内控与全面风险管理解决方案介绍.ppt
内控与全面风险管理解决方案介绍,IDS Scheer 中国2009 年 3月 31日,IDS Scheer AG www.ids-,2,议程,内控与全面风险管理体系的设计,内控与全面风险管理的信息化解决方案,2,3,沟通与交流,4,对内控与全面风险管理的理解,1,IDS Scheer AG www.ids-,3,议程,内控与全面风险管理体系的设计,内控与全面风险管理的信息化解决方案,2,3,沟通与交流,4,对内控与全面风险管理的理解,1,IDS Scheer AG www.ids-,4,危机启示,过去,现在,未来,IDS Scheer AG www.ids-,5,公司可持续运营,IDS Scheer AG www.ids-,6,越来越多的外部要求,股东,证券交易所,内控与全面风险管理,政府部门,行业监管部门,国资委:中央企业全面风险管理指引治理结构,财政部:企业内部控制基本规范,萨班斯法案上海证券交易所上市公司内部控制指引深圳证券交易所上市公司内部控制指引,保险公司风险管理指引(试行)商业银行操作风险管理指引,IDS Scheer AG www.ids-,7,内部控制与全面风险管理,全面风险管理,企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。,内部控制,内部控制,是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。,VS,企业内部控制基本规范,中央企业全面风险管理指引,IDS Scheer AG www.ids-,8,正确认识内控与全面风险管理,是,不是,管理风险服务(业务)创造价值没有达到目标就是风险,回避风险关卡毁灭价值只有业务损失才是风险,IDS Scheer AG www.ids-,9,内控与全面风险管理的局限,无论内控与全面风险管理设计和执行的再好,它也只能提供合理的保证。,局限性,管理层越权,判断失误,合伙同谋,执行偏差,成本效益原则,IDS Scheer AG www.ids-,10,持续监控是公司内控与全面风险管理体系的重要保证,时间,控制有效性,无测试,非周期性测试,周期性测试,IDS Scheer AG www.ids-,11,内部控制体系发展,无意识,初步建立,标准化,持续监控,整合,发展阶段,控制的有效性,无意识没有设计和实施内部控制活动的意识,整合将内部控制体系融入到企业的日常管理运营活动中,并持续优化提升,初步建立初步设计并实施了一些控制活动,但是不够全面和充分,标准化公司范围内设计并实施了标准化的控制活动,持续监控建立了标准化的控制体系,并建立了周期性的控制测试和汇报制度,IDS Scheer AG www.ids-,12,COSO的内控框架和风险管理框架,内控控制框架,企业风险管理框架,IDS Scheer AG www.ids-,13,企业内部控制基本规范 和中央企业全面风险管理指引,财政部:企业内部控制,国资委:中央企业全面风险管理体系,IDS Scheer AG www.ids-,14,议程,内控与全面风险管理体系的设计,内控与全面风险管理的信息化解决方案,2,3,沟通与交流,4,对内控与全面风险管理的理解,1,IDS Scheer AG www.ids-,15,内部控制体系建设内容,指导框架,公司环境,IDS Scheer AG www.ids-,16,内部控制框架快速解读,确保被识别出规避风险的控制措施可以及时有效得到实施的政策和程序,确认内部控制是否进行充分的设计和执行,以及是否具备有效性和适应性。,对于影响公司目标实现的内部及外部因素的评估,确保相关信息被及时识别及传递的过程,公司对于内部控制的基本态度-”来自上层的基调”,IDS Scheer AG www.ids-,17,内部环境,控制活动 控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。控制措施一般包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等,内部监督内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。主要包括:内部监督、缺陷认定、控制评价和自我记录等,风险评估风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略风险评估是形成内部控制活动的基础,信息与沟通 信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通。主要包括信息沟通、信息技术、反舞弊等,内部环境 内部环境是企业实施内部控制的基础,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等,IDS Scheer AG www.ids-,18,内部环境分册示例,目 录1、内部控制体系建设内容 概述 诚信与道德价值观 发展目标.管理理念与企业文化 风险管理策略 董事会及下属委员会 组织结构 权利和责任分配人力资源政策与措施员工胜任能力 法律顾问制度及重大法律纠纷案件备案制度.2、内部控制体系执行的文件及规范组织结构图员工岗位职责描述权限指引审计委员会的工作程序与自评指引表说明重大法律纠纷案件备案指引控制环境涉及的制度索引,IDS Scheer AG www.ids-,19,权限指引示例,IDS Scheer AG www.ids-,20,内部环境 内部环境是企业实施内部控制的基础,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等,风险评估,控制活动 控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。控制措施一般包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等,内部监督内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。主要包括:内部监督、缺陷认定、控制评价和自我记录等,信息与沟通 信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通。主要包括信息沟通、信息技术、反舞弊等,风险评估风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。,IDS Scheer AG www.ids-,21,风险评估分册示例,目录1 内部控制体系建设内容1.1 概述1.2 建立风险评估机制1.3 建立并完善风险管理体系2 内部控制体系执行的文件及规范2.1 流程描述规范2.2 业务流程目录2.3 风险评估规范2.4 重要会计科目和披露事项确认2.5 财务报表认定指南2.6 重要业务单位确认2.7 公司层面风险及对策分析程序2.8 业务活动层面风险数据库2.9 风险管理规范(试行)2.10风险评估涉及的制度索引,IDS Scheer AG www.ids-,22,风险分类,公司层面,业务(流程)层面,信息系统层面,公司层面风险原材料价格风险商品价格风险行业风险大股东控制公司经营政策风险同行业竞争风险资金风险法律风险,业务层面风险业务流程应用系统,信息系统总体风险控制环境信息安全项目建设管理变更管理.,IDS Scheer AG www.ids-,23,风险应对,风险评估的步骤,风险分析,风险识别,目标制定,战略目标,经营目标,财务报告目标,合规目标,IDS Scheer AG www.ids-,24,目标设定,财务报告目标,为公司及时提供真实、准确、完整的经营管理信息;按照企业会计准则以及上市地法律监管的相关规定,为国家相关部门和资本市场及时提供真实、准确、完整的财务会计报告,满足国家相关部门和上市地证券监管机构对财务会计报告的报送要求;防止资产未经授权购置、使用或转让出售。,IDS Scheer AG www.ids-,25,风险识别的方法,外部专家法,头脑风暴法,问卷调查法,案例分析法,行业分析法,财务报表分析法,流程分析法,IDS Scheer AG www.ids-,26,IDS Scheer AG www.ids-,26,风险识别的流程示例,?,确定相关业务流程目录,描述业务流程,财务报表认定,流程分析,识别风险,确定重要会计科目和披露事项,确定财务报告目标,IDS Scheer AG www.ids-,27,IDS Scheer AG www.ids-,27,重要会计科目和披露事项认定,?,IDS Scheer AG www.ids-,28,IDS Scheer AG www.ids-,28,相关业务流程确认,?,IDS Scheer AG www.ids-,29,IDS Scheer AG www.ids-,29,财务报表认定,财务报表认定:通过识别重要会计科目和披露事项中影响财务报告错报的主要因素,从存在与发生、完整性、估价与分摊、权利与义务、表达与披露等五个方面,针对财务报告控制目标,对在内部控制体系设计层面和执行层面需要关注的重要会计科目所做出的相关因素作出的确认。,?,IDS Scheer AG www.ids-,30,IDS Scheer AG www.ids-,30,流程分析,识别风险,?,以业务流程为主线,根据确认的各流程的具体目标,结合重要会计科目和披露事项相关的财务报表认定,关注影响财务报告目标的主要因素,IDS Scheer AG www.ids-,31,风险分析,IDS Scheer AG www.ids-,32,风险应对,风险偏好,风险承受度,风险预警线,风险应对策略,IDS Scheer AG www.ids-,33,风险评估风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略风险评估是形成内部控制活动的基础,内部环境 内部环境是企业实施内部控制的基础,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等,控制活动,内部监督内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。主要包括:内部监督、缺陷认定、控制评价和自我记录等,信息与沟通 信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通。主要包括信息沟通、信息技术、反舞弊等,控制活动 控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。控制措施一般包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等,IDS Scheer AG www.ids-,34,控制活动分册示例,目录1 概述.1.1 定义1.2 控制活动目标1.3 控制活动分类1.4 控制活动的实施.2 控制活动执行的文件及规范.2.1 风险控制文档(RCD)编制规范.2.2 财务分析管理规定.2.3 关键控制管理文件.2.4 统一实施证据表单.2.5 控制活动涉及的制度索引.,IDS Scheer AG www.ids-,35,何为控制?,控制是保证管理层的指令得以执行的政策或程序,这些活动涉及审批、授权、复核、检查验证、业绩考核、资产保全和职责分离等,IDS Scheer AG www.ids-,36,控制活动分类,“自动”控制:由系统自动设置控制,为避免风险采取的措施。例如:超出信用额度,系统自动限制发出货物及开出发票。“人工”控制:由被授权的人员执行的控制。例如:财务经理审核银行余额调节表。应付账会计核对发票,入库单及合同。,“预防性”控制:在风险发生之前,为避免风险采取的措施。例如:制定政策、准备备查清单、合同在执行前需要审批,等为预防性控制;“发现性”控制:事后做的、为及时发现问题而采取的措施是发现性控制。例如:核对财务系统和资产系统的余额是否一致,审核记账凭证是否准确、编制银行存款余额调节表等。,控制手段,控制作用,IDS Scheer AG www.ids-,37,控制设计程序,补充完善相关管理制度,记录控制措施,确定控制措施,确定控制目标,对业务流程进行风险评估后,根据业务流程相关风险,按照流程步骤进一步确定控制目标控制目标指为防范和规避风险,控制活动所要达到的具体目标。一般包括完整性目标(C)、准确性目标(A)、有效性目标(V)、接触性目标(R)等四个方面。,在确定了控制目标后,对照业务流程步骤,分析确定达到控制目标的方法和途径并选择相应的控制方法,设计出达到控制目标的各项控制措施,包括制定与控制措施相关的政策和程序、控制频率、控制方法(人工或自动)以及控制证据等。,设计和确认的各项控制措施和关键控制,按统一规定的控制描述标准和工具,相关控制,编制完成风险控制管理文件,包括业务流程图、风险控制文档(RCD)和程序文件等内容。,按照控制措施,查找现有管理制度差异,制定、完善本单位、本部门相关管理制度。,IDS Scheer AG www.ids-,38,控制目标,完整性控制(C):指生产经营和财务信息数据的采集、记录和处理完整,无遗漏和重复。如:租金未及时确认,或重复确认当期费用就会影响完整性。把当期所有的合同信息都完整地、不重复地录入合同管理系统。按照会计确认收入的原则,将当期所有的销售收入记录下来。保证合并报表的原始数据包括了所有需要合并的会计核算单位的数据。准确性控制(A):指所有信息和数据计算、归集和记录操作等准确。如:保证账务处理的金额是准确的。在采购业务中,合同上的价格、数量应该准确。销售收入应当记入正确的会计期间。发票内容与销售交易内容或合同应当一致。有效性控制(V):指所有的生产经营活动都经过适当的授权和批准,都是真实发生的,并按规定保存有效的原始文件。如:付款经过适当级别的审批。记录的销售收入是真实的。费用支出与公司的业务相关,且符合公司的费用开支标准。接触性控制(R):指信息处理和实物资产的保护和安全控制。如:防止存货和实物资产的偷窃和遗失。会计人员只能在授权的情况下,编制与自己分管业务相关的会计凭证。对企业投资实施计划的保密,防止被不相关的人员了解。,IDS Scheer AG www.ids-,39,控制活动分类(续),公司层面,业务(流程)层面,信息系统总体控制,公司层面控制控制环境范围内的内部控制,包括道德准则的建立与推行、高层管理者基调、检举揭发机制、权限和职责分工、审计委员会、IT环境与组织以及人力资源政策等;反舞弊程序与控制;风险评估流程、监督;经营活动分析、审核;期末财务报告流程;突发事件应急处理等,业务活动控制业务活动控制 相关应用系统控制,信息系统总体控制IT 基础设施数据库操作系统,IDS Scheer AG www.ids-,40,控制设计成果示例,IDS Scheer AG www.ids-,41,内部监督内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。主要包括:内部监督、缺陷认定、控制评价和自我记录等,控制活动 控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。控制措施一般包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等,风险评估风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略风险评估是形成内部控制活动的基础,内部环境 内部环境是企业实施内部控制的基础,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等,信息与沟通,信息与沟通 信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通。主要包括信息沟通、信息技术、反舞弊等,IDS Scheer AG www.ids-,42,信息与沟通分册示例,目录1 概述.1.1 概 述1.2 信息1.3 沟通1.4 信息系统总体控制1.5 信息系统应用控制1.6 信息披露2 信息沟通文件2.1 总部各部门信息流汇总表2.2 应用系统划分规范及工作指引2.3 应用系统用户权限管理工作规范2.4 应用系统主数据、报表公式变更及取消类业务管理2.5 ERP与人力资源系统总体控制实施办法2.6 ERP与人力资源系统敏感事务访问权限设置规则2.7 信息与沟通涉及的制度索引,IDS Scheer AG www.ids-,43,信息流汇总表示例,IDS Scheer AG www.ids-,44,信息系统总体控制,系统控制环境:,总体环境、信息与沟通、风险评估、监控等,项目建设管理:,开发方法论、项目立项审批、项目启动阶段、项目需求分析、项目设计、系统开发实施、系统测试、数据移植、系统上线、项目验收、上线后审阅、用户培训、项目文档管理等,变更管理:,应用系统日常变更、系统环境日常变更、紧急变更管理等,系统日常运作:,机房环境控制、系统日常运作监控、批处理作业调度管理、数据备份与恢复、问题管理等,信息安全:,信息安全组织、逻辑安全、物理安全、网络安全、计算机病毒防护、外部第三方信息安全管理、信息安全事件响应等,最终用户操作:,最终用户计算机操作安全制度、电子表格管理等,信息系统总体控制所指的是内部控制中对信息系统相关部分的控制,保证由信息系统支持的流程控制是可靠的、生成的数据和报告是可信的,IDS Scheer AG www.ids-,45,信息安全主要关注以下方面的内容,IDS Scheer AG www.ids-,46,信息安全信息安全管理组织,IDS Scheer AG www.ids-,47,控制活动 控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。控制措施一般包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等,风险评估风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略风险评估是形成内部控制活动的基础,内部环境 内部环境是企业实施内部控制的基础,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等,内部监督,信息与沟通 信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通。主要包括信息沟通、信息技术、反舞弊等,内部监督内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。主要包括:内部监督、缺陷认定、控制评价和自我记录等,IDS Scheer AG www.ids-,48,内部监督分册示例,目录1 内部控制体系建设内容 1.1 概 述 1.2 持续监督 1.3 独立评估 1.4 缺陷报告 2 内部控制体系评价规范及执行文件2.1 内部控制体系评价概述2.2 评价范围的确定.2.3 内部控制测试.2.4 缺陷评估2.5 评价报告2.6 内部控制体系管理规范.2.7 监督涉及的制度索引.,IDS Scheer AG www.ids-,49,内部控制测试基本方法,检查,再执行,观察,询问,IDS Scheer AG www.ids-,50,控制设计与测试评价成果(公司层面),示 例,IDS Scheer AG www.ids-,51,控制设计与测试评价成果(流程层面),示 例,IDS Scheer AG www.ids-,52,控制设计与测试评价成果(IT层面),示 例,IDS Scheer AG www.ids-,53,控制设计与测试评价成果(IT层面),示 例,IDS Scheer AG www.ids-,54,缺陷认定及整改实施跟踪,从整体控制目标实现的角度出发,对发现问题进行缺陷认定,按照缺陷的影响程度定义缺陷,从设计与执行两个方面出发,将缺陷进行分类,制定缺陷整改计划并加以实施针对整改实施结果进行再测试与再评价,持续跟进与监督,缺陷整改的实施步骤:责任人及管理层对于缺陷事实的认可对于缺陷产生原因的判定判断缺陷为公司共性问题还是个别单位、部门独有问题整改计划的目标是正对缺陷产生原因,而不是针对缺陷表象整改计划符合有针对性、可衡量、可完成、符合现实情况、及时等五项原则整改计划实施结果的持续跟进与监督,是否可以增加其他测试程序证明已经发现的差异不能代表所有内控的情况?,扩大测试范围,重新评估,测试目的是否达到?,设计缺陷执行缺陷,了解控制差异的起因和结果,判断控制目标是否达到?,该差异不是控制缺陷,不必再考虑,是,否,否,否,是,是,IDS Scheer AG www.ids-,55,XXXX公司管理层测试报告模板示例,示 例,IDS Scheer AG www.ids-,56,议程,内控与全面风险管理体系的设计,内控与全面风险管理的信息化解决方案,2,3,沟通与交流,4,对内控与全面风险管理的理解,1,IDS Scheer AG www.ids-,57,内控及全面风险管理体系,风险方案,风险评估,手册发布,体系运行绩效监控,风险管理策略,风险应对措施,监督措施,风险环境,企业组织结构,企业业务流程,指标预警,职责分离,流程监控,在线发布,控制实施,体系有效性检查及整改,测试任务,测试报告,缺陷认定及整改,风险评价,风险分析,风险辨识,运行绩效控制与分析,体系设计,控制实施,体系监督及改进,离线发布,事件监控,测试及记录,签署,风险信息收集,损失事件报备,损失事件分析,损失事件统计,风险管理组织,IDS Scheer AG www.ids-,58,风险信息收集,风险方案,风险评估,手册发布,体系运行绩效监控,风险管理策略,风险管理战略,风险应对措施,风险管理组织,风险环境,企业组织结构,企业业务流程,指标预警,职责分离,流程监控,在线发布,控制实施,体系有效性检查及整改,测试任务,测试报告,缺陷认定及整改,风险评价,风险分析,风险辨识,运行绩效控制与分析,体系设计,控制实施,体系监督及改进,离线发布,事件监控,测试及记录,签署,价值贡献:风险损失事件管理的、规范化和流程化,事件分析标准化建立公司范围内统一的风险损失数据库,从而使公司的风险识别、分析、评价工作能从历史事件中获取知识和经验ARIS主要特点:集成性:损失事件与风险、组织、流程的集成,实现对损失事件的风险类别、组织机构、发生原因等多维度的分析,风险信息收集,损失事件报备,损失事件分析,损失事件统计,IDS Scheer AG www.ids-,59,风险信息收集的内容,损失事件收集表,损失事件是指给企业造成重大损失的风险事件,损失包括企业的资金、声誉、技术、品牌、人才等对损失事件的管理,对于企业的风险评估和管理具有较强的指导和借鉴价值。,IDS Scheer AG www.ids-,60,ARIS软件产品的风险信息收集解决方案,IDS Scheer AG www.ids-,61,规范事件的基本信息管理,IDS Scheer AG www.ids-,62,事件分析认定规范化,流程自动化,IDS Scheer AG www.ids-,63,多维度的统计分析,提高损失事件管理的应用价值,IDS Scheer AG www.ids-,64,风险评估,风险方案,手册发布,体系运行绩效监控,风险管理策略,风险管理战略,风险应对措施,风险管理组织,风险环境,企业组织结构,企业业务流程,指标预警,职责分离,流程监控,在线发布,控制实施,体系有效性检查及整改,测试任务,测试报告,缺陷认定及整改,运行绩效控制与分析,体系设计,控制实施,体系监督及改进,离线发布,风险信息收集,损失事件报备,损失事件分析,损失事件统计,事件监控,测试及记录,签署,价值贡献:统一风险辨识的框架和范围,规范风险分析的方法和评价标准,协助准确寻找公司的重要风险通过流程固化形成一套有效的风险识别与评价工作机制,使风险管理工作能及时反映公司内外部环境的变化ARIS主要特点:支持系统自动或者人工发起风险评估任务风险评估过程管理风险热图分析、风险趋势分析问卷调查功能,风险评估,风险评价,风险分析,风险辨识,IDS Scheer AG www.ids-,65,风险评估的主要内容,企业应对收集的风险管理初始信息和企业各项业务管理及其重要业务流程进行风险评估。风险评估包括风险辨识、风险分析、风险评价三个步骤。,IDS Scheer AG www.ids-,66,ARIS软件产品的风险评估解决方案,发起评估任务,风险在线评估,风险评价统计分析,创建风险评估任务,IDS Scheer AG www.ids-,67,系统自动或人工发起评估任务,可以由风险经理或系统根据预定义的风险评估频率自动生成风险评估任务,并通知风险责任人,风险责任人:您好,我已经创建并发起了风险评估任务,请您登录ARIS系统查看并执行分配给您的风险评估任务,网络地址:http:/127.0.0.1:8080/arcm。2007年11月30日风险经理,Risk Manager(风险经理),IDS Scheer AG www.ids-,68,风险评估过程管理,实现风险评估工作的规范化,风险责任人评估并记录风险评估结果,Risk Owner(风险责任人),IDS Scheer AG www.ids-,69,自定义风险评估审核层级,风险审核员记录审核意见,Risk Reviewer(风险审核员),IDS Scheer AG www.ids-,70,对风险评估结果进行定量、定性分析,确定重要风险,风险经理对所有的风险评估结果,进行定量和定性分析,确定重要的风险,定量分析热图,定性分析热图,Risk Manager(风险经理),IDS Scheer AG www.ids-,71,风险评估结果趋势分析,掌握风险变化规律,对多次评估结果进行统计分析,掌握风险变化规律,Risk Manager(风险经理),IDS Scheer AG www.ids-,72,控制实施,风险方案和风险环境管理,风险评估,体系运行绩效监控,指标预警,职责分离,流程监控,在线发布,体系有效性检查及整改,测试任务,测试报告,缺陷认定及整改,风险评价,风险分析,风险辨识,运行绩效控制与分析,体系设计,控制实施,体系监督及改进,离线发布,风险信息收集,损失事件报备,损失事件分析,损失事件统计,事件监控,测试及记录,签署,价值贡献:形成一套符合各方监管规则的企业风险、流程、风险应对(控制)、测试等全部信息的数据库,提高数据的重用性,降低风险管理体系文件管理的难度、工作量,ARIS主要特点:集成建模:单点维护,全面共享统计分析:矩阵分析,报表分析版本管理:版本查询,版本比较,风险方案,风险管理策略,风险管理战略,风险应对措施,风险管理组织,风险环境,企业组织结构,企业业务流程,手册发布,IDS Scheer AG www.ids-,73,总体风险管理策略,制定风险管理策略的主要内容,风险管理策略,指企业根据自身条件和外部环境,围绕企业发展战略,确定风险偏好、风险承受度、风险管理有效性标准,选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略,并确定风险管理所需人力和财力资源的配置原则。,具体风险管理策略,IDS Scheer AG www.ids-,74,制定风险管理解决方案的主要内容,企业应根据风险管理策略,针对各类风险或每一项重大风险制定风险管理解决方案。方案一般应包括风险解决的具体目标,所需的组织领导,所涉及的管理及业务流程,所需的条件、手段等资源,风险事件发生前、中、后所采取的具体应对措施以及风险管理工具(如:关键风险指标管理、损失事件管理等)。,IDS Scheer AG www.ids-,75,制定体系监督和改进方案的主要内容,企业应以重大风险、重大事件和重大决策、重要管理及业务流程为重点,对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况进行监督,对风险管理的有效性进行检验,根据变化情况和存在的缺陷及时加以改进。,IDS Scheer AG www.ids-,76,传统的风险管理体系文件格式及内容,业务流程描述,风险控制矩阵,内控测试文档,分散、个性化、无关联,难以管理更新难度大,管理成本高,IDS Scheer AG www.ids-,77,集成式的风险和流程建模,风险管理目标,组织结构,业务流程,关键风险指标管理,业务控制图,风险图,IDS Scheer AG www.ids-,78,集成式的风险和流程建模(续),风险,财务科目/目标,风险负责人,控制负责人,风险责任单位,检查和审核人,IDS Scheer AG www.ids-,79,单点维护,全面共享,提高手册的更新效率和质量,组织图,流程图,要素的标准化定义,提高手册质量单点维护,提高管理效率,IDS Scheer AG www.ids-,80,统计分析 功能,协助企业快速掌握风险分布,进行业务优化,例如,对不同业务流程的风险分布分析,IDS Scheer AG www.ids-,81,版本管理保留变更历史,便于查询和比较,提高手册的修订和审阅效率,IDS Scheer AG www.ids-,82,手册发布,风险方案,风险评估,体系运行绩效监控,风险管理策略,风险管理战略,风险应对措施,风险管理组织,风险环境,企业组织结构,企业业务流程,指标预警,职责分离,流程监控,控制实施,体系有效性检查及整改,测试任务,测试报告,缺陷认定及整改,风险评价,风险分析,风险辨识,运行绩效控制与分析,体系设计,控制实施,体系监督及改进,风险信息收集,损失事件报备,损失事件分析,损失事件统计,事件监控,测试及记录,签署,价值贡献:提高内控与全面风险管理手册的发布效率,保证组织范围内不同环节所使用手册的一致性ARIS主要特点:在线发布:统一发布、网络浏览线下发布:一次建模,多种输出,手册发布,在线发布,离线发布,IDS Scheer AG www.ids-,83,手册发布应确保在设计、执行、体系审计的各个环节使用同一内控体系手册,体系审计者,作为监督的标准,体系设计者,体系执行者,业务过程中参照执行,设计发布,IDS Scheer AG www.ids-,84,“远程建模、集中管理、统一发布”,实现快捷发布,确保业务执行人、风险和控制责任人和检查人员执行统一的手册,ARIS 知识库,分析,优化和管理,在全球范围,全体员工交流风险管理知识,ARIS 数据库=全面风险管理体系持续优化的基础,项目经理/系统管理员,流程和风险负责人/建模员,公司范围流程和风险建模,公司全体员工/浏览用户,ARIS 知识库/服务器,IDS Scheer AG www.ids-,85,强大技术支持,实现便捷快速发布,ARIS Business Publisher,IDS Scheer AG www.ids-,86,基于统一数据库,输出各种格式报表,满足管理需求,IDS Scheer AG www.ids-,87,控制实施,87,风险方案,风险评估,手册发布,体系运行绩效监控,风险管理策略,风险管理战略,风险应对措施,风险管理组织,风险环境,企业组织结构,企业业务流程,在线发布,体系有效性检查及整改,测试任务,测试报告,缺陷认定及整改,风险评价,风险分析,风险辨识,运行绩效控制与分析,体系设计,控制实施,体系监督及改进,离线发布,风险信息收集,损失事件报备,损失事件分析,损失事件统计,测试及记录,签署,ARIS主要特点:强大的数据抽取功能预警功能指标分析功能,价值贡献:提高自动化控制比率强化风险预警机制,指标预警,职责分离,控制实施,指标分析,事件监控,IDS Scheer AG www.ids-,88,职责分离(SOD)建模,IDS Scheer AG www.ids-,89,实现对信息系统的SOD管理,ARIS,自动比较差异,IDS Scheer AG www.ids-,90,风险指标监控及预警系统架构,ARIS Performance Dashboard,报警 与 行动,规律,结构分析,对标分析,Alerts,捕捉事件监控指标,关注:实时行动,关注:过去分析优化,监控趋势结构化分析追溯原因,业务事件,灵活的实时适配器,全体事件,减化后的数据,大容量数据,IDS Scheer AG www.ids-,91,91,BFS,强大的数据抽取功能,无需代理(Agent-less)技术 最小化对信息系统的影响基于向导 不用编码 易于配置与维护从信息系统中映射原始数据到业务对象,IDS Scheer AG www.ids-,92,自定义的指标监控仪表盘,IDS Scheer AG www.ids-,93,查看报警指标状况:实际值、阀值的对比,IDS Scheer AG www.ids-,94,基于规则的事件监控,实现业务的实时监控,事件监控(基于预设规则)“如果一个订单的优先级“很高”,而且超过5天没人处理”那么发送一封邮件给销售人员,并通知订单处理部门的经理或上级主管,1,2,3,4,5,6,7,8,9,Time,Events,IDS Scheer AG www.ids-,95,实现风险指标的分析,发现风险因素变化趋势,对风险指标进行分析,从而发现风险因素变化趋势,从而为根据企业环境的变化及时调整内控及全面风险管理体系提供帮助,是风险管理的重要手段,IDS Scheer AG www.ids-,96,实现风险指标的分析,发现风险因素变化趋势(续),IDS Scheer AG www.ids-,97,体系有效性检查及整改,风险方案,风险评估,手册发布,体系运行绩效监控,风险管理策略,风险管理战略,风险应对措施,风险管理组织,风险环境,企业组织结构,企业业务流程,指标预警,职责分离,流程监控,在线发布,控制实施,风险评价,风险分析,风险辨识,运行绩效控制与分析,体系设计,控制实施,体系监督及改进,离线发布,风险信息收集,损失事件报备,损失事件分析,损失事件统计,事件监控,价值贡献:实现风险检查工作的规范化、标准化和机制化,提高风险检查工作的效率提供有效的信息与沟通,确保举报投诉、整改等反舞弊措施渠道的畅通ARIS主要特点:手册建模和风险检查的信息共享风险检查任务与风险、控制、流程的集成支持系统自动和人工的检查任务发起检查结果记录版本管理多维度的风险检查结果统计分析灵活的整改任务创建和跟踪流程匿名检举功能,体系有效性检查及整改,测试任务,测试报告,缺陷认定及整改,测试及记录,签署,IDS Scheer AG www.ids-,98,手册管理和风险检查的信息共享,创建测试任务,接受测试任务,提出建议与改进跟踪,测试结果统计分析,例外事项分析,手册管理,IDS Scheer AG www.ids-,99,系统自动或人工创建测试任务,系统自动生成测试任务 通过E-mail通知测试员,测试员:您好,我已经创建并发起了内控测试任务,请您登录ARIS系统查看并执行分配给您的内控测试任务,网络地址:http:/127.0.0.1:8080/arcm。2007年11月30日测试经理,Tester(测试员),IDS Scheer AG www.ids-,100,资源管理,查看测试资源的任务分配状况,IDS Scheer AG www.ids-,101,基于角色的系统登陆界面,方便、易用,Tester(测试员),IDS Scheer AG www.ids-,102,集成化的测试信息,协助测试人员快速理解业务,Tester(测试员),IDS Scheer AG www.ids-,103,规范化、标准化的测试管理,Tester(测试员),IDS Scheer AG www.ids-,104,实时、多维度的统计分析,协助快速出具