术语表-企业治理 <返回 
企业治理
风险管理 Risk Management

RM001:业务流程/业务循环 Business Process
业务流程是确保公司完成任务及实现业务目标的一系列活动,这些活动可能按复杂性进行排列,从执行简单活动到管理业务运行的关键要素,到执行职能性任务,再到跨职能要素。

RM002:风险成因分类 Classification of Reason for Risk
风险成因分类是对企业集团中可能发生的风险的形成原因进行分类划分,便于对各种风险从成因方面进行管理。

RM003:全面风险管理 Comprehensive Risk Management
全面风险管理指企业围绕总体经营目标,通过在企业的各个环节和业务过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。

RM004:固有风险Inherent Risk
固有风险是指在不考虑内部控制结构的前提下,由于内部因素和客观环境的影响,企业的账户、交易类别和整体财务报表发生重大错误的可能性。

RM005:突发重大风险 Major Emergency Risk
突发重大风险是企业事先未识别和分析的风险事件。

RM006:公共风险 Public Risk
公共风险是指多个公司共同具有的风险。

RM007:剩余风险 Remaining Risk
剩余风险是指那些运用了所有的控制和风险管理技术以后而留下来,未被管理的风险,即:未被企业有效控制的经营风险(含战略风险和流程风险)的风险。

RM008:风险 Risk
风险指未来的不确定性对企业实现其经营目标的影响。

RM009:风险分析 Risk Analysis
是对识别出的风险及其特征进行明确的定义描述,分析和描述风险发生可能性的高低、风险发生的条件。

RM010:风险分类 Risk Classification
风险分类是对企业集团中可能发生的各种风险进行不同类别的划分,便于对不同类别风险的应对和防范。

RM011:风险控制 Risk Control
风险控制是指控制风险事件发生的动因、环境、条件等,来达到减轻风险事件发生时的损失或降低风险事件发生概率的目的。风险控制的对象一般是可控风险,包括多数运营风险,如质量、安全、环境风险,以及法律风险中的合规性风险。

RM012:风险控制矩阵 Risk Control Matrix
风险控制矩阵是指将流程中所涉及的风险和对应的内部控制进行汇总,以发现控制缺陷的一种矩阵表格。

RM013:风险评估 Risk Evaluation
风险评估是指在风险事件发生之前或之后,该事件给人们生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作。即,风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。

RM014:风险识别 Risk Identification
风险识别是指在风险事故发生之前,人们运用各种方法系统的、连续的认识所面临的各种风险以及分析风险事故发生的潜在原因。

RM015:风险影响指标 Risk Impact Indicator
风险影响指标是指风险事件发生后,对企业造成的影响的量化指标。

RM016:风险指标 Risk Indicator
风险指标是在风险管理过程中,设定有关风险的一些指标信息,从而确定风险重要程度,达到对重要、关键风险的有效管理。

RM017:风险管理策略 Risk Management Strategy
风险管理策略指企业根据自身条件和外部环境,围绕企业发展战略,确定风险偏好、风险承受度、风险管理有效性标准,选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略,并确定风险管理所需人力和财力资源的配置原则。

RM018:风险应对 Risk Solutions
风险应对是指在确定了决策的主体经营活动中存在的风险,并分析出风险概率及其风险影响程度的基础上,根据风险性质和决策主体对风险的承受能力而制定的回避、承受、降低或者分担风险等相应防范计划。
内控手册管理 Internal control manual management

DM001:控制点 Control Point
控制点是指在内部控制过程中需要重点关注的业务环节。

DM002:内部控制 Internal Control
内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。

DM003:内控体系 Internal Control System
企业的内控管理部门会针对企业经营活动中各种业务流程形成各自独立的内部控制制度,内部控制体系就是涵盖企业这一系列的内部控制制度形成一套完善的内部控制制度整体,作为企业内部控制的规范和要求,对企业的各个部门和业务流程进行监督和管理。
IT监控与报告 IT Control Monitoring and Report

IC001:信息系统控制 Information System Control
信息系统控制主要是指企业应当根据发展战略,结合组织架构、业务范围、地域分布、技术能力等因素,制定信息系统建设整体规划,进行统筹安排,明确系统开发、运行与维护中的主要风险点,采取相应措施,实施有效控制。信息系统控制包括:信息系统的开发、运行及维护的控制。

IC002:IT控制 IT Control
IT控制是信息技术控制的简称,是指对以下信息技术资源实施的旨在实现控制目标的过程。
COBIT文件——信息技术控制目标中定义的信息技术资源,包括:

  • 数据(Data)——指最广义(例如,表面的和内在的)的对象,包括结构化和非结构化、图表、声音等等。
  • 应用系统(Application Systems)——人工程序和电脑程序的总和。
  • 技术(Technology)——包括硬件、操作系统、数据库管理系统、网络、多媒体等等。
  • 设备(Facilities)——用来存放和支持信息系统的一切资源。
  • 人员(People)——包括用来计划、组织、获取、传送、支持和监控信息系统和服务所需要的人员技能、意识和生产力。

IC003:不相容职责分离/职责互斥 Mutually Exclusive Duty
不相容职责分离,也称职责互斥。是指那些由一个人担任,即可能发生错误和弊端又可掩盖其错误和弊端的职务。

IC004:信息系统权限安全控制 Permission and security control of information system
主要是指对信息系统自身权限模型的安全性以及用户在信息系统中的授权体系安全型实施的控制内容及措施

IC005:特权用户 Privilege User
根据软件系统的应用特点,在系统中通常会存在一些超级用户或者系统管理员,专门对系统的初始化进行处理,或者专门对软件系统中的授权、密码规则、数据卸载、数据恢复、日志记录等进行操作和管理。由于超级用户或者系统管理员的权限高度影响应用系统的安全性,因此将该类用户称为特权用户。
评价与改进 Evaluation and Improvement

RA001:内部控制评价 Internal Control Evaluation
内部控制评价是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。

RA002:穿行测试Walk through Testing
穿行测试是指追踪交易在财务报告信息系统中的处理过程。这是注册会计师了解被审计单位业务流程及其相关控制时经常使用的审计程序。