内控管理系统白皮书

1、成功足先败z即.一切都是努力的结果内控治理系统白皮书1前言12. 为什么企业需要内控治理系统22. 1.企业需要内控22. 2.传统手工内控存在问题和困难22. 3. IT内控系统使得内控更健全、有效和合理23. 如何评价内控治理系统 34.慧点科技内控治理系统34. 1.体系架构44. 2.功能说明64.2.1.内控治理业务功能框架64. 2. 2.产品主要功能74. 2. 3.产品功能详单144. 3.产品特色154. 3. 1. IBM强大的平台水平一符合SOA架构易于拓展154. 3. 2.多层、分级、可拆分的组织树与用户权限治理能力154. 3. 3.随时监控的内控驾驶舱,指引内控工

2、作164. 3. 4.强大的报表、报告能力17页胛内容2成功足先败z即.一切都是努力的结果4. 3. 5.灵活定义内控测试方案和流程并实时监控174. 3. 6.理手册矩阵一体化管184. 3. 7.内控集成平台实现与其他业务系统集成,为实时监控与关键事件报警奠定根底194.4.解决方案与案例205.结论错误未定义书签.211.刖H随着企业的高速开展,越来越多的企业都进入了股市,成为了上市企业.但近年来岀现了儿个大公司发生财务舞弊事件,如安然事件,导致投资者疑心企 业内部限制是否有效,希望企业提升内部限制的力度和有效性,保证发布的财务 报告的准确性.2002年美国萨班斯法案确实立,在法律上明确

3、要求在美上市企业增强内部控制,之后在世界各地也都有相应的法律和规定,要求企业增强内部限制.如何预防财务舞弊和欺诈,如何增强企业内部限制并迅速发现企业问题,成为 企业继续向前开展的一个非常重要的课题.2.为什么企业需要内控治理系统2. 1.企业需要内控,内控可以帮助企业合规遵从:根据相关法规和法案的要求,进行企业内 部限制,能使企业合规,企业的限制遵从法律或者规定文件的相关要求. 保证企业对外的形象.增强投资者的信心.,及时发现企业存在问题:企业通过增强内部限制,可以发现企业实际业 务或者治理流程上的设讣缺陷或者执行缺陷,及时纠正问题,保证企业 健康成长.,降低企业风险发生:企业增强内部限制,能

4、增强企业风险治理意识,减 轻风险发生的可能性,预防企业遭受不必要的损失.2. 2.传统手工内控存在问题和困难,工作量大效率低:限制点点多面广,数量大,涉及人员多;测试工作面 临人力、物力等资源压力.,标准维护不及时:经营模式变化导致限制点动态化,手册、矩阵维护不 及时;测试工作中存在判断标准的不统一；,监控过程不透明：内控测试丄作与正常工作冲突;通过测试只能到达事 后监督；2. 3. IT内控系统使得内控更健全、有效和合理,内部限制日常化:文档及时维护,标准的测评和整改在部门内随时开 展,把限制工作推到前台.,文档完善与时效性:及时反映流程、限制点的变化,不仅要准确描述, 更要及时更新,并且能

5、及时准确的传播.,提升内控治理的价值与效果:发现问题,及时整改和修补,关注过程和 结果,能随时监控关注问题,使得内控工作更透明.页瞬内容4成功足先败z即.一切都是努力的结果3. 如何评价内控治理系统越来越多的企业釆用了内控治理系统,内控系统的作用不仅要能帮助企业合 规,更重要的是增强企业的内部限制,及时发现企业的问题,并加以改良.一个好的内控治理系统应该具备以下特征：,强大的内控手册和矩阵治理水平,并能迅速传达,做到标准统一.,灵活定义测试流程,完整监控测试工作,使得内控工作透明化.,全面的报表和报告水平展现,提供企业多种角色查看和决策.,内控不仅要满足企业合规要求,内控LI标逐渐多元化,内控

6、范围也逐渐拓宽,最终走向全面内控,从而效劳于企业的开展LI标.,内部限制准确及时,帮助内控工作常态化.,内部限制导向趋于风险化,可关联或者开展为风险治理为导向的内部控制体系.,内控治理系统必须满足治理集中、任务分级的内控治理业务要求,并适应企业内控工作模式和业务的变化.4. 慧点科技内控治理系统针对企业合规与遵从,企业对内控的需求,慧点科技提供了完善的企业内控解 决方案.I CM (Intranet Control Manager简称)系统是慧点科技在IBM内控平台 (WBCR)上为中国企业搭建的具有中国特色的企业内控平台.作为企业内控平台,产 品设讣LI标旨在满足企业合规要求,增强企业全面限

7、制,发现企业存在问题并进行 整改,以提升企业效率,保证企业健康成长.慧点ICM为企业实现全面限制提供了 一个全新而乂优秀的解决方案.4. 1.体系架构慧点内控治理平台系统从垂直方向上,分为多个层次,包括信息门户与展现 层、业务系统系统层、应用支撑与工具层、根底设施层,而平安治理和治理治理贯 穿于各个层面,如下列图所示：慧点内控治理平台总体框架,法律法规层内控系统的定义是符合相关的法律法规要求,是合规的.,根底设施层网络根底设施层为系统提供了必要的网络根底环境,提供了可黑、有效的信息 传输效劳通道,是各类信息的最终承载者.,应用支撑层应用支撑层通过提供平台化的工具和功能,为内控治理业务的实现提供

8、支持. 业务应用系统层通过统一的接口,来访问应用支撑根底平台.,业务系统应用层业务系统应用层提供在一个统一框架之上的各类内控治理业务应用,包括内控文档维护、内控测试、内控执行与报告等等.实现内控治理业务的处理,规 范不同人员执行人被测人、测试人、答疑人、质检人、限制点责任人、治理层 等在系统中的操作,监控各项内控治理丄作的执行效能,提升工作质量,便于管 理层运营决策,有助于内控治理最大化的发挥其治理效力.,信息门户与展现层信息门户与展现层包括了报告治理平台和内控治理信息门户两大局部,报告管 理平台可以根据业务系统应用层所记录的数据,依据不同的组织单位汇总统讣出各 种内控报表,输出治理层报告,包

9、括方案完成分析、业务执行分析、进度监控、管 理者视图/报告、统计结果/分析报告等.,平安治理页舆内容7成功足先败z即.一切都是努力的结果对于整个系统而言,平安治理将贯穿系统的始终.信息平安为系统建立了一个 完整的平安体系框架,在各层面为系统提供用户治理和访问限制、完整性、可用性 等平安效劳.,系统治理同平安治理相类似,系统治理也是贯穿于整个系统的各个层面.完成系统的初 始化治理、配置治理、运行维护治理和监控等.4. 2.功能说明4.2.1. 内控治理业务功能框架方案业务内控测试手册维护内容检测内控专有内控人员部门执行内审人员业务部门外主体其他专业人员公司外,外审人员自测业务部门人员不相容原那么

10、考核4. 2. 2.产品主要功能4.2.2. 1.手册维护手册查看:不同级别机构的用户可以看到所属机构范围内的限制手册.手册下 载:不同级别机构的用户可以下载所属机构范围内的限制手册.手册上传:不同级 别机构的内控治理人员可以上传限制手册到所属机构系统内.手册版本治理:对手 册的更新进行版本治理,可以查看历史版本手册.可以比对历史版本内容.手册的自动更新:与限制矩阵相同的内容,在限制矩阵更新之后自动进行更 新,并发出更新提示.手册更新审批:手册中非矩阵信息需要单独修改的,山负责部门提出,走流程 审批.流程图的生成:根据内部限制手册、矩阵的描述,按不同子流程生成业务治理 的流程图.流程图的自动更

11、新:业务治理流程图在限制手册、限制矩阵修改之后自动进行 更新,并发出更新提示.4. 2. 2. 2.内控矩阵维护页舆内容9成功足先败z即.一切都是努力的结果矩阵信息展现:信息展现方式包括矩阵的集合式视图比方树状结构和限制点详细信息的平面视图.根据总部/省/地市等级别,分别展现各级别下的内容.高级 别机构可以查看低级别机构的矩阵信息.可以进行矩阵信息比对式查看.可以网页 形式如表格方式展示限制矩阵,同时提供信息筛选功能.矩阵信息查询:根据不 同的关键条件查询不同范围内的矩阵信息,提供友好的列表展示,支持分页定制. 查询结果可以钻取出更详细的信息.矩阵Excel导出：支持导出全部或局部矩阵信息的导

12、出功能.导出参数可定制.矩阵在线编辑:矩阵各要素信息可以在线逐个增删改.矩阵Excel导入:支持导入全部或局部矩阵信息的导入功能.导入参数可定制.矩阵版本治理:矩阵发生重大变化时,可以利用版本策略标注出新的版本号, 切换当前版本.可以查看历史版本的信息.可以比对历史信息.84. 2. 2. 3.内控矩阵信息变更变更申请:流程参与部门人员或限制点负责人在限制点上发现问题可以提出控 制点变更申请;业务部门根据业务要求提出变更申请;治理层根据治理要求发出变更 指示.变更类型包括修改、删除、新增.变更比对:对提交的变更内容提供在线比对功能,以方便相关人员识别变更. 可以进行变更历史比对.横向沟通:根据

13、变更内容的级别,发起不同范围内的沟通和审批流程.结合现 状进行新流程的现场记录,并提炼限制点、分析差异、归纳缺陷和提出改良建议 等.变更落实:对于审批通过的变更,应落实到矩阵信息中.保证矩阵信息的完整 性和一致性.变更报备:在本级机构中更新完矩阵后,可以将更新结果报备到上级机构中. 变更上报:在本级机构中沟通好的变更内容如果属于需要上级机构审批的,可以定 期上报变更申请.特别情况下,也可以上报紧急变更.变更下发:上级机构确定的变更内容下发给下级机构落实94. 2. 2. 4.内控方案贝脚内客10成功足先败z即.一切都是努力的结果方案制定：审计人员按年度制定本年度的内控测试方案.可以重新制定,也

14、可 以从上一年度未完成的方案中转移.方案审批:审计部门或公司领导层对本年度方案进行审批,给出审批意见.查 看资源配置:对于本级内的年度资源讣划使用情况进行查看,发现冲突.讣划查看: 相关人员可以随时查看已审批通过的方案.方案执行：内控测试方案开始时,在此纪录执行期方案的根本信息104. 2. 2. 5.内控测试底稿模板治理:对内控测试中用到的模板进行治理,可以修改模板内容.测试方案准备:制定测试方案、测试工作讣划等的流程审批过程.下发测试通知:通知 被测试单位本次测试相关事项及内容.任务分配:按限制点、人员、路径等指标来 分配任务.设定检测人、质检人、责任人等信息.实施测试:抽查样本、审阅、询

15、问、重复验证.测试发现与记录:测试人员将测试结果记录在丄作底稿中.内控质监:质检员对测试结果进行确认.测试审核:测试组长对所有测试结果进行审核.测试结果汇总：系统支持对测试结果的汇总查看.11限制点分类统计:根据限制点的根本属性分类统计.包括内控矩阵本身的分析 和多个业务单元之间对同一限制流程进行比照分析.包括省公司与集团标准流程、 省公司之间、省公司与地市公司以及地市公司之间的同一限制流程比照分析等功 能.比照分析的要素包括:限制点编号、限制点描述、流程描述、限制状态(无效、 有效、修补中)、限制点级别(A/B/C)、限制发生的频率、限制点负责人、穿行测试 资料名称、版本号等任务分配统计报告

16、:按人、地区等统讣任务分配情况.测试进度统讣报告:按人、地区等统讣测试进度报告,提供监控报表和状态 图.测试结果统计报告:按测试结果类型分类统计,和历史结果比照统计.测试 缺陷分布报告:根据缺陷类型、地区分类统讣.124. 2. 2. 7.内控整改整改建议汇总：系统能够实现对不同审讣发现和建议的汇总.发送整改通知： 根据限制点落实整改责任部门.确认整改讣划：责任部门和人员确认及反应整改讣划,明确整改内容和时间,并经部门负责人审批.提交整改结果:相关负责人填写并提交整改结果.整改结果审批:整改结果经 部门领导审批,然后报审计部.整改结果检查:审讣部对落实情况进行检查并确认 落实结果.整改结果报告

17、：定期形成整改报告.134. 2. 3.产品功能详单页脚内容13成功足失败z毎.一切都足努力的结果页脚内#15rwTWiI “H.q,I :里渝；住I；hm!10I rS両如 一|(i财止丁T“即：冷艸:irmOiE豪茨络僉欣PH Iwomi a |C3EO包甌致閨(卅川也馥iL试行社I i 、 慧点ICM系统功能清单一14嚴诲Bl|渝昭比|iFf a g r 闪俱彦關L範我頫? Inwi卜谢QinaaiXrilW；A1'艸皿2 I次贼沁1耳那鬥:'川|卞旦伙臥咖融佔帕册個Mflj-rTWKW：WMMyMl側個血; 必I¥戕A11曲巒返归山门成功足失败z毎.一切都足努

18、力的结果慧点ICM系统功能清单二4. 3.产品特色4. 3. 1. IBM强大的平台水平一符合SOA架构易于拓展IBM强大的平台使得我们可以建立灵活的、易于扩展的内控治理平台,以适应 企业内控治理模式与业务的变化,平台提供众多成熟插槽,可以用搭积木的实现新 功能的拼装与扩展；支持开放的限制框架,可以用来执行基于COSO、CobiT或者其 他内部限制活动.4. 3. 2.多层、分级、可拆分的组织树与用户权限治理水平系统具有很强的治理和拆分水平,能建立一个灵活的、可拓展的体系架构,适 应未来企业分支机构不断增长,适应企业未来系统用户量的不断增长.154. 3. 3.随时监控的内控驾驶舱,指引内控工

19、作系统提供内控的治理视图,在此视图可以完整监控内控丄作的执行情况.SKaifMIMami.i|)H VMUMT2nuWU IM164. 3. 4.强大的报表、报告水平系统能提供各种各样用户需要的,如限制点分类报告、限制点测试情况报告、限制点整改情况报告、限制点测试任务分配报告、限制点测试结果报告,测试人员工作状态报告等等.页脚内容19成功足失败z毎.一切都足努力的结果6I«X1»vni«rt* W*听"K«fGLA6MMLft挣mjSQJt完磁19制点母示完空的17刮戌釵业第QBE名除SfliSSR主砂的©分比|允克分公司-030&#

20、187;1COUW>湖北幻公司eo2040 力 &%協辽分公目00咖4. 3. 5.灵活定义内控测试方案和流程并实时监控系统底层有强大的丄作流引擎作为支撑,所以我们可以灵活定义内控测试的流 程,并对内控工作进行实时监控,帮助提升内控工作效率.17页脚内容25輕録培QlfV沖M那么材神叩14丄*1 QK走丄ffiVffiG冲 *ht4c3H世吕 I. -.!&IHtpft XMI. Imafx淹程存他4. 3. 6.手册矩阵一体化治理内控手册和矩阵统一存放在文档中央,统一治理,可以方便平安的进行授权、»> 5 »l«WV 1 IIMi 1

21、 li：iM AX»WHX：.AW4-*C«m»st»uiC££tj ft4r».«LSN.J I MEI ri?*!aefW« »5 ik*.e9>ramg JJ.yUtff* ». . . . - - . .p »f .KHSWaais维护、查询等操作.手册和矩阵的维护有版本治理.不同的版本可以互相比拟.手 册和矩阵内容的新增或者变更,可以跟丄作流引擎紧密结合,灵活定制相应的业务 流程,全过程的治理手册和矩阵的维护和更新.另外矩阵和手册的修改可以相互同 步更新.如,

22、修改了矩阵的限制点描述,系统能自动更新到手册中相应限制点的描 述,预防重复劳动,提升内控工作效率.18辭思护乌沁:字5»*rw«iMirr«ar® ««nt7fr«Qrenrc »ri a« asMU«n-E- cvatmsHm.限制点比拟图一i昨旺也也7iU： t磁 dicm,A B乩石耐*；-«：、STH隔 、期刃5一-F計.Rt ZdW如地.纟 k； 叱人加11122电山*115巨垃土土兔吏A； 此宠人J!之曲&细涪 昶仁*左巨 P7X二孑,GtXi&FH:M：力

23、Mhum <-r：Fii另 x £,： ah 宾幻mrn卜u 荡人 b 載MMttJL ItttfTil W.5.11JV«3/STt fr.A. FX限制点比拟图二4. 3. 7.内控集成平台实现与其他业务系统集成,为实时监控与关键事件报警奠定根底内控系统平台提供了与业务系统的接口支持,如财务系统、ERP系统等等.能 方便的监控非手工限制点的情况,并发出预警信息,实现实时的企业内控.19戈三!:£f w严r-<» 移nr: 川It：M ."严J2、 J9rj"仆MX.a>g."一? 些灯:;X广.n:&#

24、171;nrrj n>»-AMm门yea.财务报销实时监控图4.4.解决方案与案例华能国际内控系统4. 4. 1.1.案例特点4.4.1.集中式内控治理解决方案,客户特点,业务简单华能国际,高度集权成功足失败z毎.一切都足努力的结果监察审计职能部门财务部部,案例特点独立内审人员,形成一套强有力的管 理内控处体系,利用内控系统实现了内内控测评质量控测评工作日常化分厂分厂分厂监督人员专职测评人员204.4. 1.2.系统实践业务工作模式功能实现治理模式,业务上内控处对专职测评,灵活的组织 结构定义人员的垂直治理,强大的用户治理与权限治理,定岗定责工作方法,总部内控处完成内控手册,内

25、控文档治理系统的维护,同时对测评工作进,个性化工作台行方案、指导与监督,提交,内控测评在线监控内控报告,内控工作咨询与答疑,分厂专职内控测评人员以,内控缺陷整改的实时跟踪关键限制点为重点进行全,内控总体视图与内控报告面测评,独立审计人员实施独立监督保证机制,良好的内部环境,内置工作模板库,配套的考核制度,样例库,做好培训工作,在线咨询与答疑系统4. 4. 1.3.系统价值L |也 1 ：, 1 V :mi/Z1更加标准* -* 效率更高人啣卜.人！側乩卜如卜T.1 I I Uh <1* :,质量更好L -如门j儿j 112jfj更加透明214.4.2.分布式内控治理解决方案浙江移动内控系统4.4.2. 1.案例特点,客户特点,多级治理,业务比拟复杂浙江移动财务部,案例特点内审部内控处,在内控业务开展上有创新内控工作组,灵活组建的内控工作组,利用业务部门的自测实现工作常态化地市公司地市公司地市公司,形成方案、自测、质检、整改的闭环治理,任务分派,分片测评,全局覆盖,利用内控系统实现了内控结果与过程县级公司县级公司县级公司的治理,实 现内控工作的自动化、常态化,同时要实现实时监控4. 4. 2. 2.系统实践业务工作模式功能实