信息技術環(huán)境下內部審計1

內部審計與信息系統(tǒng)審計信息系統(tǒng)審計是與內部審計緊密結合的，最早的計算機審計來源于內部審計2

一、信息系統(tǒng)審計的起源與發(fā)展

1.1國外：八十年代、九十年代信息技術的進一步發(fā)展與普及，使得企業(yè)越來越依賴信息及信息系統(tǒng)。人們開始更多的關注信息系統(tǒng)的安全性、保密性、完整性及其實現(xiàn)企業(yè)目標的效率、效果，真正意義的信息系統(tǒng)風險評估與審計出現(xiàn)。

3

1.信息系統(tǒng)審計的起源與發(fā)展

1.1國外：

信息系統(tǒng)審計與控制協(xié)會ISACA總部設在美國芝加哥。目前該組織在世界上100多個國家設有160多個分會，現(xiàn)有會員兩萬多人，它是從事信息系統(tǒng)審計的專業(yè)人員唯一的國際性組織。

4

1.信息系統(tǒng)審計的起源與發(fā)展

1.1國外：

CISA是信息系統(tǒng)審計領域的唯一職業(yè)資格

ISACA每年舉辦CISA資格考試，通過考試的人員可以申請CISA資格，符合ISACA規(guī)定的工作經(jīng)驗及其他相關要求的申請人會被授予CISA資格。CISA資格在世界各國都被廣泛的認可。國內獲得此資格的有三百多人。5

1.信息系統(tǒng)審計的起源與發(fā)展

1.2國內：

1994年2月，我國頒布了《中華人民共和國計算機信息系統(tǒng)安全保護條例》，提出了計算機信息系統(tǒng)實行安全等級保護的要求。安全等級保護的總體目標是確保信息安全和計算機信息系統(tǒng)安全正常運行，保障：信息的完整性、可用性、保密性、抗抵賴性、可控性等（其中完整性、可用性、保密性為基本安全特性要求）。

6

1.信息系統(tǒng)審計的起源與發(fā)展

1.2國內：

1994年2月，我國頒布了《中華人民共和國計算機信息系統(tǒng)安全保護條例》，提出信息的完整性、可用性、保密性、抗抵賴性、可控性等要求。1999年2月9日，我國正式成立了中國國家信息安全測評認證中心。2002年4月15日全國信息安全標準化技術委員會（簡稱信息安全標委會，TC260）。2005年12月16日國家網(wǎng)絡與信息安全協(xié)調小組正式通過了《信息安全風險評估指南》。7管理計劃與IS的組織信息資產的保護災難備份與業(yè)務持續(xù)計劃技術基礎與操作實務業(yè)務應用系統(tǒng)的開發(fā)取得實施與維護業(yè)務過程評價與風險管理

2.信息系統(tǒng)審計的內容

8一般控制靜態(tài)IS的構成管理角度管理計劃與IS的組織(C2)技術角度技術基礎與操作實務(C3)IS的控制與安全正常情況信息資產的保護(C4)非常情況災難恢復與業(yè)務持續(xù)計劃(C5)動態(tài)業(yè)務應用系統(tǒng)的開發(fā)取得實施與維護(C6)應用控制業(yè)務過程評價與風險管理(C7)

3.信息系統(tǒng)審計與內部控制

9

4.信息系統(tǒng)審計的標準與依據(jù)

計算機系統(tǒng)安全評估標準（TCSEC）由美國國防部于1985年公布的，是計算機系統(tǒng)信息安全評估的第一個正式標準。它把計算機系統(tǒng)的安全分為4類、7個級別，對用戶登錄、授權管理、訪問控制、審計跟蹤、隱蔽通道分析、可信通道建立、安全檢測、生命周期保障、文檔寫作、用戶指南等內容提出了規(guī)范性要求。

10

4.信息系統(tǒng)審計的標準與依據(jù)

信息技術安全評價的通用標準（CC）由六個國家（美、加、英、法、德、荷）于1996年聯(lián)合提出的，并逐漸形成國際標準ISO15408。該標準定義了評價信息技術產品和系統(tǒng)安全性的基本準則.CC標準是第一個信息技術安全評價國際標準，它的發(fā)布對信息安全具有重要意義，是信息技術安全評價標準以及信息安全技術發(fā)展的一個重要里程碑。

11

4.信息系統(tǒng)審計的標準與依據(jù)

ISO13335標準首次給出了關于IT安全的保密性、完整性、可用性、審計性、認證性、可靠性6個方面含義，并提出了以風險為核心的安全模型：企業(yè)的資產面臨很多威脅（包括來自內部的威脅和來自外部的威脅）；利用信息系統(tǒng)存在的各種漏洞（如：物理環(huán)境、網(wǎng)絡服務、主機系統(tǒng)、應用系統(tǒng)、相關人員、安全策略等），對信息系統(tǒng)進行滲透和攻擊。

12

4.信息系統(tǒng)審計的標準與依據(jù)

“信息系統(tǒng)和技術控制目標”（COBIT）是IT治理的一個開放性標準，目前已成為國際上公認的最先進、最權威的安全與信息技術管理和控制的標準。該標準為IT的治理、安全與控制提供了一個一般適用的公認的標準，以輔助管理層進行IT治理。該標準體系已在世界一百多個國家的重要組織與企業(yè)中運用，指導這些組織有效利用信息資源，有效地管理與信息相關的風險。13

4.信息系統(tǒng)審計的標準與依據(jù)

14

4.信息系統(tǒng)審計的標準與依據(jù)

15

4.信息系統(tǒng)審計的標準與依據(jù)

16

5.信息系統(tǒng)審計的過程

審計計劃和檢查：檢查被審計單位的IT政策、實務及組織結構；檢查一般控制和應用控制的情況；計劃控制測試和實質性測試的程序；17

5.信息系統(tǒng)審計的過程

控制測試：實施控制測試；評價測試結果；確定對控制的依賴程度；18

5.信息系統(tǒng)審計的過程

實質測試：實施實質性測試；評價測試結果并簽發(fā)審計報告；審計報告19

6.信息系統(tǒng)審計的技術

20內部審計與IT治理21內部審計方法戰(zhàn)略分析企業(yè)風險評估制定內審計劃內審項目執(zhí)行報告問題的解決和跟蹤規(guī)劃執(zhí)行22IT治理IT治理是信息系統(tǒng)審計和控制領域中一個相當新的概念IT治理其定義匯集了以下3中觀點：Roberts.Roussey認為：IT治理用于掃描被委托治理實體的人員在監(jiān)督、檢查、控制和指導實體的過程中如何看待信息技術。IT的引用對于組織能否達到他的遠景、使命、戰(zhàn)略目標至關重要。德勤定義如下：IT治理是一個含義廣泛的概率，包括信息系統(tǒng)、技術、通訊、商業(yè)、所有利益相關者、合法性和其他問題。國際信息系統(tǒng)審計與控制協(xié)會（ISACA）定義如下：IT治理是一個由關系和過程所構成的體制，用于知道如何控制企業(yè)，通過平衡信息技術與過程的風險、增加價值來確保實現(xiàn)企業(yè)的目標。IT中國治理研究中心在綜合研究的基礎上提出如下定義：IT治理用于描述企業(yè)或征服是否采用有效的機制，使得IT引用能完成組織賦予的使命，同時平衡信息技術與過程的風險，確保實現(xiàn)組織的戰(zhàn)略目標。23公司治理和IT治理公司治理是一個設計公司的管理層、董事會、股東和其他利益相關者之間的一整套關系體系，是在所有權和經(jīng)營權分離條件下，為解決所有者和經(jīng)營者因委托代理關系所產生的利益不一致，二建立起來的互相制衡機制，從而減低管理風險，實現(xiàn)組織目標。IT治理關鍵因素是使IT與業(yè)務融合，以實現(xiàn)組織的業(yè)務價值。IT治理框架由一系列結構、流程和相關機制組成。IT戰(zhàn)略委員會、風險管理和標準IT平衡記分卡。作為公司治理的一個重要組成部分，IT治理包含了確定企業(yè)如何應用IT的一系列問題。因此，在整個企業(yè)治理中，評價IT治理成為越來越重要的內容24IT治理與內部審計

內部審計是一種獨立、客觀的保證，是為了機構增加價值并提高機構的運行效率；它采用系統(tǒng)化、規(guī)范化的方法評價風險管理、控制及治理過程并提高其效率，從而幫助實現(xiàn)組織目標。關于內部審計在IT治理過程中的職責，美國的《薩班斯—奧克斯萊法》有明確規(guī)定，在美國上市公司內部審計師應幫助管理層對公司IT應用控制和IT一般性控制進行評估并出具報告。25IT治理標準

一個有效的IT治理架構需要理解組織的核心競爭力，并且在商業(yè)目標，治理原型，業(yè)務績效目標之間維持平衡，進而提出IT治理框架，指定決策以及如何在關鍵的信息技術領域去確定。26企業(yè)風險管理的必要性27案例一：美國安然公司(Enron)在2002年，安然是美國最大的石油和天然氣企業(yè)之一2001年末，安然宣布第三季度錄得6.4億美元的虧損，美國證監(jiān)會對該公司進行調查，發(fā)現(xiàn)該公司在1997以來虛報利潤5.8億美元2001年末，安然申請破產保護令，但在之前10個月內，公司卻因股票價格超越預期目標而向董事及高級管理人員發(fā)放3.2億美元的紅利28調查發(fā)現(xiàn)：安然的董事會及審計委員會均采取不干預(“hands-off”)監(jiān)控政策事件發(fā)生之后，部分董事表示不太了解安然的財務狀況、期貨及期權的業(yè)務安然重視短期的業(yè)績指標安然管理高層常常藐視或推翻公司制定的內控制度

29企業(yè)風險管理框架30什么是風險管理？企業(yè)風險管理是一套由企業(yè)董事會與管理層共同設立、和與企業(yè)戰(zhàn)略相結合的管理流程。它的功能是識別那些會影響企業(yè)運作的潛在事件和把相關的風險管理到一個企業(yè)可接受的水平，從而幫助企業(yè)達至它的目標。 美國內控研究委員會31企業(yè)為何要建立風險管理？因為企業(yè)的股東與管理層常常要面對一些令他們寢食難安的問題。因此，企業(yè)需要系統(tǒng)化地建立一套風險管理體制，從而識別影響企業(yè)盈利的關鍵因素，并對那些會影響企業(yè)達標的風險進行監(jiān)控及管理32股東對企業(yè)風險管理最關心的四個問題：企業(yè)知道它所面對的主要風險嗎？

例如：什么風險正在或將會影響企業(yè)的業(yè)務？

企業(yè)的品牌

新產品、新市場的開發(fā)

戰(zhàn)略聯(lián)盟

客戶或供應鏈的管理理想的情況： 企業(yè)能開發(fā)一套標準的、共通的風險語言，從而識別企業(yè)所面對的風險，并就其嚴重的程度進行排序。共通的風險語言亦有利于企業(yè)上下層就風險的管理進行溝通33企業(yè)是否已對這些風險設置內部控制？

企業(yè)需要就各業(yè)務單位在日常運作中所面對的風險(戰(zhàn)略性風險、業(yè)務性風險、流程性風險)，構建內部控制(包括預防性控制及覺察性控制)，以確保企業(yè)能實現(xiàn)目標和符合各方面的法律、法規(guī)理想的情況： 企業(yè)就其所面對的風險和采取的內控，編制一套完整的文檔，并借鑒國際最佳的實務不斷進行檢討

34企業(yè)的內部控制有效嗎？

企業(yè)要對其內控系統(tǒng)不間斷地進行監(jiān)控和測試，以確保其對風險控制的能力理想的情況： 企業(yè)把各類風險控制在可接受的水平，并在這基準上賺取合理的回報

35哪一些內部控制必須改進？

企業(yè)內部和內部環(huán)境的變化會不停地影響企業(yè)所面對的風險和所應采取的監(jiān)控措施理想的情況： 企業(yè)能建立一套具前瞻性的信息管理系統(tǒng)和預警系統(tǒng)，使企業(yè)能及時識別新生的風險，并對相關的業(yè)務計劃、政策和程序進行修正

36企業(yè)風險管理框架一個基礎三道防線管理層CEO第三道防線第二道防線第一道防線業(yè)務部門董事會風險管理內部審計審計委員會風險管理委員會37風險管理總目標一、全面風險管理的目標-38-

財務報告真實可靠確保內外部，尤其是企業(yè)與股東之間實現(xiàn)真實、可靠的信息溝通，包括編制和提供真實、可靠的財務報告；合規(guī)合法確保遵守有關法律法規(guī)；高效運營確保企業(yè)有關規(guī)章制度和為實現(xiàn)經(jīng)營目標而采取重大措施的貫徹執(zhí)行，保障經(jīng)營管理的有效性，提高經(jīng)營活動的效率和效果，降低實現(xiàn)經(jīng)營目標的不確定性；與戰(zhàn)略目標一致確保將風險控制在與總體目標相適應并可承受的范圍內；應對突發(fā)事件防止重大損失確保企業(yè)建立針對各項重大風險發(fā)生后的危機處理計劃，保護企業(yè)不因災害性風險或人為失誤而遭受重大損失。

風險管理總體目標38公司治理與風險管理有什么關系？公司治理是風險管理的一個必要的組成部份，因為它提供了對風險由上而下的監(jiān)控與管理近年多個國家都訂立了公司治理的最佳守則：美國：紐約證交所最佳治理守則英國：Cadbury/HampelReport、TheCombinedCode加拿大：DeyReportOECDReport

這些最佳守則均清楚指出建立風險管理是董事會及管理層的責任39如何構建一個有利風險管理的公司治理結構？建立一個健全的、以董事會為首的公司治理結構訂立企業(yè)的目標和戰(zhàn)略，包括企業(yè)的風險政策和極限貫徹一套重視風險管理的企業(yè)文化和價值觀40第一道防線：業(yè)務單位防線業(yè)務單位包含了企業(yè)大部分的資產和業(yè)務，它們在日常工作中面對各類的風險，是企業(yè)的前線企業(yè)必須把風險管理的手段和內控程序融入到業(yè)務單位的工作與流程中，才能建立好防范風險的第一道防線41如何建立第一道防線了解企業(yè)戰(zhàn)略目標及可能影響企業(yè)達標的風險識別風險類別對相關風險作出評估決定轉移、避免或減低風險的策略計設及實施風險策略的相關內部控制42(風險宇宙TM)資信制度知識產權財務流動資產與信貸資本結構市場財務報告營運法律生產程序營商環(huán)境市場結構民風與文化管治策略董事會活動交易并購變賣聲譽道德社區(qū)責任風險管理董事會及管理層業(yè)績組織結構監(jiān)察與溝通執(zhí)行籌劃與開發(fā)利益有關方供應商政府顧客股東經(jīng)濟情況國家情況市場變化競爭對手人才資源雇員溝通有形資產機器、廠房與土地其他有形資產負債合約法規(guī)市場與銷售生產及流通商品/服務開發(fā)流程估值與選擇買家評估與甄選盡職調查并購后整合資信管理運營組織與監(jiān)察硬件軟件網(wǎng)絡無形資產知識管理信息現(xiàn)金管理對沖融資股東資本債務商品利率外匯稅務會計合規(guī)風險宇宙43戰(zhàn)略性風險是指公司因作出戰(zhàn)略性錯誤的決定而導致經(jīng)濟上的損失戰(zhàn)略性風險是業(yè)務單位、高級管理層和董事會的共同責任常見的戰(zhàn)略性風險包括：企業(yè)的目標與方針市場潛在的威脅業(yè)務的范圍(深度與廣度)品牌及形象的建立戰(zhàn)略性風險與戰(zhàn)略性伙伴的合作投資和融資的策略員工的素質和雇員關系企業(yè)的信息及監(jiān)控系統(tǒng)44市場風險是指因市場價格或利率波動而使公司產生經(jīng)濟損失的風險構成市場風險的三大因素：因買賣或投資金融產品而產生的風險因資產與負債錯配、或原材料與產成品價格不能同步浮動而產生的風險資金流動性風險常見的市場風險包括：利率風險外匯風險股票與債券市場風險商品價格風險期貨、期權與衍生工具風險市場風險45操作風險是指企業(yè)內部流程、人為錯誤或外部因素而令公司產生經(jīng)濟損失的風險，它包括了公司的流程風險、人為風險、系統(tǒng)風險、事件風險和業(yè)務風險等流程風險是指交易流程中出現(xiàn)錯誤而引致?lián)p失的風險，流程包括如：銷售、定價、記錄、確認、出貨/提供服務等環(huán)節(jié)。流程風險也包括合規(guī)性風險人為風險概指因員工缺乏知識和能力、缺乏誠信或道德操守而引致?lián)p失的風險系統(tǒng)風險是指因系統(tǒng)失靈、數(shù)據(jù)的存取和處理、系統(tǒng)的安全和可用性、系統(tǒng)的非法接入與使用而引致?lián)p失的風險事件風險是指因內部或外部欺詐、市場扭曲、人為或自然災害而引致?lián)p失的風險業(yè)務風險是指因市場或競爭環(huán)境出現(xiàn)預期以外的變化而引致?lián)p失的風險，所涉及的問題包括市場策略、客戶管理、產品開發(fā)、銷售渠道和定價等領域操作風險46風險發(fā)生的可能性評分可能性說明5幾乎肯定在未來12個月內，這項風險幾乎肯定會出現(xiàn)至少1次4極可能在未來12個月，這項風險極可能出現(xiàn)1次3可能在未來2至10年內，這項風險可能出現(xiàn)1次2低在未來10至100年內，這項風險可能出現(xiàn)至少1次1極低這項風險出現(xiàn)的可能性極低，估計在100年內出現(xiàn)的可能性少于1次47評分損失程度說明5災難令企業(yè)失去繼續(xù)運作的能力(或占稅前利潤達20%)4重大對于企業(yè)在爭取完成其策略性計劃和目標，造成重大影響(5-10%稅前利潤)3中等對于企業(yè)在爭取完成其策略性計劃和目標的過程，在一定程度上造成阻礙(至5%稅前利潤)2輕微對于企業(yè)在爭取完成其策略性計劃和目標，只造成輕微影響(至1%稅前利潤)1近乎沒有影響程度十分輕微風險對企業(yè)造成的影響48評分有效性說明5極度過頭處理方法能直接針對該項風險，但相信會令企業(yè)業(yè)績“倒退”或成本過高4過頭處理方法能直接針對該項風險，但由于需要投入大量資源或/及將其他資源轉到處理該項風險上，會對企業(yè)的效率造成影響3適中處理方法有效針對該項風險，同時并不影響企業(yè)的效率2低效處理方法針對該項風險的效果不理想，或投入處理該風險的資源不充分或/及對投入的資源未有適當利用1近乎沒有效果處理方法的效果十分低，可能是由于企業(yè)根本沒有處理方法，又或處理手法不當風險處理方法的效果49風險地圖(或風險共同語言)影響程度近乎沒有輕微中等重大災難幾乎肯定極可能可能低極低BCAGIDJKHEF可能性說明:A–人力資源風險B–財務風險C–競爭風險D–開發(fā)風險E–過度自信風險F–系統(tǒng)故障風險G–主要客戶風險H–欺詐風險I–政治風險J–薪酬獎勵風險K–科技風險50大型集團風險管理分析風險控制地圖51風險處理組合

處理評級風險評級近乎沒有效果低效適中超標極度極高高中等低BCAGIDJKHE說明:A–人力資源風險B–財務風險C–競爭風險D–開發(fā)風險E–過度自信風險F–系統(tǒng)故障風險G–主要客戶風險H–欺詐風險I–政治風險J–薪酬獎勵風險K–科技風險F采取行動密切監(jiān)控定期審閱52風險處理策略影響程度可能性轉移避免小心管理可接受大小高低53風險策略避免禁止交易減少或限制交易量離開市場轉移套期保險策略性聯(lián)盟其他分擔風險的安排小心管理投資廣泛保護的安排訂價反映風險程度可接受自我保險預留儲備增加監(jiān)督風險處理策略影響程度大小可能性轉移避免小心管理可接受高低54企業(yè)建立的第一道防線，就是要各業(yè)務單位就其戰(zhàn)略性風險、信貸風險、市場風場和操作風險等等，系統(tǒng)化地進行分析、確認、度量、管理和監(jiān)控企業(yè)需要把評估風險與內控措施的結果進行記錄和存檔，對內控措施的有效性不斷進行測試和更新第一道防線：總結管理層CEO第三道防線第二道防線第一道防線業(yè)務部門董事會風險管理內部審計審計委員會風險管理委員會55第二道防線：風險管理單位防線第二道防線是在業(yè)務單位之上建立一個更高層次的風險管理功能，它的組成部份可能包括風險管理部門、信貸審批委員會、投資審批委員會風險管理部的責任是領導和協(xié)調公司內各單位在管理風險方面的工作，它的職責包括：編制規(guī)章制度對各業(yè)務單位的風險進行組合管理度量風險和評估風險的界限建立風險信息系統(tǒng)和預警系統(tǒng)、厘定關鍵風險指標負責風險信息披露、溝通、協(xié)調員工培訓和學習的工作按風險與回報的分析，為各業(yè)務單位分配經(jīng)濟資本金56“內部審計是一項獨立、客觀的審查和咨詢活動，其目的在于增加企業(yè)的價值和改進經(jīng)營。內審通過系統(tǒng)的方法，評價和改進企業(yè)的風險管理、控制和治理流程的效益，幫助企業(yè)實現(xiàn)其目標?！泵绹鴥炔繉徲嫀焻f(xié)會第三道防線：內審單位防線第三道防線涉及一個獨立于業(yè)務單位的部門，監(jiān)控企業(yè)內控和其他企業(yè)關心的問題內部審計的定義：57內部審計的三大功能財務監(jiān)督財務帳的可用性內部管理和制度的執(zhí)行典型例子：檢查分、子公司上報總部的財務報表的 準確性以及執(zhí)行財務管理政策的情況經(jīng)營診斷管理審計以及效率和效益審計檢查和診斷經(jīng)營和管理過程中的偏差和失誤典型例子： 企業(yè)對某業(yè)務單位或某部門執(zhí)行效益審計

(一個輸入與產出的關系)

58咨詢顧問企業(yè)風險管理和發(fā)展策略方面的咨詢調查領導關心的熱點問題和管理薄弱環(huán)節(jié)典型例子： 兼并收購時調查被投資公司的內部管理和 流程操作，了解薄弱環(huán)節(jié)或其他影響并購 交易的重大事項，從而確定管理方法和 并購策略59構建企業(yè)風險管理的關鍵成功要素1.

股東確立對企業(yè)監(jiān)督的機制，考慮是否需要在集團層面：引入以董事會領導的管理體制聘任有經(jīng)驗的外部董事，來加強對企業(yè)的監(jiān)督要求企業(yè)建立風險管理和內控系統(tǒng)，并對其運作及有效性作出定期的匯報602. 管理高層的支持和參與確立方向和目標營造必要的環(huán)境為平衡風險與回報作出戰(zhàn)略性的決定風險回報風險與回報成正比？風險調整風險后的回報冒險程度

–不夠進取冒險程度–高危冒險程度–理想范圍613. 建立風險管理文化風險管理的手段，必須融入日常的管理流程通過討論和培訓，使風險管理的實施得到“全民”的支持通過經(jīng)驗的分享，不斷加強風險管理的認同性4. 采用先進的風險管理的實施方法借鑒如美國

Treadway委員會所提出的COSO內控框架采用各種識別和度量風險的先進的方法采用標準的模板和程序確認風險、評估風險、建立記錄和文檔、參考國際最佳實務，構建信息管理系統(tǒng)和預警系統(tǒng)62二、大型集團風險管理分析形成了中國神華風險管理文化63大型集團風險管理分析-64-64內部控制與風險管理、企業(yè)管理的關系風險評估外部審計內部控制控制環(huán)境內部審計控制活動信息溝通持續(xù)監(jiān)控風險管理目標設定風險識別風險應對企業(yè)管理各項經(jīng)營管理活動，如戰(zhàn)略管理、人力資源管理、財務管理、資產管理等風險戰(zhàn)略治理結構組織體系風險理財正確認識內控與審計、風險管理、企業(yè)管理的關系-65-65內部控制系統(tǒng)與風險管理、企業(yè)管理的關系風險管理利用風險評估方法發(fā)現(xiàn)企業(yè)固有風險評價其可能性或者損失用內部控制的措施進行控制得到企業(yè)的剩余風險固有風險-內部控制=剩余風險企業(yè)的剩余風險企業(yè)對風險的容忍度66企業(yè)價值地圖-67-6768華電財務風險管理建設方案1、全面風險管理解決方案2、財務風險管理解決方案

1)、目標管理； 2)、風險體系； 3)、風險識別； 4)、風險評估 5)、風險監(jiān)控-69-69-70-企業(yè)全面風險分類法律風險運營風險戰(zhàn)略風險財務風險市場風險企業(yè)風險1、全面風險分類702、全面風險管理解決方案-71-713、財務風險管理解決方案理論依據(jù)2004年，國資委開展組織研究國有企業(yè)風險管理工作2006年，國資委發(fā)布《全面風險管理指引綱要》2007年，在大型企業(yè)風險管理論壇上國資委表示，風險管理將成為國資委對央企領導人員考核和評價央企的重要指標2008年，國資委《關于開展編報<2008年中央企業(yè)全面風險管理報告>試點工作有關事項的通知》（國資廳發(fā)改革〔2008〕5號），要求31家央企試點企業(yè)進行全面風險報告的遞交2008年，財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會五部委聯(lián)合發(fā)布了《企業(yè)內部控制基本規(guī)范》-72-72-73-風險管理流程圖風險管理初始信息風險評估風險管理策略風險管理解決方案風險管理的監(jiān)督改進54321戰(zhàn)略風險、財務風險、市場風險、運營風險、法律風險的初始信息收集風險辨識（針對業(yè)務、流程）風險分析（發(fā)生可能性高低、風險發(fā)生條件）風險評價（影響程度、風險價值）風險偏好、承受度、管理有效性標準；選擇風險管理工具（風險態(tài)度）風險解決具體目標、組織領導、管理、流程、條件、手段；風險事件前、中、后采取的具體應對措施以及風險管理工具對風險管理解決方案的實施情況的有效性進行檢驗風險分析風險評估和控制風險管理流程732、財務風險管理解決方案風險體系管理風險分類戰(zhàn)略風險財務風險市場風險運營風險法律風險系統(tǒng)管理屬性設置可能性損失度內部控制體系維護流程管理風險應對措施風險規(guī)避風險轉移風險降低風險接受風險利用指標體系-74-742、財務風險管理解決方案風險體系管理風險分類戰(zhàn)略風險財務風險市場風險運營風險法律風險系統(tǒng)管理屬性設置可能性損失度內部控制體系維護流程管理風險應對措施風險規(guī)避風險轉移風險降低風險接受風險利用指標體系-75-75您現(xiàn)在的位置：風險識別﹥﹥調查問卷2.財務風險管理解決方案-風險識別風險識別風險事件分析風險指標分析調查問卷訪談業(yè)務流程分析風險清單管理問卷填寫問卷收集問卷統(tǒng)計問卷發(fā)放問卷設計企業(yè)環(huán)境分析-76-76風險分析風險評價風險地圖可能性分析影響度分析風險測評表部門風險測評表重大風險清單風險坐標圖各部門風險等級堆積圖XX部門風險堆積圖2.財務風險管理解決方案-風險評估建設思路-77-772.財務風險管理解決方案-風險評估風險評估方法——敏感性分析樣例：風險評估風險地圖風險分析風險評價-78-78-79-風險坐標圖法承擔A區(qū)域中的各項風險且不再增加控制措施嚴格控制B區(qū)域中的各項風險且專門補充制定各項控制措施確保規(guī)避和轉移C區(qū)域中的各項風險且優(yōu)先安排實施各項防范措施A區(qū)域極低低中等高極高可能性B區(qū)域C區(qū)域B區(qū)域02010403低高風險評估風險評價風險地圖風險分析您現(xiàn)在的位置：風險評估﹥﹥風險地圖影響程度

01庫存現(xiàn)金風險02應收賬款風險03長期借款風險04發(fā)電標煤單價風險79-80-風險應對與控制2.財務風險管理解決方案-應對與控制您現(xiàn)在的位置：風險應對與控制﹥﹥風險應對方案效果與反饋風險應對方案風險應對措施企業(yè)目標具體目標關鍵因素風險偏好風險策略內部控制流程風險應對措施應對方案負責人處置方式補充流動資金100,000,000元資產負債率資產負債率可容忍度85%轉移降低籌資內控管理集團財務公司內部借款5000萬，剩余5000萬向銀行借款；張三集團借款超過1個月，銀行放款超過6個月降低煤炭采購成本

控制煤炭采購價格低于盈虧平衡點

原煤出廠價格適度接受煤價上漲導致的成本上升，利潤減少風險風險控制燃料采購管理流程1、健全跨區(qū)域協(xié)調采購調運機制2、杜絕虧噸、虧卡，降低場損和熱值差

3、結合電量計劃、煤耗供應形勢和庫存狀況，合理制定煤炭采購計劃

張三系統(tǒng)預警提示、電子郵件、手機短信802.財務風險管理解決方案-風險監(jiān)控與報告模塊定義您現(xiàn)在的位置：首頁﹥﹥風險監(jiān)控與報告重大風險監(jiān)控表風險編號：GZ08M.01.01

所涉及內控流程：燃料成本管理流程流程目標：規(guī)范燃料管理體系，降低燃料成本流程層面影響流程目標實現(xiàn)的風險