目录目录目录..I1系统概述.11.1名词解释..11.2产品应用目标..11.2.1全面风险管理..21.2.2内控手册管理..21.2.3IT控制监控及报告.21.2.4风险控制评价及改进..21.3产品架构..21.4主要功能..31.4.1基础设置..31.4.2全面风险管理..31.4.3内控手册管理..51.4.4IT控制监控及报告.61.4.5风险控制评价及改进..71.5与其它产品接口..82应用流程.92.1系统应用流程图..92.2应用流程说明..103应用准备.123.1基本档案..123.2应用准备..124操作说明.144.1基础设置..144.1.1风险分类..144.1.2风险成因分类..184.1.3主要业务管理领域..224.1.4业务流程..254.1.5业务流程环节..294.1.6流程活动..334.1.7风险管理目标分类..37II目录4.1.8风险影响分类..404.1.9风险指标..444.1.10风险影响指标..474.1.11风险内控组织范围..504.1.12风险管理岗位及职责..524.2全面风险管理..544.2.1基础设置..554.2.1.1风险识别问卷模板..554.2.1.2风险评估模板..594.2.1.3风险识别周期设定..614.2.1.4风险发生可能性评估标准..624.2.1.5风险影响程度评估标准..664.2.1.6风险评估分值设置..734.2.1.7公司评估结果确认规则..744.2.2风险信息收集与管理..764.2.2.1风险识别问卷下发(集团)..764.2.2.2风险识别问卷下发(公司)..814.2.2.3风险识别..844.2.2.4风险信息审核..914.2.2.5风险信息上报..974.2.2.6风险信息审批..984.2.3风险分析与评价..1004.2.3.1固有风险评估..1004.2.3.2评估结果综合查询..1034.2.3.3评估结果审核..1054.2.3.4评估结果上报..1074.2.3.5评估结果审批..1094.2.3.6风险点排序报告..1104.2.3.7风险分类排序报告..1144.2.3.8风险点评估热图..1174.2.3.9风险分类评估热图..1224.2.3.10确认重大风险..1264.2.4风险应对方案..1284.2.4.1制定应对方案..1284.2.4.2风险控制矩阵报告..1314.2.4.3剩余风险评估..1334.2.4.4重大风险指标认定..1354.2.4.5指标区间设置..1374.2.4.6风险指标查询..1384.2.5突发重大风险管理..140目录III4.2.5.1突发风险事件快报模板..1404.2.5.2突发重大风险填报..1424.2.5.3突发重大风险查询..1484.2.6风险管理监督及改进..1514.2.6.1风险控制运行报告..1514.2.6.2控制评价及缺陷报告..1534.2.6.3缺陷改进执行报告..1564.2.7风险管理报告..1584.2.7.1重大风险评估报告..1584.2.7.2风险控制运行报告..1624.2.7.3控制评价及缺陷报告..1634.2.7.4突发重大风险报告..1664.2.7.5风险控制矩阵综合查询..1684.2.7.6风险管理综合报告..1704.3内控手册管理..1724.3.1内控体系建设..1734.3.2内控手册编制..1784.3.3内控手册审核..1914.3.4内控手册发布..1934.3.5内控手册查看..1954.3.6内控手册分配..1974.3.7内控手册对比分析..2004.3.8内控手册修改..2024.3.9内控手册版本管理..2044.4IT控制监控及报告.2054.4.1基础设置..2074.4.1.1关键用户..2074.4.1.2关键角色..2104.4.1.3关键功能..2124.4.1.4互斥设置..2144.4.2授权情况监控及报告..2164.4.2.1授权全景监控..2164.4.2.2关键用户授权监控..2224.4.2.3关键角色授权监控..2254.4.2.4关键流程授权监控..2274.4.2.5关键功能授权监控..2304.4.3特权管理与监控..2324.4.4账号实时管理与监控..2374.4.4.1离职人员权限检查报告..2374.4.4.2人员调配报告..240IV目录4.4.4.3不明身份用户账号查询报告..2434.4.5密码安全监控..2464.4.6不相容职责互斥稽核..2484.4.7访问安全日志..2524.4.7.1管理员日志..2534.4.7.2权限变更报告..2554.5风险控制评价及改进.2574.5.1流程控制测试及评价..2584.5.2IT控制测试及评价.2624.5.3控制缺陷报告..2664.5.4测试结果综合报告..2684.5.5缺陷整改执行监督..2711系统概述1.1名词解释1)全面风险管理:全面风险管理指企业围绕总体经营目标,通过在企业的各个环节和业务过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。2)风险控制:风险控制是指控制风险事件发生的动因、环境、条件等,来达到减轻风险事件发生时的损失或降低风险事件发生概率的目的。风险控制的对象一般是可控风险,包括多数运营风险,如质量、安全、环境风险,以及法律风险中的合规性风险。3)内部控制:内部控制,是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。4)IT控制:是信息技术控制的简称,是指对以下信息技术资源实施的旨在实现控制目标的过程。COBIT文件——信息技术控制目标中定义的信息技术资源,包括: 数据(Data)——指最广义(例如,表面的和内在的)的对象,包括结构化和非结构化、图表、声音等等。 应用系统(ApplicationSystems)——人工程序和电脑程序的总和。 技术(Technology)——包括硬件、操作系统、数据库管理系统、网络、多媒体等等。 设备(Facilities)——用来存放和支持信息系统的一切资源。 人员(People)——包括用来计划、组织、获取、传送、支持和监控信息系统和服务所需要的人员技能、意识和生产力。5)内部控制评价:是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。1.2产品应用目标结合上市公司及中央企业在风险、控制管理领域的应用场景、管理关注点、对信息系统的总体要求以及需求的紧迫程度等,NCV57-企业治理领域产品总体形成以下产品总体应用目标: 支持企业风险管理的全流程应用2 支持内部控制体系建设及文档管理 信息系统安全控制监控及报告 风险控制评价与改进1.2.1全面风险管理1)在全集团范围内进行风险收集、风险信息识别以及加工。2)对识别出的风险进行评估,确定各级组织的重大风险。3)对风险制定体系化的应对方案,形成风险控制矩阵。4)实施对突发重大风险的上报及管理。5)开展风险管理的监督及改进。1.2.2内控手册管理内控手册管理支持内部控制体系建设及文档管理:1)内部控制体系的建设及管理。2)内部控制手册的构成。3)内部控制手册的制定与管理。1.2.3IT控制监控及报告对于应用系统本身从访问安全控制、不相容职责自动稽核方面提供控制报告,满足IT控制的要求:1)对系统的权限体系进行检查、监控及报告。2)完成不相容职责的自动稽核及报告。3)特权用户的权限监控及报告。4)帐号实时管理与人员变动的权限检查。5)密码的管理监控。6)对系统授权操作的日志进行监控。1.2.4风险控制评价及改进对内部控制的制度建设、内部控制运行进行监督及评价。1)对内部控制设计情况进行评价。2)对内部控制运行情况进行评价。3)对缺陷进行整改并监督整改执行情况。4)对内部控制的设计和运行出具评价报告。1.3产品架构企业治理产品主要由五部分组成:基础设置、全面风险管理、内控手册管理、IT控制监控及报告、风险控制评价及改进。三应用准备31.4主要功能企业治理是使用NC系统进行全面风险管理、内部控制监控和管理的平台,它包含基础设置、全面风险管理、内控手册管理、IT控制监控及报告、风险控制评价及改进五个部分。1.4.1基础设置基础设置是开展企业治理的全面风险管理、内控手册管理、IT控制监控及报告、风险控制评价及改进的准备。主要包括以下功能: 风险分类 风险成因分类 主要业务管理领域 业务流程 业务流程环节 业务流程活动 风险管理目标分类 风险影响分类 风险指标 风险影响指标 风险内控组织范围 风险管理岗位及职责1.4.2全面风险管理全面风险管理模块支持集团企业在软件系统平台上协同开展风险的识别、风险的分析及评价、风险的应对方案制定、风险的监督与改进等各环节工作;并支持对突发重大风险的上报及管理,包括以下功能:41)基础设置基础设置部分承担全面风险管理运行所需的独立的基础数据和部分关键设置,包括以下功能: 风险识别问卷模板 风险评估模板 风险识别周期设定 风险发生可能性评估标准 风险影响程度评估标准 风险评估分值设置 公司评估结果确认规则2)风险信息收集与管理风险信息收集与管理是对风险信息的收集、加工,包括以下功能: 风险识别问卷下发(集团) 风险识别问卷下发(公司) 风险识别 风险信息审核 风险信息上报 风险信息审批3)风险分析与评价风险分析与评价是对收集的风险进行评估和分析,确认重大风险,包括以下功能: 固有风险评估 评估结果综合查询 评估结果审批 风险点排序报告 风险分类排序报告 风险点评估热图 风险分类评估热图 确认重大风险4)风险应对方案风险应对方案是对评估后确认为重大风险的风险点制定和实施应对措施,包括以下功能: 制定应对方案 风险控制矩阵 剩余风险评估 重大风险指标认定三应用准备5 指标区间设置 风险指标查询5)突发重大风险管理突发重大风险管理是对临时发生的重大风险的上报和管理,包括以下功能: 突发风险事件快报模板 突发重大风险填报 突发重大风险查询6)风险管理监督及改进风险管理监督及改进直接调引或查看IT监控报告、风险评价的结果、整改方案以及整改结果,包括以下功能: 风险控制运行报告 控制评价及缺陷报告 缺陷改进执行报告7)风险管理报告风险管理报告是提供给集团、公司管理层查看、输出风险控制运行、控制缺陷及改进、重大风险评估、突发重大风险的报告,以及风险管理综合报告和风险控制矩阵报告,包括以下功能: 重大风险评估报告 风险控制运行报告 控制缺陷及改进报告 突发重大风险报告 风险管理综合报告 风险控制矩阵综合查询1.4.3内控手册管理内控手册管理为用户提供建立企业集团内部控制体系和内部控制制度的整套工作流程和管理工具,为用户制定和推行内部控制管理规范提供便利。包括以下功能: 内控体系建设 内控手册编制 内控手册审核 内控手册发布 内控手册查看 内控手册分配 内控手册对比分析 内控手册修改 内控手册版本管理61.4.4IT控制监控及报告IT控制监控及报告实现企业对软件系统的访问安全方面进行内部控制监控和管理,包括监控系统的权限授权信息、稽核系统中的不相容职责、查询系统的授权操作日志记录等内容。系统功能主要包括以下内容:1)基础设置基础设置是进行IT控制监控时需要定义的基础性数据,包括对以下基础数据的设置: 关键用户 关键角色 关键功能 互斥设置2)授权情况监控及报告授权情况监控及报告对企业权限授权总体情况进行汇总归纳,方便企业在内控管理工作中对权限授权信息的总体监控和管理,包括以下功能节点: 授权全景监控 关键用户授权监控 关键角色授权监控 关键流程授权监控 关键功能授权监控3)特权管理与监控根据软件系统的应用特点,在系统中通常会存在一些超级用户或者系统管理员,专门对系统的初始化进行处理,或者专门对软件系统中的授权、密码规则、数据卸载、数据恢复、日志记录等进行操作和管理。由于超级用户或者系统管理员的权限高度影响应用系统的安全性,因此将该类用户称为特权用户。特权管理与监控就是对特权用户进行权限监控,从而掌握特权用户的权限信息,便于对特权用户的监督和管理。IT控制监控及报告主要对root用户、账套管理员、普通管理员三类用户进行监控。4)账号实时管理与监控当企业人员发生离职或者岗位调整时,如果不及时对其系统应用权限进行处理,则可能会给企业的信息数据安全带来巨大的隐患。因此要求当企业员工离职时,必须及时封存相关信息系统的权限。当企业员工职务变更时,必须及时变更相关信息系统的权限。IT部门应当定期检查人员权限处理的及时性。账号实施管理与监控包括以下功能节点: 离职人员权限检查报告 人员调配报告 不明身份用户帐号查询报告三应用准备75)密码安全监控用户密码,特别是一些关键用户的密码变更,从内控角度是一个特别重要的事项。一方面,对IT系统来说,如果允许管理员随意更改用户密码将会存在巨大的安全隐患,管理员盗用关键用户的密码越权处理业务将会给企业的运营带来巨大的风险;另一方面,从密码的安全性来看,如果一些用户长期保持密码不变,密码的安全性就会将低。IT控制监控及报告从密码策略分析报告和不符合密码策略的用户账号报告两个方面对密码安全进行监控。6)不相容职责互斥稽核不相容职责互斥稽核是对企业活动中互斥的职责进行稽核,从而避免生产工作中不相容职责情况的发生,防止舞弊行为。通过使用职责互斥稽核功能,能够快速做出互斥报警,使企业能够及时做出职责权限的调整,防止不相容职责的错误和弊端的发生和蔓延。7)访问安全日志访问安全日志是对授权操作完整细致的日志记录和报告,主要解决对软件系统中的管理员的操作安全的监控、保障和检查,从而与授权监控、互斥职责稽核形成完整的访问安全控制循环,包括: 管理员日志 权限变更日志1.4.5风险控制评价及改进风险控制评价及改进是对内部控制的制度建设、内部控制执行情况进行监督及评价。包括以下功能节点: 流程控制测试及有效性评价 IT控制测试及有效性评价 控制缺陷报告 测试结果综合报告 缺陷整改执行监督81.5与其它产品接口接口说明:1)企业治理产品主要与uap平台和人力资源产品进行接口。2)对于uap平台,通过权限管理中角色管理、权限分配、用户管理和资源权限控制等模块,获取与用户、角色有关的权限控制以及操作日志等信息,形成IT控制监控的数据和报告。3)企业治理产品的全面风险管理和内控手册管理模块中涉及多次审批流程,通过uap的流程平台提供的审批流定义,可完成启动审批流后的所有审批操作。4)在企业治理产品中需要与uap的基本档案接口,依赖于基本档案的信息。5)在企业治理产品的IT控制监控报告模块中,离职人员权限检查报告和人员调配报告依赖于人力资源产品中的人员基本信息、人员调配以及人员离职信息。休息一会儿…Uap平台企业治理人力资源系统基础设置基本档案流程平台权限管理业务日志人员卡片全面风险管理人员调配内控手册管理人员离职IT控制监控报告风险控制评价及改进休息一会儿…2应用流程应用流程2.1系统应用流程图2.1系统应用流程图1)全面风险管理业务流程图:1)全面风险管理业务流程图:10二应用流程2)内控手册管理业务流程图:2.2应用流程说明1)全面风险管理业务流程说明: 由集团设定风险识别周期,并制定风险识别问卷后,下发给需要进行风险收集的公司。 公司收到集团下发的问卷后,将问卷按不同的业务管理领域和业务流程分别下发给各个部门。 各部门根据公司下发的问卷内容,填写风险识别信息,并提交部门经理审核。 部门经理审核通过后的风险识别问卷直接提交到公司。 公司风险管理岗对部门的风险识别问卷进行审核和修订,形成公司汇总的风险识别问卷。 将公司风险识别问卷进行公司内部审核。 将审核通过的公司风险识别问卷上报给集团。 集团对公司风险识别问卷进行审批。三应用准备11 由集团设置风险评估模板、风险发生可能性评估标准、风险影响程度评估标准、风险评估分值设置、公司评估结果确认规则等风险评估工作的前提条件。 公司对审批通过后的风险识别信息执行固有风险评估打分,并按公司评估结果确认规则生成公司打分结果。 公司审核风险评估结果并上报集团。 集团可再次针对风险点进行固有风险评估打分,并对风险评估结果进行审批。 根据审批通过后的风险评估结果确认重大风险。 针对重大风险制定风险应对方案,并进行剩余风险评估打分。2)内控手册管理业务流程: 由集团创建一套内控体系,并根据主业务流程创建内控手册。 集团创建完成内控体系后,给各内控手册的负责人发送消息或邮件,通知各负责人开始编写内控手册。 各负责人根据企业自身的业务状况等因素,编制内控手册,并提交给集团审核。 在集团审核过程中,集团可对各个手册进行对比分析,发现手册中的一些问题,并指导手册负责人修改调整内控手册。 集团针对审核通过后的手册执行发布工作,使手册生效。 集团把发布生效后的内控手册分配给下级公司和部门,使各公司或部门按内控手册的规范进行内控管理工作。 各公司或部门查看集团分配的内控手册,并按内控手册的规范执行内控管理工作。 对于发布生效的内控手册如果发现需要调整的内容,则进行内控手册修订,修改手册内容,在修订过程中可针对手册生成新的版本号。 集团可通过内控手册版本管理查看不同版本的内控手册详情。休息一会儿…3应用准备3.1基本档案企业治理产品需要提前准备以下基本档案,包括:1)基础数据: 风险分类 风险成因分类 主要业务管理领域 业务流程 业务流程环节 流程活动 风险管理目标分类 风险指标 风险影响指标 风险内控组织范围 风险管理岗位及职责 风险识别周期设定2)标准和模板 风险识别问卷模板 风险评估模板 风险发生可能性评估标准 风险影响程度评估标准 风险评估分值设置3)关键设置: 关键角色 关键用户 关键功能 互斥设置4)基本规则 公司评估结果确认规则3.2应用准备三应用准备131)在UAP建公司档案,建公司账;2)在UAP权限管理建立用户,关联公司,分配用户节点权限;3)设置UAP消息平台。休息一会儿…4操作说明4.1基础设置功能描述在NCV57企业治理产品中,基础设置部分承担该产品运行所需的独立的基础数据,其中包括: 风险分类 风险成因分类 主要业务管理领域 业务流程 业务流程环节 流程活动 风险管理目标分类 风险影响分类 风险指标 风险影响指标 风险内控组织范围 风险管理岗位及职责名词解释1.
