——高顿观点
上篇:数字化风险认知及树立内控新思维一、探寻数字的本质 数字的特征- 数据海啸:瞬时产生大量数据- 数据异构:由结构化向半结构以及非结构化转变- 万物互联:数据的实时性- 数据关联:数字化程度越高,数据之间的关联程度越高- 数据流动:数据贯穿企业所有系统和流程 数字的变迁- 业务数字化 VS 数字业务化- IT的产出VS企业的资产- 静态、被动的VS动态、主动的- 基于项目 VS 基于计划/文化 数字与载体- 技术:移动互联、云计算、大数据、人工智能、物联网等 数字流动过程中的角色- 数字主体、控制者、使用者等
二、追本溯源,全面解析数字化风险 追本溯源:数字质量、数字合规、数字流动风险、与云相关 网络安全:技术运用、隐私保护、网络攻击、自适应管理 应用风险:操作中断、研发及部署能力、业务流程、运营能力等 公司治理:变革准备、数字化与传统理论衔接、IT 治理结构、组织结构设计、人才引进、培养机制、品牌声誉等
三、展望全局,树立数字化内控新思路 内控框架- COSO内控框架和COBIT框架- COBIT 2019框架重大变化和启发 最新政策发布- 以智能化和数字化的平台为载体- 以风险、内控、合规、监督评价“四位一体”管控机制为抓手- 以制度、流程、问责、绩效、预警五大体系为支撑- 贯穿流程的协同与制衡机制,监督评价与责任追究的管理闭环 数字化内控思维:- 基于风险而非基于事件- 将数字化风险管理拓展至企业战略、合规、业务、环境- 企业在设计数字化业务或系统时,同步设计内嵌的内部控制
中篇:数字化风险下内控体系设计四、数字化风险下内控顶层设计 新时期内控体系灵魂——“四个打通”,“三个维度”- “四个打通”:打通风险、内控、合规、监督评价关键节点,实现四者间联动、协同和价值最大化- “三个维度” :数据、流程、组织 如何基于业务流程搭建内控体系? 风险管理战略:量化风险,风险融入决策- 企业形成一套自上而下,对风险量化统一认识- 将风险融入战略规划与业务决策?从战略设计源头加入风险考量- 基于数据、模型、算法、技术的风险管理助力企业战略决策 构建风险偏好量化评估体系,前瞻性动态监控和预警不确定性风险 构建前瞻性、战略性、可量化的动态风险价值决策分析体系- 动态价值分析(DVA)- 最优策略制定(OSF)- 稳健决策(RDM)- 实施路径:不可控风险选择、建立风险模型与量化分析、应对策略价值分析 现代风险治理架构:业务联动、信息共享、三道防线协同与制衡- 管理闭环:企业应打通治理架构、风险、内控、合规及业务流程- 职责划分:厘清三道防线相关部门的职责划分- 授权管理、人员能力、系统平台、模型算法 基础支撑:排定优先级,工具系统推动风险透明度- 流程机制:界定关键风险流程,明确主责部门,将风险管理嵌入业务流程- 工具系统:优化风险数据治理,引入新技术,开发重点应用和系统- 人才引进:建立数字化人才序列,设计专业的培训体系 数字与现代技术的应用:新兴技术解决新型风险- 确定数据愿景、升级风险数据- 建立健全的数据治理、增强数据质量和元数据- 建立网络信息安全体系,安全等级定级- 利用大数据、云计算、人工智能等新兴技术 案例:某航集团在财务大数据监管下的财务内控数字化转型
下篇:数字化风险下内控体系实践
五、建立数字信任,打造数字生态:数字化风险治理体系 数字安全误区:- 把数据安全看作信息的载体安全- 只重视资产视角的数据访问层安全忽视数据使用和流动安全- 只重视资产视角的事前保护忽略生产过程视角的溯源追责体系- 用“数据生命周期”来做数据安全体系规划 数据治理机制的疑惑:- 如何制定明确的风险数据标准,定义明确的数据和字段需求?- 如何设立明确的数据治理要求,包括权责岗位、奖惩机制?- 如何设计合理的数据应用策略,不同场景下的数据导入源及导入策略? 数字化治理在不同阶段的聚焦点:- 数字化尝试期:传统业务中建通道、合规导向、跨部门协调、双模管理- 数字化发展期:建立共享服务中台、风险与价值导向、数字化领导力- 数字化成熟期:建立智能服务中台、基于智能分析的价值导向、动态决策 数字成熟度管理与评价:- DMM钻石模型框架 数据治理系统应用:- 构建数据图谱:数据扫描、数据打标、热词分析、数据归类技术- 发现自动化数据、识别数据关系识别,梳理数据资产- 智能化数据目录、数据集归- 监测数据表、字段变化,及时了解业务变化
六、建立企业信息安全体系 信息安全体系架构:- 管理体系:合规管理、安全管理、策略管理、风险管理- 运维体系:安全事件监控、响应、审计、外包服务- 技术体系:物理安全、网络安全、系统安全、应用安全、数据安全 信息安全内控流程:- 制定安全方针、成立组织机构明确职责分工、- 建立企业信息安全制度、文件体系、建立信息管理过程、- 组织信息安全管理条件与环境、信息安全管理审核、改进信息安全管理 组建内部网络安全团队:- 网络安全贯穿运营和研发过程- 网络安全团队深入业务,将安全和隐私保护纳入到企业新产品和服务中- 网络安全团队在网络风险和相关风险问题上能与董事会、管理层进行沟通- 将网络安全作为企业问题处理,而非将其归为IT问题- 使用自动化及AI、RPA或者物联网等新兴科技提高网络安全能力案例:某医药集团数字化安全信息内控体系搭建
董事长、总经理、副总经理,内控总监、内审总监、财务总监,内控、内审相关人员,企业数字化、信息化安全技术人员
想了解详细课程资料,欢迎致电400-111-0518;或者点击网页左侧的在线咨询图标,与客服人员交流!