一    建设数字化风控平台的重大意义

       开展内控风险管理体系设计和信息系统建设，是贯彻落实国务院国资委工作部署的需要。2019年10月，国务院国资委出台了《关于加强中央企业内部控制体系建设与监督工作的实施意见》（国资发监督规〔2019〕101号），对央企内控、风险、合规监督“三位一体”的体系建设及内控信息化提出了明确要求。

       2020年7月29日，国务院国资委召开对标世界一流管理提升行动启动会议。会议要求各地国资委和中央企业认真落实国务院国资委《关于开展对标世界一流管理提升行动的通知》，在通知中把风险管理、合规经营作为企业提升管理水平，对标世界一流管理的重要行动事项之一。要求企业进一步强化风险防控意识和全面风险防控机制，加强内控体系建设，健全合规管理制度以及加强责任追究体系建设。

二    ERP系统中的风控功能

       在上述监管趋严的趋势下，传统的线下手工测试手段已无法满足当前企业的风控管理需求。企业需要借助专业力量，依托数字化手段，强化风控管理体系建设，进而实现内审内控全面覆盖，加速推进企业数字化风控转型。

       公司治理、风险与合规管理（Governance, Risk and Compliance, 以下简称“GRC”）是一套以战略为驱动、以风险为导向、全面整合的风控合规管理方法。

       SAP GRC功能模块旨在同一技术平台上集成 GRC 流程，将 GRC 流程融入业务运营中，自动执行关键活动，监测风险，并获得实时的可视性和控制力，为企业建立数字信任，快速适应技术、法规和全球环境的变化。

       GRC管理理念的关键之处就在于其融合了风险管理、内部控制、合规管理及内部审计，将风险应对措施与控制措施进行联动，再通过统一的风险管理语言，以直观的数字化手段进行可视化展示。

       GRC系统在协助提升企业风险管理水平的同时，也能够帮助企业更加从容地应对日趋严格的监管政策。

       1. 风险管理。SAP GRC风险管理解决方案支持企业对财务、战略、运营等风险进行企业风险识别、风险分析、风险响应以及出具连续的风险监控和报告，帮助企业有效地预测和响应不同级别、不同影响的风险。风险管理模块通过关键风险指标（KRI）与ERP系统集成，提供风险的实时预警，使企业管理层在第一时间知晓风险在本企业的暴露程度。企业可以通过系统提供的信息汇总和风险视图对风险进行有效监控管理。

       2. 内部控制。 SAP Process Control (SAP流程控制)作为SAP GRC的一部分, 是公司内部控制系统的企业级解决方案。它使得企业能够针对不同国家对合规以及风险管理的要求来对其内部控制环境进行设计、评估与测试，追踪相关问题直至修复，并且提供简单易读的报表从而使内部控制的成员、审计人员和企业管理层能够快速有效地提出决策；同时通过提供基于业务流程的自动化控制测试与连续性监控等特性，来有效降低企业的内部控制成本以及提高相应的管理效率。

       3. 审计管理。SAP审计管理解决方案是SAP GRC系统的一部分。该解决方案提供了一个完全支持移动的端到端审计管理解决方案。审计部门可以用它来制定审计计划，准备审计，分析相关信息，记录审计结果，形成审计意见，沟通审计结果，监控审计进展。

       4. 访问控制。SAP访问控制解决方案作为为企业ERP系统权限管理的有效组成部分，SAP访问控制模块从企业访问授权风险管控的角度出发，基于访问授权的“最小化原则”，帮助企业构建一套完整的访问权限管理平台，将原先企业所使用的分散的、手工的访问权限申请、审批、授予等工作集中在统一的平台上进行自动化管理，同时有效地帮助企业避免因为访问授权过大、敏感权限的不恰当授予和超级用户账号的过度使用而产生的问题，以及所带来的损失。

三    结语

       当企业业务迅速发展的同时，协助企业满足监管机构的要求，避免因违反风险合规的要求带来的损失，同时为实现管理的提升，急需建立一套完善的数字化风控合规管理体系，有效地持续识别、监控和应对风险。

       企业将通过建立GRC体系，以风控数字化转型为契机推动企业数字化转型，为对标成为世界一流企业做好准备。

供稿 |史可鉴

编辑 |金芳

审核 |葛素娟

-END-