流程层面风险评估与控制措施

1、 版权所有 1993-2011 金蝶国际软件集团有限公司培训时间：培训时间：2022年年6月月10日日 版权所有 1993-2011 金蝶国际软件集团有限公司P2风险管理与内部控制咨询阶段 版权所有 1993-2011 金蝶国际软件集团有限公司P3 流程风险数据库流程风险数据库控制文档控制文档 缺陷跟踪报告缺陷跟踪报告流程图流程图 流程描述流程描述 风险控制矩阵风险控制矩阵方法论核心以风险为导向内部控制 版权所有 1993-2011 金蝶国际软件集团有限公司P4方法论基础流程体系框架之流程图 版权所有 1993-2011 金蝶国际软件集团有限公司P5方法论基础流程体系框架之流程图 版权所有 1

2、993-2011 金蝶国际软件集团有限公司P6 流程风险数据库流程风险数据库控制文档控制文档 缺陷跟踪报告缺陷跟踪报告流程图流程图 流程描述流程描述 风险控制矩阵风险控制矩阵方法论核心以风险为导向内部控制 版权所有 1993-2011 金蝶国际软件集团有限公司P7风险和内控的逻辑关系风险和内控的逻辑关系方法论核心以风险为导向内部控制通过管理程序或活动减少风险通过管理程序或活动减少风险可量化，可衡量，可以达到的业务目标可量化，可衡量，可以达到的业务目标可能影响业务目标实现的可能影响业务目标实现的隐患隐患事事件件 版权所有 1993-2011 金蝶国际软件集团有限公司P8三张表单的关系风 险控 制

3、矩 阵控制文档风险数据库风控体系风控体系 版权所有 1993-2011 金蝶国际软件集团有限公司P9 认识“风险”1 风险控制矩阵填写要求3 认识“控制”2 控制文档填写要求5风险数据库填写要求4 Q&A5 版权所有 1993-2011 金蝶国际软件集团有限公司P10认识“风险”n风险定义：是未来的不确定性对企业实现其既定目 标的影响。错失时机不利事故不确定性 版权所有 1993-2011 金蝶国际软件集团有限公司P11认识“风险” 版权所有 1993-2011 金蝶国际软件集团有限公司P12认识“风险” 什么因素可能会妨碍本部门实现其关键的业务目标? 要成功, 需要完成一些必要的工作和程序,

4、 而什么因素会阻碍这些工作和程序的完成和实现呢? 发生率: 这些风险中, 什么风险是最可能发生的? 影响: 哪些风险将对本部门实现其预定目标的能力产生最重大的影响? 有什么有效的控制机制可以减少这些风险及其影响? 版权所有 1993-2011 金蝶国际软件集团有限公司P13认识“风险”n水利水电工程风险管理实例-黄河小浪底水利枢纽不确定性分析：n 费用额的不确定性n 进度的不确定性n 工程质量的不确定性n 水文及地质条件的不确定性n 工程收益的不确定性n 淹没补偿、征地拆迁、移民安置的不确定性 版权所有 1993-2011 金蝶国际软件集团有限公司P14认识“风险”n风险清单：n不可抗力风险

5、n资源（水）供应风险n法规变更风险n行政风险n利率风险n通货膨胀风险n技术/设施风险n完工风险n市场风险n经营风险n偿还期限风险n费用超支风险 版权所有 1993-2011 金蝶国际软件集团有限公司P15认识“风险”n小浪底工程风险识别结果建设环境建设单位设计阶段施工阶段材料涨价人工费提高利率、汇率变化运输条件自然条件社会因素项目规划不当组织不落实外部协调差建设手续不齐合同管理差汇算审核不严设计资料缺乏使用标准不当方案选择失误设计计算错误设计更改多图纸不配套组织管理差工程事故发生多施工方案不当赶进度材料浪费大停工待料 版权所有 1993-2011 金蝶国际软件集团有限公司P16 认识“风险”1

6、 风险控制矩阵填写要求3 认识“控制”2 控制文档填写要求5风险数据库填写要求4 Q&A5 版权所有 1993-2011 金蝶国际软件集团有限公司P17认识“控制”n控制措施：是企业根据风险评估结果，结合风险应对策略， 确保内部控制目标得以实现的方法和手段。n能做什么工作来降低发生风险的可能性? n这些工作或活动现在存在吗? 足够吗? n现有的控制活动是否明确, 独特且没有彼此重复? n效率: 有没有更容易的或者成本更低的控制风险的方法?n效果: 这些控制活动是不是有效地降低了风险? 版权所有 1993-2011 金蝶国际软件集团有限公司P18认识“控制”n鉴别控制措施 实现控制目标，主要是控

7、制容易发生风险或偏差的业务环节。这些可能发生错弊因而需要控制的业务环节，通常称为控制措施或控制点。控制点按其发挥作用的程度而论，可以分为关键控制点和一般控制点。那些在业务处理过程中发挥作用最大，影响范围最广，甚至决定全局成效的控制点，对于保证整个业务活动的控制目标具有至关重要的影响，即为关键控制点；相比之下，那些只能发挥局部作用，影响特定范围的控制点，则是一般控制点。 如材料采购业务中的“验收”控制点，对于保证材料采购业务的完整性、实物安全性等控制目标都起着重要的保障作用，因此是材料采购控制系统中的关键控制点；相比之下，”审查”、”审核”、”审议”、“审批”、“签约”、“登记”、“记账”等控制

8、点，则是一般控制点。需要说明的是，关键控制点和一般控制点在一定条件下是可以相互转化的。某个控制点在此项业务活动中是关键控制点，在另外一项活动中则可能是一股控制点，反之亦然。 版权所有 1993-2011 金蝶国际软件集团有限公司P19认识“控制” 版权所有 1993-2011 金蝶国际软件集团有限公司P20 认识“风险”1 风险控制矩阵填写要求3 认识“控制”2 控制文档填写要求5风险数据库填写要求4 Q&A5 版权所有 1993-2011 金蝶国际软件集团有限公司P21标识填写要求认真拷贝每个流程标识即可。 版权所有 1993-2011 金蝶国际软件集团有限公司P22标识填写要求示 例 版权

9、所有 1993-2011 金蝶国际软件集团有限公司P23目标编号填写要求以“T+数字”顺次编号。 版权所有 1993-2011 金蝶国际软件集团有限公司P24控制目标填写要求指流程所要完成的基本目标，一个流程的控制目标可能有多种，基本上可以按流程的各项控制活动所要实现的目的进行列示。 版权所有 1993-2011 金蝶国际软件集团有限公司P25示 例控制目标填写要求 版权所有 1993-2011 金蝶国际软件集团有限公司P26风险编号填写要求以“R+数字”顺次编号。 版权所有 1993-2011 金蝶国际软件集团有限公司P27风险描述填写要求（一） 1）针对目标而言，影响目标实现的不利因素均可

10、能是风险，在描述过程中需要将些影响因素逻辑清晰的表达出来。在实际列示时可以反过来针对控制措施来写，即如果没有相应的控制会出现何种问题或损失； 2）列示思路（风险六要素）：制度和程序是否缺失（有无依据）有无组织完善与人员授权执行否（影响）方法合理否管理报告保管与使用否系统完善与应用否； 版权所有 1993-2011 金蝶国际软件集团有限公司P28风险描述填写要求（二）3）针对具体步骤列示如果不执行该控制可能产生的不良后果，简明扼要写出最直接和最相关的影响，不要太空泛太粗糙，注意风险的种属关系。4) 对于风险控制矩阵里面，有风险但无对应的控制措施存在的地方，在“控制措施编号”及“控制措施”统一填写

11、“N/A”表示不存在。请注意凡N/A的地方，必然是存在缺陷的。不可能有风险，没有控制点也没缺陷。 版权所有 1993-2011 金蝶国际软件集团有限公司P29风险描述填写要求（三）示 例 版权所有 1993-2011 金蝶国际软件集团有限公司P30控制措施编号填写要求以“C+数字”顺次编号。 版权所有 1993-2011 金蝶国际软件集团有限公司P31控制措施填写要求与流程描述的一致,复制过来即可。 版权所有 1993-2011 金蝶国际软件集团有限公司P32示 例控制措施填写要求 版权所有 1993-2011 金蝶国际软件集团有限公司P33风险控制矩阵重要提示注注1、控制措施与缺陷并非一一对

12、应，缺陷分为制度设计缺陷、制度实际执行、控制措施与缺陷并非一一对应，缺陷分为制度设计缺陷、制度实际执行缺陷（包括信息系统设计缺陷），控制措施是针对执行缺陷的，缺陷（包括信息系统设计缺陷），控制措施是针对执行缺陷的，可进行可进行穿行测试，对执行缺陷进行识别和认定；穿行测试，对执行缺陷进行识别和认定；2、风险则可以对应各种缺陷，任何一种缺陷均可能产生风险，所以一般地、风险则可以对应各种缺陷，任何一种缺陷均可能产生风险，所以一般地风险可应对有控制措施和无控制措施的情形；风险可应对有控制措施和无控制措施的情形；3、任何风险均是针对控制目标而言，因此，一项控制目标可以包括多种风、任何风险均是针对控制目标

13、而言，因此，一项控制目标可以包括多种风险。险。 版权所有 1993-2011 金蝶国际软件集团有限公司P34 认识“风险”1 风险控制矩阵填写要求3 认识“控制”2 控制文档填写要求5风险数据库填写要求风险数据库填写要求4 Q&A5 版权所有 1993-2011 金蝶国际软件集团有限公司P35标识填写要求认真拷贝每个流程标识即可。风险编号风险编号* *风险描述风险描述风险类别风险类别* *发生可能性发生可能性* *（1-51-5）影响程度影响程度* *（1-51-5）风险等级风险等级* *对应关键对应关键控制编号控制编号战战略略风风险险财财务务风风险险市市场场风风险险运运营营风风险险法法律律风

14、风险险 版权所有 1993-2011 金蝶国际软件集团有限公司P36标识填写要求示 例 版权所有 1993-2011 金蝶国际软件集团有限公司P37风险编号与描述填写要求与风险控制矩阵一样，直接从风险控制矩阵复制即可。 风险编号风险编号* *风险描述风险描述风险类别风险类别* *发生可能性发生可能性* *（1-51-5）影响程度影响程度* *（1-51-5）风险等级风险等级* *对应关键对应关键控制编号控制编号战战略略风风险险财财务务风风险险市市场场风风险险运运营营风风险险法法律律风风险险 版权所有 1993-2011 金蝶国际软件集团有限公司P38风险类别填写要求风险类别如下表。 战略风险风

15、险类别是就风险的类别进行分类，战略风险：企业在战略的制定和实施上出现错误，或因未能随环境的改变而做出的适当的调整，而导致经济上的损失。财务风险经营风险是指融资安排，会计核算与管理以及会计和财务报告失误而对企业造成的损失。市场风险指由于市场等外界条件变化而使企业产生经济损失的风险。运营风险指企业内部流程和信息系统、人为因素或者外部事件而给企业造成的经济损失。法律风险指企业因违反法律，法规或规定，或侵害其他利益相关者得权益，而导致企业遭受经济或者声誉损失的风险。风险编号风险编号* *风险描述风险描述风险类别风险类别* *发生可能性发生可能性* *（1-51-5）影响程度影响程度* *（1-51-5

16、）风险等级风险等级* *对应关键对应关键控制编号控制编号战战略略风风险险财财务务风风险险市市场场风风险险运运营营风风险险法法律律风风险险 版权所有 1993-2011 金蝶国际软件集团有限公司P39风险编号风险编号* *风险描述风险描述风险类别风险类别* *战战略略风风险险财财务务风风险险市市场场风风险险运运营营风风险险法法律律风风险险R01未对人员招聘需求申请进行适当审批，可能导致人员需要申请的合理性或不准确。 TR02招聘信息发布范围较窄，可能导致候选人员不足，影响最终的招聘效果。 TR03未对招聘人员进行适当筛选、考核，可能导致无法确保社会招聘人员符合公司岗位需要。 TR04未与社会招聘

17、人员签订劳动合同，可能导致产生法律纠纷。 TR05未及时、准确更新员工花名册，可能导致员工花名册信息的不准确，影响人事管理的效果。 T风险类别填写要求示 例 版权所有 1993-2011 金蝶国际软件集团有限公司P40发生可能性填写要求风险真正发生的概率是多少。如下表。 风险发生可能性评分标准评分评分1 12 23 34 45 5定性标准极低极低低低中等中等高高极高极高一般情况下不会发生极少情况下才发生某些情况下会发生较多情况下发生常常会发生定量标准 举例 （注）今后10年发生的可能少于1今后5-10年可能发生1次今后2-5年内可能发生1次今后1年内可能发生1次今后1年内至少发生1次注：举例中

18、的对可能性判断标准的描述仅供参考，可以根据自己对风险发生可能性的判断标准对问卷中风险发生的可能性进行判断。风险编号风险编号* *风险描述风险描述风险类别风险类别* *发生可能性发生可能性* *（1-51-5）影响程度影响程度* *（1-51-5）风险等级风险等级* *对应关键对应关键控制编号控制编号战战略略风风险险财财务务风风险险市市场场风风险险运运营营风风险险法法律律风风险险 版权所有 1993-2011 金蝶国际软件集团有限公司P41风险编号风险编号* *风险描述风险描述风风险险类类别别* *发生可能性发生可能性* *（1-1-5 5）战战略略风风险险财财务务风风险险市市场场风风险险运运营

19、营风风险险法法律律风风险险R01未对人员招聘需求申请进行适当审批，可能导致人员需要申请的合理性或不准确。T2R02招聘信息发布范围较窄，可能导致候选人员不足，影响最终的招聘效果。T3R03未对招聘人员进行适当筛选、考核，可能导致无法确保社会招聘人员符合公司岗位需要。T2R04未与社会招聘人员签订劳动合同，可能导致产生法律纠纷。T2R05未及时、准确更新员工花名册，可能导致员工花名册信息的不准确，影响人事管理的效果。T2发生可能性填写要求示 例 版权所有 1993-2011 金蝶国际软件集团有限公司P42影响程度填写要求风险发生时造成的不良影响或损失有多大 。如下表。 风险编号风险编号* *风险

20、描述风险描述风险类别风险类别* *发生可能性发生可能性* *（1-51-5）影响程度影响程度* *（1-51-5）风险等级风险等级* *对应关键对应关键控制编号控制编号战战略略风风险险财财务务风风险险市市场场风风险险运运营营风风险险法法律律风风险险 版权所有 1993-2011 金蝶国际软件集团有限公司P43风险编号风险编号* *风险描述风险描述风风险险类类别别* * 发生可能性发生可能性* *（1-51-5）影响程度影响程度* *（1-51-5）战战略略风风险险财财务务风风险险市市场场风风险险运运营营风风险险法法律律风风险险R01未对人员招聘需求申请进行适当审批，可能导致人员需要申请的合理性

21、或不准确。 T 24R02招聘信息发布范围较窄，可能导致候选人员不足，影响最终的招聘效果。 T 33R03未对招聘人员进行适当筛选、考核，可能导致无法确保社会招聘人员符合公司岗位需要。 T 25R04未与社会招聘人员签订劳动合同，可能导致产生法律纠纷。 T25R05未及时、准确更新员工花名册，可能导致员工花名册信息的不准确，影响人事管理的效果。 T 24影响程度填写要求示 例 版权所有 1993-2011 金蝶国际软件集团有限公司P44风险等级填写要求就风险发生的可能性与影响程度乘积。风险编号风险编号* *风险描述风险描述风险类别风险类别* *发生可能性发生可能性* *（1-51-5）影响程度

22、影响程度* *（1-51-5）风险等级风险等级* *对应关键对应关键控制编号控制编号战战略略风风险险财财务务风风险险市市场场风风险险运运营营风风险险法法律律风风险险 版权所有 1993-2011 金蝶国际软件集团有限公司P45风险编号风险编号* *风险描述风险描述风风险险类类别别* * 发生可能性发生可能性* *（1-51-5）影响程度影响程度* *（1-51-5）风险等级风险等级* *战战略略风风险险财财务务风风险险市市场场风风险险运运营营风风险险法法律律风风险险R01未对人员招聘需求申请进行适当审批，可能导致人员需要申请的合理性或不准确。 T 248R02招聘信息发布范围较窄，可能导致候选

23、人员不足，影响最终的招聘效果。 T 339R03未对招聘人员进行适当筛选、考核，可能导致无法确保社会招聘人员符合公司岗位需要。 T 2510R04未与社会招聘人员签订劳动合同，可能导致产生法律纠纷。 T2510R05未及时、准确更新员工花名册，可能导致员工花名册信息的不准确，影响人事管理的效果。 T 248风险等级填写要求示 例 版权所有 1993-2011 金蝶国际软件集团有限公司P46对应关键控制编号填写要求与控制文档中关键控制编号相同，从控制文档中复制过来 。风险编号风险编号* *风险描述风险描述风险类别风险类别* *发生可能性发生可能性* *（1-51-5）影响程度影响程度* *（1-

24、51-5）风险等级风险等级* *对应关键对应关键控制编号控制编号战战略略风风险险财财务务风风险险市市场场风风险险运运营营风风险险法法律律风风险险 版权所有 1993-2011 金蝶国际软件集团有限公司P47风险编号风险编号* *风险描述风险描述风风险险类类别别* * 发生可能性发生可能性* *（1-51-5）影响程度影响程度* *（1-51-5）风险等级风险等级* *对应关键对应关键控制编号控制编号战战略略风风险险财财务务风风险险市市场场风风险险运运营营风风险险法法律律风风险险R01未对人员招聘需求申请进行适当审批，可能导致人员需要申请的合理性或不准确。 T 248C01、C02、C03、C0

25、4R02招聘信息发布范围较窄，可能导致候选人员不足，影响最终的招聘效果。 T 339C05R03未对招聘人员进行适当筛选、考核，可能导致无法确保社会招聘人员符合公司岗位需要。 T 2510C06、C07、C08R04未与社会招聘人员签订劳动合同，可能导致产生法律纠纷。 T2510C09R05未及时、准确更新员工花名册，可能导致员工花名册信息的不准确，影响人事管理的效果。 T 248C10对应关键控制编号填写要求示 例 版权所有 1993-2011 金蝶国际软件集团有限公司P48 认识“风险”1 风险控制矩阵填写要求3 认识“控制”2 控制文档填写要求5风险数据库填写要求4 Q&A5 版权所有

26、1993-2011 金蝶国际软件集团有限公司P49标识填写要求认真拷贝每个流程标识即可。 版权所有 1993-2011 金蝶国际软件集团有限公司P50标识填写要求示 例 版权所有 1993-2011 金蝶国际软件集团有限公司P51步骤编号、步骤填写要求与流程图一样，直接从流程描述复制即可。 版权所有 1993-2011 金蝶国际软件集团有限公司P52步骤编号、步骤填写要求示 例 版权所有 1993-2011 金蝶国际软件集团有限公司P53流程步骤类型填写要求分为一般流程步骤、一般控制、关键控制，根据评估结果后填写。 版权所有 1993-2011 金蝶国际软件集团有限公司P54流程步骤类型填写要

27、求示 例 版权所有 1993-2011 金蝶国际软件集团有限公司P55控制措施编号、控制措施填写要求与流程描述的一致,复制过来即可。 版权所有 1993-2011 金蝶国际软件集团有限公司P56控制措施编号、控制措施填写要求示 例 版权所有 1993-2011 金蝶国际软件集团有限公司P57权重填写要求人为赋予（一般流程步骤1分，一般控制3分，关键控制5分）。权重取值公式在附件中明确。 版权所有 1993-2011 金蝶国际软件集团有限公司P58权重填写要求示 例 版权所有 1993-2011 金蝶国际软件集团有限公司P59控制类型填写要求在该活动处理之前就设定的控制，即为事前控制；活动处理之

28、时才发生的控制即是事中控制；如是活动处理完毕进行后续处理的即是事后控制。 版权所有 1993-2011 金蝶国际软件集团有限公司P60控制类型填写要求示 例 版权所有 1993-2011 金蝶国际软件集团有限公司P61控制方式填写要求只要是通过人工进行处理的，不论通过信息系统还是线下处理必须认定为人工控制；如果由计算机自动处理，不需要人为操作的即是自动控制。 版权所有 1993-2011 金蝶国际软件集团有限公司P62控制方式填写要求示 例 版权所有 1993-2011 金蝶国际软件集团有限公司P63控制频率填写要求流程控制的时间间隔有多长，一般分为随时、每天一次（多次）、每月（一次）、每季一

29、次、每年一次等 。 版权所有 1993-2011 金蝶国际软件集团有限公司P64控制频率填写要求示 例 版权所有 1993-2011 金蝶国际软件集团有限公司P65实施证据填写要求能进行穿行测试的文档、表单等资料或详细的信息系统操作界面 。 版权所有 1993-2011 金蝶国际软件集团有限公司P66实施证据填写要求示 例 版权所有 1993-2011 金蝶国际软件集团有限公司P67责任部门、岗位填写要求流程责任部门，与流程描述一致 。 版权所有 1993-2011 金蝶国际软件集团有限公司P68责任部门、岗位填写要求示 例 版权所有 1993-2011 金蝶国际软件集团有限公司P69步骤编号

30、、步骤填写要求示 例 版权所有 1993-2011 金蝶国际软件集团有限公司P70 认识“风险”1 风险控制矩阵填写要求3 认识“控制”2 控制文档填写要求5风险数据库填写要求4 Q&A5 版权所有 1993-2011 金蝶国际软件集团有限公司P71中国软件产业的领导厂商亚太地区领先的管理IT整合解决方案供应商全球软件市场中成长最快的独立软件厂商之一The Leader in Chinas Software IndustryA Leading Provider of Enterprise Management and IT Integrated Solution in Asia-PacificOne of the Fastest-Growing Indep