企业风险控制案例范文

时间:2023-08-24 17:42:32

导语:如何才能写好一篇企业风险控制案例,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

企业风险控制案例

篇1

企业经营信息对于企业来说是一种资源,对于企业自身来说具有重要意义,企业需要妥善管理自身企业的信息。近年来,企业的各项经营活动都逐渐开始通过计算机,网络开展,因此,企业的信息安全管理对于企业越来越重要。许多企业开始通过各种技术手段以及制度改革,把更多的注意力放在企业内部的信息安全管理工作,同时将企业信息安全管理与风险控制结合起来,这是一个正确的选择,能够帮助企业实现稳定经营。在介绍企业信息安全管理以及风险控制前必须厘清企业信息安全管理的概念与企业风险控制定义,因此,本节将着重介绍企业信息安全管理的概念以及企业风险控制的定义。

企业的信息安全管理包含十分丰富的内容,简单来说是指企业通过各种手段来保护企业硬件和软件,保护网络存储中的各种数据不受偶然因素的破坏或者恶意的原因被攻击。对于信息安全的认定通过包括4个指标,即保证信息数据的完整,保证信息数据不被泄露,保证信息数据能够正常使用,保证信息数据能够控制管理。要想做好企业的信息安全管理,首先需要了解的是关于信息的传输方式。随着信息技术的不断普及,信息传递的方式越来越多,常见的信息传递方式主要有互联网传播,局域网传播,硬件传播等等。要想实现企业的信息安全管理,其中很重要的一项工作在于保护信源、信号以及信息。信息安全管理是一项需要综合学科知识基础的工作,从事企业信息安全管理工作的人员通过需要具有网络安全技术、计算机技术、密码技术、通信技术。从企业的信息安全管理来讲,最为关键的一项工作时保护企业内部经营信息数据的完整。经过近十年来的企业信息安全管理工作经验总结,企业信息安全不仅仅需要信息技术的支持,更需要通过建立完善的企业风险控制体系来帮助企业实现更好地保护企业信息安全的目标。

所以,怎样把企业信息安全管理与风险控制融合起来就是摆在企业经营管理者面前的一道难题。企业的信息安全风险控制必须通过企业建立完善的企业信息安全风险体系实现。企业的信息安全风险控制是指企业在企业信息安全遭遇威胁之前,提前对企业的信息进行风险预估,并采取一系列的有针对性的活动降低企业面临的信息安全风险,从而尽可能减少因为企业本身信息安全管理中存在漏洞给企业带来不必要的损失。常见的企业信息安全风险体系建立主要包含以下几个方面的内容。第一,建立企业信息安全风险管理制度,明确企业信息安全管理的责任分配机制,明确企业各个部门对各自信息安全所应承担的责任,并建立相应的问责机制。第二,设置规范的企业信息安全风险管理指标,对企业存在的可能威胁企业信息安全管理的漏洞予以风险定级,方便企业管理者对不同的信息安全管理漏洞采取有区别的对策。第三,企业要加强对信息安全管理人员的培训,提高企业信息安全管理工作人员的风险意识,让企业内部从事信息安全管理工作人员认识到自身工作的重要性,让企业内部从事信息安全管理工作人员了解到规范自身行为,正确履行职责的重要性。第四,将企业信息安全管理与风险控制有效融合,重视企业信息安全管理工作,通过风险控制对企业内部信息安全的管理方式进行正确评估,找出现行的企业内部信息安全管理手段中存在容易忽视的地方。

二、企业信息安全管理与风险控制存在的不足

1.企业信息安全管理工作人员素质不高

对于企业来说,企业信息安全管理工作是一项极为重要而隐秘的工作,因此,必须增强对企业信息安全管理工作人员的素质要求。但是根据调查统计,目前很多企业对信息安全工作的管理仅仅停留在对企业信息安全管理工作人员的技术要求上,对企业信息安全管理工作人员的道德素养,职业素养,风险意识并没有严格要求。此外,绝大多数企业并没有意识开展对企业信息安全管理工作的道德素质的教育培训,并没有通过建立相关管理制度以及问责机制对企业信息安全管理工作人员实行监督,这无疑给别有用心或者立场不坚定的企业信息安全管理工作人员留下了危害企业信息安全的可乘之机。

2.企业信息安全管理技术不过关

企业信息安全管理工作涉及多许多技术,包括信息技术,计算机技术,密码技术,网络应用技术等等,应当说成熟的计算机应用技术是做好企业信息安全管理的基础,但是,现实是许多企业的信息安全管理技术并不过关,一方面企业的信息安全管理硬件并不过关,在物理层面对企业信息缺乏保护,另一方面,企业信息安全管理工作的专业技术没有及时更新,一些企业信息安全管理工作人员缺乏企业信息安全管理的实践经验,企业信息安全管理的知识也并没有及时更新,从而导致企业的信息安全管理理论严重滞后,这种技术的落后很容易让企业成为不法分子的攻击对象。近年来网络病毒的传播越来越猖狂,很多服务器、系统提示安全补丁的下载更新以及客户端的时常更新成为一个恼人的问题。作为一个行业中的大中型企业,企业内部设备数量比较多,尤其是客户端数量占了较大比重,仅仅靠少数几个管理员进行管理是难以承担如此大量的工作量。另外,企业信息安全管理系统不成熟也是一个重大的隐患。

3.企业信息安全管理制度不健全

企业信息安全管理制度不仅仅需要理论制度的完善,更加需要一系列配套监督机制保障企业信息安全管理的有效执行。通过调查分析,许多企业虽然建立了企业信息安全管理制度,但是通常情况下,这些制度只能流于形式,企业信息安全管理工作缺少有效的制约和监督,企业信息安全管理工作人员缺乏执行力。企业信息安全管理制度不健全,企业信息安全管理工作缺乏执行力常常体现在以下几个方面。第一,企业员工对于信息安全管理的认识严重不足,对企业信息安全管理工作不重视。企业内部计算机系统安全的计算机防病毒软件并没有及时更新,使用,甚至企业内部计算机的防病毒软件还被企业员工卸载了。部分企业员工认为自己的工作与企业信息安全管理不相关,认为做好企业信息安全管理工作仅仅是企业信息安全部门的事。第二,企业内部信息安全管理制度并没有形成联动机制,企业信息安全管理工作仅仅由企业信息安全部门“一人包干”,企业信息安全反映的问题并没有得到积极的反馈,一些企业领导对企业信息安全现状所了解的少之又少。

三、企业信息安全管理常见的技术手段

1.OSI安全体系结构

OSI概念化的安全体系结构是一个多层次的结构,它的设计初衷是面向客户的,提供给客户各种安全应用,安全应用必须依靠安全服务来实现,而安全服务又是由各种安全机制来保障的。所以,安全服务标志着一个安全系统的抗风险的能力,安全服务数量越多,系统就越安全。

2.P2DR模型

P2DR模型包含四个部分:响应、安全策略、检测、防护。安全策略是信息安全的重点,为安全管理提供管理途径和保障手段。因此,要想实施动态网络安全循环过程,必须制定一个企业的安全模式。在安全策略的指导下实施所有的检测、防护、响应,防护通常是通过采用一些传统的静态安全技术或者方法来突破的,比如有防火墙、访问控制、加密、认证等方法,检测是动态响应的判断依据,同时也是有力落实安全策略的实施工具,通过监视来自网络的入侵行为,可以检测出骚扰行为或错误程序导致的网络不安全因素;经过不断地监测网络和系统来发现新的隐患和弱点。在安全系统中,应急响应占有重要的地位,它是解决危险潜在性的最有效的办法。

3.HTP模型

HTP最为强调企业信息安全管理工作人员在整个系统中的价值。企业信息安全工作人员企业信息安全最为关键的参与者,企业信息安全工作人员直接主导企业信息安全管理工作,企业信息安全工作人员不仅仅是企业信息安全的保障者,也是企业信息安全管理的威胁者。因此,HTP模型最为强调对企业信息安全管理工作人员的管理与监督。另外,HTP模式同样是建立在企业信心安全体系,信息安全技术防范的基础上,HTP模式采取了丰富的安全技术手段确保企业的信息安全。最后,HTP强调动态管理,动态监督,对于企业信息安全管理工作始终保持高强度的监督与管理,在实际工作中,通过HTP模型的应用,找出HTP模型中的漏洞并不断完善。

四、完善企业信息安全管理与降低风险的建议

1.建设企业信息安全管理系统

(1)充分调查和分析企业的安全系统,建立一个全面合理的系统模型,安全系统被划分成各个子系统,明确实施步骤和功能摸块,将企业常规管理工作和安全管理联动协议相融合,实现信息安全监控的有效性和高效性。

(2)成立一个中央数据库,整合分布式数据库里的数据,把企业的所有数据上传到中央数据库,实现企业数据信息的集中管理与有效运用。

(3)设计优良的人机界面,通过对企业数据信息进行有效的运用,为企业管理阶层人员、各级领导及时提供各种信息,为企业领导的正确决策提供数据支持,根本上提高信息数据的管理水平。

(4)简化企业内部的信息传输通道,对应用程序和数据库进行程序化设计,加强对提高企业内部信息处理的规范性和准确性。

2.设计企业信息安全管理风险体系

(1)确定信息安全风险评估的目标

在企业信息安全管理风险体系的设计过程中,首要工作是设计企业信息安全风险评估的目标,只有明确了企业信息安全管理的目标,明确了企业信息安全管理的要求和工作能容,才能建立相关围绕信息安全风险控制为目标的信息安全管理工作制度,才能顺利通过对风险控制的结果的定量考核,检测企业信息安全管理的风险,定性定量地企业信息安全管理工作进行分析,找准企业信息安全管理的工作办法。

(2)确定信息安全风险评估的范围

不同企业对于风险的承受能力是有区别的,因此,对于不同的企业的特殊性应该采取不同的风险控制办法,其中,不同企业对于能够承受的信息安全风范围有所不同,企业的信息安全风险承受范围需要根据企业的实际能力来制定。不仅如此,企业的信息安全风险评估范围也应当根据企业的实际经营情况变化采取有针对性的办法。

篇2

关键词:企业 风险控制 实施策略

企业在生产经营过程中,不可避免的要受到经济环境、法律政策、金融制度等外部因素以及企业的治理结构、战略文化、管理体系等内部因素的影响,在这些因素中存在着较多的风险隐患,如果管理控制不当容易影响企业的自身战略发展。特别是在当前企业经营发展所面临的内外环境复杂多变的时期,建立风险监督管理系统,对企业的经营管理潜在风险因素进行全面系统的分析,强化企业的风险管理控制能力,确保企业风险控制目标的实现,已经成为企业管理工作的重点,对于提高企业的经营管理水平以及市场环境适应能力也具有重要的作用。

一、企业经营发展的风险类型分析

对企业的风险进行管理控制,必须明确企业生产经营的主要风险类型,在当前市场经济环境下,企业风险可以分为外部风险以及内部风险两类。

(一)外部风险

外部风险主要是指企业在市场环境下生产经营过程中所面临的客观风险,主要包括政治风险、法律政策风险、合规风险、技术风险、市场环境风险、产业风险、社会文化风险以及信用风险等几种类型。

(二)内部风险

内部风险主要是与企业的战略目标、管理体系以及治理结构相关的风险因素,主要包括企业的战略风险、操作风险、运营风险、财务风险等几种类型,其中企业风险管理控制主体就是企业财务风险的管理控制,即对企业财务结构、会计活动以及投资项目所开展的风险管理控制活动。

二、当前企业风险控制管理存在的问题分析

(一)全面预算管理基础薄弱

全面预算管理已经成为现代企业管理体系中应用较为广泛的管理手段,系统完善的全面预算管理体系可以对企业的经营管理尤其是资金管理进行整体的规划安排,对于降低企业的财务风险以及资金流动性风险具有重要的作用。但是目前我国企业的全面预算管理基础薄弱,难以真正发挥其实际职能,对于降低企业经营风险以及指导企业财务管理工作作用不大。

(二)内部控制力度较弱

内部控制作为企业风险管理体系的重要内容,对于评估分析以及防范控制风险具有重要的作用。但是由于部分企业内部控制制度的系统性较差,缺乏重点性以及风险导向性,削弱了内部控制在风险管理工作中的实际效果。

(三)风险监督机制失效

由于部分企业风险控制管理意识薄弱,因此对于风险管理并没有制定系统全面的监督机制,同时也缺乏风险管理工作激励措施,由于监督职能的失效,因此风险管理体系也无法实现事前预警分析、事中控制防范以及事后问责,这种权责不明的制度造成风险控制管理效果较差。

三、提高企业风险控制能力的具体策略

(一)完善预算管理体系,强化内部控制体系的建设

全面预算管理体系建设不仅可以起到分配控制以及考核企业资源的作用,对于组织企业经营活动,降低经营风险也具有重要的作用。因此企业应该完善预算管理制度,同时采取自上而下、自下而上以及上下结合的方式进行企业预算的编制,并通过强有力的执行措施,发挥全面预算管理在降低企业风险工作中的作用。其次,企业应该认识到内部控制与风险管理工作之间的密切联系,并通过完善内部控制体系以及制度建设,为有效的风险控制管理工作提供基础保障作用。

(二)做好企业的风险评估以及应对工作

由于企业的风险具有不确定性以及突发性,因此必须做好风险评估以及应对工作。首先企业应该全面深入了解企业经营发展过程中存在的各类风险,细致分析有可能造成企业出现风险问题的各种因素。然后按照定性风险评价法或者是风险率风险评价法等方法对风险频率进行准确的评估,通过对风险因素、风险类型以及企业数据的细致分析,准确的评价风险发生概率以及风险等级,进而对风险管理工作的重点进行排序。其次,在完成风险分析以及评估之后,应该按照风险等级、发生概率、企业的战略以及企业承受能力等相关内容,制定具体的风险应对方法。在风险管理控制方法的制定上,应该注重管理方法的连续性以及动态性,通过积极的应对来提高企业的风险防范控制能力。

(三)优化信息系统建设,强化对风险管理的监督考核

优化企业的信息系统建设, 可以强化企业的信息集成以及共享能力,因而能够将涉及到企业经营活动的各项信息及时准确的传递至决策部门以及风险管理部门,进而确保企业风险监测、风险评估分析以及风险等级管理等工作的顺利开展。同时,企业应该完善风险监督机制,督促相关部门严格按照风险管理措施执行风险管理控制工作。此外,企业风险监督管理部门应该做好风险管理绩效评价工作,通过绩效评价为企业风险管理工作的持续开展与改进提供准确的依据。

四、结束语

企业在市场经济环境下开展经营活动,就必然存在着风险问题,企业内外环境中的各种风险因素都有可能对企业正常经营发展造成不利影响。因此企业管理部门必须充分认识到风险管理控制工作的重要性,将风险管理控制作为一项系统工程,结合企业行业特点以及业务活动特点,对风险管理控制环境进行优化,完善企业风险管理控制制度,并通过细致的评估分析,提高企业风险控制能力,确保企业的稳健发展。

参考文献:

[1]许国兵.基于案例推理的企业物流外包风险预警系统[J].物流技术,2007

篇3

关键词:提高;企业风险管理;能力;策略

“提质增效”已经成为了当前所有企业面临的共同话题,而在“提质增效”的过程中,提升自身的风险管理能力是其中非常关键的一项内容,因此,对提高企业风险管理能力的策略进行分析有着较为重要的意义。

一、当前企业风险管理存在的相关问题

(一)企业内部对于风险管理的意识总体相对薄弱

在先前我国发展的“黄金十年”中,各行各业的企业总体面临的竞争相对较少,发展机会较多,总体的利润也较为丰厚,导致很多企业在自身发展的过程中,对于企业如何发展投入了非常多的经历,总体的发展也较为粗放,对于自身的风险管理工作并没有投入足够的精力,重视程度也相对较差。但是在进入到经济发展的新常态之后,该种粗放式的发展模式已经不能适应当前经济市场的总体需求,需要企业全面增强自身风险管理意识,若企业仍旧沿用这种粗放式的发展理念,仍旧秉持这种薄弱的风险管理意识,必然给企业发展带来较大的负面威胁。

(二)企业内部实行的风险管理制度不够健全

与企业风险管理意识较为薄弱相伴相生的就是企业风险管理制度不够完善。在传统粗放式发展历史的影响下,企业所适应的风险管理制度总体也较为粗放,主要表现为:其一,很多企业内部并没有设定出专门的风险管理控制部门,但是在当前这个信息极度发展的时代,企业在整个市场中所面临的不确定性出现出陡增的情况,特别是一些规模较大的企业,虽然其总体的抗风险能力较强,但是其可能出现较大风险的可能性也最大,非常有必要设置专门的风险控制部门来对自身所面临的风险进行全面细致的分析,从而为企业健康、可持续发展提供出更多的数据支撑。其二,当前很多企业在自身经营的过程中,风险全面评估工作较为匮乏。在企业生产经营的过程中,通过风险评估能够准确帮助企业在未来某段时间内可能出现的风险,从而更为针对性的采取应对策略。其三,多数企业内部并没有设定出必要的控制监督机制,虽然部分企业已经开始认识到做好风险管理工作,形成完善的风险管理制度对于自身发展是较为重要的,但是从实际情况来看,很多没有认识到在风险管理制度中,控制监督制度是其中非常关键的一部分,对于企业内制定的各项风险管理策略的实施有着非常重要的监管与控制作用。

二、提升企业风险管理能力的相关策略

(一)在整个企业内部形成良好的风险管理氛围

针对当前很多企业内部对于风险管理工作认识程度不够到位的情况,全面增强企业风险管理意识是非常关键的。在具体实施的过程中,在企业内部形成良好的风险管理氛围是非常关键的。这个过程中,需要企业的管理者与领导者首先认识到企业当前所处环境的变化,转变自身传统的发展观念,坚定不移的走精细型发展战略,而做好风险管理是精细型发展中必要走的道路之一。其次,在企业内部通过宣传、开会、培训等方式让强化风险管理逐步的深入到每位员工的心中,特别是结合企业自身的实际情况,深入分析生产的每个环节,让员工能够清楚认识到在自身的工作中,可能存在哪些风险因素,这对于较好增强员工的对于风险的控制意识是非常关键的。长此以往,企业内部所有的员工均能够在自身的工作与生活中及时的发现其中存在的风险,并将发现的风险及时上报。

(二)全面完善企业风险管理控制体系

针对当前很多企业内部风险管理控制体系不够完善的情况,全面增强企业风险管理控制体系的完善性,对于确保企业健康、可持续运行是非常关键的。在具体实施的过程中,企业应当首先对自身当前运行的风险管理体系进行分析,深入挖掘其中存在的漏洞,在这个过程中,特别需要对企业生产经营过程中可能出现的风险事项进行全面细分,这对于从体系的层面采取针对性的预防与控制措施,降低企业风险出现的概率是非常关键的。例如,可将企业所面临的风险氛围内部风险与外部风险两个部分,其中企业所面临的内部风险主要为:企业发展战略风险、企业自身生产经营风险及企业日常运营的组织风险等;企业所面临的外部风险主要为企业经营过程中可能出现的政策风险、技术风险等等。对于这些风险,企业均应当采取针对新策略从整个控制体系的角度出发,针对性采取策略进行控制。此外,这个过程中,对企业风险控制监管部分需进行针对性的完善,确保企业各项经营活动的风险控制工作均有专门的人员实施,特别是对于整个过程中第一责任人与具体责任人进行明确,从而更好提升企业内部从事风险管理控制人员参与到整个工作的积极性与主动性,将风险管理控制工作的实际效能发挥到最大。

(三)强化对企业风险管理控制人员的培训

制定的风险管理制度与控制体系均需要技术人员来执行,因此,企业结合自身工作需求全面对这些人员进行培训工作是非常关键的。在具体实施的过程中,需形成周期性培训加不定时培训相结合的方式,将一些对于提升企业风险管理控制效果有着较好作用的理念及措施等及时的传授给相关的技术人员。培训的方式应针对性加入实践培训的内容,更好保证整个培训的效果,必要情况下还需加入对应的考核工作。

结束语

综上分析,当前企业在进行风险管理的过程中其中存在的问题仍旧较为显著,给整个企业的健康、可持续发展带来了较大的威胁。为了更好获得市场生存空间,提升自身的总体发展活力,企业应当从自身实际情况出发,采取针对性策略全面增强自身的风险管理能力。

参考文献:

[1]李翕然.基于内部控制的集团企业风险管理研究——以能源集团企业为例[J].技术经济与管理研究,2015,(04):63-67.

[2]袁琳,张伟华.集团管理控制与财务公司风险管理——基于10家企业集团的多案例分析[J].会计研究,2015,(05):35-41+94.

篇4

论文提要:本文在分析内部控制整合框架与企业风险管理整合框架关系的基础上,分析现行风险管理审计准则的局限性,并提出开展风险管理审计的建议。

一、我国风险管理审计准则的内容及局限性

随着经济形势发展及我国内部审计自身发展的需要,我国内审也开始重视风险管理内部审计。2005年中国内部审计协会颁布了《内部审计具体准则第16号—风险管理审计》(以下简称风险管理审计准则)并要求于2005年5月1日起实施,该具体准则的出台为我国内部审计人员对组织内部风险管理状况进行审查和评价提供了规范指导。

风险管理审计准则第2条对风险管理做了如下定义:是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证;第6条则描述了风险管理包括的主要阶段:风险识别、风险评估以及风险应对;在该准则的第4条中,还特别强调:风险管理是组织内部控制的基本组成部分,内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一。

可以看出,该准则所称的“风险管理”是从狭义上理解的风险管理,即风险管理活动的具体实施过程:风险识别、评估及应对。而广义的风险管理不仅包括上述的具体实施过程,还包括其他起辅助作用的要素:内部环境、控制活动以及监督。按目前狭义前提下制定的准则去执行,风险管理审计就会忽略这些起辅助作用的要素,以至于发现不了组织风险管理活动中可能存在的潜在问题。中航油案例就是一个很好的例证。

中国航油(新加坡)股份有限公司(下称中航油新加坡公司)曾聘请国际著名的安永会计师事务所为其编制《风险管理手册》,设有专门的风险管理委员会及软件监测系统,实施交易员、风险控制委员会、审计部、总裁、董事会层层上报,交叉控制,按照《风险管理手册》的规定,任何导致50万美元以上损失的交易将自动平仓。中航油新加坡公司共有10位交易员,损失的最大限额应是500万美元(10×50万=500万)。但是,中航油新加坡公司的衍生品交易最终亏损额高达5.5亿美元,以至申请破产保护。中航油事件的核心问题并不在于市场云谲波诡,而在于该公司从表面上看似乎已实施了风险管理的流程:风险识别、风险评估、风险应对;但缺少对风险管理系统中的其他辅助要素的合理关注,最终导致企业整体风险管理失败。这一案例也再次说明:风险管理不仅仅只包括风险识别、评估及应对,更包括内部环境、控制活动、信息和沟通以及监控;风险管理系统的有效运转依赖于各要素的通力协作,对风险管理不应停留于狭义上的理解;风险管理审计准则应指导内部审计人员从广义上理解风险管理的涵义,全盘考虑风险管理的构成要素及其运作方式,及时有效地发现企业风险管理实践中存在的短板。

二、重新认识内部控制与风险管理的关系

对风险管理审计的认识依赖于企业进行风险管理时所采取的企业风险管理框架或风险模型(用来反映风险管理过程和内容的程序图)。截至目前,已经有如下风险管理模型:1995年澳大利亚-新西兰联合委员会的AS/NZE4360;1998年的加拿大标准委员会模型;1997年全国虚假财务报告委员会下属的发起人委员会(下称COSO委员会)内部控制-整合框架的“目标—风险—控制”模型;2004年COSO委员会的企业风险管理-整合框架(简称ERM框架)模型。风险管理审计准则中出现的问题根源就在于准则中的“风险管理”概念采纳了COSO委员会1997年的内部控制-整合框架中的观点。然而,理论界和实务界还是认为该内部控制框架有些局限性,如对风险强调不够,使得内部控制无法与企业的风险管理相结合。COSO委员会2004年的ERM框架就是在1997年的内部控制-整合框架的基础上,结合《萨班斯——奥克斯利法案》的相关要求扩展得到的。相比内部控制框架,ERM框架在多个方面都有所发展和深化,具体表现在以下几个方面:

1、企业风险管理涵盖了内部控制。增加了新的要素或赋予原有要素新的含义,对内部控制框架下的风险管理要素进行细化,按风险管理的流程划分为:目标设定、事件识别、风险评估、风险反应四个要素。同时,在环境要素中增加了“风险管理哲学”以及风险“偏好”。对比二者的构成要素,可以发现风险管理框架中的目标制定、事项识别、风险评估、风险应对四个要素实质上就是风险管理的流程,也可以理解为狭义上的风险管理。这样看来,内部控制框架与风险管理框架中的要素完全一致。但是系统论认为,系统的性质不仅取决于组成系统的各要素,更依赖于组成系统的各要素的排列方式。在内部控制三个目标的基础上增加了战略目标,并扩大了报告目标的范围,将“财务报告的可靠性”发展为“报告的可靠性”。

2、企业风险管理更加强调管理风险。ERM框架强调在“组合”的基础上考虑风险,考虑风险的集合和风险的交互作用,并在此基础上考虑企业应采取的风险控制措施。在强调风险管理的环境下,ERM框架显然不同于内部控制框架。

总之,ERM框架扩展并详细地阐述了与企业风险管理相关的那些内部控制要素。从企业风险管理要求和实施来看,内部控制是ERM的主要构成部分,但绝对不能等于ERM范畴,ERM的理论和实务都要比内部控制宽泛得多,ERM更适合企业战略风险管理的要求。因此,不能说风险管理审计是内部控制审计的一部分。

三、建议

基于以上分析,要实现真正意义上的风险管理审计,对风险管理审计准则中的风险管理概念的理解就必须建立在广义的基础之上,即采纳COSO委员会(2004)ERM框架中的广义风险管理概念。鉴于内部控制与风险管理二者密不可分的联系,在现行的准则体系下可以协调内部控制审计准则与风险管理审计准则之间的关系,以使风险管理审计准则能得以更有效的实施。

主要参考文献

[1]中国内部审计协会.内部审计具体准则第16号——风险管理审计.2005.

篇5

一、企业风险管理的概述

(一)企业法律风险的含义企业法律风险是在法律的整个实施过程中,伴随外部条件的变化,或者企业自身主体没有根据合同履行权利和义务,企业在此受到负面的法律影响。企业法律风险作为企业经营管理中风险的重要风险,风险的存在形式并非孤立单一,和很多其他风险共同存在,并且相互交叉,所以风险的存在形式也呈现多样化形式。

(二)企业风险的主要特征1、风险发生原因的法定性。企业中的规章制度都是以国家法律为依据制定,主要制约员工的不规范行为,作为员工行为标准的准则,员工在企业工作中如果不遵循内部规章制度,那么企业会因此产生法律风险。2、风险结果强制性。企业如果在经营管理中违反法律法规,涉及相应的惩罚制度,企业就要承担一定的法律责任。法律的特点是具有强制性,不会因为某个人或者某个事件的发生产生变化。因此企业一旦出现法律风险,结果将会非常严重。3、企业广泛性的风险发展领域。企业的所有经营制约企业的法律法规,企业的任何一种行为都以法律法规为实行的前提和基础。法律是一切活动开展的关键,企业的所有法律风险存在于企业建立到最后结束的整个过程。4、法律法规发生形式的关联性。企业中风险的存在形式呈现多样化,因为联系的客观性,所以风险之间也有相互间的联系,风险之间会出现交叉和重叠现象。企业风险体系中,法律风险和其他种类的风险关系密切。例如,当一个企业发生销售和财务风险的时候,法律风险也不能抛除在外。企业的生产经营原则是依法经营管理,因而法律风险的重要性也日渐凸显。

二、法律风险出现的原因

(一)企业法律防范意识缺乏“三鹿”事件给很多企业带来启示,“三鹿”事件出现问题根本原因是管理者对法律了解不到位,风险意识薄弱,没有定期开展相关制度和流程的检查,使法律风险陋习一直沿用。风险意识树立的基础是识别和化解风险,法律风险防范机制的基础是法律风险防范意识。企业风险意识缺乏的防范有以下几个方面:第一,企业高管法律意识淡薄。企业管理者法律意识不够明确,公司范围内最好设立专门的企业法律顾问,不能使企业的经营管理出现无法可依的局面,经营活动中依靠的是日常常识以及以往的经验,但是常识和经验有极大的不准确性,如果对相关法律法规掌握不清晰就会掉入法网。第二,企业在法律风险防范上投入不到位。有的企业甚至都没有专门的法律部门,法律事务都是依靠外包的事务所处理,员工法律意识普及也不到位,造成全员风险意识薄弱的情况出现。第三,法律方面开支较少。企业在法律方面的支出通常要占销售全额的百分之一。

(二)企业内部没有健全的管理机制企业内部管理机制开设的主要目的是为了提升企业的经济效益和工作效率,防范和化解各类风险矛盾。我国在风险制度上还存在一定程度上的漏洞。内部的健全管理机制不到位,导致企业的内部责任划分不够明确、工作效率较低、决策没有依据草率开展,这是企业风险中存在潜在威胁的主要原因。

三、企业风险防范的有效措施

(一)风险防范机制的建立第一,企业经营管理中对风险的各个环节要加以控制。在企业风险全面调查中,要对以往的风险案例进行典型案例分析,要识别各种法律问题漏洞,防止法律条例了解不清楚引起的管理漏洞,找到风险点和风险源,把风险类型进行分类处理。根据风险的危险系数,评级和排序各类风险,等级划分上判定风险的难易程度。第二,根据法律风险分析以及评估的资料和数据,制定风险防范措施,建立风险防范机制、控制整个风险防范流程。从风险预警和防范两大方面为着眼点,制订相关的预警机制和防范方案,坚持事前、事中和事后的全程控制机制,真正把风险控制降低到最低。第三,企业法律风险有其多变性,因而定期的风险评估非常重要,要在改进调整法律防范措施的基础上,更好地对法律风险开展防范。

(二)企业法律风险防范体系的建立企业法律风险防范过程中,应建立科学全面的风险防范体系。企业建立企业总法律顾问制度,总法律顾问可以直接参与企业的经营决策,制定法律风险防范体制。

四、结束语

篇6

关键词:静态风险;动态风险;监测风险;控制风险;评估风险

金融企业自改革开放以来,发展迅速。金融企业大多追求高收益,但往往收益与风险是同比增加的,具体的一家金融机构因经营不善而出现风险危机,有可能对整个金融体系的稳健运行构成威胁;一旦发生系统风险,金融体系运转失灵,必然会导致全社会经济秩序的混乱,甚至严重的会引发政治危机。因此企业的中要重视各项风险来源,发现风险,尽可能的规避各个环节的可控风险。本文主要讲述金融企业的动态风险,项目全过程的管理,通过监测、控制风险、评估风险来实施,将企业的风险控制在可控范围内。

一、金融企业存在的风险类型

企业风险是指对企业的战略与经营目标实现产生影响的不确定性。企业风险分类:第一,按照金融风险产生的根源划分,包括静态金融风险和动态金融风险;静态风险主要考虑社会政治环境正常情况下,由于自然力量的非常变动导致损失发生的风险,是可以通过转移方式控制。动态风险主要考虑与社会变动有关的风险,或者是项目运营过程中发现的风险,这些风险及早发现是可以规避的。第二,按照金融风险涉及的范围划分,包括微观金融风险和宏观金融风险;这些风险主要产生原因是由于国内外宏观经济政策及经济运行情况决定;第三,按照机构的类别划分,包括银行风险、证券风险、保险风险、信托风险等,这些类别的风险是由各行业状况,国家产业政策决定。

二、动态风险管理的必要性和可行性

我国实行市场经济时间不长,对于金融企业风险管理的研究和实践处于摸索阶段,与国际上先进的国家还有着较大的差距。我们必须紧跟国际风险控制发展形势,及时了解并掌握先进的技术和理念,以适应我国金融行业发展的需要。金融风险产生的根源划分为静态金融风险和动态金融风险。动态金融风险主要是由企业的经营管理状况和市场需求变动或经济、金融体制改革等因素引起的风险。动态风险造成的后果是难以估计的,因为市场资金的需求的变动和来源都较为广泛。金融体制改革的变化引起银行经营方面的波动,是很难用历史资料来推算的。动态风险可能引起的后果是双重的,即可能给企业带来经济上的损失,也可能带来额外的收益。动态风险常常是可以回避的风险,此时企业在风险面前可以处于主动地位。动态风险的不可计量性和不可保险性,其可能引起的损失是无法直接计入成本的。而且,这种风险本身还意味着可能的收益,也不能进入成本。因此金融企业的动态风险管理是企业的重中之重,它是可以规避企业风险的发生的,因此许多企业都逐渐对动态风险管理重视起来并实施了相应的对策。据普华永道2004年初对世界上1400个大中型公司的CEO进行的调查,其中38%的CEO声称已经建立了完整的全面风险管理体系,35%已经初步建成全面风险管理体系。16%正在计划中,只有10%表示正在研究或尚无准备建设风险管理体系。既然这么多大型企业早已经实行了全面风险管理,因此动态风险管理肯定是必要的,更是可行的。我们可以通过健全的风险管理体系、风险评估系统按照公司统一标准,多维度进行分析,在项目管理中动态的管理风险,发现风险,对风险进行综合考核与评价。

三、风险管控中的问题

我国风险管理的意识起步较晚,监管细则不象国外起源早。现阶段各企业中也频繁出现一些风险,因此金融机构在对风控管理被重视起来,很多金融机构从失败的项目中总结出一系列的控制手段和措施,也认识到在过程中风险管理的重要性。现主要明显的风险管控问题。(一)监管机构辅助力量不足。银行、保险、证券等相关监管机构出台了相关的监管办法,目的是维护行业的合法,稳建运行,从而防范和化解金融风险。但体制监管办法较为分散,金融业务有时会有交叉情况,导致形成信息不对称的情况。且监管机构并没有形成有效的金融风险监测、评价、防范的体系,缺乏早期预警和早期控制等一系列科学的严谨制度。所以系统性的动态风险在金融企业中难以被发现,从而使监管机构的辅助力量就会显示不足。(二)金融企业风险管理制度流程形式化。现如今大多企业都有着一整套有关风险控制的制度和流程,但具体实施时针对一系列的工具,如风险评估模型、情景分析、压力测试等并未真正有效利用。在管理过程中对于各类工具虽然在实际工作中有所运用,但不对工作结果进行评估,不对风险类型进行认定,导致企业无法对已经出现的风险采取应对措施,从而失去了风控的意义。再者利用了风险识别工具后,又不重视时效导致风险识别的滞后,从而使企业失去了最佳控制风险的时间。以上情况使得企业风控管理形同虚设,成为企业一个形式而已。(三)风险管理不全面且不被重视。现在金融企业业务发展迅速,各类新兴金融产品陆续面世,企业间竞争演练到白热化程序。企业往往重视业务,急于更快开拓市场,占据行业主导地位,面对行业风险,市场风险,企业信用等风险则会不太重视,一心只想抢占市场份额,企业对风险管理完全不重视。再者大多数的人认为风险是中后台部门该去管理的事情,投资团队往往只关注业绩和利润,而不是从项目本身出发,自己对项目风险没有预判。进入投后阶段项目有了风险就认定是风控部门的事,与投资部门无关,互相推诿。企业没有把风险作为全员应该重视的工作,对于投委会决策时对中后台的建议企业也没有过多的重视,从而使项目触发风险直接导致投资失败。这种也是对风险管理的不全面的体现。

四、加强金融企业动态风险的措施建议

动态风险是项目全周期的管理工作,需要全体项目人员参与其中,让全体人员了解风险,有风险意识,并能发现风险。针对风控管理的问题有以下措施建议。(一)树立先进的风险管理文化。现在金融企业的风险管理都有着先进的风险管理文化,但偏于技术,新的项目立项都是利用大数据,用数据模型作为投后的管理的重要管理依据。所有的管理都依据于大数据系统,导致很多企业中的员工缺乏人情味和责任心,对工作失去热情,短期化行为比较严重。只有将风险管理从理论变为所有从业人员的自觉意识和行为,风险管理体系才能发挥其作用。要逐渐树立风险管理是每一个员工的职责和观念,而不单单是某一部门事情,是某些领导的责任。要使全体员工明确风险管理和业务发展并行不悖,动态的风险管理的过程同样是创造价值的过程。风险存在于业务的每一个环节,金融服务的过程也就是承担和控制风险的过程。(二)建立健全风险管理体系。公司要建立一套风险管理流程,大力推进合规文化的引领作用,推进风险合规向标准化发展。风险管理一定要有底线思维,坚持谨慎科学的风险管理理念,在经营过程中不断的开展动态风险管理流程的建设和优化工作,逐步构建前、中、后台的风险防控体系。风险管理并不是一个部门的工作,而是涉及每个环节的每一个相关的业务部门。管理必须科学化、精细化、系统化,这样才能健全风险管理体系。可以通过三方面体现:(1)随时了解金融行业局势,逐步控制系统性的金融风险。企业定期宣导国内外金融的相关政策,让全员了解金融局势和政策的更新化,系统风险是企业发展层面的,不仅仅需要领导层,更需要全体员工了解参与。这样才有利于企业规范风险管理流程的方向性、执行力。(2)强化监管过程风险;金融企业投资的项目,需要了解底层资产背景,不仅仅从财务报表、投测模型分析投资项目的风险。还要通过了解企业市场前景、企业文化、客户满意度等多维度进行分析了解。很多企业对于风控管理仅仅只针对报表数据分析风险,这些数据虽然是发现风险强有力的支撑,但数据有时会滞后,因此风险人员要适当走出数据分析的塔楼,事前就应该有风险意识,变被动为主动,变事后为事前,将风险控制在可控范围内。(3)风险评估;企业全面落实监管要求,发现风险点及时上报,结合线上线下的综合监测结果及时发现并评估风险,明确风险级别,提高企业的风险监测、风险评估、风险控制,分析决策能力。针对各项风险评估案例,内部总结分析,减少同类的风险案例,化解风险。(三)加强风险管理人员业务能力培养。随着我国金融企业发展迅速的今天,金融企业对相关风险管理类人才的需求也在不断的提升。在这样的背景下,金融企业如何对风险管理人员能力的培养是迫在眉睫的事情,一方面可以加大对风险管理人才的引进力度,可以通过校企合作的方式,为金融企业提供必要的人力资源支持,定向引进优质人才;另一方面,金融企业还应该立足企业现有的人力资源,借助积极有效的内部和外部培训机会,让企业的员工不断学习更好地助力企业的风险管理工作。从而提高企业风险监测、风险应对能力以及风险评估等方面的水平和能力。只有不断的强化风险管理人才的管理能力,才能够更好地应对今后企业在运营和发展过程当中所面临的风险管理挑战。

总之,风险管理是当前我国诸多金融企业在运营和发展过程当中所面临的一个重要问题。只有科学的加强风险管理人员的能力,金融企业发展才会有一个良性的空间。五、结语金融企业围绕总体经营目标发展过程中,企业要培育良好的风险管理文化,要将风险整合到企业文化和价值观之中,过程中的动态管理是企业要持至以恒的。要让全体员工意识到风险管理的重要性以及风险管理的作用。我们企业要多强化员工合规意识,教育和培训在风险管理文化的角色,确保遵守国家的法规原则下,进一步提高监管政策传导的广度和深度。全面提升动态风险管理水平,将企业的风险控制在可控范围内,这样企业才会发展更长久,金融行业也才会有良性的发展方向。

参考文献

[1]王子源.企业金融风险管理的策略研究[J].商场现代化,2018(11).

[2]邓傲雪.金融企业全面风险管理对策研究[J].商场现代化,2018(4).

篇7

在分析风险管理审计准则出台的背景、内容及现阶段开展风险管理审计存在的制约因素基础上,提出了有效开展风险管理审计的一点建议。

关键词:

风险管理;内部审计;风险管理审计

中图分类号:F239文献标识码:A文章编号:16723198(2009)22018102

1 我国风险管理审计准则出台的背景

如今的西方多数大中型企业均已实施了不同程度的风险管理。根据德勤2003 年的调查, 80%以上的世界性金融机构已设立了风险管理师(CRO) 工作职位, CRO 职位比例居首位的为南美洲金融机构, 已达95%, 居末位的为亚洲金融机构, 仅为29%。在目前欧美的部分金融机构中CRO 的职位职能仍然由企业的风险管理委员会行使。普华永道2004 年对全球1 400 位CEO 进行了调查,其中70%的CEO 将发展与提高企业的整体化风险管理能力提高到他们当前工作内容的首位。调查还显示38%CEO 认为, 企业已经建立了行之有效的企业整体化风险管理体系, 另有46%的CEO表示将在1- 3 年内建立与发展企业整体化风险管理体系。

为了适应企业界的这种变化,更好地实现组织价值的增值。国际内部审计师协会(IIA)1999年6月对内部审计进行第五次定义。修订后的定义扩大了内部审计的范围,将它的工作目标延伸到包括风险管理、控制与治理程序,强调了内部审计对组织的重要贡献,标志着内部审计开始进入了风险管理审计阶段。风险管理审计反映了内部审计动态发展的基本趋势和变革倾向。

相比之下,我国企业的风险管理水平还处在初级阶段, 虽然近年来取得了长足的进步, 但就总体而言, 与飞速发展的客观经济形势仍不相适应, 呈滞后状态。近年来国内外上市公司出现的诚信危机, 有力地推动了我国企业风险管理的进程。企业管理当局已经意识到现在的社会也是一个风险全球化的社会。因此迫切需要建立起一套适合我国企业进行风险管理的指导框架。2006年6月国务院国有资产监督管理委员会颁布实施了《中央企业全面风险管理指引》(下称《指引》),该指引的颁行,可以看成是企业风险管理理论在我国大规模本土化的开始。

随着经济形势发展及我国内部审计自身发展的需要,我国内审也开始重视风险管理内部审计。2005年中国内部审计协会颁布了《内部审计具体准则第16号风险管理审计》(下称:风险管理审计准则),该准则的出台为我国内部审计人员对组织内部风险管理状况进行审查和评价提供了规范指导。

2 我国风险管理审计准则的内容及局限性

风险管理审计准则第2条对风险管理做了如下定义:是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证;第6条则描述了风险管理包括的主要阶段:风险识别、风险评估以及风险应对;在该准则的第4条中,还特别强调:风险管理是组织内部控制的基本组成部分,内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一。

首先,可以看出该准则所称的“风险管理”是从狭义上理解的风险管理,即风险管理活动的具体实施过程:风险识别、评估及应对。而广义的风险管理不仅包括上述的具体实施过程,还包括其他起辅助作用的要素:内部环境、控制活动以及监督。按目前狭义前提下制定的准则去执行,风险管理审计就会忽略这些起辅助作用的要素,以至发现不了组织风险管理活动中可能存在的潜在问题。中航油案例就是一个很好的例证。

中国航油(新加坡)股份有限公司(下称中航油新加坡公司)曾聘请国际著名的安永会计师事务所为其编制《风险管理手册》,设有专门的风险管理委员会及软件监测系统,实施交易员、风险控制委员会、审计部、总裁、董事会层层上报,交叉控制,按照《风险管理手册》的规定,任何导致50万美元以上损失的交易将自动平仓。中航油新加坡公司共有10位交易员,损失的最大限额应是500万(10×50万=500万)。但是中航油新加坡公司的衍生品交易最终亏损额高达5.5亿美元,以至申请破产保护。中航油事件的核心问题并不在于市场云波诡秘,而是在于该公司从表面上看似乎已实施了风险管理的流程:风险识别、风险评估、风险应对;但缺少对风险管理系统中的其他辅助要素的合理关注,最终导致企业整体风险管理失败。这一案例也再次说明:风险管理不仅仅只包括风险识别、评估及应对,更包括内部环境、控制活动、信息和沟通以及监控;风险管理系统的有效运转依赖于各要素的通力协作,对风险管理不应停留于狭义上的理解;风险管理审计准则应指导内部审计人员从广义上理解风险管理的涵义,全盘考虑风险管理的构成要素及其运作方式,及时有效地发现企业风险管理实践中存在的短板。

其次,对风险管理审计的认识依赖于企业进行风险管理实践时所采取的企业风险管理框架或风险模型(用来反映风险管理过程和内容的程序图)。企业风险管理作为一种全新管理理念或管理框架的最终形成,是由美国发起人组织委员会(Committee of Sponsoring Organizations of the Treadway Commission,下称COSO委员会)在2004年9月提出的《企业风险管理――整合框架》(Enterprise Risk Management Integrated Framework,下称《ERM整合框架》)。这个框架是迄今为至企业风险管理最完善、最成熟的理论概括。国内中央企业在进行风险管理则是在《指引》的指导下并结合自身的实际情况开展的。《指引》对企业风险管理的目标、流程描述,与《ERM整合框架》中的描述大体相同。它将企业风险管理的目标设定为五个方面:一是将风险控制在与总体目标相适应并可承受的范围内;二是确保企业内外部实现真实、可靠的信息沟通;三是遵守法律法规;四是通过企业制度安排降低实现经营目标的不确定性;五是建立针对重大风险发生后的危机处理计划。这五个方面的目标,分别对应着《整合框架》提出的4个目标。它将企业风险管理流程区划为收集初始信息、进行风险评估、制定管理策略、提出实施解决方案和监督改进等5个阶段.分别对应着《整合框架》中的企业风险管理8大基本要素。所以风险管理审计准则中的风险管理概念要采纳《ERM整合框架》中广义的风险管理观点而非其1992年的《内部控制整体框架》中狭义的观点。

3 运用风险管理审计准则存在的制约因素

3.1 有关风险管理审计的法规及准则尚不完善

风险管理审计是从西方国家引入我国的,相关的法规及准则还不够健全和完备。我国内部审计准则正处于跟国际内部审计准则接轨的阶段当中,关于风险管理审计最主要的法规是2005年5月开始实施的风险管理审计准则,只是就风险识别、风险评估、风险应对进行风险管理审计作了原则性的规定,比较抽象,缺乏对风险管理审计操作的具体指导。其他有关风险管理审计的法规也比较缺乏。

3.2 企业管理观念落后,风险意识不足

随着企业外部经营环境的复杂化,领导层风险意识大大增强,认识到进行风险管理的重要性并着手建立自身的风险管理体系,但水平较低;同时尚未意识到内部审计机构开展风险管理审计的重大意义。在这样的风险管理观念里,很难有效进行风险管理,降低和避免风险带来的损失只能成为空谈。

3.3 内部审计在组织中的地位不合理

内部审计在组织中的地位影响其开展风险管理审计的效果。目前由于内审部门组织地位不合理,风险管理审计的开展变得异常艰难。有些企业将内部审计部门只设置在总经理层级之下,与其他职能部门同一级别。但企业总经理和以上的高层的职权高于内部审计部门,与内部审计部门的权力相抵触,这样在开展风险管理审计过程中,一旦高层发生舞弊或者重大决策失误就不易发现和解决,这样的情况下所进行的风险管理审计工作不仅难以保持内审人员的独立性与客观性,还存在着重大的审计风险,无法保证风险管理审计的质量,最终可能导致企业陷入危机。

3.4 内审人员知识结构单一、缺乏综合知识

风险管理工作的复杂性决定了内部审计人员知识的全面性,决定了内部审计人员必须具备复合型人才的素质,不仅要具备会计、审计专业知识,还要熟悉企业经营环境和生产经营过程,具备管理学、金融、计算机技术、工程制造、法律等多方面知识。我国内部审计人员专业结构中,会计、审计专业占绝对统治地位,而其他专业的工作人员在内部审计人员结构中所占的比例相对较小。知识结构单一不能适应风险管理审计对知识综合性的需求,风险管理审计难以开展。

4 有效开展风险管理审计的对策与建议

基于以上分析笔者认为,要实现有效的风险管理审计,要做到如下几点:

4.1 丰富与完善风险管理审计准则的内容

对风险管理审计准则中的风险管理概念的理解就必须建立在广义的基础之上,即采纳COSO委员会2004年的《ERM整合框架》中的广义风险管理概念。鉴于内部控制与风险管理二者密不可分的联系,在现行的准则体系下可以协调内部控制审计准则与风险管理审计准则之间的关系,以使风险管理审计准则能得以更有效的实施。

4.2 加速推进国内企业的风险管理实践

企业风险管理理论和《指引》都是针对企业所面临的各类风险提出的,都只是一个理论框架和方向指引,没有统一具体的模式,在企业风险管理理论本土化的过程中应找到符合国内企业实际的切入点。每一个企业都有其特殊的行业特点,既有体制、历史传承、文化特色和企业员工队伍、管理当局的素质水平等。这决定了不同的企业在实施风险管理时应有不同的切入点或突破口,不能好高骜远,要从各自的实际出发,找准影响各自企业主要经营管理领域的不确定性来源,有针对性地进行企业风险管理实践。

4.3 全面提高审计人员素质

首先,要改变审计人员专业结构的不合理,培养高水平复合型的人才。其次,要加强培训,强化审计人员的逻辑思维和综合分析能力,提高审计人员运用数理统计模型、金融工程等先进方法进行风险管理分析的能力。

参考文献

[1]李瑛,李阳.新环境下的企业风险管理与风险导向内部审计[J].会计之友,2008(3):7071.

篇8

关键词:网络环境;会计;内部控制

中图分类号:F23 文献标识码:A文章编号:16723198(2012)10011601

企业会计内部控制能提升会计信息的质量,有效保护企业的资产的安全,提升企业经营活动的整体运作效率,大大降低企业经营上存在的风险,保证企业经营管理目标能得以实现等方面具有重要的现实意义。

1 重新确立企业会计组织结构

网络环境下ERP的运用,让企业会计业务的运作环境与运作模式发生了很大的变化,会计内部控制体系建设也需要作出适当的调整。在内部环境方面,为确保网络环境下会计信息内部控制的严密性,企业应该在扁平化结构下重新确立会计组织结构,并将其设定成会计信息系统运作组、财税金融组以及计算机中心管理组。会计信息系统的运作组主要是管理会计信息系统,主要包含会计信息的采集、审核、分析等;而计算机中心管理组包含软件开发、系统设计等;财税金融组包含纳税筹划、资金管理等。

2 创建企业全面风险管理系统

企业在网络环境下实行内部控制时,有风险控制能力弱的问题,其原因是企业在风险管理方面的意识比较淡薄,同时还未建立与之相联的风险管理体系,这让企业没有能力去应对会计信息系统控制中遇见的风险。当前,网络环境下会计信息系统遇到的风险逐渐加大,例如授权方式的改变、网络环境本身的开放性等,这无疑增加了企业风险管理难度,所以,加强i企业风险管理能力的重心是创建风险管理系统。创建全面的风险管理系统,需要从以下两个方面出发:

一方面,企业建立专门的风险管理组织机构。企业设立专门的风险管理委员会,该委员会负责研究并制定企业风险管理的策略,而企业的董事会则主要是负责监督与决策,对企业风险管理的实效性对股东会负责;企业经历对企业的风险管理和策略加以执行,尤其是要抓好企业的风险管理日常事务,将企业风险管理的有效性来对企业董事会负责;企业财务等风险管理部门可以进行科学有效的分工,相互之间联系,构成一个有机体;企业财务部内的人员应对本部门的业务非常熟悉,并能对具体案例进行风险评估。所以,企业财务部门的应该建立专门负责会计信息系统风险评估团队。另一方面,创建企业风险预警系统。企业风险预警系统应包括企业风险识别、风险评估与风险处理。企业将风险预警系统内嵌在会计信息系统的程序内,当会计信息系统在遇到风险时,其能提供预警方面的功能,生成具体的预警信息,通过网络传输给负责人。负责人按照风险的具体性质,选取恰当的风险评估与处理方案,以便完成风险控制。

3 开展网上确认控制

为了进一步完善网络环境会计内部控制框架建设,企业在控制活动过程中,需要加强网上确认技术,加强会计信息安全方面的控制。网络环境下,会计信息原始资料数字化进一步加大了会计信息的安全风险。为了有效防止会计原始信息被篡改与盗用,企业完全可以充分利用网络所具有的实施传输方面的功能,对原始交易凭证的第三方进行严格控制,也就是开展网上确认。企业在网络上的认证机构申请数字签名与密码,当双方进行相关的业务往来的时候,将相关的单据和交易凭证传输给认证机构,再由认证机构对其进行核实,对其进行数字签名,并进行加密,之后将已经加密与没有加密的凭证传输给双方,这就完成了双方都认可的公正交易。在这样的交易中,交易一方因为没有办法获得另外一方的签名与密码,所以不能对交易凭证进行修改。与此同时,这一凭证采用加密与未加密两种形式存在企业数据库内,企业会计人员也是只能对没有加密的进行修改,企业的主管人员对某项业务出现疑惑时,只将加密凭证交给客户与指定的认证机构进行解密,将结果进行对照,就可以得到答案,大大增加了会计信息的安全性。

4 对会计信息系统进行审计

网络环境下,企业内部审计机构对会计信息的开发、维护与操作的整个流程进行检测,将出现的问题及时进行汇报,这能弥补信息系统控制上的缺陷,确保会计信息系统的安全性与完整性。在条件许可的情形下,对信息系统进行审计。信息系统审计一般是由专门的审计人员进行审计,采用第三方对企业会计信息系统进行综合性的检测与评价,向被审计企业提出存在的问题与进一步改进的建议。会计信息系统审计,综合使用了信息技术、审计理论等为会计信息系统的使用人员提供了保证。

总之,在网络环境下,企业会计内部控制框架的建设,应从重新确立企业会计组织结构、创建企业全面风险管理系统、开展网上确认控制、对会计信息系统进行审计等方面出发,提升网络环境下企业会计管理水平。

参考文献

[1]李峰.网络环境下会计信息系统内部控制研究[J]. 科技创新导报,2008,(02).

[2]王健.会计信息系统内部控制研究[J]. 中国新技术新产品,2010,(16) .

篇9

充分的准备是所有工作成功的基础,安全管理也不例外。检测、检修前组织召开承包商检测、检修HSE专题会议,提出具体HSE管理要求,将检测、检修所涉及到的各项规章制度汇编成册,形成书面材料发放至每家承包商,要求承包商组织员工学习。认真审核承包商检测、检修施工方案HSE篇,保证各项检测、检修作业HSE管理有章可循。在检测、检修队伍进场前,HSE管理的重点是装置的退料吹扫,因为退料吹扫彻底与否,将直接影响检测、检修后续工作的顺利实施。为给检测、检修提供一个安全的作业环境,装置严格按照预先制订的停车方案实施操作,将设备、管道内的液相物料尽可能倒空送出装置,将可燃、有毒气体排至火炬。严格执行工艺操作规程,杜绝就地排放,做好能量隔离,消除作业隐患,为检测、检修作业人员的进场作业提供安全的作业环境。

2、实行从岗位风险识别到活动风险识别的风险控制模式

为提高风险控制的实用性,要建立网上HSE风险数据库,从基础操作、专有设备、开停工、检维修、工程施工和事故处理等6个方面识别工艺风险和作业风险。在检维修方面重点是识别某一项作业可能发生的危害事件,并具体说明发生危害事件环节、部位以及发生危害事件的条件和成因,从而制定出针对性的控制措施,为现场作业的风险控制提供更加简明、直观的技术支持。有了网上风险数据库,施工作业时,各类作业票涉及的危害因素都可以从数据库中直接导出,既方便,又可避免临时识别出现错误。同时要加强人员的安全教育和培训。所谓无知者无畏,许多事故的发生,都与当事人员所掌握的安全知识不足有着密切关系。通过真实的事故案例教育检测、检修人员规范作业,告知作业危害及进装置注意事项,并使用考试的方法来检验其掌握相关知识的程度,对于考试不合格的坚决予以淘汰。通过对施工作业人员进行认真负责的安全教育,能有效控制事故发生率。

3、加强现场监督检查,落实各项安全措施

各项措施制定后,重点在于落实。企业应安排适量的现场安全监督管理人员,也可配备3~5名操作人员作为检测、检修现场专职安全监督员,对现场进行全方位监督检查,重点检查监督企业本身和施工承包方双方各项安全措施的落实情况、检查考核甲乙双方参检员工对检测、检修工艺风险和施工作业风险掌握、熟悉情况,并对违反各项规程、制度及措施不落实等“三违”情况实行一票否决权。企业安全管理部门人员每天对各基层单位专职安全监督员对现场监督情况进行检查,发现问题及时纠正,对上报的各类“三违”事件进行追究责任和处罚,严重者取消参检资格,对各施工承包方表现情况进行考评打分,记录考评结果,作为下一次选择施工承包方的依据。

4、检维修过程风险管理的两大注意事项

第一,需要加强各项作业间的衔接。停工检修过程中往往会出现交叉作业,或者一个单位作业时另一个单位进行作业前的准备,这样,容易产生相互影响,造成人员伤害,如装置吹扫泄压过程中,机、电、仪、修专业人员进人现场进行施工准备就容易产生烫伤、坠物伤人等风险,应错开作业时间减少风险。第二,注意做好检修之后的工作总结。检修作业过程复杂,具体问题变数相对较大,各个过程的衔接也较复杂。所以,各项工作的安排、各类风险的识别很难提前做得非常完善。因此,检修结束后,有必要认真总结,补充遗漏风险,理顺各项工作间关系,为以后同类工作提供帮助,提高工作效率和风险控制能力。

篇10

本文以税务风险管理和内部控制理论为基础,采用案例分析的方法,对 A 报业集团的税务风险内部控制进行了分析,并对完善集团的税务风险内部控制提出了建议,以指导集团在实际经营过程中有效的控制税务风险。

本文首先对报业集团的税务风险内部控制进行了概述,分别对报业集团的税务风险内部控制的目标及主要内容进行了介绍;然后在此基础上,基于 A 报业集团的实际生产经营情况,分别从税务风险控制环境、各主营业务活动中税务风险识别、税务风险评估、税务信息与沟通、以及税务风险监控与反馈五个方面,对A 报业集团的税务风险内部控制现状进行了分析,指出了 A 报业集团当前存在的税务风险;最后,对完善 A 报业集团的税务风险内部控制提出了建议:建立税务风险内部控制管理机构、将税务风险内部控制纳入绩效考评机制中、建立健全税务培训机制以完善 A 报业集团的税务风险控制环境,准确识别 A 报业集团在各主营业务活动中的主要税务风险点,健全 A 报业集团的税务风险评估指标体系,完善 A 报业集团税务风险内部控制的信息与沟通机制,以及建立 A 报业集团税务风险内部控制的汇报与监控机制。

关键词:报业集团;税务风险;内部控制

第 1 章 绪 论。

1.1 选题背景与意义。

随着我国市场经济的不断完善以及企业生产经营规模的不断扩大,及时、准确地识别和控制风险已成为企业管理体系中的重要组成部分。纳税作为企业的生产经营活动之一,在我国税收体制不断完善的情况下,建立完善的税务风险内部控制对于企业的风险管理具有重要的意义。所谓税务风险,主要包括两方面,一方面是指企业的纳税行为不符合相关税收法律法规,未按规定缴纳税款或少缴纳了税款,遭到税务机关补缴税款、加收滞纳金、甚至面临刑事处罚的惩处,不仅导致企业利益受损,而且对企业声誉的影响也是巨大的;另一方面是指由于对与企业经营活动相关的税收优惠政策不了解或理解不到位,导致企业没有充分享受相关的优惠政策,加重了企业的税收负担。作为市场主体的企业,应该主动采取措施,进行税务风险管理,明确企业税务风险内部控制的组织架构和步骤,以及风险识别、评估和控制的方法与技术,这样才能实现企业整体利益的最大化。

目前,报业集团由于受到“事业单位,企业化管理”的管理模式影响,其内部控制存在许多不完善和不科学的地方,尤其是在税务风险控制方面,一方面,大部分报业集团均未设立独立的税务部门来专门处理涉税事项,集团员工的税务风险意识薄弱,对生产经营活动的处理侧重于事后核算,导致集团由于对涉税事项处理不当面临税务机关查处的风险;另一方面,国务院2009年颁布了《文化产业振兴规划》,将文化产业提升为国家的战略性产业,其重点推进的文化产业中的出版发行、印刷、广告等活动均属于报业集团的主要经营业务活动[1],相关的税收优惠政策主要以“红头文件”的形式,变动比较频繁,导致集团由于不了解相关优惠政策承受了较重的税收负担。本文以税务风险内部控制理论和A报业集团的实际经营情况为基础,尝试从税务风险控制环境、税务风险识别、税务风险评估、税务信息与沟通、以及税务风险监控与反馈这五方面对A报业集团税务风险内部控制进行分析,并提出完善A报业集团税务风险内部控制的建议,指导集团更科学合理的控制税务风险,亦为完善其他企业的税务风险内部控制提供参考。

1.2 国内外文献综述。

1.2.1 国外文献综述。

在 2002 年连续发生“安然”、“世界通讯”等财务欺诈事件,出于对大公司及事务所信用的担忧,美国颁布了《2002 年萨班斯-奥克斯利法案》(简称《萨班斯法案》或《SOX 法案》)。该草案首次强调了企业风险管理的全面要求,尤其是404 法案,要求企业加强企业内部控制和完善公司治理结构,这对当时很多在美国上市的公司产生了巨大的挑战。尽管当时很多企业意识到税务风险这个问题,但是对其有清晰理解的并不多,而实施税务风险管理的企业就更少了。企业税务风险的研究真正兴起于 2003 年美国 COSO 颁布《企业风险管理》草案的之后。

澳大利亚学者Michael Carmody(2003)认为,税务风险是一种不确定性,它来自外部和内部两个方面,其中外部因素主要包括外部经济环境的变化,税收政策的不断变动,会计核算制度发生变化等,由于这些因素是企业无法掌握和控制的,因此,企业税务风险管理实际上是对内部原因的掌控,即企业通过对生产经营活动的合理安排,从而合法纳税,并规避税务执法机关的检查以实现缴纳最低的税收。他的这个观点与国内的税收筹划定义相类似[2].

Donald T. Nicolaisen(2003)认为,税务风险管理是指企业充分利用税收优惠政策,通过对企业的生产经营活动,尤其是内部财务活动的合理安排,使自身获得的税收利益最大化的一种管理活动[3].

Tom Neubig(2004)认为,企业在发生纳税义务之前,就应该对自身的生产经营活动或相关投资活动进行系统科学的审查,通过对涉税事项的事前筹划与安排,在不引起税务机关注意的情况下,达到少缴纳税款的目的,实现企业对税务风险的有效管理[4].

Lourens, Christine M(2007)认为,提高公司内部之间的沟通是税务风险管理的关键,同时,利用SOX框架,公司就可以制定一个可靠的计划[5].