前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇業(yè)務(wù)流程風(fēng)險點(diǎn)范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

業(yè)務(wù)流程風(fēng)險點(diǎn)范文第1篇

國際金融危機(jī)后，世界經(jīng)濟(jì)進(jìn)入調(diào)整期，增長速度明顯放緩。我國市場下滑的同時使得各類企業(yè)的發(fā)展步履維艱，而企業(yè)也面臨著錯綜復(fù)雜的風(fēng)險與難以應(yīng)對的挑戰(zhàn)。在這樣的環(huán)境與背景下，企業(yè)必須將經(jīng)營重點(diǎn)置于風(fēng)險管理工作上，在關(guān)注外部風(fēng)險的同時，更需要對內(nèi)部的業(yè)務(wù)流程管理進(jìn)行嚴(yán)格而科學(xué)的管控，如此才能在激烈的市場競爭中獲取一席之地，并實(shí)現(xiàn)企業(yè)的可持續(xù)發(fā)展?；谄髽I(yè)業(yè)務(wù)流程管理對于抵抗風(fēng)險的重要性，以流程管理為視角，對企業(yè)風(fēng)險管理模式的構(gòu)建進(jìn)行分析與討論，在當(dāng)前的經(jīng)濟(jì)形勢下，對于企業(yè)的生存與發(fā)展具有較強(qiáng)的現(xiàn)實(shí)意義。

關(guān)鍵詞：

流程管理；企業(yè)；風(fēng)險管理模式；構(gòu)建

企業(yè)業(yè)務(wù)流程管理是以吸納業(yè)務(wù)流程重組、流程再造思想與工具為支撐要素，采用綜合性的方法強(qiáng)化組織戰(zhàn)略，旨在強(qiáng)化業(yè)務(wù)操作的精細(xì)性與規(guī)范化的一種管理方式。對其進(jìn)行合理運(yùn)用可以降低企業(yè)運(yùn)營成本，提高企業(yè)內(nèi)外部響應(yīng)速度，最終鞏固企業(yè)抵抗風(fēng)險的能力。以業(yè)務(wù)流程為入手點(diǎn)，將風(fēng)險管理有效融入流程環(huán)節(jié)中，實(shí)現(xiàn)與企業(yè)現(xiàn)有管理框架的耦合，是構(gòu)建基于流程管理方式下企業(yè)風(fēng)險管理模式的主要途徑，同時也是充分發(fā)揮風(fēng)險管理工作有效性的必要手段。

一、流程管理概念綜述

流程管理是一種綜合性與系統(tǒng)性較強(qiáng)的管理方法。流程可以看作是一種路線圖，主要涵蓋以完成某項工作為目標(biāo)，相關(guān)數(shù)據(jù)、信息、資料在不同單位、部門、人員之間傳遞的網(wǎng)絡(luò)。流程管理的中心是規(guī)范化的流程構(gòu)造，以該流程構(gòu)造為核心，將各項工作任務(wù)分配到各部門或各崗位，以績效體系為載體，對考核工作實(shí)施與落實(shí)，將目標(biāo)與激勵成功傳導(dǎo)至企業(yè)各層次，使每位員工均明確自身崗位職責(zé)，從而推動流程的良性運(yùn)轉(zhuǎn)。與此同時，將系統(tǒng)性的工作進(jìn)行流程化處理，可以清楚而詳細(xì)地將若干作業(yè)項目和它們的關(guān)聯(lián)人員及其相互工作關(guān)系進(jìn)行描述，進(jìn)而實(shí)現(xiàn)目標(biāo)的精細(xì)化管控。流程管理包括流程梳理、流程優(yōu)化、流程固化三個階段。流程梳理是對企業(yè)現(xiàn)行完整業(yè)務(wù)內(nèi)容與活動過程的摸底展現(xiàn)，在對企業(yè)流程體系進(jìn)行規(guī)劃與調(diào)整的同時，可以為企業(yè)內(nèi)部實(shí)現(xiàn)全面流程管理思想普及和手段落實(shí)提供不竭動力；流程優(yōu)化是在流程梳理的基礎(chǔ)之上，具有選擇性地運(yùn)用流程管理理念及信息技術(shù)工具對重點(diǎn)業(yè)務(wù)領(lǐng)域及關(guān)鍵流程進(jìn)行深層次的分析與優(yōu)化；流程固化則聚焦于將經(jīng)過分析優(yōu)化的新業(yè)務(wù)流程，借助制度、標(biāo)準(zhǔn)、信息系統(tǒng)等多種形式提高管理工作的規(guī)范性與顯性化。

二、構(gòu)建基于流程管理的企業(yè)風(fēng)險管理模式的可行性與現(xiàn)實(shí)意義

企業(yè)內(nèi)部的一系列業(yè)務(wù)流程集成了企業(yè)的運(yùn)營與發(fā)展，而所有單體業(yè)務(wù)流程中的活動或“子流程”是這些業(yè)務(wù)的支撐要素?；诖耍胪苿悠髽I(yè)穩(wěn)定而高效的運(yùn)營，需要以流程為著手點(diǎn)，提高其運(yùn)作效率?，F(xiàn)階段，市場競爭愈發(fā)激烈，經(jīng)過不斷地迭代演變，風(fēng)險管理已經(jīng)成為大型企業(yè)內(nèi)部管理不可或缺的組成部分，特別是在實(shí)際業(yè)務(wù)流程中融入風(fēng)險管理思想與手段之后，業(yè)務(wù)流程經(jīng)歷了綜合性與系統(tǒng)性的設(shè)計與改造，突破了以往各種“信息孤島”的狀態(tài)，從而初步構(gòu)建了以流程管理為基礎(chǔ)的企業(yè)風(fēng)險管理模式。

1.企業(yè)風(fēng)險管理與流程管理的目標(biāo)一致企業(yè)要想充分發(fā)揮風(fēng)險管理的功能作用，使之成為企業(yè)經(jīng)濟(jì)效益提升的支撐，首要任務(wù)是強(qiáng)化企業(yè)風(fēng)險點(diǎn)的控制與管理，并提高其有效性。而流程管理在關(guān)注業(yè)務(wù)流程風(fēng)險點(diǎn)的同時，還需要對流程成本、效益、質(zhì)量等因素進(jìn)行綜合性考慮。以此看來，企業(yè)風(fēng)險管理與流程管理在管理方法與關(guān)注點(diǎn)方面存在一定程度的差異，然而兩者具有高度的目標(biāo)一致性，且均統(tǒng)一于企業(yè)的戰(zhàn)略目標(biāo)，服務(wù)于企業(yè)的可持續(xù)發(fā)展。

2.流程管理是企業(yè)風(fēng)險管理實(shí)現(xiàn)顯性化的導(dǎo)向企業(yè)要想提高風(fēng)險管理工作的可操作性與科學(xué)性，就必須將風(fēng)險管理與流程有效地融合起來，構(gòu)建以業(yè)務(wù)流程管理為基礎(chǔ)支撐的風(fēng)險管理模式，將錯綜復(fù)雜的風(fēng)險管理活動進(jìn)行轉(zhuǎn)變，使其以流程輸入、輸出為導(dǎo)向，提高其動態(tài)化與層次性，同時以業(yè)務(wù)流程中無數(shù)個“工作流”為支撐要素，將關(guān)鍵控制點(diǎn)推送到業(yè)務(wù)流程中，將風(fēng)險管理與業(yè)務(wù)流程有效融合，進(jìn)而提高風(fēng)險管理的顯性化。

3.業(yè)務(wù)流程是企業(yè)開展風(fēng)險管理的基礎(chǔ)支撐作為一種循環(huán)流程，企業(yè)風(fēng)險管理主要包括業(yè)務(wù)分析、業(yè)務(wù)流程梳理、風(fēng)險識別、風(fēng)險評估、提出風(fēng)險控制策略、實(shí)施風(fēng)險管控、管控效果反饋與改進(jìn)等環(huán)節(jié)，因此其屬于一種業(yè)務(wù)流程為支撐要素，以信息系統(tǒng)為平臺，切實(shí)實(shí)施風(fēng)險預(yù)警、監(jiān)控與管理改進(jìn)的閉環(huán)管理模式。其工作的開展與進(jìn)行主要以企業(yè)各業(yè)務(wù)流程為依托，通過對風(fēng)險點(diǎn)進(jìn)行辨識，構(gòu)建風(fēng)險識別、分析、管控、改進(jìn)等多環(huán)節(jié)為一體的風(fēng)險管理框架，進(jìn)而以業(yè)務(wù)流程為基礎(chǔ)的風(fēng)險管控機(jī)制，實(shí)現(xiàn)企業(yè)各業(yè)務(wù)重要運(yùn)營活動與運(yùn)營單元的安全管控。由此可見，企業(yè)風(fēng)險管理與業(yè)務(wù)流程管理具有極為緊密的聯(lián)系，企業(yè)開展風(fēng)險管理需要以業(yè)務(wù)流程為基礎(chǔ)支撐。

三、流程管理視角下企業(yè)風(fēng)險管理模式構(gòu)建的相關(guān)措施

要想構(gòu)建并實(shí)施以流程管理為基礎(chǔ)要素的企業(yè)風(fēng)險管理模式，并提高其科學(xué)性與顯性化，就必須將企業(yè)業(yè)務(wù)流程管理框架設(shè)計作為風(fēng)險管理的頭緒，采取由上而下或自下而上的互動方式梳理企業(yè)目標(biāo)領(lǐng)域的業(yè)務(wù)流程，推動并實(shí)現(xiàn)每一層業(yè)務(wù)流程的目標(biāo)，進(jìn)而促進(jìn)企業(yè)總戰(zhàn)略目標(biāo)的實(shí)現(xiàn)。最終將風(fēng)險管理流程框架與具體業(yè)務(wù)風(fēng)險管理流程有機(jī)結(jié)合起來，并在該體系中對風(fēng)險點(diǎn)與關(guān)鍵流程管理環(huán)節(jié)進(jìn)行詳細(xì)描述，如此可以將流程管理有效的融入到企業(yè)風(fēng)險管理工作中，提高風(fēng)險管理工作的可行性與顯性化。

1.確立基于流程管理的企業(yè)風(fēng)險管理的“三道防線”為了構(gòu)建基于流程管理的企業(yè)風(fēng)險管理模式框架，首要任務(wù)是確立企業(yè)風(fēng)險管理的“三道防線”，為實(shí)現(xiàn)基于流程管理的企業(yè)風(fēng)險管理顯性化創(chuàng)造有效的基礎(chǔ)條件。以大型施工企業(yè)為例，第一道防線是經(jīng)營部與采購部，主要涉及工作包括招投標(biāo)、預(yù)決算、材料采購、設(shè)備采購等，施工企業(yè)需要注意招投標(biāo)工程項目的前期評估和預(yù)測，并強(qiáng)化對招投標(biāo)報價風(fēng)險的控制，對合同進(jìn)行科學(xué)化管理，同時需要構(gòu)建有效的成本管理與分析系統(tǒng)；而關(guān)于預(yù)決算過程，施工企業(yè)需要對工程施工的所有影響因素進(jìn)行充分的考慮，對其中的風(fēng)險因素進(jìn)行分析，提前做好應(yīng)對措施；在材料與設(shè)備采購方面，施工企業(yè)需要通過證件檢查與取樣試驗的方式，保證其使用性能與質(zhì)量，避免材料與設(shè)備質(zhì)量問題造成工程施工出現(xiàn)安全與質(zhì)量問題。第二道防線是工程部與安監(jiān)部。主要包括分包管理、質(zhì)量控制、施工協(xié)控、設(shè)備安監(jiān)、安全文明等工作，施工企業(yè)需要認(rèn)清合法分包的界限，及時、規(guī)范、嚴(yán)謹(jǐn)?shù)睾炗喓贤?，并對各環(huán)節(jié)委托授權(quán)進(jìn)行嚴(yán)格審查；在質(zhì)量控制過程中，施工企業(yè)需要針對風(fēng)險源與事故多發(fā)工序進(jìn)行嚴(yán)格控制，規(guī)范施工工藝與操作行為，及時處理質(zhì)量問題與安全隱患；而對施工中的機(jī)械設(shè)備進(jìn)行定期的安全監(jiān)督與檢查極為必要，可以有效防止機(jī)械設(shè)備故障造成的工程安全與質(zhì)量問題；與此同時，強(qiáng)化企業(yè)全體員工的安全意識，可以從根本上降低施工風(fēng)險出現(xiàn)的概率。第三道防線是財務(wù)部與辦公室。針對施工準(zhǔn)備、施工過程、竣工結(jié)算等階段，對施工直接成本與間接成本進(jìn)行嚴(yán)格的決算與把控，并竭力在合同審查中為施工企業(yè)爭取更多的經(jīng)濟(jì)利益；辦公室需要加強(qiáng)行政、人事、信息等方面的管理，規(guī)范行政制度，強(qiáng)化企業(yè)員工的崗位責(zé)任心，防止信息泄露，充分發(fā)揮企業(yè)風(fēng)險控制的輔助作用。

2.流程管理視角下企業(yè)風(fēng)險管理體系設(shè)計企業(yè)需要以全部業(yè)務(wù)流程的構(gòu)成情況為邏輯架構(gòu)，并將其視為風(fēng)險管理工作的骨架與脈絡(luò)，在基于流程管理的企業(yè)風(fēng)險管理體系設(shè)計過程中，首要任務(wù)是打破傳統(tǒng)職能部門與組織機(jī)構(gòu)的流程組織方式，對企業(yè)業(yè)務(wù)流程的頂層結(jié)構(gòu)明確定義，并以分層方式對指導(dǎo)框架進(jìn)行細(xì)化，對一層進(jìn)行完善以后，才允許進(jìn)行下一層指導(dǎo)框架的處理與構(gòu)建。在基于流程管理的風(fēng)險管理體系中，各單位的戰(zhàn)略規(guī)劃、業(yè)務(wù)流程與職責(zé)、業(yè)務(wù)流程圖及目錄梳理成果等是構(gòu)成體系的基本要素與支撐，對企業(yè)各部門的主要業(yè)務(wù)職責(zé)和業(yè)務(wù)特點(diǎn)進(jìn)行了集中反映；在該體系中，企業(yè)需要以企業(yè)的戰(zhàn)略規(guī)劃與規(guī)章制度作為牽引動力，為該體系的高效運(yùn)轉(zhuǎn)注入源源不竭的推動力量；與此同時，企業(yè)要想構(gòu)建基于流程管理的風(fēng)險管理模式，還需要對國際上流程框架的案例進(jìn)行充分參考與借鑒，例如ERP模型、APQC模型等，借助這些案例，企業(yè)可以對價值鏈為線索的流程組織方式理解得更充分。

3.基于流程管理的企業(yè)風(fēng)險管理模式的精細(xì)化分析以體系設(shè)計的角度來看，業(yè)務(wù)流程梳理是構(gòu)建基于流程管理企業(yè)風(fēng)險管理模式的必要條件。如圖1所示，首先對企業(yè)各個業(yè)務(wù)流程的性質(zhì)與涉及的領(lǐng)域進(jìn)行分析與參考，從流程的始端對風(fēng)險進(jìn)行辨識評估和內(nèi)控診斷，對業(yè)務(wù)流程框架進(jìn)行確定。然后需要對該框架實(shí)施風(fēng)險分析與缺陷認(rèn)定，建立起風(fēng)險管理與業(yè)務(wù)流程的接口，并在這個過程中對重點(diǎn)業(yè)務(wù)流程進(jìn)行確定和明確，而后需要對風(fēng)險信息與業(yè)務(wù)流程一一對應(yīng)的關(guān)系進(jìn)行繪制，最終編制出“風(fēng)險—流程控制矩陣”。企業(yè)的部門管理者、業(yè)務(wù)復(fù)雜人或業(yè)務(wù)骨干均需要參與到業(yè)務(wù)梳理中來，形成一個負(fù)責(zé)流程梳理工作的團(tuán)隊，該團(tuán)隊需要任用不同的人才負(fù)責(zé)相應(yīng)層次的業(yè)務(wù)梳理與描述，并擴(kuò)展業(yè)務(wù)梳理的覆蓋面與范圍，保證覆蓋到所有業(yè)務(wù)活動。提高該模式的精細(xì)化需要構(gòu)建詳細(xì)的流程細(xì)化模型，主要包括：規(guī)范合理的主流程模型、子流程模型、具體操作流程模型、各項模板及相關(guān)指導(dǎo)文件、其中各流程模型包含的責(zé)任主體及參與單位。提高基于流程管理的企業(yè)風(fēng)險管理工作的精細(xì)化，有助于企業(yè)提高風(fēng)險管理工作的規(guī)范性與科學(xué)化。

四、A企業(yè)構(gòu)建基于業(yè)務(wù)流程的風(fēng)險管理思路及措施

我國大型施工企業(yè)A企業(yè)開展了全企業(yè)范圍內(nèi)的風(fēng)險管理流程，在確定了業(yè)務(wù)流程框架以后，按照重點(diǎn)風(fēng)險排序，企業(yè)將物資采購選定為重大風(fēng)險進(jìn)行管理控制。企業(yè)將“基于業(yè)務(wù)流程”作為控制采購風(fēng)險的入手點(diǎn)，圍繞業(yè)務(wù)流程的關(guān)鍵控制點(diǎn)，對制度設(shè)計、職權(quán)行使與監(jiān)管等方面的風(fēng)險進(jìn)行了排查與控制。第一步，該企業(yè)工作組針對物資流程，對其現(xiàn)狀與環(huán)節(jié)進(jìn)行了摸底，明確了流程設(shè)計中的不足與缺陷，與物資采購負(fù)責(zé)與監(jiān)管部門協(xié)同合作，依照《企業(yè)內(nèi)部控制規(guī)范》與企業(yè)運(yùn)營實(shí)際情況，對物資采購制度與流程規(guī)范進(jìn)行了完善與優(yōu)化，提高物資采購的可行性、合理性與科學(xué)性；第二步，依照流程節(jié)點(diǎn)對物資采購的風(fēng)險點(diǎn)進(jìn)行明確，例如：采購方案的制訂與選擇、與供應(yīng)商的合作、招投標(biāo)或比價采購、合同的簽訂、貨物的檢查與試驗、貨款的支付等；第三步，對業(yè)務(wù)流程關(guān)鍵控制點(diǎn)依據(jù)所涉及的崗位進(jìn)行風(fēng)險辨識分析，對其中可能存在的物資采購風(fēng)險進(jìn)行排查，例如：招投標(biāo)或比價采購過程中暗箱操作、審批流程存在缺陷、材料取樣試驗不嚴(yán)格等；第四步，充分結(jié)合定性與定量分析的方法，對物資采購風(fēng)險發(fā)生的可能性進(jìn)行分析，依據(jù)崗位工作重要性和控制金額兩個因素對物資采購風(fēng)險的影響程度進(jìn)行描述與確定；第五步，制訂物資采購風(fēng)險評價標(biāo)準(zhǔn)，依據(jù)物資采購風(fēng)險發(fā)生的概率與影響程度，進(jìn)行分值的劃分，依照從高到低的順序，將風(fēng)險發(fā)生概率與影響程度依照1、2、3、4、5五個等級進(jìn)行歸類；第六步，鼓勵所有崗位人員評價物資采購風(fēng)險重要性，而后編制物資采購風(fēng)險排序表，進(jìn)而繪制如圖2所示的風(fēng)險重要性水平圖譜。圖譜中，黑色區(qū)域（A）的風(fēng)險等級為高危風(fēng)險，A企業(yè)需要及時采取針對性措施予以防范、解決；灰色區(qū)域（B）為中等風(fēng)險，A企業(yè)需要對此提高重視程度，并掌握其實(shí)時動態(tài)；白色區(qū)域（C）為低等級風(fēng)險，通常情況下為企業(yè)可以接受的風(fēng)險。依據(jù)物資采購風(fēng)險重要性水平圖譜，A企業(yè)可以高效、高質(zhì)量地完成物資采購工作的風(fēng)險控制。

五、結(jié)論

構(gòu)建基于流程管理的企業(yè)風(fēng)險管理模式具有較強(qiáng)的綜合性與復(fù)雜性，該模式邏輯架構(gòu)層次分明，具有較強(qiáng)的精細(xì)化與規(guī)范化，對于細(xì)化分析業(yè)務(wù)流程，明確業(yè)務(wù)流程中的風(fēng)險環(huán)節(jié)與操作，凸顯關(guān)鍵風(fēng)險控制點(diǎn)具有較強(qiáng)的可操作意義。同時可以將具體的風(fēng)險因素的排查與風(fēng)險控制點(diǎn)的管控落實(shí)到相應(yīng)部門，明確崗位“權(quán)、責(zé)、利”的科學(xué)分配，最終使業(yè)務(wù)流程成為橋梁，提高風(fēng)險管理工作的固化與顯性化，推動企業(yè)的可持續(xù)發(fā)展。

參考文獻(xiàn)

[1]王鋒.財務(wù)風(fēng)險在經(jīng)營活動中的定位[J].中國商貿(mào)，2015（，4）：35-36.

[2]王怡文，柯柏成.美國企業(yè)高階管理階層對風(fēng)險管理觀念之剖析[J].中國內(nèi)部審計，2015（，1）：58-60.

[3]杜放，馮家杰.我國企業(yè)風(fēng)險管理的現(xiàn)狀、問題及對策探析[J].物流技術(shù)，2014（，23）：103-105.

[4]程強(qiáng)，顧新.基于COSO風(fēng)險管理的知識鏈知識轉(zhuǎn)化風(fēng)險防范研究[J].圖書館學(xué)研究，2015（，5）：45-48，34.

業(yè)務(wù)流程風(fēng)險點(diǎn)范文第2篇

在構(gòu)建內(nèi)部控制體系的實(shí)際工作中，最重要的環(huán)節(jié)是《關(guān)鍵控制管理文件》的建立，本文將重點(diǎn)對《關(guān)鍵控制管理文件》的編制做具體介紹。

一、《關(guān)鍵控制管理文件》的編制程序

按照一致性、先進(jìn)和實(shí)用相結(jié)合、繼承與完善相結(jié)合、可操作性等原則，根據(jù)國家相關(guān)法律法規(guī)以及撫順石化相關(guān)管理制度和管理現(xiàn)狀的需要，依照以下程序編制《關(guān)鍵控制管理文件》：

（一）在撫順石化內(nèi)控項目組（以下稱項目組）擬定的《關(guān)鍵控制管理文件》的基礎(chǔ)上，由各專業(yè)管理流程編制人員（以下稱編制人員）制定《關(guān)鍵控制管理文件》初稿后，再經(jīng)復(fù)核人員審查。

（二）中國石油總部項目組和外部專業(yè)人士對審查后的《關(guān)鍵控制管理文件》初稿進(jìn)行審閱，提出咨詢意見，再由編制人員修改后，報撫順石化領(lǐng)導(dǎo)和一級流程負(fù)責(zé)人審定。

（三）經(jīng)項目組負(fù)責(zé)人員審查后，形成報審稿，報中國石油內(nèi)部控制體系建設(shè)委員會最終審定后，執(zhí)行。

二、《關(guān)鍵控制管理文件》的主要內(nèi)容

（一）關(guān)鍵控制管理文件說明。該部分主要說明了《關(guān)鍵控制管理文件》的編制依據(jù)、主要內(nèi)容、實(shí)施要求，便于所屬單位貫徹實(shí)施。

（二）重要業(yè)務(wù)流程目錄。該部分反映了與中石油總部《關(guān)鍵控制管理文件》進(jìn)行對應(yīng)后形成的撫順公司的13個一級流程、100個末級子流程的總體情況。

（三）業(yè)務(wù)流程圖。業(yè)務(wù)流程圖是在對控制現(xiàn)狀進(jìn)行梳理的基礎(chǔ)上，對相關(guān)業(yè)務(wù)流程的主要控制環(huán)節(jié)、控制步驟和操作程序進(jìn)行的規(guī)范性描述。在此次完善業(yè)務(wù)流程圖時，重點(diǎn)對關(guān)鍵控制點(diǎn)涉及的流程圖進(jìn)行了修訂。

（四）關(guān)鍵控制文檔。以中石油總部關(guān)鍵控制文檔為藍(lán)本，描述公司涉及的全部關(guān)鍵控制、重要風(fēng)險、實(shí)施證據(jù)和制度索引。

（五）風(fēng)險控制文檔。涉及關(guān)鍵控制流程對應(yīng)的風(fēng)險控制文檔，重點(diǎn)對關(guān)鍵控制涉及的控制措施予以強(qiáng)化，確保關(guān)鍵控制涉及的各項風(fēng)險關(guān)鍵控制得到關(guān)注。

（六）程序控制文件。程序控制文件是對相關(guān)業(yè)務(wù)流程進(jìn)行風(fēng)險控制分析后，對流程的適用范圍、風(fēng)險、部門職責(zé)、控制、控制證據(jù)及管理制度索引進(jìn)行規(guī)范描述的制度文件。

（七）制度索引表。對關(guān)鍵控制涉及的相關(guān)內(nèi)控制度予以對應(yīng)索引，有利于各項的持續(xù)改進(jìn)和不斷完善。

三、《關(guān)鍵控制管理文件》的編制步驟

（一）明確重要業(yè)務(wù)流程

1.項目組將中石油總部《關(guān)鍵控制管理文件》中確定的重要業(yè)務(wù)流程目錄，與撫順石化公司前階段確定的業(yè)務(wù)流程目錄進(jìn)行對應(yīng)，結(jié)合撫順石化公司管理實(shí)際，確定撫順公司《重要業(yè)務(wù)流程目錄》初稿。撫順石化公司重要業(yè)務(wù)流程將13個一級流程、100個末級子流程納入《關(guān)鍵控制管理文件》的編制范圍。

根據(jù)重要業(yè)務(wù)流程目錄，對各主要業(yè)務(wù)流程及其風(fēng)險點(diǎn)進(jìn)行描述，形成初步業(yè)務(wù)流程圖和風(fēng)險控制文檔。

2.與中石油總部重要業(yè)務(wù)流程的差異：一級流程與中石油總部確定的一級流程一致。但末級子流程方面，根據(jù)撫順石化的具體業(yè)務(wù)情況，減少了拆遷管理、地質(zhì)勘探支出、證實(shí)石油儲量、油氣成本核算、原油銷售、天然氣銷售、成品油零售、成品油批發(fā)、現(xiàn)收貨款、國債回購、資產(chǎn)委托管理、定期結(jié)算、債務(wù)管理（除或有負(fù)債外的6個子流程）、對外財務(wù)報告（總部）共計18個末級子流程；并對涉及存貨、賬戶管理、內(nèi)部資金劃撥、票據(jù)管理、對內(nèi)財務(wù)報告、會計業(yè)務(wù)處理、合同與糾紛等7個子流程進(jìn)行了不同程度的細(xì)分。

（二）編制關(guān)鍵控制文檔

按照中石油總部《關(guān)鍵控制管理文件》已確認(rèn)的關(guān)鍵控制文檔的描述，對應(yīng)撫順石化重要業(yè)務(wù)流程中相關(guān)的控制點(diǎn)，修訂出適合企業(yè)實(shí)際業(yè)務(wù)的關(guān)鍵控制文檔。對本企業(yè)從未發(fā)生的業(yè)務(wù)，涉及的關(guān)鍵控制不再列入關(guān)鍵控制文檔。

需要注意的是，在編制本企業(yè)關(guān)鍵控制文檔時要對控制措施進(jìn)行準(zhǔn)確的描述，不能隨意擴(kuò)大其外延或壓縮其內(nèi)涵。比如，某關(guān)鍵控制描述為A崗位審核某數(shù)據(jù)。實(shí)際風(fēng)險控制中A崗位審核某數(shù)據(jù)之前的申請或提報以及之后的交接，如果無其他關(guān)鍵控制約束，則不應(yīng)列入關(guān)鍵控制。有關(guān)A崗位審核的事項，則需要完整清晰地描述。隨意擴(kuò)大關(guān)鍵控制范圍則會引起測試樣本量的增加，有意縮小則易造成關(guān)鍵控制無效。

（三）持續(xù)改進(jìn)業(yè)務(wù)流程圖

根據(jù)前期已確認(rèn)的重要業(yè)務(wù)流程及描繪的業(yè)務(wù)流程圖,重新進(jìn)行全面梳理和拆并，使描述的業(yè)務(wù)流程圖更加符合企業(yè)的業(yè)務(wù)流程現(xiàn)狀。

流程圖式樣的細(xì)節(jié)方面，在中石油總部流程圖式樣的基礎(chǔ)上，針對流程圖圖標(biāo)、背景、流程編號、風(fēng)險與控制點(diǎn)位置、職能帶寬度、框架邊距、結(jié)束標(biāo)記等進(jìn)行了修訂。

（四）修改完善風(fēng)險控制文檔

1.風(fēng)險控制文檔修改的總體情況

撫順石化100項重要業(yè)務(wù)流程，全部編制了風(fēng)險控制文檔，并已進(jìn)行了全面的修改和完善。設(shè)置風(fēng)險點(diǎn)409個，控制654 條；其中重要風(fēng)險258個，關(guān)鍵控制266個。

與中石油總部《關(guān)鍵控制管理文件》中相對應(yīng)的關(guān)鍵控制減少95條。其中：因沒有相關(guān)業(yè)務(wù)流程而減少重要風(fēng)險5個，減少關(guān)鍵控制5條；因?qū)儆诎鍓K和股份公司的業(yè)務(wù)而減少重要風(fēng)險90個，減少關(guān)鍵控制90條。

2.修改風(fēng)險控制文檔的過程

對于一級流程風(fēng)險控制文檔中關(guān)鍵控制描述的修改，應(yīng)將中石油總部《關(guān)鍵控制管理文件》中對關(guān)鍵控制的描述與本企業(yè)前期描述的風(fēng)險控制文檔中的相關(guān)控制進(jìn)行一一對應(yīng)，區(qū)分情況，對差異分別進(jìn)行處理：原風(fēng)險控制文檔描述不完善、表述不準(zhǔn)確的風(fēng)險、控制、措施，按照中石油總部提供的示范予以修改；缺失的關(guān)鍵控制，分析原因，予以補(bǔ)充、完善。對于風(fēng)險控制文檔中一般控制也應(yīng)按照中石油總部項目組提出的相關(guān)要求和關(guān)鍵控制中的示范格式，予以完善。

對末級流程風(fēng)險控制文檔中，無關(guān)鍵控制的，則不再列入關(guān)鍵控制管理文件。涉及關(guān)鍵控制的，即使只有一個，也需將同一末級流程的其他非關(guān)鍵控制措施納入關(guān)鍵控制管理文件。

對于關(guān)鍵控制應(yīng)在風(fēng)險控制文檔上標(biāo)注編號，與關(guān)鍵控制文檔進(jìn)行對應(yīng)。規(guī)范風(fēng)險控制文檔格式，統(tǒng)一標(biāo)準(zhǔn)。對風(fēng)險控制文檔中風(fēng)險類別、控制目標(biāo)、控制方法、控制頻率、制度文件索引等其他要素進(jìn)行完善。

3.修改完善過程中應(yīng)注意的問題

（1）重點(diǎn)關(guān)注中石油總部《關(guān)鍵控制管理文件》中確認(rèn)的關(guān)鍵控制在撫順石化原風(fēng)險控制文檔中的相關(guān)描述，做到關(guān)鍵控制無遺漏。

（2）以流程順序、控制步驟為主線，對風(fēng)險控制進(jìn)行描述，做到控制描述前后連貫、系統(tǒng)，不重不漏。

（3）控制描述要做到要素齊全、層次清晰、表述準(zhǔn)確。

（4）控制描述以撫順石化的管理現(xiàn)狀為基礎(chǔ)，結(jié)合總公司、煉油與化工專業(yè)分公司管理制度和要求，確定相關(guān)控制規(guī)范。

（5）對撫順石化重要業(yè)務(wù)流程，如長期投資管理、采購、銷售、存貨管理、資金管理、固定資產(chǎn)管理、會計核算、財務(wù)報告等，予以特別關(guān)注。

（五）收集、整理、規(guī)范關(guān)鍵控制證據(jù)

1.收集、整理規(guī)范關(guān)鍵控制證據(jù)的總體情況

撫順石化內(nèi)控項目組共收集了證據(jù)示樣221份，規(guī)范實(shí)施證據(jù)114份。項目組確認(rèn)關(guān)鍵控制示范證據(jù)示樣114份，涵蓋了100項重要業(yè)務(wù)流程。這些控制證據(jù)的收集和規(guī)范，對于保障關(guān)鍵控制的實(shí)施，強(qiáng)化公司基礎(chǔ)管理水平將起到重要作用。

2.收集、整理規(guī)范關(guān)鍵控制證據(jù)的過程

（1）確定關(guān)鍵控制證據(jù)目錄。撫順石化針對關(guān)鍵控制，對于控制過程中控制力相對較強(qiáng)、具有示范意義的控制證據(jù)，確認(rèn)為關(guān)鍵控制示范證據(jù)。如一些經(jīng)常性檢查工作無證據(jù)的，可采取工作日志作為證據(jù)。

（2）按照規(guī)范、統(tǒng)一、合理的原則，對關(guān)鍵控制證據(jù)的設(shè)計格式、控制要素、控制作用進(jìn)行逐項審定。

（六）收集、整理、修改、補(bǔ)充管理制度

1.收集、整理、修改、補(bǔ)充管理制度的總體情況

撫順石化共收集《關(guān)鍵控制管理文件》涉及的管理制度132個，其中，撫順公司制定管理制度88個，股份公司管理制度32個，國家財政、稅務(wù)等部門管理制度12個。本次收集的289個撫順公司管理制度中，擬對110個管理制度進(jìn)行修改完善，擬新制定《租賃管理辦法》、《或有負(fù)債管理辦法》，《無形資產(chǎn)管理辦法》等32個管理制度。這些管理原則，基本涵蓋了風(fēng)險控制管理文件中的各項控制措施。

2.制度修改、完善關(guān)注的主要問題

（1）全面收集控制相關(guān)的管理制度，確保相關(guān)控制都應(yīng)有相關(guān)制度作支撐。

（2）對于缺失的管理制度，進(jìn)行補(bǔ)充。

（3）對于描述不準(zhǔn)確、不完整、與控制有矛盾的制度條款進(jìn)行修改。

（4）除收集本企業(yè)制定的管理制度外，還應(yīng)收集整理國家有關(guān)制度、總公司以及煉油與銷售專業(yè)分公司相關(guān)管理制度。

（七）編制程序控制文件

撫順石化在進(jìn)行上述幾項工作后，將相關(guān)業(yè)務(wù)流程的適用范圍、風(fēng)險、部門職責(zé)、控制、管理制度索引、控制證據(jù)、控制證據(jù)示范等內(nèi)容進(jìn)行全面歸集，從而形成業(yè)務(wù)流程規(guī)范性的程序文件。其中，關(guān)鍵流程風(fēng)險控制文檔中的非關(guān)鍵控制措施也要在控制文件中描述。撫順石化對全部100項重要業(yè)務(wù)流程編制了控制程序文件。

四、編制《關(guān)鍵控制管理文件》的經(jīng)驗

第一，集中辦公，提高工作效率。關(guān)鍵控制編制階段的專業(yè)性較強(qiáng)，煉化企業(yè)人員構(gòu)成中，專職負(fù)責(zé)內(nèi)控工作的財務(wù)、審計人員較少，因此要充分發(fā)揮各處室業(yè)務(wù)骨干作用，集中人員，集中辦公，提高溝通協(xié)調(diào)效率。

第二，統(tǒng)一關(guān)鍵控制文檔模板。一方面，模板不統(tǒng)一會造成要素不全；另一方面，模板不統(tǒng)一，不易進(jìn)行匯編，會給其后印刷制冊工作帶來很多工作量。

第三，合理分配人員。受各部門業(yè)務(wù)分工的局限，有些業(yè)務(wù)流程涉及專業(yè)多，要注意協(xié)調(diào)流程間的接口；有些部門涉及流程較多，工作量大，特別是財務(wù)內(nèi)部流程，容易造成工作量不平衡。因此，要注意人員的合理分工，忙閑結(jié)合，按期完成各階段的控制目標(biāo)。

第四，加強(qiáng)二次培訓(xùn)。因內(nèi)控工作專業(yè)性較強(qiáng)，一些語言晦澀難懂，在培訓(xùn)上要加大力度。對操作性的關(guān)鍵環(huán)節(jié)，要明確目標(biāo)，示范舉例；確保項目的實(shí)質(zhì)內(nèi)涵清晰，通過提供足夠的標(biāo)準(zhǔn)文本，避免發(fā)生猜測與臆想；采用選擇或填空的方法，解決表單填寫的技術(shù)難題。

業(yè)務(wù)流程風(fēng)險點(diǎn)范文第3篇

由于對原有手工業(yè)務(wù)流程的重新設(shè)計，ERP系統(tǒng)的實(shí)施在很大程度上改變了企業(yè)的業(yè)務(wù)流程。在ERP系統(tǒng)實(shí)施以前，許多企業(yè)基于計算機(jī)的業(yè)務(wù)系統(tǒng)，基本都是圍繞某一業(yè)務(wù)功能或者是職能部門運(yùn)行的，比如銷售系統(tǒng)、采購系統(tǒng)和財務(wù)系統(tǒng)等。這些系統(tǒng)都不是基于跨部門的流程來設(shè)計的。ERP系統(tǒng)實(shí)現(xiàn)了從采購到付款、訂單的獲取到發(fā)票的開出等業(yè)務(wù)集成，實(shí)現(xiàn)了跨職能部門業(yè)務(wù)處理。

在這種情況下，ERP系統(tǒng)中單一的數(shù)據(jù)庫，使過去跨部門的審批流程得到簡化和壓縮。壓縮所造成的一個結(jié)果是，用于企業(yè)內(nèi)部控制的許多審計線索在ERP系統(tǒng)的引入后消失了。同時，企業(yè)過去基于文件審批的內(nèi)部控制機(jī)制，也無法適應(yīng)ERP基于流程的管理需要。更重要的是，由于企業(yè)的業(yè)務(wù)運(yùn)作更加依賴于ERP系統(tǒng)，這種依賴和信息系統(tǒng)本身特點(diǎn)所導(dǎo)致的脆弱性，形成了企業(yè)新的業(yè)務(wù)風(fēng)險。

實(shí)施ERP系統(tǒng)后，企業(yè)所遇到的業(yè)務(wù)風(fēng)險一般來自四個方面：業(yè)務(wù)流程、應(yīng)用架構(gòu)、數(shù)據(jù)質(zhì)量和技術(shù)架構(gòu)。其中，業(yè)務(wù)流程的轉(zhuǎn)變對企業(yè)內(nèi)部控制的影響最大，對企業(yè)內(nèi)部管理和財務(wù)方面的監(jiān)控提出了新的要求，這方面的風(fēng)險特征相比過去發(fā)生了根本性的變化。例如，在ERP系統(tǒng)中，通過對手工流程的機(jī)器處理，比如審批處理自動化等，進(jìn)一步增強(qiáng)了完成各種業(yè)務(wù)流程的效率。但是，在新的業(yè)務(wù)執(zhí)行環(huán)境中，這些審批處理自動化方法將改變企業(yè)內(nèi)部原有的一些風(fēng)險特征，這時相應(yīng)的內(nèi)部控制體系就需要重新評估和設(shè)計。

內(nèi)部控制蘊(yùn)涵新的風(fēng)險

ERP實(shí)行的是流程化的管理，打破了原來職能部門的條塊分割，實(shí)現(xiàn)了企業(yè)資源的統(tǒng)一管理和共享。企業(yè)的運(yùn)行和管理在一定程度上已經(jīng)交給了ERP系統(tǒng)來進(jìn)行控制。

這樣一來，一方面導(dǎo)致企業(yè)所處的內(nèi)部風(fēng)險環(huán)境發(fā)生了變化，過去手工狀態(tài)下的控制風(fēng)險，由于ERP系統(tǒng)的引入而變得更加復(fù)雜；另一方面，ERP系統(tǒng)的實(shí)施需要對原有的業(yè)務(wù)流程進(jìn)行優(yōu)化和設(shè)計，改變了企業(yè)的組織結(jié)構(gòu)。

流程優(yōu)化的目的就是減少或合并流程中重復(fù)的、不增值的環(huán)節(jié)，原有的基于手工作業(yè)流程中有利于控制的重復(fù)環(huán)節(jié)將消失，這樣一來內(nèi)部控制體系會發(fā)生變化。這些變化必然對企業(yè)內(nèi)部的整體控制體系的有效性產(chǎn)生負(fù)面影響。在這種情況下，就需要企業(yè)對基于ERP系統(tǒng)的關(guān)鍵業(yè)務(wù)流程的內(nèi)部控制進(jìn)行定期的審核，確認(rèn)是否存在足夠的有效控制以降低由于ERP系統(tǒng)的使用而帶來的業(yè)務(wù)風(fēng)險。

定內(nèi)部控制目標(biāo)

針對由ERP系統(tǒng)實(shí)施所帶來的新的業(yè)務(wù)控制風(fēng)險，我們需要對企業(yè)內(nèi)部控制體系做重新評估和完善。ERP系統(tǒng)實(shí)施之后，內(nèi)部控制評估的目標(biāo)通常包括下面這些內(nèi)容：

1.利用風(fēng)險評估手段重新確定企業(yè)中關(guān)鍵的業(yè)務(wù)流程；

2.對整個流程和控制的設(shè)計進(jìn)行評估，確定這些控制是否很好地滿足和支持最終業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)；

3.對崗位職責(zé)分離的評估，確保在整個流程中存在正確的稽核點(diǎn)和平衡點(diǎn)，對敏感業(yè)務(wù)交易給出足夠的訪問限制；

4.評估控制方式是否合理，比如基于手工流程的控制和基于系統(tǒng)的自動控制是否搭配合理。

確定評估范圍

一般來說，ERP系統(tǒng)將覆蓋營銷、計劃、生產(chǎn)、采購、倉儲、財務(wù)、人力資源等企業(yè)運(yùn)營管理的各個層面。根據(jù)經(jīng)驗，如果對每個流程和控制點(diǎn)都進(jìn)行評估在資源的利用上是非常不經(jīng)濟(jì)的。

ERP系統(tǒng)的控制評估必須基于風(fēng)險管理的原則，通過風(fēng)險評估尋找對主要業(yè)務(wù)運(yùn)作中影響最大的領(lǐng)域。換句話說，我們可以從企業(yè)整個業(yè)務(wù)風(fēng)險域中尋找對企業(yè)具有最大風(fēng)險的業(yè)務(wù)流程，從而進(jìn)一步確定有哪些ERP模塊在支持這些業(yè)務(wù)流程。

一般來說，我們通過對業(yè)務(wù)流程所有者的訪談，來確定我們的評估范圍。

在對實(shí)施了ERP系統(tǒng)的企業(yè)的調(diào)研和風(fēng)險評估中，我們發(fā)現(xiàn)，ERP系統(tǒng)中涉及到企業(yè)收入業(yè)務(wù)、支出業(yè)務(wù)和庫存業(yè)務(wù)的系統(tǒng)控制流程對企業(yè)的業(yè)務(wù)能否順利運(yùn)轉(zhuǎn)影響比較大。對于這種影響，是這樣定義的：由于業(yè)務(wù)控制的削弱，導(dǎo)致企業(yè)出現(xiàn)經(jīng)濟(jì)問題和違規(guī)問題的可能性增加。

例如，企業(yè)管理層非常關(guān)注財務(wù)控制的內(nèi)部和外部流程，因為那些這些流程決定了財務(wù)數(shù)據(jù)的準(zhǔn)確性，是反映企業(yè)運(yùn)作是否健康的“脈搏”。因此，我們通常會更關(guān)注收入業(yè)務(wù)，它包括主數(shù)據(jù)維護(hù)、銷售訂單處理、發(fā)運(yùn)、開票、退貨和收款等控制內(nèi)容。

在確定評估范圍之后，我們需要對這些流程進(jìn)行描述和分析。對ERP流程中的每個動作，我們都需要追溯到它的結(jié)果，描述風(fēng)險特征并確認(rèn)相應(yīng)的控制點(diǎn)。

在ERP環(huán)境中，通常有兩種控制方式我們需要考慮：一種是基于系統(tǒng)的控制，另一種是基于流程的控制。在ERP系統(tǒng)支撐的業(yè)務(wù)流程中，上述兩種方式通常需要結(jié)合使用。

手工控制主要依靠個人職責(zé)的履行來完成。比如，通常付款是需要通過填表、簽字確認(rèn)才可支付的?；贓RP系統(tǒng)的控制，是由軟件來完成的，通過控制數(shù)據(jù)的有效性和合理性來限制和核查動作的合法性。ERP系統(tǒng)的參數(shù)設(shè)置將決定這個領(lǐng)域的控制級別。

這些控制包括用戶訪問、字段驗證、工作流和許多其他用于確保數(shù)據(jù)處理一致性的控制。例如，系統(tǒng)會自動拒絕生成一張與前一次序號相同的發(fā)票。這樣就自動降低了差錯發(fā)生的可能性和應(yīng)付帳款處理的混亂。

值得注意的是，在ERP系統(tǒng)實(shí)施過程中，某些二次開發(fā)工作會削弱在系統(tǒng)中已經(jīng)設(shè)置好的控制，從而產(chǎn)生新的風(fēng)險因子。這個時候，我們必須要用手工控制來彌補(bǔ)。

需要了解的是，即便根據(jù)ERP系統(tǒng)的要求，調(diào)整和優(yōu)化了內(nèi)部控制，減少了由于“流程自動化”帶來的內(nèi)部控制可能的削弱，仍然無法徹底消除系統(tǒng)本身的特點(diǎn)導(dǎo)致的控制盲區(qū)。這在復(fù)雜的系統(tǒng)接口和多用戶訪問情形下，問題是比較突出的。

很少有企業(yè)用一個系統(tǒng)將企業(yè)所有的數(shù)據(jù)和流程都管理起來。所以，ERP系統(tǒng)和其他系統(tǒng)之間的接口是實(shí)現(xiàn)不同系統(tǒng)間數(shù)據(jù)互聯(lián)互通的必需。這些位于不同系統(tǒng)之間的接口是一個重要的風(fēng)險區(qū)域。

業(yè)務(wù)流程風(fēng)險點(diǎn)范文第4篇

[關(guān)鍵詞]檢驗檢疫；SIPOC；風(fēng)險管理

doi：10.3969/j.issn.1673 - 0194.2015.18.096

[中圖分類號]F224 [文獻(xiàn)標(biāo)識碼]A [文章編號]1673-0194（2015）18-0-02

0 引 言

檢驗檢疫本身是風(fēng)險管理的一種方法和手段，是為了確認(rèn)進(jìn)口/出口商品符合國內(nèi)/海外的標(biāo)準(zhǔn)和要求，防止不合格品的流入/出（把關(guān)失效）。為實(shí)現(xiàn)檢驗檢疫的基本職能，風(fēng)險管理作為基本的研究課題，非常必要。

風(fēng)險存在于業(yè)務(wù)流程的各個環(huán)節(jié)之中，進(jìn)行風(fēng)險識別，首先要對業(yè)務(wù)過程進(jìn)行梳理。SIPOC（Supplier供應(yīng)者、Input輸入、Process過程、Output輸出、Customer客戶）是識別業(yè)務(wù)流程中關(guān)鍵風(fēng)險源的分析方法。通過這種方法，人們可將業(yè)務(wù)流程（如某減值點(diǎn)）分解為若干關(guān)鍵點(diǎn)，并明確其目標(biāo)和涉及的人、財、物及流程等要素，以確保全面梳理該流程所涉及的風(fēng)險。

1 SIPOC概述

SIPOC模型定義：SIPOC模型是一代質(zhì)量大師戴明提出來的組織系統(tǒng)模型，是一門最有用且最常用的流程管理和改進(jìn)技術(shù)。戴明認(rèn)為任何組織都是一個由供應(yīng)者（Supplier）、輸入（Input）、流程（Process）、輸出（Output）以及客戶（Customer）相互關(guān)聯(lián)互動的5個部分組成的系統(tǒng)，即SIPOC。

SIPOC模型的關(guān)鍵點(diǎn)包括以下幾點(diǎn)。

（1）所有的員工和工作單元都是不同業(yè)務(wù)流程的供應(yīng)商和客戶。

（2）當(dāng)你從組織中的其他個人、團(tuán)隊或組織外的來源處獲得原料、信息或服務(wù)時，你就是客戶。

（3）當(dāng)你為組織中的其他個人、團(tuán)隊或組織外部的客戶提供原料信息或服務(wù)時，你就是供應(yīng)商。

（4）你作為客戶得到的原料、信息或服務(wù)就是輸入。

（5）你作為供應(yīng)商向其他個人或團(tuán)隊提供的原料、信息或服務(wù)就是輸出。

（6）你的工作不是一個孤立的活動，而是整個工作流程的一部分。所謂的工作流程是指接受。

（7）供應(yīng)商的輸入，在每一個步驟上為這些輸入加入一些有價值的東西并且生產(chǎn)輸出物的滿足客戶需求的過程。

2 分析方法

運(yùn)用SIPOC的方法從流程的角度出發(fā)，針對關(guān)鍵業(yè)務(wù)或事項，結(jié)合檢驗檢疫的各項工作目標(biāo)，考慮影響目標(biāo)實(shí)現(xiàn)的關(guān)鍵因素。

首先要組建團(tuán)隊，對流程或業(yè)務(wù)相關(guān)的部門進(jìn)行工作訪談，一同整理或收集相關(guān)的制度文件，用SIPOC技術(shù)梳理關(guān)鍵部門的業(yè)務(wù)流程，SIPOC的梳理次序如表1所示。

梳理過程中強(qiáng)調(diào)的是：始于客戶，反向操作。

通過運(yùn)用SIPOC技術(shù)的梳理功能，可獲得各業(yè)務(wù)流程的輸出項，工作質(zhì)量可通過輸出項的數(shù)據(jù)進(jìn)行量化；已識別出來的風(fēng)險，可追溯到各流程的輸出項進(jìn)行評估，而原因的分析可以追溯到工作流程、信息供應(yīng)商輸入的完備及準(zhǔn)確性等。

3 分析內(nèi)容

圖1展示了檢驗檢疫職能的簡易SIPOC。針對檢驗檢疫過程，應(yīng)用以上介紹的SIPOC技術(shù)的流程圖舉例如表2～表5所示。

通過表2可以發(fā)現(xiàn)目前業(yè)務(wù)流程中缺失與風(fēng)險監(jiān)控相關(guān)的輸出數(shù)據(jù)（表2中黃色、暗紅色標(biāo)示的輸出項）。

通過表3的梳理，可以發(fā)現(xiàn)“標(biāo)準(zhǔn)不明確”“標(biāo)準(zhǔn)難執(zhí)行”與流程中在征求意見環(huán)節(jié)、有效性評估環(huán)節(jié)方面的缺陷。

通過表4的梳理，可以發(fā)現(xiàn)在人員與崗位符合度方面，目前仍沒有適當(dāng)?shù)谋O(jiān)控指標(biāo)。

通過表5的梳理，可以發(fā)現(xiàn)與“責(zé)任心差”“工作疏忽”相關(guān)的工作差錯數(shù)據(jù)仍不完善，需進(jìn)一步建立相應(yīng)的流程監(jiān)控點(diǎn)及數(shù)據(jù)記錄。

4 結(jié) 語

SIPOC模型使參與某一特定工作流程的工作人員清晰地看到一幅描繪一項業(yè)務(wù)從開始到結(jié)束的實(shí)際完成過程的圖像，從而鑒別其他團(tuán)隊或部門成員所做出的不同努力，了解他們或他們部門執(zhí)行的任務(wù)與其他個人、團(tuán)隊、部門所執(zhí)行任務(wù)之間的關(guān)系。

SIPOC梳理出了各部門或業(yè)務(wù)流程的關(guān)鍵輸出項，也為風(fēng)險的識別、風(fēng)險探測因子的支持?jǐn)?shù)據(jù)提供了全景梳理，為后續(xù)的風(fēng)險管理工作提供了更為宏觀和系統(tǒng)的支持。

主要參考文獻(xiàn)

[1]戴云徽，韓之俊，郭春明.基于FMEA的出入境檢驗檢疫目標(biāo)符合性條件篩選研究[J].技術(shù)經(jīng)濟(jì)，2009（1）.

[2]戴云徽.出入境檢驗檢疫符合性條件的篩選、檢驗策劃及風(fēng)險預(yù)警研究[D].南京：南京理工大學(xué)，2009.

[3]朱俊敏. 加強(qiáng)風(fēng)險管理提升檢驗檢疫廉政建設(shè)水平[J]. 中國檢驗檢疫. 2013（3） .

[4]李宗，華菊. 對檢驗檢疫風(fēng)險防范管理的認(rèn)識[J]. 中國檢驗檢疫. 2011（3） .

[5] 孫蓓玲. 檢驗檢疫機(jī)構(gòu)有效實(shí)施ISO9000質(zhì)量管理研究[D]. 蘇州：蘇州大學(xué)，2007.

[6]李蔚，蔡淑琴. 建設(shè)項目集成的SIPOC模式及其組織支持[J]. 科研管理，2006（1） .

業(yè)務(wù)流程風(fēng)險點(diǎn)范文第5篇

一、互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)信息安全評估的內(nèi)容

(一)評估內(nèi)容。

工信部與三大運(yùn)營商對互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)信息安全評估的要求主要包括:與業(yè)務(wù)相關(guān)的網(wǎng)絡(luò)架構(gòu)安全、設(shè)備安全、平臺安全、業(yè)務(wù)流程安全、內(nèi)容安全、業(yè)務(wù)數(shù)據(jù)安全、系統(tǒng)運(yùn)維及人員管理安全等方面。

(二)“傳統(tǒng)”安全評估的主要內(nèi)容。

雖然目前的評估都來自于ISO13335－2信息安全風(fēng)險管理中，但主要的內(nèi)容為:管理脆弱性識別包括組織架構(gòu)管理、人員安全管理、運(yùn)維安全管理、審計安全管理等方面的評估技術(shù)脆弱性識別漏洞掃描:對網(wǎng)絡(luò)安全、網(wǎng)站安全、操作系統(tǒng)安全、數(shù)據(jù)庫安全等方面的脆弱性進(jìn)行識別?；€安全:對各種類型操作系統(tǒng)(HP－UX、AIX、SOLARIS、LINUX、Windows等)、WEB應(yīng)用(IIS、Tomcat等)、網(wǎng)絡(luò)設(shè)備等網(wǎng)元的安全配置進(jìn)行檢查和評估。滲透測試:滲透測試是站在攻擊者的角度，對目標(biāo)進(jìn)行深入的技術(shù)脆弱性的挖掘。

(三)業(yè)務(wù)信息安全評估與“傳統(tǒng)”安全評估的對比。

雖然安全風(fēng)險評估基本都按照了ISO13335－2中的方法來操作，但是通過對業(yè)務(wù)信息安全評估的內(nèi)容和“傳統(tǒng)”安全評估內(nèi)容對比不難看出，“傳統(tǒng)”安全評估主要集中在網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用軟件層，且每層的評估比較孤立，很難全面反映業(yè)務(wù)的主要風(fēng)險?！耙詷I(yè)務(wù)為中心、風(fēng)險為導(dǎo)向”的業(yè)務(wù)系統(tǒng)安全評估能夠與客戶的業(yè)務(wù)密切結(jié)合，風(fēng)險評估結(jié)果和安全建議能夠與客戶的業(yè)務(wù)發(fā)展戰(zhàn)略相一致，最終做到促進(jìn)和保障業(yè)務(wù)戰(zhàn)略的實(shí)現(xiàn)。

二、互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)信息安全評估的主要方法

“業(yè)務(wù)為中心、風(fēng)險為導(dǎo)向”的信息安全評估思路互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)信息安全評估是開展其他信息安全服務(wù)的基礎(chǔ)，而以“業(yè)務(wù)為中心、風(fēng)險為導(dǎo)向”的信息安全評估思路，是切實(shí)落實(shí)信息安全風(fēng)險評估的根本保證。

(一)主要流程。

對互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)信息安全評估來說，分為三大基本步驟:一是深入業(yè)務(wù)，分析流程;二是業(yè)務(wù)威脅分析、業(yè)務(wù)脆弱性識別和人工滲透分析;三是風(fēng)險分析和處置建議。

(二)深入業(yè)務(wù)，分析流程。

目標(biāo)是了解業(yè)務(wù)信息系統(tǒng)承載的業(yè)務(wù)使命、業(yè)務(wù)功能、業(yè)務(wù)流程等;客觀準(zhǔn)確把握業(yè)務(wù)信息系統(tǒng)的體系特征。管理層面調(diào)研和分析圍繞“業(yè)務(wù)”，管理調(diào)研的內(nèi)容主要為組織架構(gòu)、部門職責(zé)、崗位設(shè)置、人員能力、管理流程、審計流程等等，其調(diào)研核心是一系列的管理流程。通常，組織中有多種類型的管理流程，管理調(diào)研的重點(diǎn)是與信息安全有關(guān)的流程、制度及其落實(shí)、執(zhí)行和效果情況。管理措施通常貫穿于整個管理流程之中，目的是保證管理流程的有效流傳或者不出現(xiàn)意外的紕漏。管控措施的設(shè)計一般都遵循一定的原則，如工作相關(guān)、職責(zé)分析、最小授權(quán)等等。業(yè)務(wù)系統(tǒng)層面調(diào)研和分析業(yè)務(wù)系統(tǒng)提供的功能一般是指被外界(例如客戶、用戶)所感知的服務(wù)項目或內(nèi)容，是IT系統(tǒng)承載、支持的若干個業(yè)務(wù)流程所提供功能的總匯。一個具體的業(yè)務(wù)功能常常與多個業(yè)務(wù)流程相關(guān)，一種(個)業(yè)務(wù)功能，常常需要若干個業(yè)務(wù)流程來實(shí)現(xiàn)。例如數(shù)據(jù)的錄入流程、數(shù)據(jù)的修改流程、數(shù)據(jù)的處理流程等等。對于一個具體的信息系統(tǒng)來說，可以通過其提供的業(yè)務(wù)功能，對業(yè)務(wù)流程進(jìn)行全面梳理、歸納，并驗證業(yè)務(wù)流程分析的完備性、系統(tǒng)性。一個具體的業(yè)務(wù)流程也常?？缭蕉鄠€系統(tǒng)，某個具體的IT系統(tǒng)可能僅完成整個IT流程中的某一個活動。例如在短信增值服務(wù)中，SP與用戶手機(jī)短信收發(fā)就涉及到了短信中心、短信網(wǎng)關(guān)、智能網(wǎng)SCP等多個系統(tǒng);另外，還涉及到了計費(fèi)、BOSS等業(yè)務(wù)支撐系統(tǒng)以及網(wǎng)管等運(yùn)維管理系統(tǒng)等。因此，業(yè)務(wù)功能通常是對業(yè)務(wù)系統(tǒng)進(jìn)行調(diào)研的最佳切入點(diǎn)，并將業(yè)務(wù)流程簡化成為單純的數(shù)據(jù)處理過程，將各個應(yīng)用軟件之間的數(shù)據(jù)傳輸簡化成為點(diǎn)對點(diǎn)的流。然后基于數(shù)據(jù)流分析，建立信息視圖，明確信息的流轉(zhuǎn)、分布、出入口，把業(yè)務(wù)系統(tǒng)簡化成為數(shù)據(jù)流的形式，可以更好地分析數(shù)據(jù)在各個階段所面臨的風(fēng)險。

(三)脆弱性識別。

1．系統(tǒng)和應(yīng)用軟件層脆弱性識別。對評估范圍內(nèi)的主機(jī)操作系統(tǒng)及其上運(yùn)行的數(shù)據(jù)庫/Web服務(wù)器/中間件等系統(tǒng)軟件的安全技術(shù)脆弱性，得到主機(jī)設(shè)備的安全現(xiàn)狀，包含當(dāng)前安全模塊的性能、安全功能、穩(wěn)定性以及在基礎(chǔ)設(shè)施中的功能狀態(tài)。

2．網(wǎng)絡(luò)層脆弱性識別。明確被評估系統(tǒng)和其他業(yè)務(wù)系統(tǒng)的接口邏輯關(guān)系、和其他業(yè)務(wù)系統(tǒng)的訪問關(guān)系、得出清晰的基礎(chǔ)設(shè)施拓?fù)鋱D;從網(wǎng)絡(luò)的穩(wěn)定性、安全性、擴(kuò)展性、(易于)管理性、冗余性幾個方面綜合評定網(wǎng)絡(luò)的安全狀況。

3．現(xiàn)有安全措施脆弱性識別。識別并分析現(xiàn)有安全措施的部署位置、安全策略，確定其是否發(fā)揮了應(yīng)用的作用。

4．管理層脆弱性識別。識別和分析安全組織、安全管理制度、流程以及執(zhí)行中存在的安全弱點(diǎn)。

(四)業(yè)務(wù)威脅分析。

對于業(yè)務(wù)系統(tǒng)來說，安全威脅及安全需求分析的最小單位是數(shù)據(jù)處理活動?？梢酝ㄟ^安全威脅列表來識別威脅，構(gòu)建安全威脅場景來進(jìn)行威脅、風(fēng)險分析。

1．列出評估的業(yè)務(wù)系統(tǒng)的全部安全威脅。如何能將安全威脅很好的列出來呢?可以借助一些現(xiàn)有的安全威脅分析模型，例如微軟Stride模型(假冒、篡改、否認(rèn)、信息泄漏、拒絕服務(wù)、提升權(quán)限)都提供了一些安全威脅的分類方法。

2．識別和構(gòu)造威脅路徑。依據(jù)自身(企業(yè)或部門級)的業(yè)務(wù)特點(diǎn)進(jìn)行細(xì)化，識別和列出安全威脅來，如拒絕服務(wù)、業(yè)務(wù)濫用、業(yè)務(wù)欺詐、惡意訂購、用戶假冒、隱蔽、非法數(shù)據(jù)流、惡意代碼等。

3．業(yè)務(wù)滲透測試和攻擊路徑分析。因為業(yè)務(wù)的特性是“個性化”，那么就很難用一個或多個工具發(fā)現(xiàn)所有問題;且業(yè)務(wù)的個性化，在業(yè)務(wù)邏輯、接口等安全測評中，必須要有人工參與。利用業(yè)務(wù)流程分析、威脅分析和脆弱性分析的相關(guān)數(shù)據(jù)，實(shí)現(xiàn)滲透測試。