内部控制与风险管理第十三章_企业风险评估与控制系统教材教学课件.ppt

叶陈刚 对外经济贸易大学公司伦理与治理研究中心 —— 内部控制与风险管理 * * 第十三章 企业风险评估与控制系统 * * 引例：某银行风险评估案例 1.?评估对象 某银行有限公司借记卡业务系统 2.?评估范围 核心业务系统服务器 柜面业务系统服务器 硬件加密机 防火墙 路由器 IPS设备 3.?评估内容 网络安全 * * 主机系统安全 应用安全 数据安全 4.?评估结果 网络安全方面，网络架构及安全设计符合安全技术要求，实际运行环境与安全设计相符；网络通过防火墙隔离保证外联边界的安全，按不同应用划分网段，统一配置了的网络设备性能监控及故障报警平台。 主机系统安全方面，采用双人执密方式管理登录口令；管理用户的权限划分合理，自主访问控制机制和强制访问控制设置完善，关闭了不必要的服务和端口。 应用安全方面，提供了域控制和户名/口令两种身份鉴别措施；提供访问控制措施，不同的角色授予不同的访问权限；限制同一个柜员并发登录；具有剩余信息 * * 保护功能，系统容错性较好；制定了源代码管理制度和版本管理控制流程；对应用服务进程进行监控，发现故障可以实时报警；并且自动对应用系统日志进行统计分析。 数据安全方面，核心服务器采用双机热备；PIN数据在传输和储存过程中采用硬件加密机进行加解密，实现了PIN数据的保密性。 系统安全状况良好，系统存在的风险点较少。通过风险评估的实施，银行了解了其借记卡业务系统的安全现状，增强了对借记卡业务系统安全运行的信心。 * * 主要内容 一、风险评估与控制系统的设计 二、信用风险管理模块 三、需求风险管理模块 四、财务风险分析模块 五、问卷调查模块 六、风险管理过程模块 [案例分析] 中信泰富“豪赌”酿成巨大亏空  * * 风险评估是风险管理的核心部分，风险评估最早出现在20世纪30年的保险行业，是为了满足工业化大生产的需要；到20世纪60年代开始全面、系统地研究应用于企业、环境、市场等领域。 风险评估与控制信息系统，是一个由人、计算机及其他外围设备等组成的，能进行风险管理信息的收集、传递、存贮、加工、维护和使用的系统，从而为风险管理决策提供信息化的帮助。风险评估与控制信息系统的组成一般需要四个部分：数据库、软件、硬件和人员。 风险评估与控制信息系统的设计需要经过几个关键步骤：需求分析、系统设计、功能模块设计和数据库设计。  * * 第一节 需求分析与系统设计 一、需求分析 需求分析是建立信息系统的第一个阶段，其任务是通过对企业经营目标、业务流程、风险管理过程等的分析，确定信息系统需要完成的工作和实现的功能，对系统提出完整、准确、清晰和具体的要求。 需求分析的原则是结合企业实际，务必使风险评估与控制信息系统能够与企业的日常经营工作有机的结合。 （一）对系统功能的要求 1.信息传递功能 2.查询功能 3.数据存储功能 4.数据分析功能 5.预警功能 6.用户权限功能 * * （二）对系统性能的要求 1.时间性要求 2.灵活性要求 （三）输入输出的要求 1.输入要求。数据、指令以及相关信息等的输入由用户通过计算机界面手工输入。输入界面应当友好，使对计算机了解不深的员工也能操作。数据的输入采取表格式，指令的输入通过界面上的指令菜单、按钮及快捷键完成。 2.输出要求。以图表形式为主，屏幕显示，并能够直接打印。 第二节 功能模块设计 在功能模块上，本信息系统采取“点面结合”的方针，信息全面，突出重点。 “点”：对比较重要的三类风险：信用风险、需求风险和财务风险分别建立管理功能模块。 “面”：建立风险管理过程模块，对风险管理所涉及的信息进行整合。此外，建立问卷调查模块，利用信息系统的效率优势，实现风险问卷的调查和统计。建立风险预警模块，对企业即将面临的风险及时预警提示。 * * * * 一、信用风险管理模块 本模块通过对企业客户信用数据的记录和分析，来帮助企业识别和控制信用风险。主要实现两个功能：信用评价和账款追踪。 信用评价功能。系统记录每个客户与企业的每一笔交易的详细资料，并计算该客户的交易规模、回款率和回款及时性，系统根据计算出的这三个指标对客户进行信用评价，并给出对该客户授信额度的建议。 账款追踪功能。系统可以生成未收回账款一览表，提示所有未收回的账款信息，包括