友联时骏内部控制解决方案

1、. 内部控制导航仪产品处理方案：.； - PAGE 21 -内部控制导航仪产品处理方案专业版V1.0Pilot Control Product Solution 中国企业内部控制管理与合规处理方案China Enterprise Internal Control Management and Compliance Solution友联时骏企业管理顾问Union Strength Business Consulting Co., Ltd.关于友联时骏内部控制导航仪 定位为内部控制合规软件，对内部控制合规任务的组织、过程和内容实施全程系统化管理，可以直接协助 中国上市公司达成内部控制合规要求、并满

2、足企业不断完善和提升内部控制的内在管理需求的全面处理方案。 全部的软件设计理念，于友联时骏2002年以来8年内50余个内部控制合规咨询案例的业务虚践。 友联时骏经过“内部控制专业咨询 + 内部控制软件的综合效力，努力于为中国企业提供高效、便利、本钱效益最优的内部控制合规处理方案。 目 录 TOC o 1-2 h z u HYPERLINK l _Toc263069655 1为什么需求内控管理系统 PAGEREF _Toc263069655 h 4 HYPERLINK l _Toc263069656 1.1内部控制领域正在发生什么变化？ PAGEREF _Toc263069656 h 4 HYP

3、ERLINK l _Toc263069657 1.2企业应如何应对内控领域的变化？ PAGEREF _Toc263069657 h 4 HYPERLINK l _Toc263069658 1.3企业在内控合规任务中，会遇到哪些挑战？ PAGEREF _Toc263069658 h 5 HYPERLINK l _Toc263069659 1.4内控合规管理系统应具备哪些特点？ PAGEREF _Toc263069659 h 5 HYPERLINK l _Toc263069660 1.5如何评价内控合规管理系统？ PAGEREF _Toc263069660 h 6 HYPERLINK l _Toc

4、263069661 2友联时骏内部控制导航仪 PAGEREF _Toc263069661 h 7 HYPERLINK l _Toc263069662 2.1产品定位与适用范围 PAGEREF _Toc263069662 h 7 HYPERLINK l _Toc263069663 2.2实际根底 PAGEREF _Toc263069663 h 7 HYPERLINK l _Toc263069664 2.3产品功能 PAGEREF _Toc263069664 h 8 HYPERLINK l _Toc263069665 2.3.1 功能矩阵图 PAGEREF _Toc263069665 h 8 HY

5、PERLINK l _Toc263069666 2.3.2 主要功能 PAGEREF _Toc263069666 h 10 HYPERLINK l _Toc263069667 2.4产品特点与运用价值 PAGEREF _Toc263069667 h 12 HYPERLINK l _Toc263069668 2.5处理方案 PAGEREF _Toc263069668 h 13 HYPERLINK l _Toc263069669 2.5.1 不同规模企业之合规方案 PAGEREF _Toc263069669 h 14 HYPERLINK l _Toc263069670 2.5.2 不同上市地企业之

6、合规方案 PAGEREF _Toc263069670 h 15 HYPERLINK l _Toc263069671 3产品技术信息 PAGEREF _Toc263069671 h 15 HYPERLINK l _Toc263069672 3.1技术道路 PAGEREF _Toc263069672 h 15 HYPERLINK l _Toc263069673 3.2体系架构 PAGEREF _Toc263069673 h 15 HYPERLINK l _Toc263069674 3.3技术特点 PAGEREF _Toc263069674 h 15 HYPERLINK l _Toc26306967

7、5 3.4运转环境 PAGEREF _Toc263069675 h 15 HYPERLINK l _Toc263069679 4联络方式 PAGEREF _Toc263069679 h 15为什么需求内控管理系统内部控制领域正在发生什么变化？加强和完善上市公司内部控制，已成为当今全球上市公司监管实际界和实务界最为关注的话题之一。新世纪以来，运营环境的变化、管理实际的不断开展以及近年来因内部控制失效而发生的上市公司恶性舞弊事件，促使各国监管机构陆续出台了严厉的法规或指引，要求上市公司加强和完善有效运作的内部控制制度，以确保财务报告和信息披露的可靠性，维护投资者的合法权益。 2002年7月，美国国

8、会公布了，正式提出了上市公司披露内部控制报告的强迫性要求，上市公司管理层需求对与财务报告相关的内部控制设计和运转的有效性进展自我评价并发表责任声明，同时，审计师将进展独立的内部控制审计。 2006年6月，日本国会经过了，要求与萨班斯法案类似。 2021年6月，中国财政部、证监会等五部委结合发布； 2021年4月，五部委结合发布了。这些文件的出台标志着顺应我国企业实践情况、交融国际先进阅历的企业内部控制规范体系根本建成。五部委确定的实施时间表为：自2021年1月1日起在境内外同时上市的公司施行，自2021年1月1日起扩展到在上交所、深交所主板上市的公司施行。在此根底上，择机在中小板和创业板上市公

9、司施行。中国成为继美国和日本之后，第三个要求对上市公司实施内部控制审计的国家。从鼓励式的披露，到法定的要求；从自愿式的规范，到强迫性的监管；从在美国上市的中国公司，到中国外乡的上市公司，无不遭到这种对于“企业更高的可信任程度要求的影响。企业应如何应对内控领域的变化？ 继续完善：按照监管机构发布的规范，建立和完善企业内部控制。 到达合规要求：接受外部审计以提升企业在资本市场的可信任程度。 进一步提升：经过加强内部控制，逐渐提升企业的风险管理才干。 企业在内控合规任务中，会遇到哪些挑战？组织管理方面 想建立符合规范要求的内部控制，从何着手？ 如何有效组织子公司、业务流程的责任人参与到内部控制建立中

10、，本质性提升企业整体管理程度？过程管理方面 怎样才干及时和全面了解内部控制合规任务的进展程度？ 手工任务效率低下，如何能减少反复任务、提高效率，降低合规本钱？知识和文档管理方面 怎样系统了解内部控制方法论，掌握内部控制从建立、评价到改善的实施途径？ 内部控制合规文档太多，手工进展归档、索引，更新、管理起来费时、费力！内控合规管理系统应具备哪些特点？ 提供成熟的、明晰的、易以掌握的合规任务实施途径、方法和规范，直接满足监管要求。 提供一个公共平台，使内部控制责任人参与到公司的内部控制建立和完善活动中，承当起相应的控制责任。 经过任务流实现对义务分派、执行、审核、同意、汇总等一系列自动化管理，实现

11、对合规任务实时、全面的进度监控，极大地提高效率。 强大的文档管理功能，极大减少无效任务本钱，同时，为独立审计师验证提供完好、明晰的资料。 简单直观的操作界面，并提供丰富的规范化模板，使企业能迅速实施合规任务，并能促进内部控制知识转移和传播，让更多内部人员参与工程，提高工程内部资源利用效率。 便于咨询顾问提供继续的专业支持，便于企业获得最新的监管要求，并为内部控制知识和阅历的分享提供桥梁。 经过减少手工操作、反复劳动合理降低内部控制合规任务的实施本钱。如何评价内控合规管理系统？内部控制合规管理系统具有内部控制建立、评价、继续改善等功能，能否可以很好地协助 企业内控部/内审部完成内控合规的任务目的

12、是内部控制合规管理系统的根本规范。一个完善的内部控制合规管理系统应该从以下几个方面评价： 组织管理方面：可以协助企业建立符合外部监管要求的企业本人的内部控制，并能使下属子公司、业务部门参与到内部控制建立、评价中，进而逐渐提高整体管理程度。 过程管理方面：实时了解内部控制合规各项任务的进展，构成进度报告。最大程度减少手工操作、反复劳动，提高任务效率。 知识与文档管理方面：全面了解内部控制方法论，掌握内部控制建立、评价、改善的实施途径。集中管理内控一切相关文档，便利的搜索功能。 安装环境：安装、维护本钱低，良好的兼容性。支持外网登陆处置待办义务与查看内容。友联时骏内部控制导航仪 产品定位与适用范围

13、内部控制导航仪，定位为内部控制合规软件，是一套对内部控制合规任务的组织、过程和内容实施全程系统化管理，可以直接协助 中国上市公司达成合规要求、并满足企业不断完善和提升内部控制的内在管理需求的全面处理方案。该产品基于COSO内部控制框架而设计，可以快速地协助 企业建立系统、规范、可靠、有效的内部控制体系，并对该体系进展继续不断的修订和完善，处理了企业面临的诸多内部控制管理实务挑战。它广泛适用于： 中国上市公司 在美国上市的中国企业 对提升内部控制和风险管理有自我推进力的大、中型企业实际根底经过独立、全新地阐释并运用COSO全面风险管理框架，从而使得该软件产品广泛适用于在中国及美国资本市场上市的公

14、司。 产品功能2.3.1 功能矩阵图企业内部控制导航仪偏重于关注企业能否存在有效的内部控制措施、内部控制能否有效执行、流程与制度能否合理，并协助 企业继续完善内部控制，从而使得运用者在掌握了根本的内部控制实际、了解软件操作的前提下，即可自行开展内部控制建立、内部控制评价、缺陷整改等各项任务，降低了业务管理本钱。企业内部控制是以创建和完善企业风险控制矩阵(RCM)为中心的闭环管理过程。“内部控制管理是本产品的中心功能模块，主要协助 IC Team完成以下内部控制管理任务：创建RCM01过程：IC Team从企业内部控制较薄弱、不规范的实践情况入手，界定企业各责任单位及其控制层面的关系，借助规范的

15、控制目的模板Control Objective Template，以下简称COT，适当运用问卷调查、规范与实践对照等方法发掘企业各控制层面待整改或缺漏的控制活动，逐一进展补充完善，构成第一版本的企业风险控制矩阵Risk Control Matrix，简称RCM。完善RCM1100过程：企业构成较完善的RCM后，随着外部监管机构对企业内部控制要求的不断提高，和企业内部本身业务的开展变化，都需求对企业的风险进展定期审阅，对RCM进展不断的更新完善。经过常用的穿行测试、符合性测试和调查询卷方法，可以对企业当前控制层面的设计有效性和执行有效性两方面进展充分的评价，及时暴露缺陷并进展整改，构成新的RCM

16、，到达企业内部控制继续有效的闭环管理。产品功能矩阵图如下，针对企业的三个控制层面，系统首先界定内部范围，经过内部控制记录、内部控制评价和缺陷整改三个过程的反复迭代，实现企业内部风险的有效控制。2.3.2 主要功能内控控制导航仪有五个功能模块，包括：我的首页、内部控制管理、报告与审阅、知识库、系统管理。产品特点与运用价值协助企业建立内控框架 协助 构成企业上下一致的内部控制管理规范内部控制导航仪将内部控制建立、评价、改善的任务步骤固化，引导企业内部员工按规范化的管理流程开展内部控制任务，从而构成集团内上下一致的内部控制框架体系。 跨区域同平台任务，远程处置待办与查看任务成果支持远程外网登陆系统，

17、为跨不同地理区域的集团化管理提供同一信息处置平台。用户可远程处置待办义务，并可查看内部控制任务成果。 控制活动融入日常运作，一切控制责任人承当相应责任经过一人一表、一岗一表即与某用户/岗位相关的控制活动列表将内部控制层层分解，风险管理责任落实到企业的各个层面，促使全员参与，有效提高整体管理程度。高效、及时处理问题 提高任务效率，减少反复任务，把时间花在增值环节内部控制导航仪将合规任务从手工操作转化为系统任务，节省人力投入，并能降低内部沟通本钱。使企业内部控制部、内部审计部能将任务聚焦在其他增值效力环节。 随时生成进度报告，了解各类内部控制任务进展实时监控内部控制建立、评价、改善不同阶段的进展，

18、了解各项义务完成情况，督促责任人及时完成。总部从集团层面全面把握下属公司控制评价、整改的进度与结果。 方便核对控制缺陷、整改事项，继续跟踪改良作为努力于继续优化的管理工具，可以协助 管理层对缺陷进展分类统计，全面了解集团内各下属公司的控制缺陷，以便针对缺陷及时进展整改与跟进。全面系统的知识教授 提供全套内部控制法规、培训资料及模板 内部控制导航仪的知识库，存放友联时骏根据多年内部控制合规咨询阅历整理的知识，包括：权威机构法规指引、内部控制培训资料、流程手册模板、常见问题解答等。 实现知识、信息的共享内置知识库协助 企业员工系统了解、学习内控相关知识，使一切希望提高管理程度的企业熟习和掌握内部控

19、制管理的实施途径。同时以内部论坛方式，促进内部人员信息交流和沟通，改善企业控制环境。 完好、有序管理一切任务文档强大、灵敏的文档管理功能，全面展现内部控制任务成果。流程手册、风险控制矩阵、测试底稿完好、有序存档，处理了版本混乱、分散存放问题。一切成果能以EXCEL导出、PDF打印，随时对外提供验证根据。灵敏的处理方案友联时骏提供一整套的内部控制合规处理方案，实现从内部控制建立、评价、改善的全面符合外部监管要求。友联时骏内部控制控制导航仪的部署方式灵敏多样，可以快速部署在几乎一切的网络环境中，满足中小型、大型企业的不同管理方式需求。2.5.1 不同规模企业之合规方案中小型企业之合规方案企业特点内

20、部控制导航仪的价值内部控制根底普通较薄弱，制度与流程不完好。存放友联时骏根据五部委下发规范整理的全部流程手册与风险控制矩阵，企业可据以整理为本人的制度与流程。短少足够数量或适当阅历的内控专业人员。内置知识库提供全套、系统的内控方法论，促进人员学习生长，了解如何建立、评价、整改内部控制。企业自上而下对内部控制认识缺乏。以建立岗位与控制活动的联络、内部论坛的方式，促进内部人员责任明确与信息沟通，改善企业控制环境。由于规模、资源所限，希望承当较低的合规本钱。经过内部人员生长、以系统替代手工、减少反复任务等方法，到达长期合理降低本钱。大型企业之合规方案企业特点内部控制导航仪的价值总部及下属各分支机构分

21、散在不同的地理区域。基于Web网络，使不同地域的子公司同步同平台操作，促使其承当各自的内控任务。管理机构相对复杂，多级管理，总部难以快速掌握下属公司的内控任务动态。总部可以从系统中全面了解、把握下属公司建立、评价到改善内部控制的进度与结果。内部控制任务涉及范围广，任务量大，需求破费较多的人力与管理本钱。将内部控制合规任务从手工转化为系统任务，节省人力投入，并能降低内部沟通本钱。内部控制相关文档数量多、版本更新快，且分散存放在各处。强大、灵敏的文档管理功能，归口管理与内部控制相关的一切文档，明晰展现内部控制任务成果。2.5.2 不同上市地企业之合规方案中国上市企业之合规方案企业特点内部控制导航仪

22、的价值无上市合规实务阅历，根据内部控制根底的不同，能够需借助外部顾问开展内控合规任务。系统内置知识库协助 企业员工系统了解、学习内控相关知识，逐渐提高内部人员的业务技艺和内部控制知识程度。难以使管理层了解部门的任务成果，进而获得高层的支持。作为一个开放的IT平台，可以全面、明晰向管理层展现部门任务成果，从而获得高层对内控任务的了解与支持。希望在完善内部控制的根底上，利用任务结果尤其是发现的缺陷，为企业提炼风险点。经过分类统计控制缺陷，全面了解集团各下属公司的控制缺陷，以便针对缺陷及时进展整改与跟进。 需求强化对内部控制制度设计合理性、执行有效性的检查。系统提供三种评价方法调查询卷、穿行测试、符

23、合性测试，实现定期对内部控制设计、执行有效性的检查。美国上市企业之合规方案企业特点内部控制导航仪的价值除初次面临合规要求的上市公司外，普通都已有咨询成果。 风险控制矩阵、流程手册可批量导入系统，充分利用已建立的任务成果。内控合规任务往往占用内控、内审部门较多时间，难以有更多精神用于风险管理等增值效力。经过数据调用减少手工任务比如编制测试底稿与汇总等，使部门腾出精神为企业提供其他增值效力 。内部控制相关文档数量多、版本更新快，且分散存放在各处。流程手册、风险控制矩阵、测试底稿完好、有序存档，处理了版本混乱、分散存放的问题。内控建立是全体管理层的责任，但往往是内控、内审部门主责，难以获得业务部门的

24、支持与参与。经过一人/岗一表层层分解内部控制责任，建立控制点与详细业务活动执行人/岗位的关联，提升业务部门的参与度与企业整体的精细化管理程度。产品技术信息 技术道路内部控制导航仪在综合思索了系统的可实现性、未来的可扩展性和系统性能的根底上，选择了基于J2EE的规范化轻量级架构： 运转方式：纯B/S跨平台方式，支持Windows和Linux。 技术平台：J2EE，5层框架构造，采用轻量级高性能SSH框架。 多数据库：具有跨数据库才干，支持MySQL、Oracle和Sql Server数据库。 扩展界面：基于WebService的效力接口，采用XML的数据传输格式。 集成性：可实现一致门户接口和单

25、点登录，也能被别的系统集成。 高并发：单机可以支持1000以上的在线用户，并且支持集群，以最小本钱实现最大的并发量。 高平安性：完善的权限控制，并支持文件数据加密、信息传输分层加密。 体系架构系统设计以组件化集成架构为设计理念，采用诸如Struts、Spring、Ajax、Hibernate、JQuery等Web2.0的前沿技术，全部采用Java开发，充分思索了系统的柔性和开放性。整个平台主要分为前端，业务处置效力层、根底效力层、道勤根底平台、支撑平台五大部分，层次构造非常明晰。前端前端是系统用户的入口，采用B/S架构，用户可以经过各种阅读器、本地的JAVA客户端、本地的富客户端程序、实时通讯

26、工具等方式进入系统操作。入口本着通用化、简单化、个性化的设计，顺应不同办公环境的用户更好地切入系统。业务处置层业务处置层是各种业务模块功能业务详细实现，是在各种组件的根底上开发而来。根据系统运用需求无缝集成第三方界面。根底效力层根底效力层是整个系统的根底运用功能。包含组织构造、菜单管理、流程管理、日志管理、权限管理、系统字典、附件管理、公告管理、第三方接口等功能，保证系统的内部业务配置管理有序，内部程序配置方便，外部皮肤简单切换。根底平台根底平台是是一套根底运用开发平台，经过运用效力总线插入在根底框架层之上。包括根底效力组件，任务流引擎，邮件发送效力，加密机制组件，数据导入导出组件，集成用户登

27、陆效力，树形构造内核组件，文件上传下载组件，文件转换组件，全文检索效力，音讯效力，定时事务处置效力程序等多个效力组及组件组成。组件层的特点是规范化，可独立配置，自包容，易改换，严厉封装，可以被复合运用，提供了一系列可用的接口与平台及运用进展交互。支撑平台支撑平台是运用系统的运转环境，包含操作系统、数据库、运用效力器、阅读器效力器等。基于JAVA开发，开源性、开发性优点突出，平台支持多环境部署、多运转程序变换、基于不同性能或配置简单切换环境，保证系统环境的稳定、易维护。 技术特点组件化提供效力组件化，一切业务功能模块都运用一样代码程序，这时候可以笼统出代码程序成为组件。组件化提供效力，笼统得来的

28、组件，系统经过各功能模块的调用方法合理的设计公用接口，业务模块功能经过调用接口为本身提供效力。跨言语开发集成JAVA开发言语的跨平台特性，使平台拥有跨平台运转、部署的特点，程序运转不受任何开发终端的限制，只需JVM能运转的环境，平台就可运转。通俗地说，几乎可以在不作任何修正的情况下运转在Linux或者Windows等不同的操作系统上。系统的可定制性系统需求的变化总是存在的，用户运用的方式各不一样，系统必需接受这些个性化运用的顺应，提升系统的灵敏性。对管理员而言，系统一切功能都能运用，也具备功能动态分配与配置的作用。即普通用户的运用权限可经过管理员权限手工分配。对业务定制而言，大多数模块都可以根

29、据企业实践的业务需求进展扩展和定制，以控制活动为例，一切的字段都可以根据用户需求设定能否显示。另外在通用任务流的支持下，用户可以根据本人的需求调整流程，使之完全顺应企业的实践情况。第三方系统集成一个系统的开放性是系统能否给用户带来最大收益的关键要素，平台提供了多种方式与其它系统整合，整合功能将其它的业务系统扩展到任务台，这种扩展可以是跨数据库的、跨系统的，能将各个业务数据呈如今一个一致的平台上，为高层管理提供必需的数据。系统的高平安性系统的平安控制平台的系统平安控制，有以下几种平安控制的集成： 接口平安控制平台对数据操作实现有效的平安检查权限过滤。防止黑客经过接口注入木马对数据库和文件呵斥不可

30、恢复的损失。平台不仅对数据类型进展检查，也对数据进展约束。使得数据的流出和流入在接口操作上得到真正的控制。 数据平安控制实现对敏感数据的加密，如用户密码。用户进入敏感模块需求二次验证。对敏感数据的加密和限制，可以防止内部人员经过合法手段获得不应该获取的敏感数据。 URL地址平安控制URL地址的平安控制，平台采取映像机制，对Web的URL恳求传送的参数进展加密，使得黑客无法从URL地址传送的更改参数获取非法数据。 IP地址平安控制系统记录客户端发送恳求的IP位址和物理位址，经过IP开关，可以有效防止黑客经过其它途径进入平台系统。用户权限控制机制系统采用URL授权和逻辑授权，URL授权运用在 Web.XML 中配置的AOP过滤器，AOP过滤