1、如何有效理解财产保护控制？

根据财政部《企业内部控制基本规范》规定，财产保护控制要求企业建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全。企业应当严格限制未经授权的人员接触和处置财产。

从字面理解，财产保护控制措施倒也没有什么特别之处，较容易理解，但其实并非我们很多人想象的那样简单，否则就不会时而看到一些企业出现财产损失的事件报道。

企业财产包括哪些？

财产是否就是我们肉眼看得见、摸得着的实物呢，如设备、厂房、物资等具有有形形态的物品，或者企业财务报表能够直接记录反映的资产呢，比如货币现金。

其实，企业拥有的财产不仅是那些办公设备、厂房、产品，还有那些无形、但同样珍贵的财产——比如专利、商标、商业秘密，甚至企业上下游的客户数据，以及企业长期经营所积累与沉淀的数据，这些很多都是我们无法肉眼直接看见，以及财务报表未能有效反映的隐形资产。

说到数据，财政部于2023年8月21日出台了《企业数据资源相关会计处理暂行规定》，规定自 2024 年 1 月 1 日起施行，核心内容主要是如何规范企业数据资产入表。从这个层面来看，数据当然就算企业财产了，而且是很重要的财产。

企业这些无形财产，当然需要去保护，这些财产一旦出现问题，比如专利侵权或被泄密，对企业带来的打击和产生的损失均是无法预计或估量的。

例如，2017年，美国信用报告巨头Equifax公司遭遇了其历史上最为严重的数据泄露事件。外部攻击者利用Equifax网站的安全漏洞，窃取了1.43亿用户的敏感信息，包括出生日期、地址、驾照号码、以及社会保障号等等。事件曝光后，Equifax股价应声大跌，几十亿美元市值被蒸发，不仅如此，而且还面临数十亿美元诉讼官司缠身。

类似的国内外案例有很多，充分说明那些无法直接看得见、未反映在企业报表上的无形财产保护的重要性。

如何理解财产保护控制的目标？

财产保护控制目标是确保企业财产安全，这也算是企业最朴素、最基本的控制需求，适用于任何一个有财产的企业。

不过，企业实务中对“安全”的理解存在相对较为狭隘或单一的现象，仅仅理解为财产静态和空间维度的安全，比如，没有丢失、遗失或被盗等，就认为万事大吉，而没有从动态和时间维度考虑安全目标内涵，比如被不合理使用或长期闲置等。

财产安全目标不仅仅包括防止被盗窃、遗失或丢失，还包括财产被滥用或被舞弊谋取私利、以及财产使用与维护过程中防止损坏或减少磨损，等等；从财务角度，不仅仅关注财产的账面价值，还要关注财产的市场当下价值。

或者换个角度说，企业的财产，正常存在，且被有效合理使用与维护，才能发挥财产的价值，进而确保企业正常运营与发展。

财产保护的控制措施有哪些？

基本规范提出财产保护控制措施包括：记录、实物保管、盘点清查与账实核对、授权接触和处置财产等等。

上述每一具体控制措施，在企业内部都是再也常见不过的了，但这些控制措施不能单独看和应用，否则其作用可能难以显现，它们需要被组合起来应用。

一方面，这些措施如何组合应用需要遵循不相容职务分离原则，这些财产保护控制措施不能由某一个部门或岗位全部干完，实务中具体如何应用，需要结合组织架构、岗位设置及人力资源配置情况考虑，比如财务记录和实物保管不能混同一人操作，否则会容易引发舞弊行为风险。

另一方面，这些财产保护控制措施基本属于泛之四海而皆准的东西，不同类型的企业，在落实每一控制措施时，用到的方法和手段，也会呈现差异性，有些企业可能更多依靠人工来记录与实物保管等，有些企业可能靠技术自动化手段履行自动记录与保管等，最终效果也会存在差别。

2、企业财产保护常见问题有哪些？

尽管企业都知道财产保护控制的重要性，但在实际操作中，往往存在许多问题，概括起来大概如下：

缺乏系统、全面的财产保护控制策略

企业财产的种类繁多，需要保护的部分也各不相同、保护要求也不一样，没有一套完整、系统的策略，企业各项财产也就难以有效得到保护。

比如，在组织层面，无专门的团队或部门来负责财产保护的工作，未设立知识产权部门或相关专业岗位，专门负责企业的专利、商标等申请和日常维护；

再如，在流程层面，企业也未制定清晰的财产保护流程，譬如数据查阅、使用及处置等保护流程、商业秘密保护流程等等。

又如，在授权层面，企业亦未明确相应权责，未明确哪些人员能够或限制访问和使用哪些财产，以减少无关人员接触敏感信息的机会，等等。

员工的执行力不足或不到位

很多企业其实有相应的财产保护策略与制度规范，但若没有得到全员的积极参与和执行，财产安全目标也难以有效保证。

一方面，企业可能未建立有效的监督与奖惩机制，未定期欧不定期检查财产保护策略的执行情况，以及时发现并纠正问题；也未有相应的惩罚机制，也缺少激励员工遵守财产保护规定。

另一方面，企业员工的财产保护意识不强，缺乏培训强调，以让员工明白保护企业财产的重要性。

个人认为，这块如何加强执行，可以向一些军工类企业学习保密管理的措施与方法。

线上财产保护容易被忽视

随着科技的发展以及信息化软硬件使用的场景不断普及，线上财产（核心是数据）容量和重要性越来越大，但是相应的保护措施却往往被忽视或很难同步跟上。数据泄露、黑客攻击等问题频发，给企业带来了巨大的风险，如前文提到的Equifax公司一样，信息安全已成为当下企业最需要重视的风险领域之一。

企业未投入必要的安全技术、工具，如防火墙、加密技术等，当然还有专业的人员，以保护企业线上数据不被非法访问或者盗取；同时，企业员工缺乏网络安全培训，不清楚如何识别和防范网络攻击，如钓鱼邮件、恶意软件，等等。

3、财产保护控制常见策略有哪些？

首先，需要对企业各类财产进行有序梳理和分类，从表内为主转向表内与表外全面兼顾，从线下实物为主转向线下与线上全面兼顾，从有形为主转向有形与无形全面兼顾。

其次，识别不同类型财产面临的潜在风险，不同类型财产，从购置、登记造册、日常使用与维护、处置及价值效益发挥方式等，可能均存在很大的差别。在风险识别与评估环节，建议要深入研究每一类财产的特点，而不能流于表面，涉及专业限制，考虑利用专家顾问协助。

最后，在识别风险基础上，设定有效的防控策略与具体措施。不同类财产保护控制措施简要列示如下：

实物类财产

物理安全措施：增强物理安全控制，如安装监控摄像头，部署安保人员，建立访客登记系统，以及采用高级门禁系统，等等。

灾害预防：确保保险覆盖范围足够，制定灾害应急预案，包括防火、抗洪、地震等自然灾害预案，以及定期进行安全演练，等等。

实物日常管理：一方面，建立各类资产（设备、存货等）的不相容职务分离控制，包括财产记录、实物保管、实物出入库操作、定期盘点、账实核对等；另一方面，建立和维护资产清单，使用资产管理软件跟踪企业各类资产状态，定期开展价值评估。

货币类财产

资金方面：建立资金收支管理制度，确保资金的合理安全流动，防止资金被滥用和挪用；所有的资金账户都应该得到监控，避免非法活动和欺诈行为；资金账户访问和操作应得到控制，只有授权人员才可操作，等等

票据方面：所有票据都得到妥善保管，防止丢失和盗窃；定期进行票据账实核对和盘点，确保票据账实相符；票据的使用应得到监控，防止非法使用和滥用，等等。

知识类财产

法律手段：通过专利、商标和版权法律化地保护知识产权，定期或不定期监控潜在的侵权行为。

保密协议：与员工、供应商和合作伙伴签署相关保密协议，确保商业秘密不被泄露。

员工培训：对员工进行知识产权保护培训，提升对知识产权价值和保护必要性的认识。

线上类财产

网络安全控制：使用防火墙、反病毒软件、入侵检测系统等工具来保护网络不受威胁。

数据加密控制：对企业敏感信息与数据进行加密，尤其是在传输过程中，以及在存储时采用加密技术，如SSL证书和数据库加密等技术。

逻辑访问控制：限制对关键系统和数据的访问，只有被授权人员才能访问。

备份和恢复控制：建立数据备份策略，并定期进行系统数据备份，且要确保可以快速恢复数据，以应对数据丢失或系统故障情况。

安全意识培育：对员工进行网络安全意识的培训，包括识别钓鱼邮件、安全密码的设置和避免潜在的网络威胁等等。

上述控制措施只是一些基本常见的，还有许多不曾考虑到的方面，在此仅作抛砖引玉。

实务中，不同的企业，针对具体的业务场景，会设置具体的、个性化的控制策略及措施，但这些基本的与常见的都能有效做到，也无疑在很大程度上能降低财产安全方面的风险，不过安全控制目标要求越高，企业需要投入的资源也就越多。

只要企业一天处于运营状态，财产保护控制就是企业最基本最必不可少的控制活动，做好财产保护，让企业始终在一种安全环境中持续有效运行。

来源：互联网