業務流程風險點

前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇業務流程風險點范文，相信會為您的寫作帶來幫助，發現更多的寫作思路和靈感。

業務流程風險點范文第1篇

國際金融危機后，世界經濟進入調整期，增長速度明顯放緩。我國市場下滑的同時使得各類企業的發展步履維艱，而企業也面臨著錯綜復雜的風險與難以應對的挑戰。在這樣的環境與背景下，企業必須將經營重點置于風險管理工作上，在關注外部風險的同時，更需要對內部的業務流程管理進行嚴格而科學的管控，如此才能在激烈的市場競爭中獲取一席之地，并實現企業的可持續發展。基于企業業務流程管理對于抵抗風險的重要性，以流程管理為視角，對企業風險管理模式的構建進行分析與討論，在當前的經濟形勢下，對于企業的生存與發展具有較強的現實意義。

關鍵詞：

流程管理；企業；風險管理模式；構建

企業業務流程管理是以吸納業務流程重組、流程再造思想與工具為支撐要素，采用綜合性的方法強化組織戰略，旨在強化業務操作的精細性與規范化的一種管理方式。對其進行合理運用可以降低企業運營成本，提高企業內外部響應速度，最終鞏固企業抵抗風險的能力。以業務流程為入手點，將風險管理有效融入流程環節中，實現與企業現有管理框架的耦合，是構建基于流程管理方式下企業風險管理模式的主要途徑，同時也是充分發揮風險管理工作有效性的必要手段。

一、流程管理概念綜述

流程管理是一種綜合性與系統性較強的管理方法。流程可以看作是一種路線圖，主要涵蓋以完成某項工作為目標，相關數據、信息、資料在不同單位、部門、人員之間傳遞的網絡。流程管理的中心是規范化的流程構造，以該流程構造為核心，將各項工作任務分配到各部門或各崗位，以績效體系為載體，對考核工作實施與落實，將目標與激勵成功傳導至企業各層次，使每位員工均明確自身崗位職責，從而推動流程的良性運轉。與此同時，將系統性的工作進行流程化處理，可以清楚而詳細地將若干作業項目和它們的關聯人員及其相互工作關系進行描述，進而實現目標的精細化管控。流程管理包括流程梳理、流程優化、流程固化三個階段。流程梳理是對企業現行完整業務內容與活動過程的摸底展現，在對企業流程體系進行規劃與調整的同時，可以為企業內部實現全面流程管理思想普及和手段落實提供不竭動力；流程優化是在流程梳理的基礎之上，具有選擇性地運用流程管理理念及信息技術工具對重點業務領域及關鍵流程進行深層次的分析與優化；流程固化則聚焦于將經過分析優化的新業務流程，借助制度、標準、信息系統等多種形式提高管理工作的規范性與顯性化。

二、構建基于流程管理的企業風險管理模式的可行性與現實意義

企業內部的一系列業務流程集成了企業的運營與發展，而所有單體業務流程中的活動或“子流程”是這些業務的支撐要素。基于此，要想推動企業穩定而高效的運營，需要以流程為著手點，提高其運作效率。現階段，市場競爭愈發激烈，經過不斷地迭代演變，風險管理已經成為大型企業內部管理不可或缺的組成部分，特別是在實際業務流程中融入風險管理思想與手段之后，業務流程經歷了綜合性與系統性的設計與改造，突破了以往各種“信息孤島”的狀態，從而初步構建了以流程管理為基礎的企業風險管理模式。

1.企業風險管理與流程管理的目標一致企業要想充分發揮風險管理的功能作用，使之成為企業經濟效益提升的支撐，首要任務是強化企業風險點的控制與管理，并提高其有效性。而流程管理在關注業務流程風險點的同時，還需要對流程成本、效益、質量等因素進行綜合性考慮。以此看來，企業風險管理與流程管理在管理方法與關注點方面存在一定程度的差異，然而兩者具有高度的目標一致性，且均統一于企業的戰略目標，服務于企業的可持續發展。

2.流程管理是企業風險管理實現顯性化的導向企業要想提高風險管理工作的可操作性與科學性，就必須將風險管理與流程有效地融合起來，構建以業務流程管理為基礎支撐的風險管理模式，將錯綜復雜的風險管理活動進行轉變，使其以流程輸入、輸出為導向，提高其動態化與層次性，同時以業務流程中無數個“工作流”為支撐要素，將關鍵控制點推送到業務流程中，將風險管理與業務流程有效融合，進而提高風險管理的顯性化。

3.業務流程是企業開展風險管理的基礎支撐作為一種循環流程，企業風險管理主要包括業務分析、業務流程梳理、風險識別、風險評估、提出風險控制策略、實施風險管控、管控效果反饋與改進等環節，因此其屬于一種業務流程為支撐要素，以信息系統為平臺，切實實施風險預警、監控與管理改進的閉環管理模式。其工作的開展與進行主要以企業各業務流程為依托，通過對風險點進行辨識，構建風險識別、分析、管控、改進等多環節為一體的風險管理框架，進而以業務流程為基礎的風險管控機制，實現企業各業務重要運營活動與運營單元的安全管控。由此可見，企業風險管理與業務流程管理具有極為緊密的聯系，企業開展風險管理需要以業務流程為基礎支撐。

三、流程管理視角下企業風險管理模式構建的相關措施

要想構建并實施以流程管理為基礎要素的企業風險管理模式，并提高其科學性與顯性化，就必須將企業業務流程管理框架設計作為風險管理的頭緒，采取由上而下或自下而上的互動方式梳理企業目標領域的業務流程，推動并實現每一層業務流程的目標，進而促進企業總戰略目標的實現。最終將風險管理流程框架與具體業務風險管理流程有機結合起來，并在該體系中對風險點與關鍵流程管理環節進行詳細描述，如此可以將流程管理有效的融入到企業風險管理工作中，提高風險管理工作的可行性與顯性化。

1.確立基于流程管理的企業風險管理的“三道防線”為了構建基于流程管理的企業風險管理模式框架，首要任務是確立企業風險管理的“三道防線”，為實現基于流程管理的企業風險管理顯性化創造有效的基礎條件。以大型施工企業為例，第一道防線是經營部與采購部，主要涉及工作包括招投標、預決算、材料采購、設備采購等，施工企業需要注意招投標工程項目的前期評估和預測，并強化對招投標報價風險的控制，對合同進行科學化管理，同時需要構建有效的成本管理與分析系統；而關于預決算過程，施工企業需要對工程施工的所有影響因素進行充分的考慮，對其中的風險因素進行分析，提前做好應對措施；在材料與設備采購方面，施工企業需要通過證件檢查與取樣試驗的方式，保證其使用性能與質量，避免材料與設備質量問題造成工程施工出現安全與質量問題。第二道防線是工程部與安監部。主要包括分包管理、質量控制、施工協控、設備安監、安全文明等工作，施工企業需要認清合法分包的界限，及時、規范、嚴謹地簽訂合同，并對各環節委托授權進行嚴格審查；在質量控制過程中，施工企業需要針對風險源與事故多發工序進行嚴格控制，規范施工工藝與操作行為，及時處理質量問題與安全隱患；而對施工中的機械設備進行定期的安全監督與檢查極為必要，可以有效防止機械設備故障造成的工程安全與質量問題；與此同時，強化企業全體員工的安全意識，可以從根本上降低施工風險出現的概率。第三道防線是財務部與辦公室。針對施工準備、施工過程、竣工結算等階段，對施工直接成本與間接成本進行嚴格的決算與把控，并竭力在合同審查中為施工企業爭取更多的經濟利益；辦公室需要加強行政、人事、信息等方面的管理，規范行政制度，強化企業員工的崗位責任心，防止信息泄露，充分發揮企業風險控制的輔助作用。

2.流程管理視角下企業風險管理體系設計企業需要以全部業務流程的構成情況為邏輯架構，并將其視為風險管理工作的骨架與脈絡，在基于流程管理的企業風險管理體系設計過程中，首要任務是打破傳統職能部門與組織機構的流程組織方式，對企業業務流程的頂層結構明確定義，并以分層方式對指導框架進行細化，對一層進行完善以后，才允許進行下一層指導框架的處理與構建。在基于流程管理的風險管理體系中，各單位的戰略規劃、業務流程與職責、業務流程圖及目錄梳理成果等是構成體系的基本要素與支撐，對企業各部門的主要業務職責和業務特點進行了集中反映；在該體系中，企業需要以企業的戰略規劃與規章制度作為牽引動力，為該體系的高效運轉注入源源不竭的推動力量；與此同時，企業要想構建基于流程管理的風險管理模式，還需要對國際上流程框架的案例進行充分參考與借鑒，例如ERP模型、APQC模型等，借助這些案例，企業可以對價值鏈為線索的流程組織方式理解得更充分。

3.基于流程管理的企業風險管理模式的精細化分析以體系設計的角度來看，業務流程梳理是構建基于流程管理企業風險管理模式的必要條件。如圖1所示，首先對企業各個業務流程的性質與涉及的領域進行分析與參考，從流程的始端對風險進行辨識評估和內控診斷，對業務流程框架進行確定。然后需要對該框架實施風險分析與缺陷認定，建立起風險管理與業務流程的接口，并在這個過程中對重點業務流程進行確定和明確，而后需要對風險信息與業務流程一一對應的關系進行繪制，最終編制出“風險—流程控制矩陣”。企業的部門管理者、業務復雜人或業務骨干均需要參與到業務梳理中來，形成一個負責流程梳理工作的團隊，該團隊需要任用不同的人才負責相應層次的業務梳理與描述，并擴展業務梳理的覆蓋面與范圍，保證覆蓋到所有業務活動。提高該模式的精細化需要構建詳細的流程細化模型，主要包括：規范合理的主流程模型、子流程模型、具體操作流程模型、各項模板及相關指導文件、其中各流程模型包含的責任主體及參與單位。提高基于流程管理的企業風險管理工作的精細化，有助于企業提高風險管理工作的規范性與科學化。

四、A企業構建基于業務流程的風險管理思路及措施

我國大型施工企業A企業開展了全企業范圍內的風險管理流程，在確定了業務流程框架以后，按照重點風險排序，企業將物資采購選定為重大風險進行管理控制。企業將“基于業務流程”作為控制采購風險的入手點，圍繞業務流程的關鍵控制點，對制度設計、職權行使與監管等方面的風險進行了排查與控制。第一步，該企業工作組針對物資流程，對其現狀與環節進行了摸底，明確了流程設計中的不足與缺陷，與物資采購負責與監管部門協同合作，依照《企業內部控制規范》與企業運營實際情況，對物資采購制度與流程規范進行了完善與優化，提高物資采購的可行性、合理性與科學性；第二步，依照流程節點對物資采購的風險點進行明確，例如：采購方案的制訂與選擇、與供應商的合作、招投標或比價采購、合同的簽訂、貨物的檢查與試驗、貨款的支付等；第三步，對業務流程關鍵控制點依據所涉及的崗位進行風險辨識分析，對其中可能存在的物資采購風險進行排查，例如：招投標或比價采購過程中暗箱操作、審批流程存在缺陷、材料取樣試驗不嚴格等；第四步，充分結合定性與定量分析的方法，對物資采購風險發生的可能性進行分析，依據崗位工作重要性和控制金額兩個因素對物資采購風險的影響程度進行描述與確定；第五步，制訂物資采購風險評價標準，依據物資采購風險發生的概率與影響程度，進行分值的劃分，依照從高到低的順序，將風險發生概率與影響程度依照1、2、3、4、5五個等級進行歸類；第六步，鼓勵所有崗位人員評價物資采購風險重要性，而后編制物資采購風險排序表，進而繪制如圖2所示的風險重要性水平圖譜。圖譜中，黑色區域（A）的風險等級為高危風險，A企業需要及時采取針對性措施予以防范、解決；灰色區域（B）為中等風險，A企業需要對此提高重視程度，并掌握其實時動態；白色區域（C）為低等級風險，通常情況下為企業可以接受的風險。依據物資采購風險重要性水平圖譜，A企業可以高效、高質量地完成物資采購工作的風險控制。

五、結論

構建基于流程管理的企業風險管理模式具有較強的綜合性與復雜性，該模式邏輯架構層次分明，具有較強的精細化與規范化，對于細化分析業務流程，明確業務流程中的風險環節與操作，凸顯關鍵風險控制點具有較強的可操作意義。同時可以將具體的風險因素的排查與風險控制點的管控落實到相應部門，明確崗位“權、責、利”的科學分配，最終使業務流程成為橋梁，提高風險管理工作的固化與顯性化，推動企業的可持續發展。

參考文獻

[1]王鋒.財務風險在經營活動中的定位[J].中國商貿，2015（，4）：35-36.

[2]王怡文，柯柏成.美國企業高階管理階層對風險管理觀念之剖析[J].中國內部審計，2015（，1）：58-60.

[3]杜放，馮家杰.我國企業風險管理的現狀、問題及對策探析[J].物流技術，2014（，23）：103-105.

[4]程強，顧新.基于COSO風險管理的知識鏈知識轉化風險防范研究[J].圖書館學研究，2015（，5）：45-48，34.

業務流程風險點范文第2篇

在構建內部控制體系的實際工作中，最重要的環節是《關鍵控制管理文件》的建立，本文將重點對《關鍵控制管理文件》的編制做具體介紹。

一、《關鍵控制管理文件》的編制程序

按照一致性、先進和實用相結合、繼承與完善相結合、可操作性等原則，根據國家相關法律法規以及撫順石化相關管理制度和管理現狀的需要，依照以下程序編制《關鍵控制管理文件》：

（一）在撫順石化內控項目組（以下稱項目組）擬定的《關鍵控制管理文件》的基礎上，由各專業管理流程編制人員（以下稱編制人員）制定《關鍵控制管理文件》初稿后，再經復核人員審查。

（二）中國石油總部項目組和外部專業人士對審查后的《關鍵控制管理文件》初稿進行審閱，提出咨詢意見，再由編制人員修改后，報撫順石化領導和一級流程負責人審定。

（三）經項目組負責人員審查后，形成報審稿，報中國石油內部控制體系建設委員會最終審定后，執行。

二、《關鍵控制管理文件》的主要內容

（一）關鍵控制管理文件說明。該部分主要說明了《關鍵控制管理文件》的編制依據、主要內容、實施要求，便于所屬單位貫徹實施。

（二）重要業務流程目錄。該部分反映了與中石油總部《關鍵控制管理文件》進行對應后形成的撫順公司的13個一級流程、100個末級子流程的總體情況。

（三）業務流程圖。業務流程圖是在對控制現狀進行梳理的基礎上，對相關業務流程的主要控制環節、控制步驟和操作程序進行的規范性描述。在此次完善業務流程圖時，重點對關鍵控制點涉及的流程圖進行了修訂。

（四）關鍵控制文檔。以中石油總部關鍵控制文檔為藍本，描述公司涉及的全部關鍵控制、重要風險、實施證據和制度索引。

（五）風險控制文檔。涉及關鍵控制流程對應的風險控制文檔，重點對關鍵控制涉及的控制措施予以強化，確保關鍵控制涉及的各項風險關鍵控制得到關注。

（六）程序控制文件。程序控制文件是對相關業務流程進行風險控制分析后，對流程的適用范圍、風險、部門職責、控制、控制證據及管理制度索引進行規范描述的制度文件。

（七）制度索引表。對關鍵控制涉及的相關內控制度予以對應索引，有利于各項的持續改進和不斷完善。

三、《關鍵控制管理文件》的編制步驟

（一）明確重要業務流程

1.項目組將中石油總部《關鍵控制管理文件》中確定的重要業務流程目錄，與撫順石化公司前階段確定的業務流程目錄進行對應，結合撫順石化公司管理實際，確定撫順公司《重要業務流程目錄》初稿。撫順石化公司重要業務流程將13個一級流程、100個末級子流程納入《關鍵控制管理文件》的編制范圍。

根據重要業務流程目錄，對各主要業務流程及其風險點進行描述，形成初步業務流程圖和風險控制文檔。

2.與中石油總部重要業務流程的差異：一級流程與中石油總部確定的一級流程一致。但末級子流程方面，根據撫順石化的具體業務情況，減少了拆遷管理、地質勘探支出、證實石油儲量、油氣成本核算、原油銷售、天然氣銷售、成品油零售、成品油批發、現收貨款、國債回購、資產委托管理、定期結算、債務管理（除或有負債外的6個子流程）、對外財務報告（總部）共計18個末級子流程；并對涉及存貨、賬戶管理、內部資金劃撥、票據管理、對內財務報告、會計業務處理、合同與糾紛等7個子流程進行了不同程度的細分。

（二）編制關鍵控制文檔

按照中石油總部《關鍵控制管理文件》已確認的關鍵控制文檔的描述，對應撫順石化重要業務流程中相關的控制點，修訂出適合企業實際業務的關鍵控制文檔。對本企業從未發生的業務，涉及的關鍵控制不再列入關鍵控制文檔。

需要注意的是，在編制本企業關鍵控制文檔時要對控制措施進行準確的描述，不能隨意擴大其外延或壓縮其內涵。比如，某關鍵控制描述為A崗位審核某數據。實際風險控制中A崗位審核某數據之前的申請或提報以及之后的交接，如果無其他關鍵控制約束，則不應列入關鍵控制。有關A崗位審核的事項，則需要完整清晰地描述。隨意擴大關鍵控制范圍則會引起測試樣本量的增加，有意縮小則易造成關鍵控制無效。

（三）持續改進業務流程圖

根據前期已確認的重要業務流程及描繪的業務流程圖,重新進行全面梳理和拆并，使描述的業務流程圖更加符合企業的業務流程現狀。

流程圖式樣的細節方面，在中石油總部流程圖式樣的基礎上，針對流程圖圖標、背景、流程編號、風險與控制點位置、職能帶寬度、框架邊距、結束標記等進行了修訂。

（四）修改完善風險控制文檔

1.風險控制文檔修改的總體情況

撫順石化100項重要業務流程，全部編制了風險控制文檔，并已進行了全面的修改和完善。設置風險點409個，控制654 條；其中重要風險258個，關鍵控制266個。

與中石油總部《關鍵控制管理文件》中相對應的關鍵控制減少95條。其中：因沒有相關業務流程而減少重要風險5個，減少關鍵控制5條；因屬于板塊和股份公司的業務而減少重要風險90個，減少關鍵控制90條。

2.修改風險控制文檔的過程

對于一級流程風險控制文檔中關鍵控制描述的修改，應將中石油總部《關鍵控制管理文件》中對關鍵控制的描述與本企業前期描述的風險控制文檔中的相關控制進行一一對應，區分情況，對差異分別進行處理：原風險控制文檔描述不完善、表述不準確的風險、控制、措施，按照中石油總部提供的示范予以修改；缺失的關鍵控制，分析原因，予以補充、完善。對于風險控制文檔中一般控制也應按照中石油總部項目組提出的相關要求和關鍵控制中的示范格式，予以完善。

對末級流程風險控制文檔中，無關鍵控制的，則不再列入關鍵控制管理文件。涉及關鍵控制的，即使只有一個，也需將同一末級流程的其他非關鍵控制措施納入關鍵控制管理文件。

對于關鍵控制應在風險控制文檔上標注編號，與關鍵控制文檔進行對應。規范風險控制文檔格式，統一標準。對風險控制文檔中風險類別、控制目標、控制方法、控制頻率、制度文件索引等其他要素進行完善。

3.修改完善過程中應注意的問題

（1）重點關注中石油總部《關鍵控制管理文件》中確認的關鍵控制在撫順石化原風險控制文檔中的相關描述，做到關鍵控制無遺漏。

（2）以流程順序、控制步驟為主線，對風險控制進行描述，做到控制描述前后連貫、系統，不重不漏。

（3）控制描述要做到要素齊全、層次清晰、表述準確。

（4）控制描述以撫順石化的管理現狀為基礎，結合總公司、煉油與化工專業分公司管理制度和要求，確定相關控制規范。

（5）對撫順石化重要業務流程，如長期投資管理、采購、銷售、存貨管理、資金管理、固定資產管理、會計核算、財務報告等，予以特別關注。

（五）收集、整理、規范關鍵控制證據

1.收集、整理規范關鍵控制證據的總體情況

撫順石化內控項目組共收集了證據示樣221份，規范實施證據114份。項目組確認關鍵控制示范證據示樣114份，涵蓋了100項重要業務流程。這些控制證據的收集和規范，對于保障關鍵控制的實施，強化公司基礎管理水平將起到重要作用。

2.收集、整理規范關鍵控制證據的過程

（1）確定關鍵控制證據目錄。撫順石化針對關鍵控制，對于控制過程中控制力相對較強、具有示范意義的控制證據，確認為關鍵控制示范證據。如一些經常性檢查工作無證據的，可采取工作日志作為證據。

（2）按照規范、統一、合理的原則，對關鍵控制證據的設計格式、控制要素、控制作用進行逐項審定。

（六）收集、整理、修改、補充管理制度

1.收集、整理、修改、補充管理制度的總體情況

撫順石化共收集《關鍵控制管理文件》涉及的管理制度132個，其中，撫順公司制定管理制度88個，股份公司管理制度32個，國家財政、稅務等部門管理制度12個。本次收集的289個撫順公司管理制度中，擬對110個管理制度進行修改完善，擬新制定《租賃管理辦法》、《或有負債管理辦法》，《無形資產管理辦法》等32個管理制度。這些管理原則，基本涵蓋了風險控制管理文件中的各項控制措施。

2.制度修改、完善關注的主要問題

（1）全面收集控制相關的管理制度，確保相關控制都應有相關制度作支撐。

（2）對于缺失的管理制度，進行補充。

（3）對于描述不準確、不完整、與控制有矛盾的制度條款進行修改。

（4）除收集本企業制定的管理制度外，還應收集整理國家有關制度、總公司以及煉油與銷售專業分公司相關管理制度。

（七）編制程序控制文件

撫順石化在進行上述幾項工作后，將相關業務流程的適用范圍、風險、部門職責、控制、管理制度索引、控制證據、控制證據示范等內容進行全面歸集，從而形成業務流程規范性的程序文件。其中，關鍵流程風險控制文檔中的非關鍵控制措施也要在控制文件中描述。撫順石化對全部100項重要業務流程編制了控制程序文件。

四、編制《關鍵控制管理文件》的經驗

第一，集中辦公，提高工作效率。關鍵控制編制階段的專業性較強，煉化企業人員構成中，專職負責內控工作的財務、審計人員較少，因此要充分發揮各處室業務骨干作用，集中人員，集中辦公，提高溝通協調效率。

第二，統一關鍵控制文檔模板。一方面，模板不統一會造成要素不全；另一方面，模板不統一，不易進行匯編，會給其后印刷制冊工作帶來很多工作量。

第三，合理分配人員。受各部門業務分工的局限，有些業務流程涉及專業多，要注意協調流程間的接口；有些部門涉及流程較多，工作量大，特別是財務內部流程，容易造成工作量不平衡。因此，要注意人員的合理分工，忙閑結合，按期完成各階段的控制目標。

第四，加強二次培訓。因內控工作專業性較強，一些語言晦澀難懂，在培訓上要加大力度。對操作性的關鍵環節，要明確目標，示范舉例；確保項目的實質內涵清晰，通過提供足夠的標準文本，避免發生猜測與臆想；采用選擇或填空的方法，解決表單填寫的技術難題。

業務流程風險點范文第3篇

由于對原有手工業務流程的重新設計，ERP系統的實施在很大程度上改變了企業的業務流程。在ERP系統實施以前，許多企業基于計算機的業務系統，基本都是圍繞某一業務功能或者是職能部門運行的，比如銷售系統、采購系統和財務系統等。這些系統都不是基于跨部門的流程來設計的。ERP系統實現了從采購到付款、訂單的獲取到發票的開出等業務集成，實現了跨職能部門業務處理。

在這種情況下，ERP系統中單一的數據庫，使過去跨部門的審批流程得到簡化和壓縮。壓縮所造成的一個結果是，用于企業內部控制的許多審計線索在ERP系統的引入后消失了。同時，企業過去基于文件審批的內部控制機制，也無法適應ERP基于流程的管理需要。更重要的是，由于企業的業務運作更加依賴于ERP系統，這種依賴和信息系統本身特點所導致的脆弱性，形成了企業新的業務風險。

實施ERP系統后，企業所遇到的業務風險一般來自四個方面：業務流程、應用架構、數據質量和技術架構。其中，業務流程的轉變對企業內部控制的影響最大，對企業內部管理和財務方面的監控提出了新的要求，這方面的風險特征相比過去發生了根本性的變化。例如，在ERP系統中，通過對手工流程的機器處理，比如審批處理自動化等，進一步增強了完成各種業務流程的效率。但是，在新的業務執行環境中，這些審批處理自動化方法將改變企業內部原有的一些風險特征，這時相應的內部控制體系就需要重新評估和設計。

內部控制蘊涵新的風險

ERP實行的是流程化的管理，打破了原來職能部門的條塊分割，實現了企業資源的統一管理和共享。企業的運行和管理在一定程度上已經交給了ERP系統來進行控制。

這樣一來，一方面導致企業所處的內部風險環境發生了變化，過去手工狀態下的控制風險，由于ERP系統的引入而變得更加復雜；另一方面，ERP系統的實施需要對原有的業務流程進行優化和設計，改變了企業的組織結構。

流程優化的目的就是減少或合并流程中重復的、不增值的環節，原有的基于手工作業流程中有利于控制的重復環節將消失，這樣一來內部控制體系會發生變化。這些變化必然對企業內部的整體控制體系的有效性產生負面影響。在這種情況下，就需要企業對基于ERP系統的關鍵業務流程的內部控制進行定期的審核，確認是否存在足夠的有效控制以降低由于ERP系統的使用而帶來的業務風險。

定內部控制目標

針對由ERP系統實施所帶來的新的業務控制風險，我們需要對企業內部控制體系做重新評估和完善。ERP系統實施之后，內部控制評估的目標通常包括下面這些內容：

1.利用風險評估手段重新確定企業中關鍵的業務流程；

2.對整個流程和控制的設計進行評估，確定這些控制是否很好地滿足和支持最終業務目標的實現；

3.對崗位職責分離的評估，確保在整個流程中存在正確的稽核點和平衡點，對敏感業務交易給出足夠的訪問限制；

4.評估控制方式是否合理，比如基于手工流程的控制和基于系統的自動控制是否搭配合理。

確定評估范圍

一般來說，ERP系統將覆蓋營銷、計劃、生產、采購、倉儲、財務、人力資源等企業運營管理的各個層面。根據經驗，如果對每個流程和控制點都進行評估在資源的利用上是非常不經濟的。

ERP系統的控制評估必須基于風險管理的原則，通過風險評估尋找對主要業務運作中影響最大的領域。換句話說，我們可以從企業整個業務風險域中尋找對企業具有最大風險的業務流程，從而進一步確定有哪些ERP模塊在支持這些業務流程。

一般來說，我們通過對業務流程所有者的訪談，來確定我們的評估范圍。

在對實施了ERP系統的企業的調研和風險評估中，我們發現，ERP系統中涉及到企業收入業務、支出業務和庫存業務的系統控制流程對企業的業務能否順利運轉影響比較大。對于這種影響，是這樣定義的：由于業務控制的削弱，導致企業出現經濟問題和違規問題的可能性增加。

例如，企業管理層非常關注財務控制的內部和外部流程，因為那些這些流程決定了財務數據的準確性，是反映企業運作是否健康的“脈搏”。因此，我們通常會更關注收入業務，它包括主數據維護、銷售訂單處理、發運、開票、退貨和收款等控制內容。

在確定評估范圍之后，我們需要對這些流程進行描述和分析。對ERP流程中的每個動作，我們都需要追溯到它的結果，描述風險特征并確認相應的控制點。

在ERP環境中，通常有兩種控制方式我們需要考慮：一種是基于系統的控制，另一種是基于流程的控制。在ERP系統支撐的業務流程中，上述兩種方式通常需要結合使用。

手工控制主要依靠個人職責的履行來完成。比如，通常付款是需要通過填表、簽字確認才可支付的。基于ERP系統的控制，是由軟件來完成的，通過控制數據的有效性和合理性來限制和核查動作的合法性。ERP系統的參數設置將決定這個領域的控制級別。

這些控制包括用戶訪問、字段驗證、工作流和許多其他用于確保數據處理一致性的控制。例如，系統會自動拒絕生成一張與前一次序號相同的發票。這樣就自動降低了差錯發生的可能性和應付帳款處理的混亂。

值得注意的是，在ERP系統實施過程中，某些二次開發工作會削弱在系統中已經設置好的控制，從而產生新的風險因子。這個時候，我們必須要用手工控制來彌補。

需要了解的是，即便根據ERP系統的要求，調整和優化了內部控制，減少了由于“流程自動化”帶來的內部控制可能的削弱，仍然無法徹底消除系統本身的特點導致的控制盲區。這在復雜的系統接口和多用戶訪問情形下，問題是比較突出的。

很少有企業用一個系統將企業所有的數據和流程都管理起來。所以，ERP系統和其他系統之間的接口是實現不同系統間數據互聯互通的必需。這些位于不同系統之間的接口是一個重要的風險區域。

業務流程風險點范文第4篇

[關鍵詞]檢驗檢疫；SIPOC；風險管理

doi：10.3969/j.issn.1673 - 0194.2015.18.096

[中圖分類號]F224 [文獻標識碼]A [文章編號]1673-0194（2015）18-0-02

0 引 言

檢驗檢疫本身是風險管理的一種方法和手段，是為了確認進口/出口商品符合國內/海外的標準和要求，防止不合格品的流入/出（把關失效）。為實現檢驗檢疫的基本職能，風險管理作為基本的研究課題，非常必要。

風險存在于業務流程的各個環節之中，進行風險識別，首先要對業務過程進行梳理。SIPOC（Supplier供應者、Input輸入、Process過程、Output輸出、Customer客戶）是識別業務流程中關鍵風險源的分析方法。通過這種方法，人們可將業務流程（如某減值點）分解為若干關鍵點，并明確其目標和涉及的人、財、物及流程等要素，以確保全面梳理該流程所涉及的風險。

1 SIPOC概述

SIPOC模型定義：SIPOC模型是一代質量大師戴明提出來的組織系統模型，是一門最有用且最常用的流程管理和改進技術。戴明認為任何組織都是一個由供應者（Supplier）、輸入（Input）、流程（Process）、輸出（Output）以及客戶（Customer）相互關聯互動的5個部分組成的系統，即SIPOC。

SIPOC模型的關鍵點包括以下幾點。

（1）所有的員工和工作單元都是不同業務流程的供應商和客戶。

（2）當你從組織中的其他個人、團隊或組織外的來源處獲得原料、信息或服務時，你就是客戶。

（3）當你為組織中的其他個人、團隊或組織外部的客戶提供原料信息或服務時，你就是供應商。

（4）你作為客戶得到的原料、信息或服務就是輸入。

（5）你作為供應商向其他個人或團隊提供的原料、信息或服務就是輸出。

（6）你的工作不是一個孤立的活動，而是整個工作流程的一部分。所謂的工作流程是指接受。

（7）供應商的輸入，在每一個步驟上為這些輸入加入一些有價值的東西并且生產輸出物的滿足客戶需求的過程。

2 分析方法

運用SIPOC的方法從流程的角度出發，針對關鍵業務或事項，結合檢驗檢疫的各項工作目標，考慮影響目標實現的關鍵因素。

首先要組建團隊，對流程或業務相關的部門進行工作訪談，一同整理或收集相關的制度文件，用SIPOC技術梳理關鍵部門的業務流程，SIPOC的梳理次序如表1所示。

梳理過程中強調的是：始于客戶，反向操作。

通過運用SIPOC技術的梳理功能，可獲得各業務流程的輸出項，工作質量可通過輸出項的數據進行量化；已識別出來的風險，可追溯到各流程的輸出項進行評估，而原因的分析可以追溯到工作流程、信息供應商輸入的完備及準確性等。

3 分析內容

圖1展示了檢驗檢疫職能的簡易SIPOC。針對檢驗檢疫過程，應用以上介紹的SIPOC技術的流程圖舉例如表2～表5所示。

通過表2可以發現目前業務流程中缺失與風險監控相關的輸出數據（表2中黃色、暗紅色標示的輸出項）。

通過表3的梳理，可以發現“標準不明確”“標準難執行”與流程中在征求意見環節、有效性評估環節方面的缺陷。

通過表4的梳理，可以發現在人員與崗位符合度方面，目前仍沒有適當的監控指標。

通過表5的梳理，可以發現與“責任心差”“工作疏忽”相關的工作差錯數據仍不完善，需進一步建立相應的流程監控點及數據記錄。

4 結 語

SIPOC模型使參與某一特定工作流程的工作人員清晰地看到一幅描繪一項業務從開始到結束的實際完成過程的圖像，從而鑒別其他團隊或部門成員所做出的不同努力，了解他們或他們部門執行的任務與其他個人、團隊、部門所執行任務之間的關系。

SIPOC梳理出了各部門或業務流程的關鍵輸出項，也為風險的識別、風險探測因子的支持數據提供了全景梳理，為后續的風險管理工作提供了更為宏觀和系統的支持。

主要參考文獻

[1]戴云徽，韓之俊，郭春明.基于FMEA的出入境檢驗檢疫目標符合性條件篩選研究[J].技術經濟，2009（1）.

[2]戴云徽.出入境檢驗檢疫符合性條件的篩選、檢驗策劃及風險預警研究[D].南京：南京理工大學，2009.

[3]朱俊敏. 加強風險管理提升檢驗檢疫廉政建設水平[J]. 中國檢驗檢疫. 2013（3） .

[4]李宗，華菊. 對檢驗檢疫風險防范管理的認識[J]. 中國檢驗檢疫. 2011（3） .

[5] 孫蓓玲. 檢驗檢疫機構有效實施ISO9000質量管理研究[D]. 蘇州：蘇州大學，2007.

[6]李蔚，蔡淑琴. 建設項目集成的SIPOC模式及其組織支持[J]. 科研管理，2006（1） .

業務流程風險點范文第5篇

一、互聯網新技術新業務信息安全評估的內容

(一)評估內容。

工信部與三大運營商對互聯網新技術新業務信息安全評估的要求主要包括:與業務相關的網絡架構安全、設備安全、平臺安全、業務流程安全、內容安全、業務數據安全、系統運維及人員管理安全等方面。

(二)“傳統”安全評估的主要內容。

雖然目前的評估都來自于ISO13335－2信息安全風險管理中，但主要的內容為:管理脆弱性識別包括組織架構管理、人員安全管理、運維安全管理、審計安全管理等方面的評估技術脆弱性識別漏洞掃描:對網絡安全、網站安全、操作系統安全、數據庫安全等方面的脆弱性進行識別。基線安全:對各種類型操作系統(HP－UX、AIX、SOLARIS、LINUX、Windows等)、WEB應用(IIS、Tomcat等)、網絡設備等網元的安全配置進行檢查和評估。滲透測試:滲透測試是站在攻擊者的角度，對目標進行深入的技術脆弱性的挖掘。

(三)業務信息安全評估與“傳統”安全評估的對比。

雖然安全風險評估基本都按照了ISO13335－2中的方法來操作，但是通過對業務信息安全評估的內容和“傳統”安全評估內容對比不難看出，“傳統”安全評估主要集中在網絡、系統和應用軟件層，且每層的評估比較孤立，很難全面反映業務的主要風險。“以業務為中心、風險為導向”的業務系統安全評估能夠與客戶的業務密切結合，風險評估結果和安全建議能夠與客戶的業務發展戰略相一致，最終做到促進和保障業務戰略的實現。

二、互聯網新技術新業務信息安全評估的主要方法

“業務為中心、風險為導向”的信息安全評估思路互聯網新技術新業務信息安全評估是開展其他信息安全服務的基礎，而以“業務為中心、風險為導向”的信息安全評估思路，是切實落實信息安全風險評估的根本保證。

(一)主要流程。

對互聯網新技術新業務信息安全評估來說，分為三大基本步驟:一是深入業務，分析流程;二是業務威脅分析、業務脆弱性識別和人工滲透分析;三是風險分析和處置建議。

(二)深入業務，分析流程。

目標是了解業務信息系統承載的業務使命、業務功能、業務流程等;客觀準確把握業務信息系統的體系特征。管理層面調研和分析圍繞“業務”，管理調研的內容主要為組織架構、部門職責、崗位設置、人員能力、管理流程、審計流程等等，其調研核心是一系列的管理流程。通常，組織中有多種類型的管理流程，管理調研的重點是與信息安全有關的流程、制度及其落實、執行和效果情況。管理措施通常貫穿于整個管理流程之中，目的是保證管理流程的有效流傳或者不出現意外的紕漏。管控措施的設計一般都遵循一定的原則，如工作相關、職責分析、最小授權等等。業務系統層面調研和分析業務系統提供的功能一般是指被外界(例如客戶、用戶)所感知的服務項目或內容，是IT系統承載、支持的若干個業務流程所提供功能的總匯。一個具體的業務功能常常與多個業務流程相關，一種(個)業務功能，常常需要若干個業務流程來實現。例如數據的錄入流程、數據的修改流程、數據的處理流程等等。對于一個具體的信息系統來說，可以通過其提供的業務功能，對業務流程進行全面梳理、歸納，并驗證業務流程分析的完備性、系統性。一個具體的業務流程也常常跨越多個系統，某個具體的IT系統可能僅完成整個IT流程中的某一個活動。例如在短信增值服務中，SP與用戶手機短信收發就涉及到了短信中心、短信網關、智能網SCP等多個系統;另外，還涉及到了計費、BOSS等業務支撐系統以及網管等運維管理系統等。因此，業務功能通常是對業務系統進行調研的最佳切入點，并將業務流程簡化成為單純的數據處理過程，將各個應用軟件之間的數據傳輸簡化成為點對點的流。然后基于數據流分析，建立信息視圖，明確信息的流轉、分布、出入口，把業務系統簡化成為數據流的形式，可以更好地分析數據在各個階段所面臨的風險。

(三)脆弱性識別。

1．系統和應用軟件層脆弱性識別。對評估范圍內的主機操作系統及其上運行的數據庫/Web服務器/中間件等系統軟件的安全技術脆弱性，得到主機設備的安全現狀，包含當前安全模塊的性能、安全功能、穩定性以及在基礎設施中的功能狀態。

2．網絡層脆弱性識別。明確被評估系統和其他業務系統的接口邏輯關系、和其他業務系統的訪問關系、得出清晰的基礎設施拓撲圖;從網絡的穩定性、安全性、擴展性、(易于)管理性、冗余性幾個方面綜合評定網絡的安全狀況。

3．現有安全措施脆弱性識別。識別并分析現有安全措施的部署位置、安全策略，確定其是否發揮了應用的作用。

4．管理層脆弱性識別。識別和分析安全組織、安全管理制度、流程以及執行中存在的安全弱點。

(四)業務威脅分析。

對于業務系統來說，安全威脅及安全需求分析的最小單位是數據處理活動。可以通過安全威脅列表來識別威脅，構建安全威脅場景來進行威脅、風險分析。

1．列出評估的業務系統的全部安全威脅。如何能將安全威脅很好的列出來呢?可以借助一些現有的安全威脅分析模型，例如微軟Stride模型(假冒、篡改、否認、信息泄漏、拒絕服務、提升權限)都提供了一些安全威脅的分類方法。

2．識別和構造威脅路徑。依據自身(企業或部門級)的業務特點進行細化，識別和列出安全威脅來，如拒絕服務、業務濫用、業務欺詐、惡意訂購、用戶假冒、隱蔽、非法數據流、惡意代碼等。

3．業務滲透測試和攻擊路徑分析。因為業務的特性是“個性化”，那么就很難用一個或多個工具發現所有問題;且業務的個性化，在業務邏輯、接口等安全測評中，必須要有人工參與。利用業務流程分析、威脅分析和脆弱性分析的相關數據，實現滲透測試。