流程管理;企业;风险管理模式;构建
企业业务流程管理是以吸纳业务流程重组、流程再造思想与工具为支撑要素,采用综合性的方法强化组织战略,旨在强化业务操作的精细性与规范化的一种管理方式。对其进行合理运用可以降低企业运营成本,提高企业内外部响应速度,最终巩固企业抵抗风险的能力。以业务流程为入手点,将风险管理有效融入流程环节中,实现与企业现有管理框架的耦合,是构建基于流程管理方式下企业风险管理模式的主要途径,同时也是充分发挥风险管理工作有效性的必要手段。
一、流程管理概念综述
二、构建基于流程管理的企业风险管理模式的可行性与现实意义
企业内部的一系列业务流程集成了企业的运营与发展,而所有单体业务流程中的活动或“子流程”是这些业务的支撑要素。基于此,要想推动企业稳定而高效的运营,需要以流程为着手点,提高其运作效率。现阶段,市场竞争愈发激烈,经过不断地迭代演变,风险管理已经成为大型企业内部管理不可或缺的组成部分,特别是在实际业务流程中融入风险管理思想与手段之后,业务流程经历了综合性与系统性的设计与改造,突破了以往各种“信息孤岛”的状态,从而初步构建了以流程管理为基础的企业风险管理模式。
2.流程管理是企业风险管理实现显性化的导向企业要想提高风险管理工作的可操作性与科学性,就必须将风险管理与流程有效地融合起来,构建以业务流程管理为基础支撑的风险管理模式,将错综复杂的风险管理活动进行转变,使其以流程输入、输出为导向,提高其动态化与层次性,同时以业务流程中无数个“工作流”为支撑要素,将关键控制点推送到业务流程中,将风险管理与业务流程有效融合,进而提高风险管理的显性化。
3.业务流程是企业开展风险管理的基础支撑作为一种循环流程,企业风险管理主要包括业务分析、业务流程梳理、风险识别、风险评估、提出风险控制策略、实施风险管控、管控效果反馈与改进等环节,因此其属于一种业务流程为支撑要素,以信息系统为平台,切实实施风险预警、监控与管理改进的闭环管理模式。其工作的开展与进行主要以企业各业务流程为依托,通过对风险点进行辨识,构建风险识别、分析、管控、改进等多环节为一体的风险管理框架,进而以业务流程为基础的风险管控机制,实现企业各业务重要运营活动与运营单元的安全管控。由此可见,企业风险管理与业务流程管理具有极为紧密的联系,企业开展风险管理需要以业务流程为基础支撑。
要想构建并实施以流程管理为基础要素的企业风险管理模式,并提高其科学性与显性化,就必须将企业业务流程管理框架设计作为风险管理的头绪,采取由上而下或自下而上的互动方式梳理企业目标领域的业务流程,推动并实现每一层业务流程的目标,进而促进企业总战略目标的实现。最终将风险管理流程框架与具体业务风险管理流程有机结合起来,并在该体系中对风险点与关键流程管理环节进行详细描述,如此可以将流程管理有效的融入到企业风险管理工作中,提高风险管理工作的可行性与显性化。
2.流程管理视角下企业风险管理体系设计企业需要以全部业务流程的构成情况为逻辑架构,并将其视为风险管理工作的骨架与脉络,在基于流程管理的企业风险管理体系设计过程中,首要任务是打破传统职能部门与组织机构的流程组织方式,对企业业务流程的顶层结构明确定义,并以分层方式对指导框架进行细化,对一层进行完善以后,才允许进行下一层指导框架的处理与构建。在基于流程管理的风险管理体系中,各单位的战略规划、业务流程与职责、业务流程图及目录梳理成果等是构成体系的基本要素与支撑,对企业各部门的主要业务职责和业务特点进行了集中反映;在该体系中,企业需要以企业的战略规划与规章制度作为牵引动力,为该体系的高效运转注入源源不竭的推动力量;与此同时,企业要想构建基于流程管理的风险管理模式,还需要对国际上流程框架的案例进行充分参考与借鉴,例如ERP模型、APQC模型等,借助这些案例,企业可以对价值链为线索的流程组织方式理解得更充分。
四、A企业构建基于业务流程的风险管理思路及措施
五、结论
构建基于流程管理的企业风险管理模式具有较强的综合性与复杂性,该模式逻辑架构层次分明,具有较强的精细化与规范化,对于细化分析业务流程,明确业务流程中的风险环节与操作,凸显关键风险控制点具有较强的可操作意义。同时可以将具体的风险因素的排查与风险控制点的管控落实到相应部门,明确岗位“权、责、利”的科学分配,最终使业务流程成为桥梁,提高风险管理工作的固化与显性化,推动企业的可持续发展。
参考文献
[1]王锋.财务风险在经营活动中的定位[J].中国商贸,2015(,4):35-36.
[2]王怡文,柯柏成.美国企业高阶管理阶层对风险管理观念之剖析[J].中国内部审计,2015(,1):58-60.
[3]杜放,冯家杰.我国企业风险管理的现状、问题及对策探析[J].物流技术,2014(,23):103-105.
[4]程强,顾新.基于COSO风险管理的知识链知识转化风险防范研究[J].图书馆学研究,2015(,5):45-48,34.
在构建内部控制体系的实际工作中,最重要的环节是《关键控制管理文件》的建立,本文将重点对《关键控制管理文件》的编制做具体介绍。
一、《关键控制管理文件》的编制程序
(一)在抚顺石化内控项目组(以下称项目组)拟定的《关键控制管理文件》的基础上,由各专业管理流程编制人员(以下称编制人员)制定《关键控制管理文件》初稿后,再经复核人员审查。
(二)中国石油总部项目组和外部专业人士对审查后的《关键控制管理文件》初稿进行审阅,提出咨询意见,再由编制人员修改后,报抚顺石化领导和一级流程负责人审定。
(三)经项目组负责人员审查后,形成报审稿,报中国石油内部控制体系建设委员会最终审定后,执行。
二、《关键控制管理文件》的主要内容
(一)关键控制管理文件说明。该部分主要说明了《关键控制管理文件》的编制依据、主要内容、实施要求,便于所属单位贯彻实施。
(二)重要业务流程目录。该部分反映了与中石油总部《关键控制管理文件》进行对应后形成的抚顺公司的13个一级流程、100个末级子流程的总体情况。
(四)关键控制文档。以中石油总部关键控制文档为蓝本,描述公司涉及的全部关键控制、重要风险、实施证据和制度索引。
三、《关键控制管理文件》的编制步骤
(一)明确重要业务流程
1.项目组将中石油总部《关键控制管理文件》中确定的重要业务流程目录,与抚顺石化公司前阶段确定的业务流程目录进行对应,结合抚顺石化公司管理实际,确定抚顺公司《重要业务流程目录》初稿。抚顺石化公司重要业务流程将13个一级流程、100个末级子流程纳入《关键控制管理文件》的编制范围。
根据重要业务流程目录,对各主要业务流程及其风险点进行描述,形成初步业务流程图和风险控制文档。
2.与中石油总部重要业务流程的差异:一级流程与中石油总部确定的一级流程一致。但末级子流程方面,根据抚顺石化的具体业务情况,减少了拆迁管理、地质勘探支出、证实石油储量、油气成本核算、原油销售、天然气销售、成品油零售、成品油批发、现收货款、国债回购、资产委托管理、定期结算、债务管理(除或有负债外的6个子流程)、对外财务报告(总部)共计18个末级子流程;并对涉及存货、账户管理、内部资金划拨、票据管理、对内财务报告、会计业务处理、合同与纠纷等7个子流程进行了不同程度的细分。
(二)编制关键控制文档
需要注意的是,在编制本企业关键控制文档时要对控制措施进行准确的描述,不能随意扩大其外延或压缩其内涵。比如,某关键控制描述为A岗位审核某数据。实际风险控制中A岗位审核某数据之前的申请或提报以及之后的交接,如果无其他关键控制约束,则不应列入关键控制。有关A岗位审核的事项,则需要完整清晰地描述。随意扩大关键控制范围则会引起测试样本量的增加,有意缩小则易造成关键控制无效。
(三)持续改进业务流程图
根据前期已确认的重要业务流程及描绘的业务流程图,重新进行全面梳理和拆并,使描述的业务流程图更加符合企业的业务流程现状。
流程图式样的细节方面,在中石油总部流程图式样的基础上,针对流程图图标、背景、流程编号、风险与控制点位置、职能带宽度、框架边距、结束标记等进行了修订。
(四)修改完善风险控制文档
1.风险控制文档修改的总体情况
抚顺石化100项重要业务流程,全部编制了风险控制文档,并已进行了全面的修改和完善。设置风险点409个,控制654条;其中重要风险258个,关键控制266个。
2.修改风险控制文档的过程
对末级流程风险控制文档中,无关键控制的,则不再列入关键控制管理文件。涉及关键控制的,即使只有一个,也需将同一末级流程的其他非关键控制措施纳入关键控制管理文件。
对于关键控制应在风险控制文档上标注编号,与关键控制文档进行对应。规范风险控制文档格式,统一标准。对风险控制文档中风险类别、控制目标、控制方法、控制频率、制度文件索引等其他要素进行完善。
3.修改完善过程中应注意的问题
(2)以流程顺序、控制步骤为主线,对风险控制进行描述,做到控制描述前后连贯、系统,不重不漏。
(3)控制描述要做到要素齐全、层次清晰、表述准确。
(五)收集、整理、规范关键控制证据
1.收集、整理规范关键控制证据的总体情况
抚顺石化内控项目组共收集了证据示样221份,规范实施证据114份。项目组确认关键控制示范证据示样114份,涵盖了100项重要业务流程。这些控制证据的收集和规范,对于保障关键控制的实施,强化公司基础管理水平将起到重要作用。
2.收集、整理规范关键控制证据的过程
(1)确定关键控制证据目录。抚顺石化针对关键控制,对于控制过程中控制力相对较强、具有示范意义的控制证据,确认为关键控制示范证据。如一些经常性检查工作无证据的,可采取工作日志作为证据。
(2)按照规范、统一、合理的原则,对关键控制证据的设计格式、控制要素、控制作用进行逐项审定。
(六)收集、整理、修改、补充管理制度
1.收集、整理、修改、补充管理制度的总体情况
抚顺石化共收集《关键控制管理文件》涉及的管理制度132个,其中,抚顺公司制定管理制度88个,股份公司管理制度32个,国家财政、税务等部门管理制度12个。本次收集的289个抚顺公司管理制度中,拟对110个管理制度进行修改完善,拟新制定《租赁管理办法》、《或有负债管理办法》,《无形资产管理办法》等32个管理制度。这些管理原则,基本涵盖了风险控制管理文件中的各项控制措施。
(2)对于缺失的管理制度,进行补充。
(3)对于描述不准确、不完整、与控制有矛盾的制度条款进行修改。
(七)编制程序控制文件
四、编制《关键控制管理文件》的经验
第一,集中办公,提高工作效率。关键控制编制阶段的专业性较强,炼化企业人员构成中,专职负责内控工作的财务、审计人员较少,因此要充分发挥各处室业务骨干作用,集中人员,集中办公,提高沟通协调效率。
第二,统一关键控制文档模板。一方面,模板不统一会造成要素不全;另一方面,模板不统一,不易进行汇编,会给其后印刷制册工作带来很多工作量。
第三,合理分配人员。受各部门业务分工的局限,有些业务流程涉及专业多,要注意协调流程间的接口;有些部门涉及流程较多,工作量大,特别是财务内部流程,容易造成工作量不平衡。因此,要注意人员的合理分工,忙闲结合,按期完成各阶段的控制目标。
第四,加强二次培训。因内控工作专业性较强,一些语言晦涩难懂,在培训上要加大力度。对操作性的关键环节,要明确目标,示范举例;确保项目的实质内涵清晰,通过提供足够的标准文本,避免发生猜测与臆想;采用选择或填空的方法,解决表单填写的技术难题。
由于对原有手工业务流程的重新设计,ERP系统的实施在很大程度上改变了企业的业务流程。在ERP系统实施以前,许多企业基于计算机的业务系统,基本都是围绕某一业务功能或者是职能部门运行的,比如销售系统、采购系统和财务系统等。这些系统都不是基于跨部门的流程来设计的。ERP系统实现了从采购到付款、订单的获取到发票的开出等业务集成,实现了跨职能部门业务处理。
在这种情况下,ERP系统中单一的数据库,使过去跨部门的审批流程得到简化和压缩。压缩所造成的一个结果是,用于企业内部控制的许多审计线索在ERP系统的引入后消失了。同时,企业过去基于文件审批的内部控制机制,也无法适应ERP基于流程的管理需要。更重要的是,由于企业的业务运作更加依赖于ERP系统,这种依赖和信息系统本身特点所导致的脆弱性,形成了企业新的业务风险。
实施ERP系统后,企业所遇到的业务风险一般来自四个方面:业务流程、应用架构、数据质量和技术架构。其中,业务流程的转变对企业内部控制的影响最大,对企业内部管理和财务方面的监控提出了新的要求,这方面的风险特征相比过去发生了根本性的变化。例如,在ERP系统中,通过对手工流程的机器处理,比如审批处理自动化等,进一步增强了完成各种业务流程的效率。但是,在新的业务执行环境中,这些审批处理自动化方法将改变企业内部原有的一些风险特征,这时相应的内部控制体系就需要重新评估和设计。
内部控制蕴涵新的风险
ERP实行的是流程化的管理,打破了原来职能部门的条块分割,实现了企业资源的统一管理和共享。企业的运行和管理在一定程度上已经交给了ERP系统来进行控制。
这样一来,一方面导致企业所处的内部风险环境发生了变化,过去手工状态下的控制风险,由于ERP系统的引入而变得更加复杂;另一方面,ERP系统的实施需要对原有的业务流程进行优化和设计,改变了企业的组织结构。
流程优化的目的就是减少或合并流程中重复的、不增值的环节,原有的基于手工作业流程中有利于控制的重复环节将消失,这样一来内部控制体系会发生变化。这些变化必然对企业内部的整体控制体系的有效性产生负面影响。在这种情况下,就需要企业对基于ERP系统的关键业务流程的内部控制进行定期的审核,确认是否存在足够的有效控制以降低由于ERP系统的使用而带来的业务风险。
定内部控制目标
针对由ERP系统实施所带来的新的业务控制风险,我们需要对企业内部控制体系做重新评估和完善。ERP系统实施之后,内部控制评估的目标通常包括下面这些内容:
1.利用风险评估手段重新确定企业中关键的业务流程;
2.对整个流程和控制的设计进行评估,确定这些控制是否很好地满足和支持最终业务目标的实现;
3.对岗位职责分离的评估,确保在整个流程中存在正确的稽核点和平衡点,对敏感业务交易给出足够的访问限制;
4.评估控制方式是否合理,比如基于手工流程的控制和基于系统的自动控制是否搭配合理。
确定评估范围
一般来说,ERP系统将覆盖营销、计划、生产、采购、仓储、财务、人力资源等企业运营管理的各个层面。根据经验,如果对每个流程和控制点都进行评估在资源的利用上是非常不经济的。
ERP系统的控制评估必须基于风险管理的原则,通过风险评估寻找对主要业务运作中影响最大的领域。换句话说,我们可以从企业整个业务风险域中寻找对企业具有最大风险的业务流程,从而进一步确定有哪些ERP模块在支持这些业务流程。
一般来说,我们通过对业务流程所有者的访谈,来确定我们的评估范围。
在对实施了ERP系统的企业的调研和风险评估中,我们发现,ERP系统中涉及到企业收入业务、支出业务和库存业务的系统控制流程对企业的业务能否顺利运转影响比较大。对于这种影响,是这样定义的:由于业务控制的削弱,导致企业出现经济问题和违规问题的可能性增加。
在确定评估范围之后,我们需要对这些流程进行描述和分析。对ERP流程中的每个动作,我们都需要追溯到它的结果,描述风险特征并确认相应的控制点。
在ERP环境中,通常有两种控制方式我们需要考虑:一种是基于系统的控制,另一种是基于流程的控制。在ERP系统支撑的业务流程中,上述两种方式通常需要结合使用。
手工控制主要依靠个人职责的履行来完成。比如,通常付款是需要通过填表、签字确认才可支付的。基于ERP系统的控制,是由软件来完成的,通过控制数据的有效性和合理性来限制和核查动作的合法性。ERP系统的参数设置将决定这个领域的控制级别。
这些控制包括用户访问、字段验证、工作流和许多其他用于确保数据处理一致性的控制。例如,系统会自动拒绝生成一张与前一次序号相同的发票。这样就自动降低了差错发生的可能性和应付帐款处理的混乱。
值得注意的是,在ERP系统实施过程中,某些二次开发工作会削弱在系统中已经设置好的控制,从而产生新的风险因子。这个时候,我们必须要用手工控制来弥补。
需要了解的是,即便根据ERP系统的要求,调整和优化了内部控制,减少了由于“流程自动化”带来的内部控制可能的削弱,仍然无法彻底消除系统本身的特点导致的控制盲区。这在复杂的系统接口和多用户访问情形下,问题是比较突出的。
很少有企业用一个系统将企业所有的数据和流程都管理起来。所以,ERP系统和其他系统之间的接口是实现不同系统间数据互联互通的必需。这些位于不同系统之间的接口是一个重要的风险区域。
[关键词]检验检疫;SIPOC;风险管理
doi:10.3969/j.issn.1673-0194.2015.18.096
0引言
检验检疫本身是风险管理的一种方法和手段,是为了确认进口/出口商品符合国内/海外的标准和要求,防止不合格品的流入/出(把关失效)。为实现检验检疫的基本职能,风险管理作为基本的研究课题,非常必要。
风险存在于业务流程的各个环节之中,进行风险识别,首先要对业务过程进行梳理。SIPOC(Supplier供应者、Input输入、Process过程、Output输出、Customer客户)是识别业务流程中关键风险源的分析方法。通过这种方法,人们可将业务流程(如某减值点)分解为若干关键点,并明确其目标和涉及的人、财、物及流程等要素,以确保全面梳理该流程所涉及的风险。
1SIPOC概述
SIPOC模型定义:SIPOC模型是一代质量大师戴明提出来的组织系统模型,是一门最有用且最常用的流程管理和改进技术。戴明认为任何组织都是一个由供应者(Supplier)、输入(Input)、流程(Process)、输出(Output)以及客户(Customer)相互关联互动的5个部分组成的系统,即SIPOC。
SIPOC模型的关键点包括以下几点。
(1)所有的员工和工作单元都是不同业务流程的供应商和客户。
(3)当你为组织中的其他个人、团队或组织外部的客户提供原料信息或服务时,你就是供应商。
(4)你作为客户得到的原料、信息或服务就是输入。
(5)你作为供应商向其他个人或团队提供的原料、信息或服务就是输出。
(6)你的工作不是一个孤立的活动,而是整个工作流程的一部分。所谓的工作流程是指接受。
(7)供应商的输入,在每一个步骤上为这些输入加入一些有价值的东西并且生产输出物的满足客户需求的过程。
2分析方法
运用SIPOC的方法从流程的角度出发,针对关键业务或事项,结合检验检疫的各项工作目标,考虑影响目标实现的关键因素。
梳理过程中强调的是:始于客户,反向操作。
通过运用SIPOC技术的梳理功能,可获得各业务流程的输出项,工作质量可通过输出项的数据进行量化;已识别出来的风险,可追溯到各流程的输出项进行评估,而原因的分析可以追溯到工作流程、信息供应商输入的完备及准确性等。
3分析内容
图1展示了检验检疫职能的简易SIPOC。针对检验检疫过程,应用以上介绍的SIPOC技术的流程图举例如表2~表5所示。
通过表3的梳理,可以发现“标准不明确”“标准难执行”与流程中在征求意见环节、有效性评估环节方面的缺陷。
通过表4的梳理,可以发现在人员与岗位符合度方面,目前仍没有适当的监控指标。
4结语
SIPOC模型使参与某一特定工作流程的工作人员清晰地看到一幅描绘一项业务从开始到结束的实际完成过程的图像,从而鉴别其他团队或部门成员所做出的不同努力,了解他们或他们部门执行的任务与其他个人、团队、部门所执行任务之间的关系。
SIPOC梳理出了各部门或业务流程的关键输出项,也为风险的识别、风险探测因子的支持数据提供了全景梳理,为后续的风险管理工作提供了更为宏观和系统的支持。
主要参考文献
[1]戴云徽,韩之俊,郭春明.基于FMEA的出入境检验检疫目标符合性条件筛选研究[J].技术经济,2009(1).
[2]戴云徽.出入境检验检疫符合性条件的筛选、检验策划及风险预警研究[D].南京:南京理工大学,2009.
[3]朱俊敏.加强风险管理提升检验检疫廉政建设水平[J].中国检验检疫.2013(3).
[4]李宗,华菊.对检验检疫风险防范管理的认识[J].中国检验检疫.2011(3).
[5]孙蓓玲.检验检疫机构有效实施ISO9000质量管理研究[D].苏州:苏州大学,2007.
[6]李蔚,蔡淑琴.建设项目集成的SIPOC模式及其组织支持[J].科研管理,2006(1).
一、互联网新技术新业务信息安全评估的内容
(一)评估内容。
(二)“传统”安全评估的主要内容。
虽然目前的评估都来自于ISO13335-2信息安全风险管理中,但主要的内容为:管理脆弱性识别包括组织架构管理、人员安全管理、运维安全管理、审计安全管理等方面的评估技术脆弱性识别漏洞扫描:对网络安全、网站安全、操作系统安全、数据库安全等方面的脆弱性进行识别。基线安全:对各种类型操作系统(HP-UX、AIX、SOLARIS、LINUX、Windows等)、WEB应用(IIS、Tomcat等)、网络设备等网元的安全配置进行检查和评估。渗透测试:渗透测试是站在攻击者的角度,对目标进行深入的技术脆弱性的挖掘。
(三)业务信息安全评估与“传统”安全评估的对比。
虽然安全风险评估基本都按照了ISO13335-2中的方法来操作,但是通过对业务信息安全评估的内容和“传统”安全评估内容对比不难看出,“传统”安全评估主要集中在网络、系统和应用软件层,且每层的评估比较孤立,很难全面反映业务的主要风险。“以业务为中心、风险为导向”的业务系统安全评估能够与客户的业务密切结合,风险评估结果和安全建议能够与客户的业务发展战略相一致,最终做到促进和保障业务战略的实现。
二、互联网新技术新业务信息安全评估的主要方法
“业务为中心、风险为导向”的信息安全评估思路互联网新技术新业务信息安全评估是开展其他信息安全服务的基础,而以“业务为中心、风险为导向”的信息安全评估思路,是切实落实信息安全风险评估的根本保证。
(一)主要流程。
对互联网新技术新业务信息安全评估来说,分为三大基本步骤:一是深入业务,分析流程;二是业务威胁分析、业务脆弱性识别和人工渗透分析;三是风险分析和处置建议。
(二)深入业务,分析流程。
(三)脆弱性识别。
1.系统和应用软件层脆弱性识别。对评估范围内的主机操作系统及其上运行的数据库/Web服务器/中间件等系统软件的安全技术脆弱性,得到主机设备的安全现状,包含当前安全模块的性能、安全功能、稳定性以及在基础设施中的功能状态。
2.网络层脆弱性识别。明确被评估系统和其他业务系统的接口逻辑关系、和其他业务系统的访问关系、得出清晰的基础设施拓扑图;从网络的稳定性、安全性、扩展性、(易于)管理性、冗余性几个方面综合评定网络的安全状况。
3.现有安全措施脆弱性识别。识别并分析现有安全措施的部署位置、安全策略,确定其是否发挥了应用的作用。
4.管理层脆弱性识别。识别和分析安全组织、安全管理制度、流程以及执行中存在的安全弱点。
(四)业务威胁分析。
对于业务系统来说,安全威胁及安全需求分析的最小单位是数据处理活动。可以通过安全威胁列表来识别威胁,构建安全威胁场景来进行威胁、风险分析。
1.列出评估的业务系统的全部安全威胁。如何能将安全威胁很好的列出来呢可以借助一些现有的安全威胁分析模型,例如微软Stride模型(假冒、篡改、否认、信息泄漏、拒绝服务、提升权限)都提供了一些安全威胁的分类方法。
2.识别和构造威胁路径。依据自身(企业或部门级)的业务特点进行细化,识别和列出安全威胁来,如拒绝服务、业务滥用、业务欺诈、恶意订购、用户假冒、隐蔽、非法数据流、恶意代码等。