傳遞預警信息的基本方式
一旦監控結果超越了預警線,應立刻向上反饋。♀言情穿越書更新首發,你只來+然而,在「問題匯報惰性法則」的影響下,公司出現事故或問題時,員工一般有三種表現形式︰第一種,除了少數熱愛公司的員工外,多數員工不會主動去把問題「吃掉」,而是躲得遠遠的,更不會主動向上級匯報;第二種,即使匯報,也會因為怕被訓斥或被懲罰,只願意匯報給越級檢查的管理者,而不是直接管理者;第三種,在平級之間傳播,因為他們覺得這樣沒有任何風險。但他們是將事故作為一種消息或消遣的話題來傳播的,這種傳播往往蠱惑人心,不利于問題的解決,更不利于公司的團結。
如何解決上述不良現象呢?我們可制定一些固化的反饋程序和各種日常報告制度實現強制反饋。
根據內控管理職責的分工,公司總部應建立日常報告、定期報告、專項報告和即時報告相結合的分類報告體系。這里需要說明的是,前面提到的跨級報告和此處所說的這些報告實際上是同一工作內容的不同體現方式,有的相互交叉,有的各自專屬。比如,跨級報告屬于非常規性報告,與之相對應的是日常性的工作報告。對風險事項的報告一般是按照逐級反饋、跨級反饋、升級反饋的程序進行的。除常規固定格式的月報、季報、年報之外,針對突發、偶發和重大危機事項,要形成一事一報的即時報告機制,同時對即時報告的處置時效要作出明確的要求。
在整個控制系統中,報告實際上是一種反饋的基本方式。在內控管理過程中,應建立路徑清晰的預警和反饋報告體系,以保證預警信息的及時性,使其盡快傳遞到相應層級人員或部門手中,提高風險預警處理效率和反饋效果。公司應結合工作實際,根據風險或違規事項的嚴重程度以及報告對象的不同,設計出針對業務部門、公司管理層、董事會層面、監管機構等不同層級的反饋報告路徑,以此提高風險處置的效率和力度。
1.常規報告
常規報告包括兩種形式,一種是各部門定期向內控管理部提交的合規報告,另一種是公司向行政監管部門提交的中期或年度監管報告。其中,公司的中期與年度監管報告需要公司董事、高級管理人員簽署確認意見,以保證報告內容的真實性、準確性、完整性。如果有人對報告內容持有異議,應當注明自己的意見和理由。
常規報告主要包括工作日志、工作(半)月報、季報、年報等。工作日志是指內控管理員工就當日現場檢查到的業務事項,填寫工作日志,以備檢查。如果存在業務異常或合規隱患,要如實地在日志上記錄下來,並按規定向上報告。
工作月報是指內控管理員工將當月所在部門合規管理情況進行匯總、分析,提出工作建議,並于次月某日(比如5日)前向內控管理部門提交書面報告。
2.非常規報告
非常規報告主要是針對一般合規風險和重大合規風險報告的情形。它和常規報告的區別是,後者的報告人是公司各部門和負責履行合規管理職責的歸口部門或崗位,而前者的報告人可以是公司所有部門和員工。非常規報告主要有臨時報告、專項報告、跨級報告等。
臨時報告是指合規管理崗位人員在日常的合規管理工作中,將自己認為需要向內控管理部門溝通或聯系的事項形成文件,向上報告。♀
專項報告是指合規管理崗位人員結合公司合規管理工作的要求,針對某一主題開展的專項合規檢查,並據此向內控管理部提交的報告。
有下列情形之一的,應在兩個工作日內提交臨時(專項)報告︰
(1)部門發生違法違規或涉嫌違法違規行為。
(2)發現可能存在合規風險或發現較大風險隱患。
(3)就重大合規事項無法與部門負責人達成一致。
(4)監管部門進行現場檢查、專項調查或采取監管措施的情形。
(5)認為需要報送的其他情形。
根據風險事項或違規事項的嚴重程度和報告對象的不同,向業務部門、公司管理層、董事會層面、監管機構等不同層級的反饋報告路徑應不同。
新制式監控
「這樣辦」與「不可以那麼辦」互補結合
雙內控管理並不是機械地把「監控」與「控制」分離,而是注重分離後的「互動式」運行,這就是新制式監控。
有效的監督是進行內控管理的必要保障。企業整體的規範發展,不僅需要經營與監督的同步,還需要在監督層面做到「監控」與「控制」既良性互動,又有效分工。控制的職能一般都體現在業務現場,使「控制成為監控的基礎」;監控的職能則由公司總部**的風險控制或合規管理部門在現場外實施。前者側重「只能這樣辦」,後者側重「不可以那麼辦」,兩者是相輔相成的關系,構成了現場內「控制」與現場外「監控」的兩道風險防線,實現提高風險管理的效果。
在內控管理的職責推進上,不僅通過界定將「監控」與「控制」這兩個不同風險管理環節的職能明確劃分,而且要形成明確的互動情形,從而實現風險監控部門「風險監控」的**,以及與一線業務部門的「風險控制」這兩道風險防線的有效分工。這樣就不僅達到了「經營與監督」雙線條制衡,而且「監控與控制」也是雙線條制衡的結果。
一線現場控制環節,監理(內控專人)負責所在部門的風險,並同步監督本部門經營管理、業務運作,根據現場情況進行即時判斷,預測並把控、阻斷、處置可能發生的風險。監理在風險控制方面接受風險控制部門的檢查、評價,並與風險控制部門之間形成報告和被報告的關系。這樣保證了風險控制部門既可以對公司範圍內的風險點進行**的識別、評估、監控,又能對發現的問題及時通過預警、揭示、檢查等方式反饋給部門監理,並保持對監理的持續跟蹤監控,對其整改、處理的結果形成確認和跟進。
對各環節的全面控制,必須由公司最底層通過相互連接的行動,以並行的方式來實現。在業務和管理上,監理受內部控制部門的直接指導和專門的監督考核,這樣才能保證各部門的監理緊緊依附于合規管理、風險控制的每一個環節。
為保障內控管理職能的有效發揮,公司應通過嚴密的組織結構構建一個完善的制度體系,為內控管理提供堅實的組織和制度保障。
為了讓大家更深入地理解監控與控制的「互動式」運行,我們以信息技術為例進行剖析。
1.互動運行的依據
就任何一項業務而言,因為監控與控制的終極目標一致,都是為了更好地開展業務,所以其依據也是相同的,自然離不開相關的規範文件。目前關于信息技術監控已經出台的相關規範性文件主要有︰《建築與建築群綜合布線系統工程設計規範》《電子計算機機房設計規範》《計算站場地技術條件》《技術站場地安全要求》《建築設計防火規範》《火災自動報警系統設計規範》《氣體滅火系統施工及驗收規範》《建築滅火器配置設計規範》等。
2.互動運行的關鍵點
一般來說,企業所有層級和單元都需要信息系統的支持。信息系統是企業收集、加工、存儲和傳遞信息的管理平台。企業信息系統控制的關鍵點主要有︰
(1)企業信息系統規劃不合理,有可能造成重復建設和資源浪費,導致企業經營管理效率的降低和控制的失效,甚至信息泄露。
(2)信息系統開發不符合內部控制要求,授權管理不當,可能導致無法利用信息技術實施有效控制。
(3)信息系統的運行維護和安全措施不到位,可能導致信息泄露或毀損,給企業造成難以估量的損失。
(4)信息系統對新技術的跟進和采用不夠,可能導致信息系統的落伍。
信息系統管理的基本控制層面主要涵蓋的內容可參考下圖所示︰
相對控制來說,其同步運行的監控功能一般會在這樣幾種情況下啟動:公司級的系統改造,軟件升級、更新,分支機構的信息系統改造、新建,信息技術預算,信息系統大額項目的采購招標,其他可能涉及信息系統監控崗的相關重要項目等。在項目立項或招標時,監控部門就開始介入,並進行會議和招標記錄,隨時了解項目的進度和系統建設小組的工作動態。必要時,還需要到工作現場對項目實施進度進行跟蹤。與相關部門共同掌管的應用系統的超級管理員密碼,同樣也要依據相關系統權限管理辦法的規定,對超級管理員要有一個使用、審批的流程和合規的審查程序。
3.風險監控的主要程序
對于監控的主要內容,可以按照事前風險評估、事中實時監控、事後風險控制三步走的方法去完成。
(1)事前風險監控︰項目立項過程的現場監督
這個環節一般是通過列席項目立項及招標會議,進行風險評估與合規審查。合規審查事前事項主要包括︰公司級的系統改造,公司級的系統軟件升級、更新,分支機構、服務部的信息系統改造、新建,信息技術預算,信息系統較大數額項目(軟、硬件)的采購招標,其他可能涉及信息系統監控崗位的相關重要項目。針對這些項目,監控須在立項或招標時就開始介入,對該項目前期實施過程實時跟蹤、監控,及時發現可能出現的系統風險,提出風險控制建議,並代表風險控制部門發表**意見。
另外,應用系統的超級管理員密碼一般都是與相關部門共同掌管的,依據相關系統權限和管理辦法,對超級管理員制定具體的使用、審批流程和合規審查。
(2)事中實時監控︰項目實施過程的現場監督
根據目前公司在線生產系統的不同,風險類別可以劃分為︰物理安全風險、系統安全風險、網絡安全風險、應用系統安全風險、用戶安全風險、數據安全風險等。針對不同的風險類別,要采用不同的方法、手段實行全面監控,具體如下︰
?物理安全風險監控。在投入正常使用後,對機房設備的檢查和維護記錄(要求書面文件)等進行不定期檢查。
?系統安全風險監控。主要檢查系統技術手段的實現情況、及時升級情況;檢查操作系統的安全配置是否達到c2級的安全級別;是否使用專用工具(mbsa)定期對系統進行漏洞檢測;安全漏洞修補是否用sus服務器實時下載微軟補丁,並傳輸到客戶端等。
?網絡安全風險監控。主要檢查是否做到網段隔離,不同的網段之間能不能直接訪問;不同網段是否安裝了防火牆;是否實現對不同網段、不同用戶的隔離;防病毒軟件是否及時更新等。
?應用系統安全風險監控。主要檢查系統自身是否有身份認證,訪問權限控制、數據傳輸是否校驗,對關鍵的系統是否實行強制留痕等。
?用戶安全風險監控。主要內容有不同角色登錄是否系統限制、用戶登錄事件是否審核,是否記錄用戶的登錄信息和操作信息,是否對安裝網絡版防病毒軟件的客戶端的計算機進行檢查等。
?數據安全風險的監控。是否對公司涉及的數據進行了防止竊密、篡改、重發、偽造的設置,網絡上傳輸的數據是否加密,是否做到多種備份手段保證數據的完整性、可靠性等。
目前信息系統監控崗位與相關部門崗位共同掌握的管理員密碼有︰與業務部門共同掌握的櫃台交易系統超級管理員密碼,與財務部門共同掌握的資產管理系統超級管理員密碼,與資產經營部門共同掌握的銀行間同業拆借本幣系統首席交易員密碼,與合規審查崗位共同掌握的內控系統超級管理員密碼等。
這部分的監控一般都是以相關的權限管理辦法為依據,對超級管理員的現場使用、現場操作進行監督、檢查,並有對相關資料的留痕。
(3)事後風險控制︰系統應用檢查評價
通過對物理系統、網絡系統、應用系統、用戶安全、數據安全情況等進行不定期檢查,實現對信息系統安全運行的有效監督。
根據對信息系統風險監控的檢查和評估,提出整改意見和糾正措施,並對涉嫌違規行為提出處罰建議,以此不斷完善風險控制機制,進一步提高風險控制意識。
內控部門根據在監控過程中發現的問題,認為需要實施現場稽核(包括系統立項、後台管理使用、數據庫的使用、權限管理等事項),可以通過向稽核審計部門傳遞聯動卡的形式,提請稽核審計部門在現場稽核審計時予以重點關注,從而實現監控與審計的有效聯動。
分離才能實現有效制衡
新制式監控的另一個特點就是監控的「分離式」。「監控」的分離式具體來說就是四大職能的分離,即決策與執行、監督與經營、授權與操作、技術與業務的科學分離。分離是為了監督,也是為了更有效地實現封閉和制衡。制衡和封閉可以防止風險傳遞,從而有利于實現更有效的監控。
當然,上述分離制衡是一個常用的情形,應用到不同企業、公司、部門內應結合自身實際及內控水平,區分不同的分離模式。如,分管財務的不得分管采購業務,分管貸前審批的不得分管放貸業務,分管風控、稽核的不得分管業務經營。分離與制衡不僅體現在業務經營與管理上,還體現在監控崗位的分工上,如證券公司監控自營業務專人不得監控資產管理業務,監控投資銀行業務專人不得監控自營業務,監控經紀業務專人不得監控其他業務,合規審查崗位必須**行使職能,等等。
業務崗位的操作也是這樣。辦理客戶資金開戶的崗位與辦理客戶交易業務的崗位相互分離,資金業務崗與委托報盤業務崗要分離,電腦人員與會計人員要分離,電腦人員與其他業務人員也要分離,等等。
以授權與操作的分離為例。公司可制定《董事會授權規則》《公司授權管理暫行辦法》,嚴格規範授權管理。公司授權分日常授權和特別授權兩種方式。日常授權體現在公司經營管理的各個方面,公司各級經營管理核心層在公司制度體系下,在授予權限的範圍內開展工作。特別授權則根據需要由專人提出申請,填寫《特別授權申請表》,逐級上報審批後授予相應崗位或人員。特別授權強調在規定時限內一事一授,用完之後要及時收回權限,或權限自動注銷。
管理,就是能讓恰當的人干恰當的事,所以,用人所長,不為短處所限;要用優點,容忍缺點;用偏才,不苛求全才。對于高級管理人員來說,要當好領導,就得知道「自己什麼也不行」,而對被授權的不同下級卻要非常清楚「哪件事情由誰去干準能行」。
如果不能做到這一點,在授權過程中就很容易出現如下現象︰
?管理者角色錯位,對自己定位不清,缺乏授權意識。
?授權關系不明確,不知道哪些人可以授權,哪些人不可以授權。
?授權不到位,只是形式上的授權,事無大小照抓不放。
?授權不及時,不能夠根據客觀情況的變化進行適度調整。
?雖進行授權,但是監督不到位,未能做到有效考核和定期評價,未能與個人的責權利密切掛鉤。
一個公司授權的基礎和前提是能選對人(有誠信、有能力),內控管理到位,信息傳遞暢通。
為更好地防範風險,特別是防範可能產生風險的任何漏洞,對一些關鍵崗位還應實施a、b角色替換的無縫餃接辦法,即明確規定,重要崗位責任人(a角色)因故離崗、缺崗時,實行職務代理制度,通過書面移交方式,由代理崗位責任人(b角色)代行其工作職責,從而將工作移交給替代人員。
特別授權申請表(樣表)
編號︰
這種情況不只是針對一般員工,公司總經理也不例外。當公司的高級管理人員因故離崗一周以上時,也必須填寫授權書,將管理權限、業務權限授予相應的崗位人員,同時應明確規定所需要進行職務代理的崗位、時間。職務代理還應遵循崗位制衡原則,對于不相容的崗位,不得互相代理。這樣保證了對公司組織體系的有效補充和完善,做到只要有崗就有合適的人來替代和承擔責任,保證各項業務順利開展、各種職能正常發揮,使整個機構運轉更加順暢和清晰。
例如,在信息系統的管理中,信息系統的權限管理應嚴格按照《各系統的權限設置指引》來執行,要明確認識到,應用系統、數據庫系統、網絡系統都要進行權限設置,權限設置要首先做到合法合規,遵循集中管理、統一分配、分級授權、權限最小化等原則。各系統的超級管理員密碼根據業務性質不同,由不同的部門或崗位分段掌握,權限設置分初設、新設、變更、注銷等,每進行一項都必須履行申請、審批手續。在手續完備的基礎上,由系統管理員聯合進入系統進行設置,風險控制部門在此過程中要履行監督檢查職責。
`11`
(