发布时间:2023-10-12 15:41:16
导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的13篇企业风险控制案例范例,将为您的写作提供有力的支持和灵感!
信息安全管理是一项需要综合学科知识基础的工作,从事企业信息安全管理工作的人员通过需要具有网络安全技术、计算机技术、密码技术、通信技术。从企业的信息安全管理来讲,最为关键的一项工作时保护企业内部经营信息数据的完整。经过近十年来的企业信息安全管理工作经验总结,企业信息安全不仅仅需要信息技术的支持,更需要通过建立完善的企业风险控制体系来帮助企业实现更好地保护企业信息安全的目标。所以,怎样把企业信息安全管理与风险控制融合起来就是摆在企业经营管理者面前的一道难题。企业的信息安全风险控制必须通过企业建立完善的企业信息安全风险体系实现。
企业的信息安全风险控制是指企业在企业信息安全遭遇威胁之前,提前对企业的信息进行风险预估,并采取一系列的有针对性的活动降低企业面临的信息安全风险,从而尽可能减少因为企业本身信息安全管理中存在漏洞给企业带来不必要的损失。常见的企业信息安全风险体系建立主要包含以下几个方面的内容。第一,建立企业信息安全风险管理制度,明确企业信息安全管理的责任分配机制,明确企业各个部门对各自信息安全所应承担的责任,并建立相应的问责机制。第二,设置规范的企业信息安全风险管理指标,对企业存在的可能威胁企业信息安全管理的漏洞予以风险定级,方便企业管理者对不同的信息安全管理漏洞采取有区别的对策。第三,企业要加强对信息安全管理人员的培训,提高企业信息安全管理工作人员的风险意识,让企业内部从事信息安全管理工作人员认识到自身工作的重要性,让企业内部从事信息安全管理工作人员了解到规范自身行为,正确履行职责的重要性。第四,将企业信息安全管理与风险控制有效融合,重视企业信息安全管理工作,通过风险控制对企业内部信息安全的管理方式进行正确评估,找出现行的企业内部信息安全管理手段中存在容易忽视的地方。
二、企业信息安全管理与风险控制存在的不足
1.企业信息安全管理工作人员素质不高
对于企业来说,企业信息安全管理工作是一项极为重要而隐秘的工作,因此,必须增强对企业信息安全管理工作人员的素质要求。但是根据调查统计,目前很多企业对信息安全工作的管理仅仅停留在对企业信息安全管理工作人员的技术要求上,对企业信息安全管理工作人员的道德素养,职业素养,风险意识并没有严格要求。此外,绝大多数企业并没有意识开展对企业信息安全管理工作的道德素质的教育培训,并没有通过建立相关管理制度以及问责机制对企业信息安全管理工作人员实行监督,这无疑给别有用心或者立场不坚定的企业信息安全管理工作人员留下了危害企业信息安全的可乘之机。
2.企业信息安全管理技术不过关
企业信息安全管理工作涉及多许多技术,包括信息技术,计算机技术,密码技术,网络应用技术等等,应当说成熟的计算机应用技术是做好企业信息安全管理的基础,但是,现实是许多企业的信息安全管理技术并不过关,一方面企业的信息安全管理硬件并不过关,在物理层面对企业信息缺乏保护,另一方面,企业信息安全管理工作的专业技术没有及时更新,一些企业信息安全管理工作人员缺乏企业信息安全管理的实践经验,企业信息安全管理的知识也并没有及时更新,从而导致企业的信息安全管理理论严重滞后,这种技术的落后很容易让企业成为不法分子的攻击对象。近年来网络病毒的传播越来越猖狂,很多服务器、系统提示安全补丁的下载更新以及客户端的时常更新成为一个恼人的问题。作为一个行业中的大中型企业,企业内部设备数量比较多,尤其是客户端数量占了较大比重,仅仅靠少数几个管理员进行管理是难以承担如此大量的工作量。另外,企业信息安全管理系统不成熟也是一个重大的隐患。
3.企业信息安全管理制度不健全
企业信息安全管理制度不仅仅需要理论制度的完善,更加需要一系列配套监督机制保障企业信息安全管理的有效执行。通过调查分析,许多企业虽然建立了企业信息安全管理制度,但是通常情况下,这些制度只能流于形式,企业信息安全管理工作缺少有效的制约和监督,企业信息安全管理工作人员缺乏执行力。企业信息安全管理制度不健全,企业信息安全管理工作缺乏执行力常常体现在以下几个方面。第一,企业员工对于信息安全管理的认识严重不足,对企业信息安全管理工作不重视。企业内部计算机系统安全的计算机防病毒软件并没有及时更新,使用,甚至企业内部计算机的防病毒软件还被企业员工卸载了。部分企业员工认为自己的工作与企业信息安全管理不相关,认为做好企业信息安全管理工作仅仅是企业信息安全部门的事。第二,企业内部信息安全文秘站:管理制度并没有形成联动机制,企业信息安全管理工作仅仅由企业信息安全部门“一人包干”,企业信息安全反映的问题并没有得到积极的反馈,一些企业领导对企业信息安全现状所了解的少之又少。
三、企业信息安全管理常见的技术手段 1.OSI安全体系结构
OSI概念化的安全体系结构是一个多层次的结构,它的设计初衷是面向客户的,提供给客户各种安全应用,安全应用必须依靠安全服务来实现,而安全服务又是由各种安全机制来保障的。所以,安全服务标志着一个安全系统的抗风险的能力,安全服务数量越多,系统就越安全。
2.P2DR模型
P2DR模型包含四个部分:响应、安全策略、检测、防护。安全策略是信息安全的重点,为安全管理提供管理途径和保障手段。因此,要想实施动态网络安全循环过程,必须制定一个企业的安全模式。在安全策略的指导下实施所有的检测、防护、响应,防护通常是通过采用一些传统的静态安全技术或者方法来突破的,比如有防火墙、访问控制、加密、认证等方法,检测是动态响应的判断依据,同时也是有力落实安全策略的实施工具,通过监视来自网络的入侵行为,可以检测出骚扰行为或错误程序导致的网络不安全因素;经过不断地监测网络和系统来发现新的隐患和弱点。在安全系统中,应急响应占有重要的地位,它是解决危险潜在性的最有效的办法。
3.HTP模型
HTP最为强调企业信息安全管理工作人员在整个系统中的价值。企业信息安全工作人员企业信息安全最为关键的参与者,企业信息安全工作人员直接主导企业信息安全管理工作,企业信息安全工作人员不仅仅是企业信息安全的保障者,也是企业信息安全管理的威胁者。因此,HTP模型最为强调对企业信息安全管理工作人员的管理与监督。另外,HTP模式同样是建立在企业信心安全体系,信息安全技术防范的基础上,HTP模式采取了丰富的安全技术手段确保企业的信息安全。最后,HTP强调动态管理,动态监督,对于企业信息安全管理工作始终保持高强度的监督与管理,在实际工作中,通过HTP模型的应用,找出HTP模型中的漏洞并不断完善。
四、完善企业信息安全管理与降低风险的建议
1.建设企业信息安全管理系统
(1)充分调查和分析企业的安全系统,建立一个全面合理的系统模型,安全系统被划分成各个子系统,明确实施步骤和功能摸块,将企业常规管理工作和安全管理联动协议相融合,实现信息安全监控的有效性和高效性。
(2)成立一个中央数据库,整合分布式数据库里的数据,把企业的所有数据上传到中央数据库,实现企业数据信息的集中管理与有效运用。
(3)设计优良的人机界面,通过对企业数据信息进行有效的运用,为企业管理阶层人员、各级领导及时提供各种信息,为企业领导的正确决策提供数据支持,根本上提高信息数据的管理水平。
(4)简化企业内部的信息传输通道,对应用程序和数据库进行程序化设计,加强对提高企业内部信息处理的规范性和准确性。
2.设计企业信息安全管理风险体系
(1)确定信息安全风险评估的目标
在企业信息安全管理风险体系的设计过程中,首要工作是设计企业信息安全风险评估的目标,只有明确了企业信息安全管理的目标,明确了企业信息安全管理的要求和工作能容,才能建立相关围绕信息安全风险控制为目标的信息安全管理工作制度,才能顺利通过对风险控制的结果的定量考核,检测企业信息安全管理的风险,定性定量地企业信息安全管理工作进行分析,找准企业信息安全管理的工作办法。
(2)确定信息安全风险评估的范围
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 18. 013
[中图分类号] F275 [文献标识码] A [文章编号] 1673 - 0194(2014)18- 0019- 03
1 加强资金安全管理的必要性
1.1 电网企业的资金内控形势
(1)电网企业资金管理的特点。①电网企业是以电力销售为主营业务的资金密集型企业,每年有巨大的售电量资金流入和购电量及生产建设资金流出,资产规模庞大,运行维护工作多。②实行收支两条线的资金管理模式。③电网企业负债大。电网企业每年有巨额的建设投资需求,根据电网建设适度超前的要求,仅靠当年的自留利润不足以支撑,需要大量的贷款,导致资产负债率较高。④物资流量大。每年较大规模资产的日常运行维护,加上大规模的电网建设项目,需要配送大量的电网物资。
(2)电网企业也存在个别资金安全管理问题。如果内部控制制度不完善或制度执行不到位,电网企业同样也会面临较大的资金安全风险,因此,电网企业必须重视和加强资金安全管理,资金安全如同生产安全,树立“像抓生产安全那样抓资金安全”的理念,有利于确保企业稳健经营、可持续发展。
(3)对资金安全管理状况缺乏系统性的评价标准和评价方法。在实际工作中,由于各单位各个岗位对管理制度的理解不一致,造成执行上存在偏差,容易形成管理漏洞,给资金安全带来风险,通过量化的评价方法,可全面透彻掌握资金管理状况,落实资金安全责任,改进资金管控措施,持续提升企业风险管控水平。
(4)构建资金安全管理评价体系的紧迫性。以前年度实施的资金专项检查,大多是根据国家的法律法规、企业的内部控制管理规范、专项管理制度等进行的,依据相对分散,不够系统和全面,有必要建立系统的、科学的、全方位的资金安全管理评价体系,有利于全面管控资金的运作。
1.2 资金安全管理要素及风险管控点
电网企业资金安全管理要素及风险管控点主要有:①银行账户管理。管控点:银行账户开立、变更及撤销管理;银行账户及资金流监控体系;银行账户合并、清理管理。②银行存款管理。管控点:银行余额调节表管理;网上银行安全管理。③现金管理。管控点:现金实物保管和盘点;现金开支范围管理。④票据和印鉴管理。管控点:银行支票管理;应收及应付票据管理;印鉴、签章安全管理。
1.3 资金安全管理流程及相应管控点
电网企业资金安全管理流程及相应管控点主要有:①电费收入安全管理。管控点:电费抄、核、收流程安全管控;各单位电费资金集中率管理;应收电费、陈欠电费回收率管理。②资金支出安全管理。管控点:资金预算、资金计划合理性;资金支付岗位稽核;资金支出业务审批控制。③资金安全备付管理。管控点:资金安全备付余额核定;资金存量实时监控体系管理;大额资金调度安全管理;超备付资金运作安全管理。④投资、筹资、对外担保、捐赠资金管理。管控点:投资、筹资、对外担保审批安全管理;风险评估管理。⑤资金业务人员管理。管控点:资金结算关键岗位管理;不相容岗位分离管理;资金岗位交接管理。
2 资金安全管理评价体系的构建方法和模型
2.1 构建资金安全管理评价体系的目标
(1)加强资金管理监督,确保资金安全管理与风险防范的正规有序。电网企业动辄几百万元甚至过亿元的资金流转,如此巨额资金的使用,稍有不慎或存在管理上的漏洞,则可能会给公司带来巨大的无法挽回的经济损失。
(2)提高资金使用的效率和效益,促进国有资产保值增值。电网企业关乎国计民生,是国家重点管制行业,作为国有独资公司的电网企业必须确保国有资产保值和增值,提高经济增加值,增强资金管理的透明度,努力构筑资金安全风险防范的“防火墙”。
(3)落实资金管控措施,促进企业建立资金安全性评价长效机制。通过构建和实施资金安全管理评价体系,开展资金安全评级,并与考核、业绩等相挂钩,使资金管控措施落地生根,并得以很好的量化,促进企业建立资金安全性评价长效机制,使资金安全管理常态化、日常化、规范化和科学化。
2.2 资金安全管理评价体系的构建思路
建立资金安全管理评价体系,应遵循“主动干预、关口前移,实时发现、切实查清,及时处理、防微杜渐,综合管控、提升效能”的32字方针,积极构建适应形势发展和任务要求的全方位资金安全管理评价体系。
(1)主动干预、关口前移。变现行“被动监督”为“主动干预”的管理模式,把主动干预、关口前移作为第一理念,通过建立评价体系,主动管理企业资金收付行为,把安全防控的关口前移到企业账户资金发生收付业务的同时,在主动干预下,确保企业经费开支与资金收付始终受到监督,从源头上遏制资金安全问题发生。
(2)实时发现、切实查清。通过建立评价体系,运用多种手段对发生预警的资金业务进行判断,查清每一笔资金的来龙去脉,从而产生强烈的威慑作用,使企业资金使用者、管理者不敢违规。
(3)及时处理、防微杜渐。对发现的资金安全隐患问题,依据财经法规制度,在第一时间予以制止和纠正。突出资金的全过程监管,加大对资金安全隐患苗头的打击,把防微杜渐放到突出位置,通过对企业资金收付情况的全程监督与评价,时刻绷紧资金安全管理这根“弦”。
(4)综合管控、提升效能。一个开放的、完整的、富有逻辑性的、务实的资金安全评价体系,旨在围绕资金安全管理,将原来的经费、预算、资金、核算四条线拧成一股绳,从而实现全面反映经费资金收支情况,全面提高经费使用效益,全面提升资金管控效能的目标。
2.3 构建资金安全管理评价体系的基本方法和模型
构建资金安全管理评价体系的基本原理是以风险控制为导向、以规章制度为准绳,遵循理论与实践相结合的基本方法,形成资金安全管理评价体系的模型,主要包括以下内容:
(1)明确资金安全管理目标。确立资金安全管理总目标,并对其进行分解,直至各可直接操作的安全管理子目标。
(2)资金管理业务的流程分析。梳理并绘制业务流程图,合理划分业务环节,将分解得到的各子目标对应到各环节,要求流程描述清晰,运行流畅,避免无效或低效作业。
(3)资金管理业务的风险识别、评估、应对。
(4)确定评价体系的主要内容。根据资金管理业务的流程分析,识别出风险控制关键点,以规章制度为依据,初步确定了资金安全管理评价体系的主题;①资金安全管理制度建设;②银行账户和存款安全管理;③资金收支安全管理;④现金和票据安全管理;⑤网上银行安全管理;⑥对外投资、融资、担保;⑦费用报销管理;⑧会计基础工作。每个主题又细分为多个项目,如资金收支管理包括岗位设置和职责分工、营业收费管理、资金支出审批控制等。
(5)设置规范要求。按照评价体系的主要内容和制度要求,对每个细分项目设置规范要求。
(6)进行现场测试和检验。对整个资金安全管理评价体系进行现场测试、验收,再修正评价体系,最终制定资金安全管理评价体系,以实施资金安全管理评价工作。
(7)制定评价审核指南。为了更客观地反映某个单位的资金安全管理水平,根据资金安全管理评价体系的主要内容、规范要求及日常工作的要求制定评价审核指南,指南包括评价标准、控制措施、不相容岗位/职务、管理控制要件、适用单位、评价或检查方法、分值、计分方法等。资金安全管理评价审核指南结构如下:
①综合管理(200分)。包括:国家财经纪律的执行情况(一票否决)、《国家电网公司资金安全管理实施办法》执行情况(100分)和省公司相关规定的执行情况(100分)。
②预算管理(100 分)。包括:财务预算的编制与审批(50分)、财务预算的执行与控制(30 分)和财务预算的分析与考核(20分)。
③货币资金管理(100分)。包括:银行账户及存款安全的管理(60分)和现金管理情况(40分)。
④资金收入管理(350分)。包括:资金收入内控及不相容岗位分工(30分)、营业收费管理(100分)、营业收费资金安全措施管理(50 分)、供电所印鉴管理(25 分)、收入的缴存入账管理(40分)、电费收入核对管理(80分)和供电所票据管理(25分)。
⑤资金支出管理(200分)。包括:资金支出内控与不相容岗位分工(30分)、资金支出的审批(60分)、结算票据管理(40分)、银行预留印鉴的管理(20分)、网上银行业务操作内控管理(30分)和资金支出跟踪的管理(20分)。
⑥基础性管理(50分)。包括:资金管理岗位设置及不相容岗位分工(10 分)、内部稽核情况(10 分)和会计档案管理情况(30分)。
(8)安全评级。安全评级采用千分制评分法(见表1,X=被考核单位总得分数),按分值的高低划分为5个基本等级:资金安全Ⅴ级(不达标)、资金安全Ⅳ级(基本达标级、合格)、资金安全Ⅲ级(达标级)、资金安全Ⅱ级(良好级)和资金安全Ⅰ级(优秀级)。
假如被考核单位无相应业务的考核项目,则该考核项目不计分,并运用等比例方法折算总分,即被考核单位总分数=被考核单位实得分数÷[1 000-不计分的考核项目的分值]×1 000。
3 资金安全评价体系的实践应用与推广
3.1 资金安全评价体系的实践应用
电网企业每年的现金流量较大,数以亿计的电费收入与生产建设资金支出的频繁发生,使得资金安全管理成为企业生产经营的重中之重,为提高资金使用的效率和效益,不仅要将资金管理的重心从事后的分析转到事前的预控与事中的监管,各电网企业还需运用资金安全管理评价体系,通过资金安全管理专项检查,发现资金安全管理的风险点,以提高资金安全管理的总体水平。
3.2 资金安全评价体系的推广
(1)以风险控制为导向、以规章制度为准绳,遵循理论与实践相结合的资金安全管理评价体系的有效推广,需深入剖析资金日常管理的业务流程,分析各流程存在的风险点,并设计关键控制点,统一构建资金安全管理评价体系。
(2)全面开展资金安全评价评分工作,将各单位资金安全评价总得分纳入考核体系,与单位绩效考核挂钩,有效控制资金管理风险,做到“主动干预、关口前移,实时发现、切实查清,及时处理、防微杜渐,综合管控、提升效能”32字方针。
3.3 资金安全评价体系仍需持续完善
(1)资金安全评价评分带有主观性,该体系需人为操作,受评价人员知识水平、评价经验、责任心影响程度较大,故在一定程度上影响资金安全评价工作的客观性、公正性、公平性。
(2)目前该评价体系为初创阶段,尚未成熟,电网企业复杂业务流程的精细分析,资金安全管理风险点的设置,均需统一操控,并形成制度颁布。
(3)需不断完善评价体系,提高资金安全管理评价的信息化水平,将体系升级为系统,提高资金管理的信息化水平,运用资金安全管理评价系统,实时进行资金运用情况的分析、预测、监控,变静态的体系为动态的系统,发挥信息化的优势。
主要参考文献
[1]王铁成.资金安全管理与风险控制研究[J].财务与管理,2013(10).
则
第二条
集团公司负责培训外审和企业主要内审专家,参与和督导企业第一次风险控制评估工作;分、子公司生产领导和职能部门负责风险控制评估内审把关和外审组织工作;基层企业应组织相关人员学_和把握风险控制评估标准要求,组织做好内审工作。
第四条
未开展安全生产标准化达标的企业,应随安全风险控制评估外审工作同步开展。特许经营项目部应视同发电企业的一个部门(车间),并按要求同步开展内审工作。
第六条
企业安全风险控制评估工作应纳入企业年度“两措”计划,确保费用落实。
第八条
本细则适用于集团公司各上市公司、分公司、省发电公司以及基层发电企业。
第二章
第十条
体系运行效果评估
每个要素的目标、指标完成情况与流程节点管控情况应一并进行查评,各要素运行效果判定标准如下:
2.目标完成、指标部分完成、不存在重点问题且风险度小于50%,该要素为存在偏差状态。
(二)单元和本质安全型企业体系总体运行效果评估
(1)存在重点问题数超过查评项目的6%。
(3)风险度是否大于15%。
内审组织与管理
第十一条
内审工作的组织
(二)安监部牵头组织管理和环境单元内审,设备部牵头组织设备单元内审,发电部牵头组织人员单元内审,人资部、总经部等其他部门按责任分工负责相关要素内审。
安监部负责内审的归口管理。
(四)每个评审要素(节点或检查项)应结合企业机构设置、职责分工设置A、B角。
第十二条
内审培训
(二)内审人员培训应包括:集团公司《本质安全型发电企业管理体系规范》、《本质安全型发电企业安全风险要素管控重点要求》,《发电企业安全风险控制指导手册》(以下简称《指导手册》)、《发电企业安全风险控制评估工作管理办法》以及本细则对于评估工作的要求。
(四)培训结束后经考试合格方可担任内审员。
(一)每年第四季度企业应制定下年度内审计划,确定评估项目,评估内审时间至少一个月,但不超过三个月。
(三)内审员开展评估工作,将发现的问题进行分类,填入内审报告的“单元及要素评估明细表”中,依据标准进行评分,并提出整改建议。
(五)单元组长汇总本单元各要素存在的问题,核点问题和整改建议,编制本单元内审报告,按时向工作组组长提交。
(七)召开总结会,分、子公司职能部门负责人参加,其他要求同启动会。
第十四条
内审管理要求
(二)内审无问题的检查项要写出管控效果评估;
扣分项必须有实际存在的问题,要依据《指导手册》中的标准进行扣分,不得人为提升或压低分值。
(四)分、子公司要安排专人(或专家)对所属企业内审工作进行现场监督和指导。
第四章
(一)按照分、子公司年度外审计划,每年一季度,进行外审的企业与有资质的技术服务单位签订外审合同,内容应包括:
2.外审专家组长,外审专家和专业分工。
(二)根据外审企业总容量、机组数量、设备系统复杂程度,火电企业外审时间一般为7-10个工作日,专家组成员一般不超过22人;
风电和水电企业外审时间一般为7个工作日,专家组成员一般不超过13人。人员配备标准如下:
2.水电企业:组长1名、单元组长4名,设备专业组按专业配置(水轮机专业1名、电气一次1名、电气二次1名、自动控制1名、水工建筑1名)。
(三)外审专家组组成
2.专家组由专职专家和在职专家组成,原则上比例各占一半。企业分管生产副职、总工程师和发电部、设备部、安监部主任作为外审在职专家,其他由分、子公司推荐的在职人员,可参加学_评审。
第十六条
外审准备工作
(二)外审专家组长外审前,应对外审方案进行策划,方案应包括评审企业的状况、评审范围(确定不参评项)、评审时间、评审过程控制等内容,并经外审企业的上级公司批准。
(四)接受外审的企业根据外审方案和专家行程安排做好迎检工作,并提供相关记录、资料和规章制度。
第十七条
外审流程
(二)专家通过问询、文件查阅、现场取证、检验检测等方法开展工作,做好检查记录,并将汇总编制完成的检查表和重点问题及整改建议上报单元组长。
(四)专家组长组织召开专家组内部会议,综合分析评审结果,协调专业间共性问题,判别问题归属要素,对照标准确认外审不符合项以及重点问题。
(六)召开总结会,外审专家组单元组长、专家组长通报外审情况,其他要求同启动会。
(八)外审报告应由外审专家组长报上级公司直至分、子公司。
第__条
外审管理要求
(二)分、子公司应严格执行外审计划。
确因特殊原因需变更计划,分、子公司应书面说明原因,报请集团公司安全生产部同意后方可另行安排。
(四)任何人不得人为划定得分率。
第__条
对外审专家的要求
1.必须掌握与本专业有关的最新法规、规程、标准和反事故措施等,掌握外审评价方法、评审标准和依据;
3.坚持原则,实事求是,客观公正,评审发现的问题应准确、可追溯,提出的整改建议应有针对性、可操作性。
1.严格遵守外审时间安排,按时完成外审任务。
3.外审结束,如数归还企业的评审资料。
(三)安全要求
2.必须在企业配合人员陪同下进入生产现场。
评审报告及问题管理
第二十条
企业内、外审报告编写均应按照“四个凡事”要求,落实领导、技术、现场管理和监督责任,做到检查项目与对应的标准一致、实际工作管控效果和存在问题及所违反的规定描述清楚、存在问题对应的岗位人员责任准确。
第二十二条
内审报告及问题整改计划要以文件形式在本企业,并上报分、子公司;外审报告及问题整改计划由分、子公司以文件形式下发至外审企业,并上报集团公司安全生产部。
第二十四条
内、外审问题整改计划完成率在第二年(整改年)要力争达到100%;由于客观原因,不能按期完成整改的在第三年必须完成;因不可抗力等特殊原因不能进行整改的,企业应以文件形式提出变更或注销申请,上报分、子公司批准。
第六章
第二十六条
外审结束后,外审技术服务单位应组织专家对《指导手册》提出修改意见,随外审报告一并上报分、子公司。分、子公司汇总后,上报集团公司安全生产部。
附则
第二__条
水力、风力发电企业,由分、子公司按照具有完整安全生产管理体系的原则来确定安全风险控制评估的规模(不考虑资产归属)。
(一)50MW以下的水电厂或总装机容量100MW及以下的流域水力发电企业。
(三)天然气、太阳能发电企业的安全风险控制评估工作,待相对应的《指导手册》编制完成后进行。
第三十一条
本细则自之日起执行。
二、企业财务风险产生和发展的四大规律
企业风险的产生和发展有一定的规律。笔者对搜集到的企业风险案例进行了深入解剖和科学归纳,并在此基础上提出了风险产生和发展的五大规律,无疑是对企业有效防范风险的产生和有效控制风险造成的损失具有极其重要的价值。
1.规律一:风险产生符合“木桶效应”
“木桶效应”的本义是一个木桶成水量的多少,是由最短的那块木板决定的。无论风险点的出现还是风险的出现,都符合此原则。即企业在运作过程中,风险点或者风险一定实在最薄弱的环节中出现的。根据研究显示,企业作为一个系统可以分为九个子系统。
在这九个子系统中,不同的企业薄弱环节表现不一样,绝大部分企业是资金方面的问题;有的企业是市场方面的问题;有的企业是技术方面的问题;有的企业是团队方面的问题。因此,企业风险管理的重点应该从企业最薄弱的环节开始。
2.规律二:小细节产生大风险
在《细节决定成败》一书中,汪中求先生提到了多个因为小细节导致大失败的例子,这与规律基本一致。这个规律的得出,任何企业风险的发生,其风险爆发都有一个促成爆发的“临界点”,就是这样的细节决定了事情的成败。
但需要提出的是,并不是所有的细节都能决定成败,只有关键细节才能决定成败。比如,某建材厂生产企业破产了,一个关键的细节是因为一个预期中的信用证由于圣诞节的原因没有及时开过来,导致该企业资金链条的最终断裂。
所以,引起企业产生大风险的小细节,其发展演化也是有规律的。
3.规律三:小规模企业容易产生风险
从媒体上公布的信息来看,中小企业的生命周期大约为3-4年。也就是说,绝大多数的中小企业在成立之日起3-4年内就消失了。这个比例如果按50%计算,那么每年消亡的企业家数在20%左右。但是,规模较大的企业尤其是规模以上(注册资本500万元以上)的企业,其经营的稳定性就高得多,产生风险的机会也小得多。
三、企业财务管理的首要风险分析及案例
1.资金断裂风险的提出
在我们见到的企业出现的所有风险中,无论是大企业还是中小企业,80%以上的风险表现为资金断裂,资金断裂就像人患了“心肌梗塞”或“脑血栓”,如果不及时疏通极易出现“风险”,导致生命危险。这是企业在风险防范和风险管理过程中需要防范的第一风险。
2.案例是证分析
南京盘龙金陵建设开发有限公司资金断链,其原因就是该公司董事长的资金运作模式引起的。
民营企业一般的运作模式是以小博大。本案例中非常明显,企业自有资金太少,由于资金运作成本太高加上房地产运作的周期太长,很多运作环节企业不可控,因此,这类规模较小的中小房企非常容易资金断链。
四、企业财务风险控制体系建设的重要作用
1.企业财务控制体系建设是企业战略目标顺利实施的必要保障
一、理论概述
现在我们对风险的普遍理解是指各种各样的不确定性事件可能造成的不同影响或损失。
和其他国家相比,我国因为各类问题造成风险理论研究起步相对较晚,开始在20世纪80年代缓慢进行,初始阶段主要应用于金融行业的相关领域。时间发展到90年代,我国学者通过学习国外相关的先进知识和结合我国国情,将原本狭窄的国内风险理论研究进行了拓宽,在风险的定量分析和规避等各方面都进行了理论充实
在我国理论学术界,针对财务风险的概念也有一些不一样的理解:在1989年,刘恩禄、汤谷良将其定义为,在各类财务活动进行过程中,由于存在难以预料的各类影响因素,致使企业的实际收益与预计之间发生偏差,从而造成企业的经济损失。
现阶段,我国的企业风险管理体系并不是无懈可击,还是缺乏基本的系统性,研究方向也是主要集中在理论方面。但是,风险理论的研究已经逐步走向正轨,正在不断完善与发展中。
二、国内中小企业风险理论研究
我国由于历史发展的特殊原因,风险控制的起步与发展比同类型国家晚了将近30年,和发达国家之间的距离更大。90年代中期,国内的风险研究理论方面开始缓慢起步,97年的时候,国内学者吸收引进了大量的国际先进理论知识,逐步与世界进行接轨。与此同时,国内学者也不断完善丰富我国的风险理论研究。
在对中小企业的风险研究中,国内很多学者更多的关注了中小企业的融资风险方面的问题。经济学家徐滇庆提出利用民营银行为中小企业创建新的融资方式,以此来缓解风险。经济学家陈晓红和刘剑通过对实际案例的研究分析,针对我国的特殊国情,得出结论“中小企业的融资结构是随着企业生命周期的变化不断改进的,与此同时融资渠道也是多种多样的”。经济学家庄俊成和舒兵利用简单的模型对企业的融资困难进行探索,寻求能够解决这一问题的最佳方案。
三、加强我国企业风险控制与管理的措施
(一)提高对风险控制与管理的认识
在现阶段,由于我国宏观经济发展放缓,我国企业面临的各种风险势必会不断增多。我国企业要想在复杂多变的市场中求得生存与发展,就必须要提高对企业风险控制与管理的认识,做好风险控制与管理工作。具体而言:一是提高企业管理者对风险控制与管理的认识,尤其是要取得企业最高层的一致认识,使其认识到做风险控制与管理工作对企业发展的重要性,并将其列入企业的重点管理工作之一;二是对企业风险控制与管理工作提供大力支持。做好企业风险控制与管理工作是一个系统的工程,需要企业投入大量的资源。为此,就需要企业加大对风险控制与管理工作的支持力度,例如:资金、人才等方面的支持。
(二)建设一支高素质的风险控制与管理人才队伍
管理工作的出发点是“人”,“人”才是做好管理工作的根本,对于风险控制与管理工作也不例外。我国企业要想加强企业风险控制与管理,就必须加快建设一支高素质的人才队伍。具体而言:一是做好风险控制与管理人才的招聘工作,保证有足够数量的人才从事风险控制与管理工作,避免身兼多职现象的发生;二是提高风险控制与管理人才的薪Y待遇,一方面是可以提高企业对优秀风险控制与管理人才的吸引力,使更多的优秀人才可以加入自身企业;另一方面是可以留在企业现有的优秀人才,保持人才队伍的稳定性;三是企业应该要加强对风险控制与管理人才的培训。由于我国市场环境复杂多变,企业遇到的风险也必然繁多复杂。这就需要我国加强对风险控制与管理人才的培训,使企业可以在遇到风险时,可以采取各种有效的措施将其损失降到最低。
(三)建立健全风险预防机制
健全的风险预防机制需要有健全的风险意识教育机制、分析机制和风险控制决策机构。首先风险意识的教育机制能够帮助企业中的各方成员建立明确的风险意识。建立这种教育机制主要是因为风险本身拥有不确定性和不稳定性的特征。其次是建立完整的分析机制,这样的机制可以帮助我们的企业将损失减少做好最小,同时作为经验可以为之后遇到同类的风险危机时,提供相应的经验,让企业自身在某种程度上恰当控制与规避风险。最后是逐步建成完善的风险控制盒决策机构,这样可以集中企业中可以利用的一切资源,迅速解决企业遇到的风险,另外这样做还可以提升企业自身对风险的应变能力。
参考文献
[1]宋明哲.风险管理[M].台北:中华企业管理发展中心,1984;4-26.
二、基于BSC的央企风险控制框架设计可行性分析
(一)风险控制研究现状 首先,在企业风险控制研究的早期阶段,人们主要关注的是风险控制的具体方法和技术,在具体的风险控制各个方面,人们研究出了一系列的技术手段,这些技术手段仅仅局限在各自适用的单一的、片面的或者分离性的层面之上,只能解决经营管理活动的某一个环节所遇到的风险,它们之间是独立存在的,缺乏必要的联系。然而,经营环境不断变化,市场风险日益复杂,这要求企业要全面的、联系的看待企业在经营活动的各个层面所面临的风险,将它们进行整合,且要求企业经营者在风险控制的过程中,建立一套适应企业经营活动各个层面的、统领全局的风险控制框架,对企业整体风险进行综合控制。其次,经济全球化迅速发展,企业外部市场环境不确定性大大增加,企业战略目标成为引导企业发展的一个重要方向,从理论上来说,风险控制是实现企业战略目标、加强公司战略管理的一个重要实现条件。然而,目前风险控制的研究往往与企业战略目标脱节,导致在企业的战略管理过程中,存在对战略目标认识模糊、战略实现出现偏差等问题。因此,在企业的风险控制过程中,应该考虑将其与企业的战略目标相结合,更进一步来说,企业可以将风险控制上升到战略层面,使之成为企业经营管理的一个战略过程,成为企业战略管理的一个重要组成部分,通过加强对风险的控制能力,来获得企业竞争优势,反过来,企业战略管理水平的提高又促使企业形成一套规范的风险控制战略体系。
虽然目前风险控制的研究和实践中涌现了很多技术、方法,取得了许多有价值的成果,但其并不能满足当前企业的需要,总的来说,应从以下几个方面进行改进:第一,虽然企业经营活动中单一层面和孤立环节的风险控制对企业的发展起到了积极的促进作用,但是很难实现对企业整体风险的有效防范,因此,企业的风险控制不能仅仅局限在分离的层面上,需要建立涵盖企业各个层面的、通灵性的有效风险控制体系。第二,从上文分析可以看出,企业的战略管理与企业的风险控制是相辅相成、互相促进的关系,因此,将风险控制与企业战略目标相结合,是风险控制成为促进企业战略目标实现的有益条件,反过来,企业战略的实现成为企业提高风险控制能力的具体实践。
(二)平衡记分卡(BSC)与企业战略管理的关系 平衡记分卡(BSC)是由哈佛商学院罗伯特·卡普兰和戴维·诺顿于1992年发明的一种绩效管理和绩效考核的工具。通过理论研究一直到实践,平衡记分卡逐渐成为一个战略实施的工具,将公司的战略落实到可操作的目标、衡量指标和目标值上。在行业上,平衡记分卡几乎涉足到各个行业,全球各个行业的企业(甚至包括一些非盈利性机构)对平衡记分卡需求每年以成倍的速度增长。平衡记分卡在其推广与应用的过程中,理论体系也在不断地丰富与完善:1996年,Kaplan和Norton在《哈佛商业评论》上发表第三篇关于平衡记分卡的论文,他们一方面重申了平衡记分卡作为战略管理工具对于企业战略实践的重要性;另一方面从彼得·德鲁克的目标管理中吸取精髓,解释了平衡记分卡作为战略与绩效管理工具的框架,该框架包括设定目标、编制行动计划、分配预算资金、绩效的指导与反馈及连接薪酬激励机制等内容。平衡记分卡的核心思想之一在于通过财务、顾客、内部过程、学习与创新四个方面指标之间相互驱动的因果关系来展现组织的战略轨迹,促进其战略目标的实施。围绕企业的战略目标,利用平衡记分卡可以从财务、顾客、内部过程、学习与创新这四个方面对企业进行全面的测评。在使用时对每一个方面建立相应的目标以及衡量该目标是否实现的指标。
(1)财务方面。平衡记分卡在财务方面的应用主要是通过对传统财务指标的分析,以得出企业经营活动的相关数据,用来对企业管理者的行为进行评价和奖惩。
(2)顾客方面。平衡记分卡在顾客方面的应用主要是站在顾客的角度来看待企业,从质量、成本和质量等方面关注企业的市场份额及顾客的需求和满意程度。
(3)内部过程方面。这一方面的应用主要是通过对生产率、生产周期、成本等指标的分析,总结出企业内部的优势和劣势,向利益相关者报告企业的经营效率,对与顾客满意度相关的企业活动进行相应的关注。
(4)学习和创新方面。平衡记分卡在这一方面应用的目标是引导企业关注未来的长远发展,在保持现有竞争优势的前提下,不断创新、改进和变化。只有通过创新,不断为顾客提供新的价值,提高企业经营效率,才能使企业进入新的市场,增强整体竞争力。
(三)基于BSC的央企风险控制框架设计可行性分析 平衡记分卡需要对一切影响企业战略目标实现的积极因素与消极因素进行平衡,主要体现在财务与非财务指标的平衡,企业内部和外部的平衡,过程与结果的平衡,收益与风险的平衡,经营管理与风险控制的平衡等各个方面。本文使用平衡记分卡的意义在于:结合企业的各种管理流程,将平衡记分卡与其整合成一套更为完善的管理系统,这套管理系统可以在企业内部实现信息共享、跨部门沟通、组织学习等功能,使得企业真正能够实现整体和关键领域的风险控制。
央企的风险控制从战略角度来说,需要依赖一个与企业战略紧密联系的管理会计工具来实现,而平衡记分卡内在的结合企业战略目标,可以实现企业收益与企业风险的平衡,促进企业经营管理水平和风险控制水平的提高,这为两者的整合提供了主观上的需要和客观上的支持。
三、基于BSC的央企风险控制框架设计
(一)基于BSC的企业战略目标实现 平衡记分卡(BSC)代表了目前国际上最前沿的管理思想,它最为突出的特点就是集测评、管理与交流功能于一体。借助于平衡记分卡,可从财务、顾客、企业内部和学习成长四个方面,落实企业的战略,并为企业设计出一套具有普遍性的风险控制框架。
企业战略目标的实现需要考虑多个因素的综合影响。按照平衡记分卡的要求,可主要从财务、客户、内部和学习成长角度进行考虑。具体到这四个方面,应针对各自的内容进行不同方向的研究。这其中的关系如图2所示:
从图2可清楚的看到平衡记分卡四个方面之间以及与企业战略目标的实现之间的相互关系。从财务角度讲,财务指标是企业相关者了解企业运行及目标实现情况的最为直观的数据。为更好地实现战略目标,企业管理者在业务成功之后应当重点考虑向企业股东展示什么,这样能够更好的改善企业股东与管理者之间的关系,进而降低所有权与管理权分离导致的信息不对称,保证企业目标的有效实现。
在客户和企业内部方面,企业战略目标的实现要求企业着重考虑应当以怎么样的方式实现客户的价值最大化并满足客户的不同需求。客户是企业继续存在和发展的动力与支撑力,企业目标的实现是建立在客户的满意之上的。企业应思考如何向客户展示自身的优势以获得竞争优势,并且要对企业的业务进行不断地改进以更好的满足不同客户不同时期的需求。只有拥有了客户的信赖,才能为更好的实现企业的战略目标提供保障。
而从企业的学习和成长角度考虑,这一方面的改进无疑是企业实现战略目标的推动力。创新和成长是一个企业保持竞争优势、不断发展前进的不竭动力,这一过程的提高使得企业一直处于行业领先位置,保证企业目标的有效实现。
根据平衡记分卡的四个方面,并结合企业的内外部环境,将企业的总目标进行详细划分,主要划分为企业整体规模、企业主要业务排名、企业整体收入水平、企业的盈利能力等财务目标以及员工的创收和创新能力等。其具体目标体系如图3所示。
(二)基于BSC的企业风险控制框架设计 平衡记分卡在企业总目标实现上的应用同样能够运用到企业风险控制框架的设计上。企业风险控制系统主要经历战略/目标制定、风险识别、风险评估、风险应对、风险控制、沟通与监控等几个流程,如图4所示。
由于风险控制的目标与企业总目标始终保持一致,因此,风险控制框架的设计与总目标的体系划分有一定的相似之处。
与图3类似,图5展示的是平衡记分卡与风险控制目标的关系:
通过财务、客户、企业内部和学习成长四个方面的划分,可以在企业总目标框架下,将风险控制目标细分成多个方面,形成一个完整的目标体系。如图6所示:
概括地讲,企业风险控制框架的设计流程就是从平衡记分卡的财务、客户、企业内部和学习成长出发,在企业总目标的指导下,根据企业内外部环境,依次经历目标设定、风险识别、风险评估、风险应对、控制活动、信息交流和运行等流程,由总公司层面延伸至各个分公司或其他责任中心,逐步建立起一整套完整的风险控制框架。其设计流程如图7所示。
企业风险控制框架的建立依托于企业战略目标的正确设定、平衡记分卡的准确运用以及企业内部的协调合作。框架的设立能够有效地检测和评估企业的风险状况,促使企业及时应对面临的风险,保障企业的正常运行。综上,可总结出整个企业风险控制框架设计总体思路如图8所示:
四、结论
风险控制对企业治理具有举足轻重的作用。每一个企业,在市场经济的大环境中,无论大小,都会不可避免的遇到各类风险,本文克服了以往企业风险控制侧重于具体方法与技术的缺陷,与企业战略目标相结合,建立了一套统领央企经营管理各个方面的、基于BSC的央企风险控制的框架,用这套统一的风险控制框架体系来规范企业风险管理,使企业各方面的风险能够在一个系统的框架内得到衡量与控制,采用一致的标准测量并加总这些风险,进而形成一个系统的风险目标体系。只有这样,才能有效地帮助企业更好更迅速的应对突发事件,将风险及其所带来的损失降到最低,保证企业健康快速的发展。
[本文系教育部人文社会科学研究项目(11YJA630167)和国家社会科学基金项目(10BJY009)阶段性研究成果]
参考文献:
[1]吴星泽:《财务危机预警研究:存在问题与框架重构》,《会计研究》2011年第2期。
[2]刘霄仑:《风险控制理论的再思考:基于对COSO内部控制理念的分析》,《会计研究》2010年第3期。
[3]刘俊勇、孟焰、卢闯:《平衡计分卡的有用性:一项实验研究》,《会计研究》2011年第5期。
1.风险财务的内涵。
风险财务主要是指企业在运营或者管理中,在很多不确定因素的影响下,使得企业的财务呈现出一定的风险性,最终可能导致企业的财务管理工作出现较大的偏差。
2.风险财务的特征。
(1)综合性的特征。企业的风险财务既包括资金筹措和资金结算的风险,也包括在各种因素影响下产生的企业资金风险,涉及到企业的各个部门。
(2)不确定性的特征。导致企业风险财务的原因实际上是相当模糊的,并且这些原因之间是相互交错、相互影响的,这就使得企业的财政存在着一定的风险。但是,这些因素是难以认识和完全把握的,所以导致企业财政管理工作进行起来有不小的困难。
(3)严重的损失。当企业的财务结果与财务目标出现较大差异时,如果差异超出了企业的承受能力,那么企业可能会面临严重的经济损失。
(二)风险财务管理的概念和特点
1.风险财务管理的概念。
风险财务管理是指在核查清楚企业财务现状的基础上,通过采取一些科学有效的手段进行风险管理,以此控制并降低企业的风险,保持企业发展的健康、稳定。
2.风险财务管理的特点。
(1)风险财务管理的覆盖面十分广泛,对于企业的各个部门和人员而言,都与企业的财务有着密不可分的联系,这就使得风险财务管理所涉及的范围更加广泛。
(2)风险财务管理工作非常注重应对企业的财务风险,能够更加科学地应对企业的财政风险。
(3)企业的风险财务管理手段很先进,因为风险财务管理需要对大量的数据进行处理分析,并从中找出影响企业资金风险的因素,所以必须要具备科学的管理手段和先进的管理方法,只有这样,才能有效提高企业的风险财务管理工作效率。
二、企业风险财务风险管理方法
(一)风险财务预测方法
风险财务预测方法主要就是对企业可能存在的财务风险进行预测,主要的预测方法有专家预测法、资金分析法以及幕景分析法。其中专家预测法主要是利用专家风险财务专业知识,对企业的财务现状进行深入分析,从而识别出企业财务存在的风险。而资金分析法主要是通过分析企业资金的分布和运动状态,找出资金在运转或者使用方面的风险,这是一种比较有效的风险财务预测方法。还有就是幕景分析法,在风险财务预测的过程中,需要深入分析影响企业财务风险的各个因素,并判断其对企业财政的影响。
(二)风险财务决策方法
企业风险财务管理工作过程中,所涉及到的与财务工作相关的决策有很多,而正确的决策能够为企业带来良好的经济效益和社会效益。所以,风险财务决策也是企业风险财务管理的重要方法,其主要是以风险财务预测方法为基础,对企业的财务进行综合性评价,然后选取一个最佳方案。风险财务决策方法的有效性与财务管理工作的信息量、财务决策者的专业素质以及财务决策者应对财务风险的态度之间有着十分密切的联系。
(三)风险财务控制方法
风险财务控制主要是对企业出现的财务风险及时进行控制,最大程度上降低其消极影响。所以,企业的风险财务控制方法主要包括回避风险、自担风险两大类。其中回避风险方法主要是在企业面临财务风险的时候所采取的,其能够有效避免财务风险及其所带来的全部损失,从而保障企业能够在可承担范围内得以正常运行。而自担风险则是当企业财务出现一些问题时,企业可以对资金进行有效管理,合理预算开支,以此承担企业的财政风险。
(四)风险财务处理方法
企业面临财务风险,并选择承担风险时,必须要正确、合理地进行财务风险处理。其中对企业的资产进行结算,能够准确了解企业的财政状态。同时,当企业的财政资金出现严重不足时,应该采取一切有效的方式方法筹集资金,转变企业的财政危机,保障企业能够顺利解决财政问题,降低经济损失。
三、企业风险财务管理的影响因素
(一)经济因素
企业的风险财务管理的主要影响因素就是经济因素,其主要表现在企业的效益和利润方面。在企业经营发展过程中,企业竞争是不可避免的,而竞争对手对市场份额的蚕食会导致产品材料的成本上升,从而在很大程度上降低企业经营的利润和效益。
(二)非经济因素
除了经济因素,非经济因素也是影响企业风险财务管理的主要因素,这主要体现在企业经营的目标上。企业在经营发展过程中,目标是否清晰直接影响着企业的长远发展。有很多企业投资人都将企业目标的合理性和清晰度作为参考标准。而且在科学合理的发展目标的引领下,企业的组织结构、管理制度以及员工素质等都会影响企业目标,也都会影响企业的风险财务管理。
四、企业风险财务管理的解决对策
(一)建立有效的监督机制
企业在风险控制方面,会制定很多的对策措施,但是真正贯彻落实的,发挥作用的相对较少。这主要是因为监督机制不完善,无法及时发现企业在风险控制上的漏洞,而且也没有对执行性和操作性较差的风险控制措施进行严格监督。这就要求企业必须建立完善的、有效的监督机制,以便于及时整改那些贯彻落实不利的风险控制措施,并落实相关负责人的考核制度,以此确保企业制定的风险控制策略能够切实发挥出最大的效力,从而提高企业的风险控制水平,和防范风险的能力。
(二)充分利用现代风险管理模型
企业可以通过构造等级模糊子集,量化反映被评风险的事物的模糊指标,采用层次分析法对评价的权重集进行计算,利用模糊变化原理综合评断指标,这是一种实现定性、定量相结合的评价方法。以模糊数学原理为基础,在企业风险整体评估上应用模糊风险评价模型。不同的风险要素在具体风险分析案例中所呈现的重要程度是有差异性的,所以必须要赋予每个风险相应的权重。
(三)建立健全的、规范的、科学的决策体系
一、企业财务风险与财务风险控制的概念
(一)企业财务风险的概念
由于不同因素对事件的影响不同,所以导致事件的不确定结果,这就导致了风险的产生。不同人对于财务风险的认知层面不同,说法也不同,一般有两个层面:一是由于环境的不确定因素和个人主观的差异,进而给企业带来的财务收益的不确定,引发的微观经济风险。二是它也称为筹资风险,是指到期偿还不了债务的可能性,换言之,它是由于借债引发的,若无借债就不存在财务风险。我在此文中研究的是企业难以预测的外部环境、内部控制环境的不完善、企业经营的不确定给企业带来的财务风险,给企业最终带来可能的财务损失。
(二)企业财务风险控制的概念
企业都存在不同程度的财务风险,企业的发展很大程度上依靠企业对财务风险控制的态度,控制得当的话能给企业带来新的机遇,使企业迈上一个新的台阶;若控制不当,会给企业带来毁灭性的灾难。如何控制好财务风险,是企业面临的巨大挑战。财务风险控制,就是在利用相关的信息和手段对企业的财务活动施加作用和影响,使企业达到预期的财务目标。
二、企业财务风险控制与内部控制的相关性
环境的多变性就像一把双刃剑,带来发展机会的同时伴随着风险隐患,企业管理重在风险管理,风险管理中财务风险占很大一部分。财务风险以货币的形式表现,对企业的稳定、资金的安全性及获利有很大的作用。内部控制是一种为了实现控制目标由企业所有人执行的一系列过程。内部控制能适时反映企业的风险并相应地采取措施控制风险,可以促进企业的有效管理。企业的风险类型很多,财务风险是其中的一种,内部控制最终是为了企业更好的发展。内部控制薄弱会使企业的财务风险大大增加,财务风险控制实质上是内部控制的一部分,财务风险控制不好,意味着企业的内部控制存在一定的薄弱性。全面的财务风险控制体系使企业的经济活动能顺利进行,完善企业内部控制制度。它们的共同点都是为了更好的管理好企业,预防企业的财务风险和规划企业的治理结构,内部控制的评价是以财务风险控制的好坏为依据,同时内部控制是进行财务风险控制的重点。
三、企业财务风险中存在的问题
(一)企业财务风险控制意识薄弱
如今的经济环境是多变的,包括产品更新的速度、市场的变化、国家政策、利率的变化等,这些因素都会对企业的经营、资金的运转产生很大的影响,现如今很多财务人员还是沿用传统模式来管理企业的财务活动,对企业的风险财务控制没有一个正确全面的认知,只关心资金的投放与收回,对企业风险缺少实质认知和管理,忽略财务风险的有效控制,薄弱的风险意识难以适应因素变化对企业造成的财务风险。
(二)缺乏有效的风险预警机制
控制财务风险不是当它出现再采取措施,而是采取一系列的措施来预防或减少财务风险的发生。我国目前在这方面很薄弱,每年虽然有几十万的会计人员,但是大多数专业素养都不高,企业管理者对这方面又不了解,财务风险是潜在的和客观存在的,无法消除但是可以预测,它本身就是财务成果损失的不确定性,往往到来时就是致命一击。所以大多数企业开始都运营很大,突如其来的一场财务危机就导致破产。
(三)内部控制机制的不完善
内部控制是企业采取的一种手段,为了能达到企业的预期目标,可以根据考察内部控制机制来评价企业的管理,主要是对企业人员”权责利”的分配管理。它存在于企业经营的全过程,良好的内部环境有利于企业财务风险的管理,对控制风险有很好的促进作用,内部机制的不足让人笼统的把企业的规定规章等同于内部控制制度,对企业人员的“权责利”分配不清,缺乏合适、完整、统一的体系,内部人员不恪守自己的职责,缩小了控制的范围,使效果大打折扣,营造一个良好的内部环境是企业能够更好的控制财务风险。
四、企业财务风险控制中问题的应对措施
(一)加强企业财务风险控制意识
企业是经济环境中的主体,是我们可以看见和感知的,企业对财务风险的正确认知是财务风险控制成功的先决条件。财务风险随时存在,企业必须有一定的风险意识,缺乏风险意识会直接导致企业管理机制出现漏洞,使企业经营出现问题。企业应该培养管理者和工作人员的风险意识,定期让企业人员参加风险探讨会,促进企业之间的合作交流,用实际案例来分析财务风险控制对企业的重要性。培养人员的素质,提高他们对风险的适应和处理能力。
(二)建立有效的财务风险预警机制
事前对财务风险的预防研究是很有必要的,研究与实践表明,企业应当根据自己的信息网和资源建立财务预警机制,它意味着企业风险管理已经成功一半了。财务风险预警机制主要是对企业的财务风险进行预测,即在事前监控,使企业遭受的财务风险的可能性降低到最小。
由于不同因素对事件的影响不同,所以导致事件的不确定结果,这就导致了风险的产生。不同人对于财务风险的认知层面不同,说法也不同,一般有两个层面:一是由于环境的不确定因素和个人主观的差异,进而给企业带来的财务收益的不确定,引发的微观经济风险。二是它也称为筹资风险,是指到期偿还不了债务的可能性,换言之,它是由于借债引发的,若无借债就不存在财务风险。我在此文中研究的是企业难以预测的外部环境、内部控制环境的不完善、企业经营的不确定给企业带来的财务风险,给企业最终带来可能的财务损失。
(二)企业财务风险控制的概念
企业都存在不同程度的财务风险,企业的发展很大程度上依靠企业对财务风险控制的态度,控制得当的话能给企业带来新的机遇,使企业迈上一个新的台阶;若控制不当,会给企业带来毁灭性的灾难。如何控制好财务风险,是企业面临的巨大挑战。财务风险控制,就是在利用相关的信息和手段对企业的财务活动施加作用和影响,使企业达到预期的财务目标。
二、企业财务风险控制与内部控制的相关性
环境的多变性就像一把双刃剑,带来发展机会的同时伴随着风险隐患,企业管理重在风险管理,风险管理中财务风险占很大一部分。财务风险以货币的形式表现,对企业的稳定、资金的安全性及获利有很大的作用。
内部控制是一种为了实现控制目标由企业所有人执行的一系列过程。内部控制能适时反映企业的风险并相应地采取措施控制风险,可以促进企业的有效管理。企业的风险类型很多,财务风险是其中的一种,内部控制最终是为了企业更好的发展。内部控制薄弱会使企业的财务风险大大增加,财务风险控制实质上是内部控制的一部分,财务风险控制不好,意味着企业的内部控制存在一定的薄弱性。全面的财务风险控制体系使企业的经济活动能顺利进行,完善企业内部控制制度。它们的共同点都是为了更好的管理好企业,预防企业的财务风险和规划企业的治理结构,内部控制的评价是以财务风险控制的好坏为依据,同时内部控制是进行财务风险控制的重点。
三、企业财务风险中存在的问题
(一)企业财务风险控制意识薄弱
如今的经济环境是多变的,包括产品更新的速度、市场的变化、国家政策、利率的变化等,这些因素都会对企业的经营、资金的运转产生很大的影响,现如今很多财务人员还是沿用传统模式来管理企业的财务活动,对企业的风险财务控制没有一个正确全面的认知,只关心资金的投放与收回,对企业风险缺少实质认知和管理,忽略财务风险的有效控制,薄弱的风险意识难以适应因素变化对企业造成的财务风险。
(二)缺乏有效的风险预警机制
控制财务风险不是当它出现再采取措施,而是采取一系列的措施来预防或减少财务风险的发生。我国目前在这方面很薄弱,每年虽然有几十万的会计人员,但是大多数专业素养都不高,企业管理者对这方面又不了解,财务风险是潜在的和客观存在的,无法消除但是可以预测,它本身就是财务成果损失的不确定性,往往到来时就是致命一击。所以大多数企业开始都运营很大,突如其来的一场财务危机就导致破产。
(三)内部控制机制的不完善
内部控制是企业采取的一种手段,为了能达到企业的预期目标,可以根据考察内部控制机制来评价企业的管理,主要是对企业人员”权责利”的分配管理。它存在于企业经营的全过程,良好的内部环境有利于企业财务风险的管理,对控制风险有很好的促进作用,内部机制的不足让人笼统的把企业的规定规章等同于内部控制制度,对企业人员的“权责利”分配不清,缺乏合适、完整、统一的体系,内部人员不恪守自己的职责,缩小了控制的范围,使效果大打折扣,营造一个良好的内部环境是企业能够更好的控制财务风险。
四、企业财务风险控制中问题的应对措施
(一)加强企业财务风险控制意识
企业是经济环境中的主体,是我们可以看见和感知的,企业对财务风险的正确认知是财务风险控制成功的先决条件。财务风险随时存在,企业必须有一定的风险意识,缺乏风险意识会直接导致企业管理机制出现漏洞,使企业经营出现问题。企业应该培养管理者和工作人员的风险意识,定期让企业人员参加风险探讨会,促进企业之间的合作交流,用实际案例来分析财务风险控制对企业的重要性。培养人员的素质,提高他们对风险的适应和处理能力。
(二)建立有效的财务风险预警机制
中图分类号:F239文献标识码:A
一、我国风险管理审计准则的内容及局限性
随着经济形势发展及我国内部审计自身发展的需要,我国内审也开始重视风险管理内部审计。2005年中国内部审计协会颁布了《内部审计具体准则第16号―风险管理审计》(以下简称风险管理审计准则)并要求于2005年5月1日起实施,该具体准则的出台为我国内部审计人员对组织内部风险管理状况进行审查和评价提供了规范指导。
风险管理审计准则第2条对风险管理做了如下定义:是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证;第6条则描述了风险管理包括的主要阶段:风险识别、风险评估以及风险应对;在该准则的第4条中,还特别强调:风险管理是组织内部控制的基本组成部分,内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一。
可以看出,该准则所称的“风险管理”是从狭义上理解的风险管理,即风险管理活动的具体实施过程:风险识别、评估及应对。而广义的风险管理不仅包括上述的具体实施过程,还包括其他起辅助作用的要素:内部环境、控制活动以及监督。按目前狭义前提下制定的准则去执行,风险管理审计就会忽略这些起辅助作用的要素,以至于发现不了组织风险管理活动中可能存在的潜在问题。中航油案例就是一个很好的例证。
中国航油(新加坡)股份有限公司(下称中航油新加坡公司)曾聘请国际著名的安永会计师事务所为其编制《风险管理手册》,设有专门的风险管理委员会及软件监测系统,实施交易员、风险控制委员会、审计部、总裁、董事会层层上报,交叉控制,按照《风险管理手册》的规定,任何导致50万美元以上损失的交易将自动平仓。中航油新加坡公司共有10位交易员,损失的最大限额应是500万美元(10×50万=500万)。但是,中航油新加坡公司的衍生品交易最终亏损额高达5.5亿美元,以至申请破产保护。中航油事件的核心问题并不在于市场云谲波诡,而在于该公司从表面上看似乎已实施了风险管理的流程:风险识别、风险评估、风险应对;但缺少对风险管理系统中的其他辅助要素的合理关注,最终导致企业整体风险管理失败。这一案例也再次说明:风险管理不仅仅只包括风险识别、评估及应对,更包括内部环境、控制活动、信息和沟通以及监控;风险管理系统的有效运转依赖于各要素的通力协作,对风险管理不应停留于狭义上的理解;风险管理审计准则应指导内部审计人员从广义上理解风险管理的涵义,全盘考虑风险管理的构成要素及其运作方式,及时有效地发现企业风险管理实践中存在的短板。
二、重新认识内部控制与风险管理的关系
对风险管理审计的认识依赖于企业进行风险管理时所采取的企业风险管理框架或风险模型(用来反映风险管理过程和内容的程序图)。截至目前,已经有如下风险管理模型:1995年澳大利亚-新西兰联合委员会的AS/NZE4360;1998年的加拿大标准委员会模型;1997年全国虚假财务报告委员会下属的发起人委员会(下称COSO委员会)内部控制-整合框架的“目标―风险―控制”模型;2004年COSO委员会的企业风险管理-整合框架(简称ERM框架)模型。风险管理审计准则中出现的问题根源就在于准则中的“风险管理”概念采纳了COSO委员会1997年的内部控制-整合框架中的观点。然而,理论界和实务界还是认为该内部控制框架有些局限性,如对风险强调不够,使得内部控制无法与企业的风险管理相结合。COSO委员会2004年的ERM框架就是在1997年的内部控制-整合框架的基础上,结合《萨班斯――奥克斯利法案》的相关要求扩展得到的。相比内部控制框架,ERM框架在多个方面都有所发展和深化,具体表现在以下几个方面:
1、企业风险管理涵盖了内部控制。增加了新的要素或赋予原有要素新的含义,对内部控制框架下的风险管理要素进行细化,按风险管理的流程划分为:目标设定、事件识别、风险评估、风险反应四个要素。同时,在环境要素中增加了“风险管理哲学”以及风险“偏好”。对比二者的构成要素,可以发现风险管理框架中的目标制定、事项识别、风险评估、风险应对四个要素实质上就是风险管理的流程,也可以理解为狭义上的风险管理。这样看来,内部控制框架与风险管理框架中的要素完全一致。但是系统论认为,系统的性质不仅取决于组成系统的各要素,更依赖于组成系统的各要素的排列方式。在内部控制三个目标的基础上增加了战略目标,并扩大了报告目标的范围,将“财务报告的可靠性”发展为“报告的可靠性”。
2、企业风险管理更加强调管理风险。ERM框架强调在“组合”的基础上考虑风险,考虑风险的集合和风险的交互作用,并在此基础上考虑企业应采取的风险控制措施。在强调风险管理的环境下,ERM框架显然不同于内部控制框架。
总之,ERM框架扩展并详细地阐述了与企业风险管理相关的那些内部控制要素。从企业风险管理要求和实施来看,内部控制是ERM的主要构成部分,但绝对不能等于ERM范畴,ERM的理论和实务都要比内部控制宽泛得多,ERM更适合企业战略风险管理的要求。因此,不能说风险管理审计是内部控制审计的一部分。
三、建议
基于以上分析,要实现真正意义上的风险管理审计,对风险管理审计准则中的风险管理概念的理解就必须建立在广义的基础之上,即采纳COSO委员会(2004)ERM框架中的广义风险管理概念。鉴于内部控制与风险管理二者密不可分的联系,在现行的准则体系下可以协调内部控制审计准则与风险管理审计准则之间的关系,以使风险管理审计准则能得以更有效的实施。
(作者单位:江苏科技大学经济管理学院)
主要参考文献:
《企业内部控制基本规范》明确指出,“企业应当加强文化建设,培育积极向上的价值观和社会责任感,倡导诚实守信、爱岗敬业、开拓创新和团队协作精神,树立现代管理理念,强化风险意识”。
风险管理文化是以企业文化为背景,在经营管理活动过程中逐步形成并为广大员工自觉遵守的风险管理理念、风险价值观念和风险管理行为规范。是企业文化的重要组成部分。
2008年金融危机爆发以来破产的企业,失败的根源都可以找到风险管理失效因素的作用力。只是危机把潜伏和积累的风险暴露了出来。国内著名的奶业企业“三鹿”集团的失败,中国银行业在“次贷危机”中几十亿元的损失、中国铝业海外并购的巨额损失、中信泰富投资澳元衍生品损失、富士康集团的连跳事件都是风险管理失败的结果。
从管理学角度看,管理主要依赖于两个最基本的要素:权力和文化。权力作为一种支配资源的力量,依靠的是一种硬性的制度约束,这种约束是一种被动约束。文化则是一种一般性的规范指导能力,它往往是一种理念,一种思维方式。包括在这种理念指导下的行为习惯。对企业职工素质的培养和良好的职业道德的形成具有潜移默化的巨大作用。文化的约束是一种发自内心的认同。因此只有将风险管理依托于一种文化,才能将约束变为自觉。
根据企业文化和管理学理论,作为企业文化子系统的风险管理文化由风险管理理念、风险管理行为和风险管理物质三个层次组成。
风险管理理念文化又叫风险管理精神文化,相对于风险管理行为文化和物质文化,它处于整个风险管理文化的最深层,并成为风险管理文化的灵魂和核心。
风险管理行为文化,一般包括风险管理的组织架构、风险管理制度规范和从事风险管理的部门和人的行为表现等。
风险管理物质文化包括两个重要组成部分:一是知识技能技术层面,即企业在风险管理过程中形成的技术和艺术,它包括企业对各种风险的辨识能力、评估能力、风险计量技术及对风险管理模型的开发运用技巧;二是实物层面,即通过企业风险管理形成的安全的经营与管理产品、设施、设备和空间环境以及配套的各种物质保障手段等。
一、风险管理理念文化
从内涵上讲,企业风险管理理念文化是指企业在长期发展过程中形成的,全体成员统一在风险管理方向上的思想观念、价值标准、道德规范和风险理论成果的总和。它是企业风险管理行为文化与物质文化的一种总结与升华,是企业风险文化中最有活力、最有生命力、最有创造力的核心部分,是企业风险管理的思想上层建筑。
从外延上讲,企业风险管理的理念文化包括:企业风险精神、企业风险价值观、企业风险控制观、风险管理观以及理论化、体系化的企业风险管理学。
企业风险管理理念文化的构建主要依靠学习和培训实现。风险管理理念的培训和引导应该是全员、全过程的。要让每个员工都有风险意识,每个流程环节都要树立风险观念。按照统一的风险评估和应对标准处理日常工作。通常的风险管理理念包括以下几个。
1.风险不能“回避”,只能“管理”风险
企业的任何经营活动都具有一定的风险,在市场上运作有价格风险、汇率风险,同客户打交道有信用风险,企业财产有被盗、火灾等风险。即使不同客户打交道、不同资金打交道,只做日常业务操作工作,还有操作风险。企业用人还有道德风险。所以,企业不可能回避所有的风险,它所能够做的只是管理控制风险,是如何去识别风险、如何去判断风险的大小、如何去分散风险、如何为风险提供相应的保障。也可以通过市场(如保险)等实现部分风险转移。
2.风险和回报必须对称
在统计学上,风险和回报是正向相关关系,通常的情况是,回报率愈高时,风险也愈大;而风险愈低时,回报率也愈低。在德国商业银行的经营理念中,控制风险和创造利润是同等重要的事情。用他们自己的语言是:“2R”(Risk?and?Return)is?the?same?coin。即风险和回报是同一枚硬币的正反两面,彼此不能分离。任何人在工作中都必须合理兼顾。任何不对称的行为都是不可取的。
企业本身就是个风险集合体,因此决定了企业在获取利润时必须承担风险。企业风险管理的目标不是消除风险,而是通过主动的风险管理过程实现风险与回报的平衡,要注重风险和回报的平衡关系,敢于承担与预期收益相平衡的风险,但明知违反法律、法规强制性规定的风险必须杜绝,如生产销售不合格产品、严重环境污染、偷税等。企业只有通过有效识别风险、评估风险、应对风险,才能抓住市场机会,业务扩张在有风险控制的框架内进行才能良性、可持续发展。
3.全面风险管理
企业里危机系统甚至还来不及建立便看不到生存的希望了。虽然预防不慎有着很多的原因,但缺少专业人才才是企业面临的大难题。所以,面对市场上庞大的需求,“注册企业风险管理师”便借势而出了。
就业前景广阔
《注册企业风险管理师》职业资格证书共分为3个等级:助理注册企业风险管理师(CAERM,初级),注册企业风险管理师(CERM,中级),高级注册企业风险管理师(CSERM,高级)。
取得CERM系列职业资格证书的人员有能力帮助企业在战略、操作、财务、危害性等层面进行风险管理。注册企业风险管理师可在所有行业、任何规模企业中任职。
在大中型企业内,注册企业风险管理师的从业岗位为风险首席执行官、风险总监、风险经理、或为风险管理训练有素的专业管理人员。某些企业的风险管理负责人的角色也可能由总裁、副总裁、运营总监、审计总监、财务总监、或人力资源总监等兼任(暂时兼任)。
在中小企业中,企业至少应有某一位处于企业管理较高职位的负责人兼任风险管理负责人的角色,该人员也应接受过较为系统的企业风险管理的专业训练;注册企业风险管理师还能在第三方咨询或企业评价机构中任职,从事与企业战略管理、经营管理、风险管理、危机管理、疾病诊断、风险评估、风险审计、责任或意外调查、管理模型设计等第三方评价或咨询相关的专业工作。
从国外的发展来看,这个证书有着广阔的职业前景。比如现在美国60%的大型企业设有该职位,各大型企业集团纷纷加强风险管理人才的培养,增设风险控制岗位以加强风险控制,以期企业长期稳定发展等。在我们国家,就业的范围也相当广阔:
在企业范围内:在企业即将设立的风险管理职能部门任职;在企业的其它内控性或战略性部门任职;担任企业风险管理经理;担任企业风险总监(风险首席执行官CRO),内控总监,运营总监等;担任企业的副总裁或总裁。
在第三方机构:成为各类咨询公司具有最新思维及较强竞争能力的咨询与设计人员;信贷机构及信用评级机构的进一步科学化,将会注视到注册企业风险管理师在对项目风险评估及企业风险评估专业方面的独特作用。
在政府部门:目前在西方风险管理相关专业人员已成为热门人才。成为帮助政府设计对各行业进行合理与有效风险监管的潜在专才。
我国加入世界贸易组织后,企业面对更为激烈的竞争环境和更为复杂的风险因素,而目前我国企业风险管理人才匮乏。
引进《注册企业风险管理师》职业资格证书体系,对推动中国企业建立全面策略性风险管理理念,加速国际接轨步伐,提高企业整体抗风险能力与核心竞争力,具有重要的现实意义。
适合参加的四大人群
对于《注册企业风险管理师》最适合哪些人群,它的准入门槛怎样?相关负责人表示,共有四大群体适合参加此职业资格的培训:
一、对现有相关岗位的人员培训
为企业培养目前最为短缺的能够掌握企业可持续发展/企业全面风险管理知识与技能的人才,主要包括:主管企业持续性发展的副总裁/副经理等,相关方面负责董事,内控总监,运营总监,监察/审计/财务/人力资源/质量安全负责人,战略与危机管理负责人。
二、对当今(未来)新职业岗位的人员培训
21世纪中的新职业岗位――“风险管理专业岗位”正在全球企业范围内产生,这是在企业中极具技术含量的管理性岗位,新兴的金领级高薪职业,主要的相关岗位有:风险首席执行官(CRO)或风险总监、风险经理、风险责任人、风险分析专业人员、风险评估专业人员、风险审计专业人员、企业风险管理委员会成员和风险检测人员等。
三、在第三方机构从事评价、顾问或咨询的专业服务人员。
四、针对政府某些相关岗位的公务员,提升公务员科学化管理行业的专业水平。
考试方式
中文及中英文双语考试(考试时间为每年春秋两次)
(1)CAERM(初级)证书考试:300分钟,多项选择(中文)
(2)CERM(中级)证书考试:600分钟,多项选择(中文)
中图分类号:F275文献标识码:A 文章编号:1001-828X(2011)12-0067-01
2008年6月28日和2010年4月26日财政部等五部门相继《企业内部控制基本规范》和《企业内部控制配套指引》,规定自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起上海证券交易所、深圳证券交易所主板上市的公司实行。这一政策的出台,对规范我国企业内控制度,防范企业风险具有划时代的意义,社会各界对逐步提高内部控制有效性,有效防范企业风险已达成共识。本文正是在这样的背景下选题,希望对企业构建合规、科学、高效的内部控制体系有所帮助。
一、企业财务风险的主要表现
企业存在财务风险会有一定的表现形式,资金使用效率低下、现金流不足等,归纳起来主要有以下几个方面:
(一)企业投资、筹资决策失误。市场信息瞬息万变,企业由于对投资决策缺投资的流程、制度控制,乏详细的可行性分析等,很容易投资失误,给企业带来巨大的风险。融资也是如此,企业的融资如果不合理,很容易出现融资与公司需要脱节,投资风险控制不力的局面。另外,企业在激励的市场竞争中,为了赢得客户,往往给客户很长的帐期,当客户的信用失控时,导致大批帐款回收不及时,坏账过多,如果资金链断裂,企业将面临巨大的风险。
(二)企业库存占压资金过大。我国企业流动资产中,存货所占比重相对较大。存货过多一方面导致占用大量资金,另一方面存货可能过期或者过时,无法销售,再有就是过多的存货需要更大的场地和更多的人员以更高的水平来报关,导致管理费用的进一步增加。这些都会导致企业成本的上升,利润的下降,从而产生财务风险。
(三)企业资金结构不合理。我国企业资金结构不合理的现象普遍存在,具体表现在负债资金比例过高。一般认为我国理想化的资产负债率是40%左右。资金结构的不合理导致企业财务负担沉重,偿付能力严重不足,当企业现金流不足时,很容易资金链断裂,从而产生财务风险。
二、健全的内控制度是防范财务风险的保障
内部控制是保证财务报告的可靠性、经营的效果和效率以及对现行法规的遵循的过程和措施。1994年,COSCO委员会将内部控制的要素规定为控制环境、风险评估、控制活动、信息沟通和监督五个要素。内部控制和财务管理的关系可以简要地归结为以下几点:
(一)健全的内控制度能保障决策的科学性。健全的内控制度会规定决策的流程、组织、人员、责任等,保证立项、决策、筹建、营运各阶段有序进行,避免投资的随意性,减少投资失误,降低决策风险,同时,明确的分工和责任可以增强决策者的谨慎度,避免推卸责任的现象出现,因此,健全的内控制度可以保障决策的科学性,从而减少投融资等的决策风险。
(二)健全的内控制度能规范企业的进销存管理。存货制度是企业内控制度的一个组成部分,通过存货制度可以规范企业的存货行为,防范存货过程中的差错和舞弊,提高库存周转和效率,加强对成本的控制,从而一定程度上降低存货风险。
(三)健全的内控制度能够涵盖企业财务风险管理。财务风险管理的重点是对潜在的财务风险事前管理和控制,而内控的组成部分――财务控制制度,为财务风险的管理提供了保障,财务控制制度通过合理分工,建立制衡机制,减少工作失误;通过预算管理避免企业资金支出失控等,从而为提前控制企业的财务风险提供保障。
三、健全内控制度,有效控制财务风险的措施分析
上文提到,内控五要素规定为控制环境、风险评估、控制活动、信息沟通和监督,因此,健全内控也要从这五方面着手进行。
(一)优化财务风险内控环境。内部环境主要包括:企业宗旨、文化、组织机构、制度等是否与内控相协调;企业领导对内控的重视程度,是否以身作则按照制度执行等;内控执行者和全体员工的素质和态度,是否认识到内部控制的重要性,是否在日常工作中执行内控制度等。完善企业内控环境,一是培育内控文化,使得员工在潜移默化中接受内控观念,为内控的开展提供文化基础;二是完善现代企业制度,理顺公司治理结构,形成所有者、经营者和劳动者之间的完善的制衡机制,为内控的开展提供制度基础;三是提高领导的重视程度,规范企业领导者的行为,为内控的开展提供人员基础;四是企业的组织结构为企业内控制度的规划、执行、控制和监督活动的框架,设置相对合理的单位内部管理组织机构,为内控活动的开展提供组织基础。
(二)强化企业财务风险评估。内部控制的主要目的是防范企业的风险,避免、违法乱纪活动发生的概率,而要防范风险,首要的是有效地识别出风险。风险评估首先要确定评估的对象,对于财务风险,评估的范围主要包括:1.资金风险。2.会计风险。3.其它财务风险:包括预算管理、合同审批、成本控制等风险。确定好风险评估的对象后,要建立评估机制,确定预警的标准,以便及时识别出风险。
(三)加强财务风险控制。企业风险点确认后,就要采取控制活动防止风险的发生或者进一步扩大,控制活动主要通过流程、制度来实现。首先,对于资金风险,可以建立销售合同审批权限、采购合同审批权限、预算审批权限、投融资管理制度等制度文件,并通过内部审计等措施尽量减少不能按照制度执行的情况发生。对于会计风险中的人的素质及道德产生的风险问题,关键是加强人员的培训、设立准入制度,提高准入门槛,筛选道德高尚、素质过硬的人担任重要岗位的工作。对于其它财务风险,如预算风险的控制,可以建立全面预算管理体制,明确预算组织构成、责任分工。
(四)加强财务信息沟通。企业内控的信息流需要某种渠道传递到各个部门和员工,通过充分有效的沟通,可以将所需的决策信息搜集、整理并传递给管理层,以便管理层做出分析和决策,可以将风险识别的范围和控制措施传递到相关部门的人员,以便相关人员贯彻落实,可以将风险转移和控制的结果信息反馈给管理层,以便作控制措施的调整。因此,信息沟通的渠道必须通常,才能保证财务风险控制的有效。
(五)强化财务风险监督。监督是内控的重要组成部分,是保证内控有效实施和落实的保障,财务监督主要有内部审计和财务监察,无论何种监督形式,重要的是保证监督的独立性。
总之,完善的内控制度对于保证企业决策的有效性,规范进销存管理,从而控制企业的财务风险发挥着重要作用,构建科学、高效的内部控制体系,从而有效控制企业财务风险。