1、Deloitte 内控与风险管理信息系统介绍. Risk Integrator Deloitte内控与风险管理风险管理系统介绍系统介绍一、一、Deloitte Deloitte 内控与风险管理资讯系统说明内控与风险管理资讯系统说明二、二、Risk IntegratorRisk Integrator系统功能:内控与风险管理系统功能:内控与风险管理三、三、Risk IntegratorRisk Integrator系统功能:内控与风险整合性监控平台系统功能:内控与风险整合性监控平台四、四、Risk IntegratorRisk Integrator系统架构系统架构 五、五、Risk Integra
2、torRisk Integrator系统成功案例系统成功案例一、一、Deloitte Deloitte 内控与风险管理资讯系内控与风险管理资讯系统说明统说明.Risk Integrator 是德勤依据国际风险管理最佳实践而开发的基于互联网的(web-based) 内部控制和风险管理信息系统。Risk Integrator 透过操作风险管理之整合性产出 - 风险轮廓(risk profile),协助建立或强化以风险为基础之内控和审计制度。Risk Integrator的设计来自于COSO的内部控制整体框架,全面支持中国五部委的内部控制指引;同时支持COSO企业风险管理框架。Risk Integr
3、ator 可协助企业建立以内部控制和风险管理为基础的内控与风险管理体系,并以系统为工具, 推进内控和风险管理工作的深入开展,优化内控和全面风险管理体系, 建立长效的内控与风险管理机制。从而达到财务报告及相关信息真实完整、经营管理合法合规、资产安全、提高经营效率和效果、促进企业实现发展战略的企业内部控制目标。Risk Integrator可协助公司在建立与实施内部控制与风险管理体系时兼顾全面性、重要性、制衡性、适应性和成本效益等各项原则。Risk Integrator适合于大型金融控股集团。该产品已经成功地帮助多家金融控股公司、保险、银行、电信与製造业者实现内部控制和风险管理体系的信息化。Ris
4、k Integrator 系统概述系统概述(1/4)Risk Integrator 成功地帮助亚太地区多家金控,银行、电信与製造业者开发及推动风险管理体系。研发中心:德勤 -新加坡办事处技术中心:德勤 上海办事处客服支援:德勤 北京,上海,台北办事处语言版本:英文、中文(繁)、中文(简)、泰文、印尼文、马来文Risk Integrator 系统概述系统概述(2/4)Risk Integrator 系统概述系统概述(3/4)Risk Integrator 系统概述系统概述(4/4)系统管理控制与风险管理控制与风险分析与报表管理内部控制管理(Internal Control Manager风险与控
5、制评估(Risk and Control Assessor)关键风险指标(Key Risk Indicator)行动方案启动与监控(Action Plan Management)安全与使用者权限监管流程管理计算引擎参数定义使用纪录管理界面管理风险评估(Risk Assessor)事件收集与管理(Incident/Loss Manager)合规性管理(Compliance Manager)通通过过Deloitte 顾问顾问服服务务及内控与及内控与风险风险管理信息系管理信息系统强统强化内控和化内控和风险风险制度制度 通过Deloitte 顾问服务及Risk Integrator的引进,协助企业建立
6、一套可根据经营策略变化,而具有弹性可调整的操作风险管理体制。 通过Risk Integrator的引进,深入推广操作风险管理体制。 企业在持续应用风险及控制评估(RCSA)等管理工具的过程中,可不断探寻风险和内部控制程序强化之机会。Deloitte 顾问服务Risk Integrator 的引进符合银行的最佳实务之操作风险管理体制+ +不断强化的风险管理和内部控制制度二、二、Risk IntegratorRisk Integrator系统功能:系统功能:风险,控制风险,控制 和流程管理和流程管理风险,控制风险,控制 和流程框架和流程框架建立部门框架建立业务流程、目标设定风险定义建设控制框架风险
7、和控制评定量表和评分带 建立业务部门、流程 和 目标 建立风险与控制框架 建立风险与控制等级量表和评分带,以用于评分计算 建立电子邮件模板,以由工作流程引擎发送通知给相关人员主要功能工作流程功能二、二、Risk IntegratorRisk Integrator系统功能:系统功能:风险与控制自评风险与控制自评 (RCSA)流程风险控制自我评估流程风险控制自我评估(RCSA)创建RCSA模板批准RCSA模板设定评估计划 执行评估批准评估及报告 根据业务流程的管理, 系统可依据不同流程和单位产生风险与控制评估底稿。 使用者依据不同单位 ,自行设定风险与控制评估计划。 系统提供电子邮件通知之机制,可
8、通过电子邮件自动通知执行风险与控制评估之对象 系统提供风险与控制评估表,使用者依据控制测试结果,执行风险评分(例如发生频率与严重度)。 可根据各项风险控制活动的问题分析,建议问题改进方案, 启动行动方案监控机制。主要功能工作流程功能二、二、Risk IntegratorRisk Integrator系统功能:系统功能:内部控制自评内部控制自评 (ICM)内部控制管理内部控制管理(ICM)创建控制测试模板批准控制测试模板设定控制测试计划 执行控制测试批准控制测试结果及报告 根据业务流程的管理, 系统可依据不同流程和单位产生控制测试底稿。 使用者依据不同单位 ,自行设定控制测试计划。 系统提供电子
9、邮件通知之机制,可通过电子邮件自动通知执行控制测试之对象 系统提供控制测试报表,使用者依据控制测试结果,执行控制评分。 可根据各项控制活动的问题分析,建议问题改进方案, 启动行动方案监控机制。主要功能工作流程功能二、二、Risk IntegratorRisk Integrator系统功能:系统功能:关键风险指标关键风险指标 (KRI)关键风险指标关键风险指标(KRI)模块模块建立关键风险指标批准关键风险指标指派关键风险指标报告关键风险指标监控关键风险指标 提供建立关键风险指标功能。支持指标以多组衡量标准(trigger level),以监控其指标值变化趋势。 结合行动方案启动与监控机制,可于K
10、RI值到达一水平时,可启动行动方案模块(例如外部查核缺失的水平为一件,当超过此水平时必须强迫采取行动方案) 结合email 通知机制,并可由使用者依据不同单位,自行设置KRI通报时,email自动通知之对象或时机(例如未于时限内通报KRI即发送email通知本人或主管)主要功能工作流程功能二、二、Risk IntegratorRisk Integrator系统功能:系统功能:损失数据收集与管理损失数据收集与管理 (LDC)风险损失事件收集与管理风险损失事件收集与管理(LDC)报告损失事件审批损失事件更新损失事件监控损失事件分析和报告 提供风险事件资料登录、备份、检核与签核功能 提供一笔交易可对
11、应多笔损失或追偿的功能 提供特定单位(例如风管单位)将不同事件联结为单一事件功能 提供特定单位将损失归类或分配至对应之部门单位(或Basel所定义之业务别) 结合行动方案启动与监控机制,可于风险事件损失到达一门槛时,可启动行动方案 结合email 通知机制,并可由使用者依据不同单位,自行设置到达某损失门槛时,email自动通知之对象或时机。主要功能工作流程功能合规管理合规管理建立法令规章资料库批准合规框架设定评估计划 执行评估批准评估及报告 建立/维护法令规章资料库。 例如: 信息安全管理(ISO27001),银行内部条例 等。 建立法令规章与遵法单位之对应关係。例如:建立相关单位所对应信息安
12、全管理 。 建立法令規章與控制制度之对应关系。例如:建立信息安全管理所对应的控制。 执行合规性评估。例如:相关单位所对应信息安全管理条例及相关控制评估 依据控制测试结果, 系统可产出条规落实度矩阵主要功能工作流程功能二、二、Risk IntegratorRisk Integrator系统功能:系统功能:行动方案启动与监控(行动方案启动与监控(APM)行动计划行动计划建立行动计划来建立行动计划来管理一个或多个管理一个或多个行动任务行动任务批准行动计划批准行动计划完成行动任务完成行动任务监控行动计划的监控行动计划的执行执行完结行动计划并报完结行动计划并报告告 提供所有模块整合性之行动方案管理平台
13、提供一项行动方案可对应多项不同措施或任务之功能 提供各项行动方案或措施/任务,可指定不同负责人员之功能 提供行动方案或措施/任务负责人员定期更新进度的功能 提供行动方案进度追踪及监控之功能。主要功能工作流程功能三、三、Risk IntegratorRisk Integrator系统功能:系统功能:操作风险整合性监控平台操作风险整合性监控平台Risk IntegratorRisk Integrator操作风险整合性监控平台操作风险整合性监控平台四、四、Risk IntegratorRisk Integrator系统技术架构系统技术架构.Risk IntegratorRisk Integrator
14、系统技术架构系统技术架构Risk Integrator-系统架构系统架构 Risk Integrator 软件需求软件需求 Application Server Operating SystemMicrosoft Windows 2003 Server Enterprise Edition或或 Linux 或或 UNIX Application Server Sun Java System Application Server Standard Edition 9.1BEA Weblogic 9.2 or 10Database Server Operating SystemMicrosoft
15、Windows 2003 Server Enterprise Edition Database ServerMicrosoft SQL Server 2005 Enterprise Edition Reporting ServerMicrosoft SQL Server 2005 Reporting OLAPMicrosoft SQL Server 2005 Analysis ServicesUsers Desktop/Notebook Operating System Existing software installed at the users desktop are sufficien
16、t to deploy and use the Risk Integrator. For example Microsoft Windows NT Workstation 4.0; OR Windows 2000 Professional; Windows XP any edition Browser Microsoft Internet Explorer 5.5/ Microsoft Internet Explorer 6.0 or above with latest service pack EmailMicrosoft Outlook / Lotus Notes for client;
17、OR Any SMTP compliant Email Client Word ProcessingMicrosoft Office 2003 Standard Edition / Microsoft Office 2003 Professional Edition (Optional)The following servers are proposed for Risk Integrator production environment Application Server1 x Dual Core Intel Xeon Processor 3 GHz4GB RAM 1 x 74 GB HD
18、D for System and 2 x 146 GB for Application100-BaseT network interface card Database Server1 X Dual Core Intel Xeon Processor 3 GHz4GB RAM 1 x 74 GB HDD for System and 2 x 146 GB for Application100-BaseT network interface card Users Desktop/NotebookExisting hardware configuration at the users deskto
19、p are sufficient to deploy and use the risk management portal.Intel Pentium 2 Processor 450 MHz256 MB RAM 20 GB Disk Spaces1. 100-BaseT network interface card Risk Integrator - 硬件需求硬件需求 五、五、Risk IntegratorRisk Integrator系统成功案例系统成功案例.业务挑战业务挑战 达到Basel II对于运营风险的监管要求,并对监管要求进行合规监控和风险控制测试。 理解各层面运营风险的关键因素并
20、由此确定应集中关注并采取行动的重点领域(不可容忍的风险或控制缺陷),并为业务管理人员创建集中系统,以加强风险及控制管理。 在问题发生过程中、还未形成损失时就进行识别/定位,将风险控制在“非意外”水平,并通过管理按照风险敞口及规定的资本水平管理损失来改善财务表现。1. 减少非增值的人工合并活动。价值贡献价值贡献 自动化、集成化和流水线化的人工运作; 风险和事件驱动; 多维度的风险及控制分级和指标; 风险及控制数据库,集成的RCSA工作流程; 合规流程; 基于异常和阀值的报告,趋势分析,企业报告; 整合内部和外部审计的风险评估流程; 降低整体控制成本并提高控制活动的成效; 匹配控制活动与业务线管理
21、风险,并集中关注与改进风险控制相关的控制活动。成功案例成功案例:新加坡最大的银行之一新加坡最大的银行之一业务挑战业务挑战 达到C-SOX对于内部控制管理的监管要求,并对监管要求进行合规监控和风险控制测试。 加强落实内部控制管理机制及有效性测试。1. 提升操作风险和内部控制及稽核管理机制执行效率。价值贡献价值贡献 建立操作风险管理工具之共通性架构(例如风险与控制架构、流程与产品架构等),奠定未来不同模块相互参照与分析之基础。 透过内部控制测试和自评方法论与执行程序之重新设计,提升自评工具所能产生之效率与效果。 建立有效之行动方案控管机制,随着各项改善方案之确实落实,大幅降低操作风险暴险(risk
22、 exposure)。 建立董事会、事业群、风险,合规 和稽核管理部门所需之各项管理报表,一方面提升风险管理效能,另一方面,亦提升之风险沟通之效率及风险文化之深化程度1. 协助稽核有效强化以风险为基础之稽核制度(risk-based auditing)。成功案例成功案例:中国最大的保险,银行和资产管理集团之一中国最大的保险,银行和资产管理集团之一业务挑战业务挑战 达到Basel II对于操作风险的监管要求,并对监管要求进行合规监控和风险控制测试。 加强落实操作风险标准法管理机制及有效性。 提升操作风险管理机制执行效率。1. 为未来采行进阶衡量法预作准备。价值贡献价值贡献 建立操作风险管理工具之
23、共通性架构(例如风险与控制架构、流程与产品架构等),奠定未来不同模块相互参照与分析之基础。 透过操作风险与控制自评(RCSA)及控制自评(CSA)方法论与执行程序之重新设计,提升自评工具所能产生之效率与效果。 建立有效之行动方案控管机制,随着各项改善方案之确实落实,大幅降低全行之作业风险暴险(risk exposure)。 建立操作风险管理平台(dashboard),达到实时监控全行操作风险偏好(risk profile)及预警信息变化趋势之目的。 建立董事会、事业群、风险管理部门所需之各项管理报表,一方面提升风险管理效能,另一方面,亦提升之风险沟通之效率及风险文化之深化程度1. 协助稽核有效
24、强化以风险为基础之稽核制度(risk-based auditing)。成功案例成功案例:台湾指标性的银行之一台湾指标性的银行之一业务挑战业务挑战 达成银行的业务目标及长期愿景,即将合规、操作风险及控制管理保持在一个高效率的水平; 银行需要采用ORMS(操作风险管理系统)来支持所有的操作风险管理 (ORM) 资源, 一个用于管理、识别、测量和监控操作风险的工具。; 对监管规定要求建立对应的合规监控及抽样控制测试。价值贡献价值贡献标准化风险和控制评估、合规、主要风险指标、事故/损失管理以及管理报告中的风险和控制术语及流程。Risk Integrator 计算风险严重程度及控制评分。监控操作风险管理
25、(ORM),合规与控制的合规可以监控已完成和进行中的评估、主要风险指标和损失数据收集流程。通过Risk Integrator生成的报告,操作风险管理(ORM),合规和质检能够分析风险严重性、控制评分、法律合规性、主要风险指标和损失数据。成功案例成功案例:印度尼西亚最大的私立银行之一印度尼西亚最大的私立银行之一业务挑战业务挑战在TRIS(泰国国有企业风险评估机构)的风险评估中达到较高的企业风险及控制管理评分。及时汇总并向董事会、风险管理委员会以及管理高层报告风险及控制管理信息。1. 在全组织范围内标准化风险与控制管理流程。价值贡献价值贡献更好地向管理层提示风险趋势和潜在问题;允许管理层深入并集中
26、在有风险及控制问题的个别业务单位;追踪组织在风险管理和内部控制方面的有效性;采用工作流标准化风险和控制管理流程;在全企业范围内推广风险和控制管理文化;帮助用户广泛地理解风险和控制工作;1. 消除人工合并报告的工作方式。成功案例成功案例: 泰国最大的国立银行之一泰国最大的国立银行之一Risk Integrator 为Deloitte 开发的操作风险管理系统,各项功能蕴含国际和地方最佳实践的运作模式。Risk Integrator 的的价价值值l各项管理工具(流程管理/内控管理/RCSA/KRI/LDC )架设在具一致性参数的平台上,可支援彼此连结及进行交叉分析。l为模块化系统,企业可视管理需求或内控和风险发展阶段,选择及增加系统模块。l为随著全球内控和风险管理技术与资讯科技发展而持续进步的系统。