1、基于COSO的風(fēng)險(xiǎn)管理 演講人：李志文 現(xiàn)風(fēng)險(xiǎn)管理2.0與COSO ERM之間的差異目錄風(fēng)險(xiǎn)內(nèi)控軟件的主要競(jìng)爭(zhēng)廠商風(fēng)險(xiǎn)內(nèi)控軟件的發(fā)展趨勢(shì)國(guó)外的典型風(fēng)險(xiǎn)內(nèi)控軟件簡(jiǎn)介國(guó)內(nèi)的風(fēng)險(xiǎn)內(nèi)控軟件簡(jiǎn)介COSO與現(xiàn)風(fēng)險(xiǎn)管理2.0之間的差異風(fēng)險(xiǎn)管理的種類企業(yè)治理、風(fēng)險(xiǎn)管理、內(nèi)控管理、內(nèi)部審計(jì)之間關(guān)系風(fēng)險(xiǎn)內(nèi)控管理系統(tǒng)風(fēng)險(xiǎn)內(nèi)控軟件的主要競(jìng)爭(zhēng)廠商國(guó)外國(guó)內(nèi)SAP第一會(huì)達(dá)SAS慧點(diǎn)CA唯智IBM金碟HP用友ORACLE青鳥.國(guó)外國(guó)內(nèi)Teammate中軟Pentana誠(chéng)創(chuàng)易通Hardware金長(zhǎng)源德勤中信.管理軟件企業(yè)審計(jì)軟件企業(yè)提綱風(fēng)險(xiǎn)內(nèi)控軟件的主要競(jìng)爭(zhēng)廠商風(fēng)險(xiǎn)內(nèi)控軟件的發(fā)展趨勢(shì)國(guó)外的典型風(fēng)險(xiǎn)內(nèi)控軟件簡(jiǎn)介國(guó)內(nèi)的風(fēng)險(xiǎn)內(nèi)控軟件

2、簡(jiǎn)介COSO與現(xiàn)風(fēng)險(xiǎn)管理2.0之間的差異風(fēng)險(xiǎn)管理的種類企業(yè)治理、風(fēng)險(xiǎn)管理、內(nèi)控管理、內(nèi)部審計(jì)之間關(guān)系風(fēng)險(xiǎn)內(nèi)控管理系統(tǒng)內(nèi)控受到重視，開發(fā)內(nèi)控必然涉及內(nèi)控審計(jì)風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)、內(nèi)控審計(jì)是趨勢(shì)，不得不開發(fā)內(nèi)控審計(jì)功能，必然涉及風(fēng)險(xiǎn)內(nèi)控管理國(guó)外國(guó)內(nèi)SAP第一會(huì)達(dá)SAS慧點(diǎn)CA唯智IBM金碟HP青鳥ORACLE國(guó)外國(guó)內(nèi)Teammate中軟Pentana誠(chéng)創(chuàng)易通Hardware金長(zhǎng)源中信風(fēng)險(xiǎn)內(nèi)控軟件的發(fā)展趨勢(shì)SAP等公司都已經(jīng)上升級(jí)企業(yè)治理層次與IT 信息系統(tǒng)的集成與BI等數(shù)據(jù)分析系統(tǒng)集成公司治理、風(fēng)險(xiǎn)管理、風(fēng)控控制、審計(jì)一體化。定期測(cè)試自動(dòng)測(cè)試注重風(fēng)險(xiǎn)和風(fēng)險(xiǎn)減輕情況的綜合分析持續(xù)管理集成知識(shí)庫管理風(fēng)險(xiǎn)內(nèi)控軟

3、件的發(fā)展趨勢(shì)提綱風(fēng)險(xiǎn)內(nèi)控軟件的主要競(jìng)爭(zhēng)廠商風(fēng)險(xiǎn)內(nèi)控軟件的發(fā)展趨勢(shì)國(guó)外的典型風(fēng)險(xiǎn)內(nèi)控軟件簡(jiǎn)介SAP方案ORACLE方案SAS方案德勤普華永道Pentana國(guó)內(nèi)的風(fēng)險(xiǎn)內(nèi)控軟件簡(jiǎn)介COSO與現(xiàn)風(fēng)險(xiǎn)管理2.0之間的差異SAP公司GRC解決方案SAP的特點(diǎn)SAP持續(xù)監(jiān)控SAP公司治理、風(fēng)險(xiǎn)管理、合規(guī)Oracle公司GRC解決方案提供公司治理、風(fēng)險(xiǎn)管理、監(jiān)管合規(guī)一體化的管理ORACLE風(fēng)險(xiǎn)管理界面ORACLEl界面（風(fēng)險(xiǎn)）ORACLE界面（控制點(diǎn)）ORACLE界面（評(píng)估）SAS方案其重點(diǎn)是風(fēng)險(xiǎn)相關(guān)的數(shù)據(jù)分析和挖掘德勤的方案普華永道TeamMate風(fēng)險(xiǎn)管理普華永道TeamMate風(fēng)險(xiǎn)管理提綱風(fēng)險(xiǎn)內(nèi)控軟件的主

4、要競(jìng)爭(zhēng)廠商風(fēng)險(xiǎn)內(nèi)控軟件的發(fā)展趨勢(shì)國(guó)外的典型風(fēng)險(xiǎn)內(nèi)控軟件簡(jiǎn)介國(guó)內(nèi)的風(fēng)險(xiǎn)內(nèi)控軟件簡(jiǎn)介第一會(huì)達(dá)慧點(diǎn)中軟金長(zhǎng)源COSO與現(xiàn)風(fēng)險(xiǎn)管理2.0之間的差異風(fēng)險(xiǎn)管理的種類企業(yè)治理、風(fēng)險(xiǎn)管理、內(nèi)控管理、內(nèi)部審計(jì)之間關(guān)系風(fēng)險(xiǎn)內(nèi)控管理系統(tǒng)第一會(huì)達(dá)慧點(diǎn)中軟國(guó)際金長(zhǎng)源中信金蝶提綱風(fēng)險(xiǎn)內(nèi)控軟件的主要競(jìng)爭(zhēng)廠商風(fēng)險(xiǎn)內(nèi)控軟件的發(fā)展趨勢(shì)國(guó)外的典型風(fēng)險(xiǎn)內(nèi)控軟件簡(jiǎn)介國(guó)內(nèi)的風(fēng)險(xiǎn)內(nèi)控軟件簡(jiǎn)介COSO與現(xiàn)風(fēng)險(xiǎn)管理2.0之間的差異風(fēng)險(xiǎn)管理的種類企業(yè)治理、風(fēng)險(xiǎn)管理、內(nèi)控管理、內(nèi)部審計(jì)之間關(guān)系風(fēng)險(xiǎn)內(nèi)控管理系統(tǒng)COSO與現(xiàn)風(fēng)險(xiǎn)管理2.0之間的差異現(xiàn)有沒有將流程、目標(biāo)、風(fēng)險(xiǎn)、控制、測(cè)試（審計(jì)）一體化考慮現(xiàn)有系統(tǒng)缺少持繼監(jiān)控的支持（定期）現(xiàn)有系統(tǒng)沒有風(fēng)

5、險(xiǎn)內(nèi)控改善狀況（固有風(fēng)險(xiǎn)、剩余風(fēng)險(xiǎn)、目標(biāo)風(fēng)險(xiǎn)）現(xiàn)有系統(tǒng)沒有形成對(duì)內(nèi)控手冊(cè)的集成管理現(xiàn)有系統(tǒng)沒有集成基于數(shù)據(jù)挖掘的自動(dòng)風(fēng)險(xiǎn)和內(nèi)控分析（BI），現(xiàn)有模式很難應(yīng)對(duì)眾多的信息系統(tǒng)現(xiàn)有系統(tǒng)沒有風(fēng)險(xiǎn)宇宙，沒有整合性的總體風(fēng)險(xiǎn)內(nèi)控分析功能。自評(píng)、外部評(píng)估、專家評(píng)估、風(fēng)控內(nèi)審部門評(píng)估COSO與現(xiàn)風(fēng)險(xiǎn)管理2.0之間的差異現(xiàn)有風(fēng)險(xiǎn)管理沒有歷史的特性，即當(dāng)前風(fēng)險(xiǎn)的評(píng)價(jià)時(shí)間，歷史的的評(píng)價(jià)情況樣本存在抽取時(shí)間，額定抽取量、實(shí)際抽取量，歷史抽取的情況。即需要跟計(jì)劃掛勾。內(nèi)控流程無法按公司查看，不同類型的公司內(nèi)控流程差異比較大，無法按統(tǒng)一的模式展示。沒有看到缺陷管理，沒有缺陷跟蹤功能風(fēng)險(xiǎn)熱圖利用率不高，沒有與風(fēng)險(xiǎn)和風(fēng)險(xiǎn)應(yīng)對(duì)

6、整合。沒有時(shí)間的觀念。沒有歷史風(fēng)險(xiǎn)熱圖。機(jī)構(gòu)管理區(qū)分風(fēng)險(xiǎn)承擔(dān)機(jī)構(gòu)、風(fēng)險(xiǎn)管理部門、內(nèi)審部門、外審部門或咨詢公司現(xiàn)有系統(tǒng)中國(guó)外系統(tǒng)不具備特點(diǎn)指標(biāo)和整改的上報(bào)事件的集中管理基于流程和公司部門的分析沒有樣本管理目錄風(fēng)險(xiǎn)內(nèi)控軟件的主要競(jìng)爭(zhēng)廠商風(fēng)險(xiǎn)內(nèi)控軟件的發(fā)展趨勢(shì)國(guó)外的典型風(fēng)險(xiǎn)內(nèi)控軟件簡(jiǎn)介國(guó)內(nèi)的風(fēng)險(xiǎn)內(nèi)控軟件簡(jiǎn)介COSO與現(xiàn)風(fēng)險(xiǎn)管理2.0之間的差異風(fēng)險(xiǎn)管理的種類企業(yè)治理、風(fēng)險(xiǎn)管理、內(nèi)控管理、內(nèi)部審計(jì)之間關(guān)系風(fēng)險(xiǎn)內(nèi)控管理系統(tǒng)風(fēng)險(xiǎn)管理種類（1）在險(xiǎn)價(jià)值VaR模型 J.P.Morgan的定義可將VaR看作是在既定頭寸被沖銷或重估前可能發(fā)生的市場(chǎng)價(jià)值的最大損失的估計(jì)值。（2）整體風(fēng)險(xiǎn)管理理論TRM（Total R

7、isk Management） TRM系統(tǒng)就是在現(xiàn)有風(fēng)險(xiǎn)管理系統(tǒng)的單一變量，即概率(Probabilities)的基礎(chǔ)上引進(jìn)另外兩個(gè)要素，即價(jià)格(Prices)和偏好(Preferences)，謀求在三要素系統(tǒng)中達(dá)到風(fēng)險(xiǎn)管理上的客觀量計(jì)量與主體偏好的均衡最優(yōu)。 (3) 全面風(fēng)險(xiǎn)管理理論ERM（Enterprise Risk Management） 其中心理念為：整個(gè)機(jī)構(gòu)內(nèi)各個(gè)層次的業(yè)務(wù)單位，各個(gè)種類的風(fēng)險(xiǎn)的通盤管理。ERM系統(tǒng)要求風(fēng)險(xiǎn)管理系統(tǒng)不僅僅處理市場(chǎng)風(fēng)險(xiǎn)或信用風(fēng)險(xiǎn)，還要求處理各種風(fēng)險(xiǎn)，并要求包含這些風(fēng)險(xiǎn)涉及的各種多種資產(chǎn)與資產(chǎn)組合，以及承擔(dān)這些風(fēng)險(xiǎn)的各個(gè)業(yè)務(wù)單位，從業(yè)務(wù)員到機(jī)構(gòu)整體，從總

8、公司到各分公司，從本國(guó)到外國(guó)。ERM體系要有能力在一致的基礎(chǔ)上測(cè)量并加總這些風(fēng)險(xiǎn)，考慮全部的相關(guān)性，而不是分離的，用不同的方法去處理不同的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)管理種類（4）全面綜合的風(fēng)險(xiǎn)管理GRM（Global risk management） 其中心理念是：對(duì)金融機(jī)構(gòu)面臨的所有風(fēng)險(xiǎn)做出連貫一致、準(zhǔn)確和及時(shí)的度量； 建立一種嚴(yán)密的程序用來分析總風(fēng)險(xiǎn)在交易、資產(chǎn)組合和各種經(jīng)營(yíng)活動(dòng)范圍內(nèi)的分布，以及對(duì)不同類型的風(fēng)險(xiǎn)怎樣進(jìn)行定價(jià)和合理配置資本；同時(shí)，在金融機(jī)構(gòu)內(nèi)部建立專司風(fēng)險(xiǎn)管理的部門，致力于防范和化解并且消化由此帶來的成本。（5）其它風(fēng)險(xiǎn)管理：信息風(fēng)險(xiǎn)、項(xiàng)目風(fēng)險(xiǎn)。 （6）治理風(fēng)險(xiǎn)和合規(guī)Convergence

9、 of governance, risk, and compliance (GRC)(區(qū)別于Glabal Risk Control) Categories of business riskCreditriskMarketriskOperationalriskRisk of economic loss suffered due to the default of a borrower or counterpartyExposure to potential loss that would result from changes in market prices or ratesThe risk

10、of loss resulting from inadequate or failed internal processes, people, and systems, or from external events業(yè)務(wù)風(fēng)險(xiǎn)分類信用風(fēng)險(xiǎn)市場(chǎng)風(fēng)險(xiǎn)操作風(fēng)險(xiǎn)遭受借方或交易方違約經(jīng)濟(jì)損失的風(fēng)險(xiǎn)由改變市場(chǎng)價(jià)格或政策導(dǎo)致的潛在損失由不充分或失效的內(nèi)部流程、人員和系統(tǒng)，或外部因素導(dǎo)致的損失風(fēng)險(xiǎn)目錄風(fēng)險(xiǎn)內(nèi)控軟件的主要競(jìng)爭(zhēng)廠商風(fēng)險(xiǎn)內(nèi)控軟件的發(fā)展趨勢(shì)國(guó)外的典型風(fēng)險(xiǎn)內(nèi)控軟件簡(jiǎn)介國(guó)內(nèi)的風(fēng)險(xiǎn)內(nèi)控軟件簡(jiǎn)介COSO與現(xiàn)風(fēng)險(xiǎn)管理2.0之間的差異風(fēng)險(xiǎn)管理的種類企業(yè)治理、風(fēng)險(xiǎn)管理、內(nèi)控管理、內(nèi)部審計(jì)之間關(guān)系風(fēng)險(xiǎn)內(nèi)控管理系統(tǒng)公司治

11、理、風(fēng)險(xiǎn)、內(nèi)控、審計(jì)之間的關(guān)系底層為上層的環(huán)境、基礎(chǔ)、前提上層反作用于底層公司治理、內(nèi)部控制、風(fēng)險(xiǎn)管理理論上有很多爭(zhēng)議內(nèi)部控制和風(fēng)險(xiǎn)管理的關(guān)系觀點(diǎn)一、風(fēng)險(xiǎn)管理包含內(nèi)部控制觀點(diǎn)二、內(nèi)部控制包含風(fēng)險(xiǎn)管理觀 點(diǎn)三、內(nèi)部控制即風(fēng)險(xiǎn)管理內(nèi)部控制和公司治理的關(guān)系內(nèi)部控制是公司治理的基礎(chǔ)公司治理是內(nèi)部控制的環(huán)境要素之一，是內(nèi)部控制的前提內(nèi)部控制和公司治理你中有我，我中有你三者密不可分甚致是完全相同目錄風(fēng)險(xiǎn)內(nèi)控軟件的主要競(jìng)爭(zhēng)廠商風(fēng)險(xiǎn)內(nèi)控軟件的發(fā)展趨勢(shì)國(guó)外的典型風(fēng)險(xiǎn)內(nèi)控軟件簡(jiǎn)介國(guó)內(nèi)的風(fēng)險(xiǎn)內(nèi)控軟件簡(jiǎn)介COSO與現(xiàn)風(fēng)險(xiǎn)管理2.0之間的差異風(fēng)險(xiǎn)管理的種類企業(yè)治理、風(fēng)險(xiǎn)管理、內(nèi)控管理、內(nèi)部審計(jì)之間關(guān)系風(fēng)險(xiǎn)內(nèi)控管理系統(tǒng)風(fēng)

12、險(xiǎn)內(nèi)控管理用戶角色COSO架構(gòu)內(nèi) 部 環(huán) 境戰(zhàn) 略目 標(biāo) 設(shè) 定事 件 識(shí) 別風(fēng) 險(xiǎn) 評(píng) 估風(fēng) 險(xiǎn) 應(yīng) 對(duì)控 制 活 動(dòng)信息與溝通監(jiān) 控經(jīng) 營(yíng)報(bào) 告遵 循子公司業(yè)務(wù)單位分支機(jī)構(gòu)實(shí)體COSO元素關(guān)系應(yīng)對(duì)事件 / 風(fēng)險(xiǎn)分類公司/部門子公司實(shí)體業(yè)務(wù)單元業(yè)務(wù)目標(biāo)RCOS信息溝通監(jiān)控控制風(fēng)險(xiǎn)評(píng)估影響+ 可能性改進(jìn)行動(dòng)風(fēng)險(xiǎn)內(nèi)控系統(tǒng)的流程風(fēng)險(xiǎn)內(nèi)控手冊(cè)風(fēng)險(xiǎn)內(nèi)控測(cè)試選擇部分流程、風(fēng)險(xiǎn)、控制點(diǎn)審計(jì)結(jié)果反饋建立測(cè)試和測(cè)試對(duì)象之間的關(guān)系審計(jì)程序或IT自動(dòng)測(cè)試程序與控制點(diǎn)掛勾1、手工測(cè)試2、自動(dòng)測(cè)試（BI）風(fēng)險(xiǎn)內(nèi)控系統(tǒng)特點(diǎn)與信息系統(tǒng)集成（包括公司內(nèi)和第三方系統(tǒng)） 與信息系統(tǒng)中組織機(jī)構(gòu)、工作流、審批審計(jì)記錄、權(quán)限（職責(zé)相斥矩陣）進(jìn)行整合 與系統(tǒng)中的其它模塊進(jìn)行整體，財(cái)務(wù)、項(xiàng)目管理等與BI集成，能對(duì)信息系統(tǒng)實(shí)現(xiàn)實(shí)時(shí)和定期自動(dòng)測(cè)試將業(yè)務(wù)單元、目標(biāo)、風(fēng)險(xiǎn)、控制、測(cè)試計(jì)劃、測(cè)試、缺陷、整改、報(bào)告無縫整合于一體。集自評(píng)、外評(píng)、專家、風(fēng)控評(píng)估管理于一體。知識(shí)積累和再利用知識(shí)庫測(cè)試項(xiàng)目測(cè)試程序/工作底稿/問題缺陷測(cè)