外包風險管理評估細則
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇外包風險管理評估細則范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
外包風險管理評估細則范文第1篇
論文摘要:文章首先分析了信息安全外包存在的風險,根據風險提出信息安全外包的管理框架,并以此框架為基礎詳細探討了信息安全外包風險與管理的具體實施。文章以期時信息安全外包的風險進行控制,并獲得與外包商合作的最大收益。
1信息安全外包的風險
1.1信任風險
企業是否能與信息安全服務的外包商建立良好的工作和信任關系,仍是決定時候將安全服務外包的一個重要因素。因為信息安全的外包商可以訪問到企業的敏感信息,并全面了解其企業和系統的安全狀況,而這些重要的信息如果被有意或無意地對公眾散播出去,則會對企業造成巨大的損害。并且,如若企業無法信任外包商,不對外包商提供一些關鍵信息的話,則會造成外包商在運作過程中的信息不完全,從而導致某些環節的失效,這也會對服務質量造成影響。因此,信任是雙方合作的基礎,也是很大程度上風險規避的重點內容。
1.2依賴風險
企業很容易對某個信息安全服務的外包商產生依賴性,并受其商業變化、商業伙伴和其他企業的影響,恰當的風險緩釋方法是將安全服務外包給多個服務外包商,但相應地會加大支出并造成管理上的困難,企業將失去三種靈活性:第一種是短期靈活性,即企業重組資源的能力以及在經營環境發生變化時的應變能力;第二種是適應能力,即在短期到中期的事件范圍內所需的靈活性,這是一種以新的方式處理變革而再造業務流程和戰略的能力,再造能力即包括了信息技術;第三種靈活性就是進化性,其本質是中期到長期的靈活性,它產生于企業改造技術基本設施以利用新技術的時期。進化性的獲得需要對技術趨勢、商業趨勢的準確預測和確保雙方建立最佳聯盟的能力。
1.3所有權風險
不管外包商提供服務的范圍如何,企業都對基礎設施的安全操作和關鍵資產的保護持有所有權和責任。企業必須確定服務外包商有足夠的能力承擔職責,并且其服務級別協議條款支持這一職責的履行。正確的風險緩釋方法是讓包括員工和管理的各個級別的相關人員意識到,應該將信息安全作為其首要責任,并進行安全培訓課程,增強常規企業的安全意識。
1.4共享環境風臉
信息安全服務的外包商使用的向多個企業提供服務的操作環境要比單獨的機構內部環境將包含更多的風險,因為共享的操作環境將支持在多企業之間共享數據傳輸(如公共網絡)或處理(如通用服務器),這將會增加一個企業訪問另一企業敏感信息的可能性。這對企業而言也是一種風險。
1.5實施過程風險
啟動一個可管理的安全服務關系可能引起企業到服務外包商,或者一個服務外包商到另一個外包商之間的人員、過程、硬件、軟件或其他資產的復雜過渡,這一切都可能引起新的風險。企業應該要求外包商說明其高級實施計劃,并注明完成日期和所用時間。這樣在某種程度上就對實施過程中風險的時間期限做出了限制。
1.6合作關系失敗將導致的風險
如果企業和服務商的合作關系失敗,企業將面臨極大的風險。合作關系失敗帶來的經濟損失、時間損失都是不言而喻的,而這種合作關系的失敗歸根究底來自于企業和服務外包商之間的服務計劃不夠充分完善以及溝通與交流不夠頻繁。這種合作關系在任何階段都有可能失敗,如同其他商業關系一樣,它需要給予足夠的重視、關注,同時還需要合作關系雙方進行頻繁的溝通。
2信息安全外包的管理框架
要進行成功的信息安全外包活動,就要建立起一個完善的管理框架,這對于企業實施和管理外包活動,協調與外包商的關系,最大可能降低外包風險,從而達到外包的目的是十分重要的。信息安全外包的管理框架的內容分為幾個主體部分,分別包括企業協同信息安全的外包商確定企業的信息安全的方針以及信息安全外包的安全標準,然后是對企業遭受的風險進行系統的評估.并根據方針和風險程度.決定風險管理的內容并確定信息安全外包的流程。之后,雙方共同制定適合企業的信息安全外包的控制方法,協調優化企業的信息安全相關部門的企業結構,同時加強管理與外包商的關系。
3信息安全外包風險管理的實施
3.1制定信息安全方針
信息安全方針在很多時候又稱為信息安全策略,信息安全方針指的是在一個企業內,指導如何對資產,包括敏感性信息進行管理、保護和分配的指導或者指示。信息安全的方針定義應該包括:(1)信息安全的定義,定義的內容包括信息安全的總體目標、信息安全具體包括的范圍以及信息安全對信息共享的重要性;(2)管理層的目的的相關闡述;(3)信息安全的原則和標準的簡要說明,以及遵守這些原則和標準對企業的重要性;(4)信息安全管理的總體性責任的定義。在信息安全方針的部分只需要對企業的各個部門的安全職能給出概括性的定義,而具體的信息安全保護的責任細節將留至服務標準的部分來闡明。
3.2選擇信息安全管理的標準
信息安全管理體系標準BS7799與信息安全管理標準IS013335是目前通用的信息安全管理的標準:
(1)BS7799:BS7799標準是由英國標準協會指定的信息安全管理標準,是國際上具有代表性的信息安全管理體系標準,標準包括如下兩部分:BS7799-1;1999《信息安全管理實施細則》;BS7799-2:1999((信息安全管理體系規范》。
(2)IS013335:IS013335《IT安全管理方針》主要是給出如何有效地實施IT安全管理的建議和指南。該標準目前分為5個部分,分別是信息技術安全的概念和模型部分;信息技術安全的管理和計劃部分;信息技術安全的技術管理部分;防護和選擇部分以及外部連接的防護部分。
3.3確定信息安全外包的流程
企業要根據企業的商業特性、地理位置、資產和技術來對信息安全外包的范圍進行界定。界定的時候需要考慮如下兩個方面:(1)需要保護的信息系統、資產、技術;(2)實物場所(地理位置、部門等)。信息安全的外包商應該根據企業的信息安全方針和所要求的安全程度,識別所有需要管理和控制的風險的內容。企業需要協同信息安全的外包商選擇一個適合其安全要求的風險評估和風險管理方案,然后進行合乎規范的評估,識別目前面臨的風險。企業可以定期的選擇對服務外包商的站點和服務進行獨立評估,或者在年度檢查中進行評估。選擇和使用的獨立評估的方案要雙方都要能夠接受。在達成書面一致后,外包商授予企業獨立評估方評估權限,并具體指出評估者不能泄露外包商或客戶的任何敏感信息。給外包商提供關于檢查范圍的進一步消息和細節,以減少任何對可用性,服務程度,客戶滿意度等的影響。在評估執行后的一段特殊時間內,與外包商共享結果二互相討論并決定是否需要解決方案和/或開發計劃程序以應對由評估顯示的任何變化。評估所需要的相關材料和文檔在控制過程中都應該予以建立和保存,企業將這些文檔作為評估的重要工具,對外包商的服務績效進行考核。評估結束后,對事件解決方案和優先級的檢查都將記錄在相應的文件中,以便今后雙方在服務和信息安全管理上進行改進。
3.4制定信息安全外包服務的控制規則
依照信息安全外包服務的控制規則,主要分為三部分內容:第一部分定義了服務規則的框架,主要闡明信息安全服務要如何執行,執行的通用標準和量度,服務外包商以及各方的任務和職責;第二部分是信息安全服務的相關要求,這個部分具體分為高層服務需求;服務可用性;服務體系結構;服務硬件和服務軟件;服務度量;服務級別;報告要求,服務范圍等方面的內容;第三部分是安全要求,包括安全策略、程序和規章制度;連續計劃;可操作性和災難恢復;物理安全;數據控制;鑒定和認證;訪問控制;軟件完整性;安全資產配置;備份;監控和審計;事故管理等內容。
3.5信息安全外包的企業結構管理具體的優化方案如下:
(1)首席安全官:CSO是公司的高層安全執行者,他需要直接向高層執行者進行工作匯報,主要包括:首席執行官、首席運營官、首席財務官、主要管理部門的領導、首席法律顧問。CSO需要監督和協調各項安全措施在公司的執行情況,并確定安全工作的標準和主動性,包括信息技術、人力資源、通信、法律、設備管理等部門。
(2)安全小組:安全小組的人員組成包括信息安全外包商的專業人員以及客戶企業的內部IT人員和信息安全專員。這個小組的任務主要是依照信息安全服務的外包商與企業簽訂的服務控制規則來進行信息安全的技術。
(3)管理委員會:這是信息安全服務外包商和客戶雙方高層解決問題的機構。組成人員包括雙方的首席執行官,客戶企業的CIO和CSO,外包商的項目經理等相關的高層決策人員。這個委員會每年召開一次會議,負責審核年度的服務水平、企業的適應性、評估結果、關系變化等內容。
(4)咨詢委員會:咨詢委員會的會議主要解決計劃性問題。如服務水平的變更,新的技術手段的應用,服務優先等級的更換以及服務的財政問題等,咨詢委員會的成員包括企業內部的TI’人員和安全專員,還有財務部門、人力資源部門、業務部門的相關人員,以及外包商的具體項目的負責人。
(6)安全工作組:安全工作組的人員主要負責解決信息安全中某些特定的問題,工作組的人員組成也是來自服務外包商和企業雙方。工作組與服務交換中心密切聯系,將突出的問題組建成項目進行解決,并將無法解決的問題提交給咨詢委員會。
(7)服務交換中心:服務交換中心由雙方人員組成,其中主要人員是企業內部的各個業務部門中與信息安全相關的人員。他們負責聯絡各個業務部門,發掘出企業中潛在的信息安全的問題和漏洞,并將這些問題報告給安全工作組。
(8)指令問題管理小組:這個小組的人員組成全部為企業內部人員,包括信息安全專員以及各個業務部門的負責人。在安全小組的技術人員解決了企業中的安全性技術問題之后,或者,是當CSO了關于信息安全的企業改進方案之后,這些解決方案都將傳送給指令問題管理小組,這個小組的人員經過學習討論后,繼而將其到各個業務部門。
(9)監督委員會:這個委員會全部由企業內部人員組成。負責對外包商的服務過程的監督。
外包風險管理評估細則范文第2篇
各位領導、同志們:大家好
今年是____供電公司成立的第一年,安全生產的重要性毋庸置疑。為了認真落實我公司十六屆三次職代會及省公司、我公司兩個一號文的會議精神,以“三鐵”反“三違”,扎實有效的做好今年的春檢工作。我就安全管理方面談以下兩方面內容。
一、安全生產存在的問題:
1、習慣性違章仍時有發生,還沒有從根本上杜絕。
隨著公司標準化作業的不斷深入及查處違章力度的加大,公司范圍內的違章情況已大幅度減少,但并沒有根本杜絕,違章是事故的溫床,是發生事故的根本原因,違章不除,事故難止,在去年仍發現有個別單位不能嚴格執行標準化作業等違章情況發生。
2、現場工作票存在問題。在去年春、秋檢的作業現場及專業季度檢查中,仍都發現在工作票的填寫與執行上存在著問題。反映出個別生產及管理人員在工作票的填寫、簽發、許可上存在著不負責的現象。
3、部分一線職工不能自覺地學習規程,專研技術業務,業務素質較差,對安全隱患不能及時發現,給安全生產帶來潛在的威脅。
4、繼電、試驗、電能專業及配電修理及小型作業由于作業流動性較大,作業比較分散,在執行各種安全規章制度上還存在著一定問題,在一些作業現場不能認真執行標準化作業程序。
5、對入網作業隊伍的管理及檢查不利,去年安監部共查處違章13起,其中進網作業隊伍占有較大的比例,這充分說明各生產單位在監管進網作業隊伍上還存在著一定問題。
6、各供電分公司偏遠供電所、生產班組人員由于缺乏監管力度相對安全意識淡薄,安全管理松散,安全工作還有死角。
二、對今年春檢工作提出如下要求:
1、今年春檢工作中要認真落實我公司一號文精神,狠反習慣性違章。公司將下發新的安全生產檢查、考核辦法,使各項檢查與考核做到有的放矢,各生產單位在春檢前要安排時間組織全體員工認真學習,并清楚違章的各種表現,使每名職工清楚哪些行為是不應該做的,在春檢期間公司將對查出違章嚴格按照安全生產檢查及考核辦法執行,決不姑息遷就。春檢中安監部每半月將出一期春檢動態簡報,對好人、好事、好的做法給與表揚,對違章違紀情況進行批評、曝光,嚴重的要追究其領導責任,要使違章者和其他人感到震撼。以“零違章”確保春檢期間不發生人身事故。
2、推行安全風險管理,建立安全生產風險評估管理體系
推行安全風險管理是現代企業安全管理發展的必然方向和正確選擇。省公司已經確定了我公司為今年“安全生產風險評估管理”試點單位,3月2日安監部組織了生產單位領導和安全員進行了培訓。各單位要在春檢中大力開展風險意識、危害辯識和防范能力培訓,營造風險管理的氛圍,創建風險管理的基礎。要以安全生產風險評估為重點,深入作業現場和班組,查找安全管理上存在的問題,結合安全性評價實施有效的整改,公司也將逐步編制安全生產評估細則,逐步建立完善的安全生產風險管理體系。通過開展安全風險評估在職工中牢固樹立“任何風險都可以控制的理念,以控制人身傷害和人員責任事故風險為目標,促進安全生產從事后管理向預防轉變,從強制監督執行向自發安全行為的轉變。
3、在春檢前各生產單位要做好各項準備工作,對本單位的安全工器具及個人防護用品進行一次全面的檢查,嚴格按照國家電網公司《電力安全工器具預防性試驗》規程所規定的周期進行試驗,決不可過期或不試驗使用,對不合格的要及時淘汰,嚴禁使用。特別是對安全帶,驗電器、腳扣、梯子、安全帽等安全工器具要認真檢查,報警安全帽的報警器,要好使好用。
4、今年春檢工作,對于調度、繼電等專業仍處于____、葫蘆島兩個供電公司的改制過渡期,要求“五所”要按照省公司近日下發的“安全生產會議紀要”的相關要求,履行好自己的職責,要樹立大局意識,認真安排工作,在作業中嚴格執行標準化作業程序,確保____、葫蘆島兩供電公司的春檢工作順利完成。
5、工作票制度是保證各種作業安全的第一道關口,各生產單位在各項作業中要嚴格按照公司下發的《關于工作票填寫標準與規定》認真填寫。特別是配電專業,各供電分公司要做好《配電作業安全管理規》的培訓,嚴把填寫、審核、簽發、許可關。作業人員在實際工作中要認真執行,堅決克服對工作不負責任的現象。hnnnnnnjdehg
6、送、變、配各種作業在作業前要認真勘察作業現場,有針對性地做好安全技術措施和危險點控制措施。危險點的分析一定要符合現場實際,堅決杜絕為了應付檢查,千編一律的現象。嚴格履行作業措施計劃申報審批制度。各生產單位作業的措施計劃要進行周密細致的研究,由專工、安全員、主管生產領導認真審核并簽字,然后按規定逐級上報公司安監部、生技部、專業付總工進行審批。各級審批人員要認真負責,確實把好安全關,堅決杜絕不負責任的走過場,走形式的現象。
7、加強作業現場接地線的管理。現場作業對有可能來電的線路都要掛好接地線,對有相鄰線路可能產生感應電壓的要加掛臨時接地線。掛接地線的位置和組數一定要同工作票相符,接地端一定要牢固可靠。特別是要加強對個人保安地線的管理,防止因地線管理不善造成人身及設備事故。
8、要嚴格執行工作監護制。工作期間工作負責人必須始終在工作現場,對工作班人員的安全認真監護,及時糾正不安全動作,對施工復雜、容易發生事故的工作,應增設專責監護人,專職監護人不得兼任其它工作。在送、配電同桿并架線路上作業,做到一人作業、一人監護,監護人要精力集中,同時作業人員要佩帶與停電線路色標相同的袖標,防止誤登帶電側。
9、加強對外包工程的安全管理。各生產單位在承包單位進入施工現場前要審查《安全合同》、《安全資質證》,組織施工單位及有關人員做好安全技術交底,并有詳細記錄和資料,做好安全措施。施工中,各生產單位要加強對外包的安全的監督,堅決防止以“包”代管以“罰”代管現象。外包隊伍進網作業要嚴格執行標準化作業而且其標準要同主業一致,如發現違章現象要及時制止,必要時可停止其工作。同時做好詳細記錄,雙方簽字。
10、加強對偏遠供電所、生產班組和零散小型作業的安全管理。各生產單位提高對零散小型作業重視程度,春檢期間如有零散小型作業各單位要認真組織,周密安排。各級人員要到崗到位,并要求有管
外包風險管理評估細則范文第3篇
關鍵詞:內部控制 風險管理 最佳實務
國內外財務舞弊事件的頻繁發生,使內部控制成為全球性的熱點問題。作為完善現代公司制度的有效方式之一,內部控制在提升上市公司運作管理水平、規避風險方面發揮著重要作用。1992年,COSO了《內部控制――整合框架》,該報告提出內部控制的三個目標和五個要素,受到國際內部控制理論界和實務界的廣泛關注,已經被世界上許多公司運用,也被各國內部控制標準制定機構借鑒或采用。2002年,美國國會通過的《薩班斯―奧克斯利法案》,嚴格要求公司加強對財務制度和內部控制的完善和披露,已經得到全球范圍內認可和應用。2004年,COSO了《公司風險管理――整合框架》,該框架不僅涵蓋了原有內部控制的合理內容,而且強化了公司風險管理理念。風險管理的興起對內部控制產生了重大的影響。2008年,我國財政部、審計署、證監會、銀監會、保監會等五部門聯合了《公司內部控制基本規范》,2010年財政部又了《公司內部控制配套指引》,這標志著我國公司內部控制規范體系基本建立起來。在此背景下,探討國外內部控制最佳實務,有助于我國公司經營管理實踐的提升。
一、展開培訓,培養管理層內部控制觀念
管理層對內部控制的重視,將有助于內部控制的有效執行,并減少特定控制被忽視或規避的可能。衡量管理層對內部控制重視程度的重要標準,是管理層收到有關內部控制缺陷及違規事件的報告時,是否做出適當反應。管理層及時地下達糾弊措施,表明他們對內部控制的重視,也有利于加強公司內部控制意識。控制理念反映在管理層制定的政策、程序及所采取的措施中,而不是反映在形式上。為了培養公司的內部控制和風險管理觀念,公司應該給予管理層適當的培訓,使管理層正確認知內部控制、理解其目標、職能及范圍。這樣一方面有助于公司遵守內部控制的監管規定,同時也能為達到內部控制目標提供更大的保證。培訓課程可以由公司自行開發,也可以外包給在此方面具有專長的公司。
二、董事會持續有效監控
持續有效監控是完善內部控制的要素。然而,董事會不應被動,并且不應只依據公司內嵌入的監控程序以履行其職責。董事會應定期收取、審閱內部控制報告。負有內部監控的管理層或審計部門等職能部門,應不時向董事會或董事會委員會提交工作報告,匯報公司最新的監控情況。建議公司在審計委員會下設立審計部,除了配備專職的審計人員之外,如有需要,審計部可以根據具體審計項目的需要,臨時申請抽調公司經營層面相關專業人員來配合、協助、支持,保證審計工作的有效進行。審計部開展工作不受其他部門或者個人的干涉,直接向審計委員會報告工作,最大程度保證審計部對內部經營管理活動的監控職能,審計部的日常行政管理歸屬于董事會辦公室。
三、建立審計委員會
審計委員會作為董事會里的一個主要由非執行董事組成的專業委員會,是公司治理結構中的一項重要的制度安排,其目的是監督公司的會計、財務報告以及公司會計報表的審計。審計委員會的職權范圍應包括與監管上市公司財務制度及內部控制有關的職責:(1)檢討公司的財務監控、內部控制及風險管理制度;(2)與管理層討論內部控制系統,確保管理層已履行職責,建立有效的內部控制;(3)主動或應董事會的委派,就有關內部控制的重要調查結果及管理層對該結果的回應進行研究;(4)如公司設有內部審計部門,須確保內部和外部審計師的工作得到協調;(5)確保內部審計在公司內部有足夠資源,且有獨立的地位;(6)檢查內部審計功能是否有效;(7)檢討集團的財務及會計政策及實務;(8)對外部審計師就會計記錄、財務賬目或監控系統向管理層提出的任何重大疑問做出回應。綜合以上可以看出,如果審計委員會能夠運行有效,能夠給公司經營管理帶來顯著的效益。
四、設置內部審計部門
內部審計是公司內部監控系統的組成部分,有助于確保監控系統的有效性。內部審計可以通過以下程序對公司做出積極和有價值的貢獻:(1)對風險管理,特別是在內部監控系統的設計、執行及運作方面提供建議; (2)識別監控中潛在的機會,降低運作上有關的損失,從而加強風險管理和監控管理的效率及效果;(3)提升公司內的風險管理及內部控制觀念。內部審計功能可以提供各方面的收益。如果有適當資源,內部審計應該可以:(1)就公司的風險管理與內部監控是否足夠及有效,向董事會及管理層提供客觀保證;(2)幫助管理層改善用以識別、管理風險的程序;(3)協助董事會履行其加強、改善風險管理和內部監控架構的職責。
五、把內部控制、風險管理嵌入到公司業務流程中
公司的營運環境持續變化,導致公司所面對的風險也不斷改變。完善的內部控制系統需要對公司所承擔風險的性質、程度進行全面、定期評估。內部控制系統要有足夠的靈活性,以便在環境、公司組織和目標有所變更時,能做出相應改變及調整。內部控制系統應該嵌入公司的運營中,并構成公司文化的一部分;能夠對由公司內在因素所產生的業務風險及經營環境的變化做出迅速應對,包括向適當的管理層及時匯報任何重大監控失誤或缺陷,所采取行動的細節。
內部控制系統必須嵌入公司的業務程序中,與其發展另一套風險報告系統,不如把內部控制納入現有的管理信息系統內。過分繁復的風險管理程序會使其偏離重點,而這個重點就是通過把監控系統結合于現存的流程內,使公司內各職能部門及人員能更加專注于達成業務目標,并管理好與各部門工作有關的重大風險。
通過把風險管理嵌入于公司業務程序中,公司有機會消除重復或不必要的監控及創造一個環境,在完善的風險管理實務規范下,賦予公司內各人更大的權力,以滿足顧客的需要。
六、建立內部控制自我評價系統
COSO認為,確定公司內部控制是否“有效”,是在對八個構成要素是否存在和有效運行的評估的基礎之上所做出的判斷。因此,構成要素同時也是有效的公司內部控制的判斷標準。如果這些構成要素存在且正常運行,那么就可能沒有重大缺陷,而風險可能已經被控制在主體的風險容量以內。同時,如果確定公司風險管理在所有四類目標上都是有效的,那么就意味著董事會和管理當局對實現內部控制具有合理保證。
七、編制內部控制手冊
按照COSO報告、結合公司具體情況,編制內部控制手冊,對完善公司內部控制制度,進一步加強公司內部控制規范體系建設工作,持續提升公司經營管理水平和風險防范能力,保證公司經營管理合法合規、資產安全、財務報告及相關信息真實完整,促進公司戰略目標的實現和可持續發展具有很強的現實價值。
內部控制手冊,不是新的構想、也不是新創造的體系,而是在公司現有的內部控制和管理制度基礎上,借鑒COSO報告最新研究成果,將各部門、各崗位內部控制過程集合成較為系統的書面式文檔,它涵蓋了內部控制的五個方面,即內部環境、風險評估、控制活動、信息與溝通、持續監控,體現了公司內部控制的標準、原則和要求。在日常的生產經營活動中,應當隨著公司內外部環境的不斷變化,不斷更新和補充手冊內容,制定詳細的業務操作層面細則,提高手冊的可操作性與指導性,以期日漸完善。
通過編制《內部控制手冊》,建立一套科學、系統的內部控制的方法和規范,為公司內部控制建設、運行和維護提供指引,并作為建立、運行及評價內部控制的依據,從而確保公司上下從思想上、行動上對內部控制體系保持高度統一。
八、考慮成本效益原則
在整體系統的設計及在風險識別、評估和確定風險的優先次序方面,必須考慮成本效益的因素。
內部控制是公司為實現既定目標而在內部建立和實施的各種控制方法、措施和程序等所形成的控制機制。這些方法、措施和程序的建立與實施需要付出一定的成本,如設計控制環節、設置崗位、配備人員,確保各控制環節的運行等都必須付出的代價。而內部控制的效益則是內部控制的方法、措施和程序在公司得到良好運行所應達到的各種目標,即:保證財務報告的真實可靠,防止舞弊行為的發生;保證公司資產的安全完整,避免因浪費、盜竊或不當經營決策而產生的損失;改善公司經營管理,提高經營效率,規避經營風險;遵守現行的法律、法規和公司內部的管理制度。內部控制所應遵循的成本效益原則指的是只要公司建立和實施內部控制的效果大于其成本,就是經濟合理的,就應當設置和運行該項控制;反之,則不應當采用該項控制。
內部控制的成本是現時的,并在一定條件下是可以估量的;而控制產生的效益是建立和實施內部控制所達到的目標,是避免或減少風險和損失的可能性,很顯然這種效益是未來的、具有很大的不確定性。在體現價值最大化的經營管理理念的環境中,公司不得不考慮內部控制的成本與效益問題,在建立和實施內部控制時,在可能獲得的收益與不設置相應控制可能產生的損失之間做出理性的判斷,進行權衡和取舍。Z
參考文獻:
1.方紅星主譯,劉玉廷主審.《內部控制――整體構架》[M].大連:東北財經大學出版社,2008.
2.方紅星,王宏譯.《公司風險管理――整合框架》[M].大連:東北財經大學出版社,2005.
外包風險管理評估細則范文第4篇
中小企業內部控制要素分析
中小企業內部控制要素的整合必須借鑒國際通用的做法;基于內部環境構建企業的內部控制,借助風險評估手段、以信息與溝通為重要條件,控制企業經營管理活動,要素之間的互動與互補共同搭建起企業內部控制框架體系。提升政府監管的執行力,完善企業內部控制實施機制,將利益相關者各種行為納入企業績效考評體系,促進各要素形成一種合力。
(一)內部環境
內部環境是企業內部控制制度建立的基礎要素,也是執行與校驗企業內部控制機制的空間。企業的內部環境首先是研究公司內部組織結構的激勵機制以及權力的相互制衡的治理結構,然后是著眼點在于解決委托-問題的機構設置及權責分配,完善內部審計機制,實施富有創新理念的人力資源管理政策。
(二)風險評估
風險評估是實施內部控制的中心環節,其基本內涵是剖析和界定實現目標可能發生的風險,企業必須首先制定與業務相關的目標,界定出企業可控與非可控風險。在充分識別各種潛在風險因素后,運用定性與定量交融的方法,依照風險發生的概率及其影響深度,對識別的風險進行分類、分等,確定風險控制的優先順序。
(三)管控措施
管控措施是執行內部控制制度的策略和方法,是基于風險評估結果,遵循企業內部控制目標導向的具體方式和載體。內部控制的管控措施首先是嚴格執行不相容職務分離控制。不相容職務分離的核心是“內部牽制”,其次是程序授權審批應貫穿于企業在辦理各項經濟業務的全過程。再次是緊抓財產控制關鍵要點,妥善保管涉及資產的各種文件資料。
(四)信息傳遞與溝通
信息傳遞與溝通是有效實施企業內部控制的關鍵要素。企業在其經營過程中產生的大量信息,應依據經營管理的需要對這些信息進行識別、過濾、整合,提高信息的使用效率。信息的價值也必須借助傳遞和使用才能充分體現出來。企業應當將內部控制相關信息在企業內部各部門及有關人員之間進行溝通和反饋,實現企業內部控制流程與信息系統的有機融合。
(五)監督檢查
監督檢查是實施內部控制的重要保證,是企業對內部控制執行情況進行定期和不定期的監督檢查,對于發現的內部控制問題進行及時糾正,以確保企業內部控制的有效性。內部監督一般通過日常監督和專項監督方式來完成。
會計信息化對中小企業內部控制要素的影響
在會計信息化環境下會計技術手段與會計職能范圍都有很大革新與拓展。因而應深入分析會計信息化對中小企業內部控制要素的影響。
(一)會計信息化改變內部控制環境
會計信息化系統融合計算機及網絡數據處理技術,遵循會計做帳流程,除了數據錄入及參數設置外幾乎不需人工干預。會計信息化革新了傳統的內部控制方法與手段,保留了原有的手工時期基本賬務處理流程,但增設了基于信息化平臺的內控程序與操作要點。一般來講,實施會計信息化的企業會計部門常常劃分成會計信息收集組、會計信息處理組、決策分析組、系統維護組等。實施會計信息化后,企業的大部分內部控制功能遷移到以計算機流程化為基礎的運作系統之中,人機交互控制系統逐步替代傳統的人員控制系統。
(二)會計信息化拓展風險評估范圍
企業在實施會計信息化系統后,衍生出企業業務流程風險、模塊牽制風險和數據質量風險。這些風險都成為內控的關鍵要點,每一個關鍵要點失控都會產生牽一發而動全身的結果。實施會計信息化后,作為商業秘密的會計信息一旦被不法分子通過計算機病毒、口令字試探等手段竊取,有可能會使企業內部控制措施失效。因此,信息化是一把雙刃劍,一方面提高了內部控制的效率,另一方面也提高了系統的控制風險,加大了風險評估的范圍。
(三)會計信息化促使企業內部控制重點發生轉移
會計信息化的實施擴大了企業內部控制的范圍,傳統手工內部牽制制度已經發展到對系統開發過程的控制、調用和修改程序的控制等。信息一體化的發展,更是加速了企業與外部的信息傳遞頻率,以往清晰的內外分割日益淡化,內部會計控制的范圍不斷向延伸,進而加大了企業內部控制的難度。基于此,會計信息化條件下內部控制的重點將從崗位分離牽制向網絡安全、共享數據和人機交互處理的控制等幾個方面發生轉移。
(四)會計信息化增加企業內部監管強度
會計信息化的無紙化與信息集成化特性,使得不法分子產出更多的造假沖動。因此,會計信息化對控制和監督手段相比傳統手工階段要求更高、難度更大。在會計信息化條件下,企業內部審計業務更多地是選擇外包,內部審計外包加大信息資源安全性評估的難度。因此,實施會計信息化的企業,監督的范圍和深度將會不斷增大。會計信息化一方面使得監督效能大幅提升;另一方面卻是同比例地增加監督難度。
會計信息化背景下中小企業內部控制體系優化路徑
(一)推進企業內部信息資源共享
會計信息化后,企業業務系統與會計系統無縫對接,發生業務時,會計系統可以及時接收業務系統傳遞的數據,按照會計處理流程填制記賬憑證、對賬、記賬。這一過程都是在系統內部自動完成,人為干預的可能性大大降低,確保企業業務數據與會計數據的一致性。信息化的企業要充分發揮信息化共享與集中的優勢,隨著社會經濟一體化的發展,人們對信息的共享與集中提出了更高要求。因此,企業在推進信息化建設過程中,首先做好頂層設計,整體統籌規劃,其次,制定企業內部信息資源共享實施細則,有效落實企業信息共享機制。
(二)企業內部牽制制度優化
企業會計內部牽制制度是企業內部控制制度的一個重要組成部分。企業要依據相應的法律規范建立有效的內部牽制制度,實現不相容崗位分離與約束機制。為此,實施會計信息化的公司應采取中立的組織結構,打破傳統的垂直化組織體系,使決策組織與執行組織圍繞工作任務形成一個閉循環的組織結構體系。使相關的組織都能有效參與公司主體業務的處理與協同。通過企業內部牽制制度的優化,規范前端信息采集、中端業務處理、末端信息傳遞。
(三)風險管理機制優化
風險管理機制優化首先是在對企業經營過程中的風險進行識別、估測、評估的基礎上,優化整合各種風險管理技術,對風險實施有效的管控,從中歸納出共性的規律,挖掘管理系統的內在關聯及運行機理,使企業能在降低的經濟成本同時獲得最大收益。實施信息化的企業可以建立業務過程風險庫,風險自動識別與自動報警系統,以降低企業發生錯誤和舞弊的風險。同時,借助科學化的預算系統,理清集權與分權的關系,實現授權與制衡的融通交替,提高企業經營管理效能。事實表明,健全的預算管理能夠大幅度提高企業內部控制的約束力,最終提升企業經濟效益。
(四)內部監督管理機制優化
在會計信息化背景下,企業監督管理機制范圍不再是停留在企業內部系統,更是拓展到外部網絡系統。因此,企業內部監督管理機制應進一步規范與優化,將控制要點嵌入會計信息系統之中,從系統規劃、運行、維護全過程的控制,企業對會計信息系統建設的每個環節都要進行有效的控制,保證系統中融入的控制功能正確地發揮作用。內部監督管理機制優化的目標是創造一個開放的、透明的管理制度,建立一個順暢的內部溝通渠道,形成規范的、有章可循的管理制度。實施過程中可以建立完善業務部門的自我監督即管理監督、部門之間的監督即關聯監督和監督部門的專職監督三個層次的內部循環監督工作系統,實現對財政資金運行全過程動態監督。通過改進預算編制方法、嚴控銀行賬戶和資金撥付管理,加強對預算編制和執行的監督,同時通過外部專項檢查,檢測預算執行的真實性與準確性。
(五)外部監督體系優化
外包風險管理評估細則范文第5篇
一、現在:破繭
當年近62歲的謝企華從寶鋼集團總經理的位子退下時,外界一般認為,順利交接之后,她很快將不再擔任寶鋼集團的董事長,在超過“年齡門檻”后安享退休生活。2005年9月18日這個星期天的晚上,謝企華和國資委主任李榮融一起出現在央視《對話》欄目。人們才發現,她不僅不會離開董事長的位子,而且會成為另外一種意義上的董事長―― “規范的央企董事會”董事長。所謂“規范的央企董事會”,就是建立由國資委委派的外部董事和企業內部董事組成的董事會,逐步形成出資人、董事會、監事會、經理層各負其責、協調運轉、有效制衡的機制。這樣,國資委就可以把選擇經理人員,考核經理人員,決定經理人員薪酬、重大投融資等具體權力交給董事會。這只是央企改革的一個縮影。
(一)CFO開始主導業績管理
實際上,央企所屬的境外上市企業早就開始了大刀闊斧的改革,而變革的核心是建立股東利益至上的現代企業制度。中石油總會計師貢華章將公司的變革歷程分為計劃經濟時期、過渡時期、市場經濟時期和跨國發展時期四個階段。作為中石油的財務掌門人,貢華章先生早就在公司推動了以價值管理為基礎的財務變革,為中石油建立了一整套科學的考核指標體系,成為公司業績穩定增長的保障。
(二)上市公司的CFO開始參與股東關系管理
2006年的股權分置改革是一個多方博弈場。在這場博弈中,CFO顯得格外活躍。一位不愿透露姓名的上市公司CFO說,2006年幾乎整年都在與股東打交道,這在以前是不可想像的。CFO需要主導整個股權分置改革方案,與大股東、機構投資者和中小投資者溝通。機構投資者的問題非常直接,他們最想知道公司未來能實現多少利潤和現金流。而在股權分置改革的網上交流會中,中小投資者除了關注對價方案外,提問題最多的也是財務問題。圓滿地完成股權分置改革,使大股東、機構投資者和中小投資者都能支持股改方案,不僅需要知識、智慧,還需要溝通的技巧。
此次股權分置改革讓投資者看到了各種金融創新,這體現了CFO的才智;也看到了管理層的誠意,這使他們體會到了主人的存在。股權分置改革的意義不僅在于解決了股市的長期遺留問題,更重要的是轉換了上市公司經營者的理念。一位上市銀行的董事長在股權分置改革網上交流會上坦城地說,我們真正理解了股東支持的重要性,而股東的支持與管理層給股東帶來的回報是分不開的。經歷股權分置改革后,管理層終于認可了CFO在股東關系維護中的作用,畢竟機構投資者、中小股東更加看重財務數據。
(三)風險管理成為CFO的日常工作
CFO在傳統上只關注財務核算,公司的財務風險他們看在眼里、急在心上卻無能為力。一方面,缺乏活躍的衍生品市場來創造風險對沖工具;另一方面,即使存在風險管理手段,他們也瞻前顧后,因為做好了沒有激勵,做壞了要承擔責任。但現在,我們在上市公司公告中可以頻繁地看到CFO開始采用復雜的衍生品管理企業的利率、匯率和價格風險。
2006年7月28日,平安保險在香港聯交所公告稱,平安保險7月21日和中國工商銀行上海分行簽訂了年度總額不超3億美元的外匯掉期總協議。寶鋼集團在2005年年報中披露:與中國銀行、中國工商銀行及中國建設銀行簽訂了借款本金總計為200億日元、期限為5年的利率互換協議,其中中國銀行60億日元、中國工商銀行80億日元和中國建設銀行60億日元。
(四)CFO們開始參與準則制定討論
我國的會計規范一般采用自上而下的方式制定,由政府部門新的會計規章和實施細則,企業財務人員則依葫蘆畫瓢地遵照執行。在實務中遇到難題,則向主管會計事務的財政部門尋求指導。現在情況有了變化。一方面,財政部會計準則委員會強化了向企業征求意見的程序,另一方面,企業越來越關注會計準則的經濟后果。來自中國銀行的會計部門負責人稱,實際上我們行參與和跟蹤了金融工具會計系列準則制定的全過程,并詳細地評估了準則條款對中行財務狀況和經營成果的影響。
對關注會計準則不僅是CFO的事,企業負責人也開始意識到準則對企業的影響。南方某林業上市公司管理層對新制定的“生物資產”準則感到很不安,并反復上書與會計準則委員會溝通。原因是南方闊葉林與北方針葉林的特性不一樣,在“郁蔽期”后還有相當長的時間才能成材,如果達到“郁蔽期”即停止費用的資本化,將使企業的經營利潤受到很大影響,并引起利潤的波動。
CFO們參與準則征求意見稿的討論不僅有利于建立符合我國國情的會計準則,更有利于為投資者提供更為精確的財務報告和盈利預測,這對我國資本市場的長期穩定發展有重要意義。
(五)CFO在財務和會計領域的創新
成本管理是CFO們的看家本領,他們對此也精益求精。寶鋼集團的成本管理始于創立于1977年的寶山鋼鐵總廠,其成本管理的歷史可以寫成一本經典的教科書。成本管理一直是其管理致勝的秘密武器,而且每一個發展階段都會發展更為先進的成本管理技術。由于財務在集團中地位的凸顯,寶鋼財務管理團隊在公司一直備受重視。
CFO們在財務部門內部也開始了流程的變革。財務外包和共享服務中心是常見的手段。對于部分財務功能的外包和內部會計工廠的建立,光明乳業的CFO章國政功不可沒,且確實大大提高了財務效率并降低了財務成本。光明乳業董事長王佳芬對此亦是高度贊賞。銀行業內財務流程的變革是銀行近期管理的重心。交通銀行的一位博士后說,匯豐銀行的亞太單證處理中心就在陸家嘴,處理著整個亞太區的財務單據,效率實在太高了,交通銀行可能將來也要走這條路。
投資、融資體制的創新給CFO帶來了更大的空間。2006年5月15日,長江電力的認購權證方案獲中國證監會審核通過,每10股流通股股東將無償獲得1.5股的認購權證,行權價為每股5.5元。這是一個一箭雙雕的方案,一方面,妥善解決了非流通股問題,同時可募集約67億資金。在資本運作方面,公司在收購廣州控股11.189%的股份后,又閃電般出售了獲益不菲的中國建設銀行H股股份。
在與筆者的一次交流中,廣東紡織集團執行董事高深有感觸地表示,3年前在接受你們訪談時,我們談到了CFO的使命和轉型,那時預見到了市場經濟改革一定會給CFO帶來更大的空間,但沒有想到變化會這么快,一切都太快了。
二、未來:放飛
現在只是未來的一個起點。對于雄心勃勃的公司及其財務大臣CFO而言,財務的變革只是剛剛開始。市場經濟改革向縱深發展也將為CFO們提供更為廣闊的舞臺。
(一)股東價值創造理念逐步深入人心
國有企業一直因股東不到位而被詬病。股東缺位導致了管理層的機會主義行為,管理層的升貶獎懲也主要命系政府的一紙公文。現在這種局面已在逐步改變。破冰之旅始于國資委的成立和國資委所主導的現代企業制度變革。國資委成立伊始,就開始行使股東的真正職權,不遺余力地建立科學的公司治理機制。國資委2號令《中央企業負責人經營業績考核暫行辦法》的出臺意味著,央企管理層每年都要向股東交一份業績答卷。對于境外上市的央企而言,股東價值的理念早就根深蒂固。央企的改革將給地方國企的改革帶來示范和推動作用。在未來幾年,地方國企將加快改革步伐,并逐步向央企看齊。
上市公司的股東觀念要強于非上市國有企業。經過股權分置改革后,上市公司的管理層更加意識到股東支持的重要和給股東創造價值的必要。機構投資者的壯大也有利于約束管理層,因為對于機構投資者而言,最重要的還是業績,不論短期的還是長期的。中小投資者雖然多數情況下只能用腳投票,但他們投資行為的成熟將促進市場選擇的效率,使那些侵蝕股東利益的公司難以濫竽充數。在大股東持股不能流通時,他們的股權價值一般以賬面值來衡量,感受不到業績波動對其股權價值的影響。在可以流通后,他們突然發現以前的紙上富貴變成真金白銀,這些財富與其持股公司的業績密切相關,這將使他們更加著力于促進管理層為其兢兢業業地經營。
(二)CFO未來的工作核心
在股東利益至上的公司,擔負起價值管理重任的是CFO及其財務團隊。CFO的首要任務便是建立科學的業績管理體系。在《中央企業負責人經營業績考核暫行辦法》出臺后,起草該辦法的直接負責人國資委業績考核局局長李壽生指出,考核結果要與中央企業負責人的報酬掛鉤,逐步試行企業負責人年薪制。對于境外上市的央企而言,他們要面對國資委和境外投資者的雙重考核,他們早就按照跨國公司的管理要求,建立了完整的業績評價指標和考核機制。央企的實踐將成為其他上市公司、國有企業、甚至民營企業的樣本。
作為業績管理體系的一部分,期權激勵計劃正成為熱門詞,未來CFO將需要主導期權激勵方案的設計。2006年3月,萬科股權激勵方案揭開了面紗,媒體稱該長期激勵計劃彌補了好公司的唯一缺陷。5月30日,萬科股權激勵計劃在股東大會上順利通過。根據該計劃,如果每年的業績達到設定的指標,則按當年凈利潤凈增加額的一定比例提取激勵基金,通過信托管理方式委托信托公司買入公司A股股票。此后,美的、士蘭微、平安人壽、國光等公司也紛紛推出期權激勵計劃。上市公司實施期權計劃將成為普遍現象,而CFO則是設計師。
提供財務報告和盈利預測是CFO的天職。在新準則頒布之前,CFO只需要遵循準則和制度的要求,并沒有很大的自。未來,他們可以根據企業的實際情況制定自己的會計政策,即自己量身定做。這不僅需要與管理層溝通并解釋不同會計政策對公司財務報告的影響,最終形成自己的會計章程,而且要評判每項準則條款給企業帶來的經濟后果。這種經濟后果可能會直接或間接影響公司的現金流或經營模式。來自銀行的一位人士說,我們在把某類金融工具歸類為交易類金融工具或可供出售金融工具時,不僅要考慮管理的真正意圖,還要考慮這樣會不會產生短期行為,因為我們在進行績效考核時,要對這些金融工具采用市價,這容易導致業務經理從短期的價格波動考慮,而不是從長期的穩定收益考慮。會計信息的披露不僅僅是準則的遵循,企業需要審慎地選擇會計政策。
通過并購實現企業擴張是最快的途徑,在許多并購中CFO是始作傭者,也是主要的定價決策人,未來他們會有更多的參與機會至甚致主導并購。當非流通股和流通股的分割得到完美解決后,我們將在市場上看到一浪高過一浪的并購,這種并購不僅僅是TCL的內部整合,也不僅僅是武鋼、鞍鋼或上港集箱式的整體上市,更有可能是一百和華聯的換股吸收合并,或是維柴動力和湘火炬式的換股跨市場并購,或是更為激烈的股市要約收購。CFO將參與更多的定價、并購方式和對價支付方式的選擇。
未來風險管理和內部控制將成為CFO工作的重要部分。CFO們需要制定整合的風險管理方案,不僅包括市場風險的管理,而且包括完善的內控機制。一方面,由于國際資本四面出擊,商品期貨市場、利率、匯率的波動加劇,隨著我國外匯和利率趨于市場化,也會和國際市場聯動,企業的風險加大,風險管理對企業日趨重要。同時,我國的衍生品市場會迅速發育,CFO們提供更多的風險管理工具。另一方面,內控機制的有效性正成為監管部門關注的重點。美國SOX 404條款正為越來越多的國家效仿,我國財政部正致力于建立自己的內控規范,而上海交易所已了針對上市公司的內控指引。對于CFO們而言,這是一種升級版的風險管理。
擺在CFO案頭的工作還有很多,在我們調查的樣本中,多數CFO認為自己將會更多地參與公司戰略(73.9%)、更多地對內提供信息和決策支持(69.4%)、建立合理構架并優化財務流程(64.3%)、或建立更完善的財務制度(66.7%)。
