时间:2023-06-30 09:23:31
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇业务流程风险点,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
国际金融危机后,世界经济进入调整期,增长速度明显放缓。我国市场下滑的同时使得各类企业的发展步履维艰,而企业也面临着错综复杂的风险与难以应对的挑战。在这样的环境与背景下,企业必须将经营重点置于风险管理工作上,在关注外部风险的同时,更需要对内部的业务流程管理进行严格而科学的管控,如此才能在激烈的市场竞争中获取一席之地,并实现企业的可持续发展。基于企业业务流程管理对于抵抗风险的重要性,以流程管理为视角,对企业风险管理模式的构建进行分析与讨论,在当前的经济形势下,对于企业的生存与发展具有较强的现实意义。
关键词:
流程管理;企业;风险管理模式;构建
企业业务流程管理是以吸纳业务流程重组、流程再造思想与工具为支撑要素,采用综合性的方法强化组织战略,旨在强化业务操作的精细性与规范化的一种管理方式。对其进行合理运用可以降低企业运营成本,提高企业内外部响应速度,最终巩固企业抵抗风险的能力。以业务流程为入手点,将风险管理有效融入流程环节中,实现与企业现有管理框架的耦合,是构建基于流程管理方式下企业风险管理模式的主要途径,同时也是充分发挥风险管理工作有效性的必要手段。
一、流程管理概念综述
流程管理是一种综合性与系统性较强的管理方法。流程可以看作是一种路线图,主要涵盖以完成某项工作为目标,相关数据、信息、资料在不同单位、部门、人员之间传递的网络。流程管理的中心是规范化的流程构造,以该流程构造为核心,将各项工作任务分配到各部门或各岗位,以绩效体系为载体,对考核工作实施与落实,将目标与激励成功传导至企业各层次,使每位员工均明确自身岗位职责,从而推动流程的良性运转。与此同时,将系统性的工作进行流程化处理,可以清楚而详细地将若干作业项目和它们的关联人员及其相互工作关系进行描述,进而实现目标的精细化管控。流程管理包括流程梳理、流程优化、流程固化三个阶段。流程梳理是对企业现行完整业务内容与活动过程的摸底展现,在对企业流程体系进行规划与调整的同时,可以为企业内部实现全面流程管理思想普及和手段落实提供不竭动力;流程优化是在流程梳理的基础之上,具有选择性地运用流程管理理念及信息技术工具对重点业务领域及关键流程进行深层次的分析与优化;流程固化则聚焦于将经过分析优化的新业务流程,借助制度、标准、信息系统等多种形式提高管理工作的规范性与显性化。
二、构建基于流程管理的企业风险管理模式的可行性与现实意义
企业内部的一系列业务流程集成了企业的运营与发展,而所有单体业务流程中的活动或“子流程”是这些业务的支撑要素。基于此,要想推动企业稳定而高效的运营,需要以流程为着手点,提高其运作效率。现阶段,市场竞争愈发激烈,经过不断地迭代演变,风险管理已经成为大型企业内部管理不可或缺的组成部分,特别是在实际业务流程中融入风险管理思想与手段之后,业务流程经历了综合性与系统性的设计与改造,突破了以往各种“信息孤岛”的状态,从而初步构建了以流程管理为基础的企业风险管理模式。
1.企业风险管理与流程管理的目标一致企业要想充分发挥风险管理的功能作用,使之成为企业经济效益提升的支撑,首要任务是强化企业风险点的控制与管理,并提高其有效性。而流程管理在关注业务流程风险点的同时,还需要对流程成本、效益、质量等因素进行综合性考虑。以此看来,企业风险管理与流程管理在管理方法与关注点方面存在一定程度的差异,然而两者具有高度的目标一致性,且均统一于企业的战略目标,服务于企业的可持续发展。
2.流程管理是企业风险管理实现显性化的导向企业要想提高风险管理工作的可操作性与科学性,就必须将风险管理与流程有效地融合起来,构建以业务流程管理为基础支撑的风险管理模式,将错综复杂的风险管理活动进行转变,使其以流程输入、输出为导向,提高其动态化与层次性,同时以业务流程中无数个“工作流”为支撑要素,将关键控制点推送到业务流程中,将风险管理与业务流程有效融合,进而提高风险管理的显性化。
3.业务流程是企业开展风险管理的基础支撑作为一种循环流程,企业风险管理主要包括业务分析、业务流程梳理、风险识别、风险评估、提出风险控制策略、实施风险管控、管控效果反馈与改进等环节,因此其属于一种业务流程为支撑要素,以信息系统为平台,切实实施风险预警、监控与管理改进的闭环管理模式。其工作的开展与进行主要以企业各业务流程为依托,通过对风险点进行辨识,构建风险识别、分析、管控、改进等多环节为一体的风险管理框架,进而以业务流程为基础的风险管控机制,实现企业各业务重要运营活动与运营单元的安全管控。由此可见,企业风险管理与业务流程管理具有极为紧密的联系,企业开展风险管理需要以业务流程为基础支撑。
三、流程管理视角下企业风险管理模式构建的相关措施
要想构建并实施以流程管理为基础要素的企业风险管理模式,并提高其科学性与显性化,就必须将企业业务流程管理框架设计作为风险管理的头绪,采取由上而下或自下而上的互动方式梳理企业目标领域的业务流程,推动并实现每一层业务流程的目标,进而促进企业总战略目标的实现。最终将风险管理流程框架与具体业务风险管理流程有机结合起来,并在该体系中对风险点与关键流程管理环节进行详细描述,如此可以将流程管理有效的融入到企业风险管理工作中,提高风险管理工作的可行性与显性化。
1.确立基于流程管理的企业风险管理的“三道防线”为了构建基于流程管理的企业风险管理模式框架,首要任务是确立企业风险管理的“三道防线”,为实现基于流程管理的企业风险管理显性化创造有效的基础条件。以大型施工企业为例,第一道防线是经营部与采购部,主要涉及工作包括招投标、预决算、材料采购、设备采购等,施工企业需要注意招投标工程项目的前期评估和预测,并强化对招投标报价风险的控制,对合同进行科学化管理,同时需要构建有效的成本管理与分析系统;而关于预决算过程,施工企业需要对工程施工的所有影响因素进行充分的考虑,对其中的风险因素进行分析,提前做好应对措施;在材料与设备采购方面,施工企业需要通过证件检查与取样试验的方式,保证其使用性能与质量,避免材料与设备质量问题造成工程施工出现安全与质量问题。第二道防线是工程部与安监部。主要包括分包管理、质量控制、施工协控、设备安监、安全文明等工作,施工企业需要认清合法分包的界限,及时、规范、严谨地签订合同,并对各环节委托授权进行严格审查;在质量控制过程中,施工企业需要针对风险源与事故多发工序进行严格控制,规范施工工艺与操作行为,及时处理质量问题与安全隐患;而对施工中的机械设备进行定期的安全监督与检查极为必要,可以有效防止机械设备故障造成的工程安全与质量问题;与此同时,强化企业全体员工的安全意识,可以从根本上降低施工风险出现的概率。第三道防线是财务部与办公室。针对施工准备、施工过程、竣工结算等阶段,对施工直接成本与间接成本进行严格的决算与把控,并竭力在合同审查中为施工企业争取更多的经济利益;办公室需要加强行政、人事、信息等方面的管理,规范行政制度,强化企业员工的岗位责任心,防止信息泄露,充分发挥企业风险控制的辅助作用。
2.流程管理视角下企业风险管理体系设计企业需要以全部业务流程的构成情况为逻辑架构,并将其视为风险管理工作的骨架与脉络,在基于流程管理的企业风险管理体系设计过程中,首要任务是打破传统职能部门与组织机构的流程组织方式,对企业业务流程的顶层结构明确定义,并以分层方式对指导框架进行细化,对一层进行完善以后,才允许进行下一层指导框架的处理与构建。在基于流程管理的风险管理体系中,各单位的战略规划、业务流程与职责、业务流程图及目录梳理成果等是构成体系的基本要素与支撑,对企业各部门的主要业务职责和业务特点进行了集中反映;在该体系中,企业需要以企业的战略规划与规章制度作为牵引动力,为该体系的高效运转注入源源不竭的推动力量;与此同时,企业要想构建基于流程管理的风险管理模式,还需要对国际上流程框架的案例进行充分参考与借鉴,例如ERP模型、APQC模型等,借助这些案例,企业可以对价值链为线索的流程组织方式理解得更充分。
3.基于流程管理的企业风险管理模式的精细化分析以体系设计的角度来看,业务流程梳理是构建基于流程管理企业风险管理模式的必要条件。如图1所示,首先对企业各个业务流程的性质与涉及的领域进行分析与参考,从流程的始端对风险进行辨识评估和内控诊断,对业务流程框架进行确定。然后需要对该框架实施风险分析与缺陷认定,建立起风险管理与业务流程的接口,并在这个过程中对重点业务流程进行确定和明确,而后需要对风险信息与业务流程一一对应的关系进行绘制,最终编制出“风险—流程控制矩阵”。企业的部门管理者、业务复杂人或业务骨干均需要参与到业务梳理中来,形成一个负责流程梳理工作的团队,该团队需要任用不同的人才负责相应层次的业务梳理与描述,并扩展业务梳理的覆盖面与范围,保证覆盖到所有业务活动。提高该模式的精细化需要构建详细的流程细化模型,主要包括:规范合理的主流程模型、子流程模型、具体操作流程模型、各项模板及相关指导文件、其中各流程模型包含的责任主体及参与单位。提高基于流程管理的企业风险管理工作的精细化,有助于企业提高风险管理工作的规范性与科学化。
四、A企业构建基于业务流程的风险管理思路及措施
我国大型施工企业A企业开展了全企业范围内的风险管理流程,在确定了业务流程框架以后,按照重点风险排序,企业将物资采购选定为重大风险进行管理控制。企业将“基于业务流程”作为控制采购风险的入手点,围绕业务流程的关键控制点,对制度设计、职权行使与监管等方面的风险进行了排查与控制。第一步,该企业工作组针对物资流程,对其现状与环节进行了摸底,明确了流程设计中的不足与缺陷,与物资采购负责与监管部门协同合作,依照《企业内部控制规范》与企业运营实际情况,对物资采购制度与流程规范进行了完善与优化,提高物资采购的可行性、合理性与科学性;第二步,依照流程节点对物资采购的风险点进行明确,例如:采购方案的制订与选择、与供应商的合作、招投标或比价采购、合同的签订、货物的检查与试验、货款的支付等;第三步,对业务流程关键控制点依据所涉及的岗位进行风险辨识分析,对其中可能存在的物资采购风险进行排查,例如:招投标或比价采购过程中暗箱操作、审批流程存在缺陷、材料取样试验不严格等;第四步,充分结合定性与定量分析的方法,对物资采购风险发生的可能性进行分析,依据岗位工作重要性和控制金额两个因素对物资采购风险的影响程度进行描述与确定;第五步,制订物资采购风险评价标准,依据物资采购风险发生的概率与影响程度,进行分值的划分,依照从高到低的顺序,将风险发生概率与影响程度依照1、2、3、4、5五个等级进行归类;第六步,鼓励所有岗位人员评价物资采购风险重要性,而后编制物资采购风险排序表,进而绘制如图2所示的风险重要性水平图谱。图谱中,黑色区域(A)的风险等级为高危风险,A企业需要及时采取针对性措施予以防范、解决;灰色区域(B)为中等风险,A企业需要对此提高重视程度,并掌握其实时动态;白色区域(C)为低等级风险,通常情况下为企业可以接受的风险。依据物资采购风险重要性水平图谱,A企业可以高效、高质量地完成物资采购工作的风险控制。
五、结论
构建基于流程管理的企业风险管理模式具有较强的综合性与复杂性,该模式逻辑架构层次分明,具有较强的精细化与规范化,对于细化分析业务流程,明确业务流程中的风险环节与操作,凸显关键风险控制点具有较强的可操作意义。同时可以将具体的风险因素的排查与风险控制点的管控落实到相应部门,明确岗位“权、责、利”的科学分配,最终使业务流程成为桥梁,提高风险管理工作的固化与显性化,推动企业的可持续发展。
参考文献
[1]王锋.财务风险在经营活动中的定位[J].中国商贸,2015(,4):35-36.
[2]王怡文,柯柏成.美国企业高阶管理阶层对风险管理观念之剖析[J].中国内部审计,2015(,1):58-60.
[3]杜放,冯家杰.我国企业风险管理的现状、问题及对策探析[J].物流技术,2014(,23):103-105.
[4]程强,顾新.基于COSO风险管理的知识链知识转化风险防范研究[J].图书馆学研究,2015(,5):45-48,34.
流程的概念很多,ISO/IEC9000将之定义为一组将输入转化为输出的相互关联或相互作用的活动。企业由流程构成,Kaplan(2001)将企业定义为是一系列相互关联的活动或流程的集合,或是一个价值链。在IT环境下,流程可理解为“角色加活动”,即将流程描述为一个为实现特殊目的而合作且互相影响的角色的集合。早期人们对企业流程的理解大多局限于传统的业务领域;当IT逐渐与业务融合,并成为企业所有经营活动的驱动引擎时,流程的范围开始拓展,此时的IT流程与业务流程需要实现动态整合,即IT活动被看作是业务,并执行与业务相同的管理方式。因此,IT环境下的企业业务流程应该是广义的,同时包含IT流程和业务流程。美国公众公司会计监督委员会的第5号审计准则就指出,作为理解重大流程的一部份,审计师应理解IT如何影响公司的交易流程。
有些大的会计公司为了强调经营风险的审计方法,修改它们的审计辅助软件,以围绕业务流程组织审计证据,而不是按照传统的交易循环组织证据。关注业务流程的审计软件系统(Business-Process-Focused,BPF)通过价值链组织被审单位的信息;而传统的关注交易循环的审计软件系统(Transaction-Circle-Focused,TCF)是按照交易分类组织被审单位的信息。O''''DonnellE和JrJosephJSchultz(2003)的研究结果表明使用BPF软件的审计人员能识别出更多的风险情形,并将风险估计在恰当的水平;而使用TCF软件的审计人员对风险的识别和估计都较差。因此他们认为不同的信息组织形式会影响审计人员的决策判断。造成这种结果的原因在于业务流程关注事件之间的关联性,它通过情景引导记忆;而传统的交易循环关注的是交易分类,它通过语义引导记忆。因此,关注业务流程可降低任务的复杂性和认知难度。随后其他的研究人员也发现围绕业务流程开展内部控制的评估任务更为有效。
二、IT环境下基于流程的审计风险判断方法
为了协助审计人员运用自上而下的风险导向审计方法,国际审计和鉴证准则委员会于2005年制定了“在整个审计
过程中运用职业判断对重大错报风险进行更准确评估的框架和模型”。具体步骤如下:(1)了解企业及其环境(包括内部控制),识别风险,并在报表层次考虑交易性质、账户余额、披露;(2)将发现的风险与认定层次可能发生的错误与舞弊相联系;(3)考虑风险的重要性;(4)考虑风险的发生概率。这个风险判断思路也同样适用于IT环境。因此借鉴自上而下的审计方法,将流程作为IT风险判断的中间环节,改进了的IT环境下的审计风险判断方法具体实施步骤如下:
1.了解企业及其环境(包括内部控制)。我国2006出台的《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》列举了影响重大错报风险的因素:行业状况、监管环境以及其他外部因素,企业性质,目标和性质以及相关的经营风险,财务业绩的衡量和评级,内部控制。在IT环境下,识别和评价企业层面的风险和风险控制的有效性时,需特别考虑:(1)IT利益群体的风险及对IT利益群体控制的有效性,如IT治理;(2)企业层面的IT控制,如与IT相关的控制环境、风险评估、信息与沟通、监控、教育和培训等方面。
2.确定财务报告流程的核心要素。根据企业层面的风险评估结果识别重大账户、重要披露及与之相关联的认定。
3.识别关键业务流程。审计人员首先要识别与上述重大账户、重要披露、认定相关联的关键流程及流程所包括的主要交易,同时识别流程中易发生错误和舞弊的关键点(控制点)。为了判断业务流程能否实时预防或检测错误和舞弊,审计人员要识别出需要被测试的控制点,由于业务流程大多基于IT,因此要确定这些控制点哪些是依赖IT的,然后识别并证实关键的IT功能。
4.确定与IT功能相对应的应用系统的范围。详细列出与这些IT功能相关的应用系统和与之关联的子系统,包括交易应用系统和支持性应用系统。交易应用系统在处理组织内的数据时通常提供以下功能:(1)通过借贷关系记录交易的价值数据;(2)作为财务、经营和法规数据存放的仓库;(3)能够生成各种财务和管理报告,包括销售订单、客户发票、供应商发票以及日记账的处理。支持性应用系统并不参与交易的处理,但方便了业务活动的进行,如Email程序、传真软件、设计软件等。
然后IT审计人员与财务审计人员合作,从列示的子系统中识别出支持授权、复杂计算、维护重要账户(如存货、固定资产、贷款等)的完整性的重要应用系统。应用系统是否重要,需要考虑:交易量(交易量越多,应用系统越关键)、交易金额(金额越大,应用系统越关键)、运算的复杂性(运算越复杂,应用系统越关键)、数据和交易的敏感度(敏感度越大,应用系统越关键)。为应用系统提供IT服务,或者支持应用系统关键环节的IT一般流程即为需要进行IT一般控制测试的范围。
5.识别管理和驱动这些重大应用系统的IT流程。识别所有支持这些应用系统的基础设施,包括数据库、服务器、操作系统、网络,以及与之相关联的IT流程。判断这些IT流程的风险和相关的控制目标。识别出需要被测试的IT一般控制,进而判断其是否符合控制目标。控制测试结果将影响与之相关的IT应用控制的评价、业务流程的风险评价。对这些流程和系统进行风险和控制评估后,就可以制定风险控制矩阵。
6.评价IT控制、分析业务流程风险。结合对IT一般控制的评估结果和对业务流程中IT应用控制的评估结果,就可以分析关键业务流程的IT风险控制情况。此时的IT控制测试和人工控制测试要结合起来予以考虑,即将二者作为一个整体的测试对象。业务流程的风险是与业务流程所关联的一系列交易活动、账户群的余额、列报(包括披露)认定层次重大错报风险相联系的,因此,业务流程风险的评价结果构成了认定层次重大错报风险评估的直接基础。
7.评估电子证据证明力、设计实质性测试程序。审计人员可根据上述步骤的风险评估结果判断某一业务流程的电子审计证据的证明力并设计与业务流程有关的账户群的实质性测试程序。
通过上述7个步骤,审计人员可以将IT环境下的企业风险因素与报表层次和认定层次的重大错报风险相链接,同时也为电子审计证据证明力(即检查风险的判断)提供了依据。
参考文献:
[1]顾晓安,基于业务循环的审计风险评估专家系统研究[J].会计研究,2006(4):23-29.
[2]O''''DonnellE,JrJosephJSchultz.TheInflueceofBusiness-Process-FocusedAuditSupportSoftwareonAnalyticalProceduresJudgements[J].Auditing:AJournalofPractice&Theory.2003,22(2):265-279.
关键词:业务流程 ERP应用 风险审计
一、基于业务流程转变实施ERP应用风险审计的必要性
(一)ERP系统上线后业务流程发生根本性变化
ERP系统实施以前,许多基于计算机的业务系统,基本都是围绕某一业务功能或者是职能部门运行的,比如远光财务系统、远方物流系统等。这些系统都不是基于跨部门的流程来设计的。ERP系统中单一的数据库,使过去跨部门的审批流程得到简化和压缩。压缩所造成的一个结果是,用于企业内部控制的许多审计线索在ERP系统的引入后消失了。同时,企业过去基于文件审批的内部控制机制,也无法适应ERP基于流程的管理需要。
(二)ERP的系统特性对公司的风险管理提出了新的要求
实施ERP系统后,公司所遇到的业务风险一般来自四个方面:业务流程、应用架构、数据质量和技术架构。其中,业务流程的转变对企业内部控制的影响最大,对企业内部管理和财务方面的监控提出了新的要求,这方面的风险特征相比过去发生了根本性的变化。
二、基于业务流程转变实施ERP应用风险审计的主要途径
基于业务流程转变实施ERP应用风险审计是针对由ERP系统实施所带来的新的业务控制风险,对公司内部控制体系做出重新评估和完善。通过充分评估ERP环境中的控制方式,一种是基于系统的控制,另一种是基于流程的控制。将由于“流程自动化”带来的内部控制可能的削弱作为风险敞口进行重点审查。结合流程追溯法、循环测试法、实时审计法、系统辅助法和专家分析法五种ERP风险审计方法,合理运用了风险审计步骤,从风险描述、风险成因、风险影响、风险评价多个维度对ERP应用风险性质、影响结果进行详细的定性分析。
三、基于业务流程转变实施ERP应用风险审计的具体做法
(一)审前准备阶段
1、制定审计目标
ERP系统是建立在对业务流程进行优化重组的基础之上的,针对由ERP系统实施所带来的新的业务控制风险,我们需要对公司内部控制体系做重新评估和完善。在审计目标的确立上应考虑:一是业务流程的转变打破了原有的权力分配模式,触动了一些部门或个人的利益,系统上线后能否按既定的模式运行以及运行效果如何?二是由于上线时间紧迫,实施时设定的业务流程是否是最佳流程?三是即使当时是最佳的业务流程,也会因为上线后运行环境的变化而有进一步优化的必要?
2、选择审计范围
ERP系统覆盖生产、采购、设备、财务、人资等公司运营管理的各个层面。在审计范围的选择上如果对每个流程和控制点都进行风险评估在资源的利用上是非常不经济的。因此,对ERP应用风险审计范围的选择应采取逆向思维的方法,首先从公司整个业务风险域中寻找具有最大风险的业务流程,进而确定有哪些ERP模块在支持这些业务流程。在实施过程中,通过对各模块关键用户的访谈,来确定评估范围。
3、确立审计内容
在ERP环境下,舞弊和错误均由原来的手工操作变成了由系统程序来完成,不留任何纸面痕迹,从而使风险更加隐蔽、层次更高、内涵更深,风险识别、评估和应对的难度更大。首先对ERP系统的薄弱环节进行风险分析,进而确立基于业务流程转变可能引发的风险类型,得出下列结论:一是伪造数据输入的舞弊类风险;二是错误数据输入的数据质量风险;三是应用操作控制变化的系统用户授权风险;四是应用层面的操作风险;五是脱离ERP业务流程的非集成风险;六是运行过程中的流程风险。
(二)审计现场实施阶段
1、流程追溯法
审计时遵循溯本求源的思路,提高对风险的识别和评价能力,根据追溯结果判断审计事项的发展方向,明确相关审计事项,评价风险应对措施的适应性及有效性,并提出进一步改进的意见。这种方法适用于伪造数据输入的舞弊类风险。
以项目模块中ERP环境下的虚构项目为例,在ERP项目模块中,根据项目管理流程,设计了相应的操作流程,这些ERP操作环节除了项建阶段涉及上级公司权限外,均要涉及公司工程管理相关部门,包括项目管理部门、物资部门、财务部门,整个流程因牵涉多个部门,会形成一定的内部牵制机制。但如果出现公司管理层主导的集体伪造ERP数据时,从项目WBS的创建、物资的采购、出入库、项目的服务确认、项目的竣工财务转资等流程一路绿灯,配套的物资采购合同、出入库单据、服务合同、发票、开竣工资料、工程决算资料等纸质资料和签字手续一应俱全。那么在ERP中运行的整个工程项目流程只能是一条经人为虚构的“完美”流程。
2、循环测试法
审计时通过查找各模块中的非集成业务风险,通过对比某一具体业务在单项功能中的运行结果和在系统集成功能下的运行结果,进而从ERP内部控制环境中寻找流程控制的风险点。这种方法适用于脱离ERP业务流程的非集成风险和运行过程中的流程风险。
以物资模块中线外采购为例,在ERP物资模块中,根据物资管理流程,从采购订单-发票校验-材料入库-材料出库有特定的业务流程,而往往对于成本中一次性消耗的大宗物料非集成风险频数较高,这类业务经常是绕过“线上”的ERP业务集成而直接采用“线下”的总账凭证在财务模块实现。这类业务涉及物资金额大、数量多,存在很大的二级库管理风险,如ERP系统外物资管理流程缺失的话,很容易造成物资流失。
3、实时审计法
审计人员可以根据需要实时收集自已感兴趣的资料,并通过系统将这些资料实现共享,从而进行实时审计,以弥补事后审计线索不充分的缺陷,为事前、事中审计创造条件。这种方法适用于错误数据输入的数据质量风险和应用层面的操作风险。
参考文献:
[1]王晓霞.企业风险审计(第二版).中国时代经济出版
[2]皮克特.风险管理过程审计(英).东北财经大学出版
[3]李瑛玫.信息化环境下独立审计风险研究.知识产权出版社
在构建内部控制体系的实际工作中,最重要的环节是《关键控制管理文件》的建立,本文将重点对《关键控制管理文件》的编制做具体介绍。
一、《关键控制管理文件》的编制程序
按照一致性、先进和实用相结合、继承与完善相结合、可操作性等原则,根据国家相关法律法规以及抚顺石化相关管理制度和管理现状的需要,依照以下程序编制《关键控制管理文件》:
(一)在抚顺石化内控项目组(以下称项目组)拟定的《关键控制管理文件》的基础上,由各专业管理流程编制人员(以下称编制人员)制定《关键控制管理文件》初稿后,再经复核人员审查。
(二)中国石油总部项目组和外部专业人士对审查后的《关键控制管理文件》初稿进行审阅,提出咨询意见,再由编制人员修改后,报抚顺石化领导和一级流程负责人审定。
(三)经项目组负责人员审查后,形成报审稿,报中国石油内部控制体系建设委员会最终审定后,执行。
二、《关键控制管理文件》的主要内容
(一)关键控制管理文件说明。该部分主要说明了《关键控制管理文件》的编制依据、主要内容、实施要求,便于所属单位贯彻实施。
(二)重要业务流程目录。该部分反映了与中石油总部《关键控制管理文件》进行对应后形成的抚顺公司的13个一级流程、100个末级子流程的总体情况。
(三)业务流程图。业务流程图是在对控制现状进行梳理的基础上,对相关业务流程的主要控制环节、控制步骤和操作程序进行的规范性描述。在此次完善业务流程图时,重点对关键控制点涉及的流程图进行了修订。
(四)关键控制文档。以中石油总部关键控制文档为蓝本,描述公司涉及的全部关键控制、重要风险、实施证据和制度索引。
(五)风险控制文档。涉及关键控制流程对应的风险控制文档,重点对关键控制涉及的控制措施予以强化,确保关键控制涉及的各项风险关键控制得到关注。
(六)程序控制文件。程序控制文件是对相关业务流程进行风险控制分析后,对流程的适用范围、风险、部门职责、控制、控制证据及管理制度索引进行规范描述的制度文件。
(七)制度索引表。对关键控制涉及的相关内控制度予以对应索引,有利于各项的持续改进和不断完善。
三、《关键控制管理文件》的编制步骤
(一)明确重要业务流程
1.项目组将中石油总部《关键控制管理文件》中确定的重要业务流程目录,与抚顺石化公司前阶段确定的业务流程目录进行对应,结合抚顺石化公司管理实际,确定抚顺公司《重要业务流程目录》初稿。抚顺石化公司重要业务流程将13个一级流程、100个末级子流程纳入《关键控制管理文件》的编制范围。
根据重要业务流程目录,对各主要业务流程及其风险点进行描述,形成初步业务流程图和风险控制文档。
2.与中石油总部重要业务流程的差异:一级流程与中石油总部确定的一级流程一致。但末级子流程方面,根据抚顺石化的具体业务情况,减少了拆迁管理、地质勘探支出、证实石油储量、油气成本核算、原油销售、天然气销售、成品油零售、成品油批发、现收货款、国债回购、资产委托管理、定期结算、债务管理(除或有负债外的6个子流程)、对外财务报告(总部)共计18个末级子流程;并对涉及存货、账户管理、内部资金划拨、票据管理、对内财务报告、会计业务处理、合同与纠纷等7个子流程进行了不同程度的细分。
(二)编制关键控制文档
按照中石油总部《关键控制管理文件》已确认的关键控制文档的描述,对应抚顺石化重要业务流程中相关的控制点,修订出适合企业实际业务的关键控制文档。对本企业从未发生的业务,涉及的关键控制不再列入关键控制文档。
需要注意的是,在编制本企业关键控制文档时要对控制措施进行准确的描述,不能随意扩大其外延或压缩其内涵。比如,某关键控制描述为A岗位审核某数据。实际风险控制中A岗位审核某数据之前的申请或提报以及之后的交接,如果无其他关键控制约束,则不应列入关键控制。有关A岗位审核的事项,则需要完整清晰地描述。随意扩大关键控制范围则会引起测试样本量的增加,有意缩小则易造成关键控制无效。
(三)持续改进业务流程图
根据前期已确认的重要业务流程及描绘的业务流程图,重新进行全面梳理和拆并,使描述的业务流程图更加符合企业的业务流程现状。
流程图式样的细节方面,在中石油总部流程图式样的基础上,针对流程图图标、背景、流程编号、风险与控制点位置、职能带宽度、框架边距、结束标记等进行了修订。
(四)修改完善风险控制文档
1.风险控制文档修改的总体情况
抚顺石化100项重要业务流程,全部编制了风险控制文档,并已进行了全面的修改和完善。设置风险点409个,控制654 条;其中重要风险258个,关键控制266个。
与中石油总部《关键控制管理文件》中相对应的关键控制减少95条。其中:因没有相关业务流程而减少重要风险5个,减少关键控制5条;因属于板块和股份公司的业务而减少重要风险90个,减少关键控制90条。
2.修改风险控制文档的过程
对于一级流程风险控制文档中关键控制描述的修改,应将中石油总部《关键控制管理文件》中对关键控制的描述与本企业前期描述的风险控制文档中的相关控制进行一一对应,区分情况,对差异分别进行处理:原风险控制文档描述不完善、表述不准确的风险、控制、措施,按照中石油总部提供的示范予以修改;缺失的关键控制,分析原因,予以补充、完善。对于风险控制文档中一般控制也应按照中石油总部项目组提出的相关要求和关键控制中的示范格式,予以完善。
对末级流程风险控制文档中,无关键控制的,则不再列入关键控制管理文件。涉及关键控制的,即使只有一个,也需将同一末级流程的其他非关键控制措施纳入关键控制管理文件。
对于关键控制应在风险控制文档上标注编号,与关键控制文档进行对应。规范风险控制文档格式,统一标准。对风险控制文档中风险类别、控制目标、控制方法、控制频率、制度文件索引等其他要素进行完善。
3.修改完善过程中应注意的问题
(1)重点关注中石油总部《关键控制管理文件》中确认的关键控制在抚顺石化原风险控制文档中的相关描述,做到关键控制无遗漏。
(2)以流程顺序、控制步骤为主线,对风险控制进行描述,做到控制描述前后连贯、系统,不重不漏。
(3)控制描述要做到要素齐全、层次清晰、表述准确。
(4)控制描述以抚顺石化的管理现状为基础,结合总公司、炼油与化工专业分公司管理制度和要求,确定相关控制规范。
(5)对抚顺石化重要业务流程,如长期投资管理、采购、销售、存货管理、资金管理、固定资产管理、会计核算、财务报告等,予以特别关注。
(五)收集、整理、规范关键控制证据
1.收集、整理规范关键控制证据的总体情况
抚顺石化内控项目组共收集了证据示样221份,规范实施证据114份。项目组确认关键控制示范证据示样114份,涵盖了100项重要业务流程。这些控制证据的收集和规范,对于保障关键控制的实施,强化公司基础管理水平将起到重要作用。
2.收集、整理规范关键控制证据的过程
(1)确定关键控制证据目录。抚顺石化针对关键控制,对于控制过程中控制力相对较强、具有示范意义的控制证据,确认为关键控制示范证据。如一些经常性检查工作无证据的,可采取工作日志作为证据。
(2)按照规范、统一、合理的原则,对关键控制证据的设计格式、控制要素、控制作用进行逐项审定。
(六)收集、整理、修改、补充管理制度
1.收集、整理、修改、补充管理制度的总体情况
抚顺石化共收集《关键控制管理文件》涉及的管理制度132个,其中,抚顺公司制定管理制度88个,股份公司管理制度32个,国家财政、税务等部门管理制度12个。本次收集的289个抚顺公司管理制度中,拟对110个管理制度进行修改完善,拟新制定《租赁管理办法》、《或有负债管理办法》,《无形资产管理办法》等32个管理制度。这些管理原则,基本涵盖了风险控制管理文件中的各项控制措施。
2.制度修改、完善关注的主要问题
(1)全面收集控制相关的管理制度,确保相关控制都应有相关制度作支撑。
(2)对于缺失的管理制度,进行补充。
(3)对于描述不准确、不完整、与控制有矛盾的制度条款进行修改。
(4)除收集本企业制定的管理制度外,还应收集整理国家有关制度、总公司以及炼油与销售专业分公司相关管理制度。
(七)编制程序控制文件
抚顺石化在进行上述几项工作后,将相关业务流程的适用范围、风险、部门职责、控制、管理制度索引、控制证据、控制证据示范等内容进行全面归集,从而形成业务流程规范性的程序文件。其中,关键流程风险控制文档中的非关键控制措施也要在控制文件中描述。抚顺石化对全部100项重要业务流程编制了控制程序文件。
四、编制《关键控制管理文件》的经验
第一,集中办公,提高工作效率。关键控制编制阶段的专业性较强,炼化企业人员构成中,专职负责内控工作的财务、审计人员较少,因此要充分发挥各处室业务骨干作用,集中人员,集中办公,提高沟通协调效率。
第二,统一关键控制文档模板。一方面,模板不统一会造成要素不全;另一方面,模板不统一,不易进行汇编,会给其后印刷制册工作带来很多工作量。
第三,合理分配人员。受各部门业务分工的局限,有些业务流程涉及专业多,要注意协调流程间的接口;有些部门涉及流程较多,工作量大,特别是财务内部流程,容易造成工作量不平衡。因此,要注意人员的合理分工,忙闲结合,按期完成各阶段的控制目标。
第四,加强二次培训。因内控工作专业性较强,一些语言晦涩难懂,在培训上要加大力度。对操作性的关键环节,要明确目标,示范举例;确保项目的实质内涵清晰,通过提供足够的标准文本,避免发生猜测与臆想;采用选择或填空的方法,解决表单填写的技术难题。
[论文摘要]现代风险导向审计是以被审单位的经营风险为出发点,将“发现的风险因素同认定层次可能发生的错误相联系”是审计风险判断的关键。但传统的审计方法并未明确指明如何将两者相联系,也并未考虑IT带来的影响。在IT环境下,审计风险判断应以流程(包括业务流程和IT流程)为中间环节,建立基于流程的审计风险判断方法。
现代风险导向审计以被审单位的经营风险为出发点,相关的风险评估结果是评估财务报表层次和认定层次重大错报风险的基础。审计风险虽源于重大错报风险,但审计人员最终都要通过对报表各项目的审计发表财务报表审计意见,因此风险评估必须与各类交易、账户余额、列报的认定相联系。将“发现的风险因素同认定层次可能发生的错误相联系”是审计风险判断的关键。但传统的审计方法并未明确指明如何将两者相联系,而且也未关注IT环境下如何将风险因素与认定层次可能发生的错误相联系。在IT环境下,业务流程及其支持流程——IT流程,都是链接风险因素和认定层次可能发生错报的中间环节。在高度自动化的企业环境下,审计证据的证明力依赖于IT相关风险的控制情况。因此,有必要改进IT环境下的审计风险判断方法。在IT环境下,审计风险判断应以流程(包括业务流程和IT流程)为中间环节,建立基于流程的审计风险判断方法。
一、流程对审计风险判断具有重要意义
流程的概念很多,ISO/IEC 9000将之定义为一组将输入转化为输出的相互关联或相互作用的活动。企业由流程构成,Kaplan(2001)将企业定义为是一系列相互关联的活动或流程的集合,或是一个价值链。在IT环境下,流程可理解为“角色加活动”,即将流程描述为一个为实现特殊目的而合作且互相影响的角色的集合。早期人们对企业流程的理解大多局限于传统的业务领域;当IT逐渐与业务融合,并成为企业所有经营活动的驱动引擎时,流程的范围开始拓展,此时的IT流程与业务流程需要实现动态整合,即IT活动被看作是业务,并执行与业务相同的管理方式。因此,IT环境下的企业业务流程应该是广义的,同时包含IT流程和业务流程。美国公众公司会计监督委员会的第5号审计准则就指出,作为理解重大流程的一部份,审计师应理解IT如何影响公司的交易流程。
有些大的会计公司为了强调经营风险的审计方法,修改它们的审计辅助软件,以围绕业务流程组织审计证据,而不是按照传统的交易循环组织证据。关注业务流程的审计软件系统(Business-Process-Focused,BPF)通过价值链组织被审单位的信息;而传统的关注交易循环的审计软件系统(Transaction-Circle-Focused,TCF)是按照交易分类组织被审单位的信息。O’Donnell E和Jr Joseph J Schultz(2003)的研究结果表明使用BPF软件的审计人员能识别出更多的风险情形,并将风险估计在恰当的水平;而使用TCF软件的审计人员对风险的识别和估计都较差。因此他们认为不同的信息组织形式会影响审计人员的决策判断。造成这种结果的原因在于业务流程关注事件之间的关联性,它通过情景引导记忆;而传统的交易循环关注的是交易分类,它通过语义引导记忆。因此,关注业务流程可降低任务的复杂性和认知难度。随后其他的研究人员也发现围绕业务流程开展内部控制的评估任务更为有效。
二、IT环境下基于流程的审计风险判断方法
为了协助审计人员运用自上而下的风险导向审计方法,国际审计和鉴证准则委员会于2005年制定了“在整个审计
过程中运用职业判断对重大错报风险进行更准确评估的框架和模型”。具体步骤如下:(1)了解企业及其环境(包括内部控制),识别风险,并在报表层次考虑交易性质、账户余额、披露;(2)将发现的风险与认定层次可能发生的错误与舞弊相联系;(3)考虑风险的重要性;(4)考虑风险的发生概率。这个风险判断思路也同样适用于IT环境。因此借鉴自上而下的审计方法,将流程作为IT风险判断的中间环节,改进了的IT环境下的审计风险判断方法具体实施步骤如下:
1.了解企业及其环境(包括内部控制)。我国2006出台的《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》列举了影响重大错报风险的因素:行业状况、监管环境以及其他外部因素,企业性质,目标和性质以及相关的经营风险,财务业绩的衡量和评级,内部控制。在IT环境下,识别和评价企业层面的风险和风险控制的有效性时,需特别考虑:(1)IT利益群体的风险及对IT利益群体控制的有效性,如IT治理;(2)企业层面的IT控制,如与IT相关的控制环境、风险评估、信息与沟通、监控、教育和培训等方面。
2.确定财务报告流程的核心要素。根据企业层面的风险评估结果识别重大账户、重要披露及与之相关联的认定。
3.识别关键业务流程。审计人员首先要识别与上述重大账户、重要披露、认定相关联的关键流程及流程所包括的主要交易,同时识别流程中易发生错误和舞弊的关键点(控制点)。为了判断业务流程能否实时预防或检测错误和舞弊,审计人员要识别出需要被测试的控制点,由于业务流程大多基于IT,因此要确定这些控制点哪些是依赖IT的,然后识别并证实关键的IT功能。
4.确定与IT功能相对应的应用系统的范围。详细列出与这些IT功能相关的应用系统和与之关联的子系统,包括交易应用系统和支持性应用系统。交易应用系统在处理组织内的数据时通常提供以下功能:(1)通过借贷关系记录交易的价值数据;(2)作为财务、经营和法规数据存放的仓库;(3)能够生成各种财务和管理报告,包括销售订单、客户发票、供应商发票以及日记账的处理。支持性应用系统并不参与交易的处理,但方便了业务活动的进行,如Email程序、传真软件、设计软件等。
然后IT审计人员与财务审计人员合作,从列示的子系统中识别出支持授权、复杂计算、维护重要账户(如存货、固定资产、贷款等)的完整性的重要应用系统。应用系统是否重要,需要考虑:交易量(交易量越多,应用系统越关键)、交易金额(金额越大,应用系统越关键)、运算的复杂性(运算越复杂,应用系统越关键)、数据和交易的敏感度(敏感度越大,应用系统越关键)。为应用系统提供IT服务,或者支持应用系统关键环节的IT一般流程即为需要进行IT一般控制测试的范围。
5.识别管理和驱动这些重大应用系统的IT流程。识别所有支持这些应用系统的基础设施,包括数据库、服务器、操作系统、网络,以及与之相关联的IT流程。判断这些IT流程的风险和相关的控制目标。识别出需要被测试的IT一般控制,进而判断其是否符合控制目标。控制测试结果将影响与之相关的IT应用控制的评价、业务流程的风险评价。对这些流程和系统进行风险和控制评估后,就可以制定风险控制矩阵。
6.评价IT控制、分析业务流程风险。结合对IT一般控制的评估结果和对业务流程中IT应用控制的评估结果,就可以分析关键业务流程的IT风险控制情况。此时的IT控制测试和人工控制测试要结合起来予以考虑,即将二者作为一个整体的测试对象。业务流程的风险是与业务流程所关联的一系列交易活动、账户群的余额、列报(包括披露)认定层次重大错报风险相联系的,因此,业务流程风险的评价结果构成了认定层次重大错报风险评估的直接基础。
7.评估电子证据证明力、设计实质性测试程序。审计人员可根据上述步骤的风险评估结果判断某一业务流程的电子审计证据的证明力并设计与业务流程有关的账户群的实质性测试程序。
通过上述7个步骤,审计人员可以将IT环境下的企业风险因素与报表层次和认定层次的重大错报风险相链接,同时也为电子审计证据证明力(即检查风险的判断)提供了依据。
参考文献
一、合规风险管理与流程银行建设的关系
(一)流程银行建设有助于健全合规风险管理体系
流程银行以客户为中心,以市场为导向,强调内部主要业务条线的系统管理和统一核算,其核心是根据客户类别,将业务分设成一系列能快速反应和满足客户需求的业务流程,并将经营决策点直接定位于业务流程执行的地方。流程银行建设要求全面梳理商业银行现有规章制度,对业务流程的划分、边界的界定、流程的协调等建立详细的操作规程和要求,对员工的业务处理流程和行为规范进行严格监控和约束。流程银行的建设过程是严格审核商业银行流程是否合规的过程,通过对每一流程的合规评估,让隶属不同部门的流程按照合规操作、规避风险的目标重新组装,建立覆盖所有业务和涉及业务全过程的内部管理体系,构筑全方位、立体交叉的监督管理网络,这有助于发挥合规风险预警作用,实现对风险的识别、评估、量化及管理,最终形成职责明确、决策科学、执行有效的合规风险管理运行机制。
(二)有效合规风险管理有助于保障流程银行建设
合规风险管理要求将适用的法律、法规和准则落实到业务运营、管理和风险控制等环节或流程中去,识别、评估和管理相应的风险点,使各项经营管理活动流程化并与外部法律、法规和准则相一致,从而在根源上控制合规风险的发生。按照合规风险管理的理念,流程银行建设必须完善法人治理,以“一线为客户服务,二线为一线服务”为经营理念,以“组织为流程而定,提升决策和反应效率,有效管理和风险控制”为原则进行部门设置,灵活构建前台营销服务职能完善、中台风险管理严密、后台保障支持有力的组织架构。合规风险管理是流程银行建设的微观基础,有效的合规风险管理通过不断整合银行业务和优化管理运行体系,梳理业务流程的风险点,管控日常操作中的不合规行为,有助于建立健全完善的流程银行制度。
二、邮储银行上海分行流程银行建设的实践
流程银行是当前国内外商业银行普遍采用的经营管理模式,是邮储银行改革组织和经营体制落后现状,向现代商业银行转变的战略选择。
(一)再造经营组织架构
2013年,邮储银行上海分行在总行部署下启动机构改革,结合市场需求和自身实际对分支行内设部门进行有效整合,建立起适应流程银行建设标准的组织架构。组织架构再造本着以流程决定岗位设置、以岗位设置决定部门设置的思路,将分行内设部门划分为营销及产品部门、风险管理部门、支持与服务部门三个版块,强化一线营销职能,强调部门间的制衡与协作。在对业务流程优化基础上,以“加强控制、规范流程、提高效率”为前提,兼顾内部控制与运行效率、兼顾风险管控与业务发展、兼顾风险成本与提升盈利,对信贷、资金等业务条线按照前、中、后台严格分离进行重新整合与定位,印发《分支行各委员会和各内设部门主要职责》对部门职责及其在流程管控的位置进行明确,力争做大前台、做精中台、做强后台。
(二)规范规章制度管理
科学的内部规章制度体系是确保业务流程能有效执行的制度保证,是提高流程控制质量的有力助手。邮储银行上海分行多管齐下,加强规章制度的管理:一是规范规章制度制定行为,出台《规章制度管理办法》对规章制度的起草、审查、审批与执行、修订与废止等流程予以明确,保障了规章制度的质量和效力。二是开展合规审查平台建设,建立合规审查机制,对新产品、新业务、新制度进行合规审查,确保其出台符合监管规定。三是定期进行制度梳理,一方面对监管新规,实时跟踪,进行合规分析与提示,确保行内规定符合监管要求;另一方面在内部风险排查、业务流程改造等基础上,对现有制度进行梳理与调整,对已经失效的、与现行政策不符的、操作性不强的制度及时进行修改调整到位。四是扎实推进《业务行为规范手册》的编制、实施与推广工作,通过对信贷、对公结算、个金等业务流程和风险点的梳理,提出控制措施,帮助员工实现业务行为的自我规范。
(三)强化业务流程管控
邮储银行上海分行以“事前防范、事中控制、事后评价”为原则,将全流程管理的理念引入业务管理,在加大对重点环节控制的基础上,优化流程,提高效率,防范风险。以信贷业务为例,按照“营销、审批、管控”三线分离的原则和信贷流程要求,构建营销、审查、放款、检查、处置一体化的信贷管理体系。业务营销由零售信贷部、小企业金融部、公司业务部、国际业务部等部门负责对不同客户、产品和行业的市场营销、拓展维护,提高专业化程度;组建审批中心,实现授信审查审批与授信后风险管控的分离,并相互制约;成立放款中心,对审批通过的业务进行放款审核;由贷后管理团队负责贷款发放后的日常检查与风险监测;由资产保全部负责不良资产的专业化清收和管理。
(四)加强岗位管理
岗位管理是流程管理的基本单元,是保证业务流程高效运行的基础。邮储银行上海分行高度重视人力资源管理工作,为业务的健康发展和银行的改革转型提供支撑和保障:一是建立岗位任职资格管理机制,持续强化对员工持证上岗的考核要求,促进全员业务素质的全面提升。二是实施员工职业规划管理,组织各类业务培训、支行行长领导力提升培训等,印发《员工职级晋升管理办法》《员工在职学历教育管理工作指导意见》,激发员工工作热情。三是定岗定编,编制岗位说明书,明确岗位职责要求。
三、基于流程银行建设的合规风险管理成效
随着邮储银行的体制机制改革不断深化,全面风险管理的重要性日益凸显,合规风险管理作为一项核心风险管理活动,在实现流程银行建设目标中发挥了重要作用,取得了初步成效。
(一)实现组织架构与合规风险管理架构的有机结合
邮储银行上海分行的合规风险管理架构采取复合型的组织模式,纵向上,由风险与内控委员会负责合规管理的日常监督,分行设独立的法律与合规部,配备专职合规管理岗,支行设风险合规部,配备风险合规岗;横向上,分、支行各部门均明确一名部门负责人分管合规,并确定一名合规工作联系人。这种纵到底、横到边的合规风险管理架构有效地构筑了防控合规风险的“三道防线”:第一道防线――业务部门,对是否切实落实合规风险的防控负有首要责任,是防控合规风险的执行部门。第二道防线――法律与合规部,牵头组织建设全行合规风险管理机制,对全行合规风险进行识别、计量、监测和评估。第三道防线――审计部,是合规监督部门,对业务条线经营的合规性进行事后审计,定期与不定期开展检查稽核,并监督法律与合规部是否履行了合规风险管理职责。上述职责分工有效地保障了合规风险管理、业务经营与内审之间的独立性,与分行三大版块,业务前中后台严格分离、后台业务集中处理的组织架构有机结合,实现了效率与管控的兼顾和平衡。
(二)实现合规风险管理与业务管理有效嵌合
以流程和岗位责任为基础,在业务流程的相关环节落实法律法规及内部规章制度的要求,随流程落实内控,提高过程控制能力和人员执行力,提高合规风险管理的及时性和有效性,是邮储银行上海分行实施合规风险嵌入式管理的基本思路。为此,其制定了合规咨询、合规审查、合规测试、合规举报、合规信息报送等制度,开展网点合规检查,进行新规速递与宣贯,合规风险提示,组织合规培训等,将一系列合规风险管理的触角延伸到业务流程的众多环节,对合规风险识别、评估、量化、监控、检查、报告的全过程进行标准化管理,实现合规对全行业务发展的有效支持。
(三)以合规考核促业务发展
银行的发展离不开合规经营,并与防范风险相伴。邮储银行上海分行加大对机构和员工合规绩效的考核力度,有效地促进了员工规范操作、业务健康发展。一是对机构进行合规绩效考核,分为上级对下级合规部门的考核、本级考核两种,上级对下级合规部门的考核主要以条线考核为主;本级考核属于“360度考核”,由行长、分管行长、分行其他部门、下属支行对合规部门工作业绩、工作效率、协调配合等情况进行打分与评价。二是制定《违规行为积分管理办法》《员工违规行为处理办法》等,对机构和从业人员违反规章制度的行为进行负向累计记分,对机构和从业人员制止违规违纪、堵截案件等行为进行正向累计记分,据以进行考核管理。三是制定《关键岗位员工岗位轮换和强制休假办法》,加强内部控制,防范操作风险和道德风险。四是成立员工违规行为审理委员会,每半年度开展一次员工行为集中排查,及时发现员工违规行为。
四、加强合规风险管理的构想
在商业银行各项改革持续推进的过程中,实现合规风险管理与流程银行建设相统一意义重大。积极转变经营管理理念,不断完善治理结构,深化组织架构和业务流程再造,有利于银行合规风险管理水平的根本提高。
(一)培育银行良好合规文化,积极推广流程银行理念
良好的合规文化是银行企业文化建设的重点,是商业银行合规风险管理体系的核心。要通过营造合规氛围、培育合规文化,使银行合规管理体制机制牢固地深植于合规理念与合规文化中,使每一位员工熟知并掌握本岗位业务操作中的主要风险点和控制方法,在日常工作中自觉形成合规思维,主动预防各个流程的合规风险,促进符合规范操作的流程银行建设。
由于对原有手工业务流程的重新设计,ERP系统的实施在很大程度上改变了企业的业务流程。在ERP系统实施以前,许多企业基于计算机的业务系统,基本都是围绕某一业务功能或者是职能部门运行的,比如销售系统、采购系统和财务系统等。这些系统都不是基于跨部门的流程来设计的。ERP系统实现了从采购到付款、订单的获取到发票的开出等业务集成,实现了跨职能部门业务处理。
在这种情况下,ERP系统中单一的数据库,使过去跨部门的审批流程得到简化和压缩。压缩所造成的一个结果是,用于企业内部控制的许多审计线索在ERP系统的引入后消失了。同时,企业过去基于文件审批的内部控制机制,也无法适应ERP基于流程的管理需要。更重要的是,由于企业的业务运作更加依赖于ERP系统,这种依赖和信息系统本身特点所导致的脆弱性,形成了企业新的业务风险。
实施ERP系统后,企业所遇到的业务风险一般来自四个方面:业务流程、应用架构、数据质量和技术架构。其中,业务流程的转变对企业内部控制的影响最大,对企业内部管理和财务方面的监控提出了新的要求,这方面的风险特征相比过去发生了根本性的变化。例如,在ERP系统中,通过对手工流程的机器处理,比如审批处理自动化等,进一步增强了完成各种业务流程的效率。但是,在新的业务执行环境中,这些审批处理自动化方法将改变企业内部原有的一些风险特征,这时相应的内部控制体系就需要重新评估和设计。
内部控制蕴涵新的风险
ERP实行的是流程化的管理,打破了原来职能部门的条块分割,实现了企业资源的统一管理和共享。企业的运行和管理在一定程度上已经交给了ERP系统来进行控制。
这样一来,一方面导致企业所处的内部风险环境发生了变化,过去手工状态下的控制风险,由于ERP系统的引入而变得更加复杂;另一方面,ERP系统的实施需要对原有的业务流程进行优化和设计,改变了企业的组织结构。
流程优化的目的就是减少或合并流程中重复的、不增值的环节,原有的基于手工作业流程中有利于控制的重复环节将消失,这样一来内部控制体系会发生变化。这些变化必然对企业内部的整体控制体系的有效性产生负面影响。在这种情况下,就需要企业对基于ERP系统的关键业务流程的内部控制进行定期的审核,确认是否存在足够的有效控制以降低由于ERP系统的使用而带来的业务风险。
定内部控制目标
针对由ERP系统实施所带来的新的业务控制风险,我们需要对企业内部控制体系做重新评估和完善。ERP系统实施之后,内部控制评估的目标通常包括下面这些内容:
1.利用风险评估手段重新确定企业中关键的业务流程;
2.对整个流程和控制的设计进行评估,确定这些控制是否很好地满足和支持最终业务目标的实现;
3.对岗位职责分离的评估,确保在整个流程中存在正确的稽核点和平衡点,对敏感业务交易给出足够的访问限制;
4.评估控制方式是否合理,比如基于手工流程的控制和基于系统的自动控制是否搭配合理。
确定评估范围
一般来说,ERP系统将覆盖营销、计划、生产、采购、仓储、财务、人力资源等企业运营管理的各个层面。根据经验,如果对每个流程和控制点都进行评估在资源的利用上是非常不经济的。
ERP系统的控制评估必须基于风险管理的原则,通过风险评估寻找对主要业务运作中影响最大的领域。换句话说,我们可以从企业整个业务风险域中寻找对企业具有最大风险的业务流程,从而进一步确定有哪些ERP模块在支持这些业务流程。
一般来说,我们通过对业务流程所有者的访谈,来确定我们的评估范围。
在对实施了ERP系统的企业的调研和风险评估中,我们发现,ERP系统中涉及到企业收入业务、支出业务和库存业务的系统控制流程对企业的业务能否顺利运转影响比较大。对于这种影响,是这样定义的:由于业务控制的削弱,导致企业出现经济问题和违规问题的可能性增加。
例如,企业管理层非常关注财务控制的内部和外部流程,因为那些这些流程决定了财务数据的准确性,是反映企业运作是否健康的“脉搏”。因此,我们通常会更关注收入业务,它包括主数据维护、销售订单处理、发运、开票、退货和收款等控制内容。
在确定评估范围之后,我们需要对这些流程进行描述和分析。对ERP流程中的每个动作,我们都需要追溯到它的结果,描述风险特征并确认相应的控制点。
在ERP环境中,通常有两种控制方式我们需要考虑:一种是基于系统的控制,另一种是基于流程的控制。在ERP系统支撑的业务流程中,上述两种方式通常需要结合使用。
手工控制主要依靠个人职责的履行来完成。比如,通常付款是需要通过填表、签字确认才可支付的。基于ERP系统的控制,是由软件来完成的,通过控制数据的有效性和合理性来限制和核查动作的合法性。ERP系统的参数设置将决定这个领域的控制级别。
这些控制包括用户访问、字段验证、工作流和许多其他用于确保数据处理一致性的控制。例如,系统会自动拒绝生成一张与前一次序号相同的发票。这样就自动降低了差错发生的可能性和应付帐款处理的混乱。
值得注意的是,在ERP系统实施过程中,某些二次开发工作会削弱在系统中已经设置好的控制,从而产生新的风险因子。这个时候,我们必须要用手工控制来弥补。
需要了解的是,即便根据ERP系统的要求,调整和优化了内部控制,减少了由于“流程自动化”带来的内部控制可能的削弱,仍然无法彻底消除系统本身的特点导致的控制盲区。这在复杂的系统接口和多用户访问情形下,问题是比较突出的。
很少有企业用一个系统将企业所有的数据和流程都管理起来。所以,ERP系统和其他系统之间的接口是实现不同系统间数据互联互通的必需。这些位于不同系统之间的接口是一个重要的风险区域。
[关键词] 流程再造 业务流程 组织机制
中国银监会主席刘明康于2005年10月在上海银行业首届合规年会上提出了“流程银行”的概念,认为我国商业银行之所以落后,是因为采用“部门银行”的业务流程;国际活跃银行之所以先进,是因为采用“流程银行”的业务流程。因此,根本出路在于对目前我国商业银行“部门银行”的业务流程进行再造,以便实现从“部门银行”向“流程银行”的转变。由此确定了我国商业银行业务流程再造的目标是实现从部门银行向流程银行的转变。
本文将从流程再造的内容、流程再造的步骤和流程再造的组织保障等三个方面对我国商业银行的流程再造进行分析。
一、我国商业银行流程再造的内容
银行的业务流程再造是个复杂的系统工程,不仅涉及纵向与横向的业务流程再造,还涉及纵向与横向对接的业务流程再造。由此决定银行业务流程再造的内容包括以下三个方面:
1.纵向业务流程再造
纵向业务流程(也称为主流程)再造是指银行总行与其分支机构之间关系的业务流程再造,因此,主要触及银行的外部组织关系。根据银行组织机制的不同,商业银行外部组织关系可以分为总分行制、集团制、和单一银行制等,其中最普遍的是设有多个分支机构,由总行对分支机构实施统一管理的总分行制。银行的纵向业务流程再造主要体现为银行外部组织关系的扁平化改革。通过纵向再造,加强总行对业务收益与风险的直接控制,使总行决策更能反映市场需要、减少管理层次、提高工作效率。
2.横向业务流程再造
横向业务流程(也称为子流程)再造是指银行各级分支机构在其内部不同业务部门之间的业务流程再造。因此,横向业务流程再造主要触及银行的内部组织关系。不同银行具有不同的内部组织机制,设有不同的业务部门,从而会造成横向流程再造的差异。但一般而言,在扁平化改革的大前提下,横向业务流程再造的重点在总行。
根据与客户关系的不同,总行内部机构的业务流程再造可以分为市场和服务两大模块。市场模块是直接为银行创造价值的模块,根据银行的主要利润来源或未来发展目标,将主要业务部门分为几大子模块,每一子模块内部均实施统一的利润核算和报告。银行的横向业务流程再造之重点在于市场模块。总行各下属分支机构可以根据纵向业务流程所确定的业务范围和权限,参照总行横向业务流程再造的做法以及本行所处地域的市场需求,进行本级的横向业务流程再造。
3.对接业务流程再造
对接的业务流程再造是指纵向业务流程与横向业务流程对接关系的再造,也就是下级分支机构与上级分支机构业务流程对接关系的再造,主要体现为总行业务流程与分支机构业务流程对接部分的流程再造。由于银行的总流程是由多个主流程汇总而成的,而每一主流程可以包括多个子流程。银行每一级机构只能完成一个主流程,该主流程由该级机构不同部门所完成的多个子流程组成。所以说,对接业务流程再造实际就是银行各主流程之间以及主流程与相应子流程之间对接关系的再造。因此,对接业务流程的再造不仅触及银行的外部组织关系,还触及银行的内部组织关系。借助于业务流程再造,最终在银行内部必然形成矩阵式的业务关系结构和网络组织结构。
二、商业银行业务流程再造的步骤
对于进行流程再造的银行而言,其分支机构、部门、人员以及业务流程已然存在。这时需要按照先定流程,再定机构、部门和岗位的思路进行业务流程的再造。因此,在业务流程再造过程中,商业银行应根据市场和客户的需求,首先前瞻性地设计业务流程。然后根据三个方面业务流程的实际需要,调整各种组织关系。一是根据纵向业务主流程的需要,整合其外部组织关系,撤并不必要的分支机构,以适应纵向业务流程的扁平化要求;二是根据横向业务子流程的需要,由各分支机构在总行指导下,整合或撤并职能重叠或有悖于流程银行要求的内设部门、岗位和人员;三是根据对接业务流程的需要,对部门职能、岗位设置和人员分工进行适当调整,实现流程无缝对接,保证流程安全运行。有关研究表明,在业务流程再造中,业务流程决定银行的组织机制。商业银行因流程需要而确定职能,根据职能设定机构、部门并配置人员。
因此,我国商业银行在流程再造过程中应包括以下三个步骤:
1.设计流程再造方案。按照既有业务开展的自然顺序,绘制作业流程图。然后根据客户对产品和服务的需求,重新调整业务流程中的关键环节及排序,设计出可供选择的新流程方案。从成本、效益、技术条件和风险程度等方面对可供选择的新流程方案进行评估和选择,最终确定业务再造流程方案;
2.设计组织机制转型方案。根据业务流程再造方案,制定与之相配套的组织机构调整方案和运行机制;
3.制定流程再造实施方案。根据轻重缓急,找出业务流程再造的切入点,开始实施,并根据流程再造和相应组织机制转型的要求合理配置人力和其他资源。
三、商业银行流程再造的组织保障
我国商业银行的流程再造是组织机制转型的根据,并为组织机制转型指明方向。组织机制转型必须以流程再造的要求为指导,既要在纵向实施外部组织机制的扁平化,又要在横向实施内部组织机制的制衡和高效化,最终实现我国商业银行组织机制的矩阵式管理模式和与之相应的业务分层管理的运行机制。
1.建立扁平化的组织结构
长期以来,我国商业银行在纵向实施的是按地域设置分支机构的官本位组织体系,在内部实行的是“部门银行”的管理模式。这种内外部的组织关系要求先进行机构、部门和人事的设定,然后再据此建立工作流程,从而造成职能重叠、机构臃肿、人浮于事、效率低下、竞争力薄弱等一系列问题。我国商业银行应该在借鉴国内外经验的基础上,尽快进行扁平化的组织机制改革。
(1)要在“大总行、小分行”的原则指导下,在加强总行建设、增强其业务纵向控制力的前提下,按照扁平化的业务流程再造要求,减少不必要的管理层次。
(2)根据业务流程再造的要求,在横向建立高效而相互制衡的内部组织结构。根据目前我国商业银行的业务范围,可以将市场子模块分成以贷款业务为主的公司业务,以金融同业、政府机构、军队等为服务对象的机构业务和以个人为服务对象的个人业务三条主要的业务线。总行在对每条业务线实行垂直的专业化管理的同时,要求每条业务线在每个层级的相关业务部门必须按照流程银行前、中、后台相分离的原则形成有效制衡,并能分工合作、各负其责、按要求完成好自己的业务子流程。在这个目标下,精简不必要的部门、整合职能重复的岗位,剔除不必要的流程,在保证业务安全的同时提高工作效率,在各层级形成有效的内部组织结构。
(3)按照流程再造对接流程的要求,注意扁平化的纵向外部组织结构和各层级的横向内部组织结构之间的职级和职能关系的无缝衔接,从而形成我国商业银行“三纵四横”的扁平化矩阵式组织结构(见表)。
2.实施分层管理的运行机制
在上述扁平化矩阵式的组织结构下,可以考虑将不同业务线的客户按照一定的标准分为大、中、小三个类别,对客户实施分层营销和控制,将我国商业银行扁平化改革后的四级机构(总行、一级分行、二级分行、支行)划分为三个层次,即以总行和一级分行为第一层次,一级分行与二级分行为第二层次,二级分行与支行为第三层次。三个层次的业务营销和风险控制责任如下:
(1)大型客户的关系管理和服务由第一层次负责,其中一级分行的责任重点是营销,总行的责任重点是决策和风险控制;中型客户的关系管理与服务由第二层次负责,二级分行的责任重点是营销,一级分行的责任重点是决策和风险控制;小客户则由第三层次负责,基层行的责任重点是营销,二级分行的责任重点是决策和风险控制。
(2)根据我国商业银行业务的实际状况,公司业务的重心在第一层次。这一层次的客户数量少,但单个客户的业务量大、对银行的综合贡献度也较大。后两层次的客户数量虽然依次增多,但单户业务量依次变小,风险相对分散;机构金融业务的重心在第二层次,因为大量的机构客户都是中等级别的,并且机构客户的风险也相对较小,营销的重点主要在于机构客户的理财业务和为机构提供一体化的金融服务上;个人金融业务的重心则在第三个层次,总行虽然负责战略决策、产品设计、风险控制标准的制定和监督以及银行品牌形象的维护等,但具体业务开展主要由第三个层次负责,由其充分地发挥社区小银行的功能与优势,接近客户、营销客户、服务客户。由此,三个层次均有自己直接管理、营销和服务的客户群,以彻底改变目前对客户的营销和服务层层都管,又都不能落实的问题。
(3)财务、资金和风险管理等部门,则按照业务流程再造的要求,重新调整职能定位,财务部门要对各业务线实行封闭考核、独立核算,资金部门要对各业务线的资金占用实行有偿配置,风险管理部门要做好全面风险的管理工作,督促各业务线防范和控制风险。
参考文献:
[1]巴曙松 杨新兰:六希格玛管理与银行流程再造[J].中国金融,2008(16):34~35