第八章風險管理信息系統(tǒng)德勤

國務院國資委《中央企業(yè)全面風險管理指引》.2006年8月第八章風險管理信息系統(tǒng)講座德勤咨詢公司前言國務院國資委最近頒發(fā)的《中央企業(yè)全面風險管理指引》,是指導中央企業(yè)開展全面風險管理工作，增強企業(yè)競爭力，提高投資回報，促進企業(yè)持續(xù)、健康、穩(wěn)定發(fā)展的重要文件。風險管理信息系統(tǒng)是整個全面風險管理體系中的重要組成部分，為全面風險管理體系中進行風險評估、實施風險管理解決方案、執(zhí)行風險管理的基本流程、履行內(nèi)部控制系統(tǒng)提供必需的技術基礎?！吨敢返牡诎苏隆帮L險管理信息系統(tǒng)”從第53條至第58條給出了中央企業(yè)建立風險管理信息系統(tǒng)的基本要求。培訓內(nèi)容第一部分：本章概述第二部分：逐條講解第三部分：重點回顧

第一部分：本章概述風險管理基本流程風險管理信息系統(tǒng)風險管理信息系統(tǒng)的作用風險管理信息系統(tǒng)的實施與運行風險管理信息系統(tǒng)的要求與功能收集風險管理初始信息進行風險評估制定風險管理策略提出和實施風險管理解決方案實施風險管理的監(jiān)督與改進培訓內(nèi)容第一部分：本章概述第二部分：逐條講解第三部分：重點回顧

第二部分：逐條講解第五十三條－信息技術應用于風險管理實踐第五十四條－風險管理信息系統(tǒng)保障風險信息量化值的要求第五十五條－風險管理信息系統(tǒng)的功能要求第五十六條－風險管理信息系統(tǒng)應該實現(xiàn)跨部門的集成與共享第五十七條－風險管理信息系統(tǒng)應該確保安全、穩(wěn)定運行第五十八條－風險管理信息系統(tǒng)的建設與更新第八章風險管理信息系統(tǒng)第五十三條企業(yè)風險管理信息系統(tǒng)的基本流程和內(nèi)部控制環(huán)節(jié)第五十三條企業(yè)應將信息技術應用于風險管理的各項工作，建立涵蓋風險管理基本流程和內(nèi)部控制系統(tǒng)各環(huán)節(jié)的風險管理信息系統(tǒng)，包括信息的采集、存儲、加工、分析、測試、傳遞、報告、披露等。根據(jù)COSO企業(yè)風險管理框架的三個維度，企業(yè)的目標、全面風險要素管理方法、企業(yè)的各個層級，風險管理系統(tǒng)就是使用信息技術手段，實現(xiàn)企業(yè)各個層級風險要素的信息系統(tǒng)管理，以達到企業(yè)發(fā)展目標的要求。由于企業(yè)各個層級、各個業(yè)務環(huán)境的信息環(huán)境十分復雜，就特別需要借助于風險管理系統(tǒng)來實現(xiàn)企業(yè)的全面風險管理。風險管理系統(tǒng)即可以是一個完整的信息系統(tǒng)，也可以是通過不同的系統(tǒng)，利用信息技術手段集成實現(xiàn)全面風險管理的整體功能。重點說明：系統(tǒng)必須涵蓋風險管理基本流程和內(nèi)部控制系統(tǒng)各環(huán)節(jié)風險管理信息存在于經(jīng)營管理的各個層次之中按照信息使用者的要求和各種業(yè)務在經(jīng)營管理中的層次，可以把需要企業(yè)的管理信息分為三個層次：決策控制層日常經(jīng)營管理層支持體系管理層風險管理系統(tǒng)需要的信息同時存在于這三個層次當中，因此我們必須要把握好信息收集、分析、處理的范圍、深度和廣度充分考慮信息管理的全流程化

信息系統(tǒng)的重要性是企業(yè)風險策略和風險解決方案的重要支撐手段是固化風險管理流程、推進全面風險管理的必須工具是風險信息收集、輸入、加工和輸出的載體是企業(yè)落實風險管理、提升風險管理能力的必經(jīng)之路提供跨組織、跨流程的信息集成和共享平臺通過系統(tǒng)實現(xiàn)風險的快速預警，及時采取必要的防范措施系統(tǒng)能夠提供企業(yè)風險狀況的報告，并且追溯發(fā)生的原因基礎是信息系統(tǒng)數(shù)據(jù)層表現(xiàn)層中間層分析層ERP系統(tǒng)/OLTP/數(shù)據(jù)倉庫中間件/OLAP/BAPI各種分析模型及軟件報告系統(tǒng)/OA/知識管理財務銷售生產(chǎn)日常營運等決策支持各種應用銜接各種數(shù)據(jù)銜接跨平臺操作外部開發(fā)與第三方模塊銜接等報告查詢管理決策支持技術銜接日常經(jīng)營、流程管理風險管理系統(tǒng)的范疇風險系統(tǒng)與其它系統(tǒng)統(tǒng)風險展現(xiàn)系系統(tǒng)：RiskWizard，OpRisk，SAS預算系統(tǒng)：：HyperionPlanning，Comshare,Timeline，，Cognos數(shù)據(jù)挖掘與與分析系統(tǒng)統(tǒng)：SPSS,SAS，IntelligentMiner數(shù)據(jù)EIS：WebGateway，DecisionLightship電子商務系系統(tǒng)：CommerceOne,BoardVisionCRM系統(tǒng)：Siebel公司報告系系統(tǒng)：CrystalReportERP系統(tǒng)：SAP，Oracle，SSA通過風險管管理信息系系統(tǒng)加工大大量風險信信息有關風險的的信息需要要在各層級的組組織機構中中進行識別、評估估并對風險做做出反應，，從而來完完成企業(yè)經(jīng)經(jīng)營管理目目標。一些些信息可能能被用到一一個或多個不同的的目的。信息有很多多的來源可可以分為內(nèi)部的和外外部、定性和定量量的，并可以以對變化的的環(huán)境迅速速做出反應應。管理的的主要挑戰(zhàn)戰(zhàn)是對大量量可用信息息進行加工工的過程。。這種挑戰(zhàn)戰(zhàn)可以用信息系統(tǒng)功功能包括來源、、獲取、處處理、分析析和報告有有關的信息息來解決。。一些系統(tǒng)提提供了對客客戶交易情情況進行持續(xù)監(jiān)督功功能，結合基基本的業(yè)務務工作流程程來減輕每每日操作中中的風險。。保證信息的的一致性需要特別注重企業(yè)面對行行業(yè)變動,高度創(chuàng)新和和快速發(fā)展展的競爭者,或重大顧客需求改變。。信息系統(tǒng)統(tǒng)需要隨著著新目標的的設定而改改變。信息息系統(tǒng)不僅僅要識別和和獲取必要要的財務和非財財務信息，還要及時時的處理和和報告這些些信息，確確保對企業(yè)業(yè)經(jīng)營活動動進行有效效的控制業(yè)務驅動風險管理信信息化項目目的一個最最為典型的的錯誤是將將其當作一一個技術項項目。為了了獲取真正正的業(yè)務收收益，系統(tǒng)統(tǒng)建設應從從業(yè)務的角角度出發(fā)。。業(yè)務用戶戶也應直接接介入業(yè)務務戰(zhàn)略明晰晰和業(yè)務及及信息技術術需求分析析關鍵成功功因素－－業(yè)務驅驅動風險信息息管理的的全流程程性商業(yè)智能能、戰(zhàn)略略評估、、業(yè)績評評估、綜綜合分析析信息技術術銷售與分分銷供應內(nèi)部管理理分銷渠道道管理客戶關系系管理售后服務務市場營銷銷供應渠道道管理供應商關關系管理理合同管理理內(nèi)向物流管管理外向物流管管理倉儲管理財務管理成本控制資金管理企業(yè)需要對對其核心業(yè)業(yè)務流程進進行完整的的定義，并并通過必要要的手段（（例如信息息技術）進進行固化。。將企業(yè)運運作從傳統(tǒng)統(tǒng)的以部門門為核心的的方式轉為為以業(yè)務流流程為核心心風險管理風險信息的的結構和處處理流程在構建企業(yè)業(yè)的風險管管理信息系系統(tǒng)之前，，首先要明明確相關風風險信息的的結構和處處理流程，，即在企業(yè)業(yè)不同層次次，不同業(yè)業(yè)務和管理理環(huán)節(jié)的處處理辦法：：信息的分析析與測試信息的傳遞遞信息的采集集信息的存儲儲信息的加工工風險信息的的采集就必必須要明確確需要哪些些基礎信息息，這些基基礎信息的的來源，基基礎信息的的收集頻度度，不同基基礎信息之之間的口徑徑差異，信信息的采集集流程，技技術手段等等信息的存儲需需要建立良好好的數(shù)據(jù)架構構，解決好數(shù)數(shù)據(jù)標準化和和存儲技術問問題基礎信息需要要進行加工和和提煉才能成成為可進行分分析的風險信信息分析的內(nèi)容、、層次、方法法和頻度都會會是信息分析析環(huán)節(jié)關注的的重點風險管理系統(tǒng)統(tǒng)必須建立良良好的信息傳傳遞機制，這這種信息的傳傳遞機制應當當建立于風險險管理的各個個環(huán)節(jié)中風險信息系統(tǒng)統(tǒng)對風險的展展示與披露信息的報告與與披露：從信信息技術角度度看，信息的的報告是展現(xiàn)現(xiàn)層的工作。。一個良好的的風險管理信信息系統(tǒng)必須須要求能夠把把風險管理的的各個環(huán)節(jié)情情況進行直觀觀易懂的展示示根據(jù)自己的控控制水平和能能力確定風險險控制策略信息組????風險因素列表表影響風險評估戰(zhàn)略組經(jīng)營組???財務組市場占有客戶關系環(huán)境保護政策法規(guī)股東關系品牌聲譽人事組????資金缺口償債風險收益實現(xiàn)???人才流失道德操守內(nèi)部公平???信息滯后信息缺損系統(tǒng)安全123455432168789543654678765679105432發(fā)生可能性重點控制適當控制影響度運營風險報告告框架支付與結算采購資產(chǎn)管理貿(mào)易與銷售財務風險市場風險運營風險月度報告損失承受能力力風險指標趨勢勢主動的風險管管理關鍵的問題季度報告風險狀況與問問題周報告針對業(yè)務線的的風險指標報報告運營風險委員會管理層業(yè)務線季度報告風險狀況與問問題月度報告業(yè)務定量分析析報告概要月度報告風險狀況況概覽主要控制制問題運營風險險損失概概要運行風險險報告必必須聯(lián)合合專注的的運營風風險評估估流程、、現(xiàn)有的的業(yè)務線線報告和和特別的的內(nèi)部及及外部評評估第五十四四條風風險信信息的一一致性、、準確性性、及時時性、可可用性和和完整性性第五十四四條企業(yè)應采采取措施施確保向向風險管管理信息息系統(tǒng)輸輸入的業(yè)業(yè)務數(shù)據(jù)據(jù)和風險險量化值值的一致致性、準準確性、、及時性性、可用用性和完完整性。。對輸入入信息系系統(tǒng)的數(shù)數(shù)據(jù)，未未經(jīng)批準準，不得得更改。。確保信息息系統(tǒng)輸輸入業(yè)務務數(shù)據(jù)和和風險值值的質(zhì)量量，是風風險管理理信息系系統(tǒng)的重重要基礎礎。安然、世世界通訊訊等公司司的一系系列丑聞聞，使投投資者對對在美國國上市的的公司信信息披露露的真實實性產(chǎn)生生懷疑。。隨著薩薩班斯法法案的出出臺，對對上市公公司對外外披露信信息的真真實性提提出了更更高的要要求——“管理層對對財務信信息的準準確性承承擔刑事事責任””，實施施薩班斯斯法案，，將引發(fā)發(fā)企業(yè)從從業(yè)務流流程到技技術架構構的一系系列變革革。重點說明明：風險險管理信信息系統(tǒng)統(tǒng)的數(shù)據(jù)據(jù)要求風險信息一致性準確性及時性完整性可用性風險信息息系統(tǒng)的的內(nèi)部控控制在風險管管理信息息系統(tǒng)內(nèi)內(nèi)部建立立嚴格的的人員訪訪問授權權、數(shù)據(jù)據(jù)接觸控控制、操操作流程程規(guī)則和和職責體體系，以以避免信信息系統(tǒng)統(tǒng)故障，，保留IT審計線索索，杜絕絕利用信信息技術術進行貪貪污、舞舞弊的行行為。批準決策審核報告數(shù)據(jù)提供風險管理理委員會會審計委員員會獨立第三三方業(yè)務單位財務業(yè)務單位位風險能力力中心主主管海外風險險主管風險能力力中心主主管內(nèi)部審計計經(jīng)理合規(guī)性經(jīng)經(jīng)理運營管理理層內(nèi)部審計計經(jīng)理完成風險險評估風險分析析和報告告風險狀況況評估風險戰(zhàn)略略風險所有有者制定風險險標準實施風險險管理信信息化的的準備工工作按企業(yè)管管理層次次系統(tǒng)模模型的要要求，規(guī)規(guī)范企業(yè)業(yè)的業(yè)務務流程、、財務流流程和人人力資源源流程，，形成一一套完整整的信息息系統(tǒng)功功能和管理制度度表單的的文檔；根據(jù)企業(yè)業(yè)文化、、組織機機構和管管理方法法的要求求，對企企業(yè)從上上層管理理人員到到一線的的工作人人員進行行全面的的管理和和工作流流程培訓；將信息系系統(tǒng)與具具體工作作流程進進行實際演練練，通過實實踐及時時修正出出現(xiàn)的問問題。風險信息息的保障障機制信息系系統(tǒng)輸輸入數(shù)數(shù)據(jù)及及風險險量化化值的的準確確性、、及時時性、、完整整性，，也就就是系系統(tǒng)外外最前前端的的數(shù)據(jù)據(jù)源的的準確確也會會直接接影響響到企企業(yè)控控制風風險的的能力力。為保證證數(shù)據(jù)據(jù)的準準確性性，企企業(yè)風風險管管理信信息化化需要要首先先對企企業(yè)基基礎管管理工工作的的流程程進行行梳理理，從從而確確保數(shù)數(shù)據(jù)信信息的的一致致性、、準確確性、、及時時性、、可用用性和和完整整性。。為保保證證風風險險數(shù)數(shù)據(jù)據(jù)的的準準確確性性，，要要重重視視風風險險管管理理系系統(tǒng)統(tǒng)的的操操作作權權限限與與操操作作規(guī)規(guī)程程控控制制、、信信息息安安全全與與數(shù)數(shù)據(jù)據(jù)處處理理流流程程控控制制。。制制定定對對應應控控制制規(guī)規(guī)則則，，設設計計控控制制制制度度和和控控制制程程序序，，并并將將這這些些控控制制程程序序和和控控制制參參數(shù)數(shù)輸輸入入到到計計算算機機信信息息系系統(tǒng)統(tǒng)內(nèi)內(nèi)部部，，形形成成完完整整、、嚴嚴密密的的面面向向流流程程的的人人機機內(nèi)內(nèi)部部控控制制系系統(tǒng)統(tǒng)。。錄入流程共享與使用操作權限全球球化化的的信信息息系系統(tǒng)統(tǒng)架架構構在集集團團范范圍圍內(nèi)內(nèi)共共享享所所有有的的信信息息兩個個標標準準的的數(shù)數(shù)據(jù)據(jù)交交換換層層使用用ETL收集集和和分分發(fā)發(fā)相相關關數(shù)數(shù)據(jù)據(jù)在線線的的預預警警信信息息服服務務一個個強強勢勢的的集集團團治治理理架架構構按照照業(yè)業(yè)務務需需求求建建立立風風險險模模型型集團團內(nèi)內(nèi)統(tǒng)統(tǒng)一一流流程程，，企企業(yè)業(yè)依依照照執(zhí)執(zhí)行行標準準的的工工具具支支持持流流程程的的運運行行公共共集集中中的的客客戶戶信信息息管管理理平平臺臺標準準化化的的客客戶戶信信用用管管理理工工具具和和客客戶戶交交易易數(shù)數(shù)據(jù)據(jù)系系統(tǒng)統(tǒng)所有有的的交交易易過過程程中中的的風風險險信信息息和和相相關關信信息息都都將將發(fā)發(fā)送送到到中中央央風風險險數(shù)數(shù)據(jù)據(jù)庫庫一個個集集中中的的數(shù)數(shù)據(jù)據(jù)庫庫數(shù)據(jù)據(jù)按按天天收收集集按月月進進行行風風險險計計算算要點點歐洲洲某某大大型型集集團團公公司司的的風風險險管管理理技術術流程程組織織歐洲洲某某大大型型集集團團公公司司的的風風險險管管理理企業(yè)業(yè)中央央風風險險數(shù)數(shù)據(jù)據(jù)庫庫風險險分分析析工工具具風險險數(shù)數(shù)據(jù)據(jù)收收集集風險險數(shù)數(shù)據(jù)據(jù)使使用用與與共共享享信用用風風險險+市場場風風險險引擎擎參考考信信息息集團團參參考考信信息息客戶戶產(chǎn)品品組織織風險險標標志志行為為分類類警報報模型型監(jiān)控控風險險標標志志風險險標標準準企業(yè)業(yè)參參考考信信息息產(chǎn)品品管管理理建議議與與批批準準集團團標準準風風險險報報告告集團團比比率率產(chǎn)品品處處理理收款款管管理理市場場風風險險信息息交換換服務務協(xié)議議風險險信息息交交換換第五五十十五五條條關關于于風風險險管管理理信信息息系系統(tǒng)統(tǒng)的的功功能能要要求求通過過風風險險管管理理信信息息系系統(tǒng)統(tǒng)中中的的風風險險庫庫和和預預警警機機制制全全面面識識別別各各種種風風險險——風險庫的建立立；固化流程程；標桿和預預警利用風險管理理信息系統(tǒng)實實現(xiàn)對風險水水平的自動分分析、評估和和報告——利用風險評級級模型進行評評估；建立風風險對策庫；；監(jiān)督和評價價風險管理工工作及其效果果重點說明：風風險管理信息息系統(tǒng)的功能能要求第五十五條風風險管理理信息系統(tǒng)應應能夠進行各各種風險的計計量和定量分分析、定量測測試；能夠實實時反映風險險矩陣和排序序頻譜、重大大風險和重要要業(yè)務流程的的監(jiān)控狀態(tài)；；能夠對超過過風險預警上上限的重大風風險實施信息息報警；能夠夠滿足風險管管理內(nèi)部信息息報告制度和和企業(yè)對外信信息披露管理理制度的要求求。風險庫的建立立……系統(tǒng)應支持標標準的風險庫庫的建立，比比較全面地涵涵蓋企業(yè)日常常經(jīng)營所面臨臨的各項主要要風險?？梢愿鶕?jù)國際際風險組織的的RiskMap風險模型或是是德勤的RiskUniverseTM，結合自身的的實際情況，，建立風險模模型，作為風風險識別、分分析和評價的的參考標準。。國際風險組織織的RiskMapTM風險模型RiskUniverseTM是德勤開發(fā)的的風險模型……固固化流流程，，將活活動和和風險險建立立映射射………企業(yè)需需要在在系統(tǒng)統(tǒng)中固固化和和標準準化主主要的的管理理流程程和業(yè)業(yè)務流流程，，確定定流程程負責責人，，將每每個流流程中中的關關鍵活活動與與風險險庫建建立映映射關關系。。定義和和分類類風險險評估可可能性性和影影響定義風風險緩緩解策策略管理風風險評估風風險合同簽簽署實施風風險緩緩解策策略如何有效管理剩余的風險?如何對風險排序并評價其影響?如何實施緩解風險的策略?如何制定緩解風險的策略?ChangeinriskprofileReductionofexistingrisksAmplificationofexistingrisks,orintroductionofexistingonesNochange外部業(yè)務的影響如何?正確管理和評估風險的方法有哪些?主要的風險是什么?風險管管理流流……標標桿分分析，，實施施監(jiān)測測………企業(yè)通通過行行業(yè)標標竿分分析、、歷史史數(shù)據(jù)據(jù)分析析、情情景分分析等等在系系統(tǒng)中中設定定各風風險衡衡量指指標的的標準準值和和合理理波動動區(qū)間間，借借助信信息系系統(tǒng)實實現(xiàn)風風險預預警的的自動動化，，實時時監(jiān)測測風險險指標標，及及時發(fā)發(fā)出警警報信信號，，并在在規(guī)定定的時時間內(nèi)內(nèi)通知知規(guī)定定的部部門和和人員員，由由其采采取相相應的的措施施。平臺部件承認認證量產(chǎn)跟進評審方案設計試驗手板模具試制試產(chǎn)綜合管理專利申請策劃和推廣小計17L6.4615.042.160.328.9914.4073.096.4547.291.8258.71234.7220L6.4615.042.160.329.1714.4073.096.4532.440.005.01164.5321L7.7817.512.620.3711.0817.3588.197.783.250.420.00156.3623L8.4019.452.800.4111.8618.6694.638.3318.360.002.51185.4025L6.1814.362.060.288.7814.1069.876.15136.400.4222.55281.1428L29.12

67.929.821.3841.4365.0566.8129.07

101.380.8415.03427.8731L3.718.641.240.185.278.2641.893.6861.020.0010.02143.9234L9.7822.793.300.4613.9021.84110.679.764.090.280.00196.8836L2.756.400.920.143.906.1431.202.771.150.000.0055.3640L13.4531.414.540.6519.1330.11152.67

13.4520.490.002.51288.4144OTR11.003.733.720.5115.6722.06124.6910.9910.570.000.00202.94合計105.09222.2835.335.03149.19232.38926.80104.89430.463.77116.342,337.53利用風風險評評估模模型進進行風風險評評估………首先，，在系系統(tǒng)中中建立立風險險評估估的定定性和和定量量的標標準，，構建建風險險評級級模型型，綜綜合考考慮潛潛在風風險損損失和和風險險發(fā)生生概率率確定定風險險級別別，評評估風風險水水平。?！獦藴省Ｐ汀獡p失和和概率率在各項項風險險的發(fā)發(fā)生可可能性性與影影響程程度之之間建建立起起矩陣陣關系系來系系統(tǒng)地地描述述風險險的重重要性性等級級（如如高風風險、、中風風險和和低風風險）），識識別需需要應應最優(yōu)優(yōu)先進進行控控制的的風險險，有有效地地分配配風險險管理理的資資源。?！赡苄孕院陀坝绊懗坛潭取匾孕栽u價價——識別優(yōu)優(yōu)先風險評估建立對策庫監(jiān)督與評價……建建立風風險對對策庫庫，實實現(xiàn)對對解決決措施施的自自動提提示………企業(yè)應應首先先確定定各類類主要要風險險的應應對策策略，，設計計相應應的應應對措措施，，并對對應到到相關關的業(yè)業(yè)務流流程和和管理理流程程，確確定控控制節(jié)節(jié)點、、控制制措施施和控控制手手段，，形成成統(tǒng)一一的風風險管管理操操作規(guī)規(guī)范，，同時時在系系統(tǒng)中中建立立風險險對策策庫。?！_定策略略——設計應對對措施——統(tǒng)一操作作規(guī)范——建立風險險對策庫庫根據(jù)風險險分析和和評估結結果，系系統(tǒng)可自自動識別別應采用用的基本本的風險險對策，，并通知知相應的的流程負負責人。。由于各業(yè)業(yè)務板塊塊所涉及及的業(yè)務務／工作作不同，，風險標標識各異異，在具具體預警警系統(tǒng)、、管理技技術和流流程方法法上可保保持靈活活性。集團設立立專門的的風險管管理部門門實施集集中化的的管理，，并授權權各業(yè)務務板塊和和經(jīng)營單單位配備備相應的的風險管管理人員員，在集集團公司司的授權權范圍內(nèi)內(nèi)開展工工作。風險評估建立對策庫監(jiān)督與評價………利利用用信信息息系系統(tǒng)統(tǒng)監(jiān)監(jiān)督督評評價價風風險險管管理理工工作作效效果果盡管管在在不不同同的的企企業(yè)業(yè)風風險險管管理理的的方方法法不不盡盡相相同同，，但但在在風風險險管管理理的的目目標標方方面面是是一一致致的的。。風風險險管管理理信信息息系系統(tǒng)統(tǒng)的的目目標標是是：：查明明影影響響經(jīng)經(jīng)營營戰(zhàn)戰(zhàn)略略與與業(yè)業(yè)務務活活動動的的風風險險，，并并按按風風險險大大小小進進行行排排序序；；了解解管管理理層層和和審審計計委委員員會會確確定定的的、、能能夠夠接接受受的的風風險險水水平平；；制定定并并實實施施降降低低風風險險計計劃劃，，把把風風險險降降到到可可以以接接受受的的水水平平上上；；定期期對對風風險險和和控控制制進進行行評評估估，，以以降降低低管管理理風風險險；；定期期向向董董事事會會和和管管理理層層報報告告風風險險管管理理過過程程的的結結果果。。系統(tǒng)統(tǒng)必必須須能能夠夠協(xié)協(xié)助助企企業(yè)業(yè)從從上上述述五五個個目目標標的的完完成成情情況況去去評評價價風風險險管管理理的的充充分分性性和和有有效效性性。。風險評估建立對策庫監(jiān)督與評價………利利用用信信息息系系統(tǒng)統(tǒng)監(jiān)監(jiān)督督評評價價風風險險管管理理工工作作的的內(nèi)內(nèi)容容評價組組織和和行業(yè)業(yè)的發(fā)發(fā)展情情況和和趨勢勢，確確定是是否可可能存存在影影響組組織的的風險險；檢查組織織的經(jīng)營營戰(zhàn)略，，確定組組織對風風險的接接受；檢查管理理層、內(nèi)內(nèi)部和外外部審計計師，以以及有關關方面以以前發(fā)表表過的風風險評估估報告；；與相關管管理層討討論部門門的目標標，存在在的風險險，以及及管理層層采取的的降低風風險和加加強監(jiān)控控的活動動，并評評價其有有效性；；評價風險險監(jiān)控報報告制度度是否恰恰當；評價風險險管理結結果報告告的充分分性和及及時性；；評價管理理層對風風險的分分析是否否全面，，為防止止風險而而采取的的措施是是否完善善，建議議是否有有效；對管理層層的自我我評估進進行實地地觀察、、直接測測試，檢檢查自我我評估所所依據(jù)的的信息是是否準確確，以及及其他審審計技術術；評估與風風險管理理有關的的管理薄薄弱環(huán)節(jié)節(jié)，并與與管理層層、董事事會、審審計委員員會討論論。風險評估建立對策庫監(jiān)督與評價第五十六六條風風險管管理信息息系統(tǒng)要要實現(xiàn)信信息的集集成與共共享第五十六六條風風險管理理信息系系統(tǒng)應實實現(xiàn)信息息在各職職能部門門、業(yè)務務單位之之間的集集成與共共享，既既能滿足足單項業(yè)業(yè)務風險險管理的的要求，，也能滿滿足企業(yè)業(yè)整體和和跨職能能部門、、業(yè)務單單位的風風險管理理綜合要要求。重點說明明：風險險管理信信息系統(tǒng)統(tǒng)的跨部部門特點點對日常工作流程的管理對執(zhí)行結果的管理……的管理……各職能部門各業(yè)務單位單項業(yè)務風險管理層次的要求跨部門風險管理綜合要求風險管理環(huán)節(jié)與信息的集成與共享從風險管管理的層層次看，，既有對對日常工工作流程程的管理理，也有有對執(zhí)行行結果的的管理。。顯然，，“信息息孤島””的產(chǎn)生生并不僅僅是與軟軟件產(chǎn)品品有關，，也與管管理集成成和技術術集成水水平有著著緊密的的關系。。因此風險險管理的的環(huán)節(jié)必必須集成成，這就就要求信信息必須須在各職職能部門門、業(yè)務務單位之之間的集集成與共共享，既既能滿足足單項業(yè)業(yè)務風險險管理的的要求，，也能滿滿足企業(yè)業(yè)整體和和跨職能能部門、、業(yè)務單單位的風風險管理理綜合要要求。一個全球球化的信信息系統(tǒng)統(tǒng)架構集成開發(fā)發(fā)所有的的組件一個強勢勢的集團團治理架架構公共的企企業(yè)業(yè)務務流程主要的困困難在于于公共信信息的管管理（例例如當一一個錯誤誤的企業(yè)業(yè)宣布自自己的流流程模板板）共享的集集中式的的客戶信信息管理理（對于于每個公公司都作作為一個個零售客客戶來管管理）：：有且只有有一個企企業(yè)負責責管理客客戶的““主數(shù)據(jù)據(jù)”（客客戶的唯唯一標識識）每一個在在本地的的針對主主數(shù)據(jù)的的修改都都必須發(fā)發(fā)送到中中央數(shù)據(jù)據(jù)庫并且且同時修修改其它它機構的的數(shù)據(jù)集團負責責客戶的的信用評評級所有企業(yè)業(yè)信貸發(fā)發(fā)生系統(tǒng)統(tǒng)發(fā)送信信用建議議和批準準通知至至信貸建建議數(shù)據(jù)據(jù)庫所有企業(yè)業(yè)信貸處處理系統(tǒng)統(tǒng)發(fā)送限限制、披披露和提提供數(shù)據(jù)據(jù)至信用用風險數(shù)數(shù)據(jù)庫風險/會計信息息調(diào)整：：每一個下下屬企業(yè)業(yè)必須確確保風險險和會計計信息之之間的匹匹配，任任何差異異都必須須報告并并隨風信信信息一一并上傳傳在集團層面面控制的目目標是確保保不存在風風險與會計計信息之間間的差異所有的計算算都必須通通過內(nèi)部集集成的系統(tǒng)統(tǒng)上交要點歐洲某大型型金融機構構風險管理理示例技術流程組織歐洲某大型型金融機構構風險管理理示例全球信貸建建議數(shù)據(jù)庫庫全球客戶參考信息全球信貸風風險數(shù)據(jù)庫庫信貸貸發(fā)發(fā)生生系系統(tǒng)統(tǒng)信貸貸處處理理系系統(tǒng)統(tǒng)信貸貸發(fā)發(fā)生生系系統(tǒng)統(tǒng)信貸貸處處理理系系統(tǒng)統(tǒng)信貸貸發(fā)發(fā)生生系系統(tǒng)統(tǒng)信貸貸處處理理系系統(tǒng)統(tǒng)建議議和和信信貸貸批批準準限制制、、披披露露和和提提供供數(shù)數(shù)據(jù)據(jù)客戶戶數(shù)數(shù)據(jù)據(jù)金融融企企業(yè)業(yè)1金融融企企業(yè)業(yè)2金融融企企業(yè)業(yè)n地區(qū)區(qū)(企業(yè)業(yè)層層面面)集團團層層面面建議議和和信信貸貸批批準準建議議和和信信貸貸批批準準限制制、、披披露露和和提提供供數(shù)數(shù)據(jù)據(jù)限制制、、披披露露和和提提供供數(shù)數(shù)據(jù)據(jù)第五五十十七七條條確確保保風風險險管管理理信信息息系系統(tǒng)統(tǒng)的的安安全全和和穩(wěn)穩(wěn)定定，，并并持持續(xù)續(xù)改改進進風險險管管理理信信息息系系統(tǒng)統(tǒng)的的穩(wěn)定定和和安安全全將直直接接關關系系到到企企業(yè)業(yè)對對風風險險的的控控制制能能力力，，如如果果處處理理不不好好，，會會給給企企業(yè)業(yè)帶帶來來巨巨大大損損失失，，嚴嚴重重時時，，還還會會制制約約企企業(yè)業(yè)的的整整體體發(fā)發(fā)展展；；針對風險管理理信息系統(tǒng)的的安全內(nèi)容十十分廣泛，安安全要求各不不相同，需要要從網(wǎng)絡層次、信信息層次、設設備層次等分別討論；；除了要確保風風險管理信息息系統(tǒng)的穩(wěn)定定及安全外，，還要根據(jù)企業(yè)的發(fā)發(fā)展需要，對風險信管管理信息系統(tǒng)統(tǒng)進行改進、、完善和更新新。重點說明：風風險管理信息息系統(tǒng)需要不不斷改進和完完善第五十七條企企業(yè)應確確保風險管理理信息系統(tǒng)的的穩(wěn)定運行和和安全，并根根據(jù)實際需要要不斷進行改改進、完善或或更新。可靠性：即保保證網(wǎng)絡和信信息系統(tǒng)隨時時可用，運行行過程中不出出現(xiàn)故障，若若遇意外打擊擊能夠盡量減減少損失并盡盡快恢復正常常；可控性：即保保證營運者對對網(wǎng)絡和信息息系統(tǒng)有足夠夠的控制和管管理能力；互操作性：即即保證協(xié)議和和系統(tǒng)能夠聯(lián)聯(lián)接；可計算性：即即保證準確跟跟蹤實體運行行達到審計和和識別的目的的等信息的完整性性：即保證信信息的來源、、去向、內(nèi)容容真實無誤；；保密性：即信信息不會被非非法泄露擴散散；不可否認性：：即保證信息息的發(fā)送和接接收者無法否否認自己所做做過的操作行行為等網(wǎng)絡層次信息層次風險管理信息息系統(tǒng)的安全全要求第五十七條企企業(yè)應確保保風險管理信信息系統(tǒng)的穩(wěn)穩(wěn)定運行和安安全……風險管理信息息系統(tǒng)安全保保障體系應該該是一個在充充分分析系統(tǒng)統(tǒng)安全風險因因素的基礎上上，通過制定定系統(tǒng)安全策策略和采取先先進、科學、、適用的安全技術能對系統(tǒng)實施施安全防護和和監(jiān)控，使系系統(tǒng)具有靈敏敏、迅速的恢恢復響應和動動態(tài)調(diào)整功能能的智能型系系統(tǒng)安全體系系；其模型型可用用公式式表示示為：：系統(tǒng)安安全=風險評評估+安全策策略+防御體體系+實時檢檢測+數(shù)據(jù)恢恢復+安全跟跟蹤+動態(tài)調(diào)調(diào)整風險管管理信信息系系統(tǒng)安安全保保障體體系的的目標標是：：網(wǎng)絡層安全、系統(tǒng)層安全和應用層安全；不同的層層次，其其安全內(nèi)內(nèi)容、要要求各有有差異，，因此，，各層次次安全保保障方案案的制定定也應該該是不盡盡相同。。風險管理理信息系系統(tǒng)安全保障障體系內(nèi)內(nèi)容風險管理理信息系系統(tǒng)安全保障障體系目目標風險管理理信息系系統(tǒng)安全全保障體體系內(nèi)容容與目標標……確保保風險管理信信息系統(tǒng)的安安全、穩(wěn)定風險管理信息息系統(tǒng)改進的的驅動因素第五十七條條……并根據(jù)實際際需要不斷斷進行改進進、完善或或更新。企業(yè)戰(zhàn)略的的調(diào)整管理和服務務的需求變化化風險管理信息系統(tǒng)的的調(diào)整技術和管理理在不斷地地發(fā)展風險管理信信息化建設設與實施是是一個長期期的，需要要持續(xù)改進進、不斷向向前發(fā)展的的過程。公司的企業(yè)業(yè)戰(zhàn)略根據(jù)據(jù)企業(yè)的目目標和外部部環(huán)境在不不斷地調(diào)整整，所面臨臨的風險會會不斷變化化，管理和和服務對風風險管理信信息化建設設的需求在在不斷地變變化和發(fā)展展，信息系系統(tǒng)也必須須做出相應應的調(diào)整；；同時，技術術和管理在在不斷地發(fā)發(fā)展，需要要不斷持續(xù)續(xù)改進和更更新才能保保持信息化化系統(tǒng)的先先進性，才才能保持信信息化的價價值能力。?！獙︼L險險管理信息息系統(tǒng)進行行持續(xù)的改改進歡迎界面公司實體界界面內(nèi)部控制風險評估評估表格管理層報告告第五十八條條風險險管理信息息系統(tǒng)的規(guī)規(guī)劃與實施施第五十八條條已建建立或基本本建立企業(yè)業(yè)管理信息息系統(tǒng)的企企業(yè)，應補補充、調(diào)整整、更新已已有的管理理流程和管管理程序，，建立完善善的風險管管理信息系系統(tǒng)；尚未未建立企業(yè)業(yè)管理信息息系統(tǒng)的，，應將風險險管理與企企業(yè)各項管管理業(yè)務流流程、管理理軟件統(tǒng)一一規(guī)劃、統(tǒng)統(tǒng)一設計、、統(tǒng)一實施施、同步運運行。風險管理系系統(tǒng)作為企企業(yè)整體信信息化建設設的一部分分，需要和和企業(yè)其它它生產(chǎn)、經(jīng)經(jīng)營系統(tǒng)一一樣統(tǒng)一規(guī)規(guī)劃，統(tǒng)籌籌安排。一般來說，，大部分中中央企業(yè)都都已經(jīng)進行行了信息化化，很多單單位還實施施了ERP系統(tǒng)。僅僅僅依靠ERP系統(tǒng)并不能能實現(xiàn)從風風險識別、、風險分析析到風險控控制的管理理全過程。。因此必須須將企業(yè)的的業(yè)務流程程和風險管管理結合起起來在系統(tǒng)統(tǒng)上實現(xiàn)，，保證系統(tǒng)統(tǒng)適應風險險防范和管管理的新要要求。重點說明：：風險管理理信息系統(tǒng)統(tǒng)的搭建策策略數(shù)據(jù)架構描描述了企業(yè)業(yè)的的數(shù)據(jù)據(jù)資源，包包括數(shù)據(jù)分分類、數(shù)據(jù)據(jù)標準、數(shù)數(shù)據(jù)分布和和管理、數(shù)數(shù)據(jù)使用策策略、各類類數(shù)據(jù)與系系統(tǒng)應用的的關系。良良好的數(shù)據(jù)據(jù)架構分析析和設計是是進行系統(tǒng)統(tǒng)設計的基基礎部分，，會直接影影響到整個個企業(yè)系統(tǒng)統(tǒng)間的數(shù)據(jù)據(jù)分布與集集成問題。。技術架構描描述了應用用的技術實實現(xiàn)方式，，包括硬件件、軟件、、網(wǎng)絡，從從接口定義義、標準和和服務等方方面進行描描述。確保保未來的系系統(tǒng)服務平平臺和網(wǎng)絡絡架構平臺臺能夠支持持應用的部部署和運行行。應用架構主主要描述的的是支持企企業(yè)管理的的系統(tǒng)之間間的關系，，包括每個個系統(tǒng)的作作用，系統(tǒng)統(tǒng)的范圍和和邊界，系系統(tǒng)之間的的關系與銜銜接等。應應用架構從從功能和業(yè)業(yè)務范圍上上進行了系系統(tǒng)間的界界定，明確確了不同的的關鍵業(yè)務務通過不同同的應用系系統(tǒng)進行支支持，劃定定了系統(tǒng)內(nèi)內(nèi)容的功能能范圍和系系統(tǒng)間的功功能交流。。應用架構構的設計關關系到未來來各個應用用系統(tǒng)所能能實現(xiàn)的范范圍問題，，是進行系系統(tǒng)分析和和設計的基基礎。風險管理信信息系統(tǒng)的的構建從構建系統(tǒng)統(tǒng)的信息技技術角度來來看，一個個完整的風風險管理系系統(tǒng)應當主主要考慮應應用架構、、數(shù)據(jù)架構構、技術架架構等。應用架構數(shù)據(jù)架構技術架構已建立或基基本建立企企業(yè)管理信信息系統(tǒng)的的企業(yè)，應應當在已有有系統(tǒng)的基基礎上，通通過改進現(xiàn)現(xiàn)有系統(tǒng)流流程，建立立完善的風風險管理信信息系統(tǒng)；；尚未建立立企業(yè)管理理信息系統(tǒng)統(tǒng)的，應把把風險管理理融入到企企業(yè)各軟件件的建設過過程中。內(nèi)部審計系系統(tǒng)構建風險系統(tǒng)構構建－SAS數(shù)據(jù)平臺風險管理信信息系統(tǒng)的的選型風險管理信信息系統(tǒng)選選型是指建建設信息化化的企業(yè)選選擇應用系系統(tǒng)產(chǎn)品及及服務提供供商的過程程。選型對對企業(yè)信息息化建設成成敗起著至至關重要的的作用。信息系統(tǒng)選選型方法選型型就就是是要要通通過過招招標標、、評評標標、、商商務務談談判判和和合合同同簽簽訂訂的的過過程程，，采采用用合合適適的的評評估估手手段段，，選選擇擇合合適適的的風風險險管管理理信信息息系系統(tǒng)統(tǒng)。。信息系統(tǒng)統(tǒng)選型步步驟選型中（評標））選型后（商務談談判、簽簽約）選型前的的準備工工作對選選型的成成敗起著著至關重重要的作作用。它它是明晰晰需求，，確定招招標對象象、制定定標書的的過程。。這一階階段非常常重要的的事宜就就是針對對企業(yè)不不同層級級的需要要，明晰晰企業(yè)的的需求，，確定項項目范圍圍。確定評標標小組評標準備備現(xiàn)場聽標標典型客戶戶考察商務談判判入圍評評選談判團隊隊甄選項目計劃劃溝通和和報價分分析商務談判判法律條款款簽訂選型前（明晰需需求、確確定標書書）風險管理理信息系系統(tǒng)的選選型（續(xù)續(xù)）系統(tǒng)選型型的定性性因素：：軟件公司司的性質(zhì)質(zhì)軟件公司司的開發(fā)發(fā)能力軟件產(chǎn)品品的易用用性軟件產(chǎn)品品的適應應性軟件產(chǎn)品品的擴展展性軟件產(chǎn)品品的升級級性軟件產(chǎn)品品的生命命周期軟件產(chǎn)品品的價格格體系系統(tǒng)選型的的定量因素素：軟件成熟度度成功用戶的的數(shù)量用戶滿意度度客戶化工作作量二次開發(fā)工工作量軟件升級周周期用戶接受培培訓的工作作量風險管理信信息系統(tǒng)的的實施風險管理信信息系統(tǒng)的的升級與更更新：企業(yè)業(yè)應確保風風險管理信信息系統(tǒng)的的穩(wěn)定運行行和安全，，并根據(jù)實實際需要不不斷進行改改進、完善善或更新。。風險管理信息息系統(tǒng)的實施施與升級項目準備階段業(yè)務藍圖階段系統(tǒng)實現(xiàn)階段上線準備階段上線及運行支持階段制訂項目計劃劃制訂項目管理理策略設計系統(tǒng)架構構并進行技術術評估集成評估及其其策略差異評估和管管理項目小組培訓訓策略概念培訓業(yè)務流程藍圖圖模板的設計計組織結構調(diào)整整的管理系統(tǒng)環(huán)境的開開發(fā)業(yè)務組織結構構業(yè)務流程的定定義系統(tǒng)規(guī)劃最終的系統(tǒng)配配置和確認程序開發(fā)說明明書的編寫報表設計和開開發(fā)系統(tǒng)權限設置置系統(tǒng)集成測試