December 9,2011,#,Click to edit slide title(use sentence case),Click to edit Master text styles,Second level,Third level,Fourth level,2013 Software AG.All rights reserved.,#,|,December 9,2011,#,Click to edit slide title(use sentence case),Click to edit Master text styles,Second level,Third level,Fourth level,2013 Software AG.All rights reserved.For internal use only,#,|,December 9,2011,#,Click to edit slide title(use sentence case),Click to edit Master text styles,Second level,Third level,Fourth level,2013 Software AG.All rights reserved.For internal use only,#,|,December 9,2011,#,Click to edit slide title(use sentence case),Click to edit Master text styles,Second level,Third level,Fourth level,2013 Software AG.All rights reserved.,#,|,Michiel Jorna,Business Process Solutions,COSO,介绍,包含,GRC,的,COSO II,解决方案场景的演示,15.15 16.00 pm,什么,COSO 2013,有哪些变化,?,如何,Software AG,的,GRC,解决方案,如何支持,COSO,框架？,为何,基于,COSO,的,GRC,解决方案,有什么收益,?,COSO,框架,2013,年的更新,COSO Cube(2013 Edition),规划内控的,17,个原则,1992,框架在概念上包含了,17,个相关原则,并关联到五个内控组件,这些原则是评估基础，五个组件是展现和功能,目前这些概念已经通过,17,个原则来充分展示,COSO,委员会认为每个原则都有特定价值,并且适用于所有实体假定相关,如果某个原则不相关，需要记录其合理性,内控环境,1,.,组织对正直和道德等价值观做出承诺,2,.,董事会独立于管理层，并对内部控制的推进与成效加以监督控制,。,3.,管理层围绕其目标，在治理层监督下，建立健全组织架构,、,汇,报条线、合理的授权与责任等机制,。,4.,组织对吸引、开发和保留与认同组织目标的人才做出承诺,。,5.,组织根据其目标，使员工各自担负起内部控制的相关责任。,风险评估,6.,就识别和评估与其目标相关的风险，组织做出清晰的目标设定。,7,.,组织对影响其目标实现的风险进行全范围的识别和分析，并以此为基础来决定风险应如何进行管理。,8,.,组织在风险评估过程中，考虑潜在的舞弊行为。,9.,组织,识别和评估对内部控制体系可能造成较大影响的改变。,控制活动,10,.,组织选择并开展控制活动，将风险对其目标实现的影响降到可接受水平。,11.,对（信息）技术，组织选择并开展一般控制以支持其目标的实现。,12.,组织通过合理的政策制度和保证这些政策制度切实执行的流程程序，来实施控制活动。,信息与沟通,13,.,组织获取或生成，并使用相关、有质量的信息来支持内部控制发挥作用。,14,.,组织在其内部沟通传递包括内部控制的目标和责任在内的必要信息以支持内部控制发挥作用,。,15.,组织与外部相关方就影响内部控制发挥作用的事宜进行沟通。,监控,16,.,组织选择、推动并实施持续且（或）独立的评估以确认内部控制的要素是存在且正常运转的。,17.,组织在相应的时间范围内，评价内部控制的缺陷，并视情况与那些应采取正确行动的相关方（如：高级管理层，董事会）进行沟通。,其他重要变化,新框架：,澄清在内控中目标设置的角色,反映了不断增长的信息技术相关性,包含了对于治理机制的更深刻的研讨,扩展了目标的报表类别,加强了反欺诈方面的考虑,增加了对于非财务报表目标的关注,Software AG GRC,解决方案与,COSO,框架的对齐,控制环境,风险评估,控制活动,信息,&,沟通,监控,什么,COSO 2013,有哪些变化,?,如何,Software AG,的,GRC,解决方案,如何支持,COSO,框架？,为何,基于,COSO,的,GRC,解决方案,有什么收益,?,企业风险管理流程,风险管理流程的起点是定义企业,及各下属部门的战略和目标,通过分配指标及其业务流程来达到目标,我们应该做什么？,如何支持？,通过平衡计分卡来阐述战略,通过业务细分图来区分业务的类别,通过目标图,为评估进行准备,通过,KPI,分配图来描绘,KPI,将目标关联到流程,(VACD,EPC,BPMN),定义目标,定义战略,设置目标,描绘,KPI,识别事件与风险,通过识别影响目标实现的内部和外部事件，可以定义机会和威胁。机会用来管理战略和目标设定的流程，负面事件（威胁）是风险。,我们应该做什么,如何支持,将风险（负面事件）关联到目标,将风险关联到发生风险的流程,定义风险细节（描述、类型、责任等）,评估准备,将风险关联到目标，并详细描述,目标是识别风险的起点,将风险关联到风险发生的流程,识别风险和事件,执行风险评估,用非常清晰的方式定义风险,评估固定风险和剩余风险,我们应该做什么？,如何支持,可以进行定量和定性的评估,定量评估需要清晰的指导和经验,维护所有相关的风险信息,规划风险评估,对固有风险和参与风险执行风险评估,决定至评估,定性,风险，或也包括,定量,风险,通过分析风险趋势来将风险关联到风险承受度,自动化的风险评估计划,风险总量和残余量定量评估,自动损失计算,风险总量和残余量定性评估,风险评估指导,通过邮件通知执行风险评估,执行风险评估,执行风险评估,Qualitative risk assessment results,Quantitative,risk assessment results,风险评估结果,通过实施,内控降低的风险,定义风险响应,当风险发生后不同可能的应对,风险可以避免，接受，减轻和分担,管理选择正确的风险应答,建立一系列行为使风险与风险容忍实体及风险承受度相关联,应该做什么？,如何支持,通过创建可以在流程上监控的问题来设置行为,管理风险应答选项来解决创建的问题，如：,避免（将工厂从美国搬到,NL,）,接受（在风险承受度内）,减轻（通过减缓授权控制）,分担（对失火投保）,定义风险响应,设计和实施控制活动,工作,过程被建立和实施,(,固化落地,),，以确保风险响应能够高效地执行。你可以定义明确的控制措施以降低风险，定义管理视图和报告，物理控制,(,资产，价值，库存,),基于绩效指标的控制,/,职责分离,我们应该做什么,?,如何支持,?,在,ARIS Business Designer/Architect,中定义控制措施,控制定义包含控制如何被执行,(,控制活动,),到其相关,/,归属的业务流程，谁负责该控制,(,控制经理,),该控制是否需要被测试,/,被审计，,该控制如何进行测试,(,测试活动,),什么时候进行测试,(,每年,每月,每天,),和谁来测试,.,通过设计控制来减缓风险,设计和实施控制活动,将控制集成到业务流程,对每个控制定义监控方法,监控控制活动,该,阶段评估预防性控制的存在性和控制的有效性,监控结果作为降低,的（残余的,),风险评估和应对措施,(,风险相应,),的输入,应该做什么？,如何支持,Email,触发测试员执行一个控制评估,测试员填写评估结果并且可以附加证据,在控制无效,/,争议,/,缺陷的情况下，审核测试结果,争议,/,缺陷通过单独的工作流进行解决,在,测试中所有,争议,/,缺陷的处理都保留日志,(,审计线索,),所有结果在仪表盘中可视,监控控制活动,自动化的控制监控计划,在邮件通知后，执行控制测试,控制测试结构,定义控制测试状态,添加证据文档,实时例外监控,合规监控,流程分析与绩效监控,业务一致性监控,审计管理监控,其他,监控控制活动,ARIS,预置的报表，用于,SAS,70,Solvency,SOx,404,FDA,风险与控制矩阵等等,22,监控控制活动,什么,COSO 2013,有哪些变化,?,如何,Software AG,的,GRC,解决方案,如何支持,COSO,框架？,为何,基于,COSO,的,GRC,解决方案,有什么收益,?,The challenge is to meet clients expectations,effectively comply with new laws and refine the business processes in ways that at the same time support the companys risk management policies as they evolve.In addition,MN wanted to increase its risk management maturity and provide clients better overall transparency.,For its Enterprise Risk Management Program,MN chose a top-down,risk-focused approach to connect strategic objectives with risk assessments and process controls.MN developed and implemented a risk governance framework with three lines of defense.Its approach has increased risk awareness enterprise-wide,enabling them to identify and manage risks better while simultaneously improving process quality.,Broadened risk insights and improved decision-making,By Risk-based approach developed significantly leaner processes and more effective controls,Realized ongoing synergy savings for cost,hours and testing efforts,Demonstrable“In Control”also increases reliability for business partners,COSO ERM:Managing Risks as Key to Success,MN,Ongoing,synergy,for,cost,hours,and,testing efforts,s,avings,CEO,(middle),CFO,(right,),Workshops with:,Top management identifying,Strategic,Risks,Middle management,identifyingTactical,Risks,Alignment of all Risks and their relation to Object