NC内控与风险管理解决方案201

NC内控与风险管理解决方案201（共4篇）

NC内控与风险管理解决方案201 篇1

提升企业绩效

为企业发展保驾护航

用友NC集团全面风险管理解决方案

用友软件股份有限公司

[在此处键入文档的摘要。摘要通常是对文档内容的简短总结。在此处键入文档的摘要。摘要通常是对文档内容的简短总结。]

目录 走向世界的中国企业面临巨大风险...............................................................................4 1.1 1.2 1.3 1.4 2 案例一：中国铁路建设沙特项目巨亏41.53亿元.................................................4 案例二：受累汤姆逊清算，TCL集团遭遇2.11亿元索赔....................................4 案例三：诺西收购摩托罗拉受阻，华为诉讼初步胜利........................................5 权威机构针对企业风险管理的调查分析................................................................5

实施全面风险与内控管理的困惑...................................................................................5 2.1 2.2 2.3 2.4 2.5 缺乏全面风险与内控管理运作体系........................................................................5 全面风险和内部控制的管理流程难以长期坚持....................................................6 全面风险管理与内部控制管理分离独自运作........................................................6 风险控制评价工作量巨大，管理成本高企............................................................6 风险管理和内控管理报告输出困难........................................................................6 企业全面风险和内控体系建设思路...............................................................................6 3.1 3.2 3.3 3.3.1 3.3.2 3.3.3 3.3.4 3.3.5 路径一：先风险后内控............................................................................................7 路径二：先内控后风险............................................................................................7 标准的风险内控体系建设步骤................................................................................7 机构设立和计划阶段............................................................................................8 辨识风险/记录风险内部控制缺陷阶段...............................................................8 设计缺陷整改/健全内部控制阶段.......................................................................9 监督风险/内控措施有效执行阶段.....................................................................10 董事会报告及披露阶段......................................................................................11 5 企业全面风险/内控管理对信息化系统的要求............................................................11 用友NC全面风险与内控管理解决方案......................................................................13 5.1 5.2 5.2.1 5.2.2 5.2.3 5.2.4 本解决方案的应用架构..........................................................................................13 实现集团级风险管理的全流程管理平台..............................................................15 风险管理系统流程..............................................................................................15 实现多级风险信息收集管理..............................................................................15 支持多种评估标准和模型管理..........................................................................17 实现风险指标监控、自动预警..........................................................................19 5.2.5 5.2.6 5.2.7 5.3 5.3.1 5.3.2 5.3.3 5.4 5.4.1 5.4.2 5.5 5.5.1 5.5.2 6 实现风险应对管理..............................................................................................20 记录风险控制的评价与改进..............................................................................21 实现风险控制的监督与报告..............................................................................22 实现COSO全面风险综合架构，与内控体系整合...............................................23 通过风险应对方案建立与内控体系的联系......................................................23 通过内控系统完成与业务系统运作管理的结合..............................................25 通过内控审计评测，验证风险管理方案的有效性..........................................26 实现对业务系统的自动监控..................................................................................28 构建IT系统安全控制监控平台.........................................................................28 实现对业务系统关键流程的自动检测..............................................................30 建立集团级高性能、柔性开放平台......................................................................31 构建系统整合平台，风险信息门户..................................................................31 高效率、个性化柔性扩展开发平台..................................................................33

解决方案的价值.............................................................................................................34 6.1.1 6.1.2 6.1.3 实现全面风险与内控管理，提高企业竞争能力..............................................35 快速遵从财政部、国资委相关管理条文要求..................................................35 快速遵从SOX法规要求.....................................................................................35 走向世界的中国企业面临巨大风险

1.1 案例一：中国铁路建设沙特项目巨亏41.53亿元

10月25日，中国铁建公告称其承建的沙特轻轨项目因实际工程数量比签约时预计工程量大幅增加等原因，预计将亏损人民币41.53亿元。由此引发中国铁建股价剧烈波动，跌幅超过10%。

中国铁建2011年1月21日发布公告称，为妥善处理沙特麦加轻轨项目索赔事宜，上市公司中国铁建与其控股股东中国铁建总公司（国有企业）签署协议，后者向中国铁建支付20.77亿元对价，接手沙特麦加轻轨项目的未完工工程。由此，通过母公司承担损失的方式，中国铁建顺利保证财务账面上的盈利。

此事件凸显公司在海外工程项目的管理短板。

1.2 案例二：受累汤姆逊清算，TCL集团遭遇2.11亿元索赔

本该是“好事”，可终究酿出了“苦果”。TCL集团并购法国汤姆逊公司后不但业绩遭遇连连亏损，事端频发，如今受累法国汤姆逊公司清算，再次陷入财务压力困境。

2011年3月14日，TCL集团在停牌一天后公告称，法国南特商业法庭于3月10日对TTE欧洲公司重组诉讼案的第一令诉讼作出初审判决，要求TCL集团、TCL多媒体及其4家全资子公司向TTE欧洲之法定清盘人赔偿2310万欧元(约2.11亿元)，目前TCL多媒体已于2010财务报表中对TTE诉讼计提预计负债1000万欧元。

实际去年就已经传出这个消息，TCL也立刻引起警觉，谋划对策。然而还是终究难逃与汤姆逊合资成立的TTE欧洲公司的清算悲剧的波及。

格力空调副总裁黄辉表示：“格力这两年在巴西销量超过5000万台，中国企业在国外并购充满陷阱，一不小心就会翻身，并购涉及文化融合、法规等无法协调。逐步收购是格力的战略。” 1.3 案例三：诺西收购摩托罗拉受阻，华为诉讼初步胜利

在美国市场备受阻挠的中国最大电信设备供应商华为，终于赢得了一次阶段性的胜利。华为公司2011年2月23日晚间发表声明，称美国伊利诺伊州北区法院就华为起诉摩托罗拉公司和诺基亚西门子公司(以下称诺西公司)一案，正式做出裁决，颁发了初步禁止令。

该初步禁止令除了2011年1月14日法院发出的临时禁止令中要求摩托罗拉禁止向诺西转移华为的保密信息外，还增加了要求摩托罗拉聘请独立第三方进行华为保密信息的安全删除检查，及允许华为对诺西维护摩托罗拉设备的服务记录进行审计等要求。

而我们也注意到，美国议员在2010年10月底要求联邦通信委员会（FCC）重审自华为和中兴订购网络设备可能的“安全”风险。这意味着华为在美国的各种官司将长期纠结，为此，华为公司也预备计提5亿美金的诉讼费用。

1.4 权威机构针对企业风险管理的调查分析

德勤发布2011年《中国企业风险管理白皮书》。上榜企业共25家。调研结果显示，中国企业在未来三年将面临宏观经济、竞争和人才短缺三大风险。超过半数的受访企业称已经建立应对重大风险的基本流程，但仍需要进一步完善。只有10%的企业认为其风险应对流程非常完善。还有10%的企业表示，一旦发生重大或危急的风险事件，自己能在第一时间有效管理。超过50%的企业对大部分重大风险都能实时采取适当的响应措施。接近30%的企业只针对部分重要流程建立了监督与报告程序。实施全面风险与内控管理的困惑

2.1 缺乏全面风险与内控管理运作体系

企业缺少如何建立全面风险管理和内部控制体系的思路、方法论。或者缺乏专门的组织、工作流程和与之配套的绩效考核制度。2.2 全面风险和内部控制的管理流程难以长期坚持

全面风险和内部控制由于涉及企业的方方面面，可以说是全员参与，因此程序繁杂，涉及面广，大量手工工作致使管理成本增加，难以长期坚持。

2.3 全面风险管理与内部控制管理分离独自运作

体现在企业中经常把全面风险管理与内部控制管理进行分离，两套组织班子，两套工作流程。同时，这两个工作与实际的业务系统大多也是独立部署运作，仅仅局限在个别财务数据的提取分析，完全无法实现对业务过程的真正监控。

2.4 风险控制评价工作量巨大，管理成本高企

由于一个重大风险的应对措施，往往涉及多个业务流程、多个控制点和多个业务系统、多部门协同运作，因此控制评价往往需要采集多个环节的大量样本进行测试，然后进行综合评价，依赖于控制评价人员的测试方案设计能力、职业判断能力等等，工作量非常巨大，造成这部分的管理成本上升。同时为了满足控制评价的需要，业务部门也需要按照测试评价的要求保留各种资料文件，也造成相应的办公成本增加。

2.5 风险管理和内控管理报告输出困难

目前，中央到地方国资委，各地政府分管上市工作的部门，以及证交所、证监会等多家机构，都要求企业建立健全全面风险和内部控制管理体系，并能按时按要求提供相应的内部和外部审计报告，同时要求按照各自的样板格式内容进行提报，造成相关企业的管理人员必须 企业全面风险和内控体系建设思路

根据COSO委员会在1992年公布的《内部控制—综合框架》（也称“COSO内部控制框架”），以及2004年提出内部控制向全面风险管理转变，出台了《全面风险管理—综合框架》。

由此可见，风险管理和内控管理实际上是不同发展阶段的产物。但是由于中国国资委和财政部等机构发布相关政策所引用的框架基础不同，名称不同，导致企业要同时满足两个标准要求，也引发国内企业出现了分离两者，分别建设、两套班子等现象。所以，不同的企业也根据自身的条件提出了不同的建设路径，主要为以下两种：

3.1 路径一：先风险后内控

此类企业多属于国资委下属国企，在《中央企业全面风险管理指引》文件的要求和指导下，首先在集团内部建立全面风险管理体系，然后针对选择的重大风险进行内控建设。这种建设路径相对成本较低，但是容易受到主观判断导致部分重要的内控领域被忽略，而提高突发重大风险发生的可能性。

3.2 路径二：先内控后风险

此类企业通常多属于上市公司，或者已经在海外上市，基于萨班斯法案要求，或者国内财政部发布的《企业内部控制基本规范》要求，首先在集团内部建立比较完善的内控体系，然后根据国资委监管的要求，拓展风险信息搜集和目标设定的管理环节。这种建设路径相对体系化比较好，更能覆盖企业管理的方方面面，效益比较明显。

3.3 标准的风险内控体系建设步骤

实际上企业全面风险的建设过程应该涵盖内部控制管理的同步建设，建议企业一套班子、一套流程、一套制度统筹考虑一体化建设。因此本方案提供一个标准的体系建设步骤： 3.3.1 机构设立和计划阶段

A.主要步骤

a)成立专门职能部门（检查监督部门），定义监督检查部门职责分工； b)确定项目计划以建立/完善公司的内部控制； c)梳理现有内部管理政策/制度，明确权责分配； d)制定可持续发展的人力资源政策； e)进行针对性培训；

f)将内控项目计划承交董事会审阅。B.关键事项

a)管理层委任项目领导及项目小组；

b)高层重视并直接参与非常重要；管理层事先将内控项目计划向董事会汇报符合财政部内控基本规范中有关控制环境的精神：以董事会为内控制度之完整合理、实施有效之责任主体；

c)制定分批/分对象因材施教的培训计划，增进全员意识。分批/分对象地实施培训。

C.工作成果

a)制定项目小组制度，以及专门委派的职能部门或项目小组定义项目职责分工； b)制定项目实施具体计划； c)制定分批/分对象的培训计划； d)制作培训材料；

e)分批/分对象地实施培训。

3.3.2 辨识风险/记录风险内部控制缺陷阶段

A.主要步骤

a)设计风险评估标准，基于集团风险调查问卷汇总开展风险评估； b)设定风险容忍程度，确认重大风险及其相关认定及流程；

c)使用内控自我评估问卷辨识与记录工作范围内的企业层面和流程层面的内部控制活动；

d)记录各业务流程中发现的内部控制设计缺陷，汇总并提出整改方案。B.关键事项

a)以风险评估为基础，有侧重点地选择哪些下属部门/公司的、哪些业务环节需要进行内控建立健全的工作；

b)根据最佳实践和监管机构要求，设计内控自我评估问卷，并以此作为起点，逐步调整，建立适合公司的内部控制制度；

c)公司各级人员回答的问卷将为公司的工作提供富有效率的证据基础，而且也体现了内控全员参与的精神；

d)对在建立健全内控过程中发现的控制缺陷提出内控设计整改方案和时间表是非常关键的，这将为管理层增加长期价值，并非只是为了符合监管要求，而是为公司规范运作和长远发展打下更好的基础。

C.工作成果

a)风险评估标准；

b)确认项目范围和流程的风险评估工作表，风险地图；

c)内部控制手册(不兼容职责表，控制矩阵，流程图,流程汇编)； d)控制效果的穿行测试；

e)控制缺陷报告和相应的整改方案建议。

3.3.3 设计缺陷整改/健全内部控制阶段

A.主要步骤

a)根据整改方案纠正内部控制设计缺陷；

b)按照法律法规，部门规章及证券交易所上市规则的规定制定/完善内部控制制度；

c)更新内部控制的记录文件。B.关键事项

a)对监督过程中发现的内部控制缺陷，提出整改方案，采取适当形式向董事会，监事会或者经理层报告； b)跟踪监控内控运行整改方案的实施情况，不仅是合规的要求，也是提升公司执行力的关键。

C.工作成果

a)控制缺陷报告和相应的整改方案建议。

3.3.4 监督风险/内控措施有效执行阶段

A.主要步骤

a)制定风险内控监督制度，规范其程序，方法和要求； b)开展风险内部控制自我评价，出具内部控制自我评价报告； c)跟踪风险内部控制运行缺并及时改进。B.关键事项

a)应根据风险评估的结果，制定内控监督检查办法和内控自评和检查计划，使有限的资源被有侧重地运用到高风险的领域；

b)抽检管理层的内控自我评估问卷，通过检查和必要的抽样测试等手段确认内控自我评估问卷是否准确填写，并向总裁办公会及董事会报告测试结果。管理层内控自我评估加上检查监督部门循环抽查符合《指引》中内控框架下“检查监督”层面的精神；

c)跟踪监控内控运行整改方案的实施情况，不仅是合规的要求，也是提升公司执行力的关键；

d)监管要求指出，检查监督部门的工作资料，包括底稿和报告等需要保存十年。C.工作成果

a)在风险评估的基础上，制定风险内控监督检查办法和内控检查计划； b)设计开展内控自我评价和抽样评审的标准和工具，包括：风险内控自评的问卷，抽样测试的程序、方法和具体工作底稿； c)风险内控监督检查报告。3.3.5 董事会报告及披露阶段

A.主要步骤

a)董事会/审计委员会审核《内部控制检查监督工作报告》；并以此为基础制作《内部控制自我评估报告》形成董事会决议；

b)披露《内部控制自我评估报告》以及会计师事务所对该报告出具的核实评价意见；

c)以内控自我评估报告为基础，结合国资委风险管理报告模板框架，披露《风险管理报告》。

B.关键事项

a)董事会是公司内控制度之完整合理、实施有效之责任主体；

b)董事会应当根据监管机构将要出台的董事会议事规则以及其它相关法规的要求，采取适当的步骤和取得充分的资料，来支持其对公司内控有效性的决议，这些资料既应包括检查监督部门递交的《内部控制检查监督工作报告》；也应包括管理层提交的其他支持性文件，包括管理层的内控自我评估问卷等；

C.工作成果

a)根据上交所将要出台的董事会议事规则以及其它相关法规的要求，制定董事会内部控制检查监督清单（Checklist）；

b)制定董事会内部控制资料检查制度，制度中规定董事会应采取的适当步骤，来支持其对公司内控的决议或有重大内部控制缺陷时的披露程序； c)拟定《内部控制自我评估报告》、《全面风险管理报告》或者其他的披露文件。企业全面风险/内控管理对信息化系统的要求

在企业建立了全面风险管理和内部控制体系的基础上，企业对信息化系统的要求可以概述为以下几点：

A.建立适应集团企业全员应用的、集中部署的风险管理工作平台； a)完成风险管理的业务流程：包括从风险组织和管理标准设立、风险信息搜集、风险评估、风险应对、风险控制、风险评价与改进、风险监督与报告；

b)满足集团多层级、多部门的风险管理审批、评估等工作中全员参与、流程流转、信息互通的要求；

c)满足各类风险评估、应对、监督和评价信息的共计、汇总分析，支持各类外部监管机构的报告输出要求。

B.能够将全面风险管理与内部控制体系无缝集成；

a)达到风险管理与内部控制体系的集成应用，实现一套班子、一套体系、一套流程的统一管理；

b)通过风险管理的应对方案，实现通过内部控制体系实现风险控制的目的；

c)风险控制点可以直接控制业务系统的运作； d)实现业务系统数据自动支持风险预警、风险识别。C.实现风险控制节点监督的自动检测；

a)通过内控体系实现对业务系统风险控制点的自动监控，降低风险监督人工成本；

b)实现对现有各类业务系统安全控制的监察，防止由于系统安全策略和漏洞造成系统应用风险。

D.建立风险管理知识库，完善相应的绩效考核和保障机制

a)构建集团统一的风险管理知识平台，加强风险管理意识普及； b)设计风险指标，并根据控制效果评价影响相关部门人员的绩效考核。E.满足大用户量大并发的效率要求，支持后续应用变化引起的系统整合、个性化开发应用需求 5 用友NC全面风险与内控管理解决方案

5.1 本解决方案的应用架构

用友全面风险管理与内控架构公司治理层风险信息搜集风险评估管理风险应对管理风险监督与改进风险控制评价内控体系管理内控手册管理IT控制监控报告内控审计管理风险管理报告战略管理层企业绩效管理全面预算与计划管理集团报表与合并管理组织与策略管理业务经营层集团客户关系管理集团财务管理集团供应链管理集团人力资源管理电子商务应用集团资产管理行业特殊应用集团知识文化管理基础平台层身份与权限管理动态会计平台办公协同与门户流程管理平台集成应用平台预警平台二次开发平台商务智能平台NC全面风险/内控管理体系架构图

广义的NC全面风险与内控管理解决方案由依托于UAP平台包括业务经营层、战略管理层和公司治理层三部分，而狭义的全面风险与内控管理方案则专指公司治理层。其中，全面风险管理的业务运作可以用下图标示：

风险组织风险知识库风险分类风险问卷风险评估标准风险评估模型流程管理报告模板风险指标设置风险预警设置基础设置业务处理风险信息搜集突发重大风险风险评估风险应对管理重大风险应对风险执行跟踪跟踪改进报告风险预警分析与报告风险分布热图风险事件查询风险自检查询风险自评报告13

全面风险管理系统架构图

 基础设置层：本层是整个风险管理信息系统的平台基础，包括风险管理组织设置、风险分类与信息、风险知识库、风险预警设置、风险评估标准与模型、风险问卷管理等。构建整个风险管理的基础环境。

 业务处理层：本层是整个风险管理信息系统的核心业务处理部分。包括从风险信息搜集、风险识别与评估、风险预警和应对管理、风险应对执行与监督管理。实现集团多层级的协同风险管理作业，建立相关的标准流程和信息共享。

 分析与报告层：本层处理是风险信息查询分析和风险管理报告披露的部分。包括风险管理报告管理、风险热图和矩阵分析等。5.2 实现集团级风险管理的全流程管理平台 5.2.1 风险管理系统流程

全面风险管理集团设定风险识别周期制定风险识别问卷模板公司调整风险识别信息提交审核部门问卷提交公司部门下发风险识别问卷到公司下发风险识别问卷到部门风险识别提交部门内部审核风险收集与管理公司内部审核审批上报风险评估模板风险发生可能性评估标准风险影响程度评估标准风险评估分值设置公司评估结果确认规则固有风险评估上报评估结果审核提交风险分析与评价集团进行固有风险评估审批确认重大风险风险应对方案制定应对方案剩余风险评估全面风险管理系统流程

5.2.2 实现多级风险信息收集管理

 支持集团全面风险管理问卷的设计、下发与信息上报管理。 支持重大风险事件的上报管理。

【风险调查问卷下发】

【重大风险事件上报】

5.2.3 支持多种评估标准和模型管理

 支持集团多层级、多部门风险评估运作机制；  支持风险评估标准与模型建立；  支持评估结果自动选取标准。

【风险评估流程图】

【评估结果生成规则】

【固定风险评估】

5.2.4 实现风险指标监控、自动预警

 针对风险成因，设置相应的参照指标，可以是定性指标，可以是定量指标。其中定量指标可以设置报警区间，一旦满足预警条件，系统自动发送相关信息给指定人；

【风险指标设置】

 系统提供预警信息报送机制的设置，以各种方式传递。

【预警方式设置】

5.2.5 实现风险应对管理

 风险应对策略方案的管理；  建立与内控措施关联关系；  形成风险控制矩阵。

【风险应对方案】

【风险控制矩阵】

5.2.6 记录风险控制的评价与改进

 根据风险管理组织和岗位分工，支持风险岗位针对风险控制点的测试，记录测试结果，并进行统计分析

【风险控制点测试】

 支持对失效的控制点进行设计和运行缺陷的认定，并制定整改的时间和相关负责人。

【风险缺陷评价】

5.2.7 实现风险控制的监督与报告

 支持以风险为核心的各种信息搜集、评估、应对、控制执行测试等综合信息的报告式输出；  支持以word、excel、txt、html等多种格式输出系统内的信息，形成相关分析报告；  支持向外部风险管理和内控审计机构提供相关信息。

【风险管理综合报告】

5.3 实现COSO全面风险综合架构，与内控体系整合 5.3.1 通过风险应对方案建立与内控体系的联系

系统在风险应对方案中，建立与内部控制体系之间的对应关系，从而实现：

 风险应对方案直接对应内控措施，包括控制点、控制业务流程、监督措施、监督部门、监督岗位；

【风险应对与内控措施对应】

 内部控制管理手册中直接选取关联的业务风险，定义控制点、监督检查方法、业务流程等，实现双向的互相索引关联。

【内控手册维护】

5.3.2 通过内控系统完成与业务系统运作管理的结合

 提供关键业务数据审计线索配置与监控查询：包括基础数据档案，诸如客户档案、会计科目、银行账户档案等。系统可自动记录这些关键数据的变化日志，特别是编辑的时间、前后变化的对比、编辑人员等关键信息。

【关键数据审计线索配置】

 提供关键业务流程审计线索的配置与监控查询：指流程配置平台制定的业务流程，一旦发生变化，系统将自动记录变化前后的流程，以及变化的时点、操作员。方便审计人员追查系统控制变化的过程，防止非授权情况下对业务系统的改变。

【关键业务流程审计配置】

 提供关键控制参数审计线索的配置和监控查询：指系统中各种集团级别、公司级别的业务系统参数，可以设计参数变化的日志记录，便于审计人员和系统管理人员监控和追查。

5.3.3 通过内控审计评测，验证风险管理方案的有效性

通过内控审计平台，针对内部控制进行专项审计，并形成内部的审计评估报告：  支持内控审计项目计划、任务分配、工作日志和协同合作的项目管理；  支持设置内控审计工作底稿、工作组分发、底稿填报与汇总的管理；  支持内控审计评估报告的编写、签审、发布和内部传阅的管理。

【内控审计项目计划】

【内控审计工作底稿】

【内控审计评估报告】

5.4 实现对业务系统的自动监控 5.4.1 构建IT系统安全控制监控平台

当前企业越来越依赖ERP业务系统对于日常业务的管理，但是，如果业务系统没有足够的安全控制能力，或者说无法对系统的安全机制进行监控，那么整个系统输出的数据结果将存在很大的可质疑之处。

 授权监控：通过对关键用户、关键角色、关键功能、关键流程的设置，NC系统可以自动对这些关键点进行授权情况以及变化情况进行跟踪，形成相关的管理日志，并支持输出到指定格式的报告。

【关键功能设置】

【关键流程授权监控】

 互斥设置：系统内置内控措施当中不相容职责分离的模型。通过对关键业务流程的各个业务环节设置互斥，从而提供授权时的互斥职能检测，防止出现不相容职责授权失误。

【互斥设置】

 特殊日志报告：系统为IT管理人员提供一些特殊用户的监测日志，防止诸如系统管理员之类的特殊用户对系统造成数据干扰。包括：特殊用户（指系统管理员、帐套管理员）操作日志报告、离职人员报告、调配人员报告、不明身份人员报告（指无法与人员档案建立对应关系的用户）。

 安全策略监控：提供对于不同角色、人员密码策略的设置，以及策略变化的日志记录。

5.4.2 实现对业务系统关键流程的自动检测

用友NC系统针对主数据和业务流程的变动情况，自动进行日志记录，给出相应的报告，方便内部和外部内控审计人员进行管理过程的跟踪和评价。

【关键数据监控报告】

【关键流程检查报告】

5.5 建立集团级高性能、柔性开放平台 5.5.1 构建系统整合平台，风险信息门户

用友引进IBM的企业服务总线（ESB）平台，为企业围绕风险管理的各个业务系统进行基于信息管理服务的整合，实现跨平台、跨系统的风险信息整合披露和搜集管理，并完成风险

控制过程中要求的业务整合和流程控制。

【企业整合平台——企业信息服务总线】

为达到各系统的信息整合和互通利用，用友提供对各个业务系统基础数据的统一标准化管理平台——主数据管理平台，帮助集团IT部门统一集团内各企业业务系统的共有基础数据信息，统一发布机制和编码机制，为后续的集成和管理提供基础。

【主数据管理平台】

此外，为提高系统使用人员的应用体验，利于整个风险管理工作的顺利开展，用友提供

统一的风险信息门户，并可与企业的办公信息门户集成，实现统一登录、信息集成的应用效果。同时，在该门户可以集成风险知识库管理，便于风险管理的工作人员查找相应的案例、信息的沟通和制度的梳理保管等。

5.5.2 高效率、个性化柔性扩展开发平台

由于全面风险管理和内部控制管理系统，将是涉及集团内部各个企业、部门和人员的综合系统，因此必须能够满足大用户量、大并发情况下的高性能运作。用友NC系统已经在2010年9月发布《NC5.6 3万人Hpux的性能测试报告》。其中，平均反应时间、处理事务的能力、CPU利用率等指标均达到良好水平。

【NC事务平均响应时间】

UAP-NC平台除了提供标准的客户化交付模式外，可以通过功能强大的二次开发平台，根据企业应用的实际需求，进行贴身的项目开发，充分贴现客户的个性化。通过二次开发平台提供的各项工具，可以让技术或者实施人员方便地存取到UAP-NC平台系统资源，包括数据字典、表格、模板、组件、管理要素、控制函数等接口。

【开发建模管理】 解决方案的价值

基于COSO 框架的全面风险管理解决方案侧重于从企业整体层面制定风险战略、完善内控体系、利用IT 技术建立完善的风险管理流程和内部控制。帮助企业搭建风险管理的综合IT架构，建立风险管理的长效机制，从根本上提升风险管理的效率和效果。

6.1.1 实现全面风险与内控管理，提高企业竞争能力

 能够形成企业上下统一的内部控制管理标准，并通过规范化与系统化的业务流程及控制节点保障内控制度的有效实施。

 明确风险管理职责，将所有风险的管理责任落实到企业的各个层面，形成风险信息的收集、分析、报告系统，为风险的实时有效监控和应对提供依据。 避免企业重大损失，支持企业战略目标的实现。

 通过电子化的手段汇总整理内控体系建设过程中的相关手册、文档，避免在工作中翻阅大量文字资料，提升工作效率。

 对日常经营管理活动中出现的问题进行记录与跟踪以满足合规要求，并定期审核内控流程的执行有效性，生成内控评估报告。

 促进组织成员之间的信息交流和沟通，改善企业控制环境，提升内部控制管理效率。

6.1.2 快速遵从财政部、国资委相关管理条文要求

 涵盖财政部关于企业内部控制基本规范的17项控制内容和控制方法。

 覆盖国资委关于央企全面风险管理指引中要求的风险管理流程，特别是战略、财务、法律风险管理信息的搜集、风险评估、风险行为管理等方面

 符合深交所、上交所关于上市公司加强内部控制和信息披露方面的要求和控制点；

6.1.3 快速遵从SOX法规要求

 能够帮助管理层评估公司遵守SOX404法案的情况，保证内控报告的质量，提升管理层签署内控报告的信心。

 规范公司SOX404 测试工作的程序，提高SOX404测试工作效率，加强工作质量保证。 降低沟通协调的人力成本。

NC内控与风险管理解决方案201 篇2

一、公司构建财务成本内控管理机制过程中的阻碍与问题

经过笔者的调查分析, 公司财务成本内控管理机制的构建存在很多阻碍, 具体原因总结为:

1. 公司内部组织管理制度的缺失。

财务成本内控管理机制的构建, 需要合理的公司内部组织管理部门给予配合与帮助, 各个管理部门应当明确财务成本内控管理的重要性和现实意义, 将部门经营方案与公司发展计划、财务成本内控管理结合起来, 通过公司规章、部门活动守则等制度的建立、执行与监督, 协助财务成本内控管理机制在公司各个阶层、各个经营活动中得到贯彻与实现。笔者认为, 财务成本内控管理机制的运作效果, 从一定程度上取决于公司每个组织管理部门的配合程度。现实调查中, 国内很多公司都忽视了内部组织管理部门与财务成本内控管理机制之间的关系, 没有对不合理的组织结构、部门职能进行重新调整与分配, 造成许多部门之间的管理权限重叠、冲突, 或者部分管理职责的缺失, 部门之间的相互配合与沟通不足, 阻碍了公司财务成本内控管理机制的构建, 也不利于公司经营活动的实现。

2. 公司领导决策人员对财务成本内控管理机制缺乏认识。

我国很多公司的领导决策人员不了解财务成本内控管理机制构建的重要意义, 觉得财务成本内控管理工作可有可无, 将管理重点集中在经营收益方面, 缺少财务成本内控管理方面的经验, 导致公司在财务管理、监督方面的职权缺失。有的公司领导决策人员认为财务成本内控管理机制只需要在财务管理部门中设立即可, 在财务部门中将财务数据、文件资料做好整理与备案, 忽视了财务成本内控管理机制对公司整体运营、经济成本管控。因为公司领导决策者的认识不清、思想意识不到位, 导致公司下属其他员工对财务成本内控管理工作的热情不高、配合性较差。

3. 公司财务成本内控管理工作缺乏制约与监督, 执行效果不理想。

国内很多公司在实施财务成本内控管理的时候, 没有制定相应的监督、制约机制, 因此财务成本内控管理成为口头上的一纸空文, 有的财务人员在工作中, 没有得到其他部门应用的配合和协助;公司的财务成本内控管理决策文件, 也不能够在内部各个部门中顺利实施;甚至部分财务管理人员缺乏职业责任意识, 专业知识与专业能力不足, 无法胜任本职工作, 严重影响了财务成本内控管理工作的效率, 但对上述不合格的人员、不当财务管理行为, 缺乏绩效评估和审核奖惩机制, 导致公司的财务成本管理控制缺乏效果。

二、公司财务成本内控管理的解决方案

由于上述部分公司在经营管理中的不足, 笔者给出了提升财务成本内控管理效果、构建财务成本内控管理机制的解决方案:

1. 创建财务成本内控管理的公司文化与宣传理念。

精神文化与宣传理念, 代表了公司经营管理的整体水准, 从一定程度上反映出公司的发展潜力。积极、健康的公司文化与宣传理念, 能够领导、带动公司持续向着发展目标前进, 因此公司领导者应当将财务成本内控管理理念融入到公司文化和宣传理念中, 保证公司每个员工都清楚认识到财务成本内控管理的重要性和现实意义, 主动支持并积极配合财务成本内控管理工作, 形成公司凝聚力和向心力, 确保恪尽职责, 完成本职工作, 为财务成本内控管理机制的构建提供助力。

2. 实施全面预算管理, 确保财务内控目标的实现。

财务内控的目标是找出企业有效的增效减支的来源。一个企业若缺乏预算或预算管理松弛就注定会在低效率和低效益中走向失败:而规范出资者、经营者与各部门职工之间关系的有效制约手段就是进行全面预算管理。市场经济条件下的竞争、约束机制离不开规范化的预算管理, 企业的生存和发展也需要强化具有法律效力的预算管理。对于企业来说全面预算管理不仅可以促进企业财务内控工作的发展与完善, 而且还可以减少企业的经营与财务风险。首先, 预算的基础是计划.通过预算促使企业各部门提前制定计划, 从而避免因盲目发展而遭受不必要的经营和财务风险。其次, 通过制订和实行全面预算, 使企业不断用量化的工具使自身的经营环境、拥有的经济资源以及企业的发展目标保持动态平衡。

3. 建立内审部门, 保证财务内控体系的实施效果。

强化内审制度、保证财务内控体系、有效评价财务内控体系实施效果的一个重要手段就是建立完善的内审部门。此外.该部门若要保证会计的独立性与权威性, 就必须独立于被审计部门。内审部门作为企业的一个重要职能部门, 首先应该了解企业的财务管理状况, 并及时发现财务内控中出现的问题及原因。笔者认为在没有大幅度增加人力的情况下, 需要设立专门的内审岗位, 此外, 由该岗位与现有的纪检专员合并成立纪检内审部, 需在企业管理层的领导、指挥下开展工作。内审人员必须具备强烈的责任心和敬业精神, 维护企业利益。此外, 还要采用多种方法、从多个角度取得真实、准确的第一手资料。进而对企业的财务内控体系做出分析、评价并提出相关建议。

4. 加强人才队伍建设, 提升财务内控水平。

人才对于企业的发展具有重要的作用, 是企业的核心力量, 因此, 企业需要坚持以人为本的思想来提高其财务内控水平.并努力建设一支爱岗敬业、业务熟练的财务内控人员队伍。首先应在企业内部广泛号召、开展爱岗敬业教育活动.进而增强企业财务人员的法制观念, 并建立财务人员职业道德考评标准, 树立坚持原则的良好职业道德风尚。其次要建立统一规划、分级管理的培训体系, 并且要重点监督管理好总会计师、财务中心主任以及会计人员的培训工作。

综上所述, 公司在构建并完善财务成本内控管理机制的过程中, 应当注重为财务管理人员提供学习、参与培训与交流的机会, 通过财务成本内控管理, 实现公司物质资源的科学配置, 实现经济成本与支出的节约, 调动公司员工的工作热情与责任心, 促进公司长期、健康发展。

参考文献

[1]胡萍.企业财务内控管理措施与风险防范分析[J].财经界 (学术版) , 2016 (20) .

[2]王明洁.构建企业财务内控管理创新模式的思路[J].商场现代化, 2015 (28) .

[3]陈春燕.企业财务内控管理制度建设中的难点和解决措施[J].当代经济, 2016 (24) .

[4]李艳萍.简议强化企业财务内控管理的有效措施[J].云南科技管理, 2015 (03) .

NC内控与风险管理解决方案201 篇3

第6章监控和维持控制环境

6.1关于监控和维持

维持IT环境合规和内控的关键是随时监视和评测对所有重要方面的控制。通过部署恰当的监控审计工具自动完成监视和评测遵从, 用户可以不间断地监视大量的系统和 (外部威胁情况) 数据 (如图6-1所示) 。

通过华为存储网络安全Secospace LA可以自动实现安全性事件的过滤和收集。这样用户就可以在外部威胁和内部活动之间建立起自动化关系, 并根据定义的业务风险和法律风险要素有效排定事件日志的优先顺序。

同时, 可以通过Secospace的修复工具对网络和系统进行相应修复, 也可以通过Secospace的策略制订工具进行策略调整和修订 (详见下章节) 。

补救完成后, 审计人员可以重新监控, 并出具报告, 以此表明满足法律规定的合规性要求。

6.2监控IT环境

使用Secospace Log Audit可以通过采集安全事件, 将组织内控策略和安全事件数据关联起来。这些数据来自多种安全源, 包括防火墙、入侵监测、防病毒、操作系统、应用系统、网络设备等。从而保证了对整个IT环境的集中监控, 为进一步改进IT环境提供了数据基础 (如图6-2所示) 。

利用Secospace Log Audit对影响关键业务的程序进行识别、优先级确定、调查和响应, 从而确保业务信息资产的完整性。

Secospace Log Audit提供以下功能, 帮助用户监控和维持控制的不足, 并能与补救工作流程有机地结合 (如表6-1所列) :

6.2.1 Se cos pace Log Audit的工作原理

安全审计包括识别、记录、存储、分析与安全相关行为有关的信息。国际标准化组织 (ISO) 和国际电工委员会 (IEC) 发表了《信息技术安全性评估通用准则2.0版》 (ISO/IEC15408) , 俗称CC准则, 目前, 它已被广泛地用于评估一个系统的安全性。在这个标准中对网络审计定义了一套完整的功能, 包括安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件存储、安全审计事件选择等 (如图6-3所示) 。

·安全审计自动响应主要包括对潜在的安全攻击或安全威胁作出响应。包括告警或行动等。

·安全审计数据生成主要包括从多个纬度、多个层次, 全面地记录与安全相关事件的出现。

·安全审计分析主要包括对潜在攻击分析、基于模板的异常检测、简单攻击试探、复杂攻击试探、安全基线等诸多方面。

·安全审计浏览、安全审计事件存储、安全审计事件选择主要包括安全审计系统日常管理维护需求, 保护安全审计的权威性和安全性, 支持分部门或按组织结构对安全审计进行管理。

6.2.2 Se cos pace Log Audit安全改进

6.3针对ISO17799的最佳实践

6.3.1策略概述

针对ISO 17799标准的Secospace策略由安全专家映射, 并在Secospace Log Audit上编制监控策略。

使用Secospace Log Audit监控策略不可能检查所有的标准要求。但是, Secospace Suite提供了100多项合规检查策略 (如图6-4所示) 。

6.3.2用例:应用策略执行监控

例如, Secospace Log Audit能够很好地解决ISO17799 10.10种关于监视IT环境条款遵从的问题 (如表6-3所列) 。

针对10.10.1, Secospace Log Audit提供对用户异常行为和高危操作进行审计, 实时生成审计事件并进行响应告警。

同时在审计对象、审计深度上根据具体的内控要求进行分析和监控 (如表6-4所列) 。

6.4监控和维持控制环境摘要

本章是讨论如何使用Secospace Log Audit产品来监控和维持IT的控制环境, 并为后续的审核和改进提高打下更进一步的基础。

第七章报告和评价控制环境的状态

7.1关于报告和评价

本章介绍如何持续维护和改进IT内控环境, 提升IT内部控制的有效性, 以适应由于业务发展、应用系统及网络基础架构调整所引发的一系列变更问题。此外, 本章还会介绍如何依据Secospace LA定期出具的内部审计报告, 以满足相关政策、法规的遵循性要求 (华为存储网络安全IT内控解决方案流程模型-改进阶段示意图如图6-1所示) 。

7.2报告控制环境

合规性作为IT内控的强大驱动力, 同时也是IT内控治理水平的检验方法和重要目标。Secospace Suite提供强大的可定制、可扩展的合规性报告输出功能, 内容可以满足包括SOX、等级保护、公安部82号令等一系列的政策法规要求。下面介绍SOX合规性报表的相关内容。

Secosapce Suite支持输出以IT系统访问安全为主的SOX合规性报表, 如login、logout信息, 主机会话状态等报表。

·Login报表·Logout报表·Other报表

系统支持根据时间范围、服务器、访问账号、访问IP地址等来查询生成的SOX法案报表, 同时也支持定时产生SOX法案周期报表。

Login报表的生成步骤如下:

·步骤1选择“报表管理>SOX报表>login报表” (如图7-1所示) ;

·步骤2在“login报表”页面, 根据需要选择“日报表”、“周报表”或“月报表”页签;

·步骤3单击“查询时间”后的选择时间, 系统查询所选时间的login报表;

·步骤4在“请选择安全对象”区域框, 从安全对象组或安全对象类型中选择安全对象;

·步骤5单击“查询”, 系统显示查询结果报表。

Logout报表的生成步骤如下:

·步骤1选择“报表>SOX报表>logout报表” (如图7-2所示) ;

·步骤2在“logout报表”页面, 根据需要选择“日报表”、“周报表”或“月报表”页签;

·步骤3单击“查询时间”后的选择时间, 系统查询所选时间的logout报表;

·步骤4在“请选择安全对象”区域框, 从安全对象组或安全对象类型中选择安全对象;

·步骤5单击“查询”, 系统显示查询结果报表。Other报表的生成步骤如下:

·步骤1选择“报表>SOX报表>other报表” (如图7-3所示) ;

·步骤2在“other报表”页面, 根据需要选择“日报表”、“周报表”或“月报表”页签;

·步骤3单击“查询时间”后的选择时间;

·步骤4在“报表类型”下拉选框中选择需要查询的报表类型;

·步骤5在“安全对象类型”下拉选框中选择安全对象类型;

·步骤6在“安全对象”区域框中选择安全对象;

·步骤7单击“查询”, 系统显示查询结果报表。Secospace Suite除可生成SOX合规性报表外, 还可以通过“我的报表”实现定制报表功能, 生成其他各类合规性报表, 从而为内部和外部审计提供客观证据, 最终提升组织的形象和竞争力。

7.3修复控制环境

7.3.1控制环境自愈

随着IT对于业务的支撑和发展的作用日益凸显, IT自身的安全性也日益受到重视。近年来, IT安全理论、框架和方法均有了长足的发展, 安全的实现也已由最初的单点防护阶段逐步发展到目前自适应的、体系化的主动防御阶段。

根据调查统计, 70%的安全问题都来自于组织内部。因此, 使用一套融合了管理和技术的、高自动化的安全解决方案, 以维护一个动态改进的、可自愈的内控环境, 对于企业提升安全管理效力和效率是非常必要的。根据多年IT安全内控的最佳实践, 组织内部最难管理、也是最大安全威胁的, 还是“人”这一因素。就IT环境而言, “终端用户”是其中比例最大、最容易出现安全问题的环节。面对这样一个基数很大而个体安全性要求又不高, 但却直接关系到组织的整体安全水平的管控对象, 安全控制措施不仅要高效, 更要求可以“自愈”, 即每个终端可以自动修复自身存在的安全问题, 提升每个端点的安全状态, 避免出现个体安全短板, 进而实现整个IT控制环境的自愈效果。

华为存储网络安全Secospace Suite可以通过自动化工具Secospace Suite, 实现IT控制环境下的自动补丁管理、自动软件下发等自愈功能。

■系统补丁管理

系统的安全脆弱性可能来自于使用者未优化甚至错误的系统配置或系统的滥用, 也可能来自于开发厂家在设计、实现过程中不可避免的疏忽和错误。对于前者, Secospace Suite提供了较为丰富的检查、控制功能, 如进行进程监控、基于黑白名单的软件检查、防病毒软件版本检查、上网记录检查等, 并通过策略管理对上述检查结果进行控制;对于后者, Secospace Suite提供了自动修补功能, 客户端可以自动从服务器下载经验证的系统、应用和安全补丁并进行安装, 保证系统在厂商发布补丁后的第一时间就进行安全的加固, 以应对日益严重的“0-DAY”安全威胁。

补丁管理主要由华为存储网络安全Secospace PM (补丁管理) 实现, Secospace PM的主要功能如下:

·支持操作系统、应用软件补丁管理

·支持补丁提示安装、静默安装·支持补丁增加、删除、修改、查询·支持手工分发补丁

·支持自动分发补丁

·支持从微软网站检测下载最新补丁·支持补丁校验

·支持补丁卸载

·支持补丁传输加密

·支持补丁分发流量控制

7.3.2用例-补丁管理

下面以系统补丁管理为例, 说明如何使用Secospace Suite进行IT控制环境自愈, 并解释该功能依据的管理框架和满足的合规性要求的内容。

补丁下发步骤如下:

·步骤1在“Secospace安全管理”导航树选择要分发补丁的节点;

·步骤2选择“软件下发”;

·步骤3在“软件下发”页面单击“增加”;

·步骤4在“定制软件分发作业”页面输入软件作业参数 (如图7-4所示) ;

·步骤5单击“下发”。

完成后, 该补丁可按配置参数自动下发和运行。

补丁管理与相关管理框架的契合, 以及满足合规性要求如表7-1所列。

NC内控与风险管理解决方案201 篇4

人们经常探讨如何让成长中的企业选择多元化发展路径和模式这一颇具争议的问题。这个问题的难度在于多元化企业集团在对其下属子公司有序地进行实时管理的同时还能通过合理的内控模式集聚资源、提高效率。

一、多元化集团公司可能出现的内控盲区

多元化集团公司具有跨地域、跨行业等特点, 它的技术、资金、市场优势等是普通单一企业无法比拟的。但是其本身也会因规模庞大、管理分散而出现管理盲点, 以下三种就是较为常见的管理盲区:

(一) 资源盲区

我们常常会见到多元化集团公司在资金管理方面没做到位, 出现资金分散、利用效率低, 资金使用成本高, 资金体外循环以及下属机构私设“小金库”的现象。这是由于集团整天忙碌于各个企业之间资源协调分配, 而没有有效的整体利用所致。在采购管理方面, 若是没有协调好就会出现缺货与库存积压并存的现象, 集团采购的规模优势发挥不了, 且存货成本居高不下。若盲区出现在营销体系方面, 就会因没有有效整合市场资源而造成销售渠道紊乱、商品不能共享渠道、销售费用投入巨大且无效的现象。而以上所有问题导致的结果规模优势缺失, 整合能力低下, 资源浪费严重。

(二) 信息盲区

所谓信息盲区就是指决策者周围充斥着大量信息, 却无法进行归集、排序与有效性辨别。仓储部门对市场销售情况、可用库存情况不清楚以致无法确定合理的安全库存量;而销售部门却反映不能及时了解销售订单处理情况以及产品价格变化情况, 也无法知晓可用库存信息。甚至连决策者自身对下属机构生产经营情况也不能及时了解, 集团资金流转状况也无法实时监控, 这必然无法形成科学决策。

(三) 权力盲区

“集权还是分权”是令多元化集团公司烦恼不断的抉择。随着管理的企业经营规模日益扩大、地域分布日益广阔、产品日益多元化, 导致集权管理难以实现, 与此同时集权也可能会导致下属企业失去积极性。但是分权管理又无法保证对下属机构的有效监控, 也可能会因监管不力导致公司重大损失。

二、多元化集团公司管理盲区管控思路

多元化集团公司需要从纵向管控和横向协同两个方面入手, 构建起高效、协同的内控模式, 走出以上所述的盲区。所谓纵向管控, 就是指纵向构建“总部—事业部 (专业板块) —分子公司”的定位、监控以及权责系统;而横向协同是指发现协同效应增值点并构建与之对应的协同机制。

(一) 构建纵向管控系统

纵向管控系统的构建主要围绕着三个问题展开, 即管什么、谁来管、怎么管。将集团公司中各层的定位以及各层次存在的意义和目的进行明确就是围绕“管什么”展开。“总部创造价值而不是毁灭价值”这是总部需要解答的问题, 其内在含义就是指总部旗下各事业部 (专业板块) 在总部领导下比各自独立存在 (或者在其他公司总部领导下) 能够创造更大的价值。

要解决上述问题就得先分析板块所运营行业的特点、市场竞争状况、发展阶段以及各层次的管理能力与水平, 再围绕总部创造价值的方式选择合适的管控模式, 例如战略管控模式、运营管控模式、财务管控模式等。与此同时还要将该管控模式下“总部—事业部 (专业板块) —分子公司”的定位进行明确。

多元化集团公司要以管控模式为基础, 将其总部、事业部 (专业板块) 以及分子公司的管控领域进行明确, 对于“管什么、不管什么”要清晰明确。一般而言, 总部更偏重于战略方向、人力资源、财务、资本运营、信息化等管理职能, 而事业部 (专业板块) 则更偏重于业务运营与具体资源配置, 至于生产制造管理或产品销售管理则是分子公司的范畴。集团公司在管控领域明确之后还需进一步明确各层次管理的细分领域。

(二) 构建集团横向协同机制

纵向管控体系构建是多元化集团公司内控的重要部分, 但除此之外, 在专业化分工基础上强化集团下各业务板块的协同能力也是必不可少的。一般而言, 对于构建集团横向协同机制多元化集团公司可以采用以下三种方式:

第一, 流程协同和专业委员会协同。所谓流程协同是指集团公司以流程为基础, 围绕客户构建贯穿集团各层次、涵盖价值链各个环节的端到端流程体系。这样不仅能够打破部门本位主义, 还能提高流程效率。而专业委员会协同是指集团公司围绕一些跨部门的重大事项建立临时性或常设性专业化机构, 以此开展统筹协同、集中决策。这对提高决策效率有极大地帮助。

第二, 集中业务, 将规模化优势发挥出来。资金集中管理和集中采购是最常见的集中方式。集中采购能够节约采购成本, 这是因为它可以通过量的集中来提高整个集团的议价能力。

第三, 将共享服务集中以此提升规模效率。人力资源共享服务、企业大学、IT共享服务以及财务共享服务是最常见的集中共享服务方式。它们的建立可以将集团内部的事务性工作 (如招聘、财务报销) 进行集中管理。这样不仅能够提高效率, 还能够让各专门部门集中精力开展政策制定、策略研究等的高价值工作。

三、建立符合多元化管理的集约化财务管控体系

随着企业业务的多元化及财务专业分工的精细化, 传统的由企业总部设立财务资产部门负责企业全部财务业务 (包括预算、内控制度、会计核算、资金管理及资本运营等) 的财务管理模式已慢慢不能够适应新的管理需要。传统的财务管理模式虽然集中了全部的财务管理业务, 便于内部协调, 但是其分工不细、专业程度不深、缺乏内部制约等缺点使其在多元化集团中的应用越来越局限化。因此, 大财务管理模式出现了, 它拥有与时俱进的财务管理理念和财务管理模式, 是传统模式的创新。大财务管理模式重新整合分化了财务管理功能, 财务部中需要强化、扩张及延伸的业务被独立出来组建成新的业务管理平台, 这样各财务业务之间既可以相互协调又有一定制约。组建的新业务管理平台主要有以下几种:

(一) 建立大司库资金集中平台

作为财务管理主要任务之一的资金管理已由过去的收支两条线为重点的集中管理转变为大司库管理。所谓大司库管理就是对企业本外币、境内外资金进行统一收支管理, 集中企业全部资金以及收支全部纳入预算管理是它的两大特点。这种管理模式对充分发挥内部资金效益以及提高资金周转效率有着积极促进作用, 它得到了国际大公司的普遍认同。财务部门必须建立资金运行机构, 以保证企业在大司库资金管理模式下能够有效运行。

(二) 建立独立的预算管理平台

市场经济条件下的过程管理、目标管理以及战略导向管理的重要手段之一就是企业预算管理。它是企业年度经营计划基础上编制的全部收支预算, 与过去的财务部门管理的企业目标预算已有了非常大的不同。将过程控制和目标管理相结合形成的企业预算管理是以预算编制、预算运行控制和预算执行结果的评价与考核为重点的, 它的重大特点就是与企业现金流控制和成本费用控制相结合。

作为指令性文件下达执行的预算编制是企业以生产计划为基础编制而成, 再经预算管理部门审查报批后才生效的。它是企业配置财务资源、落实年度经营目标和控制生产经营成本的重要依据。多元化集团企业中涉及不同产业的企业在收入、费用、成本、负债、资产以及所有者权益等方面都有着不同的规律和特点, 产业不同其现金流规律、资本组成、资产结构以及负债规模也不一样, 这就要求其对应的预算管理人员要具有相应的专业知识和丰富的预算管理经验。针对不同类型的企业采用不一样的预算管理政策 (如利润目标、成本指标等) 。

在过去, 预算运行控制只注重收入和利润指标的监控, 而现在, 资产存量、现金流量以及成本费用也是直接控制对象。为保证预算的有效实施, 需要运用信息化系统把主要指标嵌入电子核算程序, 系统自动阻截超过指标的预算, 以此实行刚性约束。

为了评价预算执行结果, 将激励机制和约束机制落实到位, 我们采取预算考核与工资奖金直接挂钩制度。基于全面预算管理对企业经营管理及运行有着非常重要的作用, 配备高素养的专业人员进行专职专责管理是必然, 也是必需的。

(三) 建立股权及资本运营平台

多元化集团企业具有法人实体多且股权分散的特点, 所以建立相对独立的部门以企业发展需求办理公司设立 (或撤销) , 并负责组织产权登记、股权划转、转让及清理以及各级股权收益管理、编制股权财务决算等工作是有必要的。为促进企业发展, 提升股权价值, 可以加大清理处置企业的非主营业务、闲置资产、低效无效以及历史遗留的股权项目和法人实体的力度。优化公司管理结构、股权结构以及法人治理结构可以采取逐步压缩法人层级、缩短管理链条的方法。

(四) 建立信息化核算平台

21世纪是信息化年代, 现代财务管理的首要任务就是使财务会计核算信息化。信息化的财务会计实现了财务会计信息的快速传输和远程监控, 是领导决策和企业管理的强有力支持。它除了要具有适时汇总各级次会计信息以及自动生成各级财务报表的功能外还应具有实现对各级财务收支的监控以及基本的财务分析报告功能。财务信息化因其需要依靠信息化技术的特点必须由专门机构或人员进行系统运行和维护。

四、加强企业集团内部控制的执行力

(一) 加强“内部控制环境”的控制措施

企业集团建立内部控制体系的基础是健全内部控制环境。内部控制体系的成败受基础的好坏和坚实与否的直接影响。企业文化的控制措施、社会责任的控制措施、企业人力资源的控制措施、企业发展战略的控制措施以及企业组织结构的控制措施是内部控制环境的五个控制措施。

(二) 加强风险评估的控制措施

管理因素 (如组织结构、资产管理、经营方式、业务流程等) 、人力资源因素 (如董事、经理、监事以及他高级管理人员的员工胜任能力、职业操守等) 、财务因素 (如现金流量、经营成果) 、自主创新因素 (如研究开发、技术投入、信息技术运用) 以及安全环保因素 (如营运安全、环境安全等) 是企业集团内部风险的主要内容。

风险评估的程序首先是评估风险发生的概率、频率以及为企业带来的影响程度, 这需要运用定性、定量相结合的方法进行;其次是对已识别的风险进行分析, 判定风险等级;最后企业寻找有效的风险应对策略, 对重要风险进行管理。

(三) 内部控制活动以及监控的控制措施

对预算管理体制进行全面控制, 加强预算制约, 落实各单位的职责权限。构建营运状况分析体制, 并加强其分析控制力度, 企业管理者要定期分析营运状况, 确保及时有效的解决问题。设立员工绩效考核制度, 并定期进行考核评价, 以此作为员工的奖惩依据。企业集团控股母公司要不定期对其旗下子公司进行监督抽查和再评估。

发展完善内控体系, 设定内部控制缺陷认定标准, 对内部控制缺陷进行性质及原因的分析, 并采取有效的整改方案与措施, 及时向最高领导层报告。内部控制缺陷的整改也要由相关人员进行跟踪, 并对内部监督发现的重大缺陷追责到人。

总的来说, 企业集团内部控制可以理解为以内部控制环境为基础, 风险评估为依据, 信息系统与沟通机制为载体, 内部控制活动为手段, 最后以内部监督作保证的五大要素。

五、结束语

作为全要素相互支持、高效运作的多元化集团公司有效的内控模式, 应该是以集团的发展战略为依据构建, 以公司流程、人力资源体系以及信息系统则为支持与载体, 以财务管控、有效资源配置以及合理的权限设置为方法的, 整个企业管理系统整合而成的内控模式。

摘要：多元化集团企业因其跨地域、跨行业等特点, 在管理上有其独有的特性。本文通过对多元化集团出现的内控盲区进行分析探讨, 得到其适用的纵向管控和横向协同的内控模式, 再结合集约化财务管控体系的建立以及内部控制执行力的强化构建出高效运作的内控体系。

关键词：多元化集团,管控系统,信息化,控制措施

参考文献

[1]梅艳晓.公司治理、内部控制、风险管理与绩效评价关系研究[J].黑龙江科技信息.2008 (33)

[2]周放生.企业的风险管理及内部控制[J].中国流通经济.2009 (11)

[3]张德贵.浅谈内部控制、公司治理、风险管理框架的重构[J].技术与市场.2009 (03)

[4]陈燚.论四种控制机制的关系整合——基于会计学视角[J].会计之友 (上旬刊) .2010 (07)

[5]徐金萍.公司治理与内部控制[J].企业研究.2011 (02)