大数据时代的风险管控-2022

《大数据时代的风险管控-2022》由会员分享，可在线阅读，更多相关《大数据时代的风险管控-2022（31页珍藏版）》请在金锄头文库上搜索。

1、XX集团集团有限公司大数据时代的风险管控风险管控一体化系统建设项目研究报告2015/9/22 华博风控信息技术（北京）有限公司基于华博大数据摘要：本报告以国资委、财政部发布的风险管控理论为依据，利用先进的IT 技术手段，从我公司实际管理情况出发，探讨了如何利用信息化，有效的解决风险管控落地的问题，明确了“风险管控融入业务、融入信息化”的重要意义。通过实地考察和研究，探索出了新型的、有效的风险管控落地实施策略。研究结果表明，要实现有效的风险管控，必须应用信息化手段，实现风险、内控、审计的融合，形成事前、事中、事后的三位一体的管控模式。名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页，共

2、31 页 -2 风险管控一体化系统建设项目研究报告目录引言.3第一章 问题的提出 .4第二章 项目目标与意义.62.1 整体目标 .62.2 目标分解 .72.3 项目意义 .8第三章 项目总体思路.93.1 项目效果蓝图 .10 3.2 风险、内控、审计一体化循环.11 3.3 风险管控融入业务过程 .12 3.4 构建集团风险管控运行机制.13 3.5 建设集团风险管控业务模式.13 第四章 项目实施方案.14 4.1 实施路径及工作原则.14 4.2 实施规划及内容 .15 4.3 风险内控一体化信息系统建设项目（第一阶段）组织.17 4.4 风险内控一体化信息系统（第一阶段）目标.18

3、 4.5 风险内控一体化信息系统（第一阶段）实施步骤.20 第五章 项目成果展现.22 5.1 XX集团风险内控一体化信息系统架构.22 5.2 系统功能展现 .23 第六章 项目价值 .27 名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页，共 31 页 -3 引言 2007 年集团公司全面开展风险管理体系建设工作，2012 年集团公司在内部控制建设上采取“以上市公司为先导、以集团公司为核心、以二级公司为纽带”策略，开展内部控制体系建设与实施工作。从2010 年至 2012 年，也正是中国风险管控市场发展的黄金期，其他国资企业、上市公司不仅构建了自己的风险管控体系，而且逐步搭建了信息

4、系统平台。但从 2014 年开始，风险管控出现了一些问题，管理咨询帮助企业搭建的风控体系和信息化系统并没有帮助企业解决关键问题。还有一些企业一边做风控项目，一边频发风险事件。为了避免出现同样的问题，自2012 年集团全面建立了内部控制体系以来，我们就一直在探讨如何实现“资源整合、业务统一、规范运用、驾驭风险”。在各方领导的关注下，行业专家的指导下，我们经过对基础理论的深入解读，对同行企业的实地考察，不仅找到了解决风险管控落地的方法，而且形成了一套契合集团实际需求的实施方案。总之，本次项目研究取得了一定成效，将引领集团走向一个新型的风险管控模式。名师资料总结-精品资料欢迎下载-名师精心整理-第

5、3 页，共 31 页 -4 第一章 问题的提出多年来，为适应XX集团快速发展的要求和国际国内环境的不断变化，集团公司的风险、内控与集团发展战略紧密结合，对应各个发展阶段，培养企业独立开展风险管理和内部控制的内力，提供风险管理和内部控制的操作平台，使内控和风控体系落地，保障了XX集团多年来的高速发展，以及战略目标的实施。2006 年 6 月国资委发布中央企业全面风险管理指引。2009年底发布风险管理国际标准ISO31000 和国内标准GB/T24353，规范了风控的方法论，成为软件标准化的基本依据。2010 年 4 月财政部、证监会、审计署、银监会、保监会联合发布 企业内部控制基本规范、企业内部

6、控制应用指引、企业内部控制评价指引、企业内部控制审计指引等。在此背景下，2007 年集团公司全面开展风险管理体系建设工作，确定了集团公司风险管理体系建设的指导思想、总体目标、具体目标、基本原则、实施步骤、进度安排、关注的重点和组织设置等内容。集团公司风险管理体系建设按照试点单位推进与框架设计、各成员单位全面推广、体系完善三个阶段完成。2012 年集团公司在内部控制建设上采取“以上市公司为先导、以集团公司为核心、以二级公司为纽带”策略，开展内部控制体系建设与实施工作。2012年底，集团公司基本上建立健全了内部控制体系。随着集团的跨越式成长，风险管理、内部控制不可避免的暴露出名师资料总结-精品资料

7、欢迎下载-名师精心整理-第 4 页，共 31 页 -5 一些问题：一是决策支持层面。高层管理缺乏风控总体信息以支持其进行决策；缺乏对风险的量化分析，影响公司合理分解具体风险的应对所需的管理资源；难以实时、动态的把握企业风险状况以便各层级风险应对负责人及时应对。二是风险管理机构层面。业务流程层面的内控要素的维护与评估、风险评估、控制识别、有效性检查评价等，均需手工完成，效率效果难以保证；内控流程、风险应对措施、监督评价结果没有有效的与业务指标相结合，难以融入日常业务运作；信息来源、格式、口径、版本不统一，数据、信息分散，难以有效利用。三是业务单元风险管理执行层面。各业务单位在风险识别、评估、应对

8、及内控流程优化过程中缺乏统一的沟通与协作平台，难以实现多口径信息共享；各业务单位直接参与风险管理及内控优化工作仍主要局限于风险管理或内控联系人，控制负责人的参与程度不够广泛；总体报告渠道不清晰，内部信息交流不畅。面对以上问题，传统的风险管控方法已经变得束手无策。将企业管控、风险管控与企业信息化高度融合，形成一套在信息化条件下的，新型的、有效的风险管控落地模式，已经成为目前集团的亟待解决的需求。名师资料总结-精品资料欢迎下载-名师精心整理-第 5 页，共 31 页 -6 第二章 项目目标与意义2.1 整体目标“将企业管控与企业信息化高度融合，形成有效的风险管控落地模式”是本次项目研究的最终目标。

9、针对企业管控，风险是事前预判，内控是强化过程管控，审计是业务事项的确认，三种手段正好从事前、事中、事后三个阶段和纬度，对业务事项进行管控，形成三维一体的全过程管控。随着互联网思维和信息技术被大规模的应用于企业管理，传统的风险管理信息系统已经很难满足我们这种三维一体的管控需求。尤其是面对 ERP系统生成的海量数据时，传统的统计分析方法已显得比较单薄。在风险管理方面，我们需要从外部和内部风险源出发进行识别。外部风险源分析可以识别出战略风险、市场风险；内部风险源可以识别管理层面风险、业务层面风险和专项风险，在这个过程中可以使用外部行业数据和企业内部数据，形成风险管控的预判机制。在内部控制方面，采用的

10、是“以评促建，以审促评”的方法。就是对业务流程和业务结果进行穿行测试和审计，使用的数据源是企业内部数据，事项在做内控的同时发现企业存在的问题。在内部审计方面，实际作业过程主要是锁定审计区域，搜集审计证据，使用的数据源与风险、内控相同，通过将审计方法进行高度服名师资料总结-精品资料欢迎下载-名师精心整理-第 6 页，共 31 页 -7 用形成智能化的监控模型，实时的对业务数据进行监控。风险、内控、审计的有效融合，改变了企业因同时使用各种手段后陷入各自为政、功能互相重叠、风控落地效果不佳的状态。大数据技术解决了数据挖掘的问题，致使很多方式和方法平面化，比如嵌入式审计（生物探针），是一种新型的风险识

11、别技术，通过分析拥护在界面上的行为特征，可以识别当前操作中存在的风险。这些智能监控技术，可形成规则、指标、模型三维一体的监控体系。如果我们要想真正通过信息化手段形成风险管控能力，必须从两个方面入手：第一是风险、内控、审计手段的融合；第二是在大数据技术构建的环境下探索风险管控技术和手段。2.2 目标分解本次项目的目标是：按照集团公司风险管控系统按照信息化总体规划对风险管控的要求，结合集团公司风险管控的现状，建设XX集团风险内控一体化系统平台，形成有效的风险管控落地模式。为了达成该目标，我们将目标进行了分解：1)建立以风险管理为导向的内部控制管理体系，满足合规性要求的同时，达到优化管理、提升绩效的

12、目标。2)将内部控制与企业信息化相融合，实现集团信息化平台建设，全面提高企业管理水平。名师资料总结-精品资料欢迎下载-名师精心整理-第 7 页，共 31 页 -8 3)建设集团级统一的企业风险管控与审计平台，满足风险管控与审计日常管理和持续评价改进的工作需要。4)利用大数据技术，通过对内控流程的分析，找到企业运营过程中的主要风险和管控目标，通过信息系统使管控措施切实落地。2.3 项目意义通过推进风险管控信息化，建立风险标准化、信息共享化，为决策层、管理层提供全方位的风险识别、量化和预警等，同时，有效改善执行层风险管控面临的工作面大、内容繁多、手工处理低效、无法有效链接企业战略、运营的现象；帮助

13、企业极大提升风险管控体系效率。并且，通过风险管控信息平台，实现对业务进行事前、事中、事后监控，真正帮助企业形成对重大业务事项的事前风险引导、事中伴随监控、事后强化审计的风险管控闭环管理体系；帮助集团公司逐步强化对各单位的风险管控工作监督检查和绩效考核。名师资料总结-精品资料欢迎下载-名师精心整理-第 8 页，共 31 页 -9 第三章 项目总体思路风险内控一体化信息系统建设的总体思路是按照信息化总体规划对风险管控的要求，结合集团公司风险管控的现状，通过专业化咨询与 IT 实施相结合的方式开展风险管控信息化系统建设工作。咨询从固化公司现有的风险管控的成果、优化风险管控体系的角度出发，结合集团公司

14、具体的业务特点，对风险管控体系进行梳理、优化，为信息系统的构建提供信息和数据支持。IT 实施搭建风险管理、内部控制、审计于一体的风险管控系统，实现对风险的“事前预防、事中监控、事后跟踪”的全过程管理。“事前预防”主要是构建风险分级预警平台；“事中监控”主要在业务流程中嵌入职责分工控制、授权控制、审核审批控制等关键风控因素，实现嵌入流程的内部控制监控平台；“事后”跟踪主要是构建以风险为导向的审计业务及管理平台。名师资料总结-精品资料欢迎下载-名师精心整理-第 9 页，共 31 页 -10 3.1 项目效果蓝图根据监管的要求，通过信息化的手段建立包括规范的公司法人治理结构、风险管理职能部门、内部审

15、计部门以及有关职能部门、业务范围在内的组织体系，形成不同层次、职责明确、运转有效的风险管控模式。公司战略决策层、风险管理机构层与业务执行层通过风险内控一体化信息系统达到风险在公司不同层级间的双向沟通，由管控部门协调风险管理，业务部门把控管理风险，提高集团整体的风险管理水平。名师资料总结-精品资料欢迎下载-名师精心整理-第 10 页，共 31 页 -11 3.2 风险、内控、审计一体化循环 XX 集团风险内控一体化信息系统业务循环以数据中心为基础，数据中心的数据主要来源于公司已有的信息系统数据，如：ERP、MES等和非信息化的业务手工上报数据。通过对公司数据中心的数据进行风险管控和内部审计，发现

16、公司存在的缺陷、疑点和问题。针对公司存在的缺陷、疑点和问题参照政策法规和公司制度，发现公司存在的风险，除此之外，通过对公司违规损失进行分析，形成公司风险事件，最终形成公司风险数据库，以公司风险数据库为基础，对公司风险进行管理，制定控制措施，控制措施的效果会以数据的形式流回公司总体数据中，通过内控业务循环进行风险管控，通过内部审计与评价对业务及流程进行全面监控，实现业务可控可查，形成公司风险管控工作的闭环。名师资料总结-精品资料欢迎下载-名师精心整理-第 11 页，共 31 页 -12 3.3 风险管控融入业务过程 XX 集团风险内控一体化信息系统将风险管控融入公司业务过程中，通过对公司业务流程进行梳理，识别并分析公司业务风险，并针对业务风险制定控制措施，通过职责分工控制、授权控制、审核审批控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动控制、绩效考核控制和信息技术控制对每个业务环节规范制度流程，植入风控因素，形成风控为指引的闭环控制，通过对业务过程的控制达到对公司进行风险管控的目的。名师资料总结-精品资料欢迎下载-名师精心整理-第 12 页，共 31 页 -13 3.