企业运维管理：内控风险研究及应对方法

课程背景：

企业运维内控是建立在信息技术快速发展和企业对信息系统的依赖程度提高的背景下，为了应对日益复杂的信息系统环境和增加的风险，企业为了加强对运维内控的理解和应用，以确保信息系统的安全、稳定和可靠运行。

企业运维内控的时代背景可以追溯到信息技术的快速发展和企业对信息系统的依赖程度不断提高的时代。

1.信息技术的快速发展：自上世纪90年代以来，信息技术取得了巨大的突破和发展，包括互联网、移动技术、云计算、大数据和人工智能等。这些技术的普及和应用，使得企业的业务运作越来越依赖于信息系统和相关的运维活动。

2.信息系统的复杂性和风险增加：随着企业对信息系统的依赖程度增加，信息系统的复杂性也相应增加。企业运维面临着日益复杂的技术架构、多样化的应用系统和日益增长的风险。不合理的运维管理可能导致信息系统的故障、安全漏洞和业务中断等问题。

3.法规和合规要求的加强：随着信息技术的发展，各国对信息系统安全和数据保护的法规和合规要求也不断加强。例如，欧盟的《通用数据保护条例》（GDPR）和美国的《加州消费者隐私法》（CCPA）等，对企业的信息系统管理和数据处理提出了更高的要求。

4.风险意识的提高：企业对信息系统和数据安全的风险意识逐渐提高。高调的数据泄露事件、网络攻击和商业间谍活动等威胁，使得企业越来越重视运维内控，以减少风险并保护企业的利益。

4.内部控制框架的发展：为了帮助企业管理风险和提高运营效率，许多内部控制框架在企业运维领域应运而生。例如，COSO和COBIT等内部控制框架提供了一套综合性的原则和方法，帮助企业建立并持续改进运维内控体系。

课程收益：

1.理解内控原理和方法：通过课程学习，学员可以深入理解内控的概念、原则和方法，了解内控在企业运维中的重要性和应用价值。这将帮助他们更好地认识和把握企业运维中的风险和控制需求。

2.提高运维效率和质量：课程会介绍流程优化和控制活动等内容，帮助学员学习如何优化运维流程、规范运维操作，并建立有效的控制措施。这将有助于提高运维效率、降低错误率，从而提升运维质量和响应能力。

3.风险和保护企业利益：通过学习风险管理和监控审计等内容，学员可以学习如何识别、评估和控制运维风险，建立有效的监控机制和审计程序。这将有助于降低运维风险，保护企业的利益和资产安全。

4.掌握内控框架和工具：课程会介绍常用的内控框架，如COSO和COBIT，以及相关的技术工具和解决方案。学员可以学习如何应用这些框架和工具，建立和改进企业的运维内控体系，提升内控的有效性和可持续性。

5.增强问题解决和决策能力：课程通过案例分析和实践活动，让学员将所学知识应用到实际的企业运维场景中。这将培养学员的问题解决和决策能力，使他们能够更好地应对运维中的挑战和问题。

6.提升职业竞争力：掌握企业运维内控知识和技能，将有助于学员提升自身的职业竞争力。在企业和组织中，对于具备运维内控能力的人才需求不断增加，学员通过课程的学习和实践，将能够满足这一需求并获得更多的职业机会。

综上所述，企业运维内控课程能够帮助学员提升对内控的理解和应用能力，提高运维效率、降低风险，同时增强问题解决和决策能力，为个人的职业发展和企业的运维管理带来实际的收益。

课程时间：2天，6小时/天

课程对象：中高层管理者，有进步愿望的企业员工

课 纲

【引例】给出某沿海企业两年经营过程中的三项资料，提出以下问题：

1. 分析企业有哪些风险点？
2. 开展内控风险筛查工作的切入点有哪些？
3. 从哪些层面来解决这些风险问题？

【引发思考并引出正文】

1. 企业的内控风险和成本控制是全公司每一位员工的责任
2. 企业的内控风险及相应造成的成本损失来源于哪些层次
3. 企业经营风险的识别与衡量
4. 风险和风险损失区别

【引发思考】损失的四个递进层次

风险是什么？

风险损失是什么？

不确定性是什么？

1. 系统性风险和非系统性风险区别
2. 企业面临到的8大风险

1. 企业风险评估与分析的两个维度

【图】风险评估矩阵看企业的高中低风险及关注度

【思考】通过企业经营风险表看六大风险对企业的影响程度

政策风险

技术风险

财务风险

社会风险

劳动风险

税务风险

1. 透视企业内控系统

1.COSO关于内部控制的分析

【图示】coso框架的具体内容

2.内部控制的三个目标

（1）运营效率和效果，

（2）财务报告的可靠性，

（3）遵守现行的法律法规

摘自COSO (Committee of Sponsoring Organization of Treadway Committee《内部控制-整体框架》及美国审计准则第319条

【案例】潍柴动力2023年三季度分析看三个目标实现的数据化体现

1. 内部控制的五大要素
2. 控制环境的7个要素
3. 风险评估3个层次
4. 控制活动的7个步骤
5. 信息和沟通

【案例】瑞士巴林银行倒闭的故事，引发的思考探讨

1. 监控

【案例】北京某餐饮企业，三年中，出纳贪污300万的故事，探讨监控有用吗？

1. 内控的方法与局限性
2. 内控的7种方式

组织结构控制

授权批准控制

会计记录控制

资产保护控制

职工素质控制

预算控制

内部审计控制

【案例】《红楼梦》中的平儿的审计思考，善于发现问题，且了解人性，善于沟通等技能在内审中的重要性

1. 内控的6种局限

受成本效益原则的局限

内部控制一般仅对常规业务活动设计，不适用于例外事项

即使是设计完整的内控系统，也可能因执行人员的粗心、判断失误或对指令的误解而失效

可能因有关人员相互勾结、内外串通而失效

可能因执行人员滥用职权或屈从于外部压力而失效

可能因经营环境或业务性质的改变而削弱或失效

1. 集权与分权的三个决定要素
2. 中国企业内控现状分析
3. 图示看内控的三个决定因素
4. 建立行之有效的内控系统的四种方案

统一规范的管理制度

设计合理的组织结构

简捷高效的业务流程

实事求是的财务预算

1. 管理制度控制
2. 管理制度控制的六项基本原则
3. 合规性原则
4. 一致性原则
5. 统一性原则
6. 严谨性原则
7. 明确性原则
8. 务实性原则

【案例】以厦门的ZSY公司合同管理内控看其合同制定的历程和风险控制

1. 管理制度的执行

【案例】AB两家公司奖惩员工对比，看看是奖励为标准要求员工好，还是以惩罚为戒尺要求员工有效

1. 集团型企业如何实施有效的内部控制？

（1）管理制度对接

（2）梳理业务/工作流程

（3）通过安装管理信息系统对子公司的运营进行实时监控

（4）加强内部审计

第四讲 组织结构控制

1.组织结构控制的三个原则

（1）组织跟随战略原则

（2）分工协作原则

（3）责权利对等原则

【案例】北京某开发投资有限组织 架构设计的优劣势swot分析

1. 组织结构的三种模式
2. 矩阵型组织结构

【图示】

（2）产品部/事业部型组织结构

【图示】

1. 多功能团队结构

【图示】

1. 财务主管的委派与管理的三种模式
2. 集中管理模式
3. 双重管理模式
4. 重点管理模式

【案例】关于重庆某家公司货币资金内部控制失效的思考

第五讲 业务流程控制

1. 业务流程控制的基本原则

（1）服从战略管理的需要

（2）目标、资源、权限与责任相匹配

（3）防止岗位利益冲突

（4）高效运作

（5）偏差的自动反馈与及时纠正

1. 业务流程控制的四个步骤
2. 识别/评估风险
3. 梳理流程，找出关键控制点
4. 确定风险控制责任级别
5. 定期审计/评价/整改
6. 采购付款流程三大原则

采购付款流程三大原则

（1）就近采购原则

（2）统一采购原则

（3）实地考察原则

采购三大目标

1. 稳定货源
2. 物美价廉
3. 战略伙伴

【分析题】以某市供应商为例，看看如何选择供应商，及如何与供应商”斗智斗勇”

供应链的三大支柱

（1）CRM: 客户关系管理

（2）ERP: 企业资源计划

（3）SRM: 供应商关系管理

【图示】杭州某物流公司的采购流程和付款流程

1. 销售收款流程关键点
2. 【图示】应收账款流程
3. 信用风险

产生拖欠应收账款的内外部因素分析

信用风险产生的三大原因及10个分支原因

企业如何分步进行信用管理（信用销售-信用风险-信用管理）

1. 【流程图】应收账款的双链条全过程控制方案
2. 【象限图】如何进行账龄分析
3. 【图表】如何分析账龄分析表
4. 【计算】DOS法计算销售变现天数
5. 客户付款的四种类型
6. 对账制度的8个步骤

准备资料

查实应收帐款情况

核对客户付款情况

列出客户未付款发票清单

整理客户各项扣款

核对双方帐面余额，列明调整项目

填写对帐确认单

调整项目跟踪处理

1. 【流程图】如何对待客户的延期付款请求
2. 四步“完美”收回应收账款

第六讲 财务预算控制

1. 预算在企业运营中的重新定位
2. 预算编制流程

【图示】

1. 预算的执行与控制

【案例】XSF公司预算管理模式分析

【备注】可以根据需要增加内部信息传递内控，信息系统内控，业务外部内控，项目管理内控，企业文化内控，人力资源内控等环节课程

郝嘉老师的其它课程