基于COSO的風險管理課件

1、基于COSO的風險管理 演講人：李志文 現(xiàn)風險管理2.0與COSO ERM之間的差異目錄風險內(nèi)控軟件的主要競爭廠商風險內(nèi)控軟件的發(fā)展趨勢國外的典型風險內(nèi)控軟件簡介國內(nèi)的風險內(nèi)控軟件簡介COSO與現(xiàn)風險管理2.0之間的差異風險管理的種類企業(yè)治理、風險管理、內(nèi)控管理、內(nèi)部審計之間關(guān)系風險內(nèi)控管理系統(tǒng)風險內(nèi)控軟件的主要競爭廠商國外國內(nèi)SAP第一會達SAS慧點CA唯智IBM金碟HP用友ORACLE青鳥.國外國內(nèi)Teammate中軟Pentana誠創(chuàng)易通Hardware金長源德勤中信.管理軟件企業(yè)審計軟件企業(yè)提綱風險內(nèi)控軟件的主要競爭廠商風險內(nèi)控軟件的發(fā)展趨勢國外的典型風險內(nèi)控軟件簡介國內(nèi)的風險內(nèi)控軟件

2、簡介COSO與現(xiàn)風險管理2.0之間的差異風險管理的種類企業(yè)治理、風險管理、內(nèi)控管理、內(nèi)部審計之間關(guān)系風險內(nèi)控管理系統(tǒng)內(nèi)控受到重視，開發(fā)內(nèi)控必然涉及內(nèi)控審計風險導向?qū)徲?、?nèi)控審計是趨勢，不得不開發(fā)內(nèi)控審計功能，必然涉及風險內(nèi)控管理國外國內(nèi)SAP第一會達SAS慧點CA唯智IBM金碟HP青鳥ORACLE國外國內(nèi)Teammate中軟Pentana誠創(chuàng)易通Hardware金長源中信風險內(nèi)控軟件的發(fā)展趨勢SAP等公司都已經(jīng)上升級企業(yè)治理層次與IT 信息系統(tǒng)的集成與BI等數(shù)據(jù)分析系統(tǒng)集成公司治理、風險管理、風控控制、審計一體化。定期測試自動測試注重風險和風險減輕情況的綜合分析持續(xù)管理集成知識庫管理風險內(nèi)控軟

3、件的發(fā)展趨勢提綱風險內(nèi)控軟件的主要競爭廠商風險內(nèi)控軟件的發(fā)展趨勢國外的典型風險內(nèi)控軟件簡介SAP方案ORACLE方案SAS方案德勤普華永道Pentana國內(nèi)的風險內(nèi)控軟件簡介COSO與現(xiàn)風險管理2.0之間的差異SAP公司GRC解決方案SAP的特點SAP持續(xù)監(jiān)控SAP公司治理、風險管理、合規(guī)Oracle公司GRC解決方案提供公司治理、風險管理、監(jiān)管合規(guī)一體化的管理ORACLE風險管理界面ORACLEl界面（風險）ORACLE界面（控制點）ORACLE界面（評估）SAS方案其重點是風險相關(guān)的數(shù)據(jù)分析和挖掘德勤的方案普華永道TeamMate風險管理普華永道TeamMate風險管理提綱風險內(nèi)控軟件的主

4、要競爭廠商風險內(nèi)控軟件的發(fā)展趨勢國外的典型風險內(nèi)控軟件簡介國內(nèi)的風險內(nèi)控軟件簡介第一會達慧點中軟金長源COSO與現(xiàn)風險管理2.0之間的差異風險管理的種類企業(yè)治理、風險管理、內(nèi)控管理、內(nèi)部審計之間關(guān)系風險內(nèi)控管理系統(tǒng)第一會達慧點中軟國際金長源中信金蝶提綱風險內(nèi)控軟件的主要競爭廠商風險內(nèi)控軟件的發(fā)展趨勢國外的典型風險內(nèi)控軟件簡介國內(nèi)的風險內(nèi)控軟件簡介COSO與現(xiàn)風險管理2.0之間的差異風險管理的種類企業(yè)治理、風險管理、內(nèi)控管理、內(nèi)部審計之間關(guān)系風險內(nèi)控管理系統(tǒng)COSO與現(xiàn)風險管理2.0之間的差異現(xiàn)有沒有將流程、目標、風險、控制、測試（審計）一體化考慮現(xiàn)有系統(tǒng)缺少持繼監(jiān)控的支持（定期）現(xiàn)有系統(tǒng)沒有風

5、險內(nèi)控改善狀況（固有風險、剩余風險、目標風險）現(xiàn)有系統(tǒng)沒有形成對內(nèi)控手冊的集成管理現(xiàn)有系統(tǒng)沒有集成基于數(shù)據(jù)挖掘的自動風險和內(nèi)控分析（BI），現(xiàn)有模式很難應對眾多的信息系統(tǒng)現(xiàn)有系統(tǒng)沒有風險宇宙，沒有整合性的總體風險內(nèi)控分析功能。自評、外部評估、專家評估、風控內(nèi)審部門評估COSO與現(xiàn)風險管理2.0之間的差異現(xiàn)有風險管理沒有歷史的特性，即當前風險的評價時間，歷史的的評價情況樣本存在抽取時間，額定抽取量、實際抽取量，歷史抽取的情況。即需要跟計劃掛勾。內(nèi)控流程無法按公司查看，不同類型的公司內(nèi)控流程差異比較大，無法按統(tǒng)一的模式展示。沒有看到缺陷管理，沒有缺陷跟蹤功能風險熱圖利用率不高，沒有與風險和風險應對

6、整合。沒有時間的觀念。沒有歷史風險熱圖。機構(gòu)管理區(qū)分風險承擔機構(gòu)、風險管理部門、內(nèi)審部門、外審部門或咨詢公司現(xiàn)有系統(tǒng)中國外系統(tǒng)不具備特點指標和整改的上報事件的集中管理基于流程和公司部門的分析沒有樣本管理目錄風險內(nèi)控軟件的主要競爭廠商風險內(nèi)控軟件的發(fā)展趨勢國外的典型風險內(nèi)控軟件簡介國內(nèi)的風險內(nèi)控軟件簡介COSO與現(xiàn)風險管理2.0之間的差異風險管理的種類企業(yè)治理、風險管理、內(nèi)控管理、內(nèi)部審計之間關(guān)系風險內(nèi)控管理系統(tǒng)風險管理種類（1）在險價值VaR模型 J.P.Morgan的定義可將VaR看作是在既定頭寸被沖銷或重估前可能發(fā)生的市場價值的最大損失的估計值。（2）整體風險管理理論TRM（Total R

7、isk Management） TRM系統(tǒng)就是在現(xiàn)有風險管理系統(tǒng)的單一變量，即概率(Probabilities)的基礎上引進另外兩個要素，即價格(Prices)和偏好(Preferences)，謀求在三要素系統(tǒng)中達到風險管理上的客觀量計量與主體偏好的均衡最優(yōu)。 (3) 全面風險管理理論ERM（Enterprise Risk Management） 其中心理念為：整個機構(gòu)內(nèi)各個層次的業(yè)務單位，各個種類的風險的通盤管理。ERM系統(tǒng)要求風險管理系統(tǒng)不僅僅處理市場風險或信用風險，還要求處理各種風險，并要求包含這些風險涉及的各種多種資產(chǎn)與資產(chǎn)組合，以及承擔這些風險的各個業(yè)務單位，從業(yè)務員到機構(gòu)整體，從總

8、公司到各分公司，從本國到外國。ERM體系要有能力在一致的基礎上測量并加總這些風險，考慮全部的相關(guān)性，而不是分離的，用不同的方法去處理不同的風險。風險管理種類（4）全面綜合的風險管理GRM（Global risk management） 其中心理念是：對金融機構(gòu)面臨的所有風險做出連貫一致、準確和及時的度量； 建立一種嚴密的程序用來分析總風險在交易、資產(chǎn)組合和各種經(jīng)營活動范圍內(nèi)的分布，以及對不同類型的風險怎樣進行定價和合理配置資本；同時，在金融機構(gòu)內(nèi)部建立專司風險管理的部門，致力于防范和化解并且消化由此帶來的成本。（5）其它風險管理：信息風險、項目風險。 （6）治理風險和合規(guī)Convergence

9、 of governance, risk, and compliance (GRC)(區(qū)別于Glabal Risk Control) Categories of business riskCreditriskMarketriskOperationalriskRisk of economic loss suffered due to the default of a borrower or counterpartyExposure to potential loss that would result from changes in market prices or ratesThe risk

10、of loss resulting from inadequate or failed internal processes, people, and systems, or from external events業(yè)務風險分類信用風險市場風險操作風險遭受借方或交易方違約經(jīng)濟損失的風險由改變市場價格或政策導致的潛在損失由不充分或失效的內(nèi)部流程、人員和系統(tǒng)，或外部因素導致的損失風險目錄風險內(nèi)控軟件的主要競爭廠商風險內(nèi)控軟件的發(fā)展趨勢國外的典型風險內(nèi)控軟件簡介國內(nèi)的風險內(nèi)控軟件簡介COSO與現(xiàn)風險管理2.0之間的差異風險管理的種類企業(yè)治理、風險管理、內(nèi)控管理、內(nèi)部審計之間關(guān)系風險內(nèi)控管理系統(tǒng)公司治

11、理、風險、內(nèi)控、審計之間的關(guān)系底層為上層的環(huán)境、基礎、前提上層反作用于底層公司治理、內(nèi)部控制、風險管理理論上有很多爭議內(nèi)部控制和風險管理的關(guān)系觀點一、風險管理包含內(nèi)部控制觀點二、內(nèi)部控制包含風險管理觀 點三、內(nèi)部控制即風險管理內(nèi)部控制和公司治理的關(guān)系內(nèi)部控制是公司治理的基礎公司治理是內(nèi)部控制的環(huán)境要素之一，是內(nèi)部控制的前提內(nèi)部控制和公司治理你中有我，我中有你三者密不可分甚致是完全相同目錄風險內(nèi)控軟件的主要競爭廠商風險內(nèi)控軟件的發(fā)展趨勢國外的典型風險內(nèi)控軟件簡介國內(nèi)的風險內(nèi)控軟件簡介COSO與現(xiàn)風險管理2.0之間的差異風險管理的種類企業(yè)治理、風險管理、內(nèi)控管理、內(nèi)部審計之間關(guān)系風險內(nèi)控管理系統(tǒng)風

12、險內(nèi)控管理用戶角色COSO架構(gòu)內(nèi) 部 環(huán) 境戰(zhàn) 略目 標 設 定事 件 識 別風 險 評 估風 險 應 對控 制 活 動信息與溝通監(jiān) 控經(jīng) 營報 告遵 循子公司業(yè)務單位分支機構(gòu)實體COSO元素關(guān)系應對事件 / 風險分類公司/部門子公司實體業(yè)務單元業(yè)務目標RCOS信息溝通監(jiān)控控制風險評估影響+ 可能性改進行動風險內(nèi)控系統(tǒng)的流程風險內(nèi)控手冊風險內(nèi)控測試選擇部分流程、風險、控制點審計結(jié)果反饋建立測試和測試對象之間的關(guān)系審計程序或IT自動測試程序與控制點掛勾1、手工測試2、自動測試（BI）風險內(nèi)控系統(tǒng)特點與信息系統(tǒng)集成（包括公司內(nèi)和第三方系統(tǒng)） 與信息系統(tǒng)中組織機構(gòu)、工作流、審批審計記錄、權(quán)限（職責相斥矩陣）進行整合 與系統(tǒng)中的其它模塊進行整體，財務、項目管理等與BI集成，能對信息系統(tǒng)實現(xiàn)實時和定期自動測試將業(yè)務單元、目標、風險、控制、測試計劃、測試、缺陷、整改、報告無縫整合于一體。集自評、外評、專家、風控評估管理于一體。知識積累和再利用知識庫測試項目測試程序/工作底稿/問題缺陷測