北京久其软件股份有限公司

企业集团管控信息化整体解决方案——集团全面风险管理解决方案

◎中国报表管理软件的领航者 ◎中国商业智能软件创新动力 ◎中国电子政务软件的主力军 ◎中国集团管控软件先锋力量

久其软件

中国知名管理软件供应商

将十余年行业积累凝结成多领域信息化管理解决方案

竭诚奉献给广大客户朋友

3

集团全面风险管理解决方案

北京久其软件股份有限公司（Beijing Join-

Cheer Software Co.,Ltd.）是中国领先的管理软

件供应商，主要从事报表管理软件、商业智能

软件、电子政务软件和集团管控软件的研发与

推广，长期致力于为政府部门和企业集团提供

咨询及信息化管理解决方案。于2009年8月11

日在深圳证券交易所上市（股票名称：久其软

件；股票代码：002279）。公司注册资本1.76

亿元，现有员工1500余人。

1997年，久其软件创建于北京中关村，现

已形成以北京总部为核心、全国30多家分支机

构为节点的营销、研发、服务和咨询体系，以

及包含公司品牌（久其软件）、技术品牌（久

其DNA）、产品品牌（久其报表、久其BI）、

解决方案品牌（久其GMS、久其GMC、久其云

服务、久其GSI）、服务品牌（久其吾勤服务）

的品牌体系。产品用户遍布各级政府部门、直

属机构和大型企业集团，目前已与40多个国家

政府部门和80多家中央企业集团建立了长期合

作关系，用户数量逾百万。公司现已申请7项

发明专利、121项软件著作权，连续多年被认

定为“国家规划布局内重点软件企业”，荣获

2011年“中国软件行业（报表管理软件）领军

企业奖”、2012年“中国软件行业（集团管控

软件）领军企业奖”、2012中国IT用户满意度

评选“公共财政管理软件服务满意度第一”、

“集团管理软件用户推荐品牌”两项大奖。

久其软件坚持以战略化咨询、平台化技

术、专业化服务打造精细化的产品和解决方

案，并通过丰富的业务积累和实施经验，不断

创新产品与服务平台。久其研究设计开发的决

算报表、合并报表、商业智能与决策分析、全

面预算、集中核算、财务辅助办公管理、资产

管理、战略绩效、风险管控、项目管理、经营

统计和综合业务应用等系统在财政、国资、统

计、民政、交通、通信、金融、建筑、冶金、

军工、能源、化工、旅游和商贸等多个领域发

挥着重要作用。久其的政府管理与服务解决方

案(GMS)、企业集团管控解决方案(GMC)、久其

云服务等优秀解决方案正在为广大用户提供系

统专业的服务支持。

久其软件围绕“情”字稳健构筑企业文

化，全面倡导“尊重人才、重用人才、善待人

才”的人才观、“简单、规范、高效、创新”

的价值观以及“身体健康、心理健康、知识共

享、富足自强”的人生追求，具有成熟的企业

文化体系。久其还通过设立久其人俱乐部、创

新奖励基金等不断强化员工关怀与员工发展，

并将实施员工创业基金扶持、打造创业孵化基

地写进2010-2019的十年发展规划，用实际行

动履行责任。

久其软件，现已成为中国管理软件市场

具有领先地位的民族品牌，未来，久其将坚持

“久其软件，钻石品质”的发展愿景，努力践

行“软件报国”的崇高使命。继续秉承柔性软

件研发理念，依托自主研发的核心技术平台，

凭借对技术发展方向、行业最佳实践、精细化

管理思想和对中国国情的透彻理解，以及对客

户需求的精准把握，成为领先的政府部门与企

业集团管理信息化咨询、建设、服务的国际化

优秀供应商。

企业集团管控信息化整体解决方案集团全面风险管理解决方案

关于久其

4 久其GMC 集团管控 标杆企业首选 5

集团全面风险管理解决方案

前言全面风险管理是企业集团管控的重要内容之

一， 久其全面风险管理解决方案是久其GMC集团管

控解决方案的重要组成部分。

本方案从风险管理的背景、现状及相关政策的

解读入手，在全面理解风险管理的体系、框架基础

上，探讨了风险管理的处理过程及方法，并进而形

成完整的全面风险管理解决方案。

企业集团管控信息化整体解决方案——集团全面风险管理解决方案

全面风险管理分析

背景有经营就有风险，是所有企业家的共识，但现阶段， 此种意识上升到管理和

法律层面，是有其深刻背景的。

2002年美国安然事件是此种变化最直接的导火索，自安然事件之后， 为防

范风险的再度发生，建立风险的防火墙，美国国会出台了萨班斯-奥克斯利法案

（Sarbanes-Oxley ），全称《2002年公众公司会计改革和投资者保护法案》，该

法案对美国《1933年证券法》、《1934年证券交易法》做出大幅修订，在公司治

理、会计职业监管、证券市场监管等方面作出了许多新的规定，特别在企业内控

方面增加了404条款，而权威组织COSO也在2004年出台了最新的全面风险管理

框架。

可以说，从萨班斯法案的诞生之日起，在世界范围就掀起了一场全面风险管

理的热潮， 随着世界经济的日益全球化，以及经济危机的加剧， 这种风险强化

意识更具有了现实需求。

政策解读为顺应这种趋势，国家相关部门分别出台了一系列政策和标准，其中比较典

型的有：

国资委● 2006年出台了《中央企业全面风险管理指引》

● 22011年《关于2012年中央企业开展全面风险管理工作有关事项的通知》

● 22012年《关于2013年中央企业开展全面风险管理工作有关事项的通知》

财政部、审计署、银监会、证监会、保监会联合● 2008年《企业内部控制规范》

● 2010年企业内部控制应用、评估和审计三大配套指引。

● 2012年《企业内部控制规范体系实施中相关问题解释第1号》

● 2012年《企业内部控制规范体系实施中相关问题解释第2号》

国资委、财政部 ● 2012年《关于加快构建中央企业内部控制体系有关事项的通知》

6 久其GMC 集团管控 标杆企业首选 7

集团全面风险管理解决方案

业务需求分析 在企业生产经营过程中，风险遍布于企业经营活动的各个环节，可以说无处

不在。但人们对其身处的企业内部环境早已习以为常，经常忽视风险的存在，难

以察觉到风险向危机的转化，从而导致企业偏离战略目标，甚至给企业造成巨大

的损失。根据市场环境及企业发展情况分析，企业业务层面加强风险驱动因素主

要表现在以下四个方面：

1、随着企业的发展，规模大型化、集团化已经成为趋势，企业的业务规模

及业务品种不断增加，加大企业的风险；

2、随着全球经济的一体化及金融危机的上演，企业面临的市场环境越来越

复杂，贸易竞争加剧，加大企业的风险；

3、随着国家节能减排的要求及产业结构的调整和不断优化，国家及地方政

策法规密集调整和复杂增高，加大企业的风险；

4、随着企业“走出去”战略，粗放的管理模式与当地的法律法规造成冲突

以及对外决策失误等，加大企业的风险。

信息化应对思路结合《中央企业全面风险管理指引》、《企业内部控制基本规范》及相关配套

指引，面向企业风险管理控制的需求，若研发企业风险管理控制信息系统，应该形

成面向企业风险管理全过程服务的方案，支持企业风险识别、风险评估管理和风险

应对管理，支持对重大风险指标的监控与预警，以及内控测评、缺陷整改和风控报

表管理等，形成满足面向企业风险管理控制需求的产品体系和服务体系。

面向企业风险管理过程可以划分为五个阶段：

1、风险建模闭环：从风险的信息收集开始，对风险进行识别、分析、评

估、应对等过程形成风险管理矩阵。

2、风险监控闭环：通过对风险进行日常监控，对发生的风险进行处理，如

果出现紧急情况将启动危机管理，并对风险管理的情况进行报告。

3、内控体系闭环：建立企业内控体系，如：内部手册、内控流程、内控矩

阵等加强管理的有效性，避免管理与执行两层皮的现象，并且可以根据内控规则

进行内控检查，了解内部执行情况，形成检查报告。

4、内控评价闭环：满足五部委内控基本要求，对企业的内部运行情况进行

测试与评价，对产生的缺陷进行整改，最终形成内控评价报告。

5、风险与内控持续改进闭环：通过企业不断优化内控及风险管理过程，提

高企业的效益与效率，防范企业风险的发生，确保战略目标的实现。

全面风险管理体系

企业管理整体框架中的定位

全面风险管理体系是使企业在实现其未来战略目标的过程中将市场的不确定

性和变化所产生的影响控制在可接受范围内的过程和系统方法。

全面风险管理理解

经营战略

组织架构业绩评估 业务流程

信息技术内

部 控制

风

险 管理

8 久其GMC 集团管控 标杆企业首选 9

集团全面风险管理解决方案

企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实

施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，

管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。

企业风险管理包括内部环境、目标制定、事项识别、风险评估、风险反应、控制

活动、信息和沟通、监控等八个相互关联的要素，贯穿在企业的管理过程之中。

企业内部控制是以专业管理制度为基础，以防范风险、有效监管为目的，通

过全方位建立过程控制体系、描述关键控制点和以流程形式直观表达生产经营业

务过程而形成的管理规范。内部控制包括控制环境、风险评估、控制活动、信息

与沟通、监控等五个相互联系的要素。

一个成功的企业风险管理体系是藉由企业政策、发展策略、资源管理、组织

架构、操作程序及营运上各项关键参数所发展而成，而企业建立与提升风险管理

能力，除了能有效降低灾害发生后之严重性之外，更能提升企业相关人员风险管

控与灾后复原的技能与专业，落实管理运作之必要基础。

企业风险类型

全面风险管理体系是使企业在实现其未来战略目标的过程中将市场的不确定

性和变化所产生的影响控制在可接受范围内的过程和系统方法。

战略风险：影响整个企业的发展方向、企

业文化、信息和生存能力或企业效益的风

险；

财务风险：企业财务结构不合理、融资不

当使企业可能丧失偿债能力而导致投资者

预期收益下降的风险；

市场风险：利率、汇率、股票指数、商品

价格等基本市场因素的不利变动的风险；

运营风险：在企业的生产经营过程中，

供、产、销各个环节不确定性因素的影响

所导致企业资金运动的迟滞，产生企业价值的变动等风险；

法律风险：违反国家法律、行政法规、部门规章和公司对外承诺；招致法律诉讼

等风险。

战略风险

企业风险类型

法律风险 财务风险

市场风险运营风险

风险管理范围

企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风

险等。

企业风险“云”

战略风险 财务风险 市场风险

宏观经济 成本费用风险

关联交易风险

信用风险

市场策划风险

改制风险 资本运作风险 负债证券风险产业结构 税务风险

资金管理风险

汇利率风险

客户风险

政策风险 应收应付风险 市场需求风险管理风险 存货风险 价格风险投资风险 现金流风险 竞争风险

集团管控风险 人力资源风险 资源保障风险 品牌管理风险 研发风险

运营风险

法律风险

HSE风险 信息风险 社会风险 采购风险 执行风险

运行控制风险

知识产权风险

信息安全风险 供应商风险

合同管理风险

道德风险产品风险

工程建设风险

合规风险

系统供应商风险

服务提供商风险

招投标风险

法律纠纷风险

舆论风险技术风险

稳定风险核心团队风险 项目管理风险

流程管理风险

1、战略风险：影响整个企业的发展方向、企业文化、信息和生存能力或企

业效益的风险；

2、财务风险：企业财务结构不合理、融资不当使企业可能丧失偿债能力而

导致投资者预期收益下降的风险；

3、市场风险：利率、汇率、股票指数、商品价格等基本市场因素的不利变

动的风险；

4、运营风险：在企业的生产经营过程中，供、产、销各个环节不确定性因

素的影响所导致企业资金运动的迟滞，产生企业价值的变动等风险；

5、法律风险：违反国家法律、行政法规、部门规章和公司对外承诺；招致

法律诉讼等风险。

10 久其GMC 集团管控 标杆企业首选 11

集团全面风险管理解决方案

全面风险管理框架根据企业风险管理定义，反映企业风险管理整个框架是：

a) 一个过程，它持续地流动于企业主体之内；

b) 由组织中各个层级的人员实施；

c) 应用于战略制订；

d) 贯穿于企业，在各个层级和单元应用，还包括采取主体层级的风险组合观；

e) 旨在识别一旦发生将会影响主体的潜在事项，并把风险控制在风险容量以内；

f) 能够向一个主体的管理当局和董事会提供合理保证；

g) 力求实现一个或多个不同类型但相互交叉的目标。

全面风险管理抓住了对于企业和其他组织如何管理风险至关重要的关键因

素，为不同组织形式、行业和部门的应用提供了基础。它直接关注特定主体既定

目标的实现，并为界定企业风险管理的有效性提供了依据。

1、目标的实现

在主体既定的使命或愿景（vision） 范围内，管理当局制订战略目标、选择

战略，并在企业内自上而下设定相应的目标。企业风险管理框架力求实现主体的

以下四种类型的目标：

战略目标——高层次目标，与使命相关联并支撑其使命；

经营目标——有效和高效率地利用其资源；

报告目标——报告的可靠性；

合规目标——符合适用的法律和法规。

对主体目标的这种分类可以使我们关注企业风险管理的不同侧面。这些各不

相同但却相互交叉的类别——一个特定的目标可以归入多个类别，反映了主体的

不同需要，而且可能会成为不同管理人员的直接责任，这个分类还有助于区分从

每一类目标中能够期望的是什么；一些主体采用的另一类目标——保护资源也包

含在上述类别之内。

因为有关报告的可靠性和符合法律、法规的目标在主体的控制范围之内，所

以可以期望企业风险管理为实现这些目标提供合理保证。但是，战略目标和经营

目标的实现取决于并不一定总在主体控制范围之内的外部事项，对于这些目标而

言，企业风险管理能够合理地保证管理当局和起监督作用的董事会及时地了解主

体朝着实现目标前进的程度。

2、企业风险管理的构成要素

企业风险管理包括八个相互关联的构成要素。它们来源于管理当局经营企业

的方式，并与管理过程整合在一起。这些构成要素是：

内部环境——内部环境包含组织的基调，它为主体内的人员如何认识和对待

风险设定了基础，包括风险管理理念和风险容量、诚信和道德价值观，以及他们

所处的经营环境。

目标设定——必须先有目标，管理当局才能识别影响目标实现的潜在事项。

企业风险管理确保管理当局采取适当的程序去设定目标，确保所选定的目标支持

和切合该主体的使命，并且与它的风险容量相符。

事项识别——必须识别影响主体目标实现的内部和外部事项，区分风险和机

会。机会被反馈到管理当局的战略或目标制订过程中。

风险评估——通过考虑风险的可能性和影响来对其加以分析，并以此作为决

定如何进行管理的依据。风险评估应立足于固有风险和剩余风险。

风险应对——管理当局选择风险应对——回避、承受、降低或者分担风

险——采取一系列行动以便把风险控制在主体的风险容限和风险容量以内。

控制活动——制订和执行政策与程序以帮助确保风险应对得以有效实施。

信息与沟通——相关的信息以确保员工履行其职责的方式和时机予以识别、

获取和沟通。有效沟通的含义比较广泛，包括信息在主体中的向下、平行和向上

流动。

全面监控——对企业风险管理进行全面监控，必要时加以修正。监控可以通

过持续的管理活动、个别评价或者两者结合来完成。

企业风险管理并不是一个严格的顺次过程，一个构成要素并不是仅仅影响接

下来的那个构成要素。它是一个多方向的、反复的过程，在这个过程中几乎每一

个构成要素都能够、也的确会影响其他构成要素。

12 久其GMC 集团管控 标杆企业首选 13

集团全面风险管理解决方案

3、目标与构成要素之间的关系

目标是指一个主体力图实现什么，企业风险管理的构成要素则意味着需要什

么来实现它们，二者之间有着直接的关系。这种关系可以通过一个三维矩阵以立

方体的形式表示出来。

四 种 类 型 的 目 标 —— 战

略、经营、报告和合规——用

垂直方向的栏表示，八个构成

要素用水平方向的行表示，而

一个主体内的各个单元则用第

三个维度表示。这种表示方式

使我们既能够从整体上关注一

个主体的企业风险管理，也可

以从目标类别、构成要素或主

体单元的角度，乃至其中的任

何一个。

八大构成要素

四大类目标

企业所有层面

企业主体

部

门

业务单元

分子公司

战略

目标

经营

目标

报告

目标

合规

目标

内 部 环 境

目 标 制 定

事 项 识 别

风 险 评 估

风 险 应 对

控 制 活 动

信 息 沟 通

全 面 监 控

全面风险管理评估

风险管理成熟度模型

利用全面风险管理成熟度模型，达到企业全面风险管理目标的实现：

确保将风险控制在与总体目标相适应并可承受的范围内；

确保内外部，尤其是企业与股东之间实现真实、可靠的信息沟通，包括编制

和提供真实、可靠的财务报告；

确保遵守有关法律法规；

确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行，保障经

营管理的有效性，提高经营活动的效率和效果，降低实现经营目标的不确定性；

确保企业建立针对各项重大风险发生后的危机处理计划，保护企业不因灾害

性风险或人为失误而遭受重大损失。

LEVEL 1 初始级：处于这个最低级的内控组织，基本上没有健全的内控管理制度

和全面风险防控意识和措施；

LEVEL2 执行级：有一些基础的风险内控管理行为，积累有相似的企业风险管理

经验；

LEVEL3 定义级：具有成型的企业内控管理制度，保证企业全面风险管理的有效

性；

LEVEL 4 管理级：对企业风险进行分类辨识评估，通过科学的方法进行防控活

动；

LEVEL 5 优化级：以全面风险管理框架为指导，连续改进企业全面风险管理和内

控管理。

14 久其GMC 集团管控 标杆企业首选 15

集团全面风险管理解决方案

关键风险管理指标体系

关键风险指标（KRI）是指代表企业某一风险领域变化情况并可定期监控的统计

指标。关键风险指标可用于监测可能造成损失事件的各项风险及控制措施，并作

为反映风险变化情况的早期预警指标(决策层可据此迅速采取措施)。具体指标例

如：每亿元资产损失率、每万人某事件发生率、百万元以上某事件发生比率、超

过一定期限尚未确认的交易数量、失败交易占总交易数量的比例、员工流动率、

客户投诉次数、错误和遗漏的频率以及严重程度等。

关键风险指标的选择原则：

√ 相关性

√ 可测量性

√ 风险敏感性

√ 实用性

关键风险指标确定的步骤：

第一步，了解业务和流程；

第二步，确定并理解主要风险领域；

第三步，定义风险指标并按其重要程度进行排序，确定主要的风险指标。

关键风险指标管理步骤：

一项风险事件发生可能有多种成因，但关键成因往往只有几种。关键风险指标管

理是对引起风险事件发生的关键成因指标进行管理的方法。具体操作步骤如下：

1、分析风险成因，从中找出关键成因。

2、将关键成因量化，确定其度量，分析确定导致风险事件发生(或极有可能

发生)时该成因的具体数值。

3、以该具体数值为基础，以发出风险预警信息为目的，加上或减去一定数

值后形成新的数值，该数值即为关键风险指标。

4、建立风险预警系统，即当关键成因数值达到关键风险指标时，发出风险

预警信息。

5、制定出现风险预警信息时应采取的风险控制措施。

6、跟踪监测关键成因数值的变化，一旦出现预警，即实施风险控制措施。

风险管理的处理过程与方法风险管理的处理过程包括风险识

别、风险分析与评价、风险处理和风险

监控几个阶段，是一个动态的过程。如

图所示：

1、风险的识别

风险识别是风险管理的第一步，

识别企业经营管理中可能遇到的（面临

的、潜在的）所有的风险源和风险因

素。对风险的识别除了需要根据经验进

行判断，还必须依靠对客观统计资料和

风险记录加以判断、归类整理，并对风险

的性质进行鉴定，从而发现各种风险的特征及规律。常用的风险识别方法有：专

家调查法（头脑风暴法、德尔菲发、访谈法、问卷调查法）、情景分析法、故障

树分析法。

2、风险分析与评价

风险分析与评价是在风险识别的基础上，对识别的风险采用定性分析和定量

分析相结合的方法，通过对所收集的大量的详细损失资料加以分析，运用概率论

和数理统计，估计和预测风险发生的概率、风险范围、损失程度、变化幅度、分

布情况、持续时间和频度，从而找出影响安全的主要风险源和关键风险因素，然

后将各种数据转换成可为决策者提供决策支持的信息，进而对各种风险事件的后

果进行评价，由此衡量风险的严重程度。风险分析和评价的方法主要有专家打分

法、蒙特卡罗模拟法、概率分布的叠加模型（CIMM模拟）、随机网络法、风险

影响图法、风险当量法。

3、风险处理

风险处理就是对风险提出处置意见和办法，通过对风险的识别、风险的分析

和评价，把风险发生的概率、损失程度和其他因素进行综合考虑，确定风险的等

级，从而确定处理的对策。风险处理的方法分为风险的控制对策和财务的控制对

策两大类，前者的目的是降低损失频率和损失程度，重点在于改变引起风险事故

和扩大损失的各种条件；后者是事先做好吸纳风险成本的财务安排。

16 久其GMC 集团管控 标杆企业首选 17

集团全面风险管理解决方案

4、风险监控

风险监控是对风险识别、风险分析和评价、风险处理全过程的监督与控制，

保证风险管理能达到预期的目标。比较已实施的风险管理方法的结果与预期目

标的契合程度，对风险管理进一步优化，目的是使风险管理的策略和措施更加有

效，更切合企业管理及生产经营的实际情况。风险监控应是一个连续的过程，它

应用管理指标体系，根据整个（风险）管理过程规定的衡量标准，全面跟踪并评

价风险处理活动的执行情况。以便于找出风险处理活动中的不正常之处，及时发

现即将成为风险的实际问题，管理部门就有充裕的时间采取纠正措施。风险监控

的方法有：审核检查法、监视单、风险报告等。

风险管理的系统视角

风险管理系统是一种

集团战略目标落地重要手段

之一，它与企业正在使用的

其他管理系统有不可分割的

关系，就此风险管理中涉及

的相关久其集团管控的业务

模块论述如下：

战略目标

战略经营方向决定了公司一定时期内的发展方向。集团公司战略管理的特点

与环境的复杂性，要求对公司战略不断加以审核和评估，以便及时做出局部和根

本性的调整。因此，高度复杂的环境增加了公司经营的风险。一般来说，正确的

公司战略加上有效的风险控制，可以使公司在复杂多变的环境中稳健地发展，并

取得预期的业绩目标。为了贯彻企业战略风险目标，久其全面风险系统能保证将

企业最高层的战略目标在具体操作层中落实。

全面预算

企业里的战略风险是由董事会制定并由分解下达到下级部门。而全面预算是

风险管理要素中一个核心功能，同时又是企业战略执行的有力工具，在执行监控

中应将监控过程覆盖企业业务循环可使企业精细化业务运营。

执行监控

集团管控的风险管理是一个全员内控的理念。风险管理已经不仅仅局限于财

务部、法律部、审计部等部门，而是将其渗透到公司的各个层面，无论是董事会

层，到经理层，再到员工层，还是从集团战略层面到执行层面，再到各个职能业

务层，全面的风险管理意识已经渗透到了企业的每个角落。从风险管理层面，企

业必须建立授权批准体系，授权审批包括：授权批准的范围、层次、权限、流程

等内容。

财务报告

萨班斯法案404条款要求公众公司管理当局对企业内部控制的有效性进行披

露报告，注册会计师必须对该份报告进行审计。这就要求企业提供的财务报告编

制是可靠的，防止会计信息失真，财务报告风险控制是为了防范报告编制的过程

中可能的风险而设立的一整套控制方法和程序，包括企业设计的用来保存的会计

记录是否完整、业务收支的合理授权以及保护资产的安全完整在内的多种控制政

策和程序。

内部审计

内部审计控制是内部控制的一种特殊形式，它是一个企业内部经济活动和管

理制度是否合规、合理和有效的独立评价机构，在某种意义上讲是对风险内控的

再控制。

绩效考核

绩效考核在企业风险中不但要考核财务指标也需要考核业务指标，企业风险

管理的绩效考核内容应该包括：KPI、BSC、EVA等指标。

绩效考核绩效考核内部审计风险报告

风险识别系统

也去系统控制

日常工作执行控制

ETL数据抽取 数据仓库 数据集市 风险建模 预警阀值设定

财务核算系统

销售与收款业务循环控制

采购与收款业务循环控制

HR系统 CRM系统

资产控制

资产管理系统

筹资控制

资金管理系统

投资控制

财务报告

资金控制

内部审计 风险报告

全面预算管理

战略目标管理

风险建模

业务系统

内部流程执行控制

风险业务模板设计、调整及配置

集团全面风险管理系统与其他管理系统业务关系图

18 久其GMC 集团管控 标杆企业首选 19

集团全面风险管理解决方案

方案理念久其全面风险管控解决方案的核心理念是“驾驭企业风险，提升商业价

值”，解决方案是以2008年由财政部等五部委联合发布的《企业内部控制基本规

范》及2010年4月发布的配套指引为依据，以IT治理为基础，以企业集团的战略

目标为导向，架起企业战略与IT的桥梁，对企业集团风险进行全面管控。

运用科学的风险管控方法，以风险管理为导向，兼顾效益、效率和风险平

衡，根据风险发生的规律和重大程度建立一套风险识别、评估、控制、改进、评

价的预防性和发现性自动化控制机制。结合信息化手段实现了企业集团从事前防

范、事前控制、事后评估等环节进行风险集中管控，构建从集团总部到成员企业

的一体化的风险、内控、审计体系，帮助企业集团全面掌握风险分布及状态，有

效防范与控制风险，为企业集团实现战略目标保驾护航。

随着企业的发展和管理的需要，我们提出了结构化的管理思想，通过基于流

程的建模工具，支持以风险管理为导向、以流程为基础、以关键控制活动为重点

的风险梳理模式，建立业务流程、风险、关键控制措施之间的关联关系，形成直

观、系统化的风险宇宙视图。

方案体系久其公司早在2008已经确立企业产品的四大管控体系（战略管控、风险管

控、财务管控、运营管控），其中风险管控是针对大型企业集团风险管控信息化

解决方案。

久其风险管控体系在一整套风险管控体系下，以IT治理为基础，整合现有

的IT建设成果，切合企业发展阶段及管控重点，为企业集团提供高价值的解决方

案，包括财务风险、税务风险、内部控制、非现场审计、监察管理、数据质量等

各类解决方案，帮助企业集团构建纵向管控、横向集成的风险管控体系。

久其GMC全面风险管理解决方案

整体框架企业集团的管理范围不仅是集团管理总部，还需要关注对二级集团（公

司）、分公司、业务板块、分部或业务单元等下级企业的管理和控制活动，体现

为全方位、多层级的管理体系。

久其风险管控体系基于久其公司新一代技术架构DNA平台研制开发，DNA平

台具有优秀的技术架构和满足企业集团1-N层级的应用架构，适应企业集团业务

的扩展、灵活变化；

久其风险管控体系以企业集团战略目标为导向，构建了风险管理、内控管

理、合规管理、监察管理、审计管理5大核心系统，以政策法规库、风险模型

20 久其GMC 集团管控 标杆企业首选 21

集团全面风险管理解决方案

库、数据源库、文档案例库为基础支撑，将先进科学的风险管控方法贯穿于风险

管理的各个环节，覆盖集团总部及成员企业的全面风险管理业务框架，并在通用

的风险管控业务框架之上，提供各类专业细分的风险治理解决方案。

集团总部通过组织架构、政策法规、业务流程等方面实现集中管控，并

且通过久其国内首创的数据整合工具与外部系统，如：财务系统、核心业务系

统、报表系统、ERP系统等进行集成，为风险管控提供数据支撑和业务、流程

层面的管理。

风险管理方案系统建立一整套风险评估模型，定期对系统风险指标进行评估，对产生风险

的指标自动预警，对风险产生的原因从粗到细对数据层层分析，找出产生风险的

关键成因 ，并对指标评估存在的风险和日常工作存在的风险事项发起及下达，根

据风险影响大小及发生概率确定应对策略并通过各环节的流程控制和持续对风险

进行监控，确保风险事项得到消除或规避。最后形成企业风险报告。

风险识别

根据企业实际情况，设置多种风险评估指标，设置各风险指标的预警阀值，

通过对模型运算确定是否存在疑点，并且系统也提供调查问卷方式进行风险识

别，最后统一形成风险评情单。

风险评估

根据识别的风险点进行风险评估，评估后可以绘制风险坐标图，对多项风险

进行直观的比较，从风险发生的可能性和影响程序对多项风险进行的审视，从而

确定各风险管理的优先顺序和策略。

风险应对

根据风险的影响程度和发生的可能性，对存在各区域的风险采取不同的管理

策略。包括：风险接受、风险转移、风险避免、小心管理。

风险报告

风险报告涉及风险的识别、评估、应对、监控全过程，并根据风险的重大程

度、风险预警及风险的处理情况，定期生成企业风险评估报告和管理建议书。

风险报告是通过模板的方式处理自定义设置，支持对各种评估报告的编辑设

计，报告中可插入指标，公式，基础表，图表，单据等可扩展报表元素，并分析

报告可动态的插入分析结果中的实际数值。支持将评估报告导出成Word文件

风险监控

在系统中设置各种监控规则，当监测到异常情况时自动预警提示，提高风险

预控能力。通过从风险征兆、风险的评估、风险处理的全过程的监控，及时制定

应对措施，有效掌控风险，降低风险控制成本，及时落实整改，确保风险事项得

到消除或规避。

22 久其GMC 集团管控 标杆企业首选 23

集团全面风险管理解决方案

内控管理方案为了引导和推动企业建立健全内部控制，提高企业内部控制与经营管理水

平，促进企业健康可持续发展，维护社会主义市场经济秩序和社会公众利益，财

政部等五部委2008年5月发布的《企业内部控制基本规范》和2010年4月发布的

《企业内部控制配套指引》，明确要求企业通过建设内控体系全面提升企业经营

管理水平。

根据企业管理和内控手册进行内控流程的构建，确保内控在经营过程的落

实；通过内控测试、内控评价等功能，及时发现内控体系的缺陷；通过缺陷管理

功能，推动缺陷的整改，以帮助企业不断优化业务流程，提高内控能力。

内控体系建立

系统提供法律法规库，包含规章制度、财政部颁布的内控基本准则框架指引

等内容，指导企业结合内外部环境，建立适合自身特点的内部控制管理体系。

系统内置风险与内控结合的一体化业务管控模型，能有效整合各种分散内部

控制信息；能够根据同一套业务流程，生成满足各种不同管理主题需要的报告。

内控测试

是对内部控制的完整性、有效性和实施情况进行的测试。找出内控弱点，确

定内部控制的可靠性。主要包括控制测试、穿行测试、抽样测试、压力测试，帮

助企业通过对重大风险、重大事件和重大决策、重要管理及其业务流程的测试，

确定业务流程是否达到了风险管控的要求。

内控评价

内控评价包括定义评价方案、实施评价、认定缺陷和出具内部控制自我评

价报告等功能，能帮助企业对内控体系的设计有效性和执行的有效性进行自我

评价。

缺陷管理

支持自定义内部控制缺陷认定标准。提供针对内部控制缺陷（包括设计缺陷

和运行缺陷）的统计分析功能，分析内容包括缺陷的性质和产生的原因。能够跟

踪内部控制缺陷整改方案的落实情况，推动内控方案的执行。

内控报告

分析报告通过预设多种报告结构并可实现客户的灵活配置，自动生成各类管

理报告，并与产品其它模块数据关联，自动获取报告结构中所需的核心内容，报

告中可插入指标，公式，基础表，图表，单据等可扩展报表元素。支持将评估报

告导出成Word文件。

合规管理方案合规性管理主要用于帮助企业满足各种法律、法规、标准、规范的需求，从

合规性准则要求出发，对企业合规工作进行管理。主要包括：合规体系建设、准

备要求管理、合规矩阵管理、合规检查、违规处理及整改及合规报告。

24 久其GMC 集团管控 标杆企业首选 25

集团全面风险管理解决方案

合规体系建设

体系建设提供了信息系统等级保护安全体系规划与管理体系建设的方法论和

行业模板库，包括体系规划，体系设计，体系实施，体系保障等主要功能，帮助

客户快速建立安全管理体系，通过内部审计、管理评审等管理过程，保障体系的

有效运行。

准则要求管理

准则要求管理包括对准则进行分解、录入或导入的创建过程，以及对准则合

规性检查表的录入或导入的创建过程。

标准全局管理和版本控制：从全局管理准则的整个生命周期，包括准则版本

控制和对过期失效准则的管理和控制；

准则创建：创建和维护准则（国内国际标准，法律法规，行业标准等），将

准则拆分为可执行的条目；

安全检查表导入：针对不同准则将安全检查表导入到系统中，为后续合规性

检查和差距分析工作做数据准备；

合规矩阵管理

根据准则要求，建立合规控制点，并建立发布流程的流转，明确每个控制点

的合规责任人，确认跟踪反馈周期等。

建立合规矩阵：将准则条目与相关人员进行关联，如负责人、执行人、被监

察人、审核人员等。明确相关人员的职责和权限；

通知发布：将合规矩阵发布给相关人员，方便相关人员按照计划的时间表执

行和检查；

接受与反馈：相关人员在得到准则发布通知后进行确认回复；

合规性检查

使用标准合规性检查表对标准的控制点进行检查，也可以根据执行人员的执

行情况检查表对人员进行检查，最终形成差距分析报告。

合规性检查：主要检查针对人员对规定执行的符合程度；

差距分析：主要检查组织对标准的符合程度；

违规处理与整改

系统提供违规举报管理功能，提供严格非权限与安全机制，确保举报信息的

保密性。同时针对所获得的举报信息，进行追踪与落实。包括违规举报处理、违

规质询问责，整改事项督查管理模块。

合规报告

对合规检查、违规处理与整改情况形成报告，包括外部报告、内部报告、定

期临时报告，并对现在资料进行备档。

监察管理方案监察管理是维护企业利益的重要手段，是有效落实企业内部控制制度的重要

保证。

监察管理系统包括离线监察系统和服务器版监察系统。离线监察系统是使用

监察人员将监察管理系统部署在本机上在相关企业开展监察作业及监察评价，工

作完毕后将数据上传到监察管理系统服务器上，满足企业网络条件不理想或其它

特殊情况的需求；服务器版监察系统，是将系统部署在服务器上，各监察人员在

各相关企业通过访问服务器版系统展开监察作业及监察评价等工作。

监察管理主要包括：监察管理、监察自查、监察复查、汇总报告、统计分析

模块。

26 久其GMC 集团管控 标杆企业首选 27

集团全面风险管理解决方案

监察管理

主要包括监察项目管理及监察计划管理，其中：

监察项目管理：主要新建监察项目，确定监察时间及监察类型。

监察计划管理：拟定监察计划，确定监察范围；并支持下达与上报备案。

监察自查

各单位在本级自查自纠工作完成后填报相关报表，在上一级单位复查开始前

同自查报告一并上报，支持多种填报报表类型的定义。

监察复查

提供复查范围确认功能，可异地对自查情况查看，对于需复查的问题，直

接标记，在复查问题报表中直接提取即可，减少重复录入工作量，同时保留监

察痕迹。

支持各种文档模板设置、支持工作流审批流转。

汇总报告

对自查情况和复查情况进行汇总；提供分析报告模板，支持报告测算与自动

生成，保证报告准确性、减少报告编写工作量。

统计分析

提供对单位、地域、问题类型、监察内容、时期等全维度的统计分析，支持

图表、分析表输出，为领导管理决策提供依据。

审计管理方案久其审计管理方案以风险为导向，通过风险识别、风险分析、风险评估过

程，全面把控企业风险，确定审计的重点；以数据为基础，通过数据抽取、转

换、加载等过程，转换为统一口径的数据为审计提供数据依据；以在线审计与

现场审计结合为手段，通过在线审计发现问题，并依据审计程序进行分析，对

于不明确或者进一步需询问、资料查阅的进行现场审计；以监控为依据，通过

日常监督、内控评测等手段发现问题，改进控制措施，完善风险内控体系，促

进经营改善。

审计管理主要包括：审计支撑、审计管理、非现场审计作业及在线监控几

个模块。

审计支撑

主要包括数据集市、审计模型库、政策法规库和审计档案库，通过数据抽

取、模型预置于建模、政策法规发布与学习、审计档案库管理四个层面为审计

作业和管理提供业务及数据、知识支撑。

审计管理

对主要管理审计基础资料、审计师事务性工作及对审计项目的管理，主

要包括：审计人员、审计机构、审计项目等基础资料建立；审计人员、审计机

构、审计项目等基础资料建立；对审计项目的跟踪和监控。

非现场审计作业

非现场审计不仅是内部审计适应信息化发展，符合内部审计职能转型的重

要手段，也是内部审计职能部门系统化、规范化程序的体现。结合审计项目管

理流程，非现场审计工作流程总体可分为五个步骤：审计计划、审计准备、审

计实施、现场审计确认、审计报告。

28 久其GMC 集团管控 标杆企业首选 29

集团全面风险管理解决方案

在线监控

抽取内置的预算审计模型、业务审计模型、财务审计模型等形成在线监测

任务，与前台业务的联动通过在线规则设置、在线监控扫描、疑点预警、疑点

落实等对企业中重大疑点监控、大额收支、其它需要在线监控的经济事项实现

在线监控。

技术方案技术架构

本系统是基于久其公司新一代技术平台研制与开发，久其研发与应用平台

（Development & Application），简称DNA，采用B/S架构， DNA平台的设计是

以客户为中心出发，具有优秀的技术架构，能够适应企业业务的扩展、变化，

甚至能够根据企业要求全新快速搭建新的应用软件；其次，在技术上，具有不

依赖平台中间件、数据库无关、基础功能可定制和重用功能。提供了丰富的二

次开发能力，这样可向用户提供行业化，量身定做的综合信息管理应用软件，

而且平台软件为用户提供拓展空间及增值功能。满足企业集团多组织架构及后

续扩展的特点，并支持最终结果在不同的浏览器、移动终端展现。

关键技术

1、基于流程的风控体系建模

提供流程可视化建模工具，实现风险点、控制点等风险管理要素嵌入流程

中，建立以风险管理为导向、以流程为基础、以关键控制活动为重点的风险

梳理模式。形成了流程的建立、执行、监控、分析、优化等环节闭环流程管

理体系。

2、风险评估量化模型

30 久其GMC 集团管控 标杆企业首选 31

集团全面风险管理解决方案

系统提供一体化的风险评估模型，根据历史数据或者模拟数据提供风险建

模、敏感性分析、蒙特卡洛模拟、Border排序法、风险矩阵法等风险工具，实现

风险评估方法由定性评估向定量评估转变，提升风险管理的科学性和客观性。

3、风险指标监测与预警

通过构建风险指标体系，与业务系统数据集成，实现对风险指标的模型运

算、监控与预警，通过推送引擎进行消息的分拣，以短信、邮件、系统方式推送

到相关责任人，并提供流程化的审核、跟踪机制，实现对风险事件的全过程进行

跟踪，对危机事项自动触发危机处理预案，降低风险带来的损失。

4、内控自动测评

通过对风险控制点的分析与分解，结合测评标准，建立测评规则与程序库，

根据测试计划执行自动测评，控制点自动调用接口程序实现测试样本自动提取并

给出初步评价结论，生成测评底稿与评价报告。

5、多维风险分析报表

通过跨平台的OLAP引擎支持多角度、动态灵活的风险分析，并最终提供热

力图、雷达图、仪表盘等风控管理工作常用图表，使风控管理层可以一目了然了

解到风险识别、评估、应对的结果。

方案特色1、具备先进的全面风险管控理念，实现结构化的全面风险管理：提供流程

建模工具，将企业业务地图、业务领域、流程图定义进系统。实现组织、职责、

制度、流程与风险控制矩阵关联；通过与业务系统集成，实现风险管理与业务系

统对接，推动了风险管理深入的拓展，解决管理与执行两张皮的问题。完全转变

了传统的风险管理模式，达到风险管理标准化、自动化、可视化目的。

2、拥有自主知识产权的企业业务构建平台：基于具有久其自主知识产权的

研发与业务生成平台（简称DNA），是久其公司自主研发的基于Java技术路线的

新一代产品开发平台，该平台可代替商业中间件作为应用服务器，同时提供一个

完整的企业业务建模平台成为构建各种业务系统、解决方案的基础性研发平台。

32 久其GMC 集团管控 标杆企业首选 33

集团全面风险管理解决方案

平台具有高度开放性、可移植性、兼容性和可扩展性，部署方便、易于升级和运

维管理。同时平台提供完备的数据和应用集成功能，便于全面风险管控业务对于

企业已有业务系统及IT架构的深度整合，全面满足“1-N”层企业风险管控的业

务需求。

3、国内首创的数据整合工具：通过强大的ETL工具从财务、业务等系统采集

企业经营管理数据并对数据进行转换、清洗使其形成符合规范的数据，为风险管

控提供数据支持。同时具备强大的数据溯源能力，当风险指标出现异常时，通过

数据钻取功能从粗到细层层钻取，甚至可以钻取到具体的凭证或业务单据，找出

产生疑点的关键成因，大大提高数据分析的效率，实现数据轨迹的跟踪。

4、全面支持移动端业务展现及应用：系统在面向移动设备智能操作系统方

面，提供建模平台满足可定制的预警推送、数据采集、流程审批、信息查询反馈

等功能，根据平台的建模定义，可直接在移动平台（谷歌Android、苹果iOS）产

生动态应用，满足不确定的风险管控业务灵活构建。无论是智能手机还是平板设

备，利用移动互联网的普及，不受时空限制，随时随地接入风险管控平台。

方案价值1、扩大了风险管控覆盖面，减少了违规漏洞，实现范围“全面化”：从数

据库中直接提取经营管理数据和业务操作记录，管控的范围可以扩大到下级集

团、企业、分支机构、代表处。也可以对所有业务进行监控分析，真正实现全方

位、多角度的管控。

2、业务处理流程清晰规范，实现风险管控流程“标准化”：在系统中预置一

套操作工作流程并且采集分散到各个业务系统的工作流程信息，融合业务流程。从

风险、内控、合规、审计等各方位对整个风险管控流程等进行规范化管理。

3、对经济事项的在线监控，实现风险管控“动态化”：通过计算机技术、

数据库技术、网络通信技术以及风险识别模型分析，使风险管理人员与业务人员

在同一计算机网络数据库中同步开展工作，业务过程的违规行业就可能被及时发

现。实现风险管控职能前移，起到事前预警、事中控制的作用；

4、通过数据提取、模型计算与分析，实现风险管控资源“节约化”：运行

计算机联网通过数据提取、模型计算和疑点分析，大大的减少手工调查、分析、

取证工作，甚至完成手工工作不可想象的事项。大大的节约人力、物力、财力，

提高风险管控效率与质量。节约风险管控资源，以便风险管理人员更多的精力放

典型应用案例

××集团风险预警系统

建设目标为适应经济形势发展的需要，帮助企业及时发现风险，通过采取恰当的措

施，减少风险发生的可能性，培育企业的财务风险意识，提高企业的抗风险能

力。并以财务指标为依据，建立长效的财务风险预警和应对机制，实现对重大财

务风险的预警管理，进一步通过财务风险预警加强财务管控工作，为集团推进全

面风险管控创造有利的条件。

财务风险预警指标模型

经营增长价值驱动因素 4个

关键风险领域 8个

生存类指标 14个

发展类核心指标 11个

业务增长风险

资产效率风险

债务风险

盈利能力风险

规模扩张风险

人员效率风险

现金流风险

投资风险

运营效率 杠杆效应 经营成果

财务风险预警指标模型

资产负债率

净资产收益率

现金总资产比

金融类投资收益率

企业减亏率

企业盈亏比

技术投入比率

总资产周转率

可贷款率

速动比率

经营性营业利润占总利润的比重

三年主营业务平均增长率

三年固定资产平均增长率

三年总资产平均增长率

人均营业利润增长率

三年市值平均增长率

或三年净资产平均增长

率

存货周转率

资产类投资收益率

担保净资产比

主营业务利润率

总资产报酬率

应收账款周转率

投资现金收益率

已获利息倍数

盈余现金保障倍数

在风险方法和手段的探索中。

5、信息资源全面共享，实现风险管控“低门槛化”：通过数据提取并以强

大的识别模型库为向导，进行风险分析、评估、控制、处理、监控等实现“一站

式”操作，有助于风险管理人员快速准确的发现疑点，使风险管控工作简单化、

智能化。

34 久其GMC 集团管控 标杆企业首选 35

集团全面风险管理解决方案

建设目标根据××集团特点和业务需求，税务风险管理系统建立起符合企业实际情况

的指标分析模型和风险处理业务流程；围绕遵纪守法、诚信纳税的税务风险管理

理念，针对不同税种，通过风险识别、监控、量化、应对策略、整改，并最终形

成共决策层参考的风险评估报告，根据税务风险发生的规律和重大程度建立预防

性和发现性自动化控制机制，实现了流程再造。

××集团税务风险管理系统

应用效果 通过实施税务风险管理系统在该集团实现纳税调整、税收申报（优惠政

策）、重大风险评估、风险预警、税收自查、综合考评、分析报告的管理，并

实现了其下级公司涉税数据的衔接，实现了税务风险管控的分级次管理、监控

和分析。

■ 实现重大事项风险评估机制，实现企业提前防范税务风险。

■ 实现风险指标评估、预警机制，定期对系统风险指标进行评估。

■ 实现企业税务自查机制，实现自我遵从。

■ 实现风险管理流程再造，解决税务管理资源短缺的矛盾。

■ 实现综合考评机制，对下级公司进行综合考评，对各单位考评进行学的量化。

■ 实现内部控制体系，满足外部监管需求。

36 久其GMC 集团管控 标杆企业首选SN：2012003

■ 全面预算管理解决方案■ 集团高级人才管控解决方案■ 全面绩效管理解决方案■ 集团资产管理解决方案

■ 集团项目管理解决方案■ 集团供应链管理解决方案■ 集团人力资源管理解决方案■ 集团产权管理解决方案

■ 集团集中核算解决方案■ 集团网上报销解决方案■ 集团合并报表解决方案

■ 集团税务风险解决方案■ 集团并表监管解决方案■ 集团财务监管解决方案

如需索取以下管控环节的详细解决方案，请致电久其软件销售热线

（010-58022977），专业的售前顾问会及时与您沟通。

（更多成熟方案即将推出，敬请关注）

系统的主要特点■ 开放式平台，性能稳定，适用于多种操作系统。

■ 界面友好，操作简便，容易掌握。

■ 全部采用面向对象方法设计，易于维护、扩充。

■ 安全可靠界面高度集中。

■ 数据查询简单易用。

■ 分析灵活强大。

■ 提供Excel导出功能。

■ 直观的树形结构。

产品优势■ 开创全新的税务管理模式。

■ 具备多种软件的适配器实现多源数据的抓取。

■ 具备税务风险自动化识别能力。

■ 具备多视角风险分析及数据溯源能力。

■ 实现跨组织的工作流应用。

■ 具备企业多层级和跨境业务处理。