【正文】 打擊能夠盡量減少損失并盡快恢復(fù)正常； ? 可控性：即保證營運者對網(wǎng)絡(luò)和信息系統(tǒng)有足夠的控制和管理能力； ? 互操作性：即保證協(xié)議和系統(tǒng)能夠聯(lián)接； ? 可計算性：即保證準(zhǔn)確跟蹤實體運行達(dá)到審計和識別的目的等 ? 信息的完整性：即保證信息的來源、去向、內(nèi)容真實無誤； ? 保密性：即信息不會被非法泄露擴散； ? 不可否認(rèn)性：即保證信息的發(fā)送和接收者無法否認(rèn)自己所做過的操作行為等 網(wǎng)絡(luò)層次 信息層次 風(fēng)險管理信息系統(tǒng)的安全要求 39 第 39頁 第五十七條 企業(yè)應(yīng)確保風(fēng)險管理信息系統(tǒng)的穩(wěn)定運行和安全 … … ? 風(fēng)險管理信息系統(tǒng)安全保障體系應(yīng)該是一個在充分分析系統(tǒng)安全風(fēng)險因素的基礎(chǔ)上，通過制定系統(tǒng)安全策略和采取先進(jìn)、科學(xué)、適用的 安全技術(shù) 能對系統(tǒng)實施安全防護(hù)和監(jiān)控，使系統(tǒng)具有靈敏、迅速的恢復(fù)響應(yīng)和動態(tài)調(diào)整功能的智能型系統(tǒng)安全體系； ? 其模型可用公式表示為： 系統(tǒng)安全 =風(fēng)險評估 +安全策略 +防御體系 +實時檢測 +數(shù)據(jù)恢復(fù) +安全跟蹤 +動態(tài)調(diào)整 ? 風(fēng)險管理信息系統(tǒng)安全保障體系的目標(biāo)是： 網(wǎng)絡(luò)層 安全、 系統(tǒng)層 安全和 應(yīng)用層 安全； ? 不同的層次，其安全內(nèi)容、要求各有差異，因此，各層次安全保障方案的制定也應(yīng)該是不盡相同。因此必須將企業(yè)的業(yè)務(wù)流程和風(fēng)險管理結(jié)合起來在系統(tǒng)上實現(xiàn)，保證系統(tǒng)適應(yīng)風(fēng)險防范和管理的新要求。 風(fēng)險管理信息系統(tǒng)的構(gòu)建 從構(gòu)建系統(tǒng)的信息技術(shù)角度來看，一個完整的風(fēng)險管理系統(tǒng)應(yīng)當(dāng)主要考慮應(yīng)用架構(gòu)、數(shù)據(jù)架構(gòu)、技術(shù)架構(gòu)等。 ? 確定評標(biāo)小組 ? 評標(biāo)準(zhǔn)備 ? 現(xiàn)場聽標(biāo) ? 典型客戶考察 ? 商務(wù)談判入圍評選 ? 談判團(tuán)隊甄選 ? 項目計劃溝通和報價分析 ? 商務(wù)談判 ? 法律條款簽訂 選型前 （明晰需求、確定標(biāo)書） 54 第 54頁 風(fēng)險管理信息系統(tǒng)的選型（續(xù)） ? 系統(tǒng)選型的定性因素： ? 軟件公司的性質(zhì) ? 軟件公司的開發(fā)能力 ? 軟件產(chǎn)品的易用性 ? 軟件產(chǎn)品的適應(yīng)性 ? 軟件產(chǎn)品的擴展性 ? 軟件產(chǎn)品的升級性 ? 軟件產(chǎn)品的生命周期 ? 軟件產(chǎn)品的價格體系 ? 系統(tǒng)選型的定量因素： ? 軟件成熟度 ? 成功用戶的數(shù)量 ? 用戶滿意度 ? 客戶化工作量 ? 二次開發(fā)工作量 ? 軟件升級周期 ? 用戶接受培訓(xùn)的工作量 55 第 55頁 ? 風(fēng)險管理信息系統(tǒng)的實施 ? 風(fēng)險管理信息系統(tǒng)的升級與更新：企業(yè)應(yīng)確保風(fēng)險管理信息系統(tǒng)的穩(wěn)定運行和安全，并根據(jù)實際需要不斷進(jìn)行改進(jìn)、完善或更新。 第五十八條 已建立或基本建立企業(yè)管理信息系統(tǒng)的企業(yè)，應(yīng)補充、調(diào)整、更新已有的管理流程和管理程序，建立完善的風(fēng)險管理信息系統(tǒng)；尚未建立企業(yè)管理信息系統(tǒng)的，應(yīng)將風(fēng)險管理與企業(yè)各項管理業(yè)務(wù)流程、管理軟件 統(tǒng)一規(guī)劃、統(tǒng)一設(shè)計、統(tǒng)一實施、同步運行 。對輸入信息系統(tǒng)的數(shù)據(jù)，未經(jīng)批準(zhǔn)，不得更改。 ?信息系統(tǒng)選型方法 選型就是要通過招標(biāo)、評標(biāo)、商務(wù)談判和合同簽訂的過程，采用合適的評估手段，選擇合適的風(fēng)險管理信息系統(tǒng)。確保未來的系統(tǒng)服務(wù)平臺和網(wǎng)絡(luò)架構(gòu)平臺能夠支持應(yīng)用的部署和運行。 —— 對風(fēng)險管理信息系統(tǒng)進(jìn)行持續(xù)的改進(jìn) 41 第 41頁 42 第 42頁 43 第 43頁 歡迎界面 44 第 44頁 公司實體界面 45 第 45頁 內(nèi)部控制 46 第 46頁 C o n t ro l se t s a n d a sse ssm e n t s a re co l o r co d e d so l i ke a sse ssm e n t s ca n b e e a si l y re co g n i ze d . T h e s t a t u s f i e l d e n a b l e s a sse ssm e n t w o rk f l o w . Ea ch a sse ssm e n t i s d e si g n e d t o l e ve ra g e a si n g l e co n t ro l se t . R e p o rt i n g Pe ri o d e n a b l e s g ro u p i n g o f a s se ssm e n t s b y f i sca l q u a rt e r. As se ssm e n t l e ve l se cu ri t y mo d e l su p p o rt e d t h ro u g h As se sso rs t a b .風(fēng)險評估 47 第 47頁 Asse ssme n t st a t u s ma n a g e d u si n g p ro g re ss me t ri cs.R a t i n g s su mma ri ze d f o r a sse ssme n t re vi e w .T a b s f o r e a sy n a vi g a t i o n t o a c t i o n i t e m a n d a t t a ch e d d o cu me n t su mma ri e s.評估表格 48 第 48頁 管理層報告 49 第 49頁 第五十八條 風(fēng)險管理信息系統(tǒng)的規(guī)劃與實施 第五十八條 已建立或基本建立企業(yè)管理信息系統(tǒng)的企業(yè)，應(yīng)補充、調(diào)整、更新已有的管理流程和管理程序，建立完善的風(fēng)險管理信息系統(tǒng)；尚未建立企業(yè)管理信息系統(tǒng)的，應(yīng)將風(fēng)險管理與企業(yè)各項管理業(yè)務(wù)流程、管理軟件統(tǒng)一規(guī)劃、統(tǒng)一設(shè)計、統(tǒng)一實施、同步運行。顯然，“信息孤島”的產(chǎn)生并不僅是與軟件產(chǎn)品有關(guān)，也與管理集成和技術(shù)集成水平有著緊密的關(guān)系。 ? 由于各業(yè)務(wù)板塊所涉及的業(yè)務(wù)／工作不同，風(fēng)險標(biāo)識各異，在具體預(yù)警系統(tǒng)、管理技術(shù)和流程方法上可保持靈活性。 24 第 24頁 風(fēng)險庫的建立 …… ? 系統(tǒng)應(yīng)支持標(biāo)準(zhǔn)的風(fēng)險庫的建立，比較全面地涵蓋企業(yè)日常經(jīng)營所面臨的各項主要風(fēng)險。隨著薩班斯法案的出臺，對上市公司對外披露信息的真實性提出了更高的要求 ——“管理層對財務(wù)信息的準(zhǔn)確性承擔(dān)刑事責(zé)任”，實施薩班斯法案，將引發(fā)企業(yè)從業(yè)務(wù)流程到技術(shù)架構(gòu)的一系列變革。信息系統(tǒng)不僅要識別和獲取必要的 財務(wù)和非財務(wù)信息 ，還要及時的處理和報告這些信息，確保對企業(yè)經(jīng)營活動進(jìn)行有效的控制 12 第 12頁 ? 業(yè)務(wù)驅(qū)動 ? 風(fēng)險管理信息化項目的一個最為典型的錯誤是將其當(dāng)作一個技術(shù)項目。 重點說明：系統(tǒng)必須涵蓋風(fēng)險管理基本流程和內(nèi)部控制系統(tǒng)各環(huán)節(jié) 7 第 7頁 風(fēng)險管理信息存在于經(jīng)營管理的各個層次之中 ?按照信息使用者的要求和各種業(yè)務(wù)在經(jīng)營管理中的層次，可以把需要企業(yè)的管理信息分為三個層次： ?決策控制層 ?日常經(jīng)營管理層 ?支持體系管理層 ?風(fēng)險管理系統(tǒng)需要的信息同時存在于這三個層次當(dāng)中，因此我們必須要 ?把握好信息收集、分析、處理的范圍、深度和廣度 ?充分考慮信息管理的全流程化 8 第 8頁 信息系統(tǒng)的重要性 ?是企業(yè)風(fēng)險策略和風(fēng)險解決方案的重要支撐手段 ?是固化風(fēng)險管理流程、推進(jìn)全面風(fēng)險管理的必須工具 ?是風(fēng)險信息收集、輸入、加工和輸出的載體 ?是企業(yè)落實風(fēng)險管理、提升風(fēng)險管理能力的必經(jīng)之路 ?提供跨組織、跨流程的信息集成和共享平臺 ?通過系統(tǒng)實現(xiàn)風(fēng)險的快速預(yù)警，及時采取必要的防范措施 ?系統(tǒng)能夠提供企業(yè)風(fēng)險狀況的報告，并且追溯發(fā)生的原因 9 第 9頁 數(shù)據(jù)層 表現(xiàn)層 中間層 分析層 ERP系統(tǒng) /OLTP/數(shù)據(jù)倉庫 中間件 /OLAP/BAPI 各種分析模型及軟件 報告系統(tǒng) /OA/知識管理 ? 財務(wù) ? 銷售 ? 生產(chǎn) ? 日常營運等決策支持 ? 各種應(yīng)用銜接 ? 各種數(shù)據(jù)銜接 ? 跨平臺操作 ? 外部開發(fā)與第三方模塊銜接等 報告查詢 管理決策支持 技術(shù)銜接 日常經(jīng)營、流程管理 風(fēng)險管理系統(tǒng)的范疇 10 第 10頁 風(fēng)險系統(tǒng) 與其它系統(tǒng) 風(fēng)險展現(xiàn)系統(tǒng)： Risk Wizard， OpRisk， SAS 預(yù)算系統(tǒng)： Hyperion Planning， Comshare, Timeline， Cognos 數(shù)據(jù)挖掘與分析系統(tǒng)： SPSS, SAS， Intelligent Miner 數(shù)據(jù) EIS： Web Gateway， Decision Lightship 電子商務(wù)系統(tǒng)： Commerce One , BoardVisi