NC文档质量管理体系-V6企业治理产品手册

构建幸福企业 创新改变未来NC文档质量管理体系-V6产品手册编写要求与规范V6产品手册（企业治理）导读此手册面向实施顾问以及企业关键用户，旨在为实施规划、解决方案制定和落实提供指导。手册围绕产品能够解决的主要业务场景展开，并以此为依托展现产品的关键应用功能，提供客户业务需求如何与产品功能相匹配的思路。本手册包括四大部分，第一部分是对产品及其价值的概要介绍；第二部分是对有关企业治理的主要业务场景、流程、以及对应的产品功能的介绍；第三部分介绍了企业治理启用前的初始准备设置；第四部分列举出关于企业治理产品的功能点的重要操作，此部分未就详细条目展开，详情可查阅产品相关模块的在线帮助说明。此外，为了便于用户对整体内容加深理解，手册中对一些关键的名词进行了解释，并在附录进行了汇总，列示为XXXX、XXXX、与XXXX，以便用户查找对照。为突出重点，本手册定位于方案性说明，仅对产品操作中的重要控制点有所描述。若读者希望深入了解特定板块的产品应用，可结合本手册，查阅如下资料：1.组织建模手册-深入阐述了产品关键概念（如集团、组织、业务委托关系等）以及建模思路，是实施规划、蓝图设计的重要参考资料。2.产品帮助-针对具体功能点的关键字段、按钮操作进行详细解释，并提供关键应用示例。3.流程平台手册-提供关于交易类型、流程设计工具的应用指导。4.基础数据手册-可对手册第三部分（即初始准备设置）中的有关基础数据的理解和应用进行更详细深入地了解。名词解释全面风险管理指企业围绕总体经营目标，通过在企业的各个环节和业务过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。风险控制指控制风险事件发生的动因、环境、条件等，来达到减轻风险事件发生时的损失或降低风险事件发生概率的目的。风险控制的对象一般是可控风险，包括多数运营风险，如质量、安全、环境风险，以及法律风险中的合规性风险。内部控制由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。业务流程/业务循环确保公司完成任务及实现业务目标的一系列活动，这些活动可能按复杂性进行排列，从执行简单活动到管理业务运行的关键要素，到执行职能性任务，再到跨职能要素。IT控制IT控制是信息技术控制的简称，是指对以下信息技术资源实施的旨在实现控制目标的过程。COBIT文件信息技术控制目标中定义的信息技术资源，包括：数据（Data）指最广义（例如，表面的和内在的）的对象，包括结构化和非结构化、图表、声音等等。应用系统（Application Systems）人工程序和电脑程序的总和。技术（Technology）包括硬件、操作系统、数据库管理系统、网络、多媒体等等。设备（Facilities）用来存放和支持信息系统的一切资源。人员（People）包括用来计划、组织、获取、传送、支持和监控信息系统和服务所需要的人员技能、意识和生产力。不相容职责分离/职责互斥不相容职责分离，也称职责互斥。是指那些由一个人担任，即可能发生错误和弊端又可掩盖其错误和弊端的职务。符合性测试符合性测试是为了确定内部控制的设计和执行是否有效而实施的审计程序。符合性测试的方法包括两种：一是业务程序测试（简称业务测试），即选择若干具体的典型业务，沿着既定的处理程序进行检查，考察有关的控制点是否符合规定并能认真执行，借以判断各项控制措施的遵循情况。二是功能测试，即针对某项控制的某个控制环节，选择若干时间的同类业务进行检查，查明该控制环节的处理程序在被审计期内是否按规定发挥了作用。控制环境指对建立、加强或削弱特定政策和程序效率发生影响的各种因素，包括管理者的经营风格和经营理念、董事会、组织结构与权责分离、管理控制方法及人力资源政策与实务等。一 概述1.1 产品概述企业治理是按照企业风险管理及内部控制的规范和要求，为用户提供的对企业的信息技术资源实施风险管理和内部控制的工具，使企业能够根据发展战略，结合组织架构、业务范围、地域分布、技术能力等因素，制定信息系统建设整体规划，进行统筹安排，明确系统开发、运行与维护中的主要风险点，采取相应措施，实施有效控制。企业治理是使用NC系统进行全面风险管理、内部控制监控以及进行风险控制测试和评价的平台，它由以下模块组成：全面风险管理、内控手册管理、IT控制监控及报告、风险控制评价及改进等。图1.1-1 产品功能架构图1.2 产品价值1. 支持全面风险管理 在系统中预置风险管理角色以及相应的权限，直接针对风险管理用户配置风险管理相应的角色即可，减少给风险管理角色配置复杂权限的麻烦； 支持系统自动生成各种图形报告，包括自动生成风险管理组织及角色关系图、风险分类和风险点的排序图以及风险分类和风险点的评估热图； 支持在风险管理产品中配置风险识别模板、风险评估模板和突发重大风险事件快报模板； 支持风险识别和风险评估工作按年定期或年内不定期的多次开展； 支持风险识别、风险评估工作的审批流程； 对风险的固有风险评估支持记录多人打分的结果，并能够根据规则自动生成公司的最终打分结果； 支持风险控制矩阵，企业可以清晰了解重大风险点的控制点情况、控制相关政策以及控制负责人、实施时间等具体控制措施情况； 支持针对重大风险事件的上报、评估和应对工作的一体化快速展开，及时响应。2. 支持内控手册管理 支持对内控手册进行结构化处理，形成内控手册的关系图表； 支持对分配的内控手册查看权限进行控制，防止不相关人员查看； 内控手册版本管理：记录内控手册的修订版本，便于用户查阅内控手册的往来版本的详情。3. 支持IT控制监控及报告 自动执行职责互斥稽核：根据内部牵制原则，对企业要求的不相容职责的授权自动进行互斥稽核，并可以按照业务流程进行稽核结果查询，提供按照公司或业务流程输出完整的职责互斥报告； 系统授权全景报告：便于管理层及时全面了解企业的权限分配管理状况，作为企业权限管理控制的依据，提供基于用户、角色、业务流程多角度的授权全景查询和报告； 重点授权的检查及监控：通过对关键角色、关键人员、关键功能、关键业务流程的授权情况的实时检查和报告，实施重点授权监控，保证重点业务操作的安全性； 特权管理与监控：通过对特权用户如root级、系统管理员和集团管理员和普通管理员的实时监控，保证管理员层级的用户管理操作的安全性； 帐号实时管理与监控：通过对人员离职或调岗的情况以及不明身份账户，与其对应的系统应用权限实时稽核检查，及时处理人员权限，保证企业信息数据的安全； 提供系统的密码规则设置情况以及用户密码重组修改情况； 授权操作完整细致的日志记录和报告：作为审计线索的一部分内容，将系统中关于授权的所有操作自动保留详细的日志记录，并支持企业权限管理员角度、权限变更角度、系统权限配置角度，权限配置变更角度进行查询和监控。4. 支持内部控制测试 支持对风险控制测试结果进行评价，并记录缺陷信息以及整改方案。二 应用场景2.1内控手册管理2.1.1内控体系建设I. 业务描述 按照内部控制制度建立一套适合企业内部管理和外部政策要求的内部控制体系； 内部控制体系需要确定管控组织范围； 内部控制体系由多个内控手册构成； 内控手册依照业务流程建立；II. 业务流程图2.1.1-1 III. 功能清单领域产品模块功能节点企业治理内控体系管理内控体系建设IV. 产品解决方案1) 建立内控体系 在【内控体系建设】中按照设置中的流程建立内控体系中的内控手册； 内控手册是依据选择的组织范围、业务领域、业务流程设置生成的； 用户可根据个性需求在设置第三步中修改内控手册的名称和编码； 【内控体系建设】支持查询内控手册对应的业务流程和组织范围；图2.1.1-22) 下发编制内控手册通知 在【内控体系建设】中使用通知下发编制手册通知给手册负责人； 支持由用户自主选择需要下发通知的内控手册； 支持通知消息发送到NC消息平台；图2.1.1-3注意： 只支持一套内控体系的建立； 业务流程是在基本档案中设置的，具体应用请参见“初始准备基础设置业务流程”； 内控手册只能通知给手册负责人； 通知不是必要条件，及时不执行通知动作，手册负责人也可进行手册编制工作。2.1.2手册管理I. 业务描述 支持对内控手册包含九大要素在内的编制工作，并可建立要素间的对应关系以图表方式展现； 支持内控手册的审核确认工作； 支持内控手册生效及发布； 支持分配内控手册给风险内控范围内的相关组织，给下级单位共享使用； 支持查看职责范围内的内控手册作为本单位风险内控管理工作的指导； 支持对内控手册进行对比分析，为内控手册的审核确认提供分析工具； 支持修订已生效发布的内控手册； 支持对各种版本内控手册的管理；II. 业务流程图2.1.2-1 III. 功能清单领域产品模块功能节点企业治理手册管理内控手册编制内控手册审核内控手册发布内控手册查看内控手册分配内控手册对比分析内控手册修订内控手册版本管理IV. 产品解决方案1) 手册编制 在初次对内控手册编制时，使用【内控手册编制】编写完成内控手册的内容，包括业务目标、业务风险、控制点、监督检查方法、业务流程图、相关制度目录、主要控制点相关资料； 对于手册图表的形成是通过在【内控手册编制】建立各要素之间的关系获得； 当启用全面风险管理产品时，业务风险从风险识别信息中获得；当未启用全面风险管理产品时，业务风险通过手工录入获得； 【内控手册编制】工作完毕，可将手册提交给相关人员审核确认；图2.1.2-2 内控手册的审批人员通过【内控手册审核】完成对内控手册的审核确认工作； 在审核过程中，可利用【内控手册对比分析】将各个手册进行对比分析，更好的辅助内控手册的审核工作。 审核完毕的内控手册通过【内控手册发布】使手册生效； 【内控手册发布】的同时可发送NC平台消息或邮件告知给相关人员；图2.1.2-3 对于已经发布生效的手册，不允许用户再进行修改，需要通过【内控手册修订】来完成手册修改工作； 修订后的内控手册也要按照【内控手册审核】【内控手册发布】来使手册生效； 调整后的内控手册在【内控手册修订】中保存版本，可将手册另存为一个新的版本，并且能够在【内控手册版本管理】查看过往版本；图2.1.2-4 2) 手册查看 对于已经生效的内控手册，支持集团风险岗工作人员使用【内控手册分配】将内控手册分配给集团内需要进行内部控制的组织； 各组织可在【内控手册查看】中查看上级分配下来的内控手册，作为本组织的内部控制制度；注意： 只有手册负责人才可编制内控手册，手册负责人即为流程负责人，具体应用请参见“初始准备基础设置业务流程”; 编制一次的内控手册只能通过手册修订来完成手册的修改工作； 内控手册查看受数据权限控制，用户可见的内控手册为分配给其的手册；2.2IT监控与报告2.2.1授权情况监控I. 业务描述 当企业的大部分权限内容均体现在软件系统中后，则需要软件系统能够透明简洁的提供权限全景查询并输出权限全景报告，以作为企业权限管理控制的依据； 企业的关键岗位或者业务的授权情况体现为系统中的关键角色、关键业务流程及功能点的权限分配情况，用户要求对于这些权限分配情况需要能够方便的查询及报告，以满足企业对授权进行检查和监控的目的；II. 业务流程图2.2.1-1 III. 功能清单领域产品模块功能节点企业治理IT监控与报告授权全景监控关键用户授权监控关键角色授权监控关键流程授权监控关键功能授权监控IV. 产品解决方案1) 授权全景监控 【授权全景监控】列示IT系统中所有业务用户及其对应的角色、职责和功能权限； 【授权全景监控】列示IT系统中所有业务角色及其对应的用户、职责和功能权限；图2.2.1-2 2) 关键用户授权监控 对于用户需要特别关注的关键用户的授权情况，通过【关键用户授权监控】进行查看； 支持查看关键用户对应的角色、职责以及功能权限信息；3) 关键角色授权监控 对于用户需要特别关注的关键角色的授权情况，通过【关键角色授权监控】进行查看； 支持查看关键角色对应的用户、职责以及功能权限信息；4) 关键流程授权监控 对于用户需要特别关注的关键流程的授权情况，通过【关键流程授权监控】进行查看。 支持查看关键流程对应的用户、角色以及包含的业务活动中的权限信息；图2.2.1-3 5) 关键功能授权监控 对于用户需要特别关注的关键功能的授权情况，通过【关键功能授权监控】进行查看； 支持查看关键功能对应的用户和角色；图2.2.1-4 注意： 【关键流程授权监控】中的关键流程为建立业务流程时确认，具体请参见应用场景“初始准备基础设置业务流程”； 【关键流程授权监控】中对应的功能权限为流程包含的业务活动中的功能权限并集；2.2.2特权监控I. 业务描述 根据软件系统的应用特点，在系统中通常会存在一些超级用户或者系统管理员，专门对系统的初始化进行处理，或者专门对软件系统中的授权、密码规则、数据卸载、数据恢复、日志记录等进行操作和管理； 由于超级用户或者系统管理员的权限高度影响应用系统的安全性，因此将该类用户称为特权用户，并进行重点监控；II. 业务流程图2.2.2-1 III. 功能清单领域产品模块功能节点企业治理IT监控与报告特权管理与监控IV. 产品解决方案1) 特权监控 通过【特权管理与监控】能够监控超级管理员、业务中心管理员、集团管理员、普通管理员的权限信息；图2.2.2-2 注意： 【特权管理与监控】涉及的管理员档案均为NC系统设置的管理员；2.2.3帐号实时管理与监控I. 业务描述 当企业员工离职时，可查看对应用户是否及时封存相关信息系统的权限； 当企业员工职务变更时，可查看对应用户是否及时变更相关信息系统的权限； 支持IT部门定期检查人员权限处理的及时性； 支持查看年终IT审计时，审计人员权限处理的及时性；II. 业务流程图2.2.3-1 III. 功能清单领域产品模块功能节点企业治理IT监控与报告离职人员权限检查报告人员调配报告不明身份用户帐号查询报告IV. 产品解决方案1) 离职人员权限检查 通过【离职人员权限检查报告】查看离职人员对应用户是否及时封存相关信息系统的权限； 使用自动稽核可检查到人员离职但用户未停用的记录；图2.2.3-2 2) 人员调配监控 通过【人员调配报告】查看人员职务变动后，对应用户是否及时变更相关信息系统的权限；图2.2.3-3 3) 不明身份用户帐号查询报告 通过【不明身份用户帐号查询报告】查看临时用户的权限是否及时变更或停用等相关信息系统的权限；图2.2.3-4 注意： 需要安装HR产品，才能实现【离职人员权限检查报告】和【人员调配报告】展现； 对于NC系统的不明身份用户为没有关联人员的用户。2.2.4密码安全监控I. 业务描述 支持用户了解系统当前已有的密码策略； 记录密码变更信息，以防止管理员通过修改用户邮箱盗取密码；II. 业务流程图2.2.4-1 III. 功能清单领域产品模块功能节点企业治理IT监控与报告密码策略分析报告用户密码重置修改报告IV. 产品解决方案1) 密码安全监控 通过【密码策略分析报告】查看系统的密码策略； 通过【用户密码重置修改报告】用户密码变更的详情；图2.2.4-2 2.2.5不相容职责互斥稽核I. 业务描述 支持对不相容职责的事前控制 支持对不相容职责的事后控制； 支持按组织维度不同进行的权限稽核； 支持以业务活动为互斥规则的权限稽核；II. 业务流程图2.2.5-1 III. 功能清单领域产品模块功能节点企业治理IT监控与报告互斥设置执行稽核IV. 产品解决方案1) 互斥设置 在【互斥设置】中使用设置针对业务流程设置互斥规则； 支持对【互斥设置】中已经设置完成的规则进行审核； 可在【互斥设置】中查看业务流程下各流程环节的互斥规则； 已设置好的互斥规则将在用户授权时进行互斥稽核，事前控制；图2.2.5-2 2) 互斥稽核 在【执行稽核】中使用执行稽核针对业务流程进行自动稽核； 稽核结果包括正常、冲突、设置错误； 正常表示业务活动间不存在互斥；冲突表示业务活动间存在互斥点；设置错误表示两个互斥的业务活动的功能权限设置有问题；图2.2.5-3 在冲突点中可查看造成互斥的用户、角色、职责详情；图2.2.5-4 可对稽核日志进行查看和管理；图2.2.5-5 注意： 需在【互斥设置】对业务流程设置完成互斥规则并审核通过后，才能执行稽核； 不需要针对流程环节单独设置互斥规则，系统会自动根据业务流程的互斥规则自动填补；2.2.6访问安全日志I. 业务描述 记录系统管理员root在系统管理中对于系统安全的一系列配置； 记录权限管理员在系统中对授权的所有操作； 记录IT系统中所有权限变更的日志详情；II. 业务流程图2.2.6-1 III. 功能清单领域产品模块功能节点企业治理IT监控与报告权限管理员日志权限变更报告IV. 产品解决方案1) 访问安全日志 通过【权限管理员日志】查看system用户、集团管理员和普通管理员的业务日志；图2.2.6-2 通过【权限变更报告】查看用户新增、角色新增、用户授权变更、角色授权变更、职责授权变更的业务日志详情；图2.2.6-3 注意： 访问安全日志须在企业建模平台中设置启用日志才可展现日志详情；三 初始准备3.1企业治理3.3.1基础设置3.3.1.1主要业