管理信息化组成要素评估表二风险评估年

《管理信息化组成要素评估表二风险评估年》由会员分享，可在线阅读，更多相关《管理信息化组成要素评估表二风险评估年（13页珍藏版）》请在金锄头文库上搜索。

1、風險評估涵蓋之項目計有：企業整體目標之訂定、作業層級之目標、分析風險與對改變之管理等四項。壹、企業整體目標之訂定目標種類控制點設計執行辨認整體目標不能達成之風險，以分析風險，再據以決定風險要如何管理O,F,C1. 如何訂定企業之整體目標？例如，考量下列項目： 管理階層是否已制訂本企業之整體目標。 制定之整體目標是否具有本企業之特性。(1)年度預算。F依設計執行，即在考量內、外部環境之條件、市場分析及歷史資料來訂定公司整體目標及年度預算。2. 如何讓員工及董事會知悉企業的整體目標？他們知悉的程度如何？例如，考量下列項目：湖南高压限流熔断器www.jrt-3. 湖南高压限流熔断器http:/ 湖南

2、高压限流熔断器http:/ 與企業整體目標有關的資訊是否已傳達給員工及董事會。 管理階層是否已從重要幹部、員工及董事會取得他們知悉程度若干的回饋。(1)主管會議(2)董事會議。(3)公告張貼。F董事會中報告公司之企業目標及營運策略。F透過主管、員工會談，可充份取得幹部、員工對公司目標的共識及回饋。F一般員工可透過主管會議及公告欄知曉公司之整體目標。5. 如何訂定策略？策略與整體目標間的關係如何? 策略計畫是否支持企業整體目標。 策略計畫是否涉及高層次的資源配置及其優先順序的問題。(1)執行策略係以公司所訂定之整體目標為依據，並評估公司現有資源，做合理之分配、應用。F依據產業變化、公司資源及公司

3、整體目標而訂定。6. 如何訂定企業計畫、預算？其與整體目標、策略間的關係如何？策略計畫及目前情況之一致性如何？在目前情況下，這些目標是否合理？是否可行？例如，考量下列項目： 進行計畫及編制預算時，管理階層所採用的假設是否能反應企業過去的經驗及目前的情況。 計畫及預算詳細的程度是否對每個管理階層都適當。(1)年度預算。F於每年年底參考過去的資料、目前情形及未來發展，擬定次年度之營運策略及目標，並經各部門提出部門預算，由財務部彙總成本公司整體預算。結論/須採行之改善措施公司整體目標之訂定以過去經驗累積及未來產業發展狀況，擬定合理之基本假設，推估編列公司年度預算，以為未來經營之目標。覆核者/日期:

4、編製者/日期: 貳、作業層級目標之制訂目標種類控制點設計執行辨認作業層級目標不能達成之風險，以分析風險，再據以決定風險要如何管理O,F,C1. 如何訂定作業層級目標？作業層級目標與企業整體目標及策略間的關係如何？明確的程度如何？與營業過程間之攸關程度如何？例如，考量下列項目： 所有重大作業之間是否有關連。 是否定期或不定期覆核作業層級目標與企業整體目標間之攸關性；是否複核作業層級目標與策略間之攸關性。 是否每一個關鍵作業均訂有其作業層級的目標。 作業層級目標是否與過去的業績相一致，是否與本產業之類似廠商相一致。 如果本期的目標與過去不同，是否已考量為何不同。(1)年度預算。F訂定年度目標後，各

5、部門依其未來之作業層級工作目標確實執行。F除年度之工作目標外，並規定作業層級目標，若作業層級之目標有所偏差時，將透過會議告知各部門主管，供其參考及改進。2. 各作業層級目標間是否相一致？例如，考量下列項目： 各個作業目標間能否互補或加強。 任何二個作業目標間能否互補或加強。(1)各作業層級目標乃依據年度目標訂定，故應一致。F各作業層級之目標係根據年度目標訂定，故目標能相互一致且考慮其關聯性，能互補或加強，以達到公司整體要求。3. 如何辨認影響整體目標達成的關鍵因素？例如，考量下列項目： 管理階層是否已經辨認出影響整體目標之達成的關鍵因素，亦即，為達成企業總體之目標，哪些項目必須做對，及必須避免

6、。 管理階層是否分析支出之相對重要性；支出預算（包括資本支出及一般支出）是否基於支出之相對重要性而編製。 管理階層是否特別注意關鍵因素的目標。 管理階層是否已確認達成上述目標所需耗用的資源。 是否已經訂定資源取得計畫。(1)適時於各種會議中檢討實施結果，以求整體目標達成。F本公司年度預算編列係考慮影響整體目標達成之關鍵因素，如產業景氣變化及市場分析，逐項審查編製。希望藉著預算編製確定公司整體目標，以避免整體計畫執行產生風險。4. 在設定目標時，所有管理階層參與之程度如何？其承諾致力達成目標之程度如何？例如，考量下列項目： 在訂作業目標時，須對其負責之管理階層是否參與。 是否訂有解決不同意見之程

7、序。 那些須負責之管理階層是否支持目標；是否有隱而未宣之計畫。(1)由各部門參考過去的資料、目前情形及未來發展來編製各部門預算，並交由權責主管審核決議。F在訂定目標時，公司課長以上的幹部均參與開會設定，並負責達成目標的責任，若有不同意見，則經由討論後決議，並經總經理裁示。結論/須採行之改善措施本公司對於作業層級目標之訂定係根據整體目標及政策，考量各項有關因素訂立。部門間相互協調，擬訂因應策略，努力達成公司之目標。覆核者/日期: 編製者/日期: 參、風險之分析目標種類控制點設計執行分析風險，以決定風險要如何管理O,F,C1. 因外在因素而引發的企業整體風險有哪些？如何辨認？每一種風險發生的可能性

8、有多大？萬一風險真的發生時，後果有多嚴重？例如，考量下列企業外在因素： 進貨之來源 技術 債權人要求 競爭對手之行動 經濟環境 政治環境 法令之規定 大自然引發之不可抗力事件(1)董事會議(2)部門主管會議(3)年度計劃(4)產銷協調會議F本公司除對大自然引發之不可抗力事件較無法預先評估其風險外，對於原物料之供應、市場技術之變革、競爭對手之情形及經濟、政治大環境之預期，均隨時注意，透過產銷協調會議及定期與不定期會議之討論，訂定因應方針，降低企業整體風險。F目前尚無重大外在因素引發企業整體風險之情形。2. 因企業內在因素而引發的企業整體風險有哪些？如何辨識？每一種風險發生的可能性有多大？萬一風險

9、真的發生，後果有多嚴重？例如，考量下列企業內在因素： 人力資源，例如：重要主管人選或其擔負責任之變動。 財務活動，例如：用新方法籌措之財源或舊財源之延續。 員工關係，例如：薪給及退休撫卹計畫。 資訊系統，例如：備份計畫當資訊系統失效時備份計畫的適當性可能嚴重影響營運。依管理人員職務代理說明書及各單位及各間接人員的職務說明書規定辦理。依內部控制融資循環規定。依薪工循環薪資處理及退休作業規定。依電腦作業循環檔案及設備之安全控制規定。F本公司相當重視人員及部門之承接問題，故訂有【職務授權及代理管理辦法】，明確訂定各部門及主管的權責及代理順序，以因應變動的可能性。F為降低與資金有關之風險因素，本公司均

10、依相關辦法執行。F本公司管理部負責有關本公司人力資源規劃相關事宜，員工薪資每月透過銀行轉帳至員工戶頭；本公司每月固定提撥勞工退休準備金至中央信託局。F本公司針對電子檔案及資訊系統訂有之【資訊媒體管制作業程序】，其中對備份作業程序皆有規定，以降低資訊系統損壞所帶來的風險。3. 就每個重大的作業層級目標，逐一辨認其不能達成之重大風險。 詳作業層級之內部控制評估。(1)透過會議適時檢討各作業執行情況，並配合平時管理活動及稽核作業，以促進目標之達成及風險之預防。F依設計執行，經由會議及管理階層日常監督適時檢討目標達成情況。F詳作業層級之內部控制評估說明及結果。4. 風險分析程序之周延性及相關性如何？例

11、如，考量下列項目： 分析風險是經由正式的風險分析程序，還是在平時管理活動中，做非正式分析。 辨認出來之風險，與相對應之作業層級目標之間，是否攸關。 評估風險的管理階層，其階層是否適當。(1)董事會議。(2)部門主管會議。(3)配合平時管理活動及稽核作業來降低風險發生機率。F不定期市場動態分析及風險評估並作部門計畫調整。結論/須採行之改善措施本公司對於風險評估均擬訂策略及方針隨時加以因應及控管；另由於未來公司營運擴大，各方面之風險相對提高，對內建立確實之內控制度及對外建立風險評估之程序模式亦為重要之目標。覆核者/日期: 編製者/日期: 肆、對改變的管理目標種類控制點設計執行辨認改變是否發生，以進

12、行風險管理O,F,C1. 哪些改變會對企業產生重大影響？哪些情況需要高階主管加以注意？如何辨認？企業對哪些改變做出回應？例如，考量下列項目： 對例行作業改變的討論是屬日常風險確認、風險分析過程之一部份，還是屬另一個單獨的制度。 討論因改變而生之風險（包括機會）的人，在企業中的階層是否夠高，亦即，是否高到足以辨認改變的全部影響；是否高到可以擬定適當的行動計畫。 是否考量所有因變動而受到重大影響之作業。(1) 由公司權責主管考量內部與外界各種條件變化及趨勢，擬定公司之經營方針及目標，並透過會議及管理階層監督，依據實際情況做適度調整。(2) 核決權限作業指導書。F一般例行作業改變風險之確認及分析於日

13、常會議中討論及執行。F對於重大之改變風險，則由總經理與高階主管共同討論評估後執行之。2. 針對下列可能發生改變之項目，是否訂有能夠辨認重大改變的制度？是否訂有讓企業做出回應的制度？及是否訂有辨認可能需要高階主管注意之制度？例如，考量：(1)規定於內控及各項管理辦法中，並藉由會議進行，由權責單位負責處理。F依設計執行，並透過日常的管理活動與各種會議討論，隨時掌握因改變而衍生之風險。改變的營業環境： 是否有市場研究或其他計畫，可用以辨認顧客的特性、偏好及消費型態等項目之重大改變。 內部或外部勞動力的技術水準改變時，企業是否會知道。 法律顧問是否定期把新頒佈法令之影響告訴管理階層。(1)董事會議。(

14、2)產銷協調會議。(3)相關教育訓練課程。F業務部隨時積極蒐集市場資訊及產業型態。F負責產品研究發展人員並不定期參加同業間或專業機構舉辦之研討會與課程掌握技術水準改變之訊息。新進的員工： 是否採取確保新進人員瞭解本公司文化，並予遵行的行動。 對新加入員工負責執行的重要控制活動，是否特別仔細考量。(1) 內控薪工循環。(2) 相關教育訓練課程。F新進同仁到職時，引導其詳讀本公司之管理規章，詳細介紹公司相關規定，使其瞭解企業文化。新設置的資訊系統或原來的資訊系統改變： 是否設有可用以評估資訊系統效果之制度。 當新資訊系統已告發展完畢，並開始運作時，是否考量現行控制的系統是否仍然適當。 當管理階層遭遇簡化作業的壓力時，是否仍然遵守在發展及設置資訊系統時所訂定應遵守的程序。