风险管理信息系统(德勤)

1 第 1页 国务院国资委 中央企业全面风险管理指引 . 2006年 8月 第八章 风险管理信息系统 讲座 德勤咨询公司 2 第 2页 前言 国务院国资委最近颁发的 中央企业全面风险管理指引 ,是指导 中央企业开展全面风险管理工作，增强企业竞争力，提高投资回报， 促进企业持续、健康、稳定发展的重要文件。 风险管理信息系统是整个全面风险管理体系中的重要组成部分，为 全面风险管理体系中进行风险评估、实施风险管理解决方案、执行风 险管理的基本流程、履行内部控制系统提供必需的技术基础。 指引 的第八章 “ 风险管理信息系统 ” 从第 53条至第 58条给出 了中央企业建立风险管理信息系统的基本要求。 3 第 3页 培训内容 q第一部分：本章概述 q第二部分：逐条讲解 q第 三 部分：重点回顾 4 第 4页 第一部分：本章概述 风险管理基本流程 风险管理信息系统 风险管理信息系统的作 用 风险管理信息系统的实 施与运行 风险管理信息系统的要 求与功能 收集风险管理初始信息 进行风险评估 制定风险管理策略 提出和实施风险管理解决方案 实施风险管理的监督与改进 5 第 5页 培训内容 q第一部分：本章概述 q第二部分：逐条讲解 q第 三 部分：重点回顾 6 第 6页 第二部分：逐条讲解 第五十三条信息技术应用于风险管理实践 第五十四条风险管理信息系统保障风险信息量化值的要求 第五十五条风险管理信息系统的功能要求 第五十六条风险管理信息系统应该实现跨部门的集成与共享 第五十七条风险管理信息系统应该确保安全、稳定运行 第五十八条风险管理信息系统的建设与更新 第八章 风险管理信息系统 7 第 7页 第五十三条 企业风险管理信息系统的基本流程和内部控制环节 第五十三条 企业应将信息技术应用于风险管理的各项工作，建立涵盖风险管 理基本流程和内部控制系统各环节的风险管理信息系统，包括信息的采集、存储 、加工、分析、测试、传递、报告、披露等。 n根据 COSO企 业风险 管理框架 的三个 维 度，企 业 的目 标 、全 面 风险 要素管理方法、企 业 的 各个 层级 ， 风险 管理系 统 就是 使用信息技 术 手段， 实现 企 业 各个 层级风险 要素的信息系 统 管理，以达到企 业发 展目 标 的 要求。 n由于企 业 各个 层级 、各个 业务 环 境的信息 环 境十分复 杂 ，就 特 别 需要借助于 风险 管理系 统 来 实现 企 业 的全面 风险 管理。 n风险 管理系 统 即可以是一个完 整的信息系 统 ，也可以是通 过 不同的系 统 ，利用信息技 术 手 段集成 实现 全面 风险 管理的整 体功能。 重点说明：系统必须涵盖风险管理基本流程和内部控制系统各环节 8 第 8页 风险管理信息存在于经营管理的各个层次之中 n按照信息使用者的要求和各种 业务 在 经营 管理中的 层 次，可以把需要企 业 的管理信 息分 为 三个 层 次： n决策控制 层 n日常 经营 管理 层 n支持体系管理 层 n风险 管理系 统 需要的信息同 时 存在于 这 三 个 层 次当中，因此我 们 必 须 要 n把握好信息收集、分析、 处 理的范 围 、深度 和广度 n充分考 虑 信息管理的全流程化 9 第 9页 信息系统的重要性 n是企业风险策略和风险解决方案的重要支撑手段 n是固化风险管理流程、推进全面风险管理的必须工具 n是风险信息收集、输入、加工和输出的载体 n是企业落实风险管理、提升风险管理能力的必经之路 n提供跨组织、跨流程的信息集成和共享平台 n通过系统实现风险的快速预警，及时采取必要的防范措施 n系统能够提供企业风险状况的报告，并且追溯发生的原因 10 第 10页 基础是信息系统 数据层 表现层 中间层 分析层 ERP系统 /OLTP/数据仓库 中间件 /OLAP/BAPI 各种分析模型及软件 报告系统 /OA/知识管理 Q 财务 Q 销售 Q 生产 Q 日常营运等决策支持 Q 各种应用衔接 Q 各种数据衔接 Q 跨平台操作 Q 外部开发与第三方模块衔接等 报告查询 管理决策支持 技术衔接 日常经营、流程管理 风险管理系统 的范畴 11 第 11页 风险系统 与其它系统 风险展现系统： Risk Wizard， OpRisk， SAS 预算系统： Hyperion Planning， Comshare, Timeline， Cognos 数据挖掘与分析系统： SPSS, SAS， Intelligent Miner 数据 EIS： Web Gateway， Decision Lightship 电子商务系统： Commerce One , BoardVision CRM系统： Siebel 公司报告系统： Crystal Report ERP系统： SAP， Oracle， SSA 12 第 12页 通过风险管理信息系统加工大量风险信息 n 有关风险的信息需要在 各层级的组织机构中 进行 识别、评估 并对风险做出 反应，从而来完成企业经营管理目标。一些信息可能被用到一个或 多个不同 的目的 。 n 信息有很多的来源可以分为 内部的和外部 、 定性和定量 的，并可以对变化 的环境迅速做出反应。管理的主要挑战是对大量可用信息进行加工的过程。 这种挑战可以用 信息系统功能 包括来源、获取、处理、分析和报告有关的信 息来解决。 n 一些系统提供了对客户交易情况进行 持续监督功能 ， 结合基本的业务工 作流程来减轻每日操作中的风险。 保证信息的一致性 需要特别 注重 企业面对 行业变动 , 高度创新和快速发展的 竞争者 , 或 重大顾客 需求改变。信息系统需 要随着新目标的设定而改变。信息系统不仅要识别和获取必要的 财务和非财 务信息 ，还要及时的处理和报告这些信息，确保对企业经营活动进行有效的 控制 13 第 13页 业务驱动 风险管理信息化项目的一个最为典型的错误是将其当作一个技术 项目。为了获取真正的业务收益，系统建设应从业务的角度出发。业务 用户也应直接介入业务战略明晰和业务及信息技术需求分析 关键成功因素业务驱动 14 第 14页 风险信息管理的全流程性 商业智能、战略评估、业绩评估、综合分析 信息技术 销售与分销 供应内部管理 分销渠道管理 客户关系管理 售后服务 市场营销 供应渠道管理 供应商关系管理 合同管理 内向物流管理 外向物流管理 仓储管理 财务管理 成本控制 资金管理 企业需要对其核心业务流程进行完整的定义，并通过必要的手段（例如信 息技术）进行固化。将企业运作从传统的以部门为核心的方式转为以业务流 程为核心 风险管理 15 第 15页 风险信息的结构和处理流程 n 在构建企 业 的 风险 管理信息系 统 之前，首先要明确相关 风险 信息的 结 构和 处 理流程，即在企 业 不同 层 次 ，不同 业务 和管理 环节 的 处 理 办 法： 信 息的分 析与测 试 信 息的传 递 信 息的采 集 信 息的存 储 信 息的加 工 风险信息的采集就必须要明确需 要哪些基础信息，这些基础信息 的来源，基础信息的收集频度， 不同基础信息之间的口径差异， 信息的采集流程，技术手段等 信息的存储需要建立良好 的数据架构，解决好数据 标准化和存储技术问题 基础信息需要进行加 工和提炼才能成为可 进行分析的风险信息 分析的内容、层 次、方法和频度 都会是信息分析 环节关注的重点 风险管理系统必须建立良 好的信息传递机制，这种 信息的传递机制应当建立 于风险管理的各个环节中 16 第 16页 风险信息系统对风险的展示与披露 n信息的 报 告与披露：从信息技 术 角度看，信息的 报 告是展 现层 的工作。一个良好的 风险 管理信息 系 统 必 须 要求能 够 把 风险 管理的各个 环节 情况 进 行直 观 易懂的展示 根据自己的控制水平和能力确定风险控制策略 信息组 风险因素列表 影响 风险评估 战略组 经营组 财务组 市场占有 客户关系 环境保护 政策法规 股东关系 品牌声誉 人事组 资金缺口 偿债风险 收益实现 人才流失 道德操守 内部公平 信息滞后 信息缺损 系统安全 12345 5 4 3 2 1 6 8 7 8 9 5 4 3 6 5 4 6 7 8 7 65 6 7 9 10 5 4 3 2 发生可能性 重点控制 适当控制 影响度 17 第 17页 运营风险报告框架 支付 与结算 采购 资产 管理 贸易 与销售 财务风险 市场风险 运营风险 月度报告 4 损失承受能力 4 风险指标趋势 4 主动的风险管理 4 关键的问题 季度报告 4 风险状况与问题 周报告 4 针对业务线的风险指标报告 运营风险委员会 管理层 业务线 季度报告 4 风险状况与问题 月度报告 4 业务定量分析报告概要 月度报告 4 风险状况概览 4 主要控制问题 4 运营风险损失概要 运行风险报告必须联合专注的运营风险评估流程、现有的业务线报告和特别的内部及外部评估 18 第 18页 第五十四条 风险信息的一致性、准确性、及时性、可用性和完整性 第五十四条 企业应采取措施确保向风险管理信息系统输入的业务数据和风险量 化值的一致性、准确性、及时性、可用性和完整性。对输入信息系统的数据，未 经批准，不得更改。 n确保信息系 统输 入 业务 数 据和 风险值 的 质 量，是 风 险 管理信息系 统 的重要基 础 。 n安然、世界通 讯 等公司的 一系列丑 闻 ，使投 资 者 对 在美国上市的公司信息披 露的真 实 性 产 生 怀 疑。随 着 萨 班斯法案的出台， 对 上市公司 对 外披露信息的 真 实 性提出了更高的要求 “ 管理 层对财务 信息的 准确性承担刑事 责 任 ”， 实 施 萨 班斯法案，将引 发 企 业 从 业务 流程到技 术 架构 的一系列 变 革。 重点说明：风险管理信息系统的数据要求 风险信息 一致性 准确性 及时 性 完整性 可用性 19 第 19页 风险信息系统的内部控制 n 在风险管理信息系统内部建立严格的人员访问授权、数据接触控制、操作流程规则和职 责体系，以避免信息系统故障，保留 IT审计线索，杜绝利用信息技术进行贪污、舞弊的行为 。 批准 决策 审核 报告 数据提供 风险管理委员会 审计委员会 独立第三方 业务单位 财务 业务单位 风险能力中心主管 海外风险主管 风险能力中心主管 内部审计经理 合规性经理 运营管理层 内部审计经理 完成风险评估 风险分析和报 告 风险状况评估 风险战略 风险所有者 制定风险标准 20 第 20页 实施风险管理信息化的准备工作 n 按企业管理层次系统模型的要求，规范企业的业务流程、财务流程和人 力资源流程，形成一套完整的信息系统功能和 管理制度表单的文档 ； n 根据企业文化、组织机构和管理方法的要求，对企业从上层管理人员到 一线的工作人员进行全面的管理和工作流程 培训 ； n 将信息系统与具体工作流程进行 实际演练 ，通过实践及时修正出现的问 题。 21 第 21页 风险信息的保障机制 n 信息系统输入数据及风险量化值的准确性、 及时性、完整性，也就是系统外最前端的数据 源的准确也会直接影响到企业控制风险的能力 。 n 为保证数据的准确性，企业风险管理信息化 需要首先对企业基础管理工作的流程进行梳理 ，从而确保数据信息的一致性、准确性、及时 性、可用性和完整性。 n 为保证风险数据的准确性，要重视风险管理 系统的操作权限与操作规程控制、信息安全与 数据处理流程控制。制定对应控制规则，设计 控制制度和控制程序，并将这些控制程序和控 制参数输入到计算机信息系统内部，形成完整 、严密的面向流程的人机内部控制系统。 录入 流程 共享与使用 操作权限 22 第 22页 全球化的信息系 统 架构 在集 团 范 围 内共享所有的信息 两个 标 准的数据交 换层 使用 ETL收集和分 发 相关数据 在 线 的 预 警信息服 务 一个 强 势 的集 团 治理架构 按照 业务 需求建立 风险 模型 集 团 内 统 一流程，企 业 依照 执 行 标 准的工具支持流程的运行 公共集中的客 户 信息管理平台 标 准化的客 户 信用管理工具和客 户 交易数据系 统 所有的交易 过 程中的 风险 信息和相关信息都将 发 送 到中央 风险 数据 库 一个集中的数据 库 数据按天收集 按月 进 行 风险计 算 要点 欧洲某大型集团公司的风险管理 技 术流程 组织 23 第 23页 欧洲某大型集团公司的风险管理 企业 中央风险数据库风险分析工具 风险数据收集风险数据使用与共享 信用风险 + 市场风险 引擎 参考信息 集团参考信息 客户 产品 组织 风险标志 行为 分类 警报 模型 监控 风险标志 风险标准 企业参考信息产品管理 建议与批准 集团 标准风险报告 集团比率 产品处理 收款管理 市场风险 信息 交换 服务 协议 风 险 信 息 交 换 24 第 24页 第五十五条 关于风险管理信息系统的功能要求 n通过风险管理信息系统中的风险库和预警机制全面识别各种风险 风险库的建立；固化流程；标杆和预警 n利用风险管理信息系统实现对风险水平的自动分析、评估和报告 利用风险评级模型 进行 评估 ； 建立风险对策库 ； 监督和评价风险管理工作及 其效果 重点说明：风险管理信息系统的功能要求 第五十五条 风险管理信息系统应能够进行各种风险的计量和定量分析、定量测试； 能够实时反映风险矩阵和排序频谱、重大风险和重要业务流程的监控状态；能够对 超过风险预警上限的重大风险实施信息报警；能够满足风险管理内部信息报告制度 和企业对外信息披露管理制度的要求。 25 第 25页 风险库的建立 系统应支持标准的风险库的建立，比较全面地涵盖企业日常经营所面临的各项主要风险。 可以根据国际风险组织的 Risk Map风险模型或是德勤的 RiskUniverseTM，结合自身的实际 情况，建立风险模型，作为风险识别、分析和评价的参考标准。 国际风险组织的 Risk MapTM风险模型 RiskUniverseTM是德勤开发的风险模型 26 第 26页 固化流程，将活动和风险建立映射 企业需要在系统中固化和标准化主要的管理流程和业务流程，确定流程负责人，将每 个流程中的关键活动与风险库建立映射关系。 定义和分类风险 评估可能性和影响 定义风险缓解策略 管理风险 评估风险 合同签署 实施风险缓解策略 如何有效 管理剩余 的风险 ? 如何对风险 排序并评价 其影响 ? 如何实施 缓解风险 的策略 ? 如何制定缓解 风险的策略 ? Change in risk profile 4 Reduction of existing risks 4 Amplification of existing risks, or introduction of existing ones 4 No change 外部业务的 影响如何 ? 正确管理 和评估风险 的方法有 哪些 ? 主要的风险 是什么 ? 风 险 管 理 流 27 第 27页 标杆分析，实施监测 企业通过行业标竿分析、历史数据分析、情景分析等在系统中设定各风险衡量指标的 标准值和合理波动区间，借助信息系统实现风险预警的自动化，实时监测风险指标，及 时发出警报信号，并在规定的时间内通知规定的部门和人员，由其采取相应的措施 。 平 台 部件 承 认 认证 量 产 跟 进 评 审 方案 设计 试验 手板 模具 试 制 试产 综 合 管理 专 利 申 请 策划 和推广 小 计 17L 6.46 15.04 2.16 0.32 8.99 14.40 73.09 6.45 47.29 1.82 58.71 234.72 20L 6.46 15.04 2.16 0.32 9.17 14.40 73.09 6.45 32.44 0.00 5.01 164.53 21L 7.78 17.51 2.62 0.37 11.08 17.35 88.19 7.78 3.25 0.42 0.00 156.36 23L 8.40 19.45 2.80 0.41 11.86 18.66 94.63 8.33 18.36 0.00 2.51 185.40 25L 6.18 14.36 2.06 0.28 8.78 14.10 69.87 6.15 136.40 0.42 22.55 281.14 28L 29.12 67.92 9.82 1.38 41.43 65.05 66.81 29.07 101.38 0.84 15.03 427.87 31L 3.71 8.64 1.24 0.18 5.27 8.26 41.89 3.68 61.02 0.00 10.02 143.92 34L 9.78 22.79 3.30 0.46 13.90 21.84 110.67 9.76 4.09 0.28 0.00 196.88 36L 2.75 6.40 0.92 0.14 3.90 6.14 31.20 2.77 1.15 0.00 0.00 55.36 40L 13.45 31.41 4.54 0.65 19.13 30.11 152.67 13.45 20.49 0.00 2.51 288.41 44 O TR 11.00 3.73 3.72 0.51 15.67 22.06 124.69 10.99 10.57 0.00 0.00 202.94 合 计 105.09 222.28 35.33 5.03 149.19 232.38 926.80 104.89 430.46 3.77 116.34 2,337.53 28 第 28页 利用风险评估模型进行风险评估 首先，在系统中建立风险评估的定性和定量的标准，构建风险评级模型， 综合考虑潜在风险损失和风险发生概率确定风险级别，评估风险水平。 标准 模型 损失和概率 在各项风险的发生可能性与影响程度之间建立起矩阵关系来系统地描述风 险的重要性等级（如高风险、中风险和低风险），识别需要应最优先进行控制 的风险，有效地分配风险管理的资源。 可能性和影响程度 重要性评价 识别优先 风险评估 建立对策库 监督与评价 29 第 29页 建立风险对策库，实现对解决措施的自动提示 企业应首先确定各类主要风险的应对策略，设计相应的应对措施，并对应 到相关的业务流程和管理流程，确定控制节点、控制措施和控制手段，形成统 一的风险管理操作规范，同时在系统中建立风险对策库。 确定策略 设计应对措施 统一操作规范 建立风险对策库 根据风险分析和评估结果，系统可自动识别应采用的基本的风险对策，并 通知相应的流程负责人。 由于各业务板块所涉及的业务工作不同，风险标识各异，在具体预警系 统、管理技术和流程方法上可保持灵活性。 集团设立专门的风险管理部门实施集中化的管理，并授权各业务板块和经 营单位配备相应的风险管理人员，在集团公司的授权范围内开展工作。 风险评估 建立对策库 监督与评价 30 第 30页 利用信息系统监督评价风险管理工作效果 尽管在不同的企业风险管理的方法不尽相同，但在风险管理的目标方面是 一致的。风险管理信息系统的目标是： 查明影响经营战略与业务活动的风险，并按风险大小进行排序 ； 了解管理层和审计委员会确定的、能够接受的风险水平 ； 制定并实施降低风险计划，把风险降到可以接受的水平上 ； 定期对风险和控制进行评估，以降低管理风险 ； 定期向董事会和管理层报告风险管理过程的结果。 系统必须能够协助企业从上述五个目标的完成情况去评价风险管理的充分 性和有效性。 风险评估 建立对策库 监督与评价 31 第 31页 利用信息系统监督评价风险管理工作的内容 评价组织和行业的发展情况和趋势，确定是否可能存在影响组织的风 险 ； 检查组织的经营战略，确定组织对风险的接受 ； 检查管理层、内部和外部审计师，以及有关方面以前发表过的风险评 估报告 ； 与相关管理层讨论部门的目标，存在的风险，以及管理层采取的降低 风险和加强监控的活动，并评价其有效性 ； 评价风险监控报告制度是否恰当 ； 评价风险管理结果报告的充分性和及时性 ； 评价管理层对风险的分析是否全面，为防止风险而采取的措施是否完 善，建议是否有效 ； 对管理层的自我评估进行实地观察、直接测试，检查自我评估所依据 的信息是否准确，以及其他审计技术 ； 评估与风险管理有关的管理薄弱环节，并与管理层、董事会、审计委 员会讨论。 风险评估 建立对策库 监督与评价 32 第 32页 33 第 33页 34 第 34页 35 第 35页 第五十六条 风险管理信息系统要实现信息的集成与共享 第五十六条 风险管理信息系统应实现信息在各职能部门、业务单位之间的集成与共 享，既能满足单项业务风险管理的要求，也能满足企业整体和跨职能部门、业务单 位的风险管理综合要求。 重点说明：风险管理信息系统的跨部门特点 对日常工作流程的管理 对执行结果的管理 的管理 各职能部门各业务单位 单项业务风险管理层次的要求 跨部门风险管理综合要求 风险管理环节与信息的集成与共享 n从风险管理的层次看，既有对日常工 作流程的管理，也有对执行结果的管理 。显然， “ 信息孤岛 ” 的产生并不仅是 与软件产品有关，也与管理集成和技术 集成水平有着紧密的关系。 n因此风险管理的环节必须集成，这就 要求信息必须在各职能部门、业务单位 之间的集成与共享，既能满足单项业务 风险管理的要求，也能满足企业整体和 跨职能部门、业务单位的风险管理综合 要求。 36 第 36页 一个全球化的信息系 统 架构 集成开 发 所有的 组 件 一个 强 势 的集 团 治理架构公共的企 业业务 流程 主要的困 难 在于公共信息的管理 （例如当一个 错误 的企 业 宣布 自己的流程模板） 共享的集中式的客 户 信息管理（ 对 于每个公司都作 为 一个零售客 户 来管理）： 有且只有一个企 业负责 管理客 户 的 “主数据 ”（客 户 的唯一 标识 ） 每一个在本地的 针对 主数据的修改都必 须发 送到中央数据 库 并且同 时 修改其它机构的数据 集 团负责 客 户 的信用 评级 所有企 业 信 贷发 生系 统发 送信用建 议 和批准通知至信 贷 建 议 数据 库 所有企 业 信 贷处 理系 统发 送限制、披露和提供数据至信用 风险 数据 库 风险 /会 计 信息 调 整： 每一个下属企 业 必 须 确保 风险 和会 计 信息之 间 的匹配，任何差异都必 须报 告并随 风 信信息一并上 传 在集 团层 面控制的目 标 是确保不存在 风险 与会 计 信息之 间 的差异 所有的 计 算都必 须 通 过 内部集成的系 统 上交 要点 欧洲某大型金融机构风险管理示例 技 术流程 组织 37 第 37页 欧洲某大型金融机构风险管理示例 全球信贷建议数据库 全球客户参考信息 全球信贷风险数据库 信贷发生系 统 信贷处理系 统 信贷发生系 统 信贷处理系 统 信贷发生系 统 信贷处理系 统 建议和信贷批准 限制、披露和提供数据 客户 数据 金融企业 1 金融企业 2 金融企业 n 地区 (企业层面 ) 集团层面 建议和信贷批准 建议和信贷批准 限制、披露和提供数据 限制、披露和提供数据 38 第 38页 第五十七条 确保风险管理信息系统的安全和稳定，并持续改进 n 风险管理信息系统的 稳定和安全 将直接关系到企业对风险的控制能力，如果处理不好，会 给企业带来巨大损失，严重时，还会制约企业的整体发展； n 针对风险管理信息系统的安全内容十分广泛，安全要求各不相同，需要从 网络层次、信息 层次、设备层次 等分别讨论； n 除了要确保风险管理信息系统的稳定及安全外，还要 根据企业的发展需要 ，对风险信管理 信息系统进行改进、完善和更新。 重点说明：风险管理信息系统需要不断改进和完善 第五十七条 企业应确保风险管理信息系统的稳定运行和安全，并根据实际需要不断 进行改进、完善或更新。 39 第 39页 n 可靠性：即保证网络和信息系统随 时可用，运行过程中不出现故障， 若遇意外打击能够尽量减少损失并 尽快恢复正常； n 可控性：即保证营运者对网络和信 息系统有足够的控制和管理能力； n 互操作性：即保证协议和系统能够 联接； n 可计算性：即保证准确跟踪实体运 行达到审计和识别的目的等 n 信息的完整性 ： 即保证信息的来源 、去向、内容真实无误 ； n 保密性 ： 即信息不会被非法泄露扩 散； n 不可否认性 ： 即保证信息的发送和 接收者无法否认自己所做过的操作 行为等 网络层次 信息层次 风险管理信息系统的安全要求 40 第 40页 第五十七条 企业应确保风险管理信息系统的稳定运行和安全 n 风险管理信息系统安全保障体系应 该是一个在充分分析系统安全风险 因素的基础上，通过制定系统安全 策略和采取先进、科学、适用的 安 全技术 能对系统实施安全防护和监 控，使系统具有灵敏、迅速的恢复 响应和动态调整功能的智能型系统 安全体系； n 其模型可用公式表示为： 系统安全 =风险评估 +安全策略 +防 御体系 +实时检测 +数据恢复 +安全 跟踪 +动态调整 n 风险管理信息系统安全保障体系的 目标是： 网络层 安全、 系统层 安全 和 应用层 安全； n 不同的层次，其安全内容、要求各 有差异，因此，各层次安全保障方 案的制定也应该是不尽相同。 风险管理信息系统 安全保障体系内容 风险管理信息系统 安全保障体系目标 风险管理信息系统安全保障体系 内容与目标 确保风险管理信息系统的安全、稳定 41 第 41页 风险管理信息系统改进的驱动因素 第五十七条 并根据实际需要不断进行改进、完善或更新。 企业战略的调整 管理和服 务 的需求变 化 风险管理 信息系统的调整 技术和管理在不断地 发展 风险管理信息化建设与实施是一个长期的，需要持续改进、不断向前发展的过程。 n 公司的企业战略根据企业的目标和外部环境在不断地调整，所面临的风险会不断变化，管 理和服务对风险管理信息化建设的需求在不断地变化和发展，信息系统也必须做出相应的 调整； n 同时，技术和管理在不断地发展，需要不断持续改进和更新才能保持信息化系统的先进性 ，才能保持信息化的价值能力。 对风险管理信息系统进行持续的改进 42 第 42页 43 第 43页 44 第 44页 欢迎界面 45 第 45页 公司实体界面 46 第 46页 内部控制 47 第 47页 风险评估 48 第 48页 评估表格 49 第 49页 管理层报告 50 第 50页 第五十八条 风险管理信息系统的规划与实施 第五十八条 已建立或基本建立企业管理信息系统的企业，应补充、调整 、更新已有的管理流程和管理程序，建立完善的风险管理信息系统；尚未建 立企业管理信息系统的，应将风险管理与企业各项管理业务流程、管理软件 统一规划、统一设计、统一实施、同步运行。 风险管理系统作为企业整体信息化建设的一部分，需要和企业其它生产、经营系统一 样统一规划，统筹安排。 一般来说，大部分中央企业都已经进行了信息化，很多单位还实施了 ERP系统。仅仅依 靠 ERP系统并不能实现从风险识别、风险分析到风险控制的管理全过程。因此必须将企 业的业务流程和风险管理结合起来在系统上实现，保证系统适应风险防范和管理的新 要求。 重点说明：风险管理信息系统的搭建策略 51 第 51页 数据架构描述了企业的的数据资源，包括数据分类、数据标准、数据分布和 管理、数据使用策略、各类数据与系统应用的关系。良好的数据架构分析和 设计是进行系统设计的基础部分，会直接影响到整个企业系统间的数据分布 与集成问题。 技术架构描述了应用的技术实现方式，包括硬件、软件、网络，从接口定义 、标准和服务等方面进行描述。确保未来的系统服务平台和网络架构平台能 够支持应用的部署和运行。 应用架构主要描述的是支持企业管理的系统之间的关系，包括每个系统的作 用，系统的范围和边界，系统之间的关系与衔接等。应用架构从功能和业务 范围上进行了系统间的界定，明确了不同的关键业务通过不同的应用系统进 行支持，划定了系统内容的功能范围和系统间的功能交流。应用架构的设计 关系到未来各个应用系统所能实现的范围问题，是进行系统分析和设计的基 础。 风险管理信息系统的构建 从构建系统的信息技术角度来看，一个完整的风险管理系统应当主要考虑 应用架构、数据架构、技术架构等。 应用架构 数据架构 技术架构 已建立或基本建立企业管理信息系统的企业，应当在已有系统的基础上，通过改进现有系统流程，建 立完善的风险管理信息系统；尚未建立企业管理信息系统的，应把风险管理融入到企业各软件的建设过程 中。 52 第 52页 内部审计系统构建 53 第 53页 风险系统构建 SAS 数据平台 54 第 54页 风险管理信息系统的选型 风险管理信息系统选型是指建设信息化的企业选择应用系统产品及服务提 供商的过程。选型对企业信息化建设成败起着至关重要的作用。 信息系统选型方法 选型就是要通过招标、评标、商务谈判和合同签订的过程，采用合适的评估手段， 选择合适的风险管理信息系统。 信息系统选型步骤 选型中 （评标） 选型后 （商务谈判、签约） 选型前的准备工作对选 型的成败起着至关重要的 作用。它是明晰需求，确 定招标对象、制定标书的 过程。这一阶段非常重要 的事宜就是针对企业不同 层级的需要，明晰企业的 需求，确定项目范围。 确定评标小组 评标准备 现场听标 典型客户考察 商务谈判入围评选 谈判团队甄选 项目计划沟通和报价分 析 商务谈判 法律条款签订 选型前 （明晰需求、确定标书） 55 第 55页 风险管理信息系统的选型（续） 系统选型的定性因素： n 软件公司 的性质 n 软件公司 的开发能力 n 软件产品 的易用性 n 软件产品 的适应性 n 软件产品 的扩展性 n 软件产品 的升级性 n 软件产品 的生命周期 n 软件产品 的价格体系 系统选型的定量因 素： n 软件 成熟度 n 成功 用户的数量 n 用户 满意度 n 客户 化工作量 n 二次 开发工作量 n 软件 升级周期 n 用户 接受培训的工作 量 56 第 56页 n 风险管理信息系统的实施 n 风险管理信息系统的升级与更新：企业应确保风险管理信息系统的稳定运行和安全，并根据实 际