前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇業(yè)務(wù)流程風(fēng)險(xiǎn)點(diǎn)范文，相信會(huì)為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

業(yè)務(wù)流程風(fēng)險(xiǎn)點(diǎn)范文第1篇

國際金融危機(jī)后，世界經(jīng)濟(jì)進(jìn)入調(diào)整期，增長速度明顯放緩。我國市場下滑的同時(shí)使得各類企業(yè)的發(fā)展步履維艱，而企業(yè)也面臨著錯(cuò)綜復(fù)雜的風(fēng)險(xiǎn)與難以應(yīng)對(duì)的挑戰(zhàn)。在這樣的環(huán)境與背景下，企業(yè)必須將經(jīng)營重點(diǎn)置于風(fēng)險(xiǎn)管理工作上，在關(guān)注外部風(fēng)險(xiǎn)的同時(shí)，更需要對(duì)內(nèi)部的業(yè)務(wù)流程管理進(jìn)行嚴(yán)格而科學(xué)的管控，如此才能在激烈的市場競爭中獲取一席之地，并實(shí)現(xiàn)企業(yè)的可持續(xù)發(fā)展?；谄髽I(yè)業(yè)務(wù)流程管理對(duì)于抵抗風(fēng)險(xiǎn)的重要性，以流程管理為視角，對(duì)企業(yè)風(fēng)險(xiǎn)管理模式的構(gòu)建進(jìn)行分析與討論，在當(dāng)前的經(jīng)濟(jì)形勢下，對(duì)于企業(yè)的生存與發(fā)展具有較強(qiáng)的現(xiàn)實(shí)意義。

關(guān)鍵詞：

流程管理；企業(yè)；風(fēng)險(xiǎn)管理模式；構(gòu)建

企業(yè)業(yè)務(wù)流程管理是以吸納業(yè)務(wù)流程重組、流程再造思想與工具為支撐要素，采用綜合性的方法強(qiáng)化組織戰(zhàn)略，旨在強(qiáng)化業(yè)務(wù)操作的精細(xì)性與規(guī)范化的一種管理方式。對(duì)其進(jìn)行合理運(yùn)用可以降低企業(yè)運(yùn)營成本，提高企業(yè)內(nèi)外部響應(yīng)速度，最終鞏固企業(yè)抵抗風(fēng)險(xiǎn)的能力。以業(yè)務(wù)流程為入手點(diǎn)，將風(fēng)險(xiǎn)管理有效融入流程環(huán)節(jié)中，實(shí)現(xiàn)與企業(yè)現(xiàn)有管理框架的耦合，是構(gòu)建基于流程管理方式下企業(yè)風(fēng)險(xiǎn)管理模式的主要途徑，同時(shí)也是充分發(fā)揮風(fēng)險(xiǎn)管理工作有效性的必要手段。

一、流程管理概念綜述

流程管理是一種綜合性與系統(tǒng)性較強(qiáng)的管理方法。流程可以看作是一種路線圖，主要涵蓋以完成某項(xiàng)工作為目標(biāo)，相關(guān)數(shù)據(jù)、信息、資料在不同單位、部門、人員之間傳遞的網(wǎng)絡(luò)。流程管理的中心是規(guī)范化的流程構(gòu)造，以該流程構(gòu)造為核心，將各項(xiàng)工作任務(wù)分配到各部門或各崗位，以績效體系為載體，對(duì)考核工作實(shí)施與落實(shí)，將目標(biāo)與激勵(lì)成功傳導(dǎo)至企業(yè)各層次，使每位員工均明確自身崗位職責(zé)，從而推動(dòng)流程的良性運(yùn)轉(zhuǎn)。與此同時(shí)，將系統(tǒng)性的工作進(jìn)行流程化處理，可以清楚而詳細(xì)地將若干作業(yè)項(xiàng)目和它們的關(guān)聯(lián)人員及其相互工作關(guān)系進(jìn)行描述，進(jìn)而實(shí)現(xiàn)目標(biāo)的精細(xì)化管控。流程管理包括流程梳理、流程優(yōu)化、流程固化三個(gè)階段。流程梳理是對(duì)企業(yè)現(xiàn)行完整業(yè)務(wù)內(nèi)容與活動(dòng)過程的摸底展現(xiàn)，在對(duì)企業(yè)流程體系進(jìn)行規(guī)劃與調(diào)整的同時(shí)，可以為企業(yè)內(nèi)部實(shí)現(xiàn)全面流程管理思想普及和手段落實(shí)提供不竭動(dòng)力；流程優(yōu)化是在流程梳理的基礎(chǔ)之上，具有選擇性地運(yùn)用流程管理理念及信息技術(shù)工具對(duì)重點(diǎn)業(yè)務(wù)領(lǐng)域及關(guān)鍵流程進(jìn)行深層次的分析與優(yōu)化；流程固化則聚焦于將經(jīng)過分析優(yōu)化的新業(yè)務(wù)流程，借助制度、標(biāo)準(zhǔn)、信息系統(tǒng)等多種形式提高管理工作的規(guī)范性與顯性化。

二、構(gòu)建基于流程管理的企業(yè)風(fēng)險(xiǎn)管理模式的可行性與現(xiàn)實(shí)意義

企業(yè)內(nèi)部的一系列業(yè)務(wù)流程集成了企業(yè)的運(yùn)營與發(fā)展，而所有單體業(yè)務(wù)流程中的活動(dòng)或“子流程”是這些業(yè)務(wù)的支撐要素?；诖耍胪苿?dòng)企業(yè)穩(wěn)定而高效的運(yùn)營，需要以流程為著手點(diǎn)，提高其運(yùn)作效率。現(xiàn)階段，市場競爭愈發(fā)激烈，經(jīng)過不斷地迭代演變，風(fēng)險(xiǎn)管理已經(jīng)成為大型企業(yè)內(nèi)部管理不可或缺的組成部分，特別是在實(shí)際業(yè)務(wù)流程中融入風(fēng)險(xiǎn)管理思想與手段之后，業(yè)務(wù)流程經(jīng)歷了綜合性與系統(tǒng)性的設(shè)計(jì)與改造，突破了以往各種“信息孤島”的狀態(tài)，從而初步構(gòu)建了以流程管理為基礎(chǔ)的企業(yè)風(fēng)險(xiǎn)管理模式。

1.企業(yè)風(fēng)險(xiǎn)管理與流程管理的目標(biāo)一致企業(yè)要想充分發(fā)揮風(fēng)險(xiǎn)管理的功能作用，使之成為企業(yè)經(jīng)濟(jì)效益提升的支撐，首要任務(wù)是強(qiáng)化企業(yè)風(fēng)險(xiǎn)點(diǎn)的控制與管理，并提高其有效性。而流程管理在關(guān)注業(yè)務(wù)流程風(fēng)險(xiǎn)點(diǎn)的同時(shí)，還需要對(duì)流程成本、效益、質(zhì)量等因素進(jìn)行綜合性考慮。以此看來，企業(yè)風(fēng)險(xiǎn)管理與流程管理在管理方法與關(guān)注點(diǎn)方面存在一定程度的差異，然而兩者具有高度的目標(biāo)一致性，且均統(tǒng)一于企業(yè)的戰(zhàn)略目標(biāo)，服務(wù)于企業(yè)的可持續(xù)發(fā)展。

2.流程管理是企業(yè)風(fēng)險(xiǎn)管理實(shí)現(xiàn)顯性化的導(dǎo)向企業(yè)要想提高風(fēng)險(xiǎn)管理工作的可操作性與科學(xué)性，就必須將風(fēng)險(xiǎn)管理與流程有效地融合起來，構(gòu)建以業(yè)務(wù)流程管理為基礎(chǔ)支撐的風(fēng)險(xiǎn)管理模式，將錯(cuò)綜復(fù)雜的風(fēng)險(xiǎn)管理活動(dòng)進(jìn)行轉(zhuǎn)變，使其以流程輸入、輸出為導(dǎo)向，提高其動(dòng)態(tài)化與層次性，同時(shí)以業(yè)務(wù)流程中無數(shù)個(gè)“工作流”為支撐要素，將關(guān)鍵控制點(diǎn)推送到業(yè)務(wù)流程中，將風(fēng)險(xiǎn)管理與業(yè)務(wù)流程有效融合，進(jìn)而提高風(fēng)險(xiǎn)管理的顯性化。

3.業(yè)務(wù)流程是企業(yè)開展風(fēng)險(xiǎn)管理的基礎(chǔ)支撐作為一種循環(huán)流程，企業(yè)風(fēng)險(xiǎn)管理主要包括業(yè)務(wù)分析、業(yè)務(wù)流程梳理、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估、提出風(fēng)險(xiǎn)控制策略、實(shí)施風(fēng)險(xiǎn)管控、管控效果反饋與改進(jìn)等環(huán)節(jié)，因此其屬于一種業(yè)務(wù)流程為支撐要素，以信息系統(tǒng)為平臺(tái)，切實(shí)實(shí)施風(fēng)險(xiǎn)預(yù)警、監(jiān)控與管理改進(jìn)的閉環(huán)管理模式。其工作的開展與進(jìn)行主要以企業(yè)各業(yè)務(wù)流程為依托，通過對(duì)風(fēng)險(xiǎn)點(diǎn)進(jìn)行辨識(shí)，構(gòu)建風(fēng)險(xiǎn)識(shí)別、分析、管控、改進(jìn)等多環(huán)節(jié)為一體的風(fēng)險(xiǎn)管理框架，進(jìn)而以業(yè)務(wù)流程為基礎(chǔ)的風(fēng)險(xiǎn)管控機(jī)制，實(shí)現(xiàn)企業(yè)各業(yè)務(wù)重要運(yùn)營活動(dòng)與運(yùn)營單元的安全管控。由此可見，企業(yè)風(fēng)險(xiǎn)管理與業(yè)務(wù)流程管理具有極為緊密的聯(lián)系，企業(yè)開展風(fēng)險(xiǎn)管理需要以業(yè)務(wù)流程為基礎(chǔ)支撐。

三、流程管理視角下企業(yè)風(fēng)險(xiǎn)管理模式構(gòu)建的相關(guān)措施

要想構(gòu)建并實(shí)施以流程管理為基礎(chǔ)要素的企業(yè)風(fēng)險(xiǎn)管理模式，并提高其科學(xué)性與顯性化，就必須將企業(yè)業(yè)務(wù)流程管理框架設(shè)計(jì)作為風(fēng)險(xiǎn)管理的頭緒，采取由上而下或自下而上的互動(dòng)方式梳理企業(yè)目標(biāo)領(lǐng)域的業(yè)務(wù)流程，推動(dòng)并實(shí)現(xiàn)每一層業(yè)務(wù)流程的目標(biāo)，進(jìn)而促進(jìn)企業(yè)總戰(zhàn)略目標(biāo)的實(shí)現(xiàn)。最終將風(fēng)險(xiǎn)管理流程框架與具體業(yè)務(wù)風(fēng)險(xiǎn)管理流程有機(jī)結(jié)合起來，并在該體系中對(duì)風(fēng)險(xiǎn)點(diǎn)與關(guān)鍵流程管理環(huán)節(jié)進(jìn)行詳細(xì)描述，如此可以將流程管理有效的融入到企業(yè)風(fēng)險(xiǎn)管理工作中，提高風(fēng)險(xiǎn)管理工作的可行性與顯性化。

1.確立基于流程管理的企業(yè)風(fēng)險(xiǎn)管理的“三道防線”為了構(gòu)建基于流程管理的企業(yè)風(fēng)險(xiǎn)管理模式框架，首要任務(wù)是確立企業(yè)風(fēng)險(xiǎn)管理的“三道防線”，為實(shí)現(xiàn)基于流程管理的企業(yè)風(fēng)險(xiǎn)管理顯性化創(chuàng)造有效的基礎(chǔ)條件。以大型施工企業(yè)為例，第一道防線是經(jīng)營部與采購部，主要涉及工作包括招投標(biāo)、預(yù)決算、材料采購、設(shè)備采購等，施工企業(yè)需要注意招投標(biāo)工程項(xiàng)目的前期評(píng)估和預(yù)測，并強(qiáng)化對(duì)招投標(biāo)報(bào)價(jià)風(fēng)險(xiǎn)的控制，對(duì)合同進(jìn)行科學(xué)化管理，同時(shí)需要構(gòu)建有效的成本管理與分析系統(tǒng)；而關(guān)于預(yù)決算過程，施工企業(yè)需要對(duì)工程施工的所有影響因素進(jìn)行充分的考慮，對(duì)其中的風(fēng)險(xiǎn)因素進(jìn)行分析，提前做好應(yīng)對(duì)措施；在材料與設(shè)備采購方面，施工企業(yè)需要通過證件檢查與取樣試驗(yàn)的方式，保證其使用性能與質(zhì)量，避免材料與設(shè)備質(zhì)量問題造成工程施工出現(xiàn)安全與質(zhì)量問題。第二道防線是工程部與安監(jiān)部。主要包括分包管理、質(zhì)量控制、施工協(xié)控、設(shè)備安監(jiān)、安全文明等工作，施工企業(yè)需要認(rèn)清合法分包的界限，及時(shí)、規(guī)范、嚴(yán)謹(jǐn)?shù)睾炗喓贤?，并?duì)各環(huán)節(jié)委托授權(quán)進(jìn)行嚴(yán)格審查；在質(zhì)量控制過程中，施工企業(yè)需要針對(duì)風(fēng)險(xiǎn)源與事故多發(fā)工序進(jìn)行嚴(yán)格控制，規(guī)范施工工藝與操作行為，及時(shí)處理質(zhì)量問題與安全隱患；而對(duì)施工中的機(jī)械設(shè)備進(jìn)行定期的安全監(jiān)督與檢查極為必要，可以有效防止機(jī)械設(shè)備故障造成的工程安全與質(zhì)量問題；與此同時(shí)，強(qiáng)化企業(yè)全體員工的安全意識(shí)，可以從根本上降低施工風(fēng)險(xiǎn)出現(xiàn)的概率。第三道防線是財(cái)務(wù)部與辦公室。針對(duì)施工準(zhǔn)備、施工過程、竣工結(jié)算等階段，對(duì)施工直接成本與間接成本進(jìn)行嚴(yán)格的決算與把控，并竭力在合同審查中為施工企業(yè)爭取更多的經(jīng)濟(jì)利益；辦公室需要加強(qiáng)行政、人事、信息等方面的管理，規(guī)范行政制度，強(qiáng)化企業(yè)員工的崗位責(zé)任心，防止信息泄露，充分發(fā)揮企業(yè)風(fēng)險(xiǎn)控制的輔助作用。

2.流程管理視角下企業(yè)風(fēng)險(xiǎn)管理體系設(shè)計(jì)企業(yè)需要以全部業(yè)務(wù)流程的構(gòu)成情況為邏輯架構(gòu)，并將其視為風(fēng)險(xiǎn)管理工作的骨架與脈絡(luò)，在基于流程管理的企業(yè)風(fēng)險(xiǎn)管理體系設(shè)計(jì)過程中，首要任務(wù)是打破傳統(tǒng)職能部門與組織機(jī)構(gòu)的流程組織方式，對(duì)企業(yè)業(yè)務(wù)流程的頂層結(jié)構(gòu)明確定義，并以分層方式對(duì)指導(dǎo)框架進(jìn)行細(xì)化，對(duì)一層進(jìn)行完善以后，才允許進(jìn)行下一層指導(dǎo)框架的處理與構(gòu)建。在基于流程管理的風(fēng)險(xiǎn)管理體系中，各單位的戰(zhàn)略規(guī)劃、業(yè)務(wù)流程與職責(zé)、業(yè)務(wù)流程圖及目錄梳理成果等是構(gòu)成體系的基本要素與支撐，對(duì)企業(yè)各部門的主要業(yè)務(wù)職責(zé)和業(yè)務(wù)特點(diǎn)進(jìn)行了集中反映；在該體系中，企業(yè)需要以企業(yè)的戰(zhàn)略規(guī)劃與規(guī)章制度作為牽引動(dòng)力，為該體系的高效運(yùn)轉(zhuǎn)注入源源不竭的推動(dòng)力量；與此同時(shí)，企業(yè)要想構(gòu)建基于流程管理的風(fēng)險(xiǎn)管理模式，還需要對(duì)國際上流程框架的案例進(jìn)行充分參考與借鑒，例如ERP模型、APQC模型等，借助這些案例，企業(yè)可以對(duì)價(jià)值鏈為線索的流程組織方式理解得更充分。

3.基于流程管理的企業(yè)風(fēng)險(xiǎn)管理模式的精細(xì)化分析以體系設(shè)計(jì)的角度來看，業(yè)務(wù)流程梳理是構(gòu)建基于流程管理企業(yè)風(fēng)險(xiǎn)管理模式的必要條件。如圖1所示，首先對(duì)企業(yè)各個(gè)業(yè)務(wù)流程的性質(zhì)與涉及的領(lǐng)域進(jìn)行分析與參考，從流程的始端對(duì)風(fēng)險(xiǎn)進(jìn)行辨識(shí)評(píng)估和內(nèi)控診斷，對(duì)業(yè)務(wù)流程框架進(jìn)行確定。然后需要對(duì)該框架實(shí)施風(fēng)險(xiǎn)分析與缺陷認(rèn)定，建立起風(fēng)險(xiǎn)管理與業(yè)務(wù)流程的接口，并在這個(gè)過程中對(duì)重點(diǎn)業(yè)務(wù)流程進(jìn)行確定和明確，而后需要對(duì)風(fēng)險(xiǎn)信息與業(yè)務(wù)流程一一對(duì)應(yīng)的關(guān)系進(jìn)行繪制，最終編制出“風(fēng)險(xiǎn)—流程控制矩陣”。企業(yè)的部門管理者、業(yè)務(wù)復(fù)雜人或業(yè)務(wù)骨干均需要參與到業(yè)務(wù)梳理中來，形成一個(gè)負(fù)責(zé)流程梳理工作的團(tuán)隊(duì)，該團(tuán)隊(duì)需要任用不同的人才負(fù)責(zé)相應(yīng)層次的業(yè)務(wù)梳理與描述，并擴(kuò)展業(yè)務(wù)梳理的覆蓋面與范圍，保證覆蓋到所有業(yè)務(wù)活動(dòng)。提高該模式的精細(xì)化需要構(gòu)建詳細(xì)的流程細(xì)化模型，主要包括：規(guī)范合理的主流程模型、子流程模型、具體操作流程模型、各項(xiàng)模板及相關(guān)指導(dǎo)文件、其中各流程模型包含的責(zé)任主體及參與單位。提高基于流程管理的企業(yè)風(fēng)險(xiǎn)管理工作的精細(xì)化，有助于企業(yè)提高風(fēng)險(xiǎn)管理工作的規(guī)范性與科學(xué)化。

四、A企業(yè)構(gòu)建基于業(yè)務(wù)流程的風(fēng)險(xiǎn)管理思路及措施

我國大型施工企業(yè)A企業(yè)開展了全企業(yè)范圍內(nèi)的風(fēng)險(xiǎn)管理流程，在確定了業(yè)務(wù)流程框架以后，按照重點(diǎn)風(fēng)險(xiǎn)排序，企業(yè)將物資采購選定為重大風(fēng)險(xiǎn)進(jìn)行管理控制。企業(yè)將“基于業(yè)務(wù)流程”作為控制采購風(fēng)險(xiǎn)的入手點(diǎn)，圍繞業(yè)務(wù)流程的關(guān)鍵控制點(diǎn)，對(duì)制度設(shè)計(jì)、職權(quán)行使與監(jiān)管等方面的風(fēng)險(xiǎn)進(jìn)行了排查與控制。第一步，該企業(yè)工作組針對(duì)物資流程，對(duì)其現(xiàn)狀與環(huán)節(jié)進(jìn)行了摸底，明確了流程設(shè)計(jì)中的不足與缺陷，與物資采購負(fù)責(zé)與監(jiān)管部門協(xié)同合作，依照《企業(yè)內(nèi)部控制規(guī)范》與企業(yè)運(yùn)營實(shí)際情況，對(duì)物資采購制度與流程規(guī)范進(jìn)行了完善與優(yōu)化，提高物資采購的可行性、合理性與科學(xué)性；第二步，依照流程節(jié)點(diǎn)對(duì)物資采購的風(fēng)險(xiǎn)點(diǎn)進(jìn)行明確，例如：采購方案的制訂與選擇、與供應(yīng)商的合作、招投標(biāo)或比價(jià)采購、合同的簽訂、貨物的檢查與試驗(yàn)、貨款的支付等；第三步，對(duì)業(yè)務(wù)流程關(guān)鍵控制點(diǎn)依據(jù)所涉及的崗位進(jìn)行風(fēng)險(xiǎn)辨識(shí)分析，對(duì)其中可能存在的物資采購風(fēng)險(xiǎn)進(jìn)行排查，例如：招投標(biāo)或比價(jià)采購過程中暗箱操作、審批流程存在缺陷、材料取樣試驗(yàn)不嚴(yán)格等；第四步，充分結(jié)合定性與定量分析的方法，對(duì)物資采購風(fēng)險(xiǎn)發(fā)生的可能性進(jìn)行分析，依據(jù)崗位工作重要性和控制金額兩個(gè)因素對(duì)物資采購風(fēng)險(xiǎn)的影響程度進(jìn)行描述與確定；第五步，制訂物資采購風(fēng)險(xiǎn)評(píng)價(jià)標(biāo)準(zhǔn)，依據(jù)物資采購風(fēng)險(xiǎn)發(fā)生的概率與影響程度，進(jìn)行分值的劃分，依照從高到低的順序，將風(fēng)險(xiǎn)發(fā)生概率與影響程度依照1、2、3、4、5五個(gè)等級(jí)進(jìn)行歸類；第六步，鼓勵(lì)所有崗位人員評(píng)價(jià)物資采購風(fēng)險(xiǎn)重要性，而后編制物資采購風(fēng)險(xiǎn)排序表，進(jìn)而繪制如圖2所示的風(fēng)險(xiǎn)重要性水平圖譜。圖譜中，黑色區(qū)域（A）的風(fēng)險(xiǎn)等級(jí)為高危風(fēng)險(xiǎn)，A企業(yè)需要及時(shí)采取針對(duì)性措施予以防范、解決；灰色區(qū)域（B）為中等風(fēng)險(xiǎn)，A企業(yè)需要對(duì)此提高重視程度，并掌握其實(shí)時(shí)動(dòng)態(tài)；白色區(qū)域（C）為低等級(jí)風(fēng)險(xiǎn)，通常情況下為企業(yè)可以接受的風(fēng)險(xiǎn)。依據(jù)物資采購風(fēng)險(xiǎn)重要性水平圖譜，A企業(yè)可以高效、高質(zhì)量地完成物資采購工作的風(fēng)險(xiǎn)控制。

五、結(jié)論

構(gòu)建基于流程管理的企業(yè)風(fēng)險(xiǎn)管理模式具有較強(qiáng)的綜合性與復(fù)雜性，該模式邏輯架構(gòu)層次分明，具有較強(qiáng)的精細(xì)化與規(guī)范化，對(duì)于細(xì)化分析業(yè)務(wù)流程，明確業(yè)務(wù)流程中的風(fēng)險(xiǎn)環(huán)節(jié)與操作，凸顯關(guān)鍵風(fēng)險(xiǎn)控制點(diǎn)具有較強(qiáng)的可操作意義。同時(shí)可以將具體的風(fēng)險(xiǎn)因素的排查與風(fēng)險(xiǎn)控制點(diǎn)的管控落實(shí)到相應(yīng)部門，明確崗位“權(quán)、責(zé)、利”的科學(xué)分配，最終使業(yè)務(wù)流程成為橋梁，提高風(fēng)險(xiǎn)管理工作的固化與顯性化，推動(dòng)企業(yè)的可持續(xù)發(fā)展。

參考文獻(xiàn)

[1]王鋒.財(cái)務(wù)風(fēng)險(xiǎn)在經(jīng)營活動(dòng)中的定位[J].中國商貿(mào)，2015（，4）：35-36.

[2]王怡文，柯柏成.美國企業(yè)高階管理階層對(duì)風(fēng)險(xiǎn)管理觀念之剖析[J].中國內(nèi)部審計(jì)，2015（，1）：58-60.

[3]杜放，馮家杰.我國企業(yè)風(fēng)險(xiǎn)管理的現(xiàn)狀、問題及對(duì)策探析[J].物流技術(shù)，2014（，23）：103-105.

[4]程強(qiáng)，顧新.基于COSO風(fēng)險(xiǎn)管理的知識(shí)鏈知識(shí)轉(zhuǎn)化風(fēng)險(xiǎn)防范研究[J].圖書館學(xué)研究，2015（，5）：45-48，34.

業(yè)務(wù)流程風(fēng)險(xiǎn)點(diǎn)范文第2篇

在構(gòu)建內(nèi)部控制體系的實(shí)際工作中，最重要的環(huán)節(jié)是《關(guān)鍵控制管理文件》的建立，本文將重點(diǎn)對(duì)《關(guān)鍵控制管理文件》的編制做具體介紹。

一、《關(guān)鍵控制管理文件》的編制程序

按照一致性、先進(jìn)和實(shí)用相結(jié)合、繼承與完善相結(jié)合、可操作性等原則，根據(jù)國家相關(guān)法律法規(guī)以及撫順石化相關(guān)管理制度和管理現(xiàn)狀的需要，依照以下程序編制《關(guān)鍵控制管理文件》：

（一）在撫順石化內(nèi)控項(xiàng)目組（以下稱項(xiàng)目組）擬定的《關(guān)鍵控制管理文件》的基礎(chǔ)上，由各專業(yè)管理流程編制人員（以下稱編制人員）制定《關(guān)鍵控制管理文件》初稿后，再經(jīng)復(fù)核人員審查。

（二）中國石油總部項(xiàng)目組和外部專業(yè)人士對(duì)審查后的《關(guān)鍵控制管理文件》初稿進(jìn)行審閱，提出咨詢意見，再由編制人員修改后，報(bào)撫順石化領(lǐng)導(dǎo)和一級(jí)流程負(fù)責(zé)人審定。

（三）經(jīng)項(xiàng)目組負(fù)責(zé)人員審查后，形成報(bào)審稿，報(bào)中國石油內(nèi)部控制體系建設(shè)委員會(huì)最終審定后，執(zhí)行。

二、《關(guān)鍵控制管理文件》的主要內(nèi)容

（一）關(guān)鍵控制管理文件說明。該部分主要說明了《關(guān)鍵控制管理文件》的編制依據(jù)、主要內(nèi)容、實(shí)施要求，便于所屬單位貫徹實(shí)施。

（二）重要業(yè)務(wù)流程目錄。該部分反映了與中石油總部《關(guān)鍵控制管理文件》進(jìn)行對(duì)應(yīng)后形成的撫順公司的13個(gè)一級(jí)流程、100個(gè)末級(jí)子流程的總體情況。

（三）業(yè)務(wù)流程圖。業(yè)務(wù)流程圖是在對(duì)控制現(xiàn)狀進(jìn)行梳理的基礎(chǔ)上，對(duì)相關(guān)業(yè)務(wù)流程的主要控制環(huán)節(jié)、控制步驟和操作程序進(jìn)行的規(guī)范性描述。在此次完善業(yè)務(wù)流程圖時(shí)，重點(diǎn)對(duì)關(guān)鍵控制點(diǎn)涉及的流程圖進(jìn)行了修訂。

（四）關(guān)鍵控制文檔。以中石油總部關(guān)鍵控制文檔為藍(lán)本，描述公司涉及的全部關(guān)鍵控制、重要風(fēng)險(xiǎn)、實(shí)施證據(jù)和制度索引。

（五）風(fēng)險(xiǎn)控制文檔。涉及關(guān)鍵控制流程對(duì)應(yīng)的風(fēng)險(xiǎn)控制文檔，重點(diǎn)對(duì)關(guān)鍵控制涉及的控制措施予以強(qiáng)化，確保關(guān)鍵控制涉及的各項(xiàng)風(fēng)險(xiǎn)關(guān)鍵控制得到關(guān)注。

（六）程序控制文件。程序控制文件是對(duì)相關(guān)業(yè)務(wù)流程進(jìn)行風(fēng)險(xiǎn)控制分析后，對(duì)流程的適用范圍、風(fēng)險(xiǎn)、部門職責(zé)、控制、控制證據(jù)及管理制度索引進(jìn)行規(guī)范描述的制度文件。

（七）制度索引表。對(duì)關(guān)鍵控制涉及的相關(guān)內(nèi)控制度予以對(duì)應(yīng)索引，有利于各項(xiàng)的持續(xù)改進(jìn)和不斷完善。

三、《關(guān)鍵控制管理文件》的編制步驟

（一）明確重要業(yè)務(wù)流程

1.項(xiàng)目組將中石油總部《關(guān)鍵控制管理文件》中確定的重要業(yè)務(wù)流程目錄，與撫順石化公司前階段確定的業(yè)務(wù)流程目錄進(jìn)行對(duì)應(yīng)，結(jié)合撫順石化公司管理實(shí)際，確定撫順公司《重要業(yè)務(wù)流程目錄》初稿。撫順石化公司重要業(yè)務(wù)流程將13個(gè)一級(jí)流程、100個(gè)末級(jí)子流程納入《關(guān)鍵控制管理文件》的編制范圍。

根據(jù)重要業(yè)務(wù)流程目錄，對(duì)各主要業(yè)務(wù)流程及其風(fēng)險(xiǎn)點(diǎn)進(jìn)行描述，形成初步業(yè)務(wù)流程圖和風(fēng)險(xiǎn)控制文檔。

2.與中石油總部重要業(yè)務(wù)流程的差異：一級(jí)流程與中石油總部確定的一級(jí)流程一致。但末級(jí)子流程方面，根據(jù)撫順石化的具體業(yè)務(wù)情況，減少了拆遷管理、地質(zhì)勘探支出、證實(shí)石油儲(chǔ)量、油氣成本核算、原油銷售、天然氣銷售、成品油零售、成品油批發(fā)、現(xiàn)收貨款、國債回購、資產(chǎn)委托管理、定期結(jié)算、債務(wù)管理（除或有負(fù)債外的6個(gè)子流程）、對(duì)外財(cái)務(wù)報(bào)告（總部）共計(jì)18個(gè)末級(jí)子流程；并對(duì)涉及存貨、賬戶管理、內(nèi)部資金劃撥、票據(jù)管理、對(duì)內(nèi)財(cái)務(wù)報(bào)告、會(huì)計(jì)業(yè)務(wù)處理、合同與糾紛等7個(gè)子流程進(jìn)行了不同程度的細(xì)分。

（二）編制關(guān)鍵控制文檔

按照中石油總部《關(guān)鍵控制管理文件》已確認(rèn)的關(guān)鍵控制文檔的描述，對(duì)應(yīng)撫順石化重要業(yè)務(wù)流程中相關(guān)的控制點(diǎn)，修訂出適合企業(yè)實(shí)際業(yè)務(wù)的關(guān)鍵控制文檔。對(duì)本企業(yè)從未發(fā)生的業(yè)務(wù)，涉及的關(guān)鍵控制不再列入關(guān)鍵控制文檔。

需要注意的是，在編制本企業(yè)關(guān)鍵控制文檔時(shí)要對(duì)控制措施進(jìn)行準(zhǔn)確的描述，不能隨意擴(kuò)大其外延或壓縮其內(nèi)涵。比如，某關(guān)鍵控制描述為A崗位審核某數(shù)據(jù)。實(shí)際風(fēng)險(xiǎn)控制中A崗位審核某數(shù)據(jù)之前的申請(qǐng)或提報(bào)以及之后的交接，如果無其他關(guān)鍵控制約束，則不應(yīng)列入關(guān)鍵控制。有關(guān)A崗位審核的事項(xiàng)，則需要完整清晰地描述。隨意擴(kuò)大關(guān)鍵控制范圍則會(huì)引起測試樣本量的增加，有意縮小則易造成關(guān)鍵控制無效。

（三）持續(xù)改進(jìn)業(yè)務(wù)流程圖

根據(jù)前期已確認(rèn)的重要業(yè)務(wù)流程及描繪的業(yè)務(wù)流程圖,重新進(jìn)行全面梳理和拆并，使描述的業(yè)務(wù)流程圖更加符合企業(yè)的業(yè)務(wù)流程現(xiàn)狀。

流程圖式樣的細(xì)節(jié)方面，在中石油總部流程圖式樣的基礎(chǔ)上，針對(duì)流程圖圖標(biāo)、背景、流程編號(hào)、風(fēng)險(xiǎn)與控制點(diǎn)位置、職能帶寬度、框架邊距、結(jié)束標(biāo)記等進(jìn)行了修訂。

（四）修改完善風(fēng)險(xiǎn)控制文檔

1.風(fēng)險(xiǎn)控制文檔修改的總體情況

撫順石化100項(xiàng)重要業(yè)務(wù)流程，全部編制了風(fēng)險(xiǎn)控制文檔，并已進(jìn)行了全面的修改和完善。設(shè)置風(fēng)險(xiǎn)點(diǎn)409個(gè)，控制654 條；其中重要風(fēng)險(xiǎn)258個(gè)，關(guān)鍵控制266個(gè)。

與中石油總部《關(guān)鍵控制管理文件》中相對(duì)應(yīng)的關(guān)鍵控制減少95條。其中：因沒有相關(guān)業(yè)務(wù)流程而減少重要風(fēng)險(xiǎn)5個(gè)，減少關(guān)鍵控制5條；因?qū)儆诎鍓K和股份公司的業(yè)務(wù)而減少重要風(fēng)險(xiǎn)90個(gè)，減少關(guān)鍵控制90條。

2.修改風(fēng)險(xiǎn)控制文檔的過程

對(duì)于一級(jí)流程風(fēng)險(xiǎn)控制文檔中關(guān)鍵控制描述的修改，應(yīng)將中石油總部《關(guān)鍵控制管理文件》中對(duì)關(guān)鍵控制的描述與本企業(yè)前期描述的風(fēng)險(xiǎn)控制文檔中的相關(guān)控制進(jìn)行一一對(duì)應(yīng)，區(qū)分情況，對(duì)差異分別進(jìn)行處理：原風(fēng)險(xiǎn)控制文檔描述不完善、表述不準(zhǔn)確的風(fēng)險(xiǎn)、控制、措施，按照中石油總部提供的示范予以修改；缺失的關(guān)鍵控制，分析原因，予以補(bǔ)充、完善。對(duì)于風(fēng)險(xiǎn)控制文檔中一般控制也應(yīng)按照中石油總部項(xiàng)目組提出的相關(guān)要求和關(guān)鍵控制中的示范格式，予以完善。

對(duì)末級(jí)流程風(fēng)險(xiǎn)控制文檔中，無關(guān)鍵控制的，則不再列入關(guān)鍵控制管理文件。涉及關(guān)鍵控制的，即使只有一個(gè)，也需將同一末級(jí)流程的其他非關(guān)鍵控制措施納入關(guān)鍵控制管理文件。

對(duì)于關(guān)鍵控制應(yīng)在風(fēng)險(xiǎn)控制文檔上標(biāo)注編號(hào)，與關(guān)鍵控制文檔進(jìn)行對(duì)應(yīng)。規(guī)范風(fēng)險(xiǎn)控制文檔格式，統(tǒng)一標(biāo)準(zhǔn)。對(duì)風(fēng)險(xiǎn)控制文檔中風(fēng)險(xiǎn)類別、控制目標(biāo)、控制方法、控制頻率、制度文件索引等其他要素進(jìn)行完善。

3.修改完善過程中應(yīng)注意的問題

（1）重點(diǎn)關(guān)注中石油總部《關(guān)鍵控制管理文件》中確認(rèn)的關(guān)鍵控制在撫順石化原風(fēng)險(xiǎn)控制文檔中的相關(guān)描述，做到關(guān)鍵控制無遺漏。

（2）以流程順序、控制步驟為主線，對(duì)風(fēng)險(xiǎn)控制進(jìn)行描述，做到控制描述前后連貫、系統(tǒng)，不重不漏。

（3）控制描述要做到要素齊全、層次清晰、表述準(zhǔn)確。

（4）控制描述以撫順石化的管理現(xiàn)狀為基礎(chǔ)，結(jié)合總公司、煉油與化工專業(yè)分公司管理制度和要求，確定相關(guān)控制規(guī)范。

（5）對(duì)撫順石化重要業(yè)務(wù)流程，如長期投資管理、采購、銷售、存貨管理、資金管理、固定資產(chǎn)管理、會(huì)計(jì)核算、財(cái)務(wù)報(bào)告等，予以特別關(guān)注。

（五）收集、整理、規(guī)范關(guān)鍵控制證據(jù)

1.收集、整理規(guī)范關(guān)鍵控制證據(jù)的總體情況

撫順石化內(nèi)控項(xiàng)目組共收集了證據(jù)示樣221份，規(guī)范實(shí)施證據(jù)114份。項(xiàng)目組確認(rèn)關(guān)鍵控制示范證據(jù)示樣114份，涵蓋了100項(xiàng)重要業(yè)務(wù)流程。這些控制證據(jù)的收集和規(guī)范，對(duì)于保障關(guān)鍵控制的實(shí)施，強(qiáng)化公司基礎(chǔ)管理水平將起到重要作用。

2.收集、整理規(guī)范關(guān)鍵控制證據(jù)的過程

（1）確定關(guān)鍵控制證據(jù)目錄。撫順石化針對(duì)關(guān)鍵控制，對(duì)于控制過程中控制力相對(duì)較強(qiáng)、具有示范意義的控制證據(jù)，確認(rèn)為關(guān)鍵控制示范證據(jù)。如一些經(jīng)常性檢查工作無證據(jù)的，可采取工作日志作為證據(jù)。

（2）按照規(guī)范、統(tǒng)一、合理的原則，對(duì)關(guān)鍵控制證據(jù)的設(shè)計(jì)格式、控制要素、控制作用進(jìn)行逐項(xiàng)審定。

（六）收集、整理、修改、補(bǔ)充管理制度

1.收集、整理、修改、補(bǔ)充管理制度的總體情況

撫順石化共收集《關(guān)鍵控制管理文件》涉及的管理制度132個(gè)，其中，撫順公司制定管理制度88個(gè)，股份公司管理制度32個(gè)，國家財(cái)政、稅務(wù)等部門管理制度12個(gè)。本次收集的289個(gè)撫順公司管理制度中，擬對(duì)110個(gè)管理制度進(jìn)行修改完善，擬新制定《租賃管理辦法》、《或有負(fù)債管理辦法》，《無形資產(chǎn)管理辦法》等32個(gè)管理制度。這些管理原則，基本涵蓋了風(fēng)險(xiǎn)控制管理文件中的各項(xiàng)控制措施。

2.制度修改、完善關(guān)注的主要問題

（1）全面收集控制相關(guān)的管理制度，確保相關(guān)控制都應(yīng)有相關(guān)制度作支撐。

（2）對(duì)于缺失的管理制度，進(jìn)行補(bǔ)充。

（3）對(duì)于描述不準(zhǔn)確、不完整、與控制有矛盾的制度條款進(jìn)行修改。

（4）除收集本企業(yè)制定的管理制度外，還應(yīng)收集整理國家有關(guān)制度、總公司以及煉油與銷售專業(yè)分公司相關(guān)管理制度。

（七）編制程序控制文件

撫順石化在進(jìn)行上述幾項(xiàng)工作后，將相關(guān)業(yè)務(wù)流程的適用范圍、風(fēng)險(xiǎn)、部門職責(zé)、控制、管理制度索引、控制證據(jù)、控制證據(jù)示范等內(nèi)容進(jìn)行全面歸集，從而形成業(yè)務(wù)流程規(guī)范性的程序文件。其中，關(guān)鍵流程風(fēng)險(xiǎn)控制文檔中的非關(guān)鍵控制措施也要在控制文件中描述。撫順石化對(duì)全部100項(xiàng)重要業(yè)務(wù)流程編制了控制程序文件。

四、編制《關(guān)鍵控制管理文件》的經(jīng)驗(yàn)

第一，集中辦公，提高工作效率。關(guān)鍵控制編制階段的專業(yè)性較強(qiáng)，煉化企業(yè)人員構(gòu)成中，專職負(fù)責(zé)內(nèi)控工作的財(cái)務(wù)、審計(jì)人員較少，因此要充分發(fā)揮各處室業(yè)務(wù)骨干作用，集中人員，集中辦公，提高溝通協(xié)調(diào)效率。

第二，統(tǒng)一關(guān)鍵控制文檔模板。一方面，模板不統(tǒng)一會(huì)造成要素不全；另一方面，模板不統(tǒng)一，不易進(jìn)行匯編，會(huì)給其后印刷制冊(cè)工作帶來很多工作量。

第三，合理分配人員。受各部門業(yè)務(wù)分工的局限，有些業(yè)務(wù)流程涉及專業(yè)多，要注意協(xié)調(diào)流程間的接口；有些部門涉及流程較多，工作量大，特別是財(cái)務(wù)內(nèi)部流程，容易造成工作量不平衡。因此，要注意人員的合理分工，忙閑結(jié)合，按期完成各階段的控制目標(biāo)。

第四，加強(qiáng)二次培訓(xùn)。因內(nèi)控工作專業(yè)性較強(qiáng)，一些語言晦澀難懂，在培訓(xùn)上要加大力度。對(duì)操作性的關(guān)鍵環(huán)節(jié)，要明確目標(biāo)，示范舉例；確保項(xiàng)目的實(shí)質(zhì)內(nèi)涵清晰，通過提供足夠的標(biāo)準(zhǔn)文本，避免發(fā)生猜測與臆想；采用選擇或填空的方法，解決表單填寫的技術(shù)難題。

業(yè)務(wù)流程風(fēng)險(xiǎn)點(diǎn)范文第3篇

由于對(duì)原有手工業(yè)務(wù)流程的重新設(shè)計(jì)，ERP系統(tǒng)的實(shí)施在很大程度上改變了企業(yè)的業(yè)務(wù)流程。在ERP系統(tǒng)實(shí)施以前，許多企業(yè)基于計(jì)算機(jī)的業(yè)務(wù)系統(tǒng)，基本都是圍繞某一業(yè)務(wù)功能或者是職能部門運(yùn)行的，比如銷售系統(tǒng)、采購系統(tǒng)和財(cái)務(wù)系統(tǒng)等。這些系統(tǒng)都不是基于跨部門的流程來設(shè)計(jì)的。ERP系統(tǒng)實(shí)現(xiàn)了從采購到付款、訂單的獲取到發(fā)票的開出等業(yè)務(wù)集成，實(shí)現(xiàn)了跨職能部門業(yè)務(wù)處理。

在這種情況下，ERP系統(tǒng)中單一的數(shù)據(jù)庫，使過去跨部門的審批流程得到簡化和壓縮。壓縮所造成的一個(gè)結(jié)果是，用于企業(yè)內(nèi)部控制的許多審計(jì)線索在ERP系統(tǒng)的引入后消失了。同時(shí)，企業(yè)過去基于文件審批的內(nèi)部控制機(jī)制，也無法適應(yīng)ERP基于流程的管理需要。更重要的是，由于企業(yè)的業(yè)務(wù)運(yùn)作更加依賴于ERP系統(tǒng)，這種依賴和信息系統(tǒng)本身特點(diǎn)所導(dǎo)致的脆弱性，形成了企業(yè)新的業(yè)務(wù)風(fēng)險(xiǎn)。

實(shí)施ERP系統(tǒng)后，企業(yè)所遇到的業(yè)務(wù)風(fēng)險(xiǎn)一般來自四個(gè)方面：業(yè)務(wù)流程、應(yīng)用架構(gòu)、數(shù)據(jù)質(zhì)量和技術(shù)架構(gòu)。其中，業(yè)務(wù)流程的轉(zhuǎn)變對(duì)企業(yè)內(nèi)部控制的影響最大，對(duì)企業(yè)內(nèi)部管理和財(cái)務(wù)方面的監(jiān)控提出了新的要求，這方面的風(fēng)險(xiǎn)特征相比過去發(fā)生了根本性的變化。例如，在ERP系統(tǒng)中，通過對(duì)手工流程的機(jī)器處理，比如審批處理自動(dòng)化等，進(jìn)一步增強(qiáng)了完成各種業(yè)務(wù)流程的效率。但是，在新的業(yè)務(wù)執(zhí)行環(huán)境中，這些審批處理自動(dòng)化方法將改變企業(yè)內(nèi)部原有的一些風(fēng)險(xiǎn)特征，這時(shí)相應(yīng)的內(nèi)部控制體系就需要重新評(píng)估和設(shè)計(jì)。

內(nèi)部控制蘊(yùn)涵新的風(fēng)險(xiǎn)

ERP實(shí)行的是流程化的管理，打破了原來職能部門的條塊分割，實(shí)現(xiàn)了企業(yè)資源的統(tǒng)一管理和共享。企業(yè)的運(yùn)行和管理在一定程度上已經(jīng)交給了ERP系統(tǒng)來進(jìn)行控制。

這樣一來，一方面導(dǎo)致企業(yè)所處的內(nèi)部風(fēng)險(xiǎn)環(huán)境發(fā)生了變化，過去手工狀態(tài)下的控制風(fēng)險(xiǎn)，由于ERP系統(tǒng)的引入而變得更加復(fù)雜；另一方面，ERP系統(tǒng)的實(shí)施需要對(duì)原有的業(yè)務(wù)流程進(jìn)行優(yōu)化和設(shè)計(jì)，改變了企業(yè)的組織結(jié)構(gòu)。

流程優(yōu)化的目的就是減少或合并流程中重復(fù)的、不增值的環(huán)節(jié)，原有的基于手工作業(yè)流程中有利于控制的重復(fù)環(huán)節(jié)將消失，這樣一來內(nèi)部控制體系會(huì)發(fā)生變化。這些變化必然對(duì)企業(yè)內(nèi)部的整體控制體系的有效性產(chǎn)生負(fù)面影響。在這種情況下，就需要企業(yè)對(duì)基于ERP系統(tǒng)的關(guān)鍵業(yè)務(wù)流程的內(nèi)部控制進(jìn)行定期的審核，確認(rèn)是否存在足夠的有效控制以降低由于ERP系統(tǒng)的使用而帶來的業(yè)務(wù)風(fēng)險(xiǎn)。

定內(nèi)部控制目標(biāo)

針對(duì)由ERP系統(tǒng)實(shí)施所帶來的新的業(yè)務(wù)控制風(fēng)險(xiǎn)，我們需要對(duì)企業(yè)內(nèi)部控制體系做重新評(píng)估和完善。ERP系統(tǒng)實(shí)施之后，內(nèi)部控制評(píng)估的目標(biāo)通常包括下面這些內(nèi)容：

1.利用風(fēng)險(xiǎn)評(píng)估手段重新確定企業(yè)中關(guān)鍵的業(yè)務(wù)流程；

2.對(duì)整個(gè)流程和控制的設(shè)計(jì)進(jìn)行評(píng)估，確定這些控制是否很好地滿足和支持最終業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)；

3.對(duì)崗位職責(zé)分離的評(píng)估，確保在整個(gè)流程中存在正確的稽核點(diǎn)和平衡點(diǎn)，對(duì)敏感業(yè)務(wù)交易給出足夠的訪問限制；

4.評(píng)估控制方式是否合理，比如基于手工流程的控制和基于系統(tǒng)的自動(dòng)控制是否搭配合理。

確定評(píng)估范圍

一般來說，ERP系統(tǒng)將覆蓋營銷、計(jì)劃、生產(chǎn)、采購、倉儲(chǔ)、財(cái)務(wù)、人力資源等企業(yè)運(yùn)營管理的各個(gè)層面。根據(jù)經(jīng)驗(yàn)，如果對(duì)每個(gè)流程和控制點(diǎn)都進(jìn)行評(píng)估在資源的利用上是非常不經(jīng)濟(jì)的。

ERP系統(tǒng)的控制評(píng)估必須基于風(fēng)險(xiǎn)管理的原則，通過風(fēng)險(xiǎn)評(píng)估尋找對(duì)主要業(yè)務(wù)運(yùn)作中影響最大的領(lǐng)域。換句話說，我們可以從企業(yè)整個(gè)業(yè)務(wù)風(fēng)險(xiǎn)域中尋找對(duì)企業(yè)具有最大風(fēng)險(xiǎn)的業(yè)務(wù)流程，從而進(jìn)一步確定有哪些ERP模塊在支持這些業(yè)務(wù)流程。

一般來說，我們通過對(duì)業(yè)務(wù)流程所有者的訪談，來確定我們的評(píng)估范圍。

在對(duì)實(shí)施了ERP系統(tǒng)的企業(yè)的調(diào)研和風(fēng)險(xiǎn)評(píng)估中，我們發(fā)現(xiàn)，ERP系統(tǒng)中涉及到企業(yè)收入業(yè)務(wù)、支出業(yè)務(wù)和庫存業(yè)務(wù)的系統(tǒng)控制流程對(duì)企業(yè)的業(yè)務(wù)能否順利運(yùn)轉(zhuǎn)影響比較大。對(duì)于這種影響，是這樣定義的：由于業(yè)務(wù)控制的削弱，導(dǎo)致企業(yè)出現(xiàn)經(jīng)濟(jì)問題和違規(guī)問題的可能性增加。

例如，企業(yè)管理層非常關(guān)注財(cái)務(wù)控制的內(nèi)部和外部流程，因?yàn)槟切┻@些流程決定了財(cái)務(wù)數(shù)據(jù)的準(zhǔn)確性，是反映企業(yè)運(yùn)作是否健康的“脈搏”。因此，我們通常會(huì)更關(guān)注收入業(yè)務(wù)，它包括主數(shù)據(jù)維護(hù)、銷售訂單處理、發(fā)運(yùn)、開票、退貨和收款等控制內(nèi)容。

在確定評(píng)估范圍之后，我們需要對(duì)這些流程進(jìn)行描述和分析。對(duì)ERP流程中的每個(gè)動(dòng)作，我們都需要追溯到它的結(jié)果，描述風(fēng)險(xiǎn)特征并確認(rèn)相應(yīng)的控制點(diǎn)。

在ERP環(huán)境中，通常有兩種控制方式我們需要考慮：一種是基于系統(tǒng)的控制，另一種是基于流程的控制。在ERP系統(tǒng)支撐的業(yè)務(wù)流程中，上述兩種方式通常需要結(jié)合使用。

手工控制主要依靠個(gè)人職責(zé)的履行來完成。比如，通常付款是需要通過填表、簽字確認(rèn)才可支付的?；贓RP系統(tǒng)的控制，是由軟件來完成的，通過控制數(shù)據(jù)的有效性和合理性來限制和核查動(dòng)作的合法性。ERP系統(tǒng)的參數(shù)設(shè)置將決定這個(gè)領(lǐng)域的控制級(jí)別。

這些控制包括用戶訪問、字段驗(yàn)證、工作流和許多其他用于確保數(shù)據(jù)處理一致性的控制。例如，系統(tǒng)會(huì)自動(dòng)拒絕生成一張與前一次序號(hào)相同的發(fā)票。這樣就自動(dòng)降低了差錯(cuò)發(fā)生的可能性和應(yīng)付帳款處理的混亂。

值得注意的是，在ERP系統(tǒng)實(shí)施過程中，某些二次開發(fā)工作會(huì)削弱在系統(tǒng)中已經(jīng)設(shè)置好的控制，從而產(chǎn)生新的風(fēng)險(xiǎn)因子。這個(gè)時(shí)候，我們必須要用手工控制來彌補(bǔ)。

需要了解的是，即便根據(jù)ERP系統(tǒng)的要求，調(diào)整和優(yōu)化了內(nèi)部控制，減少了由于“流程自動(dòng)化”帶來的內(nèi)部控制可能的削弱，仍然無法徹底消除系統(tǒng)本身的特點(diǎn)導(dǎo)致的控制盲區(qū)。這在復(fù)雜的系統(tǒng)接口和多用戶訪問情形下，問題是比較突出的。

很少有企業(yè)用一個(gè)系統(tǒng)將企業(yè)所有的數(shù)據(jù)和流程都管理起來。所以，ERP系統(tǒng)和其他系統(tǒng)之間的接口是實(shí)現(xiàn)不同系統(tǒng)間數(shù)據(jù)互聯(lián)互通的必需。這些位于不同系統(tǒng)之間的接口是一個(gè)重要的風(fēng)險(xiǎn)區(qū)域。

業(yè)務(wù)流程風(fēng)險(xiǎn)點(diǎn)范文第4篇

[關(guān)鍵詞]檢驗(yàn)檢疫；SIPOC；風(fēng)險(xiǎn)管理

doi：10.3969/j.issn.1673 - 0194.2015.18.096

[中圖分類號(hào)]F224 [文獻(xiàn)標(biāo)識(shí)碼]A [文章編號(hào)]1673-0194（2015）18-0-02

0 引 言

檢驗(yàn)檢疫本身是風(fēng)險(xiǎn)管理的一種方法和手段，是為了確認(rèn)進(jìn)口/出口商品符合國內(nèi)/海外的標(biāo)準(zhǔn)和要求，防止不合格品的流入/出（把關(guān)失效）。為實(shí)現(xiàn)檢驗(yàn)檢疫的基本職能，風(fēng)險(xiǎn)管理作為基本的研究課題，非常必要。

風(fēng)險(xiǎn)存在于業(yè)務(wù)流程的各個(gè)環(huán)節(jié)之中，進(jìn)行風(fēng)險(xiǎn)識(shí)別，首先要對(duì)業(yè)務(wù)過程進(jìn)行梳理。SIPOC（Supplier供應(yīng)者、Input輸入、Process過程、Output輸出、Customer客戶）是識(shí)別業(yè)務(wù)流程中關(guān)鍵風(fēng)險(xiǎn)源的分析方法。通過這種方法，人們可將業(yè)務(wù)流程（如某減值點(diǎn)）分解為若干關(guān)鍵點(diǎn)，并明確其目標(biāo)和涉及的人、財(cái)、物及流程等要素，以確保全面梳理該流程所涉及的風(fēng)險(xiǎn)。

1 SIPOC概述

SIPOC模型定義：SIPOC模型是一代質(zhì)量大師戴明提出來的組織系統(tǒng)模型，是一門最有用且最常用的流程管理和改進(jìn)技術(shù)。戴明認(rèn)為任何組織都是一個(gè)由供應(yīng)者（Supplier）、輸入（Input）、流程（Process）、輸出（Output）以及客戶（Customer）相互關(guān)聯(lián)互動(dòng)的5個(gè)部分組成的系統(tǒng)，即SIPOC。

SIPOC模型的關(guān)鍵點(diǎn)包括以下幾點(diǎn)。

（1）所有的員工和工作單元都是不同業(yè)務(wù)流程的供應(yīng)商和客戶。

（2）當(dāng)你從組織中的其他個(gè)人、團(tuán)隊(duì)或組織外的來源處獲得原料、信息或服務(wù)時(shí)，你就是客戶。

（3）當(dāng)你為組織中的其他個(gè)人、團(tuán)隊(duì)或組織外部的客戶提供原料信息或服務(wù)時(shí)，你就是供應(yīng)商。

（4）你作為客戶得到的原料、信息或服務(wù)就是輸入。

（5）你作為供應(yīng)商向其他個(gè)人或團(tuán)隊(duì)提供的原料、信息或服務(wù)就是輸出。

（6）你的工作不是一個(gè)孤立的活動(dòng)，而是整個(gè)工作流程的一部分。所謂的工作流程是指接受。

（7）供應(yīng)商的輸入，在每一個(gè)步驟上為這些輸入加入一些有價(jià)值的東西并且生產(chǎn)輸出物的滿足客戶需求的過程。

2 分析方法

運(yùn)用SIPOC的方法從流程的角度出發(fā)，針對(duì)關(guān)鍵業(yè)務(wù)或事項(xiàng)，結(jié)合檢驗(yàn)檢疫的各項(xiàng)工作目標(biāo)，考慮影響目標(biāo)實(shí)現(xiàn)的關(guān)鍵因素。

首先要組建團(tuán)隊(duì)，對(duì)流程或業(yè)務(wù)相關(guān)的部門進(jìn)行工作訪談，一同整理或收集相關(guān)的制度文件，用SIPOC技術(shù)梳理關(guān)鍵部門的業(yè)務(wù)流程，SIPOC的梳理次序如表1所示。

梳理過程中強(qiáng)調(diào)的是：始于客戶，反向操作。

通過運(yùn)用SIPOC技術(shù)的梳理功能，可獲得各業(yè)務(wù)流程的輸出項(xiàng)，工作質(zhì)量可通過輸出項(xiàng)的數(shù)據(jù)進(jìn)行量化；已識(shí)別出來的風(fēng)險(xiǎn)，可追溯到各流程的輸出項(xiàng)進(jìn)行評(píng)估，而原因的分析可以追溯到工作流程、信息供應(yīng)商輸入的完備及準(zhǔn)確性等。

3 分析內(nèi)容

圖1展示了檢驗(yàn)檢疫職能的簡易SIPOC。針對(duì)檢驗(yàn)檢疫過程，應(yīng)用以上介紹的SIPOC技術(shù)的流程圖舉例如表2～表5所示。

通過表2可以發(fā)現(xiàn)目前業(yè)務(wù)流程中缺失與風(fēng)險(xiǎn)監(jiān)控相關(guān)的輸出數(shù)據(jù)（表2中黃色、暗紅色標(biāo)示的輸出項(xiàng)）。

通過表3的梳理，可以發(fā)現(xiàn)“標(biāo)準(zhǔn)不明確”“標(biāo)準(zhǔn)難執(zhí)行”與流程中在征求意見環(huán)節(jié)、有效性評(píng)估環(huán)節(jié)方面的缺陷。

通過表4的梳理，可以發(fā)現(xiàn)在人員與崗位符合度方面，目前仍沒有適當(dāng)?shù)谋O(jiān)控指標(biāo)。

通過表5的梳理，可以發(fā)現(xiàn)與“責(zé)任心差”“工作疏忽”相關(guān)的工作差錯(cuò)數(shù)據(jù)仍不完善，需進(jìn)一步建立相應(yīng)的流程監(jiān)控點(diǎn)及數(shù)據(jù)記錄。

4 結(jié) 語

SIPOC模型使參與某一特定工作流程的工作人員清晰地看到一幅描繪一項(xiàng)業(yè)務(wù)從開始到結(jié)束的實(shí)際完成過程的圖像，從而鑒別其他團(tuán)隊(duì)或部門成員所做出的不同努力，了解他們或他們部門執(zhí)行的任務(wù)與其他個(gè)人、團(tuán)隊(duì)、部門所執(zhí)行任務(wù)之間的關(guān)系。

SIPOC梳理出了各部門或業(yè)務(wù)流程的關(guān)鍵輸出項(xiàng)，也為風(fēng)險(xiǎn)的識(shí)別、風(fēng)險(xiǎn)探測因子的支持?jǐn)?shù)據(jù)提供了全景梳理，為后續(xù)的風(fēng)險(xiǎn)管理工作提供了更為宏觀和系統(tǒng)的支持。

主要參考文獻(xiàn)

[1]戴云徽，韓之俊，郭春明.基于FMEA的出入境檢驗(yàn)檢疫目標(biāo)符合性條件篩選研究[J].技術(shù)經(jīng)濟(jì)，2009（1）.

[2]戴云徽.出入境檢驗(yàn)檢疫符合性條件的篩選、檢驗(yàn)策劃及風(fēng)險(xiǎn)預(yù)警研究[D].南京：南京理工大學(xué)，2009.

[3]朱俊敏. 加強(qiáng)風(fēng)險(xiǎn)管理提升檢驗(yàn)檢疫廉政建設(shè)水平[J]. 中國檢驗(yàn)檢疫. 2013（3） .

[4]李宗，華菊. 對(duì)檢驗(yàn)檢疫風(fēng)險(xiǎn)防范管理的認(rèn)識(shí)[J]. 中國檢驗(yàn)檢疫. 2011（3） .

[5] 孫蓓玲. 檢驗(yàn)檢疫機(jī)構(gòu)有效實(shí)施ISO9000質(zhì)量管理研究[D]. 蘇州：蘇州大學(xué)，2007.

[6]李蔚，蔡淑琴. 建設(shè)項(xiàng)目集成的SIPOC模式及其組織支持[J]. 科研管理，2006（1） .

業(yè)務(wù)流程風(fēng)險(xiǎn)點(diǎn)范文第5篇

一、互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)信息安全評(píng)估的內(nèi)容

(一)評(píng)估內(nèi)容。

工信部與三大運(yùn)營商對(duì)互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)信息安全評(píng)估的要求主要包括:與業(yè)務(wù)相關(guān)的網(wǎng)絡(luò)架構(gòu)安全、設(shè)備安全、平臺(tái)安全、業(yè)務(wù)流程安全、內(nèi)容安全、業(yè)務(wù)數(shù)據(jù)安全、系統(tǒng)運(yùn)維及人員管理安全等方面。

(二)“傳統(tǒng)”安全評(píng)估的主要內(nèi)容。

雖然目前的評(píng)估都來自于ISO13335－2信息安全風(fēng)險(xiǎn)管理中，但主要的內(nèi)容為:管理脆弱性識(shí)別包括組織架構(gòu)管理、人員安全管理、運(yùn)維安全管理、審計(jì)安全管理等方面的評(píng)估技術(shù)脆弱性識(shí)別漏洞掃描:對(duì)網(wǎng)絡(luò)安全、網(wǎng)站安全、操作系統(tǒng)安全、數(shù)據(jù)庫安全等方面的脆弱性進(jìn)行識(shí)別。基線安全:對(duì)各種類型操作系統(tǒng)(HP－UX、AIX、SOLARIS、LINUX、Windows等)、WEB應(yīng)用(IIS、Tomcat等)、網(wǎng)絡(luò)設(shè)備等網(wǎng)元的安全配置進(jìn)行檢查和評(píng)估。滲透測試:滲透測試是站在攻擊者的角度，對(duì)目標(biāo)進(jìn)行深入的技術(shù)脆弱性的挖掘。

(三)業(yè)務(wù)信息安全評(píng)估與“傳統(tǒng)”安全評(píng)估的對(duì)比。

雖然安全風(fēng)險(xiǎn)評(píng)估基本都按照了ISO13335－2中的方法來操作，但是通過對(duì)業(yè)務(wù)信息安全評(píng)估的內(nèi)容和“傳統(tǒng)”安全評(píng)估內(nèi)容對(duì)比不難看出，“傳統(tǒng)”安全評(píng)估主要集中在網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用軟件層，且每層的評(píng)估比較孤立，很難全面反映業(yè)務(wù)的主要風(fēng)險(xiǎn)?！耙詷I(yè)務(wù)為中心、風(fēng)險(xiǎn)為導(dǎo)向”的業(yè)務(wù)系統(tǒng)安全評(píng)估能夠與客戶的業(yè)務(wù)密切結(jié)合，風(fēng)險(xiǎn)評(píng)估結(jié)果和安全建議能夠與客戶的業(yè)務(wù)發(fā)展戰(zhàn)略相一致，最終做到促進(jìn)和保障業(yè)務(wù)戰(zhàn)略的實(shí)現(xiàn)。

二、互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)信息安全評(píng)估的主要方法

“業(yè)務(wù)為中心、風(fēng)險(xiǎn)為導(dǎo)向”的信息安全評(píng)估思路互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)信息安全評(píng)估是開展其他信息安全服務(wù)的基礎(chǔ)，而以“業(yè)務(wù)為中心、風(fēng)險(xiǎn)為導(dǎo)向”的信息安全評(píng)估思路，是切實(shí)落實(shí)信息安全風(fēng)險(xiǎn)評(píng)估的根本保證。

(一)主要流程。

對(duì)互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)信息安全評(píng)估來說，分為三大基本步驟:一是深入業(yè)務(wù)，分析流程;二是業(yè)務(wù)威脅分析、業(yè)務(wù)脆弱性識(shí)別和人工滲透分析;三是風(fēng)險(xiǎn)分析和處置建議。

(二)深入業(yè)務(wù)，分析流程。

目標(biāo)是了解業(yè)務(wù)信息系統(tǒng)承載的業(yè)務(wù)使命、業(yè)務(wù)功能、業(yè)務(wù)流程等;客觀準(zhǔn)確把握業(yè)務(wù)信息系統(tǒng)的體系特征。管理層面調(diào)研和分析圍繞“業(yè)務(wù)”，管理調(diào)研的內(nèi)容主要為組織架構(gòu)、部門職責(zé)、崗位設(shè)置、人員能力、管理流程、審計(jì)流程等等，其調(diào)研核心是一系列的管理流程。通常，組織中有多種類型的管理流程，管理調(diào)研的重點(diǎn)是與信息安全有關(guān)的流程、制度及其落實(shí)、執(zhí)行和效果情況。管理措施通常貫穿于整個(gè)管理流程之中，目的是保證管理流程的有效流傳或者不出現(xiàn)意外的紕漏。管控措施的設(shè)計(jì)一般都遵循一定的原則，如工作相關(guān)、職責(zé)分析、最小授權(quán)等等。業(yè)務(wù)系統(tǒng)層面調(diào)研和分析業(yè)務(wù)系統(tǒng)提供的功能一般是指被外界(例如客戶、用戶)所感知的服務(wù)項(xiàng)目或內(nèi)容，是IT系統(tǒng)承載、支持的若干個(gè)業(yè)務(wù)流程所提供功能的總匯。一個(gè)具體的業(yè)務(wù)功能常常與多個(gè)業(yè)務(wù)流程相關(guān)，一種(個(gè))業(yè)務(wù)功能，常常需要若干個(gè)業(yè)務(wù)流程來實(shí)現(xiàn)。例如數(shù)據(jù)的錄入流程、數(shù)據(jù)的修改流程、數(shù)據(jù)的處理流程等等。對(duì)于一個(gè)具體的信息系統(tǒng)來說，可以通過其提供的業(yè)務(wù)功能，對(duì)業(yè)務(wù)流程進(jìn)行全面梳理、歸納，并驗(yàn)證業(yè)務(wù)流程分析的完備性、系統(tǒng)性。一個(gè)具體的業(yè)務(wù)流程也常?？缭蕉鄠€(gè)系統(tǒng)，某個(gè)具體的IT系統(tǒng)可能僅完成整個(gè)IT流程中的某一個(gè)活動(dòng)。例如在短信增值服務(wù)中，SP與用戶手機(jī)短信收發(fā)就涉及到了短信中心、短信網(wǎng)關(guān)、智能網(wǎng)SCP等多個(gè)系統(tǒng);另外，還涉及到了計(jì)費(fèi)、BOSS等業(yè)務(wù)支撐系統(tǒng)以及網(wǎng)管等運(yùn)維管理系統(tǒng)等。因此，業(yè)務(wù)功能通常是對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行調(diào)研的最佳切入點(diǎn)，并將業(yè)務(wù)流程簡化成為單純的數(shù)據(jù)處理過程，將各個(gè)應(yīng)用軟件之間的數(shù)據(jù)傳輸簡化成為點(diǎn)對(duì)點(diǎn)的流。然后基于數(shù)據(jù)流分析，建立信息視圖，明確信息的流轉(zhuǎn)、分布、出入口，把業(yè)務(wù)系統(tǒng)簡化成為數(shù)據(jù)流的形式，可以更好地分析數(shù)據(jù)在各個(gè)階段所面臨的風(fēng)險(xiǎn)。

(三)脆弱性識(shí)別。

1．系統(tǒng)和應(yīng)用軟件層脆弱性識(shí)別。對(duì)評(píng)估范圍內(nèi)的主機(jī)操作系統(tǒng)及其上運(yùn)行的數(shù)據(jù)庫/Web服務(wù)器/中間件等系統(tǒng)軟件的安全技術(shù)脆弱性，得到主機(jī)設(shè)備的安全現(xiàn)狀，包含當(dāng)前安全模塊的性能、安全功能、穩(wěn)定性以及在基礎(chǔ)設(shè)施中的功能狀態(tài)。

2．網(wǎng)絡(luò)層脆弱性識(shí)別。明確被評(píng)估系統(tǒng)和其他業(yè)務(wù)系統(tǒng)的接口邏輯關(guān)系、和其他業(yè)務(wù)系統(tǒng)的訪問關(guān)系、得出清晰的基礎(chǔ)設(shè)施拓?fù)鋱D;從網(wǎng)絡(luò)的穩(wěn)定性、安全性、擴(kuò)展性、(易于)管理性、冗余性幾個(gè)方面綜合評(píng)定網(wǎng)絡(luò)的安全狀況。

3．現(xiàn)有安全措施脆弱性識(shí)別。識(shí)別并分析現(xiàn)有安全措施的部署位置、安全策略，確定其是否發(fā)揮了應(yīng)用的作用。

4．管理層脆弱性識(shí)別。識(shí)別和分析安全組織、安全管理制度、流程以及執(zhí)行中存在的安全弱點(diǎn)。

(四)業(yè)務(wù)威脅分析。

對(duì)于業(yè)務(wù)系統(tǒng)來說，安全威脅及安全需求分析的最小單位是數(shù)據(jù)處理活動(dòng)。可以通過安全威脅列表來識(shí)別威脅，構(gòu)建安全威脅場景來進(jìn)行威脅、風(fēng)險(xiǎn)分析。

1．列出評(píng)估的業(yè)務(wù)系統(tǒng)的全部安全威脅。如何能將安全威脅很好的列出來呢?可以借助一些現(xiàn)有的安全威脅分析模型，例如微軟Stride模型(假冒、篡改、否認(rèn)、信息泄漏、拒絕服務(wù)、提升權(quán)限)都提供了一些安全威脅的分類方法。

2．識(shí)別和構(gòu)造威脅路徑。依據(jù)自身(企業(yè)或部門級(jí))的業(yè)務(wù)特點(diǎn)進(jìn)行細(xì)化，識(shí)別和列出安全威脅來，如拒絕服務(wù)、業(yè)務(wù)濫用、業(yè)務(wù)欺詐、惡意訂購、用戶假冒、隱蔽、非法數(shù)據(jù)流、惡意代碼等。

3．業(yè)務(wù)滲透測試和攻擊路徑分析。因?yàn)闃I(yè)務(wù)的特性是“個(gè)性化”，那么就很難用一個(gè)或多個(gè)工具發(fā)現(xiàn)所有問題;且業(yè)務(wù)的個(gè)性化，在業(yè)務(wù)邏輯、接口等安全測評(píng)中，必須要有人工參與。利用業(yè)務(wù)流程分析、威脅分析和脆弱性分析的相關(guān)數(shù)據(jù)，實(shí)現(xiàn)滲透測試。