流程管理：企业内控的根本

流程管理：企业内控的根本IDSScheer内控与全面风险管理解决方案,IDSScheer中国2009年5月,IDSScheerAGwww.ids-,2,成立于1984年，创始人为德国著名管理信息学教授August-WilhelmScheer博士，现任公司监事会主席董事会:PeterGrard（CEO兼总裁）Dr.WolframJostDr.DirkOevermannJrgVandreier1999年在德国法兰克福上市，公司股票现为德国高新技术蓝筹股TecDAX的绩优股,营业收入（百万欧元）,员工人数,2007年:3.93亿欧元,2007年底:2992人,IDSScheer公司拥有深厚的学术背景和卓越的业务绩效,IDSScheerAGwww.ids-,3,IDSScheer助力中国企业的管理水平与国际接轨,3,爱迪斯（上海）软件有限公司,ARIS软件及BPM咨询服务,上海、北京、深圳,分支机构所在地,企业业务流程管理企业治理、风险控制和合规管理企业流程智能及绩效管理企业IT架构规划和系统选型,流程驱动的SAP系统实施系统整合和SOA架构实施SAP系统优化SAP系统运维,SAP咨询服务,上海（总部）、北京、深圳,分支机构所在地,爱迪斯（上海）软件有限公司,4,IDSScheerAGwww.ids-,大量著名企业成为IDSScheer中国公司的客户,IDSScheerAGwww.ids-,5,议程,内控与全面风险管理面临的挑战,内控与全面风险管理的信息化解决方案,1,2,内控与全面风险管理系统应用案例介绍,3,IDSScheerAGwww.ids-,6,企业面临的外部要求,股东,证券交易所,内控与全面风险管理,政府部门,行业监管部门,国资委：中央企业全面风险管理指引治理结构,财政部：企业内部控制基本规范,萨班斯法案上海证券交易所上市公司内部控制指引深圳证券交易所上市公司内部控制指引,保险公司风险管理指引（试行）商业银行操作风险管理指引,IDSScheerAGwww.ids-,7,上述法律法规，要求企业建立适合自身特点的管理体系,指导框架,公司环境,IDSScheerAGwww.ids-,8,基本规范和全面风险管理指引的解读,IDSScheerAGwww.ids-,9,内控与全面风险管理体系,风险方案设计,风险评估,体系手册发布,风险管理策略,风险应对措施/控制活动,内部环境管理,企业组织结构,企业目标,职责分离检查,在线发布,监控及预警,监督及改进,测试任务管理,统计分析,缺陷分析及认定,风险评价,风险分析,风险识别,管理体系设计,控制实施,监督及改进,离线发布,信息系统一致性检查,测试及记录,责任签署,风险管理组织,企业业务流程,指标监控及预警,测试结果审核,整改及跟踪,事件收集,事件分析,事件认定,风险事件管理,事件监控,IDSScheerAGwww.ids-,10,体系设计面临的挑战,风险方案设计,风险评估,体系手册发布,风险管理策略,风险应对措施/控制活动,内部环境管理,企业组织结构,企业目标,职责分离检查,在线发布,监控及预警,监督及改进,测试任务管理,统计分析,缺陷分析及认定,风险评价,风险分析,风险识别,管理体系设计,控制实施,监督及改进,离线发布,信息系统一致性检查,测试及记录,责任签署,风险管理组织,企业业务流程,指标监控及预警,测试结果审核,整改及跟踪,事件收集,事件分析,事件认定,风险事件管理,事件监控,管理要点设计符合要求的内部控制及全面风险管理体系，并根据公司内外部环境，例如组织结构、业务流程、信息系统等调整进行相应的调整和优化建立体系文件，提高体系的透明度，以确保可执行、可审计,关键挑战体系文件更新，编制、审核的工作量大，版本管理难度大体系难以根据环境的变化进行及时调整和优化,IDSScheerAGwww.ids-,11,控制实施面临的挑战,风险方案设计,风险评估,体系手册发布,风险管理策略,风险应对措施/控制活动,内部环境管理,企业组织结构,企业目标,职责分离检查,在线发布,监控及预警,监督及改进,测试任务管理,统计分析,缺陷分析及认定,风险评价,风险分析,风险识别,管理体系设计,控制实施,监督及改进,离线发布,信息系统一致性检查,测试及记录,责任签署,风险管理组织,企业业务流程,指标监控及预警,测试结果审核,整改及跟踪,事件收集,事件分析,事件认定,风险事件管理,事件监控,管理要点按照体系设计方案执行相关控制措施，确保设计与执行的一致性实施过程保留可审计的控制实施证据,关键挑战缺乏有效的发布实施平台，体系推广实施的成本高人工控制过多，控制成本高昂,IDSScheerAGwww.ids-,12,体系监督及改进面临的挑战,风险方案设计,风险评估,体系手册发布,风险管理策略,风险应对措施/控制活动,内部环境管理,企业组织结构,企业目标,职责分离检查,在线发布,监控及预警,监督及改进,测试任务管理,统计分析,缺陷分析及认定,风险评价,风险分析,风险识别,管理体系设计,控制实施,监督及改进,离线发布,信息系统一致性检查,测试及记录,责任签署,风险管理组织,企业业务流程,指标监控及预警,测试结果审核,整改及跟踪,事件收集,事件分析,事件认定,风险事件管理,事件监控,管理要点对体系设计和实施的有效性进行监督，并出具体系有效性的自我评价保留体系监督的过程资料，以保证监督测试过程的可审计,关键挑战体系监督工作量大、协调难度高，监督成本高昂监督工作资料多，整理、统计、分析和再利用难度较大,IDSScheerAGwww.ids-,13,导致的后果,难以满足持续合规需求,难以满足不断增加的合规要求,影响业务效率,合规成本高,IDSScheerAGwww.ids-,14,美国上市公司SOX法案遵从的经验启示,阶段1,阶段2,阶段3,阶段4,阶段5,法规准备,内控体系完善,人工内控测试评价与报告,实施IT系统支持内控测试与报告实施IT系统支持内控文档管理,流程标准化，增强体系可扩展性集成的全面风险管理信息系统：风险评估、损失事件库、控制自动化等功能应用,发展阶段（时间）,IDSScheerAGwww.ids-,15,议程,内控与全面风险管理面临的挑战,内控与全面风险管理的信息化解决方案,1,2,内控与全面风险管理系统应用案例介绍,3,IDSScheerAGwww.ids-,16,内控与全面风险管理的信息化解决方案,风险方案设计,风险评估,体系手册发布,风险管理策略,风险应对措施/控制活动,内部环境管理,企业组织结构,企业目标,职责分离检查,在线发布,监控及预警,监督及改进,测试任务管理,统计分析,缺陷分析及认定,风险评价,风险分析,风险识别,管理体系设计,控制实施,监督及改进,离线发布,信息系统一致性检查,测试及记录,责任签署,风险管理组织,企业业务流程,指标监控及预警,测试结果审核,整改及跟踪,事件收集,事件分析,事件认定,风险事件管理,事件监控,建模模块,风险评估模块,发布模块,监控及预警模块,监督及改进模块,风险事件管理模块,IDSScheerAGwww.ids-,17,建模模块及发布模块,风险方案设计,风险评估,体系手册发布,风险管理策略,风险应对措施/控制活动,内部环境管理,企业组织结构,企业目标,职责分离检查,在线发布,监控及预警,监督及改进,测试任务管理,统计分析,缺陷分析及认定,风险评价,风险分析,风险识别,管理体系设计,控制实施,监督及改进,离线发布,信息系统一致性检查,测试及记录,责任签署,风险管理组织,企业业务流程,指标监控及预警,测试结果审核,整改及跟踪,事件收集,事件分析,事件认定,风险事件管理,事件监控,建模模块,风险评估模块,监控及预警模块,测试及评价模块,风险事件管理模块,发布模块,IDSScheerAGwww.ids-,18,分散的体系文档,流程描述文档,风险控制矩阵,内控测试文档,制度,组织,职责,系统,业务流程图,19,内控文档整合集中化,IDSScheerAGwww.ids-,20,统计分析功能，协助企业快速掌握风险分布，进行业务优化,例如，对不同业务流程的风险分布分析,IDSScheerAGwww.ids-,IDSScheerAGwww.ids-,21,IDSScheerAGwww.ids-,21,同一套业务流程模型，可以维护不同管理主题的信息,流程,质量管理信息,安全管理信息,内控管理信息,.,IDSScheerAGwww.ids-,22,基于同一套业务流程，输出各种管理主题需要的报告,流程,由一个流程自动导出各种流程文档,风险控制文档,岗位职责说明书,质量管理文件,IDSScheerAGwww.ids-,23,“远程建模、集中管理、统一发布”,ARIS知识库,分析,优化和管理,在全球范围，全体员工交流风险管理知识,ARIS数据库=全面风险管理体系持续优化的基础,项目经理/系统管理员,流程和风险负责人/建模员,公司范围流程和风险建模,公司全体员工/浏览用户,ARIS知识库/服务器,IDSScheerAGwww.ids-,24,解决方案的特点,特点1：搭建一个业务部门和风险管理部门共同使用的知识管理平台,搭建涵盖所有业务范围的业务流程数据库,网络部署及应用架构，分布建模、集中管理、网络发布及浏览，满足大型企业应用需求,基于数据库的、集成的建模方式，一次维护、全面共享、单点维护，提高质量，降低成本,特点2：提高了业务流程和风险制度管理及宣贯效率，降低成本,基于业务流程的风险管理方案，根据实际业务识别风险，在业务操作中控制风险,满足对业务流程多种应用的需求，例如系统实施、风险控制、职责管理等,多种统计分析功能，满足业务和风险管理的决策信息需求,IDSScheerAGwww.ids-,25,风险评估模块,风险方案设计,风险评估,体系手册发布,风险管理策略,风险应对措施/控制活动,内部环境管理,企业组织结构,企业目标,职责分离检查,在线发布,监控及预警,监督及改进,测试任务管理,统计分析,缺陷分析及认定,风险评价,风险分析,风险识别,管理体系设计,控制实施,监督及改进,离线发布,信息系统一致性检查,测试及记录,责任签署,风险管理组织,企业业务流程,指标监控及预警,测试结果审核,整改及跟踪,事件收集,事件分析,事件认定,风险事件管理,事件监控,建模模块,风险评估模块,发布模块,监控及预警模块,测试及评价模块,风险事件管理模块,IDSScheerAGwww.ids-,26,ARIS软件产品的风险评估解决方案,发起评估任务,风险在线评估,风险评价统计分析,创建风险评估任务,IDSScheerAGwww.ids-,27,对风险评估结果进行定量、定性分析，确定重要风险,风险经理对所有的风险评估结果，进行定量和定性分析，确定重要的风险,定量分析热图,定性分析热图,RiskManager（风险经理）,IDSScheerAGwww.ids-,28,风险评估结果趋势分析，掌握风险变化规律,对多次评估结果进行统计分析，掌握风险变化规律,RiskManager（风险经理）,IDSScheerAGwww.ids-,29,解决方案的特点,特点1：通过流程信息化，建立持续的风险评估工作机制,特点2：基于同一个平台展现风险评估结果，全面掌握风险分布及风险变化情况,人工或系统自动发起风险评估任务,明确风险评估责任人,固化风险评估流程,风险坐标图，明确公司重要风险,风险趋势图，掌握风险变化趋势,IDSScheerAGwww.ids-,30,风险事件管理模块,风险方案设计,风险评估,体系手册发布,风险管理策略,风险应对措施/控制活动,内部环境管理,企业组织结构,企业目标,职责分离检查,在线发布,监控及预警,监督及改进,测试任务管理,统计分析,缺陷分析及认定,风险评价,风险分析,风险识别,管理体系设计,控制实施,监督及改进,离线发布,信息系统一致性检查,测试及记录,责任签署,风险管理组织,企业业务流程,指标监控及预警,测试结果审核,整改及跟踪,事件收集,事件分析,事件认定,风险事件管理,事件监控,建模模块,风险评估模块,发布模块,测试及评价模块,监控及预警模块,风险事件管理模块,IDSScheerAGwww.ids-,31,ARIS软件产品的风险信息收集解决方案,IDSScheerAGwww.ids-,32,多维度的统计分析，提高损失事件管理的应用价值,IDSScheerAGwww.ids-,33,解决方案的特点,特点1：通过流程信息化，建立持续的风险事件搜集机制,特点2：建立公司统一的风险事件库，为风险评估和应对提供数据支持,规范风险事件搜集的信息,固化风险事件管理流程,快速掌握风险分布，明确重要风险,掌握风险变化趋势,IDSScheerAGwww.ids-,34,监控及预警模块,风险方案设计,风险评估,体系手册发布,风险管理策略,风险应对措施/控制活动,内部环境管理,企业组织结构,企业目标,职责分离检查,在线发布,监控及预警,监督及改进,测试任务管理,统计分析,缺陷分析及认定,风险评价,风险分析,风险识别,管理体系设计,控制实施,监督及改进,离线发布,信息系统一致性检查,测试及记录,责任签署,风险管理组织,企业业务流程,指标监控及预警,测试结果审核,整改及跟踪,事件收集,事件分析,事件认定,风险事件管理,事件监控,建模模块,风险评估模块,发布模块,测试及评价模块,风险事件管理模块,监控及预警模块,35,风险指标监控及预警系统架构,ARISPerformanceDashboard,报警与行动,规律,结构分析,对标分析,Alerts,捕捉事件监控指标,关注:实时行动,关注:过去分析优化,监控趋势结构化分析追溯原因,业务事件,灵活的实时适配器,全体事件,减化后的数据,大容量数据,IDSScheerAGwww.ids-,36,36,BFS,强大的数据抽取功能,无需代理(Agent-less)技术最小化对信息系统的影响基于向导不用编码易于配置与维护从信息系统中映射原始数据到业务对象,IDSScheerAGwww.ids-,IDSScheerAGwww.ids-,37,风险指标监控及预警,IDSScheerAGwww.ids-,38,事件监控,事件监控（基于预设规则）“如果一个订单的优先级“很高”，而且超过5天没人处理”那么发送一封邮件给销售人员，并通知订单处理部门的经理或上级主管,1,2,3,4,5,6,7,8,9,Time,Events,IDSScheerAGwww.ids-,39,IDSScheerAGwww.ids-,39,39,灵活适用于各种信息系统访问权限与职责分离的自动化检查工具,数据收集,模型信息,管理制度,职责分离矩阵模型,系统控制要求职责分离矩阵,权限配置检查访问权限检查,权限检查工具,自动检查工具,样例,违反职责分离的系统用户,违反的职责分离内容,运行系统,系统权限（T-Code）系统角色（ROLE),信息系统,IDSScheerAGwww.ids-,40,测试及评价模块,风险方案设计,风险评估,体系手册发布,风险管理策略,风险应对措施/控制活动,内部环境管理,企业组织结构,企业目标,职责分离检查,在线发布,监控及预警,监督及改进,测试任务管理,统计分析,缺陷分析及认定,风险评价,风险分析,风险识别,管理体系设计,控制实施,监督及改进,离线发布,信息系统一致性检查,测试及记录,责任签署,风险管理组织,企业业务流程,指标监控及预警,测试结果审核,整改及跟踪,事件收集,事件分析,事件认定,风险事件管理,事件监控,建模模块,风险评估模块,发布模块,监控及预警模块,风险事件管理模块,测试及评价模块,IDSScheerAGwww.ids-,41,手册管理、测试及评价的信息共享,创建测试任务,接受测试任务,提出建议与改进跟踪,测试结果统计分析,例外事项分析,手册管理,IDSScheerAGwww.ids-,42,实时、多维度的统计分析，协助快速出具测试报告,组织/分支机构流程/业务领域风险类别风险定义,新建在处理完成,控制有效控制无效不可测试控制缺陷,清晰掌握控制缺陷的分布,清晰掌握不同业务机构控制执行情况,System（系统管理员）,IDSScheerAGwww.ids-,43,解决方案的特点,特点1：通过流程信息化，建立测试及整改工作机制，规范了检查工作,特点2：整合了测试过程中所使用的相关文档，提高工作效率,特点3：快速、集中、多维度的统计分析，提高工作效率和决策质量,IDSScheerAGwww.ids-,44,议程,内控与全面风险管理面临的挑战,内控与全面风险管理的信息化解决方案,1,2,内控与全面风险管理系统应用案例介绍,3,45,项目背景及挑战,挑战1：业务流程管理水平低，增加了内控管理的难度，影响内控管理工作的落实,基于不同管理主题的，多套流程描述并存,流程标准化程度较低，业务相同的各业务单元的流程差异较大,IDSScheerAGwww.ids-,挑战2：内控手册管理难度大，管理成本高昂,内控手册变更、修订工作量大，效率高低下,内控要素的统计分析的工作量大，难以为风险管理决策，提供及时的信息支持,46,项目背景及挑战（续）,挑战3：内控测试组织难度大，测试成本高昂,测试人员众多，内控测试工作的协调难度大，效率低,测试相关文档例如风险控制文档、测试计划表、测试记录表等管理难度较大,测试结果统计分析工作量大、错误多、效率低,测试工作底稿归档、查询难度大，难以再利用,IDSScheerAGwww.ids-,47,系统应用架构,IDSScheerAGwww.ids-,48,建立了涵盖公司业务范围的统一的业务流程架构,在原有股份公司17个一级流程目录基础上，扩展了业务流程架构，为建立统一的企业流程管理体系建立了基础,IDSScheerAGwww.ids-,49,集成式的风险和流程建模,IDSScheerChinawww.ids-,风险管理目标,组织结构,业务流程,关键风险指标管理,业务控制图,风险图,50,搭建公司统一的业务流程和内控与风险管理门户,门户入口,部门管理视图,法律风险管理视图,IDSScheerAGwww.ids-,51,实现了内控审计测试工作流程的信息化,通过内控审计测试信息化，规范了内控审计测试流程，提高了内控审计的效率，降低了合规成本。,在线测试结果记录,IDSScheerAGwww.ids-,52,项目收益,收益一：实现业务流程的标准化、规范化管理，提高了业务管理水平,建立了统一的业务流程架构，涵盖公司全部业务领域，满足不同管理主题的需求,横向上，使一些部门职责交叉、重叠、缺失的问题得到了适当的解决,风险点、控制点、业务步骤清晰可视，要求明确，为执行、