前言：我們精心挑選了數(shù)篇優(yōu)質(zhì)風險的分級管控文章，供您閱讀參考。期待這些文章能為您帶來啟發(fā)，助您在寫作的道路上更上一層樓。

第1篇

以某大型全球制造企業(yè)西安分公司（文中簡稱A公司）為研究背景進行分析，A公司是一家集銷售、生產(chǎn)、研發(fā)、計劃、售后于一體的大型制造公司。A公司實施SAP R/3系統(tǒng)之初，為了便于系統(tǒng)功能測試和加快項目進度，大多復制其他公司的角色，給用戶分配了不合理的權限。而系統(tǒng)上線后，為了數(shù)據(jù)的安全性及操作的安全性，企業(yè)應制定周密規(guī)范的權限管理方案。本文從日常運維中權限控制的角度出發(fā)，詳細的闡述了SAP權限控制的原理及規(guī)范化管理的步驟，幫助企業(yè)進行風險控制，保證企業(yè)信息安全。

關鍵詞：

SAP權限控制;角色;數(shù)據(jù)安全;風險控制

中圖分類號：

F2

文獻標識碼：A

文章編號：16723198（2014）23001102

1 引言

SAP/R3是全球領先的ERP軟件，該軟件本身就有一套完善的系統(tǒng)權限管理方法，對企業(yè)組織機構變化、人員變化引起的權限變化具有很好的適應性。本文通過對事物代碼，授權對象，角色，崗位的設置進行分析，分析了從企業(yè)實施到后期維護過程中可能出現(xiàn)的風險控制問題，并提出詳細而周密的解決方案。

2 SAP R/3的基本概念

2.1 SAP R/3系統(tǒng)基礎架構

SAP R/3從系統(tǒng)集成方面包括生產(chǎn)系統(tǒng)（PRP），練習系統(tǒng)（YRP）、質(zhì)量保證系統(tǒng)（QRP）、開發(fā)系統(tǒng)（DRP）。SAP R/3從功能模塊劃分，可分為SD、PP、MM、FI、CO等多種模塊以及多種系統(tǒng)創(chuàng)建了一個二維系統(tǒng)架構，如圖1所示。

圖1 二維組織架構

2.2 基本概念解析

（1）角色（ROLE）。

角色通常可分為單一角色（Single Role）和復合角色（Composite Role）。單一角色（Single role）是指事物代碼的集合，也包括事務代碼所要求的權限對象、權限字段、字段的值等，它們共同決定了具有該角色的用戶訪問數(shù)據(jù)的范圍。

復合角色（Composite role）是指單一角色的集合。以用戶每個具體操作為權限的基本單位設置單一角色。由單一角色組合的復合角色多為用戶的崗位權限

（2）授權對象（Authorization Object）。

在ROLE和TCODE之間，還有一個中間概念“授權對象”，它能夠定義角色中包含的事務代碼的相關控制值，包括禁止和允許某種操作。

（3）事務代碼（TCODE）。

事務代碼也叫TCODE（Transaction Code），是在SAP中進行某種操作的命令。例如我們可以使用XD01創(chuàng)建客戶。事務代碼是由ABAP語言編寫的程序來具體實現(xiàn)。

（4）用戶、角色、授權對象、事務代碼之間的關系。

一個用戶可能有多個復合角色，復合角色由單一角色構成。單一角色包含了若干權限對象，權限對象包含了若干權限字段、允許的操作和允許的值。它們之間的關系如圖2所示。

圖2 復合角色與單一角色構成關系

下邊我們可通過一個例子來詳細說明。

圖3 示例圖

如圖3所示，在Single role：ZSP_CN60_MM_SUBCON下有很多權限對象，如M_MSEG_WWA。權限對象包括Activity和約束條件。Activity允許的值（Field Value）存放的就是允許操作的代碼，01代表創(chuàng)建、02代表修改、03代表顯示等;約束條件主要包括工廠、銷售組織、利潤中心等。

其中有個特殊的授權對象S_TCODE，該權限對象的權限字段叫“TCD”，該字段允許的值（Field Value）存放的就是事務代碼。

3 A公司的SAP權限管理現(xiàn)狀

3.1 A公司SAP權限管理的實現(xiàn)方法

A公司的SAP權限管理是基于角色管理，關鍵用戶收集最終用戶的需求，提出權限申請。權限開發(fā)員可通過自定義、復制或繼承的方式基于根角色來創(chuàng)建派生角色，派生角色的權限會與根角色中事務代碼相同，但操控數(shù)據(jù)范圍值小于根角色。系統(tǒng)管理員新建賬號，系統(tǒng)默認新賬號的權限是空白的。總部權限管理員通過復合角色將不同的權限授予不同的用戶。當給用戶加某項權限時，權限管理員會會用戶主記錄中的授權信息進行權限檢查，主要是對互斥權限（CCA）和重要權限（CUA）檢查。若檢查通過了，權限管理員就會給用戶加上相關權限，否則，就終止事務處理。其中權限開發(fā)員、權限管理員和系統(tǒng)管理員都由德國總部人員負責。權限管理的基本流程如圖4所示。

圖4 權限管理的基本流程圖

3.2 A公司SAP權限管理存在的風險

自2012年實施SAP以來，公司的經(jīng)營管理有了明顯改善，然而由于上線之初對權限設計不合理及內(nèi)部顧問人員變動、工作交接不全面等原因，導致A公司權限設計不規(guī)范，產(chǎn)生以下兩個方面的風險：

（1）人員角度的權限風險。

首先A公司的顧問及權限管理開發(fā)人員都由德國及印度的同事負責，由于時差及語言交流問題，造成效率低下及理解偏差的風險。其次A公司的關鍵用戶參與了SAP系統(tǒng)上線、崗位角色設計的全過程，但由于崗位調(diào)整及人員流失，工作交接不徹底，導致新的關鍵用戶對權限的認識不夠，盲目的申請增加新的角色。最后A公司的系統(tǒng)后期運維工作由IT部人員兼任，由于IT部門人員不足，且對公司業(yè)務不熟悉，無法制定合理的權限審計方案，造成最終用戶操作的合理性的監(jiān)督缺失的風險。

（2）從角色設計角度的權限風險。

角色設計不合理，導致用戶權限過大。可從以下兩個方面來體現(xiàn)：

一是A公司只允許給用戶授予復合角色。這樣做的好處是操作方便，便于后期權限的控制，同時，也造成了一些問題。首先是復合角色的權限過大，例如計劃部門維護看板的崗位，既有“顯示看板又有修改看板”的權限，當用戶跨部門或跨公司來申請的“顯示看板”的權限時，由于復合角色的設計是基于崗位的，往往找不到合適的角色給用戶，這時只能選擇開發(fā)新的權限或者給用戶“修改看板”的權限，后期需要頻繁的新增復合角色或者給用戶過大的權限。

二對機密信息的權限沒有限制。例如成本價格，沒有對各個部門的T-code MM03的object加以限定，導致很多部門都能看到成本價格等機密信息。

4 授權風險控制的解決辦法

4.1 進行合理的人員配置，建立健全的權限監(jiān)督機制

（1）制定合理的人員管理政策。

首先集團總部應減少集權，實行人員本地化管理，減少因語言文化差異而引起的權限操作錯誤的風險。其次企業(yè)領導應重視關鍵用戶，建立合理的獎勵措施，減少人員流失，一個部門應至少有兩名關鍵用戶，跨部門之間應多組織培訓學習，更廣泛的知識共享，減少因關鍵用戶流失而造成的授權風險。最后為減少IT人員因缺乏業(yè)務知識而造成監(jiān)管不當?shù)娘L險，應由部門關鍵用戶及IT人員共同制定一套合理申請及監(jiān)督方案，明確哪些為核心權限，加強對核心權限的控制。

（2）建立以核心權限控制為重點的監(jiān)督機制。

①不相容權限控制（CCA Control）。

基于權責分離的原則，應禁止存在CCA，對于會引起CCA的授權，應該將此工作分給兩個人去完成。如VA01（創(chuàng)建銷售訂單）及FB01（憑證過賬），ME21N（創(chuàng)建采購訂單）及MIGO（收貨）等。

②重要權限控制（CUA Control）。

除了規(guī)避不相容權限失控產(chǎn)生的風險之外，應對系統(tǒng)中一些重要的權限加以嚴格控制，建議每半年做一次最終用戶對核心權限的操作記錄抽查。重要權限主要包括：客戶主數(shù)據(jù)維護權限，價格主數(shù)據(jù)維護權限，創(chuàng)建采購訂單權限，貨物移動權限，系統(tǒng)管理權限，開發(fā)權限，超級用戶權限。

4.2 設計精細化的角色配置方案

①測試優(yōu)先原則。

除非特殊情況，權限設定不允許在正式環(huán)境直接更改。一般都是在測試環(huán)境修改、測試成功后，再傳到正式環(huán)境。

②根據(jù)業(yè)務合理設計角色。

角色的設計應秉承最小授權原則，嚴格限制訪問機密信息的事務代碼。角色設計應基于公司業(yè)務，由各部門領導監(jiān)管本部門角色使用。另外，角色的除了考慮本部門特定崗位外，還應為部門外操作人員的設計權限較低角色，避免以后角色的大量開發(fā)或授權過大。

5 結束語

SAP R/3系統(tǒng)的權限配置及日常運維中的權限控制，在企業(yè)信息安全及風險控制中，占有十分重要的位置，也是每年內(nèi)控重點審計的內(nèi)容之一。一旦權限管理不當，很可能使公司承受巨大損失，因此分析權限控制的原理及設計日常運維中的風險控制的解決方案有著重大意義。

參考文獻

第2篇

【關鍵詞】 內(nèi)部控制；博弈分析；評價方法

一、內(nèi)部控制與風險管理的融合

1992年，美國COSO委員會(Committee of Sponsoring Organizations of The Treadway Commission)提出報告《內(nèi)部控制―整體框架》，1994年對其進行了增補。該框架認為：為了實現(xiàn)內(nèi)部控制的有效性，需要下列五個方面的要素支持：控制環(huán)境(Control environment)、風險評估(Risk assessment)、控制活動(Control activities)、信息與交流(Information and Communication)和監(jiān)測(Monitoring)。自COSO報告以來，內(nèi)部控制框架被世界上許多企業(yè)采用，在此基礎上，理論界和實務界紛紛對內(nèi)部控制提出一些改進建議，強調(diào)內(nèi)部控制框架的建立應與企業(yè)的風險管理相結合。2004年4月COSO委員會頒布了《企業(yè)風險管理整體框架》，對內(nèi)部控制框架進行擴展，繼承并包含了《內(nèi)部控制一整體框架》的主體內(nèi)容，旨在為各國的企業(yè)風險管理提供一個統(tǒng)一術語與概念體系的全面的應用指南。

為了加強和規(guī)范企業(yè)內(nèi)部控制，提高企業(yè)經(jīng)營管理水平和風險防范能力，促進企業(yè)可持續(xù)發(fā)展，我國于2007年3月，由財政部牽頭、六部委共同組成的企業(yè)內(nèi)部控制標準委員會研究制定的企業(yè)內(nèi)部控制規(guī)范征求意見稿問世，在業(yè)界引起了強烈的反響，學者們關注目光主要集中在內(nèi)部控制規(guī)范與體系、全面風險管理，以及內(nèi)部控制與風險管理的融合問題上。2008年5月，《企業(yè)內(nèi)部控制基本規(guī)范》正式印發(fā)，將于2009年7月1日起在上市公司范圍內(nèi)施行，并鼓勵非上市的大中型企業(yè)執(zhí)行。COSO報告對我國內(nèi)部控制體系構建具有重要的指示作用，對其借鑒主要體現(xiàn)在：在形式上借鑒了COSO報告5要素框架，在內(nèi)容上體現(xiàn)了風險管理8要素框架的實質(zhì)。

在內(nèi)部控制與風險管理關系問題上，我國大部分學者認為，風險管理是內(nèi)部控制的有機組成部分，加強內(nèi)部控制是防范企業(yè)風險的有效途徑。有學者進一步指出，內(nèi)部控制旨在風險管理，它對風險管理起著重要作用，COSO企業(yè)風險管理的關鍵點就是管理層應采用以風險管理為基礎的內(nèi)部控制，并進行內(nèi)部控制有效評價。

不少學者主張將內(nèi)部控制與風險管理有機融合在一起。其中，有學者認為，企業(yè)風險管理與內(nèi)部控制是一個程序，它不是靜態(tài)的，而是處于不斷的調(diào)整和變化之中，以適應組織環(huán)境的變化。內(nèi)部控制只有與風險管理相融合，才能實現(xiàn)最佳效果。從制度經(jīng)濟學角度看，內(nèi)部控制作為一種內(nèi)部制度安排，具有特定的功能，主要表現(xiàn)在降低企業(yè)內(nèi)部的交易成本、補充企業(yè)不完備契約。對于內(nèi)部控制的核心問題，即什么是促進和推動內(nèi)部控制發(fā)展的本質(zhì)屬性和最終動力，筆者認為，降低企業(yè)的經(jīng)營風險是內(nèi)部控制發(fā)展和推進的本質(zhì)。

二、基于風險管理的內(nèi)部控制博弈分析

企業(yè)是一系列（不完全）契約（合同）的有機組合，是人們之間交易產(chǎn)權的一種方式。由于現(xiàn)實世界的復雜性、經(jīng)濟人的有限理性和機會主義的影響，這組契約通常又是不完備的，使人們之間交易產(chǎn)權存在較大風險，風險管理內(nèi)部控制就是為了在取得低交易成本收益的同時彌補企業(yè)契約的不完備性、降低風險而建立在企業(yè)內(nèi)部的一個風險監(jiān)管機制。

（一）參與者

博弈雙方為相對于離企業(yè)“較近”的企業(yè)的經(jīng)營者（主要是董事會和經(jīng)理層）；另一方是相對于離企業(yè)“較遠”的要素投入主體（主要是股東和債權人）在這兩方的博弈中，雙方均為理性人，也就是說在做出決策時考慮自己的收益和成本，期望自己的收益最大化。

（二）基本假設

假設1：經(jīng)營者的策略（尋租，不尋租）。尋租，經(jīng)營者在內(nèi)部控制風險監(jiān)管機制不能有效實施時攫取額外租金；不尋租，在內(nèi)部控制風險監(jiān)管機制有效實施時正常的尋利行為。

假設2：要素投入主體（實施內(nèi)部控制風險監(jiān)管，不實施內(nèi)部控制風險監(jiān)管）。實施的內(nèi)部控制風險監(jiān)管，要素投入主體投入人力物力實施內(nèi)部控制風險監(jiān)管機制使其起作用；不實施內(nèi)部控制風險監(jiān)管，要素投入主體沒有投入人力物力導致內(nèi)部控制風險監(jiān)管機制不起作用。

假設3：企業(yè)總體經(jīng)濟利益為I，經(jīng)營者正常經(jīng)營所獲得的經(jīng)濟利益為A，要素主體實施內(nèi)部控制風險監(jiān)管機制所投入的成本為B（并假設，只要投入內(nèi)部控制風險監(jiān)管機制，就能控制尋租行為的發(fā)生），要素主體沒有投入內(nèi)部控制風險監(jiān)管機制所發(fā)生的損失為C，而經(jīng)營者為自己謀取的尋租利益為D，實施內(nèi)部控制風險監(jiān)管機制發(fā)現(xiàn)尋租行為對經(jīng)營者的懲罰為E（并假設，只要實施內(nèi)部控制風險監(jiān)管機制經(jīng)營者的尋租行為就一定能被發(fā)現(xiàn)）。博弈的收益矩陣如表1所示

（三）博弈分析

假設用P表示經(jīng)營者在內(nèi)部控制風險監(jiān)管不能有效實施時的尋租概率，用θ表示要素投入者實施內(nèi)部控制風險監(jiān)管的概率。當經(jīng)營者正常尋利行為的概率為1-P，經(jīng)營者在內(nèi)部控制風險監(jiān)管不能有效實施時的非常尋租行為的概率為P時,要素投入主體選擇投入人力物力致使內(nèi)部控制風險監(jiān)管有效實施(θ=1)和選擇不投入人力物力致使內(nèi)部控制風險監(jiān)管不能有效實施(θ=0)的期望收益分別為：

E(θ=1)=( I-A-B-C+E)×P+(I-A-B)×（1-P）

= EP-CP+I-A-B ①

E(θ=0)=(I-A-C)×P+(I-A)×（1-P）

=I-A-CP②

當E(θ=1)=E(θ=0)時，P=B/E③

當要素投入主體選擇投入要致使內(nèi)部控制風險監(jiān)管有效實施的概率為θ，經(jīng)營者在內(nèi)部控制有效實施時選擇正常尋利行為(P=1)和在內(nèi)部控制風險監(jiān)管不能有效實施時選擇非常尋租行為(P=0)的期望收益分別為:

E(P=1)=(A+D-E)×θ+(A+D)×(1-θ)=A+D-Eθ ④

E(P=0)=A×θ+A(1-θ)=A⑤

當E(P=1)=E(P=0)時，θ=D/E⑥

由③可知，當經(jīng)營者在內(nèi)部控制風險監(jiān)管不能有效實施時的尋租概率等于B/E時，要素投入主體選擇投入要素致使內(nèi)部控制風險監(jiān)管有效實施所獲得的期望經(jīng)濟利益等于選擇不投入要素致使內(nèi)部控制風險監(jiān)管不能有效實施所能獲得的期望經(jīng)濟利益。當經(jīng)營者在內(nèi)部控制風險監(jiān)管不能有效實施時的非常尋租行為的概率小于B/E時，則要素投入主體選擇投入人力物力致使內(nèi)部控制風險監(jiān)管有效實施的期望收益就會小于選擇不投入人力物力致使其不能有效實施的期望收益,因此,要素投入主體最優(yōu)選擇就是不投入要素從而致使內(nèi)部控制風險監(jiān)管不能有效實施；同樣，當經(jīng)營者在內(nèi)部控制風險監(jiān)管不能有效實施時的尋租概率大于B/E時，對應的要素投入主體選擇投入要素致使內(nèi)部控制風險監(jiān)管有效實施的期望收益就會大于選擇不投入要素致使其不能有效實施的期望收益，因此，要素投入主體必定會選擇投入要素使內(nèi)部控制風險監(jiān)管能有效實施。

由⑥可知，要素投入主體選擇監(jiān)督投入要素致使內(nèi)部控制風險監(jiān)管有效實施的概率等于D/E時，經(jīng)營者選擇尋利和尋租所獲得的收益是相等的；當要素投入主體選擇監(jiān)督投入要素致使內(nèi)部控制風險監(jiān)管有效實施的概率小于D/E時，經(jīng)營者選擇尋租的期望收益大于選擇尋利的期望收益，因此，經(jīng)營者將有可能冒險選擇尋租；當要素投入主體選擇監(jiān)督投入要素致使內(nèi)部控制風險監(jiān)管有效實施的概率大于D/E時，經(jīng)營者選擇尋租行為的期望收益小于選擇尋利的期望收益，因此，經(jīng)營者必定會選擇尋利。

將③⑥結合可知，在給定各個博弈方基本假設的前提下，要素投入主體會選擇D/E的概率選擇投入要素有效實施內(nèi)部控制風險監(jiān)管，而經(jīng)營者以B/E的概率選擇尋租。顯然，實施內(nèi)部控制風險監(jiān)管發(fā)現(xiàn)尋租行為對經(jīng)營者的懲罰E與經(jīng)營者選擇尋租的概率成反比，懲罰E越大，經(jīng)營者選擇尋租的可能性越小；并且，實施內(nèi)部控制風險監(jiān)管發(fā)現(xiàn)尋租行為對經(jīng)營者的懲罰E與要素投入主體選擇投入要致使內(nèi)部控制風險監(jiān)管有效實施的概率成反比，懲罰力度越大，要素投入主體就不必要花費更多的要素投入內(nèi)部控制風險監(jiān)管。因此，要素投入者可以通過加大懲罰力度來加強對經(jīng)營者的風險監(jiān)管。

三、基于風險管理內(nèi)部控制機制的評價方法

加大懲罰力度對預防經(jīng)營者的尋租行為有一定的作用，但是，對于企業(yè)控制風險的根本還是要在企業(yè)內(nèi)部建立一套完整的內(nèi)部控制監(jiān)管機制。傳統(tǒng)的內(nèi)部控制的評估方法有調(diào)查表、文字描述、流程圖等，但這些方法的缺點已明顯暴露。近年來以風險為導向的現(xiàn)代內(nèi)部控制評價方法不斷涌現(xiàn)，主要方法有標桿比較法、風險矩陣法、控制自我評估法等。

（一）傳統(tǒng)的內(nèi)部控制機制評價方法

傳統(tǒng)內(nèi)部控制機制評價方法主要描述和分析內(nèi)部控制機制的恰當性和有效性，以及在完成所指派職責時的執(zhí)行效果。其對內(nèi)部控制的測試與評價所遵循的邏輯順序是“控制風險評價控制目的是否實現(xiàn)”，可見，更多的是一種事后的反饋，在確認內(nèi)部控制薄弱環(huán)節(jié)之后，提供信息以幫助管理層增強和完善內(nèi)部控制。這種事后的評價是一種“亡羊補牢”式的滯后的方法，而不是“未雨綢繆”預防式的方法，這些方法無法根據(jù)企業(yè)目標考察風險，也未能根據(jù)風險安排相應的措施以控制風險，因此，已越來越不能適應現(xiàn)代管理的需要。

（二）基于風險管理的現(xiàn)代內(nèi)部控制評價方法

現(xiàn)代內(nèi)部控制的測試與評價遵循的邏輯順序是“目標風險控制”，同時將根據(jù)企業(yè)風險評估調(diào)整審計戰(zhàn)略，確定審計重點，緊密關注高風險的領域，以提供更相關、更符合管理層和董事會需求的確證信息，從而保證要素投入主體的利益。基于此，以下介紹幾種以風險為導向的現(xiàn)代內(nèi)部控制機制評價方法。

1. 標桿比較法

標桿比較法(benchmark)就是將本企業(yè)各項活動與從事該項活動最佳者進行比較，從而提出行動方法，以彌補自身的不足。（美國ALLTEL公司運用了此種辦法進行內(nèi)部控制）它一般分為以下兩個步驟：

首先，企業(yè)需要建立或確認自身所在行業(yè)的最佳實務。

其次，了解企業(yè)風險管理整體框架實際情況并將其與最佳實務進行對比，用定量或定性方式評估差距。

2. 風險控制矩陣

風險控制矩陣(Risk and Control Matrix, RCM) 是審計人員根據(jù)企業(yè)經(jīng)營目標、風險與控制之間的聯(lián)系，為確保審計建議能針對重要的風險而建立的一張工作表，如表2。

風險控制矩陣是差距分析和審計過程中的一個關鍵文檔。RCM為公司相關的風險、需要達到的控制及當前控制狀態(tài)等提供了一個控制范例。

3. 控制自我評價法

內(nèi)部控制自我評價(Control Self-assessment，CSA)是近年來產(chǎn)生的一種新的內(nèi)部控制評價方法，體現(xiàn)了內(nèi)部控制評價的新觀念控制自我評估。控制自我評價法是在1987年由加拿大海灣資源有限公司首先采用的，是一種來檢查和評估內(nèi)部控制有效性的新方法，是由組織成員在內(nèi)部審計機構的推進和協(xié)助下評估組織活動的風險和控制的過程。

CSA強調(diào)內(nèi)部控制系統(tǒng)既不是內(nèi)部審計工作的責任，也不僅僅是高級管理層應關心的問題，相反，應該把它看成是所有雇員共同的責任。控制自我評估體現(xiàn)了應該最先詢問那些參與了風險評估過程以及執(zhí)行了整個控制過程的人，它所包含的不斷改善與現(xiàn)代的全面質(zhì)量管理概念非常匹配，與整體協(xié)作的概念及群體學習的模式也有相通之處，因而在今天的商業(yè)社會中存在著巨大的潛能。

內(nèi)部控制理論的研究與實踐發(fā)展到今天，國家政府對內(nèi)部控制管理的法規(guī)在不斷改進，其指導性意義顯而易見。在實務中，企業(yè)內(nèi)部控制機制的各種評價方法也在不斷改進與更新，力求更大程度地促進企業(yè)發(fā)展，保證要素投入主體的經(jīng)濟利益。內(nèi)部控制的發(fā)展和更新，將更好地強化我國企業(yè)內(nèi)部管理和有效要素投入者的利益，更好地評價經(jīng)營者經(jīng)營的有效性和管理水平。

【參考文獻】

[1] 趙斌. 從內(nèi)部控制到風險管理. 中國電力企業(yè)管理，2008，（1）.

[2] 林榮. 企業(yè)內(nèi)部控制自我評價淺議. 沿海企業(yè)與科技，2007，（12）.

[3] 張淑慧. 基于風險管理的內(nèi)部控制評估方法探討. 重慶工商大學學報，2008，（4）.

[4] 孫斌. 風險導向的企業(yè)內(nèi)部控制評價程序. 現(xiàn)代商業(yè)，2008，（21）.

[5] 郭群，吳惠吟. 風險導向內(nèi)部控制評價模式研究. 廣東商學院學報，2002，（2）.

[6] 陳元芳. 我國近代內(nèi)部控制制度的發(fā)展與演變. 學習月刊， 2008，（6）.

[7] 高巖芳. 企業(yè)風險管理――內(nèi)部控制的戰(zhàn)略性考慮. 管理，2007，（11）.

[8] 何芹. 內(nèi)部控制評價的比較分析. 財會通訊，2005，（11）.

第3篇

關鍵詞:企業(yè)資金管理分析風險控制

前言

資金作為企業(yè)發(fā)展及生存的關鍵，其掌控著企業(yè)的經(jīng)營命脈。企業(yè)內(nèi)部經(jīng)營管理的不到位，將引發(fā)企業(yè)的資金短缺風險、安全風險以及利用率的風險等，進而斷開了企業(yè)的資金鏈，導致企業(yè)的支付能力喪失，從而引發(fā)財務危機。因此，應選擇合理的財務指標，以及建立有效的預警體系，以增強企業(yè)的資金風險管理，保證企業(yè)的正常發(fā)展。

一、企業(yè)資金的風險內(nèi)容

企業(yè)資金的風險內(nèi)容主要包括三個方面，即為資金的安全風險、短缺風險以及使用效率風險等。其中資金的安全風險即為企業(yè)的資金被欺詐、挪用及貪污等。此類風險主要來自于企業(yè)內(nèi)部控制的局限性，比如未及時的實施內(nèi)部牽制原則，或者一個人同時擔任不同的職務等。其次，資金的短缺風險為企業(yè)未能及時籌集充足的資金投入到生產(chǎn)經(jīng)營中，造成企業(yè)錯失了供應商提供的折扣、現(xiàn)金以及低價等，導致企業(yè)的出售項目虧本以及無法及時的清償債務，影響了企業(yè)的信用。最后，企業(yè)的資金使用率風險則為剩余現(xiàn)金取得的收益低于貸款的利率。如某個企業(yè)的現(xiàn)金需用量最低是80萬元，而其每天的現(xiàn)金余額是100萬元，其中的20萬元則為企業(yè)資金多余的部分。若將這多余的部分存入銀行，其利息的收益將遠遠低于銀行貸款，就此出現(xiàn)現(xiàn)金的使用效率風險。因此，當某個企業(yè)出現(xiàn)大量的資金以及高額的銀行借款時，不是本身的行業(yè)特點或者經(jīng)營戰(zhàn)略造成，就是存在資金的使用效率風險。

二、企業(yè)資金風險管理的局限性

(一)企業(yè)的理財水平不高

由于企業(yè)的理財水平不高，因而采取激進的籌資方法。具體表現(xiàn)于：企業(yè)過多利用短期或者臨時性的負債方式進行籌資資金，以滿足企業(yè)長期流動資產(chǎn)的需求。企業(yè)根據(jù)自身的發(fā)展需求以及生存壓力，進行巨大投資，尤其在發(fā)現(xiàn)企業(yè)的資金利潤率高于成本，或是行業(yè)的資金利潤率高于社會平均投資報酬率的時候，易于產(chǎn)生激進或者冒進的投資行為。

(二)企業(yè)的資本結構不合理及重大投資的慘敗

企業(yè)的負債過多、應收賬款的回籠未準時以及因貨幣資金不足而無法清償?shù)狡诘膫鶆盏龋@些均是企業(yè)無法準時籌備資金的因素。由于企業(yè)未能及時籌措資金，其債權人將采取強行拍賣資產(chǎn)的手段以抵償企業(yè)的債務，不僅使企業(yè)的資產(chǎn)縮水，還斷開其資金鏈，影響生產(chǎn)經(jīng)營，甚至導致破產(chǎn)。與此同時，企業(yè)進行生產(chǎn)項目、商貿(mào)活動以及證券市場等重大投資，造成企業(yè)的投資資金嚴重超額，超出了企業(yè)的承受范圍，使企業(yè)的資金短缺，從而影響了企業(yè)的再次投資，導致其破產(chǎn)。

(三)財務信息的失真

企業(yè)財務信息的失真表現(xiàn)于：多數(shù)企業(yè)的財務信息不完整、不透明以及不及時等方面。由于企業(yè)的高層領導未能獲取確切的財務信息，以及未能真實的反映企業(yè)的資金運用情況，造成企業(yè)匯總的財務信息失真，會計核算不準確，以及企業(yè)的財務報表缺乏真實性，甚至有些會計報表掩蓋下級單位的真實經(jīng)營狀況。

(四)資金的使用率低

企業(yè)資金的集中管理與內(nèi)部資金的分散發(fā)生矛盾，并且此矛盾已成為當前企業(yè)資金管理的重要問題。在企業(yè)的分公司中，出現(xiàn)較多的多頭開戶現(xiàn)象，企業(yè)的資金管理失控。企業(yè)未重視投資決策，部分企業(yè)忽略自身的發(fā)展目標及財務，進行盲目投資，使企業(yè)的投資損失慘重，導致企業(yè)資金緊張。企業(yè)資金的過分沉淀、庫存占用率高、負債過多以及流動資金的周轉(zhuǎn)緩慢等,這些現(xiàn)狀均使企業(yè)的信譽與贏利能力降低。

三、加強企業(yè)資金管理的風險控制

(一)完善內(nèi)部資金的控制制度

采取相應措施，以有效完善企業(yè)內(nèi)部的資金管理控制制度。控制內(nèi)容主要有：企業(yè)的授權審批制度、內(nèi)部審計以及不相容職務的分離制度等三個方面。企業(yè)在資金的使用方面，應根據(jù)自身的實際情況進而建立資金的分級審批權限及標準，按照審定的資本性支出以及現(xiàn)金流量的預算進行支出安排，嚴格限制企業(yè)的對外投資權以及對外擔保權，并配置一套完整的科學化的風險預警系統(tǒng)。

(二)加快企業(yè)的應收款項及存貨周轉(zhuǎn)

企業(yè)應及時進行應收款項與存貨的處理，嚴加控制應收款項與存貨的增長速度及規(guī)模，以加快應收款項與存貨的周轉(zhuǎn)，減少流動資金的占用率。努力推進企業(yè)的生產(chǎn)經(jīng)營，加快生產(chǎn)環(huán)節(jié)的流轉(zhuǎn)速度，以減少生產(chǎn)過程的積壓。企業(yè)在做好銷售預測的同時，堅持根據(jù)銷量決定產(chǎn)量的原則，根據(jù)其生產(chǎn)計劃，以確定合理有效的庫存水平。企業(yè)開展創(chuàng)新的營銷模式，不僅能提高預收款的比例，還減少了預付款的金額。另外，企業(yè)建立健全的客戶信用管理體系，加強管理貨款的回收，正確落實催收責任，嚴格控制企業(yè)的資金結算、合同簽訂以及款項催收等，有效加快企業(yè)現(xiàn)金的回流，大大提高了應收賬款的周轉(zhuǎn)速度。

(三)預算管理水平的提高

企業(yè)通過精確的預測編制出高水平的預算，尤其是現(xiàn)金的預算，其不僅能降低企業(yè)的現(xiàn)金儲備量，而且有效掌握企業(yè)多余資金的利用率。另外，企業(yè)通過加強應收賬款的催收工作，有利于資金的快速回籠。企業(yè)根據(jù)產(chǎn)品的質(zhì)量、規(guī)格、品種以及市場占有率等方面的競爭能力，進而確定合理的信用標準，平衡了收入和應收賬款的收賬費用、機會成本以及壞賬成本等關系。

(四)企業(yè)資金的集中管理與統(tǒng)籌利用

進行企業(yè)資金的集中管理以及統(tǒng)籌應用。具體表現(xiàn)在：首先，選擇合理的賬戶進行資金集中。企業(yè)在選擇集中的資金賬戶過程中,應充分考慮企業(yè)本身對此賬戶的使用頻率、收付款項的便捷程度以及相關的銀行服務等因素。其次，構建便捷的資金管理平臺。其中企業(yè)可進行銀企直聯(lián)或者開通網(wǎng)上銀行,以提高企業(yè)資金信息的管理效率與透明度。再次，合理安排企業(yè)所有賬戶的結算,以及協(xié)調(diào)好各融資銀行的關系。根據(jù)各融資銀行的要求進行實際操作，在保持銀企良好關系的同時,逐漸增進企業(yè)的再次融資。最后，進行定期性的歸集特殊賬戶的資金，這是資金集中管理與統(tǒng)籌使用的關鍵之處。對企業(yè)而言，采用集中型的資金進行內(nèi)部控制，使其效果顯著提高。

(五)資金安全風險管理的防范

重點防范企業(yè)資金的安全風險管理，通過創(chuàng)造優(yōu)良的內(nèi)控環(huán)境以及建立完善的資金管理內(nèi)控制度，防止資金管理的安全漏洞。在企業(yè)的資金安全管理中，應注意以下幾個要點。首先，應構建健全的授權審批制度，根據(jù)規(guī)定的制度與權限進行資金收付業(yè)務的辦理。其次，認真貫徹企業(yè)的內(nèi)部牽制原則，保證不同崗位的分離、監(jiān)督及制約，以及加強員工的安全意識與職業(yè)道德教育。最后，加強企業(yè)的內(nèi)部審計。企業(yè)的內(nèi)部審計將協(xié)助管理當局的監(jiān)督與控制，充分發(fā)揮其管理程序與措施的有效性，利于及時找出企業(yè)內(nèi)部控制的薄弱環(huán)節(jié)與漏洞。

結束語

總而言之，隨著當今社會經(jīng)濟的快速發(fā)展，以及企業(yè)流動資金的多元化，企業(yè)資金的風險管理及控制在企業(yè)中的地位越加重要。但我國企業(yè)在現(xiàn)階段的資金風險管理上還存在一定的缺陷，由于其的管理不當，使其在面臨經(jīng)濟危機時，未能很好的進行管理，嚴重影響了企業(yè)的正常運營。因此，應對當前我國企業(yè)在資金風險的管理中存在的問題進行全面分析，并找出相應的對策加以控制，有效保證企業(yè)的健康發(fā)展。企業(yè)處于社會競爭激烈的背景下，應充分利用本身特有的資源，通過提升其資金管理水平，加強風險管理的控制，以高水平的資金運作手段與管理作為堅強后盾，促使企業(yè)在市場經(jīng)濟的競爭中占絕對優(yōu)勢。

參考文獻：

[1]張大華.企業(yè)資金風險分析與管理控制措施[J].中國市場,2010

[2]孫曉媛.論上市公司資金風險管理及對策[J].時代金融,2010

[3]張經(jīng)偉.淺談如何加強企業(yè)資金管理和風險控制[J].China's Foreign Trade,2011