内控管理系统白皮书.docx
《内控管理系统白皮书.docx》由会员分享,可在线阅读,更多相关《内控管理系统白皮书.docx(22页珍藏版)》请在冰豆网上搜索。
内控管理系统白皮书
内控管理系统白皮书
1.前言...........................................................................................................................................1
2.为什么企业需要内控管理系统...............................................................................................2
2.1.企业需要内控...............................................................................................................2
2.2.传统手工内控存在问题和困难...................................................................................2
2.3.IT内控系统使得内控更健全、有效和合理..............................................................2
3.如何评价内控管理系统...........................................................................................................34.慧点科技内控管理系统...........................................................................................................3
4.1.体系架构.......................................................................................................................4
4.2.功能说明.......................................................................................................................6
4.2.1.内控管理业务功能框架...................................................................................6
4.2.2.产品主要功能...................................................................................................7
4.2.3.产品功能详单.................................................................................................14
4.3.产品特色.....................................................................................................................15
4.3.1.IBM强大的平台能力—符合SOA架构易于拓展.......................................15
4.3.2.多层、分级、可拆分的组织树与用户权限管理能力.................................15
4.3.3.随时监控的内控驾驶舱,指引内控工作.....................................................16
4.3.4.强大的报表、报告能力.................................................................................17
4.3.5.灵活定义内控测试计划和流程并实时监控.................................................17
4.3.6.手册矩阵一体化管理.....................................................................................18
4.3.7.内控集成平台实现与其他业务系统集成,为实时监控与关键事件报警奠定
基础19
4.4.解决方案与案例.........................................................................................................205.结论.....................................................................................................错误~未定义书签。
21
1.前言
随着企业的高速发展,越来越多的企业都进入了股市,成为了上市企业。
但
近年来出现了几个大公司发生财务舞弊事件,如安然事件,导致投资者怀疑企业
内部控制是否有效,希望企业提高内部控制的力度和有效性,保证发布的财务报
告的准确性。
2002年美国萨班斯法案的确立,在法律上明确要求在美上市企业加强内部控
制,之后在世界各地也都有相应的法律和规定,要求企业加强内部控制。
如何防止财务舞弊和欺诈,如何加强企业内部控制并迅速发现企业问题,成为企业继续向前发展的一个非常重要的课题。
2.为什么企业需要内控管理系统
2.1.企业需要内控
内控可以帮助企业合规遵从:
根据相关法规和法案的要求,进行企业内
部控制,能使企业合规,企业的控制遵从法律或者规定文件的相关要求。
保证企业对外的形象。
增强投资者的信心。
及时发现企业存在问题:
企业通过加强内部控制,可以发现企业实际业
务或者管理流程上的设计缺陷或者执行缺陷,及时纠正问题,保证企业
健康成长。
降低企业风险发生:
企业加强内部控制,能增强企业风险管理意识,减
轻风险发生的可能性,避免企业遭受不必要的损失。
2.2.传统手工内控存在问题和困难
工作量大效率低:
控制点点多面广,数量大,涉及人员多;测试工作面
临人力、物力等资源压力。
标准维护不及时:
经营模式变化导致控制点动态化,手册、矩阵维护不
及时;测试工作中存在判断标准的不统一;
监控过程不透明:
内控测试工作与正常工作冲突;通过测试只能达到事
后监督;
2.3.IT内控系统使得内控更健全、有效和合理
内部控制日常化:
文档及时维护,(标准的)测评和整改在部门内随时开
展,把控制工作推到前台。
文档完善与时效性:
及时反映流程、控制点的变化,不仅要准确描述,
更要及时更新,并且能及时准确的传播。
提升内控管理的价值与效果:
发现问题,及时整改和修补,关注过程和
结果,能随时监控关注问题,使得内控工作更透明。
3.如何评价内控管理系统
越来越多的企业采用了内控管理系统,内控系统的作用不仅要能帮助企业合规,更重要的是加强企业的内部控制,及时发现企业的问题,并加以改进。
一个好的内控管理系统应该具备以下特征:
强大的内控手册和矩阵管理能力,并能迅速传达,做到标准统一。
灵活定义测试流程,完整监控测试工作,使得内控工作透明化。
全面的报表和报告能力展现,提供企业多种角色查看和决策。
内控不仅要满足企业合规要求,内控目标逐渐多元化,内控范围也逐渐
拓宽,最终走向全面内控,从而服务于企业的发展目标。
内部控制准确及时,帮助内控工作常态化。
内部控制导向趋于风险化,可关联或者发展为风险管理为导向的内部控
制体系。
内控管理系统必须满足管理集中、任务分级的内控管理业务要求,并适
应企业内控工作模式和业务的变化。
4.慧点科技内控管理系统
针对企业合规与遵从,企业对内控的需求,慧点科技提供了完善的企业内控解决方案。
ICM(IntranetControlManager简称)系统是慧点科技在IBM内控平台(WBCR)上为中国企业搭建的具有中国特色的企业内控平台。
作为企业内控平台,产品设计目标旨在满足企业合规要求,加强企业全面控制,发现企业存在问题并进行整改,以提高企业效率,确保企业健康成长。
慧点ICM为企业实现全面控制提供了一个全新而又优秀的解决方案。
4.1.体系架构
慧点内控管理平台系统从垂直方向上,分为多个层次,包括信息门户与展现层、业务系统系统层、应用支撑与工具层、基础设施层,而安全管理和管理管理贯穿于各个层面,如下图所示:
慧点内控管理平台总体框架
法律法规层
内控系统的定义是符合相关的法律法规要求,是合规的。
基础设施层
网络基础设施层为系统提供了必要的网络基础环境,提供了可靠、有效的信息传输服务通道,是各类信息的最终承载者。
应用支撑层
应用支撑层通过提供平台化的工具和功能,为内控管理业务的实现提供支持。
业务应用系统层通过统一的接口,来访问应用支撑基础平台。
业务系统应用层
业务系统应用层提供在一个统一框架之上的各类内控管理业务应用,包括内
控文档维护、内控测试、内控执行与报告等等。
实现内控管理业务的处理,规范不同人员(执行人(被测人)、测试人、答疑人、质检人、控制点责任人、管理层等)在系统中的操作,监控各项内控管理工作的执行效能,提高工作质量,便于管理层运营决策,有助于内控管理最大化的发挥其管理效力。
信息门户与展现层
信息门户与展现层包括了报告管理平台和内控管理信息门户两大部分,报告管理平台可以根据业务系统应用层所记录的数据,依据不同的组织单位汇总统计出各种内控报表,输出管理层报告,包括计划完成分析、业务执行分析、进度监控、管理者视图/报告、统计结果/分析报告等。
安全管理
对于整个系统而言,安全管理将贯穿系统的始终。
信息安全为系统建立了一个完整的安全体系框架,在各层面为系统提供用户管理和访问控制、完整性、可用性等安全服务。
系统管理
同安全管理相类似,系统管理也是贯穿于整个系统的各个层面。
完成系统的初始化管理、配置管理、运行维护管理和监控等。
4.2.功能说明
4.2.1.内控管理业务功能框架
计划业务内控测试手册维护内容
检测
内控专有内控人员
部门执行内审人员业务部门外主体其他专业
人员
公司外,外审人员
自测
业务部门人员
(不相容原则)
考核
4.2.2.产品主要功能
4.2.2.1.手册维护
手册查看:
不同级别机构的用户可以看到所属机构范围内的控制手册。
手册下载:
不同级别机构的用户可以下载所属机构范围内的控制手册。
手册上传:
不同级别机构的内控管理人员可以上传控制手册到所属机构系统内。
手册版本管理:
对手册的更新进行版本管理,可以查看历史版本手册。
可以比对历史版本内容。
手册的自动更新:
与控制矩阵相同的内容,在控制矩阵更新之后自动进行更新,并发出更新提示。
手册更新审批:
手册中非矩阵信息需要单独修改的,由负责部门提出,走流程审批。
流程图的生成:
根据内部控制手册、矩阵的描述,按不同子流程生成业务管理的流程图。
流程图的自动更新:
业务管理流程图在控制手册、控制矩阵修改之后自动进行更新,并发出更新提示。
4.2.2.2.内控矩阵维护
矩阵信息展现:
信息展现方式包括矩阵的集合式视图(比如树状结构)和控制点详细信息的平面视图。
按照总部/省/地市等级别,分别展现各级别下的内容。
高级别机构可以查看低级别机构的矩阵信息。
可以进行矩阵信息比对式查看。
可以网页形式(如表格方式)展示控制矩阵,同时提供信息筛选功能。
矩阵信息查询:
按照不同的关键条件查询不同范围内的矩阵信息,提供友好的列表展示,支持分页定制。
查询结果可以钻取出更详细的信息。
矩阵Excel导出:
支持导出全部或部分矩阵信息的导出功能。
导出参数可定制。
矩阵在线编辑:
矩阵各要素信息可以在线逐个增删改。
矩阵Excel导入:
支持导入全部或部分矩阵信息的导入功能。
导入参数可定制。
矩阵版本管理:
矩阵发生重大变化时,可以利用版本策略标注出新的版本号,切换当前版本。
可以查看历史版本的信息。
可以比对历史信息。
8
4.2.2.3.内控矩阵信息变更
变更申请:
流程参与部门人员或控制点负责人在控制点上发现问题可以提出控制点变更申请;业务部门根据业务要求提出变更申请;管理层按照管理要求发出变更指示。
变更类型包括修改、删除、新增。
变更比对:
对提交的变更内容提供在线比对功能,以方便相关人员识别变更。
可以进行变更历史比对。
横向沟通:
按照变更内容的级别,发起不同范围内的沟通和审批流程。
结合现状进行新流程的现场记录,并提炼控制点、分析差异、归纳缺陷和提出改进建议等。
变更落实:
对于审批通过的变更,应落实到矩阵信息中。
保证矩阵信息的完整性和一致性。
变更报备:
在本级机构中更新完矩阵后,可以将更新结果报备到上级机构中。
变更上报:
在本级机构中沟通好的变更内容如果属于需要上级机构审批的,可以定期上报变更申请。
特别情况下,也可以上报紧急变更。
变更下发:
上级机构确定的变更内容下发给下级机构落实
9
4.2.2.4.内控计划
计划制定:
审计人员按年度制定本年度的内控测试计划。
可以重新制定,也可以从上一年度未完成的计划中转移。
计划审批:
审计部门或公司领导层对本年度计划进行审批,给出审批意见。
查看资源配置:
对于本级内的年度资源计划使用情况进行查看,发现冲突。
计划查看:
相关人员可以随时查看已审批通过的计划。
计划执行:
内控测试计划开始时,在此纪录执行期计划的基本信息
10
4.2.2.5.内控测试
底稿模板管理:
对内控测试中用到的模板进行管理,可以修改模板内容。
测试方案准备:
制定测试方案、测试工作计划等的流程审批过程。
下发测试通知:
通知被测试单位本次测试相关事项及内容。
任务分配:
按控制点、人员、路径等指标来分配任务。
设定检测人、质检人、责任人等信息。
实施测试:
抽查样本、审阅、询问、重复验证。
测试发现与记录:
测试人员将测试结果记录在工作底稿中。
内控质监:
质检员对测试结果进行确认。
测试审核:
测试组长对所有测试结果进行审核。
测试结果汇总:
系统支持对测试结果的汇总查看。
11
4.2.2.6.内控报告
控制点分类统计:
按照控制点的基本属性分类统计。
包括内控矩阵本身的分析和多个业务单元之间对同一控制流程进行对比分析。
包括省公司与集团标准流程、省公司之间、省公司与地市公司以及地市公司之间的同一控制流程对比分析等功能。
对比分析的要素包括:
控制点编号、控制点描述、流程描述、控制状态(无效、有效、修补中)、控制点级别(A/B/C)、控制发生的频率、控制点负责人、穿行测试资料名称、版本号等
任务分配统计报告:
按人、地区等统计任务分配情况。
测试进度统计报告:
按人、地区等统计测试进度报告,提供监控报表和状态图。
测试结果统计报告:
按测试结果类型分类统计,和历史结果对比统计。
测试缺陷分布报告:
按照缺陷类型、地区分类统计。
12
4.2.2.7.内控整改
整改建议汇总:
系统能够实现对不同审计发现和建议的汇总。
发送整改通知:
根据控制点落实整改责任部门。
确认整改计划:
责任部门和人员确认及反馈整改计划,明确整改内容和时间,并
经部门负责人审批。
提交整改结果:
相关负责人填写并提交整改结果。
整改结果审批:
整改结果经部门领导审批,然后报审计部。
整改结果检查:
审计部对落实情况进行检查并确认落实结果。
整改结果报告:
定期形成整改报告。
13
4.2.3.产品功能详单
慧点ICM系统功能清单一
14
慧点ICM系统功能清单二
4.3.产品特色
4.3.1.IBM强大的平台能力—符合SOA架构易于拓展
IBM强大的平台使得我们可以建立灵活的、易于扩展的内控管理平台,以适应企业内控管理模式与业务的变化,平台提供众多成熟插槽,可以用搭积木的实现新功能的拼装与扩展;支持开放的控制框架,可以用来执行基于COSO、CobiT或者其他内部控制活动。
4.3.2.多层、分级、可拆分的组织树与用户权限管理能力
系统具有很强的管理和拆分能力,能建立一个灵活的、可拓展的体系架构,适应未来企业分支机构不断增长,适应企业未来系统用户量的不断增长。
15
4.3.3.随时监控的内控驾驶舱,指引内控工作
系统提供内控的管理视图,在此视图可以完整监控内控工作的执行情况。
16
4.3.4.强大的报表、报告能力
系统能提供各种各样用户需要的,如控制点分类报告、控制点测试情况报告、控制点整改情况报告、控制点测试任务分配报告、控制点测试结果报告,测试人员工作状态报告等等。
4.3.5.灵活定义内控测试计划和流程并实时监控
系统底层有强大的工作流引擎作为支撑,所以我们可以灵活定义内控测试的流程,并对内控工作进行实时监控,帮助提高内控工作效率。
17
4.3.6.手册矩阵一体化管理
内控手册和矩阵统一存放在文档中心,统一管理,可以方便安全的进行授权、维护、查询等操作。
手册和矩阵的维护有版本管理。
不同的版本可以互相比较。
手册和矩阵内容的新增或者变更,可以跟工作流引擎紧密结合,灵活定制相应的业务流程,全过程的管理手册和矩阵的维护和更新。
另外矩阵和手册的修改可以相互同步更新。
如,修改了矩阵的控制点描述,系统能自动更新到手册中相应控制点的描述,避免重复劳动,提高内控工作效率。
18
控制点比较图一
控制点比较图二
4.3.7.内控集成平台实现与其他业务系统集成,为实时监控
与关键事件报警奠定基础
内控系统平台提供了与业务系统的接口支持,如财务系统、ERP系统等等。
能方便的监控非手工控制点的情况,并发出预警信息,实现实时的企业内控。
19
财务报销实时监控图
4.4.解决方案与案例
4.4.1.集中式内控管理解决方案——华能国际内控系统4.4.1.1.案例特点
客户特点
业务简单
华能国际,高度集权
监察审计职能部门财务部部,案例特点独立内审人员,形成一套强有力的管理内控处
体系
利用内控系统实现了内内控测评质量
控测评工作日常化分厂分厂分厂监督人员
专职测评人员
20
4.4.1.2.系统实践
业务工作模式功能实现管理模式,业务上内控处对专职测评,灵活的组织结构定义
人员的垂直管理,强大的用户管理与权限管理
定岗定责
工作方法,总部内控处完成内控手册,内控文档管理系统
的维护,同时对测评工作进,个性化工作台
行计划、指导与监督,提交,内控测评在线监控
内控报告,内控工作咨询与答疑
分厂专职内控测评人员以,内控缺陷整改的实时跟踪
关键控制点为重点进行全,内控总体视图与内控报告
面测评
独立审计人员实施独立监
督
保障机制,良好的内部环境,内置工作模板库
配套的考核制度,样例库
做好培训工作,在线咨询与答疑系统4.4.1.3.系统价值
更加规范
效率更高
质量更好
更加透明
21
4.4.2.分布式内控管理解决方案——浙江移动内控系统4.4.2.1.案例特点
客户特点
多级管理
业务比较复杂浙江移动
财务部,案例特点内审部内控处,在内控业务开展上有创新
内控工作组,灵活组建的内控工作组
利用业务部门的自测实现工作常
态化
地市公司地市公司地市公司,形成计划、自测、质检、整改的闭
环管理
任务分派,分片测评,全局覆盖
利用内控系统实现了内控结果与过程县级公司县级公司县级公司的管理,实现内控工作的自动化、常态
化,同时要实现实时监控
4.4.2.2.系统实践
业务工作模式功能实现管理模式,管理集中、任务分级,平台级的组织结构定义与拆
灵活的内控工作组分
多级的用户管理与权限管理工作方法,内控处完成本级内控手册,内控文档管理系统
的维护,手册维护全过程管理
按照总部年度计划制定本,个性化工作台
级测试计划,测评的全过程管理
灵活分片的任务分派,内控总体视图与内控报告
内控工作组进行质检,实时监控功能
地级业务部门进行自测与
本级的整改
保障机制,良好的内部环境,内置工作模板库
配套的考核制度,样例库
做好培训工作,在线咨询与答疑系统
22
4.4.2.3.系统价值
更加规范:
管理集中,任务分级使得业务部门或者下级能积极参与整个内
控工作体系,促进内控工作常态化,并更好规范标准和统一。
效率更高:
灵活的内控项目组织形式,充分利用企业人才资源,使得内控
工作效率更高。
更加受控:
手册全过程管理、测试过程全过程管理,即使在分布式的内控
系统中内控工作更加受控,工作更加透明。
4.5.内控系统价值分析
5.结论
内控管理系统作为企业内控管理部门的独立业务管理系统,能够有效地帮助
内控部门成为有效的第三方监控者。
内控管理系统必须满足管理集中、任务分级的内控管理业务要求,并适应企
业内控工作模式和业务的变化。
系统在灵活的、可扩展的平台基础上,需要
提供7大关键能力,全面覆盖了内控工作的各个环节,能为事前、事中、事
后的监控提供支持。
慧点科技与IBM是内控管理系统市场无可争议的领先者,能够实现适合企
23
业需要的内控管理系统:
提供了国际化的内控管理系统解决方案,同时能够提供本地化的长期服务,已经成功为多家大型企业实施了内控管理系统;具有丰富的实施经验,对大型企业的内控业务深刻理解
是内控管理信息系统最佳软件提供商,拥有一流的产品
24
升级会员 