流程管理：企业内控的根本

1、www.ids-流程管理：企业内控的根本流程管理：企业内控的根本IDS Scheer内控与全面内控与全面风险管理解决方案风险管理解决方案IDS Scheer 中国中国2009年年5月月 IDS Scheer AG www.ids- 2n 成立于1984年，创始人为德国著名管理信息学教授August-Wilhelm Scheer 博士，现任公司监事会主席n 董事会: Peter Grard （CEO 兼总裁）Dr. Wolfram JostDr. Dirk OevermannJrg Vandreiern 1999年在德国法兰克福上市，公司股票现为德国高新技术蓝筹股TecDAX的绩优股营业收入（百

2、万欧元）员工人数2007年: 3.93 亿欧元 2007年底: 2992 人 IDS Scheer 公司拥有深厚的学术背景和卓越的业务绩公司拥有深厚的学术背景和卓越的业务绩效效 IDS Scheer AG www.ids- 3IDS Scheer 助力中国企业的管理水平与国际接轨助力中国企业的管理水平与国际接轨3爱迪斯（上海）软件有限公司上海、北京、深圳分支机构所在地n 企业业务流程管理企业业务流程管理n 企业治理、风险控制和企业治理、风险控制和 合规管理合规管理n 企业流程智能及绩效管企业流程智能及绩效管理理n 企业企业IT架构规划和系统架构规划和系统选型选型n 流程驱动的流程驱动的SAP系

3、统实系统实施施n 系统整合和系统整合和SOA架构实架构实施施n SAP系统优化系统优化n SAP系统运维系统运维上海（总部）、北京、深圳爱迪斯（上海）软件有限公司爱迪斯（上海）软件有限公司 IDS Scheer AG www.ids- 大量著名企业成为大量著名企业成为IDS Scheer 中国公司的客户中国公司的客户 IDS Scheer AG www.ids- 5议程议程内控与全面风险管理面临的挑战内控与全面风险管理面临的挑战内控与全面风险管理的信息化解决方案内控与全面风险管理的信息化解决方案 12内控与全面风险管理系统应用案例介绍内控与全面风险管理系统应用案例介绍 3 IDS Scheer

4、 AG www.ids- 6企业面临的外部要求企业面临的外部要求股东股东证券交易证券交易所所内控与全面风险管理内控与全面风险管理政府部门政府部门行业监管行业监管部门部门4 国资委：国资委：中央企业全面风中央企业全面风险管理指引险管理指引4 治理结构治理结构4 财政部：财政部：企业内部企业内部控制基本规范控制基本规范4 萨班斯法案萨班斯法案4 上海证券交易所上市上海证券交易所上市公司内部控制指引公司内部控制指引4 深圳证券交易所上市深圳证券交易所上市公司内部控制指引公司内部控制指引4 4 保险公司风险管理指引（试行）保险公司风险管理指引（试行）4 商业银行操作风险管理指引商业银行操作风险管理指引

5、4 IDS Scheer AG www.ids- 7上述法律法规，要求企业建立适合自身特点的管理体系上述法律法规，要求企业建立适合自身特点的管理体系战战略略目目标标报报告告目目标标合合规规目目标标经经营营目目标标资资产产安安全全内部环境内部环境公公司司层层面面业业务务单单元元子子公公司司风险评估风险评估控制活动控制活动信息与沟通信息与沟通内部监督内部监督指导框架指导框架公司环境公司环境管理销售物料管理采购排产组织视图组织视图销售处理检查信用额度确定交付日期询价处理报价处理功能视功能视图图报价客户询价数据视数据视图图询价处理询价已受理询价处理完毕报价处理客户报价询价销售流程视流程视图图客户订单客

6、户询价客户报价产品产品/服务视服务视图图 IDS Scheer AG www.ids- 8基本规范基本规范和和全面风险管理指引全面风险管理指引的解读的解读序号基本规范全面风险管理指引1内部环境第一章 总则第七章 风险管理组织体系第九章 风险管理文化第十章 附则2风险评估第二章 风险管理初始信息3第三章 风险评估4控制活动第四章 风险管理策略第五章 风险管理解决方案56信息与沟通第八章 风险管理信息系统7内部监督第六章 风险管理的监督与改进 IDS Scheer AG www.ids- 9内控与全面风险管理体系内控与全面风险管理体系风险方案设计风险方案设计风险评估风险评估体系手册发布体系手册发布

7、风险管理策略风险管理策略风险应对措施风险应对措施/控制活动控制活动内部环境管理内部环境管理企业组织结构企业组织结构企业目标企业目标职责分离检查职责分离检查在线发布在线发布监控及预警监控及预警监督及改进监督及改进测试任务管理测试任务管理统计分析统计分析缺陷分析及认缺陷分析及认定定风险评价风险评价风险分析风险分析风险识别风险识别管理体系设计管理体系设计控制实施控制实施监督及改进监督及改进离线发布离线发布信息系统一致信息系统一致性检查性检查测试及记录测试及记录责任签署责任签署风险管理组织风险管理组织企业业务流程企业业务流程指标监控及预指标监控及预警警测试结果审核测试结果审核整改及跟踪整改及跟踪事件收

8、集事件收集事件分析事件分析事件认定事件认定风险事件管理风险事件管理事件监控事件监控 IDS Scheer AG www.ids- 10体系设计面临的挑战体系设计面临的挑战风险方案设计风险方案设计风险评估风险评估体系手册发布体系手册发布风险管理策略风险管理策略风险应对措施风险应对措施/控制活动控制活动内部环境管理内部环境管理企业组织结构企业组织结构企业目标企业目标职责分离检查职责分离检查在线发布在线发布监控及预警监控及预警监督及改进监督及改进测试任务管理测试任务管理统计分析统计分析缺陷分析及认缺陷分析及认定定风险评价风险评价风险分析风险分析风险识别风险识别管理体系设计管理体系设计控制实施控制实施

9、监督及改进监督及改进离线发布离线发布信息系统一致信息系统一致性检查性检查测试及记录测试及记录责任签署责任签署风险管理组织风险管理组织企业业务流程企业业务流程指标监控及预指标监控及预警警测试结果审核测试结果审核整改及跟踪整改及跟踪事件收集事件收集事件分析事件分析事件认定事件认定风险事件管理风险事件管理事件监控事件监控n 管理要点管理要点 设计符合要求的内部控制及全设计符合要求的内部控制及全面风险管理体系，并根据公司面风险管理体系，并根据公司内外部环境，例如组织结构、内外部环境，例如组织结构、业务流程、信息系统等调整进业务流程、信息系统等调整进行相应的调整和优化行相应的调整和优化 建立体系文件，提

10、高体系的透建立体系文件，提高体系的透明度，以确保可执行、可审计明度，以确保可执行、可审计n 关键挑战关键挑战 体系文件更新，编制、审核的体系文件更新，编制、审核的工作量大，版本管理难度大工作量大，版本管理难度大 体系难以根据环境的变化进行体系难以根据环境的变化进行及时调整和优化及时调整和优化 IDS Scheer AG www.ids- 11控制实施面临的挑战控制实施面临的挑战风险方案设计风险方案设计风险评估风险评估体系手册发布体系手册发布风险管理策略风险管理策略风险应对措施风险应对措施/控制活动控制活动内部环境管理内部环境管理企业组织结构企业组织结构企业目标企业目标职责分离检查职责分离检查在

11、线发布在线发布监控及预警监控及预警监督及改进监督及改进测试任务管理测试任务管理统计分析统计分析缺陷分析及认缺陷分析及认定定风险评价风险评价风险分析风险分析风险识别风险识别管理体系设计管理体系设计控制实施控制实施监督及改进监督及改进离线发布离线发布信息系统一致信息系统一致性检查性检查测试及记录测试及记录责任签署责任签署风险管理组织风险管理组织企业业务流程企业业务流程指标监控及预指标监控及预警警测试结果审核测试结果审核整改及跟踪整改及跟踪事件收集事件收集事件分析事件分析事件认定事件认定风险事件管理风险事件管理事件监控事件监控n 管理要点管理要点 按照体系设计方案执行相关控按照体系设计方案执行相关控

12、制措施，确保设计与执行的一制措施，确保设计与执行的一致性致性 实施过程保留可审计的控制实实施过程保留可审计的控制实施证据施证据n 关键挑战关键挑战 缺乏有效的发布实施平台，体缺乏有效的发布实施平台，体系推广实施的成本高系推广实施的成本高 人工控制过多，控制成本高昂人工控制过多，控制成本高昂 IDS Scheer AG www.ids- 12体系监督及改进面临的挑战体系监督及改进面临的挑战风险方案设计风险方案设计风险评估风险评估体系手册发布体系手册发布风险管理策略风险管理策略风险应对措施风险应对措施/控制活动控制活动内部环境管理内部环境管理企业组织结构企业组织结构企业目标企业目标职责分离检查职责

13、分离检查在线发布在线发布监控及预警监控及预警监督及改进监督及改进测试任务管理测试任务管理统计分析统计分析缺陷分析及认缺陷分析及认定定风险评价风险评价风险分析风险分析风险识别风险识别管理体系设计管理体系设计控制实施控制实施监督及改进监督及改进离线发布离线发布信息系统一致信息系统一致性检查性检查测试及记录测试及记录责任签署责任签署风险管理组织风险管理组织企业业务流程企业业务流程指标监控及预指标监控及预警警测试结果审核测试结果审核整改及跟踪整改及跟踪事件收集事件收集事件分析事件分析事件认定事件认定风险事件管理风险事件管理事件监控事件监控n 管理要点管理要点 对体系设计和实施的有效性进对体系设计和实施

14、的有效性进行监督，并出具体系有效性的行监督，并出具体系有效性的自我评价自我评价 保留体系监督的过程资料，以保留体系监督的过程资料，以保证监督测试过程的可审计保证监督测试过程的可审计n 关键挑战关键挑战 体系监督工作量大、协调难度体系监督工作量大、协调难度高，监督成本高昂高，监督成本高昂 监督工作资料多，整理、统计监督工作资料多，整理、统计、分析和再利用难度较大、分析和再利用难度较大 IDS Scheer AG www.ids- 13导致的后果导致的后果难以满足持续合规需求难以满足不断增加的合规要求影响业务效率合规成本高 IDS Scheer AG www.ids- 14美国上市公司美国上市公司

15、SOX法案遵从的经验启示法案遵从的经验启示阶段阶段1 阶段阶段2 阶段阶段3 阶段阶段4 阶段阶段54法规准备4内控体系完善4人工内控测试评价与报告 4实施IT系统支持内控测试与报告 4实施IT系统支持内控文档管理4流程标准化，增强体系可扩展性4集成的全面风险管理信息系统：风险评估、损失事件库、控制自动化等功能应用发展阶段（时间）发展阶段（时间） IDS Scheer AG www.ids- 15议程议程内控与全面风险管理面临的挑战内控与全面风险管理面临的挑战内控与全面风险管理的信息化解决方案内控与全面风险管理的信息化解决方案 12内控与全面风险管理系统应用案例介绍内控与全面风险管理系统应用案

16、例介绍 3 IDS Scheer AG www.ids- 16内控与全面风险管理的信息化解决方案内控与全面风险管理的信息化解决方案风险方案设计风险方案设计风险评估风险评估体系手册发布体系手册发布风险管理策略风险管理策略风险应对措施风险应对措施/控制活动控制活动内部环境管理内部环境管理企业组织结构企业组织结构企业目标企业目标职责分离检查职责分离检查在线发布在线发布监控及预警监控及预警监督及改进监督及改进测试任务管理测试任务管理统计分析统计分析缺陷分析及认缺陷分析及认定定风险评价风险评价风险分析风险分析风险识别风险识别管理体系设计管理体系设计控制实施控制实施监督及改进监督及改进离线发布离线发布信息

17、系统一致信息系统一致性检查性检查测试及记录测试及记录责任签署责任签署风险管理组织风险管理组织企业业务流程企业业务流程指标监控及预指标监控及预警警测试结果审核测试结果审核整改及跟踪整改及跟踪事件收集事件收集事件分析事件分析事件认定事件认定风险事件管理风险事件管理事件监控事件监控建模模块建模模块风险评估模块风险评估模块发布模块发布模块监控及预警模块监控及预警模块监督及改进模块监督及改进模块风险事件管理模块风险事件管理模块 IDS Scheer AG www.ids- 17建模模块及发布模块建模模块及发布模块风险方案设计风险方案设计风险评估风险评估体系手册发布体系手册发布风险管理策略风险管理策略风险

18、应对措施风险应对措施/控制活动控制活动内部环境管理内部环境管理企业组织结构企业组织结构企业目标企业目标职责分离检查职责分离检查在线发布在线发布监控及预警监控及预警监督及改进监督及改进测试任务管理测试任务管理统计分析统计分析缺陷分析及认缺陷分析及认定定风险评价风险评价风险分析风险分析风险识别风险识别管理体系设计管理体系设计控制实施控制实施监督及改进监督及改进离线发布离线发布信息系统一致信息系统一致性检查性检查测试及记录测试及记录责任签署责任签署风险管理组织风险管理组织企业业务流程企业业务流程指标监控及预指标监控及预警警测试结果审核测试结果审核整改及跟踪整改及跟踪事件收集事件收集事件分析事件分析事

19、件认定事件认定风险事件管理风险事件管理事件监控事件监控建模模块建模模块风险评估模块风险评估模块监控及预警模块监控及预警模块测试及评价模块测试及评价模块风险事件管理模块风险事件管理模块发布模块发布模块 IDS Scheer AG www.ids- 18分散的体系文档分散的体系文档内控文档整合集中化内控文档整合集中化1、识别业务流程中的风险、识别业务流程中的风险2、定义降低风险的控制及控制测试、定义降低风险的控制及控制测试风险风险控制控制控制测试控制测试3、定义内控管理相关组织岗位、定义内控管理相关组织岗位.风险经理风险经理控制经理控制经理测试员测试员测试审核员测试审核员 IDS Scheer A

20、G www.ids- 统计分析功能，协助企业快速掌握风险分布，进行业务统计分析功能，协助企业快速掌握风险分布，进行业务优化优化4例如，对不同业务流程的风险分布分析例如，对不同业务流程的风险分布分析 IDS Scheer AG www.ids- IDS Scheer AG www.ids- 21 IDS Scheer AG www.ids- 21同一套业务流程模型，可以维护不同管理主题的信息同一套业务流程模型，可以维护不同管理主题的信息流程流程质量管理信息安全管理信息内控管理信息. IDS Scheer AG www.ids- 22基于同一套业务流程，输出各种管理主题需要的报告基于同一套业务流程

21、，输出各种管理主题需要的报告流程流程由一个流程自动导出各种流程文档风险控制文档风险控制文档岗位职责说明书岗位职责说明书质量管理文件质量管理文件 IDS Scheer AG www.ids- 23“远程建模、集中管理、统一发布远程建模、集中管理、统一发布” ARIS 知识库知识库 分析分析, 优化和管理优化和管理在全球范围，全体员工在全球范围，全体员工交流风险管理知识交流风险管理知识ARIS 数据库数据库 = 全面风险管理体全面风险管理体系持续优化的基础系持续优化的基础项目经理项目经理/系系统管理员统管理员流程和风险负责人流程和风险负责人/建模员建模员 公司范围流程和风险建模公司范围流程和风险建

22、模 公司全体员工公司全体员工/浏浏览用户览用户ARIS 知识库知识库/服务器服务器 IDS Scheer AG www.ids- 24解决方案的特点解决方案的特点特点特点1：搭建一个业务部门和风险管理部门共同使用的知识管理平台：搭建一个业务部门和风险管理部门共同使用的知识管理平台4搭建涵盖所有业务范围的业务流程数据库搭建涵盖所有业务范围的业务流程数据库4网络部署及应用架构，分布建模、集中管理、网络发布及浏览，满足大型企业应用需求网络部署及应用架构，分布建模、集中管理、网络发布及浏览，满足大型企业应用需求4基于数据库的、集成的建模方式，一次维护、全面共享、单点维护，提高质量，降低成本基于数据库的

23、、集成的建模方式，一次维护、全面共享、单点维护，提高质量，降低成本特点特点2：提高了业务流程和风险制度管理及宣贯效率，降低成本：提高了业务流程和风险制度管理及宣贯效率，降低成本4基于业务流程的风险管理方案，根据实际业务识别风险，在业务操作中控制风险基于业务流程的风险管理方案，根据实际业务识别风险，在业务操作中控制风险4满足对业务流程多种应用的需求，例如系统实施、风险控制、职责管理等满足对业务流程多种应用的需求，例如系统实施、风险控制、职责管理等4多种统计分析功能，满足业务和风险管理的决策信息需求多种统计分析功能，满足业务和风险管理的决策信息需求 IDS Scheer AG www.ids- 2

24、5风险评估模块风险评估模块风险方案设计风险方案设计风险评估风险评估体系手册发布体系手册发布风险管理策略风险管理策略风险应对措施风险应对措施/控制活动控制活动内部环境管理内部环境管理企业组织结构企业组织结构企业目标企业目标职责分离检查职责分离检查在线发布在线发布监控及预警监控及预警监督及改进监督及改进测试任务管理测试任务管理统计分析统计分析缺陷分析及认缺陷分析及认定定风险评价风险评价风险分析风险分析风险识别风险识别管理体系设计管理体系设计控制实施控制实施监督及改进监督及改进离线发布离线发布信息系统一致信息系统一致性检查性检查测试及记录测试及记录责任签署责任签署风险管理组织风险管理组织企业业务流程

25、企业业务流程指标监控及预指标监控及预警警测试结果审核测试结果审核整改及跟踪整改及跟踪事件收集事件收集事件分析事件分析事件认定事件认定风险事件管理风险事件管理事件监控事件监控建模模块建模模块风险评估模块风险评估模块发布模块发布模块监控及预警模块监控及预警模块测试及评价模块测试及评价模块风险事件管理模块风险事件管理模块 IDS Scheer AG www.ids- 26ARIS软件产品的风险评估解决方案软件产品的风险评估解决方案发起评估任务发起评估任务风险在线评估风险在线评估风险评价统计分析风险评价统计分析创建风险评估任务创建风险评估任务风险评估结果审核风险评估结果审核组织组织风险编号风险编号风险

26、名称风险名称风险描述风险描述相关流程相关流程影响类别影响类别发生概率发生概率风险类型风险类型影响的目标影响的目标风险责任人风险责任人风险认定风险认定相关文档相关文档风险类别风险类别1风险类别风险类别2 IDS Scheer AG www.ids- 27对风险评估结果进行定量、定性分析，确定重要风险对风险评估结果进行定量、定性分析，确定重要风险4风险经理对所有的风险评估结果，进行定量和定性分析，确定重要的风险风险经理对所有的风险评估结果，进行定量和定性分析，确定重要的风险风险发生概率风险破坏性极低低平均高极高极低低平均高极高Risk Manager（风险经理）（风险经理） IDS Scheer

27、AG www.ids- 28风险评估结果趋势分析，掌握风险变化规律风险评估结果趋势分析，掌握风险变化规律4对多次评估结果进行统计分析，掌握风险变化规律对多次评估结果进行统计分析，掌握风险变化规律评估日期风险发生概率趋势分析：风险发生概率最大损失发生概率平均损失发生概率最小损失发生概率Risk Manager（风险经理）（风险经理） IDS Scheer AG www.ids- 29解决方案的特点解决方案的特点特点特点1：通过流程信息化，建立持续的风险评估工作机制：通过流程信息化，建立持续的风险评估工作机制特点特点2：基于同一个平台展现风险评估结果，全面掌握风险分布及风险变化情况基于同一个平台展

28、现风险评估结果，全面掌握风险分布及风险变化情况4人工或系统自动发起风险评估任务人工或系统自动发起风险评估任务4明确风险评估责任人明确风险评估责任人4固化风险评估流程固化风险评估流程4风险坐标图，明确公司重要风险风险坐标图，明确公司重要风险4风险趋势图，掌握风险变化趋势风险趋势图，掌握风险变化趋势 IDS Scheer AG www.ids- 30风险事件管理模块风险事件管理模块风险方案设计风险方案设计风险评估风险评估体系手册发布体系手册发布风险管理策略风险管理策略风险应对措施风险应对措施/控制活动控制活动内部环境管理内部环境管理企业组织结构企业组织结构企业目标企业目标职责分离检查职责分离检查在

29、线发布在线发布监控及预警监控及预警监督及改进监督及改进测试任务管理测试任务管理统计分析统计分析缺陷分析及认缺陷分析及认定定风险评价风险评价风险分析风险分析风险识别风险识别管理体系设计管理体系设计控制实施控制实施监督及改进监督及改进离线发布离线发布信息系统一致信息系统一致性检查性检查测试及记录测试及记录责任签署责任签署风险管理组织风险管理组织企业业务流程企业业务流程指标监控及预指标监控及预警警测试结果审核测试结果审核整改及跟踪整改及跟踪事件收集事件收集事件分析事件分析事件认定事件认定风险事件管理风险事件管理事件监控事件监控建模模块建模模块风险评估模块风险评估模块发布模块发布模块测试及评价模块测试

30、及评价模块监控及预警模块监控及预警模块风险事件管理模块风险事件管理模块 IDS Scheer AG www.ids- 31ARIS软件产品的风险信息收集解决方案软件产品的风险信息收集解决方案损失事件报备损失事件报备损失事件分析及认定损失事件分析及认定损失事件统计损失事件统计 IDS Scheer AG www.ids- 32多维度的统计分析，提高损失事件管理的应用价值多维度的统计分析，提高损失事件管理的应用价值信用风险损失信用风险金额平均损失方差本年累计损失事件数量本年累计损失金额更新损失事件事件发生时间损失金额控制减少的损失金额 IDS Scheer AG www.ids- 33解决方案的特

31、点解决方案的特点特点特点1：通过流程信息化，建立持续的风险事件搜集机制：通过流程信息化，建立持续的风险事件搜集机制特点特点2：建立公司统一的风险事件库，为风险评估和应对提供数据支持建立公司统一的风险事件库，为风险评估和应对提供数据支持4规范风险事件搜集的信息规范风险事件搜集的信息4固化风险事件管理流程固化风险事件管理流程4快速掌握风险分布，明确重要风险快速掌握风险分布，明确重要风险4掌握风险变化趋势掌握风险变化趋势 IDS Scheer AG www.ids- 34监控及预警模块监控及预警模块风险方案设计风险方案设计风险评估风险评估体系手册发布体系手册发布风险管理策略风险管理策略风险应对措施风

32、险应对措施/控制活动控制活动内部环境管理内部环境管理企业组织结构企业组织结构企业目标企业目标职责分离检查职责分离检查在线发布在线发布监控及预警监控及预警监督及改进监督及改进测试任务管理测试任务管理统计分析统计分析缺陷分析及认缺陷分析及认定定风险评价风险评价风险分析风险分析风险识别风险识别管理体系设计管理体系设计控制实施控制实施监督及改进监督及改进离线发布离线发布信息系统一致信息系统一致性检查性检查测试及记录测试及记录责任签署责任签署风险管理组织风险管理组织企业业务流程企业业务流程指标监控及预指标监控及预警警测试结果审核测试结果审核整改及跟踪整改及跟踪事件收集事件收集事件分析事件分析事件认定事件

33、认定风险事件管理风险事件管理事件监控事件监控建模模块建模模块风险评估模块风险评估模块发布模块发布模块测试及评价模块测试及评价模块风险事件管理模块风险事件管理模块监控及预警模块监控及预警模块风险指标监控及预警系统架构风险指标监控及预警系统架构ARIS Performance Dashboard报警报警 与与 行动行动规律规律结构分析结构分析, 对标分析对标分析Alerts捕捉事件捕捉事件监控指标监控指标关注关注: 实时实时行动行动关注关注: 过去分析过去分析优化优化监控趋势监控趋势结构化分析结构化分析追溯原因追溯原因业务事件业务事件灵活的灵活的实时适配器实时适配器全体事件全体事件减化后的数据减化

34、后的数据大容量数据大容量数据 IDS Scheer AG www.ids- LegacyDatabaseTechnologyApplication TN3270 MVS TN3270 NetView Console TN3270 VM Console TANDEM TN6530 BULL GCOS7 IOF BULL GCOS8 Console Manager BULL GCOS8 TSS VT220 Terminal Minitel Oracle DB2 SQL Server 2000 SyBase MySQL ODBC JMS HTTP FTP IBM WebSphere MQ SOAP/

35、XML SNMP SMTP Socket Server Web Player Execution of VB Script and JavaScript code Ping UDP TCP Log File Encapsulation Circular File Writer Log Reader Standard Output of a periodically executed program Windows NT Shell connections NT Log Event connections POP3 Remote Access Service .Net SAP ERP SAP E

36、nterprise SAP Netweaver SAP BW / BI WebSphere WebLogic webMethods Tibco BMC Software Patrol CA-Unicenter TNG TIVOLI TEC Candle Omegamon Netview HP OpenView Cisco IBM Director Whats Up Vantage Server Keynote Topaze Newtest OmniVision36强大的数据抽取功能强大的数据抽取功能4 无需代理无需代理(Agent-less)技术技术 最小化对信息系统的影响最小化对信息系统的影

37、响4 基于向导基于向导 不用编码不用编码 易于配置与维护易于配置与维护4 从信息系统中映射原始数据到业务对象从信息系统中映射原始数据到业务对象 IDS Scheer AG www.ids- IDS Scheer AG www.ids- 37风险指标监控及预警风险指标监控及预警 IDS Scheer AG www.ids- 38事件监控事件监控事件监控（基于预设规则）事件监控（基于预设规则）“如果一个订单的优先级如果一个订单的优先级“很高很高”，而且而且超过超过5天没人处理天没人处理” 那么发送一封邮件给销售人员，那么发送一封邮件给销售人员，并通知订单处理部门的经理或上级主管并通知订单处理部门的

38、经理或上级主管123456789Time IDS Scheer AG www.ids- 39 IDS Scheer AG www.ids- 3939灵活适用于各种信息系统访问权限与职责分离的自动化灵活适用于各种信息系统访问权限与职责分离的自动化检查工具检查工具数据数据收集收集模型模型信息信息管理制度管理制度职责分离矩阵模型职责分离矩阵模型4 系统控制要求系统控制要求4 职责分离矩阵职责分离矩阵4 权限配置检查权限配置检查4 访问权限检查访问权限检查权限检查工具权限检查工具自动检查工具自动检查工具样例样例违反职责分离的违反职责分离的系统用户系统用户违反的职责分离内容违反的职责分离内容运行系统运行

39、系统4 系统权限（系统权限（T-Code）4 系统角色系统角色 （ROLE)信息系统信息系统 IDS Scheer AG www.ids- 40测试及评价模块测试及评价模块风险方案设计风险方案设计风险评估风险评估体系手册发布体系手册发布风险管理策略风险管理策略风险应对措施风险应对措施/控制活动控制活动内部环境管理内部环境管理企业组织结构企业组织结构企业目标企业目标职责分离检查职责分离检查在线发布在线发布监控及预警监控及预警监督及改进监督及改进测试任务管理测试任务管理统计分析统计分析缺陷分析及认缺陷分析及认定定风险评价风险评价风险分析风险分析风险识别风险识别管理体系设计管理体系设计控制实施控制实

40、施监督及改进监督及改进离线发布离线发布信息系统一致信息系统一致性检查性检查测试及记录测试及记录责任签署责任签署风险管理组织风险管理组织企业业务流程企业业务流程指标监控及预指标监控及预警警测试结果审核测试结果审核整改及跟踪整改及跟踪事件收集事件收集事件分析事件分析事件认定事件认定风险事件管理风险事件管理事件监控事件监控建模模块建模模块风险评估模块风险评估模块发布模块发布模块监控及预警模块监控及预警模块风险事件管理模块风险事件管理模块测试及评价模块测试及评价模块 IDS Scheer AG www.ids- 41手册管理、测试及评价的信息共享手册管理、测试及评价的信息共享创建测试任务创建测试任务记

41、录测试结果与审核记录测试结果与审核接受测试任务接受测试任务提出建议与改进跟踪提出建议与改进跟踪测试结果统计分析测试结果统计分析例外事项分析例外事项分析手册管理手册管理 IDS Scheer AG www.ids- 42实时、多维度的统计分析，协助快速出具测试报告实时、多维度的统计分析，协助快速出具测试报告o组织组织/分支机构分支机构o流程流程/业务领域业务领域o风险类别风险类别o风险定义风险定义o新建新建o在处理在处理o完成完成o控制有效控制有效o控制无效控制无效o不可测试不可测试o控制缺陷控制缺陷清晰掌握控制缺陷的分布清晰掌握控制缺陷的分布清晰掌握不同业务机构控清晰掌握不同业务机构控制执行情

42、况制执行情况System（系统管理员）（系统管理员） IDS Scheer AG www.ids- 43解决方案的特点解决方案的特点特点特点1：通过流程信息化，建立测试及整改工作机制，规范了检查工作：通过流程信息化，建立测试及整改工作机制，规范了检查工作特点特点2：整合了测试过程中所使用的相关文档，提高工作效率：整合了测试过程中所使用的相关文档，提高工作效率特点特点3：快速、集中、多维度的统计分析，提高工作效率和决策质量：快速、集中、多维度的统计分析，提高工作效率和决策质量 IDS Scheer AG www.ids- 44议程议程内控与全面风险管理面临的挑战内控与全面风险管理面临的挑战内控与

43、全面风险管理的信息化解决方案内控与全面风险管理的信息化解决方案 12内控与全面风险管理系统应用案例介绍内控与全面风险管理系统应用案例介绍 3项目背景及挑战项目背景及挑战挑战挑战 1：业务流程管理水平低，增加了内控管理的难度，影响内控管理工作的落实：业务流程管理水平低，增加了内控管理的难度，影响内控管理工作的落实4基于不同管理主题的，多套流程描述并存基于不同管理主题的，多套流程描述并存4流程标准化程度较低，业务相同的各业务单元的流程差异较大流程标准化程度较低，业务相同的各业务单元的流程差异较大 IDS Scheer AG www.ids- 挑战挑战2：内控手册管理难度大，管理成本高昂：内控手册管

44、理难度大，管理成本高昂4内控手册变更、修订工作量大，效率高低下内控手册变更、修订工作量大，效率高低下4内控要素的统计分析的工作量大，难以为风险管理决策，提供及时的信息支持内控要素的统计分析的工作量大，难以为风险管理决策，提供及时的信息支持项目背景及挑战（续）项目背景及挑战（续）挑战挑战3：内控测试组织难度大，测试成本高昂：内控测试组织难度大，测试成本高昂4测试人员众多，内控测试工作的协调难度大，效率低测试人员众多，内控测试工作的协调难度大，效率低4测试相关文档例如风险控制文档、测试计划表、测试记录表等管理难度较大测试相关文档例如风险控制文档、测试计划表、测试记录表等管理难度较大4测试结果统计分

45、析工作量大、错误多、效率低测试结果统计分析工作量大、错误多、效率低4测试工作底稿归档、查询难度大，难以再利用测试工作底稿归档、查询难度大，难以再利用 IDS Scheer AG www.ids- 系统应用架构系统应用架构业务建模业务建模手册、流程、风险、控制、测试手册、流程、风险、控制、测试测试任务测试任务例外事项例外事项缺陷评估缺陷评估责任签署责任签署汇总分析汇总分析内控审计测试支持内控审计测试支持 ERP系统等其他系统等其他IT系统系统数据数据传输传输风险控制风险控制测试定义测试定义SOX测试测试用户角色用户角色内控手册内控手册业务流程业务流程流程监控流程监控流程报警流程报警流程绩效管理流

46、程绩效管理数据传输数据传输模型发布模型发布门户部署门户部署模型发布模型发布数据数据传输传输数据传输数据传输数据传输数据传输数据传输数据传输流程实施流程实施ERP蓝图蓝图配置配置ERP蓝图蓝图建模建模 IDS Scheer AG www.ids- 建立了涵盖公司业务范围的统一的业务流程架构建立了涵盖公司业务范围的统一的业务流程架构4在原有股份公司在原有股份公司1717个一级流程目录基础上，扩展了业务流程架构，为建立个一级流程目录基础上，扩展了业务流程架构，为建立统一的企业流程管理体系建立了基础统一的企业流程管理体系建立了基础 IDS Scheer AG www.ids- 集成式的风险和流程建模集

47、成式的风险和流程建模 IDS Scheer China www.ids- 搭建公司统一的业务流程和内控与风险管理门户搭建公司统一的业务流程和内控与风险管理门户4门户入口门户入口4部门管理视图部门管理视图4法律风险管理视图法律风险管理视图 IDS Scheer AG www.ids- 实现了内控审计测试工作流程的信息化实现了内控审计测试工作流程的信息化4通过内控审计测试信息化，规范了内控审计测试流程，提高了内控审计的通过内控审计测试信息化，规范了内控审计测试流程，提高了内控审计的效率，降低了合规成本。效率，降低了合规成本。在线测试结果记录在线测试结果记录在线测试结果统计在线测试结果统计 IDS Scheer AG www.ids- 项目收益项目收益收益一：实现业务流程的标准化、规范化管理，提高了业务管理水平收益一：实现业务流程的标准化