风险管理系统课件.pptVIP

……利用信息系统监督评价风险管理工作的内容 评价组织和行业的发展情况和趋势，确定是否可能存在影响组织的风险； 检查组织的经营战略，确定组织对风险的接受； 检查管理层、内部和外部审计师，以及有关方面以前发表过的风险评估报告； 与相关管理层讨论部门的目标，存在的风险，以及管理层采取的降低风险和加强监控的活动，并评价其有效性； 评价风险监控报告制度是否恰当； 评价风险管理结果报告的充分性和及时性； 评价管理层对风险的分析是否全面，为防止风险而采取的措施是否完善，建议是否有效； 对管理层的自我评估进行实地观察、直接测试，检查自我评估所依据的信息是否准确，以及其他审计技术； 评估与风险管理有关的管理薄弱环节，并与管理层、董事会、审计委员会讨论。 风险评估 建立对策库 监督与评价 第五十六条 风险管理信息系统要实现信息的集成与共享 第五十六条 风险管理信息系统应实现信息在各职能部门、业务单位之间的集成与共享，既能满足单项业务风险管理的要求，也能满足企业整体和跨职能部门、业务单位的风险管理综合要求。 重点说明：风险管理信息系统的跨部门特点 对日常工作流程的管理 对执行结果的管理 … …的管理 … … 各职能部门 各业务单位 单项业务风险管理层次的要求 跨部门风险管理综合要求 风险管理环节与信息的集成与共享 从风险管理的层次看，既有对日常工作流程的管理，也有对执行结果的管理。显然，“信息孤岛”的产生并不仅是与软件产品有关，也与管理集成和技术集成水平有着紧密的关系。 因此风险管理的环节必须集成，这就要求信息必须在各职能部门、业务单位之间的集成与共享，既能满足单项业务风险管理的要求，也能满足企业整体和跨职能部门、业务单位的风险管理综合要求。 一个全球化的信息系统架构 集成开发所有的组件 一个强势的集团治理架构 公共的企业业务流程 主要的困难在于公共信息的管理（例如当一个错误的企业宣布自己的流程模板） 共享的集中式的客户信息管理（对于每个公司都作为一个零售客户来管理）： 有且只有一个企业负责管理客户的“主数据”（客户的唯一标识） 每一个在本地的针对主数据的修改都必须发送到中央数据库并且同时修改其它机构的数据 集团负责客户的信用评级 所有企业信贷发生系统发送信用建议和批准通知至信贷建议数据库 所有企业信贷处理系统发送限制、披露和提供数据至信用风险数据库 风险/会计信息调整： 每一个下属企业必须确保风险和会计信息之间的匹配，任何差异都必须报告并随风信信息一并上传 在集团层面控制的目标是确保不存在风险与会计信息之间的差异 所有的计算都必须通过内部集成的系统上交 要点 欧洲某大型金融机构风险管理示例 技术 流程 组织 欧洲某大型金融机构风险管理示例 全球信贷建议数据库 全球客户参考信息 全球信贷风险数据库 信贷发生系统 信贷处理系统 信贷发生系统 信贷处理系统 信贷发生系统 信贷处理系统 建议和信贷批准 限制、披露和提供数据 客户数据 金融企业1 金融企业2 金融企业 n 地区(企业层面) 集团层面 建议和信贷批准 建议和信贷批准 限制、披露和提供数据 限制、披露和提供数据 第五十七条 确保风险管理信息系统的安全和稳定，并持续改进 风险管理信息系统的稳定和安全将直接关系到企业对风险的控制能力，如果处理不好，会给企业带来巨大损失，严重时，还会制约企业的整体发展； 针对风险管理信息系统的安全内容十分广泛，安全要求各不相同，需要从网络层次、信息层次、设备层次等分别讨论； 除了要确保风险管理信息系统的稳定及安全外，还要根据企业的发展需要，对风险信管理信息系统进行改进、完善和更新。 重点说明：风险管理信息系统需要不断改进和完善 第五十七条 企业应确保风险管理信息系统的稳定运行和安全，并根据实际需要不断进行改进、完善或更新。 可靠性：即保证网络和信息系统随时可用，运行过程中不出现故障，若遇意外打击能够尽量减少损失并尽快恢复正常； 可控性：即保证营运者对网络和信息系统有足够的控制和管理能力； 互操作性：即保证协议和系统能够联接； 可计算性：即保证准确跟踪实体运行达到审计和识别的目的等 信息的完整性：即保证信息的来源、去向、内容真实无误； 保密性：即信息不会被非法泄露扩散； 不可否认性：即保证信息的发送和接收者无法否认自己所做过的操作行为等 网络层次 信息层次 风险管理信息系统的安全要求 第五十七条 企业应确保风险管理信息系统的稳定运行和安全… … 风险管理信息系统安全保障体系应该是一个在充分分析系统安全风险因素的基础上，通过制定系统安全策略和采取先进、科学、适用的安全技术能对系统实施安全防护和监控，使系统具有灵敏、迅速的恢复响应和动态调整功能的智能型系统安全体系； 其模型可用公式表示为： 系统安全=风险评估+安全策略+防御体系+实时检测+数据