风险信息管理(郭致星)

2009年售前工作总结和2010年工作规划企业风险信息管理企业认证风险管理师培训一、信息与风险信息二、风险信息沟通三、风险信息的采集管理与应用四、风险信息预警五、风险管理信息系统目录一、信息与风险信息——基本概念信息的定义我们这里所指的信息是：为了特定目的产生、传递、交流并应用于人类社会实践活动，包括一切由人类创造的语言、符号和其他物质载体表达和记录的数据、消息、经验、知识信息的基本特性可记录性可加工性可传播性可共享性在实际应用中，信息与数据在概念上往往是模糊的，并不加以严格的区分一、信息与风险信息——基本概念可量度。信息可采用某种度量单位进行度量，并进行信息编码，如现代计算机使用的二进制可识别。信息可采取直观识别、比较识别和间接识别等多种方式来把握。可转换。信息可以从一种形态转换为另一种形态，如自然信息可转换为语言、文字等形态可存储。信息可以存储，人类发明的文字、摄影、录音、录像等都可以进行信息存储。可处理。信息可以进行提取、分析、挖掘、借用、改造等多种信息处理活动可传递。语言、表情、动作、报刊、书籍、广播、电视、电话等均是常用的信息传递方式可再生。信息经过处理后，可以其他形式再生，如可用语言或图形等方式再生成信息可压缩。信息可以进行压缩，可以用不同的信息量来描述同一事物可利用。信息具有一定的实效性和可利用性。可共享。信息具有扩散性，因此可共享。信息的十大基本特征一、信息与风险信息——基本概念数据的有序组织和加工上升为信息－依据信息的推理、推论形成知识人事管理的个人评估中，姓名、年龄、工作年限等－均为数据数据有序集合——履历表可视为信息；对该员工的评价——则可当做知识一、信息与风险信息——信息管理信息管理的基本概念信息管理是指对信息的收集、整理、存储、传播和利用的过程，或者信息管理是一个从数据－信息－知识－应用知识的传播和应用的过程。广义的信息管理还涉及到信息活动的其他要素，如对相关的人员、技术、机构等进行管理，实现资源的合理配置信息管理的基本目标信息有序化信息可检索信息长久保存信息可共享信息分析与挖掘信息做为决策依据信息管理通常都是利用管理信息系统来实现的，数学方法与信息或者数据的结合来实现数据的分析、数据挖掘以及信息为决策服务一、信息与风险信息——信息管理信息采集信息整理/处理信息存储信息传播信息利用录入、购买、调查、检索、抽取真伪性校验、数据/信息有序化、信息扩充、信息加工数据库表、保存、备份过程、信息、网络、环境作为指令、作为依据、作为决策支持一、信息与风险信息——信息管理数据库是按照某种数据格式或属性保存起来的数据集合形象的说数据库是一些数据表的集合－二维数据表表结构：字段、字段属性描述数据仓库：面向主题的、集成的、与时间相关且不可修改的数据集合（菜市场和超市－前者按照所有者保存；后者按照属性分类保存）。数据集市：如果说数据仓库是企业级的，数据集市就是企业下属若干个部门级或项目级的微型数据仓库。数据库在信息管理系统中处于核心地位常用的数据库：ACCESS、SQLServer、Sybase、Oracle、DB2数据库在信息管理中扮演者核心的重要地位——信息存储与信息有序化一、信息与风险信息——信息管理一、信息与风险信息——信息管理管理信息系统——信息管理的核心工具常见的管理信息系统：办公自动化系统OA、人力资源管理系统、绩效管理系统一、信息与风险信息——风险信息的基本概念风险信息的定义从目标管理角度。风险是可测度的不确定性，风险信息则就是在企业中凡是服务于管理目标不确定性的信息都是风险信息从风险管理使命的角度。由于企业风险管理的使命是为了“损失最小化、减少不确定性和实现绩效最优化”，因此凡是为上述三种使命服务的信息均称为风险信息基于决策角度。狭义上，用于支持企业风险管理决策的信息都是风险信息；广义上，由于供企业决策的信息总是存在着这样或那样的不完整或不完备，令决策往往都带有一定的风险性。由于企业实施任何决策（例如基于备选方案的最优选择或基于评估风险/机遇中的风险承受度的决策）都有一种期望决策成功的目标，需要一种支持决策成功的风险管理过程，因此用于企业决策的一切信息都可称之为风险信息简言之：企业风险管理中使用到的信息均可以称为风险信息一、信息与风险信息——风险信息的基本概念风险信息总成外部环境内部因素决策外部环境——市场变动因素：利率、通货膨胀、监管、市场需求、劳工供应、竞争产品、客户变动、大宗原材料价格变动潜在的灾难性事件：风暴、地震、战争、恐怖活动、冰雹、泥石流、供水、干旱、河流验证污染、其他灾难性事件内部因素——品牌、客户、供应商、员工、运营流程、技术、渠道、知识、机会成本、其他潜在事件（欺诈、违法、不道德行为等）决策——并购、新兴市场、研发、投资、产品与服务以及决策者的风险偏好等等一、信息与风险信息——风险信息的基本概念–相关法律法规、政府监管部门的相关政策等–企业内控的程序控制文件–风险事件数据库–财务信息–市场信息–投资信息–人力资源管理信息–安全生产信息–客户投诉信息–社会媒体风险信息风险管理信息系统中的典型风险信息一、信息与风险信息——建筑业风险信息示例职能分工带来的管理风险：分工与授权、分包与总包资产管理风险：工程设备、物资、材料成本管理风险：成本预测、成本计划、成本控制、成本核算工期风险：工程计划、工程进度、应急预案、调整与后备人力资源风险：人员结构、人力资源保证、人员素质安全生产：内部控制制度、事故防范、事故处置工程质量风险：质量标准、质量管控、质量稽查资金使用风险：资金计划、资金管控、资金筹措法律合规风险：合同、劳动纠纷、劳动环境、合规原材料采购风险：预算、采购控制、核算一、信息与风险信息——风险信息的基本概念风险信息与信息风险信息风险。信息风险的定义有狭义和广义之分。狭义的信息风险指在信息收集、处理、贮藏、传递和利用过程中所产生的风险。广义的信息风险则包括整个信息化过程中带来的各类风险对信息化过程中产生风险的识别、分析和评价当中需要用到的各种数据信息则是风险信息的一种信息风险时常典型的称之为科技风险，或者信息技术风险。在电子化、自动化非常发达的企业中，保证业务连续性的重要措施就是防范信息风险常见的信息风险如计算机病毒侵扰、主机故障、软件故障、网络中断、信息泄露、接触控制失败等等一、信息与风险信息——风险信息的基本概念围绕三大目标的风险信息框架损失最小化支持一、信息与风险信息——风险信息的基本概念围绕企业业务流程的风险信息框架人财物产供销责权利一、信息与风险信息——风险信息的基本概念围绕着风险管理过程的风险信息框架二、风险信息沟通——基本概念沟通是人们进行思想或情况的交流，以此取得彼此的了解、信任及良好的人际关系组织沟通是基于各种相互依赖关系而结成的网络，为应付环境的不确定性而交流信息的过程沟通是风险发现的首要途径；良好的沟通会大幅度降低企业的风险管理成本企业环境和沟通文化会明显影响沟通的效果，虽然自动化的信息采集手段可以在一定程度上克服这个问题，但是仍然不能消除它的影响沟通本身的成本包括：（1）操作成本；（2）网络维护成本；（3）分析处理成本沟通四要素过程信息网络环境二、风险信息沟通——基本概念风险信息沟通的含义风险信息沟通是指在企业内部交流那些可能会对企业决策造成负面影响的那些来自财务、投资、营运、安全生产等方面的信息，同时传达企业风险管理的文化风险信息沟通的目的风险信息沟通的目的是通过各种途径发现可能会产生风险的因素，并对风险应对提供各种基本的处置原则。发现风险和推行宣扬企业的风险文化或风险偏好是风险信息沟通的根本目的。风险信息沟通的方式（1）正式沟通＋非正式沟通；（2)外部沟通＋内部沟通；（3)网络沟通是常态的沟通方式二、风险信息沟通——沟通渠道信息沟通渠道正式沟通非正式沟通正式沟通：通过正式的组织程序所进行的沟通。包括：弥漫式沟通、下向沟通、上向沟通、横向沟通。例如：研讨会、传达文件、会议宣传、报告、信息交流等非正式沟通：指正式制定的规章制度和正式组织程序以外的各种沟通。包括：各种议论的搜集、消息反馈，非正式的报告等。企业背靠背的消息传递有时是一个值得关注的非正式沟通渠道二、风险信息沟通——沟通渠道信息沟通渠道内部沟通外部沟通企业内外部的沟通是指与其经营活动相关的外部环境的信息交流过程。沟通的目的是为了履行企业的职责和保障企业或股东的利益。沟通对象包括：（1）媒体：宣传保护企业品牌、危机处理；（2）股东或董事会：风险管理报告，经营管理报告、企业信息知晓；（3）顾客：品牌建设，信用风险管理，客户关系管理；（4）供应商：（原料）供应链风险管理；（5）政府监管部门：合规风险或政策环境风险管理；（6）会计师、律师事务所：审计及合同风险管理二、风险信息沟通——沟通工具风险信息沟通工具风险报告宣贯网络工具调查问卷访谈沟通要求：1.畅通性；2.及时性；3.忠实性；4.通俗易懂。4.重视非正式渠道。容易出现的问题：1.模型造成的系统误差；2.数据质量不高（例如财务数据分类错误、没有正确性的验证与校验）；3.调查问卷问题与目的不配套；4.调查问卷回答问题的集体附合造成的偏差二、风险信息沟通——沟通工具10维度风险报告模型操作风险流动性风险市场风险风险抵御资本风险风险资产信用风险风险迁徙风险管理工具风险报告治理银行风险报告示例二、风险信息沟通——沟通障碍信息沟通障碍信息孤岛信息扭曲信息屏蔽信息阻断风险信息沟通中，由于风险管理的专业化特点，建立企业统一的标准化沟通语言平台是非常必要的典型的沟通障碍有（1）信息孤岛：多个信息系统之间不能进行相互的信息传递、共享；（2）信息扭曲：数据的真实性、全面性、客观性出现了问题；（3）信息屏蔽：由于处理手法的缘故造成了许多信息的丢失，如会计原始数据的汇总，分类不当等；（4）信息阻断：信息不能进行有效的传递，在信息搜集、加工、整理、传递上出现了中断情况三、风险信息的采集管理与应用风险信息管理数据采集供应流程风险源风险辨识风险分析风险评价风险报告风险源：财务风险、市场风险、人力资源管理风险、信用风险、采购风险、投资风险、合规风险、操作风险数据流的设计原则：基于战略目标的分解，基于关键风险的分解三、风险信息的采集管理与应用财务系统人力资源系统资产管理系统绩效管理系统投资管理系统OA系统数据中心/数据仓库风险指标库、风险事件库、控制程序文档库、合规文档库企业风险管理平台风险管理数据集市依据企业IT建设总体规划，将风险管理数据纳入企业数据中心中风险事件三、风险信息的采集管理与应用——风险坐标图损失发生频率低中高低中高654321123456年度重估立即行动立即关注定期关注三、风险信息的采集管理与应用——风险坐标图低高高重要性发生可能性策略性防范（转移较常见）优先密切监控（在其源头予以预防）定期评估（不需监控）日常监控（改进调整）以风险图为参考制定风险管理对策的基本原则三、风险信息的采集管理与应用——风险坐标图损失发生频率低中高低中高654321123456年度重估立即行动立即关注定期关注某高科技生产企业的风险图合规职业健康客户满意产品开发人力资源产品责任库存管理信息技术财务管理利率水灾三、风险信息的采集管理与应用——风险坐标图关键岗位风险图损失发生频率低中高低中高654321123456COOD&R市场总监开发经理HR库管员CIOCFO接待员CEO客服专员三、风险信息的采集管理与应用——调查问卷风险识别工作小组遴选专家设计调查问卷汇总“选举”出的风险按照管理的重要性排序确定出前15大风险并评估绘制风险坐标图调整与再评估三、风险信息的采集管理与应用——战略风险管理战略可以定义为确立企业的根本长期目标并为实现目标而采取必需的行动序列和资源配置战略风险指的是，危害到公司增长和股东价值的一系列外部事件或趋势，它们通常危害到企业商业模式的核心企业战略风险识别是指发现那些威胁到企业战略目标实现的因素和外部事件企业战略的示例“上游控制资源，下游发展深加工”——一家有色金属集团公司的发展战略“创建一家国