開篇:寫作不僅是一種記錄�,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感�,將它們永久地定格在紙上�。下面是小編精心整理的12篇風險評估與風險應對�,希望這些內容能成為您創作過程中的良師益友�,陪伴您不斷探索和進步。
第1篇
關鍵詞:“營改增”�;稅務風險評估�;風險點�;應對方法
一、背景介紹
2013年8月1日起�,我國在全國范圍內開展了交通運輸業和部分現代服務業“營改增”試點�。由于鐵路運輸行業的特殊性�,財務核算復雜�、分支機構多且分布廣�,無法在某個或某幾個地區單獨試點,只能在全國同步推行�,推遲了鐵路“營改增”的步伐�。2014年1月1日起�,我國才將鐵路運輸納入“營改增”試點范圍。鐵路實行“營改增”對鐵路運輸企業的組織架構�、業務流程�、經營結果產生了重大影響�,對采購管理、財務管理�、建設管理和運營管理提出了新的考驗�,鐵路運輸企業的稅務管理存在難度,稅收風險加大�。
二�、稅務風險及產生原因
企業稅務風險是指企業的涉稅行為因未能正確有效地遵守稅法規定而導致企業未來利益的可能損失�。其主要包括兩方面:一是未納稅、少納稅而面臨補稅�、罰款�、加收滯納金等風險�;二是因沒有用足稅收優惠政策�,多繳稅而承擔了不必要的稅收負擔�。產生稅務風險的原因有以下幾方面�。一是納稅人和稅務機關信息不對稱�,對同一涉稅業務的理解不同�。二是企業在生產經營管理過程中以實現經濟利益最大化為目標�,從而追求稅務成本最小化�。三是由于經營業務在前�,做賬在后�,業務部門及人員缺乏對稅收政策的掌握�,導致稅務風險先于稅務責任履行行為。
中國鐵路總公司作為營業稅改征增值稅的試點企業�,在涉稅業務的處理中更易產生稅務風險,原因包括以下幾點�。
一是鐵路運輸企業具有“設備聯網、生產聯動�、部門聯勞”的行業特點�,完成任何一個運輸產品都需要多個企業、多個部門的聯勞協作�,收支兩條線的清算模式和復雜的清算體系加大了鐵路增值稅的稅收風險。
二是鐵路運輸企業分支機構眾多�,基層單位財務人員稅務知識欠缺�,對稅收政策的理解程度參差不齊�,稅務管理難度大,增大了稅務風險�。
三是“營改增”還未全面推行�,部分鐵路運輸企業存在混合或兼營非增值稅應稅經營活動,分賬核算�,準確區分各類經營的應稅金額存在難度。
四是按照國稅總局公告2014第6號規定�,鐵路運輸服務及與鐵路運輸相關的物流輔助服務的增值稅應納稅額在中國鐵路總公司匯總繳納,除此以外企業的其他增值稅應稅行為就地申報納稅�。而鐵路運輸企業其他業務較多�,往往會存在業務邊界不清晰的現象�,因此各企業準確區分納入匯總與不納入匯總范圍的銷項稅額、準確區分在匯總申報抵扣和屬地申報抵扣的進項稅額的難度大�,這種區分也將可能作為地方稅務機構的稽點�,加大了稅務風險�。
五是鐵路運輸企業運輸服務及物流輔助服務相關收入采用匯總繳納的方式�,各運輸企業分支機構對取得進項稅抵扣發票的積極性不高,易造成進項稅款的流失,造成不必要的損失,從而增加總體稅收負擔。
三�、鐵路運輸企業增值稅涉稅風險評估
鐵路運輸企業“營改增”對企業的經營模式�、供應鏈�、資金及價格體系帶來了重大影響,本文結合鐵路運輸企業的經營特點�,梳理業務流程�,總結以下增值稅涉稅風險點。
(一)購進環節的風險點
1. 增值稅抵扣憑證不規范,比對出現異常的抵扣憑證,不得抵扣進項稅。
2. 進項稅抵扣不合規,易出現不應納入抵扣范圍的購進貨物和服務進行抵扣,以及發生應進項稅額轉出的情形時未進行進項稅額轉出處理等不合規情況�。
3. 發票逾期未抵扣�,未在規定期限內辦理認證或報送清單的�,不得計算按進項稅抵扣。
4. 發票清單不合規,取得的匯總開具的增值稅專用發票的�,應取得使用防偽稅控系統開具《銷售貨物或者提供應稅勞務清單》�,不能以其他格式清單替代�。
5. 其他應取得而未取得抵扣憑證的情況。
(二)存貨儲備及生產環節的風險點
1. 非正常損失的存貨未做進項稅額轉出處理�。
2. 存貨改變用途用于非增值稅應稅項目�、免征增值稅項目�、集體福利或個人消費的,未做進項稅額轉出處理�。
3. 增值稅應稅項目與非應稅項目共同負擔有進項稅額�,未對進項稅額進行合理劃分�。
(三)銷售環節的風險點
1. 增值稅納稅義務發生時間的確認不準確。稅法所規定的銷售額確認的時間與會計制度的規定存在差異�。
2. 對按稅法規定的視同銷售的行為�,未按貨物的計稅價格計提銷項稅額�。
3. 未分賬核算,不能準確區分混合銷售行為和兼營非增值稅應稅項目�。
4. 銷項稅額的確認不完整�。例如,向購買方收取的全部價款和價外費用�,無論其會計制度如何核算�,均應做為應納稅額計算銷項稅。
(四)其他風險點
1. 混淆匯總繳納�、屬地繳納銷項稅額和進項稅額�。
2. 銷售收入已確定�,但成本未同步匹配,即進項稅額未同步跟進�,繳納增值稅造成現金流出�,占用資金�。
3. 鐵路系統開票點分散,增值稅專用發票的管理難度大。
4. 應稅服務的銷項稅額抵扣試點前的增值稅期未留抵稅額。
四、稅務風險的應對方法
(一)提高企業整體納稅意識�,做好納稅籌劃
從營造企業文化的角度培養整體納稅意識�,從觀念上轉變被動納稅為主動納稅�,從源頭抓起、預防為主,把納稅籌劃放在開展業務之前�,把節稅理念嵌入到業務流程各環節中�,充分發揮納稅籌劃的作用�,選擇納稅成本最低的經營模式�,提高納稅質量,降低納稅風險�。
(二)完善內部控制制度�,體現增值稅特色
鐵路運輸企業應盡快修改相關管理辦法和制度�,建立體現增值稅特色的稅收內部控制制度。例如�,建立增值稅專用發票的領用存管理制度�,規范流程�,確認增值稅發票的使用安全;修訂采購業務內控流程�,將具備增值稅一般納稅人資質可提供增值稅專用發票作為選擇供應商的一個條件�,確保物資采購可取得增值稅抵扣憑證�;修訂銷售業務內控流程,了解客戶的稅務身份,準確提供增值稅發票種類;梳理和調整會計核算流程和會計核算科目,確保準確計算應交增值稅額�。
(三)抵扣進項稅額堅持謹慎性原則�,降低稅務風險
企業對進項稅額的抵扣堅持謹慎性原則�,財務處理堅持分賬核算,分別核算匯總繳納和屬地繳納的收入,分別核算增值稅應稅項目的銷售額和營業稅應稅項目的營業額�,對購進貨物或勞務取得的進項稅額嚴格按照用途進行區分�,對于混合經營收取的發票�,如日常辦公用品類進項稅額發票,其部分用于增值稅項目生產,部分用于營業稅生產�,可按應稅收入的比重分配�,對不應抵扣的部分做進項稅款轉出�,以保證抵稅合規�,降低稅務風險�。
(四)通盤籌劃納稅期間,充分獲取資金時間價值
企業應及時取得進項發票�,合理安排好進項稅額的抵扣時間點�,謹慎確認本期的銷售額并開據發票�,力求銷項稅額與進項稅額在時間上的一致性和內容上的配比性,延遲或減小稅金現金流的支出�,增強存量資金的流動性�。
(五)建立定期稅務風險評估制度�,防范于未然
鐵路運輸企業可參照《大企業稅務風險管理指引(試行)》的要求,設立稅務管理部門或崗位�,加強稅務崗位責任制建設�,參與企業戰略規劃和重大經營決策的制定�,跟蹤和監控相關稅務風險,全面�、系統�、持續地收集內部和外部相關信息�,通過風險識別、風險分析�、風險評價等步驟�,查找企業經營活動及其業務流程中的稅務風險�,制定稅務風險應對策略,建立有效的內部控制機制�,合理設計稅務管理的流程及控制方法�,形成閉合環路�,全面控制稅務風險�。
參考文獻:
[1]吳惠婷.營改增試點對交通運輸企業的影響[J].財會月刊,2012(23).
[2]羅曉華.鐵路運輸企業營業稅改增值稅的可行性分析[J].稅務研究�,2004(01).
[3]張苑利.“營改增”對鐵路運輸企業的影響及對策分析現代經濟信息[J].2013(22).
[4]王小平.實施營改增鐵路運輸企業面臨的問題與對策中國證券期貨[J].2013(07).
第2篇
關鍵詞:工程企業�;財務風險�;評估與預警;風險管理
隨著我國基礎建設與城市發展的逐步推進�,建筑工程企業的經營發展成為了社會經濟發展的重要組成部分,所以在工程企業發展過程中�,利用有效的財務管理手段�,提高企業發展效率是我們財務工作的主要內容。在實際工作中我們發現�,工程企業經營中財務風險的出現�,對于企業經營管理質量有著嚴重的負面影響,所以當前的工程企業,在新型風險管理技術視角的支持下利用新型的技術手段與管理理念�,做好企業財務風險評估預警及管理顯得尤為重要。
一�、當前工程企業財務風險管理主要問題分析
(一)財務情況復雜影響了風險預警效率
在企業風險管理中�,風險預警工作的開展需要對企業經營、財務狀況�、市場情況等多種因素進行綜合性的評估才能完成�。而在工程企業的財務過程中�,財務工作內容較之一般企業更為復雜。這種復雜的財務管理實際狀況�,影響了風險預警開展的效率�。首先是財務數據匯總較為困難�。在工程企業財務管理過程中,財務數據匯總工作受到工程進度的影響�,所以較為困難�。如跨年度的工程建設中�,其工程結算的財務數據難以進行有效匯總或匯總到的數據不完善的情況經常出現。這種數據匯總問題的出現�,使得財務風險評估難以得到數據支持�,進而影響了評估預警的整體質量�。其次是市場變化影響了風險評估的開展。在工程建設過程中其施工建設周期較長�,因此容易受到市場變化影響�,加大了風險評估預警工作難度�。這里所指的市場變化除了工程企業經營市場外,還包括了原材料市場�、工程人力資源市場�、金融市場等與工程企業有關的市場環境�。如隨著原材料市場價格的變化,企業成本的提升容易造成企業財務風險的出現�。由于這種風險因素的提升�,必然會加重企業風險評估預警工作的責任�,進而使評估預警工作效率降低。
(二)突發問題較多造成財務風險的提高
在工程企業發展過程中�,突發問題的出現是風險產生的主要原因�。一是安全性突發問題�。在當前的工程建設過程中,雖然企業加強了安全建設意識�,但是安全問題依然難以避免�。在安全問題發生后�,可能會出現企業財務管理中現金支出增加�、財務信譽度降低等問題,造成企業財務風險的出現�。二是金融市場突發問題的出現�。因為工程建設中需要大量資金支持�,所以工程企業財務管理中必須與銀行、擔保公司等金融行業進行合作�,吸納貸款與投資�。特別是在金融危機等突發性問題出現時�,就會使企業資金鏈斷裂,造成財務風險的出現�。
(三)風險評估與預警體系不完善
在工程企業財務風險評估與預警工作過程中�,其評估與預警體系的運行發揮著重要作用�。良好的風險評估與預警體系,對于風險管理的開展起到了重要作用�。但是在實際工作中我們發現�,部分企業中風險評估與預警體系依然存在著以下問題�。一是缺乏風險管理核心。在以前的企業風險管理過程中�,財務管理部門負責風險的管理工作�,但是因其缺乏企業管理的決策權�,所以難以起到風險管理的核心作用。這就會在企業日常風險管理工作中影響了風險評估與預警工作的全面開展�。二是監控體系不完善�。企業財務風險管理屬于企業整體性的財務工作�,良好的風險監控是評估與預警工作完成的重要保障。但是在工程企業中�,企業總部對各工程項目間的風險管理監控質量較差�,進而影響了風險評估與預警的工作質量�。
(四)風險管理中缺乏整體的抵御策略
在企業風險管理過程中,評估與預警工作的目的就是針對財務風險因素采取有效的應對抵御措施�,降低風險因素對企業財務體系的影響�。但是在財務工作中�,風險策略的不足造成了企業風險管理工作難以順利開展。這種策略性的缺失主要表現在兩個方面�。一是策略實用性差�。在當前的工程企業風險應對抵御策略中�,大部分內容集中在領導的管理層面,缺乏對實踐工作內容的指導意義。如具體工作管理責任人員�、實際工作程序等內容的缺乏�,使應對策略缺乏了實用性�。二是缺乏聯合性工作策略。在當前的工程企業風險應對策略中,其應對措施主要由企業內部人員完成�。這種應對策略的應用會使企業財務壓力加大�,影響了風險抵御工作的效果�。如果我們采用行業和市場聯合工作的應對策略,將會提高企業風險抵御的質量。
二、工程企業財務風險評估預警工作實踐措施研究
(一)結合企業實際工作,建立網格化風險預警機制
為了提高風險評估與預警的工作效率,針對工程企業財務與風險管理工作較為復雜的情況�,結合企業實際�,利用新的網格化風險預警技術�,開展風險管理工作。所謂的網格化技術既是利用計算機技術�,將管理內容劃分為若干網格來進行管理的新型管理方式。一是以工程項目為網格開展工作。在工程企業的財務管理中,工程項目管理工作的開展是非常重要的內容�。這種工作模式可以保證在工程遇到突發性安全問題�,或財務風險問題時�,管理者可以及時開展風險評估與預警工作,提高企業風險管理質量。二是以工程項目時間節點為網格開展工作�。我們可以根據企業經營與工程項目施工時間節點�,制定風險管理網格�,開展風險評估與預警工作。這種工作模式可以根據企業與工程項目在不同時間階段的經營與財務特點,進行具有針對性的風險管理工作,提高其管理質量�。如在工程開始�、施工�、收尾、驗收等不同工程階段,我們針對其不同的風險內容�,開展具有針對性的風險管理工作�,利用新技術促進風險管理的開展�。
(二)建立全面的風險管理預案,減少突發風險影響
在工程企業財務管理過程中,為了解決風險管理中遇到的突發性問題影響,在實踐工作中,我們采用新的技術觀念設計風險管理預案�,指導風險管理工作�。一是對突發性問題進行全面的考慮與研究�。在風險管理預案中,我們需要根據財務風險發生的原因、概率�、危害�、應對方法等因素利用綜合模型進行全面的考慮�,特別是對于突發問題中的風險因素進行考慮和研究,結合工作中曾經出現的經驗教訓�,為預案的制定提供實踐參考�,提高預案中應對突發問題風險的作用。二是在預案中規范工作方法。突發性問題風險的管理過程中�,我們需要利用嚴格有效的工作方法進行應對�。所以在風險管理預案中�,我們需要利用預案制度模式規范風險應對工作方法,利用規范化模式,保證突發問題風險評估與預警質量的提高。同時在風險管理預案應用中�,我們還可以將預案管理與監督管理進行結合�,為風險監控工作提供參考性保障�。
(三)以法人管理為核心,完善風險預警與評估體系
為了更好地完善工程企業風險預警與評估體系,我們在企業內建立了金字塔式風險管理體系,開展風險管理工作。一是以企業法人為風險管理核心開展工作�。我們應發揮法人在企業管理中的決策�、監督等工作權利�,提高企業風險管理的效率與質量。二是發揮財務部門的專業作用。這對企業財務風險管理的開展有著重要實踐指導作用�。如在企業內�,財務部門組織專業的風險管理培訓�,提高企業內整體的風險管理意識,對于風險管理開展有著重要促進作用。三是落實風險管理責任制�。在企業各部門�、工程項目中設立專人開展風險評估與預警管理工作��,落實風險管理的專人責任制,在基層實現風險管理的開展����,層層負責�,將風險管理的理念根植于企業文化中�����。四是聘請專業的外部機構����。為了多方位的完善企業風險管理體系��,可以聘請專業的審計機構對企業的風險管理體系進行審計測試��,從不同的視角檢測風險管理體系的設計是否存在缺陷,運行是否有效����,從而發現內部人員沒有關注到的風險點�,強化風險管理的效率和質量���。
(四)以合作模式�,建立全面的企業風險抵御策略
為了更好地應對企業財務風險,我們需要以新型的合作性管理工作模式建立風險抵御策略���,提高企業風險抵御的質量。一是內部合作模式的開展���。在企業風險的應對與抵御過程中,我們需要在風險應對策略中整合企業內的各部門,促進企業內部合作的開展�,做好企業風險應對與抵御工作���。在這種模式下����,財務風險的應對與抵御不再由財務管理部門單獨完成�����,而是由企業內的各個部門與工程項目進行合作應對。這種工作模式對于財務風險管理的開展�,有著重要的實踐作用�����。二是外部合作模式的開展。在企業風險管理中��,可以在市場和經營過程中與金融、保險等第三方企業進行聯合性的風險應對與抵御工作�,轉移一部分風險��。如在風險應對過程中,企業與金融企業合作獲取資金進行風險應對�,對于企業風險應對與抵御的開展可以提供很好的資金支持���。
三�、結束語
為了確實做好工程企業的財務風險管理工作��,提高其在風險評估與預警管理工作中的質量�,我們根據工程企業特點與風險因素產生原因�,圍繞著工程企業財務風險管理內容,利用新型技術與風險管理理念開展了風險評估、預警與管理實踐研究�。就當前的研究結果而言���,其對企業風險管理工作而言���,有著重要的指導意義���。
參考文獻:
[1]王陽.大中型施工企業財務風險控制研究[D].太原理工大學�����,2013.
第3篇
一、工程監理中風險的特征
1.風險的客觀性��。風險的客觀性表明風險的發生是不以人的意志為轉移的客觀存在體�����。任何與工程相關的活動都是置身于特定的環境中��,受到環境的影響,但環境變化是難以控制的�,任何不利于建筑工程的因素發生都會導致風險的發生��。因此,工程在環境的作用下存在著不以人的意志為轉移的風險����。
2.風險的不確定性�。風險的不確定性表現為風險來源的不確定性和風險發生概率的不確定性���。從風險來源看��,既有來自建筑工程企業和監理工程企業內部的風險����,同時也有來自建筑行業����、房地產行業的風險和外部環境的風險。企業內部的風險可能表現為企業疏于管理�,或者對潛在風險認識不透�����,導致風險出現。從行業看��,由于工程監理質量標準的修訂�,或經濟環境的變化等外在的壓力等都會導致風險的發生����。監理環境的改變也使得工程監理面臨著新的挑戰,從而產生風險����。這些即將發生的風險不僅來源不確定�,而且發生概率的大小也是難以預測和確定的����。
3.風險的可控性。盡管風險是客觀存在的����,但是風險是可以控制和化解的���,這意味著建筑工程中的風險是可以采用一些辦法加以解決的�。這些解決的辦法要么是我們提前布局�,尋求解決的對策;要么是在風險發生后,我們及時尋求有針對性的措施控制和化解風險�。
二����、工程監理風險管理與控制的流程
和其他風險管理與控制一樣�����,建筑工程的風險管理與控制流程包括風險識別�����、風險的評估��、風險的應對策略與風險的監督和控制。
1.識別風險的來源�。在建筑工程中�,風險的主要來源可能包括發包方的風險、承包方的風險和監理自身的風險�。來自承包方的風險表現為承包方給予施工方的壓力����,如工期提前����、不配合承包方等都有可能導致風險的發生。從承包方看�����,風險主要有承包方的資質����、建筑技術水平,以及不按照合同的要求施工等���。工程監理方的風險主要表現為監理人員的素質、監理的態度是否客觀公正�、監理的管理體制等�。只要有針對性地從這三個方面加以準備���,細化來自每一個環節的可能風險���,就有可能做到風險來源掌控的萬無一失����。
2.嚴格風險評估。風險評估是在識別可能的風險來源基礎上���,對風險發生的可能性大小和風險造成的損失大小加以評價�����。風險評估是風險應對的前提條件���,嚴格風險評估����,要從管理的高度對可能出現的風險加以評估��,并對每一類風險根據其可能造成損失的大小加以評判��。通過風險評估,有利于有針對性地準備風險發生后的解決辦法��,并盡可能地降低風險管理和控制的成本���。
3.多樣化應對風險�。風險對策是風險管理的關鍵環節。風險對策是建筑工程監理管理和控制的核心��,只有客觀地面對風險�����,采取措施���,才能降低����、回避�、分散或防范風險,收到事半功倍的效果。多樣化的風險應對�,既表現為不同風險來源�,風險的應對策略不一樣���,又表現為每一類風險準備多種風險防范和應對措施��。
4.實施風險監控�。風險監控的目的是對各項風險應對措施的執行情況不斷地進行檢查���,并評價各項風險對策的執行效果�,在環境和條件發生變化時,要確定是否需要提出不同的風險處理方案��。
三����、工程監理風險管理與控制措施
1.建立風險預警機制。建立風險預警機制的主要目標是識別風險源�����,風險的大小和風險對工程的危害�。風險預警機制的建立可以根據風險的來源加以建立,包括發包方��、承包方和監理風險預警��。發包方的風險預警可以設定為契約風險預警����、工程干預預警�、工程資金預警;承包方風險預警包括承包資格預警、承包工作行為預警和承包道德預警���;監理方預警包括監理行為預警、管理能力預警和監理隊伍預警。針對每一預警�,設定相應的機制予以防范����。
2.建立一套完善的風險評估流程��。風險評估流程是在風險識別的基礎上作出的管理風險的重要手段。一套完善的風險評估流程包括風險評估主體����、風險評估規則和風險評估辦法��。風險評估主體的參與人員應該包括專業人士和非專業人士共同構成,邀請各類專家、學者參與風險的評估����。風險評估規則是根據建筑工程監理工作的狀況加以制定����,風險評估辦法主要采用定量和定性的兩種�����。
3.制定完善的風險管理和控制措施�����。建筑工程監理中完善的風險管理和控制措施應該包括建筑工程系統性風險管理和控制措施,以及非系統的風險管理和控制措施����。系統性風險管理重點是對整個建筑工程都產生影響的風險�����,這種風險管理應該是采取規避的辦法以減少風險發生之后的損失。非系統性的風險管理可以根據相應風險發生的來源����,制定一系列風險管理和控制措施。
參考文獻:
[1]劉紹鵬�����,周榮委���,李洪平.淺談建筑施工監理存在的問題及對策[J].中小企業管理與科技,2012��,(3).
[2]饒彬.建設工程監理風險探討[J].現代商貿工業�����,2011�,(3).
[3]秦佳鑫.風險管理在工程監理項目中應用的探討[J].民營科技����,2012,(3).
[4]董文龍.工程建設監理企業風險管理的目標與基本原則研究[J].科技信息�,2011���,(11).
第4篇
關鍵詞:企業會計信息����;風險識別���;管理分析
中圖分類號:F23 文獻標識碼:A 文章編號:1001-828X(2013)11-0-01
風險就是未來可能發生的不確定性的結果����,在財務管理方面不論何種風險都會造成重大損失,因此需要對風險進行有效識別和管理���,以最大限度降低風險成本。企業會計信息系統可以有效維護企業的整體運行����,企業對會計信息系統進行風險識別和管理不僅是企業財務規避風險的需要,也是整個企業風險管理的需要����。但目前我國在會計信息系統風險識別和管理方面的研究還很少�,企業在會計信息風險管理方面的認識和經驗還不足�����,很多企業為保證會計信息安全傾盡了大量財力�、物力卻沒有任何效果�����。因此企業如何識別風險�,并采取措施進行有針對性的風險管理���,需要企業管理者認真思考總結���,以對癥下藥����。
一、企業會計信息風險識別
1.會計信息風險識別的定義和重要性
對事件的識別可以幫助企業管理者熟悉影響業務活動的各種因素,但事件識別無法清楚了解這些事件蘊含著怎樣的風險。因此企業管理者在了解事件的同時,更應分析這些復雜的事件蘊含了哪些“風險”����,即風險識別��。企業會計信息風險識別可以將不確定的事件轉化為清晰的風險陳述,在事件識別和風險評估之間起到橋梁的作用�����。
2.會計信息風險識別的內容
企業會計信息風險識別可以分為三個方面:(1)利用風險檢查表來系統地識別風險��;(2)對已知風險進行交流。采用口頭或書面的方式,在企業會議上針對已知風險進行交流��;(3)將已知的風險編寫成文檔�,可以方便以后查閱。文檔內容從風險陳述和相關風險的背景兩個方面來寫,風險背景中要包括風險發生的時間、地點、原因和后果[1]��。
3.會計信息風險識別的方法
企業會計信息識別風險的方法有很多���,財會人員可以通過分析公司歷年的財務報表�����,加強與部門經理的討論溝通��,多進行員工調查����,或咨詢保險人和風險管理咨詢顧問等方式����,以此識別各種潛在風險。財會管理者在運用各種風險識別方法時,首先要全面了解部門�����、企業以及影響企業的經濟����、法律和法規等“事件”。有效識別面臨風險的各項財產以及造成潛在損失的原因��,考慮對這些財產進行計量的方法�����。綜合各種計量屬性的優缺點,選擇合理的估價方法�。
二���、企業會計信息風險管理分析
1.會計信息風險評估
企業會計信息風險評估即對會計信息及信息處理設施可能發生的威脅和影響的評估��。企業財會部門利用風險評估可以有效考慮潛在風險對會計目標達成的影響,以確定會計信息風險控制的優先級�,實現對潛在風險的有效控制���,將風險降低到最小范圍��。風險評估時管理者首先應考慮到企業資產及其價值的潛在威脅,研究風險發生的可能性和薄弱點���,建立完善的風險評估流程。風險評估方法分為定性和定量兩種�,對于不能量化的或不能進行定量評價�����,實踐中沒有實用性的風險采用定性的評估方法。定性分析方法側重于關注事件帶來的損失���,而很少關注事件發生的頻率,主要是通過事件面臨的威脅和脆弱點來確定事件的風險等級,評估中也沒有具體的數據�����,以期望值來設定風險的影響值和概率值[2]���。
當單純的期望值不能區分風險值間的差別時�,就需用定量評估法。定量評估主要是利用威脅事件發生的概率和可能造成的損失這兩個因素����,這兩個因素相乘的結果稱為ALE。通過ALE可以計算出風險等級����,以對此做出相應決策����。不同規模的企業風險評估工具的選擇不同���,比較小的企業財會部門的風險管理決策主要來自經驗判斷,對于規模較大的企業一般通過數據收集��、處理分析來進行風險評估�。常用的風險評估工具有使用歷史數據法�、使用回歸分析方法和使用正態分布模擬損失分布等����。
2.會計信息風險應對
在企業會計信息風險應對中���,首先應以風險評估的結果為依據���,判斷威脅事件的薄弱點��,選擇合理的手段和正確的保護措施�。其次���,也應該考慮到費用問題�����,確保應對措施的費用在財會部門預算范圍之內���。根據應對措施的費用和部門的實際預算選擇合理的方式����,達到降低風險的目的。常見的風險應對方法有規避風險���、減輕風險、承擔風險和接受風險等���。風險的發生是隨機和不確定的,因此風險應對也是一個動態的過程�,財會部門應使用動態的方法應對風險�,及時更新風險管理體系。
3.會計信息風險監控
企業會計信息風險監控是財務信息風險管理的重要組成部分,可以通過持續監控和單獨評價兩種方式實現。在企業財務部門的日常業務活動中實行持續監控��,依靠風險評估和持續監控的有效性進行單獨評價。持續監控是財務部門對日常工作和業務活動的動態監控��,財會部門在工作中如發現風險管理的缺陷應立即向上級匯報�,以采取相應措施彌補。通過日常的監控可以及時發現會計信息管理中的各種問題���,以規避風險��。在風險事件發生后進行個別評估��,探討財會部門風險管理的有效性��,重視對事件缺陷的挖掘與匯報�,建立可靠的溝通渠道�����,及時匯報一些敏感或非法的信息[3]��。
三�����、結語
在激烈的市場競爭中����,企業在經營管理的各個環節,不可避免的會存在一定風險,這些風險可能對企業產生重大影響�。有效規避和化解企業會計信息中的風險,是確保企業在激烈的競爭中持續發展的基本要求�����。財會部門作為企業的核心部門��,在日常工作中應該建立有效的風險管理體制�����,對可能發生的風險進行評估�����,并采取相應的措施應對�����,也要實施風險持續監控制度,積極挖掘財會工作中的各種風險管理缺陷��,以此規避風險減少企業經濟損失��。
參考文獻:
[1]李華麗.淺論會計風險管理存在的問題[J].中國市場�,2010,5(26):21-23.
第5篇
1 企業財務風險評估的重要性
1.1 企業財務風險評估是企業有效規避風險的必要途徑
企業風險來源于生產經營過程中的各個方面�����,稍有忽視,財務風險就會趁虛而入��,打擊企業的發展勢氣����。及時做好企業財務風險的評估��,是現代企業發展過程中的經驗總結,更是幫助企業盡快脫離風險�,重新步入發展正軌的重要途徑���。知己知彼,百戰不殆��。企業只有明確自己的財務風險才能夠更從容的去面對風險��、解決風險�����。并以此作為日后規避風險的警鐘����,時時刻刻保持高度嚴謹的經營狀態�����,幫助企業樹立良好的經營風氣���,促進企業的健康發展。
1.2 企業財務風險評估有利于促進財務改革
在整個財務改革進程中,制定有效的財務風險評估機制��,是財務改革的發展趨勢,更是促進財務改革深入推進的重要途徑��。企業財務風險評估不僅有利于企業自身財務的健康發展�����,更加有利于社會經濟的健康發展���。但由于長期以來在傳統經營模式下�,企業管理水平低,工作效率得不到提升����,造成很多財務風險無法被提前查知��,最終弄的企業手忙腳亂����。就算財務管理人員十分細心的遵守規范,也無法應對突如其來的風險�。在規模稍微龐大一點的公司里面,會計人員多���、財務來源渠道復雜多樣�、財務花銷難以統計�,財務風險的發生幾率更大大增高。在這種背景下�����,企業對財務風險進行科學評估不僅能夠適應現代社會激烈的市場競爭��,更能夠幫助企業的財政公開,因此����,企業開展財務風險評估工作,能夠進一步推進財務改革的深入����。
2 新形勢企業財務風險評估方法
對企業財務風險的評估工作應該從企業發展的幾大方面一一考慮����,分別是企業的經營績效�、盈利能力��、資金周轉能力�、債務償還能力以及發展能力���。這里主要介紹新形勢下企業財務風險評估兩大方法����。
2.1 人工神經網絡風險評估法
在對企業的財務風險類型屬性進行分類識別之后��,在確定了風險程度的基礎上�����,可以依靠人工神經網絡系統對已有的風險模型進行匹配�,根據最終的評估結果����,從而選擇制定出最適合企業發展���、最有效的財務風險處理辦法。
長期以來,結合企業財務風險形成的原因和對風險本質的認識,企業財務風險一般情況下都會表現為企業財務狀況的和經營績效的急劇下滑����。二者任何一方面的發生都將會導致企業盈利能力�、發展能力、資金周轉能力以及債務償還能力的下降。因此,企業財務風險的最終表現可以總結為企業實際經營績效不能達到企業的與其經營效果。這種負偏差以及其程度大小可以用來衡量企業財務風險情況的嚴重程度���,并且根據該程度和對風險危害的評估分析��,判斷該風險是否可能發生,并且在發生后及時選擇適當的應對措施。在人工神經網絡評估法中�,通過這些信息列成一個總結性的財務風險報表����,在報表上可以綜合反映企業經營的總體情況以及所有信息的綜合評估�,同時也能反映出是哪項指標具體造成了財務風險。也就是說�����,企業經營績效的總狀況可以用來評價企業總體所處的環境,而單項指標則可以具體指出引發財務風險的根源以及影響因素�。
2.2 財務綜合指標回歸模型評估法
第6篇
【關鍵詞】 內部控制; 風險評估; 管理策略
為了加強和規范企業內部控制,提高企業經營管理水平和風險防范能力,根據國家有關法律法規,財政部會同證監會�����、審計署�����、銀監會����、保監會制定了《企業內部控制基本規范》�。該規范自2009年7月1日起在上市公司范圍內施行,鼓勵非上市的大中型企業執行�����。我國《企業內部控制基本規范》提出我國內部控制的基本要素包括內部環境、風險評估��、控制活動、信息與溝通和內部監督等五項,并在《基本規范》中單辟一章,就風險評估的有關內容進行了規定���。這說明國家和企業已經意識到風險評估在企業內部控制中的重要作用,那么企業應該從哪些方面來加強識別企業風險,建立風險評估系統,進一步改善內部控制呢?
一、國內外企業風險評估體系研究綜述
國外對內部控制的研究已有很長的歷史��。1988年美國注冊會計師協會《審計準則公告第55號》,該公告提出內部控制結構的三個要素:控制環境����、會計制度、控制程序�。進入90年代以后,COSO提出《內部控制―整體框架》的報告,將內部控制分為控制環境��、風險評估�����、控制活動��、信息與溝通和監督五個部分,實現了內部控制由三要素向五要素的飛躍���。自此風險評估被納入內部控制系統之中�。最新內部控制研究結果表明,內部控制與風險管理愈發趨向目標一致,某些內容也有較大重合,COSO也于2001年起著手進行風險管理研究,從最初的將風險評估作為一個要素納入內部控制整體框架中到目前的著手進行風險管理研究,足可以看出內部控制與風險管理的趨同性和風險這一因素在內部控制中的作用和地位越來越重要�。
近年,我國理論界和實務界越來越重視內部控制的研究和應用,學者們在理論觀念的引進和研究方面做了大量的工作。由財政部、證監會等五部委聯合的我國第一部《企業內部控制基本規范》就是很好的證明�����。
二、進行內部控制風險評估研究的現實意義
史學家湯因比曾說過:“一個國家乃至一個民族,其衰亡是從內部開始的,外部力量不過是其死亡前的最后一擊”�����。企業的存亡又何嘗不是如此呢��。既然一個企業的衰亡也是從其內部開始的,那若要尋求企業的生存發展之路就必須從其內部抓起,內部控制正是基于這一點才得到了世界各國理論界和實務界的重視����。同時,市場經濟從微觀角度來說是一種風險經濟,企業作為市場的基本單位時刻置身于風險之中,越是開放發達的市場經濟,其中蘊藏的風險和不確定性越大�����。隨著市場經濟的發展成熟和市場開放程度的加大,風險己經成為企業關注和管理的焦點,作為企業內部管理核心的內部控制要想發揮其應有的作用,必須不斷充實和發展,以求跟上市場發展的步伐,正是基于這個基礎,風險的概念逐步進入了內部控制的范圍。減輕或避免風險是內部控制活動的目標,各種風險因素是內部控制的對象�����。所以,企業要實施有效的內部控制,就要識別和衡量它所面臨的風險及其風險因素,這是采取有效控制活動的依據和前提,這里的識別和衡量風險就是風險評估�。目前COSO整體框架和我國《企業內部控制基本規范》把風險評估作為一項基礎要素納入到內部控制框架之中,這一發展是理論順應客觀實際發展的必然結果。
進行內部控制和風險評估研究具有重要的現實意義:內部控制的缺失和不健全是導致會計舞弊泛濫的根本原因之一;內部控制制度的極度缺失和對風險的忽視是導致我國企業生命周期短的根本原因; 國有企業改革的成功離不開健全的內部控制制度及風險的管理和控制;風險評估是內部控制制度設計控制活動和發揮應有作用的基礎。
風險評估是內部控制系統的基礎組成部分,要使控制制度發揮其應有的作用,企業必須清楚所面臨的風險,并對整個企業的風險進行定性或定量的評估,然后針對風險評估的結果采取相應的控制活動�。其實內部控制也就是風險的管理與控制活動,如果毫無風險,也就不需耗費大量的人力財力物力去搞什么內部控制。既然風險的存在是控制的原因所在,進行風險評估就成為整個內部控制制度的基礎和關鍵。無論是從國際大環境來看還是從我國的具體情況出發,內部控制的研究和應用都是非常重要的�����。但是,作為有效實施內部控制的基礎條件的風險評估卻還沒有得到足夠的發展,研究會計和審計的人都早已熟知制度基礎上的審計,但風險基礎上的控制觀念還是個新概念,還沒有建立起比較完善的體系���。因此,進行內部控制和風險評估研究無疑具有非常重要的現實意義���。
三�、風險評估體系的構建
鑒于風險評估在我國內部控制中的運用,筆者認為可以通過以下幾個步驟來建立風險評估系統。
(一)確定全面風險管理目標
風險是指企業在未來經營中面臨的、可能影響其經營目標實現的所有不確定性��。風險評估是企業及時識別���、系統分析經營活動中與實現內部控制目標相關的風險,并合理確定風險應對策略����。全面風險管理是指企業圍繞總體目標,制定風險管理策略,在企業經營管理的各個方面和業務過程中的各個環節進行風險管理的基本流程,落實風險理財措施,培育良好的風險管理文化,建立健全風險管理的組織體系�、信息系統和內部控制系統的過程和方法����。
企業目標是企業宗旨的具體化,是企業各項業務和管理活動所指向的終點。企業風險管理的首要任務,就是確定目標�����。只有先確立了目標,管理層才能針對目標確定風險并采取必要的行動來管理風險。確定全面風險管理目標要做到:企業風險管理目標的確定應與員工溝通;企業計劃和預算與風險管理目標���、戰略計劃及當前情況具有一致性;業務活動風險目標要具體;領導層參與制定企業風險目標并對其負責�。
(二)收集風險管理初始信息
實施全面風險管理,企業應廣泛�����、持續不斷地收集與本企業風險和風險管理相關的內部、外部初始信息,包括歷史數據和未來預測�����。應把收集初始信息的職責分工落實到各有關職能部門和業務單位�����。
1.在財務風險方面,企業至少收集以下信息
(1)負債、或有負債��、負債率�、償債能力。(2)現金流�����、應收賬款及其占主營業務收入的比重�、資金周轉率��。(3)應付賬款及其占購貨額的比重����。(4)成本和管理費用����、財務費用、營業費用����。(5)成本核算、資金結算和現金管理業務中曾發生或易發生錯誤的業務流程或環節�。
2.在市場風險方面,企業至少收集以下信息
(1)產品的價格及供需變化。(2)產品供應的充足性、穩定性和價格變化。(3)主要客戶����、主要供應商的信用情況��。(4)潛在競爭者、競爭者及其主要產品情況。
3.在運營風險方面,企業至少收集以下信息:
(1)新市場開發,市場營銷策略��。(2)企業組織效能����、管理現狀���、企業文化,中���、高層管理人員和重要業務流程中專業人員的知識結構��、專業經驗。(3)質量�����、安全、環保�����、信息安全等管理中曾發生或易發生失誤的業務流程或環節。(4)因企業內�����、外部人員的道德風險致使企業遭受損失或業務控制系統失靈�。(5)企業風險管理的現狀和能力。
企業對收集的初始信息應進行必要的篩選�、提煉、對比����、分類����、組合,以便進行風險評估。
(三)風險識別
企業風險的識別應當以一種系統方法來進行,以確保公司的所有主要活動及其風險都被囊括進來,并進行有效的分類��。根據企業實際情況和技術水平,風險識別主要以定性識別方法為主,適當結合定量識別方法,同時根據業務發展和管理水平的不斷提高,逐步引進和加大定量識別方法���。
企業應選擇適當的風險識別方法,保證風險識別的規范性和科學性,具體措施有:
1.建立科學的風險識別方法體系,對企業和各職能部門隨時關注企業活動中存在的風險提供指導�。
2.對風險識別方法進行規范化和制度化,確保企業和各職能部門使用統一的識別方法體系對風險識別結果進行描述。
3.利用歷史事件諸如違約支付���、產品價格變動等,關注未來事件諸如人口變動�、新市場條件以及競爭者行為等對風險進行趨勢分析和關注����。
4.建立損失事件數據庫,通過事件列表����、事件分類��、內部分析��、推動討論和會談����、流程分析等方法進行風險識別,確定風險因素發展趨勢和根源����。
(四)風險分析
企業風險分析評估的方法多種多樣,采用定量分析方法,特別是利用數學模型進行風險分析,可以使風險管理建立在科學的基礎上,并為最終的決策提供可靠的依據。風險分析及度量,需要充分地獲得企業在歷史年度內發生的各種風險的次數以及所導致的損失,統計時段越長,風險評估的準確性越高��。風險評估不僅要了解歷史上各種風險發生的頻率,還要充分考慮風險的客觀環境是否改變,如果有變化,就要在歷史數據的趨勢分析上進行修正��。在實際操作中,許多風險發生的可能性實際上難以量化,它們至多只能定性地被描述為“大的”�����、“中的”�����、或“小的”風險�����。
企業在分析風險發生的可能性(或頻率�、概率)和風險發生的條件方面,可采取如下措施:
1.企業基于風險識別的結果對風險的發生概率進行分析評估,選擇采用諸如預期估計或情況評價等術語來表達潛在的可能性,或采用數據或圖表的形式來描述和評價風險發生的概率。
2.企業建立風險分析模型,通過關鍵風險指標管理方法����、壓力測試和情景分析等定量技術手段和會談���、工作組會議等定性評價技術對風險發生的條件因素進行分析,以確定風險發生的具體條件。
3.企業自查與外部檢查、事前與事后檢查相結合�����。
4.企業引進技術手段,由日常業務數據�����、財務數據入手,按照既定的模型做預警提示。
(五)風險評價
企業風險評價是在風險識別����、風險分析的基礎上,評估風險對企業可能產生的影響以及確定風險的重要性水平的過程���。企業風險評價包括兩個方面的內容,即分析風險可能產生的影響和確定風險的重要性水平。企業風險評價通常是和風險分析同步進行的,因而其方法也和風險分析相同�����。
企業風險評價的控制措施有:
1.企業對于重要事項面臨的重要風險可能帶來的重大影響,應當通過定量分析技術,確定各種可能性造成影響的數量,從而為企業采取恰當的風險對策提供科學的依據����。
2.企業應當按照風險可能帶來的影響程度的大小,對風險進行排序,明確重要風險和一般風險��。
3.企業應當對重要風險予以特別的關注,避免重要風險可能給企業帶來的重大損失。
(六)風險管理策略
一般情況下,對戰略����、財務�、運營和法律風險,可采取風險承擔��、風險規避、風險轉換、風險控制等方法。
1.企業針對各種風險建立確定風險應對措施的程序和方法,對具有較高發生概率��、影響重大的風險優先考慮。
2.建立一套廣泛適應的風險決策判斷標準,即根據風險嚴重程度和企業的風險承受程度確定不同的決策�����。
3.企業對降低風險水平所需成本進行合理分析,評估風險應對措施的成本與效益����。
4.企業選定風險處理措施后,根據剩余風險重新校訂風險。
5.企業要持續獲得風險變化信息,有效地控制����、管理風險,防范新風險的產生�。
6.對重要風險進行實時監控�。
四�����、結論
企業風險評估是一個持續反復的過程,一次風險評估并不能一勞永逸�。企業應當結合不同發展階段和業務拓展情況,持續收集與風險變化相關的信息,進行風險識別和風險分析,根據情況的變化及時調險應對策略,以避免由于原來選擇使用的風險應對策略無效而影響內部目標的實現���。特別是當企業經營活動所處的外部環境發生變化時,企業必須保持應有的靈敏度,針對變化的外部環境進行相應的風險評估,以使企業的目標在變化了的外部環境中得以實現��。我國企業只有建立比較完善的風險評估系統,才能真正完善我國企業的內部控制,真正促進我國企業的進一步發展。
【參考文獻】
[1] 李玉環.內部控制中的風險評估[J].會計之友,2008 (10).
[2] 馬宏杰.企業內部控制制度存在的問題與對策[J].財會研究,
2007(4).
第7篇
我國的信息安全標準化制定工作比歐美國家起步晚�。全國信息化標準制定委員會及其下屬的信息安全技術委員會開展了我國信息安全標準方面工作�,完成了許多安全技術標準的制定,如GB/T18336�、GB17859等。在信息系統的安全管理方面,我國目前在BS7799和ISO17799及CC標準基礎上完成了相關的標準修訂����,我國信息安全標準體系的框架也正在逐步形成之中[1]�����。隨著信息系統安全問題所產生的損失���、危害不斷加劇����,信息系統的安全問題越來越受到人們的普遍關注�,如今國內高校已經加強關于信息安全管理方面的研究與實踐。
2高校信息安全風險評估模型
2.1信息安全風險評估流程
[2]在實施信息安全風險評估時��,河南牧業經濟學院成立了信息安全風險評估小組�,由主抓信息安全的副校長擔任組長,各個相關單位和部門的代表為成員,各自負責與本系部相關的風險評估事務��。評估小組及相關人員在風險評估前接受培訓�,熟悉運作的流程��、理解信息安全管理基本知識,掌握風險評估的方法和技巧。學院的風險評估活動包括以下6方面:建立風險評估準則��。建立評估小組����,前期調研了解安全需求���,確定適用的表格和調查問卷等���,制定項目計劃����,組織人員培訓���,依據國家標準確定各項安全評估指標���,建立風險評估準則��。資產識別。學院一卡通管理系統�����、教務管理系統等關鍵信息資產的標識����。威脅識別�。識別網絡入侵���、網絡病毒、人為錯誤等各種信息威脅�����,衡量威脅的可發性與來源����。脆弱性識別。識別各類信息資產�、各控制流程與管理中的弱點�����。風險識別。進行風險場景描述,依據國家標準劃分風險等級評價風險����,編寫河南牧業經濟學院信息安全風險評估報告����。風險控制�。推薦�����、評估并確定控制目標和控制,編制風險處理計劃���。學院信息安全風險評估流程圖如圖1所示:
2.2基于PDCA循環的信息安全風險評估模型
PDCA(策劃—實施—檢查—措施)經常被稱為“休哈特環”或者“戴明環”,是由休哈特(WalterShewhart)在19世紀30年代構想���,隨后被戴明(EdwardsDeming)采納和宣傳����。此概念的提出是為了有效控制管理過程和工作質量���。隨著管理理念的深入,該循環在各類管理領域得到廣泛使用,取得良好效果��。PDCA循環將一個過程定義為策劃����、實施、檢查、措施四個階段,每個階段都有階段任務和目標,如圖2所示,四個階段為一個循環�,一個持續的循環使過程的目標業績持續改進��,如圖3所示。
3基于PDCA循環模型的信息安全風險評估的實現
[3-5]河南牧業經濟學院信息系統安全風險評估的研究經驗積累不足�,本著邊實踐邊改進�,逐步優化的原則���,學院決定采用基于PDCA循環的信息安全評估模型��。信息安全風險評估模型為信息安全風險評估奠定了理論依據���,是有效進行信息安全風險評估的前提��。學院擁有3個校區�,正在逐步推進數字化校園的建設��。校園網一卡通�、教務、資產���、檔案等管理系統是學院網絡核心業務系統,同時各院系有自己的各類教學系統平臺�,由于網絡環境的復雜性�,經常會監控到信息系統受到內外部的網絡攻擊,信息安全防范問題已經很突出����。信息安全風險評估小組依據自行研發的管理系統對學院各類信息系統進行全面的風險評估(圖4)�,以便下一步對存在的風險進行有效的管理,根據信息系統安全風險評估報告,提出相應的系統安全方案建議��,對全院信息系統當前突出的安全問題進行實際解決。
3.1建立信息安全管理體系環境風險評估(P策劃)
風險規劃是高校開展風險評估管理活動的首要步驟。學院分析內外環境及管理現狀���,制定包括準確的目標定位���、具體的應對實施計劃����、合理的經費預算、科學的技術手段等風險評估管理規劃�����。風險規劃內容包括確定范圍和方針�、定義風險評估的系統性方法���、識別風險�、評估風險�、識別并評價風險處理的方法。信息安全評估風險評估管理工作獲得院領導批準��,評估小組開始實施和運作信息安全管理體系�����。
3.2實施并運行信息安全管理體系(D實施)
該階段的任務是管理運作適當的優先權����,執行選擇控制,以管理識別的信息安全風險���。學院通過自行研發的信息安全風險管理工具����,將常見的風險評估方法集成到軟件之中�����,包括有信息資產和應用系統識別、風險識別與評估���、風險處置措施及監測、風險匯總與報告生成等功能����。通過使用信息安全風險管理工具,安全風險評估工作都得到了簡化�,減輕人員的工作量���,幫助信息安全管理人員完成復雜的風險評估工作,從而提高學院的信息安全管理水平���。
3.3監視并評審信息安全管理體系(C檢查)
檢查階段是尋求改進機會的階段���,是PDCA循環的關鍵階段����。信息安全管理體系分析運行效果���,檢查到不合理�����、不充分的控制措施���,采取不同的糾正措施。學院在系統實施過程中,規劃各院系的信息安全風險評估由本系專門人員上傳數據���,但在具體項目實施中,發現上傳的數據隨意甚至杜撰,嚴重影響學院整體信息系統安全評估的可靠性���,為了強化人員責任意識,除了加強風險評估的培訓外,還制定相應的懲罰獎勵制度���,實時進行監督檢查����,盡最大可能保證風險評估數據的準確性[6]����。
3.4改進信息安全管理體系(A措施)
經過以上3個步驟之后,評估小組報告該階段所策劃的方案���,確定該循環給管理體系是否帶來明顯的效果����,是繼續執行,還是升級改進����、放棄重新進行新的策劃����。學院在項目具體實施后,信息安全狀況有了明顯的改善�,信息管理人員安全責任意識明顯提升�,遭受到的內外網絡攻擊、網絡病毒等風險因素能及時發現處理�。評估小組考慮將成果具體擴大到學院其他的部門或領域���,開始了新一輪的PDCA循環持續改進信息安全風險評估�。
4結語
第8篇
關鍵詞:財務 風險管理 研究 供電企業
一�、供電企業財務風險管理現狀
財務風險是指由于多種因素的作用,使企業不能實現預期財務收益����,從而產生損失的可能性��。企業的財務風險控制難以落實到位、與企業日常工作脫節而導致企業運營不良的問題一直是企業財務管理的難題����,而新時期的經濟環境對企業一體化管理要求逐日提升��,更加注重財務端與業務端的緊密配合���,供電企業亦是如此。當前���,供電企業在財務風險管理中主要存在以下問題:
(一)財務風險管理控制理念較為落后
供電企業的財務風險管控的理念仍然處于一個較為落后的地步,沒有很好地融入財務管理的基本目標――價值最大化����,財務部難以發揮企業整體價值引領的職能。因此,供電企業需要及時更新財務風險控制理念����,將財務風險控制的目標放到企業整體運營的戰略高度上�。
(二)財務風險控制機制不完善
傳統供電企業財務風險控制只集中于財務風險的識別����、評估和應對,缺乏長期的監控和改進流程����,缺乏對不同風險的側重分類����,可能產生企業資源浪費���、管控效果降低的問題�。新時期的財務風險控制工作需要結合企業財務風險管控文化和企業財務風險信息系統��,才能保障財務風險管控工作有效施行�����。
(三)財務風險控制業務協同性不足
供電企業組織體系龐大�,管理層級較多����,傳統的財務風險控制工作被通常誤解為財務部的工作�,其他部門只是輔助作用�。財務風險控制體系的建設需要將風險源控制遷移到業務部門,從業務部門到財務部門的工作中一體化地將財務風險梳理出來,針對性的進行科學有效的控制改進。
二����、構建新型供電企業財務風險管理體系
結合全面風險管理理論框架�、COSO企業風險管理――整合框架,基于供電企業的管理現狀�、具體情況�����,探討構建新型供電企業財務風險管理體系框架�。
(一)構建目標
“COSO企業風險管理――整合框架”提出四個目標�����,具體包括:戰略、經營、報告、合規���。COSO提出的目標普遍適用于各行業企業,但針對性不足,并未能充滿體現供電企業的公共服務��、資產密集的特點�����。結合新常態下的環境和供電企業管理特點,提出供電企業財務風險管理體系的三大目標:
1、資產安全
供電企業屬于資產�、資金密集型企業��,其特點是資產高度密集集中���,資產數量龐大、種類繁多����,且資產設備高單價����,涉及大量資金流出流入���,資金管理風險大���。因此,資產和資金的安全���、完整是企業可持續發展的物質基礎,財務風險控制體系應保障資產���、資金(包括表內外資產、資金)的安全�����,防止國有資產流失����。
2、經營合規
供電企業屬于自然壟斷行業�,一舉一動受到社會外界嚴格監管�。任何違法違規行為都會嚴重影響企業形象。因此�,企業經營活動必須在法律規定的范圍內�����,絕不允許通過逾越法律以謀求企業高速發展�,只有在遵紀守法的基礎上�,才有條件追求企業價值最大化目標。在經營合規目標中還包含了財報合規目標,企業需嚴格按照會計法��、會計準則提供及時���、真實��、完整��、準確的財務信息,保證上報���、披露的財務信息報告真實完整�����,以有效監控企業經濟業績和有效支持管理決策��。
3、可持續發展
供電企業一方面實現國資委利潤目標考核�����,同時作為公共服務行業���,又要兼顧社會公益性和綠色環境保護等可持續發展要求�。因此���,財務風險控制提出可持續發展目標�,充分考慮短期利潤和長期發展要求,提升企業可持續發展能力和創造長久價值。
(二)構建步驟
構建財務風險內控管理體系的關鍵是建立一套行之有效的財務風險管理運作機制。應分步建立風險評估��、風險應對、風險監控、監督改進的系統性管理要點與流程���,并持續修訂與完善,實現閉環管理����。
1�、開展風險事項識別
風險識別延伸業務端。企業經營過程發生的財務風險并不局限于財務管理活動�,更多是由于業務端的工作不合規����,不合理所導致�。因此財務風險識別不僅是對財務端風險識別,更要延伸到業務前端����,確保評估范圍全面覆蓋�����。例如:資金安全風險來源于資金流入安全的不確定性和資金流出安全的不確定性兩個方面,并進一步延伸到收費管理�、項目結算等業務前端的風險識別���。
追溯財務風險源����?����;谪攧诊L險事項識別�����,對風險事項的風險源進行深度分析,風險源不僅包括財務端的風險源,還應延伸到業務端的風險源,分析發現風險產生的根本原因,更好制定有效的控制措施,從源頭控制風險�����。
2���、開展風險評估
建立風險評估標準���?����;凇帮L險評估分數=風險發生可能性*風險發生影響程度”公式����,細分風險發生可能性和風險發生影響程度評價維度�。風險發生可能性細分為可能性概率和可能性定性描述,風險發生影響程度細分為經濟損失����、計劃實現��、管理效率、企業聲譽����。
全員參與風險評估��。財務風險涉及到企業各個業務領域�����、各個流程、各個崗位,只有全員參與����、多方配合開展風險評估����,才能保證財務風險評估結果的合理性和科學性。風險評估要求風險事項涉及的歸口管理部門和輔導責任部門負責評估��,并且要求每個部門主任或副主任至少一個人�、全體主管或副主管參與評估風險����。根據歸口管理和輔導責任��,不同崗位級別的評估分數予以不同權重�����。
外部專家審核����。由于內部員工對自身風險存在一定的局限性,因此,財務風險評估結果增加外部專家審核�,根據供電企業內外部環境風險變化,提出財務風險關鍵點,對風險評估結果提出反饋意見��。
3���、建立風險事件庫
財務風險識別����、評估結果進行編號整理形成風險事件庫����,內容包括風險事件、風險源、發生可能性、影響程度���、風險分值�����、風險級別����。
4�、制定風險應對策略
根據財務風險分值、級別���,確定主要財務風險的應對策略,主要包括風險規避���、風險控制��、風險轉移、風險承擔�����。
5�����、開展風險監控
風險監控是在風險評估和風險應對基礎上,對重大風險設定關鍵風險指標�,實施日常監測�����、預警和控制的過程�����。其中,關鍵風險指標是由關鍵績效指標(KPI)衍生出來的指標����,用于監控重大風險的屬性狀態變化和風險承受度突破水平�����。
關鍵風險監控指標包括前瞻指標和歷史指標����。其中��,前瞻指標是指該類指標可以反映風險發生前的狀態或程度�;歷史指標是指該類指標通過統計風險已經發生的歷史情況��,預測未來重復發生的狀態或程度�����。其中�,前瞻性指標也可以包括觸發指標(即某類關聯性因素的發生或狀態變化���,會間接反映當前風險的狀態或程度)����,歷史性指標也可包括布爾指標(即根據某觸發因素的是或否,判斷風險預警狀態)
6���、監督改進
風險管理監督改進是指針對全面風險管理體系運轉過程存在的各種缺陷和不足,開展自查��、監督�、檢查和審計,并實施體系改進與完善的過程�����。
財務部�、監察審計部��、各業務部門利用壓力測試、返回測試、穿行測試�����,風險控制自評等一些方法工具�����,發現財務風險管理存在問題��,分為“控制缺陷”與“管理提升”����,形成優化建議報告,實施改進,更新相關的風險應對措施����。
控制缺陷:識別現有控制不足與未能防范財務風險的控制缺陷����,并提出整改建議���,明確完成時間�����、責任部門�����。
管理優化:分析現階段管理水平����,從提升運營效率�、加深業財融合等角度提出管理提升優化建議,明確完成時間、責任部門��。
(三)保障機制
通過建設財務風險信息系統和構建財務風險文化作為風險體系的基礎工作,支撐風險體系落地���、實施,并貫穿于風險評估��、風險應對�����、風險監控���、監督改進各個環節���。
財務風險管理信息系統:是將信息技術應用于供電企業財務風險管理的各項工作���,為供電企業提供一個財務風險信息采集、分析����、共享的平臺�。其主要功能包括:提供財務風險信息采集模板��,積累大量標準化的財務風險信息;集中財務管理風險信息��,固化財務風險管理流程;實時監控財務風險�,提供高效的財務信息化預警手段�����。借助財務風險管理信息系統的這些功能會對企業提高財務風險管理的科學性和工作效率產生顯著效用。
財務風險文化:新型供電企業財務風險管理體系中的財務風險文化建設��,總結為以下四個方向:“道德誠信、安全第一�、持續發展����、風險可控”。各供電企業需結合自身文化形成獨樹一幟的特色企業財務風險文化����。
三���、結論與展望
本文研究了供電企業財務風險管理體系的建設�����,探討構建了財務風險管理體系建設全過程和實際操作方法�。今后,隨著電力企業改革的深入推進�����,供電企業應動態分析外部環境變化對財務風險的影響����,進一步完善財務風險管理體系�,推進實施成本精益化管理����,為企業健康協調持續發展服務��。
參考文獻:
[1]張惠娟.電網企業財務風險分析及管理研究.華北電力大學���,2009.
第9篇
財務風險評估其實質就是對企業經濟活動收益以及風險情況的量化分析���,重點是對企業財務風險的概率��、范圍以及可能造成的影響進行全面的評估。一些企業的財務風險評估水平不高,不能有效的識別企業在經營管理階段的風險問題�,而且提出的風險防控措施效果較差��,造成了財務風險問題得不到防范控制。
二��、企業財務風險管理防控措施
1.強化企業的財務風險意識
確保企業的財務風險控制管理工作有序開展��,必須提高企業管理部門的財務風險意識���,尤其是確保企業內部管理決策的科學性。首先���,應該在企業內部對管理層的權限以及職責進行明確與調整,尤其是依靠健全的企業內部控制管理制度�����,增強對財務決策風險的約束作用�,強化對管理決策的審核批準管理���,避免由于盲目決策����、隨意決策造成企業出現財務風險問題。其次,應該提高企業內部員工的財務風險意識,尤其是提高財務管理工作人員的風險防范意識����,對有可能造成企業出現財務風險的信息進行及時的整理分析,全員參與到企業內部的財務風險管理工作中,以提高財務風險控制管理的效率���。
2.完善企業財務風險監管機制的建設
財務風險監管機制可以強化對企業財務風險的控制管理�����,防范企業財務風險問題的發生,因而對于保障企業經濟活動的安全具有非常重要的作用�����。對于企業財務風險監管,首先應該強化企業內部審計機構職能����,逐步建立以企業財務風險控制為導向的內部審計機制����,通過對企業內部財務管理活動以及財務報表的審計監督�����,及時發現財務風險隱患。其次����,應該進一步的強化企業的財務機構職能��,按照企業的實際情況,適當的提高企業財務職能的集中程度�,這既可以提高財務工作的效率�����,同時也有助于提高財務整體實力��,在更高層次制定財務風險管理策略�。
3.提高企業對財務風險的評估應對能力
對于企業的財務風險評估工作,首先應該結合企業的實際情況,選擇合理的風險評估指標�����。對于籌資風險重點是在流動比率��、速動比率、現金比率、資產負債率等進行風險評估����;對于投資風險則主要是以總資產增長率�����、凈利潤增長率、總資產報酬率��、凈資產收益率作為風險評估指標����;對于營運風險指標主要是總資產周轉率、固定資產周轉率、應收賬款周轉率以及存貨周轉率����;對于收益分配風險�,主要是通過現金流量比率、股本報酬率、股息發放率作為評價指標���。通過這些評價指標��,結合因子分析法���、多元線性分析或者是邏輯回歸分析等評價風險預警模型��,及時的掌握財務風險的概率及影響情況���,進而針對性的采取通過風險分擔��、風險轉移��、加快資金回籠以及調整決策等管理措施,控制財務風險問題。
三、結語
第10篇
關鍵詞:企業風險管理
企業面臨的內外部環境不斷發生變化���,不確定性正日益成為企業各級組織所必須面對的常態。通過“不確定性”這一獨特的視角,在企業活動的各個環節使用風險管理的方法和技術���,可以強化各專項業務的管理,提升整體管理水平。
一般來說����,企業可從以下幾個方面著手�,開展全面風險管理��。
一�����、構建四個體系����,搭建全面風險管理基礎平臺
1.建立組織體系
企業應在現有組織結構框架的基礎上���,成立全面風險管理領導小組��,統一領導和組織全面風險管理工作����,組長應由企業高層管理者擔任����,成員由相關部門負責人組成。在企業管理部門設立全面風險管理辦公室�,負責日常組織管理。
2.建立管控體系
建立“五位一體”管控體系���,在充分發揮內控、審計�����、監察���、稽核�、法律作用的基礎上,組織相關部門共同研究系統管理問題�,分析產生原因��,通過完善管理制度��、調整管理體制和運行機制,達到解決原有問題�、防范類似問題再度產生的目的���。
3.建立報告體系
風險管理報告應當為決策者提供重要參考并切實解決實際問題。企業應根據管理需要����、自身實際和習慣�����,選擇和設計風險管理報告的類型和模板。風險管理專業人員負責匯總各類風險信息���、數據、分析和評價報告����,對跨部門業務的重大風險提出解決方案��,為下屬單位開展風險管理工作提供技術支持���。
4.建立考核體系
企業應制定《全面風險管理考核制度》����,明確風險管理的考核目標、原則�、程序��、對象、范圍和標準,并把風險管理評價與管理層的績效考核結合起來,逐步建立重大風險責任追究制度�,不斷完善風險管理的考核體系���。
二�、執行五個步驟���,理順全面風險管理基本流程
1.開展風險識別
每年年初��,企業應根據自身發展目標和戰略�,廣泛�����、持續地收集與風險管理相關的內外部信息,運用有關的知識和方法�,對各種風險系統��、全面和連續的進行辨識、歸類��,并分析產生風險事故的原因與過程���。
(1)主要風險分類�。根據《中央企業全面風險管理指引》�����,企業一級風險一般可分為五大類,即戰略風險、財務風險�、市場風險��、運營風險��、法律風險。對照一級風險分類,由職能部門根據日常業務內容和崗位職責,結合工作目標��,對不確定因素較多的業務或流程進行二級類別劃分�,編制風險分類清單�����,由全面風險管理辦公室進行匯總整理�。
(2)建立風險事件庫����。為有效識別分別風險事件�,可采取“四三二一風險識別法”��,以有效提高風險評估的可操作性“四三二一”風險識別法即四個負面的責任內風險�、三個負面的責任外風險�����、兩個正面的責任內風險�����、一個其他風險事件,以調查問卷的形式��,對重要崗位人員進行風險調查,由風險管理員負責整理���,建立風險事件庫。對已識別風險的可能性和影響程度進行評價�����,制定具體的風險應對措施���,并動態評估、持續完善����。
2.組織風險評估
在風險識別的基礎上��,可采用定性或定量方法��,對風險發生可能性和影響程度進行預計和估算��,最終確定風險評級。
(1)風險評估工作的組織��。企業應建立風險評估工作標準����、程序和方法,制定風險評估計劃����,組織協調和指導各職能部門和單位開展風險評估工作。各職能務部門應按照規定標準和程序�,組織開展本業務系統風險評估工作����。
(2)風險評估方法����。企業應根據自身經營目標,結合風險偏好及風險承受度��,制定風險發生的可能性及影響程度的判斷標準���,以及風險評級標準等����。風險發生的可能性和影響程度均分為五個檔次���,即:極低�、低����、中等���、高和極高��。風險評級分為三個檔次��,即:重大風險、重要風險和一般風險���。可運用定性�、定量或定性與定量相結合的方法���,確定風險評級��。
3.做好風險應對
企業應根據自身條件和外部環境,針對所評估風險的不同屬性,采取風險規避��、風險降低�、風險轉移/分擔、風險承受等風險應對措施,合理配置風險管理所需人力和財力資源,以有效控制各類風險。
4.抓好風險處置
建立重要風險預警機制��,制定應急預案�����,明確超出預警標準和危機出現等情形后的責任部門和責任人�����、應對策略��、工作程序及工作要求。對關鍵風險指標進行持續不斷的監測�����,及時預警信息�����,并根據情況變化調整控制措施�����。對于影響嚴重的突發事件要快速反應�����,協同應對��,建立統一指揮、反應靈敏、功能齊全�、協調有序��、運轉高效的應急管理機制���。
5.風險監控與改進
企業全面風險管理辦公室定期組織相關部門和單位�����,針對各類風險的管理情況進行跟蹤和監控����,及時向領導小組報告風險信息����。風險監控的主要內容可包括風險預警指標的變化情況和發展趨勢,風險應對措施執行的有效性等�。全面風險管理辦公室負責組織對企業風險管理總體情況進行檢驗���,根據變化情況和存在的缺陷及時加以改進����。
三、加強宣傳教育�����,推進全面風險管理文化建設
有效的風險管理體系建設必須以先進的風險管理文化培育為先導�����。企業首先應以現有的企業文化為背景����,充分利用各種宣傳媒體和形式�����,提升全員風險意識和責任意識�,樹立風險無處不在���、無時不在�、崗位風險管理責任重大等意識和理念�,使廣大員工認同并自覺遵守的風險管理理念、風險價值觀和風險管理行為規范�。
其次���,應加大專業風險管理人員的培訓力度��,使他們成為培育風險管理文化的骨干�����,承擔起向員工詮釋企業風險文化的義務����,并帶領員工付諸行動,糾正員工的行為偏差。
第11篇
關鍵詞:審計風險準則 風險導向 重大錯報風險 風險評估 審計證據
一、前言
2006年財政部頒布了《中國注冊會計師執業準則》����,標志著我國在建立適應社會主義市場經濟發展要求�����,順應國際趨同新形勢的道路上邁進了一大步。為了更好地指導注冊會計師有效地識別��、評估和應對審計風險,準則框架體系全面滲透著風險導向審計的理念,要求注冊會計師將風險導向審計的觀念貫穿于審計全過程。傳統審計方法的主要缺陷在于注冊會計師重視被審計單位的內部環境,但忽視其所處的外部環境;重視審計單位的控制風險但忽視其固有風險��。事實上我國注冊會計師面臨的情形是被審計單位及其所處環境的日趨復雜�。行業狀況、法律環境與監管環境以及其他外部因素,都會對注冊會計師審計質量產生重大影響�。在復雜環境下或被審計單位內部控制不健全時���,如果繼續采用傳統審計模式�,局限于控制測試和實質性測試�,把審計的主要資源集中在具體交易事項和余額細節測試上。極易引發審計風險。因此,新執業準則要求注冊會計師了解被審計單位及其內外部環境�����,同時注重檢查風險和固有風險(即重大錯報風險),重點關注存在重大錯報風險的領域,達到避免觸發審計風險的目的�。新執業準則體系的核心內容為以下準則����,簡稱審計風險準則����,分別為:《中國注冊會計師執業準則第1101號――財務報表審計的目標和一般原則》(以下簡稱第1101號準則����,下同)、《中國注冊會計師執業準則第1211號――了解被審計單位及其環境并評估重大錯報風險》���、《中國注冊會計師執業準則第1231號――針對評估的重大錯報風險實施的程序》�����、《中國注冊會計師執業準則第1301號――審計證據》。
二�、審計風險準則修訂的主要內容
(一)第1101號準則 第1101號準則是在借鑒國際審計與鑒證準則第200號的基礎上�,對原《獨立審計準則第1號――會計報表審計》進行修訂而形成的�。其主要內容有:會計責任和審計責任�、審計的目標、審計范圍��、職業懷疑態度�����、審計風險及模型�����。(1)明確區分注冊會計師的責任,公司管理層和治理層的責任����。新準則規定�����,對財務報表發表審計意見是注冊會計師的責任;在被審計單位治理層的監督下����,按照適用的會計準則和相關會計制度的規定編制財務報表是被審計單位管理層的責任。此外���,準則條款還特別強調了財務報表審計不能減輕被審計單位管理層和治理層的責任。(2)明確財務報表審計目標��。新準則規定����,財務報表審計的目標是注冊會計師通過執行審計工作,對財務報表的下列方面發表審計意見:財務報表是否按照適用的會計準則和相關會計制度的規定編制����;財務報表是否在所有重大方面公允反映被審計單位的財務狀況����、經營成果和現金流量�。這個規定與原有的規定沒有太大區別�,但是新準則中明確提出����,財務報表審計屬于鑒證業務�,注冊會計師的審計意見旨在提高財務報表的可信賴程度。(3)修訂審計范圍的定義。新準則指出�����,財務報表的審計范圍是指注冊會計師為實現財務報表審計目標����,根據審計準則和職業判斷實施的恰當的審計程序的總和。在確定擬實施的審計程序時,注冊會計師應當遵守與財務報表審計相關的各項審計準則��。恰當的審計程序是指審計程序的性質、時間和范圍是恰當的。一是審計程序的性質指審計程序的目的和類型。目的包括:通過了解被審計單位及其環境,識別�、評估重大錯報風險���;通過實施控制測試����,明確內部控制運行的有效性��;通過實施實質性程序����,發現認定層次的重大錯報���。類型則包括檢查、觀察、詢問、函證�、重新計算、重新執行和分析程序。二是審計程序的時間是指注冊會計師何時實施審計程序����,或指審計證據適用的期間或時點�。三是審計程序的范圍是指實施審計程序的數量����,包括抽取的樣本量���,對某項控制活動的觀察次數等�����。審計范圍受到限制是指由于客觀原因或者被審計單位施加的限制,注冊會計師未能實施根據審計準則和職業判斷應當實施的審計程序�,從而未能獲取充分、適當的審計證據����。(4)要求注冊會計師在審計過程中始終保持職業懷疑態度�����,并明確在財務報表審計中注冊會計師只能提供合理保證。新準則要求�,在計劃和實施審計工作時����,注冊會計師應當保持職業懷疑態度,充分考慮可能存在導致財務報表發生重大錯報的情形�。新準則指出���,注冊會計師按照審計準則的規定執行審計工作�,能夠對財務報表整體不存在重大錯報獲取合理保證����。由于審計中存在的固有限制影響注冊會計師發現重大錯報的能力�,注冊會計師不能對財務報表整體不存在重大錯報獲取絕對保證,即只能提供合理保證���。(5)引進新的審計模型��。新準則對審計風險模型作了重大改變,將原審計風險模型修正為:審計風險:重大錯報風險x檢查風險,審計風險取決于重大錯報風險和檢查風險,是兩者的綜合風險。重大錯報風險要求注冊會計師站在風險的高度上把握審計過程����,以風險為導向進行審計,強化了風險意識�����,注冊會計師對于重大錯報風險的評估貫穿于審計的整個過程����。改變后的審計風險模型使得注冊會計師從更高的層次上把握重大錯報風險,要求注冊會計師必須了解被審計單位及其環境(包括內部控制)��,以充分識別和評估財務報表重大錯報風險,并針對評估的重大錯報風險設計和實施進一步審計程序(包括控制測試和實質性測試)�����,以降低注冊會計師的審計風險���。在目前經濟不確定性增大的環境下����,顯然新的審計風險模型更能滿足風險控制的要求����,并且可操作性較強�����。
(二)第1211號準則 第1211號準則是在借鑒國際審計與鑒證準則第315號基礎上出臺的新準則��,將取代我國原有的《獨立審計準則第21號――了解被審計單位情況》、《獨立審計準則第9號――內部控制與審計風險》和《獨立審計準則第20號――計算機信息系統環境下的審計》,以克服舊準則相互分離、缺乏有機融合的缺陷��。根據《中國注冊會計師審計準則第1101號――財務報表審計的目標和一般原則》要求��,注冊會計師在審計過程中應當貫徹風險導向審計的理念�,圍繞重大錯報風險的識別����、評估和應對,計劃和實施審計工作。其中如何識別和評估重大錯報風險��,構成了注冊會計師應對重大錯報風險的前提��。注冊會計師如何了解被審計單位及其環境,了解哪些具體的內容�����,了解后如何對重大錯報風險進行評估�,如何將了解和評估的過程�、結果與管理層和治理層進行溝通�����,在審計工作底稿中應當對哪些內容進行記錄��,本準則對這些問題做了明確規范�,其修訂的主要內容有:(1)注冊會計師審計的總體要求:了解被審計單位及其環境是必要程序����;了解的目的是識別和評估財務報表重大錯報風險,設計和實施進一步審計程序;了解的程度應當足夠實現了解的目的�。與獨立審計準則中的規定不同,了解被審計單位及其內外部環境是注冊會計師審計過程中必須實施的程序,
也是風險導向審計的核心。(2)風險評估程序的概念及項目組內部討論的要求��。風險評估程序是指為了解被審計單位及其環境而實施的程序�����。風險評估程序包括:詢問被審計單位管理層和內部其他相關人員;分析程序;觀察和檢查����。注冊會計師在了解被審計單位及其環境的整個過程中,結合了解的內容和被審計單位業務的特點運用相應的風險評估程序����,并利用風險評估程序所獲取的信息評估重大錯報風險,并可能隨著不斷獲取審計證據而作出相應的變化�。如果通過實施進一步審計程序獲取的審計證據與初始評估獲取的審計證據相矛盾���,注冊會計師應當修正風險評估結果�,并相應修改原計劃實施的進一步審計程序��,實施風險評估程序之后項目組內部必須進行討論。注冊會計師通過風險評估程序了解被審計單位及其環境后�,需要對財務報表重大錯報風險進行評估����,評估重大錯報風險需要運用專業判斷����,必須由項目組內部討論來完成,項目組內部討論可以有效降低審計風險�����。在原準則中,評估固有風險��、控制風險也需要專業判斷����,但并沒有需要項目組共同討論的規定���。一是討論的目標���。項目組通過討論可以使成員更好地了解在各自分工負責的領域中�,由于舞弊或錯誤導致財務報表重大錯報地可能性����,并了解各自實施審計程序的結果如何影響審計的其他方面,包括對確定進一步審計程序的性質、時間和范圍的影響��。二是討論的內容���。項目組應當討論被審計單位面臨的經營風險���、財務報表容易發生錯報的領域以及發生錯報的方式�,特別是由于舞弊導致重大錯報的可能性。三是參與討論的人員�。注冊會計師應當運用職業判斷確定項目組內部參與討論的成員��。項目組的關鍵成員應當參與討論,如果項目組需要擁有信息技術或其他特殊技能的專家�,這些專家也應當參與討論����。項目組的討論不要求所有成員每次都參與討論,參與討論人員的范圍受項目組成員的職責���、經驗和信息需求的影響。四是討論的時間和方式�。項目組應當根據審計的具體情況��,在整個審計過程中�����,持續交換有關財務報表發生重大錯報可能性的信息���。項目組在討論時應當強調在整個過程中保持職業懷疑態度��,警惕表明舞弊或錯誤導致的重大錯報可能已經發生的信息或其他跡象,并對這些跡象進行追蹤。通過討論,項目組成員可以交流和分享在整個審計過程中獲得的信息�,包括可能對重大錯報風險評估產生影響的信息或有關針對風險實施的審計程序的信息��。(3)注冊會計師應盡到的相關職責�����。對注冊會計師應當從哪些方面了解被審計單位及其環境作了詳細的定義:行業狀況、法律環境與監管環境以及其他外部因素;被審計單位的性質���;被審計單位對會計政策的選擇和運用;被審計單位的目標、戰略以及相關經營風險;被審計單位財務業績的衡量和評價���;被審計單位的內部控制。這些內容是新準則的重要內容,值得注意的是對被審計單位的了解不僅局限于被審計單位的內部控制。對以上新準則中有相應的章節進行具體的闡述����,使得注冊會計師思考的是究竟哪些方面去了解被審計單位�����,而不像原有準則中是比較模糊的概念,這樣做可以有效防止了解的不徹底影響審計工作�,低估重大錯報風險�����。(4)明確了注冊會計師了解內部控制的定位。注冊會計師需要了解和評價的內部控制只是與財務報表審計相關的內部控制��,并非被審計單位所有的內部控制�。因為注冊會計師審計的目標是對財務報表是否不存在重大錯報發表審計意見����,注冊會計師考慮與財務報表編制相關的內部控制��,但目的并非對被審計單位內部控制的有效性發表意見��。(5)明確了注冊會計師評估兩個層次的重大錯報風險。在對重大錯報風險進行識別和評估后���,注冊會計師應當確定識別的重大錯報風險是與特定的各類交易�����、賬戶余額、列報的認定相關,還是與財務報表整體廣泛相關,進而影響多項認定�����。某些重大錯報風險可能與特定的各類交易���、賬戶余額��、列報的認定相關�。如被審計單位存在復雜的聯營或合資����,這一事項表明長期股權投資賬戶的認定可能存在重大錯報風險����。又如被審計單位存在重大的關聯方交易,該事項表明關聯方及關聯方交易的披露認定可能存在重大錯報風險�����。某些重大錯報風險可能與財務報表整體廣泛相關����,進而影響多項認定。如在經濟不穩定的國家和地區開展業務��、資產的流動性出現問題、重要客戶流失�����、融資能力受到限制等�,可能導致注冊會計師對被審計單位的持續經營能力產生重大疑慮�。又如管理層缺乏誠信或承受異常的壓力可能引發舞弊風險,這些風險與財務報表整體相關�。(6)提出了特別風險的概念,需要特別考慮的重大錯報風險即為特別風險,并根據風險的性質��、潛在錯報的重要程度和發生的可能性判斷風險是否屬于特別風險。如風險是否屬于舞弊風險;交易的復雜程度����;風險是否涉及重大的關聯方交易等。(7)提出了對僅通過實質性程序無法應對的重大錯報風險的處理方法。僅通過實質性程序獲取的審計證據無法將認定層次的重大錯報風險降至可接受的低水平,注冊會計師應當評價被審計單位針對這些風險設計的控制��,并確定其執行情況。在被審計單位對日常交易采用高度自動化處理的情況下,審計證據可能僅以電子形式存在����,其充分性和適當性通常取決于自動化信息系統相關控制的有效性�,注冊會計師應當考慮僅通過實施實質性程序不能獲取充分�、適當審計證據的可能性。如果認為僅通過實施實質性程序不能獲取充分��、適當的審計證據����,注冊會計師應當考慮依賴的相關控制的有效性,并對其進行了解、評估和測試��。(8)將了解被審計單位及其環境過程中獲得的信息記錄與工作底稿中��。此類信息包括項目組對由于舞弊或錯誤導致財務報表發生重大錯報的可能性進行的討論�,以便得出的重要結論�;對被審計單位及其環境各個方面的了解要點、信息來源以及實施的風險評估程序;在財務報表層次和認定層次識別��、評估出的重大錯報風險��;識別出的特別風險和僅通過實質性程序無法應對的重大錯報風險�����,以及對相關控制的評估。
(三)第1231號準則 第1231號準則是在借鑒國際審計與鑒證準則第330號的基礎上出臺的一個全新的準則,將取代原有的《第21號――了解被審計單位情況》、《第9號――內部控制與審計風險》和《第20號――計算機信息系統環境下的審計》��。根據《中國注冊會計師審計準則第1101號――財務報表審計的目標和一般原則》的要求����,注冊會計師在審計過程中應當貫徹風險導向審計的理念,圍繞重大錯報風險的識別、評估和應對,計劃和實施審計工作���。其中《第1211號――了解被審計單位及其環境并評估重大錯報風險》規范了注冊會計師通過實施風險評估程序,識別和評估財務報表層次以及各類交易、賬戶余額�����、列報認定層次的重大錯報風險���,注冊會計師針對已評估的財務報表層次的重大錯報風險如何確定總體應對措施���,針對已評估的認定層次的重大錯報風險如何設計和實施進一步審計程序��,進一步審計程序的性質、時間���、范圍如何確定和實施,如何評價實施審計程序收集的審計證據的充分性和適當性����,在審計工作底稿中將對哪些審計工作進行記錄等����,對這些問題的明確規范是第1231號準則的核心內容��。其修訂的主要內容有:總體要求�、針對重大錯報風險的總體反應����、審計程序的不可預見性、總體方案和進一步審計程序�、控制測試的相關要求�、實質性程序及相關要求、審計的相關要求���、審計工作記錄。(1)明確提出了對注冊會計師審計的兩個總體要求:審計程序的總體要求����,注冊會計師應
當對評估的財務報表層次重大錯報風險確定總體應對措施���,并針對評估的認定層次重大錯報風險設計和實施進一步審計程序�;職業判斷的總體要求,注冊會計師在確定總體應對措施以及設計和實施進一步審計程序的性質、時間和范圍時應當運用職業判斷����。(2)首次提出了注冊會計師應當針對評估的財務報表層次重大錯報風險確定下列總體應對措施:向項目組強調在收集和評價審計證據過程中保持職業懷疑態度的必要性���;分派更有經驗或具有特殊技能的審計人員����,或利用專家的工作;提供更多的督導��;在選擇進一步審計程序時�,應當注意使某些程序不被管理層預見或事先了解����;對擬實施審計程序的性質、時間和范圍作出總體修改����。(3)強調審計程序的不可預見性要求�。注冊會計師針對評估的財務報表層次重大錯報風險確定的總體應對措施中強調增強審計程序的不可預見性,因此��,注冊會計師在設計擬實施審計程序的性質����、時間和范圍時����,為了避免既定思維對審計方案的限制�,避免對審計效果的人為干涉�,從而使得針對重大錯報風險的進一步審計程序更加有效�,注冊會計師要考慮使某些程序不被審計單位管理層預見或事先了解�。(4)首次提出了兩種總體方案和進一步審計程序的概念�。兩種總體方案分別為實質性方案和綜合性方案,實質性方案是指注冊會計師實施的進一步審計程序以實質性程序為主;綜合性方案是指注冊會計師在實施進一步審計程序時,將控制測試與實質性程序結合使用。而所謂的進一步審計程序是相對風險評估程序而言的���,是注冊會計師針對評估的各類交易、賬戶余額���、列報認定層次重大錯報風險實施的審計程序,包括控制測試和實質性程序����。(5)重新界定了注冊會計師實施控制測試的兩種情形����,當存在下列情形之一時���,注冊會計師應當實施控制測試:在評估認定層次重大錯報風險時�����,預期控制的運行時有效的����;僅實施實質性程序不足以提供認定層次充分�、適當的審計證據。(6)強調了實施控制測試獲取審計證據的重要性。即認為僅實施實質性程序獲取的審計證據無法將認定層次重大錯報風險降至可接受水平,注冊會計師應當實施相關的控制測試�����,以獲取控制運行有效性的審計證據�。(7)增加了“重新執行”的控制測試取證方法。根據第1301號審計證據準則,注冊會計師獲取審計證據的具體程序中將六種具體的取證方法修改為八種,即檢查記錄或文件�����;檢查有形資產�����;觀察;詢問����;函證�;重新計算�����;重新執行���;分析程序���。其中增加了“重新執行”控制測試的取證方法����。(8)嚴格限制了注冊會計師無限期或過長時間內不實施測試的做法�����。如果擬信賴的控制自上次測試后未發生變化,且不屬于旨在減輕特別風險的控制�,注冊會計師應當運用職業判斷確定是否在本期審計中測試其運行有效性��,以及本次測試與上次測試的時間間隔���,但兩次測試的時間間隔不得超過兩年�。(9)首次明確區分“控制運行的有效性”與“控制是否得到執行”。注冊會計師在了解被審計單位及其環境時需要實施風險評估程序����。注冊會計師在確定控制是否得到執行而實施的某些風險評估程序可能提供有關控制運行有效性的審計證據。注冊會計師可以考慮在評價控制設計和獲取其得到執行的審計證據的同時測試控制運行有效性�,以提高審計效率����。兩者的區別如(表1)所示�。(10)首次明確期中進行控制測試的考慮。如果注冊會計師在期中實施控制測試程序,即使注冊會計師已獲取有關控制在期中運行有效性的審計證據�,仍然需要考慮如何能夠將控制在期中運行有效性的審計證據合理延伸至期末��,以確保針對期中至期末這段剩余期間獲取充分��、適當的審計證據���。如果已獲取有關控制在期中運行有效性的審計證據���,并擬利用該證據����,注冊會計師應當實施下列審計程序:首先,獲取這些控制在剩余期間變化情況的審計證據�����。針對期中已獲取過審計證據的情況����,如果這些控制在剩余期間沒有發生變化��,注冊會計師可能決定信賴期中獲取的審計證據�����;如果這些控制在剩余期間發生了變化,注冊會計師需要了解并測試控制的變化對期中審計證據的影響。其次�,確定針對剩余期間還需獲取的補充審計證據�����。針對期中已獲取過審計證據的情況,如果這些控制在剩余期間發生了變化,注冊會計師應當考慮下列因素:評估的認定層次重大錯報風險的重大程度��。評估的重大錯報風險對財務報表的影響越大�,注冊會計師需要獲取的剩余期間的補充證據越多;在期中測試的特定控制。如對自動化運行的控制,注冊會計師更可能測試信息系統一般控制的運行有效性,以獲取控制在剩余期間運行有效姓的審計證據����;在期中對有關控制運行有效性獲取的審計證據的程度�����。如果注冊會計師在期中對有關控制運行有效性獲取的審計證據比較充分,可以考慮適當減少需要獲取的剩余期間的補充證據��;剩余期間的長度���。剩余期間越長,注冊會計師需要獲取的剩余期間的補充證據越多��;在信賴控制的基礎上擬減少進一步實質性程序的范圍���。注冊會計師對相關控制的信賴程度越高���,通常在信賴控制的基礎上擬減少進一步實質性程序的范圍就越大�。在這種情況下,注冊會計師需要獲取的剩余期間的補充證據越多����;控制環境����。在注冊會計師總體上擬信賴控制的前提下����,控制環境越薄弱(或把握程度越低)�,注冊會計師需要獲取的剩余期間的補充證據越多。(11)明確了實質性程序概念和內容�。實質性程序是指注冊會計師針對評估的重大錯報風險實施的直接用以發現認定層次重大錯報的審計程序�����。包括對各類交易、賬戶余額、列報的細節測試以及實質性分析程序��。(12)明確了對于特別風險的專門應對程序�。如果認為評估的認定層次重大錯報風險是特別風險���,注冊會計師應當專門針對該風險實施實質性程序���;如果針對特別風險僅實施實質性程序�,注冊會計師應當使用細節測試���,或將細節測試和實質性分析程序結合使用���,以獲取充分��、適當的審計證據�。(13)首次提出了是否在期中實施實質性程序���。注冊會計師如果在期中實施了實質性程序�,仍然需要消耗進一步的審計資源使期中審計證據能夠合理延伸至期末����,注冊會計師應當考慮是否在期中實施實質性程序。(14)指明了財務報表審計是一個累計和不斷修正的過程����。隨著計劃的審計程序的實施��,如果獲取的信息與風險評估時依據的信息有重大差異�����,注冊會計師應當考慮修正風險評估結果��,并據以修改原計劃的其他審計程序的性質、時間和范圍。(15)明確了注冊會計師應當針對評估的風險設計細節測試。如在針對存在或發生認定設計細節測試時�����,注冊會計師應當選擇包含在財務報表金額中的項目�����,并獲取相關審計證據;針對完整性認定設計細節測試時,注冊會計師應當選擇有證據表明應包含在財務報表金額中的項目,并調查這些項目是否確實包括在內��。(16)明確了審計工作記錄要求���。注冊會計師應當針對評估的重大錯報風險實施的程序進行充分的審計工作記錄��。包括記錄:對評估的財務報表層次重大錯報風險采取的總體應對措施�;實施進一步審計程序的性質、時間和范圍����;實施進一步審計程序與評估的認定層次重大錯報風險的聯系���;實施進一步審計程序的結果。
(四)第1301號準則 第1301號準則是在借鑒國際審計與鑒證準則第500號的基礎上,對我國原有的《獨立審計準則第5號――審計證據》進行修訂而形成的���。此次重大修訂的內容有:(1)拓展了審計證據的內涵����。原審計證據準則將審計證據定義為“注冊會計師在執行審計業務過程中,為形成審計意見所獲取的證據”。原審計證據準則對審計證據的內涵界定比較窄�,注冊會計師收集
的審計證據更多體現的是與財務報表會計記錄相關的信息��。修訂后審計證據準則將審計證據定義為“注冊會計師為了得到審計結論、形成審計意見而使用的所有信息”。新審計證據準則對審計證據的內涵要寬泛得多�,不僅包括與財務報表會計記錄相關的信息�,還包括其他信息��。如(圖1)所示�。
其中���,第一類審計證據是“財務報表依據的會計記錄中含有的信息”�����。會計記錄中含有的信息是最基本信息�。構成了財務報表最主要的內容����,一般包括對初始分列的記錄和支持性記錄,如支票、電子資金轉賬記錄、發票���、合同、總賬�、明細賬�、記賬憑證和未在記賬憑證中反映的對財務報表的其他調整��,以及支持成本分配����、計算�、調節和披露的手工計算表和電子數據表。第二類審計證據是“其他信息”�����。其他信息是用來印證會計記錄中含有的信息是否真實����、完整,指導注冊會計師如何識別�、評估財務報表重大錯報風險��,一般包括:注冊會計師從被審計單位內部或外部獲取的會計記錄以外的信息,如被審計單位會議記錄��、內部控制手冊�、函證函的回函、分析師的報告�����、與競爭者的比較數據等����;通過詢問、觀察和檢查等審計程序獲取的信息����,如通過檢查存貨獲取存貨存在性的證據等��;自身編制或獲取的可以通過合理推斷得出結論的信息,如注冊會計師編制的各種計算表�、分析表等����。(2)引進了“認定”的概念�。原審計證據準則未將“認定”寫進準則,整個審計準則體系對“認定”概念重視不夠�����,新審計證據準則引入“認定”概念�����,并要求注冊會計師詳細運用認定指導具體審計目標����,根據具體審計目標來設計和確定進一步審計程序�。(3)將獲取審計證據的程序區分為總體程序和具體程序。原審計證據準則只列了六種具體的取證方法����。修訂后的審計證據準則將注冊會計師獲取審計證據的程序區分為總體程序和具體程序���,總體程序增加了風險評估程序�,即包括風險評估程序���、控制測試和實質性程序��;具體程序中將六種具體的取證方法修改為八種�����,具體包括的內容前文已述及。其中��,將“監盤”程序進行細分�,因為“監盤”是“檢查記錄或文件”、“檢查有形資產”、“觀察”等具體審計程序的復合程序�;增加“重新執行”具體程序���;將原來的“計算”和“分析性復核”分別修改為“重新計算”和“分析程序”����。(4)新增風險評估程序�。根據風險導向審計準則體系的要求,注冊會計師應當通過了解被審計單位及其環境識別重大錯報風險,并針對評估的重大錯報風險設計和實施進一步的審計程序,因此����,在修訂后的審計證據準則中增加“風險評估程序”��,以此為手段通過了解情況作為評估財務報表層次和認定層次重大錯報風險的基礎。但風險評估程序并不能識別出所有的重大錯報風險,雖然它可作為評估財務報表層次和認定層次重大錯報風險的基礎�,但并不能為發表審計意見提供充分���、適當的審計證據。為了獲取充分�����、適當的審計證據��,注冊會計師還需要實施進一步程序��,包括實施控制測試(必要時或決定測試時)和實質性程序���。(5)新增“重新執行”的具體審計程序��。重新執行是指注冊會計師以人工方式或使用計算機輔助審計技術,重新獨立執行作為被審計單位內部控制組成部分的程序或控制。如注冊會計師利用被審計單位的銀行存款日記賬和銀行對賬單,重新編制銀行存款余額調節表,并與被審計單位編制的銀行存款余額調節表進行比較����。
三���、審計風險準則對注冊會計師的影響
(一)對注冊會計師審計理念的影響注冊會計師審計的主線始終是對重大錯報風險的識別����、評估與應對。注冊會計師為了實現審計目標。在計劃和實施審計工作時�����,應當保持職業懷疑態度�����,充分考慮可能導致會計報表發生重大錯報的情形。在審計和實施進一步審計程序時����,注冊會計師應當將審計程序的性質、時間及范圍與識別和評估的風險相聯系��,以防止機械利用程序表從形式上迎合獨立審計準則對審計程序的要求����。注冊會計師必須針對重大的各類交易、賬戶余額�、列報和披露實施實質性測試��。注冊會計師對重大錯報風險評估是一種判斷,并且內部控制存在固有限制�����,無論評估的重大錯報風險結果如何���,注冊會計師必須針對重大的各類交易�����、賬戶余額、列報和披露實施實質性程序����,不得將實質性測試只集中在例外事項上�。
第12篇
關鍵詞:電子商務�;信息安全�����;風險評估;對策
基金項目:鄭州科技學院大學生創新創業訓練計劃項目:電子商務信息安全風險評估關鍵技術及應用(編號:DCY2019007)
1.引言
電子商務是以互聯網為基礎�,以商城消費者產品物流為構成要素進行的電子商務活動�����。當電子商務相關部門或人員在進行項目開發時����,擁有一套信息安全風險評估系統可以幫助其采用科學合理的方法對潛在威脅進行分析并保證經濟系統的安全�����。所以將信息安全技術與現代化新興技術結合��,將為我們打造一個更加優質的網絡環境。
2.電子商務系統中存在的信息安全問題及現狀
一般來說�,電子商務的信息安全是指在電子商務交易的過程中雙方使用各種技術和法律手段等確保交易不會因為意外����,惡意或者披露這些不利要求而受到損害的信息安全����。在21世紀初葉��,我國金融系統中的計算機犯罪率一直在不斷地增加�,我國金融網絡信息安全形勢非常嚴峻�,需要加強改善。下面就電子商務網絡中的信息安全問題做一個簡要介紹,主要涉及以下幾個方面:
(1)由于編寫的電子商務系統軟件可以使用不同的形式����,因此在實際應用過程中難以避免的會留下安全漏洞���。例如�,網絡操作系統本身會存在一些安全問題���,例如非法訪問I/0�����,這些不完全的調解和混亂的訪問控制會造成數據庫安全漏洞,而這些漏洞嚴重影響了電子商務系統的信息安全性.特別是在設開始設計之前就沒有考慮TCP/IP通信協議的安全性,這一切都表明當前的電子商務系統網絡軟件中有一些可以避免或不可避免的安全漏洞。此外信息共享處理帶來也存在風險。在信息的傳遞過程中,需要不斷地對信息源進行加工和重現���,截取有用信息,不可避免會出現信息轉化方面的風險����。尤其是在當下“社交+商務”的模式下�����,一條消息可能瞬間在社交網站上轉載數萬次或者更多���,一旦在信息轉載中出現誤差,影響非常大�,風險應當給予重視�����。
(2)隨著網絡技術的廣泛應用,計算機病毒帶來的問題越來越廣泛����,壓縮文件��,電子郵件已經成為計算機病毒傳播的主要途徑,因為這些病毒的種類非常多樣化�,破壞性極強��,使得計算機病毒的傳播速度大大加快了。近年來�����,新病毒種類的數量迅速增加,互聯網為這些病毒的傳播提供了良好的媒介����。這些病毒可以通過網絡大量傳播任何粗心大意都會造成無法彌補的經濟損失�。此外還有信息傳遞過程所帶來的風險�����。信息是一種重要的資源�����,良好的流動性能實現信息價值的最大化����,但是在信息的傳遞過程中需要經過許多路徑�����,而在這過程中往往存在一些不安全因素���,給信息安全帶來一定的風險�。
(3)當前的黑客攻擊����,除了計算機病毒的傳播外,黑容的惡意行為也越來越猖狂����。特洛伊木馬使黑容可以使用計算機病毒從而變得更加有目的性���,使得計算機記錄的登錄信息被特洛伊木馬程序惡意篡改�,導致很多重要信息�、文件,甚至是金錢被盜�。
(4)由人為因素造成的電子商務公司的安全問題�����,大部分保密工作是通過員工的操作來進行的,這就需要員工具有很好的保密性���,責任心和責任感等道德素質。如果員工的責任心不強�����,態度不正確�,就容易被別人利用,讓無關人員隨意進出房間或向他人泄露機密信息,可以讓罪犯廢除重要信息。如果工作人員缺乏良好的職業道德���,可能會非法超出授權范圍更改或刪除他人的信息,而且還可以利用所學專業知識和工作位置來竊取用戶密碼和標識符,進行非法出售���。
3.電子商務信息安全風險評估存在的問題
經過大量的數據收集與分析不難發現對信息安全風險評估是當前科研工作中噬待解決的問題。目前,國內也有一些關于信息安全風險評估的研究和應用��,但是這些研究都只是簡單的分析�,包括常用的具有風險的風險評估工具。評估矩陣,問卷���,風險評估矩陣與問卷方法,專家系統相結合。對于更深層次的探究還需進一步努力。此外,網絡信息安全風險評估方法常用定量因子分析方法�����,時間序列模型�����,決策樹方法和回歸模型進行�。風險評估方法���,定性分析主要包括邏輯分析����,Delphi方法����,因子分析方法,歷史比較方法等。其中,定量和定性評估方法相結合�,是由模糊層次分析法�,基于D-S證據理論等的評估方法組成���。同時網絡信息安全風險評估還存在一定問題�����,例如隨著網絡的發展,我國從開始的2G邁向4G現在又率先進入5G時代。其中也出現了各種問題,網民數量的增加需要迫切提高他們對信息安全的警惕意識。
3.1欠缺對電子商務信息安全風險評估的認識
當前�,許多相關人員對電子商務信息系統面臨著巨大的挑戰的現狀并未有足夠的意識��,缺少信息安全風險評估經驗。因此他們沒有重視信息安全風險評估的重要性,其原因如下����。第一�����,公司或單位的風險評估尚未通過標準檢驗,培訓標準,信息安全風險評估工作的研究尚未得到系統的相關理論,方法和技術工具���,這是由于一些信息安全評估工作相關領導層和工作人員對信息評估風險評估的重要性的認識不足���,因此自然而然不將此類風險評估工作包括在當前的信息安全系統框架中。第二����,盡管有許多部門將信息安全工作置于地位重要����,但受到人力��、物力�����,財力等方面的限制,社會制度的制約���,政策法規的欠缺使得信息安全系統的信息安全風險評估工作無法得到應有的重視����。
3.2缺乏信息安全風險評估方面的專業技術人才
首先����,信息安全風險評估的技術內容要求非常高,它要求員工具有很高的技術水平�����,現在很多公司都將通用信息用作風險評估技術人員�����。其次�,信息安全風險評估是一項集綜合性,專業性于一體的工作�,不僅涉及公司的所有業務信息,也涉及人力�����,物力和財力的方方面面�,因此需要各部門之間相互配合����,現在大多數公司僅依靠信息部門,獨立的參與信息安全風險評估毫無爭議他們要想完成信息安全風險評估工作是非常艱難的���。綜上所述,培養信息安全風險評估專業技術人員是今后信息技術方面發展的方向�。
3.3風險評估工具相對缺乏
當前��,除專家系統外,其他分析工具相對來說都比較簡易���,除此之外還缺乏實用的理論基礎���。此外���,這種信息風險評估工具在應用中的發展呈現的現狀�。表明國內和外部失衡,在中國相對落后����?�?梢娊鉀Q信息安全問題的關鍵在于有成熟的風險評估工具�。
4.防范電子商務信息安全及風險的建議
4.1增強電子商務信息安全和風險評估的意識
大多數信息的傳輸和處理,與人是密不可分的。特別是掌握人員的重要信息和核心業務����,人員的個人因素�����,管理因素和環境存在風險。主要包括人員的技術能力,監控管理���,安全性。特別需要做好監督審計公司的工作,確保信息安全風險管理融入實踐����,充分發揮內部監督作用�����,促進社會責任認可和實施信息安全風險管理工作。電子商務公司必須對工人進行必要的信息安全知識教育培訓,了解與之相關的法律法規,做好對客戶關鍵信息的隱秘保護。不隨意查看和泄露客戶購買信息。
企業應該加大力度保障網絡通信操作時信息的機密性和完整性,加強密鑰管理,提高應對網絡攻擊能力,采取措施避免越權或濫用����,消除用戶在交易中的風險。在信息安全風險控制中必須由內到外地保護內部系統環境、網絡邊界���、骨干網安全����。為網絡信息系統建立完善的管理系統�����,并提供全面的安全保障。運用端到端策略。對于移動電子商務中用戶終端設備種類繁多,安全環境復雜難以控制的問題,必須做好數據傳輸中的重要環節中的身份鑒定����。通過人臉識別�����、指紋識別等技術有效提高用戶訪問身份鑒別能力��,極大地提高賬戶的安全性,確保數據傳輸的安全性,確保交易的真實有效。
4.2提供專業的技術培訓�����,提高專業人員的技能
認真選擇第三方合作伙伴�����,增強信息管理水平�,加強績效監督管理�����。樹立合理的企業內部組織結構和有效資金保障���,培養員工信息安全意識,創造良好信息安全工作氛圍�����,加強信息安全專業技術人員對信息安全風險評估的意識和能力,通過大量的實驗發現可以通過下列方法培訓相關人員:第一����,定期開展信息安全風險評估工作����,將公司員工集合共同學習相關資料以提升他們對信息安全的意識彌補存在的缺陷��。第二�,對信息安全部門的員工進行專門的技術培訓和指導,可通過模擬分析來提升技術���;第三,公司應增加對技術資源的投入�,聘請經驗豐富的專家學者組成第三方評估機構���,引進風險評估設備�����。以備不時之需�����;第四���,公司應對技術人員進行標準化認證培訓,執行職業資格準入制度�,提高技術人員的門檻�,納入信息安全風險評估�����,技術人員的全面質量保證評估����。以上這些方法只是單純就培訓方式對于具體的實施以及可能遇到的問題依然需要研究。
4.3提升對信息安全防范技術的研究和應用
為移動數據庫存儲的數據進行加密以防止泄漏�����,采用不同的加密方法來保護數據安全���,進行身份認證�,數據恢復,數據加密存儲��,物理隔離,防火墻��,網絡,網絡設備,網絡入侵檢測�����,網絡漏洞掃描����,網絡設備備份,網絡管理,專線����,實現網絡管理等一系列技術手段��,從而提高數據庫的安全性。同時提高認識到物理設施的重要性,定期維護物理設施�����。為了監測信息安全和實施評估系統���,我們要保證基本硬件和芯片的獨立在建立獨立于信息安全的評估體系中�,國內外統一組織重要的信息安全技術研究�,建立創新的電子商務信息安全與評估體系����。
