风险管理信息系统德勤

0第0页前言国务院国资委最近颁发的《中央企业全面风险管理指引》,是指导中央企业开展全面风险管理工作，增强企业竞争力，提高投资回报，促进企业持续、健康、稳定发展的重要文件。风险管理信息系统是整个全面风险管理体系中的重要组成部分，为全面风险管理体系中进行风险评估、实施风险管理解决方案、执行风险管理的基本流程、履行内部控制系统提供必需的技术基础。《指引》的第八章“风险管理信息系统”从第53条至第58条给出了中央企业建立风险管理信息系统的基本要求。1第1页培训内容第一部分：本章概述第二部分：逐条讲解第三部分：重点回顾2第2页第一部分：本章概述风险管理基本流程风险管理信息系统风险管理信息系统的作用风险管理信息系统的实施与运行风险管理信息系统的要求与功能•收集风险管理初始信息•进行风险评估•制定风险管理策略•提出和实施风险管理解决方案•实施风险管理的监督与改进3第3页培训内容第一部分：本章概述第二部分：逐条讲解第三部分：重点回顾4第4页第二部分：逐条讲解第五十三条－信息技术应用于风险管理实践第五十四条－风险管理信息系统保障风险信息量化值的要求第五十五条－风险管理信息系统的功能要求第五十六条－风险管理信息系统应该实现跨部门的集成与共享第五十七条－风险管理信息系统应该确保安全、稳定运行第五十八条－风险管理信息系统的建设与更新第八章风险管理信息系统5第5页第五十三条企业风险管理信息系统的基本流程和内部控制环节第五十三条企业应将信息技术应用于风险管理的各项工作，建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统，包括信息的采集、存储、加工、分析、测试、传递、报告、披露等。根据COSO企业风险管理框架的三个维度，企业的目标、全面风险要素管理方法、企业的各个层级，风险管理系统就是使用信息技术手段，实现企业各个层级风险要素的信息系统管理，以达到企业发展目标的要求。由于企业各个层级、各个业务环境的信息环境十分复杂，就特别需要借助于风险管理系统来实现企业的全面风险管理。风险管理系统即可以是一个完整的信息系统，也可以是通过不同的系统，利用信息技术手段集成实现全面风险管理的整体功能。重点说明：系统必须涵盖风险管理基本流程和内部控制系统各环节6第6页风险管理信息存在于经营管理的各个层次之中按照信息使用者的要求和各种业务在经营管理中的层次，可以把需要企业的管理信息分为三个层次：决策控制层日常经营管理层支持体系管理层风险管理系统需要的信息同时存在于这三个层次当中，因此我们必须要把握好信息收集、分析、处理的范围、深度和广度充分考虑信息管理的全流程化7第7页信息系统的重要性是企业风险策略和风险解决方案的重要支撑手段是固化风险管理流程、推进全面风险管理的必须工具是风险信息收集、输入、加工和输出的载体是企业落实风险管理、提升风险管理能力的必经之路提供跨组织、跨流程的信息集成和共享平台通过系统实现风险的快速预警，及时采取必要的防范措施系统能够提供企业风险状况的报告，并且追溯发生的原因8第8页基础是信息系统数据层表现层中间层分析层ERP系统/OLTP/数据仓库中间件/OLAP/BAPI各种分析模型及软件报告系统/OA/知识管理财务销售生产日常营运等决策支持各种应用衔接各种数据衔接跨平台操作外部开发与第三方模块衔接等报告查询管理决策支持技术衔接日常经营、流程管理风险管理系统的范畴9第9页风险系统与其它系统风险展现系统：RiskWizard，OpRisk，SAS预算系统：HyperionPlanning，Comshare,Timeline，Cognos数据挖掘与分析系统：SPSS,SAS，IntelligentMiner数据EIS：WebGateway，DecisionLightship电子商务系统：CommerceOne,BoardVisionCRM系统：Siebel公司报告系统：CrystalReportERP系统：SAP，Oracle，SSA10第10页通过风险管理信息系统加工大量风险信息有关风险的信息需要在各层级的组织机构中进行识别、评估并对风险做出反应，从而来完成企业经营管理目标。一些信息可能被用到一个或多个不同的目的。信息有很多的来源可以分为内部的和外部、定性和定量的，并可以对变化的环境迅速做出反应。管理的主要挑战是对大量可用信息进行加工的过程。这种挑战可以用信息系统功能包括来源、获取、处理、分析和报告有关的信息来解决。一些系统提供了对客户交易情况进行持续监督功能，结合基本的业务工作流程来减轻每日操作中的风险。保证信息的一致性需要特别注重企业面对行业变动,高度创新和快速发展的竞争者,或重大顾客需求改变。信息系统需要随着新目标的设定而改变。信息系统不仅要识别和获取必要的财务和非财务信息，还要及时的处理和报告这些信息，确保对企业经营活动进行有效的控制11第11页业务驱动风险管理信息化项目的一个最为典型的错误是将其当作一个技术项目。为了获取真正的业务收益，系统建设应从业务的角度出发。业务用户也应直接介入业务战略明晰和业务及信息技术需求分析关键成功因素－业务驱动12第12页风险信息管理的全流程性商业智能、战略评估、业绩评估、综合分析信息技术销售与分销供应内部管理分销渠道管理客户关系管理售后服务市场营销供应渠道管理供应商关系管理合同管理内向物流管理外向物流管理仓储管理财务管理成本控制资金管理企业需要对其核心业务流程进行完整的定义，并通过必要的手段（例如信息技术）进行固化。将企业运作从传统的以部门为核心的方式转为以业务流程为核心风险管理13第13页风险信息的结构和处理流程在构建企业的风险管理信息系统之前，首先要明确相关风险信息的结构和处理流程，即在企业不同层次，不同业务和管理环节的处理办法：信息的分析与测试信息的传递信息的采集信息的存储信息的加工风险信息的采集就必须要明确需要哪些基础信息，这些基础信息的来源，基础信息的收集频度，不同基础信息之间的口径差异，信息的采集流程，技术手段等信息的存储需要建立良好的数据架构，解决好数据标准化和存储技术问题基础信息需要进行加工和提炼才能成为可进行分析的风险信息分析的内容、层次、方法和频度都会是信息分析环节关注的重点风险管理系统必须建立良好的信息传递机制，这种信息的传递机制应当建立于风险管理的各个环节中14第14页风险信息系统对风险的展示与披露信息的报告与披露：从信息技术角度看，信息的报告是展现层的工作。一个良好的风险管理信息系统必须要求能够把风险管理的各个环节情况进行直观易懂的展示根据自己的控制水平和能力确定风险控制策略信息组••••风险因素列表影响风险评估战略组经营组•••财务组•市场占有•客户关系•环境保护•政策法规•股东关系•品牌声誉人事组•••••资金缺口•偿债风险•收益实现••••人才流失•道德操守•内部公平••••信息滞后•信息缺损•系统安全123455432168789543654678765679105432发生可能性重点控制适当控制15第15页运营风险报告框架支付与结算采购资产管理贸易与销售财务风险市场风险运营风险月度报告损失承受能力风险指标趋势主动的风险管理关键的问题季度报告风险状况与问题周报告针对业务线的风险指标报告季度报告风险状况与问题月度报告业务定量分析报告概要月度报告风险状况概览主要控制问题运营风险损失概要运行风险报告必须联合专注的运营风险评估流程、现有的业务线报告和特别的内部及外部评估16第16页第五十四条风险信息的一致性、准确性、及时性、可用性和完整性第五十四条企业应采取措施确保向风险管理信息系统输入的业务数据和风险量化值的一致性、准确性、及时性、可用性和完整性。对输入信息系统的数据，未经批准，不得更改。确保信息系统输入业务数据和风险值的质量，是风险管理信息系统的重要基础。安然、世界通讯等公司的一系列丑闻，使投资者对在美国上市的公司信息披露的真实性产生怀疑。随着萨班斯法案的出台，对上市公司对外披露信息的真实性提出了更高的要求——“管理层对财务信息的准确性承担刑事责任”，实施萨班斯法案，将引发企业从业务流程到技术架构的一系列变革。重点说明：风险管理信息系统的数据要求风险信息一致性准确性及时性完整性可用性17第17页风险信息系统的内部控制在风险管理信息系统内部建立严格的人员访问授权、数据接触控制、操作流程规则和职责体系，以避免信息系统故障，保留IT审计线索，杜绝利用信息技术进行贪污、舞弊的行为。批准决策审核报告数据提供风险管理委员会审计委员会独立第三方业务单位财务业务单位风险能力中心主管海外风险主管风险能力中心主管内部审计经理合规性经理运营管理层内部审计经理完成风险评估风险分析和报告风险状况评估风险战略风险所有者制定风险标准18第18页实施风险管理信息化的准备工作按企业管理层次系统模型的要求，规范企业的业务流程、财务流程和人力资源流程，形成一套完整的信息系统功能和管理制度表单的文档；根据企业文化、组织机构和管理方法的要求，对企业从上层管理人员到一线的工作人员进行全面的管理和工作流程培训；将信息系统与具体工作流程进行实际演练，通过实践及时修正出现的问题。19第19页风险信息的保障机制信息系统输入数据及风险量化值的准确性、及时性、完整性，也就是系统外最前端的数据源的准确也会直接影响到企业控制风险的能力。为保证数据的准确性，企业风险管理信息化需要首先对企业基础管理工作的流程进行梳理，从而确保数据信息的一致性、准确性、及时性、可用性和完整性。为保证风险数据的准确性，要重视风险管理系统的操作权限与操作规程控制、信息安全与数据处理流程控制。制定对应控制规则，设计控制制度和控制程序，并将这些控制程序和控制参数输入到计算机信息系统内部，形成完整、严密的面向流程的人机内部控制系统。录入流程共享与使用操作权限20第20页全球化的信息系统架构在集团范围内共享所有的信息两个标准的数据交换层使用ETL收集和分发相关数据在线的预警信息服务一个强势的集团治理架构按照业务需求建立风险模型集团内统一流程，企业依照执行标准的工具支持流程的运行公共集中的客户信息管理平台标准化的客户信用管理工具和客户交易数据系统所有的交易过程中的风险信息和相关信息都将发送到中央风险数据库一个集中的数据库数据按天收集按月进行风险计算要点欧洲某大型集团公司的风险管理技术流程组织21第21页欧洲某大型集团公司的风险管理企业中央风险数据库风险分析工具风险数据收集风险数据使用与共享信用风险+市场风险引擎参考信息集团参考信息客户产品组织风险标志行为分类警报模型监控风险标志风险标准企业参考信息产品管理建议与批准集团标准风险报告集团比率产品处理收款管理市场风险信息交换服务协议风险信息交换22第22页第五十五条关于风险管理信息系统的功能要求通过风险管理信息系统中的风险库和预警机制全面识别各种风险——风险库的建立；固化流程；标杆和预警利用风险管理信息系统实现对风险水平的自动分析、评估和报告——利用风险评级模型进行评估；建立风险对策库；监督和评价风险管理工作及其效果重点说明：风险管理信息系统的功能要求第五十五条风险管理信息系统应能够进行各种风险的计量和定量分析、定量测试；能够实时反映风险矩阵和排序频谱、重大风险和重要业务流程的监控状态；能够对超过风险预警上限的重大风险实施信息报警；能够满足风险管理内部信息报告制度和企业对外信息披露管理制度的要求。23第23页风险库的建立……系统应支持标准的风险库的建立，比较全面地涵盖企业日常经营所面临的各项主要风险。可以根据国际风险组织的RiskMap风险模型或是德勤的RiskUniverseTM，结合自身的实际情况，建立风险模型，作为风险识别、分析和评价的参考标准。RiskUniverseTMStrategicStrategicStakeholderStakeholderMarketStructureMarketStructureGovernanc