《风险管理信息系统(德勤)》由会员分享,可在线阅读,更多相关《风险管理信息系统(德勤)(61页珍藏版)》请在金锄头文库上搜索。
1、国务院国资委中央企业全面风险管理指引.,2006年8月,第八章 风险管理信息系统 讲座,德勤咨询公司,前言,国务院国资委最近颁发的中央企业全面风险管理指引,是指导中央企业开展全面风险管理工作,增强企业竞争力,提高投资回报,促进企业持续、健康、稳定发展的重要文件。风险管理信息系统是整个全面风险管理体系中的重要组成部分,为全面风险管理体系中进行风险评估、实施风险管理解决方案、执行风险管理的基本流程、履行内部控制系统提供必需的技术基础。指引的第八章 “风险管理信息系统”从第53条至第58条给出了中央企业建立风险管理信息系统的基本要求。,培训内容,第一部分:本章概述 第二部分:逐条讲解 第三部分:重点
2、回顾,第一部分:本章概述,风险管理基本流程,风险管理信息系统,风险管理信息系统的作用,风险管理信息系统的实施与运行,风险管理信息系统的要求与功能,收集风险管理初始信息 进行风险评估 制定风险管理策略 提出和实施风险管理解决方案 实施风险管理的监督与改进,培训内容,第一部分:本章概述 第二部分:逐条讲解 第三部分:重点回顾,第二部分:逐条讲解,第五十三条信息技术应用于风险管理实践 第五十四条风险管理信息系统保障风险信息量化值的要求 第五十五条风险管理信息系统的功能要求 第五十六条风险管理信息系统应该实现跨部门的集成与共享 第五十七条风险管理信息系统应该确保安全、稳定运行 第五十八条风险管理信息系
3、统的建设与更新,第八章 风险管理信息系统,第五十三条 企业风险管理信息系统的基本流程和内部控制环节,第五十三条 企业应将信息技术应用于风险管理的各项工作,建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统,包括信息的采集、存储、加工、分析、测试、传递、报告、披露等。,根据COSO企业风险管理框架的三个维度,企业的目标、全面风险要素管理方法、企业的各个层级,风险管理系统就是使用信息技术手段,实现企业各个层级风险要素的信息系统管理,以达到企业发展目标的要求。 由于企业各个层级、各个业务环境的信息环境十分复杂,就特别需要借助于风险管理系统来实现企业的全面风险管理。 风险管理系统即可以是一
4、个完整的信息系统,也可以是通过不同的系统,利用信息技术手段集成实现全面风险管理的整体功能。,重点说明:系统必须涵盖风险管理基本流程和内部控制系统各环节,风险管理信息存在于经营管理的各个层次之中,按照信息使用者的要求和各种业务在经营管理中的层次,可以把需要企业的管理信息分为三个层次: 决策控制层 日常经营管理层 支持体系管理层 风险管理系统需要的信息同时存在于这三个层次当中,因此我们必须要 把握好信息收集、分析、处理的范围、深度和广度 充分考虑信息管理的全流程化,信息系统的重要性,是企业风险策略和风险解决方案的重要支撑手段 是固化风险管理流程、推进全面风险管理的必须工具 是风险信息收集、输入、加
5、工和输出的载体 是企业落实风险管理、提升风险管理能力的必经之路 提供跨组织、跨流程的信息集成和共享平台 通过系统实现风险的快速预警,及时采取必要的防范措施 系统能够提供企业风险状况的报告,并且追溯发生的原因,基础是信息系统,ERP系统/OLTP/数据仓库,中间件/OLAP/BAPI,各种分析模型及软件,报告系统/OA/知识管理,财务 销售 生产 日常营运等决策支持,各种应用衔接 各种数据衔接 跨平台操作 外部开发与第三方模块衔接等,报告查询,管理决策支持,技术衔接,日常经营、流程管理,风险管理系统的范畴,风险系统与其它系统,风险展现系统:Risk Wizard, OpRisk,SAS 预算系统
6、:Hyperion Planning,Comshare, Timeline,Cognos 数据挖掘与分析系统:SPSS, SAS,Intelligent Miner 数据EIS:Web Gateway,Decision Lightship 电子商务系统:Commerce One , BoardVision CRM系统:Siebel 公司报告系统:Crystal ReportERP系统:SAP,Oracle,SSA,通过风险管理信息系统加工大量风险信息,有关风险的信息需要在各层级的组织机构中进行识别、评估并对风险做出反应,从而来完成企业经营管理目标。一些信息可能被用到一个或多个不同的目的。 信息
7、有很多的来源可以分为内部的和外部、定性和定量的,并可以对变化的环境迅速做出反应。管理的主要挑战是对大量可用信息进行加工的过程。这种挑战可以用信息系统功能包括来源、获取、处理、分析和报告有关的信息来解决。 一些系统提供了对客户交易情况进行持续监督功能, 结合基本的业务工作流程来减轻每日操作中的风险。保证信息的一致性需要特别注重企业面对行业变动, 高度创新和快速发展的竞争者, 或重大顾客需求改变。信息系统需要随着新目标的设定而改变。信息系统不仅要识别和获取必要的财务和非财务信息,还要及时的处理和报告这些信息,确保对企业经营活动进行有效的控制,业务驱动 风险管理信息化项目的一个最为典型的错误是将其当
8、作一个技术项目。为了获取真正的业务收益,系统建设应从业务的角度出发。业务用户也应直接介入业务战略明晰和业务及信息技术需求分析,关键成功因素业务驱动,风险信息管理的全流程性,商业智能、战略评估、业绩评估、综合分析,信息技术,销售与分销,供应,内部管理,分销渠道管理,客户关系管理,售后服务,市场营销,供应渠道管理,供应商关系管理,合同管理,内向物流管理,外向物流管理,仓储管理,财务管理,成本控制,资金管理,企业需要对其核心业务流程进行完整的定义,并通过必要的手段(例如信息技术)进行固化。将企业运作从传统的以部门为核心的方式转为以业务流程为核心,风险管理,风险信息的结构和处理流程,在构建企业的风险管
9、理信息系统之前,首先要明确相关风险信息的结构和处理流程,即在企业不同层次,不同业务和管理环节的处理办法:,信息的分析与测试,信息的传递,信息的采集,信息的存储,信息的加工,风险信息的采集就必须要明确需要哪些基础信息,这些基础信息的来源,基础信息的收集频度,不同基础信息之间的口径差异,信息的采集流程,技术手段等,信息的存储需要建立良好的数据架构,解决好数据标准化和存储技术问题,基础信息需要进行加工和提炼才能成为可进行分析的风险信息,分析的内容、层次、方法和频度都会是信息分析环节关注的重点,风险管理系统必须建立良好的信息传递机制,这种信息的传递机制应当建立于风险管理的各个环节中,风险信息系统对风险
10、的展示与披露,信息的报告与披露:从信息技术角度看,信息的报告是展现层的工作。一个良好的风险管理信息系统必须要求能够把风险管理的各个环节情况进行直观易懂的展示,根据自己的控制水平和能力确定风险控制策略,风险因素列表,影响,风险评估,经营组,财务组,市场占有 客户关系 环境保护,政策法规 股东关系 品牌声誉,人事组,资金缺口 偿债风险 收益实现,人才流失 道德操守 内部公平,信息滞后 信息缺损 系统安全,12345,5 4 3 2 1,6,8,7,8,9,5,4,3,6,5,4,6,7,8,7,6,5,6,7,9,10,5,4,3,2,发生可能性,重点控制,适当控制,影响度,运营风险报告框架,支付
11、 与结算,采购,资产 管理,贸易 与销售,财务风险 市场风险 运营风险,月度报告 损失承受能力 风险指标趋势 主动的风险管理 关键的问题 季度报告 风险状况与问题,周报告 针对业务线的风险指标报告,季度报告风险状况与问题 月度报告 业务定量分析报告概要,月度报告 风险状况概览 主要控制问题 运营风险损失概要,运行风险报告必须联合专注的运营风险评估流程、现有的业务线报告和特别的内部及外部评估,第五十四条 风险信息的一致性、准确性、及时性、可用性和完整性,第五十四条 企业应采取措施确保向风险管理信息系统输入的业务数据和风险量化值的一致性、准确性、及时性、可用性和完整性。对输入信息系统的数据,未经批
12、准,不得更改。,确保信息系统输入业务数据和风险值的质量,是风险管理信息系统的重要基础。 安然、世界通讯等公司的一系列丑闻,使投资者对在美国上市的公司信息披露的真实性产生怀疑。随着萨班斯法案的出台,对上市公司对外披露信息的真实性提出了更高的要求“管理层对财务信息的准确性承担刑事责任”,实施萨班斯法案,将引发企业从业务流程到技术架构的一系列变革。,重点说明:风险管理信息系统的数据要求,风险信息系统的内部控制,在风险管理信息系统内部建立严格的人员访问授权、数据接触控制、操作流程规则和职责体系,以避免信息系统故障,保留IT审计线索,杜绝利用信息技术进行贪污、舞弊的行为。,风险管理委员会,审计委员会,独
13、立第三方,业务单位,风险能力中心主管,海外风险主管,风险能力中心主管,内部审计经理,合规性经理,运营管理层,内部审计经理,完成风险评估,风险分析和报告,风险状况评估,风险战略,风险所有者,制定风险标准,实施风险管理信息化的准备工作,按企业管理层次系统模型的要求,规范企业的业务流程、财务流程和人力资源流程,形成一套完整的信息系统功能和管理制度表单的文档; 根据企业文化、组织机构和管理方法的要求,对企业从上层管理人员到一线的工作人员进行全面的管理和工作流程培训; 将信息系统与具体工作流程进行实际演练,通过实践及时修正出现的问题。,风险信息的保障机制,信息系统输入数据及风险量化值的准确性、及时性、完
14、整性,也就是系统外最前端的数据源的准确也会直接影响到企业控制风险的能力。 为保证数据的准确性,企业风险管理信息化需要首先对企业基础管理工作的流程进行梳理,从而确保数据信息的一致性、准确性、及时性、可用性和完整性。 为保证风险数据的准确性,要重视风险管理系统的操作权限与操作规程控制、信息安全与数据处理流程控制。制定对应控制规则,设计控制制度和控制程序,并将这些控制程序和控制参数输入到计算机信息系统内部,形成完整、严密的面向流程的人机内部控制系统。,全球化的信息系统架构在集团范围内共享所有的信息两个标准的数据交换层 使用ETL收集和分发相关数据 在线的预警信息服务,一个强势的集团治理架构按照业务需
15、求建立风险模型,集团内统一流程,企业依照执行标准的工具支持流程的运行,公共集中的客户信息管理平台标准化的客户信用管理工具和客户交易数据系统所有的交易过程中的风险信息和相关信息都将发送到中央风险数据库 一个集中的数据库 数据按天收集 按月进行风险计算,要点,欧洲某大型集团公司的风险管理,技术,流程,组织,欧洲某大型集团公司的风险管理,企业,中央风险数据库,风险分析工具,风险数据收集,风险数据使用与共享,信用风险 + 市场风险,引擎,参考信息,集团参考信息,客户,产品,组织,风险标志,行为,分类,警报,模型,监控,风险标志,风险标准,企业参考信息,产品管理,建议与批准,集团,标准风险报告,集团比率
16、,产品处理,收款管理,市场风险,信息 交换 服务 协议,风险,信息交换,第五十五条 关于风险管理信息系统的功能要求,通过风险管理信息系统中的风险库和预警机制全面识别各种风险风险库的建立;固化流程;标杆和预警 利用风险管理信息系统实现对风险水平的自动分析、评估和报告利用风险评级模型进行评估;建立风险对策库;监督和评价风险管理工作及其效果,重点说明:风险管理信息系统的功能要求,第五十五条 风险管理信息系统应能够进行各种风险的计量和定量分析、定量测试;能够实时反映风险矩阵和排序频谱、重大风险和重要业务流程的监控状态;能够对超过风险预警上限的重大风险实施信息报警;能够满足风险管理内部信息报告制度和企业对外信息披露管理制度的要求。,风险库的建立,系统应支持标准的风险库的建立,比较全面地涵盖企业日常经营所面临的各项主要风险。 可以根据国际风险组织的Risk Map风险模型或是德勤的RiskUniverseTM,结合自身的实际情况,建立风险模型,作为风险识别、分析和评价的参考标准。,
