文/中興新云·財(cái)務(wù)云

各種不同行業(yè)、不同業(yè)態(tài)的企業(yè)有不同的內(nèi)控與風(fēng)險(xiǎn)管理的方法，但其最終目的都是幫助企業(yè)在業(yè)務(wù)經(jīng)營活動(dòng)中防范及規(guī)避風(fēng)險(xiǎn)的發(fā)生，避免給企業(yè)帶來經(jīng)濟(jì)損失。

公司治理、風(fēng)險(xiǎn)及合規(guī)管理（Governance，Risk & Compliance，以下簡稱“GRC”）是指企業(yè)為滿足內(nèi)部和外部的法定要求和標(biāo)準(zhǔn)，而開展的建立公司治理結(jié)構(gòu)、識別并設(shè)計(jì)受法規(guī)影響的流程、識別及評估風(fēng)險(xiǎn)、設(shè)計(jì)及實(shí)施內(nèi)部控制系統(tǒng)、監(jiān)督并改進(jìn)內(nèi)部控制系統(tǒng)的有效性等工作。

風(fēng)險(xiǎn)內(nèi)控及合規(guī)管理定義

1、企業(yè)風(fēng)險(xiǎn)管理

一個(gè)持續(xù)經(jīng)營的企業(yè)不可避免地會(huì)面對各種各樣的風(fēng)險(xiǎn)，如因環(huán)境變化或不明朗的政策引起的環(huán)境風(fēng)險(xiǎn)、因不適當(dāng)?shù)囊龑?dǎo)綱領(lǐng)和規(guī)劃而產(chǎn)生的戰(zhàn)略風(fēng)險(xiǎn)以及企業(yè)參與投資活動(dòng)產(chǎn)生投資風(fēng)險(xiǎn)，企業(yè)運(yùn)作必然會(huì)有資金風(fēng)險(xiǎn)，甚至因?yàn)槿藶樵虍a(chǎn)生的道德風(fēng)險(xiǎn)，特別是隨著社會(huì)和經(jīng)濟(jì)的發(fā)展，企業(yè)在不斷變化的市場環(huán)境下的交易行為和自身組織創(chuàng)新也產(chǎn)生了各種風(fēng)險(xiǎn)。

企業(yè)風(fēng)險(xiǎn)管理的目標(biāo)是通過對企業(yè)的風(fēng)險(xiǎn)進(jìn)行控制和管理，盡可能使得某一風(fēng)險(xiǎn)事件或行為造成的損失比預(yù)期小，創(chuàng)造的價(jià)值比預(yù)期大，即風(fēng)險(xiǎn)溢價(jià)最大化。具體地說，根據(jù)企業(yè)確定的任務(wù)或預(yù)期，管理者制定企業(yè)的戰(zhàn)略目標(biāo)，選擇戰(zhàn)略并確定其他與之相關(guān)的目標(biāo)在企業(yè)內(nèi)層層分解和落實(shí)。確定了企業(yè)的目標(biāo)，才能夠確定對目標(biāo)的實(shí)現(xiàn)有潛在影響的事項(xiàng)。企業(yè)風(fēng)險(xiǎn)管理就是提供給企業(yè)管理者一個(gè)適當(dāng)?shù)倪^程，既能夠幫助制定企業(yè)的目標(biāo)，又能夠?qū)⒛繕?biāo)與企業(yè)的任務(wù)或預(yù)期聯(lián)系在一起，并且保證制定的目標(biāo)與企業(yè)的風(fēng)險(xiǎn)偏好相一致。企業(yè)風(fēng)險(xiǎn)管理目的在于企業(yè)目標(biāo)的實(shí)現(xiàn)，保證股東財(cái)富的最大化。

企業(yè)風(fēng)險(xiǎn)管理涉及企業(yè)各個(gè)層次的員工，滲透于企業(yè)各項(xiàng)活動(dòng)中的一系列行動(dòng)，這些行動(dòng)普遍存在管理者對企業(yè)的日常管理中，是企業(yè)日常管理所固有的。企業(yè)必須從全局、從總體層面上考慮企業(yè)的各項(xiàng)活動(dòng)，應(yīng)以風(fēng)險(xiǎn)組合的觀點(diǎn)看待風(fēng)險(xiǎn)。風(fēng)險(xiǎn)管理過程應(yīng)用于企業(yè)內(nèi)部每個(gè)層次和部門，應(yīng)考慮組織內(nèi)所有層面的活動(dòng)，從企業(yè)總體的活動(dòng)（如戰(zhàn)略計(jì)劃和資源分配）到業(yè)務(wù)部門的活動(dòng)（如市場部、人力資源部），再到業(yè)務(wù)流程（如生產(chǎn)過程和新客戶信用符合），而不是孤立地進(jìn)行若干個(gè)獨(dú)立的風(fēng)險(xiǎn)管理。對企業(yè)管理者而言，對企業(yè)所面臨的風(fēng)險(xiǎn)應(yīng)樹立總體層面上的風(fēng)險(xiǎn)組合觀，應(yīng)從風(fēng)險(xiǎn)管理的有效性考慮，通過對企業(yè)不同階段不同方面的各種風(fēng)險(xiǎn)的識別和評價(jià)，并在此基礎(chǔ)上優(yōu)化組合各種風(fēng)險(xiǎn)防范策略，對風(fēng)險(xiǎn)實(shí)施有效的控制和監(jiān)督，以最少的成本獲得最大的風(fēng)險(xiǎn)溢價(jià)。

風(fēng)險(xiǎn)是客觀存在的，企業(yè)無法回避它給企業(yè)發(fā)展帶來的影響，企業(yè)需要有意識地面對風(fēng)險(xiǎn)。風(fēng)險(xiǎn)是可以預(yù)防和控制的，通過風(fēng)險(xiǎn)管理、風(fēng)險(xiǎn)控制，不僅可以帶來風(fēng)險(xiǎn)價(jià)值，也可以創(chuàng)造風(fēng)險(xiǎn)溢價(jià)，這是成功風(fēng)險(xiǎn)管理的關(guān)鍵。

2、企業(yè)內(nèi)部控制

企業(yè)內(nèi)部控制是風(fēng)險(xiǎn)應(yīng)對的手段，正是因?yàn)榇嬖诟鞣N各樣的風(fēng)險(xiǎn)，企業(yè)才有必要建立良好的內(nèi)部控制系統(tǒng)，從而保證企業(yè)目標(biāo)的實(shí)現(xiàn)。內(nèi)部控制有利于提高企業(yè)經(jīng)營效率，降低資產(chǎn)損失風(fēng)險(xiǎn)，有助于保證財(cái)務(wù)報(bào)表的可靠性、企業(yè)經(jīng)營活動(dòng)的合法合規(guī)性。

內(nèi)部控制體系能夠有效地監(jiān)督業(yè)務(wù)流程的運(yùn)行情況，并在發(fā)生違規(guī)業(yè)務(wù)時(shí)及時(shí)報(bào)告。內(nèi)部控制體系設(shè)計(jì)不是一成不變的，需要根據(jù)企業(yè)實(shí)際的狀態(tài)以及所開展的業(yè)務(wù)靈活設(shè)定，但是必須要遵循一定的標(biāo)準(zhǔn)體系。企業(yè)在初創(chuàng)期和業(yè)務(wù)發(fā)展期，由于業(yè)務(wù)發(fā)生的需要，通常會(huì)制定較為靈活的政策和業(yè)務(wù)流程，從而適應(yīng)客戶多變的需求。而進(jìn)入穩(wěn)定期且業(yè)務(wù)成熟以后，其靈活的業(yè)務(wù)流程會(huì)慢慢地向標(biāo)準(zhǔn)化和規(guī)范化演變，會(huì)更加注重業(yè)務(wù)流程執(zhí)行的合規(guī)性，保證企業(yè)的長期穩(wěn)定和健康發(fā)展。應(yīng)當(dāng)說，企業(yè)業(yè)務(wù)流程執(zhí)行合規(guī)與否，與企業(yè)內(nèi)部控制建設(shè)和推行力度有非常密切的關(guān)系。

COSO《企業(yè)風(fēng)險(xiǎn)管理框架》（如圖1所示）。

3、企業(yè)合規(guī)管理

企業(yè)的合規(guī)管理是指企業(yè)通過制定合規(guī)政策，按照外部法規(guī)的要求統(tǒng)一制定并持續(xù)修改內(nèi)部規(guī)范，監(jiān)督內(nèi)部規(guī)范的執(zhí)行，以實(shí)現(xiàn)增強(qiáng)內(nèi)部控制，對違規(guī)行為進(jìn)行持續(xù)監(jiān)測、識別、預(yù)警、防范、控制、化解合規(guī)風(fēng)險(xiǎn)的一整套管理活動(dòng)和機(jī)制。合規(guī)管理，是內(nèi)控的一個(gè)重要方面，也是風(fēng)險(xiǎn)管理的一個(gè)關(guān)鍵環(huán)節(jié)。全球化經(jīng)營的企業(yè)尤其要關(guān)注海外經(jīng)營國的合規(guī)要求，防范合規(guī)風(fēng)險(xiǎn)。

全球貿(mào)易條款，越來越多的中國企業(yè)開始執(zhí)行跨境貿(mào)易，跨境貿(mào)易與境內(nèi)貿(mào)易不同，除了在管理貿(mào)易合同、費(fèi)用結(jié)算、收發(fā)貨等傳統(tǒng)的內(nèi)容之外，更需要關(guān)注與各國海外相關(guān)的關(guān)務(wù)事宜、關(guān)稅事宜以及在跨境貿(mào)易過程中不可避免的貿(mào)易禁運(yùn)、貿(mào)易黑名單、自由貿(mào)易協(xié)定、貿(mào)易最惠國待遇等內(nèi)容。

圖1 COSO 企業(yè)風(fēng)險(xiǎn)管理整合框架

內(nèi)控&風(fēng)險(xiǎn)管理系統(tǒng)概述

1、內(nèi)控&風(fēng)險(xiǎn)管理系統(tǒng)體系架構(gòu)

內(nèi)控&風(fēng)險(xiǎn)管理系統(tǒng)，處于企業(yè)財(cái)務(wù)信息系統(tǒng)架構(gòu)中的管理層（如圖2所示），專注于企業(yè)如何防范風(fēng)險(xiǎn)、如何做到更有效的內(nèi)部控制，規(guī)避企業(yè)在業(yè)務(wù)經(jīng)營過程中所可能發(fā)生的各類風(fēng)險(xiǎn)和不合規(guī)行為。內(nèi)控&風(fēng)險(xiǎn)管理系統(tǒng)與企業(yè)的多個(gè)業(yè)務(wù)系統(tǒng)和財(cái)務(wù)系統(tǒng)集成，因?yàn)槠髽I(yè)的內(nèi)控和風(fēng)險(xiǎn)管理體現(xiàn)在所有業(yè)務(wù)流程和信息系統(tǒng)中，而并非某個(gè)單獨(dú)的系統(tǒng)中。

2、內(nèi)控&風(fēng)險(xiǎn)管理系統(tǒng)產(chǎn)生的背景

（1）難以滿足持續(xù)合規(guī)要求。由于企業(yè)內(nèi)外部環(huán)境的變化，企業(yè)需要相應(yīng)的調(diào)整管理體系，以滿足持續(xù)合規(guī)的要求。首先，外部法律法規(guī)及標(biāo)準(zhǔn)的增加或調(diào)整，需要企業(yè)增加新的管理體系或調(diào)整已有管理體系以滿足合規(guī)要求。其次，當(dāng)公司的組織結(jié)構(gòu)、業(yè)務(wù)模式及業(yè)務(wù)流程發(fā)生變化時(shí)，也需要相應(yīng)調(diào)整管理體系，以真實(shí)反映公司業(yè)務(wù)現(xiàn)實(shí)，滿足合規(guī)要求。

基于傳統(tǒng)的手工式的管理方式，內(nèi)控管理不僅效率低下，而且無法保留完整的證據(jù)鏈，可追溯性差，難以保證內(nèi)控與風(fēng)險(xiǎn)管理的有效性，不能完全滿足外部監(jiān)管需求，也不能為管理層的對外承諾提供保障。

（2）內(nèi)控規(guī)則與業(yè)務(wù)活動(dòng)難以融合。業(yè)務(wù)流程管理是企業(yè)管理的基礎(chǔ)，也是進(jìn)行內(nèi)部控制的基礎(chǔ)，內(nèi)控管理要在企業(yè)中充分發(fā)揮作用就必須與企業(yè)業(yè)務(wù)流程管理進(jìn)行結(jié)合，傳統(tǒng)的人工檢查，難以覆蓋并深入到企業(yè)的各個(gè)業(yè)務(wù)流程中，在企業(yè)新業(yè)務(wù)模式不斷出現(xiàn)的情況下，內(nèi)控難以實(shí)現(xiàn)，或滯后于業(yè)務(wù)發(fā)展。

（3）風(fēng)險(xiǎn)管理缺乏系統(tǒng)、科學(xué)的工具。企業(yè)中風(fēng)險(xiǎn)管理活動(dòng)往往是瞬間或間斷性的，很多企業(yè)意識到了就進(jìn)行管理或者根本是在無意識狀態(tài)中進(jìn)行，缺乏系統(tǒng)、科學(xué)的管理工具。風(fēng)險(xiǎn)管理工作，沒有統(tǒng)一的系統(tǒng)來規(guī)范形成統(tǒng)一的術(shù)語、標(biāo)準(zhǔn)，各業(yè)務(wù)單位有的使用自己的IT工具來管理，有的完全依賴Excel表格。企業(yè)對風(fēng)險(xiǎn)數(shù)據(jù)的搜集匯總分析完全依靠手工，無法通過IT監(jiān)控建立預(yù)警指標(biāo)，影響風(fēng)險(xiǎn)管控的精準(zhǔn)性與時(shí)效性。另外，企業(yè)總部與業(yè)務(wù)單位之間的信息往來溝通安全性差、周期長、低價(jià)值的重復(fù)性工作較多，不利于數(shù)據(jù)積累和沉淀，也在一定程度上制約了風(fēng)險(xiǎn)報(bào)告預(yù)測決策性價(jià)值的發(fā)揮。

圖2 內(nèi)控&風(fēng)險(xiǎn)管理系統(tǒng)架構(gòu)圖

圖3 企業(yè)全面風(fēng)險(xiǎn)管理與內(nèi)控管理的四道防線

內(nèi)控&風(fēng)險(xiǎn)管理系統(tǒng)流程

企業(yè)的全面風(fēng)險(xiǎn)管理與內(nèi)控管理流程中，可以分解為四道防線（如圖3所示）。

企業(yè)的董事會(huì)和高管層是全面風(fēng)險(xiǎn)管理工作能夠順利開展和推進(jìn)的基石，沒有領(lǐng)導(dǎo)的支持，這樣的工作是無法完成的，董事會(huì)和企業(yè)高管層在制定企業(yè)戰(zhàn)略目標(biāo)的過程中，應(yīng)當(dāng)考慮其可能面臨的風(fēng)險(xiǎn)，并通過逐級推進(jìn)的方式對這些風(fēng)險(xiǎn)進(jìn)行應(yīng)對和控制，從而保證企業(yè)戰(zhàn)略目標(biāo)的達(dá)成，這是第零道防線。

第一道防線是企業(yè)的各級業(yè)務(wù)部門。各級業(yè)務(wù)部門在執(zhí)行業(yè)務(wù)的過程中，需要具有風(fēng)險(xiǎn)防范的意識和方法，并及時(shí)阻止可能出現(xiàn)的風(fēng)險(xiǎn)事件。這要求企業(yè)在其發(fā)展過程中，需要具備良好的風(fēng)險(xiǎn)管理文化和風(fēng)險(xiǎn)管理意識。

第二道防線是企業(yè)風(fēng)險(xiǎn)與內(nèi)控管理的職能部門。對于第二道防線來說，需要為處于第一道防線的業(yè)務(wù)部門提供有效的風(fēng)險(xiǎn)規(guī)避與防范工具，例如定期的風(fēng)險(xiǎn)評估、實(shí)時(shí)的風(fēng)險(xiǎn)預(yù)警體系建設(shè)等，這些都是風(fēng)險(xiǎn)管理職能部門需要做到的。而對于內(nèi)部控制職能部門來說，建立有效的內(nèi)部控制體系，進(jìn)行定期的評估和測試，并對所發(fā)現(xiàn)的內(nèi)部控制問題或者內(nèi)部控制缺陷進(jìn)行有效地不間斷地跟蹤，以確保內(nèi)部控制體系能夠有效地實(shí)行，這是內(nèi)部控制職能部門的職責(zé)所在。

第三道防線是企業(yè)的內(nèi)部審計(jì)部門，這是企業(yè)在業(yè)務(wù)風(fēng)險(xiǎn)管理與控制層面的最后一道防線。內(nèi)部審計(jì)部門開展的工作對于企業(yè)業(yè)務(wù)的穩(wěn)定運(yùn)行和企業(yè)的可持續(xù)發(fā)展是非常重要的，其職責(zé)范圍主要定位于對企業(yè)的業(yè)務(wù)經(jīng)營信息和狀況進(jìn)行定期的審查和內(nèi)部稽核。

健康的風(fēng)險(xiǎn)管理和內(nèi)部控制體系是需要上述的四道防線緊密協(xié)同工作的。業(yè)務(wù)部門處于業(yè)務(wù)的第一線，利用風(fēng)控管理職能部門在風(fēng)險(xiǎn)控制方面的理念、方法、工具等及時(shí)地發(fā)現(xiàn)業(yè)務(wù)風(fēng)險(xiǎn)，采取應(yīng)對手段和控制措施。風(fēng)控管理職能部門則需要在企業(yè)推行良好的風(fēng)險(xiǎn)管理文化和風(fēng)險(xiǎn)控制體系，為業(yè)務(wù)部門輸送可以應(yīng)用于實(shí)際業(yè)務(wù)的“彈藥”。內(nèi)部審計(jì)部門作為企業(yè)風(fēng)險(xiǎn)控制和業(yè)務(wù)稽核工作的最后一道防線，通過嚴(yán)格的審計(jì)方法和審計(jì)程序執(zhí)行稽核，保證企業(yè)重大業(yè)務(wù)事項(xiàng)的順利開展和推進(jìn)。

圖4 內(nèi)控&風(fēng)險(xiǎn)管理系統(tǒng)功能框架

圖5 風(fēng)險(xiǎn)管理模塊系統(tǒng)邏輯

內(nèi)控&風(fēng)險(xiǎn)管理系統(tǒng)功能介紹

1、內(nèi)控&風(fēng)險(xiǎn)管理系統(tǒng)總體功能框架

完整的、整合的內(nèi)控&風(fēng)險(xiǎn)管理系統(tǒng)是企業(yè)風(fēng)險(xiǎn)管理和內(nèi)部控制的綜合性智能管理平臺，包括分析、設(shè)計(jì)、測試、整改、監(jiān)控等GRC全流程系統(tǒng)化，在系統(tǒng)上實(shí)現(xiàn)工作流的自動(dòng)化。系統(tǒng)自動(dòng)掃描相關(guān)系統(tǒng)的控制，實(shí)現(xiàn)實(shí)時(shí)控制監(jiān)控，并擁有強(qiáng)大的報(bào)告功能，保證管理層能夠及時(shí)地、全面地了解企業(yè)內(nèi)部控制在合規(guī)上存在的問題。內(nèi)控&風(fēng)險(xiǎn)管理系統(tǒng)一般包括風(fēng)險(xiǎn)管理、內(nèi)控管理、審計(jì)管理等模塊（如圖4所示）。

2、內(nèi)控&風(fēng)險(xiǎn)管理系統(tǒng)具體功能

（1）風(fēng)險(xiǎn)管理。

風(fēng)險(xiǎn)管理功能將風(fēng)險(xiǎn)記錄以及處理過程信息化，替代目前的風(fēng)險(xiǎn)清單的手工提交和匯總過程，從而逐步建立風(fēng)險(xiǎn)庫，實(shí)現(xiàn)風(fēng)險(xiǎn)報(bào)告自動(dòng)化，并通過建立風(fēng)險(xiǎn)估算和分析模型的方式將風(fēng)險(xiǎn)管理融入到業(yè)務(wù)的實(shí)時(shí)環(huán)境中。風(fēng)險(xiǎn)管理模塊系統(tǒng)邏輯（如圖5所示）。

風(fēng)險(xiǎn)識別，主要完成收集、梳理、辨識戰(zhàn)略風(fēng)險(xiǎn)、運(yùn)營風(fēng)險(xiǎn)、財(cái)務(wù)風(fēng)險(xiǎn)和法律風(fēng)險(xiǎn)等風(fēng)險(xiǎn)事件，并分類提交到風(fēng)險(xiǎn)事件庫中。風(fēng)險(xiǎn)問卷子模塊內(nèi)置了多種辨識問卷，如財(cái)務(wù)類、運(yùn)營類等風(fēng)險(xiǎn)問卷，可通過評估問卷的在線發(fā)布，讓風(fēng)險(xiǎn)專家等通過網(wǎng)頁方式進(jìn)行風(fēng)險(xiǎn)評估，提高效率。

風(fēng)險(xiǎn)評估，風(fēng)險(xiǎn)評估的結(jié)果可以是定性的，也可以是定量的或者混合型的，風(fēng)險(xiǎn)評估的方法可以是單人評估，也可以是多人同時(shí)進(jìn)行評估，風(fēng)險(xiǎn)評估子模塊中可以自由設(shè)置用戶權(quán)重，并根據(jù)相應(yīng)的計(jì)算公式，自動(dòng)完成統(tǒng)計(jì)評估結(jié)果，提高評估階段的工作效率。風(fēng)險(xiǎn)評估的手段可以通過直接登錄評估表單進(jìn)行，也可以通過調(diào)查問卷的方式進(jìn)行。風(fēng)險(xiǎn)評估的結(jié)果能夠直接反應(yīng)在風(fēng)險(xiǎn)管理熱圖中。

風(fēng)險(xiǎn)應(yīng)對，內(nèi)控&風(fēng)險(xiǎn)管理系統(tǒng)既能夠支持一般意義上的風(fēng)險(xiǎn)應(yīng)對計(jì)劃，也可以支持通過內(nèi)控管理進(jìn)行風(fēng)險(xiǎn)應(yīng)對。風(fēng)險(xiǎn)應(yīng)對計(jì)劃可以線下執(zhí)行，線上更新結(jié)果，也可以和其他系統(tǒng)中的特定業(yè)務(wù)流程掛鉤，自動(dòng)更新應(yīng)對結(jié)果和實(shí)際效果。

風(fēng)險(xiǎn)監(jiān)控與報(bào)告，監(jiān)控關(guān)鍵風(fēng)險(xiǎn)指標(biāo)以及風(fēng)險(xiǎn)應(yīng)對的有效性和完整性，記錄風(fēng)險(xiǎn)事件和損失，生成風(fēng)險(xiǎn)報(bào)告。

除了風(fēng)險(xiǎn)管理主流程的系統(tǒng)功能，內(nèi)控&風(fēng)險(xiǎn)管理系統(tǒng)還具有基本信息管理、風(fēng)險(xiǎn)矩陣、風(fēng)險(xiǎn)熱圖、風(fēng)險(xiǎn)預(yù)警、損失事件管理及駕駛艙展示等功能。

基本信息管理，與風(fēng)險(xiǎn)管理相關(guān)的各類國家相關(guān)制度、案例，企業(yè)風(fēng)險(xiǎn)管理手冊指引等規(guī)章制度。

風(fēng)險(xiǎn)矩陣，將風(fēng)險(xiǎn)矩陣中的風(fēng)險(xiǎn)列表分解到各部門、對應(yīng)維護(hù)人員，進(jìn)而可擴(kuò)充維護(hù)信息。風(fēng)險(xiǎn)矩陣能夠分層級（比如標(biāo)準(zhǔn)風(fēng)險(xiǎn)庫、總部風(fēng)險(xiǎn)庫、分公司風(fēng)險(xiǎn)庫、項(xiàng)目風(fēng)險(xiǎn)庫）、分類別（比如戰(zhàn)略風(fēng)險(xiǎn)、財(cái)務(wù)風(fēng)險(xiǎn)、市場風(fēng)險(xiǎn)、運(yùn)營風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)）的管理風(fēng)險(xiǎn)，可按層級或業(yè)務(wù)領(lǐng)域輸出風(fēng)險(xiǎn)矩陣和風(fēng)險(xiǎn)清單。在風(fēng)險(xiǎn)矩陣中，可以連接相關(guān)制度條款、查看風(fēng)險(xiǎn)相關(guān)事件、對應(yīng)的控制點(diǎn)及內(nèi)控流程，實(shí)現(xiàn)風(fēng)險(xiǎn)與內(nèi)控、制度的關(guān)聯(lián)。同時(shí)，通過與流程的關(guān)聯(lián)，可實(shí)現(xiàn)風(fēng)險(xiǎn)列表與各業(yè)務(wù)崗位的關(guān)聯(lián)。

風(fēng)險(xiǎn)熱圖，基于風(fēng)險(xiǎn)評估過程，生成反映公司總體和各級單位的風(fēng)險(xiǎn)分布圖表，以及按業(yè)務(wù)流程或業(yè)務(wù)領(lǐng)域的視角來輸出，可以輸出流程和組織不同維度的圖標(biāo)。對于評估風(fēng)險(xiǎn)等級高的風(fēng)險(xiǎn)點(diǎn)可進(jìn)行“新增控制措施”和“優(yōu)化控制措施”操作，同時(shí)將風(fēng)險(xiǎn)等級高的風(fēng)險(xiǎn)點(diǎn)落點(diǎn)區(qū)域標(biāo)記為高風(fēng)險(xiǎn)領(lǐng)域。風(fēng)險(xiǎn)熱圖可以多維度展示，從可能性、影響程度、變動(dòng)趨勢等維度對固有風(fēng)險(xiǎn)和剩余風(fēng)險(xiǎn)進(jìn)行分析，分析結(jié)果可以直觀的柱狀圖、餅狀圖、折線圖等方式進(jìn)行展示。

風(fēng)險(xiǎn)預(yù)警，含關(guān)鍵風(fēng)險(xiǎn)指標(biāo)的設(shè)置、派發(fā)，關(guān)鍵風(fēng)險(xiǎn)指標(biāo)數(shù)據(jù)的呈報(bào)、關(guān)鍵風(fēng)險(xiǎn)指標(biāo)數(shù)據(jù)的查看等子功能。支持預(yù)警管理功能，運(yùn)用關(guān)鍵風(fēng)險(xiǎn)指標(biāo)和模型等手段對風(fēng)險(xiǎn)實(shí)施監(jiān)控，收集和維護(hù)企業(yè)內(nèi)外部風(fēng)險(xiǎn)事件及相關(guān)數(shù)據(jù)，為預(yù)警監(jiān)控提供數(shù)據(jù)基礎(chǔ)和依據(jù)。內(nèi)控&風(fēng)險(xiǎn)管理系統(tǒng)與其他系統(tǒng)對接，使用數(shù)據(jù)倉儲技術(shù)（Extract-Transform-Load ETL）工具來自動(dòng)形成指標(biāo)數(shù)據(jù)的展示。指標(biāo)的異常能夠與行動(dòng)計(jì)劃工作流整合，比如觸發(fā)郵件、輸入分析內(nèi)容等。

損失事件管理，內(nèi)控&風(fēng)險(xiǎn)管理系統(tǒng)支持風(fēng)險(xiǎn)損失事件的管理，包括按照業(yè)務(wù)類型和原因進(jìn)行時(shí)間分類和記錄歸檔，維護(hù)風(fēng)險(xiǎn)損失事件數(shù)據(jù)庫；已經(jīng)發(fā)生的損失事件，可以與以前的風(fēng)險(xiǎn)管理過程數(shù)據(jù)進(jìn)行比對，分析原因，便于相應(yīng)的處理調(diào)整。能夠在按既定格式提供的接口文件中讀取數(shù)據(jù)，亦可通過系統(tǒng)內(nèi)的工作流搜集損失事件數(shù)據(jù)，與行動(dòng)計(jì)劃工作流整合。

駕駛艙，類似商業(yè)智能系統(tǒng)的展示功能，將風(fēng)險(xiǎn)管理關(guān)鍵數(shù)據(jù)以儀表盤、柱狀圖、折線圖等直觀方式進(jìn)行推送（如圖6所示）。提供各類風(fēng)險(xiǎn)報(bào)告模板，支持定制客戶化風(fēng)險(xiǎn)及內(nèi)控相關(guān)報(bào)告、報(bào)表；支持報(bào)告編制、審批、發(fā)布的全過程管理；支持自動(dòng)計(jì)算、匯總風(fēng)險(xiǎn)管理報(bào)告所需數(shù)據(jù)，自動(dòng)匯總、傳遞企業(yè)內(nèi)部及各個(gè)層面之間的溝通信息、內(nèi)部專題通報(bào)等。通過可視化圖表分析風(fēng)險(xiǎn)數(shù)據(jù)，提供決策支持依據(jù)。

（2）內(nèi)控管理。

內(nèi)控手冊，內(nèi)部控制手冊是企業(yè)開展內(nèi)部控制工作必要的基礎(chǔ)內(nèi)容，也是指導(dǎo)企業(yè)開展內(nèi)部控制非常重要的內(nèi)部指引性文件。內(nèi)部控制手冊的主體內(nèi)容是企業(yè)內(nèi)部控制矩陣，包含企業(yè)內(nèi)部控制所涉及的所有業(yè)務(wù)流程、子流程、風(fēng)險(xiǎn)點(diǎn)、控制點(diǎn)、相關(guān)的政策及法律法規(guī)、控制點(diǎn)測試步驟及方法、所負(fù)責(zé)的業(yè)務(wù)部門以及相關(guān)的負(fù)責(zé)人等信息。內(nèi)控手冊維護(hù)如圖7所示。

內(nèi)控評估與測試，是企業(yè)內(nèi)部控制工作開展的主要內(nèi)容。用結(jié)構(gòu)化的方法開展自我評估，關(guān)注業(yè)務(wù)過程和控制成效。通過設(shè)計(jì)、規(guī)劃和運(yùn)行內(nèi)部自我評估程序，有組織性地對管理控制和治理負(fù)責(zé)。

①測試程序設(shè)置?；陲L(fēng)險(xiǎn)矩陣數(shù)據(jù)，為每一個(gè)控制措施定義其測試指引信息，如樣本來源、樣本數(shù)量、抽樣方法以及測試程序等信息。

圖6 風(fēng)險(xiǎn)管理駕駛艙示例

圖7 內(nèi)控手冊維護(hù)

②測試工作展開?；跍y試程序要求，記錄測試過程；支持基于樣本和總體的測試；基于測試過程中發(fā)現(xiàn)的問題，能夠調(diào)整內(nèi)控手冊描述、修改制度等；記錄缺陷評價(jià)、整改措施。

③自動(dòng)測試。關(guān)鍵內(nèi)控點(diǎn)監(jiān)控與管理，挑選控制點(diǎn)中能夠量化的關(guān)鍵控制點(diǎn)，通過系統(tǒng)集成的方式進(jìn)行實(shí)時(shí)監(jiān)控，及時(shí)預(yù)警。通過數(shù)據(jù)集成方法，實(shí)現(xiàn)與其他業(yè)務(wù)系統(tǒng)的數(shù)據(jù)采集、清洗、轉(zhuǎn)換、裝載，可利用規(guī)則算法對采集到的監(jiān)控?cái)?shù)據(jù)進(jìn)行規(guī)則計(jì)算和處理，實(shí)現(xiàn)對業(yè)務(wù)系統(tǒng)內(nèi)控執(zhí)行的數(shù)據(jù)變化情況進(jìn)行實(shí)時(shí)監(jiān)控和分析，提取出可用的樣本信息，加入樣本庫，分配至內(nèi)控評價(jià)工作底稿，進(jìn)行多角度的內(nèi)控評價(jià)和樣本測試，對于可量化的樣本可進(jìn)行自動(dòng)測試。

④內(nèi)控缺陷整改。內(nèi)部控制測試過程中所發(fā)現(xiàn)的問題被稱之為內(nèi)控缺陷。對于內(nèi)控缺陷的管理是所有企業(yè)在內(nèi)部控制評估項(xiàng)目過程中最為重視的內(nèi)容，也是在內(nèi)部控制報(bào)告發(fā)布的內(nèi)容中最為關(guān)鍵的部分。內(nèi)部控制缺陷管理的過程包括在測試評估過程中所發(fā)現(xiàn)內(nèi)控缺陷的報(bào)告，后續(xù)整改計(jì)劃的制定、執(zhí)行和進(jìn)度跟進(jìn)，內(nèi)部控制缺陷發(fā)布等級的逐級認(rèn)定過程，以及內(nèi)部控制缺陷和內(nèi)控報(bào)告的簽核過程。內(nèi)部控制缺陷等級的逐級認(rèn)定是在企業(yè)年度內(nèi)部控制測試評估項(xiàng)目中非常重要的環(huán)節(jié)，所認(rèn)定的等級與內(nèi)部控制自評報(bào)告中所發(fā)布的等級一致，因此對于企業(yè)管理層來說非常重要和關(guān)鍵。

內(nèi)控報(bào)告，統(tǒng)一提供大量預(yù)置的內(nèi)部控制報(bào)告和報(bào)表，允許用戶在系統(tǒng)中進(jìn)行各類信息的查詢和跟進(jìn)。報(bào)表的內(nèi)容主要包括內(nèi)部控制矩陣、內(nèi)部控制測試和評估進(jìn)度、內(nèi)部控制測試和評估結(jié)果統(tǒng)計(jì)分析、內(nèi)部控制缺陷報(bào)告以及內(nèi)部控制缺陷整改報(bào)告等內(nèi)容。

（3）內(nèi)審管理。

審計(jì)功能模塊的總體目標(biāo)有以下五個(gè)方面：

①以風(fēng)險(xiǎn)為導(dǎo)向的審計(jì)：按業(yè)務(wù)流程和風(fēng)險(xiǎn)因素編制風(fēng)險(xiǎn)導(dǎo)向的審計(jì)計(jì)劃；提供深度風(fēng)險(xiǎn)管理報(bào)告；匯總公司各類風(fēng)險(xiǎn)情況，確定和安排審計(jì)工作。

②電子工作底稿：采用統(tǒng)一的審計(jì)方法，高質(zhì)量地完成審計(jì)工作；全面記錄工作內(nèi)容和重要信息；審計(jì)結(jié)論與過程記錄保持一致，任何一點(diǎn)均可隨時(shí)追溯并復(fù)核；審核工作不受地域限制；實(shí)現(xiàn)審計(jì)報(bào)告自動(dòng)化，縮短報(bào)告編制時(shí)間；共享知識以備下次審計(jì)。

③審計(jì)跟蹤：監(jiān)控和追蹤審計(jì)發(fā)現(xiàn)的后續(xù)整改；幫助審計(jì)對象實(shí)施整改追蹤；提升擴(kuò)大審計(jì)成效。

④審計(jì)資源管理：維護(hù)審計(jì)人員技能和知識檔案；根據(jù)審計(jì)項(xiàng)目需要的技能和知識分配資源；實(shí)現(xiàn)審計(jì)資源利用率最大化。

⑤審計(jì)知識庫：記錄并交流最佳實(shí)踐審計(jì)經(jīng)驗(yàn)；復(fù)用和改進(jìn)審計(jì)方法；共享各種知識，包括法律法規(guī)、審計(jì)報(bào)告、審計(jì)底稿、審計(jì)問題、技巧方法等。

內(nèi)審管理模塊功能如圖8所示，具體可以分解為：

年度審計(jì)計(jì)劃，年度計(jì)劃的制定依據(jù)，均有系統(tǒng)支撐及相關(guān)記錄。年度計(jì)劃可以分解為半年計(jì)劃、季度計(jì)劃、月度計(jì)劃以及各類計(jì)劃的變更、查詢功能。

審計(jì)項(xiàng)目開展，項(xiàng)目啟動(dòng)時(shí)，項(xiàng)目組長根據(jù)項(xiàng)目特點(diǎn)，可以從部門標(biāo)準(zhǔn)知識庫中選擇適當(dāng)?shù)膶徲?jì)方案。若是以往未開展過的或未規(guī)程化的審計(jì)項(xiàng)目，審計(jì)組可以在部門已有標(biāo)準(zhǔn)知識庫的基礎(chǔ)上有選擇性地選用適合的程序或制定新的審計(jì)程序，然后擴(kuò)充更新到部門標(biāo)準(zhǔn)知識庫中，供以后使用。項(xiàng)目組長完成方案編制，并審批完成，根據(jù)方案中的內(nèi)容，為項(xiàng)目成員分派任務(wù)。

電子底稿管理，底稿由系統(tǒng)自動(dòng)編號，對底稿模式、審計(jì)信息等要素進(jìn)行統(tǒng)一規(guī)范，清晰地反映審計(jì)任務(wù)目標(biāo)、執(zhí)行步驟/要求/指令、審計(jì)過程記錄、審計(jì)問題、審計(jì)建議、審計(jì)結(jié)論、底稿編制人及修改/編制時(shí)間、各級底稿復(fù)核人及復(fù)核時(shí)間等。

圖8 內(nèi)審管理模塊功能

圖9 內(nèi)控&風(fēng)險(xiǎn)管理系統(tǒng)對接示意圖

審計(jì)任務(wù)和工作底稿的完成進(jìn)度隨完成情況自動(dòng)更新，并可以提供實(shí)時(shí)完成進(jìn)度統(tǒng)計(jì)，包括：程序/底稿完成待審閱數(shù)量、程序/底稿審閱完成數(shù)量、程序/底稿正在執(zhí)行中數(shù)量、未開始執(zhí)行的程序/底稿數(shù)量等，方便項(xiàng)目組長實(shí)時(shí)管控項(xiàng)目進(jìn)度。項(xiàng)目組長可以看到項(xiàng)目組成員上傳的審計(jì)底稿，進(jìn)行底稿審閱、進(jìn)行批注，項(xiàng)目組成員根據(jù)底稿審閱意見進(jìn)行相應(yīng)修改。

底稿能夠支持自動(dòng)轉(zhuǎn)化為審計(jì)報(bào)告。根據(jù)事先配置好的原則，抓取電子工作底稿中相關(guān)內(nèi)容，轉(zhuǎn)化至審計(jì)報(bào)告草稿模板。底稿中要體現(xiàn)審計(jì)報(bào)告中的各要素，從一開始編制底稿，就是為編制報(bào)告而服務(wù)，相關(guān)干系人都可以參與提供建議或幫助。

審計(jì)報(bào)告，支持審計(jì)報(bào)告征求意見環(huán)節(jié)：按權(quán)限分發(fā)審計(jì)報(bào)告征求意見稿，對方直接回復(fù)意見，可進(jìn)行郵件催辦。支持審計(jì)報(bào)告的發(fā)送、借閱、檢索、日志管理。

審計(jì)知識庫，審計(jì)人員可將收集整理的審計(jì)方法、審計(jì)程序、分析模型、工作經(jīng)驗(yàn)、作業(yè)經(jīng)驗(yàn)等按照不同分類，分別存儲到審計(jì)經(jīng)驗(yàn)庫中。在工作過程中，審計(jì)方案、底稿等內(nèi)容，可轉(zhuǎn)換整理到審計(jì)知識庫中。審計(jì)資源庫實(shí)現(xiàn)對各種法律法規(guī)及內(nèi)部制度的集中管理。能夠自定義多級分類，對各種法律法規(guī)及公司內(nèi)部制度進(jìn)行分類管理，如：會(huì)計(jì)法、會(huì)計(jì)準(zhǔn)則、審計(jì)準(zhǔn)則、合同法、公司法、稅法、票據(jù)法等分類創(chuàng)建。可按多個(gè)條件進(jìn)行檢索，并能夠在編制審計(jì)底稿的同時(shí)將相關(guān)法律條款進(jìn)行引用，自動(dòng)嵌入審計(jì)底稿中，并支持權(quán)限控制下的法規(guī)維護(hù)。

內(nèi)控&風(fēng)險(xiǎn)管理系統(tǒng)信息對接管理

內(nèi)控&風(fēng)險(xiǎn)管理系統(tǒng)與企業(yè)多個(gè)系統(tǒng)存在對接關(guān)系，包括業(yè)務(wù)系統(tǒng)、HR系統(tǒng)、門戶系統(tǒng)以及OA系統(tǒng)和郵件系統(tǒng)（如圖9所示）。

內(nèi)控&風(fēng)險(xiǎn)管理系統(tǒng)與企業(yè)多個(gè)應(yīng)用系統(tǒng)對接，嵌入企業(yè)整體運(yùn)營流程，實(shí)現(xiàn)了風(fēng)險(xiǎn)管理、流程內(nèi)控和信息訪問權(quán)限事前、事中和事后的全程管理。內(nèi)控&風(fēng)險(xiǎn)管理系統(tǒng)通過一定的程序和方法對其他應(yīng)用系統(tǒng)中所涉及的流程和關(guān)鍵控制點(diǎn)進(jìn)行定期的檢查和確認(rèn)（信息系統(tǒng)審計(jì)和稽核過程），確保系統(tǒng)的配置或參數(shù)設(shè)置是符合企業(yè)的實(shí)際要求的，而對于流程的變更、配置或者參數(shù)的變更是經(jīng)過必要的變更流程（審批流程），在應(yīng)用系統(tǒng)中有相應(yīng)的變更日志記錄所有發(fā)生的變更內(nèi)容、發(fā)生時(shí)間和相關(guān)執(zhí)行變更的人員。

因此通過內(nèi)控風(fēng)險(xiǎn)管理這樣專業(yè)化的系統(tǒng)對其他系統(tǒng)中的現(xiàn)有流程、關(guān)鍵控制點(diǎn)進(jìn)行連續(xù)不間斷地實(shí)時(shí)監(jiān)控，可以實(shí)時(shí)檢查其他系統(tǒng)的流程控制點(diǎn)設(shè)置及其變更情況，及時(shí)了解其他系統(tǒng)中業(yè)務(wù)流程的合規(guī)性狀況，并給相應(yīng)的合規(guī)性報(bào)告。

內(nèi)控&風(fēng)險(xiǎn)管理系統(tǒng)實(shí)施意義

內(nèi)控&風(fēng)險(xiǎn)管理系統(tǒng)是企業(yè)風(fēng)險(xiǎn)管理與內(nèi)部控制的整合性平臺，從風(fēng)險(xiǎn)信息的收集，到風(fēng)險(xiǎn)智庫的建立，再到風(fēng)險(xiǎn)點(diǎn)的調(diào)查與評估、風(fēng)險(xiǎn)點(diǎn)的應(yīng)對和控制以及風(fēng)險(xiǎn)管理與控制的報(bào)告生成等，均在統(tǒng)一的平臺上完成。內(nèi)控&風(fēng)險(xiǎn)管理系統(tǒng)在應(yīng)用過程中將企業(yè)在風(fēng)險(xiǎn)管理和內(nèi)部控制的體系架構(gòu)、管控內(nèi)容進(jìn)行落地和實(shí)現(xiàn)，從而幫助企業(yè)更有效率地執(zhí)行其風(fēng)險(xiǎn)管理與控制工作。

（1）搭建統(tǒng)一透明的內(nèi)控平臺。內(nèi)控&風(fēng)險(xiǎn)管理系統(tǒng)將所有的流程、控制描述，測試文檔和合規(guī)報(bào)告統(tǒng)一在一個(gè)系統(tǒng)平臺上，顯著降低了管理多個(gè)地區(qū)合規(guī)操作的人力和成本，也更有利于管理層識別合規(guī)缺陷與差距。同時(shí)，借助內(nèi)控&風(fēng)險(xiǎn)管理系統(tǒng)，企業(yè)所有的管理層和內(nèi)控部門可以在一個(gè)平臺上校驗(yàn)系統(tǒng)內(nèi)可能存在的不合理權(quán)限設(shè)置和職責(zé)沖突風(fēng)險(xiǎn)，讓各個(gè)部門中存在的風(fēng)險(xiǎn)盡可能完全透明化。

（2）將風(fēng)險(xiǎn)管理由事后核查轉(zhuǎn)變?yōu)槭孪阮A(yù)防。對于任何權(quán)限審批與變更，內(nèi)控&風(fēng)險(xiǎn)管理系統(tǒng)都強(qiáng)制要求經(jīng)過預(yù)定流程，并且調(diào)用職責(zé)分離規(guī)則來自動(dòng)地分析識別新舊角色和權(quán)限之間是否存在沖突，實(shí)時(shí)作出提醒和預(yù)警，這樣各級領(lǐng)導(dǎo)在審批權(quán)限的時(shí)候就能知曉是否造成職責(zé)沖突，迅速判別潛在風(fēng)險(xiǎn)，避免在風(fēng)險(xiǎn)影響到業(yè)務(wù)的時(shí)候才采取“馬后炮”式的補(bǔ)救措施，強(qiáng)制性的流程設(shè)置也杜絕了因人為疏忽和徇私舞弊造成的訪問例外情況。

（3）提供全面準(zhǔn)確的風(fēng)險(xiǎn)圖譜，提升風(fēng)險(xiǎn)應(yīng)對效果。內(nèi)控&風(fēng)險(xiǎn)管理系統(tǒng)幫助企業(yè)開展主動(dòng)的，各方面協(xié)作的流程以平衡企業(yè)所有層次上財(cái)務(wù)，合規(guī)及業(yè)務(wù)操作方面的機(jī)會(huì)與風(fēng)險(xiǎn)，統(tǒng)一公司的風(fēng)險(xiǎn)語言，強(qiáng)化預(yù)警效果，提升風(fēng)險(xiǎn)應(yīng)對效果，釋放低價(jià)值方面的工作內(nèi)容，并且給企業(yè)管理層提供全面的、準(zhǔn)確的、實(shí)時(shí)的企業(yè)風(fēng)險(xiǎn)圖譜，幫助管理層風(fēng)險(xiǎn)排序，安排應(yīng)對方案。