任彬，2000年毕业于上海交通大学电子工程系，2003年在英国伦敦大学完成硕士学位深造。曾就职于德勤华永会计师事务所企业风险管理部3年，担任高级咨询顾问和信息系统审计师一职。在此期间，参与了众多客户的ERP系统控制审计工作，并作为主要咨询顾问为国内知名大型保险集团构建风险内控管理信息系统。在德勤工作期间，任彬还作为关键咨询顾问，帮助国内著名白色家电企业建设和实施SAPGRC应用系统，帮助该客户实时管控ERP应用账号及权限。
　　目前，任彬担任SAP中国高级方案架构师，并在过去的3年期间，为上百家客户介绍并设计基于SAPGRC系统的风控管理方案，其中不乏中国超大型央企、高速发展的民营命业等。

　　《SAP企业信息化与最佳实践丛书：SAP GRC应用深度剖析》通过对目前中国企业在风险管理和内部控制工作中的业务应用和场景分析，结合SAPGRC系统所能够提供的功能，帮助读者真正了解SAPGRC平台在中国企业风控管理工作中所能够起到的实质性作用。同时，《SAP企业信息化与最佳实践丛书：SAP GRC应用深度剖析》通过介绍SAPGRC应用系统的配置过程，帮助SAP的实施合作伙伴清楚地理解GRC系统各实施配置项的作用及其使用场景，从而在系统实施过程中将客户的实际业务需求充分在SAP系统中进行体现，发挥SAPGRC系统的最大优势，服务于客户。

　　可以量化表征的风险影响维度（例如财务损失）可以通过定量的方式进行评估（当然也可以通过定性或者打分的方式进行评估），而不能量化表征的风险影响维度（例如声誉损失）则可以通过定性的方式或者打分的方式进行评估。最终风险的影响等级可以根据各维度的影响评估进行汇总，汇总方法通常可以取各等级的最大值或者平均值。剩余风险的评估和固有风险的评估方法大致相同，这里也就不再赘述。
　　企业内部控制是风险应对的手段，但不是唯一的手段。内部控制所应对的风险主要是公司业务流程执行过程中所可能出现的违规情况，其实也就是企业的内部风险。相对的，企业所面临的外部风险通常情况下无法通过内部控制的方式进行应对，而需要由相应的业务管理部门制定风险应对计划或者应对预案，在风险发生以后减轻该风险可能给企业所带来的影响。与此同时，风险管理职能部门应当与业务部门紧密配合，通过建立风险预警体系和预警指标，对风险点的发生可能性进行监控并及时预警，从而帮助企业获得必要的应对时间窗口。
　　前面已经说过，企业内部控制是控制内部风险发生的有效手段。好的内部控制体系能够有效地监督业务流程的运行情况，并在发生违规业务时及时报告。内部控制体系设计不应当是一成不变的，需要根据企业实际的状态以及所开展的业务灵活设定，但是也必须要遵循一定的标准体系。企业在其初创期和业务发展期，由于业务发展的需要，通常会制定较为灵活的政策和业务流程，从而适应其客户多变的需求。而进入稳定期且业务成熟以后，其灵活的业务流程会慢慢地向标准化和规范化演变，会更加注重于业务流程执行的合规性，保证企业的长期稳定和健康发展。应当说，企业业务流程执行合规与否，与企业内部控制建设和推行的力度有着非常密切的关系，也与企业内部风险的管控息息相关。
　　……

第一章 风险管理与内部控制理论体系介绍

第二章 SAP治理、风险与合规解决方案总体介绍

第三章 ERP权限管控规范化
第一节 SAP GRC访问控制功能概览
第二节 访问权限标准化规则库
第三节 访问权限风险分析及处理应对

第四章 ERP权限管控流程化
第一节 访问权限风险自动化预防及权限管理自助化
第二节 用户访问权限生命周期管理
第三节 超级特权账号访问管控
第四节 ERP应用系统角色设计及风险控制
第五节 SAP GRC访问控制报表使用及定制化开发

第五章 管控企业业务流程合规性
第一节 内部控制环境建立
第二节 内部控制测试与评估
第三节 内部控制缺陷报告、汇总与整改
第四节 内控自评报告签核与披露
第五节 系统报表
第六节 SAP流程控制系统架构

第六章 持续性控制监控（Continuous Control Monitoring）

第七章 企业全面风险管理应用
第一节 企业风险智库建立
第二节 风险管理到岗到人
第二节 风险评估
第四节 自动化风险监控与预警
第五节 风险应对
第六节 风险事件库
第七节 风险管理报告与报表
第八节 SAP GRC风险管理模块技术架构

第八章 贸易企业合规风险管控

第九章 应用系统建设与风险管控体系建设的关系