流程管理：企業(yè)內(nèi)控的根本

流程管理：企業(yè)內(nèi)控的根本 IDS Scheer內(nèi)控與全面風險管理解決方案 IDS Scheer 中國 2009年 5月 2 IDS Scheer AG 成立于 1984年，創(chuàng)始人為德國著名管理信息學教授August-Wilhelm Scheer 博士，現(xiàn)任公司監(jiān)事會主席 董事會 : Peter Grard （ CEO 兼總裁） Dr. Wolfram Jost Dr. Dirk Oevermann Jrg Vandreier 1999年在德國法蘭克福上市，公司股票現(xiàn)為德國高新技術藍籌股 TecDAX的績優(yōu)股 營業(yè)收入 （百萬歐元） 員 工 人數(shù) 2007年 : 3.93 億歐元 2007年底 : 2992 人 IDS Scheer 公司擁有深厚的學術背景和卓越的業(yè)務績效 0501001502002503003504004501999 2000 2001 2002 2003 2004 2005 2006 200705001000150020002500300035001999 2000 2001 2002 2003 2004 2005 2006 20073 IDS Scheer AG IDS Scheer 助力中國企業(yè)的管理水平與國際接軌 3 愛迪斯（上海）軟件有限公司 ARIS軟件及 BPM咨詢服務 上海、北京、深圳 分支機構所在地 企業(yè)業(yè)務流程管理 企業(yè)治理、風險控制和 合規(guī)管理 企業(yè)流程智能及績效管理 企業(yè) IT架構規(guī)劃和系統(tǒng)選型 流程驅動的 SAP系統(tǒng)實施 系統(tǒng)整合和 SOA架構實施 SAP系統(tǒng)優(yōu)化 SAP系統(tǒng)運維 SAP咨詢服務 上海（總部）、北京、深圳 分支機構所在地 愛迪斯（上海）軟件有限公司 4 IDS Scheer AG 大量著名企業(yè)成為 IDS Scheer 中國公司的客戶 5 IDS Scheer AG 議程 內(nèi)控與全面風險管理面臨的挑戰(zhàn) 內(nèi)控與全面風險管理的信息化解決方案 1 2 內(nèi)控與全面風險管理系統(tǒng)應用案例介紹 3 6 IDS Scheer AG 企業(yè)面臨的外部要求 股東 證券交易所 內(nèi)控與全面風險管理 政府部門 行業(yè)監(jiān)管部門 國資委： 中央企業(yè)全面風險管理指引 治理結構 財政部： 企業(yè)內(nèi)部控制基本規(guī)范 薩班斯法案 上海證券交易所上市公司內(nèi)部控制指引 深圳證券交易所上市公司內(nèi)部控制指引 保險公司風險管理指引（試行） 商業(yè)銀行操作風險管理指引 7 IDS Scheer AG 上述法律法規(guī)，要求企業(yè)建立適合自身特點的管理體系 內(nèi)部環(huán)境 公司層面 業(yè)務單元 子公司 風險評估 控制活動 信息與溝通 內(nèi)部監(jiān)督 指導框架 公司環(huán)境 管理 銷售 物料管理 采購 排產(chǎn) 組織視圖 銷售處理 檢查 信用額度 確定 交付日期 詢價處理 報價處理 功能視圖 報價 客戶 詢價 數(shù)據(jù)視圖 詢價處理 詢價 已受理 詢價處理 完畢 報價處理 客戶報價 詢價 銷售 流程視圖 客戶訂單 客戶詢價 客戶報價 產(chǎn)品 /服務視圖 8 IDS Scheer AG 基本規(guī)范 和 全面風險管理指引 的解讀 序號 基本規(guī)范 全面風險管理指引 1 內(nèi)部環(huán)境 第一章 總則 第七章 風險管理組織體系 第九章 風險管理文化 第十章 附則 2 風險評估 第二章 風險管理初始信息 3 第三章 風險評估 4 控制活動 第四章 風險管理策略 第五章 風險管理解決方案 5 6 信息與溝通 第八章 風險管理信息系統(tǒng) 7 內(nèi)部監(jiān)督 第六章 風險管理的監(jiān)督與改進 9 IDS Scheer AG 內(nèi)控與全面風險管理體系 風險方案設計 風險評估 體系手冊發(fā)布 風險管理策略 風險應對措施 /控制活動 內(nèi)部環(huán)境管理 企業(yè)組織結構 企業(yè)目標 職責分離檢查 在線發(fā)布 監(jiān)控及預警 監(jiān)督及改進 測試任務管理 統(tǒng)計分析 缺陷分析及認 定 風險評價 風險分析 風險識別 管理體系設計控制實施監(jiān)督及改進離線發(fā)布 信息系統(tǒng)一致 性檢查 測試及記錄 責任簽署 風險管理組織 企業(yè)業(yè)務流程 指標監(jiān)控及預警 測試結果審核 整改及跟蹤 事件收集 事件分析 事件認定 風險事件管理 事件監(jiān)控 10 IDS Scheer AG 體系設計面臨的挑戰(zhàn) 風險方案設計 風險評估 體系手冊發(fā)布 風險管理策略 風險應對措施 /控制活動 內(nèi)部環(huán)境管理 企業(yè)組織結構 企業(yè)目標 職責分離檢查 在線發(fā)布 監(jiān)控及預警 監(jiān)督及改進 測試任務管理 統(tǒng)計分析 缺陷分析及認 定 風險評價 風險分析 風險識別 管理體系設計控制實施監(jiān)督及改進離線發(fā)布 信息系統(tǒng)一致 性檢查 測試及記錄 責任簽署 風險管理組織 企業(yè)業(yè)務流程 指標監(jiān)控及預警 測試結果審核 整改及跟蹤 事件收集 事件分析 事件認定 風險事件管理 事件監(jiān)控 管理要點 設計符合要求的內(nèi)部控制及全面風險管理體系，并根據(jù)公司內(nèi)外部環(huán)境，例如組織結構、業(yè)務流程、信息系統(tǒng)等調(diào)整進行相應的調(diào)整和優(yōu)化 建立體系文件，提高體系的透明度，以確?？蓤?zhí)行、可審計 關鍵挑戰(zhàn) 體系文件更新，編制、審核的工作量大，版本管理難度大 體系難以根據(jù)環(huán)境的變化進行及時調(diào)整和優(yōu)化 11 IDS Scheer AG 控制實施面臨的挑戰(zhàn) 風險方案設計 風險評估 體系手冊發(fā)布 風險管理策略 風險應對措施 /控制活動 內(nèi)部環(huán)境管理 企業(yè)組織結構 企業(yè)目標 職責分離檢查 在線發(fā)布 監(jiān)控及預警 監(jiān)督及改進 測試任務管理 統(tǒng)計分析 缺陷分析及認 定 風險評價 風險分析 風險識別 管理體系設計控制實施監(jiān)督及改進離線發(fā)布 信息系統(tǒng)一致 性檢查 測試及記錄 責任簽署 風險管理組織 企業(yè)業(yè)務流程 指標監(jiān)控及預警 測試結果審核 整改及跟蹤 事件收集 事件分析 事件認定 風險事件管理 事件監(jiān)控 管理要點 按照體系設計方案執(zhí)行相關控制措施，確保設計與執(zhí)行的一致性 實施過程保留可審計的控制實施證據(jù) 關鍵挑戰(zhàn) 缺乏有效的發(fā)布實施平臺，體系推廣實施的成本高 人工控制過多，控制成本高昂 12 IDS Scheer AG 體系監(jiān)督及改進面臨的挑戰(zhàn) 風險方案設計 風險評估 體系手冊發(fā)布 風險管理策略 風險應對措施 /控制活動 內(nèi)部環(huán)境管理 企業(yè)組織結構 企業(yè)目標 職責分離檢查 在線發(fā)布 監(jiān)控及預警 監(jiān)督及改進 測試任務管理 統(tǒng)計分析 缺陷分析及認 定 風險評價 風險分析 風險識別 管理體系設計控制實施監(jiān)督及改進離線發(fā)布 信息系統(tǒng)一致 性檢查 測試及記錄 責任簽署 風險管理組織 企業(yè)業(yè)務流程 指標監(jiān)控及預警 測試結果審核 整改及跟蹤 事件收集 事件分析 事件認定 風險事件管理 事件監(jiān)控 管理要點 對體系設計和實施的有效性進行監(jiān)督，并出具體系有效性的自我評價 保留體系監(jiān)督的過程資料，以保證監(jiān)督測試過程的可審計 關鍵挑戰(zhàn) 體系監(jiān)督工作量大、協(xié)調(diào)難度高，監(jiān)督成本高昂 監(jiān)督工作資料多，整理、統(tǒng)計、分析和再利用難度較大 13 IDS Scheer AG 導致的后果 難以滿足持續(xù)合規(guī)需求 難以滿足不斷 增加的合規(guī)要求 影響業(yè)務效率 合規(guī)成本高 14 IDS Scheer AG 美國上市公司 SOX法案遵從的經(jīng)驗啟示 階段 1 階段 2 階段 3 階段 4 階段 5 法規(guī)準備 內(nèi)控體系完善 人工 內(nèi)控測試評價與報告 實施 IT系統(tǒng)支持內(nèi)控測試與報告 實施 IT系統(tǒng)支持內(nèi)控文檔管理 流程標準化，增強體系可擴展性 集成的全面風險管理信息系統(tǒng)：風險評估、損失事件庫、控制自動化等功能應用 發(fā)展階段（時間） 15 IDS Scheer AG 議程 內(nèi)控與全面風險管理面臨的挑戰(zhàn) 內(nèi)控與全面風險管理的信息化解決方案 1 2 內(nèi)控與全面風險管理系統(tǒng)應用案例介紹 3 16 IDS Scheer AG 內(nèi)控與全面風險管理的信息化解決方案 風險方案設計 風險評估 體系手冊發(fā)布 風險管理策略 風險應對措施 /控制活動 內(nèi)部環(huán)境管理 企業(yè)組織結構 企業(yè)目標 職責分離檢查 在線發(fā)布 監(jiān)控及預警 監(jiān)督及改進 測試任務管理 統(tǒng)計分析 缺陷分析及認 定 風險評價 風險分析 風險識別 管理體系設計控制實施監(jiān)督及改進離線發(fā)布 信息系統(tǒng)一致 性檢查 測試及記錄 責任簽署 風險管理組織 企業(yè)業(yè)務流程 指標監(jiān)控及預警 測試結果審核 整改及跟蹤 事件收集 事件分析 事件認定 風險事件管理 事件監(jiān)控 建模模塊 風險評估模塊 發(fā)布模塊 監(jiān)控及預警模塊 監(jiān)督及改進模塊 風險事件管理模塊 17 IDS Scheer AG 建模模塊及發(fā)布模塊 風險方案設計 風險評估 體系手冊發(fā)布 風險管理策略 風險應對措施 /控制活動 內(nèi)部環(huán)境管理 企業(yè)組織結構 企業(yè)目標 職責分離檢查 在線發(fā)布 監(jiān)控及預警 監(jiān)督及改進 測試任務管理 統(tǒng)計分析 缺陷分析及認 定 風險評價 風險分析 風險識別 管理體系設計控制實施監(jiān)督及改進離線發(fā)布 信息系統(tǒng)一致 性檢查 測試及記錄 責任簽署 風險管理組織 企業(yè)業(yè)務流程 指標監(jiān)控及預警 測試結果審核 整改及跟蹤 事件收集 事件分析 事件認定 風險事件管理 事件監(jiān)控 建模模塊 風險評估模塊 監(jiān)控及預警模塊 測試及評價模塊 風險事件管理模塊 發(fā)布模塊 18 IDS Scheer AG 分散的體系文檔 流程描述文檔 風險控制矩陣 內(nèi)控測試文檔 該流程涉及的部門 ( 與流程圖所示部門一致 ) 財務部稅務管理處、財務部 資金管理處、財務部會計處 描述 一、背景介紹 總部財務部負責公司委托資產(chǎn)營業(yè)稅及附加的計算、申報和繳納。本流程主要 了解 營業(yè)稅及附加計算、申報和繳納過程 。 相關 IT 系統(tǒng)：資產(chǎn)管理公司金手指系統(tǒng) 二、可能的風險 R 1: 如何保證投資業(yè)務營業(yè)稅及附加計算的正確性？ ( C 1) R 2: 如何保證營業(yè)稅及附加及時、正確申報？ ( C 2) R 3: 如何保證營業(yè)稅及附加及時、正確繳納？ （ C3 ） R 4: 如何保證營業(yè)稅及附加正確進行會計 處理 ？ （ C 4 ） 三、對應的控制 C 1: 每月， 財務部稅務管理處根據(jù)資產(chǎn)管理公司 提供的科目余額表，編制投資業(yè)務營業(yè)稅及附加計算表及營業(yè)稅申報表，并經(jīng)過稅務處處經(jīng)理、部經(jīng)理室、總經(jīng)理室層層審核批準。 （ R1 ） C 2: 財務部稅務處在 總經(jīng)理室批準 的 營業(yè)稅 申報表 上 加蓋財務專用章，在稅法規(guī)定時限內(nèi)進行納稅申報。 （ R2 ） C 3: 稅務處核對稅務機關申報后打印的稅收繳款書金額 是否 與總經(jīng)理室同意的金額一致。如果一致，稅務處根據(jù)稅收繳款書填制報銷單， 經(jīng)部 室 經(jīng)理簽字同意后，資金處完成資金支付。 如不一致，則要重新向部經(jīng)理室、總經(jīng)理室報告批準。 （ R3 ） C 4: 核算 會計 崗（復核人員） 審核繳稅業(yè)務 記賬 憑證會計分錄及金額是否正確，憑證附件是否齊全，手續(xù)是否完備，審核無誤后 在 C L AF 系統(tǒng)中復核確認。 ( R 4 ） 四、 詳細敘述本流程及控制 ( 請您確認所有流程及控制點的描述與流程圖完全一致 ) 中國人壽4 0 4 條款遵循工作控制測試模板控制編號/描述 H O - T - 1 . 0 4 . 1 . 3流程 1 .0 4 、應交稅金及遞延數(shù)據(jù), 1 .0 4 .1 .3 投資業(yè)務營業(yè)稅金及附加重大科目 內(nèi)部往來；銀行存款交易類型 常規(guī)相應風險與控制編號 R1 、 R2 、 R3 、 R4 ； C1 、 C2 、 C3 、 C4流程負責人 財務部總經(jīng)理 趙立軍測試負責人 內(nèi)控合規(guī)部 邊江審閱人 安永 尹霞完成日期 1 0 - Ma y詳細測試記錄應包括的內(nèi)容： 1 . 對抽樣樣品的詳細記錄，包括相應文件的編號、序列號，時間或日期，數(shù)量，數(shù)目等。詳細記錄的程度應該保證其他人在做相同的測試時，可以在采用同樣的樣品的前提下，得到同樣的結論。同時，在其他人審查的過程中，不需要看到單據(jù)或文件的復印件，對測試結果可以做出獨立的但相同的結論。步驟號 1 4 6樣品序列號 月份營業(yè)稅計稅依據(jù)、計提比率是否符合規(guī)定應交城建稅金、教育費附加的計提方法、比率是否符合當?shù)囟惙ㄒ?guī)定營業(yè)稅計稅基數(shù)是否正確計算的應交營業(yè)稅金是否正確計算的應交城建稅金、教育費附加是否正確是否經(jīng)過稅務處處長、財務部總經(jīng)理和總經(jīng)理室簽章審批申報表金額是否與營業(yè)稅及附加計算表 一致是否加蓋財務專用章繳稅金額是否與納稅申報表一致；是否有稅務局公章1 1 月份 2 2 月份 3 3 月份 2 . 對每個需要測試的控制點，要有明確的測試的描述。C1: 每月，財務部稅務管理處根據(jù)資產(chǎn)管理公司提供的科目余額表，編制投資業(yè)務營業(yè)稅及附加計算表及營業(yè)稅申報表，并經(jīng)過稅務處處經(jīng)理、部經(jīng)理室、總經(jīng)理室層層審核批準。 （ R1 ）C2: 財務部稅務處在總經(jīng)理室批準的營業(yè)稅申報表上加蓋財務專用章，在稅法規(guī)定時限內(nèi)進行納稅申報。 （ R2 ）C3: 稅務處核對稅務機關申報后打印的稅收繳款書金額是否與總經(jīng)理室同意的金額一致。如果一致，稅務處根據(jù)稅收繳款書填制報銷單，經(jīng)部室經(jīng)理簽字同意后，資金處完成資金支付。如不一致，則要重新向部經(jīng)理室、總經(jīng)理室報告批準。 （ R3 ）C4: 核算會計崗（復核人員）審核繳稅業(yè)務記賬憑證會計分錄及金額是否正確，憑證附件是否齊全，手續(xù)是否完備，審核無誤后在 CLA F 系統(tǒng)中復核確認。 (R4 ）3 .對于任意抽取的情況，需要計算覆蓋率，即整體數(shù)據(jù)的數(shù)量及樣品數(shù)量的比例。4 . 涉及的風險點與控制點要明確標明并有簡要描述。R1: 如何保證投資業(yè)務營業(yè)稅及附加計算的正確性？R2: 如何保證營業(yè)稅及附加及時、正確申報？R3: 如何保證營業(yè)稅及附加及時、正確繳納？R4: 如何保證營業(yè)稅及附加正確進行會計處理？5 . 對每個樣品的測試要有圖例，如： 代表無例外或異常情況N A 不適用 代表例外或異常情況，要在下面詳細說明6 . 例外或異常情況，通常代表兩種情況： 屬于特殊情況，不是控制缺陷： 要詳細說明為什么不是缺陷。如有必要，擴大樣品數(shù)量。 控制缺陷，在下面的發(fā)現(xiàn)問題中說明。發(fā)現(xiàn)問題/差異描述應包括 相應的控制點的編號問題編號投資業(yè)務營業(yè)稅及附加計算表 納稅申報表8稅收繳款書/報銷單3 5 7中國人壽4 0 4 條款遵循工作模版- - 風險矩陣分支機構名稱：總公司財務部流程所屬部門負責人姓名及聯(lián)系方式：趙立軍流程所屬崗位人員姓名及聯(lián)系方式：李國棟子流程名稱及編號：投資業(yè)務營業(yè)稅 1 . 0 4 . 1 . 3涉及財務報表科目哪里會出錯( 風險點)提綱挈領的控制活動簡介 ( 控制點)完整性認定存在性/發(fā)生性認定計價或衡量認定權利和義務的認定表達和披露認定 是否為關鍵控制是否具有反舞弊功能控制是否存在控制存在的證明性資料（從穿行測試中獲?。﹥?nèi)部往來；銀行存款R 1: 如何保證投資業(yè)務營業(yè)稅及附加計算的正確性？C 1: 每月，財務部稅務管理處根據(jù)資產(chǎn)管理公司提供的科目余額表，編制投資業(yè)務營業(yè)稅及附加計算表及營業(yè)稅申報表，并經(jīng)過稅務處處經(jīng)理、部經(jīng)理室、總經(jīng)理室層層審核批準。 是 否 是科目余額表，投資業(yè)務營業(yè)稅及附加計算表, 營業(yè)稅申報表內(nèi)部往來；銀行存款R 2: 如何保證營業(yè)稅及附加及時、正確申報？C 2: 財務部稅務處在總經(jīng)理室批準的營業(yè)稅申報表上加蓋財務專用章，在稅法規(guī)定時限內(nèi)進行納稅申報。 是 否 是 營業(yè)稅申報表內(nèi)部往來；銀行存款R 3: 如何保證營業(yè)稅及附加及時、正確繳納？C 3: 稅務處核對稅務機關申報后打印的稅收繳款書金額是否與總經(jīng)理室同意的金額一致。如果一致，稅務處根據(jù)稅收繳款書填制報銷單，經(jīng)部經(jīng)理室簽字同意后，資金處完成資金支付。如不一致，則要重新向部經(jīng)理室、總經(jīng)理室報告批準。 是 否 是 稅收繳款書，報銷單內(nèi)部往來；銀行存款R 4; 如何保證營業(yè)稅及附加正確進行會計處理？C 4: 核算會計崗（復核人員）審核繳稅業(yè)務記賬憑證會計分錄及金額是否正確，憑證附件是否齊全，手續(xù)是否完備，審核無誤后在 C L A F 系統(tǒng)中復核確認。 是 是 是 記帳憑證制度 組織 職責 系統(tǒng) 業(yè)務流程圖 19 內(nèi)控文檔整合集中化 1、識別業(yè)務流程中的風險 2、定義降低風險的控制及控制測試 風險 控制 控制測試 3、定義內(nèi)控管理相關組織崗位 . 風險經(jīng)理 控制經(jīng)理 測試員 測試審核員 IDS Scheer AG 20 統(tǒng)計分析功能，協(xié)助企業(yè)快速掌握風險分布，進行業(yè)務優(yōu)化 例如，對不同業(yè)務流程的風險分布分析 IDS Scheer AG 21 IDS Scheer AG 系統(tǒng)接收完成01確定貨位上貨架02計價03核對票據(jù)并填寫入庫審批單04審批入庫同意入庫 不同意物資供應中心儲運管理實施細則W M S 倉庫管理信息系統(tǒng)物資供應中心物資入庫單物資組裝調(diào)試流程組裝調(diào)試合格系統(tǒng)接收完成物資檢驗流程國產(chǎn)物資初驗流程進口物資初驗流程國產(chǎn)物資初驗完成系統(tǒng)接收完成進口物資初驗完成系統(tǒng)接收完成E A M 資產(chǎn)管理系統(tǒng)發(fā)票接收后05審批入庫同意入庫 不同意06月底核對票據(jù)報帳物資供應中心物資收、支. . .物資供應中心物資入庫單物資供應中心入庫審批單物資供應中心入庫審批單物資供應中心總倉庫保管員物資供應中心入庫審批單 物資供應中心分管儲運副主任結束物資供應中心總倉庫核算員物資供應中心總倉庫核算員物資供應中心總倉庫核算員物資供應中心總倉庫主任物資供應中心儲運管理實施細則報賬審批流程入庫前未對采購合同、入庫單進行詳. . .同一套業(yè)務流程模型，可以維護不同管理主題的信息 流程 質(zhì)量管理信息 安全管理信息 內(nèi)控管理信息 . 22 IDS Scheer AG 基于同一套業(yè)務流程，輸出各種管理主題需要的報告 流程 由一個流程 自動導出 各種流程文檔 風險控制文檔 崗位職責說明書 質(zhì)量管理文件 系統(tǒng)接收完成01確定貨位上貨架02計價03核對票據(jù)并填寫入庫審批單04審批入庫同意入庫 不同意物資供應中心儲運管理實施細則W M S 倉庫管理信息系統(tǒng)物資供應中心物資入庫單物資組裝調(diào)試流程組裝調(diào)試合格系統(tǒng)接收完成物資檢驗流程國產(chǎn)物資初驗流程進口物資初驗流程國產(chǎn)物資初驗完成系統(tǒng)接收完成進口物資初驗完成系統(tǒng)接收完成E A M 資產(chǎn)管理系統(tǒng)發(fā)票接收后05審批入庫同意入庫 不同意06月底核對票據(jù)報帳物資供應中心物資收、支. . .物資供應中心物資入庫單物資供應中心入庫審批單物資供應中心入庫審批單物資供應中心總倉庫保管員物資供應中心入庫審批單 物資供應中心分管儲運副主任結束物資供應中心總倉庫核算員物資供應中心總倉庫核算員物資供應中心總倉庫核算員物資供應中心總倉庫主任物資供應中心儲運管理實施細則報賬審批流程入庫前未對采購合同、入庫單進行詳. . .23 IDS Scheer AG “ 遠程建模、集中管理、統(tǒng)一發(fā)布 ” ARIS 知識庫 分析 , 優(yōu)化和管理 在全球范圍，全體員工 交流風險管理知識 ARIS 數(shù)據(jù)庫 = 全面風險管理體系持續(xù)優(yōu)化的基礎 項目經(jīng)理 /系統(tǒng)管理員 流程和風險負責人/建模員 公司范圍流程和風險建模 公司全體員工 /瀏覽用戶 ARIS 知識庫 /服務器 R1:如何保證投資業(yè)務營業(yè)稅及附加.C1測試定義財務部稅務管理處業(yè)務層面測試組內(nèi)控審核組投資營業(yè)稅及附加 風險經(jīng)理組控制經(jīng)理組24 IDS Scheer AG 解決方案的特點 特點 1：搭建一個業(yè)務部門和風險管理部門共同使用的知識管理平臺 搭建涵蓋所有業(yè)務范圍的業(yè)務流程數(shù)據(jù)庫 網(wǎng)絡部署及應用架構，分布建模、集中管理、網(wǎng)絡發(fā)布及瀏覽，滿足大型企業(yè)應用需求 基于數(shù)據(jù)庫的、集成的建模方式，一次維護、全面共享、單點維護，提高質(zhì)量，降低成本 特點 2：提高了業(yè)務流程和風險制度管理及宣貫效率，降低成本 基于業(yè)務流程的風險管理方案，根據(jù)實際業(yè)務識別風險，在業(yè)務操作中控制風險 滿足對業(yè)務流程多種應用的需求，例如系統(tǒng)實施、風險控制、職責管理等 多種統(tǒng)計分析功能，滿足業(yè)務和風險管理的決策信息需求 25 IDS Scheer AG 風險評估模塊 風險方案設計 風險評估 體系手冊發(fā)布 風險管理策略 風險應對措施 /控制活動 內(nèi)部環(huán)境管理 企業(yè)組織結構 企業(yè)目標 職責分離檢查 在線發(fā)布 監(jiān)控及預警 監(jiān)督及改進 測試任務管理 統(tǒng)計分析 缺陷分析及認 定 風險評價 風險分析 風險識別 管理體系設計控制實施監(jiān)督及改進離線發(fā)布 信息系統(tǒng)一致 性檢查 測試及記錄 責任簽署 風險管理組織 企業(yè)業(yè)務流程 指標監(jiān)控及預警 測試結果審核 整改及跟蹤 事件收集 事件分析 事件認定 風險事件管理 事件監(jiān)控 建模模塊 風險評估模塊 發(fā)布模塊 監(jiān)控及預警模塊 測試及評價模塊 風險事件管理模塊 26 IDS Scheer AG ARIS軟件產(chǎn)品的風險評估解決方案 發(fā)起評估任務 風險在線評估 風險評價統(tǒng)計分析 創(chuàng)建風險評估任務 風險評估結果審核 組織 風險編號 風險名稱 風險描述 相關流程 影響類別 發(fā)生概率 風險類型 影響的目標 風險責任人 風險認定 相關文檔 風險類別 1 風險類別 2 27 IDS Scheer AG 對風險評估結果進行定量、定性分析，確定重要風險 風險經(jīng)理對所有的風險評估結果，進行定量和定性分析，確定重要的風險 定量分析熱圖 定性分析熱圖 風險發(fā)生概率 風險破壞性 極低 低 平均 高 極高 極低 低 平均 高 極高 Risk Manager （風險經(jīng)理） 28 IDS Scheer AG 風險評估結果趨勢分析，掌握風險變化規(guī)律 對多次評估結果進行統(tǒng)計分析，掌握風險變化規(guī)律 評估日期 風險發(fā)生概率趨勢分析：風險發(fā)生概率 最大損失發(fā)生概率 平均損失發(fā)生概率 最小損失發(fā)生概率 Risk Manager （風險經(jīng)理） 29 IDS Scheer AG 解決方案的特點 特點 1：通過流程信息化，建立持續(xù)的風險評估工作機制 特點 2： 基于同一個平臺展現(xiàn)風險評估結果，全面掌握風險分布及風險變化情況 人工或系統(tǒng)自動發(fā)起風險評估任務 明確風險評估責任人 固化風險評估流程 風險坐標圖，明確公司重要風險 風險趨勢圖，掌握風險變化趨勢 30 IDS Scheer AG 風險事件管理模塊 風險方案設計 風險評估 體系手冊發(fā)布 風險管理策略 風險應對措施 /控制活動 內(nèi)部環(huán)境管理 企業(yè)組織結構 企業(yè)目標 職責分離檢查 在線發(fā)布 監(jiān)控及預警 監(jiān)督及改進 測試任務管理 統(tǒng)計分析 缺陷分析及認 定 風險評價 風險分析 風險識別 管理體系設計控制實施監(jiān)督及改進離線發(fā)布 信息系統(tǒng)一致 性檢查 測試及記錄 責任簽署 風險管理組織 企業(yè)業(yè)務流程 指標監(jiān)控及預警 測試結果審核 整改及跟蹤 事件收集 事件分析 事件認定 風險事件管理 事件監(jiān)控 建模模塊 風險評估模塊 發(fā)布模塊 測試及評價模塊 監(jiān)控及預警模塊 風險事件管理模塊 31 IDS Scheer AG ARIS軟件產(chǎn)品的風險信息收集解決方案 損失事件報備 損失事件分析及認定 損失事件統(tǒng)計 32 IDS Scheer AG 多維度的統(tǒng)計分析，提高損失事件管理的應用價值 信用風險 損失 信用風險 金額 平均損失 方差 本年累計損失事件數(shù)量 本年累計損失金額 更新?lián)p失事件 事件發(fā)生時間 損失金額 控制減少的損失金額 33 IDS Scheer AG 解決方案的特點 特點 1：通過流程信息化，建立持續(xù)的風險事件搜集機制 特點 2： 建立公司統(tǒng)一的風險事件庫，為風險評估和應對提供數(shù)據(jù)支持 規(guī)范風險事件搜集的信息 固化風險事件管理流程 快速掌握風險分布，明確重要風險 掌握風險變化趨勢 34 IDS Scheer AG 監(jiān)控及預警模塊 風險方案設計 風險評估 體系手冊發(fā)布 風險管理策略 風險應對措施 /控制活動 內(nèi)部環(huán)境管理 企業(yè)組織結構 企業(yè)目標 職責分離檢查 在線發(fā)布 監(jiān)控及預警 監(jiān)督及改進 測試任務管理 統(tǒng)計分析 缺陷分析及認 定 風險評價 風險分析 風險識別 管理體系設計控制實施監(jiān)督及改進離線發(fā)布 信息系統(tǒng)一致 性檢查 測試及記錄 責任簽署 風險管理組織 企業(yè)業(yè)務流程 指標監(jiān)控及預警 測試結果審核 整改及跟蹤 事件收集 事件分析 事件認定 風險事件管理 事件監(jiān)控 建模模塊 風險評估模塊 發(fā)布模塊 測試及評價模塊 風險事件管理模塊 監(jiān)控及預警模塊 35 風險指標監(jiān)控及預警系統(tǒng)架構 ARIS Performance Dashboard 報警 與 行動 規(guī)律 結構分析 , 對標分析 Alerts 捕捉事件 監(jiān)控指標 關注 : 實時 行動 關注 : 過去分析 優(yōu)化 監(jiān)控趨勢 結構化分析 追溯原因 業(yè)務事件 靈活的 實時適配器 全體事件 減化后的數(shù)據(jù) 大容量數(shù)據(jù) IDS Scheer AG 36 Legacy Database Technology Application TN3270 MVS TN3270 NetView Console TN3270 VM Console TANDEM TN6530 BULL GCOS7 IOF BULL GCOS8 Console Manager BULL GCOS8 TSS VT220 Terminal Minitel Oracle DB2 SQL Server 2000 SyBase MySQL ODBC JMS HTTP FTP IBM WebSphere MQ SOAP/XML SNMP SMTP Socket Server Web Player Execution of VB Script and JavaScript code Ping UDP TCP Log File Encapsulation Circular File Writer Log Reader Standard Output of a periodically executed program Windows NT Shell connections NT Log Event connections POP3 Remote Access Service .Net SAP ERP SAP Enterprise SAP Netweaver SAP BW / BI WebSphere WebLogic webMethods Tibco BMC Software Patrol CA-Unicenter TNG TIVOLI TEC Candle Omegamon Netview HP OpenView Cisco IBM Director Whats Up Vantage Server Keynote Topaze Newtest OmniVision 強大的數(shù)據(jù)抽取功能 無需代理 (Agent-less)技術 最小化對信息系統(tǒng)的影響 基于向導 不用編碼 易于配置與維護 從信息系統(tǒng)中映射原始數(shù)據(jù)到業(yè)務對象 IDS Scheer AG 37 IDS Scheer AG 風險指標監(jiān)控及預警 38 IDS Scheer AG 事件監(jiān)控 事件監(jiān)控（基于預設規(guī)則） 如果一個訂單的優(yōu)先級“很高”， 而且 超過 5天沒人處理 那么發(fā)送一封郵件給銷售人員， 并通知訂單處理部門的經(jīng)理或上級主管 1 2 3 4 5 6 7 8 9 Time 39 IDS Scheer AG 39 靈活適用于各種信息系統(tǒng)訪問權限與職責分離的自動化檢查工具 數(shù)據(jù) 收集 模型 信息 管理制度 職責分離矩陣模型 系統(tǒng)控制要求 職責分離矩陣 權限配置檢查 訪問權限檢查 權限檢查工具 自動檢查工具 序號 違反職責分離要求的系統(tǒng)角色1 Z : G _ H Y H B _ S D 0 0 1 _ B S X D 0 2 維護客戶主數(shù)據(jù) F D 2 4 信用管理2 Z : G _ H Y H B _ S D 0 0 1 _ B S X D 0 1 維護客戶主數(shù)據(jù) F D 2 4 信用管理3 Z : G _ H Y H B _ S D 0 0 7 _ B S V A 0 2 審批銷售訂單 V A 0 2 維護銷售訂單4 Z : G _ H Y H B _ S D 0 1 1 _ B S V A 0 2 審批銷售訂單 V A 0 2 維護銷售訂單5 Z : G _ H Y H B _ S D 0 1 2 _ B S V A 0 2 審批銷售訂單 V A 0 2 維護銷售訂單6 Z : G _ H Y H B _ S D 0 1 4 _ B S V A 0 2 審批銷售訂單 V A 0 2 維護銷售訂單7 Z : G _ H Y H B _ S D 0 1 7 _ B S V A 0 2 審批銷售訂單 V A 0 2 維護銷售訂單8 Z : G _ H Y H B _ F I 0 1 4 _ B S F D 3 2 信用管理 V A 0 1 維護銷售訂單違反職責分離要求的事務代碼組合違反職責分離的系統(tǒng)用戶 違反的職責分離內(nèi)容 運行系統(tǒng) 系統(tǒng)權限（ T-Code） 系統(tǒng)角色 （ ROLE) 信息系統(tǒng) 40 IDS Scheer AG 測試及評價模塊 風險方案設計 風險評估 體系手冊發(fā)布 風險管理策略 風險應對措施 /控制活動 內(nèi)部環(huán)境管理 企業(yè)組織結構 企業(yè)目標 職責分離檢查 在線發(fā)布 監(jiān)控及預警 監(jiān)督及改進 測試任務管理 統(tǒng)計分析 缺陷分析及認 定 風險評價 風險分析 風險識別 管理體系設計控制實施監(jiān)督及改進離線發(fā)布 信息系統(tǒng)一致 性檢查 測試及記錄 責任簽署 風險管理組織 企業(yè)業(yè)務流程 指標監(jiān)控及預警 測試結果審核 整改及跟蹤 事件收集 事件分析 事件認定 風險事件管理 事件監(jiān)控 建模模塊 風險評估模塊 發(fā)布模塊 監(jiān)控及預警模塊 風險事件管理模塊 測試及評價模塊 41 IDS Scheer AG 手冊管理、測試及評價的信息共享 創(chuàng)建測試任務 記錄測試結果與審核 接受測試任務 提出建議與改進跟蹤 測試結果統(tǒng)計分析 例外事項分析 手冊管理 42 IDS Scheer AG 實時、多維度的統(tǒng)計分析，協(xié)助快速出具測試報告 組織 /分支機構 流程 /業(yè)務領域 風險類別 風險定義 新建 在處理 完成 控制有效 控制無效 不可測試 控制缺陷 清晰掌握控制缺陷的分布 清晰掌握不同業(yè)務機構控制執(zhí)行情況 System （系統(tǒng)管理員） 43 IDS Scheer AG 解決方案的特點 特點 1：通過流程信息化，建立測試及整改工作機制，規(guī)范了檢查工作 特點 2：整合了測試過程中所使用的相關文檔，提高工作效率 特點 3：快速、集中、多維度的統(tǒng)計分析，提高工作效率和決策質(zhì)量 44 IDS Scheer AG 議程 內(nèi)控與全面風險管理面臨的挑戰(zhàn) 內(nèi)控與全面風險管理的信息化解決方案 1 2 內(nèi)控與全面風險管理系統(tǒng)應用案例介紹 3 45 項目背景及挑戰(zhàn) 挑戰(zhàn) 1：業(yè)務流程管理水平低，增加了內(nèi)控管理的難度，影響內(nèi)控管理工作的落實 基于不同管理主題的，多套流程描述并存 流程標準化程度較低，業(yè)務相同的各業(yè)務單元的流程差異較大 IDS Scheer AG 挑戰(zhàn) 2：內(nèi)控手冊管理難度大，管理成本高昂 內(nèi)控手冊變更、修訂工作量大，效率高低下 內(nèi)控要素的統(tǒng)計分析的工作量大，難以為風險管理決策，提供及時的信息支持 46 項目背景及挑戰(zhàn)（續(xù)） 挑戰(zhàn) 3：內(nèi)控測試組織難度大，測試成本高昂 測試人員眾多，內(nèi)控測試工作的協(xié)調(diào)難度大，效率低 測試相關文檔例如風險控制文檔、測試計劃表、測試記錄表等管理難度較大 測試結果統(tǒng)計分析工作量大、錯誤多、效率低 測試工作底稿歸檔、查詢難度大，難以再利用 IDS Scheer AG 47 系統(tǒng)應用架構 業(yè)務建模 手冊、流程、風險、控制、測試 測試任務 例外事項 缺陷評估 責任簽署 匯總分析 內(nèi)控審計測試支持 ERP系統(tǒng)等其他 IT系統(tǒng) 數(shù)據(jù) 傳輸 風險控制 測試定義 SOX測試 用戶角色 內(nèi)控手冊 業(yè)務流程 流程監(jiān)控 流程報警 流程績效管理 數(shù)據(jù)傳輸 模型發(fā)布 門戶部署 模型發(fā)布 數(shù)據(jù) 傳輸 數(shù)據(jù)傳輸 數(shù)據(jù)傳輸 數(shù)據(jù)傳輸 流程實施 ERP藍圖 配置 ERP藍圖 建模 IDS Scheer AG 48 建立了涵蓋公司業(yè)務范圍的統(tǒng)一的業(yè)務流程架構 在原有股份公司 17個一級流程目錄基礎上，擴展了業(yè)務流程架構，為建立統(tǒng)一的企業(yè)流程管理體系建立了基礎 IDS Scheer AG 49 集成式的風險和流程建模 IDS Scheer China R1:如何保證投資業(yè)務營業(yè)稅及附加. . .C1測試定義財務部稅務管理處業(yè)務層面測試組內(nèi)控審核組投資營業(yè)稅及附加風險經(jīng)理組控制經(jīng)理組財務部財務部經(jīng)理財務部稅務管理處財務部資金處財務部會計處財務部會計處處長財務部稅務管理處處長財務部資金處處長財務部會計處會計崗財務部會計處核算會計崗財務部稅務管理處稅務專員財務部資金處出納崗每月4日遞交投資業(yè)務交易明細資料按照現(xiàn)行稅法編制委托資產(chǎn)營業(yè)稅.審核通過不通過審核審核納稅申報核對稅收繳款書添制報銷單審核支付資金處理帳務AMC財務部財務部稅務管理處稅務專員財務部稅務管理處處長財務部經(jīng)理通過不通過通過不通過總經(jīng)理室財務部稅務管理處稅務專員一致不一致財務部稅務管理處稅務專員通過不通過財務部資金處出納崗財務部會計處會計崗財務部會計處核算會計崗審核通過不通過復核確認財務部會計處核算會計崗結束R1:如何保證投資業(yè)務營業(yè)稅及附加.R2:如何保證營業(yè)稅及附加及時、正.R3:如何保證營業(yè)稅及附加及時、正.R4:如何保證營業(yè)稅及附加正確進行.財務部稅務管理處稅務專員財務部經(jīng)理營業(yè)稅金及附件計算準確