MichielJornaBusinessProcessSolutionsCOSO介紹包含GRC的COSOII解決方案場景的演示15.15–16.00pm精選課件什么COSO2013有哪些變化?如何SoftwareAG的GRC解決方案如何支持COSO框架？

為何基于COSO的GRC解決方案有什么收益?精選課件COSO框架2013年的更新

COSOCube(2013Edition)精選課件規(guī)劃內(nèi)控的17個原則1992框架在概念上包含了17個相關(guān)原則并關(guān)聯(lián)到五個內(nèi)控組件

?這些原則是評估基礎(chǔ)，五個組件是展現(xiàn)和功能

?目前這些概念已經(jīng)通過17個原則來充分展示

?COSO委員會認(rèn)為每個原則都有特定價值

并且適用于所有實體假定相關(guān)?如果某個原則不相關(guān)，需要記錄其合理性內(nèi)控環(huán)境1.組織對正直和道德等價值觀做出承諾2.董事會獨立于管理層，并對內(nèi)部控制的推進與成效加以監(jiān)督控制。3.管理層圍繞其目標(biāo)，在治理層監(jiān)督下，建立健全組織架構(gòu)、

匯報條線、合理的授權(quán)與責(zé)任等機制。4.組織對吸引、開發(fā)和保留與認(rèn)同組織目標(biāo)的人才做出承諾。5.組織根據(jù)其目標(biāo)，使員工各自擔(dān)負起內(nèi)部控制的相關(guān)責(zé)任。

風(fēng)險評估6.就識別和評估與其目標(biāo)相關(guān)的風(fēng)險，組織做出清晰的目標(biāo)設(shè)定。7.組織對影響其目標(biāo)實現(xiàn)的風(fēng)險進行全范圍的識別和分析，并以此為基礎(chǔ)來決定風(fēng)險應(yīng)如何進行管理。8.組織在風(fēng)險評估過程中，考慮潛在的舞弊行為。9.組織識別和評估對內(nèi)部控制體系可能造成較大影響的改變。控制活動10.組織選擇并開展控制活動，將風(fēng)險對其目標(biāo)實現(xiàn)的影響降到可接受水平。11.對（信息）技術(shù)，組織選擇并開展一般控制以支持其目標(biāo)的實現(xiàn)。12.組織通過合理的政策制度和保證這些政策制度切實執(zhí)行的流程程序，來實施控制活動。信息與溝通13.組織獲取或生成，并使用相關(guān)、有質(zhì)量的信息來支持內(nèi)部控制發(fā)揮作用。14.組織在其內(nèi)部溝通傳遞包括內(nèi)部控制的目標(biāo)和責(zé)任在內(nèi)的必要信息以支持內(nèi)部控制發(fā)揮作用。15.組織與外部相關(guān)方就影響內(nèi)部控制發(fā)揮作用的事宜進行溝通。監(jiān)控16.組織選擇、推動并實施持續(xù)且（或）獨立的評估以確認(rèn)內(nèi)部控制的要素是存在且正常運轉(zhuǎn)的。17.組織在相應(yīng)的時間范圍內(nèi)，評價內(nèi)部控制的缺陷，并視情況與那些應(yīng)采取正確行動的相關(guān)方（如：高級管理層，董事會）進行溝通。精選課件其他重要變化新框架：澄清在內(nèi)控中目標(biāo)設(shè)置的角色反映了不斷增長的信息技術(shù)相關(guān)性包含了對于治理機制的更深刻的研討擴展了目標(biāo)的報表類別加強了反欺詐方面的考慮增加了對于非財務(wù)報表目標(biāo)的關(guān)注精選課件SoftwareAGGRC解決方案與COSO框架的對齊控制環(huán)境風(fēng)險評估控制活動信息&溝通監(jiān)控精選課件什么COSO2013有哪些變化?如何SoftwareAG的GRC解決方案如何支持COSO框架？

為何基于COSO的GRC解決方案有什么收益?精選課件企業(yè)風(fēng)險管理流程風(fēng)險管理流程的起點是定義企業(yè)及各下屬部門的戰(zhàn)略和目標(biāo)通過分配指標(biāo)及其業(yè)務(wù)流程來達到目標(biāo)我們應(yīng)該做什么？

如何支持？通過平衡計分卡來闡述戰(zhàn)略通過業(yè)務(wù)細分圖來區(qū)分業(yè)務(wù)的類別通過目標(biāo)圖為評估進行準(zhǔn)備通過KPI分配圖來描繪KPI將目標(biāo)關(guān)聯(lián)到流程(VACD,EPC,BPMN)精選課件定義目標(biāo)定義戰(zhàn)略設(shè)置目標(biāo)描繪KPI精選課件識別事件與風(fēng)險通過識別影響目標(biāo)實現(xiàn)的內(nèi)部和外部事件，可以定義機會和威脅。機會用來管理戰(zhàn)略和目標(biāo)設(shè)定的流程，負面事件（威脅）是風(fēng)險。我們應(yīng)該做什么如何支持將風(fēng)險（負面事件）關(guān)聯(lián)到目標(biāo)將風(fēng)險關(guān)聯(lián)到發(fā)生風(fēng)險的流程定義風(fēng)險細節(jié)（描述、類型、責(zé)任等）評估準(zhǔn)備精選課件將風(fēng)險關(guān)聯(lián)到目標(biāo)，并詳細描述目標(biāo)是識別風(fēng)險的起點將風(fēng)險關(guān)聯(lián)到風(fēng)險發(fā)生的流程識別風(fēng)險和事件精選課件執(zhí)行風(fēng)險評估用非常清晰的方式定義風(fēng)險評估固定風(fēng)險和剩余風(fēng)險我們應(yīng)該做什么？如何支持可以進行定量和定性的評估定量評估需要清晰的指導(dǎo)和經(jīng)驗維護所有相關(guān)的風(fēng)險信息規(guī)劃風(fēng)險評估對固有風(fēng)險和參與風(fēng)險執(zhí)行風(fēng)險評估決定至評估定性風(fēng)險，或也包括定量風(fēng)險通過分析風(fēng)險趨勢來將風(fēng)險關(guān)聯(lián)到風(fēng)險承受度精選課件自動化的風(fēng)險評估計劃風(fēng)險總量和殘余量定量評估自動損失計算風(fēng)險總量和殘余量定性評估風(fēng)險評估指導(dǎo)通過郵件通知執(zhí)行風(fēng)險評估執(zhí)行風(fēng)險評估精選課件執(zhí)行風(fēng)險評估QualitativeriskassessmentresultsQuantitativeriskassessmentresults風(fēng)險評估結(jié)果通過實施內(nèi)控降低的風(fēng)險精選課件定義風(fēng)險響應(yīng)當(dāng)風(fēng)險發(fā)生后不同可能的應(yīng)對風(fēng)險可以避免，接受，減輕和分擔(dān)管理選擇正確的風(fēng)險應(yīng)答建立一系列行為使風(fēng)險與風(fēng)險容忍實體及風(fēng)險承受度相關(guān)聯(lián)應(yīng)該做什么？如何支持通過創(chuàng)建可以在流程上監(jiān)控的問題來設(shè)置行為管理風(fēng)險應(yīng)答選項來解決創(chuàng)建的問題，如：避免（將工廠從美國搬到NL）接受（在風(fēng)險承受度內(nèi)）減輕（通過減緩授權(quán)控制）分擔(dān)（對失火投保）精選課件定義風(fēng)險響應(yīng)精選課件設(shè)計和實施控制活動工作過程被建立和實施(固化落地)，以確保風(fēng)險響應(yīng)能夠高效地執(zhí)行。你可以定義明確的控制措施以降低風(fēng)險，定義管理視圖和報告，物理控制(資產(chǎn)，價值，庫存),基于績效指標(biāo)的控制/職責(zé)分離我們應(yīng)該做什么?如何支持?在ARISBusinessDesigner/Architect中定義控制措施控制定義包含控制如何被執(zhí)行(控制活動),到其相關(guān)/歸屬的業(yè)務(wù)流程，誰負責(zé)該控制(控制經(jīng)理),該控制是否需要被測試/被審計，該控制如何進行測試(測試活動),什么時候進行測試(每年,每月,每天)和誰來測試.精選課件通過設(shè)計控制來減緩風(fēng)險設(shè)計和實施控制活動將控制集成到業(yè)務(wù)流程對每個控制定義監(jiān)控方法精選課件監(jiān)控控制活動該階段評估預(yù)防性控制的存在性和控制的有效性監(jiān)控結(jié)果作為降低的（殘余的)風(fēng)險評估和應(yīng)對措施(風(fēng)險相應(yīng))的輸入應(yīng)該做什么？如何支持Email觸發(fā)測試員執(zhí)行一個控制評估測試員填寫評估結(jié)果并且可以附加證據(jù)在控制無效/爭議/缺陷的情況下，審核測試結(jié)果爭議/缺陷通過單獨的工作流進行解決在測試中所有爭議/缺陷的處理都保留日志(審計線索)所有結(jié)果在儀表盤中可視精選課件監(jiān)控控制活動自動化的控制監(jiān)控計劃在郵件通知后，執(zhí)行控制測試控制測試結(jié)構(gòu)定義控制測試狀態(tài)添加證據(jù)文檔精選課件監(jiān)控控制活動精選課件ARIS預(yù)置的報表，用于SAS70,Solvency,SOx404,FDA,風(fēng)險與控制矩陣等等監(jiān)控控制活動22精選課件什么COSO2013有哪些變化?如何SoftwareAG的GRC解決方案如何支持COSO框架？

為何基于COSO的GRC解決方案有什么收益?精選課件Thechallengeistomeetclients’expectations,effectivelycomplywithnewlawsandrefinethebusinessprocessesinwaysthatatthesametimesupportthecompany’sriskmanagementpoliciesastheyevolve.Inaddition,MNwantedtoincreaseitsriskmanagementmaturityandprovideclientsbetteroveralltransparency.ForitsEnterpriseRiskManagementProgram,MNchoseatop-down,risk-focusedapproachtoconnectstrategicobjectiveswithriskassessmentsandprocesscontrols.MNdevelopedandimplementedariskgovernanceframeworkwiththreelinesofdefense.Itsapproachhasincreasedriskawarenessenterprise-wide,enablingthemtoidentifyandmanagerisksbetterwhilesimultaneouslyimprovingprocessquality.Broadenedriskinsightsandimproveddecision-makingByRisk-basedapproachdevelopedsignificantlyleanerprocessesandmoreeffectivecontrolsRealizedongoingsynergysavingsforcost,hoursandtestingeffortsDemonstrable“InControl”alsoincreasesreliabilityforbusinesspartnersCOSOERM:ManagingRisksasKeytoSuccess

MNOngoingsynergyforcost,hoursandtestingeffortssavings精選課件CEO(middle)CFO(right)Workshopswith:Topmanagementidentifying

StrategicRisksMiddlemanagementidentifying

TacticalRisksAlignmentofallRisksandtheirrelationtoObjectivesandProcesseswithManagersCOSOERM:ManagingRisksIdentifyandevaluaterisksRiskresponse,Continuously