IDS流程管理企业内控的根本.ppt

内控文档整合集中化 统计分析功能，协助企业快速掌握风险分布，进行业务优化 风险指标监控及预警系统架构 强大的数据抽取功能 无需代理(Agent-less)技术 – 最小化对信息系统的影响 基于向导 – 不用编码 – 易于配置与维护 从信息系统中映射原始数据到业务对象 项目背景及挑战 项目背景及挑战（续） 系统应用架构 建立了涵盖公司业务范围的统一的业务流程架构 在原有股份公司17个一级流程目录基础上，扩展了业务流程架构，为建立统一的企业流程管理体系建立了基础 集成式的风险和流程建模 搭建公司统一的业务流程和内控与风险管理门户 实现了内控审计测试工作流程的信息化 通过内控审计测试信息化，规范了内控审计测试流程，提高了内控审计的效率，降低了合规成本。 项目收益 项目收益（续） 项目收益（续） 在内控体系建设过程中，中国石油与IDS Scheer通力合作，创新地运用世界上最先进的流程管理方法论，建立了统一的企业流程管理体系，并实现了岗位职责、风险控制与业务流程有机结合，对传统管理方式进行了总结和提升。 在内控体系建设过程中，中国石油与IDS Scheer通力合作，创新地运用世界上最先进的流程管理方法论，建立了统一的企业流程管理体系，并实现了岗位职责、风险控制与业务流程有机结合，对传统管理方式进行了总结和提升。 * * * * * 另一方面，监管企业行为的政府、股东及公众机构，为了保护企业利益相关人的利益不受损失，也要求企业建设风险管理和内控体系，并制定相应的法律法规。目前有关企业全面风险管理和内控方面的主要法律法规可以分为如下四个方面： 1）企业股东以保护自身利益为主的，如 国务院国有资产监督管理委员会，从国有企业大股东利益角度出发，制定的《中央企业全面风险管理指引》 2）证券交易所以保护企业公众投资股东利益为主的 《萨班斯法案》 《上海证券交易所上市公司内部控制指引》 《深圳证券交易所上市公司内部控制指引》 3）行业监管部门以保护行业和行业客户利益为主的 《保险公司风险管理指引（试行）》 《商业银行操作风险管理指引》 《证券公司风险控制指标管理办法》 4）政府部门以维护市场经济秩序和公众利益为主的， 财政部《企业内部控制基本规范》 国内企业会计准则第30号 香港7号会计准则 * * 风险管理信息沟通是建设和实施企业全面风险管理体系的必要条件。 企业应建立贯穿于整个风险管理基本流程，连接各上下级、各部门和业务单位的风险管理信息沟通渠道，确保信息沟通的及时、准确、完整，为风险管理监督与改进奠定基础。 企业应当明确内部控制相关信息的收集、处理和传递程序，确保信息及时沟通，促进内部控制有效运行。企业应当将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间，以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题，应当及时报告并加以解决。重要信息应当及时传递给董事会、监事会和经理层。 企业应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合，提高信息的有用性。 风险管理和内控信息的主要载体是风险管理和内控手册。企业应当通过编制管理手册，使全体员工掌握内部机构设置、岗位职责、业务流程等情况，明确权责分配，正确行使职权。 企业应将信息技术应用于风险管理的各项工作，建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统，包括信息的采集、存储、加工、分析、测试、传递、报告、披露等。 企业应采取措施确保向风险管理信息系统输入的业务数据和风险量化值的一致性、准确性、及时性、可用性和完整性。对输入信息系统的数据，未经批准，不得更改。 风险管理信息系统应能够进行对各种风险的计量和定量分析、定量测试；能够实时反映风险矩阵和排序频谱、重大风险和重要业务流程的监控状态；能够对超过风险预警上限的重大风险实施信息报警；能够满足风险管理内部信息报告制度和企业对外信息披露管理制度的要求。 风险管理信息系统应实现信息在各职能部门、业务单位之间的集成与共享，既能满足单项业务风险管理的要求，也能满足企业整体和跨职能部门、业务单位的风险管理综合要求。 企业应确保风险管理信息系统的稳定运行和安全，并根据实际需要不断进行改进、完善或更新。 已建立或基本建立企业管理信息系统的企业，应补充、调整、更新已有的管理流程和管理程序，建立完善的风险管理信息系统；尚未建立企业管理信息系统的，应将风险管理与企业各项管理业务流程、管理软件统一规划、统一设计、统一实施、同步运行。 企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全稳定运行。 * 风险管理信息沟通是建设和实施企业全面风险管理体系的必要条件。 企业应建立贯穿于整个风险管理基本流程，连接各