風險管理信息系統德勤風險管理信息系統德勤風險管理信息系統德勤前言國務院國資委最近頒發的《中央企業全面風險管理指引》,是指導中央企業開展全面風險管理工作，增強企業競爭力，提高投資回報，促進企業持續、健康、穩定發展的重要文件。風險管理信息系統是整個全面風險管理體系中的重要組成部分，為全面風險管理體系中進行風險評估、實施風險管理解決方案、執行風險管理的基本流程、履行內部控制系統提供必需的技術基礎。《指引》的第八章“風險管理信息系統”從第53條至第58條給出了中央企業建立風險管理信息系統的基本要求。風險管理信息系統德勤風險管理信息系統德勤風險管理信息系統德勤0前言國務院國資委最近頒發的《中央企業全面風險管理指引》,是指導中央企業開展全面風險管理工作，增強企業競爭力，提高投資回報，促進企業持續、健康、穩定發展的重要文件。風險管理信息系統是整個全面風險管理體系中的重要組成部分，為全面風險管理體系中進行風險評估、實施風險管理解決方案、執行風險管理的基本流程、履行內部控制系統提供必需的技術基礎。《指引》的第八章“風險管理信息系統”從第53條至第58條給出了中央企業建立風險管理信息系統的基本要求。前言國務院國資委最近頒發的《中央企業全面風險管理指引》,是指培訓內容第一部分：本章概述第二部分：逐條講解第三部分：重點回顧

培訓內容第一部分：本章概述第一部分：本章概述風險管理基本流程風險管理信息系統風險管理信息系統的作用風險管理信息系統的實施與運行風險管理信息系統的要求與功能收集風險管理初始信息進行風險評估制定風險管理策略提出和實施風險管理解決方案實施風險管理的監督與改進第一部分：本章概述風險管理基本流程風險管理信息系統風險管理信培訓內容第一部分：本章概述第二部分：逐條講解第三部分：重點回顧

培訓內容第一部分：本章概述第二部分：逐條講解第五十三條－信息技術應用于風險管理實踐第五十四條－風險管理信息系統保障風險信息量化值的要求第五十五條－風險管理信息系統的功能要求第五十六條－風險管理信息系統應該實現跨部門的集成與共享第五十七條－風險管理信息系統應該確保安全、穩定運行第五十八條－風險管理信息系統的建設與更新第八章風險管理信息系統第二部分：逐條講解第五十三條－信息技術應用于風險管理實踐第八第五十三條企業風險管理信息系統的基本流程和內部控制環節第五十三條企業應將信息技術應用于風險管理的各項工作，建立涵蓋風險管理基本流程和內部控制系統各環節的風險管理信息系統，包括信息的采集、存儲、加工、分析、測試、傳遞、報告、披露等。根據COSO企業風險管理框架的三個維度，企業的目標、全面風險要素管理方法、企業的各個層級，風險管理系統就是使用信息技術手段，實現企業各個層級風險要素的信息系統管理，以達到企業發展目標的要求。由于企業各個層級、各個業務環境的信息環境十分復雜，就特別需要借助于風險管理系統來實現企業的全面風險管理。風險管理系統即可以是一個完整的信息系統，也可以是通過不同的系統，利用信息技術手段集成實現全面風險管理的整體功能。重點說明：系統必須涵蓋風險管理基本流程和內部控制系統各環節第五十三條企業風險管理信息系統的基本流程和內部控制環節第風險管理信息存在于經營管理的各個層次之中按照信息使用者的要求和各種業務在經營管理中的層次，可以把需要企業的管理信息分為三個層次：決策控制層日常經營管理層支持體系管理層風險管理系統需要的信息同時存在于這三個層次當中，因此我們必須要把握好信息收集、分析、處理的范圍、深度和廣度充分考慮信息管理的全流程化

風險管理信息存在于經營管理的各個層次之中按照信息使用者的要求信息系統的重要性是企業風險策略和風險解決方案的重要支撐手段是固化風險管理流程、推進全面風險管理的必須工具是風險信息收集、輸入、加工和輸出的載體是企業落實風險管理、提升風險管理能力的必經之路提供跨組織、跨流程的信息集成和共享平臺通過系統實現風險的快速預警，及時采取必要的防范措施系統能夠提供企業風險狀況的報告，并且追溯發生的原因信息系統的重要性是企業風險策略和風險解決方案的重要支撐手段基礎是信息系統數據層表現層中間層分析層ERP系統/OLTP/數據倉庫中間件/OLAP/BAPI各種分析模型及軟件報告系統/OA/知識管理財務銷售生產日常營運等決策支持各種應用銜接各種數據銜接跨平臺操作外部開發與第三方模塊銜接等報告查詢管理決策支持技術銜接日常經營、流程管理風險管理系統的范疇基礎是信息系統數據層表現層中間層分析層ERP系統/OLTP/風險系統與其它系統風險展現系統：RiskWizard，OpRisk，SAS預算系統：HyperionPlanning，Comshare,Timeline，Cognos數據挖掘與分析系統：SPSS,SAS，IntelligentMiner數據EIS：WebGateway，DecisionLightship電子商務系統：CommerceOne,BoardVisionCRM系統：Siebel公司報告系統：CrystalReport

ERP系統：SAP，Oracle，SSA風險系統與其它系統風險展現系統：RiskWizard，O通過風險管理信息系統加工大量風險信息有關風險的信息需要在各層級的組織機構中進行識別、評估并對風險做出反應，從而來完成企業經營管理目標。一些信息可能被用到一個或多個不同的目的。信息有很多的來源可以分為內部的和外部、定性和定量的，并可以對變化的環境迅速做出反應。管理的主要挑戰是對大量可用信息進行加工的過程。這種挑戰可以用信息系統功能包括來源、獲取、處理、分析和報告有關的信息來解決。一些系統提供了對客戶交易情況進行持續監督功能，結合基本的業務工作流程來減輕每日操作中的風險。保證信息的一致性需要特別注重企業面對行業變動,高度創新和快速發展的競爭者,或重大顧客需求改變。信息系統需要隨著新目標的設定而改變。信息系統不僅要識別和獲取必要的財務和非財務信息，還要及時的處理和報告這些信息，確保對企業經營活動進行有效的控制通過風險管理信息系統加工大量風險信息有關風險的信息需要在各層業務驅動風險管理信息化項目的一個最為典型的錯誤是將其當作一個技術項目。為了獲取真正的業務收益，系統建設應從業務的角度出發。業務用戶也應直接介入業務戰略明晰和業務及信息技術需求分析關鍵成功因素－業務驅動業務驅動關鍵成功因素－業務驅動風險信息管理的全流程性商業智能、戰略評估、業績評估、綜合分析信息技術銷售與分銷供應內部管理分銷渠道管理客戶關系管理售后服務市場營銷供應渠道管理供應商關系管理合同管理內向物流管理外向物流管理倉儲管理財務管理成本控制資金管理企業需要對其核心業務流程進行完整的定義，并通過必要的手段（例如信息技術）進行固化。將企業運作從傳統的以部門為核心的方式轉為以業務流程為核心風險管理風險信息管理的全流程性商業智能、戰略評估、業績評估、綜合分析風險信息的結構和處理流程在構建企業的風險管理信息系統之前，首先要明確相關風險信息的結構和處理流程，即在企業不同層次，不同業務和管理環節的處理辦法：信息的分析與測試信息的傳遞信息的采集信息的存儲信息的加工風險信息的采集就必須要明確需要哪些基礎信息，這些基礎信息的來源，基礎信息的收集頻度，不同基礎信息之間的口徑差異，信息的采集流程，技術手段等信息的存儲需要建立良好的數據架構，解決好數據標準化和存儲技術問題基礎信息需要進行加工和提煉才能成為可進行分析的風險信息分析的內容、層次、方法和頻度都會是信息分析環節關注的重點風險管理系統必須建立良好的信息傳遞機制，這種信息的傳遞機制應當建立于風險管理的各個環節中風險信息的結構和處理流程在構建企業的風險管理信息系統之前，首風險信息系統對風險的展示與披露信息的報告與披露：從信息技術角度看，信息的報告是展現層的工作。一個良好的風險管理信息系統必須要求能夠把風險管理的各個環節情況進行直觀易懂的展示根據自己的控制水平和能力確定風險控制策略信息組????風險因素列表影響風險評估戰略組經營組???財務組市場占有客戶關系環境保護政策法規股東關系品牌聲譽人事組????資金缺口償債風險收益實現???人才流失道德操守內部公平???信息滯后信息缺損系統安全123455432168789543654678765679105432發生可能性重點控制適當控制影響度風險信息系統對風險的展示與披露信息的報告與披露：從信息技術角運營風險報告框架

支付與結算采購資產管理貿易與銷售財務風險市場風險運營風險月度報告損失承受能力風險指標趨勢主動的風險管理關鍵的問題季度報告風險狀況與問題周報告針對業務線的風險指標報告運營風險委員會管理層業務線季度報告

風險狀況與問題月度報告業務定量分析報告概要月度報告風險狀況概覽主要控制問題運營風險損失概要運行風險報告必須聯合專注的運營風險評估流程、現有的業務線報告和特別的內部及外部評估運營風險報告框架支付采購資產貿易財務風險月度報告周報告運營第五十四條風險信息的一致性、準確性、及時性、可用性和完整性第五十四條企業應采取措施確保向風險管理信息系統輸入的業務數據和風險量化值的一致性、準確性、及時性、可用性和完整性。對輸入信息系統的數據，未經批準，不得更改。確保信息系統輸入業務數據和風險值的質量，是風險管理信息系統的重要基礎。安然、世界通訊等公司的一系列丑聞，使投資者對在美國上市的公司信息披露的真實性產生懷疑。隨著薩班斯法案的出臺，對上市公司對外披露信息的真實性提出了更高的要求——“管理層對財務信息的準確性承擔刑事責任”，實施薩班斯法案，將引發企業從業務流程到技術架構的一系列變革。重點說明：風險管理信息系統的數據要求風險信息一致性準確性及時性完整性可用性第五十四條風險信息的一致性、準確性、及時性、可用性和完整風險信息系統的內部控制在風險管理信息系統內部建立嚴格的人員訪問授權、數據接觸控制、操作流程規則和職責體系，以避免信息系統故障，保留IT審計線索，杜絕利用信息技術進行貪污、舞弊的行為。批準決策審核報告數據提供風險管理委員會審計委員會獨立第三方業務單位財務業務單位風險能力中心主管海外風險主管風險能力中心主管內部審計經理合規性經理運營管理層內部審計經理完成風險評估風險分析和報告風險狀況評估風險戰略風險所有者制定風險標準風險信息系統的內部控制在風險管理信息系統內部建立嚴格的人員訪實施風險管理信息化的準備工作按企業管理層次系統模型的要求，規范企業的業務流程、財務流程和人力資源流程，形成一套完整的信息系統功能和管理制度表單的文檔；根據企業文化、組織機構和管理方法的要求，對企業從上層管理人員到一線的工作人員進行全面的管理和工作流程培訓；將信息系統與具體工作流程進行實際演練，通過實踐及時修正出現的問題。實施風險管理信息化的準備工作按企業管理層次系統模型的要求，規風險信息的保障機制信息系統輸入數據及風險量化值的準確性、及時性、完整性，也就是系統外最前端的數據源的準確也會直接影響到企業控制風險的能力。為保證數據的準確性，企業風險管理信息化需要首先對企業基礎管理工作的流程進行梳理，從而確保數據信息的一致性、準確性、及時性、可用性和完整性。為保證風險數據的準確性，要重視風險管理系統的操作權限與操作規程控制、信息安全與數據處理流程控制。制定對應控制規則，設計控制制度和控制程序，并將這些控制程序和控制參數輸入到計算機信息系統內部，形成完整、嚴密的面向流程的人機內部控制系統。錄入流程共享與使用操作權限風險信息的保障機制信息系統輸入數據及風險量化值的準確性、及時全球化的信息系統架構在集團范圍內共享所有的信息兩個標準的數據交換層使用ETL收集和分發相關數據在線的預警信息服務一個強勢的集團治理架構按照業務需求建立風險模型集團內統一流程，企業依照執行標準的工具支持流程的運行公共集中的客戶信息管理平臺標準化的客戶信用管理工具和客戶交易數據系統所有的交易過程中的風險信息和相關信息都將發送到中央風險數據庫一個集中的數據庫數據按天收集按月進行風險計算要點歐洲某大型集團公司的風險管理技術流程組織全球化的信息系統架構一個強勢的集團治理架構集團內統一流程，企歐洲某大型集團公司的風險管理企業中央風險數據庫風險分析工具風險數據收集風險數據使用與共享信用風險+市場風險引擎參考信息集團參考信息客戶產品組織風險標志行為分類警報模型監控風險標志風險標準企業參考信息產品管理建議與批準集團標準風險報告集團比率產品處理收款管理市場風險信息交換服務協議風險信息交換歐洲某大型集團公司的風險管理企業中央風險數據庫風險分析工具風第五十五條關于風險管理信息系統的功能要求通過風險管理信息系統中的風險庫和預警機制全面識別各種風險

——風險庫的建立；固化流程；標桿和預警利用風險管理信息系統實現對風險水平的自動分析、評估和報告

——利用風險評級模型進行評估；建立風險對策庫；監督和評價風險管理工作及其效果重點說明：風險管理信息系統的功能要求第五十五條風險管理信息系統應能夠進行各種風險的計量和定量分析、定量測試；能夠實時反映風險矩陣和排序頻譜、重大風險和重要業務流程的監控狀態；能夠對超過風險預警上限的重大風險實施信息報警；能夠滿足風險管理內部信息報告制度和企業對外信息披露管理制度的要求。第五十五條關于風險管理信息系統的功能要求通過風險管理風險庫的建立……系統應支持標準的風險庫的建立，比較全面地涵蓋企業日常經營所面臨的各項主要風險。可以根據國際風險組織的RiskMap風險模型或是德勤的RiskUniverseTM，結合自身的實際情況，建立風險模型，作為風險識別、分析和評價的參考標準。國際風險組織的RiskMapTM風險模型RiskUniverseTM是德勤開發的風險模型

風險庫的建立……系統應支持標準的風險庫的建立，比較全面地涵蓋……固化流程，將活動和風險建立映射……企業需要在系統中固化和標準化主要的管理流程和業務流程，確定流程負責人，將每個流程中的關鍵活動與風險庫建立映射關系。定義和分類風險評估可能性和影響定義風險緩解策略管理風險評估風險合同簽署實施風險緩解策略如何有效管理剩余的風險?如何對風險排序并評價其影響?如何實施緩解風險的策略?如何制定緩解風險的策略?ChangeinriskprofileReductionofexistingrisksAmplificationofexistingrisks,orintroductionofexistingonesNochange外部業務的影響如何?正確管理和評估風險的方法有哪些?主要的風險是什么?風險管理流……固化流程，將活動和風險建立映射……企業需要在系統中固化和……標桿分析，實施監測……企業通過行業標竿分析、歷史數據分析、情景分析等在系統中設定各風險衡量指標的標準值和合理波動區間，借助信息系統實現風險預警的自動化，實時監測風險指標，及時發出警報信號，并在規定的時間內通知規定的部門和人員，由其采取相應的措施。平臺部件承認認證量產跟進評審方案設計試驗手板模具試制試產綜合管理專利申請策劃和推廣小計17L6.4615.042.160.328.9914.4073.096.4547.291.8258.71234.7220L6.4615.042.160.329.1714.4073.096.4532.440.005.01164.5321L7.7817.512.620.3711.0817.3588.197.783.250.420.00156.3623L8.4019.452.800.4111.8618.6694.638.3318.360.002.51185.4025L6.1814.362.060.288.7814.1069.876.15136.400.4222.55281.1428L29.1267.929.821.3841.4365.0566.8129.07101.380.8415.03427.8731L3.718.641.240.185.278.2641.893.6861.020.0010.02143.9234L9.7822.793.300.4613.9021.84110.679.764.090.280.00196.8836L2.756.400.920.143.906.1431.202.771.150.000.0055.3640L13.4531.414.540.6519.1330.11152.6713.4520.490.002.51288.4144OTR11.003.733.720.5115.6722.06124.6910.9910.570.000.00202.94合計105.09222.2835.335.03149.19232.38926.80104.89430.463.77116.342,337.53……標桿分析，實施監測……企業通過行業標竿分析、歷史數據分析利用風險評估模型進行風險評估……首先，在系統中建立風險評估的定性和定量的標準，構建風險評級模型，綜合考慮潛在風險損失和風險發生概率確定風險級別，評估風險水平。——標準——模型——損失和概率在各項風險的發生可能性與影響程度之間建立起矩陣關系來系統地描述風險的重要性等級（如高風險、中風險和低風險），識別需要應最優先進行控制的風險，有效地分配風險管理的資源。——可能性和影響程度——重要性評價——識別優先風險評估建立對策庫監督與評價利用風險評估模型進行風險評估……首先，在系統中建立風險評估的……建立風險對策庫，實現對解決措施的自動提示……企業應首先確定各類主要風險的應對策略，設計相應的應對措施，并對應到相關的業務流程和管理流程，確定控制節點、控制措施和控制手段，形成統一的風險管理操作規范，同時在系統中建立風險對策庫。

——確定策略——設計應對措施——統一操作規范——建立風險對策庫根據風險分析和評估結果，系統可自動識別應采用的基本的風險對策，并通知相應的流程負責人。由于各業務板塊所涉及的業務／工作不同，風險標識各異，在具體預警系統、管理技術和流程方法上可保持靈活性。集團設立專門的風險管理部門實施集中化的管理，并授權各業務板塊和經營單位配備相應的風險管理人員，在集團公司的授權范圍內開展工作。風險評估建立對策庫監督與評價……建立風險對策庫，實現對解決措施的自動提示……企業應首先確……利用信息系統監督評價風險管理工作效果盡管在不同的企業風險管理的方法不盡相同，但在風險管理的目標方面是一致的。風險管理信息系統的目標是：查明影響經營戰略與業務活動的風險，并按風險大小進行排序；了解管理層和審計委員會確定的、能夠接受的風險水平；制定并實施降低風險計劃，把風險降到可以接受的水平上；定期對風險和控制進行評估，以降低管理風險；定期向董事會和管理層報告風險管理過程的結果。系統必須能夠協助企業從上述五個目標的完成情況去評價風險管理的充分性和有效性。風險評估建立對策庫監督與評價……利用信息系統監督評價風險管理工作效果盡管在不同的企業風險……利用信息系統監督評價風險管理工作的內容評價組織和行業的發展情況和趨勢，確定是否可能存在影響組織的風險；檢查組織的經營戰略，確定組織對風險的接受；檢查管理層、內部和外部審計師，以及有關方面以前發表過的風險評估報告；與相關管理層討論部門的目標，存在的風險，以及管理層采取的降低風險和加強監控的活動，并評價其有效性；評價風險監控報告制度是否恰當；評價風險管理結果報告的充分性和及時性；評價管理層對風險的分析是否全面，為防止風險而采取的措施是否完善，建議是否有效；對管理層的自我評估進行實地觀察、直接測試，檢查自我評估所依據的信息是否準確，以及其他審計技術；評估與風險管理有關的管理薄弱環節，并與管理層、董事會、審計委員會討論。風險評估建立對策庫監督與評價……利用信息系統監督評價風險管理工作的內容評價組織和行業的發風險管理信息系統德勤課件風險管理信息系統德勤課件風險管理信息系統德勤課件第五十六條風險管理信息系統要實現信息的集成與共享第五十六條風險管理信息系統應實現信息在各職能部門、業務單位之間的集成與共享，既能滿足單項業務風險管理的要求，也能滿足企業整體和跨職能部門、業務單位的風險管理綜合要求。重點說明：風險管理信息系統的跨部門特點對日常工作流程的管理對執行結果的管理……的管理……各職能部門各業務單位單項業務風險管理層次的要求跨部門風險管理綜合要求風險管理環節與信息的集成與共享從風險管理的層次看，既有對日常工作流程的管理，也有對執行結果的管理。顯然，“信息孤島”的產生并不僅是與軟件產品有關，也與管理集成和技術集成水平有著緊密的關系。因此風險管理的環節必須集成，這就要求信息必須在各職能部門、業務單位之間的集成與共享，既能滿足單項業務風險管理的要求，也能滿足企業整體和跨職能部門、業務單位的風險管理綜合要求。第五十六條風險管理信息系統要實現信息的集成與共享第五十六一個全球化的信息系統架構集成開發所有的組件一個強勢的集團治理架構公共的企業業務流程主要的困難在于公共信息的管理（例如當一個錯誤的企業宣布自己的流程模板）共享的集中式的客戶信息管理（對于每個公司都作為一個零售客戶來管理）：有且只有一個企業負責管理客戶的“主數據”（客戶的唯一標識）每一個在本地的針對主數據的修改都必須發送到中央數據庫并且同時修改其它機構的數據集團負責客戶的信用評級所有企業信貸發生系統發送信用建議和批準通知至信貸建議數據庫所有企業信貸處理系統發送限制、披露和提供數據至信用風險數據庫風險/會計信息調整：每一個下屬企業必須確保風險和會計信息之間的匹配，任何差異都必須報告并隨風信信息一并上傳在集團層面控制的目標是確保不存在風險與會計信息之間的差異所有的計算都必須通過內部集成的系統上交要點歐洲某大型金融機構風險管理示例技術流程組織一個全球化的信息系統架構一個強勢的集團治理架構公共的企業業務歐洲某大型金融機構風險管理示例全球信貸建議數據庫全球客戶參考信息全球信貸風險數據庫信貸發生系統信貸處理系統信貸發生系統信貸處理系統信貸發生系統信貸處理系統建議和信貸批準限制、披露和提供數據客戶數據金融企業1金融企業2金融企業n地區(企業層面)集團層面建議和信貸批準建議和信貸批準限制、披露和提供數據限制、披露和提供數據歐洲某大型金融機構風險管理示例全球信貸建議數據庫全球客戶參考第五十七條確保風險管理信息系統的安全和穩定，并持續改進風險管理信息系統的穩定和安全將直接關系到企業對風險的控制能力，如果處理不好，會給企業帶來巨大損失，嚴重時，還會制約企業的整體發展；針對風險管理信息系統的安全內容十分廣泛，安全要求各不相同，需要從網絡層次、信息層次、設備層次等分別討論；除了要確保風險管理信息系統的穩定及安全外，還要根據企業的發展需要，對風險信管理信息系統進行改進、完善和更新。重點說明：風險管理信息系統需要不斷改進和完善

第五十七條企業應確保風險管理信息系統的穩定運行和安全，并根據實際需要不斷進行改進、完善或更新。

第五十七條確保風險管理信息系統的安全和穩定，并持續改進風可靠性：即保證網絡和信息系統隨時可用，運行過程中不出現故障，若遇意外打擊能夠盡量減少損失并盡快恢復正常；可控性：即保證營運者對網絡和信息系統有足夠的控制和管理能力；互操作性：即保證協議和系統能夠聯接；可計算性：即保證準確跟蹤實體運行達到審計和識別的目的等信息的完整性：即保證信息的來源、去向、內容真實無誤；保密性：即信息不會被非法泄露擴散；不可否認性：即保證信息的發送和接收者無法否認自己所做過的操作行為等網絡層次信息層次風險管理信息系統的安全要求可靠性：即保證網絡和信息系統隨時可用，運行過程中不出現故障，第五十七條企業應確保風險管理信息系統的穩定運行和安全……

風險管理信息系統安全保障體系應該是一個在充分分析系統安全風險因素的基礎上，通過制定系統安全策略和采取先進、科學、適用的安全技術能對系統實施安全防護和監控，使系統具有靈敏、迅速的恢復響應和動態調整功能的智能型系統安全體系；其模型可用公式表示為：

系統安全=風險評估+安全策略+防御體系+實時檢測+數據恢復+安全跟蹤+動態調整風險管理信息系統安全保障體系的目標是：網絡層安全、系統層安全和應用層安全；不同的層次，其安全內容、要求各有差異，因此，各層次安全保障方案的制定也應該是不盡相同。風險管理信息系統安全保障體系內容風險管理信息系統安全保障體系目標風險管理信息系統安全保障體系內容與目標

……確保風險管理信息系統的安全、穩定第五十七條企業應確保風險管理信息系統的穩定運行和安全……風險管理信息系統改進的驅動因素

第五十七條……并根據實際需要不斷進行改進、完善或更新。

企業戰略的調整管理和服務的需求變化風險管理信息系統的調整技術和管理在不斷地發展風險管理信息化建設與實施是一個長期的，需要持續改進、不斷向前發展的過程。公司的企業戰略根據企業的目標和外部環境在不斷地調整，所面臨的風險會不斷變化，管理和服務對風險管理信息化建設的需求在不斷地變化和發展，信息系統也必須做出相應的調整；同時，技術和管理在不斷地發展，需要不斷持續改進和更新才能保持信息化系統的先進性，才能保持信息化的價值能力。——對風險管理信息系統進行持續的改進風險管理信息系統改進的驅動因素第五十七條……并根據實際風險管理信息系統德勤課件風險管理信息系統德勤課件歡迎界面歡迎界面公司實體界面公司實體界面內部控制內部控制風險評估風險評估評估表格評估表格管理層報告管理層報告第五十八條風險管理信息系統的規劃與實施第五十八條已建立或基本建立企業管理信息系統的企業，應補充、調整、更新已有的管理流程和管理程序，建立完善的風險管理信息系統；尚未建立企業管理信息系統的，應將風險管理與企業各項管理業務流程、管理軟件統一規劃、統一設計、統一實施、同步運行。風險管理系統作為企業整體信息化建設的一部分，需要和企業其它生產、經營系統一樣統一規劃，統籌安排。一般來說，大部分中央企業都已經進行了信息化，很多單位還實施了ERP系統。僅僅依靠ERP系統并不能實現從風險識別、風險分析到風險控制的管理全過程。因此必須將企業的業務流程和風險管理結合起來在系統上實現，保證系統適應風險防范和管理的新要求。重點說明：風險管理信息系統的搭建策略第五十八條風險管理信息系統的規劃與實施第五十八條已建數據架構描述了企業的的數據資源，包括數據分類、數據標準、數據分布和管理、數據使用策略、各類數據與系統應用的關系。良好的數據架構分析和設計是進行系統設計的基礎部分，會直接影響到整個企業系統間的數據分布與集成問題。技術架構描述了應用的技術實現方式，包括硬件、軟件、網絡，從接口定義、標準和服務等方面進行描述。確保未來的系統服務平臺和網絡架構平臺能夠支持應用的部署和運行。應用架構主要描述的是支持企業管理的系統之間的關系，包括每個系統的作用，系統的范圍和邊界，系統之間的關系與銜接等。應用架構從功能和業務范圍上進行了系統間的界定，明確了不同的關鍵業務通過不同的應用系統進行支持，劃定了系統內容的功能范圍和系統間的功能交流。應用架構的設計關系到未來各個應用系統所能實現的范圍問題，是進行系統分析和設計的基礎。風險管理信息系統的構建從構建系統的信息技術角度來看，一個完整的風險管理系統應當主要考慮應用架構、數據架構、技術架構等。應用架構數據架構技術架構已建立或基本建立企業管理信息系統的企業，應當在已有系統的基礎上，通過改進現有系統流程，建立完善的風險管理信息系統；尚未建立企業管理信息系統的，應把風險管理融入到企業各軟件的建設過程中。數據架構描述了企業的的數據資源，包括數據分類、數據標準、數據內部審計系統構建內部審計系統構建風險系統構建－SAS數據平臺風險系統構建－SAS數據平臺風險管理信息系統的選型風險管理信息系統選型是指建設信息化的企業選擇應用系統產品及服務提供商的過程。選型對企業信息化建設成敗起著至關重要的作用。信息系統選型方法選型就是要通過招標、評標、商務談判和合同簽訂的過程，采用合適的評估手段，選擇合適的風險管理信息系統。信息系統選型步驟選型中（評標）選型后（商務談判、簽約）選型前的準備工作對選型的成敗起著至關重要的作用。它是明晰需求，確定招標對象、制定標書的過程。這一階段非常重要的事宜就是針對企業不同層級的需要，明晰企業的需求，確定項目范圍。確定評標小組評標準備現場聽標典型客戶考察商務談判入圍評選談判團隊甄選項目計劃溝通和報價分析商務談判法律條款簽訂選型前（明晰需求、確定標書）風險管理信息系統的選型風險管理信息系統選型是指建設信息化的企風險管理信息系統的選型（續）系統選型的定性因素：軟件公司的性質軟件公司的開發能力軟件產品的易用性軟件產品的適應性軟件產品的擴展性軟件產品的升級性軟件產品的生命周期軟件產品的價格體系

系統選型的定量因素：軟件成熟度成功用戶的數量用戶滿意度客戶化工作量二次開發工作量軟件升級周期用戶接受培訓的工作量風險管理信息系統的選型（續）系統選型的定性因素：系統選型的定風險管理信息系統的實施風險管理信息系統的升級與更新：企業應確保風險管理信息系統的穩定運行和安全，并根據實際需要不斷進行改進、完善或更新。風險管理信息系統的實施與升級項目準備階段業務藍圖階段系統實現階段上線準備階段上線及運行支持階段制訂項目計劃制訂項目管理策略設計系統架構并進行技術評估集成評估及其策略差異評估和管理項目小組培訓策略概念培訓業務流程藍圖模板的設計組織結構調整的管理系統環境的開發業務組織結構業務流程的定義系統規劃最終的系統配置和確認程序開發說明書的編寫報表設計和開發系統權限設置系統集成測試UAT用戶驗收測試最終用戶文檔編輯和培訓材料培訓終端用戶系統壓力測試系統上線試運行與系統切換模擬公司內的系統支持服務臺的建立系統管理系統切換檢查上線準備階段的情況系統上線運行支持項目總結風險管理信息系統的實施風險管理信息系統的實施與升級項目準備業營造變革氣氛（理念）授權并帶動試點部門投入變革實現全公司的系統實施并加以鞏固1、就系統實施的必要性及緊迫性在組織內部形成普遍共識2、組建具備高度信任度，能引領變革，并愿意全力以赴的試點實施領導團隊

3、將系統實施的目的和方向在整個組織層級進公司完全溝通，并獲得員工的認同和投入

5、對相關人員進行公司系統培訓及宣傳6、完成對試點的實施目標并加以慶祝7、對集團公司其它部門實施系統8、不斷跟蹤、培訓，鞏固成果

領導成功實施的八個步驟變革管理方法步驟4、組織相關人員進行公司流程、業務等討論變革管理活動的主要目的是為了使面臨變革的個人和團隊能夠充分了解變革的意義，公司進行充分的知識準備，以及得到更好的協調管理。從而使得他們愿意和有準備接受和執公司變革計劃，并將變革作為在未來取得成功的必要條件營造授權并帶動實現全公司的系統實施1、就系統實施的培訓內容第一部分：本章概述第二部分：逐條講解第三部分：重點回顧

培訓內容第一部分：本章概述回顧與小結第五十三條企業應將信息技術應用于風險管理的各項工作，建立涵蓋風險管理基本流程和內部控制系統各環節的風險管理信息系統，包括信息的采集、存儲、加工、分析、測試、傳遞、報告、披露等。第五十四條企業應采取措施確保向風險管理信息系統輸入的業務數據和風險量化值的一致性、準確性、及時性、可用性和完整性。對輸入信息系統的數據，未經批準，不得更改。第五十五條風險管理信息系統應能夠進行各種風險的計量和定量分析、定量測試；能夠實時反映風險矩陣和排序頻譜、重大風險和重要業務流程的監控狀態；能夠對超過風險預警上限的重大風險實施信息報警；能夠滿足風險管理內部信息報告制度和企業對外信息披露管理制度的要求。

回顧與小結第五十三條企業應將信息技術應用于風險管理的各項工回顧與小結第五十六條風險管理信息系統應實現信息在各職能部門、業務單位之間的集成與共享，既能滿足單項業務風險管理的要求，也能滿足企業整體和跨職能部門、業務單位的風險管理綜合要求。第五十七條企業應確保風險管理信息系統的穩定運行和安全，并根據實際需要不斷進行改進、完善或更新。第五十八條已建立或基本建立企業管理信息系統的企業，應補充、調整、更新已有的管理流程和管理程序，建立完善的風險管理信息系統；尚未建立企業管理信息系統的，應將風險管理與企業各項管理業務流程、管理軟件統一規劃、統一設計、統一實施、同步運行。回顧與小結第五十六條風險管理信息系統應實現信息在各職能部門問答問答匯報結束謝謝大家!請各位批評指正匯報結束謝謝大家!請各位批評指正61風險管理信息系統德勤風險管理信息系統德勤風險管理信息系統德勤前言國務院國資委最近頒發的《中央企業全面風險管理指引》,是指導中央企業開展全面風險管理工作，增強企業競爭力，提高投資回報，促進企業持續、健康、穩定發展的重要文件。風險管理信息系統是整個全面風險管理體系中的重要組成部分，為全面風險管理體系中進行風險評估、實施風險管理解決方案、執行風險管理的基本流程、履行內部控制系統提供必需的技術基礎。《指引》的第八章“風險管理信息系統”從第53條至第58條給出了中央企業建立風險管理信息系統的基本要求。風險管理信息系統德勤風險管理信息系統德勤風險管理信息系統德勤62前言國務院國資委最近頒發的《中央企業全面風險管理指引》,是指導中央企業開展全面風險管理工作，增強企業競爭力，提高投資回報，促進企業持續、健康、穩定發展的重要文件。風險管理信息系統是整個全面風險管理體系中的重要組成部分，為全面風險管理體系中進行風險評估、實施風險管理解決方案、執行風險管理的基本流程、履行內部控制系統提供必需的技術基礎。《指引》的第八章“風險管理信息系統”從第53條至第58條給出了中央企業建立風險管理信息系統的基本要求。前言國務院國資委最近頒發的《中央企業全面風險管理指引》,是指培訓內容第一部分：本章概述第二部分：逐條講解第三部分：重點回顧

培訓內容第一部分：本章概述第一部分：本章概述風險管理基本流程風險管理信息系統風險管理信息系統的作用風險管理信息系統的實施與運行風險管理信息系統的要求與功能收集風險管理初始信息進行風險評估制定風險管理策略提出和實施風險管理解決方案實施風險管理的監督與改進第一部分：本章概述風險管理基本流程風險管理信息系統風險管理信培訓內容第一部分：本章概述第二部分：逐條講解第三部分：重點回顧

培訓內容第一部分：本章概述第二部分：逐條講解第五十三條－信息技術應用于風險管理實踐第五十四條－風險管理信息系統保障風險信息量化值的要求第五十五條－風險管理信息系統的功能要求第五十六條－風險管理信息系統應該實現跨部門的集成與共享第五十七條－風險管理信息系統應該確保安全、穩定運行第五十八條－風險管理信息系統的建設與更新第八章風險管理信息系統第二部分：逐條講解第五十三條－信息技術應用于風險管理實踐第八第五十三條企業風險管理信息系統的基本流程和內部控制環節第五十三條企業應將信息技術應用于風險管理的各項工作，建立涵蓋風險管理基本流程和內部控制系統各環節的風險管理信息系統，包括信息的采集、存儲、加工、分析、測試、傳遞、報告、披露等。根據COSO企業風險管理框架的三個維度，企業的目標、全面風險要素管理方法、企業的各個層級，風險管理系統就是使用信息技術手段，實現企業各個層級風險要素的信息系統管理，以達到企業發展目標的要求。由于企業各個層級、各個業務環境的信息環境十分復雜，就特別需要借助于風險管理系統來實現企業的全面風險管理。風險管理系統即可以是一個完整的信息系統，也可以是通過不同的系統，利用信息技術手段集成實現全面風險管理的整體功能。重點說明：系統必須涵蓋風險管理基本流程和內部控制系統各環節第五十三條企業風險管理信息系統的基本流程和內部控制環節第風險管理信息存在于經營管理的各個層次之中按照信息使用者的要求和各種業務在經營管理中的層次，可以把需要企業的管理信息分為三個層次：決策控制層日常經營管理層支持體系管理層風險管理系統需要的信息同時存在于這三個層次當中，因此我們必須要把握好信息收集、分析、處理的范圍、深度和廣度充分考慮信息管理的全流程化

風險管理信息存在于經營管理的各個層次之中按照信息使用者的要求信息系統的重要性是企業風險策略和風險解決方案的重要支撐手段是固化風險管理流程、推進全面風險管理的必須工具是風險信息收集、輸入、加工和輸出的載體是企業落實風險管理、提升風險管理能力的必經之路提供跨組織、跨流程的信息集成和共享平臺通過系統實現風險的快速預警，及時采取必要的防范措施系統能夠提供企業風險狀況的報告，并且追溯發生的原因信息系統的重要性是企業風險策略和風險解決方案的重要支撐手段基礎是信息系統數據層表現層中間層分析層ERP系統/OLTP/數據倉庫中間件/OLAP/BAPI各種分析模型及軟件報告系統/OA/知識管理財務銷售生產日常營運等決策支持各種應用銜接各種數據銜接跨平臺操作外部開發與第三方模塊銜接等報告查詢管理決策支持技術銜接日常經營、流程管理風險管理系統的范疇基礎是信息系統數據層表現層中間層分析層ERP系統/OLTP/風險系統與其它系統風險展現系統：RiskWizard，OpRisk，SAS預算系統：HyperionPlanning，Comshare,Timeline，Cognos數據挖掘與分析系統：SPSS,SAS，IntelligentMiner數據EIS：WebGateway，DecisionLightship電子商務系統：CommerceOne,BoardVisionCRM系統：Siebel公司報告系統：CrystalReport

ERP系統：SAP，Oracle，SSA風險系統與其它系統風險展現系統：RiskWizard，O通過風險管理信息系統加工大量風險信息有關風險的信息需要在各層級的組織機構中進行識別、評估并對風險做出反應，從而來完成企業經營管理目標。一些信息可能被用到一個或多個不同的目的。信息有很多的來源可以分為內部的和外部、定性和定量的，并可以對變化的環境迅速做出反應。管理的主要挑戰是對大量可用信息進行加工的過程。這種挑戰可以用信息系統功能包括來源、獲取、處理、分析和報告有關的信息來解決。一些系統提供了對客戶交易情況進行持續監督功能，結合基本的業務工作流程來減輕每日操作中的風險。保證信息的一致性需要特別注重企業面對行業變動,高度創新和快速發展的競爭者,或重大顧客需求改變。信息系統需要隨著新目標的設定而改變。信息系統不僅要識別和獲取必要的財務和非財務信息，還要及時的處理和報告這些信息，確保對企業經營活動進行有效的控制通過風險管理信息系統加工大量風險信息有關風險的信息需要在各層業務驅動風險管理信息化項目的一個最為典型的錯誤是將其當作一個技術項目。為了獲取真正的業務收益，系統建設應從業務的角度出發。業務用戶也應直接介入業務戰略明晰和業務及信息技術需求分析關鍵成功因素－業務驅動業務驅動關鍵成功因素－業務驅動風險信息管理的全流程性商業智能、戰略評估、業績評估、綜合分析信息技術銷售與分銷供應內部管理分銷渠道管理客戶關系管理售后服務市場營銷供應渠道管理供應商關系管理合同管理內向物流管理外向物流管理倉儲管理財務管理成本控制資金管理企業需要對其核心業務流程進行完整的定義，并通過必要的手段（例如信息技術）進行固化。將企業運作從傳統的以部門為核心的方式轉為以業務流程為核心風險管理風險信息管理的全流程性商業智能、戰略評估、業績評估、綜合分析風險信息的結構和處理流程在構建企業的風險管理信息系統之前，首先要明確相關風險信息的結構和處理流程，即在企業不同層次，不同業務和管理環節的處理辦法：信息的分析與測試信息的傳遞信息的采集信息的存儲信息的加工風險信息的采集就必須要明確需要哪些基礎信息，這些基礎信息的來源，基礎信息的收集頻度，不同基礎信息之間的口徑差異，信息的采集流程，技術手段等信息的存儲需要建立良好的數據架構，解決好數據標準化和存儲技術問題基礎信息需要進行加工和提煉才能成為可進行分析的風險信息分析的內容、層次、方法和頻度都會是信息分析環節關注的重點風險管理系統必須建立良好的信息傳遞機制，這種信息的傳遞機制應當建立于風險管理的各個環節中風險信息的結構和處理流程在構建企業的風險管理信息系統之前，首風險信息系統對風險的展示與披露信息的報告與披露：從信息技術角度看，信息的報告是展現層的工作。一個良好的風險管理信息系統必須要求能夠把風險管理的各個環節情況進行直觀易懂的展示根據自己的控制水平和能力確定風險控制策略信息組????風險因素列表影響風險評估戰略組經營組???財務組市場占有客戶關系環境保護政策法規股東關系品牌聲譽人事組????資金缺口償債風險收益實現???人才流失道德操守內部公平???信息滯后信息缺損系統安全123455432168789543654678765679105432發生可能性重點控制適當控制影響度風險信息系統對風險的展示與披露信息的報告與披露：從信息技術角運營風險報告框架

支付與結算采購資產管理貿易與銷售財務風險市場風險運營風險月度報告損失承受能力風險指標趨勢主動的風險管理關鍵的問題季度報告風險狀況與問題周報告針對業務線的風險指標報告運營風險委員會管理層業務線季度報告

風險狀況與問題月度報告業務定量分析報告概要月度報告風險狀況概覽主要控制問題運營風險損失概要運行風險報告必須聯合專注的運營風險評估流程、現有的業務線報告和特別的內部及外部評估運營風險報告框架支付采購資產貿易財務風險月度報告周報告運營第五十四條風險信息的一致性、準確性、及時性、可用性和完整性第五十四條企業應采取措施確保向風險管理信息系統輸入的業務數據和風險量化值的一致性、準確性、及時性、可用性和完整性。對輸入信息系統的數據，未經批準，不得更改。確保信息系統輸入業務數據和風險值的質量，是風險管理信息系統的重要基礎。安然、世界通訊等公司的一系列丑聞，使投資者對在美國上市的公司信息披露的真實性產生懷疑。隨著薩班斯法案的出臺，對上市公司對外披露信息的真實性提出了更高的要求——“管理層對財務信息的準確性承擔刑事責任”，實施薩班斯法案，將引發企業從業務流程到技術架構的一系列變革。重點說明：風險管理信息系統的數據要求風險信息一致性準確性及時性完整性可用性第五十四條風險信息的一致性、準確性、及時性、可用性和完整風險信息系統的內部控制在風險管理信息系統內部建立嚴格的人員訪問授權、數據接觸控制、操作流程規則和職責體系，以避免信息系統故障，保留IT審計線索，杜絕利用信息技術進行貪污、舞弊的行為。批準決策審核報告數據提供風險管理委員會審計委員會獨立第三方業務單位財務業務單位風險能力中心主管海外風險主管風險能力中心主管內部審計經理合規性經理運營管理層內部審計經理完成風險評估風險分析和報告風險狀況評估風險戰略風險所有者制定風險標準風險信息系統的內部控制在風險管理信息系統內部建立嚴格的人員訪實施風險管理信息化的準備工作按企業管理層次系統模型的要求，規范企業的業務流程、財務流程和人力資源流程，形成一套完整的信息系統功能和管理制度表單的文檔；根據企業文化、組織機構和管理方法的要求，對企業從上層管理人員到一線的工作人員進行全面的管理和工作流程培訓；將信息系統與具體工作流程進行實際演練，通過實踐及時修正出現的問題。實施風險管理信息化的準備工作按企業管理層次系統模型的要求，規風險信息的保障機制信息系統輸入數據及風險量化值的準確性、及時性、完整性，也就是系統外最前端的數據源的準確也會直接影響到企業控制風險的能力。為保證數據的準確性，企業風險管理信息化需要首先對企業基礎管理工作的流程進行梳理，從而確保數據信息的一致性、準確性、及時性、可用性和完整性。為保證風險數據的準確性，要重視風險管理系統的操作權限與操作規程控制、信息安全與數據處理流程控制。制定對應控制規則，設計控制制度和控制程序，并將這些控制程序和控制參數輸入到計算機信息系統內部，形成完整、嚴密的面向流程的人機內部控制系統。錄入流程共享與使用操作權限風險信息的保障機制信息系統輸入數據及風險量化值的準確性、及時全球化的信息系統架構在集團范圍內共享所有的信息兩個標準的數據交換層使用ETL收集和分發相關數據在線的預警信息服務一個強勢的集團治理架構按照業務需求建立風險模型集團內統一流程，企業依照執行標準的工具支持流程的運行公共集中的客戶信息管理平臺標準化的客戶信用管理工具和客戶交易數據系統所有的交易過程中的風險信息和相關信息都將發送到中央風險數據庫一個集中的數據庫數據按天收集按月進行風險計算要點歐洲某大型集團公司的風險管理技術流程組織全球化的信息系統架構一個強勢的集團治理架構集團內統一流程，企歐洲某大型集團公司的風險管理企業中央風險數據庫風險分析工具風險數據收集風險數據使用與共享信用風險+市場風險引擎參考信息集團參考信息客戶產品組織風險標志行為分類警報模型監控風險標志風險標準企業參考信息產品管理建議與批準集團標準風險報告集團比率產品處理收款管理市場風險信息交換服務協議風險信息交換歐洲某大型集團公司的風險管理企業中央風險數據庫風險分析工具風第五十五條關于風險管理信息系統的功能要求通過風險管理信息系統中的風險庫和預警機制全面識別各種風險

——風險庫的建立；固化流程；標桿和預警利用風險管理信息系統實現對風險水平的自動分析、評估和報告

——利用風險評級模型進行評估；建立風險對策庫；監督和評價風險管理工作及其效果重點說明：風險管理信息系統的功能要求第五十五條風險管理信息系統應能夠進行各種風險的計量和定量分析、定量測試；能夠實時反映風險矩陣和排序頻譜、重大風險和重要業務流程的監控狀態；能夠對超過風險預警上限的重大風險實施信息報警；能夠滿足風險管理內部信息報告制度和企業對外信息披露管理制度的要求。第五十五條關于風險管理信息系統的功能要求通過風險管理風險庫的建立……系統應支持標準的風險庫的建立，比較全面地涵蓋企業日常經營所面臨的各項主要風險。可以根據國際風險組織的RiskMap風險模型或是德勤的RiskUniverseTM，結合自身的實際情況，建立風險模型，作為風險識別、分析和評價的參考標準。國際風險組織的RiskMapTM風險模型RiskUniverseTM是德勤開發的風險模型

風險庫的建立……系統應支持標準的風險庫的建立，比較全面地涵蓋……固化流程，將活動和風險建立映射……企業需要在系統中固化和標準化主要的管理流程和業務流程，確定流程負責人，將每個流程中的關鍵活動與風險庫建立映射關系。定義和分類風險評估可能性和影響定義風險緩解策略管理風險評估風險合同簽署實施風險緩解策略如何有效管理剩余的風險?如何對風險排序并評價其影響?如何實施緩解風險的策略?如何制定緩解風險的策略?ChangeinriskprofileReductionofexistingrisksAmplificationofexistingrisks,orintroductionofexistingonesNochange外部業務的影響如何?正確管理和評估風險的方法有哪些?主要的風險是什么?風險管理流……固化流程，將活動和風險建立映射……企業需要在系統中固化和……標桿分析，實施監測……企業通過行業標竿分析、歷史數據分析、情景分析等在系統中設定各風險衡量指標的標準值和合理波動區間，借助信息系統實現風險預警的自動化，實時監測風險指標，及時發出警報信號，并在規定的時間內通知規定的部門和人員，由其采取相應的措施。平臺部件承認認證量產跟進評審方案設計試驗手板模具試制試產綜合管理專利申請策劃和推廣小計17L6.4615.042.160.328.9914.4073.096.4547.291.8258.71234.7220L6.4615.042.160.329.1714.4073.096.4532.440.005.01164.5321L7.7817.512.620.3711.0817.3588.197.783.250.420.00156.3623L8.4019.452.800.4111.8618.6694.638.3318.360.002.51185.4025L6.1814.362.060.288.7814.1069.876.15136.400.4222.55281.1428L29.1267.929.821.3841.4365.0566.8129.07101.380.8415.03427.8731L3.718.641.240.185.278.2641.893.6861.020.0010.02143.9234L9.7822.793.300.4613.9021.84110.679.764.090.280.00196.8836L2.756.400.920.143.906.1431.202.771.150.000.0055.3640L13.4531.414.540.6519.1330.11152.6713.4520.490.002.51288.4144OTR11.003.733.720.5115.6722.06124.6910.9910.570.000.00202.94合計105.09222.2835.335.03149.19232.38926.80104.89430.463.77116.342,337.53……標桿分析，實施監測……企業通過行業標竿分析、歷史數據分析利用風險評估模型進行風險評估……首先，在系統中建立風險評估的定性和定量的標準，構建風險評級模型，綜合考慮潛在風險損失和風險發生概率確定風險級別，評估風險水平。——標準——模型——損失和概率在各項風險的發生可能性與影響程度之間建立起矩陣關系來系統地描述風險的重要性等級（如高風險、中風險和低風險），識別需要應最優先進行控制的風險，有效地分配風險管理的資源。——可能性和影響程度——重要性評價——識別優先風險評估建立對策庫監督與評價利用風險評估模型進行風險評估……首先，在系統中建立風險評估的……建立風險對策庫，實現對解決措施的自動提示……企業應首先確定各類主要風險的應對策略，設計相應的應對措施，并對應到相關的業務流程和管理流程，確定控制節點、控制措施和控制手段，形成統一的風險管理操作規范，同時在系統中建立風險對策庫。

——確定策略——設計應對措施——統一操作規范——建立風險對策庫根據風險分析和評估結果，系統可自動識別應采用的基本的風險對策，并通知相應的流程負責人。由于各業務板塊所涉及的業務／工作不同，風險標識各異，在具體預警系統、管理技術和流程方法上可保持靈活性。集團設立專門的風險管理部門實施集中化的管理，并授權各業務板塊和經營單位配備相應的風險管理人員，在集團公司的授權范圍內開展工作。風險評估建立對策庫監督與評價……建立風險對策庫，實現對解決措施的自動提示……企業應首先確……利用信息系統監督評價風險管理工作效果盡管在不同的企業風險管理的方法不盡相同，但在風險管理的目標方面是一致的。風險管理信息系統的目標是：查明影響經營戰略與業務活動的風險，并按風險大小進行排序；了解管理層和審計委員會確定的、能夠接受的風險水平；制定并實施降低風險計劃，把風險降到可以接受的水平上；定期對風險和控制進行評估，以降低管理風險；定期向董事會和管理層報告風險管理過程的結果。系統必須能夠協助企業從上述五個目標的完成情況去評價風險管理的充分性和有效性。風險評估建立對策庫監督與評價……利用信息系統監督評價風險管理工作效果盡管在不同的企業風險……利用信息系統監督評價風險管理工作的內容評價組織和行業的發展情況和趨勢，確定是否可能存在影響組織的風險；檢查組織的經營戰略，確定組織對風險的接受；檢查管理層、內部和外部審計師，以及有關方面以前發表過的風險評估報告；與相關管理層討論部門的目標，存在的風險，以及管理層采取的降低風險和加強監控的活動，并評價其有效性；評價風險監控報告制度是否恰當；評價風險管理結果報告的充分性和及時性；評價管理層對風險的分析是否全面，為防止風險而采取的措施是否完善，建議是否有效；對管理層的自我評估進行實地觀察、直接測試，檢查自我評估所依據的信息是否準確，以及其他審計技術；評估與風險管理有關的管理薄弱環節，并與管理層、董事會、審計委員會討論。風險評估建立對策庫監督與評價……利用信息系統監督評價風險管理工作的內容評價組織和行業的發風險管理信息系統德勤課件風險管理信息系統德勤課件風險管理信息系統德勤課件第五十六條風險管理信息系統要實現信息的集成與共享第五十六條風險管理信息系統應實現信息在各職能部門、業務單位之間的集成與共享，既能滿足單項業務風險管理的要求，也能滿足企業整體和跨職能部門、業務單位的風險管理綜合要求。重點說明：風險管理信息系統的跨部門特點對日常工作流程的管理對執行結果的管理……的管理……各職能部門各業務單位單項業務風險管理層次的要求跨部門風險管理綜合要求風險管理環節與信息的集成與共享從風險管理的層次看，既有對日常工作流程的管理，也有對執行結果的管理。顯然，“信息孤島”的產生并不僅是與軟件產品有關，也與管理集成和技術集成水平有著緊密的關系。因此風險管理的環節必須集成，這就要求信息必須在各職能部門、業務單位之間的集成與共享，既能滿足單項業務風險管理的要求，也能滿足企業整體和跨職能部門、業務單位的風險管理綜合要求。第五十六條風險管理信息系統要實現信息的集成與共享第五十六一個全球化的信息系統架構集成開發所有的組件一個強勢的集團治理架構公共的企業業務流程主要的困難在于公共信息的管理（例如當一個錯誤的企業宣布自己的流程模板）共享的集中式的客戶信息管理（對于每個公司都作為一個零售客戶來管理）：有且只有一個企業負責管理客戶的“主數據”（客戶的唯一標識）每一個在本地的針對主數據的修改都必須發送到中央數據庫并且同時修改其它機構的數據集團負責客戶的信用評級所有企業信貸發生系統發送信用建議和批準通知至信貸建議數據庫所有企業信貸處理系統發送限制、披露和提供數據至信用風險數據庫風險/會計信息調整：每一個下屬企業必須確保風險和會計信息之間的匹配，任何差異都必須報告并隨風信信息一并上傳在集團層面控制的目標是確保不存在風險與會計信息之間的差異所有的計算都必須通過內部集成的系統上交要點歐洲某大型金融機構風險管理示例技術流程組織一個全球化的信息系統架構一個強勢的集團治理架構公共的企業業務歐洲某大型金融機構風險管理示例全球信貸建議數據庫全球客戶參考信息全球信貸風險數據庫信貸發生系統信貸處理系統信貸發生系統信貸處理系統信貸發生系統信貸處理系統建議和信貸批準限制、披露和提供數據客戶數據金融企業1金融企業2金融企業n地區(企業層面)集團層面建議和信貸批準建議和信貸批準限制、披露和提供數據限制、披露和提供數據歐洲某大型金融機構風險管理示例全球信貸建議數據庫全球客戶參考第五十七條確保風險管理信息系統的安全和穩定，并持續改進風險管理信息系統的穩定和安全將直接關系到企業對風險的控制能力，如果處理不好，會給企業帶來巨大損失，嚴重時，還會制約企業的整體發展；針對風險管理信息系統的安全內容十分廣泛，安全要求各不相同，需要從網絡層次、信息層次、設備層次等分別討論；除了要確保風險管理信息系統的穩定及安全外，還要根據企業的發展需要，對風險信管理信息系統進行改進、完善和更新。重點說明：風險管理信息系統需要不斷改進和完善

第五十七條企業應確保風險管理信息系統的穩定運行和安全，并根據實際需要不斷進行改進、完善或更新。

第五十七條確保風險管理信息系統的安全和穩定，并持續改進風可靠性：即保證網絡和信息系統隨時可用，運行過程中不出現故障，若遇意外打擊能夠盡量減少損失并盡快恢復正常；可控性：即保證營運者對網絡和信息系統有足夠的控制和管理能力；互操作性：即保證協議和系統能夠聯接；可計算性：即保證準確跟蹤實體運行達到審計和識別的目的等信息的完整性：即保證信息的來源、去向、內容真實無誤；保密性：即信息不會被非法泄露擴散；不可否認性：即保證信息的發送和接收者無法否認自己所做過的操作行為等網絡層次信息層次風險管理信息系統的安全要求可靠性：即保證網絡和信息系統隨時可用，運行過程中不出現故障，第五十七條企業應確保風險管理信息系統的穩定運行和安全……

風險管理信息系統安全保障體系應該是一個在充分分析系統安全風險因素的基礎上，通過制定系統安全策略和采取先進、科學、適用的安全技術能對系統實施安全防護和監控，使系統具有靈敏、迅速的恢復響應和動態調整功能的智能型系統安全體系；其模型可用公式表示為：

系統安全=風險評估+安全策略+防御體系+實時檢測+數據恢復+安全跟蹤+動態調整風險管理信息系統安全保障體系的目標是：網絡層安全、系統層安全和應用層安全；不同的層次，其安全內容、要求各有差異，因此，各層次安全保障方案的制定也應該是不盡相同。風險管理信息系統安全保障體系內容風險管理信息系統安全保障體系目標風險管理信息系統安全保障體系內容與目標

……確保風險管理信息系統的安全、穩定第五十七條企業應確保風險管理信息系統的穩定運行和安全……風險管理信息系統改進的驅動因素

第五十七條……并根據實際需要不斷進行改進、完善或更新。

企業戰略的調整管理和服務的需求變化風險管理信息系統的調整技術和管理在不斷地發展風險管理信息化建設與實施是一個長期的，需要持續改進、不斷向前發展的過程。公司的企業戰略根據企業的目標和外部環境在不斷地調整，所面臨的風險會不斷變化，管理和服務對風險管理信息化建設的需求在不斷地變化和發展，信息系統也必須做出相應的調整；同時，技術和管理在不斷地發展，需要不斷持續改進和更新才能保持信息化系統的先進性，才能保持信息化的價值能力。——對風險管理信息系統進行持續的改進風險管理信息系統改進的驅動因素第五十七條……并根據實際風險管理信息系統德勤課件風險管理信息系統德勤課件歡迎界面歡迎界面公司實體界面公司實體界面內部控制內部控制風險評估風險評估評估表格評估表格管理層報告管理層報告第五十八條風險管理信息系統的規劃與實施第五十八條已建立或基本建立企業管理信息系統的企業，應補充、調整、更新已有的管理流程和管理程序，建立完善的風險管理信息系統；尚未建立企業管理信息系統的，應將風險管理與企業各項管理業務流程、管理軟件統一規劃、統一設計、統一實施、同步運行。風險管理系統作為企業整體信息化建設的一部分，需要和企業其它生產、經營系統一樣統一規