SAP企业风险和内控管理方案概要.PDFVIP

SAP 企业风险和内控管理 方案概要方案概要 SAP 中国 2010.05 主要内容 一.SAPSAP 对企业风险管控的理解对企业风险管控的理解 二.解决方案介绍 三.系统架构 四.案例 当前企业风控及内审所面临的问题 1. 风险内控及内审系统多风险内控及内审系统多止步于步于OA系统建设和手系统建设和手工测试控制，缺乏自动化控制手段测试控制，缺乏自动化控制手段 对后台ERP等应用系统进行自动化、连续性的监控，造成风险事件发现与报告不及 时，内部控制隐患的处置效率较低、内部审计团队工作量大； 2. 缺乏统一的风险管控平台与自动化风险预警机制的完美结合，风险预警的报告、应 对多采用人工方式进行分散管理； 3. 由于企业业务形态和业务流程的扩张，内审部门所需进行的审计范围不断扩大，较 难确定一个合适的审计范围，人力资源无法满足； 4. IT应用系统的广泛使用导致权限合理性矛盾突出，业务用户的权限分配不当和分配 错误构成很大的风险隐患。传统的内审使用手工方式检查权限分配不当问题效率较 低低 ，成本较高；而企业对类似于成本较高；而企业对类似于SAPSAP_ALLALL等超级用户缺乏好的自动管控方法等超级用户缺乏好的自动管控方法 ，给给 信息安全带来隐患； 55. 企业的风控和内审体系与企业战略和绩效管理有所企业的风控和内审体系与企业战略和绩效管理有所脱节，风险评估及内控管理结果脱节，风险评估及内控管理结果 不与绩效指标联动管理； 6.6. ………… 当前企业风控及内审所面临的问题 建议解决途径建议解决途径 建立统建立统一的风险管控平台，企业风险管控与企业战略目标相对应，实现的风险管控平台，企业风险管控与企业战略目标相对应，实现KPIKPI 与KRI的联动机制和自动化风险预警 建立统建立统一的内审管理平台的内审管理平台 ，在解决手工测试的同时在解决手工测试的同时 ，实现自动控制的持续实现自动控制的持续 性监控 引入以风险为导向的内部审计体系引入以风险为导向的内部审计体系 建立电子化的用户访问权限授权体系，防范因权限过大而带来的访问权限 风险，避免舞弊事件的发生 通过电子化手段加强对超级用户的管控力度，避免超级用户帐号滥用情况通过电子化手段加强对超级用户的管控力度，避免超级用户帐号滥用情况 的发生 SAP帮助企业风控及内审人员建立统一的管理体系和 管理平台，实现工作效率的最优化。 © SAP AG 2009. All rights reserved. / Page 4 持续性风险监控机制 SAPSAP利用关键风险指标与内利用关键风险指标与内//外部系统的结合，实现持续性的风险监控和预警外部系统的结合，实现持续性的风险监控和预警 关键风险指标KRI定义 关键风险指标是指代表某一风险领域变化情况并可定期监控的统计指标。关键 风险指标可用于监测可能造成损失事件的各项风险及控制措施，并作为反映风 险变化情况的早期预警指标险变化情况的早期预警指标。具体指标例如具体指标例如 ：每亿元资产损失率每亿元资产损失率、超过超过一定期定期 限尚未确认的交易数量、失败交易占总交易数量的比例、员工流动率、客户投 诉次数、错误和遗漏的频率以及严重程度等。诉次数、错误和遗漏的频率以及严重程度等。 持续性风险监控有着传统的风险管理流程无法比拟的优势 持续性风险监控能够保证企业将关键的控制资源运用在最关键的风险点上 持续性风险持续性风险监控帮助控帮助企业识别新发识别新发生的或即将发的或即将发生的风险，并运用相应的手段对其的风险，并运用相应的手段对其 进行应对 识别别已知知风险点点等级级的突然变化，，在第一时间引起起管理层和和内审人员员的关注 SAP GRC风险控制产品特点概述 1. 完完整记录录企业各各业务和务和经营环节的风险点、流程控制点，实现同营环节的风险点、流程控制点，实现同一的风险管的风险管理和内和内 部控制平台平台 2. 实现自动采集ERP系统业务数据的功能（（PC 自动控制，，KRI ）） 3. 实现通过企业内部控制方式自动应对企业风险，并将内部控制测试结果直接反应至 风险等级的高低 4. 全面支持企业内控和内审环节的测试评估工作，实现远程化、平台化的管理，并充 分的进行知识转移 5. 建立基于角色的用户界面，提