金蝶K3内控系统
业务场景
企业全面风险管理是一项十分重要的工作,关系到企业战略经营目标的实现,关系到企业持续、健康、稳定的发展。企业实施全面风险管理既有外部的压力又有内部的需要。内部风险控制疏漏从而导致企业的巨亏、破产,触目惊心的事实促使全球商界、金融界、政府重新审视风险控制的内部制度和外部环境,向企业提出了更加全面提升监管的要求。为满足企业全面风险管控的需求,内控管理系统细分为风险评估、控制活动、信息与沟通和内控评价四个模块,提供全面的内控管理解决方案。
风险评估
风险评估系统通过风险管理目标的设定,并建立相关的风险指标,以便对日常的业务进行风险的预警。提供风险事件库,系统预设常用风险,企业可以在此上继续积累。风险坐标图和风险事件统计表分别以图形化方式和表格方式展示企业所面临的各种风险。通过识别风险,以及知悉风险会影响企业目标的实现,可以提前做好应对,确保企业目标的实现。
主要功能
1. 企业目标管理
Ø 企业目标类型管理。系统预设了战略目标、运营目标、财务目标、合规目标、资产安全目标。企业根据自身管理需要可以增删目标类型。
Ø 企业目标管理。可以新增、修改、删除企业目标。企业目标可以与KPI指标和风险事件建立关联关系。企业目标与风险事件的关联,可以把注意力集中在影响目标实现的主要风险事件上,以做好应对措施,确保目标的实现。企业目标与KPI关联,可以看到方便地查看目标的量化指标。
Ø 企业目标可以连查到相关的风险事件和KPI指标。
2. 风险事件管理
Ø 风险事件库。首先可以对风险事件进行分组管理。系统预设了战略风险、财务风险、市场类风险、运营风险、合规风险组。风险事件包含风险事件的内容、影响分析、涉及的目标、责任部门、提供部门、发生概率、影响等级等。建立风险事件时,可以预估其发生概率和影响等级、影响的起止日期等,后续进行内控评价后,可以进行修正。从风险事件序时簿可以连查到相关的流程。
Ø 风险事件统计分析表。风险事件统计分析表可以根据设定的统计范围以横向和纵向两种方式展示风险事件的分布情况。
Ø 风险坐标图。风险事件坐标图根据风险事件的影响等级和发生概率两个唯独以图形化的方式展示风险事件的分布。从风险坐标图可以连查到相关的风险事件。
3. 风险指标管理
Ø 指标因素。指标因素是风险指标的基础,指标因素的设置依风险指标的需要而设置,企业需要什么样的风险指标,就可以将指标上的所有项目设置为指标因素。指标因素包含因素编码、因素名称、取数公式、自定义属性。
Ø 风险指标。风险指标的设置依据企业管理与分析的需要而设置,是企业目标的量化指标。风险指标是在指标因素的基础上进行综合得到的。
Ø 风险预警分析表。风险预警分析表全面展示了风险指标的实际值与基准值的差异,并对差异进行了相关分析。
控制活动
控制活动是企业内控管理最为重要的环节。梳理企业的流程,然后根据控制目标和可能涉及到的风险,来设置控制活动。控制活动的类型有预防性控制也有检查性控制,根据不同的活动类型有所区别。控制活动设置完成之后,企业各部门以及个人就可以按照控制点进行业务处理。基础资料维护申请可以统一控制客户、供应商、物料等重要的基础数据。
主要功能
1. 流程管理
Ø 流程矩阵。控制活动的起点在于流程的梳理;流程矩阵管理方便企业梳理和管理企业业务流程。流程内容包括责任部门\责任人、杜应风险、对应k/3单据流、相关文档方面的内容,流程可以直接关联到系统的具体功能接口。流程矩阵支持多级树形结构。新增流程默认为禁用状态,被禁用的流程不可修改流程图、新增流程图。
Ø 流程图。对已经启用的流程在流程管理中可以建立对应的流程图。流程图允许基于泳道设计流程图;可以添加当前流程下任意子流程到流程图;提供预置图元:泳道、流程、活动、判断(条件)、开始/结束、描述;允许用户调整图元背景色。当前图元存在K/3功能链接,允许点击打开相应K/3功能;当前图元可链接其他流程图,允许点击打开其他流程图当前图元存在K/3功能链接,允许点击打开相应K/3功能;当前图元可链接其他流程图,允许点击打开其他流程图。
2. 控制活动
Ø 自动控制平台。控制活动是整个内控的关键,系统提供基于单据(新单、老单、K/3 BOS基础资料),提供自定义控制规则的增、删、改。支持两类规则的创建和控制:自定义公式和自定义SQL;提供3种控制时点:保存时控制、审核时控制、事后控制(用于穿行测试);提供3种控制强度:严格控制、密码控制、提示;使用“自定义公式”编写规则时,允许控制当前单据和源单;已启用的自定义控制规则,在单据保存/审核时进行相应检查控制。
Ø 控制矩阵。根据流程和控制规则定义控制活动;系统提供控制活动的新增、修改、删除、作废、反作废;提供两种控制方式:人工、自动;提供8种类型的“自动控制方式”,包括:自动控制平台、预算控制平台、系统参数、功能类参数、预警平台、不相容权限、审批流、对账;新增控制活动,可以自动携带所对应的流程风险。
3. 基础资料维护申请
Ø 客户、供应商和物料都属于企业非常重要的基础数据,通过基础资料系统可以对客户、供应商和物料核算项目进行维护,但不可以进行多级审核,会签。启用等功能基础资料维护申请可以由用户选择是直接在基础资料处进行维护对于客户、供应商和物料这三类基础资料,还是通过提交维护申请来进行维护。如果选择提交维护申请来进行维护,客户、供应商和物料维护申请单审核通过后,系统自动将申请单中对基础资料的维护信息同步到基础资料中。
信息与沟通
信息包括外部信息和内部信息,即不但囊括了企业的内部规范制度、意见反馈,还包括外部的法规政策,这些信息应该是企业全员都应清楚和了解的。信息与沟通系统提供了基于Web的信息沟通平台,文档管理提供了对标准作业指导书、内控制度与规范、外部政策法规的管理功能;投诉与建议提供匿名投诉通道,企业员工可以通过平台中提供的投诉举报机制,及时将个人意见反馈到相应管理部门。
主要功能
1. 文档管理
Ø 标准作业指导书、内控制度与规范、外部政策法规都属于文档管理的对象,文档管理提供了对这些文档的增、删、改功能,并且支持上传附件。
Ø 文档保存保存后,不能被其他用户查阅,只有执行发布操作后,才能在相关类别文档中查阅。文档发布支持批量操作,CTRL、Shift多选文档,发布/取消发布。已审核的文档发布后,在“标准作业指导书”、“内控制度与规范”、“外部政策法规”可以查询到。
Ø “标准作业指导书”、“内控制度与规范”、“外部政策法规”可以查询已经发布的对应类别的文档。
2. 投诉与建议
Ø 投诉与建议具有匿名投诉功能。“提交”功能可以将投入内容“提交”给下环节处理人。
Ø 投诉与建议管理。对已经提交的投诉与建议需要进行后续处理。系统投诉与建议管理功能提供对已提交的投诉与建议执行失效、移交等处理。
Ø 我待处理的投诉。我待处理的投诉只能查询到当前职员需要处理的投诉进行处理。
Ø 本部门待处理的投诉。本部门待处理的投诉只能查询到当前职员所属部门需要处理的投诉进行处理。
内控评价
内控评价包括内控设计有效性的评价和控制有效性的评价。内控评价通过的穿行测试和人工检查,得出评测结果,出具缺陷报告。根据缺陷制定相应的整改措施,进行整改;通过对账来检查可能有的风险和问题。根据不相容权限的设置方案,系统自动出具权限冲突检测报告;根据审批流的风险控制,系统自动出具审批流程风险报告。根据业务控制模式风险的设置,系统自动出具业务控制模式风险报告。系统的审计日志提供完整的IT操作日志,可以查询所有操作用户的变更和删除操作记录。最后基于整个完整的内控体系,出具综合的内部控制评价报告。
主要功能
1. 测试计划
Ø 测试计划管理。在进行内控测评前,需要首先制定测试计划。系统提供测试计划的增、删、改功能,还可以设置测试计划执行、反执行、结束、反结束。
Ø 测试计划执行情况表。测试计划执行情况表用来展示某个测试计划下的流程和控制活动的评测情况,即某个流程的某个控制活动是否建立了测试方案,是否进行了测试,测试结果是否审核。
2. 内控测评
Ø 样本档案。用户可能需要测试未进入K3系统的业务流程,这就需要记录系统外的样本。样本档案即是帮助用户记录系统外的样本。系统提供了样本档案的增、删改功能。
Ø 测试方案管理。在根据测试计划进行测试时,测试执行者需要设定相应的测试方案,包括测试哪些单据,抽取什么样的样本,使用那些测试标识。然后才可以根据这些资料来测试内控的有效性。系统提供了测试方案的增、删、改等功能。
Ø 穿行测试。穿行测试根据抽取的样本,根据设置的控制活动进行检测,出具测试结果。测试样本包括系统内样本和系统外样本。对于需要人工检查的环节,需用人工检查的结果手工更新测试结果。
Ø 测试报告。内控穿行测试完成后,需要记录和展示测试的结果。测试报告即记录所测试的控制点在抽取的样本测试过程中,是否通过测试。
3. 内控缺陷
Ø 内控缺陷管理。测试完成后,需要将所发现的缺陷和问题记录下来,形成缺陷报告,作为后续流程和控制活动优化的依据。缺陷报告可以手工新增、也可以由测试报告直接生成。
Ø 控制有效性评价报告。控制有效性报告分采用图形化的展示测评结果,统计内容分为两部分,一部分为总体统计,即统计多少有效的控制活动,统计多少有一般缺陷的控制活动,统计有多少有重大缺陷的控制活动;一部分为按部门统计,根据控制活动所负责的部门进行有效控制活动,一般缺陷控制活动,重大缺陷控制活动数量的统计。
Ø 缺陷整改。完成测试并发现缺陷后,需要对缺陷进行整改。系统提供了缺陷整改单的增、删、改等功能。整改单一方面可以直接手工新增,一方面可以通过缺陷报告下推。缺陷整改单可以进行工作流处理,将整改措施下达给对应人员执行。
4. 风险配置
Ø 不相容权限设置。为了保障企业对用户授权的安全性,用户权限管理人员可对某个角色或某个业务领域设置方案,将该角色所拥有的所有权限和该角色不该拥有的权限列在方案中。
Ø 审批风险配置。审批风险配置从系统设置—多级审核管理和新单多级审核管理中取数,根据用户单据设置进行综合判断审批设置是否存在风险。
Ø 业务控制模式风险配置。在业务控制模式风险配置平台中,可以根据实际业务需要配型相应的风险项目,监控业务过程中可能存在的风险。
5. 风险报告
Ø 审计日志。审计日志是风险报告的重要部分,系统大部分业务单据的修改、删除,大部分基础资料的修改、删除操作及权限的更改都将记录审计日志。
Ø 审批流程报告。审批流程报告从系统设置—多级审核管理和新单多级审核管理中取数,根据用户设置显示各级审核人信息,对于各单据显示详细的多级审核信息。
Ø 审批风险报告。根据设置的审批风险项目,显示系统存在的审批风险。
Ø 不相容权限报告。系统根据所选方案进行检测,当检测到某用户同时存在该拥有权限和不该拥有的权限时,给出相应的报告,管理人员再根据报告进行及时调整,能及时避免出现用户权限过大的情况出现。
Ø 业务控制模式风险报告。业务控制模式报告,从全局反映企业的业务流程内部控制情况。包括供应链、制造和财务三大块,再细分业务类型。根据既有的判断逻辑帮助用户分辨风险、预警风险以及控制风险。
Ø 业务预警报告。业务预警报告是对已发送的预警业务记录形成的可查询报表,以便管理人员对预警服务的跟踪与管理所有字段取值来源于业务预警表。业务预警系统发送一条记录,则自动产生一条预警报告记录,发送方式包括:内部消息、邮件、短信。
Ø 对账。对账报告是为管理层提供一个可以全面展示企业各个环节是否符合会计准则的平台,通过整合企业内部各个环节对账功能,为企业内控管理提供了一个统一的监控平台。对账项目包括现金日记账与现金盘点对账、应手应付与总账对账、现金与总账对账、银行对账单与银行存款日记账对账、银行存款与总账对账、固定资产与总账对账、应收款与总账对账、应付款与总账对账、仓存与总账对账、其他对账。
6. 综合评价
Ø 内控综合评价报告。内控测评后,用户需要一个统一的功能来查询控制、缺陷和流程的测评情况,并可以做出进一步的改进建议。内控综合评价报告正是从这些角度综合反映内控评测结果的报告。
Ø 风险综合评价报告。用户在进行相应的内控管理措施后,会对现行的风险产生改变,也许有些风险得到了相应的控制,风险程度会有所降低,风险综合评价报告展示评测后的风险的等级变化情况。
Ø 内控考核评价报告。内控考核报告是按照部门进行内控评价,给企业部门的绩效考核提供依据。