时间:2023-06-08 11:19:41
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇风险评估与风险应对,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
一、背景介绍
2013年8月1日起,我国在全国范围内开展了交通运输业和部分现代服务业“营改增”试点。由于铁路运输行业的特殊性,财务核算复杂、分支机构多且分布广,无法在某个或某几个地区单独试点,只能在全国同步推行,推迟了铁路“营改增”的步伐。2014年1月1日起,我国才将铁路运输纳入“营改增”试点范围。铁路实行“营改增”对铁路运输企业的组织架构、业务流程、经营结果产生了重大影响,对采购管理、财务管理、建设管理和运营管理提出了新的考验,铁路运输企业的税务管理存在难度,税收风险加大。
二、税务风险及产生原因
企业税务风险是指企业的涉税行为因未能正确有效地遵守税法规定而导致企业未来利益的可能损失。其主要包括两方面:一是未纳税、少纳税而面临补税、罚款、加收滞纳金等风险;二是因没有用足税收优惠政策,多缴税而承担了不必要的税收负担。产生税务风险的原因有以下几方面。一是纳税人和税务机关信息不对称,对同一涉税业务的理解不同。二是企业在生产经营管理过程中以实现经济利益最大化为目标,从而追求税务成本最小化。三是由于经营业务在前,做账在后,业务部门及人员缺乏对税收政策的掌握,导致税务风险先于税务责任履行行为。
中国铁路总公司作为营业税改征增值税的试点企业,在涉税业务的处理中更易产生税务风险,原因包括以下几点。
一是铁路运输企业具有“设备联网、生产联动、部门联劳”的行业特点,完成任何一个运输产品都需要多个企业、多个部门的联劳协作,收支两条线的清算模式和复杂的清算体系加大了铁路增值税的税收风险。
二是铁路运输企业分支机构众多,基层单位财务人员税务知识欠缺,对税收政策的理解程度参差不齐,税务管理难度大,增大了税务风险。
三是“营改增”还未全面推行,部分铁路运输企业存在混合或兼营非增值税应税经营活动,分账核算,准确区分各类经营的应税金额存在难度。
四是按照国税总局公告2014第6号规定,铁路运输服务及与铁路运输相关的物流辅助服务的增值税应纳税额在中国铁路总公司汇总缴纳,除此以外企业的其他增值税应税行为就地申报纳税。而铁路运输企业其他业务较多,往往会存在业务边界不清晰的现象,因此各企业准确区分纳入汇总与不纳入汇总范围的销项税额、准确区分在汇总申报抵扣和属地申报抵扣的进项税额的难度大,这种区分也将可能作为地方税务机构的稽点,加大了税务风险。
五是铁路运输企业运输服务及物流辅助服务相关收入采用汇总缴纳的方式,各运输企业分支机构对取得进项税抵扣发票的积极性不高,易造成进项税款的流失,造成不必要的损失,从而增加总体税收负担。
三、铁路运输企业增值税涉税风险评估
铁路运输企业“营改增”对企业的经营模式、供应链、资金及价格体系带来了重大影响,本文结合铁路运输企业的经营特点,梳理业务流程,总结以下增值税涉税风险点。
(一)购进环节的风险点
1. 增值税抵扣凭证不规范,比对出现异常的抵扣凭证,不得抵扣进项税。
2. 进项税抵扣不合规,易出现不应纳入抵扣范围的购进货物和服务进行抵扣,以及发生应进项税额转出的情形时未进行进项税额转出处理等不合规情况。
3. 发票逾期未抵扣,未在规定期限内办理认证或报送清单的,不得计算按进项税抵扣。
4. 发票清单不合规,取得的汇总开具的增值税专用发票的,应取得使用防伪税控系统开具《销售货物或者提供应税劳务清单》,不能以其他格式清单替代。
5. 其他应取得而未取得抵扣凭证的情况。
(二)存货储备及生产环节的风险点
1. 非正常损失的存货未做进项税额转出处理。
2. 存货改变用途用于非增值税应税项目、免征增值税项目、集体福利或个人消费的,未做进项税额转出处理。
3. 增值税应税项目与非应税项目共同负担有进项税额,未对进项税额进行合理划分。
(三)销售环节的风险点
1. 增值税纳税义务发生时间的确认不准确。税法所规定的销售额确认的时间与会计制度的规定存在差异。
2. 对按税法规定的视同销售的行为,未按货物的计税价格计提销项税额。
3. 未分账核算,不能准确区分混合销售行为和兼营非增值税应税项目。
4. 销项税额的确认不完整。例如,向购买方收取的全部价款和价外费用,无论其会计制度如何核算,均应做为应纳税额计算销项税。
(四)其他风险点
1. 混淆汇总缴纳、属地缴纳销项税额和进项税额。
2. 销售收入已确定,但成本未同步匹配,即进项税额未同步跟进,缴纳增值税造成现金流出,占用资金。
3. 铁路系统开票点分散,增值税专用发票的管理难度大。
4. 应税服务的销项税额抵扣试点前的增值税期未留抵税额。
四、税务风险的应对方法
(一)提高企业整体纳税意识,做好纳税筹划
从营造企业文化的角度培养整体纳税意识,从观念上转变被动纳税为主动纳税,从源头抓起、预防为主,把纳税筹划放在开展业务之前,把节税理念嵌入到业务流程各环节中,充分发挥纳税筹划的作用,选择纳税成本最低的经营模式,提高纳税质量,降低纳税风险。
(二)完善内部控制制度,体现增值税特色
铁路运输企业应尽快修改相关管理办法和制度,建立体现增值税特色的税收内部控制制度。例如,建立增值税专用发票的领用存管理制度,规范流程,确认增值税发票的使用安全;修订采购业务内控流程,将具备增值税一般纳税人资质可提供增值税专用发票作为选择供应商的一个条件,确保物资采购可取得增值税抵扣凭证;修订销售业务内控流程,了解客户的税务身份,准确提供增值税发票种类;梳理和调整会计核算流程和会计核算科目,确保准确计算应交增值税额。
(三)抵扣进项税额坚持谨慎性原则,降低税务风险
企业对进项税额的抵扣坚持谨慎性原则,财务处理坚持分账核算,分别核算汇总缴纳和属地缴纳的收入,分别核算增值税应税项目的销售额和营业税应税项目的营业额,对购进货物或劳务取得的进项税额严格按照用途进行区分,对于混合经营收取的发票,如日常办公用品类进项税额发票,其部分用于增值税项目生产,部分用于营业税生产,可按应税收入的比重分配,对不应抵扣的部分做进项税款转出,以保证抵税合规,降低税务风险。
(四)通盘筹划纳税期间,充分获取资金时间价值
企业应及时取得进项发票,合理安排好进项税额的抵扣时间点,谨慎确认本期的销售额并开据发票,力求销项税额与进项税额在时间上的一致性和内容上的配比性,延迟或减小税金现金流的支出,增强存量资金的流动性。
(五)建立定期税务风险评估制度,防范于未然
铁路运输企业可参照《大企业税务风险管理指引(试行)》的要求,设立税务管理部门或岗位,加强税务岗位责任制建设,参与企业战略规划和重大经营决策的制定,跟踪和监控相关税务风险,全面、系统、持续地收集内部和外部相关信息,通过风险识别、风险分析、风险评价等步骤,查找企业经营活动及其业务流程中的税务风险,制定税务风险应对策略,建立有效的内部控制机制,合理设计税务管理的流程及控制方法,形成闭合环路,全面控制税务风险。
参考文献:
[1]吴惠婷.营改增试点对交通运输企业的影响[J].财会月刊,2012(23).
[2]罗晓华.铁路运输企业营业税改增值税的可行性分析[J].税务研究,2004(01).
[3]张苑利.“营改增”对铁路运输企业的影响及对策分析现代经济信息[J].2013(22).
[4]王小平.实施营改增铁路运输企业面临的问题与对策中国证券期货[J].2013(07).
关键词:工程企业;财务风险;评估与预警;风险管理
随着我国基础建设与城市发展的逐步推进,建筑工程企业的经营发展成为了社会经济发展的重要组成部分,所以在工程企业发展过程中,利用有效的财务管理手段,提高企业发展效率是我们财务工作的主要内容。在实际工作中我们发现,工程企业经营中财务风险的出现,对于企业经营管理质量有着严重的负面影响,所以当前的工程企业,在新型风险管理技术视角的支持下利用新型的技术手段与管理理念,做好企业财务风险评估预警及管理显得尤为重要。
一、当前工程企业财务风险管理主要问题分析
(一)财务情况复杂影响了风险预警效率
在企业风险管理中,风险预警工作的开展需要对企业经营、财务状况、市场情况等多种因素进行综合性的评估才能完成。而在工程企业的财务过程中,财务工作内容较之一般企业更为复杂。这种复杂的财务管理实际状况,影响了风险预警开展的效率。首先是财务数据汇总较为困难。在工程企业财务管理过程中,财务数据汇总工作受到工程进度的影响,所以较为困难。如跨年度的工程建设中,其工程结算的财务数据难以进行有效汇总或汇总到的数据不完善的情况经常出现。这种数据汇总问题的出现,使得财务风险评估难以得到数据支持,进而影响了评估预警的整体质量。其次是市场变化影响了风险评估的开展。在工程建设过程中其施工建设周期较长,因此容易受到市场变化影响,加大了风险评估预警工作难度。这里所指的市场变化除了工程企业经营市场外,还包括了原材料市场、工程人力资源市场、金融市场等与工程企业有关的市场环境。如随着原材料市场价格的变化,企业成本的提升容易造成企业财务风险的出现。由于这种风险因素的提升,必然会加重企业风险评估预警工作的责任,进而使评估预警工作效率降低。
(二)突发问题较多造成财务风险的提高
在工程企业发展过程中,突发问题的出现是风险产生的主要原因。一是安全性突发问题。在当前的工程建设过程中,虽然企业加强了安全建设意识,但是安全问题依然难以避免。在安全问题发生后,可能会出现企业财务管理中现金支出增加、财务信誉度降低等问题,造成企业财务风险的出现。二是金融市场突发问题的出现。因为工程建设中需要大量资金支持,所以工程企业财务管理中必须与银行、担保公司等金融行业进行合作,吸纳贷款与投资。特别是在金融危机等突发性问题出现时,就会使企业资金链断裂,造成财务风险的出现。
(三)风险评估与预警体系不完善
在工程企业财务风险评估与预警工作过程中,其评估与预警体系的运行发挥着重要作用。良好的风险评估与预警体系,对于风险管理的开展起到了重要作用。但是在实际工作中我们发现,部分企业中风险评估与预警体系依然存在着以下问题。一是缺乏风险管理核心。在以前的企业风险管理过程中,财务管理部门负责风险的管理工作,但是因其缺乏企业管理的决策权,所以难以起到风险管理的核心作用。这就会在企业日常风险管理工作中影响了风险评估与预警工作的全面开展。二是监控体系不完善。企业财务风险管理属于企业整体性的财务工作,良好的风险监控是评估与预警工作完成的重要保障。但是在工程企业中,企业总部对各工程项目间的风险管理监控质量较差,进而影响了风险评估与预警的工作质量。
(四)风险管理中缺乏整体的抵御策略
在企业风险管理过程中,评估与预警工作的目的就是针对财务风险因素采取有效的应对抵御措施,降低风险因素对企业财务体系的影响。但是在财务工作中,风险策略的不足造成了企业风险管理工作难以顺利开展。这种策略性的缺失主要表现在两个方面。一是策略实用性差。在当前的工程企业风险应对抵御策略中,大部分内容集中在领导的管理层面,缺乏对实践工作内容的指导意义。如具体工作管理责任人员、实际工作程序等内容的缺乏,使应对策略缺乏了实用性。二是缺乏联合性工作策略。在当前的工程企业风险应对策略中,其应对措施主要由企业内部人员完成。这种应对策略的应用会使企业财务压力加大,影响了风险抵御工作的效果。如果我们采用行业和市场联合工作的应对策略,将会提高企业风险抵御的质量。
二、工程企业财务风险评估预警工作实践措施研究
(一)结合企业实际工作,建立网格化风险预警机制
为了提高风险评估与预警的工作效率,针对工程企业财务与风险管理工作较为复杂的情况,结合企业实际,利用新的网格化风险预警技术,开展风险管理工作。所谓的网格化技术既是利用计算机技术,将管理内容划分为若干网格来进行管理的新型管理方式。一是以工程项目为网格开展工作。在工程企业的财务管理中,工程项目管理工作的开展是非常重要的内容。这种工作模式可以保证在工程遇到突发性安全问题,或财务风险问题时,管理者可以及时开展风险评估与预警工作,提高企业风险管理质量。二是以工程项目时间节点为网格开展工作。我们可以根据企业经营与工程项目施工时间节点,制定风险管理网格,开展风险评估与预警工作。这种工作模式可以根据企业与工程项目在不同时间阶段的经营与财务特点,进行具有针对性的风险管理工作,提高其管理质量。如在工程开始、施工、收尾、验收等不同工程阶段,我们针对其不同的风险内容,开展具有针对性的风险管理工作,利用新技术促进风险管理的开展。
(二)建立全面的风险管理预案,减少突发风险影响
在工程企业财务管理过程中,为了解决风险管理中遇到的突发性问题影响,在实践工作中,我们采用新的技术观念设计风险管理预案,指导风险管理工作。一是对突发性问题进行全面的考虑与研究。在风险管理预案中,我们需要根据财务风险发生的原因、概率、危害、应对方法等因素利用综合模型进行全面的考虑,特别是对于突发问题中的风险因素进行考虑和研究,结合工作中曾经出现的经验教训,为预案的制定提供实践参考,提高预案中应对突发问题风险的作用。二是在预案中规范工作方法。突发性问题风险的管理过程中,我们需要利用严格有效的工作方法进行应对。所以在风险管理预案中,我们需要利用预案制度模式规范风险应对工作方法,利用规范化模式,保证突发问题风险评估与预警质量的提高。同时在风险管理预案应用中,我们还可以将预案管理与监督管理进行结合,为风险监控工作提供参考性保障。
(三)以法人管理为核心,完善风险预警与评估体系
为了更好地完善工程企业风险预警与评估体系,我们在企业内建立了金字塔式风险管理体系,开展风险管理工作。一是以企业法人为风险管理核心开展工作。我们应发挥法人在企业管理中的决策、监督等工作权利,提高企业风险管理的效率与质量。二是发挥财务部门的专业作用。这对企业财务风险管理的开展有着重要实践指导作用。如在企业内,财务部门组织专业的风险管理培训,提高企业内整体的风险管理意识,对于风险管理开展有着重要促进作用。三是落实风险管理责任制。在企业各部门、工程项目中设立专人开展风险评估与预警管理工作,落实风险管理的专人责任制,在基层实现风险管理的开展,层层负责,将风险管理的理念根植于企业文化中。四是聘请专业的外部机构。为了多方位的完善企业风险管理体系,可以聘请专业的审计机构对企业的风险管理体系进行审计测试,从不同的视角检测风险管理体系的设计是否存在缺陷,运行是否有效,从而发现内部人员没有关注到的风险点,强化风险管理的效率和质量。
(四)以合作模式,建立全面的企业风险抵御策略
为了更好地应对企业财务风险,我们需要以新型的合作性管理工作模式建立风险抵御策略,提高企业风险抵御的质量。一是内部合作模式的开展。在企业风险的应对与抵御过程中,我们需要在风险应对策略中整合企业内的各部门,促进企业内部合作的开展,做好企业风险应对与抵御工作。在这种模式下,财务风险的应对与抵御不再由财务管理部门单独完成,而是由企业内的各个部门与工程项目进行合作应对。这种工作模式对于财务风险管理的开展,有着重要的实践作用。二是外部合作模式的开展。在企业风险管理中,可以在市场和经营过程中与金融、保险等第三方企业进行联合性的风险应对与抵御工作,转移一部分风险。如在风险应对过程中,企业与金融企业合作获取资金进行风险应对,对于企业风险应对与抵御的开展可以提供很好的资金支持。
三、结束语
为了确实做好工程企业的财务风险管理工作,提高其在风险评估与预警管理工作中的质量,我们根据工程企业特点与风险因素产生原因,围绕着工程企业财务风险管理内容,利用新型技术与风险管理理念开展了风险评估、预警与管理实践研究。就当前的研究结果而言,其对企业风险管理工作而言,有着重要的指导意义。
参考文献:
[1]王阳.大中型施工企业财务风险控制研究[D].太原理工大学,2013.
一、工程监理中风险的特征
1.风险的客观性。风险的客观性表明风险的发生是不以人的意志为转移的客观存在体。任何与工程相关的活动都是置身于特定的环境中,受到环境的影响,但环境变化是难以控制的,任何不利于建筑工程的因素发生都会导致风险的发生。因此,工程在环境的作用下存在着不以人的意志为转移的风险。
2.风险的不确定性。风险的不确定性表现为风险来源的不确定性和风险发生概率的不确定性。从风险来源看,既有来自建筑工程企业和监理工程企业内部的风险,同时也有来自建筑行业、房地产行业的风险和外部环境的风险。企业内部的风险可能表现为企业疏于管理,或者对潜在风险认识不透,导致风险出现。从行业看,由于工程监理质量标准的修订,或经济环境的变化等外在的压力等都会导致风险的发生。监理环境的改变也使得工程监理面临着新的挑战,从而产生风险。这些即将发生的风险不仅来源不确定,而且发生概率的大小也是难以预测和确定的。
3.风险的可控性。尽管风险是客观存在的,但是风险是可以控制和化解的,这意味着建筑工程中的风险是可以采用一些办法加以解决的。这些解决的办法要么是我们提前布局,寻求解决的对策;要么是在风险发生后,我们及时寻求有针对性的措施控制和化解风险。
二、工程监理风险管理与控制的流程
和其他风险管理与控制一样,建筑工程的风险管理与控制流程包括风险识别、风险的评估、风险的应对策略与风险的监督和控制。
1.识别风险的来源。在建筑工程中,风险的主要来源可能包括发包方的风险、承包方的风险和监理自身的风险。来自承包方的风险表现为承包方给予施工方的压力,如工期提前、不配合承包方等都有可能导致风险的发生。从承包方看,风险主要有承包方的资质、建筑技术水平,以及不按照合同的要求施工等。工程监理方的风险主要表现为监理人员的素质、监理的态度是否客观公正、监理的管理体制等。只要有针对性地从这三个方面加以准备,细化来自每一个环节的可能风险,就有可能做到风险来源掌控的万无一失。
2.严格风险评估。风险评估是在识别可能的风险来源基础上,对风险发生的可能性大小和风险造成的损失大小加以评价。风险评估是风险应对的前提条件,严格风险评估,要从管理的高度对可能出现的风险加以评估,并对每一类风险根据其可能造成损失的大小加以评判。通过风险评估,有利于有针对性地准备风险发生后的解决办法,并尽可能地降低风险管理和控制的成本。
3.多样化应对风险。风险对策是风险管理的关键环节。风险对策是建筑工程监理管理和控制的核心,只有客观地面对风险,采取措施,才能降低、回避、分散或防范风险,收到事半功倍的效果。多样化的风险应对,既表现为不同风险来源,风险的应对策略不一样,又表现为每一类风险准备多种风险防范和应对措施。
4.实施风险监控。风险监控的目的是对各项风险应对措施的执行情况不断地进行检查,并评价各项风险对策的执行效果,在环境和条件发生变化时,要确定是否需要提出不同的风险处理方案。
三、工程监理风险管理与控制措施
1.建立风险预警机制。建立风险预警机制的主要目标是识别风险源,风险的大小和风险对工程的危害。风险预警机制的建立可以根据风险的来源加以建立,包括发包方、承包方和监理风险预警。发包方的风险预警可以设定为契约风险预警、工程干预预警、工程资金预警;承包方风险预警包括承包资格预警、承包工作行为预警和承包道德预警;监理方预警包括监理行为预警、管理能力预警和监理队伍预警。针对每一预警,设定相应的机制予以防范。
2.建立一套完善的风险评估流程。风险评估流程是在风险识别的基础上作出的管理风险的重要手段。一套完善的风险评估流程包括风险评估主体、风险评估规则和风险评估办法。风险评估主体的参与人员应该包括专业人士和非专业人士共同构成,邀请各类专家、学者参与风险的评估。风险评估规则是根据建筑工程监理工作的状况加以制定,风险评估办法主要采用定量和定性的两种。
3.制定完善的风险管理和控制措施。建筑工程监理中完善的风险管理和控制措施应该包括建筑工程系统性风险管理和控制措施,以及非系统的风险管理和控制措施。系统性风险管理重点是对整个建筑工程都产生影响的风险,这种风险管理应该是采取规避的办法以减少风险发生之后的损失。非系统性的风险管理可以根据相应风险发生的来源,制定一系列风险管理和控制措施。
参考文献:
[1]刘绍鹏,周荣委,李洪平.浅谈建筑施工监理存在的问题及对策[J].中小企业管理与科技,2012,(3).
[2]饶彬.建设工程监理风险探讨[J].现代商贸工业,2011,(3).
[3]秦佳鑫.风险管理在工程监理项目中应用的探讨[J].民营科技,2012,(3).
[4]董文龙.工程建设监理企业风险管理的目标与基本原则研究[J].科技信息,2011,(11).
关键词:企业会计信息;风险识别;管理分析
中图分类号:F23 文献标识码:A 文章编号:1001-828X(2013)11-0-01
风险就是未来可能发生的不确定性的结果,在财务管理方面不论何种风险都会造成重大损失,因此需要对风险进行有效识别和管理,以最大限度降低风险成本。企业会计信息系统可以有效维护企业的整体运行,企业对会计信息系统进行风险识别和管理不仅是企业财务规避风险的需要,也是整个企业风险管理的需要。但目前我国在会计信息系统风险识别和管理方面的研究还很少,企业在会计信息风险管理方面的认识和经验还不足,很多企业为保证会计信息安全倾尽了大量财力、物力却没有任何效果。因此企业如何识别风险,并采取措施进行有针对性的风险管理,需要企业管理者认真思考总结,以对症下药。
一、企业会计信息风险识别
1.会计信息风险识别的定义和重要性
对事件的识别可以帮助企业管理者熟悉影响业务活动的各种因素,但事件识别无法清楚了解这些事件蕴含着怎样的风险。因此企业管理者在了解事件的同时,更应分析这些复杂的事件蕴含了哪些“风险”,即风险识别。企业会计信息风险识别可以将不确定的事件转化为清晰的风险陈述,在事件识别和风险评估之间起到桥梁的作用。
2.会计信息风险识别的内容
企业会计信息风险识别可以分为三个方面:(1)利用风险检查表来系统地识别风险;(2)对已知风险进行交流。采用口头或书面的方式,在企业会议上针对已知风险进行交流;(3)将已知的风险编写成文档,可以方便以后查阅。文档内容从风险陈述和相关风险的背景两个方面来写,风险背景中要包括风险发生的时间、地点、原因和后果[1]。
3.会计信息风险识别的方法
企业会计信息识别风险的方法有很多,财会人员可以通过分析公司历年的财务报表,加强与部门经理的讨论沟通,多进行员工调查,或咨询保险人和风险管理咨询顾问等方式,以此识别各种潜在风险。财会管理者在运用各种风险识别方法时,首先要全面了解部门、企业以及影响企业的经济、法律和法规等“事件”。有效识别面临风险的各项财产以及造成潜在损失的原因,考虑对这些财产进行计量的方法。综合各种计量属性的优缺点,选择合理的估价方法。
二、企业会计信息风险管理分析
1.会计信息风险评估
企业会计信息风险评估即对会计信息及信息处理设施可能发生的威胁和影响的评估。企业财会部门利用风险评估可以有效考虑潜在风险对会计目标达成的影响,以确定会计信息风险控制的优先级,实现对潜在风险的有效控制,将风险降低到最小范围。风险评估时管理者首先应考虑到企业资产及其价值的潜在威胁,研究风险发生的可能性和薄弱点,建立完善的风险评估流程。风险评估方法分为定性和定量两种,对于不能量化的或不能进行定量评价,实践中没有实用性的风险采用定性的评估方法。定性分析方法侧重于关注事件带来的损失,而很少关注事件发生的频率,主要是通过事件面临的威胁和脆弱点来确定事件的风险等级,评估中也没有具体的数据,以期望值来设定风险的影响值和概率值[2]。
当单纯的期望值不能区分风险值间的差别时,就需用定量评估法。定量评估主要是利用威胁事件发生的概率和可能造成的损失这两个因素,这两个因素相乘的结果称为ALE。通过ALE可以计算出风险等级,以对此做出相应决策。不同规模的企业风险评估工具的选择不同,比较小的企业财会部门的风险管理决策主要来自经验判断,对于规模较大的企业一般通过数据收集、处理分析来进行风险评估。常用的风险评估工具有使用历史数据法、使用回归分析方法和使用正态分布模拟损失分布等。
2.会计信息风险应对
在企业会计信息风险应对中,首先应以风险评估的结果为依据,判断威胁事件的薄弱点,选择合理的手段和正确的保护措施。其次,也应该考虑到费用问题,确保应对措施的费用在财会部门预算范围之内。根据应对措施的费用和部门的实际预算选择合理的方式,达到降低风险的目的。常见的风险应对方法有规避风险、减轻风险、承担风险和接受风险等。风险的发生是随机和不确定的,因此风险应对也是一个动态的过程,财会部门应使用动态的方法应对风险,及时更新风险管理体系。
3.会计信息风险监控
企业会计信息风险监控是财务信息风险管理的重要组成部分,可以通过持续监控和单独评价两种方式实现。在企业财务部门的日常业务活动中实行持续监控,依靠风险评估和持续监控的有效性进行单独评价。持续监控是财务部门对日常工作和业务活动的动态监控,财会部门在工作中如发现风险管理的缺陷应立即向上级汇报,以采取相应措施弥补。通过日常的监控可以及时发现会计信息管理中的各种问题,以规避风险。在风险事件发生后进行个别评估,探讨财会部门风险管理的有效性,重视对事件缺陷的挖掘与汇报,建立可靠的沟通渠道,及时汇报一些敏感或非法的信息[3]。
三、结语
在激烈的市场竞争中,企业在经营管理的各个环节,不可避免的会存在一定风险,这些风险可能对企业产生重大影响。有效规避和化解企业会计信息中的风险,是确保企业在激烈的竞争中持续发展的基本要求。财会部门作为企业的核心部门,在日常工作中应该建立有效的风险管理体制,对可能发生的风险进行评估,并采取相应的措施应对,也要实施风险持续监控制度,积极挖掘财会工作中的各种风险管理缺陷,以此规避风险减少企业经济损失。
参考文献:
[1]李华丽.浅论会计风险管理存在的问题[J].中国市场,2010,5(26):21-23.
1 企业财务风险评估的重要性
1.1 企业财务风险评估是企业有效规避风险的必要途径
企业风险来源于生产经营过程中的各个方面,稍有忽视,财务风险就会趁虚而入,打击企业的发展势气。及时做好企业财务风险的评估,是现代企业发展过程中的经验总结,更是帮助企业尽快脱离风险,重新步入发展正轨的重要途径。知己知彼,百战不殆。企业只有明确自己的财务风险才能够更从容的去面对风险、解决风险。并以此作为日后规避风险的警钟,时时刻刻保持高度严谨的经营状态,帮助企业树立良好的经营风气,促进企业的健康发展。
1.2 企业财务风险评估有利于促进财务改革
在整个财务改革进程中,制定有效的财务风险评估机制,是财务改革的发展趋势,更是促进财务改革深入推进的重要途径。企业财务风险评估不仅有利于企业自身财务的健康发展,更加有利于社会经济的健康发展。但由于长期以来在传统经营模式下,企业管理水平低,工作效率得不到提升,造成很多财务风险无法被提前查知,最终弄的企业手忙脚乱。就算财务管理人员十分细心的遵守规范,也无法应对突如其来的风险。在规模稍微庞大一点的公司里面,会计人员多、财务来源渠道复杂多样、财务花销难以统计,财务风险的发生几率更大大增高。在这种背景下,企业对财务风险进行科学评估不仅能够适应现代社会激烈的市场竞争,更能够帮助企业的财政公开,因此,企业开展财务风险评估工作,能够进一步推进财务改革的深入。
2 新形势企业财务风险评估方法
对企业财务风险的评估工作应该从企业发展的几大方面一一考虑,分别是企业的经营绩效、盈利能力、资金周转能力、债务偿还能力以及发展能力。这里主要介绍新形势下企业财务风险评估两大方法。
2.1 人工神经网络风险评估法
在对企业的财务风险类型属性进行分类识别之后,在确定了风险程度的基础上,可以依靠人工神经网络系统对已有的风险模型进行匹配,根据最终的评估结果,从而选择制定出最适合企业发展、最有效的财务风险处理办法。
长期以来,结合企业财务风险形成的原因和对风险本质的认识,企业财务风险一般情况下都会表现为企业财务状况的和经营绩效的急剧下滑。二者任何一方面的发生都将会导致企业盈利能力、发展能力、资金周转能力以及债务偿还能力的下降。因此,企业财务风险的最终表现可以总结为企业实际经营绩效不能达到企业的与其经营效果。这种负偏差以及其程度大小可以用来衡量企业财务风险情况的严重程度,并且根据该程度和对风险危害的评估分析,判断该风险是否可能发生,并且在发生后及时选择适当的应对措施。在人工神经网络评估法中,通过这些信息列成一个总结性的财务风险报表,在报表上可以综合反映企业经营的总体情况以及所有信息的综合评估,同时也能反映出是哪项指标具体造成了财务风险。也就是说,企业经营绩效的总状况可以用来评价企业总体所处的环境,而单项指标则可以具体指出引发财务风险的根源以及影响因素。
2.2 财务综合指标回归模型评估法
【关键词】 内部控制; 风险评估; 管理策略
为了加强和规范企业内部控制,提高企业经营管理水平和风险防范能力,根据国家有关法律法规,财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制基本规范》。该规范自2009年7月1日起在上市公司范围内施行,鼓励非上市的大中型企业执行。我国《企业内部控制基本规范》提出我国内部控制的基本要素包括内部环境、风险评估、控制活动、信息与沟通和内部监督等五项,并在《基本规范》中单辟一章,就风险评估的有关内容进行了规定。这说明国家和企业已经意识到风险评估在企业内部控制中的重要作用,那么企业应该从哪些方面来加强识别企业风险,建立风险评估系统,进一步改善内部控制呢?
一、国内外企业风险评估体系研究综述
国外对内部控制的研究已有很长的历史。1988年美国注册会计师协会《审计准则公告第55号》,该公告提出内部控制结构的三个要素:控制环境、会计制度、控制程序。进入90年代以后,COSO提出《内部控制―整体框架》的报告,将内部控制分为控制环境、风险评估、控制活动、信息与沟通和监督五个部分,实现了内部控制由三要素向五要素的飞跃。自此风险评估被纳入内部控制系统之中。最新内部控制研究结果表明,内部控制与风险管理愈发趋向目标一致,某些内容也有较大重合,COSO也于2001年起着手进行风险管理研究,从最初的将风险评估作为一个要素纳入内部控制整体框架中到目前的着手进行风险管理研究,足可以看出内部控制与风险管理的趋同性和风险这一因素在内部控制中的作用和地位越来越重要。
近年,我国理论界和实务界越来越重视内部控制的研究和应用,学者们在理论观念的引进和研究方面做了大量的工作。由财政部、证监会等五部委联合的我国第一部《企业内部控制基本规范》就是很好的证明。
二、进行内部控制风险评估研究的现实意义
史学家汤因比曾说过:“一个国家乃至一个民族,其衰亡是从内部开始的,外部力量不过是其死亡前的最后一击”。企业的存亡又何尝不是如此呢。既然一个企业的衰亡也是从其内部开始的,那若要寻求企业的生存发展之路就必须从其内部抓起,内部控制正是基于这一点才得到了世界各国理论界和实务界的重视。同时,市场经济从微观角度来说是一种风险经济,企业作为市场的基本单位时刻置身于风险之中,越是开放发达的市场经济,其中蕴藏的风险和不确定性越大。随着市场经济的发展成熟和市场开放程度的加大,风险己经成为企业关注和管理的焦点,作为企业内部管理核心的内部控制要想发挥其应有的作用,必须不断充实和发展,以求跟上市场发展的步伐,正是基于这个基础,风险的概念逐步进入了内部控制的范围。减轻或避免风险是内部控制活动的目标,各种风险因素是内部控制的对象。所以,企业要实施有效的内部控制,就要识别和衡量它所面临的风险及其风险因素,这是采取有效控制活动的依据和前提,这里的识别和衡量风险就是风险评估。目前COSO整体框架和我国《企业内部控制基本规范》把风险评估作为一项基础要素纳入到内部控制框架之中,这一发展是理论顺应客观实际发展的必然结果。
进行内部控制和风险评估研究具有重要的现实意义:内部控制的缺失和不健全是导致会计舞弊泛滥的根本原因之一;内部控制制度的极度缺失和对风险的忽视是导致我国企业生命周期短的根本原因; 国有企业改革的成功离不开健全的内部控制制度及风险的管理和控制;风险评估是内部控制制度设计控制活动和发挥应有作用的基础。
风险评估是内部控制系统的基础组成部分,要使控制制度发挥其应有的作用,企业必须清楚所面临的风险,并对整个企业的风险进行定性或定量的评估,然后针对风险评估的结果采取相应的控制活动。其实内部控制也就是风险的管理与控制活动,如果毫无风险,也就不需耗费大量的人力财力物力去搞什么内部控制。既然风险的存在是控制的原因所在,进行风险评估就成为整个内部控制制度的基础和关键。无论是从国际大环境来看还是从我国的具体情况出发,内部控制的研究和应用都是非常重要的。但是,作为有效实施内部控制的基础条件的风险评估却还没有得到足够的发展,研究会计和审计的人都早已熟知制度基础上的审计,但风险基础上的控制观念还是个新概念,还没有建立起比较完善的体系。因此,进行内部控制和风险评估研究无疑具有非常重要的现实意义。
三、风险评估体系的构建
鉴于风险评估在我国内部控制中的运用,笔者认为可以通过以下几个步骤来建立风险评估系统。
(一)确定全面风险管理目标
风险是指企业在未来经营中面临的、可能影响其经营目标实现的所有不确定性。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,并合理确定风险应对策略。全面风险管理是指企业围绕总体目标,制定风险管理策略,在企业经营管理的各个方面和业务过程中的各个环节进行风险管理的基本流程,落实风险理财措施,培育良好的风险管理文化,建立健全风险管理的组织体系、信息系统和内部控制系统的过程和方法。
企业目标是企业宗旨的具体化,是企业各项业务和管理活动所指向的终点。企业风险管理的首要任务,就是确定目标。只有先确立了目标,管理层才能针对目标确定风险并采取必要的行动来管理风险。确定全面风险管理目标要做到:企业风险管理目标的确定应与员工沟通;企业计划和预算与风险管理目标、战略计划及当前情况具有一致性;业务活动风险目标要具体;领导层参与制定企业风险目标并对其负责。
(二)收集风险管理初始信息
实施全面风险管理,企业应广泛、持续不断地收集与本企业风险和风险管理相关的内部、外部初始信息,包括历史数据和未来预测。应把收集初始信息的职责分工落实到各有关职能部门和业务单位。
1.在财务风险方面,企业至少收集以下信息
(1)负债、或有负债、负债率、偿债能力。(2)现金流、应收账款及其占主营业务收入的比重、资金周转率。(3)应付账款及其占购货额的比重。(4)成本和管理费用、财务费用、营业费用。(5)成本核算、资金结算和现金管理业务中曾发生或易发生错误的业务流程或环节。
2.在市场风险方面,企业至少收集以下信息
(1)产品的价格及供需变化。(2)产品供应的充足性、稳定性和价格变化。(3)主要客户、主要供应商的信用情况。(4)潜在竞争者、竞争者及其主要产品情况。
3.在运营风险方面,企业至少收集以下信息:
(1)新市场开发,市场营销策略。(2)企业组织效能、管理现状、企业文化,中、高层管理人员和重要业务流程中专业人员的知识结构、专业经验。(3)质量、安全、环保、信息安全等管理中曾发生或易发生失误的业务流程或环节。(4)因企业内、外部人员的道德风险致使企业遭受损失或业务控制系统失灵。(5)企业风险管理的现状和能力。
企业对收集的初始信息应进行必要的筛选、提炼、对比、分类、组合,以便进行风险评估。
(三)风险识别
企业风险的识别应当以一种系统方法来进行,以确保公司的所有主要活动及其风险都被囊括进来,并进行有效的分类。根据企业实际情况和技术水平,风险识别主要以定性识别方法为主,适当结合定量识别方法,同时根据业务发展和管理水平的不断提高,逐步引进和加大定量识别方法。
企业应选择适当的风险识别方法,保证风险识别的规范性和科学性,具体措施有:
1.建立科学的风险识别方法体系,对企业和各职能部门随时关注企业活动中存在的风险提供指导。
2.对风险识别方法进行规范化和制度化,确保企业和各职能部门使用统一的识别方法体系对风险识别结果进行描述。
3.利用历史事件诸如违约支付、产品价格变动等,关注未来事件诸如人口变动、新市场条件以及竞争者行为等对风险进行趋势分析和关注。
4.建立损失事件数据库,通过事件列表、事件分类、内部分析、推动讨论和会谈、流程分析等方法进行风险识别,确定风险因素发展趋势和根源。
(四)风险分析
企业风险分析评估的方法多种多样,采用定量分析方法,特别是利用数学模型进行风险分析,可以使风险管理建立在科学的基础上,并为最终的决策提供可靠的依据。风险分析及度量,需要充分地获得企业在历史年度内发生的各种风险的次数以及所导致的损失,统计时段越长,风险评估的准确性越高。风险评估不仅要了解历史上各种风险发生的频率,还要充分考虑风险的客观环境是否改变,如果有变化,就要在历史数据的趋势分析上进行修正。在实际操作中,许多风险发生的可能性实际上难以量化,它们至多只能定性地被描述为“大的”、“中的”、或“小的”风险。
企业在分析风险发生的可能性(或频率、概率)和风险发生的条件方面,可采取如下措施:
1.企业基于风险识别的结果对风险的发生概率进行分析评估,选择采用诸如预期估计或情况评价等术语来表达潜在的可能性,或采用数据或图表的形式来描述和评价风险发生的概率。
2.企业建立风险分析模型,通过关键风险指标管理方法、压力测试和情景分析等定量技术手段和会谈、工作组会议等定性评价技术对风险发生的条件因素进行分析,以确定风险发生的具体条件。
3.企业自查与外部检查、事前与事后检查相结合。
4.企业引进技术手段,由日常业务数据、财务数据入手,按照既定的模型做预警提示。
(五)风险评价
企业风险评价是在风险识别、风险分析的基础上,评估风险对企业可能产生的影响以及确定风险的重要性水平的过程。企业风险评价包括两个方面的内容,即分析风险可能产生的影响和确定风险的重要性水平。企业风险评价通常是和风险分析同步进行的,因而其方法也和风险分析相同。
企业风险评价的控制措施有:
1.企业对于重要事项面临的重要风险可能带来的重大影响,应当通过定量分析技术,确定各种可能性造成影响的数量,从而为企业采取恰当的风险对策提供科学的依据。
2.企业应当按照风险可能带来的影响程度的大小,对风险进行排序,明确重要风险和一般风险。
3.企业应当对重要风险予以特别的关注,避免重要风险可能给企业带来的重大损失。
(六)风险管理策略
一般情况下,对战略、财务、运营和法律风险,可采取风险承担、风险规避、风险转换、风险控制等方法。
1.企业针对各种风险建立确定风险应对措施的程序和方法,对具有较高发生概率、影响重大的风险优先考虑。
2.建立一套广泛适应的风险决策判断标准,即根据风险严重程度和企业的风险承受程度确定不同的决策。
3.企业对降低风险水平所需成本进行合理分析,评估风险应对措施的成本与效益。
4.企业选定风险处理措施后,根据剩余风险重新校订风险。
5.企业要持续获得风险变化信息,有效地控制、管理风险,防范新风险的产生。
6.对重要风险进行实时监控。
四、结论
企业风险评估是一个持续反复的过程,一次风险评估并不能一劳永逸。企业应当结合不同发展阶段和业务拓展情况,持续收集与风险变化相关的信息,进行风险识别和风险分析,根据情况的变化及时调险应对策略,以避免由于原来选择使用的风险应对策略无效而影响内部目标的实现。特别是当企业经营活动所处的外部环境发生变化时,企业必须保持应有的灵敏度,针对变化的外部环境进行相应的风险评估,以使企业的目标在变化了的外部环境中得以实现。我国企业只有建立比较完善的风险评估系统,才能真正完善我国企业的内部控制,真正促进我国企业的进一步发展。
【参考文献】
[1] 李玉环.内部控制中的风险评估[J].会计之友,2008 (10).
[2] 马宏杰.企业内部控制制度存在的问题与对策[J].财会研究,
2007(4).
我国的信息安全标准化制定工作比欧美国家起步晚。全国信息化标准制定委员会及其下属的信息安全技术委员会开展了我国信息安全标准方面工作,完成了许多安全技术标准的制定,如GB/T18336、GB17859等。在信息系统的安全管理方面,我国目前在BS7799和ISO17799及CC标准基础上完成了相关的标准修订,我国信息安全标准体系的框架也正在逐步形成之中[1]。随着信息系统安全问题所产生的损失、危害不断加剧,信息系统的安全问题越来越受到人们的普遍关注,如今国内高校已经加强关于信息安全管理方面的研究与实践。
2高校信息安全风险评估模型
2.1信息安全风险评估流程
[2]在实施信息安全风险评估时,河南牧业经济学院成立了信息安全风险评估小组,由主抓信息安全的副校长担任组长,各个相关单位和部门的代表为成员,各自负责与本系部相关的风险评估事务。评估小组及相关人员在风险评估前接受培训,熟悉运作的流程、理解信息安全管理基本知识,掌握风险评估的方法和技巧。学院的风险评估活动包括以下6方面:建立风险评估准则。建立评估小组,前期调研了解安全需求,确定适用的表格和调查问卷等,制定项目计划,组织人员培训,依据国家标准确定各项安全评估指标,建立风险评估准则。资产识别。学院一卡通管理系统、教务管理系统等关键信息资产的标识。威胁识别。识别网络入侵、网络病毒、人为错误等各种信息威胁,衡量威胁的可发性与来源。脆弱性识别。识别各类信息资产、各控制流程与管理中的弱点。风险识别。进行风险场景描述,依据国家标准划分风险等级评价风险,编写河南牧业经济学院信息安全风险评估报告。风险控制。推荐、评估并确定控制目标和控制,编制风险处理计划。学院信息安全风险评估流程图如图1所示:
2.2基于PDCA循环的信息安全风险评估模型
PDCA(策划—实施—检查—措施)经常被称为“休哈特环”或者“戴明环”,是由休哈特(WalterShewhart)在19世纪30年代构想,随后被戴明(EdwardsDeming)采纳和宣传。此概念的提出是为了有效控制管理过程和工作质量。随着管理理念的深入,该循环在各类管理领域得到广泛使用,取得良好效果。PDCA循环将一个过程定义为策划、实施、检查、措施四个阶段,每个阶段都有阶段任务和目标,如图2所示,四个阶段为一个循环,一个持续的循环使过程的目标业绩持续改进,如图3所示。
3基于PDCA循环模型的信息安全风险评估的实现
[3-5]河南牧业经济学院信息系统安全风险评估的研究经验积累不足,本着边实践边改进,逐步优化的原则,学院决定采用基于PDCA循环的信息安全评估模型。信息安全风险评估模型为信息安全风险评估奠定了理论依据,是有效进行信息安全风险评估的前提。学院拥有3个校区,正在逐步推进数字化校园的建设。校园网一卡通、教务、资产、档案等管理系统是学院网络核心业务系统,同时各院系有自己的各类教学系统平台,由于网络环境的复杂性,经常会监控到信息系统受到内外部的网络攻击,信息安全防范问题已经很突出。信息安全风险评估小组依据自行研发的管理系统对学院各类信息系统进行全面的风险评估(图4),以便下一步对存在的风险进行有效的管理,根据信息系统安全风险评估报告,提出相应的系统安全方案建议,对全院信息系统当前突出的安全问题进行实际解决。
3.1建立信息安全管理体系环境风险评估(P策划)
风险规划是高校开展风险评估管理活动的首要步骤。学院分析内外环境及管理现状,制定包括准确的目标定位、具体的应对实施计划、合理的经费预算、科学的技术手段等风险评估管理规划。风险规划内容包括确定范围和方针、定义风险评估的系统性方法、识别风险、评估风险、识别并评价风险处理的方法。信息安全评估风险评估管理工作获得院领导批准,评估小组开始实施和运作信息安全管理体系。
3.2实施并运行信息安全管理体系(D实施)
该阶段的任务是管理运作适当的优先权,执行选择控制,以管理识别的信息安全风险。学院通过自行研发的信息安全风险管理工具,将常见的风险评估方法集成到软件之中,包括有信息资产和应用系统识别、风险识别与评估、风险处置措施及监测、风险汇总与报告生成等功能。通过使用信息安全风险管理工具,安全风险评估工作都得到了简化,减轻人员的工作量,帮助信息安全管理人员完成复杂的风险评估工作,从而提高学院的信息安全管理水平。
3.3监视并评审信息安全管理体系(C检查)
检查阶段是寻求改进机会的阶段,是PDCA循环的关键阶段。信息安全管理体系分析运行效果,检查到不合理、不充分的控制措施,采取不同的纠正措施。学院在系统实施过程中,规划各院系的信息安全风险评估由本系专门人员上传数据,但在具体项目实施中,发现上传的数据随意甚至杜撰,严重影响学院整体信息系统安全评估的可靠性,为了强化人员责任意识,除了加强风险评估的培训外,还制定相应的惩罚奖励制度,实时进行监督检查,尽最大可能保证风险评估数据的准确性[6]。
3.4改进信息安全管理体系(A措施)
经过以上3个步骤之后,评估小组报告该阶段所策划的方案,确定该循环给管理体系是否带来明显的效果,是继续执行,还是升级改进、放弃重新进行新的策划。学院在项目具体实施后,信息安全状况有了明显的改善,信息管理人员安全责任意识明显提升,遭受到的内外网络攻击、网络病毒等风险因素能及时发现处理。评估小组考虑将成果具体扩大到学院其他的部门或领域,开始了新一轮的PDCA循环持续改进信息安全风险评估。
4结语
关键词:财务 风险管理 研究 供电企业
一、供电企业财务风险管理现状
财务风险是指由于多种因素的作用,使企业不能实现预期财务收益,从而产生损失的可能性。企业的财务风险控制难以落实到位、与企业日常工作脱节而导致企业运营不良的问题一直是企业财务管理的难题,而新时期的经济环境对企业一体化管理要求逐日提升,更加注重财务端与业务端的紧密配合,供电企业亦是如此。当前,供电企业在财务风险管理中主要存在以下问题:
(一)财务风险管理控制理念较为落后
供电企业的财务风险管控的理念仍然处于一个较为落后的地步,没有很好地融入财务管理的基本目标――价值最大化,财务部难以发挥企业整体价值引领的职能。因此,供电企业需要及时更新财务风险控制理念,将财务风险控制的目标放到企业整体运营的战略高度上。
(二)财务风险控制机制不完善
传统供电企业财务风险控制只集中于财务风险的识别、评估和应对,缺乏长期的监控和改进流程,缺乏对不同风险的侧重分类,可能产生企业资源浪费、管控效果降低的问题。新时期的财务风险控制工作需要结合企业财务风险管控文化和企业财务风险信息系统,才能保障财务风险管控工作有效施行。
(三)财务风险控制业务协同性不足
供电企业组织体系庞大,管理层级较多,传统的财务风险控制工作被通常误解为财务部的工作,其他部门只是辅助作用。财务风险控制体系的建设需要将风险源控制迁移到业务部门,从业务部门到财务部门的工作中一体化地将财务风险梳理出来,针对性的进行科学有效的控制改进。
二、构建新型供电企业财务风险管理体系
结合全面风险管理理论框架、COSO企业风险管理――整合框架,基于供电企业的管理现状、具体情况,探讨构建新型供电企业财务风险管理体系框架。
(一)构建目标
“COSO企业风险管理――整合框架”提出四个目标,具体包括:战略、经营、报告、合规。COSO提出的目标普遍适用于各行业企业,但针对性不足,并未能充满体现供电企业的公共服务、资产密集的特点。结合新常态下的环境和供电企业管理特点,提出供电企业财务风险管理体系的三大目标:
1、资产安全
供电企业属于资产、资金密集型企业,其特点是资产高度密集集中,资产数量庞大、种类繁多,且资产设备高单价,涉及大量资金流出流入,资金管理风险大。因此,资产和资金的安全、完整是企业可持续发展的物质基础,财务风险控制体系应保障资产、资金(包括表内外资产、资金)的安全,防止国有资产流失。
2、经营合规
供电企业属于自然垄断行业,一举一动受到社会外界严格监管。任何违法违规行为都会严重影响企业形象。因此,企业经营活动必须在法律规定的范围内,绝不允许通过逾越法律以谋求企业高速发展,只有在遵纪守法的基础上,才有条件追求企业价值最大化目标。在经营合规目标中还包含了财报合规目标,企业需严格按照会计法、会计准则提供及时、真实、完整、准确的财务信息,保证上报、披露的财务信息报告真实完整,以有效监控企业经济业绩和有效支持管理决策。
3、可持续发展
供电企业一方面实现国资委利润目标考核,同时作为公共服务行业,又要兼顾社会公益性和绿色环境保护等可持续发展要求。因此,财务风险控制提出可持续发展目标,充分考虑短期利润和长期发展要求,提升企业可持续发展能力和创造长久价值。
(二)构建步骤
构建财务风险内控管理体系的关键是建立一套行之有效的财务风险管理运作机制。应分步建立风险评估、风险应对、风险监控、监督改进的系统性管理要点与流程,并持续修订与完善,实现闭环管理。
1、开展风险事项识别
风险识别延伸业务端。企业经营过程发生的财务风险并不局限于财务管理活动,更多是由于业务端的工作不合规,不合理所导致。因此财务风险识别不仅是对财务端风险识别,更要延伸到业务前端,确保评估范围全面覆盖。例如:资金安全风险来源于资金流入安全的不确定性和资金流出安全的不确定性两个方面,并进一步延伸到收费管理、项目结算等业务前端的风险识别。
追溯财务风险源。基于财务风险事项识别,对风险事项的风险源进行深度分析,风险源不仅包括财务端的风险源,还应延伸到业务端的风险源,分析发现风险产生的根本原因,更好制定有效的控制措施,从源头控制风险。
2、开展风险评估
建立风险评估标准。基于“风险评估分数=风险发生可能性*风险发生影响程度”公式,细分风险发生可能性和风险发生影响程度评价维度。风险发生可能性细分为可能性概率和可能性定性描述,风险发生影响程度细分为经济损失、计划实现、管理效率、企业声誉。
全员参与风险评估。财务风险涉及到企业各个业务领域、各个流程、各个岗位,只有全员参与、多方配合开展风险评估,才能保证财务风险评估结果的合理性和科学性。风险评估要求风险事项涉及的归口管理部门和辅导责任部门负责评估,并且要求每个部门主任或副主任至少一个人、全体主管或副主管参与评估风险。根据归口管理和辅导责任,不同岗位级别的评估分数予以不同权重。
外部专家审核。由于内部员工对自身风险存在一定的局限性,因此,财务风险评估结果增加外部专家审核,根据供电企业内外部环境风险变化,提出财务风险关键点,对风险评估结果提出反馈意见。
3、建立风险事件库
财务风险识别、评估结果进行编号整理形成风险事件库,内容包括风险事件、风险源、发生可能性、影响程度、风险分值、风险级别。
4、制定风险应对策略
根据财务风险分值、级别,确定主要财务风险的应对策略,主要包括风险规避、风险控制、风险转移、风险承担。
5、开展风险监控
风险监控是在风险评估和风险应对基础上,对重大风险设定关键风险指标,实施日常监测、预警和控制的过程。其中,关键风险指标是由关键绩效指标(KPI)衍生出来的指标,用于监控重大风险的属性状态变化和风险承受度突破水平。
关键风险监控指标包括前瞻指标和历史指标。其中,前瞻指标是指该类指标可以反映风险发生前的状态或程度;历史指标是指该类指标通过统计风险已经发生的历史情况,预测未来重复发生的状态或程度。其中,前瞻性指标也可以包括触发指标(即某类关联性因素的发生或状态变化,会间接反映当前风险的状态或程度),历史性指标也可包括布尔指标(即根据某触发因素的是或否,判断风险预警状态)
6、监督改进
风险管理监督改进是指针对全面风险管理体系运转过程存在的各种缺陷和不足,开展自查、监督、检查和审计,并实施体系改进与完善的过程。
财务部、监察审计部、各业务部门利用压力测试、返回测试、穿行测试,风险控制自评等一些方法工具,发现财务风险管理存在问题,分为“控制缺陷”与“管理提升”,形成优化建议报告,实施改进,更新相关的风险应对措施。
控制缺陷:识别现有控制不足与未能防范财务风险的控制缺陷,并提出整改建议,明确完成时间、责任部门。
管理优化:分析现阶段管理水平,从提升运营效率、加深业财融合等角度提出管理提升优化建议,明确完成时间、责任部门。
(三)保障机制
通过建设财务风险信息系统和构建财务风险文化作为风险体系的基础工作,支撑风险体系落地、实施,并贯穿于风险评估、风险应对、风险监控、监督改进各个环节。
财务风险管理信息系统:是将信息技术应用于供电企业财务风险管理的各项工作,为供电企业提供一个财务风险信息采集、分析、共享的平台。其主要功能包括:提供财务风险信息采集模板,积累大量标准化的财务风险信息;集中财务管理风险信息,固化财务风险管理流程;实时监控财务风险,提供高效的财务信息化预警手段。借助财务风险管理信息系统的这些功能会对企业提高财务风险管理的科学性和工作效率产生显著效用。
财务风险文化:新型供电企业财务风险管理体系中的财务风险文化建设,总结为以下四个方向:“道德诚信、安全第一、持续发展、风险可控”。各供电企业需结合自身文化形成独树一帜的特色企业财务风险文化。
三、结论与展望
本文研究了供电企业财务风险管理体系的建设,探讨构建了财务风险管理体系建设全过程和实际操作方法。今后,随着电力企业改革的深入推进,供电企业应动态分析外部环境变化对财务风险的影响,进一步完善财务风险管理体系,推进实施成本精益化管理,为企业健康协调持续发展服务。
参考文献:
[1]张惠娟.电网企业财务风险分析及管理研究.华北电力大学,2009.
财务风险评估其实质就是对企业经济活动收益以及风险情况的量化分析,重点是对企业财务风险的概率、范围以及可能造成的影响进行全面的评估。一些企业的财务风险评估水平不高,不能有效的识别企业在经营管理阶段的风险问题,而且提出的风险防控措施效果较差,造成了财务风险问题得不到防范控制。
二、企业财务风险管理防控措施
1.强化企业的财务风险意识
确保企业的财务风险控制管理工作有序开展,必须提高企业管理部门的财务风险意识,尤其是确保企业内部管理决策的科学性。首先,应该在企业内部对管理层的权限以及职责进行明确与调整,尤其是依靠健全的企业内部控制管理制度,增强对财务决策风险的约束作用,强化对管理决策的审核批准管理,避免由于盲目决策、随意决策造成企业出现财务风险问题。其次,应该提高企业内部员工的财务风险意识,尤其是提高财务管理工作人员的风险防范意识,对有可能造成企业出现财务风险的信息进行及时的整理分析,全员参与到企业内部的财务风险管理工作中,以提高财务风险控制管理的效率。
2.完善企业财务风险监管机制的建设
财务风险监管机制可以强化对企业财务风险的控制管理,防范企业财务风险问题的发生,因而对于保障企业经济活动的安全具有非常重要的作用。对于企业财务风险监管,首先应该强化企业内部审计机构职能,逐步建立以企业财务风险控制为导向的内部审计机制,通过对企业内部财务管理活动以及财务报表的审计监督,及时发现财务风险隐患。其次,应该进一步的强化企业的财务机构职能,按照企业的实际情况,适当的提高企业财务职能的集中程度,这既可以提高财务工作的效率,同时也有助于提高财务整体实力,在更高层次制定财务风险管理策略。
3.提高企业对财务风险的评估应对能力
对于企业的财务风险评估工作,首先应该结合企业的实际情况,选择合理的风险评估指标。对于筹资风险重点是在流动比率、速动比率、现金比率、资产负债率等进行风险评估;对于投资风险则主要是以总资产增长率、净利润增长率、总资产报酬率、净资产收益率作为风险评估指标;对于营运风险指标主要是总资产周转率、固定资产周转率、应收账款周转率以及存货周转率;对于收益分配风险,主要是通过现金流量比率、股本报酬率、股息发放率作为评价指标。通过这些评价指标,结合因子分析法、多元线性分析或者是逻辑回归分析等评价风险预警模型,及时的掌握财务风险的概率及影响情况,进而针对性的采取通过风险分担、风险转移、加快资金回笼以及调整决策等管理措施,控制财务风险问题。
三、结语
关键词:企业风险管理
企业面临的内外部环境不断发生变化,不确定性正日益成为企业各级组织所必须面对的常态。通过“不确定性”这一独特的视角,在企业活动的各个环节使用风险管理的方法和技术,可以强化各专项业务的管理,提升整体管理水平。
一般来说,企业可从以下几个方面着手,开展全面风险管理。
一、构建四个体系,搭建全面风险管理基础平台
1.建立组织体系
企业应在现有组织结构框架的基础上,成立全面风险管理领导小组,统一领导和组织全面风险管理工作,组长应由企业高层管理者担任,成员由相关部门负责人组成。在企业管理部门设立全面风险管理办公室,负责日常组织管理。
2.建立管控体系
建立“五位一体”管控体系,在充分发挥内控、审计、监察、稽核、法律作用的基础上,组织相关部门共同研究系统管理问题,分析产生原因,通过完善管理制度、调整管理体制和运行机制,达到解决原有问题、防范类似问题再度产生的目的。
3.建立报告体系
风险管理报告应当为决策者提供重要参考并切实解决实际问题。企业应根据管理需要、自身实际和习惯,选择和设计风险管理报告的类型和模板。风险管理专业人员负责汇总各类风险信息、数据、分析和评价报告,对跨部门业务的重大风险提出解决方案,为下属单位开展风险管理工作提供技术支持。
4.建立考核体系
企业应制定《全面风险管理考核制度》,明确风险管理的考核目标、原则、程序、对象、范围和标准,并把风险管理评价与管理层的绩效考核结合起来,逐步建立重大风险责任追究制度,不断完善风险管理的考核体系。
二、执行五个步骤,理顺全面风险管理基本流程
1.开展风险识别
每年年初,企业应根据自身发展目标和战略,广泛、持续地收集与风险管理相关的内外部信息,运用有关的知识和方法,对各种风险系统、全面和连续的进行辨识、归类,并分析产生风险事故的原因与过程。
(1)主要风险分类。根据《中央企业全面风险管理指引》,企业一级风险一般可分为五大类,即战略风险、财务风险、市场风险、运营风险、法律风险。对照一级风险分类,由职能部门根据日常业务内容和岗位职责,结合工作目标,对不确定因素较多的业务或流程进行二级类别划分,编制风险分类清单,由全面风险管理办公室进行汇总整理。
(2)建立风险事件库。为有效识别分别风险事件,可采取“四三二一风险识别法”,以有效提高风险评估的可操作性“四三二一”风险识别法即四个负面的责任内风险、三个负面的责任外风险、两个正面的责任内风险、一个其他风险事件,以调查问卷的形式,对重要岗位人员进行风险调查,由风险管理员负责整理,建立风险事件库。对已识别风险的可能性和影响程度进行评价,制定具体的风险应对措施,并动态评估、持续完善。
2.组织风险评估
在风险识别的基础上,可采用定性或定量方法,对风险发生可能性和影响程度进行预计和估算,最终确定风险评级。
(1)风险评估工作的组织。企业应建立风险评估工作标准、程序和方法,制定风险评估计划,组织协调和指导各职能部门和单位开展风险评估工作。各职能务部门应按照规定标准和程序,组织开展本业务系统风险评估工作。
(2)风险评估方法。企业应根据自身经营目标,结合风险偏好及风险承受度,制定风险发生的可能性及影响程度的判断标准,以及风险评级标准等。风险发生的可能性和影响程度均分为五个档次,即:极低、低、中等、高和极高。风险评级分为三个档次,即:重大风险、重要风险和一般风险。可运用定性、定量或定性与定量相结合的方法,确定风险评级。
3.做好风险应对
企业应根据自身条件和外部环境,针对所评估风险的不同属性,采取风险规避、风险降低、风险转移/分担、风险承受等风险应对措施,合理配置风险管理所需人力和财力资源,以有效控制各类风险。
4.抓好风险处置
建立重要风险预警机制,制定应急预案,明确超出预警标准和危机出现等情形后的责任部门和责任人、应对策略、工作程序及工作要求。对关键风险指标进行持续不断的监测,及时预警信息,并根据情况变化调整控制措施。对于影响严重的突发事件要快速反应,协同应对,建立统一指挥、反应灵敏、功能齐全、协调有序、运转高效的应急管理机制。
5.风险监控与改进
企业全面风险管理办公室定期组织相关部门和单位,针对各类风险的管理情况进行跟踪和监控,及时向领导小组报告风险信息。风险监控的主要内容可包括风险预警指标的变化情况和发展趋势,风险应对措施执行的有效性等。全面风险管理办公室负责组织对企业风险管理总体情况进行检验,根据变化情况和存在的缺陷及时加以改进。
三、加强宣传教育,推进全面风险管理文化建设
有效的风险管理体系建设必须以先进的风险管理文化培育为先导。企业首先应以现有的企业文化为背景,充分利用各种宣传媒体和形式,提升全员风险意识和责任意识,树立风险无处不在、无时不在、岗位风险管理责任重大等意识和理念,使广大员工认同并自觉遵守的风险管理理念、风险价值观和风险管理行为规范。
其次,应加大专业风险管理人员的培训力度,使他们成为培育风险管理文化的骨干,承担起向员工诠释企业风险文化的义务,并带领员工付诸行动,纠正员工的行为偏差。
关键词:审计风险准则 风险导向 重大错报风险 风险评估 审计证据
一、前言
2006年财政部颁布了《中国注册会计师执业准则》,标志着我国在建立适应社会主义市场经济发展要求,顺应国际趋同新形势的道路上迈进了一大步。为了更好地指导注册会计师有效地识别、评估和应对审计风险,准则框架体系全面渗透着风险导向审计的理念,要求注册会计师将风险导向审计的观念贯穿于审计全过程。传统审计方法的主要缺陷在于注册会计师重视被审计单位的内部环境,但忽视其所处的外部环境;重视审计单位的控制风险但忽视其固有风险。事实上我国注册会计师面临的情形是被审计单位及其所处环境的日趋复杂。行业状况、法律环境与监管环境以及其他外部因素,都会对注册会计师审计质量产生重大影响。在复杂环境下或被审计单位内部控制不健全时,如果继续采用传统审计模式,局限于控制测试和实质性测试,把审计的主要资源集中在具体交易事项和余额细节测试上。极易引发审计风险。因此,新执业准则要求注册会计师了解被审计单位及其内外部环境,同时注重检查风险和固有风险(即重大错报风险),重点关注存在重大错报风险的领域,达到避免触发审计风险的目的。新执业准则体系的核心内容为以下准则,简称审计风险准则,分别为:《中国注册会计师执业准则第1101号――财务报表审计的目标和一般原则》(以下简称第1101号准则,下同)、《中国注册会计师执业准则第1211号――了解被审计单位及其环境并评估重大错报风险》、《中国注册会计师执业准则第1231号――针对评估的重大错报风险实施的程序》、《中国注册会计师执业准则第1301号――审计证据》。
二、审计风险准则修订的主要内容
(一)第1101号准则 第1101号准则是在借鉴国际审计与鉴证准则第200号的基础上,对原《独立审计准则第1号――会计报表审计》进行修订而形成的。其主要内容有:会计责任和审计责任、审计的目标、审计范围、职业怀疑态度、审计风险及模型。(1)明确区分注册会计师的责任,公司管理层和治理层的责任。新准则规定,对财务报表发表审计意见是注册会计师的责任;在被审计单位治理层的监督下,按照适用的会计准则和相关会计制度的规定编制财务报表是被审计单位管理层的责任。此外,准则条款还特别强调了财务报表审计不能减轻被审计单位管理层和治理层的责任。(2)明确财务报表审计目标。新准则规定,财务报表审计的目标是注册会计师通过执行审计工作,对财务报表的下列方面发表审计意见:财务报表是否按照适用的会计准则和相关会计制度的规定编制;财务报表是否在所有重大方面公允反映被审计单位的财务状况、经营成果和现金流量。这个规定与原有的规定没有太大区别,但是新准则中明确提出,财务报表审计属于鉴证业务,注册会计师的审计意见旨在提高财务报表的可信赖程度。(3)修订审计范围的定义。新准则指出,财务报表的审计范围是指注册会计师为实现财务报表审计目标,根据审计准则和职业判断实施的恰当的审计程序的总和。在确定拟实施的审计程序时,注册会计师应当遵守与财务报表审计相关的各项审计准则。恰当的审计程序是指审计程序的性质、时间和范围是恰当的。一是审计程序的性质指审计程序的目的和类型。目的包括:通过了解被审计单位及其环境,识别、评估重大错报风险;通过实施控制测试,明确内部控制运行的有效性;通过实施实质性程序,发现认定层次的重大错报。类型则包括检查、观察、询问、函证、重新计算、重新执行和分析程序。二是审计程序的时间是指注册会计师何时实施审计程序,或指审计证据适用的期间或时点。三是审计程序的范围是指实施审计程序的数量,包括抽取的样本量,对某项控制活动的观察次数等。审计范围受到限制是指由于客观原因或者被审计单位施加的限制,注册会计师未能实施根据审计准则和职业判断应当实施的审计程序,从而未能获取充分、适当的审计证据。(4)要求注册会计师在审计过程中始终保持职业怀疑态度,并明确在财务报表审计中注册会计师只能提供合理保证。新准则要求,在计划和实施审计工作时,注册会计师应当保持职业怀疑态度,充分考虑可能存在导致财务报表发生重大错报的情形。新准则指出,注册会计师按照审计准则的规定执行审计工作,能够对财务报表整体不存在重大错报获取合理保证。由于审计中存在的固有限制影响注册会计师发现重大错报的能力,注册会计师不能对财务报表整体不存在重大错报获取绝对保证,即只能提供合理保证。(5)引进新的审计模型。新准则对审计风险模型作了重大改变,将原审计风险模型修正为:审计风险:重大错报风险x检查风险,审计风险取决于重大错报风险和检查风险,是两者的综合风险。重大错报风险要求注册会计师站在风险的高度上把握审计过程,以风险为导向进行审计,强化了风险意识,注册会计师对于重大错报风险的评估贯穿于审计的整个过程。改变后的审计风险模型使得注册会计师从更高的层次上把握重大错报风险,要求注册会计师必须了解被审计单位及其环境(包括内部控制),以充分识别和评估财务报表重大错报风险,并针对评估的重大错报风险设计和实施进一步审计程序(包括控制测试和实质性测试),以降低注册会计师的审计风险。在目前经济不确定性增大的环境下,显然新的审计风险模型更能满足风险控制的要求,并且可操作性较强。
(二)第1211号准则 第1211号准则是在借鉴国际审计与鉴证准则第315号基础上出台的新准则,将取代我国原有的《独立审计准则第21号――了解被审计单位情况》、《独立审计准则第9号――内部控制与审计风险》和《独立审计准则第20号――计算机信息系统环境下的审计》,以克服旧准则相互分离、缺乏有机融合的缺陷。根据《中国注册会计师审计准则第1101号――财务报表审计的目标和一般原则》要求,注册会计师在审计过程中应当贯彻风险导向审计的理念,围绕重大错报风险的识别、评估和应对,计划和实施审计工作。其中如何识别和评估重大错报风险,构成了注册会计师应对重大错报风险的前提。注册会计师如何了解被审计单位及其环境,了解哪些具体的内容,了解后如何对重大错报风险进行评估,如何将了解和评估的过程、结果与管理层和治理层进行沟通,在审计工作底稿中应当对哪些内容进行记录,本准则对这些问题做了明确规范,其修订的主要内容有:(1)注册会计师审计的总体要求:了解被审计单位及其环境是必要程序;了解的目的是识别和评估财务报表重大错报风险,设计和实施进一步审计程序;了解的程度应当足够实现了解的目的。与独立审计准则中的规定不同,了解被审计单位及其内外部环境是注册会计师审计过程中必须实施的程序,
也是风险导向审计的核心。(2)风险评估程序的概念及项目组内部讨论的要求。风险评估程序是指为了解被审计单位及其环境而实施的程序。风险评估程序包括:询问被审计单位管理层和内部其他相关人员;分析程序;观察和检查。注册会计师在了解被审计单位及其环境的整个过程中,结合了解的内容和被审计单位业务的特点运用相应的风险评估程序,并利用风险评估程序所获取的信息评估重大错报风险,并可能随着不断获取审计证据而作出相应的变化。如果通过实施进一步审计程序获取的审计证据与初始评估获取的审计证据相矛盾,注册会计师应当修正风险评估结果,并相应修改原计划实施的进一步审计程序,实施风险评估程序之后项目组内部必须进行讨论。注册会计师通过风险评估程序了解被审计单位及其环境后,需要对财务报表重大错报风险进行评估,评估重大错报风险需要运用专业判断,必须由项目组内部讨论来完成,项目组内部讨论可以有效降低审计风险。在原准则中,评估固有风险、控制风险也需要专业判断,但并没有需要项目组共同讨论的规定。一是讨论的目标。项目组通过讨论可以使成员更好地了解在各自分工负责的领域中,由于舞弊或错误导致财务报表重大错报地可能性,并了解各自实施审计程序的结果如何影响审计的其他方面,包括对确定进一步审计程序的性质、时间和范围的影响。二是讨论的内容。项目组应当讨论被审计单位面临的经营风险、财务报表容易发生错报的领域以及发生错报的方式,特别是由于舞弊导致重大错报的可能性。三是参与讨论的人员。注册会计师应当运用职业判断确定项目组内部参与讨论的成员。项目组的关键成员应当参与讨论,如果项目组需要拥有信息技术或其他特殊技能的专家,这些专家也应当参与讨论。项目组的讨论不要求所有成员每次都参与讨论,参与讨论人员的范围受项目组成员的职责、经验和信息需求的影响。四是讨论的时间和方式。项目组应当根据审计的具体情况,在整个审计过程中,持续交换有关财务报表发生重大错报可能性的信息。项目组在讨论时应当强调在整个过程中保持职业怀疑态度,警惕表明舞弊或错误导致的重大错报可能已经发生的信息或其他迹象,并对这些迹象进行追踪。通过讨论,项目组成员可以交流和分享在整个审计过程中获得的信息,包括可能对重大错报风险评估产生影响的信息或有关针对风险实施的审计程序的信息。(3)注册会计师应尽到的相关职责。对注册会计师应当从哪些方面了解被审计单位及其环境作了详细的定义:行业状况、法律环境与监管环境以及其他外部因素;被审计单位的性质;被审计单位对会计政策的选择和运用;被审计单位的目标、战略以及相关经营风险;被审计单位财务业绩的衡量和评价;被审计单位的内部控制。这些内容是新准则的重要内容,值得注意的是对被审计单位的了解不仅局限于被审计单位的内部控制。对以上新准则中有相应的章节进行具体的阐述,使得注册会计师思考的是究竟哪些方面去了解被审计单位,而不像原有准则中是比较模糊的概念,这样做可以有效防止了解的不彻底影响审计工作,低估重大错报风险。(4)明确了注册会计师了解内部控制的定位。注册会计师需要了解和评价的内部控制只是与财务报表审计相关的内部控制,并非被审计单位所有的内部控制。因为注册会计师审计的目标是对财务报表是否不存在重大错报发表审计意见,注册会计师考虑与财务报表编制相关的内部控制,但目的并非对被审计单位内部控制的有效性发表意见。(5)明确了注册会计师评估两个层次的重大错报风险。在对重大错报风险进行识别和评估后,注册会计师应当确定识别的重大错报风险是与特定的各类交易、账户余额、列报的认定相关,还是与财务报表整体广泛相关,进而影响多项认定。某些重大错报风险可能与特定的各类交易、账户余额、列报的认定相关。如被审计单位存在复杂的联营或合资,这一事项表明长期股权投资账户的认定可能存在重大错报风险。又如被审计单位存在重大的关联方交易,该事项表明关联方及关联方交易的披露认定可能存在重大错报风险。某些重大错报风险可能与财务报表整体广泛相关,进而影响多项认定。如在经济不稳定的国家和地区开展业务、资产的流动性出现问题、重要客户流失、融资能力受到限制等,可能导致注册会计师对被审计单位的持续经营能力产生重大疑虑。又如管理层缺乏诚信或承受异常的压力可能引发舞弊风险,这些风险与财务报表整体相关。(6)提出了特别风险的概念,需要特别考虑的重大错报风险即为特别风险,并根据风险的性质、潜在错报的重要程度和发生的可能性判断风险是否属于特别风险。如风险是否属于舞弊风险;交易的复杂程度;风险是否涉及重大的关联方交易等。(7)提出了对仅通过实质性程序无法应对的重大错报风险的处理方法。仅通过实质性程序获取的审计证据无法将认定层次的重大错报风险降至可接受的低水平,注册会计师应当评价被审计单位针对这些风险设计的控制,并确定其执行情况。在被审计单位对日常交易采用高度自动化处理的情况下,审计证据可能仅以电子形式存在,其充分性和适当性通常取决于自动化信息系统相关控制的有效性,注册会计师应当考虑仅通过实施实质性程序不能获取充分、适当审计证据的可能性。如果认为仅通过实施实质性程序不能获取充分、适当的审计证据,注册会计师应当考虑依赖的相关控制的有效性,并对其进行了解、评估和测试。(8)将了解被审计单位及其环境过程中获得的信息记录与工作底稿中。此类信息包括项目组对由于舞弊或错误导致财务报表发生重大错报的可能性进行的讨论,以便得出的重要结论;对被审计单位及其环境各个方面的了解要点、信息来源以及实施的风险评估程序;在财务报表层次和认定层次识别、评估出的重大错报风险;识别出的特别风险和仅通过实质性程序无法应对的重大错报风险,以及对相关控制的评估。
(三)第1231号准则 第1231号准则是在借鉴国际审计与鉴证准则第330号的基础上出台的一个全新的准则,将取代原有的《第21号――了解被审计单位情况》、《第9号――内部控制与审计风险》和《第20号――计算机信息系统环境下的审计》。根据《中国注册会计师审计准则第1101号――财务报表审计的目标和一般原则》的要求,注册会计师在审计过程中应当贯彻风险导向审计的理念,围绕重大错报风险的识别、评估和应对,计划和实施审计工作。其中《第1211号――了解被审计单位及其环境并评估重大错报风险》规范了注册会计师通过实施风险评估程序,识别和评估财务报表层次以及各类交易、账户余额、列报认定层次的重大错报风险,注册会计师针对已评估的财务报表层次的重大错报风险如何确定总体应对措施,针对已评估的认定层次的重大错报风险如何设计和实施进一步审计程序,进一步审计程序的性质、时间、范围如何确定和实施,如何评价实施审计程序收集的审计证据的充分性和适当性,在审计工作底稿中将对哪些审计工作进行记录等,对这些问题的明确规范是第1231号准则的核心内容。其修订的主要内容有:总体要求、针对重大错报风险的总体反应、审计程序的不可预见性、总体方案和进一步审计程序、控制测试的相关要求、实质性程序及相关要求、审计的相关要求、审计工作记录。(1)明确提出了对注册会计师审计的两个总体要求:审计程序的总体要求,注册会计师应
当对评估的财务报表层次重大错报风险确定总体应对措施,并针对评估的认定层次重大错报风险设计和实施进一步审计程序;职业判断的总体要求,注册会计师在确定总体应对措施以及设计和实施进一步审计程序的性质、时间和范围时应当运用职业判断。(2)首次提出了注册会计师应当针对评估的财务报表层次重大错报风险确定下列总体应对措施:向项目组强调在收集和评价审计证据过程中保持职业怀疑态度的必要性;分派更有经验或具有特殊技能的审计人员,或利用专家的工作;提供更多的督导;在选择进一步审计程序时,应当注意使某些程序不被管理层预见或事先了解;对拟实施审计程序的性质、时间和范围作出总体修改。(3)强调审计程序的不可预见性要求。注册会计师针对评估的财务报表层次重大错报风险确定的总体应对措施中强调增强审计程序的不可预见性,因此,注册会计师在设计拟实施审计程序的性质、时间和范围时,为了避免既定思维对审计方案的限制,避免对审计效果的人为干涉,从而使得针对重大错报风险的进一步审计程序更加有效,注册会计师要考虑使某些程序不被审计单位管理层预见或事先了解。(4)首次提出了两种总体方案和进一步审计程序的概念。两种总体方案分别为实质性方案和综合性方案,实质性方案是指注册会计师实施的进一步审计程序以实质性程序为主;综合性方案是指注册会计师在实施进一步审计程序时,将控制测试与实质性程序结合使用。而所谓的进一步审计程序是相对风险评估程序而言的,是注册会计师针对评估的各类交易、账户余额、列报认定层次重大错报风险实施的审计程序,包括控制测试和实质性程序。(5)重新界定了注册会计师实施控制测试的两种情形,当存在下列情形之一时,注册会计师应当实施控制测试:在评估认定层次重大错报风险时,预期控制的运行时有效的;仅实施实质性程序不足以提供认定层次充分、适当的审计证据。(6)强调了实施控制测试获取审计证据的重要性。即认为仅实施实质性程序获取的审计证据无法将认定层次重大错报风险降至可接受水平,注册会计师应当实施相关的控制测试,以获取控制运行有效性的审计证据。(7)增加了“重新执行”的控制测试取证方法。根据第1301号审计证据准则,注册会计师获取审计证据的具体程序中将六种具体的取证方法修改为八种,即检查记录或文件;检查有形资产;观察;询问;函证;重新计算;重新执行;分析程序。其中增加了“重新执行”控制测试的取证方法。(8)严格限制了注册会计师无限期或过长时间内不实施测试的做法。如果拟信赖的控制自上次测试后未发生变化,且不属于旨在减轻特别风险的控制,注册会计师应当运用职业判断确定是否在本期审计中测试其运行有效性,以及本次测试与上次测试的时间间隔,但两次测试的时间间隔不得超过两年。(9)首次明确区分“控制运行的有效性”与“控制是否得到执行”。注册会计师在了解被审计单位及其环境时需要实施风险评估程序。注册会计师在确定控制是否得到执行而实施的某些风险评估程序可能提供有关控制运行有效性的审计证据。注册会计师可以考虑在评价控制设计和获取其得到执行的审计证据的同时测试控制运行有效性,以提高审计效率。两者的区别如(表1)所示。(10)首次明确期中进行控制测试的考虑。如果注册会计师在期中实施控制测试程序,即使注册会计师已获取有关控制在期中运行有效性的审计证据,仍然需要考虑如何能够将控制在期中运行有效性的审计证据合理延伸至期末,以确保针对期中至期末这段剩余期间获取充分、适当的审计证据。如果已获取有关控制在期中运行有效性的审计证据,并拟利用该证据,注册会计师应当实施下列审计程序:首先,获取这些控制在剩余期间变化情况的审计证据。针对期中已获取过审计证据的情况,如果这些控制在剩余期间没有发生变化,注册会计师可能决定信赖期中获取的审计证据;如果这些控制在剩余期间发生了变化,注册会计师需要了解并测试控制的变化对期中审计证据的影响。其次,确定针对剩余期间还需获取的补充审计证据。针对期中已获取过审计证据的情况,如果这些控制在剩余期间发生了变化,注册会计师应当考虑下列因素:评估的认定层次重大错报风险的重大程度。评估的重大错报风险对财务报表的影响越大,注册会计师需要获取的剩余期间的补充证据越多;在期中测试的特定控制。如对自动化运行的控制,注册会计师更可能测试信息系统一般控制的运行有效性,以获取控制在剩余期间运行有效姓的审计证据;在期中对有关控制运行有效性获取的审计证据的程度。如果注册会计师在期中对有关控制运行有效性获取的审计证据比较充分,可以考虑适当减少需要获取的剩余期间的补充证据;剩余期间的长度。剩余期间越长,注册会计师需要获取的剩余期间的补充证据越多;在信赖控制的基础上拟减少进一步实质性程序的范围。注册会计师对相关控制的信赖程度越高,通常在信赖控制的基础上拟减少进一步实质性程序的范围就越大。在这种情况下,注册会计师需要获取的剩余期间的补充证据越多;控制环境。在注册会计师总体上拟信赖控制的前提下,控制环境越薄弱(或把握程度越低),注册会计师需要获取的剩余期间的补充证据越多。(11)明确了实质性程序概念和内容。实质性程序是指注册会计师针对评估的重大错报风险实施的直接用以发现认定层次重大错报的审计程序。包括对各类交易、账户余额、列报的细节测试以及实质性分析程序。(12)明确了对于特别风险的专门应对程序。如果认为评估的认定层次重大错报风险是特别风险,注册会计师应当专门针对该风险实施实质性程序;如果针对特别风险仅实施实质性程序,注册会计师应当使用细节测试,或将细节测试和实质性分析程序结合使用,以获取充分、适当的审计证据。(13)首次提出了是否在期中实施实质性程序。注册会计师如果在期中实施了实质性程序,仍然需要消耗进一步的审计资源使期中审计证据能够合理延伸至期末,注册会计师应当考虑是否在期中实施实质性程序。(14)指明了财务报表审计是一个累计和不断修正的过程。随着计划的审计程序的实施,如果获取的信息与风险评估时依据的信息有重大差异,注册会计师应当考虑修正风险评估结果,并据以修改原计划的其他审计程序的性质、时间和范围。(15)明确了注册会计师应当针对评估的风险设计细节测试。如在针对存在或发生认定设计细节测试时,注册会计师应当选择包含在财务报表金额中的项目,并获取相关审计证据;针对完整性认定设计细节测试时,注册会计师应当选择有证据表明应包含在财务报表金额中的项目,并调查这些项目是否确实包括在内。(16)明确了审计工作记录要求。注册会计师应当针对评估的重大错报风险实施的程序进行充分的审计工作记录。包括记录:对评估的财务报表层次重大错报风险采取的总体应对措施;实施进一步审计程序的性质、时间和范围;实施进一步审计程序与评估的认定层次重大错报风险的联系;实施进一步审计程序的结果。
(四)第1301号准则 第1301号准则是在借鉴国际审计与鉴证准则第500号的基础上,对我国原有的《独立审计准则第5号――审计证据》进行修订而形成的。此次重大修订的内容有:(1)拓展了审计证据的内涵。原审计证据准则将审计证据定义为“注册会计师在执行审计业务过程中,为形成审计意见所获取的证据”。原审计证据准则对审计证据的内涵界定比较窄,注册会计师收集
的审计证据更多体现的是与财务报表会计记录相关的信息。修订后审计证据准则将审计证据定义为“注册会计师为了得到审计结论、形成审计意见而使用的所有信息”。新审计证据准则对审计证据的内涵要宽泛得多,不仅包括与财务报表会计记录相关的信息,还包括其他信息。如(图1)所示。
其中,第一类审计证据是“财务报表依据的会计记录中含有的信息”。会计记录中含有的信息是最基本信息。构成了财务报表最主要的内容,一般包括对初始分列的记录和支持性记录,如支票、电子资金转账记录、发票、合同、总账、明细账、记账凭证和未在记账凭证中反映的对财务报表的其他调整,以及支持成本分配、计算、调节和披露的手工计算表和电子数据表。第二类审计证据是“其他信息”。其他信息是用来印证会计记录中含有的信息是否真实、完整,指导注册会计师如何识别、评估财务报表重大错报风险,一般包括:注册会计师从被审计单位内部或外部获取的会计记录以外的信息,如被审计单位会议记录、内部控制手册、函证函的回函、分析师的报告、与竞争者的比较数据等;通过询问、观察和检查等审计程序获取的信息,如通过检查存货获取存货存在性的证据等;自身编制或获取的可以通过合理推断得出结论的信息,如注册会计师编制的各种计算表、分析表等。(2)引进了“认定”的概念。原审计证据准则未将“认定”写进准则,整个审计准则体系对“认定”概念重视不够,新审计证据准则引入“认定”概念,并要求注册会计师详细运用认定指导具体审计目标,根据具体审计目标来设计和确定进一步审计程序。(3)将获取审计证据的程序区分为总体程序和具体程序。原审计证据准则只列了六种具体的取证方法。修订后的审计证据准则将注册会计师获取审计证据的程序区分为总体程序和具体程序,总体程序增加了风险评估程序,即包括风险评估程序、控制测试和实质性程序;具体程序中将六种具体的取证方法修改为八种,具体包括的内容前文已述及。其中,将“监盘”程序进行细分,因为“监盘”是“检查记录或文件”、“检查有形资产”、“观察”等具体审计程序的复合程序;增加“重新执行”具体程序;将原来的“计算”和“分析性复核”分别修改为“重新计算”和“分析程序”。(4)新增风险评估程序。根据风险导向审计准则体系的要求,注册会计师应当通过了解被审计单位及其环境识别重大错报风险,并针对评估的重大错报风险设计和实施进一步的审计程序,因此,在修订后的审计证据准则中增加“风险评估程序”,以此为手段通过了解情况作为评估财务报表层次和认定层次重大错报风险的基础。但风险评估程序并不能识别出所有的重大错报风险,虽然它可作为评估财务报表层次和认定层次重大错报风险的基础,但并不能为发表审计意见提供充分、适当的审计证据。为了获取充分、适当的审计证据,注册会计师还需要实施进一步程序,包括实施控制测试(必要时或决定测试时)和实质性程序。(5)新增“重新执行”的具体审计程序。重新执行是指注册会计师以人工方式或使用计算机辅助审计技术,重新独立执行作为被审计单位内部控制组成部分的程序或控制。如注册会计师利用被审计单位的银行存款日记账和银行对账单,重新编制银行存款余额调节表,并与被审计单位编制的银行存款余额调节表进行比较。
三、审计风险准则对注册会计师的影响
(一)对注册会计师审计理念的影响注册会计师审计的主线始终是对重大错报风险的识别、评估与应对。注册会计师为了实现审计目标。在计划和实施审计工作时,应当保持职业怀疑态度,充分考虑可能导致会计报表发生重大错报的情形。在审计和实施进一步审计程序时,注册会计师应当将审计程序的性质、时间及范围与识别和评估的风险相联系,以防止机械利用程序表从形式上迎合独立审计准则对审计程序的要求。注册会计师必须针对重大的各类交易、账户余额、列报和披露实施实质性测试。注册会计师对重大错报风险评估是一种判断,并且内部控制存在固有限制,无论评估的重大错报风险结果如何,注册会计师必须针对重大的各类交易、账户余额、列报和披露实施实质性程序,不得将实质性测试只集中在例外事项上。
关键词:电子商务;信息安全;风险评估;对策
基金项目:郑州科技学院大学生创新创业训练计划项目:电子商务信息安全风险评估关键技术及应用(编号:DCY2019007)
1.引言
电子商务是以互联网为基础,以商城消费者产品物流为构成要素进行的电子商务活动。当电子商务相关部门或人员在进行项目开发时,拥有一套信息安全风险评估系统可以帮助其采用科学合理的方法对潜在威胁进行分析并保证经济系统的安全。所以将信息安全技术与现代化新兴技术结合,将为我们打造一个更加优质的网络环境。
2.电子商务系统中存在的信息安全问题及现状
一般来说,电子商务的信息安全是指在电子商务交易的过程中双方使用各种技术和法律手段等确保交易不会因为意外,恶意或者披露这些不利要求而受到损害的信息安全。在21世纪初叶,我国金融系统中的计算机犯罪率一直在不断地增加,我国金融网络信息安全形势非常严峻,需要加强改善。下面就电子商务网络中的信息安全问题做一个简要介绍,主要涉及以下几个方面:
(1)由于编写的电子商务系统软件可以使用不同的形式,因此在实际应用过程中难以避免的会留下安全漏洞。例如,网络操作系统本身会存在一些安全问题,例如非法访问I/0,这些不完全的调解和混乱的访问控制会造成数据库安全漏洞,而这些漏洞严重影响了电子商务系统的信息安全性.特别是在设开始设计之前就没有考虑TCP/IP通信协议的安全性,这一切都表明当前的电子商务系统网络软件中有一些可以避免或不可避免的安全漏洞。此外信息共享处理带来也存在风险。在信息的传递过程中,需要不断地对信息源进行加工和重现,截取有用信息,不可避免会出现信息转化方面的风险。尤其是在当下“社交+商务”的模式下,一条消息可能瞬间在社交网站上转载数万次或者更多,一旦在信息转载中出现误差,影响非常大,风险应当给予重视。
(2)随着网络技术的广泛应用,计算机病毒带来的问题越来越广泛,压缩文件,电子邮件已经成为计算机病毒传播的主要途径,因为这些病毒的种类非常多样化,破坏性极强,使得计算机病毒的传播速度大大加快了。近年来,新病毒种类的数量迅速增加,互联网为这些病毒的传播提供了良好的媒介。这些病毒可以通过网络大量传播任何粗心大意都会造成无法弥补的经济损失。此外还有信息传递过程所带来的风险。信息是一种重要的资源,良好的流动性能實现信息价值的最大化,但是在信息的传递过程中需要经过许多路径,而在这过程中往往存在一些不安全因素,给信息安全带来一定的风险。
(3)当前的黑客攻击,除了计算机病毒的传播外,黑容的恶意行为也越来越猖狂。特洛伊木马使黑容可以使用计算机病毒从而变得更加有目的性,使得计算机记录的登录信息被特洛伊木马程序恶意篡改,导致很多重要信息、文件,甚至是金钱被盗。
(4)由人为因素造成的电子商务公司的安全问题,大部分保密工作是通过员工的操作来进行的,这就需要员工具有很好的保密性,责任心和责任感等道德素质。如果员工的责任心不强,态度不正确,就容易被别人利用,让无关人员随意进出房间或向他人泄露机密信息,可以让罪犯废除重要信息。如果工作人员缺乏良好的职业道德,可能会非法超出授权范围更改或删除他人的信息,而且还可以利用所学专业知识和工作位置来窃取用户密码和标识符,进行非法出售。
3.电子商务信息安全风险评估存在的问题
经过大量的数据收集与分析不难发现对信息安全风险评估是当前科研工作中噬待解决的问题。目前,国内也有一些关于信息安全风险评估的研究和应用,但是这些研究都只是简单的分析,包括常用的具有风险的风险评估工具。评估矩阵,问卷,风险评估矩阵与问卷方法,专家系统相结合。对于更深层次的探究还需进一步努力。此外,网络信息安全风险评估方法常用定量因子分析方法,时间序列模型,决策树方法和回归模型进行。风险评估方法,定性分析主要包括逻辑分析,Delphi方法,因子分析方法,历史比较方法等。其中,定量和定性评估方法相结合,是由模糊层次分析法,基于D-S证据理论等的评估方法组成。同时网络信息安全风险评估还存在一定问题,例如随着网络的发展,我国从开始的2G迈向4G现在又率先进入5G时代。其中也出现了各种问题,网民数量的增加需要迫切提高他们对信息安全的警惕意识。
3.1欠缺对电子商务信息安全风险评估的认识
当前,许多相关人员对电子商务信息系统面临着巨大的挑战的现状并未有足够的意识,缺少信息安全风险评估经验。因此他们没有重视信息安全风险评估的重要性,其原因如下。第一,公司或单位的风险评估尚未通过标准检验,培训标准,信息安全风险评估工作的研究尚未得到系统的相关理论,方法和技术工具,这是由于一些信息安全评估工作相关领导层和工作人员对信息评估风险评估的重要性的认识不足,因此自然而然不将此类风险评估工作包括在当前的信息安全系统框架中。第二,尽管有许多部门将信息安全工作置于地位重要,但受到人力、物力,财力等方面的限制,社会制度的制约,政策法规的欠缺使得信息安全系统的信息安全风险评估工作无法得到应有的重视。
3.2缺乏信息安全风险评估方面的专业技术人才
首先,信息安全风险评估的技术内容要求非常高,它要求员工具有很高的技术水平,现在很多公司都将通用信息用作风险评估技术人员。其次,信息安全风险评估是一项集综合性,专业性于一体的工作,不仅涉及公司的所有业务信息,也涉及人力,物力和财力的方方面面,因此需要各部门之间相互配合,现在大多数公司仅依靠信息部门,独立的参与信息安全风险评估毫无争议他们要想完成信息安全风险评估工作是非常艰难的。综上所述,培养信息安全风险评估专业技术人员是今后信息技术方面发展的方向。
3.3风险评估工具相对缺乏
当前,除专家系统外,其他分析工具相对来说都比较简易,除此之外还缺乏实用的理论基础。此外,这种信息风险评估工具在应用中的发展呈现的现状。表明国内和外部失衡,在中国相对落后。可见解决信息安全问题的关键在于有成熟的风险评估工具。
4.防范电子商务信息安全及风险的建议
4.1增强电子商务信息安全和风险评估的意识
大多数信息的传输和处理,与人是密不可分的。特别是掌握人员的重要信息和核心业务,人员的个人因素,管理因素和环境存在风险。主要包括人员的技术能力,监控管理,安全性。特别需要做好监督审计公司的工作,确保信息安全风险管理融入实践,充分发挥内部监督作用,促进社会责任认可和实施信息安全风险管理工作。电子商务公司必须对工人进行必要的信息安全知识教育培訓,了解与之相关的法律法规,做好对客户关键信息的隐秘保护。不随意查看和泄露客户购买信息。
企业应该加大力度保障网络通信操作时信息的机密性和完整性,加强密钥管理,提高应对网络攻击能力,采取措施避免越权或滥用,消除用户在交易中的风险。在信息安全风险控制中必须由内到外地保护内部系统环境、网络边界、骨干网安全。为网络信息系统建立完善的管理系统,并提供全面的安全保障。运用端到端策略。对于移动电子商务中用户终端设备种类繁多,安全环境复杂难以控制的问题,必须做好数据传输中的重要环节中的身份鉴定。通过人脸识别、指纹识别等技术有效提高用户访问身份鉴别能力,极大地提高账户的安全性,确保数据传输的安全性,确保交易的真实有效。
4.2提供专业的技术培训,提高专业人员的技能
认真选择第三方合作伙伴,增强信息管理水平,加强绩效监督管理。树立合理的企业内部组织结构和有效资金保障,培养员工信息安全意识,创造良好信息安全工作氛围,加强信息安全专业技术人员对信息安全风险评估的意识和能力,通过大量的实验发现可以通过下列方法培训相关人员:第一,定期开展信息安全风险评估工作,将公司员工集合共同学习相关资料以提升他们对信息安全的意识弥补存在的缺陷。第二,对信息安全部门的员工进行专门的技术培训和指导,可通过模拟分析来提升技术;第三,公司应增加对技术资源的投入,聘请经验丰富的专家学者组成第三方评估机构,引进风险评估设备。以备不时之需;第四,公司应对技术人员进行标准化认证培训,执行职业资格准入制度,提高技术人员的门槛,纳入信息安全风险评估,技术人员的全面质量保证评估。以上这些方法只是单纯就培训方式对于具体的实施以及可能遇到的问题依然需要研究。
4.3提升对信息安全防范技术的研究和应用
为移动数据库存储的数据进行加密以防止泄漏,采用不同的加密方法来保护数据安全,进行身份认证,数据恢复,数据加密存储,物理隔离,防火墙,网络,网络设备,网络入侵检测,网络漏洞扫描,网络设备备份,网络管理,专线,实现网络管理等一系列技术手段,从而提高数据库的安全性。同时提高认识到物理设施的重要性,定期维护物理设施。为了监测信息安全和实施评估系统,我们要保证基本硬件和芯片的独立在建立独立于信息安全的评估体系中,国内外统一组织重要的信息安全技术研究,建立创新的电子商务信息安全与评估体系。
