风险管理信息系统(德勤).ppt

1 第1页 国务院国资委中央企业全面风险管理指引. 2006年8月 第八章 风险管理信息系统 讲座 德勤咨询公司 2 第2页 前言 国务院国资委最近颁发的中央企业全面风险管理指引,是指导 中央企业开展全面风险管理工作，增强企业竞争力，提高投资回报， 促进企业持续、健康、稳定发展的重要文件。 风险管理信息系统是整个全面风险管理体系中的重要组成部分，为 全面风险管理体系中进行风险评估、实施风险管理解决方案、执行风 险管理的基本流程、履行内部控制系统提供必需的技术基础。 指引的第八章 “风险管理信息系统”从第53条至第58条给出 了中央企业建立风险管理信息系统的基本要求。 3 第3页 培训内容 q第一部分：本章概述 q第二部分：逐条讲解 q第三部分：重点回顾 4 第4页 第一部分：本章概述 风险管理基本流程 风险管理信息系统 风险管理信息系统的作 用 风险管理信息系统的实 施与运行 风险管理信息系统的要 求与功能 收集风险管理初始信息 进行风险评估 制定风险管理策略 提出和实施风险管理解决方案 实施风险管理的监督与改进 5 第5页 培训内容 q第一部分：本章概述 q第二部分：逐条讲解 q第三部分：重点回顾 6 第6页 第二部分：逐条讲解 第五十三条信息技术应用于风险管理实践 第五十四条风险管理信息系统保障风险信息量化值的要求 第五十五条风险管理信息系统的功能要求 第五十六条风险管理信息系统应该实现跨部门的集成与共享 第五十七条风险管理信息系统应该确保安全、稳定运行 第五十八条风险管理信息系统的建设与更新 第八章 风险管理信息系统 7 第7页 第五十三条 企业风险管理信息系统的基本流程和内部控制环节 第五十三条 企业应将信息技术应用于风险管理的各项工作，建立涵盖风险管 理基本流程和内部控制系统各环节的风险管理信息系统，包括信息的采集、存储 、加工、分析、测试、传递、报告、披露等。 n根据COSO企业风险 管理框架 的三个维度，企业的目标、全 面风险要素管理方法、企业的 各个层级，风险管理系统就是 使用信息技术手段，实现企业 各个层级风险 要素的信息系统 管理，以达到企业发展目标的 要求。 n由于企业各个层级、各个业务 环境的信息环境十分复杂，就 特别需要借助于风险管理系统 来实现企业的全面风险管理。 n风险管理系统即可以是一个完 整的信息系统，也可以是通过 不同的系统，利用信息技术手 段集成实现全面风险管理的整 体功能。 重点说明：系统必须涵盖风险管理基本流程和内部控制系统各环节 8 第8页 风险管理信息存在于经营管理的各个层次之中 n按照信息使用者的要求和各种业务在经营 管理中的层次，可以把需要企业的管理信 息分为三个层次： n决策控制层层 n日常经营经营 管理层层 n支持体系管理层层 n风险管理系统需要的信息同时存在于这三 个层次当中，因此我们必须要 n把握好信息收集、分析、处处理的范围围、深度 和广度 n充分考虑虑信息管理的全流程化 9 第9页 信息系统的重要性 n是企业风险策略和风险解决方案的重要支撑手段 n是固化风险管理流程、推进全面风险管理的必须工具 n是风险信息收集、输入、加工和输出的载体 n是企业落实风险管理、提升风险管理能力的必经之路 n提供跨组织、跨流程的信息集成和共享平台 n通过系统实现风险的快速预警，及时采取必要的防范措施 n系统能够提供企业风险状况的报告，并且追溯发生的原因 10 第10页 基础是信息系统 数据层 表现层 中间层 分析层 ERP系统/OLTP/数据仓库 中间件/OLAP/BAPI 各种分析模型及软件 报告系统/OA/知识管理 Q财务 Q销售 Q生产 Q日常营运等决策支持 Q各种应用衔接 Q各种数据衔接 Q跨平台操作 Q外部开发与第三方模块衔接等 报告查询 管理决策支持 技术衔接 日常经营、流程管理 风险管理系统 的范畴 11 第11页 风险系统与其它系统 风险展现系统：Risk Wizard， OpRisk，SAS 预算系统：Hyperion Planning，Comshare, Timeline，Cognos 数据挖掘与分析系统：SPSS, SAS，Intelligent Miner 数据EIS：Web Gateway，Decision Lightship 电子商务系统：Commerce One , BoardVision CRM系统：Siebel 公司报告系统：Crystal Report ERP系统：SAP，Oracle，SSA 12 第12页 通过风险管理信息系统加工大量风险信息 n有关风险的信息需要在各层级的组织机构中进行识别、评估并对风险做出 反应，从而来完成企业经营管理目标。一些信息可能被用到一个或多个不同 的目的。 n信息有很多的来源可以分为内部的和外部、定性和定量的，并可以对变化 的环境迅速做出反应。管理的主要挑战是对大量可用信息进行加工的过程。 这种挑战可以用信息系统功能包括来源、获取、处理、分析和报告有关的信 息来解决。 n一些系统提供了对客户交易情况进行持续监督功能， 结合基本的业务工 作流程来减轻每日操作中的风险。保证信息的一致性需要特别注重企业面对 行业变动, 高度创新和快速发展的竞争者, 或重大顾客需求改变。信息系统需 要随着新目标的设定而改变。信息系统不仅要识别和获取必要的财务和非财 务信息，还要及时的处理和报告这些信息，确保对企业经营活动进行有效的 控制 13 第13页 业务驱动 风险管理信息化项目的一个最为典型的错误是将其当作一个技术 项目。为了获取真正的业务收益，系统建设应从业务的角度出发。业务 用户也应直接介入业务战略明晰和业务及信息技术需求分析 关键成功因素业务驱动 14 第14页 风险信息管理的全流程性 商业智能、战略评估、业绩评估、综合分析 信息技术 销售与分销供应内部管理 分销渠道管理 客户关系管理 售后服务 市场营销 供应渠道管理 供应商关系管理 合同管理 内向物流管理 外向物流管理 仓储管理 财务管理 成本控制 资金管理 企业需要对其核心业务流程进行完整的定义，并通过必要的手段（例如信 息技术）进行固化。将企业运作从传统的以部门为核心的方式转为以业务流 程为核心 风险管理 15 第15页 风险信息的结构和处理流程 n在构建企业的风险管理信息系统之前，首先要明确相关风险信息的结构和处理流程，即在企业不同层次 ，不同业务和管理环节的处理办法： 信 息的分 析与测 试 信 息的传 递 信 息的采 集 信 息的存 储 信 息的加 工 风险信息的采集就必须要明确需 要哪些基础信息，这些基础信息 的来源，基础信息的收集频度， 不同基础信息之间的口径差异， 信息的采集流程，技术手段等 信息的存储需要建立良好 的数据架构，解决好数据 标准化和存储技术问题 基础信息需要进行加 工和提炼才能成为可 进行分析的风险信息 分析的内容、层 次、方法和频度 都会是信息分析 环节关注的重点 风险管理系统必须建立良 好的信息传递机制，这种 信息的传递机制应当建立 于风险管理的各个环节中 16 第16页 风险信息系统对风险的展示与披露 n信息的报告与披露：从信息技术角度看，信息的 报告是展现层的工作。一个良好的风险管理信息 系统必须要求能够把风险管理的各个环节情况进 行直观易懂的展示 根据自己的控制水平和能力确定风险控制策略 信息组 风险因素列表影响 风险评估 战略组 经营组 财务组 市场占有 客户关系 环境保护 政策法规 股东关系 品牌声誉 人事组 资金缺口 偿债风险 收益实现 人才流失 道德操守 内部公平 信息滞后 信息缺损 系统安全 12345 5 4 3 2 1 6 8 789 5 4 3 6 5 4 6 7 8 7 65 67 9 10 5 4 3 2 发生可能性 重点控制 适当控制 影响度 17 第17页 运营风险报告框架 支付 与结算 采购资产 管理 贸易 与销售 财务风险 市场风险 运营风险 月度报告 4损失承受能力 4风险指标趋势 4主动的风险管理 4关键的问题 季度报告 4风险状况与问题 周报告 4针对业务线的风险指标报告 运营风险委员会 管理层 业务线 季度报告 4 风险状况与问题 月度报告 4业务定量分析报告概要 月度报告 4风险状况概览 4主要控制问题 4运营风险损失概要 运行风险报告必须联合专注的运营风险评估流程、现有的业务线报告和特别的内部及外部评估 18 第18页 第五十四条 风险信息的一致性、准确性、及时性、可用性和完整性 第五十四条 企业应采取措施确保向风险管理信息系统输入的业务数据和风险量 化值的一致性、准确性、及时性、可用性和完整性。对输入信息系统的数据，未 经批准，不得更改。 n确保信息系统输入业务数 据和风险值 的质量，是风 险管理信息系统的重要基 础。 n安然、世界通讯等公司的 一系列丑闻，使投资者对 在美国上市的公司信息披 露的真实性产生怀疑。随 着萨班斯法案的出台，对 上市公司对外披露信息的 真实性提出了更高的要求 “管理层对财务 信息的 准确性承担刑事责任”，实 施萨班斯法案，将引发企 业从业务流程到技术架构 的一系列变革。 重点说明：风险管理信息系统的数据要求 风险信息 一致性 准确性 及时 性 完整性 可用性 19 第19页 风险信息系统的内部控制 n在风险管理信息系统内部建立严格的人员访问授权、数据接触控制、操作流程规则和职 责体系，以避免信息系统故障，保留IT审计线索，杜绝利用信息技术进行贪污、舞弊的行为 。 批准 决策 审核 报告 数据提供 风险管理委员会 审计委员会 独立第三方 业务单位 财务 业务单位 风险能力中心主管海外风险主管 风险能力中心主管 内部审计经理 合规性经理 运营管理层 内部审计经理 完成风险评估 风险分析和报 告 风险状况评估 风险战略 风险所有者 制定风险标准 20 第20页 实施风险管理信息化的准备工作 n按企业管理层次系统模型的要求，规范企业的业务流程、财务流程和人 力资源流程，形成一套完整的信息系统功能和管理制度表单的文档； n根据企业文化、组织机构和管理方法的要求，对企业从上层管理人员到 一线的工作人员进行全面的管理和工作流程培训； n将信息系统与具体工作流程进行实际演练，通过实践及时修正出现的问 题。 21 第21页 风险信息的保障机制 n信息系统输入数据及风险量化值的准确性、 及时性、完整性，也就是系统外最前端的数据 源的准确也会直接影响到企业控制风险的能力 。 n为保证数据的准确性，企业风险管理信息化 需要首先对企业基础管理工作的流程进行梳理 ，从而确保数据信息的一致性、准确性、及时 性、可用性和完整性。 n为保证风险数据的准确性，要重视风险管理 系统的操作权限与操作规程控制、信息安全与 数据处理流程控制。制定对应控制规则，设计 控制制度和控制程序，并将这些控制程序和控 制参数输入到计算机信息系统内部，形成完整 、严密的面向流程的人机内部控制系统。 录入 流程 共享与使用 操作权限 22 第22页 全球化的信息系统架构 在集团范围内共享所有的信息 两个标准的数据交换层 使用ETL收集和分发相关数据 在线的预警信息服务 一个强势的集团治理架构 按照业务需求建立风险模型 集团内统一流程，企业依照执 行 标准的工具支持流程的运行 公共集中的客户信息管理平台 标准化的客户信用管理工具和客户交易数据系统 所有的交易过程中的风险信息和相关信息都将发送 到中央风险数据库 一个集中的数据库 数据按天收集 按月进行风险计 算 要点 欧洲某大型集团公司的风险管理 技术流程组织 23 第23页 欧洲某大型集团公司的风险管理 企业 中央风险数据库 风险分析工具 风险数据收集 风险数据使用与共享 信用风险 + 市场风险 引擎 参考信息 集团参考信息 客户 产品 组织 风险标志 行为 分类 警报 模型 监控 风险标志 风险标准 企业参考信息 产品管理 建议与批准 集团 标准风险报告 集团比率 产品处理收款管理 市场风险 信息 交换 服务 协议 风 险 信 息 交 换 24 第24页 第五十五条 关于风险管理信息系统的功能要求 n通过风险管理信息系统中的风险库和预警机制全面识别各种风险 风险库的建立；固化流程；标杆和预警 n利用风险管理信息系统实现对风险水平的自动分析、评估和报告 利用风险评级模型进行评估；建立风险对策库；监督和评价风险管理工作及 其效果 重点说明：风险管理信息系统的功能要求 第五十五条 风险管理信息系统应能够进行各种风险的计量和定量分析、定量测试； 能够实时反映风险矩阵和排序频谱、重大风险和重要业务流程的监控状态；能够对 超过风险预警上限的重大风险实施信息报警；能够满足风险管理内部信息报告制度 和企业对外信息披露管理制度的要求。 25 第25页 风险库的建立 系统应支持标准的风险库的建立，比较全面地涵盖企业日常经营所面临的各项主要风险。 可以根据国际风险组织的Risk Map风险模型或是德勤的RiskUniverseTM，结合自身的实际 情况，建立风险模型，作为风险识别、分析和评价的参考标准。 国际风险组织的Risk MapTM风险模型 RiskUniverseTM是德勤开发的风险模型 26 第26页 固化流程，将活动和风险建立映射 企业需要在系统中固化和标准化主要的管理流程和业务流程，确定流程负责人，将每 个流程中的关键活动与风险库建立映射关系。 定义和分类风险 评估可能性和影响 定义风险缓解策略 管理风险 评估风险 合同签署 实施风险缓解策略 如何有效 管理剩余 的风险? 如何对风险 排序并评价 其影响? 如何实施 缓解风险 的策略 ? 如何制定缓解 风险的策略? Change in risk profile 4Reduction of existing risks 4Amplification of existing risks, or introduction of existing ones 4No change 外部业务的 影响如何 ? 正确管理 和评估风险 的方法有 哪些 ? 主要的风险 是什么? 风 险 管 理 流 27 第27页 标杆分析，实施监测 企业通过行业标竿分析、历史数据分析、情景分析等在系统中设定各风险衡量指标的 标准值和合理波动区间，借助信息系统实现风险预警的自动化，实时监测风险指标，及 时发出警报信号，并在规定的时间内通知规定的部门和人员，由其采取相应的措施。 平 台 部件 承认 认证 量产 跟进 评 审 方案 设计 试验 手板 模具 试制 试产 综合 管理 专 利 申 请 策划 和推广 小计 17L6.46 15.04 2.16 0.3 2 8.99 14.40 73.09 6.45 47.29 1.8 2 58.71 234.72 20L6.46 15.04 2.16 0.3 2 9.17 14.40 73.09 6.45 32.44 0.0 0 5.01 164.53 21L7.78 17.51 2.62 0.3 7 11.08 17.35 88.19 7.78 3.25 0.4 2 0.00 156.36 23L8.40 19.45 2.80 0.4 1 11.86 18.66 94.63 8.33 18.36 0.0 0 2.51 185.40 25L6.18 14.36 2.06 0.2 8 8.78 14.10 69.87 6.15 136.40 0.4 2 22.55 281.14 28L29.12 67.92 9.82 1.3 8 41.43 65.05 66.81 29.07 101.38 0.8 4 15.03 427.87 31L3.71 8.64 1.24 0.1 8 5.27 8.26 41.89 3.68 61.02 0.0 0 10.02 143.92 34L9.78 22.79 3.30 0.4 6 13.90 21.84 110.67 9.76 4.09 0.2 8 0.00 196.88 36L2.75 6.40 0.92 0.1 4 3.90 6.14 31.20 2.77 1.15 0.0 0 0.00 55.36 40L13.45 31.41 4.54 0.6 5 19.13 30.11 152.67 13.45 20.49 0.0 0 2.51 288.41 44 O T R 11.00 3.73 3.72 0.5 1 15.67 22.06 124.69 10.99 10.57 0.0 0 0.00 202.94 合 计 105.09 222.28 35.33 5.0 3 149.19 232.38 926.80 104.89 430.46 3.7 7 116.34 2,337.53 28 第28页 利用风险评估模型进行风险评估 首先，在系统中建立风险评估的定性和定量的标准，构建风险评级模型， 综合考虑潜在风险损失和风险发生概率确定风险级别，评估风险水平。 标准 模型 损失和概率 在各项风险的发生可能性与影响程度之间建立起矩阵关系来系统地描述风 险的重要性等级（如高风险、中风险和低风险），识别需要应最优先进行控制 的风险，有效地分配风险管理的资源。 可能性和影响程度 重要性评价 识别优先 风险评估建立对策库监督与评价 29 第29页 建立风险对策库，实现对解决措施的自动提示 企业应首先确定各类主要风险的应对策略，设计相应的应对措施，并对应 到相关的业务流程和管理流程，确定控制节点、控制措施和控制手段，形成统 一的风险管理操作规范，同时在系统中建立风险对策库。 确定策略 设计应对措施 统一操作规范 建立风险对策库 根据风险分析和评估结果，系统可自动识别应采用的基本的风险对策，并 通知相应的流程负责人。 由于各业务板块所涉及的业务工作不同，风险标识各异，在具体预警系 统、管理技术和流程方法上可保持灵活性。 集团设立专门的风险管理部门实施集中化的管理，并授权各业务板块和经 营单位配备相应的风险管理人员，在集团公司的授权范围内开展工作。 风险评估建立对策库监督与评价 30 第30页 利用信息系统监督评价风险管理工作效果 尽管在不同的企业风险管理的方法不尽相同，但在风险管理的目标方面是 一致的。风险管理信息系统的目标是： 查明影响经营战略与业务活动的风险，并按风险大小进行排序； 了解管理层和审计委员会确定的、能够接受的风险水平； 制定并实施降低风险计划，把风险降到可以接受的水平上； 定期对风险和控制进行评估，以降低管理风险； 定期向董事会和管理层报告风险管理过程的结果。 系统必须能够协助企业从上述五个目标的完成情况去评价风险管理的充分 性和有效性。 风险评估建立对策库监督与评价 31 第31页 利用信息系统监督评价风险管理工作的内容 评价组织和行业的发展情况和趋势，确定是否可能存在影响组织的风 险； 检查组织的经营战略，确定组织对风险的接受； 检查管理层、内部和外部审计师，以及有关方面以前发表过的风险评 估报告； 与相关管理层讨论部门的目标，存在的风险，以及管理层采取的降低 风险和加强监控的活动，并评价其有效性； 评价风险监控报告制度是否恰当； 评价风险管理结果报告的充分性和及时性； 评价管理层对风险的分析是否全面，为防止风险而采取的措施是否完 善，建议是否有效； 对管理层的自我评估进行实地观察、直接测试，检查自我评估所依据 的信息是否准确，以及其他审计技术； 评估与风险管理有关的管理薄弱环节，并与管理层、董事会、审计委 员会讨论。 风险评估建立对策库监督与评价 32 第32页 33 第33页 34 第34页 35 第35页 第五十六条 风险管理信息系统要实现信息的集成与共享 第五十六条 风险管理信息系统应实现信息在各职能部门、业务单位之间的集成与共 享，既能满足单项业务风险管理的要求，也能满足企业整体和跨职能部门、业务单 位的风险管理综合要求。 重点说明：风险管理信息系统的跨部门特点 对日常工作流程的管理 对执行结果的管理 的管理 各职能部门 各业务单位 单项业务风险管理层次的要求 跨部门风险管理综合要求 风险管理环节与信息的集成与共享 n从风险管理的层次看，既有对日常工 作流程的管理，也有对执行结果的管理 。显然，“信息孤岛”的产生并不仅是 与软件产品有关，也与管理集成和技术 集成水平有着紧密的关系。 n因此风险管理的环节必须集成，这就 要求信息必须在各职能部门、业务单位 之间的集成与共享，既能满足单项业务 风险管理的要求，也能满足企业整体和 跨职能部门、业务单位的风险管理综合 要求。 36 第36页 一个全球化的信息系统架构 集成开发所有的组件 一个强势的集团治理架构公共的企业业务 流程 主要的困难在于公共信息的管理 （例如当一个错误的企业宣布 自己的流程模板） 共享的集中式的客户信息管理（对于每个公司都作为一个零售客户来管理）： 有且只有一个企业负责 管理客户的“主数据”（客户的唯一标识 ） 每一个在本地的针对 主数据的修改都必须发 送到中央数据库并且同时修改其它机构的数据 集团负责 客户的信用评级 所有企业信贷发生系统发送信用建议和批准通知至信贷建议数据库 所有企业信贷处理系统发送限制、披露和提供数据至信用风险数据库 风险/会计信息调整： 每一个下属企业必须确保风险 和会计信息之间的匹配，任何差异都必须报 告并随风信信息一并上传 在集团层 面控制的目标是确保不存在风险 与会计信息之间的差异 所有的计算都必须通过内部集成的系统上交 要点 欧洲某大型金融机构风险管理示例 技术流程组织 37 第37页 欧洲某大型金融机构风险管理示例 全球信贷建议数据库 全球客户参考信息 全球信贷风险数据库 信贷发生系 统 信贷处理系 统 信贷发生系 统 信贷处理系 统 信贷发生系 统 信贷处理系 统 建议和信贷批准 限制、披露和提供数据 客户 数据 金融企业1金融企业2 金融企业 n 地区(企业层面) 集团层面 建议和信贷批准 建议和信贷批准 限制、披露和提供数据 限制、披露和提供数据 38 第38页 第五十七条 确保风险管理信息系统的安全和稳定，并持续改进 n风险管理信息系统的稳定和安全将直接关系到企业对风险的控制能力，如果处理不好，会 给企业带来巨大损失，严重时，还会制约企业的整体发展； n针对风险管理信息系统的安全内容十分广泛，安全要求各不相同，需要从网络层次、信息 层次、设备层次等分别讨论； n除了要确保风险管理信息系统的稳定及安全外，还要根据企业的发展需要，对风险信管理 信息系统进行改进、完善和更新。 重点说明：风险管理信息系统需要不断改进和完善 第五十七条 企业应确保风险管理信息系统的稳定运行和安全，并根据实际需要不断 进行改进、完善或更新。 39 第39页 n可靠性：即保证网络和信息系统随 时可用，运行过程中不出现故障， 若遇意外打击能够尽量减少损失并 尽快恢复正常； n可控性：即保证营运者对网络和信 息系统有足够的控制和管理能力； n互操作性：即保证协议和系统能够 联接； n可计算性：即保证准确跟踪实体运 行达到审计和识别的目的等 n信息的完整性：即保证信息的来源 、去向、内容真实无误； n保密性：即信息不会被非法泄露扩 散； n不可否认性：即保证信息的发送和 接收者无法否认自己所做过的操作 行为等 网络层次信息层次 风险管理信息系统的安全要求 40 第40页 第五十七条 企业应确保风险管理信息系统的稳定运行和安全 n风险管理信息系统安全保障体系应 该是一个在充分分析系统安全风险 因素的基础上，通过制定系统安全 策略和采取先进、科学、适用的安 全技术能对系统实施安全防护和监 控，使系统具有灵敏、迅速的恢复 响应和动态调整功能的智能型系统 安全体系； n其模型可用公式表示为： 系统安全=风险评估+安全策略+防 御体系+实时检测+数据恢复+安全 跟踪+动态调整 n风险管理信息系统安全保障体系的 目标是：网络层安全、系统层安全 和应用层安全； n不同的层次，其安全内容、要求各 有差异，因此，各层次安全保障方 案的制定也应该是不尽相同。 风险管理信息系统 安全保障体系内容 风险管理信息系统 安全保障体系目标 风险管理信息系统安全保障体系内容与目标 确保风险管理信息系统的安全、稳定 41 第41页 风险管理信息系统改进的驱动因素 第五十七条 并根据实际需要不断进行改进、完善或更新。 企业战略的调整 管理和服 务 的需求变 化 风险管理 信息系统的调整 技术和管理在不断地 发展 风险管理信息化建设与实施是一个长期的，需要持续改进、不断向前发展的过程。 n公司的企业战略根据企业的目标和外部环境在不断地调整，所面临的风险会不断变化，管 理和服务对风险管理信息化建设的需求在不断地变化和发展，信息系统也必须做出相应的 调整； n同时，技术和管理在不断地发展，需要不断持续改进和更新才能保持信息化系统的先进性 ，才能保持信息化的价值能力。 对风险管理信息系统进行持续的改进 42 第42页 43 第43页 44 第44页 欢迎界面 45 第45页 公司实体界面 46 第46页 内部控制 47 第47页 风险评估 48 第48页 评估表格 49 第49页 管理层报告 50 第50页 第五十八条 风险管理信息系统的规划与实施 第五十八条 已建立或基本建立企业管理信息系统的企业，应补充、调整 、更新已有的管理流程和管理程序，建立完善的风险管理信息系统；尚未建 立企业管理信息系统的，应将风险管理与企业各项管理业务流程、管理软件 统一规划、统一设计、统一实施、同步运行。 风险管理系统作为企业整体信息化建设的一部分，需要和企业其它生产、经营系统一 样统一规划，统筹安排。 一般来说，大部分中央企业都已经进行了信息化，很多单位还实施了ERP系统。仅仅依 靠ERP系统并不能实现从风险识别、风险分析到风险控制的管理全过程。因此必须将企 业的业务流程和风险管理结合起来在系统上实现，保证系统适应风险防范和管理的新 要求。 重点说明：风险管理信息系统的搭建策略 51 第51页 数据架构描述了企业的的数据资源，包括数据分类、数据标准、数据分布和 管理、数据使用策略、各类数据与系统应用的关系。良好的数据架构分析和 设计是进行系统设计的基础部分，会直接影响到整个企业系统间的数据分布 与集成问题。 技术架构描述了应用的技术实现方式，包括硬件、软件、网络，从接口定义 、标准和服务等方面进行描述。确保未来的系统服务平台和网络架构平台能 够支持应用的部署和运行。 应用架构主要描述的是支持企业管理的系统之间的关系，包括每个系统的作 用，系统的范围和边界，系统之间的关系与衔接等。应用架构从功能和业务 范围上进行了系统间的界定，明确了不同的关键业务通过不同的应用系统进 行支持，划定了系统内容的功能范围和系统间的功能交流。应用架构的设计 关系到未来各个应用系统所能实现的范围问题，是进行系统分析和设计的基 础。 风险管理信息系统的构建 从构建系统的信息技术角度来看，一个完整的风险管理系统应当主要考虑 应用架构、数据架构、技术架构等。 应用架构 数据架构 技术架构 已建立或基本建立企业管理信息系统的企业，应当在已有系统的基础上，通过改进现有系统流程，建 立完善的风险管理信息系统；尚未建立企业管理信息系统的，应把风险管理融入到企业各软件的建设过程 中。 52 第52页 内部审计系统构建 53 第53页 风险系统构建SAS 数据平台 54 第54页 风险管理信息系统的选型 风险管理信息系统选型是指建设信息化的企业选择应用系统产品及服务提 供商的过程。选型对企业信息化建设成败起着至关重要的作用。 信息系统选型方法 选型就是要通过招标、评标、商务谈判和合同签订的过程，采用合适的评估手段， 选择合适的风险管理信息系统。 信息系统选型步骤 选型中 （评标） 选型后 （商务谈判、签约） 选型前的准备工作对选 型的成败起着至关重要的 作用。它是明晰需求，确 定招标对象、制定标书的 过程。这一阶段非常重要 的事宜就是针对企业不同 层级的需要，明晰企业的 需求，确定项目范围。 确定评标小组 评标准备 现场听标 典型客户考察 商务谈判入围评选 谈判团队甄选 项目计划沟通和报价分 析 商务谈判 法律条款签订 选型前 （明晰需求、确定标书） 55 第55页 风险管理信息系统的选型（续） 系统选型的定性因素： n软件公司 的性质 n软件公司 的开发能力 n软件产品 的易用性 n软件产品 的适应性 n软件产品 的扩展性 n软件产品 的升级性 n软件产品 的生命周期 n软件产品 的价格体系 系统选型的定量因 素： n软件 成熟度 n成功 用户的数量 n用户 满意度 n客户 化工作量 n二次 开发工作量 n软件 升级周期 n用户 接受培训的工作 量 56 第56页 n风险管理信息系统的实施 n风险管理信息系统的升级与更新：企业应确保风险管理信息系统的稳定运行和安全，并根据实 际需要不断进行改进、完善或更新。 风险管理信息系统的实施与升