天珣实用工具手册用户手册
(V6.6.9.2)
启明星辰
Beijing Venustech Cybervision Co., Ltd.
2011年1月
版权声明
北京启明星辰信息安全技术有限公司版权所有,并保留对本手册及本声明的最终解释
权和修改权。
本手册中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特
别注明外,其著作权或其他相关权利均属于北京启明星辰信息安全技术有限公司。未经
北京启明星辰信息安全技术有限公司书面同意,任何人不得以任何方式或形式对本手册
内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分
用于商业用途。本文档中的信息归北京启明星辰信息安全技术有限公司所有并受著作权
法保护。
“天珣”为北京启明星辰信息安全技术有限公司的注册商标,不得仿冒。
信息更新
本文档及其相关计算机软件程序(以下文中称为“文档”)仅用于为最终用户提供信息,
并且随时可由北京启明星辰信息安全技术有限公司(下称“启明星辰”)更改或撤回。
免责声明
本手册依据现有信息制作,其内容如有更改,恕不另行通知。
北京启明星辰信息安全技术有限公司可能已经拥有或正在申请与本文档主题相关的各
项专利。提供本文档并不表示授权您使用这些专利。您可将许可权查询资料用书面方式
寄往北京启明星辰信息安全技术有限公司。
北京启明星辰信息安全技术有限公司在编写该手册的时候已尽最大努力保证其内容准
确可靠,但北京启明星辰信息安全技术有限公司不对本手册中的遗漏、不准确、或错误
导致的损失和损害承担责任。
出版时间
2011年1月10日
1.天珣实用工具说明 (4)
2.天珣客户端诊断工具 (4)
3.天珣服务器诊断工具 (5)
4.客户端卸载工具 (6)
5.Winmd5Hash.exe (7)
6.离线同步工具 (9)
1.天珣实用工具说明
天珣自带有部分供服务器和客户端使用的工具,包括服务器诊断工具、客户端诊断工具等,这些工具放在安装光盘的tools目录中:
2.天珣客户端诊断工具
天珣客户端诊断工具是当客户端发生异常,例如线程、句柄数过多,CPU、内存占用率过高,CC无法停止服务等,收集客户端软硬件信息以及dmp文件以便分析的一个实用诊断工具。
在客户端发生异常而无法定位时,管理员将天珣客户端诊断工具拷贝到客户端任何一个目录里,运行:
运行后显示“正在收集信息中,请稍候。。”此时工具将收集必要的信息,完成后将自动打开已收集信息的文件目录:
默认文件保存在客户端安装目录的collector目录下,只有在运行过客户端诊断工具之后才会自动产生此目录。
将此诊断文件进行分析,可以深层次的分析出客户端目前的运行状态,从而有针对性的发现问题和解决问题。
3.天珣服务器诊断工具
天珣服务器诊断工具与客户端诊断工具类似,在服务器出现异常时,可以用此工具收集一些必要的信息和dmp文件:
运行完成后在服务器安装目录的collector目录下生成诊断文件,并由这个诊断文件来分析服务器出现的问题。
4.客户端卸载工具
虽然天珣提供自动卸载客户端的策略配置,但是有时由于某些未知原因,天珣客户端无法卸载或者卸载不完全,此时可以使用此客户端卸载工具将客户端完全卸载掉。
在客户端上运行此卸载工具:
点击“是”进行卸载,完成后提示:
点击“确定”后将会显示卸载过程和删除与未删除的文件信息:
系统重启后客户端就已完全卸载。
5.W inmd5Hash.exe
此工具是用来对某些进程或文件生成md5码的,在配置进程红名单时,可能担心客户端通过修改文件名等方式伪造红名单进程,那么可以通过对此进程或软件进行md5码校验来避免。
此工具就是用来从外部生成md5码的,双击打开工具:
选择“文件”、“字符串”或“目录”,以“文件”为例,点击浏览选择想要生成md5码的文件或进程名:
点击计算即可生成md5码值,再点击“复制md5结果”,将其复制到剪贴板,然后在配置策略时将此md5码粘贴过去即可。
经过md5码校验的红名单进程或软件,如果客户端伪造一个同名称的进程,将会被检测到与md5码不匹配导致客户端不符合安全基线要求。
6.离线同步工具
在一些军工或政府部门,一般内网中是不允许上互联网的,但是用户可能又需要使用在线补丁和更新病毒码的功能。由于无法上网中心服务器无法连接到互联网上的外网服务器,那么只有通过离线同步工具来间接导入外网服务器上的补丁和病毒码。
“离线同步工具”位于tools文件夹中。当中心服务器不能连接外网时,就可以使用“离线同步工具”去同步外网上的补丁。天珣6692版本的“离线同步工具”不同于以往版本,它是一个独立的工具。只要计算机能连接外网并且安装了.net framework,就能使用该工具去同步外网的补丁。
“离线同步工具”需要有一个有效的license授权才能去同步外网上的补丁,将离线同步工具和有效的license一起拷贝到能连接外网的计算机上,便可下载外网上的补丁,并且会在离线同步工具目录下生成一个名为OfflineHotfix的文件夹,所有从外网下载回来的补丁都放在该文件夹下。当同步完外网补丁之后,将离线同步工具文件夹整个的拷贝到装有中心服务器的计算机上,“补丁导入本地”便可将OfflineHotfix文件夹里面的补丁文件全部导入到中心服务器Venustech\Endpoint Security\ESServer\Download\AutoUpdate目录下。
注意1:运行离线同步工具的计算机必须安装.net framework。
注意2:有效license授权是指没有过期的并且是天珣研发中心正式授予的license,不受IP 地址绑定的限制
注意3:离线同步工具不支持断点续传,即如果在同步外网补丁中途断网的话,只能重新运行该工具。
注意4:离线同步工具只能将补丁导入中心服务器,不能导入到本地服务器,本地服务器上的补丁必须从中心服务器上同步。
注意5:离线同步工具同步外网服务器上的补丁文件时,该工具所在的目录盘的可用空间必须大于2G
离线同步工具使用流程是这样的:
首先将离线同步工具拷贝到一台可以上互联网的普通PC上,通过这台能上互联网的PC 将外网服务器的补丁和病毒码同步下来,然后再将这些补丁、病毒码和一些相关配置文件拷贝到内网的中心服务器上进行导入即可。
离线同步工具导入外网补丁
将license放在离线同步工具目录下,并拷贝到可上互联网的机器上,点击运行offlineDSrv,并点击“外网补丁下载”:
当目录中没有license文件或license文件有问题时,将会显示加载license失败!
在同步过程中,我们可以看到在离线同步工具的目录下会自动生成OfflineHotfix目录,在此目录下自动同步外网服务器上的补丁:
同步完成后,将离线同步工具目录拷贝到内网中心服务器任何目录下,并运行,点击“补丁导入到本地”:
发布成功后,打开中心服务器安装目录的download\AutoUpdate目录,可以看到已经将补丁同步过来:
然后打开服务器web管理界面,在在线补丁源页面中可以看到已经同步的补丁列表,
在补丁分发中可以将其分发到客户端:
离线同步工具导入外网病毒码
将license放在离线同步工具目录下,并拷贝到可上互联网的机器上,点击运行offlineDSrv,并点击“外网病毒码版本下载”:
同步完成后,将离线同步工具目录拷贝到内网中心服务器任何目录下,并运行,点击“补病毒码版本导入到本地”:
发布成功后,打开web8833页面上的安全基线—》防病毒软件策略,然选一个防病毒软件,进入该策略的编辑页面,点击“选择病毒码版本”
此时会弹出一个提窗口,如果在外网服务器上该防病毒软件有新增的病毒码版本,同步完成后该窗口就会出现相应的新的病毒码:
离线同步工具相关异常页面:
(1)当运行离线补丁工具的计算机没有安装.net .framework时,提示如下:
(2)当离线补丁工具目录中没有放入license授权,运行该工具,提示如下:
(3)当离线补丁工具运行的计算机没有同外网连接时,提示如下:
(4)在下载外网补丁的过程中,网络中断,提示如下:
(5)补丁导入本地时,如果导入的计算机没有安装中心服务器时,提示如下:
一、选题的理论意义与实际意义 (一)理论意义 通过对于本文的研究,从而成功完成审计的过程,丰富了会计师事务所在审计企业时,通过识别、评估审计风险,有针对性的设计、实施控制测试或实质性程序进行风险点防范的实务指导方面的研究。 (二)实际意义 注册会计师在审计企业时,可供参考的权威资料并不多,财政部2007年颁布的1633号审计准则的修订版是其中之一。这一审计准则主要论述了电子商务对财务报表的影响,但其仅提示注册会计师在审计过程中,面对被审计单位时候,应考虑该业务对被审计单位财务报表产生的影响。而对于具体的审计细则和审计体系并没有做出说明。因此,财政部颁布的1633号审计准则仅能为注册会计师提供方向性的指导,但具体到实务工作中的应用指导,该准则的作用就极其有限了。通过对于本文的研究能够有效的降低会计风险发生的概率,具有一旦的现实意义。 二、论文综述 国内外有关的学者对于审计风险的避免与控制进行了相关的研究,并且取得了一定的研究的结果,具体的研究的结果如下所示: (一)国内研究现状 韩玲玉(2018)研究了B2B模式的电子商务企业发现,注册会计师在对B2B模式的电子商务企业审计过程中,其审计环境、范围及内容都发生了极大的变化,必须不断更新审计方法与审计程序以应对审计风险。针对电子商务企业的特点,发掘新而有效的审计技术,如使用数据处理技术等,能有效降低审计风险 冷晓(2018)对网络信息技术与电子商务企业审计职业判断的关系进行研究,建立两者之间的模型,并选取中间变量展开调查,研究注册会计师信息技术及系统管理的专业知识的掌握程度对其审计电子商务企业时的职业判断产生的影响程度。研究认为,注册会计师应全面掌握审计会计方面的专业知识以及计算机网络、数据库方面的相关知识。 陈婧(2018)在审计风险模型里,重大错报风险与被审计单位有关,审计人员只能对其水平进行评估。而审计风险又存在客观性,这时审计机构和被审计单位就应该约定双方都可以接受的程度。并不是每一位委托人都知道,仅仅通过一场审计,是不可能发现企业的所有问题之所在的。而预先设定可接受的审计风险,就是审计业务中的三方关系人就理解和诉求的差异达成共识。 薛松(2018)认为:审计作为一种检查监督的机制,对国家企事业单位以及各类企业的经济管理活动、财务收支等各方面的财务活动进行审核与监督,以提高被审计单位的经济效益。
159 E nterprise E conomy 2012年第7期(总第383期) 上市公司风险管理审计研究 □陈英蓉 [摘 要]按照我国证监会要求,上市公司监事会应当向全体股东负责,保护公司资产安全,降低公司的财务和经营风险。但是, 由于股权结构、 立法、体制等因素的影响,导致我国上市公司监事会监督失效的现象非常普遍。笔者认为应从法律、上市公司责任意识、监事独立性等方面,增强上市公司监事会的监督作用,允许监事会有权聘请外部审计机构对上市公司的风险管理进行审计。为此,本文分析研究了上市公司风险管理审计的作用、审计步骤及措施。 [关键词]上市公司;风险管理;审计[中图分类号]F276.6 [文献标识码]A [文章编号]1006-5024(2012)07-0159-03 [作者简介]陈英蓉,攀枝花学院经济与管理学院副教授,硕士,研究方向为审计、企业投融资。(四川攀枝花617000) Abstract :According to the requirements of China Securities Regulatory Commission (CSRC ),board of supervisors of listed companies should take responsibility for all the shareholders,protecting companies ’assets safety and reducing the financial and operation risks.However,due to the factors such as ownership structure,legislation,and system and so on,it is common phenomenon that board of supervisors of listed company fails to carry out supervision.This paper believes that it is imperative to strengthen the supervision function of board of supervisors of listed company from the aspects of laws,listed companies ’responsibility consciousness,and supervisors ’independence and so on,and authorize board of supervisors to hire external audit institutions to audit the risk management of listed companies.Thus,the paper has analyzed the role,procedures,and measures of risk management audit of listed companies. Key words :listed companies ;risk management ;audit 一、风险及上市公司风险管理 风险是指在特定客观情况下,在特定期间,某种损失发生的可能性,而不是已经存在的客观结果或既定的事实。风险具有一定可度量性,测定风险立足于风险转化为现实的危害和损失之前,风险是损失发生的机会概率。其概率越大风险就越大。研究和控制管理风险的目的是设法压缩风险出现的概率值,阻止风险的潜在性转变为现实性,阻止可能的危机转变为现实的损失。 风险管理是通过对风险的识别、衡量和控制,以最低的成本处理风险,实现最大的安全保障,以提高上市公司经济效益的管理活动。风险管理是一个管理过程,包括风险的识别、衡量和控制等环节;风险管理是一种管理活动,目标在于以最低的成本实现最大的安全保障,以提高公司经济效益。 上市公司在经营活动中会遇到各种各样的风险,如 财务风险、经营风险、市场风险、汇率风险等等。财务风险亦称筹资风险,是上市公司由于举债经营而给上市公司收益带来的不确定性。上市公司举债经营,上市公司需要按时归还债务;同时,全部资金中借入资本和自有资本结构的变动将影响上市公司的收益。经营风险亦称营业风险,是上市公司因生产经营方面的原因给上市公司收益带来的不确定性。 由于上市公司生产经营的许多方面,如供产销状况、技术进步、管理水平、市场竞争等诸多因素的不确定性,都会影响上市公司的经营状况,使上市公司的收益水平具有不确定性。重视风险管理,能最大限度地减少上市公司损失。 中国证监会公布的《上市公司治理准则》中明确指出,上市公司监事会应当向全体股东负责,以财务监督为核心,同时对公司董事、经理及其他高级管理人员的 尽职情况进行监督,保护公司资产安全,降低公司的财 Financial Accounting |财务会计
如何开展风险管理体系审计 现代内部审计理论倡导以风险为导向。风险管理审计的提出已经好些年了,但实际工作中,又有多少审计部门会开展风险管理审计呢? 现代企业大多已经建立了风险管理机制,并且越来越依照COSO的企业风险管理整合框架来不断地完善。在市场不确定情况下,风险管理的好坏决定了企业生存和发展的时间。同时,各个专业领域的风险管理理论也越来越复杂,运用的数学知识和信息技术也越来越高级。企业内部审计不仅要及时发现具体经济事项存在的问题,还要以点带面,发现风险管理体系和机制中存在的缺陷。 因为风险管理涉及的范围广,涉及的专业知识多,内部审计部门往往先从风险管理体系下手,对其健全性和有效性进行评价。很多企业的监管机构或主管机构对企业的风险管理都提出过指导性意见,参考这些指导性意见,内部审计部门可以建立对风险管理的审计评价体系,而且内部审计部门可能还会被要求对其所在企业的风险管理进行评价。 一、风险管理体系审计的内容 2017年9月COSO新版《全球风险管理框架》,其中一个变化是五大要素的名称有所变化,原先的“风险治理
和文化、风险、战略和目标设定、执行中的风险、风险信息、沟通和报告、监控风险管理效果”改为了“治理和文化、战略和目标设定、绩效、审阅和修订、信息、沟通和报告”。既然是风险管理的五大要素,新版里的五大要素里竟然没有“风险”二字,其中肯定有它的道理,就跟国际内部审计协会定义内部审计那样,把“监督和评价”改为了“确认和咨询”。内部审计要想对风险管理体系做出评价,就要了解风险管理体系的内容是什么。 还有些审计部门把风险管理体系分为八大要素:治理环境、目标设定、风险识别、风险评估、风险应对、控制活动、信息与沟通、监控。这也是比较清晰的,适用本企业实际就好。 二、风险管理体系审计评价标准 这里的评价标准有两个,一个是监管或主管机构的指导意见,一个是所谓的同行行业相似企业的最佳实践。监管或主管机构的指导意见可参考性比较强,有的行业尤其是金融行业的监管机构指导意见也更加详细。内部审计部门往往依照监管或主管机构的指导意见构建自己的评价方法体系。有些发表的偏理论的文章所说的“双标分析法对风险管理体系进行审计评价,如何获取同行的最佳实践并且予以量化是很难实现的,况且同行业里各个企业的风
银行风险管理审计
[摘要]风险管理审计是对传统审计方式的突破和创新,是融风险管理、审计为一体的新兴审计模式,本文对银行风险的界定及类型、银行风险管理审计存在的问题以及银行风险管理审计的优势等问题进行了阐述。[关键词]风险管理审计内部审计问题优势风险管理起源于20世纪60、70年代,20世纪80年代在金融、保险、制造业等行业的大企业有了发展,从风险管理内容的规范性来看当属银行和保险业。风险管理审计是在20世纪末2l世纪初,随着风险管理导向内部控制时代的来临,风险管理成为内部审计关注的重点。它不仅关注传统的内部控制,更加关注有效的风险管理机制。内部审计人员通过对当前的风险分析确保其审计计划与经营计划相一致。风险管理成为组织中的关键流程,促使内部审计的工作重点不仅是测评控制,而且包括确认风险及测试管理风险的方法,风险管理审计是内部审计发展的新阶段。一、银行风险的界定及类型1.银行风险的界定关于银行风险现有两种说法。一是指商业银行在经营中由于各种不确定因素而招致经济损失的可能性。二是指在货币经营和信用活动中,由于各种事先无法预料的不确定因素的影响,使银行的实际收益与预期收益发生背离,有蒙受经济损失或获得额外收益的双重机会和可能。本人同意第二个观点。银行风险存在于银行价值
链的每一个环节,可以说,银行自成立之日起就是在风险管理的过程中谋取收益的。对银行风险的正确理解须注意以下几点:(1)银行风险不等于银行损失。风险指的是发生不利或有利事件的可能性;而损失是消耗或丧失的东西,是原来不确定事件形成的一种事实。两者的着眼点不同,风险着眼于未来,损失着眼于现在和过去。(2)风险既是一种挑战又是一种机遇,它具有双重性。(3)它包含多层次风险内容且有动态性的范畴。多层次的风险包括法律风险、政策风险、决策风险和操作风险等。(4)商业银行风险更多的是经济运行中风险的反映,与经济主体的行为目标、决策方式和经济环境相联系,并不单纯是银行自身的问题。 2.银行风险的类型我国银监会制定并于2005年2月1日起实施的《商业银行内部控制评价试行办法》指出,商业银行的主要风险包括信用风险、市场风险(含利率风险)、操作风险、流动性风险、法律风险以及声誉风险等。从实践来看,对于银行影响比较大的风险主要有四种:信用风险、操作风险、市场风险和流动性风险。二、内部审计在风险管理中的定位、职责与作用内部审计是一种独立、客观的确认与咨询活动,它通过应用系统的、规范的方法,评价并改善风险、控制和治理过程的效果,帮助组织实现其目标。由于其自身的特点,内部审计参与风险管理拥有一定的优势。内部审计部门和人员熟悉本单位情况,对单位面临的风险更了解;内
企业内部审计与风险管理 会计与审计 企业内部审计与风险管理 安鹏宋雪婷 ()合肥京东方光电科技有限公司,安徽合肥230012 面对企业急需加强的风险管理,既为内部审计的发展带来了机遇,又提出了挑战。笔者结合自身的工作经摘要: 验,从有利于企业科学发展的角度提出:作为内部审计,首先要充分认识内部审计在风险管理中的独特作用;其次要积极主动地参与风险管理。 内部审计;企业风险管理关键词: 客观的保证和咨询活动,其目的内部审计是一种独立、 是在于为组织增加价值和提高组织的运作效率,它通过系统评价和改进风险管理、控制及治理过程化和规范化的方法, 的效果,帮助组织实现其目标。 之地。 最后,内部审计通过对企业风险管理系统进行系统性、专业性监督检查,充分发挥“医士”和“卫士”作用,保证企业科学发展。 内部审计部门应对有关部门针对风险所采取的防范1. 措施进行连续的跟踪,并进行系统的专业性监督检查,看其是否充分、得当,同时评价其是否执行有力。 适时对组织内风险控制系统的健全、时效性进行检2. 对失控、漏控的环节进行再完善,改进风险控制系统机查, 能,达到风险控制系统最优化构建,加强系统内部的组织性和自主性。 内部审计可以直接作为风险管理者,对企业风险进行3. 管理。通过专业知识和技能、先进的方法,直接对企业的风能够引起管理层的更加重视,取得更险管理提出改进意见,好的效果。 一、内部审计在风险管理中独特的作用
内部审计作为最高管理层实施控制的手段,在企业管理尤其是风险管理方面的地位和作用将日趋突出。 首先,内部审计能够通过客观地、全面地参与风险预测和识别,充分发挥预警作用。风险在企业内部具有感染性、传递性、不对称性等特征,即一个部门造成的风险或疏于风而是会传递到险管理所带来的后果往往不是由其直接承担, 其他部门,最终可能使整个企业陷入困境。正因为如此,有些部门可能会出现过度道德风险,如采购部门为节约采购成本,就会忽视对材料规格、型号、质量方面的检查,或者有意购买残次品等等。因此对风险的识别和防范、控制需要从全局考虑,而内部审计部门不从事具体业务活动,独立于业务管理部门,这使得它们可以从全局出发、客观地对风险进行预测。 其次,内部审计通过对风险进行评估,研究风险防范的措施,控制、指导企业的风险策略,充分发挥内部审计的谋士作用。内部审计对监测到的整个组织可能存在的风险因子和不利因素及相互作用进行分析、评价和沟通,关注组织目采用数学统计、模拟试验等方法,遵循3经标价值取向,E(济、效率和效果)原则,和管理层共同寻找消除风险根源的可能途径,充分出谋划策,发挥谋士作用。如有的外部风险根源是企业无法避开和影响的,如国家政策的变化,市场因素的变化,企业只能调整自己的生产经营策略减轻外部风险的影响。但是许多企业内部的风险根源则是可以通过改善管理而消除的,这也是我们内部审计更多发挥作用的用武 二、内部审计应积极参与风险管理 内部审计应在提高自身素质和风险管理水平的基础上,通过对企业风险进行预测和识别,进而进行分析和评估,最终达到控制和化解风险,积极主动参与风险管理。 首先,内部审计人员要成为精通技术专家。“要想知其,言,必须知其所以言”同样内部审计要想有效地参与风险管理,必须自己要成为风险管理专家。内部审计人员不仅要懂审计及相关法律法规,熟练地运用内部审计标得财务会计、 准、程序和技术,还必须具备丰富专业风险管理的知识和技能,精通现代管理信息技术和先进的管理技术手段,这样才能真正有效地参与到企业风险管理中去。 其次,内部审计人员要积极、主动、全面地参与企业风险识别、评价和控制。风险的预测、识别、评价和控制的预测、 是指对企业所面临的,以及潜在的风险因素加以判断、归类 会计与审计 并采用各种科学管理技术,鉴定风险性质、评估风险损失、制改进风险管理,最终达到控制和化解风险的过定控制措施,
***********公司风险管理审计办法 编号:TS-KP-XS-** 版本: 2013 编制:审计部 批准:董事会 2013年**月**日 ****************公司部控制体系
风险管理审计办法 目录:共九章 第一章总则 第二章风险管理审计的目标 第三章风险管理审计的思路 第四章风险管理审计的主要分类 第五章风险管理审计须遵循的原则 第六章风险管理审计的程序 第七章制定风险管理审计方案的主要容第八章风险管理审计取证的评价标准第九章审计报告 第一节整理审计发现的要求 第二节风险管理审计报告的容 第十章附则
第一章总则 第一条为了规部审计人员对公司全面风险管理的审查与评价行为,根据中国部审计协会《部审计具体准则第16号——风险管理审计》、公司部控制体系文件、《企业部审计制度》特制定本办法。 第二条本办法所称风险管理险审计又称风险审计或风险导向审计。风险管理审计(或风险审计)是指公司部审计机构根据公司全面风险管理的目标和政策,采用一种系统化、规化的方法对公司风险管理过程中的风险评估、风险应对和风险控制活动进行评价和测试,以识别、预警和纠正公司在实施风险管理过程中可能存在的不适或缺陷,进而提高公司风险管理的效率和效果,保障企业战略目标的实现。 第三条本办法所称风险管理,是指一套由董事会和经营管理层共同设立、与企业战略相结合的管理流程。它的功能是对影响公司目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受围的过程。风险管理旨在为公司目标的实现提供合理保证。 第四条本办法所称全面风险管理,是指公司围绕总体经营目标,通过在公司管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理风气,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。 第四条本办法适用******(以下简称“公司”)及所属各分公司、全资子公司的部审计工作,控股子公司的部审计部门参照执行。
会计师事务所审计风险控制研究 1 审计风险的涵义探究 1.1 各国审计风险定义比较 1.2 审计风险实质的理解 审计风险是伴随着审计而一直存在着的,如果只是发表了不恰当的审计意见而没有造成什么实质性的不利影响,也不会形成审计风险。 1.3 我对审计风险定义的理解 审计风险是审计人员对存在重大错报的财务报表未能适当地发表意见,并可能给审计人员造成损失的风险。 2 审计风险的特征 2.1 审计风险的客观性 采用抽样审计方法不可能保证审计结论绝对正确,必然存在一定程度的审计风险。即使审计人员采用详细审计,也会由于各种原因,使审计意见出现一定程度的偏差。 2.2 审计风险的隐蔽性 审计责任的存在是形成审计风险的一个基本因素,这就决定了审计风险在一定时期具有潜在性。 2.3 审计风险的可控性 审计风险虽是不可消除的,但其水平高低是可控制的。审计人员可以通过自身的努力降低这种潜在损失发生的可能和数额。 2.4 审计风险的利害双重性 在现代社会中,允许存在一定的审计风险是审计职业存在的前提条件,审计人员可以利用审计风险来保护自己的利益,减少损失。同时,当审计人员所冒的审计风险超过其控制能力,或当审计人员不注意控制审计风险时,它就可能显化为现实的审计损失,形成审计失败。 2.5 审计风险的普遍性 审计风险具有普遍性,它存在于审计过程的每一个环节,任何一个环节的审计失误,都会增加最终的审计风险。 3 审计风险的形成原因 3.1 审计风险形成的客观原因 3.1.1 社会公众与审计职业界之间的审计期望差对审计风险的影响 社会公众对审计人员要求过高,公众认为审计人员应揭示所有问题;而审计人员则认为他们无法保证能够觉察任何舞弊行为。社会公众为了维护自己的利益,于是诉讼案件越来越多,从而导致审计风险的产生。 3.1.2 审计对象的复杂性和审计内容的广泛性对审计风险的影响 企业规模越大,越复杂,审计的范围越宽越广,也就越来越借助于审计抽样等非全面检查技术的帮助。然而,这使得审计结论的正确性越来越难以保证,因而使审计的风险加大。 3.1.3 经济环境和法律环境对审计风险的影响 经济环境和法律环境的不断变化使审计人员对企业的情况难以全面地反映和评价,获得正确结论的难度加大,从而增加了审计风险。
审计、内控、风险管理三者之间的关系标 风险管理侧重的是“可能性”。因此,风险管理应该是最早的环节,从企业整体评估风险状况,找到应对策略。这其中,又可分为不可控风险和可控风险。不可控风险通常通过风险转移、保险、风险接受等方式进行应对;可控的风险通常通过内部控制手段进行应对。所以内部控制本质上就是企业管理中通过日常管控手段降低风险的行为。那内控执行的效果如何,就通过审计来检查。审计检查完后有一些发现问题,可能是最早风险评估环节就没考虑到的,那么审计发现问题又回过头来指导风险管理的完善。 所负责部门,每个企业都不太一样。有的是分设三个部门:风险管理部、内控部、审计部。也有的将这几块自由排列组合,也有放到一个部门的,甚至放到财务部底下的都有。 风险管理——>内部控制——>风险控制 内部审计是内部控制的重要手段。 内部控制和内部审计的互动共进, 有效提升公司治理效率。 内部控制是内部审计的“风向标”, 内部审计是内部控制的“测试仪”。 三者的本质都是为了控制好风险。三者区别是: 1.内控是让你好好开车别撞人,也别开到沟里去,它是一切风险管理的基础,特别是治理层面的内部控制。 2.风险管理是一个更广的含义,不仅仅是不撞人、不翻车,更要保证方向是对的,速度是合适的,开车的方式是可持续的,还要保证尽量不被别人撞,万一被撞要能扛得住…… 3.风险管理包括内部控制,但他们都不是一个部门的事情,是一个组织行为。 4.审计是风险管理的一种手段,也是内控要素中监督要素的一种体现。是风险管理工作具体落地的方式,和之前的两个不在一个层面上。 实务中全面的应用到了风险、内控与审计三个概念的,主要是银行业及部分工业企业(如核电、采矿、化工等)。其他企业中实际上真正界定了这三个概念并付诸实施的其实很少。
天珣实用工具手册用户手册 (V6.6.9.2) 启明星辰 Beijing Venustech Cybervision Co., Ltd. 2011年1月
版权声明 北京启明星辰信息安全技术有限公司版权所有,并保留对本手册及本声明的最终解释 权和修改权。 本手册中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特 别注明外,其著作权或其他相关权利均属于北京启明星辰信息安全技术有限公司。未经 北京启明星辰信息安全技术有限公司书面同意,任何人不得以任何方式或形式对本手册 内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分 用于商业用途。本文档中的信息归北京启明星辰信息安全技术有限公司所有并受著作权 法保护。 “天珣”为北京启明星辰信息安全技术有限公司的注册商标,不得仿冒。 信息更新 本文档及其相关计算机软件程序(以下文中称为“文档”)仅用于为最终用户提供信息, 并且随时可由北京启明星辰信息安全技术有限公司(下称“启明星辰”)更改或撤回。 免责声明 本手册依据现有信息制作,其内容如有更改,恕不另行通知。 北京启明星辰信息安全技术有限公司可能已经拥有或正在申请与本文档主题相关的各 项专利。提供本文档并不表示授权您使用这些专利。您可将许可权查询资料用书面方式 寄往北京启明星辰信息安全技术有限公司。 北京启明星辰信息安全技术有限公司在编写该手册的时候已尽最大努力保证其内容准 确可靠,但北京启明星辰信息安全技术有限公司不对本手册中的遗漏、不准确、或错误 导致的损失和损害承担责任。 出版时间 2011年1月10日
1.天珣实用工具说明 (4) 2.天珣客户端诊断工具 (4) 3.天珣服务器诊断工具 (5) 4.客户端卸载工具 (6) 5.Winmd5Hash.exe (7) 6.离线同步工具 (9)
天珣内网安全风险管理与审计系统 安装配置手册 (V6.6.9.4) 启明星辰 Beijing Venustech Cybervision Co., Ltd. 2012年11月
版权声明 北京启明星辰信息安全技术有限公司版权所有,并保留对本文档及本声明的最终解释权和修改权。 本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,其著作权或其他相关权利均属于北京启明星辰信息安全技术有限公司。未经北京启明星辰信息安全技术有限公司书面同意,任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。 “天珣”为北京启明星辰信息安全技术有限公司的注册商标,不得侵犯。 免责条款 本文档依据现有信息制作,其内容如有更改,恕不另行通知。 北京启明星辰信息安全技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠,但北京启明星辰信息安全技术有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。
目录 版权声明 (1) 免责条款 (1) 信息反馈........................................... 错误!未定义书签。1综述 . (4) 2安装环境及要求 (4) 3.天珣内网安全风险管理与审计系统主要组件介绍 (6) 3.1.服务器组件 (6) 3.1.1. 中心策略服务器 (6) 3.1.2. 本地策略服务器 (6) 3.1.3. 资产管理服务器................................错误!未定义书签。 3.1.4. Radius服务器 (6) 3.1.5. 攻击告警服务器 (6) 3.1.6. 软件分发服务器 (7) 3.1.7. HOD远程桌面服务器 (7) 3.2.策略网关组件 (7) 3.2.1. 策略网关代理 (7) 3.2.2. 中性策略网关 (7) 3.2.3. IIS策略网关 (8) 3.2.4. ISA策略网关 (8) 3.2.5. EXCHANGE策略网关 (8) 3.2.6. DNS策略网关及旁路监听式DNS策略网关 (8) 3.2.7. 客户端 (9) 3.2.8. 按需支援管理端 (9) 3.2.9. 客户端打包程序 (9) 4.天珣内网安全风险管理与审计系统的安装 (9) 4.1.快速安装 (10) 4.1.1 快速安装部署 (10) 4.1.2 基本配置 (27) 4.2.自定义安装 (31) 4.2.1 自定义安装中心服务器 (32) 4.3.本地服务器的安装配置 (33) 4.3.1 添加策略服务器 (37) 4.4.策略网关配置 (38) 4.4.1 添加策略网关代理 (38) 4.4.2 安装中性策略网关 (39) 4.5.远程桌面的系统配置 (46) 4.5.1 安装添加远程桌面服务器 (46) 4.5.2 添加远程桌面管理员 (46) 4.5.3 安装按需支援管理员端程序 (47) 4.5.4 用户请求管理员远程帮助 (49) 4.6.软件分发安装与配置 (49) 4.6.1 安装软件分发服务器 (49)
操作风险审计管理规定 第一条为加强公司操作风险管理,发挥内部审计在案件防控中的作用,根据《北京银监局关于印发〈关于提高操作风险内部审计工作有效性的指导意见〉的通知》(大银监发[2007]426号文件)等相关要求及公司《审计工作管理规定》制定本规定。 第二条本规定所称操作风险是指由不完善或有问题的内部程序、员工和信息科技系统,以及外部事件给公司造成损失的风险。 第三条操作风险审计遵循以下原则: (一)独立性原则。审计部独立开展操作风险审计,不受其他部门和人员等外在因素的影响和干扰。 (二)统一性原则。审计部对操作风险审计实行统一管理,保证操作风险审计工作的一致性。 (三)有效性原则。公司应保证操作风险审计的有效性,以提高对公司各项业务操作风险的防控能力。 第四条操作风险审计目标 保证公司操作风险政策、规定、要求的贯彻、执行;审查、评价并改善系统内操作风险的管理;提升操作风险管控能力,提高案件堵截率,降低案件发生率,促进公司业务的健康发展。 第五条审计机构设置及职责 公司设立审计部,独立开展操作风险内部审计工作,向董事会、审计委员会报告工作,在操作风险管理方面的主要职责为: (一)监督公司操作风险管理政策、制度的制定、执行情况; (二)监督风险管理部门履职情况; (三)开展操作风险审计,促进各部门加强操作风险管理。 (四)对公司贯彻落实监管部门有关案件防控要求情况进行监督。 第六条操作风险审计主要内容 (一)公司操作风险管理相关政策、制度、流程制定情况; (二)风险管理部门履职情况; (三)轮岗、强制休假、离任审计等制度执行情况; (四)不兼容岗位分离、对账等操作风险防范措施执行情况; (五)其他与操作风险管理有关的情况。 第七条操作风险审计在风险评估基础上确定审计重点和频率。轮岗、强制休假、离任审计及对账等情况应每季度审计一次。其他相关情况至少每半年审计一次。 第八条操作风险审计程序及后续处理按照《审计工作管理规定》执行。 第九条审计部应按季向管理层及审计委员会汇报操作风险内部审计工作情况。 第十条审计部应就以下事项向监管部门报告或备案:
注册会计师审计风险分析及控制研究 风险管理制度的不完善普遍地存在于我国的会计师事务所,他们往往忽视了审计风险,置审计客户的信誉和管理水平于不顾,下面是小编就这一问题搜集整理的一篇相关论文范文,供大家阅读借鉴。 20世纪60年代中期以来,西方各国控告审计人员的诉讼案件急剧增加。到九十年代索赔给会计公司造成巨额损失:1991年美国的六大国际会计公司被直接索赔共计近5亿美元,占其收入的9%,比1990年上升了7.7%。1992年8月,美国整个CPA职业界面临的诉讼损失估计有300亿美元。一些会计师事务所因诉讼而陷入困境甚至倒闭。我国也先后发生了深圳原野事件、北京中城事件、浙江尖峰事件、四川红光事件、宁夏银广夏事件及麦科特事件等等一系列重大事件。这些事件表明,审计风险无时不在,无处不有,而且愈演愈烈,接连引起审计理论界和职业界的震动,关于审计风险的研究日益得到广泛的重视。如何正确认识审计风险,如何有效控制审计风险,成为审计理论界与实务界的重要课题。 一、国内研究现状 我国自1980年恢复审计制度以来,对审计风险的认识主要分为三个阶段:(1)对审计风险认识的初期阶段(1980年一1991年)。在这一阶段注册会计师几乎不承担任何风险,其主要任务是实现自身的发展,并且也顺利地渡过了谋生存的第一关。(2)对审计风险的初步认识阶段(1992年-1995年)。在这一阶段我国正式实施《中华人民共和国注册会计师法》等有关法律文件,这不但标志着对审计风险认识的加
深,更为判定注册会计师审计质量提供了初步的依据。审计风险的主要来源开始由职业内部转为职业内部和外部。(3)审计风险研究的纵深发展阶段(1996年-现在)。在这一阶段,我国对审计风险的形成、性质、特点等进行了全面的分析和深入的研究,特别是在借助现代审计风险模型的基础上,加之有效的定性分析,已能比较合理的控制审计风险。但是与不断发展的实践相比我国审计理论研究至今仍不成熟,特别是对于审计风险及控制的研究。在各类关于审计的书籍中论述审计风险的篇幅很有限,很多都是把它做为某章的一节简单介绍,很难对其有深入的了解。现有的关于审计风险的认识散见于各审计杂志和刊物,并且仅限于定性,多数呈现出就风险论风险的局面。因此,深入研究审计风险,特别是对于审计风险的定量分析以及控制研究是十分必要的。 二、注册会计师审计风险控制存在的问题及原因 目前,许多会计师事务所的审计风险控制还非常薄弱,往往缺乏必要的审计风险意识和控制管理措施。结合我国的具体情况,事务所的审计风险控制主要存在以下几方面的问题: (一)审计业务文书不规范。审计报告、审计决定书等审计业务文书不但是审计工作成果和质量的最终体现,同时也是审计风险的重要载体。审计业务文书的质量直接影响到审计风险的控制。 (二)会计师事务所体制不当。我国的会计师事务所由于发展的时间还不长,在体制方面还存在许多有待完善的地方。根据《注册会计师法》的规定,我国可以设立合伙制会计师事务所和有限责任制的会
企业风险管理审计 「摘要」企业风险管理是一个倍受关注的焦点问题,企业能否在存有各种不确定性因素影响的环境中有序、有效地运转,在很大水准上取决于企业风险管理的有效性。对企业风险管理的有效性进行审查和评价是现代内部审计的一个崭新领域,本文在分析了企业风险和风险管理内涵的基础上,分析了企业风险管理审计的目标及主要内容。 「关键词」企业风险风险管理风险管理审计因为各种不确定性因素,企业面临着各种风险,能否对风险进行有效的管理和控制,是企业能否生存发展、实现企业预期目标的关键。企业风险管理的有效性在一定水准上取决于企业对风险管理工作的监督和评价。因此,无论是国际内部审计师协会对内部审计的定义,还是我国的内部审计准则都强调了内部审计在企业风险管理中的重要性。我国从2005年5月1日起施行的内部审计具体准则第16号———《风险管理审计》中更是强调了内部审计人员对风险管理进行审查和评价的职责。 一、企业风险及风险管理的内涵进行企业风险管理审计,必须明确企业风险及风险管理的内涵。否则,企业风险管理审计便无从谈起。1企业风险的实质首先,风险产生于不确定性因素的存有,如果企业运行的内外环境是确定的,则不存有企业风险。其次,企业运行环境的不确定性带来了企业运行结果的不确定性。一般来说,我们更注重企业的运行结果,对预期结果的实现与否及可实现水准的大小成为了衡量企业风险大小的现实标准。因此,可以认为,企业风险则是企业运行结果偏离期望结果的可能性。作者认为,企业目标是企业期望达到的一种结果状态,但因为相关因素的持续持续的变化,企业目标的实现存有不确定性。因此,企业风险可以描述为企业目标不能得以实现的可能性。2企业风险的划分企业风险可以按多种标准进行分类。作者认为,既然将风险定义为企业目标不能得以实现的可能性,那么,企业风险可以按照企业目标的不同层次来理解和划分,并可将其相对应划分为:(1)企业的战略风险是指企业战略目标不能实现的可能性,主要包括:因为对相关影响因素的分析不够充分或对未来的变化没能合
***********公司 风险管理审计办法 编号:TS-KP-XS-** 版本: 2013 编制:审计部 批准:董事会 2013年**月**日 ****************公司内部控制体系
风险管理审计办法 目录:共九章 第一章总则 第二章风险管理审计的目标 第三章风险管理审计的思路 第四章风险管理审计的主要分类 第五章风险管理审计须遵循的原则 第六章风险管理审计的程序 第七章制定风险管理审计方案的主要内容第八章风险管理审计取证的评价标准 第九章审计报告 第一节整理审计发现的要求 第二节风险管理审计报告的内容 第十章附则
第一章总则 第一条为了规范内部审计人员对公司全面风险管理的审查与评价行为,根据中国内部审计协会《内部审计具体准则第16号——风险管理审计》、公司内部控制体系文件、《企业内部审计制度》特制定本办法。 第二条本办法所称风险管理险审计又称风险审计或风险导向审计。风险管理审计(或风险审计)是指公司内部审计机构根据公司全面风险管理的目标和政策,采用一种系统化、规范化的方法对公司风险管理过程中的风险评估、风险应对和风险控制活动进行评价和测试,以识别、预警和纠正公司在实施风险管理过程中可能存在的不适或缺陷,进而提高公司风险管理的效率和效果,保障企业战略目标的实现。 第三条本办法所称风险管理,是指一套由董事会和经营管理层共同设立、与企业战略相结合的管理流程。它的功能是对影响公司目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为公司目标的实现提供合理保证。 第四条本办法所称全面风险管理,是指公司围绕总体经营目标,通过在公司管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理风气,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。 第四条本办法适用******有限公司(以下简称“公司”)及所属各分公司、全资子公司的内部审计工作,控股子公司的内部审计部门参照执行。 第二章风险管理审计的目标 第五条风险管理审计的总体目标是依据公司战略目标和风险管理政策,评价公司是如何通过实施风险管理从而实现企业各类管理目标的,进而评价公司风
中图分类号:密级:公开 学科分类号:论文编号:37_125300_31045632016300115_LW 硕士学位论文 (专业学位) 商业银行风险管理内部审计研究 ——以中国建设银行为例 作者姓名:焦体喆 学科专业:会计硕士 指导教师:张建刚 培养院系:会计学院 二○一六年五月二十日
The Research on Risk Management Internal Auditing of Commercial Bank ——Based on China Construction Bank Candidate:Jiao Tizhe Supervisor:Zhang Jiangang School of Shandong University of Finance and Economics
中图分类号:密级:公开 学科分类号:论文编号:37_125300_31045632016300115_LW 硕士学位论文 商业银行风险管理内部审计研究 ——以中国建设银行为例 作者姓名:焦体喆申请学位级别:会计硕士 指导教师姓名:张建刚职称:副教授 学科专业:会计硕士研究方向:审计理论与实务学习时间:自2014年9 月 1 日起至2016 年 6 月30 日止 学位授予单位:山东财经大学学位授予日期:2016年6月
山东财经大学学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行研究工作及取得的研究成果。尽我所知,除了文中特别加以标注和致谢的地方外,论文中不包含其他人已经发表或撰写过的研究成果,也不包含为获得山东财经大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。 学位论文作者签名:日期:年月日 山东财经大学学位论文使用授权声明 本人完全同意山东财经大学有权使用本学位论文(包括但不限于其印刷版和电子版),使用方式包括但不限于:保留学位论文,按规定向国家有关部门(机构)送交学位论文,以学术交流为目的赠送和交换学位论文,允许学位论文被查阅、借阅和复印,将学位论文的全部或部分内容编入有关数据库进行检索,采用影印、缩印或其他复制手段保存学位论文。 保密学位论文在解密后的使用授权同上。 学位论文作者签名:日期:年月日 指导教师签名:日期:年月日
内部审计全面风险管理报告 我国《内部审计具体准则第17号--重要性与审计风险》中对审计风险的定义是:审计风险,是指内部审计人员未能发现被审计单位经营活动及内部控制中存在的重大差异或缺陷而做出不恰当审计结论的可能性。审计风险于客观上普遍存在,发生时具有偶然性和灾害性,因而必须对审计风险进行管理。要进行风险管理,首先必须明确内部审计风险的形成、种类及原因。 一、内部审计风险形成的原因 形成内部审计风险的因素如下: 1、内部审计机构未能有效保证其组织上、业务上的独立性。独立性是审计工作的灵魂,不能有效保证审计机构和人员在组织上的独立性,在业务工作中的权威性,就不能保证审计质量和规避审计风险。 2、内部审计人员业务能力的局限性,内审人员普遍具有的综合素质和专业技能与审计工作的要求还有相当距离,审计人员受专业知识局限、缺乏综合专业的审计知识,判断和
识别审计风险的能力较差。 3、内部审计方法的影响(1)内部审计方法滞后的影响。目前内审模式仍以账项基础审计方法为主,主要审计目的是“查错防弊”,审计风险控制因素考虑较少,更谈不上运用以风险导向为核心的审计方法来防范和化解风险。(2)抽样审计误差的影响。抽样技术虽已被广泛应用,但内审人员在运用这一技术时,全凭审计人员的主观经验来确定样本规模和样本评价结果,容易遗漏重要事项,形成审计风险。 4、受外部审计环境的影响。内部审计事项的复杂性和隐蔽性往往会增加审计难度,使审计人员对事实真相难以做出准确判断,一些敏感事项涉及人事关系复杂,舞弊手段隐蔽,内审人员取证难度大,从而面临审计风险;被审计单位内部控制制度较差,会计信息失真,从而内部审计风险增大。 审计业务的每一环节都可能产生风险因素。当审计人员进行审计时,可能会由于被审计单位外部环境的复杂性或不利条件,被审计单位的经济业务的特殊性等原因,使选择的被审计单位风险较高;拟订审计计划时,有计划不充分,而使审计人员做出错误审计决策的计划风险;组建审计小组时,有委派人员不胜任工作而导致的风险;收集审计证据时,有收集不到足够有力的证据的风险;编制审计报告时,有审计意见不当的报告风险;出具审计报告之后,还有期后事项对审计结论影响的风险等等,不一而足。每种风险都是多因
浅谈风险管理审计的应用实践 袁 园 (湖南新五丰股份有限公司 审计部,湖南 长沙 410005) [摘要]在风险管理审计中,应建立内部审计信息平台,广泛收集风险因素,确定风险管理审计重点和要点。对 被审计单位风险管理的测试,应按照《中央企业全面风险管理指引》的要求,明确需要测试的内容,建立相应的测试标准,评价被审计对象风险管理范围和风险评估标准的合理性,评价被审计单位的风险识别、风险分析、风险评价功能,评价被审计单位的风险管理措施和风险监管系统的功能,评价被审计单位的风险预警功能,以判断被审计单位的风险预警系统的合理性与有效性。 [关键词]风险管理;审计;应用实践[中图分类号]F239.4 [文献标识码]B [收稿日期]2012-11-12 随着当今技术经济的飞速发展,企业面临的风险日趋多样化,与之相对应,企业管理层也越来越重视风险管理,我国于2006年6月,由国资委出台《中央企业全面风险管理指引》,旨在推进与强化大型国有企业的风险管理制度建设。内部审计将促进企业的风险管理作为自身的主要职责,但是,如何在风险管理流程中,履行监控和评价的控制职能,大多数企业的内部审计人员仍然处于摸索阶段。 一、内部审计在风险管理中的作用及流程简述 风险管理是企业的决策层及经营层的职责,内部审计只对企业的风险管理程序的健全性及执行的有效性进行测试及评估,对制度、程序、应对措施的不足进行风险提示。 内部审计在风险管理中的作用表现在三个方面,一是鉴别风险;二是区分可控制的风险;三是指出缺乏控制或过度控制的区域并提出建议。 内部审计了解被审计对象面临的风险,是进行风险鉴别的起点。企业面临的风险,基本上可以划分为系统风险和特有风险,系统风险是指在市场经济条件下,同一行业所共同面对的风险,一般与人文、地理、法律、法规、财政政策、 技术进步等宏观因素有关,企业无法改变也无可避免,只能通过内部调整来加以适应;特有风险,是指某一单个企业因自身特点所面临的独有风险,按实体内容包括营销风险、财务风险、产品开发风险、组织机构风险、内部控制风险等。 内部审计应针对审计对象广泛收集风险因素,进行筛选和分析,得出影响企业经营目标实现的重大不确定因素,视为企业应该予以管理的风险,做为评价企业风险管理范围的恰当性的主要参考指标。 内部审计人员应将审计独立分析的结果与企业已经关注并实施管理的风险进行比对,根据风险审计的重要性理论,参照企业风险管理方 针、政策,按风险管理目标的要求,运用专业方法对审计对象风险范围、 识别、评析、管理等方面进行查证和鉴别,对风险管理及处理方法的合理性和有效性做出评价。 二、风险管理审计的具体应用 (一)建立内部审计信息平台,广泛收集风险因素掌握丰富的信息资源是准确把握风险管理审计重点的前提条件。我们的作法是针对公司总部及下属分、子公司,以审计对象为单元,建立审计信息平台,按季度定期收集相关风险信息,信息平台由四部分构成:一是基本信息栏。组织形式、 主导产品及特点、行业背景、政策影响、经营理念、发展战略等;二是历史审计信息栏。历年的审计范围及方法、审计发现的问题及整改情况、内部控制评价结论、历次审计提示的风险等;三是当前信息栏。经营信息(收入、成本、费用、资产、负债等);绩效评价信息(财务效益状况、资产营运状况、发展能力、营销能力)等;四是风险管理信息栏。战略风险对企业的影响(宏观经济运行、行业状况、国家产业政策趋势及变化、技术及创新、市场需求、 上下游客户关系、竞争对手情况及差距等);市场风险信息(产品价格及供需、主要客户的信用、能源及原材料供应关系、税收利率汇率的变化等);运营风险信息(新产品开发、市场开发与营销、管理层专业背景及经营能力、专业技术人员结构等)、法律与道德方面的风险信息(影响企业的新法律和政策、员工的道德及操守、重大法律纠纷及诉讼情况、知识产权情况)等。 审计信息平台动态更新,在实施风险审计前,审计人员可以充分了解及预测被审计单位经营过程中的风险因素,为实施现场审计筛选审计重点及要点打下坚实的基础。 (二)确定风险管理审计重点和要点1.基本风险因素分析 (1)主要经营者的管理能力及道德水平。对管理能力 第2012年第12期(总第411期) 商业经济 SHANGYE JINGJI No.12,2012Total No.411 [文章编号]1009-6043 (2012)12-0098-0298--