文/中興新云·財務云

各種不同行業(yè)、不同業(yè)態(tài)的企業(yè)有不同的內控與風險管理的方法，但其最終目的都是幫助企業(yè)在業(yè)務經營活動中防范及規(guī)避風險的發(fā)生，避免給企業(yè)帶來經濟損失。

公司治理、風險及合規(guī)管理（Governance，Risk & Compliance，以下簡稱“GRC”）是指企業(yè)為滿足內部和外部的法定要求和標準，而開展的建立公司治理結構、識別并設計受法規(guī)影響的流程、識別及評估風險、設計及實施內部控制系統(tǒng)、監(jiān)督并改進內部控制系統(tǒng)的有效性等工作。

風險內控及合規(guī)管理定義

1、企業(yè)風險管理

一個持續(xù)經營的企業(yè)不可避免地會面對各種各樣的風險，如因環(huán)境變化或不明朗的政策引起的環(huán)境風險、因不適當?shù)囊龑ЬV領和規(guī)劃而產生的戰(zhàn)略風險以及企業(yè)參與投資活動產生投資風險，企業(yè)運作必然會有資金風險，甚至因為人為原因產生的道德風險，特別是隨著社會和經濟的發(fā)展，企業(yè)在不斷變化的市場環(huán)境下的交易行為和自身組織創(chuàng)新也產生了各種風險。

企業(yè)風險管理的目標是通過對企業(yè)的風險進行控制和管理，盡可能使得某一風險事件或行為造成的損失比預期小，創(chuàng)造的價值比預期大，即風險溢價最大化。具體地說，根據企業(yè)確定的任務或預期，管理者制定企業(yè)的戰(zhàn)略目標，選擇戰(zhàn)略并確定其他與之相關的目標在企業(yè)內層層分解和落實。確定了企業(yè)的目標，才能夠確定對目標的實現(xiàn)有潛在影響的事項。企業(yè)風險管理就是提供給企業(yè)管理者一個適當?shù)倪^程，既能夠幫助制定企業(yè)的目標，又能夠將目標與企業(yè)的任務或預期聯(lián)系在一起，并且保證制定的目標與企業(yè)的風險偏好相一致。企業(yè)風險管理目的在于企業(yè)目標的實現(xiàn)，保證股東財富的最大化。

企業(yè)風險管理涉及企業(yè)各個層次的員工，滲透于企業(yè)各項活動中的一系列行動，這些行動普遍存在管理者對企業(yè)的日常管理中，是企業(yè)日常管理所固有的。企業(yè)必須從全局、從總體層面上考慮企業(yè)的各項活動，應以風險組合的觀點看待風險。風險管理過程應用于企業(yè)內部每個層次和部門，應考慮組織內所有層面的活動，從企業(yè)總體的活動（如戰(zhàn)略計劃和資源分配）到業(yè)務部門的活動（如市場部、人力資源部），再到業(yè)務流程（如生產過程和新客戶信用符合），而不是孤立地進行若干個獨立的風險管理。對企業(yè)管理者而言，對企業(yè)所面臨的風險應樹立總體層面上的風險組合觀，應從風險管理的有效性考慮，通過對企業(yè)不同階段不同方面的各種風險的識別和評價，并在此基礎上優(yōu)化組合各種風險防范策略，對風險實施有效的控制和監(jiān)督，以最少的成本獲得最大的風險溢價。

風險是客觀存在的，企業(yè)無法回避它給企業(yè)發(fā)展帶來的影響，企業(yè)需要有意識地面對風險。風險是可以預防和控制的，通過風險管理、風險控制，不僅可以帶來風險價值，也可以創(chuàng)造風險溢價，這是成功風險管理的關鍵。

2、企業(yè)內部控制

企業(yè)內部控制是風險應對的手段，正是因為存在各種各樣的風險，企業(yè)才有必要建立良好的內部控制系統(tǒng)，從而保證企業(yè)目標的實現(xiàn)。內部控制有利于提高企業(yè)經營效率，降低資產損失風險，有助于保證財務報表的可靠性、企業(yè)經營活動的合法合規(guī)性。

內部控制體系能夠有效地監(jiān)督業(yè)務流程的運行情況，并在發(fā)生違規(guī)業(yè)務時及時報告。內部控制體系設計不是一成不變的，需要根據企業(yè)實際的狀態(tài)以及所開展的業(yè)務靈活設定，但是必須要遵循一定的標準體系。企業(yè)在初創(chuàng)期和業(yè)務發(fā)展期，由于業(yè)務發(fā)生的需要，通常會制定較為靈活的政策和業(yè)務流程，從而適應客戶多變的需求。而進入穩(wěn)定期且業(yè)務成熟以后，其靈活的業(yè)務流程會慢慢地向標準化和規(guī)范化演變，會更加注重業(yè)務流程執(zhí)行的合規(guī)性，保證企業(yè)的長期穩(wěn)定和健康發(fā)展。應當說，企業(yè)業(yè)務流程執(zhí)行合規(guī)與否，與企業(yè)內部控制建設和推行力度有非常密切的關系。

COSO《企業(yè)風險管理框架》（如圖1所示）。

3、企業(yè)合規(guī)管理

企業(yè)的合規(guī)管理是指企業(yè)通過制定合規(guī)政策，按照外部法規(guī)的要求統(tǒng)一制定并持續(xù)修改內部規(guī)范，監(jiān)督內部規(guī)范的執(zhí)行，以實現(xiàn)增強內部控制，對違規(guī)行為進行持續(xù)監(jiān)測、識別、預警、防范、控制、化解合規(guī)風險的一整套管理活動和機制。合規(guī)管理，是內控的一個重要方面，也是風險管理的一個關鍵環(huán)節(jié)。全球化經營的企業(yè)尤其要關注海外經營國的合規(guī)要求，防范合規(guī)風險。

全球貿易條款，越來越多的中國企業(yè)開始執(zhí)行跨境貿易，跨境貿易與境內貿易不同，除了在管理貿易合同、費用結算、收發(fā)貨等傳統(tǒng)的內容之外，更需要關注與各國海外相關的關務事宜、關稅事宜以及在跨境貿易過程中不可避免的貿易禁運、貿易黑名單、自由貿易協(xié)定、貿易最惠國待遇等內容。

圖1 COSO 企業(yè)風險管理整合框架

內控&風險管理系統(tǒng)概述

1、內控&風險管理系統(tǒng)體系架構

內控&風險管理系統(tǒng)，處于企業(yè)財務信息系統(tǒng)架構中的管理層（如圖2所示），專注于企業(yè)如何防范風險、如何做到更有效的內部控制，規(guī)避企業(yè)在業(yè)務經營過程中所可能發(fā)生的各類風險和不合規(guī)行為。內控&風險管理系統(tǒng)與企業(yè)的多個業(yè)務系統(tǒng)和財務系統(tǒng)集成，因為企業(yè)的內控和風險管理體現(xiàn)在所有業(yè)務流程和信息系統(tǒng)中，而并非某個單獨的系統(tǒng)中。

2、內控&風險管理系統(tǒng)產生的背景

（1）難以滿足持續(xù)合規(guī)要求。由于企業(yè)內外部環(huán)境的變化，企業(yè)需要相應的調整管理體系，以滿足持續(xù)合規(guī)的要求。首先，外部法律法規(guī)及標準的增加或調整，需要企業(yè)增加新的管理體系或調整已有管理體系以滿足合規(guī)要求。其次，當公司的組織結構、業(yè)務模式及業(yè)務流程發(fā)生變化時，也需要相應調整管理體系，以真實反映公司業(yè)務現(xiàn)實，滿足合規(guī)要求。

基于傳統(tǒng)的手工式的管理方式，內控管理不僅效率低下，而且無法保留完整的證據鏈，可追溯性差，難以保證內控與風險管理的有效性，不能完全滿足外部監(jiān)管需求，也不能為管理層的對外承諾提供保障。

（2）內控規(guī)則與業(yè)務活動難以融合。業(yè)務流程管理是企業(yè)管理的基礎，也是進行內部控制的基礎，內控管理要在企業(yè)中充分發(fā)揮作用就必須與企業(yè)業(yè)務流程管理進行結合，傳統(tǒng)的人工檢查，難以覆蓋并深入到企業(yè)的各個業(yè)務流程中，在企業(yè)新業(yè)務模式不斷出現(xiàn)的情況下，內控難以實現(xiàn)，或滯后于業(yè)務發(fā)展。

（3）風險管理缺乏系統(tǒng)、科學的工具。企業(yè)中風險管理活動往往是瞬間或間斷性的，很多企業(yè)意識到了就進行管理或者根本是在無意識狀態(tài)中進行，缺乏系統(tǒng)、科學的管理工具。風險管理工作，沒有統(tǒng)一的系統(tǒng)來規(guī)范形成統(tǒng)一的術語、標準，各業(yè)務單位有的使用自己的IT工具來管理，有的完全依賴Excel表格。企業(yè)對風險數(shù)據的搜集匯總分析完全依靠手工，無法通過IT監(jiān)控建立預警指標，影響風險管控的精準性與時效性。另外，企業(yè)總部與業(yè)務單位之間的信息往來溝通安全性差、周期長、低價值的重復性工作較多，不利于數(shù)據積累和沉淀，也在一定程度上制約了風險報告預測決策性價值的發(fā)揮。

圖2 內控&風險管理系統(tǒng)架構圖

圖3 企業(yè)全面風險管理與內控管理的四道防線

內控&風險管理系統(tǒng)流程

企業(yè)的全面風險管理與內控管理流程中，可以分解為四道防線（如圖3所示）。

企業(yè)的董事會和高管層是全面風險管理工作能夠順利開展和推進的基石，沒有領導的支持，這樣的工作是無法完成的，董事會和企業(yè)高管層在制定企業(yè)戰(zhàn)略目標的過程中，應當考慮其可能面臨的風險，并通過逐級推進的方式對這些風險進行應對和控制，從而保證企業(yè)戰(zhàn)略目標的達成，這是第零道防線。

第一道防線是企業(yè)的各級業(yè)務部門。各級業(yè)務部門在執(zhí)行業(yè)務的過程中，需要具有風險防范的意識和方法，并及時阻止可能出現(xiàn)的風險事件。這要求企業(yè)在其發(fā)展過程中，需要具備良好的風險管理文化和風險管理意識。

第二道防線是企業(yè)風險與內控管理的職能部門。對于第二道防線來說，需要為處于第一道防線的業(yè)務部門提供有效的風險規(guī)避與防范工具，例如定期的風險評估、實時的風險預警體系建設等，這些都是風險管理職能部門需要做到的。而對于內部控制職能部門來說，建立有效的內部控制體系，進行定期的評估和測試，并對所發(fā)現(xiàn)的內部控制問題或者內部控制缺陷進行有效地不間斷地跟蹤，以確保內部控制體系能夠有效地實行，這是內部控制職能部門的職責所在。

第三道防線是企業(yè)的內部審計部門，這是企業(yè)在業(yè)務風險管理與控制層面的最后一道防線。內部審計部門開展的工作對于企業(yè)業(yè)務的穩(wěn)定運行和企業(yè)的可持續(xù)發(fā)展是非常重要的，其職責范圍主要定位于對企業(yè)的業(yè)務經營信息和狀況進行定期的審查和內部稽核。

健康的風險管理和內部控制體系是需要上述的四道防線緊密協(xié)同工作的。業(yè)務部門處于業(yè)務的第一線，利用風控管理職能部門在風險控制方面的理念、方法、工具等及時地發(fā)現(xiàn)業(yè)務風險，采取應對手段和控制措施。風控管理職能部門則需要在企業(yè)推行良好的風險管理文化和風險控制體系，為業(yè)務部門輸送可以應用于實際業(yè)務的“彈藥”。內部審計部門作為企業(yè)風險控制和業(yè)務稽核工作的最后一道防線，通過嚴格的審計方法和審計程序執(zhí)行稽核，保證企業(yè)重大業(yè)務事項的順利開展和推進。

圖4 內控&風險管理系統(tǒng)功能框架

圖5 風險管理模塊系統(tǒng)邏輯

內控&風險管理系統(tǒng)功能介紹

1、內控&風險管理系統(tǒng)總體功能框架

完整的、整合的內控&風險管理系統(tǒng)是企業(yè)風險管理和內部控制的綜合性智能管理平臺，包括分析、設計、測試、整改、監(jiān)控等GRC全流程系統(tǒng)化，在系統(tǒng)上實現(xiàn)工作流的自動化。系統(tǒng)自動掃描相關系統(tǒng)的控制，實現(xiàn)實時控制監(jiān)控，并擁有強大的報告功能，保證管理層能夠及時地、全面地了解企業(yè)內部控制在合規(guī)上存在的問題。內控&風險管理系統(tǒng)一般包括風險管理、內控管理、審計管理等模塊（如圖4所示）。

2、內控&風險管理系統(tǒng)具體功能

（1）風險管理。

風險管理功能將風險記錄以及處理過程信息化，替代目前的風險清單的手工提交和匯總過程，從而逐步建立風險庫，實現(xiàn)風險報告自動化，并通過建立風險估算和分析模型的方式將風險管理融入到業(yè)務的實時環(huán)境中。風險管理模塊系統(tǒng)邏輯（如圖5所示）。

風險識別，主要完成收集、梳理、辨識戰(zhàn)略風險、運營風險、財務風險和法律風險等風險事件，并分類提交到風險事件庫中。風險問卷子模塊內置了多種辨識問卷，如財務類、運營類等風險問卷，可通過評估問卷的在線發(fā)布，讓風險專家等通過網頁方式進行風險評估，提高效率。

風險評估，風險評估的結果可以是定性的，也可以是定量的或者混合型的，風險評估的方法可以是單人評估，也可以是多人同時進行評估，風險評估子模塊中可以自由設置用戶權重，并根據相應的計算公式，自動完成統(tǒng)計評估結果，提高評估階段的工作效率。風險評估的手段可以通過直接登錄評估表單進行，也可以通過調查問卷的方式進行。風險評估的結果能夠直接反應在風險管理熱圖中。

風險應對，內控&風險管理系統(tǒng)既能夠支持一般意義上的風險應對計劃，也可以支持通過內控管理進行風險應對。風險應對計劃可以線下執(zhí)行，線上更新結果，也可以和其他系統(tǒng)中的特定業(yè)務流程掛鉤，自動更新應對結果和實際效果。

風險監(jiān)控與報告，監(jiān)控關鍵風險指標以及風險應對的有效性和完整性，記錄風險事件和損失，生成風險報告。

除了風險管理主流程的系統(tǒng)功能，內控&風險管理系統(tǒng)還具有基本信息管理、風險矩陣、風險熱圖、風險預警、損失事件管理及駕駛艙展示等功能。

基本信息管理，與風險管理相關的各類國家相關制度、案例，企業(yè)風險管理手冊指引等規(guī)章制度。

風險矩陣，將風險矩陣中的風險列表分解到各部門、對應維護人員，進而可擴充維護信息。風險矩陣能夠分層級（比如標準風險庫、總部風險庫、分公司風險庫、項目風險庫）、分類別（比如戰(zhàn)略風險、財務風險、市場風險、運營風險、法律風險）的管理風險，可按層級或業(yè)務領域輸出風險矩陣和風險清單。在風險矩陣中，可以連接相關制度條款、查看風險相關事件、對應的控制點及內控流程，實現(xiàn)風險與內控、制度的關聯(lián)。同時，通過與流程的關聯(lián)，可實現(xiàn)風險列表與各業(yè)務崗位的關聯(lián)。

風險熱圖，基于風險評估過程，生成反映公司總體和各級單位的風險分布圖表，以及按業(yè)務流程或業(yè)務領域的視角來輸出，可以輸出流程和組織不同維度的圖標。對于評估風險等級高的風險點可進行“新增控制措施”和“優(yōu)化控制措施”操作，同時將風險等級高的風險點落點區(qū)域標記為高風險領域。風險熱圖可以多維度展示，從可能性、影響程度、變動趨勢等維度對固有風險和剩余風險進行分析，分析結果可以直觀的柱狀圖、餅狀圖、折線圖等方式進行展示。

風險預警，含關鍵風險指標的設置、派發(fā)，關鍵風險指標數(shù)據的呈報、關鍵風險指標數(shù)據的查看等子功能。支持預警管理功能，運用關鍵風險指標和模型等手段對風險實施監(jiān)控，收集和維護企業(yè)內外部風險事件及相關數(shù)據，為預警監(jiān)控提供數(shù)據基礎和依據。內控&風險管理系統(tǒng)與其他系統(tǒng)對接，使用數(shù)據倉儲技術（Extract-Transform-Load ETL）工具來自動形成指標數(shù)據的展示。指標的異常能夠與行動計劃工作流整合，比如觸發(fā)郵件、輸入分析內容等。

損失事件管理，內控&風險管理系統(tǒng)支持風險損失事件的管理，包括按照業(yè)務類型和原因進行時間分類和記錄歸檔，維護風險損失事件數(shù)據庫；已經發(fā)生的損失事件，可以與以前的風險管理過程數(shù)據進行比對，分析原因，便于相應的處理調整。能夠在按既定格式提供的接口文件中讀取數(shù)據，亦可通過系統(tǒng)內的工作流搜集損失事件數(shù)據，與行動計劃工作流整合。

駕駛艙，類似商業(yè)智能系統(tǒng)的展示功能，將風險管理關鍵數(shù)據以儀表盤、柱狀圖、折線圖等直觀方式進行推送（如圖6所示）。提供各類風險報告模板，支持定制客戶化風險及內控相關報告、報表；支持報告編制、審批、發(fā)布的全過程管理；支持自動計算、匯總風險管理報告所需數(shù)據，自動匯總、傳遞企業(yè)內部及各個層面之間的溝通信息、內部專題通報等。通過可視化圖表分析風險數(shù)據，提供決策支持依據。

（2）內控管理。

內控手冊，內部控制手冊是企業(yè)開展內部控制工作必要的基礎內容，也是指導企業(yè)開展內部控制非常重要的內部指引性文件。內部控制手冊的主體內容是企業(yè)內部控制矩陣，包含企業(yè)內部控制所涉及的所有業(yè)務流程、子流程、風險點、控制點、相關的政策及法律法規(guī)、控制點測試步驟及方法、所負責的業(yè)務部門以及相關的負責人等信息。內控手冊維護如圖7所示。

內控評估與測試，是企業(yè)內部控制工作開展的主要內容。用結構化的方法開展自我評估，關注業(yè)務過程和控制成效。通過設計、規(guī)劃和運行內部自我評估程序，有組織性地對管理控制和治理負責。

①測試程序設置?；陲L險矩陣數(shù)據，為每一個控制措施定義其測試指引信息，如樣本來源、樣本數(shù)量、抽樣方法以及測試程序等信息。

圖6 風險管理駕駛艙示例

圖7 內控手冊維護

②測試工作展開。基于測試程序要求，記錄測試過程；支持基于樣本和總體的測試；基于測試過程中發(fā)現(xiàn)的問題，能夠調整內控手冊描述、修改制度等；記錄缺陷評價、整改措施。

③自動測試。關鍵內控點監(jiān)控與管理，挑選控制點中能夠量化的關鍵控制點，通過系統(tǒng)集成的方式進行實時監(jiān)控，及時預警。通過數(shù)據集成方法，實現(xiàn)與其他業(yè)務系統(tǒng)的數(shù)據采集、清洗、轉換、裝載，可利用規(guī)則算法對采集到的監(jiān)控數(shù)據進行規(guī)則計算和處理，實現(xiàn)對業(yè)務系統(tǒng)內控執(zhí)行的數(shù)據變化情況進行實時監(jiān)控和分析，提取出可用的樣本信息，加入樣本庫，分配至內控評價工作底稿，進行多角度的內控評價和樣本測試，對于可量化的樣本可進行自動測試。

④內控缺陷整改。內部控制測試過程中所發(fā)現(xiàn)的問題被稱之為內控缺陷。對于內控缺陷的管理是所有企業(yè)在內部控制評估項目過程中最為重視的內容，也是在內部控制報告發(fā)布的內容中最為關鍵的部分。內部控制缺陷管理的過程包括在測試評估過程中所發(fā)現(xiàn)內控缺陷的報告，后續(xù)整改計劃的制定、執(zhí)行和進度跟進，內部控制缺陷發(fā)布等級的逐級認定過程，以及內部控制缺陷和內控報告的簽核過程。內部控制缺陷等級的逐級認定是在企業(yè)年度內部控制測試評估項目中非常重要的環(huán)節(jié)，所認定的等級與內部控制自評報告中所發(fā)布的等級一致，因此對于企業(yè)管理層來說非常重要和關鍵。

內控報告，統(tǒng)一提供大量預置的內部控制報告和報表，允許用戶在系統(tǒng)中進行各類信息的查詢和跟進。報表的內容主要包括內部控制矩陣、內部控制測試和評估進度、內部控制測試和評估結果統(tǒng)計分析、內部控制缺陷報告以及內部控制缺陷整改報告等內容。

（3）內審管理。

審計功能模塊的總體目標有以下五個方面：

①以風險為導向的審計：按業(yè)務流程和風險因素編制風險導向的審計計劃；提供深度風險管理報告；匯總公司各類風險情況，確定和安排審計工作。

②電子工作底稿：采用統(tǒng)一的審計方法，高質量地完成審計工作；全面記錄工作內容和重要信息；審計結論與過程記錄保持一致，任何一點均可隨時追溯并復核；審核工作不受地域限制；實現(xiàn)審計報告自動化，縮短報告編制時間；共享知識以備下次審計。

③審計跟蹤：監(jiān)控和追蹤審計發(fā)現(xiàn)的后續(xù)整改；幫助審計對象實施整改追蹤；提升擴大審計成效。

④審計資源管理：維護審計人員技能和知識檔案；根據審計項目需要的技能和知識分配資源；實現(xiàn)審計資源利用率最大化。

⑤審計知識庫：記錄并交流最佳實踐審計經驗；復用和改進審計方法；共享各種知識，包括法律法規(guī)、審計報告、審計底稿、審計問題、技巧方法等。

內審管理模塊功能如圖8所示，具體可以分解為：

年度審計計劃，年度計劃的制定依據，均有系統(tǒng)支撐及相關記錄。年度計劃可以分解為半年計劃、季度計劃、月度計劃以及各類計劃的變更、查詢功能。

審計項目開展，項目啟動時，項目組長根據項目特點，可以從部門標準知識庫中選擇適當?shù)膶徲嫹桨?。若是以往未開展過的或未規(guī)程化的審計項目，審計組可以在部門已有標準知識庫的基礎上有選擇性地選用適合的程序或制定新的審計程序，然后擴充更新到部門標準知識庫中，供以后使用。項目組長完成方案編制，并審批完成，根據方案中的內容，為項目成員分派任務。

電子底稿管理，底稿由系統(tǒng)自動編號，對底稿模式、審計信息等要素進行統(tǒng)一規(guī)范，清晰地反映審計任務目標、執(zhí)行步驟/要求/指令、審計過程記錄、審計問題、審計建議、審計結論、底稿編制人及修改/編制時間、各級底稿復核人及復核時間等。

圖8 內審管理模塊功能

圖9 內控&風險管理系統(tǒng)對接示意圖

審計任務和工作底稿的完成進度隨完成情況自動更新，并可以提供實時完成進度統(tǒng)計，包括：程序/底稿完成待審閱數(shù)量、程序/底稿審閱完成數(shù)量、程序/底稿正在執(zhí)行中數(shù)量、未開始執(zhí)行的程序/底稿數(shù)量等，方便項目組長實時管控項目進度。項目組長可以看到項目組成員上傳的審計底稿，進行底稿審閱、進行批注，項目組成員根據底稿審閱意見進行相應修改。

底稿能夠支持自動轉化為審計報告。根據事先配置好的原則，抓取電子工作底稿中相關內容，轉化至審計報告草稿模板。底稿中要體現(xiàn)審計報告中的各要素，從一開始編制底稿，就是為編制報告而服務，相關干系人都可以參與提供建議或幫助。

審計報告，支持審計報告征求意見環(huán)節(jié)：按權限分發(fā)審計報告征求意見稿，對方直接回復意見，可進行郵件催辦。支持審計報告的發(fā)送、借閱、檢索、日志管理。

審計知識庫，審計人員可將收集整理的審計方法、審計程序、分析模型、工作經驗、作業(yè)經驗等按照不同分類，分別存儲到審計經驗庫中。在工作過程中，審計方案、底稿等內容，可轉換整理到審計知識庫中。審計資源庫實現(xiàn)對各種法律法規(guī)及內部制度的集中管理。能夠自定義多級分類，對各種法律法規(guī)及公司內部制度進行分類管理，如：會計法、會計準則、審計準則、合同法、公司法、稅法、票據法等分類創(chuàng)建?？砂炊鄠€條件進行檢索，并能夠在編制審計底稿的同時將相關法律條款進行引用，自動嵌入審計底稿中，并支持權限控制下的法規(guī)維護。

內控&風險管理系統(tǒng)信息對接管理

內控&風險管理系統(tǒng)與企業(yè)多個系統(tǒng)存在對接關系，包括業(yè)務系統(tǒng)、HR系統(tǒng)、門戶系統(tǒng)以及OA系統(tǒng)和郵件系統(tǒng)（如圖9所示）。

內控&風險管理系統(tǒng)與企業(yè)多個應用系統(tǒng)對接，嵌入企業(yè)整體運營流程，實現(xiàn)了風險管理、流程內控和信息訪問權限事前、事中和事后的全程管理。內控&風險管理系統(tǒng)通過一定的程序和方法對其他應用系統(tǒng)中所涉及的流程和關鍵控制點進行定期的檢查和確認（信息系統(tǒng)審計和稽核過程），確保系統(tǒng)的配置或參數(shù)設置是符合企業(yè)的實際要求的，而對于流程的變更、配置或者參數(shù)的變更是經過必要的變更流程（審批流程），在應用系統(tǒng)中有相應的變更日志記錄所有發(fā)生的變更內容、發(fā)生時間和相關執(zhí)行變更的人員。

因此通過內控風險管理這樣專業(yè)化的系統(tǒng)對其他系統(tǒng)中的現(xiàn)有流程、關鍵控制點進行連續(xù)不間斷地實時監(jiān)控，可以實時檢查其他系統(tǒng)的流程控制點設置及其變更情況，及時了解其他系統(tǒng)中業(yè)務流程的合規(guī)性狀況，并給相應的合規(guī)性報告。

內控&風險管理系統(tǒng)實施意義

內控&風險管理系統(tǒng)是企業(yè)風險管理與內部控制的整合性平臺，從風險信息的收集，到風險智庫的建立，再到風險點的調查與評估、風險點的應對和控制以及風險管理與控制的報告生成等，均在統(tǒng)一的平臺上完成。內控&風險管理系統(tǒng)在應用過程中將企業(yè)在風險管理和內部控制的體系架構、管控內容進行落地和實現(xiàn)，從而幫助企業(yè)更有效率地執(zhí)行其風險管理與控制工作。

（1）搭建統(tǒng)一透明的內控平臺。內控&風險管理系統(tǒng)將所有的流程、控制描述，測試文檔和合規(guī)報告統(tǒng)一在一個系統(tǒng)平臺上，顯著降低了管理多個地區(qū)合規(guī)操作的人力和成本，也更有利于管理層識別合規(guī)缺陷與差距。同時，借助內控&風險管理系統(tǒng)，企業(yè)所有的管理層和內控部門可以在一個平臺上校驗系統(tǒng)內可能存在的不合理權限設置和職責沖突風險，讓各個部門中存在的風險盡可能完全透明化。

（2）將風險管理由事后核查轉變?yōu)槭孪阮A防。對于任何權限審批與變更，內控&風險管理系統(tǒng)都強制要求經過預定流程，并且調用職責分離規(guī)則來自動地分析識別新舊角色和權限之間是否存在沖突，實時作出提醒和預警，這樣各級領導在審批權限的時候就能知曉是否造成職責沖突，迅速判別潛在風險，避免在風險影響到業(yè)務的時候才采取“馬后炮”式的補救措施，強制性的流程設置也杜絕了因人為疏忽和徇私舞弊造成的訪問例外情況。

（3）提供全面準確的風險圖譜，提升風險應對效果。內控&風險管理系統(tǒng)幫助企業(yè)開展主動的，各方面協(xié)作的流程以平衡企業(yè)所有層次上財務，合規(guī)及業(yè)務操作方面的機會與風險，統(tǒng)一公司的風險語言，強化預警效果，提升風險應對效果，釋放低價值方面的工作內容，并且給企業(yè)管理層提供全面的、準確的、實時的企業(yè)風險圖譜，幫助管理層風險排序，安排應對方案。