治理风险管理及合规解决方案.pdf

1、Oracle Governance,Risk and Compliance解决方案介绍解决方案介绍高风险的经营活动中欺诈舞弊的事件在增加高风险的经营活动中欺诈舞弊的事件在增加法国兴业银行的一个交易员冲破银行内部层层监控进行非法交易，导致银行出现了71亿美元巨亏，也是迄今为止历史上由单个交易员所做的最大一桩案子西门子行贿案，西门子公司为此付出了总计超过16亿美元的罚款创下了历史纪录纳斯达克前主席麦道夫，由于涉嫌制造美国历史上最大金融诈骗案被起诉。其旗下客户账户的基金总额高达650亿美元印度第四大信息技术公司董事长承认在财务业绩上造假，自己多年来一直操纵公司账户，夸大公司利润和资产，总额超过10亿

2、美元平均三年来自欺诈的损失平均三年来自欺诈的损失拉丁美洲580万美元中东,非洲1150万美元亚太620万美元欺诈和错误发生的机会不断增多欺诈和错误发生的机会不断增多重组削弱了现有控制，加大了内部威胁重组削弱了现有控制，加大了内部威胁外包审计发现数以万计的错误外包审计发现数以万计的错误全球全球500强公司强公司,高新技术高新技术超过超过4个审计周期中个审计周期中,顾问发现顾问发现1750万个支付错误万个支付错误来源:威达信全球欺诈报告,2009北美1200万美元欧洲770万美元“即使“世界级”的公司，平均每10亿收入要有27个不同财务系统”-The Hackett GroupMultiple,a

3、nd Heterogeneous ERP,Legacy,Custom SystemsEnd-to-End Business Process多财务系统及复杂的业务流程增加了出错风险多财务系统及复杂的业务流程增加了出错风险企业高层管理人员，建立起有效机制，使组织中各组成部分遵循建立起来的流程和制度.风险管理治理合规企业需要向监管部门表明其财务报告、内部控制、业务运作符合各项法规的要求.关键字：法规、流程控制、风险管理、审计工作平台、关键风险指标、自动审计、持续监控 企业建立起持续地识别、评估、管理和监控各类风险的机制。GRC-减少错误，降低欺诈风险，强化审计减少错误，降低欺诈风险，强化审计4不同的

4、角色对不同的角色对GRC的需求的需求 电子邮件收件箱收到电子邮件收件箱收到报告报告.直接链接到测试直接链接到测试任务任务 审查测试计划审查测试计划 记录测试结果记录测试结果 随附证据随附证据 记录存在问题记录存在问题内审人员内审人员全面评定组织和企业全面评定组织和企业的各种领域的风险的各种领域的风险灵活的风险定量、定灵活的风险定量、定性分析性分析对关键目标和绩效指对关键目标和绩效指标监控风险标监控风险偶然事件管理和追踪偶然事件管理和追踪损失补救损失补救风险管理员风险管理员执行官执行官，高层管理员，高层管理员 电子邮件收件箱收到电子邮件收件箱收到报告报告 仪表盘报表图提供全仪表盘报表图提供全面透

5、明度面透明度 向下钻取功能提供明向下钻取功能提供明细信息细信息 横向互动报告提供数横向互动报告提供数据来源据来源 灵活的流程层级灵活的流程层级 多重的框架多重的框架 最佳实践库（流程、最佳实践库（流程、风险、控制、审计计风险、控制、审计计划、流程责任人）划、流程责任人）评估评估 范围制定范围制定合规管理员合规管理员 应用系统访问控制应用系统访问控制 职责分离测试职责分离测试 应用系统配置控制应用系统配置控制 应用系统交易控制应用系统交易控制 预防性控制预防性控制内控人员内控人员不同的角色对不同的角色对GRC的需求的需求 GRC 信息展示信息展示执行官执行官，高层管理员，高层管理员 电子邮件收件

6、箱收到电子邮件收件箱收到报告报告 仪表盘报表图提供全仪表盘报表图提供全面透明度面透明度 向下钻取功能提供明向下钻取功能提供明细信息细信息 横向互动报告提供数横向互动报告提供数据来源据来源7监控所有未处理的问题处理存在问题的KPIs配置风险&控制 KPIsGRC 智能智能基于角色的以全局的视角审视企业风险的功能基于角色的以全局的视角审视企业风险的功能100+预置 KPIs,包括风险，认证，控制和问题，支持个性化报告关键风险指标关键风险指标 发生重大风险的可能性与影响程度分析认证过程关键指标认证过程关键指标 展现从评估开始到结束的全过程控制活动指标控制活动指标 跨流程和科目测试结果问题指标问题指标

7、 基于时间、严重程度和状态的问题变化趋势职责分离合规指标职责分离合规指标 确定SOD风险的覆盖程度职责分离冲突指标职责分离冲突指标 最经常发生的SOD问题点提供自助分析，交互式报表和自动预警功能浏览 GRC 仪表盘GRC 报告&分析9针对运营风险实现早期预警针对运营风险实现早期预警财务运营财务运营 A/R 和 A/P 总账活动 员工开支人力资源人力资源 薪酬 福利 股权跟踪基建项目投资管理基建项目投资管理 项目概预算 计划、进度 竣工决算转资供应链供应链 订单管理 库存 制造 订单履行采购采购 寻源 供应商管理 合同计划和预算计划和预算 预测 预算明细关键风险指标关键风险指标关键风险指标关键风

8、险指标业务部门经理：业务部门经理：截至早上截至早上8:57，有些突出风险需要您注意，有些突出风险需要您注意11基于财务报告视图执行基于财务报告视图执行基于风险范围的追溯查基于风险范围的追溯查询：相关风险、控制状询：相关风险、控制状态、问题等态、问题等.12不同的角色对不同的角色对GRC的需求的需求 合规管理合规管理 灵活的流程层级灵活的流程层级 多重的框架多重的框架 最佳实践库（流程、最佳实践库（流程、风险、控制、审计计风险、控制、审计计划、流程责任人）划、流程责任人）评估评估 范围制定范围制定合规管理员合规管理员监管程度高的行业和企业面临的挑战监管程度高的行业和企业面临的挑战法定合规性条款的

9、数量和复杂度在增加法定合规性条款的数量和复杂度在增加股东证券交易所内控与全面风险管理政府部门行业监管部门 国资委：中央企业全面风险管理指引 治理结构 财政部：企业内部控制基本规范 萨班斯法案 上海证券交易所上市公司内部控制指引 深圳证券交易所上市公司内部控制指引 保险公司风险管理指引（试行）商业银行操作风险管理指引 13Oracle GRC解决方案解决方案 基于基于COSO风险管理框架风险管理框架Oracle GRC 基本原理基本原理完善完善的风险控制管理和有效的成本节约的风险控制管理和有效的成本节约申请申请购买商品购买商品/服务服务收到商品收到商品/服务服务发票发票付款付款采购到付款举例采购

10、到付款举例采购采购库存库存应付帐款应付帐款治理治理运营运营战略战略信息信息财务财务政政 策策法法 规规业业 务务流流 程程风风 险险控控 制制自动控制自动控制手工控制手工控制测试程序测试程序测测 试试认证认证评评 估估电力供应与电力供应与使用条例使用条例电力市场电力市场监管方法监管方法电力市场运电力市场运营基本规则营基本规则节约能源节约能源法法央企全面风央企全面风险管理指引险管理指引安全生产安全生产法法企业内部控制企业内部控制管理规范管理规范采购付款流程采购付款流程 矩阵矩阵COSO 框架框架评估信息评估信息版本信息版本信息不同的角色对不同的角色对GRC的需求的需求 风险管理风险管理全面评定组

11、织和企业全面评定组织和企业的各种领域的风险的各种领域的风险灵活的风险定量、定灵活的风险定量、定性分析性分析对关键目标和绩效指对关键目标和绩效指标监控风险标监控风险偶然事件管理和追踪偶然事件管理和追踪损失补救损失补救风险管理员风险管理员管理风险的复杂性管理风险的复杂性合规合规雇佣雇佣法律法律&诉讼诉讼商誉商誉健康健康&安全安全业务持续性业务持续性 销售销售&道德道德 安全安全&隐私隐私环境环境产品质量产品质量公司风险公司风险信用信用市场市场资本资本财务风险运营风险定义术语&关系分析分析模型评价标准和容忍度应对应对&控制自上而下自上而下自下而上自下而上目标&绩效方法沟通沟通&咨询咨询来源:AS/N

12、ZS 4360:2004 和 ISO 31000以专业的方式管理风险和发现机会以专业的方式管理风险和发现机会建立环境建立环境 内部环境内部环境 外部环境外部环境 制定标准制定标准 定义结构定义结构识别风险识别风险 会发生什么？会发生什么？何时何时 及及 哪哪里？里？怎样怎样&为什么为什么分析风险分析风险 确认现有控制确认现有控制 确定影响确定影响&发发生可能性生可能性 确定风险水平确定风险水平评价风险评价风险 基于标准进行基于标准进行比较比较 设定优先级设定优先级处理风险处理风险 确定应对方式确定应对方式 评估应对方式评估应对方式 制定制定&实施实施计划计划 分析和评估剩分析和评估剩余风险余风

13、险监控监控&回顾回顾Oracle GRC 风险管理风险管理为风险管理建立一套系统化的流程，实现风险全生命周期管理为风险管理建立一套系统化的流程，实现风险全生命周期管理风险管理流程风险管理流程分析分析风险风险监督监督&检查检查风险风险建立风险建立风险环境和标准环境和标准评价评价风险风险处理处理风险风险识别识别风险风险符合ISO31000的风险管理原则与实施指南的框架，作为企业全面风险管理标准/体系风险环境模型和标准（容忍度、值允差等级）风险事件（发生的可能性）及结果（产生的影响程度）管理定性和定量分析风险评价（是否做风险处理）风险处理（风险修正流程）风险监督和检查（评价风险处理的有效性，剩余风险

14、可容忍）风险管理展示风险管理展示创建风险创建风险分析风险分析风险评价风险评价风险风险应对风险应对风险评估不同的角色对不同的角色对GRC的需求的需求 控制监测控制监测 应用系统访问控制应用系统访问控制 职责分离测试职责分离测试 应用系统配置控制应用系统配置控制 应用系统交易控制应用系统交易控制 预防性控制预防性控制内控人员内控人员 应用系统管理人员应用系统管理人员您所看见的就是问题的全部了吗？您所看见的就是问题的全部了吗？“在人类的历史进程中，从未使用过如此“在人类的历史进程中，从未使用过如此先进的技术先进的技术，几乎人类所人类所有先进科技均被使有先进科技均被使用在我们的设计中，我们的航用在我们

15、的设计中，我们的航行会极行会极其平其平稳、万稳、万无一无一失。”失。”E.J.Smith，泰坦尼克号船长已知问题未知风险24分析分析 识别/纠正用户访问冲突 职责分离 敏感的访问 基于角色的用户访问 测试用户和用户权限预防预防 预防冲突的访问权限 通过限制访问执行控制 隐藏敏感信息 取消权限监督监督 临时的访问规定 补偿性控制 批准的要求 执行重要性门槛 用户敏感访问的审计活动预防性、侦察性预防性、侦察性&监督控制监督控制控制谁有权访问什么，避免冲突的访问授权控制谁有权访问什么，避免冲突的访问授权应用访问控制管理器应用访问控制管理器在管理软件中执行合适的职责分离在管理软件中执行合适的职责分离透

16、明性透明性记录整个企业的应用软件设置对关键设置的改动，通知关键人员或系统管理员控制控制控制和跟踪应用软件中关键数据的变更提供详细的审计历史，全面的审计线索自动控制的设置迁移监督监督检查关键设置的变动，追踪“谁、何时、为什么、哪里”通过比较报告识别差异和不符，便于快速解决问题设置和业务规则的透明和管理设置和业务规则的透明和管理企业应用软件环境所有配置的全面控制，消除手企业应用软件环境所有配置的全面控制，消除手工工作和潜在的业务中断工工作和潜在的业务中断配置控制管理器配置控制管理器确保重要管理软件设置的完整性确保重要管理软件设置的完整性监督监督 系统内置交易控制测试，用于:订单到收款流程 采购到付款流程 监督具体的交易类型，以发现异常自动化自动化 对关键账户和活动定义门槛和参数 对关键的业务和重大的事件自动通知和报警审计审计 审计驱动的交易抽样，不依赖IT资源 财务数据透明性，用于审计抽样和披露符合性符合性/交易持续的控制监督交易持续的控制监督对数据异常、余额门槛、账户波动、和敏感对数据异常、余额门槛、账户波动、和敏感活动进行持续的交易监督，并提供实时预警活动进行持续的交易监督，并提供实时