【正文】 ..............................................................6 企業(yè)全面風險和內(nèi)控體系建設(shè)思路...............................................................................6 路徑一：先風險后內(nèi)控............................................................................................7 路徑二：先內(nèi)控后風險............................................................................................7 標準的風險內(nèi)控體系建設(shè)步驟................................................................................7 機構(gòu)設(shè)立和計劃階段............................................................................................8 辨識風險/記錄風險內(nèi)部控制缺陷階段...............................................................8 設(shè)計缺陷整改/健全內(nèi)部控制階段.......................................................................9 監(jiān)督風險/內(nèi)控措施有效執(zhí)行階段.....................................................................10 董事會報告及披露階段......................................................................................11 5 企業(yè)全面風險/內(nèi)控管理對信息化系統(tǒng)的要求............................................................11 用友NC全面風險與內(nèi)控管理解決方案......................................................................13 本解決方案的應(yīng)用架構(gòu)..........................................................................................13 實現(xiàn)集團級風險管理的全流程管理平臺..............................................................15 風險管理系統(tǒng)流程..............................................................................................15 實現(xiàn)多級風險信息收集管理..............................................................................15 支持多種評估標準和模型管理..........................................................................17 實現(xiàn)風險指標監(jiān)控、自動預警..........................................................................19 6 實現(xiàn)風險應(yīng)對管理..............................................................................................20 記錄風險控制的評價與改進..............................................................................21 實現(xiàn)風險控制的監(jiān)督與報告..............................................................................22 實現(xiàn)COSO全面風險綜合架構(gòu)，與內(nèi)控體系整合...............................................23 通過風險應(yīng)對方案建立與內(nèi)控體系的聯(lián)系......................................................23 通過內(nèi)控系統(tǒng)完成與業(yè)務(wù)系統(tǒng)運作管理的結(jié)合..............................................25 通過內(nèi)控審計評測，驗證風險管理方案的有效性..........................................26 實現(xiàn)對業(yè)務(wù)系統(tǒng)的自動監(jiān)控..................................................................................28 構(gòu)建IT系統(tǒng)安全控制監(jiān)控平臺.........................................................................28 實現(xiàn)對業(yè)務(wù)系統(tǒng)關(guān)鍵流程的自動檢測..............................................................30 建立集團級高性能、柔性開放平臺......................................................................31 構(gòu)建系統(tǒng)整合平臺，風險信息門戶..................................................................31 高效率、個性化柔性擴展開發(fā)平臺..................................................................33解決方案的價值.............................................................................................................34 實現(xiàn)全面風險與內(nèi)控管理，提高企業(yè)競爭能力..............................................35 快速遵從財政部、國資委相關(guān)管理條文要求..................................................35 快速遵從SOX法規(guī)要求.....................................................................................35 走向世界的中國企業(yè)面臨巨大風險 案例一：10月25日，中國鐵建公告稱其承建的沙特輕軌項目因?qū)嶋H工程數(shù)量比簽約時預計工程量大幅增加等原因。此事件凸顯公司在海外工程項目的管理短板。實際去年就已經(jīng)傳出這個消息，TCL也立刻引起警覺，謀劃對策?！? 案例三：諾西收購摩托羅拉受阻，華為訴訟初步勝利在美國市場備受阻撓的中國最大電信設(shè)備供應(yīng)商華為，終于贏得了一次階段性的勝利。這意味著華為在美國的各種官司將長期糾結(jié)，為此，華為公司也預備計提5億美金的訴訟費用。超過半數(shù)的受訪企業(yè)稱已經(jīng)建立應(yīng)對重大風險的基本流程，但仍需要進一步完善。接近30%的企業(yè)只針對部分重要流程建立了監(jiān)督與報告程序。 全面風險管理與內(nèi)部控制管理分離獨自運作體現(xiàn)在企業(yè)中經(jīng)常把全面風險管理與內(nèi)部控制管理進行分離，兩套組織班子，兩套工作流程。 風險管理和內(nèi)控管理報告輸出困難目前，中央到地方國資委，各地政府分管上市工作的部門，以及證交所、證監(jiān)會等多家機構(gòu)，都要求企業(yè)建立健全全面風險和內(nèi)部控制管理體系，并能按時按要求提供相應(yīng)的內(nèi)部和外部審計報告，同時要求按照各自的樣板格式內(nèi)容進行提報，造成相關(guān)企業(yè)的管理人員必須 企業(yè)全面風險和內(nèi)控體系建設(shè)思路根據(jù)COSO委員會在1992年公布的《內(nèi)部控制—綜合框架》（也稱“COSO內(nèi)部控制框架”），以及2004年提出內(nèi)部控制向全面風險管理轉(zhuǎn)變，出臺了《全面風險管理—綜合框架》。這種建設(shè)路徑相對成本較低，但是容易受到主觀判斷導致部分重要的內(nèi)控領(lǐng)域被忽略，而提高突發(fā)重大風險發(fā)生的可能性。因此本方案提供一個標準的體系建設(shè)步驟： 機構(gòu)設(shè)立和計劃階段a)成立專門職能部門（檢查監(jiān)督部門），定義監(jiān)督檢查部門職責分工； b)確定項目計劃以建立/完善公司的內(nèi)部控制； c)梳理現(xiàn)有內(nèi)部管理政策/制度，明確權(quán)責分配； d)制定可持續(xù)發(fā)展的人力資源政策； e)進行針對性培訓；f)將內(nèi)控項目計劃承交董事會審閱。 辨識風險/記錄風險內(nèi)部控制缺陷階段a)設(shè)計風險評估標準，基于集團風險調(diào)查問卷匯總開展風險評估； b)設(shè)定風險容忍程度，確認重大風險及其相關(guān)認定及流程；c)使用內(nèi)控自我評估問卷辨識與記錄工作范圍內(nèi)的企業(yè)層面和流程層面的內(nèi)部控制活動；d)記錄各業(yè)務(wù)流程中發(fā)現(xiàn)的內(nèi)部控制設(shè)計缺陷，匯總并提出整改方案。a)對監(jiān)督過程中發(fā)現(xiàn)的內(nèi)部控制缺陷，提出整改方案，采取適當形式向董事會，監(jiān)事會或者經(jīng)理層報告； b)跟蹤監(jiān)控內(nèi)控運行整改方案的實施情況，不僅是合規(guī)的要求，也是提升公司執(zhí)行力的關(guān)鍵。管理層內(nèi)控自我評估加上檢查監(jiān)督部門循環(huán)抽查符合《指引》中內(nèi)控框架下“檢查監(jiān)督”層面的精神；c)跟蹤監(jiān)控內(nèi)控運行整改方案的實施情況，不僅是合規(guī)的要求，也是提升公司執(zhí)行力的關(guān)鍵；d)監(jiān)管要求指出，檢查監(jiān)督部門的工作資料，包括底稿和報告等需要保存十年。企業(yè)全面風險/內(nèi)控管理對信息化系統(tǒng)的要求在企業(yè)建立了全面風險管理和內(nèi)部控制體系的基礎(chǔ)上，企業(yè)對信息化系統(tǒng)的要求可以概述為以下幾點：、集中部署的風險管理工作平臺； a)完成風險管理的業(yè)務(wù)流程：包括從風險組織和管理標準設(shè)立、風險信息搜集、風險評估、風險應(yīng)對、風險控制、風險評價與改進、風險監(jiān)督與報告；b)滿足集團多層級、多部門的風險管理審批、評估等工作中全員參與、流程流轉(zhuǎn)、信息互通的要求；c)滿足各類風險評估、應(yīng)對、監(jiān)督和評價信息的共計、匯總分析，支持各類外部監(jiān)管機構(gòu)的報告輸出要求。支持后續(xù)應(yīng)用變化引起的系統(tǒng)整合、個性化開發(fā)應(yīng)用需求 5 用友NC全面風險與內(nèi)控管理解決方案 本解決方案的應(yīng)用架構(gòu)用友全面風險管理與內(nèi)控架構(gòu)公司治理層風險信息搜集風險評估管理風險應(yīng)對管理風險監(jiān)督與改進風險控制評價內(nèi)控體系管理內(nèi)控手冊管理IT控制監(jiān)控報告內(nèi)控審計管理風險管理報告戰(zhàn)略管理層企業(yè)績效管理全面預算與計劃管理集團報表與合并管理組織與策略管理業(yè)務(wù)經(jīng)營層集團客戶關(guān)系管理集團財務(wù)管理集團供應(yīng)鏈管理集團人力資源管理電子商務(wù)應(yīng)用集團資產(chǎn)管理行業(yè)特殊應(yīng)用集團知識文化管理基礎(chǔ)平臺層身份與權(quán)限管理動態(tài)會計平臺辦公協(xié)同與門戶流程管理平臺集成應(yīng)用平臺預警平臺二次開發(fā)平臺商務(wù)智能平臺NC全面風險/內(nèi)控管理體系架構(gòu)圖廣義的NC全面風險與內(nèi)控管理解決方案由依托于UAP平臺包括業(yè)務(wù)經(jīng)營層、戰(zhàn)略管理層和公司治理層三部分，而狹義的全面風險與內(nèi)控管理方案則專指公司治理層。216。216。l 支持重大風險事件的上報管理?！绢A警方式設(shè)置】 實現(xiàn)風險應(yīng)對管理l 風險應(yīng)對策略方案的管理； l 建立與內(nèi)控措施關(guān)聯(lián)關(guān)系； l 形成風險控制矩陣?！緝?nèi)控手冊維護】 通過內(nèi)控系統(tǒng)完成與業(yè)務(wù)系統(tǒng)運作管理的結(jié)合l 提供關(guān)鍵業(yè)務(wù)數(shù)據(jù)審計線索配置與監(jiān)控查詢：包括基礎(chǔ)數(shù)據(jù)檔案，諸如客戶檔案、會計科目、銀行賬戶檔案等?！娟P(guān)鍵業(yè)務(wù)流程審計配置】l 提供關(guān)鍵控制參數(shù)審計線索的配置和監(jiān)控查詢：指系統(tǒng)中各種集團級別、公司級別的業(yè)務(wù)系統(tǒng)參數(shù)，可以設(shè)計參數(shù)變化的日志記錄，便于審計人員和系統(tǒng)管理人員監(jiān)控和追查?！娟P(guān)鍵功能設(shè)置】【關(guān)鍵流程授權(quán)監(jiān)控】l 互斥設(shè)置：系統(tǒng)內(nèi)置內(nèi)控措施當中不相容職責分離的模型。l 安全策略監(jiān)控：提供對于不同角色、人員密碼策略的設(shè)置，以及策略變化的日志記錄。【主數(shù)據(jù)管理平臺】此外，為提高系統(tǒng)使用人員的應(yīng)用體驗，利于整個風險管理工作的順利開展，用友提供統(tǒng)一的風險信息門戶，并可與企業(yè)的辦公信息門戶集成，實現(xiàn)統(tǒng)一登錄、信息集成的應(yīng)用效果。其中，平均反應(yīng)時間、處理事務(wù)的能力、CPU利用率等指標均達到良好水平。幫助企業(yè)搭建風險管理的綜合IT架構(gòu)，建立風險管理的長效機制，從根本上提升風險管理的效率和效果。 明確風險管理職責，將所有風險的管理責任落實到企業(yè)的各個層面，形成風險信息的收集、分析、報告系統(tǒng)，為風險的實時有效監(jiān)控和應(yīng)對提供依據(jù)。 通過電子化的手段匯總整理內(nèi)控體系建設(shè)過程中的相關(guān)手冊、文檔，避免在工作中翻閱大量文字資料，提升工作效率。 促進組織成員之間的信息交流和溝通，改善企業(yè)控制環(huán)境，提升內(nèi)部控制管理效率。 覆蓋國資委關(guān)于央企全面風險管理指引中要求的風險管理流程，特別是戰(zhàn)略、財務(wù)、法律風險管理信息的搜集、風險評估、風險行為管理等方面216。 規(guī)范公司SOX404 測試工作的程序，提高SOX404測試工作效率，加強工作質(zhì)量保證。 降低遵從SOX 法案的長期成本，提高內(nèi)部控制環(huán)境的整體效