新商业风险管理ppt课件

1、新商业风险管理.信息技术对企业商务的影响随着网络经济的开展，电子商务的运用，越来越多的公司运用信息技术，并将它们整合到日常的商务流程中去，使信息技术对整个的公司的开展起重要的作用。信息技术对企业商务重要的影响有如下几点：企业的开展战略、战术决策；企业产品和效力的设计；企业本钱管理；企业员工的雇用、技艺的培育；企业文化、信息的共享；企业的客户效力；企业供应商与协作同伴的供应链管理；.信息技术带来新商业风险企业在投资和运用信息技术的过程中，除了得到效益外，也产生了新的商业风险。所以企业都必需留意投资和运用信息技术时的风险管理。例如，电子商务买卖过程中，可以从电子数据交换系统EDI、电子资金调拨系统

2、EFT、销售点系统POS等系统中获得商业上的各种数据，对这些数据的分析可获得市场分布、人口地理学、产品分销、资金结算等等资料，这些资料都是企业战略制定和业务管理的关键。假设这些电子商务系统出现妨碍，即使是POS系统或超市的条码扫描系统出现缺点，也会使企业的战略实施和业务管理难以进展，给企业商务带来不良的后果。这就是一种网络经济中出现的新的风险信息技术的商业风险。.新商业风险管理的根本内容管理知识：提高企业内部对信息技术风险管理的认识；掌握新商业风险管理知识。管理方案：从整个行业出发来分析企业风险，构成风险管理方案；商务整合：将企业商务战略与信息技术战略整合在一同，构成企业的整体战略，这对信息技

3、术风险管理的胜利是非常关键的。假设没有进展商务整合，那么，要确认业务程序与信息技术运用中所产生的业务风险之间的联络将会很困难。必需把信息技术风险看成商业风险就必需进展商务整合。将商业风险管理扩展到企业各个部门内，从而促使一切的雇员对风险管理担任并了解无效技术管理的危害。所以，商务整合对进展完好的、综合的风险管理框架起着重要作用，包括了信息技术相关风险的分析和传统意义上的业务风险的分析；丈量评价：对信息技术的作用进展丈量，评价。信息技术对中心业务的影响不断加强，信息技术在当今的商业中心业务中处于关键位置；要对信息技术在企业流程中的作用进展必要丈量。风险转移：在企业接受现有程度的风险；调整产品和效

4、力的价钱以补偿风险损失；进展风险转移，例如：购买保险之前应具备一套适当的、正式的程序来识别和探求信息技术相关风险来源；经过制定和实施风险管理程序，将风险降低到可以接受的程度。重点管理：把握特定类型的新商业风险的管理。主要有以下三种类型：综合性风险：指数据未经同意运用或不完好或不准确而变得不可靠所呵斥的风险。获得性风险：指不能及时获得所需信息而导致的风险。相关性风险：指无论是本身建立的信息还是由运用系统总结出的信息，都不适用或者不及时而带来的风险。网络平安管理：网络平安也构成新商业风险，例如，经过网络侵入企业系统的计算机“黑客和计算机病毒，会破坏客户效力系统或导致信息失真甚至全部丧失。分配计算借

5、助于客户效力网络进展的信息管理使信息可以在一定范围内传播。但是，分配计算也给企业平安性带来了风险。普通在同一条网络上的信息一切者并非只需一个。一些信息对企业相当敏感，所以对客户效力环境的有效管理就显得很重要。.新商业风险主要类型 完好性凤险这种风险大多来自运用系统，运用系统可对商业数据的输入、处置、归纳和储存等。当系统妨碍时，就能够呵斥数据未经授权被运用或数据不完好、不准确而呵斥风险。接入风险接入网络时，数据或信息存取不当而导致风险。这种风险来自网络和电子商务的不断开展。由于黑客和电子欺诈行为的存在，人们要维护本人的系统免受侵扰。人们就必需设法维护线路、网络缆线和计算机，以便尽力对数据和信息进

6、展严密。存取风险能够由于不合理的责任分工呵斥的风险，如，未经授权的人进入数据库带来了风险，或违反信息严密性法律规那么引起的相关风险。根底设备风险指企业不具备完好的信息技术根底设备而呵斥的风险。这种根底设备是指可以以低本钱、高效率的方式，构建信息技术的商业运用方式，它包括信息技术根底。信息技术根底设备主要包括以下几部分：硬件；网络；软件；人员；程序。系统的完好性是要保证定义、开发、维护和运作处置信息环境和运用系统正常运作所必备。所以它对商业运作产生的影响最大，存在风险也最大。获得性风险：这是指企业在获得数据时的风险，如破坏者们经常利用邮件轰炸来妨碍效力，或者对效力系统提出虚伪恳求，这给提供效力带

7、风险。金融效力业是典型的依赖于准确、及时信息而运作的行业。在这方面的风险较大。所以企业要有一个有效的方式来管理价钱风险、流动性风险和信誉风险，必需具备特定的系统。这种系统要使需求者对所需信息实时可用、随时可得，并能进展评价。.一、完好性凤险 Integrity risk完好性凤险大多来自运用系统，运用系统可对商业数据的输入、处置、归纳和储存等。当系统妨碍时，就能够呵斥数据未经授权被运用或数据不完好、不准确而呵斥风险。它主要在系统以下部分表现出来：用户界面User interface:必需给予正确的设定，有足够的限定，以确保只需有效的数据才干进入系统，并且这些数据是完好的。处置Processin

8、g:使系统有才干控制处置各种数据，以确保数据的处置完好性和及时性。病毒使系统对数据处置的完好性呵斥特别要挟。这类要挟能对关键业务程序呵斥宏大的冲击。对错误处置Error Processing:系统运用适当的程序和其他系统方法来确保任何进入系统的数据都遭到检测，并已作了修正。可以准确地、完好地和及时地处置错误数据。对错误数据的检测在金融业显得非常重要。界面Interface：应有系统预警显示，以确保各种数据的准确完好地传输。变化处置Change Management：对变化有处置才干的流程，经过这些流程，运用系统的任何改动均能传输并予以实行。数据Data:数据管理和控制，既包括处置数据的平安和完

9、好，也包括对数据库和数据构造的有效管理。数据的完好性能够会由于程序错误引起，如对数据用不正确的程序来处置；或发生管理程序错误。.二、接入风险Access risk接入风险是指接入网络时，数据或信息存取不当而导致风险。这种风险来自网络和电子商务的不断开展。由于黑客和电子欺诈行为的存在，人们要维护本人的系统免受侵扰。人们就必需设法维护线路、网络缆线和计算机，以便尽力对数据和信息进展严密。存取风险能够由于不合理的责任分工呵斥的风险，如，未经授权的人进入数据库带来了风险，或违反信息严密性法律规那么引起的相关风险。业务流程Business Process:企业确定某一业务流程和流程运作方式。运用软件Ap

10、plication： 采用相应的运用软件，给用户提供完成任务所需求的平安的接入方式。并限制对平安有破坏的接入，如欺骗行为，防止由于员工接触过多的信息导致对数据不测或无意的改动。数据和数据管理Data and management:为用户提供接入特殊数据或数据库通路的网络环境。流程的环境Processing environment:普通指不恰当地进人主计算机业务流程处置环境和获取该环境中储存的程序和数据。网络Network:接入网络联络用户和流程环境。接入风险是由于不恰当地进入网络本身的风险所导致的。硬件设备Physical：维护设备不受破坏、偷窃或不恰当地接触。.三、根底设备风险infrast

11、ructure risk根底设备风险指企业不具备完好的信息技术根底设备而呵斥的风险。信息技术根底设备主要包括以下几部分：硬件；网络；软件；人员；程序。系统的完好性是要保证定义、开发、维护和运作处置信息环境和运用系统正常运作所必备。所以它对商业运作产生的影响最大，存在风险也最大。根底设备风险有以下内容：组织方案Organisation Planning:根底设备对在商业流程中所采用的信息技术进展清楚地界定和论述，确保企业经理层对信息技术的运用方案有足够的支持，并有充足的人才和流程方案，以确保系统实施的胜利。运用系统的定义和开发Application systems definition and

12、deployment： 根底设备要保证运用系统满足业务和用户的需求。就必需决议购买整个运用系统处理方案，还是按用客需求开发新的处理方案。应确保运用系统的一切变动应遵守一定的构造，以确保与关键控制点坚持延续性和一致性。例如，典型的构造要求一切变化必需在事前被用户所验证和经过。逻辑平安和平安管理Logical security and security administration：根底设备应确保企业足以应付接入风险。要建立、维护和监视内部平安综合系统，该系统在数据和信息的完好性和严密性方面要符合管理层的政策。计算机和网络操作Computer and network operations：根底设备

13、应确保信息系统和相关的网络环境是在管理层的政策下，在平安和受维护的环境下运作。计算机操作人员对信息处置的责任，应该是被明确界定、衡量和监视。通常计算机技术人员作出的自动性行为，也可衡量与监视计算机和网络运转，确保系统为用户提供称心的、继续的支持。数据和数据管理Data and database management：根底设备应确保那些用于支持运用系统和终端报告所需求的数据和数据库，既有相互的内部一致性，又有定义的衔接性，可满足企业商务需求和减少潜在的闲置。中心业务数据恢复Business data center recovery：根底设备应确保企业中各种中心业务数据的灾难性恢复，以确保商业方案

14、的充分实施，保证满足用户在需求时可得到相关和技术支持。.四、获得性风险Availability risk获得性风险是指企业在获得数据时的风险，如破坏者们经常利用邮件轰炸来妨碍效力，或者对效力系统提出虚伪恳求，这给网络用户提供效力带来了一种危险。金融效力业是典型的依赖于准确、及时信息而运作的行业。在这方面的风险较大。所以企业要有一个有效的方式来管理价钱风险、流动性风险和信誉风险，必需具备特定的系统。这种系统要使需求者对所需信息实时可用、随时可得，并能进展评价。这种系统该当严厉控制数据，防止未经授权的存取改动数据。 获得性风险表如今如下三个方面：经过事先对行为的监视和对系统问题的处理，都可以防止此

15、类的风险。如，硬盘的存储才干对信息系统来说是很重要的，这可以不断地予以监视确保它足以支持企业商务流程的运作。获得性风险与系统的短期中断有关联。对此可运用备份和恢复技术使中断影响的范围最小化。如，大多数企业曾经认识到每天至少一次对关键数据进展备份的重要性。这样在处置过程中丧失数据的影响能被控制在上一个备份以后的数据投入的范围内。获得性风险与信息处置过程长时间中断有关联，其重点是诸如备份与应急方案等控制手段。.五、其他与商务相关的风险 Other business risks信息战略与商务战略整合后，还产生了一些与此相关的风险，这也是作为风险管理应加以留意的部分，由于它们能够对企业商务产生不利的影

16、响。正确性风险Validity risk企业运用系统建立必需适宜本企业情况，这种风险包括决策过程中所需信息能否正确性的风险，除此之外还直接涉及到运营运转过程中的信息的正确性风险，如，企业员工不能及时性获得所需求的正确信息的风险。正确性风险问题对金融效力业也及为重要，例如，银行机构经过实时系统运用利息率和风险报告等工具来监控它们的利率动摇的风险。假设时间不准确，那么，这些工具所提供的信息就毫无用途。另外信息技术系统提供的管理方面的数据报告，假设不准确，能够导致指点者的决策失误。效率风险Efficiency risk对运用程序的选择应有效率性。能够有一些程序不能满足客户的需求。假设把技术引人到商务

17、流程中去，而又不能产生出效率，就没有意义。所以规划应思索到效率的风险。企业系统根底设备应包括商业战略坚持一致的信息技术战略，对信息技术战略与商业战略的整合应很明确，以实现管理层的商业目的。周期性风险Cycle time risk这是指商务活动的周期性，假设商务周期性过长，如供应链过长导致商务周期性过长，这样企业效益就会受影响。信息技术战略运用到商务流程中去，应促使商务周期性缩短。但是，在详细实施过程中，能够由于信息技术根底设备缺乏，或由于系统缘由，使商务周期性的延伸，达不到原来所希望的商务目的。采用信息技术在商业流程中，对周期性问题该当事先思索清楚。报废凤险Obsolescence risk企

18、业库存经常是由信息技术系统来管理。为了有效地管理库存和防止报废或过剩，业务上要求数据的完好性、准确性、及时性。由于系统的问题能够影响数据的正确传输，引起库存的报废。这也是信息系统的风险之一。业务中断风险Business interruption risk企业的业务有一个延续的过程，运用软件的操作主要依赖于信息系统。因此，信息系统的应急方案应是整个商业延续方案的一部分，灾难恢复方案应该是商业方案的一部分，以防止业务中断的风险。产品失败风险Product fail risk正确的产品信息来自企业内部网和信息系统，假设一个企业监视和记录次品数据不准确，就能够呵斥产品的失败。在运用信息系统控制消费流程

19、时，这方面的风险应给予足够的注重。另外，产品销售的反响信息，企业能发现用户对产品的意见，经过获得这类信息，企业因此可以管理产品失败风险，以及有关顾客效力和声誉的风险。.如何管理新商业风险有效的商业风险管理并非仅为一种职能，更是一个过程。所以，只需在商业风险范围内对采用信息技术后的企业进展风险管理，才干有效地逃避新商业风险。这里有两个关键点值得留意：在信息时代的复杂商业环境中，任何一家电子化企业要想获得胜利，都必需构造一幅明晰的关于识别、衡量、控制与监测一切类型风险的行车图。有效的风险管理并不只是一种职能，还是一个过程，是一个识别和管理一切潜在艰苦风险的过程，它涵盖了一切的企业商务活动以及各层次

20、的企业组织。主要内容：商业风险管理程序新商业IT风险管理要素：战略规划配置管理流程监测技术构造的界定管理框架.一、商业风险管理程序为了识别、衡量、控制与监测风险，企业需求有一套恰当的风险管理程序，它包括了六个步骤：确立管理目的和目的：根据企业的市场目的，确定商业风险接受限制。评价商业风险：识别导致风险的主要要素，这些要素对业务的胜利至关重要；研讨风险的来源，判别风险是来自企业外部，还是企业内部的商务运作过程。衡量风险的重要性的程度以及发生的能够性。制定商业风险管理战略：风险管理战略必需确定风险位置和责任，以便制定和实施相应的管理与控制程序。风险管理战略有可选性，包括：逃避不可接受的风险、转嫁风

21、险经过购买保险，与其他企业结成战略同盟、共同投资。与独立的当事人签署契约性风险分担协议等途径。接受现有程度下的风险，即自我保险。接受风险，经过各种监控手段将风险降低到一个可接受的程度，可接受度是管理中的风险限制所确定的。设置并实施风险控制程序：确保适宜的员工设置和实施风险控制程序。每一道风险接受才干的程序都必需符合企业管理者规定的风险接受度。监测商业风险管理程序实施效果：监测风险控制程序实施的效果，对于企业到达市场目的、企业战略具有关键意义。可由企业中高级经理实施监测，由程序和业务的操作者详细实施。改善商业风险管理程序见下页.接上页改善商业风险管理程序在实施风险管理过程中，不断完善风险管理程序

22、。经过监测确定在管理过程中出现的缺乏，以及商业环境变化而需求相应地调整风险管理程序。采用这种不断更新、不断完善的思想是极为重要的。在电子化企业中，在电子商务的过程中，运用信息技术所产生的风险就是一种商业风险。所以，应该把这种当作商业风险的一部分来进展评价。采用一种综合的方案来进展风险管理，就是要指点者识别上面所述的企业运用信息技术时产生新的商业风险。并将这种风险与整体商业风险结合起来思索。建立一个适宜本企业的风险管理程序。例如：一个公司的程序如下提供一种指点机制，并由上级部门确定风险管理的基调。为整体风险管理进展资源配置。建立风险管理框架和总体规划。确定目的限制及个人责任。确认规范会计分类和业

23、务损失。建立风险度量系统和早期预警指示。将风险控制管理情况与奖励机制相联络。从以上可以看出这个公司不仅具备一套整体性的风险管理方案，而且还掌握了风险管理中具有关键作用的要素，包括：高素质的指点才干、个人责任。规范的界定以及业绩的监测等。借助于预警程序和高级经理部门的参与，信诚公司将这种商业风险管理推行到业务运转的各个层次，确保了整个公司内部信誉的衔接性。如下图：新商业风险管理程序。见下页.新商业风险管理程序图解建立管理目的与目的、风险限制、风险接受程度商业风险评价、识别、探求、度量制定商业风险管理战略改善商业风险管理过程商业风险实施效果的监测制定/实施风险控制程序 躲避 价钱 转嫁 接受决策信

24、息.二、新商业风险管理框架安达信公司的提供了一个信息技术风险管理框架，可作为电子化企业引入IT技术时，制定总体风险管理战略的特殊构造。风险控制程序既有对经济环境的风险普遍性适用，也适用特定环境下风险的特殊性。例如，电子商务要求买卖双方采用CA认证，这是控制风险的普遍性的要求。对于特殊的风险控制，可以用软件加密，防止密码泄露，电子签名等，从而防止未经授权的接入风险。商业风险控制以信息系统做预防性的控制最为有效。当系统设置好后，要比人工控制的效果要好的多。见以下图.信息技术风险管理框架图解硬件设备网络平台数据运用流程战略规划构造界定流程监测配置管理.一、战略规划企业电子商务总体战略，应包括信息技术

25、风险管理战略和政策的制定，它应包括企业信息风险管理的内容，应阐明战略实施，相关人员责任界定。同时它也是企业商务流程，运用程序设定根底。企业中任何一个规范、方针、方案都在这个根底上设立。这些规范、方针、方案可以详细阐明某一程序如何运转。例如，系统平安问题，有关政策就可以这样规定：一切的用户都必需经过授权，运用用户身份认证和特定密码。这个规定加上一些详细的细那么，来保证企业用户在授权下答应进入系统。风险管理战略和政策的制定包括如下内容：程序：1、企业知识资产维护程序；2、新技术评价战略；3、信息技术相关凤险的评价、管理和监测责任；4、传达信息技术和相关风险，指定共同商业风险言语；运用：1、系统更新

26、生命周期的规范；2、设计与购买软件的决策；数据管理：1、数据一切权；2、数据库的设计和管理；3、专有数据的运用与维护；4、员工、客户及其他人员所拥有数据运用与维护；平台：1、支持硬件和软件平台的各项规范；2、确定平台规划、设计、支持与保险的责任；网络：1、经授权的卖方与效力产品规格；2、网络规划、设计支持与保险的责任；实践设备：1、确定信息处置地点和设备的一切者责任；2、电脑和业务范围外信息内容的维护；3、政策的维护与支持；政策制定还应包括一些保证政策得到落实的一些程序训练和培育人才程序对计算机和网络技术构造进展管理的程序；对运用系统或技术环境变化进展管理的程序；添加、改动或删除用户进入系统的

27、程序；利用辅助平台等支持用户的程序；制定和检验业务继续性方案的程序。任何商业风险，假设是系统中的一个或多个层次时，就必需制定相应的战略自动地采取相应程序进展有效的管理。硬件设备网络平台数据运用流程战略规划构造界定流程监测配置管理.二、系统配置的管理由于信息技术的不断开展，新技术不断出现，企业要根据需求，不断晋级系统程序，采用最新的信息技术集成到现有流程中，以保证企业战略目的和政策的继续性，这样才干确保相关商务风险的控制。统配置包括如下内容：程序信息技术风险预警方案新雇员在信息技术风险中的位置及职责商业继续性方案和关键业务流程的退出方案运用新系统运用中的用户定位程序同意并实施运用系统转变的权益界定数据管理数据库改革的程序与责任显示、训练和维持数据存储与数据开发系统事态监测平台促运用户转用规范平台的程序文本控制管理程序和软件更新、分配程序制定坚持和检测复苏方案的程序进入控制管理程序与义务网络网络构造、运转及平安性管理的程序实践设备信息技术设备任务地点的平安构造必要的能源设备和环境控制设备的安顿硬件设备网络平台数据运用流程战略规划构造界定流程监测配置管理.三、流程监测系统动态监测系统是用来识别企业商务运作过程及网络商业环境中的变化，一些变化能够会逐渐破坏风险控制的有效性。如，企业原有一个系统灾难恢复方案，由于商务的运作，商业数据的添加，