友联时骏内部控制解决方案模板.doc

1、内部控制导航仪产品处理方案（专业版V1.0）Pilot Control Product Solution 中国企业内部控制管理和合规处理方案China Enterprise Internal Control Management and Compliance Solution友联时骏企业管理顾问Union Strength Business Consulting Co., Ltd.相关友联时骏内部控制导航仪 定位为内部控制合规软件，对内部控制合规工作组织、过程和内容实施全程系统化管理，能够直接帮助中国上市企业达成内部控制合规要求、并满足企业不停完善和提升内部控制内在管理需求全方面处理方案。 全

2、部软件设计理念，来自于友联时骏以来8年内50余个内部控制合规咨询案例业务实践。 友联时骏经过“内部控制专业咨询 + 内部控制软件”综合服务，致力于为中国企业提供高效、便捷、成本效益最优内部控制合规处理方案。 目 录 1为何需要内控管理系统41.1内部控制领域正在发生什么改变？41.2企业应怎样应对内控领域改变？41.3企业在内控合规工作中，会碰到哪些挑战？51.4内控合规管理系统应含有哪些特点？51.5怎样评价内控合规管理系统？62友联时骏内部控制导航仪72.1产品定位和适用范围72.2理论基础72.3产品功效82.3.1 功效矩阵图82.3.2 关键功效102.4产品特点和应用价值122.5

3、处理方案132.5.1 不一样规模企业之合规方案142.5.2 不一样上市地企业之合规方案153产品技术信息153.1技术路线153.2体系架构153.3技术特点153.4运行环境154联络方法151 为何需要内控管理系统1.1 内部控制领域正在发生什么改变？加强和完善上市企业内部控制，已成为当今全球上市企业监管理论界和实务界最为关注话题之一。新世纪以来，经营环境改变、管理理论不停发展和多年来因内部控制失效而发生上市企业恶性舞弊事件，促进各国监管机构陆续出台了严格法规或指导，要求上市企业加强和完善有效运作内部控制制度，以确保财务汇报和信息披露可靠性，保护投资者正当权益。 7月，美国国会颁布了萨

4、班斯-奥克斯利法案，正式提出了上市企业披露内部控制汇报强制性要求，上市企业管理层需要对和财务汇报相关内部控制设计和运行有效性进行自我评价并发表责任申明，同时，审计师将进行独立内部控制审计。 6月，日本国会经过了金融工具和交易法，要求和萨班斯法案相同。 6月，中国财政部、证监会等五部委联合公布企业内部控制基础规范； 4月，五部委联合公布了企业内部控制配套指导。这些文件出台标志着适应中国企业实际情况、融合国际优异经验企业内部控制规范体系基础建成。五部委确定实施时间表为：自1月1日起在境内外同时上市企业施行，自1月1日起扩大到在上交所、深交所主板上市企业施行。在此基础上，择机在中小板和创业板上市企业

5、施行。中国成为继美国和日本以后，第三个要求对上市企业实施内部控制审计国家。从激励式披露，到法定要求；从自愿式规范，到强制性监管；从在美国上市中国企业，到中国本土上市企业，无不受到这种对于“企业更高可信任程度”要求影响。1.2 企业应怎样应对内控领域改变？ 连续完善：根据监管机构公布规范，建立和完善企业内部控制。 达成合规要求：接收外部审计以提升企业在资本市场可信任程度。 深入提升：经过加强内部控制，逐步提升企业风险管理能力。1.3 企业在内控合规工作中，会碰到哪些挑战？组织管理方面 想建立符合规范要求内部控制，从何着手？ 怎样有效组织子企业、业务步骤责任人参与到内部控制建设中，实质性提升企业整

6、体管理水平？过程管理方面 怎样才能立即和全方面了解内部控制合规工作进展程度？ 手工工作效率低下，怎样能降低反复工作、提升效率，降低合规成本？知识和文档管理方面 怎样系统了解内部控制方法论，掌握内部控制从建立、评定到改善实施路径？ 内部控制合规文档太多，手工进行归档、索引，更新、管理起来费时、费力！1.4 内控合规管理系统应含有哪些特点？ 提供成熟、清楚、易以掌握合规工作实施路径、方法和标准，直接满足监管要求。 提供一个公共平台，使内部控制责任人参与到企业内部控制建设和完善活动中，负担起对应控制责任。 经过工作流实现对任务分配、实施、审核、同意、汇总等一系列自动化管理，实现对合规工作实时、全方面

7、进度监控，极大地提升效率。 强大文档管理功效，极大降低无效工作成本，同时，为独立审计师验证提供完整、清楚资料。 简单直观操作界面，并提供丰富标准化模板，使企业能快速实施合规工作，并能促进内部控制知识转移和传输，让更多内部人员参与项目，提升项目内部资源利用效率。 便于咨询顾问提供连续专业支持，便于企业取得最新监管要求，并为内部控制知识和经验分享提供桥梁。 经过降低手工操作、反复劳动合理降低内部控制合规工作实施成本。1.5 怎样评价内控合规管理系统？内部控制合规管理系统含有内部控制建立、评定、连续改善等功效，是否能够很好地帮助企业内控部/内审部完成内控合规工作目标是内部控制合规管理系统基础标准。一

8、个完善内部控制合规管理系统应该从以下多个方面评定： 组织管理方面：能够帮助企业建立符合外部监管要求企业自己内部控制，并能使下属子企业、业务部门参与到内部控制建立、评定中，进而逐步提升整体管理水平。 过程管理方面：实时了解内部控制合规各项工作进展，形成进度汇报。最大程度降低手工操作、反复劳动，提升工作效率。 知识和文档管理方面：全方面了解内部控制方法论，掌握内部控制建立、评定、改善实施路径。集中管理内控全部相关文档，便捷搜索功效。 安装环境：安装、维护成本低，良好兼容性。支持外网登陆处理待办任务和查看内容。2 友联时骏内部控制导航仪2.1 产品定位和适用范围内部控制导航仪，定位为内部控制合规软件

9、，是一套对内部控制合规工作组织、过程和内容实施全程系统化管理，能够直接帮助中国上市企业达成合规要求、并满足企业不停完善和提升内部控制内在管理需求全方面处理方案。该产品基于COSO内部控制框架而设计，能够快速地帮助企业建立系统、标准、可靠、有效内部控制体系，并对该体系进行连续不停修订和完善，处理了企业面临很多内部控制管理实务挑战。它广泛适适用于： 中国上市企业 在美国上市中国企业 对提升内部控制和风险管理有自我推进力大、中型企业2.2 理论基础经过独立、全新地阐释并应用COSO全方面风险管理框架，从而使得该软件产品广泛适适用于在中国及美国资本市场上市企业。 2.3 产品功效2.3.1 功效矩阵图

10、企业内部控制导航仪侧重于关注企业是否存在有效内部控制方法、内部控制是否有效实施、步骤和制度是否合理，并帮助企业连续完善内部控制，从而使得使用者在掌握了基础内部控制理论、了解软件操作前提下，即可自行开展内部控制建设、内部控制评定、缺点整改等各项工作，降低了业务管理成本。企业内部控制是以创建和完善企业风险控制矩阵(RCM)为关键闭环管理过程。“内部控制管理”是本产品关键功效模块，关键帮助IC Team完成以下内部控制管理工作：创建RCM（01过程）：IC Team从企业内部控制较微弱、不规范实际情况入手，界定企业各责任单位及其控制层面关系，借助标准控制目标模板（Control Objective

11、Template，以下简称COT），合适利用问卷调查、标准和实际对照等方法挖掘企业各控制层面待整改或缺漏控制活动，逐一进行补充完善，形成第一版本企业风险控制矩阵（Risk Control Matrix，简称RCM）。完善RCM（1100过程）：企业形成较完善RCM后，伴随外部监管机构对企业内部控制要求不停提升，和企业内部本身业务发展改变，全部需要对企业风险进行定时审阅，对RCM进行不停更新完善。经过常见穿行测试、符合性测试和调查问卷方法，能够对企业目前控制层面设计有效性和实施有效性两方面进行充足评定，立即暴露缺点并进行整改，形成新RCM，达成企业内部控制连续有效闭环管理。产品功效矩阵图以下，针

12、对企业三个控制层面，系统首先界定内部范围，经过内部控制统计、内部控制评定和缺点整改三个过程反复迭代，实现企业内部风险有效控制。2.3.2 关键功效内控控制导航仪有五个功效模块，包含：我首页、内部控制管理、汇报和审阅、知识库、系统管理。2.4 产品特点和应用价值帮助企业建立内控框架 帮助形成企业上下统一内部控制管理标准内部控制导航仪将内部控制建立、评定、改善工作步骤固化，引导企业内部职员按标准化管理步骤开展内部控制工作，从而形成集团内上下统一内部控制框架体系。 跨区域同平台工作，远程处理待办和查看工作结果支持远程外网登陆系统，为跨不一样地理区域集团化管理提供同一信息处理平台。用户可远程处理待办任

13、务，并可查看内部控制工作结果。 控制活动融入日常运作，全部控制责任人负担对应责任经过一人一表、一岗一表（即和某用户/岗位相关控制活动列表）将内部控制层层分解，风险管理责任落实到企业各个层面，促进全员参与，有效提升整体管理水平。高效、立即处理问题 提升工作效率，降低反复工作，把时间花在增值步骤内部控制导航仪将合规工作从手工操作转化为系统工作，节省人力投入，并能降低内部沟通成本。使企业内部控制部、内部审计部能将工作聚焦在其它增值服务步骤。 随时生成进度汇报，了解各类内部控制工作进展实时监控内部控制建立、评定、改善不一样阶段进展，了解各项任务完成情况，督促责任人立即完成。总部从集团层面全方面把握下属

14、企业控制评定、整改善度和结果。 方便核查控制缺点、整改事项，连续跟踪改善作为致力于连续优化管理工具，能够帮助管理层对缺点进行分类统计，全方面了解集团内各下属企业控制缺点，方便针对缺点立即进行整改和跟进。全方面系统知识传授 提供全套内部控制法规、培训资料及模板 内部控制导航仪知识库，存放友联时骏依据多年内部控制合规咨询经验整理知识，包含：权威机构法规指导、内部控制培训资料、步骤手册模板、常见问题解答等。 实现知识、信息共享内置知识库帮助企业职员系统了解、学习内控相关知识，使全部期望提升管理水平企业熟悉和掌握内部控制管理实施路径。同时以内部论坛形式，促进内部人员信息交流和沟通，改善企业控制环境。

15、完整、有序管理全部工作文档强大、灵活文档管理功效，全方面展示内部控制工作结果。步骤手册、风险控制矩阵、测试底稿完整、有序存档，处理了版本混乱、分散存放问题。全部结果能以EXCEL导出、PDF打印，随时对外提供验证依据。2.5 灵活处理方案友联时骏提供一整套内部控制合规处理方案，实现从内部控制建立、评定、改善全方面符合外部监管要求。友联时骏内部控制控制导航仪布署方法灵活多样，能够快速布署在几乎全部网络环境中，满足中小型、大型企业不一样管理模式需要。2.5.1 不一样规模企业之合规方案中小型企业之合规方案企业特点内部控制导航仪价值w 内部控制基础通常较微弱，制度和步骤不完整。w 存放友联时骏依据五

16、部委下发规范整理全部步骤手册和风险控制矩阵，企业可据以整理为自己制度和步骤。w 缺乏足够数量或合适经验内控专业人员。w 内置知识库提供全套、系统内控方法论，促进人员学习成长，了解怎样建立、评定、整改内部控制。w 企业自上而下对内部控制认识不足。w 以建立岗位和控制活动联络、内部论坛形式，促进内部人员责任明确和信息沟通，改善企业控制环境。w 因为规模、资源所限，期望负担较低合规成本。w 经过内部人员成长、以系统替换手工、降低反复工作等方法，达成长久合理降低成本。大型企业之合规方案企业特点内部控制导航仪价值w 总部及下属各分支机构分散在不一样地理区域。w 基于Web网络，使不一样地域子企业同时同平

17、台操作，促进其负担各自内控工作。w 管理机构相对复杂，多级管理，总部难以快速掌握下属企业内控工作动态。w 总部能够从系统中全方面了解、把握下属企业建立、评定到改善内部控制进度和结果。w 内部控制工作包含范围广，工作量大，需要花费较多人力和管理成本。w 将内部控制合规工作从手工转化为系统工作，节省人力投入，并能降低内部沟通成本。w 内部控制相关文档数量多、版本更新快，且分散存放在各处。w 强大、灵活文档管理功效，归口管理和内部控制相关全部文档，清楚展示内部控制工作结果。2.5.2 不一样上市地企业之合规方案中国上市企业之合规方案企业特点内部控制导航仪价值w 无上市合规实务经验，依据内部控制基础不

18、一样，可能需借助外部顾问开展内控合规工作。w 系统内置知识库帮助企业职员系统了解、学习内控相关知识，逐步提升内部人员业务技能和内部控制知识水平。w 难以使管理层了解部门工作结果，进而取得高层支持。w 作为一个开放IT平台，能够全方面、清楚向管理层展示部门工作结果，从而取得高层对内控工作了解和支持。w 期望在完善内部控制基础上，利用工作结果（尤其是发觉缺点），为企业提炼风险点。w 经过分类统计控制缺点，全方面了解集团各下属企业控制缺点，方便针对缺点立即进行整改和跟进。 w 需要强化对内部控制制度设计合理性、实施有效性检验。w 系统提供三种评定方法（调查问卷、穿行测试、符合性测试），实现定时对内部

19、控制设计、实施有效性检验。美国上市企业之合规方案企业特点内部控制导航仪价值w 除首次面临合规要求上市企业外，通常全部已经有咨询结果。 w 风险控制矩阵、步骤手册可批量导入系统，充足利用已建立工作结果。w 内控合规工作往往占用内控、内审部门较多时间，难以有更多精力用于风险管理等增值服务。w 经过数据调用降低手工工作（比如编制测试底稿和汇总等），使部门腾出精力为企业提供其它增值服务 。w 内部控制相关文档数量多、版本更新快，且分散存放在各处。w 步骤手册、风险控制矩阵、测试底稿完整、有序存档，处理了版本混乱、分散存放问题。w 内控建设是全体管理层责任，但往往是内控、内审部门主责，难以取得业务部门支

20、持和参与。w 经过一人/岗一表层层分解内部控制责任，建立控制点和具体业务活动实施人/岗位关联，提升业务部门参与度和企业整体精细化管理水平。3 产品技术信息3.1 技术路线内部控制导航仪在综合考虑了系统可实现性、未来可扩展性和系统性能基础上，选择了基于J2EE标准化轻量级架构： 运行模式：纯B/S跨平台模式，支持Windows和Linux。 技术平台：J2EE，5层框架结构，采取轻量级高性能SSH框架。 多数据库：含有跨数据库能力，支持MySQL、Oracle和Sql Server数据库。 扩展界面：基于WebService服务接口，采取XML数据传输格式。 集成性：可实现统一门户接口和单点登录

21、，也能被别系统集成。 高并发：单机能够支持1000以上在线用户，而且支持集群，以最小成本实现最大并发量。 高安全性：完善权限控制，并支持文件数据加密、信息传输分层加密。3.2 体系架构系统设计以组件化集成架构为设计理念，采取诸如Struts、Spring、Ajax、Hibernate、JQuery等Web2.0前沿技术，全部采取Java开发，充足考虑了系统柔性和开放性。整个平台关键分为前端，业务处理服务层、基础服务层、道勤基础平台、支撑平台五大部分，层次结构很清楚。前端前端是系统用户入口，采取B/S架构，用户能够经过多种浏览器、当地JAVA用户端、当地富用户端程序、实时通讯工具等方法进入系统操

22、作。入口本着通用化、简单化、个性化设计，适应不一样办公环境用户愈加好地切入系统。业务处理层业务处理层是多种业务模块功效业务具体实现，是在多种组件基础上开发而来。依据系统应用需求无缝集成第三方界面。基础服务层基础服务层是整个系统基础使用功效。包含组织结构、菜单管理、步骤管理、日志管理、权限管理、系统字典、附件管理、公告管理、第三方接口等功效，确保系统内部业务配置管理有序，内部程序配置方便，外部皮肤简单切换。基础平台基础平台是是一套基础应用开发平台，经过应用服务总线插入在基础框架层之上。包含基础服务组件，工作流引擎，邮件发送服务，加密机制组件，数据导入导出组件，集成用户登陆服务，树形结构内核组件，

23、文件上传下载组件，文件转换组件，全文检索服务，消息服务，定时事务处理服务程序等多个服务组及组件组成。组件层特点是标准化，可独立配置，自包容，易更换，严格封装，能够被复合使用，提供了一系列可用接口和平台及应用进行交互。支撑平台支撑平台是应用系统运行环境，包含操作系统、数据库、应用服务器、浏览器服务器等。基于JAVA开发，开源性、开发性优点突出，平台支持多环境布署、多运行程序变换、基于不一样性能或配置简单切换环境，确保系统环境稳定、易维护。3.3 技术特点组件化提供服务组件化，全部业务功效模块全部使用相同代码程序，这时候能够抽象出代码程序成为组件。组件化提供服务，抽象得来组件，系统经过各功效模块调

24、用方法合理设计公用接口，业务模块功效经过调用接口为本身提供服务。跨语言开发集成JAVA开发语言跨平台特征，使平台拥有跨平台运行、布署特点，程序运行不受任何开发终端限制，只要JVM能运行环境，平台就可运行。通俗地说，几乎能够在不作任何修改情况下运行在Linux或Windows等不一样操作系统上。系统可定制性系统需求改变总是存在，用户使用方法各不一样，系统必需接收这些个性化应用适应，提升系统灵活性。对管理员而言，系统全部功效全部能使用，也含有功效动态分配和配置作用。即一般用户使用权限可经过管理员权限手工分配。对业务定制而言，大多数模块全部能够依据企业实际业务需要进行扩展和定制，以控制活动为例，全部

25、字段全部能够依据用户需要设定是否显示。另外在通用工作流支持下，用户能够依据自己需要调整步骤，使之完全适应企业实际情况。第三方系统集成一个系统开放性是系统能否给用户带来最大收益关键原因，平台提供了多个方法和其它系统整合，整合功效将其它业务系统扩展到工作台，这种扩展能够是跨数据库、跨系统，能将各个业务数据展现在一个统一平台上，为高层管理提供必需数据。系统高安全性系统安全控制平台系统安全控制，有以下多个安全控制集成： 接口安全控制平台对数据操作实现有效安全检验权限过滤。预防黑客经过接口注入木马对数据库和文件造成不可恢复损失。平台不仅对数据类型进行检验，也对数据进行约束。使得数据流出和流入在接口操作上

26、得到真正控制。 数据安全控制实现对敏感数据加密，如用户密码。用户进入敏感模块需要二次验证。对敏感数据加密和限制，能够预防内部人员经过正当手段取得不应该获取敏感数据。 URL地址安全控制URL地址安全控制，平台采取映像机制，对WebURL请求传输参数进行加密，使得黑客无法从URL地址传输更改参数获取非法数据。 IP地址安全控制系统统计用户端发送请求IP位址和物理位址，经过IP开关，能够有效预防黑客经过其它路径进入平台系统。用户权限控制机制系统采取URL授权和逻辑授权，URL授权使用在 Web.XML 中配置AOP过滤器，AOP过滤器定义授权规则，确保用户能够访问所请求檔或檔夹。访问到文件后还要再

27、依据系统逻辑授权进行信息范围，操作等控制。数据安全处理机制 事务处理对于关键业务步骤，系统采取事务方法处理，碰到意外情况（比如掉电）发生时候，使得业务数据处理不会出现脏数据和数据丢失现象。 操作日志平台上存在一个日志过滤器，作用对一些配置功效模块进行监控，统计每个IP地址用户对每个功效模块发出每个请求，做出系统操作日志统计。方便以后出现问题有地方可循，可操作恢复。3.4 运行环境3.4.1 网络拓扑图系统支持服务分布布署，采取纯B/S结构，采取软、硬件相结合安全处理方案，确保系统稳定运行。下图是系统网络拓扑结构图：3.4.2 服务器环境硬件要求 服务器作为系统关键处理设备，必需处理能力较强，性

28、能稳定。 数据存放时间，要求数据信息能够在线保留3年以上。 建设早期，应用服务器和数据库服务器能够安装在同一台物理服务器上。 条件许可话，提议双机热备，避免发生服务器故障而使系统瘫痪。软件要求（推荐） 服务器操作系统：WINDOWS SERVER 以上版本或RedHat Linux、Ubuntu Linux JAVA开发包版本：JDK1.6.0或以上 应用服务器软件：Tomcat 6或以上 数据库：Mysql 5或以上网络环境 ADSL网络，无固定IP，独享4M带宽或以上 专线，有固定IP，独享4M带宽或以上系统防火墙 提议开启windows系统自带防火墙，加大对系统保护性。 防火墙开启不会对系统正常访问带来任何影响。3.4.3 用户端环境本产品是基于B/S架构开发，用户只需要使用浏览器就可正常访问系统。硬件要求 Pentium II以上CPU 、内存512M、硬盘20G、10M以上网卡软件要求 WINDOWS XP/VISTA/WIN 7，安装OFFICE 以上版本 支持IE6.0或以上版本，分辨率要求1024*768或以上4 联络方法友联时骏企业管理顾问产品咨询热线：+86-755-2583 0228产品服务邮箱：欢迎访问企业网站：您将了解更多相关内部控制导航仪信息。