信息技術(shù)環(huán)境下的內(nèi)部審計(jì)課件

信息技術(shù)環(huán)境下內(nèi)部審計(jì)信息技術(shù)環(huán)境下內(nèi)部審計(jì)1

內(nèi)部審計(jì)與信息系統(tǒng)審計(jì)信息系統(tǒng)審計(jì)是與內(nèi)部審計(jì)緊密結(jié)合的，最早的計(jì)算機(jī)審計(jì)來源于內(nèi)部審計(jì)內(nèi)部審計(jì)與信息系統(tǒng)審計(jì)信息系統(tǒng)審計(jì)是與內(nèi)部審計(jì)緊密結(jié)合的，2

一、信息系統(tǒng)審計(jì)的起源與發(fā)展

1.1國外：八十年代、九十年代信息技術(shù)的進(jìn)一步發(fā)展與普及，使得企業(yè)越來越依賴信息及信息系統(tǒng)。人們開始更多的關(guān)注信息系統(tǒng)的安全性、保密性、完整性及其實(shí)現(xiàn)企業(yè)目標(biāo)的效率、效果，真正意義的信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估與審計(jì)出現(xiàn)。

一、信息系統(tǒng)審計(jì)的起源與發(fā)展

1.1國外：3

1.信息系統(tǒng)審計(jì)的起源與發(fā)展

1.1國外：

信息系統(tǒng)審計(jì)與控制協(xié)會(huì)ISACA總部設(shè)在美國芝加哥。目前該組織在世界上100多個(gè)國家設(shè)有160多個(gè)分會(huì)，現(xiàn)有會(huì)員兩萬多人，它是從事信息系統(tǒng)審計(jì)的專業(yè)人員唯一的國際性組織。

1.信息系統(tǒng)審計(jì)的起源與發(fā)展

1.1國外：4

1.信息系統(tǒng)審計(jì)的起源與發(fā)展

1.1國外：

CISA是信息系統(tǒng)審計(jì)領(lǐng)域的唯一職業(yè)資格

ISACA每年舉辦CISA資格考試，通過考試的人員可以申請(qǐng)CISA資格，符合ISACA規(guī)定的工作經(jīng)驗(yàn)及其他相關(guān)要求的申請(qǐng)人會(huì)被授予CISA資格。CISA資格在世界各國都被廣泛的認(rèn)可。國內(nèi)獲得此資格的有三百多人。

1.信息系統(tǒng)審計(jì)的起源與發(fā)展

1.1國外：5

1.信息系統(tǒng)審計(jì)的起源與發(fā)展

1.2國內(nèi)：

1994年2月，我國頒布了《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，提出了計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)的要求。安全等級(jí)保護(hù)的總體目標(biāo)是確保信息安全和計(jì)算機(jī)信息系統(tǒng)安全正常運(yùn)行，保障：信息的完整性、可用性、保密性、抗抵賴性、可控性等（其中完整性、可用性、保密性為基本安全特性要求）。

1.信息系統(tǒng)審計(jì)的起源與發(fā)展

1.2國內(nèi)：6

1.信息系統(tǒng)審計(jì)的起源與發(fā)展

1.2國內(nèi)：

1994年2月，我國頒布了《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，提出信息的完整性、可用性、保密性、抗抵賴性、可控性等要求。1999年2月9日，我國正式成立了中國國家信息安全測評(píng)認(rèn)證中心。2002年4月15日全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（簡稱信息安全標(biāo)委會(huì)，TC260）。2005年12月16日國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組正式通過了《信息安全風(fēng)險(xiǎn)評(píng)估指南》。

1.信息系統(tǒng)審計(jì)的起源與發(fā)展

1.2國內(nèi)：7管理計(jì)劃與IS的組織信息資產(chǎn)的保護(hù)災(zāi)難備份與業(yè)務(wù)持續(xù)計(jì)劃技術(shù)基礎(chǔ)與操作實(shí)務(wù)業(yè)務(wù)應(yīng)用系統(tǒng)的開發(fā)取得實(shí)施與維護(hù)業(yè)務(wù)過程評(píng)價(jià)與風(fēng)險(xiǎn)管理

2.信息系統(tǒng)審計(jì)的內(nèi)容

管理計(jì)劃與IS的組織信息資產(chǎn)的保護(hù)災(zāi)難備份與業(yè)務(wù)持續(xù)計(jì)劃技術(shù)8一般控制靜態(tài)IS的構(gòu)成管理角度管理計(jì)劃與IS的組織(C2)技術(shù)角度技術(shù)基礎(chǔ)與操作實(shí)務(wù)(C3)IS的控制與安全正常情況信息資產(chǎn)的保護(hù)(C4)非常情況災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計(jì)劃(C5)動(dòng)態(tài)業(yè)務(wù)應(yīng)用系統(tǒng)的開發(fā)取得實(shí)施與維護(hù)(C6)應(yīng)用控制業(yè)務(wù)過程評(píng)價(jià)與風(fēng)險(xiǎn)管理(C7)

3.信息系統(tǒng)審計(jì)與內(nèi)部控制

管理角度管理計(jì)劃與IS的組織(C2)技術(shù)角度技術(shù)基礎(chǔ)與操作實(shí)9

4.信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù)

計(jì)算機(jī)系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)（TCSEC）由美國國防部于1985年公布的，是計(jì)算機(jī)系統(tǒng)信息安全評(píng)估的第一個(gè)正式標(biāo)準(zhǔn)。它把計(jì)算機(jī)系統(tǒng)的安全分為4類、7個(gè)級(jí)別，對(duì)用戶登錄、授權(quán)管理、訪問控制、審計(jì)跟蹤、隱蔽通道分析、可信通道建立、安全檢測、生命周期保障、文檔寫作、用戶指南等內(nèi)容提出了規(guī)范性要求。

4.信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù)

10

4.信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù)

信息技術(shù)安全評(píng)價(jià)的通用標(biāo)準(zhǔn)（CC）由六個(gè)國家（美、加、英、法、德、荷）于1996年聯(lián)合提出的，并逐漸形成國際標(biāo)準(zhǔn)ISO15408。該標(biāo)準(zhǔn)定義了評(píng)價(jià)信息技術(shù)產(chǎn)品和系統(tǒng)安全性的基本準(zhǔn)則.CC標(biāo)準(zhǔn)是第一個(gè)信息技術(shù)安全評(píng)價(jià)國際標(biāo)準(zhǔn)，它的發(fā)布對(duì)信息安全具有重要意義，是信息技術(shù)安全評(píng)價(jià)標(biāo)準(zhǔn)以及信息安全技術(shù)發(fā)展的一個(gè)重要里程碑。

4.信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù)

信息技術(shù)安全評(píng)價(jià)的11

4.信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù)

ISO13335標(biāo)準(zhǔn)首次給出了關(guān)于IT安全的保密性、完整性、可用性、審計(jì)性、認(rèn)證性、可靠性6個(gè)方面含義，并提出了以風(fēng)險(xiǎn)為核心的安全模型：企業(yè)的資產(chǎn)面臨很多威脅（包括來自內(nèi)部的威脅和來自外部的威脅）；利用信息系統(tǒng)存在的各種漏洞（如：物理環(huán)境、網(wǎng)絡(luò)服務(wù)、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)、相關(guān)人員、安全策略等），對(duì)信息系統(tǒng)進(jìn)行滲透和攻擊。

4.信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù)

12

4.信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù)

“信息系統(tǒng)和技術(shù)控制目標(biāo)”（COBIT）是IT治理的一個(gè)開放性標(biāo)準(zhǔn)，目前已成為國際上公認(rèn)的最先進(jìn)、最權(quán)威的安全與信息技術(shù)管理和控制的標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)為IT的治理、安全與控制提供了一個(gè)一般適用的公認(rèn)的標(biāo)準(zhǔn)，以輔助管理層進(jìn)行IT治理。該標(biāo)準(zhǔn)體系已在世界一百多個(gè)國家的重要組織與企業(yè)中運(yùn)用，指導(dǎo)這些組織有效利用信息資源，有效地管理與信息相關(guān)的風(fēng)險(xiǎn)。

4.信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù)

13

4.信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù)

4.信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù)

14

4.信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù)

4.信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù)

15

4.信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù)

4.信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù)

16

5.信息系統(tǒng)審計(jì)的過程

審計(jì)計(jì)劃和檢查：檢查被審計(jì)單位的IT政策、實(shí)務(wù)及組織結(jié)構(gòu)；檢查一般控制和應(yīng)用控制的情況；計(jì)劃控制測試和實(shí)質(zhì)性測試的程序；

5.信息系統(tǒng)審計(jì)的過程

17

5.信息系統(tǒng)審計(jì)的過程

控制測試：實(shí)施控制測試；評(píng)價(jià)測試結(jié)果；確定對(duì)控制的依賴程度；

5.信息系統(tǒng)審計(jì)的過程

18

5.信息系統(tǒng)審計(jì)的過程

實(shí)質(zhì)測試：實(shí)施實(shí)質(zhì)性測試；評(píng)價(jià)測試結(jié)果并簽發(fā)審計(jì)報(bào)告；審計(jì)報(bào)告

5.信息系統(tǒng)審計(jì)的過程

19

6.信息系統(tǒng)審計(jì)的技術(shù)

6.信息系統(tǒng)審計(jì)的技術(shù)

20內(nèi)部審計(jì)與IT治理內(nèi)部審計(jì)與IT治理21內(nèi)部審計(jì)方法戰(zhàn)略分析企業(yè)風(fēng)險(xiǎn)評(píng)估制定內(nèi)審計(jì)劃內(nèi)審項(xiàng)目執(zhí)行報(bào)告問題的解決和跟蹤規(guī)劃執(zhí)行內(nèi)部審計(jì)方法戰(zhàn)略分析企業(yè)風(fēng)險(xiǎn)評(píng)估制定內(nèi)審計(jì)劃內(nèi)審項(xiàng)目執(zhí)行報(bào)告22IT治理IT治理是信息系統(tǒng)審計(jì)和控制領(lǐng)域中一個(gè)相當(dāng)新的概念I(lǐng)T治理其定義匯集了以下3中觀點(diǎn)：Roberts.Roussey認(rèn)為：IT治理用于掃描被委托治理實(shí)體的人員在監(jiān)督、檢查、控制和指導(dǎo)實(shí)體的過程中如何看待信息技術(shù)。IT的引用對(duì)于組織能否達(dá)到他的遠(yuǎn)景、使命、戰(zhàn)略目標(biāo)至關(guān)重要。德勤定義如下：IT治理是一個(gè)含義廣泛的概率，包括信息系統(tǒng)、技術(shù)、通訊、商業(yè)、所有利益相關(guān)者、合法性和其他問題。國際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ISACA）定義如下：IT治理是一個(gè)由關(guān)系和過程所構(gòu)成的體制，用于知道如何控制企業(yè)，通過平衡信息技術(shù)與過程的風(fēng)險(xiǎn)、增加價(jià)值來確保實(shí)現(xiàn)企業(yè)的目標(biāo)。IT中國治理研究中心在綜合研究的基礎(chǔ)上提出如下定義：IT治理用于描述企業(yè)或征服是否采用有效的機(jī)制，使得IT引用能完成組織賦予的使命，同時(shí)平衡信息技術(shù)與過程的風(fēng)險(xiǎn)，確保實(shí)現(xiàn)組織的戰(zhàn)略目標(biāo)。IT治理23公司治理和IT治理公司治理是一個(gè)設(shè)計(jì)公司的管理層、董事會(huì)、股東和其他利益相關(guān)者之間的一整套關(guān)系體系，是在所有權(quán)和經(jīng)營權(quán)分離條件下，為解決所有者和經(jīng)營者因委托代理關(guān)系所產(chǎn)生的利益不一致，二建立起來的互相制衡機(jī)制，從而減低管理風(fēng)險(xiǎn)，實(shí)現(xiàn)組織目標(biāo)。IT治理關(guān)鍵因素是使IT與業(yè)務(wù)融合，以實(shí)現(xiàn)組織的業(yè)務(wù)價(jià)值。IT治理框架由一系列結(jié)構(gòu)、流程和相關(guān)機(jī)制組成。IT戰(zhàn)略委員會(huì)、風(fēng)險(xiǎn)管理和標(biāo)準(zhǔn)IT平衡記分卡。作為公司治理的一個(gè)重要組成部分，IT治理包含了確定企業(yè)如何應(yīng)用IT的一系列問題。因此，在整個(gè)企業(yè)治理中，評(píng)價(jià)IT治理成為越來越重要的內(nèi)容公司治理和IT治理24IT治理與內(nèi)部審計(jì)

內(nèi)部審計(jì)是一種獨(dú)立、客觀的保證，是為了機(jī)構(gòu)增加價(jià)值并提高機(jī)構(gòu)的運(yùn)行效率；它采用系統(tǒng)化、規(guī)范化的方法評(píng)價(jià)風(fēng)險(xiǎn)管理、控制及治理過程并提高其效率，從而幫助實(shí)現(xiàn)組織目標(biāo)。關(guān)于內(nèi)部審計(jì)在IT治理過程中的職責(zé)，美國的《薩班斯—奧克斯萊法》有明確規(guī)定，在美國上市公司內(nèi)部審計(jì)師應(yīng)幫助管理層對(duì)公司IT應(yīng)用控制和IT一般性控制進(jìn)行評(píng)估并出具報(bào)告。IT治理與內(nèi)部審計(jì)

內(nèi)部審計(jì)是一種獨(dú)立、客觀的保證，是為了機(jī)25IT治理標(biāo)準(zhǔn)

一個(gè)有效的IT治理架構(gòu)需要理解組織的核心競爭力，并且在商業(yè)目標(biāo)，治理原型，業(yè)務(wù)績效目標(biāo)之間維持平衡，進(jìn)而提出IT治理框架，指定決策以及如何在關(guān)鍵的信息技術(shù)領(lǐng)域去確定。IT治理標(biāo)準(zhǔn)

一個(gè)有效的IT治理架構(gòu)需要理解組織的核心競爭力26企業(yè)風(fēng)險(xiǎn)管理的必要性企業(yè)風(fēng)險(xiǎn)管理的必要性27案例一：美國安然公司(Enron)在2002年，安然是美國最大的石油和天然氣企業(yè)之一2001年末，安然宣布第三季度錄得6.4億美元的虧損，美國證監(jiān)會(huì)對(duì)該公司進(jìn)行調(diào)查，發(fā)現(xiàn)該公司在1997以來虛報(bào)利潤5.8億美元2001年末，安然申請(qǐng)破產(chǎn)保護(hù)令，但在之前10個(gè)月內(nèi)，公司卻因股票價(jià)格超越預(yù)期目標(biāo)而向董事及高級(jí)管理人員發(fā)放3.2億美元的紅利案例一：美國安然公司(Enron)在2002年，安然是美國28調(diào)查發(fā)現(xiàn)：安然的董事會(huì)及審計(jì)委員會(huì)均采取不干預(yù)(“hands-off”)監(jiān)控政策事件發(fā)生之后，部分董事表示不太了解安然的財(cái)務(wù)狀況、期貨及期權(quán)的業(yè)務(wù)安然重視短期的業(yè)績指標(biāo)安然管理高層常常藐視或推翻公司制定的內(nèi)控制度調(diào)查發(fā)現(xiàn)：29企業(yè)風(fēng)險(xiǎn)管理框架企業(yè)風(fēng)險(xiǎn)管理框架30什么是風(fēng)險(xiǎn)管理？企業(yè)風(fēng)險(xiǎn)管理是一套由企業(yè)董事會(huì)與管理層共同設(shè)立、和與企業(yè)戰(zhàn)略相結(jié)合的管理流程。它的功能是識(shí)別那些會(huì)影響企業(yè)運(yùn)作的潛在事件和把相關(guān)的風(fēng)險(xiǎn)管理到一個(gè)企業(yè)可接受的水平，從而幫助企業(yè)達(dá)至它的目標(biāo)。 美國內(nèi)控研究委員會(huì)什么是風(fēng)險(xiǎn)管理？企業(yè)風(fēng)險(xiǎn)管理是一套由企業(yè)董事會(huì)與管理層共同31企業(yè)為何要建立風(fēng)險(xiǎn)管理？因?yàn)槠髽I(yè)的股東與管理層常常要面對(duì)一些令他們寢食難安的問題。因此，企業(yè)需要系統(tǒng)化地建立一套風(fēng)險(xiǎn)管理體制，從而識(shí)別影響企業(yè)盈利的關(guān)鍵因素，并對(duì)那些會(huì)影響企業(yè)達(dá)標(biāo)的風(fēng)險(xiǎn)進(jìn)行監(jiān)控及管理企業(yè)為何要建立風(fēng)險(xiǎn)管理？因?yàn)槠髽I(yè)的股東與管理層常常要面對(duì)一些32股東對(duì)企業(yè)風(fēng)險(xiǎn)管理最關(guān)心的四個(gè)問題：企業(yè)知道它所面對(duì)的主要風(fēng)險(xiǎn)嗎？ 例如：什么風(fēng)險(xiǎn)正在或?qū)?huì)影響企業(yè)的業(yè)務(wù)？企業(yè)的品牌新產(chǎn)品、新市場的開發(fā)戰(zhàn)略聯(lián)盟客戶或供應(yīng)鏈的管理理想的情況： 企業(yè)能開發(fā)一套標(biāo)準(zhǔn)的、共通的風(fēng)險(xiǎn)語言，從而識(shí)別企業(yè)所面對(duì)的風(fēng)險(xiǎn)，并就其嚴(yán)重的程度進(jìn)行排序。共通的風(fēng)險(xiǎn)語言亦有利于企業(yè)上下層就風(fēng)險(xiǎn)的管理進(jìn)行溝通股東對(duì)企業(yè)風(fēng)險(xiǎn)管理最關(guān)心的四個(gè)問題：企業(yè)知道它所面對(duì)的主要風(fēng)33企業(yè)是否已對(duì)這些風(fēng)險(xiǎn)設(shè)置內(nèi)部控制？ 企業(yè)需要就各業(yè)務(wù)單位在日常運(yùn)作中所面對(duì)的風(fēng)險(xiǎn)(戰(zhàn)略性風(fēng)險(xiǎn)、業(yè)務(wù)性風(fēng)險(xiǎn)、流程性風(fēng)險(xiǎn))，構(gòu)建內(nèi)部控制(包括預(yù)防性控制及覺察性控制)，以確保企業(yè)能實(shí)現(xiàn)目標(biāo)和符合各方面的法律、法規(guī)理想的情況： 企業(yè)就其所面對(duì)的風(fēng)險(xiǎn)和采取的內(nèi)控，編制一套完整的文檔，并借鑒國際最佳的實(shí)務(wù)不斷進(jìn)行檢討

企業(yè)是否已對(duì)這些風(fēng)險(xiǎn)設(shè)置內(nèi)部控制？理想的情況： 企業(yè)就其所面34企業(yè)的內(nèi)部控制有效嗎？ 企業(yè)要對(duì)其內(nèi)控系統(tǒng)不間斷地進(jìn)行監(jiān)控和測試，以確保其對(duì)風(fēng)險(xiǎn)控制的能力理想的情況： 企業(yè)把各類風(fēng)險(xiǎn)控制在可接受的水平，并在這基準(zhǔn)上賺取合理的回報(bào)

企業(yè)的內(nèi)部控制有效嗎？理想的情況： 企業(yè)把各類風(fēng)險(xiǎn)控制在可接35哪一些內(nèi)部控制必須改進(jìn)？ 企業(yè)內(nèi)部和內(nèi)部環(huán)境的變化會(huì)不停地影響企業(yè)所面對(duì)的風(fēng)險(xiǎn)和所應(yīng)采取的監(jiān)控措施理想的情況： 企業(yè)能建立一套具前瞻性的信息管理系統(tǒng)和預(yù)警系統(tǒng)，使企業(yè)能及時(shí)識(shí)別新生的風(fēng)險(xiǎn)，并對(duì)相關(guān)的業(yè)務(wù)計(jì)劃、政策和程序進(jìn)行修正

哪一些內(nèi)部控制必須改進(jìn)？理想的情況： 企業(yè)能建立一套具前瞻性36企業(yè)風(fēng)險(xiǎn)管理框架一個(gè)基礎(chǔ)三道防線管理層CEO第三道防線第二道防線第一道防線業(yè)務(wù)部門董事會(huì)風(fēng)險(xiǎn)管理內(nèi)部審計(jì)審計(jì)委員會(huì)風(fēng)險(xiǎn)管理委員會(huì)企業(yè)風(fēng)險(xiǎn)管理框架一個(gè)基礎(chǔ)管理層第三道防線第二道防線第一道防線37風(fēng)險(xiǎn)管理總目標(biāo)一、全面風(fēng)險(xiǎn)管理的目標(biāo)-38-

財(cái)務(wù)報(bào)告真實(shí)可靠確保內(nèi)外部，尤其是企業(yè)與股東之間實(shí)現(xiàn)真實(shí)、可靠的信息溝通，包括編制和提供真實(shí)、可靠的財(cái)務(wù)報(bào)告；合規(guī)合法確保遵守有關(guān)法律法規(guī)；高效運(yùn)營確保企業(yè)有關(guān)規(guī)章制度和為實(shí)現(xiàn)經(jīng)營目標(biāo)而采取重大措施的貫徹執(zhí)行，保障經(jīng)營管理的有效性，提高經(jīng)營活動(dòng)的效率和效果，降低實(shí)現(xiàn)經(jīng)營目標(biāo)的不確定性；與戰(zhàn)略目標(biāo)一致確保將風(fēng)險(xiǎn)控制在與總體目標(biāo)相適應(yīng)并可承受的范圍內(nèi)；應(yīng)對(duì)突發(fā)事件防止重大損失確保企業(yè)建立針對(duì)各項(xiàng)重大風(fēng)險(xiǎn)發(fā)生后的危機(jī)處理計(jì)劃，保護(hù)企業(yè)不因?yàn)?zāi)害性風(fēng)險(xiǎn)或人為失誤而遭受重大損失。

風(fēng)險(xiǎn)管理總體目標(biāo)風(fēng)險(xiǎn)管理總目標(biāo)一、全面風(fēng)險(xiǎn)管理的目標(biāo)-38-財(cái)務(wù)報(bào)告真38公司治理與風(fēng)險(xiǎn)管理有什么關(guān)系？公司治理是風(fēng)險(xiǎn)管理的一個(gè)必要的組成部份，因?yàn)樗峁┝藢?duì)風(fēng)險(xiǎn)由上而下的監(jiān)控與管理近年多個(gè)國家都訂立了公司治理的最佳守則：美國：紐約證交所最佳治理守則英國：Cadbury/HampelReport、TheCombinedCode加拿大：DeyReportOECDReport 這些最佳守則均清楚指出建立風(fēng)險(xiǎn)管理是董事會(huì)及管理層的責(zé)任公司治理與風(fēng)險(xiǎn)管理有什么關(guān)系？公司治理是風(fēng)險(xiǎn)管理的一個(gè)必要的39如何構(gòu)建一個(gè)有利風(fēng)險(xiǎn)管理的公司治理結(jié)構(gòu)？建立一個(gè)健全的、以董事會(huì)為首的公司治理結(jié)構(gòu)訂立企業(yè)的目標(biāo)和戰(zhàn)略，包括企業(yè)的風(fēng)險(xiǎn)政策和極限貫徹一套重視風(fēng)險(xiǎn)管理的企業(yè)文化和價(jià)值觀如何構(gòu)建一個(gè)有利風(fēng)險(xiǎn)管理的公司治理結(jié)構(gòu)？建立一個(gè)健全的、以董40第一道防線：業(yè)務(wù)單位防線業(yè)務(wù)單位包含了企業(yè)大部分的資產(chǎn)和業(yè)務(wù)，它們在日常工作中面對(duì)各類的風(fēng)險(xiǎn)，是企業(yè)的前線企業(yè)必須把風(fēng)險(xiǎn)管理的手段和內(nèi)控程序融入到業(yè)務(wù)單位的工作與流程中，才能建立好防范風(fēng)險(xiǎn)的第一道防線第一道防線：業(yè)務(wù)單位防線業(yè)務(wù)單位包含了企業(yè)大部分的資產(chǎn)和業(yè)務(wù)41如何建立第一道防線了解企業(yè)戰(zhàn)略目標(biāo)及可能影響企業(yè)達(dá)標(biāo)的風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)類別對(duì)相關(guān)風(fēng)險(xiǎn)作出評(píng)估決定轉(zhuǎn)移、避免或減低風(fēng)險(xiǎn)的策略計(jì)設(shè)及實(shí)施風(fēng)險(xiǎn)策略的相關(guān)內(nèi)部控制如何建立第一道防線42(風(fēng)險(xiǎn)宇宙TM)資信制度知識(shí)產(chǎn)權(quán)財(cái)務(wù)流動(dòng)資產(chǎn)與信貸資本結(jié)構(gòu)市場財(cái)務(wù)報(bào)告營運(yùn)法律生產(chǎn)程序營商環(huán)境市場結(jié)構(gòu)民風(fēng)與文化管治策略董事會(huì)活動(dòng)交易并購變賣聲譽(yù)道德社區(qū)責(zé)任風(fēng)險(xiǎn)管理董事會(huì)及管理層業(yè)績組織結(jié)構(gòu)監(jiān)察與溝通執(zhí)行籌劃與開發(fā)利益有關(guān)方供應(yīng)商政府顧客股東經(jīng)濟(jì)情況國家情況市場變化競爭對(duì)手人才資源雇員溝通有形資產(chǎn)機(jī)器、廠房與土地其他有形資產(chǎn)負(fù)債合約法規(guī)市場與銷售生產(chǎn)及流通商品/服務(wù)開發(fā)流程估值與選擇買家評(píng)估與甄選盡職調(diào)查并購后整合資信管理運(yùn)營組織與監(jiān)察硬件軟件網(wǎng)絡(luò)無形資產(chǎn)知識(shí)管理信息現(xiàn)金管理對(duì)沖融資股東資本債務(wù)商品利率外匯稅務(wù)會(huì)計(jì)合規(guī)風(fēng)險(xiǎn)宇宙(風(fēng)險(xiǎn)宇宙TM)資信制度知識(shí)產(chǎn)權(quán)財(cái)務(wù)流動(dòng)資產(chǎn)與資本結(jié)構(gòu)市場43戰(zhàn)略性風(fēng)險(xiǎn)是指公司因作出戰(zhàn)略性錯(cuò)誤的決定而導(dǎo)致經(jīng)濟(jì)上的損失戰(zhàn)略性風(fēng)險(xiǎn)是業(yè)務(wù)單位、高級(jí)管理層和董事會(huì)的共同責(zé)任常見的戰(zhàn)略性風(fēng)險(xiǎn)包括：企業(yè)的目標(biāo)與方針市場潛在的威脅業(yè)務(wù)的范圍(深度與廣度)品牌及形象的建立戰(zhàn)略性風(fēng)險(xiǎn)與戰(zhàn)略性伙伴的合作投資和融資的策略員工的素質(zhì)和雇員關(guān)系企業(yè)的信息及監(jiān)控系統(tǒng)戰(zhàn)略性風(fēng)險(xiǎn)是指公司因作出戰(zhàn)略性錯(cuò)誤的決定而導(dǎo)致經(jīng)濟(jì)上的損失戰(zhàn)44市場風(fēng)險(xiǎn)是指因市場價(jià)格或利率波動(dòng)而使公司產(chǎn)生經(jīng)濟(jì)損失的風(fēng)險(xiǎn)構(gòu)成市場風(fēng)險(xiǎn)的三大因素：因買賣或投資金融產(chǎn)品而產(chǎn)生的風(fēng)險(xiǎn)因資產(chǎn)與負(fù)債錯(cuò)配、或原材料與產(chǎn)成品價(jià)格不能同步浮動(dòng)而產(chǎn)生的風(fēng)險(xiǎn)資金流動(dòng)性風(fēng)險(xiǎn)常見的市場風(fēng)險(xiǎn)包括：利率風(fēng)險(xiǎn)外匯風(fēng)險(xiǎn)股票與債券市場風(fēng)險(xiǎn)商品價(jià)格風(fēng)險(xiǎn)期貨、期權(quán)與衍生工具風(fēng)險(xiǎn)市場風(fēng)險(xiǎn)市場風(fēng)險(xiǎn)是指因市場價(jià)格或利率波動(dòng)而使公司產(chǎn)生經(jīng)濟(jì)損失的風(fēng)險(xiǎn)市45操作風(fēng)險(xiǎn)是指企業(yè)內(nèi)部流程、人為錯(cuò)誤或外部因素而令公司產(chǎn)生經(jīng)濟(jì)損失的風(fēng)險(xiǎn)，它包括了公司的流程風(fēng)險(xiǎn)、人為風(fēng)險(xiǎn)、系統(tǒng)風(fēng)險(xiǎn)、事件風(fēng)險(xiǎn)和業(yè)務(wù)風(fēng)險(xiǎn)等流程風(fēng)險(xiǎn)是指交易流程中出現(xiàn)錯(cuò)誤而引致?lián)p失的風(fēng)險(xiǎn)，流程包括如：銷售、定價(jià)、記錄、確認(rèn)、出貨/提供服務(wù)等環(huán)節(jié)。流程風(fēng)險(xiǎn)也包括合規(guī)性風(fēng)險(xiǎn)人為風(fēng)險(xiǎn)概指因員工缺乏知識(shí)和能力、缺乏誠信或道德操守而引致?lián)p失的風(fēng)險(xiǎn)系統(tǒng)風(fēng)險(xiǎn)是指因系統(tǒng)失靈、數(shù)據(jù)的存取和處理、系統(tǒng)的安全和可用性、系統(tǒng)的非法接入與使用而引致?lián)p失的風(fēng)險(xiǎn)事件風(fēng)險(xiǎn)是指因內(nèi)部或外部欺詐、市場扭曲、人為或自然災(zāi)害而引致?lián)p失的風(fēng)險(xiǎn)業(yè)務(wù)風(fēng)險(xiǎn)是指因市場或競爭環(huán)境出現(xiàn)預(yù)期以外的變化而引致?lián)p失的風(fēng)險(xiǎn)，所涉及的問題包括市場策略、客戶管理、產(chǎn)品開發(fā)、銷售渠道和定價(jià)等領(lǐng)域操作風(fēng)險(xiǎn)操作風(fēng)險(xiǎn)是指企業(yè)內(nèi)部流程、人為錯(cuò)誤或外部因素而令公司產(chǎn)生經(jīng)濟(jì)46風(fēng)險(xiǎn)發(fā)生的可能性評(píng)分可能性說明5幾乎肯定在未來12個(gè)月內(nèi)，這項(xiàng)風(fēng)險(xiǎn)幾乎肯定會(huì)出現(xiàn)至少1次4極可能在未來12個(gè)月，這項(xiàng)風(fēng)險(xiǎn)極可能出現(xiàn)1次3可能在未來2至10年內(nèi)，這項(xiàng)風(fēng)險(xiǎn)可能出現(xiàn)1次2低在未來10至100年內(nèi)，這項(xiàng)風(fēng)險(xiǎn)可能出現(xiàn)至少1次1極低這項(xiàng)風(fēng)險(xiǎn)出現(xiàn)的可能性極低，估計(jì)在100年內(nèi)出現(xiàn)的可能性少于1次風(fēng)險(xiǎn)發(fā)生的可能性評(píng)分可能性說明5幾乎肯定在未來12個(gè)月內(nèi)，這47評(píng)分損失程度說明5災(zāi)難令企業(yè)失去繼續(xù)運(yùn)作的能力(或占稅前利潤達(dá)20%)4重大對(duì)于企業(yè)在爭取完成其策略性計(jì)劃和目標(biāo)，造成重大影響(5-10%稅前利潤)3中等對(duì)于企業(yè)在爭取完成其策略性計(jì)劃和目標(biāo)的過程，在一定程度上造成阻礙(至5%稅前利潤)2輕微對(duì)于企業(yè)在爭取完成其策略性計(jì)劃和目標(biāo)，只造成輕微影響(至1%稅前利潤)1近乎沒有影響程度十分輕微風(fēng)險(xiǎn)對(duì)企業(yè)造成的影響評(píng)分損失程度說明5災(zāi)難令企業(yè)失去繼續(xù)運(yùn)作的能力(或占稅前利潤48評(píng)分有效性說明5極度過頭處理方法能直接針對(duì)該項(xiàng)風(fēng)險(xiǎn)，但相信會(huì)令企業(yè)業(yè)績“倒退”或成本過高4過頭處理方法能直接針對(duì)該項(xiàng)風(fēng)險(xiǎn)，但由于需要投入大量資源或/及將其他資源轉(zhuǎn)到處理該項(xiàng)風(fēng)險(xiǎn)上，會(huì)對(duì)企業(yè)的效率造成影響3適中處理方法有效針對(duì)該項(xiàng)風(fēng)險(xiǎn)，同時(shí)并不影響企業(yè)的效率2低效處理方法針對(duì)該項(xiàng)風(fēng)險(xiǎn)的效果不理想，或投入處理該風(fēng)險(xiǎn)的資源不充分或/及對(duì)投入的資源未有適當(dāng)利用1近乎沒有效果處理方法的效果十分低，可能是由于企業(yè)根本沒有處理方法，又或處理手法不當(dāng)風(fēng)險(xiǎn)處理方法的效果評(píng)分有效性說明5極度過頭處理方法能直接針對(duì)該項(xiàng)風(fēng)險(xiǎn)，但相信會(huì)49風(fēng)險(xiǎn)地圖(或風(fēng)險(xiǎn)共同語言)影響程度近乎沒有輕微中等重大災(zāi)難幾乎肯定極可能可能低極低BCAGIDJKHEF可能性說明:A–人力資源風(fēng)險(xiǎn)B–財(cái)務(wù)風(fēng)險(xiǎn)C–競爭風(fēng)險(xiǎn)D–開發(fā)風(fēng)險(xiǎn)E–過度自信風(fēng)險(xiǎn)F–系統(tǒng)故障風(fēng)險(xiǎn)G–主要客戶風(fēng)險(xiǎn)H–欺詐風(fēng)險(xiǎn)I–政治風(fēng)險(xiǎn)J–薪酬獎(jiǎng)勵(lì)風(fēng)險(xiǎn)K–科技風(fēng)險(xiǎn)風(fēng)險(xiǎn)地圖(或風(fēng)險(xiǎn)共同語言)影響程度近乎沒有輕微中等重大災(zāi)難幾50大型集團(tuán)風(fēng)險(xiǎn)管理分析風(fēng)險(xiǎn)控制地圖大型集團(tuán)風(fēng)險(xiǎn)管理分析風(fēng)險(xiǎn)控制地圖51風(fēng)險(xiǎn)處理組合

處理評(píng)級(jí)風(fēng)險(xiǎn)評(píng)級(jí)近乎沒有效果低效適中超標(biāo)極度極高高中等低BCAGIDJKHE說明:A–人力資源風(fēng)險(xiǎn)B–財(cái)務(wù)風(fēng)險(xiǎn)C–競爭風(fēng)險(xiǎn)D–開發(fā)風(fēng)險(xiǎn)E–過度自信風(fēng)險(xiǎn)F–系統(tǒng)故障風(fēng)險(xiǎn)G–主要客戶風(fēng)險(xiǎn)H–欺詐風(fēng)險(xiǎn)I–政治風(fēng)險(xiǎn)J–薪酬獎(jiǎng)勵(lì)風(fēng)險(xiǎn)K–科技風(fēng)險(xiǎn)F采取行動(dòng)密切監(jiān)控定期審閱風(fēng)險(xiǎn)處理組合處理評(píng)級(jí)風(fēng)險(xiǎn)評(píng)級(jí)近乎沒有效果低效適中超標(biāo)52風(fēng)險(xiǎn)處理策略影響程度可能性轉(zhuǎn)移避免小心管理可接受大小高低風(fēng)險(xiǎn)處理策略影響程度可能性轉(zhuǎn)移避免小心管理可接受大小高低53風(fēng)險(xiǎn)策略避免禁止交易減少或限制交易量離開市場轉(zhuǎn)移套期保險(xiǎn)策略性聯(lián)盟其他分擔(dān)風(fēng)險(xiǎn)的安排小心管理投資廣泛保護(hù)的安排訂價(jià)反映風(fēng)險(xiǎn)程度可接受自我保險(xiǎn)預(yù)留儲(chǔ)備增加監(jiān)督風(fēng)險(xiǎn)處理策略影響程度大小可能性轉(zhuǎn)移避免小心管理可接受高低風(fēng)險(xiǎn)策略小心管理風(fēng)險(xiǎn)處理策略影響程度大小可能性轉(zhuǎn)移避免小心管54企業(yè)建立的第一道防線，就是要各業(yè)務(wù)單位就其戰(zhàn)略性風(fēng)險(xiǎn)、信貸風(fēng)險(xiǎn)、市場風(fēng)場和操作風(fēng)險(xiǎn)等等，系統(tǒng)化地進(jìn)行分析、確認(rèn)、度量、管理和監(jiān)控企業(yè)需要把評(píng)估風(fēng)險(xiǎn)與內(nèi)控措施的結(jié)果進(jìn)行記錄和存檔，對(duì)內(nèi)控措施的有效性不斷進(jìn)行測試和更新第一道防線：總結(jié)管理層CEO第三道防線第二道防線第一道防線業(yè)務(wù)部門董事會(huì)風(fēng)險(xiǎn)管理內(nèi)部審計(jì)審計(jì)委員會(huì)風(fēng)險(xiǎn)管理委員會(huì)企業(yè)建立的第一道防線，就是要各業(yè)務(wù)單位就其戰(zhàn)略性風(fēng)險(xiǎn)、信貸風(fēng)55第二道防線：風(fēng)險(xiǎn)管理單位防線第二道防線是在業(yè)務(wù)單位之上建立一個(gè)更高層次的風(fēng)險(xiǎn)管理功能，它的組成部份可能包括風(fēng)險(xiǎn)管理部門、信貸審批委員會(huì)、投資審批委員會(huì)風(fēng)險(xiǎn)管理部的責(zé)任是領(lǐng)導(dǎo)和協(xié)調(diào)公司內(nèi)各單位在管理風(fēng)險(xiǎn)方面的工作，它的職責(zé)包括：編制規(guī)章制度對(duì)各業(yè)務(wù)單位的風(fēng)險(xiǎn)進(jìn)行組合管理度量風(fēng)險(xiǎn)和評(píng)估風(fēng)險(xiǎn)的界限建立風(fēng)險(xiǎn)信息系統(tǒng)和預(yù)警系統(tǒng)、厘定關(guān)鍵風(fēng)險(xiǎn)指標(biāo)負(fù)責(zé)風(fēng)險(xiǎn)信息披露、溝通、協(xié)調(diào)員工培訓(xùn)和學(xué)習(xí)的工作按風(fēng)險(xiǎn)與回報(bào)的分析，為各業(yè)務(wù)單位分配經(jīng)濟(jì)資本金第二道防線：風(fēng)險(xiǎn)管理單位防線第二道防線是在業(yè)務(wù)單位之上建立一56“內(nèi)部審計(jì)是一項(xiàng)獨(dú)立、客觀的審查和咨詢活動(dòng)，其目的在于增加企業(yè)的價(jià)值和改進(jìn)經(jīng)營。內(nèi)審?fù)ㄟ^系統(tǒng)的方法，評(píng)價(jià)和改進(jìn)企業(yè)的風(fēng)險(xiǎn)管理、控制和治理流程的效益，幫助企業(yè)實(shí)現(xiàn)其目標(biāo)?！泵绹鴥?nèi)部審計(jì)師協(xié)會(huì)第三道防線：內(nèi)審單位防線第三道防線涉及一個(gè)獨(dú)立于業(yè)務(wù)單位的部門，監(jiān)控企業(yè)內(nèi)控和其他企業(yè)關(guān)心的問題內(nèi)部審計(jì)的定義：“內(nèi)部審計(jì)是一項(xiàng)獨(dú)立、客觀的審查和咨詢活動(dòng)，其目的在于增加企57內(nèi)部審計(jì)的三大功能財(cái)務(wù)監(jiān)督財(cái)務(wù)帳的可用性內(nèi)部管理和制度的執(zhí)行典型例子：檢查分、子公司上報(bào)總部的財(cái)務(wù)報(bào)表的 準(zhǔn)確性以及執(zhí)行財(cái)務(wù)管理政策的情況經(jīng)營診斷管理審計(jì)以及效率和效益審計(jì)檢查和診斷經(jīng)營和管理過程中的偏差和失誤典型例子： 企業(yè)對(duì)某業(yè)務(wù)單位或某部門執(zhí)行效益審計(jì) (一個(gè)輸入與產(chǎn)出的關(guān)系)內(nèi)部審計(jì)的三大功能財(cái)務(wù)監(jiān)督58咨詢顧問企業(yè)風(fēng)險(xiǎn)管理和發(fā)展策略方面的咨詢調(diào)查領(lǐng)導(dǎo)關(guān)心的熱點(diǎn)問題和管理薄弱環(huán)節(jié)典型例子： 兼并收購時(shí)調(diào)查被投資公司的內(nèi)部管理和 流程操作，了解薄弱環(huán)節(jié)或其他影響并購 交易的重大事項(xiàng)，從而確定管理方法和 并購策略咨詢顧問59構(gòu)建企業(yè)風(fēng)險(xiǎn)管理的關(guān)鍵成功要素1.

股東確立對(duì)企業(yè)監(jiān)督的機(jī)制，考慮是否需要在集團(tuán)層面：引入以董事會(huì)領(lǐng)導(dǎo)的管理體制聘任有經(jīng)驗(yàn)的外部董事，來加強(qiáng)對(duì)企業(yè)的監(jiān)督要求企業(yè)建立風(fēng)險(xiǎn)管理和內(nèi)控系統(tǒng)，并對(duì)其運(yùn)作及有效性作出定期的匯報(bào)構(gòu)建企業(yè)風(fēng)險(xiǎn)管理的關(guān)鍵成功要素1. 股東確立對(duì)企業(yè)監(jiān)督的機(jī)制602. 管理高層的支持和參與確立方向和目標(biāo)營造必要的環(huán)境為平衡風(fēng)險(xiǎn)與回報(bào)作出戰(zhàn)略性的決定風(fēng)險(xiǎn)回報(bào)風(fēng)險(xiǎn)與回報(bào)成正比？風(fēng)險(xiǎn)調(diào)整風(fēng)險(xiǎn)后的回報(bào)冒險(xiǎn)程度

–不夠進(jìn)取冒險(xiǎn)程度–高危冒險(xiǎn)程度–理想范圍2. 管理高層的支持和參與風(fēng)險(xiǎn)回報(bào)風(fēng)險(xiǎn)與回報(bào)成正比？風(fēng)險(xiǎn)調(diào)整613. 建立風(fēng)險(xiǎn)管理文化風(fēng)險(xiǎn)管理的手段，必須融入日常的管理流程通過討論和培訓(xùn)，使風(fēng)險(xiǎn)管理的實(shí)施得到“全民”的支持通過經(jīng)驗(yàn)的分享，不斷加強(qiáng)風(fēng)險(xiǎn)管理的認(rèn)同性4. 采用先進(jìn)的風(fēng)險(xiǎn)管理的實(shí)施方法借鑒如美國Treadway委員會(huì)所提出的COSO內(nèi)控框架采用各種識(shí)別和度量風(fēng)險(xiǎn)的先進(jìn)的方法采用標(biāo)準(zhǔn)的模板和程序確認(rèn)風(fēng)險(xiǎn)、評(píng)估風(fēng)險(xiǎn)、建立記錄和文檔、參考國際最佳實(shí)務(wù)，構(gòu)建信息管理系統(tǒng)和預(yù)警系統(tǒng)3. 建立風(fēng)險(xiǎn)管理文化62二、大型集團(tuán)風(fēng)險(xiǎn)管理分析形成了中國神華風(fēng)險(xiǎn)管理文化二、大型集團(tuán)風(fēng)險(xiǎn)管理分析形成了中國神華風(fēng)險(xiǎn)管理文化63大型集團(tuán)風(fēng)險(xiǎn)管理分析-64-大型集團(tuán)風(fēng)險(xiǎn)管理分析-64-64內(nèi)部控制與風(fēng)險(xiǎn)管理、企業(yè)管理的關(guān)系風(fēng)險(xiǎn)評(píng)估外部審計(jì)內(nèi)部控制控制環(huán)境內(nèi)部審計(jì)控制活動(dòng)信息溝通持續(xù)監(jiān)控風(fēng)險(xiǎn)管理目標(biāo)設(shè)定風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)應(yīng)對(duì)企業(yè)管理各項(xiàng)經(jīng)營管理活動(dòng)，如戰(zhàn)略管理、人力資源管理、財(cái)務(wù)管理、資產(chǎn)管理等風(fēng)險(xiǎn)戰(zhàn)略治理結(jié)構(gòu)組織體系風(fēng)險(xiǎn)理財(cái)正確認(rèn)識(shí)內(nèi)控與審計(jì)、風(fēng)險(xiǎn)管理、企業(yè)管理的關(guān)系-65-內(nèi)部控制與風(fēng)險(xiǎn)管理、企業(yè)管理的關(guān)系風(fēng)險(xiǎn)評(píng)估外部審計(jì)內(nèi)部控制控65內(nèi)部控制系統(tǒng)與風(fēng)險(xiǎn)管理、企業(yè)管理的關(guān)系風(fēng)險(xiǎn)管理利用風(fēng)險(xiǎn)評(píng)估方法發(fā)現(xiàn)企業(yè)固有風(fēng)險(xiǎn)評(píng)價(jià)其可能性或者損失用內(nèi)部控制的措施進(jìn)行控制得到企業(yè)的剩余風(fēng)險(xiǎn)固有風(fēng)險(xiǎn)-內(nèi)部控制=剩余風(fēng)險(xiǎn)企業(yè)的剩余風(fēng)險(xiǎn)企業(yè)對(duì)風(fēng)險(xiǎn)的容忍度內(nèi)部控制系統(tǒng)與風(fēng)險(xiǎn)管理、企業(yè)管理的關(guān)系風(fēng)險(xiǎn)管理66企業(yè)價(jià)值地圖-67-企業(yè)價(jià)值地圖-67-67信息技術(shù)環(huán)境下的內(nèi)部審計(jì)課件68華電財(cái)務(wù)風(fēng)險(xiǎn)管理建設(shè)方案1、全面風(fēng)險(xiǎn)管理解決方案2、財(cái)務(wù)風(fēng)險(xiǎn)管理解決方案

1)、目標(biāo)管理； 2)、風(fēng)險(xiǎn)體系； 3)、風(fēng)險(xiǎn)識(shí)別； 4)、風(fēng)險(xiǎn)評(píng)估 5)、風(fēng)險(xiǎn)監(jiān)控-69-華電財(cái)務(wù)風(fēng)險(xiǎn)管理建設(shè)方案1、全面風(fēng)險(xiǎn)管理解決方案-69-69-70-企業(yè)全面風(fēng)險(xiǎn)分類法律風(fēng)險(xiǎn)運(yùn)營風(fēng)險(xiǎn)戰(zhàn)略風(fēng)險(xiǎn)財(cái)務(wù)風(fēng)險(xiǎn)市場風(fēng)險(xiǎn)企業(yè)風(fēng)險(xiǎn)1、全面風(fēng)險(xiǎn)分類-70-企業(yè)全面風(fēng)險(xiǎn)分類法律風(fēng)險(xiǎn)運(yùn)營風(fēng)險(xiǎn)戰(zhàn)略風(fēng)險(xiǎn)財(cái)務(wù)風(fēng)險(xiǎn)市場702、全面風(fēng)險(xiǎn)管理解決方案-71-2、全面風(fēng)險(xiǎn)管理解決方案-71-713、財(cái)務(wù)風(fēng)險(xiǎn)管理解決方案理論依據(jù)2004年，國資委開展組織研究國有企業(yè)風(fēng)險(xiǎn)管理工作2006年，國資委發(fā)布《全面風(fēng)險(xiǎn)管理指引綱要》2007年，在大型企業(yè)風(fēng)險(xiǎn)管理論壇上國資委表示，風(fēng)險(xiǎn)管理將成為國資委對(duì)央企領(lǐng)導(dǎo)人員考核和評(píng)價(jià)央企的重要指標(biāo)2008年，國資委《關(guān)于開展編報(bào)<2008年中央企業(yè)全面風(fēng)險(xiǎn)管理報(bào)告>試點(diǎn)工作有關(guān)事項(xiàng)的通知》（國資廳發(fā)改革〔2008〕5號(hào)），要求31家央企試點(diǎn)企業(yè)進(jìn)行全面風(fēng)險(xiǎn)報(bào)告的遞交2008年，財(cái)政部、證監(jiān)會(huì)、審計(jì)署、銀監(jiān)會(huì)、保監(jiān)會(huì)五部委聯(lián)合發(fā)布了《企業(yè)內(nèi)部控制基本規(guī)范》-72-3、財(cái)務(wù)風(fēng)險(xiǎn)管理解決方案理論依據(jù)-72-72-73-風(fēng)險(xiǎn)管理流程圖風(fēng)險(xiǎn)管理初始信息風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)管理策略風(fēng)險(xiǎn)管理解決方案風(fēng)險(xiǎn)管理的監(jiān)督改進(jìn)54321戰(zhàn)略風(fēng)險(xiǎn)、財(cái)務(wù)風(fēng)險(xiǎn)、市場風(fēng)險(xiǎn)、運(yùn)營風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)的初始信息收集風(fēng)險(xiǎn)辨識(shí)（針對(duì)業(yè)務(wù)、流程）風(fēng)險(xiǎn)分析（發(fā)生可能性高低、風(fēng)險(xiǎn)發(fā)生條件）風(fēng)險(xiǎn)評(píng)價(jià)（影響程度、風(fēng)險(xiǎn)價(jià)值）風(fēng)險(xiǎn)偏好、承受度、管理有效性標(biāo)準(zhǔn)；選擇風(fēng)險(xiǎn)管理工具（風(fēng)險(xiǎn)態(tài)度）風(fēng)險(xiǎn)解決具體目標(biāo)、組織領(lǐng)導(dǎo)、管理、流程、條件、手段；風(fēng)險(xiǎn)事件前、中、后采取的具體應(yīng)對(duì)措施以及風(fēng)險(xiǎn)管理工具對(duì)風(fēng)險(xiǎn)管理解決方案的實(shí)施情況的有效性進(jìn)行檢驗(yàn)風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)估和控制風(fēng)險(xiǎn)管理流程-73-風(fēng)險(xiǎn)管理流程圖風(fēng)險(xiǎn)管理初始信息風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)管理策略風(fēng)732、財(cái)務(wù)風(fēng)險(xiǎn)管理解決方案風(fēng)險(xiǎn)體系管理風(fēng)險(xiǎn)分類戰(zhàn)略風(fēng)險(xiǎn)財(cái)務(wù)風(fēng)險(xiǎn)市場風(fēng)險(xiǎn)運(yùn)營風(fēng)險(xiǎn)法律風(fēng)險(xiǎn)系統(tǒng)管理屬性設(shè)置可能性損失度內(nèi)部控制體系維護(hù)流程管理風(fēng)險(xiǎn)應(yīng)對(duì)措施風(fēng)險(xiǎn)規(guī)避風(fēng)險(xiǎn)轉(zhuǎn)移風(fēng)險(xiǎn)降低風(fēng)險(xiǎn)接受風(fēng)險(xiǎn)利用指標(biāo)體系-74-2、財(cái)務(wù)風(fēng)險(xiǎn)管理解決方案風(fēng)險(xiǎn)體系管理風(fēng)險(xiǎn)分類系統(tǒng)管理屬性設(shè)置742、財(cái)務(wù)風(fēng)險(xiǎn)管理解決方案風(fēng)險(xiǎn)體系管理風(fēng)險(xiǎn)分類戰(zhàn)略風(fēng)險(xiǎn)財(cái)務(wù)風(fēng)險(xiǎn)市場風(fēng)險(xiǎn)運(yùn)營風(fēng)險(xiǎn)法律風(fēng)險(xiǎn)系統(tǒng)管理屬性設(shè)置可能性損失度內(nèi)部控制體系維護(hù)流程管理風(fēng)險(xiǎn)應(yīng)對(duì)措施風(fēng)險(xiǎn)規(guī)避風(fēng)險(xiǎn)轉(zhuǎn)移風(fēng)險(xiǎn)降低風(fēng)險(xiǎn)接受風(fēng)險(xiǎn)利用指標(biāo)體系-75-2、財(cái)務(wù)風(fēng)險(xiǎn)管理解決方案風(fēng)險(xiǎn)體系管理風(fēng)險(xiǎn)分類系統(tǒng)管理屬性設(shè)置75您現(xiàn)在的位置：風(fēng)險(xiǎn)識(shí)別﹥﹥調(diào)查問卷2.財(cái)務(wù)風(fēng)險(xiǎn)管理解決方案-風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)事件分析風(fēng)險(xiǎn)指標(biāo)分析調(diào)查問卷訪談業(yè)務(wù)流程分析風(fēng)險(xiǎn)清單管理問卷填寫問卷收集問卷統(tǒng)計(jì)問卷發(fā)放問卷設(shè)計(jì)企業(yè)環(huán)境分析-76-您現(xiàn)在的位置：風(fēng)險(xiǎn)識(shí)別﹥﹥調(diào)查問卷2.財(cái)務(wù)風(fēng)險(xiǎn)管理解決方案-76風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)地圖可能性分析影響度分析風(fēng)險(xiǎn)測評(píng)表部門風(fēng)險(xiǎn)測評(píng)表重大風(fēng)險(xiǎn)清單風(fēng)險(xiǎn)坐標(biāo)圖各部門風(fēng)險(xiǎn)等級(jí)堆積圖XX部門風(fēng)險(xiǎn)堆積圖2.財(cái)務(wù)風(fēng)險(xiǎn)管理解決方案-風(fēng)險(xiǎn)評(píng)估建設(shè)思路-77-風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)地圖可能性分析影響度分析風(fēng)險(xiǎn)測評(píng)表部門風(fēng)772.財(cái)務(wù)風(fēng)險(xiǎn)管理解決方案-風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估方法——敏感性分析樣例：風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)地圖風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)價(jià)-78-2.財(cái)務(wù)風(fēng)險(xiǎn)管理解決方案-風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估方法——敏感性分析78-79-風(fēng)險(xiǎn)坐標(biāo)圖法承擔(dān)A區(qū)域中的各項(xiàng)風(fēng)險(xiǎn)且不再增加控制措施嚴(yán)格控制B區(qū)域中的各項(xiàng)風(fēng)險(xiǎn)且專門補(bǔ)充制定各項(xiàng)控制措施確保規(guī)避和轉(zhuǎn)移C區(qū)域中的各項(xiàng)風(fēng)險(xiǎn)且優(yōu)先安排實(shí)施各項(xiàng)防范措施A區(qū)域極低低中等高極高可能性B區(qū)域C區(qū)域B區(qū)域02010403低高風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)地圖風(fēng)險(xiǎn)分析您現(xiàn)在的位置：風(fēng)險(xiǎn)評(píng)估﹥﹥風(fēng)險(xiǎn)地圖影響程度

01庫存現(xiàn)金風(fēng)險(xiǎn)02應(yīng)收賬款風(fēng)險(xiǎn)03長期借款風(fēng)險(xiǎn)04發(fā)電標(biāo)煤單價(jià)風(fēng)險(xiǎn)-79-風(fēng)險(xiǎn)坐標(biāo)圖法承擔(dān)A區(qū)域中的各項(xiàng)風(fēng)險(xiǎn)且不再增加控制措施79-80-風(fēng)險(xiǎn)應(yīng)對(duì)與控制2.財(cái)務(wù)風(fēng)險(xiǎn)管理解決方案-應(yīng)對(duì)與控制您現(xiàn)在的位置：風(fēng)險(xiǎn)應(yīng)對(duì)與控制﹥﹥風(fēng)險(xiǎn)應(yīng)對(duì)方案效果與反饋風(fēng)險(xiǎn)應(yīng)對(duì)方案風(fēng)險(xiǎn)應(yīng)對(duì)措施企業(yè)目標(biāo)具體目標(biāo)關(guān)鍵因素風(fēng)險(xiǎn)偏好風(fēng)險(xiǎn)策略內(nèi)部控制流程風(fēng)險(xiǎn)應(yīng)對(duì)措施應(yīng)對(duì)方案負(fù)責(zé)人處置方式補(bǔ)充流動(dòng)資金100,000,000元資產(chǎn)負(fù)債率資產(chǎn)負(fù)債率可容忍度85%轉(zhuǎn)移降低籌資內(nèi)控管理集團(tuán)財(cái)務(wù)公司內(nèi)部借款5000萬，剩余5000萬向銀行借款；張三集團(tuán)借款超過1個(gè)月，銀行放款超過6個(gè)月降低煤炭采購成本

控制煤炭采購價(jià)格低于盈虧平衡點(diǎn)

原煤出廠價(jià)格適度接受煤價(jià)上漲導(dǎo)致的成本上升，利潤減少風(fēng)險(xiǎn)風(fēng)險(xiǎn)控制燃料采購管理流程1、健全跨區(qū)域協(xié)調(diào)采購調(diào)運(yùn)機(jī)制2、杜絕虧噸、虧卡，降低場損和熱值差

3、結(jié)合電量計(jì)劃、煤耗供應(yīng)形勢和庫存狀況，合理制定煤炭采購計(jì)劃

張三系統(tǒng)預(yù)警提示、電子郵件、手機(jī)短信-80-風(fēng)險(xiǎn)應(yīng)對(duì)與控制2.財(cái)務(wù)風(fēng)險(xiǎn)管理解決方案-應(yīng)對(duì)與控802.財(cái)務(wù)風(fēng)險(xiǎn)管理解決方案-風(fēng)險(xiǎn)監(jiān)控與報(bào)告模塊定義您現(xiàn)在的位置：首頁﹥﹥風(fēng)險(xiǎn)監(jiān)控與報(bào)告重大風(fēng)險(xiǎn)監(jiān)控表風(fēng)險(xiǎn)編號(hào)：GZ08M.01.01

所涉及內(nèi)控流程：燃料成本管理流程流程目標(biāo)：規(guī)范燃料管理體系，降低燃料成本流程層面影響流程目標(biāo)實(shí)現(xiàn)的風(fēng)險(xiǎn)：XXXX風(fēng)險(xiǎn)控制點(diǎn)描述：XXXX控制發(fā)生的頻率(選擇)：每月/每季/每周/每天/頻繁發(fā)生/按需不定期/系統(tǒng)控制/半年控制類型（選擇）:過程核查/系統(tǒng)設(shè)置/關(guān)鍵績效指標(biāo)/例外情況報(bào)告和預(yù)警報(bào)告/配置帳項(xiàng)映射控制系統(tǒng)/系統(tǒng)訪問權(quán)限/管理層審閱/部門內(nèi)審查/職責(zé)分工/文件頁面保留/其他控制點(diǎn)負(fù)責(zé)部門:燃料管理部門控制點(diǎn)負(fù)責(zé)人:張三是否適用集團(tuán)公司:是是否適用二級(jí)單位:否控制點(diǎn)執(zhí)行日期:2009-05-12風(fēng)險(xiǎn)指標(biāo)預(yù)警風(fēng)險(xiǎn)監(jiān)控與報(bào)告突發(fā)風(fēng)險(xiǎn)處理風(fēng)險(xiǎn)報(bào)告突發(fā)風(fēng)險(xiǎn)處理風(fēng)險(xiǎn)預(yù)警報(bào)告突發(fā)風(fēng)險(xiǎn)處理風(fēng)險(xiǎn)分析報(bào)告風(fēng)險(xiǎn)事件處理危機(jī)管理重大風(fēng)險(xiǎn)監(jiān)控-81-2.財(cái)務(wù)風(fēng)險(xiǎn)管理解決方案-風(fēng)險(xiǎn)監(jiān)控與報(bào)告模塊定義您現(xiàn)在的位置81風(fēng)險(xiǎn)事件處理記錄表-82-風(fēng)險(xiǎn)指標(biāo)預(yù)警風(fēng)險(xiǎn)監(jiān)控與報(bào)告突發(fā)風(fēng)險(xiǎn)處理風(fēng)險(xiǎn)報(bào)告突發(fā)風(fēng)險(xiǎn)處理風(fēng)險(xiǎn)預(yù)警報(bào)告突發(fā)風(fēng)險(xiǎn)處理風(fēng)險(xiǎn)分析報(bào)告重大風(fēng)險(xiǎn)監(jiān)控危機(jī)管理風(fēng)險(xiǎn)事件處理風(fēng)險(xiǎn)事件處理記錄表-82-風(fēng)險(xiǎn)指標(biāo)預(yù)警風(fēng)險(xiǎn)監(jiān)控與報(bào)告突發(fā)822.財(cái)務(wù)風(fēng)險(xiǎn)管理解決方案-風(fēng)險(xiǎn)監(jiān)控與報(bào)告2、任務(wù)編組緊急應(yīng)變小組危機(jī)處理小組營運(yùn)持續(xù)執(zhí)行小組危機(jī)管理機(jī)制及時(shí)溝通說明遺留問題處理評(píng)估、總結(jié)、整改事故一線調(diào)研應(yīng)急預(yù)案實(shí)施協(xié)調(diào)干系機(jī)構(gòu)…3、危機(jī)應(yīng)對(duì)應(yīng)急預(yù)案準(zhǔn)備人力資源貯備物力資源準(zhǔn)備組織應(yīng)急培訓(xùn)1、應(yīng)急準(zhǔn)備4、善后處理風(fēng)險(xiǎn)指標(biāo)預(yù)警風(fēng)險(xiǎn)監(jiān)控與報(bào)告突發(fā)風(fēng)險(xiǎn)處理風(fēng)險(xiǎn)報(bào)告突發(fā)風(fēng)險(xiǎn)處理風(fēng)險(xiǎn)預(yù)警報(bào)告突發(fā)風(fēng)險(xiǎn)處理風(fēng)險(xiǎn)分析報(bào)告重大風(fēng)險(xiǎn)監(jiān)控風(fēng)險(xiǎn)事件處理危機(jī)管理-83-2.財(cái)務(wù)風(fēng)險(xiǎn)管理解決方案-風(fēng)險(xiǎn)監(jiān)控與報(bào)告2、任務(wù)編組緊急應(yīng)變83重大風(fēng)險(xiǎn)專項(xiàng)分析報(bào)告由于煤價(jià)暴漲，公司經(jīng)營業(yè)績大幅下滑，出現(xiàn)了自成立以來首次且幅度較大的整體性虧損。為突出主要原因經(jīng)過分析，在只考慮煤價(jià)波動(dòng)影響變動(dòng)成本因素（V）情況下由公式V=（標(biāo)準(zhǔn)煤耗平均數(shù)）*10-6*（發(fā)電標(biāo)煤單價(jià)），結(jié)合下圖實(shí)際數(shù)據(jù)計(jì)算可知，當(dāng)標(biāo)煤價(jià)每噸上漲20元?jiǎng)t每度點(diǎn)的燃料成本將直接大約增加0.7分，這將嚴(yán)重影響企業(yè)經(jīng)營利潤目標(biāo)的實(shí)現(xiàn)，若按照現(xiàn)有狀態(tài)持續(xù)增加，更將大大增加企業(yè)的財(cái)務(wù)風(fēng)險(xiǎn)。應(yīng)對(duì)措施：1、健全跨區(qū)域協(xié)調(diào)采購調(diào)運(yùn)機(jī)制|2、杜絕虧噸、虧卡，降低場損和熱值差|3、結(jié)合電量計(jì)劃、煤耗供應(yīng)形勢和庫存狀況，合理制定煤炭采購計(jì)劃|4、協(xié)調(diào)實(shí)施煤電聯(lián)動(dòng)機(jī)制

風(fēng)險(xiǎn)指標(biāo)預(yù)警風(fēng)險(xiǎn)監(jiān)控與報(bào)告突發(fā)風(fēng)險(xiǎn)處理風(fēng)險(xiǎn)報(bào)告突發(fā)風(fēng)險(xiǎn)處理風(fēng)險(xiǎn)預(yù)警報(bào)告危機(jī)管理重大風(fēng)險(xiǎn)監(jiān)控風(fēng)險(xiǎn)事件處理風(fēng)險(xiǎn)分析報(bào)告-84-重大風(fēng)險(xiǎn)專項(xiàng)分析報(bào)告由于煤價(jià)暴漲，公司經(jīng)營業(yè)績大幅下滑，出現(xiàn)84財(cái)務(wù)報(bào)告系統(tǒng)的功能股東監(jiān)管部門其他利益相關(guān)者分析和修正企業(yè)遠(yuǎn)景、戰(zhàn)略和目標(biāo)企業(yè)經(jīng)營、管理和控制企業(yè)業(yè)績的度量和報(bào)告財(cái)務(wù)報(bào)告系統(tǒng)財(cái)務(wù)信息披露和報(bào)告財(cái)務(wù)報(bào)告系統(tǒng)的功能股東監(jiān)管部門其他利益相關(guān)者分析和修正企業(yè)遠(yuǎn)85經(jīng)常性業(yè)務(wù)交易非經(jīng)常性業(yè)務(wù)交易資料和數(shù)據(jù)的處理目標(biāo)：更自動(dòng)化、更程序化、更規(guī)范化縮短編制時(shí)間、減少人為錯(cuò)誤財(cái)務(wù)報(bào)告系統(tǒng)加強(qiáng)業(yè)務(wù)與財(cái)會(huì)人員之間的溝通了解會(huì)計(jì)準(zhǔn)則的要求，減少個(gè)別主觀人為判斷財(cái)務(wù)報(bào)告系統(tǒng)管理經(jīng)常性業(yè)務(wù)交易非經(jīng)常性業(yè)務(wù)交易資料和數(shù)據(jù)的處理目標(biāo)：更自動(dòng)化86信息技術(shù)環(huán)境下內(nèi)部審計(jì)信息技術(shù)環(huán)境下內(nèi)部審計(jì)87

內(nèi)部審計(jì)與信息系統(tǒng)審計(jì)信息系統(tǒng)審計(jì)是與內(nèi)部審計(jì)緊密結(jié)合的，最早的計(jì)算機(jī)審計(jì)來源于內(nèi)部審計(jì)內(nèi)部審計(jì)與信息系統(tǒng)審計(jì)信息系統(tǒng)審計(jì)是與內(nèi)部審計(jì)緊密結(jié)合的，88

一、信息系統(tǒng)審計(jì)的起源與發(fā)展

1.1國外：八十年代、九十年代信息技術(shù)的進(jìn)一步發(fā)展與普及，使得企業(yè)越來越依賴信息及信息系統(tǒng)。人們開始更多的關(guān)注信息系統(tǒng)的安全性、保密性、完整性及其實(shí)現(xiàn)企業(yè)目標(biāo)的效率、效果，真正意義的信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估與審計(jì)出現(xiàn)。

一、信息系統(tǒng)審計(jì)的起源與發(fā)展

1.1國外：89

1.信息系統(tǒng)審計(jì)的起源與發(fā)展

1.1國外：

信息系統(tǒng)審計(jì)與控制協(xié)會(huì)ISACA總部設(shè)在美國芝加哥。目前該組織在世界上100多個(gè)國家設(shè)有160多個(gè)分會(huì)，現(xiàn)有會(huì)員兩萬多人，它是從事信息系統(tǒng)審計(jì)的專業(yè)人員唯一的國際性組織。

1.信息系統(tǒng)審計(jì)的起源與發(fā)展

1.1國外：90

1.信息系統(tǒng)審計(jì)的起源與發(fā)展

1.1國外：

CISA是信息系統(tǒng)審計(jì)領(lǐng)域的唯一職業(yè)資格

ISACA每年舉辦CISA資格考試，通過考試的人員可以申請(qǐng)CISA資格，符合ISACA規(guī)定的工作經(jīng)驗(yàn)及其他相關(guān)要求的申請(qǐng)人會(huì)被授予CISA資格。CISA資格在世界各國都被廣泛的認(rèn)可。國內(nèi)獲得此資格的有三百多人。

1.信息系統(tǒng)審計(jì)的起源與發(fā)展

1.1國外：91

1.信息系統(tǒng)審計(jì)的起源與發(fā)展

1.2國內(nèi)：

1994年2月，我國頒布了《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，提出了計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)的要求。安全等級(jí)保護(hù)的總體目標(biāo)是確保信息安全和計(jì)算機(jī)信息系統(tǒng)安全正常運(yùn)行，保障：信息的完整性、可用性、保密性、抗抵賴性、可控性等（其中完整性、可用性、保密性為基本安全特性要求）。

1.信息系統(tǒng)審計(jì)的起源與發(fā)展

1.2國內(nèi)：92

1.信息系統(tǒng)審計(jì)的起源與發(fā)展

1.2國內(nèi)：

1994年2月，我國頒布了《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，提出信息的完整性、可用性、保密性、抗抵賴性、可控性等要求。1999年2月9日，我國正式成立了中國國家信息安全測評(píng)認(rèn)證中心。2002年4月15日全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（簡稱信息安全標(biāo)委會(huì)，TC260）。2005年12月16日國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組正式通過了《信息安全風(fēng)險(xiǎn)評(píng)估指南》。

1.信息系統(tǒng)審計(jì)的起源與發(fā)展

1.2國內(nèi)：93管理計(jì)劃與IS的組織信息資產(chǎn)的保護(hù)災(zāi)難備份與業(yè)務(wù)持續(xù)計(jì)劃技術(shù)基礎(chǔ)與操作實(shí)務(wù)業(yè)務(wù)應(yīng)用系統(tǒng)的開發(fā)取得實(shí)施與維護(hù)業(yè)務(wù)過程評(píng)價(jià)與風(fēng)險(xiǎn)管理

2.信息系統(tǒng)審計(jì)的內(nèi)容

管理計(jì)劃與IS的組織信息資產(chǎn)的保護(hù)災(zāi)難備份與業(yè)務(wù)持續(xù)計(jì)劃技術(shù)94一般控制靜態(tài)IS的構(gòu)成管理角度管理計(jì)劃與IS的組織(C2)技術(shù)角度技術(shù)基礎(chǔ)與操作實(shí)務(wù)(C3)IS的控制與安全正常情況信息資產(chǎn)的保護(hù)(C4)非常情況災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計(jì)劃(C5)動(dòng)態(tài)業(yè)務(wù)應(yīng)用系統(tǒng)的開發(fā)取得實(shí)施與維護(hù)(C6)應(yīng)用控制業(yè)務(wù)過程評(píng)價(jià)與風(fēng)險(xiǎn)管理(C7)

3.信息系統(tǒng)審計(jì)與內(nèi)部控制

管理角度管理計(jì)劃與IS的組織(C2)技術(shù)角度技術(shù)基礎(chǔ)與操作實(shí)95

4.信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù)

計(jì)算機(jī)系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)（TCSEC）由美國國防部于1985年公布的，是計(jì)算機(jī)系統(tǒng)信息安全評(píng)估的第一個(gè)正式標(biāo)準(zhǔn)。它把計(jì)算機(jī)系統(tǒng)的安全分為4類、7個(gè)級(jí)別，對(duì)用戶登錄、授權(quán)管理、訪問控制、審計(jì)跟蹤、隱蔽通道分析、可信通道建立、安全檢測、生命周期保障、文檔寫作、用戶指南等內(nèi)容提出了規(guī)范性要求。

4.信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù)

96

4.信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù)

信息技術(shù)安全評(píng)價(jià)的通用標(biāo)準(zhǔn)（CC）由六個(gè)國家（美、加、英、法、德、荷）于1996年聯(lián)合提出的，并逐漸形成國際標(biāo)準(zhǔn)ISO15408。該標(biāo)準(zhǔn)定義了評(píng)價(jià)信息技術(shù)產(chǎn)品和系統(tǒng)安全性的基本準(zhǔn)則.CC標(biāo)準(zhǔn)是第一個(gè)信息技術(shù)安全評(píng)價(jià)國際標(biāo)準(zhǔn)，它的發(fā)布對(duì)信息安全具有重要意義，是信息技術(shù)安全評(píng)價(jià)標(biāo)準(zhǔn)以及信息安全技術(shù)發(fā)展的一個(gè)重要里程碑。

4.信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù)

信息技術(shù)安全評(píng)價(jià)的97

4.信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù)

ISO13335標(biāo)準(zhǔn)首次給出了關(guān)于IT安全的保密性、完整性、可用性、審計(jì)性、認(rèn)證性、可靠性6個(gè)方面含義，并提出了以風(fēng)險(xiǎn)為核心的安全模型：企業(yè)的資產(chǎn)面臨很多威脅（包括來自內(nèi)部的威脅和來自外部的威脅）；利用信息系統(tǒng)存在的各種漏洞（如：物理環(huán)境、網(wǎng)絡(luò)服務(wù)、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)、相關(guān)人員、安全策略等），對(duì)信息系統(tǒng)進(jìn)行滲透和攻擊。

4.信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù)

98

4.信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù)

“信息系統(tǒng)和技術(shù)控制目標(biāo)”（COBIT）是IT治理的一個(gè)開放性標(biāo)準(zhǔn)，目前已成為國際上公認(rèn)的最先進(jìn)、最權(quán)威的安全與信息技術(shù)管理和控制的標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)為IT的治理、安全與控制提供了一個(gè)一般適用的公認(rèn)的標(biāo)準(zhǔn)，以輔助管理層進(jìn)行IT治理。該標(biāo)準(zhǔn)體系已在世界一百多個(gè)國家的重要組織與企業(yè)中運(yùn)用，指導(dǎo)這些組織有效利用信息資源，有效地管理與信息相關(guān)的風(fēng)險(xiǎn)。

4.信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù)

99

4.信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù)

4.信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù)

100

4.信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù)

4.信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù)

101

4.信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù)

4.信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù)

102

5.信息系統(tǒng)審計(jì)的過程

審計(jì)計(jì)劃和檢查：檢查被審計(jì)單位的IT政策、實(shí)務(wù)及組織結(jié)構(gòu)；檢查一般控制和應(yīng)用控制的情況；計(jì)劃控制測試和實(shí)質(zhì)性測試的程序；

5.信息系統(tǒng)審計(jì)的過程

103

5.信息系統(tǒng)審計(jì)的過程

控制測試：實(shí)施控制測試；評(píng)價(jià)測試結(jié)果；確定對(duì)控制的依賴程度；

5.信息系統(tǒng)審計(jì)的過程

104

5.信息系統(tǒng)審計(jì)的過程

實(shí)質(zhì)測試：實(shí)施實(shí)質(zhì)性測試；評(píng)價(jià)測試結(jié)果并簽發(fā)審計(jì)報(bào)告；審計(jì)報(bào)告

5.信息系統(tǒng)審計(jì)的過程

105

6.信息系統(tǒng)審計(jì)的技術(shù)

6.信息系統(tǒng)審計(jì)的技術(shù)

106內(nèi)部審計(jì)與IT治理內(nèi)部審計(jì)與IT治理107內(nèi)部審計(jì)方法戰(zhàn)略分析企業(yè)風(fēng)險(xiǎn)評(píng)估制定內(nèi)審計(jì)劃內(nèi)審項(xiàng)目執(zhí)行報(bào)告問題的解決和跟蹤規(guī)劃執(zhí)行內(nèi)部審計(jì)方法戰(zhàn)略分析企業(yè)風(fēng)險(xiǎn)評(píng)估制定內(nèi)審計(jì)劃內(nèi)審項(xiàng)目執(zhí)行報(bào)告108IT治理IT治理是信息系統(tǒng)審計(jì)和控制領(lǐng)域中一個(gè)相當(dāng)新的概念I(lǐng)T治理其定義匯集了以下3中觀點(diǎn)：Roberts.Roussey認(rèn)為：IT治理用于掃描被委托治理實(shí)體的人員在監(jiān)督、檢查、控制和指導(dǎo)實(shí)體的過程中如何看待信息技術(shù)。IT的引用對(duì)于組織能否達(dá)到他的遠(yuǎn)景、使命、戰(zhàn)略目標(biāo)至關(guān)重要。德勤定義如下：IT治理是一個(gè)含義廣泛的概率，包括信息系統(tǒng)、技術(shù)、通訊、商業(yè)、所有利益相關(guān)者、合法性和其他問題。國際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ISACA）定義如下：IT治理是一個(gè)由關(guān)系和過程所構(gòu)成的體制，用于知道如何控制企業(yè)，通過平衡信息技術(shù)與過程的風(fēng)險(xiǎn)、增加價(jià)值來確保實(shí)現(xiàn)企業(yè)的目標(biāo)。IT中國治理研究中心在綜合研究的基礎(chǔ)上提出如下定義：IT治理用于描述企業(yè)或征服是否采用有效的機(jī)制，使得IT引用能完成組織賦予的使命，同時(shí)平衡信息技術(shù)與過程的風(fēng)險(xiǎn)，確保實(shí)現(xiàn)組織的戰(zhàn)略目標(biāo)。IT治理109公司治理和IT治理公司治理是一個(gè)設(shè)計(jì)公司的管理層、董事會(huì)、股東和其他利益相關(guān)者之間的一整套關(guān)系體系，是在所有權(quán)和經(jīng)營權(quán)分離條件下，為解決所有者和經(jīng)營者因委托代理關(guān)系所產(chǎn)生的利益不一致，二建立起來的互相制衡機(jī)制，從而減低管理風(fēng)險(xiǎn)，實(shí)現(xiàn)組織目標(biāo)。IT治理關(guān)鍵因素是使IT與業(yè)務(wù)融合，以實(shí)現(xiàn)組織的業(yè)務(wù)價(jià)值。IT治理框架由一系列結(jié)構(gòu)、流程和相關(guān)機(jī)制組成。IT戰(zhàn)略委員會(huì)、風(fēng)險(xiǎn)管理和標(biāo)準(zhǔn)IT平衡記分卡。作為公司治理的一個(gè)重要組成部分，IT治理包含了確定企業(yè)如何應(yīng)用IT的一系列問題。因此，在整個(gè)企業(yè)治理中，評(píng)價(jià)IT治理成為越來越重要的內(nèi)容公司治理和IT治理110IT治理與內(nèi)部審計(jì)

內(nèi)部審計(jì)是一種獨(dú)立、客觀的保證，是為了機(jī)構(gòu)增加價(jià)值并提高機(jī)構(gòu)的運(yùn)行效率；它采用系統(tǒng)化、規(guī)范化的方法評(píng)價(jià)風(fēng)險(xiǎn)管理、控制及治理過程并提高其效率，從而幫助實(shí)現(xiàn)組織目標(biāo)。關(guān)于內(nèi)部審計(jì)在IT治理過程中的職責(zé)，美國的《薩班斯—奧克斯萊法》有明確規(guī)定，在美國上市公司內(nèi)部審計(jì)師應(yīng)幫助管理層對(duì)公司IT應(yīng)用控制和IT一般性控制進(jìn)行評(píng)估并出具報(bào)告。IT治理與內(nèi)部審計(jì)

內(nèi)部審計(jì)是一種獨(dú)立、客觀的保證，是為了機(jī)111IT治理標(biāo)準(zhǔn)

一個(gè)有效的IT治理架構(gòu)需要理解組織的核心競爭力，并且在商業(yè)目標(biāo)，治理原型，業(yè)務(wù)績效目標(biāo)之間維持平衡，進(jìn)而提出IT治理框架，指定決策以及如何在關(guān)鍵的信息技術(shù)領(lǐng)域去確定。IT治理標(biāo)準(zhǔn)

一個(gè)有效的IT治理架構(gòu)需要理解組織的核心競爭力112企業(yè)風(fēng)險(xiǎn)管理的必要性企業(yè)風(fēng)險(xiǎn)管理的必要性113案例一：美國安然公司(Enron)在2002年，安然是美國最大的石油和天然氣企業(yè)之一2001年末，安然宣布第三季度錄得6.4億美元的虧損，美國證監(jiān)會(huì)對(duì)該公司進(jìn)行調(diào)查，發(fā)現(xiàn)該公司在1997以來虛報(bào)利潤5.8億美元2001年末，安然申請(qǐng)破產(chǎn)保護(hù)令，但在之前10個(gè)月內(nèi)，公司卻因股票價(jià)格超越預(yù)期目標(biāo)而向董事及高級(jí)管理人員發(fā)放3.2億美元的紅利案例一：美國安然公司(Enron)在2002年，安然是美國114調(diào)查發(fā)現(xiàn)：安然的董事會(huì)及審計(jì)委員會(huì)均采取不干預(yù)(“hands-off”)監(jiān)控政策事件發(fā)生之后，部分董事表示不太了解安然的財(cái)務(wù)狀況、期貨及期權(quán)的業(yè)務(wù)安然重視短期的業(yè)績指標(biāo)安然管理高層常常藐視或推翻公司制定的內(nèi)控制度調(diào)查發(fā)現(xiàn)：115企業(yè)風(fēng)險(xiǎn)管理框架企業(yè)風(fēng)險(xiǎn)管理框架116什么是風(fēng)險(xiǎn)管理？企業(yè)風(fēng)險(xiǎn)管理是一套由企業(yè)董事會(huì)與管理層共同設(shè)立、和與企業(yè)戰(zhàn)略相結(jié)合的管理流程。它的功能是識(shí)別那些會(huì)影響企業(yè)運(yùn)作的潛在事件和把相關(guān)的風(fēng)險(xiǎn)管理到一個(gè)企業(yè)可接受的水平，從而幫助企業(yè)達(dá)至它的目標(biāo)。 美國內(nèi)控研究委員會(huì)什么是風(fēng)險(xiǎn)管理？企業(yè)風(fēng)險(xiǎn)管理是一套由企業(yè)董事會(huì)與管理層共同117企業(yè)為何要建立風(fēng)險(xiǎn)管理？因?yàn)槠髽I(yè)的股東與管理層常常要面對(duì)一些令他們寢食難安的問題。因此，企業(yè)需要系統(tǒng)化地建立一套風(fēng)險(xiǎn)管理體制，從而識(shí)別影響企業(yè)盈利的關(guān)鍵因素，并對(duì)那些會(huì)影響企業(yè)達(dá)標(biāo)的風(fēng)險(xiǎn)進(jìn)行監(jiān)控及管理企業(yè)為何要建立風(fēng)險(xiǎn)管理？因?yàn)槠髽I(yè)的股東與管理層常常要面對(duì)一些118股東對(duì)企業(yè)風(fēng)險(xiǎn)管理最關(guān)心的四個(gè)問題：企業(yè)知道它所面對(duì)的主要風(fēng)險(xiǎn)嗎？ 例如：什么風(fēng)險(xiǎn)正在或?qū)?huì)影響企業(yè)的業(yè)務(wù)？企業(yè)的品牌新產(chǎn)品、新市場的開發(fā)戰(zhàn)略聯(lián)盟客戶或供應(yīng)鏈的管理理想的情況： 企業(yè)能開發(fā)一套標(biāo)準(zhǔn)的、共通的風(fēng)險(xiǎn)語言，從而識(shí)別企業(yè)所面對(duì)的風(fēng)險(xiǎn)，并就其嚴(yán)重的程度進(jìn)行排序。共通的風(fēng)險(xiǎn)語言亦有利于企業(yè)上下層就風(fēng)險(xiǎn)的管理進(jìn)行溝通股東對(duì)企業(yè)風(fēng)險(xiǎn)管理最關(guān)心的四個(gè)問題：企業(yè)知道它所面對(duì)的主要風(fēng)119企業(yè)是否已對(duì)這些風(fēng)險(xiǎn)設(shè)置內(nèi)部控制？ 企業(yè)需要就各業(yè)務(wù)單位在日常運(yùn)作中所面對(duì)的風(fēng)險(xiǎn)(戰(zhàn)略性風(fēng)險(xiǎn)、業(yè)務(wù)性風(fēng)險(xiǎn)、流程性風(fēng)險(xiǎn))，構(gòu)建內(nèi)部控制(包括預(yù)防性控制及覺察性控制)，以確保企業(yè)能實(shí)現(xiàn)目標(biāo)和符合各方面的法律、法規(guī)理想的情況： 企業(yè)就其所面對(duì)的風(fēng)險(xiǎn)和采取的內(nèi)控，編制一套完整的文檔，并借鑒國際最佳的實(shí)務(wù)不斷進(jìn)行檢討

企業(yè)是否已對(duì)這些風(fēng)險(xiǎn)設(shè)置內(nèi)部控制？理想的情況： 企業(yè)就其所面120企業(yè)的內(nèi)部控制有效嗎？ 企業(yè)要對(duì)其內(nèi)控系統(tǒng)不間斷地進(jìn)行監(jiān)控和測試，以確保其對(duì)風(fēng)險(xiǎn)控制的能力理想的情況： 企業(yè)把各類風(fēng)險(xiǎn)控制在可接受的水平，并在這基準(zhǔn)上賺取合理的回報(bào)

企業(yè)的內(nèi)部控制有效嗎？理想的情況： 企業(yè)把各類風(fēng)險(xiǎn)控制在可接121哪一些內(nèi)部控制必須改進(jìn)？ 企業(yè)內(nèi)部和內(nèi)部環(huán)境的變化會(huì)不停地影響企業(yè)所面對(duì)的風(fēng)險(xiǎn)和所應(yīng)采取的監(jiān)控措施理想的情況： 企業(yè)能建立一套具前瞻性的信息管理系統(tǒng)和預(yù)警系統(tǒng)，使企業(yè)能及時(shí)識(shí)別新生的風(fēng)險(xiǎn)，并對(duì)相關(guān)的業(yè)務(wù)計(jì)劃、政策和程序進(jìn)行修正

哪一些內(nèi)部控制必須改進(jìn)？理想的情況： 企業(yè)能建立一套具前瞻性122企業(yè)風(fēng)險(xiǎn)管理框架一個(gè)基礎(chǔ)三道防線管理層CEO第三道防線第二道防線第一道防線業(yè)務(wù)部門董事會(huì)風(fēng)險(xiǎn)管理內(nèi)部審計(jì)審計(jì)委員會(huì)風(fēng)險(xiǎn)管理委員會(huì)企業(yè)風(fēng)險(xiǎn)管理框架一個(gè)基礎(chǔ)管理層第三道防線第二道防線第一道防線123風(fēng)險(xiǎn)管理總目標(biāo)一、全面風(fēng)險(xiǎn)管理的目標(biāo)-124-

財(cái)務(wù)報(bào)告真實(shí)可靠確保內(nèi)外部，尤其是企業(yè)與股東之間實(shí)現(xiàn)真實(shí)、可靠的信息溝通，包括編制和提供真實(shí)、可靠的財(cái)務(wù)報(bào)告；合規(guī)合法確保遵守有關(guān)法律法規(guī)；高效運(yùn)營確保企業(yè)有關(guān)規(guī)章制度和為實(shí)現(xiàn)經(jīng)營目標(biāo)而采取重大措施的貫徹執(zhí)行，保障經(jīng)營管理的有效性，提高經(jīng)營活動(dòng)的效率和效果，降低實(shí)現(xiàn)經(jīng)營目標(biāo)的不確定性；與戰(zhàn)略目標(biāo)一致確保將風(fēng)險(xiǎn)控制在與總體目標(biāo)相適應(yīng)并可承受的范圍內(nèi)；應(yīng)對(duì)突發(fā)事件防止重大損失確保企業(yè)建立針對(duì)各項(xiàng)重大風(fēng)險(xiǎn)發(fā)生后的危機(jī)處理計(jì)劃，保護(hù)企業(yè)不因?yàn)?zāi)害性風(fēng)險(xiǎn)或人為失誤而遭受重大損失。

風(fēng)險(xiǎn)管理總體目標(biāo)風(fēng)險(xiǎn)管理總目標(biāo)一、全面風(fēng)險(xiǎn)管理的目標(biāo)-38-財(cái)務(wù)報(bào)告真124公司治理與風(fēng)險(xiǎn)管理有什么關(guān)系？公司治理是風(fēng)險(xiǎn)管理的一個(gè)必要的組成部份，因?yàn)樗峁┝藢?duì)風(fēng)險(xiǎn)由上而下的監(jiān)控與管理近年多個(gè)國家都訂立了公司治理的最佳守則：美國：紐約證交所最佳治理守則英國：Cadbury/HampelReport、TheCombinedCode加拿大：DeyReportOECDReport 這些最佳守則均清楚指出建立風(fēng)險(xiǎn)管理是董事會(huì)及管理層的責(zé)任公司治理與風(fēng)險(xiǎn)管理有什么關(guān)系？公司治理是風(fēng)險(xiǎn)管理的一個(gè)必要的125如何構(gòu)建一個(gè)有利風(fēng)險(xiǎn)管理的公司治理結(jié)構(gòu)？建立一個(gè)健全的、以董事會(huì)為首的公司治理結(jié)構(gòu)訂立企業(yè)的目標(biāo)和戰(zhàn)略，包括企業(yè)的風(fēng)險(xiǎn)政策和極限貫徹一套重視風(fēng)險(xiǎn)管理的企業(yè)文化和價(jià)值觀如何構(gòu)建一個(gè)有利風(fēng)險(xiǎn)管理的公司治理結(jié)構(gòu)？建立一個(gè)健全的、以董126第一道防線：業(yè)務(wù)單位防線業(yè)務(wù)單位包含了企業(yè)大部分的資產(chǎn)和業(yè)務(wù)，它們在日常工作中面對(duì)各類的風(fēng)險(xiǎn)，是企業(yè)的前線企業(yè)必須把風(fēng)險(xiǎn)管理的手段和內(nèi)控程序融入到業(yè)務(wù)單位的工作與流程中，才能建立好防范風(fēng)險(xiǎn)的第一道防線第一道防線：業(yè)務(wù)單位防線業(yè)務(wù)單位包含了企業(yè)大部分的資產(chǎn)和業(yè)務(wù)127如何建立第一道防線了解企業(yè)戰(zhàn)略目標(biāo)及可能影響企業(yè)達(dá)標(biāo)的風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)類別對(duì)相關(guān)風(fēng)險(xiǎn)作出評(píng)估決定轉(zhuǎn)移、避免或減低風(fēng)險(xiǎn)的策略計(jì)設(shè)及實(shí)施風(fēng)險(xiǎn)策略的相關(guān)內(nèi)部控制如何建立第一道防線128(風(fēng)險(xiǎn)宇宙TM)資信制度知識(shí)產(chǎn)權(quán)財(cái)務(wù)流動(dòng)資產(chǎn)與信貸資本結(jié)構(gòu)市場財(cái)務(wù)報(bào)告營運(yùn)法律生產(chǎn)程序營商環(huán)境市場結(jié)構(gòu)民風(fēng)與文化管治策略董事會(huì)活動(dòng)交易并購變賣聲譽(yù)道德社區(qū)責(zé)任風(fēng)險(xiǎn)管理董事會(huì)及管理層業(yè)績組織結(jié)構(gòu)監(jiān)察與溝通執(zhí)行籌劃與開發(fā)利益有關(guān)方供應(yīng)商政府顧客股東經(jīng)濟(jì)情況國家情況市場變化競爭對(duì)手人才資源雇員溝通有形資產(chǎn)機(jī)器、廠房與土地其他有形資產(chǎn)負(fù)債合約法規(guī)市場與銷售生產(chǎn)及流通商品/服務(wù)開發(fā)流程估值與選擇買家評(píng)估與甄選盡職調(diào)查并購后整合資信管理運(yùn)營組織與監(jiān)察硬件軟件網(wǎng)絡(luò)無形資產(chǎn)知識(shí)管理信息現(xiàn)金管理對(duì)沖融資股東資本債務(wù)商品利率外匯稅務(wù)會(huì)計(jì)合規(guī)風(fēng)險(xiǎn)宇宙(風(fēng)險(xiǎn)宇宙TM)資信制度知識(shí)產(chǎn)權(quán)財(cái)務(wù)流動(dòng)資產(chǎn)與資本結(jié)構(gòu)市場129戰(zhàn)略性風(fēng)險(xiǎn)是指公司因作出戰(zhàn)略性錯(cuò)誤的決定而導(dǎo)致經(jīng)濟(jì)上的損失戰(zhàn)略性風(fēng)險(xiǎn)是業(yè)務(wù)單位、高級(jí)管理層和董事會(huì)的共同責(zé)任常見的戰(zhàn)略性風(fēng)險(xiǎn)包括：企業(yè)的目標(biāo)與方針市場潛在的威脅業(yè)務(wù)的范圍(深度與廣度)品牌及形象的建立戰(zhàn)略性風(fēng)險(xiǎn)與戰(zhàn)略性伙伴的合作投資和融資的策略員工的素質(zhì)和雇員關(guān)系企業(yè)的信息及監(jiān)控系統(tǒng)戰(zhàn)略性風(fēng)險(xiǎn)是指公司因作出戰(zhàn)略性錯(cuò)誤的決定而導(dǎo)致經(jīng)濟(jì)上的損失戰(zhàn)130市場風(fēng)險(xiǎn)是指因市場價(jià)格或利率波動(dòng)而使公司產(chǎn)生經(jīng)濟(jì)損失的風(fēng)險(xiǎn)構(gòu)成市場風(fēng)險(xiǎn)的三大因素：因買賣或投資金融產(chǎn)品而產(chǎn)生的風(fēng)險(xiǎn)因資產(chǎn)與負(fù)債錯(cuò)配、或原材料與產(chǎn)成品價(jià)格不能同步浮動(dòng)而產(chǎn)生的風(fēng)險(xiǎn)資金流動(dòng)性風(fēng)險(xiǎn)常見的市場風(fēng)險(xiǎn)包括：利率風(fēng)險(xiǎn)外匯風(fēng)險(xiǎn)股票與債券市場風(fēng)險(xiǎn)商品價(jià)格風(fēng)險(xiǎn)期貨、期權(quán)與衍生工具風(fēng)險(xiǎn)市場風(fēng)險(xiǎn)市場風(fēng)險(xiǎn)是指因市場價(jià)格或利率波動(dòng)而使公司產(chǎn)生經(jīng)濟(jì)損失的風(fēng)險(xiǎn)市131操作風(fēng)險(xiǎn)是指企業(yè)內(nèi)部流程、人為錯(cuò)誤或外部因素而令公司產(chǎn)生經(jīng)濟(jì)損失的風(fēng)險(xiǎn)，它包括了公司的流程風(fēng)險(xiǎn)、人為風(fēng)險(xiǎn)、系統(tǒng)風(fēng)險(xiǎn)、事件風(fēng)險(xiǎn)和業(yè)務(wù)風(fēng)險(xiǎn)等流程風(fēng)險(xiǎn)是指交易流程中出現(xiàn)錯(cuò)誤而引致?lián)p失的風(fēng)險(xiǎn)，流程包括如：銷售、定價(jià)、記錄、確認(rèn)、出貨/提供服務(wù)等環(huán)節(jié)。流程風(fēng)險(xiǎn)也包括合規(guī)性風(fēng)險(xiǎn)人為風(fēng)險(xiǎn)概指因員工缺乏知識(shí)和能力、缺乏誠信或道德操守而引致?lián)p失的風(fēng)險(xiǎn)系統(tǒng)風(fēng)險(xiǎn)是指因系統(tǒng)失靈、數(shù)據(jù)的存取和處理、系統(tǒng)的安全和可用性、系統(tǒng)的非法接入與使用而引致?lián)p失的風(fēng)險(xiǎn)事件風(fēng)險(xiǎn)是指因內(nèi)部或外部欺詐、市場扭曲、人為或自然災(zāi)害而引致?lián)p失的風(fēng)險(xiǎn)業(yè)務(wù)風(fēng)險(xiǎn)是指因市場或競爭環(huán)境出現(xiàn)預(yù)期以外的變化而引致?lián)p失的風(fēng)險(xiǎn)，所涉及的問題包括市場策略、客戶管理、產(chǎn)品開發(fā)、銷售渠道和定價(jià)等領(lǐng)域操作風(fēng)險(xiǎn)操作風(fēng)險(xiǎn)是指企業(yè)內(nèi)部流程、人為錯(cuò)誤或外部因素而令公司產(chǎn)生經(jīng)濟(jì)132風(fēng)險(xiǎn)發(fā)生的可能性評(píng)分可能性說明5幾乎肯定在未來12個(gè)月內(nèi)，這項(xiàng)風(fēng)險(xiǎn)幾乎肯定會(huì)出現(xiàn)至少1次4極可能在未來12個(gè)月，這項(xiàng)風(fēng)險(xiǎn)極可能出現(xiàn)1次3可能在未來2至10年內(nèi)，這項(xiàng)風(fēng)險(xiǎn)可能出現(xiàn)1次2低在未來10至100年內(nèi)，這項(xiàng)風(fēng)險(xiǎn)可能出現(xiàn)至少1次1極低這項(xiàng)風(fēng)險(xiǎn)出現(xiàn)的可能性極低，估計(jì)在100年內(nèi)出現(xiàn)的可能性少于1次風(fēng)險(xiǎn)發(fā)生的可能性評(píng)分可能性說明5幾乎肯定在未來12個(gè)月內(nèi)，這133評(píng)分損失程度說明5災(zāi)難令企業(yè)失去繼續(xù)運(yùn)作的能力(或占稅前利潤達(dá)20%)4重大對(duì)于企業(yè)在爭取完成其策略性計(jì)劃和目標(biāo)，造成重大影響(5-10%稅前利潤)3中等對(duì)于企業(yè)在爭取完成其策略性計(jì)劃和目標(biāo)的過程，在一定程度上造成阻礙(至5%稅前利潤)2輕微對(duì)于企業(yè)在爭取完成其策略性計(jì)劃和目標(biāo)，只造成輕微影響(至1%稅前利潤)1近乎沒有影響程度十分輕微風(fēng)險(xiǎn)對(duì)企業(yè)造成的影響評(píng)分損失程度說明5災(zāi)難令企業(yè)失去繼續(xù)運(yùn)作的能力(或占稅前利潤134評(píng)分有效性說明5極度過頭處理方法能直接針對(duì)該項(xiàng)風(fēng)險(xiǎn)，但相信會(huì)令企業(yè)業(yè)績“倒退”或成本過高4過頭處理方法能直接針對(duì)該項(xiàng)風(fēng)險(xiǎn)，但由于需要投入大量資源或/及將其他資源轉(zhuǎn)到處理該項(xiàng)風(fēng)險(xiǎn)上，會(huì)對(duì)企業(yè)的效率造成影響3適中處理方法有效針對(duì)該項(xiàng)風(fēng)險(xiǎn)，同時(shí)并不影響企業(yè)的效率2低效處理方法針對(duì)該項(xiàng)風(fēng)險(xiǎn)的效果不理想，或投入處理該風(fēng)險(xiǎn)的資源不充分或/及對(duì)投入的資源未有適當(dāng)利用1近乎沒有效果處理方法的效果十分低，可能是由于企業(yè)根本沒有處理方法，又或處理手法不當(dāng)風(fēng)險(xiǎn)處理方法的效果評(píng)分有效性說明5極度過頭處理方法能直接針對(duì)該項(xiàng)風(fēng)險(xiǎn)，但相信會(huì)135風(fēng)險(xiǎn)地圖(或風(fēng)險(xiǎn)共同語言)影響程度近乎沒有輕微中等重大災(zāi)難幾乎肯定極可能可能低極低BCAGIDJKHEF可能性說明:A–人力資源風(fēng)險(xiǎn)B–財(cái)務(wù)風(fēng)險(xiǎn)C–競爭風(fēng)險(xiǎn)D–開發(fā)風(fēng)險(xiǎn)E–過度自信風(fēng)險(xiǎn)F–系統(tǒng)故障風(fēng)險(xiǎn)G–主要客戶風(fēng)險(xiǎn)H–欺詐風(fēng)險(xiǎn)I–政治風(fēng)險(xiǎn)J–薪酬獎(jiǎng)勵(lì)風(fēng)險(xiǎn)K–科技風(fēng)險(xiǎn)風(fēng)險(xiǎn)地圖(或風(fēng)險(xiǎn)共同語言)影響程度近乎沒有輕微中等重大災(zāi)難幾136大型集團(tuán)風(fēng)險(xiǎn)管理分析風(fēng)險(xiǎn)控制地圖大型集團(tuán)風(fēng)險(xiǎn)管理分析風(fēng)險(xiǎn)控制地圖137風(fēng)險(xiǎn)處理組合

處理評(píng)級(jí)風(fēng)險(xiǎn)評(píng)級(jí)近乎沒有效果低效適中超標(biāo)極度極高高中等低BCAGIDJKHE說明:A–人力資源風(fēng)險(xiǎn)B–財(cái)務(wù)風(fēng)險(xiǎn)C–競爭風(fēng)險(xiǎn)D–開發(fā)風(fēng)險(xiǎn)E–過度自信風(fēng)險(xiǎn)F–系統(tǒng)故障風(fēng)險(xiǎn)G–主要客戶風(fēng)險(xiǎn)H–欺詐風(fēng)險(xiǎn)I–政治風(fēng)險(xiǎn)J–薪酬獎(jiǎng)勵(lì)風(fēng)險(xiǎn)K–科技風(fēng)險(xiǎn)F采取行動(dòng)密切監(jiān)控定期審閱風(fēng)險(xiǎn)處理組合處理評(píng)級(jí)風(fēng)險(xiǎn)評(píng)級(jí)近乎沒有效果低效適中超標(biāo)138風(fēng)險(xiǎn)處理策略影響程度可能性轉(zhuǎn)移避免小心管理可接受大小高低風(fēng)險(xiǎn)處理策略影響程度可能性轉(zhuǎn)移避免小心管理可接受大小高低139風(fēng)險(xiǎn)策略避免禁止交易減少或限制交易量離開市場轉(zhuǎn)移套期保險(xiǎn)策略性聯(lián)盟其他分擔(dān)風(fēng)險(xiǎn)的安排小心管理投資廣泛保護(hù)的安排訂價(jià)反映風(fēng)險(xiǎn)程度可接受自我保險(xiǎn)預(yù)留儲(chǔ)備增加監(jiān)督風(fēng)險(xiǎn)處理策略影響程度大小可能性轉(zhuǎn)移避免小心管理可接受高低風(fēng)險(xiǎn)策略小心管理風(fēng)險(xiǎn)處理策略影響程度大小可能性轉(zhuǎn)移避免小心管140企業(yè)建立的第一道防線，就是要各業(yè)務(wù)單位就其戰(zhàn)略性風(fēng)險(xiǎn)、信貸風(fēng)險(xiǎn)、市場風(fēng)場和操作風(fēng)險(xiǎn)等等，系統(tǒng)化地進(jìn)行分析、確認(rèn)、度量、管理和監(jiān)控企業(yè)需要把評(píng)估風(fēng)險(xiǎn)與內(nèi)控措施的結(jié)果進(jìn)行記錄和存檔，對(duì)內(nèi)控措施的有效性不斷進(jìn)行測試和更新第一道防線：總結(jié)管理層CEO第三道防線第二道防線第一道防線業(yè)務(wù)部門董事會(huì)風(fēng)險(xiǎn)管理內(nèi)部審計(jì)審計(jì)委員會(huì)風(fēng)險(xiǎn)管理委員會(huì)企業(yè)建立的第一道防線，就是要各業(yè)務(wù)單位就其戰(zhàn)略性風(fēng)險(xiǎn)、信貸風(fēng)141第二道防線：風(fēng)險(xiǎn)管理單位防線第二道防線是在業(yè)務(wù)單位之上建立一個(gè)更高層次的風(fēng)險(xiǎn)管理功能，它的組成部份可能包括風(fēng)險(xiǎn)管理部門、信貸審批委員會(huì)、投資審批委員會(huì)風(fēng)險(xiǎn)管理部的責(zé)任是領(lǐng)導(dǎo)和協(xié)調(diào)公司內(nèi)各單位在管理風(fēng)險(xiǎn)方面的工作，它的職責(zé)包括：編制規(guī)章制度對(duì)各業(yè)務(wù)單位的風(fēng)險(xiǎn)進(jìn)行組合管理度量風(fēng)險(xiǎn)和評(píng)估風(fēng)險(xiǎn)的界限建立風(fēng)險(xiǎn)信息系統(tǒng)和預(yù)警系統(tǒng)、厘定關(guān)鍵風(fēng)險(xiǎn)指標(biāo)負(fù)責(zé)風(fēng)險(xiǎn)信息披露、溝通、協(xié)調(diào)員工培訓(xùn)和學(xué)習(xí)的工作按風(fēng)險(xiǎn)與回報(bào)的分析，為各業(yè)務(wù)單位分配經(jīng)濟(jì)資本金第二道防線：風(fēng)險(xiǎn)管理單位防線第二道防線是在業(yè)務(wù)單位之上建立一142“內(nèi)部審計(jì)是一項(xiàng)獨(dú)立、客觀的審查和咨詢活動(dòng)，其目的在于增加企業(yè)的價(jià)值和改進(jìn)經(jīng)營。內(nèi)審?fù)ㄟ^系統(tǒng)的方法，評(píng)價(jià)和改進(jìn)企業(yè)的風(fēng)險(xiǎn)管理、控制和治理流程的效益，幫助企業(yè)實(shí)現(xiàn)其目標(biāo)?！泵绹鴥?nèi)部審計(jì)師協(xié)會(huì)第三道防線：內(nèi)審單位防線第三道防線涉及一個(gè)獨(dú)立于業(yè)務(wù)單位的部門，監(jiān)控企業(yè)內(nèi)控和其他企業(yè)關(guān)心的問題內(nèi)部審計(jì)的定義：“內(nèi)部審計(jì)是一項(xiàng)獨(dú)立、客觀的審查和咨詢活動(dòng)，其目的在于增加企143內(nèi)部審計(jì)的三大功能財(cái)務(wù)監(jiān)督財(cái)務(wù)帳的可用性內(nèi)部管理和制度的執(zhí)行典型例子：檢查分、子公司上報(bào)總部的財(cái)務(wù)報(bào)表的 準(zhǔn)確性以及執(zhí)行財(cái)務(wù)管理政策的情況經(jīng)營診斷管理審計(jì)以及效率和效益審計(jì)檢查和診斷經(jīng)營和管理過程中的偏差和失誤典型例子： 企業(yè)對(duì)某業(yè)務(wù)單位或某部門執(zhí)行效益審計(jì) (一個(gè)輸入與產(chǎn)出的關(guān)系)內(nèi)部審計(jì)的三大功能財(cái)務(wù)監(jiān)督144咨詢顧問企業(yè)風(fēng)險(xiǎn)管理和發(fā)展策略方面的咨詢調(diào)查領(lǐng)導(dǎo)關(guān)心的熱點(diǎn)問題和管理薄弱環(huán)節(jié)典型例子： 兼并收購時(shí)調(diào)查被投資公司的內(nèi)部管理和 流程操作，了解薄弱環(huán)節(jié)或其他影響并購 交易的重大事項(xiàng)，從而確定管理方法和 并購策略咨詢顧問145構(gòu)建企業(yè)風(fēng)險(xiǎn)管理的關(guān)鍵成功要素1.

股東確立對(duì)企業(yè)監(jiān)督的機(jī)制，考慮是否需要在集團(tuán)層面：引入以董事會(huì)領(lǐng)導(dǎo)的管理體制聘任有經(jīng)驗(yàn)的外部董事，來加強(qiáng)對(duì)企業(yè)的監(jiān)督要求企業(yè)建立風(fēng)險(xiǎn)管理和內(nèi)控系統(tǒng)，并對(duì)其運(yùn)作及有效性作出定期的匯報(bào)構(gòu)建企業(yè)風(fēng)險(xiǎn)管理的關(guān)鍵成功要素1. 股東確立對(duì)企業(yè)監(jiān)督的機(jī)制1462. 管理高層的支持和參與確立方向和目標(biāo)營造必要的環(huán)境為平衡風(fēng)險(xiǎn)與回報(bào)作出戰(zhàn)略性的決定風(fēng)險(xiǎn)回報(bào)風(fēng)險(xiǎn)與回報(bào)成正比？風(fēng)險(xiǎn)調(diào)整風(fēng)險(xiǎn)后的回報(bào)冒險(xiǎn)程度

–不夠進(jìn)取冒險(xiǎn)程度–高危冒險(xiǎn)程度–理想范圍2. 管理高層的支持和參與風(fēng)險(xiǎn)回報(bào)風(fēng)險(xiǎn)與回報(bào)成正比？風(fēng)險(xiǎn)調(diào)整1473. 建立風(fēng)險(xiǎn)管理文化風(fēng)險(xiǎn)管理的手段，必須融入日常的管理流程通過討論和培訓(xùn)，使風(fēng)險(xiǎn)管理的實(shí)施得到“全民”的支持通過經(jīng)驗(yàn)的分享，不斷加強(qiáng)風(fēng)險(xiǎn)管理的認(rèn)同性4. 采用先進(jìn)的風(fēng)險(xiǎn)管理的實(shí)施方法借鑒如美國Treadway委員會(huì)所提出的COSO內(nèi)控框架采用各種識(shí)別和度量風(fēng)險(xiǎn)的先進(jìn)的方法采用標(biāo)準(zhǔn)的模板和程序確認(rèn)風(fēng)險(xiǎn)、評(píng)估風(fēng)險(xiǎn)、建立記錄和文檔、參考國際最佳實(shí)務(wù)，構(gòu)建信息管理系統(tǒng)和預(yù)警系統(tǒng)3. 建立風(fēng)險(xiǎn)管理文化148二、大型集團(tuán)風(fēng)險(xiǎn)管理分析形成了中國神華風(fēng)險(xiǎn)管理文化二、大型集團(tuán)風(fēng)險(xiǎn)管理分析形成了中國神華風(fēng)險(xiǎn)管理文化149大型集團(tuán)風(fēng)險(xiǎn)管理分析-150-大型集團(tuán)風(fēng)險(xiǎn)管理分析-64-150內(nèi)部控制與風(fēng)險(xiǎn)管理、企業(yè)管理的關(guān)系風(fēng)險(xiǎn)評(píng)估外部審計(jì)內(nèi)部控制控制環(huán)境內(nèi)部審計(jì)控制活動(dòng)信息溝通持續(xù)監(jiān)控風(fēng)險(xiǎn)管理目標(biāo)設(shè)定風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)應(yīng)對(duì)企業(yè)管理各項(xiàng)經(jīng)營管理活動(dòng)，如戰(zhàn)略管理、人力資源管理、財(cái)務(wù)管理、資產(chǎn)管理等風(fēng)險(xiǎn)戰(zhàn)略治理結(jié)構(gòu)組織體系風(fēng)險(xiǎn)理財(cái)正確認(rèn)識(shí)內(nèi)控與審計(jì)、風(fēng)險(xiǎn)管理、企業(yè)管理的關(guān)系-151-內(nèi)部控制與風(fēng)險(xiǎn)管理、企業(yè)管理的關(guān)系風(fēng)險(xiǎn)評(píng)估外部審計(jì)內(nèi)部控制控151內(nèi)部控制系統(tǒng)與風(fēng)險(xiǎn)管理、企業(yè)管理的關(guān)系風(fēng)險(xiǎn)管理利用風(fēng)險(xiǎn)評(píng)估方法發(fā)現(xiàn)企業(yè)固有風(fēng)險(xiǎn)評(píng)價(jià)其可能性或者損失用內(nèi)部控制的措施進(jìn)行控制得到企業(yè)的剩余風(fēng)險(xiǎn)固有風(fēng)險(xiǎn)-內(nèi)部控制=剩余風(fēng)險(xiǎn)企業(yè)的剩余風(fēng)險(xiǎn)企業(yè)對(duì)風(fēng)險(xiǎn)的容忍度內(nèi)部控制系統(tǒng)與風(fēng)險(xiǎn)管理、企業(yè)管理的關(guān)系風(fēng)險(xiǎn)管理152企業(yè)價(jià)值地圖-153-企業(yè)價(jià)值地圖-67-153信息技術(shù)環(huán)境下的內(nèi)部審計(jì)課件154華電財(cái)務(wù)風(fēng)險(xiǎn)管理建設(shè)方案1、全面風(fēng)險(xiǎn)管理解決方案2、財(cái)務(wù)風(fēng)險(xiǎn)管理解決方案

1)、目標(biāo)管理； 2)、風(fēng)險(xiǎn)體系； 3)、風(fēng)險(xiǎn)識(shí)別； 4)、風(fēng)險(xiǎn)評(píng)估 5)、風(fēng)險(xiǎn)監(jiān)控-155-華電財(cái)務(wù)風(fēng)險(xiǎn)管理建設(shè)方案1、全面風(fēng)險(xiǎn)管理解決方案-69-155-156-企業(yè)全面風(fēng)險(xiǎn)分類法律風(fēng)險(xiǎn)運(yùn)營風(fēng)險(xiǎn)戰(zhàn)略風(fēng)險(xiǎn)財(cái)務(wù)風(fēng)險(xiǎn)市場風(fēng)險(xiǎn)企業(yè)風(fēng)險(xiǎn)1、全面風(fēng)險(xiǎn)分類-70-企業(yè)全面風(fēng)險(xiǎn)分類法律風(fēng)險(xiǎn)運(yùn)營風(fēng)險(xiǎn)戰(zhàn)略風(fēng)險(xiǎn)財(cái)務(wù)風(fēng)險(xiǎn)市場1562、全面風(fēng)險(xiǎn)管理解決方案-157-2、全面風(fēng)險(xiǎn)管理解決方案-71-1573、財(cái)務(wù)風(fēng)險(xiǎn)管理解決方案理論依據(jù)2004年，國資委開展組織研究國有企業(yè)風(fēng)險(xiǎn)管理工作2006年，國資委發(fā)布《全面風(fēng)險(xiǎn)管理指引綱要》2007年，在大型企業(yè)風(fēng)險(xiǎn)管理論壇上國資委表示，風(fēng)險(xiǎn)管理將成為國資委對(duì)央企領(lǐng)導(dǎo)人員考核和評(píng)價(jià)央企的重要指標(biāo)2008年，國資委《關(guān)于開展編報(bào)<2008年中央企業(yè)全面風(fēng)險(xiǎn)管理報(bào)告>試點(diǎn)工作有關(guān)事項(xiàng)的通知》（國資廳發(fā)改革〔2008〕5號(hào)），要求31家央企試點(diǎn)企業(yè)進(jìn)行全面風(fēng)險(xiǎn)報(bào)告的遞交2008年，財(cái)政部、證監(jiān)會(huì)、審計(jì)署、銀監(jiān)會(huì)、保監(jiān)會(huì)五部委聯(lián)合發(fā)布了《企業(yè)內(nèi)部控制基本規(guī)范》-158-3、財(cái)務(wù)風(fēng)險(xiǎn)管理解決方案理論依據(jù)-72-158-159-風(fēng)險(xiǎn)管理流程圖風(fēng)險(xiǎn)管理初始信息風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)管理策略風(fēng)險(xiǎn)管理解決方案風(fēng)險(xiǎn)管理的監(jiān)督改進(jìn)54321戰(zhàn)略風(fēng)險(xiǎn)、財(cái)務(wù)風(fēng)險(xiǎn)、市場風(fēng)險(xiǎn)、運(yùn)營風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)的初始信息收集風(fēng)險(xiǎn)辨識(shí)（針對(duì)業(yè)務(wù)、流程）風(fēng)險(xiǎn)分析（發(fā)生可能性高低、風(fēng)險(xiǎn)發(fā)生條件）風(fēng)險(xiǎn)評(píng)價(jià)（影響程度、風(fēng)險(xiǎn)價(jià)值）風(fēng)險(xiǎn)偏好、承受度、管理有效性標(biāo)準(zhǔn)；選擇風(fēng)險(xiǎn)管理工具（風(fēng)險(xiǎn)態(tài)度）風(fēng)險(xiǎn)解決具體目標(biāo)、組織領(lǐng)導(dǎo)、管理、流程、條件、手段；風(fēng)險(xiǎn)事件前、中、后采取的具體應(yīng)對(duì)措施以及風(fēng)險(xiǎn)管理工具對(duì)風(fēng)險(xiǎn)管理解決方案的實(shí)施情況的有效性進(jìn)行檢驗(yàn)風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)估和控制風(fēng)險(xiǎn)管理流程-73-風(fēng)險(xiǎn)管理流程圖風(fēng)險(xiǎn)管理初始信息風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)管理策略風(fēng)1592、財(cái)務(wù)風(fēng)險(xiǎn)管理解決方案風(fēng)險(xiǎn)體系管理風(fēng)險(xiǎn)分類戰(zhàn)略風(fēng)險(xiǎn)財(cái)務(wù)風(fēng)險(xiǎn)市場風(fēng)險(xiǎn)運(yùn)營風(fēng)險(xiǎn)法律風(fēng)險(xiǎn)系統(tǒng)管理屬性設(shè)置可能性損失度內(nèi)部控制體系維護(hù)流程管理風(fēng)險(xiǎn)應(yīng)對(duì)措施風(fēng)險(xiǎn)規(guī)避風(fēng)險(xiǎn)轉(zhuǎn)移風(fēng)險(xiǎn)降低風(fēng)險(xiǎn)接受風(fēng)險(xiǎn)利用指標(biāo)體系-160-2、財(cái)務(wù)風(fēng)險(xiǎn)管理解決方案風(fēng)險(xiǎn)體系管理風(fēng)險(xiǎn)分類系統(tǒng)管理屬性設(shè)置160