第八章风险管理信息系统德勤

国务院国资委《中央企业全面风险管理指引》.2006年8月第八章风险管理信息系统讲座德勤咨询公司前言国务院国资委最近颁发的《中央企业全面风险管理指引》,是指导中央企业开展全面风险管理工作，增强企业竞争力，提高投资回报，促进企业持续、健康、稳定发展的重要文件。风险管理信息系统是整个全面风险管理体系中的重要组成部分，为全面风险管理体系中进行风险评估、实施风险管理解决方案、执行风险管理的基本流程、履行内部控制系统提供必需的技术基础。《指引》的第八章“风险管理信息系统”从第53条至第58条给出了中央企业建立风险管理信息系统的基本要求。培训内容第一部分：本章概述第二部分：逐条讲解第三部分：重点回顾

第一部分：本章概述风险管理基本流程风险管理信息系统风险管理信息系统的作用风险管理信息系统的实施与运行风险管理信息系统的要求与功能收集风险管理初始信息进行风险评估制定风险管理策略提出和实施风险管理解决方案实施风险管理的监督与改进培训内容第一部分：本章概述第二部分：逐条讲解第三部分：重点回顾

第二部分：逐条讲解第五十三条－信息技术应用于风险管理实践第五十四条－风险管理信息系统保障风险信息量化值的要求第五十五条－风险管理信息系统的功能要求第五十六条－风险管理信息系统应该实现跨部门的集成与共享第五十七条－风险管理信息系统应该确保安全、稳定运行第五十八条－风险管理信息系统的建设与更新第八章风险管理信息系统第五十三条企业风险管理信息系统的基本流程和内部控制环节第五十三条企业应将信息技术应用于风险管理的各项工作，建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统，包括信息的采集、存储、加工、分析、测试、传递、报告、披露等。根据COSO企业风险管理框架的三个维度，企业的目标、全面风险要素管理方法、企业的各个层级，风险管理系统就是使用信息技术手段，实现企业各个层级风险要素的信息系统管理，以达到企业发展目标的要求。由于企业各个层级、各个业务环境的信息环境十分复杂，就特别需要借助于风险管理系统来实现企业的全面风险管理。风险管理系统即可以是一个完整的信息系统，也可以是通过不同的系统，利用信息技术手段集成实现全面风险管理的整体功能。重点说明：系统必须涵盖风险管理基本流程和内部控制系统各环节风险管理信息存在于经营管理的各个层次之中按照信息使用者的要求和各种业务在经营管理中的层次，可以把需要企业的管理信息分为三个层次：决策控制层日常经营管理层支持体系管理层风险管理系统需要的信息同时存在于这三个层次当中，因此我们必须要把握好信息收集、分析、处理的范围、深度和广度充分考虑信息管理的全流程化

信息系统的重要性是企业风险策略和风险解决方案的重要支撑手段是固化风险管理流程、推进全面风险管理的必须工具是风险信息收集、输入、加工和输出的载体是企业落实风险管理、提升风险管理能力的必经之路提供跨组织、跨流程的信息集成和共享平台通过系统实现风险的快速预警，及时采取必要的防范措施系统能够提供企业风险状况的报告，并且追溯发生的原因基础是信息系统数据层表现层中间层分析层ERP系统/OLTP/数据仓库中间件/OLAP/BAPI各种分析模型及软件报告系统/OA/知识管理财务销售生产日常营运等决策支持各种应用衔接各种数据衔接跨平台操作外部开发与第三方模块衔接等报告查询管理决策支持技术衔接日常经营、流程管理风险管理系统的范畴风险系统与其它系统统风险展现系系统：RiskWizard，OpRisk，SAS预算系统：：HyperionPlanning，Comshare,Timeline，，Cognos数据挖掘与与分析系统统：SPSS,SAS，IntelligentMiner数据EIS：WebGateway，DecisionLightship电子商务系系统：CommerceOne,BoardVisionCRM系统：Siebel公司报告系系统：CrystalReportERP系统：SAP，Oracle，SSA通过风险管管理信息系系统加工大大量风险信信息有关风险的的信息需要要在各层级的组组织机构中中进行识别、评估估并对风险做做出反应，，从而来完完成企业经经营管理目目标。一些些信息可能能被用到一一个或多个不同的的目的。信息有很多多的来源可可以分为内部的和外外部、定性和定量量的，并可以以对变化的的环境迅速速做出反应应。管理的的主要挑战战是对大量量可用信息息进行加工工的过程。。这种挑战战可以用信息系统功功能包括来源、、获取、处处理、分析析和报告有有关的信息息来解决。。一些系统提提供了对客客户交易情情况进行持续监督功功能，结合基基本的业务务工作流程程来减轻每每日操作中中的风险。。保证信息的的一致性需要特别注重企业面对行行业变动,高度创新和和快速发展展的竞争者,或重大顾客需求改变。。信息系统统需要随着着新目标的的设定而改改变。信息息系统不仅仅要识别和和获取必要要的财务和非财财务信息，还要及时时的处理和和报告这些些信息，确确保对企业业经营活动动进行有效效的控制业务驱动风险管理信信息化项目目的一个最最为典型的的错误是将将其当作一一个技术项项目。为了了获取真正正的业务收收益，系统统建设应从从业务的角角度出发。。业务用户户也应直接接介入业务务战略明晰晰和业务及及信息技术术需求分析析关键成功功因素－－业务驱驱动风险信息息管理的的全流程程性商业智能能、战略略评估、、业绩评评估、综综合分析析信息技术术销售与分分销供应内部管理理分销渠道道管理客户关系系管理售后服务务市场营销销供应渠道道管理供应商关关系管理理合同管理理内向物流管管理外向物流管管理仓储管理财务管理成本控制资金管理企业需要对对其核心业业务流程进进行完整的的定义，并并通过必要要的手段（（例如信息息技术）进进行固化。。将企业运运作从传统统的以部门门为核心的的方式转为为以业务流流程为核心心风险管理风险信息的的结构和处处理流程在构建企业业的风险管管理信息系系统之前，，首先要明明确相关风风险信息的的结构和处处理流程，，即在企业业不同层次次，不同业业务和管理理环节的处处理办法：：信息的分析析与测试信息的传递递信息的采集集信息的存储储信息的加工工风险信息的的采集就必必须要明确确需要哪些些基础信息息，这些基基础信息的的来源，基基础信息的的收集频度度，不同基基础信息之之间的口径径差异，信信息的采集集流程，技技术手段等等信息的存储需需要建立良好好的数据架构构，解决好数数据标准化和和存储技术问问题基础信息需要要进行加工和和提炼才能成成为可进行分分析的风险信信息分析的内容、、层次、方法法和频度都会会是信息分析析环节关注的的重点风险管理系统统必须建立良良好的信息传传递机制，这这种信息的传传递机制应当当建立于风险险管理的各个个环节中风险信息系统统对风险的展展示与披露信息的报告与与披露：从信信息技术角度度看，信息的的报告是展现现层的工作。。一个良好的的风险管理信信息系统必须须要求能够把把风险管理的的各个环节情情况进行直观观易懂的展示示根据自己的控控制水平和能能力确定风险险控制策略信息组••••风险因素列表表影响风险评估战略组经营组•••财务组市场占有客户关系环境保护政策法规股东关系品牌声誉人事组••••资金缺口偿债风险收益实现•••人才流失道德操守内部公平•••信息滞后信息缺损系统安全123455432168789543654678765679105432发生可能性重点控制适当控制影响度运营风险报告告框架支付与结算采购资产管理贸易与销售财务风险市场风险运营风险月度报告损失承受能力力风险指标趋势势主动的风险管管理关键的问题季度报告风险状况与问问题周报告针对业务线的的风险指标报报告运营风险委员会管理层业务线季度报告风险状况与问问题月度报告业务定量分析析报告概要月度报告风险状况况概览主要控制制问题运营风险险损失概概要运行风险险报告必必须联合合专注的的运营风风险评估估流程、、现有的的业务线线报告和和特别的的内部及及外部评评估第五十四四条风风险信信息的一一致性、、准确性性、及时时性、可可用性和和完整性性第五十四四条企业应采采取措施施确保向向风险管管理信息息系统输输入的业业务数据据和风险险量化值值的一致致性、准准确性、、及时性性、可用用性和完完整性。。对输入入信息系系统的数数据，未未经批准准，不得得更改。。确保信息息系统输输入业务务数据和和风险值值的质量量，是风风险管理理信息系系统的重重要基础础。安然、世世界通讯讯等公司司的一系系列丑闻闻，使投投资者对对在美国国上市的的公司信信息披露露的真实实性产生生怀疑。。随着萨萨班斯法法案的出出台，对对上市公公司对外外披露信信息的真真实性提提出了更更高的要要求——“管理层对对财务信信息的准准确性承承担刑事事责任””，实施施萨班斯斯法案，，将引发发企业从从业务流流程到技技术架构构的一系系列变革革。重点说明明：风险险管理信信息系统统的数据据要求风险信息一致性准确性及时性完整性可用性风险信息息系统的的内部控控制在风险管管理信息息系统内内部建立立严格的的人员访访问授权权、数据据接触控控制、操操作流程程规则和和职责体体系，以以避免信信息系统统故障，，保留IT审计线索索，杜绝绝利用信信息技术术进行贪贪污、舞舞弊的行行为。批准决策审核报告数据提供风险管理理委员会会审计委员员会独立第三三方业务单位财务业务单位位风险能力力中心主主管海外风险险主管风险能力力中心主主管内部审计计经理合规性经经理运营管理理层内部审计计经理完成风险险评估风险分析析和报告告风险状况况评估风险战略略风险所有有者制定风险险标准实施风险险管理信信息化的的准备工工作按企业管管理层次次系统模模型的要要求，规规范企业业的业务务流程、、财务流流程和人人力资源源流程，，形成一一套完整整的信息息系统功功能和管理制度度表单的的文档；根据企业业文化、、组织机机构和管管理方法法的要求求，对企企业从上上层管理理人员到到一线的的工作人人员进行行全面的的管理和和工作流流程培训；将信息系系统与具具体工作作流程进进行实际演练练，通过实实践及时时修正出出现的问问题。风险信息息的保障障机制信息系系统输输入数数据及及风险险量化化值的的准确确性、、及时时性、、完整整性，，也就就是系系统外外最前前端的的数据据源的的准确确也会会直接接影响响到企企业控控制风风险的的能力力。为保证证数据据的准准确性性，企企业风风险管管理信信息化化需要要首先先对企企业基基础管管理工工作的的流程程进行行梳理理，从从而确确保数数据信信息的的一致致性、、准确确性、、及时时性、、可用用性和和完整整性。。为保保证证风风险险数数据据的的准准确确性性，，要要重重视视风风险险管管理理系系统统的的操操作作权权限限与与操操作作规规程程控控制制、、信信息息安安全全与与数数据据处处理理流流程程控控制制。。制制定定对对应应控控制制规规则则，，设设计计控控制制制制度度和和控控制制程程序序，，并并将将这这些些控控制制程程序序和和控控制制参参数数输输入入到到计计算算机机信信息息系系统统内内部部，，形形成成完完整整、、严严密密的的面面向向流流程程的的人人机机内内部部控控制制系系统统。。录入流程共享与使用操作权限全球球化化的的信信息息系系统统架架构构在集集团团范范围围内内共共享享所所有有的的信信息息两个个标标准准的的数数据据交交换换层层使用用ETL收集集和和分分发发相相关关数数据据在线线的的预预警警信信息息服服务务一个个强强势势的的集集团团治治理理架架构构按照照业业务务需需求求建建立立风风险险模模型型集团团内内统统一一流流程程，，企企业业依依照照执执行行标准准的的工工具具支支持持流流程程的的运运行行公共共集集中中的的客客户户信信息息管管理理平平台台标准准化化的的客客户户信信用用管管理理工工具具和和客客户户交交易易数数据据系系统统所有有的的交交易易过过程程中中的的风风险险信信息息和和相相关关信信息息都都将将发发送送到到中中央央风风险险数数据据库库一个个集集中中的的数数据据库库数据据按按天天收收集集按月月进进行行风风险险计计算算要点点欧洲洲某某大大型型集集团团公公司司的的风风险险管管理理技术术流程程组织织欧洲洲某某大大型型集集团团公公司司的的风风险险管管理理企业业中央央风风险险数数据据库库风险险分分析析工工具具风险险数数据据收收集集风险险数数据据使使用用与与共共享享信用用风风险险+市场场风风险险引擎擎参考考信信息息集团团参参考考信信息息客户户产品品组织织风险险标标志志行为为分类类警报报模型型监控控风险险标标志志风险险标标准准企业业参参考考信信息息产品品管管理理建议议与与批批准准集团团标准准风风险险报报告告集团团比比率率产品品处处理理收款款管管理理市场场风风险险信息息交换换服务务协议议风险险信息息交交换换第五五十十五五条条关关于于风风险险管管理理信信息息系系统统的的功功能能要要求求通过过风风险险管管理理信信息息系系统统中中的的风风险险库库和和预预警警机机制制全全面面识识别别各各种种风风险险——风险库的建立立；固化流程程；标杆和预预警利用风险管理理信息系统实实现对风险水水平的自动分分析、评估和和报告——利用风险评级级模型进行评评估；建立风风险对策库；；监督和评价价风险管理工工作及其效果果重点说明：风风险管理信息息系统的功能能要求第五十五条风风险管理理信息系统应应能够进行各各种风险的计计量和定量分分析、定量测测试；能够实实时反映风险险矩阵和排序序频谱、重大大风险和重要要业务流程的的监控状态；；能够对超过过风险预警上上限的重大风风险实施信息息报警；能够够满足风险管管理内部信息息报告制度和和企业对外信信息披露管理理制度的要求求。风险库的建立立……系统应支持标标准的风险库库的建立，比比较全面地涵涵盖企业日常常经营所面临临的各项主要要风险。可以根据国际际风险组织的的RiskMap风险模型或是是德勤的RiskUniverseTM，结合自身的的实际情况，，建立风险模模型，作为风风险识别、分分析和评价的的参考标准。。国际风险组织织的RiskMapTM风险模型RiskUniverseTM是德勤开发的的风险模型……固固化流流程，，将活活动和和风险险建立立映射射………企业需需要在在系统统中固固化和和标准准化主主要的的管理理流程程和业业务流流程，，确定定流程程负责责人，，将每每个流流程中中的关关键活活动与与风险险库建建立映映射关关系。。定义和和分类类风险险评估可可能性性和影影响定义风风险缓缓解策策略管理风风险评估风风险合同签签署实施风风险缓缓解策策略如何有效管理剩余的风险?如何对风险排序并评价其影响?如何实施缓解风险的策略?如何制定缓解风险的策略?ChangeinriskprofileReductionofexistingrisksAmplificationofexistingrisks,orintroductionofexistingonesNochange外部业务的影响如何?正确管理和评估风险的方法有哪些?主要的风险是什么?风险管管理流流……标标杆分分析，，实施施监测测………企业通通过行行业标标竿分分析、、历史史数据据分析析、情情景分分析等等在系系统中中设定定各风风险衡衡量指指标的的标准准值和和合理理波动动区间间，借借助信信息系系统实实现风风险预预警的的自动动化，，实时时监测测风险险指标标，及及时发发出警警报信信号，，并在在规定定的时时间内内通知知规定定的部部门和和人员员，由由其采采取相相应的的措施施。平台部件承认认证量产跟进评审方案设计试验手板模具试制试产综合管理专利申请策划和推广小计17L6.4615.042.160.328.9914.4073.096.4547.291.8258.71234.7220L6.4615.042.160.329.1714.4073.096.4532.440.005.01164.5321L7.7817.512.620.3711.0817.3588.197.783.250.420.00156.3623L8.4019.452.800.4111.8618.6694.638.3318.360.002.51185.4025L6.1814.362.060.288.7814.1069.876.15136.400.4222.55281.1428L29.12

67.929.821.3841.4365.0566.8129.07

101.380.8415.03427.8731L3.718.641.240.185.278.2641.893.6861.020.0010.02143.9234L9.7822.793.300.4613.9021.84110.679.764.090.280.00196.8836L2.756.400.920.143.906.1431.202.771.150.000.0055.3640L13.4531.414.540.6519.1330.11152.67

13.4520.490.002.51288.4144OTR11.003.733.720.5115.6722.06124.6910.9910.570.000.00202.94合计105.09222.2835.335.03149.19232.38926.80104.89430.463.77116.342,337.53利用风风险评评估模模型进进行风风险评评估………首先，，在系系统中中建立立风险险评估估的定定性和和定量量的标标准，，构建建风险险评级级模型型，综综合考考虑潜潜在风风险损损失和和风险险发生生概率率确定定风险险级别别，评评估风风险水水平。。——标准——模型——损失和和概率率在各项项风险险的发发生可可能性性与影影响程程度之之间建建立起起矩阵阵关系系来系系统地地描述述风险险的重重要性性等级级（如如高风风险、、中风风险和和低风风险）），识识别需需要应应最优优先进进行控控制的的风险险，有有效地地分配配风险险管理理的资资源。。——可能性性和影影响程程度——重要性性评价价——识别优优先风险评估建立对策库监督与评价……建建立风风险对对策库库，实实现对对解决决措施施的自自动提提示………企业应应首先先确定定各类类主要要风险险的应应对策策略，，设计计相应应的应应对措措施，，并对对应到到相关关的业业务流流程和和管理理流程程，确确定控控制节节点、、控制制措施施和控控制手手段，，形成成统一一的风风险管管理操操作规规范，，同时时在系系统中中建立立风险险对策策库。。——确定策略略——设计应对对措施——统一操作作规范——建立风险险对策库库根据风险险分析和和评估结结果，系系统可自自动识别别应采用用的基本本的风险险对策，，并通知知相应的的流程负负责人。。由于各业业务板块块所涉及及的业务务／工作作不同，，风险标标识各异异，在具具体预警警系统、、管理技技术和流流程方法法上可保保持灵活活性。集团设立立专门的的风险管管理部门门实施集集中化的的管理，，并授权权各业务务板块和和经营单单位配备备相应的的风险管管理人员员，在集集团公司司的授权权范围内内开展工工作。风险评估建立对策库监督与评价………利利用用信信息息系系统统监监督督评评价价风风险险管管理理工工作作效效果果尽管管在在不不同同的的企企业业风风险险管管理理的的方方法法不不尽尽相相同同，，但但在在风风险险管管理理的的目目标标方方面面是是一一致致的的。。风风险险管管理理信信息息系系统统的的目目标标是是：：查明明影影响响经经营营战战略略与与业业务务活活动动的的风风险险，，并并按按风风险险大大小小进进行行排排序序；；了解解管管理理层层和和审审计计委委员员会会确确定定的的、、能能够够接接受受的的风风险险水水平平；；制定定并并实实施施降降低低风风险险计计划划，，把把风风险险降降到到可可以以接接受受的的水水平平上上；；定期期对对风风险险和和控控制制进进行行评评估估，，以以降降低低管管理理风风险险；；定期期向向董董事事会会和和管管理理层层报报告告风风险险管管理理过过程程的的结结果果。。系统统必必须须能能够够协协助助企企业业从从上上述述五五个个目目标标的的完完成成情情况况去去评评价价风风险险管管理理的的充充分分性性和和有有效效性性。。风险评估建立对策库监督与评价………利利用用信信息息系系统统监监督督评评价价风风险险管管理理工工作作的的内内容容评价组组织和和行业业的发发展情情况和和趋势势，确确定是是否可可能存存在影影响组组织的的风险险；检查组织织的经营营战略，，确定组组织对风风险的接接受；检查管理理层、内内部和外外部审计计师，以以及有关关方面以以前发表表过的风风险评估估报告；；与相关管管理层讨讨论部门门的目标标，存在在的风险险，以及及管理层层采取的的降低风风险和加加强监控控的活动动，并评评价其有有效性；；评价风险险监控报报告制度度是否恰恰当；评价风险险管理结结果报告告的充分分性和及及时性；；评价管理理层对风风险的分分析是否否全面，，为防止止风险而而采取的的措施是是否完善善，建议议是否有有效；对管理层层的自我我评估进进行实地地观察、、直接测测试，检检查自我我评估所所依据的的信息是是否准确确，以及及其他审审计技术术；评估与风风险管理理有关的的管理薄薄弱环节节，并与与管理层层、董事事会、审审计委员员会讨论论。风险评估建立对策库监督与评价第五十六六条风风险管管理信息息系统要要实现信信息的集集成与共共享第五十六六条风风险管理理信息系系统应实实现信息息在各职职能部门门、业务务单位之之间的集集成与共共享，既既能满足足单项业业务风险险管理的的要求，，也能满满足企业业整体和和跨职能能部门、、业务单单位的风风险管理理综合要要求。重点说明明：风险险管理信信息系统统的跨部部门特点点对日常工作流程的管理对执行结果的管理……的管理……各职能部门各业务单位单项业务风险管理层次的要求跨部门风险管理综合要求风险管理环节与信息的集成与共享从风险管管理的层层次看，，既有对对日常工工作流程程的管理理，也有有对执行行结果的的管理。。显然，，“信息息孤岛””的产生生并不仅仅是与软软件产品品有关，，也与管管理集成成和技术术集成水水平有着着紧密的的关系。。因此风险险管理的的环节必必须集成成，这就就要求信信息必须须在各职职能部门门、业务务单位之之间的集集成与共共享，既既能满足足单项业业务风险险管理的的要求，，也能满满足企业业整体和和跨职能能部门、、业务单单位的风风险管理理综合要要求。一个全球球化的信信息系统统架构集成开发发所有的的组件一个强势势的集团团治理架架构公共的企企业业务务流程主要的困困难在于于公共信信息的管管理（例例如当一一个错误误的企业业宣布自自己的流流程模板板）共享的集集中式的的客户信信息管理理（对于于每个公公司都作作为一个个零售客客户来管管理）：：有且只有有一个企企业负责责管理客客户的““主数据据”（客客户的唯唯一标识识）每一个在在本地的的针对主主数据的的修改都都必须发发送到中中央数据据库并且且同时修修改其它它机构的的数据集团负责责客户的的信用评评级所有企业业信贷发发生系统统发送信信用建议议和批准准通知至至信贷建建议数据据库所有企业业信贷处处理系统统发送限限制、披披露和提提供数据据至信用用风险数数据库风险/会计信息息调整：：每一个下下属企业业必须确确保风险险和会计计信息之之间的匹匹配，任任何差异异都必须须报告并并随风信信信息一一并上传传在集团层面面控制的目目标是确保保不存在风风险与会计计信息之间间的差异所有的计算算都必须通通过内部集集成的系统统上交要点欧洲某大型型金融机构构风险管理理示例技术流程组织欧洲某大型型金融机构构风险管理理示例全球信贷建建议数据库库全球客户参考信息全球信贷风风险数据库库信贷贷发发生生系系统统信贷贷处处理理系系统统信贷贷发发生生系系统统信贷贷处处理理系系统统信贷贷发发生生系系统统信贷贷处处理理系系统统建议议和和信信贷贷批批准准限制制、、披披露露和和提提供供数数据据客户户数数据据金融融企企业业1金融融企企业业2金融融企企业业n地区区(企业业层层面面)集团团层层面面建议议和和信信贷贷批批准准建议议和和信信贷贷批批准准限制制、、披披露露和和提提供供数数据据限制制、、披披露露和和提提供供数数据据第五五十十七七条条确确保保风风险险管管理理信信息息系系统统的的安安全全和和稳稳定定，，并并持持续续改改进进风险险管管理理信信息息系系统统的的稳定定和和安安全全将直直接接关关系系到到企企业业对对风风险险的的控控制制能能力力，，如如果果处处理理不不好好，，会会给给企企业业带带来来巨巨大大损损失失，，严严重重时时，，还还会会制制约约企企业业的的整整体体发发展展；；针对风险管理理信息系统的的安全内容十十分广泛，安安全要求各不不相同，需要要从网络层次、信信息层次、设设备层次等分别讨论；；除了要确保风风险管理信息息系统的稳定定及安全外，，还要根据企业的发发展需要，对风险信管管理信息系统统进行改进、、完善和更新新。重点说明：风风险管理信息息系统需要不不断改进和完完善第五十七条企企业应确确保风险管理理信息系统的的稳定运行和和安全，并根根据实际需要要不断进行改改进、完善或或更新。可靠性：即保保证网络和信信息系统随时时可用，运行行过程中不出出现故障，若若遇意外打击击能够尽量减减少损失并尽尽快恢复正常常；可控性：即保保证营运者对对网络和信息息系统有足够够的控制和管管理能力；互操作性：即即保证协议和和系统能够联联接；可计算性：即即保证准确跟跟踪实体运行行达到审计和和识别的目的的等信息的完整性性：即保证信信息的来源、、去向、内容容真实无误；；保密性：即信信息不会被非非法泄露扩散散；不可否认性：：即保证信息息的发送和接接收者无法否否认自己所做做过的操作行行为等网络层次信息层次风险管理信息息系统的安全全要求第五十七条企企业应确保保风险管理信信息系统的稳稳定运行和安安全……风险管理信息息系统安全保保障体系应该该是一个在充充分分析系统统安全风险因因素的基础上上，通过制定定系统安全策策略和采取先先进、科学、、适用的安全技术能对系统实施施安全防护和和监控，使系系统具有灵敏敏、迅速的恢恢复响应和动动态调整功能能的智能型系系统安全体系系；其模型型可用用公式式表示示为：：系统安安全=风险评评估+安全策策略+防御体体系+实时检检测+数据恢恢复+安全跟跟踪+动态调调整风险管管理信信息系系统安安全保保障体体系的的目标标是：：网络层安全、系统层安全和应用层安全；不同的层层次，其其安全内内容、要要求各有有差异，，因此，，各层次次安全保保障方案案的制定定也应该该是不尽尽相同。。风险管理理信息系系统安全保障障体系内内容风险管理理信息系系统安全保障障体系目目标风险管理理信息系系统安全全保障体体系内容容与目标标……确保保风险管理信信息系统的安安全、稳定风险管理信息息系统改进的的驱动因素第五十七条条……并根据实际际需要不断断进行改进进、完善或或更新。企业战略的的调整管理和服务务的需求变化化风险管理信息系统的的调整技术和管理理在不断地地发展风险管理信信息化建设设与实施是是一个长期期的，需要要持续改进进、不断向向前发展的的过程。公司的企业业战略根据据企业的目目标和外部部环境在不不断地调整整，所面临临的风险会会不断变化化，管理和和服务对风风险管理信信息化建设设的需求在在不断地变变化和发展展，信息系系统也必须须做出相应应的调整；；同时，技术术和管理在在不断地发发展，需要要不断持续续改进和更更新才能保保持信息化化系统的先先进性，才才能保持信信息化的价价值能力。。——对风险险管理信息息系统进行行持续的改改进欢迎界面公司实体界界面内部控制风险评估评估表格管理层报告告第五十八条条风险险管理信息息系统的规规划与实施施第五十八条条已建建立或基本本建立企业业管理信息息系统的企企业，应补补充、调整整、更新已已有的管理理流程和管管理程序，，建立完善善的风险管管理信息系系统；尚未未建立企业业管理信息息系统的，，应将风险险管理与企企业各项管管理业务流流程、管理理软件统一一规划、统统一设计、、统一实施施、同步运运行。风险管理系系统作为企企业整体信信息化建设设的一部分分，需要和和企业其它它生产、经经营系统一一样统一规规划，统筹筹安排。一般来说，，大部分中中央企业都都已经进行行了信息化化，很多单单位还实施施了ERP系统。仅仅仅依靠ERP系统并不能能实现从风风险识别、、风险分析析到风险控控制的管理理全过程。。因此必须须将企业的的业务流程程和风险管管理结合起起来在系统统上实现，，保证系统统适应风险险防范和管管理的新要要求。重点说明：：风险管理理信息系统统的搭建策策略数据架构描描述了企业业的的数据据资源，包包括数据分分类、数据据标准、数数据分布和和管理、数数据使用策策略、各类类数据与系系统应用的的关系。良良好的数据据架构分析析和设计是是进行系统统设计的基基础部分，，会直接影影响到整个个企业系统统间的数据据分布与集集成问题。。技术架构描描述了应用用的技术实实现方式，，包括硬件件、软件、、网络，从从接口定义义、标准和和服务等方方面进行描描述。确保保未来的系系统服务平平台和网络络架构平台台能够支持持应用的部部署和运行行。应用架构主主要描述的的是支持企企业管理的的系统之间间的关系，，包括每个个系统的作作用，系统统的范围和和边界，系系统之间的的关系与衔衔接等。应应用架构从从功能和业业务范围上上进行了系系统间的界界定，明确确了不同的的关键业务务通过不同同的应用系系统进行支支持，划定定了系统内内容的功能能范围和系系统间的功功能交流。。应用架构构的设计关关系到未来来各个应用用系统所能能实现的范范围问题，，是进行系系统分析和和设计的基基础。风险管理信信息系统的的构建从构建系统统的信息技技术角度来来看，一个个完整的风风险管理系系统应当主主要考虑应应用架构、、数据架构构、技术架架构等。应用架构数据架构技术架构已建立或基基本建立企企业管理信信息系统的的企业，应应当在已有有系统的基基础上，通通过改进现现有系统流流程，建立立完善的风风险管理信信息系统；；尚未建立立企业管理理信息系统统的，应把把风险管理理融入到企企业各软件件的建设过过程中。内部审计系系统构建风险系统构构建－SAS数据平台风险管理信信息系统的的选型风险管理信信息系统选选型是指建建设信息化化的企业选选择应用系系统产品及及服务提供供商的过程程。选型对对企业信息息化建设成成败起着至至关重要的的作用。信息系统选选型方法选型型就就是是要要通通过过招招标标、、评评标标、、商商务务谈谈判判和和合合同同签签订订的的过过程程，，采采用用合合适适的的评评估估手手段段，，选选择择合合适适的的风风险险管管理理信信息息系系统统。。信息系统统选型步步骤选型中（评标））选型后（商务谈谈判、签签约）选型前的的准备工工作对选选型的成成败起着着至关重重要的作作用。它它是明晰晰需求，，确定招招标对象象、制定定标书的的过程。。这一阶阶段非常常重要的的事宜就就是针对对企业不不同层级级的需要要，明晰晰企业的的需求，，确定项项目范围围。确定评标标小组评标准备备现场听标标典型客户户考察商务谈判判入围评评选谈判团队队甄选项目计划划沟通和和报价分分析商务谈判判法律条款款签订选型前（明晰需需求、确确定标书书）风险管理理信息系系统的选选型（续续）系统选型型的定性性因素：：软件公司司的性质质软件公司司的开发发能力软件产品品的易用用性软件产品品的适应应性软件产品品的扩展展性软件产品品的升级级性软件产品品的生命命周期软件产品品的价格格体系系统选型的的定量因素素：软件成熟度度成功用户的的数量用户满意度度客户化工作作量二次开发工工作量软件升级周周期用户接受培培训的工作作量风险管理信信息系统的的实施风险管理信信息系统的的升级与更更新：企业业应确保风风险管理信信息系统的的稳定运行行和安全，，并根据实实际需要不不断进行改改进、完善善或更新。。风险管理信息息系统的实施施与升级项目准备阶段业务蓝图阶段系统实现阶段上线准备阶段上线及运行支持阶段制订项目计划划制订项目管理理策略设计系统架构构并进行技术术评估集成评估及其其策略差异评估和管管理项目小组培训训策略概念培训业务流程蓝图图模板的设计计组织结构调整整的管理系统环境的开开发业务组织结构构业务流程的定定义系统规划最终的系统配配置和确认程序开发说明明书的编写报表设计和开开发系统权限设置置系统集成测试