風險管理信息系統(tǒng)(德勤)

國務(wù)院國資委 中央企業(yè)全面風險管理指引 2006年8月 第八章風險管理信息系統(tǒng)講座 德勤咨詢公司 前言 國務(wù)院國資委最近頒發(fā)的 中央企業(yè)全面風險管理指引 是指導(dǎo)中央企業(yè)開展全面風險管理工作 增強企業(yè)競爭力 提高投資回報 促進企業(yè)持續(xù) 健康 穩(wěn)定發(fā)展的重要文件 風險管理信息系統(tǒng)是整個全面風險管理體系中的重要組成部分 為全面風險管理體系中進行風險評估 實施風險管理解決方案 執(zhí)行風險管理的基本流程 履行內(nèi)部控制系統(tǒng)提供必需的技術(shù)基礎(chǔ) 指引 的第八章 風險管理信息系統(tǒng) 從第53條至第58條給出了中央企業(yè)建立風險管理信息系統(tǒng)的基本要求 培訓(xùn)內(nèi)容 第一部分 本章概述第二部分 逐條講解第三部分 重點回顧 第一部分 本章概述 風險管理基本流程 風險管理信息系統(tǒng) 風險管理信息系統(tǒng)的作用 風險管理信息系統(tǒng)的實施與運行 風險管理信息系統(tǒng)的要求與功能 收集風險管理初始信息進行風險評估制定風險管理策略提出和實施風險管理解決方案實施風險管理的監(jiān)督與改進 培訓(xùn)內(nèi)容 第一部分 本章概述第二部分 逐條講解第三部分 重點回顧 第二部分 逐條講解 第五十三條 信息技術(shù)應(yīng)用于風險管理實踐第五十四條 風險管理信息系統(tǒng)保障風險信息量化值的要求第五十五條 風險管理信息系統(tǒng)的功能要求第五十六條 風險管理信息系統(tǒng)應(yīng)該實現(xiàn)跨部門的集成與共享第五十七條 風險管理信息系統(tǒng)應(yīng)該確保安全 穩(wěn)定運行第五十八條 風險管理信息系統(tǒng)的建設(shè)與更新 第八章風險管理信息系統(tǒng) 第五十三條企業(yè)風險管理信息系統(tǒng)的基本流程和內(nèi)部控制環(huán)節(jié) 第五十三條企業(yè)應(yīng)將信息技術(shù)應(yīng)用于風險管理的各項工作 建立涵蓋風險管理基本流程和內(nèi)部控制系統(tǒng)各環(huán)節(jié)的風險管理信息系統(tǒng) 包括信息的采集 存儲 加工 分析 測試 傳遞 報告 披露等 根據(jù)COSO企業(yè)風險管理框架的三個維度 企業(yè)的目標 全面風險要素管理方法 企業(yè)的各個層級 風險管理系統(tǒng)就是使用信息技術(shù)手段 實現(xiàn)企業(yè)各個層級風險要素的信息系統(tǒng)管理 以達到企業(yè)發(fā)展目標的要求 由于企業(yè)各個層級 各個業(yè)務(wù)環(huán)境的信息環(huán)境十分復(fù)雜 就特別需要借助于風險管理系統(tǒng)來實現(xiàn)企業(yè)的全面風險管理 風險管理系統(tǒng)即可以是一個完整的信息系統(tǒng) 也可以是通過不同的系統(tǒng) 利用信息技術(shù)手段集成實現(xiàn)全面風險管理的整體功能 重點說明 系統(tǒng)必須涵蓋風險管理基本流程和內(nèi)部控制系統(tǒng)各環(huán)節(jié) 風險管理信息存在于經(jīng)營管理的各個層次之中 按照信息使用者的要求和各種業(yè)務(wù)在經(jīng)營管理中的層次 可以把需要企業(yè)的管理信息分為三個層次 決策控制層日常經(jīng)營管理層支持體系管理層風險管理系統(tǒng)需要的信息同時存在于這三個層次當中 因此我們必須要把握好信息收集 分析 處理的范圍 深度和廣度充分考慮信息管理的全流程化 信息系統(tǒng)的重要性 是企業(yè)風險策略和風險解決方案的重要支撐手段是固化風險管理流程 推進全面風險管理的必須工具是風險信息收集 輸入 加工和輸出的載體是企業(yè)落實風險管理 提升風險管理能力的必經(jīng)之路提供跨組織 跨流程的信息集成和共享平臺通過系統(tǒng)實現(xiàn)風險的快速預(yù)警 及時采取必要的防范措施系統(tǒng)能夠提供企業(yè)風險狀況的報告 并且追溯發(fā)生的原因 基礎(chǔ)是信息系統(tǒng) ERP系統(tǒng) OLTP 數(shù)據(jù)倉庫 中間件 OLAP BAPI 各種分析模型及軟件 報告系統(tǒng) OA 知識管理 財務(wù)銷售生產(chǎn)日常營運等決策支持 各種應(yīng)用銜接各種數(shù)據(jù)銜接跨平臺操作外部開發(fā)與第三方模塊銜接等 報告查詢 管理決策支持 技術(shù)銜接 日常經(jīng)營 流程管理 風險管理系統(tǒng)的范疇 風險系統(tǒng)與其它系統(tǒng) 風險展現(xiàn)系統(tǒng) RiskWizard OpRisk SAS預(yù)算系統(tǒng) HyperionPlanning Comshare Timeline Cognos數(shù)據(jù)挖掘與分析系統(tǒng) SPSS SAS IntelligentMiner數(shù)據(jù)EIS WebGateway DecisionLightship電子商務(wù)系統(tǒng) CommerceOne BoardVisionCRM系統(tǒng) Siebel公司報告系統(tǒng) CrystalReportERP系統(tǒng) SAP Oracle SSA 通過風險管理信息系統(tǒng)加工大量風險信息 有關(guān)風險的信息需要在各層級的組織機構(gòu)中進行識別 評估并對風險做出反應(yīng) 從而來完成企業(yè)經(jīng)營管理目標 一些信息可能被用到一個或多個不同的目的 信息有很多的來源可以分為內(nèi)部的和外部 定性和定量的 并可以對變化的環(huán)境迅速做出反應(yīng) 管理的主要挑戰(zhàn)是對大量可用信息進行加工的過程 這種挑戰(zhàn)可以用信息系統(tǒng)功能包括來源 獲取 處理 分析和報告有關(guān)的信息來解決 一些系統(tǒng)提供了對客戶交易情況進行持續(xù)監(jiān)督功能 結(jié)合基本的業(yè)務(wù)工作流程來減輕每日操作中的風險 保證信息的一致性需要特別注重企業(yè)面對行業(yè)變動 高度創(chuàng)新和快速發(fā)展的競爭者 或重大顧客需求改變 信息系統(tǒng)需要隨著新目標的設(shè)定而改變 信息系統(tǒng)不僅要識別和獲取必要的財務(wù)和非財務(wù)信息 還要及時的處理和報告這些信息 確保對企業(yè)經(jīng)營活動進行有效的控制 業(yè)務(wù)驅(qū)動風險管理信息化項目的一個最為典型的錯誤是將其當作一個技術(shù)項目 為了獲取真正的業(yè)務(wù)收益 系統(tǒng)建設(shè)應(yīng)從業(yè)務(wù)的角度出發(fā) 業(yè)務(wù)用戶也應(yīng)直接介入業(yè)務(wù)戰(zhàn)略明晰和業(yè)務(wù)及信息技術(shù)需求分析 關(guān)鍵成功因素 業(yè)務(wù)驅(qū)動 風險信息管理的全流程性 商業(yè)智能 戰(zhàn)略評估 業(yè)績評估 綜合分析 信息技術(shù) 銷售與分銷 供應(yīng) 內(nèi)部管理 分銷渠道管理 客戶關(guān)系管理 售后服務(wù) 市場營銷 供應(yīng)渠道管理 供應(yīng)商關(guān)系管理 合同管理 內(nèi)向物流管理 外向物流管理 倉儲管理 財務(wù)管理 成本控制 資金管理 企業(yè)需要對其核心業(yè)務(wù)流程進行完整的定義 并通過必要的手段 例如信息技術(shù) 進行固化 將企業(yè)運作從傳統(tǒng)的以部門為核心的方式轉(zhuǎn)為以業(yè)務(wù)流程為核心 風險管理 風險信息的結(jié)構(gòu)和處理流程 在構(gòu)建企業(yè)的風險管理信息系統(tǒng)之前 首先要明確相關(guān)風險信息的結(jié)構(gòu)和處理流程 即在企業(yè)不同層次 不同業(yè)務(wù)和管理環(huán)節(jié)的處理辦法 信息的分析與測試 信息的傳遞 信息的采集 信息的存儲 信息的加工 風險信息的采集就必須要明確需要哪些基礎(chǔ)信息 這些基礎(chǔ)信息的來源 基礎(chǔ)信息的收集頻度 不同基礎(chǔ)信息之間的口徑差異 信息的采集流程 技術(shù)手段等 信息的存儲需要建立良好的數(shù)據(jù)架構(gòu) 解決好數(shù)據(jù)標準化和存儲技術(shù)問題 基礎(chǔ)信息需要進行加工和提煉才能成為可進行分析的風險信息 分析的內(nèi)容 層次 方法和頻度都會是信息分析環(huán)節(jié)關(guān)注的重點 風險管理系統(tǒng)必須建立良好的信息傳遞機制 這種信息的傳遞機制應(yīng)當建立于風險管理的各個環(huán)節(jié)中 風險信息系統(tǒng)對風險的展示與披露 信息的報告與披露 從信息技術(shù)角度看 信息的報告是展現(xiàn)層的工作 一個良好的風險管理信息系統(tǒng)必須要求能夠把風險管理的各個環(huán)節(jié)情況進行直觀易懂的展示 根據(jù)自己的控制水平和能力確定風險控制策略 風險因素列表 影響 風險評估 經(jīng)營組 財務(wù)組 市場占有客戶關(guān)系環(huán)境保護 政策法規(guī)股東關(guān)系品牌聲譽 人事組 資金缺口償債風險收益實現(xiàn) 人才流失道德操守內(nèi)部公平 信息滯后信息缺損系統(tǒng)安全 12345 54321 6 8 7 8 9 5 4 3 6 5 4 6 7 8 7 6 5 6 7 9 10 5 4 3 2 發(fā)生可能性 重點控制 適當控制 影響度 運營風險報告框架 支付與結(jié)算 采購 資產(chǎn)管理 貿(mào)易與銷售 財務(wù)風險市場風險運營風險 月度報告損失承受能力風險指標趨勢主動的風險管理關(guān)鍵的問題季度報告風險狀況與問題 周報告針對業(yè)務(wù)線的風險指標報告 季度報告風險狀況與問題月度報告業(yè)務(wù)定量分析報告概要 月度報告風險狀況概覽主要控制問題運營風險損失概要 運行風險報告必須聯(lián)合專注的運營風險評估流程 現(xiàn)有的業(yè)務(wù)線報告和特別的內(nèi)部及外部評估 第五十四條風險信息的一致性 準確性 及時性 可用性和完整性 第五十四條企業(yè)應(yīng)采取措施確保向風險管理信息系統(tǒng)輸入的業(yè)務(wù)數(shù)據(jù)和風險量化值的一致性 準確性 及時性 可用性和完整性 對輸入信息系統(tǒng)的數(shù)據(jù) 未經(jīng)批準 不得更改 確保信息系統(tǒng)輸入業(yè)務(wù)數(shù)據(jù)和風險值的質(zhì)量 是風險管理信息系統(tǒng)的重要基礎(chǔ) 安然 世界通訊等公司的一系列丑聞 使投資者對在美國上市的公司信息披露的真實性產(chǎn)生懷疑 隨著薩班斯法案的出臺 對上市公司對外披露信息的真實性提出了更高的要求 管理層對財務(wù)信息的準確性承擔刑事責任 實施薩班斯法案 將引發(fā)企業(yè)從業(yè)務(wù)流程到技術(shù)架構(gòu)的一系列變革 重點說明 風險管理信息系統(tǒng)的數(shù)據(jù)要求 風險信息系統(tǒng)的內(nèi)部控制 在風險管理信息系統(tǒng)內(nèi)部建立嚴格的人員訪問授權(quán) 數(shù)據(jù)接觸控制 操作流程規(guī)則和職責體系 以避免信息系統(tǒng)故障 保留IT審計線索 杜絕利用信息技術(shù)進行貪污 舞弊的行為 風險管理委員會 審計委員會 獨立第三方 業(yè)務(wù)單位 風險能力中心主管 海外風險主管 風險能力中心主管 內(nèi)部審計經(jīng)理 合規(guī)性經(jīng)理 運營管理層 內(nèi)部審計經(jīng)理 完成風險評估 風險分析和報告 風險狀況評估 風險戰(zhàn)略 風險所有者 制定風險標準 實施風險管理信息化的準備工作 按企業(yè)管理層次系統(tǒng)模型的要求 規(guī)范企業(yè)的業(yè)務(wù)流程 財務(wù)流程和人力資源流程 形成一套完整的信息系統(tǒng)功能和管理制度表單的文檔 根據(jù)企業(yè)文化 組織機構(gòu)和管理方法的要求 對企業(yè)從上層管理人員到一線的工作人員進行全面的管理和工作流程培訓(xùn) 將信息系統(tǒng)與具體工作流程進行實際演練 通過實踐及時修正出現(xiàn)的問題 風險信息的保障機制 信息系統(tǒng)輸入數(shù)據(jù)及風險量化值的準確性 及時性 完整性 也就是系統(tǒng)外最前端的數(shù)據(jù)源的準確也會直接影響到企業(yè)控制風險的能力 為保證數(shù)據(jù)的準確性 企業(yè)風險管理信息化需要首先對企業(yè)基礎(chǔ)管理工作的流程進行梳理 從而確保數(shù)據(jù)信息的一致性 準確性 及時性 可用性和完整性 為保證風險數(shù)據(jù)的準確性 要重視風險管理系統(tǒng)的操作權(quán)限與操作規(guī)程控制 信息安全與數(shù)據(jù)處理流程控制 制定對應(yīng)控制規(guī)則 設(shè)計控制制度和控制程序 并將這些控制程序和控制參數(shù)輸入到計算機信息系統(tǒng)內(nèi)部 形成完整 嚴密的面向流程的人機內(nèi)部控制系統(tǒng) 全球化的信息系統(tǒng)架構(gòu)在集團范圍內(nèi)共享所有的信息兩個標準的數(shù)據(jù)交換層使用ETL收集和分發(fā)相關(guān)數(shù)據(jù)在線的預(yù)警信息服務(wù) 一個強勢的集團治理架構(gòu)按照業(yè)務(wù)需求建立風險模型 集團內(nèi)統(tǒng)一流程 企業(yè)依照執(zhí)行標準的工具支持流程的運行 公共集中的客戶信息管理平臺標準化的客戶信用管理工具和客戶交易數(shù)據(jù)系統(tǒng)所有的交易過程中的風險信息和相關(guān)信息都將發(fā)送到中央風險數(shù)據(jù)庫一個集中的數(shù)據(jù)庫數(shù)據(jù)按天收集按月進行風險計算 要點 歐洲某大型集團公司的風險管理 技術(shù) 流程 組織 歐洲某大型集團公司的風險管理 企業(yè) 中央風險數(shù)據(jù)庫 風險分析工具 風險數(shù)據(jù)收集 風險數(shù)據(jù)使用與共享 信用風險 市場風險 引擎 參考信息 集團參考信息 客戶 產(chǎn)品 組織 風險標志 行為 分類 警報 模型 監(jiān)控 風險標志 風險標準 企業(yè)參考信息 產(chǎn)品管理 建議與批準 集團 標準風險報告 集團比率 產(chǎn)品處理 收款管理 市場風險 信息交換服務(wù)協(xié)議 風險 信息交換 第五十五條關(guān)于風險管理信息系統(tǒng)的功能要求 通過風險管理信息系統(tǒng)中的風險庫和預(yù)警機制全面識別各種風險 風險庫的建立 固化流程 標桿和預(yù)警利用風險管理信息系統(tǒng)實現(xiàn)對風險水平的自動分析 評估和報告 利用風險評級模型進行評估 建立風險對策庫 監(jiān)督和評價風險管理工作及其效果 重點說明 風險管理信息系統(tǒng)的功能要求 第五十五條風險管理信息系統(tǒng)應(yīng)能夠進行各種風險的計量和定量分析 定量測試 能夠?qū)崟r反映風險矩陣和排序頻譜 重大風險和重要業(yè)務(wù)流程的監(jiān)控狀態(tài) 能夠?qū)Τ^風險預(yù)警上限的重大風險實施信息報警 能夠滿足風險管理內(nèi)部信息報告制度和企業(yè)對外信息披露管理制度的要求 風險庫的建立 系統(tǒng)應(yīng)支持標準的風險庫的建立 比較全面地涵蓋企業(yè)日常經(jīng)營所面臨的各項主要風險 可以根據(jù)國際風險組織的RiskMap風險模型或是德勤的RiskUniverseTM 結(jié)合自身的實際情況 建立風險模型 作為風險識別 分析和評價的參考標準 國際風險組織的RiskMapTM風險模型 RiskUniverseTM是德勤開發(fā)的風險模型 固化流程 將活動和風險建立映射 企業(yè)需要在系統(tǒng)中固化和標準化主要的管理流程和業(yè)務(wù)流程 確定流程負責人 將每個流程中的關(guān)鍵活動與風險庫建立映射關(guān)系 定義和分類風險 評估可能性和影響 定義風險緩解策略 管理風險 評估風險 合同簽署 實施風險緩解策略 風險管理流 標桿分析 實施監(jiān)測 企業(yè)通過行業(yè)標竿分析 歷史數(shù)據(jù)分析 情景分析等在系統(tǒng)中設(shè)定各風險衡量指標的標準值和合理波動區(qū)間 借助信息系統(tǒng)實現(xiàn)風險預(yù)警的自動化 實時監(jiān)測風險指標 及時發(fā)出警報信號 并在規(guī)定的時間內(nèi)通知規(guī)定的部門和人員 由其采取相應(yīng)的措施 利用風險評估模型進行風險評估 首先 在系統(tǒng)中建立風險評估的定性和定量的標準 構(gòu)建風險評級模型 綜合考慮潛在風險損失和風險發(fā)生概率確定風險級別 評估風險水平 標準 模型 損失和概率在各項風險的發(fā)生可能性與影響程度之間建立起矩陣關(guān)系來系統(tǒng)地描述風險的重要性等級 如高風險 中風險和低風險 識別需要應(yīng)最優(yōu)先進行控制的風險 有效地分配風險管理的資源 可能性和影響程度 重要性評價 識別優(yōu)先 建立風險對策庫 實現(xiàn)對解決措施的自動提示 企業(yè)應(yīng)首先確定各類主要風險的應(yīng)對策略 設(shè)計相應(yīng)的應(yīng)對措施 并對應(yīng)到相關(guān)的業(yè)務(wù)流程和管理流程 確定控制節(jié)點 控制措施和控制手段 形成統(tǒng)一的風險管理操作規(guī)范 同時在系統(tǒng)中建立風險對策庫 確定策略 設(shè)計應(yīng)對措施 統(tǒng)一操作規(guī)范 建立風險對策庫根據(jù)風險分析和評估結(jié)果 系統(tǒng)可自動識別應(yīng)采用的基本的風險對策 并通知相應(yīng)的流程負責人 由于各業(yè)務(wù)板塊所涉及的業(yè)務(wù) 工作不同 風險標識各異 在具體預(yù)警系統(tǒng) 管理技術(shù)和流程方法上可保持靈活性 集團設(shè)立專門的風險管理部門實施集中化的管理 并授權(quán)各業(yè)務(wù)板塊和經(jīng)營單位配備相應(yīng)的風險管理人員 在集團公司的授權(quán)范圍內(nèi)開展工作 利用信息系統(tǒng)監(jiān)督評價風險管理工作效果 盡管在不同的企業(yè)風險管理的方法不盡相同 但在風險管理的目標方面是一致的 風險管理信息系統(tǒng)的目標是 查明影響經(jīng)營戰(zhàn)略與業(yè)務(wù)活動的風險 并按風險大小進行排序 了解管理層和審計委員會確定的 能夠接受的風險水平 制定并實施降低風險計劃 把風險降到可以接受的水平上 定期對風險和控制進行評估 以降低管理風險 定期向董事會和管理層報告風險管理過程的結(jié)果 系統(tǒng)必須能夠協(xié)助企業(yè)從上述五個目標的完成情況去評價風險管理的充分性和有效性 利用信息系統(tǒng)監(jiān)督評價風險管理工作的內(nèi)容 評價組織和行業(yè)的發(fā)展情況和趨勢 確定是否可能存在影響組織的風險 檢查組織的經(jīng)營戰(zhàn)略 確定組織對風險的接受 檢查管理層 內(nèi)部和外部審計師 以及有關(guān)方面以前發(fā)表過的風險評估報告 與相關(guān)管理層討論部門的目標 存在的風險 以及管理層采取的降低風險和加強監(jiān)控的活動 并評價其有效性 評價風險監(jiān)控報告制度是否恰當 評價風險管理結(jié)果報告的充分性和及時性 評價管理層對風險的分析是否全面 為防止風險而采取的措施是否完善 建議是否有效 對管理層的自我評估進行實地觀察 直接測試 檢查自我評估所依據(jù)的信息是否準確 以及其他審計技術(shù) 評估與風險管理有關(guān)的管理薄弱環(huán)節(jié) 并與管理層 董事會 審計委員會討論 第五十六條風險管理信息系統(tǒng)要實現(xiàn)信息的集成與共享 第五十六條風險管理信息系統(tǒng)應(yīng)實現(xiàn)信息在各職能部門 業(yè)務(wù)單位之間的集成與共享 既能滿足單項業(yè)務(wù)風險管理的要求 也能滿足企業(yè)整體和跨職能部門 業(yè)務(wù)單位的風險管理綜合要求 重點說明 風險管理信息系統(tǒng)的跨部門特點 從風險管理的層次看 既有對日常工作流程的管理 也有對執(zhí)行結(jié)果的管理 顯然 信息孤島 的產(chǎn)生并不僅是與軟件產(chǎn)品有關(guān) 也與管理集成和技術(shù)集成水平有著緊密的關(guān)系 因此風險管理的環(huán)節(jié)必須集成 這就要求信息必須在各職能部門 業(yè)務(wù)單位之間的集成與共享 既能滿足單項業(yè)務(wù)風險管理的要求 也能滿足企業(yè)整體和跨職能部門 業(yè)務(wù)單位的風險管理綜合要求 一個全球化的信息系統(tǒng)架構(gòu)集成開發(fā)所有的組件 一個強勢的集團治理架構(gòu) 公共的企業(yè)業(yè)務(wù)流程主要的困難在于公共信息的管理 例如當一個錯誤的企業(yè)宣布自己的流程模板 共享的集中式的客戶信息管理 對于每個公司都作為一個零售客戶來管理 有且只有一個企業(yè)負責管理客戶的 主數(shù)據(jù) 客戶的唯一標識 每一個在本地的針對主數(shù)據(jù)的修改都必須發(fā)送到中央數(shù)據(jù)庫并且同時修改其它機構(gòu)的數(shù)據(jù)集團負責客戶的信用評級所有企業(yè)信貸發(fā)生系統(tǒng)發(fā)送信用建議和批準通知至信貸建議數(shù)據(jù)庫所有企業(yè)信貸處理系統(tǒng)發(fā)送限制 披露和提供數(shù)據(jù)至信用風險數(shù)據(jù)庫風險 會計信息調(diào)整 每一個下屬企業(yè)必須確保風險和會計信息之間的匹配 任何差異都必須報告并隨風信信息一并上傳在集團層面控制的目標是確保不存在風險與會計信息之間的差異所有的計算都必須通過內(nèi)部集成的系統(tǒng)上交 要點 歐洲某大型金融機構(gòu)風險管理示例 技術(shù) 流程 組織 歐洲某大型金融機構(gòu)風險管理示例 全球信貸建議數(shù)據(jù)庫 全球信貸風險數(shù)據(jù)庫 信貸發(fā)生系統(tǒng) 信貸處理系統(tǒng) 信貸發(fā)生系統(tǒng) 信貸處理系統(tǒng) 信貸發(fā)生系統(tǒng) 信貸處理系統(tǒng) 建議和信貸批準 限制 披露和提供數(shù)據(jù) 客戶數(shù)據(jù) 金融企業(yè)1 金融企業(yè)2 金融企業(yè)n 地區(qū) 企業(yè)層面 集團層面 建議和信貸批準 建議和信貸批準 限制 披露和提供數(shù)據(jù) 限制 披露和提供數(shù)據(jù) 第五十七條確保風險管理信息系統(tǒng)的安全和穩(wěn)定 并持續(xù)改進 風險管理信息系統(tǒng)的穩(wěn)定和安全將直接關(guān)系到企業(yè)對風險的控制能力 如果處理不好 會給企業(yè)帶來巨大損失 嚴重時 還會制約企業(yè)的整體發(fā)展 針對風險管理信息系統(tǒng)的安全內(nèi)容十分廣泛 安全要求各不相同 需要從網(wǎng)絡(luò)層次 信息層次 設(shè)備層次等分別討論 除了要確保風險管理信息系統(tǒng)的穩(wěn)定及安全外 還要根據(jù)企業(yè)的發(fā)展需要 對風險信管理信息系統(tǒng)進行改進 完善和更新 重點說明 風險管理信息系統(tǒng)需要不斷改進和完善 第五十七條企業(yè)應(yīng)確保風險管理信息系統(tǒng)的穩(wěn)定運行和安全 并根據(jù)實際需要不斷進行改進 完善或更新 可靠性 即保證網(wǎng)絡(luò)和信息系統(tǒng)隨時可用 運行過程中不出現(xiàn)故障 若遇意外打擊能夠盡量減少損失并盡快恢復(fù)正常 可控性 即保證營運者對網(wǎng)絡(luò)和信息系統(tǒng)有足夠的控制和管理能力 互操作性 即保證協(xié)議和系統(tǒng)能夠聯(lián)接 可計算性 即保證準確跟蹤實體運行達到審計和識別的目的等 信息的完整性 即保證信息的來源 去向 內(nèi)容真實無誤 保密性 即信息不會被非法泄露擴散 不可否認性 即保證信息的發(fā)送和接收者無法否認自己所做過的操作行為等 網(wǎng)絡(luò)層次 信息層次 風險管理信息系統(tǒng)的安全要求 第五十七條企業(yè)應(yīng)確保風險管理信息系統(tǒng)的穩(wěn)定運行和安全 風險管理信息系統(tǒng)安全保障體系應(yīng)該是一個在充分分析系統(tǒng)安全風險因素的基礎(chǔ)上 通過制定系統(tǒng)安全策略和采取先進 科學(xué) 適用的安全技術(shù)能對系統(tǒng)實施安全防護和監(jiān)控 使系統(tǒng)具有靈敏 迅速的恢復(fù)響應(yīng)和動態(tài)調(diào)整功能的智能型系統(tǒng)安全體系 其模型可用公式表示為 系統(tǒng)安全 風險評估 安全策略 防御體系 實時檢測 數(shù)據(jù)恢復(fù) 安全跟蹤 動態(tài)調(diào)整 風險管理信息系統(tǒng)安全保障體系的目標是 網(wǎng)絡(luò)層安全 系統(tǒng)層安全和應(yīng)用層安全 不同的層次 其安全內(nèi)容 要求各有差異 因此 各層次安全保障方案的制定也應(yīng)該是不盡相同 風險管理信息系統(tǒng)安全保障體系內(nèi)容 風險管理信息系統(tǒng)安全保障體系目標 風險管理信息系統(tǒng)安全保障體系內(nèi)容與目標 確保風險管理信息系統(tǒng)的安全 穩(wěn)定 風險管理信息系統(tǒng)改進的驅(qū)動因素 第五十七條 并根據(jù)實際需要不斷進行改進 完善或更新 企業(yè)戰(zhàn)略的調(diào)整 管理和服務(wù)的需求變化 風險管理信息系統(tǒng)的調(diào)整 技術(shù)和管理在不斷地發(fā)展 風險管理信息化建設(shè)與實施是一個長期的 需要持續(xù)改進 不斷向前發(fā)展的過程 公司的企業(yè)戰(zhàn)略根據(jù)企業(yè)的目標和外部環(huán)境在不斷地調(diào)整 所面臨的風險會不斷變化 管理和服務(wù)對風險管理信息化建設(shè)的需求在不斷地變化和發(fā)展 信息系統(tǒng)也必須做出相應(yīng)的調(diào)整 同時 技術(shù)和管理在不斷地發(fā)展 需要不斷持續(xù)改進和更新才能保持信息化系統(tǒng)的先進性 才能保持信息化的價值能力 對風險管理信息系統(tǒng)進行持續(xù)的改進 歡迎界面 公司實體界面 內(nèi)部控制 風險評估 評估表格 管理層報告 第五十八條風險管理信息系統(tǒng)的規(guī)劃與實施 第五十八條已建立或基本建立企業(yè)管理信息系統(tǒng)的企業(yè) 應(yīng)補充 調(diào)整 更新已有的管理流程和管理程序 建立完善的風險管理信息系統(tǒng) 尚未建立企業(yè)管理信息系統(tǒng)的 應(yīng)將風險管理與企業(yè)各項管理業(yè)務(wù)流程 管理軟件統(tǒng)一規(guī)劃 統(tǒng)一設(shè)計 統(tǒng)一實施 同步運行 風險管理系統(tǒng)作為企業(yè)整體信息化建設(shè)的一部分 需要和企業(yè)其它生產(chǎn) 經(jīng)營系統(tǒng)一樣統(tǒng)一規(guī)劃 統(tǒng)籌安排 一般來說 大部分中央企業(yè)都已經(jīng)進行了信息化 很多單位還實施了ERP系統(tǒng) 僅僅依靠ERP系統(tǒng)并不能實現(xiàn)從風險識別 風險分析到風險控制的管理全過程 因此必須將企業(yè)的業(yè)務(wù)流程和風險管理結(jié)合起來在系統(tǒng)上實現(xiàn) 保證系統(tǒng)適應(yīng)風險防范和管理的新要求 重點說明 風險管理信息系統(tǒng)的搭建策略 數(shù)據(jù)架構(gòu)描述了企業(yè)的的數(shù)據(jù)資源 包括數(shù)據(jù)分類 數(shù)據(jù)標準 數(shù)據(jù)分布和管理 數(shù)據(jù)使用策略 各類數(shù)據(jù)與系統(tǒng)應(yīng)用的關(guān)系 良好的數(shù)據(jù)架構(gòu)分析和設(shè)計是進行系統(tǒng)設(shè)計的基礎(chǔ)部分 會直接影響到整個企業(yè)系統(tǒng)間的數(shù)據(jù)分布與集成問題 技術(shù)架構(gòu)描述了應(yīng)用的技術(shù)實現(xiàn)方式 包括硬件 軟件 網(wǎng)絡(luò) 從接口定義 標準和服務(wù)等方面進行描述 確保未來的系統(tǒng)服務(wù)平臺和網(wǎng)絡(luò)架構(gòu)平臺能夠支持應(yīng)用的部署和運行 應(yīng)用架構(gòu)主要描述的是支持企業(yè)管理的系統(tǒng)之間的關(guān)系 包括每個系統(tǒng)的作用 系統(tǒng)的范圍和邊界 系統(tǒng)之間的關(guān)系與銜接等 應(yīng)用架構(gòu)從功能和業(yè)務(wù)范圍上進行了系統(tǒng)間的界定 明確了不同的關(guān)鍵業(yè)務(wù)通過不同的應(yīng)用系統(tǒng)進行支持 劃定了系統(tǒng)內(nèi)容的功能范圍和系統(tǒng)間的功能交流 應(yīng)用架構(gòu)的設(shè)計關(guān)系到未來各個應(yīng)用系統(tǒng)所能實現(xiàn)的范圍問題 是進行系統(tǒng)分析和設(shè)計的基礎(chǔ) 風險管理信息系統(tǒng)的構(gòu)建 從構(gòu)建系統(tǒng)的信息技術(shù)角度來看 一個完整的風險管理系統(tǒng)應(yīng)當主要考慮應(yīng)用架構(gòu) 數(shù)據(jù)架構(gòu) 技術(shù)架構(gòu)等 應(yīng)用架構(gòu) 數(shù)據(jù)架構(gòu) 技術(shù)架構(gòu) 已建立或基本建立企業(yè)管理信息系統(tǒng)的企業(yè) 應(yīng)當在已有系統(tǒng)的基礎(chǔ)上 通過改進現(xiàn)有系統(tǒng)流程 建立完善的風險管理信息系統(tǒng) 尚未建立企業(yè)管理信息系統(tǒng)的 應(yīng)把風險管理融入到企業(yè)各軟件的建設(shè)過程中 內(nèi)部審計系統(tǒng)構(gòu)建 風險系統(tǒng)構(gòu)建 SAS 數(shù)據(jù)平臺 風險管理信息系統(tǒng)的選型 風險管理信息系統(tǒng)選型是指建設(shè)信息化的企業(yè)選擇應(yīng)用系統(tǒng)產(chǎn)品及服務(wù)提供商的過程 選型對企業(yè)信息化建設(shè)成敗起著至關(guān)重要的作用 信息系統(tǒng)選型方法選型就是要通過招標 評標 商務(wù)談判和合同簽訂的過程 采用合適的評估手段 選擇合適的風險管理信息系統(tǒng) 信息系統(tǒng)選型步驟 選型中 評標 選型后 商務(wù)談判 簽約 選型前的準備工作對選型的成敗起著至關(guān)重要的作用 它是明晰需求 確定招標對象 制定標書的過程 這一階段非常重要的事宜就是針對企業(yè)不同層級的需要 明晰企業(yè)的需求 確定項目范圍 確定評標小組評標準備現(xiàn)場聽標典型客戶考察商務(wù)談判入圍評選 談判團隊甄選項目計劃溝通和報價分析商務(wù)談判法律條款簽訂 選型前 明晰需求 確定標書 風險管理信息系統(tǒng)的選型 續(xù) 系統(tǒng)選型的定性因素 軟件公司的性質(zhì)軟件公司的開發(fā)能力軟件產(chǎn)品的易用性軟件產(chǎn)品的適應(yīng)性軟件產(chǎn)品的擴展性軟件產(chǎn)品的升級性軟件產(chǎn)品的生命周期軟件產(chǎn)品的價格體系 系統(tǒng)選型的定量因素 軟件成熟度成功用戶的數(shù)量用戶滿意度客戶化工作量二次開發(fā)工作量軟件升級周期用戶接受培訓(xùn)的工作量 風險管理信息系統(tǒng)的實施風險管理信息系統(tǒng)的升級與更新 企業(yè)應(yīng)確保風險管理信息系統(tǒng)的穩(wěn)定運行和安全 并根據(jù)實際需要不斷進行改進 完善或更新 風險管理信息系統(tǒng)的實施與升級 制訂項目計劃制訂項目管理策略設(shè)計系統(tǒng)架構(gòu)并進行技術(shù)評估集成評估及其策略差異評估和管理項目小組培訓(xùn)策略概念培訓(xùn) 業(yè)務(wù)流程藍圖模板的設(shè)計組織結(jié)構(gòu)調(diào)整的管理系統(tǒng)環(huán)境的開發(fā)業(yè)務(wù)組織結(jié)構(gòu)業(yè)務(wù)流程的定義系統(tǒng)規(guī)劃 最終的系統(tǒng)