风险管理系统

国务院国资委《中央企业全面风险管理指引》.2010年8月风险管理信息系统讲座德勤咨询公司前言国务院国资委最近颁发的《中央企业全面风险管理指引》,是指导中央企业开展全面风险管理工作，增强企业竞争力，提高投资回报，促进企业持续、健康、稳定发展的重要文件。风险管理信息系统是整个全面风险管理体系中的重要组成部分，为全面风险管理体系中进行风险评估、实施风险管理解决方案、执行风险管理的基本流程、履行内部控制系统提供必需的技术基础。《指引》的第八章“风险管理信息系统”从第53条至第58条给出了中央企业建立风险管理信息系统的基本要求。培训内容第一部分：本章概述第二部分：逐条讲解第三部分：重点回顾

第一部分：本章概述风险管理基本流程风险管理信息系统风险管理信息系统的作用风险管理信息系统的实施与运行风险管理信息系统的要求与功能收集风险管理初始信息进行风险评估制定风险管理策略提出和实施风险管理解决方案实施风险管理的监督与改进培训内容第一部分：本章概述第二部分：逐条讲解第三部分：重点回顾

第二部分：逐条讲解第五十三条－信息技术应用于风险管理实践第五十四条－风险管理信息系统保障风险信息量化值的要求第五十五条－风险管理信息系统的功能要求第五十六条－风险管理信息系统应该实现跨部门的集成与共享第五十七条－风险管理信息系统应该确保安全、稳定运行第五十八条－风险管理信息系统的建设与更新第八章风险管理信息系统第五十三条企业风险管理信息系统的基本流程和内部控制环节第五十三条企业应将信息技术应用于风险管理的各项工作，建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统，包括信息的采集、存储、加工、分析、测试、传递、报告、披露等。根据COSO企业风险管理框架的三个维度，企业的目标、全面风险要素管理方法、企业的各个层级，风险管理系统就是使用信息技术手段，实现企业各个层级风险要素的信息系统管理，以达到企业发展目标的要求。由于企业各个层级、各个业务环境的信息环境十分复杂，就特别需要借助于风险管理系统来实现企业的全面风险管理。风险管理系统即可以是一个完整的信息系统，也可以是通过不同的系统，利用信息技术手段集成实现全面风险管理的整体功能。重点说明：系统必须涵盖风险管理基本流程和内部控制系统各环节风险管理信息存在于经营管理的各个层次之中按照信息使用者的要求和各种业务在经营管理中的层次，可以把需要企业的管理信息分为三个层次：决策控制层日常经营管理层支持体系管理层风险管理系统需要的信息同时存在于这三个层次当中，因此我们必须要把握好信息收集、分析、处理的范围、深度和广度充分考虑信息管理的全流程化

信息系统的重要性是企业风险策略和风险解决方案的重要支撑手段是固化风险管理流程、推进全面风险管理的必须工具是风险信息收集、输入、加工和输出的载体是企业落实风险管理、提升风险管理能力的必经之路提供跨组织、跨流程的信息集成和共享平台通过系统实现风险的快速预警，及时采取必要的防范措施系统能够提供企业风险状况的报告，并且追溯发生的原因基础是信息系统数据层表现层中间层分析层ERP系统/OLTP/数据仓库中间件/OLAP/BAPI各种分析模型及软件报告系统/OA/知识管理财务销售生产日常营运等决策支持各种应用衔接各种数据衔接跨平台操作外部开发与第三方模块衔接等报告查询管理决策支持技术衔接日常经营、流程管理风险管理系统的范畴风险系统与其它系统风险展现系统：RiskWizard，OpRisk，SAS预算系统：HyperionPlanning，Comshare,Timeline，Cognos数据挖掘与分析系统：SPSS,SAS，IntelligentMiner数据EIS：WebGateway，DecisionLightship电子商务系统：CommerceOne,BoardVisionCRM系统：Siebel公司报告系统：CrystalReport

ERP系统：SAP，Oracle，SSA通过风险管理信息系统加工大量风险信息有关风险的信息需要在各层级的组织机构中进行识别、评估并对风险做出反应，从而来完成企业经营管理目标。一些信息可能被用到一个或多个不同的目的。信息有很多的来源可以分为内部的和外部、定性和定量的，并可以对变化的环境迅速做出反应。管理的主要挑战是对大量可用信息进行加工的过程。这种挑战可以用信息系统功能包括来源、获取、处理、分析和报告有关的信息来解决。一些系统提供了对客户交易情况进行持续监督功能，结合基本的业务工作流程来减轻每日操作中的风险。保证信息的一致性需要特别注重企业面对行业变动,高度创新和快速发展的竞争者,或重大顾客需求改变。信息系统需要随着新目标的设定而改变。信息系统不仅要识别和获取必要的财务和非财务信息，还要及时的处理和报告这些信息，确保对企业经营活动进行有效的控制业务驱动风险管理信息化项目的一个最为典型的错误是将其当作一个技术项目。为了获取真正的业务收益，系统建设应从业务的角度出发。业务用户也应直接介入业务战略明晰和业务及信息技术需求分析关键成功因素－业务驱动风险信息管理的全流程性商业智能、战略评估、业绩评估、综合分析信息技术销售与分销供应内部管理分销渠道管理客户关系管理售后服务市场营销供应渠道管理供应商关系管理合同管理内向物流管理外向物流管理仓储管理财务管理成本控制资金管理企业需要对其核心业务流程进行完整的定义，并通过必要的手段（例如信息技术）进行固化。将企业运作从传统的以部门为核心的方式转为以业务流程为核心风险管理风险信息的结构和处理流程在构建企业的风险管理信息系统之前，首先要明确相关风险信息的结构和处理流程，即在企业不同层次，不同业务和管理环节的处理办法：信息的分析与测试信息的传递信息的采集信息的存储信息的加工风险信息的采集就必须要明确需要哪些基础信息，这些基础信息的来源，基础信息的收集频度，不同基础信息之间的口径差异，信息的采集流程，技术手段等信息的存储需要建立良好的数据架构，解决好数据标准化和存储技术问题基础信息需要进行加工和提炼才能成为可进行分析的风险信息分析的内容、层次、方法和频度都会是信息分析环节关注的重点风险管理系统必须建立良好的信息传递机制，这种信息的传递机制应当建立于风险管理的各个环节中风险信息系统对风险的展示与披露信息的报告与披露：从信息技术角度看，信息的报告是展现层的工作。一个良好的风险管理信息系统必须要求能够把风险管理的各个环节情况进行直观易懂的展示根据自己的控制水平和能力确定风险控制策略信息组••••风险因素列表影响风险评估战略组经营组•••财务组市场占有客户关系环境保护政策法规股东关系品牌声誉人事组••••资金缺口偿债风险收益实现•••人才流失道德操守内部公平•••信息滞后信息缺损系统安全123455432168789543654678765679105432发生可能性重点控制适当控制影响度运营风险报告框架

支付与结算采购资产管理贸易与销售财务风险市场风险运营风险月度报告损失承受能力风险指标趋势主动的风险管理关键的问题季度报告风险状况与问题周报告针对业务线的风险指标报告运营风险委员会管理层业务线季度报告

风险状况与问题月度报告业务定量分析报告概要月度报告风险状况概览主要控制问题运营风险损失概要运行风险报告必须联合专注的运营风险评估流程、现有的业务线报告和特别的内部及外部评估第五十四条风险信息的一致性、准确性、及时性、可用性和完整性第五十四条企业应采取措施确保向风险管理信息系统输入的业务数据和风险量化值的一致性、准确性、及时性、可用性和完整性。对输入信息系统的数据，未经批准，不得更改。确保信息系统输入业务数据和风险值的质量，是风险管理信息系统的重要基础。安然、世界通讯等公司的一系列丑闻，使投资者对在美国上市的公司信息披露的真实性产生怀疑。随着萨班斯法案的出台，对上市公司对外披露信息的真实性提出了更高的要求——“管理层对财务信息的准确性承担刑事责任”，实施萨班斯法案，将引发企业从业务流程到技术架构的一系列变革。重点说明：风险管理信息系统的数据要求风险信息一致性准确性及时性完整性可用性风险信息系统的内部控制在风险管理信息系统内部建立严格的人员访问授权、数据接触控制、操作流程规则和职责体系，以避免信息系统故障，保留IT审计线索，杜绝利用信息技术进行贪污、舞弊的行为。批准决策审核报告数据提供风险管理委员会审计委员会独立第三方业务单位财务业务单位风险能力中心主管海外风险主管风险能力中心主管内部审计经理合规性经理运营管理层内部审计经理完成风险评估风险分析和报告风险状况评估风险战略风险所有者制定风险标准实施风险管理信息化的准备工作按企业管理层次系统模型的要求，规范企业的业务流程、财务流程和人力资源流程，形成一套完整的信息系统功能和管理制度表单的文档；根据企业文化、组织机构和管理方法的要求，对企业从上层管理人员到一线的工作人员进行全面的管理和工作流程培训；将信息系统与具体工作流程进行实际演练，通过实践及时修正出现的问题。风险信息的保障机制信息系统输入数据及风险量化值的准确性、及时性、完整性，也就是系统外最前端的数据源的准确也会直接影响到企业控制风险的能力。为保证数据的准确性，企业风险管理信息化需要首先对企业基础管理工作的流程进行梳理，从而确保数据信息的一致性、准确性、及时性、可用性和完整性。为保证风险数据的准确性，要重视风险管理系统的操作权限与操作规程控制、信息安全与数据处理流程控制。制定对应控制规则，设计控制制度和控制程序，并将这些控制程序和控制参数输入到计算机信息系统内部，形成完整、严密的面向流程的人机内部控制系统。录入流程共享与使用操作权限全球化的信息系统架构在集团范围内共享所有的信息两个标准的数据交换层使用ETL收集和分发相关数据在线的预警信息服务一个强势的集团治理架构按照业务需求建立风险模型集团内统一流程，企业依照执行标准的工具支持流程的运行公共集中的客户信息管理平台标准化的客户信用管理工具和客户交易数据系统所有的交易过程中的风险信息和相关信息都将发送到中央风险数据库一个集中的数据库数据按天收集按月进行风险计算要点欧洲某大型集团公司的风险管理技术流程组织欧洲某大型集团公司的风险管理企业中央风险数据库风险分析工具风险数据收集风险数据使用与共享信用风险+市场风险引擎参考信息集团参考信息客户产品组织风险标志行为分类警报模型监控风险标志风险标准企业参考信息产品管理建议与批准集团标准风险报告集团比率产品处理收款管理市场风险信息交换服务协议风险信息交换第五十五条关于风险管理信息系统的功能要求通过风险管理信息系统中的风险库和预警机制全面识别各种风险

——风险库的建立；固化流程；标杆和预警利用风险管理信息系统实现对风险水平的自动分析、评估和报告

——利用风险评级模型进行评估；建立风险对策库；监督和评价风险管理工作及其效果重点说明：风险管理信息系统的功能要求第五十五条风险管理信息系统应能够进行各种风险的计量和定量分析、定量测试；能够实时反映风险矩阵和排序频谱、重大风险和重要业务流程的监控状态；能够对超过风险预警上限的重大风险实施信息报警；能够满足风险管理内部信息报告制度和企业对外信息披露管理制度的要求。风险库的建立……系统应支持标准的风险库的建立，比较全面地涵盖企业日常经营所面临的各项主要风险。可以根据国际风险组织的RiskMap风险模型或是德勤的RiskUniverseTM，结合自身的实际情况，建立风险模型，作为风险识别、分析和评价的参考标准。国际风险组织的RiskMapTM风险模型RiskUniverseTM是德勤开发的风险模型

……固化流程，将活动和风险建立映射……企业需要在系统中固化和标准化主要的管理流程和业务流程，确定流程负责人，将每个流程中的关键活动与风险库建立映射关系。定义和分类风险评估可能性和影响定义风险缓解策略管理风险评估风险合同签署实施风险缓解策略如何有效管理剩余的风险?如何对风险排序并评价其影响?如何实施缓解风险的策略?如何制定缓解风险的策略?ChangeinriskprofileReductionofexistingrisksAmplificationofexistingrisks,orintroductionofexistingonesNochange外部业务的影响如何?正确管理和评估风险的方法有哪些?主要的风险是什么?风险管理流……标杆分析，实施监测……企业通过行业标竿分析、历史数据分析、情景分析等在系统中设定各风险衡量指标的标准值和合理波动区间，借助信息系统实现风险预警的自动化，实时监测风险指标，及时发出警报信号，并在规定的时间内通知规定的部门和人员，由其采取相应的措施。平台部件承认认证量产跟进评审方案设计试验手板模具试制试产综合管理专利申请策划和推广小计17L6.4615.042.160.328.9914.4073.096.4547.291.8258.71234.7220L6.4615.042.160.329.1714.4073.096.4532.440.005.01164.5321L7.7817.512.620.3711.0817.3588.197.783.250.420.00156.3623L8.4019.452.800.4111.8618.6694.638.3318.360.002.51185.4025L6.1814.362.060.288.7814.1069.876.15136.400.4222.55281.1428L29.12

67.929.821.3841.4365.0566.8129.07

101.380.8415.03427.8731L3.718.641.240.185.278.2641.893.6861.020.0010.02143.9234L9.7822.793.300.4613.9021.84110.679.764.090.280.00196.8836L2.756.400.920.143.906.1431.202.771.150.000.0055.3640L13.4531.414.540.6519.1330.11152.67

13.4520.490.002.51288.4144OTR11.003.733.720.5115.6722.06124.6910.9910.570.000.00202.94合计105.09222.2835.335.03149.19232.38926.80104.89430.463.77116.342,337.53利用风险评估模型进行风险评估……首先，在系统中建立风险评估的定性和定量的标准，构建风险评级模型，综合考虑潜在风险损失和风险发生概率确定风险级别，评估风险水平。——标准——模型——损失和概率在各项风险的发生可能性与影响程度之间建立起矩阵关系来系统地描述风险的重要性等级（如高风险、中风险和低风险），识别需要应最优先进行控制的风险，有效地分配风险管理的资源。

——可能性和影响程度——重要性评价——识别优先风险评估建立对策库监督与评价……建立风险对策库，实现对解决措施的自动提示……企业应首先确定各类主要风险的应对策略，设计相应的应对措施，并对应到相关的业务流程和管理流程，确定控制节点、控制措施和控制手段，形成统一的风险管理操作规范，同时在系统中建立风险对策库。

——确定策略——设计应对措施——统一操作规范——建立风险对策库根据风险分析和评估结果，系统可自动识别应采用的基本的风险对策，并通知相应的流程负责人。由于各业务板块所涉及的业务／工作不同，风险标识各异，在具体预警系统、管理技术和流程方法上可保持灵活性。集团设立专门的风险管理部门实施集中化的管理，并授权各业务板块和经营单位配备相应的风险管理人员，在集团公司的授权范围内开展工作。风险评估建立对策库监督与评价……利用信息系统监督评价风险管理工作效果尽管在不同的企业风险管理的方法不尽相同，但在风险管理的目标方面是一致的。风险管理信息系统的目标是：查明影响经营战略与业务活动的风险，并按风险大小进行排序；了解管理层和审计委员会确定的、能够接受的风险水平；制定并实施降低风险计划，把风险降到可以接受的水平上；定期对风险和控制进行评估，以降低管理风险；定期向董事会和管理层报告风险管理过程的结果。系统必须能够协助企业从上述五个目标的完成情况去评价风险管理的充分性和有效性。风险评估建立对策库监督与评价……利用信息系统监督评价风险管理工作的内容评价组织和行业的发展情况和趋势，确定是否可能存在影响组织的风险；检查组织的经营战略，确定组织对风险的接受；检查管理层、内部和外部审计师，以及有关方面以前发表过的风险评估报告；与相关管理层讨论部门的目标，存在的风险，以及管理层采取的降低风险和加强监控的活动，并评价其有效性；评价风险监控报告制度是否恰当；评价风险管理结果报告的充分性和及时性；评价管理层对风险的分析是否全面，为防止风险而采取的措施是否完善，建议是否有效；对管理层的自我评估进行实地观察、直接测试，检查自我评估所依据的信息是否准确，以及其他审计技术；评估与风险管理有关的管理薄弱环节，并与管理层、董事会、审计委员会讨论。风险评估建立对策库监督与评价第五十六条风险管理信息系统要实现信息的集成与共享第五十六条风险管理信息系统应实现信息在各职能部门、业务单位之间的集成与共享，既能满足单项业务风险管理的要求，也能满足企业整体和跨职能部门、业务单位的风险管理综合要求。重点说明：风险管理信息系统的跨部门特点对日常工作流程的管理对执行结果的管理……的管理……各职能部门各业务单位单项业务风险管理层次的要求跨部门风险管理综合要求风险管理环节与信息的集成与共享从风险管理的层次看，既有对日常工作流程的管理，也有对执行结果的管理。显然，“信息孤岛”的产生并不仅是与软件产品有关，也与管理集成和技术集成水平有着紧密的关系。因此风险管理的环节必须集成，这就要求信息必须在各职能部门、业务单位之间的集成与共享，既能满足单项业务风险管理的要求，也能满足企业整体和跨职能部门、业务单位的风险管理综合要求。一个全球化的信息系统架构集成开发所有的组件一个强势的集团治理架构公共的企业业务流程主要的困难在于公共信息的管理（例如当一个错误的企业宣布自己的流程模板）共享的集中式的客户信息管理（对于每个公司都作为一个零售客户来管理）：有且只有一个企业负责管理客户的“主数据”（客户的唯一标识）每一个在本地的针对主数据的修改都必须发送到中央数据库并且同时修改其它机构的数据集团负责客户的信用评级所有企业信贷发生系统发送信用建议和批准通知至信贷建议数据库所有企业信贷处理系统发送限制、披露和提供数据至信用风险数据库风险/会计信息调整：每一个下属企业必须确保风险和会计信息之间的匹配，任何差异都必须报告并随风信信息一并上传在集团层面控制的目标是确保不存在风险与会计信息之间的差异所有的计算都必须通过内部集成的系统上交要点欧洲某大型金融机构风险管理示例技术流程组织欧洲某大型金融机构风险管理示例全球信贷建议数据库全球客户参考信息全球信贷风险数据库信贷发生系统信贷处理系统信贷发生系统信贷处理系统信贷发生系统信贷处理系统建议和信贷批准限制、披露和提供数据客户数据金融企业1金融企业2金融企业n地区(企业层面)集团层面建议和信贷批准建议和信贷批准限制、披露和提供数据限制、披露和提供数据第五十七条确保风险管理信息系统的安全和稳定，并持续改进风险管理信息系统的稳定和安全将直接关系到企业对风险的控制能力，如果处理不好，会给企业带来巨大损失，严重时，还会制约企业的整体发展；针对风险管理信息系统的安全内容十分广泛，安全要求各不相同，需要从网络层次、信息层次、设备层次等分别讨论；除了要确保风险管理信息系统的稳定及安全外，还要