信息技術(shù)環(huán)境下的內(nèi)部審計課件

信息技術(shù)環(huán)境下內(nèi)部審計信息技術(shù)環(huán)境下內(nèi)部審計1

內(nèi)部審計與信息系統(tǒng)審計信息系統(tǒng)審計是與內(nèi)部審計緊密結(jié)合的，最早的計算機審計來源于內(nèi)部審計內(nèi)部審計與信息系統(tǒng)審計信息系統(tǒng)審計是與內(nèi)部審計緊密結(jié)合的，2

一、信息系統(tǒng)審計的起源與發(fā)展

1.1國外：八十年代、九十年代信息技術(shù)的進一步發(fā)展與普及，使得企業(yè)越來越依賴信息及信息系統(tǒng)。人們開始更多的關(guān)注信息系統(tǒng)的安全性、保密性、完整性及其實現(xiàn)企業(yè)目標的效率、效果，真正意義的信息系統(tǒng)風(fēng)險評估與審計出現(xiàn)。

一、信息系統(tǒng)審計的起源與發(fā)展

1.1國外：3

1.信息系統(tǒng)審計的起源與發(fā)展

1.1國外：

信息系統(tǒng)審計與控制協(xié)會ISACA總部設(shè)在美國芝加哥。目前該組織在世界上100多個國家設(shè)有160多個分會，現(xiàn)有會員兩萬多人，它是從事信息系統(tǒng)審計的專業(yè)人員唯一的國際性組織。

1.信息系統(tǒng)審計的起源與發(fā)展

1.1國外：4

1.信息系統(tǒng)審計的起源與發(fā)展

1.1國外：

CISA是信息系統(tǒng)審計領(lǐng)域的唯一職業(yè)資格

ISACA每年舉辦CISA資格考試，通過考試的人員可以申請CISA資格，符合ISACA規(guī)定的工作經(jīng)驗及其他相關(guān)要求的申請人會被授予CISA資格。CISA資格在世界各國都被廣泛的認可。國內(nèi)獲得此資格的有三百多人。

1.信息系統(tǒng)審計的起源與發(fā)展

1.1國外：5

1.信息系統(tǒng)審計的起源與發(fā)展

1.2國內(nèi)：

1994年2月，我國頒布了《中華人民共和國計算機信息系統(tǒng)安全保護條例》，提出了計算機信息系統(tǒng)實行安全等級保護的要求。安全等級保護的總體目標是確保信息安全和計算機信息系統(tǒng)安全正常運行，保障：信息的完整性、可用性、保密性、抗抵賴性、可控性等（其中完整性、可用性、保密性為基本安全特性要求）。

1.信息系統(tǒng)審計的起源與發(fā)展

1.2國內(nèi)：6

1.信息系統(tǒng)審計的起源與發(fā)展

1.2國內(nèi)：

1994年2月，我國頒布了《中華人民共和國計算機信息系統(tǒng)安全保護條例》，提出信息的完整性、可用性、保密性、抗抵賴性、可控性等要求。1999年2月9日，我國正式成立了中國國家信息安全測評認證中心。2002年4月15日全國信息安全標準化技術(shù)委員會（簡稱信息安全標委會，TC260）。2005年12月16日國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組正式通過了《信息安全風(fēng)險評估指南》。

1.信息系統(tǒng)審計的起源與發(fā)展

1.2國內(nèi)：7管理計劃與IS的組織信息資產(chǎn)的保護災(zāi)難備份與業(yè)務(wù)持續(xù)計劃技術(shù)基礎(chǔ)與操作實務(wù)業(yè)務(wù)應(yīng)用系統(tǒng)的開發(fā)取得實施與維護業(yè)務(wù)過程評價與風(fēng)險管理

2.信息系統(tǒng)審計的內(nèi)容

管理計劃與IS的組織信息資產(chǎn)的保護災(zāi)難備份與業(yè)務(wù)持續(xù)計劃技術(shù)8一般控制靜態(tài)IS的構(gòu)成管理角度管理計劃與IS的組織(C2)技術(shù)角度技術(shù)基礎(chǔ)與操作實務(wù)(C3)IS的控制與安全正常情況信息資產(chǎn)的保護(C4)非常情況災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計劃(C5)動態(tài)業(yè)務(wù)應(yīng)用系統(tǒng)的開發(fā)取得實施與維護(C6)應(yīng)用控制業(yè)務(wù)過程評價與風(fēng)險管理(C7)

3.信息系統(tǒng)審計與內(nèi)部控制

管理角度管理計劃與IS的組織(C2)技術(shù)角度技術(shù)基礎(chǔ)與操作實9

4.信息系統(tǒng)審計的標準與依據(jù)

計算機系統(tǒng)安全評估標準（TCSEC）由美國國防部于1985年公布的，是計算機系統(tǒng)信息安全評估的第一個正式標準。它把計算機系統(tǒng)的安全分為4類、7個級別，對用戶登錄、授權(quán)管理、訪問控制、審計跟蹤、隱蔽通道分析、可信通道建立、安全檢測、生命周期保障、文檔寫作、用戶指南等內(nèi)容提出了規(guī)范性要求。

4.信息系統(tǒng)審計的標準與依據(jù)

10

4.信息系統(tǒng)審計的標準與依據(jù)

信息技術(shù)安全評價的通用標準（CC）由六個國家（美、加、英、法、德、荷）于1996年聯(lián)合提出的，并逐漸形成國際標準ISO15408。該標準定義了評價信息技術(shù)產(chǎn)品和系統(tǒng)安全性的基本準則.CC標準是第一個信息技術(shù)安全評價國際標準，它的發(fā)布對信息安全具有重要意義，是信息技術(shù)安全評價標準以及信息安全技術(shù)發(fā)展的一個重要里程碑。

4.信息系統(tǒng)審計的標準與依據(jù)

信息技術(shù)安全評價的11

4.信息系統(tǒng)審計的標準與依據(jù)

ISO13335標準首次給出了關(guān)于IT安全的保密性、完整性、可用性、審計性、認證性、可靠性6個方面含義，并提出了以風(fēng)險為核心的安全模型：企業(yè)的資產(chǎn)面臨很多威脅（包括來自內(nèi)部的威脅和來自外部的威脅）；利用信息系統(tǒng)存在的各種漏洞（如：物理環(huán)境、網(wǎng)絡(luò)服務(wù)、主機系統(tǒng)、應(yīng)用系統(tǒng)、相關(guān)人員、安全策略等），對信息系統(tǒng)進行滲透和攻擊。

4.信息系統(tǒng)審計的標準與依據(jù)

12

4.信息系統(tǒng)審計的標準與依據(jù)

“信息系統(tǒng)和技術(shù)控制目標”（COBIT）是IT治理的一個開放性標準，目前已成為國際上公認的最先進、最權(quán)威的安全與信息技術(shù)管理和控制的標準。該標準為IT的治理、安全與控制提供了一個一般適用的公認的標準，以輔助管理層進行IT治理。該標準體系已在世界一百多個國家的重要組織與企業(yè)中運用，指導(dǎo)這些組織有效利用信息資源，有效地管理與信息相關(guān)的風(fēng)險。

4.信息系統(tǒng)審計的標準與依據(jù)

13

4.信息系統(tǒng)審計的標準與依據(jù)

4.信息系統(tǒng)審計的標準與依據(jù)

14

4.信息系統(tǒng)審計的標準與依據(jù)

4.信息系統(tǒng)審計的標準與依據(jù)

15

4.信息系統(tǒng)審計的標準與依據(jù)

4.信息系統(tǒng)審計的標準與依據(jù)

16

5.信息系統(tǒng)審計的過程

審計計劃和檢查：檢查被審計單位的IT政策、實務(wù)及組織結(jié)構(gòu)；檢查一般控制和應(yīng)用控制的情況；計劃控制測試和實質(zhì)性測試的程序；

5.信息系統(tǒng)審計的過程

17

5.信息系統(tǒng)審計的過程

控制測試：實施控制測試；評價測試結(jié)果；確定對控制的依賴程度；

5.信息系統(tǒng)審計的過程

18

5.信息系統(tǒng)審計的過程

實質(zhì)測試：實施實質(zhì)性測試；評價測試結(jié)果并簽發(fā)審計報告；審計報告

5.信息系統(tǒng)審計的過程

19

6.信息系統(tǒng)審計的技術(shù)

6.信息系統(tǒng)審計的技術(shù)

20內(nèi)部審計與IT治理內(nèi)部審計與IT治理21內(nèi)部審計方法戰(zhàn)略分析企業(yè)風(fēng)險評估制定內(nèi)審計劃內(nèi)審項目執(zhí)行報告問題的解決和跟蹤規(guī)劃執(zhí)行內(nèi)部審計方法戰(zhàn)略分析企業(yè)風(fēng)險評估制定內(nèi)審計劃內(nèi)審項目執(zhí)行報告22IT治理IT治理是信息系統(tǒng)審計和控制領(lǐng)域中一個相當(dāng)新的概念I(lǐng)T治理其定義匯集了以下3中觀點：Roberts.Roussey認為：IT治理用于掃描被委托治理實體的人員在監(jiān)督、檢查、控制和指導(dǎo)實體的過程中如何看待信息技術(shù)。IT的引用對于組織能否達到他的遠景、使命、戰(zhàn)略目標至關(guān)重要。德勤定義如下：IT治理是一個含義廣泛的概率，包括信息系統(tǒng)、技術(shù)、通訊、商業(yè)、所有利益相關(guān)者、合法性和其他問題。國際信息系統(tǒng)審計與控制協(xié)會（ISACA）定義如下：IT治理是一個由關(guān)系和過程所構(gòu)成的體制，用于知道如何控制企業(yè)，通過平衡信息技術(shù)與過程的風(fēng)險、增加價值來確保實現(xiàn)企業(yè)的目標。IT中國治理研究中心在綜合研究的基礎(chǔ)上提出如下定義：IT治理用于描述企業(yè)或征服是否采用有效的機制，使得IT引用能完成組織賦予的使命，同時平衡信息技術(shù)與過程的風(fēng)險，確保實現(xiàn)組織的戰(zhàn)略目標。IT治理23公司治理和IT治理公司治理是一個設(shè)計公司的管理層、董事會、股東和其他利益相關(guān)者之間的一整套關(guān)系體系，是在所有權(quán)和經(jīng)營權(quán)分離條件下，為解決所有者和經(jīng)營者因委托代理關(guān)系所產(chǎn)生的利益不一致，二建立起來的互相制衡機制，從而減低管理風(fēng)險，實現(xiàn)組織目標。IT治理關(guān)鍵因素是使IT與業(yè)務(wù)融合，以實現(xiàn)組織的業(yè)務(wù)價值。IT治理框架由一系列結(jié)構(gòu)、流程和相關(guān)機制組成。IT戰(zhàn)略委員會、風(fēng)險管理和標準IT平衡記分卡。作為公司治理的一個重要組成部分，IT治理包含了確定企業(yè)如何應(yīng)用IT的一系列問題。因此，在整個企業(yè)治理中，評價IT治理成為越來越重要的內(nèi)容公司治理和IT治理24IT治理與內(nèi)部審計

內(nèi)部審計是一種獨立、客觀的保證，是為了機構(gòu)增加價值并提高機構(gòu)的運行效率；它采用系統(tǒng)化、規(guī)范化的方法評價風(fēng)險管理、控制及治理過程并提高其效率，從而幫助實現(xiàn)組織目標。關(guān)于內(nèi)部審計在IT治理過程中的職責(zé)，美國的《薩班斯—奧克斯萊法》有明確規(guī)定，在美國上市公司內(nèi)部審計師應(yīng)幫助管理層對公司IT應(yīng)用控制和IT一般性控制進行評估并出具報告。IT治理與內(nèi)部審計

內(nèi)部審計是一種獨立、客觀的保證，是為了機25IT治理標準

一個有效的IT治理架構(gòu)需要理解組織的核心競爭力，并且在商業(yè)目標，治理原型，業(yè)務(wù)績效目標之間維持平衡，進而提出IT治理框架，指定決策以及如何在關(guān)鍵的信息技術(shù)領(lǐng)域去確定。IT治理標準

一個有效的IT治理架構(gòu)需要理解組織的核心競爭力26企業(yè)風(fēng)險管理的必要性企業(yè)風(fēng)險管理的必要性27案例一：美國安然公司(Enron)在2002年，安然是美國最大的石油和天然氣企業(yè)之一2001年末，安然宣布第三季度錄得6.4億美元的虧損，美國證監(jiān)會對該公司進行調(diào)查，發(fā)現(xiàn)該公司在1997以來虛報利潤5.8億美元2001年末，安然申請破產(chǎn)保護令，但在之前10個月內(nèi)，公司卻因股票價格超越預(yù)期目標而向董事及高級管理人員發(fā)放3.2億美元的紅利案例一：美國安然公司(Enron)在2002年，安然是美國28調(diào)查發(fā)現(xiàn)：安然的董事會及審計委員會均采取不干預(yù)(“hands-off”)監(jiān)控政策事件發(fā)生之后，部分董事表示不太了解安然的財務(wù)狀況、期貨及期權(quán)的業(yè)務(wù)安然重視短期的業(yè)績指標安然管理高層常常藐視或推翻公司制定的內(nèi)控制度調(diào)查發(fā)現(xiàn)：29企業(yè)風(fēng)險管理框架企業(yè)風(fēng)險管理框架30什么是風(fēng)險管理？企業(yè)風(fēng)險管理是一套由企業(yè)董事會與管理層共同設(shè)立、和與企業(yè)戰(zhàn)略相結(jié)合的管理流程。它的功能是識別那些會影響企業(yè)運作的潛在事件和把相關(guān)的風(fēng)險管理到一個企業(yè)可接受的水平，從而幫助企業(yè)達至它的目標。 美國內(nèi)控研究委員會什么是風(fēng)險管理？企業(yè)風(fēng)險管理是一套由企業(yè)董事會與管理層共同31企業(yè)為何要建立風(fēng)險管理？因為企業(yè)的股東與管理層常常要面對一些令他們寢食難安的問題。因此，企業(yè)需要系統(tǒng)化地建立一套風(fēng)險管理體制，從而識別影響企業(yè)盈利的關(guān)鍵因素，并對那些會影響企業(yè)達標的風(fēng)險進行監(jiān)控及管理企業(yè)為何要建立風(fēng)險管理？因為企業(yè)的股東與管理層常常要面對一些32股東對企業(yè)風(fēng)險管理最關(guān)心的四個問題：企業(yè)知道它所面對的主要風(fēng)險嗎？ 例如：什么風(fēng)險正在或?qū)绊懫髽I(yè)的業(yè)務(wù)？企業(yè)的品牌新產(chǎn)品、新市場的開發(fā)戰(zhàn)略聯(lián)盟客戶或供應(yīng)鏈的管理理想的情況： 企業(yè)能開發(fā)一套標準的、共通的風(fēng)險語言，從而識別企業(yè)所面對的風(fēng)險，并就其嚴重的程度進行排序。共通的風(fēng)險語言亦有利于企業(yè)上下層就風(fēng)險的管理進行溝通股東對企業(yè)風(fēng)險管理最關(guān)心的四個問題：企業(yè)知道它所面對的主要風(fēng)33企業(yè)是否已對這些風(fēng)險設(shè)置內(nèi)部控制？ 企業(yè)需要就各業(yè)務(wù)單位在日常運作中所面對的風(fēng)險(戰(zhàn)略性風(fēng)險、業(yè)務(wù)性風(fēng)險、流程性風(fēng)險)，構(gòu)建內(nèi)部控制(包括預(yù)防性控制及覺察性控制)，以確保企業(yè)能實現(xiàn)目標和符合各方面的法律、法規(guī)理想的情況： 企業(yè)就其所面對的風(fēng)險和采取的內(nèi)控，編制一套完整的文檔，并借鑒國際最佳的實務(wù)不斷進行檢討

企業(yè)是否已對這些風(fēng)險設(shè)置內(nèi)部控制？理想的情況： 企業(yè)就其所面34企業(yè)的內(nèi)部控制有效嗎？ 企業(yè)要對其內(nèi)控系統(tǒng)不間斷地進行監(jiān)控和測試，以確保其對風(fēng)險控制的能力理想的情況： 企業(yè)把各類風(fēng)險控制在可接受的水平，并在這基準上賺取合理的回報

企業(yè)的內(nèi)部控制有效嗎？理想的情況： 企業(yè)把各類風(fēng)險控制在可接35哪一些內(nèi)部控制必須改進？ 企業(yè)內(nèi)部和內(nèi)部環(huán)境的變化會不停地影響企業(yè)所面對的風(fēng)險和所應(yīng)采取的監(jiān)控措施理想的情況： 企業(yè)能建立一套具前瞻性的信息管理系統(tǒng)和預(yù)警系統(tǒng)，使企業(yè)能及時識別新生的風(fēng)險，并對相關(guān)的業(yè)務(wù)計劃、政策和程序進行修正

哪一些內(nèi)部控制必須改進？理想的情況： 企業(yè)能建立一套具前瞻性36企業(yè)風(fēng)險管理框架一個基礎(chǔ)三道防線管理層CEO第三道防線第二道防線第一道防線業(yè)務(wù)部門董事會風(fēng)險管理內(nèi)部審計審計委員會風(fēng)險管理委員會企業(yè)風(fēng)險管理框架一個基礎(chǔ)管理層第三道防線第二道防線第一道防線37風(fēng)險管理總目標一、全面風(fēng)險管理的目標-38-

財務(wù)報告真實可靠確保內(nèi)外部，尤其是企業(yè)與股東之間實現(xiàn)真實、可靠的信息溝通，包括編制和提供真實、可靠的財務(wù)報告；合規(guī)合法確保遵守有關(guān)法律法規(guī)；高效運營確保企業(yè)有關(guān)規(guī)章制度和為實現(xiàn)經(jīng)營目標而采取重大措施的貫徹執(zhí)行，保障經(jīng)營管理的有效性，提高經(jīng)營活動的效率和效果，降低實現(xiàn)經(jīng)營目標的不確定性；與戰(zhàn)略目標一致確保將風(fēng)險控制在與總體目標相適應(yīng)并可承受的范圍內(nèi)；應(yīng)對突發(fā)事件防止重大損失確保企業(yè)建立針對各項重大風(fēng)險發(fā)生后的危機處理計劃，保護企業(yè)不因災(zāi)害性風(fēng)險或人為失誤而遭受重大損失。

風(fēng)險管理總體目標風(fēng)險管理總目標一、全面風(fēng)險管理的目標-38-財務(wù)報告真38公司治理與風(fēng)險管理有什么關(guān)系？公司治理是風(fēng)險管理的一個必要的組成部份，因為它提供了對風(fēng)險由上而下的監(jiān)控與管理近年多個國家都訂立了公司治理的最佳守則：美國：紐約證交所最佳治理守則英國：Cadbury/HampelReport、TheCombinedCode加拿大：DeyReportOECDReport 這些最佳守則均清楚指出建立風(fēng)險管理是董事會及管理層的責(zé)任公司治理與風(fēng)險管理有什么關(guān)系？公司治理是風(fēng)險管理的一個必要的39如何構(gòu)建一個有利風(fēng)險管理的公司治理結(jié)構(gòu)？建立一個健全的、以董事會為首的公司治理結(jié)構(gòu)訂立企業(yè)的目標和戰(zhàn)略，包括企業(yè)的風(fēng)險政策和極限貫徹一套重視風(fēng)險管理的企業(yè)文化和價值觀如何構(gòu)建一個有利風(fēng)險管理的公司治理結(jié)構(gòu)？建立一個健全的、以董40第一道防線：業(yè)務(wù)單位防線業(yè)務(wù)單位包含了企業(yè)大部分的資產(chǎn)和業(yè)務(wù)，它們在日常工作中面對各類的風(fēng)險，是企業(yè)的前線企業(yè)必須把風(fēng)險管理的手段和內(nèi)控程序融入到業(yè)務(wù)單位的工作與流程中，才能建立好防范風(fēng)險的第一道防線第一道防線：業(yè)務(wù)單位防線業(yè)務(wù)單位包含了企業(yè)大部分的資產(chǎn)和業(yè)務(wù)41如何建立第一道防線了解企業(yè)戰(zhàn)略目標及可能影響企業(yè)達標的風(fēng)險識別風(fēng)險類別對相關(guān)風(fēng)險作出評估決定轉(zhuǎn)移、避免或減低風(fēng)險的策略計設(shè)及實施風(fēng)險策略的相關(guān)內(nèi)部控制如何建立第一道防線42(風(fēng)險宇宙TM)資信制度知識產(chǎn)權(quán)財務(wù)流動資產(chǎn)與信貸資本結(jié)構(gòu)市場財務(wù)報告營運法律生產(chǎn)程序營商環(huán)境市場結(jié)構(gòu)民風(fēng)與文化管治策略董事會活動交易并購變賣聲譽道德社區(qū)責(zé)任風(fēng)險管理董事會及管理層業(yè)績組織結(jié)構(gòu)監(jiān)察與溝通執(zhí)行籌劃與開發(fā)利益有關(guān)方供應(yīng)商政府顧客股東經(jīng)濟情況國家情況市場變化競爭對手人才資源雇員溝通有形資產(chǎn)機器、廠房與土地其他有形資產(chǎn)負債合約法規(guī)市場與銷售生產(chǎn)及流通商品/服務(wù)開發(fā)流程估值與選擇買家評估與甄選盡職調(diào)查并購后整合資信管理運營組織與監(jiān)察硬件軟件網(wǎng)絡(luò)無形資產(chǎn)知識管理信息現(xiàn)金管理對沖融資股東資本債務(wù)商品利率外匯稅務(wù)會計合規(guī)風(fēng)險宇宙(風(fēng)險宇宙TM)資信制度知識產(chǎn)權(quán)財務(wù)流動資產(chǎn)與資本結(jié)構(gòu)市場43戰(zhàn)略性風(fēng)險是指公司因作出戰(zhàn)略性錯誤的決定而導(dǎo)致經(jīng)濟上的損失戰(zhàn)略性風(fēng)險是業(yè)務(wù)單位、高級管理層和董事會的共同責(zé)任常見的戰(zhàn)略性風(fēng)險包括：企業(yè)的目標與方針市場潛在的威脅業(yè)務(wù)的范圍(深度與廣度)品牌及形象的建立戰(zhàn)略性風(fēng)險與戰(zhàn)略性伙伴的合作投資和融資的策略員工的素質(zhì)和雇員關(guān)系企業(yè)的信息及監(jiān)控系統(tǒng)戰(zhàn)略性風(fēng)險是指公司因作出戰(zhàn)略性錯誤的決定而導(dǎo)致經(jīng)濟上的損失戰(zhàn)44市場風(fēng)險是指因市場價格或利率波動而使公司產(chǎn)生經(jīng)濟損失的風(fēng)險構(gòu)成市場風(fēng)險的三大因素：因買賣或投資金融產(chǎn)品而產(chǎn)生的風(fēng)險因資產(chǎn)與負債錯配、或原材料與產(chǎn)成品價格不能同步浮動而產(chǎn)生的風(fēng)險資金流動性風(fēng)險常見的市場風(fēng)險包括：利率風(fēng)險外匯風(fēng)險股票與債券市場風(fēng)險商品價格風(fēng)險期貨、期權(quán)與衍生工具風(fēng)險市場風(fēng)險市場風(fēng)險是指因市場價格或利率波動而使公司產(chǎn)生經(jīng)濟損失的風(fēng)險市45操作風(fēng)險是指企業(yè)內(nèi)部流程、人為錯誤或外部因素而令公司產(chǎn)生經(jīng)濟損失的風(fēng)險，它包括了公司的流程風(fēng)險、人為風(fēng)險、系統(tǒng)風(fēng)險、事件風(fēng)險和業(yè)務(wù)風(fēng)險等流程風(fēng)險是指交易流程中出現(xiàn)錯誤而引致?lián)p失的風(fēng)險，流程包括如：銷售、定價、記錄、確認、出貨/提供服務(wù)等環(huán)節(jié)。流程風(fēng)險也包括合規(guī)性風(fēng)險人為風(fēng)險概指因員工缺乏知識和能力、缺乏誠信或道德操守而引致?lián)p失的風(fēng)險系統(tǒng)風(fēng)險是指因系統(tǒng)失靈、數(shù)據(jù)的存取和處理、系統(tǒng)的安全和可用性、系統(tǒng)的非法接入與使用而引致?lián)p失的風(fēng)險事件風(fēng)險是指因內(nèi)部或外部欺詐、市場扭曲、人為或自然災(zāi)害而引致?lián)p失的風(fēng)險業(yè)務(wù)風(fēng)險是指因市場或競爭環(huán)境出現(xiàn)預(yù)期以外的變化而引致?lián)p失的風(fēng)險，所涉及的問題包括市場策略、客戶管理、產(chǎn)品開發(fā)、銷售渠道和定價等領(lǐng)域操作風(fēng)險操作風(fēng)險是指企業(yè)內(nèi)部流程、人為錯誤或外部因素而令公司產(chǎn)生經(jīng)濟46風(fēng)險發(fā)生的可能性評分可能性說明5幾乎肯定在未來12個月內(nèi)，這項風(fēng)險幾乎肯定會出現(xiàn)至少1次4極可能在未來12個月，這項風(fēng)險極可能出現(xiàn)1次3可能在未來2至10年內(nèi)，這項風(fēng)險可能出現(xiàn)1次2低在未來10至100年內(nèi)，這項風(fēng)險可能出現(xiàn)至少1次1極低這項風(fēng)險出現(xiàn)的可能性極低，估計在100年內(nèi)出現(xiàn)的可能性少于1次風(fēng)險發(fā)生的可能性評分可能性說明5幾乎肯定在未來12個月內(nèi)，這47評分損失程度說明5災(zāi)難令企業(yè)失去繼續(xù)運作的能力(或占稅前利潤達20%)4重大對于企業(yè)在爭取完成其策略性計劃和目標，造成重大影響(5-10%稅前利潤)3中等對于企業(yè)在爭取完成其策略性計劃和目標的過程，在一定程度上造成阻礙(至5%稅前利潤)2輕微對于企業(yè)在爭取完成其策略性計劃和目標，只造成輕微影響(至1%稅前利潤)1近乎沒有影響程度十分輕微風(fēng)險對企業(yè)造成的影響評分損失程度說明5災(zāi)難令企業(yè)失去繼續(xù)運作的能力(或占稅前利潤48評分有效性說明5極度過頭處理方法能直接針對該項風(fēng)險，但相信會令企業(yè)業(yè)績“倒退”或成本過高4過頭處理方法能直接針對該項風(fēng)險，但由于需要投入大量資源或/及將其他資源轉(zhuǎn)到處理該項風(fēng)險上，會對企業(yè)的效率造成影響3適中處理方法有效針對該項風(fēng)險，同時并不影響企業(yè)的效率2低效處理方法針對該項風(fēng)險的效果不理想，或投入處理該風(fēng)險的資源不充分或/及對投入的資源未有適當(dāng)利用1近乎沒有效果處理方法的效果十分低，可能是由于企業(yè)根本沒有處理方法，又或處理手法不當(dāng)風(fēng)險處理方法的效果評分有效性說明5極度過頭處理方法能直接針對該項風(fēng)險，但相信會49風(fēng)險地圖(或風(fēng)險共同語言)影響程度近乎沒有輕微中等重大災(zāi)難幾乎肯定極可能可能低極低BCAGIDJKHEF可能性說明:A–人力資源風(fēng)險B–財務(wù)風(fēng)險C–競爭風(fēng)險D–開發(fā)風(fēng)險E–過度自信風(fēng)險F–系統(tǒng)故障風(fēng)險G–主要客戶風(fēng)險H–欺詐風(fēng)險I–政治風(fēng)險J–薪酬獎勵風(fēng)險K–科技風(fēng)險風(fēng)險地圖(或風(fēng)險共同語言)影響程度近乎沒有輕微中等重大災(zāi)難幾50大型集團風(fēng)險管理分析風(fēng)險控制地圖大型集團風(fēng)險管理分析風(fēng)險控制地圖51風(fēng)險處理組合

處理評級風(fēng)險評級近乎沒有效果低效適中超標極度極高高中等低BCAGIDJKHE說明:A–人力資源風(fēng)險B–財務(wù)風(fēng)險C–競爭風(fēng)險D–開發(fā)風(fēng)險E–過度自信風(fēng)險F–系統(tǒng)故障風(fēng)險G–主要客戶風(fēng)險H–欺詐風(fēng)險I–政治風(fēng)險J–薪酬獎勵風(fēng)險K–科技風(fēng)險F采取行動密切監(jiān)控定期審閱風(fēng)險處理組合處理評級風(fēng)險評級近乎沒有效果低效適中超標52風(fēng)險處理策略影響程度可能性轉(zhuǎn)移避免小心管理可接受大小高低風(fēng)險處理策略影響程度可能性轉(zhuǎn)移避免小心管理可接受大小高低53風(fēng)險策略避免禁止交易減少或限制交易量離開市場轉(zhuǎn)移套期保險策略性聯(lián)盟其他分擔(dān)風(fēng)險的安排小心管理投資廣泛保護的安排訂價反映風(fēng)險程度可接受自我保險預(yù)留儲備增加監(jiān)督風(fēng)險處理策略影響程度大小可能性轉(zhuǎn)移避免小心管理可接受高低風(fēng)險策略小心管理風(fēng)險處理策略影響程度大小可能性轉(zhuǎn)移避免小心管54企業(yè)建立的第一道防線，就是要各業(yè)務(wù)單位就其戰(zhàn)略性風(fēng)險、信貸風(fēng)險、市場風(fēng)場和操作風(fēng)險等等，系統(tǒng)化地進行分析、確認、度量、管理和監(jiān)控企業(yè)需要把評估風(fēng)險與內(nèi)控措施的結(jié)果進行記錄和存檔，對內(nèi)控措施的有效性不斷進行測試和更新第一道防線：總結(jié)管理層CEO第三道防線第二道防線第一道防線業(yè)務(wù)部門董事會風(fēng)險管理內(nèi)部審計審計委員會風(fēng)險管理委員會企業(yè)建立的第一道防線，就是要各業(yè)務(wù)單位就其戰(zhàn)略性風(fēng)險、信貸風(fēng)55第二道防線：風(fēng)險管理單位防線第二道防線是在業(yè)務(wù)單位之上建立一個更高層次的風(fēng)險管理功能，它的組成部份可能包括風(fēng)險管理部門、信貸審批委員會、投資審批委員會風(fēng)險管理部的責(zé)任是領(lǐng)導(dǎo)和協(xié)調(diào)公司內(nèi)各單位在管理風(fēng)險方面的工作，它的職責(zé)包括：編制規(guī)章制度對各業(yè)務(wù)單位的風(fēng)險進行組合管理度量風(fēng)險和評估風(fēng)險的界限建立風(fēng)險信息系統(tǒng)和預(yù)警系統(tǒng)、厘定關(guān)鍵風(fēng)險指標負責(zé)風(fēng)險信息披露、溝通、協(xié)調(diào)員工培訓(xùn)和學(xué)習(xí)的工作按風(fēng)險與回報的分析，為各業(yè)務(wù)單位分配經(jīng)濟資本金第二道防線：風(fēng)險管理單位防線第二道防線是在業(yè)務(wù)單位之上建立一56“內(nèi)部審計是一項獨立、客觀的審查和咨詢活動，其目的在于增加企業(yè)的價值和改進經(jīng)營。內(nèi)審?fù)ㄟ^系統(tǒng)的方法，評價和改進企業(yè)的風(fēng)險管理、控制和治理流程的效益，幫助企業(yè)實現(xiàn)其目標?！泵绹鴥?nèi)部審計師協(xié)會第三道防線：內(nèi)審單位防線第三道防線涉及一個獨立于業(yè)務(wù)單位的部門，監(jiān)控企業(yè)內(nèi)控和其他企業(yè)關(guān)心的問題內(nèi)部審計的定義：“內(nèi)部審計是一項獨立、客觀的審查和咨詢活動，其目的在于增加企57內(nèi)部審計的三大功能財務(wù)監(jiān)督財務(wù)帳的可用性內(nèi)部管理和制度的執(zhí)行典型例子：檢查分、子公司上報總部的財務(wù)報表的 準確性以及執(zhí)行財務(wù)管理政策的情況經(jīng)營診斷管理審計以及效率和效益審計檢查和診斷經(jīng)營和管理過程中的偏差和失誤典型例子： 企業(yè)對某業(yè)務(wù)單位或某部門執(zhí)行效益審計 (一個輸入與產(chǎn)出的關(guān)系)內(nèi)部審計的三大功能財務(wù)監(jiān)督58咨詢顧問企業(yè)風(fēng)險管理和發(fā)展策略方面的咨詢調(diào)查領(lǐng)導(dǎo)關(guān)心的熱點問題和管理薄弱環(huán)節(jié)典型例子： 兼并收購時調(diào)查被投資公司的內(nèi)部管理和 流程操作，了解薄弱環(huán)節(jié)或其他影響并購 交易的重大事項，從而確定管理方法和 并購策略咨詢顧問59構(gòu)建企業(yè)風(fēng)險管理的關(guān)鍵成功要素1.

股東確立對企業(yè)監(jiān)督的機制，考慮是否需要在集團層面：引入以董事會領(lǐng)導(dǎo)的管理體制聘任有經(jīng)驗的外部董事，來加強對企業(yè)的監(jiān)督要求企業(yè)建立風(fēng)險管理和內(nèi)控系統(tǒng)，并對其運作及有效性作出定期的匯報構(gòu)建企業(yè)風(fēng)險管理的關(guān)鍵成功要素1. 股東確立對企業(yè)監(jiān)督的機制602. 管理高層的支持和參與確立方向和目標營造必要的環(huán)境為平衡風(fēng)險與回報作出戰(zhàn)略性的決定風(fēng)險回報風(fēng)險與回報成正比？風(fēng)險調(diào)整風(fēng)險后的回報冒險程度

–不夠進取冒險程度–高危冒險程度–理想范圍2. 管理高層的支持和參與風(fēng)險回報風(fēng)險與回報成正比？風(fēng)險調(diào)整613. 建立風(fēng)險管理文化風(fēng)險管理的手段，必須融入日常的管理流程通過討論和培訓(xùn)，使風(fēng)險管理的實施得到“全民”的支持通過經(jīng)驗的分享，不斷加強風(fēng)險管理的認同性4. 采用先進的風(fēng)險管理的實施方法借鑒如美國Treadway委員會所提出的COSO內(nèi)控框架采用各種識別和度量風(fēng)險的先進的方法采用標準的模板和程序確認風(fēng)險、評估風(fēng)險、建立記錄和文檔、參考國際最佳實務(wù)，構(gòu)建信息管理系統(tǒng)和預(yù)警系統(tǒng)3. 建立風(fēng)險管理文化62二、大型集團風(fēng)險管理分析形成了中國神華風(fēng)險管理文化二、大型集團風(fēng)險管理分析形成了中國神華風(fēng)險管理文化63大型集團風(fēng)險管理分析-64-大型集團風(fēng)險管理分析-64-64內(nèi)部控制與風(fēng)險管理、企業(yè)管理的關(guān)系風(fēng)險評估外部審計內(nèi)部控制控制環(huán)境內(nèi)部審計控制活動信息溝通持續(xù)監(jiān)控風(fēng)險管理目標設(shè)定風(fēng)險識別風(fēng)險應(yīng)對企業(yè)管理各項經(jīng)營管理活動，如戰(zhàn)略管理、人力資源管理、財務(wù)管理、資產(chǎn)管理等風(fēng)險戰(zhàn)略治理結(jié)構(gòu)組織體系風(fēng)險理財正確認識內(nèi)控與審計、風(fēng)險管理、企業(yè)管理的關(guān)系-65-內(nèi)部控制與風(fēng)險管理、企業(yè)管理的關(guān)系風(fēng)險評估外部審計內(nèi)部控制控65內(nèi)部控制系統(tǒng)與風(fēng)險管理、企業(yè)管理的關(guān)系風(fēng)險管理利用風(fēng)險評估方法發(fā)現(xiàn)企業(yè)固有風(fēng)險評價其可能性或者損失用內(nèi)部控制的措施進行控制得到企業(yè)的剩余風(fēng)險固有風(fēng)險-內(nèi)部控制=剩余風(fēng)險企業(yè)的剩余風(fēng)險企業(yè)對風(fēng)險的容忍度內(nèi)部控制系統(tǒng)與風(fēng)險管理、企業(yè)管理的關(guān)系風(fēng)險管理66企業(yè)價值地圖-67-企業(yè)價值地圖-67-67信息技術(shù)環(huán)境下的內(nèi)部審計課件68華電財務(wù)風(fēng)險管理建設(shè)方案1、全面風(fēng)險管理解決方案2、財務(wù)風(fēng)險管理解決方案

1)、目標管理； 2)、風(fēng)險體系； 3)、風(fēng)險識別； 4)、風(fēng)險評估 5)、風(fēng)險監(jiān)控-69-華電財務(wù)風(fēng)險管理建設(shè)方案1、全面風(fēng)險管理解決方案-69-69-70-企業(yè)全面風(fēng)險分類法律風(fēng)險運營風(fēng)險戰(zhàn)略風(fēng)險財務(wù)風(fēng)險市場風(fēng)險企業(yè)風(fēng)險1、全面風(fēng)險分類-70-企業(yè)全面風(fēng)險分類法律風(fēng)險運營風(fēng)險戰(zhàn)略風(fēng)險財務(wù)風(fēng)險市場702、全面風(fēng)險管理解決方案-71-2、全面風(fēng)險管理解決方案-71-713、財務(wù)風(fēng)險管理解決方案理論依據(jù)2004年，國資委開展組織研究國有企業(yè)風(fēng)險管理工作2006年，國資委發(fā)布《全面風(fēng)險管理指引綱要》2007年，在大型企業(yè)風(fēng)險管理論壇上國資委表示，風(fēng)險管理將成為國資委對央企領(lǐng)導(dǎo)人員考核和評價央企的重要指標2008年，國資委《關(guān)于開展編報<2008年中央企業(yè)全面風(fēng)險管理報告>試點工作有關(guān)事項的通知》（國資廳發(fā)改革〔2008〕5號），要求31家央企試點企業(yè)進行全面風(fēng)險報告的遞交2008年，財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會五部委聯(lián)合發(fā)布了《企業(yè)內(nèi)部控制基本規(guī)范》-72-3、財務(wù)風(fēng)險管理解決方案理論依據(jù)-72-72-73-風(fēng)險管理流程圖風(fēng)險管理初始信息風(fēng)險評估風(fēng)險管理策略風(fēng)險管理解決方案風(fēng)險管理的監(jiān)督改進54321戰(zhàn)略風(fēng)險、財務(wù)風(fēng)險、市場風(fēng)險、運營風(fēng)險、法律風(fēng)險的初始信息收集風(fēng)險辨識（針對業(yè)務(wù)、流程）風(fēng)險分析（發(fā)生可能性高低、風(fēng)險發(fā)生條件）風(fēng)險評價（影響程度、風(fēng)險價值）風(fēng)險偏好、承受度、管理有效性標準；選擇風(fēng)險管理工具（風(fēng)險態(tài)度）風(fēng)險解決具體目標、組織領(lǐng)導(dǎo)、管理、流程、條件、手段；風(fēng)險事件前、中、后采取的具體應(yīng)對措施以及風(fēng)險管理工具對風(fēng)險管理解決方案的實施情況的有效性進行檢驗風(fēng)險分析風(fēng)險評估和控制風(fēng)險管理流程-73-風(fēng)險管理流程圖風(fēng)險管理初始信息風(fēng)險評估風(fēng)險管理策略風(fēng)732、財務(wù)風(fēng)險管理解決方案風(fēng)險體系管理風(fēng)險分類戰(zhàn)略風(fēng)險財務(wù)風(fēng)險市場風(fēng)險運營風(fēng)險法律風(fēng)險系統(tǒng)管理屬性設(shè)置可能性損失度內(nèi)部控制體系維護流程管理風(fēng)險應(yīng)對措施風(fēng)險規(guī)避風(fēng)險轉(zhuǎn)移風(fēng)險降低風(fēng)險接受風(fēng)險利用指標體系-74-2、財務(wù)風(fēng)險管理解決方案風(fēng)險體系管理風(fēng)險分類系統(tǒng)管理屬性設(shè)置742、財務(wù)風(fēng)險管理解決方案風(fēng)險體系管理風(fēng)險分類戰(zhàn)略風(fēng)險財務(wù)風(fēng)險市場風(fēng)險運營風(fēng)險法律風(fēng)險系統(tǒng)管理屬性設(shè)置可能性損失度內(nèi)部控制體系維護流程管理風(fēng)險應(yīng)對措施風(fēng)險規(guī)避風(fēng)險轉(zhuǎn)移風(fēng)險降低風(fēng)險接受風(fēng)險利用指標體系-75-2、財務(wù)風(fēng)險管理解決方案風(fēng)險體系管理風(fēng)險分類系統(tǒng)管理屬性設(shè)置75您現(xiàn)在的位置：風(fēng)險識別﹥﹥調(diào)查問卷2.財務(wù)風(fēng)險管理解決方案-風(fēng)險識別風(fēng)險識別風(fēng)險事件分析風(fēng)險指標分析調(diào)查問卷訪談業(yè)務(wù)流程分析風(fēng)險清單管理問卷填寫問卷收集問卷統(tǒng)計問卷發(fā)放問卷設(shè)計企業(yè)環(huán)境分析-76-您現(xiàn)在的位置：風(fēng)險識別﹥﹥調(diào)查問卷2.財務(wù)風(fēng)險管理解決方案-76風(fēng)險分析風(fēng)險評價風(fēng)險地圖可能性分析影響度分析風(fēng)險測評表部門風(fēng)險測評表重大風(fēng)險清單風(fēng)險坐標圖各部門風(fēng)險等級堆積圖XX部門風(fēng)險堆積圖2.財務(wù)風(fēng)險管理解決方案-風(fēng)險評估建設(shè)思路-77-風(fēng)險分析風(fēng)險評價風(fēng)險地圖可能性分析影響度分析風(fēng)險測評表部門風(fēng)772.財務(wù)風(fēng)險管理解決方案-風(fēng)險評估風(fēng)險評估方法——敏感性分析樣例：風(fēng)險評估風(fēng)險地圖風(fēng)險分析風(fēng)險評價-78-2.財務(wù)風(fēng)險管理解決方案-風(fēng)險評估風(fēng)險評估方法——敏感性分析78-79-風(fēng)險坐標圖法承擔(dān)A區(qū)域中的各項風(fēng)險且不再增加控制措施嚴格控制B區(qū)域中的各項風(fēng)險且專門補充制定各項控制措施確保規(guī)避和轉(zhuǎn)移C區(qū)域中的各項風(fēng)險且優(yōu)先安排實施各項防范措施A區(qū)域極低低中等高極高可能性B區(qū)域C區(qū)域B區(qū)域02010403低高風(fēng)險評估風(fēng)險評價風(fēng)險地圖風(fēng)險分析您現(xiàn)在的位置：風(fēng)險評估﹥﹥風(fēng)險地圖影響程度

01庫存現(xiàn)金風(fēng)險02應(yīng)收賬款風(fēng)險03長期借款風(fēng)險04發(fā)電標煤單價風(fēng)險-79-風(fēng)險坐標圖法承擔(dān)A區(qū)域中的各項風(fēng)險且不再增加控制措施79-80-風(fēng)險應(yīng)對與控制2.財務(wù)風(fēng)險管理解決方案-應(yīng)對與控制您現(xiàn)在的位置：風(fēng)險應(yīng)對與控制﹥﹥風(fēng)險應(yīng)對方案效果與反饋風(fēng)險應(yīng)對方案風(fēng)險應(yīng)對措施企業(yè)目標具體目標關(guān)鍵因素風(fēng)險偏好風(fēng)險策略內(nèi)部控制流程風(fēng)險應(yīng)對措施應(yīng)對方案負責(zé)人處置方式補充流動資金100,000,000元資產(chǎn)負債率資產(chǎn)負債率可容忍度85%轉(zhuǎn)移降低籌資內(nèi)控管理集團財務(wù)公司內(nèi)部借款5000萬，剩余5000萬向銀行借款；張三集團借款超過1個月，銀行放款超過6個月降低煤炭采購成本

控制煤炭采購價格低于盈虧平衡點

原煤出廠價格適度接受煤價上漲導(dǎo)致的成本上升，利潤減少風(fēng)險風(fēng)險控制燃料采購管理流程1、健全跨區(qū)域協(xié)調(diào)采購調(diào)運機制2、杜絕虧噸、虧卡，降低場損和熱值差

3、結(jié)合電量計劃、煤耗供應(yīng)形勢和庫存狀況，合理制定煤炭采購計劃

張三系統(tǒng)預(yù)警提示、電子郵件、手機短信-80-風(fēng)險應(yīng)對與控制2.財務(wù)風(fēng)險管理解決方案-應(yīng)對與控802.財務(wù)風(fēng)險管理解決方案-風(fēng)險監(jiān)控與報告模塊定義您現(xiàn)在的位置：首頁﹥﹥風(fēng)險監(jiān)控與報告重大風(fēng)險監(jiān)控表風(fēng)險編號：GZ08M.01.01

所涉及內(nèi)控流程：燃料成本管理流程流程目標：規(guī)范燃料管理體系，降低燃料成本流程層面影響流程目標實現(xiàn)的風(fēng)險：XXXX風(fēng)險控制點描述：XXXX控制發(fā)生的頻率(選擇)：每月/每季/每周/每天/頻繁發(fā)生/按需不定期/系統(tǒng)控制/半年控制類型（選擇）:過程核查/系統(tǒng)設(shè)置/關(guān)鍵績效指標/例外情況報告和預(yù)警報告/配置帳項映射控制系統(tǒng)/系統(tǒng)訪問權(quán)限/管理層審閱/部門內(nèi)審查/職責(zé)分工/文件頁面保留/其他控制點負責(zé)部門:燃料管理部門控制點負責(zé)人:張三是否適用集團公司:是是否適用二級單位:否控制點執(zhí)行日期:2009-05-12風(fēng)險指標預(yù)警風(fēng)險監(jiān)控與報告突發(fā)風(fēng)險處理風(fēng)險報告突發(fā)風(fēng)險處理風(fēng)險預(yù)警報告突發(fā)風(fēng)險處理風(fēng)險分析報告風(fēng)險事件處理危機管理重大風(fēng)險監(jiān)控-81-2.財務(wù)風(fēng)險管理解決方案-風(fēng)險監(jiān)控與報告模塊定義您現(xiàn)在的位置81風(fēng)險事件處理記錄表-82-風(fēng)險指標預(yù)警風(fēng)險監(jiān)控與報告突發(fā)風(fēng)險處理風(fēng)險報告突發(fā)風(fēng)險處理風(fēng)險預(yù)警報告突發(fā)風(fēng)險處理風(fēng)險分析報告重大風(fēng)險監(jiān)控危機管理風(fēng)險事件處理風(fēng)險事件處理記錄表-82-風(fēng)險指標預(yù)警風(fēng)險監(jiān)控與報告突發(fā)822.財務(wù)風(fēng)險管理解決方案-風(fēng)險監(jiān)控與報告2、任務(wù)編組緊急應(yīng)變小組危機處理小組營運持續(xù)執(zhí)行小組危機管理機制及時溝通說明遺留問題處理評估、總結(jié)、整改事故一線調(diào)研應(yīng)急預(yù)案實施協(xié)調(diào)干系機構(gòu)…3、危機應(yīng)對應(yīng)急預(yù)案準備人力資源貯備物力資源準備組織應(yīng)急培訓(xùn)1、應(yīng)急準備4、善后處理風(fēng)險指標預(yù)警風(fēng)險監(jiān)控與報告突發(fā)風(fēng)險處理風(fēng)險報告突發(fā)風(fēng)險處理風(fēng)險預(yù)警報告突發(fā)風(fēng)險處理風(fēng)險分析報告重大風(fēng)險監(jiān)控風(fēng)險事件處理危機管理-83-2.財務(wù)風(fēng)險管理解決方案-風(fēng)險監(jiān)控與報告2、任務(wù)編組緊急應(yīng)變83重大風(fēng)險專項分析報告由于煤價暴漲，公司經(jīng)營業(yè)績大幅下滑，出現(xiàn)了自成立以來首次且幅度較大的整體性虧損。為突出主要原因經(jīng)過分析，在只考慮煤價波動影響變動成本因素（V）情況下由公式V=（標準煤耗平均數(shù)）*10-6*（發(fā)電標煤單價），結(jié)合下圖實際數(shù)據(jù)計算可知，當(dāng)標煤價每噸上漲20元則每度點的燃料成本將直接大約增加0.7分，這將嚴重影響企業(yè)經(jīng)營利潤目標的實現(xiàn)，若按照現(xiàn)有狀態(tài)持續(xù)增加，更將大大增加企業(yè)的財務(wù)風(fēng)險。應(yīng)對措施：1、健全跨區(qū)域協(xié)調(diào)采購調(diào)運機制|2、杜絕虧噸、虧卡，降低場損和熱值差|3、結(jié)合電量計劃、煤耗供應(yīng)形勢和庫存狀況，合理制定煤炭采購計劃|4、協(xié)調(diào)實施煤電聯(lián)動機制

風(fēng)險指標預(yù)警風(fēng)險監(jiān)控與報告突發(fā)風(fēng)險處理風(fēng)險報告突發(fā)風(fēng)險處理風(fēng)險預(yù)警報告危機管理重大風(fēng)險監(jiān)控風(fēng)險事件處理風(fēng)險分析報告-84-重大風(fēng)險專項分析報告由于煤價暴漲，公司經(jīng)營業(yè)績大幅下滑，出現(xiàn)84財務(wù)報告系統(tǒng)的功能股東監(jiān)管部門其他利益相關(guān)者分析和修正企業(yè)遠景、戰(zhàn)略和目標企業(yè)經(jīng)營、管理和控制企業(yè)業(yè)績的度量和報告財務(wù)報告系統(tǒng)財務(wù)信息披露和報告財務(wù)報告系統(tǒng)的功能股東監(jiān)管部門其他利益相關(guān)者分析和修正企業(yè)遠85經(jīng)常性業(yè)務(wù)交易非經(jīng)常性業(yè)務(wù)交易資料和數(shù)據(jù)的處理目標：更自動化、更程序化、更規(guī)范化縮短編制時間、減少人為錯誤財務(wù)報告系統(tǒng)加強業(yè)務(wù)與財會人員之間的溝通了解會計準則的要求，減少個別主觀人為判斷財務(wù)報告系統(tǒng)管理經(jīng)常性業(yè)務(wù)交易非經(jīng)常性業(yè)務(wù)交易資料和數(shù)據(jù)的處理目標：更自動化86信息技術(shù)環(huán)境下內(nèi)部審計信息技術(shù)環(huán)境下內(nèi)部審計87

內(nèi)部審計與信息系統(tǒng)審計信息系統(tǒng)審計是與內(nèi)部審計緊密結(jié)合的，最早的計算機審計來源于內(nèi)部審計內(nèi)部審計與信息系統(tǒng)審計信息系統(tǒng)審計是與內(nèi)部審計緊密結(jié)合的，88

一、信息系統(tǒng)審計的起源與發(fā)展

1.1國外：八十年代、九十年代信息技術(shù)的進一步發(fā)展與普及，使得企業(yè)越來越依賴信息及信息系統(tǒng)。人們開始更多的關(guān)注信息系統(tǒng)的安全性、保密性、完整性及其實現(xiàn)企業(yè)目標的效率、效果，真正意義的信息系統(tǒng)風(fēng)險評估與審計出現(xiàn)。

一、信息系統(tǒng)審計的起源與發(fā)展

1.1國外：89

1.信息系統(tǒng)審計的起源與發(fā)展

1.1國外：

信息系統(tǒng)審計與控制協(xié)會ISACA總部設(shè)在美國芝加哥。目前該組織在世界上100多個國家設(shè)有160多個分會，現(xiàn)有會員兩萬多人，它是從事信息系統(tǒng)審計的專業(yè)人員唯一的國際性組織。

1.信息系統(tǒng)審計的起源與發(fā)展

1.1國外：90

1.信息系統(tǒng)審計的起源與發(fā)展

1.1國外：

CISA是信息系統(tǒng)審計領(lǐng)域的唯一職業(yè)資格

ISACA每年舉辦CISA資格考試，通過考試的人員可以申請CISA資格，符合ISACA規(guī)定的工作經(jīng)驗及其他相關(guān)要求的申請人會被授予CISA資格。CISA資格在世界各國都被廣泛的認可。國內(nèi)獲得此資格的有三百多人。

1.信息系統(tǒng)審計的起源與發(fā)展

1.1國外：91

1.信息系統(tǒng)審計的起源與發(fā)展

1.2國內(nèi)：

1994年2月，我國頒布了《中華人民共和國計算機信息系統(tǒng)安全保護條例》，提出了計算機信息系統(tǒng)實行安全等級保護的要求。安全等級保護的總體目標是確保信息安全和計算機信息系統(tǒng)安全正常運行，保障：信息的完整性、可用性、保密性、抗抵賴性、可控性等（其中完整性、可用性、保密性為基本安全特性要求）。

1.信息系統(tǒng)審計的起源與發(fā)展

1.2國內(nèi)：92

1.信息系統(tǒng)審計的起源與發(fā)展

1.2國內(nèi)：

1994年2月，我國頒布了《中華人民共和國計算機信息系統(tǒng)安全保護條例》，提出信息的完整性、可用性、保密性、抗抵賴性、可控性等要求。1999年2月9日，我國正式成立了中國國家信息安全測評認證中心。2002年4月15日全國信息安全標準化技術(shù)委員會（簡稱信息安全標委會，TC260）。2005年12月16日國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組正式通過了《信息安全風(fēng)險評估指南》。

1.信息系統(tǒng)審計的起源與發(fā)展

1.2國內(nèi)：93管理計劃與IS的組織信息資產(chǎn)的保護災(zāi)難備份與業(yè)務(wù)持續(xù)計劃技術(shù)基礎(chǔ)與操作實務(wù)業(yè)務(wù)應(yīng)用系統(tǒng)的開發(fā)取得實施與維護業(yè)務(wù)過程評價與風(fēng)險管理

2.信息系統(tǒng)審計的內(nèi)容

管理計劃與IS的組織信息資產(chǎn)的保護災(zāi)難備份與業(yè)務(wù)持續(xù)計劃技術(shù)94一般控制靜態(tài)IS的構(gòu)成管理角度管理計劃與IS的組織(C2)技術(shù)角度技術(shù)基礎(chǔ)與操作實務(wù)(C3)IS的控制與安全正常情況信息資產(chǎn)的保護(C4)非常情況災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計劃(C5)動態(tài)業(yè)務(wù)應(yīng)用系統(tǒng)的開發(fā)取得實施與維護(C6)應(yīng)用控制業(yè)務(wù)過程評價與風(fēng)險管理(C7)

3.信息系統(tǒng)審計與內(nèi)部控制

管理角度管理計劃與IS的組織(C2)技術(shù)角度技術(shù)基礎(chǔ)與操作實95

4.信息系統(tǒng)審計的標準與依據(jù)

計算機系統(tǒng)安全評估標準（TCSEC）由美國國防部于1985年公布的，是計算機系統(tǒng)信息安全評估的第一個正式標準。它把計算機系統(tǒng)的安全分為4類、7個級別，對用戶登錄、授權(quán)管理、訪問控制、審計跟蹤、隱蔽通道分析、可信通道建立、安全檢測、生命周期保障、文檔寫作、用戶指南等內(nèi)容提出了規(guī)范性要求。

4.信息系統(tǒng)審計的標準與依據(jù)

96

4.信息系統(tǒng)審計的標準與依據(jù)

信息技術(shù)安全評價的通用標準（CC）由六個國家（美、加、英、法、德、荷）于1996年聯(lián)合提出的，并逐漸形成國際標準ISO15408。該標準定義了評價信息技術(shù)產(chǎn)品和系統(tǒng)安全性的基本準則.CC標準是第一個信息技術(shù)安全評價國際標準，它的發(fā)布對信息安全具有重要意義，是信息技術(shù)安全評價標準以及信息安全技術(shù)發(fā)展的一個重要里程碑。

4.信息系統(tǒng)審計的標準與依據(jù)

信息技術(shù)安全評價的97

4.信息系統(tǒng)審計的標準與依據(jù)

ISO13335標準首次給出了關(guān)于IT安全的保密性、完整性、可用性、審計性、認證性、可靠性6個方面含義，并提出了以風(fēng)險為核心的安全模型：企業(yè)的資產(chǎn)面臨很多威脅（包括來自內(nèi)部的威脅和來自外部的威脅）；利用信息系統(tǒng)存在的各種漏洞（如：物理環(huán)境、網(wǎng)絡(luò)服務(wù)、主機系統(tǒng)、應(yīng)用系統(tǒng)、相關(guān)人員、安全策略等），對信息系統(tǒng)進行滲透和攻擊。

4.信息系統(tǒng)審計的標準與依據(jù)

98

4.信息系統(tǒng)審計的標準與依據(jù)

“信息系統(tǒng)和技術(shù)控制目標”（COBIT）是IT治理的一個開放性標準，目前已成為國際上公認的最先進、最權(quán)威的安全與信息技術(shù)管理和控制的標準。該標準為IT的治理、安全與控制提供了一個一般適用的公認的標準，以輔助管理層進行IT治理。該標準體系已在世界一百多個國家的重要組織與企業(yè)中運用，指導(dǎo)這些組織有效利用信息資源，有效地管理與信息相關(guān)的風(fēng)險。

4.信息系統(tǒng)審計的標準與依據(jù)

99

4.信息系統(tǒng)審計的標準與依據(jù)

4.信息系統(tǒng)審計的標準與依據(jù)

100

4.信息系統(tǒng)審計的標準與依據(jù)

4.信息系統(tǒng)審計的標準與依據(jù)

101

4.信息系統(tǒng)審計的標準與依據(jù)

4.信息系統(tǒng)審計的標準與依據(jù)

102

5.信息系統(tǒng)審計的過程

審計計劃和檢查：檢查被審計單位的IT政策、實務(wù)及組織結(jié)構(gòu)；檢查一般控制和應(yīng)用控制的情況；計劃控制測試和實質(zhì)性測試的程序；

5.信息系統(tǒng)審計的過程

103

5.信息系統(tǒng)審計的過程

控制測試：實施控制測試；評價測試結(jié)果；確定對控制的依賴程度；

5.信息系統(tǒng)審計的過程

104

5.信息系統(tǒng)審計的過程

實質(zhì)測試：實施實質(zhì)性測試；評價測試結(jié)果并簽發(fā)審計報告；審計報告

5.信息系統(tǒng)審計的過程

105

6.信息系統(tǒng)審計的技術(shù)

6.信息系統(tǒng)審計的技術(shù)

106內(nèi)部審計與IT治理內(nèi)部審計與IT治理107內(nèi)部審計方法戰(zhàn)略分析企業(yè)風(fēng)險評估制定內(nèi)審計劃內(nèi)審項目執(zhí)行報告問題的解決和跟蹤規(guī)劃執(zhí)行內(nèi)部審計方法戰(zhàn)略分析企業(yè)風(fēng)險評估制定內(nèi)審計劃內(nèi)審項目執(zhí)行報告108IT治理IT治理是信息系統(tǒng)審計和控制領(lǐng)域中一個相當(dāng)新的概念I(lǐng)T治理其定義匯集了以下3中觀點：Roberts.Roussey認為：IT治理用于掃描被委托治理實體的人員在監(jiān)督、檢查、控制和指導(dǎo)實體的過程中如何看待信息技術(shù)。IT的引用對于組織能否達到他的遠景、使命、戰(zhàn)略目標至關(guān)重要。德勤定義如下：IT治理是一個含義廣泛的概率，包括信息系統(tǒng)、技術(shù)、通訊、商業(yè)、所有利益相關(guān)者、合法性和其他問題。國際信息系統(tǒng)審計與控制協(xié)會（ISACA）定義如下：IT治理是一個由關(guān)系和過程所構(gòu)成的體制，用于知道如何控制企業(yè)，通過平衡信息技術(shù)與過程的風(fēng)險、增加價值來確保實現(xiàn)企業(yè)的目標。IT中國治理研究中心在綜合研究的基礎(chǔ)上提出如下定義：IT治理用于描述企業(yè)或征服是否采用有效的機制，使得IT引用能完成組織賦予的使命，同時平衡信息技術(shù)與過程的風(fēng)險，確保實現(xiàn)組織的戰(zhàn)略目標。IT治理109公司治理和IT治理公司治理是一個設(shè)計公司的管理層、董事會、股東和其他利益相關(guān)者之間的一整套關(guān)系體系，是在所有權(quán)和經(jīng)營權(quán)分離條件下，為解決所有者和經(jīng)營者因委托代理關(guān)系所產(chǎn)生的利益不一致，二建立起來的互相制衡機制，從而減低管理風(fēng)險，實現(xiàn)組織目標。IT治理關(guān)鍵因素是使IT與業(yè)務(wù)融合，以實現(xiàn)組織的業(yè)務(wù)價值。IT治理框架由一系列結(jié)構(gòu)、流程和相關(guān)機制組成。IT戰(zhàn)略委員會、風(fēng)險管理和標準IT平衡記分卡。作為公司治理的一個重要組成部分，IT治理包含了確定企業(yè)如何應(yīng)用IT的一系列問題。因此，在整個企業(yè)治理中，評價IT治理成為越來越重要的內(nèi)容公司治理和IT治理110IT治理與內(nèi)部審計

內(nèi)部審計是一種獨立、客觀的保證，是為了機構(gòu)增加價值并提高機構(gòu)的運行效率；它采用系統(tǒng)化、規(guī)范化的方法評價風(fēng)險管理、控制及治理過程并提高其效率，從而幫助實現(xiàn)組織目標。關(guān)于內(nèi)部審計在IT治理過程中的職責(zé)，美國的《薩班斯—奧克斯萊法》有明確規(guī)定，在美國上市公司內(nèi)部審計師應(yīng)幫助管理層對公司IT應(yīng)用控制和IT一般性控制進行評估并出具報告。IT治理與內(nèi)部審計

內(nèi)部審計是一種獨立、客觀的保證，是為了機111IT治理標準

一個有效的IT治理架構(gòu)需要理解組織的核心競爭力，并且在商業(yè)目標，治理原型，業(yè)務(wù)績效目標之間維持平衡，進而提出IT治理框架，指定決策以及如何在關(guān)鍵的信息技術(shù)領(lǐng)域去確定。IT治理標準

一個有效的IT治理架構(gòu)需要理解組織的核心競爭力112企業(yè)風(fēng)險管理的必要性企業(yè)風(fēng)險管理的必要性113案例一：美國安然公司(Enron)在2002年，安然是美國最大的石油和天然氣企業(yè)之一2001年末，安然宣布第三季度錄得6.4億美元的虧損，美國證監(jiān)會對該公司進行調(diào)查，發(fā)現(xiàn)該公司在1997以來虛報利潤5.8億美元2001年末，安然申請破產(chǎn)保護令，但在之前10個月內(nèi)，公司卻因股票價格超越預(yù)期目標而向董事及高級管理人員發(fā)放3.2億美元的紅利案例一：美國安然公司(Enron)在2002年，安然是美國114調(diào)查發(fā)現(xiàn)：安然的董事會及審計委員會均采取不干預(yù)(“hands-off”)監(jiān)控政策事件發(fā)生之后，部分董事表示不太了解安然的財務(wù)狀況、期貨及期權(quán)的業(yè)務(wù)安然重視短期的業(yè)績指標安然管理高層常常藐視或推翻公司制定的內(nèi)控制度調(diào)查發(fā)現(xiàn)：115企業(yè)風(fēng)險管理框架企業(yè)風(fēng)險管理框架116什么是風(fēng)險管理？企業(yè)風(fēng)險管理是一套由企業(yè)董事會與管理層共同設(shè)立、和與企業(yè)戰(zhàn)略相結(jié)合的管理流程。它的功能是識別那些會影響企業(yè)運作的潛在事件和把相關(guān)的風(fēng)險管理到一個企業(yè)可接受的水平，從而幫助企業(yè)達至它的目標。 美國內(nèi)控研究委員會什么是風(fēng)險管理？企業(yè)風(fēng)險管理是一套由企業(yè)董事會與管理層共同117企業(yè)為何要建立風(fēng)險管理？因為企業(yè)的股東與管理層常常要面對一些令他們寢食難安的問題。因此，企業(yè)需要系統(tǒng)化地建立一套風(fēng)險管理體制，從而識別影響企業(yè)盈利的關(guān)鍵因素，并對那些會影響企業(yè)達標的風(fēng)險進行監(jiān)控及管理企業(yè)為何要建立風(fēng)險管理？因為企業(yè)的股東與管理層常常要面對一些118股東對企業(yè)風(fēng)險管理最關(guān)心的四個問題：企業(yè)知道它所面對的主要風(fēng)險嗎？ 例如：什么風(fēng)險正在或?qū)绊懫髽I(yè)的業(yè)務(wù)？企業(yè)的品牌新產(chǎn)品、新市場的開發(fā)戰(zhàn)略聯(lián)盟客戶或供應(yīng)鏈的管理理想的情況： 企業(yè)能開發(fā)一套標準的、共通的風(fēng)險語言，從而識別企業(yè)所面對的風(fēng)險，并就其嚴重的程度進行排序。共通的風(fēng)險語言亦有利于企業(yè)上下層就風(fēng)險的管理進行溝通股東對企業(yè)風(fēng)險管理最關(guān)心的四個問題：企業(yè)知道它所面對的主要風(fēng)119企業(yè)是否已對這些風(fēng)險設(shè)置內(nèi)部控制？ 企業(yè)需要就各業(yè)務(wù)單位在日常運作中所面對的風(fēng)險(戰(zhàn)略性風(fēng)險、業(yè)務(wù)性風(fēng)險、流程性風(fēng)險)，構(gòu)建內(nèi)部控制(包括預(yù)防性控制及覺察性控制)，以確保企業(yè)能實現(xiàn)目標和符合各方面的法律、法規(guī)理想的情況： 企業(yè)就其所面對的風(fēng)險和采取的內(nèi)控，編制一套完整的文檔，并借鑒國際最佳的實務(wù)不斷進行檢討

企業(yè)是否已對這些風(fēng)險設(shè)置內(nèi)部控制？理想的情況： 企業(yè)就其所面120企業(yè)的內(nèi)部控制有效嗎？ 企業(yè)要對其內(nèi)控系統(tǒng)不間斷地進行監(jiān)控和測試，以確保其對風(fēng)險控制的能力理想的情況： 企業(yè)把各類風(fēng)險控制在可接受的水平，并在這基準上賺取合理的回報

企業(yè)的內(nèi)部控制有效嗎？理想的情況： 企業(yè)把各類風(fēng)險控制在可接121哪一些內(nèi)部控制必須改進？ 企業(yè)內(nèi)部和內(nèi)部環(huán)境的變化會不停地影響企業(yè)所面對的風(fēng)險和所應(yīng)采取的監(jiān)控措施理想的情況： 企業(yè)能建立一套具前瞻性的信息管理系統(tǒng)和預(yù)警系統(tǒng)，使企業(yè)能及時識別新生的風(fēng)險，并對相關(guān)的業(yè)務(wù)計劃、政策和程序進行修正

哪一些內(nèi)部控制必須改進？理想的情況： 企業(yè)能建立一套具前瞻性122企業(yè)風(fēng)險管理框架一個基礎(chǔ)三道防線管理層CEO第三道防線第二道防線第一道防線業(yè)務(wù)部門董事會風(fēng)險管理內(nèi)部審計審計委員會風(fēng)險管理委員會企業(yè)風(fēng)險管理框架一個基礎(chǔ)管理層第三道防線第二道防線第一道防線123風(fēng)險管理總目標一、全面風(fēng)險管理的目標-124-

財務(wù)報告真實可靠確保內(nèi)外部，尤其是企業(yè)與股東之間實現(xiàn)真實、可靠的信息溝通，包括編制和提供真實、可靠的財務(wù)報告；合規(guī)合法確保遵守有關(guān)法律法規(guī)；高效運營確保企業(yè)有關(guān)規(guī)章制度和為實現(xiàn)經(jīng)營目標而采取重大措施的貫徹執(zhí)行，保障經(jīng)營管理的有效性，提高經(jīng)營活動的效率和效果，降低實現(xiàn)經(jīng)營目標的不確定性；與戰(zhàn)略目標一致確保將風(fēng)險控制在與總體目標相適應(yīng)并可承受的范圍內(nèi)；應(yīng)對突發(fā)事件防止重大損失確保企業(yè)建立針對各項重大風(fēng)險發(fā)生后的危機處理計劃，保護企業(yè)不因災(zāi)害性風(fēng)險或人為失誤而遭受重大損失。

風(fēng)險管理總體目標風(fēng)險管理總目標一、全面風(fēng)險管理的目標-38-財務(wù)報告真124公司治理與風(fēng)險管理有什么關(guān)系？公司治理是風(fēng)險管理的一個必要的組成部份，因為它提供了對風(fēng)險由上而下的監(jiān)控與管理近年多個國家都訂立了公司治理的最佳守則：美國：紐約證交所最佳治理守則英國：Cadbury/HampelReport、TheCombinedCode加拿大：DeyReportOECDReport 這些最佳守則均清楚指出建立風(fēng)險管理是董事會及管理層的責(zé)任公司治理與風(fēng)險管理有什么關(guān)系？公司治理是風(fēng)險管理的一個必要的125如何構(gòu)建一個有利風(fēng)險管理的公司治理結(jié)構(gòu)？建立一個健全的、以董事會為首的公司治理結(jié)構(gòu)訂立企業(yè)的目標和戰(zhàn)略，包括企業(yè)的風(fēng)險政策和極限貫徹一套重視風(fēng)險管理的企業(yè)文化和價值觀如何構(gòu)建一個有利風(fēng)險管理的公司治理結(jié)構(gòu)？建立一個健全的、以董126第一道防線：業(yè)務(wù)單位防線業(yè)務(wù)單位包含了企業(yè)大部分的資產(chǎn)和業(yè)務(wù)，它們在日常工作中面對各類的風(fēng)險，是企業(yè)的前線企業(yè)必須把風(fēng)險管理的手段和內(nèi)控程序融入到業(yè)務(wù)單位的工作與流程中，才能建立好防范風(fēng)險的第一道防線第一道防線：業(yè)務(wù)單位防線業(yè)務(wù)單位包含了企業(yè)大部分的資產(chǎn)和業(yè)務(wù)127如何建立第一道防線了解企業(yè)戰(zhàn)略目標及可能影響企業(yè)達標的風(fēng)險識別風(fēng)險類別對相關(guān)風(fēng)險作出評估決定轉(zhuǎn)移、避免或減低風(fēng)險的策略計設(shè)及實施風(fēng)險策略的相關(guān)內(nèi)部控制如何建立第一道防線128(風(fēng)險宇宙TM)資信制度知識產(chǎn)權(quán)財務(wù)流動資產(chǎn)與信貸資本結(jié)構(gòu)市場財務(wù)報告營運法律生產(chǎn)程序營商環(huán)境市場結(jié)構(gòu)民風(fēng)與文化管治策略董事會活動交易并購變賣聲譽道德社區(qū)責(zé)任風(fēng)險管理董事會及管理層業(yè)績組織結(jié)構(gòu)監(jiān)察與溝通執(zhí)行籌劃與開發(fā)利益有關(guān)方供應(yīng)商政府顧客股東經(jīng)濟情況國家情況市場變化競爭對手人才資源雇員溝通有形資產(chǎn)機器、廠房與土地其他有形資產(chǎn)負債合約法規(guī)市場與銷售生產(chǎn)及流通商品/服務(wù)開發(fā)流程估值與選擇買家評估與甄選盡職調(diào)查并購后整合資信管理運營組織與監(jiān)察硬件軟件網(wǎng)絡(luò)無形資產(chǎn)知識管理信息現(xiàn)金管理對沖融資股東資本債務(wù)商品利率外匯稅務(wù)會計合規(guī)風(fēng)險宇宙(風(fēng)險宇宙TM)資信制度知識產(chǎn)權(quán)財務(wù)流動資產(chǎn)與資本結(jié)構(gòu)市場129戰(zhàn)略性風(fēng)險是指公司因作出戰(zhàn)略性錯誤的決定而導(dǎo)致經(jīng)濟上的損失戰(zhàn)略性風(fēng)險是業(yè)務(wù)單位、高級管理層和董事會的共同責(zé)任常見的戰(zhàn)略性風(fēng)險包括：企業(yè)的目標與方針市場潛在的威脅業(yè)務(wù)的范圍(深度與廣度)品牌及形象的建立戰(zhàn)略性風(fēng)險與戰(zhàn)略性伙伴的合作投資和融資的策略員工的素質(zhì)和雇員關(guān)系企業(yè)的信息及監(jiān)控系統(tǒng)戰(zhàn)略性風(fēng)險是指公司因作出戰(zhàn)略性錯誤的決定而導(dǎo)致經(jīng)濟上的損失戰(zhàn)130市場風(fēng)險是指因市場價格或利率波動而使公司產(chǎn)生經(jīng)濟損失的風(fēng)險構(gòu)成市場風(fēng)險的三大因素：因買賣或投資金融產(chǎn)品而產(chǎn)生的風(fēng)險因資產(chǎn)與負債錯配、或原材料與產(chǎn)成品價格不能同步浮動而產(chǎn)生的風(fēng)險資金流動性風(fēng)險常見的市場風(fēng)險包括：利率風(fēng)險外匯風(fēng)險股票與債券市場風(fēng)險商品價格風(fēng)險期貨、期權(quán)與衍生工具風(fēng)險市場風(fēng)險市場風(fēng)險是指因市場價格或利率波動而使公司產(chǎn)生經(jīng)濟損失的風(fēng)險市131操作風(fēng)險是指企業(yè)內(nèi)部流程、人為錯誤或外部因素而令公司產(chǎn)生經(jīng)濟損失的風(fēng)險，它包括了公司的流程風(fēng)險、人為風(fēng)險、系統(tǒng)風(fēng)險、事件風(fēng)險和業(yè)務(wù)風(fēng)險等流程風(fēng)險是指交易流程中出現(xiàn)錯誤而引致?lián)p失的風(fēng)險，流程包括如：銷售、定價、記錄、確認、出貨/提供服務(wù)等環(huán)節(jié)。流程風(fēng)險也包括合規(guī)性風(fēng)險人為風(fēng)險概指因員工缺乏知識和能力、缺乏誠信或道德操守而引致?lián)p失的風(fēng)險系統(tǒng)風(fēng)險是指因系統(tǒng)失靈、數(shù)據(jù)的存取和處理、系統(tǒng)的安全和可用性、系統(tǒng)的非法接入與使用而引致?lián)p失的風(fēng)險事件風(fēng)險是指因內(nèi)部或外部欺詐、市場扭曲、人為或自然災(zāi)害而引致?lián)p失的風(fēng)險業(yè)務(wù)風(fēng)險是指因市場或競爭環(huán)境出現(xiàn)預(yù)期以外的變化而引致?lián)p失的風(fēng)險，所涉及的問題包括市場策略、客戶管理、產(chǎn)品開發(fā)、銷售渠道和定價等領(lǐng)域操作風(fēng)險操作風(fēng)險是指企業(yè)內(nèi)部流程、人為錯誤或外部因素而令公司產(chǎn)生經(jīng)濟132風(fēng)險發(fā)生的可能性評分可能性說明5幾乎肯定在未來12個月內(nèi)，這項風(fēng)險幾乎肯定會出現(xiàn)至少1次4極可能在未來12個月，這項風(fēng)險極可能出現(xiàn)1次3可能在未來2至10年內(nèi)，這項風(fēng)險可能出現(xiàn)1次2低在未來10至100年內(nèi)，這項風(fēng)險可能出現(xiàn)至少1次1極低這項風(fēng)險出現(xiàn)的可能性極低，估計在100年內(nèi)出現(xiàn)的可能性少于1次風(fēng)險發(fā)生的可能性評分可能性說明5幾乎肯定在未來12個月內(nèi)，這133評分損失程度說明5災(zāi)難令企業(yè)失去繼續(xù)運作的能力(或占稅前利潤達20%)4重大對于企業(yè)在爭取完成其策略性計劃和目標，造成重大影響(5-10%稅前利潤)3中等對于企業(yè)在爭取完成其策略性計劃和目標的過程，在一定程度上造成阻礙(至5%稅前利潤)2輕微對于企業(yè)在爭取完成其策略性計劃和目標，只造成輕微影響(至1%稅前利潤)1近乎沒有影響程度十分輕微風(fēng)險對企業(yè)造成的影響評分損失程度說明5災(zāi)難令企業(yè)失去繼續(xù)運作的能力(或占稅前利潤134評分有效性說明5極度過頭處理方法能直接針對該項風(fēng)險，但相信會令企業(yè)業(yè)績“倒退”或成本過高4過頭處理方法能直接針對該項風(fēng)險，但由于需要投入大量資源或/及將其他資源轉(zhuǎn)到處理該項風(fēng)險上，會對企業(yè)的效率造成影響3適中處理方法有效針對該項風(fēng)險，同時并不影響企業(yè)的效率2低效處理方法針對該項風(fēng)險的效果不理想，或投入處理該風(fēng)險的資源不充分或/及對投入的資源未有適當(dāng)利用1近乎沒有效果處理方法的效果十分低，可能是由于企業(yè)根本沒有處理方法，又或處理手法不當(dāng)風(fēng)險處理方法的效果評分有效性說明5極度過頭處理方法能直接針對該項風(fēng)險，但相信會135風(fēng)險地圖(或風(fēng)險共同語言)影響程度近乎沒有輕微中等重大災(zāi)難幾乎肯定極可能可能低極低BCAGIDJKHEF可能性說明:A–人力資源風(fēng)險B–財務(wù)風(fēng)險C–競爭風(fēng)險D–開發(fā)風(fēng)險E–過度自信風(fēng)險F–系統(tǒng)故障風(fēng)險G–主要客戶風(fēng)險H–欺詐風(fēng)險I–政治風(fēng)險J–薪酬獎勵風(fēng)險K–科技風(fēng)險風(fēng)險地圖(或風(fēng)險共同語言)影響程度近乎沒有輕微中等重大災(zāi)難幾136大型集團風(fēng)險管理分析風(fēng)險控制地圖大型集團風(fēng)險管理分析風(fēng)險控制地圖137風(fēng)險處理組合

處理評級風(fēng)險評級近乎沒有效果低效適中超標極度極高高中等低BCAGIDJKHE說明:A–人力資源風(fēng)險B–財務(wù)風(fēng)險C–競爭風(fēng)險D–開發(fā)風(fēng)險E–過度自信風(fēng)險F–系統(tǒng)故障風(fēng)險G–主要客戶風(fēng)險H–欺詐風(fēng)險I–政治風(fēng)險J–薪酬獎勵風(fēng)險K–科技風(fēng)險F采取行動密切監(jiān)控定期審閱風(fēng)險處理組合處理評級風(fēng)險評級近乎沒有效果低效適中超標138風(fēng)險處理策略影響程度可能性轉(zhuǎn)移避免小心管理可接受大小高低風(fēng)險處理策略影響程度可能性轉(zhuǎn)移避免小心管理可接受大小高低139風(fēng)險策略避免禁止交易減少或限制交易量離開市場轉(zhuǎn)移套期保險策略性聯(lián)盟其他分擔(dān)風(fēng)險的安排小心管理投資廣泛保護的安排訂價反映風(fēng)險程度可接受自我保險預(yù)留儲備增加監(jiān)督風(fēng)險處理策略影響程度大小可能性轉(zhuǎn)移避免小心管理可接受高低風(fēng)險策略小心管理風(fēng)險處理策略影響程度大小可能性轉(zhuǎn)移避免小心管140企業(yè)建立的第一道防線，就是要各業(yè)務(wù)單位就其戰(zhàn)略性風(fēng)險、信貸風(fēng)險、市場風(fēng)場和操作風(fēng)險等等，系統(tǒng)化地進行分析、確認、度量、管理和監(jiān)控企業(yè)需要把評估風(fēng)險與內(nèi)控措施的結(jié)果進行記錄和存檔，對內(nèi)控措施的有效性不斷進行測試和更新第一道防線：總結(jié)管理層CEO第三道防線第二道防線第一道防線業(yè)務(wù)部門董事會風(fēng)險管理內(nèi)部審計審計委員會風(fēng)險管理委員會企業(yè)建立的第一道防線，就是要各業(yè)務(wù)單位就其戰(zhàn)略性風(fēng)險、信貸風(fēng)141第二道防線：風(fēng)險管理單位防線第二道防線是在業(yè)務(wù)單位之上建立一個更高層次的風(fēng)險管理功能，它的組成部份可能包括風(fēng)險管理部門、信貸審批委員會、投資審批委員會風(fēng)險管理部的責(zé)任是領(lǐng)導(dǎo)和協(xié)調(diào)公司內(nèi)各單位在管理風(fēng)險方面的工作，它的職責(zé)包括：編制規(guī)章制度對各業(yè)務(wù)單位的風(fēng)險進行組合管理度量風(fēng)險和評估風(fēng)險的界限建立風(fēng)險信息系統(tǒng)和預(yù)警系統(tǒng)、厘定關(guān)鍵風(fēng)險指標負責(zé)風(fēng)險信息披露、溝通、協(xié)調(diào)員工培訓(xùn)和學(xué)習(xí)的工作按風(fēng)險與回報的分析，為各業(yè)務(wù)單位分配經(jīng)濟資本金第二道防線：風(fēng)險管理單位防線第二道防線是在業(yè)務(wù)單位之上建立一142“內(nèi)部審計是一項獨立、客觀的審查和咨詢活動，其目的在于增加企業(yè)的價值和改進經(jīng)營。內(nèi)審?fù)ㄟ^系統(tǒng)的方法，評價和改進企業(yè)的風(fēng)險管理、控制和治理流程的效益，幫助企業(yè)實現(xiàn)其目標。”美國內(nèi)部審計師協(xié)會第三道防線：內(nèi)審單位防線第三道防線涉及一個獨立于業(yè)務(wù)單位的部門，監(jiān)控企業(yè)內(nèi)控和其他企業(yè)關(guān)心的問題內(nèi)部審計的定義：“內(nèi)部審計是一項獨立、客觀的審查和咨詢活動，其目的在于增加企143內(nèi)部審計的三大功能財務(wù)監(jiān)督財務(wù)帳的可用性內(nèi)部管理和制度的執(zhí)行典型例子：檢查分、子公司上報總部的財務(wù)報表的 準確性以及執(zhí)行財務(wù)管理政策的情況經(jīng)營診斷管理審計以及效率和效益審計檢查和診斷經(jīng)營和管理過程中的偏差和失誤典型例子： 企業(yè)對某業(yè)務(wù)單位或某部門執(zhí)行效益審計 (一個輸入與產(chǎn)出的關(guān)系)內(nèi)部審計的三大功能財務(wù)監(jiān)督144咨詢顧問企業(yè)風(fēng)險管理和發(fā)展策略方面的咨詢調(diào)查領(lǐng)導(dǎo)關(guān)心的熱點問題和管理薄弱環(huán)節(jié)典型例子： 兼并收購時調(diào)查被投資公司的內(nèi)部管理和 流程操作，了解薄弱環(huán)節(jié)或其他影響并購 交易的重大事項，從而確定管理方法和 并購策略咨詢顧問145構(gòu)建企業(yè)風(fēng)險管理的關(guān)鍵成功要素1.

股東確立對企業(yè)監(jiān)督的機制，考慮是否需要在集團層面：引入以董事會領(lǐng)導(dǎo)的管理體制聘任有經(jīng)驗的外部董事，來加強對企業(yè)的監(jiān)督要求企業(yè)建立風(fēng)險管理和內(nèi)控系統(tǒng)，并對其運作及有效性作出定期的匯報構(gòu)建企業(yè)風(fēng)險管理的關(guān)鍵成功要素1. 股東確立對企業(yè)監(jiān)督的機制1462. 管理高層的支持和參與確立方向和目標營造必要的環(huán)境為平衡風(fēng)險與回報作出戰(zhàn)略性的決定風(fēng)險回報風(fēng)險與回報成正比？風(fēng)險調(diào)整風(fēng)險后的回報冒險程度

–不夠進取冒險程度–高危冒險程度–理想范圍2. 管理高層的支持和參與風(fēng)險回報風(fēng)險與回報成正比？風(fēng)險調(diào)整1473. 建立風(fēng)險管理文化風(fēng)險管理的手段，必須融入日常的管理流程通過討論和培訓(xùn)，使風(fēng)險管理的實施得到“全民”的支持通過經(jīng)驗的分享，不斷加強風(fēng)險管理的認同性4. 采用先進的風(fēng)險管理的實施方法借鑒如美國Treadway委員會所提出的COSO內(nèi)控框架采用各種識別和度量風(fēng)險的先進的方法采用標準的模板和程序確認風(fēng)險、評估風(fēng)險、建立記錄和文檔、參考國際最佳實務(wù)，構(gòu)建信息管理系統(tǒng)和預(yù)警系統(tǒng)3. 建立風(fēng)險管理文化148二、大型集團風(fēng)險管理分析形成了中國神華風(fēng)險管理文化二、大型集團風(fēng)險管理分析形成了中國神華風(fēng)險管理文化149大型集團風(fēng)險管理分析-150-大型集團風(fēng)險管理分析-64-150內(nèi)部控制與風(fēng)險管理、企業(yè)管理的關(guān)系風(fēng)險評估外部審計內(nèi)部控制控制環(huán)境內(nèi)部審計控制活動信息溝通持續(xù)監(jiān)控風(fēng)險管理目標設(shè)定風(fēng)險識別風(fēng)險應(yīng)對企業(yè)管理各項經(jīng)營管理活動，如戰(zhàn)略管理、人力資源管理、財務(wù)管理、資產(chǎn)管理等風(fēng)險戰(zhàn)略治理結(jié)構(gòu)組織體系風(fēng)險理財正確認識內(nèi)控與審計、風(fēng)險管理、企業(yè)管理的關(guān)系-151-內(nèi)部控制與風(fēng)險管理、企業(yè)管理的關(guān)系風(fēng)險評估外部審計內(nèi)部控制控151內(nèi)部控制系統(tǒng)與風(fēng)險管理、企業(yè)管理的關(guān)系風(fēng)險管理利用風(fēng)險評估方法發(fā)現(xiàn)企業(yè)固有風(fēng)險評價其可能性或者損失用內(nèi)部控制的措施進行控制得到企業(yè)的剩余風(fēng)險固有風(fēng)險-內(nèi)部控制=剩余風(fēng)險企業(yè)的剩余風(fēng)險企業(yè)對風(fēng)險的容忍度內(nèi)部控制系統(tǒng)與風(fēng)險管理、企業(yè)管理的關(guān)系風(fēng)險管理152企業(yè)價值地圖-153-企業(yè)價值地圖-67-153信息技術(shù)環(huán)境下的內(nèi)部審計課件154華電財務(wù)風(fēng)險管理建設(shè)方案1、全面風(fēng)險管理解決方案2、財務(wù)風(fēng)險管理解決方案

1)、目標管理； 2)、風(fēng)險體系； 3)、風(fēng)險識別； 4)、風(fēng)險評估 5)、風(fēng)險監(jiān)控-155-華電財務(wù)風(fēng)險管理建設(shè)方案1、全面風(fēng)險管理解決方案-69-155-156-企業(yè)全面風(fēng)險分類法律風(fēng)險運營風(fēng)險戰(zhàn)略風(fēng)險財務(wù)風(fēng)險市場風(fēng)險企業(yè)風(fēng)險1、全面風(fēng)險分類-70-企業(yè)全面風(fēng)險分類法律風(fēng)險運營風(fēng)險戰(zhàn)略風(fēng)險財務(wù)風(fēng)險市場1562、全面風(fēng)險管理解決方案-157-2、全面風(fēng)險管理解決方案-71-1573、財務(wù)風(fēng)險管理解決方案理論依據(jù)2004年，國資委開展組織研究國有企業(yè)風(fēng)險管理工作2006年，國資委發(fā)布《全面風(fēng)險管理指引綱要》2007年，在大型企業(yè)風(fēng)險管理論壇上國資委表示，風(fēng)險管理將成為國資委對央企領(lǐng)導(dǎo)人員考核和評價央企的重要指標2008年，國資委《關(guān)于開展編報<2008年中央企業(yè)全面風(fēng)險管理報告>試點工作有關(guān)事項的通知》（國資廳發(fā)改革〔2008〕5號），要求31家央企試點企業(yè)進行全面風(fēng)險報告的遞交2008年，財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會五部委聯(lián)合發(fā)布了《企業(yè)內(nèi)部控制基本規(guī)范》-158-3、財務(wù)風(fēng)險管理解決方案理論依據(jù)-72-158-159-風(fēng)險管理流程圖風(fēng)險管理初始信息風(fēng)險評估風(fēng)險管理策略風(fēng)險管理解決方案風(fēng)險管理的監(jiān)督改進54321戰(zhàn)略風(fēng)險、財務(wù)風(fēng)險、市場風(fēng)險、運營風(fēng)險、法律風(fēng)險的初始信息收集風(fēng)險辨識（針對業(yè)務(wù)、流程）風(fēng)險分析（發(fā)生可能性高低、風(fēng)險發(fā)生條件）風(fēng)險評價（影響程度、風(fēng)險價值）風(fēng)險偏好、承受度、管理有效性標準；選擇風(fēng)險管理工具（風(fēng)險態(tài)度）風(fēng)險解決具體目標、組織領(lǐng)導(dǎo)、管理、流程、條件、手段；風(fēng)險事件前、中、后采取的具體應(yīng)對措施以及風(fēng)險管理工具對風(fēng)險管理解決方案的實施情況的有效性進行檢驗風(fēng)險分析風(fēng)險評估和控制風(fēng)險管理流程-73-風(fēng)險管理流程圖風(fēng)險管理初始信息風(fēng)險評估風(fēng)險管理策略風(fēng)1592、財務(wù)風(fēng)險管理解決方案風(fēng)險體系管理風(fēng)險分類戰(zhàn)略風(fēng)險財務(wù)風(fēng)險市場風(fēng)險運營風(fēng)險法律風(fēng)險系統(tǒng)管理屬性設(shè)置可能性損失度內(nèi)部控制體系維護流程管理風(fēng)險應(yīng)對措施風(fēng)險規(guī)避風(fēng)險轉(zhuǎn)移風(fēng)險降低風(fēng)險接受風(fēng)險利用指標體系-160-2、財務(wù)風(fēng)險管理解決方案風(fēng)險體系管理風(fēng)險分類系統(tǒng)管理屬性設(shè)置160