时间:2023-08-28 16:57:59
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇全面风险管理业务流程,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
一、全面风险管理和内部控制概念
(一)全面风险管理的概念
全面风险管理是一个持续的实施过程,紧密结合在企业经营战略的设定之中,是企业的董事会、管理层和其他员工共同参与的协作执行,应用于企业的战略制定和企业的各个部门及各项经营活动,用于确定可能影响企业的潜在事项,并在其风险偏好范围内管理风险,从而对企业目标实现提供合理保证。
根据企业管理层经营的方式划分,全面风险管理包括八个要素,内部环境识别、制定经营目标、企业风险评估、经营事项评估、风险应对方案、风险控制措施、信息获取与沟通以及风险效果监控,上述要素之间相互关联,相互协作,始终贯穿于企业生产经营活动中。
(二)内部控制的概念
内部控制是一个动态的全过程,包括控制环境、风险评估、控制活动、信息与沟通及监控五个互相联系的要素,体现于管理层经营企业活动中。企业内部控制由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。这一定义突出强调内部控制是由企业董事会、监事会、经理层和全体员工实施的,旨在实现控制目标的过程,有利于梳理全面、全过程控制的理念。
笔者认为,内部控制的基本出发点是以预防为主,贯穿于企业生产经营的始终,内部控制需通过事前、事中、事后的过程性的控制手段,对内部控制设计及执行过程进行评估,从中获得当前内部控制体系的有关信息,及时对内部控制体系进行修订、完善和补充,确保企业管理的完整性,有利于充分发挥审计职能、提供各方决策依据等内容,以达到整体控制的效果。
二、全面风险管理和内部控制的关系
全面风险管理与内部控制既相互联系又存在一定差异,具体情况如下。
(一)管控实施主体一致
从实施主体上看,企业风险管理和内部控制管控主体都是企业董事会管理层及各息与沟通及监控五个互相联系的要素,体现于管理层经营企业活动中。企业内部控制由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。这一定义突出强调内部控制是由企业董事会、监事会、经理层和全体员工实施的,旨在实现控制目标的过程,有利于梳理全面、全过程控制的理念。
笔者认为,内部控制的基本出发点是以预防为主,贯穿于企业生产经营的始终,内部控制需通过事前、事中、事后的过程性的控制手段,对内部控制设计及执行过程进行评估,从中获得当前内部控制体系的有关信息,及时对内部控制体系进行修订、完善和补充,确保企业管理的完整性,有利于充分发挥审计职能、提供各方决策依据等内容,以达到整体控制的效果。
二、全面风险管理和内部控制的关系
全面风险管理与内部控制既相互联系又存在一定差异,具体情况如下。
(一)管控实施主体一致
从实施主体上看,企业风险管理和内部控制管控主体都是企业董事会管理层及各员工,其管控主体为公司全体员工,为公司战略目标实现提供合理保证。
(二)管控范围相互包含
从管控范围上看,企业的内部控制体系是企业全面风险管理体系中重要的组成部分之一,而内控体系建设的动因则来自企业对风险的认识和管理。内部控制是管理的一项职能,而全面风险管理贯穿于企业经营管理过程的各个方面。
(三)管控视角侧重不同
从管控视角上看,全面风险管理强调通过前瞻性的视角去积极应对企业内外各种可控和不可控的风险,侧重于战略、市场及法律等领域。而内部控制主要通过防范性的视角去降低企业内部可控的各种风险,侧重于财务和运营。
(四)管控目的存在差异
从管控目的上看,企业通过对全面风险管理的战略风险、财务风险、市场风险、运营风险及合规风险等多项风险进行分析、评估获取机遇,规避或预知影响。而内部控制则没有对风险和机遇进行明确的区分。
综上所述,能够对风险包括风险偏好、风险应对策略、风险零容忍度等战略要素,进行准确全面的度量和评估,建立初始信息框架,是全面风险管理工作流程起始点,因此,要确保企业在风险偏好及运营发展战略方面保持一致。内部控制则是在对企业内部风险和机遇分析的基础上,提出各种应对措施及方法,内部控制措施其必要性与风险系数呈正相关的关系,并依据风险内容制定控制机制与实施,企业在生产运营管理中,通过使用具体的内部控制措施的有效工具,对各类风险进行控制、评估,从而监控管理潜在的各类风险爆发隐患。
三、企业内部控制体系实施
随着国家有关部门和资本市场监管要求日趋严格,以及全面风险管理与内部控制理论的特性,为企业建立风险管控体系提供了指导依据。同时,将风险管理理念列为管理重点,以有效的内部控制为基础,科学融合了现代企业管理体系中的风险管理理念,促使企业充分审视、完善和加强自身内部控制管理工作。
建立以风险管理为导向的内部控制体系,从而不断提升企业自身的风险管控能力,其发展历经了SOX内控体系到全面风险管理内控体系演进的过程。
(一)基于财务报告相关基础的SOX内控体系
初步建立以《萨班斯》财务报告为基础的一套内控体系,主要关注内控组织和制度的建设,完成体系的搭建,内外部审计中,均顺利过关,遵循工作总体有效,主要建设效果如下。
1.搭建内部控制体系组织架构和体系
内控体系从组织架构上实行两条线管理机制。一方面,财务部门作为内控职能管理部门与业务部门(虚拟团队)作为运动员,分别负责公司内控体系的设计和执行;另一方面,内审部及外部审计师作为裁判员,负责内控体系的监督和检查。
按照内部控制建设目标和原则,通过统一、规范、系统化的与财务报告相关的内部控制体系制度的建设,完善了基本的内部控制设计,业务流程范围覆盖了企业所有业务部门,形成资本性支出流程、收入和计费业务流程、存货管理流程、营运支出业务流程、货币资金管理流程、固定资产和无形资产管理业务流程、人工成本管理业务流程、会计和财务报告、筹资业务流程、关联交易业务流程、法律法规遵循业务流程、税务管理业务流程及信息技术整体控制等十三大主要内控流程及关键控制点,形成内部控制手册和矩阵。
2.梳理规范业务操作
梳理及规范了业务执行层面各类操作,实现了风险评估、制度设计、业务执行、监督报告的闭环管理流程。通过业务访谈及专业判断进行了业务流程的风险评估,通过内控文档的优化更新及内控制度办法的建立完善了制度设计,通过明确落实关键控制点责任部门和责任人保证执行落地,通过内外部内控审计测试及业务自查加强了监督检查力度,通过定期内控体系建设情况报告形式明确了管理要求。
3.提升风险管理意识
通过结合基于财务报告相关的内控建设初步的风险管理体系,深化了内控的管理细度,实现了将与财务报告相关的内控要求融入日常工作,与业务运营融合,提升了业务执行效率与效果,增强了风险管理意识。
4.内部控制落实
企业通过部门层面内控常态化管理项目的实施,将公司层面的控制落实到部门层面,控制的执行更加明确,转换部门角色,把部门由受控主体转变为控制的主体,形成部门内控闭环管理体系,实现部门内部控制的建立、执行、测试及跟进闭环管理,将控制真正融入到日常工作之中,避免内控管理与生产管理“两张皮”。同时,建立并完善内部信息沟通渠道即内控月报制度,内控月报涵盖了各部门日常工作中涉及的相关内控工作,实现与公司内控职能管理部门财务部的有效沟通。
5.加强内控执行监督
为加强对内控业务执行的监督力度与执行效果,设置考核体系和评价体系,企业采用了将内控业务执行监督纳入公司各部门关键绩效指标考核体系的方式,以加强业务部门对内控管理工作的重视程度;在日常监督检查方面,采取了部门层面内控闭环管理体系,通过明确各部门内控自测要求,促进业务部门开展自测,并与内外部审计等检查实行有效衔接,主动发现风险,从而达到关注重点、聚焦实质的目标,将内控风险管理工作和业务管理工作有机的结合在一起。
(二)以风险为导向、面向业务运营的全面内控体系
开展企业层面的风险评估,编制全面风险评估报告,全面优化SOX内控,梳理、搭建业务风控框架,以风险管理控制为核心,面向生产运营内控体系逐渐过渡到以风险为导向的内部控制体系建设,建立全面内控体系,其主要效果如下。
1.搭建业务框架
内控体系框架不再以存货、资金等会计视角为主线,而是从市场营销、采购等公司具体业务视角搭建。同时,从全生命周期出发,在各关键环节设置数据稽核的控制要求,区分实物管理和数据管理采集稽核样本,从而加强全流程的风险管理控制,提升数据真实性。
2.增设关键控制,注重前后评估
一方面,由于业务合作形式日趋多样,多渠道整合营销及联合促销等合作模式对双方资金、资产安全提出了更高的控制要求。如,对于代销商与营业厅合作业务,对代管存货明确了控制措施,明确控制要求;另一方面,结合原则性控制要求,针对具体方式进一步细化控制要求,提高关键环节控制力度。如,对于采购业务,鉴于采购方式及业务流程不同,区分了招标采购、非招标采购与集中采购三类模式,细化控制要求。
根据业务流程进行梳理发现,部分业务流程未明确事前评估及事后监控的闭环要求。基于此,在业务流程评估的基础上,对部分业务流程增加了前后评估环节,提升了效率效果。
3.合并同质控制
通过长期的业务实践来看,对于同类业务,放在不同的流程中,出现了不同业务部门的认识不统一,导致管理方式不一致。通过业务流程的删繁就简,归并整理了同类型业务控制。
4.梳理标准规范
考虑系统维护量增加,效率降低,以及未来的可扩展性,兼顾控制基线要求,适当强化部分控制,为不断增多的系统提供统一、标准的控制规范,统一了各信息系统的整体控制要求。此外,通过梳理与财务报告相关性系统,考虑其是否产生计费话单或生成财务数据,是否传输或存储财务数据,对与财务报告无直接关联的系统不再纳入内控手册矩阵关键控制系统范畴,而是纳入日常管理流程。
5.实施内控系统固化
伴随企业内控管理制度的逐步规范以及信息系统建设的不断完善,内控制度和流程相对明确,内控工作的重心从内控手册矩阵优化转到控制要求的落实执行上。如何通过信息化手段将内控管理制度落实到实际执行中,将内部控制矩阵中的关键控制点在业务系统中予以固化,以建立常态化的内控执行体系,既是进一步改善内控措施执行的效率和效果,又是实现内部控制和风险管理的智能化和标准化的要求。内控固化管理也是顺应持续性审计、惩防体系建设等内外部监管领域发展趋势,并为业务的健康成长和管理效率的提升提供支撑保障。
(三)以全面风险管理为视角的内控体系
遵循COSOII框架的全面风险管控体系,组织开展重大风险管控项目试点,促进风险管理工作与业务的深度融合,主要关注风险评估和风险应对,实现向全面风险管理过渡,不断完善其风险体系和内控体系建设,构建与以全面风险管理视角的内控体系,其主要建设效果如下。
1.深化风险文化
作为企业文化建设的重要部分,企业已将风险管理文化建设纳入企业文化标杆管理体系,从制度层面上保障风险管理文化的建设,并将风险管理与绩效考核相结合,对于不符合风险管理要求、违反商业道德和诚信原则的行为进行处罚,促进风险责任的落实。公司管理层和风险管理专职人员作为传播企业风险管理文化的两种基本力量,分别通过自上而下和由点及面的推动方式,传播公司的风险管理文化。通过风险管理文化建设与培训,风险管理意识日趋深入人心,风险文化逐步形成。
2.构建风险体系
企业以国资委的《中央企业全面风险管理指引》中确定的分类为参考,结合企业行业特点及其实际业务情况,主要风险主要划分为战略风险、财务风险、市场风险、运营风险、法律风险和信息技术风险等六类风险。
全面风险管理工作从上述六类风险角度出发,营造企业自身文化;梳理公司各业务和内外部环节存在的风险,健全风险防范制度,构建风险防范体系。通过与利益相关方的沟通,提升公司形象,加强公司的廉政建设。
首先,企业根据业务发展需求,围绕中心,服务大局,联系实践,落实企业文化规划,完成企业文化发展规划,提升企业文化知晓率和认同度。
其次,企业通过梳理公司业务管理、网络运营等各方面存在的风险点及薄弱环节,提升全员信息安全意识,以风险管理为核心开展信息安全管理工作。
再次,企业通过加强反腐倡廉建设,廉洁自律,强化纪检监察、内审、安全生产、法律和社会责任风险管理,构建全面风险管理体系。
最后,加强利益相关方沟通管理和需求回应,全面提升社会形象。
企业通过上述措施制订执行全面风险管理工作计划,明确责任,评估各项风险发生的可能性和发生后对公司的影响程度,并对风险的重要性程度排序,确定公司面临的各种风险,细化落实相关计划与措施,定期开展回顾总结,监督执行情况、提出改进建议,完善风险管理的闭环管理机制,将风险管理的工作要求与业务运营管理相融合,切实做好日常的风险管理控制。
3.提升管理水平
通过规范业务流程,促进公司精细化管理水平的提升。在以价值为导向的全面风险管理体系建设阶段,实现了风险评估、制度设计、执行、监督检查及报告的闭环管理的新的提升。在以风险为导向的内控体系建设的基础上,通过风险量化分析工具及效益评价开展风险评估,建立风险评估标准完善了制度设计,通过专项风险管理加强执行,建立风险信息数据库方式增强监督检点,通过定期编制全面风险管理报告提升风险管理水平。
4.关注重点风险,内控业务对标
随着企业管理日益精细化,相关内控要求与业务制度也在持续优化更新。在生产经营过程中,运用正向、逆向思维,梳理内部控制制度和业务管理制度,内控制度设计覆盖业务管理全过程,关注重点高风险和舞弊领域,业务制度是内控制度执行依据,内控制度是将业务制度中与内控相关条款归纳、整合。基于此,从内控合规角度出发,查找设计不合规或两者不一致的内容,进而完善内控要求与业务制度,实现全部内控业务流程对标,并将此项工作纳入内控常态化管理工作范围,不断完善内控体系。
上述内控体系特点为,建立企业统一的、标准化的内控手册和矩阵;控制点要求落实到具体部门和责任人,确保有效落地执行;内控管理执行部门和风险管理监督部门各司其职,相互制衡;全面覆盖涉及企业所有业务单元,涵盖生产、市场和管理等各业务线条;采用风险评估的方法,以风险为导向,关注关键环节风险管控;将内控与业务活动的紧密融合,避免“两张皮”;利用信息化手段固化内控要求,充分发挥信息系统优势。
四、未来全面风险管理内控体系的实施建议
(一)将企业风控管理和战略管理结合在一起
战略管理、风险管理是企业整个治理过程中的重要环节,企业战略管理的终极目标是为了实现企业价值的可持续增长,企业价值创造的路径是“股东价值客户价值业务流程核心资源”,所以企业必须具有高效、快捷、有可靠质量的业务管理流程,是企业价值链的形成途径,企业风控管理也应遵循这一路径而展开。这就需要企业结合整体战略规划对本企业的风控管理目标、建设原则、建设步骤及建设蓝图等进行评估、设计与决策,并且企业还需结合已确定的内部控制体系建设规划,审核建设方案和实施计划,监督内部控制管理机制的日常运行和持续改进,从而实现自上而下的风控管理与战略管理相结合的管理机制。
为实现企业战略目标,一方面将风控管理偏好和企业的战略结合在一起,将企业成长、风险和收益联系起来,增加风控反应决策,使企业的经营意外和损失最小化,减少企业生产、运营管理风险盲点;另一方面确认和管理企业的总体风险,合理配置风控管理领域的资源,抓住机遇,针对多重风险提供完整的应对反应方案。
(二)全员参与自主风控
全面风险管理是长期性工作,涉及企业生产和管理整个过程,需要全员上下共同参与实施,也是与日常生产和管理活动紧密相关联的。通过有效运用风险管理和内部控制的相关手段和要求,评估企业关键性业务的状态,避免业务执行和风控执行信息不对称;实行自主动态风控管理,使业务制度涵盖内控要求、业务流程符合内控要求和业务系统固化内控要求,从而不断提升全员风险管控意识,做好重大风险自主评估;增强内控与业务融合度,确保关键业务自主内控合规;深化内控管理信息化的建设,实现内控要求系统自动控制;推动审计发现问题整改复查,发挥审计检察闭环监督价值。
(三)强化风险监控预警,有效完善内控体系
企业的风险监控是风险预警的关键部分,结合企业内外部环境、行业特点,通过一定的评估方法或模型来确定风险监控指标的权重,充分利用统计分析的决策支持、工具和系统,从生产管理多维度入手,如运用年度绩效考核指标分析,监控企业经营业绩、发展效益、网络质量等;通过年度全面预算标杆管理体系,对标分析查找差距,突出价值导向优化资源配置;利用对业财半年报表和日常管理情况分析,监控业财指标,从财务角度进行风险分析和提示;透过月度/季度统计数据,分析企业日常生产经营风险,并将监测动态数据进行统计、分析,得出风险的变化趋势,定期进行汇总提出分析报告,为企业决策和风险管控提供参考依据,也为业务流程和内控体系持续优化提供有效信息,切实起到风险把控作用。
五、结束语
2012年5月,国资委《关于加快构建中央企业内部控制体系有关事项的通知》的,标志着央企内控建设的全面启动。
经过三年多的发展,由于不同企业开展内部控制的目标不同,导致内控效果也差异显著。有些企业以做实内控、规范管理为出发点,不但建立、健全了内部控制体系,并逐步实现了内部控制的常态化运行,实现内部控制与风险管理、企业日常经营较好的融合。也有企业以满足监管要求为定位,内控建设主要是做表面文章,内控建设成果经常被束之高阁,或内控与管理各行其道。
那么,集团型企业的内控管理怎么才能做好呢?
慧点科技风控管理资深咨询顾问秦立兴认为,应考虑内控管理和风险管理深度融合,风险管理和内控管理在管理目标、工作方式、管理对象和工作成果上有许多交集,可以相互借鉴、相互共享,形成一体化管理模式共同作用于企业业务流程管理。
在秦立兴看来,风控一体化不仅可以实现风险管理和内控管理的成果分享,还能促进风险管理战略的落地,通过内控管理手段和方式实现企业内部风险可控、可管,同时,通过风险管理中标注的重大风险明确内控管理的重点领域。通过重大风险的防控工作提升业务部门对风控管理的参与度,强化其主动防范风险的主人翁意识,逐步形成各业务部门自主出击、齐抓共管的局面。
因此秦立兴认为,企业在进行风控信息化建设时,要重点考虑如何实现风险管理与内部控制工作全面、深度的融合,在工作组织、业务流程、工具手段、方式方法等多方面将环境建立、风险识别、分析、评价、应对等风险管理过程与内控矩阵、内控评价、缺陷认定和整改等内部控制管理过程充分整合和贯通,明确并固化全面风险管理和内部控制工作的契合点和贯通纽带,实现全面风险管理和内部控制工作的无缝对接。
在秦立兴看来,风控平台不仅仅是风控部门的一个工作平台,而且应当将其定位为整个集团的风控管理平台,任意部门均可利用该平台提供的标准流程、标准工具和标准模板主动开展风控管理工作,通过系统的应用将专业的风控管理方法传递给各级管理者,成为他们防范业务风险、提升业务管理水平的一个利器。
那么,如何在系统中实现风控一体化呢?秦立兴认为,系统的设计可以参考ISO31000中的“风险管理过程”,将系统划分为环境建立、风险识别、风险分析、风险评价和风险应对五大功能模块,并在风险识别、风险分析、风险评价和风险应对中分别嵌入内控管理中的控制识别、内控评价、缺陷认定和缺陷整改功能。
他强调,在系统中开展风险管理的全过程应以业务流程为管理对象,以风险事件为管理抓手:通过明确业务流程界定风控管理范围、参与人员和与该流程相关的环境、风险准则;而风险事件是风控系统设计中的核心元素,衔接了风险分类、流程框架、内控措施、制度条款和风险指标等多个管理元素。
系统中设计的风控管理过程可以简单描述为基于环境信息的变化可随时开展风险事件的识别工作,在识别风险事件的同时识别现有的控制措施,并对控制措施的有效性进行评价。系统根据内控评价结果对风险事件发生的可能性和影响程度进行评分,自动生成风险地图和风险排序。风险事件在地图中的位置和排序可作为内控缺陷等级认定的依据。在风险应对环节,也要以风险事件为应对对象,不仅要考虑整改现有内控措施的执行缺陷,更应从防范风险的角度对内控措施的设计进行考量,在内控措施无法有效控制风险时,还应借助风险转移、风险规避等方式进行风险应对;从而形成风控一体化的管理模式,共同作用于企业业务流程管理。
此外,为了更好地支持集团型架构企业的风控管理工作开展,系统还要满足“集中、分层、分类”的风控管理要求:“集中”指的是全集团采用统一的工具和风险管理语言,实现对风险信息、风险管理工具、方法等的集中管理;“分层”指的是建立各层级单位的风险控制库、风险准则等,支撑各级单位对自身风控工作进行评估和管理;“分类”是指按照职能条线、管理目标和业务流程等形式划分风控范围,支持各部门开展自身管理范围内的日常评估和管理工作。
【关键词】 全面风险管理; ERP; 采购流程; 内部控制
一、风险管理与内部控制
风险是对企业目标实现产生影响的事项发生的不确定性,危险和机会并存,是一个全面的概念。风险控制,就是企业根据风险应对策略确保全面风险管理目标得以实现所采取的,针对企业在实现其既定目标过程中可能遭遇到的风险而制定和实施的,保证风险应对方案或风险管理策略得到正确执行的相关措施。
全面风险管理对企业的重要性是毋庸置疑的,其关系到企业战略目标的实现,关系到企业持续、健康、稳定发展。企业实施全面风险管理主要是来自外部的压力和内部的需要,长远来看,起决定性作用的是内部需要。
在风险管理方面,我国一些企业已经进行了积极的探索和实践,取得了初步成效。对如何控制和管理风险已经由起初的认识风险、重视风险管理逐步转入到如何建立全面风险管理体系。企业不可能一直处于无风险的环境中,因而要采取有效措施控制风险以求得生存与发展。风险管理和内控机制建设的融合是一个必然的趋势,我国现行的内控体系逐步地向全面风险管理体系升级和完善也是一个必然的趋势。
二、ERP环境下的采购业务流程
ERP管理系统的实施在很大程度上改变了企业的业务流程,使企业不再围绕某一业务功能或者职能部门运行。一个完整的ERP系统亦即是人力资源、财务、销售、制作、分销以及供应链管理等的集成,实现了跨职能部门业务处理。
ERP管理系统的采购系统实际是由采购管理和应付账款两个子系统构成的,同时,采购作业与存货管理也有着密切的关系,可以说,企业采购业务的成本在很大程度上取决于存货管理的质量。图1为采购系统与其他相关子系统的数据关系。
无论对工业企业还是商业企业,采购环节都是企业价值实现的开始,采购成本的高低对企业最终的利润有直接影响。因而采购子系统是ERP的重要组成部分之一,在保障信息正常流动、降低成本、提高资金利用率以及提升企业经济效益方面起着极其重要的作用。在ERP中,采购管理子系统的业务流程是从生产部门的物资需要出发、对企业的物资采购活动进行规划的一系列活动,图2即为ERP下采购/付款业务的一般流程。
ERP环境下的采购业务流程首先是根据采购计划提出请购,经审核后,按照ERP系统设定的请购价格录入请购单并生成采购订单,之后根据订单内容对供应商发来的货物进行数量上的点收和质量上的验收。验收合格后的物资入库,反之进行退货处理。流程的具体描述为:
(一)请购
首先由仓库管理部门提出订货要求,然后根据其要求编制请购单,再对请购单进行审批。审批过程是对该笔请购交易的认可过程,也是对该笔请购交易的控制过程。为了验证该业务中库存商品的种类、规格的正确性以及请购商品数量的可接受性,ERP系统通常设有库存管理模块,对库存商品进行管理和控制。
(二)编制采购订单
采购部门在收到请购单后,对经过审批的请购单发出采购订单。对每张采购订单采购部门应确定最佳供应来源。对大额、重要采购项目应采用竞价方式确定供应商,以保证供货的质量、及时性和成本的低廉。
(三)验收商品
验收部门代表企业接收供应商发运来的商品,应当逐一比较所收商品与采购订单的要求是否相符,并编制收货报告。
(四)储存已验收的商品
单独设立存放商品的存储区,确保实物资产的安全与完整。在ERP系统中预设定期盘点提醒模块,同时,应由不同的部门来履行对已经到期商品的盘点工作。
(五)对采购发票的处理
通过采购入库单与采购发票的比较,把采购入库业务与采购发票业务联系在一起,也把物流与资金流联系在一起,即“采购结算”。
(六)对付款业务的处理
通过采购发票与付款单的核销,更新与供应商的往来账,同时把采购发票业务与采购付款业务联系在一起,生成记账凭证转总账系统。
三、风险管理视角下的ERP采购流程主要风险及其控制措施
采购与付款业务对实现财务会计报告真实可靠和资产安全完整性有重要影响,对其进行风险控制至关重要。这需要企业管理层把风险控制作为全面风险管理的一个重要环节,针对企业在采购与付款循环中可能遇到的风险而制定相关措施并加以可靠实施,保证风险应对方案或风险管理策略得到正确执行。由于风险分为可控风险与非可控风险,因而企业应当(也只能)对可控风险采取适当的具有针对性的措施控制,确保将剩余风险控制在可接受水平之内。以下主要从采购业务流程风险和采购技术架构风险两方面来进行分析。
(一)采购业务流程方面的风险
基于ERP中的采购流程,不同环节主要有如下几种风险:
1.订购物资过程中的风险。例如前期研究、信息的反馈、资金供应等会影响采购计划。在此情况下,企业可采取如下控制措施:
(1)作为经济订货量(EOQ)等传统系统的补充,利用信息技术建立存货水平检测系统来监控存货水平。对大宗采购必须做各种采购数量对成本影响的成本分析。
(2)货物订购不正常或者超过一定金额时需要说明理由。为避免员工出于个人利益而订购物资,可授权签字或加强审批,并可要求详细说明订购该物资的目的。
2.选择了并不适当的供应商的风险。此时企业可采取的措施如下:
(1)建立并强化利益冲突政策,明确利益冲突行为以及参与这些行为的后果。实际上,我国很多大型企业已经通过实践并在此环节建立了较好的规范制度。
(2)建立供应商可信度及产品质量标准。企业首先应对供货商的生产能力水平、产品质量、可用性、按期交货率等建立评价指标,然后利用采购管理系统中的历史数据选择最佳评价方法,最后结合上两步中的供应商评价指标和评价方法选择确定最佳供应商。在实践中,有部分企业为自己建立了“首选供应商名单”以供选择。
(3)可以与选定的供应商建立战略联盟,例如企业可以选择信誉好、安全可靠的物流承运人建立战略合作关系,从而达到降低成本的效果。
(4)及时更新供应商信息。供应商管理是供应链采购管理中一个相当重要的环节。企业应当对包括供货范围、供货能力、供货质量以及与本企业合作的历史记录在内的供应商的各种信息及时更新。
3.存货管理的风险。这种风险包括验收商品时验收了未订购或者不合格的物资或者存货被偷窃、毁损等。此时可采用的风险控制措施包括:
(1)严格对比收货单与已审批的采购订单。文档匹配是一项基本而重要的内部控制措施,例如应当严格比对已收到的货物是否有对应的采购订单。
(2)确认收货前要仔细检查,验收人员要明确掌握可接受的质量标准,必要时抽取样本来验证商品是否满足标准。
(3)为采购的商品购买保险。这是对万一发生损害的物资所做的财物补偿。
(4)对存货和授权、保管与使用功能进行分离。职责分离是重要的内部控制程序,资产的实物保管、使用授权、日常记录工作应当分离。
(5)建立内部审计部门。SOX法案对公司中建立内部审计的重要性有详细说明。
(6)利用先进的信息技术管理存货。例如使用存货条形码技术或者为存货建立射频识别(RFID)标签,现在的“物联网”技术就在很大程度上依赖于RFID的应用,其通过RFID标签、射频扫描仪等设备分类遥感从而获取数据。在这种技术下,企业可以全程追踪存货从收货部门到仓库的全部过程。
(7)规范存货编码。存货编码是ERP信息标准化和规范化的基础,是保证系统有条不紊运行的首要条件。在ERP物流系统中,所有存货信息的交流和传递都是通过对存货的编码来实现的,尤其体现在计算机识别和检索存货的首要途径就是存货的编码。
4.付款审批的风险。在此环节企业可采取如下风险控制措施:
(1)在签发支票前应当严格核对相关文档(包括采购订单、收货单以及发票)。当三种单据俱全并各自匹配时,表明采购订单上的货物已收到,此时可按发票显示金额付款。
(2)合理确认付款期限以获得折扣。企业可以利用软件等信息技术合理规划,在现金折扣期满前付款。
(3)通过网上银行进行支付。实际上在线支付不仅使付款流程更有效率,它更是对付款实施的强大的内部控制。
(二)采购技术架构方面的风险
ERP系统的使用涉及到整个企业的全部业务流程,高度集成的功能和系统使用户无论在企业的哪个角落都能获得访问系统并有可能控制或改变账套的业务参数。其网络应用结构可以便捷地实现各个不同业务模块之间的信息的即时传递,可以使企业的内控体系实时反映运营状况。但是,显然ERP下采购环节的高度集成性和分布式的系统技术结构同样会为企业带来风险,主要体现为以下几种:
1.ERP系统下的采购功能模块使得任何一点出现问题都会影响到其他模块的正常运行
此外,ERP系统还应具有扩展功能设计。由于企业所属行业不同、规模不同、生产过程不同、自身的供应链不同,所以实际选用的ERP系统并不相同。而且各个企业对ERP的应用程度也不相同,直接影响到供应链采购管理方式和所构建的ERP系统功能。因此要实现ERP系统的供应链采购管理,首先要分析企业采购管理的信息化进程,尤其是对ERP系统功能及其应用现状做详细了解,才能找到最佳的ERP系统的供应链采购管理方式、数据库结构和操作功能的切入点,以保证最后设计出实用有效的ERP系统功能。
2.复杂的ERP系统使得采购系统控制和审计人员必须具有相应的专业知识,造成采购系统审计难度加大
综上所述,不同的企业因其性质不同、业务规模不同而具有不同的风险。企业管理层应当界定风险控制的内容或要素,并针对不同风险制定应对策略。风险管理过程只有在将风险意识、风险计量以及风险控制战略全面整合起来时才能有效。本文所提到的供应链的采购环节,其风险控制的影响将体现在生产过程、模式识别、质量控制、风险分析等环节中,对企业整个生产流程意义深远。因此,企业应当在全面风险管理的视角下,树立风险意识,选择合适的应对策略和采取正确的应对措施。
【参考文献】
[1] 常静.ERP环境下的采购流程与应付账款的核算及控制——基于A企业集团实施ERP的思考[J].西安财经学院学报,2006(4):69-72.
[2] 王振武.基于ERP环境的采购业务流程控制[J].财务与会计,2007(11):53-54.
[3] 孙月红.探析企业实施ERP项目成败的因由[J].黑龙江科技信息,2009(5):71.
[4] 陈林峰.ERP系统下购货与付款业务的内部控制设计[J].财务与会计,2009(1):27-28.
关键词:电子银行安全评估;现状调研;业务流程风险识别;电子银行业务连续性管理
1、引言
电子银行的安全评估,是指金融机构在开展电子银行业务过程中,对电子银行的安全策略、内控制度、风险管理、系统安全、客户保护等方面进行的安全测试和管控能力的考察与评价。开展电子银行业务的金融机构,应根据其电子银行发展和管理的需要,至少每2年对电子银行进行一次全面的安全评估[1]。 本文以国内某大型股份制银行为电子银行安全评估分析对象,提出了一种开展电子银行安全评估方法,并对该方法作了深入分析和研究;通过实践验证,该方法切实可行、达到了预期目标。
2、项目背景介绍及电子银行安全评估实施方法
本文所提出的一种安全评估方法其背景是某行的电子银行安全评估项目,分析研究的目的为以下两个方面:(1)在以监管要求及标准为依据,基于该行现有管理制度,综合参考风险库及同业实践,执行包含该行电子银行技术安全、业务操作与管理领域在内的安全评估工作,识别风险控制缺陷,提出可实施的整改建议,并出具安全评估报告;针对评估中发现的可以快速体现风险管控实效的控制措施,设计管理工具或制度,提高该行电子银行的风险管控水平,完善电子银行风险管理体系,包括:建立电子银行业务风险模型、风险评价机制,完善电子银行业务连续性管理制度;(2)通过项目实施过程中的交流和知识转移活动,协助电子银行风险管理相关人员掌握风险现状,了解风险管控要求,提高该行电子银行风险管理团队技术能力。
根据电子银行业务发展方面及现有业务重要程度分析,本项目的评估范围包括网上银行、手机银行、电子支付三个业务领域[2]。按照项目执行的时序、项目特点等综合因素,采用分阶段完成其项目。具体将评估方法分为这样四个阶段:项目计划、安全评估、风险管理优化、报告及建议,各阶段的主要工作简述如下:
(1)项目计划阶段:确定详细项目范围和制定安全评估工作计划,监管要求差距分析;(2)安全评估阶段:执行该行电子银行安全评估,包括治理、业务和科技层面;(3)风险管理优化阶段:建立电子银行业务风险模型以及风险评价机制;(4)报告及建议阶段:编制安全评估报告并提出改进建议,建立电子银行业务连续性管理机制。
本次电子银行安全评估不仅为满足监管要求,更以全面了解电子银行风险全貌为目标,因此在评估要求的设计过程中,充分参考了监管要求、该行电子银行管理制度与国内外同业最佳实践。
为全面评估电子银行风险状况,根据本次项目评估目标和评估范围,本文设计了三层评估框架,以保证电子银行安全评估的全面性,包括:治理层面、业务层面及科技层面。电子银行安全评估框架如图1所示:
图1 电子银行安全评估框架
三层评估的具体执行目标为:(1)电子银行治理层面评估主要针对电子银行安全策略、内控制度建设、风险管理状况进行设计,根据框架可对治理层工作的有效性、充分性、合理性进行评估;(2)电子银行业务层面评估主要从电子银行产品的需求调研、产品设计、系统研发、投产上线到市场营销的整个生命周期流程及具体电子银行产品业务操作两个层面出发,对电子银行业务的风险进行评估;(3)电子银行科技层面评估重点关注电子银行业务相关系统的整体运营及维护情况,主要通过检查电子银行业务运营相关应用系统的部署及配置发现安全隐患。
3、项目阶段化及具体工作描述
根据上述评估方法的具体工作思路,并结合安全评估框架图,现将划分为4个阶段的相关工作具体化,各个阶段的具体工作如下所述:
3.1第一阶段具体工作描述
第一阶段是项目计划阶段,其阶段目标是了解该行电子银行业务运作方式与主要环境,制订项目详细计划与范围,并与该行成员讨论确定项目的详细实施计划和范围。对现有国内和国际监管要求、指引和参考进行收集整理,评估其对该项目的适用性,形成电子银行风险矩阵;同时,还将对各类相关资料进行前期收集和查阅,包括电子银行业务资料、电子银行系统相关资料、电子银行往期评估资料。
3.2第二阶段具体工作描述
第二阶段是安全评估阶段,治理层面评估的目标是确定评估战略机制、职责分离和制度体系化程度。首先收集电子银行发展战略、组织架构及职责分工、电子银行管理制度等资料;然后梳理电子银行制度体系,明确制度间上下层级和相互关系,尤其关注制度覆盖面的缺失或重叠,以及与其他部门相关制度的衔接;最后梳理电子银行管理组织架构,评估其完整性和职责分离有效性。在完成基础工作之后,对电子银行治理层面管理机制进行完整评估,包括电子银行战略管理机制、电子银行制度管理机制等。
业务层面评估的目标是评估重点产品的全业务风险控制情况。首先收集电子银行产品资料,访谈产品设计和管理人员,整理详细业务操作流程图,同时参考风险框架梳理业务层面风险;对于电子渠道实现传统产品的情况,重点关注电子渠道相关风险;对于电子银行创新产品的情况,全面关注产品本身和渠道相关风险;对所有产品都关注市场营销、产品研发、运行维护和自律监管等方面的风险。然后识别现有风险控制措施和控制措施类型,评估业务层面安全管理状况。
科技层面评估的目标是明确相关信息系统,并对科技管理机制进行评估。梳理出支持电子银行业务运行的信息系统,整理电子银行系统安全评估要点,并对相关系统环境进行评估[3]。
在该电子银行安全评估工作过程中,为了解电子银行安全情况,其间采用了人员访谈,资料查阅,检查风险控制执行记录、系统管理及配置情况等方法,对该行电子银行安全情况进行评估。整个评估过程分为三个步骤完成,其三个步骤的具体工作为:
(1)通过资料搜集和访谈调研全面了解现状。本次评估工作中,对电子银行业务相关部门人员进行了广泛的访谈,包括对电子银行部、信息科技部、办公室、法律合规部、风险管理部等进行访谈。通过访谈了解电子银行业务管理相关现状,评估电子银行各类安全策略、管理制度、操作手册的要求是否在日常工作中有效落实,评估人员的安全意识水平及对自身岗位职责的理解水平。在评估工作中,对该行电子银行的组织架构、人员分工、安全策略、管理制度,业务连续性计划等资料进行调阅,并查阅了涉及电子银行业务运行的科技运行标准及操作手册。通过对资料的查阅,评估该行电子银行安全策略、管理制度、操作手册等文档的完整性及设计的合理性和有效性。
(2)通过流程梳理和现场检查全面识别现存风险。具体为:梳理该行电子银行业务流程,包括电子银行产品管理生命周期和具体电子银行产品操作流程:电子银行产品管理生命周期涵盖电子银行产品的需求调研、产品设计、系统研发、投产上线、市场营销等环节;根据产品特点和重要程度,从个人电子银行业务和企业电子银行业务中选定若干业务作为评估样本,绘制业务流程图,并逐一分析业务流程中各个处理环节,相关部门、处室或岗位,涉及的记录和数据等,评估电子银行产品业务流程中是否存在安全隐患,识别具体风险点。
(3)梳理清单、确定风险,判断风险问题等级。整理风险评估结果,逐一评估风险等级。本次评估从风险发生可能性和影响程度两个方面,依据风险发生可能性与影响程度等,判断风险级别,形成评估结果。
3.3 第三阶段具体工作描述
第三阶段是风险管理优化阶段,其目标是建立电子银行业务风险模型,形成业务风险评价机制。针对发现的缺陷,与该行项目组讨论对电子银行安全风险的影响程度,并确定风险等级。本阶段应全面梳理电子银行产品业务流程以及风险控制点,建立电子银行风险管理模型,并依据风险管理模型,建立电子银行业务风险评价机制。
3.4 第四阶段具体工作描述
第四阶段报告及建议阶段,其目标是形成安全评估报告,分析未来趋势。本阶段应根据评估情况和各部门反馈情况编制安全评估报告,并提出切实有效的安全风险管控建议。此外,编制电子银行业务连续性管理规范制度,满足合规要求,为电子银行业务连续性管理奠定基础。
4、项目方法实施经验
在整个项目的实施过程中,业务流程图的绘制与风险点识别是整个电子银行安全评估非常关键的一环。针对这一关键点,首先应从银行现有的个人电子银行业务和企业电子银行业务中选取较为重要或具有代表性的若干业务作为评估样本,绘制水平流程图。绘制流程图时应注意包含的客体,具体如客户、营业网点柜台、各相关部门、信息科技部或外部支撑系统,各客体之间以清晰的动作节点串联起来,并在两节点中间标明信息的传递情况,清晰地反映实际的业务流程与涉及的各部门职能。
绘制流程图时可参考银行现有的业务流程相关制度,对访谈结果进行分析和梳理,在银行官网上查看演示版模拟真实业务操作流程,最具有实际意义的措施是采用切身实际去柜台办理一张储蓄卡的办法,并开通个人网银的相关功能,在其相关功能的范围内,进行网银和手机上进行相关实际操作,这样才能够真实、全面地了解业务流程并绘制出能反映实际业务流程的流程图,为进行全面风险识别奠定良好的基础。在进行风险识别时,应考虑各种风险类型,可参考本行或同业的风险库,必要时亦可召集小组成员一起进行讨论分析,力求全面识别电子银行各业务流程中的风险点,并在图中对风险点进行标识:标识的方法是在风险点处标明风险名称与风险描述。在完成风险点标识后,将其进行归纳统计,最终将业务流程所有识别出来的风险汇总形成风险矩阵和风险清单。在此基础上,对所统计的风险进行分类,判断每个风险点的风险等级、是否重要、是否紧急,并提出相应的风险控制措施。
在评估中,针对评估对象和评估要点,查阅该行电子银行风险控制相关文档记录,其查阅记录文档的范围涉及业务风险控制记录以及科技类风险控制记录。通过对风险控制记录的查阅,了解电子银行相关管控措施实施情况,除了用于评估该行的风险控制措施设计的有效性和合理性,还用于评估风险控制措施执行的有效性和及时性等方面。对该行电子银行业务相关系统配置及涉及业务系统的网络设备、安全管理设备、日志监控设备、数据库及中间件配置进行查看,查看范围涉及开发环境及运维环境。通过对信息系统管理及配置的查看,评估电子银行相关信息系统和信息环境安全控制措施的有效性。
5、项目实施总结
本文通过将电子银行安全评估框架划分为3个层面,以及按照工作的先后顺序划分为4个阶段,经过实践验证,其成功高效、顺利地完成了该行开展的电子银行安全评估工作,满足了银监会《电子银行安全评估指引》及其他相关的监管要求,并为该行或相同行业在今后的电子银行安全评估工作奠定了良好的基础,并提供了全面、细致的工作指导。
参考文献:
[1]中国银监会.电子银行安全评估指引[Z].
江苏省农村信用联社去年对流程银行建设进行试点,连云港东方农合行行按照省联社的有关要求,紧紧抓住组建农村商业银行的有利契机,积极做好前期准备工作。他们成立以主要领导为组长的流程银行建设工作领导小组,强化组织部署、指导督促和考核推动,对照标准,积极再造制度流程、组织流程、信贷业务流程、管理流程等,加快推进流程银行建设步伐。
首先,梳理完善制度,夯实流程银行建设基础
按照“内控优先、制度先行”原则,切实做好农商行翻牌后制度流程的配套和衔接工作,多次召开专题会议讨论相关制度,共制定了20项法人治理制度、46项内控制度,内控制度涉及信贷管理、财务会计、监察保卫、人事管理、合规管理、科技管理、资金营运、审计稽核8大类,做到“开办一项业务、出台一项制度、建立一项流程”。这些制度分别经东方农村商业银行第一次股东大会、第一届董事会第一次会议、第一届监事会第一次会议表决通过。在此基础上,报市银监分局审议,并根据提出的意见进行了反复修订和完善。
其次,重塑组织架构,组织流程更为趋向合理
该行按照流程银行建设要求,对组织架构进行优化设置,确立扁平化、集中化、垂直化、专业化的组织体系。一是建立健全“三会一层”流程银行组织架构。明确董事会、监事会以及经营层有关流程银行的管理要求,完善股东大会、董事会、监事会及经营层组织结构及议事规则。二是推进内设机构再造。在整合原有17个部室的基础上,新增放款中心、电子银行部、小微贷款中心3个部门,内设部门机构达到20个,进一步细化了部门职责。将部门设置与业务条线、风险管控有机结合起来,按前、中、后台设置,明确各部室职责和权限,形成了前中后台相分离、职责清晰、运行高效、控制有力的组织架构。
第三,规范信贷业务流程,推进差异化发展
该行在信贷业务流程再造过程中,突出以客户为中心,根据不同的客户群体,设计不同的业务流程和产品,提供不同的服务,体现多样化、差异化的特点。一是开发小微贷款业务。与北京中德融信咨询有限责任公司合作,开发微小贷款产品,设计微小贷款办法流程,针对无抵押的小企业、小公司、小摊主和个体工商户等目标客户群提供额度1—50万元的贷款,有效破解了小微群体贷款难问题。二是研发个性化产品。该行以客户融资需求为出发点,推出了专业市场联保贷款、商会联保贷款、园区企业助推贷款等众多融资产品,开办了“银协贷款”、“银政合作贷款”、“银团贷款”、“担保基金贷款”等信贷品种,为客户提供了差异化、个性化的金融产品,满足不同类型客户需求。
第四,强化风险管理,健全风险管理体系
一是征集业务风险点。征集业务风险点、业务操作经常遇到的问题,对风险点、典型问题进行分类、汇总。同时在业务检查、业务培训、业务交流中主动识别、分析业务风险,及时予以登记、汇总。在此基础上,建立包括各业务条线的风险点数据库,配合业务流程的风险控制工作。二是构建全面风险管控体系。按照分类规划、逐步推进、梯次建设的原则,以“梳理-规划-建设-提高”为路径,出台《风险管理机制建设规划》,加强风险管理组织领导,明确各阶段风险防控目标、措施,落实全面风险管理的职责,有条不紊推进全面风险管理机制建设。
最后,重抓科技支撑,推进信息系统上线
流程银行的建构离不开计算机和信息技术的支持,该行扎实做好信息系统开发、上线工作,依托科技信息系统固化流程、操作要求和职责,为流程银行建设提供科技保障。一是上线新一代综合业务系统。积极做好新一代综合业务系统上线测试、培训、数据核对以及最终切换上线工作。特别是上线新一代信贷管理系统,通过无纸化审批和档案的集中管理,提升流程效率。二是完善绩效考核系统。对前期已上线的绩效考核系统进行完善,通过绩效管理系统落地,建立起绩效管理体系,促进业务快速发展,真正实施精细化管理。三是积极开发新系统。坚持把科技系统的开发作为流程银行建设的重点工作来抓,积极开发上线报表管理系统、人力资源管理系统、信贷辅助系统和指纹系统。目前,人力资源管理系统已完成了模拟环境的搭建工作、信贷辅助系统已完成了框架设计工作;指纹、验印及报表管理系统已经进行了测试。这些系统正式上线运行后,将大大提高流程银行建设水平。
目前,中国银行、国家开发银行、上海银行等众多商业银行都在进行基于数据大集中下的业务流程再造项目,以此实现由传统“部门银行”向“流程银行”的转变。笔者有幸参与了银行业务流程再造变革管理工作,对流程变革管理所产生的巨大变化深有感触。下面从会计专业管理角度来阐述业务流程再造所带来的深远影响,希冀能对拟进行或正进行业务流程变革项目的同行有所参考。
一、会计风险有效控制
银行合规风险管理人员要及时参与到银行组织架构和业务流程的再造过程中,要使依法合规经营原则真正落实到业务流程的每一个环节乃至每一位员工。那么业务流程再造是通过怎样的变革来有效控制会计风险呢归纳起来,主要有以下两点:
(一)业务流程再造实现了会计专业管理从分散方式向集中方式转变
国内商业银行案件频发的一个重要原因是总行对分行的风险管理控制权限过于分散,从而导致分支行有章不循、各自为政。通过上收分支行管理权限,对会计科目、会计报表管理流程和部分高风险业务集中作业等再造后,成功实现了从过去分散管理向现在集中管理方式的转变,有效地防范了会计风险。
一是会计科目管理集中化。会计科目的增设、修改、废止等管理全部上收总行,由总行相关部门进行统一管理,杜绝了作案人员通过会计科目管理漏洞作案的可能。通过分析以前发生的银行案件,我们发现很多是银行内部人员利用科目管理漏洞来达到作案目的。
二是会计报表管理集中化。在会计数据大集中的前提下,通过流程变革将会计报表出表路径由以前“自下而上”方式变为“自上而下”方式。变革后出表的具体路径是:由总行会计部集中提交产生全行及各分行的会计报表,各分行只能通过总行分配的权限查询本行及下级支行的会计报表。而变革前出表具体路径是:分行日结后将报表数据上传总行,总行收到所有分行的数据,通过一定的合并抵消处理来生成全行的会计报表,显然,变革前对分行的会计风险控制是被动的,所有的报表数据要先经过分行加工这个程序,结果是总行对分行进入数据库修改本地利润、隐藏风险等无法做到事前控制;由总行集中管理会计报表,分行人员不可能登陆到总行数据库来修改其会计报表数据。我们在项目实施过程中通过核对报表数据发现很多分行的报表折算汇率维护出现各种错误,但由于没有相应的风险控制措施而暴露不了。这是因为在分散管理模式下,汇率的维护都放在当地各个分行,这样风险发生的概率自然就增加了。
三是将一些高风险的会计操作业务集中处理。在传统的运营模式下,业务的受理和完成都是在网点完成。尽管银行制定了各种业务处理规范,但在分支机构仍有自由操作的空间。分行的风险管理部门通过事后监督、检查辅导的方式对分行的风险进行控制,时效性和全面性都比较差。在业务集中模式下,分支机构只是业务受理机构,业务实际处理统一由作业中心按照标准的统一业务流程进行集中处理。通过在作业中心建立完善的风险预警、授权和监控机制,可有效地控制银行业务的操作风险,实现了风险控制集中化。通过建立作业中心实现业务集中处理从而达到以下效果:银行的风险点控制由分散到集中;减低部分操作风险(如违规办理业务,柜员勾结作案,录入错误);运营风险得以有效控制。
(二)业务流程再造实现了会计风险由人工控制向流程控制的转变
即使在大多数商业银行都完成数据大集中的今天,中国银行业还是发生了一系列的金融案件,细查这些案件,不难发现有一个共同点,就是涉案人员都包括会计人员,可以说没有会计人员的参与配合这些作案不可能成功;作案的手法上反映了我国银行业会计内部管理混乱的现状,很多案件都是在因为流程控制出现漏洞的情形下发生的。业务流程再造的重点就是对现有业务处理流程进行梳理、理顺,通过流程控制来杜绝以信任取代制度,用道德软约束替代流程硬约束的混乱现象,以此达到会计风险控制的目标。主要体现在:
一是理顺优化流程。我们知道,银行基层会计管理主要包括授权管理、印押证管理、印鉴管理、对账管理、账户管理、档案管理、财务处理、会计检查与监督、现金管理、业务系统管理等十大方面,而这恰恰是会计内控管理的主要风险点。在绝大多数银行案件中,犯罪分子都是利用以上一个或多个会计管理薄弱环节而得逞的。通过流程再造对上述会计管理环节进行梳理、简化,重新组合,从而达到控制会计风险的目的。比如我们将对账管理、科目管理等内容都上收到分行管理部门,从而杜绝会计人员通过假造客户对账单或更改与人行存款调节表作案的可能。另一方面通过集中管理,为基层会计人员节省了大量的时间和精力,从而使他们更专注于服务客户。
二是严格流程控制。流程变革后对业务处理采用前中后台流水处理的管理模式,这也是目前国际上绝大多数先进银行采用的模式。前台处理业务,比如进行存贷款交易、债券买卖交易的处理;管理风险,比如对交易进行授权、对止损金额进行控制等;当该笔业务符合风险控制后,后台会计人员就可以看到该笔交易,并根据前台人员的交易单据进行复核,通过事前在系统中已经维护好的会计分录参数,该笔交易的账务处理自动完成。而变革前交易处理过程里的职能基本上由前台交易部门行使,交易授权、风险止损等控制也是由交易部门自己决定。后台会计人员只能根据前台交易单据的复印件进行手工复核和账务处理。从中可以看出,对于前台的交易没有一个独立部门进行风险控制和约束,后台会计人员无法判断业务的真实合法性,前台业务人员也无法确保后台会计人员是否进行了准确全面的会计处理,在整个业务流程处理过程中产生了严重的脱节,为风险管理埋下了隐患。
通过集中化管理和严格流程控制,改变了以前分行职能重合率高的“块块管理”的业务运行模式,集中了全行有限的专业力量,降低了会计操作风险概率和全行的成本支出。由总行各个部门来进行集中“条条式管理”,可以节省资源成本,有效防范风险。目前,国际上先进银行在会计管理上具有集权化程度高,机构布局侧重于总行的特点。以美国历史最悠久的纽约银行为例,其各个领域的业务主要集中于总行及总行直属机构,从而实现“管理和数据向上集中,服务和营销向下延伸”的管理模式。
二、会计管理效率有力提升
业务流程变革在有效降低会计风险的同时,也大大提高了会计操作和管理效率,为银行节省了大量的人力和时间资源。
一是账务处理参数化。业务流程再造改变了传统手工记账繁琐、量大的落后局面,通过分析不同业务特点,事先在系统中进行会计分录相应的参数化维护。业务人员只需要在系统中录入详细要素,无需人工干预,系统就可以自动进行会计账务处理,包括自动完成后续的贷款利息计算、债券摊销等处理;每日末时能够批量打印记账凭证。这点对广大基层会计记账人员来说意义特别重大。因为流程变革前他们的工作时间绝大部分花在记账和凭证处理上,变革后他们再也不需要考虑如何选择科目准确的记账,也不需要手工一张张的打印记账凭证。这样一方面可以使他们从技术含量低、简单重复的日常工作中脱离出来,从而更加专注为客户提供优质服务;另一方面,也堵住了会计人员利用手工记账进行作案的漏洞。2006年10月发生的葫芦岛商行3.7亿元诈骗案中,就是会计人员利用科目管理的漏洞,将“委托理财”科目非法放在“同业存款”科目从而逃避监管数年之久。
二是会计报表编制参数化。长期以来,我国商业银行会计管理上形成了重核算、轻分析的思想,除了一些基本会计报表和监管统计类报表之外,涉及到分析的内容都是手工临时加工整理,这与国际银行先进做法是背道而驰的。国际上先进银行(包括企业)一般通过电子化会计核算进行自动处理,而投入大量的资源到会计报表数据分析上。流程再造加大了对这部分内容的变革,变革后各种分析报表都不需要通过专门开发程序来实现,会计人员可以随时通过参数来定义编制需要分析的报表,提交会计报表后可以直接输出分析结果。业务流程变革可以对数据进行深度挖掘,为银行的风险管理和决策服务,使银行的服务管理、营销管理、风险管理等达到国际化水平。
三是作业集中处理。在传统的业务处理模式下,由分支机构从头至尾处理完成客户提交的业务申请。但由于业务难易程度、流程、处理环节的不同导致分支机构营业网点的业务处理流程较为繁琐。业务凭证从前台到后台各个工作岗位的传递等也一般是采用传统的周转方式。在集中处理模式下,分支网点的前台柜员主要负责业务受理工作,然后将业务通过影响平台发送到作业中心进行集中处理。由于操作过程的简化、标准化、统一化,使得业务处理更规范化、程式化,效率更高。业务凭证的传递也实现了电子化的高效、准确传输。通过对业务处理流程进行梳理,集中部分作业,可以实现以下目标:通过简化、标准化,实现工业化银行操作;促进分支机构业务处理向“小前台,大后台”模式的转变。
流程再造的变革折射出国内银行的理念正从传统的“以账户为中心”向“以客户为中心”的转变。当然,光有理念的转变是远远不够的,在外资银行全面开放的今天,我们必须积极借鉴西方银行再造的经验,实施从组织结构、业务流程、信息技术、银行文化到员工行为的全方面再造,以不断提高国内商业银行的综合竞争力。
【参考文献】
1.白丽,“从‘集中’中启航”,《电子商务》[J],2005年第5期,P63~65。
2.曹文诚,“数据大集中:中国银行业的信息革命”,《金融理论与实践》[J],2004年第6期,P31~33。
3.周彬,“工商银行二级分行组织扁平化及其实施策略[J]”,《金融论坛》,2003,8(9):37—42。
4.王瑞华,“商业银行业务经营中的数据大集中”,《现代商业银行》[J],2005年第9期,P41~42。
关键词:内部控制;存在问题;建设研究
中图分类号:F270 文献标识码:A 文章编号:1001-828X(2013)12-0-01
一、现阶段电网公司内部控制存在的问题
近年来,国家电网公司实施“一强三优”战略目标,深入推进“两个转变”,积极构建“三集五大”科学管控体系,建立了科学合理的治理结构,优化了机构设置及权责分配,持续加大依法从严治企力度,不断健全风险管理常态化机制,积极推进制度体系和以ERP为核心的信息系统建设,内部控制体系建设成效显著。
这些现象,归纳起来,与电力企业内部控制建设相关,一是内部控制权责分配有待细化,内控文化意识培育和专业队伍培养亟需加强;二是尚未完全实现以部门为对象转化为以业务为对象,以条块为手段转化为以流程为手段,禁止性规定转化为规范性规定,体系化的内部控制标准有待完善;三是信息沟通机制尚需进一步完善,缺少统一的内控信息化工作平台,业务系统中尚未完全固化高关键控制点和控制要求;四是缺少体系化的内控评价规范,尚未建立内控执行责任机制和评价改进机制。
二、电网公司内部控制建设的途径
(一)内部环境建设。首先,建立健全内部控制工作机构。在省公司层面成立全面风险管理委员会,负责审定公司内部控制体系建设方案、组织开展建设实施工作。在全面风险管理委员会下,成立具体工作的内控办公室,负责内部控制日常组织与协调工作。在内控办公室成立各专业项目管理组,由风险管理与内部控制专职和咨询顾问组成,负责内控建设的指导、实施、监督工作。第二,制定统一的岗位授权规范。梳理分析各项业务内容、权限范围、审批程序和工作职责,理清内控权限分配,制定统一的岗位授权规范。第三,培育良好的内控文化意识。大力实施文化强企战略,加强内控文化传播、落地和评价,增强干部员工自觉落实内控措施、主动监督内控执行的意识,为内部控制体系持续改进提供强大动力。第四,培养专业人才队伍。加强内控专业人才队伍建设,建立内控专业人才选拔机制,完善内控专业队伍培训体系,实现人员结构优化和素质提升,建立一支风险意识强、专业素养高、业务水平精的内控专业化队伍。
(二)风险评估建设。依据公司战略目标和内外部经营环境,以公司层面和业务层面为基准,覆盖经营类和管控类业务,开展风险信息的收集,辨识与电力交易、物资、营销、工程、投资等经营类业务相关的风险,以及与预算、资金、资产、股权投资、合同、信息化管理等管控类业务相关的风险,细化各业务风险列表,明确风险责任部门,提出管理策略和解决方案,建立公司规范统一的风险信息库。认真制定公司风险评估规范,结合公司风险评估工作需求,建立风险预警指标库,理清工作界面,细化落实岗位责任,优化工作流程。
(三)控制活动建设。第一,制定流程控制规范。对照标准业务流程框架,梳理公司经营类和管控类业务,细化公司业务流程框架;按业务开展全流程梳理,优化完善业务流程,实施业务端到端的全流程管理,跨部门流程通过明确部门之间的管理界面及职责,实现横向分段管理;依据标准,编制公司流程控制规范,明确业务流程的风险点、关键控制点、控制措施、控制责任以及相关控制文档要求。
第二,强化应用控制措施。依据流程控制规范,将控制措施与业务管理实现有效融合,强化不相容职务分离控制、授权审批控制、全面预算控制、运营分析控制、财务控制和绩效评价,促进业务规范化运作,确保信息的真实、准确、完整。
第三,完善制度(标准)规范。结合公司经营业务流程架构和控制要求,查找现行制度(标准)的有效性以及可能存在的重叠、缺失等缺陷,对各项制度(标准)进行重新修订与整合,构建与业务流程相配套的公司“一本制度”,确保制度与流程、岗位职责、控制要求相统一。
(四)信息与沟通建设。一方面,要完善内控信息沟通机制。建立年度风险管理报告与内控评价报告制度,定期按要求报送风险管理报告和内控评价报告。完善重大事项报告制度,明确重大事项报告范围、程序和责任考核等内容。另一方面,积极推动ERP信息系统的全面、深化应用工作,上线应用具备信息在线收集,风险在线评估、重大风险自动预警、内控自动测试等功能的风险内控信息系统,实现风险信息收集、识别、分析评估、应对、监督改进、内控测试、缺陷整改等风险内控日常管理工作的信息化。
(五)内部监督建设。第一,制定执行评价规范。根据有效性、完整性、合理性原则,制定公司内控执行评价规范,明确缺陷标准、检查方法、检查程序、抽样规则、责任追究、整改程序等内容,组织开展各专业内部控制缺陷认定及抽样测试工作。
第二,建立内控执行责任机制。建立内控执行岗位责任制度,明确单位负责人为内部控制“第一责任人”。分解落实内部控制责任到部门、到专业,明确专业部门的内控职责,细化内部控制责任到岗位,明确员工个人的内控职责,建立全员参与、各司其责、相互配合、齐抓共管的内部控制责任体系。建立内控执行考核制度,将内部控制执行情况纳入年度企业(部门)负责人业绩考核和全员绩效考核体系,与干部员工履职评估结果挂钩。建立内部控制岗位考核制度,将内部控制责任与个人岗位考核、评优评先挂钩。同时还要建立内部控制重大缺陷追究制度,对相关责任人进行行政追究。
第三,建立内控评价持续改进机制。定期组织公司各部门、各下属单位开展内部控制自我评价工作,编制内部控制自评报告,在内部控制自评的基础上,对下属单位开展评价检查工作,出具内部控制评价检查意见,跟踪督导加强缺陷整改。总结内部控制缺陷及改进情况,建立内部控制案例库,评估筛选内部控制工作创新与亮点,形成公司管理典型经验并加以推广。
1保证流程正常运行的专业管理与控制
1)绩效考核制度:采用平衡计分卡对财务、客户、内部流程、员工学习和成长进行绩效管理(见图3),占员工奖金考核比重为+5%或-5%。2)考核的具体指标:指标具体设置编制为指标体系,根据业务发展不断完善。3)重大风险事项信息化管理措施:借助已有的信息化平台,尤其是ERP审计系统,可以链接信息化重要业务内容,实现原始数据的直接穿透,对常见的审计问题及重大风险事项进行文档归集管理,在该系统中及时查阅相关数据信息,出现异常及时处理,实现对重大风险的实时监控。
2电网企业风险导向内部审计信息化建设展望
2.1全员参与审计规划制定
为了实现全面风险管理的思想,未来将审计规划拓展到更为广阔的领域,参与制定规划的机构也要随之不断完善,参与人数也要涉及业务的各个领域,使得规划制定更务实、有效,在信息系统中设置不同权限实现全员参与管理。
2.2在信息系统中引进更科学的风险评估方法
风险评估一直是风险管理的重点和难点,未来要加强风险评估的专业化研究,随着风险导向内部审计范围的不断扩大,风险评估手段要引进更多的分析方法,尤其是定量评估,如流程图法、风险指标法、敏感度分析法、情景分析法等,并对不同方式适合的业务类型进行细化管理[4]。
2.3建立风险评估信息数据库
风险的评估主要是依靠信息资料,信息资料越充分,评估就越准确。风险评估内容包括风险测试、风险识别、风险评价、风险控制、风险报告等。未来所有业务数据可以通过风险管理信息系统实现集成,在系统中实现风险评估内容的自动生成,将目前电网企业信息系统所有信息自动链接,对行业指标设定阈值,如果超过阈值,系统自动报警,实现风险的自动化预警,比人工发现问题更及时,而且设定报警期限,如1天、1周或1个月,系统在设置的时间内,自动进行测试,并可出具相关风险信息的报告,详细反映该问题。
2.4根据业务流程在信息系统中发现风险点
在流程中发现风险是目前更为科学的风险管理方式,比单纯依靠财务资料、以往审计资料等渠道更为直接,更接近业务实际。目前电网企业信息系统已有业务流程管理功能,可根据目前业务流程进行功能升级,提高根据业务流程的各个控制点发现风险的能力。
3结语
关键词:流程银行;战略认知;合规风险管理
中图分类号:F830.2
文献标识码:A
文章编号:1003-9031(2007)06-0004-05
一、引言
流程银行是当前国际商业银行普遍采用的经营管理模式,它按照为客户提供最方便、最优质服务的原则,根据客户类别,将银行业务分设成一系列能以最快速度反应和满足客户不断变化需求的业务流程,在业务流程中建立控制机制、规避风险,以流程为基础设计组织结构和配置资源,确保各种业务在银行内部顺畅、高效地完成。
中国银监会主席刘明康在不同的场合都强调,中资银行的业务流程存在重大弊端,仍只是“部门银行”而不是“流程银行”,中资银行必须对自身的组织结构和业务流程进行改革,尽快建立“流程银行”。“流程银行”的提出,得到了我国银行界的认同,成为商业银行在实践中发展的方向之一,但在学术界对此研究较少,本文尝试从流程的角度对流程银行的战略内涵进行探讨,并对流程银行的合规风险管理进行了研究。
二、流程银行的战略认知
从本质上看,商业银行就是一个为最终满足顾客需求、实现投资者价值最大化而运行的一系列有密切联系的业务流程和作业的集合体。银行提品或服务的过程,即是承担风险、消耗资源使得价值从一个业务流程/作业转移到下一个业务流程/作业的过程,最终产品或服务既是全部业务流程/作业的集合,也是全部资源、全部风险的集合。
(一)流程的战略启示
Porter(1985)的价值链模型为商业银行价值与客户导向的战略级流程集成提供了参考性的思考框架。[1]20世纪80年代以来企业战略分析的焦点从企业外部逐步转向企业内部,以Teece D T (1997)等学者为代表的动态能力理论侧重于对流程和管理模式的研究,并认为将信息技术与流程相结合可以极大的增强组织的学习能力和竞争优势。[2]波士顿顾问咨询公司的斯托克(Stalk G, 1992)和舒尔曼(Schulman L E, 1992)等指出成功的企业需要把改善流程作为首要的战略目标,他们认为: 公司战略的基础不是产品和服务, 而是业务流程;竞争的成功取决于将公司的关键流程转换为能为顾客提供较高价值的战略能力。[3]
同期,Michael Hammer等提出了业务流程重组BPR(business process Re-engineering)的思想。[4]BPR要求重新审视过去曾经代表着高绩效、被沿用多年的流程逻辑,通过分拆原有流程组件的逻辑交织关系进行创造性重新组合,以价值增值为目标,删除不利于整体价值增值的环节,增添新型流程联结机制和新的流程组件业务逻辑,寻找解决流程失效的新方法。以BPR思想为代表的现代流程管理理论的提出,是对以往以劳动分工理论、职能制管理模式的突破,它以IT技术为支撑,以积极应对全球化的商业竞争和快速变化的外部市场为出发点,发展了传统的流程管理理论。
随着流程理论和IT技术的发展,现代商业银行实际运作在以流程为基础的价值网之内,运行在网状的金融机构协作环境下。[5]新的流程管理技术使得业务流程可以实现快速设计、布置、重用、互联,具有跨越部门、企业、地域、异类系统本体(ontology)、差异的互操作能力,以及更强的即插即用、随时可变、可扩展等能力。[6]而这些能力的发展,为流程银行的出现打下了良好的基础。微软公司总裁比尔・盖茨曾经在《财富》杂志上宣称:传统的商业银行是要在21世纪灭绝的一群恐龙,未来10年,微软将用自己的应用软件系统取代银行的清算系统承担起全球的资金清算业务。虽然比尔・盖茨的说法看似过于夸张,但从侧面说明流程、基于流程的商业银行重新设计的重要性。因为只要对商业银行业务流程进行科学设计,并充分应用IT技术,即可以在网络上实现商业银行的大部分功能,而根本不需要传统意义上的商业银行。
(二)我国提出流程银行的背景
从2006年12月11日起,外资银行办理中资企业人民币业务不再有地域和客户的限制而享受国民待遇。开放的金融市场将使我国国内银行业的竞争格局发生变化,由过去国有商业银行与股份制商业银行之间的竞争,转变为国内商业银行尤其是国有商业银行与跨国银行的竞争。根据2006年7月英国《银行家》杂志对世界1000家大银行的最新排名,建设银行、工商银行、中国银行、农业银行按一级资本分别排列第11、16、17、60位。然而若从税前利润、平均资本回报率或者资产回报率来看,四大国有商业银行均排名落后,属于经营最差的银行之列。
造成这种局面的因素很多,如风险管理水平落后、盈利能力差、公司产权制度不明确、资产质量差等,但我国落后的“部门银行”模式,也是重要原因之一。我国的银行体系,脱胎于计划经济模式下的行政分权体制。在这一体制下,按行政权力和行政区划分,银行业务和客户完全被割裂于各级分支机构;与之相适应的资源配置方式、法定授权形式,也都只能服从和反映着总分行模式的要求。这种体制的弊端,不仅仅是缺乏集中的风险控制要求和集约化经营效率,其本质是一个统一法人下的银行机构被分割成无数独立的板块。这种由无数分行叠加的银行,谈不上法人治理和现代企业制度。与这种板块分割、行政分权式的总分行模式制度安排相呼应的银行业务流程处理方式,当然也只能是分散、割据的,这种分割使银行的经营成本过高,效率低下,无法适应快速变化的金融市场和满足与国外银行竞争的要求。同时导致针对客户需求的服务、创新受到人为限制,银行内部相互制衡的机制难以有效发挥作用,包括合规风险在内的各种风险控制困难。因此,改造“部门银行”,打造流程运行流畅、高效的“流程银行”就成为我国商业银行的战略选择。
三、流程银行的内涵与特征
(一)流程银行的内涵
随着IT技术的飞速发展、流程理论的成熟以及银行界愈来愈激烈的竞争,以业务流程重组为标志的变革运动在国际银行界轰轰烈烈开展起来,这场变革涉及到股权结构、经营业务、组织模式、管理模式、运营机制、经营理念、企业文化、人力资本等。这场运动的实质,就是改变传统的以部门、职能为主的银行运行机制,打造以流程为主线、以客户为核心、以IT技术为支撑,以组织创新和流程优化、变革和再造、以全方位的资源整合为主要特征的流程银行模式,它体现现代银行层次扁平、责权明确、团队合作以适应市场快速变化的柔性能力和竞争能力。
Paul(1997)统计,在1980年到1996年间,美国每年平均有13家大银行实施了BPR,而1996年底,美国的主要大银行总共才270家,这意味着,流程银行成为美国银行界不约而同的选择,流程银行模式成为银行界的趋向。[7]美国银行实施流程银行获得了显著的效益(如表1所示)。
流程银行,正是根据以上所总结的战略管理理论、流程管理理论、IT技术应用的背景和我国商业银行的战略发展需要所提出的。改革开放以后,我国银行也进行了不同程度的改变传统银行模式、打造流程银行的尝试,它们聘请国际著名咨询公司设计整体规划,然后诊断银行薄弱环节,根据我国银行具体情况提出BPR方案,重视信贷流程的再造,强化风险管理。在再造时,重视成本管理,进行了人力资源的再造和组织结构的再造,还有一些银行引入国际战略投资者后改变银行原有体制。但从总体上看,我国银行打造流程银行的努力有限。银行变革的范围主要在业务部分,缺乏对银行资源进行基于流程的全方位深度整合,这种变革是在部门银行模式上的改良,离真正的流程银行模式还有距离。银监会主席刘明康强调“流程银行”的意义和作用就在此,他以“部门银行”和“流程银行”的创新提法,从我国银行业的现实情况出发,用“流程银行”这个概念来揭示银行界创新发展的核心内涵。虽然从流程银行的内容看,它并不是全新的东西,但“流程银行”的提出,为我国银行业的创新和发展指明了更加清晰的方向。
(二)流程银行的特征
参照国际先进银行模式和前面论述,可以总结流程银行具有如下特征:
1.流程和战略有效对应。流程具有跨越多部门运行的特性,流程是组织核心竞争力的体现,与银行战略目标有着密切关系。基于战略的流程设计和基于流程的战略目标分解、实施都有效地支持了流程银行中流程与银行战略的有效对应。
2.以客户为中心。当一笔业务需要涉及不同的部门和不同层次的机构,客户只需面对一个部门,而部门之间高度分工合作,即对内分工严密,对外是一整体,上下流程以客户为中心进行设计。
3.合规部门地位突出。流程银行是基于规则运行的银行。在流程再造过程中,流程的划分和边界的界定,流程之间的协调,都必须有详细的作业规程和要求,也非常程式化,通常在业务条线之外,单独设有合规部门。
4.机构扁平化。由于先确立银行的业务流程和报告路线,然后根据流程的要求进行相应的业务模块划分、人员配置和职能设定,因而理顺了流程之间的关系,减少了不必要的环节,流程银行机构呈现扁平化的特点。
5.业务垂直化。银行的各项主要业务以流程为中心纵向开展,而不是在专业职能部门之间横向进行。在流程银行中,各业务模块在其内部实行系统垂直管理,统一核算利润,单独向银行高级管理层报告业绩,对本单元的损益负责。
6.IT技术的充分应用。以计算机技术、通讯技术和互联网技术为核心的信息技术,己经深刻改变着银行业的经营环境,信息技术在流程银行中的充分应用,是流程银行的一个重要标志。
四、流程银行的合规风险
巴塞尔银行监管委员会2005年4月的《合规与银行内部合规部门》中,明确合规风险“是指银行因未能遵循法律、监管规定、规则、自律性组织制定的有关准则,以及适用于银行自身业务活动的行为准则而可能遭受法律制裁或监管处罚、重大财务损失或声誉损失的风险”。[8]简单地说,合规风险是银行因为未能遵守相关的行为规范而承担的法律上或事实上的不利后果的可能性,主要由种种违规作业所导致。由于我国银行业一直忽视合规风险,缺乏有效的合规风险管理机制,致使银行合规意识淡薄,高管人员违规违法案件时有发生,基层违规操作普遍存在。仅2005年,四大银行违规金额就达1226亿元,被处罚机构103家,受处罚人员779人。商业银行对合规风险的管理涉及到银行的方方面面,包含组织设计、制度建设、文化培育、人力资源管理、业务流程规范等等。而流程银行的建立,为合规风险的管理提供了一个很好的落脚点,即将合规风险的管理建立在对作业(流程的组成单位)的合规管理上。
(一)作业、流程与银行
作业是为了取得结果而执行的某个或某一系列任务(task),或者企业内部为了某种目的而进行的活动。[9]可以看出作业的本质在于“任务或者活动”,它以人的操作为核心,接受某种输入,在某种规则的控制下,利用某种手段和方法,经过变换转化为一定的输出(如图1所示)。作业包含以下要素:作业={输入,目标,处理规则,手段,输出,反馈}。
作业通过一定的逻辑关系组成流程,作业是流程的最基本要素,图2显示了流程银行内资源、作业、流程、服务/产品及客户的关系。
商业银行作业具有以下几个最基本的特征:作业是投入产出因果连动的实体;作业贯穿于银行经营的全过程,构成了包含银行内部和连接银行外部的作业链(流程);作业是可以量化的基准,通常具备可以计算的产出量;银行内部所有的工作都可以划分到各种作业中;同一个作业可以发生在多个职能部门;作业既可以使用人力资源,也可以使用非人力资源。以商业银行的存款业务为例,其典型的作业如表2所示。
从表2可以看出,不同的作业活动组成不同的流程,不同的流程提供不同的产品或服务,如存款受理和客户服务。由于合规风险的发生都依赖于某项作业活动,因此,作业作为商业银行的微观基础活动,其合规风险管理水平决定着商业银行的整体合规风险管理水平,通过对作业合规风险的有效管理,并通过流程逻辑进行优化集成,就形成了银行的整体合规风险管理的思路。同时流程银行的打造过程,也是重新审视作业是否科学、规范、合规的过程,利用对作业的合规评估,来达到规避合规风险、精简企业流程、降低成本、提高商业银行运作效率的目的。
(二)基于业务流程的银行合规风险管理框架
随着我国商业银行各项改革的持续推进,银行治理结构不断完善,组织架构和业务流程再造逐步深入,为银行合规风险管理机制的构建创造了最为有利的时机。在我国商业银行打造流程银行的转变中,需要及时制定合规政策,设立合规部门,建设和培育有效的合规风险管理机制,科学梳理并修订各项业务的操作规章,使依法合规经营原则真正落实到业务流程的每一个环节,乃至每一位员工。将合规贯穿于业务的每一个作业、流程和步骤,做到 “无缝结合”(Seamlessly Integrating Compliance in Day To Day Business),通过对银行微观活动的有效合规管理,达到整体规避合规风险的目的。
从巴塞尔银行监管委员会对合规风险的定义可以看出,合规风险的动因主要有:违反法律;违背监管要求;不遵守相关准则及规范。而合规风险主要是由于违规的操作所致。因此,将合规管理耦合于作业管理中,通过对作业合规的有效评估及风险防范,可以极大地降低合规风险的发生。流程银行中,流程和作业得到清晰的划分,因此基于作业的合规风险管理成为可能。对银行作业分解的越细,就越容易找到具体的合规风险动因,从而越能对合规风险进行准确评估与管理。
由图3可以看出,合规风险管理流程作为一项支持性的经常活动,对其它流程有着监督的作用。[10]因而可以将风险管理流程和银行业务流程作为整体来考虑,即对流程的作业进行分析,包括作业中包含的人员、资源、信息流、资金流等要素,对每个作业进行合规风险评估,做到每一个作业的合规风险管理。因此,流程银行中的合规风险管理的重要内容是规范、监视和分析组织内的各种流程的作业,将人和系统的因素考虑到作业之中,特别是在对跨银行业务流程的作业合规风险管理中,可以将难以控制的外部因素综合考虑进去。
由此可以看出,流程银行的建立,从根本上将合规风险的管理通过流程这条主线联结起来。将原来分散化、弱关联的合规风险评估、识别、量化、缓释和监控通过作业集中了起来,使流程银行的合规风险管理成为一个反应及时、动态敏捷的立体网络(如图4所示)。
图4中,基于作业的合规风险评估和业务流程将形成一个立体的网络结构。通过对每一个作业的分析,确定几种主要的风险因子,然后针对具体风险采取有效管理,这种微观的合规风险管理机制,通过打造规范、良好的流程来实现了银行运作的整体合规。“产品/服务依赖于流程,流程消耗作业,作业产生风险”,依据作业成本法计算原理,可以通过对所有作业进行合规分析,评估每种作业存在的合规风险,然后循着流程的逻辑关系将风险集成管理,形成银行总体的合规风险管理框架。特别是对作业合规风险的有效管理中,可以通过人与事项的结合,能够培育良好的合规风险文化。
同时,通过确认作业和各种合规风险因子还可以将银行合规风险暴露分解,度量合规风险所造成的损失,为准备金计量提供参考。
五、结论
流程银行是针对我国商业银行组织和经营体制落后的现状提出的战略选择,它在某种程度上能够解决和回避我国商业银行目前存在的问题。流程银行的构建过程,也是整体合规的审视过程,建立在作业层次的合规风险管理,将通过流程的链接和集成实现全面的合规风险管理,从而将合规的理念、技术和文化面向对象地统一了起来,也同每一个员工的日常操作紧密联系起来。在打造流程银行的同时,需要将合规风险的管理体系相应地建立起来,在作业和流程的层面形成两者的深度融合,更好地发挥流程银行的优势。这种微观层面的有效管理和宏观层面的指导与监管通过流程或跨组织流程形成有利的传导和互动,实现了流程银行合规风险管理的内外统一和整体协调。
参考文献:
[1] Poter M E, Competitive Advantage[M],New York, The FreePress,1985.
[2] Teece D J , Pisano G, Shuen A. Dynamic capabilities strategic management [J]. Strategic Management, 1997,18, ( 7) : 23-36.
[3] Stalk G, Evans P, Schulman L E Competing on capabilities: the new rules of corporate [J]. Harvard Business Review ,1992, 4 (5) : 35-45.
[4] Hammer M. Re-engineering work: don't automate, obliterate [J]. Harvard Business Review,1990.
[5] Adrian Slywotzky,Profit Zone[M],John Wiley & Sons press, 1998.
[6] William Koff, Paul Gustafson. The Architecture Evolution: Exploring the Network Effect on Infrastructure, Applications and Business Process [C]. http://省略
[7] Paul.H.Allen, Introduction in reengineering the bank[J] .McGraw-Hill Compunies,1997
[8] Basel Committee on Banking Supervision. Compliance and the compliance function in banks [EB /OL]. Basel, Switzerland:(2005 05 29) [2006 4 28]. http:// bis. org/publ/bcbs113. pdf.
[9] 王志辉.西方银行新成本制度:银行实施作业成本制度的规则与方法[M].北京:企业管理出版社,2003.
[10] 胡衍强,刘仲英,邵建利.流程视角下的商业银行操作风险管理研究[J]. 新金融,2006,(9).
Research on Strategic Cognition and Compliance Risk
Management of the Process-oriented Commercial Bank
HU Yan-qiang
(Economics & Management School Tongji University, Shanghai 201209, China)
[关键词]电网行业;业务外包风险;风险管理
1深刻解读,从研究背景找寻关键驱动
一是战略优先,内因外力驱使提高核心竞争力。随着中国发展的经济新常态、依法治企、深化改革等社会趋势以及电力体制改革等战略发展,电网企业迎来了发展的新机遇及新挑战。业务外包是企业经营发展的重要策略,实施业务外包,将非核心业务转移出去,借助外部资源的优势来弥补和改善自己的弱势,从而形成并不断强化核心竞争力向着业务更精、更专方向发展。二是前瞻预防,系统设计风险的先期预防管理。安全可靠运行是电网行业的首要要求。电网企业的各个业务单元,在业务外包的策划及准备阶段、实施阶段、退出阶段的各个环节,都存在着巨大的业务外包风险。在充分调研国内外、行业内外业务外包风险管理的经验基础上,运用既科学先进又成熟成功的风险管理理论和机制,将业务外包风险控制在“未病”状态,对电网行业业务外包的成功推进具有领航效应。三是问题解决,配套完善切实可行的体系机制。企业将非核心业务外包,并不意味着一定能够整合外部优质资源,规避所有风险,仍然存在许多风险需要辨识、评估及控制。业务外包是促进企业发生重大变化的催化剂,因此需要企业在开展业务外包的同时,不能以包代管,必须结合业务特性,梳理、分析电网行业业务外包风险,并建立配套完善的、切实可行的风险管理体系及机制,为电网行业的核心竞争力持续提高及业务外包顺利实施保驾护航。
2切中肯綮,为业务外包风险管理提供方法理论
为了全面管理业务外包的风险,本文从风险管理的经典理论、法律及行业文献、标杆企业成功案例和企业实际等方面,结合精益管理工具FMEA等,经过大量理论研究、案例分析和实地调研等,萃取风险管理成熟成功的方法论及最佳实践,引导并规范公司相关风险管理模式在业务外包过程中向外包单位延伸。第一,COSO企业风险管理框架将风险管理及内部控制双双纳入其中,它是一个多向的重复性过程,任何组件的失效都能够且确实对其他组件造成实质性的影响。COSO企业风险管理框架由内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控等八个相互关联的要素共同组成,并贯穿在企业的管理过程之中,成为完整的闭环管理体系。第二,《中央企业全面风险管理指引》和《企业内部控制应用指引第13号———业务外包》等电网行业内外的政策相继出台,对业务外包的风险管理进一步指明方向。第三,针对业务外包开展成功的标杆企业,包括通信、电力、石油、化工及电子和汽车制造等不同行业、不同性质的企业进行了调研分析,以掌握风险管理方法理论及政策制度在企业的实践运用情况,为实际运用奠定基础。第四,通过综合调研、专题调研等多种方式,在不同组织层面、不同职能及不同试点单位,充分了解电网行业的业务外包风险管理现状,总结归纳好的方面予以推广,明确界定需要改进的方面予以防范。整合COSO企业风险管理框架、相关法规及行业文件、标杆企业最佳实践及全方位调研等理论依据构建业务外包风险管理机制模型(如图1所示)。
3操作落地,整合理论实践形成操作流程
为使业务外包风险管理得以操作落地,整合COSO风险管理框架、《中央企业全面风险管理指引》、《企业内部控制应用指引第13号———业务外包》等相关体系及政策等,制定了电网行业业务外包的风险管理操作流程,包括以下几个方面:一是明确管理目标。开展业务外包风险管理要努力实现战略目标、合规目标、报告目标、经营目标和减灾目标的落实。第一,应确保将业务外包风险控制在与总体战略目标相适应并可承受的范围,不能仅为解决眼前的利益而忽略企业长远规划。第二,确保遵守有关法律法规。在法律框架范围内规范加强风险管控是业务外包有序推进的重要保障。第三,确保企业与承包单位之间就风险管控的措施得到真实、可靠及有效的落实,及时了解承包单位的意见和需求,并把企业的各个政策对承包单位进行公开、透明地宣传,消除沟通不畅带来的不良因素。第四,确保企业业务外包的有关规章制度和措施的有效执行,确保外包风险管理机制进入一个连续不断、循序渐进的累积、改进和提升的良性循环,确保经营管理的有效性。第五,确保企业建立针对业务外包重大风险发生后的危机处理计划,保护企业不因灾害性风险或人为失误等遭受重大损失。二是开展风险评估。明确业务外包风险管理目标后,企业应对收集的业务外包风险管理初始信息、外包业务管理措施及其重要流程等进行风险评估,包括风险识别、风险分析、风险评价三个步骤。第一,开展风险识别工作,是指查找企业各业务单元、各项重要经营活动及其重要业务流程中是否有风险,有哪些风险,企业应当重点关注并识别与电网行业业务外包紧密相关的风险。第二,开展风险分析工作,是根据外包风险发生的概率与危害程度,确定风险的大小和主次,以有的放矢地制定外包风险管理措施。基于电网企业精益化管理的成功实践,采用失效模式分析(FMEA)的方法进行风险分析,它是基于数据分析的风险防控方法,目的在于识别及评估一个业务(活动)在实施过程中的潜在失效模式及其影响,分析如何消除或减少潜在失效的发生,并找出改善措施。计算方法为:风险度(RPN)=严重程度(SEV)×发生频数(OCC)×探测度(DET)。第三,开展风险评价工作,是根据风险分析得出的风险度值(RPN),评价该风险对企业实现目标的影响程度等,SEV大于等于8或RPN大于等于280的风险项目是高风险,RPN大于等于120且小于280的风险项目是中风险,RPN小于120的风险项目是低风险。三是采取风险控制。根据自身条件和外部环境,围绕业务外包工作目标,确定合适的业务外包风险的总体策略及具体措施,并确定风险管理所需人力和财力等的配置。第一,制定风险应对策略。根据业务外包的工作特性,分别采取规避(终止)、减少(控制)、分担(转移)、接受(保持)四个策略(如表1所示)。第二,实施风险管控方案。企业应根据业务外包风险采取应对策略,并对每一项高风险及中风险制定具体解决方案,包括风险管控的具体目标、组织领导、管理方式及业务流程、所需条件和手段、风险事件应对策略及具体措施、人财物的资源配置等。风险控制应满足合规的要求,坚持经营战略与风险策略一致、风险控制与运营效率平衡的原则,针对重大风险所涉及的各个管理及业务流程,制定涵盖各个环节的全流程控制方案,并配以相应的程序和政策。四是实施监督改进。企业应以业务外包的重大风险、重大事件和重大决策、重要管理及业务流程为重点,定期对各职能部门和专业部门的业务外包风险管理工作实施情况和有效性进行检验,要根据风险管理手册中的风险应对策略进行评估,对跨部门和业务单位的风险管控方案进行评价,提出整改建议,出具评价和建议报告,及时报送企业高层或分管风险管理的高级管理人员。内审部门应至少每年一次,对风险管理职能部门、开展业务外包的有关部门和业务单位的风险管理工作及工作成效,进行监督评价。
4结语
随着电网企业内部依法治企和电力体制改革等趋势发展,外部业务外包市场的逐步成熟和专业分工的不断细化、深化,业务外包将逐步成为电网企业的常用经营策略,同时业务外包也给企业经营带来风险,必须采取预防措施管控各业务单元、各阶段及各环节的各类风险,建立和完善业务外包管理制度,规定业务外包的范围、方式、条件、程序和实施等相关内容,明确相关部门和监管人员的职责权限,强化业务外包的全过程监控,防范外包风险,充分发挥业务外包的优势,支持电网行业实现业务发展的集约化、体系化、法制化及精益化。
作者:袁 翔 吴 悠 单位:国网四川省电力公司
参考文献
[1]国务院国有资产监督管理委员会.国资发改革[2006]108号《中央企业全面风险管理指引》[S].2006.
[2]中华人民共和国财政部.企业内部控制应用指引第13号———业务外包[S].2010.
[3][英]保罗•霍普金(PaulHopkin).风险管理:理解、评估和实施有效的风险管理[M].第2版.蔡荣右,译.北京:中国铁道出版社,2014.
[4]白世贞,国彦平,陈化飞.服务外包业务管理流程[M].北京:化学工业出版社,2011.
[5]马林,何桢.六西格玛管理[M].第2版.北京:中国人民大学出版社,2013.
[关键词]风险管理;电力工程审计;PDCA;供电企业;方法;效益
开展电力工程风险管理审计,是对电力工程业务的制度、流程、规则以及控制过程进行监督和评价,可真实、客观揭示电力工程管理的风险状况,如实反映电力工程内部控制设计和运行情况,识别工程管理的主要风险点和薄弱环节,提出优化工程内部控制体系的建议,推进工程风险管理控制水平提高。电力工程风险管理审计,是以防范工程风险、提高企业效益为目标,坚持全面性、制衡性及成本效益原则,依据全面风险管理理论和风险控制理论,运用内控矩阵和风险因素分析法,判定风险相关的工程关键环节,选定审计路径,建立风险评价标准,在实践基础上建立完整的基于风险防范的内部控制审计新方法。其目的是强化内部审计作为“第三道防线”在公司核心业务治理中的作用,坚持依法从严治企、强基固本理念,在全面梳理工程业务管理流程、存在风险及关键控制点的基础上,采取在线审计和现场审计相结合的方式,从组织层面、业务层面,着力查纠内部控制的设计、运行缺陷,持续跟踪整改,不断完善控制手段,保障电力工程法律法规、规章制度有效执行,切实防控工程管理风险,不断提升工程风险管理水平。审计重点步骤路线如图1所示。
一、建立审计流程,理清电力工程审计总体思路
电力工程风险管理审计贯穿电力工程管理全部流程,在充分考虑工程治理结构、机构设置及权责分配、业务流程等方面相互制约、相互监督的基础上,权衡内部控制实施成本与预期效益,以适当的成本实现有效控制。开展电力工程风险管理审计,应运用审计信息系统和工程管理业务系统开展联网审计,建立基于风险导向的电力工程全过程审计流程。在充分分析工程内部控制的基础上,审计实施从梳理工程业务管理流程、存在风险以及关键控制点入手,综合平衡“风险—收益”“风险—成本”,站在公司工程内部控制顶层设计层面,围绕风险识别、风险评估、控制活动、信息与沟通、内部监督等五要素开展内部控制设计的适当性评价;利用电力工程专项审计项目和市、县公司电力工程内部控制审计项目,以电力工程业务为核心,开展内部控制风险点有效性测试;并以此分析电力工程控制设计、运行缺陷和缺陷等级,评价电力工程管理内部控制的适当性和有效性,并提出改进的意见和建议,确保工程风险可控、在控,全面提升工程管理水平。
二、梳理风险点和关键控制点,确立电力工程审计目标
1.梳理电力工程业务流程、存在的风险及关键控制点。一是梳理工程业务末端流程。电力公司通过对工程业务管理流程梳理,在工程内部控制矩阵分析的基础上,权衡风险、收益、成本后,突出对重大决策、重要环节、重点单位、重点资金、重点项目和重大风险的审计,按照工程建设流程开展过程审计,提出过程管控,分级管理,把握重点。二是梳理存在的风险及审计需要关注的关键控制点。在对工程业务管理末端流程梳理的基础上,梳理出完成这些流程的管理步骤,尤其是对照历年内外部审计发现的问题及其成因,按照“发现问题—工程流程—内控风险”的分析路径,确认这些步骤中的风险点和这些风险中需要重点控制的关键控制点。2.确立电力工程风险防范审计的目标。对电力工程业务流程、存在的风险及关键控制点的梳理,是为实现工程内部控制审计的目标服务,即通过梳理,确认工程管理的风险和关键控制点,继而寻找企业对风险管控采取的措施,通过检查管控措施的有效性来评价工程风险防范的有效性,确认、检查工程内部控制有效性,帮助企业找到工程管理的薄弱点,有针对性采取措施对薄弱点强化管控,充分发挥审计监督与服务的职能,合理保障风险管控健康、有效,从而改善工程管理,提高工程管理质量。
三、评估潜在风险,提出相应的审计方式
以资产全寿命周期管理为理念,以工程建设流程为主链,运用风险管理理论策略,依托相关管理政策法规,评估需要重点审计的工程项目和项目阶段。从风险识别、风险评估、风险应对、风险防范和风险监控等方面,评估预测潜在的风险,提出审计方式,如图2所示。每一阶段均以下一阶段为基础,逐级优化阶段成果,阶梯稳步提升,形成自投资立项、计划管理、组织实施到竣工验收四位一体过程的审计运用管控体系,如图3所示。
(一)运用风险导向审计理念,筛选重要项目同步审计
通过访谈、座谈、发放调查问卷和风险评估表等方式,广泛收集公司管理层、管理部门、所属单位和审计人员的意见及对风险的判断结果,建立风险管理模型,进行风险识别和综合分析。根据风险评估因素,分层制定电力工程审计计划。编写风险评估调查表,对工程建设高风险领域进行辨识,通过评估确立相应的审计风险,并结合公司情况以及前期各项工程项目的完成和营运实际,考虑中短期发展计划,动态地不断优化公司工程项目库,并拟定相应项目审计计划,跟踪做出审计评价。
(二)分环节实施项目风险评估,筛选审计工作切入点
在进行风险评估的基础上,应当突出对重大投资决策、重要时间节点、关键控制环节存在重大风险领域的审计,经过梳理形成资产建设全过程管理四个环节的主要内容,并加以评价控制,如表1所示。
(三)采用“PDCA循环”机制,促进审计闭环管理
围绕风险防控管理的目标,按照专业化管理理念,采用“PDCA循环”审计管理机制,形成风险与任务管理、组织与实施、检查与考核、总结与持续改进的审计闭环管理体系。以项目风险评估为基础,综合分析影响工程管理的风险因素,对业务流程中的风险控制点进行分析,确定审计重点,并将审计流程固化到实施方案中。审计实施过程中采用现场审计与在线审计相结合,依托信息系统资源环境,运用ERP业务审计系统及其他业务系统,查询分析工程管理各业务模块、流程节点的数据信息,对重点领域进行实时在线监控,及时发现风险点,对整改结果进行后续落实,形成管理闭环,如图4所示。1.“PDCA循环”模式,实施风险管理全面监控。“PDCA循环”四个阶段不是孤立存在的,而是紧密联系、相辅相成,且每一阶段中都再包含微小的PDCA循环。工程审计质量管理中,“PDCA循环”既可以在具体实施过程中开展,又可以在整个项目系统中开展,从而实现全面动态的质量管理。审计人员针对在线审计发现的各项风险,与相关部门形成研讨机制,及时提出审计意见,对整改落实情况进行后续检查,提高审计整改验收监督效果。同时提升审计人员业务水平,及时学习最新的政策和信息,准确查找异常问题;开展审计项目风险管理专业培训,选取典型案例、典型分析方法进行剖析,提高工作质量,形成闭环后的螺旋式提升。2.在线审计。建立“一月一主题”审计形式,对公司项目风险管理实时发现问题按照“点、线、面”系列审计方法,评估风险等级,将风险等级高的问题与业务部门形成课题化机制,将相似的一类问题一并整改,最大程度消除公司工程风险管理的隐患,实现风险管理审计整改有效闭环。3.现场审计。为客观反映工程项目风险管理现状,应明确现场审计目标,突出重点,针对发生风险的可能性、必然性、变动性和不确定性,制定项目风险管理审计评价内容,落实关键点的审计监督,及时发现存在问题并采取有效措施予以解决,实施分层规范管理,切实提高企业依法经营的能力。对确定的建设过程关键点进行现场监督,应分为自检、专业检查和审计抽检三个层面执行。每到关键点,首先由施工单位自行检查,即结合工程签证或隐蔽工程记录单进行全部检查,并形成自检结果表;其次由工程监理和公司专业部室负责第二层面的专业检查,审定工作记录单的真实性和准确性,提出专业意见;最后由内部审计部门负责抽检,主要审查工程现场与图纸是否一致。
(四)以评价改进为保障,提高公司依法治企水平
【关键词】精细化管理;风险防控;过程;结果
对于实施全面风险管理的企业如何能够有效地进行风险管理,其直接面临着一个重要的议题:如何落实?很多企业做了各种各样的风险管理文件,通过各种不同场合强调风险的重要性及落实要求,而事实上风险却一再发生。本文通过分析企业精细化管理概念和内涵以及全面风险防控概念和实现途径,总结了两者关系是过程与结果的关系,精细化管理必须以全面风险防控为目标,才能实现企业管理目的;全面风险防控必须落实到精细化管理过程中,才能将全面风险防控落到实处。
1.企业精细化管理概念和内涵
企业精细化管理就是要按照精确、细致、深入的要求,明确职责分工,优化业务流程,完善岗责体系,加强协调配合,抓住企业管理的薄弱环节,有针对性地采取措施,抓紧、抓细、抓实,不断提高管理效能。它是建立在常规管理的基础上,并将常规管理引向深入的关键一步。其内涵是:
1.1精细化管理是一种目标管理
精细化管理的突出特征是“精确、细致、深入”,目的是“不断提高管理效能”,避免大而化之的粗放式管理。企业管理始终是按照“目标过程达到目标新的目标”这样的循环方式前进的,其基本目标就是实现“两高两低”,即:提高管理质量和效率,降价管理风险和成本。
1.2精细化管理是一种典型的流程导向的专业化管理
企业管理的精细化要按照专业化管理的内在要求,由流程导向代替职能导向,“明确职责分工,优化业务流程”,在优化企业管理流程、简化企业内部程序的基础上,提高专业化管理水平。
1.3精细化管理是强调重点的管理
要求“抓住企业管理的薄弱环节,有针对性地采取措施”。因而,精细化管理仍然强调重点管理,不是只抓细节,不抓重点,主次不分,而是在抓住重点的基础上,更加强调对重点工作微观层次的监管,确保重点工作的落实。
1.4精细化管理是一种系统管理
要求“加强协调配合”,注重的是精细化管理的系统性。只有管理部门协调,管理环节顺畅,整个管理系统才能发挥出更大的管理效能。不是依靠个别数据对整个工作进行机械地、割裂式地控制,而是在科学量化的基础上,对企业管理工作实行灵活性与原则性兼顾的系统性管理。
1.5精细化管理是一种责任管理
要求“完善岗责体系”,强调的是企业和员工基于岗位职责对自己的“产出”负责。其重要特点就是在过程控制中,辅之以系统化的绩效评估指标,以便对管理目标进行考核。
2.企业全面风险防控概念及实现途径
企业全面风险防控是指建立有关的监督、控制和规范职能,以推动企业在不断变化的经营环境下持续地提升其风险管理能力。这是一种持续开展、贯穿整个企业的流程。一般通过以下三种途径进行实现:
2.1基于企业整体控制风险
企业通过制度建设进行整体风险防控一般是企业全面风险防控的基础,但这种风险管理不够细致,未落实具体风险点,容易导致制度无法完全落实。
2.2基于岗位控制风险
在企业完善制度建设,对企业进行风险整体控制的基础上,企业对内部岗位都进行了细致的梳理,整理岗位风险文件,形成岗位风险管理制度,确保“每项风险工作都有人负责”。这种风险控制将工作岗位作为风险识别的载体,从岗位的职责和活动出发,识别工作岗位中遇到和将会面临的风险,把企业的风险落到到各个岗位,能准确地定位风险来源,将风险细化,可以及时发现问题,制定风险防控措施。但这种岗位风险管理是基于个人而非团队,员工难以重视,另外在企业里每个人都是工作里的一个环节,有时候很难以与其他岗位产生协同。
2.3基于流程的风险管理
这种风险管理是从企业运营出发,明确企业各个环节的风险点,梳理企业流程,针对现有流程,分析每个活动点存在的问题和风险应对办法。这个过程主要是针对事件进行管理,需要在定岗定责基础上进行,才能使相关岗位人员全力参与,并对风险结果有一个深刻的认识,这种基于流程的风险防控过程与岗位风险防控结合,才能够真正把企业价值与风险管理相结合起来,为风险的落实和管理真正提供了支撑。
因此上述三个阶段协调开展,可将业务、员工与企业效益紧紧结合在一起,通过上述三个步骤建立起来的企业全面风险防控,可以为企业风险防控的长期落实打下基础。
3.企业精细化管理与全面风险防控的关系
通过以上对企业精细化管理概念和内涵以及全面风险防控概念和实现途径的分析,可总结出两者关系如下:
3.1企业精细化管理目标管理内涵决定了企业精细化管理需要以全面风险管理为目标,全面风险防控的客观要求决定根据了必须要将全面风险防控落实到企业精细化管理过程中
企业精细化管理的基本目标是实现“两高两低”,即提高管理质量和效率,降低管理风险和成本。而全面风险防控目标是通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,从而为实现风险管理总体目标提供合理保证的过程和方法。因此,全面风险防控的实施和落实需要渗透在企业的日常管理中,只有真正将各项风险细化分解到管理工作和流程中,对企业进行精细化管理,企业才能真正实施全面风险防控。而全面风险防控的流程管理要求明确企业各个环节的风险点,分析每个活动点存在的问题和风险应对办法,这个过程需要全员参与,因此客观上要求全面风险防控必须要落实到企业精细化管理过程中。
3.2企业精细化管理专业化和精细化的管理要求是全面风险防控的现实需要,全面风险防控是企业精细化管理的保障
精细化管理理念既重视“面”,又重视“点”。通过精细化管理,理顺业务流程,明确岗位职责。为实现精细化管理风险防控的目标,在落实上述精细化管理过程中,需以全面风险防控为目标,通过企业整体风险控制、岗位风险控制、业务流程风险控制进行精细化管理再造,基于整体控制的全面风险防控为精细化管理提供了制度保障,基于岗位的全面风险管理为精细化管理提供了人员保障,基于流程的全面风险管理为精细化管理提供了流程保障。
3.3企业精细化系统化和责任化的管理是全面风险防控的必然选择,全面风险防控是企业精细化管理的必然结果
