【正文】 定風險級別，評估風險水平。 24 第 24頁 風險庫的建立 …… ? 系統(tǒng)應支持標準的風險庫的建立，比較全面地涵蓋企業(yè)日常經營所面臨的各項主要風險。 ? 為保證數(shù)據(jù)的準確性，企業(yè)風險管理信息化需要首先對企業(yè)基礎管理工作的流程進行梳理，從而確保數(shù)據(jù)信息的一致性、準確性、及時性、可用性和完整性。隨著薩班斯法案的出臺，對上市公司對外披露信息的真實性提出了更高的要求 ——“管理層對財務信息的準確性承擔刑事責任”，實施薩班斯法案，將引發(fā)企業(yè)從業(yè)務流程到技術架構的一系列變革。一個良好的風險管理信息系統(tǒng)必須要求能夠把風險管理的各個環(huán)節(jié)情況進行直觀易懂的展示 根據(jù)自己的控制水平和能力確定風險控制策略 信息組 ? ? ? ? 風險因素列表 影響 風險評估 戰(zhàn)略組 經營組 ? ? ? 財務組 ?市場占有 ?客戶關系 ?環(huán)境保護 ?政策法規(guī) ?股東關系 ?品牌聲譽 人事組 ? ? ? ? ?資金缺口 ?償債風險 ?收益實現(xiàn) ? ? ? ?人才流失 ?道德操守 ?內部公平 ? ? ? ?信息滯后 ?信息缺損 ?系統(tǒng)安全 12345 5 4 3 2 1 6 8 7 8 9 5 4 3 6 5 4 6 7 8 7 6 5 6 7 9 10 5 4 3 2 發(fā)生可能性 重點控制 適當控制 影響度 16 第 16頁 運營風險報告框架 支付 與結算 采購 資產 管理 貿易 與銷售 財務風險 市場風險 運營風險 月度報告 ? 損失承受能力 ? 風險指標趨勢 ? 主動的風險管理 ? 關鍵的問題 季度報告 ? 風險狀況與問題 周報告 ? 針對業(yè)務線的風險指標報告 季度報告 ? 風險狀況與問題 月度報告 ? 業(yè)務定量分析報告概要 月度報告 ? 風險狀況概覽 ? 主要控制問題 ? 運營風險損失概要 運行風險報告必須聯(lián)合專注的運營風險評估流程、現(xiàn)有的業(yè)務線報告和特別的內部及外部評估 17 第 17頁 第五十四條 風險信息的一致性、準確性、及時性、可用性和完整性 第五十四條 企業(yè)應采取措施確保向風險管理信息系統(tǒng)輸入的業(yè)務數(shù)據(jù)和風險量化值的一致性、準確性、及時性、可用性和完整性。信息系統(tǒng)不僅要識別和獲取必要的 財務和非財務信息 ，還要及時的處理和報告這些信息，確保對企業(yè)經營活動進行有效的控制 12 第 12頁 ? 業(yè)務驅動 ? 風險管理信息化項目的一個最為典型的錯誤是將其當作一個技術項目。這種挑戰(zhàn)可以用 信息系統(tǒng)功能 包括來源、獲取、處理、分析和報告有關的信息來解決。 重點說明：系統(tǒng)必須涵蓋風險管理基本流程和內部控制系統(tǒng)各環(huán)節(jié) 7 第 7頁 風險管理信息存在于經營管理的各個層次之中 ?按照信息使用者的要求和各種業(yè)務在經營管理中的層次，可以把需要企業(yè)的管理信息分為三個層次： ?決策控制層 ?日常經營管理層 ?支持體系管理層 ?風險管理系統(tǒng)需要的信息同時存在于這三個層次當中，因此我們必須要 ?把握好信息收集、分析、處理的范圍、深度和廣度 ?充分考慮信息管理的全流程化 8 第 8頁 信息系統(tǒng)的重要性 ?是企業(yè)風險策略和風險解決方案的重要支撐手段 ?是固化風險管理流程、推進全面風險管理的必須工具 ?是風險信息收集、輸入、加工和輸出的載體 ?是企業(yè)落實風險管理、提升風險管理能力的必經之路 ?提供跨組織、跨流程的信息集成和共享平臺 ?通過系統(tǒng)實現(xiàn)風險的快速預警，及時采取必要的防范措施 ?系統(tǒng)能夠提供企業(yè)風險狀況的報告，并且追溯發(fā)生的原因 9 第 9頁 數(shù)據(jù)層 表現(xiàn)層 中間層 分析層 ERP系統(tǒng) /OLTP/數(shù)據(jù)倉庫 中間件 /OLAP/BAPI 各種分析模型及軟件 報告系統(tǒng) /OA/知識管理 ? 財務 ? 銷售 ? 生產 ? 日常營運等決策支持 ? 各種應用銜接 ? 各種數(shù)據(jù)銜接 ? 跨平臺操作 ? 外部開發(fā)與第三方模塊銜接等 報告查詢 管理決策支持 技術銜接 日常經營、流程管理 風險管理系統(tǒng)的范疇 10 第 10頁 風險系統(tǒng) 與其它系統(tǒng) 風險展現(xiàn)系統(tǒng)： Risk Wizard， OpRisk， SAS 預算系統(tǒng)： Hyperion Planning， Comshare, Timeline， Cognos 數(shù)據(jù)挖掘與分析系統(tǒng)： SPSS, SAS， Intelligent Miner 數(shù)據(jù) EIS： Web Gateway， Decision Lightship 電子商務系統(tǒng)： Commerce One , BoardVision CRM系統(tǒng)： Siebel 公司報告系統(tǒng)： Crystal Report ERP系統(tǒng)： SAP， Oracle， SSA 11 第 11頁 通過風險管理信息系統(tǒng)加工大量風險信息 ?有關風險的信息需要在 各層級的組織機構中 進行 識別、評估 并對風險做出反應，從而來完成企業(yè)經營管理目標。 2 第 2頁 培訓內容 ? 第一部分：本章概述 ? 第二部分：逐條講解 ? 第三部分：重點回顧 3 第 3頁 第一部分：本章概述 風險管理基本流程 風險管理信息系統(tǒng) 風險管理信息系統(tǒng)的作用 風險管理信息系統(tǒng)的實施與運行 風險管理信息系統(tǒng)的要求與功能 ?收集風險管理初始信息 ?進行風險評估 ?制定風險管理策略 ?提出和實施風險管理解決方案 ?實施風險管理的監(jiān)督與改進 4 第 4頁 培訓內容 ? 第一部分：本章概述 ? 第二部分：逐條講解 ? 第三部分：重點回顧 5 第 5頁 第二部分：逐條講解 ? 第五十三條－信息技術應用于風險管理實踐 ? 第五十四條－風險管理信息系統(tǒng)保障風險信息量化值的要求 ? 第五十五條－風險管理信息系統(tǒng)的功能要求 ? 第五十六條－風險管理信息系統(tǒng)應該實現(xiàn)跨部門的集成與共享 ? 第五十七條－風險管理信息系統(tǒng)應該確保安全、穩(wěn)定運行 ? 第五十八條－風險管理信息系統(tǒng)的建設與更新 第八章 風險管理信息系統(tǒng) 6 第 6頁 第五十三條 企業(yè)風險管理信息系統(tǒng)的基本流程和內部控制環(huán)節(jié) 第五十三條 企業(yè)應將信息技術應用于風險管理的各項工作，建立涵蓋風險管理基本流程和內部控制系統(tǒng)各環(huán)節(jié)的風險管理信息系統(tǒng)，包括信息的采集、存儲、加工、分析、測試、傳遞、報告、披露等。0 第 0頁 國務院國資委 《 中央企業(yè)全面風險管理指引 》 . 2023年 8月 第八章 風險管理信息系統(tǒng) 講座 德勤咨詢公司 1 第 1頁 前言 ? 國務院國資委最近頒發(fā)的 《 中央企業(yè)全面風險管理指引 》 ,是指導中央企業(yè)開展全面風險管理工作，增強企業(yè)競爭力，提高投資回報，促進企業(yè)持續(xù)、健康、穩(wěn)定發(fā)展的重要文件。 ? 根據(jù) COSO企業(yè)風險管理框架的三個維度，企業(yè)的目標、全面風險要素管理方法、企業(yè)的各個層級，風險管理系統(tǒng)就是使用信息技術手段，實現(xiàn)企業(yè)各個層級風險要素的信息系統(tǒng)管理，以達到企業(yè)發(fā)展目標的要求。一些信息可能被用到一個或 多個不同的目的 。 ?一些系統(tǒng)提供了對客戶交易情況進行 持續(xù)監(jiān)督功能 ， 結合基本的業(yè)務工作流程來減輕每日操作中的風險。為了獲取真正的業(yè)務收益，系統(tǒng)建設應從業(yè)務的角度出發(fā)。對輸入信息系統(tǒng)的數(shù)據(jù)，未經批準，不得更改。 重點說明：風險管理信息系統(tǒng)的數(shù)據(jù)要求 風險信息 一致性 準確性 及時性 完整性 可用性 18 第 18頁 風險信息系統(tǒng)的內部控制 ? 在風險管理信息系統(tǒng)內部建立嚴格的人員訪問授權、數(shù)據(jù)接觸控制、操作流程規(guī)則和職責體系，以避免信息系統(tǒng)故障，保留 IT審計線索，杜絕利用信息技術進行貪污、舞弊的行為。 ? 為保證風險數(shù)據(jù)的準確性，要重視風險管理系統(tǒng)的操作權限與操作規(guī)程控制、信息安全與數(shù)據(jù)處理流程控制。 ? 可以根據(jù)國際風險組織的 Risk Map風險模型或是德勤的 RiskUniverseTM，結合自身的實際情況，建立風險模型，作為風險識別、分析和評價的參考標準。 —— 標準 —— 模型 —— 損失和概率 ? 在各項風險的發(fā)生可能性與影響程度之間建立起矩陣關系來系統(tǒng)地描述風險的重要性等級（如高風險、中風險和低風險），識別需要應最優(yōu)先進行控制的風險，有效地分配風險管理的資源。 ? 集團設立專門的風險管理部門實施集中化的管理，并授權各業(yè)務板塊和經營單位配備相應的風險管理人員