企业风险管理解决方案

1、企业风险管理解决方案 / Page 2日程安排何为企业风险管理传统管理模式与环境下，企业风险管理中存在的问题SAP 企业风险管理解决方案小结 / Page 3内外部环境的变化，要求企业更多的关注风险管理全权委托中介机构管理股指走势呈现非理性繁荣诚信危机震撼着美国及国际社会2001年以前道琼斯、纳斯达克、标准普尔三大指数纷纷下挫2004年1月以后机构信任恢复企业对业务诚信发表意见关注治理、风险与合规性管理。2001年12月-2003年12月机构不信任萨班斯奥克斯利法案众议院金融服务委员会主席Sarbanes萨班斯参议院银行委员会主席Oxley奥克斯利 / Page 4全球对风险与公司冶理要求的普

2、遍提高 / Page 4(ITAR) International Traffic in Arms Regulations22 CFR 120-130(EAR) Export Administration Regulations15 CFR Chapter VIIUS Customs Regulations19 CFRInternational Emergency Economic Powers Act (S. 1612)Foreign Exchange Order日本SOXPNEMENNational Policy of Exports of Military GoodsRegulation

3、13E of the Customs (Prohibited Exports) RegulationsEU: Foreign Trade Administration ActEU: Foreign Trade and Payments Regulation (AWV)German Customs Administration Law美国SOXMultilateral Instrument 52-111King II Report France: 2003 Financial Security LawGermany: KonTraGesetz 1998 & UMAGClause 49 of th

4、e Listing Agreement香港Code on Corporate Governance PracticesCorporate Law Economic Reform Program (CLERP) 9 Data Privacy Laws CA-SB 1386, HIPAAGramm-Leach-Bliley Act, COPPAEuropean Data Protection DirectiveHazardous Waste ActAir Toxics NEPMToxic Substances ManagementMultilateral Instrument 52-111 / P

5、age 5风险的定义对实现企业经营目标具有关键或影响作用的不确定性因素，均可以称之为企业经营风险企业的风险与企业的经营规模、管理体制、行业特点、内外部环境有着很大的相关性；根据企业规模、体制、行业以及内外部环境的变化，风险的甄别、风险防范与控制体系也存在很大差异 / Page 6企业可能所面临的风险授权 完整性 安全性 可靠性 基础信息技术风险环境风险运营风险决策风险业务风险客户满意人力资源产品开发效率能力表现差异循环时间资源商品定价过失或损失符合性业务中断健康和安全 环境产品或服务失败 商标或产品名侵蚀资金风险货币利率流动性结算再投资信用双边关系现金转移或流速改变管理风险领导力权力 沟通限制

6、 表现 激励管理欺诈雇员欺诈非法行为无授权使用商誉政治因素业务层面价格 合同投入衡量结盟 完整性和精确性管理报告财务层面预算和计划 完整性和精确性会计信息财务报告评价税收养老基金投资评估管理报告战略层面环境检视业务组合价值衡量组织结构资源分配计划生命周期敏感性灾难性损失竞争者法律方面股东关系行政管理资金充足性行业金融市场 / Page 7日程安排何为企业风险管理传统管理模式与环境下，企业风险管理中存在的问题SAP 企业风险管理解决方案小结 / Page 8企业风险管理的意义与手段企业所面临的风险是无法完全避免，但风险是一定能被控制在最小范围中的。企业的风险控制是企业员工与管理层的共同责任。设立

7、企业管理控制与内险预警制度并非是对企业内权力的重新分配，而是企业安全成长与发展的保障。 / Page 9企业如何建立有效的风险管理体系认识不足：如何比较全面的确认与识别风险？如何积极的面对风险？体系不建全：缺乏有效的风险管理及企业内部控制机制，是影响企业战略贯彻到位的主要因素；如何采用行业最佳的风险管理控制方法手段的缺乏：如何确信所有的风险控制方法、政策、程序均得到执行 / Page 10什么是内部控制注：COSO是指美国反对虚假财务报告委员会所属的内部控制专门研究委员会发起机构委员会（Committee of Sponsoring Organizations of the Treadway

8、Commission， 简称COSO）。它包括美国注册会计师协会，内部审计师协会，财务经理协会，美国会计学会，管理会计协会。内部控制是企业为控制经营风险、实现经营目标而制定的各项政策与程序。COSO报告指出：内部控制是一个过程，受企业董事会、管理当局和其他员工影响，旨在保证财务报告的可靠性、经营的效果和效率以及现行法规的遵循。它认为内部控制整体架构主要由控制环境、风险评估、控制活动、信息与沟通、监督五项要素构成。 / Page 11企业风险管理框架 源自于COSO内部风险管理框架内部环境目标设定监控事项识别风险评估信息与沟通控制活动内险应对风险管理理念风险文化董事会操守和价值观对胜任能力的承诺

9、管理方法和经营模式风险偏好组织结构职责和权限的分配人力资源政策和实务战略目标其他相关目标选择目标风险偏好风险容忍度确认风险反应方案对可能的风险反应方案进行评估选择反应方案风险组合观与风险反应相结合控制活动的类型一般控制应用控制特定主体事项影响战略及目标的因素方法和技术事项的相互依存性事项类别风险和机遇固有风险和残存风险可能性和影响方法和技术相关性信息战略和整合系统沟通个别评估持续评估 / Page 12支离破碎的风险管理方法增大了风险供应链客户和渠道人力资源部 员工安全法规的合规管理财务部 复杂的,跨国的公司治理要求合规 / 风险办公室支离破碎的风险分析?销售和服务部高信用风险客户采购部供应商

10、“黑名单”总裁们和高管们不完整的全企业的风险剖面图信息技术部数据泄露和安全SALARIES董事会,审计委员会高管们的薪资回报设计 / Page 13没有预见到的风险会大大冲击企业的运营National Headlines“Agency Delayed Reporting Theft of Veterans Data”May 24, 2006, New York Times“Data Theft at Nuclear Agency Went Unreported for 9 Months”June 10, 2006, New York Times“Bomb Scare shuts Ports T

11、erminal 18”Aug 18, 2006, The Seattle Times“Palms Treo Violates E.U. Pollution Law” Jul 06, 2006, CIO Tech Informer运营内控失败部分主要的运营被迫中断削弱了客户服务降低了投资者和市场的信心增加了业务成本大大影响了市场表现导致近距离调查和监管 / Page 14日程安排何为企业风险管理传统管理模式与环境下，企业风险管理中存在的问题SAP 企业风险管理解决方案SAP风险管理解决方案概述环境风险管理运营风险管理决策风险管理IT风险管理小结 / Page 15企业风险矩阵按时间状态划分可以分

12、为事前、事中、事后授权 完整性 安全性 可靠性 基础信息技术风险环境风险运营风险决策风险业务风险客户满意人力资源产品开发效率能力表现差异循环时间资源商品定价过失或损失符合性业务中断健康和安全 环境产品或服务失败 商标或产品名侵蚀风险货币利率流动性结算再投资信用双边关系现金转移或流速改变管理风险领导力权力 沟通限制 表现 激励管理欺诈雇员欺诈非法行为无授权使用商誉政治因素业务层面价格 合同投入衡量结盟 完整性和精确性管理报告财务层面预算和计划 完整性和精确性会计信息财务报告评价税收养老基金投资评估管理报告战略层面环境检视业务组合价值衡量组织结构资源分配计划生命周期敏感性灾难性损失竞争者法律方面股

13、东关系行政管理资金充足性行业金融市场 / Page 16SAP为企业构建了全方位的风险管理解决方案战略计划合并与快速关账获利能力分析商务智能战略规划与贯彻ERP访问控制流程控制全球贸易服务环境风险管理公司冶理与风险GRC深入的业务洞察力CPM财务与业务流程标准化、规范化物流标准化资金管控平台财务核心业务内审监察自动控制数据统一决策与运营风险环境风险运营与IT风险 / Page 17SAP ERP为企业构筑基础信息与管控平台 / Page 18CPM高度协作的平台基于驱动因素的持续计划可调整的预测模型自上向下及自底向下的业务预算及财务预算企业愿景投资计划并购及整合企业价值分析资金规划重要客户重要

14、市场重要产品投资决策缩短关帐周期提高报表可信度满足法定、管理报表要求分部报告SAP CPM公司战略管理，构建风险分析与监控体系闭环和完整的风险解决方案不断推进风险管理水平战略策略模型优化报告与监控计划与执行 / Page 19SAP 公司治理、风险与控制解决方案为企业提供的一个集成的全方位的风险管理架构Delivers transparency to balanced global risk profileStandardizes on common GRC content and rulesAutomates and embeds GRC processes into business pr

15、ocessesIntegrates with existing IT assets and technology partnersEnables easier collaboration with service and content partners业务流程业务流程平台SAP GRC解决方案GRC跨行业组件安全控制全球贸易环境流程控制风险 管理GRC 知道库：文档与监视器GRC针对行业特殊组件业务应用 / Page 20SAP GRC 解决方案 流程控制 业务流程控制GRC 风险管理跨企业的风险及控制综合视图访问控制 Sustainable Prevention of SoD Violat

16、ions & Compliant IDM/Provisioning合球贸易服务 保障并顺畅边境贸易EH&S环境执行及合法性EmployeeWork AreaMaterial控制全企业的业务流程 / Page 21集成模式帮助企业克服了对治理、风险和合规性的支离破碎的管理方式供应链客户和渠道董事会, 审计委员会获得了决策和指示的证据合规 / 风险办公室集成的风险分析总裁们和高管们对业务绩效信息增加了信心信息技术部安全的信息技术架构采购部反恐贸易实务财务部 符合全球各种规定的财务报告人力资源部 环境健康和安全的合规性销售和服务部平衡的信用管理SALARIES / Page 22节省的成本（资金的来

17、源）整体性方法HolisticApproach战术性方法TacticalApproachGRC的成本GRC项目的数量集成GRC项目的资金来源 -将GRC转变成企业的战略优势 / Page 23日程安排何为企业风险管理现代企业风险管理面临的主要问题SAP 企业风险管理解决方案SAP风险管理解决方案概述环境风险管理运营风险管理决策风险管理IT风险管理小结 / Page 24企业风险矩阵按时间状态划分可以分为事前、事中、事后授权 完整性 安全性 可靠性 基础信息技术风险环境风险运营风险决策风险业务风险客户满意人力资源产品开发效率能力表现差异循环时间资源商品定价过失或损失符合性业务中断健康和安全 环境

18、产品或服务失败 商标或产品名侵蚀风险货币利率流动性结算再投资信用双边关系现金转移或流速改变管理风险领导力权力 沟通限制 表现 激励管理欺诈雇员欺诈非法行为无授权使用商誉政治因素业务层面价格 合同投入衡量结盟 完整性和精确性管理报告财务层面预算和计划 完整性和精确性会计信息财务报告评价税收养老基金投资评估管理报告战略层面环境检视业务组合价值衡量组织结构资源分配计划生命周期敏感性灾难性损失竞争者法律方面股东关系行政管理资金充足性行业金融市场 / Page 25“是否能够通过一个知识库来集中所有的信息呢？”SAP企业门户知识管理提供： 提供统一的界面、检索以及服务能够组织非结构化信息 对客户、合作伙

19、伴提供了开放的接口函数SAP企业门户知识管理包括内容管理分类检索 MicrosoftIBMAccentureKPMGPartnersTechnologyConsulting知识管理存在多种知识库 !文件服务器, web 服务器目前支持的知识管理存储系统: Windows File Server Web Servers WebDAV compliant servers SAP PLM DMS* SAP Knowledge Warehouse* Lotus Notes FileNet*, IXOS*, Documentum* EP KM repository (internal KM databa

20、se)Status: Q1 2004 * Restricted & release dependent availability (detailed information via your SAP contact)* As pilot partners for connector (repository manager) implementation* As consulting offer by Documentum行业市场环境知识库与信息情报分析 / Page 26GRC 知识库由企业内外部贡献的各种内容构成的集中的知识库在多种监管框架下优化内控保存证据以供高管决策和董事会指示绩效考核和

21、行业标杆法规和行业规定风险库和内控库企业政策和流程董事会和委员会会议纪要GRC知识库最佳业务实践内控框架(COBIT, JSOX, )咨询服务(审计师, 律师)内部政策政府监管各种影响力量流程管理中还涉及到各种各样的和流程相关的知识，比如各种法规（萨班斯法）的要求， 董事会的内控决议等等， 这些知识可以在SAP GRC知识库中进行统一集中的管理。 / Page 27SAP GRC 环境遵循解决方案1995SAP EH&S2003 SAP EC2007REACH环境遵循将对企业的全程供应链以及业务体系产生影响AuthoritiesProductionCompliance ManagerPurch

22、asingSalesHow can we ensure compliant development and design for environmnet right from the beginning ?Pain: Compliant developmentSupplierHow can we effectively collect compliance data and SDS of thousands of supplier parts ?Pain: Supplier collaborationHow can we ensure environmental compliance duri

23、ng production and delivery?Pain: Compliant productionR&DHow can we satisfy individual customer declarations, ship compliant products and proof transports?Pain: Customer requirementsHow can we effectively manage necessary data for an increasing amount of legal regulations?Pain: Legal regulationsCusto

24、mers / Page 28权益者关系管理 / Page 29日程安排何为企业风险管理现代企业风险管理面临的主要问题SAP 企业风险管理解决方案SAP风险管理解决方案概述环境风险管理运营风险管理决策风险管理IT风险管理小结 / Page 30企业风险矩阵按时间状态划分可以分为事前、事中、事后授权 完整性 安全性 可靠性 基础信息技术风险环境风险运营风险决策风险业务风险客户满意人力资源产品开发效率能力表现差异循环时间资源商品定价过失或损失符合性业务中断健康和安全 环境产品或服务失败 商标或产品名侵蚀资金风险货币利率流动性结算再投资信用双边关系现金转移或流速改变管理风险领导力权力 沟通限制 表现

25、激励管理欺诈雇员欺诈非法行为无授权使用商誉政治因素业务层面价格 合同投入衡量结盟 完整性和精确性管理报告财务层面预算和计划 完整性和精确性会计信息财务报告评价税收养老基金投资评估管理报告战略层面环境检视业务组合价值衡量组织结构资源分配计划生命周期敏感性灾难性损失竞争者法律方面股东关系行政管理资金充足性行业金融市场采购请求采购定单货物接收发票接收现金预测采购资金现金预测电子银行财务会计预算检查实际发生预算检查预算检查控制现金预测现金预测电子银行总账释放供应商支付总账物流、信息流、资金流的统一体现 / Page 32事前：ERP流程固化与标准化、规范化预留审批过程项目工单采购计划/MRP采购申请库

26、存物资?库存足够?审批过程集中采购?上级招投标?创建招标审批提交招标发布标书供应商投标开标/评标决标询报价定点一次性采购合同/订单审批到货通知ASN采购收货质量检验验收入库仓库领料库存管理剩余退还否是否是否是1)需求计划2) 采购计划3) 招投标5) 采购收货6) 库存管理4) 采购合同/订单 / Page 33SAP SRMSAP Business Information Warehouse/SAP Content Integrator 获取评估数据定义评估流程分析供应商的表现录入评估数据（到网上调查专栏）基于采购文件自动计算绩效指标灵活的数据上载集合网上调查数据并自动计算关键指标对操作型寻

27、源进行决策支撑对供应商的表现进行监督对供应商的表现进行反馈战略寻源分析（例如：组合分析）设计问卷对供应商的表现进行民意测验把问卷集成到采购流程当中预制的、自动计算的关键数据，例如：按时交货情况选择条件的组合选择条件和分组的权重供应商评估风险的主动预仿 定义评估流程 获取评估数据 分析供应商表现 / Page 34SAP系统内控举例销售订单处理功能-逐层风险控制销售订单信用状态：冻结信贷控制发货信用状态：冻结信贷控制释放出货信贷控制客户主数据催款程序建立信贷限额 / Page 35事中：预算与审批控制采购处理过程预算的预留采购订单发票付款GR 接收，直接发使用对象GR 入库不使用MM需求使用MM

28、GI 发使用对象承诺（预测）实际应记（预测）实际现金（支付流）采购请求从承诺开始就占用预算 / Page 36实时在线的反馈，使资金管理者有效撑控资金的平衡现金调度预测(中期)预测(短期)现金状态CO-PAFI-FMCO-CCAAMHRMM财务预算TR买入财务资产付款付款卖出财务资产期权远期外汇买卖远期外汇买卖期权采购意向采购合同供应商发票支付支付发票销售合同业务量基金预算流动性计划营业收入计划成本计划资产投资计划人力资源计划物资计划FI-FCFI-FC财务资本投资评估- 收入- 费用财务- 资产- 负债FI-FC / Page 37健康、安全、环保企业发展永恒的主题环境人员安全总监及安全员消

29、防人员医生劳动卫生人员生产计划人员人事部门人员运输人员仓库管理人员SAP 健康安全环保解决方案健康与安全简报风险评价有害物品登记废物管理物品安全记录单标准操作规程意外事故管理现场监察医疗服务危险品属性维修人员 / Page 38效益基准因素投资组合分析市场风险分析风险价值持续时间流动性 信用风险分析交易对手风险限额支票扣除/抵押品综合管理与控制SAP 内部银行SAP CFM资金交易管理器SAP CFM流动性计划SAP CFMSAP 现金管理SAP R/3例如：来自于不同模块的信息评估使用的方法外部非SAP系统.专业的金融风险分析工具 / Page 39没有工作流情况下的手工控制动作 任务协调和

30、透明度实现难度大!?Send out paper-based documentation surveys for completionSave documents and spreadsheets to local file servers创建测试计划Receive test instructions via emailPerform manual tests based on verbal instructionsConsolidate results from multiple sources?需要测试什么？谁来执行测试？我应该怎么 做？为什么这很重要？我们站在哪里？ 我们如何改进？控制测

31、试者合规团队管理层 / Page 40工作流简化了手工控制动作 自动通知和操作指导确保实效性和可靠性!?Send out paper-based documentation surveys for completionSave documents and spreadsheets to local file serversCreate test planReceive test instructions via emailPerform manual tests based on verbal instructionsConsolidate results from multiple sour

32、ces?What do we need to test? Who should perform the test?What am I supposed to do?Why is this important?Where do we stand?How can we improve?Document control and test planAttach reference document and spreadsheetFollow guided procedure and perform testReport results and attach evidence 自动化通知将任务传递到相关

33、的用户 使用指导性操作和相关文档进行用户培训 保留完整的测试结果与证据的审计记录控制测试者合规团队管理层 / Page 41财务管理的关键流程核心流程07. 信息生命周期管理 (数据维护)09. 分析流程 (Closed Loop)08. 主数据管理支持流程06. 冶理、风险与合规 (GRC)战略流程01. 战略计划02. 运营计划03. 财务会计与管理会计04. 单体的会计关账05. 全局的会计关账01.01 目标01.02 资源计划01.04 控制优化01.05 公司财务01.03 投资管理02.01 供应与需求计划02.02 成本计划02.04 财务计划02.03 投资计划03.01 销

34、售到收款03.02 采购到付款03.04 流动性管理03.05 财务资产管理03.03 成本分配04.01 结算与评估04.02 关联公司的平衡04.04 资金管理04.05 报告调整04.03 存货管理05.01 法定合并05.02 管理合并05.03 生成报告附件02.05 流动性计划合规性管理计划 识别与文档记录测试 信息与沟通 纠正与措施监测与控制措施风除管理风险定义 风险识别风险确认信息与沟通措施监测与控制公司冶理Vision & Objectives策略确定组织与架构 信息与沟通指导方针监测与控制 / Page 42财务管理的关键流程流程控制示例核心流程07. 信息生命周期管理 (

35、数据维护)09. 分析流程 (Closed Loop)08. 主数据管理支持流程06. 冶理、风险与合规 (GRC)战略流程01. 战略计划02. 运营计划03. 财务会计与管理会计04. 单体的会计关账05. 全局的会计关账01.01 目标01.02 资源计划01.04 控制优化01.05 公司财务01.03 投资管理02.01 供应与需求计划02.02 成本计划02.04 财务计划02.03 投资计划03.01 销售到收款03.02 采购到付款03.04 流动性管理03.05 财务资产管理03.03 成本分配04.01 结算与评估04.02 关联公司的平衡04.04 资金管理04.05 报

36、告调整04.03 存货管理05.01 法定合并05.02 管理合并05.03 生成报告附件02.05 流动性计划02.05 流动性计划历史现金流分析现金流预测定义现金流的目标定义流动性缺乏或富余的措施预测的现金流是否包括所有的可能情况？当前现金流目标是通过了压力测试？所有的措施是否符合同内部管理方针？所有的数据是否准确与高质量？所有的措施是否进行过成本的准确测算？ / Page 43财务管理的关键流程流程控制示例核心流程07. 信息生命周期管理 (数据维护)09. 分析流程 (Closed Loop)08. 主数据管理支持流程06. 冶理、风险与合规 (GRC)战略流程01. 战略计划02.

37、运营计划03. 财务会计与管理会计04. 单体的会计关账05. 全局的会计关账01.01 目标01.02 资源计划01.04 控制优化01.05 公司财务01.03 投资管理02.01 供应与需求计划02.02 成本计划02.04 财务计划02.03 投资计划03.01 销售到收款03.02 采购到付款03.04 流动性管理03.05 财务资产管理03.03 成本分配04.01 结算与评估04.02 关联公司的平衡04.04 资金管理04.05 报告调整04.03 存货管理05.01 法定合并05.02 管理合并05.03 生成报告附件02.05 流动性计划订单输入 订单执行发票收入确认收入记

38、账这个订单是否超过限额? (e.g. 信用限额)价格与汇率是否已经调整是否所有的业务活动都已记入正确的账户是否有相应的贸易限制？是否存在未授权的交易价格?03.01 销售到收款 / Page 44分析工作清单业务流程控制 工作中心组织架构层次Account Groups/Assertions流程层次控制对象分类公司层面内控层次评估问卷问题列表问卷库手工测试测试计划自动测试规则质询计划周期评估列表合规性评估测试 监控签字用户角色授权User Centric Design functionality logically grouped by business user roles风险经理审计经理

39、/ Page 45审计信息系统A I S 审计相关文档培训 Audit-specific documentation + training业务审计Business Audit税务审计Tax Audit系统审计System Audit内部审计师Internal Auditors外部审计师External Auditors数据安全官Data Security Officers税务审计师Tax Auditors / Page 46日程安排何为企业风险管理现代企业风险管理面临的主要问题SAP 企业风险管理解决方案SAP风险管理解决方案概述环境风险管理运营风险管理决策风险管理IT风险管理小结 / Pag

40、e 47企业风险矩阵按时间状态划分可以分为事前、事中、事后授权 完整性 安全性 可靠性 基础信息技术风险环境风险运营风险决策风险业务风险客户满意人力资源产品开发效率能力表现差异循环时间资源商品定价过失或损失符合性业务中断健康和安全 环境产品或服务失败 商标或产品名侵蚀风险货币利率流动性结算再投资信用双边关系现金转移或流速改变管理风险领导力权力 沟通限制 表现 激励管理欺诈雇员欺诈非法行为无授权使用商誉政治因素业务层面价格 合同投入衡量结盟 完整性和精确性管理报告财务层面预算和计划 完整性和精确性会计信息财务报告评价税收养老基金投资评估管理报告战略层面环境检视业务组合价值衡量组织结构资源分配计划

41、生命周期敏感性灾难性损失竞争者法律方面股东关系行政管理资金充足性行业金融市场 / Page 48SAP ERP-基础信息与风险监控平台 / Page 49财务绩效管理数据集成DW战略管理业务计划 (与合并)财务合并获利能力分析仪表盘, 报告, 分析Financial Performance ManagementAlignment执行战略监控CRMERPOperational / Page 50SAP CPM超越财务合并与计划战略及优先级 计划与执行合并与监控建模与优化战略管理业务计划业务合并获利能力管理 SAP 2008 / Page 50 / Page 51分别为这4个目标创建了方案CFO

42、从4个关键目标对并购后的战略进行沟通：成本节约、合规性、绩效管理和风险管理财务主管计划财务系统的集成：关帐，月度合并及预测更新后的获利能力及成本分析通过Duet，人事总监可关注于才能开发CFO查看记分卡，评测执行与初始目标的差异CRO（首席风险官）在风险管理中设置了风险参数文件直线经理利用访问控制对新进员工进行责任区分集成财务管理套件的价值集成战略、计划与获利分析 / Page 52SAP GRC 风险计划与风险管理风险管理政策*识别与划分期望 的风险的组织单元、业务活动类别与风险类别组织机构层次设置风险级别与优先级用户与角色定义业务活动类别风险类别建立风险管理文档以及风险的负责人风险的自我评

43、估与调查风险的自动报警方法的定性分析方法的定量分析各组织单元确定各自的风险级别与目标值文档反馈状态跟踪与分析基于工作流驱动风险的再评价对风险评估的检查与确认报告与展现风险事故与损失的跟踪* steps not supported by application风险管理应用风险 计划风险监控风险反馈风险识别与分析 / Page 53风险智能管理开发风险智能战略战略执行的开发计划绩效分析，必要的改进绩效管理中与风险相关的数据风险管理战略管理 / Page 54强大的可视化功能，优化战略的沟通过程路径图 围绕企业战略的责任制、主动性和考核指标的确定，使短期、中期和长期战略可视化。定制化图：帮助用户更好

44、地执行公司战略鱼骨图：突出可能导致行动失败的关键因素的内在联系 / Page 55日程安排何为企业风险管理现代企业风险管理面临的主要问题SAP 企业风险管理解决方案SAP风险管理解决方案概述环境风险管理运营风险管理决策风险管理IT风险管理小结 / Page 56企业风险矩阵按时间状态划分可以分为事前、事中、事后授权 完整性 安全性 可靠性 基础信息技术风险环境风险运营风险决策风险业务风险客户满意人力资源产品开发效率能力表现差异循环时间资源商品定价过失或损失符合性业务中断健康和安全 环境产品或服务失败 商标或产品名侵蚀风险货币利率流动性结算再投资信用双边关系现金转移或流速改变管理风险领导力权力

45、沟通限制 表现 激励管理欺诈雇员欺诈非法行为无授权使用商誉政治因素业务层面价格 合同投入衡量结盟 完整性和精确性管理报告财务层面预算和计划 完整性和精确性会计信息财务报告评价税收养老基金投资评估管理报告战略层面环境检视业务组合价值衡量组织结构资源分配计划生命周期敏感性灾难性损失竞争者法律方面股东关系行政管理资金充足性行业金融市场 / Page 57中央实例群集中央实例加锁服务群集数据库服务器或备用数据库服务器数据库SAP提供完整的高可用性方案杜绝单点故障WEB分发WEB分发全透明负载均衡杜绝单点故障数据库应用服务器多台应用服务器应用服务器应用服务器中央实例消息服务加锁服务 / Page 58扩

46、展性能增加应用服务器增加CPU、内存前台层应用层数据库层 / Page 59应用安全协同安全用户访问安全架构安全软件生命周期安全政策法规审计法规，数字签名FDA,HIPPA,E-SIGNSigG角色和授权角色定义，权限等级权限修改管理编制权限和授权分离数据保护和隐私控制相关数据收集审计流程审计，配置审计主数据审计，变更管理交易审计认证联盟公共秘钥交换，CA认证，.NET护照Kerberos认证消息安全XML签名，XML加密SAML，PKCS7PEM签名，S/MIME安全协同SAMLWS-SecurityXACML信任管理安全架构，PKICA数字证书CA认证连接身份管理用户管理，集中用户管理LD

47、AP目录服务器整合自助服务认证和单点登陆基本权限，基于证书的权限登陆票，PAS，X509，SNCSAML，JAAS访问控制基于网络、策略、用户、对象（ACLs）的访问控制专业授权，工作流授权网络传输安全SSL，SNC，IPSEC防火墙和代理，网络架构蓝图平台安全操作系统安全手册，数据库安全，病毒检测系统安全系统到系统的安全，SSL，SNC，跟踪重要数据修改记录终端安全安全数据复制用户输入过滤安全进程管理安全开发最佳开发实践完整开发安全标准代码检测默认安全配置最小化安装，最小化服务激活，默认激活加密预配置的管理用户发布安全代码签名软件发布中心变更安全管理安全开发发布系统变更安全，病毒扫描接口，客

48、户开发手册完备的安全模型 / Page 60系统非法登录风险分析，纠正与预访服务Delivers 24/7, real-time compliance by stopping security and controls violations before they occurReportingRisk IdentificationEliminationPreventionAccess Risks ServicesRulesAccess Risks LibrarySAP GRC Access Control, with its comprehensive preconfigured rule s

49、et, reflected deep expertise within SAP that would have taken us a very long time to replicate.Deepak Mehrotra, SOX Compliance Manager, Synopsys Inc.Real-time SOD Risk AnalysisCritical Transaction MonitoringCross-Application IntegrationRemediation ManagementMitigation ManagementCommon services acros

50、s all SAP GRC Access Control capabilitiesAlerts FrameworkReportingReal-time SimulationMandatory PreventionCross-Enterprise Rules DatabaseCross-Enterprise Rules Architect / Page 61SAP GRC 登录控制Sustainable prevention of segregation of duties violations Cross-enterprise library of best practice segregat

51、ion of duties rules Compliant User ProvisioningPrevent SoD violations at run timeSuperuser Privilege ManagementClose #1 audit issue with temporary emergency accessPeriodic Access Review and Audit Focus on remaining challenges during recurring audits(持续控制）(保持与优化）风险分析、纠正以及预访性服务角色管理 Enforce SoD complia

52、nce at design time风险分析与修正 Rapid, cost-effective and comprehensive initial clean-up(清理权限漏洞)提高合规管理的效率持续的安全访问管理有效的检查与审计 / Page 62流程控制中的职权分离管理（SoD，Segregation of Duties)职权分离是流程设计中很重要的一种风险控制手段，SAP GRC对职权分离的实时控制在违规行为发生之前就及时制止了它们。 显著地 降低合规成本通过跨企业的预防性控制手段降低风险 通过自动化减少了合规所需要的时间 通过广泛的预设规则可以直接使用的 减少了36%的授权风险管理的

53、成本 客户调查, 5/2005234561实现端到端的自动控制确定并选择需要管理的风险建立和维护规则侦测授权风险消除和减轻风险测试和报告预防 / Page 63Virsa Access EnforcerSAP GRC 访问控制方案 执行端到端的“从雇用到退休”合规应用工作流支持的合规执行产生需求自动化执行经理批准风险分析工作流路径基于需求类型和用户属性升级工作流异常工作流100% 自动化HR 事件EmployeeHired/Retired通过邮件选择预防性模拟100% 自动化将跨企业合规嵌入到业务流程降低用户管理的成本提高终端用户工作效率方便审计师审计工作“减少合规操作时间从原来的两周到现在的

54、两天” Web Seminar Rockwell Collins, 3/2005 / Page 64日程安排何为企业风险管理现代企业风险管理面临的主要问题SAP 企业风险管理解决方案小结 / Page 65SAP为企业构建了全方位的风险管理解决方案战略计划合并与快速关账获利能力分析商务智能战略规划与贯彻ERP访问控制流程控制全球贸易服务环境风险管理公司冶理与风险GRC深入的业务洞察力CPM财务与业务流程标准化、规范化物流标准化资金管控平台财务核心业务内审监察自动控制数据统一决策与运营风险环境风险运营与IT风险 / Page 66Thank you! / Page 67Compliance董事会

55、财务部法律部销售部合同部人力资源部内控部信息部政策管理审计和合规管理资金部Compliance合规管理合规管理美国.德国日本英国.法国中国加拿大印度合规管理Governance合规管理风险管理公司治理风险管理风险管理公司治理风险管理Risk Mgmt.风险管理公司治理安全项目管理文档管理合同计划客户ERP生产开票SOXJSOX信用风险人力资本风险收入确认FDAROHSWEEE项目风险合规管理风险管理公司治理在这个日趋复杂的世界中, “ 公司治理、风险管理和合规管理” 越来越困难， 传统的GRC是一种支离破碎的方法，正如图中的场景基于COSO内部风险管理框架，当前的主题已不止是审计-而是整个GR

56、C体系 ( 治理、风险和合规管理) / Page 68Core Processes07. Information Lifecycle Management (Data Maintenance)09. Analysis Processes (Closed Loop)08. Master Data ManagementSupportive Processes06. Governance, Risk, and Compliance (GRC)MainProcesses01. Strategic Planning02. Operational Planning03. Operative Account

57、ing & Controlling04. Individual Account Closing05. Group Account Closing01.01 Objectives01.02 Enterprise Planning01.04 Control Optimization01.05 Corporate Financing101.03 Investment Management02.01 Supply & Demand Planning02.02 Cost Planning02.04 Financing Planning02.03 Investment Planning03.01 Orde

58、r-to-Cash03.02 Procure-to-Pay03.04 Liquidity Management03.05 Financial Asset Management03.03 Cost Allocation04.01 Settlement/Evaluation04.02 Balances/Inter-company Cooperation04.04 Generation of Attachments04.05 Regulatory Reporting04.03 Inventory05.01 Legal Consolidation05.02 Management Consolidati

59、on05.03 Generation of Attachments02.05 Liquidity PlanningBusiness Process Map “Financials“Governance, Risk Management and ComplianceCompliancePlanning Identification & DocumentationTesting Information / Communication Remedy measuresMonitoring & Controlling the measuresRisk ManagementRisk Definition

60、Risk-IdentificationValidationInformation / Communication MeasuresMonitoring & ControllingGovernanceVision & ObjectivesStrategyDefinitionOrganization & Structure Information / CommunicationGuidelinesMonitoring & Controlling / Page 69企业为支离破碎的风险管理所支付的成本和机会成本GRC成本 270亿美元（$27 Bill）股票价格 / 企业表现失去的机会*来源: SA