内控与全面风险管理解决方案.ppt

1, IDS Scheer AG ,1,议程,内控与全面风险管理面临的挑战,内控与全面风险管理的信息化解决方案,1,2,内控与全面风险管理系统应用案例介绍,3,2, IDS Scheer AG ,2,企业面临的外部要求,股东,证券交易所,内控与全面风险管理,政府部门,行业监管部门,国资委：中央企业全面风险管理指引 治理结构,财政部：企业内部控制基本规范 ,萨班斯法案 上海证券交易所上市公司内部控制指引 深圳证券交易所上市公司内部控制指引 ,保险公司风险管理指引（试行） 商业银行操作风险管理指引 ,3, IDS Scheer AG ,3,上述法律法规，要求企业建立适合自身特点的管理体系,指导框架,公司环境,4, IDS Scheer AG ,4,基本规范和全面风险管理指引的解读,5, IDS Scheer AG ,5,内控与全面风险管理体系,风险方案设计,风险评估,体系手册发布,风险管理策略,风险应对措施/控制活动,内部环境管理,企业组织结构,企业目标,职责分离检查,在线发布,监控及预警,监督及改进,测试任务管理,统计分析,缺陷分析及认定,风险评价,风险分析,风险识别,管理体系设计,控制实施,监督及改进,离线发布,信息系统一致性检查,测试及记录,责任签署,风险管理组织,企业业务流程,指标监控及预警,测试结果审核,整改及跟踪,事件收集,事件分析,事件认定,风险事件管理,事件监控,6, IDS Scheer AG ,6,体系设计面临的挑战,风险方案设计,风险评估,体系手册发布,风险管理策略,风险应对措施/控制活动,内部环境管理,企业组织结构,企业目标,职责分离检查,在线发布,监控及预警,监督及改进,测试任务管理,统计分析,缺陷分析及认定,风险评价,风险分析,风险识别,管理体系设计,控制实施,监督及改进,离线发布,信息系统一致性检查,测试及记录,责任签署,风险管理组织,企业业务流程,指标监控及预警,测试结果审核,整改及跟踪,事件收集,事件分析,事件认定,风险事件管理,事件监控,管理要点 设计符合要求的内部控制及全面风险管理体系，并根据公司内外部环境，例如组织结构、业务流程、信息系统等调整进行相应的调整和优化 建立体系文件，提高体系的透明度，以确保可执行、可审计,关键挑战 体系文件更新，编制、审核的工作量大，版本管理难度大 体系难以根据环境的变化进行及时调整和优化,7, IDS Scheer AG ,7,控制实施面临的挑战,风险方案设计,风险评估,体系手册发布,风险管理策略,风险应对措施/控制活动,内部环境管理,企业组织结构,企业目标,职责分离检查,在线发布,监控及预警,监督及改进,测试任务管理,统计分析,缺陷分析及认定,风险评价,风险分析,风险识别,管理体系设计,控制实施,监督及改进,离线发布,信息系统一致性检查,测试及记录,责任签署,风险管理组织,企业业务流程,指标监控及预警,测试结果审核,整改及跟踪,事件收集,事件分析,事件认定,风险事件管理,事件监控,管理要点 按照体系设计方案执行相关控制措施，确保设计与执行的一致性 实施过程保留可审计的控制实施证据,关键挑战 缺乏有效的发布实施平台，体系推广实施的成本高 人工控制过多，控制成本高昂,8, IDS Scheer AG ,8,体系监督及改进面临的挑战,风险方案设计,风险评估,体系手册发布,风险管理策略,风险应对措施/控制活动,内部环境管理,企业组织结构,企业目标,职责分离检查,在线发布,监控及预警,监督及改进,测试任务管理,统计分析,缺陷分析及认定,风险评价,风险分析,风险识别,管理体系设计,控制实施,监督及改进,离线发布,信息系统一致性检查,测试及记录,责任签署,风险管理组织,企业业务流程,指标监控及预警,测试结果审核,整改及跟踪,事件收集,事件分析,事件认定,风险事件管理,事件监控,管理要点 对体系设计和实施的有效性进行监督，并出具体系有效性的自我评价 保留体系监督的过程资料，以保证监督测试过程的可审计,关键挑战 体系监督工作量大、协调难度高，监督成本高昂 监督工作资料多，整理、统计、分析和再利用难度较大,9, IDS Scheer AG ,9,导致的后果,难以满足持续合规需求,难以满足不断 增加的合规要求,影响业务效率,合规成本高,10, IDS Scheer AG ,10,美国上市公司SOX法案遵从的经验启示,阶段1,阶段2,阶段3,阶段4,阶段5,法规准备,内控体系完善,人工内控测试评价与报告,实施IT系统支持内控测试与报告 实施IT系统支持内控文档管理,流程标准化，增强体系可扩展性 集成的全面风险管理信息系统：风险评估、损失事件库、控制自动化等功能应用,发展阶段（时间）,11, IDS Scheer AG ,11,议程,内控与全面风险管理面临的挑战,内控与全面风险管理的信息化解决方案,1,2,内控与全面风险管理系统应用案例介绍,3,12, IDS Scheer AG ,12,内控与全面风险管理的信息化解决方案,风险方案设计,风险评估,体系手册发布,风险管理策略,风险应对措施/控制活动,内部环境管理,企业组织结构,企业目标,职责分离检查,在线发布,监控及预警,监督及改进,测试任务管理,统计分析,缺陷分析及认定,风险评价,风险分析,风险识别,管理体系设计,控制实施,监督及改进,离线发布,信息系统一致性检查,测试及记录,责任签署,风险管理组织,企业业务流程,指标监控及预警,测试结果审核,整改及跟踪,事件收集,事件分析,事件认定,风险事件管理,事件监控,建模模块,风险评估模块,发布模块,监控及预警模块,监督及改进模块,风险事件管理模块,13, IDS Scheer AG ,13,建模模块及发布模块,风险方案设计,风险评估,体系手册发布,风险管理策略,风险应对措施/控制活动,内部环境管理,企业组织结构,企业目标,职责分离检查,在线发布,监控及预警,监督及改进,测试任务管理,统计分析,缺陷分析及认定,风险评价,风险分析,风险识别,管理体系设计,控制实施,监督及改进,离线发布,信息系统一致性检查,测试及记录,责任签署,风险管理组织,企业业务流程,指标监控及预警,测试结果审核,整改及跟踪,事件收集,事件分析,事件认定,风险事件管理,事件监控,建模模块,风险评估模块,监控及预警模块,测试及评价模块,风险事件管理模块,发布模块,14, IDS Scheer AG ,14,分散的体系文档,流程描述文档,风险控制矩阵,内控测试文档,制度,组织,职责,系统,业务流程图,15,内控文档整合集中化, IDS Scheer AG ,16,统计分析功能，协助企业快速掌握风险分布，进行业务优化,例如，对不同业务流程的风险分布分析, IDS Scheer AG ,17, IDS Scheer AG ,17, IDS Scheer AG ,17,同一套业务流程模型，可以维护不同管理主题的信息,流程,质量管理信息,安全管理信息,内控管理信息,.,18, IDS Scheer AG ,18,基于同一套业务流程，输出各种管理主题需要的报告,流程,由一个流程 自动导出 各种流程文档,风险控制文档,岗位职责说明书,质量管理文件,19, IDS Scheer AG ,19,“远程建模、集中管理、统一发布”,ARIS 知识库,分析, 优化和管理,在全球范围，全体员工 交流风险管理知识,ARIS 数据库 = 全面风险管理体系持续优化的基础,项目经理/系统管理员,流程和风险负责人/建模员,公司范围流程和风险建模,公司全体员工/浏览用户,ARIS 知识库/服务器,20, IDS Scheer AG ,20,解决方案的特点,特点1：搭建一个业务部门和风险管理部门共同使用的知识管理平台,搭建涵盖所有业务范围的业务流程数据库,网络部署及应用架构，分布建模、集中管理、网络发布及浏览，满足大型企业应用需求,基于数据库的、集成的建模方式，一次维护、全面共享、单点维护，提高质量，降低成本,特点2：提高了业务流程和风险制度管理及宣贯效率，降低成本,基于业务流程的风险管理方案，根据实际业务识别风险，在业务操作中控制风险,满足对业务流程多种应用的需求，例如系统实施、风险控制、职责管理等,多种统计分析功能，满足业务和风险管理的决策信息需求,21, IDS Scheer AG ,21,风险评估模块,风险方案设计,风险评估,体系手册发布,风险管理策略,风险应对措施/控制活动,内部环境管理,企业组织结构,企业目标,职责分离检查,在线发布,监控及预警,监督及改进,测试任务管理,统计分析,缺陷分析及认定,风险评价,风险分析,风险识别,管理体系设计,控制实施,监督及改进,离线发布,信息系统一致性检查,测试及记录,责任签署,风险管理组织,企业业务流程,指标监控及预警,测试结果审核,整改及跟踪,事件收集,事件分析,事件认定,风险事件管理,事件监控,建模模块,风险评估模块,发布模块,监控及预警模块,测试及评价模块,风险事件管理模块,22, IDS Scheer AG ,22,ARIS软件产品的风险评估解决方案,发起评估任务,风险在线评估,风险评价统计分析,创建风险评估任务,23, IDS Scheer AG ,23,对风险评估结果进行定量、定性分析，确定重要风险,风险经理对所有的风险评估结果，进行定量和定性分析，确定重要的风险,定量分析热图,定性分析热图,Risk Manager （风险经理）,24, IDS Scheer AG ,24,风险评估结果趋势分析，掌握风险变化规律,对多次评估结果进行统计分析，掌握风险变化规律,Risk Manager （风险经理）,25, IDS Scheer AG ,25,解决方案的特点,特点1：通过流程信息化，建立持续的风险评估工作机制,特点2：基于同一个平台展现风险评估结果，全面掌握风险分布及风险变化情况,人工或系统自动发起风险评估任务,明确风险评估责任人,固化风险评估流程,风险坐标图，明确公司重要风险,风险趋势图，掌握风险变化趋势,26, IDS Scheer AG ,26,风险事件管理模块,风险方案设计,风险评估,体系手册发布,风险管理策略,风险应对措施/控制活动,内部环境管理,企业组织结构,企业目标,职责分离检查,在线发布,监控及预警,监督及改进,测试任务管理,统计分析,缺陷分析及认定,风险评价,风险分析,风险识别,管理体系设计,控制实施,监督及改进,离线发布,信息系统一致性检查,测试及记录,责任签署,风险管理组织,企业业务流程,指标监控及预警,测试结果审核,整改及跟踪,事件收集,事件分析,事件认定,风险事件管理,事件监控,建模模块,风险评估模块,发布模块,测试及评价模块,监控及预警模块,风险事件管理模块,27, IDS Scheer AG ,27,ARIS软件产品的风险信息收集解决方案,28, IDS Scheer AG ,28,多维度的统计分析，提高损失事件管理的应用价值,29, IDS Scheer AG ,29,解决方案的特点,特点1：通过流程信息化，建立持续的风险事件搜集机制,特点2：建立公司统一的风险事件库，为风险评估和应对提供数据支持,规范风险事件搜集的信息,固化风险事件管理流程,快速掌握风险分布，明确重要风险,掌握风险变化趋势,30, IDS Scheer AG ,30,监控及预警模块,风险方案设计,风险评估,体系手册发布,风险管理策略,风险应对措施/控制活动,内部环境管理,企业组织结构,企业目标,职责分离检查,在线发布,监控及预警,监督及改进,测试任务管理,统计分析,缺陷分析及认定,风险评价,风险分析,风险识别,管理体系设计,控制实施,监督及改进,离线发布,信息系统一致性检查,测试及记录,责任签署,风险管理组织,企业业务流程,指标监控及预警,测试结果审核,整改及跟踪,事件收集,事件分析,事件认定,风险事件管理,事件监控,建模模块,风险评估模块,发布模块,测试及评价模块,风险事件管理模块,监控及预警模块,31,风险指标监控及预警系统架构,ARIS Performance Dashboard,报警 与 行动,规律,结构分析, 对标分析,Alerts,捕捉事件 监控指标,关注: 实时 行动,关注: 过去分析 优化,监控趋势 结构化分析 追溯原因,业务事件,灵活的 实时适配器,全体事件,减化后的数据,大容量数据, IDS Scheer AG ,32,32,BFS,强大的数据抽取功能,无需代理(Agent-less)技术 最小化对信息系统的影响 基于向导 不用编码 易于配置与维护 从信息系统中映射原始数据到业务对象, IDS Scheer AG ,33, IDS Scheer AG ,33,风险指标监控及预警,34, IDS Scheer AG ,34,事件监控,事件监控（基于预设规则） “如果一个订单的优先级“很高”，而且超过5天没人处理” 那么发送一封邮件给销售人员， 并通知订单处理部门的经理或上级主管,1,2,3,4,5,6,7,8,9,Time,Events,35, IDS Scheer AG ,35, IDS Scheer AG ,35,35,灵活适用于各种信息系统访问权限与职责分离的自动化检查工具,数据 收集,模型 信息,管理制度,职责分离矩阵模型,系统控制要求 职责分离矩阵,权限配置检查 访问权限检查,权限检查工具,自动检查工具,样例,违反职责分离的系统用户,违反的职责分离内容,运行系统,系统权限（T-Code） 系统角色 （ROLE),信息系统,36, IDS Scheer AG ,36,测试及评价模块,风险方案设计,风险评估,体系手册发布,风险管理策略,风险应对措施/控制活动,内部环境管理,企业组织结构,企业目标,职责分离检查,在线发布,监控及预警,监督及改进,测试任务管理,统计分析,缺陷分析及认定,风险评价,风险分析,风险识别,管理体系设计,控制实施,监督及改进,离线发布,信息系统一致性检查,测试及记录,责任签署,风险管理组织,企业业务流程,指标监控及预警,测试结果审核,整改及跟踪,事件收集,事件分析,事件认定,风险事件管理,事件监控,建模模块,风险评估模块,发布模块,监控及预警模块,风险事件管理模块,测试及评价模块,37, IDS Scheer AG ,37,手册管理、测试及评价的信息共享,创建测试任务,接受测试任务,提出建议与改进跟踪,测试结果统计分析,例外事项分析,手册管理,38, IDS Scheer AG ,38,实时、多维度的统计分析，协助快速出具测试报告,组织/分支机构 流程/业务领域 风险类别 风险定义,新建 在处理 完成,控制有效 控制无效 不可测试 控制缺陷,清晰掌握控制缺陷的分布,清晰掌握不同业务机构控制执行情况,System （系统管理员）,39, IDS Scheer AG ,39,解决方案的特点,特点1：通过流程信息化，建立测试及整改工作机制，规范了检查工作,特点2：整合了测试过程中所使用的相关文档，提高工作效率,特点3：快速、集中、多维度的统计分析，提高工作效率和决策质量,40, IDS Scheer AG ,40,议程,内控与全面风险管理面临的挑战,内控与全面风险管理的信息化解决方案,1,2,内控与全面风险管理系统应用案例介绍,3,41,项目背景及挑战,挑战 1：业务流程管理水平低，增加了内控管理的难度，影响内控管理工作的落实,基于不同管理主题的，多套流程描述并存,流程标准化程度较低，业务相同的各业务单元的流程差异较大, IDS Scheer AG ,挑战2：内控手册管理难度大，管理成本高昂,内控手册变更、修订工作量大，效率高低下,内控要素的统计分析的工作量大，难以为风险管理决策，提供及时的信息支持,42,项目背景及挑战（续）,挑战3：内控测试组织难度大，测试成本高昂,测试人员众多，内控测试工作的协调难度大，效率低,测试相关文档例如风险控制文档、测试计划表、测试记录表等管理难度较大,测试结果统计分析工作量大、错误多、效率低,测试工作底稿归档、查询难度大，难以再利用, IDS Scheer AG ,43,系统应用架构, IDS Scheer AG ,44,建立了涵盖公司业务范围的统一的业务流程架构,在原有股份公司17个一级流程目录基础上，扩展了业务流程架构，为建立统一的企业流程管理体系建立了基础, IDS Scheer AG ,45,集成式的风险和流程建模, IDS Scheer China ,风险管理目标,组织结构,业务流程,关键风险指标管理,业务控制图,风险图,46,搭建公司统一的业务流程和内控与风险管理门户,门户入口,部门管理视图,法律风险管理视图, IDS Scheer AG www.