(精选)内部控制与风险管理第十三章 企业风险评估与控制系统课件.pptVIP

叶陈刚 对外经济贸易大学公司伦理与治理研究中心 —— 内部控制与风险管理 * * 第十三章 企业风险评估与控制系统 * * 引例：某银行风险评估案例 1.?评估对象 某银行有限公司借记卡业务系统 2.?评估范围 核心业务系统服务器 柜面业务系统服务器 硬件加密机 防火墙 路由器 IPS设备 3.?评估内容 网络安全 * * 主机系统安全 应用安全 数据安全 4.?评估结果 网络安全方面，网络架构及安全设计符合安全技术要求，实际运行环境与安全设计相符；网络通过防火墙隔离保证外联边界的安全，按不同应用划分网段，统一配置了的网络设备性能监控及故障报警平台。 主机系统安全方面，采用双人执密方式管理登录口令；管理用户的权限划分合理，自主访问控制机制和强制访问控制设置完善，关闭了不必要的服务和端口。 应用安全方面，提供了域控制和户名/口令两种身份鉴别措施；提供访问控制措施，不同的角色授予不同的访问权限；限制同一个柜员并发登录；具有剩余信息 * * 保护功能，系统容错性较好；制定了源代码管理制度和版本管理控制流程；对应用服务进程进行监控，发现故障可以实时报警；并且自动对应用系统日志进行统计分析。 数据安全方面，核心服务器采用双机热备；PIN数据在传输和储存过程中采用硬件加密机进行加解密，实现了PIN数据的保密性。 系统安全状况良好，系统存在的风险点较少。通过风险评估的实施，银行了解了其借记卡业务系统的安全现状，增强了对借记卡业务系统安全运行的信心。 * * 第一节 需求分析与系统设计 一、需求分析 需求分析是建立信息系统的第一个阶段，其任务是通过对企业经营目标、业务流程、风险管理过程等的分析，确定信息系统需要完成的工作和实现的功能，对系统提出完整、准确、清晰和具体的要求。 需求分析的原则是结合企业实际，务必使风险评估与控制信息系统能够与企业的日常经营工作有机的结合。 （一）对系统功能的要求 1.信息传递功能 2.查询功能 3.数据存储功能 4.数据分析功能 5.预警功能 6.用户权限功能 * * （二）对系统性能的要求 1.时间性要求 2.灵活性要求 （三）输入输出的要求 1.输入要求。数据、指令以及相关信息等的输入由用户通过计算机界面手工输入。输入界面应当友好，使对计算机了解不深的员工也能操作。数据的输入采取表格式，指令的输入通过界面上的指令菜单、按钮及快捷键完成。 2.输出要求。以图表形式为主，屏幕显示，并能够直接打印。 * * 二、系统设计 （一）架构选取 目前，比较流行的信息系统结构有两种：一是客户端/服务器（CS，Client/Server）模式，二是Web应用模式，或称浏览器/服务器（BS，Browser/Server）模式。 客户端/服务器（CS）模式将文件存放在服务器中，应用程序的执行在客户端和服务器上合理分配，以达到性能最优。接到用户指令后，客户端向服务器发送处理请求，服务器返回处理结果。 BS架构比起CS架构有着很大的优越性，BS架构不需要专门的操作环境，在任何地方，只要能上网，就能够操作管理信息系统，从而具有更广泛的应用性。 开发中，应当根据企业的实际情况选取架构模式。 （二）系统开发环境 客户端操作系统：Windows XP Professional 服务器操作系统：Windows 2000 server 系统开发工具：Microsoft Visual C#.net 数据库：Microsoft SQL server 2000 * * * * （三）系统结构图 网络接口 信用风险管理模块 需求风险管理模块 财务风险分析模块 问卷调查模块 风险管理过程模块 风险预警模块 数据库 会计信息 系统 用户网页界面 数据接口 网络传输 图13-1 风险评估与控制信息系统结构图 第二节 功能模块设计 在功能模块上，本信息系统采取“点面结合”的方针，信息全面，突出重点。 “点”：对比较重要的三类风险：信用风险、需求风险和财务风险分别建立管理功能模块。 “面”：建立风险管理过程模块，对风险管理所涉及的信息进行整合。此外，建立问卷调查模块，利用信息系统的效率优势，实现风险问卷的调查和统计。建立风险预警模块，对企业即将面临的风险及时预警提示。 * * * * 一、信用风险管理模块 本