从企业内控合规到风险管理方案

Insert page title,First level,Second level,Third level,Fourth level,Fifth level,59,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level, SAP 2009 / Page,#,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level, SAP 2009 / Page,#,Click to edit Master title style,Insert page title,First level,Second level,Third level,Fourth level,Fifth level,20,从,企业,内控合规到风险管理,方案,SAP,GRC,企业,治理、,风险与合规管理方案概览,SAP,访问控制,SAP,内部控制,SAP,风险管理,SAP 全球贸易效劳,SAP,巴西电子票据,第二道防线,第三道防线,(,基于,HANA,技术产品,),全球贸易,系统平安,SAP,身份识别管理,SAP,单点登录,SAP,企业威胁检测,(,基于,HANA,技术产品,),SAP,审计管理,SAP,舞弊管理,SAP,访问控制,SAP GRC,内部控制,管理,IT,合规,行业规定,自我评估,自动控制监控,手工控制测试,认证、签署、电子签名,(,302, 404, 21CFRPart11),问题整改,控制环境：流程、控制、目标、风险,监控例外,IT,架构,业务流程,Yes,No,S U R V E Y,文档,评估,签核,执行,CAPA,范围,监控,SOX/,中国内控指引,应用系统集成,风险管理,访问控制,Oracle,PSFT,DB2,第三方应用,事件系统,高效运营,报表,水晶报表,Xcelsius,仪表盘,BI,报表,数据表,文档,范围,监控,评估,签核,建立内控,管理环境,（控制环境）,支持企业端,到端的内控管理工作,内控,经理,视图,某业务岗位视图,严格的权限划分,建立内控,管理环境,（控制环境）,内控手册,维护管理,风险评估,内控,手册,内控,矩阵,流程,制度,测评,模板,工作,手册,汇报,模板,支持企业端到端的内控管理工作,建立内控,管理环境,（控制环境）,内控手册,维护管理,风险评估,内控测试,管理,控制活动,科学规划、有序分解、有效执行，推动内控工作落到实处,支持企业端到,端的内控管理工作,建立内控,管理环境,（控制环境）,内控手册,维护管理,风险评估,内控测试,管理,控制活动,缺陷管理,与整改,监控,通过信息化手段以待办的方式将整改内容推送给控制点负责人，并定时提醒，强化整改效果,支持企业端,到端的内控管理工作,建立内控,管理环境,控制环境,内控手册,维护管理,风险评估,内控测试,管理,控制活动,缺陷管理,与整改,监控,成果汇报,信息沟通,信息沟通,多样化的报表展现，支持领导决策,支持企业端,到端的内控管理工作,内控管理自动化持续监,控,IT,合规,行业规定,自我评估,自动控制监控,手工控制测试,认证、签署、电子签名,(,302, 404, 21CFRPart11),问题整改,控制环境：流程、控制、目标、风险,监控例外,IT,架构,业务流程,Yes,No,S U R V E Y,文档,评估,签核,执行,CAPA,范围,监控,SOX/中国内控指引,应用系统集成,风险管理,访问控制,Oracle,PSFT,DB2,第三方应用,事件系统,高效运营,报表,水晶报表,Xcelsius,仪表盘,BI,报表,数据表,提出问题设定目标,业务流程,分析,系统与数据分析,数据,式建模,模型的运作与监控,模型成果及改进,1、领导关注的重要领域,2、重大重要风险,3、业务流程覆盖完整性,4、上一年审计结果,5、业务流程的信息化根底,6、外部监管机构的要求,.,真实性问题,信息真实性,数据真实性,合规,性问题,业务合规性,管理合规性,系统合规性,数据,准确,问题,系统数据质量,数据一致性,效益问题,资产运营能力指标,销售,/,库存比率,销售营业增长率,资金平安,问题,审批手续是否健全,资金管理执行,核算准确性,资金活动,采购业务,资产管理,销售业务,研究与开发,工程项目,担保业务,财务报告,全面预算,合同管理,内部信息传递,业务外包,示 例,示 例,风险管理,流程管理,内控管理,风险指标自动化和内控测试自动化实施方法论,提出问题设定目标,业务流程,分析,系统与数据分析,数据,式建模,模型的运作与监控,模型成果及改进,充分借鉴内控管理的此现有成果,制度体系,职责与分工,采购请购管理,供给商管理,定价机制,验收管理,合同管理,采购方式,采购付款,预付款和定金,会计系统管理,采购过程管理,退货管理,采购业务,子流程,关键控制点,审批采购申请。,审批超预算或预算外采购项目。,组织人员调查供应商。,供应商评审。,供应商考核。,供应商信息维护。,评标。,建立采购价格数据库。,分析价格并确定最高采购限价。,询价比价。,确定价格。,经授权与供应商签订采购合同。,物资入库前初验。,物资入库前质检。,异常情况处理。,定期跟踪合同履行情况。,付款申请审批。,审批预付款申请。,示 例,风险指标自动化和内控测试自动化实施方法论,提出问题设定目标,业务流程,分析,系统与数据分析,数据,式建模,模型的运作与监控,模型成果及改进,子流程,采购请购管理,控制目标,确保采购申请内容符合生产经营需要，符合采购计划，在采购预算范围内,控制点名称,审批采购申请,控制点描述,公司物资需求部门根据实际生产需要和采购计划，填写采购申请单，提出采购申请，并按照公司采购请购制度报相关部门和领导进行审批。,检查程序,示 例,预算,系统,采购,系统,协同办公系统,库存,系统,业务系统,1,、核查物资库存量等内容,2,、是否在采购预算内,3、检查采购申请单是否在采购方案内，申请内容是否准确,4,、是否经过相关部门和领导审批,库存量,预算额度,采购方案内容,采购申请内容,审批设置,风险指标自动化和内控测试自动化实施方法论,提出问题设定目标,业务流程,分析,系统与数据分析,数据,式建模,模型的运作与监控,模型成果及改进,模型名称：采购申请超预算监控模型,模型描述：对模型数据进行集中度分析,模型目的：检查采购物资的累计采购金额是否超过采购预算。,模型规那么：从采购系统的申请表中获取采购物资的累计采购金额，与预算系统中对该物资的预算金额比较，是否超出预算金额,数据来源：采购系统中的采购申请表，字段包括申请人、申请物资、采购金额、申请数量、申请时间、用途、供给商名称、供给商联系方式；预算系统中的各类物资采购的预算金额。,数据提取周期：每月从数据维护部门提取相应数据,运行要求：月/次,示 例,风险指标自动化和内控测试自动化实施方法论,SAP,GRC,平台的先天性数据集成优势,借助,IT,技术实现数据集成,企业,SAP,业务系统,业务数据存储,主数据,交易数据,配置数据,其他厂商风控平台,数据库,数据提取,数据分析及转换,ODBCwebserviceETLAdapter,数据存储,风险预警,自动化测试,规那么固化,规那么固化,SAP,审计及风控平台,风险预警,自动化测试,RFC,与,SAP,业务系统共用数据源,自定义规则,1、过程繁琐，数据准确性和时效性无法保证,2、固化的规那么无法应对监控规那么的改变,与其他厂商风控平台相比，,SAP,审计及风控平台数据集成优势明显,1、过程简单，数据准确且时效性强,2、可自定义规那么灵活应对后期业务规那么的改变,提出问题设定目标,业务流程,分析,系统与数据分析,数据,式建模,模型的运作与监控,模型成果及改进,持续性控制监控采购订单超额开票,持续性控制监控预置脚本,系统预置大量流程风险监控规那么支持实时监控,资金管理,现金管理,风险管理,1,订单到收款,订单录入,订单实现,计费和退还,采购到付款,需求计划,运营,采购,调账到报告,预算规划,子账交易,财务结账,IT,系统安全管理,应用,实施,变更控制,收入确认,存货管理,应付款管理,合并报表,固定资产,23,28,18,18,人力资源,人力资源,计划,录用,15,资产购置,资产折旧,5,佣金,员工主数据,应用安全,网络支持,组合管理,公司间,财务,资产处理,资产管理,利用预置查询和报告实时监控流程控制风险点,持续性控制和数据审计,企业大规模的使用ERP系统取代原先的手工流程给企业的内部控制提出了新的要求，也同时为内控管理带来了新的契机。使用持续性的控制和数据审计流程将原先内控人员定期手工进行的系统复核工作转变成使用内审系统对ERP系统的配置数据、主数据和交易数据进行持续监控的过程，大大方便了内控和内审的工作，降低了作业本钱。,传统的控制审计,审计频率通常为半年一次，间隔时间较长；,审计师检查系统配置信息和主数据信息仅能够反应当时点的情况，而通常很难对历史进行追溯；,审计师对系统交易数据的审计通常采取抽样方式，覆盖面较小。,持续性的控制审计,持续性控制审计的监控频率可达每天一次；,持续性控制审计可以通过持续监控系统配置的变化，捕捉任何可疑的系统变更；,持续性控制审计可以对系统中的所有交易数据进行全面而完整的分析，将所有的可疑数据展现在审计师面前。,DHL,内控案例,eGRC Reporting and Dashboard Architecture,GRC Reporting Engine,Offline Data,Loader,BW Extractor,Master Data,tables,(configurations, master data, some transactions),Transaction tables,(most transactions),Data Mart tables,(for reports and dashboards),GRC Database,ALV,Crystal,Reports Viewer,Business Warehouse,eGRC 10.0Solution Components, running on Netweaver 7.02,Crystal,Reports Designer,GRC,software,component,NetWeaver software component,Optional software component,SAP-delivered content,Key,Dashboard tables,Xc,elcius,Data flow directly in response to user request for a report,Other reporting data flows,权责别离(SOD)管理 是IT 与 ERP审计的内容之一,美国萨班斯法案审计主要发现点,缺失正常的申请和复核流程：,23%,职责别离问题：,19%,流程或文档缺失：,34%,无缺陷：,8%,其余：,16%,Source,: Jefferson Wells International & The Institute of Audit,ors,企业应用系统权限管理普遍存在的问题,应用系统帐号和角色众多，管理复杂，权限过大的情况时有发生，手工维护极易出错，给企业应用系统平安带来隐患,审计人员无法,通过人工方式有效的检测所有用户帐号和权限分配的合规性以及合理性，对超级用户的审计取证困难,企业,IT,部门每天花费大量的时间和人力维护应用系统中的用户帐号和权限，进行密码重置等繁琐的工作,企业业务部门在权限审批过程中没有审批依据，业务部门和,IT,部门在权限管理的过程中沟通不畅,企业员工从入职到离职的帐号管理通常通过手工完成，容易出错且管理效率较低,1,2,3,4,5,某企业,ERP,生产系统风险发现实例,SAP GRC,访问控制,功能模块,SAP GRC Risk Analysis and Remediation 风险分析和修复,访问与授权控制，进行风险分析，检查并去除风险,SAP GRC,Enterprise Role Management,企业角色管理,角色定义与管理,SAP GRC Super User Privilege Management,超级用户访问控制,SAP GRC,Compliant User Provisioning,合规用户自动化开通,用户权限管理,保持合规,完成合规,风险分析与修复,企业角色管理,超级用户,特权管理,合规用户提供,SAP GRC,访问控制,风险分析与修复,SAP GRC访问控制预定义规那么库,133600+详细职责别离检测规那么,SAP GRC访问控制与HR集成特性一访问请求自动化触发,SAP HR,PeopleSoft HR,SAP GRC,访问控制,AC通过后台作业定期自动检查HR系统中的相应变更，例如“新员工、“员工换岗、“员工离职等,AC,抓取到,HR,系统中相应员工变化信息,AC根据其自身所设置的判断规那么自动触发相应的请求，例如：,HR系统新员工创立 AC新员工帐号请求,HR系统员工换岗 AC员工帐号变更请求,HR系统员工离职 AC员工帐号锁定/删除请求,1,2,3,SAP GRC访问控制与HR集成特性一访问请求自动化触发,SAP GRC访问控制与HR集成特性二ERP系统密码自助,SAP GRC,访问控制,ERP用户在AC系统中提交相应密码自助效劳请求，并输入所需验证信息如身份证号码。,1,2,AC,根据所设置的,HR,系统信息类型进行身份验证匹配。,3,HR,系统返回以下结果：,身份验证匹配成功与否,用户相应,ERP,系统帐号,用户电子邮件信息,假设匹配成功那么进行ERP系统密码重置,假设匹配不成功，那么返回出错信息,4,5,通过电子邮件通知用户新密码,SAP HR,无HR系统支持下的密码自助效劳,GRC AC,和,IDM,无缝集成应用实现完整的合规身份管理,身份管理,基于员工职位,判断所需授权信息,HR,应用系统,新入职,/,职位变更,经理,审批,权限分配,创立用户,分配角色,异构系统架构,分配,SAP GRC,访问控制,合规风险检查,与补救,创立用户,分配授权,HR,创立用户,分配角色,创立用户,分配角色,访问控制和身份识别系统集成应用例如: 岗位变更,Sun ONE,MicrosoftActive,Directory,MicrosoftExchange,Portal,CRM,ERP,HCM,GRC,访问控制,身份识别系统,风险分析和修复,虚拟目录服务器,身份中心,合规用户开通,基于事件的,增量导出,1b,转发请求,3b,开通,3a,开通,5,基于岗位的业务角色变更,”,默认采购,”,2,员工岗位变更,1a,风险分析和批准,4,统一权,控平台优化提升权限的集中申请和合规性管理,通过权限管控平台的技术功能，将控制环节固化在系统工作流中，并在工作流中明晰各部门在不同环节中的职责：,承担更多的职责，增强权限管控的主动性：,通过系统工作流的固化，使得控制环节在权限维护流程中是业务部门必需执行的步骤。,减轻手工维护权限工作量：,利用管控平台权限自动配置功能，将,IT,部门从繁重的手工维护权限工作中解放出来，从而关注于技术支持、系统维护等,IT,职能。,强化监督管理的功能：,通过管控平台提供的实时管理报表，实时监督控制执行情况、管理权限风险。,合规,部门,业务部门,IT,部门,访问权限管控平台,2021某著名大型石油央企访问控制系统架构,集中部署统一,的权限管理应用系统，实现权限的集中申请和合规性管理。,报表和表单,应用平台,权限管理应用,用户平台,系统关键用户,审核人,内控部门,权限管理员,展示门户,GRC,权限,管理应用核心功能,系统,入口,应用平台,ERP,系统平台,信息管理部,服务总线平台,数据映射管理,接口配置,合规性,规则库,用户授权库,各企事业单位,内部支持队伍,外部审计,各平台权限,申请,流程,管理,上市,ERP,未上市,ERP,海外,ERP,人力资源,决策支持,平台,集成平台（,BPM,）,自主开发,应用,ERP,系统,权限,合,规性检查,ERP,系统,应急,账号,管理,用户平台,待办集成,报表和表单,数据分级管理,用户认证管理,日志管理,某著名大型石油央企GRC 访问控制工程后期展望,流程可控,权限管理应用实现用户权限从申请到审批的各级,流程电子化,，同时可根据实际需要对标准工作流程进行定制,修改，,ERP,权限日常运维从根本上得到了控制。,风险可控,权限管理应用将通过实时,权限互斥风险的预警,，进行用户权限潜在风险的统计分析。,角色可控,提供基于岗位职能的权限申请功能，通过将,岗位与角色在系统中进行关联,以及,角色基本属性的提炼,，方便用户的权限申请。,表,单可控,梳理,ERP,权限运维相关表单，对于目前的表单提出修改建议，完善表单体系，通过权限线上的申请审批流程，实现表单的,电子化管理,。,合规,可,控,权限管理应用将,固化,ERP,系统权限测试依据及标准，以全面的权限测试（互斥、敏感、冗余）、严格的多级审批等手段确保,ERP,系统权限的,全过程实时管控,。,2021上汽延锋 GRC 访问控制案例,国内领先的汽车零部件集团,国内领先的汽车零部件企业,项目背景,(,原因,),企业自身是,中国上市公司子公司,，满足内控规范对信息系统安全与控制的明确要求；,内审在实施,SAP,之前对旧,ERP,系统,已经有系统职责分离的要求,；,IT,关心,SAP ERP,系统上线后系统角色、临时、紧急情况下的,超级用户如何有效管控防范风险,；,企业,中外方股东方都是上市公司,，需满内控规范对信息系统安全与控制的明确要求；,内审在实施,SAP,之前对旧,ERP,系统,已经有系统职责分离的要求,；,IT,关心,SAP ERP,系统上线后系统角色、临时、紧急情况下的,超级用户如何有效管控防范风险,；,实施策略,SAP ERP,、,SRM,等系统实施时,同步实施,SAP GRC,访问控制；,确保,SAP ERP,等系统上线时“干净”,不存在任何访问控制缺陷,SAP ERP,系统,上线,1,年半后再实施,SAP GRC,访问控制,，发现现有系统问题并整改，确保,GRC,上线后,未来不会产生新的访问控制缺陷,；,实施内容,帮助企业优化,SAP,系统访问控制管理流程（用户授权、角色管理、紧急访问、风险监控）、建立,SAP,系统职责分离和敏感访问技术标准、配置与实施,SAP GRC,访问控制系统固化咨询成果；,“管理咨询”,+,“系统实施” 二合一！,项目价值,“高起点”,：,SAP ERP,等系统“零”缺陷上线；,“好手段”,：,SAP GRC,系统导入保证系统未来运维过程没有新缺陷、提升业务满意度、提供,IT,日常授权管理效率。,“大扫除”,：清理历史遗留问题；,“好手段”,：,SAP GRC,系统导入保证系统未来运维过程没有新缺陷、提升业务满意度、提供,IT,日常授权管理效率。,SAP GRC,访问控制实施方法,蓝图阶段,配置阶段,接纳阶段,维护阶段,基于最正确实践经验的实施方法,SAP GRC,访问控制实施方法,基于最正确实践经验的实施方法,需求分析,定义职责冲突风险点及业务规那么,定义超级用户权限，使用及监控流程,定义用户帐号及权限申请/变更流程,定义企业角色管理流程包括命名标准、审核流程等,功能培训,最终用户功能培训,工程组关键成员培训,关键产出,职责冲突风险控制矩阵,职责冲突风险控制业务规那么,超级用户定义、使用及监控流程,用户帐号及权限申请流程,角色管理流程,蓝图阶段,配置阶段,接纳阶段,维护阶段,SAP GRC,访问控制实施方法,基于最正确实践经验的实施方法,蓝图阶段,配置阶段,接纳阶段,维护阶段,系统配置,职责冲突别离规那么导入,超级用户权限定义，使用人、监控人、审核人配置,用户帐号及权限申请流程系统配置,角色创立命名规那么、创立流程配置,单元测试,确认系统功能正确有效,确认导入数据完整正确,关键产出,职责冲突别离业务规那么,配置文档GRC 4大模块,单元测试方案GRC 4大模块,单元测试报告GRC 4大模块,SAP GRC,访问控制实施方法,基于最正确实践经验的实施方法,蓝图阶段,配置阶段,接纳阶段,维护阶段,用户测试UAT,系统现有帐号及角色职责别离冲突风险分析,根据上述分析结果进行权限清理和整改,超级用户权限测试及使用监控流程测试和确认,用户帐号及权限申请流程测试和确认,角色创立及审批流程测试和确认,补偿性控制识别与设计,识别企业现有的补偿性控制措施,为企业设计补偿性控制的测试步骤,关键产出,用户接受测试方案,用户接受测试报告,职责冲突后续跟踪流程,补偿性控制管理流程,超级用户使用及监控流程,系统管理及运营流程,如何正确处理系统报告的职责冲突风险,如何正确的识别并定义补偿性控制,如何对超级用户的使用进行审批和监控,最终用户培训,最终用户熟悉系统功能和特性,SAP GRC,访问控制实施方法,蓝图阶段,配置阶段,接纳阶段,维护阶段,关键产出,GRC,系统变更及维护流程,GRC,系统内部审计方法,上线后系统支持,系统现场支持,系统维护流程,如何进行,GRC,系统变更,如何进行,GRC,系统内部审核,风险分析,与修复,使用者权限,管理,业务角色,管理,访问权限,复核,超级使用者,权限管理,高效管理超级账号权限及审计,定期访问权限与职责别离复核,统一角色管理平台在源头防控风险,自动化访问权限分配,识别和修复,SOD,以及敏感权限违规,访问控制功能特性,SAP_ALL,X,Legacy,实时分析能力，即时制止风险隐患,提供SAP, 非SAP系统以及跨系统细颗粒度准确分析能力，拒绝风险误报,自动化执行，降低企业合规本钱,模拟工具防止权限违规，第一时间发现权限问题所在,标准化权限申请开通流程提升权限申请效率,实时权限分析报告帮助审批人审批权限时有据可依，预防违规情况发生,自动化权限分配流程，防止人为错误的情况发生，提高IT效率,集成HR系统事件入职、换岗、离职等，进行权限变更, 实现全生命周期的合规管理方案,超级账号申请、审批、使用、和监控的全生命周期管理流程,访问限制,躲避大权限账号带来的平安隐患,有效期控制,详细全面日志降低审计时间本钱，解决审计难题,角色创立时嵌入风险分析，从源头防止权限风险,角色挖掘分析报告和批量处理提升质量与效率,强制执行角色维护最正确实践，减少错误发生,定期触发权限分配复核，持续合规,定期触发SOD违规复核，持续合规,降低审计时间和本钱,访问控制,方案,价值,企业访问权限风险的“风向标”,完整展现企业信息系统的潜在职责冲突风险,提供全面的管理层、内审及内控视角,企业访问权限风险的“防火墙”,预防职责分离冲突风险的发生，保护企业核心,ERP,系统的访问安全,支持定期用户权限复核工作，保障用户权限分配的准确性、合理性,访问权限管理“自动化”、“自助化”，解放,IT,维护资源,自动化用户帐号申请、审批工作流,自动化用户帐号创建、权限分配和角色维护,密码自助服务,严控“超级用户帐号”，有效防止越权操作,“超级用户帐号”集中申请、分配、监督和管控,自动提供“超级用户帐号”实时,登录报告,和,使用情况报告,解决“第一号”审计难题：对,SAP_ALL,的审计,跨企业、跨集团的访问控制解决方案,支持多个业务系统的并存的访问控制管理,跨流程、跨应用、跨系统的职责分离冲突风险分析,基于风险控制的企业身份管理方案,业务部门与,IT,部门协同工作,共同防范访问风险,访问权限风险不仅仅是,IT,风险，而是与业务密切相关的风险,业务部门作为应对访问权限风险的责任部门,IT,部门为业务部门的决策提供强有力的,IT,支持,GRC,访问控制系统投资回报,(ROI),测算指标,减少检查用户账号申请的时间,75-85%,减少账户创建和变更的时间,75-85%,优化的业务用户账号申请和审批流程,70-80%,优化了用户权限关闭的流程,75-85%,自动化创建,SOD,报告,80-90%,改进了,SOD,报告的审查和分析,80-90%,更快地解决处理,SOD,问题,80-90%,改进了特权用户的创建,80-90%,改进了对特权用户访问的检查,80-90%,用户管理员,$XXX-$XXX M,职责分离管理,$XXX-$XXX M,特权用户访问和管理,$XXX-$XXX K,具有潜在,SOD,风险的不当分配的角色,减少的风险,角色设计和管理,$XXX-$XXX K,审计合规,$XXX-$XXX M,节省的IT 支持本钱,$XXX-$XXX K,改进角色定义,80-90%,改进角色维护,80-90%,减少,IT,审计费用,20-25%,提高审计周期效率,50-60%,减少了定制报告创建,-,开发人员,100%,减少了报告维护工作,-,开发人员,20-50%,不当用户授权,不当角色分配和管理,未被监控的特权管理,来源： 实际客户的认定评测指标,节省的应用系统接口开发和维护本钱,$XXX-$XXX K,减少了与,SAP ERP/HR,人力资源,/BW,报表接口开发成本和后期维护成本,100%,减少了与非,SAP,系统,/IDM,身份识别系统的接口开发和运维成本,60-70%,减少控制测试和变更跟踪时间,20-50%,提高审计报告生成速度,60-80%,澳大利亚邮政风险管理,SAP Running,SAP GRC,Project HARMONY, Continuous Control Monitoring,SAP Process Map,1 Define, Operationalize, and Track Strategy,2 Business Development, partner management and M&A,3 Idea-to-Market,4 Demand-to-Cash,5 Service & Support Delivery,7 Attract , Develop, and Retain Workforce,8 Workplace & Infrastructure Provisioning,10 Corporate Finance and Operational Compliance,11 Shareholder & Stakeholder Management,Core,Support,6 Manage Customer Relationship,9,Procure-to-Pay,Management,Version 2.3.0 as of January 2nd, 2021,Project HARMONY - Continuous Control Monitoring,Control Overview HR and P2P,8,Priority High- P2P Controls,P2P Controls (28) HR Controls (8),Process,Control,9.4 Accounts Payable,Check frequency vendor was paid via One Time Vendor (CPD) accounts and check aggregated amount of CPD,9.3. Manage Operational Procurement,Check if invoice date is before date of shopping cart/ purchase order,9.4 Accounts Payable,Check on recurring overpostings (invoice amount PO amount) by the same vendor,9.4 Accounts Payable,Check on recurring overpostings of vendors by the same goods recipient,9.4 Accounts Payable,Check vendors with a debit balance,9.4 Accounts Payable,Check asset master records with blocked COs (Controlling Objects),9.3. Manage Operational Procurement,1. Check if FI bookings without PO exist.,2. Check if there are any POs which are not in the included in the exception list.,9.3. Manage Operational Procurement,Check if for PO 50k EURa bidding or vendor selection was accomplished,Process,Control,7.2.4 Calculate and Run Payroll,Check if employees did change their own master data (salary),7.2.4 Calculate and Run Payroll,Check frequent changes of master data (bank accounts),7.2.4 Calculate and run payroll,Check employees with identical bank data,7.5.1.2 Employer Initiated Termination,Check fixed term contracts to ensure timely termination,7.5.1 Manage Separation of Employees,Check that terminated employees do not receive any salary payment,7.3.1 Provide Base Pay,Check salary raises above and below 10% and in addition to that count the number of raises,7.5.1.2 Employer Initiated Terminations,Validate that all contracts that are set to terminate within the week have been terminated and the contract employee is processed.,7.3.4 Provide Equity Programs,Equity reconciliation of employee payments (Equity Control),Priority High-,HR Controls,市场地位,作为市场领先的解决方案，我们效劳于各个行业，各个地区，不同规模的企业,全球超过5400家客户,Gartner,对于,SAP,GRC,软件的评价,大量,的访问控制客户,群体,权威调研和专业机构的评价,审计及风控,领先者,两项审计及风控,创新技术,SAP GRC,荣获,ventana,技术创新奖,以风险为导向的SAP“风险管理+内部控制联动体系,业务流程,销售,采购,存货,财务报告,人力资源,IT,系统自动化实现,手工实现,SAP: ECC/R3,PeopleSoft,遗留系统,自开发系统,Oracle,工作底稿,/,电子邮件,合规管理,访问权限管理,职责别离 / 超级用户,内控矩阵,自动化持续性监控,企业政策,手工评估,/,审计,事前预防,全面风险管理,战略目标,组织架构,风险识别,风险评估,风险应对,监控预警,缺陷管理,监控与管理,效劳与实现,整改签核,应对及部署,事中监控,事后评估审计,事前预警,事前预警,企业战略管理,战略制定,目标分解,KPI,设定,平衡计分卡,风险辨识,监控预警,实现与保障,1,2,1,内部控制根底体系建立,2,风险,管理,体系,建立,3,第一阶段,第二阶段,主 要 内 容,梳理核心业务流程，进行穿行测试，诊断内控设计缺陷，检查执行与操作缺陷,在,公司总部建及试点单位立内部控制体系，并逐步在公司范围内全面推广,。,实施,GRC,访问控制,/,流程控制,(,手工,/,自动化结合,),选定重大风险进行专项应对，形成风险预警机制。,形成智能型风险管理,体系,实现,GRC,平台与战略管理平台联动,4,重大风险应对及智能型风险管理,第四阶段,建立并推广内控自评及内审独立测评的体系，形成内部控制自我评估长效机制。,定期测试，更新内部控制手册，编制内控自评报告,实施,GRC,流程控制,(,全部自动化,),1,2,第三阶段,从,内部控制到风险管理体系建设的总体蓝图,开展风险管理工作，建立公司风险管理的体系和风险管理的工作流程,采用“自上而下或“自下而上的方式进行风险识别，建立风险数据库，对风险进行全面评估及排序,风险管理体系与内控体系的对接与融合,实施GRC 风险管理,风险管理阶段,内,控,自我评,估及长效机制建立,内控合规阶段,