新商业风险管理(ppt 22页).ppt

新商业风险管理 信息技术对企业商务的影响 随着网络经济的发展 电子商务的应用 越来越多的公司应用信息技术 并将它们整合到日常的商务流程中去 使信息技术对整个的公司的发展起重要的作用 信息技术对企业商务重要的影响有如下几点 企业的发展战略 战术决策 企业产品和服务的设计 企业成本管理 企业员工的雇用 技能的培养 企业文化 信息的共享 企业的客户服务 企业供应商与合作伙伴的供应链管理 信息技术带来新商业风险 企业在投资和应用信息技术的过程中 除了得到效益外 也产生了新的商业风险 所以企业都必须注意投资和应用信息技术时的风险管理 例如 电子商务交易过程中 可以从电子数据交换系统 EDI 电子资金调拨系统 EFT 销售点系统 POS 等系统中获得商业上的各种数据 对这些数据的分析可获得市场分布 人口地理学 产品分销 资金结算等等资料 这些资料都是企业战略制定和业务管理的关键 如果这些电子商务系统出现障碍 即使是POS系统或超市的条码扫描系统出现故障 也会使企业的战略实施和业务管理难以进行 给企业商务带来不良的后果 这就是一种网络经济中出现的新的风险 信息技术的商业风险 新商业风险管理的基本内容 管理知识 提高企业内部对信息技术风险管理的意识 掌握新商业风险管理知识 管理方案 从整个行业出发来分析企业风险 形成风险管理方案 商务整合 将企业商务战略与信息技术战略整合在一起 形成企业的整体战略 这对信息技术风险管理的成功是非常关键的 如果没有进行商务整合 那么 要确认业务程序与信息技术使用中所产生的业务风险之间的联系将会很困难 必须把信息技术风险看成商业风险就必须进行商务整合 将商业风险管理扩展到企业各个部门内 从而促使所有的雇员对风险管理负责并了解无效技术管理的危害 所以 商务整合对进行完整的 综合的风险管理框架起着重要作用 包括了信息技术相关风险的分析和传统意义上的业务风险的分析 测量评估 对信息技术的作用进行测量 评估 信息技术对核心业务的影响不断增强 信息技术在当今的商业核心业务中处于关键地位 要对信息技术在企业流程中的作用进行必要测量 风险转移 在企业接受现有水平的风险 调整产品和服务的价格以补偿风险损失 进行风险转移 例如 购买保险之前应具备一套适当的 正式的程序来识别和探究信息技术相关风险来源 通过制定和实施风险管理程序 将风险降低到可以承受的水平 重点管理 把握特定类型的新商业风险的管理 主要有以下三种类型 综合性风险 指数据未经批准使用或不完整或不准确而变得不可靠所造成的风险 获得性风险 指不能及时获得所需信息而导致的风险 相关性风险 指无论是自身建立的信息还是由应用系统总结出的信息 都不适用或者不及时而带来的风险 网络安全管理 网络安全也构成新商业风险 例如 通过网络侵入企业系统的计算机 黑客 和计算机病毒 会破坏客户服务系统或导致信息失真甚至全部丢失 分配计算 借助于客户 服务网络进行的信息管理 使信息可以在一定范围内传播 但是 分配计算也给企业安全性带来了风险 一般在同一条网络上的信息所有者并非只有一个 一些信息对企业相当敏感 所以对客户 服务环境的有效管理就显得很重要 新商业风险主要类型 完整性凤险这种风险大多来自应用系统 应用系统可对商业数据的输入 处理 归纳和贮存等 当系统障碍时 就可能造成数据未经授权被使用或数据不完整 不准确而造成风险 接入风险接入网络时 数据或信息存取不当而导致风险 这种风险来自网络和电子商务的不断发展 由于黑客和电子欺诈行为的存在 人们要保护自己的系统免受侵扰 人们就必须设法保护电话线路 网络缆线和计算机 以便尽力对数据和信息进行保密 存取风险可能由于不合理的责任分工造成的风险 如 未经授权的人进入数据库带来了风险 或违反信息保密性法律规则引起的相关风险 基础设施风险指企业不具备完整的信息技术基础设施而造成的风险 这种基础设施是指能够以低成本 高效率的方式 构建信息技术的商业应用模式 它包括信息技术基础 信息技术基础设施主要包括以下几部分 硬件 网络 软件 人员 程序 系统的完整性是要保证定义 开发 维护和运作处理信息环境和应用系统正常运作所必备 所以它对商业运作产生的影响最大 存在风险也最大 获得性风险 这是指企业在获得数据时的风险 如破坏者们经常利用邮件轰炸来阻碍服务 或者对服务系统提出虚假请求 这给提供服务带风险 金融服务业是典型的依赖于准确 及时信息而运作的行业 在这方面的风险较大 所以企业要有一个有效的方式来管理价格风险 流动性风险和信用风险 必须具备特定的系统 这种系统要使需求者对所需信息实时可用 随时可得 并能进行评价 一 完整性凤险 Integrityrisk 完整性凤险大多来自应用系统 应用系统可对商业数据的输入 处理 归纳和贮存等 当系统障碍时 就可能造成数据未经授权被使用或数据不完整 不准确而造成风险 它主要在系统以下部分表现出来 用户界面 Userinterface 必须给予正确的设定 有足够的限定 以确保只有有效的数据才能进入系统 并且这些数据是完整的 处理 Processing 使系统有能力控制处理各种数据 以确保数据的处理完整性和及时性 病毒使系统对数据处理的完整性造成特别威胁 这类威胁能对关键业务程序造成巨大的冲击 对错误处理 ErrorProcessing 系统应用适当的程序和其他系统方法来确保任何进入系统的数据都受到检测 并已作了修正 可以准确地 完整地和及时地处理错误数据 对错误数据的检测在金融业显得十分重要 界面 Interface 应有系统预警显示 以确保各种数据的准确完整地传输 变化处理 ChangeManagement 对变化有处理能力的流程 通过这些流程 应用系统的任何改变均能传输并予以实行 数据 Data 数据管理和控制 既包括处理数据的安全和完整 也包括对数据库和数据结构的有效管理 数据的完整性可能会因为程序错误引起 如对数据用不正确的程序来处理 或发生管理程序错误 二 接入风险 Accessrisk 接入风险是指接入网络时 数据或信息存取不当而导致风险 这种风险来自网络和电子商务的不断发展 由于黑客和电子欺诈行为的存在 人们要保护自己的系统免受侵扰 人们就必须设法保护电话线路 网络缆线和计算机 以便尽力对数据和信息进行保密 存取风险可能由于不合理的责任分工造成的风险 如 未经授权的人进入数据库带来了风险 或违反信息保密性法律规则引起的相关风险 业务流程 BusinessProcess 企业确定某一业务流程和流程运作方式 应用软件 Application 采用相应的应用软件 给用户提供完成工作所需要的安全的接入方式 并限制对安全有破坏的接入 如欺骗行为 避免由于员工接触过多的信息导致对数据意外或无意的改动 数据和数据管理 Dataandmanagement 为用户提供接入特殊数据或数据库通路的网络环境 流程的环境 Processingenvironment 一般指不恰当地进人主计算机业务流程处理环境和获取该环境中储存的程序和数据 网络 Network 接入网络联系用户和流程环境 接入风险是由于不恰当地进入网络本身的风险所导致的 硬件设备 Physical 保护设备不受破坏 偷窃或不恰当地接触 三 基础设施风险 infrastructurerisk 基础设施风险指企业不具备完整的信息技术基础设施而造成的风险 信息技术基础设施主要包括以下几部分 硬件 网络 软件 人员 程序 系统的完整性是要保证定义 开发 维护和运作处理信息环境和应用系统正常运作所必备 所以它对商业运作产生的影响最大 存在风险也最大 基础设施风险有下列内容 组织计划 OrganisationPlanning 基础设施对在商业流程中所采用的信息技术进行清楚地界定和阐述 确保企业经理层对信息技术的应用计划有足够的支持 并有充足的人才和流程计划 以确保系统实施的成功 应用系统的定义和开发 Applicationsystemsdefinitionanddeployment 基础设施要保证应用系统满足业务和用户的需要 就必须决定购买整个应用系统解决方案 还是按用客需求开发新的解决方案 应确保应用系统的所有变动应遵守一定的结构 以确保与关键控制点保持连续性和一致性 例如 典型的结构要求所有变化必须在事前被用户所验证和通过 逻辑安全和安全管理 Logicalsecurityandsecurityadministration 基础设施应确保企业足以应付接入风险 要建立 维护和监督内部安全综合系统 该系统在数据和信息的完整性和保密性方面要符合管理层的政策 计算机和网络操作 Computerandnetworkoperations 基础设施应确保信息系统和相关的网络环境是在管理层的政策下 在安全和受保护的环境下运作 计算机操作人员对信息处理的责任 应该是被明确界定 衡量和监督 通常计算机技术人员作出的主动性行为 也可衡量与监视计算机和网络运行 确保系统为用户提供满意的 持续的支持 数据和数据管理 Dataanddatabasemanagement 基础设施应确保那些用于支持应用系统和终端报告所需要的数据和数据库 既有相互的内部统一性 又有定义的连贯性 可满足企业商务需要和减少潜在的闲置 核心业务数据恢复 Businessdatacenterrecovery 基础设施应确保企业中各种核心业务数据的灾难性恢复 以确保商业计划的充分实施 保证满足用户在需要时可得到相关和技术支持 四 获得性风险 Availabilityrisk 获得性风险是指企业在获得数据时的风险 如破坏者们经常利用邮件轰炸来阻碍服务 或者对服务系统提出虚假请求 这给网络用户提供服务带来了一种危险 金融服务业是典型的依赖于准确 及时信息而运作的行业 在这方面的风险较大 所以企业要有一个有效的方式来管理价格风险 流动性风险和信用风险 必须具备特定的系统 这种系统要使需求者对所需信息实时可用 随时可得 并能进行评价 这种系统应当严格控制数据 防止未经授权的存取改变数据 获得性风险表现在如下三个方面 通过事先对行为的监督和对系统问题的解决 都能够避免此类的风险 如 硬盘的存储能力对信息系统来说是很重要的 这可以不断地予以监督确保它足以支持企业商务流程的运作 获得性风险与系统的短期中断有关联 对此可运用备份和恢复技术使中断影响的范围最小化 如 大多数企业已经认识到每天至少一次对关键数据进行备份的重要性 这样在处理过程中丢失数据的影响能被控制在上一个备份以后的数据投入的范围内 获得性风险与信息处理过程长时间中断有关联 其重点是诸如备份与应急计划等控制手段 五 其他与商务相关的风险 Otherbusinessrisks 信息策略与商务策略整合后 还产生了一些与此相关的风险 这也是作为风险管理应加以注意的部分 因为它们可能对企业商务产生不利的影响 正确性风险 Validityrisk 企业应用系统建立必须合适本企业状况 这种风险包括决策过程中所需信息是否正确性的风险 除此之外还直接涉及到经营运行过程中的信息的正确性风险 如 企业员工不能及时性获得所需要的正确信息的风险 正确性风险问题对金融服务业也及为重要 例如 银行机构通过实时系统运用利息率和风险报告等工具来监控它们的利率波动的风险 如果时间不准确 那么 这些工具所提供的信息就毫无用处 另外信息技术系统提供的管理方面的数据报告 如果不准确 可能导致领导者的决策失误 效率风险 Efficiencyrisk 对应用程序的选择应有效率性 可能有一些程序不能满足客户的需求 如果把技术引人到商务流程中去 而又不能产生出效率 就没有意义 所以规划应考虑到效率的风险 企业系统基础设施应包括商业策略保持一致的信息技术策略 对信息技术策略与商业策略的整合应很明确 以实现管理层的商业目标 周期性风险 Cycletimerisk 这是指商务活动的周期性 如果商务周期性过长 如供应链过长导致商务周期性过长 这样企业效益就会受影响 信息技术策略应用到商务流程中去 应促使商务周期性缩短 但是 在具体实施过程中 可能由于信息技术基础设施不足 或由于系统原因 使商务周期性的延长 达不到原来所希望的商务目标 采用信息技术在商业流程中 对周期性问题应当事先考虑清楚 报废凤险 Obsolescencerisk 企业库存常常是由信息技术系统来管理 为了有效地管理库存和避免报废或过剩 业务上要求数据的完整性 准确性 及时性 由于系统的问题可能影响数据的正确传输 引起库存的报废 这也是信息系统的风险之一 业务中断风险 Businessinterruptionrisk 企业的业务有一个连续的过程 应用软件的操作主要依赖于信息系统 因此 信息系统的应急计划应是整个商业延续计划的一部分 灾难恢复计划应该是商业计划的一部分 以避免业务中断的风险 产品失败风险 Productfailrisk 正确的产品信息来自企业内部网和信息系统 如果一个企业监督和记录次品数据不准确 就可能造成产品的失败 在应用信息系统控制生产流程时 这方面的风险应给予足够的重视 另外 产品销售的反馈信息 企业能发现用户对产品的意见 通过获得这类信息 企业因此可以管理产品失败风险 以及有关顾客服务和声誉的风险 如何管理新商业风险 有效的商业风险管理并非仅为一种职能 更是一个过程 所以 只有在商业风险范围内对采用信息技术后的企业进行风险管理 才能有效地回避新商业风险 这里有两个关键点值得注意 在信息时代的复杂商业环境中 任何一家电子化企业要想获得成功 都必须构造一幅清晰的关于识别 衡量 控制与监测所有类型风险的行车图 有效的风险管理并不只是一种职能 还是一个过程 是一个识别和管理所有潜在重大风险的过程 它涵盖了所有的企业商务活动以及各层次的企业组织 主要内容 商业风险管理程序新商业IT风险管理要素 战略规划配置管理流程监测技术结构的界定管理框架 一 商业风险管理程序 为了识别 衡量 控制与监测风险 企业需要有一套恰当的风险管理程序 它包括了六个步骤 确立管理目的和目标 根据企业的市场目标 确定商业风险承受限度 评估商业风险 识别导致风险的主要因素 这些因素对业务的成功至关重要 研究风险的来源 判断风险是来自企业外部 还是企业内部的商务运作过程 衡量风险的重要性的程度以及发生的可能性 制定商业风险管理战略 风险管理战略必须确定风险位置和责任 以便制定和实施相应的管理与控制程序 风险管理战略有可选性 包括 回避不可承受的风险 转嫁风险通过购买保险 与其他企业结成战略同盟 共同投资 与独立的当事人签订契约性风险分担协议等途径 接受现有水平下的风险 即自我保险 接受风险 通过各种监控手段将风险降低到一个可接受的程度 可接受度是管理中的风险限度所确定的 设置并实施风险控制程序 确保合适的员工设置和实施风险控制程序 每一道风险承受能力的程序都必须符合企业管理者规定的风险承受度 监测商业风险管理程序实施效果 监测风险控制程序实施的效果 对于企业达到市场目标 企业战略具有关键意义 可由企业中高级经理实施监测 由程序和业务的操作者具体实施 改善商业风险管理程序 见下页 接上页 改善商业风险管理程序 在实施风险管理过程中 不断完善风险管理程序 通过监测确定在管理过程中出现的不足 以及商业环境变化而需要相应地调整风险管理程序 采用这种不断更新 不断完善的思想是极为重要的 在电子化企业中 在电子商务的过程中 应用信息技术所产生的风险就是一种商业风险 所以 应该把这种当作商业风险的一部分来进行评估 采用一种综合的方案来进行风险管理 就是要领导者识别上面所述的企业应用信息技术时产生新的商业风险 并将这种风险与整体商业风险结合起来考虑 建立一个适合本企业的风险管理程序 例如 一个公司的程序如下 提供一种领导机制 并由上级部门确定风险管理的基调 为整体风险管理进行资源配置 建立风险管理框架和总体规划 确定目标限度及个人责任 确认标准会计分类和业务损失 建立风险度量系统和早期预警指示 将风险控制管理状况与奖励机制相联系 从以上可以看出这个公司不仅具备一套整体性的风险管理方案 而且还掌握了风险管理中具有关键作用的因素 包括 高素质的领导才能 个人责任 标准的界定以及业绩的监测等 借助于预警程序和高级经理部门的参与 信诚公司将这种商业风险管理推广到业务运行的各个层次 确保了整个公司内部信用的连贯性 如图所示 新商业风险管理程序 见下页 新商业风险管理程序图解 二 新商业风险管理框架 安达信公司的提供了一个信息技术风险管理框架 可作为电子化企业引入IT技术时 制定总体风险管理战略的特殊结构 风险控制程序既有对经济环境的风险普遍性适用 也适用特定环境下风险的特殊性 例如 电子商务要求交易双方采用CA认证 这是控制风险的普遍性的要求 对于特殊的风险控制 可以用软件加密 防止密码泄露 电子签名等 从而防止未经授权的接入风险 商业风险控制以信息系统做预防性的控制最为有效 当系统设置好后 要比人工控制的效果要好的多 见下图 信息技术风险管理框架图解 一 战略规划 企业电子商务总体战略 应包括信息技术风险管理战略和政策的制定 它应包括企业信息风险管理的内容 应说明战略实施 相关人员责任界定 同时它也是企业商务流程 应用程序设定基础 企业中任何一个标准 方针 方案都在这个基础上设立 这些标准 方针 方案能够详细阐明某一程序如何运行 例如 系统安全问题 有关政策就可以这样规定 所有的用户都必须经过授权 使用用户身份认证和特定密码 这个规定加上一些具体的细则 来保证企业用户在授权下许可进入系统 风险管理战略和政策的制定包括如下内容 程序 1 企业知识资产保护程序 2 新技术评估策略 3 信息技术相关凤险的评估 管理和监测责任 4 传达信息技术和相关风险 指定共同商业风险语言 应用 1 系统更新生命周期的标准 2 设计与购买软件的决策 数据管理 1 数据所有权 2 数据库的设计和管理 3 专有数据的使用与保护 4 员工 客户及其他人员所拥有数据使用与保护 平台 1 支持硬件和软件平台的各项标准 2 确定平台规划 设计 支持与保险的责任 网络 1 经授权的卖方与服务 产品规格 2 网络规划 设计支持与保险的责任 实际设施 1 确定信息处理地点和设备的所有者责任 2 电脑和业务范围外信息内容的保护 3 政策的维护与支持 政策制定还应包括一些保证政策得到落实的一些程序训练和培养人才程序对计算机和网络技术结构进行管理的程序 对应用系统或技术环境变化进行管理的程序 增加 改变或删除用户进入系统的程序 利用辅助平台等支持用户的程序 制订和检验业务持续性计划的程序 任何商业风险 如果是系统中的一个或多个层次时 就必须制定相应的策略主动地采取相应程序进行有效的管理 二 系统配置的管理 由于信息技术的不断发展 新技术不断出现 企业要根据需要 不断升级系统程序 采用最新的信息技术集成到现有流程中 以保证企业战略目标和政策的持续性 这样才能确保相关商务风险的控制 统配置包括如下内容 程序信息技术风险预警方案新雇员在信息技术风险中的地位及职责商业持续性计划和关键业务流程的退出方案应用新系统应用中的用户定位程序批准并实施应用系统转变的权利界定数据管理数据库改革的程序与责任显示 训练和维持数据存储与数据开发系统事态监测平台促使用户转用标准平台的程序文本控制管理程序和软件更新 分配程序制定保持和检测复苏计划的程序进入控制管理程序与任务网络网络结构 运行及安全性管理的程序实际设施信息技术设备工作地点的安全结构必要的能源设施和环境控制设施的安置 三 流程监测系统 动态监测系统是用来识别企业