内控与全面风险管理解决方案.ppt
1,IDS Scheer AG www.ids-,1,议程,内控与全面风险管理面临的挑战,内控与全面风险管理的信息化解决方案,1,2,内控与全面风险管理系统应用案例介绍,3,2,IDS Scheer AG www.ids-,2,企业面临的外部要求,股东,证券交易所,内控与全面风险管理,政府部门,行业监管部门,国资委:中央企业全面风险管理指引治理结构,财政部:企业内部控制基本规范,萨班斯法案上海证券交易所上市公司内部控制指引深圳证券交易所上市公司内部控制指引,保险公司风险管理指引(试行)商业银行操作风险管理指引,3,IDS Scheer AG www.ids-,3,上述法律法规,要求企业建立适合自身特点的管理体系,指导框架,公司环境,4,IDS Scheer AG www.ids-,4,基本规范和全面风险管理指引的解读,5,IDS Scheer AG www.ids-,5,内控与全面风险管理体系,风险方案设计,风险评估,体系手册发布,风险管理策略,风险应对措施/控制活动,内部环境管理,企业组织结构,企业目标,职责分离检查,在线发布,监控及预警,监督及改进,测试任务管理,统计分析,缺陷分析及认定,风险评价,风险分析,风险识别,管理体系设计,控制实施,监督及改进,离线发布,信息系统一致性检查,测试及记录,责任签署,风险管理组织,企业业务流程,指标监控及预警,测试结果审核,整改及跟踪,事件收集,事件分析,事件认定,风险事件管理,事件监控,6,IDS Scheer AG www.ids-,6,体系设计面临的挑战,风险方案设计,风险评估,体系手册发布,风险管理策略,风险应对措施/控制活动,内部环境管理,企业组织结构,企业目标,职责分离检查,在线发布,监控及预警,监督及改进,测试任务管理,统计分析,缺陷分析及认定,风险评价,风险分析,风险识别,管理体系设计,控制实施,监督及改进,离线发布,信息系统一致性检查,测试及记录,责任签署,风险管理组织,企业业务流程,指标监控及预警,测试结果审核,整改及跟踪,事件收集,事件分析,事件认定,风险事件管理,事件监控,管理要点设计符合要求的内部控制及全面风险管理体系,并根据公司内外部环境,例如组织结构、业务流程、信息系统等调整进行相应的调整和优化建立体系文件,提高体系的透明度,以确保可执行、可审计,关键挑战体系文件更新,编制、审核的工作量大,版本管理难度大体系难以根据环境的变化进行及时调整和优化,7,IDS Scheer AG www.ids-,7,控制实施面临的挑战,风险方案设计,风险评估,体系手册发布,风险管理策略,风险应对措施/控制活动,内部环境管理,企业组织结构,企业目标,职责分离检查,在线发布,监控及预警,监督及改进,测试任务管理,统计分析,缺陷分析及认定,风险评价,风险分析,风险识别,管理体系设计,控制实施,监督及改进,离线发布,信息系统一致性检查,测试及记录,责任签署,风险管理组织,企业业务流程,指标监控及预警,测试结果审核,整改及跟踪,事件收集,事件分析,事件认定,风险事件管理,事件监控,管理要点按照体系设计方案执行相关控制措施,确保设计与执行的一致性实施过程保留可审计的控制实施证据,关键挑战缺乏有效的发布实施平台,体系推广实施的成本高人工控制过多,控制成本高昂,8,IDS Scheer AG www.ids-,8,体系监督及改进面临的挑战,风险方案设计,风险评估,体系手册发布,风险管理策略,风险应对措施/控制活动,内部环境管理,企业组织结构,企业目标,职责分离检查,在线发布,监控及预警,监督及改进,测试任务管理,统计分析,缺陷分析及认定,风险评价,风险分析,风险识别,管理体系设计,控制实施,监督及改进,离线发布,信息系统一致性检查,测试及记录,责任签署,风险管理组织,企业业务流程,指标监控及预警,测试结果审核,整改及跟踪,事件收集,事件分析,事件认定,风险事件管理,事件监控,管理要点对体系设计和实施的有效性进行监督,并出具体系有效性的自我评价保留体系监督的过程资料,以保证监督测试过程的可审计,关键挑战体系监督工作量大、协调难度高,监督成本高昂监督工作资料多,整理、统计、分析和再利用难度较大,9,IDS Scheer AG www.ids-,9,导致的后果,难以满足持续合规需求,难以满足不断增加的合规要求,影响业务效率,合规成本高,10,IDS Scheer AG www.ids-,10,美国上市公司SOX法案遵从的经验启示,阶段1,阶段2,阶段3,阶段4,阶段5,法规准备,内控体系完善,人工内控测试评价与报告,实施IT系统支持内控测试与报告 实施IT系统支持内控文档管理,流程标准化,增强体系可扩展性集成的全面风险管理信息系统:风险评估、损失事件库、控制自动化等功能应用,发展阶段(时间),11,IDS Scheer AG www.ids-,11,议程,内控与全面风险管理面临的挑战,内控与全面风险管理的信息化解决方案,1,2,内控与全面风险管理系统应用案例介绍,3,12,IDS Scheer AG www.ids-,12,内控与全面风险管理的信息化解决方案,风险方案设计,风险评估,体系手册发布,风险管理策略,风险应对措施/控制活动,内部环境管理,企业组织结构,企业目标,职责分离检查,在线发布,监控及预警,监督及改进,测试任务管理,统计分析,缺陷分析及认定,风险评价,风险分析,风险识别,管理体系设计,控制实施,监督及改进,离线发布,信息系统一致性检查,测试及记录,责任签署,风险管理组织,企业业务流程,指标监控及预警,测试结果审核,整改及跟踪,事件收集,事件分析,事件认定,风险事件管理,事件监控,建模模块,风险评估模块,发布模块,监控及预警模块,监督及改进模块,风险事件管理模块,13,IDS Scheer AG www.ids-,13,建模模块及发布模块,风险方案设计,风险评估,体系手册发布,风险管理策略,风险应对措施/控制活动,内部环境管理,企业组织结构,企业目标,职责分离检查,在线发布,监控及预警,监督及改进,测试任务管理,统计分析,缺陷分析及认定,风险评价,风险分析,风险识别,管理体系设计,控制实施,监督及改进,离线发布,信息系统一致性检查,测试及记录,责任签署,风险管理组织,企业业务流程,指标监控及预警,测试结果审核,整改及跟踪,事件收集,事件分析,事件认定,风险事件管理,事件监控,建模模块,风险评估模块,监控及预警模块,测试及评价模块,风险事件管理模块,发布模块,14,IDS Scheer AG www.ids-,14,分散的体系文档,流程描述文档,风险控制矩阵,内控测试文档,制度,组织,职责,系统,业务流程图,15,内控文档整合集中化,IDS Scheer AG www.ids-,16,统计分析功能,协助企业快速掌握风险分布,进行业务优化,例如,对不同业务流程的风险分布分析,IDS Scheer AG www.ids-,17,IDS Scheer AG www.ids-,17,IDS Scheer AG www.ids-,17,同一套业务流程模型,可以维护不同管理主题的信息,流程,质量管理信息,安全管理信息,内控管理信息,.,18,IDS Scheer AG www.ids-,18,基于同一套业务流程,输出各种管理主题需要的报告,流程,由一个流程自动导出各种流程文档,风险控制文档,岗位职责说明书,质量管理文件,19,IDS Scheer AG www.ids-,19,“远程建模、集中管理、统一发布”,ARIS 知识库,分析,优化和管理,在全球范围,全体员工交流风险管理知识,ARIS 数据库=全面风险管理体系持续优化的基础,项目经理/系统管理员,流程和风险负责人/建模员,公司范围流程和风险建模,公司全体员工/浏览用户,ARIS 知识库/服务器,20,IDS Scheer AG www.ids-,20,解决方案的特点,特点1:搭建一个业务部门和风险管理部门共同使用的知识管理平台,搭建涵盖所有业务范围的业务流程数据库,网络部署及应用架构,分布建模、集中管理、网络发布及浏览,满足大型企业应用需求,基于数据库的、集成的建模方式,一次维护、全面共享、单点维护,提高质量,降低成本,特点2:提高了业务流程和风险制度管理及宣贯效率,降低成本,基于业务流程的风险管理方案,根据实际业务识别风险,在业务操作中控制风险,满足对业务流程多种应用的需求,例如系统实施、风险控制、职责管理等,多种统计分析功能,满足业务和风险管理的决策信息需求,21,IDS Scheer AG www.ids-,21,风险评估模块,风险方案设计,风险评估,体系手册发布,风险管理策略,风险应对措施/控制活动,内部环境管理,企业组织结构,企业目标,职责分离检查,在线发布,监控及预警,监督及改进,测试任务管理,统计分析,缺陷分析及认定,风险评价,风险分析,风险识别,管理体系设计,控制实施,监督及改进,离线发布,信息系统一致性检查,测试及记录,责任签署,风险管理组织,企业业务流程,指标监控及预警,测试结果审核,整改及跟踪,事件收集,事件分析,事件认定,风险事件管理,事件监控,建模模块,风险评估模块,发布模块,监控及预警模块,测试及评价模块,风险事件管理模块,22,IDS Scheer AG www.ids-,22,ARIS软件产品的风险评估解决方案,发起评估任务,风险在线评估,风险评价统计分析,创建风险评估任务,23,IDS Scheer AG www.ids-,23,对风险评估结果进行定量、定性分析,确定重要风险,风险经理对所有的风险评估结果,进行定量和定性分析,确定重要的风险,定量分析热图,定性分析热图,Risk Manager(风险经理),24,IDS Scheer AG www.ids-,24,风险评估结果趋势分析,掌握风险变化规律,对多次评估结果进行统计分析,掌握风险变化规律,Risk Manager(风险经理),25,IDS Scheer AG www.ids-,25,解决方案的特点,特点1:通过流程信息化,建立持续的风险评估工作机制,特点2:基于同一个平台展现风险评估结果,全面掌握风险分布及风险变化情况,人工或系统自动发起风险评估任务,明确风险评估责任人,固化风险评估流程,风险坐标图,明确公司重要风险,风险趋势图,掌握风险变化趋势,26,IDS Scheer AG www.ids-,26,风险事件管理模块,风险方案设计,风险评估,体系手册发布,风险管理策略,风险应对措施/控制活动,内部环境管理,企业组织结构,企业目标,职责分离检查,在线发布,监控及预警,监督及改进,测试任务管理,统计分析,缺陷分析及认定,风险评价,风险分析,风险识别,管理体系设计,控制实施,监督及改进,离线发布,信息系统一致性检查,测试及记录,责任签署,风险管理组织,企业业务流程,指标监控及预警,测试结果审核,整改及跟踪,事件收集,事件分析,事件认定,风险事件管理,事件监控,建模模块,风险评估模块,发布模块,测试及评价模块,监控及预警模块,风险事件管理模块,27,IDS Scheer AG www.ids-,27,ARIS软件产品的风险信息收集解决方案,28,IDS Scheer AG www.ids-,28,多维度的统计分析,提高损失事件管理的应用价值,29,IDS Scheer AG www.ids-,29,解决方案的特点,特点1:通过流程信息化,建立持续的风险事件搜集机制,特点2:建立公司统一的风险事件库,为风险评估和应对提供数据支持,规范风险事件搜集的信息,固化风险事件管理流程,快速掌握风险分布,明确重要风险,掌握风险变化趋势,30,IDS Scheer AG www.ids-,30,监控及预警模块,风险方案设计,风险评估,体系手册发布,风险管理策略,风险应对措施/控制活动,内部环境管理,企业组织结构,企业目标,职责分离检查,在线发布,监控及预警,监督及改进,测试任务管理,统计分析,缺陷分析及认定,风险评价,风险分析,风险识别,管理体系设计,控制实施,监督及改进,离线发布,信息系统一致性检查,测试及记录,责任签署,风险管理组织,企业业务流程,指标监控及预警,测试结果审核,整改及跟踪,事件收集,事件分析,事件认定,风险事件管理,事件监控,建模模块,风险评估模块,发布模块,测试及评价模块,风险事件管理模块,监控及预警模块,31,风险指标监控及预警系统架构,ARIS Performance Dashboard,报警 与 行动,规律,结构分析,对标分析,Alerts,捕捉事件监控指标,关注:实时行动,关注:过去分析优化,监控趋势结构化分析追溯原因,业务事件,灵活的实时适配器,全体事件,减化后的数据,大容量数据,IDS Scheer AG www.ids-,32,32,BFS,强大的数据抽取功能,无需代理(Agent-less)技术 最小化对信息系统的影响基于向导 不用编码 易于配置与维护从信息系统中映射原始数据到业务对象,IDS Scheer AG www.ids-,33,IDS Scheer AG www.ids-,33,风险指标监控及预警,34,IDS Scheer AG www.ids-,34,事件监控,事件监控(基于预设规则)“如果一个订单的优先级“很高”,而且超过5天没人处理”那么发送一封邮件给销售人员,并通知订单处理部门的经理或上级主管,1,2,3,4,5,6,7,8,9,Time,Events,35,IDS Scheer AG www.ids-,35,IDS Scheer AG www.ids-,35,35,灵活适用于各种信息系统访问权限与职责分离的自动化检查工具,数据收集,模型信息,管理制度,职责分离矩阵模型,系统控制要求职责分离矩阵,权限配置检查访问权限检查,权限检查工具,自动检查工具,样例,违反职责分离的系统用户,违反的职责分离内容,运行系统,系统权限(T-Code)系统角色(ROLE),信息系统,36,IDS Scheer AG www.ids-,36,测试及评价模块,风险方案设计,风险评估,体系手册发布,风险管理策略,风险应对措施/控制活动,内部环境管理,企业组织结构,企业目标,职责分离检查,在线发布,监控及预警,监督及改进,测试任务管理,统计分析,缺陷分析及认定,风险评价,风险分析,风险识别,管理体系设计,控制实施,监督及改进,离线发布,信息系统一致性检查,测试及记录,责任签署,风险管理组织,企业业务流程,指标监控及预警,测试结果审核,整改及跟踪,事件收集,事件分析,事件认定,风险事件管理,事件监控,建模模块,风险评估模块,发布模块,监控及预警模块,风险事件管理模块,测试及评价模块,37,IDS Scheer AG www.ids-,37,手册管理、测试及评价的信息共享,创建测试任务,接受测试任务,提出建议与改进跟踪,测试结果统计分析,例外事项分析,手册管理,38,IDS Scheer AG www.ids-,38,实时、多维度的统计分析,协助快速出具测试报告,组织/分支机构流程/业务领域风险类别风险定义,新建在处理完成,控制有效控制无效不可测试控制缺陷,清晰掌握控制缺陷的分布,清晰掌握不同业务机构控制执行情况,System(系统管理员),39,IDS Scheer AG www.ids-,39,解决方案的特点,特点1:通过流程信息化,建立测试及整改工作机制,规范了检查工作,特点2:整合了测试过程中所使用的相关文档,提高工作效率,特点3:快速、集中、多维度的统计分析,提高工作效率和决策质量,40,IDS Scheer AG www.ids-,40,议程,内控与全面风险管理面临的挑战,内控与全面风险管理的信息化解决方案,1,2,内控与全面风险管理系统应用案例介绍,3,41,项目背景及挑战,挑战 1:业务流程管理水平低,增加了内控管理的难度,影响内控管理工作的落实,基于不同管理主题的,多套流程描述并存,流程标准化程度较低,业务相同的各业务单元的流程差异较大,IDS Scheer AG www.ids-,挑战2:内控手册管理难度大,管理成本高昂,内控手册变更、修订工作量大,效率高低下,内控要素的统计分析的工作量大,难以为风险管理决策,提供及时的信息支持,42,项目背景及挑战(续),挑战3:内控测试组织难度大,测试成本高昂,测试人员众多,内控测试工作的协调难度大,效率低,测试相关文档例如风险控制文档、测试计划表、测试记录表等管理难度较大,测试结果统计分析工作量大、错误多、效率低,测试工作底稿归档、查询难度大,难以再利用,IDS Scheer AG www.ids-,43,系统应用架构,IDS Scheer AG www.ids-,44,建立了涵盖公司业务范围的统一的业务流程架构,在原有股份公司17个一级流程目录基础上,扩展了业务流程架构,为建立统一的企业流程管理体系建立了基础,IDS Scheer AG www.ids-,45,集成式的风险和流程建模,IDS Scheer China www.ids-,风险管理目标,组织结构,业务流程,关键风险指标管理,业务控制图,风险图,46,搭建公司统一的业务流程和内控与风险管理门户,门户入口,部门管理视图,法律风险管理视图,IDS Scheer AG www.ids-,47,实现了内控审计测试工作流程的信息化,通过内控审计测试信息化,规范了内控审计测试流程,提高了内控审计的效率,降低了合规成本。,在线测试结果记录,IDS Scheer AG www.ids-,48,项目收益,收益一:实现业务流程的标准化、规范化管理,提高了业务管理水平,建立了统一的业务流程架构,涵盖公司全部业务领域,满足不同管理主题的需求,横向上,使一些部门职责交叉、重叠、缺失的问题得到了适当的解决,风险点、控制点、业务步骤清晰可视,要求明确,为执行、监督检查和考核提供了依据,纵向上,公司各级管理结构的管理界面和流程接口清晰界定,建立了公司范围内最佳实践的挖掘、推广机制,为公司业务优化奠定基础,IDS Scheer AG www.ids-,49,项目收益(续),收益二:提高了内控管理工作效率和质量,降低了合规成本,通过业务流程和内控手册的信息化、集成建模,提高内控手册的修订效率,业务流程和内控手册的网络化管理,实现分布建模、集中管理,提供了协同工作效率,业务流程和内控手册的网络发布,满足不同部门和人员的浏览需求,内控测试工作的信息化,规范内控测试工作,并提高工作效率,及时、快捷的提供各种分析,作为内控管理决策依据,提高决策科学化,职责分离检查工具,实现对信息系统角色、权限管理的自动检查,ARIS4SAP及相关工具,实现了对信息系统设计和实施一致性的检查,IDS Scheer AG www.ids-,50,项目收益(续),收益三:实现了内控管理工作与业务经营活动的有机融合,统一的业务流程管理体系,作为风险识别和业务执行的唯一依据,控制活动融入到业务流程的操作执行中,明确了岗位的风险和内控管理机制,内控检查和整改,不仅是内控体系有效性的保障,而且是业务执行力的保障,业务流程和内控手册变更、发布的一体化管理,确保业务和内控制度的一致性,IDS Scheer AG www.ids-,