15. 《企业风险管理——整合框架》中风险管理的步骤包括( )。
ABCDE
企业风险管理-整合框架与内部控制-整合框架相比有哪些进步性?
ERM框架是7要素,COSO框架是5要素,其实本质上区别不是很大,不过ERM更强到内控框架的搭建从根据目标从风险出发。
内部控制整体框架和企业风险管理整合框架的区别
我认为企业风险管理整合框架包含在企业内部控制整体框架范围之内,是其中的一部分。
COSO风险管理框架八大要素
风险管理框架 COSO风险管理框架把风险管理的要素分为八个:内部环境、目标制定、事件识别、风险评估、风险反应、控制活动、信息与沟通、监督。
内部环境 企业的内部环境是其他所有风险管理要素的基础,为其他要素提供规则和结构。
内部环境影响企业战略和目标的制定、业务活动的组织和风险的识别、评估和执行等等。
它还影响企业控制活动的设计和执行、信息和沟通系统以及监控活动。
内部环境包含很多内容,包括企业员工的道德观和胜任能力、人员的培训、管理者的经营模式、分配权限和职责的方式等。
董事会是内部环境的一个重要组成部分,对其他内部环境的组成内容有重要的影响。
而企业的管理者也是内部环境的一部分,其职责是建立企业的风险管理理念、确定企业的风险偏好,营造企业的风险文化,并将企业的风险管理和相关的行动计划结合起来。
目标制定 根据企业确定的任务或预期,管理者确定企业的战略目标,选择战略方案,确定相关的子目标并在企业内层层分解和落实,各子目标都应遵循企业的战略方案并与战略方案相联系。
事项识别 管理者意识到了不确定性的存在,即管理者不能确切地知道某一事项是否会发生、何时发生或者如果发生其结果如何。
作为事项识别的一部分,管理者应考虑会影响事项发生的各种企业内外部的因素。
外部因素包括经济、商业、自然环境、政治、社会和技术因素等,内部因素反映出管理者所做的选择,包括企业的基础设施、人员、生产过程和技术等事项。
风险评估
2004年9月,COSO委员会颁布了《企业风险管理—整合框架》,下列COSO风险管理的目标,说法不正确的是
D选项错误
什么是风险管理框架
风险管理,是内部控制系统的一部分,核心要素是对风险进行管控。
风险管理框架,指的就是对于风险和风险系统进行预测、评估、分析、控制的体系。
人们在风险管理实践中逐渐认识到,一个企业内部不同部门或不同业务的风险,有的相互叠加放大,有的相互抵消减少。
因此,企业不能仅仅从某项业务、某个部门的角度考虑风险,必须根据风险组合的观点,从贯穿整个企业的角度看风险。
在coso风险管理八要素框架,风险评估被细分为哪些
风险评估被分为三种。
基线评估 如果组织的商业运作不是很复杂,并且组织对信息处理和网络的依赖程度不是很高,或者组织信息系统多采用普遍且标准化的模式,基线风险评估(Baseline Risk Assessment)就可以直接而简单地实现基本的安全水平,并且满足组织及其商业环境的所有要求。
采用基线风险评估,组织根据自己的实际情况(所在行业、业务环境与性质等),对信息系统进行安全基线检查(拿现有的安全措施与安全基线规定的措施进行比较,找出其中的差距),得出基本的安全需求,通过选择并实施标准的安全措施来消减和控制风险。
所谓的安全基线,是在诸多标准规范中规定的一组安全控制措施或者惯例,这些措施和惯例适用于特定环境下的所有系统,可以满足基本的安全需求,能使系统达到一定的安全防护水平。
组织可以根据以下资源来选择安全基线:国际标准和国家标准,例如BS 7799-1、ISO 13335-4;行业标准或推荐,例如德国联邦安全局IT 基线保护手册;来自其他有类似商务目标和规模的组织的惯例。
当然,如果环境和商务目标较为典型,组织也可以自行建立基线。
基线评估的优点是需要的资源少,周期短,操作简单,对于环境相似且安全需求相当的诸多组织,基线评估显然是最经济有效的风险评估途径。
当然,基线评估也有其难以避免的缺点,比如基线水平的高低难以设定,如果过高,可能导致资源浪费和限制过度,如果过低,可能难以达到充分的安全,此外,在管理安全相关的变化方面,基线评估比较困难。
基线评估的目标是建立一套满足信息安全基本目标的最小的对策集合,它可以在全组织范围内实行,如果有特殊需要,应该在此基础上,对特定系统进行更详细的评估。
详细评估 详细风险评估要求对资产进行详细识别和评价,对可能引起风险的威胁和弱点水平进行评估,根据风险评估的结果来识别和选择安全措施。
这种评估途径集中体现了风险管理的思想,即识别资产的风险并将风险降低到可接受的水平,以此证明管理者所采用的安全控制措施是恰当的。
详细评估的优点在于: 1、组织可以通过详细的风险评估而对信息安全风险有一个精确的认识,并且准确定义出组织目前的安全水平和安全需求; 2、详细评估的结果可用来管理安全变化。
当然,详细的风险评估可能是非常耗费资源的过程,包括时间、精力和技术,因此,组织应该仔细设定待评估的信息系统范围,明确商务环境、操作和信息资产的边界。
组合评估 基线风险评估耗费资源少、周期短、操作简单,但不够准确,适合一般环境的评估;详细风险评估准确而细致,但耗费资源较多,适合严格限定边界的较小范围内的评估。
基于次实践当中,组织多是采用二者结合的组合评估方式。
为了决定选择哪种风险评估途径,组织首先对所有的系统进行一次初步的高级风险评估,着眼于信息系统的商务价值和可能面临的风险,识别出组织内具有高风险的或者对其商务运作极为关键的信息资产(或系统),这些资产或系统应该划入详细风险评估的范围,而其他系统则可以通过基线风险评估直接选择安全措施。
这种评估途径将基线和详细风险评估的优势结合起来,既节省了评估所耗费的资源,又能确保获得一个全面系统的评估结果,而且,组织的资源和资金能够应用到最能发挥作用的地方,具有高风险的信息系统能够被预先关注。
当然,组合评估也有缺点:如果初步的高级风险评估不够准确,某些本来需要详细评估的系统也许会被忽略,最终导致结果失准。
新旧COSO报告一个重大改变在于将原内部控制五要素,细化为八要素,你如何理解这一变
“巴林银行灭顶之灾”,“新加坡中航油事件”等等事件发生后,人们开始反思,这些问题公司大多是一些内部控制比较健全的组织,有审计委员会、内审部门等等,为什么还会发生经营损失,报告舞弊呢
问题的本质不在于仅仅控制风险,而是如何管理风险。
内部控制所能够起到的作用只是在目标既定的前提下,通过采取一系列的控制活动来进行风险控制,五要素整合框架存在局限性,对风险强调不够,无法与企业风险管理相结合。
企业要想有效的管理风险,还必须借助于目标设定、风险识别、评估与应对。
因此,在2004年9月,COSO发布了企业风险管理整合框架,提出了4目标和八要素理论。
第一次提出了战略目标的结构,认为目标设定是在战略层次上的,它为其余三目标提供基础。
同时将“控制环境”要素更名为“内部环境”,并将风险评估细化为四个要素。
