风险管理信息系统

全球化的信息系统架构
•标准的工具支持流程的运行
按照业务需求建立风险模型
在集团范围内共享所有的信息
两个标准的数据交换层
• 使用ETL收集和分发相关数据
• 在线的预警信息服务
第21页
21
欧洲某大型集团公司的风险管理
风险标准
集团
集团比率
标准风险报告
信 息 交 换
监控 警报
企业 产品管理
建议与批准 产品处理
根据企业文化、组织机构和管理方法的要求，对企业从上层管理人员到一线的 工作人员进行全面的管理和工作流程培训；
将信息系统与具体工作流程进行实际演练，通过实践及时修正出现的问题。
第19页 19
风险信息的保障机制
信息系统输入数据及风险量化值的准确性、及时 性、完整性，也就是系统外最前端的数据源的准 确也会直接影响到企业控制风险的能力。
风险管理系统需要的信息同时存在于这三个 层次当中，因此我们必须要
把握好信息收集、分析、处理的范围、深度 和广度 充分考虑信息管理的全流程化
第7页 7
信息系统的重要性
是企业风险策略和风险解决方案的重要支撑手段 是固化风险管理流程、推进全面风险管理的必须工具 是风险信息收集、输入、加工和输出的载体 是企业落实风险管理、提升风险管理能力的必经之路 提供跨组织、跨流程的信息集成和共享平台 通过系统实现风险的快速预警，及时采取必要的防范措施 系统能够提供企业风险状况的报告，并且追溯发生的原因
第5页 5
第五十三条 企业风险管理信息系统的基本流程和内部控制环节
第五十三条 企业应将信息技术应用于风险管理的各项工作，建立涵盖风险管理基 本流程和内部控制系统各环节的风险管理信息系统，包括信息的采集、存储、加工、 分析、测试、传递、报告、披露等。
重点说明：系统必须涵盖风险管理基本流程和内部控制系统各环节
45 6 7 8 9
34 5 6 7 8
23 4 5 6 7
1
2
3
4
5
6
适当控制
12345
发生可能性
根据自己的控制水平和能力确定风险控制策略
15
第15页
运营风险报告框架
运行风险报告必须联合专注的运营风险评估流程、现有的业务线报告和特别的内部及外部评估
财务风险
市场风险
运营风险
月度报告 损失承受能力 风险指标趋势 主动的风险管理 关键的问题
审核 报告
风险能力中心主管 制定风险标准
风险能力中心主管
数据提供
18
独立第三方
财务 业务单位
业务单位
合规性经理 内部审计经理
风险状况评估
海外风险主管 内部审计经理
风险分析和报 告
完成风险评估
第18页
实施风险管理信息化的准备工作
按企业管理层次系统模型的要求，规范企业的业务流程、财务流程和人力资源 流程，形成一套完整的信息系统功能和管理制度表单的文档；
为保证数据的准确性，企业风险管理信息化需要 首先对企业基础管理工作的流程进行梳理，从而 确保数据信息的一致性、准确性、及时性、可用 性和完整性。
为保证风险数据的准确性，要重视风险管理系统 的操作权限与操作规程控制、信息安全与数据处 理流程控制。制定对应控制规则，设计控制制度 和控制程序，并将这些控制程序和控制参数输入 到计算机信息系统内部，形成完整、严密的面向 流程的人机内部控制系统。
风险管理系统必须建立良 好的信息传递机制，这种 信息的传递机制应当建立 于风险管理的各个环节中
信息的 传递
信息的 采集
风险信息的采集就必须要明确需 要哪些基础信息，这些基础信息 的来源，基础信息的收集频度， 不同基础信息之间的口径差异， 信息的采集流程，技术手段等
分析的内容、层 次、方法和频度 都会是信息分析 环节关注的重点
季度报告 风险状况与问题
贸易 与销售
支付 与结算
采购
月度报告 风险状况概览 主要控制问题 运营风险损失概要
季度报告 风险状况与问题 月度报告 业务定量分析报告概要
周报告
资产
针对业务线的风险指标报告
管理
第16页 16
第五十四条 风险信息的一致性、准确性、及时性、可用性和完整性
第10页 10
通过风险管理信息系统加工大量风险信息
有关风险的信息需要在各层级的组织机构中进行识别、评估并对风险做出反 应，从而来完成企业经营管理目标。一些信息可能被用到一个或多个不同的 目的。
信息有很多的来源可以分为内部的和外部、定性和定量的，并可以对变化的 环境迅速做出反应。管理的主要挑战是对大量可用信息进行加工的过程。这种 挑战可以用信息系统功能包括来源、获取、处理、分析和报告有关的信息来 解决。
收款管理
企业参考信息 风险标志
模型பைடு நூலகம்
风险数据使用与共享
市场风险 风险数据收集
信用风险 + 市场风险
信息 交换 服务 协议
参考信息
集团参考信息
客户 行为 产品
组织
风 险
风险分析工具
22
中央风险数据库
引擎
分类
风险标志
第22页
第五十五条 关于风险管理信息系统的功能要求
第五十五条 风险管理信息系统应能够进行各种风险的计量和定量分析、定量测试； 能够实时反映风险矩阵和排序频谱、重大风险和重要业务流程的监控状态；能够对 超过风险预警上限的重大风险实施信息报警；能够满足风险管理内部信息报告制度 和企业对外信息披露管理制度的要求。
信息的 分析与 测试
信息的 加工
信息的 存储
信息的存储需要建立良好
的数据架构，解决好数据 标准化和存储技术问题
基础信息需要进行加
工和提炼才能成为可 进行分析的风险信息
14
第14页
风险信息系统对风险的展示与披露
信息的报告与披露：从信息技术角度看，信息的报告是展现层的工作。一个良好的风险 管理信息系统必须要求能够把风险管理的各个环节情况进行直观易懂的展示
风险因素列表 战略组 经营组 财务组 人事组 信息组
影响
•政策法规
• •股东关系 • •品牌声誉 • •••••••市 客 环场户境占关保有系护
•资金缺口
• •偿债风险 • •收益实现 • • •人才流失 •• •道德操守 • •内部公平
•信息滞后
• •信息缺损 • •系统安全 •
重点控制
风险评估
5 6 7 8 9 10
风险管理系统即可以是一个完整的信息系统，也可以是 通过不同的系统，利用信息技术手段集成实现全面风险 管理的整体功能。
第6页 6
风险管理信息存在于经营管理的各个层次之中
按照信息使用者的要求和各种业务在经营管 理中的层次，可以把需要企业的管理信息分 为三个层次：
决策控制层 日常经营管理层 支持体系管理层
风险管理信息系统的作 用
风险管理信息系统的要 求与功能
风险管理信息系统的实 施与运行
第3页
培训内容
第一部分：本章概述 第二部分：逐条讲解 第三部分：重点回顾
第4页 4
第二部分：逐条讲解
第八章 风险管理信息系统
第五十三条－信息技术应用于风险管理实践 第五十四条－风险管理信息系统保障风险信息量化值的要求 第五十五条－风险管理信息系统的功能要求 第五十六条－风险管理信息系统应该实现跨部门的集成与共享 第五十七条－风险管理信息系统应该确保安全、稳定运行 第五十八条－风险管理信息系统的建设与更新
一些系统提供了对客户交易情况进行持续监督功能， 结合基本的业务工作流 程来减轻每日操作中的风险。保证信息的一致性需要特别注重企业面对行业 变动, 高度创新和快速发展的竞争者, 或重大顾客需求改变。信息系统需要随 着新目标的设定而改变。信息系统不仅要识别和获取必要的财务和非财务信 息，还要及时的处理和报告这些信息，确保对企业经营活动进行有效的控制
商业智能、战略评估、业绩评估、综合分析
销售与分销
分销渠道管理 客户关系管理
售后服务 市场营销
内部管理
合同管理
外向物流管理
内向物流管理
仓储管理
财务管理
成本控制
资金管理 风险管理
供应
供应渠道管理 供应商关系管理
信息技术
第13页 13
风险信息的结构和处理流程
在构建企业的风险管理信息系统之前，首先要明确相关风险信息的结构和处理流程，即在企业不同层次， 不同业务和管理环节的处理办法：
第8页 8
基础是信息系统
风险管理系统 的范畴
报告查询
表现层 分析层
管理决策支持
中间层
技术衔接
数据层
日常经营、流程管理
9
报告系统/OA/知识管理
各种分析模型及软件
财务 销售 生产 日常营运等决策支持
中间件/OLAP/BAPI
各种应用衔接 各种数据衔接 跨平台操作 外部开发与第三方模块衔接等
根据COSO企业风险管理框架的三个维度，企业的目标、 全面风险要素管理方法、企业的各个层级，风险管理系 统就是使用信息技术手段，实现企业各个层级风险要素 的信息系统管理，以达到企业发展目标的要求。
由于企业各个层级、各个业务环境的信息环境十分复杂， 就特别需要借助于风险管理系统来实现企业的全面风险 管理。
第11页 11
关键成功因素－业务驱动 业务驱动 风险管理信息化项目的一个最为典型的错误是将其当作一个技术项目。
为了获取真正的业务收益，系统建设应从业务的角度出发。业务用户也 应直接介入业务战略明晰和业务及信息技术需求分析
第12页 12
风险信息管理的全流程性
企业需要对其核心业务流程进行完整的定义，并通过必要的手段（例如信息技术） 进行固化。将企业运作从传统的以部门为核心的方式转为以业务流程为核心
《指引》的第八章 “风险管理信息系统”从第53条至第58条给出了中央 企业建立风险管理信息系统的基本要求。
第1页 1
培训内容
第一部分：本章概述 第二部分：逐条讲解 第三部分：重点回顾
第2页 2
第一部分：本章概述 风险管理基本流程 风险管理信息系统
3
•收集风险管理初始信息 •进行风险评估 •制定风险管理策略 •提出和实施风险管理解决方案 •实施风险管理的监督与改进
流程
录入
共享与使用
操作权限
第20页 20
欧洲某大型集团公司的风险管理
公共集中的客户信息管理平台
要点
标准化的客户信用管理工具和客户交易数据系统
所有的交易过程中的风险信息和相关信息都将发送到中央风险数据库
• 一个集中的数据库 • 数据按天收集 • 按月进行风险计算
流程
组织
技术
•集团内统一流程，企业依照执行 一个强势的集团治理架构
ERP系统/OLTP/数据仓库
第9页
风险系统与其它系统
风险展现系统：Risk Wizard， OpRisk，SAS 预算系统：Hyperion Planning，Comshare, Timeline，Cognos 数据挖掘与分析系统：SPSS, SAS，Intelligent Miner 数据EIS：Web Gateway，Decision Lightship 电子商务系统：Commerce One , BoardVision CRM系统：Siebel 公司报告系统：Crystal Report ERP系统：SAP，Oracle，SSA
一致性
可用性
准确性
风险信息
完整性
及时 性
第17页 17
风险信息系统的内部控制
在风险管理信息系统内部建立严格的人员访问授权、数据接触控制、操作流程规则和职责体系， 以避免信息系统故障，保留IT审计线索，杜绝利用信息技术进行贪污、舞弊的行为。
批准
风险所有者 决策
风险管理委员会
运营管理层
审计委员会
风险战略
第五十四条 企业应采取措施确保向风险管理信息系统输入的业务数据和风险量化值 的一致性、准确性、及时性、可用性和完整性。对输入信息系统的数据，未经批准， 不得更改。
重点说明：风险管理信息系统的数据要求
确保信息系统输入业务数据和风险值的质量， 是风险管理信息系统的重要基础。
安然、世界通讯等公司的一系列丑闻，使投资 者对在美国上市的公司信息披露的真实性产生 怀疑。随着萨班斯法案的出台，对上市公司对 外披露信息的真实性提出了更高的要求—— “管理层对财务信息的准确性承担刑事责任”， 实施萨班斯法案，将引发企业从业务流程到技 术架构的一系列变革。
. 国务院国资委《中央企业全面风险管理指引》
第八章 风险管理信息系统 讲座
德勤咨询公司
2006年8月
第0页 0
前言
国务院国资委最近颁发的《中央企业全面风险管理指引》,是指导中央企 业开展全面风险管理工作，增强企业竞争力，提高投资回报，促进企业 持续、健康、稳定发展的重要文件。
风险管理信息系统是整个全面风险管理体系中的重要组成部分，为全面 风险管理体系中进行风险评估、实施风险管理解决方案、执行风险管理 的基本流程、履行内部控制系统提供必需的技术基础。