(一)企业经营风险的分析
经营风险是指公司的决策人员和管理人员在经营管理中出现失误,导致企业盈利水平变化、投资者预期收益下降或者由于汇率的变动而导致未来收益下降和成本增加的风险。
企业经营风险的主要体现在企业盈利水平的变化,其中产品需求的变动、产品售价的变动、单位产品成本的变动等因素都是影响企业经营风险的因素,其中最综合的是由于经营杠杆而导致息税前利润变动的风险。经济杠杆的高低可以放映企业的经营风险大小,经营杠杆率越高,利润变动愈加剧烈,企业的经营风就险越大。反之,经营杠杆率越低,利润变动愈加平稳,企业的经营风险越小。
我国企业的经营风险现状较差,当前大部分企业由于风险管理工作起步晚,管理水平严重滞后于企业经济的发展;不少企业对经营风险重视程度不够,未能建立风险管理体系,导致防范和处理风险的能力较差。
(二)企业财务风险的控制
财务风险主要是由于公司财务结构不合理或者融资不当使公司可能丧失偿债能力从而导致投资者预期收益下降的风险。
1、企业内部财务管理制度不完善
建立健全财务管理制度,要求做好财务收支的计划决策、控制、记录和考核工作,维护财务资金安全,提高企业的经济效益。但目前部分企业的内部管理制度缺乏完善,财务管理工作执行力度较低等现实情况,严重阻碍财务管理工作的开展,容易出现企业财务漏洞,促使企业面临财务风险。
2、企业资本结构不合理
企业资本结构不合理是指企业自有资金和举债资金的占比不合理,企业资本结构的不合理极易让企业遭受财务风险。当自有资金占比为零或者较小时,企业可能会因为可使用的资金较少,影响企业运营;另外当企业举债资金比例过大时,企业可能会无法偿还债务,加剧企业债务负担。企业资本结构的不科学降低了企业财产的流动性,促进财务风险的发生。
3、企业收益分配政策不科学
收益分配政策是企业发展过程中的一个重要组成部分,影响着企业的投资决策,科学的收益分配政策有利于梳理企业的良好形象。一旦出现企业的收益分配与实际情况不符合的现象,企业提出的发展决策将会出现差错,再加上企业管理能力不足,必然会形成财务风险,带给企业不必要的损失。
4、企业财务人员风险意识淡薄
财务人员是处理企业财务业务的主体,对企业财务工作结果起着重要作用,因而财务人员风险意识淡薄必定会引起企业财务风险。财务人员缺乏风险意识,对企业财务风险认识不足,就不会对企业可能面临的财务风险实现预警;而在当企业发生财务风险时,又缺少应变处理能力,无法有效降低企业财务风险。
二、对企业的经营风险和财务风险的控制与管理
(一)企业要分散、转移风险
企业在筹集资金时,一定要考虑现代市场的实际情况。对企业的经营规模、可用资金以及创收效益等方面进行全面的分析和了解,决策出最佳的企业筹资方案,确保企业有足够的能力来筹集资金。还应在此基础上选择适宜的投资和产品结构,分散经营风险;另外,有时候企业遭遇的风险会超出企业的经济承受能力,让企业无力抵抗。这种情况下,企业可以通过向保险公司投保,在遭遇经营风险时获得保险公司一定数额的保险金,以便减轻经营风险带来的损失。
(二)建立和健全企业内部控制制度
一项合理完善的企业内部控制制度将有效地实现企业内部控制安排,将企业整个的管理层、工作员工约束在内控制度之下,保证任何人不会脱离内部控制制度的控制管理,独立工作。企业内部控制制度一个重要的内容就是监督,监督将会规范企业内部管理人员以及工作人员的行为,发挥风险管理的监督约束机制的作用。因而企业要建立、健全企业内部控制制度,建立以预防为主监督机制,对企业上、下层部门实行有效的监督。对管理层人员要监督其权限,防止个人权利过大,凌驾于内控制度之上;对下层工作员工要监督其工作行为,把工作行为限制在企业规章制度之中。可见,企业要建立适应全面风险管理要求的内部控制机制。
(三)建立完善的企业风险管理制度
企业要有成效的防范企业经营风险,必须要建立起一套完善的企业风险防范制度。企业在具体的经营过程中还会遇见各种各样的风险,完善的企业风险预防制度可以再企业各项经营过程中进行具体风险预测,采取相应的风险应对措施。可以设立专门的风险评估机构,对企业经营过程中的各个阶段是实施风险识别、风险预测,最大程度提高企业应对经营风险的能力。一方面还要强化企业财务人员的风险意识,令其认识到财务风险的重要性,提高风险应变能力。
(四)完善企业财务管理制度
企业的财务管理的内容包含了企业经济活动的各个方面,主要有企业筹资、投资和运营资本管理等。完善企业财务管理制度主要的目的是保持企业资本结构的合理性。在企业向外筹资时,首先要了解企业目前的资本结构,计算出适度的负债率。然后加强企业资金的防范和控制,适度筹集资金,保证企业自有资金与负债资金占比的合适;在对外投资时,也要基于企业资本机构的合理性,预测未来投资收益,适度投资,防止企业外部应收款额过于庞大。
(五)提高企业应急管理能力
在企业的发展中,经营风险与财务风险同时存在,而且二者之间存在着某种必然的联系,即二者之间具有相互依存性、协同性。
一、经营风险与财务风险的含义与关系
1.经营风险的含义
企业经营风险指的是企业在经营过程中,由于各种不确定因素导致企业的利润变动,特别是利用经营杠杆而导致的利润变动的风险。而所谓的经营杠杆系数是指企业税前利润变动率和销售额变动率之间的比值。经营风险也受到很多因素的影响,比如产品售价、成本、成本固定比重以及市场需求等。在企业的发展中,经营风险是必然存在的。
2.财务风险的含义
企业财务风险主要是指企业的财务管理活动中,由于各种无法预料的或者难以控制的因素而导致企业利润的不确定性。企业产生财务风险的具体因素主要有企业资金结构不合理、企业内部制度不完善以及收益分配政策不规范等,这些因素使企业在运营中都承担着一定的财务风险。
3.经营风险与财务风险的关系
企业所承担的经营风险和财务风险两者之间存在着一定的联系。企业经营风险和财务风险之间的关系主要系统在以下两个方面,即两者之间具有相互依存性、二者之间具有协同性。在企业经营过程中,通常会采用债务集资的方式来扩大企业的资本,不过债务资本的增加会导致企业整体的经营风险增加,这就增加了企业的财务风险,而且企业财务风险与经营风险存在着相关关系,二者这种关系直接对企业财务管理的决策产生影响,对企业的风险管理发挥重要的指导作用;另外,企业经营风险和财务风险具有协同性,也就是说企业财务风险的提高可能会在一定程度上降低经营风险。因此,如果企业如果面临着大好的发展机遇和高风险并存时,可以适当地通过增加财务风险来降低企业的经营风险。
二、产生影响经营风险与财务风险的因素
1.企业经营管理方面
在企业经营中,导致企业产生经营风险和财务风险的因素有很多,其中企业内部因素占有很大的比例,而内部因素主要包括企业的内部制度、人员管理情况、销售政策等。制度是一个企业运作的根本,有句话说的非常好“无规矩不成方圆”,如果企业内控制度有漏洞或者不妥之处,那么企业经营中肯定就不能避免经营风险和财务风险,可以说内控制度是企业产生风险的最为重要的因素之一;人员管理涉及了较为广泛的内容,其中人员流失对企业产生了严重的影响,有一些企业由于在人员管理方面存在一定的问题,很多人才都纷纷选择跳槽,这给企业带来了重大的影响,如果较多产品生产加工工人同时离职,那么企业生产就会陷入瘫痪状态,这种情况下产生的损失可是巨大的,因此人员管理不容忽视;销售政策也涉及了很多内容,销售政策会直接影响产品的销量,而且还会影响销售人员的积极性,好的销售政策可以很大程度地提升企业产品的销售额,相反不好的销售政策可以使企业的产品库存量逐渐上升。
2.企业财务资金管理
在企业经营中,企业财务资金管理问题会给企业带来很大的财务风险,继而引发企业经营风险。企业财务资金管理涉及了很多方面的内容,比如流动资金管理、回款管理和其它资金项目管理。而导致财务资金管理问题的因素也有很多,包括企业资金管理制度,会计流程、会计人员素质等。资金管理、回款管理问题都是企业常见的问题,这些问题给企业造成了很大的财务风险。
三、强化经营风险与财务风险的管理与控制
1.经营风险的防控措施
导致企业经营风险的因素较多,为了降低企业经营风险,企业可以通过做好每个环节的工作。首先,企业要建立现代化的管理体系。与企业自身发展和控制适合的管理体系构建,包括企业组织机构构建,部门和岗位的设立,工作流程的设置等方面,同时要涵盖质量管理体系、财务管理体系、薪酬管理体系、营销管理体系等多个分管理体系;其次,逐步完善企业治理结构。大多数公司发展的失败主要源于战略方向管理和监督方面的失误,为了避免这种情况的出现,首先企业发展中战略决策方式必须依靠董事会集体的民主决策;其次企业在建立完善的人员管理机制同时要加强人力资源信息管理,以便于企业可以这些信息及时了解高端人才离职率变动情况以及离职原因等,然后可以有针对性地及早采取有效措施措施。
2.财务风险的管理与控制
因为导致企业财务风险的因素很多,所以要想降低企业财务风险,就需要尽可能完善可能导致财务风险的各个环节。通常可以从以下几个方面着手:第一,优化财务管理业务流程。在企业的财务管理流程中,要注重每一个可能出现财务问题的环节,企业为了更好的发展,就要不有效地规划和科学地运用企业的各种资源,将各种有效资源结合起来使其发挥出更大的经济效益。企业还要不断地优化各种业务,最终实现企业管理的精细化。第二,企业要依靠科技的力量构建适合自己的财务管理系统,企业要建立完善的财务信息管理系统。随着计算机技术的快速发展,企业财务管理实现信息化管理成为了可能,信息化的财务管理给企业的财务管理带来极大的便利,计算机网络技术的不断发展使得财务管理业务变得更加轻松有效;为企业财务管理体系的完善做出了贡献;第三,在企业的财务管理中,建立财务预警系统。由于一些企业领导对财务管理的重要性不够重视,导致和出现问题的可能性很大等问题。所以要完善企业的财务管理就要从提升企业领导的意识开始。
四、结语
总之,企业发展中的经营风险和财务风险是必然存在的,而且这两个问题直接影响着企业的快速发展。为了将这两个风险降到最低,企业需要作出很大的努力,不断地完善企业运作中的每一个环节,逐渐地消除导致经营风险和财务风险的各种因素。
[中图分类号]F252 [文献标识码]A [文章编号]1005-6432(2012)32-0064-02
产品更新换代的周期越来越短,客户对服务质量的要求越来越高,当前全球信息化竞争愈演愈烈,供应链管理受到了越来越广泛的重视。现在供应链管理不仅被普遍认为是一种管理哲学,而且随着环境的改变进而不断地调整其理论体系,使其内涵得到不断地深化和完善。已成为当今企业获取竞争优势,提高企业竞争力的关键。
1 供应链风险的定义
供应链系统是一个复杂的系统,由于供应链网络上的企业之间是相互依赖的,任何一个企业出现问题都有可能波及和影响其他企业,影响整个供应链的正常运作,甚至导致供应链的破裂和失败,所以供应链风险的来源是各种不确定性因素的存在。
国外学者对供应链风险的研究是从研究供应风险开始的,Cranfield School of Management把供应链风险定义为供应链的脆弱性,供应链风险因素的发生通常导致供应链运行效率降低,成本增加,甚至导致供应链的破裂和失败。有效的供应链风险管理将有利于供应链的运行安全,降低运行成本,提高供应链的运行绩效。根据Deloitte咨询公司2004年的一项供应链研究报告,供应链风险是指对一个或多个供应链成员产生不利影响或破坏供应链运行环境,而使得供应链管理达不到预期目标甚至导致供应链失败的不确定性因素或意外事件。
供应链风险包括所有影响和破坏供应链安全运行进而导致不能如期实现供应链管理的计划目标,造成供应链相关成本增加、效率下降,导致供应链网络失败或解体的各种不确定因素或意外事件。为了增强供应链的竞争力,供应链管理者必须采取措施避免可能对其产生破坏的风险,尽量降低风险给供应链带来的损失。这些目标只有通过合理的风险识别与控制措施才能实现。供应链风险管理不仅是供应链管理理论体系的核心内容之一,而且是供应链管理的内在要求。
2 供应链风险识别
供应链中的风险因素是风险形成的必要条件,是供应链风险产生和存在的前提,所以有必要对供应链中的风险因素进行识别,以便于从根本上防范供应链风险的发生。
供应链风险识别(Supply Chain Risk Identification)是供应链风险管理首要步骤,是指对供应链所面临的及潜在的风险加以判断、归类和鉴定性质的过程。对风险的识别过程,首先是对供应链上各节点的构成与分布的全面分析与归类;其次是对各节点所面临的和潜在的风险,以及发生风险损害的可能性的识别与判断;最后是对风险可能造成的后果与损失状态的归类和分析。只有这样,才能针对不同的风险采取有效的处理措施。
2.1 供应链风险因素分析
(1)成本分担因素。供应链上任何一级的节点企业都是独立的经济主体,从自己的利益或目标考虑,都希望把自己的成本降下来。只考虑自己的成本,而不考虑其他企业的成本时,在成本上产生了相互挤压,引起供应链的不稳定。
(2)信息传递因素。当信息传递不准确时,就会导致供应链行为主体决策失误,引起供应链上风险的传递。比如,牛鞭效应就是由于信息传递不准确,导致链上各类库存严重积压,供应链的整体运营成本增大,运营风险增大。
(3)合作伙伴因素。供应链中各企业之间在技术水平、管理水平、人员素质、企业文化、道德诚信等方面都存在着差异,这些差异影响着供应链的整体竞争能力和获利能力,并决定着供应链的稳定与否。
(4)利益分配因素。供应链中的企业是一个利益共同体,在供应链整体利润一定的条件下,某些企业获利水平过低便会消极合作甚至退出供应链,使供应链崩溃。
(5)顾客需求波动因素。顾客需求波动会给供应链造成一定程度的损害,牛鞭效应就是一个典型例子。顾客需求的快速波动导致市场调节成本上升,生产过剩风险和缺货风险增大。另外,由于某些原因(如促销、传言、瘟疫等)使顾客产生了非理,顾客购买量陡然提前(抢购)或延后(拒购)而造成顾客需求量急剧变化的假象。这种情况会造成供应链急剧震荡,调节能力和应变能力差的供应链甚至会遭受灭顶之灾。
(6)竞争者因素。市场上任何商品都有许多可替代品,它们由不同的供应链提供,各自占有一定的市场份额。某一产品在某个量(价格、性能、质量、成本等)上的变化都会导致市场需求的波动,影响所在的供应链和替代品的供应链。供应链经营活动的成功会给与之竞争的供应链带来风险。
(7)基础条件因素。高速公路系统、港口、交通与信息系统、先进的制造技术、人才是高级供应链发展的基础条件,其中任何一种条件的改变都会影响到供应链。只不过条件的改变一般是渐进的,而不是突变的。
2.2 供应链风险的特征
与一般的企业风险相比,供应链风险有以下特征。
一、全面风险管理的意义
2006年6月6日,国资委了《中央企业全面风险管理指引》(以下简称《指引》)。并对中央企业如何开展全面风险管理工作提出了明确要求。《指引》的出台不仅标志着我国有了自己的全面风险管理指导性文件,更说明了我国企业正向管理的更高阶段——全面风险管理迈进。
风险管理由来已久,近些年来更是逐步成为了国际上关注的热点。但在我国,风险管理理论的发展及应用则相对滞后,一些企业普遍存在风险管理意识不足,缺乏风险策略、风险管理较为被动、缺少风险管理专业人才,以及风险管理技术、资金不足等问题。一是企业战略与风险管理不匹配。我国众多企业在战略目标的制定上承担了过多风险,加之缺乏风险管理策略和措施,导致企业应对市场变化能力不强,企业发展后劲不足。二是企业风险管理多为事后控制,缺乏主动性。企业现有风险管理对风险缺乏系统地、定时地评估,缺少积极的、主动的风险管理机制,不能从根本上防范重大风险以及损失。三是重视具体风险的管理,缺乏风险管理整体策略。四是尚未形成企业的风险信息标准和传送渠道,风险管理缺乏充分的信息支持。五是风险管理职责不清。企业现有的风险管理职能、职责散落在各个部门和岗位之中,缺乏明确且针对不同层面的风险管理的职能描述和职责要求,考核和激励机制中尚未明确提出风险管理的内容,导致缺乏保障风险管理顺利运行的职能架构。
鉴于目前风险管理的发展态势以及我国企业的风险管理现状,若企业能够实行全面风险管理,则能有效改进上述不足,原因在于:一是从根本上提高企业风险管理水平。全面风险管理体系帮助企业建立动态的自我运行、自我完善、自我提升的风险管理平台,形成风险管理长效机制,从根本上提升企业风险管理水平。二是达到与企业整体经营战略相结合的风险最优化。全面风险管理把风险管理纳入企业战略执行的层面之上,将企业成长与风险相联,设置与企业成长及回报目标相一致的风险承受度,从而使企业将战略目标的波动控制在一定的范围内,支持企业战略目标实现并随时调整战略目标,保障企业稳健经营。三是避免企业重大损失。通过对企业重大风险的量化评估和实时监控,全面风险管理体系帮助企业建立重大风险评估、应对、重大决策制定及重大流程内部控制的机制,从根本上避免企业遭受重大损失。
二、全面风险管理、内部控制的含义
(一)全面风险管理的含义
全面风险管理是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培养良好的风险管理文化,建立健全全面风险管理体系。包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标,提供合理保证的过程和方法。
(二)内部控制的含义
对于内部控制的含义不同部门的人从不同的角度对内部控制会有不同的看法。美国审计权威机构COSO的定义是:内部控制是一个受某单位不同层次的人影响的过程。具体包括:1.内部控制是一种程序,它意味着向某一终点努力,但不是终点本身;2.内部控制是用来取得一种或多种互相区分而又紧密联系的目标;3.内部控制受人的影响,而不只是政策、守则或表格;4.只能期待内部控制为公司管理层提供合理的保证,而不是绝对的保证。
国内学者大多认为内部控制是指由企业董事会、管理者和其他员工实施的,为保证财务报告的可靠性、经营的效率效果以及现行法规的遵循等目的而提供合理保证程序或过程。
三、内部控制的目的
1.保证企业制定的各项管理方针、制度和措施的贯彻执行。促进企业实现发展战略;2.保护企业资产的安全、完整以及有效使用;3.保证企业各项生产和经营管理合法合规,使各项经营活动有效地进行;4.保证会计信息及其他各种管理信息可靠、真实、完整和及时提供;5.尽量压缩、控制成本、费用,减少不必要的成本、费用,提高经营效率和效果;6.预防和控制各种错误和弊端,以便及时、准确地制定和采取纠正措施。
四、内部控制的内容
内部控制的内容包括内部环境、风险评估、控制活动、信息与交流以及内部监督等方面,从总体上渗透到了企业生产的各个环节。其有效实施会促使企业生产管理更上一个台阶。
(一)内部环境
企业实施内部控制的基础一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等方面。完善企业治理结构;简历优良的企业组织架构,完善权责分派体系;注重人力资源的有效开发;健全对经营者的激励与约束机制;完善以审计委员会为核心的内部监控机制。
(二)风险评估
企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。
风险评估机制包括:识别内部、外部风险;采用定性与定量相结合的方法,对风险进行分析和排序,确定关注点和优先控制的风险;根据风险评估的结果,结合风险承受度,权衡风险与收益,确定风险应对策略;持续收集与风险变化有关的信息,进行风险识别和风险分析,及时调整风险应对策略。
(三)控制活动
根据企业评估结果,采用相应的措施,将风险控制在可承受度之内。
常用的控制活动包括:不相容职务分离,核心就是“内部牵制”;授权审批,包括“一般授权”和“特殊授权”;业务流程和操作规程;会计系统;财产保全,指限制接近,定期盘点、财产保险等措施;严格控制无预算的资金支出;运营分析,包括:资金分析、经营分析、资产分析、投资分析等;绩效考评,使员工感到努力得到认可,收入有一种公平感。
(四)信息与沟通
企业及时、准确的收集、传递与内部控制相关的信息,确保信息在企业内部,企业与外部之间进行有效沟通。
有效的信息与沟通系统包括:1.公司机构内部的各个层面都应广泛的收集相关信息,从源头获取准确数据;2.通过内部沟通,包括与董事会的有效沟通,员工间的沟通和举报流程,促使员工相互理解;3.影响控制目标实现的事项应在一定条件下与外界沟通,包括供应商和客户,以及股东;4.建立反舞弊机制,营造发舞弊的企业文化环境,明确反舞弊重点领域和关键环节,成立反舞弊工作常设机构,接受审计委员会和董事会的监督。
(五)内部监督
企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,及时加以改进。
内部监督的内容包括:1.持续性监督和专项监督相结合;2.制定内部控制监督制度,明确内部审计机构和其他机构在内部监督中的职责权限,规范内部监督程序、方法和要求;3.制定内部控制缺陷认定标准;4.跟踪内部控制缺陷整改情况,并就内部监督中发现的重大缺陷,追究相关责任单位或责任人的责任;5.定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告;6.以书面或其他适当形式妥善保存内部控制建立和实施过程中的相关记录或者资料,确保内部控制建设与实施过程的课验证性。
六、制度建设的方法、体系
一、COSO全面风险管理框架对我国风险管理的影晌
我国目前风险管理仍是企业管理中的一个相对薄弱的环节。风险意识不强,风险管理工作薄弱,成为企业发生重大风险事件的重要原因。特别是2004年发生的“中航油事件”,使实施全面风险管理成为我国企业的当务之急。
二、我国企业内部控制现状分析
我国企业的内部控制起步较晚,经过近20年的发展,虽取得一些成绩,但与发达国家相比,仍然有明显的差距。目前,我国企业的内部控制主要存在以下几个方面的问题:
(一)公司治理结构不完善。我国公司董事会在很大程度上掌握在内部人手中,缺乏分工,没有按国际惯例分设专门委员会,结果对内部控制至关重要的内外部审计、薪酬激励机制、投融资决策没有专门董事监督。内部人或控股股东集控制权、执行权和监督权于一身,自觉不自觉地凌驾于内部控制之上。
(二)企业监管机制不够健全。我国许多企业或未设立内部审计机构,或建立的内部审计机构不能发挥有效的监督作用。比如,有些企业的内审部门隶属于财务部门或与财务部同属一人领导,内部审计在形式上就缺乏应有的独立性。另外,在内审的职能上,很多企业的内部审计工作仅仅是审核会计账目,而在内部稽查、评价内部控制制度是否完善和企业内各组织机构执行指定职能的效率等方面,却未能充分发挥应有的作用。
(三)缺乏风险意识,忽视风险控制。在市场经济环境下企业面临的多种风险包括:不恰当的行动纲领和发展规划导致的战略风险;不适宜的经营手段导致的经营风险;不合理的债务导致的财务风险;不相关、不真实信息报告导致的信息风险;环境骤变和政策不明朗导致的环境与法律风险;自然灾害等人为不可抗拒的因素造成的灾害风险。形成风险的因素既有外部原因,也有企业自身原因。由于长期以来企业受到国家的保护,风险意识不强,缺乏有效的风险管理机制。
(四)企业文化建设薄弱。美国著名管理学家沙因在《企业文化生存指南》一书中指出:大量案例证明,在企业发展的不同阶段,企业文化再造是推动企业前进的原动力,企业文化是核心竞争力,是一种最难模仿的能力。COSO报告特别强调文化在内部控制中的作用,把企业文化纳入控制环境的范畴。
(五)管理层素质不高。管理层素质不高,是引起我国内控失败案例频发的主要根源之一。多数企业并不缺乏详尽的规章制度,发生种种舞弊造假事件,往往是由于管理层(即制度的制定者)凌驾于企业制度之上,自我赋予过度的“灵活”、“自主”权,从而导致公司内控制度的约束力失效于管理层。公司的制度、规定,通常只是用来约束基层职员,管理层成为凌驾于制度之上的特权阶层。
(六)信息交流不畅通。建立良好的信息沟通系统,提高企业内部控制效果。一个良好的信息和沟通系统可以使企业及时掌握营运状况,提供内容全面、及时、正确的信息,并在有关部门和人员之间进行沟通。今后,要特别注意开发与引进先进的企业财务与管理软件,逐步建立高质量的企业信息沟通系统。
三、应对全面风险管理框架的策略
实施企业全面风险管理(ERM)已成为21世纪全球企业管理发展的新趋势。我国企业应本着从实际出发,务求实效的原则,以对重大风险、重大事件(指重大风险发生后的事实)的管理和重要流程的内部控制为重点,积极开展全面风险管理工作。
(一)完善公司治理结构。成立风险管理委员会,还可在董事会下设专门的资金监管委员会;确立有效的管理人员报酬契约,选择恰当的管理人员业绩衡量标准,并进行可行的业绩评价。应实行董事会集体审批制,以保证大额现金流动是经董事会授权的,所产生现金流向是合理的。同时,要充分发挥董事会下设的风险管理委员会的作用,及时且经常性地对企业现金流向进行调查。并且企业的权责分派体系应明确财务部门的权责分派。
(二)完善内部审计职能。建设一支作风过硬、结构合理的高素质的内部审计队伍,以适应现代审计工作的需要;把考试和考核、培训结合起来,对内部审计人员进行知识更新教育,使其适应社会发展的需要。同时,管理层要充分认识到内部审计的重要性,内部审计正是沟通董事会与经营管理层的最好桥梁。内部审计部门应该由董事会直接领导,提升内部审计在企业各部门的地位,有效减轻董事会职权弱化、内部人控制现象的严重局面。
(三)加强企业文化建设。要实施全面风险管理,迫切需要提升企业的风险管理水平和员工风险管理素质,以及管理层的伦理道德和职业操守,以保障企业风险管理目标的实现。企业风险文化的建设应关注以下方面:
(1)风险管理文化建设应融入企业文化建设全过程;
(2)企业应大力加强员工法律素质教育,制定员工道德诚信准则,形成人人讲道德诚信、合法合规经营的风险管理文化;
一、前言
施工企业风险是企业目标实现的不确定因素发生的可能性及后果,是市场经济运作下客观存在的市场规律带来的。在当前市场体制有待完善、机制有待健全的环境下,提高在市场中抵御、抗拒风险的能力,是企业避免失败、赢得成功的关键。研究和分析施工企业的一些常见主要风险,有针对性地防范和化解风险,,才能保证企业在激烈竞争和复杂多变的市场中,实现又快又好的可持续发展。
施工企业的风险大致分为:业主资信风险;合同风险;法律风险;质量与安全风险;工程分包风险;工程结算风险;资金风险;成本风险;税务风险等。
二、施工企业财务风险特点及种类
(一)施工企业财务风险的特点
企业财务风险是指在财务运营活动中,因不确定性因素引起公司财务丧失偿债能力,收益受损下降等风险,分为可控制风险和不可控制风险。控制与管理财务风险的前提是充分认识财务风险及其特点。财务风险具有不确定性、客观性、可控制性、不平衡性等特点,财务风险是一把双刃剑,既可以给企业带来效益,也可以带来毁灭性的风险。企业财务风险主要是资金风险、成本风险和税务风险,表现为筹资管理不善、资金运营不佳、非主观意愿的偷税漏税带给企业的罚款、加收滞纳金、声誉损害等风险等方面。另外,财务部门管理意识不强,缺乏主动性,忽略自身独立性,忽视资本运作带给企业的收益也是财务风险的主要表现。
(二)施工企业财务风险的种类
1、资金风险
资金是企业的血液,对施工企业而言尤为如此。如果资金链断裂,企业必定处于崩溃的边缘。因此资金风险是关乎施工企业生死存亡的重要风险。主要表现为工程款和各类垫资、保证金无法及时回收的风险。施工企业项目较为分散,管理不集中,企业多是采用银行贷款的方式筹资,承担着银行自身筹资压力的风险,企业财务必然承受巨大的风险压力,隐含着随时可以爆发的财务风险。
2、成本风险
项目施工组织方案不合理、项目管理控制不得力,劳动力市场、材料市场、设备租赁市场价格的变化,都直接影响着工程项目的成本;材料或设备质量不合格或供应不及时,工程变更,新材料、新工艺、新技术带来的挑战都会增加工程成本的风险。工程分包及结算、工程质量与安全、工期滞后,都会加大企业运营成本,给企业带来难以预计的损失。
3、税务风险
企业的纳税行为不符合税收法律法规的规定,应纳税而未纳税、少纳税,从而面临补税、罚款、加收滞纳金等风险;另一方面是企业经营行为适用税法不准确,没有用足有关优惠政策,多缴纳了税款,承担了不必要税收负担。这些行为使得企业面临很大的税务风险。
除此以外,经济环境风险、人员管理缺陷、资源分配不合理等企业运作都会产生财务风险,施工企业风险可想而知。
三、施工企业财务风险管理存在的主要问题
要提高施工企业财务管理风险的控制能力以及管理能力必须要有针对性,针对薄弱之处进行整改完善,才能真正管理好财务风险。
(一)财务管理意识不高
多数企业忽略财务管理的核心地位,导致财务管理人员未能有效进行管理,未能深入解决财务问题。此外,财务制度不健全,部分财务人员素质不高,专业技能不强,做事不严谨,导致财务工作全局把握不够,整体效益跟不上,影响了企业的发展。企业的经济效益要在每一个工作中体现出来,财务工作的每一个环节都必须要实实在在的落实到行动中来,确保财务管理的真实可靠性,否则只能是为企业财务运作留下隐患。
(二)财务信息滞后
财务信息对企业决策具有一定意义,及时到位的财务信息能够为高层提供依据,对把控全局提供更为准确的资讯。施工企业分支较为分散,会计没有统一规范的流程制约,各部门项目核算不及时或者不到位,甚至弄虚作假,严重影响了财务整体工作的进行。财务信息速度慢、时效差,都是影响企业资金归集与运转的因素。
(三)工程成本管理不善
一些工程项目管理不善,工作粗放不严谨,成本核算带有随意性,缺乏真实可靠性。成本核算管理人员意识淡薄,盲目把企业各项目支出归为一体,导致成本针对性不强,核算不准确,出现乱摊现象,无形中加大了成本压力。在项目施工过程中,资金收支管理缺乏,记账不清晰,工程结算及撤场无专人处理,造成施工企业资金流失,加重企业负担。
(四)责权失衡
施工企业体制不完善,工程项目承包机制松懈,人事制度紊乱,造成责任、权利混杂,出现财务状况。负责人没有严格的制度约束,责任感不足,弄虚作假,一味只追求产值、进度等指标的完成,不注重施工工程的质量,没有把企业长足的经济效益作为主要管理目标,限制了企业的发展,影响财务工作的整体进行。
(五)监督机制缺失
施工企业工作具有分散性、长期性等特点,在工程项目实施过程中缺乏监督机制的控管,使得部分工作人员钻空子,损害公司集体利益。财务管理机制应该严格遵守管理制度,受监督系统监督,发现问题及时解决,确保企业整体的正常运转,财务工作的有序进行。
四、施工企业财务风险管理的控制及步骤
风险管理是对施工项目潜在的风险进行辨识、评价、预防及控制的过程,是一种主动性的控制手段。风险控制管理是针对企业经营中的工程合同管理、安全管理、技术质量管理、财务管理、物资设备管理、人力资源管理、信息化管理及国际经营管理等部分展开研究,对于不同的风险要建立不同的风险驾驭和监控的策略。加强企业内部控制,采用风险可避的管理办法,降低各类风险的发生。财务风险管理应贯彻:谨慎性原则、全面性原则、重要性原则、适应性原则、成本效益原则及可操作性原则。这是企业财务风险控制管理的基础。
总体思路:结合企业经营实际情况,对六大会计要素展开逐一分析,重点分析资金、预算及成本,从中发现项目管理存在的问题,达到财务风险管理的目的。
具体步骤分为以下几个方面:
(一)加强企业工程项目管理
处理好投标相关事宜,在符合客观要求的基础上做好定价工作。
第一,投标前进行全面分析,了解资金、工程、工期等相关情况,做好预算分析,对于重大投标工程要符合自身财务支付情况,谨慎投标。
第二,完善成本测算工作,根据企业自身情况制定目标成本方案,注意项目的可操作性以及客观性,及时补充完善目标成本决案。
第三,成本总量与中标项目评估,总额控制经营成本,将工作人员的工资、奖金发放、中标项目数量以及利润联系起来,将其纳入财务流程。
工程整个过程必须严格按照管理流程进行,加强系统基础管理、项目策划、施工进度、合同管理和内部分及劳务分包管理,加强成本测算、建造合同及索赔管理。项目工程分包行为要严格执行分包申请和审批制度,坚持公平、公正、公开、择优选择分包商的原则,杜绝工程分包中不正当行为的发生,保证工程项目的顺利进行。
(二)建立健全财务管理制度
财务管理制度相关规定至少包括:会计制度、会计核算办法、成本管理、费用报销管理、资产管理、产权管理、税务管理、预算管理及财务报告编制管理等相关制度。明确的财务管理制度能够细化企业财务机构和财务人员的职责、工作流程及目标,能够规范约束财务机构及人员的行为,保证企业正确地核算经营成果,对财务管理工作有条不紊的进行具有重要作用,能够更好的发挥财务的监督管理职能。
(三)实行资金集中化管理
集团公司采取资金集中化管理模式,从源头上杜绝资金浪费,及时了解资金动向,把握资金流向,提高资金合理使用效益,把资金集中到含金量高的项目中,实现施工企业整体资源配置合理化。加强风险预警,实现信息集成,提供及时有效的财务信息支持,使得资金有效利用,降低浪费,推动企业财务管理发展,实现企业资金高效用的管理模式。
(四)合同中的财务风险规避工作
加强分析合同财务风险,完全符合标准的合同才能够签订,否则会增加企业施工风险。资金支付条件尽量达到理想状态,条件不符合者不要急于签订合同。例如工程部拨预付款、质保金暂扣的占比例过大、计量充满不确定依据等都不应该急于签订合同,这些情况极易引发财务风险,给企业留下财务隐患,造成潜性亏损的局面。再次,对于施工合同相关的补充协议也必须引起重视,要放在等同主题合同的位置上来。一项合同中,业主常以自身利益出发对施工合同进行多次补充或是修改,补充协议具有优先适用的特点,优于施工合同前述条款,针对工程款的拨付、税金、主要材料款等的支付都有相关规定,必须要引起重视,以免企业利益受损。
(五)竣工结算、决算要及时
工程竣工后应该及时办理决算,拖延导致欠款风险扩大化,不利于施工企业回收资金。竣工结算是施工企业承包工程项目重要的环节之一,直接关系着企业的财务运作,是企业财务风险的主要控制因素。施工后期,多数工程资金出现紧张状态,工程结算这个时候尤其重要,业主往往托付工程款,拖延时间越长,企业回收资金的可能性就越低,风险也就越大。所以施工完成后必须及时办理结算,严格遵照合同行事。施工流程设计若是变更或是业主因故使得工期停损等。期间产生的费用要到现场及时签证,办理阶段合同价款工程结算等。最后,制定索赔工作计划。施工过程中有索赔发生时必须遵照合同相关条款做好索赔工作,若是发生合同以外的以外事件,要遵照客观情况收集资料,分析评估,提出索赔方案,弥补损失。索赔事项时保障工期进行、保障工作人员有序工作的后顾作业,做好索赔计划工作,减少施工企业投入的资源损失,加快工程进行,减小财务风险。
(六)加强税务筹划,减少财务风险
施工企业在发展自身的同时,要加强对税务筹划的正确理解。财务人员具备过硬的专业知识和业务水平,是保证涉税资料真实、科学、合法的重要砝码,也是企业正确进行税务风险管理的基础,如果财务人员工作失误过多,企业便会遇到较大的税务风险。企业内审制度是否健全也是关系到税务风险水平的高低。以正确评价税务风险为基础,企业应加强对税务风险的适时监控,尤其在纳税义务发生前,对企业经营全过程进行系统性审阅和合理性策划,尽可能实现企业税务的零风险。在实施监控行为的具体过程中,要合理、合法地审阅纳税事项,合理规划纳税事项的实施策略,包括对基本税制、税收惯例、各项税收法律法规、各主要税种及纳税范围、税率和计算基础、与项目有关的税收优惠政策等相关信息做深入了解,对纳税模式不断分析和调整,测定其税收负担,制定相应可行的纳税计划。
(七)建立财务风险预警及监控体系
财务风险预警与监控十分重要,是提高企业财务运作有序进行的催化剂,是处理企业突发财务危机的依据,是预防财务隐患的现实需要。在企业税收风险管理中建立税收风险预警报告制度,设置财务风险监控点,及时收集预测企业财务信息,分析整理预测财务风险,提出解决风险问题的方案和建议,提高企业财务管理的安全性。加强税收风险管理,在应对工程所在国税部门的审查、按章纳税的同时,又要尽量降低税负,适当合法保护企业利益,规避税收风险,在降低税收风险的同时,保证利润最大化。
(八)提高财务人员素质,进行后续培训
财务管理人员的工作素质及态度影响着财务工作的进展。加强财务人员的风险意识,定期对财务人员进行培训,提高财务人员的认识和分析风险的能力,采取积极的、相应的措施降低财务风险。例如,制定合理的奖惩机制,鼓励财务人员积极创新,激励工作人员加强自身塑造,确保财务风险控制顺利进行,全面提高施工企业财务管理工作效率。
五、施工企业加强财务风险控制管理的现实意义
加强财务风险的控制及管理具有现实意义,首先利于企业业务整体向前发展,拓宽业务市场,增加资金能力,获得市场竞争力。企业风险越高,企业信用越低;企业风险越高,企业竞争力越小,首先,必须加强风险的控制与管理,提高企业竞标实力,确保业务拓展成功。其次,加强风险控制利于提高企业效益,提高利润率,风险控管的重要内容包括工程收款和成本管理的控制。工程与成本风险直接影响到企业的盈利,直接影响收支的平衡,收款风险决定着项目投资前的成本是否获得回收;成本风险决定着企业纯利润是否持平。第三,企业风险控制与管理还影响着企业的创新活动,财务风险管理得好则企业获得效益,那么就有资金投入到市场竞争力技术上,例如科技创新,这对企业长足的发展具有重要作用,能够促进企业走可持续发展道理,不断补充新鲜血液,促进技术工艺向前发展,使企业更具有市场竞争力。
六、结束语
总之,随着市场经济的高速发展,施工企业将面临更大的挑战,企业要想获得长足发展,提高在市场环境下的竞争力,必须重视财务风险的管理与控制,提高企业全员的风险意识,切实把管理措施落实到现实工作中来,充分发挥财务管理的核心地位,以点带面,以促进财务风险管理的水平的提高从而推进企业可持续发展。
参考文献:
[1]张艳.施工企业财务风险管理研究[J].合作经济与科技,2012,15(02):33-34
[2]王俪茵.施工企业财务风险管理探析[J].当代经济,2011,17(11):78-79
[3]陈林彬,时强斌.建筑施工企业财务风险的现状及控制措施[J].建筑施工,2011,15(06):46-47
摘 要:随着高校管理体制改革如火如荼的开展,高校的独立性和自主权得到大幅提高,高校原有的被动的、汇报式的、以会计核算为中心的财务风险管理和控制理念和方法已经不适用新的背景和形势。目前,高校财务风险管理和控制上仍存在众多问题,一定程度上阻碍了高校管理体制改革的顺利进行。因此,应该从事前预防、事中控制和事后分析总结三个方面着手,以主动的、分析决策型的、以财务管理为中心的理念和方法为方向,加强高校财务风险的管理和控制。
关键词 :高校改革;财务风险;管理与控制;相关建议
中图分类号:F235
文献标志码:A
文章编号:1000-8772(2014)16-0257-02
1.引言
改革开放以来,我国高等教育管理体制改革围绕中央和地方关系、政府和学校关系、社会和学校的关系等核心问题不断深入,并取得一定成效。党的十八大报告明确指出要“全面深化教育领域综合改革,着力提高教育质量,推动高等教育的内涵式发展”。高等教育管理体制改革已成为包括政府、高校、社会等各方在内的一个共识。
高校财务风险是指高校在开展日常办学业务的过程中因资金运转不当而产生的风险,财务风险的管理对高校健康运行十分重要。但是随着对高校管理体制改革的深入,旧体制下高校的财务制度已经不再适合新的管理体制,尤其是在高校财务风险的管理和控制方面,更应该在高校转型、改革过程中予以重视,以保证高校平稳转变,健康发展。
2.相关文献综述
高校管理体制改革既是国家管理体制改革的重要组成部分,也是促进我国高等教育发展的一个必不可少的途径。学者们从目前高校体制的弊端出发,提出了高校体制改革的对策。张樵(2011)认为高校改革中应加大高校社会化、市场化程度,减少政府干预程度。朱维究和刘永林(2014)认为高等教育管理体制改革的核心是教育分权,其重要实施途径是政府监管、大学治理和社会参与,教育法治则是重要保障。提出高等教育管理职能应从集权走向分权、向地方放权、向社会放权、向市场放权、向大学放权的建议。吴筠(2014)认为现行高等教育体制存在办学自主权落实不到位、大学行政化和官僚化严重、评价激励机制不合理等问题,并强调在高等教育改革中应处理好教育主管部门与高校、公办与民办、社会与高校、校长与教授、高校与学生等各方面的关系。张琳琳(2014)则从利益相关者的视角,对高校管理体制改革进行了探析。她认为建立以学术自治与共同参与相结合的现代大学治理制度应当是新时期高等教育体制改革的主要方向。
可以看出,去行政化、增强高校自主权利和自治程度、提高社会参与度是学者们公认的高校管理体制改革的核心。
而在高校财务风险控制方面,学者们都认识到了目前的高校财务风险管理体制存在很大问题。李婷(2014)认为新形势下,高校财务管理应以增加高校内部财务利益最大化为中心,并要注意识别风险及控制风险。薛武昭和罗奡天(2013)从财务风险防范的角度,对高校会计制度的改革进行了探讨。林立学(2013)从外部环境作用和高校本身存在的因素两个方面分析了高校财务风险产生的原因。
虽然学者们对目前高校财务风险管理方面存在的问题进行了较为详细的分析,也提出了一些建议,但是这些研究很少考虑到高校管理体制改革的新形势的要求,有的甚至还在旧有的高校会计制度框架下进行分析,并不适合当前的情况。因此,研究新时期高校管理体制改革背景下的财务风险控制就很有必要。
3.当前高校财务风险管理和控制存在的问题
无论是在理论上还是在实际摸索中,高校体制改革都是以去行政化、提高高校自主权为特征和方向的,但是目前高校财务风险的管理仍是采用旧的方法,行政化思维和做法很浓厚。主要表现在以下几个方面:
(1)高校资金来源结构不合理,负债规模大
新世纪以来,国家逐步扩大了高校的招生规模。相应的,高校必然要加大对基础设施的投入,甚至许多学校开始购买土地,建设新的校区。高校的建设压力越来越大。而我国高校目前的资金来源主要来源于学费收入、财政拨款和银行贷款。虽然近年来国家对高等教育的财政投入在总量上确实有一定的增加,但是远远跟不上高校的投入增长速度,而学费收入的增长空间又很有限。在这种情况下,迫于学校扩张的压力,高校开始大幅向银行贷款。这导致很多高校的利息负担加重,有的高校的资产负债率甚至达到80%以上,负债水平大大超过了高校偿还的能力。
(2)高校财务人员素质不高,不能适应新的形势
高校财务人员素质不高主要表现在两个方面。一是会计实务水平有限。受旧体制的影响,高校对财务管理要求不高,存在着“财务会计谁都能干”的思想,对财会人员的任免、培养不够重视。同时在我国经济体制改革的大趋势下,新的会计准则、税收政策不断出现,部分高校财会人员的业务素质、能力难以胜任岗位要求。二是财务风险管理的意识不强。一直以来,高校财务管理都是参照事业单位的标准,财会人员都是以汇报式的会计核算为主,普遍缺乏风险意识,认为一切风险有国家在背后承担,所以往往忽视了对财务信息的挖掘和对财务风险的评估、管理。
(3)内部控制制度不健全
良好的内部控制制度是高校有效管理和控制财务风险的重要组成部分。然而由于事业单位的会计核算制度和财务管理理念有待完善和加强,高校的内部控制制度存在很大不足。首先,随着高校规模的扩大,财会工作人员并没有相应的增加。财会人员一人多岗的现象普遍存在,这大大弱化了各个岗位之间相互监督、相互制约的功能,为财会人员的违法违规行为提供了便利。高校内部控制制度不健全的另一个表现是高校财务监管缺位、领导权力过于集中,缺乏对高层财务行为的有效制约。现如今高校的内部经济独立性得到很大提高,但是相应的内部控制制度却没有建立。一些高校领导风险责任意识不强,独断专行,滥用资金,甚至对资金进行贪污挪用,为高校财务风险埋下了隐患。
(4)预算制度不合理
目前高校的预算是由财务处根据各单位、部门收支计划,提出建议方案,经最高决策机构审议通过后,上报有关主管部门,审核汇总后报财政部门核定预算控制数。目前这种预算体制对年度内预算的计划性比较强,但对中长期的规划考虑的不足,忽视了长期的效益。同时,很多高校编制了财务预算后,但并不重视预算的执行。盲目上马一些学校扩张、翻新工程,对一些工程缺乏可行性论证,造成对资金严重浪费,使得决算大大超出预算。
4.新形势下对高校财务风险管理的建议
从上面的分析可以看出,目前高校在财务风险管理和控制方面存在的问题,归根结底是由于在财务风险管理的观念上、制度上还沿袭着旧体制的做法。这已严重不符当今高校管理体制改革的大背景、大环境、大趋势。因此,在财务风险管理问题上,高校应改变过去那种基于事业单位的被动的、汇报式的、会计核算为重心的管理理念和管理方法,而应转变为主动的、分析决策型的、财务管理为核心的理念和方法。
企业在对财务风险进行管理和控制时,主要从事前、事中和事后三个阶段着手。因此,这里也从事前、事中和事后三个方面对新形势下高校财务风险管理和控制提出建议。
(1)事前对高校财务风险的预防
事前是指事物发生以前。对财务风险管理和控制来说,事前的有效预防是重中之重。具体来说,首先是要转变财务风险的观念。无论是领导层还是财务工作人员,都应该重视对高校财务风险的管理和控制。要从一个独立的法人单位而不是政府部门的附属机构的视角来对自身的财务风险进行管理。其次要加强高校财会队伍的建设。重视财会工作人员的培训、管理,建立一支具有积极进取、高效精干的财务专业队伍。不仅要有过硬的实务能力,还要有良好的道德观念,积极的进取精神。同时还要建立一套科学的内部控制体系。科学的设立岗位,实现各岗位之间的相互制衡;限制领导的财务权力,严格财务流程,防止高层财务犯罪;科学的编制财务预算,坚持“量入为出,收支平衡”的原则,充分考虑高校自身建设发展的需要和自身资金能力的情况,考虑未来长远的情况。高校财务风险预警系统的建立也是很有必要的。高校财务风险预警系统通过在事前对高校偿债能力、营运能力、发展潜力等进行分析和评估,而实现对高校财务风险的提前防范。最后,高校还应当积拓展资金来源。积极寻求校友、社会捐赠,积极产学结合,通过参与企业获得收入。
(2)事中对财务风险的控制
事中是指事物发生之时。对于高校财务风险来说,事中的主要工作是对财务风险进行实时控制。财务工作人员在日常工作中,应严格按照相关会计规章、法律法规进行工作,严格遵守事先制定的内部控制规范,并积极对相关财务信息进行分析、追踪,及时发现问题,汇报问题,以有效对下一步的决策提供指导建议。各部门则应当按照预算的标准执行,如遇特殊情况,应进行科学考量,按照规定和流程,对预算进行改变。
(3)事后对事前预防和事中控制的结果和成效进行分析和总结
事后是指事物发生之后。对于高校财务风险的管理和控制来说,事后的工作主要是对事前和事中的效果进行分析和总结。为此,需要建立科学的财务评估体系,利用各种财务指标和非财务指标对某一阶段的财务工作进行评估。这种分析和总结,一方面可以为以后的日常工作或重要决策提供建议和经验,另一方面可以凭此对相关工作人员进行奖惩,以提高工作人员的积极性和主动性。
5.结语
高校管理体制改革的不断推行,高校独立的法人地位不断得到提高,高校的独立性和自主权也在不断加强。传统的被动的、汇报式的、以会计核算为中心的高校财务风险管理理念和管理办法已经一定程度上阻碍了高校管理体制改革的顺利进行。为此,高校需要识别旧有体制下财务风险管理和控制存在的问题,并从加强事前预防、事中控制和事后分析总结三个方面着手,改进对高校财务风险的管理和控制。
参考文献:
[1] 张樵.高校行政管理体制改革的探索[J].职业时空.2011(06).
[2] 朱维究,刘永林.高校教育管理体制改革的核心与途径[J].中国机构改革与管理.2014(01).
[3] 吴筠.深化高等教育体制改革的思考[J].科技致富导向.2014(03).
[4] 张琳琳.利益相关者视角下的高校管理体制改革探析[J].法制与经济.2014(01).
[5] 李婷.高校财务风险管理和内部控制策略[J].经营管理者.2014(01).
关键词:内部控制风险管理案例
一内部控制概述
1.内部控制概念的演变
内部控制论理论是随着企业内部控制实践经验的丰富而逐渐发展起来的,大致经历了内部牵制、内部控制系统、内部控制结构和内部控制整体框架四个理论阶段。1992年COSO委员会提出并于1994年修改的《内部控制——整体框架》报告,标志着内部控制理论与事件进入了整体框架阶段,整体框架对内部控制做了如下的描述:内部控制是由企业董事会、经理阶层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。这一定义明确了四个要点:是一个过程;受人为影响;为了达到三个目标;合理保证。它由相互关联的五项要素构成,分别是:控制环境;风险评估;控制活动;信息和沟通;监督。
控制环境:任何企业的核心是企业中的人以及这些人的个别属性和所处的工作环境,个人的诚信正直、道德价值观与所具备的完成组织承诺的能力、董事会与稽核委员会、管理阶层的经营理念与营运风格、组织结构、职责划分和人力资源政策与程序。
风险评估:在瞬息万变的市场环境和异常激烈的竞争中,企业的经营风险越来越大,企业要生存和发展,必须清楚并应付其面对的各种风险。同时,企业也必须设立可辨认、分析和管理相关风险的机制,以了解自身所面临的风险,并适时加以处理。
控制活动:企业必须制定控制的政策和程序,刁一有助于确保既定目标及必要改善措施的有效实施。
信息和沟通:围绕着这些控制活动的是信息与沟通系统,这些系统使得企业内部的员工能够获取和交换他们所需要的信息,以指挥、管理和控制企业的经营。
监督:企业整个内部控制的过程必须受到监督,并在必要时得以修订,这样,系统及制度才能反应自如,并能视情况而随时调整。
2.我国内部控制概况
我国企业内部控制制度理论起源于20世纪80年代,但到目前为止,尚未正式提出权威性的内部控制标准体系,对内部控制的完整性、合理性及有效性缺乏一个公认的标准体系。我国有关内部控制制度的指导原则、指引、规范则出自不同的政府部门,这是由于企业的管理体制造成的。国资委管国有大中型企业;证监会管上市公司的信息披露;财政部管全国所有企业的财务与会计工作,并负责会计准则与制度的制定。然而,内控指导原则、指引或规范由各政府部门分别制定,有许多弊病
⑴各部门各自研究与颁布内部控制的相关指导原则或指引,不利于内控制度的统一与协调。财政部正在陆续制定并的是内部会计控制规范,截至目前已经了十多个。而其他政府部门则仅制定了内部控制的指导原则、指引或对企业各项业务内部控制流程的设计与制定缺乏具体的指导。
⑵关于内部控制的定义、范围、目标等不相一致,内控要素、内控内容,以及内控方法的解释也不一致。
⑶缺乏统一的推进机构,不利于企业内部控制制度的贯彻与实施。各部门颁布的内控指导原则、指导意见或指引在实务中并未得到有效的贯彻执行。上市公司、银行、证券公司、未上市国有企业的频繁出事便是佐证。
客观地讲,我国近几年对内部控制的研究主要是以会计控制和审计评价为主线的,我们可将之简称为“会计导向”和“审计导向”。会计导向的典型代表是我国目前已的内部控制法律法规,它们是以内部会计控制为核心的,基本上没有涉及管理控制等非会计控制领域,甚至没有包括审计方面的内容。审计导向下
的内部控制研究则主要集中于审计程序与方法的应用、审计成本的节约、审计效率的提高和审计风险的控制等。
二我国企业内部控制与风险管理存在的问题
1.内部审计不具备真正意义上的独立性
内部审计是企业自我独立评价的一种活动,内部审计可通过协助管理当局监督其他控制政策和程序的有效性,来促成好的控制环境的建立。内部审计的有效性与其权限、人员的资格以及可使用的资源紧密相关。内部审计人员必须相对独立并且直接向董事会或审计委员会报告。我国一些上市公司内部审计即使存在,但却不具备真正的独立性,有的也流于形式。
2.缺少风险评估和风险防范意识
各企业缺少对自身固有风险的评估以及制定相应有效的管理措施。此外,管理者还应在对固有风险采取有效管理措施的基础上,对企业的残存风险进行评估和预防。
3.人力资源管理发展滞后
近年来,我国企业改革力度大,与之配套的人力资源管理却跟不上业务的需要。许多企业在员工的岗位培训方面,没有形成完善的制度,不利于员工的素质提高。
4.有效的价格风险评价机制尚未建立
由于当前市场不完善,竞争激烈、恶意竞争以及“低价中标”的招投标游戏规则,都不能使企业按企业定额客观报价,为了争取中标,不惜压低报价,承担更大的价格风险。
三完善我国企业内部控制与风险管理的途径
1.完整风险管理体系
全面风险管理是对整个机构内各个层次,各个种类风险的通盘管理。全面风险管理可使组织中各业务单位分散的决策者之间协调合作,使数据的收集、测量与处理更加一致,有利于审计和监督。企业要从全局、总体层面权衡利弊,使部门安排有关的业务流程都有所遵循。同时要制定严密的业务操作规程及信息传输报告制度,建立一个有效的全面风险管理框架,全面控制各方面的风险。
在机构内部广泛开展“深化内控理念,落实内控措施”的创建活动,结合自身情况及上级单位的要求,通过确定风险控制环节,分解、落实机构内各部门、各岗位管理职责,并对控制状况进行检查、评价和考核,强化风险管理责任,提高全员风险防范的意识和能力,从而全面有效地控制经营风险。
2.健全内部审计控制
内部控制具有的限制因素具体如下:
⑴内部控制受企业的成本效益原则的限制。
⑵内部控制仅针对管理中的常规业务来设计。
⑶内部控制可能会因执行人员的差池而失败。
⑷内部控制可能会因不同政治气候、地方差异等环境影响而失去作用。
这些内部控制的限制因素,可以通过建立独立的内部审计机构来加以克服。内部审计人员定期检查项目的建设情况和建设成果,及时纠正各种错误和弊端,能促进内部控制的有效实施。
3.营造企业风险管理的文化氛围
企业风险管理框架是建立在内部环境的基础之上,内部环境直接影响和制约企业风险管理的成败。内部环境的要素包括员工的诚信,职业道德和工作胜任能力,管理层的经营理念和经营风格,董事会或审计委员会的监管和指导力度,企业的权责力分配方法和人力资源政策。要不断提高企业风险管理能力,需要一套企业层面的方法。这种企业层面的方法是由企业的组织结构,文化理念和经营管理哲学共同决定的。随着企业文化中风险敏感程度的提高,企业管理者会进一步掌握有效的风险管理能力。通过他们的推进、提供报告、贯彻相应的方法、构建适当的体系,以实施既定的风险战略和政策,企业风险管理水平将不断提高。
企业风险是指未来的不确定性对企业实现其经营目标的影响。企业在经营过程中,客观存在的目标与实际发生结果出现负面差异性的可能性,这就是风险。
一、企业风险的分类
(一)法律风险
1 企业组织法律风险。如《公司法》,企业必须严格遵守,否则就有可能被黄牌警告,甚至被红牌踢出局。
2 税务法律法规风险。任何企业都有法定的纳税义务,税务法律不允许企业偷税、欠税、抗税,有许多企业因违反税务法律而不堪税务重罚,或被吊销营业执照等而倒闭。
3 财务法律法规风险。企业的标志之一就是账证健全,银行开户,否则不成为企业,而企业的账证要求按《会计法》、《企业财务通则》、《行业财务制度》等财务法律法规,真实、准确、完整地进行会计核算,决不允许做假账。除此之外,企业还必须遵守国家的《合同法》、《劳动法》、《安全生产法》、《产品质量法和社会保障》等相关法律,涉外企业还必须遵守企业所在国的法律法规。否则,将因违反这些法律法规而遭遇“官司”,不同程度地面临运营风险。反思三鹿毒奶粉事件,三聚氰胺只是个导火线,而事情背后的运营风险管理失控才是真正的罪魁祸首。
(二)市场风险
市场风险是指企业受市场竞争者、消费者、宏观经济形势、社会政治环境等多种因素影响,使企业的收入和成本产生变化,从而影响销售收益的不确定性。
1 市场竞争风险。市场竞争能促使企业通过更好的方法,为消费者提高更优质的服务,为用户提供更多的便利,以此推动企业的发展。同时,市场需求的不稳定性也能够给企业带来威胁,俗话说“商场如战场”,竞争如同“商业战争”,优胜劣汰,激烈的市场竞争环境下,市场风险时刻警示着企业。
2 金融环境。企业的长、短期负债,很大一部分来自金融机构和非金融机构的借款,存贷利率的变动,票据的承兑和贴现,股票、债券等有价证券的买卖,黄金和外汇的兑换,生产资料的期货交易,以及国内外的各种保险业务,都不是企业所能左右的,这些都受金融市场的影响,金融环境将直接给企业带来运营风险。
3 宏观经济状况。宏观经济状况很大程度取决于政府经济政策,但随着我国加入WTO,市场影响因素日益明显,并逐步占据主导地位,这一影响将会在经济增长速度快时,对厂房、机器设备、存货、工人和专业人才等提出更高更多的要求。而在经济萎缩时,上述投入又会成为企业的沉重负担,引起企业资金周转不灵,资产减值,甚至出现资不抵债,增加企业关、停、并、转甚至破产的风险。
(三)财务风险
1 筹资风险。企业的筹资方式最常见的有短期或长期借款,发行股票和债券,商业信用。不同的筹资方式有其不同的优缺点,也就不同程度地存在着筹资风险。
2 投资风险。投资风险取决于投资决策,同等的资金投入不同的行业或同一区域,其收益和风险是不一样的,投资决策方案建立在各种假设基础上,而这些假设带有很大的不确定性,因而风险有时还难以预测。
3 税务风险。在不违反税法的前提下,企业采取的合理避税的措施,“合理避税”实际是钻了税法不完善或征收管理上的漏洞,这是一种边缘风险,一不小心,合理避税就会变成有意偷税,在税收实务中,这方面的例子有很多,因为税务风险而导致企业被的情况也时有发生。
二、企业主要风险防范和控制
(一)法律风险防范体系构建与完善
1 全面推行法律顾问制度。法律顾问主要职责是对企业经营业务中遇到的各种法律风险,提出切实可行的解决办法。对企业各项业务活动的合法性承担责任,担负着企业预防和防范法律风险的重要任务。法律顾问是复合型专业人员,不同于一般的企业内部管理人员,负担着法律预防、法律保障、法律救济等职能。企业要按国家要求全面推行法律顾问制度,落实法律顾问的各项工作职责。要明确推进法律顾问制度建设是“一把手”工程,纠正以往对法律顾问制度“说起来重要,做起来次要,不合心意时不要”的错误做法。
2 确立提前介入制度。对企业制定的章程、办法、规定、措施和涉及法律问题的文件,法律部门要从法律角度上进行科学性、严肃性、合法性审核把关。出台的文件和履行权责行为于法有据、规范可行,对企业的重大事项、重要经济活动,让法律顾问早了解、早介入、早思考、早提意见,真正做到“关口前移、源头介入、全程参与”。要在经营管理时就做好法律论证,把更多的纠纷消灭在初发阶段。杜绝那种“规则不清主意多、事情不明决心大”的盲目蛮干行为,牢固树立“市场竞争,法律先行”的理念。建立以事前防范,事中控制为主,事后补救为辅的法律监控制度,要“先立规矩后办事”。
3 完善依法决策制度。健全企业重大经营决策进行法律风险评估制度和决策责任追究制度,要进一步规范专家咨询、中介评估、决策听证、法律审核会签制度。把依法决策作为企业决策的基本准则,健全决策规则,规范决策程序。要从经验决策向法制决策转变,完善企业重大事项涉法问题“集体会诊机制”。企业重大决策事项,在提交决策层会议讨论时要征求法律部门意见,要形成依法决策的思维方式,坚持“决策先问法,违法不决策”。
4 严格合同管理制度。企业大部分纠纷可追溯到合同这个源头,多数的诉讼都是因为合同约定不明,甚至没有合同或落入合同陷阱所致。国有企业要切实解决合同管理中“重订立轻履行、重实体轻程序、重业务轻法律、重效率轻安全”等问题。杜绝只签不审、自签自审、应审未审、先签后审、以情代审等现象。订立合同要按照内控制度操作,依据合同签订的规范程序运行,按规定权限审批。建立合同管理信息系统,积极推广合同范本,规范合同审查标准,提高合同审查质量。加强合同管理基础工作,将合同谈判、签约、履行、变更、终止整个过程中法律资料和文件统一归口管理。企业法律部门要保存完整、系统的合同文档,彻底改变那种“谁经手准管理,出了问题谁也不负责”的局面。
(二)市场风险的建立和防范
1 加强市场风险分析,进一步增强风险防范工作的前瞻性。加强对日常市场风险情况的分析及研究,针对当前市场呈现新的风险隐患特征,一方面,加强对国内外宏观经济、市场信息的收集、整理和研究,提升应对系统性风险的能力;另一方面,及时对国内外市场典型风险案例进行总结,吸取经验教训,进一步提升风险防范工作水平。
2 加大监管资源整合力度,强化风险监管协作,提升市场防范工作水平。充分发挥风险控制委员会作用,强化部门协调,加强风险防范工作的研究,完善相关风险防范规章制度,延长风险防范工作手臂,确保市场平稳运行。
3 加大力度推进新一代监察系统建设工作,进一
步充实市场风险监控手段。结合近年来在风险防范工作中积累的经验,尽快完成新一代系统的规划、建设工作。新一代监察系统将引入指标化的监管理念,利用先进技术手段和一系列有针对性的监控指标实现对风险状况的盘中预警、盘后分析,推进监控手段及方式升级,推动交易所市场风险防范工作水平上新台阶。
4 开展风险业务培训,提高市场参与主体风险意识和风险控制能力,为市场风险防范工作构建良好的外部环境。
(三)防范财务风险,使企业的财务风险减少到最低
1 面临财务风险时通常采用回避风险、控制风险、转移风险和分散风险策略。回避风险策略为企业在选择理财方案时,应综合评价各种方案可能产生的财务风险,在保证财务管理目标实现的前提下,选择风险较小的方案,以达到回避财务风险的目的。
控制风险策略按控制目的分为预防性控制和抑制性控制,前者指预先确定可能发生损失,提出相应措施,防止损失的实际发生。后者是对可能发生的损失采取措施,尽量降低损失程度。
转移风险策略指企业通过某种手段将部分或全部财务风险转移给他人承担的方法。转移风险的方式很多,企业应根据不同的风险采用不同的风险转移方式。例如,企业可以通过购买财产保险的方式将财产损失的风险转移给保险公司承担;订立反担保合同转移担保风险。
分散风险策略即通过企业之间联营、多种经营及对外投资多元化等方式分散财务风险。
2 增强企业财务风险意识,建立行之有效的风险防范机制。坚持谨慎性原则,建立企业自身的风险基金。即在损失发生以前以预提方式建立用于防范财务风险损失的专项准备金。如企业应当设置“资产减值损失”科目,反映各类资产在当期确认的资产减值损失金额,同时,设置“固定资产减值损失”、“在建工程减值损失”、“投资性房地产减值准备”、“无形资产减值准备”、“商誉减值准备”、“长期股权投资减值准备”、“生产性生物资产减值准备”等科目。
3 建立企业内部有效的企业制度,练好内功。良好的内控制度可以提高效率,预防资源的损失;对外可提供可靠的报表;促进企业合规经营、财务报告真实可靠和经营结果的效益,所以内控制度是财务风险管理的必要环节,也是保证企业能够长期健康稳定发展的重要条件和基础。企业更应当规范和完善企业自身的各项规章制度。建立完善的决策制度、财务制度、监督制度、法人治理结构制度等。建立规范的法人治理结构体制以及能够相互制衡和约束的权利分配机制,要充分保证企业的发展战略和管理措施得到实现。在经济危机时期,企业应当实施特殊政策,比如企业在内部管理方面,应当管理精细化,成本控制节约化,权力控制制衡化,从而真正做到责、权、利相统一,使企业内部各种关系清晰明了。
4 建立合理的资本结构,创造良好的筹资环境。财务风险本质是由于负债比例过高导致的,因此企业不但应该设计合理的资金结构,保持适当的负债、降低资金成本,而且还要控制负债的规模,保证谨慎的负债比率,避免到期无力偿债或资不抵债,从而有效防范财务风险。企业只有这样才能为自己创造良好的融资环境,吸引各方投资。
5 进行多角经营、分散投资风险。即将企业筹集的资金投放于多个项目,这样就能使各个盈利和亏损程度在不同的投资项目间互相弥补,减少风险。这种分散风险的思想体现在现实生活的各个方面,但是在企业的经营管理中,这种防范方法还需要企业领导者的谨慎行事。
6 制定合理的风险政策、保持良好的财务状况。由于企业某项投资活动,如:扩大再生产、固定资产更新改造等项目周期长、成本高,使企业实现的经营成果虽然比较好,但是资金却紧张,从而影响企业的财务状况。这种情况的恶化最终会导致财务危机。因此,企业经营管理者应该实时监控企业财务状况,及时制定合理的风险防范政策,及时收回各种款项,同时制定合理的资金使用计划,保证企业正常运转对资金的需要。
7 建立财务风险预警系统。建立财务预警系统是财务管理制度创新的必然选择。在市场经济条件下,企业面临着巨大的风险与不确定性,经常会发生财务风险甚至破产。历史情况表明,财务风险并非在一朝一夕内形成,它有一个较长的潜伏时期,因此有必要建立财务危机预警系统,及时对企业的财务状况进行监测、信息反馈。在财务危机的萌芽状态预先发出危机警报,促使经营者及时采取有效对策,改善管理,防止企业陷入破产的境地,以保护各主体的利益。在建立风险预警指标体系后,企业对风险信号监测,如出现产品积压,质量下降,应收账款增大,成本上升,要根据其形成原因及过程,制定相应切实可行的风险管理策略,降低危害程度。
主要参考文献:
[1]财政部会计司,企业会计准则讲解[M].人民出版社,2010.
[2]彭韶兵,财务风险机理与控制分析[M].立信会计出版社,2001(2).
[3]刘小梅,张淑琴.论企业风险管理[J].社会科学论坛,2005(10).
信息安全管理是一项需要综合学科知识基础的工作,从事企业信息安全管理工作的人员通过需要具有网络安全技术、计算机技术、密码技术、通信技术。从企业的信息安全管理来讲,最为关键的一项工作时保护企业内部经营信息数据的完整。经过近十年来的企业信息安全管理工作经验总结,企业信息安全不仅仅需要信息技术的支持,更需要通过建立完善的企业风险控制体系来帮助企业实现更好地保护企业信息安全的目标。所以,怎样把企业信息安全管理与风险控制融合起来就是摆在企业经营管理者面前的一道难题。企业的信息安全风险控制必须通过企业建立完善的企业信息安全风险体系实现。
企业的信息安全风险控制是指企业在企业信息安全遭遇威胁之前,提前对企业的信息进行风险预估,并采取一系列的有针对性的活动降低企业面临的信息安全风险,从而尽可能减少因为企业本身信息安全管理中存在漏洞给企业带来不必要的损失。常见的企业信息安全风险体系建立主要包含以下几个方面的内容。第一,建立企业信息安全风险管理制度,明确企业信息安全管理的责任分配机制,明确企业各个部门对各自信息安全所应承担的责任,并建立相应的问责机制。第二,设置规范的企业信息安全风险管理指标,对企业存在的可能威胁企业信息安全管理的漏洞予以风险定级,方便企业管理者对不同的信息安全管理漏洞采取有区别的对策。第三,企业要加强对信息安全管理人员的培训,提高企业信息安全管理工作人员的风险意识,让企业内部从事信息安全管理工作人员认识到自身工作的重要性,让企业内部从事信息安全管理工作人员了解到规范自身行为,正确履行职责的重要性。第四,将企业信息安全管理与风险控制有效融合,重视企业信息安全管理工作,通过风险控制对企业内部信息安全的管理方式进行正确评估,找出现行的企业内部信息安全管理手段中存在容易忽视的地方。
二、企业信息安全管理与风险控制存在的不足
1.企业信息安全管理工作人员素质不高
对于企业来说,企业信息安全管理工作是一项极为重要而隐秘的工作,因此,必须增强对企业信息安全管理工作人员的素质要求。但是根据调查统计,目前很多企业对信息安全工作的管理仅仅停留在对企业信息安全管理工作人员的技术要求上,对企业信息安全管理工作人员的道德素养,职业素养,风险意识并没有严格要求。此外,绝大多数企业并没有意识开展对企业信息安全管理工作的道德素质的教育培训,并没有通过建立相关管理制度以及问责机制对企业信息安全管理工作人员实行监督,这无疑给别有用心或者立场不坚定的企业信息安全管理工作人员留下了危害企业信息安全的可乘之机。
2.企业信息安全管理技术不过关
企业信息安全管理工作涉及多许多技术,包括信息技术,计算机技术,密码技术,网络应用技术等等,应当说成熟的计算机应用技术是做好企业信息安全管理的基础,但是,现实是许多企业的信息安全管理技术并不过关,一方面企业的信息安全管理硬件并不过关,在物理层面对企业信息缺乏保护,另一方面,企业信息安全管理工作的专业技术没有及时更新,一些企业信息安全管理工作人员缺乏企业信息安全管理的实践经验,企业信息安全管理的知识也并没有及时更新,从而导致企业的信息安全管理理论严重滞后,这种技术的落后很容易让企业成为不法分子的攻击对象。近年来网络病毒的传播越来越猖狂,很多服务器、系统提示安全补丁的下载更新以及客户端的时常更新成为一个恼人的问题。作为一个行业中的大中型企业,企业内部设备数量比较多,尤其是客户端数量占了较大比重,仅仅靠少数几个管理员进行管理是难以承担如此大量的工作量。另外,企业信息安全管理系统不成熟也是一个重大的隐患。
3.企业信息安全管理制度不健全
企业信息安全管理制度不仅仅需要理论制度的完善,更加需要一系列配套监督机制保障企业信息安全管理的有效执行。通过调查分析,许多企业虽然建立了企业信息安全管理制度,但是通常情况下,这些制度只能流于形式,企业信息安全管理工作缺少有效的制约和监督,企业信息安全管理工作人员缺乏执行力。企业信息安全管理制度不健全,企业信息安全管理工作缺乏执行力常常体现在以下几个方面。第一,企业员工对于信息安全管理的认识严重不足,对企业信息安全管理工作不重视。企业内部计算机系统安全的计算机防病毒软件并没有及时更新,使用,甚至企业内部计算机的防病毒软件还被企业员工卸载了。部分企业员工认为自己的工作与企业信息安全管理不相关,认为做好企业信息安全管理工作仅仅是企业信息安全部门的事。第二,企业内部信息安全文秘站:管理制度并没有形成联动机制,企业信息安全管理工作仅仅由企业信息安全部门“一人包干”,企业信息安全反映的问题并没有得到积极的反馈,一些企业领导对企业信息安全现状所了解的少之又少。
三、企业信息安全管理常见的技术手段 1.OSI安全体系结构
OSI概念化的安全体系结构是一个多层次的结构,它的设计初衷是面向客户的,提供给客户各种安全应用,安全应用必须依靠安全服务来实现,而安全服务又是由各种安全机制来保障的。所以,安全服务标志着一个安全系统的抗风险的能力,安全服务数量越多,系统就越安全。
2.P2DR模型
P2DR模型包含四个部分:响应、安全策略、检测、防护。安全策略是信息安全的重点,为安全管理提供管理途径和保障手段。因此,要想实施动态网络安全循环过程,必须制定一个企业的安全模式。在安全策略的指导下实施所有的检测、防护、响应,防护通常是通过采用一些传统的静态安全技术或者方法来突破的,比如有防火墙、访问控制、加密、认证等方法,检测是动态响应的判断依据,同时也是有力落实安全策略的实施工具,通过监视来自网络的入侵行为,可以检测出骚扰行为或错误程序导致的网络不安全因素;经过不断地监测网络和系统来发现新的隐患和弱点。在安全系统中,应急响应占有重要的地位,它是解决危险潜在性的最有效的办法。
3.HTP模型
HTP最为强调企业信息安全管理工作人员在整个系统中的价值。企业信息安全工作人员企业信息安全最为关键的参与者,企业信息安全工作人员直接主导企业信息安全管理工作,企业信息安全工作人员不仅仅是企业信息安全的保障者,也是企业信息安全管理的威胁者。因此,HTP模型最为强调对企业信息安全管理工作人员的管理与监督。另外,HTP模式同样是建立在企业信心安全体系,信息安全技术防范的基础上,HTP模式采取了丰富的安全技术手段确保企业的信息安全。最后,HTP强调动态管理,动态监督,对于企业信息安全管理工作始终保持高强度的监督与管理,在实际工作中,通过HTP模型的应用,找出HTP模型中的漏洞并不断完善。
四、完善企业信息安全管理与降低风险的建议
1.建设企业信息安全管理系统
(1)充分调查和分析企业的安全系统,建立一个全面合理的系统模型,安全系统被划分成各个子系统,明确实施步骤和功能摸块,将企业常规管理工作和安全管理联动协议相融合,实现信息安全监控的有效性和高效性。
(2)成立一个中央数据库,整合分布式数据库里的数据,把企业的所有数据上传到中央数据库,实现企业数据信息的集中管理与有效运用。
(3)设计优良的人机界面,通过对企业数据信息进行有效的运用,为企业管理阶层人员、各级领导及时提供各种信息,为企业领导的正确决策提供数据支持,根本上提高信息数据的管理水平。
(4)简化企业内部的信息传输通道,对应用程序和数据库进行程序化设计,加强对提高企业内部信息处理的规范性和准确性。
2.设计企业信息安全管理风险体系
(1)确定信息安全风险评估的目标
在企业信息安全管理风险体系的设计过程中,首要工作是设计企业信息安全风险评估的目标,只有明确了企业信息安全管理的目标,明确了企业信息安全管理的要求和工作能容,才能建立相关围绕信息安全风险控制为目标的信息安全管理工作制度,才能顺利通过对风险控制的结果的定量考核,检测企业信息安全管理的风险,定性定量地企业信息安全管理工作进行分析,找准企业信息安全管理的工作办法。
(2)确定信息安全风险评估的范围
