大数据时代的风险管控-2017

XX集团集团有限公司

大数据时代的风险管控风险管控一体化系统建设项目研究报告

2015/9/22

华博风控信息技术（北京）有限公司

基于华博大数据

摘要：本报告以国资委、财政部发布的风险管控理论为依据，利用先进的IT技术手段，从我公司实际管理情况出发，探讨了如何利用信息化，有效的解决风险管控落地的问题，明确了“风险管控融入业务、融入信息化”的重要意义。通过实地考察和研究，探索出了新型的、有效的风险管控落地实施策略。研究结果表明，要实现有效的风险管控，必须应用信息化手段，实现风险、内控、审计的融合，形成事前、事中、事后的三位一体的管控模式。

风险管控一体化系统建设项目研究报告

目录

引言 (3)

第一章问题的提出 (4)

第二章项目目标与意义 (6)

2.1 整体目标 (6)

2.2目标分解 (7)

2.3 项目意义 (8)

第三章项目总体思路 (9)

3.1 项目效果蓝图 (10)

3.2 风险、内控、审计一体化循环 (11)

3.3风险管控融入业务过程 (12)

3.4 构建集团风险管控运行机制 (13)

3.5建设集团风险管控业务模式 (13)

第四章项目实施方案 (14)

4.1 实施路径及工作原则 (14)

4.2 实施规划及内容 (15)

4.3 风险内控一体化信息系统建设项目（第一阶段）组织 (17)

4.4 风险内控一体化信息系统（第一阶段）目标 (18)

4.5 风险内控一体化信息系统（第一阶段）实施步骤 (20)

第五章项目成果展现 (22)

5.1 XX集团风险内控一体化信息系统架构 (22)

5.2 系统功能展现 (23)

第六章项目价值 (27)

引言

2007年集团公司全面开展风险管理体系建设工作，2012年集团公司在内部控制建设上采取“以上市公司为先导、以集团公司为核心、以二级公司为纽带”策略，开展内部控制体系建设与实施工作。从2010年至2012年，也正是中国风险管控市场发展的黄金期，其他国资企业、上市公司不仅构建了自己的风险管控体系，而且逐步搭建了信息系统平台。

但从2014年开始，风险管控出现了一些问题，管理咨询帮助企业搭建的风控体系和信息化系统并没有帮助企业解决关键问题。还有一些企业一边做风控项目，一边频发风险事件。

为了避免出现同样的问题，自2012年集团全面建立了内部控制体系以来，我们就一直在探讨如何实现“资源整合、业务统一、规范运用、驾驭风险”。在各方领导的关注下，行业专家的指导下，我们经过对基础理论的深入解读，对同行企业的实地考察，不仅找到了解决风险管控落地的方法，而且形成了一套契合集团实际需求的实施方案。总之，本次项目研究取得了一定成效，将引领集团走向一个新型的风险管控模式。

第一章问题的提出

多年来，为适应XX集团快速发展的要求和国际国内环境的不断变化，集团公司的风险、内控与集团发展战略紧密结合，对应各个发展阶段，培养企业独立开展风险管理和内部控制的内力，提供风险管理和内部控制的操作平台，使内控和风控体系落地，保障了XX集团多年来的高速发展，以及战略目标的实施。

2006年6月国资委发布《中央企业全面风险管理指引》。2009年底发布风险管理国际标准ISO31000和国内标准GB/T24353，规范了风控的方法论，成为软件标准化的基本依据。2010年4月财政部、证监会、审计署、银监会、保监会联合发布《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》、《企业内部控制审计指引》等。在此背景下，2007年集团公司全面开展风险管理体系建设工作，确定了集团公司风险管理体系建设的指导思想、总体目标、具体目标、基本原则、实施步骤、进度安排、关注的重点和组织设置等内容。集团公司风险管理体系建设按照试点单位推进与框架设计、各成员单位全面推广、体系完善三个阶段完成。2012年集团公司在内部控制建设上采取“以上市公司为先导、以集团公司为核心、以二级公司为纽带”策略，开展内部控制体系建设与实施工作。2012年底，集团公司基本上建立健全了内部控制体系。

随着集团的跨越式成长，风险管理、内部控制不可避免的暴露出

一些问题：

一是决策支持层面。高层管理缺乏风控总体信息以支持其进行决策；缺乏对风险的量化分析，影响公司合理分解具体风险的应对所需的管理资源；难以实时、动态的把握企业风险状况以便各层级风险应对负责人及时应对。

二是风险管理机构层面。业务流程层面的内控要素的维护与评估、风险评估、控制识别、有效性检查评价等，均需手工完成，效率效果难以保证；内控流程、风险应对措施、监督评价结果没有有效的与业务指标相结合，难以融入日常业务运作；信息来源、格式、口径、版本不统一，数据、信息分散，难以有效利用。

三是业务单元风险管理执行层面。各业务单位在风险识别、评估、应对及内控流程优化过程中缺乏统一的沟通与协作平台，难以实现多口径信息共享；各业务单位直接参与风险管理及内控优化工作仍主要局限于风险管理或内控联系人，控制负责人的参与程度不够广泛；总体报告渠道不清晰，内部信息交流不畅。

面对以上问题，传统的风险管控方法已经变得束手无策。将企业管控、风险管控与企业信息化高度融合，形成一套在信息化条件下的，新型的、有效的风险管控落地模式，已经成为目前集团的亟待解决的需求。

第二章项目目标与意义

2.1 整体目标

“将企业管控与企业信息化高度融合，形成有效的风险管控落地模式”是本次项目研究的最终目标。

针对企业管控，风险是事前预判，内控是强化过程管控，审计是业务事项的确认，三种手段正好从事前、事中、事后三个阶段和纬度，对业务事项进行管控，形成三维一体的全过程管控。

随着互联网思维和信息技术被大规模的应用于企业管理，传统的风险管理信息系统已经很难满足我们这种三维一体的管控需求。尤其是面对ERP系统生成的海量数据时，传统的统计分析方法已显得比较单薄。

在风险管理方面，我们需要从外部和内部风险源出发进行识别。外部风险源分析可以识别出战略风险、市场风险；内部风险源可以识别管理层面风险、业务层面风险和专项风险，在这个过程中可以使用外部行业数据和企业内部数据，形成风险管控的预判机制。

在内部控制方面，采用的是“以评促建，以审促评”的方法。就是对业务流程和业务结果进行穿行测试和审计，使用的数据源是企业内部数据，事项在做内控的同时发现企业存在的问题。

在内部审计方面，实际作业过程主要是锁定审计区域，搜集审计证据，使用的数据源与风险、内控相同，通过将审计方法进行高度服