精华内容
下载资源
问答
  • 企业风险不包括
    千次阅读
    2021-02-23 16:22:07

      风险管理又被称作危机管理,它是一个管理过程。它包括了对企业风险的一个确定、评估、度量以及企业在发展过程中应付风险的相关策略。风险管理的目的,顾名思义,主要是要把能够可以避免的风险减至最小,其成本和损失能够最小化。

      一般来说,理想的风险管理是一连串排好优先次序的一个过程,使得能够可以引起最大损失和最有可能发生的事情可以得到优先处理,而那些相对风险较低的事情或者可能发生概率较小的事情则压后处理。但是,这个优化的过程往往在现实情况里难以很好地决定好,因为任何风险以及发生的可能性常常并不是一致的,所以通常需要权衡两者的比重,从而便于作出最合适、最合理的决定。同时,风险管理也要面临一个难题,那就是有效资源的运用,因为这会涉及机会成本(Opportunity Cost)因素。把资源用于风险管理,可能会使能够运用于回报活动的资源减少,而理想的风险管理则正是希望能够花最少的资源而尽可能地去解决、去化解最大的危机。

      风险管理的基本程序包括了风险的识别、风险的估测、风险管理方法和风险管理效果评价等几个环节。

      风险的识别。风险的识别指的是每个经济单位或个人对他们所要面临的以及可能潜在的风险加以判断,然后归类整理,并且对风险的性质进行鉴定的一个过程。

      风险的估测。风险的估测指的是建立在风险识别的基础上,通过对之前所收集的大量详细的损失资料进行分析,并且运用概率论和数理统计等方法,估计和预测出风险发生的概率以及将会达到的损失程度。风险估测的内容主要包括两个方面,一个是损失频率,另一个是损失程度。

      风险管理方法。风险管理方法可以分为两大类,一大类是控制法,它的目的是为了降低损失频率和损失程度,其重点就在于能够改变引起风险事故和扩大损失的各种条件;第二大类是财务法,这类风险管理方法是在事先就做好相关的吸纳风险成本的财务安排。

      企业进行风险控制的意义主要体现在以下几个方面。

      首先,增强抵御风险的能力。科学的风险控制措施,能够提升企业在面临风险时决策的科学性,使企业在面对不可预测的市场风险时能够尽可能地减少损失。

      其次,提升企业的经济利润,确保企业的健康发展。企业进行生产运营的根本目的是实现理想中的利润,但是随着市场竞争的加剧,要实现这一目标所面临的困难也在不断增加。而企业风险控制的实施,有助于企业能够对诸多困难有一定的准备,确保企业的经济利润不会出现剧烈波动。

      最后,保证国民经济的可持续发展。企业是市场的主体,企业的健康发展是整个国民经济可持续发展的前提。风险控制措施的实施,提升了企业的生存能力和管理水平,使整体的国民经济处于平稳的发展态势之中。

    更多相关内容
  • 企业业务逻辑常见风险

    千次阅读 2021-01-12 15:06:07
    开发人员的安全意识薄弱(只关注功能的实现,而忽略了用户使用过程中个人行为对Web应用程序业务逻辑功能的安全影响)和开发代码的频繁迭代导致了这些平台业务逻辑级的无休止的安全风险。业务逻辑漏洞主要是开发人员...

    1、概述

    开发人员的安全意识薄弱(只关注功能的实现,而忽略了用户使用过程中个人行为对Web应用程序业务逻辑功能的安全影响)和开发代码的频繁迭代导致了这些平台业务逻辑级的无休止的安全风险。业务逻辑漏洞主要是开发人员业务流程设计的缺陷,不仅限于网络层、系统层、代码层等,如登录认证绕过、事务数据篡改、恶意接口调用(文件上传调用后台API)等都是业务逻辑漏洞。

    2、测试流程

    • 测试准备
      准备阶段主要包括业务系统的前期熟悉工作。对于白盒测试,可以结合相关的开发文档熟悉相关的系统业务;对于黑盒测试,可以通过实际操作还原业务流程来了解业务。

    • 业务调研
      业务研究主要对业务系统相关人员进行访谈研究,了解业务系统的总体情况,包括部署情况、功能模块、业务流程、数据流、业务逻辑和现有的安全措施等,根据以往的测试实施经验,可以在业务研究之前设计访谈问卷,访谈可以随着对客户业务系统具体情况的深入了解不断调整和更新问卷(这一步骤黑盒测试是可以忽略的)。

    • 业务建模
      针对不同行业、不同平台的业务系统,如电商、银行、金融、证券、保险、游戏、社交、招聘等业务系统,识别出其中的高风险业务场景进行建模。

    • 业务流程梳理
      建模完成后,需要对重要业务场景的各个业务模块的业务流程逐一进行梳理,从前到后、业务和支撑系统四个不同维度进行分析,识别业务逻辑,各业务模块的业务数据流和功能字段。

    3、业务安全风险内容

    业务环节存在的安全风险:
    业务链接存在的安全风险是指业务用户可见的业务中存在的安全风险,如注册、登录、密码检索等认证环节,是否有完善的验证码机制、数据一致性验证机制、会话等以及cookie检查机制,是否能够避免captcha绕过、暴力破解、SQL注入等漏洞。

    支持系统存在安全风险:
    支撑系统存在安全风险,如用户访问控制机制是否完善,是否存在横向越权或纵向越权漏洞等。系统中的加密存储机制是否完善,业务数据是否以明文形式传输。系统使用的业务接口是否可以随意访问/调用,是否可以回放和遍历,接口调用参数是否可以篡改。

    业务之间存在安全风险:
    业务链接之间存在安全风险,例如系统业务流程是否出现故障,导致业务链接可以被绕过或备份,或者业务请求可以无限期重放。业务链路之间传输的数据是否健壮是一致性检查机制,业务数据是否存在被篡改的风险。

    支持系统间的安全风险:
    支持系统间的安全风险,如系统间的数据传输是否加密,系统间传输的参数是否可以被篡改等。系统间输入参数的过滤机制是否完善,是否会导致SQL注入、XSS跨站点脚本和代码执行漏洞。

    业务链路与支持系统之间的安全风险:
    业务链路与支持系统之间的风险,如数据传输是否加密、加密方法是否可以改进、是否采用前端加密、简单MD5编码等不安全的加密方法。多线程并发请求处理机制是否完善,服务器逻辑和数据库读写是否存在导致竞争条件漏洞(QQ刷钻)的时序问题。系统间输入参数的过滤机制是否完善。

    4、报告

    • 开展测试
      对前期业务流程所识别的风险点进行梳理和识别,并进行相应的测试。

    • 撰写报告
      针对企业安全测试过程中发现的风险结果,本文对业务安全测试过程中的风险结果进行了评估和推荐,综合利用了现场的风险程度和风险造成的严重程度,最后完成了测试报告的编写。

    5、逻辑漏洞主要位置

    (1)、业务数据安全

    • 商品支付金额篡改

      在整个业务过程中,电子商务网站需要保护业务数据的完整性和一致性,特别是熟悉如何确保用户客户端和服务之间数据传输的一致性,以及业务系统接口。通常,在订购事务处理过程中,服务器端很容易不对用户提交的业务数据进行强验证,过度依赖客户端提交的业务数据会导致商品数量的篡改漏洞。商品金额篡改测试,通过抓取包修改交易金额等业务流程中的其他字段,如"支付"页面抓取请求中项目的"金额"字段,将其修改为任意金额,并将其提交以查看是否可以使用修改后的金额数据完成业务流程。

      此测试主要针对订单生成过程中由于货物支付金额的不完全验证而引起的业务安全风险点,这通常导致攻击者订购货物的业务逻辑易受攻击,实际支付的金额远远低于订单支付的金额(冰箱为一分钱)。

    • 前端JS限制绕过验证

    许多商品在限制用户购买量时,服务器仅在页面中通过JS脚本限制,没有检查服务器端提交的用户数,通过爬行客户端发送的请求包修改JS端生成的事务数据,如将请求中的项目数更改为大于最大值的限值,以查看业务流程是否能够用异常的业务事务数据完成。

    该测试主要针对电子商务平台交易限制机制不完善所造成的一些业务逻辑问题,如在促销活动中限制商品购买量,但对进货前后的数量不进行严格检查,经常被攻击者使用,足以购买多个促销商品,造成企业损失。

    • 请求重放的测试

    请求重放漏洞是电子商务平台业务逻辑漏洞中由设计缺陷引起的一种常见漏洞,通常情况下,第一次购买商品引起的安全问题表现在,参照正常的订货流程请求,完全模拟正常订购业务流程的重放操作,可以实现"一次购买、多次接收"的结果,这与正常的业务逻辑是背道而驰的。

    该测试主要针对在电子商务平台订购和交换业务过程中,没有有效的机制来判断每个事务请求的唯一性这一业务逻辑问题。通过这个测试,我们可以验证事务过程中的随机数和时间戳等生成机制是否正常。

    • 业务上限测试

    业务上限测试主要针对一些电子商务应用在业务处理过程中,由于没有严格验证用户提交的查询范围、订单数量、金额等数据而导致的一些业务逻辑漏洞。

    通常,在业务流程中,通过向服务器提交高于或低于预期的数据来验证服务器是否对提交的数据执行了预期的强验证。具有此类漏洞的应用程序通常会查询超出预期的信息、订购或交换超出预期的商品等;此测试主要确定应用程序是否对超出预期业务范围的业务请求做出正确响应

    • 订购商品数量被篡改

    商品数量篡改测试是通过抓取包来修改业务流程中的订单数量、商品数量等字段,如将请求中的商品数量修改为非预期数量、负数等提交,以检查业务系统是否可以用修改后的数量完成业务流程。

    本次测试主要针对商品订购过程中异常交易数据处理缺乏风险控制机制,导致相关业务逻辑漏洞。例如,由于对订购数量和价格缺乏判断而导致的意外结果常常被攻击者利用。

    (2)、验证码相关

    1、抓包查看验证在Cookie里是否存在
    2、验证码重用

    (3)、密码找回

    • 验证码客户端回显测试

    在恢复密码测试中,我们应该注意验证代码在同一个示例中是否得到回音,一些网站程序将选择在响应中回显验证代码,以确定用户输入的验证代码是否与响应验证代码一致,如果验证代码是一致的,则将通过验证。

    • 验证码暴力破解

    恢复密码功能模块通常将用户证书(通常是认证码)发送到用户只能看到的手机号码或邮箱,只要用户不泄露自己的身份验证代码,攻击者就不会利用它,但一些应用程序在验证代码发送功能模块中具有弱认证码位和复杂性,验证代码发送功能模块的次数也没有限制,从而导致验证代码可以被暴力破解和修改任何用户名和密码。

    在测试验证代码是否可以通过暴力解密时,您可以首先多次将验证代码发送到您的帐户,以查看验证代码是否正常,例如一次收到的验证代码数很重,4位数。

    • Reponse状态值修改测试

    回复状态值修改测试,即修改请求的响应结果以达到密码重置的目的,带有此漏洞的网站或应用程序由于不合格的验证,经常会导致非常危险的重置密码操作。

    此漏洞的攻击通常发生在服务器发送密码重置凭据请求(如true、1、ok、Success等)之后。网站看到回显内容位的特定值后,密码就会被修改。通常,该漏洞的回波值检查是由真正的客户端执行的,因此只需要修改回波。

    • Session 覆盖
      网站密码恢复功能的业务逻辑是:用户向手机注册,然后服务器向手机发送验证码短信。用户输入验证码并提交后,进入密码重置页面。
      网站Session覆盖测试如下:

    1.需要准备您自己的帐户接受证书(短信验证码);

    2.获取证书验证成功后进入密码重置页面;

    3.在新的浏览器标签中重新打开密码恢复页面,然后输入目标手机号码;

    4.此时,当前密码是重置会话

    帐户已覆盖,再次找到在第二步中打开的重置密码页面以重置目标手机号码。

    • 弱令牌设计缺陷测试

    在密码找回功能中,很多网站将密码恢复页面链接发送到返校用户邮箱。用户只需进入邮箱并打开密码恢复邮箱中的链接即可进入密码重置页面。检索密码的链接通常会添加验证参数以确认链接是否有效。通过验证参数的值是否与数据库生成的值一致,检索密码的链接是有效的。

    • 密码找回过程绕过测试

    很多网站的密码恢复功能一般包括以下步骤。

    1. 用户输入帐号以检索密码;

    2。验证证书:向用户发送短信验证码或链接获取密码,用户填写验证码或点击链接进入密码重置页面,证明当前用户就是自己的账户;

    3。验证后,用户进入密码重置页面。

    在检索密码的逻辑中,第二步是最重要的。不是帐户所有者不能接收验证证书。尝试绕过第二步证书验证,直接进入第三步重置密码

    用户需要向服务器发送密码修改请求,服务器通过请求后修改数据库中相应的密码。因此,在测试中,我们首先需要采集三步请求接口,关键是采集最后一步的接口来重置密码,这样就可以直接跳过证书验证接口,尝试直接重置密码。

    • 接口参数帐户修改

    恢复密码的功能逻辑在用户修改密码接口的提交参数中经常存在传递用户帐户的参数,用户帐户的参数可以作为一个可控变量被篡改,从而导致修改帐户密码证书或修改目标帐户的证书出现偏差,最终导致任何帐户密码修改的漏洞。

    通常在密码逻辑中,服务器将要求用户提供要修改的帐户,然后将帐户发送给帐户的所有者才能看到证书。例如,帐户所有者绑定电子邮件或移动电话号码以发送验证代码,或检索密码链接,以便只有帐户所有者才能看到这些凭据。但是,如果服务器不正确控制帐户逻辑,则会导致原始帐户被篡改,服务器将向被篡改的帐户邮箱或移动电话发送凭据,最终导致可能用于重置任何帐户密码的漏洞。

    接口参数帐户修改过程测试是拦截前端请求。通过修改请求中的帐户ID、名称或邮箱、手机号码和其他参数,将修改后的数据发送给服务器以进行欺骗,以达到重置密码的目的。

    展开全文
  • 一、企业风险管理与内部控制之间的关系  风险管理是指企业在经营过程中,发现与了解企业各个业务层面中所蕴藏的风险,通过风险管理策略,达到企业的预期战略目标的过程。  内部控制是指企业为了保证战略目标的...

      一、企业风险管理与内部控制之间的关系

      风险管理是指企业在经营过程中,发现与了解企业各个业务层面中所蕴藏的风险,通过风险管理策略,达到企业的预期战略目标的过程。

      内部控制是指企业为了保证战略目标的实现,对企业战略制定和经营活动中存在的风险予以管理的相关制度安排。

      风险管理是做正确的事,内控控制即正确的做事,两者之间相互依存的、不可分离。

      二、企业风险管理与内部控制之间存在的问题

      (一)风险管理意识淡薄,风险评估机制有待加强

      企业目前所面临的风险主要包括战略风险、财务风险、法律风险、运营风险、市场风险。每个风险大类下又有很多细分风险。目前,我国金融银行业比较重视风险管理,其他行业企业在这一块有明显的缺失,大部分企业只是每年度通过问卷调查,评出企业年度重大风险。但这种方法较为主观,且对问卷调查内容的质量以及评价方法提出很高的要求。

      (二)风险的有效防范措施力度不够

      风险和目标息息相关,不少企业管理层为了达到绩效考核目标,获得更高的经济效益,冒着风险进行违规运营,结果让股东承担债务违约、企业破产的风险,损害了企业和股东的利益。从内部控制的层面来讲,企业在辨认和分析过风险之后,理应通过一些积极又有创新意义的管理风险的措施,将风险降低在企业可承受范围内。

      (三)内部控制制度未有效实施

      我国很多企业为了满足资本市场监管要求,制定了较为全面的内部控制制度,但实际操作时却未按照内部控制制度执行。主要有以下两方面原因:一是制度的制定流于形式,新制定的制度未进行宣贯和培训;二是制定的制度不符合企业实际流程,随着企业管理举措和组织架构的变动,未对制度进行优化和修订,致使该制度不适用于企业。

      三、加强企业风险管理与内部控制的应对措施

      (一)加强风险评估机制,加强风险管控

      企业如果通过风险评估问卷进行重大风险评估,应每年定期更新风险清单。风险评估的方法应选择两轮风险调查问卷。第一轮问卷直接使用更新的风险清单,由各个部门和业务单元直管经理人进行填写,按照权重统计出排名靠前的风险。然后根据第一轮的结果、当年的监管关注点和环境变化编写公司领导问卷,从而评出公司年度重大风险。采用两轮风险调查问卷的方法,会使评估出的风险更具有针对性。

      (二)强化风险防范意识,提升风险管理能力

      企业应提高各业务部门的风险防范意识,提升业务部门自身的风险管理能力。风险管理部门应严格要求业务部门根据具体的制度执行各项流程,组织、协调、支持、配合业务部门在达到业务目标的路上管控好风险。对于重要业务流程和关键控制点的内控体系管控措施应尽可能嵌入业务信息系统,减少人为操作的主观性。

      (三)建立健全内控工作体系

      企业内控体系建设应明确企业风险管理三道防线的职能部门责任范围。第一道防线,如销售、采购部门等核心业务部门,作为业务的具体执行部门,应作为风险管理的第一责任机构;第二道防线,如风控、内控、合规等部门,协助一线核心业务部门进行风险管控;第三道防线,如审计、纪检和监察等部门,应对内部控制建立与实施情况进行监督检查,评价内部控制的有效性的持续过程。

      (四)完善内控制度建设

      企业应全面梳理查找公司管控制度和流程缺陷,对缺乏内控要求和风险应对措施,不符合不相容职务分离控制、授权审批控制等相关要求,对专项风险、内控体系监督评价、责任追究制度规定不健全等情形,应对相关制度进行修订增补。

      (五)设立内部控制的考核和执行监督机制

      建立健全内控制度后,最重要的问题还是执行。企业应设立对应的考核机制以及激励机制,直接影响到执行人员的绩效考核,从而提高风险防范意识能力。

      另外,公司审计、纪检、巡查等部门应根据企业经营情况和上级企业的要求对重大风险开展日常监督、专项监督,对发现的问题进行统计汇总,明确整改责任人和计划整改完成时间,并及时跟踪整改进度、定期报告整改状况,形成整改闭环机制。

    展开全文
  • 近期,COSO发布了新版(2017版)的企业风险管理框架:《企业风险管理—与战略和业绩的整合》。相较于2004年发布的上一版框架《企业风险管理—整合框架》,新框架强调了制定战略和提升绩效过程中的风险。 该版本...

    近期,COSO发布了新版(2017版)的企业风险管理框架:《企业风险管理—与战略和业绩的整合》。相较于2004年发布的上一版框架《企业风险管理—整合框架》,新框架强调了制定战略和提升绩效过程中的风险。

    该版本框架主要分为两个部分:

    第一部分提供了对当前和不断发展的企业风险管理概念和应用的看法。

    第二部分为框架内容,由五种易于理解的部分构成,这五部分容纳了不同的观点和执行结构,并加强了战略和决策的制定。

    2017版的框架在哪些方面做了更新呢?我们为大家做了简单的翻译整理

    COSO的新框架基于以下这样一个基本假设:即每个企业存在的目的均旨在为利益相关方提供价值,但在价值追求过程中会面临不确定性。“不确定性”一词被定义为未知的事项,而“风险”则定义为,该等不确定性对制定和执行业务战略以及实现业务目标造成的影响。因此,新的框架认为:

    管理层面临的一大挑战是确定企业准备接受和能够接受多少不确定性,亦即多少风险。有效的“企业风险管理”能够使管理层在权衡风险和机遇的同时,提升企业创造、保护和最终实现价值的能力。

    对风险与价值之间关系的着意强调亦体现于COSO对企业风险管理定义的简化和关注点的重新界定:

    企业赖以管理价值创造、保护和实现风险、且与战略制定及执行有机结合的文化、能力及实践。

    新框架的标题便暗示了风险与战略以及企业绩效之间日益重要的连结关系。COSO表示新框架:

    更深入地探讨了战略以及企业风险管理在战略制定和执行中的角色;

    优化了企业绩效与企业风险管理之间的协调关系;

    涵盖了治理和监督预期;

    提及了市场和运营的持续全球化趋势,以及在不同地域采取通用(尽管亦有量体裁衣之考量)做法的必要性;

    提供了将风险置于更复杂商业环境下进行考量的新方法;

    将提升利益相关方透明度的预期纳入风险报告范围;

    涵盖了对决策起支持作用的科学技术进步及数据分析手段。

    COSO在更新过后的框架里介绍了五大要素,并且如2013年更新内部控制框架时为每个要素罗列了相关原则。我们将在下文讨论各大要素及其原则。

    风险治理和文化的重要性

    新框架的第一大要素为企业风险管理其他四大要素提供了基础。风险治理确定企业的基调,强化并确立企业风险管理的监督职责。文化则事关道德价值、具责任感的企业行为、对业务环境的了解,并且体现于决策过程中。风险治理和风险文化是确保企业风险管理行之有效的强大基石。该基本要素涉及六个原则。

    1.履行董事会风险监督职能

    风险治理和文化始自企业最高层,即董事会的影响和监督。董事会必须担负起风险监督的职责,并具备提供有关监督所必需的技能、经验和业务知识。当董事会大多由独立人员组成时,便可对执行管理层和整个企业起到有效的监督和制衡作用。

    2.建立治理和运营模式

    一个企业的战略执行,体现于管理层为实现企业目标而对日常经营活动的组织和执行中。由于运营模式一般包含法务和管理架构以及相应的报告路径,因此如何管理和治理该模式可能会触及一些新的和不同的风险或复杂情况,进而影响到企业执行战略、管理风险及实现目标。

    3.定义理想的企业行为

    COSO对理想企业行为的界定乃基于企业的核心风险价值观及态度。不论企业认为自己是风险厌恶型、风险中立型或风险激进型,COSO都建议它们培养一种风险意识文化。这种文化的特点包括:英明果断的领导力、当仁不让的管理风格、对行动和行动结果认真负责的态度、决策过程中对风险的明确考量,以及积极开放的风险对话。这些特征确保风险可以被纳入日常业务。

    4.恪守诚信和职业道德

    值得注意的是,COSO关注的是贯彻于整个企业的基调。虽然高层基调由管理层和董事会的运营风格及个人行为所决定,但他们的基调必须渗透至企业各个层面。这意味着中层基调必须与高层保持一致,唯有如此,基层基调才能够反应理想的核心价值及风险态度。

    横跨整个企业的基调应是无界的,也就是说,企业人员及其业务合作伙伴都必须积极响应管理层和董事会设定的预期。因此,必须建立和评价有关行为准则,任何偏离这些准则的行为都必须予以及时处理。对于如何建立恰当的基调,坦诚地沟通有关风险及风险承担情况是至关重要的。

    5.实施问责

    企业各级人员都必须对企业风险管理负责。企业自身首先必须担负起提供适当的企业风险管理准则和指引的重任。这种问责制应始于董事会和CEO,并通过适当的绩效预期、激励和奖励机制从上到下渗透至整个企业。董事会和CEO必须时刻保持警惕,确保企业内部的压力不会造成不负责任的和/或违法行为。

    针对这一点,COSO表示可能导致发生上述行为的过大压力往往来自:不切实际的绩效目标、不同利益相关方相互冲突的业务目标,以及短期财务绩效奖励与长期利益相关方预期(例如企业的可持续性目标)脱节。COSO还称,这种压力既可能来自企业内部(例如企业不合时宜的绩效奖励或战略变更),也可能来自企业外部(例如影响销售业绩的客户需求发生了变化或一项颠覆性的改变影响了企业的运营模式)。

    6.吸引、发展和留任优秀人才

    最后,风险治理和文化还要认识到根据企业目标积累人力资本和人才的重要性。管理层必须界定执行战略所必需的知识、技能和经验;制定适当的绩效预期;吸引、发展和留任合适的人员及战略合作伙伴;以及安排好继任计划。

    从多方位关注战略制定

    许多企业将关注点放在识别战略执行风险上。然而,在企业风险管理的第二大要素中,COSO表示“战略执行风险”并不是战略制定过程中需要考虑的唯一风险维度,还有另外两个维度要考虑,因为它们可能会对企业风险特征产生重大影响。第二个维度是“战略可能会不符合”企业的使命、愿景和核心价值,而后者体现的正是企业想要实现的目标及意图采取的开展模式。一个错位的战略将增加企业无法实现使命的风险,即使有关战略获得成功实施。

    需要考虑的第三个维度是“所选战略的影响”。COSO这样表述道↓

    管理层在制定战略以及与董事会讨论其他可能的选择时,他们会就战略中所固有的利弊做出权衡。每个可能的战略都有其自身的风险特征——这就是战略的影响。董事会和管理层需要考虑有关战略是否与企业的风险偏好一致,以及它会如何推动企业制定目标,并最终对资源做出有效分配。

    总之,通过明确战略制定流程需考虑的所有三个维度,COSO新框架将有关战略的讨论及企业风险管理与战略的结合提升至一个新层次。企业风险管理的风险战略及目标制定要素涉及五大原则。

    7.考虑风险和业务环境

    新框架透过内外部环境来审视业务环境。它也考虑内外部利益相关方的角色,因为他们可能会给内外部环境带来重大改变。重要的是管理层必须考虑业务环境变化所产生的风险,并在执行战略和实现业务目标的过程中予以灵活应对。

    8.定义风险偏好

    企业依据价值的创造、保护和实现来界定风险偏好。制定战略要考虑风险偏好声明,管理层要做好有关沟通,董事会需全力支持,并且要整合至整个企业。风险偏好受到企业使命、愿景和核心价值观的影响,此外亦需考虑企业的风险特征、风险容量、风险能力和成熟度、文化,以及业务环境。

    9.评估替代战略

    替代战略乃基于不同的假设,而这些假设可能对不同的变化非常敏感。企业在对各种战略选项进行评估后制定出可用以提升企业价值的战略,同时亦考虑所选战略或会带来的风险。但关键因素的变化可能会令制定战略时所采用的假设失效,因此,董事会和执行管理层在批准一项战略之前应当首先了解这些敏感因素,即有关战略的影响。如果战略获得通过,那么可能会导致关键假设失效的环境因素也必须得到识别和长期监控。

    10.制定业务目标时考虑风险

    管理层在企业的各个层面制定与战略相符并为战略提供支持的业务目标。这些目标应当考虑并与企业的风险偏好保持一致。事实上,一个企业的业务目标应当由上至下贯穿到不同的分支机构、运营单位及职能单位。

    11.界定可接受的绩效偏差

    COSO将“可接受的绩效偏差”(有时称作风险容忍度)定义为:与实现某项特定业务目标相关的可接受的结果范围。尽管风险偏好是广义的,可接受的绩效偏差却是战术和运营层面的。可接受的绩效偏差把风险偏好与特定的业务目标绑定在一起,并且可以提供用来识别影响这些目标实现风险的度量指标。业务目标的风险度量方法通常是一样的,不论目标是否有关满足客户需求、成本绩效、交货时间、流程和产品创新,抑或员工表现。在可接受的绩效偏差范围内运营,可以让管理层更加确信企业并未超出其风险偏好。从而,亦可令管理层放心企业将以一种符合其使命、愿景及核心价值的方式实现其业务目标。

    牢牢把握风险

    企业需要识别和评估可能会影响战略和业务目标实现的风险。必须根据严重程度和风险偏好来确定那些“执行中的风险”的优先级。然后企业会选择风险应对方案,并对其所承担的风险数量采取一种风险组合观点。企业风险管理的第三大要素由六个原则提供支撑。

    12.识别执行中的风险

    企业识别新风险和新兴风险,以及与战略执行和实现业务目标有关的已知风险所发生的变化。风险识别流程应当考虑源于业务环境变化的风险,以及已经存在但尚不可知的风险。

    13.评估风险的严重程度

    COSO建议可以根据所预期的风险严重程度采用定性和定量的评估方法。

    当风险不适合量化或大量的数据收集工作不切实际或不够经济有效时,可以使用定性的评估方法。如COSO所称,管理层可以利用情景分析来评估可能会产生极端影响的风险,或者采用模拟法来评估多个事件的影响。相反,高频率低影响的风险更适合利用数据分析或内部信息,以及小组讨论和会谈等方式来确定风险的严重程度。对于更容易量化,或者对细节或精确度有特别要求的情况,则可以选择可能性建模法。

    14.划分风险的优先级

    采用恰当的标准来划分风险优先级是企业筛选风险应对方案的基础。风险标准可以包括适应性、复杂性、速度、持久性和恢复程度。此外,对于接近企业既定业务目标可接受绩效偏差或风险偏好边缘的风险,一般会给予较高优先级。

    15.识别并筛选风险应对方案

    对于已识别风险,管理层会选择和部署合适的风险应对方案。风险应对方案可以包括:接受风险、规避风险、利用风险、降低风险以及共担风险。在选择应对方案时,管理层会考虑诸如业务环境、成本和效益、责任和预期、风险的优先级和严重程度,以及企业的风险偏好等因素。

    16.评估执行中的风险

    一旦选定风险应对方案并付诸实施,就必须进行评估,以确定方案是否按计划发挥作用。评估风险应对措施的任务一般由负责对已识别风险进行有效管理的人员,以及提供保证服务的人员来担任,后者亦同时负责了解企业的绩效及风险应对有效性。在履行其治理和监督职责时,管理层和董事会必须及时获悉就企业关键风险所开展的风险应对措施评估结果。

    17.建立风险组合观

    企业风险管理需要企业从整体或组合的角度来考虑风险。COSO表示“组合观”即指对企业所面临相关业务目标风险的一种综合观点。这种角度使管理层和董事会得以考虑风险的性质、可能性、相对大小、彼此相互依存的关系,以及它们会如何影响绩效。通过组合观,企业可以识别出重大的风险,并确定其剩余风险特征是否与企业的总体风险偏好一致。

    实现风险信息和报告的价值最大化

    第四大企业风险管理要素揭示了从内外部渠道持续获取和分享相关信息的重要性,用于决策的信息必须能够在整个企业得到全方位的沟通和传达。该流程可以为关键利益相关方提供必要的信息和洞见。该要素由四个原则提供支持。

    18.使用相关信息

    COSO将“相关信息”定义为有助于做出知情决策的信息。有关信息越有助于提高决策的灵活性、积极主动性以及就绪程度,它的相关度就越高,而企业成功实施战略、实现业务目标和建立可持续竞争优势的可能性也就越高。

    19.充分利用信息系统

    由人员、数据和技术组成的信息系统能够为企业提供支持企业风险管理所需要的数据和信息。COSO表示并不存在放诸四海皆准的系统,然而,如何选择支撑企业信息系统的技术和/或工具,却对执行战略和实现业务目标至关重要。影响技术选择和实施的因素包括:企业目标、市场需求、竞争要求,以及相关成本与效益。

    20.沟通风险信息

    企业应实施多层次、跨企业的风险报告机制,可以通过不同的渠道向内外部利益相关方沟通风险数据和信息。这些渠道使管理层在董事会的监督下能够做出更加知情的决策,从而推动战略的实施和既定业务目标的实现。

    21.汇报风险、文化和绩效

    风险汇报所涵盖的信息不仅可以支持或改善决策流程,亦可以促使董事会及其他管理人员履行其风险监督职责。有关风险、文化和绩效的报告类型林林总总。这些包含定量和定性风险信息的报告视乎企业的规模、范围、级别和复杂程度均有不同的呈现形式,既可以简单明了也可以颇为复杂。

    风险信息可以专注于企业的某个特定领域或分部,抑或某一类风险或风险组别。风险报告也可以根据需要为企业的不同层级编制,以为企业决策流程提供支持。不过,管理层在使用报告数据和信息以及进行关键决策时依然要运用自身的专业判断。

    监控重要事项

    第五个也是最后一个要素关注的是企业应如何对风险管理绩效,以及企业风险管理职能各大要素的长期有效性进行监控,尤其是在发生重大变更的情况下。有效的监控流程使企业领导得以深入了解风险和绩效之间的关系,以及战略风险会如何影响绩效,并且识别与实现战略有关的新兴风险。该要素由两大原则提供支持。

    22.监控重大变化

    如果不及时考虑有关变化,可能会造成与竞争对手的绩效鸿沟,或令有关战略的关键假设失效。对重大变化的监控应当纳入日常业务运营流程,并实时执行。

    23.监控企业风险管理

    与其他任何流程一样,企业风险管理也需要不断予以优化。即使是实施了成熟的企业风险管理流程的企业亦可以通过持续优化来获得事半功倍的价值贡献。在企业风险管理整合至整个企业后,嵌入的持续评估便可以自动识别改进机会。单独的评估活动(例如由内部审计开展的)亦可提供机会优化企业风险管理流程。

    对董事会和管理层的影响和启示

    COSO的新企业风险管理框架为企业领导提供了可认真思考的大量信息和资料。框架所代表的基于风险的方法也表明并不存在放诸四海皆准的实施方案。每个企业都不尽相同,不论是所处行业、战略、架构、文化、商业模式还是资金基础。从实战的角度而言,企业可以采取一种最符合自身情况和环境的方式来实施该框架。我们认为,企业领导可以尝试使用新框架来评估其风险管理方法,因为这在强化其风险管理能力的同时能够让他们更加自信地面对未来。有些问题可能仍富有争议,例如风险与战略制定的有机结合等。但是,如若忽略有关问题,对于在当今不可预知的世界挣扎求存的企业来说,代价可能是高昂的,甚至是致命的。

    总结

    COSO在更新其企业风险管理框架时重申企业需要更好地适应变化,而管理层需要就如何管理日益动荡、复杂和不确定的市场做出更多的思考。COSO的新版框架旨在满足董事会及执行管理层的需求,即采取一种基于风险的方法来整合风险以及战略和绩效。

    本文来源于风控在线微信公众号(ID:fengkongzaixian),作者锐思咨询研发部、浦翰咨询。

    展开全文
  • 2016年6月,美国反欺诈财务报告委员会(The Committee of Sponsoring Organizations of the Treadway Commission, COSO)发布了新版企业风险管理框架“企业风险管理-服务于企业战略和绩效的实现” (Enterprise Risk...
  • 如果说 《网络安全法》 是对企业端单方面的数据的存取进行监管, 那么 《个人信息保护法》 就是加强对数据定级和授权的监管, 而且形态不再是企业一方行为, 而是企业和个人的双方行为. GRC的实施将是对现有数据形态的...
  • 10.第十一章.风险管理

    万次阅读 2022-02-02 13:45:25
    文章目录11.1项目风险管理概述11.2规划风险管理11.3识别风险11.4实施定性风险分析11.5实施定量风险分析11.6规划风险应对11.7控制风险11.8风险管理示例 11.1项目风险管理概述 1、风险的含义可以从多种角度来考察: 第...
  • 网络信息安全之安全风险管理

    千次阅读 2022-04-19 14:23:37
    资产与风险是对矛盾共同体,资产价值越高,面临的风险就越大。而对于目前的组织机构而言,由于组织的业务运营越来越依赖于信息资产,信息安全相关风险在组织整体风险中所占的比例也越来越高。信息安全风险管理的目的...
  • 随着时代变化,大数据正在潜移默化地影响着每个人生活,同时也有助于提升企业税收部门信息采集能力。基于数据实效性考虑,其能够及时掌握涉税信息,以一...信息化时代,大数据分析和税收风险管理都是可缺少的...
  • 大数据风控---风险量化和风险定价

    万次阅读 多人点赞 2019-08-28 14:19:18
    在经营风险的过程中,风险定价是核心,指对风险资产价格的确定,它所反映的是资本资产所带来的未来收益与风险的一种关系,将风险偏好不同的资金供给方和资金需求方匹配起来,一般来说,两者成正向关系,风险越大,...
  • PMP第十一章:项目风险管理

    千次阅读 2021-05-11 22:19:45
    PMP第十一章:项目风险管理 目风险管理 一、项目风险管理核心概念 项目风险确定的事件或条件,一旦发生,...整体项目风险大于项目中单个风险之和,整体风险源于包括单个风险在内的所有确定性。 三种性质的项目
  • 企业安全风险的来源有哪些?

    千次阅读 2015-01-16 15:50:37
    企业安全风险是对达到技术性能成本,和精度方面的目的,和目标的确定性的一种度量,企业安全风险等级使用安全事件和安全事件出现的频率来分类的,企业风险包括以下几个方面: 技术方面 可行性可操作性,...
  • 教育 -公司战略与风险管理案例-章节资料考试资料-上海立信会计...1、【单选题】公司战略的现代概念不包括( )。 A、应变性 B、竞争性 C、全局性 D、风险性 参考资料【 】 2、【单选题】戴富特在1992年对企业为了适应环
  • PMP 考点 第十一章 项目风险管理

    千次阅读 2020-12-04 09:19:41
    PMP第十一章项目风险管理 章节 序号 知识点 考点级别 备注  第十一章 项目风险管理         11.1 风险...
  • 有这样两个客观事实推动了本文的撰写:传统信贷服务依赖人工、基于流程的风险管理特点,决定了金融机构的放贷门槛高、审批手续烦琐,导致倾向于向资金需求量较大的大型企业和高净值个人放贷,而将大量具有小微信贷...
  • 对公知识图谱-风险事件图谱

    千次阅读 2022-04-19 13:41:50
    对公-风险事件图谱 1业务描述 1)记录并汇总公司客户的风险事件 2)借助图谱进行风险溯源归因 3)支持风险报告输出 2业务规则 1)实体 ①客户:企业、法人、股东; ②事件:司法税务、信贷结算、财务和舆情等; 2)...
  • 笔者曾经参加ISG 比赛时有位导师的经典语录:信息安全管的是什么? 其实质管理的就是输入和... (如果你已经踏上管理岗位,其实会发现这句话在企业管理中也是适用的) 所以管住你的输入和输出,就能管住你的信息安全。
  • 风险分类

    千次阅读 2020-12-20 14:24:03
    风险分类控内风险•技术风险•经营风险•管理风险控外风险•资源风险•经济财务风险•政治社会风险•环境风险技术风险•技术风险的种类很多,其主要类型是技术不足风险、技术开发风险、技术保护风险、技术使用风险、...
  • 信息安全风险评估

    千次阅读 2021-03-08 10:19:17
    信息安全风险评估风险评估流程一.评估准备1.1确定评估目标1.2确定评估范围1.3组建评估团队1.4评估工作启动会议1.5系统调研1.6确定评估依据1.7确定评估工具1.8制定评估方案二.风险要素识别2.1实施流程2.2资产识别...
  • 项目管理第十一章项目风险管理

    千次阅读 2020-09-21 12:08:51
    项目管理第十一章项目风险管理 项目风险管理:项目风险管理的目的在于提高正面风险的概率和影响,降低...实施定量风险分析:就已识别的单个项目风险和其他确定性的来源对整体项目目标的综合影响进行定量分析的过程。
  • 数据库被删事件将数据库安全推上风口浪尖随着大数据时代的到来,数据使用、存储、交换的规模呈指数级增长,数据安全风险也同比放大。与此同时,数据库安全问题日益突出:2018年9月,顺丰运维工程师误删生产数据库,...
  • 因此如何从企业经营过程产生的大量财务数据中挖掘出对企业财务风险有预警作用的信息成为我国上市公司迫切需要解决的问题。而数据挖掘技术的不断成熟正好解决了这一问题。数据挖掘具有通过对大量历史数据分析,挖掘出...
  • 互联网企业该如何进行风险管理

    千次阅读 2018-08-03 14:35:15
    谈到风险管理,首先我们应该了解如何评估威胁。 威胁可以根据攻击的类型和目标来分类。STRIDE是微软开发出来对计算机安全威胁进行分类的威胁建模系统。 STRIDE代表: 假冒 篡改 抵赖 信息披露 拒绝服务 ...
  • 企业级架构的价值体现在哪里?

    千次阅读 2017-06-27 13:50:19
    企业级架构 (Enterprise architecture,EA) 是对包括业务和技术在内的组织结构管理的实践。这是一个远远超出大多数企业级架构团队预算、能力和影响力的巨大任务。因此,EA 团队通常开发一个价值主张,但这只是企业...
  • 信贷风险指标

    千次阅读 2019-05-15 20:40:17
    2.本金余额:截止统计时点,所有未收回的本金金额,包括逾期未还本金与未到还款期限的待还本金。 3.不良贷款:1998年5月,中国人民银行参照国际惯例,结合中国国情,制定了《贷款分类指导原则》(试行),要求商业银行...
  • 工作危害分析法(JHA)工作危害分析法是一种定性的风险分析辨识方法,它是基于作e69da5e6ba9062616964757a686964616f31333365646263业活动的一种风险辨识技术,用来进行人的安全行为、物的安全状态、环境的安全...
  • 风险管理在整个企业的经营管理过程中,可以说是重中之重。它包含在企业整个生产经营过程中,所以对于风险管理工作一定要重视。风险管理分为哪几类?  风险管理可分为控制型和财务型两...控制型风险管理技术主要包括
  • 但是美国的征信环境比中国简单,很多信息可以拿得到,美国已经是一个成熟的信用社会,复杂的欺诈场景和复杂的信用风险场景多。很多风控模型到了中国之后并适合,因此很多中国领先的互联网金融公司并没有采用美国...
  • 企业采购过程中可能出现的风险相对较多,比如暗箱操作、弄虚作假、以次充好、收受回扣等等腐败现象,同时也容易出现积压浪费,更有甚者还可能出现包括质量问题、交付及时、增加成本、上当受骗等情况。因此,采购...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 195,555
精华内容 78,222
关键字:

企业风险不包括