【正文】 rt e r. As se ssm e n t l e ve l se cu ri t y mo d e l su p p o rt e d t h ro u g h As se sso rs t a b .風險評估 47 第 47頁 Asse ssme n t st a t u s ma n a g e d u si n g p ro g re ss me t ri cs.R a t i n g s su mma ri ze d f o r a sse ssme n t re vi e w .T a b s f o r e a sy n a vi g a t i o n t o a c t i o n i t e m a n d a t t a ch e d d o cu me n t su mma ri e s.評估表格 48 第 48頁 管理層報告 49 第 49頁 第五十八條 風險管理信息系統(tǒng)的規(guī)劃與實施 第五十八條 已建立或基本建立企業(yè)管理信息系統(tǒng)的企業(yè)，應(yīng)補充、調(diào)整、更新已有的管理流程和管理程序，建立完善的風險管理信息系統(tǒng)；尚未建立企業(yè)管理信息系統(tǒng)的，應(yīng)將風險管理與企業(yè)各項管理業(yè)務(wù)流程、管理軟件統(tǒng)一規(guī)劃、統(tǒng)一設(shè)計、統(tǒng)一實施、同步運行。 ? 風險管理系統(tǒng)作為企業(yè)整體信息化建設(shè)的一部分，需要和企業(yè)其它生產(chǎn)、經(jīng)營系統(tǒng)一樣統(tǒng)一規(guī)劃，統(tǒng)籌安排。 ? 一般來說，大部分中央企業(yè)都已經(jīng)進行了信息化，很多單位還實施了 ERP系統(tǒng)。僅僅依靠 ERP系統(tǒng)并不能實現(xiàn)從風險識別、風險分析到風險控制的管理全過程。因此必須將企業(yè)的業(yè)務(wù)流程和風險管理結(jié)合起來在系統(tǒng)上實現(xiàn)，保證系統(tǒng)適應(yīng)風險防范和管理的新要求。 重點說明：風險管理信息系統(tǒng)的搭建策略 50 第 50頁 數(shù)據(jù)架構(gòu)描述了企業(yè)的的數(shù)據(jù)資源，包括數(shù)據(jù)分類、數(shù)據(jù)標準、數(shù)據(jù)分布和管理、數(shù)據(jù)使用策略、各類數(shù)據(jù)與系統(tǒng)應(yīng)用的關(guān)系。良好的數(shù)據(jù)架構(gòu)分析和設(shè)計是進行系統(tǒng)設(shè)計的基礎(chǔ)部分，會直接影響到整個企業(yè)系統(tǒng)間的數(shù)據(jù)分布與集成問題。 技術(shù)架構(gòu)描述了應(yīng)用的技術(shù)實現(xiàn)方式，包括硬件、軟件、網(wǎng)絡(luò)，從接口定義、標準和服務(wù)等方面進行描述。確保未來的系統(tǒng)服務(wù)平臺和網(wǎng)絡(luò)架構(gòu)平臺能夠支持應(yīng)用的部署和運行。 應(yīng)用架構(gòu)主要描述的是支持企業(yè)管理的系統(tǒng)之間的關(guān)系，包括每個系統(tǒng)的作用，系統(tǒng)的范圍和邊界，系統(tǒng)之間的關(guān)系與銜接等。應(yīng)用架構(gòu)從功能和業(yè)務(wù)范圍上進行了系統(tǒng)間的界定，明確了不同的關(guān)鍵業(yè)務(wù)通過不同的應(yīng)用系統(tǒng)進行支持，劃定了系統(tǒng)內(nèi)容的功能范圍和系統(tǒng)間的功能交流。應(yīng)用架構(gòu)的設(shè)計關(guān)系到未來各個應(yīng)用系統(tǒng)所能實現(xiàn)的范圍問題，是進行系統(tǒng)分析和設(shè)計的基礎(chǔ)。 風險管理信息系統(tǒng)的構(gòu)建 從構(gòu)建系統(tǒng)的信息技術(shù)角度來看，一個完整的風險管理系統(tǒng)應(yīng)當主要考慮應(yīng)用架構(gòu)、數(shù)據(jù)架構(gòu)、技術(shù)架構(gòu)等。 應(yīng)用架構(gòu) 數(shù)據(jù)架構(gòu) 技術(shù)架構(gòu) 已建立或基本建立企業(yè)管理信息系統(tǒng)的企業(yè)，應(yīng)當在已有系統(tǒng)的基礎(chǔ)上，通過改進現(xiàn)有系統(tǒng)流程，建立完善的風險管理信息系統(tǒng)；尚未建立企業(yè)管理信息系統(tǒng)的，應(yīng)把風險管理融入到企業(yè)各軟件的建設(shè)過程中。 51 第 51頁 內(nèi)部審計系統(tǒng)構(gòu)建 52 第 52頁 風險系統(tǒng)構(gòu)建－ SAS 數(shù)據(jù)平臺 53 第 53頁 風險管理信息系統(tǒng)的選型 風險管理信息系統(tǒng)選型是指建設(shè)信息化的企業(yè)選擇應(yīng)用系統(tǒng)產(chǎn)品及服務(wù)提供商的過程。選型對企業(yè)信息化建設(shè)成敗起著至關(guān)重要的作用。 ?信息系統(tǒng)選型方法 選型就是要通過招標、評標、商務(wù)談判和合同簽訂的過程，采用合適的評估手段，選擇合適的風險管理信息系統(tǒng)。 ?信息系統(tǒng)選型步驟 選型中 （評標） 選型后 （商務(wù)談判、簽約） ? 選型前的準備工作對選型的成敗起著至關(guān)重要的作用。它是明晰需求，確定招標對象、制定標書的過程。這一階段非常重要的事宜就是針對企業(yè)不同層級的需要，明晰企業(yè)的需求，確定項目范圍。 ? 確定評標小組 ? 評標準備 ? 現(xiàn)場聽標 ? 典型客戶考察 ? 商務(wù)談判入圍評選 ? 談判團隊甄選 ? 項目計劃溝通和報價分析 ? 商務(wù)談判 ? 法律條款簽訂 選型前 （明晰需求、確定標書） 54 第 54頁 風險管理信息系統(tǒng)的選型（續(xù)） ? 系統(tǒng)選型的定性因素： ? 軟件公司的性質(zhì) ? 軟件公司的開發(fā)能力 ? 軟件產(chǎn)品的易用性 ? 軟件產(chǎn)品的適應(yīng)性 ? 軟件產(chǎn)品的擴展性 ? 軟件產(chǎn)品的升級性 ? 軟件產(chǎn)品的生命周期 ? 軟件產(chǎn)品的價格體系 ? 系統(tǒng)選型的定量因素： ? 軟件成熟度 ? 成功用戶的數(shù)量 ? 用戶滿意度 ? 客戶化工作量 ? 二次開發(fā)工作量 ? 軟件升級周期 ? 用戶接受培訓(xùn)的工作量 55 第 55頁 ? 風險管理信息系統(tǒng)的實施 ? 風險管理信息系統(tǒng)的升級與更新：企業(yè)應(yīng)確保風險管理信息系統(tǒng)的穩(wěn)定運行和安全，并根據(jù)實際需要不斷進行改進、完善或更新。 風險管理信息系統(tǒng)的實施與升級 項目準備 階段 業(yè)務(wù)藍圖 階段 系統(tǒng)實現(xiàn) 階段 上線準備 階段 上線及運行 支持階段 ?制訂項目計劃 ?制訂項目管理策略 ?設(shè)計系統(tǒng)架構(gòu)并進行技術(shù)評估 ?集成評估及其策略 ?差異評估和管理 ?項目小組培訓(xùn)策略 ?概念培訓(xùn) ?業(yè)務(wù)流程藍圖模板的設(shè)計 ?組織結(jié)構(gòu)調(diào)整的管理 ?系統(tǒng)環(huán)境的開發(fā) ?業(yè)務(wù)組織結(jié)構(gòu) ?業(yè)務(wù)流程的定義 ?系統(tǒng)規(guī)劃 ?最終的系統(tǒng)配置和確認 ?程序開發(fā)說明書的編寫 ?報表設(shè)計和開發(fā) ?系統(tǒng)權(quán)限設(shè)置 ?系統(tǒng)集成測試 ?UAT用戶驗收測試 ?最終用戶文檔編輯和培訓(xùn)材料 ?培訓(xùn)終端用戶 ?系統(tǒng)壓力測試 ?系統(tǒng)上線試運行與系統(tǒng)切換模擬 ?公司內(nèi)的系統(tǒng)支持服務(wù)臺的建立 ?系統(tǒng)管理 ?系統(tǒng)切換 ?檢查上線準備階段的情況 ?系統(tǒng)上線 ?運行支持 ?項目總結(jié) 56 第 56頁 營造 變革氣氛 （理念） 授權(quán)并帶動 試點部門投入變革 實現(xiàn)全公司的系統(tǒng)實施 并加以鞏固 就系統(tǒng)實施的必要性及緊迫性在組織內(nèi)部形成普遍共識 組建具備高度信任度，能引領(lǐng)變革，并愿意全力以赴的試點實施領(lǐng)導(dǎo)團隊 將系統(tǒng)實施的目的和方向在整個組織層級進公司完全溝通，并獲得員工的認同和投入 對相關(guān)人員進行公司系統(tǒng)培訓(xùn)及宣傳 完成對試點的實施目標并加以慶祝 對集團公司其它部門實施系統(tǒng) 不斷跟蹤、培訓(xùn)，鞏固成果 領(lǐng)導(dǎo)成功實施的八個步驟 變革管理方法步驟 組織相關(guān)人員進行公司流程、業(yè)務(wù)等討論 變革管理活動的主要目的是為了使面臨變革的個人和團隊能夠充分了解變革的意義，公司進行充分的知識準備，以及得到更好的協(xié)調(diào)管理。從而使得他們愿意和有準備接受和執(zhí)公司變革計劃，并將變革作為在未來取得成功的必要條件 57 第 57頁 培訓(xùn)內(nèi)容 ? 第一部分：本章概述 ? 第二部分：逐條講解 ? 第三部分：重點回顧 58 第 58頁 回顧與小結(jié) 第五十三條 企業(yè)應(yīng)將信息技術(shù)應(yīng)用于風險管理的各項工作，建立 涵蓋 風險管理基本流程和內(nèi)部控制系統(tǒng)各環(huán)節(jié) 的風險管理信息系統(tǒng)，包括信息的 采集、存儲、加工、分析、測試、傳遞、報告、披露 等。 第五十四條 企業(yè)應(yīng)采取措施確保向風險管理信息系統(tǒng)輸入的業(yè)務(wù)數(shù)據(jù)和風險量化值的 一致性、準確性、及時性、可用性和完整性 。對輸入信息系統(tǒng)的數(shù)據(jù)，未經(jīng)批準，不得更改。 第五十五條 風險管理信息系統(tǒng)應(yīng) 能夠 進行各種風險的計量和定量 分析 、定量 測試 ；能夠?qū)崟r反映風險矩陣和排序頻譜、重大風險和重要業(yè)務(wù)流程的 監(jiān)控 狀態(tài)；能夠?qū)Τ^風險預(yù)警上限的重大風險實施信息 報警 ；能夠滿足風險管理內(nèi)部信息 報告 制度和企業(yè)對外信息 披露 管理制度的要求。 59 第 59頁 回顧與小結(jié) 第五十六條 風險管理信息系統(tǒng)應(yīng)實現(xiàn)信息在 各職能部門、業(yè)務(wù)單位之間的集成與共享 ，既能滿足單項業(yè)務(wù)風險管理的要求，也能滿足企業(yè)整體和跨職能部門、業(yè)務(wù)單位的風險管理綜合要求。 第五十七條 企業(yè)應(yīng)確保風險管理信息系統(tǒng)的穩(wěn)定運行和安全，并根據(jù)實際需要 不斷進行改進、完善或更新 。 第五十八條 已建立或基本建立企業(yè)管理信息系統(tǒng)的企業(yè)，應(yīng)補充、調(diào)整、更新已有的管理流程和管理程序，建立完善的風險管理信息系統(tǒng)；尚未建立企業(yè)管理信息系統(tǒng)的，應(yīng)將風險管理與企業(yè)各項管理業(yè)務(wù)流程、管理軟件 統(tǒng)一規(guī)劃、統(tǒng)一設(shè)計、統(tǒng)一實施、同步運行 。 60 第 60頁 問答 61 第 61頁 演講完畢，謝謝觀看！