内控与全面风险管理解决方案.ppt

1,© IDS Scheer AG www.ids-scheer.com,1,议程,内控与全面风险管理面临的挑战,内控与全面风险管理的信息化解决方案,1,2,内控与全面风险管理系统应用案例介绍,3,2,© IDS Scheer AG www.ids-scheer.com,2,企业面临的外部要求,股东,证券交易所,内控与全面风险管理,政府部门,行业监管部门,国资委：中央企业全面风险管理指引 治理结构,财政部：企业内部控制基本规范 ,萨班斯法案 上海证券交易所上市公司内部控制指引 深圳证券交易所上市公司内部控制指引 ,保险公司风险管理指引（试行） 商业银行操作风险管理指引 ,3,© IDS Scheer AG www.ids-scheer.com,3,上述法律法规，要求企业建立适合自身特点的管理体系,指导框架,公司环境,4,© IDS Scheer AG www.ids-scheer.com,4,基本规范和全面风险管理指引的解读,5,© IDS Scheer AG www.ids-scheer.com,5,内控与全面风险管理体系,风险方案设计,风险评估,体系手册发布,风险管理策略,风险应对措施/控制活动,内部环境管理,企业组织结构,企业目标,职责分离检查,在线发布,监控及预警,监督及改进,测试任务管理,统计分析,缺陷分析及认定,风险评价,风险分析,风险识别,管理体系设计,控制实施,监督及改进,离线发布,信息系统一致性检查,测试及记录,责任签署,风险管理组织,企业业务流程,指标监控及预警,测试结果审核,整改及跟踪,事件收集,事件分析,事件认定,风险事件管理,事件监控,6,© IDS Scheer AG www.ids-scheer.com,6,体系设计面临的挑战,风险方案设计,风险评估,体系手册发布,风险管理策略,风险应对措施/控制活动,内部环境管理,企业组织结构,企业目标,职责分离检查,在线发布,监控及预警,监督及改进,测试任务管理,统计分析,缺陷分析及认定,风险评价,风险分析,风险识别,管理体系设计,控制实施,监督及改进,离线发布,信息系统一致性检查,测试及记录,责任签署,风险管理组织,企业业务流程,指标监控及预警,测试结果审核,整改及跟踪,事件收集,事件分析,事件认定,风险事件管理,事件监控,管理要点 设计符合要求的内部控制及全面风险管理体系，并根据公司内外部环境，例如组织结构、业务流程、信息系统等调整进行相应的调整和优化 建立体系文件，提高体系的透明度，以确保可执行、可审计,关键挑战 体系文件更新，编制、审核的工作量大，版本管理难度大 体系难以根据环境的变化进行及时调整和优化,7,© IDS Scheer AG www.ids-scheer.com,7,控制实施面临的挑战,风险方案设计,风险评估,体系手册发布,风险管理策略,风险应对措施/控制活动,内部环境管理,企业组织结构,企业目标,职责分离检查,在线发布,监控及预警,监督及改进,测试任务管理,统计分析,缺陷分析及认定,风险评价,风险分析,风险识别,管理体系设计,控制实施,监督及改进,离线发布,信息系统一致性检查,测试及记录,责任签署,风险管理组织,企业业务流程,指标监控及预警,测试结果审核,整改及跟踪,事件收集,事件分析,事件认定,风险事件管理,事件监控,管理要点 按照体系设计方案执行相关控制措施，确保设计与执行的一致性 实施过程保留可审计的控制实施证据,关键挑战 缺乏有效的发布实施平台，体系推广实施的成本高 人工控制过多，控制成本高昂,8,© IDS Scheer AG www.ids-scheer.com,8,体系监督及改进面临的挑战,风险方案设计,风险评估,体系手册发布,风险管理策略,风险应对措施/控制活动,内部环境管理,企业组织结构,企业目标,职责分离检查,在线发布,监控及预警,监督及改进,测试任务管理,统计分析,缺陷分析及认定,风险评价,风险分析,风险识别,管理体系设计,控制实施,监督及改进,离线发布,信息系统一致性检查,测试及记录,责任签署,风险管理组织,企业业务流程,指标监控及预警,测试结果审核,整改及跟踪,事件收集,事件分析,事件认定,风险事件管理,事件监控,管理要点 对体系设计和实施的有效性进行监督，并出具体系有效性的自我评价 保留体系监督的过程资料，以保证监督测试过程的可审计,关键挑战 体系监督工作量大、协调难度高，监督成本高昂 监督工作资料多，整理、统计、分析和再利用难度较大,9,© IDS Scheer AG www.ids-scheer.com,9,导致的后果,难以满足持续合规需求,难以满足不断 增加的合规要求,影响业务效率,合规成本高,10,© IDS Scheer AG www.ids-scheer.com,10,美国上市公司SOX法案遵从的经验启示,阶段1,阶段2,阶段3,阶段4,阶段5,法规准备,内控体系完善,人工内控测试评价与报告,实施IT系统支持内控测试与报告 实施IT系统支持内控文档管理,流程标准化，增强体系可扩展性 集成的全面风险管理信息系统：风险评估、损失事件库、控制自动化等功能应用,发展阶段（时间）,11,© IDS Scheer AG www.ids-scheer.com,11,议程,内控与全面风险管理面临的挑战,内控与全面风险管理的信息化解决方案,1,2,内控与全面风险管理系统应用案例介绍,3,12,© IDS Scheer AG www.ids-scheer.com,12,内控与全面风险管理的信息化解决方案,风险方案设计,风险评估,体系手册发布,风险管理策略,风险应对措施/控制活动,内部环境管理,企业组织结构,企业目标,职责分离检查,在线发布,监控及预警,监督及改进,测试任务管理,统计分析,缺陷分析及认定,风险评价,风险分析,风险识别,管理体系设计,控制实施,监督及改进,离线发布,信息系统一致性检查,测试及记录,责任签署,风险管理组织,企业业务流程,指标监控及预警,测试结果审核,整改及跟踪,事件收集,事件分析,事件认定,风险事件管理,事件监控,建模模块,风险评估模块,发布模块,监控及预警模块,监督及改进模块,风险事件管理模块,13,© IDS Scheer AG www.ids-scheer.com,13,建模模块及发布模块,风险方案设计,风险评估,体系手册发布,风险管理策略,风险应对措施/控制活动,内部环境管理,企业组织结构,企业目标,职责分离检查,在线发布,监控及预警,监督及改进,测试任务管理,统计分析,缺陷分析及认定,风险评价,风险分析,风险识别,管理体系设计,控制实施,监督及改进,离线发布,信息系统一致性检查,测试及记录,责任签署,风险管理组织,企业业务流程,指标监控及预警,测试结果审核,整改及跟踪,事件收集,事件分析,事件认定,风险事件管理,事件监控,建模模块,风险评估模块,监控及预警模块,测试及评价模块,风险事件管理模块,发布模块,14,© IDS Scheer AG www.ids-scheer.com,14,分散的体系文档,流程描述文档,风险控制矩阵,内控测试文档,制度,组织,职责,系统,业务流程图,15,内控文档整合集中化,© IDS Scheer AG www.ids-scheer.com,16,统计分析功能，协助企业快速掌握风险分布，进行业务优化,例如，对不同业务流程的风险分布分析,© IDS Scheer AG www.ids-scheer.com,17,© IDS Scheer AG www.ids-scheer.com,17,© IDS Scheer AG www.ids-scheer.com,17,同一套业务流程模型，可以维护不同管理主题的信息,流程,质量管理信息,安全管理信息,内控管理信息,.,18,© IDS Scheer AG www.ids-scheer.com,18,基于同一套业务流程，输出各种管理主题需要的报告,流程,由一个流程 自动导出 各种流程文档,风险控制文档,岗位职责说明书,质量管理文件,19,© IDS Scheer AG www.ids-scheer.com,19,“远程建模、集中管理、统一发布”,ARIS 知识库,分析, 优化和管理,在全球范围，全体员工 交流风险管理知识,ARIS 数据库 = 全面风险管理体系持续优化的基础,项目经理/系统管理员,流程和风险负责人/建模员,公司范围流程和风险建模,公司全体员工/浏览用户,ARIS 知识库/服务器,20,© IDS Scheer AG www.ids-scheer.com,20,解决方案的特点,特点1：搭建一个业务部门和风险管理部门共同使用的知识管理平台,搭建涵盖所有业务范围的业务流程数据库,网络部署及应用架构，分布建模、集中管理、网络发布及浏览，满足大型企业应用需求,基于数据库的、集成的建模方式，一次维护、全面共享、单点维护，提高质量，降低成本,特点2：提高了业务流程和风险制度管理及宣贯效率，降低成本,基于业务流程的风险管理方案，根据实际业务识别风险，在业务操作中控制风险,满足对业务流程多种应用的需求，例如系统实施、风险控制、职责管理等,多种统计分析功能，满足业务和风险管理的决策信息需求,21,© IDS Scheer AG www.ids-scheer.com,21,风险评估模块,风险方案设计,风险评估,体系手册发布,风险管理策略,风险应对措施/控制活动,内部环境管理,企业组织结构,企业目标,职责分离检查,在线发布,监控及预警,监督及改进,测试任务管理,统计分析,缺陷分析及认定,风险评价,风险分析,风险识别,管理体系设计,控制实施,监督及改进,离线发布,信息系统一致性检查,测试及记录,责任签署,风险管理组织,企业业务流程,指标监控及预警,测试结果审核,整改及跟踪,事件收集,事件分析,事件认定,风险事件管理,事件监控,建模模块,风险评估模块,发布模块,监控及预警模块,测试及评价模块,风险事件管理模块,22,© IDS Scheer AG www.ids-scheer.com,22,ARIS软件产品的风险评估解决方案,发起评估任务,风险在线评估,风险评价统计分析,创建风险评估任务,23,© IDS Scheer AG www.ids-scheer.com,23,对风险评估结果进行定量、定性分析，确定重要风险,风险经理对所有的风险评估结果，进行定量和定性分析，确定重要的风险,定量分析热图,定性分析热图,Risk Manager （风险经理）,24,© IDS Scheer AG www.ids-scheer.com,24,风险评估结果趋势分析，掌握风险变化规律,对多次评估结果进行统计分析，掌握风险变化规律,Risk Manager （风险经理）,25,© IDS Scheer AG www.ids-scheer.com,25,解决方案的特点,特点1：通过流程信息化，建立持续的风险评估工作机制,特点2：基于同一个平台展现风险评估结果，全面掌握风险分布及风险变化情况,人工或系统自动发起风险评估任务,明确风险评估责任人,固化风险评估流程,风险坐标图，明确公司重要风险,风险趋势图，掌握风险变化趋势,26,© IDS Scheer AG www.ids-scheer.com,26,风险事件管理模块,风险方案设计,风险评估,体系手册发布,风险管理策略,风险应对措施/控制活动,内部环境管理,企业组织结构,企业目标,职责分离检查,在线发布,监控及预警,监督及改进,测试任务管理,统计分析,缺陷分析及认定,风险评价,风险分析,风险识别,管理体系设计,控制实施,监督及改进,离线发布,信息系统一致性检查,测试及记录,责任签署,风险管理组织,企业业务流程,指标监控及预警,测试结果审核,整改及跟踪,事件收集,事件分析,事件认定,风险事件管理,事件监控,建模模块,风险评估模块,发布模块,测试及评价模块,监控及预警模块,风险事件管理模块,27,© IDS Scheer AG www.ids-scheer.com,27,ARIS软件产品的风险信息收集解决方案,28,© IDS Scheer AG www.ids-scheer.com,28,多维度的统计分析，提高损失事件管理的应用价值,29,© IDS Scheer AG www.ids-scheer.com,29,解决方案的特点,特点1：通过流程信息化，建立持续的风险事件搜集机制,特点2：建立公司统一的风险事件库，为风险评估和应对提供数据支持,规范风险事件搜集的信息,固化风险事件管理流程,快速掌握风险分布，明确重要风险,掌握风险变化趋势,30,© IDS Scheer AG www.ids-scheer.com,30,监控及预警模块,风险方案设计,风险评估,体系手册发布,风险管理策略,风险应对措施/控制活动,内部环境管理,企业组织结构,企业目标,职责分离检查,在线发布,监控及预警,监督及改进,测试任务管理,统计分析,缺陷分析及认定,风险评价,风险分析,风险识别,管理体系设计,控制实施,监督及改进,离线发布,信息系统一致性检查,测试及记录,责任签署,风险管理组织,企业业务流程,指标监控及预警,测试结果审核,整改及跟踪,事件收集,事件分析,事件认定,风险事件管理,事件监控,建模模块,风险评估模块,发布模块,测试及评价模块,风险事件管理模块,监控及预警模块,31,风险指标监控及预警系统架构,ARIS Performance Dashboard,报警 与 行动,规律,结构分析, 对标分析,Alerts,捕捉事件 监控指标,关注: 实时 行动,关注: 过去分析 优化,监控趋势 结构化分析 追溯原因,业务事件,灵活的 实时适配器,全体事件,减化后的数据,大容量数据,© IDS Scheer AG www.ids-scheer.com,32,32,BFS,强大的数据抽取功能,无需代理(Agent-less)技术 最小化对信息系统的影响 基于向导 不用编码 易于配置与维护 从信息系统中映射原始数据到业务对象,© IDS Scheer AG www.ids-scheer.com,33,© IDS Scheer AG www.ids-scheer.com,33,风险指标监控及预警,34,© IDS Scheer AG www.ids-scheer.com,34,事件监控,事件监控（基于预设规则） “如果一个订单的优先级“很高”，而且超过5天没人处理” 那么发送一封邮件给销售人员， 并通知订单处理部门的经理或上级主管,1,2,3,4,5,6,7,8,9,Time,Events,35,© IDS Scheer AG www.ids-scheer.com,35,© IDS Scheer AG www.ids-scheer.com,35,35,灵活适用于各种信息系统访问权限与职责分离的自动化检查工具,数据 收集,模型 信息,管理制度,职责分离矩阵模型,系统控制要求 职责分离矩阵,权限配置检查 访问权限检查,权限检查工具,自动检查工具,样例,违反职责分离的系统用户,违反的职责分离内容,运行系统,系统权限（T-Code） 系统角色 （ROLE),信息系统,36,© IDS Scheer AG www.ids-scheer.com,36,测试及评价模块,风险方案设计,风险评估,体系手册发布,风险管理策略,风险应对措施/控制活动,内部环境管理,企业组织结构,企业目标,职责分离检查,在线发布,监控及预警,监督及改进,测试任务管理,统计分析,缺陷分析及认定,风险评价,风险分析,风险识别,管理体系设计,控制实施,监督及改进,离线发布,信息系统一致性检查,测试及记录,责任签署,风险管理组织,企业业务流程,指标监控及预警,测试结果审核,整改及跟踪,事件收集,事件分析,事件认定,风险事件管理,事件监控,建模模块,风险评估模块,发布模块,监控及预警模块,风险事件管理模块,测试及评价模块,37,© IDS Scheer AG www.ids-scheer.com,37,手册管理、测试及评价的信息共享,创建测试任务,接受测试任务,提出建议与改进跟踪,测试结果统计分析,例外事项分析,手册管理,38,© IDS Scheer AG www.ids-scheer.com,38,实时、多维度的统计分析，协助快速出具测试报告,组织/分支机构 流程/业务领域 风险类别 风险定义,新建 在处理 完成,控制有效 控制无效 不可测试 控制缺陷,清晰掌握控制缺陷的分布,清晰掌握不同业务机构控制执行情况,System （系统管理员）,39,© IDS Scheer AG www.ids-scheer.com,39,解决方案的特点,特点1：通过流程信息化，建立测试及整改工作机制，规范了检查工作,特点2：整合了测试过程中所使用的相关文档，提高工作效率,特点3：快速、集中、多维度的统计分析，提高工作效率和决策质量,40,© IDS Scheer AG www.ids-scheer.com,40,议程,内控与全面风险管理面临的挑战,内控与全面风险管理的信息化解决方案,1,2,内控与全面风险管理系统应用案例介绍,3,41,项目背景及挑战,挑战 1：业务流程管理水平低，增加了内控管理的难度，影响内控管理工作的落实,基于不同管理主题的，多套流程描述并存,流程标准化程度较低，业务相同的各业务单元的流程差异较大,© IDS Scheer AG www.ids-scheer.com,挑战2：内控手册管理难度大，管理成本高昂,内控手册变更、修订工作量大，效率高低下,内控要素的统计分析的工作量大，难以为风险管理决策，提供及时的信息支持,42,项目背景及挑战（续）,挑战3：内控测试组织难度大，测试成本高昂,测试人员众多，内控测试工作的协调难度大，效率低,测试相关文档例如风险控制文档、测试计划表、测试记录表等管理难度较大,测试结果统计分析工作量大、错误多、效率低,测试工作底稿归档、查询难度大，难以再利用,© IDS Scheer AG www.ids-scheer.com,43,系统应用架构,© IDS Scheer AG www.ids-scheer.com,44,建立了涵盖公司业务范围的统一的业务流程架构,在原有股份公司17个一级流程目录基础上，扩展了业务流程架构，为建立统一的企业流程管理体系建立了基础,© IDS Scheer AG www.ids-scheer.com,45,集成式的风险和流程建模,© IDS Scheer China www.ids-scheer.com.cn,风险管理目标,组织结构,业务流程,关键风险指标管理,业务控制图,风险图,46,搭建公司统一的业务流程和内控与风险管理门户,门户入口,部门管理视图,法律风险管理视图,© IDS Scheer AG www.ids-scheer.com,47,实现了内控审计测试工作流程的信息化,通过内控审计测试信息化，规范了内控审计测试流程，提高了内控审计的效率，降低了合规成本。,在线测试结果记录,© IDS Scheer AG www.ids-scheer.com,48,项目收益,收益一：实现业务流程的标准化、规范化管理，提高了业务管理水平,建立了统一的业务流程架构，涵盖公司全部业务领域，满足不同管理主题的需求,横向上，使一些部门职责交叉、重叠、缺失的问题得到了适当的解决,风险点、控制点、业务步骤清晰可视，要求明确，为执行、监督检查和考核提供了依据,纵向上，公司各级管理结构的管理界面和流程接口清晰界定,建立了公司范围内最佳实践的挖掘、推广机制，为公司业务优化奠定基础,© IDS Scheer AG www.ids-scheer.com,49,项目收益（续）,收益二：提高了内控管理工作效率和质量，降低了合规成本,通过业务流程和内控手册的信息化、集成建模，提高内控手册的修订效率,业务流程和内控手册的网络化管理，实现分布建模、集中管理，提供了协同工作效率,业务流程和内控手册的网络发布，满足不同部门和人员的浏览需求,内控测试工作的信息化，规范内控测试工作，并提高工作效率,及时、快捷的提供各种分析，作为内控管理决策依据，提高决策科学化,职责分离检查工具，实现对信息系统角色、权限管理的自动检查,ARIS4SAP及相关工具，实现了对信息系统设计和实施一致性的检查,© IDS Scheer AG www.ids-scheer.com,50,项目收益（续）,收益三：实现了内控管理工作与业务经营活动的有机融合,统一的业务流程管理体系，作为风险识别和业务执行的唯一依据,控制活动融入到业务流程的操作执行中，明确了岗位的风险和内控管理机制,内控检查和整改，不仅是内控体系有效性的保障，而且是业务执行力的保障,业务流程和内控手册变更、发布的一体化管理，确保业务和内控制度的一致性,© IDS Scheer AG www.ids-scheer.com,