信息技术境下内部审计

信息技术环境下内部审计 内部审计与信息系统审计内部审计与信息系统审计l信息系统审计是与内部审计紧密结合的，最早的计算机审计来源于内部审计一、一、信息系统审计的起源与发展信息系统审计的起源与发展1.1 1.1 国外：国外：八十年代、九十年代信息技术的进一步八十年代、九十年代信息技术的进一步发展与普及，使得企业越来越依赖信息及信发展与普及，使得企业越来越依赖信息及信息系统。人们开始更多的关注信息系统的安息系统。人们开始更多的关注信息系统的安全性、保密性、完整性及其实现企业目标的全性、保密性、完整性及其实现企业目标的效率、效果，真正意义的信息系统风险评估效率、效果，真正意义的信息系统风险评估与审计出现。与审计出现。1.1.信息系统审计的起源与发展信息系统审计的起源与发展1.1 1.1 国外：国外：信息系统审计与控制协会信息系统审计与控制协会ISACA ISACA 总部总部设在美国芝加哥。目前该组织在世界上设在美国芝加哥。目前该组织在世界上100100多个国家设有多个国家设有160160多个分会，现有会员两万多个分会，现有会员两万多人，它是从事信息系统审计的专业人员唯多人，它是从事信息系统审计的专业人员唯一的国际性组织。一的国际性组织。1.1.信息系统审计的起源与发展信息系统审计的起源与发展1.1 1.1 国外：国外：CISA CISA 是信息系统审计领域的唯一职业资是信息系统审计领域的唯一职业资格格 ISACAISACA每年举办每年举办CISACISA资格考试，通过考试资格考试，通过考试的人员可以申请的人员可以申请CISACISA资格，符合资格，符合ISACAISACA规定规定的工作经验及其他相关要求的申请人会被授的工作经验及其他相关要求的申请人会被授予予CISACISA资格。资格。CISACISA资格在世界各国都被广泛资格在世界各国都被广泛的认可。国内获得此资格的有三百多人。的认可。国内获得此资格的有三百多人。1.1.信息系统审计的起源与发展信息系统审计的起源与发展1.2 1.2 国内：国内：1994 年2 月，我国颁布了中华人民共和国计算机信息系统安全保护条例，提出了计算机信息系统实行安全等级保护的要求。安全等级保护的总体目标是确保信息安全和计算机信息系统安全正常运行，保障：信息的完整性、可用性、保密性、抗抵赖性、可控性等（其中完整性、可用性、保密性为基本安全特性要求）。1.1.信息系统审计的起源与发展信息系统审计的起源与发展1.2 1.2 国内：国内：1994 年2 月，我国颁布了中华人民共和国计算机信息系统安全保护条例，提出信息的完整性、可用性、保密性、抗抵赖性、可控性等要求。1999年2月9日，我国正式成立了中国国家信息安全测评认证中心。2002年4月15日 全国信息安全标准化技术委员会（简称信息安全标委会，TC260）。2005年12月16日 国家网络与信息安全协调小组正式通过了信息安全风险评估指南。管理计划与IS的组织信息资产的保护灾难备份与业务持续计划技术基础与操作实务业务应用系统的开发取得实施与维护业务过程评价与风险管理 2.2.信息系统审计的内容信息系统审计的内容 一般控制静态IS的构成管理角度 管理计划与IS的组织(C2)技术角度 技术基础与操作实务(C3)IS的控制与安全正常情况 信息资产的保护(C4)非常情况 灾难恢复与业务持续计划(C5)动态业务应用系统的开发取得实施与维护(C6)应用控制 业务过程评价与风险管理(C7)3.3.信息系统审计与内部控制信息系统审计与内部控制 4.4.信息系统审计的标准与依据信息系统审计的标准与依据 计算机系统安全评估标准（计算机系统安全评估标准（TCSECTCSEC）由美国国防部于由美国国防部于19851985年公布的，是计算年公布的，是计算机系统信息安全评估的第一个正式标准。它机系统信息安全评估的第一个正式标准。它把计算机系统的安全分为把计算机系统的安全分为4 4类、类、7 7个级别，对个级别，对用户登录、授权管理、访问控制、审计跟踪、用户登录、授权管理、访问控制、审计跟踪、隐蔽通道分析、可信通道建立、安全检测、隐蔽通道分析、可信通道建立、安全检测、生命周期保障、文档写作、用户指南等内容生命周期保障、文档写作、用户指南等内容提出了规范性要求。提出了规范性要求。4.4.信息系统审计的标准与依据信息系统审计的标准与依据 信息技术安全评价的通用标准（信息技术安全评价的通用标准（CCCC）由六个国家（美、加、英、法、德、荷）由六个国家（美、加、英、法、德、荷）于于19961996年联合提出的，并逐渐形成国际标准年联合提出的，并逐渐形成国际标准ISO15408ISO15408。该标准定义了评价信息技术产品。该标准定义了评价信息技术产品和系统安全性的基本准则和系统安全性的基本准则.CCCC标准是第一个信息技术安全评价国际标准，它标准是第一个信息技术安全评价国际标准，它的发布对信息安全具有重要意义，是信息技的发布对信息安全具有重要意义，是信息技术安全评价标准以及信息安全技术发展的一术安全评价标准以及信息安全技术发展的一个重要里程碑。个重要里程碑。4.4.信息系统审计的标准与依据信息系统审计的标准与依据 ISO13335 ISO13335标准标准 首次给出了关于首次给出了关于ITIT安全的保密性、完整安全的保密性、完整性、可用性、审计性、认证性、可靠性性、可用性、审计性、认证性、可靠性6 6个个方面含义，并提出了以风险为核心的安全模方面含义，并提出了以风险为核心的安全模型：企业的资产面临很多威胁（包括来自内型：企业的资产面临很多威胁（包括来自内部的威胁和来自外部的威胁）；利用信息系部的威胁和来自外部的威胁）；利用信息系统存在的各种漏洞（如：物理环境、网络服统存在的各种漏洞（如：物理环境、网络服务、主机系统、应用系统、相关人员、安全务、主机系统、应用系统、相关人员、安全策略等），对信息系统进行渗透和攻击。策略等），对信息系统进行渗透和攻击。4.4.信息系统审计的标准与依据信息系统审计的标准与依据 “信息系统和技术控制目标”（COBIT）是IT治理的一个开放性标准，目前已成为国际上公认的最先进、最权威的安全与信息技术管理和控制的标准。该标准为IT的治理、安全与控制提供了一个一般适用的公认的标准，以辅助管理层进行IT治理。该标准体系已在世界一百多个国家的重要组织与企业中运用，指导这些组织有效利用信息资源，有效地管理与信息相关的风险。4.4.信息系统审计的标准与依据信息系统审计的标准与依据4.4.信息系统审计的标准与依据信息系统审计的标准与依据4.4.信息系统审计的标准与依据信息系统审计的标准与依据5.5.信息系统审计的过程信息系统审计的过程审计计划和检查：检查被审计单位的IT政策、实务及组织结构；检查一般控制和应用控制的情况；计划控制测试和实质性测试的程序；5.5.信息系统审计的过程信息系统审计的过程控制测试：实施控制测试；评价测试结果；确定对控制的依赖程度；5.5.信息系统审计的过程信息系统审计的过程实质测试：实质测试：实施实质性测试；评价测试结果并签发审计报告；审计报告6.6.信息系统审计的技术信息系统审计的技术问问卷卷调调查查表表被被测测信信息息系系统统评评估估申申请请漏漏洞洞扫扫描描工工具具评评估估或或等等级级标标准准系系统统风风险险识识别别与与分分析析综综合合评评估估标标准准库库评评估估报报告告风风险险数数据据采采集集正正反反向向工工具具箱箱知知识识库库风风险险识识别别与与分分析析综综合合评评估估评评估估单单位位信信息息库库等等级级库库评评估估方方法法库库等等级级判判定定报报告告 资资产产分分析析 脆脆弱弱性性分分析析 威威胁胁分分析析物理平台网络平台应用平台管理平台操作系统平台评评估估项项目目管管理理l内部审计与内部审计与IT治理治理内部审计方法战略分析战略分析企业风险评估企业风险评估制定内审计划制定内审计划内审项目执行内审项目执行报告报告问题的解决和跟踪问题的解决和跟踪规划规划执行执行IT治理lIT治理是信息系统审计和控制领域中一个相当新的概念治理是信息系统审计和控制领域中一个相当新的概念lIT治理其定义汇集了以下治理其定义汇集了以下3中观点：中观点：lRobert s.Roussey认为：认为：IT治理用于扫描被委托治理实体的人员在监督、治理用于扫描被委托治理实体的人员在监督、检查、控制和指导实体的过程中如何看待信息技术。检查、控制和指导实体的过程中如何看待信息技术。IT的引用对于组织的引用对于组织能否达到他的远景、使命、战略目标至关重要。能否达到他的远景、使命、战略目标至关重要。l德勤定义如下：德勤定义如下：IT治理是一个含义广泛的概率，包括信息系统、技术、治理是一个含义广泛的概率，包括信息系统、技术、通讯、商业、所有利益相关者、合法性和其他问题。通讯、商业、所有利益相关者、合法性和其他问题。l国际信息系统审计与控制协会（国际信息系统审计与控制协会（ISACA）定义如下：）定义如下：IT治理是一个由关治理是一个由关系和过程所构成的体制，用于知道如何控制企业，通过平衡信息技术与系和过程所构成的体制，用于知道如何控制企业，通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。过程的风险、增加价值来确保实现企业的目标。lIT中国治理研究中心在综合研究的基础上提出如下定义：中国治理研究中心在综合研究的基础上提出如下定义：IT治理用于描治理用于描述企业或征服是否采用有效的机制，使得述企业或征服是否采用有效的机制，使得IT引用能完成组织赋予的使命，引用能完成组织赋予的使命，同时平衡信息技术与过程的风险，确保实现组织的战略目标。同时平衡信息技术与过程的风险，确保实现组织的战略目标。公司治理和IT治理l公司治理是一个设计公司的管理层、董事会、股东和公司治理是一个设计公司的管理层、董事会、股东和其他利益相关者之间的一整套关系体系，是在所有权其他利益相关者之间的一整套关系体系，是在所有权和经营权分离条件下，为解决所有者和经营者因委托和经营权分离条件下，为解决所有者和经营者因委托代理关系所产生的利益不一致，二建立起来的互相制代理关系所产生的利益不一致，二建立起来的互相制衡机制，从而减低管理风险，实现组织目标。衡机制，从而减低管理风险，实现组织目标。lIT治理关键因素是使治理关键因素是使IT与业务融合，以实现组织的业与业务融合，以实现组织的业务价值。务价值。lIT治理框架由一系列结构、流程和相关机制组成。治理框架由一系列结构、流程和相关机制组成。IT战略委员会、风险管理和标准战略委员会、风险管理和标准IT平衡记分卡。平衡记分卡。l作为公司治理的一个重要组成部分，作为公司治理的一个重要组成部分，IT治理包含了确治理包含了确定企业如何应用定企业如何应用IT的一系列问题。因此，在整个企业的一系列问题。因此，在整个企业治理中，评价治理中，评价IT治理成为越来越重要的内容治理成为越来越重要的内容 IT治理与内部审计l内部审计是一种独立、客观的保证，是为了机内部审计是一种独立、客观的保证，是为了机构增加价值并提高机构的运行效率；它采用系构增加价值并提高机构的运行效率；它采用系统化、规范化的方法评价风险管理、控制及治统化、规范化的方法评价风险管理、控制及治理过程并提高其效率，从而帮助实现组织目标。理过程并提高其效率，从而帮助实现组织目标。l关于内部审计在关于内部审计在IT治理过程中的职责，美国的治理过程中的职责，美国的萨班斯萨班斯奥克斯莱法奥克斯莱法有明确规定，在美国有明确规定，在美国上市公司内部审计师应帮助管理层对公司上市公司内部审计师应帮助管理层对公司IT应应用控制和用控制和IT一般性控制进行评估并出具报告。一般性控制进行评估并出具报告。IT治理标准l一个有效的IT治理架构需要理解组织的核心竞争力，并且在商业目标，治理原型，业务绩效目标之间维持平衡，进而提出IT治理框架，指定决策以及如何在关键的信息技术领域去确定。企业风险管理的必要性企业风险管理的必要性案例一：美国安然公司案例一：美国安然公司(Enron)(Enron)在2002年，安然是美国最大的石油和天然气企业之一 2001年末，安然宣布第三季度录得6.4亿美元的亏损，美国证监会对该公司进行调查，发现该公司在1997以来虚报利润5.8亿美元 2001年末，安然申请破产保护令，但在之前10个月内，公司却因股票价格超越预期目标而向董事及高级管理人员发放3.2亿美元的红利调查发现调查发现：安然的董事会及审计委员会均采取不干预(“hands-off”)监控政策事件发生之后，部分董事表示不太了解安然的财务状况、期货及期权的业务安然重视短期的业绩指标安然管理高层常常藐视或推翻公司制定的内控制度 企业风险管理框架企业风险管理框架 什什么是风险管理？么是风险管理？企业风险管理是一套由企业董事会与管理层企业风险管理是一套由企业董事会与管理层共同设立、和与企业战略相结合的管理流程。共同设立、和与企业战略相结合的管理流程。它的功能是识别那些会影响企业运作的潜在它的功能是识别那些会影响企业运作的潜在事件和把相关的风险管理到一个企业可接受事件和把相关的风险管理到一个企业可接受的水平，从而帮助企业达至它的目标的水平，从而帮助企业达至它的目标。美国内控研究委员会美国内控研究委员会企业为何要建立风险管理企业为何要建立风险管理？因为企业的股东与管理层常常要面对一些令他们寝食难安的问题。因此，企业需要系统化地建立一套风险管理体制，从而识别影响企业盈利的关键因素，并对那些会影响企业达标的风险进行监控及管理股东对企业风险管理最股东对企业风险管理最关心的四个问题关心的四个问题：1.1.企业企业知道它所面对的主要风险吗？知道它所面对的主要风险吗？例如：什么风险正在或将会影响企业的业务？v 企业的品牌v 新产品、新市场的开发v 战略联盟v 客户或供应链的管理理想的情况理想的情况：企业能开发一套标准的、共通的风险语言，从而识别企业所面对的风险，并就其严重的程度进行排序。共通的风险语言亦有利于企业上下层就风险的管理进行沟通2.2.企业是否已对这些风险设置内部控制？企业是否已对这些风险设置内部控制？企业需要就各业务单位在日常运作中所面对的风险(战略性风险、业务性风险、流程性风险)，构建内部控制(包括预防性控制及觉察性控制)，以确保企业能实现目标和符合各方面的法律、法规理想的情况理想的情况：企业就其所面对的风险和采取的内控，编制一套完整的文档，并借鉴国际最佳的实务不断进行检讨 3.3.企业的内部控制有效吗？企业的内部控制有效吗？企业要对其内控系统不间断地进行监控和测试，以确保其对风险控制的能力理想的情况理想的情况：企业把各类风险控制在可接受的水平，并在这基准上赚取合理的回报4.4.哪一些内部控制必须改进哪一些内部控制必须改进？企业内部和内部环境的变化会不停地影响企业所面对的风险和所应采取的监控措施理想的情况理想的情况：企业能建立一套具前瞻性的信息管理系统和预警系统，使企业能及时识别新生的风险，并对相关的业务计划、政策和程序进行修正企业风险管理框架企业风险管理框架一个基础三道防线管理层管理层CEO第第三三道防线道防线第第二二道防线道防线第一道防线第一道防线业务部门业务部门董事会董事会风险管理风险管理内部审计内部审计审计委员会审计委员会风险管理风险管理委员会委员会l风险管理总目标一、全面风险管理的目标-38-财务报告真实可财务报告真实可靠靠确保内外部，尤其是企业与股东之间实现真实、可靠的信息沟通，包括编制和提供真实、可靠的财务报告；合规合法合规合法确保遵守有关法律法规；高效运营高效运营确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行，保障经营管理的有效性，提高经营活动的效率和效果，降低实现经营目标的不确定性；与战略目标一致战略目标一致确保将风险控制在与总体目标相适应并可承受的范围内；应对突发事件应对突发事件防止重大损失防止重大损失确保企业建立针对各项重大风险发生后的危机处理计划，保护企业不因灾害性风险或人为失误而遭受重大损失。风风险险管管理理总总体体目目标标公司治理与风险管理有什么关系公司治理与风险管理有什么关系？公司治理是风险管理的一个必要的组成部份，因为它提供了对风险由上而下的监控与管理 近年多个国家都订立了公司治理的最佳守则：美国：纽约证交所最佳治理守则英国：Cadbury/Hampel Report、The Combined Code加拿大：Dey ReportOECD Report这些最佳守则均清楚指出建立风险管理是董事会及管理层的责任如何构建一个有利风险管理的公司治理结构如何构建一个有利风险管理的公司治理结构？建立一个健全的、以董事会为首的公司治理结构 订立企业的目标和战略，包括企业的风险政策和极限 贯彻一套重视风险管理的企业文化和价值观第一道防线：业务单位防线第一道防线：业务单位防线 业务单位包含了企业大部分的资产和业务，它们在日常工作中面对各类的风险，是企业的前线 企业必须把风险管理的手段和内控程序融入到业务单位的工作与流程中，才能建立好防范风险的第一道防线如何建立第一道防线如何建立第一道防线1.了解企业战略目标及可能影响企业达标的风险2.识别风险类别3.对相关风险作出评估4.决定转移、避免或减低风险的策略5.计设及实施风险策略的相关内部控制(风险宇宙风险宇宙TM TM)资信资信制度知识产权财务财务流动资产与信贷资本结构市场财务报告营运营运法律生产程序营商环境营商环境市场结构民风与文化管治管治策略董事会活动交易交易并购变卖声誉道德社区责任风险管理董事会及管理层业绩组织结构监察与沟通执行筹划与开发利益有关方供应商政府顾客股东经济情况国家情况市场变化竞争对手人才资源雇员沟通有形资产机器、厂房与土地其他有形资产负债合约法规市场与销售生产及流通商品/服务开发流程估值与选择买家评估与甄选尽职调查并购后整合资信管理运营组织与监察硬件软件网络无形资产知识管理信息现金管理对冲融资股东资本债务商品利率外汇税务会计合规风险宇宙风险宇宙 战略性风险是指公司因作出战略性错误的决定而导致经济上的损失 战略性风险是业务单位、高级管理层和董事会的共同责任 常见的战略性风险包括：企业的目标与方针市场潜在的威胁业务的范围(深度与广度)品牌及形象的建立 战略性风险与战略性伙伴的合作投资和融资的策略员工的素质和雇员关系企业的信息及监控系统市场风险是指因市场价格或利率波动而使公司产生经济损失的风险构成市场风险的三大因素：因买卖或投资金融产品而产生的风险因资产与负债错配、或原材料与产成品价格不能同步浮动而产生的风险资金流动性风险常见的市场风险包括：利率风险外汇风险股票与债券市场风险商品价格风险期货、期权与衍生工具风险 市场风险操作风险操作风险是指企业内部流程、人为错误或外部因素而令公司产生经济损失的风险，它包括了公司的流程风险、人为风险、系统风险、事件风险和业务风险等流程风险流程风险是指交易流程中出现错误而引致损失的风险，流程包括如：销售、定价、记录、确认、出货/提供服务等环节。流程风险也包括合规性风险人为风险人为风险概指因员工缺乏知识和能力、缺乏诚信或道德操守而引致损失的风险系统风险系统风险是指因系统失灵、数据的存取和处理、系统的安全和可用性、系统的非法接入与使用而引致损失的风险事件风险事件风险是指因内部或外部欺诈、市场扭曲、人为或自然灾害而引致损失的风险业务风险业务风险是指因市场或竞争环境出现预期以外的变化而引致损失的风险，所涉及的问题包括市场策略、客户管理、产品开发、销售渠道和定价等领域 操作风险风险发生的可能性风险发生的可能性评分评分可能性可能性说明说明5几乎肯定在未来12个月内，这项风险几乎肯定会出现至少 1次4极可能在未来12个月，这项风险极可能出现1次3可能在未来2至10年内，这项风险可能出现1次2低在未来10至100年内，这项风险可能出现至少1次1极低这项风险出现的可能性极低，估计在100年内出现的可能性少于1次评分评分 损失程度损失程度说明说明5灾难令企业失去继续运作的能力(或占税前利润达20%)4重大对于企业在争取完成其策略性计划和目标，造成重大影响(5-10%税前利润)3中等对于企业在争取完成其策略性计划和目标的过程，在一定程度上造成阻碍(至5%税前利润)2轻微对于企业在争取完成其策略性计划和目标，只造成轻微影响(至1%税前利润)1近乎没有影响程度十分轻微风险对企业造成的影响风险对企业造成的影响评评分分有效性有效性说明说明5极度过头处理方法能直接针对该项风险，但相信会令企业业绩“倒退”或成本过高4过头处理方法能直接针对该项风险，但由于需要投入大量资源或/及将其他资源转到处理该项风险上，会对企业的效率造成影响3适中处理方法有效针对该项风险，同时并不影响企业的效率2低效处理方法针对该项风险的效果不理想，或投入处理该风险的资源不充分或/及对投入的资源未有适当利用1近乎没有 效果处理方法的效果十分低，可能是由于企业根本没有处理方法，又或处理手法不当风险处理方法的效果风险处理方法的效果风险地图风险地图(或风险共同语言或风险共同语言)影响程度影响程度近乎没有轻微中等重大灾难几乎 肯定极可能可能低极低BCAGIDJKHEF可可能能性性说明:A 人力资源风险B 财务风险C 竞争风险D 开发风险E 过度自信风险F 系统故障风险G 主要客户风险H 欺诈风险I 政治风险J 薪酬奖励风险K 科技风险大型集团风险管理分析l风险控制地图风险处理组合风险处理组合 处理评级处理评级风风险险评评级级近乎没有效果低效适中超标极度极高高中等低BCAGIDJKHE说明:A 人力资源风险B 财务风险C 竞争风险D 开发风险E 过度自信风险F 系统故障风险G 主要客户风险H 欺诈风险I 政治风险J 薪酬奖励风险K 科技风险F采取行动密切监控定期审阅风险处理策略风险处理策略影响程度影响程度可可能能性性转移转移避免避免小心管理小心管理可接受可接受大大小小高高低低风险策略风险策略l避免禁止交易减少或限制交易量离开市场l转移套期保险策略性联盟其他分担风险的安排l小心管理投资广泛保护的安排订价反映风险程度l可接受自我保险预留储备增加监督风险处理策略风险处理策略影响程度影响程度大大小小可可能能性性转移转移避免避免小心管理小心管理可接受可接受高高低低企业建立的第一道防线，就是要各业务单位就其战略性风险、信贷风险、市场风场和操作风险等等，系统化地进行分析、确认、度量、管理和监控企业需要把评估风险与内控措施的结果进行记录和存档，对内控措施的有效性不断进行测试和更新第一道防线：总结第一道防线：总结管理层管理层CEO第第三三道防线道防线第第二二道防线道防线第一道防线第一道防线业务部门业务部门董事会董事会风险管理风险管理内部审计内部审计审计委员会审计委员会风险管理风险管理委员会委员会第二道防线：风险管理单位防线第二道防线：风险管理单位防线第二道防线是在业务单位之上建立一个更高层次的风险管理功能，它的组成部份可能包括风险管理部门、信贷审批委员会、投资审批委员会风险管理部的责任是领导和协调公司内各单位在管理风险方面的工作，它的职责包括：编制规章制度对各业务单位的风险进行组合管理度量风险和评估风险的界限建立风险信息系统和预警系统、厘定关键风险指标负责风险信息披露、沟通、协调员工培训和学习的工作按风险与回报的分析，为各业务单位分配经济资本金“内部审计是一项独立、客观的审查和咨询活动，其目的在于增加企业的价值和改进经营。内审通过系统的方法，评价和改进企业的风险管理、控制和治理流程的效益，帮助企业实现其目标。”美国内部审计师协会美国内部审计师协会第三道防线：内审单位防线第三道防线：内审单位防线 第三道防线涉及一个独立于业务单位的部门，监控企业内控和其他企业关心的问题 内部审计的定义：内部审计的内部审计的三大功能三大功能 财务监督财务帐的可用性内部管理和制度的执行典型例子：检查分、子公司上报总部的财务报表的准确性以及执行财务管理政策的情况 经营诊断管理审计以及效率和效益审计检查和诊断经营和管理过程中的偏差和失误典型例子：企业对某业务单位或某部门执行效益审计(一个输入与产出的关系)咨询顾问企业风险管理和发展策略方面的咨询调查领导关心的热点问题和管理薄弱环节典型例子：兼并收购时调查被投资公司的内部管理和流程操作，了解薄弱环节或其他影响并购交易的重大事项，从而确定管理方法和并购策略构建企业风险管理的关键成功要素构建企业风险管理的关键成功要素1.1.股东确立对企业监督的机制，考虑是否需要在集团层股东确立对企业监督的机制，考虑是否需要在集团层面：面：引入以董事会领导的管理体制聘任有经验的外部董事，来加强对企业的监督要求企业建立风险管理和内控系统，并对其运作及有效性作出定期的汇报2.2.管理高层的支持和参与管理高层的支持和参与确立方向和目标营造必要的环境为平衡风险与回报作出战略性的决定风险回报风险与回报风险与回报成正比成正比？风险调整风险后的回报冒险程度冒险程度 不够进不够进取取冒险程度冒险程度 高危高危冒险程度冒险程度 理想范理想范围围3.3.建立风险管理文化建立风险管理文化风险管理的手段，必须融入日常的管理流程通过讨论和培训，使风险管理的实施得到“全民”的支持通过经验的分享，不断加强风险管理的认同性4.4.采用先进的风险管理的实施方法采用先进的风险管理的实施方法借鉴如美国 Treadway 委员会所提出的COSO内控框架采用各种识别和度量风险的先进的方法采用标准的模板和程序确认风险、评估风险、建立记录和文档、参考国际最佳实务，构建信息管理系统和预警系统二、大型集团风险管理分析l形成了中国神华风险管理文化大型集团风险管理分析-64-内部控制与风险管理、企业管理的关系风险评估外部审计内部控制控制环境内部审计控制活动信息沟通持续监控风险管理目标设定风险识别风险应对企业管理各项经营管理活动，如战略管理、人力资源管理、财务管理、资产管理等风险战略治理结构组织体系风险理财正确认识内控与审计、风险管理、企业管理的关系-65-内部控制系统与风险管理、企业管理的关系l 风险管理利用风险评估方法发现企业固有风险评价其可能性或者损失用内部控制的措施进行控制得到企业的剩余风险固有风险-内部控制=剩余风险l 企业的剩余风险 企业对风险的容忍度企业价值地图-67-华电财务风险管理建设方案1 1、全面风险管理解决方案、全面风险管理解决方案2 2、财务风险管理解决方案、财务风险管理解决方案1)1)、目标管理；、目标管理；2)2)、风险体系；、风险体系；3)3)、风险识别；、风险识别；4)4)、风险评估、风险评估5)5)、风险监控、风险监控-69-70-企业全面风险分类法律风险运营风险战略风险财务风险市场风险企业风险1、全面风险分类2、全面风险管理解决方案-71-3、财务风险管理解决方案l理论依据1.2004年，国资委开展组织研究国有企业风险管理工作2.2006年，国资委发布全面风险管理指引纲要3.2007年，在大型企业风险管理论坛上国资委表示，风险管理将成为国资委对央企领导人员考核和评价央企的重要指标4.2008年，国资委关于开展编报试点工作有关事项的通知（国资厅发改革20085 号），要求31家央企试点企业进行全面风险报告的递交5.2008年，财政部、证监会、审计署、银监会、保监会五部委联合发布了企业内部控制基本规范-72-73-风险管理流程图风险管理初始信息风险评估风险管理策略风险管理解决方案风险管理的监督改进54321战略风险、财务风险、市场风险、运营风险、法律风险的初始信息收集风险辨识（针对业务、流程）风险分析（发生可能性高低、风险发生条件）风险评价（影响程度、风险价值）风险偏好、承受度、管理有效性标准；选择风险管理工具（风险态度）风险解决具体目标、组织领导、管理、流程、条件、手段；风险事件前、中、后采取的具体应对措施以及风险管理工具对风险管理解决方案的实施情况的有效性进行检验风险分析风险评估和控制风险管理流程2、财务风险管理解决方案n风险体系管理n风险分类n战略风险n财务风险n市场风险n运营风险n法律风险n系统管理n属性设置n可能性n损失度n内部控制n体系维护n流程管理n风险应对措施n风险规避n风险转移n风险降低n风险接受n风险利用n指标体系-74-2、财务风险管理解决方案n风险体系管理n风险分类n战略风险n财务风险n市场风险n运营风险n法律风险n系统管理n属性设置n可能性n损失度n内部控制n体系维护n流程管理n风险应对措施n风险规避n风险转移n风险降低n风险接受n风险利用n指标体系-75-您现在的位置：风险识别调查问卷2.财务风险管理解决方案-风险识别 风险识别风险事件分析风险指标分析调查问卷访谈业务流程分析风险清单管理问卷填写问卷收集问卷统计问卷发放问卷设计企业环境分析-76-风险分析风险评价风险地图可能性分析影响度分析风险测评表部门风险测评表重大风险清单风险坐标图各部门风险等级堆积图XX部门风险堆积图2.财务风险管理解决方案-风险评估建设思路-77-2.财务风险管理解决方案-风险评估风险评估方法敏感性分析样例：风险评估风险地图风险分析风险评价-78-79-风险坐标图法承担A区域中的各项风险且不再增加控制措施严格控制B区域中的各项风险且专门补充制定各项控制措施确保规避和转移C区域中的各项风险且优先安排实施各项防范措施A区域极低 低 中等 高 极高可能性B区域C区域B区域02010403 低 高 风险评估风险评价风险地图风险分析您现在的位置：风险评估风险地图影响程度 01 库存现金风险 02 应收账款风险03 长期借款风险 04 发电标煤单价风险-80-风险应对与控制2.财务风险管理解决方案-应对与控制您现在的位置：风险应对与控制风险应对方案效果与反馈风险应对方案风险应对措施企业企业目标目标具体具体目标目标关关键键因因素素风险风险偏好偏好风风险险策策略略内部内部控制控制流程流程风险应对措施风险应对措施 应对方应对方案案负责负责人人处置处置方式方式补充流动资金100,000,000元资产负债率资产负债率可容忍度85%转移降低筹资内控管理集团财务公司内部借款5000万，剩余5000万向银行借款；张三集团借款超过1个月，银行放款超过6个月降低煤炭采购成本 控制煤炭采购价格低于盈亏平衡点 原煤出厂价格适度接受煤价上涨导致的成本上升，利润减少风险风险控制燃料采购管理流程1、健全跨区域协调采购调运机制2、杜绝亏吨、亏卡，降低场损和热值差 3、结合电量计划、煤耗供应形势和库存状况，合理制定煤炭采购计划 系统预警提示、电子邮件、手机短信2.2.财务风险管理解决方案财务风险管理解决方案-风风险监控与报告险监控与报告模块模块定义定义您现在的位置：首页风险监控与报告您现在的位置：首页风险监控与报告重大风险监控表重大风险监控表风险编号：风险编号：GZ08M.01.01 所涉及内控流程：所涉及内控流程：燃料成本管理流程燃料成本管理流程流程目标：流程目标：规范燃料管理体系，降低燃料成本规范燃料管理体系，降低燃料成本流程层面影响流程目标实现的风险：流程层面影响流程目标实现的风险：XXXX 风险控制点描述：风险控制点描述：XXXX控制发生的频率控制发生的频率(选择选择)：每月每月/每季每季/每周每周/每天每天/频繁发生频繁发生/按需不定期按需不定期/系统控制系统控制/半年半年控制类型（选择）控制类型（选择）:过程核查过程核查/系统设置系统设置/关键绩效指标关键绩效指标/例外情况报告和预警报告例外情况报告和预警报告/配置帐项映射控制配置帐项映射控制系统系统/系统访问权限系统访问权限/管理层审阅管理层审阅/部门内审查部门内审查/职责分工职责分工/文件页面保留文件页面保留/其他其他控制点负责部门控制点负责部门:燃料管理部门燃料管理部门 控制点负责人控制点负责人:张三张三是否适用集团公司是否适用集团公司:是是 是否适用是否适用二级单位二级单位:否否控制点执行日期控制点执行日期:2009-05-122009-05-12风险指标预警 风险监控与报告突发风险处理风险报告突发风险处理风险预警报告突发风险处理风险分析报告风险事件处理危机管理 重大风险监控-81-风险事件处理记录表-82-风险指标预警 风险监控与报告突发风险处理风险报告突发风险处理风险预警报告突发风险处理风险分析报告重大风险监控危机管理 风险事件处理2.财务风险管理解决方案-风险监控与报告2、任务编组n紧急应变小组n危机处理小组n营运持续执行小组危机管理机制n及时沟通说明n遗留问题处理n评估、总结、整改n事故一线调研n应急预案实施n协调干系机构3、危机应对n应急预案准备n人力资源贮备n物力资源准备n组织应急培训1、应急准备4、善后处理风险指标预警 风险监控与报告突发风险处理风险报告突发风险处理风险预警报告突发风险处理风险分析报告重大风险监控风险事件处理 危机管理-83-重大风险专项分析报告由于煤价暴涨，公司经营业绩大幅下滑，出现了自成立以来首次且幅度较大的整体性亏损。为突出主要原因经过分析，在只考虑煤价波动影响变动成本因素（V）情况下由公式V=（标准煤耗平均数）*10-6*（发电标煤单价），结合下图实际数据计算可知，当标煤价每吨上涨20元则每度点的燃料成本将直接大约增加0.7分，这将严重影响企业经营利润目标的实现，若按照现有状态持续增加，更将大大增加企业的财务风险。应对措施：1、健全跨区域协调采购调运机制|2、杜绝亏吨、亏卡，降低场损和热值差|3、结合电量计划、煤耗供应形势和库存状况，合理制定煤炭采购计划|4、协调实施煤电联动机制 风险指标预警 风险监控与报告突发风险处理风险报告突发风险处理风险预警报告危机管理重大风险监控风险事件处理 风险分析报告-84-财务报告系统的功能财务报告系统的功能股东股东监管部门监管部门其他利益其他利益相关者相关者分析和修正分析和修正企业远景企业远景、战略和目标战略和目标企业经营企业经营、管理和控制管理和控制企业业绩的企业业绩的度量和报告度量和报告财务报告系统财务报告系统财务信息披露和报告财务信息披露和报告经常性业务交易经常性业务交易非经常性业务交易非经常性业务交易资料和数据的处理资料和数据的处理n目标：更自动化、更程序化、更规范化n缩短编制时间、减少人为错误财务报告系统财务报告系统n加强业务与财会人员之间的沟通n了解会计准则的要求，减少个别主观人为判断财务报告系统财务报告系统管理管理