【正文】 on CRM系統： Siebel 公司報告系統： Crystal Report ERP系統： SAP， Oracle， SSA 11 第 11頁 通過風險管理信息系統加工大量風險信息 ?有關風險的信息需要在 各層級的組織機構中 進行 識別、評估 并對風險做出反應，從而來完成企業(yè)經營管理目標。0 第 0頁 國務院國資委 《 中央企業(yè)全面風險管理指引 》 . 2023年 8月 第八章 風險管理信息系統 講座 德勤咨詢公司 1 第 1頁 前言 ? 國務院國資委最近頒發(fā)的 《 中央企業(yè)全面風險管理指引 》 ,是指導中央企業(yè)開展全面風險管理工作，增強企業(yè)競爭力，提高投資回報，促進企業(yè)持續(xù)、健康、穩(wěn)定發(fā)展的重要文件。一些信息可能被用到一個或 多個不同的目的 。為了獲取真正的業(yè)務收益，系統建設應從業(yè)務的角度出發(fā)。 重點說明：風險管理信息系統的數據要求 風險信息 一致性 準確性 及時性 完整性 可用性 18 第 18頁 風險信息系統的內部控制 ? 在風險管理信息系統內部建立嚴格的人員訪問授權、數據接觸控制、操作流程規(guī)則和職責體系，以避免信息系統故障，保留 IT審計線索，杜絕利用信息技術進行貪污、舞弊的行為。 ? 可以根據國際風險組織的 Risk Map風險模型或是德勤的 RiskUniverseTM，結合自身的實際情況，建立風險模型，作為風險識別、分析和評價的參考標準。 ? 集團設立專門的風險管理部門實施集中化的管理，并授權各業(yè)務板塊和經營單位配備相應的風險管理人員，在集團公司的授權范圍內開展工作。 ?因此風險管理的環(huán)節(jié)必須集成，這就要求信息必須在各職能部門、業(yè)務單位之間的集成與共享，既能滿足單項業(yè)務風險管理的要求，也能滿足企業(yè)整體和跨職能部門、業(yè)務單位的風險管理綜合要求。 ? 風險管理系統作為企業(yè)整體信息化建設的一部分，需要和企業(yè)其它生產、經營系統一樣統一規(guī)劃，統籌安排。 應用架構主要描述的是支持企業(yè)管理的系統之間的關系，包括每個系統的作用，系統的范圍和邊界，系統之間的關系與銜接等。 ?信息系統選型步驟 選型中 （評標） 選型后 （商務談判、簽約） ? 選型前的準備工作對選型的成敗起著至關重要的作用。 第五十五條 風險管理信息系統應 能夠 進行各種風險的計量和定量 分析 、定量 測試 ；能夠實時反映風險矩陣和排序頻譜、重大風險和重要業(yè)務流程的 監(jiān)控 狀態(tài)；能夠對超過風險預警上限的重大風險實施信息 報警 ；能夠滿足風險管理內部信息 報告 制度和企業(yè)對外信息 披露 管理制度的要求。 第五十七條 企業(yè)應確保風險管理信息系統的穩(wěn)定運行和安全，并根據實際需要 不斷進行改進、完善或更新 。這一階段非常重要的事宜就是針對企業(yè)不同層級的需要，明晰企業(yè)的需求，確定項目范圍。應用架構的設計關系到未來各個應用系統所能實現的范圍問題，是進行系統分析和設計的基礎。僅僅依靠 ERP系統并不能實現從風險識別、風險分析到風險控制的管理全過程。 重點說明：風險管理信息系統需要不斷改進和完善 第五十七條 企業(yè)應確保風險管理信息系統的穩(wěn)定運行和安全，并根據實際需要不斷進行改進、完善或更新。風險管理信息系統的目標是： 1. 查明影響經營戰(zhàn)略與業(yè)務活動的風險，并按風險大小進行排序； 2. 了解管理層和審計委員會確定的、能夠接受的風險水平； 3. 制定并實施降低風險計劃，把風險降到可以接受的水平上； 4. 定期對風險和控制進行評估，以降低管理風險； 5. 定期向董事會和管理層報告風險管理過程的結果。 定義和分類風險 評估可能性和影響 定義風險緩解策略 管理風險 評估風險 合同簽署 實施風險緩解策略 如何有效 管理剩余 的風險 ? 如何對風險 排序并評價 其影響 ? 如何實施 緩解風險 的策略 ? 如何制定緩解 風險的策略 ? Change in risk profile ? Reduction of existing risks ? Amplification of existing risks, or introduction of existing ones ? No change 外部業(yè)務的 影響如何 ? 正確管理 和評估風險 的方法有 哪些 ? 主要的風險 是什么 ? 風險管理流 26 第 26頁 …… 標桿分析，實施監(jiān)測 …… ? 企業(yè)通過行業(yè)標竿分析、歷史數據分析、情景分析等在系統中設定各風險衡量指標的標準值和合理波動區(qū)間，借助信息系統實現風險預警的自動化，實時監(jiān)測風險指標，及時發(fā)出警報信號，并在規(guī)定的時間內通知規(guī)定的部門和人員，由其采取相應的措施 。 20 第 20頁 風險信息的保障機制 ? 信息系統輸入數據及風險量化值的準確性、及時性、完整性，也就是系統外最前端的數據源的準確也會直接影響到企業(yè)控制風險的能力。將企業(yè)運作從傳統的以部門為核心的方式轉為以業(yè)務流程為核心 風險管理 14 第 14頁 風險信息的結構和處理流程 ? 在構建企業(yè)的風險管理信息系統之前，首先要明確相關風險信息的結構和處理流程，即在企業(yè)不同層次，不同業(yè)務和管理環(huán)節(jié)的處理辦法： ?信息的分析與測試 ?信息的傳遞 ?信息的采集 ?信息的存儲 ?信息的加工 風險信息的采集就必須要明確需要哪些基礎信息，這些基礎信息的來源，基礎信息的收集頻度，不同基礎信息之間的口徑差異，信息的采集流程，技術手段等 信息的存儲需要建立良好的數據架構，解決好數據標準化和存儲技術問題 基礎信息需要進行加工和提煉才能成為可進行分析的風險信息 分析的內容、層次、方法和頻度都會是信息分析環(huán)節(jié)關注的重點 風險管理系統必須建立良好的信息傳遞機制，這種信息的傳遞機制應當建立于風險管理的各個環(huán)節(jié)中 15 第 15頁 風險信息系統對風險的展示與披露 ? 信息的報告與披露：從信息技術角度看，信息的報告是展現層的工作。管理的主要挑戰(zhàn)是對大量可用信息進行加工的過程。 ? 《 指引 》 的第八章 “風險管理信息系統”從第 53條至第 58條給出了中央企業(yè)建立風險管理信息系統的基本要求。 ? 由于企業(yè)各個層級、各個業(yè)務環(huán)境的信息環(huán)境十分復雜，就特別需要借助于風險管理系統來實現企業(yè)的全面風險管理。 保證信息的一致性 需要特別 注重 企業(yè)面對行業(yè)變動 , 高度創(chuàng)新和快速發(fā)展的 競爭者 , 或 重大顧客 需求改變。 ? 確保信息系統輸入業(yè)務數據和風險值的質量，是風險管理信息系統的重要基礎。制定對應控制規(guī)則，設計控制制度和控制程序，并將這些控制程序和控制參數輸入到計算機信息系統內部，形成完整、嚴密的面向流程的人機內部控制系統。 —— 可能性和影響程度 —— 重要性評價 —— 識別優(yōu)先 風險評估 建立對策庫 監(jiān)督與評價 28 第 28頁 …… 建立風險對策庫，實現對解決措施的自動提示 …… ? 企業(yè)應首先確定各類主要風險的應對策略，設計相應的應對措施，并對應到相關的業(yè)務流程和管理流程，確定控制節(jié)點、控制措施和控制手段，形成統一的風險管理操作規(guī)范，同時在系統中建立風險對策庫。 風險評估 建立對策庫 監(jiān)督與評價 31 第 31頁 32 第 32頁 33 第 33頁 34 第 34頁 第五十六條 風險管理信息系統要實現信息的集成與共享 第五十六條 風險管理信息系統應實現信息在各職能部門、業(yè)務單位之間的集成與共享，既能滿足單項業(yè)務風險管理的要求，也能滿足企業(yè)整體和跨職能部門、業(yè)務單位的風險管理綜合要求。 企業(yè)戰(zhàn)略的調整 管理和服務 的需求變化 風險管理 信息系統的調整 技術和管理在不斷地發(fā)展 風險管理信息化建設與實施是一個長期的，需要持續(xù)改進、不斷向前發(fā)展的過程。良好的數據架構分析和設計是進行系統設計的基礎部分，會直接影響到整個企業(yè)系統間的數據分布與集成問題。 51 第 51頁 內部審計系統構建 52 第 52頁 風險系統構建－ SAS 數據平臺 53 第 53頁 風險管理信息系統的選型 風險管理信息系統選型是指建設信息化的企業(yè)選擇應用系統產品及服務提供商的過程。從而使得他們愿意和有準備接受和執(zhí)公司變革計劃，并將變革作為在未來取得成功的必要條件 57 第 57頁 培訓內容 ? 第一部分：本章概述 ? 第二部分：逐條講解 ? 第三部分：重點回顧 58 第 58頁 回顧與小結 第五十三條 企業(yè)應將信息技術應用于風險管理的各項工作，建立 涵蓋 風險管理基本流程和內部控制系統各環(huán)節(jié) 的風險管理信息系統，包括信息的 采集、存儲、加工、分析、測試、傳遞、報告、披露 等