首页 > 文章中心 > 业务流程风险点

业务流程风险点

前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇业务流程风险点范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。

业务流程风险点

业务流程风险点范文第1篇

国际金融危机后,世界经济进入调整期,增长速度明显放缓。我国市场下滑的同时使得各类企业的发展步履维艰,而企业也面临着错综复杂的风险与难以应对的挑战。在这样的环境与背景下,企业必须将经营重点置于风险管理工作上,在关注外部风险的同时,更需要对内部的业务流程管理进行严格而科学的管控,如此才能在激烈的市场竞争中获取一席之地,并实现企业的可持续发展。基于企业业务流程管理对于抵抗风险的重要性,以流程管理为视角,对企业风险管理模式的构建进行分析与讨论,在当前的经济形势下,对于企业的生存与发展具有较强的现实意义。

关键词:

流程管理;企业;风险管理模式;构建

企业业务流程管理是以吸纳业务流程重组、流程再造思想与工具为支撑要素,采用综合性的方法强化组织战略,旨在强化业务操作的精细性与规范化的一种管理方式。对其进行合理运用可以降低企业运营成本,提高企业内外部响应速度,最终巩固企业抵抗风险的能力。以业务流程为入手点,将风险管理有效融入流程环节中,实现与企业现有管理框架的耦合,是构建基于流程管理方式下企业风险管理模式的主要途径,同时也是充分发挥风险管理工作有效性的必要手段。

一、流程管理概念综述

流程管理是一种综合性与系统性较强的管理方法。流程可以看作是一种路线图,主要涵盖以完成某项工作为目标,相关数据、信息、资料在不同单位、部门、人员之间传递的网络。流程管理的中心是规范化的流程构造,以该流程构造为核心,将各项工作任务分配到各部门或各岗位,以绩效体系为载体,对考核工作实施与落实,将目标与激励成功传导至企业各层次,使每位员工均明确自身岗位职责,从而推动流程的良性运转。与此同时,将系统性的工作进行流程化处理,可以清楚而详细地将若干作业项目和它们的关联人员及其相互工作关系进行描述,进而实现目标的精细化管控。流程管理包括流程梳理、流程优化、流程固化三个阶段。流程梳理是对企业现行完整业务内容与活动过程的摸底展现,在对企业流程体系进行规划与调整的同时,可以为企业内部实现全面流程管理思想普及和手段落实提供不竭动力;流程优化是在流程梳理的基础之上,具有选择性地运用流程管理理念及信息技术工具对重点业务领域及关键流程进行深层次的分析与优化;流程固化则聚焦于将经过分析优化的新业务流程,借助制度、标准、信息系统等多种形式提高管理工作的规范性与显性化。

二、构建基于流程管理的企业风险管理模式的可行性与现实意义

企业内部的一系列业务流程集成了企业的运营与发展,而所有单体业务流程中的活动或“子流程”是这些业务的支撑要素。基于此,要想推动企业稳定而高效的运营,需要以流程为着手点,提高其运作效率。现阶段,市场竞争愈发激烈,经过不断地迭代演变,风险管理已经成为大型企业内部管理不可或缺的组成部分,特别是在实际业务流程中融入风险管理思想与手段之后,业务流程经历了综合性与系统性的设计与改造,突破了以往各种“信息孤岛”的状态,从而初步构建了以流程管理为基础的企业风险管理模式。

1.企业风险管理与流程管理的目标一致企业要想充分发挥风险管理的功能作用,使之成为企业经济效益提升的支撑,首要任务是强化企业风险点的控制与管理,并提高其有效性。而流程管理在关注业务流程风险点的同时,还需要对流程成本、效益、质量等因素进行综合性考虑。以此看来,企业风险管理与流程管理在管理方法与关注点方面存在一定程度的差异,然而两者具有高度的目标一致性,且均统一于企业的战略目标,服务于企业的可持续发展。

2.流程管理是企业风险管理实现显性化的导向企业要想提高风险管理工作的可操作性与科学性,就必须将风险管理与流程有效地融合起来,构建以业务流程管理为基础支撑的风险管理模式,将错综复杂的风险管理活动进行转变,使其以流程输入、输出为导向,提高其动态化与层次性,同时以业务流程中无数个“工作流”为支撑要素,将关键控制点推送到业务流程中,将风险管理与业务流程有效融合,进而提高风险管理的显性化。

3.业务流程是企业开展风险管理的基础支撑作为一种循环流程,企业风险管理主要包括业务分析、业务流程梳理、风险识别、风险评估、提出风险控制策略、实施风险管控、管控效果反馈与改进等环节,因此其属于一种业务流程为支撑要素,以信息系统为平台,切实实施风险预警、监控与管理改进的闭环管理模式。其工作的开展与进行主要以企业各业务流程为依托,通过对风险点进行辨识,构建风险识别、分析、管控、改进等多环节为一体的风险管理框架,进而以业务流程为基础的风险管控机制,实现企业各业务重要运营活动与运营单元的安全管控。由此可见,企业风险管理与业务流程管理具有极为紧密的联系,企业开展风险管理需要以业务流程为基础支撑。

三、流程管理视角下企业风险管理模式构建的相关措施

要想构建并实施以流程管理为基础要素的企业风险管理模式,并提高其科学性与显性化,就必须将企业业务流程管理框架设计作为风险管理的头绪,采取由上而下或自下而上的互动方式梳理企业目标领域的业务流程,推动并实现每一层业务流程的目标,进而促进企业总战略目标的实现。最终将风险管理流程框架与具体业务风险管理流程有机结合起来,并在该体系中对风险点与关键流程管理环节进行详细描述,如此可以将流程管理有效的融入到企业风险管理工作中,提高风险管理工作的可行性与显性化。

1.确立基于流程管理的企业风险管理的“三道防线”为了构建基于流程管理的企业风险管理模式框架,首要任务是确立企业风险管理的“三道防线”,为实现基于流程管理的企业风险管理显性化创造有效的基础条件。以大型施工企业为例,第一道防线是经营部与采购部,主要涉及工作包括招投标、预决算、材料采购、设备采购等,施工企业需要注意招投标工程项目的前期评估和预测,并强化对招投标报价风险的控制,对合同进行科学化管理,同时需要构建有效的成本管理与分析系统;而关于预决算过程,施工企业需要对工程施工的所有影响因素进行充分的考虑,对其中的风险因素进行分析,提前做好应对措施;在材料与设备采购方面,施工企业需要通过证件检查与取样试验的方式,保证其使用性能与质量,避免材料与设备质量问题造成工程施工出现安全与质量问题。第二道防线是工程部与安监部。主要包括分包管理、质量控制、施工协控、设备安监、安全文明等工作,施工企业需要认清合法分包的界限,及时、规范、严谨地签订合同,并对各环节委托授权进行严格审查;在质量控制过程中,施工企业需要针对风险源与事故多发工序进行严格控制,规范施工工艺与操作行为,及时处理质量问题与安全隐患;而对施工中的机械设备进行定期的安全监督与检查极为必要,可以有效防止机械设备故障造成的工程安全与质量问题;与此同时,强化企业全体员工的安全意识,可以从根本上降低施工风险出现的概率。第三道防线是财务部与办公室。针对施工准备、施工过程、竣工结算等阶段,对施工直接成本与间接成本进行严格的决算与把控,并竭力在合同审查中为施工企业争取更多的经济利益;办公室需要加强行政、人事、信息等方面的管理,规范行政制度,强化企业员工的岗位责任心,防止信息泄露,充分发挥企业风险控制的辅助作用。

2.流程管理视角下企业风险管理体系设计企业需要以全部业务流程的构成情况为逻辑架构,并将其视为风险管理工作的骨架与脉络,在基于流程管理的企业风险管理体系设计过程中,首要任务是打破传统职能部门与组织机构的流程组织方式,对企业业务流程的顶层结构明确定义,并以分层方式对指导框架进行细化,对一层进行完善以后,才允许进行下一层指导框架的处理与构建。在基于流程管理的风险管理体系中,各单位的战略规划、业务流程与职责、业务流程图及目录梳理成果等是构成体系的基本要素与支撑,对企业各部门的主要业务职责和业务特点进行了集中反映;在该体系中,企业需要以企业的战略规划与规章制度作为牵引动力,为该体系的高效运转注入源源不竭的推动力量;与此同时,企业要想构建基于流程管理的风险管理模式,还需要对国际上流程框架的案例进行充分参考与借鉴,例如ERP模型、APQC模型等,借助这些案例,企业可以对价值链为线索的流程组织方式理解得更充分。

3.基于流程管理的企业风险管理模式的精细化分析以体系设计的角度来看,业务流程梳理是构建基于流程管理企业风险管理模式的必要条件。如图1所示,首先对企业各个业务流程的性质与涉及的领域进行分析与参考,从流程的始端对风险进行辨识评估和内控诊断,对业务流程框架进行确定。然后需要对该框架实施风险分析与缺陷认定,建立起风险管理与业务流程的接口,并在这个过程中对重点业务流程进行确定和明确,而后需要对风险信息与业务流程一一对应的关系进行绘制,最终编制出“风险—流程控制矩阵”。企业的部门管理者、业务复杂人或业务骨干均需要参与到业务梳理中来,形成一个负责流程梳理工作的团队,该团队需要任用不同的人才负责相应层次的业务梳理与描述,并扩展业务梳理的覆盖面与范围,保证覆盖到所有业务活动。提高该模式的精细化需要构建详细的流程细化模型,主要包括:规范合理的主流程模型、子流程模型、具体操作流程模型、各项模板及相关指导文件、其中各流程模型包含的责任主体及参与单位。提高基于流程管理的企业风险管理工作的精细化,有助于企业提高风险管理工作的规范性与科学化。

四、A企业构建基于业务流程的风险管理思路及措施

我国大型施工企业A企业开展了全企业范围内的风险管理流程,在确定了业务流程框架以后,按照重点风险排序,企业将物资采购选定为重大风险进行管理控制。企业将“基于业务流程”作为控制采购风险的入手点,围绕业务流程的关键控制点,对制度设计、职权行使与监管等方面的风险进行了排查与控制。第一步,该企业工作组针对物资流程,对其现状与环节进行了摸底,明确了流程设计中的不足与缺陷,与物资采购负责与监管部门协同合作,依照《企业内部控制规范》与企业运营实际情况,对物资采购制度与流程规范进行了完善与优化,提高物资采购的可行性、合理性与科学性;第二步,依照流程节点对物资采购的风险点进行明确,例如:采购方案的制订与选择、与供应商的合作、招投标或比价采购、合同的签订、货物的检查与试验、货款的支付等;第三步,对业务流程关键控制点依据所涉及的岗位进行风险辨识分析,对其中可能存在的物资采购风险进行排查,例如:招投标或比价采购过程中暗箱操作、审批流程存在缺陷、材料取样试验不严格等;第四步,充分结合定性与定量分析的方法,对物资采购风险发生的可能性进行分析,依据岗位工作重要性和控制金额两个因素对物资采购风险的影响程度进行描述与确定;第五步,制订物资采购风险评价标准,依据物资采购风险发生的概率与影响程度,进行分值的划分,依照从高到低的顺序,将风险发生概率与影响程度依照1、2、3、4、5五个等级进行归类;第六步,鼓励所有岗位人员评价物资采购风险重要性,而后编制物资采购风险排序表,进而绘制如图2所示的风险重要性水平图谱。图谱中,黑色区域(A)的风险等级为高危风险,A企业需要及时采取针对性措施予以防范、解决;灰色区域(B)为中等风险,A企业需要对此提高重视程度,并掌握其实时动态;白色区域(C)为低等级风险,通常情况下为企业可以接受的风险。依据物资采购风险重要性水平图谱,A企业可以高效、高质量地完成物资采购工作的风险控制。

五、结论

构建基于流程管理的企业风险管理模式具有较强的综合性与复杂性,该模式逻辑架构层次分明,具有较强的精细化与规范化,对于细化分析业务流程,明确业务流程中的风险环节与操作,凸显关键风险控制点具有较强的可操作意义。同时可以将具体的风险因素的排查与风险控制点的管控落实到相应部门,明确岗位“权、责、利”的科学分配,最终使业务流程成为桥梁,提高风险管理工作的固化与显性化,推动企业的可持续发展。

参考文献

[1]王锋.财务风险在经营活动中的定位[J].中国商贸,2015(,4):35-36.

[2]王怡文,柯柏成.美国企业高阶管理阶层对风险管理观念之剖析[J].中国内部审计,2015(,1):58-60.

[3]杜放,冯家杰.我国企业风险管理的现状、问题及对策探析[J].物流技术,2014(,23):103-105.

[4]程强,顾新.基于COSO风险管理的知识链知识转化风险防范研究[J].图书馆学研究,2015(,5):45-48,34.

业务流程风险点范文第2篇

在构建内部控制体系的实际工作中,最重要的环节是《关键控制管理文件》的建立,本文将重点对《关键控制管理文件》的编制做具体介绍。

一、《关键控制管理文件》的编制程序

按照一致性、先进和实用相结合、继承与完善相结合、可操作性等原则,根据国家相关法律法规以及抚顺石化相关管理制度和管理现状的需要,依照以下程序编制《关键控制管理文件》:

(一)在抚顺石化内控项目组(以下称项目组)拟定的《关键控制管理文件》的基础上,由各专业管理流程编制人员(以下称编制人员)制定《关键控制管理文件》初稿后,再经复核人员审查。

(二)中国石油总部项目组和外部专业人士对审查后的《关键控制管理文件》初稿进行审阅,提出咨询意见,再由编制人员修改后,报抚顺石化领导和一级流程负责人审定。

(三)经项目组负责人员审查后,形成报审稿,报中国石油内部控制体系建设委员会最终审定后,执行。

二、《关键控制管理文件》的主要内容

(一)关键控制管理文件说明。该部分主要说明了《关键控制管理文件》的编制依据、主要内容、实施要求,便于所属单位贯彻实施。

(二)重要业务流程目录。该部分反映了与中石油总部《关键控制管理文件》进行对应后形成的抚顺公司的13个一级流程、100个末级子流程的总体情况。

(三)业务流程图。业务流程图是在对控制现状进行梳理的基础上,对相关业务流程的主要控制环节、控制步骤和操作程序进行的规范性描述。在此次完善业务流程图时,重点对关键控制点涉及的流程图进行了修订。

(四)关键控制文档。以中石油总部关键控制文档为蓝本,描述公司涉及的全部关键控制、重要风险、实施证据和制度索引。

(五)风险控制文档。涉及关键控制流程对应的风险控制文档,重点对关键控制涉及的控制措施予以强化,确保关键控制涉及的各项风险关键控制得到关注。

(六)程序控制文件。程序控制文件是对相关业务流程进行风险控制分析后,对流程的适用范围、风险、部门职责、控制、控制证据及管理制度索引进行规范描述的制度文件。

(七)制度索引表。对关键控制涉及的相关内控制度予以对应索引,有利于各项的持续改进和不断完善。

三、《关键控制管理文件》的编制步骤

(一)明确重要业务流程

1.项目组将中石油总部《关键控制管理文件》中确定的重要业务流程目录,与抚顺石化公司前阶段确定的业务流程目录进行对应,结合抚顺石化公司管理实际,确定抚顺公司《重要业务流程目录》初稿。抚顺石化公司重要业务流程将13个一级流程、100个末级子流程纳入《关键控制管理文件》的编制范围。

根据重要业务流程目录,对各主要业务流程及其风险点进行描述,形成初步业务流程图和风险控制文档。

2.与中石油总部重要业务流程的差异:一级流程与中石油总部确定的一级流程一致。但末级子流程方面,根据抚顺石化的具体业务情况,减少了拆迁管理、地质勘探支出、证实石油储量、油气成本核算、原油销售、天然气销售、成品油零售、成品油批发、现收货款、国债回购、资产委托管理、定期结算、债务管理(除或有负债外的6个子流程)、对外财务报告(总部)共计18个末级子流程;并对涉及存货、账户管理、内部资金划拨、票据管理、对内财务报告、会计业务处理、合同与纠纷等7个子流程进行了不同程度的细分。

(二)编制关键控制文档

按照中石油总部《关键控制管理文件》已确认的关键控制文档的描述,对应抚顺石化重要业务流程中相关的控制点,修订出适合企业实际业务的关键控制文档。对本企业从未发生的业务,涉及的关键控制不再列入关键控制文档。

需要注意的是,在编制本企业关键控制文档时要对控制措施进行准确的描述,不能随意扩大其外延或压缩其内涵。比如,某关键控制描述为A岗位审核某数据。实际风险控制中A岗位审核某数据之前的申请或提报以及之后的交接,如果无其他关键控制约束,则不应列入关键控制。有关A岗位审核的事项,则需要完整清晰地描述。随意扩大关键控制范围则会引起测试样本量的增加,有意缩小则易造成关键控制无效。

(三)持续改进业务流程图

根据前期已确认的重要业务流程及描绘的业务流程图,重新进行全面梳理和拆并,使描述的业务流程图更加符合企业的业务流程现状。

流程图式样的细节方面,在中石油总部流程图式样的基础上,针对流程图图标、背景、流程编号、风险与控制点位置、职能带宽度、框架边距、结束标记等进行了修订。

(四)修改完善风险控制文档

1.风险控制文档修改的总体情况

抚顺石化100项重要业务流程,全部编制了风险控制文档,并已进行了全面的修改和完善。设置风险点409个,控制654 条;其中重要风险258个,关键控制266个。

与中石油总部《关键控制管理文件》中相对应的关键控制减少95条。其中:因没有相关业务流程而减少重要风险5个,减少关键控制5条;因属于板块和股份公司的业务而减少重要风险90个,减少关键控制90条。

2.修改风险控制文档的过程

对于一级流程风险控制文档中关键控制描述的修改,应将中石油总部《关键控制管理文件》中对关键控制的描述与本企业前期描述的风险控制文档中的相关控制进行一一对应,区分情况,对差异分别进行处理:原风险控制文档描述不完善、表述不准确的风险、控制、措施,按照中石油总部提供的示范予以修改;缺失的关键控制,分析原因,予以补充、完善。对于风险控制文档中一般控制也应按照中石油总部项目组提出的相关要求和关键控制中的示范格式,予以完善。

对末级流程风险控制文档中,无关键控制的,则不再列入关键控制管理文件。涉及关键控制的,即使只有一个,也需将同一末级流程的其他非关键控制措施纳入关键控制管理文件。

对于关键控制应在风险控制文档上标注编号,与关键控制文档进行对应。规范风险控制文档格式,统一标准。对风险控制文档中风险类别、控制目标、控制方法、控制频率、制度文件索引等其他要素进行完善。

3.修改完善过程中应注意的问题

(1)重点关注中石油总部《关键控制管理文件》中确认的关键控制在抚顺石化原风险控制文档中的相关描述,做到关键控制无遗漏。

(2)以流程顺序、控制步骤为主线,对风险控制进行描述,做到控制描述前后连贯、系统,不重不漏。

(3)控制描述要做到要素齐全、层次清晰、表述准确。

(4)控制描述以抚顺石化的管理现状为基础,结合总公司、炼油与化工专业分公司管理制度和要求,确定相关控制规范。

(5)对抚顺石化重要业务流程,如长期投资管理、采购、销售、存货管理、资金管理、固定资产管理、会计核算、财务报告等,予以特别关注。

(五)收集、整理、规范关键控制证据

1.收集、整理规范关键控制证据的总体情况

抚顺石化内控项目组共收集了证据示样221份,规范实施证据114份。项目组确认关键控制示范证据示样114份,涵盖了100项重要业务流程。这些控制证据的收集和规范,对于保障关键控制的实施,强化公司基础管理水平将起到重要作用。

2.收集、整理规范关键控制证据的过程

(1)确定关键控制证据目录。抚顺石化针对关键控制,对于控制过程中控制力相对较强、具有示范意义的控制证据,确认为关键控制示范证据。如一些经常性检查工作无证据的,可采取工作日志作为证据。

(2)按照规范、统一、合理的原则,对关键控制证据的设计格式、控制要素、控制作用进行逐项审定。

(六)收集、整理、修改、补充管理制度

1.收集、整理、修改、补充管理制度的总体情况

抚顺石化共收集《关键控制管理文件》涉及的管理制度132个,其中,抚顺公司制定管理制度88个,股份公司管理制度32个,国家财政、税务等部门管理制度12个。本次收集的289个抚顺公司管理制度中,拟对110个管理制度进行修改完善,拟新制定《租赁管理办法》、《或有负债管理办法》,《无形资产管理办法》等32个管理制度。这些管理原则,基本涵盖了风险控制管理文件中的各项控制措施。

2.制度修改、完善关注的主要问题

(1)全面收集控制相关的管理制度,确保相关控制都应有相关制度作支撑。

(2)对于缺失的管理制度,进行补充。

(3)对于描述不准确、不完整、与控制有矛盾的制度条款进行修改。

(4)除收集本企业制定的管理制度外,还应收集整理国家有关制度、总公司以及炼油与销售专业分公司相关管理制度。

(七)编制程序控制文件

抚顺石化在进行上述几项工作后,将相关业务流程的适用范围、风险、部门职责、控制、管理制度索引、控制证据、控制证据示范等内容进行全面归集,从而形成业务流程规范性的程序文件。其中,关键流程风险控制文档中的非关键控制措施也要在控制文件中描述。抚顺石化对全部100项重要业务流程编制了控制程序文件。

四、编制《关键控制管理文件》的经验

第一,集中办公,提高工作效率。关键控制编制阶段的专业性较强,炼化企业人员构成中,专职负责内控工作的财务、审计人员较少,因此要充分发挥各处室业务骨干作用,集中人员,集中办公,提高沟通协调效率。

第二,统一关键控制文档模板。一方面,模板不统一会造成要素不全;另一方面,模板不统一,不易进行汇编,会给其后印刷制册工作带来很多工作量。

第三,合理分配人员。受各部门业务分工的局限,有些业务流程涉及专业多,要注意协调流程间的接口;有些部门涉及流程较多,工作量大,特别是财务内部流程,容易造成工作量不平衡。因此,要注意人员的合理分工,忙闲结合,按期完成各阶段的控制目标。

第四,加强二次培训。因内控工作专业性较强,一些语言晦涩难懂,在培训上要加大力度。对操作性的关键环节,要明确目标,示范举例;确保项目的实质内涵清晰,通过提供足够的标准文本,避免发生猜测与臆想;采用选择或填空的方法,解决表单填写的技术难题。

业务流程风险点范文第3篇

由于对原有手工业务流程的重新设计,ERP系统的实施在很大程度上改变了企业的业务流程。在ERP系统实施以前,许多企业基于计算机的业务系统,基本都是围绕某一业务功能或者是职能部门运行的,比如销售系统、采购系统和财务系统等。这些系统都不是基于跨部门的流程来设计的。ERP系统实现了从采购到付款、订单的获取到发票的开出等业务集成,实现了跨职能部门业务处理。

在这种情况下,ERP系统中单一的数据库,使过去跨部门的审批流程得到简化和压缩。压缩所造成的一个结果是,用于企业内部控制的许多审计线索在ERP系统的引入后消失了。同时,企业过去基于文件审批的内部控制机制,也无法适应ERP基于流程的管理需要。更重要的是,由于企业的业务运作更加依赖于ERP系统,这种依赖和信息系统本身特点所导致的脆弱性,形成了企业新的业务风险。

实施ERP系统后,企业所遇到的业务风险一般来自四个方面:业务流程、应用架构、数据质量和技术架构。其中,业务流程的转变对企业内部控制的影响最大,对企业内部管理和财务方面的监控提出了新的要求,这方面的风险特征相比过去发生了根本性的变化。例如,在ERP系统中,通过对手工流程的机器处理,比如审批处理自动化等,进一步增强了完成各种业务流程的效率。但是,在新的业务执行环境中,这些审批处理自动化方法将改变企业内部原有的一些风险特征,这时相应的内部控制体系就需要重新评估和设计。

内部控制蕴涵新的风险

ERP实行的是流程化的管理,打破了原来职能部门的条块分割,实现了企业资源的统一管理和共享。企业的运行和管理在一定程度上已经交给了ERP系统来进行控制。

这样一来,一方面导致企业所处的内部风险环境发生了变化,过去手工状态下的控制风险,由于ERP系统的引入而变得更加复杂;另一方面,ERP系统的实施需要对原有的业务流程进行优化和设计,改变了企业的组织结构。

流程优化的目的就是减少或合并流程中重复的、不增值的环节,原有的基于手工作业流程中有利于控制的重复环节将消失,这样一来内部控制体系会发生变化。这些变化必然对企业内部的整体控制体系的有效性产生负面影响。在这种情况下,就需要企业对基于ERP系统的关键业务流程的内部控制进行定期的审核,确认是否存在足够的有效控制以降低由于ERP系统的使用而带来的业务风险。

定内部控制目标

针对由ERP系统实施所带来的新的业务控制风险,我们需要对企业内部控制体系做重新评估和完善。ERP系统实施之后,内部控制评估的目标通常包括下面这些内容:

1.利用风险评估手段重新确定企业中关键的业务流程;

2.对整个流程和控制的设计进行评估,确定这些控制是否很好地满足和支持最终业务目标的实现;

3.对岗位职责分离的评估,确保在整个流程中存在正确的稽核点和平衡点,对敏感业务交易给出足够的访问限制;

4.评估控制方式是否合理,比如基于手工流程的控制和基于系统的自动控制是否搭配合理。

确定评估范围

一般来说,ERP系统将覆盖营销、计划、生产、采购、仓储、财务、人力资源等企业运营管理的各个层面。根据经验,如果对每个流程和控制点都进行评估在资源的利用上是非常不经济的。

ERP系统的控制评估必须基于风险管理的原则,通过风险评估寻找对主要业务运作中影响最大的领域。换句话说,我们可以从企业整个业务风险域中寻找对企业具有最大风险的业务流程,从而进一步确定有哪些ERP模块在支持这些业务流程。

一般来说,我们通过对业务流程所有者的访谈,来确定我们的评估范围。

在对实施了ERP系统的企业的调研和风险评估中,我们发现,ERP系统中涉及到企业收入业务、支出业务和库存业务的系统控制流程对企业的业务能否顺利运转影响比较大。对于这种影响,是这样定义的:由于业务控制的削弱,导致企业出现经济问题和违规问题的可能性增加。

例如,企业管理层非常关注财务控制的内部和外部流程,因为那些这些流程决定了财务数据的准确性,是反映企业运作是否健康的“脉搏”。因此,我们通常会更关注收入业务,它包括主数据维护、销售订单处理、发运、开票、退货和收款等控制内容。

在确定评估范围之后,我们需要对这些流程进行描述和分析。对ERP流程中的每个动作,我们都需要追溯到它的结果,描述风险特征并确认相应的控制点。

在ERP环境中,通常有两种控制方式我们需要考虑:一种是基于系统的控制,另一种是基于流程的控制。在ERP系统支撑的业务流程中,上述两种方式通常需要结合使用。

手工控制主要依靠个人职责的履行来完成。比如,通常付款是需要通过填表、签字确认才可支付的。基于ERP系统的控制,是由软件来完成的,通过控制数据的有效性和合理性来限制和核查动作的合法性。ERP系统的参数设置将决定这个领域的控制级别。

这些控制包括用户访问、字段验证、工作流和许多其他用于确保数据处理一致性的控制。例如,系统会自动拒绝生成一张与前一次序号相同的发票。这样就自动降低了差错发生的可能性和应付帐款处理的混乱。

值得注意的是,在ERP系统实施过程中,某些二次开发工作会削弱在系统中已经设置好的控制,从而产生新的风险因子。这个时候,我们必须要用手工控制来弥补。

需要了解的是,即便根据ERP系统的要求,调整和优化了内部控制,减少了由于“流程自动化”带来的内部控制可能的削弱,仍然无法彻底消除系统本身的特点导致的控制盲区。这在复杂的系统接口和多用户访问情形下,问题是比较突出的。

很少有企业用一个系统将企业所有的数据和流程都管理起来。所以,ERP系统和其他系统之间的接口是实现不同系统间数据互联互通的必需。这些位于不同系统之间的接口是一个重要的风险区域。

业务流程风险点范文第4篇

[关键词]检验检疫;SIPOC;风险管理

doi:10.3969/j.issn.1673 - 0194.2015.18.096

[中图分类号]F224 [文献标识码]A [文章编号]1673-0194(2015)18-0-02

0 引 言

检验检疫本身是风险管理的一种方法和手段,是为了确认进口/出口商品符合国内/海外的标准和要求,防止不合格品的流入/出(把关失效)。为实现检验检疫的基本职能,风险管理作为基本的研究课题,非常必要。

风险存在于业务流程的各个环节之中,进行风险识别,首先要对业务过程进行梳理。SIPOC(Supplier供应者、Input输入、Process过程、Output输出、Customer客户)是识别业务流程中关键风险源的分析方法。通过这种方法,人们可将业务流程(如某减值点)分解为若干关键点,并明确其目标和涉及的人、财、物及流程等要素,以确保全面梳理该流程所涉及的风险。

1 SIPOC概述

SIPOC模型定义:SIPOC模型是一代质量大师戴明提出来的组织系统模型,是一门最有用且最常用的流程管理和改进技术。戴明认为任何组织都是一个由供应者(Supplier)、输入(Input)、流程(Process)、输出(Output)以及客户(Customer)相互关联互动的5个部分组成的系统,即SIPOC。

SIPOC模型的关键点包括以下几点。

(1)所有的员工和工作单元都是不同业务流程的供应商和客户。

(2)当你从组织中的其他个人、团队或组织外的来源处获得原料、信息或服务时,你就是客户。

(3)当你为组织中的其他个人、团队或组织外部的客户提供原料信息或服务时,你就是供应商。

(4)你作为客户得到的原料、信息或服务就是输入。

(5)你作为供应商向其他个人或团队提供的原料、信息或服务就是输出。

(6)你的工作不是一个孤立的活动,而是整个工作流程的一部分。所谓的工作流程是指接受。

(7)供应商的输入,在每一个步骤上为这些输入加入一些有价值的东西并且生产输出物的满足客户需求的过程。

2 分析方法

运用SIPOC的方法从流程的角度出发,针对关键业务或事项,结合检验检疫的各项工作目标,考虑影响目标实现的关键因素。

首先要组建团队,对流程或业务相关的部门进行工作访谈,一同整理或收集相关的制度文件,用SIPOC技术梳理关键部门的业务流程,SIPOC的梳理次序如表1所示。

梳理过程中强调的是:始于客户,反向操作。

通过运用SIPOC技术的梳理功能,可获得各业务流程的输出项,工作质量可通过输出项的数据进行量化;已识别出来的风险,可追溯到各流程的输出项进行评估,而原因的分析可以追溯到工作流程、信息供应商输入的完备及准确性等。

3 分析内容

图1展示了检验检疫职能的简易SIPOC。针对检验检疫过程,应用以上介绍的SIPOC技术的流程图举例如表2~表5所示。

通过表2可以发现目前业务流程中缺失与风险监控相关的输出数据(表2中黄色、暗红色标示的输出项)。

通过表3的梳理,可以发现“标准不明确”“标准难执行”与流程中在征求意见环节、有效性评估环节方面的缺陷。

通过表4的梳理,可以发现在人员与岗位符合度方面,目前仍没有适当的监控指标。

通过表5的梳理,可以发现与“责任心差”“工作疏忽”相关的工作差错数据仍不完善,需进一步建立相应的流程监控点及数据记录。

4 结 语

SIPOC模型使参与某一特定工作流程的工作人员清晰地看到一幅描绘一项业务从开始到结束的实际完成过程的图像,从而鉴别其他团队或部门成员所做出的不同努力,了解他们或他们部门执行的任务与其他个人、团队、部门所执行任务之间的关系。

SIPOC梳理出了各部门或业务流程的关键输出项,也为风险的识别、风险探测因子的支持数据提供了全景梳理,为后续的风险管理工作提供了更为宏观和系统的支持。

主要参考文献

[1]戴云徽,韩之俊,郭春明.基于FMEA的出入境检验检疫目标符合性条件筛选研究[J].技术经济,2009(1).

[2]戴云徽.出入境检验检疫符合性条件的筛选、检验策划及风险预警研究[D].南京:南京理工大学,2009.

[3]朱俊敏. 加强风险管理提升检验检疫廉政建设水平[J]. 中国检验检疫. 2013(3) .

[4]李宗,华菊. 对检验检疫风险防范管理的认识[J]. 中国检验检疫. 2011(3) .

[5] 孙蓓玲. 检验检疫机构有效实施ISO9000质量管理研究[D]. 苏州:苏州大学,2007.

[6]李蔚,蔡淑琴. 建设项目集成的SIPOC模式及其组织支持[J]. 科研管理,2006(1) .

业务流程风险点范文第5篇

一、互联网新技术新业务信息安全评估的内容

(一)评估内容。

工信部与三大运营商对互联网新技术新业务信息安全评估的要求主要包括:与业务相关的网络架构安全、设备安全、平台安全、业务流程安全、内容安全、业务数据安全、系统运维及人员管理安全等方面。

(二)“传统”安全评估的主要内容。

虽然目前的评估都来自于ISO13335-2信息安全风险管理中,但主要的内容为:管理脆弱性识别包括组织架构管理、人员安全管理、运维安全管理、审计安全管理等方面的评估技术脆弱性识别漏洞扫描:对网络安全、网站安全、操作系统安全、数据库安全等方面的脆弱性进行识别。基线安全:对各种类型操作系统(HP-UX、AIX、SOLARIS、LINUX、Windows等)、WEB应用(IIS、Tomcat等)、网络设备等网元的安全配置进行检查和评估。渗透测试:渗透测试是站在攻击者的角度,对目标进行深入的技术脆弱性的挖掘。

(三)业务信息安全评估与“传统”安全评估的对比。

虽然安全风险评估基本都按照了ISO13335-2中的方法来操作,但是通过对业务信息安全评估的内容和“传统”安全评估内容对比不难看出,“传统”安全评估主要集中在网络、系统和应用软件层,且每层的评估比较孤立,很难全面反映业务的主要风险。“以业务为中心、风险为导向”的业务系统安全评估能够与客户的业务密切结合,风险评估结果和安全建议能够与客户的业务发展战略相一致,最终做到促进和保障业务战略的实现。

二、互联网新技术新业务信息安全评估的主要方法

“业务为中心、风险为导向”的信息安全评估思路互联网新技术新业务信息安全评估是开展其他信息安全服务的基础,而以“业务为中心、风险为导向”的信息安全评估思路,是切实落实信息安全风险评估的根本保证。

(一)主要流程。

对互联网新技术新业务信息安全评估来说,分为三大基本步骤:一是深入业务,分析流程;二是业务威胁分析、业务脆弱性识别和人工渗透分析;三是风险分析和处置建议。

(二)深入业务,分析流程。

目标是了解业务信息系统承载的业务使命、业务功能、业务流程等;客观准确把握业务信息系统的体系特征。管理层面调研和分析围绕“业务”,管理调研的内容主要为组织架构、部门职责、岗位设置、人员能力、管理流程、审计流程等等,其调研核心是一系列的管理流程。通常,组织中有多种类型的管理流程,管理调研的重点是与信息安全有关的流程、制度及其落实、执行和效果情况。管理措施通常贯穿于整个管理流程之中,目的是保证管理流程的有效流传或者不出现意外的纰漏。管控措施的设计一般都遵循一定的原则,如工作相关、职责分析、最小授权等等。业务系统层面调研和分析业务系统提供的功能一般是指被外界(例如客户、用户)所感知的服务项目或内容,是IT系统承载、支持的若干个业务流程所提供功能的总汇。一个具体的业务功能常常与多个业务流程相关,一种(个)业务功能,常常需要若干个业务流程来实现。例如数据的录入流程、数据的修改流程、数据的处理流程等等。对于一个具体的信息系统来说,可以通过其提供的业务功能,对业务流程进行全面梳理、归纳,并验证业务流程分析的完备性、系统性。一个具体的业务流程也常常跨越多个系统,某个具体的IT系统可能仅完成整个IT流程中的某一个活动。例如在短信增值服务中,SP与用户手机短信收发就涉及到了短信中心、短信网关、智能网SCP等多个系统;另外,还涉及到了计费、BOSS等业务支撑系统以及网管等运维管理系统等。因此,业务功能通常是对业务系统进行调研的最佳切入点,并将业务流程简化成为单纯的数据处理过程,将各个应用软件之间的数据传输简化成为点对点的流。然后基于数据流分析,建立信息视图,明确信息的流转、分布、出入口,把业务系统简化成为数据流的形式,可以更好地分析数据在各个阶段所面临的风险。

(三)脆弱性识别。

1.系统和应用软件层脆弱性识别。对评估范围内的主机操作系统及其上运行的数据库/Web服务器/中间件等系统软件的安全技术脆弱性,得到主机设备的安全现状,包含当前安全模块的性能、安全功能、稳定性以及在基础设施中的功能状态。

2.网络层脆弱性识别。明确被评估系统和其他业务系统的接口逻辑关系、和其他业务系统的访问关系、得出清晰的基础设施拓扑图;从网络的稳定性、安全性、扩展性、(易于)管理性、冗余性几个方面综合评定网络的安全状况。

3.现有安全措施脆弱性识别。识别并分析现有安全措施的部署位置、安全策略,确定其是否发挥了应用的作用。

4.管理层脆弱性识别。识别和分析安全组织、安全管理制度、流程以及执行中存在的安全弱点。

(四)业务威胁分析。

对于业务系统来说,安全威胁及安全需求分析的最小单位是数据处理活动。可以通过安全威胁列表来识别威胁,构建安全威胁场景来进行威胁、风险分析。

1.列出评估的业务系统的全部安全威胁。如何能将安全威胁很好的列出来呢?可以借助一些现有的安全威胁分析模型,例如微软Stride模型(假冒、篡改、否认、信息泄漏、拒绝服务、提升权限)都提供了一些安全威胁的分类方法。

2.识别和构造威胁路径。依据自身(企业或部门级)的业务特点进行细化,识别和列出安全威胁来,如拒绝服务、业务滥用、业务欺诈、恶意订购、用户假冒、隐蔽、非法数据流、恶意代码等。

3.业务渗透测试和攻击路径分析。因为业务的特性是“个性化”,那么就很难用一个或多个工具发现所有问题;且业务的个性化,在业务逻辑、接口等安全测评中,必须要有人工参与。利用业务流程分析、威胁分析和脆弱性分析的相关数据,实现渗透测试。