NC6内控管理解决方案

1、合规先行 监控落地 用友NC内控管理解决方案目录什么是内控管理企业应该如何应对用友内控咨询与信息化一体解决方案方案特点与价值分析典型案例国内外内控规范发展的历程回顾国内法规对内部控制概念的定义董事会负责内部控制的建立健全和有效实施。监事会对董事会建立与实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。企业成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作。内部控制的目标： 企业经营管理合法合规 资产安全 财务报告及相关信息真实完整 提高经营效率和效果 促进企业实现发展战略内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。-

2、摘自财会20087号 企业内部控制基本规范监管机构对企业内控体系建设已经提出了具体的要求2011年中国证监会主席郭树清在上海公司治理论坛上指出，监管层将进一步促进和完善公司治理。自2012年1月1日起，国家相关部委联合发布的企业内部控制规范的监管范围将由试点扩大到主板上市公司，并将在中小板和创业板上市公司择机实行。监管要求（五部委）企业内部控制基本规范企业内部控制配套指引实施范围2011年1月1日境内外同时上市的公司2012年1月1日主板上市公司择机中小板、创业板上市公司鼓励非上市大中型企业与此同时，国内不断曝光的由于内控缺失给企业带来巨大损失的典型案例，也凸显出内控体系建设的重要性中航油事件

3、-对子公司内控失效-导致巨额亏损在新加坡风光无限的陈久霖在新加坡被捕的陈久霖为什么要加强内部控制-教训-中航油事件做了国家明令禁止的事情违规交易未及时汇报母公司不闻不问为什么要加强内部控制-教训-中石油事件中石油大连分公司-内部制度执行不到位，制度设计不到位-导致安全事故事故现场处罚决定（ /11/1126/03/7JOM99TU00014JB6.html ）经查，这起事故的直接原因是： 中油燃料油股份有限公司委托上海祥诚公司使用天津辉盛达公司生产的含有强氧化剂过氧化氢的“脱硫化氢剂”，违规在原油库输油管道上进行加注“脱硫化氢剂”作业中国石油国际事业有限公司（中国联合石油有限责任公司）及其下属

4、公司安全生产管理制度不健全，未认真执行承包商施工作业安全审核制度中油燃料油股份有限公司未经安全审核就签订原油硫化氢脱除处理服务协议中石油大连石化分公司及其下属石油储运公司未提出硫化氢脱除作业存在安全隐患的意见；中国石油天然气集团公司和中国石油天然气股份有限公司对下属企业的安全生产工作监督检查不到位为什么要加强内部控制-教训-中石油事件农业银行邯郸支行现金被盗事件-内部控制缺失-导致现金被盗主犯处罚决定为什么要加强内部控制-教训-农行事件国务院调查组调查结论：邯郸农行现金被盗的结论：邯郸农行对巨额现金被盗负有推卸不了的责任：其一农行制度不严，措施不利。其二，领导高高在上，官僚主义。其三，人防、技

5、防形同虚设，害人害己。其四对职工的教育和监管不够，拜金主义恶性膨胀。其五农行企图掩盖真相,拖延报案时间.为什么要加强内部控制-教训-农行事件因此，“对外满足合规，对内提升管理”构成了企业开展内控体系建设的双重动因在当今激烈的市场竞争环境下，为提高企业经济利益，增强企业核心竞争能力，加强企业内部控制越来越显示出其不可替代的作用。 做好内部控制管理是企业可持续发展的永恒不变的有效途径，加强企业内部控制对提高企业经营管理水平、风险行为防范能力、确保企业战略目标得以实现具有重大意义。从构建合规内控为基础逐步提升企业管理能力，帮助企业持续发展数据显示世界500强企业平均寿命42岁，一般性跨国公司平均寿命

6、12岁，中国企业平均寿命9岁，中国民营企业的平均寿命2.9岁。内控部门的核心任务就是梳理风险、优化流程，从企业管理的角度打通以部门为界限的设计工作，帮助企业成为“百年老店”。以风险为导向，以控制为中心，以提升为目的以内控合规为目标控制大的风险表现为“家法家规”解决有无的问题以提升管理能力为目标将内控与日常管理结合把内控作为一个管理工具，帮助企业完成绩效指标更多的自动控制管理内控以提升内控工作价值为目标有效利用有利风险为企业各部门提供咨询服务更多的预防性控制价值内控合规内控目录什么是内控管理企业应该如何应对用友内控咨询与信息化一体解决方案方案特点与价值分析典型案例企业建设内部控制体系的路线图内控

7、梳理对标内控整改固化内控自评制定监督制度跟踪缺陷整改开展自我评价编制自评报告记录内控缺陷设计整改方案完善内控制度更新内控文件成立专属部门确定梳理范围实施风险评估整理现有制度辨识内控环节对标管理规范内控审计提供所需证据出具管理声明披露审计报告内部控制应用指引内部控制评价指引内部控制审计指引内部控制基本规范管理层持续整改/内部监督持续开展信息化建设企业在建设内部控制体系过程中关注什么？如何高效有序地建立内控体系，以合理的投入达到最好的效果？如何使得内控体系融入公司日常管理，提升管理水平，实现其对公司管理的价值？如何明确内部责任体系，提高执行力并支撑公司董事和管理层对外披露内控有效性？ 如何在合规的

8、基础上，发挥内控效能，最大程度防范风险？已开展过系统内控建设工作的企业如何持续优化？16各阶段工作方案分享内控梳理对标成立专属部门实施风险识别整理现有制度辨识内控环节对标管理规范内控梳理对标内控整改固化内控自评内控审计内控梳理对标内控的日常运行 负责内部控制的建立健全 和有效实施经理层 (各业务部门)董事会负责组织协调内控的 建立实施及日常工作对内控体系运行进行监督检查专门或适当机构内部审计机构监督内控的有效实施和内控自我评价情况审计委员会对董事会建立实施内部控制进行监督监事会内控建设&日常运行内控监督有权向董事会/审计委员会/监事会报告监督检查中发现的内控重大缺陷基本规范第十二条 董事会负责

9、内部控制的建立健全和有效实施。监事会对董事会建立与实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。 基本规范第十三条 企业应当在董事会下设立审计委员会。审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等。 审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力。基本规范第十五条 内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。 基本规范第四十条 企业应当将内部控制相关信息在企业内部各管理级次、责

10、任单位、业务环节之间，以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题，应当及时报告并加以解决。 重要信息应当及时传递给董事会、监事会和经理层。基本规范第四十五条 企业应当制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。 基本规范中内控组织结构设计的要求评价指引第四条 企业董事会应当对内部控制评价报告的真实性负责。评价指引第十三条 企业内部控制评价部门应当拟订评价工作方案，明确评价范围、工作任务、人员组织、进度安排和费用预

11、算等相关内容，报经董事会或其授权机构审批后实施。评价指引第十五条 企业内部控制评价部门应当编制内部控制缺陷认定汇总表，结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况，对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核，提出认定意见，并以适当的形式向董事会、监事会或者经理层报告。重大缺陷应当由董事会予以最终认定。评价指引第二十四条 内部控制评价报告应当报经董事会或类似权力机构批准后对外披露或报送相关部门。审计指引第三条 建立健全和有效实施内部控制，评价内部控制的有效性是企业董事会的责任。按照本指引的要求，在实施审计工作的基础上对内部控制的有效性发表审计意见，是注册会计师的

12、责任。规范指引中内控组织结构设计的要求监管要求虽然是对董事会层面形成的对内部控制的有效性对外进行披露，公司董事会应由公司总经理对其负责，而公司总经理应由下属各级管理层对其负责，各级管理层由执行内控活动的员工对其负责。所以应明确内部责任体系，支撑公司董事会对外披露内控有效性。内控组织机构设计的关键点各阶段工作方案分享内控梳理对标成立专属部门实施风险识别整理现有制度辨识内控环节对标管理规范内控梳理对标内控整改固化内控自评内控审计内控梳理对标本阶段工作的主要挑战：企业当前的组织架构设置无法满足开展内控体系建设工作的要求，需进行组织架构变更缺乏具备内部控制专业胜任能力的人才从事相关工作，导致内控部门人

13、力资源配置不充分内控部门职责分工不合理，存在独立性冲突业务部门缺乏对内部控制的知识与经验，对自身在内控体系建设项目扮演的角色认识不足各阶段工作解决方案分享内控梳理对标（续）成立专属部门实施风险识别整理现有制度辨识内控环节对标管理规范内控梳理对标内控梳理对标内控整改固化内控自评内控审计原则： 涵盖企业及其所属单位的各种业务和事项 关注重要业务单位、重大业务事项和高风险领域风险识别：应重点关注18个内部控制应用指引中所列示的风险可运用适当的风险识别工具，逐步细化风险点和管理手段各阶段工作解决方案分享内控梳理对标（续）成立专属部门实施风险识别整理现有制度辨识内控环节对标管理规范内控梳理对标内控梳理对

14、标内控整改固化内控自评内控审计本阶段工作的主要困难：缺乏风险识别方法与工具，工作难以下手缺乏统一的、量化的风险评估标准，难以有效地识别重大风险以指导内控工作的方向业务部门对风险的认识上有所偏差，与内控缺陷的概念有所混淆，从而对风险识别与评估工作产生抵触情绪各阶段工作解决方案分享内控梳理对标（续）成立专属部门实施风险识别整理现有制度辨识内控环节对标管理规范内控梳理对标 风险识别和管理工具-企业价值地图内控梳理对标内控整改固化内控自评内控审计各阶段工作解决方案分享内控梳理对标（续）成立专属部门实施风险识别整理现有制度辨识内控环节对标管理规范内控梳理对标 风险识别和管理工具企业风险地图内控梳理对标内

15、控整改固化内控自评内控审计各阶段工作解决方案分享内控梳理对标（续）成立专属部门实施风险识别整理现有制度辨识内控环节对标管理规范内控梳理对标 依托最佳实践和控制数据库进行对标梳理内部控制应用指引 访谈内容企业现有制度内控梳理对标内控整改固化内控自评内控审计各阶段工作解决方案分享内控梳理对标（续）成立专属部门实施风险识别整理现有制度辨识内控环节对标管理规范内控梳理对标内控梳理对标内控整改固化内控自评内控审计本阶段工作的主要困难：工作量繁杂庞大，在时间把控与人力资源配置方面存在困难缺乏内控梳理对标的方法与工具，无法保证辨识控制活动的有效性及完整性对内控规范的解读不足，致使对标梳理工作难以达到合规要求

16、缺乏管理最佳实践经验，在满足合规要求的基础上难以进一步满足管理提升的目的各阶段工作解决方案分享内控整改固化记录内控缺陷设计整改方案完善内控制度更新内控文件内控整改固化 建立内部控制缺陷认定汇总表 记录内部控制缺陷成因、表现形式和影响程度 以控制目标为核心，打破部门和流程局限，设计适合企业运营特点的整改方案 明确整改责任部门与责任人 明确整改完成期限 追踪整改进度 保留整改证据内控梳理对标内控整改固化内控自评内控审计各阶段工作解决方案分享内控整改固化记录内控缺陷设计整改方案完善内控制度更新内控文件内控整改固化内控梳理对标内控整改固化内控自评内控审计本阶段工作的主要困难：高级管理层对于内控工作的宣

17、贯不足，业务部门对内控工作存在误解，不愿暴露自身存在的缺陷难以发现日常工作中形成的、已成为惯例的流程中潜在的内控缺陷对于已识别的内控缺陷，缺乏定性及定量的分析方法，确定对企业带来的影响程度对于已识别的内控缺陷，尤其是存在客观制约因素的缺陷，难以制定出合理有效的整改方案对于整改时间进度上的把握过于宽松各阶段工作解决方案分享内控整改固化（续）记录内控缺陷设计整改方案完善内控制度更新内控文件内控整改固化 内部控制手册、业务流程图与流程文件内控梳理对标内控整改固化内控自评内控审计各阶段工作解决方案分享内控整改固化（续）记录内控缺陷设计整改方案完善内控制度更新内控文件内控整改固化内控梳理对标内控整改固化

18、内控自评内控审计31本阶段工作的主要困难：内控工作中涉及流程图、控制矩阵、不相容职责表等文档，专业化程度较高且工作量较大对于初次进行内控体系建设工作的企业，容易出现“三板斧”的现象，即在初步工作完成后未定期进行复核、评估、更新的工作，未能形成长期的、固化的内控工作机制各阶段工作解决方案分享内控自评制定监督制度跟踪缺陷整改开展自我评价披露自评报告内控自评 制定监督制度、明确监督活动外部监督内部审计监督持续监督监督主体工作内容政府、外部审 计师等公司内部审计监督各业务系统 日常监督内控鉴证监管检查专项内部控制评价内部控制缺陷整改跟踪按内部控制制度自我监督内控梳理对标内控整改固化内控自评内控审计各阶

19、段工作解决方案分享内控自评制定监督制度跟踪缺陷整改开展自我评价披露自评报告内控自评内控梳理对标内控整改固化内控自评内控审计制定评价工作方案组成评价工作组实施现场测试认定控制缺陷汇总评价结果编报评价报告33各阶段工作解决方案分享内控自评制定监督制度跟踪缺陷整改开展自我评价披露自评报告内控自评内控梳理对标内控整改固化内控自评内控审计34本阶段工作的主要困难：对于上一阶段中发现的内控缺陷整改情况未形成跟踪机制，使缺陷整改流于形式对内控自我评价的流程与方法了解不足，难以满足企业内部控制评价指引中的相关要求各业务部门对内控自评工作带来的额外工作量存在抵触情绪，对测试工作不够重视、执行存在随意性未能及时、

20、恰当地披露自评报告，违反合规要求各阶段工作解决方案分享内控审计 企业应提供详尽的以下信息将有利于注册会计师省时高效的完成内部控制审计 与企业相关的风险 相关法律法规和行业概况 企业组织结构、经营特点和资本结构等相关重要事项 企业内部控制最近发生变化的程度 相关制度政策及内部控制文档 已注意到的内部控制缺陷 与内部控制有效性相关的证据 自我评价工作底稿提供所需证据出具管理声明披露审计报告内控审计内控梳理对标内控整改固化内控自评内控审计35各阶段工作解决方案分享内控审计 管理声明的内容应包括 企业董事会认可其对建立健全和有效实施内部控制负责 企业已对内部控制的有效性作出自我评价，并说明评价时采用的

21、标准以及得出的结论 企业没有利用注册会计师执行的审计程序及其结果作为自我评价的基础 企业已向注册会计师披露识别出的所有内部控制缺陷，并单独披露其中的重大缺陷和重要缺陷 企业对于注册会计师在以前年度审计中识别的重大缺陷和重要缺陷，是否已经采取措施予以解决 企业在内部控制自我评价基准日后，内部控制是否发生重大变化，或者存在对内部控制具有重要影响的其他因素提供所需证据出具管理声明披露审计报告内控审计内控梳理对标内控整改固化内控自评内控审计36各阶段工作解决方案分享内控审计提供所需证据出具管理声明披露审计报告内控审计内控梳理对标内控整改固化内控自评内控审计37本阶段工作的主要困难：对内控审计的理解不足

22、，未在前期进行充分准备，导致被出具有保留意见的审计报告缺少审计资料或工作底稿企业内部控制体系建设成功的关键因素38目录什么是内控管理企业应该如何应对用友内控咨询与信息化一体解决方案方案特点与价值分析典型案例集团企业全面风险与内控管理的常见问题2、风险管理和内控管理流程难以长期坚持 涉及全员，流程复杂，手工难以控制1、缺乏全面风险与内控管理运作体系 多种经济、贸易、会计、税务、劳务制度4、风险控制评价工作量巨大，增加管理成本 手工进行控制点进行样本测试，并进行后续的改进监督测试，造成相关人员工作量巨大，难以满足内部管理需要3、风险与内控管理业务孤立运作 基本处于手工独立运作，与日常业务系统无关联

23、5、风险管理和内控报告输出困难 面向多个监管部门的不同要求，管理报告占用大量编制时间和成本方案总体应用目标融合内部管理目标形成内控三道防线CEO(管理层）第三道防线第二道防线第一道防线业务部门董事会风险管理内部审计业务部门审计委员会风险管理委员会添加标题风险收集识别分析风险评估管理策略应对方案监督与评价风险控制实施方案手册制订手册审核手册发布手册发放测评改进实施审计审计报告审计处理决定审计复审审计计划信息系统风控内审动态循环一体化应用满足外部合规要求相关标准政策法规SOX企业内控基本规范企业内控应用指引企业内控评价指引企业内控审计指引COSOISO38500ISO27000COBITITSS内

24、控体系建设项目实施路线图内控梳理对标内控整改固化内控自我评价外部审计、董事会报告及持续运行项目启动阶段信息化建设风险内控管理工作持续开展确定梳理范围实施风险评估整理现有制度辨识内控环节对标管理规范记录内控缺陷设计整改方案完善内控制度更新内控文件发布内控手册制定监督制度开展评估测试跟踪缺陷整改开展自我评价出具自评报告进行模拟审计提供所需证据出具管理声明披露审计报告持续运行改进确立项目目标成立专属部门进行前期培训统一工作方法确定工作计划第一道防线第二道防线第三道防线内部环境管理企业目标组织架构业务流程制度管理风险识别风险收集风险分析风控方案设计风险管理策略风险控制矩阵风险评估风险评价重大风险认定风

25、控手册制订版本管理监控及预警 安全监控业务流程监控发布指标监控及预警突发事件监控监督及改进测试自评缺陷分析及认定自评计划整改及跟踪统计分析报告管理治理绩效管理计划管理项目管理审计作业审计方案审计报告审计底稿审计整改审计问题审计工具数据抽样数据分析经营指标预警审计方法预警档案管理审计系统业务系统管理体系设计控制实施监督改进人力资源资金管理采购业务资产管理担保管理销售管理财务管理知识库内控体系将与企业自身的业务流程体系和审计流程体系相关关联，构成企业风险防范的“三道防线”第一阶段：项目启动与计划阶段项目阶段项目启动与计划阶段内控梳理对标阶段内控整改固化阶段内控自我评价阶段接受外部审计、董事会报告及

26、持续运行阶段建立内控体系建设联合项目组，定义项目职责分工进行定量定性的专业分析，确定项目具体工作范围并搭建业务流程总体框架确定及细化项目推进计划参加启动大会并对项目组成员进行内控相关知识培训结合业务流程总体框架，识别出与关键风险对应的重大业务流程编制项目交付品模板建立内控体系建设联合项目组共同参与制定项目小组工作职责和项目日常管理制度 提供范围确定所需要的资料项目小组成员参与讨论、审核项目总体范围和推进具体计划协调安排项目启动会相关事宜协调、安排相关人员接受访谈 对用友的工作成果进行及时反馈联合项目小组成员名单及联络表风险调查问卷访谈计划访谈提纲访谈纪要业务流程总体框架项目推进具体计划 启动会

27、材料项目交付品模板主要工作内容需亚太科技配合事项工作成果集团企业内控部门的基本职责制定及优化公司的内部控制流程、政策、方法及执行标准；组织并执行公司的内部控制工作，帮助各部门、下属子公司及控股公司现场规范相关的业务流程及操作规程；负责制定及优化公司总部、下属子公司及控股公司风险评估体系；帮助管理层鉴别公司总部、下属子公司及控股公司管理上存在的风险；负责协调公司的内部控制自我评估项目，确保公司的有效控制达到管理层的控制目标； 1) 协助流程及控制实施人制定无效控制的补救计划，及跟踪计划，确保无效控制得以控制并转为有效； 2) 给流程及控制实施人提供关于内控方面的培训，建立及维护内部控制、自我评估

28、、测试模板及工具，文件存档标准，及管理证明； 3) 检查各控制实施人的自我测试工作效果，包括测试样本，测试文件的归档等。 负责检查公司总部、下属子公司及控股公司相关运营、财务、人事等业务政策及流程情况；负责平衡内部控制的要求与实际的业务发展的冲突，参与其他与内部控制相关的工作。建立组织指责体系风险评估控制活动方案内部评价与改进监督与报告建立内控管理组织与岗位体系集团可以根据行业、地域不同建立多个内控组织范围；建立标准的岗位与职责分工；建立组织指责体系风险评估控制活动方案内部评价与改进监督与报告对集团内部各层级的风险加以识别支持集团全面风险管理问卷的设计、下发与信息上报管理。建立组织指责体系风险

29、评估控制活动方案内部评价与改进监督与报告实现集团多级风险评估管理支持多层级多部门风险评估运作机制；支持风险评估标准与模型建立；支持评估结果自动选取标准建立组织指责体系风险评估控制活动方案内部评价与改进监督与报告重要风险认定与评估结果分析支持风险排序与重大风险确定管理；支持集团级风险评估审核与上报管理；支持多宗风险评估结果热图分析第二阶段：内控梳理对标阶段项目阶段项目启动与计划阶段内控梳理对标阶段内控整改固化阶段内控自我评价阶段接受外部审计、董事会报告及持续运行阶段结合企业内部控制基本规范和配套指引，组织对高级管理层、业务流程负责人访谈，形成风险控制矩阵对发现的内部控制缺陷，提出整改方案分析各流

30、程的管控现状和整改需求协助安排与相关人员的访谈协助与相关人员进行缺陷问题的沟通及时安排对用友出具的流程改进意见的审阅工作并进行反馈和讨论公司层面及业务流程层面风险控制矩阵流程描述流程图流程内控设计缺陷汇总表及管理建议书阶段性汇报材料主要工作内容需贵公司配合事项工作成果建立企业内控体系和流程标准支持跨公司的业务流程定义；支持业务流程在不同的子集团、公司存在不同的业务环节；集团内部不同行业执行不同的业务流程标准建立组织指责体系风险评估控制活动方案内部评价与改进监督与报告形成风险控制矩阵和相关流程制度针对集团各公司的业务，编制对应的内控手册，包括业务目标、可能产生的风险、各个流程环节设置哪些控制点；

31、控制对应的监督检查方法，实施的业务部门和监督部门；该业务流程相关的各种图表、流程图、制度等资料。建立组织指责体系风险评估控制活动方案内部评价与改进监督与报告内部控制穿行测试根据内控措施中要求的监督部门和业务部门，进行多次控制措施的自我评测；建立组织指责体系风险评估控制活动方案内部评价与改进监督与报告第三阶段：内控整改固化阶段项目阶段项目启动与计划阶段内控梳理对标阶段内控整改固化阶段内控自我评价阶段接受外部审计、董事会报告及持续运行阶段- 提供内控缺陷报告与流程负责人讨论缺陷报告的初稿，修改缺陷报告并定稿确定并下发整改计划根据用友提出的管理建议进行整改监督整改的落实情况确认内部控制手册管理建议书

32、内部缺陷报告阶段性汇报材料主要工作内容需贵公司配合事项工作成果根据内部控制点测试报告进行整改跟踪业务部门的整改进度和效果；分析风险控制的执行效果确定后的控制矩阵和相关资料形成内控手册经过审核后的内控手册由集团统一发布，形成版本信息；允许不同公司针对同一个业务流程采用不同的控制和监督方法，体现各自的管理特色。建立组织指责体系风险评估控制活动方案内部评价与改进监督与报告第四阶段：内控自我评价阶段项目阶段项目启动与计划阶段内控梳理对标阶段内控整改固化阶段内控自我评价阶段接受外部审计、董事会报告及持续运行阶段设计控制测试模板编写内控测试指导手册提供内控运行测试方法培训 在公司对各环节内部控制进行抽样测

33、试过程中，给予充分的技术支持根据内控运行缺陷，提出整改建议拟定内控自我评价报告确认内控测试指导手册 组织安排测试人员 协调各部门流程责任人对测试发现的缺陷进行确认确认整改方案监督整改方案执行情况确认内控自我评价报告测试指导手册内部控制测试底稿内部控制测试培训材料控制测试结果内控自我评价报告阶段性汇报材料主要工作内容需贵公司配合事项工作成果集团多层级内部控制的自我评价根据内控措施中要求的监督部门和业务部门，进行多次控制措施的自我评测；分析风险控制的执行效果。建立组织指责体系风险评估控制活动方案内部评价与改进监督与报告信息系统安全监控全景权限监控关键用户权限监控关键角色权限监控关键功能权限监控关键

34、流程权限监控权限监控系统管理员权限集团管理员权限普通管理员权限特权监控离职人员帐号监控调配人员帐号监控不明身份人员帐号监控密码设置策略监控密码修改监控事前控制：控制互斥职责授权事后监控：反应互斥职责稽核 结果互斥职责稽核密码安全监控系统管理员授权监控集团管理员授权监控普通管理员授权监控授权监控账号实施管理监控应用信息系统提供持续有效的信息系统安全监控建立组织指责体系风险评估控制活动方案内部评价与改进监督与报告支持内控IT审计对于信息化系统的控制要求密码策略分析报告；权限变更报告；关键授权监控报告；实现系统控制的业务职责分离检查根据内控职责分离要求，通过IT风险监控系统的对人员的授权合理性进行判

35、断；建立组织指责体系风险评估控制活动方案内部评价与改进监督与报告定期修订内控手册，与时俱进根据评价的结果，修订相关的内控手册，形成新的版本；不同版本之间可进行对比分析；不同业务流程也可进行对比分析。建立组织指责体系风险评估控制活动方案内部评价与改进监督与报告第五阶段：接受外部审计、董事会报告及持续运行阶段项目阶段项目启动与计划阶段内控整改固化阶段内控自我评价阶段接受外部审计、董事会报告及持续运行阶段内控梳理对标阶段主要工作内容需贵公司配合事项工作成果协助公司与外部审计师沟通对2012年内部控制工作开展情况进行总结，编制内控总结汇报材料对2013年内部控制工作进行规划，制定工作规划方案对2012

36、年内控项目总结报告进行沟通确认对2013年内控项目规划方案进行沟通确认本年度内控工作总结汇报材料下年度内控工作规划方案内控审计平台实现与外部审计的对接目录什么是内控管理企业应该如何应对用友内控咨询与信息化一体解决方案方案特点与价值分析典型案例特点1体现不同集团管控模式下的内控管理体系特点NCv6企业建模的优势，适用于不同管控模式下的内控管理特点运营管控型集团对内控一统到底，个性化程度低存在集团内跨组织流程统一制定内控手册的相关内容，下属单位执行一套内控体系，并入一个内控组织范围管理。风险监管事件和指标的内容按照重要性原则设计；监管重大突发风险战略管控型集团实行一套总分式的内控体系，即总部规范部

37、份流程，分子公司制定部份内控规则；存在全局式跨集团流程；按照内控业务的特性可以形成多个内控组织监管重大突发风险，其余指标按照职能层级设计财务管控型集团内间隔多个子集团内控体系，可以按照行业、股权关系等划分，彼此不考虑共同标准内控流程；几乎不存在跨集团的流程；集团总部只考虑监管突发重大风险事件和指标特点2IT自动监控满足上市公司IT审计要求访问安全性密码策略权限分配矩阵、变动审批、双人授权等；超级用户限制，多级授权职责授权分离检查体现不相容职责分离原则与NC授权的自动关联，形成检查；外部审计机构关注重点，防范人员变动引发的授权危机异常监控与HR人员档案和变动联系，自动提供预警日志记录（引申ora

38、cle插件，实现IT追踪审计）关键风险岗位、职能、流程的授权监控特点3客户化的IT自动测评（深入业务细节）参数与计算方法控制变动记录与报告历史影响预估流程与规则控制变动记录与报告例外报告与追溯分析关键数据控制参考预算管理的内控审计线索参考主数据审计信息和审批功能异常数据监测根据控制矩阵中的监督方法和异常数据定义进行查询非法数据筛选特点4基于应用集成的风险信息监控风险指标与重大事件监控重大突发风险管理风险指标预警企业安保监控企业CRM客户投诉企业经法管理法律诉讼企业内部举报/纪检管理用友内控咨询与信息化一体解决方案价值构建体系（事前）完善企业内控管理体系，满足合规监管要求构建内控组织、人员和作业流程的集中管控平台内控常态化（事中）将风险内控管理与业务管理相融合，促进内控常态化实现风险识别、评估和应对控制的流程化、标准化管理管理优化（事后）通过内控自测和系统自动监控，提高内控执行的监管效率内控测试数据分析与报告，推进内控持续优化目录什么是内控管理企业应该如何应对用友内控咨询与信息化一体解决方案方案特点与价值分析典型案例项目背景