财务共享服务 课件 第16、17章 财务共享服务中心风险管理、财务共享服务中心绩效管理.pptVIP

财务共享服务第三篇 运营篇第十六章财务共享服务中心风险管理

一、财务共享服务中心风险管理概述

美国关于企业风险管理的框架:从风险控制的目的出发，将风险作为一个特定的要素进行管理；而在内部控制整体框架中，是从风险控制的方式和手段说明内部控制的，内部控制就是控制风险，控制风险就是风险管理，内部控制和风险管理仅是风险控制的两种不同语义表达形式，并不存在本质上的区别。

我国关于企业风险管理的框架:基于合理保证企业经营管理战略目标实现、提高经营效率和效果、促使合法合规、财务报告及相关信息真实完整、资产安全等目标，由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。风险管理体系，包括风险管理策略、风险管理组织体系、风险管理信息系统和内部控制系统等

财务共享服务中心自身风险管理的必要性: 从宏观上看，财务共享服务信息系统本身就是内部控制信息系统的重要组成部分，符合信息系统实施内部控制需要关注的风险； 从微观上看，财务共享服务体系构建后，作为一个管理主体，必然会面临着相应的管理风险，尤其是当企业绝大部分核心机密数据都存储于电子化介质之上时，这些数据又都直接或间接链接到网络中，数据安全的重要性不言而喻。

二、数据安全与风险管理

（一）影响数据安全的主要风险1.制度风险制度风险泛指与数据安全相关的宏观政策和微观制度，政策是指政府层面制定的数据管理相关法律法规，制度是企业制定的数据管理相关的办法措施。风险:制度对相关人员的工作有一定的提示和指导，约束相关人员的行为；制度对企业安全高效运行起着重要的保障作用，企业制度的缺失也会导致数据安全失去保障。

（一）影响数据安全的主要风险人员风险风险: 客观上存在员工对外泄露公司的工作机密、业务数据和客户情况的风险，也存在泄漏网站后台用户名和密码，服务器登录密码等风险，还存在操作上数据误删、数据丢失和传错文件等风险； 主观上存在违背职业道德风险，出于个人获利目的交易数据风险，或者出于其他目的泄漏数据的风险。

（一）影响数据安全的主要风险设备风险和信息系统风险风险: 财务共享服务中心电脑违规操作、电脑及设备损坏、断电、移动存储载体带病毒等硬件设备风险会导致数据丢失或遭到破坏。 财务共享服务信息系统本身存在漏洞，网络技术问题、计算机网络病毒、钓鱼网站、流氓软件、黑客攻击等问题都为信息化平台的数据安全带来极大危害。

（二）保障财务共享服务中心数据安全的措施提供充分的制度保障制定财务共享服务中心数据安全风险管理制度，其要点包括: （1）树立“零信任”安全防护理念，设计“零信任”安全防护体系；（2）明确财务共享服务中心的数据安全保障的机构及职责； （3）建立风险辨识与评价控制工作程序，确定“风险三要素”，即人的不安全行为、物的不安全状态、管理上存在的缺陷； （4）制定消除安全风险的方式、降低安全风险的措施、重点防护的措施等； （5）组织编制和实施综合应急预案和专项应急预案等，并加强培训与演练；（6）设置安全风险处置工作中奖励和处罚的措施。

（二）保障财务共享服务中心数据安全的措施规范财务共享服务中心人员管理劳动关系及员工档案管理。必须明确财务共享服务中心员工任职条件与标准,强化员工岗位调动及移交管理,以及员工离职管理等；员工培训与考核。新入职员工需通过公司的统一培训,每半年至少组织一次全系统培训,每次培训参会须有签到表、预留影像备查。员工纪律管理。保密纪律是最重要的纪律之一,除此之外还包括员工的考勤和休假、共享中心制度落实等。

（二）保障财务共享服务中心数据安全的措施加大软硬件设备的投入及管理 企业必须加大资金投入,支持购买新的正版软件,支持购进先进的硬件设备和数据储存载体,为企业数据安全管理奠定扎实的物质基础。在此基础上,建立财务共享信息系统防火墙,抵御外部的病毒侵扰和黑客攻击,确保系统数据的安全。 在数据管理上要修改数据库超级管理员默认账号,管理员用户、应用系统用户要分别建立并按需授权。 建立容灾机制,支持数据进行异地备份、异介质备份等多种方式。

三、信息系统安全与风险管理

（一）影响信息系统安全的主要风险管理风险即信息系统的使用、管理不当造成的信息系统及数据安全风险,包括安全管理制度不健全、员工操作不规范。人员风险不按标准化操作流程或非法操作,主观改变已生成的账务信息或数据库信息,甚至改变信息化平台的执行路径,从而导致信息系统问题或破坏数据安全性；人员可通过搭线窃听等侦听手段入侵到信息系统中,对信息系统的保密性进行破坏。

（一）影响信息系统安全的主要风险设备风险最主要的风险因素是服务器,包括文件服务器、数据库服务器、应用程序服务器、Web服务器等。在生产和组装时存在元件性能不良、配件适配性差、连