內控與全面風險管理解決方案介紹

1、www.ids-內控與全面風險管理內控與全面風險管理解決方案介紹解決方案介紹ids scheer 中國中國2009 年年 3月月 31日日 ids scheer ag www.ids- 2議程議程內控與全面風險管理體系的設計內控與全面風險管理體系的設計內控與全面風險管理的信息化解決方案內控與全面風險管理的信息化解決方案23溝通與交流溝通與交流4對內控與全面風險管理的理解對內控與全面風險管理的理解1 ids scheer ag www.ids- 3議程議程內控與全面風險管理體系的設計內控與全面風險管理體系的設計內控與全面風險管理的信息化解決方案內控與全面風險管理的信息化解決方案23溝通與交流溝通

2、與交流4對內控與全面風險管理的理解對內控與全面風險管理的理解1 ids scheer ag www.ids- 4危機啟示危機啟示 4過去過去4現(xiàn)在現(xiàn)在4未來未來 ids scheer ag www.ids- 5公司可持續(xù)運營公司可持續(xù)運營外部約束外部利益相關者的要求，包括法律、法規(guī)、標準等自我約束公司管理層定義的公司價值觀、社會責任、質量承諾等 ids scheer ag www.ids- 6越來越多的外部要求越來越多的外部要求股東股東證券交易證券交易所所內控與全面風險管理內控與全面風險管理政府部門政府部門行業(yè)監(jiān)管行業(yè)監(jiān)管部門部門4 國資委：國資委：中央企業(yè)全面風中央企業(yè)全面風險管理指引險管理

3、指引4 治理結構治理結構4 財政部：財政部：企業(yè)內部企業(yè)內部控制基本規(guī)范控制基本規(guī)范4 薩班斯法案薩班斯法案4 上海證券交易所上市上海證券交易所上市公司內部控制指引公司內部控制指引4 深圳證券交易所上市深圳證券交易所上市公司內部控制指引公司內部控制指引4 4 保險公司風險管理指引（試行）保險公司風險管理指引（試行）4 商業(yè)銀行操作風險管理指引商業(yè)銀行操作風險管理指引4 ids scheer ag www.ids- 7內部控制與全面風險管理內部控制與全面風險管理 全面風險管理全面風險管理企業(yè)圍繞總體經營目標，通過在企業(yè)管理的各個環(huán)節(jié)和經營過程中執(zhí)行風險管理的基本流程，培育良好的風險管理文化，建立

4、健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統(tǒng)和內部控制系統(tǒng)，從而為實現(xiàn)風險管理的總體目標提供合理保證的過程和方法。內部控制內部控制內部控制，是由企業(yè)董事會、監(jiān)事會、經理層和全體員工實施的、旨在實現(xiàn)控制目標的過程。內部控制的目標是合理保證企業(yè)經營管理合法合規(guī)、資產安全、財務報告及相關信息真實完整，提高經營效率和效果，促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略。vs企業(yè)內部控制基本規(guī)范企業(yè)內部控制基本規(guī)范中央企業(yè)全面風險管理指引中央企業(yè)全面風險管理指引 ids scheer ag www.ids- 8正確認識內控與全面風險管理正確認識內控與全面風險管理 是是不是不是 管

5、理風險 服務（業(yè)務） 創(chuàng)造價值 沒有達到目標就是風險 回避風險 關卡 毀滅價值 只有業(yè)務損失才是風險 ids scheer ag www.ids- 9內控與全面風險管理的局限內控與全面風險管理的局限4無論內控與全面風險管理設計和執(zhí)行的再好，它也只能提供合理的保證。無論內控與全面風險管理設計和執(zhí)行的再好，它也只能提供合理的保證。局限性管理層越權管理層越權判斷失誤判斷失誤合伙同謀合伙同謀執(zhí)行偏差執(zhí)行偏差成本效益原成本效益原則則 ids scheer ag www.ids- 10持續(xù)監(jiān)控是公司內控與全面風險管理體系的重要保證持續(xù)監(jiān)控是公司內控與全面風險管理體系的重要保證時間時間控制有效性控制有效性無

6、測試無測試非周期性測試非周期性測試周期性測試周期性測試 ids scheer ag www.ids- 11內部控制體系發(fā)展內部控制體系發(fā)展無意識無意識初步建立初步建立標準化標準化持續(xù)監(jiān)控持續(xù)監(jiān)控整合整合發(fā)展階段發(fā)展階段控制的有效性控制的有效性無意識無意識沒有設計和實施內部控制活動的意識整合整合將內部控制體系融入到企業(yè)的日常管理運營活動中，并持續(xù)優(yōu)化提升初步建立初步建立初步設計并實施了一些控制活動，但是不夠全面和充分標準化標準化公司范圍內設計并實施了標準化的控制活動持續(xù)監(jiān)控持續(xù)監(jiān)控建立了標準化的控制體系，并建立了周期性的控制測試和匯報制度 ids scheer ag www.ids- 12cos

7、o的內控框架和風險管理框架的內控框架和風險管理框架監(jiān)控監(jiān)控信息和溝通信息和溝通控制活動控制活動風險評估風險評估控制環(huán)境控制環(huán)境營運營運財務報告財務報告合規(guī)性合規(guī)性業(yè)業(yè)務務單單位位a a業(yè)業(yè)務務單單位位b b活活動動2 2活活動動1 1監(jiān)督監(jiān)督信息和溝通信息和溝通控制活動控制活動風險評估風險評估控制環(huán)境控制環(huán)境營運營運財務報告財務報告合規(guī)性合規(guī)性業(yè)業(yè)務務單單位位a a業(yè)業(yè)務務單單位位b b活活動動2 2活活動動1 1內控控制框架內控控制框架企業(yè)風險管理框架企業(yè)風險管理框架 ids scheer ag www.ids- 13企業(yè)內部控制基本規(guī)范企業(yè)內部控制基本規(guī)范 和和中央企業(yè)全面風險管理中央企業(yè)

8、全面風險管理指引指引財政部：企業(yè)內部控制財政部：企業(yè)內部控制國資委：中央企業(yè)全面風險管理體系國資委：中央企業(yè)全面風險管理體系風險管理的監(jiān)督與改進風險管理的監(jiān)督與改進 戰(zhàn)戰(zhàn)略略目目標標報報告告目目標標合合規(guī)規(guī)目目標標經經營營目目標標減減災災目目標標收集風險信息收集風險信息信信息息組組織織文文化化評估風險評估風險制定風險管理策略制定風險管理策略提出和實施風險管理解決方案提出和實施風險管理解決方案風險管理的監(jiān)督與改進風險管理的監(jiān)督與改進 戰(zhàn)戰(zhàn)略略目目標標報報告告目目標標合合規(guī)規(guī)目目標標經經營營目目標標資資產產安安全全內部環(huán)境內部環(huán)境公公司司層層面面業(yè)業(yè)務務單單元元子子公公司司風險評估風險評估控制活動

9、控制活動信息與溝通信息與溝通內部監(jiān)督內部監(jiān)督 ids scheer ag www.ids- 14議程議程內控與全面風險管理體系的設計內控與全面風險管理體系的設計內控與全面風險管理的信息化解決方案內控與全面風險管理的信息化解決方案23溝通與交流溝通與交流4對內控與全面風險管理的理解對內控與全面風險管理的理解1 ids scheer ag www.ids- 15內部控制體系建設內容內部控制體系建設內容戰(zhàn)戰(zhàn)略略目目標標報報告告目目標標合合規(guī)規(guī)目目標標經經營營目目標標資資產產安安全全內部環(huán)境內部環(huán)境公公司司層層面面業(yè)業(yè)務務單單元元子子公公司司風險評估風險評估控制活動控制活動信息與溝通信息與溝通內部監(jiān)督

10、內部監(jiān)督指導框架指導框架公司環(huán)境公司環(huán)境管理銷售物料管理采購排產組織視圖組織視圖銷售處理檢查信用額度確定交付日期詢價處理報價處理功能視功能視圖圖報價客戶詢價數據視數據視圖圖詢價處理詢價已受理詢價處理完畢報價處理客戶報價詢價銷售流程視流程視圖圖客戶訂單客戶詢價客戶報價產品產品/服務視服務視圖圖 ids scheer ag www.ids- 16內部控制框架快速解讀內部控制框架快速解讀確保被識別出規(guī)避風確保被識別出規(guī)避風險的控制措施可以及時險的控制措施可以及時有效得到實施的政策和有效得到實施的政策和程序程序確認內部控制是否進行充確認內部控制是否進行充分的設計和執(zhí)行，以及是否分的設計和執(zhí)行，以及是否

11、具備有效性和適應性。具備有效性和適應性。對于影響公司目標實對于影響公司目標實現(xiàn)的內部及外部因素的現(xiàn)的內部及外部因素的評估評估確保相關信息被及時確保相關信息被及時識別及傳遞的過程識別及傳遞的過程公司對于內部控制的公司對于內部控制的基本態(tài)度基本態(tài)度- -”來自上層的來自上層的基調基調”戰(zhàn)戰(zhàn)略略目目標標報報告告目目標標合合規(guī)規(guī)目目標標經經營營目目標標資資產產安安全全內部環(huán)境內部環(huán)境公公司司層層面面業(yè)業(yè)務務單單元元子子公公司司風險評估風險評估控制活動控制活動信息與溝通信息與溝通內部監(jiān)督內部監(jiān)督 ids scheer ag www.ids- 17內部環(huán)境內部環(huán)境控制活動控制活動 控制活動是企業(yè)根據風險評

12、控制活動是企業(yè)根據風險評估結果，采用相應的控制措估結果，采用相應的控制措施，將風險控制在可承受度施，將風險控制在可承受度之內。之內?？刂拼胧┮话惆ǎ翰幌嗳菘刂拼胧┮话惆ǎ翰幌嗳萋殑辗蛛x控制、授權審批控職務分離控制、授權審批控制、會計系統(tǒng)控制、財產保制、會計系統(tǒng)控制、財產保護控制、預算控制、運營分護控制、預算控制、運營分析控制和績效考評控制等析控制和績效考評控制等內部監(jiān)督內部監(jiān)督內部監(jiān)督是企業(yè)對內部控制建立與內部監(jiān)督是企業(yè)對內部控制建立與實施情況進行監(jiān)督檢查，評價內部實施情況進行監(jiān)督檢查，評價內部控制的有效性，發(fā)現(xiàn)內部控制缺陷控制的有效性，發(fā)現(xiàn)內部控制缺陷，應當及時加以改進。，應當及時加以改

13、進。主要包括：內部監(jiān)督、缺陷認定、主要包括：內部監(jiān)督、缺陷認定、控制評價和自我記錄等控制評價和自我記錄等風險評估風險評估風險評估是企業(yè)及時識別、風險評估是企業(yè)及時識別、系統(tǒng)分析經營活動中與實現(xiàn)系統(tǒng)分析經營活動中與實現(xiàn)內部控制目標相關的風險，內部控制目標相關的風險，合理確定風險應對策略合理確定風險應對策略風險評估是形成內部控制活風險評估是形成內部控制活動的基礎動的基礎信息與溝通信息與溝通 信息與溝通是企業(yè)及時、準信息與溝通是企業(yè)及時、準確地收集、傳遞與內部控制確地收集、傳遞與內部控制相關的信息，確保信息在企相關的信息，確保信息在企業(yè)內部、企業(yè)與外部之間進業(yè)內部、企業(yè)與外部之間進行有效溝通。行有效

14、溝通。主要包括信息溝通、信息技主要包括信息溝通、信息技術、反舞弊等術、反舞弊等內部環(huán)境內部環(huán)境 內部環(huán)境是企業(yè)實施內部控內部環(huán)境是企業(yè)實施內部控制的基礎，一般包括治理結制的基礎，一般包括治理結構、機構設置及權責分配、構、機構設置及權責分配、內部審計、人力資源政策、內部審計、人力資源政策、企業(yè)文化等企業(yè)文化等戰(zhàn)戰(zhàn)略略目目標標報報告告目目標標合合規(guī)規(guī)目目標標經經營營目目標標資資產產安安全全內部環(huán)境內部環(huán)境公公司司層層面面業(yè)業(yè)務務單單元元子子公公司司風險評估風險評估控制活動控制活動信息與溝通信息與溝通內部監(jiān)督內部監(jiān)督 ids scheer ag www.ids- 18內部環(huán)境分冊示例內部環(huán)境分冊示例

15、目目 錄錄1、內部控制體系建設內容、內部控制體系建設內容 概述 誠信與道德價值觀 發(fā)展目標.管理理念與企業(yè)文化 風險管理策略 董事會及下屬委員會 組織結構 權利和責任分配人力資源政策與措施員工勝任能力 法律顧問制度及重大法律糾紛案件備案制度.2、內部控制體系執(zhí)行的文件及規(guī)范、內部控制體系執(zhí)行的文件及規(guī)范組織結構圖員工崗位職責描述權限指引審計委員會的工作程序與自評指引表說明重大法律糾紛案件備案指引控制環(huán)境涉及的制度索引 ids scheer ag www.ids- 19權限指引示例權限指引示例 ids scheer ag www.ids- 20內部環(huán)境內部環(huán)境 內部環(huán)境是企業(yè)實施內部控內部環(huán)境是

16、企業(yè)實施內部控制的基礎，制的基礎，一般包括治理結構、機構設一般包括治理結構、機構設置及權責分配、內部審計、置及權責分配、內部審計、人力資源政策、企業(yè)文化等人力資源政策、企業(yè)文化等風險評估風險評估控制活動控制活動 控制活動是企業(yè)根據風險評控制活動是企業(yè)根據風險評估結果，采用相應的控制措估結果，采用相應的控制措施，將風險控制在可承受度施，將風險控制在可承受度之內。之內?？刂拼胧┮话惆ǎ翰幌嗳菘刂拼胧┮话惆ǎ翰幌嗳萋殑辗蛛x控制、授權審批控職務分離控制、授權審批控制、會計系統(tǒng)控制、財產保制、會計系統(tǒng)控制、財產保護控制、預算控制、運營分護控制、預算控制、運營分析控制和績效考評控制等析控制和績效考評控

17、制等內部監(jiān)督內部監(jiān)督內部監(jiān)督是企業(yè)對內部控制建立與內部監(jiān)督是企業(yè)對內部控制建立與實施情況進行監(jiān)督檢查，評價內部實施情況進行監(jiān)督檢查，評價內部控制的有效性，發(fā)現(xiàn)內部控制缺陷控制的有效性，發(fā)現(xiàn)內部控制缺陷，應當及時加以改進。，應當及時加以改進。主要包括：內部監(jiān)督、缺陷認定、主要包括：內部監(jiān)督、缺陷認定、控制評價和自我記錄等控制評價和自我記錄等信息與溝通信息與溝通 信息與溝通是企業(yè)及時、準信息與溝通是企業(yè)及時、準確地收集、傳遞與內部控制確地收集、傳遞與內部控制相關的信息，確保信息在企相關的信息，確保信息在企業(yè)內部、企業(yè)與外部之間進業(yè)內部、企業(yè)與外部之間進行有效溝通。行有效溝通。主要包括信息溝通、信息

18、技主要包括信息溝通、信息技術、反舞弊等術、反舞弊等戰(zhàn)戰(zhàn)略略目目標標報報告告目目標標合合規(guī)規(guī)目目標標經經營營目目標標資資產產安安全全內部環(huán)境內部環(huán)境公公司司層層面面業(yè)業(yè)務務單單元元子子公公司司風險評估風險評估控制活動控制活動信息與溝通信息與溝通內部監(jiān)督內部監(jiān)督風險評估風險評估風險評估是企業(yè)及時識別、風險評估是企業(yè)及時識別、系統(tǒng)分析經營活動中與實現(xiàn)系統(tǒng)分析經營活動中與實現(xiàn)內部控制目標相關的風險，內部控制目標相關的風險，合理確定風險應對策略。合理確定風險應對策略。 ids scheer ag www.ids- 21風險評估分冊示例風險評估分冊示例目錄目錄1 內部控制體系建設內容內部控制體系建設內容1

19、.1 概述1.2 建立風險評估機制1.3 建立并完善風險管理體系2 內部控制體系執(zhí)行的文件及規(guī)范內部控制體系執(zhí)行的文件及規(guī)范2.1 流程描述規(guī)范2.2 業(yè)務流程目錄2.3 風險評估規(guī)范2.4 重要會計科目和披露事項確認2.5 財務報表認定指南2.6 重要業(yè)務單位確認2.7 公司層面風險及對策分析程序2.8 業(yè)務活動層面風險數據庫2.9 風險管理規(guī)范（試行）2.10風險評估涉及的制度索引 ids scheer ag www.ids- 22風險分類風險分類公司層面公司層面業(yè)務（流程）層面業(yè)務（流程）層面信息系統(tǒng)層面信息系統(tǒng)層面4公司層面風險4原材料價格風險4商品價格風險4行業(yè)風險4大股東控制公司經

20、營政策風險4同行業(yè)競爭風險4資金風險4法律風險4業(yè)務層面風險4業(yè)務流程4應用系統(tǒng)4信息系統(tǒng)總體風險4控制環(huán)境4信息安全4項目建設管理4變更管理4. ids scheer ag www.ids- 23風險應對風險應對風險評估的步驟風險評估的步驟風險分析風險分析風險識別風險識別目標制定目標制定戰(zhàn)略目標經營目標財務報告目標合規(guī)目標公司層面公司層面業(yè)務（流程）層面業(yè)務（流程）層面信息系統(tǒng)層面信息系統(tǒng)層面接受接受轉移分擔轉移分擔控制控制可能性可能性影響程度影響程度關閉停業(yè)關閉停業(yè)風險承受風險承受風險分擔風險分擔風險降低風險降低可能性可能性影響程度影響程度風險規(guī)避風險規(guī)避優(yōu)化流程優(yōu)化流程內部控制內部控制財

21、產保險財產保險計提準備計提準備動態(tài)預警動態(tài)預警關閉停產關閉停產資產出售資產出售業(yè)務外包業(yè)務外包套期保值套期保值 ids scheer ag www.ids- 24目標設定目標設定風險識別風險識別風險分析風險分析風險應對風險應對目標制定目標制定財務報告目標財務報告目標4為公司及時提供真實、準確、完為公司及時提供真實、準確、完整的經營管理信息；整的經營管理信息；4按照按照企業(yè)會計準則企業(yè)會計準則以及上市以及上市地法律監(jiān)管的相關規(guī)定，為國家地法律監(jiān)管的相關規(guī)定，為國家相關部門和資本市場及時提供真相關部門和資本市場及時提供真實、準確、完整的財務會計報告，實、準確、完整的財務會計報告，滿足國家相關部門和

22、上市地證券滿足國家相關部門和上市地證券監(jiān)管機構對財務會計報告的報送監(jiān)管機構對財務會計報告的報送要求；要求；4防止資產未經授權購置、使用或防止資產未經授權購置、使用或轉讓出售。轉讓出售。業(yè)務流程業(yè)務流程目標目標產品銷售流程準確地獲取銷售數據并及時傳遞到相關部門、準確確認銷售收入等目標對外投資流程投資成本的確認符合相關準則的規(guī)定、投資收益及時取得并準確確認等目標 ids scheer ag www.ids- 25風險識別的方法風險識別的方法風險識別風險識別風險分析風險分析風險應對風險應對目標制定目標制定外部專家法頭腦風暴法問卷調查法案例分析法行業(yè)分析法財務報表分析法流程分析法 ids scheer

23、 ag www.ids- 26 ids scheer ag www.ids- 26風險識別的流程示例風險識別的流程示例?確定相關業(yè)務流程目錄 描述業(yè)務流程財務報表認定流程分析，識別風險確定重要會計科目和披露事項確定財務報告目標存在與發(fā)生表達與披露完整性權利與義務估價與分攤 ids scheer ag www.ids- 27 ids scheer ag www.ids- 27重要會計科目和披露事項認定重要會計科目和披露事項認定?存在與發(fā)生表達與披露完整性權利與義務估價與分攤 ids scheer ag www.ids- 28 ids scheer ag www.ids- 28相關業(yè)務流程確認相關

24、業(yè)務流程確認?存在與發(fā)生表達與披露完整性權利與義務估價與分攤 ids scheer ag www.ids- 29 ids scheer ag www.ids- 29財務報表認定財務報表認定4財務報表認定：通過識別重要會計科目和披露事財務報表認定：通過識別重要會計科目和披露事項中影響財務報告錯報的主要因素，從存在與發(fā)項中影響財務報告錯報的主要因素，從存在與發(fā)生、完整性、估價與分攤、權利與義務、表達與生、完整性、估價與分攤、權利與義務、表達與披露等五個方面，針對財務報告控制目標，對在披露等五個方面，針對財務報告控制目標，對在內部控制體系設計層面和執(zhí)行層面需要關注的重內部控制體系設計層面和執(zhí)行層面需

25、要關注的重要會計科目所做出的相關因素作出的確認。要會計科目所做出的相關因素作出的確認。?存在與發(fā)生表達與披露完整性權利與義務估價與分攤 ids scheer ag www.ids- 30 ids scheer ag www.ids- 30流程分析，識別風險流程分析，識別風險?存在與發(fā)生表達與披露完整性權利與義務估價與分攤4以業(yè)務流程為主線，根據確認的各流程的具體目以業(yè)務流程為主線，根據確認的各流程的具體目標，結合重要會計科目和披露事項相關的財務報標，結合重要會計科目和披露事項相關的財務報表認定，關注影響財務報告目標的主要因素表認定，關注影響財務報告目標的主要因素 ids scheer ag w

26、ww.ids- 31風險分析風險分析 影響程度影響程度具體描述具體描述極高公司將很有可能無法生存。帶有潛在的災難能導致企業(yè)崩潰。高嚴重影響業(yè)務嚴重破壞公司服務客戶的能力。對于關鍵性的事件要求付出加倍的努力來解決。中對企業(yè)產生重要的影響和將影響客戶，嚴重的事件要求附加的努力來解決。低僅影響企業(yè)內部的業(yè)務。所造成的后果能被吸收，但是要求某種管理努力使問題簡化。極低對企業(yè)內部的業(yè)務的無影響、后果能通過正常的活動被吸收。可能性可能性具體具體描述描述幾乎肯定（幾乎肯定（95%） 前六個月發(fā)生了幾次前六個月發(fā)生了幾次很有可能（很有可能（5095）去年發(fā)生很少幾次去年發(fā)生很少幾次可能（可能（2550） 去年

27、發(fā)生一次去年發(fā)生一次很少（很少（525）前三年發(fā)生一次前三年發(fā)生一次不可能（不可能（5）近近5年不可能發(fā)生，上次發(fā)生還年不可能發(fā)生，上次發(fā)生還是在是在5年前甚至更遠年前甚至更遠風險識別風險識別風險分析風險分析風險應對風險應對目標制定目標制定 ids scheer ag www.ids- 32風險應對風險應對風險偏好風險偏好風險承受度風險承受度風險預警線風險預警線風險應對策略風險應對策略風險識別風險識別風險分析風險分析風險應對風險應對目標制定目標制定接受接受轉移分擔轉移分擔控制控制可能性可能性影響程度影響程度關閉停業(yè)關閉停業(yè)風險承受風險承受風險分擔風險分擔風險降低風險降低可能性可能性影響程度影響

28、程度風險規(guī)避風險規(guī)避優(yōu)化流程優(yōu)化流程內部控制內部控制財產保險財產保險計提準備計提準備動態(tài)預警動態(tài)預警關閉停產關閉停產資產出售資產出售業(yè)務外包業(yè)務外包套期保值套期保值 ids scheer ag www.ids- 33風險評估風險評估風險評估是企業(yè)及時識別、風險評估是企業(yè)及時識別、系統(tǒng)分析經營活動中與實現(xiàn)系統(tǒng)分析經營活動中與實現(xiàn)內部控制目標相關的風險，內部控制目標相關的風險，合理確定風險應對策略合理確定風險應對策略風險評估是形成內部控制活風險評估是形成內部控制活動的基礎動的基礎內部環(huán)境內部環(huán)境 內部環(huán)境是企業(yè)實施內部控內部環(huán)境是企業(yè)實施內部控制的基礎，制的基礎，一般包括治理結構、機構設一般包括治

29、理結構、機構設置及權責分配、內部審計、置及權責分配、內部審計、人力資源政策、企業(yè)文化等人力資源政策、企業(yè)文化等控制活動控制活動內部監(jiān)督內部監(jiān)督內部監(jiān)督是企業(yè)對內部控制建立與內部監(jiān)督是企業(yè)對內部控制建立與實施情況進行監(jiān)督檢查，評價內部實施情況進行監(jiān)督檢查，評價內部控制的有效性，發(fā)現(xiàn)內部控制缺陷控制的有效性，發(fā)現(xiàn)內部控制缺陷，應當及時加以改進。，應當及時加以改進。主要包括：內部監(jiān)督、缺陷認定、主要包括：內部監(jiān)督、缺陷認定、控制評價和自我記錄等控制評價和自我記錄等信息與溝通信息與溝通 信息與溝通是企業(yè)及時、準信息與溝通是企業(yè)及時、準確地收集、傳遞與內部控制確地收集、傳遞與內部控制相關的信息，確保信息

30、在企相關的信息，確保信息在企業(yè)內部、企業(yè)與外部之間進業(yè)內部、企業(yè)與外部之間進行有效溝通。行有效溝通。主要包括信息溝通、信息技主要包括信息溝通、信息技術、反舞弊等術、反舞弊等戰(zhàn)戰(zhàn)略略目目標標報報告告目目標標合合規(guī)規(guī)目目標標經經營營目目標標資資產產安安全全內部環(huán)境內部環(huán)境公公司司層層面面業(yè)業(yè)務務單單元元子子公公司司風險評估風險評估控制活動控制活動信息與溝通信息與溝通內部監(jiān)督內部監(jiān)督控制活動控制活動 控制活動是企業(yè)根據風險評控制活動是企業(yè)根據風險評估結果，采用相應的控制措估結果，采用相應的控制措施，將風險控制在可承受度施，將風險控制在可承受度之內。之內?？刂拼胧┮话惆ǎ翰幌嗳菘刂拼胧┮话惆ǎ翰幌?/p>

31、容職務分離控制、授權審批控職務分離控制、授權審批控制、會計系統(tǒng)控制、財產保制、會計系統(tǒng)控制、財產保護控制、預算控制、運營分護控制、預算控制、運營分析控制和績效考評控制等析控制和績效考評控制等 ids scheer ag www.ids- 34控制活動分冊示例控制活動分冊示例目錄目錄1 概述概述.1.1 定義1.2 控制活動目標1.3 控制活動分類1.4 控制活動的實施.2 控制活動執(zhí)行的文件及規(guī)范控制活動執(zhí)行的文件及規(guī)范. 2.1 風險控制文檔（rcd）編制規(guī)范.2.2 財務分析管理規(guī)定.2.3 關鍵控制管理文件.2.4 統(tǒng)一實施證據表單.2.5 控制活動涉及的制度索引. ids scheer

32、 ag www.ids- 35業(yè)務程序業(yè)務程序控制控制活動活動從從erp系統(tǒng)中，打印所有付款金額、付款人相同的系統(tǒng)中，打印所有付款金額、付款人相同的支票的報告，即疑似重復付款報告支票的報告，即疑似重復付款報告 將付款期為一年以上的帳款單獨分類將付款期為一年以上的帳款單獨分類 審核系統(tǒng)安全設置，確保錄入訂單的權限被嚴格控審核系統(tǒng)安全設置，確保錄入訂單的權限被嚴格控制制 審核所有超過五千元的發(fā)票，確保得到部門經理的審核所有超過五千元的發(fā)票，確保得到部門經理的適當批準適當批準 核對收到貨物的收貨數據與采購訂單數據核對收到貨物的收貨數據與采購訂單數據 確定采購折扣確定采購折扣 何為控制？何為控制？4控

33、制是保證管理層的指令得以執(zhí)行的政策或程序，這些活動涉及審批、授控制是保證管理層的指令得以執(zhí)行的政策或程序，這些活動涉及審批、授權、復核、檢查驗證、業(yè)績考核、資產保全和職責分離等權、復核、檢查驗證、業(yè)績考核、資產保全和職責分離等 ids scheer ag www.ids- 36控制活動分類控制活動分類4 “自動”控制：由系統(tǒng)自動設置控制，為避免風險采取的措施。例如：超出信用額度，系統(tǒng)自動限制發(fā)出貨物及開出發(fā)票。4 “人工”控制：由被授權的人員執(zhí)行的控制。例如：財務經理審核銀行余額調節(jié)表。應付賬會計核對發(fā)票，入庫單及合同。4 “預防性”控制：在風險發(fā)生之前，為避免風險采取的措施。例如：制定政策、

34、準備備查清單、合同在執(zhí)行前需要審批，等為預防性控制；4 “發(fā)現(xiàn)性”控制：事后做的、為及時發(fā)現(xiàn)問題而采取的措施是發(fā)現(xiàn)性控制。例如：核對財務系統(tǒng)和資產系統(tǒng)的余額是否一致，審核記賬憑證是否準確、編制銀行存款余額調節(jié)表等?？刂剖侄慰刂谱饔?ids scheer ag www.ids- 37控制設計程序控制設計程序補充完善相關補充完善相關管理制度管理制度記錄控制措施記錄控制措施確定控制措施確定控制措施確定控制目標確定控制目標4 對業(yè)務流程進行風險評估后，根據業(yè)務流程相關風險，按照流程步驟進一步確定控制目標4 控制目標指為防范和規(guī)避風險，控制活動所要達到的具體目標。一般包括完整性目標（c）、準確性目標（a

35、）、有效性目標（v）、接觸性目標（r）等四個方面。4 在確定了控制目標后，對照業(yè)務流程步驟，分析確定達到控制目標的方法和途徑并選擇相應的控制方法，設計出達到控制目標的各項控制措施，包括制定與控制措施相關的政策和程序、控制頻率、控制方法（人工或自動）以及控制證據等。4 設計和確認的各項控制措施和關鍵控制，按統(tǒng)一規(guī)定的控制描述標準和工具，相關控制，編制完成風險控制管理文件，包括業(yè)務流程圖、風險控制文檔（rcd）和程序文件等內容。4 按照控制措施，查找現(xiàn)有管理制度差異，制定、完善本單位、本部門相關管理制度。 ids scheer ag www.ids- 38控制目標控制目標4 完整性控制（c）：指生

36、產經營和財務信息數據的采集、記錄和處理完整，無遺漏和重復。如：4 租金未及時確認，或重復確認當期費用就會影響完整性。4 把當期所有的合同信息都完整地、不重復地錄入合同管理系統(tǒng)。4 按照會計確認收入的原則，將當期所有的銷售收入記錄下來。4 保證合并報表的原始數據包括了所有需要合并的會計核算單位的數據。4 準確性控制（a）：指所有信息和數據計算、歸集和記錄操作等準確。如：4 保證賬務處理的金額是準確的。4 在采購業(yè)務中，合同上的價格、數量應該準確。4 銷售收入應當記入正確的會計期間。4 發(fā)票內容與銷售交易內容或合同應當一致。4 有效性控制（v）：指所有的生產經營活動都經過適當的授權和批準，都是真實

37、發(fā)生的，并按規(guī)定保存有效的原始文件。如：4 付款經過適當級別的審批。4 記錄的銷售收入是真實的。4 費用支出與公司的業(yè)務相關，且符合公司的費用開支標準。4 接觸性控制（r）：指信息處理和實物資產的保護和安全控制。如：4 防止存貨和實物資產的偷竊和遺失。4 會計人員只能在授權的情況下，編制與自己分管業(yè)務相關的會計憑證。4 對企業(yè)投資實施計劃的保密，防止被不相關的人員了解。 ids scheer ag www.ids- 39控制活動分類（續(xù)）控制活動分類（續(xù)）公司層面公司層面業(yè)務（流程）層面業(yè)務（流程）層面信息系統(tǒng)總體控制信息系統(tǒng)總體控制4公司層面控制4控制環(huán)境范圍內的內部控制，包括道德準則的建立

38、與推行、高層管理者基調、檢舉揭發(fā)機制、權限和職責分工、審計委員會、it環(huán)境與組織以及人力資源政策等；4反舞弊程序與控制；4風險評估流程、監(jiān)督；4經營活動分析、審核；4期末財務報告流程；4突發(fā)事件應急處理等4業(yè)務活動控制4業(yè)務活動控制 4相關應用系統(tǒng)控制4信息系統(tǒng)總體控制4it 基礎設施4數據庫4操作系統(tǒng) ids scheer ag www.ids- 40控制設計成果示例控制設計成果示例 ids scheer ag www.ids- 41內部監(jiān)督內部監(jiān)督內部監(jiān)督是企業(yè)對內部控制建立與內部監(jiān)督是企業(yè)對內部控制建立與實施情況進行監(jiān)督檢查，評價內部實施情況進行監(jiān)督檢查，評價內部控制的有效性，發(fā)現(xiàn)內部控

39、制缺陷控制的有效性，發(fā)現(xiàn)內部控制缺陷，應當及時加以改進。，應當及時加以改進。主要包括：內部監(jiān)督、缺陷認定、主要包括：內部監(jiān)督、缺陷認定、控制評價和自我記錄等控制評價和自我記錄等控制活動控制活動 控制活動是企業(yè)根據風險評控制活動是企業(yè)根據風險評估結果，采用相應的控制措估結果，采用相應的控制措施，將風險控制在可承受度施，將風險控制在可承受度之內。之內?？刂拼胧┮话惆ǎ翰幌嗳菘刂拼胧┮话惆ǎ翰幌嗳萋殑辗蛛x控制、授權審批控職務分離控制、授權審批控制、會計系統(tǒng)控制、財產保制、會計系統(tǒng)控制、財產保護控制、預算控制、運營分護控制、預算控制、運營分析控制和績效考評控制等析控制和績效考評控制等風險評估風險評

40、估風險評估是企業(yè)及時識別、風險評估是企業(yè)及時識別、系統(tǒng)分析經營活動中與實現(xiàn)系統(tǒng)分析經營活動中與實現(xiàn)內部控制目標相關的風險，內部控制目標相關的風險，合理確定風險應對策略合理確定風險應對策略風險評估是形成內部控制活風險評估是形成內部控制活動的基礎動的基礎內部環(huán)境內部環(huán)境 內部環(huán)境是企業(yè)實施內部控內部環(huán)境是企業(yè)實施內部控制的基礎，制的基礎，一般包括治理結構、機構設一般包括治理結構、機構設置及權責分配、內部審計、置及權責分配、內部審計、人力資源政策、企業(yè)文化等人力資源政策、企業(yè)文化等信息與溝通信息與溝通戰(zhàn)戰(zhàn)略略目目標標報報告告目目標標合合規(guī)規(guī)目目標標經經營營目目標標資資產產安安全全內部環(huán)境內部環(huán)境公公

41、司司層層面面業(yè)業(yè)務務單單元元子子公公司司風險評估風險評估控制活動控制活動信息與溝通信息與溝通內部監(jiān)督內部監(jiān)督信息與溝通信息與溝通 信息與溝通是企業(yè)及時、準信息與溝通是企業(yè)及時、準確地收集、傳遞與內部控制確地收集、傳遞與內部控制相關的信息，確保信息在企相關的信息，確保信息在企業(yè)內部、企業(yè)與外部之間進業(yè)內部、企業(yè)與外部之間進行有效溝通。行有效溝通。主要包括信息溝通、信息技主要包括信息溝通、信息技術、反舞弊等術、反舞弊等 ids scheer ag www.ids- 42信息與溝通分冊示例信息與溝通分冊示例目錄目錄1 概述.1.1 概 述1.2 信息1.3 溝通1.4 信息系統(tǒng)總體控制1.5 信息系

42、統(tǒng)應用控制1.6 信息披露2 信息溝通文件2.1 總部各部門信息流匯總表2.2 應用系統(tǒng)劃分規(guī)范及工作指引2.3 應用系統(tǒng)用戶權限管理工作規(guī)范2.4 應用系統(tǒng)主數據、報表公式變更及取消類業(yè)務管理2.5 erp與人力資源系統(tǒng)總體控制實施辦法2.6 erp與人力資源系統(tǒng)敏感事務訪問權限設置規(guī)則2.7 信息與溝通涉及的制度索引 ids scheer ag www.ids- 43信息流匯總表示例信息流匯總表示例填寫填寫部門部門信息信息類別類別信息內容信息內容信息來源信息來源加工處理加工處理載體形式載體形式信息去向信息去向涉及制度涉及制度備注備注總裁辦公室內部信息機關部門、專業(yè)公司、地區(qū)公司公文機關各部

43、門、專業(yè)公司、地區(qū)公司公文處理程序文件、會議紀要、內部局域網有閱讀權限的機關管理人員abc天然氣股份有限公司公文處理暫行方法（石油辦字2000325號）、abc天然氣股份有限公司機關公文處理暫行規(guī)定（石油辦字200188號）外部信息外部監(jiān)督方和上級的公文外部監(jiān)督方和上級主管部門、國家部委公文處理程序文件、函、會議紀要公司管理層、相關部門和有閱讀權限的機關部門領導abc天然氣股份有限公司公文處理暫行方法（石油辦字2000325號）規(guī)劃計劃部外部信息國家宏觀調控政策上級公文及媒體收集整理公文有關部門和領導競爭對手動態(tài)信息所、互聯(lián)網、新聞媒體分析、應用專題報告、會議、互聯(lián)網領導、員工國家經濟、政策環(huán)

44、境信息國家政府部門、新聞媒體分析、應用專題講座、會議、互聯(lián)網領導、員工國家宏觀信息國務院各部委分析、對比、應用會議、報告集團公司、股份公司管理層，上報有關部委，行業(yè)交流 ids scheer ag www.ids- 44信息系統(tǒng)總體控制信息系統(tǒng)總體控制n系統(tǒng)控制環(huán)境： 總體環(huán)境、信息與溝通、風險評估、監(jiān)控等n項目建設管理： 開發(fā)方法論、項目立項審批、項目啟動階段、項目需求分析、項目設計、系統(tǒng)開發(fā)實施、系統(tǒng)測試、數據移植、系統(tǒng)上線、項目驗收、上線后審閱、用戶培訓、項目文檔管理等n變更管理：應用系統(tǒng)日常變更、系統(tǒng)環(huán)境日常變更、緊急變更管理等n系統(tǒng)日常運作： 機房環(huán)境控制、系統(tǒng)日常運作監(jiān)控、批處理作

45、業(yè)調度管理、數據備份與恢復、問題管理等n信息安全：信息安全組織、邏輯安全、物理安全、網絡安全、計算機病毒防護、外部第三方信息安全管理、信息安全事件響應等信息系統(tǒng)總體控制信息系統(tǒng)總體控制信息系統(tǒng)控制環(huán)境信息系統(tǒng)控制環(huán)境信信息息安安全全信信息息系系統(tǒng)統(tǒng)日日常常運運作作變變更更管管理理項項目目建建設設管管理理最最終終用用戶戶操操作作n最終用戶操作： 最終用戶計算機操作安全制度、電子表格管理等信息系統(tǒng)總體控制所指的是內部控制中對信息系統(tǒng)相關部分的控制，保證由信息系統(tǒng)支持的信息系統(tǒng)總體控制所指的是內部控制中對信息系統(tǒng)相關部分的控制，保證由信息系統(tǒng)支持的流程控制是可靠的、生成的數據和報告是可信的流程控制是

46、可靠的、生成的數據和報告是可信的 ids scheer ag www.ids- 45信息安全主要關注以下方面的內容信息安全主要關注以下方面的內容信息安全信息安全物物理理安安全全網網絡絡安安全全邏邏輯輯安安全全信信息息安安全全管管理理組組織織計計算算機機病病毒毒防防護護第第三三方方安安全全管管理理信信息息安安全全事事件件響響應應 ids scheer ag www.ids- 46信息安全信息安全管理組織信息安全信息安全管理組織關注點控制措施實施證據涉及崗位根據業(yè)務需求設置信息安根據業(yè)務需求設置信息安全管理機構，具有清楚的全管理機構，具有清楚的角色和職責定義，并確保角色和職責定義，并確保職責分離職

47、責分離4在股份公司和地區(qū)公司設立信息安全管理負在股份公司和地區(qū)公司設立信息安全管理負責人，可以由信息技術部門內相關人員兼任責人，可以由信息技術部門內相關人員兼任4明確信息安全管理負責人的職責，并確保職明確信息安全管理負責人的職責，并確保職責分離，例如信息安全管理負責人不應兼任責分離，例如信息安全管理負責人不應兼任信息技術日常事務執(zhí)行工作信息技術日常事務執(zhí)行工作崗位職責崗位職責說明書或說明書或相關會議相關會議記錄記錄各級信息技各級信息技術部門負責術部門負責人人4定期（每六個月）審核本單位信息系統(tǒng)總體定期（每六個月）審核本單位信息系統(tǒng)總體控制活動的職責分離狀況，填寫控制活動的職責分離狀況，填寫職責

48、分離職責分離檢查表檢查表，將不符情況報相關負責人，將不符情況報相關負責人職責分職責分離檢查表離檢查表信息安全管信息安全管理負責人理負責人企業(yè)對員工進行信息安全企業(yè)對員工進行信息安全教育和培訓，以確認其具教育和培訓，以確認其具有基本的信息安全意識有基本的信息安全意識4各級信息技術部門對員工進行信息安全教育各級信息技術部門對員工進行信息安全教育和培訓，并對培訓結果進行書面記錄和歸檔和培訓，并對培訓結果進行書面記錄和歸檔培訓計劃、培訓計劃、培訓紀錄培訓紀錄信息安全管信息安全管理負責人理負責人員工入職時，要求其簽署員工入職時，要求其簽署遵守企業(yè)的信息安全規(guī)定遵守企業(yè)的信息安全規(guī)定的聲明的聲明4員工簽署

49、合同或保密協(xié)議時應包含員工遵守員工簽署合同或保密協(xié)議時應包含員工遵守企業(yè)信息安全規(guī)定聲明企業(yè)信息安全規(guī)定聲明4人事部門負責人事部門負責“聲明聲明”的統(tǒng)一歸檔的統(tǒng)一歸檔員工遵守員工遵守企業(yè)信息企業(yè)信息安全規(guī)定安全規(guī)定聲明聲明人事部負責人事部負責人人信息安全信息安全物物理理安安全全網網絡絡安安全全邏邏輯輯安安全全信信息息安安全全管管理理組組織織計計算算機機病病毒毒防防護護外外部部第第三三方方安安全全管管理理信信息息安安全全事事件件響響應應 ids scheer ag www.ids- 47控制活動控制活動 控制活動是企業(yè)根據風險評控制活動是企業(yè)根據風險評估結果，采用相應的控制措估結果，采用相應的控

50、制措施，將風險控制在可承受度施，將風險控制在可承受度之內。之內?？刂拼胧┮话惆ǎ翰幌嗳菘刂拼胧┮话惆ǎ翰幌嗳萋殑辗蛛x控制、授權審批控職務分離控制、授權審批控制、會計系統(tǒng)控制、財產保制、會計系統(tǒng)控制、財產保護控制、預算控制、運營分護控制、預算控制、運營分析控制和績效考評控制等析控制和績效考評控制等風險評估風險評估風險評估是企業(yè)及時識別、風險評估是企業(yè)及時識別、系統(tǒng)分析經營活動中與實現(xiàn)系統(tǒng)分析經營活動中與實現(xiàn)內部控制目標相關的風險，內部控制目標相關的風險，合理確定風險應對策略合理確定風險應對策略風險評估是形成內部控制活風險評估是形成內部控制活動的基礎動的基礎內部環(huán)境內部環(huán)境 內部環(huán)境是企業(yè)實施

51、內部控內部環(huán)境是企業(yè)實施內部控制的基礎，制的基礎，一般包括治理結構、機構設一般包括治理結構、機構設置及權責分配、內部審計、置及權責分配、內部審計、人力資源政策、企業(yè)文化等人力資源政策、企業(yè)文化等內部監(jiān)督內部監(jiān)督信息與溝通信息與溝通 信息與溝通是企業(yè)及時、準信息與溝通是企業(yè)及時、準確地收集、傳遞與內部控制確地收集、傳遞與內部控制相關的信息，確保信息在企相關的信息，確保信息在企業(yè)內部、企業(yè)與外部之間進業(yè)內部、企業(yè)與外部之間進行有效溝通。行有效溝通。主要包括信息溝通、信息技主要包括信息溝通、信息技術、反舞弊等術、反舞弊等戰(zhàn)戰(zhàn)略略目目標標報報告告目目標標合合規(guī)規(guī)目目標標經經營營目目標標資資產產安安全全

52、內部環(huán)境內部環(huán)境公公司司層層面面業(yè)業(yè)務務單單元元子子公公司司風險評估風險評估控制活動控制活動信息與溝通信息與溝通內部監(jiān)督內部監(jiān)督內部監(jiān)督內部監(jiān)督內部監(jiān)督是企業(yè)對內部控制建立與內部監(jiān)督是企業(yè)對內部控制建立與實施情況進行監(jiān)督檢查，評價內部實施情況進行監(jiān)督檢查，評價內部控制的有效性，發(fā)現(xiàn)內部控制缺陷控制的有效性，發(fā)現(xiàn)內部控制缺陷，應當及時加以改進。，應當及時加以改進。主要包括：內部監(jiān)督、缺陷認定、主要包括：內部監(jiān)督、缺陷認定、控制評價和自我記錄等控制評價和自我記錄等 ids scheer ag www.ids- 48內部監(jiān)督分冊示例內部監(jiān)督分冊示例目錄目錄1 內部控制體系建設內容 1.1 概 述 1

53、.2 持續(xù)監(jiān)督 1.3 獨立評估 1.4 缺陷報告 2 內部控制體系評價規(guī)范及執(zhí)行文件2.1 內部控制體系評價概述2.2 評價范圍的確定.2.3 內部控制測試 .2.4 缺陷評估2.5 評價報告2. 6 內部控制體系管理規(guī)范.2. 7 監(jiān)督涉及的制度索引 . ids scheer ag www.ids- 49內部控制測試基本方法內部控制測試基本方法檢查再執(zhí)行觀察詢問 ids scheer ag www.ids- 50控制設計與測試評價成果（公司層面）控制設計與測試評價成果（公司層面）示示 例例 ids scheer ag www.ids- 51控制設計與測試評價成果（流程層面）控制設計與測試評

54、價成果（流程層面）示示 例例 ids scheer ag www.ids- 52控制設計與測試評價成果（控制設計與測試評價成果（it層面）層面）示示 例例 ids scheer ag www.ids- 53控制設計與測試評價成果（控制設計與測試評價成果（it層面）層面）示示 例例 ids scheer ag www.ids- 54缺陷認定及整改實施跟蹤缺陷認定及整改實施跟蹤4 從整體控制目標實現(xiàn)的角度出發(fā)，對發(fā)現(xiàn)問題進行缺陷認定，按照缺陷的影響程度定義缺陷，從設計與執(zhí)行兩個方面出發(fā)，將缺陷進行分類，制定缺陷整改計劃并加以實施4 針對整改實施結果進行再測試與再評價，持續(xù)跟進與監(jiān)督缺陷整改的實施步

55、驟：4 責任人及管理層對于缺陷事實的認可4 對于缺陷產生原因的判定4 判斷缺陷為公司共性問題還是個別單位、部門獨有問題4 整改計劃的目標是正對缺陷產生原因，而不是針對缺陷表象4 整改計劃符合有針對性、可衡量、可完成、符合現(xiàn)實情況、及時等五項原則4 整改計劃實施結果的持續(xù)跟進與監(jiān)督是否可以增加其他測試程序證明已經發(fā)現(xiàn)的差異不能代表所有內控的情況？擴大測試范圍，重新評估，測試目的是否達到？設計缺陷執(zhí)行缺陷了解控制差異的起因和結果，判斷控制目標是否達到？該差異不是控制缺陷，不必再考慮是是否否否否否否是是是是 ids scheer ag www.ids- 55xxxx公司管理層測試報告模板示例公司管理

56、層測試報告模板示例示示 例例 ids scheer ag www.ids- 56議程議程內控與全面風險管理體系的設計內控與全面風險管理體系的設計內控與全面風險管理的信息化解決方案內控與全面風險管理的信息化解決方案23溝通與交流溝通與交流4對內控與全面風險管理的理解對內控與全面風險管理的理解1 ids scheer ag www.ids- 57內控及全面風險管理體系內控及全面風險管理體系風險方案風險方案風險評估風險評估手冊發(fā)布手冊發(fā)布體系運行績效監(jiān)控體系運行績效監(jiān)控風險管理策略風險管理策略風險應對措施風險應對措施監(jiān)督措施監(jiān)督措施風險環(huán)境風險環(huán)境企業(yè)組織結構企業(yè)組織結構企業(yè)業(yè)務流程企業(yè)業(yè)務流程指標

57、預警指標預警職責分離職責分離流程監(jiān)控流程監(jiān)控在線發(fā)布在線發(fā)布控制實施控制實施體系有效性檢查及整改體系有效性檢查及整改測試任務測試任務測試報告測試報告缺陷認定及整缺陷認定及整改改風險評價風險評價風險分析風險分析風險辨識風險辨識運行績效控制運行績效控制與分析與分析體系設計體系設計控制實施控制實施體系監(jiān)督及體系監(jiān)督及改進改進離線發(fā)布離線發(fā)布事件監(jiān)控事件監(jiān)控測試及記錄測試及記錄簽署簽署風險信息收集風險信息收集損失事件報備損失事件報備損失事件分析損失事件分析損失事件統(tǒng)計損失事件統(tǒng)計風險管理組織風險管理組織 ids scheer ag www.ids- 58風險信息收集風險信息收集風險方案風險方案風險評估

58、風險評估手冊發(fā)布手冊發(fā)布體系運行績效監(jiān)控體系運行績效監(jiān)控風險管理策略風險管理策略風險管理戰(zhàn)略風險管理戰(zhàn)略風險應對措施風險應對措施風險管理組織風險管理組織風險環(huán)境風險環(huán)境企業(yè)組織結構企業(yè)組織結構企業(yè)業(yè)務流程企業(yè)業(yè)務流程指標預警指標預警職責分離職責分離流程監(jiān)控流程監(jiān)控在線發(fā)布在線發(fā)布控制實施控制實施體系有效性檢查及整改體系有效性檢查及整改測試任務測試任務測試報告測試報告缺陷認定及整缺陷認定及整改改風險評價風險評價風險分析風險分析風險辨識風險辨識運行績效控制運行績效控制與分析與分析體系設計體系設計控制實施控制實施體系監(jiān)督及體系監(jiān)督及改進改進離線發(fā)布離線發(fā)布事件監(jiān)控事件監(jiān)控測試及記錄測試及記錄簽署簽署

59、n 價值貢獻：價值貢獻： 風險損失事件管理的、規(guī)范化和流程化，事件分析標準化風險損失事件管理的、規(guī)范化和流程化，事件分析標準化 建立公司范圍內統(tǒng)一的風險損失數據庫，從而使公司的風險識別建立公司范圍內統(tǒng)一的風險損失數據庫，從而使公司的風險識別、分析、評價工作能從歷史事件中獲取知識和經驗、分析、評價工作能從歷史事件中獲取知識和經驗n aris主要特點：主要特點： 集成性：損失事件與風險、組織、流程的集成，實現(xiàn)對損失事件集成性：損失事件與風險、組織、流程的集成，實現(xiàn)對損失事件的風險類別、組織機構、發(fā)生原因等多維度的分析的風險類別、組織機構、發(fā)生原因等多維度的分析風險信息收集風險信息收集損失事件報備損

60、失事件報備損失事件分析損失事件分析損失事件統(tǒng)計損失事件統(tǒng)計 ids scheer ag www.ids- 59風險信息收集的內容風險信息收集的內容風險管理風險管理的監(jiān)督和的監(jiān)督和改進改進收集風險收集風險信息信息風險評估風險評估制定風險制定風險管理策略管理策略提出和實提出和實施風險管施風險管理解決方理解決方案案123544損失事件是指給企業(yè)造成重大損失的風險事件，損失包括企業(yè)的資金、聲譽、技術、損失事件是指給企業(yè)造成重大損失的風險事件，損失包括企業(yè)的資金、聲譽、技術、品牌、人才等品牌、人才等4對損失事件的管理，對于企業(yè)的風險評估和管理具有較強的指導和借鑒價值。對損失事件的管理，對于企業(yè)的風險評估