企业内部控制导航仪产品解决方案

内部控制导航仪产品解决方案（专业版V1.0）Pilot Control Product Solution 中国企业内部控制管理与合规解决方案China Enterprise Internal Control Management and Compliance Solution友联时骏企业管理顾问有限公司Union Strength Business Consulting Co., Ltd.关于友联时骏内部控制导航仪 定位为内部控制合规软件，对内部控制合规工作的组织、过程和内容实施全程系统化管理，能够直接帮助中国上市公司达成内部控制合规要求、并满足企业不断完善和提升内部控制的内在管理需求的全面解决方案。 全部的软件设计理念，来自于友联时骏2002年以来8年内50余个内部控制合规咨询案例的业务实践。 友联时骏通过“内部控制专业咨询 + 内部控制软件”的综合服务，致力于为中国企业提供高效、便捷、成本效益最优的内部控制合规解决方案。 目 录 1为什么需要内控管理系统41.1内部控制领域正在发生什么变化？41.2企业应如何应对内控领域的变化？41.3企业在内控合规工作中，会遇到哪些挑战？51.4内控合规管理系统应具备哪些特点？51.5如何评价内控合规管理系统？62友联时骏内部控制导航仪72.1产品定位与适用范围72.2理论基础72.3产品功能82.3.1 功能矩阵图82.3.2 主要功能102.4产品特点与应用价值122.5解决方案132.5.1 不同规模企业之合规方案142.5.2 不同上市地企业之合规方案153产品技术信息153.1技术路线153.2体系架构153.3技术特点153.4运行环境154联系方式151 为什么需要内控管理系统1.1 内部控制领域正在发生什么变化？加强和完善上市公司内部控制，已成为当今全球上市公司监管理论界和实务界最为关注的话题之一。新世纪以来，经营环境的变化、管理理论的不断发展以及近年来因内部控制失效而发生的上市公司恶性舞弊事件，促使各国监管机构陆续出台了严格的法规或指引，要求上市公司加强和完善有效运作的内部控制制度，以确保财务报告和信息披露的可靠性，保护投资者的合法权益。 2002年7月，美国国会颁布了萨班斯-奥克斯利法案，正式提出了上市公司披露内部控制报告的强制性要求，上市公司管理层需要对与财务报告相关的内部控制设计和运行的有效性进行自我评价并发表责任声明，同时，审计师将进行独立的内部控制审计。 2006年6月，日本国会通过了金融工具与交易法，要求与萨班斯法案相似。 2008年6月，中国财政部、证监会等五部委联合发布企业内部控制基本规范； 2010年4月，五部委联合发布了企业内部控制配套指引。这些文件的出台标志着适应我国企业实际情况、融合国际先进经验的企业内部控制规范体系基本建成。五部委确定的实施时间表为：自2011年1月1日起在境内外同时上市的公司施行，自2012年1月1日起扩大到在上交所、深交所主板上市的公司施行。在此基础上，择机在中小板和创业板上市公司施行。中国成为继美国和日本之后，第三个要求对上市公司实施内部控制审计的国家。从鼓励式的披露，到法定的要求；从自愿式的规范，到强制性的监管；从在美国上市的中国公司，到中国本土的上市公司，无不受到这种对于“企业更高的可信任程度”要求的影响。1.2 企业应如何应对内控领域的变化？ 持续完善：按照监管机构发布的规范，建立和完善企业内部控制。 达到合规要求：接受外部审计以提升企业在资本市场的可信任程度。 进一步提升：通过加强内部控制，逐步提升企业的风险管理能力。1.3 企业在内控合规工作中，会遇到哪些挑战？组织管理方面 想建立符合规范要求的内部控制，从何着手？ 如何有效组织子公司、业务流程的责任人参与到内部控制建设中，实质性提升企业整体管理水平？过程管理方面 怎样才能及时和全面了解内部控制合规工作的进展程度？ 手工工作效率低下，如何能减少重复工作、提高效率，降低合规成本？知识和文档管理方面 怎样系统了解内部控制方法论，掌握内部控制从建立、评估到改善的实施路径？ 内部控制合规文档太多，手工进行归档、索引，更新、管理起来费时、费力！1.4 内控合规管理系统应具备哪些特点？ 提供成熟的、清晰的、易以掌握的合规工作实施路径、方法和标准，直接满足监管要求。 提供一个公共平台，使内部控制责任人参与到公司的内部控制建设和完善活动中，承担起相应的控制责任。 通过工作流实现对任务分派、执行、审核、批准、汇总等一系列自动化管理，实现对合规工作实时、全面的进度监控，极大地提高效率。 强大的文档管理功能，极大减少无效工作成本，同时，为独立审计师验证提供完整、清晰的资料。 简单直观的操作界面，并提供丰富的标准化模板，使企业能迅速实施合规工作，并能促进内部控制知识转移和传播，让更多内部人员参与项目，提高项目内部资源利用效率。 便于咨询顾问提供持续的专业支持，便于企业获得最新的监管要求，并为内部控制知识和经验的分享提供桥梁。 通过减少手工操作、重复劳动合理降低内部控制合规工作的实施成本。1.5 如何评价内控合规管理系统？内部控制合规管理系统具有内部控制建立、评估、持续改善等功能，是否能够很好地帮助企业内控部/内审部完成内控合规的工作目标是内部控制合规管理系统的基本标准。一个完善的内部控制合规管理系统应该从以下几个方面评估： 组织管理方面：能够协助企业建立符合外部监管要求的企业自己的内部控制，并能使下属子公司、业务部门参与到内部控制建立、评估中，进而逐步提高整体管理水平。 过程管理方面：实时了解内部控制合规各项工作的进展，形成进度报告。最大程度减少手工操作、重复劳动，提高工作效率。 知识与文档管理方面：全面了解内部控制方法论，掌握内部控制建立、评估、改善的实施路径。集中管理内控所有相关文档，便捷的搜索功能。 安装环境：安装、维护成本低，良好的兼容性。支持外网登陆处理待办任务与查看内容。2 友联时骏内部控制导航仪2.1 产品定位与适用范围内部控制导航仪，定位为内部控制合规软件，是一套对内部控制合规工作的组织、过程和内容实施全程系统化管理，能够直接帮助中国上市公司达成合规要求、并满足企业不断完善和提升内部控制的内在管理需求的全面解决方案。该产品基于COSO内部控制框架而设计，可以快速地帮助企业建立系统、标准、可靠、有效的内部控制体系，并对该体系进行持续不断的修订和完善，解决了企业面临的诸多内部控制管理实务挑战。它广泛适用于： 中国上市公司 在美国上市的中国企业 对提升内部控制和风险管理有自我推动力的大、中型企业2.2 理论基础通过独立、全新地阐释并应用COSO全面风险管理框架，从而使得该软件产品广泛适用于在中国及美国资本市场上市的公司。 2.3 产品功能2.3.1 功能矩阵图企业内部控制导航仪侧重于关注企业是否存在有效的内部控制措施、内部控制是否有效执行、流程与制度是否合理，并帮助企业持续完善内部控制，从而使得使用者在掌握了基本的内部控制理论、了解软件操作的前提下，即可自行开展内部控制建设、内部控制评估、缺陷整改等各项工作，降低了业务管理成本。企业内部控制是以创建和完善企业风险控制矩阵(RCM)为核心的闭环管理过程。“内部控制管理”是本产品的核心功能模块，主要帮助IC Team完成以下内部控制管理工作：创建RCM（01过程）：IC Team从企业内部控制较薄弱、不规范的实际情况入手，界定企业各责任单位及其控制层面的关系，借助标准的控制目标模板（Control Objective Template，以下简称COT），适当运用问卷调查、标准与实际对照等方法挖掘企业各控制层面待整改或缺漏的控制活动，逐一进行补充完善，形成第一版本的企业风险控制矩阵（Risk Control Matrix，简称RCM）。完善RCM（1100过程）：企业形成较完善的RCM后，随着外部监管机构对企业内部控制要求的不断提高，和企业内部自身业务的发展变化，都需要对企业的风险进行定期审阅，对RCM进行不断的更新完善。通过常用的穿行测试、符合性测试和调查问卷方法，可以对企业当前控制层面的设计有效性和执行有效性两方面进行充分的评估，及时暴露缺陷并进行整改，形成新的RCM，达到企业内部控制持续有效的闭环管理。产品功能矩阵图如下，针对企业的三个控制层面，系统首先界定内部范围，通过内部控制记录、内部控制评估和缺陷整改三个过程的反复迭代，实现企业内部风险的有效控制。2.3.2 主要功能内控控制导航仪有五个功能模块，包括：我的首页、内部控制管理、报告与审阅、知识库、系统管理。2.4 产品特点与应用价值协助企业建立内控框架 帮助形成企业上下统一的内部控制管理标准内部控制导航仪将内部控制建立、评估、改善的工作步骤固化，引导企业内部员工按标准化的管理流程开展内部控制工作，从而形成集团内上下统一的内部控制框架体系。 跨区域同平台工作，远程处理待办与查看工作成果支持远程外网登陆系统，为跨不同地理区域的集团化管理提供同一信息处理平台。用户可远程处理待办任务，并可查看内部控制工作成果。 控制活动融入日常运作，所有控制责任人承担相应责任通过一人一表、一岗一表（即与某用户/岗位相关的控制活动列表）将内部控制层层分解，风险管理责任落实到企业的各个层面，促使全员参与，有效提高整体管理水平。高效、及时解决问题 提高工作效率，减少重复工作，把时间花在增值环节内部控制导航仪将合规工作从手工操作转化为系统工作，节省人力投入，并能降低内部沟通成本。使企业内部控制部、内部审计部能将工作聚焦在其他增值服务环节。 随时生成进度报告，了解各类内部控制工作进展实时监控内部控制建立、评估、改善不同阶段的进展，了解各项任务完成情况，督促责任人及时完成。总部从集团层面全面把握下属公司控制评估、整改的进度与结果。 方便核查控制缺陷、整改事项，持续跟踪改进作为致力于持续优化的管理工具，可以帮助管理层对缺陷进行分类统计，全面了解集团内各下属公司的控制缺陷，以便针对缺陷及时进行整改与跟进。全面系统的知识传授 提供全套内部控制法规、培训资料及模板 内部控制导航仪的知识库，存放友联时骏根据多年内部控制合规咨询经验整理的知识，包括：权威机构法规指引、内部控制培训资料、流程手册模板、常见问题解答等。 实现知识、信息的共享内置知识库帮助企业员工系统了解、学习内控相关知识，使所有希望提高管理水平的企业熟悉和掌握内部控制管理的实施路径。同时以内部论坛形式，促进内部人员信息交流和沟通，改善企业控制环境。 完整、有序管理所有工作文档强大、灵活的文档管理功能，全面展示内部控制工作成果。流程手册、风险控制矩阵、测试底稿完整、有序存档，解决了版本混乱、分散存放问题。所有成果能以EXCEL导出、PDF打印，随时对外提供验证依据。2.5 灵活的解决方案友联时骏提供一整套的内部控制合规解决方案，实现从内部控制建立、评估、改善的全面符合外部监管要求。友联时骏内部控制控制导航仪的部署方式灵活多样，能够快速部署在几乎所有的网络环境中，满足中小型、大型企业的不同管理模式需要。2.5.1 不同规模企业之合规方案中小型企业之合规方案企业特点内部控制导航仪的价值w 内部控制基础一般较薄弱，制度与流程不完整。w 存放友联时骏根据五部委下发规范整理的全部流程手册与风险控制矩阵，企业可据以整理为自己的制度与流程。w 缺少足够数量或适当经验的内控专业人员。w 内置知识库提供全套、系统的内控方法论，促进人员学习成长，了解如何建立、评估、整改内部控制。w 企业自上而下对内部控制认识不足。w 以建立岗位与控制活动的联系、内部论坛的形式，促进内部人员责任明确与信息沟通，改善企业控制环境。w 由于规模、资源所限，希望承担较低的合规成本。w 通过内部人员成长、以系统替代手工、减少重复工作等方法，达到长期合理降低成本。大型企业之合规方案企业特点内部控制导航仪的价值w 总部及下属各分支机构分散在不同的地理区域。w 基于Web网络，使不同地域的子公司同步同平台操作，促使其承担各自的内控工作。w 管理机构相对复杂，多级管理，总部难以快速掌握下属公司的内控工作动态。w 总部可以从系统中全面了解、把握下属公司建立、评估到改善内部控制的进度与结果。w 内部控制工作涉及范围广，工作量大，需要花费较多的人力与管理成本。w 将内部控制合规工作从手工转化为系统工作，节省人力投入，并能降低内部沟通成本。w 内部控制相关文档数量多、版本更新快，且分散存放在各处。w 强大、灵活的文档管理功能，归口管理与内部控制相关的所有文档，清晰展示内部控制工作成果。2.5.2 不同上市地企业之合规方案中国上市企业之合规方案企业特点内部控制导航仪的价值w 无上市合规实务经验，根据内部控制基础的不同，可能需借助外部顾问开展内控合规工作。w 系统内置知识库帮助企业员工系统了解、学习内控相关知识，逐步提高内部人员的业务技能和内部控制知识水平。w 难以使管理层了解部门的工作成果，进而获得高层的支持。w 作为一个开放的IT平台，能够全面、清晰向管理层展示部门工作成果，从而获得高层对内控工作的理解与支持。w 希望在完善内部控制的基础上，利用工作结果（尤其是发现的缺陷），为企业提炼风险点。w 通过分类统计控制缺陷，全面了解集团各下属公司的控制缺陷，以便针对缺陷及时进行整改与跟进。 w 需要强化对内部控制制度设计合理性、执行有效性的检查。w 系统提供三种评估方法（调查问卷、穿行测试、符合性测试），实现定期对内部控制设计、执行有效性的检查。美国上市企业之合规方案企业特点内部控制导航仪的价值w 除首次面临合规要求的上市公司外，一般都已有咨询成果。 w 风险控制矩阵、流程手册可批量导入系统，充分利用已建立的工作成果。w 内控合规工作往往占用内控、内审部门较多时间，难以有更多精力用于风险管理等增值服务。w 通过数据调用减少手工工作（比如编制测试底稿与汇总等），使部门腾出精力为企业提供其他增值服务 。w 内部控制相关文档数量多、版本更新快，且分散存放在各处。w 流程手册、风险控制矩阵、测试底稿完整、有序存档，解决了版本混乱、分散存放的问题。w 内控建设是全体管理层的责任，但往往是内控、内审部门主责，难以获得业务部门的支持与参与。w 通过一人/岗一表层层分解内部控制责任，建立控制点与具体业务活动执行人/岗位的关联，提升业务部门的参与度与企业整体的精细化管理水平。3 产品技术信息3.1 技术路线内部控制导航仪在综合考虑了系统的可实现性、未来的可扩展性和系统性能的基础上，选择了基于J2EE的标准化轻量级架构： 运行模式：纯B/S跨平台模式，支持Windows和Linux。 技术平台：J2EE，5层框架结构，采用轻量级高性能SSH框架。 多数据库：具有跨数据库能力，支持MySQL、Oracle和Sql Server数据库。 扩展界面：基于WebService的服务接口，采用XML的数据传输格式。 集成性：可实现统一门户接口和单点登录，也能被别的系统集成。 高并发：单机能够支持1000以上的在线用户，并且支持集群，以最小成本实现最大的并发量。 高安全性：完善的权限控制，并支持文件数据加密、信息传输分层加密。3.2 体系架构系统设计以组件化集成架构为设计理念，采用诸如Struts、Spring、Ajax、Hibernate、JQuery等Web2.0的前沿技术，全部采用Java开发，充分考虑了系统的柔性和开放性。整个平台主要分为前端，业务处理服务层、基础服务层、道勤基础平台、支撑平台五大部分，层次结构非常清晰。前端前端是系统用户的入口，采用B/S架构，用户可以通过各种浏览器、本地的JAVA客户端、本地的富客户端程序、实时通讯工具等方式进入系统操作。入口本着通用化、简单化、个性化的设计，适应不同办公环境的用户更好地切入系统。业务处理层业务处理层是各种业务模块功能业务具体实现，是在各种组件的基础上开发而来。根据系统应用需求无缝集成第三方界面。基础服务层基础服务层是整个系统的基础使用功能。包含组织结构、菜单管理、流程管理、日志管理、权限管理、系统字典、附件管理、公告管理、第三方接口等功能，保证系统的内部业务配置管理有序，内部程序配置方便，外部皮肤简单切换。基础平台基础平台是是一套基础应用开发平台，通过应用服务总线插入在基础框架层之上。包括基础服务组件，工作流引擎，邮件发送服务，加密机制组件，数据导入导出组件，集成用户登陆服务，树形结构内核组件，文件上传下载组件，文件转换组件，全文检索服务，消息服务，定时事务处理服务程序等多个服务组及组件组成。组件层的特点是标准化，可独立配置，自包容，易更换，严格封装，可以被复合使用，提供了一系列可用的接口与平台及应用进行交互。支撑平台支撑平台是应用系统的运行环境，包含操作系统、数据库、应用服务器、浏览器服务器等。基于JAVA开发，开源性、开发性优点突出，平台支持多环境部署、多运行程序变换、基于不同性能或配置简单切换环境，保证系统环境的稳定、易维护。3.3 技术特点组件化提供服务组件化，所有业务功能模块都使用相同代码程序，这时候可以抽象出代码程序成为组件。组件化提供服务，抽象得来的组件，系统通过各功能模块的调用方法合理的设计公用接口，业务模块功能通过调用接口为自身提供服务。跨语言开发集成JAVA开发语言的跨平台特性，使平台拥有跨平台运行、部署的特点，程序运行不受任何开发终端的限制，只要JVM能运行的环境，平台就可运行。通俗地说，几乎可以在不作任何修改的情况下运行在Linux或者Windows等不同的操作系统上。系统的可定制性系统需求的变化总是存在的，用户使用的方式各不一样，系统必须接受这些个性化应用的适应，提升系统的灵活性。对管理员而言，系统所有功能都能使用，也具备功能动态分配与配置的作用。即普通用户的使用权限可通过管理员权限手工分配。对业务定制而言，大多数模块都可以根据企业实际的业务需要进行扩展和定制，以控制活动为例，所有的字段都可以根据用户需要设定是否显示。另外在通用工作流的支持下，用户可以根据自己的需要调整流程，使之完全适应企业的实际情况。第三方系统集成一个系统的开放性是系统能否给用户带来最大收益的关键因素，平台提供了多种方式与其它系统整合，整合功能将其它的业务系统扩展到工作台，这种扩展可以是跨数据库的、跨系统的，能将各个业务数据呈现在一个统一的平台上，为高层管理提供必需的数据。系统的高安全性系统的安全控制平台的系统安全控制，有以下几种安全控制的集成： 接口安全控制平台对数据操作实现有效的安全检查权限过滤。防止黑客通过接口注入木马对数据库和文件造成不可恢复的损失。平台不仅对数据类型进行检查，也对数据进行约束。使得数据的流出和流入在接口操作上得到真正的控制。 数据安全控制实现对敏感数据的加密，如用户密码。用户进入敏感模块需要二次验证。对敏感数据的加密和限制，可以防止内部人员通过合法手段获得不应该获取的敏感数据。 URL地址安全控制URL地址的安全控制，平台采取映像机制，对Web的URL请求传递的参数进行加密，使得黑客无法从URL地址传递的更改参数获取非法数据。 IP地址安全控制系统记录客户端发送请求的IP位址和物理位址，通过IP开关，可以有效防止黑客通过其它路径进入平台系统。用户权限控制机制系统采用URL授权和逻辑授权，URL授权使用在 Web.XML 中配置的AOP过滤器，AOP过滤器定义授权规则，确保用户可以访问所请求的檔或檔夹。访问到文件后还要再根据系统逻辑授权进行信息范围，操作等控制。数据安全处理机制 事务处理对于重要