微軟企業(yè)風險管理解決方案.ppt

1、微軟企業(yè)風險管理解決方案，什么是風險管理和內(nèi)部控制，風險管理是指對業(yè)務流程中存在的風險進行識別、評估和預警；內(nèi)部控制是指處理和控制已識別的風險，規(guī)范企業(yè)的業(yè)務流程，確保內(nèi)部控制目標的順利實現(xiàn)。差旅費報銷，是否授權將差旅費報銷到賬戶，風險識別，風險評估，風險發(fā)生概率，風險危害應對策略，風險控制，差旅費授權記錄，報銷明細記錄，控制評價，風險控制有效性的再評價等缺陷，監(jiān)督與改進，政策解釋，監(jiān)管環(huán)境，中國企業(yè)的政策環(huán)境，1992年，美國COSO委員會發(fā)布了企業(yè)風險管理與內(nèi)部控制框架，2002年7月30日，美國國會頒布了薩班斯-奧克斯利法案，其中要求海外上市公司在2003年，美國證券交易委員會發(fā)布了解釋

2、薩班斯-奧克斯利法案第404條的最終規(guī)則。2006年8月9日，美國證券交易委員會宣布，將允許小型上市公司將404條款的實施推遲一年。2005年10月，中國證監(jiān)會發(fā)布關于提高上市公司質(zhì)量的意見，2006年5月國務院批準。2006年6月，上海證券交易所發(fā)布了上市公司內(nèi)部控制指引，要求上市公司從2006年9月的2006年度報告中披露內(nèi)部控制自我評估報告和會計師事務所的驗證評估意見。深圳證券交易所公布了上市公司內(nèi)部控制指引，要求深圳主板上市公司在2007年6月30日前建立完整的內(nèi)部控制制度。在美國上市的中國公司、境內(nèi)上市公司和其他境內(nèi)企業(yè)，2004年8月，中國銀監(jiān)會于2006年1月發(fā)布了商業(yè)銀行內(nèi)部控

3、制評價試行辦法。中國證監(jiān)會發(fā)布證券公司風險控制指標管理辦法。2006年1月，中國保監(jiān)會發(fā)布了壽險公司內(nèi)部控制評價辦法，并于4月開始實施。2006年6月6日，國有資產(chǎn)監(jiān)督管理委員會向159家下屬中央企業(yè)發(fā)布了中央企業(yè)綜合風險管理指引。2006年7月15日，財政部、中國證監(jiān)會和國有資產(chǎn)監(jiān)督管理委員會成立了“企業(yè)內(nèi)部控制標準委員會”。安然公司在美國申請破產(chǎn)保護，世界通信公司會計舞弊，中國資本市場“銀廣夏”等上市公司財務舞弊，都是由于企業(yè)風險管理和內(nèi)部控制的失敗。解釋薩班斯-奧克斯利法案，建立獨立的非營利上市公司會計監(jiān)督委員會(PCAOB)，監(jiān)督上市公司的審計，通過咨詢和審計服務之間的不兼容性提高審計

4、獨立性，限制公司高管的行為以增強公司的報告責任，評估內(nèi)部控制制度，提高財務報告的可靠性，以及改善對公司高管和白領犯罪的處罰，包括罰款和刑事責任。302，404，906，對321家企業(yè)的調(diào)查結果顯示，需要遵守薩班斯-奧克斯利法案的美國大型企業(yè)在第一年實施404條款的總成本將超過460萬美元。這些費用包括35 000小時的內(nèi)部人員投入、130萬美元的外部顧問和軟件費用以及150萬美元的額外審計費用。404部門的首席財務官很簡單。公司管理層負責建立和維護財務報告的內(nèi)部控制系統(tǒng)和流程。公司管理層在最近財年結束時評估了財務報告內(nèi)部控制系統(tǒng)和流程的有效性。審計公司年度報告的會計公司應對管理層的內(nèi)部控制評價

5、進行測試和評價。2003年，美國證券交易委員會(SEC)的補充條款建議使用COSO框架。如果不使用COSO框架，所選的內(nèi)部控制框架必須能夠“映射”到COSO框架。管理層：建立和維護財務報告內(nèi)部控制制度的責任聲明；評估財務報告內(nèi)部控制系統(tǒng)的有效性；用什么樣的框架體系評價內(nèi)部控制報表會計公司的有效性：對財務報告的審計意見；對管理層內(nèi)部控制評價結果的意見；1992年特雷德韋委員會(COSO)發(fā)起組織委員會發(fā)布的關于內(nèi)部控制有效性、COSO內(nèi)部控制和風險管理框架的單獨意見要求企業(yè)建立與財務報告相關的內(nèi)部控制制度。COSO框架主要包括企業(yè)風險管理的目標、要素和實施層次。COSO框架將內(nèi)部控制定義為一個受

6、企業(yè)管理影響的過程，用于保證以下目標：財務報表的可靠性、高效運作、遵守相應的法律法規(guī)，第二個維度是關注水平：在經(jīng)營實體層面或在活動流程層面。第三個維度包括五個要素：控制活動、控制環(huán)境、信息/通信、監(jiān)測和風險評估。該框架的工作原理如下：根據(jù)任何給定的目標，如財務報告的可靠性，管理層必須在經(jīng)營實體和活動流程層面評估內(nèi)部控制的五個要素。我國的內(nèi)部控制和風險管理框架中，風險評估包括三個步驟：風險識別、風險分析和風險評估。風險評估應結合定性和定量方法，定期或不定期重新評估，確定風險偏好、風險容忍度和風險管理有效性標準，并選擇適當?shù)娘L險管理策略，如風險承擔、規(guī)避、轉移、轉換、套期保值、補償和控制。外包方案

7、：成本效益平衡、外包質(zhì)量、商業(yè)秘密保護和外包風險內(nèi)部控制方案：合規(guī)性、業(yè)務戰(zhàn)略與風險戰(zhàn)略的一致性、風險控制與運營效果的平衡、風險管理部門定期自查和檢查、內(nèi)部審計部門至少每年監(jiān)督評估一次。包括戰(zhàn)略風險、金融風險、市場風險、操作風險和法律風險，必要的篩選、提煉、比較、分類和收集信息的組合，初始信息、風險評估、風險管理策略、風險管理計劃、監(jiān)督和改進。自2005年以來，中國政府機構對企業(yè)風險管理和內(nèi)部控制給予了前所未有的重視，包括中國證監(jiān)會、中國銀監(jiān)會、中國保監(jiān)會、深交所和上交所。國有資產(chǎn)監(jiān)督管理委員會(SASAC)中央企業(yè)全面風險管理指引中定義的企業(yè)內(nèi)部控制制度，是指圍繞風險管理的戰(zhàn)略目標，對各項業(yè)

8、務及其重要業(yè)務流程實施基本風險管理流程。企業(yè)面臨的挑戰(zhàn)和對策，挑戰(zhàn)、對策、管理水平和經(jīng)營水平，缺乏風險管理意識，各部門、各經(jīng)營實體缺乏風險管理專業(yè)人員，原有的內(nèi)部控制制度不能滿足要求。企業(yè)風險管理職能部門統(tǒng)一各部門和經(jīng)營實體對風險管理和內(nèi)部控制的理解和管理，引入外部專業(yè)顧問(非外部審計師)制定風險管理和內(nèi)部控制制度。內(nèi)部控制和風險管理框架在有限時間內(nèi)滿足合規(guī)性要求，包括流程、文件和權限管理(流程記錄、內(nèi)部控制分析、監(jiān)督和測試、評估和報告)、風險信息收集、定量分析、監(jiān)控和預警、報告、建議的內(nèi)部控制和風險管理框架、企業(yè)風險管理系統(tǒng)和微軟企業(yè)風險管理解決方案。微軟企業(yè)風險管理解決方案，即解決方案邏輯

9、架構，不僅可以用于薩班斯-奧克斯利法案的合規(guī)性，還可以用于中國的政策，并且不依賴于咨詢公司的框架。它基于SharePoint平臺，具有工作流引擎提供的內(nèi)容管理和強大的工作流功能的內(nèi)在優(yōu)勢。與用戶習慣使用的工具(如Word和Excel)緊密集成，并具有BizTalk提供的系統(tǒng)集成功能。解決方案產(chǎn)品架構，如何幫助企業(yè)進行風險管理和內(nèi)部控制，信息收集和風險定義，業(yè)務和流程分析，設定風險控制機制，風險監(jiān)控和報告，風險評估和戰(zhàn)略制定，首先，企業(yè)需要設定風險管理和內(nèi)部控制目標；然后，根據(jù)推薦的風險管理流程，對經(jīng)營實體和業(yè)務流程進行內(nèi)部控制和風險評估。根據(jù)風險管理和內(nèi)部控制的目標，收集相關信息，進行分析、篩

10、選和提煉。根據(jù)企業(yè)自身情況和環(huán)境確定風險結構。信息收集和風險定義、業(yè)務和流程分析、設定風險控制機制、風險監(jiān)控和報告、風險評估和戰(zhàn)略制定，首先，企業(yè)需要設定風險管理和內(nèi)部控制目標；然后，根據(jù)推薦的風險管理流程，對經(jīng)營實體和業(yè)務流程進行內(nèi)部控制和風險評估。企業(yè)組織結構分析：部門和業(yè)務單元結構。梳理和分析企業(yè)的業(yè)務流程。定義業(yè)務流程中的活動和風險控制點。如何幫助企業(yè)進行風險管理和內(nèi)部控制，信息收集和風險定義，業(yè)務和流程分析，設定風險控制機制，風險監(jiān)控和報告，風險評估和戰(zhàn)略制定，首先，企業(yè)需要設定風險管理和內(nèi)部控制目標；然后，根據(jù)推薦的風險管理流程，對經(jīng)營實體和業(yè)務流程進行內(nèi)部控制和風險評估。風險評估

11、包括三個步驟：風險識別、風險分析和風險評估，定性和定量相結合。使用技術方法進行風險評估，如風險坐標圖。制定風險策略：風險偏好、風險容忍度和風險管理有效性標準，選擇風險承擔、風險規(guī)避、風險轉移、風險轉換、風險對沖、風險補償和風險控制。如何幫助企業(yè)進行風險管理和內(nèi)部控制，信息收集和風險定義，業(yè)務和流程分析，設定風險控制機制，風險監(jiān)控和報告，風險評估和戰(zhàn)略制定，首先，企業(yè)需要設定風險管理和內(nèi)部控制目標；然后，根據(jù)推薦的風險管理流程，對經(jīng)營實體和業(yè)務流程進行內(nèi)部控制和風險評估。建立風險量化評分系統(tǒng)，包括系統(tǒng)提示定義和標識、評分區(qū)間和相應描述等。風險指數(shù)管理和預警設置。根據(jù)風險管理策略和風險評估結果選擇風險控制手段。如何幫助企業(yè)進行風險管理和內(nèi)部控制，信息收集和風險定義，業(yè)務和流程分析，設置風險控制機制，風險監(jiān)控和報告，風險評估和戰(zhàn)略制定，首先是企業(yè)風險管理，為了實施“面向管理、向上”的全面風險管理，風險控制部門需要對風險狀況進行整體評估，并以最直觀的