流程管理：企业内控的根本

流程管理：企业内控的根本 IDS Scheer内控与全面风险管理解决方案 IDS Scheer 中国 2009年 5月 2 IDS Scheer AG 成立于 1984年，创始人为德国著名管理信息学教授August-Wilhelm Scheer 博士，现任公司监事会主席 董事会 : Peter Grard （ CEO 兼总裁） Dr. Wolfram Jost Dr. Dirk Oevermann Jrg Vandreier 1999年在德国法兰克福上市，公司股票现为德国高新技术蓝筹股 TecDAX的绩优股 营业收入 （百万欧元） 员 工 人数 2007年 : 3.93 亿欧元 2007年底 : 2992 人 IDS Scheer 公司拥有深厚的学术背景和卓越的业务绩效 0501001502002503003504004501999 2000 2001 2002 2003 2004 2005 2006 200705001000150020002500300035001999 2000 2001 2002 2003 2004 2005 2006 20073 IDS Scheer AG IDS Scheer 助力中国企业的管理水平与国际接轨 3 爱迪斯（上海）软件有限公司 ARIS软件及 BPM咨询服务 上海、北京、深圳 分支机构所在地 企业业务流程管理 企业治理、风险控制和 合规管理 企业流程智能及绩效管理 企业 IT架构规划和系统选型 流程驱动的 SAP系统实施 系统整合和 SOA架构实施 SAP系统优化 SAP系统运维 SAP咨询服务 上海（总部）、北京、深圳 分支机构所在地 爱迪斯（上海）软件有限公司 4 IDS Scheer AG 大量著名企业成为 IDS Scheer 中国公司的客户 5 IDS Scheer AG 议程 内控与全面风险管理面临的挑战 内控与全面风险管理的信息化解决方案 1 2 内控与全面风险管理系统应用案例介绍 3 6 IDS Scheer AG 企业面临的外部要求 股东 证券交易所 内控与全面风险管理 政府部门 行业监管部门 国资委： 中央企业全面风险管理指引 治理结构 财政部： 企业内部控制基本规范 萨班斯法案 上海证券交易所上市公司内部控制指引 深圳证券交易所上市公司内部控制指引 保险公司风险管理指引（试行） 商业银行操作风险管理指引 7 IDS Scheer AG 上述法律法规，要求企业建立适合自身特点的管理体系 内部环境 公司层面 业务单元 子公司 风险评估 控制活动 信息与沟通 内部监督 指导框架 公司环境 管理 销售 物料管理 采购 排产 组织视图 销售处理 检查 信用额度 确定 交付日期 询价处理 报价处理 功能视图 报价 客户 询价 数据视图 询价处理 询价 已受理 询价处理 完毕 报价处理 客户报价 询价 销售 流程视图 客户订单 客户询价 客户报价 产品 /服务视图 8 IDS Scheer AG 基本规范 和 全面风险管理指引 的解读 序号 基本规范 全面风险管理指引 1 内部环境 第一章 总则 第七章 风险管理组织体系 第九章 风险管理文化 第十章 附则 2 风险评估 第二章 风险管理初始信息 3 第三章 风险评估 4 控制活动 第四章 风险管理策略 第五章 风险管理解决方案 5 6 信息与沟通 第八章 风险管理信息系统 7 内部监督 第六章 风险管理的监督与改进 9 IDS Scheer AG 内控与全面风险管理体系 风险方案设计 风险评估 体系手册发布 风险管理策略 风险应对措施 /控制活动 内部环境管理 企业组织结构 企业目标 职责分离检查 在线发布 监控及预警 监督及改进 测试任务管理 统计分析 缺陷分析及认 定 风险评价 风险分析 风险识别 管理体系设计控制实施监督及改进离线发布 信息系统一致 性检查 测试及记录 责任签署 风险管理组织 企业业务流程 指标监控及预警 测试结果审核 整改及跟踪 事件收集 事件分析 事件认定 风险事件管理 事件监控 10 IDS Scheer AG 体系设计面临的挑战 风险方案设计 风险评估 体系手册发布 风险管理策略 风险应对措施 /控制活动 内部环境管理 企业组织结构 企业目标 职责分离检查 在线发布 监控及预警 监督及改进 测试任务管理 统计分析 缺陷分析及认 定 风险评价 风险分析 风险识别 管理体系设计控制实施监督及改进离线发布 信息系统一致 性检查 测试及记录 责任签署 风险管理组织 企业业务流程 指标监控及预警 测试结果审核 整改及跟踪 事件收集 事件分析 事件认定 风险事件管理 事件监控 管理要点 设计符合要求的内部控制及全面风险管理体系，并根据公司内外部环境，例如组织结构、业务流程、信息系统等调整进行相应的调整和优化 建立体系文件，提高体系的透明度，以确保可执行、可审计 关键挑战 体系文件更新，编制、审核的工作量大，版本管理难度大 体系难以根据环境的变化进行及时调整和优化 11 IDS Scheer AG 控制实施面临的挑战 风险方案设计 风险评估 体系手册发布 风险管理策略 风险应对措施 /控制活动 内部环境管理 企业组织结构 企业目标 职责分离检查 在线发布 监控及预警 监督及改进 测试任务管理 统计分析 缺陷分析及认 定 风险评价 风险分析 风险识别 管理体系设计控制实施监督及改进离线发布 信息系统一致 性检查 测试及记录 责任签署 风险管理组织 企业业务流程 指标监控及预警 测试结果审核 整改及跟踪 事件收集 事件分析 事件认定 风险事件管理 事件监控 管理要点 按照体系设计方案执行相关控制措施，确保设计与执行的一致性 实施过程保留可审计的控制实施证据 关键挑战 缺乏有效的发布实施平台，体系推广实施的成本高 人工控制过多，控制成本高昂 12 IDS Scheer AG 体系监督及改进面临的挑战 风险方案设计 风险评估 体系手册发布 风险管理策略 风险应对措施 /控制活动 内部环境管理 企业组织结构 企业目标 职责分离检查 在线发布 监控及预警 监督及改进 测试任务管理 统计分析 缺陷分析及认 定 风险评价 风险分析 风险识别 管理体系设计控制实施监督及改进离线发布 信息系统一致 性检查 测试及记录 责任签署 风险管理组织 企业业务流程 指标监控及预警 测试结果审核 整改及跟踪 事件收集 事件分析 事件认定 风险事件管理 事件监控 管理要点 对体系设计和实施的有效性进行监督，并出具体系有效性的自我评价 保留体系监督的过程资料，以保证监督测试过程的可审计 关键挑战 体系监督工作量大、协调难度高，监督成本高昂 监督工作资料多，整理、统计、分析和再利用难度较大 13 IDS Scheer AG 导致的后果 难以满足持续合规需求 难以满足不断 增加的合规要求 影响业务效率 合规成本高 14 IDS Scheer AG 美国上市公司 SOX法案遵从的经验启示 阶段 1 阶段 2 阶段 3 阶段 4 阶段 5 法规准备 内控体系完善 人工 内控测试评价与报告 实施 IT系统支持内控测试与报告 实施 IT系统支持内控文档管理 流程标准化，增强体系可扩展性 集成的全面风险管理信息系统：风险评估、损失事件库、控制自动化等功能应用 发展阶段（时间） 15 IDS Scheer AG 议程 内控与全面风险管理面临的挑战 内控与全面风险管理的信息化解决方案 1 2 内控与全面风险管理系统应用案例介绍 3 16 IDS Scheer AG 内控与全面风险管理的信息化解决方案 风险方案设计 风险评估 体系手册发布 风险管理策略 风险应对措施 /控制活动 内部环境管理 企业组织结构 企业目标 职责分离检查 在线发布 监控及预警 监督及改进 测试任务管理 统计分析 缺陷分析及认 定 风险评价 风险分析 风险识别 管理体系设计控制实施监督及改进离线发布 信息系统一致 性检查 测试及记录 责任签署 风险管理组织 企业业务流程 指标监控及预警 测试结果审核 整改及跟踪 事件收集 事件分析 事件认定 风险事件管理 事件监控 建模模块 风险评估模块 发布模块 监控及预警模块 监督及改进模块 风险事件管理模块 17 IDS Scheer AG 建模模块及发布模块 风险方案设计 风险评估 体系手册发布 风险管理策略 风险应对措施 /控制活动 内部环境管理 企业组织结构 企业目标 职责分离检查 在线发布 监控及预警 监督及改进 测试任务管理 统计分析 缺陷分析及认 定 风险评价 风险分析 风险识别 管理体系设计控制实施监督及改进离线发布 信息系统一致 性检查 测试及记录 责任签署 风险管理组织 企业业务流程 指标监控及预警 测试结果审核 整改及跟踪 事件收集 事件分析 事件认定 风险事件管理 事件监控 建模模块 风险评估模块 监控及预警模块 测试及评价模块 风险事件管理模块 发布模块 18 IDS Scheer AG 分散的体系文档 流程描述文档 风险控制矩阵 内控测试文档 该流程涉及的部门 ( 与流程图所示部门一致 ) 财务部税务管理处、财务部 资金管理处、财务部会计处 描述 一、背景介绍 总部财务部负责公司委托资产营业税及附加的计算、申报和缴纳。本流程主要 了解 营业税及附加计算、申报和缴纳过程 。 相关 IT 系统：资产管理公司金手指系统 二、可能的风险 R 1: 如何保证投资业务营业税及附加计算的正确性？ ( C 1) R 2: 如何保证营业税及附加及时、正确申报？ ( C 2) R 3: 如何保证营业税及附加及时、正确缴纳？ （ C3 ） R 4: 如何保证营业税及附加正确进行会计 处理 ？ （ C 4 ） 三、对应的控制 C 1: 每月， 财务部税务管理处根据资产管理公司 提供的科目余额表，编制投资业务营业税及附加计算表及营业税申报表，并经过税务处处经理、部经理室、总经理室层层审核批准。 （ R1 ） C 2: 财务部税务处在 总经理室批准 的 营业税 申报表 上 加盖财务专用章，在税法规定时限内进行纳税申报。 （ R2 ） C 3: 税务处核对税务机关申报后打印的税收缴款书金额 是否 与总经理室同意的金额一致。如果一致，税务处根据税收缴款书填制报销单， 经部 室 经理签字同意后，资金处完成资金支付。 如不一致，则要重新向部经理室、总经理室报告批准。 （ R3 ） C 4: 核算 会计 岗（复核人员） 审核缴税业务 记账 凭证会计分录及金额是否正确，凭证附件是否齐全，手续是否完备，审核无误后 在 C L AF 系统中复核确认。 ( R 4 ） 四、 详细叙述本流程及控制 ( 请您确认所有流程及控制点的描述与流程图完全一致 ) 中国人寿4 0 4 条款遵循工作控制测试模板控制编号/描述 H O - T - 1 . 0 4 . 1 . 3流程 1 .0 4 、应交税金及递延数据, 1 .0 4 .1 .3 投资业务营业税金及附加重大科目 内部往来；银行存款交易类型 常规相应风险与控制编号 R1 、 R2 、 R3 、 R4 ； C1 、 C2 、 C3 、 C4流程负责人 财务部总经理 赵立军测试负责人 内控合规部 边江审阅人 安永 尹霞完成日期 1 0 - Ma y详细测试记录应包括的内容： 1 . 对抽样样品的详细记录，包括相应文件的编号、序列号，时间或日期，数量，数目等。详细记录的程度应该保证其他人在做相同的测试时，可以在采用同样的样品的前提下，得到同样的结论。同时，在其他人审查的过程中，不需要看到单据或文件的复印件，对测试结果可以做出独立的但相同的结论。步骤号 1 4 6样品序列号 月份营业税计税依据、计提比率是否符合规定应交城建税金、教育费附加的计提方法、比率是否符合当地税法规定营业税计税基数是否正确计算的应交营业税金是否正确计算的应交城建税金、教育费附加是否正确是否经过税务处处长、财务部总经理和总经理室签章审批申报表金额是否与营业税及附加计算表 一致是否加盖财务专用章缴税金额是否与纳税申报表一致；是否有税务局公章1 1 月份 2 2 月份 3 3 月份 2 . 对每个需要测试的控制点，要有明确的测试的描述。C1: 每月，财务部税务管理处根据资产管理公司提供的科目余额表，编制投资业务营业税及附加计算表及营业税申报表，并经过税务处处经理、部经理室、总经理室层层审核批准。 （ R1 ）C2: 财务部税务处在总经理室批准的营业税申报表上加盖财务专用章，在税法规定时限内进行纳税申报。 （ R2 ）C3: 税务处核对税务机关申报后打印的税收缴款书金额是否与总经理室同意的金额一致。如果一致，税务处根据税收缴款书填制报销单，经部室经理签字同意后，资金处完成资金支付。如不一致，则要重新向部经理室、总经理室报告批准。 （ R3 ）C4: 核算会计岗（复核人员）审核缴税业务记账凭证会计分录及金额是否正确，凭证附件是否齐全，手续是否完备，审核无误后在 CLA F 系统中复核确认。 (R4 ）3 .对于任意抽取的情况，需要计算覆盖率，即整体数据的数量及样品数量的比例。4 . 涉及的风险点与控制点要明确标明并有简要描述。R1: 如何保证投资业务营业税及附加计算的正确性？R2: 如何保证营业税及附加及时、正确申报？R3: 如何保证营业税及附加及时、正确缴纳？R4: 如何保证营业税及附加正确进行会计处理？5 . 对每个样品的测试要有图例，如： 代表无例外或异常情况N A 不适用 代表例外或异常情况，要在下面详细说明6 . 例外或异常情况，通常代表两种情况： 属于特殊情况，不是控制缺陷： 要详细说明为什么不是缺陷。如有必要，扩大样品数量。 控制缺陷，在下面的发现问题中说明。发现问题/差异描述应包括 相应的控制点的编号问题编号投资业务营业税及附加计算表 纳税申报表8税收缴款书/报销单3 5 7中国人寿4 0 4 条款遵循工作模版- - 风险矩阵分支机构名称：总公司财务部流程所属部门负责人姓名及联系方式：赵立军流程所属岗位人员姓名及联系方式：李国栋子流程名称及编号：投资业务营业税 1 . 0 4 . 1 . 3涉及财务报表科目哪里会出错( 风险点)提纲挈领的控制活动简介 ( 控制点)完整性认定存在性/发生性认定计价或衡量认定权利和义务的认定表达和披露认定 是否为关键控制是否具有反舞弊功能控制是否存在控制存在的证明性资料（从穿行测试中获取）内部往来；银行存款R 1: 如何保证投资业务营业税及附加计算的正确性？C 1: 每月，财务部税务管理处根据资产管理公司提供的科目余额表，编制投资业务营业税及附加计算表及营业税申报表，并经过税务处处经理、部经理室、总经理室层层审核批准。 是 否 是科目余额表，投资业务营业税及附加计算表, 营业税申报表内部往来；银行存款R 2: 如何保证营业税及附加及时、正确申报？C 2: 财务部税务处在总经理室批准的营业税申报表上加盖财务专用章，在税法规定时限内进行纳税申报。 是 否 是 营业税申报表内部往来；银行存款R 3: 如何保证营业税及附加及时、正确缴纳？C 3: 税务处核对税务机关申报后打印的税收缴款书金额是否与总经理室同意的金额一致。如果一致，税务处根据税收缴款书填制报销单，经部经理室签字同意后，资金处完成资金支付。如不一致，则要重新向部经理室、总经理室报告批准。 是 否 是 税收缴款书，报销单内部往来；银行存款R 4; 如何保证营业税及附加正确进行会计处理？C 4: 核算会计岗（复核人员）审核缴税业务记账凭证会计分录及金额是否正确，凭证附件是否齐全，手续是否完备，审核无误后在 C L A F 系统中复核确认。 是 是 是 记帐凭证制度 组织 职责 系统 业务流程图 19 内控文档整合集中化 1、识别业务流程中的风险 2、定义降低风险的控制及控制测试 风险 控制 控制测试 3、定义内控管理相关组织岗位 . 风险经理 控制经理 测试员 测试审核员 IDS Scheer AG 20 统计分析功能，协助企业快速掌握风险分布，进行业务优化 例如，对不同业务流程的风险分布分析 IDS Scheer AG 21 IDS Scheer AG 系统接收完成01确定货位上货架02计价03核对票据并填写入库审批单04审批入库同意入库 不同意物资供应中心储运管理实施细则W M S 仓库管理信息系统物资供应中心物资入库单物资组装调试流程组装调试合格系统接收完成物资检验流程国产物资初验流程进口物资初验流程国产物资初验完成系统接收完成进口物资初验完成系统接收完成E A M 资产管理系统发票接收后05审批入库同意入库 不同意06月底核对票据报帐物资供应中心物资收、支. . .物资供应中心物资入库单物资供应中心入库审批单物资供应中心入库审批单物资供应中心总仓库保管员物资供应中心入库审批单 物资供应中心分管储运副主任结束物资供应中心总仓库核算员物资供应中心总仓库核算员物资供应中心总仓库核算员物资供应中心总仓库主任物资供应中心储运管理实施细则报账审批流程入库前未对采购合同、入库单进行详. . .同一套业务流程模型，可以维护不同管理主题的信息 流程 质量管理信息 安全管理信息 内控管理信息 . 22 IDS Scheer AG 基于同一套业务流程，输出各种管理主题需要的报告 流程 由一个流程 自动导出 各种流程文档 风险控制文档 岗位职责说明书 质量管理文件 系统接收完成01确定货位上货架02计价03核对票据并填写入库审批单04审批入库同意入库 不同意物资供应中心储运管理实施细则W M S 仓库管理信息系统物资供应中心物资入库单物资组装调试流程组装调试合格系统接收完成物资检验流程国产物资初验流程进口物资初验流程国产物资初验完成系统接收完成进口物资初验完成系统接收完成E A M 资产管理系统发票接收后05审批入库同意入库 不同意06月底核对票据报帐物资供应中心物资收、支. . .物资供应中心物资入库单物资供应中心入库审批单物资供应中心入库审批单物资供应中心总仓库保管员物资供应中心入库审批单 物资供应中心分管储运副主任结束物资供应中心总仓库核算员物资供应中心总仓库核算员物资供应中心总仓库核算员物资供应中心总仓库主任物资供应中心储运管理实施细则报账审批流程入库前未对采购合同、入库单进行详. . .23 IDS Scheer AG “ 远程建模、集中管理、统一发布 ” ARIS 知识库 分析 , 优化和管理 在全球范围，全体员工 交流风险管理知识 ARIS 数据库 = 全面风险管理体系持续优化的基础 项目经理 /系统管理员 流程和风险负责人/建模员 公司范围流程和风险建模 公司全体员工 /浏览用户 ARIS 知识库 /服务器 R1:如何保证投资业务营业税及附加.C1测试定义财务部税务管理处业务层面测试组内控审核组投资营业税及附加 风险经理组控制经理组24 IDS Scheer AG 解决方案的特点 特点 1：搭建一个业务部门和风险管理部门共同使用的知识管理平台 搭建涵盖所有业务范围的业务流程数据库 网络部署及应用架构，分布建模、集中管理、网络发布及浏览，满足大型企业应用需求 基于数据库的、集成的建模方式，一次维护、全面共享、单点维护，提高质量，降低成本 特点 2：提高了业务流程和风险制度管理及宣贯效率，降低成本 基于业务流程的风险管理方案，根据实际业务识别风险，在业务操作中控制风险 满足对业务流程多种应用的需求，例如系统实施、风险控制、职责管理等 多种统计分析功能，满足业务和风险管理的决策信息需求 25 IDS Scheer AG 风险评估模块 风险方案设计 风险评估 体系手册发布 风险管理策略 风险应对措施 /控制活动 内部环境管理 企业组织结构 企业目标 职责分离检查 在线发布 监控及预警 监督及改进 测试任务管理 统计分析 缺陷分析及认 定 风险评价 风险分析 风险识别 管理体系设计控制实施监督及改进离线发布 信息系统一致 性检查 测试及记录 责任签署 风险管理组织 企业业务流程 指标监控及预警 测试结果审核 整改及跟踪 事件收集 事件分析 事件认定 风险事件管理 事件监控 建模模块 风险评估模块 发布模块 监控及预警模块 测试及评价模块 风险事件管理模块 26 IDS Scheer AG ARIS软件产品的风险评估解决方案 发起评估任务 风险在线评估 风险评价统计分析 创建风险评估任务 风险评估结果审核 组织 风险编号 风险名称 风险描述 相关流程 影响类别 发生概率 风险类型 影响的目标 风险责任人 风险认定 相关文档 风险类别 1 风险类别 2 27 IDS Scheer AG 对风险评估结果进行定量、定性分析，确定重要风险 风险经理对所有的风险评估结果，进行定量和定性分析，确定重要的风险 定量分析热图 定性分析热图 风险发生概率 风险破坏性 极低 低 平均 高 极高 极低 低 平均 高 极高 Risk Manager （风险经理） 28 IDS Scheer AG 风险评估结果趋势分析，掌握风险变化规律 对多次评估结果进行统计分析，掌握风险变化规律 评估日期 风险发生概率趋势分析：风险发生概率 最大损失发生概率 平均损失发生概率 最小损失发生概率 Risk Manager （风险经理） 29 IDS Scheer AG 解决方案的特点 特点 1：通过流程信息化，建立持续的风险评估工作机制 特点 2： 基于同一个平台展现风险评估结果，全面掌握风险分布及风险变化情况 人工或系统自动发起风险评估任务 明确风险评估责任人 固化风险评估流程 风险坐标图，明确公司重要风险 风险趋势图，掌握风险变化趋势 30 IDS Scheer AG 风险事件管理模块 风险方案设计 风险评估 体系手册发布 风险管理策略 风险应对措施 /控制活动 内部环境管理 企业组织结构 企业目标 职责分离检查 在线发布 监控及预警 监督及改进 测试任务管理 统计分析 缺陷分析及认 定 风险评价 风险分析 风险识别 管理体系设计控制实施监督及改进离线发布 信息系统一致 性检查 测试及记录 责任签署 风险管理组织 企业业务流程 指标监控及预警 测试结果审核 整改及跟踪 事件收集 事件分析 事件认定 风险事件管理 事件监控 建模模块 风险评估模块 发布模块 测试及评价模块 监控及预警模块 风险事件管理模块 31 IDS Scheer AG ARIS软件产品的风险信息收集解决方案 损失事件报备 损失事件分析及认定 损失事件统计 32 IDS Scheer AG 多维度的统计分析，提高损失事件管理的应用价值 信用风险 损失 信用风险 金额 平均损失 方差 本年累计损失事件数量 本年累计损失金额 更新损失事件 事件发生时间 损失金额 控制减少的损失金额 33 IDS Scheer AG 解决方案的特点 特点 1：通过流程信息化，建立持续的风险事件搜集机制 特点 2： 建立公司统一的风险事件库，为风险评估和应对提供数据支持 规范风险事件搜集的信息 固化风险事件管理流程 快速掌握风险分布，明确重要风险 掌握风险变化趋势 34 IDS Scheer AG 监控及预警模块 风险方案设计 风险评估 体系手册发布 风险管理策略 风险应对措施 /控制活动 内部环境管理 企业组织结构 企业目标 职责分离检查 在线发布 监控及预警 监督及改进 测试任务管理 统计分析 缺陷分析及认 定 风险评价 风险分析 风险识别 管理体系设计控制实施监督及改进离线发布 信息系统一致 性检查 测试及记录 责任签署 风险管理组织 企业业务流程 指标监控及预警 测试结果审核 整改及跟踪 事件收集 事件分析 事件认定 风险事件管理 事件监控 建模模块 风险评估模块 发布模块 测试及评价模块 风险事件管理模块 监控及预警模块 35 风险指标监控及预警系统架构 ARIS Performance Dashboard 报警 与 行动 规律 结构分析 , 对标分析 Alerts 捕捉事件 监控指标 关注 : 实时 行动 关注 : 过去分析 优化 监控趋势 结构化分析 追溯原因 业务事件 灵活的 实时适配器 全体事件 减化后的数据 大容量数据 IDS Scheer AG 36 Legacy Database Technology Application TN3270 MVS TN3270 NetView Console TN3270 VM Console TANDEM TN6530 BULL GCOS7 IOF BULL GCOS8 Console Manager BULL GCOS8 TSS VT220 Terminal Minitel Oracle DB2 SQL Server 2000 SyBase MySQL ODBC JMS HTTP FTP IBM WebSphere MQ SOAP/XML SNMP SMTP Socket Server Web Player Execution of VB Script and JavaScript code Ping UDP TCP Log File Encapsulation Circular File Writer Log Reader Standard Output of a periodically executed program Windows NT Shell connections NT Log Event connections POP3 Remote Access Service .Net SAP ERP SAP Enterprise SAP Netweaver SAP BW / BI WebSphere WebLogic webMethods Tibco BMC Software Patrol CA-Unicenter TNG TIVOLI TEC Candle Omegamon Netview HP OpenView Cisco IBM Director Whats Up Vantage Server Keynote Topaze Newtest OmniVision 强大的数据抽取功能 无需代理 (Agent-less)技术 最小化对信息系统的影响 基于向导 不用编码 易于配置与维护 从信息系统中映射原始数据到业务对象 IDS Scheer AG 37 IDS Scheer AG 风险指标监控及预警 38 IDS Scheer AG 事件监控 事件监控（基于预设规则） 如果一个订单的优先级“很高”， 而且 超过 5天没人处理 那么发送一封邮件给销售人员， 并通知订单处理部门的经理或上级主管 1 2 3 4 5 6 7 8 9 Time 39 IDS Scheer AG 39 灵活适用于各种信息系统访问权限与职责分离的自动化检查工具 数据 收集 模型 信息 管理制度 职责分离矩阵模型 系统控制要求 职责分离矩阵 权限配置检查 访问权限检查 权限检查工具 自动检查工具 序号 违反职责分离要求的系统角色1 Z : G _ H Y H B _ S D 0 0 1 _ B S X D 0 2 维护客户主数据 F D 2 4 信用管理2 Z : G _ H Y H B _ S D 0 0 1 _ B S X D 0 1 维护客户主数据 F D 2 4 信用管理3 Z : G _ H Y H B _ S D 0 0 7 _ B S V A 0 2 审批销售订单 V A 0 2 维护销售订单4 Z : G _ H Y H B _ S D 0 1 1 _ B S V A 0 2 审批销售订单 V A 0 2 维护销售订单5 Z : G _ H Y H B _ S D 0 1 2 _ B S V A 0 2 审批销售订单 V A 0 2 维护销售订单6 Z : G _ H Y H B _ S D 0 1 4 _ B S V A 0 2 审批销售订单 V A 0 2 维护销售订单7 Z : G _ H Y H B _ S D 0 1 7 _ B S V A 0 2 审批销售订单 V A 0 2 维护销售订单8 Z : G _ H Y H B _ F I 0 1 4 _ B S F D 3 2 信用管理 V A 0 1 维护销售订单违反职责分离要求的事务代码组合违反职责分离的系统用户 违反的职责分离内容 运行系统 系统权限（ T-Code） 系统角色 （ ROLE) 信息系统 40 IDS Scheer AG 测试及评价模块 风险方案设计 风险评估 体系手册发布 风险管理策略 风险应对措施 /控制活动 内部环境管理 企业组织结构 企业目标 职责分离检查 在线发布 监控及预警 监督及改进 测试任务管理 统计分析 缺陷分析及认 定 风险评价 风险分析 风险识别 管理体系设计控制实施监督及改进离线发布 信息系统一致 性检查 测试及记录 责任签署 风险管理组织 企业业务流程 指标监控及预警 测试结果审核 整改及跟踪 事件收集 事件分析 事件认定 风险事件管理 事件监控 建模模块 风险评估模块 发布模块 监控及预警模块 风险事件管理模块 测试及评价模块 41 IDS Scheer AG 手册管理、测试及评价的信息共享 创建测试任务 记录测试结果与审核 接受测试任务 提出建议与改进跟踪 测试结果统计分析 例外事项分析 手册管理 42 IDS Scheer AG 实时、多维度的统计分析，协助快速出具测试报告 组织 /分支机构 流程 /业务领域 风险类别 风险定义 新建 在处理 完成 控制有效 控制无效 不可测试 控制缺陷 清晰掌握控制缺陷的分布 清晰掌握不同业务机构控制执行情况 System （系统管理员） 43 IDS Scheer AG 解决方案的特点 特点 1：通过流程信息化，建立测试及整改工作机制，规范了检查工作 特点 2：整合了测试过程中所使用的相关文档，提高工作效率 特点 3：快速、集中、多维度的统计分析，提高工作效率和决策质量 44 IDS Scheer AG 议程 内控与全面风险管理面临的挑战 内控与全面风险管理的信息化解决方案 1 2 内控与全面风险管理系统应用案例介绍 3 45 项目背景及挑战 挑战 1：业务流程管理水平低，增加了内控管理的难度，影响内控管理工作的落实 基于不同管理主题的，多套流程描述并存 流程标准化程度较低，业务相同的各业务单元的流程差异较大 IDS Scheer AG 挑战 2：内控手册管理难度大，管理成本高昂 内控手册变更、修订工作量大，效率高低下 内控要素的统计分析的工作量大，难以为风险管理决策，提供及时的信息支持 46 项目背景及挑战（续） 挑战 3：内控测试组织难度大，测试成本高昂 测试人员众多，内控测试工作的协调难度大，效率低 测试相关文档例如风险控制文档、测试计划表、测试记录表等管理难度较大 测试结果统计分析工作量大、错误多、效率低 测试工作底稿归档、查询难度大，难以再利用 IDS Scheer AG 47 系统应用架构 业务建模 手册、流程、风险、控制、测试 测试任务 例外事项 缺陷评估 责任签署 汇总分析 内控审计测试支持 ERP系统等其他 IT系统 数据 传输 风险控制 测试定义 SOX测试 用户角色 内控手册 业务流程 流程监控 流程报警 流程绩效管理 数据传输 模型发布 门户部署 模型发布 数据 传输 数据传输 数据传输 数据传输 流程实施 ERP蓝图 配置 ERP蓝图 建模 IDS Scheer AG 48 建立了涵盖公司业务范围的统一的业务流程架构 在原有股份公司 17个一级流程目录基础上，扩展了业务流程架构，为建立统一的企业流程管理体系建立了基础 IDS Scheer AG 49 集成式的风险和流程建模 IDS Scheer China R1:如何保证投资业务营业税及附加. . .C1测试定义财务部税务管理处业务层面测试组内控审核组投资营业税及附加风险经理组控制经理组财务部财务部经理财务部税务管理处财务部资金处财务部会计处财务部会计处处长财务部税务管理处处长财务部资金处处长财务部会计处会计岗财务部会计处核算会计岗财务部税务管理处税务专员财务部资金处出纳岗每月4日递交投资业务交易明细资料按照现行税法编制委托资产营业税.审核通过不通过审核审核纳税申报核对税收缴款书添制报销单审核支付资金处理帐务AMC财务部财务部税务管理处税务专员财务部税务管理处处长财务部经理通过不通过通过不通过总经理室财务部税务管理处税务专员一致不一致财务部税务管理处税务专员通过不通过财务部资金处出纳岗财务部会计处会计岗财务部会计处核算会计岗审核通过不通过复核确认财务部会计处核算会计岗结束R1:如何保证投资业务营业税及附加.R2:如何保证营业税及附加及时、正.R3:如何保证营业税及附加及时、正.R4:如何保证营业税及附加正确进行.财务部税务管理处税务专员财务部经理营业税金及附件计算准确