【正文】 第五十八條 已建立或基本建立企業(yè)管理信息系統(tǒng)的企業(yè)，應補充、調(diào)整、更新已有的管理流程和管理程序，建立完善的風險管理信息系統(tǒng)；尚未建立企業(yè)管理信息系統(tǒng)的，應將風險管理與企業(yè)各項管理業(yè)務流程、管理軟件 統(tǒng)一規(guī)劃、統(tǒng)一設計、統(tǒng)一實施、同步運行 。對輸入信息系統(tǒng)的數(shù)據(jù)，未經(jīng)批準，不得更改。 ? 確定評標小組 ? 評標準備 ? 現(xiàn)場聽標 ? 典型客戶考察 ? 商務談判入圍評選 ? 談判團隊甄選 ? 項目計劃溝通和報價分析 ? 商務談判 ? 法律條款簽訂 選型前 （明晰需求、確定標書） 54 第 54頁 風險管理信息系統(tǒng)的選型（續(xù)） ? 系統(tǒng)選型的定性因素： ? 軟件公司的性質(zhì) ? 軟件公司的開發(fā)能力 ? 軟件產(chǎn)品的易用性 ? 軟件產(chǎn)品的適應性 ? 軟件產(chǎn)品的擴展性 ? 軟件產(chǎn)品的升級性 ? 軟件產(chǎn)品的生命周期 ? 軟件產(chǎn)品的價格體系 ? 系統(tǒng)選型的定量因素： ? 軟件成熟度 ? 成功用戶的數(shù)量 ? 用戶滿意度 ? 客戶化工作量 ? 二次開發(fā)工作量 ? 軟件升級周期 ? 用戶接受培訓的工作量 55 第 55頁 ? 風險管理信息系統(tǒng)的實施 ? 風險管理信息系統(tǒng)的升級與更新：企業(yè)應確保風險管理信息系統(tǒng)的穩(wěn)定運行和安全，并根據(jù)實際需要不斷進行改進、完善或更新。 ?信息系統(tǒng)選型方法 選型就是要通過招標、評標、商務談判和合同簽訂的過程，采用合適的評估手段，選擇合適的風險管理信息系統(tǒng)。 風險管理信息系統(tǒng)的構建 從構建系統(tǒng)的信息技術角度來看，一個完整的風險管理系統(tǒng)應當主要考慮應用架構、數(shù)據(jù)架構、技術架構等。確保未來的系統(tǒng)服務平臺和網(wǎng)絡架構平臺能夠支持應用的部署和運行。因此必須將企業(yè)的業(yè)務流程和風險管理結合起來在系統(tǒng)上實現(xiàn)，保證系統(tǒng)適應風險防范和管理的新要求。 —— 對風險管理信息系統(tǒng)進行持續(xù)的改進 41 第 41頁 42 第 42頁 43 第 43頁 歡迎界面 44 第 44頁 公司實體界面 45 第 45頁 內(nèi)部控制 46 第 46頁 C o n t ro l se t s a n d a sse ssm e n t s a re co l o r co d e d so l i ke a sse ssm e n t s ca n b e e a si l y re co g n i ze d . T h e s t a t u s f i e l d e n a b l e s a sse ssm e n t w o rk f l o w . Ea ch a sse ssm e n t i s d e si g n e d t o l e ve ra g e a si n g l e co n t ro l se t . R e p o rt i n g Pe ri o d e n a b l e s g ro u p i n g o f a s se ssm e n t s b y f i sca l q u a rt e r. As se ssm e n t l e ve l se cu ri t y mo d e l su p p o rt e d t h ro u g h As se sso rs t a b .風險評估 47 第 47頁 Asse ssme n t st a t u s ma n a g e d u si n g p ro g re ss me t ri cs.R a t i n g s su mma ri ze d f o r a sse ssme n t re vi e w .T a b s f o r e a sy n a vi g a t i o n t o a c t i o n i t e m a n d a t t a ch e d d o cu me n t su mma ri e s.評估表格 48 第 48頁 管理層報告 49 第 49頁 第五十八條 風險管理信息系統(tǒng)的規(guī)劃與實施 第五十八條 已建立或基本建立企業(yè)管理信息系統(tǒng)的企業(yè)，應補充、調(diào)整、更新已有的管理流程和管理程序，建立完善的風險管理信息系統(tǒng)；尚未建立企業(yè)管理信息系統(tǒng)的，應將風險管理與企業(yè)各項管理業(yè)務流程、管理軟件統(tǒng)一規(guī)劃、統(tǒng)一設計、統(tǒng)一實施、同步運行。 38 第 38頁 ? 可靠性：即保證網(wǎng)絡和信息系統(tǒng)隨時可用，運行過程中不出現(xiàn)故障，若遇意外打擊能夠盡量減少損失并盡快恢復正常； ? 可控性：即保證營運者對網(wǎng)絡和信息系統(tǒng)有足夠的控制和管理能力； ? 互操作性：即保證協(xié)議和系統(tǒng)能夠聯(lián)接； ? 可計算性：即保證準確跟蹤實體運行達到審計和識別的目的等 ? 信息的完整性：即保證信息的來源、去向、內(nèi)容真實無誤； ? 保密性：即信息不會被非法泄露擴散； ? 不可否認性：即保證信息的發(fā)送和接收者無法否認自己所做過的操作行為等 網(wǎng)絡層次 信息層次 風險管理信息系統(tǒng)的安全要求 39 第 39頁 第五十七條 企業(yè)應確保風險管理信息系統(tǒng)的穩(wěn)定運行和安全 … … ? 風險管理信息系統(tǒng)安全保障體系應該是一個在充分分析系統(tǒng)安全風險因素的基礎上，通過制定系統(tǒng)安全策略和采取先進、科學、適用的 安全技術 能對系統(tǒng)實施安全防護和監(jiān)控，使系統(tǒng)具有靈敏、迅速的恢復響應和動態(tài)調(diào)整功能的智能型系統(tǒng)安全體系； ? 其模型可用公式表示為： 系統(tǒng)安全 =風險評估 +安全策略 +防御體系 +實時檢測 +數(shù)據(jù)恢復 +安全跟蹤 +動態(tài)調(diào)整 ? 風險管理信息系統(tǒng)安全保障體系的目標是： 網(wǎng)絡層 安全、 系統(tǒng)層 安全和 應用層 安全； ? 不同的層次，其安全內(nèi)容、要求各有差異，因此，各層次安全保障方案的制定也應該是不盡相同。顯然，“信息孤島”的產(chǎn)生并不僅是與軟件產(chǎn)品有關，也與管理集成和技術集成水平有著緊密的關系。 ? 系統(tǒng)必須能夠協(xié)助企業(yè)從上述五個目標的完成情況去評價風險管理的充分性和有效性。 ? 由于各業(yè)務板塊所涉及的業(yè)務／工作不同，風險標識各異，在具體預警系統(tǒng)、管理技術和流程方法上可保持靈活性。 產(chǎn)品分功能盈利分析 5 , 0 0 0 , 0 0 0 05 , 0 0 0 , 0 0 01 0 , 0 0 0 , 0 0 01 5 , 0 0 0 , 0 0 02 0 , 0 0 0 , 0 0 017升電腦非燒烤17升普通機械20升電腦燒烤21升電腦非燒烤21升電腦燒烤21升機械燒烤21升普通機械23升變頻23升電腦非燒烤23升電腦非燒烤23升電腦燒烤23升電腦燒烤23升普通機械25升電腦燒烤40升電腦 1 0 , 0 0 0 , 0 0 0 01 0 , 0 0 0 , 0 0 02 0 , 0 0 0 , 0 0 03 0 , 0 0 0 , 0 0 04 0 , 0 0 0 , 0 0 0毛利 銷售收入（不含稅）平臺 部件 承認 認證 量產(chǎn) 跟進 評審 方案 設計 試驗 手板 模具 試制 試產(chǎn) 綜合 管理 專利 申請 策劃 和推廣 小計 17 L 20 L 21 L 23 L 25 L 28 L 31 L 34 L 36 L 40 L 44 OTR 合 計 2, 27 第 27頁 利用風險評估模型進行風險評估 …… ? 首先，在系統(tǒng)中建立風險評估的定性和定量的標準，構建風險評級模型，綜合考慮潛在風險損失和風險發(fā)生概率確