發布時間:2023-08-08 16:52:09
序言:寫作是分享個人見解和探索未知領域的橋梁,我們為您精選了8篇的工程風險評估的核心問題樣本,期待這些樣本能夠為您提供豐富的參考和啟發,請盡情閱讀。
【關鍵詞】施工企業 財務管理 財務風險 對策
一、施工企業財務風險管理的內容及意義
施工企業財務風險管理包括財務風險的識別、測量與評估和風險的控制。識別主要是對企業可能遇到的風險進行系統分類,在分析的基礎上準確判斷各類風險引發的財務風險程度。測量與評估則是通過科學的方法將風險量化處理,對各財務風險因素數據準確分析與評估。風險控制是對施工企業生產、經營等各環節實施監督和控制,達到防范和化解財務風險的目的。加強財務風險管理,一是使企業密切關注可能引發財務風險的事項,提前做好防范措施,盡可能減少各種不利因素造成的財務風險。二是通過提前籌集快到期債務資金、有效利用分散的閑置資金等方式,使企業資金得到更合理的配置,為企業的可持續發展奠定基礎。三是科學、有效的風險管理能夠減少生產經營、投資過程中的財務風險,減少損失、增加收益,實現股東價值的不斷提升。
二、施工企業財務風險的成因分析
(一)施工企業內部管理機制不健全
缺乏完善的內部管理機制是施工企業的一大弊病。一方面相關制度的制定不夠科學,可操作性有待提高。內部管理制度的制定多流于形式,雖形成書面文件,但制度本身缺乏合理性,實際管理中未能有效執行。另一方面缺乏風險評估機制。施工企業生產經營特點決定了其具有較高的風險性,尤其是財務風險。實際工作中,對投標報價、項目分析、工程款結算以及資金配置等沒有充分考慮,風險評估不到位,易引發財務風險。
(二)未能有效發揮財務的監督和服務職能
多數施工企業財務部門對經營業務的監督、控制僅體現在會計核算上,未能充分發揮財務管理應有職能,直接影響了財務風險管理效果。通常情況下,財務部門將監管重點放在企業的資產方面,對財務監督和服務職能的落實情況沒有給予重視,尤其是財務風險管理工作。此外,施工企業管理層對財務監督與服務職能認識不夠,使得財務風險得不到事前、事中的有效控制,面對風險只能事后處理,難以發揮財務在內控中的重要作用。
(三)行業惡性競爭引發財務風險
由于我國建筑業市場競爭激烈,加上國家宏觀調控政策對房地產業的影響,使得施工企業在承攬項目工程時,不顧成本、競相壓價,嚴重擾亂了市場秩序。業主方招標時,在滿足合同條款、工程質量要求等的基礎上,一般選擇報價最低的投標企業,而施工企業為了中標,不得不接受相對苛刻的條件,使得施工企業既要付出較高的施工成本,又要在可能虧損的情況下確保工程質量,給施工企業長期經營帶來困難,存在巨大的財務風險。
(四)施工企業面臨巨大的回款風險
施工企業在應收賬款回收上存在巨大風險,究其原因主要有以下幾點:一是施工企業因工程質量等因素不能按合同履約,導致施工項目竣工后不能及時辦理竣工驗收,造成施工項目資金結算滯后,無法及時收回款項。二是因業主方資金緊張等的影響,使得工程竣工驗收后不能足額支付合同款項,易變為呆賬、壞賬。三是施工企業管理者對應收賬款管理不重視,未配置專人進行賬款催收,而企業仍需負擔承重的財務費用,增大財務風險。
三、加強施工企業財務風險管理的對策
(一)建立健全內控管理機制,加強風險管理
首先要進行充分地調研與分析,把握以財務管理為核心的各流程環節的關鍵問題,在此基礎上建立內控管理制度,包括預算管理機制、合同管理機制、財務風險預警與評估機制等。健全預算管理機制的核心問題是要確保預算的合理性及執行力;合同管理方面則要提高合同履約率,嚴格按合同條款施工,保證施工質量;在財務風險預警與評估上,設定財務風險的可接受范圍,通過信息系統、財務指標等進行預警和防控,以減少財務風險。
(二)提高認識,增強財務的監督與服務職能
一是要提高管理層思想認識,增強財務人員風險管理意識,加強對財務人員專業技能等方面的培養;二是要將財務監督與服務重心前移,在開展各項業務之前做好事前分析工作,對可能存在的財務風險進行科學、合理的評估。財務人員應熟練掌握、運用財務風險測量工具,對業務進行跟蹤監督,及時解決財務風險;三是要增強執行力,在財務監督與服務職能上要嚴格按照相關制度執行,做到有章可循,真正落實財務風險管理職能。
(三)規范行業競爭,從源頭上控制財務風險
施工企業在承攬工程項目時,要對招標文件進行全面研究和分析,準確理解文件內容,核實招標單位相關許可證件是否齊全。有關部門應加強對建筑行業的監管,規范行業競爭,從源頭上降低財務風險。監管部門可以介入招標環節,針對招標單位與競標企業的報價,結合工程項目成本等因素予以綜合評價,對于惡意壓價或在虧損情況下承攬工程的施工企業要嚴厲懲處,對于選擇中標價低于項目實際成本的招標單位也應給予相應的處罰。
(四)加強應收賬款管理,降低財務風險
防范財務風險要做好事前控制,掌握招標單位的社會信譽情況、財務狀況等,在合同中明確收款時間和方式,以及違約賠償等問題。要將應收賬款回收情況納入相關責任人的考核中,合理利用激勵機制,對一定期間內收回款項的予以獎勵,否則予以處罰。此外,要規范應收賬款日常管理工作,由專人負責建立應收賬款臺賬,按拖欠時間和清收難度劃分等級,并采取相應的清收策略,對惡意拖欠款項的要借助法律手段維護自身合法權益。
參考文獻
[1]王蘭平.企業財務風險與防范[J].現代經濟信息,2011(21).
1研究方法
1.1研究區概況
太湖流域上游區域包括無錫、常州、湖州三市,水系包括洮滆水系、苕溪水系、南河水系、沿江水系,面積14820km2.該區域屬亞熱帶季風氣候,四季分明,雨水豐沛.區域內工農業發達,產業密集,城鎮化程度高,人口密集.隨著經濟的快速發展,生態環境逐漸惡化,水體污染較為嚴重,22條入湖河流中水質劣于GB3838—2002《地表水環境質量標準》Ⅴ類的河流有7條,水質為Ⅱ~Ⅲ類的河流只占15%,尤其以北部、西北部地區河流污染較為嚴重.結合河流水系、行政區劃將研究區分為5個區域(見圖1).
1.2模型構建
基于生態系統層面的湖泊流域生態風險評估模型如圖2所示,主要包括壓力源分析、生態系統刻畫、評估終點選擇及其關聯分析.壓力源直接作用于生態系統,并通過生態系統狀態指標間的相互作用,對生態系統各指標產生間接影響,最終影響生態系統服務產出.模型構建主要包括評估終點、壓力源及生態系統等風險組分指標體系的構建,風險組分量化,風險組分間關系的量化及風險表征三部分內容.1.2.1生態風險評估指標體系的構建生態風險評估指標體系包括壓力源指標、風險受體和評估終點三部分.系統壓力源包括風險源和脅迫因子,結合相關研究和流域特征[21-23],共選取自然源和社會源指標共計11項,污染物類和生境改變類脅迫因子10項,具體如表1所示.將整個生態系統作為風險受體,從生態學理論出發可從結構、過程、功能和服務四方面描述生態系統的本質屬性,生態系統狀態從結構和過程兩方面進行刻畫[24],其中,結構指生物組分、生境組成要素及其間相互作用方式,過程即以生態結構為基礎的物質和能量遷移轉化的現象,共選取20項指標(見表1);以生態系統服務作為評估終點[25],針對湖泊流域生態系統特征,結合Costanza等[26]以及聯合國千年生態系統評估(millenniumecosystemassessment,MEA)的分類標準,選取供給服務、文化服務、調節服務和支持服務這4類9項指標表征生態系統評估終點,具體如表1所示.生態系統與生態系統服務之間以生態系統功能作為橋梁進行關聯[27],生態系統功能即生態系統為人類直接或間接提供服務的能力,生態系統通過其不斷輸出生態系統服務.根據Groot等[28]的研究,流域生態系統功能可分為調節功能、生產功能、生境功能和信息功能,具體包括流量調節、水儲存、污染物降解、水災調節、種群調節、營養元素儲存和循環、初級原料生產、生物資源生產、生境調節和娛樂美學等.1.2.2矩陣的構建及量化依據生態風險評估模型(見圖2)和表2所示指標體系,建立風險組分矩陣及傳遞關系矩陣,將不同風險評估子流域內的風險源進行等級排序,對風險源強度和生態系統狀態進行量化處理,進而構建風險源強度矩陣(A)和生態系統狀態矩陣(B)〔見式(1)(2)〕.依據生態系統彈性與其狀態的關系,構建生態系統彈性矩陣(C)和中間矩陣(M)(與生態系統狀態矩陣同行同列)〔見式(3)〕,系統狀態越好,彈性就越強,抗干擾能力也就越強.風險強度分為強、中、弱3個狀態,按照相對風險模型賦值方法[7]分別賦值為6、4、2;生態系統狀態分為好、中、差3個狀態,分別賦值6、4、2;A和B分別根據各風險源實際統計數據和生態系統狀態監測數據進行賦值,其中風險源統計數據通過min-max標準化進行處理,生態系統監測數據結合GB3838—2002進行判斷,同理,構建風險源與脅迫因子之間的關聯矩陣(S)、脅迫因子與生態系統狀態指標的關聯矩陣(E)、生態系統狀態指標之間的關聯矩陣(I)以及生態系統狀態指標與生態系統服務之間的關聯矩陣(D),D通過生態系統狀態指標-生態系統功能關聯矩陣(F)和生態系統功能-生態系統服務關聯矩陣(H)計算得出〔見式(4)〕.傳遞關系矩陣的量化過程采用層次分析法,賦值方法如圖3所示,分析所得數值(0、1、2、3)即為相應矩陣元素值.1.2.3風險表征在對風險組分及其相互關系進行量化后,風險源對子流域i內生態服務的影響可用相對應矩陣運算得到.子流域i內所有壓力源對生態服務的影響計算過程如式(5)~(7)所示.1.3數據來源以太湖流域上游區域為例,2012年為基準年,收集所需數據(見圖2).風險源數據主要來自2012年江蘇省、浙江省統計年鑒,無錫市、常州市、湖州市統計年鑒及水利普查公報;生態系統狀態數據主要來自《2012年太湖健康狀況報告》《太湖流域概況》《中國水資源公報2012》等,風險組分間關系分析數據主要來自文獻[29-32].太湖流域上游各區域風險源統計數據和生態系統狀態數據如表2、3所示.
2結果與討論
2.1區域風險分析
根據流域水生態風險評估模型,太湖流域上游各區域內風險源帶來的總體生態影響如圖4所示.由圖4可見,無錫-江陰區域相對風險值最高,長興-安吉區域最低,常州-金壇、湖州-德清、溧陽-宜興和長興-安吉區域相對風險值分別占無錫-江陰區域的73.2%、78.8%、74.4%和59.9%.工業、種植業、水產養殖、生活和水利設施等風險源對生態系統造成的影響較嚴重,由圖5可見,不同區域內主要風險來源差異較大,其中,無錫-江陰區域內各生態系統服務主要受到工業、種植業、水產養殖、生活和畜禽養殖的綜合影響,其風險貢獻率分別為18%~19%、16%~20%、14%~15%、12%~13%和9%~11%;湖州-德清區域主要受到水利設施和工業的影響,其風險貢獻率分別為16%~21%和13%~15%;長興-安吉區域則各風險源貢獻率較為均衡,除畜禽養殖和旅游影響較低外,其他風險源貢獻率均為7%~12%.從另一角度分析,洪澇、干旱、水土流失、旅游和航運在整個區域內形成的風險均較低,而工業、種植業、水產養殖和生活產生的風險普遍較高,可見,人類活動引起的社會源是區域生態系統的主要風險源,而自然源影響不大.
2.2生態系統服務風險分析
各區域內各項生態系統服務相對風險值如圖6所示.由圖6可見,水產品、水調節、水質凈化和生物多樣性維持等生態系統服務面臨的風險較大,所受風險分別占該區域總風險的17.63%、20.04%、22.88%和24.21%,水供給、航運、氣候調節服務面臨的風險均處于較低水平.由圖7可見,同一區域內各生態系統服務所受影響大體相同,但又各有差別,其中,航運和水供給服務主要受到水利設施的影響,水質凈化和水產品服務主要受到工農業及生活源的影響,各風險源對生物多樣性維持的影響都相對較大,工業、種植業的影響尤為顯著.評估結果表明,太湖流域上游北部—西北部—西部—西南部的生態風險水平逐次降低,南部略高于西南部.在太湖流域北部—西北部,應注意工業發展及生活污水排放對流域生態所帶來的影響,進行合理減排、循環利用以控制污水排放的量和質;太湖流域西部主要受農業發展的影響,圍湖養殖、種植業化肥農藥的流失等是引起生態風險的主要原因,應在種植及養殖方式、施肥方式方面進行改進,提高利用效率,減少流失;太湖流域南部面臨的風險則主要由水利設施的建設及生活源引起,應注重生態的補償和修復.與其他生態風險評估研究相較,基于系統水平的生態風險評估模型更適用于大范圍的湖泊流域,究其原因:①它綜合分析了多種風險源與生態系統的復雜作用關系,而并非單一風險源或單一受體的風險水平[8,33],能夠反映流域內多風險源綜合作用下的整體風險水平[12-13,34];②該模型將經濟-社會系統與生態系統進行了有機結合,能夠識別出區域內生態風險的核心問題,進而找到對應的解決方案,為流域管理決策的制訂提供支持.
3結論
關鍵詞:商業銀行公司治理 風險管理 風險審計
全面風險管理是從戰略目標制定到目標實現的全過程風險管理,隨著現代商業銀行所承擔風險的增加,商業銀行內部審計關注的重點也逐漸轉移到風險管理上來,當今風險審計作為一種新的審計理念,成為備受人們關注的熱點。與其說銀行是在經營貨幣的企業,不如說銀行是經營風險,從風險管理中獲取收益的企業。商業銀行一直在利潤與風險之間做著謹慎和僥幸的選擇,防范和控制經營中的風險,實施全面風險管理戰略,是商業銀行面臨的現實而緊迫的任務。作為現代商業銀行的審計部門,如何由傳統的合規性審計向風險預警和防范為目標的風險審計轉變,合理配置有限的審計資源,提高審計效率與效益,有效發揮審計監督在防范和控制風險中的積極作用,已成為現代商業銀行內部審計面臨的焦點課題。
風險審計的涵義
風險審計,也稱風險基礎審計或者風險導向審計,它是在傳統的賬項基礎和內部控制制度基礎審計上發展起來的一種審計模式,是指審計人員在對被審單位的內部控制充分了解和評價的基礎上,綜合分析、判斷被審計單位的風險狀況及其風險程度,從而把有限的審計資源集中到高風險的審計領域,針對不同風險程度采取相應的審計對策,重點對高風險點進行實質性測試,從而伎內部審計的剩余風險降至可接受的最低水平。與賬項基礎審計、內部控制制度基礎審計相比,風險審計關注點在于對被審單位的風險評估,其審計重心向風險評估轉移,更加關注的是企業的風險管理活動一一是否建立清晰的風險管理戰略、完善的管理架構、全面的風險管理過程和良好的風險管理文化,最終實現風險管理效率和價值的最大化,不但可以保證充分的審計覆蓋面,而且對每一個領域都會根據其風險評價結果有不同的審計頻率與深度,增強了對風險的預防控制作用,風險審計方法的重點是識另q、預防與控制風險。因此,風險審計理論的核心是從分析審計風險入手,通過建立科學的審計風險分析模型,采取定性定量分析方法,量化確定固有保證程度系數,并控制保證程度系數,確定可接受的檢查風險水平,以確保審計質量。
商業銀行實施風險審計方法的壩實重要牲
格林斯潘曾經說過:“銀行的基本職能是預測、承擔和管理風險。”風險審計的本質和根本目標是促進和保障商業銀行業務的穩健發展,促進商業銀行樹立全面的風險管理理念,堅持發展與防范風險并重;適應市場和業務需要,不斷完善風險管理手段,健全風險管理體制,培育風險管理文化,提高風險管理水平,促進業務發展,目標是優化資源配置,將風險控制在商業銀行可以承擔的范圍內,實現風險調整后的收益最大化。
(一)風險審計的理念和方法是商業銀行實施全面風險管理的現實選擇,進一步提升了內部審計的增值服務?風險是商業銀行與生俱來的產物,存在于商業銀行業務的每一個環節當中,商業銀行提供金融服務的過程也是承擔和控制風險的過程,因此,風險管理是商業銀行永恒的主題。在現代金融領域中,能建立良好的風險管理架構和體系,對風險進行全面有效的管理,并以良好的風險定價策略實現價值增長,是影響商業銀行核心競爭力的重要因素,也是實施風險審計的必然要求。國有商業銀行上市后,要在提高全面風險管理能力的前提下保持持續的價值創造能力。
巴塞爾新資本協議和美國反舞弊財務報告委員會的發起組織委員會fCOSO)的《企業全面風險管理框架》將全面風險管理概括為對商業銀行各個層次的業務單位和各種類型的風險進行統籌管理,這種管理要求將包含信用風險、市場風險、操作風險和其他風險的各種金融資產與資產組合,承擔這些風險的各個業務單位納入到統一的管理體系中,對各類風險依據統一的標準進行測量并加總,依據全部業務的相關性對風險進行全程的控制和管理。風險審計正是以全面評估風險為基礎,從重要風險點上人手,在深入分析判斷不同層面和業務單位風險狀況的基礎上,確定審計重點,對風險高的業務集中資源重點審計,通過評估銀行風險識別的充分性、風險衡量的恰當性及風險防范的有效性,并在此基礎上提出相應的改進措施和建議,直接影響商業銀行經營戰略的制定,確保商業銀行實現業務發展、風險控制和效益增長的有機統一
(二)采用風險審計的理論和技術、是現代商業銀行審計發展的目標和方向,實現增值型審計轉型需要:當前國際內審發展已進入一個以風險管理和公司治理為標志的新的發展階段,西方的絕大部分商業銀行在內部審計均采用了風險審計的理論和技術。國際審計師協會主席捷奎林?瓦格娜曾提出:“環境的變化給內部審計師帶來增加價值的機會最多的領域是風險管理的公司治理。”2003年國際內部審計協會對2001年新的《內部審計實務標準》(以下簡稱《標準》)修改后,在內容上也自始至終都貫穿著風險審計的主導思想。
一是在對內部審計的定義中要求內部審計采用一種系統化、規范化的方法來對機構的風險管理、控制及監管過程進行評價進而提高它的效率,幫助機構實現它的目標。二是內部審計的目標要求內部審計參與風險管理。三是內部審計的工作重點要求內部審計參與風險管理。四是標準對審計計劃、審計測試、審計結果、后續審計各個方面都作了和風險相關的明確規范。五是關于剩余風險,《標準》做出了在審計執行主管認為高級管理層接受的剩余風險水平對于機構來說是無法接受時就報告董事會加以解決的規定。這些規定和要求將內部審計的范圍延伸到風險管理和公司治理,所以風險管理已經成為內部審計的主要工作。隨著風險管理導向內部控制時代的來臨,內部審計的工作重點也發行了變化,現代內部審計突破了傳統的監督、鑒證、評價職能的范圍,更多地介入商業銀行有效的風險管理機制和健全的公司治理結構領域。
風瞼審計在項代商業銀行風瞼管理中的作用
(一)風險審計有利于提高商業銀行風險管理水平,促進風險文化建設。風險基礎審計主動發現和控制各項風險,通過對商業銀行業務部門進行風險評估,并按照次序排列風險,集中高風險的項目優先審計。前者試圖阻止不期望的行為發生,這種事先的控制有助于阻止損失的發生;后者試圖檢查出不期望發生的行為,檢查性的控帶l目的是提供損失發生的證據。這兩種類型的控制都是必要的內部控制系統,使商業銀行的內控機制完善、管用。同時,風險審計關注的重點是業務過程中的每一個風險點,涉及所有員工和管理者,這樣有助于形成商業銀行風險文化,從而提高商業銀行全面風險管理水平。
(二)風險審計有利于對風險事件的識別風險審計采用通用風險分析模板及方法,識別商業銀行業務過程的風險和外部環境風險。風險審計人員運用某些分析方法,創造性地進行分析,判斷管理層是否完全識別了企業的所有風險,
若有遺漏的風險要提醒管理層加以考慮。
(三)風險審計有利于對風險的反應和控制。在風險反應活動中,商業銀行要根據不同的風險決定要采取的策略和方法,決定是避免風險、接受風險、還是降低風險。如對有相對的風險回報的風險,商業銀行可以考慮接受,但要采取控制措施,才能將風險降低到可以接受的水平,獲得希望的回報。對于這部分風險,商業銀行會采取減少風險、轉移風險或分擔風險的辦法以降低商業銀行承受的風險。風險審計人員的主要工作在于分析、評價風險回報的合理性、減少風險的措施的有效性、以及接受風險轉移和風險分擔的那一方的風險。
(四)風險審計有利于對風險信息溝通和風險管理系統的監控。在風險信息溝通活動中,商業銀行的風險管理要將風險及時有效地傳遞給內部相關人員,以便及時采取相應的控制措施。風險審計人員可以通過評價報告系統證明風險信息被準確、及時地傳遞到相關人員,內部審計報告可以向董事會和審計委員會傳遞風險是否得到有效管理的信息。在監控活動中,商業銀行要對風險管理進行持續監控,通過對內部控制系統的運行的監控和對定期檢查結果及意外事項的處理結果的評價,保證商業銀行對風險管理是一直有效的。風險審計人員可以通過分析環境和風險變化,檢查內部控制系統是否已更新,是否能控制新的風險。還可以通過后續審計管理層對審計中發現的問題及對意外事項的處理情況,檢查新的控制措施是否有效,將分析結果和建議提供給管理層以便改進控制措施。
風險審計在捕國商業銀行規劃與存在問題
(一)風險基礎審計的法制化、制度化規范化建設的道路還很漫長。一是商業銀行內部制度調整工作量大,相關業務制度和操作流程也要進行相應調整;二是支持系統建設難度大,因長期需要具備相應功能的電子化系統作支持,要求商業銀行改進現有業務系統,并開發建設風險評估系統,風險評估系統的建設包括業務流程、歷史數據收集、參數選擇等需要大量投資和時間準備。三是短期內風險審計人員素質難以提高。風險審計人員需要精通包括審計、會計財務、法律、邏輯學、信息學、系統論、管理學等專業知識,懂得運用經濟、數理、計算機等專用分析手段來預知和減少風險,每位風險審計人員達到運用自如的水準尚需時日。
(二)審計證據的較高要求增加風險審計取證的難度風險基礎審計必須獲取充足的、可靠的相關的證據以判斷,而目前我國商業銀行風險基礎審計缺少可供遵循的標準和程序,且審計取證的渠道和方式多樣,因此,審計人員一般都需要提高調查樣本代表性和增大調查樣本的方法,以增強對總體風險推斷的準確性。
(三)風險審計技術手段落后,難以適應工作需要。計算機會計信息系統、信貸管理系統的廣泛應用和發展,大大增強了審計的及時性,事后審計;逐步被實時審計所代替,這與針對經營全過程的風險基礎審計不謀而合。在我國,商業銀行審計人員大多數對計算機輔助審計不太熟悉,許多還停留在傳統手工查賬的基礎上,在新技術面前還有些無所適從.審計手段落后,不但增加了審計難度,而且效率低、準確差,嚴重影響了審計作用的發揮,無法滿足商業銀行風險基礎審計工作的需要
(四)協調配臺欠缺,降低了審計結果的運用日常審計中很少利用紀檢、人事及其他部門掌握的信息,審計結束后,除個別項目外一般也不與這些部門交換,致使審計成果在干部考核、任用、獎懲等方面沒有發揮應有的作用,相應削弱了審計的威懾力。
我國商業銀行發展和完善風險審計的對策
(一)正確認識風險基礎審計在銀行公司治理結構的重要作用,為風險審計的發展刨造良好的環境商業銀行公司治理的核心問題是委托人(股東、投資者、管理者)如何激勵和約束人(經理層)、積極有效地完成受托經營管理責任,以確保股東或投資者財富最大化。顯然僅僅通過財務審計,委托人難以全面了解人是否有效履行其受托責任,而風險基礎審計有利于減少信息不對稱性,較為全面地提供委托人所需要的有關經營管理活動方面信息,大大遏制了“道德風險”的發生,增強了經營管理的透明度,從而達到控制和抑制“內部人控制”的目的,同時,通過風險審計可以有效地判斷人的業績和能力,評價人對受托人責任履行情況,促進人提高經營管理效率因此,風險審計是商業銀行公司治理結構的重要組成部分,是完善公司治理結構的“四大基石”之一。
(二)抓緊制定風瞼基蒯{計;,立則盡快完善評價標:停體系要吸收借鑒美國、英國、典等發達國家的先進經驗,抓緊研究制定我國的風險基礎審計準則,這是開展風險審計的當務之急。風險基礎審計準則的制定要遵循“銜接”、“配套”、“務實”的原則,注意解決好前瞻與現實的矛盾,接軌與國情的矛盾。逐步探索和完善風險審計的評價標準體系,量化評價指標,為不同項目之間的比較提供依據
(三)認真搞好風險基礎審計研究,探索先進審計技術方法。先進的審計技術和方法,是提高審計效率和質量的重要保證要通過傳統方法與現代信息技術的結合,加大風險審計技術的研究力度,特別要注重探索完善審計抽樣、內控測評、風險評估等方面的方法和技術產。在風險審計的方法和技術的研究中,要實行科研人員與實務人員、科研與調研、審計人員與項目工程人員相結合的辦法開展,以增強實用性、指導性和前瞧性。
【 關鍵詞 】 物聯網系統;安全檢測;風險評估;安全檢查
【 中圖分類號 】 TN918
Research on Security Test and Check Method of IoT System
Li Hai-tao Li Cheng-yuan Fan Hong
(The First Research Institute of the Ministry of Public Security Beijing 100048)
【 Abstract 】 With the wide application on the internet of things (IoTs) technology, the IoT systems are confronted with various security threats. There are eager demands on Security test and check of IoT System. In this paper, we have researched on Security test and check method of IoT System from system security test, risk assessment and integration security management.
【 Keywords 】 internet of things system; security test; risk assessment; security check
1 引言
目前在全球市場的數據統計分析上看,物聯網成為未來10年發展迅猛的行業。據美國市場研究公司Forester預測,到2020年,世界上“物物互連”的應用業務,跟人與人之間通信的業務相比,前者是后者的30倍,僅在智能電網和機場入侵檢測系統方面的市場就有上千億美元。因此“物聯網”必將成為下一個萬億美元級的信息技術產業。
從經濟發展角度看,各國齊頭并進,相繼推出物聯網區域戰略規劃。當前,世界各國的物聯網基本都處于技術研究與試驗階段,美、日、韓、歐盟等都正投入巨資深入研究探索物聯網關鍵技術。
物聯網是互聯網在現實世界的延伸。隨著應用的不斷擴展,物聯網一旦發生安全問題,極有可能在現實世界造成電力中斷、金融癱瘓、社會混亂等嚴重危害公共安全的事件,甚至將危及國家安全。由于物聯網感知節點和傳輸設備具有能量低、計算能力差、運行環境惡劣、通信協議龐雜等特點,使得傳統安全技術無法直接應用于物聯網,由此引發眾物聯網特有的安全問題。
物聯網安全問題如果得不到有效解決,將嚴重阻礙物聯網產業發展。目前物聯網安全技術和安全狀況缺乏有效的檢測和評價手段,已有的物聯網應用急需對其安全性能的檢測和技術支持。所以,對物聯網安全檢測與檢查方法的研究是解決物聯網安全問題必不可少的關鍵工作。
2 物聯網系統面臨的安全威脅
從安全測評的角度來看,物聯網系統的結構可以分為三層,即智能感知層、接入傳輸層和業務應用層。物聯網面臨的安全威脅也來自這三個層次。
由于網絡環境的不確定性,感知節點面臨著多方面的威脅,感知節點本身就是用于監測和控制各種感知設備。節點對各種檢測對象進行監測,從而提供感知設備傳輸的數據信息來監控網絡系統的運行情況。這些智能傳感器節點是暴露在攻擊者面前的,最容易被攻擊。因此,與傳統的IP網絡比較,所有的監控措施、安全防范策略不僅面臨著更復雜的網絡環境,而且還有更高的實時性要求。物聯網系統面臨的主要威脅有幾個方面。
(1)安全隱私 射頻識別技術被廣泛用于物聯網系統中,RFID標簽可能被嵌入到任何物體中,例如人們的生活和生產用品。但是這些物品的擁有者不一定能夠了解相關情況,會導致該對象的擁有者被隨意地掃描、定位和追蹤。
(2)偽造攻擊 與傳統IP網絡相比,傳感設備和電子標簽都是在攻擊者面前的。與此同時,接入傳輸網絡中有一部分是無線網絡,竄擾問題在傳感網絡和無線網絡中是普遍存在的,而無線安全研究方面也顯得非常棘手。因此,在網絡中這些方面面臨的偽造節點攻擊很大程度上威脅著傳感器節點的安全,從而影響整個物聯網安全。
(3)惡意代碼攻擊 惡意代碼在接入傳輸層和傳感層中都可以找到很多可以攻擊的突破口。對攻擊者而言只要進入到網絡,通過傳輸網絡進行病毒傳播就變得輕車熟路,而且具有較強的隱蔽性,這一點與有線網絡相比就更加難以防御。例如類似蠕蟲這樣的惡意代碼,本身又不需要寄生文件,在這種環境中檢測發現和清除惡意代碼的難度是非常大的。
(4)拒絕服務攻擊 這種被熟悉的攻擊方式,一般發生在感知層與接入傳輸層銜接位置的概率是非常大的。由于物聯網中感知節點數量龐大,而且多數是以集群的方式存在,因此信息在網絡中傳輸時,海量的感知節點信息傳遞轉發請求會導致網絡擁塞,產生拒絕服務攻擊的效果。
(5)信息安全 感知節點一般都具有功能單一、信息處理能力低的特點。因此,感知節點不可能具有高強度的安全防范措施。同時因為感知層節點的多樣化,采集的數據、傳輸的信息也就不會有統一的格式,所以提供統一的安全防范策略和安全體系架構是很難做到的。
(6)接入傳輸層和業務應用層的安全隱患 在物聯網系統的接入傳輸層和業務應用層除了面臨傳統有線網絡的所有安全威脅的同時,還因為物聯網在感知層所采集數據格式的不統一,來自不同類型感知節點的數據信息是無法想象的、并且是多源異構數據,所以接入層和業務應用層的安全問題也就更加繁雜。
通過對各行業物聯網建設方面的調查發現,當前已有的物聯網應用對其安全性能的檢測和技術支持需求十分迫切,例如移動系統與行業網的接入安全性評估和檢測、社會公共安全的視頻采集系統的接入安全檢測、基于RFID和車牌識別的智能車輛管控系統安全性評估等檢測業務都是亟待解決的問題。由此看出,物聯網安全檢測和檢查方法研究需求迫切。
為了把物聯網系統安全風險降到最低,應該做到系統建設與檢測檢查同步進行,且檢測檢查過程中要技術與管理并重。本文將從物聯網系統安全檢測、物聯網系統風險評估和物聯網集成化安全管理三個方面進行檢測、檢查的方法研究。
3 物聯網系統安全檢測
安全檢測是以系統檢測方式對物聯網系統三層架構的各個層面進行安全符合性和有效性檢測。
(1)智能感知層應該對訪問控制策略配置、身份認證策略配置、數據完整性保護策略配置、數據保密性保護策略配置、感知節點抗攻擊性、安全審計策略配置和物理安全進行符合性測試。
(2)接入傳輸層檢測應該對AKA機制的一致性或兼容性、跨域認證和跨網絡認證、視頻傳輸協議轉換前后的安全性;傳統認證和數據交換安全、無線認證網關安全、無線傳輸協議、身份認證安全等進行符合性和有效性檢測。
(3)業務應用層應該對數據庫安全、應用系統和網站安全、應用系統穩定性、業務連續性以及應用模擬等進行符合性和有效性檢測。
下面從物聯網系統檢測規則和檢測工具兩個方面研究物聯網系統安全檢測方法。
物聯網系統檢測規則由三個部分組成分別是智能感知層規則、接入傳輸層規則和業務應用層規則。
(1)智能感知層規則主要包括訪問控制、身份認證、數據完整性保護、數據保密性保護、抗攻擊、安全審計以及物理安全等安全規則。
(2)接入傳輸層規則包括數字接入系統中接入業務可管理性、可控性、信息保密性、完整性和可用性的規則要求,視頻接入系統實現外部視頻資源單向傳輸至內網,視頻控制信令和數據的會話終止于應用服務區,包含對視頻信令格式進行檢查及內容過濾、合法的協議和數據通過、視頻數據和視頻控制信令安全傳輸等方面的規則,無線接入系統接入內網,需要與內網的各種信息系統交互信息,包含敏感信息、數據完整性保護、數據保密性保護、抗攻擊、安全審計以及物理安全等方面的規則。
(3)業務應用層規則一般包括訪問控制、用戶身份鑒別、資源控制、安全漏洞、安全審計以及數據備份等安全規則。
檢測工具是包含物聯網系統安全檢測中所有測試工具、測試樣本數據的集合。檢測工具根據其應用范圍可以劃分為三類。
(1)智能感知層檢測工具:主要包括對感知操作安全項目進行檢測所用到的軟硬件工具和測試樣本數據;感知數據處理安全檢測工具包括對感知數據處理安全項目進行檢測所用到的工具;感知數據存儲安全檢測工具主要包括感知數據存儲安全項目進行檢測所用到的工具和測試樣本數據;感知節點設備安全檢測工具主要包括漏洞掃描工具、自動化攻擊工具以及自身所建立的漏洞補丁知識庫,根據被測設備的操作系統、功能組件,查詢漏洞補丁知識庫,可以發現漏洞掃描類工具無法直接探測的隱藏漏洞。
(2)接入傳輸層檢測工具:主要包括脆弱性掃描與管理工具、網絡協議分析工具、主機配置檢測工具、網絡邊界檢測工具等。
(3)業務應用層檢測工具:主要包括Web應用系統及網站安全檢測工具、數據庫脆弱性檢測工具和網絡終端安全檢測工具等。
4 物聯網系統風險評估
物聯網系統風險評估主要針對物聯網智能感知層、接入傳輸層和業務應用層中所包含的各個組成部分。開展物聯網系統風險評估工作,需要構建物聯網系統風險評估平臺,對物聯網可能遭受到的威脅和脆弱性進行安全分析,然后根據安全事件的可能性以及安全事件造成的損失計算出風險值、對安全事件進行風險等級定級,最后結合安全事件所涉及的資產價值來判斷安全事件一旦發生對物聯網系統造成的影響。
下面從物聯網系統風險評估知識庫和風險評估工具兩方面來研究物聯網系統風險評估方法。
風險評估知識庫應該包含威脅庫、脆弱性庫、風險分析方法和評估案例等。物聯網系統風險評估服務威脅庫包括智能感知層威脅庫、接入傳輸層威脅庫和業務應用層威脅庫:智能感知層威脅有RFID安全隱私、RFID標簽復制、傳感網安全路由、感知節點逐跳加密安全等;接入傳輸層威脅有海量數據融合信息竊取、海量數據傳輸安全、三網融合面臨的新威脅等;業務應用層威脅有位置信息泄露、數據融合后機密信息泄露、應用系統漏洞等。脆弱性庫,脆弱性識別時的數據應來自于資產的所有者、使用者,以及相關業務領域和軟硬件方面的專業人員等。風險分析方法主要包括系統層次分析方法、基于概率論和數理統計的方法、模糊數學方法,這些方法或是在識別風險的基礎上,進一步分析已識別風險,提高風險結果可信度,或是融入風險評估過程中,使評估過程更科學、更合理。
如果物聯網系統風險評估案例庫建立實際風險評估案例,能夠給出風險分析方法、風險分析過程。系統整體風險評估結果就能一目了然,也為物聯網系統風險評估工作提供參考案例。
根據在風險評估過程中的主要任務和作用原理的不同,風險評估工具可以分成風險評估與管理工具、系統基礎平臺風險評估工具和風險評估輔助工具三類。
(1)風險評估與管理工具應該是一套集成風險評估各類知識和判定依據的管理信息系統,以規范風險評估的過程和操作方法,或者用于收集評估所需要的數據和資料,基于專家總結的經驗,對輸人輸出進行自動化的模型分析。
(2)系統基礎平臺風險評估工具主要用于對信息系統的主要部件(如操作系統、數據庫系統、網絡設備等)的脆弱性進行分析,或實施基于脆弱性的攻擊。
(3)風險評估輔助工具則實現對數據的采集、現狀分析和趨勢分析等單項功能,為風險評估各要素的賦值、定級提供依據。
5 物聯網集成化安全管理檢查
目前監管體系對不同的物聯網系統的防護管理要求存在沒有差異和缺乏針對性等問題。因此,物聯網集成化安全管理勢在必行。根據物聯網的技術特點,針對物聯網面臨的安全威脅,應該構建和完善物聯網的監管體系,從防范阻止、檢測發現、應急處置、審計追查和集中管控五個方面,對物聯網系統感知層、接入傳輸層和業務應用層進行安全防護管理。
(1)防范阻止主要指物聯網系統應該具有安全防護和阻止信息安全威脅影響的措施,從而有效防范本文中提到的安全威脅。從物聯網的體系結構而言,物聯網除了面對TCP/IP網絡、無線網絡和移動通信網絡等傳統網絡安全問題之外,還存在著大量自身的特殊安全問題。因此數據完整性和保密性保護、身份認證、訪問控制、安全審計等方面的安全措施必不可少。
(2)檢測發現主要是指物聯網系統應該能夠檢測發現物聯網系統存在安全隱患,其中包括感知層檢測、接入傳輸層檢測和業務應用層檢測,在感知層應能檢測發現感知設備偽造攻擊。由于感知設備是“”在攻擊者面前的,那么攻擊者就可以輕易地接觸到這些設備,從而對它們造成破壞,甚至通過本地操作更換機器的軟硬件。接入傳輸層應包括邊界接入系統、視頻接入系統和無線接入系統三類接入傳輸系統的安全管理要求。業務應用層應能檢測發現業務應用中的安全隱患,因為TCP/IP網絡的所有安全隱患都同樣適用于物聯網。同時應能針對物聯網感知層、接入傳輸層、業務應用層三個層次進行風險威脅分析,形成反映物聯網系統安全態勢的總體視圖。因為安全系統從隱患到影響是一個態勢變化的過程,因此對物聯網系統態勢的分析與威脅防范同樣重要。
(3)應急處置主要是指應該能夠具有高效指導系統維護人員開展應急處置工作的措施,應制定物聯網信息安全應急預案,并結合實際工作情況,對物聯網信息安全應急預案做出相應修訂。應明確現場總指揮、副總指揮、應急指揮中心以及各應急行動小組在應急救援整個過程中所擔負的職責。應明確完成應急救援任務應該包含的所有應急程序,以及對各應急程序能否安全可靠地完成對應的某項應急救援任務進行確認。應急預案應具備實用性、可操作性、完整性和可讀性的特點。
(4)審計追查主要是指應該能夠為安全管理人員提供物聯網系統安全事件倒查的措施,包括日志采集、查詢、分析和追查。其中采集應能對分布在感知層、接入傳輸層和業務應用層各個部分的用戶和管理員操作日志進行采集。查詢應能對物聯網信息系統日志進行查詢,包括常規查詢、條件查詢和權限控制查詢。分析應能根據統計需求,對物聯網信息系統日志進行統計分析。追查應能根據追查安全事件需求,為安全管理人員提供安全事(案)件的倒查手段。
(5)集中管控主要是指應該能夠為物聯網系統自身安全管理和控制提供技術手段。它們包括集中監控、策略管理、運行監控、異常和用戶監控,其中集中監控應能通過監控中心對物聯網系統進行集中管控,包括系統安全管理和監控。策略管理應能對感知層、接入傳輸層和業務應用層的安全策略進行集中管理,支持管理感知節點的備份與恢復。運行管控應能對感知層終端運行情況進行監控,對物聯網系統運行情況進行監控。異常和用戶監控應能對業務應用層異常進行監控,能對系統用戶的操作進行監控。
6 結束語
隨著物聯網產業的迅猛發展,信息安全問題也面臨著新的挑戰,所以安全作為物聯網領域的核心問題,沒有完善的安全保護和測評措施,物聯網就無法被廣泛地應用,這就會對物聯網優勢的發揮產生嚴重的影響。
本文在分析了物聯網系統面臨安全威脅的基礎上。根據物聯網技術特點,針對面臨的安全威脅,從物聯網系統安全檢測、物聯網系統風險評估和物聯網集成化安全管理三個方面進行檢測和檢查的研究。從而進一步明確在物聯網的建設中,物聯網應用不僅要投入巨資深入研究系統構建技術,還需要做到安全保障與物聯網建設齊頭并進,避免先應用后安全的被動局面,增強物聯網主動保障能力,提高物聯網安全檢測能力,擴大安全檢測和檢查應用范圍,為推進我國物聯網安全檢測標準化進程提供保障,使得物聯網安全檢測工作更加專業化、規范化和常態化。
參考文獻
[1] 丁超, 楊立君, 吳蒙. IoT/CPS的安全體系結構及關鍵技術.中興通訊技術,2011,01(17).
[2] 李向軍.物聯網安全及解決措施.農業網絡信息,2010,12.
[3] 戴鐵君.物聯網安全問題與其解決措施.科技風, 2011,02.
[4] 汪金鵬,胡國華.物聯網安全性能分析與應用.科技信息, 2010,33.
[5] 姚遠.基于中間件的物聯網安全模型.電腦知識與技術, 2011,01(07).
[6] 肖毅.物聯網安全管理技術研究.通信技術. 2011, 01(44).
[7] 蒲石,陳周國祝世雄.震網病毒分析與防范[J].信息網絡安全,2012,(02):40-43.
[8] 武鴻浩.CUDA并行計算技術在情報信息研判中的應用[J].信息網絡安全,2012,(02):58-59.
[9] 王勇.隨機函數及其在密碼學中的應用研究[J].信息網絡安全,2012,(03):17-18.
[10] 丁麗萍.Android 操作系統的安全性分析[J].信息網絡安全,2012,(03):23-26.
一、房地產企業進行內部控制必要性
(一)內部控制是單位為了保證實現經營管理目標
內部控制是現代企業加強管理,提高經營效率,實現經營方針和目標的有效工具和手段,房地產企業受外部環境影響較大,有效的內部控制能夠抵御風險。另外消費者對開發品質要求越來越高,項目成本不斷上升。只有加強和規范企業內部控制,才能促進企業可持續發展,實現企業利潤最大化的經營管理目標的實現。
(二)內部控制是加強宏觀調控對房地產經營的要求
企業的資金、人員、市場等發展到了一定的規模,使得企業的機構設置、財務管理水平和人力資源的配備等方面需要進一步的發展,以適應企業發展的需要。土地是房地產企業的重要組成部分,屬于國家所有,受國家宏觀調控影響大,通過經濟杠桿、價值規律引導房地產企業達到供需平衡。從宏觀上從嚴管理企業,實現管理創新,使傳統的管理模式向現代企業管理過渡,加強內部控制制度是建立現代企業制度的內在要求。內部控制是企業進行內部管理的需要,是現代企業最重要、最關鍵、最基本的一項管理方式,也是加強宏觀調控對房地產經營內部控制制度的內在要求。
(三)內部控制制度可以完善房地產企業的經營管理體制
建立一整套完整的崗位責任制度、報告制度、內部審計與電子監控制度等各種規章制度,能夠增強控制能力,加強內部控制,提高經營管理水平和企業素質。同時,也可以監督各種經濟活動嚴格按照計劃的要求進行,做到緊密銜接,協調、均衡地發展,保證各項計劃的完成和經營目標的實現。可以加強經濟核算,改進理財方法,加強資金有效地運用,可以杜絕經營管理中的各種漏洞,治理已經發生的錯誤與弊端,預防潛在弊病的發生,減少和避免各種不必要的財產損失。
二、完善房地產企業內部控制的相關原則
(一)合法性原則
內部控制的合法性應當貫穿決策、執行和監督全過程,房地產企業必須以國家有關的法律法規為準繩,在國家的法律許可范圍內,必須符合國家有關法律、法規和公司章程的規定,包括《公司法》、《會計法》、《勞動法》等等。房地產企業的相關制度的制定必須限制在法律法規的框架內。堅持合法性原則應該是系統建立的前提條件,在合法的基礎上提高其有效性。對加強和規范企業內部控制,提高企業經營管理水平和風險防范能力。
(二)全面性原則
內部控制是一個系統,其內容涉及單位的各個部門、生產經營的各個環節。系統全面原則要求,在符合內部會計控制要素要求的前提下,業務流程的設計必須能夠覆蓋企業經營管理的各個環節,并將業務流程中的關鍵控制點落實到決策、執行、監督等各環節,不得留有制度上的空白或遺漏。內部會計控制應貫穿于企業經營活動的各個方面,實現對整體經營管理活動的控制,關注重要業務事項和高風險領域。
(三)適應性原則
內部控制應當與企業經營規模、業務范圍、競爭狀況和風險水平等相適應,并隨著情況的變化及時加以調整。內部會計控制系統的制定應當具有前瞻性,并與房地產企業的外部環境和內部管理的需要相適應,應隨著企業經營戰略、經營方針及內部管理需求等內部環境的改變進行適時的調整與完善。這是內部會計控制系統有效性的基本保證。權衡實施成本與預期效益,以適當的成本實現有效控制。
(四)制衡性原則
內部控制應當在治理結構、機構設置及權責分配、業務流程等方面形成相互制約、相互監督,同時兼顧運營效率。內部會計控制的核心是有效防范各種風險。由于房地產企業經營的特點,為了使各種風險控制在許可的范圍內,建立內部會計控制必須以審慎經營、化解風險為出發點。要充分考慮企業經營和業務各環節可能存在的風險,并設立適當的操作程序和控制步驟來避免和減少風險。
三、房地產開發企業內部控制的現狀及問題
(一)公司治理結構不夠完善
當前,國內各房地產開發企業的公司治理結構基本上都存在著不合理的問題,這也是其他行業共同存在的問題。從目前來看,在已經上市的房地產企業中,控股股東的持股比例過大,中小股東的權益得不到相應保障的問題比較突出。而股權的過度集中會使大股東占有表決權的絕對優勢,其往往可以通過控制董事會來達到中飽私囊的目的,從而給中小股東的利益帶來較大的損害。
(二)資金管理存在較多漏洞
貨幣資金作為企業變現能力最強的資產,其可以用來滿足企業生產經營中流動支付的需要,而且也是企業還本付息和依法納稅的重要保障。但是,目前房地產開發企業在資金管理中普遍存在的問題是:一方面,項目開發需要大量的資金予以支持,而這部分資金多數情況下需通過銀行貸款來解決,資金成本較高;另一方面,各項目資金沉淀嚴重,大量資金無法有效利用,資金使用效益欠佳。此外,某些項目在其內部資金的管理上也存在著一定的問題,項目經理在此過程中的權力較大,高度的資金使用自由性會大大增加財務舞弊事件發生的幾率。
(三)收入核算不夠合理
房地產商品銷售往往采用預售、分期收款銷售等多種銷售方式,房地產收入的確認同其它的生產收入相比具有一定特殊性。《企業會計制度》和《企業會計準則――收入》中規定以風險和報酬的實質轉移作為收入確認的標準,理論上具有合理性,但要求會計人員具有較高的職業判斷能力。在會計實務中如何運用這一標準則比較混亂,核心問題于應在哪一環節確認為收入,其分歧的焦點集中在商品房所有權上的重要風險和報酬是否已經轉移。
(四)工程項目管理存在風險
我國房地產企業適應招投標制度推行項目管理已有30余年,經過不斷改進已漸趨成熟,但在房地產企業項目管理仍然普遍存在投標階段與實施階段相脫節的種種問題,突出表現在投標與工程項目管理結合不好、專業人員綜合素質不高等方面。需要在人才隊伍建設、改革內部獎懲機制、建立企業定額等方面進行改進和完善,不斷提高企業自身的項目管理水平,以期更好地適應建設領域的制度改進,在市場經濟的競爭環境中獲取更好的經濟效益。
(五)審計監督基本流于形式
當前,各房地產開發企業雖然大多數已在其公司內部建立起內部審計機構,但該機構的人員或管理職能基本上與財務部門存在著較大的重疊現象,財務人員兼職內審人員,財務部門的領導兼職內審部門領導的現象時有發生,且對于某些中小型房地產開發企業而言更是如此。而在外部監督方面,雖然目前我國已經形成了包括政府監督和社會監督在內的企業外部監督體系,但其監督效果卻不盡人意,各種監督功能交叉,標準不一,管理分散,再加之監督主體之間缺乏橫向的信息溝通,其監督體系難以形成有效的合力,甚至在很多情況下基本上流于形式。
四、房地產開發企業內部控制的完善策略
(一)積極優化公司治理結構
針對于房地產開發企業股權過度集中的問題,各企業應從實際出發,通過引進獨立董事制度來健全董事會和監事會的職能,積極避免大股東在企業決策中損害中小股東利益或者舞弊事件的發生。另一方面,隨著房地產企業開發版圖的急劇擴大,許多企業的經營范圍已拓展至全國,呈現出集團化的發展趨勢,因此企業的管理模式也由集團直接管理逐步轉變為區域多元化管理。為此,進一步建立與完善業務授權制度也將成為今后內部控制體系建設的重點之一。
(二)建立資金結算中心
針對房地產企業資金管理存在較多漏洞,有效的解決方式就是構建企業內部的資金結算中心。在資金結算中心結構下,房地產企業下屬各成員單位的資金收支均需通過該中心予以解決,為此各單位需在中心內開設收入戶和支出戶,實施收支兩條線管理。若某單位的本月資金支出超出月預算,則需通過追加預算予以補充,因此從這一點上看企業資金控制力將大大增強。
(三)強化會計核算系統控制
會計控制是企業內部控制的核心內容,有效的會計系統可保障企業會計信息的真實性、完整性、可靠性,進而為企業的財務運作、經營決策和管理目標的實現提供客觀、及時、準確的決策分析依據。對房地產企業而言,一個有效的會計系統除了能夠對經濟業務進行真實記錄、科學分類、及時合理的表達經濟業務和披露相關事項外,還應重新定位會計的戰略著眼點以及價值最大化目標,從而將管理的職能更多融入至會計系統。
(四)適時引入風險評估機制
從目前來看,房地產企業為了充分規避風險,減少經營不確定性所帶來的損失,應適時引入風險評估機制。例如,可通過SWOT分析法來改善企業自身的內部控制。SWOT分析法不僅可用于企業的戰略目標管理,還可用于對企業內部控制系統的評估,分析內部控制環境的變化可能對企業產生的各種影響,并據此制定具有針對性的措施。
(五)加速推進企業績效審計
現代內部審計已從過去單純的財務審計逐步向經營審計傾斜,除關注財務數據的準確完整外,更側重企業資產的安全性、政策法規的遵循性、經營與目標的一致性等方面的內控審計。內部審計在向股東和董事會提供全面翔實的資料、評價企業經營活動過程中的績效、評估內部控制效果及對舞弊跡象發出預警等方面所發揮的作用,已越來越受到人們的重視。通過內部審計,客觀地評價經營者履行經濟責任實現經營目標情況。
五、結論
通過上述分析我們看到,目前房地產企業的內部控制還存在很多漏洞,建立健全的房地產企業內部控制體系,不僅僅是企業發展的需要,更是市場經濟的發展需要。只有不斷思考尋求新思路,從根本上保證企業持續穩定發展,有效監督房地產內部治理,確保資本市場有效進行,才能使房地產行業在國民經濟中發揮更加有效的作用。
參考文獻:
內部控制的發展及其存在問題
內部控制源于西方發達的經濟體,尤其以美國COSO全國虛假財務報告委員會(The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting)為代表,先后經歷“內部牽制”“內部控制制度”“內部控制結構”“內部控制整合框架”和“企業風險管理整合框架”五個階段,內部控制的內容從內部牽制設計一個要素到會計控制、管理控制的兩個要素,到增加內部環境的三要素,到內部環境、風險評估、控制活動、信息與溝通、內部監督第五元素,再到內部環境、目標設定、事件識別、風險評估、風險應對、控制活動、信息與溝通、內部監督的八要素逐步地增加和完善;控制目標也從提高經營效果和效率、財務報告可靠性和法律法規的遵循性的三個目標發展到合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整,提高經營效果和效率,促進企業實現發展戰略的五個目標。在目標設定中增加了“戰略目標”,使企業在追求短期利益的同時,從戰略高度關注企業長遠目標和可持續發展,可以說內部控制是一個很好的管理工具,是很多專家學者和企業管理者管理實踐的經驗總結,是對現代企業管理理論的實踐性總結和重要補充。
現代企業管理制度主要指以市場經濟為基礎、以完善的企業法人制度為主體、以有限責任制度為核心、以公司企業為主要形式、以產權清晰、權責明確、政企分開、管理科學為條件的新型企業制度,而在實踐中缺乏相應的指導內容,內部控制很好地解決了這個問題。
當前我國企業也十分重視應用內部控制來加強內部管理,與西方發達國家相比,我國在內部控制理論研究上起步較晚,大多數企業在內部控制應用方面主要以我國有關部門頒發的制度為依據,同時借鑒國外企業的成功經驗。我國的內部控制從2005年開始境外上市企業按照COSO規范要求建立內部控制體系,到2008年財政部、證監會、審計署、銀監會、保監會五部委聯合《企業內部控制基本規范》,2010年三個配套指引《企業內部控制應用指引》《企業內部控制評價指引》和《企業內部控制審計指引》的頒布,再到2011年A+H股的上市企業實施內部控制、境內上市公司試點和自愿試點企業的內控試點,到2012年所有主板上市企業的全面展開,走過了7年時間。在政府的創新和指導下,不少企業在內部控制應用方面表面上搞得轟轟烈烈,但是真正取得較好成效的卻不多,沒有達到應有的效果。由于歷史與發展的原因,我國市場經濟還不發達,市場體制尚不完善,從整體來看,企業體制多樣化,治理結構不合理,企業在內部控制應用方面基本都存在控制環境不良、控制手段傳統、控制目標單一、執行力不夠、關注戰略目標不夠、沒有和現代企業管理制度相結合等問題,因此,如何建立支撐企業戰略目標、符合現代企業管理制度的內部控制具有現實意義。
建立符合現代企業管理制度的內控體系
強化法人治理結構,建立符合現代企業制度的內控環境
法人治理結構是公司中的核心問題,而公司法人治理結構的核心是通過配置公司的權力,建立有效的監督和激勵機制,以保護公司股東的權益,實現公司利益最大化。建立股東(大)會、董事會、監事(會)和經理層的決策、執行和監督的機制,從根本上處理好投資者、管理層和監督者的關系,處理好制度與人的關系。股東(大)會是公司的最高決策機構,按照國家相關法律法規、行業和地方相關法規和公司章程規定,對公司章程規定的重大事項必須提交股東(大)會討論;董事會執行股東(大)會的決議并在公司章程規定的權限下進行管理活動;監事(會)對董事會和企業管理者的管理活動進行監督,發揮戰略委員會、審計委員會、薪酬提名委員會等專業委員會對董事會的支撐作用;建立企業“董監高”和獨立董事的職責權限、任職資格、議事規則和工作程序,并按照規范要求定期組織相關會議,保持好相關記錄并按照信息披露的要求進行披露。企業的重大決策、重大事項、重要人事任免及大額資金支付業務等,應當按照規定的權限和程序實行集體決策審批或者聯簽制度,任何個人不得單獨進行決策或者擅自改變集體決策意見。
對公司的戰略進行研究,制訂企業的中長期和短期
戰略目標并對目標進行分解
企業戰略管理是企業管理科學中的一個重要范疇,它能夠給企業發展指明方向,促進企業朝著正確的方向邁步,保證企業近期和長遠的持續發展。為了保證戰略目標的實現,企業要加強戰略管理,做好從戰略分析、規劃、實施到決策變為現實的戰略過程,對國家宏觀政策、行業進行研究,對市場和競爭對手進行必要調查,對存在的機會和風險進行識別,發揮自己的優勢,做和自己能力資源相匹配的業務,設計好的商業盈利模式。企業應該對自己的中長期戰略和短期戰略進行研究,并提出相應的目標和實施路線圖,并把戰略目標分解到相應的組織和人,落實資源和計劃,對關鍵目標和節點進行重要控制,并根據執行情況進行必要的調整,在企業經營管理中進行動態的戰略管理。一般企業都缺乏戰略管理人才和相應的行業研究,因此建議請專業的咨詢公司定期對公司的戰略進行必要的設計或者戰略梳理。
在戰略框架下設計企業的組織架構,并對管理職責
重新進行梳理
為了促進企業實現發展戰略,優化管理體制和運行機制,按照組織設計原則和內控規范要求對現有組織進行設計和梳理,明確各部門的職責,區分核心職責和輔助職責,并對核心職責對應的業務進行必要的設計,明確各部門的管理界限和接口。面對重大組織調整,最好進行必要的試運行或者設計過度組織結構,并對組織運行過程和結果進行分析并做必要的調整,在組織正式運行后一般要保持組織的相對穩定。
很多企業在經過多年發展后,由單體公司向集團化邁進,企業的組織也要進行相應的變革。按照集團化管理的要求,要明確集團和子公司的定位和職責要求,整合資源,對子公司管控進行必要設計,尤其關注子公司的投資管控制度,通過合法有效的形式履行出資人職責、維護出資人權益,重點關注子公司特別是異地、境外子公司的發展戰略、年度財務預決算、重大投融資、重大擔保、大額資金使用、主要資產處置、重要人事任免等重要事項,并建立相應管理制度。
建立戰略指導下的薪酬和績效考核等人力資源制度
人力資源管理是一門科學,它具有價值有效性、稀缺性和難以模仿性,是企業構建競爭優勢的核心資源。企業如何在激烈的市場競爭中,以人力資源作為核心構建自己的競爭優勢,是企業管理的基礎,企業高層必須重視。內部控制下的人力資源管理內容分為人力資源的引進與開發、人力資源的使用與退出兩部分內容。在企業管理實踐中,企業要按照組織和管理職責的分配,進行必要的崗位分析,對崗位職責進行設計,編寫崗位說明書;對崗位的工作任務進行分析,進行定崗定編;對崗位進行分析評價,建立具有激勵性的薪酬制度和績效考核辦法;把戰略目標、年度目標和經營計劃關聯,把公司目標和管理活動結合起來,并逐層分解;在建立績效考核制度的同時加強對員工的培訓、職業生涯規劃和長效激勵機制的建設,保證公司的戰略目標實現,同時兼顧員工的利益,讓員工也分享企業發展帶來的實惠。
按照內部控制要求建立企業文化和社會責任相關制度
作為社會公眾公司,企業應履行社會責任,實現企業與社會的協調發展。內部控制要求企業的社會責任主要包括安全生產、產品質量、環境保護、資源節約、促進就業、員工權益保護等,要求企業做到經濟效益與社會效益、短期利益與長遠利益、自身發展與社會發展相互協調,實現企業與員工、企業與社會、企業與環境的健康和諧發展。企業文化是企業在社會主義市場經濟的實踐中,逐步形成為全體員工所認同、遵守、帶有本企業特色的價值觀念、經營準則、經營作風、企業精神、道德規范、發展目標的總和。內部控制要求企業進行文化建設并對文化建設進行評估,董事、監事、經理和其他高級管理人員應當在企業文化建設中發揮主導和示范作用,以自身的優秀品格和腳踏實地的工作作風帶動影響整個團隊,共同營造積極向上的企業文化環境。
對企業的核心業務進行梳理和設計,建立業務層面的內部控制
按照《企業內部控制應用指引》要求,對企業的資金、采購、資產、銷售、研發、工程項目、全面預算、合同管理等重要管理要素進行業務流程的梳理與設計。對符合公司業務發展要求的業務流程進行描述以實現規范化;對不符合內控流程要求的業務流程進行優化;對不適應公司未來變革與發展的業務流程進行再造;從業務流程識別關鍵流程,從關鍵流程識別關鍵作業,從關鍵作業識別關鍵管理活動,從管理活動識別內控風險,并對風險通過多維度按照重大風險、重要風險和一般風險進行評價,建立風險控制矩陣,對評價指標比較高的風險納入公司層面風險數據庫。企業高層在管理實踐中要重視并采取不同的應對措施:對公司不能承受的風險要建立風險管理方案并落實資源進行改善。建立公司高層、中層和基層全員參與的內控體系,在業務過程和日常管理活動中對控制活動進行記錄與歸檔;建立事前、事中和事后交叉控制的網狀控制,對風險比較大的事項,加強控制;對風險比較小或者一般的事項采取減少控制以提高管理效率;對風險適中的業務活動可以加強事后審計控制,在兼顧風險的同時提高管理效率。
內部控制是一個綜合性的控制,往往是幾個控制措施的綜合應用,內控規范里講了7個常見的內部控制措施:不相容職務分離控制、授權審批控制、會計系統控制、財產保護控制、預算控制、營運分析控制、績效考評控制。根據內控實踐經驗,強調事前不相容職責控制、授權審批控制外,特別強調了作為內控事后控制的內部審計控制,即經過風險評價后對組織和業務進行內部審計控制,有利于提升管理效率,特別是針對國企改制來的上市公司,公司要強化審計部門的力量,對風險大的單位和業務加強內部審計。
對內控體系進行評價
完成內控體系建設后,企業要按照《企業內部控制評價指引》要求制訂評價工作方案、組成評價工作組、實施現場測試、認定控制缺陷、匯總評價結果、編報評價報告,自我評價報告需要對外公告和提供內控審計單位進行內控審計。內部控制評價工作組應當對被評價單位進行現場測試,綜合運用個別訪談、調查問卷、專題討論、穿行測試、實地查驗、抽樣和比較分析等方法,充分收集被評價單位內部控制設計和運行是否有效的證據,按照評價的具體內容,如實填寫評價工作底稿,研究分析內部控制缺陷,并對內控缺陷進行認定,包括設計缺陷和運行缺陷。企業對內部控制缺陷的認定,應當以日常監督和專項監督為基礎,結合年度內部控制評價,由內部控制評價部門進行綜合分析后提出認定意見,按照規定的權限和程序進行審核后予以最終認定。按其影響程度分為重大缺陷、重要缺陷和一般缺陷。對于認定的重大缺陷,應當及時采取應對策略,切實將風險控制在可承受度之內,并追究有關部門或相關人員的責任。新建立的內控體系一般要求試運行3個月以上進行初次內控評價,在年底財務審計前再做一次內控評價,并檢查整改效果。
執行內控審計
在企業完成內控評價報告后,按照《企業內部控制審計指引》的要求,企業要對特定基準日內部控制設計與運行的有效性進行審計。可以單獨進行內部控制審計,也可將內部控制審計與財務報表審計進行整合審計。內控審計包括制訂審計計劃、實施審計工作、評價控制缺陷、完成審計并出具審計報告。內控審計報告有四種:標準內部控制審計報告、帶強調事項段的無保留意見內部控制審計報告、否定意見內部控制審計報告和無法表示意見內部控制審計報告。
特別注意內控無效的兩種情況:注冊會計師認為財務報告內部控制存在一項或多項重大缺陷的應當對財務報告內部控制發表否定意見,評價指引中明確指出的重大缺陷的主要四種情況如下:
1. 注冊會計師發現董事、監事和高級管理人員舞弊。
2. 企業更正已經公布的財務報表。
3. 注冊會計師發現當期財務報表存在重大錯報,而內部控制在運行過程中未能發現該錯報。
4. 企業審計委員會和內部審計機構對內部控制的監督無效。
企業如果拒絕提供或以其他不當理由回避書面聲明,注冊會計師應當將其視為審計范圍受到限制,出具無法表示意見的內部控制審計報告。
關鍵詞:內部控制評價;平衡積分卡;評價模型
中圖分類號:F239.45 文獻標志碼:A 文章編號:1673-291X(2013)17-0024-03
引言
轟動全世界的安然事件發生之后,美國政府加大了對企業內部控制工作的重視,隨即出臺了《薩班斯法案》,它引發了全美對內部控制的空前重視。該法案明確提出了內部控制評價的具體要求。法案確立了企業內部控制信息強制披露的制度要求,提出了對內部控制評價框架應具備的條件,這在很大程度上減少了管理層內部控制工作中的盲目性,使內部控制工作更具效率和效果。
我國于20世紀80年代末開始關注內部控制評價工作,在90年代后期我國政府開始重視企業內部控制的規范化和法制化建設,五部委均出臺了關于內部控制評價方面的規范,這些規范對于推動企業加強內部控制建設起到了相當重要的作用。但我們也應該清楚地認識到,如何具體的實施內部控制評價尚缺乏明確的規定,相當多的企業管理層或員工對內部控制評價缺乏清晰的認識和理解,有的甚至對內控評價有錯誤的觀念。
本文認為,構建一套規范完整的內部控制評價體系無論對于監管部門還是企業都是有很大作用的,若缺乏應有的內部控制評價體系,內部控制的作用將大幅下降。內部控制為企業的經營和財務管理活動服務,健全有效的內部控制應能保證企業的經營和財務活動順利開展,盡管經營指標和財務指標并不是內部控制活動的具體表現,但經營和財務方面的某些指標可以在某種程度上說明內部控制的有效性[1]。評價企業績效的平衡積分卡在某種程度上也是依賴財務指標來說明的。內部控制評價和平衡積分卡二者有一定的相似性。由此,本文嘗試利用國際流行的平衡積分卡框架來構建我國的內部控制評價體系,并希望對企業內部控制評價模型提供一些新思路。
一、平衡積分卡的內容及在內部控制評價中的應用
平衡積分卡由哈佛教授Robert Kaplan和諾朗頓研究院的執行長David Norton設計的一種綜合業務評價系統。平衡積分卡的核心思想是通過財務、客戶、內部流程和學習與發展四個方面的指標之間的相互驅動的因果關系展現組織的戰略軌跡,即實施績效考核、績效改進與戰略實施、戰略修正的戰略目標過程[2]。它把績效考核的地位上升到企業的戰略層面,使之成為組織戰略的實施工具。平衡積分卡是以企業的戰略為基礎,并將各種衡量方法整合為一個有機整體,既包含了財務指標,又通過顧客滿意度、內部流程、學習和成長的業務指標來補充說明財務指標,這些業務指標是財務指標的驅動因素。圖1描述了平衡積分卡的4個方面及相互關系。
平衡積分卡的平衡是指在以下4個方面保持平衡:在長期目標和短期目標之間、股東與客戶和內部流程與學習成長之間,在所求的結果和這些結果的執行動因之間,在強調客觀性測量和主觀性測量之間。
內部控制評價是指通過對企業內部控制的執行過程的監督和結果的評價,發現其內部控制的缺陷和薄弱環節,并有針對性的提出改進意見和建議,從而促進企業內部控制制度的進一步加強和完善[3]。內部控制作為提升企業經營業績和管理水平的重要工具,不僅關系到企業的質量和自身的發展,而且也關系到廣大投資者的利益和資本市場的健康發展。對內部控制進行評價就是對控制環境、風險評估、控制活動、信息與溝通、內部監督五要素的情況的評價。控制環境是內部控制的關鍵,是其他4個要素的基礎。如果沒有一個有效的控制環境,其他4個要素無論質量如何,都不可能形成一個有效的內部控制。所以,要評價內部控制的完成情況,必須從企業對控制環境的評價入手。5要素的關系如圖2所示。
1.控制環境的評價:控制環境的評價主要是針對公司組織結構、發展戰略、人力資源、企業文化、社會責任等所作的評價。在組織架構的評價方面,企業是否按照國家的有關法律法規進行股東大會決議,企業章程是否結合了企業的實際情況,是否明確了董事會、監事會、經理層和企業內部各層級機構設置;在發展戰略發面,企業是否能根據現實狀況和未來發展趨勢進行科學的預測,并制定出企業的發展目標和戰略規劃;在人力資源方面,企業是否根據其自身的發展戰略,合理配置了人力資源,是否調動了員工的積極性和潛能為企業創造價值;在企業文化方面,企業是否有全體員工所認同并遵循的價值觀、經營理念和企業精神;在社會責任發面,企業是否有履行社會責任和義務,如安全生產、環境保護等。
2.風險評估的評價:風險評估是內部控制的前提,它包括兩個方面:內部風險和外部風險。在內部風險方面,企業是否對內部管理、自主創新、財務、安保、人力資源等因素引起的風險足夠重視并加以防范;在外部風險方面,企業是否對外部因素引起的風險加以重視,企業是否能夠順利識別、評估與企業發展目標相關的風險,并對此加以控制和防范,使風險控制在企業可接受的水平之內。
3.控制活動的評價:控制活動是企業內部控制的主題,企業能否通過設計、執行控制活動,將風險控制在企業可接受的范圍之內。具體的控制活動評價內容包括:資金活動、采購業務、資產管理、銷售業務、研究與開發、工程項目、擔保業務、業務外包、財務報告等方面的控制活動的評價。
4.信息與溝通的評價:信息與溝通是企業應對環境改變,保證控制有效的工具與手段,良好的信息溝通有助于提高企業的內部控制的效率和效果。關鍵是保證內部溝通和外部溝通的真實與及時,企業管理者能夠通過相關的信息采集,采取適當的反應和措施。
5.內部監督的評價:內部監督是企業內部控制活動得以執行的重要保障。具體包括:監督機構、監督主體、報告缺陷和改進、自我評估的設計是否有效。由于內部審計部門是內部監督的主體,只有其發揮職能,內部控制工作才能有效進行。所以,對內部監督的評價,主要是指對內部審計部門是否保持其獨立性的評價。
簡而言之,一個有效的內部控制活動就是在以控制環境為基礎的情況下,保持風險評估、控制活動、信息與溝通、內部監督之間的平衡。企業能否做到上述活動,是評價企業內部控制活動有效性、合理性的重要依據。
二、內部控制與平衡積分法運用中的共性分析
1.平衡積分卡在企業實施過程中存在的最大困難是企業管理層和員工對平衡積分卡的認識不夠,專業水平不高,往往表現出對平衡積分卡的不信任,甚至質疑,給平衡積分卡在企業中的應用帶來了阻礙,大大影響了平衡積分卡作用的發揮。在企業中,有效的內部控制評價能夠促進企業內部控制的落實和執行。然而,我國大部分企業側重于對企業實施內控,對內控的結果好與壞的關注度不夠,對內部控制評價缺乏應有的了解,對內部控制評價的一些核心問題還缺乏清晰的認識。
2.平衡積分卡是一套戰略管理工具,它的實施是自上而下的,所以平衡積分卡若要實施成功,必須得到管理層的重視和支持。高層管理者實施平衡積分卡的決心很大程度上決定著平衡積分卡的順利實施。內部控制評價是指通過對企業內部各組織機構內部執行的過程和結果的評價,發現其內部控制的缺陷和薄弱環節,并有針對性的提出改進意見,是提升企業質量,促進企業發展的重要工具。它的評價實施也應該從其企業的最高層到最底層,全方位、全過程、全員控制的企業內部控制評價制度。
3.平衡積分卡的實施需要財務、顧客、內部經營、學習和增長這些指標支撐。財務指標的創立和量化是比較容易的,而其他3個方面的指標就需要企業管理層根據企業的實際情況加以仔細斟酌。有些重要指標很難量化,如員工受激勵程度方面的指標,這就對企業的信息傳遞和反饋系統提出了很高的要求。內部控制評價標準可選用結果評價指標,結果評價指標就是要考核內控目標的實現程度,它是基于內控目標而建立的一系列結果考核指標,并規定相應指標的合理指標來進行評價。然而,選取的指標和權重的確定直接決定了內控評價的結果。雖然這種方法操作簡單,但不可避免地存在權重確定的主觀隨意性,從而不能保證結果的精確性。
4.平衡積分卡的實施由于包含太多的測評指標,而大量的評價指標往往會使企業管理者無所適從,無法找到重要指標對企業績效的衡量,因此需要企業建立一個完善的企業信息系統。隨著科學的發展和社會的進步,我國已進入信息化時代,由于環境的變化,使得企業對自身的內部管理的各個發面提出新要求,這就要求我們要建立一個能充分體現內部控制整體性和過程性的完整高效的企業信息化內部控制系統。
三、利用平衡積分卡來加強內部控制評價的建議
1.內部控制由控制環境、控制風險、控制活動、信息與溝通以及監督組成,在內部控制評價體系中強調全員參與的思想,即每一個員工都是控制對象。因此,對內部控制實施評價就是對企業中的每一個員工行為的評價,而員工的廣泛參與,首先可以增強員工的風險意識和內控意識,其次也有利于企業和業務層面的各類風險更透徹的風險評估。平衡積分卡中有對企業員工的選擇和培訓教育工作的評價辦法,并且與企業面臨的外部環境相適應。因此,平衡積分卡對企業的內部控制評價是適用的。
2.正確界定內部控制的評價目標,不僅能滿足監管部門對信息提供和披露方面的要求,而且能夠有助于企業戰略目標、經營效率和效果的實現。因此,企業內部控制評價的目標應從內部控制的目標出發,考核內部控制所規定的目標實現與否。不同的評價主體對內部控制評價的目標界定也不盡相同,如監管部門更多的是關注內部控制制度所達到的報告目標的合規性和合法性;而企業自身進行的內部控制評價不僅要符合法律法規,還要關注內控對企業戰略目標和經營目標實現的作用程度。成功的平衡積分卡控制制度是把企業的戰略目標和一套財務和非財務性評估手段聯系在一起的管理手段。有效的平衡積分卡的應用可以把它從最根本的績效考核地位上升到組織的戰略層面,成為組織的戰略工具。所以說,平衡積分卡的應用可以促進企業戰略目標的實現。
3.我國傳統企業對于內部控制的范圍是狹窄的,大部分企業依然存在著“重管理輕治理”的現象,這種情況造成了內部控制的內容和范圍較小,缺少與管理相結合的過程,因此也造成內部控制評價范圍的狹窄。如果將平衡積分卡運用到企業內控中來,并實現兩者的最佳結合,需要企業改變原有只重視企業和下游的觀念,把關注的視野拓展到上游,以實現對整個供應鏈的控制。企業的內部控制擴大了,自然而然內控評價的范圍也隨之擴大,這不僅有利于企業價值最大化的實現,也有利于提高企業在整個行業中的地位,加強了企業的競爭力。
4.平衡積分卡的實施能否在戰略績效管理中發揮作用,重要的是企業完善的信息系統的支撐。完善的企業信息系統有利于信息決策者了解企業信息化內部控制的效果。我國企業應該清楚的認識到,建立一個與企業自身組織和市場環境相適應的管理信息系統與財務信息系統的重要性,它不僅關系到企業的運營效率,而且能促進企業及時對市場做出反應。
【關鍵詞】績效考核;績效管理
績效管理現已在企業事業單位中得到廣泛推廣和應用,我企從2008年開始實行,作為企業績效管理部門負責人和實踐者,現就如何在管理中取得實效,談一下粗略看法。
1.什么是績效管理
就是指企業通過各種方法和手段對員工施加影響,使員工的工作活動及產出與企業最終利益最大化保持一致的過程。其中需要明確的是:
(1)績效管理的基礎條件是使之完整的管理制度。包括財務管理制度、人力資源管理、安全管理、風險評估與控制以及商品營銷制度等。
(2)績效管理的最佳目的就是通過各種管理辦法和手段,充分發揮員工的主觀能動性,以實現企業利潤最大化的目標。
(3)常用的管理方法和手段。績效管理是一項系統工程,主要由四個環節組成。按過程可劃分為:
第一、績效計劃:主要指企業的中長期發展規劃及年度經營計劃,要根據實際,將計劃層層分解,具體到各單位、部門及個人,要求每個崗位都要有計劃,落實到位,特點突出,計劃性強,便于考核。
第二、績效實施:即通過確定目標,明確責任,有組織,有領導,通過企業的內部管理機制,落實績效計劃的過程。
第三、績效考核:依據企業的年度計劃和各崗位的職責范圍,結合實際,確定科學管理的考核內容和標準,并按照公平、公正、公開的原則進行評估。一般采用百分制確定考核結果。
第四、績效運用:
①對考核結果的運用,必須要和單位及個人的薪酬掛鉤。
②要和員工職位晉升,降級及崗位調整相結合。
③對考核中反饋的問題,要及時制定整改措施加以解決。
④為確定下步工作目標提供依據。
2.企業為什么需要績效管理,我認為主要有四個方面需要
(1)實現責任與利益掛鉤,構筑責權分明、管理科學、協調運轉、有效可控的管理體系,并達到對企業績效進行評估的目的。
(2)建立“以績效為導向”的管理模式,降低企業運作的成本,增加企業利潤率。
(3)確定各單位各崗位的績效指標,將企業的經營管理目標分解到各單位及個人,確保企業目標和個人目標的一致性,強化執行力,提高員工的工作效益和積極性、主動性、創造性。
(4)為員工薪酬的評定提供公正、公平、公開的依據。
3.績效管理的主要程序
(1)基于公司的戰略目標和經營計劃,確定考核要點。
(2)通過相關辦法將考核要點分解至各單位,在對關鍵指標加以完善細化的基礎上,結合各單位的職能范圍確定。
(3)通過量化辦法,確定考核內容及評定標準,形成績效考核表。各單位,部門內部對待員工的考核(二級考核),要細化,到點、到位,充分發揮內部考核的作用。
(4)各單位先進行內部提議,形成單位意見,將自評結果報企業主管的部門,并交公司績效考核領導小組評估審定,最終結果公示。
(5)加強溝通。各級管理人員,應針對下級單位或個人的績效實現進展情況,經常進行溝通,要為下屬提供必要的條件,幫助員工解決工作困難,督促和確保績效目標的順利實現。要正確引導員工的行動,加強員工的自我約束,發揮員工的潛能,努力塑造一個團結、和諧、積極向上的團隊。
(6)考核結果與員工的薪資掛鉤,通過經濟手段,促進和提升員工的能力和水平,補齊短板,激勵員工努力進取,創新和創造。
(7)通過完善各項管理制度及相關辦法,將考評的各個環節串聯起來,形成目標管理的考評體系。
由于績效管理的目的性強,方向性明確,程序要求嚴密,方法要求得當,結果要求公正,需要我們不斷地夯實各項管理工作基礎,推進精細化管理,才能不斷推進企業管理各項水平的提高,才能達到績效管理的最佳目的。
4.績效管理在工作中要注意的幾個問題
(1)注意管理制度的完善。要結合單位實際,明確部門崗位的職責范圍,用制度管人,避免考核中的爭議,提高工作效率。
(2)對工作程序和流程,包括各個環節的銜接要科學規范。
(3)制定考核內容時,能量化的要量化到位。
(4)注重過程中的監督和檢查。
