【正文】 金融機構(gòu)風險管理示例 全球信貸建議數(shù)據(jù)庫 全球客戶參考信息 全球信貸風險數(shù)據(jù)庫 信貸發(fā)生系統(tǒng) 信貸處理系統(tǒng) 信貸發(fā)生系統(tǒng) 信貸處理系統(tǒng) 信貸發(fā)生系統(tǒng) 信貸處理系統(tǒng) 建議和信貸批準 限制、披露和提供數(shù)據(jù) 客戶數(shù)據(jù) 金融企業(yè) 1 金融企業(yè) 2 金融企業(yè) n 地區(qū)(企業(yè)層面) 集團層面 建議和信貸批準 建議和信貸批準 限制、披露和提供數(shù)據(jù) 限制、披露和提供數(shù)據(jù) 37 第 37頁 第五十七條 確保風險管理信息系統(tǒng)的安全和穩(wěn)定，并持續(xù)改進 ? 風險管理信息系統(tǒng)的 穩(wěn)定和安全 將直接關(guān)系到企業(yè)對風險的控制能力，如果處理不好，會給企業(yè)帶來巨大損失，嚴重時，還會制約企業(yè)的整體發(fā)展； ? 針對風險管理信息系統(tǒng)的安全內(nèi)容十分廣泛，安全要求各不相同，需要從 網(wǎng)絡層次、信息層次、設備層次 等分別討論； ? 除了要確保風險管理信息系統(tǒng)的穩(wěn)定及安全外，還要 根據(jù)企業(yè)的發(fā)展需要 ，對風險信管理信息系統(tǒng)進行改進、完善和更新。 38 第 38頁 ? 可靠性：即保證網(wǎng)絡和信息系統(tǒng)隨時可用，運行過程中不出現(xiàn)故障，若遇意外打擊能夠盡量減少損失并盡快恢復正常； ? 可控性：即保證營運者對網(wǎng)絡和信息系統(tǒng)有足夠的控制和管理能力； ? 互操作性：即保證協(xié)議和系統(tǒng)能夠聯(lián)接； ? 可計算性：即保證準確跟蹤實體運行達到審計和識別的目的等 ? 信息的完整性：即保證信息的來源、去向、內(nèi)容真實無誤； ? 保密性：即信息不會被非法泄露擴散； ? 不可否認性：即保證信息的發(fā)送和接收者無法否認自己所做過的操作行為等 網(wǎng)絡層次 信息層次 風險管理信息系統(tǒng)的安全要求 39 第 39頁 第五十七條 企業(yè)應確保風險管理信息系統(tǒng)的穩(wěn)定運行和安全 … … ? 風險管理信息系統(tǒng)安全保障體系應該是一個在充分分析系統(tǒng)安全風險因素的基礎上，通過制定系統(tǒng)安全策略和采取先進、科學、適用的 安全技術(shù) 能對系統(tǒng)實施安全防護和監(jiān)控，使系統(tǒng)具有靈敏、迅速的恢復響應和動態(tài)調(diào)整功能的智能型系統(tǒng)安全體系； ? 其模型可用公式表示為： 系統(tǒng)安全 =風險評估 +安全策略 +防御體系 +實時檢測 +數(shù)據(jù)恢復 +安全跟蹤 +動態(tài)調(diào)整 ? 風險管理信息系統(tǒng)安全保障體系的目標是： 網(wǎng)絡層 安全、 系統(tǒng)層 安全和 應用層 安全； ? 不同的層次，其安全內(nèi)容、要求各有差異，因此，各層次安全保障方案的制定也應該是不盡相同。 企業(yè)戰(zhàn)略的調(diào)整 管理和服務 的需求變化 風險管理 信息系統(tǒng)的調(diào)整 技術(shù)和管理在不斷地發(fā)展 風險管理信息化建設與實施是一個長期的，需要持續(xù)改進、不斷向前發(fā)展的過程。 —— 對風險管理信息系統(tǒng)進行持續(xù)的改進 41 第 41頁 42 第 42頁 43 第 43頁 歡迎界面 44 第 44頁 公司實體界面 45 第 45頁 內(nèi)部控制 46 第 46頁 C o n t ro l se t s a n d a sse ssm e n t s a re co l o r co d e d so l i ke a sse ssm e n t s ca n b e e a si l y re co g n i ze d . T h e s t a t u s f i e l d e n a b l e s a sse ssm e n t w o rk f l o w . Ea ch a sse ssm e n t i s d e si g n e d t o l e ve ra g e a si n g l e co n t ro l se t . R e p o rt i n g Pe ri o d e n a b l e s g ro u p i n g o f a s se ssm e n t s b y f i sca l q u a rt e r. As se ssm e n t l e ve l se cu ri t y mo d e l su p p o rt e d t h ro u g h As se sso rs t a b .風險評估 47 第 47頁 Asse ssme n t st a t u s ma n a g e d u si n g p ro g re ss me t ri cs.R a t i n g s su mma ri ze d f o r a sse ssme n t re vi e w .T a b s f o r e a sy n a vi g a t i o n t o a c t i o n i t e m a n d a t t a ch e d d o cu me n t su mma ri e s.評估表格 48 第 48頁 管理層報告 49 第 49頁 第五十八條 風險管理信息系統(tǒng)的規(guī)劃與實施 第五十八條 已建立或基本建立企業(yè)管理信息系統(tǒng)的企業(yè)，應補充、調(diào)整、更新已有的管理流程和管理程序，建立完善的風險管理信息系統(tǒng)；尚未建立企業(yè)管理信息系統(tǒng)的，應將風險管理與企業(yè)各項管理業(yè)務流程、管理軟件統(tǒng)一規(guī)劃、統(tǒng)一設計、統(tǒng)一實施、同步運行。 ? 一般來說，大部分中央企業(yè)都已經(jīng)進行了信息化，很多單位還實施了 ERP系統(tǒng)。因此必須將企業(yè)的業(yè)務流程和風險管理結(jié)合起來在系統(tǒng)上實現(xiàn)，保證系統(tǒng)適應風險防范和管理的新要求。良好的數(shù)據(jù)架構(gòu)分析和設計是進行系統(tǒng)設計的基礎部分，會直接影響到整個企業(yè)系統(tǒng)間的數(shù)據(jù)分布與集成問題。確保未來的系統(tǒng)服務平臺和網(wǎng)絡架構(gòu)平臺能夠支持應用的部署和運行。應用架構(gòu)從功能和業(yè)務范圍上進行了系統(tǒng)間的界定，明確了不同的關(guān)鍵業(yè)務通過不同的應用系統(tǒng)進行支持，劃定了系統(tǒng)內(nèi)容的功能范圍和系統(tǒng)間的功能交流。 風險管理信息系統(tǒng)的構(gòu)建 從構(gòu)建系統(tǒng)的信息技術(shù)角度來看，一個完整的風險管理系統(tǒng)應當主要考慮應用架構(gòu)、數(shù)據(jù)架構(gòu)、技術(shù)架構(gòu)等。 51 第 51頁 內(nèi)部審計系統(tǒng)構(gòu)建 52 第 52頁 風險系統(tǒng)構(gòu)建－ SAS 數(shù)據(jù)平臺 53 第 53頁 風險管理信息系統(tǒng)的選型 風險管理信息系統(tǒng)選型是指建設信息化的企業(yè)選擇應用系統(tǒng)產(chǎn)品及服務提供商的過程。 ?信息系統(tǒng)選型方法 選型就是要通過招標、評標、商務談判和合同簽訂的過程，采用合適的評估手段，選擇合適的風險管理信息系統(tǒng)。它是明晰需求，確定招標對象、制定標書的過程。 ? 確定評標小組 ? 評標準備 ? 現(xiàn)場聽標 ? 典型客戶考察 ? 商務談判入圍評選 ? 談判團隊甄選 ? 項目計劃溝通和報價分析 ? 商務談判 ? 法律條款簽訂 選型前 （明晰需求、確定標書） 54 第 54頁 風險管理信息系統(tǒng)的選型（續(xù)） ? 系統(tǒng)選型的定性因素： ? 軟件公司的性質(zhì) ? 軟件公司的開發(fā)能力 ? 軟件產(chǎn)品的易用性 ? 軟件產(chǎn)品的適應性 ? 軟件產(chǎn)品的擴展性 ? 軟件產(chǎn)品的升級性 ? 軟件產(chǎn)品的生命周期 ? 軟件產(chǎn)品的價格體系 ? 系統(tǒng)選型的定量因素： ? 軟件成熟度 ? 成功用戶的數(shù)量 ? 用戶滿意度 ? 客戶化工作量 ? 二次開發(fā)工作量 ? 軟件升級周期 ? 用戶接受培訓的工作量 55 第 55頁 ? 風險管理信息系統(tǒng)的實施 ? 風險管理信息系統(tǒng)的升級與更新：企業(yè)應確保風險管理信息系統(tǒng)的穩(wěn)定運行和安全，并根據(jù)實際需要不斷進行改進、完善或更新。從而使得他們愿意和有準備接受和執(zhí)公司變革計劃，并將變革作為在未來取得成功的必要條件 57 第 57頁 培訓內(nèi)容 ? 第一部分：本章概述 ? 第二部分：逐條講解 ? 第三部分：重點回顧 58 第 58頁 回顧與小結(jié) 第五十三條 企業(yè)應將信息技術(shù)應用于風險管理的各項工作，建立 涵蓋 風險管理基本流程和內(nèi)部控制系統(tǒng)各環(huán)節(jié) 的風險管理信息系統(tǒng)，包括信息的 采集、存儲、加工、分析、測試、傳遞、報告、披露 等。對輸入信息系統(tǒng)的數(shù)據(jù)，未經(jīng)批準，不得更改。 59 第 59頁 回顧與小結(jié) 第五十六條 風險管理信息系統(tǒng)應實現(xiàn)信息在 各職能部門、業(yè)務單位之間的集成與共享 ，既能滿足單項業(yè)務風險管理的要求，也能滿足企業(yè)整體和跨職能部門、業(yè)務單位的風險管理綜合要求。 第五十八條 已建立或基本建立企業(yè)管理信息系統(tǒng)的企業(yè)，應補充、調(diào)整、更新已有的管理流程和管理程序，建立完善的風險管理信息系統(tǒng)；尚未建立企業(yè)管理信息系統(tǒng)的，應將風險管理與企業(yè)各項管理業(yè)務流程、管理軟件 統(tǒng)一規(guī)劃、統(tǒng)一設計、統(tǒng)一實施、同步運行