《新商业风险管理的基础知识dbjg.ppt》由会员分享,可在线阅读,更多相关《新商业风险管理的基础知识dbjg.ppt(24页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、新商业风险管理 信息技术对企业商务的影响信息技术对企业商务的影响l随着网络经济的发展,电子商务的应用,越来越多的公司应用信息技术,并将它们整合到日常的商务流程中去,使信息技术对整个的公司的发展起重要的作用。信息技术对企业商务重要的影响有如下几点:企业的发展战略、战术决策;企业产品和服务的设计;企业成本管理;企业员工的雇用、技能的培养;企业文化、信息的共享;企业的客户服务;企业供应商与合作伙伴的供应链管理;信息技术带来新商业风险l企业在投资和应用信息技术的过程中,除了得到效益外,也产生了新的商业风险。所以企业都必须注意投资和应用信息技术时的风险管理。例如,电子商务交易过程中,可以从电子数据交换系
2、统(EDI)、电子资金调拨系统(EFT)、销售点系统(POS)等系统中获得商业上的各种数据,对这些数据的分析可获得市场分布、人口地理学、产品分销、资金结算等等资料,这些资料都是企业战略制定和业务管理的关键。如果这些电子商务系统出现障碍,即使是POS系统或超市的条码扫描系统出现故障,也会使企业的战略实施和业务管理难以进行,给企业商务带来不良的后果。这就是一种网络经济中出现的新的风险信息技术的商业风险。新商业风险管理的基本内容l管理知识:管理知识:提高企业内部对信息技术风险管理的意识;掌握新商业风险管理知识。l管理方案:管理方案:从整个行业出发来分析企业风险,形成风险管理方案;l商务整合:商务整合
3、:将企业商务战略与信息技术战略整合在一起,形成企业的整体战略,这对信息技术风险管理的成功是非常关键的。如果没有进行商务整合,那么,要确认业务程序与信息技术使用中所产生的业务风险之间的联系将会很困难。必须把信息技术风险看成商业风险就必须进行商务整合。将商业风险管理扩展到企业各个部门内,从而促使所有的雇员对风险管理负责并了解无效技术管理的危害。所以,商务整合对进行完整的、综合的风险管理框架起着重要作用,包括了信息技术相关风险的分析和传统意义上的业务风险的分析;l测量评估:测量评估:对信息技术的作用进行测量,评估。信息技术对核心业务的影响不断增强,信息技术在当今的商业核心业务中处于关键地位;要对信息
4、技术在企业流程中的作用进行必要测量。l风险转移:风险转移:在企业接受现有水平的风险;调整产品和服务的价格以补偿风险损失;进行风险转移,例如:购买保险之前应具备一套适当的、正式的程序来识别和探究信息技术相关风险来源;通过制定和实施风险管理程序,将风险降低到可以承受的水平。l重点管理:重点管理:把握特定类型的新商业风险的管理。主要有以下三种类型:综合性风险:指数据未经批准使用或不完整或不准确而变得不可靠所造成的风险。获得性风险:指不能及时获得所需信息而导致的风险。相关性风险:指无论是自身建立的信息还是由应用系统总结出的信息,都不适用或者不及时而带来的风险。l网络安全管理:网络安全管理:网络安全也构
5、成新商业风险,例如,通过网络侵入企业系统的计算机“黑客”和计算机病毒,会破坏客户服务系统或导致信息失真甚至全部丢失。分配计算(借助于客户服务网络进行的信息管理)使信息可以在一定范围内传播。但是,分配计算也给企业安全性带来了风险。一般在同一条网络上的信息所有者并非只有一个。一些信息对企业相当敏感,所以对客户服务环境的有效管理就显得很重要。新商业风险主要类型l 完整性凤险完整性凤险这种风险大多来自应用系统,应用系统可对商业数据的输入、处理、归纳和贮存等。当系统障碍时,就可能造成数据未经授权被使用或数据不完整、不准确而造成风险。l接入风险接入风险接入网络时,数据或信息存取不当而导致风险。这种风险来自
6、网络和电子商务的不断发展。由于黑客和电子欺诈行为的存在,人们要保护自己的系统免受侵扰。人们就必须设法保护电话线路、网络缆线和计算机,以便尽力对数据和信息进行保密。存取风险可能由于不合理的责任分工造成的风险,如,未经授权的人进入数据库带来了风险,或违反信息保密性法律规则引起的相关风险。l基础设施风险基础设施风险指企业不具备完整的信息技术基础设施而造成的风险。这种基础设施是指能够以低成本、高效率的方式,构建信息技术的商业应用模式,它包括信息技术基础。信息技术基础设施主要包括以下几部分:硬件;网络;软件;人员;程序。系统的完整性是要保证定义、开发、维护和运作处理信息环境和应用系统正常运作所必备。所以
7、它对商业运作产生的影响最大,存在风险也最大。l获得性风险:获得性风险:这是指企业在获得数据时的风险,如破坏者们经常利用邮件轰炸来阻碍服务,或者对服务系统提出虚假请求,这给提供服务带风险。金融服务业是典型的依赖于准确、及时信息而运作的行业。在这方面的风险较大。所以企业要有一个有效的方式来管理价格风险、流动性风险和信用风险,必须具备特定的系统。这种系统要使需求者对所需信息实时可用、随时可得,并能进行评价。一、完整性凤险(一、完整性凤险(Integrity risk)l完整性凤险大多来自应用系统,应用系统可对商业数据的输入、处理、归纳和贮存等。当系统障碍时,就可能造成数据未经授权被使用或数据不完整、
8、不准确而造成风险。它主要在系统以下部分表现出来:用户界面(用户界面(User interface):必须给予正确的设定,有足够的限定,以确保只有有效的数据才能进入系统,并且这些数据是完整的。处理(处理(Processing):使系统有能力控制处理各种数据,以确保数据的处理完整性和及时性。病毒使系统对数据处理的完整性造成特别威胁。这类威胁能对关键业务程序造成巨大的冲击。对错误处理(对错误处理(Error Processing):系统应用适当的程序和其他系统方法来确保任何进入系统的数据都受到检测,并已作了修正。可以准确地、完整地和及时地处理错误数据。对错误数据的检测在金融业显得十分重要。界面(界面
9、(Interface):):应有系统预警显示,以确保各种数据的准确完整地传输。变化处理(变化处理(Change Management):):对变化有处理能力的流程,通过这些流程,应用系统的任何改变均能传输并予以实行。数据(数据(Data):数据管理和控制,既包括处理数据的安全和完整,也包括对数据库和数据结构的有效管理。数据的完整性可能会因为程序错误引起,如对数据用不正确的程序来处理;或发生管理程序错误。二、接入风险(二、接入风险(Access risk)l接入风险是指接入网络时,数据或信息存取不当而导致风险。这种风险来自网络和电子商务的不断发展。由于黑客和电子欺诈行为的存在,人们要保护自己的系
10、统免受侵扰。人们就必须设法保护电话线路、网络缆线和计算机,以便尽力对数据和信息进行保密。存取风险可能由于不合理的责任分工造成的风险,如,未经授权的人进入数据库带来了风险,或违反信息保密性法律规则引起的相关风险。业务流程(业务流程(Business Process):企业确定某一业务流程和流程运作方式。应用软件(应用软件(Application):):采用相应的应用软件,给用户提供完成工作所需要的安全的接入方式。并限制对安全有破坏的接入,如欺骗行为,避免由于员工接触过多的信息导致对数据意外或无意的改动。数据和数据管理(数据和数据管理(Data and management):为用户提供接入特殊数
11、据或数据库通路的网络环境。流程的环境(流程的环境(Processing environment):一般指不恰当地进人主计算机业务流程处理环境和获取该环境中储存的程序和数据。网络(网络(Network):接入网络联系用户和流程环境。接入风险是由于不恰当地进入网络本身的风险所导致的。硬件设备(硬件设备(Physical):):保护设备不受破坏、偷窃或不恰当地接触。三、基础设施风险(三、基础设施风险(infrastructure risk)l基础设施风险基础设施风险指企业不具备完整的信息技术基础设施而造成的风险。信息技术基础设施主要包括以下几部分:硬件;网络;软件;人员;程序。系统的完整性是要保证定
12、义、开发、维护和运作处理信息环境和应用系统正常运作所必备。所以它对商业运作产生的影响最大,存在风险也最大。基础设施风险有下列内容:组织计划(组织计划(Organisation Planning):基础设施对在商业流程中所采用的信息技术进行清楚地界定和阐述,确保企业经理层对信息技术的应用计划有足够的支持,并有充足的人才和流程计划,以确保系统实施的成功。应用系统的定义和开发(应用系统的定义和开发(Application systems definition and deployment):):基础设施要保证应用系统满足业务和用户的需要。就必须决定购买整个应用系统解决方案,还是按用客需求开发新的解决
13、方案。应确保应用系统的所有变动应遵守一定的结构,以确保与关键控制点保持连续性和一致性。例如,典型的结构要求所有变化必须在事前被用户所验证和通过。逻辑安全和安全管理(逻辑安全和安全管理(Logical security and security administration):):基础设施应确保企业足以应付接入风险。要建立、维护和监督内部安全综合系统,该系统在数据和信息的完整性和保密性方面要符合管理层的政策。计算机和网络操作(计算机和网络操作(Computer and network operations):):基础设施应确保信息系统和相关的网络环境是在管理层的政策下,在安全和受保护的环境下运作
14、。计算机操作人员对信息处理的责任,应该是被明确界定、衡量和监督。通常计算机技术人员作出的主动性行为,也可衡量与监视计算机和网络运行,确保系统为用户提供满意的、持续的支持。数据和数据管理(数据和数据管理(Data and database management):):基础设施应确保那些用于支持应用系统和终端报告所需要的数据和数据库,既有相互的内部统一性,又有定义的连贯性,可满足企业商务需要和减少潜在的闲置。核心业务数据恢复(核心业务数据恢复(Business data center recovery):):基础设施应确保企业中各种核心业务数据的灾难性恢复,以确保商业计划的充分实施,保证满足用户在
15、需要时可得到相关和技术支持。四、获得性风险(四、获得性风险(Availability risk)l获得性风险获得性风险是指企业在获得数据时的风险,如破坏者们经常利用邮件轰炸来阻碍服务,或者对服务系统提出虚假请求,这给网络用户提供服务带来了一种危险。金融服务业是典型的依赖于准确、及时信息而运作的行业。在这方面的风险较大。所以企业要有一个有效的方式来管理价格风险、流动性风险和信用风险,必须具备特定的系统。这种系统要使需求者对所需信息实时可用、随时可得,并能进行评价。这种系统应当严格控制数据,防止未经授权的存取改变数据。获得性风获得性风险表现在如下三个方面:险表现在如下三个方面:通过事先对行为的监督
16、和对系统问题的解决,都能够避免此类的风险。如,硬盘的存储能力对信息系统来说是很重要的,这可以不断地予以监督确保它足以支持企业商务流程的运作。获得性风险与系统的短期中断有关联。对此可运用备份和恢复技术使中断影响的范围最小化。如,大多数企业已经认识到每天至少一次对关键数据进行备份的重要性。这样在处理过程中丢失数据的影响能被控制在上一个备份以后的数据投入的范围内。获得性风险与信息处理过程长时间中断有关联,其重点是诸如备份与应急计划等控制手段。五、其他与商务相关的风险(五、其他与商务相关的风险(Other business risks)l信息策略与商务策略整合后,还产生了一些与此相关的风险,这也是作为
17、风险管理应加以注意的部分,因为它们可能对企业商务产生不利的影响。正确性风险(正确性风险(Validity risk)企业应用系统建立必须合适本企业状况,这种风险包括决策过程中所需信息是否正确性的风险,除此之外还直接涉及到经营运行过程中的信息的正确性风险,如,企业员工不能及时性获得所需要的正确信息的风险。正确性风险问题对金融服务业也及为重要,例如,银行机构通过实时系统运用利息率和风险报告等工具来监控它们的利率波动的风险。如果时间不准确,那么,这些工具所提供的信息就毫无用处。另外信息技术系统提供的管理方面的数据报告,如果不准确,可能导致领导者的决策失误。效率风险(效率风险(Efficiency r
18、isk)对应用程序的选择应有效率性。可能有一些程序不能满足客户的需求。如果把技术引人到商务流程中去,而又不能产生出效率,就没有意义。所以规划应考虑到效率的风险。企业系统基础设施应包括商业策略保持一致的信息技术策略,对信息技术策略与商业策略的整合应很明确,以实现管理层的商业目标。周期性风险(周期性风险(Cycle time risk)这是指商务活动的周期性,如果商务周期性过长,如供应链过长导致商务周期性过长,这样企业效益就会受影响。信息技术策略应用到商务流程中去,应促使商务周期性缩短。但是,在具体实施过程中,可能由于信息技术基础设施不足,或由于系统原因,使商务周期性的延长,达不到原来所希望的商务
19、目标。采用信息技术在商业流程中,对周期性问题应当事先考虑清楚。报废凤险(报废凤险(Obsolescence risk)企业库存常常是由信息技术系统来管理。为了有效地管理库存和避免报废或过剩,业务上要求数据的完整性、准确性、及时性。由于系统的问题可能影响数据的正确传输,引起库存的报废。这也是信息系统的风险之一。业务中断风险(业务中断风险(Business interruption risk)企业的业务有一个连续的过程,应用软件的操作主要依赖于信息系统。因此,信息系统的应急计划应是整个商业延续计划的一部分,灾难恢复计划应该是商业计划的一部分,以避免业务中断的风险。产品失败风险(产品失败风险(Pro
20、duct fail risk)正确的产品信息来自企业内部网和信息系统,如果一个企业监督和记录次品数据不准确,就可能造成产品的失败。在应用信息系统控制生产流程时,这方面的风险应给予足够的重视。另外,产品销售的反馈信息,企业能发现用户对产品的意见,通过获得这类信息,企业因此可以管理产品失败风险,以及有关顾客服务和声誉的风险。如何管理新商业风险l有效的商业风险管理并非仅为一种职能,更是一个过程。所以,只有在商业风险范围内对采用信息技术后的企业进行风险管理,才能有效地回避新商业风险。这里有两个关键点值得注意:在信息时代的复杂商业环境中,任何一家电子化企业要想获得成功,都必须构造一幅清晰的关于识别、衡量
21、、控制与监测所有类型风险的行车图。有效的风险管理并不只是一种职能,还是一个过程,是一个识别和管理所有潜在重大风险的过程,它涵盖了所有的企业商务活动以及各层次的企业组织。l主要内容:主要内容:商业风险管理程序l新商业新商业IT风险管理要素:风险管理要素:战略规划配置管理流程监测技术结构的界定管理框架 一、商业风险管理程序一、商业风险管理程序l为了识别、衡量、控制与监测风险,企业需要有一套恰当的风险管理程序,它包括了六个步骤:确立管理目的和目标:确立管理目的和目标:根据企业的市场目标,确定商业风险承受限度。评估商业风险:评估商业风险:识别导致风险的主要因素,这些因素对业务的成功至关重要;研究风险的
22、来源,判断风险是来自企业外部,还是企业内部的商务运作过程。衡量风险的重要性的程度以及发生的可能性。制定商业风险管理战略:制定商业风险管理战略:风险管理战略必须确定风险位置和责任,以便制定和实施相应的管理与控制程序。风险管理战略有可选性,包括:回避不可承受的风险、转嫁风险通过购买保险,与其他企业结成战略同盟、共同投资。与独立的当事人签订契约性风险分担协议等途径。接受现有水平下的风险,即自我保险。接受风险,通过各种监控手段将风险降低到一个可接受的程度,可接受度是管理中的风险限度所确定的。设置并实施风险控制程序:设置并实施风险控制程序:确保合适的员工设置和实施风险控制程序。每一道风险承受能力的程序都
23、必须符合企业管理者规定的风险承受度。监测商业风险管理程序实施效果:监测商业风险管理程序实施效果:监测风险控制程序实施的效果,对于企业达到市场目标、企业战略具有关键意义。可由企业中高级经理实施监测,由程序和业务的操作者具体实施。改善商业风险管理程序(见下页)改善商业风险管理程序(见下页)(接上页)改善商业风险管理程序(接上页)改善商业风险管理程序l在实施风险管理过程中,不断完善风险管理程序。通过监测确定在管理过程中出现的不足,以及商业环境变化而需要相应地调整风险管理程序。采用这种不断更新、不断完善的思想是极为重要的。在电子化企业中,在电子商务的过程中,应用信息技术所产生的风险就是一种商业风险。所
24、以,应该把这种当作商业风险的一部分来进行评估。采用一种综合的方案来进行风险管理,就是要领导者识别上面所述的企业应用信息技术时产生新的商业风险。并将这种风险与整体商业风险结合起来考虑。建立一个适合本企业的风险管理程序。例如:一个公司的程序如下提供一种领导机制,并由上级部门确定风险管理的基调。为整体风险管理进行资源配置。建立风险管理框架和总体规划。确定目标限度及个人责任。确认标准会计分类和业务损失。建立风险度量系统和早期预警指示。将风险控制管理状况与奖励机制相联系。l从以上可以看出这个公司不仅具备一套整体性的风险管理方案,而且还掌握了风险管理中具有关键作用的因素,包括:高素质的领导才能、个人责任。
25、标准的界定以及业绩的监测等。借助于预警程序和高级经理部门的参与,信诚公司将这种商业风险管理推广到业务运行的各个层次,确保了整个公司内部信用的连贯性。如图所示:新商业风险管理程序。(见下页)新商业风险管理程序图解建立管理目的与目标、风险限度、风险承受水平商业风险评估、识别、探究、度量制定商业风险管理战略改善商业风险管理过程商业风险实施效果的监测制定/实施风险控制程序 规避 价格 转嫁 接受决 策 信息 二、新商业风险管理框架二、新商业风险管理框架l安达信公司的提供了一个信息技术风险管理框架,可作为电子化企业引入IT技术时,制定总体风险管理战略的特殊结构。风险控制程序既有对经济环境的风险普遍性适用
26、,也适用特定环境下风险的特殊性。例如,电子商务要求交易双方采用CA认证,这是控制风险的普遍性的要求。对于特殊的风险控制,可以用软件加密,防止密码泄露,电子签名等,从而防止未经授权的接入风险。商业风险控制以信息系统做预防性的控制最为有效。当系统设置好后,要比人工控制的效果要好的多。见下图 信息技术风险管理框架图解硬件设施网络平台数据应用流程战略规划结构界定流程监测配置管理 一、战略规划一、战略规划l企业电子商务总体战略,应包括信息技术风险管理战略和政策的制定,它应包括企业信息风险管理的内容,应说明战略实施,相关人员责任界定。同时它也是企业商务流程,应用程序设定基础。企业中任何一个标准、方针、方案
27、都在这个基础上设立。这些标准、方针、方案能够详细阐明某一程序如何运行。例如,系统安全问题,有关政策就可以这样规定:所有的用户都必须经过授权,使用用户身份认证和特定密码。这个规定加上一些具体的细则,来保证企业用户在授权下许可进入系统。风险管理战略和政策的制定包括如下内容:风险管理战略和政策的制定包括如下内容:程序:程序:1、企业知识资产保护程序;2、新技术评估策略;3、信息技术相关凤险的评估、管理和监测责任;4、传达信息技术和相关风险,指定共同商业风险语言;应用:应用:1、系统更新生命周期的标准;2、设计与购买软件的决策;数据管理:数据管理:1、数据所有权;2、数据库的设计和管理;3、专有数据的
28、使用与保护;4、员工、客户及其他人员所拥有数据使用与保护;平台:平台:1、支持硬件和软件平台的各项标准;2、确定平台规划、设计、支持与保险的责任;网络:网络:1、经授权的卖方与服务产品规格;2、网络规划、设计支持与保险的责任;实际设施:实际设施:1、确定信息处理地点和设备的所有者责任;2、电脑和业务范围外信息内容的保护;3、政策的维护与支持;政策制定还应包括一些保证政策得到落实的一些程序政策制定还应包括一些保证政策得到落实的一些程序l训练和培养人才程序l对计算机和网络技术结构进行管理的程序;l对应用系统或技术环境变化进行管理的程序;l增加、改变或删除用户进入系统的程序;l利用辅助平台等支持用户
29、的程序;l制订和检验业务持续性计划的程序。l任何商业风险,如果是系统中的一个或多个层次时,就必须制定相应的策略主动地采取相应程序进行有效的管理。硬件设施网络平台数据应用流程战略规划结构界定流程监测配置管理 二、系统配置的管理二、系统配置的管理l由于信息技术的不断发展,新技术不断出现,企业要根据需要,不断升级系统程序,采用最新的信息技术集成到现有流程中,以保证企业战略目标和政策的持续性,这样才能确保相关商务风险的控制。统配置包括如下内容:统配置包括如下内容:程序程序l信息技术风险预警方案l新雇员在信息技术风险中的地位及职责l商业持续性计划和关键业务流程的退出方案应用应用l新系统应用中的用户定位程
30、序l批准并实施应用系统转变的权利界定数据管理数据管理l数据库改革的程序与责任l显示、训练和维持数据存储与数据开发系统事态监测平台平台l促使用户转用标准平台的程序l文本控制管理程序和软件更新、分配程序l制定保持和检测复苏计划的程序l进入控制管理程序与任务网络网络l网络结构、运行及安全性管理的程序实际设施实际设施l信息技术设备工作地点的安全结构l必要的能源设施和环境控制设施的安置硬件设施网络平台数据应用流程战略规划结构界定流程监测配置管理 三、流程监测系统三、流程监测系统l动态监测系统是用来识别企业商务运作过程及网络商业环境中的变化,一些变化可能会逐渐破坏风险控制的有效性。如,企业原有一个系统灾难
31、恢复计划,由于商务的运作,商业数据的增加,一年以后可能就不能按原计划在系统中恢复数据库等。这可能带来巨大的商业风险。这就需要动态监测系统来监测系统状态,保证能及时性调节系统程序。风险管理动态监测系统如下:程序程序l对外部趋势及信息技术相关事态的监测任务界定如下:l技术l市场与竞争l法律和规章应用应用l监测应用系统出错概率、数据质量特殊情况等的程序;数据管理数据管理l有关数据存储能力、成本质量和安全性的趋势与事态的监测程序平台平台l对系统运行能力、费用、质量及安全性的有关趋势与事态进行评估的程序网络网络l对网络容量费用、质量及安全性的相关趋势与事态进行评估的程序实际设施实际设施l对工作地点重置的
32、效果及信息技术设备与设施的物理结构的改变进行了评估的责任硬件设施网络平台数据应用流程战略规划结构界定流程监测配置管理 四、信息技术结构的界定四、信息技术结构的界定l信息技术结构会成为某种风险的来源,不同的风险来源,采用不同的风险控制程序,使控制风险的管理机制具体化。例如:LINUX平台,它所造成的风险在细节上与支持同一系统的AS/400平台不同,在控制安全性风险、完整性风险、获得性风险中的大多数装置都不同。信息技术结构主要内容:企业应用解决方案;网络操作系统和系统环境进行风险的安全性管理的应用软件;服务器及设置;维护计算机以及外围设备正常运作所需的环境因素。l风险管理的信息技术结构的界定如下:
33、风险管理的信息技术结构的界定如下:程序程序l评估、管理和监测信息技术风险的自动化工具应用应用l系统更新生命周期的方法和工具l原始密码和程序变化的控制、管理软件l应用或存取控制软件l为应用程序处理而设置的软件数据管理数据管理lDBMS管理工具l数据库开发工具平台平台l资源管理系统l综合系统网络网络l网络管理系统实际设施实际设施l动力支持和电源保护设备l火警与信息技术环境的压力系统l物理形式的存取控制与设备硬件设施网络平台数据应用流程战略规划结构界定流程监测配置管理 风险管理平衡点风险管理平衡点l每一个企业在采用有效的风险管理前,必须了解基本的商务流程商务流程,否则将不能很好地进行风险管理。同时企业在实施风险管理措施前,必须首先分析商业风险各方面,和实施风险管理的成本。所以,企业就必须做到在风险成本与风险控制成本之间建立一种平衡点。即各种风险都必须与风险管理四种要素取得平衡。如图所示。战略规划结构界定流程监测配置管理环境风险程序风险决策风险平平衡衡图示:风险管理平衡点图示:风险管理平衡点 案例lFMR公司案例 谢谢观看,再见 演讲完毕,谢谢观看!