返回
如何建立it内控风险预警体系

如何建立it内控风险预警体系

ID:10229504

大小:35.50 KB

页数:5页

时间:2018-06-12

如何建立it内控风险预警体系_第1页
如何建立it内控风险预警体系_第2页
如何建立it内控风险预警体系_第3页
如何建立it内控风险预警体系_第4页
如何建立it内控风险预警体系_第5页
资源描述:

《如何建立it内控风险预警体系》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、如何建立IT内控风险预警体系?来源:比特网  2010年依然是一个充满变数的一年,目前全球经济正处于动荡之中。从欧洲希腊经济危机到冰岛火山危机,众多的风险和危机在警示我们:风险如影随形,无处不在。但是,目前很多企业在风险防范意识方面都存在着重视程度严重不足,在风险管控措施方面执行不到位,这使得在面对重大突发灾难时很容易陷入生存危机。即使不受突发灾难影响,由于盲目扩张、造假和管理失控等风险造成的“突然死亡事件”也不胜枚举。  居安思危,防微杜渐。近日我参加了一个上市公司CIO的专题研讨会,主题是如何建立IT内控风险预警体系。起因是2010年4月,财政部、证监会、审计署、银监会、保监会

2、等五部门联合发布了被称为“中国版萨班斯法案”的《企业内部控制配套指引》。指引文件在第37条中明确指出要把企业内部IT风险控制建设情况纳入上市公司日常监管的范围,确保IT内控风险预警体系的执行质量。而且,为了确保上市公司IT内控风险预警体系的顺利实施,财政部等五个部门还制定了IT内控建设的实施时间表。  一.什么是IT内控风险预警体系?  风险无处不在、而且还难以度量,这使到企业很难去评估和预防风险。因此,很多时候企业在实施IT内控和风险管理时常常感到无从下手。从研讨会上众多CIO讨论的情况来看,目前国内大部分上市公司在IT内控风险预警和防范方面还存在很多模糊的认识和误解。  (1)

3、什么是IT内控风险预警体系?  在风险管理体系中,一般包括风险管理计划、风险识别、风险定性分析、风险定量分析、风险响应和风险监控。风险管理贯穿企业各项业务的整个过程,包括事前、事中和事后。统计资料表明越早发现风险、越早采取措施,则风险管理的成本就越低,给企业带来的效益也就越大。按照1:10:100的理论,在第一个阶段控制风险的成本是1,那么如果到了第二个阶段才采取措施,它的成本就会是10,而到了第三个阶段时才采取措施的成本将会是100。因此,在风险管理领域中普遍强调风险管理的计划性和预测性。也就是说,风险预警系统可以为风险识别、风险分析、风险监控等提供强有力的手段,在整个风险管理体

4、系中具有极其重要的地位。  为此,2010年4月财政部等五部门联合发布的“中国版萨班斯法案”《企业内部控制配套指引》在第37条明确指出“企业应当建立重大风险预警机制和突发事件应急处理机制,明确风险预警标准,对可能发生的重大风险或突发事件,制定应急预案、明确责任人员、规范处置程序,确保突发事件得到及时妥善处理”的规定。要求IT系统提供对风险事件的预警,并能及时通过各种通讯方式通知相关岗位人员。因此,通过IT内控风险控制体系来防范和降低上市公司的IT违规风险,是企业高层领导和CIO目前最迫切需要解决的难题。  (2)IT内控风险预警体系的具体内容  任何风险的出现都会有预兆,警兆是指风

5、险发生前的先兆。通常某些指标会提前出现异常的波动,预警系统就是根据一定的原则捕捉到这些异常。因此,企业风险预警系统主要包括警源分析和警兆辨识两部分。警源分析着重分析风险发生的根源性因素;警兆辨识主要通过定量的指标体系分析法和定性描述分析法相结合的方式,提前向企业IT决策者发出预警信号。  具体来说,要实现对IT风险警兆的辨识可通过两方面来进行:一是定性分析,即通过对有关IT项目从决策到运营等方面的定性描述判别是否出现警兆;二是定量分析,即通过预警指标体系的指标计算来确定警兆是否出现。因此,风险预警指标体系包括定性指标和定量指标两部分。其中风险预警系统中的定性分析主要是通过对一些无法

6、具体量化而又对IT项目的运行起到决定作用的关键问题进行是非判断,从而决定是否发出预警。定量分析的主要内容是对IT项目中的统计信息设立数量化指标体系,是指通过建立和运用数量化指标体系从定量的角度来分析项目是否存在潜在的风险,从而确定是否存在警兆。  一般来说,在IT内控时可能会碰到很多的风险,通常的做法是把可能的IT风险划分一个优先级,对于优先级高的风险要给以更多的关注。例如,对财务违规的IT操作流程和可能会影响上市公司股价波动的IT流程给予高优先级考虑。因此,IT体系风险评估的目的是要辨别出潜藏的IT内在风险与残存风险。通常包括风险判断标准、风险发生的可能性、风险发生的危险度、风险

7、预防措施、风险消除措施等几个方面进行评估。为了更加形象地标识企业出现的IT风险所处的级次,应该把IT风险预警区间分为安全区(绿区)、预警区(黄区)、危机区(红区)三个区域。指标在安全区,表示发生危机的可能性较小;指标在预警区,表示存在发生危机的可能性;指标在危机区,表示发生危机的可能性较大。根据风险评估得分,对照相应的预警区间就可以快速的判断出各企业的IT风险预警警度。  在这次研讨会上,众多CIO关注的焦点是如何实现五部门联合发布的“中国版萨班斯法案”《企业内部控制

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。