在線客服

風險評價的定義實用13篇

時間:2023-06-21 09:13:25

引論:我們為您整理了13篇風險評價的定義范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。

風險評價的定義

篇1

對于消費者來說,裝修費其實蠻高的,作為渠道商我也覺得有點高。但是怎么把這個費用降下來,可能大家也在思考,站在各自的利益角度,可能工廠、渠道商、賣場,裝飾公司都沒有覺得自己掙的多。就我們公司的數據而言,現在裝修費用在流通環節里面占了差不多15個百分點。這十幾個點根本裝不到兜里的,全部消耗掉了。賣場的租金,包括街邊店又占十二三個點,我相信像我們經營的規模是比較大的,我們的租金和銷售額比例應該還是低的,很多小品類的品牌,租金占銷售費用的20%,可能還有25%。人工費差不多要十幾個點,僅僅這三項費用,就接近40%,這是我們現實的渠道費用,這個費用是需要消費者買單的。

我拜訪過酷家網,覺得互聯網技術確實解決了我們很多問題。過去做展廳就是要讓人們看見你的東西好不好,效果我喜歡不喜歡。其實目前的互聯網技術,陳航已經演示了,未來能解決這種問題的公司會有很多。大家不要有平臺恐懼,大家現在最擔心會不會出現一個恐龍出來?其實越成熟的東西越廉價,現在互聯網技術把我們要裝成什么效果,已經提前模擬出來了,你還需要看樣板間嗎?

篇2

 

風險管理是組織管理活動的一部分,其管理的主要對象就是風險。在GB/T 23694—2013 / ISO Guide 73:2009《風險管理 術語》中曾經指出,風險管理由一系列的活動組成,這些活動包括了標識、評價、處理和可能影響組織正常運行事件的整個過程,其準確的定義為:風險管理(risk management)是指在風險方面,指導和控制組織的協調活動。

 

與風險管理定義密切相關的,還有“風險管理框架”和“風險管理過程”兩個詞匯。

 

風險管理框架(risk management framework)是指為設計、執行、監督、評審和持續改進整個組織的風險管理提供基礎和組織安排的要素集合。在GB/T 23694—2013 / ISO Guide 73:2009原文中給了三個有用的注解,分別為:風險管理框架是要素集合,這個框架并不是單獨存在的,這就體現了風險的特點之一,就是一系列的“點”,這些點是要被嵌入(be embedded)。特別值得指出的是,校準(align))、整合(integrate)和嵌入(embed)是信息管理安全領域,也是整個管理學領域的常見詞匯。其中,在戰略層面一般強調校準,即無論是信息安全的戰略還是信息系統的戰略,都應該與組織的整體戰略保持一致。在更細的策略或流程層次,則強調整合或嵌入。例如,已經有人力資源的管理規程,需要嵌入安全管理的部分,或者已經有事件管理規程,將其與信息安全事件管理進行整合??傊?,校準、整合和嵌入是值得深入研究的三種方法。

 

風險管理過程強調的是系統化的策略、程序和方法。這三者關系如圖1所示。

 

風險管理過程才體現了信息安全應該如何做(how)的問題。

 

嚴格講,風險管理不僅僅是過程,是一系列的活動。因此,在下文的圖3中,我們特別指出: 風險管理的階段劃分僅作示意。

 

2 風險評估及其過程

 

在GB/T 23694—2013 / ISO Guide 73:2009中,風險評估并不是作為一個單獨的過程定義的。其中定義為:風險評估(risk assessment)包括風險識別、風險分析和風險評價的全過程。

 

風險評估的過程在GB/T 23694—2009 / ISO/IEC Guide 73:2002中雖然也是類似的定義,但是當時并沒有單獨把“風險識別”作為一個單獨的階段。或者說,在當時的定義中,“風險識別”是作為“風險分析”的一個階段而出現的,詳細定義為:風險評估包括風險分析和風險評價在內的全過程。

 

為了更好地理解其中的變化,我們在表1中給出了風險評估包括的階段的術語定義。

 

無論如何劃分,風險評估都要完成下面這些活動:

 

在上述三個步驟中,步驟一與步驟二較為通用,或者說,截至到風險分析階段,我們需要確定風險的等級,這都可以按照通用的標準或方法提前定義好。步驟三則不同,這個步驟需要結合組織自己定義的風險準則。

 

3 區分風險評估與風險管理

 

我們可以簡單地認為,風險評估是風險管理的一個階段,只是在更大的風險管理流程中的一個評估風險的階段。如果把風險管理理解成一個“對癥下藥”的過程,那么風險評估就是其中的“對癥”過程,只是找到問題所在,并沒有義務解決。而風險管理是在整個組織內把風險降低到可接受水平的整個過程。主要階段包括風險評估和風險應對(risk treatment) )。

 

風險管理是一個持續循環,不斷上升的過程,它被定義為一個持續的周期,每隔一個階段就開始新的循環,這些循環要貫穿組織的始終,是組織管理的一部分。風險評估則更像“搞運動”,其一般按照一定的時間間隔進行,但是如果發生組織業務變化、出理新的漏洞或基礎機構變化等,都可能啟動新的風險評估過程。

 

風險管理的循環過程不是在原地踏步的,它的每一次新循環都應該上一個新的臺階,呈螺旋上升的形狀。如圖3所示。

 

這種臺階或者檔次的上升的來源就是組織定期或臨時啟動的風險評估,在每一次風險評估中都會發現潛在的問題,并在接下來的風險應對過程中加以解決,從而使組織管理風險的能力得到提升。

 

4 風險應對概念解析

 

無論風險評估步驟進行得多么完美,都只是找到了問題,而解決問題應該是組織的最終目的。風險應對的步驟就是評估、選擇并且執行這些改進措施的過程。

 

風險應對(risk treatment)是指處理8)風險的過程。在GB/T 23694—2013 / ISO Guide 73:2009中,對這個定義也有詳細的注解,包括:

 

篇3

制度基礎審計是以評價被審計單位內部控制系統為導向的審計模式。它從檢查被審計單位內部控制系統入手,要求注冊會計師在對內部控制進行全面了解、研究和評價的基礎上確定實質性測試的性質、時間和范圍,收集審計證據,形成審計意見。

基于對制度基礎審計的認識,國內外審計職業界對審計風險的理解總的來說都認為審計風險問題實際上是一個審計質量問題,是指注冊會計師發表不恰當審計意見的風險。所不同的是,美國注冊會計師協會(AICPA)定義審計風險時加入了“無意地”一詞,這就意味著它把注冊會計師有意發表錯誤意見視為舞弊排除在審計風險之外;而中國審計準則和國際審計準則沒有提及有意或無意的問題,也就意味著“有意”“無意”地發表審計意見的可能性均涵蓋在審計風險的定義范圍內。

2、審計風險模型

盡管上述三方對審計風險定義的表述有所不同,但中國審計準則和國際審計準則對外公布的審計風險模型卻與AICPA的一致,都為:審計風險(AR)=固有風險(IR)*控制風險(CR)*檢查風險(DR)。其中,固有風險是指假定不存在相關內部控制時,某一賬戶或交易類別單獨或連同其他賬戶或交易類別產生重大錯報或漏報的可能性。控制風險是指某一賬戶或交易類別單獨或連同其他賬戶或交易類別產生重大錯報或漏報,而未被內部控制防止、發現或糾正的可能性。檢查風險是指某一賬戶或交易類別單獨或連同其他賬戶或交易類別產生重大錯報或漏報,而未被實質性測試防止、發現或糾正的可能性。

3、制度基礎審計模式下的審計風險及其模型的缺陷

經過深入研究發現,上述審計風險定義及模型存在許多缺陷:

第一,審計風險定義過于狹隘,它忽略了這樣一個事實:即使財務報表沒有重大錯誤,注冊會計師也會因各種原因而發表不恰當的審計意見的可能性。

第二,該審計風險模型僅僅從審計過程上把審計風險劃分為固有風險、控制風險和檢查風險,未能從審計過程之外分析審計風險產生的深層次原因。而實際上,審計風險是審計內環境和外環境共同作用的結果。

第三,最令人遺憾的是,上述審計風險模型沒有包括被審計單位的經營風險。事實上,經營風險已實實在在危及審計職業界,如安然事件的爆發導致了有百年歷史的會計公司巨人之一的安達信的破產。這有兩個原因:一是因為現代審計廣泛采用抽樣技術,存在審計不能發現重大錯誤的風險。二是因為隨著現代經濟的迅速發展,企業的規模越來越大,經營風險不斷加大,經營失敗的可能性也逐漸加大。當某一公司破產或無力償還債務時,報表使用者通常會指責審計失敗。

第四,制度基礎審計方法對固有風險的評價流于空泛。對于固有風險,它體現出的是被審計單位會計報表中實際存在的錯報和漏報,在注冊會計師審計過程中它已經成為事實,注冊會計師無法改變它。在審計實踐中,從穩健角度出發,一般假定其水平為100%。所以,該模型實際上就沒有考慮固有風險的實際情況,從而使注冊會計師對固有風險的評估就常常流于形式。

第五,制度基礎審計模式下的風險概念體系不一致。上述三方公布的審計風險不盡相同,但審計風險模型卻完全相同,這在邏輯上是無法成立的。

二、風險基礎審計模式下的審計風險定義及其模型

風險基礎審計是在制度基礎審計的基礎上發展起來的,代表了現代審計方法發展的最新趨勢。它以被審計單位的風險評估為基礎,綜合分析影響被審計單位經濟活動的各種風險因素,并根據量化的風險水平確定實施審計的范圍和重點,進而實施實質性測試的一種審計方法。

這里我們有必要重新界定風險基礎審計模式下審計風險的定義及其模型。

1、經營風險與廣義的審計風險

目前,經營風險有兩個含義,一是企業沒有達到預期經營目標的可能性;二是指企業在經營過程中所面臨的種種不確定性。美國審計學家阿倫斯將經營風險定義為“存在企業由于經濟或營業條件,如經濟蕭條、決策失誤或同行業之間意想不到的競爭等,而無力歸還借款或無法達到投資人期望的風險”。國內有的專家將經營風險定義為“預期收益減少與損失發生的概率”。本文贊同阿倫斯的定義,即經營風險是指企業沒有達到預期經營目標的可能性。

2、重識固定風險

與制度基礎審計對固有風險的評估流于形式不同,風險基礎審計非常重視對被審計單位固有風險的評價。它要求將了解被審計單位情況看作是減少審計風險的重要組成部分,要求注冊會計師通過了解,形成對被審計單位固有風險的評價。這種評價就是分析發現企業的戰略風險、經營風險區域,然后測試評價風險區域的內部控制有效性,并重點審查這些風險區域。風險基礎審計方法雖然也考慮內部控制制度的作用,但它將關注的重點首先放在對財務報表更有影響的企業經營目標、戰略措施和經營活動的分析之上,以求從企業的經營環境和經營活動的整體上來把握財務報表的固有風險。因為企業如果經營目標、發展戰略有問題,經營活動出現嚴重困難時,管理層就會有嚴重的財務報表作假動機,這時內部控制無法起作用。從這個角度出發,我們可以認為:固有風險(IR)=戰略風險(SR)*經營風險(BR)。在這里,我們姑且仍用固有風險這一概念,但其內涵與制度基礎審計時的固有風險的內涵大不相同。此時審計風險控制的關注點已經落到了對固有風險的分析評價上。

由于風險基礎審計和制度基礎審計在進行符合性測試和實質性測試時,審計程序基本相同,故在兩種審計模式下控制風險和檢查風險是一樣的。

3、訴訟風險

審計訴訟風險是指在控制風險和檢查風險之外,會計師事務所和注冊會計師所面臨的可能使其遭受損失的可能性。審計風險模型必須考慮訴訟風險,原因有三:

第一,廣義審計風險必須與損失相聯系。發表不恰當的審計意見和經營風險只是產生審計風險的一個因素,只能算是一個潛在的審計風險。也就是說,發表不恰當的審計意見和經營風險只是審計風險產生的一個前提條件,而不是充分條件。因為如果沒有人追究審計的責任,注冊會計師無須承擔任何損失。即使他們發表了不恰當的審計意見,審計風險也為零。

第二,這里的“損失”,不僅包括現實經濟損失,也包括潛在經濟損失;不僅包括可以計量的經濟損失,也包括不可計量的精神損失。潛在的經濟損失包括:注冊會計師及其所在會計師事務所的信譽受到損害而帶來的對未來收益的影響;精神損失包括:會計師事務所被撤消,注冊會計師受到行政處分或刑事處罰。

第三,風險基礎審計產生的初衷即使注冊會計師面對“訴訟爆炸”危機,為了減少訴訟風險而采用的一種新的審計方法。訴訟風險應該包含在審計風險模型中也就理所當然。

4、新的審計風險模型

基于以上的分析,我們可以重建風險基礎審計模式下的審計風險模型,即審計風險(AR)=戰略風險(SR)*經營風險(BR)*控制風險(CR)*檢查風險(DR)*訴訟風險(LR)。

與制度基礎審計模式下的風險模型相比,上述風險模型有如下的優點:

第一,保證了風險基礎審計模式下的風險概念體系的一致性。經營風險是風險基礎審計的核心,它既體現在審計風險的定義中,又包括于審計風險模型中,保證了風險概念體系的前后連貫性。

篇4

1.1 效益與風險

簡而言之,效益反映一種產品降低患一種疾病的風險的程度。在藥物經濟學的效益風險評價中,效益是指由該項目或干預措施帶來的產出價值[2],這一產出價值的單位是貨幣。效益風險評價中的效益不同于成本效益中的效益。效益在這里指的是使用某種藥品給個體或群體帶來的正面結果。它不僅包括“效益”,還包括“期望的效益”?!捌谕男б妗庇行╊愃朴凇靶Ч报D―臨床健康結果,可以被直接量化,并且通常包括對獲得效益可能性的估計。在效益風險評價早期,效益主要考慮的是“期望的效益”。在1997年國際醫學科學組織季員會(CIOMS)的研究報告中,“效益”并不包括對生命質量等經濟學角度的正面影響。但是近年來在越來越多的效益風險研究中,對效益的定義包括臨床增進健康數據、健康相關的生命質量,以及對于個體或群體的經濟利益。

從流行病學的角度,對藥物風險的簡要、標準的定義是藥物的負面情況將發生的可能性。一些對風險的定義試圖從幾率、強度和時間這三維來描述風險,即不良事件或不利后果發生的可能性,特定群體中的個體的健康危害結果的嚴重程度,以及健康危害結果可能持續的時間。另外,由于同其他產品相比, 藥品具有明顯的特殊性, 即與生命、健康的關聯性及個體化使用的特異性,藥品風險顯得更為復雜。而這種個人風險程度的確定會因藥源性損害的嚴重程度、患者的特異質和對公共衛生的影響而變化。因此, 從社會成本的角度考慮藥品風險,還應包括個人和人群水平的信息, 以保障個體和群體用藥的收益超過最大邊際風險。

1.2 效益風險評價和風險效益管理

與效益風險評價相近的一個概念是風險效益管理(risk-benefit management,RBM),有時也簡稱為風險管理。為進行風險效益管理的研究,國際藥物經濟學與結果研究協會(ISPOR)成立了風險管理特別興趣組(Risk Management Special Interest Group,RM)。一些國家(如美國)的藥品監管機構,也設立了藥品風險評價部門,對所有上市藥品安全信息加以監測和評價。不同的機構對所進行的風險效益管理有類似的定義。RM認為風險效益管理是評估和開發某一情況下效益風險管理策略的過程。在衛生保健領域,它是在權衡醫療干預的潛在效益時,主動并互動地估量和分析風險的過程。風險效益管理包括分析醫療干預的效果,以及識別任何不良的副作用。歐盟的藥品風險管理是一系列的預警和干預活動,被設計用于確認、描述和阻止或最小化藥品的相關風險, 包括風險交流和風險最小化干預活動的有效性評估。FDA 將藥品風險管理解釋為在藥品生命周期內, 一個反復持續的管理過程被設計用于優化藥品的風險/ 效益比。

效益風險評價和風險效益管理這兩個研究有很多共同之處。如兩者都從效益和風險兩方面評價藥品,研究都包括效益和風險因素的識別、分析、報告、決策全過程。細究兩者區別,效益風險評價更偏重風險效益平衡的技術問題,而風險效益管理傾向于效益風險評價的公共政策管理和運用。由于效益風險評價還不是一個完善的方法,有很多未達成一致的領域。所以一般情況下,我們在研究效益風險評價中也應考慮風險效益管理的研究。

2 研究范疇

在理想情況下,根據效益與風險的不同組合,藥品可能處于4類不同區域:A區域,最壞的平衡(高風險,低收益);B區域(較高風險,較低收益),限制條件下使用,可能需要深入研究;C區域(較低風險,較高收益),可接受的平衡;D區域,最理想的平衡(低風險,高收益)。在極限區域A和D中,評價結果是顯而易見的。但是在極限區域中間有很多不確定的因素,導致區域B和C的位置模糊,且區域B的限制條件難以確定,使得制定效益風險決策會顯得復雜和困難。因此,區域B和C就是效益風險評價的研究范疇。

3 研究分類

效益風險評價可分成正規的(定量的)、比較性的以及非正規(定性的)。

3.1 正規的評價(定量分析)

正規的效益風險分析運用科學的推理過程,以一個數值表達式為基礎,定量地比較效益風險。近年來,正規的效益風險分析表現為基于成本效果、成本效益和成本效用的研究,以及meta分析和決策理論工具的定量模型。

例如,運用三三原則分級體系的思路,將療效或不良反應的嚴重程度和持續時間按其高、低分別給予30~10 的分值,分別求出治愈率(發生率)、嚴重程度和持續時間的乘積作為效益(B)和風險(R)的量度,然后計算出效益/風險比值(B/R)。

計算公式:

效益(B)=治愈率×疾病嚴重程度×疾病持續時間

風險(R)=不良反應發生率×不良反應嚴重程度×不良反應持續時間

上例中的方法通過確定3個關鍵指標,將不同藥品的效益和風險聯系起來,適宜用于2種或2種以上藥品的B/R之間的比較,但并不是所有的效益風險定量分析都能用于2種以上效益風險的比較。對于很多效益風險評估而言,效益和風險都不易進行量化對比。例如,某一藥物能夠緩解一種普通的、自限的疾病癥狀,但是同時也會伴隨一種罕見的、威脅生命的副作用的風險。在這種情況下,治愈率(發生率)、嚴重程度和持續時間這三者是否能賦予一致的權重值得考慮。因此,即使是定量分析,最終的評價很大程度上也是定性的,甚至稍微有些主觀。并且對于風險的承受度,與能夠觀察到的臨床獲益程度直接相關。

3.2 非正規的評價(描述性評價)

非正規的效益風險分析是一種歸納或者主觀分析過程,依靠個人判斷對治療選項相關數據作出評估。

例如,先分別從藥品的利益、風險兩方面進行定性分析,然后把兩方面的因素綜合在一起進行比較,得出利弊分析結論。

對于藥品效益方面的分析,首先應考慮藥品所治疾病的嚴重程度,如疾病的發生率、死亡率、持續時間、高危人群等,同時還應考慮:該藥品是治療急性疾病、慢性疾病,還是用來預防疾病的發生、發展或復發,是針對病因進行治療,還是僅用于緩解癥狀或提高生活質量,是否還有其它替代治療方法;如果不使用該藥品的后果、對疾病控制或治愈的程度如何?有無可測量的客觀證據指標?有無與其它治療方法效果比較的資料?

對藥品風險的評價,應從藥品不良反應的嚴重程度、持續時間、發生率等方面考慮。與效益分析不同,風險通常是由許多不良反應組成的,并且不同的不良反應往往因其表達指標和單位不同而難以比較。在進行風險分析時應注意分析風險信號的證據強度和具體特征,如時間聯系、發生率等,還應注意分析其它不良反應的情況,注意評價不良反應的可預見性、可預防性和可逆性。另外,有時同一種藥物的不同劑型、不同適應證或不同用藥人群可能構成不同的風險范圍。

在非正規的分析中,包括不同的道德觀念和其他難以確定的因素在內,認知和醫療實踐的標準都可以影響對效益風險的判斷。由于許多效益風險決策都建立在相對而言不正規的證據之上,正是這些不正規的證據使得學界認為“效益風險評價總是基于人們不可靠的判斷而形成的”。即使就同樣的效益和風險描述信息,也難以達成統一的效益風險評價結果。

3.3 比較性的評價(半定量評價)

比較性的評價方法,是將考察中的產品跟相似產品進行定性對比,來測定效益和風險是否看起來相似。

例如,將藥品的效益和風險以所治療疾病的性質、藥品療效、不良反應這3種因素作為代表,分別按照其嚴重程度、持續時間和發生率的高低給予3~1 分,再將分值相加得到每種因素的總分值,可以大致反映出藥品的效益/風險情況。這種方法尤其適合用于2種或2種以上同類藥品之間的比較,由于該方法是基于一組個人的主觀判斷,所以不會得出一個準確的數據,結果也許不一致。

4 研究意義

在藥品上市后評價中,藥品效益風險評價有著重要意義。由于上市前研究的局限性和臨床不合理用藥的客觀存在,對上市后藥品進行科學再評價極為重要。上市后評價主要是就安全性、有效性和經濟性進行評價。這3方面評價在藥品上市后評價中處于不同的地位。無論是在美國等發達國家,還是在中國,藥品監管機構都始終將安全性評價和療效評價放在上市后評價的首位。藥物經濟學討論的效益風險評價,是對于安全性和有效性的綜合評價,實際上是對藥物效益和風險比不斷認識的一個動態過程。如果某種藥物的效益大于風險,則可批準上市或繼續保留在市場;一旦風險大于效益,而且風險不能得到有效的控制,則應撤市。

在我國藥品管理現階段,完善效益風險評價的研究的意義在于:為藥品監督管理部門制定相關藥品風險管理政策提供依據;為社會保障部門降低不良反應產生的影響和費用提供途徑,并為城鎮居民醫療保險目錄的修訂提出參考依據;為醫療衛生部門指導和規范臨床合理用藥,降低醫療風險提供參考,并為國家基本藥物目錄修訂提出參考依據。

參考文獻

篇5

在工程項目的風險評價中有多種評價模式,這些評價方法所選擇的指標多為期望值。但以期望值作為評價指標的主要缺點是沒有充分考慮到項目決策者的決策偏好和承擔風險的能力。效用理論作為一種投資項目的一種評價方式,其主要的決策依據和標準是效用最大化原則,并且將決策者的主觀決策偏好引入決策中。這一決策方法的理論依據是現代效用理論。在這一理論體系中,把某個具有不確定的建議或決策的效用定義為在偶然事件中獲得標準價值的概率相等。同時引入平衡點的概念,即期望得到某種預期值和接受偶然事件的態度無差異的某個數值,并把預期值和平衡點之間的差異定義為風險費用。效用值具有無量綱的特點,一般將決策者最滿意的方案效用值定義1,最不滿意的方案效用值定義0。即以[0,1]區間來描述和量化對各類待決策方案的效用值。

2、風險效率

由于外界環境可能隨時發生變化,因此項目的投資決策會不可避免的面臨一定程度風險。為便于研究,一般都把這類風險轉化為實際成本的增加來進行量化,即認為未來可能發生的風險事件都可以用追加成本的方式來加以克服。在這種思路下,可將項目的投資風險定義為發生超出能接受的預期成本超支的可能性,與之對應的概率即為項目投資的風險水平。

因此在考慮項目投資的風險評價時,就需要從降低預期成本和降低風險水平這兩個角度來進行分析。顯然,在預期投入成本為定值的前提下,應當使得該項目的風險水平最低;反之,在風險水平確定后,可確定最優的投資計劃所需的預期成本。在這二者之間就存在一個最優組合的問題,實現風險和投資成本同時得到控制,即體現項目投資的效率。這個效率將其定義為風險效率。

3、項目效用的確定

根據前文對于效用的定義,顯然效用可繪制成0-1之間變化的曲線的形式,簡稱為效用曲線。確定效用曲線的方法主要有兩種:直接提問法和對比提問法。直接提問法是通過讓決策者回答和項目有關的一系列問題,并對這些問題做出主觀性的量化,由決策者繪制出讓自己滿意的效用曲線。對比提問法則是通過讓決策者對不同方案間的兩兩比較來確定在何種情況之下這兩類方案具有等效性。當存在多個待考慮因素時,則是固定其他因素,只考慮一個可變因素,以提問的方式來確定該可變因素的效用曲線。在實際應用中,直接提問法因主觀性太強而回答的結果往往比較模糊,因此采用較少,更多的是利用對比提問法。

4、0-1規劃模型

從本質上看,0-1規劃屬于整數規劃的范疇。在實際應用中,0-1規劃既可用于單指標的項目投資決策,也可用于多指標的項目投資決策。這一決策模型的基本步驟和必要的假定為:

(1)同時存在個待決策的投資項目,相應的決策向量為。(2)各待決策的投資項目的效益向量為,其中 為第 個方案的效益。(3)確定各投資項目在資源使用方面的約束條件向量。(4)確定各待決策項目所消耗的資源向量,以矩陣表示。(5)在需要同時進行考慮的 個指標中,有 個屬于越大越優型,其他為越小越優型。(6)令第 個待決策項目的第 個指標的效益為,并將各個待決策方案指標進行歸一化后再帶入模型進行計算。(7)設定各參考指標的權重向量。(8)決策模型:

如在上式中加入約束條件,即可實現從多指標決策模型切換到單指標決策模型。

5、風險與效益綜合平衡模型

上一節的模型中考慮的因素為經濟利益,而在實際操作中還面臨著眾多不可確知的隨機因素,并帶來一定的風險。因此在制定投資決策時還需要將風險因素納入到決策環節中,同時兼顧到投資項目所可能產生的經濟效益和與之伴隨的風險,力求在二者之間達到一種最佳的平衡。先假定以項目的預期投入成本和伴隨的風險的度量作為投資決策的控制性因素。依據風險效率曲線,在追加預期投入成本的前提下,投資項目的風險水平會有所降低。這樣就可能存在兩種具有代表性的投資方案,即預期投入最低,但風險很高方案和預期成本最高但風險水平很低的方案。投資者必然會依據企業對風險的承受能力選擇在這兩個方案之間的某種折中投資方案,從而出于一種本能在風險和效益之間尋求一種平衡。從理論上講,當風險效率曲線是可靠的前提下,可以通過理論求解的方法以精確的方式尋找到一種最優的風險效率組合投資方案。而實際上,由于受到投資者承受風險的能力的限制,只能選擇一種最接近最優解的投資方案。因此投資項目未來的凈收益和風險效用是緊密聯系的,投資者在風險和效益之間做出的選擇實質上反應的是在同等條件下決策者對風險的認知和承受能力。若將風險效用作為正向指標,則可把它作為投資項目利益最大化的一個控制因素。具體講,可建立如下數學模型:

(1)設投資者擁有的資金總量為 ,各待決策的可行投資方案和利潤分別為和。(2)以各可行決策方案中成本最低者作為基準成本,其他投資方案超出該基準成本的部分和風險成本之和為,其下限為,總成,可計算各投資項目的回報率。(3)令風險效用函數和各投資項目的預期效用分別為和,在此基礎上以投資回報率和風險效率均取得最優作為優化目標,建立如下模型:

6算例

本例中有三個可供決策的投資項目,各項目的控制參數分別如下。1項目A 基本成本100萬元,風險概率0.2,風險結果50萬元,預期總利潤138萬元。2項目B 基本成本105萬元,風險概率0.2,風險結果30萬元,預期總利潤130萬元。3項目C 基本成本110萬元,風險概率0.2,風險結果10萬元,預期總利潤135萬元。效用函數為,此處 為投資者為降低成本而投入的費用,表示風險容忍度,此處取為25萬元。

依據效用理論并結合決策樹法,可得到如圖1的決策結果:

由圖1可見,項目C的預期效用最大。再利用效用函數可計算項目C成本與風險的平衡點為12.35萬元,也優于其他投資方案(項目A的平衡點為20.58萬元,項目B的平衡點為14.53萬元)。因此應當選擇項目C作為投資方案。

再用風險與效益綜合平衡模型來求解該問題??傻?,,。將以上數據帶入模型,可解得如下結果:

7、結語

項目投資決策是一項復雜的過程,受到很多實際因素的影響。在決策中引入風險因素是讓投資決策更加合理的必然手段。本文引入效用理論的基礎上,構建了0-1規劃模型和考慮風險與效益的綜合平衡模型,給出的實例概要說明了該方法的使用。

篇6

關鍵詞 :全面風險管理;內部控制;融合

中圖分類號:F275文獻標志碼:A文章編號:1000-8772(2015)10-0179-02

收稿日期:2015-03-20

作者簡介:曹江濤(1976-)男,漢,陜西咸陽人,大學,會計師,陜西華燕航空儀表有限公司企業管理部部長,研究方向:企業管理。

全面風險管理是國務院國資委提出并推行的。全面風險管理是通過一定的方式識別出企業所有的風險,然后依據一定的標準對識別出的風險進行排序,尋找出企業應當重點關注的風險,再根據風險的屬性采取相應的應對方案予以防范風險。其中絕大多數風險都是要依靠應對方案對風險進行控制,預防其發生或者將其控制在最小范圍。

內部控制是財政部提出并推行的。內部控制是依據一定的標準對企業的流程進行審理,找出缺陷然后改進缺陷,以防止風險的發生。

可以看出全面風險管理與內部控制在管控思想理念、方式方法等方面是相似或相同的,但是在管理推進過程中,全面風險管理與內部控制形成了各自的體系,并在企業中并行開展。這樣的做法在初期對于推動該兩項項管理活動有很大幫助,但是也造成了企業內部機構設置繁冗、業務交叉重復、推諉扯皮、資源浪費等問題的出現。因此,研究風險管理與內部控制的融合具有很現實的價值。

一、組織體系的融合

全面風險管理與內部控制在組織體系設計上無論是層級還是職能都基本一致,所以便于融合。

全面風險管理的組織機構設置為三級,分別是風險管理委員會、風險管理辦公室和部門風險管理小組(風險管理員)。其中,風險管理委員會是頂層決策機構,風險管理辦公室是組織推進管理單位,部門風險管理小組是具體執行單位。

內部控制組織結構設置也分為三級,分別是企業級的內部控制領導小組、內部控制管理辦公室和各部門內部控制管理員,其職能分別是決策、歸口管理和實施。

因此,組織機構的融合可以采取合并方式,以全面風險管理組織機構為主,風險管理辦公室在管理人員上要兼顧內部控制管理的專業人員。

二、管理語言的融合統一

在兩個體系融合過程中建立統一的風險控制語言非常重要,有利于管理中信息的傳遞和管理行為的一致性,避免概念含糊不清導致的管理混亂。統一語言的原則是既可以保證語言的一致,也要保證兩個體系的全面融合,避免融合過程中失去內控的對風險管理的輔助優勢。

需要統一的語言首要的是對風險的名稱定義方式,全面風險管理與內部控制對風險名稱的定義辦法完全不同。在全面風險管理中,對具體風險事件的名稱沒有統一規范,均采取描述的方式表達,描述規則是風險事件的“表現+影響”。例如:“應收賬款超過訴訟時效導致無法收回”就是對應收賬款風險中的一項具體風險事件的描述。對二級風險名稱定義是按照業務類別定義的。例如財務風險可分為應收賬款風險、現金管理風險、現金流風險等等。對一級風險名稱的定義一般是按照風險的屬性定義的。例如:戰略風險、財務風險、市場風險、運營風險、法律風險等等。

在內部控制管理中,僅有缺陷的概念,而沒有風險的概念,但缺陷導致的結果就是風險。內部控制對缺陷的分類是與流程級別對應的,也就是說一級流程缺陷、二級流程缺陷的名稱定義方式是“流程名稱+缺陷”。例如采購缺陷、采購付款缺陷等。缺陷所導致的風險也沒有統一的命名方法,與風險管理一樣是采用“表現+影響”的描述方法。

通過上述分析我們發現,對于具體風險事件的命名方法全面風險管理與內部控制管理基本是一樣的。對于二級、一級風險(或者缺陷),全面風險管理與內部控制管理命名方法雖然不同,但全面風險管理一、二級風險包含了內部控制管理的一、二級缺陷,因此,在體系融合過程中,可以統一管理語言,即不再使用缺陷的概念,而統一使用全面風險管理的風險概念。

三、風險識別方法的融合

全面風險管理中,風險識別方法有初始信息識別法、分類識別法、頭腦風暴識別法、流程分析識別法、價值鏈分析識別法等。通過這些方法的綜合運用,識別出各業務單元、重要業務活動和重要業務流程中的風險。

內部控制識別缺陷(即風險)是通過對業務流程進行實際觀察和穿行測試的方法,測試流程是否可以滿足控制目標的方式來查找流程缺陷。內部控制識別缺陷的方法確定性很強,因此,該識別方法可以直接融入風險識別中來,為了管理中的語言統一,我們可以把內部控制的這種識別風險的方法命名為流程識別法。

這樣的融合既滿足了內部控制對風險的識別,也充實了全面風險管理對風險的識別方法。

除此之外內部控制還有通過不相容職務的識別來查找風險的方法。這個方法可以被風險管理借鑒,也作為風險識別的一個方法。

四、風險分析方法的融合

全面風險管理的風險分析就是在識別出風險的基礎上,對風險發生的原因、風險發生的可能性以及風險發生后的影響進行甄別與描述。這一過程與內部控制基本是一致的。

內部控制在查找出缺陷的基礎上也要對缺陷可能導致的風險進行分析與評價。兩者的分析方法沒有本質區別,因此完全可以合并融合。

五、評價標準的融合

在全面風險管理中,通過風險識別、風險分析后,依據事前制定的風險評估標準,對風險進行評估。評估是通過對風險發生的可能性和風險發生后的影響程度分別打分(1-5份),然后將這兩個分值相乘所得的積作為對某一風險的評估值。而內部控制管理中,通過識別缺陷、分析缺陷后,依據事先制定的標準,根據缺陷的風險發生后的影響,分為重大缺陷、重要缺陷和一般缺陷。由于內部控制對于缺陷的評價僅限于影響程度層面,而且影響程度的評價與風險影響程度的評價維度基本一致,因此,可以將內部控制對缺陷的評價標準納入風險評估標準中的風險發生后的影響程度這一維度中,并根據企業的實際情況對風險評估標準進行適當修改,以便可以充分反映出內部控制評價的要求。這樣就可以實現全面風險管理與內部控制的評價標準的融合。

六、風險應對方案的融合

在全面風險管理中,對風險評估結束后,根據風險評估值的大小排序,企業選擇其中重大、重要風險進行重點管控。對重大、重要風險的管控是通過制定相應的風險應對方案來實現的。應對方案包括制度、流程保障以及針對風險特性所制定的一系列措施。

在內部控制管理中,對缺陷評價后,無論缺陷重要與否,都應當制定措施、完善流程以達到最大限度地控制風險發生。

內部控制所采用的通過對流程梳理完善以達到控制風險的方法,其實也是全面風險管理中的重要方法之一,可以完全融入全面風險管理之中,即在風險應對方案中要求必須對相應的控制流程進行分析評估,對有缺陷的流程進行完善,以確保有效控制風險的發生。

七、體系的融合

所謂體系的融合就是要把現在的兩個管理體系有機地融合在一起,包括組織體系、管理方法、管理語言、評價標準等,統一為一項管理,并能兼顧原來兩個體系各自的優點。

通過對上述六個方面的分析,可以看出在全面風險管理與內部控制體系融合中采用吸收融合法可以滿足原來兩個體系的管控功能,即以風險管理體系為主,通過統一評價標準、統一語言、合并組織體系、融合識別方法、融合分析方法、融合評價方法和融合應對方案等措施,豐富和完善全面風險管理體系,取消內部控制管理體系。重點在評價標準修訂、識別風險環節和風險應對環節充分吸收和兼顧內部控制管理的方式、方法,就能使原來的兩個體系有機融合。

融合后對體系運行情況的審計評價,則由原來對兩個體系的評價改為對一個體系的評價,評價方法不變。

八、融合前后的流程示意圖對比

篇7

內部審計形成于20世紀20至30年代,其產生的真正動因是企業管理的需要。隨著社會的發展,企業管理內外部環境處于不斷的變化之中。在當前公司價值最大化的目標下,內部審計扮演怎樣的角色,其在公司治理中的功能如何,本文愿做一嘗試性探討。

一、內部審計的涵義及職能拓展

(一)內部審計的涵義

2001年內部審計師協會(IIA)對內部審計的定義為“內部審計是一種獨立、客觀的保證工作與咨詢活動,目的是為機構增加價值并提高機構的運作效率。它采取系統化、規范化的方法對風險管理、控制及治理程序進行評估和改善,從而幫助機構實現它的目標?!睂τ谶@個定義,我們可以從幾個方面來理解:首先,我們不難發現內部審計最終的目標是幫助企業實現其目標,而企業的目標就是增加價值,結合兩者,內部審計的最終目標就是為增加企業的價值而服務;其次,它所采用的手段主要是保證和咨詢,這里的保證服務是一種為了機構的風險管理、控制或治理過程進行獨立評價而客觀地審查證據的行為,而咨詢則是提供建議以及相關的客戶服務活動;再次,內部審計應以風險管理、內部控制系統、企業治理結構為工作范圍,用系統化、規范化的方法來評價和改進它們;最后,內部審計人員應該以獨立、客觀的工作態度完成其職責,其中獨立性要求內部審計在確定活動范圍、實施審計及報告審計時不應受到任何因素的干擾,客觀性要求內部審計師在執行審計工作時,對他們的工作結果秉持誠信的原則,不與任何方面達成重大質量妥協。

中國內部審計協會在參考了IIA定義后,結合我國的現實情況,于2003年在公布的《內部審計基本準則》中,將內部審計定義為“內部審計師在組織內部的一種獨立客觀的監督和評價活動,它通過審查和評價經營活動及內部控制的真實性、合法性和有效性來促進組織目標的實現。”這個定義明確了內部審計是由組織內設的機構所實施的一種獨立、客觀的活動,其目的是通過對組織的經營活動及內部控制的真實性、合法性和有效性進行審查和評價,使組織經營活動及內部控制中存在的問題得到認識和解決,從而促進組織目標的實現。中國內部審計協會的定義在結合我國實際情況基礎上提出,尤其進步意義,但是與IIA的發展相比,還是有局限性。尤其是面對全球化的影響,將內部審計主體封閉在一個組織內將難以滿足企業決策的信息需求。因此,筆者將按照IIA所提出的理念進行后續論述。

(二)內部審計的職能

在內部審計產生和發展早期,以查錯防弊為主的監督職能是其主要職能,但隨著社會經濟的發展和進步,以及內部審計所承擔的角色的增加,筆者認為,企業內部審計包括四個遞進的職能:監督、評價、控制和咨詢。

1.監督職能。內部審計首先是單位內部的一種經濟監督活動,那么監督職能也應是內部審計最基本的一項職能。監督職能是指對被審計對象的財務狀況等經濟活動進行檢查和評價,確定其會計資料是否正確、真實,反映的財務收支和經濟活動是否合法、合規,有無違法違紀和浪費行為,從而督促被審計對象遵守財經紀律,改進經營管理水平,提高經濟效益。

2.評價職能。評價職能是由經濟監督職能派生出來的另一種職能,包括評定和建議兩部分,也是內部審計的一項基本職能。通過內部審計可以全面了解部門、單位的真實的經營管理狀況,并以此來來評價經營決策、計劃、方案的合理性和可行性,評價其規章制度設置是否健全完善,是否正常運行,評價其經營管理水平及效益的優劣。

3.控制職能?,F代企業已越來越多元化,層級化,跨國公司業務遍布全球,企業經營管理中的風險隨之而增加,企業的高層管理人員不可能事無巨細地對每一項業務進行監督,必須委托一個獨立于被審計部門的單位進行控制,以保證企業目標的實現。內部審計因其受企業高層的直接領導,對公司的決策層負責,能夠站在企業發展的全局來分析和考慮問題,對企業經營活動的控制活動可以提供直接的技術支持,并檢查控制程度和效果,提出控制中存在的不足和問題。

4.咨詢職能。隨著現代企業制度的建立,企業ERP系統及會計電算化的普及,賬面資料的錯誤會越來越少,內部審計的工作重點必須從傳統的“查錯防弊”轉為內部的管理、決策服務,內部審計的職能作用也已從監督評價向咨詢方面延伸。另外,現代企業所面臨的環境復雜且多變,經營風險增加,市場競爭激烈,這些導致包括各管理者層尤其是高級管理層迫切地需要有人以“顧問”的身份,對其制定的目標、決策、計劃以及在經營過程中出現的錯誤和薄弱環節提出改進建議。內部審計人員熟悉企業整體情況,且獨立于公司的其他部門,使內部審計人員較其他部門更易于提出較全面、客觀、可行的建議。因此,內部審計人員承擔了專業的咨詢服務。咨詢職能更能適應內部審計在現代公司治理中的發展,促進內部審計價值增值。

二、內部審計在公司治理中的作用

(一)內部審計與內部控制

關于內部審計與內部控制的關系,審計學家錢伯斯認為,內部審計所擁有的一套管理理論需要以內部控制概念為中心。1977年美國的《國外反貪污行賄法》確立了內部審計在內部控制方面的法定職責。內部控制已成為現代內部審計的主要產物。審計學家布林克在回首IIA50年時指出,內部審計最應該關注的是“內部控制”。

根據《薩班斯-奧克斯利法案》框架中“監督”要素的要求,企業的監督可以分為持續性監督活動和內部審計定期的、相對獨立的評估兩部分。那么,可以將整個內部控制體系劃分為三個相對獨立的控制層次:第一個層次是經濟業務發生部門嚴格按照企業內部設計的要求,相互牽制開展業務活動,建立起第一道監控防線;第二個層次,經濟業務最終的流向都必將反映到財務報表中去,因此財務部門就要在事后建立起第二道監控防線;第三個層次,內部審計部門要建立起以查為主的監督防線,獨立地按照法人要求,有選擇地對內控的各方面行使檢查功能,發現管理流程中的不足和風險,提出改進措施,并能夠將這些評價結果反映到高層,高層同時也要賦權給內審部門督促改進措施的落實,促進內部控制體系建設趨于完善。對于風險較高的組織如金融機構來說,第三道防線更是必不可少。從監督職能來說,盡管內審監督檢查的頻率要比其他部門的自我監督檢查和財會部門的管理監督要低得多,但是內部審計部門的獨立性和在組織內應有的權威性,再加上直接由最高層領導,賦予該部門對內控具有再監督和再評價的特殊而又重要的職能。內部審計是企業內部控制的有效監督者,為了強化內部審計監察部門的監督職能,許多西方金融機構都成立了獨立于經營管理之外的內審稽核部門。

當然,從組織結構上看,內審檢查部門并非獨立于內部控制整體框架之外的,它也屬于控制的一部分,本身也需要對自身的各種內外部風險進行管理,和經營管理部門一樣,也要采取自我控制措施,須注意自我檢查和批評。

(二)內部審計與風險管理

關于風險管理,比較有代表性的說法是威廉與漢斯在1964年出版的《風險管理與保險》中所提出的,他們認為風險管理是通過對風險的識別、衡量和控制,以最低的成本使風險導致的各種損失減到最小程度的管理方法。從這個定義中我們可以得出,實現風險管理目標的主要手段是控制。

在充滿不確定性的市場環境下,企業要實現目標,其管理者應該確保其擁有健全的風險管理過程,且這些過程發揮了應有的效用。高層決策者和審計部門應該在確定企業是否擁有健全的風險管理過程及這些程序是否有效運作等方面起監督作用,在此,內部審計人員作為高層機構下設的獨立機構責無旁貸地承擔起這一工作。正如本文開篇介紹的IIA對內部審計的定義中指出:內部審計需提高風險管理、控制與監管工作的有效性,使企業達到預定的目標?!禝IA實物標準》(2001)實務公告2100-3中描述到:內部審計部門應該評價并幫助改進機構的風險管理、控制和治理體系。我國著名內部審計專家王光遠認為:“內部審計人員是風險管理潛在的重要利益相關人和參與者?!薄帮L險管理是內部控制的延伸,內部審計是風險管理的確認者,是對風險管理的再管理。”國內外許多審計實踐表明,對風險管理審計的報告更容易被管理當局所接受,管理部門也容易理解內部審計存在的意義,風險管理可以幫助內部審計度過正在影響企業的價值危機。

那么,內部審計在風險管理中的作用有幾何呢?

篇8

一、內部審計的涵義及職能拓展

(一)內部審計的涵義

2001年內部審計師協會(IIA)對內部審計的定義為“內部審計是一種獨立、客觀的保證工作與咨詢活動,目的是為機構增加價值并提高機構的運作效率。它采取系統化、規范化的方法對風險管理、控制及治理程序進行評估和改善,從而幫助機構實現它的目標?!睂τ谶@個定義,我們可以從幾個方面來理解:首先,我們不難發現內部審計最終的目標是幫助企業實現其目標,而企業的目標就是增加價值,結合兩者,內部審計的最終目標就是為增加企業的價值而服務;其次,它所采用的手段主要是保證和咨詢,這里的保證服務是一種為了機構的風險管理、控制或治理過程進行獨立評價而客觀地審查證據的行為,而咨詢則是提供建議以及相關的客戶服務活動;再次,內部審計應以風險管理、內部控制系統、企業治理結構為工作范圍,用系統化、規范化的方法來評價和改進它們;最后,內部審計人員應該以獨立、客觀的工作態度完成其職責,其中獨立性要求內部審計在確定活動范圍、實施審計及報告審計時不應受到任何因素的干擾,客觀性要求內部審計師在執行審計工作時,對他們的工作結果秉持誠信的原則,不與任何方面達成重大質量妥協。

中國內部審計協會在參考了IIA定義后,結合我國的現實情況,于2003年在公布的《內部審計基本準則》中,將內部審計定義為“內部審計師在組織內部的一種獨立客觀的監督和評價活動,它通過審查和評價經營活動及內部控制的真實性、合法性和有效性來促進組織目標的實現?!边@個定義明確了內部審計是由組織內設的機構所實施的一種獨立、客觀的活動,其目的是通過對組織的經營活動及內部控制的真實性、合法性和有效性進行審查和評價,使組織經營活動及內部控制中存在的問題得到認識和解決,從而促進組織目標的實現。中國內部審計協會的定義在結合我國實際情況基礎上提出,尤其進步意義,但是與IIA的發展相比,還是有局限性。尤其是面對全球化的影響,將內部審計主體封閉在一個組織內將難以滿足企業決策的信息需求。因此,筆者將按照IIA所提出的理念進行后續論述。

(二)內部審計的職能

在內部審計產生和發展早期,以查錯防弊為主的監督職能是其主要職能,但隨著社會經濟的發展和進步,以及內部審計所承擔的角色的增加,筆者認為,企業內部審計包括四個遞進的職能:監督、評價、控制和咨詢。

1.監督職能。內部審計首先是單位內部的一種經濟監督活動,那么監督職能也應是內部審計最基本的一項職能。監督職能是指對被審計對象的財務狀況等經濟活動進行檢查和評價,確定其會計資料是否正確、真實,反映的財務收支和經濟活動是否合法、合規,有無違法違紀和浪費行為,從而督促被審計對象遵守財經紀律,改進經營管理水平,提高經濟效益。

2.評價職能。評價職能是由經濟監督職能派生出來的另一種職能,包括評定和建議兩部分,也是內部審計的一項基本職能。通過內部審計可以全面了解部門、單位的真實的經營管理狀況,并以此來來評價經營決策、計劃、方案的合理性和可行性,評價其規章制度設置是否健全完善,是否正常運行,評價其經營管理水平及效益的優劣。

3.控制職能。現代企業已越來越多元化,層級化,跨國公司業務遍布全球,企業經營管理中的風險隨之而增加,企業的高層管理人員不可能事無巨細地對每一項業務進行監督,必須委托一個獨立于被審計部門的單位進行控制,以保證企業目標的實現。內部審計因其受企業高層的直接領導,對公司的決策層負責,能夠站在企業發展的全局來分析和考慮問題,對企業經營活動的控制活動可以提供直接的技術支持,并檢查控制程度和效果,提出控制中存在的不足和問題。

4.咨詢職能。隨著現代企業制度的建立,企業ERP系統及會計電算化的普及,賬面資料的錯誤會越來越少,內部審計的工作重點必須從傳統的“查錯防弊”轉為內部的管理、決策服務,內部審計的職能作用也已從監督評價向咨詢方面延伸。另外,現代企業所面臨的環境復雜且多變,經營風險增加,市場競爭激烈,這些導致包括各管理者層尤其是高級管理層迫切地需要有人以“顧問”的身份,對其制定的目標、決策、計劃以及在經營過程中出現的錯誤和薄弱環節提出改進建議。內部審計人員熟悉企業整體情況,且獨立于公司的其他部門,使內部審計人員較其他部門更易于提出較全面、客觀、可行的建議。因此,內部審計人員承擔了專業的咨詢服務。咨詢職能更能適應內部審計在現代公司治理中的發展,促進內部審計價值增值。

二、內部審計在公司治理中的作用

(一)內部審計與內部控制

關于內部審計與內部控制的關系,審計學家錢伯斯認為,內部審計所擁有的一套管理理論需要以內部控制概念為中心。1977年美國的《國外反貪污行賄法》確立了內部審計在內部控制方面的法定職責。內部控制已成為現代內部審計的主要產物。審計學家布林克在回首IIA50年時指出,內部審計最應該關注的是“內部控制”。根據《薩班斯-奧克斯利法案》框架中“監督”要素的要求,企業的監督可以分為持續性監督活動和內部審計定期的、相對獨立的評估兩部分。那么,可以將整個內部控制體系劃分為三個相對獨立的控制層次:第一個層次是經濟業務發生部門嚴格按照企業內部設計的要求,相互牽制開展業務活動,建立起第一道監控防線;第二個層次,經濟業務最終的流向都必將反映到財務報表中去,因此財務部門就要在事后建立起第二道監控防線;第三個層次,內部審計部門要建立起以查為主的監督防線,獨立地按照法人要求,有選擇地對內控的各方面行使檢查功能,發現管理流程中的不足和風險,提出改進措施,并能夠將這些評價結果反映到高層,高層同時也要賦權給內審部門督促改進措施的落實,促進內部控制體系建設趨于完善。對于風險較高的組織如金融機構來說,第三道防線更是必不可少。從監督職能來說,盡管內審監督檢查的頻率要比其他部門的自我監督檢查和財會部門的管理監督要低得多,但是內部審計部門的獨立性和在組織內應有的權威性,再加上直接由最高層領導,賦予該部門對內控具有再監督和再評價的特殊而又重要的職能。內部審計是企業內部控制的有效監督者,為了強化內部審計監察部門的監督職能,許多西方金融機構都成立了獨立于經營管理之外的內審稽核部門。

當然,從組織結構上看,內審檢查部門并非獨立于內部控制整體框架之外的,它也屬于控制的一部分,本身也需要對自身的各種內外部風險進行管理,和經營管理部門一樣,也要采取自我控制措施,須注意自我檢查和批評。

(二)內部審計與風險管理

關于風險管理,比較有代表性的說法是威廉與漢斯在1964年出版的《風險管理與保險》中所提出的,他們認為風險管理是通過對風險的識別、衡量和控制,以最低的成本使風險導致的各種損失減到最小程度的管理方法。從這個定義中我們可以得出,實現風險管理目標的主要手段是控制。

在充滿不確定性的市場環境下,企業要實現目標,其管理者應該確保其擁有健全的風險管理過程,且這些過程發揮了應有的效用。高層決策者和審計部門應該在確定企業是否擁有健全的風險管理過程及這些程序是否有效運作等方面起監督作用,在此,內部審計人員作為高層機構下設的獨立機構責無旁貸地承擔起這一工作。正如本文開篇介紹的IIA對內部審計的定義中指出:內部審計需提高風險管理、控制與監管工作的有效性,使企業達到預定的目標。《IIA實物標準》(2001)實務公告2100-3中描述到:內部審計部門應該評價并幫助改進機構的風險管理、控制和治理體系。我國著名內部審計專家王光遠認為:“內部審計人員是風險管理潛在的重要利益相關人和參與者。”“風險管理是內部控制的延伸,內部審計是風險管理的確認者,是對風險管理的再管理。”國內外許多審計實踐表明,對風險管理審計的報告更容易被管理當局所接受,管理部門也容易理解內部審計存在的意義,風險管理可以幫助內部審計度過正在影響企業的價值危機。

那么,內部審計在風險管理中的作用有幾何呢?

1.站在全局的角度上審視風險。企業是一個由各個單位有機結合起來的整體,每一個部門之間要么直接相關,要么間接相關,只要有一個單位發生風險就會或多或少傳遞至其他部門,并經常危及企業整體。而各部門都站在本部門的立場上處理風險,難免會一葉障目,考慮不周,內部審計則與之不同,它獨立于企業經營管理部門,使得它可以從全局出發、客觀地管理風險。

2.調控、指導企業的風險策略。內部審計部門處于董事會、總經理和職能部門之間,可在企業風險策略和各部門決策之間進行協調,通過這種協調,內審人員可以調控、指導企業的風險策略。

需要注意的是,內部審計雖然可以促進風險管理過程的建立或提高風險管理的有效性,但是它并不參與風險管理的設計和實施,而是管理層負責ERM的設計,所有員工協助貫徹實施,董事會監督管理層對企業風險管理的設計與實施,內部審計部門通過檢查、評價、報告企業風險管理過程的適當性和有效性,并提出改進建議來協助管理層、董事會或審計委員會,而不是履行風險管理的受托責任(Bailey等,2006),否則將影響內部審計的獨立性(作者單位:深圳紡織集團股份有限公司)。

參考文獻

[1]Bailey,AndrewD,AudreyA.Gramling,SridharRamamoorti:內部審計思想,王光遠等譯[M],中國時代經濟出版社,2006(5)

[2]RobertMoeller,SOA與內部審計新規則,劉霄侖譯,[M],中國時代經濟出版社,2007(1)

篇9

滑坡是自然界中一種常見的地質災害,它的發生一方面取決于其自身的自然條件(巖土結構、軟弱面、水的活動性等),另一方面也取決于自然應力或人類工程活動,它是自然變異與社會活動相互作用的產物,它所造成的直接影響包括人員傷亡、建筑物及公共設施損壞、自然及生態環境破壞等;間接影響包括打亂人們正常的生活秩序、投資重建整治工程等,它給人類帶來的損失僅次于地震和洪水。

一、滑坡地質災害風險分析的內容和過程

1、滑坡地質災害風險的概念

鑒于國內外對滑坡、滑坡危險性、滑坡災害風險等概念的定義和理解方面的差異,有必要對縣域滑坡災害風險管理研究中的若干基本術語進行解釋。本文結合我國地質災害分類規范、縣市地質災害調查規范和技術要求、已有滑坡災害危險性與風險管理研究成果中具有代表性的術語表達方式以及縣域滑坡災害風險管理特征等,參照國際土力學與巖土工程協會技術委員會(TC32)、澳大利亞地質力學學會等的相關定義,對縣域滑坡災害風險管理研究相關概念進行界定,其中英文的表達嚴格采用了國際上已經認可的術語表達方式。

2、單體滑坡災害、區域(縣域)滑坡災害

1)滑坡與滑坡隱患

我國國內對滑坡的定義為:巖(土)體在重力作用下整體(或部分)順坡向下滑動的地質現象。國際上滑坡(Landslide)的概念指巖(土)體、碎屑物沿斜坡向下的運動,包括滑動型、崩滑型和泥石流型,相當于我國定義的滑坡、崩塌和泥石流?;码[患指巖(土)體在重力作用下具有整體或部分向下滑動趨勢的地質現象。

2)滑坡災害與滑坡災害隱患

滑坡災害指巖(土)體在重力作用下整體(或部分)順坡下滑,并對人類生命財產和各項社會經濟活動及資源環境造成損害的滑坡事件?;聻暮﹄[患指巖(土)體在重力作用下具有整體(或部分)順坡下滑的趨勢,并對人類生命財產和各項社會經濟活動及資源環境造成潛在威脅的現象。

3)單體滑坡災害與區域(縣域)滑坡災害

單體滑坡災害是指單個點狀滑坡災害,單體滑坡災害的分析評價不考慮與其它滑坡災害之間的內在聯系,認為是一個孤立的滑坡事件。與單體滑坡災害(點狀)相對應,區域(縣域)滑坡災害指特定面域空間范圍內的單體滑坡災害及其隱患的組合,區域滑坡災害的分析評價要綜合考慮區域地質、地理環境特征及滑坡時空分布規律等,區域大小可根據研究范圍大小來確定,如全國、全省、全縣或一個流域等。

3、滑坡危險性、危害性與滑坡災害風險

1)滑坡危險性

①危險性(Hazard):國外對滑坡危險性具有明確的概念,從時間、空間、滑動特征、影響范圍等方面對滑坡危險性進行預測和研究,并重點強調災害發生的可能性。我國現有相關技術規范如建設用地地質災害危險性評估技術要求等,將地質災害的危險性定義為引發地質災害并造成人員傷亡和(或)財產損失的可能性,考慮了災害發生的可能性及造成損失的可能性,綜合了國際上地質災害危險性和風險的概念。②動態危險性:滑坡災害的危險性多數情況下是隨著其誘發因素的動態變化而變化的,因此,在臨災分析及預報預警中,不能用以年為單位的時間尺度來衡量和表達。所以,滑坡的動態危險性指基于誘發因素動態變化的滑坡發生的可能性。(如24h)滑坡發生的可能性。③危險性評價:指對滑坡危險性進行定性估計、定量分析計算并按照一定的標準進行分級排序的過程?;履晡kU性評價重點對滑坡發生的空間概率或可能性進行預測分析和評價,滑坡動態危險性評價重點對滑坡發生的時間概率或可能性進行評價。④頻率(Frenquency):一定時期內滑坡發生的次數。

2)滑坡危害性

①危害性:結合我國的應用習慣,將危害性定義為:滑坡以一定強度發生后,造成的人員傷亡、財產損失程度稱為滑坡的危害性。②危害性評價:危害性評價是在承災體易損性分析與價值估算、承災體遭遇滑坡的時間概率和空間概率分析的基礎上,對滑坡危害程度大小所做的定性估計、定量計算并按照一定的標準進行分級排序的過程。

承災體(Elements at Risk)指滑坡影響區內的所有承災對象,包括人、財產、公共設施、土地資源等。

易損性(Vulnerability)指承災體遭遇滑坡時受到損傷大小的程度,用0~1之間的數值來表示,值越大表示損傷的程度越嚴重,易損性大小既與承災體自身的類型和“質量”有關,也與滑坡強度有關。

二、滑坡災害風險評估、風險處置與風險管理分析方法

1、風險評估(Risk Assessment )

風險評估是在對滑坡災害進行風險調查的基礎上,對滑坡災害風險特征進行識別,并應用定性或定量的方法對滑坡災害風險進行分析與評價的過程,包括風險分析和風險評價兩方面的內容。在風險評估過程中涉及的其它相關術語主要有:①風險識別(Risk Identification):鑒別構成風險的要素、來源、特性及與滑坡活動有關的不確定性。風險識別存在于對滑坡災害風險要素調查與分析的整個過程。②風險估計(Risk Estimation):對風險發生的可能性及其后果進行定性分級或定量估算的過程,也稱為風險估算或風險度量。③風險分析(Risk Analysis):用定性或定量的方法分析并表達風險結果的過程,包括風險識別與風險估計(估算)。④風險評價(Risk Evaluation):根據風險容許標準(或風險評價標準),利用定性分級或定量評價的方法對風險分析的結果進行等級評定、排序或風險歸類的過程。

2、風險處置(Risk Treatment)

對特定風險所采取的控制方法及其實施的整個過程。風險處置的類型包括接受風險、預報風險、轉移或分擔風險、減緩風險、監測風險及對風險處置結果的再評價等。如果說風險評估是一個主要由專業技術人員及相關理論與方法構成的技術過程,則風險處置是一個集專業技術人員、行政管理人員、社會公眾及法規體系、規章制度等為一體的風險決策與控制過程。

3、風險管理(Risk Management)

風險管理指參與風險處置的各方對風險的識別、分析評價、決策處置,以較低合理的成本獲取最大安全保障的科學管理方法。因此,風險分析是風險評價的基礎,風險評價是風險分析與風險處置的橋梁,而風險管理是將各種理論、方法技術和政策等系統的應用于整個風險分析、評價與處置過程的科學管理方法。

4、滑坡地質災害風險評價的方法

篇10

3C框架和流程

中天恒管理咨詢公司經過多年的探索和實踐,專為中國企業打造的3C全面風險管理基本框架(下文簡稱“3C框架”)如圖1。

3C框架從總體結構上是按照目標體系、風險整合、管理融合來安排的,形成了由目標體系、風險整合、管理融合組成的有機體系,貫徹嚴密的目標――風險――管理的邏輯關系。

企業目標是一個相互聯系、相互依存的目標體系。全面風險管理作為企業管理的一項核心內容,可以把目標確定作為全面風險管理的前提條件進行關注,并將其貫穿于全面風險管理工作的始終。

風險是對企業目標實現產生影響事項發生的不確定性,包括了危險和機會,是一個全面的概念。風險偏好、風險意識、風險理念、風險文化是企業全面風險管理的軟要素,是企業實施全面風險管理必須明確的基本概念。把企業主要風險整合起來,是全面風險管理的一個基本標準。

全面風險管理是為合理保證企業目標實現,對企業風險進行全面管理的動態過程,是對企業風險進行整合管理的過程,是藝術和科學的結合。全面風險管理目標、意義、主體、內容、流程、方法是企業全面風險管理的重要內容,是必須明確的;全面風險管理政策、戰略、策略、決策是企業全面風險管理的基礎,影響整個全面風險管理工作;全面風險管理信息、溝通、學習應貫穿于全面風險管理工作的始終。這些都應該從總體上予以明確。

全面風險管理融合,是企業風險管理自身內部的融合,是企業風險管理與企業業務的融合,是企業風險管理與企業管理的融合。全面風險管理與企業管理需要融合的內容很多,其中最重要的就是要做到內部控制與風險管理的融合。

3C框架與COSO的不同

3C框架沒有直接引入管理要素概念,從總體看包括目標、風險、管理三個方面;從流程看包括管理準備、管理實施、管理報告和監督改進四個方面。

3C框架把COSO全面風險管理框架“事件識別”定義為“風險識別”;把COSO全面風險管理框架“風險評估”細化為“風險分析”、“風險計價”、“風險評價”;把COSO全面風險管理框架“控制活動”重新定義為“風險控制”;把COSO全面風險管理框架“監控”改為“監督改進”,并細化為“風險監督”、“風險審計”、“管理改進”等。

篇11

該定義重點說明了為組織增加價值是內部審計的根本目標,突出了內部審計參與風險管理、內部控制和公司治理的要求,是現代內部審計的豐碑,對于內部審計事業的發展有著巨大的意義。新定義在原定義的基礎上,確立了一些新的內容:

第一,“保證與咨詢”的工作方向;

第二,“增加價值”和“提高組織的運作效率”的工作目標;

第三,評價“風險管理、控制及治理程序”的工作內容;

第四,“系統化和規范化”的工作方法。IIA新的內部審計定義為內部審計參與風險管理提供了重要的依據。

一、內部審計介入風險管理的現實動因

1.企業競爭的需要

隨著社會經濟的發展、科技的進步、國際經濟聯系的加強,尤其是經濟全球化及國際化程度的加深,企業面臨的經營環境日趨復雜。為了在復雜的競爭環境中求得生存和發展,企業需要不斷進行變革創新,開拓新的業務領域,經營活動的不確定性增大,企業面臨的風險也隨之大大增加,加強對風險的控制和管理自然成了企業管理的重中之重。因此,企業經營者必須樹立風險意識,把降低風險作為企業實現目標的關鍵,為此,企業需要對現有的和潛在的各種風險進行識別、衡量、評價,并在此基礎上制定和實施對企業價值最大化的風險處理方案。內部審計作為企業的一個相對獨立的職能部門,必然應當成為企業風險管理的有效組成部分,從組織戰略目標的角度來評估,為專業的風險管理部門提供確認與咨詢服務。內部審計部門和內部審計人員參與企業的風險管理也就成為企業競爭的必然需要。

2.內部審計自身發展的需要

20世紀90年代以來,價值鏈原則——企業必須在世界范圍內尋找最有效率的、成本最低的價值環節的理念在國外盛行。同時,民間審計的業務領域不斷向企業內部管理擴展,在注冊會計師的專家優勢和價值鏈原則的引導下,西方內部審計職業界出現了一種重要的現象——內部審計外包。外包的風潮使內部審計面臨邊緣化的危機。如何提供價值增值服務,提升自己的組織地位,是內部審計需要解決的緊要問題。而企業對風險的空前重視,為內部審計發展提供了一個契機,內部審計介入風險管理并在其中扮演一個重要的角色,將其在企業中的作用推向一個新的高度。內部審計一旦與風險管理結合,其工作范圍自然就擴大到企業管理的整個過程,成為一種整體性、全局性的管理活動。更重要的是,內部審計在介入風險管理過程中,將集中全面評估企業面臨的風險,甚至可以在董事會授權的情況下幫助企業制定風險管理戰略,這就使內部審計從應管理層要求提供確認的被動服務方式,改變為基于戰略向管理層提供確認和咨詢的主動服務方式。正因如此,國際內審師協會IIA 不遺余力地倡導內部審計介入風險管理,并把風險管理作為內部審計的重要領域寫進了內部審計的定義。

3.內部審計在風險管理中的獨特優勢

內部審計介入風險管理的獨特優勢風險在企業內部具有感染性、傳遞性等特征,即一個部門造成的風險或疏于風險管理所帶來的后果往往不是由其直接承擔,而是會傳遞到企業內部其他部門,最終可能導致整個企業陷入困境。正因為如此,風險的識別、防范和應對需要從全局考慮,而各業務部門又很難做到這一點。內部審計部門處于企業的董事會、總經理和各職能部門之間,不同于一般的職能部門,具有相對獨立的地位,這使得它們可以從全局出發、從客觀的角度對風險進行識別,及時建議管理部門采取措施控制風險。相對于外部審計,內部審計在風險管理方面擁有無可比擬的優勢。如內部審計對企業面臨的風險更了解,可以對經濟事項進行連續的跟蹤審計,及時反饋信息;無論在企業興盛還是衰敗時期都能與企業融為一體,對防范企業風險、實現企業目標有著更強烈的責任感、義務感;具有連續性、服務性強的特點。這些都是外部審計不可比擬的。所以,內部審計更應該介入企業的風險管理。

二、全面風險管理導向內部審計的涵義

全面風險管理導向內部審計就是以實現企業戰略目標為起點,以全面風險管理為導向,通過發揮確認與咨詢兩大功能,應用系統化和規范化的方法評價并改善企業風險管理過程和效果,以實現企業可持續價值最大化的一種內部審計模式。它是企業內部審計系統的環境、資源、戰略、公司治理結構相互作用、結構優化的結果。它既是企業公司治理結構的重要組成要素和核心內容,也是當今時代背景下企業內部審計新的發展方向。與現行內部審計模式相比,全面風險管理導向內部審計具有明顯的優勢特征。

參考文獻:

[1]石恒貴 劉 斌 楊 衛:上市公司內部審計部門治理效果的實證研究[J].華東經濟管理,2009,第4期.

[2]劉 斌 石恒貴.上市公司內部審計外包決策的影響因素研究.審計研究.2008,第4期

篇12

(一)操作風險的定義

銀行操作風險的界定較為復雜,銀行包括聲譽在內所有的資產基本都被覆蓋在其中,國內和國外的金融界賦予操作風險的定義也都各有不同。主要包括下面一些觀點。(1)操作風險較早的定義就是指除了市場風險和信用風險以外的風險,這個定義較為模糊,沒有針對性,實際意義也不是很大。因為信用風險在不同銀行的定義是不同的,這樣就將導致對操作風險的劃分不同,(2)英國銀行家協會指出,操作風險是由于內部程序、人員、系統或外部因素造成的直接或間接損失的風險。(3)美聯儲對操作風險的定義是由于違規操作、不完善的系統及欺詐造成的非預期性的損失。(4)目前來看,被大多數人認可的操作風險是指因為失靈或不完善的內部程序、人員、系統及外部事件所導致的損失。

(二)操作風險的內容分類

巴塞爾委員會依據銀行損失事件的類型對操作風險進行了分類,其主要包括內部欺詐、外部欺詐、就業政策和工作場所安全、客戶產品和業務操作、業務中斷及系統失敗、實體資產損壞、執行與流程管理等。

我國商業銀行在結合國內實際情況的基礎上對操作風險內容也做出了分類,主要分為內部因素和外部因素兩大類。其中,內部因素包括操作失誤、違法行為、流程設計不合理、關鍵人員流失等;外部因素包括外部欺詐、經營環境惡化等。

二、會計操作風險的定義及其主要風險點

(一)會計操作風險的定義

銀行業幾乎所有經營業務的運營都與會計有關,這使會計操作環節成為被關注的高風險區域。一般來說會計風險可劃分為會計管理風險、會計系統風險與會計操作風險。我們在這里要探討的會計操作風險就是指商業銀行柜面業務及后臺的會計綜合管理中存在的風險。

(二)會計操作的主要風險點

隨著業務品種在商業銀行的不斷增加,會計操作風險也不斷地加大,其主要的潛在風險點體現在核算與結算風險、賬戶風險、授權風險、輪崗風險、金庫管理風險、會計信息化風險等方面。

三、商業銀行會計操作風險的成因分析

(一)組織結構與機構設置不合理

多年來,商業銀行一直在延用一種縱向的、以分行為主的科層式組織架構,這種組織架構的特點是分行主導、分權管理,管理鏈條過長、信息傳遞不及時、分行的權力過大,行長負責制更是使各業務崗之間的彼此監督成了一種擺設。在這種環境下,絕對的權力就容易產生腐敗的行為。

近年來,我國的會計操作風險案例多發生在基層分支機構,所以對基層營業機構的會計操作風險防范尤為重要。商業銀行對此的認識不足,對基層會計操作風險的管理通常由內控合規部門負責。商業銀行一般是一級分行以上內審部門來組織實施非現場審計,非現場審計系統也不能完全覆蓋基層內審機構,基層分支機構會計操作風險管理職能不完善,總行對分行是不可能進行實時監督的,這就容易引發會計操作風險。

(二)人員的配置水平無法滿足會計風險管理的要求

銀行的工作多是由人來完成的,銀行的制度和流程也是人去設計和執行的。操作風險和人員配置緊密相關,對人員管理不到位就容易產生道德風險和能力風險。在我國,很多的商業銀行沒有建立起一套科學的人員任用機制,特別是在選拔任用銀行管理層方面,既沒有對人員綜合素質的評估過程,又沒有完整的崗前培訓,上級對干部使用的考察重能力、輕品德,重外部業務內力、輕內部管理能力,這就造成了潛在的風險。

另外,中小商業銀行人員流動性大且儲備不足,部分銀行的業務增加量遠遠高于人員增長,造成了會計操作運營人員的缺失。過多銀行強調網點柜員的壓縮,而壓縮卻不能與網點的調整同步,人員、崗位矛盾越來越突出。過分強調減員增效,使網點人員不足,一人多崗、不相容職務不分離的情況時有出現,造成人員素質與崗位設置都難以符合風險控制的要求。

(三)會計操作風險的評估手段落后

我國商業銀行會計操作風險要加強管理,必須要能夠對每個機構會計操作風險水平做出客觀的評價,但目前我國商業銀行會計操作風險的評估手段還比較落后。

首先,我國商業銀行可量化的綜合評價指標不多,差別化管理難以實施,管理重點不能精確地定位。商業銀行評價會計操作風險的體系還不成熟,管理者基本還是憑借主觀經驗來確定風險管理的重點,其客觀性及準確性都較差,機構風險點的變化和管理水平不能及時反映,差別化管理遇到瓶頸。

其次,風險評估工作達不到會計操作風險控制的要求。新業務及金融工具的不斷更新換代使會計操作風險不斷增加,但內部控制風險評估工作的發展速度卻落后于業務的更新,這就難以滿足會計操作風險控制的要求,無法準確識別風險點,不能有針對性地警示員工,會計操作風險發生的概率大大增加。

(四)業務發展與風險控制出現矛盾

隨著市場經濟的發展,銀行在市場上也面臨著越來越激烈的競爭,這就使銀行及分支機構極為關注績效指標、存款貸款等市場指標。部分銀行的管理層只重視業務發展,輕視風險控制,對會計操作風險可能給銀行帶來的危害認識不足,甚至出現了為取得業務發展而干預會計操作的情況。以犧牲原則為代價來獲取客戶,片面地強調市場業務的發展,必將導致違規操作的發生,業務發展與風險控制失去了平衡點。

存款與貸款的擴張完全以績效為導向、存款任務指標與績效獎金掛鉤,這容易引發違規操作,導致內部風險控制失控。近年來的很多會計操作風險案例就是由于盲目攬儲造成的,部分銀行人員為了個人利益,將內部控制流程和制度拋于腦后,給商業銀行經營造成的危害極大。

(五)內部審計缺乏有效性

我國商業銀行的內部控制和監管制度并不缺乏,但這些制度在真正的執行過程中卻被變通打破,有效性也就大大地降低了。商業銀行內部審計缺乏有效性主要體現在缺乏內部審計應該具有的獨立性和權威性、內部審計方法過于偏重事后監督、審計范圍不夠全面、不重視對高級管理人員的監督等方面。

四、防范商業會計操作風險的對策

(一)完善會計操作風險控制的組織架構

首先,公司法人治理結構必須合理,公司的股東大會、監事會、董事會的運作必須保持獨立性,務必明確各位置的權力與職責,建立起各個機構相互制衡來管理銀行的組織架構,權力、執行、監督、經營等機構要相互分離。銀行管理機構要合理的行使各自的權利,保證銀行內部各部門及員工各司其責、相互監督。

其次,會計操作風險全程檢查體系要在銀行內部建立起來。商業銀行在進行內部控制體系設計及會計操作風險管理時,應該注意權利相互分離的原則,應建立分層次全程監督系統,對銀行的經營活動進行事前、事中、事后的實時監督。

(二)形成內部控制文化,全面提高內控意識

會計操作風險是很難把握的,也確實較為復雜。在銀行中要全面普及內控意識,內控文化的宣傳對象也不僅僅是銀行的管理人員,具體執行操作的銀行普通員工也要覆蓋到。銀行內部員工只有提高自己的內控意識,才能更有助于銀行的平穩發展。內控文化的傳播目的就是要提升員工的能動性,使銀行的運營更加穩健。

首先,銀行內部不能僅僅注重銀行業務量的增長,也要在內部樹立起會計操作風險的內部控制意識。銀行的管理層應該從全局把握會計操作風險,將風險始終控制在萌芽狀態。

其次,在銀行內部要明確會計操作風險的防范不僅僅是銀行內審部門的工作,也關系到銀行的管理層及銀行的各個部門,各部門間應相互合作、彼此監督,共同規避可能發生的會計操作風險。

最后,要在企業內部形成一種防范會計操作風險的內控文化,銀行的管理層要大力對這一文化建設給予支持,提升銀行全員的內控意識。

(三)提高員工的綜合素質,奠定會計操作風險管理的基礎

要在銀行內部建立培訓機制,全面提高銀行員工的政治素質、思想素質、道德品質、職業素養,提高專業知識及綜合能力。

首先,要在銀行內部大力宣傳法制教育及職業道德教育。銀行可通過先進事例報告、內控案例分析、內控知識競賽、行業經驗講座等多種形式來強化會計人員、監察人員的職業道德,使銀行員工有正確的價值觀,讓員工對法律法規與內部制度有一個更加深刻的認識。

其次,要強化會計人員的職業技能培訓。銀行內部要有針對性地對各個崗位進行適當、有效的培訓,人員上崗必須有相關培訓合規證書,切實做到崗前有培訓、上崗有證書,改變原來老員工帶新員工的教育辦法,鼓勵學習、鼓勵創新。

(四)量化綜合評價指標,實行差別化管理

選取一些內控措施重要環節的執行情況、內外部檢查出的風險性問題等能反映會計風險控制狀況的指標,將這些指標納入風險評價體系,根據各個指標風險重要程度的不同來分別設定分值,然后根據綜合分值對機構的風險防范水平做出全面的評價。對風險不同的機構,可以采取不同的管理措施,將管理精力向管理薄弱的機構傾斜,通過整改匯報、加強培訓、跟蹤驗收等形式,改進其會計操作風險管理狀態。

(五)建立銀行內控的信息交流與反饋機制

首先,銀行內部要實行信息化管理,信息數據均可聯網體現,便于內部信息的實時獲取,也便于發現問題及時向上級領導反映,從而進行及時的整改。

其次,信息管理員應該將信息進行及時的整理及提煉,形成有價值的信息平臺,負責內控的人員獲取相關信息后要完成風險分析,及時控制風險并有效減少風險。

(六)充分發揮審計在會計操作風險中的監督作用

要建立起獨立的對董事會負責的內部審計部門,使審計職能更充分地發揮;通過網絡技術采取非現場稽核手段對業務操作進行監督;重視內部審計的同時也要大力借助外部審計手段;審計部門要對各部分風險防范有一個系統的分析,建立全面風險預警體系及應對風險的預案。

參考文獻:

篇13

網絡安全正逐漸成為一個國際化的問題,每年全球因計算機網絡的安全系統被破壞而造成的經濟損失達數千億美元。網絡安全是一個系統的概念,有效的安全策略或方案的制定,是網絡信息安全的首要目標。安全風險評估是建立網絡防護系統,實施風險管理程序所開展的一項基礎性工作。

然而,現有的評估方法在科學性、合理性方面存在一定欠缺。例如:評審法要求嚴格按照BS7799標準,缺乏實際可操作性;漏洞分析法只是單純通過簡單的漏洞掃描或滲透測試等方式對安全資產進行評估;層次分析法主要以專家的知識經驗和統計工具為基礎進行定性評估。針對現有網絡安全評估方法中出現的這些問題,本文擬引用一種定性與定量相結合,綜合化程度較高的評標方法——模糊綜合評價法。

模糊綜合評價法可根據多因素對事物進行評價,是一種運用模糊數學原理分析和評價具有“模糊性”的事物的系統分析方法,它是一種以模糊推理為主的定性與定量相結合、非精確與精確相統一的分析評價方法。該方法利用模糊隸屬度理論把定性指標合理的定量化,很好的解決了現有網絡安全風險評估方法中存在的評估指標單一、評估過程不合理的問題。

1關于風險評估的幾個重要概念

按照ITSEC的定義對本文涉及的重要概念加以解釋:

風險(Risk):威脅主體利用資產的漏洞對其造成損失或破壞的可能性。

威脅(Threat):導致對系統或組織有害的,未預料的事件發生的可能性。

漏洞(Vulnerabmty):指的是可以被威脅利用的系統缺陷,能夠增加系統被攻擊的可能性。

資產(Asset):資產是屬于某個組織的有價值的信息或者資源,本文指的是與評估對象信息處理有關的信息和信息載體。

2網絡安全風險評估模型

2.1網絡安全風險評估中的評估要素

從風險評估的角度看,信息資產的脆弱性和威脅的嚴重性相結合,可以獲得威脅產生時實際造成損害的成功率,將此成功率和威脅的暴露率相結合便可以得出安全風險的可能性。

可見,信息資產價值、安全威脅和安全漏洞是風險評估時必須評估的三個要素。從風險管理的角度看,這三者也構成了邏輯上不可分割的有機整體:①信息資產的影響價值表明了保護對象的重要性和必要性。完整的安全策略體系中應當包含一個可接受風險的概念;②根據IS0-13335的定義,安全威脅是有能力造成安全事件并可能造成系統、組織和資產損害的環境因素。可以通過降低威脅的方法來降低安全風險,從而達到降低安全風險的目的;③根據IS0-13335的觀點,漏洞是和資產相聯系的。漏洞可能為威脅所利用,從而導致對信息系統或者業務對象的損害。同樣,也可以通過彌補安全漏洞的方法來降低安全風險。

從以上分析可以看出,安全風險是指資產外部的威脅因素利用資產本身的固有漏洞對資產的價值造成的損害,因此風險評估過程就是資產價值、資產固有漏洞以及威脅的確定過程。

即風險R=f(z,t,v)。其中:z為資產的價值,v為網絡的脆弱性等級,t為對網絡的威脅評估等級。

2.2資產評估

資產評估是風險評估過程的重要因素,主要是針對與企業運作有關的安全資產。通過對這些資產的評估,根據組織的安全需求,篩選出重要的資產,即可能會威脅到企業運作的資產。資產評估一方面是資產的價值評估,針對有形資產;另一方面是資產的重要性評估,主要是從資產的安全屬性分析資產對企業運作的影響。資產評估能提供:①企業內部重要資產信息的管理;②重要資產的價值評估;③資產對企業運作的重要性評估;④確定漏洞掃描器的分布。

2.3威脅評估

安全威脅是可以導致安全事故和信息資產損失的活動。安全威脅的獲取手段主要有:IDS取樣、模擬入侵測試、顧問訪談、人工評估、策略及文檔分析和安全審計。通過以上的威脅評估手段,一方面可以了解組織信息安全的環境,另一方面同時對安全威脅進行半定量賦值,分別表示強度不同的安全威脅。

威脅評估大致來說包括:①確定相對重要的財產,以及其價值等安全要求;②明確每種類型資產的薄弱環節,確定可能存在的威脅類型;③分析利用這些薄弱環節進行某種威脅的可能性;④對每種可能存在的威脅具體分析造成損壞的能力;⑤估計每種攻擊的代價;⑥估算出可能的應付措施的費用。

2.4脆弱性評估

安全漏洞是信息資產自身的一種缺陷。漏洞評估包括漏洞信息收集、安全事件信息收集、漏洞掃描、漏洞結果評估等。

通過對資產所提供的服務進行漏洞掃描得到的結果,我們可以分析出此設備提供的所有服務的風險狀況,進而得出不同服務的風險值。然后根據不同服務在資產中的權重,結合該服務的風險級別,可以最后得到資產的漏洞風險值。

3評估方法

3.1傳統的評估方法

關于安全風險評估的最直接的評估模型就是,以一個簡單的類數學模型來計算風險。即:風險=威脅+脆弱+資產影響

但是,邏輯與計算需要乘積而不是和的數學模型。即:風險=威脅x脆弱x資產影響

3.2模糊數學評估方法

然而,為了計算風險,必須計量各單獨組成要素(威脅、脆弱和影響)?,F有的評估方法常用一個簡單的數字指標作為分界線,界限兩邊截然分為兩個級別。同時,因為風險要素的賦值是離散的,而非連續的,所以對于風險要素的確定和評估本身也有很大的主觀性和不精確性,因此運用以上評估算法,最后得到的風險值有很大的偏差。用模糊數學方法對網絡安全的風險評估進行研究和分析,能較好地解決評估的模糊性,也在一定程度上解決了從定性到定量的難題。在風險評估中,出現誤差是很普遍的現象。風險評估誤差的存在,增加了評估工作的復雜性,如何把握和處理評估誤差,是評估工作的難點之一。

在本評估模型中,借鑒了模糊數學概念和方法中比較重要的部分。這樣做是為了既能比較簡單地得到一個直觀的用戶易接受的評估結果,又能充分考慮到影響評估的各因素的精度及其他一些因素,盡量消除因為評估的主觀性和離散數據所帶來的偏差。

(1)確定隸屬函數。

在模糊理論中,運用隸屬度來刻畫客觀事物中大量的模糊界限,而隸屬度可用隸屬函數來表達。如在根據下面的表格確定風險等級時,當U值等于49時為低風險,等于51時就成了中等風險。

此時如運用模糊概念,用隸屬度來刻畫這條分界線就好得多。比如,當U值等于50時,隸屬低風險的程度為60%,隸屬中等風險的程度為40%。

為了確定模糊運算,需要為每一個評估因子確定一種隸屬函數。如對于資產因子,考慮到由于資產級別定義時的離散性和不精確性,致使資產重要級別較高的資產(如4級資產)也有隸屬于中級級別資產(如3級資產)的可能性,可定義如下的資產隸屬函數體現這一因素:當資產級別為3時,資產隸屬于二級風險級別的程度為10%,隸屬于三級風險級別的程度為80%,屬于四級風險級別的程度為10%。

威脅因子和漏洞因子的隸屬度函數同樣也完全可以根據評估對象和具體情況進行定義。

(2)建立關系模糊矩陣。

對各單項指標(評估因子)分別進行評價??扇為各單項指標的集合,則U=(資產,漏洞,威脅);取V為風險級別的集合,針對我們的評估系統,則V=(低,較低,中,較高,高)。對U上的每個單項指標進行評價,通過各自的隸屬函數分別求出各單項指標對于V上五個風險級別的隸屬度。例如,漏洞因子有一組實測值,就可以分別求出屬于各個風險級別的隸屬度,得出一組五個數。同樣資產,威脅因子也可以得出一組數,組成一個5×3模糊矩陣,記為關系模糊矩陣R。

(3)權重模糊矩陣。

一般來說,風險級別比較高的因子對于綜合風險的影響也是最大的。換句話說,高的綜合風險往往來自于那些高風險級別的因子。因此各單項指標中那些風險級別比較高的應該得到更大的重視,即權重也應該較大。設每個單項指標的權重值為β1。得到一個模糊矩陣,記為權重模糊矩陣B,則B=(β1,β2,β3)。

(4)模糊綜合評價算法。

進行單項評價并配以權重后,可以得到兩個模糊矩陣,即權重模糊矩陣B和關系模糊矩陣R。則模糊綜合評價模型為:Y=BxR。其中Y為模糊綜合評估結果。Y應該為一個1x5的矩陣:Y=(y1,y2,y3,y4,y5)。其中yi代表最后的綜合評估結果隸屬于第i個風險級別的程度。這樣,最后將得到一個模糊評估形式的結果,當然也可以對這個結果進行量化。比如我們可以定義N=1×y1十2×y2十3×y3×y4十5×y5作為一個最終的數值結果。

4網絡安全風險評估示例

以下用實例說明基于模糊數學的風險評估模型在網絡安全風險評估中的應用。

在評估模型中,我們首先要進行資產、威脅和漏洞的評估。假設對同樣的某項資產,我們進行了資產評估、威脅評估和漏洞評估,得到的風險級別分別為:4、2、2。

那么根據隸屬函數的定義,各個因子隸屬于各個風險級別的隸屬度為:

如果要進行量化,那么最后的評估風險值為:PI=1*0.06+2*0.48+3*0.1+4*0.32+5*0.04=2.8。因此此時該資產的安全風險值為2.8。

參考文獻

[1]郭仲偉.風險分析與決策[M].北京:機械工業出版社,1987.

[2]韓立巖,汪培莊.應用模糊數學[M].北京:首都經濟貿易大學出版社,1998.

91综合网人人