利用_Oracle_的公司治理、風險管理、監(jiān)管合規(guī)應用程序改

1、Oracle 白皮書2010 年 9 月利用 Oracle 的公司治理、風險管理、監(jiān)管合規(guī)應用程序改進 PeopleSoft 9.1 升級 簡介升級到 Oracle PeopleSoft Release 9.1 不僅僅只是技術活動，它還帶來了公司必須小心評估的諸多業(yè)務問題。過去，由于實施速度、效率和資源限制因素，升級 ERP 的過程中往往忽略風險和控制。然而在動蕩的全球經(jīng)濟環(huán)境下，新出臺的監(jiān)管要求、更嚴厲的投資者審查和不斷增加的欺詐可能性要求公司在升級 ERP 系統(tǒng)時必須重視控制。好消息是，在升級過程中進行適當控制比升級完成后修改控制所需成本要低。在適當?shù)膬炔靠刂凭臀恢皩⑾到y(tǒng)投入使用不僅會降

2、低業(yè)務績效，而且還會因為后續(xù)重新修改 ERP 系統(tǒng)而造成不必要的成本。它還會導致企業(yè)出現(xiàn)重大控制缺陷、失去利益相關方的信任、容易受到欺詐和浪費造成的損失。本白皮書重點介紹了在沒有正確實施有效變更管理和控制程序時利用 PeopleSoft Release 9.1 的大量增強功能可能會導致重大風險的幾個方面。本白皮書說明了升級前后和升級期間風險和控制工作的最佳著手點，并且解釋如何利用 Oracle 的管理、風險和合規(guī)性 (GRC 應用程序套件簡化升級流程，構建企業(yè) GRC 平臺，從而幫助企業(yè)在未來更好地實現(xiàn)運營效率、透明度、可持續(xù)合規(guī)性和風險管理。新機遇，新風險Oracle PeopleSoft

3、Release 9.1 在財務、人力資源、供應鏈、采購和項目方面提供重大的增強功能。該最新版本是在客戶反饋、行業(yè)最佳實踐和分析研究的基礎上進行開發(fā)的。它提供的大量新功能和新解決方案為當前的 PeopleSoft Suite 客戶帶來了值得考慮的重要更改。一項基本的升級計劃活動就是確定要保留和要更改的業(yè)務流程。某些業(yè)務流程應保持不變，以確保實現(xiàn)持續(xù)的合規(guī)性和績效，而其他業(yè)務流程則不可避免地需要改變，以解決不斷變化的業(yè)務需求。這些更改的影響遠遠超出 PeopleSoft Suite 的范圍，還影響當前需要手動執(zhí)行的其他應用程序系統(tǒng)和活動。如果不加以預測和管理，更改可能會帶來巨大的成本和風險。升級的

4、最大風險包括：阻礙升級流程的未受控管的更改 導致高成本缺陷的未被注意和不必要的更改顯著加快周期結算速度讓我們以 Oracle 的 PeopleSoft Financial Management 為例。PeopleSoft Financial Management Release 9.1 中引進的某些主要功能包括： 提高的分配處理靈活性：在 PeopleSoft General Ledger 9.1 中，分配為客戶提供了更大的配置靈活性、更高的維護和處理效率以及更有效的分配方法控制。為了提供改進標準的能力，Release 9.1 具有對池和基礎使用排除邏輯的靈活性，減少了執(zhí)行多個步驟的需要。為了

5、支持內部和外部合規(guī)性，此版本也支持分配組的有效組合，這樣可讓公司跟蹤分類賬中的分配處理所生成的財務數(shù)據(jù)歷史源頭。 增量整合處理：PeopleSoft General Ledger 9.1 增強了整合功能以實現(xiàn)實體的增量處理，從而減少了關鍵期末結算期間的處理時間?？蛻艨梢哉蠈哟紊系拿恳还?jié)點并存儲結果。 將總分類帳實時整合到子系統(tǒng)對帳：作為定期財務處理的一部分，將總分類帳對賬到子分類帳是所有企業(yè)要做到的控制和審計工作。在 PeopleSoft General Ledger 9.1中，子系統(tǒng)對賬功能支持將分類賬以更有效的方式在線自動平衡到應付賬款和應收賬款控制賬戶。子系統(tǒng)對賬流程可使數(shù)據(jù)提供系統(tǒng)以

6、增量方式提供最新數(shù)據(jù)，降低數(shù)據(jù)量以提高處理效率。 自動化債務的應計制處理：創(chuàng)建應計制會計分錄是周期結算的一個關鍵部分，以便正確反映財務結果中的活動。PeopleSoft Financial Management 9.1 自動累計PeopleSoft Expenses 中未完全處理的費用報表和預付現(xiàn)金。未完全處理的應付賬款發(fā)票也會自動計算并且在 PeopleSoft Payables 中正確應用。在改進的關鍵周期結算流程支持提供前所未有的運作效率的同時，這些重大改變還帶來了未預料、不必要且被忽視的風險。例如，PeopleSoft Financial Management 模塊可以共享關鍵的應用程

7、序設置，但是它可能在升級時帶來意外影響。追蹤這些變化非常必需，但是如果沒有自動化和嚴格文檔記錄的幫助幾乎是無法實現(xiàn)的。增加現(xiàn)金和降低債務企業(yè)在努力有效地平衡現(xiàn)金和債務，同時支持新的業(yè)務機遇，這一點比以往更重要。盡管增加對客戶的信用有助于促進銷售，但它也加大運營資本的成本和財務風險，尤其是在經(jīng)濟困難時期。借助 PeopleSoft Financial Management 9.1，許多增強功能都集中通過降低債務來增加財務運營的現(xiàn)金。 集中管理信用和收賬：客戶在管理信用和收賬過程中面臨多項挑戰(zhàn)，其中包括高管理成本和快速訪問相關數(shù)據(jù)。在 PeopleSoft Receivables 的 Releas

8、e 9.1 中，信用和收賬工作臺可為應收賬款用戶提供一個中心點，以審查行動項目，分析客戶信息以及執(zhí)行適當行動。通過將現(xiàn)有應收賬款數(shù)據(jù)整合到集中式工作臺，客戶可利用應收賬款功能提高收賬的效率。 通過直接借記預先通知縮短應收賬款周轉天數(shù)：公司在直接借記付款時會因賬戶信息不正確導致產生費用。他們需要降低這些費用，縮短應收賬款周轉天數(shù)。實際支付前確認賬戶信息可降低與解決直接借記賬戶錯誤和相關銀行費用有關的管理成本。PeopleSoft Receivables 9.1 提供預先通知直接借記的選擇，以便用戶在付款前確認賬戶信息。 通過動態(tài)打折實現(xiàn)自動折扣：企業(yè)繼續(xù)尋找增加運營資本和改善最終效益的方法，他們

9、關注的一個領域就是識別債務折扣。供應商現(xiàn)在對提早付款提供更多折扣，使得此舉更加具有吸引力。PeopleSoft eSettlements 9.1 提供動態(tài)打折功能，可使供應商向選擇提早支付發(fā)票的買家提供自動折扣。與大多數(shù)公司過去使用的方法相比，動態(tài)打折可提供更靈活的折扣概念。 改進賬簿到銀行對賬：對賬對企業(yè)合規(guī)性和控制結構至關重要。客戶需要對分類賬余額和銀行賬戶余額進行對賬。當前賬簿到銀行 (Book-to-Bank 對賬功能集成有總分類賬、應付賬款、應收賬款和國庫券。在 PeopleSoft Cash Management 9.1 中，賬簿到銀行對賬包括從 PeopleSoft Expens

10、es 到 PeopleSoft Payables 的事務。盡管這些功能帶來了新機遇，但非常有必要通過控制來平衡績效。配置錯誤會影響公司數(shù)據(jù)的完整性，導致廣泛的金融錯誤、誤述和欺詐風險。升級流程中固有的更改不應該影響透明度和可持續(xù)的合規(guī)性。通過事務級別安全增加控制用戶對財務數(shù)據(jù)訪問的改進會帶來類似的機遇和風險。企業(yè)希望在更精細的水平上控制對財務數(shù)據(jù)的訪問。目前，PeopleSoft 架構提供穩(wěn)定的安全基礎結構，可讓客戶在企業(yè)解決方案中管理對特定菜單、組件、頁面的訪問。應用程序安全層級完善了這一結構，進一步幫助客戶管理對特定控制數(shù)據(jù)的訪問權限，如應用程序內的業(yè)務部門、付款周期、項目、資產賬簿和其他

11、信息。Release 9.1 中新增了 ChartField Security，這種框架允許客戶控制為使用特定高風險分錄功能和大多數(shù)查詢功能而對兩個 ChartFields 進行的訪問?？蛻艨墒褂?PeopleSoft 樹節(jié)點和范圍、權限列表和角色方面的功能來設定 ChartField 安全規(guī)則。增強的 ChartField 安全性支持以下分錄功能：采購分錄、憑證分錄和會計分錄。采用該新訪問框架如果不有效加以管理會導致不合適的用戶授權以及責任劃分違規(guī)，增加安全、政策違犯、錯誤和欺詐等風險。除非妥善管理這些改變，否則企業(yè)面對的運營風險會更多。在以下章節(jié)，我們將討論特定的建議：何時以及如何利用 O

12、racle 管理、風險和合規(guī)性 (GRC 應用程序套件幫助完全實現(xiàn)升級到 PeopleSoft Release 9.1 的益處，同時以智能化的方式減少風險。何時考慮升級的風險和控制正在尋求一體化設計的控制方案作為 ERP 升級一部分的公司應該主動識別實體和業(yè)務流程層面上的風險，并且評估可減少風險的控制措施。在升級過程中等待控制問題浮出水面的公司可能會遇到升級時間線中的障礙和延遲。用于識別風險和控制的方法及發(fā)現(xiàn)的結果通常取決于公司的 GRC 成熟性。在成熟的企業(yè)中，風險和控制可能在整個公司得到管理和相互依賴，而其他公司采用的方案則可能是較為臨時或分散。無論如何，必須采取措施最大程度減少升級過程的

13、中斷，同時確保業(yè)務流程升級后長期受到保護。升級前的建議任務包括：評估公司的運營、財務和合規(guī)性要求。 識別與每種要求相關的風險。 評估現(xiàn)有控制或新控制以減少此類風險?？刂瓢ㄗ詣踊?、人工操作或兩者結合。 啟動控制。 在升級期間，公司可以專注于保留現(xiàn)有控制并在需要進行功能性、業(yè)務流程或合規(guī)性要求方面的更改時引入新控制。 公司必須評估的一個決定是在他們當前的 PeopleSoft 8.x 環(huán)境中是否識別風險和執(zhí)行控制。這種方法的主要優(yōu)點是它允許公司首先建立合理的風險和控制管理基線。例如，他們可以 開始確保在 PeopleSoft 8.x 環(huán)境中識別并糾正責任劃分違規(guī)。然后在升級到 Release 9

14、.1 時，公司可以將注意力只集中在升級帶來的變化上，這樣就會使升級項目更快、更專注。另一個選項是識別風險并執(zhí)行 Release 9.1 升級背景下的控制。公司應評估現(xiàn)有的環(huán)境，關注他們的內部控制，識別已知的缺陷并將其與 Release 12.1 的預期能力相比較。這種方法的主要優(yōu)點是允許公司將各種控制作為一個組合以整體方式考慮，更好地將控制規(guī)范對齊并將現(xiàn)有業(yè)務程序和 PeopleSoft Release 9.1 應用程序配置相關聯(lián)。無論采取何種方法，建立、審核和修改控制都有助于公司為升級后運營做好準備。受到持續(xù)監(jiān)控保護的有效且可持續(xù)的業(yè)務流程將長期支持您的公司。Oracle GRC 應用程序套

15、件可以如何幫助您Oracle 提供一個企業(yè)級 GRC 平臺，用于管理 PeopleSoft 升級內在的業(yè)務流程變化和控制。該平臺整合了文檔和流程管理、自動化控制執(zhí)行以及商業(yè)智能，提供用于滿足合規(guī)性和風險管理要求的綜合全面的功能。借助 Oracle GRC 應用程序套件，公司可以確?？沙掷m(xù)的合規(guī)性、良好的業(yè)務流程以及升級后運營過程中信息受到保護。Oracle GRC 應用程序套件包括下列模塊： Oracle Enterprise GRC Manager (EGRCM 提供企業(yè)范圍內管理 GRC 程序需要的共享基礎和工具，同時減少政策、流程、風險和控制的重疊和冗余。 Oracle GRC Inte

16、lligence (GRCI 可以讓公司全面掌控重要風險管理活動。它通過風險、控制和性能分析和儀表板提供對公司升級準備狀況和風險響應能力的可見性。 Oracle Enterprise GRC Controls (EGRCC 持續(xù)監(jiān)控、強化和優(yōu)化流程，以防止受禁或可疑的活動。它通過監(jiān)控重要設置和用戶訪問，快速識別控制漏洞，從而確保遵守公司政策。目前包含多個 EGRCC 的控制管理器：o Oracle Application Access Controls Governor (AACG 提供實時監(jiān)控和重要訪問政策的預防性執(zhí)行功能。系統(tǒng)在責任劃分 (SOD 違規(guī)出現(xiàn)前預測潛在的沖突并防止應用程序中存

17、在可能損害正確 SOD 政策的角色或責任分配。o Oracle Enterprise Transaction Controls Governor (ETCG 持續(xù)監(jiān)控交易從而檢測可疑的交易和多余的業(yè)務實踐。升級過程中，公司將執(zhí)行政策和控制方面的更改，這會使它們容易成為浪費和欺詐的漏洞。ETCG 發(fā)現(xiàn)日常交易的異常情況，減少現(xiàn)金漏損，避免欺詐和成本高昂的補救措施。o Oracle Configuration Controls Governor (CCG 控制和追蹤關鍵應用程序設置和主數(shù)據(jù)的變化，幫助變更管理，無需負擔核心業(yè)務運營。此解決方案記錄指定的設置值，允許迅速檢查和評估新值并比較來自不同版

18、本、時間點或環(huán)境的值。一旦升級完成，它還執(zhí)行持續(xù)監(jiān)控以確保持續(xù)的配置完整性。下面的表格總結了公司有可能如何在升級前后和升級期間利用 Oracle GRC 應用程序套件。 表 1. 升級前AACG 用戶 訪問 CCG 設置和 主數(shù)據(jù) ETCG 交易 EGRCM/GRCI合規(guī)性和風險管理識別合規(guī)性和 GRC 要求 l定義和識別風險 l識別可解決風險的控制 l l l l建立自動化控制的基線 l l l根據(jù)合規(guī)性要求執(zhí)行 l l l l表 2. 升級過程中AACG 用戶 訪問 CCG 設置和 主數(shù)據(jù) ETCG 交易 EGRCM/GRCI合規(guī)性和風險管理考慮新功能的影響 l l l l識別將會改變的控

19、制 l l l l更新“誤判”責任劃分規(guī)則，全局和規(guī)則特定的狀況 l l確認可配置控制 l l表 3. 升級后AACG 用戶 訪問 CCG 設置和 主數(shù)據(jù) ETCG 交易 EGRCM/GRCI合規(guī)性和風險管理收集審計證據(jù)表明控制還未受到負面影響 l l l l記錄功能、控制和風險的變化 l l l建立自動化控制的新基線 l l l建立更改的配置“之前”和“之后”的列表 l l利用 Oracle GRC 改進 PeopleSoft 9.1 升級 結論 Oracle PeopleSoft Release 9.1 為企業(yè)中各個業(yè)務部門的負責人提供可帶來重大價值的新功能。 要從 PeopleSoft

20、Release 9.1 升級獲得理想的投資回報，公司必須有效管理業(yè)務流程和升級帶 來的控制更改。公司還必須在重新設計的業(yè)務流程中整合并優(yōu)化控制，從而實現(xiàn)運營效率， 減少成本并有效降低風險。Oracle 管理、風險和合規(guī)性應用程序套件可以防止成本高昂的 缺陷和返工，同時幫助維持適應未來的良好業(yè)務平臺。在升級前使用 Oracle GRC 應用程序 套件識別風險和自動化控制，就能獲得卓越的效果。在升級過程中，Oracle GRC 應用程序 套件可加速并確保重大系統(tǒng)更改的識別，允許您為響應那些更改而指定并修改控制。繼續(xù)使 用 Oracle GRC 應用程序套件在 PeopleSoft Release 9.1 中嵌入深層控制，這樣業(yè)務流程便可 保持原樣并在升級項目完成后長期處在最佳狀態(tài)。 10 利用 Oracle GRC 改進 PeopleSoft 9.1 升級 2010 年 9 月 作