风险管理信息系统(德勤).ppt

1、国务院国资委中央企业全面风险管理指引.,2006年8月,第八章 风险管理信息系统 讲座,德勤咨询公司,前言,国务院国资委最近颁发的中央企业全面风险管理指引,是指导中央企业开展全面风险管理工作，增强企业竞争力，提高投资回报，促进企业持续、健康、稳定发展的重要文件。 风险管理信息系统是整个全面风险管理体系中的重要组成部分，为全面风险管理体系中进行风险评估、实施风险管理解决方案、执行风险管理的基本流程、履行内部控制系统提供必需的技术基础。 指引的第八章 “风险管理信息系统”从第53条至第58条给出了中央企业建立风险管理信息系统的基本要求。,培训内容,第一部分：本章概述 第二部分：逐条讲解 第三部分：

2、重点回顾,第一部分：本章概述,风险管理基本流程,风险管理信息系统,风险管理信息系统的作用,风险管理信息系统的实施与运行,风险管理信息系统的要求与功能,收集风险管理初始信息 进行风险评估 制定风险管理策略 提出和实施风险管理解决方案 实施风险管理的监督与改进,培训内容,第一部分：本章概述 第二部分：逐条讲解 第三部分：重点回顾,第二部分：逐条讲解,第五十三条信息技术应用于风险管理实践 第五十四条风险管理信息系统保障风险信息量化值的要求 第五十五条风险管理信息系统的功能要求 第五十六条风险管理信息系统应该实现跨部门的集成与共享 第五十七条风险管理信息系统应该确保安全、稳定运行 第五十八条风险管理信

3、息系统的建设与更新,第八章 风险管理信息系统,第五十三条 企业风险管理信息系统的基本流程和内部控制环节,第五十三条 企业应将信息技术应用于风险管理的各项工作，建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统，包括信息的采集、存储、加工、分析、测试、传递、报告、披露等。,根据COSO企业风险管理框架的三个维度，企业的目标、全面风险要素管理方法、企业的各个层级，风险管理系统就是使用信息技术手段，实现企业各个层级风险要素的信息系统管理，以达到企业发展目标的要求。 由于企业各个层级、各个业务环境的信息环境十分复杂，就特别需要借助于风险管理系统来实现企业的全面风险管理。 风险管理系统即可以

4、是一个完整的信息系统，也可以是通过不同的系统，利用信息技术手段集成实现全面风险管理的整体功能。,重点说明：系统必须涵盖风险管理基本流程和内部控制系统各环节,风险管理信息存在于经营管理的各个层次之中,按照信息使用者的要求和各种业务在经营管理中的层次，可以把需要企业的管理信息分为三个层次： 决策控制层 日常经营管理层 支持体系管理层 风险管理系统需要的信息同时存在于这三个层次当中，因此我们必须要 把握好信息收集、分析、处理的范围、深度和广度 充分考虑信息管理的全流程化,信息系统的重要性,是企业风险策略和风险解决方案的重要支撑手段 是固化风险管理流程、推进全面风险管理的必须工具 是风险信息收集、输入

5、、加工和输出的载体 是企业落实风险管理、提升风险管理能力的必经之路 提供跨组织、跨流程的信息集成和共享平台 通过系统实现风险的快速预警，及时采取必要的防范措施 系统能够提供企业风险状况的报告，并且追溯发生的原因,基础是信息系统,ERP系统/OLTP/数据仓库,中间件/OLAP/BAPI,各种分析模型及软件,报告系统/OA/知识管理,财务 销售 生产 日常营运等决策支持,各种应用衔接 各种数据衔接 跨平台操作 外部开发与第三方模块衔接等,报告查询,管理决策支持,技术衔接,日常经营、流程管理,风险管理系统的范畴,风险系统与其它系统,风险展现系统：Risk Wizard， OpRisk，SAS 预算

6、系统：Hyperion Planning，Comshare, Timeline，Cognos 数据挖掘与分析系统：SPSS, SAS，Intelligent Miner 数据EIS：Web Gateway，Decision Lightship 电子商务系统：Commerce One , BoardVision CRM系统：Siebel 公司报告系统：Crystal Report ERP系统：SAP，Oracle，SSA,通过风险管理信息系统加工大量风险信息,有关风险的信息需要在各层级的组织机构中进行识别、评估并对风险做出反应，从而来完成企业经营管理目标。一些信息可能被用到一个或多个不同的目的。

7、 信息有很多的来源可以分为内部的和外部、定性和定量的，并可以对变化的环境迅速做出反应。管理的主要挑战是对大量可用信息进行加工的过程。这种挑战可以用信息系统功能包括来源、获取、处理、分析和报告有关的信息来解决。 一些系统提供了对客户交易情况进行持续监督功能， 结合基本的业务工作流程来减轻每日操作中的风险。保证信息的一致性需要特别注重企业面对行业变动, 高度创新和快速发展的竞争者, 或重大顾客需求改变。信息系统需要随着新目标的设定而改变。信息系统不仅要识别和获取必要的财务和非财务信息，还要及时的处理和报告这些信息，确保对企业经营活动进行有效的控制,业务驱动 风险管理信息化项目的一个最为典型的错误是

8、将其当作一个技术项目。为了获取真正的业务收益，系统建设应从业务的角度出发。业务用户也应直接介入业务战略明晰和业务及信息技术需求分析,关键成功因素业务驱动,风险信息管理的全流程性,商业智能、战略评估、业绩评估、综合分析,信息技术,销售与分销,供应,内部管理,分销渠道管理,客户关系管理,售后服务,市场营销,供应渠道管理,供应商关系管理,合同管理,内向物流管理,外向物流管理,仓储管理,财务管理,成本控制,资金管理,企业需要对其核心业务流程进行完整的定义，并通过必要的手段（例如信息技术）进行固化。将企业运作从传统的以部门为核心的方式转为以业务流程为核心,风险管理,风险信息的结构和处理流程,在构建企业的

9、风险管理信息系统之前，首先要明确相关风险信息的结构和处理流程，即在企业不同层次，不同业务和管理环节的处理办法：,信息的分析与测试,信息的传递,信息的采集,信息的存储,信息的加工,风险信息的采集就必须要明确需要哪些基础信息，这些基础信息的来源，基础信息的收集频度，不同基础信息之间的口径差异，信息的采集流程，技术手段等,信息的存储需要建立良好的数据架构，解决好数据标准化和存储技术问题,基础信息需要进行加工和提炼才能成为可进行分析的风险信息,分析的内容、层次、方法和频度都会是信息分析环节关注的重点,风险管理系统必须建立良好的信息传递机制，这种信息的传递机制应当建立于风险管理的各个环节中,风险信息系统

10、对风险的展示与披露,信息的报告与披露：从信息技术角度看，信息的报告是展现层的工作。一个良好的风险管理信息系统必须要求能够把风险管理的各个环节情况进行直观易懂的展示,根据自己的控制水平和能力确定风险控制策略,风险因素列表,影响,风险评估,经营组,财务组,市场占有 客户关系 环境保护,政策法规 股东关系 品牌声誉,人事组,资金缺口 偿债风险 收益实现,人才流失 道德操守 内部公平,信息滞后 信息缺损 系统安全,12345,5 4 3 2 1,6,8,7,8,9,5,4,3,6,5,4,6,7,8,7,6,5,6,7,9,10,5,4,3,2,发生可能性,重点控制,适当控制,影响度,运营风险报告框架

11、,支付 与结算,采购,资产 管理,贸易 与销售,财务风险 市场风险 运营风险,月度报告 损失承受能力 风险指标趋势 主动的风险管理 关键的问题 季度报告 风险状况与问题,周报告 针对业务线的风险指标报告,季度报告 风险状况与问题 月度报告 业务定量分析报告概要,月度报告 风险状况概览 主要控制问题 运营风险损失概要,运行风险报告必须联合专注的运营风险评估流程、现有的业务线报告和特别的内部及外部评估,第五十四条 风险信息的一致性、准确性、及时性、可用性和完整性,第五十四条 企业应采取措施确保向风险管理信息系统输入的业务数据和风险量化值的一致性、准确性、及时性、可用性和完整性。对输入信息系统的数据

12、，未经批准，不得更改。,确保信息系统输入业务数据和风险值的质量，是风险管理信息系统的重要基础。 安然、世界通讯等公司的一系列丑闻，使投资者对在美国上市的公司信息披露的真实性产生怀疑。随着萨班斯法案的出台，对上市公司对外披露信息的真实性提出了更高的要求“管理层对财务信息的准确性承担刑事责任”，实施萨班斯法案，将引发企业从业务流程到技术架构的一系列变革。,重点说明：风险管理信息系统的数据要求,风险信息系统的内部控制,在风险管理信息系统内部建立严格的人员访问授权、数据接触控制、操作流程规则和职责体系，以避免信息系统故障，保留IT审计线索，杜绝利用信息技术进行贪污、舞弊的行为。,风险管理委员会,审计委

13、员会,独立第三方,业务单位,风险能力中心主管,海外风险主管,风险能力中心主管,内部审计经理,合规性经理,运营管理层,内部审计经理,完成风险评估,风险分析和报告,风险状况评估,风险战略,风险所有者,制定风险标准,实施风险管理信息化的准备工作,按企业管理层次系统模型的要求，规范企业的业务流程、财务流程和人力资源流程，形成一套完整的信息系统功能和管理制度表单的文档； 根据企业文化、组织机构和管理方法的要求，对企业从上层管理人员到一线的工作人员进行全面的管理和工作流程培训； 将信息系统与具体工作流程进行实际演练，通过实践及时修正出现的问题。,风险信息的保障机制,信息系统输入数据及风险量化值的准确性、及

14、时性、完整性，也就是系统外最前端的数据源的准确也会直接影响到企业控制风险的能力。 为保证数据的准确性，企业风险管理信息化需要首先对企业基础管理工作的流程进行梳理，从而确保数据信息的一致性、准确性、及时性、可用性和完整性。 为保证风险数据的准确性，要重视风险管理系统的操作权限与操作规程控制、信息安全与数据处理流程控制。制定对应控制规则，设计控制制度和控制程序，并将这些控制程序和控制参数输入到计算机信息系统内部，形成完整、严密的面向流程的人机内部控制系统。,全球化的信息系统架构 在集团范围内共享所有的信息 两个标准的数据交换层 使用ETL收集和分发相关数据 在线的预警信息服务,一个强势的集团治理架

15、构 按照业务需求建立风险模型,集团内统一流程，企业依照执行 标准的工具支持流程的运行,公共集中的客户信息管理平台 标准化的客户信用管理工具和客户交易数据系统 所有的交易过程中的风险信息和相关信息都将发送到中央风险数据库 一个集中的数据库 数据按天收集 按月进行风险计算,要点,欧洲某大型集团公司的风险管理,技术,流程,组织,欧洲某大型集团公司的风险管理,企业,中央风险数据库,风险分析工具,风险数据收集,风险数据使用与共享,信用风险 + 市场风险,引擎,参考信息,集团参考信息,客户,产品,组织,风险标志,行为,分类,警报,模型,监控,风险标志,风险标准,企业参考信息,产品管理,建议与批准,集团,标

16、准风险报告,集团比率,产品处理,收款管理,市场风险,信息 交换 服务 协议,风险,信息交换,第五十五条 关于风险管理信息系统的功能要求,通过风险管理信息系统中的风险库和预警机制全面识别各种风险 风险库的建立；固化流程；标杆和预警 利用风险管理信息系统实现对风险水平的自动分析、评估和报告 利用风险评级模型进行评估；建立风险对策库；监督和评价风险管理工作及其效果,重点说明：风险管理信息系统的功能要求,第五十五条 风险管理信息系统应能够进行各种风险的计量和定量分析、定量测试；能够实时反映风险矩阵和排序频谱、重大风险和重要业务流程的监控状态；能够对超过风险预警上限的重大风险实施信息报警；能够满足风险管

17、理内部信息报告制度和企业对外信息披露管理制度的要求。,风险库的建立,系统应支持标准的风险库的建立，比较全面地涵盖企业日常经营所面临的各项主要风险。 可以根据国际风险组织的Risk Map风险模型或是德勤的RiskUniverseTM，结合自身的实际情况，建立风险模型，作为风险识别、分析和评价的参考标准。,国际风险组织的Risk MapTM风险模型,RiskUniverseTM是德勤开发的风险模型,固化流程，将活动和风险建立映射,企业需要在系统中固化和标准化主要的管理流程和业务流程，确定流程负责人，将每个流程中的关键活动与风险库建立映射关系。,定义和分类风险,评估可能性和影响,定义风险缓解策略,

18、管理风险,评估风险,合同签署,实施风险缓解策略,风险管理流,标杆分析，实施监测,企业通过行业标竿分析、历史数据分析、情景分析等在系统中设定各风险衡量指标的标准值和合理波动区间，借助信息系统实现风险预警的自动化，实时监测风险指标，及时发出警报信号，并在规定的时间内通知规定的部门和人员，由其采取相应的措施。,利用风险评估模型进行风险评估,首先，在系统中建立风险评估的定性和定量的标准，构建风险评级模型，综合考虑潜在风险损失和风险发生概率确定风险级别，评估风险水平。 标准 模型 损失和概率 在各项风险的发生可能性与影响程度之间建立起矩阵关系来系统地描述风险的重要性等级（如高风险、中风险和低风险），识别

19、需要应最优先进行控制的风险，有效地分配风险管理的资源。 可能性和影响程度 重要性评价 识别优先,建立风险对策库，实现对解决措施的自动提示,企业应首先确定各类主要风险的应对策略，设计相应的应对措施，并对应到相关的业务流程和管理流程，确定控制节点、控制措施和控制手段，形成统一的风险管理操作规范，同时在系统中建立风险对策库。 确定策略 设计应对措施 统一操作规范 建立风险对策库 根据风险分析和评估结果，系统可自动识别应采用的基本的风险对策，并通知相应的流程负责人。 由于各业务板块所涉及的业务工作不同，风险标识各异，在具体预警系统、管理技术和流程方法上可保持灵活性。 集团设立专门的风险管理部门实施集中

20、化的管理，并授权各业务板块和经营单位配备相应的风险管理人员，在集团公司的授权范围内开展工作。,利用信息系统监督评价风险管理工作效果,尽管在不同的企业风险管理的方法不尽相同，但在风险管理的目标方面是一致的。风险管理信息系统的目标是： 查明影响经营战略与业务活动的风险，并按风险大小进行排序； 了解管理层和审计委员会确定的、能够接受的风险水平； 制定并实施降低风险计划，把风险降到可以接受的水平上； 定期对风险和控制进行评估，以降低管理风险； 定期向董事会和管理层报告风险管理过程的结果。 系统必须能够协助企业从上述五个目标的完成情况去评价风险管理的充分性和有效性。,利用信息系统监督评价风险管理工作的内

21、容,评价组织和行业的发展情况和趋势，确定是否可能存在影响组织的风险； 检查组织的经营战略，确定组织对风险的接受； 检查管理层、内部和外部审计师，以及有关方面以前发表过的风险评估报告； 与相关管理层讨论部门的目标，存在的风险，以及管理层采取的降低风险和加强监控的活动，并评价其有效性； 评价风险监控报告制度是否恰当； 评价风险管理结果报告的充分性和及时性； 评价管理层对风险的分析是否全面，为防止风险而采取的措施是否完善，建议是否有效； 对管理层的自我评估进行实地观察、直接测试，检查自我评估所依据的信息是否准确，以及其他审计技术； 评估与风险管理有关的管理薄弱环节，并与管理层、董事会、审计委员会讨论

22、。,第五十六条 风险管理信息系统要实现信息的集成与共享,第五十六条 风险管理信息系统应实现信息在各职能部门、业务单位之间的集成与共享，既能满足单项业务风险管理的要求，也能满足企业整体和跨职能部门、业务单位的风险管理综合要求。,重点说明：风险管理信息系统的跨部门特点,从风险管理的层次看，既有对日常工作流程的管理，也有对执行结果的管理。显然，“信息孤岛”的产生并不仅是与软件产品有关，也与管理集成和技术集成水平有着紧密的关系。 因此风险管理的环节必须集成，这就要求信息必须在各职能部门、业务单位之间的集成与共享，既能满足单项业务风险管理的要求，也能满足企业整体和跨职能部门、业务单位的风险管理综合要求。

23、,一个全球化的信息系统架构 集成开发所有的组件,一个强势的集团治理架构,公共的企业业务流程 主要的困难在于公共信息的管理（例如当一个错误的企业宣布自己的流程模板）,共享的集中式的客户信息管理（对于每个公司都作为一个零售客户来管理）： 有且只有一个企业负责管理客户的“主数据”（客户的唯一标识） 每一个在本地的针对主数据的修改都必须发送到中央数据库并且同时修改其它机构的数据 集团负责客户的信用评级 所有企业信贷发生系统发送信用建议和批准通知至信贷建议数据库 所有企业信贷处理系统发送限制、披露和提供数据至信用风险数据库 风险/会计信息调整： 每一个下属企业必须确保风险和会计信息之间的匹配，任何差异都

24、必须报告并随风信信息一并上传 在集团层面控制的目标是确保不存在风险与会计信息之间的差异 所有的计算都必须通过内部集成的系统上交,要点,欧洲某大型金融机构风险管理示例,技术,流程,组织,欧洲某大型金融机构风险管理示例,全球信贷建议数据库,全球信贷风险数据库,信贷发生系统,信贷处理系统,信贷发生系统,信贷处理系统,信贷发生系统,信贷处理系统,建议和信贷批准,限制、披露和提供数据,客户数据,金融企业1,金融企业2,金融企业 n,地区(企业层面),集团层面,建议和信贷批准,建议和信贷批准,限制、披露和提供数据,限制、披露和提供数据,第五十七条 确保风险管理信息系统的安全和稳定，并持续改进,风险管理信息

25、系统的稳定和安全将直接关系到企业对风险的控制能力，如果处理不好，会给企业带来巨大损失，严重时，还会制约企业的整体发展； 针对风险管理信息系统的安全内容十分广泛，安全要求各不相同，需要从网络层次、信息层次、设备层次等分别讨论； 除了要确保风险管理信息系统的稳定及安全外，还要根据企业的发展需要，对风险信管理信息系统进行改进、完善和更新。,重点说明：风险管理信息系统需要不断改进和完善,第五十七条 企业应确保风险管理信息系统的稳定运行和安全，并根据实际需要不断进行改进、完善或更新。,可靠性：即保证网络和信息系统随时可用，运行过程中不出现故障，若遇意外打击能够尽量减少损失并尽快恢复正常； 可控性：即保证

26、营运者对网络和信息系统有足够的控制和管理能力； 互操作性：即保证协议和系统能够联接； 可计算性：即保证准确跟踪实体运行达到审计和识别的目的等,信息的完整性：即保证信息的来源、去向、内容真实无误； 保密性：即信息不会被非法泄露扩散； 不可否认性：即保证信息的发送和接收者无法否认自己所做过的操作行为等,网络层次,信息层次,风险管理信息系统的安全要求,第五十七条 企业应确保风险管理信息系统的稳定运行和安全 ,风险管理信息系统安全保障体系应该是一个在充分分析系统安全风险因素的基础上，通过制定系统安全策略和采取先进、科学、适用的安全技术能对系统实施安全防护和监控，使系统具有灵敏、迅速的恢复响应和动态调整

27、功能的智能型系统安全体系； 其模型可用公式表示为： 系统安全=风险评估+安全策略+防御体系+实时检测+数据恢复+安全跟踪+动态调整,风险管理信息系统安全保障体系的目标是：网络层安全、系统层安全和应用层安全； 不同的层次，其安全内容、要求各有差异，因此，各层次安全保障方案的制定也应该是不尽相同。,风险管理信息系统 安全保障体系内容,风险管理信息系统 安全保障体系目标,风险管理信息系统安全保障体系内容与目标, 确保风险管理信息系统的安全、稳定,风险管理信息系统改进的驱动因素,第五十七条 并根据实际需要不断进行改进、完善或更新。,企业战略的调整,管理和服务 的需求变化,风险管理 信息系统的调整,技术

28、和管理在不断地发展,风险管理信息化建设与实施是一个长期的，需要持续改进、不断向前发展的过程。,公司的企业战略根据企业的目标和外部环境在不断地调整，所面临的风险会不断变化，管理和服务对风险管理信息化建设的需求在不断地变化和发展，信息系统也必须做出相应的调整； 同时，技术和管理在不断地发展，需要不断持续改进和更新才能保持信息化系统的先进性，才能保持信息化的价值能力。,对风险管理信息系统进行持续的改进,欢迎界面,公司实体界面,内部控制,风险评估,评估表格,管理层报告,第五十八条 风险管理信息系统的规划与实施,第五十八条 已建立或基本建立企业管理信息系统的企业，应补充、调整、更新已有的管理流程和管理程

29、序，建立完善的风险管理信息系统；尚未建立企业管理信息系统的，应将风险管理与企业各项管理业务流程、管理软件统一规划、统一设计、统一实施、同步运行。,风险管理系统作为企业整体信息化建设的一部分，需要和企业其它生产、经营系统一样统一规划，统筹安排。 一般来说，大部分中央企业都已经进行了信息化，很多单位还实施了ERP系统。仅仅依靠ERP系统并不能实现从风险识别、风险分析到风险控制的管理全过程。因此必须将企业的业务流程和风险管理结合起来在系统上实现，保证系统适应风险防范和管理的新要求。,重点说明：风险管理信息系统的搭建策略,数据架构描述了企业的的数据资源，包括数据分类、数据标准、数据分布和管理、数据使用

30、策略、各类数据与系统应用的关系。良好的数据架构分析和设计是进行系统设计的基础部分，会直接影响到整个企业系统间的数据分布与集成问题。,技术架构描述了应用的技术实现方式，包括硬件、软件、网络，从接口定义、标准和服务等方面进行描述。确保未来的系统服务平台和网络架构平台能够支持应用的部署和运行。,应用架构主要描述的是支持企业管理的系统之间的关系，包括每个系统的作用，系统的范围和边界，系统之间的关系与衔接等。应用架构从功能和业务范围上进行了系统间的界定，明确了不同的关键业务通过不同的应用系统进行支持，划定了系统内容的功能范围和系统间的功能交流。应用架构的设计关系到未来各个应用系统所能实现的范围问题，是进

31、行系统分析和设计的基础。,风险管理信息系统的构建,从构建系统的信息技术角度来看，一个完整的风险管理系统应当主要考虑应用架构、数据架构、技术架构等。,应用架构,数据架构,技术架构,已建立或基本建立企业管理信息系统的企业，应当在已有系统的基础上，通过改进现有系统流程，建立完善的风险管理信息系统；尚未建立企业管理信息系统的，应把风险管理融入到企业各软件的建设过程中。,内部审计系统构建,风险系统构建SAS,数据平台,风险管理信息系统的选型,风险管理信息系统选型是指建设信息化的企业选择应用系统产品及服务提供商的过程。选型对企业信息化建设成败起着至关重要的作用。 信息系统选型方法 选型就是要通过招标、评标

32、、商务谈判和合同签订的过程，采用合适的评估手段，选择合适的风险管理信息系统。 信息系统选型步骤,选型中 （评标）,选型后 （商务谈判、签约）,选型前的准备工作对选型的成败起着至关重要的作用。它是明晰需求，确定招标对象、制定标书的过程。这一阶段非常重要的事宜就是针对企业不同层级的需要，明晰企业的需求，确定项目范围。,确定评标小组 评标准备 现场听标 典型客户考察 商务谈判入围评选,谈判团队甄选 项目计划沟通和报价分析 商务谈判 法律条款签订,选型前 （明晰需求、确定标书）,风险管理信息系统的选型（续）,系统选型的定性因素： 软件公司的性质 软件公司的开发能力 软件产品的易用性 软件产品的适应性

33、软件产品的扩展性 软件产品的升级性 软件产品的生命周期 软件产品的价格体系,系统选型的定量因素： 软件成熟度 成功用户的数量 用户满意度 客户化工作量 二次开发工作量 软件升级周期 用户接受培训的工作量,风险管理信息系统的实施 风险管理信息系统的升级与更新：企业应确保风险管理信息系统的稳定运行和安全，并根据实际需要不断进行改进、完善或更新。,风险管理信息系统的实施与升级,制订项目计划 制订项目管理策略 设计系统架构并进行技术评估 集成评估及其策略 差异评估和管理 项目小组培训策略 概念培训,业务流程蓝图模板的设计 组织结构调整的管理 系统环境的开发 业务组织结构 业务流程的定义 系统规划,最终的系统配置和确