发布时间:2023-08-08 16:52:09
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的工程风险评估的核心问题样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
【关键词】施工企业 财务管理 财务风险 对策
一、施工企业财务风险管理的内容及意义
施工企业财务风险管理包括财务风险的识别、测量与评估和风险的控制。识别主要是对企业可能遇到的风险进行系统分类,在分析的基础上准确判断各类风险引发的财务风险程度。测量与评估则是通过科学的方法将风险量化处理,对各财务风险因素数据准确分析与评估。风险控制是对施工企业生产、经营等各环节实施监督和控制,达到防范和化解财务风险的目的。加强财务风险管理,一是使企业密切关注可能引发财务风险的事项,提前做好防范措施,尽可能减少各种不利因素造成的财务风险。二是通过提前筹集快到期债务资金、有效利用分散的闲置资金等方式,使企业资金得到更合理的配置,为企业的可持续发展奠定基础。三是科学、有效的风险管理能够减少生产经营、投资过程中的财务风险,减少损失、增加收益,实现股东价值的不断提升。
二、施工企业财务风险的成因分析
(一)施工企业内部管理机制不健全
缺乏完善的内部管理机制是施工企业的一大弊病。一方面相关制度的制定不够科学,可操作性有待提高。内部管理制度的制定多流于形式,虽形成书面文件,但制度本身缺乏合理性,实际管理中未能有效执行。另一方面缺乏风险评估机制。施工企业生产经营特点决定了其具有较高的风险性,尤其是财务风险。实际工作中,对投标报价、项目分析、工程款结算以及资金配置等没有充分考虑,风险评估不到位,易引发财务风险。
(二)未能有效发挥财务的监督和服务职能
多数施工企业财务部门对经营业务的监督、控制仅体现在会计核算上,未能充分发挥财务管理应有职能,直接影响了财务风险管理效果。通常情况下,财务部门将监管重点放在企业的资产方面,对财务监督和服务职能的落实情况没有给予重视,尤其是财务风险管理工作。此外,施工企业管理层对财务监督与服务职能认识不够,使得财务风险得不到事前、事中的有效控制,面对风险只能事后处理,难以发挥财务在内控中的重要作用。
(三)行业恶性竞争引发财务风险
由于我国建筑业市场竞争激烈,加上国家宏观调控政策对房地产业的影响,使得施工企业在承揽项目工程时,不顾成本、竞相压价,严重扰乱了市场秩序。业主方招标时,在满足合同条款、工程质量要求等的基础上,一般选择报价最低的投标企业,而施工企业为了中标,不得不接受相对苛刻的条件,使得施工企业既要付出较高的施工成本,又要在可能亏损的情况下确保工程质量,给施工企业长期经营带来困难,存在巨大的财务风险。
(四)施工企业面临巨大的回款风险
施工企业在应收账款回收上存在巨大风险,究其原因主要有以下几点:一是施工企业因工程质量等因素不能按合同履约,导致施工项目竣工后不能及时办理竣工验收,造成施工项目资金结算滞后,无法及时收回款项。二是因业主方资金紧张等的影响,使得工程竣工验收后不能足额支付合同款项,易变为呆账、坏账。三是施工企业管理者对应收账款管理不重视,未配置专人进行账款催收,而企业仍需负担承重的财务费用,增大财务风险。
三、加强施工企业财务风险管理的对策
(一)建立健全内控管理机制,加强风险管理
首先要进行充分地调研与分析,把握以财务管理为核心的各流程环节的关键问题,在此基础上建立内控管理制度,包括预算管理机制、合同管理机制、财务风险预警与评估机制等。健全预算管理机制的核心问题是要确保预算的合理性及执行力;合同管理方面则要提高合同履约率,严格按合同条款施工,保证施工质量;在财务风险预警与评估上,设定财务风险的可接受范围,通过信息系统、财务指标等进行预警和防控,以减少财务风险。
(二)提高认识,增强财务的监督与服务职能
一是要提高管理层思想认识,增强财务人员风险管理意识,加强对财务人员专业技能等方面的培养;二是要将财务监督与服务重心前移,在开展各项业务之前做好事前分析工作,对可能存在的财务风险进行科学、合理的评估。财务人员应熟练掌握、运用财务风险测量工具,对业务进行跟踪监督,及时解决财务风险;三是要增强执行力,在财务监督与服务职能上要严格按照相关制度执行,做到有章可循,真正落实财务风险管理职能。
(三)规范行业竞争,从源头上控制财务风险
施工企业在承揽工程项目时,要对招标文件进行全面研究和分析,准确理解文件内容,核实招标单位相关许可证件是否齐全。有关部门应加强对建筑行业的监管,规范行业竞争,从源头上降低财务风险。监管部门可以介入招标环节,针对招标单位与竞标企业的报价,结合工程项目成本等因素予以综合评价,对于恶意压价或在亏损情况下承揽工程的施工企业要严厉惩处,对于选择中标价低于项目实际成本的招标单位也应给予相应的处罚。
(四)加强应收账款管理,降低财务风险
防范财务风险要做好事前控制,掌握招标单位的社会信誉情况、财务状况等,在合同中明确收款时间和方式,以及违约赔偿等问题。要将应收账款回收情况纳入相关责任人的考核中,合理利用激励机制,对一定期间内收回款项的予以奖励,否则予以处罚。此外,要规范应收账款日常管理工作,由专人负责建立应收账款台账,按拖欠时间和清收难度划分等级,并采取相应的清收策略,对恶意拖欠款项的要借助法律手段维护自身合法权益。
参考文献
[1]王兰平.企业财务风险与防范[J].现代经济信息,2011(21).
1研究方法
1.1研究区概况
太湖流域上游区域包括无锡、常州、湖州三市,水系包括洮滆水系、苕溪水系、南河水系、沿江水系,面积14820km2.该区域属亚热带季风气候,四季分明,雨水丰沛.区域内工农业发达,产业密集,城镇化程度高,人口密集.随着经济的快速发展,生态环境逐渐恶化,水体污染较为严重,22条入湖河流中水质劣于GB3838—2002《地表水环境质量标准》Ⅴ类的河流有7条,水质为Ⅱ~Ⅲ类的河流只占15%,尤其以北部、西北部地区河流污染较为严重.结合河流水系、行政区划将研究区分为5个区域(见图1).
1.2模型构建
基于生态系统层面的湖泊流域生态风险评估模型如图2所示,主要包括压力源分析、生态系统刻画、评估终点选择及其关联分析.压力源直接作用于生态系统,并通过生态系统状态指标间的相互作用,对生态系统各指标产生间接影响,最终影响生态系统服务产出.模型构建主要包括评估终点、压力源及生态系统等风险组分指标体系的构建,风险组分量化,风险组分间关系的量化及风险表征三部分内容.1.2.1生态风险评估指标体系的构建生态风险评估指标体系包括压力源指标、风险受体和评估终点三部分.系统压力源包括风险源和胁迫因子,结合相关研究和流域特征[21-23],共选取自然源和社会源指标共计11项,污染物类和生境改变类胁迫因子10项,具体如表1所示.将整个生态系统作为风险受体,从生态学理论出发可从结构、过程、功能和服务四方面描述生态系统的本质属性,生态系统状态从结构和过程两方面进行刻画[24],其中,结构指生物组分、生境组成要素及其间相互作用方式,过程即以生态结构为基础的物质和能量迁移转化的现象,共选取20项指标(见表1);以生态系统服务作为评估终点[25],针对湖泊流域生态系统特征,结合Costanza等[26]以及联合国千年生态系统评估(millenniumecosystemassessment,MEA)的分类标准,选取供给服务、文化服务、调节服务和支持服务这4类9项指标表征生态系统评估终点,具体如表1所示.生态系统与生态系统服务之间以生态系统功能作为桥梁进行关联[27],生态系统功能即生态系统为人类直接或间接提供服务的能力,生态系统通过其不断输出生态系统服务.根据Groot等[28]的研究,流域生态系统功能可分为调节功能、生产功能、生境功能和信息功能,具体包括流量调节、水储存、污染物降解、水灾调节、种群调节、营养元素储存和循环、初级原料生产、生物资源生产、生境调节和娱乐美学等.1.2.2矩阵的构建及量化依据生态风险评估模型(见图2)和表2所示指标体系,建立风险组分矩阵及传递关系矩阵,将不同风险评估子流域内的风险源进行等级排序,对风险源强度和生态系统状态进行量化处理,进而构建风险源强度矩阵(A)和生态系统状态矩阵(B)〔见式(1)(2)〕.依据生态系统弹性与其状态的关系,构建生态系统弹性矩阵(C)和中间矩阵(M)(与生态系统状态矩阵同行同列)〔见式(3)〕,系统状态越好,弹性就越强,抗干扰能力也就越强.风险强度分为强、中、弱3个状态,按照相对风险模型赋值方法[7]分别赋值为6、4、2;生态系统状态分为好、中、差3个状态,分别赋值6、4、2;A和B分别根据各风险源实际统计数据和生态系统状态监测数据进行赋值,其中风险源统计数据通过min-max标准化进行处理,生态系统监测数据结合GB3838—2002进行判断,同理,构建风险源与胁迫因子之间的关联矩阵(S)、胁迫因子与生态系统状态指标的关联矩阵(E)、生态系统状态指标之间的关联矩阵(I)以及生态系统状态指标与生态系统服务之间的关联矩阵(D),D通过生态系统状态指标-生态系统功能关联矩阵(F)和生态系统功能-生态系统服务关联矩阵(H)计算得出〔见式(4)〕.传递关系矩阵的量化过程采用层次分析法,赋值方法如图3所示,分析所得数值(0、1、2、3)即为相应矩阵元素值.1.2.3风险表征在对风险组分及其相互关系进行量化后,风险源对子流域i内生态服务的影响可用相对应矩阵运算得到.子流域i内所有压力源对生态服务的影响计算过程如式(5)~(7)所示.1.3数据来源以太湖流域上游区域为例,2012年为基准年,收集所需数据(见图2).风险源数据主要来自2012年江苏省、浙江省统计年鉴,无锡市、常州市、湖州市统计年鉴及水利普查公报;生态系统状态数据主要来自《2012年太湖健康状况报告》《太湖流域概况》《中国水资源公报2012》等,风险组分间关系分析数据主要来自文献[29-32].太湖流域上游各区域风险源统计数据和生态系统状态数据如表2、3所示.
2结果与讨论
2.1区域风险分析
根据流域水生态风险评估模型,太湖流域上游各区域内风险源带来的总体生态影响如图4所示.由图4可见,无锡-江阴区域相对风险值最高,长兴-安吉区域最低,常州-金坛、湖州-德清、溧阳-宜兴和长兴-安吉区域相对风险值分别占无锡-江阴区域的73.2%、78.8%、74.4%和59.9%.工业、种植业、水产养殖、生活和水利设施等风险源对生态系统造成的影响较严重,由图5可见,不同区域内主要风险来源差异较大,其中,无锡-江阴区域内各生态系统服务主要受到工业、种植业、水产养殖、生活和畜禽养殖的综合影响,其风险贡献率分别为18%~19%、16%~20%、14%~15%、12%~13%和9%~11%;湖州-德清区域主要受到水利设施和工业的影响,其风险贡献率分别为16%~21%和13%~15%;长兴-安吉区域则各风险源贡献率较为均衡,除畜禽养殖和旅游影响较低外,其他风险源贡献率均为7%~12%.从另一角度分析,洪涝、干旱、水土流失、旅游和航运在整个区域内形成的风险均较低,而工业、种植业、水产养殖和生活产生的风险普遍较高,可见,人类活动引起的社会源是区域生态系统的主要风险源,而自然源影响不大.
2.2生态系统服务风险分析
各区域内各项生态系统服务相对风险值如图6所示.由图6可见,水产品、水调节、水质净化和生物多样性维持等生态系统服务面临的风险较大,所受风险分别占该区域总风险的17.63%、20.04%、22.88%和24.21%,水供给、航运、气候调节服务面临的风险均处于较低水平.由图7可见,同一区域内各生态系统服务所受影响大体相同,但又各有差别,其中,航运和水供给服务主要受到水利设施的影响,水质净化和水产品服务主要受到工农业及生活源的影响,各风险源对生物多样性维持的影响都相对较大,工业、种植业的影响尤为显著.评估结果表明,太湖流域上游北部—西北部—西部—西南部的生态风险水平逐次降低,南部略高于西南部.在太湖流域北部—西北部,应注意工业发展及生活污水排放对流域生态所带来的影响,进行合理减排、循环利用以控制污水排放的量和质;太湖流域西部主要受农业发展的影响,围湖养殖、种植业化肥农药的流失等是引起生态风险的主要原因,应在种植及养殖方式、施肥方式方面进行改进,提高利用效率,减少流失;太湖流域南部面临的风险则主要由水利设施的建设及生活源引起,应注重生态的补偿和修复.与其他生态风险评估研究相较,基于系统水平的生态风险评估模型更适用于大范围的湖泊流域,究其原因:①它综合分析了多种风险源与生态系统的复杂作用关系,而并非单一风险源或单一受体的风险水平[8,33],能够反映流域内多风险源综合作用下的整体风险水平[12-13,34];②该模型将经济-社会系统与生态系统进行了有机结合,能够识别出区域内生态风险的核心问题,进而找到对应的解决方案,为流域管理决策的制订提供支持.
3结论
关键词:商业银行公司治理 风险管理 风险审计
全面风险管理是从战略目标制定到目标实现的全过程风险管理,随着现代商业银行所承担风险的增加,商业银行内部审计关注的重点也逐渐转移到风险管理上来,当今风险审计作为一种新的审计理念,成为备受人们关注的热点。与其说银行是在经营货币的企业,不如说银行是经营风险,从风险管理中获取收益的企业。商业银行一直在利润与风险之间做着谨慎和侥幸的选择,防范和控制经营中的风险,实施全面风险管理战略,是商业银行面临的现实而紧迫的任务。作为现代商业银行的审计部门,如何由传统的合规性审计向风险预警和防范为目标的风险审计转变,合理配置有限的审计资源,提高审计效率与效益,有效发挥审计监督在防范和控制风险中的积极作用,已成为现代商业银行内部审计面临的焦点课题。
风险审计的涵义
风险审计,也称风险基础审计或者风险导向审计,它是在传统的账项基础和内部控制制度基础审计上发展起来的一种审计模式,是指审计人员在对被审单位的内部控制充分了解和评价的基础上,综合分析、判断被审计单位的风险状况及其风险程度,从而把有限的审计资源集中到高风险的审计领域,针对不同风险程度采取相应的审计对策,重点对高风险点进行实质性测试,从而伎内部审计的剩余风险降至可接受的最低水平。与账项基础审计、内部控制制度基础审计相比,风险审计关注点在于对被审单位的风险评估,其审计重心向风险评估转移,更加关注的是企业的风险管理活动一一是否建立清晰的风险管理战略、完善的管理架构、全面的风险管理过程和良好的风险管理文化,最终实现风险管理效率和价值的最大化,不但可以保证充分的审计覆盖面,而且对每一个领域都会根据其风险评价结果有不同的审计频率与深度,增强了对风险的预防控制作用,风险审计方法的重点是识另q、预防与控制风险。因此,风险审计理论的核心是从分析审计风险入手,通过建立科学的审计风险分析模型,采取定性定量分析方法,量化确定固有保证程度系数,并控制保证程度系数,确定可接受的检查风险水平,以确保审计质量。
商业银行实施风险审计方法的坝实重要牲
格林斯潘曾经说过:“银行的基本职能是预测、承担和管理风险。”风险审计的本质和根本目标是促进和保障商业银行业务的稳健发展,促进商业银行树立全面的风险管理理念,坚持发展与防范风险并重;适应市场和业务需要,不断完善风险管理手段,健全风险管理体制,培育风险管理文化,提高风险管理水平,促进业务发展,目标是优化资源配置,将风险控制在商业银行可以承担的范围内,实现风险调整后的收益最大化。
(一)风险审计的理念和方法是商业银行实施全面风险管理的现实选择,进一步提升了内部审计的增值服务?风险是商业银行与生俱来的产物,存在于商业银行业务的每一个环节当中,商业银行提供金融服务的过程也是承担和控制风险的过程,因此,风险管理是商业银行永恒的主题。在现代金融领域中,能建立良好的风险管理架构和体系,对风险进行全面有效的管理,并以良好的风险定价策略实现价值增长,是影响商业银行核心竞争力的重要因素,也是实施风险审计的必然要求。国有商业银行上市后,要在提高全面风险管理能力的前提下保持持续的价值创造能力。
巴塞尔新资本协议和美国反舞弊财务报告委员会的发起组织委员会fCOSO)的《企业全面风险管理框架》将全面风险管理概括为对商业银行各个层次的业务单位和各种类型的风险进行统筹管理,这种管理要求将包含信用风险、市场风险、操作风险和其他风险的各种金融资产与资产组合,承担这些风险的各个业务单位纳入到统一的管理体系中,对各类风险依据统一的标准进行测量并加总,依据全部业务的相关性对风险进行全程的控制和管理。风险审计正是以全面评估风险为基础,从重要风险点上人手,在深入分析判断不同层面和业务单位风险状况的基础上,确定审计重点,对风险高的业务集中资源重点审计,通过评估银行风险识别的充分性、风险衡量的恰当性及风险防范的有效性,并在此基础上提出相应的改进措施和建议,直接影响商业银行经营战略的制定,确保商业银行实现业务发展、风险控制和效益增长的有机统一
(二)采用风险审计的理论和技术、是现代商业银行审计发展的目标和方向,实现增值型审计转型需要:当前国际内审发展已进入一个以风险管理和公司治理为标志的新的发展阶段,西方的绝大部分商业银行在内部审计均采用了风险审计的理论和技术。国际审计师协会主席捷奎林?瓦格娜曾提出:“环境的变化给内部审计师带来增加价值的机会最多的领域是风险管理的公司治理。”2003年国际内部审计协会对2001年新的《内部审计实务标准》(以下简称《标准》)修改后,在内容上也自始至终都贯穿着风险审计的主导思想。
一是在对内部审计的定义中要求内部审计采用一种系统化、规范化的方法来对机构的风险管理、控制及监管过程进行评价进而提高它的效率,帮助机构实现它的目标。二是内部审计的目标要求内部审计参与风险管理。三是内部审计的工作重点要求内部审计参与风险管理。四是标准对审计计划、审计测试、审计结果、后续审计各个方面都作了和风险相关的明确规范。五是关于剩余风险,《标准》做出了在审计执行主管认为高级管理层接受的剩余风险水平对于机构来说是无法接受时就报告董事会加以解决的规定。这些规定和要求将内部审计的范围延伸到风险管理和公司治理,所以风险管理已经成为内部审计的主要工作。随着风险管理导向内部控制时代的来临,内部审计的工作重点也发行了变化,现代内部审计突破了传统的监督、鉴证、评价职能的范围,更多地介入商业银行有效的风险管理机制和健全的公司治理结构领域。
风睑审计在项代商业银行风睑管理中的作用
(一)风险审计有利于提高商业银行风险管理水平,促进风险文化建设。风险基础审计主动发现和控制各项风险,通过对商业银行业务部门进行风险评估,并按照次序排列风险,集中高风险的项目优先审计。前者试图阻止不期望的行为发生,这种事先的控制有助于阻止损失的发生;后者试图检查出不期望发生的行为,检查性的控带l目的是提供损失发生的证据。这两种类型的控制都是必要的内部控制系统,使商业银行的内控机制完善、管用。同时,风险审计关注的重点是业务过程中的每一个风险点,涉及所有员工和管理者,这样有助于形成商业银行风险文化,从而提高商业银行全面风险管理水平。
(二)风险审计有利于对风险事件的识别风险审计采用通用风险分析模板及方法,识别商业银行业务过程的风险和外部环境风险。风险审计人员运用某些分析方法,创造性地进行分析,判断管理层是否完全识别了企业的所有风险,
若有遗漏的风险要提醒管理层加以考虑。
(三)风险审计有利于对风险的反应和控制。在风险反应活动中,商业银行要根据不同的风险决定要采取的策略和方法,决定是避免风险、接受风险、还是降低风险。如对有相对的风险回报的风险,商业银行可以考虑接受,但要采取控制措施,才能将风险降低到可以接受的水平,获得希望的回报。对于这部分风险,商业银行会采取减少风险、转移风险或分担风险的办法以降低商业银行承受的风险。风险审计人员的主要工作在于分析、评价风险回报的合理性、减少风险的措施的有效性、以及接受风险转移和风险分担的那一方的风险。
(四)风险审计有利于对风险信息沟通和风险管理系统的监控。在风险信息沟通活动中,商业银行的风险管理要将风险及时有效地传递给内部相关人员,以便及时采取相应的控制措施。风险审计人员可以通过评价报告系统证明风险信息被准确、及时地传递到相关人员,内部审计报告可以向董事会和审计委员会传递风险是否得到有效管理的信息。在监控活动中,商业银行要对风险管理进行持续监控,通过对内部控制系统的运行的监控和对定期检查结果及意外事项的处理结果的评价,保证商业银行对风险管理是一直有效的。风险审计人员可以通过分析环境和风险变化,检查内部控制系统是否已更新,是否能控制新的风险。还可以通过后续审计管理层对审计中发现的问题及对意外事项的处理情况,检查新的控制措施是否有效,将分析结果和建议提供给管理层以便改进控制措施。
风险审计在捕国商业银行规划与存在问题
(一)风险基础审计的法制化、制度化规范化建设的道路还很漫长。一是商业银行内部制度调整工作量大,相关业务制度和操作流程也要进行相应调整;二是支持系统建设难度大,因长期需要具备相应功能的电子化系统作支持,要求商业银行改进现有业务系统,并开发建设风险评估系统,风险评估系统的建设包括业务流程、历史数据收集、参数选择等需要大量投资和时间准备。三是短期内风险审计人员素质难以提高。风险审计人员需要精通包括审计、会计财务、法律、逻辑学、信息学、系统论、管理学等专业知识,懂得运用经济、数理、计算机等专用分析手段来预知和减少风险,每位风险审计人员达到运用自如的水准尚需时日。
(二)审计证据的较高要求增加风险审计取证的难度风险基础审计必须获取充足的、可靠的相关的证据以判断,而目前我国商业银行风险基础审计缺少可供遵循的标准和程序,且审计取证的渠道和方式多样,因此,审计人员一般都需要提高调查样本代表性和增大调查样本的方法,以增强对总体风险推断的准确性。
(三)风险审计技术手段落后,难以适应工作需要。计算机会计信息系统、信贷管理系统的广泛应用和发展,大大增强了审计的及时性,事后审计;逐步被实时审计所代替,这与针对经营全过程的风险基础审计不谋而合。在我国,商业银行审计人员大多数对计算机辅助审计不太熟悉,许多还停留在传统手工查账的基础上,在新技术面前还有些无所适从.审计手段落后,不但增加了审计难度,而且效率低、准确差,严重影响了审计作用的发挥,无法满足商业银行风险基础审计工作的需要
(四)协调配台欠缺,降低了审计结果的运用日常审计中很少利用纪检、人事及其他部门掌握的信息,审计结束后,除个别项目外一般也不与这些部门交换,致使审计成果在干部考核、任用、奖惩等方面没有发挥应有的作用,相应削弱了审计的威慑力。
我国商业银行发展和完善风险审计的对策
(一)正确认识风险基础审计在银行公司治理结构的重要作用,为风险审计的发展刨造良好的环境商业银行公司治理的核心问题是委托人(股东、投资者、管理者)如何激励和约束人(经理层)、积极有效地完成受托经营管理责任,以确保股东或投资者财富最大化。显然仅仅通过财务审计,委托人难以全面了解人是否有效履行其受托责任,而风险基础审计有利于减少信息不对称性,较为全面地提供委托人所需要的有关经营管理活动方面信息,大大遏制了“道德风险”的发生,增强了经营管理的透明度,从而达到控制和抑制“内部人控制”的目的,同时,通过风险审计可以有效地判断人的业绩和能力,评价人对受托人责任履行情况,促进人提高经营管理效率因此,风险审计是商业银行公司治理结构的重要组成部分,是完善公司治理结构的“四大基石”之一。
(二)抓紧制定风睑基蒯{计;,立则尽快完善评价标:停体系要吸收借鉴美国、英国、典等发达国家的先进经验,抓紧研究制定我国的风险基础审计准则,这是开展风险审计的当务之急。风险基础审计准则的制定要遵循“衔接”、“配套”、“务实”的原则,注意解决好前瞻与现实的矛盾,接轨与国情的矛盾。逐步探索和完善风险审计的评价标准体系,量化评价指标,为不同项目之间的比较提供依据
(三)认真搞好风险基础审计研究,探索先进审计技术方法。先进的审计技术和方法,是提高审计效率和质量的重要保证要通过传统方法与现代信息技术的结合,加大风险审计技术的研究力度,特别要注重探索完善审计抽样、内控测评、风险评估等方面的方法和技术产。在风险审计的方法和技术的研究中,要实行科研人员与实务人员、科研与调研、审计人员与项目工程人员相结合的办法开展,以增强实用性、指导性和前瞧性。
【 关键词 】 物联网系统;安全检测;风险评估;安全检查
【 中图分类号 】 TN918
Research on Security Test and Check Method of IoT System
Li Hai-tao Li Cheng-yuan Fan Hong
(The First Research Institute of the Ministry of Public Security Beijing 100048)
【 Abstract 】 With the wide application on the internet of things (IoTs) technology, the IoT systems are confronted with various security threats. There are eager demands on Security test and check of IoT System. In this paper, we have researched on Security test and check method of IoT System from system security test, risk assessment and integration security management.
【 Keywords 】 internet of things system; security test; risk assessment; security check
1 引言
目前在全球市场的数据统计分析上看,物联网成为未来10年发展迅猛的行业。据美国市场研究公司Forester预测,到2020年,世界上“物物互连”的应用业务,跟人与人之间通信的业务相比,前者是后者的30倍,仅在智能电网和机场入侵检测系统方面的市场就有上千亿美元。因此“物联网”必将成为下一个万亿美元级的信息技术产业。
从经济发展角度看,各国齐头并进,相继推出物联网区域战略规划。当前,世界各国的物联网基本都处于技术研究与试验阶段,美、日、韩、欧盟等都正投入巨资深入研究探索物联网关键技术。
物联网是互联网在现实世界的延伸。随着应用的不断扩展,物联网一旦发生安全问题,极有可能在现实世界造成电力中断、金融瘫痪、社会混乱等严重危害公共安全的事件,甚至将危及国家安全。由于物联网感知节点和传输设备具有能量低、计算能力差、运行环境恶劣、通信协议庞杂等特点,使得传统安全技术无法直接应用于物联网,由此引发众物联网特有的安全问题。
物联网安全问题如果得不到有效解决,将严重阻碍物联网产业发展。目前物联网安全技术和安全状况缺乏有效的检测和评价手段,已有的物联网应用急需对其安全性能的检测和技术支持。所以,对物联网安全检测与检查方法的研究是解决物联网安全问题必不可少的关键工作。
2 物联网系统面临的安全威胁
从安全测评的角度来看,物联网系统的结构可以分为三层,即智能感知层、接入传输层和业务应用层。物联网面临的安全威胁也来自这三个层次。
由于网络环境的不确定性,感知节点面临着多方面的威胁,感知节点本身就是用于监测和控制各种感知设备。节点对各种检测对象进行监测,从而提供感知设备传输的数据信息来监控网络系统的运行情况。这些智能传感器节点是暴露在攻击者面前的,最容易被攻击。因此,与传统的IP网络比较,所有的监控措施、安全防范策略不仅面临着更复杂的网络环境,而且还有更高的实时性要求。物联网系统面临的主要威胁有几个方面。
(1)安全隐私 射频识别技术被广泛用于物联网系统中,RFID标签可能被嵌入到任何物体中,例如人们的生活和生产用品。但是这些物品的拥有者不一定能够了解相关情况,会导致该对象的拥有者被随意地扫描、定位和追踪。
(2)伪造攻击 与传统IP网络相比,传感设备和电子标签都是在攻击者面前的。与此同时,接入传输网络中有一部分是无线网络,窜扰问题在传感网络和无线网络中是普遍存在的,而无线安全研究方面也显得非常棘手。因此,在网络中这些方面面临的伪造节点攻击很大程度上威胁着传感器节点的安全,从而影响整个物联网安全。
(3)恶意代码攻击 恶意代码在接入传输层和传感层中都可以找到很多可以攻击的突破口。对攻击者而言只要进入到网络,通过传输网络进行病毒传播就变得轻车熟路,而且具有较强的隐蔽性,这一点与有线网络相比就更加难以防御。例如类似蠕虫这样的恶意代码,本身又不需要寄生文件,在这种环境中检测发现和清除恶意代码的难度是非常大的。
(4)拒绝服务攻击 这种被熟悉的攻击方式,一般发生在感知层与接入传输层衔接位置的概率是非常大的。由于物联网中感知节点数量庞大,而且多数是以集群的方式存在,因此信息在网络中传输时,海量的感知节点信息传递转发请求会导致网络拥塞,产生拒绝服务攻击的效果。
(5)信息安全 感知节点一般都具有功能单一、信息处理能力低的特点。因此,感知节点不可能具有高强度的安全防范措施。同时因为感知层节点的多样化,采集的数据、传输的信息也就不会有统一的格式,所以提供统一的安全防范策略和安全体系架构是很难做到的。
(6)接入传输层和业务应用层的安全隐患 在物联网系统的接入传输层和业务应用层除了面临传统有线网络的所有安全威胁的同时,还因为物联网在感知层所采集数据格式的不统一,来自不同类型感知节点的数据信息是无法想象的、并且是多源异构数据,所以接入层和业务应用层的安全问题也就更加繁杂。
通过对各行业物联网建设方面的调查发现,当前已有的物联网应用对其安全性能的检测和技术支持需求十分迫切,例如移动系统与行业网的接入安全性评估和检测、社会公共安全的视频采集系统的接入安全检测、基于RFID和车牌识别的智能车辆管控系统安全性评估等检测业务都是亟待解决的问题。由此看出,物联网安全检测和检查方法研究需求迫切。
为了把物联网系统安全风险降到最低,应该做到系统建设与检测检查同步进行,且检测检查过程中要技术与管理并重。本文将从物联网系统安全检测、物联网系统风险评估和物联网集成化安全管理三个方面进行检测、检查的方法研究。
3 物联网系统安全检测
安全检测是以系统检测方式对物联网系统三层架构的各个层面进行安全符合性和有效性检测。
(1)智能感知层应该对访问控制策略配置、身份认证策略配置、数据完整性保护策略配置、数据保密性保护策略配置、感知节点抗攻击性、安全审计策略配置和物理安全进行符合性测试。
(2)接入传输层检测应该对AKA机制的一致性或兼容性、跨域认证和跨网络认证、视频传输协议转换前后的安全性;传统认证和数据交换安全、无线认证网关安全、无线传输协议、身份认证安全等进行符合性和有效性检测。
(3)业务应用层应该对数据库安全、应用系统和网站安全、应用系统稳定性、业务连续性以及应用模拟等进行符合性和有效性检测。
下面从物联网系统检测规则和检测工具两个方面研究物联网系统安全检测方法。
物联网系统检测规则由三个部分组成分别是智能感知层规则、接入传输层规则和业务应用层规则。
(1)智能感知层规则主要包括访问控制、身份认证、数据完整性保护、数据保密性保护、抗攻击、安全审计以及物理安全等安全规则。
(2)接入传输层规则包括数字接入系统中接入业务可管理性、可控性、信息保密性、完整性和可用性的规则要求,视频接入系统实现外部视频资源单向传输至内网,视频控制信令和数据的会话终止于应用服务区,包含对视频信令格式进行检查及内容过滤、合法的协议和数据通过、视频数据和视频控制信令安全传输等方面的规则,无线接入系统接入内网,需要与内网的各种信息系统交互信息,包含敏感信息、数据完整性保护、数据保密性保护、抗攻击、安全审计以及物理安全等方面的规则。
(3)业务应用层规则一般包括访问控制、用户身份鉴别、资源控制、安全漏洞、安全审计以及数据备份等安全规则。
检测工具是包含物联网系统安全检测中所有测试工具、测试样本数据的集合。检测工具根据其应用范围可以划分为三类。
(1)智能感知层检测工具:主要包括对感知操作安全项目进行检测所用到的软硬件工具和测试样本数据;感知数据处理安全检测工具包括对感知数据处理安全项目进行检测所用到的工具;感知数据存储安全检测工具主要包括感知数据存储安全项目进行检测所用到的工具和测试样本数据;感知节点设备安全检测工具主要包括漏洞扫描工具、自动化攻击工具以及自身所建立的漏洞补丁知识库,根据被测设备的操作系统、功能组件,查询漏洞补丁知识库,可以发现漏洞扫描类工具无法直接探测的隐藏漏洞。
(2)接入传输层检测工具:主要包括脆弱性扫描与管理工具、网络协议分析工具、主机配置检测工具、网络边界检测工具等。
(3)业务应用层检测工具:主要包括Web应用系统及网站安全检测工具、数据库脆弱性检测工具和网络终端安全检测工具等。
4 物联网系统风险评估
物联网系统风险评估主要针对物联网智能感知层、接入传输层和业务应用层中所包含的各个组成部分。开展物联网系统风险评估工作,需要构建物联网系统风险评估平台,对物联网可能遭受到的威胁和脆弱性进行安全分析,然后根据安全事件的可能性以及安全事件造成的损失计算出风险值、对安全事件进行风险等级定级,最后结合安全事件所涉及的资产价值来判断安全事件一旦发生对物联网系统造成的影响。
下面从物联网系统风险评估知识库和风险评估工具两方面来研究物联网系统风险评估方法。
风险评估知识库应该包含威胁库、脆弱性库、风险分析方法和评估案例等。物联网系统风险评估服务威胁库包括智能感知层威胁库、接入传输层威胁库和业务应用层威胁库:智能感知层威胁有RFID安全隐私、RFID标签复制、传感网安全路由、感知节点逐跳加密安全等;接入传输层威胁有海量数据融合信息窃取、海量数据传输安全、三网融合面临的新威胁等;业务应用层威胁有位置信息泄露、数据融合后机密信息泄露、应用系统漏洞等。脆弱性库,脆弱性识别时的数据应来自于资产的所有者、使用者,以及相关业务领域和软硬件方面的专业人员等。风险分析方法主要包括系统层次分析方法、基于概率论和数理统计的方法、模糊数学方法,这些方法或是在识别风险的基础上,进一步分析已识别风险,提高风险结果可信度,或是融入风险评估过程中,使评估过程更科学、更合理。
如果物联网系统风险评估案例库建立实际风险评估案例,能够给出风险分析方法、风险分析过程。系统整体风险评估结果就能一目了然,也为物联网系统风险评估工作提供参考案例。
根据在风险评估过程中的主要任务和作用原理的不同,风险评估工具可以分成风险评估与管理工具、系统基础平台风险评估工具和风险评估辅助工具三类。
(1)风险评估与管理工具应该是一套集成风险评估各类知识和判定依据的管理信息系统,以规范风险评估的过程和操作方法,或者用于收集评估所需要的数据和资料,基于专家总结的经验,对输人输出进行自动化的模型分析。
(2)系统基础平台风险评估工具主要用于对信息系统的主要部件(如操作系统、数据库系统、网络设备等)的脆弱性进行分析,或实施基于脆弱性的攻击。
(3)风险评估辅助工具则实现对数据的采集、现状分析和趋势分析等单项功能,为风险评估各要素的赋值、定级提供依据。
5 物联网集成化安全管理检查
目前监管体系对不同的物联网系统的防护管理要求存在没有差异和缺乏针对性等问题。因此,物联网集成化安全管理势在必行。根据物联网的技术特点,针对物联网面临的安全威胁,应该构建和完善物联网的监管体系,从防范阻止、检测发现、应急处置、审计追查和集中管控五个方面,对物联网系统感知层、接入传输层和业务应用层进行安全防护管理。
(1)防范阻止主要指物联网系统应该具有安全防护和阻止信息安全威胁影响的措施,从而有效防范本文中提到的安全威胁。从物联网的体系结构而言,物联网除了面对TCP/IP网络、无线网络和移动通信网络等传统网络安全问题之外,还存在着大量自身的特殊安全问题。因此数据完整性和保密性保护、身份认证、访问控制、安全审计等方面的安全措施必不可少。
(2)检测发现主要是指物联网系统应该能够检测发现物联网系统存在安全隐患,其中包括感知层检测、接入传输层检测和业务应用层检测,在感知层应能检测发现感知设备伪造攻击。由于感知设备是“”在攻击者面前的,那么攻击者就可以轻易地接触到这些设备,从而对它们造成破坏,甚至通过本地操作更换机器的软硬件。接入传输层应包括边界接入系统、视频接入系统和无线接入系统三类接入传输系统的安全管理要求。业务应用层应能检测发现业务应用中的安全隐患,因为TCP/IP网络的所有安全隐患都同样适用于物联网。同时应能针对物联网感知层、接入传输层、业务应用层三个层次进行风险威胁分析,形成反映物联网系统安全态势的总体视图。因为安全系统从隐患到影响是一个态势变化的过程,因此对物联网系统态势的分析与威胁防范同样重要。
(3)应急处置主要是指应该能够具有高效指导系统维护人员开展应急处置工作的措施,应制定物联网信息安全应急预案,并结合实际工作情况,对物联网信息安全应急预案做出相应修订。应明确现场总指挥、副总指挥、应急指挥中心以及各应急行动小组在应急救援整个过程中所担负的职责。应明确完成应急救援任务应该包含的所有应急程序,以及对各应急程序能否安全可靠地完成对应的某项应急救援任务进行确认。应急预案应具备实用性、可操作性、完整性和可读性的特点。
(4)审计追查主要是指应该能够为安全管理人员提供物联网系统安全事件倒查的措施,包括日志采集、查询、分析和追查。其中采集应能对分布在感知层、接入传输层和业务应用层各个部分的用户和管理员操作日志进行采集。查询应能对物联网信息系统日志进行查询,包括常规查询、条件查询和权限控制查询。分析应能根据统计需求,对物联网信息系统日志进行统计分析。追查应能根据追查安全事件需求,为安全管理人员提供安全事(案)件的倒查手段。
(5)集中管控主要是指应该能够为物联网系统自身安全管理和控制提供技术手段。它们包括集中监控、策略管理、运行监控、异常和用户监控,其中集中监控应能通过监控中心对物联网系统进行集中管控,包括系统安全管理和监控。策略管理应能对感知层、接入传输层和业务应用层的安全策略进行集中管理,支持管理感知节点的备份与恢复。运行管控应能对感知层终端运行情况进行监控,对物联网系统运行情况进行监控。异常和用户监控应能对业务应用层异常进行监控,能对系统用户的操作进行监控。
6 结束语
随着物联网产业的迅猛发展,信息安全问题也面临着新的挑战,所以安全作为物联网领域的核心问题,没有完善的安全保护和测评措施,物联网就无法被广泛地应用,这就会对物联网优势的发挥产生严重的影响。
本文在分析了物联网系统面临安全威胁的基础上。根据物联网技术特点,针对面临的安全威胁,从物联网系统安全检测、物联网系统风险评估和物联网集成化安全管理三个方面进行检测和检查的研究。从而进一步明确在物联网的建设中,物联网应用不仅要投入巨资深入研究系统构建技术,还需要做到安全保障与物联网建设齐头并进,避免先应用后安全的被动局面,增强物联网主动保障能力,提高物联网安全检测能力,扩大安全检测和检查应用范围,为推进我国物联网安全检测标准化进程提供保障,使得物联网安全检测工作更加专业化、规范化和常态化。
参考文献
[1] 丁超, 杨立君, 吴蒙. IoT/CPS的安全体系结构及关键技术.中兴通讯技术,2011,01(17).
[2] 李向军.物联网安全及解决措施.农业网络信息,2010,12.
[3] 戴铁君.物联网安全问题与其解决措施.科技风, 2011,02.
[4] 汪金鹏,胡国华.物联网安全性能分析与应用.科技信息, 2010,33.
[5] 姚远.基于中间件的物联网安全模型.电脑知识与技术, 2011,01(07).
[6] 肖毅.物联网安全管理技术研究.通信技术. 2011, 01(44).
[7] 蒲石,陈周国祝世雄.震网病毒分析与防范[J].信息网络安全,2012,(02):40-43.
[8] 武鸿浩.CUDA并行计算技术在情报信息研判中的应用[J].信息网络安全,2012,(02):58-59.
[9] 王勇.随机函数及其在密码学中的应用研究[J].信息网络安全,2012,(03):17-18.
[10] 丁丽萍.Android 操作系统的安全性分析[J].信息网络安全,2012,(03):23-26.
一、房地产企业进行内部控制必要性
(一)内部控制是单位为了保证实现经营管理目标
内部控制是现代企业加强管理,提高经营效率,实现经营方针和目标的有效工具和手段,房地产企业受外部环境影响较大,有效的内部控制能够抵御风险。另外消费者对开发品质要求越来越高,项目成本不断上升。只有加强和规范企业内部控制,才能促进企业可持续发展,实现企业利润最大化的经营管理目标的实现。
(二)内部控制是加强宏观调控对房地产经营的要求
企业的资金、人员、市场等发展到了一定的规模,使得企业的机构设置、财务管理水平和人力资源的配备等方面需要进一步的发展,以适应企业发展的需要。土地是房地产企业的重要组成部分,属于国家所有,受国家宏观调控影响大,通过经济杠杆、价值规律引导房地产企业达到供需平衡。从宏观上从严管理企业,实现管理创新,使传统的管理模式向现代企业管理过渡,加强内部控制制度是建立现代企业制度的内在要求。内部控制是企业进行内部管理的需要,是现代企业最重要、最关键、最基本的一项管理方式,也是加强宏观调控对房地产经营内部控制制度的内在要求。
(三)内部控制制度可以完善房地产企业的经营管理体制
建立一整套完整的岗位责任制度、报告制度、内部审计与电子监控制度等各种规章制度,能够增强控制能力,加强内部控制,提高经营管理水平和企业素质。同时,也可以监督各种经济活动严格按照计划的要求进行,做到紧密衔接,协调、均衡地发展,保证各项计划的完成和经营目标的实现。可以加强经济核算,改进理财方法,加强资金有效地运用,可以杜绝经营管理中的各种漏洞,治理已经发生的错误与弊端,预防潜在弊病的发生,减少和避免各种不必要的财产损失。
二、完善房地产企业内部控制的相关原则
(一)合法性原则
内部控制的合法性应当贯穿决策、执行和监督全过程,房地产企业必须以国家有关的法律法规为准绳,在国家的法律许可范围内,必须符合国家有关法律、法规和公司章程的规定,包括《公司法》、《会计法》、《劳动法》等等。房地产企业的相关制度的制定必须限制在法律法规的框架内。坚持合法性原则应该是系统建立的前提条件,在合法的基础上提高其有效性。对加强和规范企业内部控制,提高企业经营管理水平和风险防范能力。
(二)全面性原则
内部控制是一个系统,其内容涉及单位的各个部门、生产经营的各个环节。系统全面原则要求,在符合内部会计控制要素要求的前提下,业务流程的设计必须能够覆盖企业经营管理的各个环节,并将业务流程中的关键控制点落实到决策、执行、监督等各环节,不得留有制度上的空白或遗漏。内部会计控制应贯穿于企业经营活动的各个方面,实现对整体经营管理活动的控制,关注重要业务事项和高风险领域。
(三)适应性原则
内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。内部会计控制系统的制定应当具有前瞻性,并与房地产企业的外部环境和内部管理的需要相适应,应随着企业经营战略、经营方针及内部管理需求等内部环境的改变进行适时的调整与完善。这是内部会计控制系统有效性的基本保证。权衡实施成本与预期效益,以适当的成本实现有效控制。
(四)制衡性原则
内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。内部会计控制的核心是有效防范各种风险。由于房地产企业经营的特点,为了使各种风险控制在许可的范围内,建立内部会计控制必须以审慎经营、化解风险为出发点。要充分考虑企业经营和业务各环节可能存在的风险,并设立适当的操作程序和控制步骤来避免和减少风险。
三、房地产开发企业内部控制的现状及问题
(一)公司治理结构不够完善
当前,国内各房地产开发企业的公司治理结构基本上都存在着不合理的问题,这也是其他行业共同存在的问题。从目前来看,在已经上市的房地产企业中,控股股东的持股比例过大,中小股东的权益得不到相应保障的问题比较突出。而股权的过度集中会使大股东占有表决权的绝对优势,其往往可以通过控制董事会来达到中饱私囊的目的,从而给中小股东的利益带来较大的损害。
(二)资金管理存在较多漏洞
货币资金作为企业变现能力最强的资产,其可以用来满足企业生产经营中流动支付的需要,而且也是企业还本付息和依法纳税的重要保障。但是,目前房地产开发企业在资金管理中普遍存在的问题是:一方面,项目开发需要大量的资金予以支持,而这部分资金多数情况下需通过银行贷款来解决,资金成本较高;另一方面,各项目资金沉淀严重,大量资金无法有效利用,资金使用效益欠佳。此外,某些项目在其内部资金的管理上也存在着一定的问题,项目经理在此过程中的权力较大,高度的资金使用自由性会大大增加财务舞弊事件发生的几率。
(三)收入核算不够合理
房地产商品销售往往采用预售、分期收款销售等多种销售方式,房地产收入的确认同其它的生产收入相比具有一定特殊性。《企业会计制度》和《企业会计准则――收入》中规定以风险和报酬的实质转移作为收入确认的标准,理论上具有合理性,但要求会计人员具有较高的职业判断能力。在会计实务中如何运用这一标准则比较混乱,核心问题于应在哪一环节确认为收入,其分歧的焦点集中在商品房所有权上的重要风险和报酬是否已经转移。
(四)工程项目管理存在风险
我国房地产企业适应招投标制度推行项目管理已有30余年,经过不断改进已渐趋成熟,但在房地产企业项目管理仍然普遍存在投标阶段与实施阶段相脱节的种种问题,突出表现在投标与工程项目管理结合不好、专业人员综合素质不高等方面。需要在人才队伍建设、改革内部奖惩机制、建立企业定额等方面进行改进和完善,不断提高企业自身的项目管理水平,以期更好地适应建设领域的制度改进,在市场经济的竞争环境中获取更好的经济效益。
(五)审计监督基本流于形式
当前,各房地产开发企业虽然大多数已在其公司内部建立起内部审计机构,但该机构的人员或管理职能基本上与财务部门存在着较大的重叠现象,财务人员兼职内审人员,财务部门的领导兼职内审部门领导的现象时有发生,且对于某些中小型房地产开发企业而言更是如此。而在外部监督方面,虽然目前我国已经形成了包括政府监督和社会监督在内的企业外部监督体系,但其监督效果却不尽人意,各种监督功能交叉,标准不一,管理分散,再加之监督主体之间缺乏横向的信息沟通,其监督体系难以形成有效的合力,甚至在很多情况下基本上流于形式。
四、房地产开发企业内部控制的完善策略
(一)积极优化公司治理结构
针对于房地产开发企业股权过度集中的问题,各企业应从实际出发,通过引进独立董事制度来健全董事会和监事会的职能,积极避免大股东在企业决策中损害中小股东利益或者舞弊事件的发生。另一方面,随着房地产企业开发版图的急剧扩大,许多企业的经营范围已拓展至全国,呈现出集团化的发展趋势,因此企业的管理模式也由集团直接管理逐步转变为区域多元化管理。为此,进一步建立与完善业务授权制度也将成为今后内部控制体系建设的重点之一。
(二)建立资金结算中心
针对房地产企业资金管理存在较多漏洞,有效的解决方式就是构建企业内部的资金结算中心。在资金结算中心结构下,房地产企业下属各成员单位的资金收支均需通过该中心予以解决,为此各单位需在中心内开设收入户和支出户,实施收支两条线管理。若某单位的本月资金支出超出月预算,则需通过追加预算予以补充,因此从这一点上看企业资金控制力将大大增强。
(三)强化会计核算系统控制
会计控制是企业内部控制的核心内容,有效的会计系统可保障企业会计信息的真实性、完整性、可靠性,进而为企业的财务运作、经营决策和管理目标的实现提供客观、及时、准确的决策分析依据。对房地产企业而言,一个有效的会计系统除了能够对经济业务进行真实记录、科学分类、及时合理的表达经济业务和披露相关事项外,还应重新定位会计的战略着眼点以及价值最大化目标,从而将管理的职能更多融入至会计系统。
(四)适时引入风险评估机制
从目前来看,房地产企业为了充分规避风险,减少经营不确定性所带来的损失,应适时引入风险评估机制。例如,可通过SWOT分析法来改善企业自身的内部控制。SWOT分析法不仅可用于企业的战略目标管理,还可用于对企业内部控制系统的评估,分析内部控制环境的变化可能对企业产生的各种影响,并据此制定具有针对性的措施。
(五)加速推进企业绩效审计
现代内部审计已从过去单纯的财务审计逐步向经营审计倾斜,除关注财务数据的准确完整外,更侧重企业资产的安全性、政策法规的遵循性、经营与目标的一致性等方面的内控审计。内部审计在向股东和董事会提供全面翔实的资料、评价企业经营活动过程中的绩效、评估内部控制效果及对舞弊迹象发出预警等方面所发挥的作用,已越来越受到人们的重视。通过内部审计,客观地评价经营者履行经济责任实现经营目标情况。
五、结论
通过上述分析我们看到,目前房地产企业的内部控制还存在很多漏洞,建立健全的房地产企业内部控制体系,不仅仅是企业发展的需要,更是市场经济的发展需要。只有不断思考寻求新思路,从根本上保证企业持续稳定发展,有效监督房地产内部治理,确保资本市场有效进行,才能使房地产行业在国民经济中发挥更加有效的作用。
参考文献:
内部控制的发展及其存在问题
内部控制源于西方发达的经济体,尤其以美国COSO全国虚假财务报告委员会(The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting)为代表,先后经历“内部牵制”“内部控制制度”“内部控制结构”“内部控制整合框架”和“企业风险管理整合框架”五个阶段,内部控制的内容从内部牵制设计一个要素到会计控制、管理控制的两个要素,到增加内部环境的三要素,到内部环境、风险评估、控制活动、信息与沟通、内部监督第五元素,再到内部环境、目标设定、事件识别、风险评估、风险应对、控制活动、信息与沟通、内部监督的八要素逐步地增加和完善;控制目标也从提高经营效果和效率、财务报告可靠性和法律法规的遵循性的三个目标发展到合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效果和效率,促进企业实现发展战略的五个目标。在目标设定中增加了“战略目标”,使企业在追求短期利益的同时,从战略高度关注企业长远目标和可持续发展,可以说内部控制是一个很好的管理工具,是很多专家学者和企业管理者管理实践的经验总结,是对现代企业管理理论的实践性总结和重要补充。
现代企业管理制度主要指以市场经济为基础、以完善的企业法人制度为主体、以有限责任制度为核心、以公司企业为主要形式、以产权清晰、权责明确、政企分开、管理科学为条件的新型企业制度,而在实践中缺乏相应的指导内容,内部控制很好地解决了这个问题。
当前我国企业也十分重视应用内部控制来加强内部管理,与西方发达国家相比,我国在内部控制理论研究上起步较晚,大多数企业在内部控制应用方面主要以我国有关部门颁发的制度为依据,同时借鉴国外企业的成功经验。我国的内部控制从2005年开始境外上市企业按照COSO规范要求建立内部控制体系,到2008年财政部、证监会、审计署、银监会、保监会五部委联合《企业内部控制基本规范》,2010年三个配套指引《企业内部控制应用指引》《企业内部控制评价指引》和《企业内部控制审计指引》的颁布,再到2011年A+H股的上市企业实施内部控制、境内上市公司试点和自愿试点企业的内控试点,到2012年所有主板上市企业的全面展开,走过了7年时间。在政府的创新和指导下,不少企业在内部控制应用方面表面上搞得轰轰烈烈,但是真正取得较好成效的却不多,没有达到应有的效果。由于历史与发展的原因,我国市场经济还不发达,市场体制尚不完善,从整体来看,企业体制多样化,治理结构不合理,企业在内部控制应用方面基本都存在控制环境不良、控制手段传统、控制目标单一、执行力不够、关注战略目标不够、没有和现代企业管理制度相结合等问题,因此,如何建立支撑企业战略目标、符合现代企业管理制度的内部控制具有现实意义。
建立符合现代企业管理制度的内控体系
强化法人治理结构,建立符合现代企业制度的内控环境
法人治理结构是公司中的核心问题,而公司法人治理结构的核心是通过配置公司的权力,建立有效的监督和激励机制,以保护公司股东的权益,实现公司利益最大化。建立股东(大)会、董事会、监事(会)和经理层的决策、执行和监督的机制,从根本上处理好投资者、管理层和监督者的关系,处理好制度与人的关系。股东(大)会是公司的最高决策机构,按照国家相关法律法规、行业和地方相关法规和公司章程规定,对公司章程规定的重大事项必须提交股东(大)会讨论;董事会执行股东(大)会的决议并在公司章程规定的权限下进行管理活动;监事(会)对董事会和企业管理者的管理活动进行监督,发挥战略委员会、审计委员会、薪酬提名委员会等专业委员会对董事会的支撑作用;建立企业“董监高”和独立董事的职责权限、任职资格、议事规则和工作程序,并按照规范要求定期组织相关会议,保持好相关记录并按照信息披露的要求进行披露。企业的重大决策、重大事项、重要人事任免及大额资金支付业务等,应当按照规定的权限和程序实行集体决策审批或者联签制度,任何个人不得单独进行决策或者擅自改变集体决策意见。
对公司的战略进行研究,制订企业的中长期和短期
战略目标并对目标进行分解
企业战略管理是企业管理科学中的一个重要范畴,它能够给企业发展指明方向,促进企业朝着正确的方向迈步,保证企业近期和长远的持续发展。为了保证战略目标的实现,企业要加强战略管理,做好从战略分析、规划、实施到决策变为现实的战略过程,对国家宏观政策、行业进行研究,对市场和竞争对手进行必要调查,对存在的机会和风险进行识别,发挥自己的优势,做和自己能力资源相匹配的业务,设计好的商业盈利模式。企业应该对自己的中长期战略和短期战略进行研究,并提出相应的目标和实施路线图,并把战略目标分解到相应的组织和人,落实资源和计划,对关键目标和节点进行重要控制,并根据执行情况进行必要的调整,在企业经营管理中进行动态的战略管理。一般企业都缺乏战略管理人才和相应的行业研究,因此建议请专业的咨询公司定期对公司的战略进行必要的设计或者战略梳理。
在战略框架下设计企业的组织架构,并对管理职责
重新进行梳理
为了促进企业实现发展战略,优化管理体制和运行机制,按照组织设计原则和内控规范要求对现有组织进行设计和梳理,明确各部门的职责,区分核心职责和辅助职责,并对核心职责对应的业务进行必要的设计,明确各部门的管理界限和接口。面对重大组织调整,最好进行必要的试运行或者设计过度组织结构,并对组织运行过程和结果进行分析并做必要的调整,在组织正式运行后一般要保持组织的相对稳定。
很多企业在经过多年发展后,由单体公司向集团化迈进,企业的组织也要进行相应的变革。按照集团化管理的要求,要明确集团和子公司的定位和职责要求,整合资源,对子公司管控进行必要设计,尤其关注子公司的投资管控制度,通过合法有效的形式履行出资人职责、维护出资人权益,重点关注子公司特别是异地、境外子公司的发展战略、年度财务预决算、重大投融资、重大担保、大额资金使用、主要资产处置、重要人事任免等重要事项,并建立相应管理制度。
建立战略指导下的薪酬和绩效考核等人力资源制度
人力资源管理是一门科学,它具有价值有效性、稀缺性和难以模仿性,是企业构建竞争优势的核心资源。企业如何在激烈的市场竞争中,以人力资源作为核心构建自己的竞争优势,是企业管理的基础,企业高层必须重视。内部控制下的人力资源管理内容分为人力资源的引进与开发、人力资源的使用与退出两部分内容。在企业管理实践中,企业要按照组织和管理职责的分配,进行必要的岗位分析,对岗位职责进行设计,编写岗位说明书;对岗位的工作任务进行分析,进行定岗定编;对岗位进行分析评价,建立具有激励性的薪酬制度和绩效考核办法;把战略目标、年度目标和经营计划关联,把公司目标和管理活动结合起来,并逐层分解;在建立绩效考核制度的同时加强对员工的培训、职业生涯规划和长效激励机制的建设,保证公司的战略目标实现,同时兼顾员工的利益,让员工也分享企业发展带来的实惠。
按照内部控制要求建立企业文化和社会责任相关制度
作为社会公众公司,企业应履行社会责任,实现企业与社会的协调发展。内部控制要求企业的社会责任主要包括安全生产、产品质量、环境保护、资源节约、促进就业、员工权益保护等,要求企业做到经济效益与社会效益、短期利益与长远利益、自身发展与社会发展相互协调,实现企业与员工、企业与社会、企业与环境的健康和谐发展。企业文化是企业在社会主义市场经济的实践中,逐步形成为全体员工所认同、遵守、带有本企业特色的价值观念、经营准则、经营作风、企业精神、道德规范、发展目标的总和。内部控制要求企业进行文化建设并对文化建设进行评估,董事、监事、经理和其他高级管理人员应当在企业文化建设中发挥主导和示范作用,以自身的优秀品格和脚踏实地的工作作风带动影响整个团队,共同营造积极向上的企业文化环境。
对企业的核心业务进行梳理和设计,建立业务层面的内部控制
按照《企业内部控制应用指引》要求,对企业的资金、采购、资产、销售、研发、工程项目、全面预算、合同管理等重要管理要素进行业务流程的梳理与设计。对符合公司业务发展要求的业务流程进行描述以实现规范化;对不符合内控流程要求的业务流程进行优化;对不适应公司未来变革与发展的业务流程进行再造;从业务流程识别关键流程,从关键流程识别关键作业,从关键作业识别关键管理活动,从管理活动识别内控风险,并对风险通过多维度按照重大风险、重要风险和一般风险进行评价,建立风险控制矩阵,对评价指标比较高的风险纳入公司层面风险数据库。企业高层在管理实践中要重视并采取不同的应对措施:对公司不能承受的风险要建立风险管理方案并落实资源进行改善。建立公司高层、中层和基层全员参与的内控体系,在业务过程和日常管理活动中对控制活动进行记录与归档;建立事前、事中和事后交叉控制的网状控制,对风险比较大的事项,加强控制;对风险比较小或者一般的事项采取减少控制以提高管理效率;对风险适中的业务活动可以加强事后审计控制,在兼顾风险的同时提高管理效率。
内部控制是一个综合性的控制,往往是几个控制措施的综合应用,内控规范里讲了7个常见的内部控制措施:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、营运分析控制、绩效考评控制。根据内控实践经验,强调事前不相容职责控制、授权审批控制外,特别强调了作为内控事后控制的内部审计控制,即经过风险评价后对组织和业务进行内部审计控制,有利于提升管理效率,特别是针对国企改制来的上市公司,公司要强化审计部门的力量,对风险大的单位和业务加强内部审计。
对内控体系进行评价
完成内控体系建设后,企业要按照《企业内部控制评价指引》要求制订评价工作方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告,自我评价报告需要对外公告和提供内控审计单位进行内控审计。内部控制评价工作组应当对被评价单位进行现场测试,综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,充分收集被评价单位内部控制设计和运行是否有效的证据,按照评价的具体内容,如实填写评价工作底稿,研究分析内部控制缺陷,并对内控缺陷进行认定,包括设计缺陷和运行缺陷。企业对内部控制缺陷的认定,应当以日常监督和专项监督为基础,结合年度内部控制评价,由内部控制评价部门进行综合分析后提出认定意见,按照规定的权限和程序进行审核后予以最终认定。按其影响程度分为重大缺陷、重要缺陷和一般缺陷。对于认定的重大缺陷,应当及时采取应对策略,切实将风险控制在可承受度之内,并追究有关部门或相关人员的责任。新建立的内控体系一般要求试运行3个月以上进行初次内控评价,在年底财务审计前再做一次内控评价,并检查整改效果。
执行内控审计
在企业完成内控评价报告后,按照《企业内部控制审计指引》的要求,企业要对特定基准日内部控制设计与运行的有效性进行审计。可以单独进行内部控制审计,也可将内部控制审计与财务报表审计进行整合审计。内控审计包括制订审计计划、实施审计工作、评价控制缺陷、完成审计并出具审计报告。内控审计报告有四种:标准内部控制审计报告、带强调事项段的无保留意见内部控制审计报告、否定意见内部控制审计报告和无法表示意见内部控制审计报告。
特别注意内控无效的两种情况:注册会计师认为财务报告内部控制存在一项或多项重大缺陷的应当对财务报告内部控制发表否定意见,评价指引中明确指出的重大缺陷的主要四种情况如下:
1. 注册会计师发现董事、监事和高级管理人员舞弊。
2. 企业更正已经公布的财务报表。
3. 注册会计师发现当期财务报表存在重大错报,而内部控制在运行过程中未能发现该错报。
4. 企业审计委员会和内部审计机构对内部控制的监督无效。
企业如果拒绝提供或以其他不当理由回避书面声明,注册会计师应当将其视为审计范围受到限制,出具无法表示意见的内部控制审计报告。
关键词:内部控制评价;平衡积分卡;评价模型
中图分类号:F239.45 文献标志码:A 文章编号:1673-291X(2013)17-0024-03
引言
轰动全世界的安然事件发生之后,美国政府加大了对企业内部控制工作的重视,随即出台了《萨班斯法案》,它引发了全美对内部控制的空前重视。该法案明确提出了内部控制评价的具体要求。法案确立了企业内部控制信息强制披露的制度要求,提出了对内部控制评价框架应具备的条件,这在很大程度上减少了管理层内部控制工作中的盲目性,使内部控制工作更具效率和效果。
我国于20世纪80年代末开始关注内部控制评价工作,在90年代后期我国政府开始重视企业内部控制的规范化和法制化建设,五部委均出台了关于内部控制评价方面的规范,这些规范对于推动企业加强内部控制建设起到了相当重要的作用。但我们也应该清楚地认识到,如何具体的实施内部控制评价尚缺乏明确的规定,相当多的企业管理层或员工对内部控制评价缺乏清晰的认识和理解,有的甚至对内控评价有错误的观念。
本文认为,构建一套规范完整的内部控制评价体系无论对于监管部门还是企业都是有很大作用的,若缺乏应有的内部控制评价体系,内部控制的作用将大幅下降。内部控制为企业的经营和财务管理活动服务,健全有效的内部控制应能保证企业的经营和财务活动顺利开展,尽管经营指标和财务指标并不是内部控制活动的具体表现,但经营和财务方面的某些指标可以在某种程度上说明内部控制的有效性[1]。评价企业绩效的平衡积分卡在某种程度上也是依赖财务指标来说明的。内部控制评价和平衡积分卡二者有一定的相似性。由此,本文尝试利用国际流行的平衡积分卡框架来构建我国的内部控制评价体系,并希望对企业内部控制评价模型提供一些新思路。
一、平衡积分卡的内容及在内部控制评价中的应用
平衡积分卡由哈佛教授Robert Kaplan和诺朗顿研究院的执行长David Norton设计的一种综合业务评价系统。平衡积分卡的核心思想是通过财务、客户、内部流程和学习与发展四个方面的指标之间的相互驱动的因果关系展现组织的战略轨迹,即实施绩效考核、绩效改进与战略实施、战略修正的战略目标过程[2]。它把绩效考核的地位上升到企业的战略层面,使之成为组织战略的实施工具。平衡积分卡是以企业的战略为基础,并将各种衡量方法整合为一个有机整体,既包含了财务指标,又通过顾客满意度、内部流程、学习和成长的业务指标来补充说明财务指标,这些业务指标是财务指标的驱动因素。图1描述了平衡积分卡的4个方面及相互关系。
平衡积分卡的平衡是指在以下4个方面保持平衡:在长期目标和短期目标之间、股东与客户和内部流程与学习成长之间,在所求的结果和这些结果的执行动因之间,在强调客观性测量和主观性测量之间。
内部控制评价是指通过对企业内部控制的执行过程的监督和结果的评价,发现其内部控制的缺陷和薄弱环节,并有针对性的提出改进意见和建议,从而促进企业内部控制制度的进一步加强和完善[3]。内部控制作为提升企业经营业绩和管理水平的重要工具,不仅关系到企业的质量和自身的发展,而且也关系到广大投资者的利益和资本市场的健康发展。对内部控制进行评价就是对控制环境、风险评估、控制活动、信息与沟通、内部监督五要素的情况的评价。控制环境是内部控制的关键,是其他4个要素的基础。如果没有一个有效的控制环境,其他4个要素无论质量如何,都不可能形成一个有效的内部控制。所以,要评价内部控制的完成情况,必须从企业对控制环境的评价入手。5要素的关系如图2所示。
1.控制环境的评价:控制环境的评价主要是针对公司组织结构、发展战略、人力资源、企业文化、社会责任等所作的评价。在组织架构的评价方面,企业是否按照国家的有关法律法规进行股东大会决议,企业章程是否结合了企业的实际情况,是否明确了董事会、监事会、经理层和企业内部各层级机构设置;在发展战略发面,企业是否能根据现实状况和未来发展趋势进行科学的预测,并制定出企业的发展目标和战略规划;在人力资源方面,企业是否根据其自身的发展战略,合理配置了人力资源,是否调动了员工的积极性和潜能为企业创造价值;在企业文化方面,企业是否有全体员工所认同并遵循的价值观、经营理念和企业精神;在社会责任发面,企业是否有履行社会责任和义务,如安全生产、环境保护等。
2.风险评估的评价:风险评估是内部控制的前提,它包括两个方面:内部风险和外部风险。在内部风险方面,企业是否对内部管理、自主创新、财务、安保、人力资源等因素引起的风险足够重视并加以防范;在外部风险方面,企业是否对外部因素引起的风险加以重视,企业是否能够顺利识别、评估与企业发展目标相关的风险,并对此加以控制和防范,使风险控制在企业可接受的水平之内。
3.控制活动的评价:控制活动是企业内部控制的主题,企业能否通过设计、执行控制活动,将风险控制在企业可接受的范围之内。具体的控制活动评价内容包括:资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告等方面的控制活动的评价。
4.信息与沟通的评价:信息与沟通是企业应对环境改变,保证控制有效的工具与手段,良好的信息沟通有助于提高企业的内部控制的效率和效果。关键是保证内部沟通和外部沟通的真实与及时,企业管理者能够通过相关的信息采集,采取适当的反应和措施。
5.内部监督的评价:内部监督是企业内部控制活动得以执行的重要保障。具体包括:监督机构、监督主体、报告缺陷和改进、自我评估的设计是否有效。由于内部审计部门是内部监督的主体,只有其发挥职能,内部控制工作才能有效进行。所以,对内部监督的评价,主要是指对内部审计部门是否保持其独立性的评价。
简而言之,一个有效的内部控制活动就是在以控制环境为基础的情况下,保持风险评估、控制活动、信息与沟通、内部监督之间的平衡。企业能否做到上述活动,是评价企业内部控制活动有效性、合理性的重要依据。
二、内部控制与平衡积分法运用中的共性分析
1.平衡积分卡在企业实施过程中存在的最大困难是企业管理层和员工对平衡积分卡的认识不够,专业水平不高,往往表现出对平衡积分卡的不信任,甚至质疑,给平衡积分卡在企业中的应用带来了阻碍,大大影响了平衡积分卡作用的发挥。在企业中,有效的内部控制评价能够促进企业内部控制的落实和执行。然而,我国大部分企业侧重于对企业实施内控,对内控的结果好与坏的关注度不够,对内部控制评价缺乏应有的了解,对内部控制评价的一些核心问题还缺乏清晰的认识。
2.平衡积分卡是一套战略管理工具,它的实施是自上而下的,所以平衡积分卡若要实施成功,必须得到管理层的重视和支持。高层管理者实施平衡积分卡的决心很大程度上决定着平衡积分卡的顺利实施。内部控制评价是指通过对企业内部各组织机构内部执行的过程和结果的评价,发现其内部控制的缺陷和薄弱环节,并有针对性的提出改进意见,是提升企业质量,促进企业发展的重要工具。它的评价实施也应该从其企业的最高层到最底层,全方位、全过程、全员控制的企业内部控制评价制度。
3.平衡积分卡的实施需要财务、顾客、内部经营、学习和增长这些指标支撑。财务指标的创立和量化是比较容易的,而其他3个方面的指标就需要企业管理层根据企业的实际情况加以仔细斟酌。有些重要指标很难量化,如员工受激励程度方面的指标,这就对企业的信息传递和反馈系统提出了很高的要求。内部控制评价标准可选用结果评价指标,结果评价指标就是要考核内控目标的实现程度,它是基于内控目标而建立的一系列结果考核指标,并规定相应指标的合理指标来进行评价。然而,选取的指标和权重的确定直接决定了内控评价的结果。虽然这种方法操作简单,但不可避免地存在权重确定的主观随意性,从而不能保证结果的精确性。
4.平衡积分卡的实施由于包含太多的测评指标,而大量的评价指标往往会使企业管理者无所适从,无法找到重要指标对企业绩效的衡量,因此需要企业建立一个完善的企业信息系统。随着科学的发展和社会的进步,我国已进入信息化时代,由于环境的变化,使得企业对自身的内部管理的各个发面提出新要求,这就要求我们要建立一个能充分体现内部控制整体性和过程性的完整高效的企业信息化内部控制系统。
三、利用平衡积分卡来加强内部控制评价的建议
1.内部控制由控制环境、控制风险、控制活动、信息与沟通以及监督组成,在内部控制评价体系中强调全员参与的思想,即每一个员工都是控制对象。因此,对内部控制实施评价就是对企业中的每一个员工行为的评价,而员工的广泛参与,首先可以增强员工的风险意识和内控意识,其次也有利于企业和业务层面的各类风险更透彻的风险评估。平衡积分卡中有对企业员工的选择和培训教育工作的评价办法,并且与企业面临的外部环境相适应。因此,平衡积分卡对企业的内部控制评价是适用的。
2.正确界定内部控制的评价目标,不仅能满足监管部门对信息提供和披露方面的要求,而且能够有助于企业战略目标、经营效率和效果的实现。因此,企业内部控制评价的目标应从内部控制的目标出发,考核内部控制所规定的目标实现与否。不同的评价主体对内部控制评价的目标界定也不尽相同,如监管部门更多的是关注内部控制制度所达到的报告目标的合规性和合法性;而企业自身进行的内部控制评价不仅要符合法律法规,还要关注内控对企业战略目标和经营目标实现的作用程度。成功的平衡积分卡控制制度是把企业的战略目标和一套财务和非财务性评估手段联系在一起的管理手段。有效的平衡积分卡的应用可以把它从最根本的绩效考核地位上升到组织的战略层面,成为组织的战略工具。所以说,平衡积分卡的应用可以促进企业战略目标的实现。
3.我国传统企业对于内部控制的范围是狭窄的,大部分企业依然存在着“重管理轻治理”的现象,这种情况造成了内部控制的内容和范围较小,缺少与管理相结合的过程,因此也造成内部控制评价范围的狭窄。如果将平衡积分卡运用到企业内控中来,并实现两者的最佳结合,需要企业改变原有只重视企业和下游的观念,把关注的视野拓展到上游,以实现对整个供应链的控制。企业的内部控制扩大了,自然而然内控评价的范围也随之扩大,这不仅有利于企业价值最大化的实现,也有利于提高企业在整个行业中的地位,加强了企业的竞争力。
4.平衡积分卡的实施能否在战略绩效管理中发挥作用,重要的是企业完善的信息系统的支撑。完善的企业信息系统有利于信息决策者了解企业信息化内部控制的效果。我国企业应该清楚的认识到,建立一个与企业自身组织和市场环境相适应的管理信息系统与财务信息系统的重要性,它不仅关系到企业的运营效率,而且能促进企业及时对市场做出反应。
【关键词】绩效考核;绩效管理
绩效管理现已在企业事业单位中得到广泛推广和应用,我企从2008年开始实行,作为企业绩效管理部门负责人和实践者,现就如何在管理中取得实效,谈一下粗略看法。
1.什么是绩效管理
就是指企业通过各种方法和手段对员工施加影响,使员工的工作活动及产出与企业最终利益最大化保持一致的过程。其中需要明确的是:
(1)绩效管理的基础条件是使之完整的管理制度。包括财务管理制度、人力资源管理、安全管理、风险评估与控制以及商品营销制度等。
(2)绩效管理的最佳目的就是通过各种管理办法和手段,充分发挥员工的主观能动性,以实现企业利润最大化的目标。
(3)常用的管理方法和手段。绩效管理是一项系统工程,主要由四个环节组成。按过程可划分为:
第一、绩效计划:主要指企业的中长期发展规划及年度经营计划,要根据实际,将计划层层分解,具体到各单位、部门及个人,要求每个岗位都要有计划,落实到位,特点突出,计划性强,便于考核。
第二、绩效实施:即通过确定目标,明确责任,有组织,有领导,通过企业的内部管理机制,落实绩效计划的过程。
第三、绩效考核:依据企业的年度计划和各岗位的职责范围,结合实际,确定科学管理的考核内容和标准,并按照公平、公正、公开的原则进行评估。一般采用百分制确定考核结果。
第四、绩效运用:
①对考核结果的运用,必须要和单位及个人的薪酬挂钩。
②要和员工职位晋升,降级及岗位调整相结合。
③对考核中反馈的问题,要及时制定整改措施加以解决。
④为确定下步工作目标提供依据。
2.企业为什么需要绩效管理,我认为主要有四个方面需要
(1)实现责任与利益挂钩,构筑责权分明、管理科学、协调运转、有效可控的管理体系,并达到对企业绩效进行评估的目的。
(2)建立“以绩效为导向”的管理模式,降低企业运作的成本,增加企业利润率。
(3)确定各单位各岗位的绩效指标,将企业的经营管理目标分解到各单位及个人,确保企业目标和个人目标的一致性,强化执行力,提高员工的工作效益和积极性、主动性、创造性。
(4)为员工薪酬的评定提供公正、公平、公开的依据。
3.绩效管理的主要程序
(1)基于公司的战略目标和经营计划,确定考核要点。
(2)通过相关办法将考核要点分解至各单位,在对关键指标加以完善细化的基础上,结合各单位的职能范围确定。
(3)通过量化办法,确定考核内容及评定标准,形成绩效考核表。各单位,部门内部对待员工的考核(二级考核),要细化,到点、到位,充分发挥内部考核的作用。
(4)各单位先进行内部提议,形成单位意见,将自评结果报企业主管的部门,并交公司绩效考核领导小组评估审定,最终结果公示。
(5)加强沟通。各级管理人员,应针对下级单位或个人的绩效实现进展情况,经常进行沟通,要为下属提供必要的条件,帮助员工解决工作困难,督促和确保绩效目标的顺利实现。要正确引导员工的行动,加强员工的自我约束,发挥员工的潜能,努力塑造一个团结、和谐、积极向上的团队。
(6)考核结果与员工的薪资挂钩,通过经济手段,促进和提升员工的能力和水平,补齐短板,激励员工努力进取,创新和创造。
(7)通过完善各项管理制度及相关办法,将考评的各个环节串联起来,形成目标管理的考评体系。
由于绩效管理的目的性强,方向性明确,程序要求严密,方法要求得当,结果要求公正,需要我们不断地夯实各项管理工作基础,推进精细化管理,才能不断推进企业管理各项水平的提高,才能达到绩效管理的最佳目的。
4.绩效管理在工作中要注意的几个问题
(1)注意管理制度的完善。要结合单位实际,明确部门岗位的职责范围,用制度管人,避免考核中的争议,提高工作效率。
(2)对工作程序和流程,包括各个环节的衔接要科学规范。
(3)制定考核内容时,能量化的要量化到位。
(4)注重过程中的监督和检查。
