內(nèi)控與風險管理指南

文/中興新云·財務(wù)云

各種不同行業(yè)、不同業(yè)態(tài)的企業(yè)有不同的內(nèi)控與風險管理的方法，但其最終目的都是幫助企業(yè)在業(yè)務(wù)經(jīng)營活動中防范及規(guī)避風險的發(fā)生，避免給企業(yè)帶來經(jīng)濟損失。

公司治理、風險及合規(guī)管理（Governance，Risk & Compliance，以下簡稱“GRC”）是指企業(yè)為滿足內(nèi)部和外部的法定要求和標準，而開展的建立公司治理結(jié)構(gòu)、識別并設(shè)計受法規(guī)影響的流程、識別及評估風險、設(shè)計及實施內(nèi)部控制系統(tǒng)、監(jiān)督并改進內(nèi)部控制系統(tǒng)的有效性等工作。

風險內(nèi)控及合規(guī)管理定義

1、企業(yè)風險管理

一個持續(xù)經(jīng)營的企業(yè)不可避免地會面對各種各樣的風險，如因環(huán)境變化或不明朗的政策引起的環(huán)境風險、因不適當?shù)囊龑?dǎo)綱領(lǐng)和規(guī)劃而產(chǎn)生的戰(zhàn)略風險以及企業(yè)參與投資活動產(chǎn)生投資風險，企業(yè)運作必然會有資金風險，甚至因為人為原因產(chǎn)生的道德風險，特別是隨著社會和經(jīng)濟的發(fā)展，企業(yè)在不斷變化的市場環(huán)境下的交易行為和自身組織創(chuàng)新也產(chǎn)生了各種風險。

企業(yè)風險管理的目標是通過對企業(yè)的風險進行控制和管理，盡可能使得某一風險事件或行為造成的損失比預(yù)期小，創(chuàng)造的價值比預(yù)期大，即風險溢價最大化。具體地說，根據(jù)企業(yè)確定的任務(wù)或預(yù)期，管理者制定企業(yè)的戰(zhàn)略目標，選擇戰(zhàn)略并確定其他與之相關(guān)的目標在企業(yè)內(nèi)層層分解和落實。確定了企業(yè)的目標，才能夠確定對目標的實現(xiàn)有潛在影響的事項。企業(yè)風險管理就是提供給企業(yè)管理者一個適當?shù)倪^程，既能夠幫助制定企業(yè)的目標，又能夠?qū)⒛繕伺c企業(yè)的任務(wù)或預(yù)期聯(lián)系在一起，并且保證制定的目標與企業(yè)的風險偏好相一致。企業(yè)風險管理目的在于企業(yè)目標的實現(xiàn)，保證股東財富的最大化。

企業(yè)風險管理涉及企業(yè)各個層次的員工，滲透于企業(yè)各項活動中的一系列行動，這些行動普遍存在管理者對企業(yè)的日常管理中，是企業(yè)日常管理所固有的。企業(yè)必須從全局、從總體層面上考慮企業(yè)的各項活動，應(yīng)以風險組合的觀點看待風險。風險管理過程應(yīng)用于企業(yè)內(nèi)部每個層次和部門，應(yīng)考慮組織內(nèi)所有層面的活動，從企業(yè)總體的活動（如戰(zhàn)略計劃和資源分配）到業(yè)務(wù)部門的活動（如市場部、人力資源部），再到業(yè)務(wù)流程（如生產(chǎn)過程和新客戶信用符合），而不是孤立地進行若干個獨立的風險管理。對企業(yè)管理者而言，對企業(yè)所面臨的風險應(yīng)樹立總體層面上的風險組合觀，應(yīng)從風險管理的有效性考慮，通過對企業(yè)不同階段不同方面的各種風險的識別和評價，并在此基礎(chǔ)上優(yōu)化組合各種風險防范策略，對風險實施有效的控制和監(jiān)督，以最少的成本獲得最大的風險溢價。

風險是客觀存在的，企業(yè)無法回避它給企業(yè)發(fā)展帶來的影響，企業(yè)需要有意識地面對風險。風險是可以預(yù)防和控制的，通過風險管理、風險控制，不僅可以帶來風險價值，也可以創(chuàng)造風險溢價，這是成功風險管理的關(guān)鍵。

2、企業(yè)內(nèi)部控制

企業(yè)內(nèi)部控制是風險應(yīng)對的手段，正是因為存在各種各樣的風險，企業(yè)才有必要建立良好的內(nèi)部控制系統(tǒng)，從而保證企業(yè)目標的實現(xiàn)。內(nèi)部控制有利于提高企業(yè)經(jīng)營效率，降低資產(chǎn)損失風險，有助于保證財務(wù)報表的可靠性、企業(yè)經(jīng)營活動的合法合規(guī)性。

內(nèi)部控制體系能夠有效地監(jiān)督業(yè)務(wù)流程的運行情況，并在發(fā)生違規(guī)業(yè)務(wù)時及時報告。內(nèi)部控制體系設(shè)計不是一成不變的，需要根據(jù)企業(yè)實際的狀態(tài)以及所開展的業(yè)務(wù)靈活設(shè)定，但是必須要遵循一定的標準體系。企業(yè)在初創(chuàng)期和業(yè)務(wù)發(fā)展期，由于業(yè)務(wù)發(fā)生的需要，通常會制定較為靈活的政策和業(yè)務(wù)流程，從而適應(yīng)客戶多變的需求。而進入穩(wěn)定期且業(yè)務(wù)成熟以后，其靈活的業(yè)務(wù)流程會慢慢地向標準化和規(guī)范化演變，會更加注重業(yè)務(wù)流程執(zhí)行的合規(guī)性，保證企業(yè)的長期穩(wěn)定和健康發(fā)展。應(yīng)當說，企業(yè)業(yè)務(wù)流程執(zhí)行合規(guī)與否，與企業(yè)內(nèi)部控制建設(shè)和推行力度有非常密切的關(guān)系。

COSO《企業(yè)風險管理框架》（如圖1所示）。

3、企業(yè)合規(guī)管理

企業(yè)的合規(guī)管理是指企業(yè)通過制定合規(guī)政策，按照外部法規(guī)的要求統(tǒng)一制定并持續(xù)修改內(nèi)部規(guī)范，監(jiān)督內(nèi)部規(guī)范的執(zhí)行，以實現(xiàn)增強內(nèi)部控制，對違規(guī)行為進行持續(xù)監(jiān)測、識別、預(yù)警、防范、控制、化解合規(guī)風險的一整套管理活動和機制。合規(guī)管理，是內(nèi)控的一個重要方面，也是風險管理的一個關(guān)鍵環(huán)節(jié)。全球化經(jīng)營的企業(yè)尤其要關(guān)注海外經(jīng)營國的合規(guī)要求，防范合規(guī)風險。

全球貿(mào)易條款，越來越多的中國企業(yè)開始執(zhí)行跨境貿(mào)易，跨境貿(mào)易與境內(nèi)貿(mào)易不同，除了在管理貿(mào)易合同、費用結(jié)算、收發(fā)貨等傳統(tǒng)的內(nèi)容之外，更需要關(guān)注與各國海外相關(guān)的關(guān)務(wù)事宜、關(guān)稅事宜以及在跨境貿(mào)易過程中不可避免的貿(mào)易禁運、貿(mào)易黑名單、自由貿(mào)易協(xié)定、貿(mào)易最惠國待遇等內(nèi)容。

圖1 COSO 企業(yè)風險管理整合框架

內(nèi)控&風險管理系統(tǒng)概述

1、內(nèi)控&風險管理系統(tǒng)體系架構(gòu)

內(nèi)控&風險管理系統(tǒng)，處于企業(yè)財務(wù)信息系統(tǒng)架構(gòu)中的管理層（如圖2所示），專注于企業(yè)如何防范風險、如何做到更有效的內(nèi)部控制，規(guī)避企業(yè)在業(yè)務(wù)經(jīng)營過程中所可能發(fā)生的各類風險和不合規(guī)行為。內(nèi)控&風險管理系統(tǒng)與企業(yè)的多個業(yè)務(wù)系統(tǒng)和財務(wù)系統(tǒng)集成，因為企業(yè)的內(nèi)控和風險管理體現(xiàn)在所有業(yè)務(wù)流程和信息系統(tǒng)中，而并非某個單獨的系統(tǒng)中。

2、內(nèi)控&風險管理系統(tǒng)產(chǎn)生的背景

（1）難以滿足持續(xù)合規(guī)要求。由于企業(yè)內(nèi)外部環(huán)境的變化，企業(yè)需要相應(yīng)的調(diào)整管理體系，以滿足持續(xù)合規(guī)的要求。首先，外部法律法規(guī)及標準的增加或調(diào)整，需要企業(yè)增加新的管理體系或調(diào)整已有管理體系以滿足合規(guī)要求。其次，當公司的組織結(jié)構(gòu)、業(yè)務(wù)模式及業(yè)務(wù)流程發(fā)生變化時，也需要相應(yīng)調(diào)整管理體系，以真實反映公司業(yè)務(wù)現(xiàn)實，滿足合規(guī)要求。

基于傳統(tǒng)的手工式的管理方式，內(nèi)控管理不僅效率低下，而且無法保留完整的證據(jù)鏈，可追溯性差，難以保證內(nèi)控與風險管理的有效性，不能完全滿足外部監(jiān)管需求，也不能為管理層的對外承諾提供保障。

（2）內(nèi)控規(guī)則與業(yè)務(wù)活動難以融合。業(yè)務(wù)流程管理是企業(yè)管理的基礎(chǔ)，也是進行內(nèi)部控制的基礎(chǔ)，內(nèi)控管理要在企業(yè)中充分發(fā)揮作用就必須與企業(yè)業(yè)務(wù)流程管理進行結(jié)合，傳統(tǒng)的人工檢查，難以覆蓋并深入到企業(yè)的各個業(yè)務(wù)流程中，在企業(yè)新業(yè)務(wù)模式不斷出現(xiàn)的情況下，內(nèi)控難以實現(xiàn)，或滯后于業(yè)務(wù)發(fā)展。

（3）風險管理缺乏系統(tǒng)、科學的工具。企業(yè)中風險管理活動往往是瞬間或間斷性的，很多企業(yè)意識到了就進行管理或者根本是在無意識狀態(tài)中進行，缺乏系統(tǒng)、科學的管理工具。風險管理工作，沒有統(tǒng)一的系統(tǒng)來規(guī)范形成統(tǒng)一的術(shù)語、標準，各業(yè)務(wù)單位有的使用自己的IT工具來管理，有的完全依賴Excel表格。企業(yè)對風險數(shù)據(jù)的搜集匯總分析完全依靠手工，無法通過IT監(jiān)控建立預(yù)警指標，影響風險管控的精準性與時效性。另外，企業(yè)總部與業(yè)務(wù)單位之間的信息往來溝通安全性差、周期長、低價值的重復(fù)性工作較多，不利于數(shù)據(jù)積累和沉淀，也在一定程度上制約了風險報告預(yù)測決策性價值的發(fā)揮。

圖2 內(nèi)控&風險管理系統(tǒng)架構(gòu)圖

圖3 企業(yè)全面風險管理與內(nèi)控管理的四道防線

內(nèi)控&風險管理系統(tǒng)流程

企業(yè)的全面風險管理與內(nèi)控管理流程中，可以分解為四道防線（如圖3所示）。

企業(yè)的董事會和高管層是全面風險管理工作能夠順利開展和推進的基石，沒有領(lǐng)導(dǎo)的支持，這樣的工作是無法完成的，董事會和企業(yè)高管層在制定企業(yè)戰(zhàn)略目標的過程中，應(yīng)當考慮其可能面臨的風險，并通過逐級推進的方式對這些風險進行應(yīng)對和控制，從而保證企業(yè)戰(zhàn)略目標的達成，這是第零道防線。

第一道防線是企業(yè)的各級業(yè)務(wù)部門。各級業(yè)務(wù)部門在執(zhí)行業(yè)務(wù)的過程中，需要具有風險防范的意識和方法，并及時阻止可能出現(xiàn)的風險事件。這要求企業(yè)在其發(fā)展過程中，需要具備良好的風險管理文化和風險管理意識。

第二道防線是企業(yè)風險與內(nèi)控管理的職能部門。對于第二道防線來說，需要為處于第一道防線的業(yè)務(wù)部門提供有效的風險規(guī)避與防范工具，例如定期的風險評估、實時的風險預(yù)警體系建設(shè)等，這些都是風險管理職能部門需要做到的。而對于內(nèi)部控制職能部門來說，建立有效的內(nèi)部控制體系，進行定期的評估和測試，并對所發(fā)現(xiàn)的內(nèi)部控制問題或者內(nèi)部控制缺陷進行有效地不間斷地跟蹤，以確保內(nèi)部控制體系能夠有效地實行，這是內(nèi)部控制職能部門的職責所在。

第三道防線是企業(yè)的內(nèi)部審計部門，這是企業(yè)在業(yè)務(wù)風險管理與控制層面的最后一道防線。內(nèi)部審計部門開展的工作對于企業(yè)業(yè)務(wù)的穩(wěn)定運行和企業(yè)的可持續(xù)發(fā)展是非常重要的，其職責范圍主要定位于對企業(yè)的業(yè)務(wù)經(jīng)營信息和狀況進行定期的審查和內(nèi)部稽核。

健康的風險管理和內(nèi)部控制體系是需要上述的四道防線緊密協(xié)同工作的。業(yè)務(wù)部門處于業(yè)務(wù)的第一線，利用風控管理職能部門在風險控制方面的理念、方法、工具等及時地發(fā)現(xiàn)業(yè)務(wù)風險，采取應(yīng)對手段和控制措施。風控管理職能部門則需要在企業(yè)推行良好的風險管理文化和風險控制體系，為業(yè)務(wù)部門輸送可以應(yīng)用于實際業(yè)務(wù)的“彈藥”。內(nèi)部審計部門作為企業(yè)風險控制和業(yè)務(wù)稽核工作的最后一道防線，通過嚴格的審計方法和審計程序執(zhí)行稽核，保證企業(yè)重大業(yè)務(wù)事項的順利開展和推進。

圖4 內(nèi)控&風險管理系統(tǒng)功能框架

圖5 風險管理模塊系統(tǒng)邏輯

內(nèi)控&風險管理系統(tǒng)功能介紹

1、內(nèi)控&風險管理系統(tǒng)總體功能框架

完整的、整合的內(nèi)控&風險管理系統(tǒng)是企業(yè)風險管理和內(nèi)部控制的綜合性智能管理平臺，包括分析、設(shè)計、測試、整改、監(jiān)控等GRC全流程系統(tǒng)化，在系統(tǒng)上實現(xiàn)工作流的自動化。系統(tǒng)自動掃描相關(guān)系統(tǒng)的控制，實現(xiàn)實時控制監(jiān)控，并擁有強大的報告功能，保證管理層能夠及時地、全面地了解企業(yè)內(nèi)部控制在合規(guī)上存在的問題。內(nèi)控&風險管理系統(tǒng)一般包括風險管理、內(nèi)控管理、審計管理等模塊（如圖4所示）。

2、內(nèi)控&風險管理系統(tǒng)具體功能

（1）風險管理。

風險管理功能將風險記錄以及處理過程信息化，替代目前的風險清單的手工提交和匯總過程，從而逐步建立風險庫，實現(xiàn)風險報告自動化，并通過建立風險估算和分析模型的方式將風險管理融入到業(yè)務(wù)的實時環(huán)境中。風險管理模塊系統(tǒng)邏輯（如圖5所示）。

風險識別，主要完成收集、梳理、辨識戰(zhàn)略風險、運營風險、財務(wù)風險和法律風險等風險事件，并分類提交到風險事件庫中。風險問卷子模塊內(nèi)置了多種辨識問卷，如財務(wù)類、運營類等風險問卷，可通過評估問卷的在線發(fā)布，讓風險專家等通過網(wǎng)頁方式進行風險評估，提高效率。

風險評估，風險評估的結(jié)果可以是定性的，也可以是定量的或者混合型的，風險評估的方法可以是單人評估，也可以是多人同時進行評估，風險評估子模塊中可以自由設(shè)置用戶權(quán)重，并根據(jù)相應(yīng)的計算公式，自動完成統(tǒng)計評估結(jié)果，提高評估階段的工作效率。風險評估的手段可以通過直接登錄評估表單進行，也可以通過調(diào)查問卷的方式進行。風險評估的結(jié)果能夠直接反應(yīng)在風險管理熱圖中。

風險應(yīng)對，內(nèi)控&風險管理系統(tǒng)既能夠支持一般意義上的風險應(yīng)對計劃，也可以支持通過內(nèi)控管理進行風險應(yīng)對。風險應(yīng)對計劃可以線下執(zhí)行，線上更新結(jié)果，也可以和其他系統(tǒng)中的特定業(yè)務(wù)流程掛鉤，自動更新應(yīng)對結(jié)果和實際效果。

風險監(jiān)控與報告，監(jiān)控關(guān)鍵風險指標以及風險應(yīng)對的有效性和完整性，記錄風險事件和損失，生成風險報告。

除了風險管理主流程的系統(tǒng)功能，內(nèi)控&風險管理系統(tǒng)還具有基本信息管理、風險矩陣、風險熱圖、風險預(yù)警、損失事件管理及駕駛艙展示等功能。

基本信息管理，與風險管理相關(guān)的各類國家相關(guān)制度、案例，企業(yè)風險管理手冊指引等規(guī)章制度。

風險矩陣，將風險矩陣中的風險列表分解到各部門、對應(yīng)維護人員，進而可擴充維護信息。風險矩陣能夠分層級（比如標準風險庫、總部風險庫、分公司風險庫、項目風險庫）、分類別（比如戰(zhàn)略風險、財務(wù)風險、市場風險、運營風險、法律風險）的管理風險，可按層級或業(yè)務(wù)領(lǐng)域輸出風險矩陣和風險清單。在風險矩陣中，可以連接相關(guān)制度條款、查看風險相關(guān)事件、對應(yīng)的控制點及內(nèi)控流程，實現(xiàn)風險與內(nèi)控、制度的關(guān)聯(lián)。同時，通過與流程的關(guān)聯(lián)，可實現(xiàn)風險列表與各業(yè)務(wù)崗位的關(guān)聯(lián)。

風險熱圖，基于風險評估過程，生成反映公司總體和各級單位的風險分布圖表，以及按業(yè)務(wù)流程或業(yè)務(wù)領(lǐng)域的視角來輸出，可以輸出流程和組織不同維度的圖標。對于評估風險等級高的風險點可進行“新增控制措施”和“優(yōu)化控制措施”操作，同時將風險等級高的風險點落點區(qū)域標記為高風險領(lǐng)域。風險熱圖可以多維度展示，從可能性、影響程度、變動趨勢等維度對固有風險和剩余風險進行分析，分析結(jié)果可以直觀的柱狀圖、餅狀圖、折線圖等方式進行展示。

風險預(yù)警，含關(guān)鍵風險指標的設(shè)置、派發(fā)，關(guān)鍵風險指標數(shù)據(jù)的呈報、關(guān)鍵風險指標數(shù)據(jù)的查看等子功能。支持預(yù)警管理功能，運用關(guān)鍵風險指標和模型等手段對風險實施監(jiān)控，收集和維護企業(yè)內(nèi)外部風險事件及相關(guān)數(shù)據(jù)，為預(yù)警監(jiān)控提供數(shù)據(jù)基礎(chǔ)和依據(jù)。內(nèi)控&風險管理系統(tǒng)與其他系統(tǒng)對接，使用數(shù)據(jù)倉儲技術(shù)（Extract-Transform-Load ETL）工具來自動形成指標數(shù)據(jù)的展示。指標的異常能夠與行動計劃工作流整合，比如觸發(fā)郵件、輸入分析內(nèi)容等。

損失事件管理，內(nèi)控&風險管理系統(tǒng)支持風險損失事件的管理，包括按照業(yè)務(wù)類型和原因進行時間分類和記錄歸檔，維護風險損失事件數(shù)據(jù)庫；已經(jīng)發(fā)生的損失事件，可以與以前的風險管理過程數(shù)據(jù)進行比對，分析原因，便于相應(yīng)的處理調(diào)整。能夠在按既定格式提供的接口文件中讀取數(shù)據(jù)，亦可通過系統(tǒng)內(nèi)的工作流搜集損失事件數(shù)據(jù)，與行動計劃工作流整合。

駕駛艙，類似商業(yè)智能系統(tǒng)的展示功能，將風險管理關(guān)鍵數(shù)據(jù)以儀表盤、柱狀圖、折線圖等直觀方式進行推送（如圖6所示）。提供各類風險報告模板，支持定制客戶化風險及內(nèi)控相關(guān)報告、報表；支持報告編制、審批、發(fā)布的全過程管理；支持自動計算、匯總風險管理報告所需數(shù)據(jù)，自動匯總、傳遞企業(yè)內(nèi)部及各個層面之間的溝通信息、內(nèi)部專題通報等。通過可視化圖表分析風險數(shù)據(jù)，提供決策支持依據(jù)。

（2）內(nèi)控管理。

內(nèi)控手冊，內(nèi)部控制手冊是企業(yè)開展內(nèi)部控制工作必要的基礎(chǔ)內(nèi)容，也是指導(dǎo)企業(yè)開展內(nèi)部控制非常重要的內(nèi)部指引性文件。內(nèi)部控制手冊的主體內(nèi)容是企業(yè)內(nèi)部控制矩陣，包含企業(yè)內(nèi)部控制所涉及的所有業(yè)務(wù)流程、子流程、風險點、控制點、相關(guān)的政策及法律法規(guī)、控制點測試步驟及方法、所負責的業(yè)務(wù)部門以及相關(guān)的負責人等信息。內(nèi)控手冊維護如圖7所示。

內(nèi)控評估與測試，是企業(yè)內(nèi)部控制工作開展的主要內(nèi)容。用結(jié)構(gòu)化的方法開展自我評估，關(guān)注業(yè)務(wù)過程和控制成效。通過設(shè)計、規(guī)劃和運行內(nèi)部自我評估程序，有組織性地對管理控制和治理負責。

①測試程序設(shè)置。基于風險矩陣數(shù)據(jù)，為每一個控制措施定義其測試指引信息，如樣本來源、樣本數(shù)量、抽樣方法以及測試程序等信息。

圖6 風險管理駕駛艙示例

圖7 內(nèi)控手冊維護

②測試工作展開。基于測試程序要求，記錄測試過程；支持基于樣本和總體的測試；基于測試過程中發(fā)現(xiàn)的問題，能夠調(diào)整內(nèi)控手冊描述、修改制度等；記錄缺陷評價、整改措施。

③自動測試。關(guān)鍵內(nèi)控點監(jiān)控與管理，挑選控制點中能夠量化的關(guān)鍵控制點，通過系統(tǒng)集成的方式進行實時監(jiān)控，及時預(yù)警。通過數(shù)據(jù)集成方法，實現(xiàn)與其他業(yè)務(wù)系統(tǒng)的數(shù)據(jù)采集、清洗、轉(zhuǎn)換、裝載，可利用規(guī)則算法對采集到的監(jiān)控數(shù)據(jù)進行規(guī)則計算和處理，實現(xiàn)對業(yè)務(wù)系統(tǒng)內(nèi)控執(zhí)行的數(shù)據(jù)變化情況進行實時監(jiān)控和分析，提取出可用的樣本信息，加入樣本庫，分配至內(nèi)控評價工作底稿，進行多角度的內(nèi)控評價和樣本測試，對于可量化的樣本可進行自動測試。

④內(nèi)控缺陷整改。內(nèi)部控制測試過程中所發(fā)現(xiàn)的問題被稱之為內(nèi)控缺陷。對于內(nèi)控缺陷的管理是所有企業(yè)在內(nèi)部控制評估項目過程中最為重視的內(nèi)容，也是在內(nèi)部控制報告發(fā)布的內(nèi)容中最為關(guān)鍵的部分。內(nèi)部控制缺陷管理的過程包括在測試評估過程中所發(fā)現(xiàn)內(nèi)控缺陷的報告，后續(xù)整改計劃的制定、執(zhí)行和進度跟進，內(nèi)部控制缺陷發(fā)布等級的逐級認定過程，以及內(nèi)部控制缺陷和內(nèi)控報告的簽核過程。內(nèi)部控制缺陷等級的逐級認定是在企業(yè)年度內(nèi)部控制測試評估項目中非常重要的環(huán)節(jié)，所認定的等級與內(nèi)部控制自評報告中所發(fā)布的等級一致，因此對于企業(yè)管理層來說非常重要和關(guān)鍵。

內(nèi)控報告，統(tǒng)一提供大量預(yù)置的內(nèi)部控制報告和報表，允許用戶在系統(tǒng)中進行各類信息的查詢和跟進。報表的內(nèi)容主要包括內(nèi)部控制矩陣、內(nèi)部控制測試和評估進度、內(nèi)部控制測試和評估結(jié)果統(tǒng)計分析、內(nèi)部控制缺陷報告以及內(nèi)部控制缺陷整改報告等內(nèi)容。

（3）內(nèi)審管理。

審計功能模塊的總體目標有以下五個方面：

①以風險為導(dǎo)向的審計：按業(yè)務(wù)流程和風險因素編制風險導(dǎo)向的審計計劃；提供深度風險管理報告；匯總公司各類風險情況，確定和安排審計工作。

②電子工作底稿：采用統(tǒng)一的審計方法，高質(zhì)量地完成審計工作；全面記錄工作內(nèi)容和重要信息；審計結(jié)論與過程記錄保持一致，任何一點均可隨時追溯并復(fù)核；審核工作不受地域限制；實現(xiàn)審計報告自動化，縮短報告編制時間；共享知識以備下次審計。

③審計跟蹤：監(jiān)控和追蹤審計發(fā)現(xiàn)的后續(xù)整改；幫助審計對象實施整改追蹤；提升擴大審計成效。

④審計資源管理：維護審計人員技能和知識檔案；根據(jù)審計項目需要的技能和知識分配資源；實現(xiàn)審計資源利用率最大化。

⑤審計知識庫：記錄并交流最佳實踐審計經(jīng)驗；復(fù)用和改進審計方法；共享各種知識，包括法律法規(guī)、審計報告、審計底稿、審計問題、技巧方法等。

內(nèi)審管理模塊功能如圖8所示，具體可以分解為：

年度審計計劃，年度計劃的制定依據(jù)，均有系統(tǒng)支撐及相關(guān)記錄。年度計劃可以分解為半年計劃、季度計劃、月度計劃以及各類計劃的變更、查詢功能。

審計項目開展，項目啟動時，項目組長根據(jù)項目特點，可以從部門標準知識庫中選擇適當?shù)膶徲嫹桨浮Ｈ羰且酝撮_展過的或未規(guī)程化的審計項目，審計組可以在部門已有標準知識庫的基礎(chǔ)上有選擇性地選用適合的程序或制定新的審計程序，然后擴充更新到部門標準知識庫中，供以后使用。項目組長完成方案編制，并審批完成，根據(jù)方案中的內(nèi)容，為項目成員分派任務(wù)。

電子底稿管理，底稿由系統(tǒng)自動編號，對底稿模式、審計信息等要素進行統(tǒng)一規(guī)范，清晰地反映審計任務(wù)目標、執(zhí)行步驟/要求/指令、審計過程記錄、審計問題、審計建議、審計結(jié)論、底稿編制人及修改/編制時間、各級底稿復(fù)核人及復(fù)核時間等。

圖8 內(nèi)審管理模塊功能

圖9 內(nèi)控&風險管理系統(tǒng)對接示意圖

審計任務(wù)和工作底稿的完成進度隨完成情況自動更新，并可以提供實時完成進度統(tǒng)計，包括：程序/底稿完成待審閱數(shù)量、程序/底稿審閱完成數(shù)量、程序/底稿正在執(zhí)行中數(shù)量、未開始執(zhí)行的程序/底稿數(shù)量等，方便項目組長實時管控項目進度。項目組長可以看到項目組成員上傳的審計底稿，進行底稿審閱、進行批注，項目組成員根據(jù)底稿審閱意見進行相應(yīng)修改。

底稿能夠支持自動轉(zhuǎn)化為審計報告。根據(jù)事先配置好的原則，抓取電子工作底稿中相關(guān)內(nèi)容，轉(zhuǎn)化至審計報告草稿模板。底稿中要體現(xiàn)審計報告中的各要素，從一開始編制底稿，就是為編制報告而服務(wù)，相關(guān)干系人都可以參與提供建議或幫助。

審計報告，支持審計報告征求意見環(huán)節(jié)：按權(quán)限分發(fā)審計報告征求意見稿，對方直接回復(fù)意見，可進行郵件催辦。支持審計報告的發(fā)送、借閱、檢索、日志管理。

審計知識庫，審計人員可將收集整理的審計方法、審計程序、分析模型、工作經(jīng)驗、作業(yè)經(jīng)驗等按照不同分類，分別存儲到審計經(jīng)驗庫中。在工作過程中，審計方案、底稿等內(nèi)容，可轉(zhuǎn)換整理到審計知識庫中。審計資源庫實現(xiàn)對各種法律法規(guī)及內(nèi)部制度的集中管理。能夠自定義多級分類，對各種法律法規(guī)及公司內(nèi)部制度進行分類管理，如：會計法、會計準則、審計準則、合同法、公司法、稅法、票據(jù)法等分類創(chuàng)建。可按多個條件進行檢索，并能夠在編制審計底稿的同時將相關(guān)法律條款進行引用，自動嵌入審計底稿中，并支持權(quán)限控制下的法規(guī)維護。

內(nèi)控&風險管理系統(tǒng)信息對接管理

內(nèi)控&風險管理系統(tǒng)與企業(yè)多個系統(tǒng)存在對接關(guān)系，包括業(yè)務(wù)系統(tǒng)、HR系統(tǒng)、門戶系統(tǒng)以及OA系統(tǒng)和郵件系統(tǒng)（如圖9所示）。

內(nèi)控&風險管理系統(tǒng)與企業(yè)多個應(yīng)用系統(tǒng)對接，嵌入企業(yè)整體運營流程，實現(xiàn)了風險管理、流程內(nèi)控和信息訪問權(quán)限事前、事中和事后的全程管理。內(nèi)控&風險管理系統(tǒng)通過一定的程序和方法對其他應(yīng)用系統(tǒng)中所涉及的流程和關(guān)鍵控制點進行定期的檢查和確認（信息系統(tǒng)審計和稽核過程），確保系統(tǒng)的配置或參數(shù)設(shè)置是符合企業(yè)的實際要求的，而對于流程的變更、配置或者參數(shù)的變更是經(jīng)過必要的變更流程（審批流程），在應(yīng)用系統(tǒng)中有相應(yīng)的變更日志記錄所有發(fā)生的變更內(nèi)容、發(fā)生時間和相關(guān)執(zhí)行變更的人員。

因此通過內(nèi)控風險管理這樣專業(yè)化的系統(tǒng)對其他系統(tǒng)中的現(xiàn)有流程、關(guān)鍵控制點進行連續(xù)不間斷地實時監(jiān)控，可以實時檢查其他系統(tǒng)的流程控制點設(shè)置及其變更情況，及時了解其他系統(tǒng)中業(yè)務(wù)流程的合規(guī)性狀況，并給相應(yīng)的合規(guī)性報告。

內(nèi)控&風險管理系統(tǒng)實施意義

內(nèi)控&風險管理系統(tǒng)是企業(yè)風險管理與內(nèi)部控制的整合性平臺，從風險信息的收集，到風險智庫的建立，再到風險點的調(diào)查與評估、風險點的應(yīng)對和控制以及風險管理與控制的報告生成等，均在統(tǒng)一的平臺上完成。內(nèi)控&風險管理系統(tǒng)在應(yīng)用過程中將企業(yè)在風險管理和內(nèi)部控制的體系架構(gòu)、管控內(nèi)容進行落地和實現(xiàn)，從而幫助企業(yè)更有效率地執(zhí)行其風險管理與控制工作。

（1）搭建統(tǒng)一透明的內(nèi)控平臺。內(nèi)控&風險管理系統(tǒng)將所有的流程、控制描述，測試文檔和合規(guī)報告統(tǒng)一在一個系統(tǒng)平臺上，顯著降低了管理多個地區(qū)合規(guī)操作的人力和成本，也更有利于管理層識別合規(guī)缺陷與差距。同時，借助內(nèi)控&風險管理系統(tǒng)，企業(yè)所有的管理層和內(nèi)控部門可以在一個平臺上校驗系統(tǒng)內(nèi)可能存在的不合理權(quán)限設(shè)置和職責沖突風險，讓各個部門中存在的風險盡可能完全透明化。

（2）將風險管理由事后核查轉(zhuǎn)變?yōu)槭孪阮A(yù)防。對于任何權(quán)限審批與變更，內(nèi)控&風險管理系統(tǒng)都強制要求經(jīng)過預(yù)定流程，并且調(diào)用職責分離規(guī)則來自動地分析識別新舊角色和權(quán)限之間是否存在沖突，實時作出提醒和預(yù)警，這樣各級領(lǐng)導(dǎo)在審批權(quán)限的時候就能知曉是否造成職責沖突，迅速判別潛在風險，避免在風險影響到業(yè)務(wù)的時候才采取“馬后炮”式的補救措施，強制性的流程設(shè)置也杜絕了因人為疏忽和徇私舞弊造成的訪問例外情況。

（3）提供全面準確的風險圖譜，提升風險應(yīng)對效果。內(nèi)控&風險管理系統(tǒng)幫助企業(yè)開展主動的，各方面協(xié)作的流程以平衡企業(yè)所有層次上財務(wù)，合規(guī)及業(yè)務(wù)操作方面的機會與風險，統(tǒng)一公司的風險語言，強化預(yù)警效果，提升風險應(yīng)對效果，釋放低價值方面的工作內(nèi)容，并且給企業(yè)管理層提供全面的、準確的、實時的企業(yè)風險圖譜，幫助管理層風險排序，安排應(yīng)對方案。