基于COSO的风险管理课件

1、基于COSO的风险管理 演讲人：李志文 现风险管理2.0与COSO ERM之间的差异目录风险内控软件的主要竞争厂商风险内控软件的发展趋势国外的典型风险内控软件简介国内的风险内控软件简介COSO与现风险管理2.0之间的差异风险管理的种类企业治理、风险管理、内控管理、内部审计之间关系风险内控管理系统风险内控软件的主要竞争厂商国外国内SAP第一会达SAS慧点CA唯智IBM金碟HP用友ORACLE青鸟.国外国内Teammate中软Pentana诚创易通Hardware金长源德勤中信.管理软件企业审计软件企业提纲风险内控软件的主要竞争厂商风险内控软件的发展趋势国外的典型风险内控软件简介国内的风险内控软件

2、简介COSO与现风险管理2.0之间的差异风险管理的种类企业治理、风险管理、内控管理、内部审计之间关系风险内控管理系统内控受到重视，开发内控必然涉及内控审计风险导向审计、内控审计是趋势，不得不开发内控审计功能，必然涉及风险内控管理国外国内SAP第一会达SAS慧点CA唯智IBM金碟HP青鸟ORACLE国外国内Teammate中软Pentana诚创易通Hardware金长源中信风险内控软件的发展趋势SAP等公司都已经上升级企业治理层次与IT 信息系统的集成与BI等数据分析系统集成公司治理、风险管理、风控控制、审计一体化。定期测试自动测试注重风险和风险减轻情况的综合分析持续管理集成知识库管理风险内控软

3、件的发展趋势提纲风险内控软件的主要竞争厂商风险内控软件的发展趋势国外的典型风险内控软件简介SAP方案ORACLE方案SAS方案德勤普华永道Pentana国内的风险内控软件简介COSO与现风险管理2.0之间的差异SAP公司GRC解决方案SAP的特点SAP持续监控SAP公司治理、风险管理、合规Oracle公司GRC解决方案提供公司治理、风险管理、监管合规一体化的管理ORACLE风险管理界面ORACLEl界面（风险）ORACLE界面（控制点）ORACLE界面（评估）SAS方案其重点是风险相关的数据分析和挖掘德勤的方案普华永道TeamMate风险管理普华永道TeamMate风险管理提纲风险内控软件的主

4、要竞争厂商风险内控软件的发展趋势国外的典型风险内控软件简介国内的风险内控软件简介第一会达慧点中软金长源COSO与现风险管理2.0之间的差异风险管理的种类企业治理、风险管理、内控管理、内部审计之间关系风险内控管理系统第一会达慧点中软国际金长源中信金蝶提纲风险内控软件的主要竞争厂商风险内控软件的发展趋势国外的典型风险内控软件简介国内的风险内控软件简介COSO与现风险管理2.0之间的差异风险管理的种类企业治理、风险管理、内控管理、内部审计之间关系风险内控管理系统COSO与现风险管理2.0之间的差异现有没有将流程、目标、风险、控制、测试（审计）一体化考虑现有系统缺少持继监控的支持（定期）现有系统没有风

5、险内控改善状况（固有风险、剩余风险、目标风险）现有系统没有形成对内控手册的集成管理现有系统没有集成基于数据挖掘的自动风险和内控分析（BI），现有模式很难应对众多的信息系统现有系统没有风险宇宙，没有整合性的总体风险内控分析功能。自评、外部评估、专家评估、风控内审部门评估COSO与现风险管理2.0之间的差异现有风险管理没有历史的特性，即当前风险的评价时间，历史的的评价情况样本存在抽取时间，额定抽取量、实际抽取量，历史抽取的情况。即需要跟计划挂勾。内控流程无法按公司查看，不同类型的公司内控流程差异比较大，无法按统一的模式展示。没有看到缺陷管理，没有缺陷跟踪功能风险热图利用率不高，没有与风险和风险应对

6、整合。没有时间的观念。没有历史风险热图。机构管理区分风险承担机构、风险管理部门、内审部门、外审部门或咨询公司现有系统中国外系统不具备特点指标和整改的上报事件的集中管理基于流程和公司部门的分析没有样本管理目录风险内控软件的主要竞争厂商风险内控软件的发展趋势国外的典型风险内控软件简介国内的风险内控软件简介COSO与现风险管理2.0之间的差异风险管理的种类企业治理、风险管理、内控管理、内部审计之间关系风险内控管理系统风险管理种类（1）在险价值VaR模型 J.P.Morgan的定义可将VaR看作是在既定头寸被冲销或重估前可能发生的市场价值的最大损失的估计值。（2）整体风险管理理论TRM（Total R

7、isk Management） TRM系统就是在现有风险管理系统的单一变量，即概率(Probabilities)的基础上引进另外两个要素，即价格(Prices)和偏好(Preferences)，谋求在三要素系统中达到风险管理上的客观量计量与主体偏好的均衡最优。 (3) 全面风险管理理论ERM（Enterprise Risk Management） 其中心理念为：整个机构内各个层次的业务单位，各个种类的风险的通盘管理。ERM系统要求风险管理系统不仅仅处理市场风险或信用风险，还要求处理各种风险，并要求包含这些风险涉及的各种多种资产与资产组合，以及承担这些风险的各个业务单位，从业务员到机构整体，从总

8、公司到各分公司，从本国到外国。ERM体系要有能力在一致的基础上测量并加总这些风险，考虑全部的相关性，而不是分离的，用不同的方法去处理不同的风险。风险管理种类（4）全面综合的风险管理GRM（Global risk management） 其中心理念是：对金融机构面临的所有风险做出连贯一致、准确和及时的度量； 建立一种严密的程序用来分析总风险在交易、资产组合和各种经营活动范围内的分布，以及对不同类型的风险怎样进行定价和合理配置资本；同时，在金融机构内部建立专司风险管理的部门，致力于防范和化解并且消化由此带来的成本。（5）其它风险管理：信息风险、项目风险。 （6）治理风险和合规Convergence

9、 of governance, risk, and compliance (GRC)(区别于Glabal Risk Control) Categories of business riskCreditriskMarketriskOperationalriskRisk of economic loss suffered due to the default of a borrower or counterpartyExposure to potential loss that would result from changes in market prices or ratesThe risk

10、of loss resulting from inadequate or failed internal processes, people, and systems, or from external events业务风险分类信用风险市场风险操作风险遭受借方或交易方违约经济损失的风险由改变市场价格或政策导致的潜在损失由不充分或失效的内部流程、人员和系统，或外部因素导致的损失风险目录风险内控软件的主要竞争厂商风险内控软件的发展趋势国外的典型风险内控软件简介国内的风险内控软件简介COSO与现风险管理2.0之间的差异风险管理的种类企业治理、风险管理、内控管理、内部审计之间关系风险内控管理系统公司治

11、理、风险、内控、审计之间的关系底层为上层的环境、基础、前提上层反作用于底层公司治理、内部控制、风险管理理论上有很多争议内部控制和风险管理的关系观点一、风险管理包含内部控制观点二、内部控制包含风险管理观 点三、内部控制即风险管理内部控制和公司治理的关系内部控制是公司治理的基础公司治理是内部控制的环境要素之一，是内部控制的前提内部控制和公司治理你中有我，我中有你三者密不可分甚致是完全相同目录风险内控软件的主要竞争厂商风险内控软件的发展趋势国外的典型风险内控软件简介国内的风险内控软件简介COSO与现风险管理2.0之间的差异风险管理的种类企业治理、风险管理、内控管理、内部审计之间关系风险内控管理系统风

12、险内控管理用户角色COSO架构内 部 环 境战 略目 标 设 定事 件 识 别风 险 评 估风 险 应 对控 制 活 动信息与沟通监 控经 营报 告遵 循子公司业务单位分支机构实体COSO元素关系应对事件 / 风险分类公司/部门子公司实体业务单元业务目标RCOS信息沟通监控控制风险评估影响+ 可能性改进行动风险内控系统的流程风险内控手册风险内控测试选择部分流程、风险、控制点审计结果反馈建立测试和测试对象之间的关系审计程序或IT自动测试程序与控制点挂勾1、手工测试2、自动测试（BI）风险内控系统特点与信息系统集成（包括公司内和第三方系统） 与信息系统中组织机构、工作流、审批审计记录、权限（职责相斥矩阵）进行整合 与系统中的其它模块进行整体，财务、项目管理等与BI集成，能对信息系统实现实时和定期自动测试将业务单元、目标、风险、控制、测试计划、测试、缺陷、整改、报告无缝整合于一体。集自评、外评、专家、风控评估管理于一体。知识积累和再利用知识库测试项目测试程序/工作底稿/问题缺陷测