風(fēng)險的分級管控范文

前言：我們精心挑選了數(shù)篇優(yōu)質(zhì)風(fēng)險的分級管控文章，供您閱讀參考。期待這些文章能為您帶來啟發(fā)，助您在寫作的道路上更上一層樓。

第1篇

以某大型全球制造企業(yè)西安分公司（文中簡稱A公司）為研究背景進(jìn)行分析，A公司是一家集銷售、生產(chǎn)、研發(fā)、計劃、售后于一體的大型制造公司。A公司實施SAP R/3系統(tǒng)之初，為了便于系統(tǒng)功能測試和加快項目進(jìn)度，大多復(fù)制其他公司的角色，給用戶分配了不合理的權(quán)限。而系統(tǒng)上線后，為了數(shù)據(jù)的安全性及操作的安全性，企業(yè)應(yīng)制定周密規(guī)范的權(quán)限管理方案。本文從日常運(yùn)維中權(quán)限控制的角度出發(fā)，詳細(xì)的闡述了SAP權(quán)限控制的原理及規(guī)范化管理的步驟，幫助企業(yè)進(jìn)行風(fēng)險控制，保證企業(yè)信息安全。

關(guān)鍵詞：

SAP權(quán)限控制;角色;數(shù)據(jù)安全;風(fēng)險控制

中圖分類號：

F2

文獻(xiàn)標(biāo)識碼：A

文章編號：16723198（2014）23001102

1 引言

SAP/R3是全球領(lǐng)先的ERP軟件，該軟件本身就有一套完善的系統(tǒng)權(quán)限管理方法，對企業(yè)組織機(jī)構(gòu)變化、人員變化引起的權(quán)限變化具有很好的適應(yīng)性。本文通過對事物代碼，授權(quán)對象，角色，崗位的設(shè)置進(jìn)行分析，分析了從企業(yè)實施到后期維護(hù)過程中可能出現(xiàn)的風(fēng)險控制問題，并提出詳細(xì)而周密的解決方案。

2 SAP R/3的基本概念

2.1 SAP R/3系統(tǒng)基礎(chǔ)架構(gòu)

SAP R/3從系統(tǒng)集成方面包括生產(chǎn)系統(tǒng)（PRP），練習(xí)系統(tǒng)（YRP）、質(zhì)量保證系統(tǒng)（QRP）、開發(fā)系統(tǒng)（DRP）。SAP R/3從功能模塊劃分，可分為SD、PP、MM、FI、CO等多種模塊以及多種系統(tǒng)創(chuàng)建了一個二維系統(tǒng)架構(gòu)，如圖1所示。

圖1 二維組織架構(gòu)

2.2 基本概念解析

（1）角色（ROLE）。

角色通常可分為單一角色（Single Role）和復(fù)合角色（Composite Role）。單一角色（Single role）是指事物代碼的集合，也包括事務(wù)代碼所要求的權(quán)限對象、權(quán)限字段、字段的值等，它們共同決定了具有該角色的用戶訪問數(shù)據(jù)的范圍。

復(fù)合角色（Composite role）是指單一角色的集合。以用戶每個具體操作為權(quán)限的基本單位設(shè)置單一角色。由單一角色組合的復(fù)合角色多為用戶的崗位權(quán)限

（2）授權(quán)對象（Authorization Object）。

在ROLE和TCODE之間，還有一個中間概念“授權(quán)對象”，它能夠定義角色中包含的事務(wù)代碼的相關(guān)控制值，包括禁止和允許某種操作。

（3）事務(wù)代碼（TCODE）。

事務(wù)代碼也叫TCODE（Transaction Code），是在SAP中進(jìn)行某種操作的命令。例如我們可以使用XD01創(chuàng)建客戶。事務(wù)代碼是由ABAP語言編寫的程序來具體實現(xiàn)。

（4）用戶、角色、授權(quán)對象、事務(wù)代碼之間的關(guān)系。

一個用戶可能有多個復(fù)合角色，復(fù)合角色由單一角色構(gòu)成。單一角色包含了若干權(quán)限對象，權(quán)限對象包含了若干權(quán)限字段、允許的操作和允許的值。它們之間的關(guān)系如圖2所示。

圖2 復(fù)合角色與單一角色構(gòu)成關(guān)系

下邊我們可通過一個例子來詳細(xì)說明。

圖3 示例圖

如圖3所示，在Single role：ZSP_CN60_MM_SUBCON下有很多權(quán)限對象，如M_MSEG_WWA。權(quán)限對象包括Activity和約束條件。Activity允許的值（Field Value）存放的就是允許操作的代碼，01代表創(chuàng)建、02代表修改、03代表顯示等;約束條件主要包括工廠、銷售組織、利潤中心等。

其中有個特殊的授權(quán)對象S_TCODE，該權(quán)限對象的權(quán)限字段叫“TCD”，該字段允許的值（Field Value）存放的就是事務(wù)代碼。

3 A公司的SAP權(quán)限管理現(xiàn)狀

3.1 A公司SAP權(quán)限管理的實現(xiàn)方法

A公司的SAP權(quán)限管理是基于角色管理，關(guān)鍵用戶收集最終用戶的需求，提出權(quán)限申請。權(quán)限開發(fā)員可通過自定義、復(fù)制或繼承的方式基于根角色來創(chuàng)建派生角色，派生角色的權(quán)限會與根角色中事務(wù)代碼相同，但操控數(shù)據(jù)范圍值小于根角色。系統(tǒng)管理員新建賬號，系統(tǒng)默認(rèn)新賬號的權(quán)限是空白的。總部權(quán)限管理員通過復(fù)合角色將不同的權(quán)限授予不同的用戶。當(dāng)給用戶加某項權(quán)限時，權(quán)限管理員會會用戶主記錄中的授權(quán)信息進(jìn)行權(quán)限檢查，主要是對互斥權(quán)限（CCA）和重要權(quán)限（CUA）檢查。若檢查通過了，權(quán)限管理員就會給用戶加上相關(guān)權(quán)限，否則，就終止事務(wù)處理。其中權(quán)限開發(fā)員、權(quán)限管理員和系統(tǒng)管理員都由德國總部人員負(fù)責(zé)。權(quán)限管理的基本流程如圖4所示。

圖4 權(quán)限管理的基本流程圖

3.2 A公司SAP權(quán)限管理存在的風(fēng)險

自2012年實施SAP以來，公司的經(jīng)營管理有了明顯改善，然而由于上線之初對權(quán)限設(shè)計不合理及內(nèi)部顧問人員變動、工作交接不全面等原因，導(dǎo)致A公司權(quán)限設(shè)計不規(guī)范，產(chǎn)生以下兩個方面的風(fēng)險：

（1）人員角度的權(quán)限風(fēng)險。

首先A公司的顧問及權(quán)限管理開發(fā)人員都由德國及印度的同事負(fù)責(zé)，由于時差及語言交流問題，造成效率低下及理解偏差的風(fēng)險。其次A公司的關(guān)鍵用戶參與了SAP系統(tǒng)上線、崗位角色設(shè)計的全過程，但由于崗位調(diào)整及人員流失，工作交接不徹底，導(dǎo)致新的關(guān)鍵用戶對權(quán)限的認(rèn)識不夠，盲目的申請增加新的角色。最后A公司的系統(tǒng)后期運(yùn)維工作由IT部人員兼任，由于IT部門人員不足，且對公司業(yè)務(wù)不熟悉，無法制定合理的權(quán)限審計方案，造成最終用戶操作的合理性的監(jiān)督缺失的風(fēng)險。

（2）從角色設(shè)計角度的權(quán)限風(fēng)險。

角色設(shè)計不合理，導(dǎo)致用戶權(quán)限過大。可從以下兩個方面來體現(xiàn)：

一是A公司只允許給用戶授予復(fù)合角色。這樣做的好處是操作方便，便于后期權(quán)限的控制，同時，也造成了一些問題。首先是復(fù)合角色的權(quán)限過大，例如計劃部門維護(hù)看板的崗位，既有“顯示看板又有修改看板”的權(quán)限，當(dāng)用戶跨部門或跨公司來申請的“顯示看板”的權(quán)限時，由于復(fù)合角色的設(shè)計是基于崗位的，往往找不到合適的角色給用戶，這時只能選擇開發(fā)新的權(quán)限或者給用戶“修改看板”的權(quán)限，后期需要頻繁的新增復(fù)合角色或者給用戶過大的權(quán)限。

二對機(jī)密信息的權(quán)限沒有限制。例如成本價格，沒有對各個部門的T-code MM03的object加以限定，導(dǎo)致很多部門都能看到成本價格等機(jī)密信息。

4 授權(quán)風(fēng)險控制的解決辦法

4.1 進(jìn)行合理的人員配置，建立健全的權(quán)限監(jiān)督機(jī)制

（1）制定合理的人員管理政策。

首先集團(tuán)總部應(yīng)減少集權(quán)，實行人員本地化管理，減少因語言文化差異而引起的權(quán)限操作錯誤的風(fēng)險。其次企業(yè)領(lǐng)導(dǎo)應(yīng)重視關(guān)鍵用戶，建立合理的獎勵措施，減少人員流失，一個部門應(yīng)至少有兩名關(guān)鍵用戶，跨部門之間應(yīng)多組織培訓(xùn)學(xué)習(xí)，更廣泛的知識共享，減少因關(guān)鍵用戶流失而造成的授權(quán)風(fēng)險。最后為減少IT人員因缺乏業(yè)務(wù)知識而造成監(jiān)管不當(dāng)?shù)娘L(fēng)險，應(yīng)由部門關(guān)鍵用戶及IT人員共同制定一套合理申請及監(jiān)督方案，明確哪些為核心權(quán)限，加強(qiáng)對核心權(quán)限的控制。

（2）建立以核心權(quán)限控制為重點(diǎn)的監(jiān)督機(jī)制。

①不相容權(quán)限控制（CCA Control）。

基于權(quán)責(zé)分離的原則，應(yīng)禁止存在CCA，對于會引起CCA的授權(quán)，應(yīng)該將此工作分給兩個人去完成。如VA01（創(chuàng)建銷售訂單）及FB01（憑證過賬），ME21N（創(chuàng)建采購訂單）及MIGO（收貨）等。

②重要權(quán)限控制（CUA Control）。

除了規(guī)避不相容權(quán)限失控產(chǎn)生的風(fēng)險之外，應(yīng)對系統(tǒng)中一些重要的權(quán)限加以嚴(yán)格控制，建議每半年做一次最終用戶對核心權(quán)限的操作記錄抽查。重要權(quán)限主要包括：客戶主數(shù)據(jù)維護(hù)權(quán)限，價格主數(shù)據(jù)維護(hù)權(quán)限，創(chuàng)建采購訂單權(quán)限，貨物移動權(quán)限，系統(tǒng)管理權(quán)限，開發(fā)權(quán)限，超級用戶權(quán)限。

4.2 設(shè)計精細(xì)化的角色配置方案

①測試優(yōu)先原則。

除非特殊情況，權(quán)限設(shè)定不允許在正式環(huán)境直接更改。一般都是在測試環(huán)境修改、測試成功后，再傳到正式環(huán)境。

②根據(jù)業(yè)務(wù)合理設(shè)計角色。

角色的設(shè)計應(yīng)秉承最小授權(quán)原則，嚴(yán)格限制訪問機(jī)密信息的事務(wù)代碼。角色設(shè)計應(yīng)基于公司業(yè)務(wù)，由各部門領(lǐng)導(dǎo)監(jiān)管本部門角色使用。另外，角色的除了考慮本部門特定崗位外，還應(yīng)為部門外操作人員的設(shè)計權(quán)限較低角色，避免以后角色的大量開發(fā)或授權(quán)過大。

5 結(jié)束語

SAP R/3系統(tǒng)的權(quán)限配置及日常運(yùn)維中的權(quán)限控制，在企業(yè)信息安全及風(fēng)險控制中，占有十分重要的位置，也是每年內(nèi)控重點(diǎn)審計的內(nèi)容之一。一旦權(quán)限管理不當(dāng)，很可能使公司承受巨大損失，因此分析權(quán)限控制的原理及設(shè)計日常運(yùn)維中的風(fēng)險控制的解決方案有著重大意義。

參考文獻(xiàn)

第2篇

【關(guān)鍵詞】 內(nèi)部控制；博弈分析；評價方法

一、內(nèi)部控制與風(fēng)險管理的融合

1992年，美國COSO委員會(Committee of Sponsoring Organizations of The Treadway Commission)提出報告《內(nèi)部控制―整體框架》，1994年對其進(jìn)行了增補(bǔ)。該框架認(rèn)為：為了實現(xiàn)內(nèi)部控制的有效性，需要下列五個方面的要素支持：控制環(huán)境(Control environment)、風(fēng)險評估(Risk assessment)、控制活動(Control activities)、信息與交流(Information and Communication)和監(jiān)測(Monitoring)。自COSO報告以來，內(nèi)部控制框架被世界上許多企業(yè)采用，在此基礎(chǔ)上，理論界和實務(wù)界紛紛對內(nèi)部控制提出一些改進(jìn)建議，強(qiáng)調(diào)內(nèi)部控制框架的建立應(yīng)與企業(yè)的風(fēng)險管理相結(jié)合。2004年4月COSO委員會頒布了《企業(yè)風(fēng)險管理整體框架》，對內(nèi)部控制框架進(jìn)行擴(kuò)展，繼承并包含了《內(nèi)部控制一整體框架》的主體內(nèi)容，旨在為各國的企業(yè)風(fēng)險管理提供一個統(tǒng)一術(shù)語與概念體系的全面的應(yīng)用指南。

為了加強(qiáng)和規(guī)范企業(yè)內(nèi)部控制，提高企業(yè)經(jīng)營管理水平和風(fēng)險防范能力，促進(jìn)企業(yè)可持續(xù)發(fā)展，我國于2007年3月，由財政部牽頭、六部委共同組成的企業(yè)內(nèi)部控制標(biāo)準(zhǔn)委員會研究制定的企業(yè)內(nèi)部控制規(guī)范征求意見稿問世，在業(yè)界引起了強(qiáng)烈的反響，學(xué)者們關(guān)注目光主要集中在內(nèi)部控制規(guī)范與體系、全面風(fēng)險管理，以及內(nèi)部控制與風(fēng)險管理的融合問題上。2008年5月，《企業(yè)內(nèi)部控制基本規(guī)范》正式印發(fā)，將于2009年7月1日起在上市公司范圍內(nèi)施行，并鼓勵非上市的大中型企業(yè)執(zhí)行。COSO報告對我國內(nèi)部控制體系構(gòu)建具有重要的指示作用，對其借鑒主要體現(xiàn)在：在形式上借鑒了COSO報告5要素框架，在內(nèi)容上體現(xiàn)了風(fēng)險管理8要素框架的實質(zhì)。

在內(nèi)部控制與風(fēng)險管理關(guān)系問題上，我國大部分學(xué)者認(rèn)為，風(fēng)險管理是內(nèi)部控制的有機(jī)組成部分，加強(qiáng)內(nèi)部控制是防范企業(yè)風(fēng)險的有效途徑。有學(xué)者進(jìn)一步指出，內(nèi)部控制旨在風(fēng)險管理，它對風(fēng)險管理起著重要作用，COSO企業(yè)風(fēng)險管理的關(guān)鍵點(diǎn)就是管理層應(yīng)采用以風(fēng)險管理為基礎(chǔ)的內(nèi)部控制，并進(jìn)行內(nèi)部控制有效評價。

不少學(xué)者主張將內(nèi)部控制與風(fēng)險管理有機(jī)融合在一起。其中，有學(xué)者認(rèn)為，企業(yè)風(fēng)險管理與內(nèi)部控制是一個程序，它不是靜態(tài)的，而是處于不斷的調(diào)整和變化之中，以適應(yīng)組織環(huán)境的變化。內(nèi)部控制只有與風(fēng)險管理相融合，才能實現(xiàn)最佳效果。從制度經(jīng)濟(jì)學(xué)角度看，內(nèi)部控制作為一種內(nèi)部制度安排，具有特定的功能，主要表現(xiàn)在降低企業(yè)內(nèi)部的交易成本、補(bǔ)充企業(yè)不完備契約。對于內(nèi)部控制的核心問題，即什么是促進(jìn)和推動內(nèi)部控制發(fā)展的本質(zhì)屬性和最終動力，筆者認(rèn)為，降低企業(yè)的經(jīng)營風(fēng)險是內(nèi)部控制發(fā)展和推進(jìn)的本質(zhì)。

二、基于風(fēng)險管理的內(nèi)部控制博弈分析

企業(yè)是一系列（不完全）契約（合同）的有機(jī)組合，是人們之間交易產(chǎn)權(quán)的一種方式。由于現(xiàn)實世界的復(fù)雜性、經(jīng)濟(jì)人的有限理性和機(jī)會主義的影響，這組契約通常又是不完備的，使人們之間交易產(chǎn)權(quán)存在較大風(fēng)險，風(fēng)險管理內(nèi)部控制就是為了在取得低交易成本收益的同時彌補(bǔ)企業(yè)契約的不完備性、降低風(fēng)險而建立在企業(yè)內(nèi)部的一個風(fēng)險監(jiān)管機(jī)制。

（一）參與者

博弈雙方為相對于離企業(yè)“較近”的企業(yè)的經(jīng)營者（主要是董事會和經(jīng)理層）；另一方是相對于離企業(yè)“較遠(yuǎn)”的要素投入主體（主要是股東和債權(quán)人）在這兩方的博弈中，雙方均為理性人，也就是說在做出決策時考慮自己的收益和成本，期望自己的收益最大化。

（二）基本假設(shè)

假設(shè)1：經(jīng)營者的策略（尋租，不尋租）。尋租，經(jīng)營者在內(nèi)部控制風(fēng)險監(jiān)管機(jī)制不能有效實施時攫取額外租金；不尋租，在內(nèi)部控制風(fēng)險監(jiān)管機(jī)制有效實施時正常的尋利行為。

假設(shè)2：要素投入主體（實施內(nèi)部控制風(fēng)險監(jiān)管，不實施內(nèi)部控制風(fēng)險監(jiān)管）。實施的內(nèi)部控制風(fēng)險監(jiān)管，要素投入主體投入人力物力實施內(nèi)部控制風(fēng)險監(jiān)管機(jī)制使其起作用；不實施內(nèi)部控制風(fēng)險監(jiān)管，要素投入主體沒有投入人力物力導(dǎo)致內(nèi)部控制風(fēng)險監(jiān)管機(jī)制不起作用。

假設(shè)3：企業(yè)總體經(jīng)濟(jì)利益為I，經(jīng)營者正常經(jīng)營所獲得的經(jīng)濟(jì)利益為A，要素主體實施內(nèi)部控制風(fēng)險監(jiān)管機(jī)制所投入的成本為B（并假設(shè)，只要投入內(nèi)部控制風(fēng)險監(jiān)管機(jī)制，就能控制尋租行為的發(fā)生），要素主體沒有投入內(nèi)部控制風(fēng)險監(jiān)管機(jī)制所發(fā)生的損失為C，而經(jīng)營者為自己謀取的尋租利益為D，實施內(nèi)部控制風(fēng)險監(jiān)管機(jī)制發(fā)現(xiàn)尋租行為對經(jīng)營者的懲罰為E（并假設(shè)，只要實施內(nèi)部控制風(fēng)險監(jiān)管機(jī)制經(jīng)營者的尋租行為就一定能被發(fā)現(xiàn)）。博弈的收益矩陣如表1所示

（三）博弈分析

假設(shè)用P表示經(jīng)營者在內(nèi)部控制風(fēng)險監(jiān)管不能有效實施時的尋租概率，用θ表示要素投入者實施內(nèi)部控制風(fēng)險監(jiān)管的概率。當(dāng)經(jīng)營者正常尋利行為的概率為1-P，經(jīng)營者在內(nèi)部控制風(fēng)險監(jiān)管不能有效實施時的非常尋租行為的概率為P時,要素投入主體選擇投入人力物力致使內(nèi)部控制風(fēng)險監(jiān)管有效實施(θ=1)和選擇不投入人力物力致使內(nèi)部控制風(fēng)險監(jiān)管不能有效實施(θ=0)的期望收益分別為：

E(θ=1)=( I-A-B-C+E)×P+(I-A-B)×（1-P）

= EP-CP+I-A-B ①

E(θ=0)=(I-A-C)×P+(I-A)×（1-P）

=I-A-CP②

當(dāng)E(θ=1)=E(θ=0)時，P=B/E③

當(dāng)要素投入主體選擇投入要致使內(nèi)部控制風(fēng)險監(jiān)管有效實施的概率為θ，經(jīng)營者在內(nèi)部控制有效實施時選擇正常尋利行為(P=1)和在內(nèi)部控制風(fēng)險監(jiān)管不能有效實施時選擇非常尋租行為(P=0)的期望收益分別為:

E(P=1)=(A+D-E)×θ+(A+D)×(1-θ)=A+D-Eθ ④

E(P=0)=A×θ+A(1-θ)=A⑤

當(dāng)E(P=1)=E(P=0)時，θ=D/E⑥

由③可知，當(dāng)經(jīng)營者在內(nèi)部控制風(fēng)險監(jiān)管不能有效實施時的尋租概率等于B/E時，要素投入主體選擇投入要素致使內(nèi)部控制風(fēng)險監(jiān)管有效實施所獲得的期望經(jīng)濟(jì)利益等于選擇不投入要素致使內(nèi)部控制風(fēng)險監(jiān)管不能有效實施所能獲得的期望經(jīng)濟(jì)利益。當(dāng)經(jīng)營者在內(nèi)部控制風(fēng)險監(jiān)管不能有效實施時的非常尋租行為的概率小于B/E時，則要素投入主體選擇投入人力物力致使內(nèi)部控制風(fēng)險監(jiān)管有效實施的期望收益就會小于選擇不投入人力物力致使其不能有效實施的期望收益,因此,要素投入主體最優(yōu)選擇就是不投入要素從而致使內(nèi)部控制風(fēng)險監(jiān)管不能有效實施；同樣，當(dāng)經(jīng)營者在內(nèi)部控制風(fēng)險監(jiān)管不能有效實施時的尋租概率大于B/E時，對應(yīng)的要素投入主體選擇投入要素致使內(nèi)部控制風(fēng)險監(jiān)管有效實施的期望收益就會大于選擇不投入要素致使其不能有效實施的期望收益，因此，要素投入主體必定會選擇投入要素使內(nèi)部控制風(fēng)險監(jiān)管能有效實施。

由⑥可知，要素投入主體選擇監(jiān)督投入要素致使內(nèi)部控制風(fēng)險監(jiān)管有效實施的概率等于D/E時，經(jīng)營者選擇尋利和尋租所獲得的收益是相等的；當(dāng)要素投入主體選擇監(jiān)督投入要素致使內(nèi)部控制風(fēng)險監(jiān)管有效實施的概率小于D/E時，經(jīng)營者選擇尋租的期望收益大于選擇尋利的期望收益，因此，經(jīng)營者將有可能冒險選擇尋租；當(dāng)要素投入主體選擇監(jiān)督投入要素致使內(nèi)部控制風(fēng)險監(jiān)管有效實施的概率大于D/E時，經(jīng)營者選擇尋租行為的期望收益小于選擇尋利的期望收益，因此，經(jīng)營者必定會選擇尋利。

將③⑥結(jié)合可知，在給定各個博弈方基本假設(shè)的前提下，要素投入主體會選擇D/E的概率選擇投入要素有效實施內(nèi)部控制風(fēng)險監(jiān)管，而經(jīng)營者以B/E的概率選擇尋租。顯然，實施內(nèi)部控制風(fēng)險監(jiān)管發(fā)現(xiàn)尋租行為對經(jīng)營者的懲罰E與經(jīng)營者選擇尋租的概率成反比，懲罰E越大，經(jīng)營者選擇尋租的可能性越小；并且，實施內(nèi)部控制風(fēng)險監(jiān)管發(fā)現(xiàn)尋租行為對經(jīng)營者的懲罰E與要素投入主體選擇投入要致使內(nèi)部控制風(fēng)險監(jiān)管有效實施的概率成反比，懲罰力度越大，要素投入主體就不必要花費(fèi)更多的要素投入內(nèi)部控制風(fēng)險監(jiān)管。因此，要素投入者可以通過加大懲罰力度來加強(qiáng)對經(jīng)營者的風(fēng)險監(jiān)管。

三、基于風(fēng)險管理內(nèi)部控制機(jī)制的評價方法

加大懲罰力度對預(yù)防經(jīng)營者的尋租行為有一定的作用，但是，對于企業(yè)控制風(fēng)險的根本還是要在企業(yè)內(nèi)部建立一套完整的內(nèi)部控制監(jiān)管機(jī)制。傳統(tǒng)的內(nèi)部控制的評估方法有調(diào)查表、文字描述、流程圖等，但這些方法的缺點(diǎn)已明顯暴露。近年來以風(fēng)險為導(dǎo)向的現(xiàn)代內(nèi)部控制評價方法不斷涌現(xiàn)，主要方法有標(biāo)桿比較法、風(fēng)險矩陣法、控制自我評估法等。

（一）傳統(tǒng)的內(nèi)部控制機(jī)制評價方法

傳統(tǒng)內(nèi)部控制機(jī)制評價方法主要描述和分析內(nèi)部控制機(jī)制的恰當(dāng)性和有效性，以及在完成所指派職責(zé)時的執(zhí)行效果。其對內(nèi)部控制的測試與評價所遵循的邏輯順序是“控制風(fēng)險評價控制目的是否實現(xiàn)”，可見，更多的是一種事后的反饋，在確認(rèn)內(nèi)部控制薄弱環(huán)節(jié)之后，提供信息以幫助管理層增強(qiáng)和完善內(nèi)部控制。這種事后的評價是一種“亡羊補(bǔ)牢”式的滯后的方法，而不是“未雨綢繆”預(yù)防式的方法，這些方法無法根據(jù)企業(yè)目標(biāo)考察風(fēng)險，也未能根據(jù)風(fēng)險安排相應(yīng)的措施以控制風(fēng)險，因此，已越來越不能適應(yīng)現(xiàn)代管理的需要。

（二）基于風(fēng)險管理的現(xiàn)代內(nèi)部控制評價方法

現(xiàn)代內(nèi)部控制的測試與評價遵循的邏輯順序是“目標(biāo)風(fēng)險控制”，同時將根據(jù)企業(yè)風(fēng)險評估調(diào)整審計戰(zhàn)略，確定審計重點(diǎn)，緊密關(guān)注高風(fēng)險的領(lǐng)域，以提供更相關(guān)、更符合管理層和董事會需求的確證信息，從而保證要素投入主體的利益。基于此，以下介紹幾種以風(fēng)險為導(dǎo)向的現(xiàn)代內(nèi)部控制機(jī)制評價方法。

1. 標(biāo)桿比較法

標(biāo)桿比較法(benchmark)就是將本企業(yè)各項活動與從事該項活動最佳者進(jìn)行比較，從而提出行動方法，以彌補(bǔ)自身的不足。（美國ALLTEL公司運(yùn)用了此種辦法進(jìn)行內(nèi)部控制）它一般分為以下兩個步驟：

首先，企業(yè)需要建立或確認(rèn)自身所在行業(yè)的最佳實務(wù)。

其次，了解企業(yè)風(fēng)險管理整體框架實際情況并將其與最佳實務(wù)進(jìn)行對比，用定量或定性方式評估差距。

2. 風(fēng)險控制矩陣

風(fēng)險控制矩陣(Risk and Control Matrix, RCM) 是審計人員根據(jù)企業(yè)經(jīng)營目標(biāo)、風(fēng)險與控制之間的聯(lián)系，為確保審計建議能針對重要的風(fēng)險而建立的一張工作表，如表2。

風(fēng)險控制矩陣是差距分析和審計過程中的一個關(guān)鍵文檔。RCM為公司相關(guān)的風(fēng)險、需要達(dá)到的控制及當(dāng)前控制狀態(tài)等提供了一個控制范例。

3. 控制自我評價法

內(nèi)部控制自我評價(Control Self-assessment，CSA)是近年來產(chǎn)生的一種新的內(nèi)部控制評價方法，體現(xiàn)了內(nèi)部控制評價的新觀念控制自我評估。控制自我評價法是在1987年由加拿大海灣資源有限公司首先采用的，是一種來檢查和評估內(nèi)部控制有效性的新方法，是由組織成員在內(nèi)部審計機(jī)構(gòu)的推進(jìn)和協(xié)助下評估組織活動的風(fēng)險和控制的過程。

CSA強(qiáng)調(diào)內(nèi)部控制系統(tǒng)既不是內(nèi)部審計工作的責(zé)任，也不僅僅是高級管理層應(yīng)關(guān)心的問題，相反，應(yīng)該把它看成是所有雇員共同的責(zé)任。控制自我評估體現(xiàn)了應(yīng)該最先詢問那些參與了風(fēng)險評估過程以及執(zhí)行了整個控制過程的人，它所包含的不斷改善與現(xiàn)代的全面質(zhì)量管理概念非常匹配，與整體協(xié)作的概念及群體學(xué)習(xí)的模式也有相通之處，因而在今天的商業(yè)社會中存在著巨大的潛能。

內(nèi)部控制理論的研究與實踐發(fā)展到今天，國家政府對內(nèi)部控制管理的法規(guī)在不斷改進(jìn)，其指導(dǎo)性意義顯而易見。在實務(wù)中，企業(yè)內(nèi)部控制機(jī)制的各種評價方法也在不斷改進(jìn)與更新，力求更大程度地促進(jìn)企業(yè)發(fā)展，保證要素投入主體的經(jīng)濟(jì)利益。內(nèi)部控制的發(fā)展和更新，將更好地強(qiáng)化我國企業(yè)內(nèi)部管理和有效要素投入者的利益，更好地評價經(jīng)營者經(jīng)營的有效性和管理水平。

【參考文獻(xiàn)】

[1] 趙斌. 從內(nèi)部控制到風(fēng)險管理. 中國電力企業(yè)管理，2008，（1）.

[2] 林榮. 企業(yè)內(nèi)部控制自我評價淺議. 沿海企業(yè)與科技，2007，（12）.

[3] 張淑慧. 基于風(fēng)險管理的內(nèi)部控制評估方法探討. 重慶工商大學(xué)學(xué)報，2008，（4）.

[4] 孫斌. 風(fēng)險導(dǎo)向的企業(yè)內(nèi)部控制評價程序. 現(xiàn)代商業(yè)，2008，（21）.

[5] 郭群，吳惠吟. 風(fēng)險導(dǎo)向內(nèi)部控制評價模式研究. 廣東商學(xué)院學(xué)報，2002，（2）.

[6] 陳元芳. 我國近代內(nèi)部控制制度的發(fā)展與演變. 學(xué)習(xí)月刊， 2008，（6）.

[7] 高巖芳. 企業(yè)風(fēng)險管理――內(nèi)部控制的戰(zhàn)略性考慮. 管理，2007，（11）.

[8] 何芹. 內(nèi)部控制評價的比較分析. 財會通訊，2005，（11）.

第3篇

關(guān)鍵詞:企業(yè)資金管理分析風(fēng)險控制

前言

資金作為企業(yè)發(fā)展及生存的關(guān)鍵，其掌控著企業(yè)的經(jīng)營命脈。企業(yè)內(nèi)部經(jīng)營管理的不到位，將引發(fā)企業(yè)的資金短缺風(fēng)險、安全風(fēng)險以及利用率的風(fēng)險等，進(jìn)而斷開了企業(yè)的資金鏈，導(dǎo)致企業(yè)的支付能力喪失，從而引發(fā)財務(wù)危機(jī)。因此，應(yīng)選擇合理的財務(wù)指標(biāo)，以及建立有效的預(yù)警體系，以增強(qiáng)企業(yè)的資金風(fēng)險管理，保證企業(yè)的正常發(fā)展。

一、企業(yè)資金的風(fēng)險內(nèi)容

企業(yè)資金的風(fēng)險內(nèi)容主要包括三個方面，即為資金的安全風(fēng)險、短缺風(fēng)險以及使用效率風(fēng)險等。其中資金的安全風(fēng)險即為企業(yè)的資金被欺詐、挪用及貪污等。此類風(fēng)險主要來自于企業(yè)內(nèi)部控制的局限性，比如未及時的實施內(nèi)部牽制原則，或者一個人同時擔(dān)任不同的職務(wù)等。其次，資金的短缺風(fēng)險為企業(yè)未能及時籌集充足的資金投入到生產(chǎn)經(jīng)營中，造成企業(yè)錯失了供應(yīng)商提供的折扣、現(xiàn)金以及低價等，導(dǎo)致企業(yè)的出售項目虧本以及無法及時的清償債務(wù)，影響了企業(yè)的信用。最后，企業(yè)的資金使用率風(fēng)險則為剩余現(xiàn)金取得的收益低于貸款的利率。如某個企業(yè)的現(xiàn)金需用量最低是80萬元，而其每天的現(xiàn)金余額是100萬元，其中的20萬元則為企業(yè)資金多余的部分。若將這多余的部分存入銀行，其利息的收益將遠(yuǎn)遠(yuǎn)低于銀行貸款，就此出現(xiàn)現(xiàn)金的使用效率風(fēng)險。因此，當(dāng)某個企業(yè)出現(xiàn)大量的資金以及高額的銀行借款時，不是本身的行業(yè)特點(diǎn)或者經(jīng)營戰(zhàn)略造成，就是存在資金的使用效率風(fēng)險。

二、企業(yè)資金風(fēng)險管理的局限性

(一)企業(yè)的理財水平不高

由于企業(yè)的理財水平不高，因而采取激進(jìn)的籌資方法。具體表現(xiàn)于：企業(yè)過多利用短期或者臨時性的負(fù)債方式進(jìn)行籌資資金，以滿足企業(yè)長期流動資產(chǎn)的需求。企業(yè)根據(jù)自身的發(fā)展需求以及生存壓力，進(jìn)行巨大投資，尤其在發(fā)現(xiàn)企業(yè)的資金利潤率高于成本，或是行業(yè)的資金利潤率高于社會平均投資報酬率的時候，易于產(chǎn)生激進(jìn)或者冒進(jìn)的投資行為。

(二)企業(yè)的資本結(jié)構(gòu)不合理及重大投資的慘敗

企業(yè)的負(fù)債過多、應(yīng)收賬款的回籠未準(zhǔn)時以及因貨幣資金不足而無法清償?shù)狡诘膫鶆?wù)等，這些均是企業(yè)無法準(zhǔn)時籌備資金的因素。由于企業(yè)未能及時籌措資金，其債權(quán)人將采取強(qiáng)行拍賣資產(chǎn)的手段以抵償企業(yè)的債務(wù)，不僅使企業(yè)的資產(chǎn)縮水，還斷開其資金鏈，影響生產(chǎn)經(jīng)營，甚至導(dǎo)致破產(chǎn)。與此同時，企業(yè)進(jìn)行生產(chǎn)項目、商貿(mào)活動以及證券市場等重大投資，造成企業(yè)的投資資金嚴(yán)重超額，超出了企業(yè)的承受范圍，使企業(yè)的資金短缺，從而影響了企業(yè)的再次投資，導(dǎo)致其破產(chǎn)。

(三)財務(wù)信息的失真

企業(yè)財務(wù)信息的失真表現(xiàn)于：多數(shù)企業(yè)的財務(wù)信息不完整、不透明以及不及時等方面。由于企業(yè)的高層領(lǐng)導(dǎo)未能獲取確切的財務(wù)信息，以及未能真實的反映企業(yè)的資金運(yùn)用情況，造成企業(yè)匯總的財務(wù)信息失真，會計核算不準(zhǔn)確，以及企業(yè)的財務(wù)報表缺乏真實性，甚至有些會計報表掩蓋下級單位的真實經(jīng)營狀況。

(四)資金的使用率低

企業(yè)資金的集中管理與內(nèi)部資金的分散發(fā)生矛盾，并且此矛盾已成為當(dāng)前企業(yè)資金管理的重要問題。在企業(yè)的分公司中，出現(xiàn)較多的多頭開戶現(xiàn)象，企業(yè)的資金管理失控。企業(yè)未重視投資決策，部分企業(yè)忽略自身的發(fā)展目標(biāo)及財務(wù)，進(jìn)行盲目投資，使企業(yè)的投資損失慘重，導(dǎo)致企業(yè)資金緊張。企業(yè)資金的過分沉淀、庫存占用率高、負(fù)債過多以及流動資金的周轉(zhuǎn)緩慢等,這些現(xiàn)狀均使企業(yè)的信譽(yù)與贏利能力降低。

三、加強(qiáng)企業(yè)資金管理的風(fēng)險控制

(一)完善內(nèi)部資金的控制制度

采取相應(yīng)措施，以有效完善企業(yè)內(nèi)部的資金管理控制制度。控制內(nèi)容主要有：企業(yè)的授權(quán)審批制度、內(nèi)部審計以及不相容職務(wù)的分離制度等三個方面。企業(yè)在資金的使用方面，應(yīng)根據(jù)自身的實際情況進(jìn)而建立資金的分級審批權(quán)限及標(biāo)準(zhǔn)，按照審定的資本性支出以及現(xiàn)金流量的預(yù)算進(jìn)行支出安排，嚴(yán)格限制企業(yè)的對外投資權(quán)以及對外擔(dān)保權(quán)，并配置一套完整的科學(xué)化的風(fēng)險預(yù)警系統(tǒng)。

(二)加快企業(yè)的應(yīng)收款項及存貨周轉(zhuǎn)

企業(yè)應(yīng)及時進(jìn)行應(yīng)收款項與存貨的處理，嚴(yán)加控制應(yīng)收款項與存貨的增長速度及規(guī)模，以加快應(yīng)收款項與存貨的周轉(zhuǎn)，減少流動資金的占用率。努力推進(jìn)企業(yè)的生產(chǎn)經(jīng)營，加快生產(chǎn)環(huán)節(jié)的流轉(zhuǎn)速度，以減少生產(chǎn)過程的積壓。企業(yè)在做好銷售預(yù)測的同時，堅持根據(jù)銷量決定產(chǎn)量的原則，根據(jù)其生產(chǎn)計劃，以確定合理有效的庫存水平。企業(yè)開展創(chuàng)新的營銷模式，不僅能提高預(yù)收款的比例，還減少了預(yù)付款的金額。另外，企業(yè)建立健全的客戶信用管理體系，加強(qiáng)管理貨款的回收，正確落實催收責(zé)任，嚴(yán)格控制企業(yè)的資金結(jié)算、合同簽訂以及款項催收等，有效加快企業(yè)現(xiàn)金的回流，大大提高了應(yīng)收賬款的周轉(zhuǎn)速度。

(三)預(yù)算管理水平的提高

企業(yè)通過精確的預(yù)測編制出高水平的預(yù)算，尤其是現(xiàn)金的預(yù)算，其不僅能降低企業(yè)的現(xiàn)金儲備量，而且有效掌握企業(yè)多余資金的利用率。另外，企業(yè)通過加強(qiáng)應(yīng)收賬款的催收工作，有利于資金的快速回籠。企業(yè)根據(jù)產(chǎn)品的質(zhì)量、規(guī)格、品種以及市場占有率等方面的競爭能力，進(jìn)而確定合理的信用標(biāo)準(zhǔn)，平衡了收入和應(yīng)收賬款的收賬費(fèi)用、機(jī)會成本以及壞賬成本等關(guān)系。

(四)企業(yè)資金的集中管理與統(tǒng)籌利用

進(jìn)行企業(yè)資金的集中管理以及統(tǒng)籌應(yīng)用。具體表現(xiàn)在：首先，選擇合理的賬戶進(jìn)行資金集中。企業(yè)在選擇集中的資金賬戶過程中,應(yīng)充分考慮企業(yè)本身對此賬戶的使用頻率、收付款項的便捷程度以及相關(guān)的銀行服務(wù)等因素。其次，構(gòu)建便捷的資金管理平臺。其中企業(yè)可進(jìn)行銀企直聯(lián)或者開通網(wǎng)上銀行,以提高企業(yè)資金信息的管理效率與透明度。再次，合理安排企業(yè)所有賬戶的結(jié)算,以及協(xié)調(diào)好各融資銀行的關(guān)系。根據(jù)各融資銀行的要求進(jìn)行實際操作，在保持銀企良好關(guān)系的同時,逐漸增進(jìn)企業(yè)的再次融資。最后，進(jìn)行定期性的歸集特殊賬戶的資金，這是資金集中管理與統(tǒng)籌使用的關(guān)鍵之處。對企業(yè)而言，采用集中型的資金進(jìn)行內(nèi)部控制，使其效果顯著提高。

(五)資金安全風(fēng)險管理的防范

重點(diǎn)防范企業(yè)資金的安全風(fēng)險管理，通過創(chuàng)造優(yōu)良的內(nèi)控環(huán)境以及建立完善的資金管理內(nèi)控制度，防止資金管理的安全漏洞。在企業(yè)的資金安全管理中，應(yīng)注意以下幾個要點(diǎn)。首先，應(yīng)構(gòu)建健全的授權(quán)審批制度，根據(jù)規(guī)定的制度與權(quán)限進(jìn)行資金收付業(yè)務(wù)的辦理。其次，認(rèn)真貫徹企業(yè)的內(nèi)部牽制原則，保證不同崗位的分離、監(jiān)督及制約，以及加強(qiáng)員工的安全意識與職業(yè)道德教育。最后，加強(qiáng)企業(yè)的內(nèi)部審計。企業(yè)的內(nèi)部審計將協(xié)助管理當(dāng)局的監(jiān)督與控制，充分發(fā)揮其管理程序與措施的有效性，利于及時找出企業(yè)內(nèi)部控制的薄弱環(huán)節(jié)與漏洞。

結(jié)束語

總而言之，隨著當(dāng)今社會經(jīng)濟(jì)的快速發(fā)展，以及企業(yè)流動資金的多元化，企業(yè)資金的風(fēng)險管理及控制在企業(yè)中的地位越加重要。但我國企業(yè)在現(xiàn)階段的資金風(fēng)險管理上還存在一定的缺陷，由于其的管理不當(dāng)，使其在面臨經(jīng)濟(jì)危機(jī)時，未能很好的進(jìn)行管理，嚴(yán)重影響了企業(yè)的正常運(yùn)營。因此，應(yīng)對當(dāng)前我國企業(yè)在資金風(fēng)險的管理中存在的問題進(jìn)行全面分析，并找出相應(yīng)的對策加以控制，有效保證企業(yè)的健康發(fā)展。企業(yè)處于社會競爭激烈的背景下，應(yīng)充分利用本身特有的資源，通過提升其資金管理水平，加強(qiáng)風(fēng)險管理的控制，以高水平的資金運(yùn)作手段與管理作為堅強(qiáng)后盾，促使企業(yè)在市場經(jīng)濟(jì)的競爭中占絕對優(yōu)勢。

參考文獻(xiàn)：

[1]張大華.企業(yè)資金風(fēng)險分析與管理控制措施[J].中國市場,2010

[2]孫曉媛.論上市公司資金風(fēng)險管理及對策[J].時代金融,2010

[3]張經(jīng)偉.淺談如何加強(qiáng)企業(yè)資金管理和風(fēng)險控制[J].China's Foreign Trade,2011