NC文档质量管理体系-V6企业治理产品手册

NC文档质量管理体系-V6产品手册编写要求与规范V6产品手册（企业治理）构建幸福企业创新改变未来1导读此手册面向实施顾问以及企业关键用户，旨在为实施规划、解决方案制定和落实提供指导。手册围绕产品能够解决的主要业务场景展开，并以此为依托展现产品的关键应用功能，提供客户业务需求如何与产品功能相匹配的思路。本手册包括四大部分，第一部分是对产品及其价值的概要介绍；第二部分是对有关企业治理的主要业务场景、流程、以及对应的产品功能的介绍；第三部分介绍了企业治理启用前的初始准备设置；第四部分列举出关于企业治理产品的功能点的重要操作，此部分未就详细条目展开，详情可查阅产品相关模块的在线帮助说明。此外，为了便于用户对整体内容加深理解，手册中对一些关键的名词进行了解释，并在附录进行了汇总，列示为XXXX、XXXX、与XXXX，以便用户查找对照。为突出重点，本手册定位于方案性说明，仅对产品操作中的重要控制点有所描述。若读者希望深入了解特定板块的产品应用，可结合本手册，查阅如下资料：1.《组织建模手册》-----深入阐述了产品关键概念（如集团、组织、业务委托关系等）以及建模思路，是实施规划、蓝图设计的重要参考资料。2.产品帮助----针对具体功能点的关键字段、按钮操作进行详细解释，并提供关键应用示例。3.《流程平台手册》-----提供关于交易类型、流程设计工具的应用指导。4.《基础数据手册》-----可对手册第三部分（即初始准备设置）中的有关基础数据的理解和应用进行更详细深入地了解。名词解释全面风险管理指企业围绕总体经营目标，通过在企业的各个环节和业务过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。风险控制指控制风险事件发生的动因、环境、条件等，来达到减轻风险事件发生时的损失或降低风险事件发生概率的目的。风险控制的对象一般是可控风险，包括多数运营风险，如质量、安全、环境风险，以及法律风险中的合规性风险。内部控制由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。业务流程/业务循环确保公司完成任务及实现业务目标的一系列活动，这些活动可能按复杂性进行排列，从执行简单活动构建幸福企业创新改变未来2到管理业务运行的关键要素，到执行职能性任务，再到跨职能要素。IT控制IT控制是信息技术控制的简称，是指对以下信息技术资源实施的旨在实现控制目标的过程。COBIT文件——信息技术控制目标中定义的信息技术资源，包括：•数据（Data）——指最广义（例如，表面的和内在的）的对象，包括结构化和非结构化、图表、声音等等。•应用系统（ApplicationSystems）——人工程序和电脑程序的总和。•技术（Technology）——包括硬件、操作系统、数据库管理系统、网络、多媒体等等。•设备（Facilities）——用来存放和支持信息系统的一切资源。•人员（People）——包括用来计划、组织、获取、传送、支持和监控信息系统和服务所需要的人员技能、意识和生产力。不相容职责分离/职责互斥不相容职责分离，也称职责互斥。是指那些由一个人担任，即可能发生错误和弊端又可掩盖其错误和弊端的职务。符合性测试符合性测试是为了确定内部控制的设计和执行是否有效而实施的审计程序。符合性测试的方法包括两种：一是业务程序测试（简称业务测试），即选择若干具体的典型业务，沿着既定的处理程序进行检查，考察有关的控制点是否符合规定并能认真执行，借以判断各项控制措施的遵循情况。二是功能测试，即针对某项控制的某个控制环节，选择若干时间的同类业务进行检查，查明该控制环节的处理程序在被审计期内是否按规定发挥了作用。控制环境指对建立、加强或削弱特定政策和程序效率发生影响的各种因素，包括管理者的经营风格和经营理念、董事会、组织结构与权责分离、管理控制方法及人力资源政策与实务等。一概述1.1产品概述企业治理是按照企业风险管理及内部控制的规范和要求，为用户提供的对企业的信息技术资源实施风险管理和内部控制的工具，使企业能够根据发展战略，结合组织架构、业务范围、地域分布、技术能力等因素，制定信息系统建设整体规划，进行统筹安排，明确系统开发、运行与维护中的主要风险点，采取相应措施，实施有效控制。企业治理是使用NC系统进行全面风险管理、内部控制监控以及进行风险控制测试和评价的平台，它由以下模块组成：全面风险管理、内控手册管理、IT控制监控及报告、风险控制评价及改进等。构建幸福企业创新改变未来3图1.1-1产品功能架构图1.2产品价值1.支持全面风险管理在系统中预置风险管理角色以及相应的权限，直接针对风险管理用户配置风险管理相应的角色即可，减少给风险管理角色配置复杂权限的麻烦；支持系统自动生成各种图形报告，包括自动生成风险管理组织及角色关系图、风险分类和风险点的排序图以及风险分类和风险点的评估热图；支持在风险管理产品中配置风险识别模板、风险评估模板和突发重大风险事件快报模板；支持风险识别和风险评估工作按年定期或年内不定期的多次开展；支持风险识别、风险评估工作的审批流程；对风险的固有风险评估支持记录多人打分的结果，并能够根据规则自动生成公司的最终打分结果；支持风险控制矩阵，企业可以清晰了解重大风险点的控制点情况、控制相关政策以及控制负责人、构建幸福企业创新改变未来4实施时间等具体控制措施情况；支持针对重大风险事件的上报、评估和应对工作的一体化快速展开，及时响应。2.支持内控手册管理支持对内控手册进行结构化处理，形成内控手册的关系图表；支持对分配的内控手册查看权限进行控制，防止不相关人员查看；内控手册版本管理：记录内控手册的修订版本，便于用户查阅内控手册的往来版本的详情。3.支持IT控制监控及报告自动执行职责互斥稽核：根据内部牵制原则，对企业要求的不相容职责的授权自动进行互斥稽核，并可以按照业务流程进行稽核结果查询，提供按照公司或业务流程输出完整的职责互斥报告；系统授权全景报告：便于管理层及时全面了解企业的权限分配管理状况，作为企业权限管理控制的依据，提供基于用户、角色、业务流程多角度的授权全景查询和报告；重点授权的检查及监控：通过对关键角色、关键人员、关键功能、关键业务流程的授权情况的实时检查和报告，实施重点授权监控，保证重点业务操作的安全性；特权管理与监控：通过对特权用户如root级、系统管理员和集团管理员和普通管理员的实时监控，保证管理员层级的用户管理操作的安全性；帐号实时管理与监控：通过对人员离职或调岗的情况以及不明身份账户，与其对应的系统应用权限实时稽核检查，及时处理人员权限，保证企业信息数据的安全；提供系统的密码规则设置情况以及用户密码重组修改情况；授权操作完整细致的日志记录和报告：作为审计线索的一部分内容，将系统中关于授权的所有操作自动保留详细的日志记录，并支持企业权限管理员角度、权限变更角度、系统权限配置角度，权限配置变更角度进行查询和监控。4.支持内部控制测试支持对风险控制测试结果进行评价，并记录缺陷信息以及整改方案。二应用场景2.1内控手册管理2.1.1内控体系建设I.业务描述按照内部控制制度建立一套适合企业内部管理和外部政策要求的内部控制体系；内部控制体系需要确定管控组织范围；构建幸福企业创新改变未来5内部控制体系由多个内控手册构成；内控手册依照业务流程建立；II.业务流程内控体系管理建立内控体系通知集团总公司选择内控组织范围选择业务流程创建内控手册通知手册负责人编制手册图2.1.1-1III.功能清单IV.产品解决方案1)建立内控体系在【内控体系建设】中按照〖设置〗中的流程建立内控体系中的内控手册；『内控手册』是依据选择的组织范围、业务领域、业务流程设置生成的；用户可根据个性需求在〖设置〗第三步中修改『内控手册』的名称和编码；【内控体系建设】支持查询内控手册对应的业务流程和组织范围；领域产品模块功能节点企业治理内控体系管理内控体系建设构建幸福企业创新改变未来6图2.1.1-22)下发编制内控手册通知在【内控体系建设】中使用〖通知〗下发编制手册通知给手册负责人；支持由用户自主选择需要下发通知的内控手册；支持通知消息发送到NC消息平台；图2.1.1-3构建幸福企业创新改变未来72.1.2手册管理I.业务描述支持对内控手册包含九大要素在内的编制工作，并可建立要素间的对应关系以图表方式展现；支持内控手册的审核确认工作；支持内控手册生效及发布；支持分配内控手册给风险内控范围内的相关组织，给下级单位共享使用；支持查看职责范围内的内控手册作为本单位风险内控管理工作的指导；支持对内控手册进行对比分析，为内控手册的审核确认提供分析工具；支持修订已生效发布的内控手册；支持对各种版本内控手册的管理；II.业务流程注意：只支持一套内控体系的建立；业务流程是在基本档案中设置的，具体应用请参见“初始准备－基础设置－业务流程”；内控手册只能通知给手册负责人；〖通知〗不是必要条件，及时不执行通知动作，手册负责人也可进行手册编制工作。构建幸福企业创新改变未来8内控手册管理手册编制手册查看公司风控岗手册负责人集团风控岗内控手册编制发布分配查看手册审核对比分析版本管理内控手册修订图2.1.2-1III.功能清单领域产品模块功能节点企业治理手册管理内控手册编制内控手册审核内控手册发布内控手册查看内控手册分配内控手册对比分析内控手册修订内控手册版本管理IV.产品解决方案1)手册编制在初次对内控手册编制时，使用【内控手册编制】编写完成内控手册的内容，包括业务目标、业务风险、控制点、监督检查方法、业务流程图、相关制度目录、主要控制点相关资料；对于手册图表的形成是通过在【内控手册编制】建立各要素之间的关系获得；构建幸福企业创新改变未来9当启用全面风险管理产品时，『业务风险』从风险识别信息中获得；当未启用全面风险管理产品时，『业务风险』通过手工录入获得；【内控手册编制】工作完毕，可将手册〖提交〗给相关人员审核确认；图2.1.2-2内控手册的审批人员通过【内控手册审核】完成对内控手册的审核确认工作；在审核过程中，可利用【内控手册对比分析】将各个手册进行对比分析，更好的辅助内控手册的审核工作。审核完毕的内控手册通过【内控手册发布】使手册生效；【内控手册发布】的同时可发送NC平台消息或邮件告知给相关人员；构建幸福企业创新改变未来10图2.1.2-3对于已经发布生效的手册，不允许用户再进行修改，需要通过【内控手册修订】来完成手册修改工作；修订后的内控手册也要按照【内控手册审核】－【内控手册发布】来使手册生效；调整后的内控手册在【内控手册修订】中〖保存版本〗，可将手册另存为一个新的版本，并且能够在【内控手册版本管理】查看过往版本；构建幸福企业创新改变未来11图2.1.2-42)手册查看对于已经生效的内控手册，支持集团风险岗工作人员使用【内控手册分配】将内控手册分配给集团内需要进行内部控制的组织；各组织可在【内控手册查看】中查看上级分配下来的内控手册，作为本组织的内部控制制度；注意：只有手册负责人才可编制内控手册，手册负责人即为流程负责人，具体应用请参见“初始准备－基础设置－业务流程”;编制一次的内控手册只能通过手册修订来完成手册的修改工作；内控手册查看受数据权限控制，用户可见的内控手册为分配给其的手册；构建幸福企业创新改变未来122.2IT监控与报告2.2.1授权情况监控I.业务描述当企业的大部分权限内容均体现在软件系统中后，则需要软件系统能够透明简洁的提供权限全景查询并输出权限全景报告，以作为企业权限管理控制的依据；企业的关键岗位或者业务的授权情况体现为系统中的关键角色、关键业务流程及功能点的权限分配情况，用户要求对于这