流程管理：企业内控的根本

流程管理：企业内控的根本

—IDSScheer内控与全面风险管理解决方案IDSScheer中国2009年5月2成立于1984年，创始人为德国著名管理信息学教授August-WilhelmScheer博士，现任公司监事会主席董事会:

PeterGérard

（CEO兼总裁）

Dr.WolframJost

Dr.DirkOevermann

JörgVandreier1999年在德国法兰克福上市，公司股票现为德国高新技术蓝筹股TecDAX的绩优股营业收入（百万欧元）员工人数2007年:3.93亿欧元

2007年底:2992人IDSScheer公司拥有深厚的学术背景和卓越的业务绩效3IDSScheer助力中国企业的管理水平与国际接轨3爱迪斯（上海）软件有限公司ARIS软件及BPM咨询服务上海、北京、深圳分支机构所在地企业业务流程管理企业治理、风险控制和合规管理企业流程智能及绩效管理企业IT架构规划和系统选型流程驱动的SAP系统实施系统整合和SOA架构实施SAP系统优化SAP系统运维

SAP咨询服务上海（总部）、北京、深圳

分支机构所在地爱迪斯（上海）软件有限公司大量著名企业成为IDSScheer中国公司的客户5议程内控与全面风险管理面临的挑战内控与全面风险管理的信息化解决方案

12内控与全面风险管理系统应用案例介绍36企业面临的外部要求股东证券交易所内控与全面风险管理政府部门行业监管部门国资委：《中央企业全面风险管理指引》…治理结构财政部：《企业内部控制基本规范》…《萨班斯法案》《上海证券交易所上市公司内部控制指引》《深圳证券交易所上市公司内部控制指引》…《保险公司风险管理指引（试行）》《商业银行操作风险管理指引》…7上述法律法规，要求企业建立适合自身特点的管理体系战略目标报告目标合规目标经营目标资产安全内部环境公司层面业务单元子公司风险评估控制活动信息与沟通内部监督指导框架公司环境管理销售物料管理采购排产组织视图销售处理检查信用额度确定交付日期询价处理报价处理功能视图报价客户询价数据视图询价处理询价已受理询价处理完毕报价处理客户报价询价销售流程视图客户订单客户询价客户报价产品/服务视图8《基本规范》和《全面风险管理指引》的解读序号《基本规范》《全面风险管理指引》1内部环境第一章总则第七章风险管理组织体系第九章风险管理文化第十章附则2风险评估第二章风险管理初始信息3第三章风险评估4控制活动第四章风险管理策略第五章风险管理解决方案56信息与沟通第八章风险管理信息系统7内部监督第六章风险管理的监督与改进9内控与全面风险管理体系风险方案设计风险评估体系手册发布风险管理策略风险应对措施/控制活动内部环境管理企业组织结构企业目标职责分离检查在线发布监控及预警监督及改进测试任务管理统计分析缺陷分析及认定风险评价风险分析风险识别管理体系设计控制实施监督及改进离线发布信息系统一致性检查测试及记录责任签署风险管理组织企业业务流程指标监控及预警测试结果审核整改及跟踪事件收集事件分析事件认定风险事件管理事件监控10体系设计面临的挑战风险方案设计风险评估体系手册发布风险管理策略风险应对措施/控制活动内部环境管理企业组织结构企业目标职责分离检查在线发布监控及预警监督及改进测试任务管理统计分析缺陷分析及认定风险评价风险分析风险识别管理体系设计控制实施监督及改进离线发布信息系统一致性检查测试及记录责任签署风险管理组织企业业务流程指标监控及预警测试结果审核整改及跟踪事件收集事件分析事件认定风险事件管理事件监控管理要点设计符合要求的内部控制及全面风险管理体系，并根据公司内外部环境，例如组织结构、业务流程、信息系统等调整进行相应的调整和优化建立体系文件，提高体系的透明度，以确保可执行、可审计关键挑战体系文件更新，编制、审核的工作量大，版本管理难度大体系难以根据环境的变化进行及时调整和优化11控制实施面临临的挑战风险方案设计计风险评估体系手册发布布风险管理策略略风险应对措施施/控制活动内部环境管理理企业组织结构构企业目标职责分离检查查在线发布监控及预警监督及改进测试任务管理理统计分析缺陷分析及认认定风险评价风险分析风险识别管理体系设计计控制实施监督及改进离线发布信息系统一致致性检查测试及记录责任签署风险管理组织织企业业务流程程指标监控及预预警测试结果审核核整改及跟踪事件收集事件分析事件认定风险事件管理理事件监控管理要点按照体系设计计方案执行相相关控制措施施，确保设计计与执行的一一致性实施过程保留留可审计的控控制实施证据据关键挑战缺乏有效的发发布实施平台台，体系推广广实施的成本本高人工控制过多多，控制成本本高昂12体系监督及改改进面临的挑挑战风险方案设计计风险评估体系手册发布布风险管理策略略风险应对措施施/控制活动内部环境管理理企业组织结构构企业目标职责分离检查查在线发布监控及预警监督及改进测试任务管理理统计分析缺陷分析及认认定风险评价风险分析风险识别管理体系设计计控制实施监督及改进离线发布信息系统一致致性检查测试及记录责任签署风险管理组织织企业业务流程程指标监控及预预警测试结果审核核整改及跟踪事件收集事件分析事件认定风险事件管理理事件监控管理要点对体系设计和和实施的有效效性进行监督督，并出具体体系有效性的的自我评价保留体系监督督的过程资料料，以保证监监督测试过程程的可审计关键挑战体系监督工作作量大、协调调难度高，监监督成本高昂昂监督工作资料料多，整理、、统计、分析析和再利用难难度较大13导致的后果难以满足持续续合规需求难以满足不断断增加的合规要要求影响业务效率率合规成本高14美国上市公司司SOX法案遵从的经经验启示阶段1阶段2阶段3阶段4阶段5法规准备内控体系完善善人工内控测试评价价与报告实施IT系统支持内控控测试与报告告实施IT系统支持内控控文档管理流程标准化，，增强体系可可扩展性集成的全面风风险管理信息息系统：风险险评估、损失失事件库、控控制自动化等等功能应用发展阶段（时时间）15议程内控与全面风风险管理面临临的挑战内控与全面风风险管理的信信息化解决方方案12内控与全面风风险管理系统统应用案例介介绍316内控与全面风风险管理的信信息化解决方方案风险方案设计计风险评估体系手册发布布风险管理策略略风险应对措施施/控制活动内部环境管理理企业组织结构构企业目标职责分离检查查在线发布监控及预警监督及改进测试任务管理理统计分析缺陷分析及认认定风险评价风险分析风险识别管理体系设计计控制实施监督及改进离线发布信息系统一致致性检查测试及记录责任签署风险管理组织织企业业务流程程指标监控及预预警测试结果审核核整改及跟踪事件收集事件分析事件认定风险事件管理理事件监控建模模块风险评估模块块发布模块监控及预警模模块监督及改进模模块风险事件管理理模块17建模模块及发发布模块风险方案设计计风险评估体系手册发布布风险管理策略略风险应对措施施/控制活动内部环境管理理企业组织结构构企业目标职责分离检查查在线发布监控及预警监督及改进测试任务管理理统计分析缺陷分析及认认定风险评价风险分析风险识别管理体系设计计控制实施监督及改进离线发布信息系统一致致性检查测试及记录责任签署风险管理组织织企业业务流程程指标监控及预预警测试结果审核核整改及跟踪事件收集事件分析事件认定风险事件管理理事件监控建模模块风险评估模块块监控及预警模模块测试及评价模模块风险事件管理理模块发布模块18分散的体系文文档流程描述文档档风险控制矩阵阵内控测试文档档制度组织职责系统业务流程图内控文档整合合集中化1、识别业务流程中的风险2、定义降低风险的控制及控制测试风险控制控制测试3、定义内控管理相关组织岗位.风险经理控制经理测试员测试审核员统计分析功能能，协助企业业快速掌握风风险分布，进进行业务优化化例如，对不同同业务流程的的风险分布分分析2121同一套业务流流程模型，可可以维护不同同管理主题的的信息流程质量管管理信信息安全管管理信信息内控管管理信信息...22基于同同一套套业务务流程程，输输出各各种管管理主主题需需要的的报告告流程由一个个流程程自动导导出各种流流程文文档风险控控制文文档岗位职职责说说明书书质量管管理文文件23“远程建建模、、集中中管理理、统统一发发布”ARIS知识库库分析,优化和和管理理在全球球范围围，全全体员员工交流风风险管管理知知识ARIS数据库库=全面风风险管管理体体系持持续优优化的的基础础项目经经理/系统管管理员员流程和和风险险负责责人/建模员员公司范范围流流程和和风险险建模模公司全全体员员工/浏览用用户ARIS知识库库/服务器器24解决方方案的的特点点特点1：搭建建一个个业务务部门门和风风险管管理部部门共共同使使用的的知识识管理理平台台搭建涵涵盖所所有业业务范范围的的业务务流程程数据据库网络部部署及及应用用架构构，分分布建建模、、集中中管理理、网网络发发布及及浏览览，满满足大大型企企业应应用需需求基于数数据库库的、、集成成的建建模方方式，，一次次维护护、全全面共共享、、单点点维护护，提提高质质量，，降低低成本本特点2：提高高了业业务流流程和和风险险制度度管理理及宣宣贯效效率，，降低低成本本基于业业务流流程的的风险险管理理方案案，根根据实实际业业务识识别风风险，，在业业务操操作中中控制制风险险满足对对业务务流程程多种种应用用的需需求，，例如如系统统实施施、风风险控控制、、职责责管理理等多种统统计分分析功功能，，满足足业务务和风风险管管理的的决策策信息息需求求25风险评评估模模块风险方方案设设计风险评评估体系手手册发发布风险管管理策策略风险应应对措措施/控制活活动内部环环境管管理企业组组织结结构企业目目标职责分分离检检查在线发发布监控及及预警警监督及及改进进测试任任务管管理统计分分析缺陷分分析及及认定定风险评评价风险分分析风险识识别管理体体系设设计控制实实施监督及及改进进离线发发布信息系系统一一致性性检查查测试及及记录录责任签签署风险管管理组组织企业业业务流流程指标监监控及及预警警测试结结果审审核整改及及跟踪踪事件收收集事件分分析事件认认定风险事事件管管理事件监监控建模模模块风险评评估模模块发布模模块监控及及预警警模块块测试及及评价价模块块风险事事件管管理模模块26ARIS软件产产品的的风险险评估估解决决方案案发起评评估任任务风险在在线评评估风险评评价统统计分分析创建风风险评评估任任务风险评估结果审核组织风险编号风险名称风险描述相关流程影响类别发生概率风险类型影响的目标风险责任人风险认定相关文档风险类别1风险类别227对风险险评估估结果果进行行定量量、定定性分分析，，确定定重要要风险险风险经经理对对所有有的风风险评评估结结果，，进行行定量量和定定性分分析，，确定定重要要的风风险定量分分析热热图定性分分析热热图风险发生概率风险破坏性极低低平均高极高极低低平均高极高RiskManager（风险经理）28风险评评估结结果趋趋势分分析，，掌握握风险险变化化规律律对多次次评估估结果果进行行统计计分析析，掌掌握风风险变变化规规律评估日期风险发生概率趋势分析：风险发生概率最大损失发生概率平均损失发生概率最小损失发生概率RiskManager（风险经理）29解决方方案的的特点点特点1：通过过流程程信息息化，，建立立持续续的风风险评评估工工作机机制特点2：基于同同一个个平台台展现现风险险评估估结果果，全全面掌掌握风风险分分布及及风险险变化化情况况人工或或系统统自动动发起起风险险评估估任务务明确风风险评评估责责任人人固化风风险评评估流流程风险坐坐标图图，明明确公公司重重要风风险风险趋趋势图图，掌掌握风风险变变化趋趋势30风险事事件管管理模模块风险方方案设设计风险评评估体系手手册发发布风险管管理策策略风险应应对措措施/控制活活动内部环环境管管理企业组组织结结构企业目目标职责分分离检检查在线发发布监控及及预警警监督及及改进进测试任任务管管理统计分分析缺陷分分析及及认定定风险评评价风险分分析风险识识别管理体体系设设计控制实实施监督及及改进进离线发发布信息系系统一一致性性检查查测试及及记录录责任签签署风险管管理组组织企业业业务流流程指标监监控及及预警警测试结结果审审核整改及及跟踪踪事件收收集事件分分析事件认认定风险事事件管管理事件监监控建模模模块风险评评估模模块发布模模块测试及及评价价模块块监控及及预警警模块块风险事事件管管理模模块31ARIS软件产产品的的风险险信息息收集集解决决方案案损失事件报备损失事件分析及认定损失事件统计32多维度度的统统计分分析，，提高高损失失事件件管理理的应应用价价值信用风险损失信用风险金额平均损失方差本年累计损失事件数量本年累计损失金额更新损失事件事件发生时间损失金额控制减少的损失金额33解决方方案的的特点点特点1：通过过流程程信息息化，，建立立持续续的风风险事事件搜搜集机机制特点2：建立公公司统统一的的风险险事件件库，，为风风险评评估和和应对对提供供数据据支持持规范风风险事事件搜搜集的的信息息固化风风险事事件管管理流流程快速掌掌握风风险分分布，，明确确重要要风险险掌握风风险变变化趋趋势34监控及及预警警模块块风险方方案设设计风险评评估体系手手册发发布风险管管理策策略风险应应对措措施/控制活活动内部环环境管管理企业组组织结结构企业目目标职责分分离检检查在线发发布监控及及预警警监督及及改进进测试任任务管管理统计分分析缺陷分分析及及认定定风险评评价风险分分析风险识识别管理体体系设设计控制实实施监督及及改进进离线发发布信息系系统一一致性性检查查测试及及记录录责任签签署风险管管理组组织企业业业务流流程指标监控及及预警测试结果审审核整改及跟踪踪事件收集事件分析事件认定风险事件管管理事件监控建模模块风险评估模模块发布模块测试及评价价模块风险事件管管理模块监控及预警警模块风险指标监监控及预警警系统架构构ARISPerformanceDashboard报警与行行动规律结构分析,对标分析Alerts捕捉事件监监控指标标关注:实时行动关注:过去分析优化监控趋势结结构化分分析追溯原因业务事件灵活的实实时适配器器全体事件减化后的数数据大容量数据据LegacyDatabaseTechnologyApplicationTN3270MVSTN3270NetViewConsoleTN3270VMConsoleTANDEMTN6530BULLGCOS7IOFBULLGCOS8ConsoleManagerBULLGCOS8TSSVT220TerminalMinitelOracleDB2SQLServer2000SyBaseMySQLODBC

JMS

HTTPFTP

IBMWebSphereMQSOAP/XMLSNMPSMTPSocketServerWebPlayerExecutionofVBScriptandJavaScriptcodePingUDPTCPLogFileEncapsulationCircularFileWriterLogReaderStandardOutputofaperiodicallyexecutedprogramWindowsNTShellconnectionsNTLogEventconnectionsPOP3RemoteAccessService.NetSAPERPSAPEnterpriseSAPNetweaverSAPBW/BI

WebSphereWebLogicwebMethodsTibcoBMCSoftwarePatrolCA-UnicenterTNGTIVOLITECCandleOmegamonNetviewHPOpenViewCiscoIBMDirectorWhat’sUpVantageServerKeynoteTopazeNewtestOmniVision36BFS强大的数据据抽取功能能无需代理(Agent-less)技术–最小化对信信息系统的的影响基于向导–不用编码–易于配置与与维护从信息系统统中映射原原始数据到到业务对象象37风险指标监监控及预警警38事件监控事件监控（（基于预设设规则）“如果一个订订单的优先先级“很高高”，而且超过5天没人处理理”那么发送一一封邮件给给销售人员员，并通知订单单处理部门门的经理或或上级主管管123456789TimeEvents393939灵活适用于于各种信息息系统访问问权限与职职责分离的的自动化检检查工具数据收集模型信息管理制度职责分离矩矩阵模型系统控制要要求《职责分离矩矩阵》权限配置检检查访问权限检检查权限检查工工具自动检查工工具样例违反职责分分离的系统统用户违反的职责责分离内容容运行系统系统权限（（T-Code）系统角色（（ROLE)信息系统40测试及评价价模块风险方案设设计风险评估体系手册发发布风险管理策策略风险应对措措施/控制活动内部环境管管理企业组织结结构企业目标职责分离检检查在线发布监控及预警警监督及改进进测试任务管管理统计分析缺陷分析及及认定风险评价风险分析风险识别管理体系设设计控制实施监督及改进进离线发布信息系统一一致性检查查测试及记录录责任签署风险管理组组织企业业务流流程指标监控及及预警测试结果审审核整改及跟踪踪事件收集事件分析事件认定风险事件管管理事件监控建模模块风险评估模模块发布模块监控及预警警模块风险事件管管理模块测试及评价价模块41手册管理、、测试及评评价的信息息共享创建测试任任务记录测试结果与审核接受测试任任务提出建议与与改进跟踪踪测试结果统统计分析例外事项分析手册管理42实时、多维维度的统计计分析，协协助快速出出具测试报报告组织/分支机构流程/业务领域风险类别风险定义新建在处理完成控制有效控制无效不可测试控制缺陷清晰掌握控控制缺陷的的分布清晰掌握不不同业务机机构控制执执行情况System（系统管理员）43解决方案的的特点特点1：通过流程程信息化，，建立测试试及整改工工作机制，，规范了检检查工作特点2：整合了测测试过程中中所使用的的相关文档档，提高工工作效率特点3：快速、集集中、多维维度的统计计分析，提提高工作效效率和决策策质量44议程内控与全面面风险管理理面临的挑挑战内控与全面面风险管理理的信息化化解决方案案12内控与全全面风险险管理系系统应用用案例介介绍3项目背景景及挑战战挑战1：业务务流程管管理水平平低，增增加了内内控管理理的难度度，影响响内控管管理工作作的落实实基于不同同管理主主题的，，多套流流程描述述并存流程标准准化程度度较低，，业务相相同的各各业务单单元的流流程差异异较大挑战2：：内控手手册管理理难度大大，管理理成本高高昂内控手册册变更、、修订工工作量大大，效率率高低下下内控要素素的统计计分析的的工作量量大，难难以为风风险管理理决策，，提供及及时的信信息支持持项目背景景及挑战战（续））挑战3：：内控测测试组织织难度大大，测试试成本高高昂测试人员员众多，，内控测测试工作作的协调调难度大大，效率率低测试相关关文档例例如风险险控制文文档、测测试计划划表、测测试记录录表等管管理难度度较大测试结果果统计分分析工作作量大、、错误多多、效率率低测试工作作底稿归归档、查查询难度度大，难难以再利利用系统应用用架构业务建模——手册、流程、风险、控制、测试测试任务例外事项缺陷评估责任签署汇总分析内控审计测试支持

ERP系统等其他IT系统数据传输风险控制测试定义SOX测试用户角色内控手册业务流程流程监控流程报警流程绩效管理数据传输模型发布门户部署模型发布数据传输数据传输数据传输数据传输流程实施ERP蓝图配置ERP蓝图建模建立了涵涵盖公司司业务范范围的统统一的业业务流程程架构在原有股股份公司司17个一级流流程目录录基础上上，扩展展了业务务流程架架构，为为建立统统一的企企业流程程管理体体系建立立了基础础集成式的的风险和和流程建建模风险管理理目标组织结构构业务流程程关键风险险指标管管理业务控制制图风险图搭建公司司统一的的业务流流程和内内控与风风险管理理门户门户入口口部门管理理视图法律风险险管理视视图实现了内内控审计计测试工工作流程程的信息息化通过内控控审计测测试信息息化，规规范了内内控审计计测试流流程，提提高了内内控审计计的效率率，降低低了合规规成本。。在线测试试结果记记录在线测试结果统计项目收益益收益一：：实现业业务流程程的标准准化、规规范化管管理，提提高了业业务管理理水平建立了统统一的业业务流程程架构，，涵盖公公司全部部业务领领域，满满足不同同管理主主题的需需求横向上，，使一些些部门职职责交叉叉、重叠叠、缺失失的问题题得到了了适当的的解决风险点、、控制点点、业务务步骤清清晰可视视，要求求明确，，为执行行、监督