前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇外包风险管理评估细则范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
论文摘要:文章首先分析了信息安全外包存在的风险,根据风险提出信息安全外包的管理框架,并以此框架为基础详细探讨了信息安全外包风险与管理的具体实施。文章以期时信息安全外包的风险进行控制,并获得与外包商合作的最大收益。
1信息安全外包的风险
1.1信任风险
企业是否能与信息安全服务的外包商建立良好的工作和信任关系,仍是决定时候将安全服务外包的一个重要因素。因为信息安全的外包商可以访问到企业的敏感信息,并全面了解其企业和系统的安全状况,而这些重要的信息如果被有意或无意地对公众散播出去,则会对企业造成巨大的损害。并且,如若企业无法信任外包商,不对外包商提供一些关键信息的话,则会造成外包商在运作过程中的信息不完全,从而导致某些环节的失效,这也会对服务质量造成影响。因此,信任是双方合作的基础,也是很大程度上风险规避的重点内容。
1.2依赖风险
企业很容易对某个信息安全服务的外包商产生依赖性,并受其商业变化、商业伙伴和其他企业的影响,恰当的风险缓释方法是将安全服务外包给多个服务外包商,但相应地会加大支出并造成管理上的困难,企业将失去三种灵活性:第一种是短期灵活性,即企业重组资源的能力以及在经营环境发生变化时的应变能力;第二种是适应能力,即在短期到中期的事件范围内所需的灵活性,这是一种以新的方式处理变革而再造业务流程和战略的能力,再造能力即包括了信息技术;第三种灵活性就是进化性,其本质是中期到长期的灵活性,它产生于企业改造技术基本设施以利用新技术的时期。进化性的获得需要对技术趋势、商业趋势的准确预测和确保双方建立最佳联盟的能力。
1.3所有权风险
不管外包商提供服务的范围如何,企业都对基础设施的安全操作和关键资产的保护持有所有权和责任。企业必须确定服务外包商有足够的能力承担职责,并且其服务级别协议条款支持这一职责的履行。正确的风险缓释方法是让包括员工和管理的各个级别的相关人员意识到,应该将信息安全作为其首要责任,并进行安全培训课程,增强常规企业的安全意识。
1.4共享环境风脸
信息安全服务的外包商使用的向多个企业提供服务的操作环境要比单独的机构内部环境将包含更多的风险,因为共享的操作环境将支持在多企业之间共享数据传输(如公共网络)或处理(如通用服务器),这将会增加一个企业访问另一企业敏感信息的可能性。这对企业而言也是一种风险。
1.5实施过程风险
启动一个可管理的安全服务关系可能引起企业到服务外包商,或者一个服务外包商到另一个外包商之间的人员、过程、硬件、软件或其他资产的复杂过渡,这一切都可能引起新的风险。企业应该要求外包商说明其高级实施计划,并注明完成日期和所用时间。这样在某种程度上就对实施过程中风险的时间期限做出了限制。
1.6合作关系失败将导致的风险
如果企业和服务商的合作关系失败,企业将面临极大的风险。合作关系失败带来的经济损失、时间损失都是不言而喻的,而这种合作关系的失败归根究底来自于企业和服务外包商之间的服务计划不够充分完善以及沟通与交流不够频繁。这种合作关系在任何阶段都有可能失败,如同其他商业关系一样,它需要给予足够的重视、关注,同时还需要合作关系双方进行频繁的沟通。
2信息安全外包的管理框架
要进行成功的信息安全外包活动,就要建立起一个完善的管理框架,这对于企业实施和管理外包活动,协调与外包商的关系,最大可能降低外包风险,从而达到外包的目的是十分重要的。信息安全外包的管理框架的内容分为几个主体部分,分别包括企业协同信息安全的外包商确定企业的信息安全的方针以及信息安全外包的安全标准,然后是对企业遭受的风险进行系统的评估.并根据方针和风险程度.决定风险管理的内容并确定信息安全外包的流程。之后,双方共同制定适合企业的信息安全外包的控制方法,协调优化企业的信息安全相关部门的企业结构,同时加强管理与外包商的关系。
3信息安全外包风险管理的实施
3.1制定信息安全方针
信息安全方针在很多时候又称为信息安全策略,信息安全方针指的是在一个企业内,指导如何对资产,包括敏感性信息进行管理、保护和分配的指导或者指示。信息安全的方针定义应该包括:(1)信息安全的定义,定义的内容包括信息安全的总体目标、信息安全具体包括的范围以及信息安全对信息共享的重要性;(2)管理层的目的的相关阐述;(3)信息安全的原则和标准的简要说明,以及遵守这些原则和标准对企业的重要性;(4)信息安全管理的总体性责任的定义。在信息安全方针的部分只需要对企业的各个部门的安全职能给出概括性的定义,而具体的信息安全保护的责任细节将留至服务标准的部分来阐明。
3.2选择信息安全管理的标准
信息安全管理体系标准BS7799与信息安全管理标准IS013335是目前通用的信息安全管理的标准:
(1)BS7799:BS7799标准是由英国标准协会指定的信息安全管理标准,是国际上具有代表性的信息安全管理体系标准,标准包括如下两部分:BS7799-1;1999《信息安全管理实施细则》;BS7799-2:1999((信息安全管理体系规范》。
(2)IS013335:IS013335《IT安全管理方针》主要是给出如何有效地实施IT安全管理的建议和指南。该标准目前分为5个部分,分别是信息技术安全的概念和模型部分;信息技术安全的管理和计划部分;信息技术安全的技术管理部分;防护和选择部分以及外部连接的防护部分。
3.3确定信息安全外包的流程
企业要根据企业的商业特性、地理位置、资产和技术来对信息安全外包的范围进行界定。界定的时候需要考虑如下两个方面:(1)需要保护的信息系统、资产、技术;(2)实物场所(地理位置、部门等)。信息安全的外包商应该根据企业的信息安全方针和所要求的安全程度,识别所有需要管理和控制的风险的内容。企业需要协同信息安全的外包商选择一个适合其安全要求的风险评估和风险管理方案,然后进行合乎规范的评估,识别目前面临的风险。企业可以定期的选择对服务外包商的站点和服务进行独立评估,或者在年度检查中进行评估。选择和使用的独立评估的方案要双方都要能够接受。在达成书面一致后,外包商授予企业独立评估方评估权限,并具体指出评估者不能泄露外包商或客户的任何敏感信息。给外包商提供关于检查范围的进一步消息和细节,以减少任何对可用性,服务程度,客户满意度等的影响。在评估执行后的一段特殊时间内,与外包商共享结果二互相讨论并决定是否需要解决方案和/或开发计划程序以应对由评估显示的任何变化。评估所需要的相关材料和文档在控制过程中都应该予以建立和保存,企业将这些文档作为评估的重要工具,对外包商的服务绩效进行考核。评估结束后,对事件解决方案和优先级的检查都将记录在相应的文件中,以便今后双方在服务和信息安全管理上进行改进。
3.4制定信息安全外包服务的控制规则
依照信息安全外包服务的控制规则,主要分为三部分内容:第一部分定义了服务规则的框架,主要阐明信息安全服务要如何执行,执行的通用标准和量度,服务外包商以及各方的任务和职责;第二部分是信息安全服务的相关要求,这个部分具体分为高层服务需求;服务可用性;服务体系结构;服务硬件和服务软件;服务度量;服务级别;报告要求,服务范围等方面的内容;第三部分是安全要求,包括安全策略、程序和规章制度;连续计划;可操作性和灾难恢复;物理安全;数据控制;鉴定和认证;访问控制;软件完整性;安全资产配置;备份;监控和审计;事故管理等内容。
3.5信息安全外包的企业结构管理具体的优化方案如下:
(1)首席安全官:CSO是公司的高层安全执行者,他需要直接向高层执行者进行工作汇报,主要包括:首席执行官、首席运营官、首席财务官、主要管理部门的领导、首席法律顾问。CSO需要监督和协调各项安全措施在公司的执行情况,并确定安全工作的标准和主动性,包括信息技术、人力资源、通信、法律、设备管理等部门。
(2)安全小组:安全小组的人员组成包括信息安全外包商的专业人员以及客户企业的内部IT人员和信息安全专员。这个小组的任务主要是依照信息安全服务的外包商与企业签订的服务控制规则来进行信息安全的技术。
(3)管理委员会:这是信息安全服务外包商和客户双方高层解决问题的机构。组成人员包括双方的首席执行官,客户企业的CIO和CSO,外包商的项目经理等相关的高层决策人员。这个委员会每年召开一次会议,负责审核年度的服务水平、企业的适应性、评估结果、关系变化等内容。
(4)咨询委员会:咨询委员会的会议主要解决计划性问题。如服务水平的变更,新的技术手段的应用,服务优先等级的更换以及服务的财政问题等,咨询委员会的成员包括企业内部的TI’人员和安全专员,还有财务部门、人力资源部门、业务部门的相关人员,以及外包商的具体项目的负责人。
(6)安全工作组:安全工作组的人员主要负责解决信息安全中某些特定的问题,工作组的人员组成也是来自服务外包商和企业双方。工作组与服务交换中心密切联系,将突出的问题组建成项目进行解决,并将无法解决的问题提交给咨询委员会。
(7)服务交换中心:服务交换中心由双方人员组成,其中主要人员是企业内部的各个业务部门中与信息安全相关的人员。他们负责联络各个业务部门,发掘出企业中潜在的信息安全的问题和漏洞,并将这些问题报告给安全工作组。
(8)指令问题管理小组:这个小组的人员组成全部为企业内部人员,包括信息安全专员以及各个业务部门的负责人。在安全小组的技术人员解决了企业中的安全性技术问题之后,或者,是当CSO了关于信息安全的企业改进方案之后,这些解决方案都将传送给指令问题管理小组,这个小组的人员经过学习讨论后,继而将其到各个业务部门。
(9)监督委员会:这个委员会全部由企业内部人员组成。负责对外包商的服务过程的监督。
各位领导、同志们:大家好
今年是____供电公司成立的第一年,安全生产的重要性毋庸置疑。为了认真落实我公司十六届三次职代会及省公司、我公司两个一号文的会议精神,以“三铁”反“三违”,扎实有效的做好今年的春检工作。我就安全管理方面谈以下两方面内容。
一、安全生产存在的问题:
1、习惯性违章仍时有发生,还没有从根本上杜绝。
随着公司标准化作业的不断深入及查处违章力度的加大,公司范围内的违章情况已大幅度减少,但并没有根本杜绝,违章是事故的温床,是发生事故的根本原因,违章不除,事故难止,在去年仍发现有个别单位不能严格执行标准化作业等违章情况发生。
2、现场工作票存在问题。在去年春、秋检的作业现场及专业季度检查中,仍都发现在工作票的填写与执行上存在着问题。反映出个别生产及管理人员在工作票的填写、签发、许可上存在着不负责的现象。
3、部分一线职工不能自觉地学习规程,专研技术业务,业务素质较差,对安全隐患不能及时发现,给安全生产带来潜在的威胁。
4、继电、试验、电能专业及配电修理及小型作业由于作业流动性较大,作业比较分散,在执行各种安全规章制度上还存在着一定问题,在一些作业现场不能认真执行标准化作业程序。
5、对入网作业队伍的管理及检查不利,去年安监部共查处违章13起,其中进网作业队伍占有较大的比例,这充分说明各生产单位在监管进网作业队伍上还存在着一定问题。
6、各供电分公司偏远供电所、生产班组人员由于缺乏监管力度相对安全意识淡薄,安全管理松散,安全工作还有死角。
二、对今年春检工作提出如下要求:
1、今年春检工作中要认真落实我公司一号文精神,狠反习惯性违章。公司将下发新的安全生产检查、考核办法,使各项检查与考核做到有的放矢,各生产单位在春检前要安排时间组织全体员工认真学习,并清楚违章的各种表现,使每名职工清楚哪些行为是不应该做的,在春检期间公司将对查出违章严格按照安全生产检查及考核办法执行,决不姑息迁就。春检中安监部每半月将出一期春检动态简报,对好人、好事、好的做法给与表扬,对违章违纪情况进行批评、曝光,严重的要追究其领导责任,要使违章者和其他人感到震撼。以“零违章”确保春检期间不发生人身事故。
2、推行安全风险管理,建立安全生产风险评估管理体系
推行安全风险管理是现代企业安全管理发展的必然方向和正确选择。省公司已经确定了我公司为今年“安全生产风险评估管理”试点单位,3月2日安监部组织了生产单位领导和安全员进行了培训。各单位要在春检中大力开展风险意识、危害辩识和防范能力培训,营造风险管理的氛围,创建风险管理的基础。要以安全生产风险评估为重点,深入作业现场和班组,查找安全管理上存在的问题,结合安全性评价实施有效的整改,公司也将逐步编制安全生产评估细则,逐步建立完善的安全生产风险管理体系。通过开展安全风险评估在职工中牢固树立“任何风险都可以控制的理念,以控制人身伤害和人员责任事故风险为目标,促进安全生产从事后管理向预防转变,从强制监督执行向自发安全行为的转变。
3、在春检前各生产单位要做好各项准备工作,对本单位的安全工器具及个人防护用品进行一次全面的检查,严格按照国家电网公司《电力安全工器具预防性试验》规程所规定的周期进行试验,决不可过期或不试验使用,对不合格的要及时淘汰,严禁使用。特别是对安全带,验电器、脚扣、梯子、安全帽等安全工器具要认真检查,报警安全帽的报警器,要好使好用。
4、今年春检工作,对于调度、继电等专业仍处于____、葫芦岛两个供电公司的改制过渡期,要求“五所”要按照省公司近日下发的“安全生产会议纪要”的相关要求,履行好自己的职责,要树立大局意识,认真安排工作,在作业中严格执行标准化作业程序,确保____、葫芦岛两供电公司的春检工作顺利完成。
5、工作票制度是保证各种作业安全的第一道关口,各生产单位在各项作业中要严格按照公司下发的《关于工作票填写标准与规定》认真填写。特别是配电专业,各供电分公司要做好《配电作业安全管理规》的培训,严把填写、审核、签发、许可关。作业人员在实际工作中要认真执行,坚决克服对工作不负责任的现象。hnnnnnnjdehg
6、送、变、配各种作业在作业前要认真勘察作业现场,有针对性地做好安全技术措施和危险点控制措施。危险点的分析一定要符合现场实际,坚决杜绝为了应付检查,千编一律的现象。严格履行作业措施计划申报审批制度。各生产单位作业的措施计划要进行周密细致的研究,由专工、安全员、主管生产领导认真审核并签字,然后按规定逐级上报公司安监部、生技部、专业付总工进行审批。各级审批人员要认真负责,确实把好安全关,坚决杜绝不负责任的走过场,走形式的现象。
7、加强作业现场接地线的管理。现场作业对有可能来电的线路都要挂好接地线,对有相邻线路可能产生感应电压的要加挂临时接地线。挂接地线的位置和组数一定要同工作票相符,接地端一定要牢固可靠。特别是要加强对个人保安地线的管理,防止因地线管理不善造成人身及设备事故。
8、要严格执行工作监护制。工作期间工作负责人必须始终在工作现场,对工作班人员的安全认真监护,及时纠正不安全动作,对施工复杂、容易发生事故的工作,应增设专责监护人,专职监护人不得兼任其它工作。在送、配电同杆并架线路上作业,做到一人作业、一人监护,监护人要精力集中,同时作业人员要佩带与停电线路色标相同的袖标,防止误登带电侧。
9、加强对外包工程的安全管理。各生产单位在承包单位进入施工现场前要审查《安全合同》、《安全资质证》,组织施工单位及有关人员做好安全技术交底,并有详细记录和资料,做好安全措施。施工中,各生产单位要加强对外包的安全的监督,坚决防止以“包”代管以“罚”代管现象。外包队伍进网作业要严格执行标准化作业而且其标准要同主业一致,如发现违章现象要及时制止,必要时可停止其工作。同时做好详细记录,双方签字。
10、加强对偏远供电所、生产班组和零散小型作业的安全管理。各生产单位提高对零散小型作业重视程度,春检期间如有零散小型作业各单位要认真组织,周密安排。各级人员要到岗到位,并要求有管
关键词:内部控制 风险管理 最佳实务
国内外财务舞弊事件的频繁发生,使内部控制成为全球性的热点问题。作为完善现代公司制度的有效方式之一,内部控制在提升上市公司运作管理水平、规避风险方面发挥着重要作用。1992年,COSO了《内部控制――整合框架》,该报告提出内部控制的三个目标和五个要素,受到国际内部控制理论界和实务界的广泛关注,已经被世界上许多公司运用,也被各国内部控制标准制定机构借鉴或采用。2002年,美国国会通过的《萨班斯―奥克斯利法案》,严格要求公司加强对财务制度和内部控制的完善和披露,已经得到全球范围内认可和应用。2004年,COSO了《公司风险管理――整合框架》,该框架不仅涵盖了原有内部控制的合理内容,而且强化了公司风险管理理念。风险管理的兴起对内部控制产生了重大的影响。2008年,我国财政部、审计署、证监会、银监会、保监会等五部门联合了《公司内部控制基本规范》,2010年财政部又了《公司内部控制配套指引》,这标志着我国公司内部控制规范体系基本建立起来。在此背景下,探讨国外内部控制最佳实务,有助于我国公司经营管理实践的提升。
一、展开培训,培养管理层内部控制观念
管理层对内部控制的重视,将有助于内部控制的有效执行,并减少特定控制被忽视或规避的可能。衡量管理层对内部控制重视程度的重要标准,是管理层收到有关内部控制缺陷及违规事件的报告时,是否做出适当反应。管理层及时地下达纠弊措施,表明他们对内部控制的重视,也有利于加强公司内部控制意识。控制理念反映在管理层制定的政策、程序及所采取的措施中,而不是反映在形式上。为了培养公司的内部控制和风险管理观念,公司应该给予管理层适当的培训,使管理层正确认知内部控制、理解其目标、职能及范围。这样一方面有助于公司遵守内部控制的监管规定,同时也能为达到内部控制目标提供更大的保证。培训课程可以由公司自行开发,也可以外包给在此方面具有专长的公司。
二、董事会持续有效监控
持续有效监控是完善内部控制的要素。然而,董事会不应被动,并且不应只依据公司内嵌入的监控程序以履行其职责。董事会应定期收取、审阅内部控制报告。负有内部监控的管理层或审计部门等职能部门,应不时向董事会或董事会委员会提交工作报告,汇报公司最新的监控情况。建议公司在审计委员会下设立审计部,除了配备专职的审计人员之外,如有需要,审计部可以根据具体审计项目的需要,临时申请抽调公司经营层面相关专业人员来配合、协助、支持,保证审计工作的有效进行。审计部开展工作不受其他部门或者个人的干涉,直接向审计委员会报告工作,最大程度保证审计部对内部经营管理活动的监控职能,审计部的日常行政管理归属于董事会办公室。
三、建立审计委员会
审计委员会作为董事会里的一个主要由非执行董事组成的专业委员会,是公司治理结构中的一项重要的制度安排,其目的是监督公司的会计、财务报告以及公司会计报表的审计。审计委员会的职权范围应包括与监管上市公司财务制度及内部控制有关的职责:(1)检讨公司的财务监控、内部控制及风险管理制度;(2)与管理层讨论内部控制系统,确保管理层已履行职责,建立有效的内部控制;(3)主动或应董事会的委派,就有关内部控制的重要调查结果及管理层对该结果的回应进行研究;(4)如公司设有内部审计部门,须确保内部和外部审计师的工作得到协调;(5)确保内部审计在公司内部有足够资源,且有独立的地位;(6)检查内部审计功能是否有效;(7)检讨集团的财务及会计政策及实务;(8)对外部审计师就会计记录、财务账目或监控系统向管理层提出的任何重大疑问做出回应。综合以上可以看出,如果审计委员会能够运行有效,能够给公司经营管理带来显著的效益。
四、设置内部审计部门
内部审计是公司内部监控系统的组成部分,有助于确保监控系统的有效性。内部审计可以通过以下程序对公司做出积极和有价值的贡献:(1)对风险管理,特别是在内部监控系统的设计、执行及运作方面提供建议; (2)识别监控中潜在的机会,降低运作上有关的损失,从而加强风险管理和监控管理的效率及效果;(3)提升公司内的风险管理及内部控制观念。内部审计功能可以提供各方面的收益。如果有适当资源,内部审计应该可以:(1)就公司的风险管理与内部监控是否足够及有效,向董事会及管理层提供客观保证;(2)帮助管理层改善用以识别、管理风险的程序;(3)协助董事会履行其加强、改善风险管理和内部监控架构的职责。
五、把内部控制、风险管理嵌入到公司业务流程中
公司的营运环境持续变化,导致公司所面对的风险也不断改变。完善的内部控制系统需要对公司所承担风险的性质、程度进行全面、定期评估。内部控制系统要有足够的灵活性,以便在环境、公司组织和目标有所变更时,能做出相应改变及调整。内部控制系统应该嵌入公司的运营中,并构成公司文化的一部分;能够对由公司内在因素所产生的业务风险及经营环境的变化做出迅速应对,包括向适当的管理层及时汇报任何重大监控失误或缺陷,所采取行动的细节。
内部控制系统必须嵌入公司的业务程序中,与其发展另一套风险报告系统,不如把内部控制纳入现有的管理信息系统内。过分繁复的风险管理程序会使其偏离重点,而这个重点就是通过把监控系统结合于现存的流程内,使公司内各职能部门及人员能更加专注于达成业务目标,并管理好与各部门工作有关的重大风险。
通过把风险管理嵌入于公司业务程序中,公司有机会消除重复或不必要的监控及创造一个环境,在完善的风险管理实务规范下,赋予公司内各人更大的权力,以满足顾客的需要。
六、建立内部控制自我评价系统
COSO认为,确定公司内部控制是否“有效”,是在对八个构成要素是否存在和有效运行的评估的基础之上所做出的判断。因此,构成要素同时也是有效的公司内部控制的判断标准。如果这些构成要素存在且正常运行,那么就可能没有重大缺陷,而风险可能已经被控制在主体的风险容量以内。同时,如果确定公司风险管理在所有四类目标上都是有效的,那么就意味着董事会和管理当局对实现内部控制具有合理保证。
七、编制内部控制手册
按照COSO报告、结合公司具体情况,编制内部控制手册,对完善公司内部控制制度,进一步加强公司内部控制规范体系建设工作,持续提升公司经营管理水平和风险防范能力,保证公司经营管理合法合规、资产安全、财务报告及相关信息真实完整,促进公司战略目标的实现和可持续发展具有很强的现实价值。
内部控制手册,不是新的构想、也不是新创造的体系,而是在公司现有的内部控制和管理制度基础上,借鉴COSO报告最新研究成果,将各部门、各岗位内部控制过程集合成较为系统的书面式文档,它涵盖了内部控制的五个方面,即内部环境、风险评估、控制活动、信息与沟通、持续监控,体现了公司内部控制的标准、原则和要求。在日常的生产经营活动中,应当随着公司内外部环境的不断变化,不断更新和补充手册内容,制定详细的业务操作层面细则,提高手册的可操作性与指导性,以期日渐完善。
通过编制《内部控制手册》,建立一套科学、系统的内部控制的方法和规范,为公司内部控制建设、运行和维护提供指引,并作为建立、运行及评价内部控制的依据,从而确保公司上下从思想上、行动上对内部控制体系保持高度统一。
八、考虑成本效益原则
在整体系统的设计及在风险识别、评估和确定风险的优先次序方面,必须考虑成本效益的因素。
内部控制是公司为实现既定目标而在内部建立和实施的各种控制方法、措施和程序等所形成的控制机制。这些方法、措施和程序的建立与实施需要付出一定的成本,如设计控制环节、设置岗位、配备人员,确保各控制环节的运行等都必须付出的代价。而内部控制的效益则是内部控制的方法、措施和程序在公司得到良好运行所应达到的各种目标,即:保证财务报告的真实可靠,防止舞弊行为的发生;保证公司资产的安全完整,避免因浪费、盗窃或不当经营决策而产生的损失;改善公司经营管理,提高经营效率,规避经营风险;遵守现行的法律、法规和公司内部的管理制度。内部控制所应遵循的成本效益原则指的是只要公司建立和实施内部控制的效果大于其成本,就是经济合理的,就应当设置和运行该项控制;反之,则不应当采用该项控制。
内部控制的成本是现时的,并在一定条件下是可以估量的;而控制产生的效益是建立和实施内部控制所达到的目标,是避免或减少风险和损失的可能性,很显然这种效益是未来的、具有很大的不确定性。在体现价值最大化的经营管理理念的环境中,公司不得不考虑内部控制的成本与效益问题,在建立和实施内部控制时,在可能获得的收益与不设置相应控制可能产生的损失之间做出理性的判断,进行权衡和取舍。Z
参考文献:
1.方红星主译,刘玉廷主审.《内部控制――整体构架》[M].大连:东北财经大学出版社,2008.
2.方红星,王宏译.《公司风险管理――整合框架》[M].大连:东北财经大学出版社,2005.
中小企业内部控制要素分析
中小企业内部控制要素的整合必须借鉴国际通用的做法;基于内部环境构建企业的内部控制,借助风险评估手段、以信息与沟通为重要条件,控制企业经营管理活动,要素之间的互动与互补共同搭建起企业内部控制框架体系。提升政府监管的执行力,完善企业内部控制实施机制,将利益相关者各种行为纳入企业绩效考评体系,促进各要素形成一种合力。
(一)内部环境
内部环境是企业内部控制制度建立的基础要素,也是执行与校验企业内部控制机制的空间。企业的内部环境首先是研究公司内部组织结构的激励机制以及权力的相互制衡的治理结构,然后是着眼点在于解决委托-问题的机构设置及权责分配,完善内部审计机制,实施富有创新理念的人力资源管理政策。
(二)风险评估
风险评估是实施内部控制的中心环节,其基本内涵是剖析和界定实现目标可能发生的风险,企业必须首先制定与业务相关的目标,界定出企业可控与非可控风险。在充分识别各种潜在风险因素后,运用定性与定量交融的方法,依照风险发生的概率及其影响深度,对识别的风险进行分类、分等,确定风险控制的优先顺序。
(三)管控措施
管控措施是执行内部控制制度的策略和方法,是基于风险评估结果,遵循企业内部控制目标导向的具体方式和载体。内部控制的管控措施首先是严格执行不相容职务分离控制。不相容职务分离的核心是“内部牵制”,其次是程序授权审批应贯穿于企业在办理各项经济业务的全过程。再次是紧抓财产控制关键要点,妥善保管涉及资产的各种文件资料。
(四)信息传递与沟通
信息传递与沟通是有效实施企业内部控制的关键要素。企业在其经营过程中产生的大量信息,应依据经营管理的需要对这些信息进行识别、过滤、整合,提高信息的使用效率。信息的价值也必须借助传递和使用才能充分体现出来。企业应当将内部控制相关信息在企业内部各部门及有关人员之间进行沟通和反馈,实现企业内部控制流程与信息系统的有机融合。
(五)监督检查
监督检查是实施内部控制的重要保证,是企业对内部控制执行情况进行定期和不定期的监督检查,对于发现的内部控制问题进行及时纠正,以确保企业内部控制的有效性。内部监督一般通过日常监督和专项监督方式来完成。
会计信息化对中小企业内部控制要素的影响
在会计信息化环境下会计技术手段与会计职能范围都有很大革新与拓展。因而应深入分析会计信息化对中小企业内部控制要素的影响。
(一)会计信息化改变内部控制环境
会计信息化系统融合计算机及网络数据处理技术,遵循会计做帐流程,除了数据录入及参数设置外几乎不需人工干预。会计信息化革新了传统的内部控制方法与手段,保留了原有的手工时期基本账务处理流程,但增设了基于信息化平台的内控程序与操作要点。一般来讲,实施会计信息化的企业会计部门常常划分成会计信息收集组、会计信息处理组、决策分析组、系统维护组等。实施会计信息化后,企业的大部分内部控制功能迁移到以计算机流程化为基础的运作系统之中,人机交互控制系统逐步替代传统的人员控制系统。
(二)会计信息化拓展风险评估范围
企业在实施会计信息化系统后,衍生出企业业务流程风险、模块牵制风险和数据质量风险。这些风险都成为内控的关键要点,每一个关键要点失控都会产生牵一发而动全身的结果。实施会计信息化后,作为商业秘密的会计信息一旦被不法分子通过计算机病毒、口令字试探等手段窃取,有可能会使企业内部控制措施失效。因此,信息化是一把双刃剑,一方面提高了内部控制的效率,另一方面也提高了系统的控制风险,加大了风险评估的范围。
(三)会计信息化促使企业内部控制重点发生转移
会计信息化的实施扩大了企业内部控制的范围,传统手工内部牵制制度已经发展到对系统开发过程的控制、调用和修改程序的控制等。信息一体化的发展,更是加速了企业与外部的信息传递频率,以往清晰的内外分割日益淡化,内部会计控制的范围不断向延伸,进而加大了企业内部控制的难度。基于此,会计信息化条件下内部控制的重点将从岗位分离牵制向网络安全、共享数据和人机交互处理的控制等几个方面发生转移。
(四)会计信息化增加企业内部监管强度
会计信息化的无纸化与信息集成化特性,使得不法分子产出更多的造假冲动。因此,会计信息化对控制和监督手段相比传统手工阶段要求更高、难度更大。在会计信息化条件下,企业内部审计业务更多地是选择外包,内部审计外包加大信息资源安全性评估的难度。因此,实施会计信息化的企业,监督的范围和深度将会不断增大。会计信息化一方面使得监督效能大幅提升;另一方面却是同比例地增加监督难度。
会计信息化背景下中小企业内部控制体系优化路径
(一)推进企业内部信息资源共享
会计信息化后,企业业务系统与会计系统无缝对接,发生业务时,会计系统可以及时接收业务系统传递的数据,按照会计处理流程填制记账凭证、对账、记账。这一过程都是在系统内部自动完成,人为干预的可能性大大降低,确保企业业务数据与会计数据的一致性。信息化的企业要充分发挥信息化共享与集中的优势,随着社会经济一体化的发展,人们对信息的共享与集中提出了更高要求。因此,企业在推进信息化建设过程中,首先做好顶层设计,整体统筹规划,其次,制定企业内部信息资源共享实施细则,有效落实企业信息共享机制。
(二)企业内部牵制制度优化
企业会计内部牵制制度是企业内部控制制度的一个重要组成部分。企业要依据相应的法律规范建立有效的内部牵制制度,实现不相容岗位分离与约束机制。为此,实施会计信息化的公司应采取中立的组织结构,打破传统的垂直化组织体系,使决策组织与执行组织围绕工作任务形成一个闭循环的组织结构体系。使相关的组织都能有效参与公司主体业务的处理与协同。通过企业内部牵制制度的优化,规范前端信息采集、中端业务处理、末端信息传递。
(三)风险管理机制优化
风险管理机制优化首先是在对企业经营过程中的风险进行识别、估测、评估的基础上,优化整合各种风险管理技术,对风险实施有效的管控,从中归纳出共性的规律,挖掘管理系统的内在关联及运行机理,使企业能在降低的经济成本同时获得最大收益。实施信息化的企业可以建立业务过程风险库,风险自动识别与自动报警系统,以降低企业发生错误和舞弊的风险。同时,借助科学化的预算系统,理清集权与分权的关系,实现授权与制衡的融通交替,提高企业经营管理效能。事实表明,健全的预算管理能够大幅度提高企业内部控制的约束力,最终提升企业经济效益。
(四)内部监督管理机制优化
在会计信息化背景下,企业监督管理机制范围不再是停留在企业内部系统,更是拓展到外部网络系统。因此,企业内部监督管理机制应进一步规范与优化,将控制要点嵌入会计信息系统之中,从系统规划、运行、维护全过程的控制,企业对会计信息系统建设的每个环节都要进行有效的控制,保证系统中融入的控制功能正确地发挥作用。内部监督管理机制优化的目标是创造一个开放的、透明的管理制度,建立一个顺畅的内部沟通渠道,形成规范的、有章可循的管理制度。实施过程中可以建立完善业务部门的自我监督即管理监督、部门之间的监督即关联监督和监督部门的专职监督三个层次的内部循环监督工作系统,实现对财政资金运行全过程动态监督。通过改进预算编制方法、严控银行账户和资金拨付管理,加强对预算编制和执行的监督,同时通过外部专项检查,检测预算执行的真实性与准确性。
(五)外部监督体系优化
一、现在:破茧
当年近62岁的谢企华从宝钢集团总经理的位子退下时,外界一般认为,顺利交接之后,她很快将不再担任宝钢集团的董事长,在超过“年龄门槛”后安享退休生活。2005年9月18日这个星期天的晚上,谢企华和国资委主任李荣融一起出现在央视《对话》栏目。人们才发现,她不仅不会离开董事长的位子,而且会成为另外一种意义上的董事长―― “规范的央企董事会”董事长。所谓“规范的央企董事会”,就是建立由国资委委派的外部董事和企业内部董事组成的董事会,逐步形成出资人、董事会、监事会、经理层各负其责、协调运转、有效制衡的机制。这样,国资委就可以把选择经理人员,考核经理人员,决定经理人员薪酬、重大投融资等具体权力交给董事会。这只是央企改革的一个缩影。
(一)CFO开始主导业绩管理
实际上,央企所属的境外上市企业早就开始了大刀阔斧的改革,而变革的核心是建立股东利益至上的现代企业制度。中石油总会计师贡华章将公司的变革历程分为计划经济时期、过渡时期、市场经济时期和跨国发展时期四个阶段。作为中石油的财务掌门人,贡华章先生早就在公司推动了以价值管理为基础的财务变革,为中石油建立了一整套科学的考核指标体系,成为公司业绩稳定增长的保障。
(二)上市公司的CFO开始参与股东关系管理
2006年的股权分置改革是一个多方博弈场。在这场博弈中,CFO显得格外活跃。一位不愿透露姓名的上市公司CFO说,2006年几乎整年都在与股东打交道,这在以前是不可想像的。CFO需要主导整个股权分置改革方案,与大股东、机构投资者和中小投资者沟通。机构投资者的问题非常直接,他们最想知道公司未来能实现多少利润和现金流。而在股权分置改革的网上交流会中,中小投资者除了关注对价方案外,提问题最多的也是财务问题。圆满地完成股权分置改革,使大股东、机构投资者和中小投资者都能支持股改方案,不仅需要知识、智慧,还需要沟通的技巧。
此次股权分置改革让投资者看到了各种金融创新,这体现了CFO的才智;也看到了管理层的诚意,这使他们体会到了主人的存在。股权分置改革的意义不仅在于解决了股市的长期遗留问题,更重要的是转换了上市公司经营者的理念。一位上市银行的董事长在股权分置改革网上交流会上坦城地说,我们真正理解了股东支持的重要性,而股东的支持与管理层给股东带来的回报是分不开的。经历股权分置改革后,管理层终于认可了CFO在股东关系维护中的作用,毕竟机构投资者、中小股东更加看重财务数据。
(三)风险管理成为CFO的日常工作
CFO在传统上只关注财务核算,公司的财务风险他们看在眼里、急在心上却无能为力。一方面,缺乏活跃的衍生品市场来创造风险对冲工具;另一方面,即使存在风险管理手段,他们也瞻前顾后,因为做好了没有激励,做坏了要承担责任。但现在,我们在上市公司公告中可以频繁地看到CFO开始采用复杂的衍生品管理企业的利率、汇率和价格风险。
2006年7月28日,平安保险在香港联交所公告称,平安保险7月21日和中国工商银行上海分行签订了年度总额不超3亿美元的外汇掉期总协议。宝钢集团在2005年年报中披露:与中国银行、中国工商银行及中国建设银行签订了借款本金总计为200亿日元、期限为5年的利率互换协议,其中中国银行60亿日元、中国工商银行80亿日元和中国建设银行60亿日元。
(四)CFO们开始参与准则制定讨论
我国的会计规范一般采用自上而下的方式制定,由政府部门新的会计规章和实施细则,企业财务人员则依葫芦画瓢地遵照执行。在实务中遇到难题,则向主管会计事务的财政部门寻求指导。现在情况有了变化。一方面,财政部会计准则委员会强化了向企业征求意见的程序,另一方面,企业越来越关注会计准则的经济后果。来自中国银行的会计部门负责人称,实际上我们行参与和跟踪了金融工具会计系列准则制定的全过程,并详细地评估了准则条款对中行财务状况和经营成果的影响。
对关注会计准则不仅是CFO的事,企业负责人也开始意识到准则对企业的影响。南方某林业上市公司管理层对新制定的“生物资产”准则感到很不安,并反复上书与会计准则委员会沟通。原因是南方阔叶林与北方针叶林的特性不一样,在“郁蔽期”后还有相当长的时间才能成材,如果达到“郁蔽期”即停止费用的资本化,将使企业的经营利润受到很大影响,并引起利润的波动。
CFO们参与准则征求意见稿的讨论不仅有利于建立符合我国国情的会计准则,更有利于为投资者提供更为精确的财务报告和盈利预测,这对我国资本市场的长期稳定发展有重要意义。
(五)CFO在财务和会计领域的创新
成本管理是CFO们的看家本领,他们对此也精益求精。宝钢集团的成本管理始于创立于1977年的宝山钢铁总厂,其成本管理的历史可以写成一本经典的教科书。成本管理一直是其管理致胜的秘密武器,而且每一个发展阶段都会发展更为先进的成本管理技术。由于财务在集团中地位的凸显,宝钢财务管理团队在公司一直备受重视。
CFO们在财务部门内部也开始了流程的变革。财务外包和共享服务中心是常见的手段。对于部分财务功能的外包和内部会计工厂的建立,光明乳业的CFO章国政功不可没,且确实大大提高了财务效率并降低了财务成本。光明乳业董事长王佳芬对此亦是高度赞赏。银行业内财务流程的变革是银行近期管理的重心。交通银行的一位博士后说,汇丰银行的亚太单证处理中心就在陆家嘴,处理着整个亚太区的财务单据,效率实在太高了,交通银行可能将来也要走这条路。
投资、融资体制的创新给CFO带来了更大的空间。2006年5月15日,长江电力的认购权证方案获中国证监会审核通过,每10股流通股股东将无偿获得1.5股的认购权证,行权价为每股5.5元。这是一个一箭双雕的方案,一方面,妥善解决了非流通股问题,同时可募集约67亿资金。在资本运作方面,公司在收购广州控股11.189%的股份后,又闪电般出售了获益不菲的中国建设银行H股股份。
在与笔者的一次交流中,广东纺织集团执行董事高深有感触地表示,3年前在接受你们访谈时,我们谈到了CFO的使命和转型,那时预见到了市场经济改革一定会给CFO带来更大的空间,但没有想到变化会这么快,一切都太快了。
二、未来:放飞
现在只是未来的一个起点。对于雄心勃勃的公司及其财务大臣CFO而言,财务的变革只是刚刚开始。市场经济改革向纵深发展也将为CFO们提供更为广阔的舞台。
(一)股东价值创造理念逐步深入人心
国有企业一直因股东不到位而被诟病。股东缺位导致了管理层的机会主义行为,管理层的升贬奖惩也主要命系政府的一纸公文。现在这种局面已在逐步改变。破冰之旅始于国资委的成立和国资委所主导的现代企业制度变革。国资委成立伊始,就开始行使股东的真正职权,不遗余力地建立科学的公司治理机制。国资委2号令《中央企业负责人经营业绩考核暂行办法》的出台意味着,央企管理层每年都要向股东交一份业绩答卷。对于境外上市的央企而言,股东价值的理念早就根深蒂固。央企的改革将给地方国企的改革带来示范和推动作用。在未来几年,地方国企将加快改革步伐,并逐步向央企看齐。
上市公司的股东观念要强于非上市国有企业。经过股权分置改革后,上市公司的管理层更加意识到股东支持的重要和给股东创造价值的必要。机构投资者的壮大也有利于约束管理层,因为对于机构投资者而言,最重要的还是业绩,不论短期的还是长期的。中小投资者虽然多数情况下只能用脚投票,但他们投资行为的成熟将促进市场选择的效率,使那些侵蚀股东利益的公司难以滥竽充数。在大股东持股不能流通时,他们的股权价值一般以账面值来衡量,感受不到业绩波动对其股权价值的影响。在可以流通后,他们突然发现以前的纸上富贵变成真金白银,这些财富与其持股公司的业绩密切相关,这将使他们更加着力于促进管理层为其兢兢业业地经营。
(二)CFO未来的工作核心
在股东利益至上的公司,担负起价值管理重任的是CFO及其财务团队。CFO的首要任务便是建立科学的业绩管理体系。在《中央企业负责人经营业绩考核暂行办法》出台后,起草该办法的直接负责人国资委业绩考核局局长李寿生指出,考核结果要与中央企业负责人的报酬挂钩,逐步试行企业负责人年薪制。对于境外上市的央企而言,他们要面对国资委和境外投资者的双重考核,他们早就按照跨国公司的管理要求,建立了完整的业绩评价指标和考核机制。央企的实践将成为其他上市公司、国有企业、甚至民营企业的样本。
作为业绩管理体系的一部分,期权激励计划正成为热门词,未来CFO将需要主导期权激励方案的设计。2006年3月,万科股权激励方案揭开了面纱,媒体称该长期激励计划弥补了好公司的唯一缺陷。5月30日,万科股权激励计划在股东大会上顺利通过。根据该计划,如果每年的业绩达到设定的指标,则按当年净利润净增加额的一定比例提取激励基金,通过信托管理方式委托信托公司买入公司A股股票。此后,美的、士兰微、平安人寿、国光等公司也纷纷推出期权激励计划。上市公司实施期权计划将成为普遍现象,而CFO则是设计师。
提供财务报告和盈利预测是CFO的天职。在新准则颁布之前,CFO只需要遵循准则和制度的要求,并没有很大的自。未来,他们可以根据企业的实际情况制定自己的会计政策,即自己量身定做。这不仅需要与管理层沟通并解释不同会计政策对公司财务报告的影响,最终形成自己的会计章程,而且要评判每项准则条款给企业带来的经济后果。这种经济后果可能会直接或间接影响公司的现金流或经营模式。来自银行的一位人士说,我们在把某类金融工具归类为交易类金融工具或可供出售金融工具时,不仅要考虑管理的真正意图,还要考虑这样会不会产生短期行为,因为我们在进行绩效考核时,要对这些金融工具采用市价,这容易导致业务经理从短期的价格波动考虑,而不是从长期的稳定收益考虑。会计信息的披露不仅仅是准则的遵循,企业需要审慎地选择会计政策。
通过并购实现企业扩张是最快的途径,在许多并购中CFO是始作佣者,也是主要的定价决策人,未来他们会有更多的参与机会至甚致主导并购。当非流通股和流通股的分割得到完美解决后,我们将在市场上看到一浪高过一浪的并购,这种并购不仅仅是TCL的内部整合,也不仅仅是武钢、鞍钢或上港集箱式的整体上市,更有可能是一百和华联的换股吸收合并,或是维柴动力和湘火炬式的换股跨市场并购,或是更为激烈的股市要约收购。CFO将参与更多的定价、并购方式和对价支付方式的选择。
未来风险管理和内部控制将成为CFO工作的重要部分。CFO们需要制定整合的风险管理方案,不仅包括市场风险的管理,而且包括完善的内控机制。一方面,由于国际资本四面出击,商品期货市场、利率、汇率的波动加剧,随着我国外汇和利率趋于市场化,也会和国际市场联动,企业的风险加大,风险管理对企业日趋重要。同时,我国的衍生品市场会迅速发育,CFO们提供更多的风险管理工具。另一方面,内控机制的有效性正成为监管部门关注的重点。美国SOX 404条款正为越来越多的国家效仿,我国财政部正致力于建立自己的内控规范,而上海交易所已了针对上市公司的内控指引。对于CFO们而言,这是一种升级版的风险管理。
摆在CFO案头的工作还有很多,在我们调查的样本中,多数CFO认为自己将会更多地参与公司战略(73.9%)、更多地对内提供信息和决策支持(69.4%)、建立合理构架并优化财务流程(64.3%)、或建立更完善的财务制度(66.7%)。