引論:我們為您整理了13篇風險識別與風險評估的區別范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。
篇1
壓力機作為常見的金屬加工機械,在汽車,造船,航空,機加工等非常多的行業有著非常廣泛的應用。同時,壓力機是一個非常危險的機械。沖壓作業傷指事故較多。該行業曾流行一句話:十個沖工九個殘。客觀原因是沖壓機械滑塊垂直下沖速度極快。
以一般100噸液壓沖床為例,滑塊每分鐘往復次數為75次,即單程一次只約需0.4秒。采用行程為100毫米進行拉伸作業,若手在模內,沖床滑塊下沖傷指的時間約為0.1秒。而當操作者發現或感覺到滑塊下沖時,反應到大腦,再由大腦指揮手縮回的時間約為0.2-0.3秒,顯然手是來不及收回的。因此常造成傷指事故。
因此如何對于一臺沖壓機械中所存的風險進行分析得出結論,并對其實施改造,以達到機械安全與人員保護的目的。
2、風險評估原理
根據ISO 12100的要求,應依照一系列合理步驟進行風險評估,以便對機械相關危險進行系統地檢查。對于ISO 12100:2010第6條中所述的任何風險降低措施,風險評估過程均應遵守。為最大限度消除危險并實施安全措施,這一過程重復進行時,應給出一個迭代過程。
風險評估方法包括:
風險估計。確定限制條件;危險確認;風險估計。
風險評價。風險估計提供了風險評估所需的信息,而風險評估反過來又有助于對機械安全進行判定。
3、第三 針對一臺400T機械式壓力機所進行的風險評估
在本文中,我們將主要針對一臺400T閉點式機械壓力機進行風險評估,以識別其中所存在的風險。依據前文所述,我們執行了以下步驟:
預定的使用環境為一般工業環境。機器針對操作人員,維護人員和技術人員使用而設計。人員已接受機器相關的常規培訓。HNKJ-400噸壓機上的維護作業由受過培訓的人員進行。機器的清潔由操作人員進行;若存在堵塞,則由操作人員進行修復。機器的預計使用壽命為20年。
在一臺壓力機中,最顯著的危險源自于合模區中固定在壓機滑塊的上模與工作臺中固定的下模之間的擠壓危險,但是由于觸及的頻率及方式各不相同,對于各個風險點我們進行了如下的識別與評估:
3.3 從正面進入模具區域
3.4 從側面進入模具區域
從上述的風險評估舉例中,可以看出,即使是同一個機械動作所引起的危險,在不同的作業情況下,不同的接近路徑下,其風險區別極大。因此,在考慮設計控制系統時,不同的接近路徑下,不同的控制系統元素的可靠性和冗余性應當也有所區別。盡管選取最高的系統可靠性顯然能夠滿足系統的安全要求,但是也會造成系統的構建成本過高,設計過于復雜。因此,根據風險評估的結果,來選取相應的控制系統等級來設計控制系統,是非常有必要的。
4、結語
通過對于HRN風險評估參數法的闡述,以及對于壓機最主要風險進行的分析,我們可以看到,如果在沒有任何保護措施的情況下,操作這樣高風險的機器時是非常危險的。我們必須采取安全保護措施,構建安全防護及相對應的安全控制系統來保護操作人員的安全。而在設計控制系統時,根據不同的HRN參數,來選擇合適的控制系統等級也是非常重要的。這樣可以針對性地提高系統安全性,并有效地控制項目成本。
篇2
一、引言
信用風險評估作為信用風險管理的中心內容,是指通過使用某種計量模型或者某種技術來測量投資者面臨的信用風險的大小。Ⅲ我國金融市場尚處于轉軌和新興發展階段,信用風險評估方法和手段較為落后,如對上市公司信用風險評估分析主要采用傳統的靜態比率分析等定性方法,缺乏系統科學的動態的信用風險定量分析,這遠不能滿足對上市公司信用風險進行準確識別和評估的要求。目前我國上市公司信用風險評估經常出現錯判誤判現象,特別是專門針對上市公司特點而進行信用風險評估的實用模型還不多見。
1978年,A.Charne等人提出了基于相對效率的多投人多產出分析法――數據包絡分析法(Data EnvelopeAnalysis,DEA);Joseph.C.Paradi,Mette.Asmild以及Paul.C.Simak提出了基于DEA模型的Nomal/Worst DEA概念,并結合分層技術(Laying tech.),對加拿大企業進行了信用風險評估。此方法既區別于傳統DEA模型在輸入和輸出指標上的選取,又克服了DMA類信用評估方法在選取樣本公司和判別定點(cut-off piont)上的缺陷,為評估上市公司信用風險提出了一條新的思路。本文將擬用此方法對我國上市公司信用風險評估作進一步的實證研究。
二、上市公司財務狀況與其信用風險的相關性
上市公司財務狀況與其信用風險程度是密切相關的。財務實際上是企業生產經營活動的貨幣化,一方面,影響企業信用風險的因素可以在財務上表現出來;另一方面,上市公司投資失敗、利潤下降、融資渠道枯竭等信用事件,都能反映在企業的財務狀況上;再有,上市公司的信用狀況與其財務狀況,實質上是一個相互影響、相互促進的關系。因此,財務狀況能給我們提供一個量化其信用風險的手段;它可以幫助投資者全面分析企業的經營業績,進而分析企業在信用交易中的履約能力,以便正確估計上市公司的信用風險。經驗表明,許多投資機構都把上市公司的財務狀況作為評估企業信用風險的重要依據。
三、DEA理論及其模型構建
數據包絡分析(DEA)是一種線性規劃技術,也是一種最常用的非參數前沿效率分析方法。該方法具有處理多個輸入數據和多個輸出數據的多目標決策問題的能力,在實際中得到了成功的運用,并不斷地得到進一步完善和發展。DEA方法在事前并不需要知道各變量之間的相互重要性,以及無需知道輸入與輸出變量之間具體明確的函數形式前提下,通過同時處理多種輸入和多種輸出變量,將定性和定量信息納入同一分析之中。DEA的原型來自Farrell(1958)提出的包絡思想。因此,DEA有時也被稱為Farrell型有效性分析法。
(一)DEA的基本思想與BCC模型
DEA方法的基本思路是把每一個被評價單位作為一個決策單元(DMU),再由眾多DMU構成被評價群體,通過對投入和產出比率的綜合分析,以DMU的各個投入和產出指標的權重為變量進行評價運算,確定有效生產前沿面;再根據各DMU與有效生產前沿面的距離狀況,確定各DMU是否DEA有效。
高。在實際應用中,Normal DEA模型和Worst DEA模型中所選擇的輸入、輸出變量卻不一定非得完全相同。一些學者如Paradi和Chehade指出,雖然對簡單地將輸入和輸出變量完全互換應用于相反的兩個DEA模型并不加以嚴格限制,但事實上Paradi指出,選擇應用Worst DEA模型,是為了發現在Normal DEA模型研究框架下所忽略的那些可能會影響DMU相對效率的因素。
(四)分層技術的應用
Divine和Thanassoulis建議將分層技術(Layeringtechnique)納入到DEA分析當中,即在DEA模型計算一次后,將結果中的“有效單元”從樣本中移除,然后再運算一次,從而使得另一組“有效單元”組成一個新的效率前沿面。這樣,整個分析結果將得到一系列的“效率前沿面”。這一技術被運用到Worst DEA模型中時,一系列“無效”前沿面將會伴隨著遞減的風險率而被識別,以達到對DMU進行分類的目的。這一點還有別于DMA模型中設置一判別定點(0ut-offpiont)來劃分信用質量好與壞的公司。
Joseph.C.Paradi指出,利用分層技術為DMU分類提供了一個非常有彈性的方法。它允許在分層層次上的選擇,可能更多地受到監管者主觀考慮、風險管理偏好以及風險判斷等的影響。例如風險厭惡型的管理者將會選擇較多的層數,以期提高分析的精度。但有一點是值得注意的,即分層層次越多,雖然會降低第一類錯誤的錯判率,但這是以較高的第二類錯誤的錯判率為代價的。
四、實證研究
本文實證分析是基于上市公司財務指標和其信用風險質量存在相關關系,以及ST/非sT公司財務指標存在差異兩個假設之上。相對而言,sT公司比一般正常的上市公司具有較高的信用風險。為此,本文選取深滬兩市1999年前上市交易的126家制造業A股上市公司作為實證樣本,通過對上市公司是否被ST的預測來評估其信用風險。數據來源于深圳天軟數據庫,數據選取范圍為2000年1月1日到2004年12月31日,共504個數據樣本。研究目的是通過采用基于Normal/WorstDEA概念的DEA方法對上市公司信用風險進行評估,并確定符合我國上市公司實際的分析層次。
(一)樣本與指標選取
本研究樣本考慮到DEA分析的有效性,因此選擇深、滬兩交易所A股市場上制造業2004-2005年兩年中所有被進行特別處理的ST公司63家,同時隨機選取了63家非sT公司。126家公司被分成兩組:第一組(建模樣本)由60家公司組成,其中有30家是2004或2003年戴帽的ST公司(見表1),30家績優公司;第二組(測試樣本)由66家公司組成,其中有33家ST公司和隨機選擇的33家非sT公司。定義虛擬變量1為ST公司,0為非ST公司。
本文選取反映公司財務狀況的24個財務指標作為信用風險評估的特征變量,如表2所示。財務指標的選取原則以能全面反映公司財務狀況為基礎,主要借鑒參考了國外這一領域的前期研究成果,如Joseph C.
Paradi運用DEA模型時采用的變量,tAltman(1968)模型采用的預測變量,標準普爾公司采用的評級財務指標等。在已選取的24個指標中,為了選取識別能力較高的指標且盡量避免指標之間信息的重疊,本文選取2004年sT與非sT公司各30家實際數據進行均值檢驗,結果如表3所示。
2.Worst/Normal DEA模型分析層次的確定
為使DEA模型對兩類公司判別更為精確,本文區別于傳統的判別定點方法,將分層技術分別應用于Worst DEA模型2和Normal DEA模型3,其分析結果如表6、表7。
由表6、表7可知,如果在Worst DEA模型分層分析和Normal DEA模型分層分析下,被評價單元的效率值為l時,該單元被判別為有效單元。那么在WorstDEA模型第一層分析中,有16.7%的sT類公司被識別,100%的非sT類公司被識別,即兩類錯誤率分別為83.3%和0;在Normal DEA模型第一層分析中,有93.3%的sT類公司被識別,43.3%的非sT類公司被識別,即兩類錯誤率分別為6.7%和66.7%。隨后將每層分析中的有效單元移除,對剩余的單元再進行一次運算分析。在Worst DEA模型分析下,隨著分析層次的增加,更多的sT類公司被識別,最后在第五層分析中,所有的sT類公司被識別,兩類錯誤率分別為0%和54%。但是我們注意到,隨著第一類錯誤率的下降,第二類錯誤率是隨著分析層次的增多而增加的。相反,在Normal DEA模型分析中,隨著分析層次的增加,非sT類公司被逐步識別,在第四層分析中,所有的非sT類公司被識別,兩類錯誤率分別為73.3%和0%。由此可見,Normal DEA模型提高對非sT類公司的識別率,是以降低對sT類公司的識別率為代價的。
為了區別以上用傳統的判別定點方法來判別信用風險存在差異的公司,我們在對Worst DEA模型2分析的基礎上,結合Normal DEA模型3對兩類公司進行判別,結果如表8。
由表8得知,選擇在Worst DEA模型2分析基礎上,結合Normal DEA模型3,分層層次分別定為5層和4層時,DEA模型對兩類公司進行判別取得了較為理想的結果,第一類錯誤率為0,第二類錯誤率為3.3%。 3.測試樣本Normal/Worst DEA模型實證分析 經過以上的分析,本研究將用Worst DEA模型2為基礎,結合Normal DEA模型3來對測試樣本2000-2003年的信用風險進行評估,分析層次分別定為5層和4層,結果如表9。
五、結論
篇3
(一)風險管理概述
風險管理是對影響組織目標實現的各種不確定性事件進行識別與評估,并采取應對措施將其影響控制在可接受范圍內的過程。風險管理的目的是為了將風險控制在可接受的范圍內(風險的可接受范圍取決于組織對風險的態度)。
風險管理分為以下幾個階段:1、風險規劃階段。項目風險管理計劃或策略確定控制目標:可以接受水平。2、風險識別階段。主要確定風險來自何方?有哪幾類風險?(我國國資委將國有企業風險分為以下幾類:戰略風險、財務風險、市場風險、運營風險以及法律風險。)3、風險估計階段。確定事件后果有多大?發生的可能性有多大?4、風險評價階段。確定風險的嚴重順序;確定項目整體風險水平。5、風險應對階段。設計控制風險的措施策略。6、風險控制階段。檢查控制措施是否充分有效?自我評估和內部審計。
(二)風險管理審計概念及目的
風險管理審計是內部審計以風險為考慮核心,采用系統
化、規范化的方法,通過對企業全面風險管理活動進行監督和評價,提出改進意見,來改善企業風險管理、增進企業價值的一種審計。
通過內部審計機構和人員對企業風險管理過程的了解,審查并評價其適當性和有效性,提出改進建議,促進企業目標的實現。
(三)內容
企業建立內部風險管理部門,內部審計人員實施必要的審計程序,對風險評估過程進行審查與評價,并重點關注風險發生的可能性和風險對組織目標的實現產生影響的嚴重程度兩個要素。同時,內部審計人員應當充分了解風險評估的方法,并對管理層所采用的風險評估方法的適當性和有效性進行審查。審計人員應當實施必要的審計程序,對風險識別過程進行審查與評價,重點關注被審計單位面臨的內、外部風險是否已得到充分、適當的確認。
最終對內部風險管理組織的健全性、風險管理程序的合理性以及風險預警系統的存在及有效性進行審查評價,最終出具風險管理審計報告。
二、風險導向審計
(一)概念及特征
風險導向審計立足于對審計風險進行系統的分析和評價,并以此作為出發點,制定審計戰略,制定與企業狀況相適應的多樣化審計計劃,以達到審計工作的效率性和效果性。審計期望差距的存在和審計目標的改變是風險基礎審計產生的社會因素。審計組織的經濟壓力是風險基礎審計產生的經濟原因。制度基礎審計的內在缺陷及解決方法是風險基礎審計產生的技術原因
(二)內容
首先,通過對被審計單位控制環境的評價,鑒別其財務報表重要組成項目的各項認定,考慮財務報表重大錯誤表述的風險。其次,建立審計目標。審計目標以風險評價為基礎,通過風險評估分析,制訂審計計劃,確定如何收集、收集多少和收集何種性質的證據的決策,為更有效地控制和提高審計效果及審計效率,提供了一個完整的結構。再次,根據審計目標確定擬實施的審計程序的性質、時間及范圍。最終將審計風險控制在可以接受的范圍內,并以此出具審計報告。
理論基礎:經營風險驅動審計風險。簡單地說,就是任
何影響客戶實現其經營目標的潛在風險,都是審計風險的來源。企業的經營風險來自兩個層面:戰略風險和運營風險。基本邏輯是:財務報表是否存在重大錯報與經營活動的順利與否相關;經營活動的順利與否與企業的經營戰略目標是否正確相關;企業經營戰略的風險會逐步轉化為財務報表的重大錯報風險;重大錯報風險是審計風險的直接來源。
三、兩者區別與內在聯系
(一)區別
產生背景及性質不同:風險導向審計是由于審計期望差距而產生的,同時也是對賬項導向審計、制度導向審計的改進,是審計模式的創新發展,同時也是一種新型的審計模式。風險管理審計是為了滿足企業加強自身內部風險管理的需要及內部審計自身發展的需要而產生的,是一種全新的審計業務類型。
審計目的不同:風險導向審計是通過評估審計風險,合理分配審計資源,并設計一系列高效率低成本的審計程序,并最終將審計風險降低至可接受水平,從而出具審計報告。風險管理審計則是為了審查和評價企業風險管理的適當性和有效性,并最終服務于內部審計,降低企業經營管理風險,提高企業內部控制水平。
“風險”含義及審計主體不同:風險導向審計中的“風險”指的是審計風險,包括重大錯報風險和檢查風險,其審計主體是審計機構和審計人員。風險管理審計中的“風險”主要指的是經營風險,主體是企業及管理人員,包括風險識別、評估及應對三個階段。
審計思路不同:風險導向審計首先評估企業經營風險,從而確定重大錯報風險,從而計算出可接受的檢查風險水平。風險管理審計主要審查評價企業風險識別是否充分,風險評估是否恰當,所采取的風險應對措施是否合理有效。
篇4
商貿流通業;風險評估;德爾菲法
一、轉型時期的商貿流通企業風險分析
(一)細分市場風險事實上,市場細分建立在三個基礎上。在市場上,消費者總是希望根據自己的獨特需求去購買產品,因此不同顧客間的需求是有差異性的;在同一地理條件下、具有相同背景和文化的人們有著相對類似的價值觀和人生觀,因此他們的需求又是具備相似性的;企業受限于自身實力,無法向市場提供滿足一切需求的產品。為了有效競爭,企業選擇市場細分,針對目標市場,集中企業優勢資源,取得競爭優勢。目前商貿流通企業在轉型中的確將很大一部分將精力投入到細分市場中,盡量滿足客戶多元化及個性化的需求,但這背后其實也隱藏了很大的風險。首先,細分市場可能導致其訂單碎片化和小量化,影響其市場占有率。其次,細分市場可能會增加企業運營成本。整個商貿流通業的利潤率并不高,如果缺乏銷量的支持,企業很有可能會虧損。最后,消費者需求變化快,細分市場不穩定,增加了企業運營風險。
(二)互聯網運營風險在互聯網經濟時代,電子商務的快速發展帶動了商貿流通業與互聯網的快速“聯姻”。應用新技術和發展新模式成為商貿流通業改革創新的重要手段,其中大力發展電子商務,建立網絡化平臺就是當今的主流趨勢。傳統的商貿流通業存在著信息不對稱、資源配置效率低等弊端,而在以云計算、物聯網為代表的新一代信息技術沖擊下,電子商務平臺幫助傳統商貿流通業突破束縛其做大做強的瓶頸,成為組織配置資源和要素的中心,主動引導生產和影響消費,真正成為經濟活動的主導者。對于眾多商貿流通企業來說,挑戰無處不在,其中最突出的問題即是線上與線下模式的沖突,線上模式由于減少中間渠道商環節,可以節省一定成本,因此線上商品價格普遍比線下有優勢,這在一定程度上壓縮了線下模式的利潤率,在線上模式未達到盈利規模時,企業需要承擔很大的經營風險和財務風險。
(三)供應鏈整合風險供應鏈整合風險與互聯網運營風險一脈相承,由于線上模式的成功很大程度上依賴于倉儲物流及供應鏈管理,然而對于商貿流通企業來說,由于往往處于制造業的下游,對于供應鏈的把控處于非支配地位,因此在經營中往往被動,一旦供應鏈出現環節失聯或溝通無效的情況,便會出現系統性業務失效,進而直接危及企業運營。互聯網與移動經濟的發展使得商貿企業間的競爭不單純是產品的競爭,更是供應鏈與供應鏈的競爭。目前互聯網公司正致力于建設自己的產品生態圈,本質上就是依托自身強大的營銷能力和供應鏈管理能力,橫向擴充產品線,形成競爭優勢。從整條商品供應鏈上看,制造業創造的利潤是最低的,而最有價值的卻是流通服務和產品研發。因此對于一般商貿流通企業來說,整合供應鏈有利于把控上下游產業鏈,降低交易成本,增加企業利潤。很明顯,要做到這點需要流通主體的市場占有率和盈利能力,對于中小流通企業來說,需要有更高層次的改革方向作為配合。
二、科學的企業風險評估體系要素與流程
企業層面的風險評估也稱危險度評價或安全評價,是指在風險事件發生之前或之后(但還沒有結束),對該事件給企業財產和正常生產、運營等方面造成影響和損失的可能性進行量化評估的工作。對于商貿流通業來說,產業轉型升級是企業可持續發展的必然選擇,而風險評估以保證轉型升級安全為目的,通過對固有或潛在風險進行定性和定量分析,有針對性地制定控制措施和管理決策。企業風險評估圍繞業務戰略、資產價值、安全需求、安全措施、脆弱性和安全事件等基本要素展開,在對基本要素評估的過程中,必須充分考慮到個要素間相互作用關系。企業風險評估中各要素的關系如圖1所示。
(一)評估準備與資產識別風險前的準備至關重要,關系到風險評估的準備性及實際效果。首先要確定風險評估的目的以及風險評估的范圍,接著組建適當的評估管理與實施團隊。然后進行系統調研,可以采取問卷調查或現場詢問等方式,獲得相關數據后,制定方案,隨即進入資產識別階段,該階段是對系統中設計的重要資產進行識別,并對其等級進行評估。
(二)威脅識別與脆弱性識別威脅識別與脆弱性識別是企業風險評估流程的第二階段。威脅是一種對組織及其資產構成潛在破壞的可能性因素,威脅識別就是要識別重要資產可能遇到的威脅,例如競爭對手可能采取的策略。脆弱性識別也稱弱點識別,每個企業都有優勢資源,一個企業的優勢對應競爭對手就是弱點,因此要識別自身存在的相對于競爭對手的脆弱性,并提前評估定級,同時還要對目前采取的應對策略進行評估,是否應該沿襲或調整。
(三)綜合分析與制定風控預案綜合分析與制定風控預案是企業進行風險評估的第三階段,風險綜合分析是綜合企業資產識別、威脅識別、脆弱性識別的情況及數據,定性和定量地評估目前企業安全狀況及風險因素,確定企業可接受風險范圍;風險控制方案是針對風險綜合分析中的風險要素,特別是不可接受風險,制定風險控制和處理計劃,選擇有效的風險控制措施將殘余風險限制在可接受范圍內。
三、商貿流通企業風險評估體系的完善
(一)方法選擇在目前的主流企業風險評估方法體系中,德爾菲法是應用最為廣泛的。該方法是采用背對背的通信方式征詢專家小組的預測意見,經過幾輪征詢,使專家小組的預測意見趨于集中,最后做出符合市場未來發展趨勢的預測結論,因此本質上是一種反饋匿名函詢法。相較于其他技術預見法,德爾菲法重點在于把握事物發展趨勢,而非結果的精度。德爾菲法有三個明顯區別于其他專家預測方法的特點,即匿名性、多次反饋、小組的統計回答。匿名法是德爾菲法的突出特點,從事預測的專家彼此不知道有哪些人參加預測,這樣就可以減少權威、主觀思想或情緒等因素的干擾,獲得最接近事實的結論;反饋性是指該方法需要經過很多輪的信息反饋,在每次反饋中調查組和專家組都需要進行深入研究,并對自己的想法和結論不斷改進調整,這樣可以避免一些疏忽或填補某些領域的知識空白,使得結果客觀、可信;統計性是指該方法依據集體決策遵循少數服從多數的原則,因此結果反映多數人的觀點。
(二)完善流程依據本文選取的德爾菲法企業風險控制預案制定思想,德爾菲法的實施一般有組建預測小組、選擇專家、設計問卷、實施調查和反饋匯總等步驟,其中調查和反饋是德爾菲法能否發揮作用最重要的環節。在整個實施過程中,組織者和專家組各有不同的任務。針對商貿流通企業的風險控制需求,考慮到每個企業由于所處的市場環境、市場地位不一樣,面臨的風險種類和程度也各有不同,形成具有代表性的標準化風險評估體系建立工作流程十分必要。微觀企業可以參照本文操作流程來有步驟、因地制宜的開展風險評估體系的完善工作,如圖2所示。1.組建預測工作組。對于流通企業由單一流通職能向多功能服務提供者的角色轉變趨勢,企業首先需要綜合評估未來轉型中面臨的大概率風險,將因此而可能涉及到的人事、市場、銷售、研發、生產、供應鏈等環節的負責人都納入評估小組,負責“企業轉型風險評估”調查問卷的設計、專家選擇、調查統計等一系列工作,避免片面,此階段多屬于預測和評估研究性工作。2.選擇專家。進行企業風險評估的專家選擇應來自內部和外部兩個渠道,企業、行業協會和政府等均應納入專家小組范圍,專家不僅要有豐富的研究經驗,還要熟悉商貿流通業的發展歷史和具體的企業經營概況,能夠站在企業、行業及國家三個層面對商貿流通業的未來發展趨勢給出戰略性意見并參與討論。3.設計專家調查表。專家調查表的設計一般來說應根據商貿流通企業的實際情況,可以分為以下幾個部分:該企業目前的競爭優勢有哪些;該企業的競爭對手在哪些方面的威脅最大;該企業最容易出現風險的地方是哪里;該企業進入細分市場的障礙是什么;該企業是否有能力發展電子商務平臺;該企業的供應鏈管理能力如何。專家對每一項做出回答,并按照重要程度劃分:分為非常重要、重要、一般、不重要四個級別。4.組織調查實施。第一輪調查是開放式的,組織者提供背景材料和預測問題,請專家圍繞預測問題提出自己的看法。組織者匯總整理專家意見,歸并同類意見,并作為第二輪調查表分發給專家組;第二輪調研是評價式的,專家評價第一輪調研總結出的每個預測事件,說明事件可能發生的時間、方式、影響和理由,組織者統計這一輪專家意見,再整理出第三輪調查表;第三輪調研是重審式的,在這一輪中,專家會重新審視爭論的焦點,給出自己新的評價,如果修正自己的意見,應敘述更改理由。組織者負責形成最終的風險評估報告和應對預案。值得注意的是,并非所有預測都需要經過這幾步,有些預測事件可能在第二步就達成統一意見,或者經過三輪以上反饋仍然有較大分歧。事實上,定性研究不像定量研究那么精確,結果往往不很統一,只要如實記錄下來就可以盡量真實地反映事件的發展趨勢。運用德爾菲法時必須注意兩點,一是保證專家意見的獨立性,二是專家挑選必須基于對企業的了解,根據專家預測的風險排序,商貿流通企業需要針對每一個可能出現的風險,制定相應的風險預防方案。如果缺乏相應的預防措施,那么企業就應該考慮放棄該轉型方向,選擇從風險系數更小或風險應對措施更加充分的領域開始著手進行轉型變革工作,以便減少失敗概率,取得最大效益,也只有這樣,流通企業的風險預測才能得到更客觀、準確的結果,企業的風險預防和控制工作也才真正有意義。
參考文獻:
1.曲鐘陽.基于德爾菲法的技術預見[D].大連理工大學,2013
2.徐藹婷.德爾菲法的應用及其難點[J].中國統計,2006(9)
3.夏網生,許黎明.加快江蘇商貿流通轉型升級[J].群眾,2014(12)
篇5
一、風險導向審計概述
隨著社會經濟的發展變化,審計方法適應審計環境的變化經歷了三個發展階段:一是審計發展的早期,由于企業組織結構簡單、業務性質單一,注冊會計師的審計工作目的是為了促使受托責任人在授權經營過程中做出誠實、可靠的行為,審計方式是詳細審計。審計的重心在資產負債表,是對會計憑證和賬簿的詳細審計,旨在發現和防止錯誤與舞弊,這種審計方法就是賬項基礎審計方法(accountingnumber-basedauditapproach)。二是從1950年代起,以內部控制測試為基礎的抽樣審計在西方國家得到廣泛應用,這種審計方法重點在于注冊會計師了解、測試和評價內部控制設計的合理性和執行的有效性。對內部控制存在缺陷的環節,注冊會計師通常將其涉及交易和賬戶余額作為審計的重點,甚至進行詳細審計;對于可以信賴的內部控制環節,通常將其涉及的交易和賬戶余額進行抽樣審計,以提高審計效率和降低審計費用。從方法論的角度,這種審計方法被稱作制度基礎審計方法(system-basedauditapproach)。三是1970年代以后,由于制度基礎審計方法顯露缺陷,一種新的、以風險防范為基礎的風險導向審計模式逐漸興起,從方法論的角度,注冊會計師以審計風險模型為基礎進行的審計方法稱為風險導向審計方法(risk-orientedauditapproach)。
回顧審計方法的發展歷程,風險導向審計模式已成為審計方法發展的國際趨勢。風險導向審計模式合理地揚棄了作為制度導向審計模式基礎的“無利害關系假設”,把指導思想建立在“合理的職業懷疑假設”的基礎上,不只依賴對被審計單位管理層所設計和執行內部控制制度的檢查與評價,而且實事求是地對公司管理層是否誠信、是否有舞弊造假的驅動始終保持一種合理的職業警覺,將審計的視野擴大到被審計單位所處的經營環境(微觀、中觀乃至宏觀),將風險評估貫穿于審計工作的全過程。與傳統的制度基礎審計相比較,主要有以下區別:
(一)審計模式不同
制度基礎審計模式以內部控制為核心,對控制風險的評估僅通過確定內部控制的可依賴程度來減少實質性測試的工作量,而對固有風險的評估常流于形式;風險導向審計模式不僅通過內部控制評估控制風險,還結合其他風險因素尤其是固有風險綜合考慮,通過對企業環境、發展戰略、公司治理結構等方面的評估,發現其潛在的經營風險及財務風險,并評估財務報表發生重大錯報的風險,以便使審計風險降至可接受水平。
(二)審計基礎不同
制度基礎審計以內部控制制度為基礎,根據被審單位內部控制制度的健全性及符合性評審結果,確定實質性測試的范圍和重點;風險導向審計則以風險評估為基礎,對影響被審單位經濟活動的多種內外因素進行評估,確定審計范圍、重點和方法,其不僅重視與內部控制系統直接相關的因素,而且重視各種環境因素。
(三)審計方法不同
兩種審計模式都采用抽樣技術,但風險導向審計是通過建立審計風險模型將風險量化。因此,相對于制度基礎審計來說,風險導向審計的抽樣技術是更完全意義上的審計抽樣,更注重利用分析性測試方法,從而可以有效降低審計風險。
二、風險導向審計的兩種模式
風險導向審計自產生以來經歷了兩個階段,理論界把以傳統審計風險模型“審計風險=固有風險×控制風險×檢查風險”為基礎進行的審計稱為傳統風險導向審計模式;而將1990年代后期開始,在國際會計師事務所內部推行并逐漸被審計理論與實務界接受的,以“審計風險=重大錯報風險×檢查風險”的模型為基礎,以被審計單位的經營風險為導向的審計方法稱作現代風險導向審計模式。
傳統風險導向審計模式與現代風險導向審計模式的本質區別在于審計理念和審計技術方法的不同,后者是對前者的改進,其主要區別如下:
(一)審計起點不同
傳統風險導向審計運用的審計風險模型中,固有風險是指假定不存在相關內部控制時,某一賬戶或交易類別單獨或連同其他賬戶、交易類別產生重大錯報或漏報的可能性。控制風險是指某一賬戶或交易類別單獨或連同其他賬戶、交易類別產生錯報或漏報,而未能被內部控制防止、發現或糾正的可能性。傳統風險導向審計方法通過綜合評估固有風險和控制風險以確定實質性測試的范圍、時間和程序,由于固有風險難以評估,審計的起點往往為企業的內部控制(如果沒有必要測試內部控制,審計的起點則為會計報表項目)。
現代風險導向審計方法通過綜合評估經營控制風險以確定實質性測試的范圍、時間和程序,其審計起點為企業的戰略系統及其業務流程。如果企業的業務流程不重要或風險控制很有效,則將實質性測試集中在例外事項上。這種新模式的優點是將審計的重心前移到風險評估,這將有利于充分識別和評估會計報表重大錯報的風險,因此,主要針對風險設計、實施控制測試和實質性測試程序。此外,注冊會計師容易全面掌握企業可能存在的重大風險,有利于節省審計成本,克服因缺乏全面性觀點而導致的審計風險。
(二)風險評估識別以分析性復核程序為中心
現代風險導向審計注重運用分析性復核程序,以識別可能存在的重大錯報風險;而傳統風險導向審計對于信息的再加工程度不夠,其分析性程序主要用在報表分析上。分析性復核程序已成為現代風險審計方法最重要的程序,為了適應分析性程序功能擴大的要求,分析性程序開始走向多樣化:在數據分析上不但要對財務數據進行分析,也要對非財務數據進行分析;在分析工具上借鑒現代管理方法,把戰略分析、績效分析、財務分析及前景分析等分析工具運用到風險評估之中,使風險因素不再惟一,變一元風險評估為多元風險評估,使得出的風險評估結果更加可靠。
(三)風險評估方式由直接評估轉變為間接評估
傳統風險導向審計的風險評估是一種直接的方式,即直接評估重大錯報的概率。現代風險導向審計模式是從經營風險評估入手,間接地對審計風險進行評估,因為經營風險越高,審計風險也越大,也就是管理舞弊的可能性越大;并且從經營風險中能更有效地發現財務報表潛在的重大錯報,因為財務報表是經營的反映,如果經營風險未能在報表中得到體現,則財務報表很可能失真。此外,會計政策、會計估計的合理性評估也只有從經營風險入手,才能進行正確的評估。
(四)審計程序實施具有個性化
傳統風險導向審計模式審計程序是標準化形式,對不同的被審計單位都使用標準相同的審計程序,其缺陷是沒有足夠貫徹風險導向審計思想,使注冊會計師無法突破客戶預先設置或防范的措施,難以做出正確的審計結論。現代風險導向審計方法要求注冊會計師將評估及識別的審計風險與實施的審計程序相結合,針對不同客戶以及客戶不同的風險領域實施個性化的審計程序。
(五)審計證據的內涵擴大
在現代風險導向審計方式下,審計重心向風險評估轉移,審計證據也由內部向外部轉移。因此,注冊會計師必須充分了解企業整體經營環境,由此評估客戶的經營及審計風險,同時必須從外部取得大量的外部證據來證明風險評估的恰當性。風險導向審計模式下,注冊會計師形成審計結論所依據的審計證據不僅包括實施控制測試和實質性測試獲取的證據,還包括了解企業及其環境獲取的證據。
(六)擴充了內部控制要素
傳統風險導向審計方法下的內部控制是指被審計單位為了保證業務活動的有效進行,保護資產的安全和完整,發現、糾正錯誤與防止舞弊,保證會計資料的真實、合法、完整而制定和實施的政策與程序。內部控制要素包括控制環境、會計系統和控制程序。現代風險導向審計方法下的內部控制是指被審計單位為了合理保證財務報告的可靠性、經營的效率和效果以及對法律法規的遵循,由治理當局、管理當局和其他人員設計和執行的政策和程序。內部控制的三要素擴充為五要素,即控制環境、被審計單位的風險評估過程、與財務報告相關的信息系統和溝通、控制活動和對控制的監督。
(七)對注冊會計師的專業知識提出了更高要求
現代風險導向審計對注冊會計師的專業素質提出更高要求,其重心從會計、審計知識轉向管理和行業知識。現代風險導向審計下審計結果主要依賴風險評估,風險評估的各種分析方法要求掌握現代管理知識和行業知識(包括市場、研發、生產等方面),這對注冊會計師提出了更高的要求。注冊會計師應該是復合性人才,不但要掌握一般常用分析工具,還要接受現代管理知識和行業專業知識訓練。
三、現代風險導向審計模式在我國的適用性分析
基于上述分析,現代風險導向審計模式是審計發展的一種必然趨勢。2003年10月,國際審計與鑒證準則委員會(IAASB)通過了新的審計風險準則;中注協也在2004年10日了修訂后的審計風險準則征求意見稿,不僅將使我國的審計風險準則與國際接軌,同時也為提高審計質量、降低審計風險提供了技術支持。審計風險準則一旦正式生效,將引導中國注冊會計師實務由傳統風險導向審計向現代風險導向審計轉變,會對我國的注冊會計師審計理念、審計程序及審計責任產生非常大的影響。
然而,目前要在我國推行風險導向審計模式還存在一定的制約條件和需要解決的問題:
(一)會計師事務所審計成本與效益問題
實施風險導向審計模式的前提是成本能得到補償。現代風險導向審計模式在審計計劃階段和執行控制測試階段,注冊會計師關注的范圍擴大,程度加深,導致工作時間和審計成本的增加,在市場競爭激烈的情況下,成本的增加往往不可能過渡到收費的同步增加。此外,還需要一定的投入來培訓注冊會計師,使他們掌握業務流程和行業知識等有關方面的知識。如果這些成本得不到補償,就會使一部分中小會計師事務所在競爭中無法生存。
(二)信息系統的建設問題
現代風險導向審計的重要特征是審計重心前移,注冊會計師必須首先執行風險評估程序,充分了解客戶整體經營環境,然后針對風險不同的客戶、客戶不同的風險領域,設計個性化的審計程序。因此,會計師事務所必須建立強大的信息系統,以便注冊會計師在風險評估時了解企業的戰略、流程風險管理、業績衡量等。而目前國內很多事務所對行業風險和企業經營風險缺乏了解,客戶的相關信息不夠充分,信息系統的建設還達不到現代風險導向審計的要求,導致風險評估不準確。因此,風險導向審計的運用僅限于老客戶,對新客戶還是將大量時間用于實質性測試。
(三)審計從業人員素質問題
現代風險導向審計對審計從業人員的業務素質提出了新要求,不僅要具備豐富的審計理論和實踐經驗,還要具備必需的管理學知識和經濟學知識,能夠運用系統的、戰略的觀點充分了解、分析企業所處的宏觀經濟環境和行業發展狀況,對有可能導致企業會計報表錯報風險的內外部因素進行客觀、系統的分析與評價,將審計視角擴展到內部控制以外,從較高層面上評估風險,而不是僅僅注重企業會計處理的細節。
(四)輔助審計軟件的使用與完善問題
現代風險導向審計方法中分析性程序占據非常重要的地位,輔助審計軟件的使用在其中發揮著重要的作用。西方發達國家大量運用分析性程序的條件是輔助審計程序的開發和運用,它可以直接對數據庫進行加工分析,依據軟件模型自行處理數據,使運用分析性測試程序成為節約成本的重要手段。另外,采用審計軟件使統計抽樣的樣本更具代表性,審計抽樣風險可控,為風險導向審計提供了技術支持。目前,我國在審計軟件的開發和使用上不夠理想,還有待提高,而且大部分注冊會計師缺少相應的技術準備,在現階段推行現代風險導向審計方法只能是一種愿望。
如上所述,目前在我國全面推行現代風險導向審計模式還受到許多制約,盡管它有很多優越之處,但在我國還不能夠普遍推行。當前我國獨立審計準則主要是以制度基礎審計模式為基礎的,而且相當一部分從事小規模企業審計工作的會計師事務所和注冊會計師,基本上仍然在運用賬項基礎審計模式。但是,現代風險導向審計的實行是一種理念的改變,我們可將制度基礎審計與風險導向審計有機結合。即使在現行審計準則仍然主要以制度基礎審計模式為基礎的情況下,吸取風險導向審計模式的基本觀點和做法,則是完全可行的。通過把風險導向審計中控制風險的理念和方法融合到制度基礎審計中,使其他審計模式忽略審計風險的缺陷得到彌補,將會為探索適合我國的現代風險導向審計模式積累有益的實踐經驗。
參考文獻:
〔1〕陳毓圭。對風險導向審計方法的由來及其發展的認識〔J〕。會計研究,2004,(2)。
篇6
風險評估的主要內容有:識別組織面臨的各種風險;評估風險概率和可能帶來的負面影響;設置風險等級與確定風險等級評判標準;控制與管理風險。具體到國庫會計風險評估,就是對國庫會計風險進行識別、分析和處置。主要包括以下三個方面:
(一)風險識別。指結合國庫會計工作的實際情況和特點,充分考慮內部和外部因素,依據國庫會計業務流程,正確識別并界定風險點。
(二)風險估定。指針對國庫會計風險點,通過日常管理和現場檢查等方式整理評估資料,進行分析、甄別,判定風險的嚴重程度。
(三)風險管理。根據風險分析情況,針對風險點研究解決方案、控制方式以及防范化解措施,最后形成風險評估報告。
二、國庫會計風險評估指標的設置
(一)國庫會計風險評估指標的設置原則
1、客觀性原則。構建國庫會計風險評估體系,應當以真實、完整的評估資料為依據,從實際出發,實事求是、客觀公正,如實反映評估對象的風險管理和控制情況,盡可能減少或避免主觀判斷。
2、全面性原則。評估范圍應覆蓋國庫會計業務處理的全過程,反映國庫會計風險的方方面面,包括國庫會計處理涉及的所有系統、部門、崗位與操作環節。在此基礎上,綜合有關信息對國庫會計當前的風險狀況或潛在的風險隱患進行較為全面的分析評價。
3、科學性原則。風險評估體系的設計應充分考慮國庫業務的現實狀況,遵照定性分析與定量分析相結合的原則,既要全面又要突出重點,使國庫資金風險評估體系的資料收集、篩選、分析具有針對性,工作高效快捷,評價結論準確。
4、可操作性原則。風險評估指標的設計應簡單可行,指標數目適中,易于獲取,既真實、全面反映國庫會計面臨的資金風險,又能抓住國庫會計風險的關鍵環節。
(二)國庫會計風險評估指標
根據國庫會計風險表現形態,建立國庫會計風險評價指標體系結構如下圖:
三、國庫會計風險評估過程
風險評估的基本思路:以現場檢查和日常管理活動收集、整理的評估資料為基礎,對國庫會計工作中存在的風險進行識別,根據風險揭示因素的數量、性質及其危害,對各類問題進行逐一分析、甄別后“嵌入”上述風險評估指標框架,評估確定每家國庫的風險類別和風險等級。根據評估結果提出風險管理對策,形成風險評估報告供領導決策參考,有針對性地加強國庫管理。
(一)國庫會計風險識別
國庫會計風險評估的首要階段,是對各類國庫會計風險進行識別。本文把國庫會計處理過程中可能存在的風險按其表現形式分為以下幾種類型:
1、道德風險。道德風險是指由于國庫會計人員違背會計職業道德規范或未能達到應有的職業素養,引發業務運轉失常或管理行為紊亂,導致會計工作責任事故或資金損失的可能性。例如,國庫工作人員的人生觀、價值觀、道德觀發生偏差,在國庫業務處理中人為導致國庫資金遭受損失。
2、制度風險。制度風險是指國庫制度存有缺陷導致國庫資金損失的可能性。這種缺陷表現為:現有制度及規定不能涵蓋國庫各類業務,制度規定滯后于業務發展、時效性不夠,或者不同時間、不同部門頒布的制度規定之間存有矛盾。例如,《商業銀行、信用社國庫業務管理辦法》為2001年頒布實施,對國庫集中支付、橫向聯網等國庫創新業務沒有進行有效規范。
3、管理風險。管理風險是指由于管理不到位、管理失當,導致國庫會計處理違規或資金損失的可能性。主要表現在管理人員對業務不熟悉而難于管理,因風險意識不強而疏于管理,或者管理手段不到位、監督力度不夠等。
4、操作風險。操作風險是指因會計業務操作人員的業務素質差異、過失等原因,導致會計業務操作不合規、發生資金損失的可能性。例如,個別人員缺乏風險防范意識,未執行或未嚴格執行制度規定,或者缺乏會計、財稅知識,對基本的國庫會計操作原則掌握不夠,對新業務的了解不透徹、操作不熟練,引發資金風險。
5、信息系統風險。信息系統風險是指因網絡和信息系統技術運用不合理、運行與維護不到位、失效等原因,導致業務運行受到不利影響的可能性。近年來,為適應國庫服務范圍逐漸拓寬、國庫業務量快速增長的需要,各地結合當地實際,相繼開發推廣了稅庫銀橫向聯網系統、財政集中支付系統等,由于對系統安全性認識不足,普遍存在“重使用,輕管理”的問題,如系統功能拓展不夠、安全運營維護不到位,影響國庫資金安全。
6、其他風險。如自然災害等不可抗力造成國庫資金損失的可能性。
(二)國庫會計風險分析與評價
在進行風險識別后,應進行風險分析與評價。首先賦予道德風險等六類風險基礎分值,對風險形成的各項因素逐項打分,然后根據風險發生可能性、頻率及造成的后果賦予每類風險合理的權重,采用加權平均法計算評估對象的最終得分。以管理風險為例,假設賦予管理風險100分,每個風險點的扣分標準見表1。
篇7
隨著電子政務不斷推進,社會各階層對電子政務的依賴程度越來越高,信息安全的重要性日益突出,在電子政務的信息安全管理問題中,基于現實特點的電子政務信息安全體系設計和風險評估[1]模型是突出的熱點和難點問題。本文試圖就這兩個問題給出分析和建議。
1電子政務信息安全的總體要求
隨著電子政務應用的不斷深入,信息安全問題日益凸顯,為了高效安全的進行電子政務,迫切需要搞好信息安全保障工作。電子政務系統采取的網絡安全措施[2][3]不僅要保證業務與辦公系統和網絡的穩定運行,另一方面要保護運行在內部網上的敏感數據與信息的安全,因此應充分保證以下幾點:
1.1基礎設施的可用性:運行于內部專網的各主機、數據庫、應用服務器系統的安全運行十分關鍵,網絡安全體系必須保證這些系統不會遭受來自網絡的非法訪問、惡意入侵和破壞。
1.2數據機密性:對于內部網絡,保密數據的泄密將直接帶來政府機構以及國家利益的損失。網絡安全系統應保證內網機密信息在存儲與傳輸時的保密性。
1.3網絡域的可控性:電子政務的網絡應該處于嚴格的控制之下,只有經過認證的設備可以訪問網絡,并且能明確地限定其訪問范圍,這對于電子政務的網絡安全十分重要。
1.4數據備份與容災:任何的安全措施都無法保證數據萬無一失,硬件故障、自然災害以及未知病毒的感染都有可能導致政府重要數據的丟失。因此,在電子政務安全體系中必須包括數據的容災與備份,并且最好是異地備份。
2電子政務信息安全體系模型設計
完整的電子政務安全保障體系從技術層面上來講,必須建立在一個強大的技術支撐平臺之上,同時具有完備的安全管理機制,并針對物理安全,數據存儲安全,數據傳輸安全和應用安全制定完善的安全策略
在技術支撐平臺方面,核心是要解決好權限控制問題。為了解決授權訪問的問題,通常是將基于公鑰證書(PKC)的PKI(PublicKeyInfrastructure)與基于屬性證書(AC)的PMI(PrivilegeManagementInfrastructure)結合起來進行安全性設計,然而由于一個終端用戶可以有許多權限,許多用戶也可能有相同的權限集,這些權限都必須寫入屬性證書的屬性中,這樣就增加了屬性證書的復雜性和存儲空間,從而也增加了屬性證書的頒發和驗證的復雜度。為了解決這個問題,作者建議根據X.509標準建立基于角色PMI的電子政務安全模型。該模型由客戶端、驗證服務器、應用服務器、資源數據庫和LDAP目錄服務器等實體組成,在該模型中:
2.1終端用戶:向驗證服務器發送請求和證書,并與服務器雙向驗證。
2.2驗證服務器:由身份認證模塊和授權驗證模塊組成提供身份認證和訪問控制,是安全模型的關鍵部分。
2.3應用服務器:與資源數據庫連接,根據驗證通過的用戶請求,對資源數據庫的數據進行處理,并把處理結果通過驗證服務器返回給用戶以響應用戶請求。
2.4LDAP目錄服務器:該模型中采用兩個LDAP目錄服務器,一個存放公鑰證書(PKC)和公鑰證書吊銷列表(CRL),另一個LDAP目錄服務器存放角色指派和角色規范屬性證書以及屬性吊銷列表ACRL。
安全管理策略也是電子政務安全體系的重要組成部分。安全的核心實際上是管理,安全技術實際上只是實現管理的一種手段,再好的技術手段都必須配合合理的制度才能發揮作用。需要制訂的制度包括安全行政管理和安全技術管理。安全行政管理應包括組織機構和責任制度等的制定和落實;安全技術管理的內容包括對硬件實體和軟件系統、密鑰的管理。
3電子政務信息安全管理體系中的風險評估
電子政務信息安全等級保護是根據電子政務系統在國家安全、經濟安全、社會穩定和保護公共利益等方面的重要程度。等級保護工作的要點是對電子政務系統進行風險分析,構建電子政務系統的風險因素集。
3.1信息系統的安全定級信息系統的安全等級從低到高依次包括自主保護級、指導保護級、監督保護級、強制保護級、專控保護級五個安全等級。對電子政務的五個安全等級定義,結合系統面臨的風險、系統特定安全保護要求和成本開銷等因素,采取相應的安全保護措施以保障信息和信息系統的安全。
3.2采用全面的風險評估辦法風險評估具有不同的方法。在ISO/IECTR13335-3《信息技術IT安全管理指南:IT安全管理技術》中描述了風險評估方法的例子,其他文獻,例如NISTSP800-30、AS/NZS4360等也介紹了風險評估的步驟及方法,另外,一些組織還提出了自己的風險評估工具,例如OCTAVE、CRAMM等。
電子政務信息安全建設中采用的風險評估方法可以參考ISO17799、OCTAVE、CSE、《信息安全風險評估指南》等標準和指南,從資產評估、威脅評估、脆弱性評估、安全措施有效性評估四個方面建立風險評估模型。其中,資產的評估主要是對資產進行相對估價,其估價準則依賴于對其影響的分析,主要從保密性、完整性、可用性三方面進行影響分析;威脅評估是對資產所受威脅發生可能性的評估,主要從威脅的能力和動機兩個方面進行分析;脆弱性評估是對資產脆弱程度的評估,主要從脆弱性被利用的難易程度、被成功利用后的嚴重性兩方面進行分析;安全措施有效性評估是對保障措施的有效性進行的評估活動,主要對安全措施防范威脅、減少脆弱性的有效狀況進行分析;安全風險評估就是通過綜合分析評估后的資產信息、威脅信息、脆弱性信息、安全措施信息,最終生成風險信息。
在確定風險評估方法后,還應確定接受風險的準則,識別可接受的風險級別。
4結語
電子政務與傳統政務相比有顯著區別,包括:辦公手段不同,信息資源的數字化和信息交換的網絡化是電子政務與傳統政務的最顯著區別;行政業務流程不同,實現行政業務流程的集約化、標準化和高效化是電子政務的核心;與公眾溝通方式不同,直接與公眾溝通是實施電子政務的目的之一,也是與傳統政務的重要區別。在電子政務的信息安全管理中,要抓住其特點,從技術、管理、策略角度設計完整的信息安全模型并通過科學量化的風險評估方法識別風險和制定風險應急預案,這樣才能達到全方位實施信息安全管理的目的。
參考文獻:
篇8
2、國庫會計數據集中系統(TCBS)。2008年7月建成,目前已推廣至全國13個省(區、市)。主要核算國庫資金收入、支出、退庫、更正、國債等業務。系統以防范國庫資金風險為核心,確立一記雙訖、原子交易、事項驅動等業務處理規則,強化系統和人工操作的安全控制,減少業務處理環節的人工干預。具體包括:重要要素(收款人名稱賬號、收款銀行行號、金額等)第三人審核制;重要參數設置分級管理制,即影響系統的重要參數或用戶由上級核算主體有權限人員進行設置和審批;用戶管理由系統管理員設置維護、國庫部門負責人或會計主管確認生效的雙簽制度。
3、貨幣金銀管理信息系統。是人民銀行第一個實行全國數據集中處理方式的業務應用系統,2005年5月試運行,2006年2月正式運行。會計核算子系統為其重要組成部分,主要核算人民幣發行基金調撥、商業銀行存取款、發行基金清分、殘損人民幣復點和銷毀等業務。單式記賬,專設科目,獨立核算,分級管理。會計核算子系統賬務處理結果與其他子系統相應信息相互牽制實現核對匹配。
人民銀行會計核算監督檢查主要由三個層面構成:一是營業、國庫、貨幣金銀等核算部門的事前、事中監督。核算部門的監督以事前防范和事中控制為目標,核算業務發生前,通過受理業務時的柜面監督審核外來憑證等的真實性、合規性和準確性。核算業務處理過程中,采取復核、審批、認證等方式確保核算業務安全、有序進行。二是事后監督部門對核算業務的事后監督。事后監督是會計核算的延伸,在規定時間內對營業、國庫、貨幣金銀會計核算進行全面復審和檢驗,并及時反饋監督結果和督促整改。事后監督部門獨立于核算部門,直接對本行行長負責,監督工作具有一定的獨立性和權威性。三是會計財務、支付結算、國庫、貨幣金銀和內審等部門開展的會計核算現場檢查。檢查定期或不定期開展,有上級行檢查、本級行跨部門檢查和內部分管行長或部門主管檢查。檢查以確保核算資金安全為重點,通過面對面對賬、重要單證賬實核對和會計核算規范化檢查等手段,對會計核算風險進行事后防控。
二、人民銀行會計核算風險管理存在的問題
目前人民銀行的會計核算風險管理屬于“分散控制與分散監督”模式,“分散控制”指會計核算過程控制分散于營業、國庫、貨幣金銀等多個核算部門,“分散監督”指會計核算結果控制分散于事后監督、內審及相關業務主管部門。該模式在提升人民銀行會計核算質量,防范會計核算風險方面起到了一定的作用,但同時存在以下問題:
(一)風險管理組織體系不夠健全,風險評估待完善。
一是在會計核算風險管理組織機構的具體設置上,缺乏一個集中統一的風險管理部門。會計財務部門雖負有全行會計管理的職責,但同級國庫、貨幣金銀和支付結算等部門會計核算管理與監督主要由上級對口部門負責,事后監督部門未實行條線管理。多個部門各自為政,職責交叉,風險管理資源共享度低,容易形成重復監督及監督真空。二是在會計核算風險評估方面,尚無一套完善的風險評估機制。風險評估方式單一,缺少定性和定量相結合的評估方法,對會計核算風險的識別、監測、評價和反饋未能統一規范。三是在會計核算風險管理信息建設方面,沒有建立風險管理信息數據庫。風險管理相關的資料數據不夠全面和連貫,且多以簡單方式存儲于不同部門,信息利用率低,監督資源浪費。
(二)缺乏統一的綜合業務系統,風險管理難度大。
當前人民銀行的會計核算模式為“縱向集中與橫向分散”相結合,營業、國庫、貨幣金銀等業務條線會計核算都趨向全國數據集中,但三大業務集中核算系統卻相互獨立,互不關聯。系統間相關信息由于缺乏數據接口,不便統一整合,核算勾稽關系難以核驗,風險管理時效性滯后。如貨幣金銀管理信息系統的發行基金出入庫發生額、余額與中央銀行會計集中核算系統的發行基金往來科目相關信息的核對,多通過貨幣金銀部門和營業部門在業務發生的次日以登記簿形式確認,一旦出現問題,難以補救。同時,一個系統需對應一套崗位,且崗位設置應符合內控制約、分離的要求。但以人民銀行目前的核算業務量,基層行尤其是縣支行部分剛性崗位業務不飽和,在核算人員有限的情況下,容易形成違規兼崗,產生業務“一手清”等現象,風險防控難度大。
(三)監督手段滯后于核算手段,易形成監督風險。
同會計核算電子化快速發展現狀相比,事后監督手段的發展遠落后于核算手段。盡管人民銀行總行建設中的中央銀行會計核算數據集中系統開發了相應的監督子系統,但僅能解決營業部門的會計核算監督。大部分事后監督業務尤其是占比達80%以上的國庫核算事后監督業務,仍使用手工監督方式,還停留在憑證清單逐筆核驗,報表賬戶逐項勾對上,算盤、計算器并用。簡單重復的手工全面復審不僅效率低下,也大大增加了監督風險。同時,各業務主管部門和內審部門的現場檢查也以手工傳統操作為主,效率不高,監督力量弱化,檢查效果有待提升。
三、商業銀行會計核算風險管理機制的啟發與借鑒
目前,國內商業銀行會計核算風險管理機制較先進,實踐中也取得了比較成熟的經驗,在管理體制、監督理念、監督手段和監督資源應用等方面均有值得吸收借鑒之處。由于工商銀行和中國銀行的總、分、支行三級機構設置模式與人民銀行接近,所以選取工商銀行福建省分行和中國銀行福建省分行加以比較分析。
(一)管理體制方面。
采用“垂直管理,分級監督”模式,總行設立專門機構負責會計核算風險管理,分行相應設立監督部門。工商銀行于2010年底全面實現由省分行運營風險監控中心集中監督的模式。總行運營管理部是會計核算風險管理的主管部門,負責規范核算標準和流程,建立風險評價體系,根據省分行運營監控中心的風險識別、風險評估、質量管理、流程分析等能力對其進行考核。省分行運營監控中心負責運營風險管理的具體執行工作,根據監督結果對二級分行、支行進行核算質量考核。中國銀行管理體制與工商銀行相似,但集中監督職責由省級和二級分行承擔。總行的運營總部負責會計核算風險管理。省分行和二級分行設立運營控制部負責重要業務授權、銀企對賬和事后監督等。目前一個地市級以上城市設立一個運營控制部,但運營控制正向省分行集中方面發展。
(二)風險管理理念方面。
樹立風險為本的監督理念,并將此理念融入監督系統建設,落實到日常監督工作中,改人海戰術式的全面復核模式為依靠監督模型識別風險事件的數據分析模式,由粗放型監督管理轉變為集約化監督管理。工商銀行的風險導向監督無論理念上還是實踐中都相對先進。以總行統一開發的業務運營風險管理系統為平臺,以風險事件管理為重點,集監測、質檢、履職、風險評估等功能于一體,實行風險導向和流程導向的監督。基于數據分析的監督模型為識別風險的主要方式,根據對象的風險程度,運用不同的監督流程,實施風險分類分層分級管理,投入不同的監督資源。中國銀行以省分行自行開發的憑證影像系統為平臺,根據集中監控模塊的監控數據分析,區分不同對象的風險等級,采取重點監控、人工選擇監控、集中預警等方式監督。
(三)監督手段方面。
綜合業務系統和監督系統均已建成使用,監督手段先進。工商銀行和中國銀行在監督手段上的共同特點:一是集中核算、集中監督。會計核算實現全國數據集中,涵蓋網點柜面,網上銀行、手機銀行等電子銀行以及ATM、POS等商業銀行各條線核算業務。核算監督覆蓋面廣,集中程度高,涉及核心業務系統的全部業務,未來將延伸至電子銀行、信貸等系統。二是運用OCR(OpticalCharacterRecognition,光學字符識別)圖像識別技術實現無紙化監督。紙質憑證由網點掃描生成影像,建立憑證影像數據庫。OCR識別影像信息與綜合業務系統導入核算數據自動匹配,匹配不成功的剔出人工審核再處理,以保證憑證影像的完整性和核算處理的準確性,同時為后續以風險為導向的監督和分析奠定基礎。三是建立風險監督模型。通過深入分析客戶的交易對手、交易金額和交易頻率等交易習慣,設計智能化的風險識別監督模型,實行風險評估和風險控制,實現風險區別對待,分級管理。
(四)監督資源運用方面。
監督結果與風險管理有機結合,通過對監督資源的綜合加工,強化風險預警,促進制度完善,推動流程優化,實現對監督結果的深層次運用。工商銀行實行風險事件管理數據深加工,評估、分析和管理監督數據,定期提交風險評估報告。實施風險分級管理,風險深層揭示,區別會計核算風險程度,分別向同級相關部門和二級分行、支行反饋。同時,強化風險事件關鍵驅動因素的收集功能,為實施風險防控提供決策依據。屬制度因素驅動的風險,通過完善相關業務制度解決;屬系統因素驅動的風險,通過優化業務系統功能排除;屬流程因素驅動的風險,通過調整業務流程防范。有效發揮監督資源在風險管理中的作用。中國銀行根據綜合加工的監督資源,對轄屬支行進行風險控制評價及綜合考核,并定期向相關部門通報監督情況。
四、COSO風險管理框架視角下完善人民銀行會計核算風險管理機制的思考
2004年,美國COSO(TheCommitteeofSponsoringOrganization,全國虛假報告委員會下屬的發起人委員會)對沿用了近10年的《企業內部控制——整體框架》(簡稱COSO報告)進行完善,出臺了《企業風險管理——整體框架》(簡稱ERM),在原來COSO報告五要素的基礎上細化和強調了風險管理要素,對風險管理進行全新定義:企業風險管理是一個動態過程,受企業董事會、管理層和其他人員的影響,應用于企業的戰略及各個方面,旨在確定影響企業的潛在重大事件,將企業的風險控制在可接受的程度內,從而為實現企業戰略、運營、報告和合法目標提供合理保證。COSO風險管理框架提出了內部環境、目標制定、事項識別、風險評估、風險分析、控制活動、信息和溝通、監控8個相互關聯的風險管理要素。目前,國內商業銀行大多根據COSO風險管理框架開展風險評估和風險管理活動。COSO風險管理框架同樣適用于人民銀行會計核算風險管理。基于COSO風險管理框架視角,借鑒商業銀行先進的會計核算風險管理模式,建議從以下四個方面完善人民銀行會計核算風險管理機制。
(一)著力構建風險管理組織體系。
COSO風險管理框架提出要將單位戰略和風險管理戰略緊密結合,并要求設立風險管理部,以構建良好的風險管理內部環境并制定明確的風險管理目標。針對現行人民銀行會計核算風險管理組織體系,建議:一是成立風險管理委員會。由會計財務司牽頭,支付結算、國庫、貨幣金銀、外管等部門參與,風險管理委員會作為會計核算風險管理的決策機構,負責指導、組織實施人民銀行會計核算風險管理工作。同時,風險管理委員會應成立專業風險評估小組,由各專業具備豐富業務知識和工作經驗的人員組成,梳理人民銀行核算業務風險點,并結合歷年發生的資金案件進行深入分析,開展風險識別和評估,確定風險模型,并根據核算業務發展變化情況適時調整。二是設立資金風險管理部。在事后監督中心的基礎上組建資金風險管理部,可以省會中支、營業管理部為單位,或以大區行為單位設立。賦予資金風險管理部具體執行會計核算風險管理的職責。負責運行、維護資金風險監控系統,將人民銀行所有會計核算業務納入監督范圍。風險管理部的設立將大大降低當前基層人民銀行會計核算監督成本,提高監督效率,并真正發揮監控資金風險、保障資金安全的作用。
(二)探索建立風險導向型監督模式。
事項識別、風險評估和風險分析是COSO風險管理框架提出的風險管理要素的組成部分,這也是建立人民銀行會計核算風險導向型監督模式的關鍵。只有科學合理的風險識別和風險分析,才能準確判斷風險管理狀況,進而采取有效措施實施風險控制,實行風險導向監督。1、風險識別。人民銀行會計核算問題根據其對資金安全的影響程度,可分為事故類風險、核算差錯類風險和規范性差錯類風險。2、風險評估。在對人民銀行會計核算風險識別的基礎上,應對各類風險實施評估。首先,對三類風險按嚴重程度再進行細分,如事故類風險可分為資金損失、經濟糾紛、聲譽受損等。其次,根據細分后的風險項目,科學確定各項目風險權重,綜合運用定性與定量相結合的方法,計算出風險評估的綜合分值,構建風險評估模型。風險評估模型可不斷補充完善,以適應風險變化的要求。第三,依據風險評估模型,以數據分析的方式管理風險,運用不同的監督流程,實行風險導向的監督。
(三)加快建設綜合業務系統和資金風險監控系統。
COSO風險管理框架要求以先進的風險管理技術為支撐。建設功能強大的綜合業務系統和與之匹配的資金風險監控系統是完善風險管理機制的重要手段。一是功能設置上,整合現有橫向分散的核算系統,構建以中央銀行會計集中核算系統為核心,以國庫、貨幣金銀、外匯和財務等核算系統為子系統的綜合業務系統,實現人民銀行會計核算數據全行大集中。二是核算模式上,實行前后臺分離,前臺設在各級分支機構,負責受理各項核算業務,并輸入相應數據信息,確保原始信息的合規性和準確性;后臺可根據業務量情況,在全國集中設立若干個業務處理中心,通過OCR圖像識別技術接收前臺受理的業務,集中擺放賬戶,集中處理賬務,保證賬務信息的及時性和完整性。三是風險防控上,建設資金風險監控子系統。在對會計核算風險進行識別、評估的基礎上,建立風險評估模型,通過與綜合業務系統共享核算信息,一方面,運用風險監控子系統對核算風險實施剛性控制和管理,實現業務制度和管理規定的硬約束,另一方面,通過對風險監控子系統的參數化管理,對綜合業務系統核算數據進行定性、定量分析,對不同的核算業務實行有針對性的監督,提升風險管理效能。
篇9
風險是指在一定的客觀情形下,在某一特定期間內,那些可能發生的結果之間的差異。顯然,這種差異是實際結果與預期結果的變動程度。所謂風險大,就是指這種變動程度大;風險小,就是指這種變動程度小。基本規范涉及的風險是指對實現內部控制目標可能產生負面影響的不確定因素。因此,在這個概念的界定上,需要明確內部控制目標和不確定因素兩個關鍵詞。
1.內部控制的目標
內部控制有五大主要目標,即運營的效率和效果、財務報告的可靠性、資產的安全完整、法律法規的遵循性以及實現企業的戰略目標。內部環境、風險評估、控制措施、信息與溝通以及監督檢查均服務于五大目標。
對于經營的效率和效果而言,這是一個公司基本的業務目標,包括業績和盈利目標以及資產的保護,它們因管理者對結構和業績的選擇而異;可靠的財務報告與公認會計準則編制的財務報表以及相關陳述有關,所以會涉及賬務和非賬務信息;同時,遵循相關的法律法規,公司可以避免對其名譽造成損害或者遭受其他不利后果。
經營的效率和效果及報告的目標更多地建立在偏好、判斷和管理風格的基礎上。它們在不同的主體之間存在著很大的區別,因為不同的主體可能會選擇不同的目標。所以對所有主體而言,都是最優的目標模式是不存在的。
2.不確定性
風險是不確定的,否則,就不能稱之為風險。所謂不確定性,即當風險存在時,至少存在兩種可能的結果,只是我們面對風險時無法知道哪種結果將出現。不確定性分為主觀上的不確定和客觀上的不確定。
(1)主觀上的不確定
不確定性大多定義為基于對未來發生或不會發生什么事情的情況缺乏認識、產生懷疑的思維狀態。不確定性是一種對于未來將發生的事情的簡單心理反應。當風險存在時,就產生了不確定性。而這種不確定性往往是主觀的,與實際情形不相符合。
(2)客觀上的不確定
客觀上的不確定的兩個層次的含義:
第一,不確定的客觀存在性。如果不確定性是由一些偶然因素導致的結果,那么其存在就具有了客觀性。第二,有些情況在客觀上是確定的,但是人們總體上認知能力不足,無法得到確定狀態所必要的信息。因此也可以認為由此導致的對未來的無法判斷是客觀的。
(3)風險的特征
風險具有三個明顯的特征:偶然性、可變性和客觀性。
風險具有偶然性。從全社會看,風險是具有必然性的。但是,對特定的個體而言,風險事故的發生是偶然的。這種偶然性其實是由事件的隨機性決定的。因為風險事故的發生與否不確定,風險事故何時發生也不能確定,風險事故將會怎樣發生,其損失有多大,也不能確定。
風險具有可變性。風險的可變性是指在一定條件下風險具有可轉化的特性。而世界上任何事物都是互相聯系、互相依存、互相制約的,世界萬物都處在運動變化的狀態之中,這些變化必然會引起風險的變化。新風險產生和舊風險的消亡,也有量的增減和質的改變。風險的變化是由某些因素引起的,這些因素可以歸結為科技的進步、政治和社會結構的改變、經濟體制與結構的轉變。
風險具有客觀性。風險是由客觀存在的自然現象和社會現象引起的。自然界的運動如洪水、泥石流、雷電、暴雨等形成自然災害,對人類的生命和財產構成威脅。戰爭、沖突等是受社會發展規律支配的,人們認識和掌握規律可以預防意外事故,但是不能完全消除風險的存在。因此,風險是客觀存在的,人們只能在一定的范圍內改變風險發生和發展的條件,采取辦法降低其發生的概率,減少風險帶來的損失程度,但是卻不能徹底消除風險。
二、風險評估
不同的企業、同一企業的不同時期以及同一企業內部不同的內部環境、外部環境、業務層面和工作環節,都可能面臨不同的風險,企業應當有針對性地開展風險評估。
風險評估,是指及時識別、科學分析影響企業內部控制目標實現的各種不確定因素,同時采取應對策略的過程。要對識別的風險進行分析,形成風險管理的依據。風險與可能被影響的目標相關聯。既要對固有風險進行評估,也要對剩余風險進行評估,評估要考慮到風險的可能性和影響。
通常來講,企業進行風險評估的目的主要有:了解和評價企業的經營環境和經營現狀;提出組織發展的安全需求;擇取最優的風險控制措施;建立安全管理體系;制定有效的安全策略。
風險評估的主要任務有以下幾點:識別企業面臨的各種風險;評估風險概率和可能帶來的負面影響;確定組織承受風險的能力;確定風險消減和控制的優先等級;推薦風險消減對策,適時調整應對策略。
在風險評估過程中,有幾個關鍵的問題需要考慮:第一,確定評估對象或者資產,明確它的直接和間接價值;第二,分析資產面臨的潛在威脅和導致威脅的問題所在以及威脅發生的可能性;第三,資產中存在哪些弱點可能會被威脅所利用,利用的難易程度如何;第四,一旦威脅事件發生,企業會遭受怎樣的損失或者面臨怎樣的負面影響;第五,組織應該采取怎樣的安全措施以便將風險帶來的損失降低到最低程度。解決以上問題的過程,就是風險評估的過程。另外,在進行風險評估時,有幾個對應關系必須考慮:(1)每項資產可能面臨多種威脅,(2)威脅源(威脅)可能不止一個,(3)每種威脅可能利用一個或多個弱點。
風險評估要按照一定的程序來進行,有目標設定、風險識別、風險分析、風險應對四個步驟。
篇10
中圖分類號:F83 文獻標識碼:A
收錄日期:2015年7月10日
一、引言
隨著互聯網技術的興起和金融市場的逐步開放,各類融資機構的互聯網金融業務也如雨后春筍般的出現。以河北省為例,截至2014年,該省融資性擔保機構達到約600家,比2003年增長了41倍;擔保資本金超過400億元,比2003年增長了100余倍。其中,由省財政支持的省級擔保機構已有4家,資本金規模達到31.6億元。這些中小型融資機構中,運用或即將運用互聯網金融模式的機構已具有相當的規模。互聯網金融作為傳統金融的擴展和金融信貸的延伸,具有成本低、效率高、覆蓋廣的特點,在融通資金、引導資產流向和調節社會供需平衡等諸多方面越來越起到不可替代的作用。然而,由于互聯網金融的開放性特點,在營運過程中面臨著各類系統風險,逐漸進入國際國內金融界關注的領域。
二、傳統金融產業系統性風險評估
國內外學術界對金融產業系統性風險管理的研究大多數局限于傳統的信貸風險研究,S.Jha&K.S.Bawa通過印度小額貸款的實證研究,從貸款人的角度分析了小額貸款風險的影響因素;Valentina Hartarska&Denis Nadolnyak分析世界銀行1998~2002年在全球各國發放小額貸款的風險情況,提出產品的產業政策、政府對小額貸款的支持力度是小額貸款風險的主要影響因素。國內許多學者從金融機構的視角研究了系統風險對金融企業的影響因子,吳曉靈從監管模式的角度研究了小額貸款公司發展滯后的主要原因;楊速炎通過研究進一步說明了,監管主體、風控意識對金融企業發展的重要影響;周海林認為小額貸款公司風險的主要來源是貸款利率低、稅費負擔重及經營開支高。
國內外學者對金融機構系統風險防控的研究大部分是針對商業銀行的大型企業貸款,對于互聯網金融模式下的小額貸款風險防范研究較少,且主要采用信用評估模型進行評估。Schreiner在研究中證實了信用評分在降低信息收集成本、改善小額貸款機構的服務和經營可持續方面的作用。Robert DeYoung利用Stacked-Fogit模型對小額貸款信用得分進行了分析。我國學者也在小額貸款風險評估方面做了大量的工作。肖冬榮利用粗糙集方法,對我國個人信貸風險評估進行了研究。閆雪、盧繼梁提出了提高小額貸款公司風險控制力的創新型路徑建立信用評估大體系。申韜運用軟集合理論指出,信用風險評估必須要與現階段國內小額貸款公司的運營特征相符。
三、互聯網金融產業系統性風險識別與評估面臨的新問題
互聯網金融業務已在全國各省市逐步展開運營,形成了一個競爭與協作并存的龐大融資系統。但是,這些依托于互聯網模式的中小型融資機構由于缺乏政府監管、準入門檻低、惡性競爭現象明顯,存在著許多不規范行為,普遍面臨著嚴峻的生存考驗與系統性風險。在互聯網金融產業鏈中,摻雜著大量的地方性中小型融資機構和金融企業,這些中小型金融企業與傳統的金融機構有著較大的區別,我們必須根據實際情況,更精確地定義互聯網金融產業模型并構建合適的系統風險評價體系來應對此類問題。此外,隨著互聯網金融業務的日益普及,越來越多的金融業務開始轉向網絡化、移動化、互聯化,產業與金融業的鏈條緊密度日益增加,一旦互聯網金融產業鏈發生較大的連鎖性風險,必然會累及傳統金融產業乃至實體經濟。從目前來看,針對互聯網運營模式下的中小型融資機構風險識別與評估方法的研究相對較少,且相關研究工作往往圍繞信貸業務風險展開。因此,對互聯網金融機構的系統性風險進行識別與評估變得尤為重要。
四、結論與展望
隨著互聯網金融的普及,國內外金融界對系統風險的關注日益增強。金融機構系統風險管理中一項重要內容就是對系統風險進行量化和評估,即在確定風險來源的基礎上對其可能給金融機構經營造成的影響程度及結果進行評估和測定。諸多研究應將更多精力用于關注中小型互聯網金融機構系統風險評價的科學化、數量化,為互聯網金融機構的經營決策和政府導向提供科學的參考依據,提高互聯網金融產業的競爭力,更好地服務地方經濟。與此同時,互聯網金融系統風險的降低,可以更好地保護融資雙方利益,減少因資金融通鏈斷裂引發的一系列連鎖反應,及其引發的社會問題。因此,政府與監管部門除了做到常規的信用風險評估外,還應投入更多精力關注系統性風險的識別,做到防患于未然。
主要參考文獻:
篇11
現代風險導向審計明確了審計工作應以了解被審計單位環境,評估財務報表重大錯報風險作為新的正確起點和導向,要求注冊會計師全程關注財務報表的重大錯報風險,并將風險評估作為整個審計工作的先導、前提和基礎。但如何才能全面的了解企業所面臨的風險,并評估其對財務報表重大錯報的影響呢?本文擬建立一個基于企業風險管理框架理論的三維框架體系解決這一問題。
一、現代風險導向審計評述
隨著現代企業規模的日益擴大,企業的經濟活動和交易事項內容不斷豐富復雜,審計工作的工作量和復雜度迅速增大。為了適應審計環境的變化和審計工作的需求,審計職業界逐漸改變了詳細審計,代之以抽樣審計,審計方法也從賬項基礎審計、制度基礎審計發展到風險導向審計。根據對審計風險的理解和認識的不同,風險導向審計被劃分為傳統風險導向審計和現代風險導向審計兩個階段。
傳統的風險導向審計運用審計風險模型“審計風險=固有風險×控制風險×檢查風險”,將審計的視角確定于企業的管理制度,特別是會計信息賴以生成的內部控制制度。注冊會計師通過了解企業及其環境、評價內部控制,對固有風險和控制風險做出評估,在此基礎上確定檢查風險,再設計和實施實質性程序,以將審計風險控制在會計師事務所確定的水平。由于固有風險的單獨評估具有顯知的難度,注冊會計師往往不注重從宏觀層面上了解企業及其環境,而將審計的起點定為企業的內部控制測試,只依賴對內部控制風險所作的粗放型評估來直接、大致確定檢查風險水平,再據此規劃實質性程序的性質、時間和范圍。但是由于企業存在于整個社會經濟生活網絡中,所處的經濟環境、行業狀況、經營目標、戰略和風險都將最終對會計報表產生重大影響,同時,當企業管理層通同舞弊,故意通過重大誤導性的財務報表來傷害公司利益相關者時,企業的內部控制會失去效果。如果注冊會計師不把審計視角擴展到內部控制以外,就很容易受到蒙蔽和欺騙,難于發現會計報表存在的重大錯報和舞弊行為。
2003年10月,國際審計與鑒證準則理事會(IAASB)緊緊圍繞如何提高審計人員評估風險、發現舞弊的能力,了4個修訂和新起草的準則,其核心思想是合并原固有風險和控制風險,將審計風險模型修改為“審計風險=重大錯報風險×檢查風險”,同時修改審計業務流程,強調從宏觀上了解被審計單位及其環境,以充分識別和評估會計報表重大錯報的風險(風險評估程序),再針對評估的重大錯報風險設計和實施控制測試和實質性程序(進一步審計程序)。
我國財政部也了《中國注冊會計師審計準則第1211號――了解被審計單位及其環境并評估重大錯報風險》,并要求自2007年1月1日執行。該準則也明確了“了解被審計單位及其環境是必要程序”,要求“注冊會計師應當了解被審計單位及其環境,以足夠識別和評估財務報表重大錯報風險,設計和實施進一步審計程序。”
二、構建財務報表重大錯報風險評估的三維框架(圖1)
經營風險與財務報表重大錯報風險是相互聯系又有區別的兩個范疇。多數經營風險最終都會產生財務后果,從而影響財務報表,但并非所有經營風險都會導致重大錯報風險。注冊會計師需要通過一定的方法全面了解企業的經營風險并從中考慮經營風險是否可能導致財務報表的重大錯報風險。
2004年9月,COSO的《企業風險管理――整合框架》,為人們提供了全面的企業風險管理框架。本文試圖以此框架為基礎,建立一個以風險管理目標為起點、審計業務循環為主線、風險管理構成要素為步驟的三維重大錯報風險評估框架,以便從上向下的全面評估企業所面臨的風險及其風險應對的有效性,同時以審計業務循環為主線,識別評估財務報表的重大錯報風險。
(一)風險管理目標維度――起點
企業風險管理的目標是指主體力圖實現什么。《企業風險管理――整合框架》將之劃分為戰略、經營、報告、合規四種類型的目標,認為主體應首先設定戰略目標,并將戰略目標分解成主體及其各單元努力實現的經營、報告、合規目標。
“注冊會計師應當了解被審計單位的目標和戰略,以及可能導致財務報表重大錯報的相關經營風險”。注冊會計師應了解:1.戰略目標,包括被審計單位的行業狀況及影響其經營的其他外部因素,與之相應的被審計單位的目標和戰略;2.經營目標,包括企業為實現其戰略目標所制定的次級經營目標,如市場占有目標、銷售目標、采購目標、生產目標、投資目標、籌資目標等;3.報告目標,了解由企業編制的、向內部和外部散發的各種財務和非財務報告的內容及報告方式,特別是對財務報表報告有重大影響的企業的所有權結構、治理結構、組織結構,財務業績的衡量和評價方式等;4.合規目標,了解被審計單位所處的法律環境及監管環境,包括適用的會計準則制度,影響經營活動的法律法規、政府政策、監管活動和環保要求等。
(二)審計業務循環維度――主線
業務循環是企業處理某一類經濟業務的工作程序和先后順序,一般可劃分為采購與付款循環、銷售與收款循環、存貨與倉儲循環、籌資與投資循環等。企業的經營業務流程與內部控制有著直接的聯系,同時,循環審計也有利于審計分工,提高審計效率,因此業務循環審計被廣泛應用于傳統的內控導向審計中。
本文建立的三維模型,強調以業務循環為線,分循環了解企業風險管理目標和構成要素,以便于界定財務報表容易發生錯報的領域及其錯報的方式,主要原因如下:1.通過業務循環的劃分,企業的所有交易和賬戶余額被分屬于不同的循環,按照業務循環來解析企業風險,能夠將風險評估的結果最終具體落實到賬戶的認定層次。2.“了解被審計單位及其環境是一個連續和動態的收集、更新與分析的過程,貫穿于整個審計過程的始終。”按業務循環來了解企業環境,評估財務報表重大風險,是與進一步審計程序中分業務循環設計和實施控制測試和實質性程序相一致的。
(三)風險管理構成要素維度――步驟
企業風險管理的構成要素是管理層經營一個企業所做的事情,是指主體應以什么樣的方式來實現其目標。《企業風險管理――整合框架》將之劃分為八個構成要素。注冊會計師依照這八個構成要素可以全面了解企業面臨的風險、采取的風險應對措施及其有效性,從而全面評估與經營風險相關聯的企業財務報表的重大錯報風險。
1.內部環境。內部環境是指管理當局確立的關于風險的理念,是企業組織的基調,影響企業組織中人員的風險意識。注冊會計師應了解企業管理層的風險管理理念,風險容量,董事會的監督機制,企業中人員的誠信、道德價值觀和勝任能力,以對企業的風險管理方式作總體的了解。例如,有效而獨立的董事會運作機制能夠有效的控制企業的經營風險,也將有效的降低財務報表錯報的風險。
2.目標設定。目標設定是指企業管理當局在既定的任務和背景下,采取恰當的程序制定戰略目標、選擇戰略,并制定相關經營目標,將其細分至企業的方方面面,從而確保所設定的目標支持切合企業的使命并與風險容量一致。注冊會計師應以審計業務循環為線,了解企業的關鍵業績指標、業績趨勢、預測預算、企業各部門單位的業績目標等,從而推測相關人員的行為導向及可能導致的重大錯報風險。例如,過高的銷售目標易導致產生壓貨等各種形式的虛假銷售,或使得企業對客戶信用評估不重視,為了占領市場盲目擴大客戶源,盲目賒銷,最終導致銷售收款循環的重大錯報風險;本期及未來的融資計劃,是企業為滿足融資條件修改財務報表、管理關鍵財務指標的重要動機。
3.事項識別。事項識別是指企業管理當局必須能夠識別可能對企業產生影響的潛在事項。注冊會計師應詢問管理層識別出的經營風險或與管理層討論如何識別經營風險。例如企業各級部門是否實時關注與之相關的政策法規,企業是否具有常規的市場調研機制,是否聘請了法律顧問以規避法律風險,是否具備有效的內部審計機制,財務主管是否了解融資市場的利率及資金供應狀況等等。
4.風險評估。風險評估是指企業應該考慮潛在事項如何影響目標的實現。注冊會計師應與企業的管理層及各部門負責人討論,以明確企業是否能夠評估各領域的風險程度。例如,銷售部門是否能夠識別關鍵客戶,采購部門是否有一定方法區分重要供應商,生產部門是否能夠明確行業產品的發展方向并有與之相應的研究和開發活動等。
5.風險應對。風險應對是指管理者如何應對風險。注冊會計師應了解企業的風險應對措施并評估其有效性。注冊會計師應特別關注當被審計單位內部或外部對財務業績的衡量和評價可能對管理層產生壓力時,企業是否存在通過關聯方交易、合并報表、會計政策選擇等財務手段直接管理財務指標應對業績評價風險的情況。
6.控制活動。控制活動是幫助管理當局實施風險應對方案的政策和程序。注冊會計師可以以審計循環為主線,更多的關注企業為實現財務報告可靠性目標設計和實施的與審計相關的內部控制。
7.信息與溝通。管理者應當建立一套信息系統來處理和提煉大量的數據以形成可參考的信息,并在企業內部和外部恰當、及時、準確的傳遞。注冊會計師應更多的關注“與財務報告相關的信息系統”。
8.監控―管理當局需要依賴監控確定企業風險管理的運行是否持續有效。“注冊會計師應當了解被審計單位對與財務報告相關的內部控制的監督活動,并了解如何采取措施”。
【參考文獻】
[1] 中國財政部.中國注冊會計師審計準則第1211號――了解被審計單位及其環境并評估重大錯報風險[EB/OL].http://mof.省略,2006-2-15.
[2] [美]COSO.企業風險管理――整合框架[M].方紅星,王宏,譯.大連:東北財經大學出版社,2005.
[3] 陳毓圭.對風險導向審計方法的由來及其發展的認識[J].會計研究,2004(2):58-63.
篇12
一、海洋工程項目風險的識別
(一)工程項目風險的定義及特點
海洋工程項目風險則是指在項目的策劃、設計、建造、安裝、調試以及后期投入使用各個階段可能面對的損失。項目的風險在任何項目的任何過程中都會存在。如果不能有效的對項目的風險進行控制,可能會造成項目在實施的過程中出現失控現象,從而導致延長工期、增加成本、甚至項目失敗影響企業聲譽。任何海洋工程項目都有一次性、獨特性和創新性的特點,項目風險也具有隨機性、相對可預測性、漸進性、階段性、突發性等特點。
(二)工程項目風險的分類
根據海洋石油項目的整體特點,基本可以分為可控風險和不可控風險兩大類。可控風險指的是以人的主觀能力可以控制住的風險,這些風險都可以有效的避免或者可以提前采取一定的措施進行預防,比如施工風險、安全風險、技術風險等等;不可控風險指的是客觀存在的,不以人的意志為轉移的風險,一般不能有效的規避或者采取預防的措施,例如政治風險、經濟風險、自然災害等等。
(三)海洋工程項目風險的識別
海洋工程的項目與傳統的土建項目有著明顯的區別,海洋工程的項目交叉作業多、涉及專業多、作業環境復雜、參與人員及設備較多等特點,那么在項目的運行過程中,如何對風險進行有效的控制,首先要對項目的風險進行識別,分析出屬于哪類風險,這就要求首先做好風險的識別。以海上組塊的安裝為例,根據海上安裝的施工方案,將該組塊的海上安裝過程分為“作業船就位、拋錨”、“組塊掛扣”、“固定切割”、“組塊起吊”、“組塊就位”及“組塊固定”這幾個過程,通過對每個過程中參與作業的設備、人員及外部環境的研究,識別出了每個過程中的安全風險因素。如作業船就位、拋錨過程,參與的機具船舶有:發電機、絞車、錨機、通訊設備、兩條輔助船舶及相關設施。參與人員有:作業船及輔助船船員、定位人員、指揮員。因此這個過程中可能的風險有:發電機及絞車故障、通訊設備故障、人員誤操作、未按方案布錨、走錨等風險。同理可以得到其他幾個作業過程的風險因素。因此有效的識別風險,是為了風險評估、風險應對和風險監控提供強有力的基礎。
二、海洋工程項目風險的評估
在項目風險識別之后馬上要對項目的風險進行評估,對項目所有的不確定的風險因素進行全面的分析識別后進行綜合評價,區分出可控風險和不可控風險。如果有必要需要建立風險模型,通過專家分析進行風險評估并制定有效的方法進行應對。
(一)項目風險的評估的方法
項目的評估方法有很多種,例如作業危險評估法、期望值法、事故樹分析法、敏感性分析法、模糊數學法等,而海洋工程項目中一般采用的評估方法是作業危險評估法(LEC法)。
(二)海洋項目風險評估
以海上平臺安裝為例,在海上平臺的安裝過程中,相關人員識別出在施工的過程中存在某種突發安全風險后,應該立即組織專家組對該風險進行評估,通過對“事故的不可預測性”、“措施的無效狀態”、“人員暴露在危險環境下的頻度”、“事故可能損失后果”的等等各個方面進行有效的評估,得到了風險因素的危險程度值及危險等級,為下一步風險的應對提供基礎。
三、海洋工程項目風險的應對
(一)海洋工程項目風險的應對的方法
在風險評估完成后,為了保證項目的順利進行,就需要專家組提出應對風險的措施和方法,應對風險的方式多種多樣,但籠統的歸納后有以下兩種:1、控制方法,及發現風險后提出有效的手段進行控制從而降低風險,主要以風險回避、風險遏制和風險轉移等手段。一般情況下對于海洋工程中的可控風險,一般都會采用這種手段進行控制。2、利用財務手段。在海洋工程領域,大多數情況下業主都會要求分包商進行購買海事保險的方式進行風險分攤,尤其是在重大設備設施的運輸、吊裝等作業行為前,都需購買保險釆用財務的手段將項目風險進行轉嫁。
(二)海洋工程項目風險的應對的原則
1、風險應對有針對性原則。在項目進行中,所采取的每一項措施都必須有針對性,否則勢必會浪費企業資源。2、風險應對可操作原則。在發現風險后在經過專家組的論證后制定的每一項應對措施中都必須可操作性,不應僅僅停留在紙面上,否則對防范風險沒有任何意義。3、風險應對最大執行力原則。在經過專家組的論證后制定的每一項應對措施后,應引起項目經理的足夠重視,從項目高層著手保證這些控制措施發揮其應有的效用。4、風險應對全面原則。一般海洋工程項目的風險具有多樣性,復雜化等特點,必須全面的指定有效的措施,需要采取多樣的方法從不同角度對其予以全面控制。5、風險應對措施與經濟成本相協調原則。在選擇風險控制措施時,在相同效果的前提下采取成本較低方案。6、風險應對能力導向原則。控制安全風險時,主要以預防為主,在能力范圍內可消除的必須進行處理,無法消除的最大化的削弱風險。
四、海洋工程項目風險的監控
(一)項目風險監控的概念
項目風險的監控是在對項目風險管理指定相關措施后對風險管理過程中的監視和控制。
(二)項目風險監控的目標
在項目風險監控措施的實施的過程中,都應該達到一些目標,這些目標包括:及早識別是否還有新的風險,避免已經發現的風險發生、減少風險發生后帶來的損失、總結經驗教訓在本文中項目風險監控雖然處于項目風險管理的最末端,但是風險監控是貫穿于項目整個過程中的,因此建立一套可行的項目風險監控系統是必不可少的措施,也是風險監控的關鍵所在。
結語
本文在綜合考慮海洋石油工程項目特點及各類分析方法適應性的基礎上,對組塊的海上吊裝安裝過程進行風險管理研究,依此建立了風險源及風險識別、評估表,并基于盡早的識別風險,盡可能避免項目進行中事故的發生以及降低項目風險發生以后所產生的不利后果的目的,建立了兼具科學性和可操作性的項目安全風險監控系統。海洋工程項目的安全風險管理與對組塊海上安裝過程的安全風險管理類似,需要對全過程的作業信息進行收集并處理,識別出項目進行過程中的安全風險,并針對性的進行應對,然后評估每個風險因素的危險性及風險等級。若應對后的風險等級仍然較高,那就需要采取整改措施進行整改,若風險等級較低,則代表風險受到控制,可以繼續作業。對風險識別、風險評估及風險應對的全過程實施風險監控,確保識別出所有的安全,且風險的應對措施能夠被有效的實施,或對應對措施效果不好的風險進行整改。從而保證項目內每個風險因素都能受到有效控制。
參考文獻
[1]劉洪浩.淺議項目風險管理理論[J].撫順市中醫院學理論.2011.
[2]彭俊好,徐國愛,楊義先,湯永利.基于效用的安全風險度量模型[J].北京郵電大學學報.2006.
[3]張俊.淺析項目風險管理與項目管理[J].黑龍江科技信息.2007.
[4]葛治江.國際石油工程EPC總承包項目安全風險因素分析[J].石油化工建設.2009.
篇13
關鍵詞 :全面風險管理;內部控制;融合
中圖分類號:F275文獻標志碼:A文章編號:1000-8772(2015)10-0179-02
收稿日期:2015-03-20
作者簡介:曹江濤(1976-)男,漢,陜西咸陽人,大學,會計師,陜西華燕航空儀表有限公司企業管理部部長,研究方向:企業管理。
全面風險管理是國務院國資委提出并推行的。全面風險管理是通過一定的方式識別出企業所有的風險,然后依據一定的標準對識別出的風險進行排序,尋找出企業應當重點關注的風險,再根據風險的屬性采取相應的應對方案予以防范風險。其中絕大多數風險都是要依靠應對方案對風險進行控制,預防其發生或者將其控制在最小范圍。
內部控制是財政部提出并推行的。內部控制是依據一定的標準對企業的流程進行審理,找出缺陷然后改進缺陷,以防止風險的發生。
可以看出全面風險管理與內部控制在管控思想理念、方式方法等方面是相似或相同的,但是在管理推進過程中,全面風險管理與內部控制形成了各自的體系,并在企業中并行開展。這樣的做法在初期對于推動該兩項項管理活動有很大幫助,但是也造成了企業內部機構設置繁冗、業務交叉重復、推諉扯皮、資源浪費等問題的出現。因此,研究風險管理與內部控制的融合具有很現實的價值。
一、組織體系的融合
全面風險管理與內部控制在組織體系設計上無論是層級還是職能都基本一致,所以便于融合。
全面風險管理的組織機構設置為三級,分別是風險管理委員會、風險管理辦公室和部門風險管理小組(風險管理員)。其中,風險管理委員會是頂層決策機構,風險管理辦公室是組織推進管理單位,部門風險管理小組是具體執行單位。
內部控制組織結構設置也分為三級,分別是企業級的內部控制領導小組、內部控制管理辦公室和各部門內部控制管理員,其職能分別是決策、歸口管理和實施。
因此,組織機構的融合可以采取合并方式,以全面風險管理組織機構為主,風險管理辦公室在管理人員上要兼顧內部控制管理的專業人員。
二、管理語言的融合統一
在兩個體系融合過程中建立統一的風險控制語言非常重要,有利于管理中信息的傳遞和管理行為的一致性,避免概念含糊不清導致的管理混亂。統一語言的原則是既可以保證語言的一致,也要保證兩個體系的全面融合,避免融合過程中失去內控的對風險管理的輔助優勢。
需要統一的語言首要的是對風險的名稱定義方式,全面風險管理與內部控制對風險名稱的定義辦法完全不同。在全面風險管理中,對具體風險事件的名稱沒有統一規范,均采取描述的方式表達,描述規則是風險事件的“表現+影響”。例如:“應收賬款超過訴訟時效導致無法收回”就是對應收賬款風險中的一項具體風險事件的描述。對二級風險名稱定義是按照業務類別定義的。例如財務風險可分為應收賬款風險、現金管理風險、現金流風險等等。對一級風險名稱的定義一般是按照風險的屬性定義的。例如:戰略風險、財務風險、市場風險、運營風險、法律風險等等。
在內部控制管理中,僅有缺陷的概念,而沒有風險的概念,但缺陷導致的結果就是風險。內部控制對缺陷的分類是與流程級別對應的,也就是說一級流程缺陷、二級流程缺陷的名稱定義方式是“流程名稱+缺陷”。例如采購缺陷、采購付款缺陷等。缺陷所導致的風險也沒有統一的命名方法,與風險管理一樣是采用“表現+影響”的描述方法。
通過上述分析我們發現,對于具體風險事件的命名方法全面風險管理與內部控制管理基本是一樣的。對于二級、一級風險(或者缺陷),全面風險管理與內部控制管理命名方法雖然不同,但全面風險管理一、二級風險包含了內部控制管理的一、二級缺陷,因此,在體系融合過程中,可以統一管理語言,即不再使用缺陷的概念,而統一使用全面風險管理的風險概念。
三、風險識別方法的融合
全面風險管理中,風險識別方法有初始信息識別法、分類識別法、頭腦風暴識別法、流程分析識別法、價值鏈分析識別法等。通過這些方法的綜合運用,識別出各業務單元、重要業務活動和重要業務流程中的風險。
內部控制識別缺陷(即風險)是通過對業務流程進行實際觀察和穿行測試的方法,測試流程是否可以滿足控制目標的方式來查找流程缺陷。內部控制識別缺陷的方法確定性很強,因此,該識別方法可以直接融入風險識別中來,為了管理中的語言統一,我們可以把內部控制的這種識別風險的方法命名為流程識別法。
這樣的融合既滿足了內部控制對風險的識別,也充實了全面風險管理對風險的識別方法。
除此之外內部控制還有通過不相容職務的識別來查找風險的方法。這個方法可以被風險管理借鑒,也作為風險識別的一個方法。
四、風險分析方法的融合
全面風險管理的風險分析就是在識別出風險的基礎上,對風險發生的原因、風險發生的可能性以及風險發生后的影響進行甄別與描述。這一過程與內部控制基本是一致的。
內部控制在查找出缺陷的基礎上也要對缺陷可能導致的風險進行分析與評價。兩者的分析方法沒有本質區別,因此完全可以合并融合。
五、評價標準的融合
在全面風險管理中,通過風險識別、風險分析后,依據事前制定的風險評估標準,對風險進行評估。評估是通過對風險發生的可能性和風險發生后的影響程度分別打分(1-5份),然后將這兩個分值相乘所得的積作為對某一風險的評估值。而內部控制管理中,通過識別缺陷、分析缺陷后,依據事先制定的標準,根據缺陷的風險發生后的影響,分為重大缺陷、重要缺陷和一般缺陷。由于內部控制對于缺陷的評價僅限于影響程度層面,而且影響程度的評價與風險影響程度的評價維度基本一致,因此,可以將內部控制對缺陷的評價標準納入風險評估標準中的風險發生后的影響程度這一維度中,并根據企業的實際情況對風險評估標準進行適當修改,以便可以充分反映出內部控制評價的要求。這樣就可以實現全面風險管理與內部控制的評價標準的融合。
六、風險應對方案的融合
在全面風險管理中,對風險評估結束后,根據風險評估值的大小排序,企業選擇其中重大、重要風險進行重點管控。對重大、重要風險的管控是通過制定相應的風險應對方案來實現的。應對方案包括制度、流程保障以及針對風險特性所制定的一系列措施。
在內部控制管理中,對缺陷評價后,無論缺陷重要與否,都應當制定措施、完善流程以達到最大限度地控制風險發生。
內部控制所采用的通過對流程梳理完善以達到控制風險的方法,其實也是全面風險管理中的重要方法之一,可以完全融入全面風險管理之中,即在風險應對方案中要求必須對相應的控制流程進行分析評估,對有缺陷的流程進行完善,以確保有效控制風險的發生。
七、體系的融合
所謂體系的融合就是要把現在的兩個管理體系有機地融合在一起,包括組織體系、管理方法、管理語言、評價標準等,統一為一項管理,并能兼顧原來兩個體系各自的優點。
通過對上述六個方面的分析,可以看出在全面風險管理與內部控制體系融合中采用吸收融合法可以滿足原來兩個體系的管控功能,即以風險管理體系為主,通過統一評價標準、統一語言、合并組織體系、融合識別方法、融合分析方法、融合評價方法和融合應對方案等措施,豐富和完善全面風險管理體系,取消內部控制管理體系。重點在評價標準修訂、識別風險環節和風險應對環節充分吸收和兼顧內部控制管理的方式、方法,就能使原來的兩個體系有機融合。
融合后對體系運行情況的審計評價,則由原來對兩個體系的評價改為對一個體系的評價,評價方法不變。
八、融合前后的流程示意圖對比
