【正文】 取適當形式向董事會，監(jiān)事會或者經(jīng)理層報告； b)跟蹤監(jiān)控內(nèi)控運行整改方案的實施情況，不僅是合規(guī)的要求，也是提升公司執(zhí)行力的關鍵。a)控制缺陷報告和相應的整改方案建議。 監(jiān)督風險/內(nèi)控措施有效執(zhí)行階段a)制定風險內(nèi)控監(jiān)督制度，規(guī)范其程序，方法和要求； b)開展風險內(nèi)部控制自我評價，出具內(nèi)部控制自我評價報告； c)跟蹤風險內(nèi)部控制運行缺并及時改進。a)應根據(jù)風險評估的結(jié)果，制定內(nèi)控監(jiān)督檢查辦法和內(nèi)控自評和檢查計劃，使有限的資源被有側(cè)重地運用到高風險的領域；b)抽檢管理層的內(nèi)控自我評估問卷，通過檢查和必要的抽樣測試等手段確認內(nèi)控自我評估問卷是否準確填寫，并向總裁辦公會及董事會報告測試結(jié)果。管理層內(nèi)控自我評估加上檢查監(jiān)督部門循環(huán)抽查符合《指引》中內(nèi)控框架下“檢查監(jiān)督”層面的精神；c)跟蹤監(jiān)控內(nèi)控運行整改方案的實施情況，不僅是合規(guī)的要求，也是提升公司執(zhí)行力的關鍵；d)監(jiān)管要求指出，檢查監(jiān)督部門的工作資料，包括底稿和報告等需要保存十年。a)在風險評估的基礎上，制定風險內(nèi)控監(jiān)督檢查辦法和內(nèi)控檢查計劃； b)設計開展內(nèi)控自我評價和抽樣評審的標準和工具，包括：風險內(nèi)控自評的問卷，抽樣測試的程序、方法和具體工作底稿； c)風險內(nèi)控監(jiān)督檢查報告。 董事會報告及披露階段a)董事會/審計委員會審核《內(nèi)部控制檢查監(jiān)督工作報告》；并以此為基礎制作《內(nèi)部控制自我評估報告》形成董事會決議；b)披露《內(nèi)部控制自我評估報告》以及會計師事務所對該報告出具的核實評價意見；c)以內(nèi)控自我評估報告為基礎，結(jié)合國資委風險管理報告模板框架，披露《風險管理報告》。a)董事會是公司內(nèi)控制度之完整合理、實施有效之責任主體；b)董事會應當根據(jù)監(jiān)管機構(gòu)將要出臺的董事會議事規(guī)則以及其它相關法規(guī)的要求，采取適當?shù)牟襟E和取得充分的資料，來支持其對公司內(nèi)控有效性的決議，這些資料既應包括檢查監(jiān)督部門遞交的《內(nèi)部控制檢查監(jiān)督工作報告》；也應包括管理層提交的其他支持性文件，包括管理層的內(nèi)控自我評估問卷等；a)根據(jù)上交所將要出臺的董事會議事規(guī)則以及其它相關法規(guī)的要求，制定董事會內(nèi)部控制檢查監(jiān)督清單（Checklist）；b)制定董事會內(nèi)部控制資料檢查制度，制度中規(guī)定董事會應采取的適當步驟，來支持其對公司內(nèi)控的決議或有重大內(nèi)部控制缺陷時的披露程序； c)擬定《內(nèi)部控制自我評估報告》、《全面風險管理報告》或者其他的披露文件。企業(yè)全面風險/內(nèi)控管理對信息化系統(tǒng)的要求在企業(yè)建立了全面風險管理和內(nèi)部控制體系的基礎上，企業(yè)對信息化系統(tǒng)的要求可以概述為以下幾點：、集中部署的風險管理工作平臺； a)完成風險管理的業(yè)務流程：包括從風險組織和管理標準設立、風險信息搜集、風險評估、風險應對、風險控制、風險評價與改進、風險監(jiān)督與報告；b)滿足集團多層級、多部門的風險管理審批、評估等工作中全員參與、流程流轉(zhuǎn)、信息互通的要求；c)滿足各類風險評估、應對、監(jiān)督和評價信息的共計、匯總分析，支持各類外部監(jiān)管機構(gòu)的報告輸出要求。；a)達到風險管理與內(nèi)部控制體系的集成應用，實現(xiàn)一套班子、一套體系、一套流程的統(tǒng)一管理；b)通過風險管理的應對方案，實現(xiàn)通過內(nèi)部控制體系實現(xiàn)風險控制的目的；c)風險控制點可以直接控制業(yè)務系統(tǒng)的運作； d)實現(xiàn)業(yè)務系統(tǒng)數(shù)據(jù)自動支持風險預警、風險識別。；a)通過內(nèi)控體系實現(xiàn)對業(yè)務系統(tǒng)風險控制點的自動監(jiān)控，降低風險監(jiān)督人工成本；b)實現(xiàn)對現(xiàn)有各類業(yè)務系統(tǒng)安全控制的監(jiān)察，防止由于系統(tǒng)安全策略和漏洞造成系統(tǒng)應用風險。，完善相應的績效考核和保障機制a)構(gòu)建集團統(tǒng)一的風險管理知識平臺，加強風險管理意識普及； b)設計風險指標，并根據(jù)控制效果評價影響相關部門人員的績效考核。，支持后續(xù)應用變化引起的系統(tǒng)整合、個性化開發(fā)應用需求 5 用友NC全面風險與內(nèi)控管理解決方案 本解決方案的應用架構(gòu)用友全面風險管理與內(nèi)控架構(gòu)公司治理層風險信息搜集風險評估管理風險應對管理風險監(jiān)督與改進風險控制評價內(nèi)控體系管理內(nèi)控手冊管理IT控制監(jiān)控報告內(nèi)控審計管理風險管理報告戰(zhàn)略管理層企業(yè)績效管理全面預算與計劃管理集團報表與合并管理組織與策略管理業(yè)務經(jīng)營層集團客戶關系管理集團財務管理集團供應鏈管理集團人力資源管理電子商務應用集團資產(chǎn)管理行業(yè)特殊應用集團知識文化管理基礎平臺層身份與權限管理動態(tài)會計平臺辦公協(xié)同與門戶流程管理平臺集成應用平臺預警平臺二次開發(fā)平臺商務智能平臺NC全面風險/內(nèi)控管理體系架構(gòu)圖廣義的NC全面風險與內(nèi)控管理解決方案由依托于UAP平臺包括業(yè)務經(jīng)營層、戰(zhàn)略管理層和公司治理層三部分，而狹義的全面風險與內(nèi)控管理方案則專指公司治理層。其中，全面風險管理的業(yè)務運作可以用下圖標示：風險組織風險知識庫風險分類風險問卷風險評估標準風險評估模型流程管理報告模板風險指標設置風險預警設置基礎設置業(yè)務處理風險信息搜集突發(fā)重大風險風險評估風險應對管理重大風險應對風險執(zhí)行跟蹤跟蹤改進報告風險預警分析與報告風險分布熱圖風險事件查詢風險自檢查詢風險自評報告13全面風險管理系統(tǒng)架構(gòu)圖216。 基礎設置層：本層是整個風險管理信息系統(tǒng)的平臺基礎，包括風險管理組織設置、風險分類與信息、風險知識庫、風險預警設置、風險評估標準與模型、風險問卷管理等。構(gòu)建整個風險管理的基礎環(huán)境。216。 業(yè)務處理層：本層是整個風險管理信息系統(tǒng)的核心業(yè)務處理部分。包括從風險信息搜集、風險識別與評估、風險預警和應對管理、風險應對執(zhí)行與監(jiān)督管理。實現(xiàn)集團多層級的協(xié)同風險管理作業(yè)，建立相關的標準流程和信息共享。216。 分析與報告層：本層處理是風險信息查詢分析和風險管理報告披露的部分。包括風險管理報告管理、風險熱圖和矩陣分析等。 實現(xiàn)集團級風險管理的全流程管理平臺 風險管理系統(tǒng)流程全面風險管理集團設定風險識別周期制定風險識別問卷模板公司調(diào)整風險識別信息提交審核部門問卷提交公司部門下發(fā)風險識別問卷到公司下發(fā)風險識別問卷到部門風險識別提交部門內(nèi)部審核風險收集與管理公司內(nèi)部審核審批上報風險評估模板風險發(fā)生可能性評估標準風險影響程度評估標準風險評估分值設置公司評估結(jié)果確認規(guī)則固有風險評估上報評估結(jié)果審核提交風險分析與評價集團進行固有風險評估審批確認重大風險風險應對方案制定應對方案剩余風險評估全面風險管理系統(tǒng)流程 實現(xiàn)多級風險信息收集管理l 支持集團全面風險管理問卷的設計、下發(fā)與信息上報管理。l 支持重大風險事件的上報管理。【風險調(diào)查問卷下發(fā)】【重大風險事件上報】 支持多種評估標準和模型管理l 支持集團多層級、多部門風險評估運作機制； l 支持風險評估標準與模型建立； l 支持評估結(jié)果自動選取標準。【風險評估流程圖】【評估結(jié)果生成規(guī)則】【固定風險評估】 實現(xiàn)風險指標監(jiān)控、自動預警l 針對風險成因，設置相應的參照指標，可以是定性指標，可以是定量指標。其中定量指標可以設置報警區(qū)間，一旦滿足預警條件，系統(tǒng)自動發(fā)送相關信息給指定人；【風險指標設置】l 系統(tǒng)提供預警信息報送機制的設置，以各種方式傳遞?！绢A警方式設置】 實現(xiàn)風險應對管理l 風險應對策略方案的管理； l 建立與內(nèi)控措施關聯(lián)關系； l 形成風險控制矩陣?！撅L險應對方案】【風險控制矩陣】 記錄風險控制的評價與改進l 根據(jù)風險管理組織和崗位分工，支持風險崗位針對風險控制點的測試，記錄測試結(jié)果，并進行統(tǒng)計分析【風險控制點測試】l 支持對失效的控制點進行設計和運行缺陷的認定，并制定整改的時間和相關負責人?！撅L險缺陷評價】 實現(xiàn)風險控制的監(jiān)督與報告l 支持以風險為核心的各種信息搜集、評估、應對、控制執(zhí)行測試等綜合信息的報告式輸出； l 支持以word、excel、txt、html等多種格式輸出系統(tǒng)內(nèi)的信息，形成相關分析報告； l 支持向外部風險管理和內(nèi)控審計機構(gòu)提供相關信息?！撅L險管理綜合報告】 實現(xiàn)COSO全面風險綜合架構(gòu)，與內(nèi)控體系整合 通過風險應對方案建立與內(nèi)控體系的聯(lián)系系統(tǒng)在風險應對方案中，建立與內(nèi)部控制體系之間的對應關系，從而實現(xiàn)：l 風險應對方案直接對應內(nèi)控措施，包括控制點、控制業(yè)務流程、監(jiān)督措施、監(jiān)督部門、監(jiān)督崗位；【風險應對與內(nèi)控措施對應】l 內(nèi)部控制管理手冊中直接選取關聯(lián)的業(yè)務風險，定義控制點、監(jiān)督檢查方法、業(yè)務流程等，實現(xiàn)雙向的互相索引關聯(lián)?！緝?nèi)控手冊維護】 通過內(nèi)控系統(tǒng)完成與業(yè)務系統(tǒng)運作管理的結(jié)合l 提供關鍵業(yè)務數(shù)據(jù)審計線索配置與監(jiān)控查詢：包括基礎數(shù)據(jù)檔案，諸如客戶檔案、會計科目、銀行賬戶檔案等。系統(tǒng)可自動記錄這些關鍵數(shù)據(jù)的變化日志，特別是編輯的時間、前后變化的對比、編輯人員等關鍵信息?！娟P鍵數(shù)據(jù)審計線索配置】l 提供關鍵業(yè)務流程審計線索的配置與監(jiān)控查詢：指流程配置平臺制定的業(yè)務流程，一旦發(fā)生變化，系統(tǒng)將自動記錄變化前后的流程，以及變化的時點、操作員。方便審計人員追查系統(tǒng)控制變化的過程，防止非授權情況下對業(yè)務系統(tǒng)的改變?！娟P鍵業(yè)務流程審計配置】l 提供關鍵控制參數(shù)審計線索的配置和監(jiān)控查詢：指系統(tǒng)中各種集團級別、公司級別的業(yè)務系統(tǒng)參數(shù)，可以設計參數(shù)變化的日志記錄，便于審計人員和系統(tǒng)管理人員監(jiān)控和追查。 通過內(nèi)控審計評測，驗證風險管理方案的有效性通過內(nèi)控審計平臺，針對內(nèi)部控制進行專項審計，并形成內(nèi)部的審計評估報告： l 支持內(nèi)控審計項目計劃、任務分配、工作日志和協(xié)同合作的項目管理； l 支持設置內(nèi)控審計工作底稿、工作組分發(fā)、底稿填報與匯總的管理； l 支持內(nèi)控審計評估報告的編寫、簽審、發(fā)布和內(nèi)部傳閱的管理?！緝?nèi)控審計項目計劃】【內(nèi)控審計工作底稿】【內(nèi)控審計評估報告】 實現(xiàn)對業(yè)務系統(tǒng)的自動監(jiān)控 構(gòu)建IT系統(tǒng)安全控制監(jiān)控平臺當前企業(yè)越來越依賴ERP業(yè)務系統(tǒng)對于日常業(yè)務的管理，但是，如果業(yè)務系統(tǒng)沒有足夠的安全控制能力，或者說無法對系統(tǒng)的安全機制進行監(jiān)控，那么整個系統(tǒng)輸出的數(shù)據(jù)結(jié)果將存在很大的可質(zhì)疑之處。l 授權監(jiān)控：通過對關鍵用戶、關鍵角色、關鍵功能、關鍵流程的設置，NC系統(tǒng)可以自動對這些關鍵點進行授權情況以及變化情況進行跟蹤，形成相關的管理日志，并支持輸出到指定格式的報告?！娟P鍵功能設置】【關鍵流程授權監(jiān)控】l 互斥設置：系統(tǒng)內(nèi)置內(nèi)控措施當中不相容職責分離的模型。通過對關鍵業(yè)務流程的各個業(yè)務環(huán)節(jié)設置互斥，從而提供授權時的互斥職能檢測，防止出現(xiàn)不相容職責授權失誤。【互斥設置】l 特殊日志報告：系統(tǒng)為IT管理人員提供一些特殊用戶的監(jiān)測日志，防止諸如系統(tǒng)管理員之類的特殊用戶對系統(tǒng)造成數(shù)據(jù)干擾。包括：特殊用戶（指系統(tǒng)管理員、帳套管理員）操作日志報告、離職人員報告、調(diào)配人員報告、不明身份人員報告（指無法與人員檔案建立對應關系的用戶）。l 安全策略監(jiān)控：提供對于不同角色、人員密碼策略的設置，以及策略變化的日志記錄。 實現(xiàn)對業(yè)務系統(tǒng)關鍵流程的自動檢測用友NC系統(tǒng)針對主數(shù)據(jù)和業(yè)務流程的變動情況，自動進行日志記錄，給出相應的報告，方便內(nèi)部和外部內(nèi)控審計人員進行管理過程的跟蹤和評價?！娟P鍵數(shù)據(jù)監(jiān)控報告】【關鍵流程檢查報告】 建立集團級高性能、柔性開放平臺 構(gòu)建系統(tǒng)整合平臺，風險信息門戶用友引進IBM的企業(yè)服務總線（ESB）平臺，為企業(yè)圍繞風險管理的各個業(yè)務系統(tǒng)進行基于信息管理服務的整合，實現(xiàn)跨平臺、跨系統(tǒng)的風險信息整合披露和搜集管理，并完成風險控制過程中要求的業(yè)務整合和流程控制?！酒髽I(yè)整合平臺——企業(yè)信息服務總線】為達到各系統(tǒng)的信息整合和互通利用，用友提供對各個業(yè)務系統(tǒng)基礎數(shù)據(jù)的統(tǒng)一標準化管理平臺——主數(shù)據(jù)管理平臺，幫助集團IT部門統(tǒng)一集團內(nèi)各企業(yè)業(yè)務系統(tǒng)的共有基礎數(shù)據(jù)信息，統(tǒng)一發(fā)布機制和編碼機制，為后續(xù)的集成和管理提供基礎。【主數(shù)據(jù)管理平臺】此外，為提高系統(tǒng)使用人員的應用體驗，利于整個風險管理工作的順利開展，用友提供統(tǒng)一的風險信息門戶，并可與企業(yè)的辦公信息門戶集成，實現(xiàn)統(tǒng)一登錄、信息集成的應用效果。同時，在該門戶可以集成風險知識庫管理，便于風險管理的工作人員查找相應的案例、信息的溝通和制度的梳理保管等。 高效率、個性化柔性擴展開發(fā)平臺由于全面風險管理和內(nèi)部控制管理系統(tǒng)，將是涉及集團內(nèi)部各個企業(yè)、部門和人員的綜合系統(tǒng)，因此必須能夠滿足大用戶量、大并發(fā)情況下的高性能運作。用友NC系統(tǒng)已經(jīng)在2010年9月發(fā)布《 3萬人Hpux的性能測試報告》。其中，平均反應時間、處理事務的能力、CPU利用率等指標均達到良好水平?！綨C事務平均響應時間】UAPNC平臺除了提供標準的客戶化交付模式外，可以通過功能強大的二次開發(fā)平臺，根據(jù)企業(yè)應用的實際需求，進行貼身的項目開發(fā)，充分貼現(xiàn)客戶的個性化。通過二次開發(fā)平臺提供的各項工具，可以讓技術或者實施人員方便地存取到UAPNC平臺系統(tǒng)資源，包括數(shù)據(jù)字典、表格、模板、組件、管理要素、控制函數(shù)等接口?！鹃_發(fā)建模管理】 解決方案的價值基于COSO 框架的全面風險管理解決方案側(cè)重于從企業(yè)整體層面制定風險戰(zhàn)略、完善內(nèi)控體系、利用IT 技術建立完善的風險管理流程和內(nèi)部控制。幫助企業(yè)搭建風險管理的綜合IT架構(gòu)，建立風險管理的長效機制，從根本上提升風險管理的效率和效果。 實現(xiàn)全面風險與內(nèi)控管理，提高企業(yè)競爭能力216。 能夠形成企業(yè)上下統(tǒng)一的內(nèi)部控制管理標準，并通過規(guī)范化與系統(tǒng)化的業(yè)務流程及控制節(jié)點保障內(nèi)控制度的有效實施。216。 明確風險管理職責，將所有風險的管理責任落實到企業(yè)的各個層面，形成風險信息的收集、分析、報告系統(tǒng)，為風險的實時有效監(jiān)控和應對提供依據(jù)。216。 避免企業(yè)重大損失，支持企業(yè)戰(zhàn)略目標的實現(xiàn)。216。 通過電子化的手段匯總整理內(nèi)控體系建設過程中的相關手冊、文檔，避免在工作中翻閱大量文字資料，提升工作效率。216。 對日常經(jīng)營管理活動中出現(xiàn)的問題進行記錄與跟蹤以滿足合規(guī)要求，并定期審核內(nèi)控流程的執(zhí)行有效性，生成內(nèi)控評估報告。216。 促進組織成員之間的信息交流和溝通，改善企業(yè)控制環(huán)境，提升內(nèi)部控制管理效率。 快速遵從財政部、國資委相關管理條文要求216。 涵蓋財政部關于企業(yè)內(nèi)部控制基本規(guī)范的17項控制內(nèi)容和控制方法。216。 覆蓋國資委關于央企全面風險管理指引中要求的風險管理流程，特別是戰(zhàn)略、財務、法律風險管理信息的搜集、風險評估、風險行