1、COSOII框架介紹,Michiel Jorna Business Process Solutions,COSO介紹,包含GRC的COSO II解決方案場(chǎng)景的演示 15.15 16.00 pm,COSOII框架介紹,如何,Software AG的GRC解決方案 如何支持COSO框架？,COSOII框架介紹,COSO框架2013年的更新,COSO Cube (2013 Edition),COSOII框架介紹,規(guī)劃內(nèi)控的17個(gè)原則,1992框架在概念上包含了17個(gè)相關(guān)原則 并關(guān)聯(lián)到五個(gè)內(nèi)控組件 這些原則是評(píng)估基礎(chǔ)，五個(gè)組件是展現(xiàn)和功能 目前這些概念已經(jīng)通過(guò)17個(gè)原則來(lái)充分展示 COSO委員會(huì)認(rèn)為每

2、個(gè)原則都有特定價(jià)值 并且適用于所有實(shí)體假定相關(guān) 如果某個(gè)原則不相關(guān)，需要記錄其合理性,內(nèi)控環(huán)境 1. 組織對(duì)正直和道德等價(jià)值觀做出承諾 2. 董事會(huì)獨(dú)立于管理層，并對(duì)內(nèi)部控制的推進(jìn)與成效加以監(jiān)督控制。 3. 管理層圍繞其目標(biāo)，在治理層監(jiān)督下，建立健全組織架構(gòu)、匯報(bào)條線、合理的授權(quán)與責(zé)任等機(jī)制。 4. 組織對(duì)吸引、開(kāi)發(fā)和保留與認(rèn)同組織目標(biāo)的人才做出承諾。 5. 組織根據(jù)其目標(biāo)，使員工各自擔(dān)負(fù)起內(nèi)部控制的相關(guān)責(zé)任。,風(fēng)險(xiǎn)評(píng)估 6. 就識(shí)別和評(píng)估與其目標(biāo)相關(guān)的風(fēng)險(xiǎn)，組織做出清晰的目標(biāo)設(shè)定。 7. 組織對(duì)影響其目標(biāo)實(shí)現(xiàn)的風(fēng)險(xiǎn)進(jìn)行全范圍的識(shí)別和分析，并以此為基礎(chǔ)來(lái)決定風(fēng)險(xiǎn)應(yīng)如何進(jìn)行管理。 8. 組織在風(fēng)

3、險(xiǎn)評(píng)估過(guò)程中，考慮潛在的舞弊行為。 9. 組織識(shí)別和評(píng)估對(duì)內(nèi)部控制體系可能造成較大影響的改變。,控制活動(dòng) 10. 組織選擇并開(kāi)展控制活動(dòng)，將風(fēng)險(xiǎn)對(duì)其目標(biāo)實(shí)現(xiàn)的影響降到可接受水平。 11. 對(duì)（信息）技術(shù)，組織選擇并開(kāi)展一般控制以支持其目標(biāo)的實(shí)現(xiàn)。12. 組織通過(guò)合理的政策制度和保證這些政策制度切實(shí)執(zhí)行的流程程序，來(lái)實(shí)施控制活動(dòng)。,信息與溝通 13. 組織獲取或生成，并使用相關(guān)、有質(zhì)量的信息來(lái)支持內(nèi)部控制發(fā)揮作用。 14. 組織在其內(nèi)部溝通傳遞包括內(nèi)部控制的目標(biāo)和責(zé)任在內(nèi)的必要信息以支持內(nèi)部控制發(fā)揮作用。 15. 組織與外部相關(guān)方就影響內(nèi)部控制發(fā)揮作用的事宜進(jìn)行溝通。,監(jiān)控 16. 組織選擇、推

4、動(dòng)并實(shí)施持續(xù)且（或）獨(dú)立的評(píng)估以確認(rèn)內(nèi)部控制的要素是存在且正常運(yùn)轉(zhuǎn)的。 17. 組織在相應(yīng)的時(shí)間范圍內(nèi)，評(píng)價(jià)內(nèi)部控制的缺陷，并視情況與那些應(yīng)采取正確行動(dòng)的相關(guān)方（如：高級(jí)管理層，董事會(huì)）進(jìn)行溝通。,COSOII框架介紹,其他重要變化,新框架： 澄清在內(nèi)控中目標(biāo)設(shè)置的角色 反映了不斷增長(zhǎng)的信息技術(shù)相關(guān)性 包含了對(duì)于治理機(jī)制的更深刻的研討 擴(kuò)展了目標(biāo)的報(bào)表類別 加強(qiáng)了反欺詐方面的考慮 增加了對(duì)于非財(cái)務(wù)報(bào)表目標(biāo)的關(guān)注,COSOII框架介紹,Software AG GRC解決方案與COSO框架的對(duì)齊,控制環(huán)境,風(fēng)險(xiǎn)評(píng)估,控制活動(dòng),信息&溝通,監(jiān)控,COSOII框架介紹,如何,Software AG的G

5、RC解決方案 如何支持COSO框架？,COSOII框架介紹,企業(yè)風(fēng)險(xiǎn)管理流程,COSOII框架介紹,定義目標(biāo),定義戰(zhàn)略,設(shè)置目標(biāo),描繪KPI,COSOII框架介紹,識(shí)別事件與風(fēng)險(xiǎn),通過(guò)識(shí)別影響目標(biāo)實(shí)現(xiàn)的內(nèi)部和外部事件，可以定義機(jī)會(huì)和威脅。機(jī)會(huì)用來(lái)管理戰(zhàn)略和目標(biāo)設(shè)定的流程，負(fù)面事件（威脅）是風(fēng)險(xiǎn)。,我們應(yīng)該做什么,如何支持,將風(fēng)險(xiǎn)（負(fù)面事件）關(guān)聯(lián)到目標(biāo) 將風(fēng)險(xiǎn)關(guān)聯(lián)到發(fā)生風(fēng)險(xiǎn)的流程 定義風(fēng)險(xiǎn)細(xì)節(jié)（描述、類型、責(zé)任等） 評(píng)估準(zhǔn)備,COSOII框架介紹,將風(fēng)險(xiǎn)關(guān)聯(lián)到目標(biāo)，并詳細(xì)描述,目標(biāo)是識(shí)別風(fēng)險(xiǎn)的起點(diǎn),將風(fēng)險(xiǎn)關(guān)聯(lián)到風(fēng)險(xiǎn)發(fā)生的流程,識(shí)別風(fēng)險(xiǎn)和事件,COSOII框架介紹,執(zhí)行風(fēng)險(xiǎn)評(píng)估,用非常清晰的方式定

6、義風(fēng)險(xiǎn) 評(píng)估固定風(fēng)險(xiǎn)和剩余風(fēng)險(xiǎn),我們應(yīng)該做什么？,如何支持,可以進(jìn)行定量和定性的評(píng)估 定量評(píng)估需要清晰的指導(dǎo)和經(jīng)驗(yàn),維護(hù)所有相關(guān)的風(fēng)險(xiǎn)信息 規(guī)劃風(fēng)險(xiǎn)評(píng)估 對(duì)固有風(fēng)險(xiǎn)和參與風(fēng)險(xiǎn)執(zhí)行風(fēng)險(xiǎn)評(píng)估,決定至評(píng)估定性風(fēng)險(xiǎn)，或也包括定量風(fēng)險(xiǎn) 通過(guò)分析風(fēng)險(xiǎn)趨勢(shì)來(lái)將風(fēng)險(xiǎn)關(guān)聯(lián)到風(fēng)險(xiǎn)承受度,COSOII框架介紹,自動(dòng)化的風(fēng)險(xiǎn)評(píng)估計(jì)劃,通過(guò)郵件通知執(zhí)行風(fēng)險(xiǎn)評(píng)估,執(zhí)行風(fēng)險(xiǎn)評(píng)估,COSOII框架介紹,執(zhí)行風(fēng)險(xiǎn)評(píng)估,Qualitative risk assessment results,Quantitative risk assessment results,風(fēng)險(xiǎn)評(píng)估結(jié)果,通過(guò)實(shí)施內(nèi)控降低的風(fēng)險(xiǎn),COSOII框架介紹,定義風(fēng)

7、險(xiǎn)響應(yīng),當(dāng)風(fēng)險(xiǎn)發(fā)生后不同可能的應(yīng)對(duì) 風(fēng)險(xiǎn)可以避免，接受，減輕和分擔(dān) 管理選擇正確的風(fēng)險(xiǎn)應(yīng)答 建立一系列行為使風(fēng)險(xiǎn)與風(fēng)險(xiǎn)容忍實(shí)體及風(fēng)險(xiǎn)承受度相關(guān)聯(lián),應(yīng)該做什么？,如何支持,通過(guò)創(chuàng)建可以在流程上監(jiān)控的問(wèn)題來(lái)設(shè)置行為 管理風(fēng)險(xiǎn)應(yīng)答選項(xiàng)來(lái)解決創(chuàng)建的問(wèn)題，如： 避免（將工廠從美國(guó)搬到NL） 接受（在風(fēng)險(xiǎn)承受度內(nèi)） 減輕（通過(guò)減緩授權(quán)控制） 分擔(dān)（對(duì)失火投保）,COSOII框架介紹,定義風(fēng)險(xiǎn)響應(yīng),COSOII框架介紹,設(shè)計(jì)和實(shí)施控制活動(dòng),工作過(guò)程被建立和實(shí)施(固化落地)，以確保風(fēng)險(xiǎn)響應(yīng)能夠高效地執(zhí)行。你可以定義明確的控制措施以降低風(fēng)險(xiǎn)，定義管理視圖和報(bào)告，物理控制(資產(chǎn)，價(jià)值，庫(kù)存),基于績(jī)效指標(biāo)的控制/

8、職責(zé)分離,我們應(yīng)該做什么?,如何支持?,在 ARIS Business Designer/Architect中定義控制措施 控制定義包含控制如何被執(zhí)行(控制活動(dòng)),到其相關(guān)/歸屬的業(yè)務(wù)流程，誰(shuí)負(fù)責(zé)該控制(控制經(jīng)理),該控制是否需要被測(cè)試/被審計(jì)，該控制如何進(jìn)行測(cè)試 (測(cè)試活動(dòng)), 什么時(shí)候進(jìn)行測(cè)試 (每年, 每月, 每天) 和誰(shuí)來(lái)測(cè)試.,COSOII框架介紹,通過(guò)設(shè)計(jì)控制來(lái)減緩風(fēng)險(xiǎn),設(shè)計(jì)和實(shí)施控制活動(dòng),將控制集成到業(yè)務(wù)流程,對(duì)每個(gè)控制定義監(jiān)控方法,COSOII框架介紹,監(jiān)控控制活動(dòng),該階段評(píng)估預(yù)防性控制的存在性和控制的有效性 監(jiān)控結(jié)果作為降低的（殘余的)風(fēng)險(xiǎn)評(píng)估和應(yīng)對(duì)措施(風(fēng)險(xiǎn)相應(yīng))的輸入,應(yīng)

9、該做什么？,如何支持,Email 觸發(fā)測(cè)試員執(zhí)行一個(gè)控制評(píng)估 測(cè)試員填寫(xiě)評(píng)估結(jié)果并且可以附加證據(jù) 在控制無(wú)效/爭(zhēng)議/缺陷的情況下，審核測(cè)試結(jié)果 爭(zhēng)議/缺陷通過(guò)單獨(dú)的工作流進(jìn)行解決 在測(cè)試中所有爭(zhēng)議/缺陷的處理都保留日志 (審計(jì)線索) 所有結(jié)果在儀表盤(pán)中可視,COSOII框架介紹,監(jiān)控控制活動(dòng),自動(dòng)化的控制監(jiān)控計(jì)劃,在郵件通知后，執(zhí)行控制測(cè)試,控制測(cè)試結(jié)構(gòu),定義控制測(cè)試狀態(tài),添加證據(jù)文檔,COSOII框架介紹,監(jiān)控控制活動(dòng),COSOII框架介紹,22,ARIS 預(yù)置的報(bào)表，用于SAS 70, Solvency, SOx 404, FDA, 風(fēng)險(xiǎn)與控制矩陣等等,監(jiān)控控制活動(dòng),COSOII框架介紹,

10、如何,Software AG的GRC解決方案 如何支持COSO框架？,COSOII框架介紹,The challenge is to meet clients expectations, effectively comply with new laws and refine the business processes in ways that at the same time support the companys risk management policies as they evolve. In addition, MN wanted to increase its risk mana

11、gement maturity and provide clients better overall transparency.,For its Enterprise Risk Management Program, MN chose a top-down, risk-focused approach to connect strategic objectives with risk assessments and process controls. MN developed and implemented a risk governance framework with three line

12、s of defense. Its approach has increased risk awareness enterprise-wide, enabling them to identify and manage risks better while simultaneously improving process quality.,Broadened risk insights and improved decision-making By Risk-based approach developed significantly leaner processes and more eff

13、ective controls Realized ongoing synergy savings for cost, hours and testing efforts Demonstrable “In Control” also increases reliability for business partners,COSO ERM: Managing Risks as Key to Success,MN,Ongoing,synergy,for,cost, hours,and,testing efforts,savings,COSOII框架介紹,CEO (middle),CFO (right),Workshops with: Top management identifying Strategic Risks Middle management identifyingTactical Risks Alignment of all Risks and their relation to Objectives and Processes with Managers,COSO ERM: Managing Risks,Identify and evaluate risks,Risk response, ContinuouslyMonitoring