時間:2023-09-13 17:13:15
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇企業風險管理實例,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
【關鍵詞】風險;風險管理;風險管理體系
隨著新經濟的發展,全球化進程的加快,信息化的不斷普及和加深,企業所處內外環境發生了翻天覆地的變化。外部,企業面臨著動蕩多變的市場環境。例如互聯網和計算機的應用,匯率的變化,貿易和行業政策的變動,綠色環保要求,顧客需求個性化和預期的不斷提高等;內部,需要針對外部環境和企業戰略定位,結合最新科學技術進行靈活的業務組合和流程的重組,以求得生存和競爭優勢。這樣就使企業內部人力,物力,財力和技術等系統處于不斷的變化之中。這些變化一方面給企業帶來重大的機遇,也給對風險反應遲緩的公司帶來了厄運。巴林銀行(Barings bank)倒閉,到安然公司破產,中航油的巨虧,都是慘痛的現實例子。所以,正面環境變化,做好企業風險管理工作,把風險控制在企業可以容忍的水平,積極利用風險帶來的機遇,為企業不斷創造價值,是目前企業管理者的重要課題和工作。
一、風險及風險管理定義辨析
在傳統的風險管理中只是將風險和損失相聯系,而沒有將風險和積極的結果(如更多的盈利)相聯系。現代風險的定義不僅注重對風險的防范和降低,更加關注在風險管理中創造更大的價值的機會,一般可以認為風險是指系統因系統本身和環境條件的不確定性,而引起系統實際的產出和預期目標產出間偏離的可能性,即發生各種結果的概率。通過風險管理的各種手段,防范減低壞的結果出現的概率,促使事件往好的結果方向發展。
隨著人們對風險本質認識的不斷加深,風險管理在企業中作用和地位也越來越重要,風險管理的內容體系也發生了巨大的變化,我們可以從下表中看出新舊風險管理體系的巨大差別:
現代的風險管理體系在稱呼上被不同的學者冠以不同的稱呼:集成風險管理,戰略風險管理,或者全面風險管理,但是不管如何稱呼,現代風險管理體系中的“風險”是指所有影響企業達成企業經營目標和戰略目標的因素,而管理則指用綜合運用企業的戰略,人員,流程,技術和知識等系統的原則方法來評估和管理企業面臨的這些不確定性因素,通過綜合管理業務風險,財務風險,經營風險和風險轉移,完成企業的戰略目的和經營目標,力求公司價值最大化。所以其定義可以理解成:企業風險管理是一個過程,它由董事會、管理當局和其他人員實施,作用于戰略制訂過程并貫穿于企業經營全過程之中,目的在于識別所有可能會影響企業主體的潛在事項,管理這些潛在影響事件以使其在該企業主體的風險容忍范圍之內,并為企業主體目標的實現進行保駕護航。
二、現代全面風險管理體系的特征
1.全面風險管理的對象不僅包括純粹風險,更著眼于企業利用風險帶來的盈利的機會。企業不是要降低或者完全消除風險,而是在把風險控制在自己設定的范圍內的同時利用風險盡可能的增加企業盈利的機會和可能性。
2.全面風險管理的范圍具有全局性和全面性,企業風險管理不是匯集每個獨立部門面臨的風險,而是匯集彼此及公司相對于每個獨立部門的風險。這樣就避免了過去風險管理各部門分割和孤立,避免了信息孤島現象出現,使企業能在一個全面協調的視角對風險加以控制和利用,使不同風險能部分實現對沖,也降低了風險管理的成本。
3.全面風險管理在企業總體發展戰略框架內進行,促進戰略管理目標的有效實現。戰略的制定和實施也是整合了風險管理的目標,并根據風險管理的反饋而進行調整。
4.全面風險管理要與企業經營活動的每個流程緊密結合,從業務活動開始做好風險控制。
5.全面風險管理是是一種縱觀行為,是持續進行的,貫穿整個企業經營過程,而不是一種暫時或定期的行為。
6.全面風險管理要體現于企業的文化之中,也就是說,從企業的業務活動到全體管理者和員工的意識和行為,都能體現企業濃厚的風險防范和利用的色彩,并用制度規劃下來。
7.全面風險管理的最終目的是提高企業的決策正確性和經營的效果和效率,最終取得長久的競爭優勢。
8.全面風險管理實踐中出現了專門的風險管理部門和職位。目前,越來越多的公司成立了風險辦公室,對企業風險進行統一管理和協調,出現了首席風險官新的崗位,其職位級別等同于首席財務官(CFO),首席運營官(COO),凸現了風險管理在現代公司中的重要性。許多風險專家認為,如果沒有風險辦公室,算不上真正在搞企業風險管理。
三、企業風險管理的識別
在新的環境下,分析企業的所有風險,而不像過去只分析有關安全、財務等個別風險,而要全面考慮,全員動員,把企業面臨的所有的風險識別和整理歸類,以利于針對性的進行整體協調管理。一般來說,企業可以從以下幾個方面來檢視企業所面臨的風險:
1.系統風險:這是指企業自己幾乎無法控制的風險,比如重大自然災害,戰爭,政局動蕩等造成的對整個市場都具有重大影響的事件。
2.環境風險:這是指企業自己不能控制然而可以施加影響從而使風險程度變大或變小的風險,這包括商譽風險、競爭風險及行業風險。這些風險企業不能完全避免,但是可以通過提前預防,做好戰略和計劃,判斷行業走勢和產品生命周期等可以減少甚至避免受到風險事件的沖擊。
3.可控制的風險:這是由于企業的決策和經營而產生的風險,它包括信用風險、市場風險、流動風險、經營風險、人員風險等。例如:企業進入快速增長或者進行多元化經營階段,沒有根據要求進行充分的人力資源儲備,這就造成企業擴張或者兼并的效果不明顯甚至失敗;在這一階段如果沒有做好資本和現金預算,也會出現流動風險等等。
四、現代企業風險管理的目標
一般來說,不同行業的企業風險管理目標是不完全相同的,但是現代的全面風險管理風險管理的目標都是由企業戰略目標來指引和決定。不同行業和不同的企業由于戰略目標的差異有著不同的風險管理目標。例如:傳統制造企業大部風的風險管理目標重點在于控制風險帶來的損失或者損失的可能性;而高風險的新興行業的風險管理目標一般著眼于如何利用風險來增加獲利額及其可能性。
風險管理目標的體系化是現代企業風險管理區別于傳統風險管理的一個主要特點。根據企業總體戰略目標制定出風險管理總目標后,把指標按照組織結構和企業業務流程層層分解和細化,綱舉目張,形成一個樹狀的目標管理體系,對全企業范圍內的各種風險全面加以管理。
五、現代企業全面風險管理體系的建立思路
1.塑造具有風險價值觀念的企業文化。一般來說,企業文化包括價值觀、行為準則、企業經營管理哲學、經營理念、企業精神等的核心內容。塑造具有風險價值觀念的企業文化就要把企業對風險的理解和態度融入到上述內容中和企業的戰略、決策和各項活動中去,使風險管理成為每個員工的自覺的行為。首先,從企業的價值觀和總體目標出發,制定相關政策和制度,使員工了解公司對于風險的態度、風險管理的目標和原則等,這就使員工面臨風險時不是以驚慌而是以管理和控制的態度來面對。其次企業對風險管理語言的口徑要統一,統一編制風險管理詞匯來加強溝通和協調。在次企業要制定詳細的行為準則來來指導員工對風險的防范和處理程序。
2.完善企業風險價值管理組織架構。新的管理理論必然在企業的組織結構上得以體現,如上文所述,現代的企業風險管理是一種新的專門風險管理理論和方法,風險管理活動是持續性和協調性的管理活動,必然要求企業建立相應的風險管理部門來統一組織管理。在目前的企業風險管理實踐中,世界上著名的公司例如杜邦、微軟、Unocal等都建立了風險管理辦公室,聘請專門的風險管理專家對企業風險進行研究和統一管理,設計出了合乎企業特點和戰略要求的風險管理制度框架。在實踐中,風險管理活動一般由企業高層來任職,以減少風險管理活動的阻力,保持風險管理活動與戰略的一致性。風險管理部門的組織形式也多種多樣,但是矩陣組織是一種常見的形式,它較好的實現了專業管理和部門具體實踐的結合。
3.利用信息技術建立風險信息管理系統。由于風險來源于信息的不對稱,所以建立起良好的風險信息管理系統就成為風險管理活動的前提和基礎。為了優化信息流程,把信息及時準確的送達需要的崗位和人員,企業一方面要建立內部信息收集機制,把企業自身產生的風險信息和風險管理政策信息在內部流暢溝通,另一方面,企業要建立起有效的外部相關信息的收集,處理和發送系統。這樣就構成了一個較為全面的立體信息系統。
現代先進的計算機和網絡技術,特別是企業區域網絡能以友好的用戶界面給予了員工提供及時、最新的風險管理信息。在利用企業內部網(Intranet)進行信息溝通和風險管理方面,新興的科技公司走在了最前面。
4.利用科學技術和金融工具規避風險,最大化收益。建立了企業價值管理文化,風險管理組織架構,風險信息管理系統只是為風險價值管理創造了前提條件,企業不僅要能看到所面臨的各種風險,分析出各種風險可能帶來的后果,更要運作各種管理科學,工程科學,尤其是各種金融衍生工具來預防,規避,分散,轉嫁策略來降低各種風險,保證和擴大價值創造。例如,利用項目管理方式進行目標分解,把各種風險細化具體化,從而可以更容易的進行控制和改進。而利用期權等金融工具,把企業面臨的運營風險轉化為財務風險,進行合理安排來抵御和控制風險。
總之,面對動蕩多變的激烈市場競爭環境,做好企業的風險管理工作,不僅要結合最新的風險管理理論,更要從企業實際情況出發,明確企業風險管理目標,從戰略、文化、組織等方面進行系統的改革和創新。只有這樣,企業才能度過道道險灘激流,不斷跨越自我。
參考文獻
[1]朱桃林.企業風險管理淺析[J].中國地質礦產經濟,2004,(6).
[2]江忠勝.淺議企業風險管理[J].武漢交通科技大學學報(社會科學版),1999,(9).
[3]黃本堯.期權與企業財務風險管理研究[M].北京:中國財政經濟出版社,2003.
[4]張振川.現代企業風險價值管理問題探討[J].會計研究,2004,(3).
[5]趙信.試論風險防范理念變革[J].經濟師,2005,(1).
[6]安春紅.淺談項目風險管理[J].天津市財貿管理干部學院學報,2005,(1).
【關鍵詞】財務風險管理 平衡計分卡 財務指標與非財務指標
筆者認為,財務風險管理的核心是從財務風險的角度描述并規劃公司戰略,通過對公司發展各個維度的內部控制制度及風險管理機制的建設與完善,有效地進行管理并達成公司戰略目標。
自20世紀90年代早期由羅伯特?卡普蘭(Robert Kaplan)和戴維?諾頓(David Norton)提出“平衡計分卡” (balanced scorecard)的概念之后,基于簡單的理念――所謂“員工將對被檢查的內容而不是期望的內容作出反應”,最初平衡計分卡很快作為一種標準管理實踐被紛紛引入公司管理之中,隨著時間的推移,人們發現平衡計分卡的應用遠不止業績計量方面,通過其簡明的分析可以清晰地羅列出公司發展各個維度的現狀及未來目標,于是將其作為一種持續管理工具在戰略管理等領域加以廣泛運用。
針對所在公司的實踐,筆者就在財務風險管理中“平衡計分卡”的具體運用進行了理論與實踐方面的分析、總結和探討。筆者認為,財務風險管理可以利用“平衡計分卡”,從公司戰略到運營、從財務指標到非財務指標、從點到面、從表象到實質,全面地建立財務預警及監控指標體系,從而實現財務風險管理的目標。
一、財務風險的定義與財務風險管理的目標
COSO的《企業風險管理―整合框架》將風險定義一個事項將會發生并給目標實現帶來負面影響的可能性。依此,我們可以將財務風險定義為一個事項將會給企業財務目標帶來負面影響的可能性。
按照COSO的《企業風險管理―整合框架》中對風險管理的目標的劃分,財務風險管理也包括以下4個層次的目標:
戰略目標:是企業經營的高層次目標,應與組織使命方向一致,并支持使命;
運營目標:有效且高效地使用資源;
報告目標:報告的可靠性;
合規目標:遵循適用的法律法規。
二、財務風險管理中嵌入“平衡計分卡”理論的意義
平衡計分卡作為一種管理工具,是以“公司愿景與戰略”為核心,通過“財務、客戶、內部流程、學習與成長”4個方面的績效表現來分析和衡量戰略,組織將在業績的先導指標與后滯指標間、財務與非財務風險因素間達到平衡。這種多維度的組合,有助于組織內部成員對組織戰略目標及戰略執行步驟有更全面的理解。平衡計分卡的主要構成要素包括:戰略目標、業績計量、執行目標和戰略行動。
平衡計分卡的核心是“公司的愿景與戰略”,即公司組織內部追求的長期目標。從財務風險管理的戰略目標看,利用平衡計分卡,可以清晰地對其進行定義、分類,使執行公司戰略的過程中做到“有的放矢”。
從財務風險管理的運營目標看,運用平衡計分卡,可以衡量公司在財務、顧客、業務流程以及創新責任等公司發展各個維度的績效表現;通過衡量在各個維度公司運營目標,可以更好地均衡實現各利益相關者的價值期望。
從財務風險管理的報告目標看,平衡計分卡中對非財務指標的量化與定性描述,有助于跳離財務指標的窠臼,透過表象看到實質,更好地保證財務報告的可靠性。
從財務風險管理的合規目標看,利用平衡計分卡,可以采用定性表述或非財務指標來描述難以用財務指標來量化的合規目標,讓財務風險管理“有章可循”。
三、平衡計分卡在財務風險管理中的運用
(一)運用平衡計分卡描述財務風險管理的目標
在此以本公司為例,運用“平衡計分卡”描述財務風險管理目標,以簡表形式列示如表1:
從表1可看出,指標包括一些具體的財務指標與非財務指標,但其在各個維度的表現,都將直接或間接影響財務風險管理目標的實現。而財務指標比如利潤率等又會影響企業研發投入、進而影響非財務指標如產品上市數量與速度等。
(二)運用平衡計分卡識別相關的財務風險
財務風險管理體制包括財務風險管理的組織系統、信息系統、預警系統和監控系統。運用平衡計分卡,可以整合企業的信息資源,建立有效的信息系統,同時可以利用財務與非財務指標建立預警系統和監控系統。比如,對產品(存貨)管理,可以建立以下指標體系來識別相關的財務風險,見表2:
在建立預警指標之后,對風險事項嚴格進行監控,并及時跟蹤反饋,選擇適當的防范、回避或轉嫁財務風險的措施,將企業自身的財務風險控制在可容忍范圍之內。在信息匯總、整理、分析、運用的環節,可以財務量化指標為核心,建立嚴密的數據分析體系,及時提供對組織決策有用的信息。
在一定時期內,企業的實際財務結果與預期財務結果發生偏離,會產生財務風險,但可能其是順勢而變,比如研發投入過多,企業可能不堪重負,但新產品上市獲得銷售額的增長將增加企業效益,因此,單純的財務指標不足以概括財務風險的各個方面。筆者認為,引入“平衡計分卡”后的財務風險管理體制是更全面更綜合地考量與管理財務風險。
(三)運用平衡計分卡進行財務風險管理應強調事項
財務風險一般包括籌資風險、投資風險、現金流量風險、利率風險、匯率風險。財務風險指標較其他風險指標而言,量化指標比較多,畢竟財務更多的是以數據說話,因此,在引入并運用“平衡計分卡”概念的實務過程中,還是應當注重定量指標的選擇與設定。
另外,引入并運用“平衡計分卡”理論,是期望財務風險管理并不僅是純粹的數據分析,而是利用其他管理工具,使我們能站在企業經營管理戰略的高度,更好地實現財務風險管理。
主要參考文獻:
[1]財政部企業司.企業財務通則解讀.北京:中國財政經濟出版社.2007年3月第1版.
【關鍵詞】賒銷 應收賬款 風險管理
一、研究背景和意義
(一)研究背景。
我國市場經濟尚處于發展完善過程中,應收賬款風險問題雖然普遍存在,但卻沒有得到足夠的重視。本文研究背景包括以下幾個方面:
外部環境的變化。外部環境變化會給企業帶來無法準確預見的風險,會對財務風險產生重大影響。外部環境包括政治、市場、金融、經濟、資源等內容。
企業盲目搶占市場。企業在國際化經營中,都會遇到一個全球范圍內資源配置、市場價格、競爭對手等諸多不確定因素的問題。企業為了擴大經營,盲目搶占市場,會引起巨額應收賬款的風險。
信用危機。在市場經濟體制不斷完善的進程中,存在著失信成本遠低于守信成本、鉆政策的空子、因“三角債”而不付欠款甚至惡意賴賬等問題,致使應收賬款不斷增加。
缺乏賒銷風險防范意識。部分企業重視銷售指標,提供優惠的商業信用條件爭取客戶,認為銷售任務完成便萬事大吉,缺少風險防范意識;也有企業在尚未完全理解賒銷的涵義也未做好賒銷風險應對措施之時,就發放高額信用銷售比例,導致有銷售無回款、周轉資金困難。
(二)研究意義
本文以X公司為實例,對應收賬款風險管理進行研究,具有以下幾方面意義:
有利于增強企業資產的流動性。流動資產的流動性貫穿于應收賬款風險管理的全過程之中,是衡量資產變現速度的關鍵。因此,通過應收賬款風險的管理和控制,發揮其潛在價值,有利于加強企業資產的流動性,流動性越強,變現速度越快,風險就越小。
有利于加強企業風險防范意識。應收賬款風險管理措施的建立,能增強企業風險防范意識、堵塞漏洞;如若形成風險,也能及時采取補救措施,提高風險應對能力,將風險降到最低限度。
二、X公司應收賬款的現狀和存在的問題
(一)X公司應收賬款風險管理狀況。
X公司基本情況和應收賬款管理流程
X 公司屬于電器行業,為了擴大銷售在銷售部門下設一個信用管理小組。X公司向G公司提品。G公司采購部確認所需的產品、數量等結算信息,通過專門系統傳遞給X公司的銷售部,同時抄送給G公司的財務部。X公司的銷售部門收到的信息整理匯總后交給X公司的財務部,財務部據此開出發票送交G公司的財務部。G公司財務部將收到的發票與本公司采購部傳遞的結算信息進行核對,核對一致后付款。
X公司應收賬款管理流程的職責分工情況
事前管理:信用管理小組負責客戶資信數據的收集、信用等級打分、建立客戶信息卡,制定信用額度審批制度,報請銷售部門經理審批。但資信數據中沒有大客戶變化了的記錄信息。
事中管理:貨款的核算、賬齡的分析由財務部門負責。
事后管理:逾期貨款催收由信用小組負責,款項由銷售部門的售后服務團隊收取,催討無果交由財務部門。
(二)Z公司應收賬款管理存在的問題。
公司雖然對應收賬款風險采取了控制措施,但仍存在以下問題:
風險評價體系不健全。在制定的應收賬款風險管理流程中,沒有設專人負責賒銷賬款事宜,沒有成立專門獨立的信用管理部門,僅在銷售部門下設信用管理小組。未建立完整的信用風險評價體系。客戶資信信息變動情況掌握不及時,發放過大的信用額度,容易出現壞賬損失。
應收賬款風險內部管理職責不明晰。逾期貨款的款項由銷售部門的售后服務團隊收取,容易產生舞弊現象和財務混亂。《企業內部控制應用指引第9號——銷售業務》中明確了“銷售部門應負責應收賬款的催收,財務部門負責辦理資金結算并監督款項回收。”
應收賬款考核機制缺乏系統性。人事部門對銷售指標有詳細的獎懲制度,但沒有將應收賬款的回收納入考核指標。
信息溝通不及時。由于銷售與收款時間的不同步,銷售部門與財務部門溝通不及時,容易出現差錯。
三、應收賬款風險管理措施和對策
(一)建立健全應收賬款風險體系,成立獨立信用部門。信用部門必須建立客戶資信數據庫和管理系統,定期和不定期地更新客戶的信息,及時掌握重要客戶資信變動情況,做到信息的集中性和實時性。信用部門必須制定賒銷和應收賬款相關制度和管理流程,設有專人負責應收賬款的有關工作,包括定期編制應收賬款賬齡分析表、制定賬齡長短不同客戶的催收制度。
(二)應收賬款記錄必須以銷售部門核準的銷售發票和貨賬單為依據,保存原來的函證,防止虛列不存在的發票。
(三)公司內部各部門要密切配合及時溝通。信用部門制定交易記錄表,與財務部門和銷售部門密切配合、及時溝通,定期進行應收賬款余額檢查核計工作,收回的貨款應及時入財務賬。
(四)制定審批制度,特別在賒銷額度、壞賬、折扣、折讓等方面必須經由有關部門領導審批,大額度應由上一級領導批準。
(五)人事部門應建立應收賬款清收的獎懲制度。
參考文獻:
在管理會計領域有很多工具,眾多管理會計工具都有望幫助企業定義和管理戰略、資源、成本、運營及客戶,從而提升整體績效。在識別哪些工具最適合企業,能為企業發展提供有力支撐,并如何有效地實施這些工具時,管理會計人員常難以作出決斷。為了幫助管理會計人員更好地選擇并運用管理會計工具,英國皇家特許管理會計師公會(CIMA)聯合美國注冊會計師協會(AICPA),總結了常用的管理會計工具,于2013年7月以“管理會計基本工具――支持經營持續成功的工具及技術”(以下簡稱“CIMA管理會計基本工具”)的形式正式。管理會計工具是框架、模型、方法或流程,由“戰略規劃與執行、計劃和預測、產品和服務交付、績效計量及管理、公司治理與風險管理、價值識別”組成,每個方面又細化為若干種具體工具,構成系統、完整的管理會計工具體系。其能有效協助管理會計人員,從大量的備選工具中選擇正確工具,為有效運用基本工具提供指南,支撐組織業務發展,促進組織科學決策、支持戰略目標、改進績效、增加價值。本文旨在對“基本工具”的應用做出全面分析并評價,希望其能對我國管理會計應用指引的制訂和人才培養起到借鑒作用,加快我國企業的管理會計應用。
二、“CIMA管理會計基本工具”內容分析
(一)第一類:戰略規劃與執行
1.戰略規劃工具
含義。戰略規劃是為了實現組織目標而制定戰略、確定發展方向及行動計劃的過程。戰略規劃流程均包括以下兩項關鍵因素:逐步理解愿景、使命以及價值;對影響組織、決定組織戰略備選方案選擇的重要內外部因素的現狀進行評估。組織的愿景、使命及價值是戰略規劃流程的基本要素,會對戰略決策產生影響的內外部因素的常用評估工具包括SWOT、PEST 和PESTEL。
應考慮問題。今天做什么、如何做、由誰來做;要走向哪里、向前進需要做什么、應該怎么做;競爭優勢是什么、如何有效利用。
需采取的措施。戰略規劃流程可采用廣泛合作的團隊,讓戰略融入到每個人的工作中;理解組織的價值,制定清晰愿景和使命聲明;全面考慮SWOT 分析法中的劣勢、威脅、優勢和機會;對照外部機會和威脅,評估內部優勢和劣勢,以確定戰略;使用SWOT 分析法設置優先次序、目的、目標、行動計劃和績效考核。
需避免的行為。僅采取自上而下的方法規劃戰略;在評估優勢時,忽視公司文化或管理品質等無形資產;忽略內部劣勢;忽略外部威脅;戰略規劃充斥理論化、抽象化,脫離日常的行動目標和計劃。
使用?e例。提供了英國航天系統工程公司的戰略規劃工具運用的案例,并指出了經驗與教訓。
2.平衡計分卡(含營運看板)
含義。平衡計分卡是戰略管理工具,包括組織財務指標和客戶、內部流程、學習和成長等非財務指標,并將其融合到簡明的“計分卡”中。
應考慮問題。是否得到管理高層充分認同;是否愿意更多的人員進入戰略和績效管理過程;是否能致力于必要的組織變革以利于成功實施;當前管理信息系統能支撐平衡計分卡實施的程度,系統改進的成本和收益;已經進行的工作中哪些可歸入平衡計分卡,需改進還是停止;是否做好準備圍繞平衡計分卡進行報告。
需采取的措施。高管廣泛參與;員工參與計分卡流程;根據平衡計分卡制定長遠目標;通過平衡計分卡使戰略不斷延續;按目標、評價指標、措施等,分步實施平衡計分卡;針對戰略成功實施和遠期績效制定評價指標;運用平衡計分卡搜尋最佳關鍵績效指標(KPI);每個維度保留相應個KPI;建立先行及滯后指標、輸入及輸出指標的組合;將平衡計分卡分解到業務部及團隊;每個業務部的平衡計分卡應受公司目標指導,但不受限于公司目標;使用平衡計分卡推動計劃;與薪酬掛鉤;通過平衡計分卡授予團隊權力,使戰略成為所有人的工作。
需避免的行為。將平衡計分卡當作命令及控制工具,或當作年度目標流程;財務目標無法實現就不支持平衡計分卡;指標過多使平衡計分卡無法應對 ;識別不到因果關系而損害措施可靠性;不分解平衡計分卡、不與薪酬相聯系阻礙組織目標成功;試圖建立可向上累計效應的部門或平衡計分卡。
使用舉例。提供了英國愛丁堡皇家植物園平衡計分卡工具運用的案例,并指出了經驗與教訓。
3.戰略地圖
含義。戰略地圖是獨立的工具,借助這一工具企業能夠描述和傳達自己的戰略。只有將其運用到系統的戰略管理流程中,且該流程將組織和個人目標、舉措與明確的使命和所希望實現的戰略成果協調,其價值才能得到真正的體現。組織需要根據平衡計分卡的四個維度――財務、客戶、內部流程、學習與成長,構建初步的戰略地圖。
應考慮問題。是否有更有效的方式來闡釋和溝通戰略;是否需要將使命、愿景及戰略與創新和行動更好地協調一致;是否愿意致力于一項流程,以澄清戰略成功所必需的目標、價值提議、關鍵的財務及非財務評價指標;是否取得了高層足夠的支持,領導并實施戰略地圖。
需采取的措施。將戰略地圖視為戰略管理整體過程的一部分;讓利益相關者廣泛參與――不僅包括外部利益相關者,而且包括內部利益相關者;連接戰略地圖與愿景及使命;澄清組織的首要價值提議;將戰略地圖分解到業務、職能部門;分開制定經營單位、職能部門的戰略地圖,以反映其各自對全面業績貢獻的相應成功驅動因素;將戰略地圖與創新和行動相連;戰略地圖綁定預算和績效過程;需包括必要的經營成本和戰略投資,驅動學習與成長、內部流程創新的成功。
需避免的行為。將戰略地圖作為一次性或“跟風”行動;將戰略地圖融入全面戰略管理過程;僅限定高層參與;忽略驗證從戰略地圖過程獲得的連接及評價衡量指標;忽略學習與成長、內部流程創新所需的資源;采用不靈活的方式,組織是復雜和動態的,戰略地圖脫離經營實際情況。
使用舉例。提供了美國大型住宅建筑商“現代經典住宅”的戰略地圖工具運用實例,并指出了經驗與教訓;同時也提出了需要考慮的相關和相似實踐,包括:平衡計分卡、制定非財務關鍵績效指標。
4.波特競爭態勢五力分析
含義。波特競爭態勢五力分析作為簡單框架,可以對企業組織的競爭實力和競爭地位進行考核和評價。五力分別是: 供應商能力、買方能力、競爭對手、替代威脅、新進入者威脅,監管、稅收和貿易政策使政府成為影響眾多行業的第六種力量。戰略分析師常利用波特五力解析新產品或新服務的潛在盈利性。通過了解力量所在,該理論還可幫助組織識別優勢、改進弱勢及避免錯誤。
應考慮問題。能否界定所處行業,因為在日趨動態的環境下行業邊界并不總是清晰的;能否理解行業所在的生命周期階段;能否理解行業波動性程度,因為一些行業比其他行業改變更快。
需采取的措施。只有在市場中至少有三個競爭對手的條件下才能運用模型;需考慮政府對行業的已有或潛在影響;需考慮行業所處的生命周期階段;需考慮行業的動態或變化特點。
需避免的行為。單個企業使用該模型。
使用舉例。提供了印度商業環境分析的波特競爭態勢五力分析工具運用實例;同時也提出了需要考慮的相關和相似實踐,包括:PEST 分析、波特鉆石理論、門德爾松利益相關者分析圖矩陣。
(二)第二類:計劃和預測
1.滾動計劃和預測
含義。滾動計劃和預測是早期會計期間結束后,通過增加后續會計期間來實現對計劃或預算的持續更新。滾動預測是在每次報告實際成果之后,增加新預測期間,并對增加期、中期預測進行更新,并連續更新預測。
應考慮問題。是否有時間及資源在更頻繁的基礎上制定計劃;如何能獲得組織其他部門的認可。
需采取的措施。使預算執行者參與到計劃過程變更中;預測需建立在經營的關鍵驅動因素上。一旦驅動因素出現重大變化,管理層可迅速知悉影響并作出響應。
需避免的行為。采取從上到上的方法,應了解各個層級并一起工作;避免耗費時間制定全年詳細計劃,應聚焦早期,并制定后期的組線條計劃。
具體應用實例。提供了西南航空公司滾動計劃和預測工具運用的案例,同時也提出了需考慮的相關和相似實踐:超越預算。
2.作業預算法
含義。作業預算法是基于作業框架的預算編制方法,將成本動因數據運用于預算設置和差異反饋過程。最基本的作業預算法使用成本動因(通過作業成本法加以確定)輔助制定預算。作業預算法關注的是作業活動,而非職能。作業預算法包括三個步驟:確認作業活動及其成本動因;根據所需的作業活動水平,預測單位成本動因數量;計算成本動因率(每單位作業的成本)。
應考慮問題。與作業成本法相似,實施作業預算法需要大量時間,能否提供所需的支持和時間;是否擁有必要資源;與作業成本法相似,作業預算法實施代價高昂。實施成本能否大于收益;能否輕易地確認全部作業和成本;能否獲得運營經理的支持。
需采取的措施。如果間接成本占運營總成本的很大比重,則可考慮使用作業預算法;在全面質量管理環境下運用作業預算法尤其有效,有助于確認作業的成本效果。
需避免的行為。除非已經采用作業成本法,否則不要嘗試和實施作業預算法,因為作業預算法只適合于已采用作業成本法的組織;忽視運營經理的參與要求,可能導致其抵觸作業預算法,使實施過程更耗時。
使用舉例。提供了計算GS 公司采購方面作業預算法工具運用的案例,同時也提出了需考慮的相關和相似實踐:作?I成本法、作業成本管理。
3.情景與應急規劃
含義。情景與應急規劃為管理人員提供了一種結構化方法,評估未來可能發生的不同情景,為戰略、營運和財務計劃提供支持。情景與應急規劃主要聚焦于以下問題并尋求答案:未來可能發生什么?會對戰略、計劃和預算帶來什么樣影響?應如何響應?包括四種廣泛的情景問題:政治、經濟、社會、技術。情景與應急規劃的常見類型包括:單變量敏感分析,對組織而言,這可能是最常見的并最具邏輯的起點;多變量敘述分析,結合經濟、競爭、監管和社會層面易發生的事件,對多個變量的影響和不確定性同時進行分析;觸發基礎的情景與應急規劃:對基線之上的各種觸發性組合進行分析,使組織能夠了解增長或成本控制觸發的增量影響,并在組織總體戰略目標下設定優先次序。
確定情景的典型方法:一是根據各種可能發生的結果確定一個范圍,如帶有上升和下降可能性的計劃。二是兩選一方法。三是由兩個不確定性相對較高的變量組成矩陣,在繪制出的矩陣四個象限中產生四種可能的結果。
情景與應急規劃的工作程序:定義目標和范圍,定義關鍵驅動因素,收集和分析數據,開景,應用情景,維護和更新。
應考慮問題。試圖評估的問題及時間范圍;可能影響到情景的主要外部因素;需要解決的關鍵內部驅動因素;是否擁有正確的數據、技術、帶寬和技能來開發和維護情景。
需采取的措施。確保高級管理層的承諾和參與;圍繞要解決的關鍵問題組織情景;清晰地定義假設和先決條件;限制建立情景的數量;確保每個情景都展示了關于未來的合理、合邏輯的觀點;聚焦情景間重大差異;定量和定性數據使用的平衡;為信號性關鍵情景假設創建先導指標或“進程得分”;定期更新情景及假設。
需避免的行為。在沒確定首要問題之前研景方案;開發過多情景方案;試圖制定完美情景方案;糾纏于任何一個情景;繼續執著于不再相關的情景。
使用舉例。提供了電動智商軟件公司情景與應急規劃工具運用案例,并指出了經驗與教訓;同時也提出了需要考慮的相關和相似實踐,包括:戰略地圖、開發非財務關鍵績效指標、戰略規劃工具。
4.現金流模型
含義。現金流模型是對現金來源和使用進行計劃和預測的實踐,其最終目標是提供一個框架,幫助企業最有效、最高效、最經濟地使用可用現金,并最大化地產生自由現金流(經營性現金流量減去資本性支出)。自由現金流至關重要,因為能使企業作出增長性的投資選擇。
應考慮問題。計劃是否能適應更廣范圍風險的不同情景;流動性有時是否限制了戰略執行;是否制定了現金流或流動性儲備政策;與同業的其他公司相比組織的現金流產生是否更好;管理者是否對組織的營運資本結構有清晰的認識;ERP 系統生成的數據數量是否過于龐大,使數據無法以結構化的方式支持建模型;經營現金流的關鍵驅動因素有哪些,從何處獲得支持預測的必要數據;是否擁有建立并維持現金流模型的專業知識和能力。
需采取的措施。開發便于分析和報告的現金流模型;開發基于驅動因素的模型,并為驅動因素目標設定責任,在整個組織內鼓勵正確的行為;制定相關政策、流程和程序強化現金意識、受托責任和目標;協調長短期現金流;定期與司庫部門溝通,確保現金可得性;記錄實際驅動因素,以保證對模式和趨勢的理解;進行滾動預測,根據實際情況更新每期初始狀態,以改善短期預測的精確度;定期與貸款人分享現金預測和業績信息,以期其在資金短缺時能提供支持;在管理信息中對資金來源的安全性與相關風險進行報告。監控關鍵(或新)客戶的信用度,如果客戶信用風險增加就采取相應措施;如果組織正在計劃根本性變革,從一開始就應涉足現金流模型,并聚焦其影響。
需避免的行為。盲目自信和樂觀――依賴于單一情景模型;排除環境因素的影響;開發孤立于資產負債表和利潤表的現金流模型;使現金流量管理變成純粹的財務功能;習慣性地超出債權人設定的償還期限;在預測驅動因素時過于樂觀;相反,應形成獨立的觀點,并確保與支出相一致;假設組織或集團的信用評級準確,應主動對信用評級機構的評級進行管理。
使用舉例。提供了馬莎百貨公司現金流模型工具運用的案例;同時也提出了需要考慮的相關和相似實踐,包括:內部收益率(IRR)、折現現金流(DCF)、凈現值(NPV)、資本比率、投資比率、加權平均資本成本(WACC)、資本資產定價模型(CAPM)、現金流投資回報(CFROI)。
(三)第三類:產品和服務交付
1.作業成本法
含義。作業成本法是基于作業活動的成本核算方法,核算作業活動成本并加以控制,包括資源消耗追蹤及最終產出成本的計算。
應考慮問題。充分認識實施、實行和管理作業成本法所需資源;是否有資源來推行作業成本法 ;運用作業成本法后成本是否大于收益;識別全部作業和成本是否容易;能否獲得利益相關者足夠支持;如何實現目標;作業成本法生成其他信息能否激勵相關活動,并提高企業的整體盈利水平。
需采取的措施。從其他業務部門獲取支持;運用作業成本法定價和決定產品優先順序;作業成本法應由管理會計師實行,管理流程并確保收益的實現。
需避免的行為。過于沉迷細節及控制,因為作業成本法成本不是與全部的決策都相關。
使用舉例。提供了“許繼電氣”的作業成本法工具運用的實例,并指出了作業成本法工具使用的經驗與教訓;同時也提出了需要考慮的相關和相似實踐,包括:以時間驅動的作業成本法、作業基礎預算(ABB)、作業成本管理(ABM)。
2.精益管理
含義。精益管理是由日本豐田公司發明的精益制造方法,其系統目標是減少浪費,改進流程并消除非增值作業,最終做到用少的資源為客戶創造大的價值。
應考慮問題。會取得什么,成本是否大于預期收益;能否進行所需的文化變革;精益管理對服務水平發生的積極或消極影響。
需采取的措施。通過培訓提高勞動力技能;及時溝通,確保員工不會因為裁員而產生恐懼。
需避免的行為。精益方法自身被看做目的――益?產生于組織思維及文化轉變;犧牲客戶服務提升效率。
使用舉例。提供了斯里蘭卡服裝制造業精益管理工具運用實例;同時也提出了需要考慮的相關和相似實踐,包括:全面質量管理(TQM)、六西格瑪、歐洲品質管理基金會模型(EFQM)、ISO 9000。
3.質量管理
含義。質量管理是指通過規劃和控制,確保產品或服務符合目標,符合設計規范,滿足客戶需要。其拒絕效率低、利潤流逝的管理方法,關注并完全杜絕浪費的工具和理念。
應考慮問題。怎樣評價質量;高層是否全力支持品質概念;能否獲取組織支持;員工培訓需要。
需采取的措施。在組織內宣傳質量管理的優點;支持團隊合作,保證管理人員參與團隊,而不是監工;引起主人翁意識和責任文化;注意當前獎勵可能會引起個人主義,與團隊合作的質量管理產生沖突。
需避免的行為。自滿――質量管理是長期過程,尋求一段時間的持續、小幅改進;采用過多質量措施――要有選擇,質量措施的一部分與另一部分可能會沖突。
使用舉例。提供了豐田公司質量管理工具運用的實例;同時也提出了需要考慮的相關和相似實踐,包括:質量研討小組、“5S”法、ISO 9000。
(四)第四類:績效計量及管理
1.關鍵業績指標
含義。關鍵業績指標是用來衡量組織特定目標獲得成功或改善的評價指標,目的是監控戰略目標的進展,目標常在戰略地圖中體現。關鍵業績指標包括在平衡計分卡報告或儀表盤中,能使高管、董事會或其他利益相關者聚焦于組織能否成功的最關鍵指標。
應考慮問題。能否理解價值驅動因素和核心活動;要回答的績效問題;需要的非財務指標組合;需要監控的客戶、人力資源、運營、供應鏈或渠道指標;業務是否存在其他關鍵衡量指標,如研發、專利;能否用現有數據開發先行指標;需要的每項衡量指標能否通過經濟、有效方式獲取有意義的數據;目前管理信息系統能否充分支撐數據收集分析及報告流程。
需采取的措施。將關鍵業績指標落實在戰略價值驅動因素中;保證關鍵業績指標數據依賴是有效的,并且易于理解;將關鍵業績指標在組織中分等級分解;保證關鍵業績指標能激發積極性;促成鼓勵持續學習和業績改進的文化;應包括財務及非財務的關鍵業績指標組合。
需避免的行為。過多收集數據并衡量――太多關鍵業績指標會引起混亂,不會增加清晰度;只注重定量指標――定性評估也可提供有價值信息;遺漏重要的反饋和學習。
使用舉例。提供了馬士基能源公司(Maersk Energy)和國際香精香料公司(IFF)的關鍵績效指標工具運用的實例;同時也提出了需要考慮的相關和相似實踐,包括:平衡計分卡、戰略地圖、制定非財務關鍵績效指標。
2.標桿管理
含義。CIMA 將標桿管理定義為“通過收集數據,建立目標及比較指標,并識別出業績的可比較水平(尤其在績效不佳領域)。通過實施已發現的最佳實踐提高業績水平”。組織可運用不同類型標桿管理:內部標桿、職能標桿(也稱運營或通用標桿管理)、競爭標桿、戰略標桿。標桿管理包括:辨識和(或)校準業績差距;明確其標桿流程的戰略影響;確認并改進流程或轉變戰略;用激勵推動持續改善。
應考慮問題。應該對哪些活動或流程進行標桿管理;能否找到適當的“同類最佳”標桿合作伙伴;如何解決保密。
需采取的措施。找到知識豐富、充滿熱情的“贊成者”,充分授權并賦予足夠資源;確定“正確”的人―― 如直接參與標桿結果或過程管理的員工和經理;保證有效協調及溝通標桿協作伙伴所提供的信息,包括信息互通互暢;聚焦觀察、闡述和解釋他人的流程。
需避免的行為。太關注目前正在做的事情;提供了識別編號的未來潛在實踐和創新機會;忽略組織差異及對業績比較產生的影響;對流程暴露負面問題,采用防守態度。
使用?e例。提供了施樂公司標桿管理工具運用的實例;同時也提出了需要考慮的相關和相似實踐,并要求持續改進。
3.績效棱柱模型
含義。績效棱柱模型從組織全部利益相關者角度出發,包括以下方面,含戰略制定和計量的關鍵。(1)利益相關者滿意度:利益相關者都是誰、這些利益相關者想要、需要什么;(2)戰略:需采取怎樣的戰略滿足這些需求;(3)流程:需借助哪些流程來執行戰略;(4)能力:為更有效、高效地實施流程,需具備哪些能力;(5)利益相關者貢獻:如果計劃發展和保持這些能力,希望從利益相關者那里獲取什么。績效棱柱模型是管理框架,體現了組織復雜性及利益相關者關系的多重性、互惠性。
應考慮問題。組織復雜性和利益相關者采用績效棱柱模型是否合適;哪些重要利益相關者可能被其他業績管理系統(如平衡計分卡)忽略,卻是需加以考慮;對商業模式、重要利益相關者關系的理解有多深。
需采取的措施。從利益相關者而非戰略出發;了解利益相關者從組織所取,同時了解其對組織作出的貢獻;滿足利益相關者必需流程和能力,制定具體業績指標。
需避免的行為。忘記監管機構和社區的利益訴求;忽略組織與利益相關者間的互惠關系;低估能力的重要性――支持關鍵流程所必需的人員、實踐、技術和基礎設施;在小規模或結構非常簡單的組織中采用績效棱柱模型。
使用舉例。提供了英國敦豪國際快遞公司績效棱柱模型工具運用實例,并指出了經驗與教訓;同時也提出了需要考慮的相關和相似實踐,包括:平衡計分卡、戰略地圖、制定非財務關鍵績效指標。
(五)第五類:公司治理與風險管理
1.CIMA 戰略計分卡
含義。CIMA戰略計分卡以商業模式為核心,通過戰略地位、戰略風險與機會、戰略選擇、戰略實施的計分及控制,實現企業商業模式的成功。
應考慮問題。如何使管理層和董事會認可計分卡;是否已制定戰略規劃;將如何依據戰略維度來報告信息;已擁有了可支撐計分卡的包括哪些信息;何時采用計分卡;是否需要協調人。
需采取的措施。在目標會上做出采用戰略計分卡的決策,在戰略規劃階段引進戰略計分卡可產生良好效果;盡快制定戰略計分卡初稿并討論選擇的好壞;期初關注主要的、而不是細節問題。由于戰略計分卡的功能和目的,在董事會提問題是更好選擇,在獲得進一步信息后再深入研究。任命戰略計分卡負責人;根據董事會戰略討論、評估戰略計分卡的有效性;及時更新戰略計分卡,確保反映組織內外的重大變化。
需避免的行為。涉及過多細節;如果董事會不能有效參與,則停止改進戰略計分卡;將戰略計分卡改進流程變得繁重、無聊且瑣碎,突出重大變化;因戰略計分卡不完整或不精確而向董事會隱瞞;避免采用臨時報告,與董事會商定日程,確定戰略計分卡提交時間。
使用舉例。提供了CIMA 在會員大會和理事會等會議上的CIMA 戰略計分卡工具運用的實例;同時也提出了需要考慮的相關和相似實踐,包括:平衡計分卡、董事會指令、董事會會議交流。
2.企業風險管理
含義。企業風險管理是有序發現和應對潛在事件的流程。基本要素是評估重大風險并做出有針對性的風險響應。企業風險管理流程:識別風險;評估風險,包括潛在影響、可能性;設計響應戰略,包括接受、分散、緩解、回避;實施緩解戰略,包括風險責任人;監控業績,包括自我評估、內部審計。
應考慮問題。業務戰略主要構成及驅動因素;會阻礙或使上述因素偏離正確軌道的內部因素和事件;會阻礙或使上述因素偏離正確軌道的外部因素和事件;是否有應對內外部風險的正確系統和流程。
需采取的措施。獲得高管和董事會支持;經理和員工廣泛參與企業風險管理;從關鍵風險點入手,逐步建立企業風險管理;充分應用管理、內部審計及合規等現有知識、技能和資源;將企業風險管理嵌入組織結構;綜合考慮企業風險。
需避免的行為。將企業風險管理看做項目;沉迷于細節和歷史;僅依靠重要員工;孤立地看待風險;過分糾結風險分類;假設風險登記表無疏漏。
使用舉例。提供了雙子星汽車運動公司企業風險管理工具運用的實例,并指出了經驗與教訓。
3.風險熱度地圖
含義。風險熱度圖是可視化、有效簡潔呈現風險評估流程結果的工具。編制有效的熱度地圖的關鍵因素包括:對公司風險偏好所達成的共識、對公司來說怎樣的影響算重大、確定概率及潛在影響的通用語言。
應考慮問題。愿承受多大風險;重大風險的事項構成;可接受關鍵業績、營運指標變動度;如何界定術語以評估風險發生可能性及對業務的可能影響,這事關潛在風險事件與熱度地圖的對應關系。
需采取的措施。通過風險自評研討會聽取管理者意見;初步編制“假設靶子”風險庫,作為風險管理的起點;對風險承受協商一致,即目標錯誤的可接受程度;明確建立概率估計的術語;使參加人深入了解現有控制及其他風險響應措施的實效。
需避免的行為。依賴調查捕捉風險;陷入根本原因的分析;忽略以現金、利潤等量化風險的潛在財務影響;忽略考慮組織現有控制和其他風險管理活動。
使用舉例。提供了一家虛擬公司的風險熱度地圖工具運用的實例,并指出了經驗與教訓。
4.CGMA 職業道德管理反思清單
含義。是與職業道德管理相關的問題反思清單,主要是使組織和個人對職業道德管理實踐融入組織的狀況有總體的了解。
應考慮問題。從何處獲得信息;包括哪些人;反思清單是否更大程度評估活動的組成部分;與誰進行信息共享;怎樣才能最好使用信息。
需采取的措施。從道德守則出發,反思職業責任和所在公司的政策如何反映道德守則,如誠信;對不確定答案,試圖讓他人參與此過程。在其他地方常存在有價值信息;一旦獲得結果,就可應用市場信息將自身狀況和其他企業進行比較,以了解優勢和不足。
需避免的行為。工作時對職業責任妥協;不進行有效溝通就魯莽行事;忽視危險信號。
使用舉例。提供了虛構的大型上市公司Megatron Corporation的CGMA ?業道德管理反思清單工具運用的實例,并指出了經驗與教訓;同時也提出了需要考慮的相關和相似實踐,包括:平衡計分卡、制定非財務關鍵績效指標。
(六)第六類:價值識別
1.價值鏈分析
含義。價值鏈分析基于的原則是組織的存在是為了給客戶創造價值;價值鏈分析通過以下步驟開展:將組織活動劃分成主要活動和支持活動;將成本分配到每項活動;確定與客戶滿意和市場成功相關的關鍵活動。在評價價值鏈每項活動作用時,需考慮公司使命、行業類型、價值體系。
應考慮問題。能否輕易識別活動領域;能否輕易確定各活動成本和收益;如何將分析轉化為競爭優勢。
需采取的措施。將活動過程與競爭對手的活動過程進行比較,確定競爭對手如何創造價值;注意價值鏈每個元素間的聯系,以更好了解如何通過價值鏈創造價值。
需避免的行為。價值鏈分析著重于企業的內部活動,但忽視外部,如客戶的想法。
使用舉例。提供了雀巢公司的價值鏈分析工具運用的實例;同時也提出了需要考慮的相關和相似實踐,包括:供應鏈分析、企業資源規劃系統(ERP)、作業成本法(ABC)、標桿管理。
2.客戶關系管理
含義。客戶關系管理是一種文化,由適當信息系統支持,實體強調自身與客戶間的交互。客戶關系管理(CRM)的方法包括:使客戶關系管理與目標、戰略保持一致;合并客戶數據;客戶細分;個性化的客戶互動;重新評估和重新調整客戶關系管理戰略。
應考慮問題。是否存在以客戶為本的文化;如何評價客戶滿意度;長短期目標是什么;如何才算成功;根據所收集的資料能做些什么。
需采取的措施。考慮實行客戶關系管理會對員工產生的影響,員工可能對新系統持警惕態度;流程起步階段進行員工培訓計劃和預算,預防其他領域的成本超支影響到這個領域。
需避免的行為。服務客戶時忽略人際關系的重要性;將價值效率凌駕于客戶滿意度上;低估小利潤客戶的潛力。
使用舉例。提供了特易購超市和ASOS.com客戶關系管理工具運用實例;同時也提出了需要考慮的相關和相似實踐,包括:客戶盈利能力分析(CPA)、供應商關系管理(SRM)、CGMA 客戶價值工具。
三、 “管理會計基本工具”評價
(一)管理會計基本工具進行了具體分類
“管理會計基本工具”按照戰略規劃與執行、計劃與預測、運營管理(產品和服務交付)、績效管理、風險管理、價值管理等管理職能,對管理會計基本工具進行了科學的分類。這六個方面都是組織經營管理中的關鍵環節,覆蓋了經營管理的重要控制點,有利于管理會計基本工具在重要管理領域的實施,更有效地提升管理會計基本工具服務于組織經營管理的潛力,強化管理會計決策意識,促使組織創造價值,實現戰略目標。
(二)管理會計基本工具有利于組織的選擇
現實生活中,組織規模、管理水平不同,面對浩如煙海的管理會計基本工具,不同組織到底應該使用哪些,如何選擇。CIMA經過多年調查研究,精心總結了戰略計分卡、戰略地圖、風險熱度地圖、作業預算法、績效棱柱模型、精益管理、價值鏈分析、客戶關系管理等20多個、不乏比較前沿的管理會計基本工具;從實際應用情況看,這些管理會計基本工具都是組織最初需要的。“管理會計基本工具”從一定程度上方便了組織使用管理會計時對工具和方法的選擇,降低了大多數組織尤其是初次運用管理會計基本工具的中小組織的搜尋成本,因此可以鼓勵管理會計基本工具服務于不同層次的組織、同一組織的不同層級,即可以使管理會計基本工具得以有效地服務于大、中、小各類組織。
(三)管理會計基本工具給出了便于應用的解釋
CIMA 在“管理會計基本工具”中,為了方面會計人員的使用,從應用的角度出發,經過多方面的調查與研究,最后從管理會計基本工具的內涵及框架、管理會計基本工具的價值、管理會計基本工具實施時應考慮的問題、管理會計基本工具應用時應采取的措施、管理會計基本工具應用時應避免的行為、管理會計基本工具應用的最佳實例、管理會計基本工具的網絡拓展資源7個方面給出了應用解釋,能夠使會計人員把握管理會計基本工具的實質,并有效率地應用于實踐中,避免犯不必要的錯誤。“管理會計基本工具”主要是針對管理會計人員要求,無論是管理會計師還是傳統的會計工作人員,都需要學習管理會計基本工具,提高自身專業會計技能,并結合所在組織的運營情況,經過溝通創造性地加以運用,真正發揮會計在組織轉型中的作用。
(四)有利于加快全球管理會計的應用步伐
“CIMA”是全球有名的管理會計職業協會組織,根據新形勢對會計人員能力的需要,適時了“管理會計基本工具”,融合了會計學、管理學、信息技術等跨學科知識,科學地提出了管理會計基本工具體系;適應了新經濟環境下管理會計人員提高職業能力的要求,奠定了管理會計“人才”培養基礎。隨著“管理會計基本工具”在全球的實施,能有效提高管理會計人員的職業地位及能力,加快全球管理會計的應用進程。
四、我國管理會計應用指引的借鑒
(一)優化我國管理會計應用指引的類別
2016年財政部了我國管理會計應用指引的征求意見稿,這是我國管理會計體系建設的又一進步。我國的管理會計應用指引分為戰略管理(第100―101號)、預算管理(第200―201號)、成本管理(第300―304號)、營運管理(第400―403號)、投融資管理(第500―502號)、績效管理(第600―603號)、管理會計報告(第801號)、管理會計信息模塊應用(第802號)等方面。前6個類別基本是按管理職能劃分,但缺少風險管理、價值管理(類似于管理會計基本工具中的“價值識別”)的應用指引,市場經營條件下風險管理、客戶管理是企業管理非常重要的內容,漏掉不合適;后面兩個類別沒有單獨歸入的大類。建議借鑒CIMA “管理會計基本工具”,一是對我國的管理會計應用指引,應增加“風險管理應用指引” “價值管理應用指引”, “風險管理應用指引”應至少包括ERM、風險熱度地圖、戰略計分卡等內容,“價值管理應用指引”至少包括客戶關系管理。二是對管理會計報告(第801號)、管理會計信息模塊應用(第802號)要歸入適當的分類,如增加管理會計信息及報告應用指引(第800―802號)。我國的管理會計應用指引應包括戰略管理、預算管理、成本管理、營運管理、投融資管理、風險管理、價值管理、績效管理、管理會計信息及報告九大類。
(二)增加應用指引中“管理會計新工具”比例
2016年財政部的部分應用指引中的內容,跟不上世界管理會計應用的步伐。成本管理類應用指引重點介紹了“301號:目標成本法”“302號:標準成本法”“303號:變動成本法”“304號:作業成本法”,其中?俗汲殺痙ā⒈潿?成本法內容相對陳舊,借鑒CIMA “管理會計基本工具”,將“質量成本”“產品生命周期成本”進行替換。營運管理類應用指引重點介紹了“401號:本量利分析”“402號:敏感性分析”“403號:邊際分析”,三者內容我國會計人員基本都比較熟悉,本文建議借鑒CIMA “管理會計基本工具”,改為:“401號:精益管理”“402號:標桿管理”“403號:全面質量管理”。
(三)應用指引增加具體應用實例和網上資源
財政部的管理會計應用指引的征求意見稿,一般是從總則、應用環境、應用程序、應用評價、附則等方面,介紹主要管理會計工具和方法應用,與CIMA的“管理會計基本工具”相比,最主要的缺陷是沒有應用實例及網絡資源。建議在我國管理會計應用指引中,每個具體的應用指引應該有簡明的、不同于案例的實際應用舉例,舉例應該是最佳的或是典型組織的案例;充分利用互聯網的便捷性特點,財政部應建立管理會計應用指引的專題網站,網站應包含管理會計的拓展知識和資源,同時增加管理會計實際工作者對管理會計應用指引的反饋,以利于我國管理會計應用指引的推廣及動態更新,加快我國企業和其他組織管理會計應用的進程。
(四)借鑒CIMA管理會計師職業考試級制度,提高我國管理會計應用指引的質量
關鍵詞:商業銀行;風險管理;對應措施
1.商業銀行風險管理概述
1.1 商業銀行風險管理含義
商業銀行風險管理是指商業銀行為實現自身的經營目標,在業務經營過程中,運用現代管理方法對金融業務風險進行識別、衡量和處理的活動,對商業銀行風險實施的外部管理活動的總稱[1]。
1.2 商業銀行風險的種類
1)信用風險。信用風險是指商業銀行的借款者在貸款到期后并不能完全償還貸款本息,或因為借款者在借款期內出現信用下降、可能下降等風險。
2)利率風險。因為利率的改變所帶來的風險就是銀行財務的利率風險
3)操作風險。操作風險指的是商業銀行在進行財務方面操作時,因為銀行內部管理不善導致的經營風險。
4)匯率風險。銀行資產因為被市場上一個或者多個匯率因素的影響而致使銀行中資產損失的風險就是匯率風險。
2.商業銀行實行風險管理的意義
隨著經濟全球化發展,金融行業風險管理變得越來越復雜,給風險管理帶來了很大的困難。銀行是世界金融體系的重要組成部分,并占據著至關重要的位置。但是銀行行業經營風險較高,若銀行在經營過程中出現危機,不僅會對金融體系運轉造成影響,同時對國家經濟發展帶了很大的損害。因此,對銀行經營風險進行有效的管理和控制,成為了保證金融體系正常運轉的重要手段。在銀行相互競爭、金融監管力度較為放松及科學技術不斷發展的背景下,銀行在經營過程中存在較大的風險,風險管理成為了商業銀行日常管理的重要組成部分,對減少商業銀行經營風險具有重要意義。
3.商業銀行實施風險管理中的主要缺陷
盡管我國十多年前就認識到了商業銀行風險的多樣性,但我國在商業銀行風險管理方面依然存在很多不足。主要表現在:
3.1 風險管理認識及理念上的問題
在我國商業銀行中,往往僅以規模大小來作為對一家銀行的評價標準,如果哪家銀行規模擴張快、銀行的規模大,那么這家銀行就是好銀行。現在重視擴大規模而輕視風險管理的現象普遍是存在的。事實上,銀行并不是以規模大小論英雄的,關鍵還得看利潤。英國有一家銀行,總資產盈利率在5年中一直保持在1%,已達到花旗銀行等其他歐美大銀行水平,在英國受到相當高的評價,而它的規模不超過300多億英鎊、只接按揭的單一業務。銀行是不以大小論英雄的,關鍵是看盈利能力和市值[3]。
3.2 風險防范方式較為落后
由于商業銀行在對其經營風險進行管理上,常用采用定向分析管理,而為實行量化分析管理,導致商業銀行在風險識別和度量存在一定的偏差,精確度還有待提高。在商業銀行風險管理過程中,管理信息系統的建設和完善是提高風險管理有效性的重要手段,若用于風險管理的信息系統存在嚴重缺陷,將導致商業銀行的風險管理信息出現嚴重缺失和失真的現象,不能形成資產優化配置管理模式,對銀行風險管理科學決策造成很大影響,給銀行風險量化管理帶了很大困難。
3.3 風險管理控制體系存在缺陷
現代商業銀行業務線采用的體制都是縱向式的,故而對應的審貸官序列也都是縱向式的。從當前來看,我國的治理模式在結構上還存在很多缺陷,沒有建立獨立的審貸官序列。國內銀行對審貸體制很多都沒建立起現代意義上對風險管理的規章制度,大多采用橫向。國內的大多商業銀行中,不管是信貨管理部、稽核部還是資金管理的部門,都不能獨立的、具有權威性的承擔或者有效管理銀行所面臨的各方面風險的職責,因為國內大多銀行中沒有專業專職的風險管理部門。
3.4 風險管理人才嚴重缺乏
風險管理人才作為風險管理的重要因素,對風險管理效率和質量起著至關重要的作用。由于現階段的風險管理工作具有技術含量高,涉及面廣(包括金融學、管理學、經濟學等等)的特點,因此,要滿足風險管理的現代化需求,風險管理人員必須具備相對高的素質。但從目前國內商業銀行中管理人員的數量、素質與西方國家的銀行來比較,存在著很大差異,我國商業銀行面臨著風險管理人才嚴重缺乏的難題。
4.提高商業銀行風險管理有效性的方法
4.1 樹立良好風險管理意識和理念
商業銀行業務發展與風險管理屬于并行不悖關系,通過風險管理,可以提高業務發展,為銀行發展創造有利價值。商業銀行每項業務都具有一定的風險性,因此,商業銀行實行風險管理的目的,主要是在銀行日常業務運行過程中,選擇風險點,并對其風險程度進行衡量,并采取有效的風險防范措施,以降低業務運行風險,在風險控制中創造更多的收益。首先,風險管理者要樹立良好的風險管理理念,以保證風險管理的科學性和合理性[4]。其次,強化銀行所有職員的風險意識,實例包括各個部門、各個業務、各種產品的全方位風險管理理念,推行涵蓋事前檢測、事中管理、事后處置的全過程風險管理行為。使風險意識突破傳統的部門界線融入全行的各個部門、每位員工的行為規范和工作習慣當中,讓每位員工認識到自身的工作崗位上可能存在的風險,形成防范風險的第一道關。
4.1.1 實現不同業務風險管理的差別化
各銀行業務種類不斷增多,不同業務種類之間存在著較大的個性和風險差異。差別化管理就是要針對不同業務種類制定不同類型的風險管理方法,一方面,歸納相同業務種類的業務特點,找出該類業務的風險控制點,另一方面,在不同業務種類中歸納出他們的共性,在制定風險管理方法時尋求一般性方法,減少風險管理方法數量,便于進行業務關系管理。
4.1.2 實現不同地區風險管理的差別化
由于商業銀行所開設的業務具有地域性的特點,并與地區經濟發展水平、城市文化及信用體系等有著密切的管理。因此,在對商業銀行進行風險管理時,需將這些因素作為重點管理對象,并依據不同地區風險管理的差別化特點,采取不同的管理標準和方法。
4.2 建立完善的風險管理體系
銀行風險管理體系的完善性,對銀行風險管理水平的提高具有重要意義。風險管理體系主要內容有組織體系、決策體系、評估體系等。其一,需對其組織體系進行合理調整。建立的組織體系必須具有較強的適應性,才能在商業銀行復雜的股權結構中得到應用,并形成良好的風險管理和防范組織。在商業銀行風險管理實行層面上,要對其管理模式進行改善,以實現商業銀行風險管理的縱向發展及橫向延伸。其二,對政策體系進行合理調整。由于政策體系屬于有機整體,具有良好的文整形,涉及多個領域和業務。為了防止風險政策體系缺陷的產生,需保證每個領域和業務的政策體系都能得到有效的實施。其三,對決策體系進行合理調整。為了保證風險決策體系的科學合理性,必須遵循公正、透明的決策原則,并保證決策體系程序的科學化,民主化,使得風險管理決策水平得到有效的提高。其四,對評估體系進行合理調整。通過建立完善的風險管理評估體系,可以對銀行風險管理體系科學性和合理性進行分析和研究,并以銀行業務風險及收益作為量化管理的基礎,把資產質量及其回報率作為評估的重要內容,使得銀行資產中的不良因素得到消除,資本回報率得到有效的提高。同時,通過風險評估體系,可以及時發現風險管理存在問題,及時進行調整,對商業銀行風險管理質量的提高具有重要意義。
4.3 風險管理技術的提高
從技術層面來看,提高風險管理將是一項復雜的工程,銀行當前的業務種類決定了對應的風險特征,提高風險管理水平能夠有效規避銀行業金融機構風險,風險管理的整體效果不會受到某種特定的管理工具或者方法的影響,而是所有風險管理技術綜合運用的結果。建立并完善信息收集及處理系統是風險管理實施的基礎。通過將市場上多數顧客的信息進行連續大量收集,同時識別預警客戶的風險和市場的風險,合理確定風險防范的關鍵點。內部評級和資產組合管理是風險度量的重要技術。
4.4 打造高素質的風險管理隊伍
打造專業的、高素質風險管理隊伍是將先進的管理技術、風險管理組織體系落到實處的人才保障,銀行業金融機構不但要注重風險管理技術及風險識別能力的提高,更應該營造一種良好的人才培訓的環境,為構建全方位、多層面的風險管理體系注入人本導向的企業文化,營造良好的風險管理氛圍,使風險管理的理念深入人心,打造出一支專業化、高素質的風險管理團隊。為面對今后激烈的國際競爭打下穩固的基礎。(作者單位:廣發銀行鄭州分行)
參考文獻
[1]孫.國外銀行風險管理架構與流程的經驗及啟示[J].農村金融研究,2011,(01):89-90.
[2]沈悠,柳靜.我國商業銀行風險管理問題及對策探究[J].現代商貿工業,2011,(03):87-88.
小微企業是中國經濟發展的活力源泉,是大眾創業政策的落實體現。依據國統字〔2011〕75 號《國家統計局關于印發統計上大中小微型企業劃分辦法的通知》對企業劃分標準,小微企業包括小型企業、微型企業,具體小型企業指“從業人員10 人及以上,100以下;且營業收入50萬元及以上,1000萬元以下的為小型企業”。微型企業指未達到小型企業從業人數或營業收入的企業。小微企業普遍缺乏資金積累、缺乏技術人才,小微企業內部控制體系不完善,導致小微企業風險偏高,若風險處理不及時、不徹底、不完善,將阻礙小微企業發展,甚至會影響小微企業生存發展。 一、小微企業內部控制現狀近年來小微企業發展勢頭良好,成為中國經濟發展的堅實基礎。為了支持小微企業發展,政府已經出臺了一系列支持小微企業的政策,如《關于大力推進大眾創業萬眾創新若干政策措施的意見》、《關于小型微利企業所得稅優惠政策的通知》等等,但是2017年中小企業尤其是小微企業經營困境將不會得到根本改善。小微企業目前面臨困境主要體現是:宏觀經濟下行壓力加大,企業外部環境存在劣勢;創業環境不完善,小微企業創業環境有待提高;發展資金短缺,融資困難;專業人員缺乏,難以吸引優秀人才等。小微企業內部控制存在不同程度的缺陷,小微企業管理層對內部控制普遍不重視;企業沒有專門的內部控制部門,缺乏專職的內部控制專業人員;缺乏規范的內部控制制度;中高層管理者身兼數職,職責分工不清晰,職責分離不明確;人力資源管理不系統,員工缺乏長遠規劃;財務控制不規范,財務制度執行不嚴格等。小微企業中的內部控制存在很多問題,使得內部控制不能發揮其作用,使得小微企業的財務報告的可靠性、經營的效率和效果、對法律法規的遵守都難于保障,導致小微企業的經營風險加大。
二、小微企業風險導向的內部控制體系構建對小微企業來講,要完全按照《企業內部控制基本規范》來構建內部控制體系不現實,就小微企業的現狀來講,需要解決的問題就是整體考慮內部控制的各子系統的關系,結合風險管理的過程,構建內部控制體系,以減少風險發生。
(一)風險導向的內部控制體系見圖1。整個小微企業的內部控制都全部在全面風險管理過程中包含,不留一點空白,內部控制的決策建立在全面風險管理理念之下,內部控制的每一個子系統均在風險管理過程中監控下,每一個子系統的工作都要經歷全面風險管理過程。內部控制系統的子系統并沒有依照傳統的控制五要素而設計子系統,而是依照企業管理的主要職能進行分類。企業管理的主要職能財務會計職能、人力資源職能、生產運營職能、市場銷售職能。圖1風險導向的小微企業內部控制體系框架由企業內部控制管理委員會或內部控制領導小組對控制進行審核、認可后方可執行,控制執行過程中,內部控制管理委員會定期進行檢查,對重大風險可以緊急叫停控制措施。(二)風險導向內部控制管理1.風險導向的內部控制之風險控制程序圖2 風險控制程序從圖2中可以看出,基于風險導向的小微企業內部控制體系是一個動態循環的過程,其風險識別、風險衡量、風險處理等緊緊圍繞著內部控制目標運轉,沒有絕對的起點與終點。整個運轉均在企業內部控制策略掌握之下,由企業組織中的內部控制管理委員會或內部控制領導小組作組織保證。
圖3 風險衡量等級圖風險導向的內部控制是在內部控制目標的指導下,以內部控制管理團隊為主,定期對企業各種風險分析,形成風險導向的內部控制報告。風險控制過程中最難于準確把握的就是風險衡量。可以將風險發生概率預先分析表示為很小、中等、較大,風險若發生,可能導致的損失預先表示為重大損失、中等損失和輕度損失,風險發生概率及風險發生損失都是定性衡量,與企業實力及企業對風險的態度直接相關。在圖3 所示的風險衡量等級圖的坐標系中對風險進行定位,定性反映風險量的大小。企業應該根據風險在風險衡量等級圖中位置的不同,進而采取不同的管理策略。
2. 風險導向的內部控制之風險處理策略在企業管理資源有限的情況下,小微企業不可能也沒有必要關注影響企業的所有風險,小微企業內部管理團隊在對風險識別、衡量后,從圖3 中可以看出,應對位于風險衡量等級圖33區域的風險進行重點控制,而對位于風險衡量等級圖11區域的風險可以忽視。例如對位于風險衡量等級圖31區域的風險應密切關注,防范風險的發生;對位于風險衡量等級圖13區域的風險應制定詳細的全面控制計劃。三、內部控制體系設計實例根據上述分析,下面以公司為例進行具體分析說明。
(一)企業簡介南京某通信科技有限公司2011年成立,主要經營業務通信設備研發、銷售、安裝、技術服務,網絡設備研發、銷售、安裝、技術服務,信息系統集成服務等。公司由兩名自然人創建,2016年末員工11人,2016營業收入566萬元,依據企業分類標準,屬于小型軟件和信息技術服務業。企業的財務會計、人力資源職能由總經理直接管理,生產運營職能(本企業稱為技術服務組)、市場營銷職能由副總經理管理,見圖4。
圖4公司組織機構圖(二)公司內部控制現狀1.控制環境薄弱公司沒有規范的公司治理機構,在公司內部沒有董事會或監事會結構或人員,相應的權力都在公司總經理的手中;公司沒有專門的部門或人員進行內部控制;公司財務與會計職責沒有分離;管理層沒有細化,沒有中低層管理人員,經理層直接管到底。2.風險意識不強公司管理者與員工風險防范意識不強;規章制度也不全面,公司對規定制度的執行嚴格不夠,人情管理存在;公司對風險的態度主要依靠總經理的個人經驗和判斷,沒有專門的人員收集風險信息、衡量風險,更談不上對風險提前防范措施。3.缺乏適當的控制活動公司沒有設置專門的內控機構或人員,沒有內部審計人員,更談不上內部控制系統;公司沒有設置重要的控制點,例如公司的日常資金管理、日常財務賬冊均由一人完成,總經理只是象征性審查簽字,公司的采購及貨物使用職責未分離,均是技術服務部人員操作。(三)公司風險導向的內部控制體系設計下文將依照風險導向的內部控制體系,構建南京某通信科技有限公司的內控體系。1.控制環境(1)建立內部控制管理委員會。公司比較小,不建立獨立設置的內部控制組織,但是應該設置非常設性管理機構,設置內部控制管理委員會,人員由總經理、副總經理、四位職能組的組長組成,采用月度會議或重大事項會議商議制度,會議形成的重大決議以公司會議紀要等形式,向公司員工公布。(2)建立風險導向的內部控制企業文化。公司總經理要在公司全體員工會議上經常宣講風險導向的內部控制意識,公司對可能的風險要有意識去預防,形成公司風險內部控制措施,對風險常抓不懈。通過公司網站或宣傳欄建立風險導向的內部控制管理專欄,建立內部控制文化宣傳培訓,關注行業政策、規章制度等規定,普及風險及內部控制知識,總結內部控制經驗等。2.風險導向的內部控制管理(1)風險識別。采用頭腦風暴法對公司風險進行識別、衡量。公司成立僅僅6年時間,還處于創業期,且公司屬于技術發展很迅速的小型軟件和信息技術服務業,企業生存空間較小,存在經營風險;公司組織結構不健全,管理者風險管理意識淡漠,公司內部控制制度缺乏,存在管理風險;現階段公司服務的主要客戶是區縣電力公司小型變電站,但是國家電網正在進行改革,招投標權限向省市一級集中,而該公司因規模小、資金少,招投標資質審查要求越來越高,使得公司面臨提高其注冊資金資質、公司各種技術服務證書資質的提升問題,公司面臨資金風險等。(2)風險衡量。公司面臨的風險主要是經營風險、管理風險、資金風險,現將三種風險依照圖3風險衡量等級圖分析。
公司是新創立的小型企業,且公司也沒有獨立受保護的技術專利,公司的經營風險發生概率較大;公司總經理創業之前是其它一家中型公司的技術副總,沒有全面管理過公司,公司副總經理與總經理工作經歷類似,公司的管理風險發生概率較大;針對資金風險,目前公司經營狀態良好,開戶行中國銀行有意向提供公司低息長期貸款,資金風險發生概率中等。
風險若發生風險損失大小是相對于公司的損失承受情況決定的,公司是小型企業,為自然人投資的有限責任公司,風險損失承受能力較小。經營風險損失劃分為重大損失,管理風險損失劃分為中等損失,資金風險損失劃分為重大損失。三種風險位于風險衡量等級圖不同的位置,經營風險居于33位置,管理風險居于32位置,資金風險居于23位置。
3.風險導向的內部控制之風險處理策略(1)完善內部控制各項制度。企業要逐步從人治向制度管理轉移,形成完善一系列內部控制制度,比如關鍵控制點的制度一定要完善,如:公司財務相關制度、公司采購制度、公司招聘等人事制度、公司重大投資決策制度等等。只有制度完善,才能從制度上防范權責分離,防范內部人治。(2)踐行內部控制措施實施、評價及反饋體系。經識別衡量過的公司風險,應由內部控制管理委員會設計內部控制措施,評價內部控制措施是否有效、是否能防止、發現或糾正相關風險;內部控制執行是否有效,各個關鍵控制點是否已經考慮;員工是否遵守內部控制制度,是否嚴格執行內部控制措施;內部控制人員是否將控制狀況反饋至內部控制管理委員會;內部控制委員會定期對內部控制體系進行完善。
(3)加強內部溝通。《企業內部控制基本規范》明確企業外部風險因素及內部風險因素29條之多,但是小型企業沒有很多人力去關注企業如此繁多的風險影響因素,唯有關注重點,關注與行業直接相關的風險信息等,就要求企業人員之間加強內部溝通,快速將個人關注的信息點擴散到公司內部,利用晨會、郵件、例會等形式,迅速溝通,有效溝通,確保重要信息點不被隱藏。同時,小微企業也應多利用產業集群、或行業協會、或小微企業孵化基地的公共信息平臺篩選風險信息,加快內部學習與溝通。總之,小微企業應建立風險導向的企業內部控制體系,將風險管理與內部控制體系相結合,融合企業各項管理職能,發揮小微企業機動靈活的機制,在國家鼓勵創業創新大背景下前進。
隨著經濟的快速發展,民航企業在壯大的過程中,逐漸面對了越來越多的風險,建立風險管理體系的重要性和緊迫性逐步突顯出來。本文介紹了風險管理的含義,并對設備監控中的風險監控進行了闡述,指出建立風險管理體系將有助于提升民航設備運行的風險管理水平,從而創造更好的經濟效益。
【關鍵詞】設備運行 監控 風險管理
1 風險管理的含義
風險管理涉及到各個行業,每個行業都有其自身的特點,企業風險管理是指生產過程中,風險管理部門對可能遇到的各種風險因素進行識別、分析、評估,以最低成本實現最大的安全保障的過程。
2 民航設備運行監控風險管理的必要性和手段
航空業每天都面臨風險,風險會危及經營人的生存,甚至會對航空業構成威脅。事實上,風險是運營過程中的副產品。同樣風險也存在在航空設備運行系統中。這些風險并非都能消除,一部分風險由于事故或事故征候暴露出來,而還有很多潛在的風險需要通過安全管理來對風險進行管理控制。對設備系統在運行過程中進行監控和常態的風險管理將是降低不安全事件發生的主要工具。這就是電子值班系統所發揮的作用,對設備運行過程中的相關數據進行統計、分析,從而實現對設備系統運行的風險管理和安全管理。
3 電子值班系統完善的必要性
3.1 提高設備運行監控手段的有效保障
設備運行監控工作需要緊緊圍繞設備運行情況開展和深入,建立涵蓋全中南通信導航監視和相關輔助設備的生產設備基礎庫、全面了解中南各類設備的原始和動態數據是實現對設備運行狀況掌握和控制的基本條件。為建立暢通的三級設備監控信息渠道,全面、實時的掌握設備運行保障狀況,方便高效的實現每日簡報、信息快報等設備運行信息的傳送,迫切需要搭建中南地區的信息通報支撐平臺。建立合理的業務流程,實現流程審批傳遞自動化,將極大的提高審批效率,有助于建立有序高效的維護維修機制。制定規范統一的業務數據接口,可有助于實現各個設備保障應用系統互連互通、帶來運行數據的及時更新。
3.2 深入分析評估設備運行態勢的前提條件
編制準確的民航設備態勢分析報告、設備運行保障業務通告、對當前設備運行安全進行評估等工作,都需要對設備運行狀況數據進行統計分析。因此建立相應的分析評估平臺,來幫助技術人員和管理人員收集、分類、統計設備運行的各種數據,通過建立科學的評估模型,形成科學合理及時有效的分析報告,幫助決策者進行決策,為設備運行管理、設備規劃建設和設備運行保障部門的相關工作提供參考數據。
4 電子值班系統在設備運行態勢分析應用中的實例
以某民航單位2015年年報為例,以下數據都是通過電子值班系統記錄分析得出:
4.1 設備運行故障情況
2015年共發生設備故障267起,其中通信類設備故障97起、導航類設備故障42起、監視類設備故障116起、其它輔助類設備(UPS、油機等)故障12起。
全年共發生設備重大故障58起,其中通信類設備重大故障6起,導航類設備重大故障31起,監視類設備重大故障20起,輔助設備重大故障1起。
全年共發生不正常保障事件51起,其中外部電信運營商通信線路中斷事件25起,民航內部通信線路中斷事件19起,衛星鏈路及其它線路中斷事件7起。
4.2 設備停機維護情況
2015年各設備保障部門依據設備維護規范的要求,共實施停機維護608起,其中通信類設備停機177起、導航類設備停機232起、監視類設備停機180起、其它輔助類設備停機19起。
從停機原因來看,定期維護為主要原因,共347起(占57%), 故障維修為64起(占11%),升級改造為68起(占11%),飛行校驗為35起(占6%),其它原因為94起(占15%)。
4.3 無線電干擾情況
如圖1所示,2015年該民航單位共收到中南地區無線電各類干擾報告875起,查處12起。無線電干擾情況在各地區普遍存在,涉及VHF、雷達、導航等設備,其中VHF干擾尤為嚴重,機組報告的空中干擾次數多,覆蓋區域廣,航空無線電電磁環境形勢嚴峻。
5 電子值班系統的實現方法
設備運行信息管理系統平臺基于當前主流的服務器硬軟件技術、采用微軟Microsoft office sharepoint server(簡稱MOSS) 企業門戶方案開發建設。平臺將是一個綜合的、全面的設備運行信息管理系統,具有安全性、集成化、個性化、可擴展性、模塊化、標準化等多種特性。平臺
采用B/S架構開發,用戶的操作界面、系統的部署和配置、頁面的布局和管理均采用Web瀏覽器操作界面和工具,易于維護和使用。系統基于單位局域用戶管理系統,采用統一用戶管理機制。系統用戶可以根據自身業務關注范圍自定義用戶界面。平臺具有用戶/用戶組/角色管理功能,按不同的組和角色分配權限,具有完善的審計和日志管理功能。平臺具有較強的信息展現功能,以表單、報表、圖表、儀表盤等多種形式展現各類統計、分析所形成的數字、圖文信息。平臺具有一定的工作流管理功能,能支持簡單的業務流程定義,可以定制實現簡單流程化應用。系統采用WEB Service技術為其他應用系統提供業務接口。系統能夠使用訪問單點集成、用戶統一認證、權限分級管理、基礎數據共享等多種方式來整合各設備單位的基礎數據。
【關鍵詞】國際工程;風險管理;案例分析
中圖分類號:C93文獻標識碼: A
一、前言
隨著國際化的不斷發展,國際工程項目風險管理問題引起了人們的重視。國際工程項目風險管理貫穿于項目的各個階段,國際工程承包是一項高風險的行業,風險越大管理難度也就越大,因此,我們要提高國際工程項目的風險管理能力,以確保項目的順利進行。
二、概述
工程項目風險是客觀存在的,它是工程風險、業主資信風險、外界環境風險的集中反映和體現。風險程度因工程項目合同的復雜性,工程項目大小以及工期的不同而有差異,工程項目風險是項目合同雙方必須共同承擔的。在現代工程項目管理中,項目風險的管理和控制已成為研究的熱點之一。
在國際工程承包中,由于國際承包工程項目規模大、周期長和復雜性高等特點,在實施過程中存在著許多錯綜復雜的不確定因素,往往具有更大的風險。國際工程風險的特征是風險產生的隨機性及風險活動持續時間內風險損失的隨機性,國際工程風險從項目開始到竣工,甚至延續到竣工后。在國際工程承包領域,風險常常是項目失敗的主要原因之一,國際工程承包項目的風險管理,是項目管理者對潛在的意外損失進行辨識、評估、預防和控制的過程,是對項目目標的主動控制,風險管理和目標控制是國際工程項目管理的兩大基礎。
三、國際工程項目風險管理框架
項目風險管理以最新的2009年ISO國際風險管理標準ISO31000體系為基本框架和美國綜合審計委員會的企業風險管理與內控為結構,其實施流程是一個全方位、全員參與和提供反饋的持續改進的風險管理模型。它突出持續完善、不斷創新、反饋溝通與審核監控四個循環反復的步驟,結合國際工程項目特點,風險管理總體框架如圖1所示。
圖1風險管理總體框架圖
在國際工程項目中實施風險管理的基本條件是企業級和項目級層面都要在風險管理的總體框架和支撐下建立相關的風險管理機制與體系。
1、企業級風險管理
企業級風險管理是通過設立三道防線的管理與控制實現的,具體流程與功能如圖2所示。
企業級風險管理與項目級風險管理的關系是參與支持和監督控制的職能。
圖2企業級風險管理具體流程與功能
2、項目風險辨識和風險分析
從理論與實踐方面看,風險辨識和風險分析已經建立了系統的過程,即從系統的角度認識和理解項目風險,從系統的角度管理風險。對于國際工程項目,風險辨識和風險分析工作主要包括成立工作機構、建立工作團隊并確定咨詢專家和機構、明確風險識別目標、收集相關資料、評估風險形勢以及識別主要的風險來源等步驟。在工作啟動之后首先要掌握與項目相關的信息,如產品描述、歷史資料等,作為風險辨識的依據。同時在查表法、德爾菲法、SWOT等風險辨識技術與工具的基礎上,按照風險辨識過程辨識并分析風險,得出最終的結果。風險辨識是風險分析的基礎,決定了項目的風險管理效果,對于國際工程等大型項目,其過程及主要活動如圖3所示。
圖3項目風險辨識過程示意圖
四、案例分析
1、案例項目――德國某電廠工程概況
該項目的業主是總部位于美國得克薩斯州的電力供用商TXU公司,它是美國得克薩斯州最大的一家電力公司,總裝機容量超過18300MW,其中燃煤機組的總裝機容量超過了5837MW。該公司籌建11座火電項目,其中柏克德(Bechte1)中國公司承包了8個,我國某公司(下文稱A公司)取得了其中4個(4臺機組)的鋼結構加工制作分包。每臺機組的鋼結構量約15000t,主要包括鍋爐框架、汽機房、煤倉間及空氣預熱器等部分的鋼結構,結構形式主要有:鋼柱、梁、支撐及平臺等,總合同金額約8億元人民幣。
整個項目由柏克德(Bechte1)中國公司總包,A公司為分包單位。合同的條款及相關規范皆由柏克德(Bechte1)中國公司一手包辦,合同的簽訂雙方是A公司與TXU公司,柏克德(Bechte1)中國公司承諾在開工半年之后再與A公司簽訂正式合同。而就在這半年之內A公司被通知取消合同,但是,A公司為了履行合同已經做了大量的準備工作,如大約采購了1億元人民幣的原材料、技術準備、車間部分設備改造及對管理人員和操作人員進行培訓等,這對我國A公司造成重大損失。
2、風險評估
(1)A公司在此之前已經成功承包了很多與此類似的國際工程項目,又樂觀地估計該項目順利進行下去會有豐厚盈利,忽視了盈利背后的巨大風險。雖然在了解德國的政治、經濟形勢和企業狀態的基礎上,對國別風險的評估過程采用了調查和專家打分法,風險打分匯總之后顯示,該項目的國別風險可以接受,但是最終造成合同中止的風險就是源自于國別風險。
在接觸到該項目之后,A公司對政治風險、經濟風險、合同風險等相關風險僅進行了初步分析,隨即就與TXU公司簽訂了合同。然而,TXU公司于2007年2月26日向外界宣布,同意以320美元的價格出售給Kohlberg KravisRoberts得克薩斯太平洋集團領銜的私人股本收購集團(這是歷史上規模較大的私人股本交易),新的業主不同意繼續這個項目,導致合同中止。在此之后,A公司也間接了解到該項目承建的火力發電廠當時沒有通過環境評估。也因為TXU公司計劃建設11座燃煤發電廠,一直是環保團體攻擊的對象。在這個時候,TXU公司已經面臨被收購的前景,而A公司沒有認真分析此種情況,沒有對相關風險做進一步分析,直接導致了后來的巨大損失。
(2)在招標投標及合同簽訂過程中同樣存在重
大風險。該項目合同發包方為柏克德中國公司,合同的條款及相關規范皆由柏克德中國公司一手包辦。然而,合同的簽訂雙方卻是A公司與TXU公司,為什么A公司不是與發包方直接簽訂合同,而是與業主簽訂呢?這是因為A公司了解到,柏克德中國公司作為管理公司,負責所有項目管理,包括聯系分包與承包單位、合同商務談判、技術談判及施工過程管理等,起到代業主管理的作用,但承包商都需要和業主直接簽訂合同;加之柏克德中國公司承諾在開工半年之后與我國承包公司簽訂正式合同,并且A公司在對工程費用和收益風險辨識與分析之后認為此項目的盈利空間較大,于是與業主訂立了合同。但是,這樣做也使A公司作為分包單位幾乎承擔了項目的所有風險,成為造成公司經濟損失的另一直接原因。
3、結果分析
柏克德中國公司成功地將風險轉移到了A公司,在這個項目的實施過程中,A公司管理人員暴露出的一大問題就是風險意識不強。在承包國際工程的時候,依然習慣于獲得有限的信息之后運用經驗判斷是否承包此工程項目,這是導致最終不良后果的根本原因。
五、風險的防范與應對
1、增強項目風險觀念。首先,要增強戰略性觀念,從整體角度來防范風險;其次,增強階段性觀念,針對工程項目周期內每一階段風險的特點,進行風險管理;最后,還要增強系統性觀念,從整體上對風險進行把握,從變化中抓住風險的發展趨勢。
2、加強相關立法和合同管理。工程合同是工程項目風險管理的主要法律文件依據。工程項目的管理者必須具有強烈的風險意識,學會從風險分析與風險管理的角度研究合同的每一個條款,對工程項目可能遇到的風險因素有全面深刻的了解。
3、熟悉、遵守國際規則,按照國際規則辦事,參與到國際競爭之中。熟悉和掌握國際市場狀況和動態,了解和掌握FIDIC合同條款,按照國際慣例對工程項目及項目風險進行管理;充分利用FIDIC條款中關于保險條款的規定,最大限度地減少失誤和經濟損失;學會按國際慣例解決項目承包中的爭議問題,做好索賠工作。
六、建議
在國際工程項目的開發中,風險管理十分重要,應該引起足夠的重視。在項目開發的初期,應充分對項目可能遇到的風險進行分析并評估,并將結果作為項目實施可行性的一個重要部分,并采取有效且具有針對性的措施,以最大限度地降低風險,提高項目成功率。
七、結束語
國際工程項目風險管理是個復雜的工程,我們要根據實際情況,合理的處理國際工程項目風險管理問題。
參考文獻
關鍵詞:國際貿易;融資;業務管理
隨著市場環境的變化,國際貿易融資業務的創新及風險控制已經成為商業銀行追求長遠發展所面臨的重要問題。面對問題,商業銀行應該主動采取措施,創新產品、流程設計,提升風險防范意識,國家應該構建完善的國際貿易融資法律體系,推動商業銀行國際貿易融資業務的進一步開展,也為國家進出口貿易提供更加優質、高效的金融服務。
一、商業銀行國際貿易融資業務發展的環境分析
傳統信貸業務市場經過近四十年的發展歷程已經形成基本穩定的市場分割,優質企業及項目的稀缺使商業銀行在融資業務上很難取得新的突破,國際貿易融資業務為商業銀行的信貸資產提供了新的出路。與普通融資產品相比,國際貿易融資業務產品期限短、流動快及具備應收賬款及票據作為質押的優點可以使信貸風險變得相對可控。貿易融資的自償性將商業銀行從繁雜的企業基本資料中解脫出來,重點關注單筆進出口貿易的單證、交易真實性及貿易資金償還性,使商業銀行信貸結構及業務資源得到了優化配置。對于商業銀行來說,國際貿易融資的業務將貸款業務與中間業務相結合,可以實現表內及表外的疊加收益,可以為商業銀行提供新的收益增長點。國際貿易融資業務可以短時間內與企業開展業務往來,建立合作關系,進而與企業開展長期、穩定的合作。但面對新的國際環境商業銀行在風險控制技術、制度及人員配置方面需要加大投入,動態監測業務風險,實現穩健的經營目標。由于國際貿易融資以真實交易作為業務背景,對整個社會來說,將金融服務與實體經濟發展相結合,會為實體經濟的平穩運行增添助力。隨著國際貿易活動日益頻繁,跨境投融資業務的廣泛開展,急需商業銀行提供匹配的金融服務,滿足企業對外貿易發展需求。另外,現有國際貿易融資業務多為針對以外幣作為結算貨幣的交易,對于以本幣作為結算貨幣的進出口貿易尚未形成專門的產品類別。隨著2016年12月人民幣加入SDR(特別提款權)籃子貨幣,跨境人民幣交易將變得日益頻繁,商業銀行急需創新國際貿易融資業務品種,為人民幣資金跨境支付結算提供對應的金融服務。
二、國際貿易融資業務管理面臨的問題
商業銀行國際貿易融資業務在企業開展進出口貿易往來過程中發揮了緩解企業短期資金周轉壓力、降低財務成本、為企業提供信用支持等重要作用。貿易融資業務將商業銀行傳統的融資業務與中間業務緊密聯結,把貸款和結算融合一體,可以使商業銀行實現表內表外的雙重收益。相較與西方完善的業務流程及管理制度,我國的國際貿易融資業務起步于上世紀末,發展歷程較短,且在日益增加的國際貿易往來過程中融資問題日益凸顯,主要體現在:
(一)業務品種單一。國際結算主要有匯款、托收、信用證等方式,在商業銀行國際貿易融資實踐過程中,主要以信用證類的融資方式為主,對于匯款、托收等結算方式雖然具備相應的業務種類,但業務規模較小,不能提供及時、有效的資金融通。我國商業銀行在融資業務品種方面,多為單筆業務的短期融資,沒有形成綜合性的貿易融資解決方案,不利于與企業建立長期的業務往來。
(二)業務流程及人力資源配置有待優化。目前,商業銀行國際貿易融資操作相比普通信貸業務流程較為復雜,業務資料繁雜,中間審查及審批環節多,融資效率低,并不能及時解決企業的融資問題。導致這種情況的一部分原因是現有渠道可以查詢到的企業經營狀況及征信信息不足以反映企業的經營全貌或該筆融資業務的實際情況。同時,商業銀行數據動態分析能力較弱,不能即時了解企業現狀,思路僵化在企業提供的三個報表中,過分強調形式上的合規,這也導致了中小企業國際貿易融資中由于企業在提供資料格式不符合要求而拒貸等情況的產生。國際貿易融資業務對人員素質要求較高,需要大量的專業型人才,而目前商業銀行國際貿易融資業務的專業人員多集中在操作及審批人員,但目前操作人員對于業務資料審核多有主觀性,僅實現了“表面合規”“單證一致”等基本要求,受技術水平限制,并不能對企業進行動態風險評估。國際貿易發展隨著國際經濟環境變化日新月異,但商業銀行缺乏能夠為融資業務提供支持的創新型人才,特別需要提升產品種類與業務操作流程設置的管理水平。目前進行商業銀行系統研發的多為信息技術領域的人員,而進行業務品種開發多為經濟金融學科的人員,這種系統與業務分離的后臺創新模式無法真正對前臺業務起到有效的推動作用。
(三)業務發展受經濟及法律環境制約。受近年經濟下行因素影響,參與進出口貿易企業經營狀況并不樂觀,部分中小企業破產,特別是進口貿易企業經營狀況嚴重惡化,商業銀行參與貿易融資的積極性收到打擊。資金鏈、擔保鏈的風險頻發導致商業銀行在貿易融資業務操作上更為謹慎,業務營銷及客戶維護上困難重重。自2015年國家外匯管理局頻繁出臺相關政策,企業跨境投資、海外并購、大型涉外工程的融資需求不斷攀升,商業銀行的傳統國際貿易融資產品已經無法滿足企業多元化的國際貿易融資需求,創新業務品種及整合業務方案勢在必行。我國金融領域的的法律法國并沒有形成有機整體,國際上對于貿易融資的準則及規定已經多次作出重大調整,而相對國內的規定調整幅度較小,進出口貿易及貿易融資的法律法規會出現許多真空地帶,無法為國際貿易及融資業務的發展構建一個完善的法治環境,這也是制約其發展的一項因素。
三、國際貿易融資業務管理水平提升對策建議
國際貿易融資業務在商業銀行經營過程中的地位變得愈加重要,但隨著國際貿易規模的擴大,融資難、融資品種受限等問題日益凸顯,面對這種情況商業銀行應該抓住問題源頭,加大創新力度,強化風險管理才能實現國際業務綜合服務能力的提升。商業銀行首先需要將創新意識融入到業務品種創新、操作流程整合、業務人員管理、業務風險控制、業務制度維護等“全員全過程”中。
(一)產品種類的創新。業務產品的創新過程中,商業銀行應該秉承“以企業交易為核心”的業務理念,增強業務產品與企業實際需求的匹配性。靈活性強、風險小、表內外收益可觀的貿易融資產品應是銀行創新產品設計的首選。在產品設計上,應該將企業的結算方式與融資產品進行合理匹配,同時充分考慮到企業生產的周期性,保證企業的現金流穩定,防止期限錯配導致企業過度占用銀行信用。同時,綜合化的融資方案可以為企業提供資金融通之外的財務管理、理財顧問、風險分析、管理咨詢等多元化的金融服務,更有助于銀企雙方建立長勤穩定的合作關系,也為商業銀行提供了更多的創收機會。另外,國際貿易融資產品的設計不應局限在單筆的交易上,應該將視野擴大到該筆交易的整個貿易鏈條中,打造貿易鏈企業綜合服務方案,提升融資效率,降低融資成本。
(二)業務流程及人員配置優化。商業銀行內部甚至商業銀行之間應該建立統一的進出口企業數據平臺,進行企業風險的系統性評估,增加銀企之間信息透明度,降低信息不對稱導致的不確定性風險。在企業風險評估方面,商業銀行需要提升數據動態分析及處理能力,建立企業風險數據分析模型,動態反映企業當期的風險狀況以及自身應對市場風險的能力,主要從企業盈利水平、企業短期償債能力和單筆進出口貿易對手企業的穩定性來進行風險評估。傳統國際貿易融資業務中通常將融資前對企業的授信評級作為業務的核心環節,而在貸后并未能即時掌握交易的具體情況,不利于商業銀行的風險控制。對此商業銀行加強對整個貿易流程的跟蹤監測,及時了解該筆貿易的進度,關注是否有貿易摩擦等問題的出現,強化對貿易貨權的控制。對單筆交易應該進行封閉式的管理,封鎖該筆業務的資金流,使銀行的債權能夠得到充分的保障。另外,商業銀行更應該提高國際貿易融資從業人員的風險意識,提升從業人員發現風險及防控風險的水平,建立系統保送及人工反饋相結合的風險預警制度,提升國際貿易融資業務風險管理水平。商業銀行應該在現有國際貿易融資業務流程基礎上與時俱進,整合過于復雜的審批流程,把握實質風險,優化人力資源結構,降低人工成本。對于國際貿易融資相關的業務營銷崗、信貸員崗、會計交易崗加大業務培訓,明確崗位責任和業務分工,使崗位之間業務相互制約、信息共享、有機配合。
(三)法律環境及制度建設。從國家法律法規層面來講,應該對國際貿易融資的發展建立完善的法律體系,構建適合現階段國際貿易及貿易融資的法律環境,保證國際貿易發展的合法性、規范性。另外,國家應該著手建立銀行業統一的國際貿易融資信息平臺,增強企業信息的透明度,為國際貿易融資業務的順利開展奠定基礎。從銀行自身方面,應該加強自身的制度建設,根據國家出臺的法律條例制定本單位的業務制度及內部控制制度,保證業務的合規性。
參考文獻
[1]莊艷華.淺議境內商業銀行近期國際貿易融資產品創新與風險[J].經營管理者,2015(08)
[2]林樞.商業銀行貿易融資風險管理探討[J].國際商務研究,2015.5(25)
關鍵詞:創業企業;成長風險;管理;研究
在市場經濟體制不斷翻新的市場競爭中,創業企業在成長的過程中風險發生的幾率不斷的增加,風險的不確定性給企業管理團隊的工作帶來了很大的難度,此時與創業企業相關的很多創建者以及投資家紛紛主動參與到創業企業成長風險的管理工作中,他們采用的一般都是跟蹤管理這一全程性的手段,在合適的時機以恰當的管理形式降低企業經營風險發生的幾率,進而使創業企業實現經濟價值增值的目標。本文首先闡述了創業企業在成長的各個階段風險的類別與特征,繼而研究創業企業成長風險管理的大致流程,最后對兩種風險跟蹤管理的手段進行深入的剖析。希望與創業企業的風險管控者一起分享管理經驗。
一、中小型創業企業各個時期的風險類型與特征
創業企業的成長過程可以劃分為四個階段,即種子期、起步期、運作期與成熟期,不同的時期存在的成長風險必然不同,以下將分別對其進行介紹。
1.種子期
創業企業處于該時期,面對的最大挑戰是資金風險與技術風險。前者可以比喻為企業的“命門”,因為種子期是創業企業誕生的首要步驟,從種子的萌發到成長都要經歷一定的挫折,如果此時就有資金風險存在,無疑就成為企業發展的最大絆腳石;技術風險產生的原因可以歸咎為種子期企業的各項研制工作局限于概念策劃的范疇,這樣就致使技術的可行性模糊不清,那么在資金風險與技術風險雙重的沖擊下,企業的經濟效益很可能出現負增長的現象。
2.起步期
此期間,技術風險有所緩解,但資金風險仍是被重點考慮的風險因素,此時又有一新類型風險產生,即為市場風險。起步期概念策劃工作落實到位,步入了中試與小批量時期,面對經濟市場的不穩定性,很多投資家往往舉棋不定,不能把資金注入到某一類產品生產以及運營過程中。此外又因為企業產品在市場試用時頻繁的被抽查檢驗,那么市場風險幾率必然增大。
3.運作期
此期間,創業企業面臨的最大風險是管理風險。這是因為該階段企業規模不斷擴大、資金投入數額龐大、工作人員數目增加且存在很大流動性、市場營銷范圍不斷擴建,那么成本管理控制、質量問題和品牌形象打造,這些問題均會導致管理風險的產生。
4.成熟期
此期間,創業企業最大的風險是由創業投資家保守頑固的思維模式而造成的,此外還有產業多元化風險。前者是因為投資家因為一點點成就的取得而沾沾自喜,奮斗的腳步停滯不前,導致產品市場競爭力有所降低;產業多元化風險是因為很多投資家高估自己的能力,在本企業中拓展了很多不相干的行業,最終致使資金運轉不周,嚴重的會造成破產的后果。
二、描述創業企業成長風險管理的具體流程
1.風險的鑒別
創業企業成長風險的鑒別的就是在企業投資家參照某種特殊性質的指標,結合企業某一具體的營銷環節以客觀的態度去辨別分析發生過的或者有很大可能將要產生的風險,例如較為常見的產品成本過高、財務資金管控不得體或者是企業投資家管理技能難以施展等風險問題。有研究資料表明,現階段我國創業投資家樂于并廣泛關注的指標有以下四項,即為凈利潤、投資回收率、銷售總額以及市場占有率,其原因在于這四項指標將企業產品生產效率、管理成效、資金投入份額以及技術先進程度等情況呈現出來,只要創業投資家洞察到某一指標數值下滑或者產生波動的趨勢,那么就會推測出企業運營的某一流程出現問題了,也就達到了對企業成長風險鑒別的目標。
2.風險性質的診斷
通俗的說,就是企業管理層工作人員或者是創業投資家對被鑒別出來的各類型風險形成的原因進行探究分析,對該風險正在運行的路線進行研究,同時對其未來發展的走向進行科學的預測。創業企業能否在激烈的市場競爭中擁有一席之地,不論是技術風險還是市場風險,或者是管理風險均會對企業的良性運營發展造成一定程度的阻礙性。對于上述各種風險,投資家以及管理部門人員應該公平對待、不偏不倚,也就是說受資企業無論面臨哪種風險,都應該對其起因、過程、發展趨勢進行詳細的分析與診斷工作,以此去明確各種因素之間的主次關系。對企業產品銷售份額下降這一實例進行分析,為了達到對該企業成長風險管控的目標,就必須做好對這一實例形成原因的分析工作,有三種原因,一是該產品生產成本過高致使其銷售價值提升,此時在經濟市場中處于弱勢的地位;二是該企業的“生產--營銷”體系出現問題,可能出現在質量上,也可能是銷售人員素質不高;三是該類產品市場需求量低迷或者是其他類問題。總而言之,必須做好問題起因的分析工作,這是創業企業成長風險診斷工作質量提高的關鍵,也是該風險及時、高效得到管治的基礎。
3.風險的管理與控制
這是創業投資家或者是企業管理層工作人員在完成對企業風險鑒別、診斷工作內容之后,在與風險相關的應對措施的配合下,有目的性的開展對問題的處理工作。這里我們以技術風險為例,對其可以采取以下的解決方案:創業投資家首要任務是結合過去該技術為企業獲得經濟收益的情況,去判斷其是否有升值空間,如果大部分創業投資家認為該項技術已經“落伍”,并且不具有研發創新型技術的輔助條件,那么創業投資家就應該抓住合適的機會,將該技術從企業資本中剔除掉。但是實際上某技術從企業產品生產運營中拔出繼而廢棄現象出現的幾率是極小的,大多數只是技術在某一細微環節上出現偏差,那么創業投資家就可以在自己人脈關系網絡的輔助下,將某種外援物資源源不斷的輸送到企業里,這是對該技術的完善,也是對新型技術研發的支持,此時該企業順利的與技術風險擦肩而過,及時而順利的擺脫困境。
三、研究風險跟蹤管理工作主要應用的手段
1.監控手段(Supervision and Control)
這一風險管理手段的實施使創業企業嚴格的依照投資合同所設置的目標以及規劃的流程進行事業的發展與運營,監控工作的落實使創業企業的成長風險被迅速的識別出來,尤其是其能夠將創業企業家或者是投資者的道德風險扼殺在萌芽時期。為了落實對企業成長風險的監控工作,創業投資家可以借鑒以下幾種方式開展風險管理工作。一是加入創業企業董事會體系;二是對創業企業的財務報表進行嚴格的審查與核實工作;三是與從事管理工作的創業企業人員進行交流與會晤。對于在監控工作發現的問題,創業企業投資家可以參考以下管理方式:
(1)資金分期投放
這一方式也可以被稱為分段投資,顧名思義就是企業投資家參照創業企業不同時期的發展情況,對其盈虧因素進行詳細的分析后,再決定投入資金的數額。分段投資作為一種較為常見的企業資產管理模式,它的實施使創業企業的投資家達到了對那些在經濟市場中發展前景較為暗淡項目保留的目標,即“中斷體制”。如果投資家發現在未來的幾個月之內(最長不能超過1年)該項目的發展趨勢仍是不盡人意的,在補救措施相對缺乏的管理環境中,創業企業投資者就可以果斷的對其進行中止投資,將企業成長風險發生的幾率壓縮到最低水平。
(2)對投票權進行管控工作
在這里特別需要提出的是,優先股是不具有投票權力的。但是目前我國大多數創業企業的優先股自行進行假設,演化為普通股,擁有特殊性質的投票權力,它們可能對創業企業的章程進行規劃與調整,同時擁有清算公司總資產以及公司并購的特權。
(3)解除不稱職的管理人員。這是道德風險得以避免的有效途徑,如果有些創業企業管理人員一再拒絕投資,那么在企業股東大會上就可以以此為由以解雇或者降職的方法約束他們,這是確保企業戰略目標順利實現的可行對策之一。
2.增值業務手段(Value Added Service)
一般來說,增值服務可以被視為創業投資家為創業企業所提供的咨詢服務的總稱,其具體涵蓋以下幾方面的內容:
(1)協助完成重要管理人員的選取工作
通常情況下,創業企業中只有首席執政官需要選拔,創業投資家自愿參與該過程。而增值業務這一管理手段在成長風險中得以應用之后,首席執政官會得到來自參與面試工作的經理人員的決策書。
(2)使創業企業的經濟發展戰略與經營計劃得以順利的編制
這一工作可以視為提高創業企業管理水平的高效措施,也是企業投資家投資以后首要開展的管理工作項目。在對企業成長風險進行管控的歷程中,投資家憑借自身在董事會的職業去對所處企業行業進行科學的挑選,同時落實經濟市場的定位工作內容。在這一工作環節中,企業投資家積極對企業中大型經營問題形成的根源進行剖析,與此同時細致的對影響企業資本的運作方案規劃的內容進行審查,提出自己的見解。其實創業企業的投資家也可以承擔顧問專家的角色,這樣他們就可以頻繁性的把一些有創新性、時代性的思路或者是策略輸送給企業管理部門,例如“采取什么樣的手段去應付一位重要客戶,以拿下產品訂單,最終實現降低企業成長風險發生率為企業贏得經濟利潤”這一問題。
(3)為企業未來發展所需資金的籌備工作注入能量
任何企業只有在資金充足的情況下,才會使企業規模不斷壯大,經濟利潤增長點才會呈現上升的趨勢。對于創業企業而言,籌集未來幾年發展所需的資金是極為重要的工作,這也是對成長風險管控的有效對策之一。增值業務手段的應用,一方面使企業投資家運用自己在經濟市場中的人脈關系,或者是憑借自身的實力為企業籌集后續資金工作添枝加葉。組合投資的實現是落實后續資金籌集工作的最快捷途徑,其實質就是在企業投資家在投資領域中以經濟利潤作為誘餌,激發其他創業投資公司參與投資的欲望。在創業企業投資的過程中為了避免成長風險的發生與蔓延,建議企業投資家采用分段投資這一方式,如果在某一時間段該創業企業產品營銷等事業取得良好的經濟成效,那么那些分階段投資的企業投資家就引發了一場“示范效應”,那么后續資金的籌備問題隨之就被解決了。有關調查資料顯示,大多數企業投資家與某投資銀行、基金機構或者是保險公司關系密切,那么借助此關系,投資家就可以協助創業企業產品選擇最佳的上市時機或者是與發行有關的債券,此時該企業必然也會獲得一定數額的資金。總之,正是因為增值業務這一手段在創業企業管理工作的應用,企業投資家才會費勁腦筋,嘗試各種途徑為企業后續發展工作創造源源不斷的資金供應源,為企業順利運行注入能量,此時該企業成長風險也得到了切實的管控。
(4)完成重要客戶與供應商的尋找與匯聚工作
在創業企業事業發展過程中,投資家發揮的作用是不容忽視的,他們不僅僅利用自己的人脈關系網絡完成所處企業高質量管理人才的選擇工作,并且提高后續資金籌備工作效率,除此之外他們將合適的供應商家、銷售商家引薦給首席執政官,落實相關產品的生產、出廠、營銷、售后質量服務等一系列工作步驟。特別是在創業企業種子階段、起步以及運行階段,這種增值業務發揮的成效是不可替代的。因為這些企業投資家能將自己選擇某一供應商或者是銷售商進行合作的理由講得條理清晰、頭頭是道,他們對合作伙伴事業的生產運行情況有透徹的了解,這樣對其顧慮減輕,信賴程度增加,最終達到高效控制成長風險這一偉大目標。
四、結束語
創業企業因為自身性質的特殊,因而可能長期的面臨各種風險,此時創業投資家不必驚慌,應該明察秋毫、積極的采取多樣化的解救措施,將資金風險、技術風險、市場風險以及管理風險將至到最低水平。總之,只有企業投資家擁有防患于未然的意識,大力支持創業企業的生產,不斷提高自己對風險的管理能力[3],此時創業企業必然會順利的渡過難關,健康的成長。
參考文獻:
[1]盧顯文.創業企業成長風險的跟蹤管理[J].學術交流,2004.
[2]陳子彤.論中小企業成長風險管理[J].經濟論壇,2004.
關鍵詞:供應鏈風險;風險評估;支持向量機
基金項目:國家自然科學基金項目 (71172194;71031004;71221001;70731003;70731160635)。
作者簡介:舒彤(1970-),男,江西波陽人,湖南大學工商管理學院副教授,博士生導師,主要從事供應鏈管理研究;葛佳麗(1990-),女,河南禹州人,湖南大學工商管理學院碩士研究生,主要從事供應鏈管理研究;陳收(1956-),男,廣東龍川人,湖南大學副校長,教授,博士生導師,主要從事投資決策與風險管理、績效評價、戰略管理研究。
中圖分類號:F830文獻標識碼:A文章編號:1006-1096(2014)01-0130-06收稿日期:2013-08-25
引言
在精益生產、準時制生產等先進理論的指導和實踐下,企業間的聯系愈加緊密,市場競爭已不再是企業間的競爭,而是供應鏈間的競爭。近年來,隨著各種供應鏈風險的頻繁發生,企業受到了極大損害,越來越多的人認識到供應鏈風險管理的重要性,供應鏈風險管理已成為供應鏈管理領域的研究熱點。
供應鏈風險識別與評估是供應鏈風險管理的基礎。通過識別供應鏈風險因素,對其潛在風險進行預警和控制,探索供應鏈風險管理的優化方法,可在實踐中建立安全可靠且具有彈性的供應鏈,使供應鏈上的企業在獲得較大收益的同時又能夠應對風險,提升企業競爭力。因此,需要分析企業的供應鏈管理狀況,通過風險識別發現供應鏈中的薄弱環節及其可能造成的后果,利用科學的方法對其現狀進行評估,確定供應鏈風險等級。
支持向量機(Support Vector Machine, SVM)是Cortes等人于1995年提出的一種機器學習方法,建立在統計學習理論的VC維理論和結構風險最小原理基礎上,在模型復雜性和學習能力之間進行了折衷,具有較強的泛化能力和精確性。在小樣本、非線性及高維模式識別等方面有較大優勢,克服了神經網絡過于學習、欠學習、局部極小等問題,已成為繼神經網絡研究之后機器學習理論領域新的熱點。因此,將支持向量機應用到供應鏈風險評估中,具有十分重要的現實意義。
一、文獻綜述
供應鏈風險評估是供應鏈風險管理的重要環節,受到企業界與學術界的關注。Prater等(2001)認為利用評分方法可以對跨國供應鏈的風險進行評估,但是這種方法適用于跨國供應鏈的初步評估,具有一定的主觀性。Harland等(2003)認為供應鏈風險管理過程包括識別風險、估計風險、制定風險控制規劃、實施規劃等幾個循環階段,建議企業做好早期的供應鏈風險預警與評估。Zsidisin等(2004)以理論為依據提出了采購商供應鏈評估技術。Hallikas等(2004)認為企業間可以通過合作,將單個企業的風險納入整個供應鏈合作風險中,所提出的半定量化研究方法為供應鏈風險評估奠定了一定的基礎。Kleindorfer等(2005)提出了一個關于評估供應鏈中斷風險的概念框架。Wu等(2006)提出了一個層次式供應鏈風險因子分類與評估模型。Schoenherr等(2008)通過行動研究和層次分析法,發現了17種風險因素并將其分類,提出了一個基于實證的供應鏈中斷風險因素評估模型。丁偉東等(2003)提出了一個供應鏈可靠評估矩陣,但這種方法在供應鏈風險發生的概率上未加以考慮。付玉等(2005)提出了偶發供應鏈風險的定量評估方法。劉嘉等(2005)通過供應商評價來進行供應鏈風險控制。劉冬林等(2006)通過獨立風險和單個風險測度來度量供應鏈多風險,但提出的關于風險間的關系是彼此獨立的假設不符合實際情況。舒良友等(2007)提出基于合作伙伴關系的制造商風險評估問題,但是研究僅限于制造商而非供應鏈系統整體,具有一定的局限性。蔣有凌等(2008)建立了基于模糊綜合評判與人工神經網絡法的供應鏈風險綜合評估模型。李莉(2008)構建了一種基于模糊熵的集群式供應鏈風險評估模型,并通過實例給出了該方法在集群式供應鏈風險評估中的應用,但該方法仍受人為因素影響。王文婕(2011)采用OWA算子的方法,對供應鏈管理風險進行研究,但尚未考慮各風險因素間的相關性。陳敬賢等(2011)使用蒙特卡羅方法模擬風險概率和風險損失,通過構建一種較為通用的測量模型來對市場波動風險進行評估。顧玉磊等(2013)借助CVaR理論構建了一種基于成員偏好的風險評估模型來度量供應鏈成員企業風險和多元供應鏈綜合風險。供應鏈風險評估模型包括機會約束規劃(CCP)、數據包絡分析(DEA)和多目標規劃(MOP)模型等。綜上文獻可以發現,供應鏈風險評估已有概念模型與數學模型,但研究中仍存在不足之處:文獻大多針對單個企業或特定領域的風險問題,對整個供應鏈網絡的研究相對較少,定量評估的方法也不夠全面。因此關于供應鏈風險評估系統性和實證方面的研究仍需繼續加強。
二、支持向量機算法
支持向量機(SVM)由線性可分情況下的最優分類面發展而來,其基本思想就是將向量映射到一個更高維的空間,建立一個具有最大間隔的超平面。在分開數據超平面的兩邊建有2個互相平行的超平面,分隔超平面使2個平行超平面的距離最大化。
三、基于支持向量機的供應鏈風險評估模型
(一)供應鏈風險評估指標體系的建立
在供應鏈風險評估中,建立科學合理的風險評估指標體系是風險評估的前提,需要由一系列量綱各異的指標群組成。近年來,學者們提出了許多供應鏈風險評估體系,如舒良友等構造了基于制造商合作伙伴的風險評估指標體系,劉永勝等(2006)提出了包括4個層次、7項綜合指標的供應鏈風險預警指標體系。
為了建立有效的供應鏈風險評估指標體系,應遵循原則:(1)科學性原則。評估指標體系要體現供應鏈風險的特點、客觀規律和來源,指標選取應具有一定的代表性,使評價活動能夠獲得較為客觀的真實結果。(2)可操作性原則。供應鏈風險評估指標的選擇要綜合考慮數據的可獲得性和收集的難易程度,便于對數據資料收集、加工和整理,特別是易于進行量化處理。(3)層次性原則。供應鏈風險指標體系的設計要有一定的層次性,可分為一級指標、二級指標等。對各層次指標進行詳細分析,從而使指標體系層次分明、減少遺漏。(4)定性與定量相結合原則。本文將供應鏈風險作為評價對象,涉及管理的各個方面。單純的定量指標或者定性指標都不能完全反應供應鏈風險的整體情況,因此在指標的選取上可將兩者相結合。
筆者綜合前人研究成果,根據供應鏈風險發生來源,結合晚春東等(2008)提出的供應鏈系統運行整體風險評估指標體系,加上實際調研分析,在征求理論研究與生產領域專家意見后,先提出初步備選指標,將供應鏈主要風險因素整理歸納為系統風險、供應風險、物流風險、信息風險、財務風險、管理風險、需求風險和環境風險共八類。通過對各類風險進行分析研究,將每類風險因素進一步細分為若干子因素。
針對上述供應鏈風險因素,筆者設計了供應鏈風險因素調查問卷,目的在于通過對問卷結果的統計分析,判斷供應鏈風險因素假設的合理性,利用統計學方法進行分析,形成一套較為科學的供應鏈風險因素指標體系。調查問卷共發放67份,回收51份,有效問卷為38份,有效問卷回收率為56.7%。筆者利用SPSS17.0統計軟件對調查結果數據進行處理分析,通過因素分析和信度分析,檢驗了問卷的信度與效度。根據統計分析結果,按因子載荷在0.6以上、信度系數在0.7以上為標準,筆者構建了供應鏈風險評估指標體系。該指標體系有2個層次,第一層次分為8個一級指標,第二層次共有25個具體評估指標(見表1)。
(二)樣本數據的收集與處理
考慮到采集數據的難度,本文的數據采集于同一地區的不同行業,通過對一些企業的調研得到。其中一些上市公司的財務數據通過國泰安數據庫得到。筆者選取的企業以煤炭和電力企業為核心,形成了煤炭和電力行業供應鏈,并選取這些企業2008年以來的數據,最終將數據應用于模型之中。
在供應鏈風險評估指標體系中,包括定性指標和定量指標。對于定性指標,采用專家打分法進行量化,評分取值范圍為\[0,1\],0.5為風險指數的中值。評分時專家綜合企業提交的指標情況、行業狀況以及專家經驗等進行打分。對于定量指標,則對數據進行歸一化處理,消除量綱和其他因素的影響。正向指標代表取值越大、風險越大,其線性變化公式為x′i=[xi-min]/[max-min], i=1, 2, …,n。逆向指標代表取值越大、風險越小,其線性變化公式為x′i=1-[xi-min]/[max-min], i=1, 2, …,n。其中,x′i為第i個指標的歸一化值,xi為第i個指標的輸入樣本,max為第i個指標的最大值,min為第i個指標的最小值。
通過專家打分法獲取數據的過程:(1)專家選擇與組合。選定15名供應鏈管理方面的專家,其中包括3名研究供應鏈管理的高校教授、10名企業中從事供應鏈管理的中層以上管理人員及2名相關單位或組織中的熟悉本企業業務的管理人員。(2)資料的收集。收集供應鏈風險的相關背景材料及供應鏈運行過程中的數據資料。(3)專家打分。發給每位專家一張風險評級表及相關數據資料,要求專家們在規定的時間內把調查表填完收回,整理各專家意見并反饋給專家,進行下一輪打分,共3次。(4)對第三輪的專家調查表進行處理。每個風險指標值取自專家所有評估值的算術平均數,對專家評估結果進行匯總整理后,得到供應鏈風險定性指標評估數據表。
具體樣本數據如表2所示,其中C1C16表示供應鏈企業,X1X25表示評價指標。
(三)模型訓練及結果
四、結束語
近年來市場的不確定性有增無減,使得供應鏈風險不斷增加,因此要對供應鏈風險進行評估。供應鏈風險評估作為供應鏈風險管理的重要環節,可以使企業對風險產生的原因及影響進行預計,從而采取預防性措施。筆者首先對供應鏈風險評估的相關研究進行了概述;隨后,通過調查問卷構建了一套供應鏈風險評估體系;最后,將基于支持向量機的機器學習算法運用到供應鏈風險評估中,構建了供應鏈風險評估模型并進行了實證研究。研究結果表明,基于支持向量機的供應鏈風險評估模型,具有較高的訓練效率和精度,說明模型具有較強的有效性與使用價值,可作為供應鏈風險評估的有效工具,完成對實際風險的評估,從而使企業掌握供應鏈風險的整體狀況,為風險管理提供較為科學的決策支持。
基于支持向量機的供應鏈風險評估模型具有較強的推廣能力。未來研究中,可在以下幾個方面進行改進:(1)針對支持向量機算法及具體問題,可選用更加科學且符合實際的核函數。(2)對于供應鏈風險評估指標體系,可在定性指標的選取與處理上采用更加科學合理的方法,并對供應鏈風險誘因加以動態更新,不斷完善供應鏈風險評估指標體系。(3)本文的數據采集針對的是同一地區的不同行業,有其局限性。未來的研究可擴大樣本收集范圍,以提高樣本的代表性和廣泛性。
參考文獻:
陳敬賢, 施國洪, 程發新. 2011. 基于蒙特卡羅模擬的供應鏈風險估計研究[J]. 數學的實踐與認識(13): 1-9.
丁偉東, 劉凱, 賀國先. 2003.供應鏈風險研究[J]. 中國安全科學學報(4): 64-66.
付玉, 張存祿, 黃培清,等. 2005.基于案例推理的供應鏈風險估計方法[J]. 預測(1): 56-58.
顧玉磊, 張圣忠, 吳群琪. 2013.基于成員企業偏好的供應鏈風險評估模型[J]. 科技管理研究(2): 195-199.
蔣有凌, 楊家其, 尹靚,等. 2008. 基于ANN 的供應鏈風險綜合評估模型與應用[J]. 武漢理工大學學報(1): 70-73.
李莉. 2008.基于模糊熵的集群式供應鏈風險評估模型[J]. 科技管理研究(6): 485-487.
劉嘉, 吳志軍, 郁鼎文,等. 2005.基于供應鏈風險管理的供應商評價體系研究[J]. 制造技術與機床(5): 99-102.
劉冬林, 王春香. 2006.供應鏈多風險組合的綜合評估及風險管理[J]. 武漢理工大學學報( 信息與管理工程版) (8): 110-113.
劉永勝, 白曉娟. 2006.供應鏈風險預警指標體系研究[J]. 物流技術(10): 55-57.
舒良友, 方芳. 2007. 基于供應鏈的制造商合作伙伴風險評估研究[J]. 鐵道運輸與經濟(1): 45-48.
晚春東, 齊二石, 索君莉. 2008. 供應鏈系統運行整體風險評估指標體系[J]. 工業工程(5): 97-100.
王文婕. 2011.基于OWA算子的供應鏈風險評估方法[J]. 物流技術(4):110-113.
HALLIKAS J, KARVONEN I, PULKKINEN U, et al .2004. Risk process in supplier networks[J]. International Journal of Production Economics, 90(1): 47-58.
HARLAND C, BRENCHLEY R, WALKER H. 2003. Risk in supply networks[J]. Journal of Purchasing and Supply Management, 9(2): 51-62.
KLEINDORFER P R, SAAD H. 2005.Managing disruption risks in supply chains[J]. Production and Operations Management,14(1): 53-68.
PRATER E, BIEHL M, SMITH M A. 2001.International supply chain agility - tradeoffs between flexibility and uncertainty[J]. International Journal of Operations and Production Management,21(5/6): 823-839.
SCHOENHERR T, RAO TUMMALA V M, HARRISON T P. 2008.Assessing supply chain risks with the analytic hierarchy process: providing decision support for the offshoring decision by a US manufacturing company[J]. Journal of Purchasing and Supply Management,14(2): 100-111.
WU T, BLACKHURST J, CHIDAMBARAM V. 2006.A model for inbound supply risk analysis[J]. Computers in Industry,57(4): 350-365.
隨著油田信息化高速發展,大批業務系統集中部署在數據中心,信息資產呈現高度集中趨勢,給企業信息安全保障工作提出了新的要求。信息安全態勢日益嚴峻,黑客攻擊手段不斷翻新,利用“火焰”病毒、“紅色十月”病毒等實施的高級可持續攻擊活動頻現,對國家和企業的數據安全造成嚴重威脅。因此,及時掌握信息系統保護狀況,持續完善系統安全防護體系,對于保證信息資產的安全性和油田業務系統的連續性具有重要的現實意義。在信息安全領域中,安全評估是及時掌握信息系統安全狀況的有效手段。而其中的信息安全風險評估是是一種通用方法,是風險管理和控制的核心組成部分,是建立信息系統安全體系的基礎和前提,也是信息系統等級測評的有效補充和完善。因此,研究建立具有油田公司特色的信息安全風險評估模型和方法,可以為企業科學高效地開展信息安全風險評估工作提供方法指導與技術保障,從而提高油田勘探開發、油氣生產和經營管理等數據資產的安全性,為油田公司信息業務支撐平臺的正常平穩運行保駕護航。
1風險評估研究現狀
從當前的研究現狀來看,安全風險評估領域的相關研究成果主要集中在標準制定上。不同的安全評估標準包含不同的評估方法。迄今為止,業界比較認可的風險評估相關標準主要有國際標準ISO/IECTR13335IT安全管理、美國NIST標準SP800-30IT系統風險管理指南(2012年做了最新修訂)、澳大利亞-新西蘭標準風險管理AS/NZS4360等。我國也根據國際上這些標準制定了我國的風險評估標準GB/T20984-2007信息安全技術風險評估規范以及GB/Z24364-2009信息安全技術信息安全風險管理指南。
1.1IT安全管理ISO/IECTR13335
IT安全管理ISO/IECTR13335系列標準是最早的清晰描述安全風險評估理論及方法的國際標準,其主要目的是給出如何有效地實施IT安全管理的建議和指導,是當前安全風險評估與風險管理方面最權威的標準之一。ISO/IECTR13335(以下簡稱為IS013335)包括了五個部分:第一部分IT安全概念和模型(1996)主要描述了IT安全管理所用的基本概念和模型。IS013335介紹了IT安全管理中的安全要素,重點描述了:資產、威脅、脆弱性、影響、風險、防護措施、殘留風險等與安全風險評估相關的要素。它強調風險分析和風險管理是IT安全管理過程的一部分,也是必不可少的一個關鍵過程。圖1表示資產怎樣潛在經受若干威脅。[2]如圖1所示,某些安全防護措施在降低與多種威脅和/或多種脆弱性有關的風險方面可以是有效的。有時,需要幾種安全防護措施使殘留風險降低到可接受的級別。某些情況中,當認為風險是可接受時,即使存在威脅也不實施安全防護措施。在其他一些情況下,要是沒有已知的威脅利用脆弱性,可以存在這種脆弱性。圖2表示與風險管理有關的安全要素之間的關系。為清晰起見,僅表示了主要的關系。任何二個方塊之間箭頭上的標記描述了這些方塊之間的關系。第二部分管理和規劃IT安全(1997)主要提出了與IT安全管理和規劃有關的各種活動,以及組織中有關的角色和職責。[2]第三部分IT安全管理技術(1998)本部分介紹并推薦用于成功實施IT安全管理的技術,重點介紹了風險分析的四種方法:基線方法、非正式方法、詳細風險分析和綜合方法。[2]第四部分安全防護措施的選擇(2000)為在考慮商業需求和安全要素的情況下選擇安全防護措施的指南。它描述了根據安全風險和要素及部門的典型環境,選擇安全防護措施的過程,并表明如何獲得合適的保護,如何能被最基礎的安全應用支持。[2]第五部分網絡的安全防護措施(2001)為關于網絡和通信方面的IT安全管理指南,這一指南提供了根據建立網絡安全需求來考慮的通信相關因素的識別和分析。[2]
1.2風險評估實施指南
SP800-30SP800-30(風險評估實施指南,2012年9月)是由NIST制定的與風險評估相關的標準之一,它對安全風險評估的流程及方法進行了詳細的描述,提供了一套與三層風險管理框架結合的風險評估辦法,用于幫助企業更好地評價、管理與IT相關的業務面臨的風險。它包括對IT系統中風險評估模型的定義和實踐指南,提供用于選擇合適安全控制措施的信息。SP800-30:2012中的風險要素包括威脅、脆弱性、影響、可能性和先決條件。(1)威脅分析威脅源從利用脆弱性的動機和方法、意外利用脆弱性的位置和方法等方面進行分析。(2)脆弱性和先決條件考慮脆弱性時應注意脆弱性不僅僅存在于信息系統中,也可能存在于組織管理架構,可能存在于外部關系、任務/業務過程、企業/信息安全體系架構中。在分析影響或后果時,應描述威脅場景,即威脅源引起安全事件導致或帶來的損害。先決條件是組織、任務/業務過程、企業體系架構、信息系統或運行環境內存在的狀況,威脅事件一旦發起,這種狀況會影響威脅事件導致負面影響的可能性。(3)可能性風險可能性是威脅事件發起可能性評價與威脅事件導致負面影響可能性評價的組合。(4)影響分析應明確定義如何建立優先級和價值,指導識別高價值資產和給單位利益相關者帶來的潛在負面影響。(5)風險模型標準給出了風險評估各要素之間的關系的通用模型。[3]
1.3風險評估規范
GB/T20984-2007GB/T20984-2007是我國的第一個重要的風險評估標準。該標準定義了風險評估要素關系模型,并給出了風險分析過程,具體如圖3所示:風險分析中涉及資產、威脅、脆弱性三個基本要素。首先識別出威脅、脆弱性和資產,然后根據威脅出現的頻率和脆弱性的嚴重程度分析得到安全事件發生的可能性,再根據脆弱性嚴重程度和資產價值分析得到安全事件造成的損失,最后根據安全事件發生的可能性及造成的損失分析確定風險值。
2信息安全風險評估模型構建
結合某油田企業實際情況,在參考上述標準及風險分析方法風險分析的主要內容為:a)識別資產并對資產的價值進行賦值;b)識別威脅,并根據威脅出現的頻率給威脅賦值;c)識別脆弱性,并將具體資產的脆弱性賦為2個值,一個是脆弱性嚴重程度,一個是脆弱性暴露程度;d)分析脆弱性被威脅利用可能導致的安全事件;e)分析確定出安全事件發生后帶來的影響不能被單位所接受的那些安全事件;可以接受的安全事件對應的風險等級確定為低;f)針對不可接受安全事件,分析相應的威脅和脆弱性,并根據威脅以及脆弱性暴露程度,以及相關安全預防措施的效果計算安全事件發生的可能性;g)針對不可接受安全事件,根據相應脆弱性嚴重程度及資產的價值,以及相應預防措施的有效性計算安全事件造成的損失:的基礎上,總結形成油田企業風險要素關系模型如圖4所示,風險計算模型如圖5所示:h)根據不可接受安全事件發生的可能性以及安全事件發生后的損失,計算安全事件發生會對企業造成的影響,即風險值,并確定風險等級。
3模型創新點及優勢分析
信息安全風險評估方式和方法很多,如何建立適合油田企業當前安全需求的風險評估模型、評估要素賦值方法以及風險計算方法是本文要解決的技術難點和創新點。1)對于資產的賦值,從資產所支撐的業務出發,結合信息系統安全保護等級及其構成情況,提出了根據業務數據重要性等級和業務服務重要性等級確定資產的重要性,使得風險評估與業務及等級保護結合更加緊密。2)對于脆弱性賦值,將脆弱性細分為暴露程度及嚴重程度兩個權重。其中暴露程度與威脅賦值確定安全事件發生可能性,嚴重程度與資產價值確定安全事件造成的影響。3)將現有安全措施進一步細化,分解為預防措施和恢復措施,并研究得到預防措施有效性會影響到安全事件發生可能性,而恢復措施有效性會影響到安全事件造成的損失。4)結合被評估單位的實際業務需求,提出了僅針對被評估單位的不可接受安全事件進行數值計算,減少了計算工作量,有助于提升風險評估工作效率。5)根據油田企業實際需求,將安全事件發生可能性和安全事件造成的損失賦予不同的權重,從而使得風險計算結果中安全事件損失所占比重更大,更重視后果;并通過實例驗證等方式歸納總結出二者權重比例分配。
險評估模型應用分析
4.1資產識別
資產識別主要通過現場訪談的方式了解風險評估范圍涉及到的數據、軟件、硬件、服務、人員和其他六類資產相關的業務處理的數據及提供的服務和支撐業務處理的硬件設備和軟件情況。4.1.1資產重要性分析資產重要性分析以信息系統的業務為出發點,通過對業務處理的數據以及提供的服務重要性賦值的方法確定信息系統資產價值。業務處理的數據以及業務提供的服務的重要性分析及賦值方法具體如下。4.1.1.1業務數據重要性分析業務數據資產的重要性主要根據業務數據的安全屬性(即三性:保密性、完整性和可用性)被破壞對本單位造成的損失程度確定。油田企業各業務系統所處理的數據信息根據數據安全屬性被破壞后可能對油田企業造成的損失嚴重程度進行賦值。一般賦值為1—5。4.1.1.2業務服務重要性分析服務資產的重要性根據其完整性和可用性被破壞對本單位造成的損失程度確定。通過與相關人員進行訪談,調查了解每種業務提供的服務和支撐業務處理的硬件設備和軟件情況,根據服務安全屬性被破壞后可能對油田企業造成損失的嚴重程度,為各種業務服務重要性賦值。一般賦值為1—5。4.1.2資產賦值通過分析可以看出,六類資產中數據資產和業務服務資產的重要性是決定其他資產重要性的關鍵要素,因此,六類資產的賦值原則如下:1)數據資產重要性根據業務數據重要性賦值結果確定。2)服務資產重要性根據業務服務重要性賦值結果確定。3)軟件和硬件資產的重要性由其所處理的各類數據或所支撐的各種業務服務的重要性賦值結果中的較高者決定。4)人員的重要性根據其在信息系統中所承擔角色的可信度、能力等被破壞對本單位造成的損失程度確定。5)其他資產重要性根據其對油田企業的影響程度確定。
4.2威脅識別
4.2.1威脅分類對威脅進行分類的方式有多種,針對環境因素和人為因素兩類威脅來源,可以根據其表現形式將威脅進行分類[4]。本論文采用GB/Z24364-2009信息安全技術信息安全風險管理指南中基于表現形式的威脅分類方法。4.2.2威脅賦值根據威脅出現的頻率確定威脅賦值,威脅賦值一般為1~5。對威脅出現頻率的判斷根據風險評估常規做法獲得,比如安全事件報告、IDS、IPS報告以及其他機構的威脅頻率報告等。
4.3脆弱性識別
4.2.1脆弱性分類脆弱性識別所采用的方法主要有:問卷調查、配置核查、文檔查閱、漏洞掃描、滲透性測試等。油田企業脆弱性識別依據包括:GB/T22239信息安全技術信息系統安全等級保護基本要求的三級要求以及石油行業相關要求。4.2.2脆弱性賦值原則脆弱性賦值時分為脆弱性暴露程度和脆弱性嚴重程度。暴露程度根據其被利用的技術實現難易程度、流行程度進行賦值。對脆弱性的暴露程度給出如下5個等級的賦值原則:脆弱性的嚴重程度根據脆弱性被利用可能對資產造成的損害程度進行賦值。脆弱性的嚴重程度分為5個等級,賦值為1~5。
4.4現有安全措施識別
4.4.1現有安全措施識別方法信息系統環境中的現有安全措施根據其所起的安全作用分為預防措施和恢復措施。預防措施用于預防安全事件的發生(例如入侵檢測、網絡訪問控制、網絡防病毒等),可以降低安全事件發生的概率。因此針對每一個安全事件,分析現有預防措施是否能夠降低事件發生的概率,其降低發生概率的效果有多大。恢復措施可以在安全事件發生之后幫助盡快恢復系統正常運行,可能降低安全事件的損失(例如應急計劃、設備冗余、數據備份等),因此針對每一個安全事件,分析現有恢復措施是否能夠降低事件損失,其降低事件損失的效果有多大。4.4.2現有安全預防措施有效性賦值原則通過識別信息系統現有安全措施及其有效性驗證,針對每一個安全事件,分析現有預防措施中可能降低事件發生概率的情況,并對預防措施的有效性分別給出賦值結果。評估者通過分析安全預防措施的效果,對預防措施賦予有效性因子,有效性因子可以賦值為0.1~1。4.4.3現有安全恢復措施有效性賦值原則通過識別信息系統現有安全措施及其有效性驗證,針對每一個安全事件,分析現有恢復性安全措施中可能降低事件損失的情況。評估者通過分析安全恢復措施的有效性作用,對安全恢復措施賦予有效性因子,有效性因子可以賦值為0.1~1。
4.5安全事件分析
4.5.1安全事件關聯綜合識別出的脆弱性及現有安全措施識別出的缺陷,結合油田企業信息系統面臨的各種威脅,將各資產的脆弱性與威脅相對應形成安全事件。分析這些安全事件一旦發生會對國家、單位、部門及評估對象自身造成的影響,分析發生這些安全事件可能造成影響的嚴重程度,從中找出部門(或單位)對發生安全事件造成影響無法容忍的那些安全事件,即確定不可接受安全事件。4.5.2安全事件發生可能性分析(1)計算威脅利用脆弱性的可能性針對4.5.1中分析得出的不可接受安全事件,綜合威脅賦值結果及脆弱性的暴露程度賦值結果,計算威脅利用脆弱性導致不可接受安全事件的可能性,采用乘積形式表明其關系,即安全事件發生的可能性的初始結果計算公式如下:L1(T,V)1=T×V1其中,L1(T,V1)代表不可接受事件發生的可能性的初始結果;T代表威脅賦值結果;V1代表脆弱性的暴露程度賦值結果。(2)分析現有預防措施的效果通過對企業信息系統的現有安全措施的識別和有效性驗證,針對4.5.1分析得到的不可接受安全事件,分析描述現有預防措施中可能降低事件發生概率的情況,并給出有效性因子賦值結果。(3)計算安全事件發生的可能性考慮到現有安全措施可能降低安全事件發生的可能性,因此安全事件發生的可能性的最終計算公式為:L2(T,V)1=L1(T,V1)×P1其中,L2(T,V1)為最終安全事件發生的可能性結果;L1(T,V1)為安全事件發生的可能性初始結果;P1代表安全預防措施有效性賦值結果。然后,形成調節后的安全事件可能性列表。4.5.3安全事件影響分析(1)計算脆弱性導致資產的損失將各資產的脆弱性(管理類脆弱性除外,管理類脆弱性采用定性方式進行主觀分析)與威脅相對應形成安全事件(4.5.1不可接受安全事件列表),根據資產的重要性及脆弱性的嚴重程度,計算脆弱性可能導致資產的損失,即:F1(A,V2)=A×V2其中,F1(A,V2)代表安全事件可能導致資產的損失的初始計算結果;A代表資產價值,即資產賦值結果;V2代表脆弱性嚴重程度,即脆弱性嚴重程度賦值結果。(2)分析現有安全恢復措施的有效性通過對油田企業信息系統的現有安全措施的識別和有效性驗證,針對4.5.1分析得到的不可接受安全事件,分析描述現有恢復措施中可能降低事件發生的概率的情況,并根據表9的賦值原則分別給出安全恢復措施的有效性賦值結果。(3)計算安全事件的損失考慮到恢復措施可能降低安全事件帶來的損失,因此安全事件損失可以根據安全恢復措施的有效性予以調整。采用乘積形式表明關系,即:F2(A,V2)=F1(A,V2)×P2其中,F2(A,V2)為安全事件可能造成的損失的最終計算結果;F1(A,V2)為安全事件可能造成損失的初始計算結果;P2代表安全恢復措施有效性賦值結果。然后,形成調節后的安全事件損失計算結果列表。
4.6綜合風險計算及分析
4.6.1計算風險值結合油田企業關注低可能性重性的安全事件的需求,參照美國關鍵信息基礎設施風險評估計算方法,采用安全事件發生的可能性以及安全事件可能帶來的損失的加權之和方式計算風險值。這種方法更加重視安全事件帶來的損失,使得損失在對風險值的貢獻中權重更大。在使用油田企業以往測評結果試用的基礎上,將安全事件可能帶來的損失的權重定為80%。具體計算公式為:R(L2,F)2=L2(T,V)1×20%+F2(A,V)2×80%其中,R(L2,F2)代表風險值,L2(T,V1)為安全事件發生可能性的最終結果,F2(A,V2)為安全事件可能造成的損失的最終計算結果。4.6.2風險結果判斷計算出風險值后,應對風險值進行分級處理,將風險級別劃分為五級。4.6.3綜合分析根據風險計算結果,從多個不同方面綜合匯總分析被評估信息系統存在的安全風險情況。例如可從以下幾方面匯總分析:1)風險較高的資產統計:匯總存在多個脆弱性可能導致多個中等以上風險等級安全事件發生的資產,從資產角度綜合分析被評估信息系統存在的安全風險情況;2)引起較高風險的脆弱性統計:匯總會給被評估信息系統帶來中等以上安全風險的脆弱性及其影響的資產及嚴重程度,分析可能帶來的危害后果;3)出現頻率較高的脆弱性統計:匯總中等以上脆弱性在資產中的出現頻率,從而反映脆弱性在被評估系統中的普遍程度,出現頻率越高,整改獲取的收益越好。4)按層面劃分的風險點分布情況匯總:匯總網絡、主機、應用、數據、物理、管理等各層面存在的脆弱性及其嚴重程度,對比分析風險在不同層面的分布情況。
5結語
