全面风险管理信息系统项目建设风控一体化标准方案（44页 PPT）

微信扫码，打开到小程序

风控一体化标准方案 目录 CONTENTS 需求理解及建设思路 业务架构及功能方案 系统技术架构设计 项目实施及服务 项目实施 需求理解 统一规划 产品 + 定制 风控融合 提升全面风险管理工作水平 可扩展性 促进风险管理落地 • 通过有效的风险信息收 集手段，识别并规范公 司各类风险信息，定期 对风险进行风险评估， 基于风险等级进行风险 应对，实时通过报表掌 握风险现状，支持业务 决策。通过提高公司风 险防控能力，有力支撑 公司发展。 数据共享 培育风险管控人才 • 通过风险管理和内部控 制的建立和信息化，促 使风险管控人员在项目 过程中接受流程化的训 练和专业化的学习，缩 短风险管控人才培训时 间，提升培训效果，逐 步建立一支专业的风控 团队。 集团架构 风控一体化 规范内部控制 • 通过信息化手段支持总 部标准化和流程化开展 内部控制工作。通过系 统将内控手册电子化， 实现内控测试与评估流 程化管理，支持内控缺 陷与整改进度统一管 理，基于岗位角色及权 限实时查看各类内控报 表。 促进风控融合 • 通过信息系统实施，融 合风险管理与内部控 制，促进以风险为导向 的工作模式的建立，促 进以流程为对象，建立 风险、控制、制度的关 联关系。 整体框架 风险监控预警 组织构架 风险监控预警 组织职责 风险监控预警 人员分工 风险监控预警 人员配置 配套监控 预警机制 发展目标 - 战略规划 风险偏好体系 战略 组织 企业目标 梳理 设置指标 阈值 构建核心 价值链 评估关键 风险 设计预警 指标 流程 数据 准备 数据 分析 数据 处理 数据 分析 数据 展现 报告 撰写 模型 创建 模型 管理 测试 设计 模型 评估 模型 部署 模型 维护 时间 序列 预测 方法 回归 分析 决策 树 蒙特 卡罗 神经 网络 技术 个案预警 报告 系统性预警 报告 压力测试 报告 风险监控预 警工作报告 报告 风险管理与内控管理系统支撑需求 业务人员 业务部门 内控部门 企业高管 风险管理与内控管理可视  有直观的管理视图和报告  可总览企业风险管理和内部控制管理效果 风险管理与内控管理可管  提供完整、规范的风险管理与内控管理方法  通过系统支撑风险管理与内部控制管理工作 风险管理与内控管理可控  明确管理要求和控制方法  分配到岗的风险责任和控制管理要求 风险管理与内控管理可行  源于流程融于业务的风险识别和控制方法  及时完善风险库、优化管控措施，持续更新 风险、内控管理 内控审计 控制矩阵 流程 子流程 控制措施 控制缺陷 检查点 描述 质量要求 审计报告 以流程为基础，以“风险事件”为核心，风险管理、内控管理相互之间存在着紧密的关联关系： 通过系统建立起内控、风险两者之间建立起相互更新提醒的机制，形成良性可持续更新的机制。 建立起基于流程的风险、内控、制度之间的数据关联 风险库 一级风险 二级风险 三级风险 风险事件 实现制度条款、风险点、控制点的关联 从内控的视角 从风险的视角 业务执行过程定义 • 风险识别 • 风险分析 • 风险评价 • 风险应对 风险管理 • 控制识别 • 矩阵管理 • 内控评价 • 持续整改 内部控制 监测与评审 沟通与咨询 通过 IT 系统核心落地风险管理与内部控制过程 风险系统开发充分考虑企业内部控制基本规范的要求，搭建风控融合的管理体系及工作流 程。 环境建立 风险识别 风险评估 风险分析 风险评价 风险应对 内控评价 设计有效性 执行有效性 缺陷整改 活动目标 控制识别 风险库 内控矩阵 缺陷认定 1 2 5 6 8 3 4 7 8 风险分析 风险评价 风险应对 利益相关方 内外部环境 风险准则 风 险 事 件 评价结果 风险等级 业务执行过程定义 站在管理角度 站在评估、分数汇总角度 都 已 风 险 事 件 为 载 体 统一管理框架 统一管理框架 全集团共用一套风险分类框架及业务流程框架；由集团来维护风险分类和业务流程 的对应关系；在统一框架下，各单位可选取适合自己的业务流程作为建库的基础 便于分类管理 便于分类管理 便于分数汇总 便于分数汇总 以流程为管理基础，一个一级流程明确一个主责部门；后续系统中任务的筛选、派 发、统计都以流程为第一选择维度 集团统一一套风险分类框架，在以风险事项为评估对象的前提下，可以实现各级单 位评估分数的层层汇总，得到全集团的三级风险、二级风险、一级风险的排序 亮点分析 目录 CONTENTS 需求理解及建设思路 业务架构及功能方案 系统技术架构设计 项目实施及服务 风险管理及内部管理信息系统功能架构 风险管理及内部控制系统功能架构图 首页 个人首页 通知公告 统计报表 在线帮助 待办待阅 应用功能 基础平台 数据字典 流程管理 同步管理 组件管理 日志管理 风险管理 风险识别 风险分析 风险评价 风险应对 风险库 内控管理 控制识别 内控评价 缺陷整改 内控矩阵 基础功能 制度库 公告管理 知识库 在线帮助 组织管理 岗位管理 角色管理 权限管理 用户管理 风险管理及内部管理信息系统功能架构 风险管理及内部控制系统功能架构图 首页 个人首页 通知公告 统计报表 在线帮助 待办待阅 一期功能 基础平台 数据字典 流程管理 同步管理 组件管理 日志管理 风险管理 风险识别 风险分析 风险评价 风险应对 风险库 内控管理 控制识别 内控评价 缺陷整改 内控矩阵 基础功能 制度库 公告管理 知识库 在线帮助 组织管理 岗位管理 角色管理 权限管理 用户管理 二期功能 制度合规 风险监控 指标维护 指标下发 指标监测 指标统计分析 制度映射 制度更新 合规检查 持续改进 风险管理功能介绍：风险识别 风控数据融合：目标、风险、控制、制度相互关联 采购 管理 制度 供应 商 岗位 名称 采购成本率 不超过 40% 选择采购与 付款过程合 法合规 制度 风险识别 风险分析 风险评价 风险应对 一级流程： 采购业务 二级流程： 供应商选择及维护管理 【合格供应商名单】【未及时审核和更新】，采购 部与不合格供应商发生交易，可能发生交货及时性 差的情况，导致生产中断或停滞，严重情况下可能 还会导致延迟向外部客户供货。 采购部每年对供应商提供物资或劳务的质量、价 格、交货及时性、供货条件及其资信、经营状况等 进行综合评价，根据考核评价结果，提出供应商淘 汰和更换名单，对供应商名单进行审核与更新；并 按照公司的统一规范，对供应商等级进行细分，对 不同信用等级进行细分，对不同信用等级的供应商 进行分类管理。 一级风险： 运营风险 二级风险： 采购风险 三级风险 供应商管理风险 风险事件 控制措施 流程框架 风险分类框架 采购订单准时完成率 发出的订单总数是指经过供应 商确认过的订单数；准时完成 订单数是指供应商按照约定的 发货或到货时间，或超出时间 在 3 天以内完成订单的数量 绿：大于等于 95% 黄：大于等于 80% 小于 95% 红：小于 80% 风险指标 目标 目的：识别可能发生什么事件或 可能存在什么情况。可能发生的 事件或可能存在的情况将影响组 织目标的实现。 要点：“四段论”：谁【风险源】 + 由于【风险原因】 + 发生什么 【事件】 + 结果【后果】 风险识别 风险分析 风险评价 风险应对 风险管理功能介绍：风险分析 选取风险事件 \ 风险分类 下发 问卷 筛选 范围 建立 计划 答卷 建立 问卷 通过风险分析过程建立对风险的理解，为风险评价、决策是否有必要进行风险应对、选择 最恰当的风险应对战略和方法提供输入 内控矩阵 风险库 专项风险库 汇总 计算  多套风险分析准则 • 支持各级单位、各级流程选择不 同的风险准则  多种分析方式 • 支持调查问卷、手工录入和线下 分析结果导入等多种分析方式。  多种风险分析方法 • 定量、定性不同方法，及 C/P 法 等多种分析方法。  多维度结果处理 • 支持对分析结果按照单位、部门、 类别等多种维度进行统计处理 风险识别 风险分析 风险评价 风险应对 风险管理功能介绍：风险分析 - 续 1 风险识别 风险分析 风险评价 风险应对 风险管理功能介绍：风险分析 - 续 1 风险识别 风险分析 风险评价 风险应对 风险管理功能介绍：风险分析 - 续 1 风险识别 风险分析 风险评价 风险应对 风险管理功能介绍：风险分析 - 续 2 风险识别 风险分析 风险评价 风险应对 风险管理功能介绍：风险分析 - 续 2 风险识别 风险分析 风险评价 风险应对 风险管理功能介绍：风险分析 - 续 2 风险识别 风险分析 风险评价 风险应对 风险管理功能介绍：风险评价  多类型风险图谱 • 根据选择的图谱的不同，自动生 成不同类型的风险图谱。  可调整风险带 • 可根据自身风险偏好、风险承受 度和接受度调整风险带。  多种排序方式 • 支持按照风险等级排序，运用 Borda 序数排序， C 取最大值法排 序。 依据风险分析的结果，通过风险地图及风险排序，得出风险的重要性等级，确定本单位 在当前阶段需要重点关注的风险事件或风险 风险识别 风险分析 风险评价 风险应对 风险管理功能介绍：风险应对 风险应对是选择或实施一项或多项措施以改变风险的过程。针对重点关注的风险事项，结合内部控制 评价结果，确定需要应对的风险事项，通过完成风险应对提升企业的管理水平。 根据风险评估结果，计算风险等级 选择风险应对策略 提出量化应对目标 根据风险应对策略，制定应对方案 1.1. 内控矩阵的展现和管 理 多层级矩 阵，满足多 层级组织需 求 关联数据展示，提升效率 内控管理功能介绍：内控矩阵 内控管理功能介绍：内控评价 2.1 、制定内控评价计 划 计划基本信息：说明工作目标与时间安排 指定下级公司评价范围 指定本部评价范围 内控管理功能介绍：内控评价 - 续 2.2 、通过测试底稿进行内控评 价 系统自动生成测试底稿 支持上传样本附件 支持自动化抽样，节省 时间和人力成本 支持在线准备样本 形成内控测试样本库 内控管理功能介绍：缺陷整改 3.1 对内控缺陷的汇总、整 改 缺陷库 明确缺陷认定标准 多重复核认定缺陷 整改职责定位到人 整改过程全程跟踪 整改结果验收 内控报告管理 - 统计分析 内控矩阵统计（组织机构） 内控矩阵统计（流程） 实际控制修订（组织机构） 实际控制修订（流程） 内控矩阵关联法规制度 主检查评价计划进度 子（自）检查评价计划进度 检查评价进度表（人员） 子（自）检查评价计划测试结论 实际控制测试结论（组织机构） 实际控制测试结论（流程） 内控整改跟踪（组织机构） 内控整改跟踪（流程） 缺陷等级分布（组织机构） 缺陷等级分布（流程） 缺陷类型分布情况表（组织机构） 缺陷类型分布情况表（流程） 统计报告类型 功能需求应对：报告归档 报告归档 报告创建 报告分类 • 系统提供多层报告分类，用户创建报告、上传报告内容和附件，提供报告归 档空间管理。 功能特点 其他功能 公告管理 个人首页 已有成果 知识库 在线帮助 DEMO 示例 目录 CONTENTS 需求理解及建设思路 业务架构及功能方案 系统技术架构设计 项目实施及服务 统一开发平台 GRC 统一服务平台 授权控制 组织服务 表单框架 流程建模 流程引擎 统一待办 附件管理 展现层 Bootstrap JQuery 视图控制层 Spring MVC 业务模块 逻辑层 Spring 持久化层 JPA JDBC 基础开发层（ JAVA) 基础 API 开发组件 权限控制 图表组件 系统配置 数据字典 应用服务层 Tomcat WAS …… 数据库 Oracle MySQL 接口服 务层 接口控 制层 组 织 人 员 同 步 数 据 同 步 风险管理 内控管理 合规管理 流程管理 审计管理 …… …… ETL 系统部署方式及配置要求 风控一体化信息系统支持部署在虚拟化平台上 , 系统采用集中式部署，即在总部机房部署一套 风险管理系统；系统采用 B/S 架构，即用户通过浏览器方式访问系统 。如果使用高可用方案，服 务器需要双倍部署。系统支持双机热备及集群的部署方式，实现应用的负载均衡和高可用性。 序 号 名称 配置要求 数量 （台 ） 安装软件清单 1 应 用 服 务 器 4C ； 16G 内 存； 1T 1  * linux/windows  * 应用服务中间 件（ IBM WAS 、 BEA WebLogic 、 To mcat 、 JBoss ） 2 数 据 库 服 务器 4C ； 16G 内 存 1T 1  * linux/windows  * 支持 Oracle 、 DB2 、 MySQL 、 SQLServer 等 主流数据库 目录 CONTENTS 需求理解及建设思路 业务架构及功能方案 系统技术架构设计 项目实施及服务 统一规划，分步实施 风险管理及内部控制系统将支撑从集团到所有下属企业的风控管理工作；通过系统实 现集团分层、分类、集中的风险管理思路，实现将风险管理方法嵌入至企业日常管理应用 的目标。 广度：先总部、后下属，覆盖范围逐步扩大 深 度 ： 业 务 统 一 规 划 逐 步 深 化 总部 总部 下属所有单位 2019 年 2019 年 风险管控一体化信息系统 风险管理 内控管理 专项风险系统 投资风险 项目风险 采购风险 资金风险 2020 年 2020 年 统一规划，分步实施 风险管理及内部控制系统将支撑从集团到所有下属企业的风控管理工作；通过系统实 现集团分层、分类、集中的风险管理思路，实现将风险管理方法嵌入至企业日常管理应用 的目标。 广度：先总部、后下属，覆盖范围逐步扩大 深 度 ： 业 务 统 一 规 划 逐 步 深 化 总部 总部 下属所有单位 2019 年 2019 年 风险管控一体化信息系统 风险管理 内控管理 专项风险系统 投资风险 项目风险 2020 年 2020 年 风险管理系统扩展 制度合规 指标监控 项目组织结构 项目团队主要成员 序号 姓名 项目角色 主要职责 1 *** 项目总监 负责项目的统筹管理与工作指导 2 *** 项目经理 对项目的实施工作负总责，负责项目具体执行 3 *** 产品经理 参与业务交流和咨询、需求分析等 4 *** 高级业务顾问 负责项目中与客户的业务交流咨询、需求分析等工作 5 *** 技术经理 负责项目开发管理、协调、技术问题解决 6 *** 产品开发工程师 负责产品架构设计和系统设计 7 *** 开发工程师 核心模块详细设计、开发 8 *** 名 开发 / 测试工程 师 模块开发 # 任务 2017 2018 9 10 11 12 1 1 项目启动，制定项目计划及 各阶段里程碑 2 需求分析 4 系统设计 5 开发测试 6 部署上线和用户测试、培训 7 正式上线试运行 8 系统验收 系统概要，详细设计 安联，培训 7 竣工验收 2 1 本次项目主要为风控产品定制，内控咨询。 项目总体时间计划 项目技术附件，合同签订 3 4 数据库设计文档，用书使用手册 5 上线运行 6 验收 培训与知识转移 序号 任务名称 1 领导培训 2 系统日常使用培训 3 系统管理及维护培训 4 开发培训 系统提供完备全面的培训与运维支持服务承诺，如：提供完整的业 务操作手册和应用系统维护手册，提供免费系统操作培训，系统运维期 运行保障时效。 项目实施完毕后，我方免费向甲方提供项目过程文档等相关资料。 系统加入运维阶段后，项目成员将与甲方项目负责人进行完整的系统交 接，包括应用系统的所有源代码及技术文档，都将移交，仅供进行二次 开发和系统维护使用。 ► 灵活的培训方式 ► 针对领导层的工作特点进行分时段的跟踪培训 ► 针对业务操作人员统一性的功能进行集中式的整体培训 ► 针对提高 IT 人员系统管理和维护提供专业技能培训 ► 做好知识转移，保证客户方 IT 人员达到能够独立运维系统的能力 售后运维服务 提供多种服务方式 • 7×24 小时的即时响应服务 • 视频会议服务支持 • 传真文件交互 • 远程应用维护体系 • 周期性的客户满意度调查 • 本项目验收后将提供 1 年免费 的系统质保和必要的技术支 持。 • 在质量保质期内，将成立专门 的技术支持和售后服务小组， 提供完善周到的本地化服务， 同时具有 7×24 小时的维护支持 能力以及优先服务级别。 1 、专业、高效、优质的运维服务，是我们在客户应用和长期价值交付上对客户的庄严承 诺。 2 、专注于风控项目的运维团队。 我们的优势 熟悉业务 --- 熟悉大型集团型企业风控管理模式，熟悉风 险管理和内控业务，多名业务顾问保障需求落地 项目经验多 --- 近百家、多类型企业的风控系统建设经 验，能够保证本项目成功实施 增值服务 --- 可提供专家培训、咨询成果、赠送管理者视 图、参数管理、制度库，提供一年多次的研讨培训机会 长期服务 --- 提供长期稳定服务保障 强大团队 --- 将组建 20 人的项目团队专门服务本项目 优异产品和平台 --- 拥有成熟风控产品，保障项目工期， 具有高可靠性、扩展性，且很容易扩展风控等业务 1 2 5 6 4 3 THANK YOU