资源描述
2013 Software AG.All rights reserved.1|Michiel JornaBusiness Process SolutionsCOSO介绍介绍GRC的COSO II解决方案场景的演示15.15 16.00 pm2013 Software AG.All rights reserved.2|什么COSO 2013有哪些变化有哪些变化?如何Software AG的的GRC解决方案解决方案如何支持如何支持COSO框架?框架?为何基于基于COSO的的GRC解决方案解决方案有什么收益有什么收益?2013 Software AG.All rights reserved.3|COSO框架框架2013年的更新年的更新 COSO Cube(2013 Edition)2013 Software AG.All rights reserved.4|规划内控的规划内控的17个原则个原则1992框架在概念上包含了17个相关原则并关联到五个内控组件 这些原则是评估基础,五个组件是展现和功能 目前这些概念已经通过17个原则来充分展示 COSO委员会认为每个原则都有特定价值 并且适用于所有实体假定相关 如果某个原则不相关,需要记录其合理性内控环境内控环境1.组织对正直和道德等价值观做出承诺2.董事会独立于管理层,并对内部控制的推进与成效加以监督控制。3.管理层围绕其目标,在治理层监督下,建立健全组织架构、汇报条线、合理的授权与责任等机制。4.组织对吸引、开发和保留与认同组织目标的人才做出承诺。5.组织根据其目标,使员工各自担负起内部控制的相关责任。风险评估风险评估6.就识别和评估与其目标相关的风险,组织做出清晰的目标设定。7.组织对影响其目标实现的风险进行全范围的识别和分析,并以此为基础来决定风险应如何进行管理。8.组织在风险评估过程中,考虑潜在的舞弊行为。9.组织识别和评估对内部控制体系可能造成较大影响的改变。控制活动控制活动10.组织选择并开展控制活动,将风险对其目标实现的影响降到可接受水平。11.对(信息)技术,组织选择并开展一般控制以支持其目标的实现。12.组织通过合理的政策制度和保证这些政策制度切实执行的流程程序,来实施控制活动。信息与沟通信息与沟通13.组织获取或生成,并使用相关、有质量的信息来支持内部控制发挥作用。14.组织在其内部沟通传递包括内部控制的目标和责任在内的必要信息以支持内部控制发挥作用。15.组织与外部相关方就影响内部控制发挥作用的事宜进行沟通。监控监控16.组织选择、推动并实施持续且(或)独立的评估以确认内部控制的要素是存在且正常运转的。17.组织在相应的时间范围内,评价内部控制的缺陷,并视情况与那些应采取正确行动的相关方(如:高级管理层,董事会)进行沟通。2013 Software AG.All rights reserved.5|其他重要变化其他重要变化新框架:澄清在内控中目标设置的角色反映了不断增长的信息技术相关性包含了对于治理机制的更深刻的研讨扩展了目标的报表类别加强了反欺诈方面的考虑增加了对于非财务报表目标的关注2013 Software AG.All rights reserved.6|Software AG GRC解决方案与解决方案与COSO框架的对齐框架的对齐控制环境风险评估控制活动信息&沟通监控2013 Software AG.All rights reserved.7|什么COSO 2013有哪些变化有哪些变化?如何Software AG的的GRC解决方案解决方案如何支持如何支持COSO框架?框架?为何基于基于COSO的的GRC解决方案解决方案有什么收益有什么收益?2013 Software AG.All rights reserved.8|企业风险管理流程企业风险管理流程风险管理流程的起点是定义企业及各下属部门的战略和目标通过分配指标及其业务流程来达到目标我们应该做什么?我们应该做什么?如何支持?如何支持?通过平衡计分卡来阐述战略通过业务细分图来区分业务的类别通过目标图为评估进行准备通过KPI分配图来描绘KPI将目标关联到流程(VACD,EPC,BPMN)2013 Software AG.All rights reserved.9|设置目标设置目标2013 Software AG.All rights reserved.10|识别事件与风险识别事件与风险通过识别影响目标实现的内部和外部通过识别影响目标实现的内部和外部事件,可以定义机会和威胁。机会用事件,可以定义机会和威胁。机会用来管理战略和目标设定的流程,负面来管理战略和目标设定的流程,负面事件(威胁)是风险。事件(威胁)是风险。我们应该做什么我们应该做什么如何支持将风险(负面事件)关联到目标将风险关联到发生风险的流程定义风险细节(描述、类型、责任等)评估准备2013 Software AG.All rights reserved.11|识别风险和事件识别风险和事件2013 Software AG.All rights reserved.12|执行风险评估执行风险评估用非常清晰的方式定义风险用非常清晰的方式定义风险评估固定风险和剩余风险评估固定风险和剩余风险我们应该做什么?我们应该做什么?如何支持如何支持可以进行定量和定性的评估定量评估需要清晰的指导和经验维护所有相关的风险信息规划风险评估对固有风险和参与风险执行风险评估决定至评估定性风险,或也包括定量风险通过分析风险趋势来将风险关联到风险承受度2013 Software AG.All rights reserved.13|执行风险评估执行风险评估2013 Software AG.All rights reserved.14|执行风险评估执行风险评估2013 Software AG.All rights reserved.15|定义风险响应定义风险响应当风险发生后不同可能的应对风险可以避免,接受,减轻和分担管理选择正确的风险应答建立一系列行为使风险与风险容忍实体及风险承受度相关联应该做什么?应该做什么?如何支持如何支持通过创建可以在流程上监控的问题来设置行为管理风险应答选项来解决创建的问题,如:避免(将工厂从美国搬到NL)接受(在风险承受度内)减轻(通过减缓授权控制)分担(对失火投保)2013 Software AG.All rights reserved.16|定义风险响应定义风险响应2013 Software AG.All rights reserved.17|设计和实施控制活动设计和实施控制活动工作过程被建立和实施(固化落地),以确保风险响应能够高效地执行。你可以定义明确的控制措施以降低风险,定义管理视图和报告,物理控制(资产,价值,库存),基于绩效指标的控制/职责分离我们应该做什么我们应该做什么?如何支持如何支持?在 ARIS Business Designer/Architect中定义控制措施控制定义包含控制如何被执行(控制活动),到其相关/归属的业务流程,谁负责该控制(控制经理),该控制是否需要被测试/被审计,该控制如何进行测试(测试活动),什么时候进行测试(每年,每月,每天)和谁来测试.2013 Software AG.All rights reserved.18|设计和实施控制活动设计和实施控制活动2013 Software AG.All rights reserved.19|监控控制活动监控控制活动该阶段评估预防性控制的存在性和控制的有效性监控结果作为降低的(残余的)风险评估和应对措施(风险相应)的输入应该做什么?应该做什么?如何支持Email 触发测试员执行一个控制评估测试员填写评估结果并且可以附加证据在控制无效/争议/缺陷的情况下,审核测试结果争议/缺陷通过单独的工作流进行解决在测试中所有争议/缺陷的处理都保留日志(审计线索)所有结果在仪表盘中可视2013 Software AG.All rights reserved.20|监控控制活动监控控制活动2013 Software AG.All rights reserved.21|监控控制活动监控控制活动2013 Software AG.All rights reserved.23|什么COSO 2013有哪些变化有哪些变化?如何Software AG的的GRC解决方案解决方案如何支持如何支持COSO框架?框架?为何基于基于COSO的的GRC解决方案解决方案有什么收益有什么收益?2013 Software AG.All rights reserved.24|The challenge is to meet clients expectations,effectively comply with new laws and refine the business processes in ways that at the same time support the companys risk management policies as they evolve.In addition,MN wanted to increase its risk management maturity and provide clients better overall transparency.For its Enterprise Risk Management Program,MN chose a top-down,risk-focused approach to connect strategic objectives with risk assessments and process controls.MN developed and implemented a risk governance framework with three lines of defense.Its approach has increased risk awareness enterprise-wide,enabling them to identify and manage risks better while simultaneously improving process quality.Broadened risk insights and improved decision-makingBy Risk-based approach developed significantly leaner processes and more effective controlsRealized ongoing synergy savings for cost,hours and testing effortsDemonstrable“In Control”also increases reliability for business partnersCOSO ERM:Managing Risks as Key to Success MNOngoingsynergyforcost,hoursandtesting effortssavings2013 Software AG.All rights reserved.25|CEO(middle)CFO(right)Workshops with:Top management identifying Strategic RisksMiddle management identifyingTactical RisksAlignment of all Risks and their relation to Objectives and Processes with ManagersCOSO ERM:Managing Risks Identify and evaluate risks Risk response,ContinuouslyMonitoring control activities2013 Software AG.All rights reserved.26|实施实施COSO框架的收益框架的收益2013 Software AG.All rights reserved.27|内容(COSO e.g.)基于工作流的系统,遵从基于工作流的系统,遵从COSO过程,在统一的集成仓库中有预定义的方法论和角色过程,在统一的集成仓库中有预定义的方法论和角色方法论治理(工作流)软件SAG GRC可以带来的价值可以带来的价值272013 Software AG.All rights reserved.28|评估评估ARIS投资,并从现在开始投资,并从现在开始2013 Software AG.All rights reserved.29|问题问题?MC_JornaLinkedIn/MCJorna此课件下载可自行编辑修改,供参考!感谢您的支持,我们努力做得更好!
展开阅读全文