COSO II框架介绍ppt课件.ppt

MichielJornaBusinessProcessSolutions,COSO介绍,包含GRC的COSOII解决方案场景的演示15.1516.00pm,如何,SoftwareAG的GRC解决方案如何支持COSO框架？,COSO框架2013年的更新,COSOCube(2013Edition),规划内控的17个原则,1992框架在概念上包含了17个相关原则并关联到五个内控组件这些原则是评估基础，五个组件是展现和功能目前这些概念已经通过17个原则来充分展示COSO委员会认为每个原则都有特定价值并且适用于所有实体假定相关如果某个原则不相关，需要记录其合理性,内控环境1.组织对正直和道德等价值观做出承诺2.董事会独立于管理层，并对内部控制的推进与成效加以监督控制。3.管理层围绕其目标，在治理层监督下，建立健全组织架构、汇报条线、合理的授权与责任等机制。4.组织对吸引、开发和保留与认同组织目标的人才做出承诺。5.组织根据其目标，使员工各自担负起内部控制的相关责任。,风险评估6.就识别和评估与其目标相关的风险，组织做出清晰的目标设定。7.组织对影响其目标实现的风险进行全范围的识别和分析，并以此为基础来决定风险应如何进行管理。8.组织在风险评估过程中，考虑潜在的舞弊行为。9.组织识别和评估对内部控制体系可能造成较大影响的改变。,控制活动10.组织选择并开展控制活动，将风险对其目标实现的影响降到可接受水平。11.对（信息）技术，组织选择并开展一般控制以支持其目标的实现。12.组织通过合理的政策制度和保证这些政策制度切实执行的流程程序，来实施控制活动。,信息与沟通13.组织获取或生成，并使用相关、有质量的信息来支持内部控制发挥作用。14.组织在其内部沟通传递包括内部控制的目标和责任在内的必要信息以支持内部控制发挥作用。15.组织与外部相关方就影响内部控制发挥作用的事宜进行沟通。,监控16.组织选择、推动并实施持续且（或）独立的评估以确认内部控制的要素是存在且正常运转的。17.组织在相应的时间范围内，评价内部控制的缺陷，并视情况与那些应采取正确行动的相关方（如：高级管理层，董事会）进行沟通。,其他重要变化,新框架：澄清在内控中目标设置的角色反映了不断增长的信息技术相关性包含了对于治理机制的更深刻的研讨扩展了目标的报表类别加强了反欺诈方面的考虑增加了对于非财务报表目标的关注,SoftwareAGGRC解决方案与COSO框架的对齐,控制环境,风险评估,控制活动,信息&沟通,监控,如何,SoftwareAG的GRC解决方案如何支持COSO框架？,企业风险管理流程,定义目标,定义战略,设置目标,描绘KPI,识别事件与风险,通过识别影响目标实现的内部和外部事件，可以定义机会和威胁。机会用来管理战略和目标设定的流程，负面事件（威胁）是风险。,我们应该做什么,如何支持,将风险（负面事件）关联到目标将风险关联到发生风险的流程定义风险细节（描述、类型、责任等）评估准备,将风险关联到目标，并详细描述,目标是识别风险的起点,将风险关联到风险发生的流程,识别风险和事件,执行风险评估,用非常清晰的方式定义风险评估固定风险和剩余风险,我们应该做什么？,如何支持,可以进行定量和定性的评估定量评估需要清晰的指导和经验,维护所有相关的风险信息规划风险评估对固有风险和参与风险执行风险评估,决定至评估定性风险，或也包括定量风险通过分析风险趋势来将风险关联到风险承受度,自动化的风险评估计划,通过邮件通知执行风险评估,执行风险评估,执行风险评估,Qualitativeriskassessmentresults,Quantitativeriskassessmentresults,风险评估结果,通过实施内控降低的风险,定义风险响应,当风险发生后不同可能的应对风险可以避免，接受，减轻和分担管理选择正确的风险应答建立一系列行为使风险与风险容忍实体及风险承受度相关联,应该做什么？,如何支持,通过创建可以在流程上监控的问题来设置行为管理风险应答选项来解决创建的问题，如：避免（将工厂从美国搬到NL）接受（在风险承受度内）减轻（通过减缓授权控制）分担（对失火投保）,定义风险响应,设计和实施控制活动,工作过程被建立和实施(固化落地)，以确保风险响应能够高效地执行。你可以定义明确的控制措施以降低风险，定义管理视图和报告，物理控制(资产，价值，库存),基于绩效指标的控制/职责分离,我们应该做什么?,如何支持?,在ARISBusinessDesigner/Architect中定义控制措施控制定义包含控制如何被执行(控制活动),到其相关/归属的业务流程，谁负责该控制(控制经理),该控制是否需要被测试/被审计，该控制如何进行测试(测试活动),什么时候进行测试(每年,每月,每天)和谁来测试.,通过设计控制来减缓风险,设计和实施控制活动,将控制集成到业务流程,对每个控制定义监控方法,监控控制活动,该阶段评估预防性控制的存在性和控制的有效性监控结果作为降低的（残余的)风险评估和应对措施(风险相应)的输入,应该做什么？,如何支持,Email触发测试员执行一个控制评估测试员填写评估结果并且可以附加证据在控制无效/争议/缺陷的情况下，审核测试结果争议/缺陷通过单独的工作流进行解决在测试中所有争议/缺陷的处理都保留日志(审计线索)所有结果在仪表盘中可视,监控控制活动,自动化的控制监控计划,在邮件通知后，执行控制测试,控制测试结构,定义控制测试状态,添加证据文档,实时例外监控合规监控流程分析与绩效监控业务一致性监控审计管理监控其他,监控控制活动,ARIS预置的报表，用于SAS70,Solvency,SOx404,FDA,风险与控制矩阵等等,22,监控控制活动,如何,SoftwareAG的GRC解决方案如何支持COSO框架？,Thechallengeistomeetclientsexpectations,effectivelycomplywithnewlawsandrefinethebusinessprocessesinwaysthatatthesametimesupportthecompanysriskmanagementpoliciesastheyevolve.Inaddition,MNwantedtoincreaseitsriskmanagementmaturityandprovideclientsbetteroveralltransparency.,ForitsEnterpriseRiskManagementProgram,MNchoseatop-down,risk-focusedapproachtoconnectstrategicobjectiveswithriskassessmentsandprocesscontrols.MNdevelopedandimplementedariskgovernanceframeworkwiththreelinesofdefense.Itsapproachhasincreasedriskawarenessenterprise-wide,enablingthemtoidentifyandmanagerisksbetterwhilesimultaneouslyimprovingprocessquality.,Broadenedriskinsightsandimproveddecision-makingByRisk-basedapproachdevelopedsignificantlyleanerprocessesandmoreeffectivecontrolsRealizedongoingsynergysavingsforcost,hoursandtestingeffortsDemonstrable“InControl”alsoincreasesreliabilityforbusinesspartners,COSOERM:ManagingRisksasKeytoSuccess,MN,Ongoing,synergy,for,cost,hours,and,testingefforts,savings,CEO(middle),CFO(right),Workshopswith:TopmanagementidentifyingStrategicRisksMiddlemanagementidentifyingTacticalRisksAlignmentofallRisksandtheirrelationtoObjectivesandProcesseswithManagers,COSOERM:ManagingRisks,Identifyandevaluaterisks,Riskresponse,ContinuouslyMonitoringcontrolactivities,实施COSO框架的收益,使企业能够形成一个内部控制的系统，该系统有效和高效地支持企业实现:更敏捷(对于不断变化和日趋复杂的业务环