内控管理系统白皮书.doc

内控管理系统白皮书1.前言12.为什么企业需要内控管理系统22.1.企业需要内控22.2.传统手工内控存在问题和困难22.3.IT内控系统使得内控更健全、有效和合理23.如何评价内控管理系统34.慧点科技内控管理系统34.1.体系架构34.2.功能说明64.2.1.内控管理业务功能框架64.2.2.产品主要功能74.2.3.产品功能详单144.3.产品特色154.3.1.IBM强大的平台能力符合SOA架构易于拓展154.3.2.多层、分级、可拆分的组织树与用户权限管理能力154.3.3.随时监控的内控驾驶舱，指引内控工作164.3.4.强大的报表、报告能力174.3.5.灵活定义内控测试计划和流程并实时监控174.3.6.手册矩阵一体化管理184.3.7.内控集成平台实现与其他业务系统集成，为实时监控与关键事件报警奠定基础194.4.解决方案与案例205.结论211. 前言随着企业的高速发展，越来越多的企业都进入了股市，成为了上市企业。但近年来出现了几个大公司发生财务舞弊事件，如安然事件，导致投资者怀疑企业内部控制是否有效，希望企业提高内部控制的力度和有效性，保证发布的财务报告的准确性。2002年美国萨班斯法案的确立，在法律上明确要求在美上市企业加强内部控制，之后在世界各地也都有相应的法律和规定，要求企业加强内部控制。如何防止财务舞弊和欺诈，如何加强企业内部控制并迅速发现企业问题，成为企业继续向前发展的一个非常重要的课题。2. 为什么企业需要内控管理系统2.1. 企业需要内控u 内控可以帮助企业合规遵从：根据相关法规和法案的要求，进行企业内部控制，能使企业合规，企业的控制遵从法律或者规定文件的相关要求。保证企业对外的形象。增强投资者的信心。u 及时发现企业存在问题：企业通过加强内部控制，可以发现企业实际业务或者管理流程上的设计缺陷或者执行缺陷，及时纠正问题，保证企业健康成长。u 降低企业风险发生：企业加强内部控制，能增强企业风险管理意识，减轻风险发生的可能性，避免企业遭受不必要的损失。2.2. 传统手工内控存在问题和困难u 工作量大效率低：控制点点多面广，数量大，涉及人员多；测试工作面临人力、物力等资源压力。u 标准维护不及时：经营模式变化导致控制点动态化，手册、矩阵维护不及时；测试工作中存在判断标准的不统一；u 监控过程不透明：内控测试工作与正常工作冲突；通过测试只能达到事后监督；2.3. IT内控系统使得内控更健全、有效和合理u 内部控制日常化：文档及时维护，（标准的）测评和整改在部门内随时开展，把控制工作推到前台。u 文档完善与时效性：及时反映流程、控制点的变化，不仅要准确描述，更要及时更新，并且能及时准确的传播。u 提升内控管理的价值与效果：发现问题，及时整改和修补，关注过程和结果，能随时监控关注问题，使得内控工作更透明。3. 如何评价内控管理系统越来越多的企业采用了内控管理系统，内控系统的作用不仅要能帮助企业合规，更重要的是加强企业的内部控制，及时发现企业的问题，并加以改进。一个好的内控管理系统应该具备以下特征：u 强大的内控手册和矩阵管理能力，并能迅速传达，做到标准统一。u 灵活定义测试流程，完整监控测试工作，使得内控工作透明化。u 全面的报表和报告能力展现，提供企业多种角色查看和决策。u 内控不仅要满足企业合规要求，内控目标逐渐多元化，内控范围也逐渐拓宽，最终走向全面内控，从而服务于企业的发展目标。u 内部控制准确及时，帮助内控工作常态化。u 内部控制导向趋于风险化，可关联或者发展为风险管理为导向的内部控制体系。u 内控管理系统必须满足管理集中、任务分级的内控管理业务要求，并适应企业内控工作模式和业务的变化。4. 慧点科技内控管理系统针对企业合规与遵从，企业对内控的需求，慧点科技提供了完善的企业内控解决方案。ICM（Intranet Control Manager简称）系统是慧点科技在IBM内控平台（WBCR）上为中国企业搭建的具有中国特色的企业内控平台。作为企业内控平台，产品设计目标旨在满足企业合规要求，加强企业全面控制，发现企业存在问题并进行整改，以提高企业效率，确保企业健康成长。慧点ICM为企业实现全面控制提供了一个全新而又优秀的解决方案。4.1. 体系架构慧点内控管理平台系统从垂直方向上，分为多个层次，包括信息门户与展现层、业务系统系统层、应用支撑与工具层、基础设施层，而安全管理和管理管理贯穿于各个层面，如下图所示：慧点内控管理平台总体框架u 法律法规层内控系统的定义是符合相关的法律法规要求，是合规的。u 基础设施层网络基础设施层为系统提供了必要的网络基础环境，提供了可靠、有效的信息传输服务通道，是各类信息的最终承载者。u 应用支撑层应用支撑层通过提供平台化的工具和功能，为内控管理业务的实现提供支持。业务应用系统层通过统一的接口，来访问应用支撑基础平台。u 业务系统应用层业务系统应用层提供在一个统一框架之上的各类内控管理业务应用，包括内控文档维护、内控测试、内控执行与报告等等。实现内控管理业务的处理，规范不同人员（执行人（被测人）、测试人、答疑人、质检人、控制点责任人、管理层等）在系统中的操作，监控各项内控管理工作的执行效能，提高工作质量，便于管理层运营决策，有助于内控管理最大化的发挥其管理效力。u 信息门户与展现层信息门户与展现层包括了报告管理平台和内控管理信息门户两大部分，报告管理平台可以根据业务系统应用层所记录的数据，依据不同的组织单位汇总统计出各种内控报表，输出管理层报告，包括计划完成分析、业务执行分析、进度监控、管理者视图/报告、统计结果/分析报告等。u 安全管理对于整个系统而言，安全管理将贯穿系统的始终。信息安全为系统建立了一个完整的安全体系框架，在各层面为系统提供用户管理和访问控制、完整性、可用性等安全服务。u 系统管理同安全管理相类似，系统管理也是贯穿于整个系统的各个层面。完成系统的初始化管理、配置管理、运行维护管理和监控等。4.2. 功能说明4.2.1. 内控管理业务功能框架手册维护业务内容内控测试执行情况报告整改计划执行主体内控专有部门自测业务部门人员（不相容原则）检测所有者整改执行：业务部门整改监督设计缺陷：内控专有部门执行缺陷：检测所有者考核检测业务部门外公司外外审人员内控人员内审人员其他专业人员4.2.2. 产品主要功能4.2.2.1. 手册维护手册查看：不同级别机构的用户可以看到所属机构范围内的控制手册。手册下载：不同级别机构的用户可以下载所属机构范围内的控制手册。手册上传：不同级别机构的内控管理人员可以上传控制手册到所属机构系统内。手册版本管理：对手册的更新进行版本管理，可以查看历史版本手册。可以比对历史版本内容。手册的自动更新：与控制矩阵相同的内容，在控制矩阵更新之后自动进行更新，并发出更新提示。手册更新审批：手册中非矩阵信息需要单独修改的，由负责部门提出，走流程审批。流程图的生成：根据内部控制手册、矩阵的描述，按不同子流程生成业务管理的流程图。流程图的自动更新：业务管理流程图在控制手册、控制矩阵修改之后自动进行更新，并发出更新提示。4.2.2.2. 内控矩阵维护矩阵信息展现：信息展现方式包括矩阵的集合式视图（比如树状结构）和控制点详细信息的平面视图。按照总部/省/地市等级别，分别展现各级别下的内容。高级别机构可以查看低级别机构的矩阵信息。可以进行矩阵信息比对式查看。可以网页形式（如表格方式）展示控制矩阵，同时提供信息筛选功能。矩阵信息查询：按照不同的关键条件查询不同范围内的矩阵信息，提供友好的列表展示，支持分页定制。查询结果可以钻取出更详细的信息。矩阵Excel导出：支持导出全部或部分矩阵信息的导出功能。导出参数可定制。矩阵在线编辑：矩阵各要素信息可以在线逐个增删改。矩阵Excel导入：支持导入全部或部分矩阵信息的导入功能。导入参数可定制。矩阵版本管理：矩阵发生重大变化时，可以利用版本策略标注出新的版本号，切换当前版本。可以查看历史版本的信息。可以比对历史信息。134.2.2.3. 内控矩阵信息变更变更申请：流程参与部门人员或控制点负责人在控制点上发现问题可以提出控制点变更申请；业务部门根据业务要求提出变更申请；管理层按照管理要求发出变更指示。变更类型包括修改、删除、新增。变更比对：对提交的变更内容提供在线比对功能，以方便相关人员识别变更。可以进行变更历史比对。横向沟通：按照变更内容的级别，发起不同范围内的沟通和审批流程。结合现状进行新流程的现场记录，并提炼控制点、分析差异、归纳缺陷和提出改进建议等。变更落实：对于审批通过的变更，应落实到矩阵信息中。保证矩阵信息的完整性和一致性。变更报备：在本级机构中更新完矩阵后，可以将更新结果报备到上级机构中。变更上报：在本级机构中沟通好的变更内容如果属于需要上级机构审批的，可以定期上报变更申请。特别情况下，也可以上报紧急变更。变更下发：上级机构确定的变更内容下发给下级机构落实4.2.2.4. 内控计划计划制定：审计人员按年度制定本年度的内控测试计划。可以重新制定，也可以从上一年度未完成的计划中转移。计划审批：审计部门或公司领导层对本年度计划进行审批，给出审批意见。查看资源配置：对于本级内的年度资源计划使用情况进行查看，发现冲突。计划查看：相关人员可以随时查看已审批通过的计划。计划执行：内控测试计划开始时，在此纪录执行期计划的基本信息4.2.2.5. 内控测试底稿模板管理：对内控测试中用到的模板进行管理，可以修改模板内容。测试方案准备：制定测试方案、测试工作计划等的流程审批过程。下发测试通知：通知被测试单位本次测试相关事项及内容。任务分配：按控制点、人员、路径等指标来分配任务。设定检测人、质检人、责任人等信息。实施测试：抽查样本、审阅、询问、重复验证。测试发现与记录：测试人员将测试结果记录在工作底稿中。内控质监：质检员对测试结果进行确认。测试审核：测试组长对所有测试结果进行审核。测试结果汇总：系统支持对测试结果的汇总查看。4.2.2.6. 内控报告控制点分类统计：按照控制点的基本属性分类统计。包括内控矩阵本身的分析和多个业务单元之间对同一控制流程进行对比分析。包括省公司与集团标准流程、省公司之间、省公司与地市公司以及地市公司之间的同一控制流程对比分析等功能。对比分析的要素包括：控制点编号、控制点描述、流程描述、控制状态（无效、有效、修补中）、控制点级别（A/B/C）、控制发生的频率、控制点负责人、穿行测试资料名称、版本号等任务分配统计报告：按人、地区等统计任务分配情况。测试进度统计报告：按人、地区等统计测试进度报告，提供监控报表和状态图。测试结果统计报告：按测试结果类型分类统计，和历史结果对比统计。测试缺陷分布报告：按照缺陷类型、地区分类统计。4.2.2.7. 内控整改整改建议汇总：系统能够实现对不同审计发现和建议的汇总。发送整改通知：根据控制点落实整改责任部门。确认整改计划：责任部门和人员确认及反馈整改计划，明确整改内容和时间，并经部门负责人审批。提交整改结果：相关负责人填写并提交整改结果。整改结果审批：整改结果经部门领导审批，然后报审计部。整改结果检查：审计部对落实情况进行检查并确认落实结果。整改结果报告：定期形成整改报告。4.2.3. 产品功能详单慧点ICM系统功能清单一慧点ICM系统功能清单二4.3. 产品特色4.3.1. IBM强大的平台能力符合SOA架构易于拓展IBM强大的平台使得我们可以建立灵活的、易于扩展的内控管理平台，以适应企业内控管理模式与业务的变化，平台提供众多成熟插槽，可以用搭积木的实现新功能的拼装与扩展；支持开放的控制框架，可以用来执行基于COSO、CobiT或者其他内部控制活动。4.3.2. 多层、分级、可拆分的组织树与用户权限管理能力系统具有很强的管理和拆分能力，能建立一个灵活的、可拓展的体系架构，适应未来企业分支机构不断增长，适应企业未来系统用户量的不断增长。 4.3.3. 随时监控的内控驾驶舱，指引内控工作系统提供内控的管理视图，在此视图可以完整监控内控工作的执行情况。4.3.4. 强大的报表、报告能力系统能提供各种各样用户需要的，如控制点分类报告、控制点测试情况报告、控制点整改情况报告、控制点测试任务分配报告、控制点测试结果报告，测试人员工作状态报告等等。4.3.5. 灵活定义内控测试计划和流程并实时监控系统底层有强大的工作流引擎作为支撑，所以我们可以灵活定义内控测试的流程，并对内控工作进行实时监控，帮助提高内控工作效率。4.3.6. 手册矩阵一体化管理内控手册和矩阵统一存放在文档中心，统一管理，可以方便安全的进行授权、维护、查询等操作。手册和矩阵的维护有版本管理。不同的版本可以互相比较。手册和矩阵内容的新增或者变更，可以跟工作流引擎紧密结合，灵活定制相应的业务流程，全过程的管理手册和矩阵的维护和更新。另外矩阵和手册的修改可以相互同步更新。如，修改了矩阵的控制点描述，系统能自动更新到手册中相应控制点的描述，避免重复劳动，提高内控工作效率。控制点比较图一控制点比较图二4.3.7. 内控集成平台实现与其他业务系统集成，为实时监控与关键事件报警奠定基础内控系统平台提供了与业务系统的接口支持，如财务系统、ERP系统等等。能方便的监控非手工控制点的情况，并发出预警信息，实现实时的企业内控。财务报销实时监控图4.4. 解决方案与案例4.4.1. 集中式内控管理解决方案华能国际内控系统4.4.1.1. 案例特点n 客户特点n 业务简单n 高度集权专职测评人员内控测评质量监督人员独立内审人员n 案例特点n 形成一套强有力的管理体系n 利用内控系统实现了内控测评工作日常化 4.4.1.2. 系统实践业务工作模式功能实现管理模式 业务上内控处对专职测评人员的垂直管理 定岗定责 灵活的组织结构定义 强大的用户管理与权限管理工作方法 总部内控处完成内控手册的维护，同时对测评工作进行计划、指导与监督，提交内控报告 分厂专职内控测评人员以关键控制点为重点进行全面测评 独立审计人员实施独立监督 内控文档管理系统 个性化工作台 内控测评在线监控 内控工作咨询与答疑 内控缺陷整改的实时跟踪 内控总体视图与内控报告保障机制 良好的内部环境 配套的考核制度 做好培训工作 内置工作模板库 样例库 在线咨询与答疑系统4.4.1.3. 系统价值更加规范效率更高质量更好更加透明4.4.2. 分布式内控管理解决方案浙江移动内控系统4.4.2.1. 案例特点内控工作组n 客户特点n 多级管理n 业务比较复杂n 案例特点n 在内控业务开展上有创新u 灵活组建的内控工作组u 利用业务部门的自测实现工作常态化u 形成计划、自测、质检、整改的闭环管理u 任务分派，分片测评，全局覆盖n 利用内控系统实现了内控结果与过程的管理，实现内控工作的自动化、常态化，同时要实现实时监控4.4.2.2. 系统实践业务工作模式功能实现管理模式 管理集中、任务分级 灵活的内控工作组 平台级的组织结构定义与拆分