第十章
传递预警信息的基本方式
一旦监控结果超越了预警线,应立刻向上反馈。♀言情穿越书更新首发,你只来+然而,在“问题汇报惰性法则”的影响下,公司出现事故或问题时,员工一般有三种表现形式:第一种,除了少数热爱公司的员工外,多数员工不会主动去把问题“吃掉”,而是躲得远远的,更不会主动向上级汇报;第二种,即使汇报,也会因为怕被训斥或被惩罚,只愿意汇报给越级检查的管理者,而不是直接管理者;第三种,在平级之间传播,因为他们觉得这样没有任何风险。但他们是将事故作为一种消息或消遣的话题来传播的,这种传播往往蛊惑人心,不利于问题的解决,更不利于公司的团结。
如何解决上述不良现象呢?我们可制定一些固化的反馈程序和各种日常报告制度实现强制反馈。
根据内控管理职责的分工,公司总部应建立日常报告c定期报告c专项报告和即时报告相结合的分类报告体系。这里需要说明的是,前面提到的跨级报告和此处所说的这些报告实际上是同一工作内容的不同体现方式,有的相互交叉,有的各自专属。比如,跨级报告属于非常规性报告,与之相对应的是日常性的工作报告。对风险事项的报告一般是按照逐级反馈c跨级反馈c升级反馈的程序进行的。除常规固定格式的月报c季报c年报之外,针对突发c偶发和重大危机事项,要形成一事一报的即时报告机制,同时对即时报告的处置时效要作出明确的要求。
在整个控制系统中,报告实际上是一种反馈的基本方式。在内控管理过程中,应建立路径清晰的预警和反馈报告体系,以保证预警信息的及时性,使其尽快传递到相应层级人员或部门手中,提高风险预警处理效率和反馈效果。公司应结合工作实际,根据风险或违规事项的严重程度以及报告对象的不同,设计出针对业务部门c公司管理层c董事会层面c监管机构等不同层级的反馈报告路径,以此提高风险处置的效率和力度。
1常规报告
常规报告包括两种形式,一种是各部门定期向内控管理部提交的合规报告,另一种是公司向行政监管部门提交的中期或年度监管报告。其中,公司的中期与年度监管报告需要公司董事c高级管理人员签署确认意见,以保证报告内容的真实性c准确性c完整性。如果有人对报告内容持有异议,应当注明自己的意见和理由。
常规报告主要包括工作日志c工作月报c季报c年报等。工作日志是指内控管理员工就当日现场检查到的业务事项,填写工作日志,以备检查。如果存在业务异常或合规隐患,要如实地在日志上记录下来,并按规定向上报告。
工作月报是指内控管理员工将当月所在部门合规管理情况进行汇总c分析,提出工作建议,并于次月某日前向内控管理部门提交书面报告。
2非常规报告
非常规报告主要是针对一般合规风险和重大合规风险报告的情形。它和常规报告的区别是,后者的报告人是公司各部门和负责履行合规管理职责的归口部门或岗位,而前者的报告人可以是公司所有部门和员工。非常规报告主要有临时报告c专项报告c跨级报告等。
临时报告是指合规管理岗位人员在日常的合规管理工作中,将自己认为需要向内控管理部门沟通或联系的事项形成文件,向上报告。♀
专项报告是指合规管理岗位人员结合公司合规管理工作的要求,针对某一主题开展的专项合规检查,并据此向内控管理部提交的报告。
有下列情形之一的,应在两个工作日内提交临时报告:
部门发生违法违规或涉嫌违法违规行为。
发现可能存在合规风险或发现较大风险隐患。
就重大合规事项无法与部门负责人达成一致。
监管部门进行现场检查c专项调查或采取监管措施的情形。
认为需要报送的其他情形。
根据风险事项或违规事项的严重程度和报告对象的不同,向业务部门c公司管理层c董事会层面c监管机构等不同层级的反馈报告路径应不同。
新制式监控
“这样办”与“不可以那么办”互补结合
双内控管理并不是机械地把“监控”与“控制”分离,而是注重分离后的“互动式”运行,这就是新制式监控。
有效的监督是进行内控管理的必要保障。企业整体的规范发展,不仅需要经营与监督的同步,还需要在监督层面做到“监控”与“控制”既良性互动,又有效分工。控制的职能一般都体现在业务现场,使“控制成为监控的基础”;监控的职能则由公司总部的风险控制或合规管理部门在现场外实施。前者侧重“只能这样办”,后者侧重“不可以那么办”,两者是相辅相成的关系,构成了现场内“控制”与现场外“监控”的两道风险防线,实现提高风险管理的效果。
在内控管理的职责推进上,不仅通过界定将“监控”与“控制”这两个不同风险管理环节的职能明确划分,而且要形成明确的互动情形,从而实现风险监控部门“风险监控”的,以及与一线业务部门的“风险控制”这两道风险防线的有效分工。这样就不仅达到了“经营与监督”双线条制衡,而且“监控与控制”也是双线条制衡的结果。
一线现场控制环节,监理负责所在部门的风险,并同步监督本部门经营管理c业务运作,根据现场情况进行即时判断,预测并把控c阻断c处置可能发生的风险。监理在风险控制方面接受风险控制部门的检查c评价,并与风险控制部门之间形成报告和被报告的关系。这样保证了风险控制部门既可以对公司范围内的风险点进行的识别c评估c监控,又能对发现的问题及时通过预警c揭示c检查等方式反馈给部门监理,并保持对监理的持续跟踪监控,对其整改c处理的结果形成确认和跟进。
对各环节的全面控制,必须由公司最底层通过相互连接的行动,以并行的方式来实现。在业务和管理上,监理受内部控制部门的直接指导和专门的监督考核,这样才能保证各部门的监理紧紧依附于合规管理c风险控制的每一个环节。
为保障内控管理职能的有效发挥,公司应通过严密的组织结构构建一个完善的制度体系,为内控管理提供坚实的组织和制度保障。
为了让大家更深入地理解监控与控制的“互动式”运行,我们以信息技术为例进行剖析。
1互动运行的依据
就任何一项业务而言,因为监控与控制的终极目标一致,都是为了更好地开展业务,所以其依据也是相同的,自然离不开相关的规范文件。目前关于信息技术监控已经出台的相关规范性文件主要有:《建筑与建筑群综合布线系统工程设计规范》《电子计算机机房设计规范》《计算站场地技术条件》《技术站场地安全要求》《建筑设计防火规范》《火灾自动报警系统设计规范》《气体灭火系统施工及验收规范》《建筑灭火器配置设计规范》等。
2互动运行的关键点
一般来说,企业所有层级和单元都需要信息系统的支持。信息系统是企业收集c加工c存储和传递信息的管理平台。企业信息系统控制的关键点主要有:
企业信息系统规划不合理,有可能造成重复建设和资源浪费,导致企业经营管理效率的降低和控制的失效,甚至信息泄露。
信息系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制。
信息系统的运行维护和安全措施不到位,可能导致信息泄露或毁损,给企业造成难以估量的损失。
信息系统对新技术的跟进和采用不够,可能导致信息系统的落伍。
信息系统管理的基本控制层面主要涵盖的内容可参考下图所示:
相对控制来说,其同步运行的监控功能一般会在这样几种情况下启动:公司级的系统改造,软件升级c更新,分支机构的信息系统改造c新建,信息技术预算,信息系统大额项目的采购招标,其他可能涉及信息系统监控岗的相关重要项目等。在项目立项或招标时,监控部门就开始介入,并进行会议和招标记录,随时了解项目的进度和系统建设小组的工作动态。必要时,还需要到工作现场对项目实施进度进行跟踪。与相关部门共同掌管的应用系统的超级管理员密码,同样也要依据相关系统权限管理办法的规定,对超级管理员要有一个使用c审批的流程和合规的审查程序。
3风险监控的主要程序
对于监控的主要内容,可以按照事前风险评估c事中实时监控c事后风险控制三步走的方法去完成。
事前风险监控:项目立项过程的现场监督
这个环节一般是通过列席项目立项及招标会议,进行风险评估与合规审查。合规审查事前事项主要包括:公司级的系统改造,公司级的系统软件升级c更新,分支机构c服务部的信息系统改造c新建,信息技术预算,信息系统较大数额项目的采购招标,其他可能涉及信息系统监控岗位的相关重要项目。针对这些项目,监控须在立项或招标时就开始介入,对该项目前期实施过程实时跟踪c监控,及时发现可能出现的系统风险,提出风险控制建议,并代表风险控制部门发表意见。
另外,应用系统的超级管理员密码一般都是与相关部门共同掌管的,依据相关系统权限和管理办法,对超级管理员制定具体的使用c审批流程和合规审查。
事中实时监控:项目实施过程的现场监督
根据目前公司在线生产系统的不同,风险类别可以划分为:物理安全风险c系统安全风险c网络安全风险c应用系统安全风险c用户安全风险c数据安全风险等。针对不同的风险类别,要采用不同的方法c手段实行全面监控,具体如下:
?物理安全风险监控。在投入正常使用后,对机房设备的检查和维护记录等进行不定期检查。
?系统安全风险监控。主要检查系统技术手段的实现情况c及时升级情况;检查操作系统的安全配置是否达到c2级的安全级别;是否使用专用工具定期对系统进行漏洞检测;安全漏洞修补是否用s服务器实时下载微软补丁,并传输到客户端等。
?网络安全风险监控。主要检查是否做到网段隔离,不同的网段之间能不能直接访问;不同网段是否安装了防火墙;是否实现对不同网段c不同用户的隔离;防病毒软件是否及时更新等。
?应用系统安全风险监控。主要检查系统自身是否有身份认证,访问权限控制c数据传输是否校验,对关键的系统是否实行强制留痕等。
?用户安全风险监控。主要内容有不同角色登录是否系统限制c用户登录事件是否审核,是否记录用户的登录信息和操作信息,是否对安装网络版防病毒软件的客户端的计算机进行检查等。
?数据安全风险的监控。是否对公司涉及的数据进行了防止窃密c篡改c重发c伪造的设置,网络上传输的数据是否加密,是否做到多种备份手段保证数据的完整性c可靠性等。
目前信息系统监控岗位与相关部门岗位共同掌握的管理员密码有:与业务部门共同掌握的柜台交易系统超级管理员密码,与财务部门共同掌握的资产管理系统超级管理员密码,与资产经营部门共同掌握的银行间同业拆借本币系统首席交易员密码,与合规审查岗位共同掌握的内控系统超级管理员密码等。
这部分的监控一般都是以相关的权限管理办法为依据,对超级管理员的现场使用c现场操作进行监督c检查,并有对相关资料的留痕。
事后风险控制:系统应用检查评价
通过对物理系统c网络系统c应用系统c用户安全c数据安全情况等进行不定期检查,实现对信息系统安全运行的有效监督。
根据对信息系统风险监控的检查和评估,提出整改意见和纠正措施,并对涉嫌违规行为提出处罚建议,以此不断完善风险控制机制,进一步提高风险控制意识。
内控部门根据在监控过程中发现的问题,认为需要实施现场稽核,可以通过向稽核审计部门传递联动卡的形式,提请稽核审计部门在现场稽核审计时予以重点关注,从而实现监控与审计的有效联动。
分离才能实现有效制衡
新制式监控的另一个特点就是监控的“分离式”。“监控”的分离式具体来说就是四大职能的分离,即决策与执行c监督与经营c授权与操作c技术与业务的科学分离。分离是为了监督,也是为了更有效地实现封闭和制衡。制衡和封闭可以防止风险传递,从而有利于实现更有效的监控。
当然,上述分离制衡是一个常用的情形,应用到不同企业c公司c部门内应结合自身实际及内控水平,区分不同的分离模式。如,分管财务的不得分管采购业务,分管贷前审批的不得分管放贷业务,分管风控c稽核的不得分管业务经营。分离与制衡不仅体现在业务经营与管理上,还体现在监控岗位的分工上,如证券公司监控自营业务专人不得监控资产管理业务,监控投资银行业务专人不得监控自营业务,监控经纪业务专人不得监控其他业务,合规审查岗位必须行使职能,等等。
业务岗位的操作也是这样。办理客户资金开户的岗位与办理客户交易业务的岗位相互分离,资金业务岗与委托报盘业务岗要分离,电脑人员与会计人员要分离,电脑人员与其他业务人员也要分离,等等。
以授权与操作的分离为例。公司可制定《董事会授权规则》《公司授权管理暂行办法》,严格规范授权管理。公司授权分日常授权和特别授权两种方式。日常授权体现在公司经营管理的各个方面,公司各级经营管理核心层在公司制度体系下,在授予权限的范围内开展工作。特别授权则根据需要由专人提出申请,填写《特别授权申请表》,逐级上报审批后授予相应岗位或人员。特别授权强调在规定时限内一事一授,用完之后要及时收回权限,或权限自动注销。
管理,就是能让恰当的人干恰当的事,所以,用人所长,不为短处所限;要用优点,容忍缺点;用偏才,不苛求全才。对于高级管理人员来说,要当好领导,就得知道“自己什么也不行”,而对被授权的不同下级却要非常清楚“哪件事情由谁去干准能行”。
如果不能做到这一点,在授权过程中就很容易出现如下现象:
?管理者角色错位,对自己定位不清,缺乏授权意识。
?授权关系不明确,不知道哪些人可以授权,哪些人不可以授权。
?授权不到位,只是形式上的授权,事无大小照抓不放。
?授权不及时,不能够根据客观情况的变化进行适度调整。
?虽进行授权,但是监督不到位,未能做到有效考核和定期评价,未能与个人的责权利密切挂钩。
一个公司授权的基础和前提是能选对人,内控管理到位,信息传递畅通。
为更好地防范风险,特别是防范可能产生风险的任何漏洞,对一些关键岗位还应实施acb角色替换的无缝衔接办法,即明确规定,重要岗位责任人因故离岗c缺岗时,实行职务代理制度,通过书面移交方式,由代理岗位责任人代行其工作职责,从而将工作移交给替代人员。
特别授权申请表
编号:
这种情况不只是针对一般员工,公司总经理也不例外。当公司的高级管理人员因故离岗一周以上时,也必须填写授权书,将管理权限c业务权限授予相应的岗位人员,同时应明确规定所需要进行职务代理的岗位c时间。职务代理还应遵循岗位制衡原则,对于不相容的岗位,不得互相代理。这样保证了对公司组织体系的有效补充和完善,做到只要有岗就有合适的人来替代和承担责任,保证各项业务顺利开展c各种职能正常发挥,使整个机构运转更加顺畅和清晰。
例如,在信息系统的管理中,信息系统的权限管理应严格按照《各系统的权限设置指引》来执行,要明确认识到,应用系统c数据库系统c网络系统都要进行权限设置,权限设置要首先做到合法合规,遵循集中管理c统一分配c分级授权c权限最小化等原则。各系统的超级管理员密码根据业务性质不同,由不同的部门或岗位分段掌握,权限设置分初设c新设c变更c注销等,每进行一项都必须履行申请c审批手续。在手续完备的基础上,由系统管理员联合进入系统进行设置,风险控制部门在此过程中要履行监督检查职责。
一1<>1一
松语文学www.16sy.coM免费小说阅读
一旦监控结果超越了预警线,应立刻向上反馈。♀言情穿越书更新首发,你只来+然而,在“问题汇报惰性法则”的影响下,公司出现事故或问题时,员工一般有三种表现形式:第一种,除了少数热爱公司的员工外,多数员工不会主动去把问题“吃掉”,而是躲得远远的,更不会主动向上级汇报;第二种,即使汇报,也会因为怕被训斥或被惩罚,只愿意汇报给越级检查的管理者,而不是直接管理者;第三种,在平级之间传播,因为他们觉得这样没有任何风险。但他们是将事故作为一种消息或消遣的话题来传播的,这种传播往往蛊惑人心,不利于问题的解决,更不利于公司的团结。
如何解决上述不良现象呢?我们可制定一些固化的反馈程序和各种日常报告制度实现强制反馈。
根据内控管理职责的分工,公司总部应建立日常报告c定期报告c专项报告和即时报告相结合的分类报告体系。这里需要说明的是,前面提到的跨级报告和此处所说的这些报告实际上是同一工作内容的不同体现方式,有的相互交叉,有的各自专属。比如,跨级报告属于非常规性报告,与之相对应的是日常性的工作报告。对风险事项的报告一般是按照逐级反馈c跨级反馈c升级反馈的程序进行的。除常规固定格式的月报c季报c年报之外,针对突发c偶发和重大危机事项,要形成一事一报的即时报告机制,同时对即时报告的处置时效要作出明确的要求。
在整个控制系统中,报告实际上是一种反馈的基本方式。在内控管理过程中,应建立路径清晰的预警和反馈报告体系,以保证预警信息的及时性,使其尽快传递到相应层级人员或部门手中,提高风险预警处理效率和反馈效果。公司应结合工作实际,根据风险或违规事项的严重程度以及报告对象的不同,设计出针对业务部门c公司管理层c董事会层面c监管机构等不同层级的反馈报告路径,以此提高风险处置的效率和力度。
1常规报告
常规报告包括两种形式,一种是各部门定期向内控管理部提交的合规报告,另一种是公司向行政监管部门提交的中期或年度监管报告。其中,公司的中期与年度监管报告需要公司董事c高级管理人员签署确认意见,以保证报告内容的真实性c准确性c完整性。如果有人对报告内容持有异议,应当注明自己的意见和理由。
常规报告主要包括工作日志c工作月报c季报c年报等。工作日志是指内控管理员工就当日现场检查到的业务事项,填写工作日志,以备检查。如果存在业务异常或合规隐患,要如实地在日志上记录下来,并按规定向上报告。
工作月报是指内控管理员工将当月所在部门合规管理情况进行汇总c分析,提出工作建议,并于次月某日前向内控管理部门提交书面报告。
2非常规报告
非常规报告主要是针对一般合规风险和重大合规风险报告的情形。它和常规报告的区别是,后者的报告人是公司各部门和负责履行合规管理职责的归口部门或岗位,而前者的报告人可以是公司所有部门和员工。非常规报告主要有临时报告c专项报告c跨级报告等。
临时报告是指合规管理岗位人员在日常的合规管理工作中,将自己认为需要向内控管理部门沟通或联系的事项形成文件,向上报告。♀
专项报告是指合规管理岗位人员结合公司合规管理工作的要求,针对某一主题开展的专项合规检查,并据此向内控管理部提交的报告。
有下列情形之一的,应在两个工作日内提交临时报告:
部门发生违法违规或涉嫌违法违规行为。
发现可能存在合规风险或发现较大风险隐患。
就重大合规事项无法与部门负责人达成一致。
监管部门进行现场检查c专项调查或采取监管措施的情形。
认为需要报送的其他情形。
根据风险事项或违规事项的严重程度和报告对象的不同,向业务部门c公司管理层c董事会层面c监管机构等不同层级的反馈报告路径应不同。
新制式监控
“这样办”与“不可以那么办”互补结合
双内控管理并不是机械地把“监控”与“控制”分离,而是注重分离后的“互动式”运行,这就是新制式监控。
有效的监督是进行内控管理的必要保障。企业整体的规范发展,不仅需要经营与监督的同步,还需要在监督层面做到“监控”与“控制”既良性互动,又有效分工。控制的职能一般都体现在业务现场,使“控制成为监控的基础”;监控的职能则由公司总部的风险控制或合规管理部门在现场外实施。前者侧重“只能这样办”,后者侧重“不可以那么办”,两者是相辅相成的关系,构成了现场内“控制”与现场外“监控”的两道风险防线,实现提高风险管理的效果。
在内控管理的职责推进上,不仅通过界定将“监控”与“控制”这两个不同风险管理环节的职能明确划分,而且要形成明确的互动情形,从而实现风险监控部门“风险监控”的,以及与一线业务部门的“风险控制”这两道风险防线的有效分工。这样就不仅达到了“经营与监督”双线条制衡,而且“监控与控制”也是双线条制衡的结果。
一线现场控制环节,监理负责所在部门的风险,并同步监督本部门经营管理c业务运作,根据现场情况进行即时判断,预测并把控c阻断c处置可能发生的风险。监理在风险控制方面接受风险控制部门的检查c评价,并与风险控制部门之间形成报告和被报告的关系。这样保证了风险控制部门既可以对公司范围内的风险点进行的识别c评估c监控,又能对发现的问题及时通过预警c揭示c检查等方式反馈给部门监理,并保持对监理的持续跟踪监控,对其整改c处理的结果形成确认和跟进。
对各环节的全面控制,必须由公司最底层通过相互连接的行动,以并行的方式来实现。在业务和管理上,监理受内部控制部门的直接指导和专门的监督考核,这样才能保证各部门的监理紧紧依附于合规管理c风险控制的每一个环节。
为保障内控管理职能的有效发挥,公司应通过严密的组织结构构建一个完善的制度体系,为内控管理提供坚实的组织和制度保障。
为了让大家更深入地理解监控与控制的“互动式”运行,我们以信息技术为例进行剖析。
1互动运行的依据
就任何一项业务而言,因为监控与控制的终极目标一致,都是为了更好地开展业务,所以其依据也是相同的,自然离不开相关的规范文件。目前关于信息技术监控已经出台的相关规范性文件主要有:《建筑与建筑群综合布线系统工程设计规范》《电子计算机机房设计规范》《计算站场地技术条件》《技术站场地安全要求》《建筑设计防火规范》《火灾自动报警系统设计规范》《气体灭火系统施工及验收规范》《建筑灭火器配置设计规范》等。
2互动运行的关键点
一般来说,企业所有层级和单元都需要信息系统的支持。信息系统是企业收集c加工c存储和传递信息的管理平台。企业信息系统控制的关键点主要有:
企业信息系统规划不合理,有可能造成重复建设和资源浪费,导致企业经营管理效率的降低和控制的失效,甚至信息泄露。
信息系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制。
信息系统的运行维护和安全措施不到位,可能导致信息泄露或毁损,给企业造成难以估量的损失。
信息系统对新技术的跟进和采用不够,可能导致信息系统的落伍。
信息系统管理的基本控制层面主要涵盖的内容可参考下图所示:
相对控制来说,其同步运行的监控功能一般会在这样几种情况下启动:公司级的系统改造,软件升级c更新,分支机构的信息系统改造c新建,信息技术预算,信息系统大额项目的采购招标,其他可能涉及信息系统监控岗的相关重要项目等。在项目立项或招标时,监控部门就开始介入,并进行会议和招标记录,随时了解项目的进度和系统建设小组的工作动态。必要时,还需要到工作现场对项目实施进度进行跟踪。与相关部门共同掌管的应用系统的超级管理员密码,同样也要依据相关系统权限管理办法的规定,对超级管理员要有一个使用c审批的流程和合规的审查程序。
3风险监控的主要程序
对于监控的主要内容,可以按照事前风险评估c事中实时监控c事后风险控制三步走的方法去完成。
事前风险监控:项目立项过程的现场监督
这个环节一般是通过列席项目立项及招标会议,进行风险评估与合规审查。合规审查事前事项主要包括:公司级的系统改造,公司级的系统软件升级c更新,分支机构c服务部的信息系统改造c新建,信息技术预算,信息系统较大数额项目的采购招标,其他可能涉及信息系统监控岗位的相关重要项目。针对这些项目,监控须在立项或招标时就开始介入,对该项目前期实施过程实时跟踪c监控,及时发现可能出现的系统风险,提出风险控制建议,并代表风险控制部门发表意见。
另外,应用系统的超级管理员密码一般都是与相关部门共同掌管的,依据相关系统权限和管理办法,对超级管理员制定具体的使用c审批流程和合规审查。
事中实时监控:项目实施过程的现场监督
根据目前公司在线生产系统的不同,风险类别可以划分为:物理安全风险c系统安全风险c网络安全风险c应用系统安全风险c用户安全风险c数据安全风险等。针对不同的风险类别,要采用不同的方法c手段实行全面监控,具体如下:
?物理安全风险监控。在投入正常使用后,对机房设备的检查和维护记录等进行不定期检查。
?系统安全风险监控。主要检查系统技术手段的实现情况c及时升级情况;检查操作系统的安全配置是否达到c2级的安全级别;是否使用专用工具定期对系统进行漏洞检测;安全漏洞修补是否用s服务器实时下载微软补丁,并传输到客户端等。
?网络安全风险监控。主要检查是否做到网段隔离,不同的网段之间能不能直接访问;不同网段是否安装了防火墙;是否实现对不同网段c不同用户的隔离;防病毒软件是否及时更新等。
?应用系统安全风险监控。主要检查系统自身是否有身份认证,访问权限控制c数据传输是否校验,对关键的系统是否实行强制留痕等。
?用户安全风险监控。主要内容有不同角色登录是否系统限制c用户登录事件是否审核,是否记录用户的登录信息和操作信息,是否对安装网络版防病毒软件的客户端的计算机进行检查等。
?数据安全风险的监控。是否对公司涉及的数据进行了防止窃密c篡改c重发c伪造的设置,网络上传输的数据是否加密,是否做到多种备份手段保证数据的完整性c可靠性等。
目前信息系统监控岗位与相关部门岗位共同掌握的管理员密码有:与业务部门共同掌握的柜台交易系统超级管理员密码,与财务部门共同掌握的资产管理系统超级管理员密码,与资产经营部门共同掌握的银行间同业拆借本币系统首席交易员密码,与合规审查岗位共同掌握的内控系统超级管理员密码等。
这部分的监控一般都是以相关的权限管理办法为依据,对超级管理员的现场使用c现场操作进行监督c检查,并有对相关资料的留痕。
事后风险控制:系统应用检查评价
通过对物理系统c网络系统c应用系统c用户安全c数据安全情况等进行不定期检查,实现对信息系统安全运行的有效监督。
根据对信息系统风险监控的检查和评估,提出整改意见和纠正措施,并对涉嫌违规行为提出处罚建议,以此不断完善风险控制机制,进一步提高风险控制意识。
内控部门根据在监控过程中发现的问题,认为需要实施现场稽核,可以通过向稽核审计部门传递联动卡的形式,提请稽核审计部门在现场稽核审计时予以重点关注,从而实现监控与审计的有效联动。
分离才能实现有效制衡
新制式监控的另一个特点就是监控的“分离式”。“监控”的分离式具体来说就是四大职能的分离,即决策与执行c监督与经营c授权与操作c技术与业务的科学分离。分离是为了监督,也是为了更有效地实现封闭和制衡。制衡和封闭可以防止风险传递,从而有利于实现更有效的监控。
当然,上述分离制衡是一个常用的情形,应用到不同企业c公司c部门内应结合自身实际及内控水平,区分不同的分离模式。如,分管财务的不得分管采购业务,分管贷前审批的不得分管放贷业务,分管风控c稽核的不得分管业务经营。分离与制衡不仅体现在业务经营与管理上,还体现在监控岗位的分工上,如证券公司监控自营业务专人不得监控资产管理业务,监控投资银行业务专人不得监控自营业务,监控经纪业务专人不得监控其他业务,合规审查岗位必须行使职能,等等。
业务岗位的操作也是这样。办理客户资金开户的岗位与办理客户交易业务的岗位相互分离,资金业务岗与委托报盘业务岗要分离,电脑人员与会计人员要分离,电脑人员与其他业务人员也要分离,等等。
以授权与操作的分离为例。公司可制定《董事会授权规则》《公司授权管理暂行办法》,严格规范授权管理。公司授权分日常授权和特别授权两种方式。日常授权体现在公司经营管理的各个方面,公司各级经营管理核心层在公司制度体系下,在授予权限的范围内开展工作。特别授权则根据需要由专人提出申请,填写《特别授权申请表》,逐级上报审批后授予相应岗位或人员。特别授权强调在规定时限内一事一授,用完之后要及时收回权限,或权限自动注销。
管理,就是能让恰当的人干恰当的事,所以,用人所长,不为短处所限;要用优点,容忍缺点;用偏才,不苛求全才。对于高级管理人员来说,要当好领导,就得知道“自己什么也不行”,而对被授权的不同下级却要非常清楚“哪件事情由谁去干准能行”。
如果不能做到这一点,在授权过程中就很容易出现如下现象:
?管理者角色错位,对自己定位不清,缺乏授权意识。
?授权关系不明确,不知道哪些人可以授权,哪些人不可以授权。
?授权不到位,只是形式上的授权,事无大小照抓不放。
?授权不及时,不能够根据客观情况的变化进行适度调整。
?虽进行授权,但是监督不到位,未能做到有效考核和定期评价,未能与个人的责权利密切挂钩。
一个公司授权的基础和前提是能选对人,内控管理到位,信息传递畅通。
为更好地防范风险,特别是防范可能产生风险的任何漏洞,对一些关键岗位还应实施acb角色替换的无缝衔接办法,即明确规定,重要岗位责任人因故离岗c缺岗时,实行职务代理制度,通过书面移交方式,由代理岗位责任人代行其工作职责,从而将工作移交给替代人员。
特别授权申请表
编号:
这种情况不只是针对一般员工,公司总经理也不例外。当公司的高级管理人员因故离岗一周以上时,也必须填写授权书,将管理权限c业务权限授予相应的岗位人员,同时应明确规定所需要进行职务代理的岗位c时间。职务代理还应遵循岗位制衡原则,对于不相容的岗位,不得互相代理。这样保证了对公司组织体系的有效补充和完善,做到只要有岗就有合适的人来替代和承担责任,保证各项业务顺利开展c各种职能正常发挥,使整个机构运转更加顺畅和清晰。
例如,在信息系统的管理中,信息系统的权限管理应严格按照《各系统的权限设置指引》来执行,要明确认识到,应用系统c数据库系统c网络系统都要进行权限设置,权限设置要首先做到合法合规,遵循集中管理c统一分配c分级授权c权限最小化等原则。各系统的超级管理员密码根据业务性质不同,由不同的部门或岗位分段掌握,权限设置分初设c新设c变更c注销等,每进行一项都必须履行申请c审批手续。在手续完备的基础上,由系统管理员联合进入系统进行设置,风险控制部门在此过程中要履行监督检查职责。
一1<>1一
松语文学www.16sy.coM免费小说阅读
推荐自己的新书《天命讨债人》齐天大魔猴
桀骜齐天圣,铮铮大魔猴
第817章 四公子当真与众不同?清穿后每天被迫撩
【欢脱独宠,沙雕撩夫日
新书《谜城》开启神峰
一次偶然, 他踏足修
第270章 酒吧偶遇网游之影子大师
我,在黑夜中行走 我
007儿女成群婚城难入
十八岁的她,一心想用高
第四百一十六章 邀请剑神之剑弑乾坤
《剑神之剑弑乾坤》是一
声明:本站所收录之:双内控-危机时代的企业管理模式- 第十章、言情小说、玄幻、网游小说、及短篇作品、均为本站作者及网友上传。
并不代表本站立场!本站亦无法严格审:双内控-危机时代的企业管理模式最新章节其版权归属。如您对双内控-危机时代的企业管理模式TXT下载持有版权方面的异议,请联系本站客服。我们将于72小时内处理。
Copyright (C) 2019 All Rights Reserved 版权所有:松语文学
并不代表本站立场!本站亦无法严格审:双内控-危机时代的企业管理模式最新章节其版权归属。如您对双内控-危机时代的企业管理模式TXT下载持有版权方面的异议,请联系本站客服。我们将于72小时内处理。
Copyright (C) 2019 All Rights Reserved 版权所有:松语文学