文档介绍:风险评估
信息安全风险评估概述
信息安全风险评估策略
信息安全风险评估流程
信息安全风险评估方法
风险评估案例
*
信息安全风险评估概述
*
风险评估概述
信息安全风险评估概述
*
信息安全风险评估概述
*
风险评估概述
A风险因子
B风险因子
隐患:内部失控
事故
外部作用
产生了人们不期望的后果
超出设定安全界限的状态、行为
*
信息安全风险评估概述
*
风险评估概述
系统
减少:人的不安全行为
改变:环境不安全条件
减少:物的不安全状态
消除:管理缺陷
预防减少事故
降低事故损失
安全风险管理目标
*
信息安全风险评估概述
*
风险评估概述
企业风险管理框架
一个基础
三道防线
管理层
CEO
第三道防线
第二道防线
第一道防线
业务部门
董事会
风险管理
内部审计
审计委员会
风险管理
委员会
*
信息安全风险评估概述
*
风险评估概述
一个基础:公司治理结构
建立一个健全的、以董事会为首的公司治理结构
订立企业的目标和战略,包括企业的风险政策和极限
贯彻一套重视风险管理的企业文化和价值观
*
信息安全风险评估概述
*
风险评估概述
第一道防线:业务单位防线
(风险宇宙TM )
资信
制度
知识产权
财务
流动资产与
信贷
资本结构
市场
财务报告
营运
法律
生产程序
营商环境
市场结构
民风与文化
管治
策略
董事会活动
交易
并购
变卖
声誉
道德
社区责任
风险管理
董事会及
管理层业绩
组织结构
监察与沟通
执行
筹划与开发
利益有关方
供应商
政府
顾客
股东
经济情况
国家情况
市场变化
竞争对手
人才资源
雇员
沟通
有形资产
机器、厂房
与土地
其他
有形资产
负债
合约
法规
市场与销售
生产及流通
商品/服务开发
流程
估值与
选择买家
评估与甄选
尽职调查
并购后整合
资信管理
运营
组织与监察
硬件
软件
网络
无形资产
知识管理
信息
现金管理
对冲
融资
股东资本
债务
商品
利率
外汇
税务
会计
合规
*
信息安全风险评估概述
*
风险评估概述
企业建立的第一道防线,就是要各业务单位就其战略性风险、信贷风险、市场风场和操作风险等等,系统化地进行分析、确认、度量、管理和监控
企业需要把评估风险与内控措施的结果进行记录和存档,对内控措施的有效性不断进行测试和更新
第一道防线:总结
管理层
CEO
第三道防线
第二道防线
第一道防线
业务部门
董事会
风险管理
内部审计
审计委员会
风险管理
委员会
*
信息安全风险评估概述
*
风险评估概述
第二道防线:风险管理单位防线
第二道防线是在业务单位之上建立一个更高层次的风险管理功能,它的组成部份可能包括风险管理部门、信贷审批委员会、投资审批委员会
风险管理部的责任是领导和协调公司内各单位在管理风险方面的工作,它的职责包括:
编制规章制度
对各业务单位的风险进行组合管理
度量风险和评估风险的界限
建立风险信息系统和预警系统 、厘定关键风险指标
负责风险信息披露、沟通、协调员工培训和学****的工作
按风险与回报的分析,为各业务单位分配经济资本金
*
信息安全风险评估概述
*
风险评估概述
“内部审计是一项独立、客观的审查和咨询活动,其目的在于增加企业的价值和改进经营。内审通过系统的方法,评价和改进企业的风险管理、控制和治理流程的效益,帮助企业实现其目标。”
美国内部审计师协会
第三道防线:内审单位防线
第三道防线涉及一个独立于业务单位的部门,监控企业内控和其他企业关心的问题
内部审计的定义:
*
信息安全风险评估概述
*