搜索
全面企业绩效管理与企业风险管理鲁百年博士、教授中国区首席顾问SAPBusinessObjects鲁百年:应用数学博士、教授。有特殊贡献的专家,享受政府津贴,2006、2007年中国培训十佳、2008年首届黄炎培职教管理专家奖。北京大学、清华大学MBA咨询顾问、国家行政学院特聘讲师、中金会特聘顾问。现任SAPBusinessObjects公司中国区首席顾问。曾在美国SAS软件研究所任北方区销售总监、高级咨询顾问、创智科技股份有限公司CRM事业部任副总裁、美国Hyperion公司高级销售经理、北京甲骨文软件有限公司高级咨询顾问经理、美国BO公司中国区咨询顾问总监。在英国剑桥大学和Sussex大学学习两年。在国内外发表学术论文90余篇,主持过两项国家自然科学基金资助的项目和一项回国人员基金,成果获省、部级科技进步一等奖、二等奖。出版《如何做好大客户的战略营销》、《全面企业绩效管理》、《获得大订单的三部曲》和《客户也疯狂》光盘四套、专著《全面企业绩效管理》、《大客户战略营销》、《客户也疯狂》和《说服老板签大单》四本。1.全面企业绩效管理与风险管理2.GRC解决方案的风险管理3.GRC解决方案的过程控制4.GRC解决方案的访问控制5.GRC如何全面应对企业内控的需求6.GRC实施案例分享目录风险调节下的绩效管理Slide5风险管理过程管理访问管理环境安全治理全球贸易服务数据仓库运营数据存储CRM智能人力资源财务智能SCM智能CRM营销管理销售管理服务管理SCM定单管理采购管理仓库运输库存管理计划管理ERP现金管理人力资源应收应付固定资产财务系统GRCE-Business电子商务技术平台经营分析绩效优化投资组合知识管理产品定价核心业务系统门户网站全面企业绩效优化的实现EPM规划和合并战略管理绩效分析成本分析投入产出管理层操作层决策层汇总数据数据流细节数据决策支持系统DSS/BI/KDD业务流程控制业务操作信息化MESCAD生产自动化生产过程监控Slide6IT风险企业风险类别Slide7决策层权益风险汇率汇率易变性利润折算风险权益价格权益价格易变性权益基础风险股利风险利率收益曲线风险利率易变性利率基础扩展预付风险利率风险货币风险执行错误产品构成复杂记帐错误结算错误商品发送风险文档/合同风险超过限额欺诈交易舞弊洗钱安全风险主要人员风险办理程序中的风险编程错误模式/方法错误市场参照信息有误管理信息计算机系统故障电信系统故障对意外事件的规划企业风险市场/定位风险运营风险LiquidityRisk经济部门手段主要交易投资组合过分集中市场流动性风险市场流动性谨慎的市场流动性企业/事件风险信贷等级变化声誉风险失误风险法律风险灾难风险法规风险信贷风险信贷扩展风险直接信贷风险信贷等值风险结算风险关联风险沟通故障时间性差异造成的故障稳定性市场敏感度交易风险运营控制风险系统风险程序风险企业风险监控当前的主题已不止是审计-而是整个GRC体系(治理、风险和合规管理)Compliance董事会财务部法律部销售部合同部人力资源部内控部信息部政策管理审计和合规管理资金部Compliance合规管理合规管理合规管理Governance合规管理风险管理公司治理风险管理风险管理公司治理风险管理RiskMgmt.风险管理公司治理安全项目管理文档管理合同计划客户ERP生产开票SOXJSOX信用风险操作风险市场风险FDA退保风险项目风险合规管理风险管理公司治理在这个日趋复杂的世界中,“公司治理、风险管理和合规管理”越来越困难,传统的GRC是一种支离破碎的方法,正如图中的场景…美国香港中国保监会国资委财政部Compliance董事会财务部法律部销售部合同部人力资源部内控部信息部政策管理审计和合规管理资金部Compliance合规管理合规管理美国.德国日本英国.法国中国加拿大印度合规管理Governance合规管理风险管理公司治理风险管理风险管理公司治理风险管理RiskMgmt.风险管理公司治理安全项目管理文档管理合同计划客户ERP生产开票SOXJSOX信用风险人力资本风险收入确认FDAROHSWEEE项目风险合规管理风险管理公司治理集成GRC模式前瞻型的企业现在正在采用一种集成统一的模式来管理GRC,如下图所示:集成模式统一管理GRC方式供应链客户和渠道董事会,审计委员会获得了决策和指示的证据合规/风险办公室集成的风险分析总裁们和高管们对业务绩效信息增加了信心信息技术部安全的信息技术架构采购部反恐贸易实务财务部符合全球各种规定的财务报告人力资源部环境健康和安全的合规性销售和服务部平衡的信用管理SAPGRC提供全面的合规,风险,内控体系标准化组件全面的内控风险合规管理自动化流程涵盖每部分流程业务流程业务流程平台SAPGRC方案跨行业的GRC访问控制流程控制环境,安全与健康全球贸易风险管理GRC知识库:文档和监控行业特点的GRC业务应用SAPGRC解决方案提供具有透明度的信息来预防风险标准化的通用GRC内容和规则将GRC流程自动化到业务流程监控中与现有IT投资及技术合作伙伴产品集成整合与服务提供商便捷的协同合作监控战略定义活动设置标准和KPI将企业的战略优势和有效执行联系起来建立目标制定战略目录战略计划过程风险管理的过程研究风险智能战略我们的战略目标是什么?那些存在的风险会影响企业的战略的执行?研究战略执行的计划什么样的活动可以提高战略的执行,并且降低风险?那些关键绩效指标和风险目录应该被监控?分析绩效和行动校正我们做预测吗?从预测中发现那些重要的偏差?这些不一致的主要原因是什么?监控风险风险和损失反馈设置关键风险指标识别风险制定风险特征1.全面企业绩效管理与风险管理2.GRC解决方案的风险管理3.GRC解决方案的过程控制4.GRC解决方案的访问控制5.GRC如何全面应对企业内控的需求6.GRC实施案例分享目录SAPGRC风险管理的目标和实现方法目标:根据风险来调整对企业绩效的管理方法:自动处理流程闭环风险规划:建立风险目录和关键风险指标风险识别:收集和整合企业范围内的风险,了解KRI的主要影响因素风险应对:平衡风险和机会风险监控:基于角色的仪表盘、预警和应对活动计划识别与分析响应监控SAPGRC风险管理企业绩效管理的风险调节管理定义主要风险、阀值和特征识别和评估企业所有相关的风险对最大风险出现的应对策略基于角色的实用仪表板与告警功能,对于业务过程实行积极的监控保护现有的价值•流程化跨企业风险管理•预防事故和损失产生新的价值•提高战略的实现•通过预测和计划,调节企业的风险,改进企业的绩效增加企业透明度•在合适的风险度下,确保业务部门的顺利运营•紧密将业务过程、风险和监控连接起来,改善公司的治理SAP风险管理功能风险监控风险响应风险识别风险分析建立风险组织定义风险阀值将战略目标落实到具体的组织定义风险组织的角色以及责任定义风险相关的活动,与部门流程相结合定义风险的分级定义关键风险、目录和阀值定义风险报告的结构定义风险结构定义风险的触发点以及其影响将关键风险指标与关键绩效指标连接起来定义风险之间的联系回顾历史损失利用定量和定性的方法分析风险了解基于风险危害的影响级别建立风险情景并考虑风险披露情况支持进行蒙特卡罗法的模拟评估基于有效反馈响应的损失评估打包合并相似的风险影响建立预防风险以及快速恢复的机制以及文档手册关注并分配风险发生后的流程明确风险的责任人以及响应的活动处理事先和事后风险应对分析跟踪风险应对成本监控关键风险指标监控风险应对的有效性和完整性风险暴露报告监控风险应对活动相关的工作流程风险计划风险管理的步骤自动过程处理的闭环基于角色的仪表盘和预警、和应对活动建立风险的目录和关键风险指标、以及阀值收集和整合跨企业的风险信息、了解关键风险指标的主要影响因子平衡风险机会和规避过程应对策略的成本产生新的价值从战略到风险集成的价值链绩效改进–为了实现可视化和公司治理的目标,改进绩效的跟踪、协同和报告。战略目标的落实–了解企业的战略目标并且确保用户访问绩效,利用数据和信息进行活动和项目的决策将风险目标和战略目标相结合目标设定情景分析方法风险防范一致性在方法论、风险偏好、阀值保持一致建立风险和活动的目录GRC报告库什么类型的风险我们需要跟踪?基于活动类型的风险建议将风险和企业的战略目标紧密连接起来可以客户化、事先预置了的风险指标定义风险目录KRI2成功的交易理赔客户的经历业务部门风险阀值的文档记录99,99%95%KRI1理赔准时率定义KRI目标和阀值全面风险管理识别和评估跨企业的所有关键风险对于手工风险活动的协同评估定性和定量的事件和情景分析在应对之前和之后的分析不断优化工作流利用风险“体温计”了解风险危害的优先级别应对需要投资的优先级识别迁移风险的特征自动风险识别SAPCRM将风险点嵌入到关键业务流程工作流确保了专家级风险评估的实现风险管理的工作流Automatingbusinessprocesses利用SAP的业务流程风险识别确认评估结果重新评估过程再研究风险评估风险预警角色之间互动的工作流程:风险识别的例子部门经理(确认者)项目经理(评估负责人)项目成员(报告的生成者)风险发送,等待审批发送等待审批发送并且等待审批输入项目的部门活动1批准或者拒绝批准或者拒绝风险诊断和输入项目的风险绩效风险评估,选择应对的负责人批准或者拒绝423查看当前风险的状态1243风险管理事件损失记录结果后验概率和影响估计详细的因果关系分析度量风险响应有效性风险管理事件损失要素过程查看者确认者报告人主计人人数据结构组织单元事件原因(风险)1nnm损失nm损失降低1m记录和事件分类客户化和开始确认和跟踪事件和损失报告事件记录/编辑事件进一步确认(过程处理)事件确认*可选步骤再工作要求拒绝完成工作流协同降低跨多个过程和风险目录的风险智能风险应对做进一步的风险智能决策错误的匹配了投保人和理赔人员工的健康和安全运营风险产品的消失供应商的失去没有满足CSOX合规没有满足证监会的要求主要的行业风险跟踪降低风险应对活动的状态应对状态的监控应对成本跟踪应对之前和之后的分析考察过程和目录产生的整合的全局风险FinanceSalesITSupply....企业级风险管理模型:风险应对输入优先级列表概率表潜在应对策略和活动列表输出目标概率目标影响风险活动计划,负责人风险残余风险合同能力概率和影响规模分析工具和技术风险数据收集控制资源:成本,时间和人力组织标准角色和责任损失阀值保险政策,现金准备风险评估:风险应对对于每一个风险,可以设计一个或者多个风险应对策略每个应对策略的数据需要输入:应对策略(接受,观察,分析,转换,委派,降低,见下一页)应对成本在后续分析时使用概率的百分比改变应对策略可以降低风险的概率例如:”降低5%”整体损失改变那个策略可以改变整体风险损失.例如:“降低$200,000”影响改变如果没有从整体损失改变驱动出发,那么应对策略可以改变整体的影响到什么地步例如:“降低1个级别”确认–批准风险和风险应对策略“风险确认”是一个观察、批准整个识别风险、分析风险和风险应对计划的一个过程确认处理发生在风险管理过程中确认的职责不能被授权风险确认者可以:批准评估拒绝单个风险(利用活动评论栏提供原因;注意拒绝的风险不可能被从新激活)确认:批准风险应对策略确认:批准风险应对策略保持信息在已有的业务流程中建立主动监控捕获事故和损失基于相关的风险,设定控制阀值从以前的经验中学习将经验集成风险管理手册高管层风险管理仪表盘合规的检查列表可能导致过低或者过高控制。建立基于每个业务过程的风险级别和相应风险的风险控制企业风险管理模型:风险监控输入目标概率/影响风险活动计划风险责任人输出对用活动应对活动计划修改应对计划新的识别风险结束风险风险报告能力风险考察状态分析审计控制资源:成本,时间和人力组织标准角色和责任风险管理报告选择强调个体化报告可视化仪表盘*PDF报告业务经理