NC5.7产品培训---企业冶理产品用友软件股份有限公司2011年05月25日提纲一.产品概述背景应用架构二.应用准备三.产品讲解产品概述---背景国际背景2002年美国因为安然事件出台了《上市公司会计改革和投资者保护法》简称《萨班斯-奥克斯利法案》。萨班斯法案,对美国公司加强企业财务报告责任,管理层对内部控制的评价等重要方面做出了硬性的规定,该法案对已经在美国上市的公司和拟在美国上市公司做出了同样的要求。产品概述---背景国内背景2008年6月28财政部、证监会、审计署、银监会、保监会联合发布的《企业内部控制基本规范》,于2009年7月1日首先在上市公司范围内施行,并鼓励非上市的其他大中企业执行。企业内部控制配套指引2011年1月1日,在境内外上市公司实行,2012年1月1日在上交所、深交所主板实行。《企业内部控制应用指引》、《企业内部控制评价指引》、《企业内控制审计指引》、连同此前发布的《企业内容控制基本规范》,标志适应我国企业实际情况、融合国际先进经验的中国企业内部规范体系基本建成。产品概述---策略上市公司+中央企业:在应对法规过程中,既需要咨询公司的咨询服务,也需要有软件的支持。注意:提供内控及风险管理软件平台;而不是咨询服务。产品概述---功能介绍企业冶理产品是NC57产品中一款全新的产品。企业冶理产品是为企业集团风险管理和内容控制工作提供解决方案。解决用户关于风险管理、内部控制、信息系统安全监控以及风险监督与评价等多方面的需求。产品应用架构企业治理产品全面风险管理内控手册管理IT控制监控及报告风险控制评价及改进风险识别风险分析与评价风险应对方案风险监督与改进风险管理报告突发重大风险管理内控体系管理内控手册维护手册查询手册对比分析授权监控特权管理不相容职责稽核访问安全日志审计线索内控自评缺陷统计分析缺陷整改监督及报告全面风险管理系统(RM)风险信息收集与管理风险分析风险评价(测量对目标的影响)风险应对方案风险监督与改进风险管理报告经营风险管理风险财务风险战略风险…….风险to组织风险to流程风险to目标…….评测模型风险评估评估报告风险接受风险规避风险降低……执行监督执行改进监督关键风险指标监督评估报告风险应对运行报告控制缺陷管理改进报预警报告突发风险快报突发重大风险管理风险事件快报应对方案归入历史事件全面风险管理系统总体架构内部手册管理应用架构业务流程分类业务流程档案业务活动档案基础数据内部控制体系建设选择业务流程指定主流程创建内部控制手册流程环节针对每个主流程创建手册控制目标业务风险控制点监督检查方法业务流程图相关制度目录主要控制点相关资料挂接附件对比分析手册审核手册发布手册分配按组织分配手册查询手册修订编制内部控制手册修改内部控制体系下发遵循性下发共享性下发内部控制手册管理对比分析访问安全监控IT系统设置及信息导入业务流程业务活动关键角色/用户关键功能系统授权情况监控报告关键用户授权监控关键功能授权监控关键流程授权监控关键角色授权监控帐号实时管理与监控特权管理与监控密码安全监控审计线索查询报告审计线索设置审计线索查询及报告审计线索安全性监督审计线索的分类处理IT应用系统NCERPOA系统其它ERP系统Portal……审计线索记录系统不相容职责互斥稽核不相容职责互斥稽核稽核结果报告互斥职责IT监控应用架构风险控制评价及改进流程控制测试及有效性评价IT控制测试及有效性评价设计评价运行评价设计评价运行评价控制缺陷报告测试结果综合报告缺陷整改执行监督控制活动描述(即控制点描述)测试类型测试结果类型测试过程中发现缺陷:缺陷编码、缺陷名称缺陷描述严重程度问题产生的原因可能存在的潜在影响建立的整改方案整改责任人整改完成时间提纲一.产品概述二.应用准备三.产品讲解应用准备---基础设置业务流程环节业务流程主要业务管理领域风险成因分类风险分类基础设置流程活动风险管理目标分类风险影响分类风险指标风险影响指标风险内控组织范围风险管理岗位及职责黄色背景为公司集团共有基础设置---风险分类基础设置---风险分类基础设置---主要业务管理领域基础设置---业务流程基础设置---业务流程基础设置---业务流程只支持一级流程;流程负责人:可多选,也是内控手册负责人,只有手册负责人才可编制手册;流程类型:分IT流程与普通业务流程,公司风险控制评价及改进中才能看到;是否主流程:内控手册编写针对主流程进行;是否关键:IT监控报告中关键流程监控;是否跨公司:跨公司业务,公司才可选;基础设置---业务流程环节基础设置---流程活动基础设置---流程活动基础设置---流程活动基础设置---风险管理目标分类——增加到二级,在内控手册中指定业务目标对应分类风险影响分类——增加到二级,风险识别问卷及在风险评估标准中用到;风险指标——在风险成因基础上,在成因分类上有哪些风险指标,为风险识别问卷作准备;风险影响指标——与风险指标类似,也是识别问卷用到;基础设置---风险控制组织范围基础设置---风险管理岗位及职责基础设置---风险管理岗位及职责基础设置---风险管理岗位及职责提纲一.产品概述二.应用准备三.产品讲解全面风险管理内控手册管理IT控制监控及报告风险管理评价及改进全面风险管理风险分析与评价风险管理监督及改进突发重大风险管理风险信息收集与管理风险应对方案风险管理报告基础设置全面风险管理---基础设置全面风险管理---基础设置全面风险管理---基础设置全面风险管理---基础设置全面风险管理---基础设置全面风险管理---基础设置全面风险管理---基础设置全面风险管理---基础设置全面风险管理---风险收集与管理制定风险识别问卷设定风险识别周期下发风险识别问卷到公司下发风险识别问卷到部门审核部门问卷下发风险识别问卷到部门部门内部审核公司调整风险识别信息公司内部审核上报审批全面风险管理---风险收集与管理风险信息上报风险信息审核风险识别风险识别问卷下发(公司)风险识别问卷下发(集团)风险信息收集与管理风险信息审批全面风险管理---风险收集与管理全面风险管理---风险收集与管理全面风险管理---风险收集与管理全面风险管理---风险收集与管理全面风险管理---风险分析与评价风险评估模板风险发生可能性评估标准风险影响程度评估标准评估结果审核固有风险评估上报审批风险评估分值设置公司评估结果确认规则确认重大风险集团进行固有风险评估全面风险管理---风险分析与评价评估结果审批评估结果上报评估结果审核评估结果综合查询固有风险评估风险分析与评价风险点排序报告风险分类排序报告风险点评估热图风险分类评估热图确认重大风险全面风险管理---风险分析与评价全面风险管理---风险分析与评价全面风险管理---风险分析与评价全面风险管理---风险分析与评价全面风险管理---风险分析与评价全面风险管理---风险分析与评价全面风险管理---风险分析与评价全面风险管理---风险分析与评价全面风险管理---风险应对方案制定应对方案建立重大风险与内控措施的对应关系剩余风险评估评估结果审核重大风险指标认定指标区间设置完成评估打分工作风险指标风险识别全面风险管理---风险应对方案全面风险管理---风险应对方案全面风险管理---风险应对方案全面风险管理---风险应对方案全面风险管理---风险应对方案全面风险管理---风险应对方案全面风险管理---突发重大风险管理突发风险事件快报模板突发重大风险填报上报突发重大风险评估突发重大风险应对突发重大风险查询全面风险管理---突发重大风险管理全面风险管理---全面风险管理综合报告风险控制运行报告重大风险评估报告缺陷改进执行报告控制评价及缺陷报告风险控制运行报告风险管理监督及改进控制评价及缺陷报告突发重大风险报告风险控制矩阵综合查询风险管理综合报告风险管理报告内控手册管理-应用流程内控体系建设创建内控手册内控手册编制内控手册审核内控手册对比分析内控手册发布内控手册分配内控手册查看内控手册修订内控手册版本管理内控手册管理---内控手册体系建立内控手册管理---内控手册编制内控手册管理---内控手册分配内控手册管理---内控手册对比分析IT控制监控及报告-应用架构基础设置业务流程流程活动互斥职责关键用户关键角色关键功能授权监控授权全景查询关键用户授权监控关键角色授权监控关键流程授权监控关键功能授权监控密码安全监控访问安全日志管理员日志权限变更报告关键流程权限管理职责互斥稽核对流程活动中不相容职责进行稽核审查,发现企业权限配置方面的漏洞帐号实时管理与监控离职人员权限检查报告特权管理与监控人员调配报告不明身份用户账户报告关键用户授权监控角色信息用户权限树关键角色授权监控用户信息角色权限树关键流程授权监控用户信息角色信息功能信息关键功能授权监控用户信息角色信息生成报告生成报告生成报告生成报告IT控制监控及报告--关键信息授权监控IT控制监控及报告---授权全景监控IT控制监控及报告---关键用户授权监控IT控制监控及报告---关键流程授权监控执行稽核稽核结果正常错误互斥错误详情互斥详情职责互斥稽核报告IT控制监控及报告---职责互斥稽核业务流程流程活动互斥设置审批通过提交IT控制监控及报告---职责互斥稽核IT控制监控及报告---特权管理与监控IT控制监控及报告---账号实时管理与监控IT控制监控及报告---不明身份用户账号查询IT控制监控及报告---密码安全策略访问安全日志中管理员日志将负责在系统中授权的系统管理员的行为准确完整地记录下来,从而从第一个控制环节保证系统授权的安全性。系统维护开启记录管理员操作权限管理员日志操作时间管理员用户名事件类型权限操作日志权限管理员日志报告IT控制监控及报告---管理员日志对权限变更操作的有痕迹记录。提供系统权限设置的安全监督机制,使具有权限操作的人员谨慎的进行授权操作,并避免其进行舞弊。系统维护设置明细级别开启日志系统角色新增系统用户新增用户变更角色角色授权变更系统角色新增报告系统用户新增报告用户变更角色报告角色授权变更报告IT控制监控及报告---权限变更报告风险控制评价及改进---应用流程流程控制测试及有效性评价IT控制测试及有效性评价控制缺陷报告测试结果综合报告缺陷整改执行监督风险控制评价及改进---流程测试及有效性评价风险控制评价及改进---控制缺陷报告风险控制评价及改进---控制缺陷报告风险控制评价及改进---测试结果综合报告
