当前位置: 首页 精选范文 风险识别与风险评估的区别范文

风险识别与风险评估的区别精选(十四篇)

发布时间:2023-09-25 11:24:28

序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的14篇风险识别与风险评估的区别,期待它们能激发您的灵感。

风险识别与风险评估的区别

篇1

关键词:风险评估 HRN参数 机械式压力机

1、前言

压力机作为常见的金属加工机械,在汽车,造船,航空,机加工等非常多的行业有着非常广泛的应用。同时,压力机是一个非常危险的机械。冲压作业伤指事故较多。该行业曾流行一句话:十个冲工九个残。客观原因是冲压机械滑块垂直下冲速度极快。

以一般100吨液压冲床为例,滑块每分钟往复次数为75次,即单程一次只约需0.4秒。采用行程为100毫米进行拉伸作业,若手在模内,冲床滑块下冲伤指的时间约为0.1秒。而当操作者发现或感觉到滑块下冲时,反应到大脑,再由大脑指挥手缩回的时间约为0.2-0.3秒,显然手是来不及收回的。因此常造成伤指事故。

因此如何对于一台冲压机械中所存的风险进行分析得出结论,并对其实施改造,以达到机械安全与人员保护的目的。

2、风险评估原理

根据ISO 12100的要求,应依照一系列合理步骤进行风险评估,以便对机械相关危险进行系统地检查。对于ISO 12100:2010第6条中所述的任何风险降低措施,风险评估过程均应遵守。为最大限度消除危险并实施安全措施,这一过程重复进行时,应给出一个迭代过程。

风险评估方法包括:

风险估计。确定限制条件;危险确认;风险估计。

风险评价。风险估计提供了风险评估所需的信息,而风险评估反过来又有助于对机械安全进行判定。

3、第三 针对一台400T机械式压力机所进行的风险评估

在本文中,我们将主要针对一台400T闭点式机械压力机进行风险评估,以识别其中所存在的风险。依据前文所述,我们执行了以下步骤:

预定的使用环境为一般工业环境。机器针对操作人员,维护人员和技术人员使用而设计。人员已接受机器相关的常规培训。HNKJ-400吨压机上的维护作业由受过培训的人员进行。机器的清洁由操作人员进行;若存在堵塞,则由操作人员进行修复。机器的预计使用寿命为20年。

在一台压力机中,最显著的危险源自于合模区中固定在压机滑块的上模与工作台中固定的下模之间的挤压危险,但是由于触及的频率及方式各不相同,对于各个风险点我们进行了如下的识别与评估:

3.3 从正面进入模具区域

3.4 从侧面进入模具区域

从上述的风险评估举例中,可以看出,即使是同一个机械动作所引起的危险,在不同的作业情况下,不同的接近路径下,其风险区别极大。因此,在考虑设计控制系统时,不同的接近路径下,不同的控制系统元素的可靠性和冗余性应当也有所区别。尽管选取最高的系统可靠性显然能够满足系统的安全要求,但是也会造成系统的构建成本过高,设计过于复杂。因此,根据风险评估的结果,来选取相应的控制系统等级来设计控制系统,是非常有必要的。

4、结语

通过对于HRN风险评估参数法的阐述,以及对于压机最主要风险进行的分析,我们可以看到,如果在没有任何保护措施的情况下,操作这样高风险的机器时是非常危险的。我们必须采取安全保护措施,构建安全防护及相对应的安全控制系统来保护操作人员的安全。而在设计控制系统时,根据不同的HRN参数,来选择合适的控制系统等级也是非常重要的。这样可以针对性地提高系统安全性,并有效地控制项目成本。

参考文献

篇2

关键词:内部审计;风险导向内部审计;风险管理

内部审计作为重要的管理工具,一直是企业内部监督的重要组成部分。随着经济全球化和市场竞争多元化的不断深入,企业所面临的风险日趋复杂。尤其是对于大型企业集团而言,风险规模已经远远超出管理层能够直接管控的范围。为此,企业开始日益重视风险管理工作,积极建立内部控制体系,提高企业风险管控能力。在此趋势下,风险导向内部审计应运而生,并较好的适应了管理层的风险管理需要。

一、风险导向内部审计的概念与基本特点

按照国际内部审计师协会(IIA)对内部审计的定义,内部审计是“一种独立、客观的保证和咨询活动,其目的是在于为组织增加价值并提高组织的运作效率。它采取系统化和规范化的方法来对风险管理、控制和治理程序进行评估和改善,从而帮助组织实现目标”。根据这一定义,推行风险导向内部审计就是要以对组织风险的评估与改善作为基本目标,以内部控制为审计基础,以公司治理为参与风险管理的前提。风险导向内部审计作为内部审计发展的一个阶段,其本身具有区别于传统内部审计和注册会计师外部审计的特点。笔者认为这些特点主要体现在如下方面:首先,风险导向内部审计将风险评估和改善作为首要目标,并据此延伸其职能。具体来说,其职能主要有三个方面,一是利用其在内部管理方面的专家地位和信息优势,根据企业目标评估、分析和管理风险,并将审计结果和管理建议向管理层报告。二是帮助管理层在制定重大决策事项时进行风险评估。三是为市场、采购、技术等其他专业领域的风险管理部门提供咨询。总之,风险导向内部审计不再是消极的查错防弊,而应以组织的整体风险评估作为首要工作。其次,风险导向内部审计在方法上更加注重风险评估、缺陷评估和管理建议。区别于传统内部审计,风险导向内部审计始终把风险管理作为审计工作的出发点和落脚点,强化审计工作的事前风险评估和事后缺陷评估环节,并基于这些评估得到审计结论和给出风险管理建议。第三,风险导向内部审计以内部控制为基础。从理论上说,内部审计是内部控制的监督环节,是对其他内部控制环节的再控制。内部审计无论从事是对风险的评估和改善,还是参与风险管理和治理程序,都需要依托对企业内部控制状况的了解。第四,采用风险导向使内部审计工作融入企业全面风险管理体系。不同于外部审计师所实施的内部控制审计,内部审计是为了保证企业经营目标的实现、保护资产安全、防止舞弊的发生而进行的全方位的内部控制评价。也就是说,内部审计、内部控制以及管理层的风险治理活动都是以企业风险管理为目标。内部审计通过采用风险导向而参与到企业全面风险管理中,成为整个风险管理体系的有机组成部分。

二、在内部审计中采用风险导向的必要性与实践意义

当前,内部审计需要应对的风险越来越复杂,对审计的要求也不断提高。内部审计需要更为全面、及时、准确的反映企业存在的风险,并提出有针对性的管理建议。传统内部审计虽然也针对企业风险进行监督,但从根本上说仍然缺乏完整有效的风险识别和评估体系,审计工作高度依赖审计人员水平,其风险覆盖的全面性、重要环节的审计充分性、以及审计质量的稳定性均难以保证。这不但无法满足企业风险管理需求,而且难以体现内部审计的管理价值,不利于内部审计的长期发展。因此,在审计实践中采用风险导向是内部审计发展的必然选择。

1、风险导向内部审计以风险评估和改善为目标,可以更为系统的覆盖企业重要风险,保证内部审计的完整性传统内部审计对于内部控制的关注一般集中在已有流程和已识别的运营风险,而缺乏对风险识别全面性和风险变动的评估。但对个体企业而言,无论是外部环境、业务特点,还是内部管理和治理结构都十分复杂,且始终处在不断变化的过程中。COSO委员会在2004年颁布的《企业风险管理——整体框架》(ERM)中将企业全面风险要素概括为八个大类,而阿瑟.安德森公司的商务风险模型(BRM)则将企业风险概括为三大类75种,足见其范围之广。在此情况下,传统内部审计很难保证审计结果和管理建议不存在重大遗漏、误判或者与企业实际状况脱节的风险。而风险导向内部审计通过有效的风险识别和风险评估,可以及时、全面的掌握这些情况,帮助内部审计部门形成对被审企业的完整认识。

2、风险导向内部审计对风险和缺陷的评估,能够更为科学的确定审计事项的重要性水平,有助于合理调配审计资源,深入进行研究分析,保证内部审计的充分性在目前的内部审计实践中,一个较为突出的问题是在标准化的审计程序上耗费大量审计资源,而缺乏对重要问题的深入研究和系统性分析。具体来说,一方面,审计过于追求程序的标准化,审计意见包含大量详细的操作细节问题,但没有区分重要性水平。特别是对于风险较小的环节给予过多关注,造成控制冗余,不但影响审计效率,也可能对后续审计产生误导。另一方面,对于重要缺陷不能给出系统评估和全面的解决方案,例如评估缺陷在多大程度上增加了企业运营风险,缺陷产生的系统性原因和个体原因,以及如何进行整改和需要投入的管理资源是否符合成本效益原则。而风险导向内部审计重视事前的风险评估,可以有效解决审计侧重点问题,合理调配审计资源。可以结合企业目标,有针对性的深入研究重要风险,评估缺陷程度。同时,还可以减少在次要风险上的审计资源投入,在总体资源有限的情况下发挥最大的审计效果。

三、实施风险导向内部审计的实现途径与展望

风险导向内部审计从根本上改变了传统审计的指导思想和工作模式,对内审部门提出了很大的挑战,其在实践中的应用还存在很大障碍。笔者认为,要想实施风险导向内部审计,至少需要在如下几个实现转变。

1、内部审计部门职能的转变:由消极的查错防弊向主动的风险管理转变在所有阻碍风险导向审计实施的问题中,最根本的是内审部门自身定位的转变。风险导向内部审计要求内审部门的定位要从消极的查错防弊变为主动的风险管理,在风险评估、内部控制乃至公司治理中发挥专业作用。这使内审工作从监督指导职能延伸到风险评估、缺陷分析和管理咨询,几乎颠覆了内审部门的旧有工作范围,无疑是对内审部门从软件到硬件的全面挑战。尽管如此,这些转变又是不可回避的,因为能否转变思路并主动适应新的角色,是内部审计能否提升自身价值的关键所在,也是企业风险管理提升不可或缺的重要途径。

2、审计方法的转变:建立完善风险评估机制风险评估和改善作为内部审计的首要目标,在实践中也是能否真正实施风险导向内部审计的关键问题。因为企业的风险千差万别,风险评估也非常复杂繁琐,但作为整个审计体系的基石,所有后续审计工作均需要以风险评估为基础。笔者认为,企业应通过建立成熟的风险识别模型和风险评估程序,通过流程化、标准化以节约审计资源。具体来说,一方面内审部门应结合COSO企业风险管理框架(ERM)、企业风险模型(BRM)以及其他风险分析工具,建立一套适合本企业特点的风险识别模型。然后根据企业目标,在模型框架内识别具有重大影响的风险项目,建立企业风险数据库。另一方面,在内部审计中应建立风险评估报告制度,强制要求内审人员全面了解被审单位的风险状况,以保证所有后续审计工作按风险导向执行,最终帮助评价审计结果对企业整体风险的影响。

3、风险管理架构的转变:整合内部控制资源,实施风险的全过程管理无论是内部审计还是内部控制和企业风险管理部门,乃至于各专业部门的风险管理人员,其根本任务归根结底就是对风险进行管理。而受制于管理范围和资源限制,内部审计部门必须与其他风险管理部门共同开展风险管理工作。具体来说,一是需要加强部门协调,与相关部门共享风险数据库,并在共同的风险识别框架下对风险形成共同认识,对控制措施和审计缺陷评估实施共同标准。二是对风险进行全过程管理。根据风险管理过程理论,风险管理是风险识别、风险度量和风险监控三个环节构成的循环,内部审计对于风险的管理也必然是一个动态的过程,需要整合相关资源对风险全流程进行管理,及时进行重新评估和应对。目前,外部审计机构正在大力开展管理咨询业务,凭借其专业优势和成本优势,越来越多的重复性内部审计工作已呈现外包化趋势。内部审计如果仍在“查错防弊”阶段止步不前,将越来越难以为企业创造价值。因此,只有积极参与企业内部风险管理,并在此基础上与其他风险管理部门密切配合,形成强有力的风险管理体系,才能有效为企业保驾护航,这或许是内部审计的长远发展方向。

作者:姜传志 胡增会 单位:青岛中油岩土工程有限公司

参考文献:

[1]曹伟,桂友泉.2002:内部审计与内部控制[J].审计研究(1),P27-30.

[2]费朵,邹家继.2008:项目风险识别方法探讨[J].物流科技(8),P139-141.

篇3

关键词:网络审计 历史财务报表审计 信息安全管理 风险评估

一、引言

从审计的角度,风险评估是现代风险导向审计的核心理念。无论是在历史财务报表审计还是在网络审计中,现代风险导向审计均要求审计师在执行审计工作过程中应以风险评估为中心,通过对被审计单位及其环境的了解,评估确定被审计单位的高风险领域,从而确定审计的范围和重点,进一步决定如何收集、收集多少和收集何种性质的证据,以便更有效地控制和提高审计效果及审计效率。从企业管理的角度,企业风险管理将风险评估作为其基本的要素之一进行规范,要求企业在识别和评估风险可能对企业产生影响的基础上,采取积极的措施来控制风险,降低风险为企业带来损失的概率或缩小损失程度来达到控制目的。信息安全风险评估作为企业风险管理的一部分,是企业信息安全管理的基础和关键环节。尽管如此,风险评估在网络审计、历史财务报表审计和企业信息安全管理等工作中的运用却不尽相同,本文在分析计算机信息系统环境下所有特定风险和网络审计风险基本要素的基础上,从风险评估中应关注的风险范围、风险评估的目的、内容、程序及实施流程等内容展开,将网络审计与历史财务报表审计和信息安全管理的风险评估进行对比分析,以期深化对网络审计风险评估的理解。

二、网络审计与历史财务报表审计的风险评估比较

(一)审计风险要素根据美国注册会计师协会的第47号审计标准说明中的审计风险模型,审计风险又由固有风险、控制风险和检查风险构成。其中,固有风险是指不考虑被审计单位相关的内部控制政策或程序的情况下,其财务报表某项认定产生重大错报的可能性;控制风险是被审计单位内部控制未能及时防止或发现财务报表上某项错报或漏报的可能性;检查风险是审计人员通过预定的审计程序未能发现被审计单位财务报表上存在重大错报或漏报的可能性。在网络审计中,审计风险仍然包括固有风险、控制风险和检查风险要素,但其具体内容直接受计算机网络环境下信息系统特定风险的影响。计算机及网络技术的应用能提高企业经营活动的效率,为企业的经营管理带来很大的优越性,但同时也为企业带来了一些新的风险。这些新的风险主要表现为:(1)数据与职责过于集中化。由于手工系统中的职责分工、互相牵制等控制措施都被归并到计算机系统自动处理过程中去了,这些集中的数据库技术无疑会增加数据纵和破坏的风险。(2)系统程序易于被非法调用甚至遭到篡改。由于计算机系统有较高的技术要求,非专业人员难以察觉计算机舞弊的线索,这加大了数据被非法使用的可能性。如经过批准的系统使用人员滥用系统,或者说,企业对接近信息缺乏控制使得重要的数据或程序被盗窃等。(3)错误程序的风险,例如程序中的差错反复和差错级联、数据处理不合逻辑、甚至是程序本身存在错误等。(4)信息系统缺乏应用的审计接口,使得审计人员在审计工作中难以有效地采集或获取企业信息系统中的数据,从而无法正常开展审计工作。(5)网络系统在技术和商业上的风险,如计算机信息系统所依赖的硬件设备可能出现一些不可预料的故障,或者信息系统所依赖的物理工作环境可能对整个信息系统的运行效能带来影响等。相对应地,网络审计的固有风险主要是指系统环境风险,即财务电算化系统本身所处的环境引起的风险,它可分为硬件环境风险和软件环境风险。控制风险包括系统控制风险和财务数据风险,其中,系统控制风险是指会计电算化系统的内部控制不严密造成的风险,财务数据风险是指电磁性财务数据被篡改的可能性。检查风险包括审计软件风险和人员操作风险,审计软件风险是指计算机审计软件本身缺陷原因造成的风险,人员操作风险是指计算机审计系统的操作人员、技术人员和开发人员等在工作中由于主观或客观原因造成的风险。

(二)风险评估目的无论在网络审计还是历史财务报表审计中,风险评估只是审计的一项重要程序,贯穿于审计的整个过程。与其他审计程序紧密联系而不是一项独立的活动。尽管如此,两者所关注的风险范围则有所不同。历史财务报表审计的风险评估要求审计人员主要关注的是被审计单位的重大错报风险――财务报表在审计前存在重大错报的可能性。由于网络审计的审计对象包括被审计单位基于网络的财务信息和网络财务信息系统两类,因此审计人员关注的风险应是被审计单位经营过程中与该两类审计对象相关的风险。(1)对于与企业网络财务信息系统相关的风险,审计人员应该从信息系统生命周期的各个阶段和信息系统的各组成部分及运行环境两方面出发进行评估。信息系统生命周期是指该信息系统从产生到完成乃至进入维护的各个阶段及其活动,无论是在早期的线性开发模型中还是在更为复杂的螺旋式等模型中,一个信息系统的生命周期大都包括规划和启动、设计开发或采购、集成实现、运行和维护、废弃等五个基本阶段。由于信息系统在不同阶段的活动内容不同,企业在不同阶段的控制目标和控制行为也会有所不同,因此,审计人员的风险评估应该贯穿于信息系统的整个生命周期。信息系统的组成部分是指构成该信息系统的硬件、软件及数据等,信息系统的运行环境是指信息系统正常运行使用所依托的物理和管理平台。具体可将其分为五个层面:物理层,即信息系统运行所必备的机房、设备、办公场所、系统线路及相关环境;网络层,即信息系统所需的网络架构的安全情况、网络设备的漏洞情况、网络设备配置的缺陷情况等;系统层,即信息系统本身的漏洞情况、配置的缺陷情况;应用层,即信息系统所使用的应用软件的漏洞情况、安全功能缺陷情况;管理层,即被审计单位在该信息系统的运行使用过程中的组织、策略、技术管理等方面的情况。(2)对于与企业基于网络的财务信息相关的风险,审计人员应着重关注财务信息的重大错报风险和信息的安全风险。重大错报风险主要指被审计单位基于网络的相关财务信息存在重大错报的可能性,它是针对企业借助于网络信息系统或网络技术对有关账户、交易或事项进行确认、计量或披露而言。网络审计中关注的重大错报风险与传统审CtT的内涵基本上是一致的,审计人员在审计时应当考虑被审计单位的行业状况、经营性质、法律及监管环境、会计政策和会计方法的选用、财务业绩的衡量和评价等方面的情况对财务信息错报可能的影响。信息安全风险涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的风险,主要针对企业利用信息系统或一定的网络平台来存储、传输、披露相关财务信息而言。在审计过程中,审eta员应当主要关注相关财务信息被盗用、非法攻击或篡改及非法使用的可能性。当然,这两类风险并非完全分离的,评估时审计人员应将两者结合起来考虑。

(三)风险评估内容 广泛意义的风险评估是指考虑潜在事件对目标实现的影响程度。由于网络审计与历史财务报表审计风险评估的目的并不完全相同,因此两者在风险评估的内容上也是存在区别的。总的来说,网络审计的风险评估内容比历史财务报表审计的风险评估内容更广泛和深入。根据《中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风

险》,在历史财务报表审计中,审计人员的风险评估应以了解被审计单位及其环境为内容。为识别和评价重大错报风险,审计人员了解的具体内容包括被审计单位所在行业状况、法律环境与监管环境以及其他外部因素、被审计单位的性质、被审计单位对会计政策的选择和运用、被审计单位的目标、战略以及相关经营风险、被审计单位财务业绩的衡量和评价及被审it@位的内部控制等。在网络审计中。为了识别和评估上文所述的两类风险,审计人员除了从以上方面了解被审计单位及其环境外,还应该关注其他相关的潜在事件及其影响,尤其是企业的财务信息系统及基于网络的财务信息可能面l临的威胁或存在的脆弱点。其中,威胁是指对信息系统及财务信息构成潜在破坏的可能性因素或者事件,它可能是一些如工作人员缺乏责任心、专业技能不足或恶意篡改等人为因素,也可能是一些如灰尘、火灾或通讯线路故障等环境因素。脆弱点是指信息系统及基于网络的财务信息所存在的薄弱环节,它是系统或网络财务信息本身固有的,包括物理环境、组织、过程、人员、管理、配置、硬软件及信息等各方面的弱点。一般来说,脆弱点本身不会带来损失或信息错报,威胁却总是要利用网络、系统的弱点来成功地引起破坏。因此,我们认为网络审计申风险评估的内容应包括以下几方面:(1)识别被审计单位财务信息系统及其基于网络的财务信息可能面临的威胁,并分析威胁发生的可能性;(2)识别被审计单位财务信息系统及其基于网络的财务信息可能存在的脆弱点,并分析脆弱点的严重程度;(3)根据威胁发生的可能性和脆弱点发生的严重程度,判断风险发生的可能性;(4)根据风险发生的可能性,评价风险对财务信息系统和基于网络的财务信息可能带来的影响;(5)若被审计单位存在风险防范或化解措施,审计人员在进行风险评估时还应该考虑相应措施的可行性及有效性。

(四)风险评估程序《中国注册会计师审计准则第1211-----了解被审计单位及其环境并评估重大错报风险》中要求,审计人员应当实施询问、分析程序、观察和检查等程序,以获取被审计单位的信息,进而评估被审计单位的重大错报风险。这些程序同样适用于网络审计中的风险评估。但在具体运用时网络审计中更加注重了解和分析被审计单位与信息系统及网络技术使用相关的事项。在实施询问程序时,审计人员的询问对象围绕信息系统和基于网络的财务信息可大致分为管理人员、系统开发和维护人员(或信息编制人员)、系统使用人员(或信息的内部使用人员)、系统或网络技术顾问及其他外部相关人员(如律师)等五类,分别从不同角度了解信息系统和基于网络的财务信息可能存在的威胁和脆弱点。在实施分析程序时,除了研究财务数据及与财务信息相关的非财务数据可能的异常趋势外,审计人员应格外关注对信息系统及网络的特性情况,被审计单位对信息系统的使用情况等内容的分析比较。实施观察和检查时,除执行常规程序外,审计人员应注意观察信息系统的操作使用和检查信息系统文档。除此之外,针对特定系统或网络技术风险的评估,审计人员还需要实施一些特定的程序。技术方面如IOS取样分析、渗透测试、工具扫描、安全策略分析等;管理方面如风险问卷调查、风险顾问访谈、风险策略分析、文档审核等。其中,IDS取样分析是指通过在核心网络采样监听通信数据方式,获取网络中存在的攻击和蠕虫行为,并对通信流量进行分析;渗透测试是指在获取用户授权后,通过真实模拟黑客使用的工具、方法来进行实际漏洞发现和利用的安全测试方法;工具扫描是指通过评估工具软件或专用安全评估系统自动获取评估对象的脆弱性信息,包括主机扫描、网络扫描、数据库扫描等,用于分析系统、应用、网络设备存在的常见漏洞。风险问卷调查与风险顾问访谈要求审计人员分别采用问卷和面谈的方式向有关主体了解被审计单位的风险状况,使用时关键是要明确问卷或访谈的对象情况风险策略分析要求审计人员对企业所设定的风险管理和应对策略的有效性进行分析,进而评价企业相关风险发生的概率以及可能带来的损失;文档审核是一种事前评价方法,属于前置软件测试的一部分,主要包括需求文档测试和设计文档测试。这些特定程序主要是针对被审计单位信息系统和基于网络的财务信息在网络安全风险方面进行评价,审计人员在具体使用时应结合被审计单位的业务性质选择合适的程序。

三、网络审计与信息安全管理的风险评估比较

(一)风险评估的目的信息安全管理中的风险评估(即信息安全风险评估)是指根据国家有关信息安全技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程。作为信息安全保障体系建立过程中的重要的评价方法和决策机制,信息安全风险评估是企业管理的组成部分,它具有规划、组织、协调和控制等管理的基本特征,其主要目的在于从企业内部风险管理的角度,在系统分析和评估风险发生的可能性及带来的损失的基础上,提出有针对性的防护和整改措施,将企业面临或遭遇的风险控制在可接受水平,最大限度地保证组织的信息安全。而网络审计是由独立审计人员向企业提供的一项鉴证服务,其风险评估的目的在于识别和评价潜在事件对被审计单位基于网络的财务信息的合法性、公允性以及网络财务信息系统的合规性、可靠性和有效性的影响程度,从而指导进一步审计程序。因此,两者风险评估的目的是不一样。从评估所应关注的风险范围来看,两者具有一致性,即都需要考虑与信息系统和信息相关的风险。但是,具体的关注边界则是不一样的。信息安全风险评估要评估企业资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响,它要求评估人员关注与企业整个信息系统和所有的信息相关的风险,包括实体安全风险、数据安全风险、软件安全风险、运行安全风险等。网络审计中,审计人员是对被审计单位的网络财务信息系统和基于网络的财务信息发表意见,因此,风险评估时审计人员主要关注的是与企业财务信息系统和基于网络的财务信息相关的风险,而不是与企业的整个信息系统和所有的信息相关的风险。根据评估实施者的不同,信息安全风险评估形式包括自评估和他评估。自评估是由组织自身对所拥有的信息系统进行的风险评估活动;他评估通常是由组织的上级主管机关或业务主管机关发起的,旨在依据已经颁布的法规或标准进行的具有强制意味的检查。自评估和他评估都可以通过风险评估服务机构进行咨询、服务、培训以及风险评估有关工具的提供。因此。对审计人员而言,受托执行的信息安全风险评估应当归属于管理咨询类,即属于非鉴证业务,与网络审计严格区分开来。

(二)风险评估的内容在我国国家质量监督检验检疫总局的《信息安全风险评估指南》(征求意见稿)国家标准中,它将信息安全风险评估的内容分为两部分:基本要素和相关属性,提出信息安全风险评估应围绕其基本要素展开,并充分考虑与这些基本要素相关的其他属性。其中,风险评估的基本要素包括资产、脆弱性、威胁、风险和安全措施;相关属性包括业务战略、资产价值、安全需求、安全事件、残余风险等。在此基础上的风险计算过程是:(1)对信息资产进行识别,并对资产赋值;(2)对威胁进行分析,并对威

胁发生的可能性赋值;(3)识别信息资产的脆弱性,并对弱点的严重程度赋值;(4)根据威胁和脆弱性计算安全事件发生的可能性;(5)根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失;(6)根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即风险值。结合上文网络审计风险评估五个方面的内容可以看出,网络审计和信息安全风险评估在内容上有相近之处,即都需要针对信息系统和信息可能面临的威胁和存在的脆弱点进行识别。但是,信息安全管理作为企业的一项内部管理,其风险评估工作需要从两个层次展开:一是评估风险发生的可能性及其影响;二是提出防护或整改措施以控制风险。第一个层次的工作实质上是为第二层次工作服务的,其重点在第二层次。《信息安全风险评估指南》(征求意见稿)提出,企业在确定出风险水平后,应对不可接受的风险选择适当的处理方式及控制措施,并形成风险处理计划。其中,风险处理的方式包括回避风险、降低风险、转移风险、接受风险,而控制措施的选择应兼顾管理和技术,考虑企业发展战略、企业文化、人员素质,并特别关注成本与风险的平衡。网络审计的风险评估工作主要集中在第一个层次,即审计人员通过风险评估,为进一步审计中做出合理的职业判断、有效地实施网络审计程序和实现网络审计目标提供重要基础。因此,两者的评估内容是存在区别的。

篇4

本文基于德尔菲法,通过整合风险评估理论分析了目前商贸流通业转型中的风险,并提出了建立或完善商贸流通业风险评估体系的方法和措施,希望能够为商贸流通业转型期风险评估研究提供有益参考。

关键词:

商贸流通业;风险评估;德尔菲法

一、转型时期的商贸流通企业风险分析

(一)细分市场风险事实上,市场细分建立在三个基础上。在市场上,消费者总是希望根据自己的独特需求去购买产品,因此不同顾客间的需求是有差异性的;在同一地理条件下、具有相同背景和文化的人们有着相对类似的价值观和人生观,因此他们的需求又是具备相似性的;企业受限于自身实力,无法向市场提供满足一切需求的产品。为了有效竞争,企业选择市场细分,针对目标市场,集中企业优势资源,取得竞争优势。目前商贸流通企业在转型中的确将很大一部分将精力投入到细分市场中,尽量满足客户多元化及个性化的需求,但这背后其实也隐藏了很大的风险。首先,细分市场可能导致其订单碎片化和小量化,影响其市场占有率。其次,细分市场可能会增加企业运营成本。整个商贸流通业的利润率并不高,如果缺乏销量的支持,企业很有可能会亏损。最后,消费者需求变化快,细分市场不稳定,增加了企业运营风险。

(二)互联网运营风险在互联网经济时代,电子商务的快速发展带动了商贸流通业与互联网的快速“联姻”。应用新技术和发展新模式成为商贸流通业改革创新的重要手段,其中大力发展电子商务,建立网络化平台就是当今的主流趋势。传统的商贸流通业存在着信息不对称、资源配置效率低等弊端,而在以云计算、物联网为代表的新一代信息技术冲击下,电子商务平台帮助传统商贸流通业突破束缚其做大做强的瓶颈,成为组织配置资源和要素的中心,主动引导生产和影响消费,真正成为经济活动的主导者。对于众多商贸流通企业来说,挑战无处不在,其中最突出的问题即是线上与线下模式的冲突,线上模式由于减少中间渠道商环节,可以节省一定成本,因此线上商品价格普遍比线下有优势,这在一定程度上压缩了线下模式的利润率,在线上模式未达到盈利规模时,企业需要承担很大的经营风险和财务风险。

(三)供应链整合风险供应链整合风险与互联网运营风险一脉相承,由于线上模式的成功很大程度上依赖于仓储物流及供应链管理,然而对于商贸流通企业来说,由于往往处于制造业的下游,对于供应链的把控处于非支配地位,因此在经营中往往被动,一旦供应链出现环节失联或沟通无效的情况,便会出现系统性业务失效,进而直接危及企业运营。互联网与移动经济的发展使得商贸企业间的竞争不单纯是产品的竞争,更是供应链与供应链的竞争。目前互联网公司正致力于建设自己的产品生态圈,本质上就是依托自身强大的营销能力和供应链管理能力,横向扩充产品线,形成竞争优势。从整条商品供应链上看,制造业创造的利润是最低的,而最有价值的却是流通服务和产品研发。因此对于一般商贸流通企业来说,整合供应链有利于把控上下游产业链,降低交易成本,增加企业利润。很明显,要做到这点需要流通主体的市场占有率和盈利能力,对于中小流通企业来说,需要有更高层次的改革方向作为配合。

二、科学的企业风险评估体系要素与流程

企业层面的风险评估也称危险度评价或安全评价,是指在风险事件发生之前或之后(但还没有结束),对该事件给企业财产和正常生产、运营等方面造成影响和损失的可能性进行量化评估的工作。对于商贸流通业来说,产业转型升级是企业可持续发展的必然选择,而风险评估以保证转型升级安全为目的,通过对固有或潜在风险进行定性和定量分析,有针对性地制定控制措施和管理决策。企业风险评估围绕业务战略、资产价值、安全需求、安全措施、脆弱性和安全事件等基本要素展开,在对基本要素评估的过程中,必须充分考虑到个要素间相互作用关系。企业风险评估中各要素的关系如图1所示。

(一)评估准备与资产识别风险前的准备至关重要,关系到风险评估的准备性及实际效果。首先要确定风险评估的目的以及风险评估的范围,接着组建适当的评估管理与实施团队。然后进行系统调研,可以采取问卷调查或现场询问等方式,获得相关数据后,制定方案,随即进入资产识别阶段,该阶段是对系统中设计的重要资产进行识别,并对其等级进行评估。

(二)威胁识别与脆弱性识别威胁识别与脆弱性识别是企业风险评估流程的第二阶段。威胁是一种对组织及其资产构成潜在破坏的可能性因素,威胁识别就是要识别重要资产可能遇到的威胁,例如竞争对手可能采取的策略。脆弱性识别也称弱点识别,每个企业都有优势资源,一个企业的优势对应竞争对手就是弱点,因此要识别自身存在的相对于竞争对手的脆弱性,并提前评估定级,同时还要对目前采取的应对策略进行评估,是否应该沿袭或调整。

(三)综合分析与制定风控预案综合分析与制定风控预案是企业进行风险评估的第三阶段,风险综合分析是综合企业资产识别、威胁识别、脆弱性识别的情况及数据,定性和定量地评估目前企业安全状况及风险因素,确定企业可接受风险范围;风险控制方案是针对风险综合分析中的风险要素,特别是不可接受风险,制定风险控制和处理计划,选择有效的风险控制措施将残余风险限制在可接受范围内。

三、商贸流通企业风险评估体系的完善

(一)方法选择在目前的主流企业风险评估方法体系中,德尔菲法是应用最为广泛的。该方法是采用背对背的通信方式征询专家小组的预测意见,经过几轮征询,使专家小组的预测意见趋于集中,最后做出符合市场未来发展趋势的预测结论,因此本质上是一种反馈匿名函询法。相较于其他技术预见法,德尔菲法重点在于把握事物发展趋势,而非结果的精度。德尔菲法有三个明显区别于其他专家预测方法的特点,即匿名性、多次反馈、小组的统计回答。匿名法是德尔菲法的突出特点,从事预测的专家彼此不知道有哪些人参加预测,这样就可以减少权威、主观思想或情绪等因素的干扰,获得最接近事实的结论;反馈性是指该方法需要经过很多轮的信息反馈,在每次反馈中调查组和专家组都需要进行深入研究,并对自己的想法和结论不断改进调整,这样可以避免一些疏忽或填补某些领域的知识空白,使得结果客观、可信;统计性是指该方法依据集体决策遵循少数服从多数的原则,因此结果反映多数人的观点。

(二)完善流程依据本文选取的德尔菲法企业风险控制预案制定思想,德尔菲法的实施一般有组建预测小组、选择专家、设计问卷、实施调查和反馈汇总等步骤,其中调查和反馈是德尔菲法能否发挥作用最重要的环节。在整个实施过程中,组织者和专家组各有不同的任务。针对商贸流通企业的风险控制需求,考虑到每个企业由于所处的市场环境、市场地位不一样,面临的风险种类和程度也各有不同,形成具有代表性的标准化风险评估体系建立工作流程十分必要。微观企业可以参照本文操作流程来有步骤、因地制宜的开展风险评估体系的完善工作,如图2所示。1.组建预测工作组。对于流通企业由单一流通职能向多功能服务提供者的角色转变趋势,企业首先需要综合评估未来转型中面临的大概率风险,将因此而可能涉及到的人事、市场、销售、研发、生产、供应链等环节的负责人都纳入评估小组,负责“企业转型风险评估”调查问卷的设计、专家选择、调查统计等一系列工作,避免片面,此阶段多属于预测和评估研究性工作。2.选择专家。进行企业风险评估的专家选择应来自内部和外部两个渠道,企业、行业协会和政府等均应纳入专家小组范围,专家不仅要有丰富的研究经验,还要熟悉商贸流通业的发展历史和具体的企业经营概况,能够站在企业、行业及国家三个层面对商贸流通业的未来发展趋势给出战略性意见并参与讨论。3.设计专家调查表。专家调查表的设计一般来说应根据商贸流通企业的实际情况,可以分为以下几个部分:该企业目前的竞争优势有哪些;该企业的竞争对手在哪些方面的威胁最大;该企业最容易出现风险的地方是哪里;该企业进入细分市场的障碍是什么;该企业是否有能力发展电子商务平台;该企业的供应链管理能力如何。专家对每一项做出回答,并按照重要程度划分:分为非常重要、重要、一般、不重要四个级别。4.组织调查实施。第一轮调查是开放式的,组织者提供背景材料和预测问题,请专家围绕预测问题提出自己的看法。组织者汇总整理专家意见,归并同类意见,并作为第二轮调查表分发给专家组;第二轮调研是评价式的,专家评价第一轮调研总结出的每个预测事件,说明事件可能发生的时间、方式、影响和理由,组织者统计这一轮专家意见,再整理出第三轮调查表;第三轮调研是重审式的,在这一轮中,专家会重新审视争论的焦点,给出自己新的评价,如果修正自己的意见,应叙述更改理由。组织者负责形成最终的风险评估报告和应对预案。值得注意的是,并非所有预测都需要经过这几步,有些预测事件可能在第二步就达成统一意见,或者经过三轮以上反馈仍然有较大分歧。事实上,定性研究不像定量研究那么精确,结果往往不很统一,只要如实记录下来就可以尽量真实地反映事件的发展趋势。运用德尔菲法时必须注意两点,一是保证专家意见的独立性,二是专家挑选必须基于对企业的了解,根据专家预测的风险排序,商贸流通企业需要针对每一个可能出现的风险,制定相应的风险预防方案。如果缺乏相应的预防措施,那么企业就应该考虑放弃该转型方向,选择从风险系数更小或风险应对措施更加充分的领域开始着手进行转型变革工作,以便减少失败概率,取得最大效益,也只有这样,流通企业的风险预测才能得到更客观、准确的结果,企业的风险预防和控制工作也才真正有意义。

参考文献:

1.曲钟阳.基于德尔菲法的技术预见[D].大连理工大学,2013

2.徐蔼婷.德尔菲法的应用及其难点[J].中国统计,2006(9)

3.夏网生,许黎明.加快江苏商贸流通转型升级[J].群众,2014(12)

4.顾宇.传统国有商贸流通企业转型升级的路径探讨[J].中国商贸,2013(14)

篇5

关键词:风险导向审计;审计模式;适用性分析

随着国内外重大审计失败事件的不断发生,风险导向审计作为一种重要的审计理念和方法,受到审计职业界和学者的关注。中国注册会计师协会在2004年10月了新的审计风险准则征求意见稿,要求注册会计师在审计中使用现代风险导向审计方法,实施风险评估程序,降低审计风险,提高审计质量。如果审计风险准则一旦正式生效,将使我国的审计风险准则与国际接轨,并引导中国注册会计师实务由传统风险导向审计向现代风险导向审计转变。因此,对现代风险导向审计模式的理解以及在我国的适用性分析就显得十分重要。

一、风险导向审计概述

随着社会经济的发展变化,审计方法适应审计环境的变化经历了三个发展阶段:一是审计发展的早期,由于企业组织结构简单、业务性质单一,注册会计师的审计工作目的是为了促使受托责任人在授权经营过程中做出诚实、可靠的行为,审计方式是详细审计。审计的重心在资产负债表,是对会计凭证和账簿的详细审计,旨在发现和防止错误与舞弊,这种审计方法就是账项基础审计方法(accountingnumber-basedauditapproach)。二是从1950年代起,以内部控制测试为基础的抽样审计在西方国家得到广泛应用,这种审计方法重点在于注册会计师了解、测试和评价内部控制设计的合理性和执行的有效性。对内部控制存在缺陷的环节,注册会计师通常将其涉及交易和账户余额作为审计的重点,甚至进行详细审计;对于可以信赖的内部控制环节,通常将其涉及的交易和账户余额进行抽样审计,以提高审计效率和降低审计费用。从方法论的角度,这种审计方法被称作制度基础审计方法(system-basedauditapproach)。三是1970年代以后,由于制度基础审计方法显露缺陷,一种新的、以风险防范为基础的风险导向审计模式逐渐兴起,从方法论的角度,注册会计师以审计风险模型为基础进行的审计方法称为风险导向审计方法(risk-orientedauditapproach)。

回顾审计方法的发展历程,风险导向审计模式已成为审计方法发展的国际趋势。风险导向审计模式合理地扬弃了作为制度导向审计模式基础的“无利害关系假设”,把指导思想建立在“合理的职业怀疑假设”的基础上,不只依赖对被审计单位管理层所设计和执行内部控制制度的检查与评价,而且实事求是地对公司管理层是否诚信、是否有舞弊造假的驱动始终保持一种合理的职业警觉,将审计的视野扩大到被审计单位所处的经营环境(微观、中观乃至宏观),将风险评估贯穿于审计工作的全过程。与传统的制度基础审计相比较,主要有以下区别:

(一)审计模式不同

制度基础审计模式以内部控制为核心,对控制风险的评估仅通过确定内部控制的可依赖程度来减少实质性测试的工作量,而对固有风险的评估常流于形式;风险导向审计模式不仅通过内部控制评估控制风险,还结合其他风险因素尤其是固有风险综合考虑,通过对企业环境、发展战略、公司治理结构等方面的评估,发现其潜在的经营风险及财务风险,并评估财务报表发生重大错报的风险,以便使审计风险降至可接受水平。

(二)审计基础不同

制度基础审计以内部控制制度为基础,根据被审单位内部控制制度的健全性及符合性评审结果,确定实质性测试的范围和重点;风险导向审计则以风险评估为基础,对影响被审单位经济活动的多种内外因素进行评估,确定审计范围、重点和方法,其不仅重视与内部控制系统直接相关的因素,而且重视各种环境因素。

(三)审计方法不同

两种审计模式都采用抽样技术,但风险导向审计是通过建立审计风险模型将风险量化。因此,相对于制度基础审计来说,风险导向审计的抽样技术是更完全意义上的审计抽样,更注重利用分析性测试方法,从而可以有效降低审计风险。

二、风险导向审计的两种模式

风险导向审计自产生以来经历了两个阶段,理论界把以传统审计风险模型“审计风险=固有风险×控制风险×检查风险”为基础进行的审计称为传统风险导向审计模式;而将1990年代后期开始,在国际会计师事务所内部推行并逐渐被审计理论与实务界接受的,以“审计风险=重大错报风险×检查风险”的模型为基础,以被审计单位的经营风险为导向的审计方法称作现代风险导向审计模式。

传统风险导向审计模式与现代风险导向审计模式的本质区别在于审计理念和审计技术方法的不同,后者是对前者的改进,其主要区别如下:

(一)审计起点不同

传统风险导向审计运用的审计风险模型中,固有风险是指假定不存在相关内部控制时,某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报的可能性。控制风险是指某一账户或交易类别单独或连同其他账户、交易类别产生错报或漏报,而未能被内部控制防止、发现或纠正的可能性。传统风险导向审计方法通过综合评估固有风险和控制风险以确定实质性测试的范围、时间和程序,由于固有风险难以评估,审计的起点往往为企业的内部控制(如果没有必要测试内部控制,审计的起点则为会计报表项目)。

现代风险导向审计方法通过综合评估经营控制风险以确定实质性测试的范围、时间和程序,其审计起点为企业的战略系统及其业务流程。如果企业的业务流程不重要或风险控制很有效,则将实质性测试集中在例外事项上。这种新模式的优点是将审计的重心前移到风险评估,这将有利于充分识别和评估会计报表重大错报的风险,因此,主要针对风险设计、实施控制测试和实质性测试程序。此外,注册会计师容易全面掌握企业可能存在的重大风险,有利于节省审计成本,克服因缺乏全面性观点而导致的审计风险。

(二)风险评估识别以分析性复核程序为中心

现代风险导向审计注重运用分析性复核程序,以识别可能存在的重大错报风险;而传统风险导向审计对于信息的再加工程度不够,其分析性程序主要用在报表分析上。分析性复核程序已成为现代风险审计方法最重要的程序,为了适应分析性程序功能扩大的要求,分析性程序开始走向多样化:在数据分析上不但要对财务数据进行分析,也要对非财务数据进行分析;在分析工具上借鉴现代管理方法,把战略分析、绩效分析、财务分析及前景分析等分析工具运用到风险评估之中,使风险因素不再惟一,变一元风险评估为多元风险评估,使得出的风险评估结果更加可靠。

(三)风险评估方式由直接评估转变为间接评估

传统风险导向审计的风险评估是一种直接的方式,即直接评估重大错报的概率。现代风险导向审计模式是从经营风险评估入手,间接地对审计风险进行评估,因为经营风险越高,审计风险也越大,也就是管理舞弊的可能性越大;并且从经营风险中能更有效地发现财务报表潜在的重大错报,因为财务报表是经营的反映,如果经营风险未能在报表中得到体现,则财务报表很可能失真。此外,会计政策、会计估计的合理性评估也只有从经营风险入手,才能进行正确的评估。

(四)审计程序实施具有个性化

传统风险导向审计模式审计程序是标准化形式,对不同的被审计单位都使用标准相同的审计程序,其缺陷是没有足够贯彻风险导向审计思想,使注册会计师无法突破客户预先设置或防范的措施,难以做出正确的审计结论。现代风险导向审计方法要求注册会计师将评估及识别的审计风险与实施的审计程序相结合,针对不同客户以及客户不同的风险领域实施个性化的审计程序。

(五)审计证据的内涵扩大

在现代风险导向审计方式下,审计重心向风险评估转移,审计证据也由内部向外部转移。因此,注册会计师必须充分了解企业整体经营环境,由此评估客户的经营及审计风险,同时必须从外部取得大量的外部证据来证明风险评估的恰当性。风险导向审计模式下,注册会计师形成审计结论所依据的审计证据不仅包括实施控制测试和实质性测试获取的证据,还包括了解企业及其环境获取的证据。

(六)扩充了内部控制要素

传统风险导向审计方法下的内部控制是指被审计单位为了保证业务活动的有效进行,保护资产的安全和完整,发现、纠正错误与防止舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。内部控制要素包括控制环境、会计系统和控制程序。现代风险导向审计方法下的内部控制是指被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵循,由治理当局、管理当局和其他人员设计和执行的政策和程序。内部控制的三要素扩充为五要素,即控制环境、被审计单位的风险评估过程、与财务报告相关的信息系统和沟通、控制活动和对控制的监督。

(七)对注册会计师的专业知识提出了更高要求

现代风险导向审计对注册会计师的专业素质提出更高要求,其重心从会计、审计知识转向管理和行业知识。现代风险导向审计下审计结果主要依赖风险评估,风险评估的各种分析方法要求掌握现代管理知识和行业知识(包括市场、研发、生产等方面),这对注册会计师提出了更高的要求。注册会计师应该是复合性人才,不但要掌握一般常用分析工具,还要接受现代管理知识和行业专业知识训练。

三、现代风险导向审计模式在我国的适用性分析

基于上述分析,现代风险导向审计模式是审计发展的一种必然趋势。2003年10月,国际审计与鉴证准则委员会(IAASB)通过了新的审计风险准则;中注协也在2004年10日了修订后的审计风险准则征求意见稿,不仅将使我国的审计风险准则与国际接轨,同时也为提高审计质量、降低审计风险提供了技术支持。审计风险准则一旦正式生效,将引导中国注册会计师实务由传统风险导向审计向现代风险导向审计转变,会对我国的注册会计师审计理念、审计程序及审计责任产生非常大的影响。

然而,目前要在我国推行风险导向审计模式还存在一定的制约条件和需要解决的问题:

(一)会计师事务所审计成本与效益问题

实施风险导向审计模式的前提是成本能得到补偿。现代风险导向审计模式在审计计划阶段和执行控制测试阶段,注册会计师关注的范围扩大,程度加深,导致工作时间和审计成本的增加,在市场竞争激烈的情况下,成本的增加往往不可能过渡到收费的同步增加。此外,还需要一定的投入来培训注册会计师,使他们掌握业务流程和行业知识等有关方面的知识。如果这些成本得不到补偿,就会使一部分中小会计师事务所在竞争中无法生存。

(二)信息系统的建设问题

现代风险导向审计的重要特征是审计重心前移,注册会计师必须首先执行风险评估程序,充分了解客户整体经营环境,然后针对风险不同的客户、客户不同的风险领域,设计个性化的审计程序。因此,会计师事务所必须建立强大的信息系统,以便注册会计师在风险评估时了解企业的战略、流程风险管理、业绩衡量等。而目前国内很多事务所对行业风险和企业经营风险缺乏了解,客户的相关信息不够充分,信息系统的建设还达不到现代风险导向审计的要求,导致风险评估不准确。因此,风险导向审计的运用仅限于老客户,对新客户还是将大量时间用于实质性测试。

(三)审计从业人员素质问题

现代风险导向审计对审计从业人员的业务素质提出了新要求,不仅要具备丰富的审计理论和实践经验,还要具备必需的管理学知识和经济学知识,能够运用系统的、战略的观点充分了解、分析企业所处的宏观经济环境和行业发展状况,对有可能导致企业会计报表错报风险的内外部因素进行客观、系统的分析与评价,将审计视角扩展到内部控制以外,从较高层面上评估风险,而不是仅仅注重企业会计处理的细节。

(四)辅助审计软件的使用与完善问题

现代风险导向审计方法中分析性程序占据非常重要的地位,辅助审计软件的使用在其中发挥着重要的作用。西方发达国家大量运用分析性程序的条件是辅助审计程序的开发和运用,它可以直接对数据库进行加工分析,依据软件模型自行处理数据,使运用分析性测试程序成为节约成本的重要手段。另外,采用审计软件使统计抽样的样本更具代表性,审计抽样风险可控,为风险导向审计提供了技术支持。目前,我国在审计软件的开发和使用上不够理想,还有待提高,而且大部分注册会计师缺少相应的技术准备,在现阶段推行现代风险导向审计方法只能是一种愿望。

如上所述,目前在我国全面推行现代风险导向审计模式还受到许多制约,尽管它有很多优越之处,但在我国还不能够普遍推行。当前我国独立审计准则主要是以制度基础审计模式为基础的,而且相当一部分从事小规模企业审计工作的会计师事务所和注册会计师,基本上仍然在运用账项基础审计模式。但是,现代风险导向审计的实行是一种理念的改变,我们可将制度基础审计与风险导向审计有机结合。即使在现行审计准则仍然主要以制度基础审计模式为基础的情况下,吸取风险导向审计模式的基本观点和做法,则是完全可行的。通过把风险导向审计中控制风险的理念和方法融合到制度基础审计中,使其他审计模式忽略审计风险的缺陷得到弥补,将会为探索适合我国的现代风险导向审计模式积累有益的实践经验。

参考文献:

〔1〕陈毓圭。对风险导向审计方法的由来及其发展的认识〔J〕。会计研究,2004,(2)。

〔2〕常勋,黄京菁。从审计模式的演进看风险导向审计〔J〕。财会通讯,2004,(7)。

篇6

关键词:风险导向审计;审计模式;适用性分析

随着国内外重大审计失败事件的不断发生,风险导向审计作为一种重要的审计理念和方法,受到审计职业界和学者的关注。注册师协会在2004年10月了新的审计风险准则征求意见稿,要求注册会计师在审计中使用现代风险导向审计方法,实施风险评估程序,降低审计风险,提高审计质量。如果审计风险准则一旦正式生效,将使我国的审计风险准则与国际接轨,并引导中国注册会计师实务由传统风险导向审计向现代风险导向审计转变。因此,对现代风险导向审计模式的理解以及在我国的适用性分析就显得十分重要。

一、风险导向审计概述

随着的发展变化,审计方法适应审计环境的变化经历了三个发展阶段:一是审计发展的早期,由于组织结构简单、业务性质单一,注册会计师的审计工作目的是为了促使受托责任人在授权经营过程中做出诚实、可靠的行为,审计方式是详细审计。审计的重心在资产负债表,是对会计凭证和账簿的详细审计,旨在发现和防止错误与舞弊,这种审计方法就是账项基础审计方法(accountingnumber-basedauditapproach)。二是从1950年代起,以内部控制测试为基础的抽样审计在西方国家得到广泛,这种审计方法重点在于注册会计师了解、测试和评价内部控制设计的合理性和执行的有效性。对内部控制存在缺陷的环节,注册会计师通常将其涉及交易和账户余额作为审计的重点,甚至进行详细审计;对于可以信赖的内部控制环节,通常将其涉及的交易和账户余额进行抽样审计,以提高审计效率和降低审计费用。从方法论的角度,这种审计方法被称作制度基础审计方法(system-basedauditap proach)。三是1970年代以后,由于制度基础审计方法显露缺陷,一种新的、以风险防范为基础的风险导向审计模式逐渐兴起,从方法论的角度,注册会计师以审计风险模型为基础进行的审计方法称为风险导向审计方法(risk-orientedauditap proach)。

回顾审计方法的发展历程,风险导向审计模式已成为审计方法发展的国际趋势。风险导向审计模式合理地扬弃了作为制度导向审计模式基础的“无利害关系假设”,把指导思想建立在“合理的职业怀疑假设”的基础上,不只依赖对被审计单位管理层所设计和执行内部控制制度的检查与评价,而且实事求是地对公司管理层是否诚信、是否有舞弊造假的驱动始终保持一种合理的职业警觉,将审计的视野扩大到被审计单位所处的经营环境(微观、中观乃至宏观),将风险评估贯穿于审计工作的全过程。与传统的制度基础审计相比较,主要有以下区别:

(一)审计模式不同

制度基础审计模式以内部控制为核心,对控制风险的评估仅通过确定内部控制的可依赖程度来减少实质性测试的工作量,而对固有风险的评估常流于形式;风险导向审计模式不仅通过内部控制评估控制风险,还结合其他风险因素尤其是固有风险综合考虑,通过对企业环境、发展战略、公司治理结构等方面的评估,发现其潜在的经营风险及财务风险,并评估财务报表发生重大错报的风险,以便使审计风险降至可接受水平。

(二)审计基础不同

制度基础审计以内部控制制度为基础,根据被审单位内部控制制度的健全性及符合性评审结果,确定实质性测试的范围和重点;风险导向审计则以风险评估为基础,对被审单位经济活动的多种内外因素进行评估,确定审计范围、重点和方法,其不仅重视与内部控制系统直接相关的因素,而且重视各种环境因素。

(三)审计方法不同

两种审计模式都采用抽样技术,但风险导向审计是通过建立审计风险模型将风险量化。因此,相对于制度基础审计来说,风险导向审计的抽样技术是更完全意义上的审计抽样,更注重利用分析性测试方法,从而可以有效降低审计风险。

二、风险导向审计的两种模式

风险导向审计自产生以来经历了两个阶段,理论界把以传统审计风险模型“审计风险=固有风险×控制风险×检查风险”为基础进行的审计称为传统风险导向审计模式;而将1990年代后期开始,在国际会计师事务所内部推行并逐渐被审计理论与实务界接受的,以“审计风险=重大错报风险×检查风险”的模型为基础,以被审计单位的经营风险为导向的审计方法称作现代风险导向审计模式。

传统风险导向审计模式与现代风险导向审计模式的本质区别在于审计理念和审计技术方法的不同,后者是对前者的改进,其主要区别如下:

(一)审计起点不同

传统风险导向审计运用的审计风险模型中,固有风险是指假定不存在相关内部控制时,某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报的可能性。控制风险是指某一账户或交易类别单独或连同其他账户、交易类别产生错报或漏报,而未能被内部控制防止、发现或纠正的可能性。传统风险导向审计方法通过综合评估固有风险和控制风险以确定实质性测试的范围、时间和程序,由于固有风险难以评估,审计的起点往往为企业的内部控制(如果没有必要测试内部控制,审计的起点则为会计报表项目)。

现代风险导向审计方法通过综合评估经营控制风险以确定实质性测试的范围、时间和程序,其审计起点为企业的战略系统及其业务流程。如果企业的业务流程不重要或风险控制很有效,则将实质性测试集中在例外事项上。这种新模式的优点是将审计的重心前移到风险评估,这将有利于充分识别和评估会计报表重大错报的风险,因此,主要针对风险设计、实施控制测试和实质性测试程序。此外,注册会计师容易全面掌握企业可能存在的重大风险,有利于节省审计成本,克服因缺乏全面性观点而导致的审计风险。

(二)风险评估识别以分析性复核程序为中心

现代风险导向审计注重运用分析性复核程序,以识别可能存在的重大错报风险;而传统风险导向审计对于信息的再加工程度不够,其分析性程序主要用在报表分析上。分析性复核程序已成为现代风险审计方法最重要的程序,为了适应分析性程序功能扩大的要求,分析性程序开始走向多样化:在数据分析上不但要对财务数据进行分析,也要对非财务数据进行分析;在分析工具上借鉴现代管理方法,把战略分析、绩效分析、财务分析及前景分析等分析工具运用到风险评估之中,使风险因素不再惟一,变一元风险评估为多元风险评估,使得出的风险评估结果更加可靠。

(三)风险评估方式由直接评估转变为间接评估

传统风险导向审计的风险评估是一种直接的方式,即直接评估重大错报的概率。风险导向审计模式是从经营风险评估入手,间接地对审计风险进行评估,因为经营风险越高,审计风险也越大,也就是管理舞弊的可能性越大;并且从经营风险中能更有效地发现财务报表潜在的重大错报,因为财务报表是经营的反映,如果经营风险未能在报表中得到体现,则财务报表很可能失真。此外,政策、会计估计的合理性评估也只有从经营风险入手,才能进行正确的评估。

(四)审计程序实施具有个性化

传统风险导向审计模式审计程序是标准化形式,对不同的被审计单位都使用标准相同的审计程序,其缺陷是没有足够贯彻风险导向审计思想,使注册会计师无法突破客户预先设置或防范的措施,难以做出正确的审计结论。现代风险导向审计要求注册会计师将评估及识别的审计风险与实施的审计程序相结合,针对不同客户以及客户不同的风险领域实施个性化的审计程序。

(五)审计证据的内涵扩大

在现代风险导向审计方式下,审计重心向风险评估转移,审计证据也由内部向外部转移。因此,注册会计师必须充分了解整体经营环境,由此评估客户的经营及审计风险,同时必须从外部取得大量的外部证据来证明风险评估的恰当性。风险导向审计模式下,注册会计师形成审计结论所依据的审计证据不仅包括实施控制测试和实质性测试获取的证据,还包括了解企业及其环境获取的证据。

(六)扩充了内部控制要素

传统风险导向审计方法下的内部控制是指被审计单位为了保证业务活动的有效进行,保护资产的安全和完整,发现、纠正错误与防止舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。内部控制要素包括控制环境、会计系统和控制程序。现代风险导向审计方法下的内部控制是指被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法规的遵循,由治理当局、管理当局和其他人员设计和执行的政策和程序。内部控制的三要素扩充为五要素,即控制环境、被审计单位的风险评估过程、与财务报告相关的信息系统和沟通、控制活动和对控制的监督。

(七)对注册会计师的专业知识提出了更高要求

现代风险导向审计对注册会计师的专业素质提出更高要求,其重心从会计、审计知识转向管理和行业知识。现代风险导向审计下审计结果主要依赖风险评估,风险评估的各种方法要求掌握现代管理知识和行业知识(包括市场、研发、生产等方面),这对注册会计师提出了更高的要求。注册会计师应该是复合性人才,不但要掌握一般常用分析工具,还要接受现代管理知识和行业专业知识训练。

三、现代风险导向审计模式在我国的适用性分析

基于上述分析,现代风险导向审计模式是审计的一种必然趋势。2003年10月,国际审计与鉴证准则委员会(IAASB)通过了新的审计风险准则;中注协也在2004年10日了修订后的审计风险准则征求意见稿,不仅将使我国的审计风险准则与国际接轨,同时也为提高审计质量、降低审计风险提供了技术支持。审计风险准则一旦正式生效,将引导注册会计师实务由传统风险导向审计向现代风险导向审计转变,会对我国的注册会计师审计理念、审计程序及审计责任产生非常大的。

然而,要在我国推行风险导向审计模式还存在一定的制约条件和需要解决的:

(一)会计师事务所审计成本与效益问题

实施风险导向审计模式的前提是成本能得到补偿。现代风险导向审计模式在审计计划阶段和执行控制测试阶段,注册会计师关注的范围扩大,程度加深,导致工作时间和审计成本的增加,在市场竞争激烈的情况下,成本的增加往往不可能过渡到收费的同步增加。此外,还需要一定的投入来培训注册会计师,使他们掌握业务流程和行业知识等有关方面的知识。如果这些成本得不到补偿,就会使一部分中小会计师事务所在竞争中无法生存。

(二)信息系统的建设问题

现代风险导向审计的重要特征是审计重心前移,注册会计师必须首先执行风险评估程序,充分了解客户整体经营环境,然后针对风险不同的客户、客户不同的风险领域,设计个性化的审计程序。因此,会计师事务所必须建立强大的信息系统,以便注册会计师在风险评估时了解企业的战略、流程风险管理、业绩衡量等。而目前国内很多事务所对行业风险和企业经营风险缺乏了解,客户的相关信息不够充分,信息系统的建设还达不到现代风险导向审计的要求,导致风险评估不准确。因此,风险导向审计的运用仅限于老客户,对新客户还是将大量时间用于实质性测试。

(三)审计从业人员素质问题

现代风险导向审计对审计从业人员的业务素质提出了新要求,不仅要具备丰富的审计和实践经验,还要具备必需的管知识和学知识,能够运用系统的、战略的观点充分了解、分析企业所处的宏观经济环境和行业发展状况,对有可能导致企业会计报表错报风险的内外部因素进行客观、系统的分析与评价,将审计视角扩展到内部控制以外,从较高层面上评估风险,而不是仅仅注重企业会计处理的细节。

(四)辅助审计软件的使用与完善问题

现代风险导向审计方法中分析性程序占据非常重要的地位,辅助审计软件的使用在其中发挥着重要的作用。西方发达国家大量运用分析性程序的条件是辅助审计程序的开发和运用,它可以直接对数据库进行加工分析,依据软件模型自行处理数据,使运用分析性测试程序成为节约成本的重要手段。另外,采用审计软件使统计抽样的样本更具代表性,审计抽样风险可控,为风险导向审计提供了技术支持。目前,我国在审计软件的开发和使用上不够理想,还有待提高,而且大部分注册会计师缺少相应的技术准备,在现阶段推行现代风险导向审计方法只能是一种愿望。

如上所述,目前在我国全面推行现代风险导向审计模式还受到许多制约,尽管它有很多优越之处,但在我国还不能够普遍推行。当前我国独立审计准则主要是以制度基础审计模式为基础的,而且相当一部分从事小规模企业审计工作的会计师事务所和注册会计师,基本上仍然在运用账项基础审计模式。但是,现代风险导向审计的实行是一种理念的改变,我们可将制度基础审计与风险导向审计有机结合。即使在现行审计准则仍然主要以制度基础审计模式为基础的情况下,吸取风险导向审计模式的基本观点和做法,则是完全可行的。通过把风险导向审计中控制风险的理念和方法融合到制度基础审计中,使其他审计模式忽略审计风险的缺陷得到弥补,将会为探索适合我国的现代风险导向审计模式积累有益的实践经验。

〔1〕陈毓圭。对风险导向审计方法的由来及其发展的认识〔J〕。会计,2004,(2)。

〔2〕常勋,黄京菁。从审计模式的演进看风险导向审计〔J〕。财会通讯,2004,(7)。

篇7

关键词:电子政务信息安全

0引言

随着电子政务不断推进,社会各阶层对电子政务的依赖程度越来越高,信息安全的重要性日益突出,在电子政务的信息安全管理问题中,基于现实特点的电子政务信息安全体系设计和风险评估[1]模型是突出的热点和难点问题。本文试图就这两个问题给出分析和建议。

1电子政务信息安全的总体要求

随着电子政务应用的不断深入,信息安全问题日益凸显,为了高效安全的进行电子政务,迫切需要搞好信息安全保障工作。电子政务系统采取的网络安全措施[2][3]不仅要保证业务与办公系统和网络的稳定运行,另一方面要保护运行在内部网上的敏感数据与信息的安全,因此应充分保证以下几点:

1.1基础设施的可用性:运行于内部专网的各主机、数据库、应用服务器系统的安全运行十分关键,网络安全体系必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏。

1.2数据机密性:对于内部网络,保密数据的泄密将直接带来政府机构以及国家利益的损失。网络安全系统应保证内网机密信息在存储与传输时的保密性。

1.3网络域的可控性:电子政务的网络应该处于严格的控制之下,只有经过认证的设备可以访问网络,并且能明确地限定其访问范围,这对于电子政务的网络安全十分重要。

1.4数据备份与容灾:任何的安全措施都无法保证数据万无一失,硬件故障、自然灾害以及未知病毒的感染都有可能导致政府重要数据的丢失。因此,在电子政务安全体系中必须包括数据的容灾与备份,并且最好是异地备份。

2电子政务信息安全体系模型设计

完整的电子政务安全保障体系从技术层面上来讲,必须建立在一个强大的技术支撑平台之上,同时具有完备的安全管理机制,并针对物理安全,数据存储安全,数据传输安全和应用安全制定完善的安全策略

在技术支撑平台方面,核心是要解决好权限控制问题。为了解决授权访问的问题,通常是将基于公钥证书(PKC)的PKI(PublicKeyInfrastructure)与基于属性证书(AC)的PMI(PrivilegeManagementInfrastructure)结合起来进行安全性设计,然而由于一个终端用户可以有许多权限,许多用户也可能有相同的权限集,这些权限都必须写入属性证书的属性中,这样就增加了属性证书的复杂性和存储空间,从而也增加了属性证书的颁发和验证的复杂度。为了解决这个问题,作者建议根据X.509标准建立基于角色PMI的电子政务安全模型。该模型由客户端、验证服务器、应用服务器、资源数据库和LDAP目录服务器等实体组成,在该模型中:

2.1终端用户:向验证服务器发送请求和证书,并与服务器双向验证。

2.2验证服务器:由身份认证模块和授权验证模块组成提供身份认证和访问控制,是安全模型的关键部分。

2.3应用服务器:与资源数据库连接,根据验证通过的用户请求,对资源数据库的数据进行处理,并把处理结果通过验证服务器返回给用户以响应用户请求。

2.4LDAP目录服务器:该模型中采用两个LDAP目录服务器,一个存放公钥证书(PKC)和公钥证书吊销列表(CRL),另一个LDAP目录服务器存放角色指派和角色规范属性证书以及属性吊销列表ACRL。

安全管理策略也是电子政务安全体系的重要组成部分。安全的核心实际上是管理,安全技术实际上只是实现管理的一种手段,再好的技术手段都必须配合合理的制度才能发挥作用。需要制订的制度包括安全行政管理和安全技术管理。安全行政管理应包括组织机构和责任制度等的制定和落实;安全技术管理的内容包括对硬件实体和软件系统、密钥的管理。

3电子政务信息安全管理体系中的风险评估

电子政务信息安全等级保护是根据电子政务系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度。等级保护工作的要点是对电子政务系统进行风险分析,构建电子政务系统的风险因素集。

3.1信息系统的安全定级信息系统的安全等级从低到高依次包括自主保护级、指导保护级、监督保护级、强制保护级、专控保护级五个安全等级。对电子政务的五个安全等级定义,结合系统面临的风险、系统特定安全保护要求和成本开销等因素,采取相应的安全保护措施以保障信息和信息系统的安全。

3.2采用全面的风险评估办法风险评估具有不同的方法。在ISO/IECTR13335-3《信息技术IT安全管理指南:IT安全管理技术》中描述了风险评估方法的例子,其他文献,例如NISTSP800-30、AS/NZS4360等也介绍了风险评估的步骤及方法,另外,一些组织还提出了自己的风险评估工具,例如OCTAVE、CRAMM等。

电子政务信息安全建设中采用的风险评估方法可以参考ISO17799、OCTAVE、CSE、《信息安全风险评估指南》等标准和指南,从资产评估、威胁评估、脆弱性评估、安全措施有效性评估四个方面建立风险评估模型。其中,资产的评估主要是对资产进行相对估价,其估价准则依赖于对其影响的分析,主要从保密性、完整性、可用性三方面进行影响分析;威胁评估是对资产所受威胁发生可能性的评估,主要从威胁的能力和动机两个方面进行分析;脆弱性评估是对资产脆弱程度的评估,主要从脆弱性被利用的难易程度、被成功利用后的严重性两方面进行分析;安全措施有效性评估是对保障措施的有效性进行的评估活动,主要对安全措施防范威胁、减少脆弱性的有效状况进行分析;安全风险评估就是通过综合分析评估后的资产信息、威胁信息、脆弱性信息、安全措施信息,最终生成风险信息。

在确定风险评估方法后,还应确定接受风险的准则,识别可接受的风险级别。

4结语

电子政务与传统政务相比有显著区别,包括:办公手段不同,信息资源的数字化和信息交换的网络化是电子政务与传统政务的最显著区别;行政业务流程不同,实现行政业务流程的集约化、标准化和高效化是电子政务的核心;与公众沟通方式不同,直接与公众沟通是实施电子政务的目的之一,也是与传统政务的重要区别。在电子政务的信息安全管理中,要抓住其特点,从技术、管理、策略角度设计完整的信息安全模型并通过科学量化的风险评估方法识别风险和制定风险应急预案,这样才能达到全方位实施信息安全管理的目的。

参考文献:

[1]范红,冯国登,吴亚非.信息安全风险评估方法与应用.清华大学出版社.2006.

篇8

关键词:软件开发;风险评估;证据理论

计算机技术的高速发展,随之而来的是各种软件的爆发式增长,软件已经成为了我们生活中不可或缺的一部分,在这种情况下软件开发工作就显得尤为重要。但是,软件在开发以及最后使用过程中存在着一定的风险,这些风险的存在造成了使用者的不便,也产生了很多的额外成本,这与当今人们对软件质量日益提高的需求极为不符。传统的软件风险评估多是借助于计量模型,利用一定的数据来进行定量的计算,但是软件使用中的风险存在着很多的额不确定性,各种各样的因素都会影响到软件效用的发挥,一些因素也不能转化成数据而直接进行计算,这些缺点导致传统的软件开发的风险评估方式已经不能满足人们希望更精确地评估风险的要求了。证据理论是一种新兴起的分析方法,它是一种基于不确定因素的定性的分析方法,这几年在软件风险评估方面得到了很大的应用,它虽然不能给出精确的风险值,但是可以给出具体方案的一个可行的实施范围,这对现代软件开发风险评估方式来说是一大进步,它取代了传统软件风险评估要求在不确定因素中选择确定性数据定量计量的不足。

一、传统软件开发风险评估的方式

软件开发工作自身是一项智力投入高,具有创新性的研究性活动,而且其研究的也不是具有实物形态的产品,而是各种各样的代码与数据库。软件开发过程中存在着很多的风险,这与软件开发自身所具有的特殊性质有着密切的关系,软件开发的客观性和普通性、不确定性、行为的相关性、多样性以及对称性决定了软件开发过程中风险的不确定性与来源广泛性,如果根据风险的本质来进行分类的话,大概分成三个种类:产品自身风险、项目特殊化风险以及开发环境的风险,对这各种各样的风险有着很多的评估方式。中国对于软件开发过程中的风险评估方式主要是源于西方的研究内容。最早的软件风险评估方法衍生于SEI对软件风险管理的研究中,SEI运用分类法来对软件开发过程的风险进行评估,分类法是一种简单而且实践性很强的风险识别方法。后来SEI又根据分类法设计了调查问卷进一步完善了分类法,而这种问卷的核心是根据分类法设置的属性根。风险评估一般含有评估者的主观性比较大,而且各个项目的特点不同,某些项目上经验丰富的专家很难找到,这就使得项目成本大大提升,因此,有人就将风险评估与成本分析一起作为研究对象,RayMadachy和KariKansala在这方面做出了很大的贡献。Chittister则从功能性角度、时态角度、失效来源角度价格风险评估视为一个“整体”。

二、什么是证据理论

证据理论又称D-S证据理论,是由Dempster和Shafer提出来的,它属于人工智能系统,是一种不精确的推理方法,可以用在处理不明确,模糊的信息上,最早是应用在专家系统之中,因为它能分析不确定因素的特点,现在被广泛地应用在软件开发的风险评估、模式识别、信息融合中。证据理论虽然不需要定性的测量,但是也需要建立一定的理论框架,进而确定在一定风险区间内的决策选择情况。证据理论的框架以人们知道的信息和想要知道的信息为出发点,他们一起被称为证据理论的辨识框架,证据理论通过辨识框架来区别“确定性”和“不确定性”进而得到人们想要的结果。在进行证据理论建模的时候首先要确定BBA(mass)生成问题,来将不确定的信息进行具体的表述,以便应用到模型中去。而BBA生成问题的关键是关于随机变量的分布与建模的难题,这恰恰与具体研究的问题有关,需要根据问题的不同而得到不同的BBA生成。

三、从证据理论的风险评估方式

风险是人人都不想看到的,所以对风险的评估以及管理就显得极为需要。证据理论因为可以将影响风险发生的各种不确定因素作为模型变量而考虑到模型中,所以适用于对于不确定性风险的分析。实际上,现在的很多风险管理都是根据三个部分建立的:风险识别、风险决策、风险反馈,然后再用统计计量的相关方法进行分析,这与其他的风险管理没有什么实质的区分。本文运用证据理论的分析方法来将以前不能考虑到没模型中的因素考虑进去,使得软件开发的风险评估更为可行,更加具有应用性。证据理论在使用中首先要进行赋值,即将不可测量的不完备、不精确或不易获得的数据转化成易衡量易获得的指数而纳入模型中,我们在分析的过程中涵盖了系统分析、设计、实施等不同的阶段以及进度、技术、费用的风险等具体的参数,具体如下图基于分层然后无确定了各个指标的具体赋值的概率情况,我们认为概率赋值较高的指标为关键指标,而概率赋值教的指标则成为非关键指标。在进行具体的赋值与分类之前,我们需要将各项指标进行证据融合,以期望得到信任函数,在这个步骤中可以采用交叉列表法来进行具体的证据融合,之后我们就可以得到具体的指标赋值概率,然后利用信任函数经过具体的计算就可以得到各个指标的风险值情况,然后将各个指标分配一定的权重就可以得到软件开发过程中受各种不确定因素影响的风险范围。

作者:于婕 单位:天津卓朗科技发展有限公司

参考文献:

[1]韩德强,杨艺,韩崇昭.DS证据理论研究进展及相关问题探讨[J].控制与决策,2014,29(1):1-11.

[2]鞠彦兵,冯允成,姚李刚.基于证据理论的软件开发风险评估方法[J].系统管理学报,2003,12(3):218-223.

篇9

内部审计模式的发展,主要经历了三个阶段:账项基础审计(以会计报表中各项目的审计为基础)、制度基础审计(以内部控制为导向)、风险导向审计。其中,风险导向审计是在前两个阶段审计模式的基础上继承和发展而来的,它经历了由传统风险导向审计向现代风险导向审计的转变。2006年,财政部在借鉴国际审计准则的基础上,颁布了48项新审计准则,全面推行现代风险导向审计思想和方法。

虽然现代风险导向审计改革了过去单纯以财务报告为核心的审计方法,强调从战略管理的高度对企业的经营风险进行综合评估,相对于传统风险导向审计而言,具有显著的优势。但随着社会经济变革的不断深入,现代企业的业务越来越复杂,审计环境也越来越琢磨不透,现代风险导向审计的问题也逐渐暴露出来。而着力研究解决这些问题,完善风险导向审计模式,并探索出适合我国国情的发展之路,对于我国审计技术水平的提高具有重要的现实意义。

二、现代风险导向审计的内涵及本质

所谓风险导向审计,是指注册会计师以审计风险模型为基础,对被审计单位的风险进行判断、评估,确定剩余风险,并执行追加审计程序将剩余风险降低到可接受水平。根据审计理念和审计方法的不同,又可以具体划分为传统风险导向审计和现代风险导向审计。前者以企业的内部控制为审计起点,又称内控导向审计;后者则以企业的经营风险为导向,将重大错报风险与企业经营风险紧密联系起来,控制风险并重。

具体而言,现代风险导向审计要求注册会计师在审计全过程都以重大错报风险的分析、识别和评估为主线,通过对企业经营风险的综合评估来确定财务报表的剩余风险,并进一步确定实质性测试的范围、时间和程序,进而对企业的内部控制、风险管理等进行最终评价,并提出相应的改进意见和建议,帮助企业进行有效的风险管理。因此,风险的识别和评估不再局限于会计系统和传统的内部控制系统,能够有效对付管理舞弊,并合理分配审计资源,节约审计成本,从而在合理保证审计效果的同时提高审计效率。可以说它是符合当前经济不确定性和企业不断提高的审计期望的要求,具有强大的生命力。

三、现代风险导向审计与传统风险导向审计的区别

现代风险导向审计与传统风险导向审计都属于风险导向审计,二者既有区别,又有联系。

现代风险导向审计是在传统风险导向审计的基础上改进、发展而来的。具体而言,由于传统风险导向审计直接从固有风险评估入手,只注重对报表的评价,忽视了经营环境风险,无法真正降低风险,对发表审计意见也难以形成正确支持。针对这一系列问题,现代风险导向审计以企业经营风险为导向,全面、动态地考虑了风险因素。因此,注册会计师不仅能全面、深入地认识企业经营状况,掌握企业可能存在的重大风险点和风险领域,从而对风险因素进行准确、科学、全面的评估,又不脱离环境和报表。

而二者的区别主要表现在审计导向、审计重心、审计风险模型、技术手段以及风险评估程序等方面(见表1)。

表1 现代风险导向审计与传统风险导向审计比较

总之,传统风险导向审计虽已开始考虑企业经营风险,但处理极为简化,并未跳出内部控制导向审计的基本思路。而现代风险导向审计则将审计风险评估贯穿于审计全过程,并借助计算机辅助审计系统对财务数据和非财务数据进行分析、评估,能有效降低审计风险到注册会计师可接受的水平。

四、现代风险导向审计存在的问题

虽然现代风险导向审计在审计理念、技术手段等方面具有显著的优势,更加符合审计实际,有利于实现审计效率的有效配置,提高审计效率和效果。但随着现代业务的复杂化、审计环境也越来越琢磨不透,现代风险导向审计也暴露出诸多问题,亟待解决。

1.风险评估程序形式化严重,难以鉴别内控弱点。

我国由2006年正式确立风险导向审计以来,我国会计师事务所,尤其是“国内大所”和“四大”的效率有所提升,但在实际操作中,仍存在审计程序僵化、评估形式化等缺陷。注册会计师在审计执行过程中由于成本压力、时间限制及部分会计师经验不足等问题,仅注重增加审计中的风险识别和风险评估内容,而审计结果则多依赖于实质性测试,导致风险评估程序流于形式,难以对审计效率和效果产生实质性的重大影响。

2.高素质审计人才欠缺,胜任能力不足。

要正确评估企业的经营风险,就要求注册会计师必须具备深厚的会计、审计类专业知识和实操技能,掌握相应的法律法规;另一方面,还必须对相关行业及企业经营状况,如企业战略、经营目标、内外部环境(行业状况、监管环境等)、业绩衡量和评价、内部控制等有深入了解;同时,应熟悉一些常用的分析软件和工具(数理统计方法等)。唯有如此,注册会计师才能准确地识别出财务报表上的重大错报风险。然而,目前我国大部分审计师虽具有较丰富的实践经验,但多局限于审计和会计领域,企业管理和信息技术方面的知识和能力还十分欠缺。因此,高素质、高层次审计人才的欠缺,就必然限制风险导向审计模式的应用。

3.成本与效益配比性差。

风险导向审计的实施,一方面需要加大审计过程中的关注范围、程度,导致审计工作内容和工作量的增加;另一方面,风险导向审计信息数据库的建设、审计人员转换审计方法、提高审计技能的培训等方面,也需要投入大量资本和时间。但处于同行业竞争的考虑,审计费用未必会相应增加,致使成本与效益配比不协调,对注册会计师和会计师事务所形成巨大的压力,甚至以审计程序的减少和审计质量的牺牲来平衡。

4.信息系统建设不足,缺乏强大的数据库支撑。

实施风险导向审计,要求注册会计师充分了解企业内外部环境,包括企业外部经营环境、内部流程、企业战略、内部控制和业绩衡量比较等方面,才能针对不同的风险领域设计个性化的审计程序。因此,就需要会计师事务所建立一个功能强大的数据库和信息系统,以满足风险评估的需要。然而,我国许多会计师事务所的信息系统建设还十分薄弱,缺乏对行业风险和企业经营风险相关数据的系统把控,致使审计风险偏高。

5.不恰当地使用风险控制程序,可能增大审计风险。

风险导向审计的精髓在于通过对企业内外部经营环境及风险的观察、分析和评估来确定审计范围和重点,选择适当的审计程序和方法。但当企业的经营环境发生改变或企业的内部控制存在缺陷,而注册会计师不能及时发现;或由于风险导向审计得出错误的风险评估结果,而减少实质性测试程序时,便会导致审计测试不充分,难以正确识别和评估重大错报风险,反而大大增加了审计风险。

五、对策建议

针对现代风险导向审计在我国目前环境中所出现的问题,建议从以下几个角度进行解决,以促进其在我国更广泛和深入的发展。

1.加强注册会计师职业教育,提高素质和基础胜任能力。

一是,加强注册会计师的职业道德教育。由行业协会主导,定期培训,加强注册会计师职业品德和职业行为规范建设,时刻保持职业谨慎态度,拒绝出具虚假报告。二是,加强注册会计师胜任力培养。会计师事务所应当注重风险导向审计下注册会计师胜任能力的培养,通过系统的培训、学习、交流等培养注册会计师明确的风险导向审计理念,注重风险导向审计流程、操作规范、易导致失败的关键点等的分析,全面提高审计能力。而注册会计师也应当在具体审计实践中积极吸取经验、教训,不断学习、总结,提高自身胜任力。

2.加强风险导向审计的信息系统建设。

风险导向审计信息系统的建设应由行业协会牵头,会计师事务所主导,分行业收集、整理现有审计资料,包括不同行业的基本审计风险点、代表性审计案例等,并进行分类提炼、存储,从而形成“审计风险资源库”。在实际审计,注册会计师就需要根据这些数据库资源,对相应的高风险点予以高度关注,准确把控,并及时更新、完善和丰富数据库资源,形成完整的客户分类服务体系。

3.改进审计人员的专业知识结构,培养高素质审计人才。

根据现代风险导向审计对注册会计师专业知识和能力的要求,会计师事务所应当积极探讨审计人员专业知识结构的改进,通过培训、交流等形式增强审计人员相关行业知识、企业管理知识(包括战略管理、经营风险等)、数理统计知识等,培养一支专业知识过硬、综合素质和操作能力强的审计队伍。同时,还应注重整个审计队伍的结构优化,改变单一的财会型人才结构,适当聘用一些法律、工程技术等非财会专业人才。

4.继续推行法律体系的演进与变革,完善准则体系。

一方面,应根据现代风险导向审计的具体要求,结合我国审计实际,适时修改一些不合时宜的法律法规,强化注册会计师法律风险意识,加大追责和处罚力度;另一方面,完善审计准则体系,加大注册会计师的审计风险准则后续教育,以有效约束注册会计师行为。

六、结语

篇10

关键词:互联网金融;系统性风险;识别;评估

基金项目:本论文受河北省高等学校科学技术研究青年基金项目支持(项目编号:QN2014172)

中图分类号:F83 文献标识码:A

收录日期:2015年7月10日

一、引言

随着互联网技术的兴起和金融市场的逐步开放,各类融资机构的互联网金融业务也如雨后春笋般的出现。以河北省为例,截至2014年,该省融资性担保机构达到约600家,比2003年增长了41倍;担保资本金超过400亿元,比2003年增长了100余倍。其中,由省财政支持的省级担保机构已有4家,资本金规模达到31.6亿元。这些中小型融资机构中,运用或即将运用互联网金融模式的机构已具有相当的规模。互联网金融作为传统金融的扩展和金融信贷的延伸,具有成本低、效率高、覆盖广的特点,在融通资金、引导资产流向和调节社会供需平衡等诸多方面越来越起到不可替代的作用。然而,由于互联网金融的开放性特点,在营运过程中面临着各类系统风险,逐渐进入国际国内金融界关注的领域。

二、传统金融产业系统性风险评估

国内外学术界对金融产业系统性风险管理的研究大多数局限于传统的信贷风险研究,S.Jha&K.S.Bawa通过印度小额贷款的实证研究,从贷款人的角度分析了小额贷款风险的影响因素;Valentina Hartarska&Denis Nadolnyak分析世界银行1998~2002年在全球各国发放小额贷款的风险情况,提出产品的产业政策、政府对小额贷款的支持力度是小额贷款风险的主要影响因素。国内许多学者从金融机构的视角研究了系统风险对金融企业的影响因子,吴晓灵从监管模式的角度研究了小额贷款公司发展滞后的主要原因;杨速炎通过研究进一步说明了,监管主体、风控意识对金融企业发展的重要影响;周海林认为小额贷款公司风险的主要来源是贷款利率低、税费负担重及经营开支高。

国内外学者对金融机构系统风险防控的研究大部分是针对商业银行的大型企业贷款,对于互联网金融模式下的小额贷款风险防范研究较少,且主要采用信用评估模型进行评估。Schreiner在研究中证实了信用评分在降低信息收集成本、改善小额贷款机构的服务和经营可持续方面的作用。Robert DeYoung利用Stacked-Fogit模型对小额贷款信用得分进行了分析。我国学者也在小额贷款风险评估方面做了大量的工作。肖冬荣利用粗糙集方法,对我国个人信贷风险评估进行了研究。闫雪、卢继梁提出了提高小额贷款公司风险控制力的创新型路径建立信用评估大体系。申韬运用软集合理论指出,信用风险评估必须要与现阶段国内小额贷款公司的运营特征相符。

三、互联网金融产业系统性风险识别与评估面临的新问题

互联网金融业务已在全国各省市逐步展开运营,形成了一个竞争与协作并存的庞大融资系统。但是,这些依托于互联网模式的中小型融资机构由于缺乏政府监管、准入门槛低、恶性竞争现象明显,存在着许多不规范行为,普遍面临着严峻的生存考验与系统性风险。在互联网金融产业链中,掺杂着大量的地方性中小型融资机构和金融企业,这些中小型金融企业与传统的金融机构有着较大的区别,我们必须根据实际情况,更精确地定义互联网金融产业模型并构建合适的系统风险评价体系来应对此类问题。此外,随着互联网金融业务的日益普及,越来越多的金融业务开始转向网络化、移动化、互联化,产业与金融业的链条紧密度日益增加,一旦互联网金融产业链发生较大的连锁性风险,必然会累及传统金融产业乃至实体经济。从目前来看,针对互联网运营模式下的中小型融资机构风险识别与评估方法的研究相对较少,且相关研究工作往往围绕信贷业务风险展开。因此,对互联网金融机构的系统性风险进行识别与评估变得尤为重要。

四、结论与展望

随着互联网金融的普及,国内外金融界对系统风险的关注日益增强。金融机构系统风险管理中一项重要内容就是对系统风险进行量化和评估,即在确定风险来源的基础上对其可能给金融机构经营造成的影响程度及结果进行评估和测定。诸多研究应将更多精力用于关注中小型互联网金融机构系统风险评价的科学化、数量化,为互联网金融机构的经营决策和政府导向提供科学的参考依据,提高互联网金融产业的竞争力,更好地服务地方经济。与此同时,互联网金融系统风险的降低,可以更好地保护融资双方利益,减少因资金融通链断裂引发的一系列连锁反应,及其引发的社会问题。因此,政府与监管部门除了做到常规的信用风险评估外,还应投入更多精力关注系统性风险的识别,做到防患于未然。

主要参考文献:

[1]Clustering analysis in social network using Covering Based Rough Set Mitra,A.;Satapathy,S.R.;Paul,S.Advance Computing Conference(IACC),2013.

篇11

风险研究最早运用于项目工程管理领域,在其发展过程中主要应用于管理学、金融学、心理学等学科的研究中。

(一)风险管理理论

风险管理理论始于20世纪30年代,至20世纪60年代中期逐步发展成为一门学科。“1963年梅尔和赫奇斯的《企业的风险管理》、1964年威廉姆斯和汉斯的《风险管理与保险》出版,标志着风险管理理论正式登上了历史的舞台。”[1]风险管理理论经历了从传统风险管理理论到金融风险管理理论再到全面风险管理理论的不同时期。传统风险管理理论主要对风险管理的对象进行界定和区分,将纯粹意义上的风险作为研究对象,也就是将不利风险纳入企业风险管理的重要范畴。企业风险管理的主要任务是减少不利风险的发生,降低不利风险对企业的可能损害。管理的基本手段是采用保险的方式转移和减少风险所带来的损失。20世纪60年代末至70年代初,一些学者对市政管理中的风险问题进行研究。托德(Todd,1969)和沃恩(Vaughan,1971)通过对美国九个州市政管理现状的调查研究,提出市政官员应加强市政风险管理的主张。风险管理理论逐步与管理学、经济学等学科融合与发展,风险管理研究对象逐步拓展,不再局限于传统风险管理理论对纯粹风险的管控,金融风险管理兴起。金融风险管理不仅是为了克服纯粹风险,更不是仅仅利用保险的方式转移风险,而是注重保险的收益功能。金融风险管理标志着风险管理理论向纵深度发展。20世纪80年代,接踵而至的金融危机推动了风险管理理论的蓬勃发展,迫使金融界进一步思考风险管理问题,全面风险管理时代来临。全面风险管理主张从系统的角度对所有风险集合整体上加以管理和控制。全面风险管理理论已经成为企业决策和金融业决策的重要指导,作为一种系统和科学的管理模式被广泛应用。

(二)风险社会研究的兴起与发展

20世纪以来,特别是20世纪后半期,人类社会在经济领域、社会领域取得非凡成就,但也潜藏着各种危机,生态环境急剧恶化,经济危机和金融风险频繁发生,社会贫富分化现象日趋严峻;与此同时,化学污染、核威胁、各种电磁辐射、转基因产品危害等现代性的负效应正威胁人类,使社会面临严重风险。出于对工业社会和现代性的反思,1986年德国学者乌尔里希•贝克(UlrichBeck)在其德文版著作《风险社会》中,首次提出“风险社会”的概念。但是在当时风险社会理论并未引起过多关注,直至1992年其英文版著作《风险社会》出版,风险社会理念才备受瞩目。伴随着对风险社会形成原因的不断追问,贝克进一步指出工业社会所面临的风险与以往社会所面临的风险存在区别,如果将人类社会早期所发生的自然灾害、社会危机归结为自然规律所导致的,那么工业社会发生的危机则与人类社会的重大决策紧密相关。贝克认为:“工业化以前人类社会所遭遇的各种自然灾害与工业化以后人类社会所面临的各种风险大不一样。”[2]安东尼•吉登斯则从人类社会历史发展的角度,对社会发展的现代性、社会发展的全球化趋势与社会风险关系进行探讨,提出全球风险社会理论。吉登斯认为,人类社会面临的风险,如果是来自自然界的外在风险,那么是自然风险;如果是由人类社会内部对自然的改造和控制等“人力制造出来的风险”,那么是“人造风险”。人造风险与人类工业化发展、对社会现代性的追求相伴生。吉登斯对风险社会的研究系统而深入,对由现代性引发的社会风险类型进行了阐释,认为现代性蕴含着经济增长、生态环境破坏、极权主义、军事冲突、核危机等社会风险。从风险管理理论和风险社会研究可以看出,风险并不必然伴随科技发展和社会进步而消失或减少;相反,可能由于人类的某种选择和决策的失误而被强化。因此,从全球的视野来分析社会风险,反思人类社会的管理与决策,加强决策与管理的科学性,有助于探寻社会风险的化解方法。

二、欧美重大事件风险管理的实践经验

近年来,欧美发达国家的社会发展水平逐步提高,社会发展能力被彰显出来。与此同时,社会面临的风险与不确定因素也越来越多,风险转化成危害,严重威胁着社会稳定与持续发展。为此,欧美等发达国家和地区积极强化风险社会管理手段与方法。其依靠重大事件的科学决策有效化解风险、促进社会稳定的经验,值得中国借鉴。

(一)美国环境风险管理制度

美国一直以来重视环境保护,20世纪80年代以来,更是将环境管理问题上升到与国家安全、国家利益、社会稳定同等重要的高度。美国政府十分重视环境管理,对于环境管理中存在的风险进行有效控制。美国对于环境管理及风险防控的基本做法主要体现在:一是高度重视环境保护问题,将其确定为与国家安全、国家利益紧密相关的重大事件。1977年,美国学者莱斯特•布朗(LesterBrown)在其研究报告《重新定义国家的安全》中,首次提出将环境问题与国家安全问题紧密相连。布朗的观点引起广泛关注,关于环境安全的研究逐步增多。1987年里根政府的《国家安全报告》明确指出,自然资源的损耗与污染成为国家繁荣和国家安全的潜在威胁与风险,环境安全、环境管理被列入涉及国家安全、国家利益的重要领域,成为政府决策管理的重要范畴。二是进行深入系统的环境风险评价科学研究,为环境决策提供理论基础和技术路线。美国是较早开展环境风险评价研究的国家,20世纪70年代至80年代初,环境风险评价开始萌芽,但关于风险评价的内涵尚不清晰。20世纪80年代以来,风险评价的框架基本形成。美国国家科学院提出环境风险评价包含危害鉴别、剂量—效应关系评价、暴露评价和风险表征四个阶段[3]。20世纪80年代后期,环境风险评价运用于决策的相关研究逐步增加,特别是比较风险评价理论的提出与发展,大大推动了美国环境决策发展。艾扎斯(Ijjasz)和特雷耶(Tlayie)认为,“在宏观上,比较风险评价是在掌握大量正确数据的基础上对决策中的风险进行排序比较,并以风险的大小作为决策方案的选择依据,从而形成一个包含有科学家、决策者与利益相关者的开放、公平的相互交流的环境。”[4]三是建立生态风险评价的政策依据,为风险评价提供行动指南。“1998年美国国家环保局正式颁布了《生态风险评价指南》,提出生态评价三步法:问题形成、分析和风险表征,同时要求在正式的科学评价之前,首先制定一个总体规划,以明确评价目的。”[5]这也是世界上最早的生态风险评价方面的指导文件。美国国家环境保护局将比较风险评价应用于环境决策,确定了将当前环境决策未解决的问题具体化、在对数据分析的基础上提出新的决策方案、决策者依据环境因素与潜在风险等因素对方案进行评估、方案选择决策确定、校验决策等基本环节。四是建立完备的风险管理与环境应急机制。对于环境存在的风险及可能发生的突发事件,美国建立比较完善的环境风险管理与应急机制。环境风险管理与应急机制主要包括环境风险的宣传与教育机制、风险预测预警机制、风险管理机制,针对潜在的环境风险进行识别、宣传与防范,为降低风险和科学决策提供保障。

(二)欧盟食品风险评估制度

自20世纪60年代开始,为确保食品安全,促进食品在成员国自由流通,欧盟就制定了食品安全政策。目前欧盟已建立相对完备的食品安全风险评估制度体系,能够有效防控食品安全危机。一是构建食品安全风险评估的法律框架,为风险评估工作提供法律依据。欧盟委员会分别于1997年和2000年《食品安全绿皮书》、《食品安全白皮书》,明确了食品安全管理的总体思路,特别是提出了食品安全风险评估的重要性,提出成立欧盟食品安监局作为食品安全风险评估的实施机构,初步奠定了开展食品安全风险评估的制度基础。2002年颁布了EC178/2002条例,明确提出食品安全法应建立在风险评估的基础上,明确提出成立食品安全局(EFSA)进行食品安全风险评估的相关工作。二是建立食品安全的快速预警系统。欧盟在食品安全法的框架下,建立了食品与饮料快速预警系统(RASFF)[6]。根据危急程度不同,预警系统分为预警通报和信息通报两大类。当食品安全出现问题,可能危及人类健康时,成员国可以借助预警系统互通消息,从而减少风险。三是成立专门的食品安全风险评估组织机构,以保证评估工作的科学性与独立性。欧盟食品安全局作为食品安全风险评估和风险交流的专门机构,开展相对独立、科学、公开、透明的风险评估工作。食品安全局组织机构完备,下设管理委员会、执行主任和成员、咨询论坛、科学委员会和科学小组[7]。管理委员会主要负责下年度工作计划和上年度工作总结报告等职责。执行主任公开招聘产生,主要负责日常管理工作。咨询论坛协助执行主任开展工作,负责与各成员国主管机构合作,加强信息交流,充分了解和把握潜在的风险。科学委员会和科学小组负责为决策提供科学建议。科学小组由食品安全领域专家组成,可以组织听证会,加强与公众交流,搜集公众意见。科学委员会则由各小组的主席以及来自科学小组以外的六名专家组成,开展全面协调工作,确保科学建议的准确性与一致性。欧盟食品安全局自动发起或者是应欧盟委员会或其成员国的科学建议请求,必须在规定期限内为欧盟成员国和欧盟委员会提供科学技术支持,尽可能地搜集决策相关信息,在对其进行风险评估的基础上,将评估结果、风险信息等因素一并提供给欧盟委员会及其成员国。

(三)英国国家安全风险评估与城市风险评估体系

英国建立了相对完善的国家安全风险评估和城市安全风险评估机制,能够对国家层面和城市中可能发生的危害国家和社会安全的风险进行有效的防范与控制。英国建立了完备的国家安全风险评估与预测机制,建构了《国家安全风险评估》、《国家安全任务与指导方针》等风险评估与风险应对的防范政策体系。国家安全委员会在广泛了解和分析潜在的国家安全风险的基础上,根据相关的可能性及其影响,促进和协助政府联合其他部门共同面对和化解风险。以英国伦敦为例,其“一案三制”意义上的城市风险管理机制十分完备,堪称城市风险管理的典范,可以为区域内重大事件决策的风险防范提供参考。通常情况下,风险管理分为风险评估与防范、风险控制、风险处置与恢复等环节。在伦敦的城市风险管理中,风险评估程序非常完善。伦敦城市风险评估的基本经验主要体现在以下三个方面:一是依法确立风险评估主体。英国2005年4月正式实施的《国内应急法》明确规定各级政府是风险评估的责任主体,在风险评估与应急规划中担负重要责任。二是建立风险评估的协调机构。美国“9•11”恐怖袭击事件发生以后,伦敦出于对危机事件有效防范的考量,着手建立跨区域、跨部门的风险评估协调机构。伦敦区域应急论坛下设伦敦应急团队,每个论坛的主要职责是对区域内的风险进行识别与评估,使伦敦能有效应对危机事件。三是完善风险评估的基本流程系统。伦敦的城市风险评估工作流程主要分为“选择风险事项、挑选评估者、风险分析、风险评价、风险应对、监控与审查等六大步骤”[8]。选择风险事项阶段,主要由风险评估工作组和各应急论坛的组成部门协同合作,确定风险事项,识别重要的利益相关者,结合区域环境因素确定风险评估的原则与标准。挑选评估者阶段,主要是确定风险评估者及地方应急论坛相关人员在工作中的分工与职责,确定主任评审员的人选,为后续工作奠定组织基础。风险评价阶段,主要由主任评审员负责,对未来五年内可能发生的风险进行分析与建议。风险分析阶段,主要是由主任评审员对风险进行预测、分析,并提出相对详尽的风险分析报告。风险应对、监督与评审已经成为制度化、稳定化的工作,地方应急论坛每四年就要对所有风险提出正式的评审报告。

三、国外经验对我国重大决策社会稳定风险评估的启示

国外关于风险研究的理论与重大事件风险管理的实践都取得了长足进展,而我国重大事件社会稳定风险评估工作尚处于起步阶段,还存在诸多需要完善之处。汲取欧美发达国家重大事件风险管理的有益经验,建立健全我国重大决策社会稳定风险评估机制。

(一)加强重大决策社会稳定风险评估的理论研究

中国重大决策社会稳定风险评估工作已经进入实践阶段,实践中形成了四川“遂宁模式”和江苏的“淮安模式”,但是中国关于重大决策社会稳定风险评估的理论研究还十分匮乏。分析美国环境风险管理的成功经验,美国国家科学院等环境保护的科研机构及专家学者关于环境风险的相关理论研究为政府决策提供了有效的理论依据和方法指引,对保障决策科学性和化解决策风险起到重要作用。中国学者关于风险社会理论的研究集中于风险社会意识形成和风险社会危害等研究领域。这些研究虽然奠定了重大决策社会稳定风险分析的理论基础,能够为风险评估提供理论支撑,但是结合中国社会转型期社会稳定风险的分析不够深入,对于重大决策可能引起的风险认识还不够清晰。中国对于重大决策社会稳定风险评估价值的探讨较多,但是对于如何推进实践的可操作性研究明显不足。风险评估作为一种技术已经在国内外政治社会生活中广泛应用,在国家、部门,特别是企业管理中广泛应用,但是目前中国在重大决策中应用较少,学者提供了风险评估的框架体系,但是缺少细节设计,还有待于对重大决策风险评估的技术方法和实践机制等领域进行深入系统的理论研究。

(二)增强重大决策社会稳定风险评估意识

目前,从中国相关政府部门到社会公众,整体上风险意识淡薄,对于风险管理认识不深入、不够重视,特别是对于重大事件决策与社会稳定风险之间的相关性认识不清,缺乏管控风险的意识。因此,强化对重大决策社会稳定风险评估的意识,为各级政府决策提供软环境。发达国家的风险意识十分强烈,美国20世纪80年代就将环境保护问题上升到与国家安全、国家利益息息相关的重大事件进行管理,对重大事件风险评估与决策十分重视。英国对于国家未来可能发生的重大风险进行识别与防控,也是缘于其高度的风险意识。

(三)完善重大决策社会稳定风险评估的法律制度

欧盟在食品安全管理中,有关食品风险评估的法律制度提前建立起来,为食品风险评估提供法律保障。英国国家安全以及城市风险管理的相关法律制度较早地完备起来,为风险评估工作奠定了制度基础,使风险评估可以按照法律和制度要求系统化、经常化、稳定化地开展。中国对于重大决策风险评估的法律依据尚不充分,所以需要建立健全重大决策风险评估的相关法律政策,为开展重大决策风险评估提供政策依据,保障风险评估工作有序进行。

(四)建立健全重大决策社会稳定风险评估的管理机制

篇12

关键词:内部控制;实施;风险管理

1二者的主要区别方面

内部控制与风险管理主要在于目的、作用和发挥作用的环境差异。(1)风险管理是通过及时识别、评估、评价及防范风险,并控制不利影响的可接受程度,来实现目标;内部控制是企业内部风险管理的程序化规范,通过履行管理职能,通过事前参与、事中监督和事后评价达到目标。(2)风险管理是关注识别和控制风险可能影响的经营管理活动,对机会风险实施管理,促进实现经营目标和价值最大化;内部控制通过专业的过程管理规范和有效的控制活动,难以防范决策风险和经营者非理性风险。(3)风险管理,应紧密结合各项管理工作,统筹内外部环境,在企业管理和业务流程中嵌入风险管理观念;内部控制是在企业内外部环境下,根据公司法构建的法人治理结构和决策规则。风险管理以应有的风险防范意识实施经营管理;内部控制是经营管理中应遵守的流程规范。(4)风险管理是为实现企业最终目标任务,在经营管理过程实行风险管理的具体措施和方法,营造良好的风险管理氛围,构建全面风险管理体系,以及提供合理保证的过程、方法。内部控制的目的是保障企业经营管理合法合规、资产保值增值、财务信息真实可靠,经营效率和效果提升,促进实现企业发展规划和战略目标。

2二者相互联系方面

内部控制与风险管理的五个组成要素完全相同,即内部环境、风险评估、控制活动、信息沟通、内部审计,彼此密不可分。(1)防范风险是内部控制最明确、最主要的目标,离开这一目标,内部控制就失去存在意义,也很难有发挥作用的时空。(2)风险存在于企业生产经营的始终,涉及内、外部风险,如何识别、分析、评估风险,制定风险解决方案和采取应对措施,收集潜在风险信息是实施风险管理的前提;内部控制是构建控制体系、关注控制关键点,用业务流程直接描绘生产经营业务过程而形成的管理规范。内部控制嵌入式工作方法,方便收集潜在风险信息,可见内部控制是实行风险管理的主要手段。(3)风险管理是企业在经营管理过程中,通过对潜在各类风险因素识别、分析、评估,用最低投入换取最大的安全保障。有效识别、防范、控制风险是企业风险管理最终目标,也正是内部控制的最主要作用,毫无疑问,内部控制是实施风险管理最有效的重要工具。(4)内部控制和风险管理。实施内部控制和风险管理的主体、过程、目标都是相同的,都是必须企业全员全程参与。在实施企业管理风险的同时,也是在实施内部控制程序,模式过程完全协调一致。

3通过实施内部控制实现有效的风险管理

(1)营造有序的内部环境。打造具有风险防范意识的企业生态,在风险管理过程中,全员都要形成“风险无处不在、无时不在”的理念,把握工作岗位职责对企业经营风险的影响程度,作用、责任与其他岗位的连带关系,这是风险管理的主要构成,也是实行有效风险管控的重要前提。(2)强化风险意识和明确内控责任。风险管理的起点是风险识别,是有效实施风险管理的关键前提。识别潜在的各类风险并加以区分,查找风险产生的影响因素。在全面风险管理架构下,不断收集与各类风险和风险管理有关的内外部初始信息,发现潜在的各种风险,就是风险识别的重要目标。(3)不断优化和有效利用内控规范。企业内控规范是根据管理制度和操作流程,结合岗位职责制定的,岗位职责就是严格执行内控规范,正确处理工作内容,提高工作效率,保证完成目标任务。内部控制与风险管理是规范与理念的关系,仅有内部控制规范,而无风险管理理念,则内部控制就成为空中楼阁、无本之末。仅有风险管理理念,而无内部控制规范,则风险管理就丧失了最有效的工具,造成无的放矢。

参考文献

[1]朱荣恩.企业内部案例[M].复旦大学出版社,2006.

[2]高存忠.企业内部控制与风险管理[J].工业审计与会计,2011.

篇13

(陕西华燕航空仪表有限公司,陕西 汉中 723102)

摘 要:在体制上全面风险管理与内部控制分别由国务院国资委和财政部提出,并在国有企业中广泛实施,全面风险管理与内部控制在管控思想理念、方式方法等方面是相似或相同的。但由于分别有同的国家部分主抓,从而形成了在企业内部也会又不同的单位和人员来分别从事全面风险管理和内部控制管理,造成了企业内部机构设置繁冗、业务交叉重复等现象。因此研究全面风险管理与内部控制相融合非常必要。

关键词 :全面风险管理;内部控制;融合

中图分类号:F275文献标志码:A文章编号:1000-8772(2015)10-0179-02

收稿日期:2015-03-20

作者简介:曹江涛(1976-)男,汉,陕西咸阳人,大学,会计师,陕西华燕航空仪表有限公司企业管理部部长,研究方向:企业管理。

全面风险管理是国务院国资委提出并推行的。全面风险管理是通过一定的方式识别出企业所有的风险,然后依据一定的标准对识别出的风险进行排序,寻找出企业应当重点关注的风险,再根据风险的属性采取相应的应对方案予以防范风险。其中绝大多数风险都是要依靠应对方案对风险进行控制,预防其发生或者将其控制在最小范围。

内部控制是财政部提出并推行的。内部控制是依据一定的标准对企业的流程进行审理,找出缺陷然后改进缺陷,以防止风险的发生。

可以看出全面风险管理与内部控制在管控思想理念、方式方法等方面是相似或相同的,但是在管理推进过程中,全面风险管理与内部控制形成了各自的体系,并在企业中并行开展。这样的做法在初期对于推动该两项项管理活动有很大帮助,但是也造成了企业内部机构设置繁冗、业务交叉重复、推诿扯皮、资源浪费等问题的出现。因此,研究风险管理与内部控制的融合具有很现实的价值。

一、组织体系的融合

全面风险管理与内部控制在组织体系设计上无论是层级还是职能都基本一致,所以便于融合。

全面风险管理的组织机构设置为三级,分别是风险管理委员会、风险管理办公室和部门风险管理小组(风险管理员)。其中,风险管理委员会是顶层决策机构,风险管理办公室是组织推进管理单位,部门风险管理小组是具体执行单位。

内部控制组织结构设置也分为三级,分别是企业级的内部控制领导小组、内部控制管理办公室和各部门内部控制管理员,其职能分别是决策、归口管理和实施。

因此,组织机构的融合可以采取合并方式,以全面风险管理组织机构为主,风险管理办公室在管理人员上要兼顾内部控制管理的专业人员。

二、管理语言的融合统一

在两个体系融合过程中建立统一的风险控制语言非常重要,有利于管理中信息的传递和管理行为的一致性,避免概念含糊不清导致的管理混乱。统一语言的原则是既可以保证语言的一致,也要保证两个体系的全面融合,避免融合过程中失去内控的对风险管理的辅助优势。

需要统一的语言首要的是对风险的名称定义方式,全面风险管理与内部控制对风险名称的定义办法完全不同。在全面风险管理中,对具体风险事件的名称没有统一规范,均采取描述的方式表达,描述规则是风险事件的“表现+影响”。例如:“应收账款超过诉讼时效导致无法收回”就是对应收账款风险中的一项具体风险事件的描述。对二级风险名称定义是按照业务类别定义的。例如财务风险可分为应收账款风险、现金管理风险、现金流风险等等。对一级风险名称的定义一般是按照风险的属性定义的。例如:战略风险、财务风险、市场风险、运营风险、法律风险等等。

在内部控制管理中,仅有缺陷的概念,而没有风险的概念,但缺陷导致的结果就是风险。内部控制对缺陷的分类是与流程级别对应的,也就是说一级流程缺陷、二级流程缺陷的名称定义方式是“流程名称+缺陷”。例如采购缺陷、采购付款缺陷等。缺陷所导致的风险也没有统一的命名方法,与风险管理一样是采用“表现+影响”的描述方法。

通过上述分析我们发现,对于具体风险事件的命名方法全面风险管理与内部控制管理基本是一样的。对于二级、一级风险(或者缺陷),全面风险管理与内部控制管理命名方法虽然不同,但全面风险管理一、二级风险包含了内部控制管理的一、二级缺陷,因此,在体系融合过程中,可以统一管理语言,即不再使用缺陷的概念,而统一使用全面风险管理的风险概念。

三、风险识别方法的融合

全面风险管理中,风险识别方法有初始信息识别法、分类识别法、头脑风暴识别法、流程分析识别法、价值链分析识别法等。通过这些方法的综合运用,识别出各业务单元、重要业务活动和重要业务流程中的风险。

内部控制识别缺陷(即风险)是通过对业务流程进行实际观察和穿行测试的方法,测试流程是否可以满足控制目标的方式来查找流程缺陷。内部控制识别缺陷的方法确定性很强,因此,该识别方法可以直接融入风险识别中来,为了管理中的语言统一,我们可以把内部控制的这种识别风险的方法命名为流程识别法。

这样的融合既满足了内部控制对风险的识别,也充实了全面风险管理对风险的识别方法。

除此之外内部控制还有通过不相容职务的识别来查找风险的方法。这个方法可以被风险管理借鉴,也作为风险识别的一个方法。

四、风险分析方法的融合

全面风险管理的风险分析就是在识别出风险的基础上,对风险发生的原因、风险发生的可能性以及风险发生后的影响进行甄别与描述。这一过程与内部控制基本是一致的。

内部控制在查找出缺陷的基础上也要对缺陷可能导致的风险进行分析与评价。两者的分析方法没有本质区别,因此完全可以合并融合。

五、评价标准的融合

在全面风险管理中,通过风险识别、风险分析后,依据事前制定的风险评估标准,对风险进行评估。评估是通过对风险发生的可能性和风险发生后的影响程度分别打分(1-5份),然后将这两个分值相乘所得的积作为对某一风险的评估值。而内部控制管理中,通过识别缺陷、分析缺陷后,依据事先制定的标准,根据缺陷的风险发生后的影响,分为重大缺陷、重要缺陷和一般缺陷。由于内部控制对于缺陷的评价仅限于影响程度层面,而且影响程度的评价与风险影响程度的评价维度基本一致,因此,可以将内部控制对缺陷的评价标准纳入风险评估标准中的风险发生后的影响程度这一维度中,并根据企业的实际情况对风险评估标准进行适当修改,以便可以充分反映出内部控制评价的要求。这样就可以实现全面风险管理与内部控制的评价标准的融合。

六、风险应对方案的融合

在全面风险管理中,对风险评估结束后,根据风险评估值的大小排序,企业选择其中重大、重要风险进行重点管控。对重大、重要风险的管控是通过制定相应的风险应对方案来实现的。应对方案包括制度、流程保障以及针对风险特性所制定的一系列措施。

在内部控制管理中,对缺陷评价后,无论缺陷重要与否,都应当制定措施、完善流程以达到最大限度地控制风险发生。

内部控制所采用的通过对流程梳理完善以达到控制风险的方法,其实也是全面风险管理中的重要方法之一,可以完全融入全面风险管理之中,即在风险应对方案中要求必须对相应的控制流程进行分析评估,对有缺陷的流程进行完善,以确保有效控制风险的发生。

七、体系的融合

所谓体系的融合就是要把现在的两个管理体系有机地融合在一起,包括组织体系、管理方法、管理语言、评价标准等,统一为一项管理,并能兼顾原来两个体系各自的优点。

通过对上述六个方面的分析,可以看出在全面风险管理与内部控制体系融合中采用吸收融合法可以满足原来两个体系的管控功能,即以风险管理体系为主,通过统一评价标准、统一语言、合并组织体系、融合识别方法、融合分析方法、融合评价方法和融合应对方案等措施,丰富和完善全面风险管理体系,取消内部控制管理体系。重点在评价标准修订、识别风险环节和风险应对环节充分吸收和兼顾内部控制管理的方式、方法,就能使原来的两个体系有机融合。

融合后对体系运行情况的审计评价,则由原来对两个体系的评价改为对一个体系的评价,评价方法不变。

八、融合前后的流程示意图对比

九、结语

篇14

油田中心处理站在施工过程中的安全风险具有以下特点:

1.风险种类多。油田中心处理站施工过程复杂、工序多,几乎涵盖了所有的建筑安装行业风险,主要风险包括:大型吊装、高处作业、受限空间、临时用电、挖掘作业等。

2.作业环境影响大。在不同的作业环境下,同种作业的风险危害程度差别很大。同种作业,分别在地面上、管架上、罐体内进行,其危害因素构成和风险等级有很大的区别。

3.交叉作业多。油田中心处理站项目的施工活动集中,投入的人力、物力大,涉及的专业多,在时间和空间上深度交叉,增加了安全管理和协调的难度。

4.自然环境增加安全风险。目前中国的大多数海外石油项目分布在自然环境恶劣的国家,比如非洲和中东地区夏季气温常常高于50℃,对员工健康和安全造成了很大威胁。

二、安全管理策略和措施

油田中心处理站项目的施工特点及海外环境的制约,对项目的安全管理提出了很高的要求和挑战。作为EPC总包商,要充分发挥其资源优势和总体控制能力,前移管理端口,提前干预,具体措施如下:

1.通过HSE管理体系建设带动各项安全工作的开展要以HSE管理体系建设为主线,通过分解体系要素,落实各级安全生产责任,完善各项管理制度和操作程序,逐渐实现安全管理的制度化和程序化。按照“PDCA”(计划-实施-检查-整改)管理模式,持续改进现场的HSE表现。加强“有感领导”,营造全员参与安全生产的氛围。

2.动态管理安全风险风险管理是施工现场安全管理的基础,所有安全措施的制定都应建立在危害识别和风险评估的基础上。要针对施工活动的复杂性和风险变化快的特点,对风险进行动态管理。既要对项目的整体风险进行评估,找出重大风险加以控制,还要加强每个阶段、每个施工活动、每个岗位的风险评估,特别是当作业环境发生变化时,应及时进行危害识别和风险评估,并据此制定相应的控制措施。

3.提前干预,从源头消除不安全因素海外项目的很多安全问题发生在施工现场,但问题的根源却在于施工组织和施工准备。针对海外项目安全管理中常见问题,提前干预,防患于未然,重点做好以下工作:

1).做好分包商安全设备设施的审核。总包商要根据工程总量,结合项目工期等加权因素,对分包商安全设备设施的数量进行评估,对于安全设备设施严重不足的,通过合同手段对其提出要求,促其整改,确保安全设备设施数量充足。对于脚手架等影响较大的安全设备设施,要提前发运,为现场施工做好准备。

2).做好关键岗位人员的审核。总包商应建立分包商关键岗位人员的审核机制。审核对象包括分包商的安全主管领导、安全人员、特种作业人员、作业队长和班组长,通过审核确保关键岗位人员配置齐全,具备基本的安全素质。对于不符合要求的人员不允许办理出国动迁手续。

4.明确总分包商安全管理界面通过合同化管理,规范分包商的安全生产行为。总包商与分包商签订《安全生产合同》,明确总分双方的安全生产责任和义务。

5.科学实施HSE培训培训是快速提高人员安全素质的有效途径。在HSE培训方面,应做好以下三个方面的工作:

1).识别培训需求,针对性开展培训。通过员工的HSE表现、违章数据分析等方式,识别出不同人群的HSE需求,建立培训矩阵,针对性地开展培训,提高培训质量。

2).强化基层培训。安全管理的重点在操作层,操作层的重点在班组。要积极开展班组安全操作规程、岗位危害识别培训,不断提高基层员工的风险识别能力和安全操作技能。

3).培训方式要多样化。现场HSE培训不仅包括课堂培训,还应根据现场实际拓展培训形式,如专题培训、班前会、案例教育等。

三、结语