时间:2023-06-11 09:32:28
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇风险评价的定义,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
【摘要】文章从内部控制与风险管理之间的内在关系入手,探讨了内部审计与风险管理中的互动关系和目标上的一致性。指出内部审计在企业风险管理中的角色是监督者,并提供保证和咨询服务。
【关键词】内部审计;风险管理;角色定位
自20世纪90年代起,西方许多大型企业内部审计部门开始对企业的风险管理进行评估与监督,以实现企业经营目标的安全性、效率性和效果性。纵观近十几年的发展历程可发现,两者之间互相融合,存在着密不可分的关系。
一、二者互动交融关系形成的现实背景
当今世界,风险无时不在、无处不在,随着时代的发展,企业所面临的风险变得广泛而复杂。企业必须谨慎地识别各种潜在风险,加强风险管理,并在风险管理方案的制定、执行、评估与监督等方面进行合理分工,以保证风险管理的效率。而在整个风险管理过程中又必然涉及多个部门的沟通和协调,这就需要一个超然、独立的组织机构予以保障。内部审计部门在企业中的超然地位以及独立评估和监督的特殊职能,正好满足了这一要求。因此,企业风险管理必然要将内部审计纳入自身体系。
随着企业所面临风险的增加,风险管理成为了企业管理的核心。由此,内部审计也借机及时进行了自身的重新定位,改变了过去只是作为企业财务监督者的定位,将自身的目标确定为向企业提供保证和咨询服务,评估和改善风险管理、控制和治理程序。这样,企业风险管理和内部审计两者各自不同的发展路线逐渐接近并找到了交点。
二、内部审计与风险管理的互动关系
(一)内部审计定义中包含有风险管理的内容
内部审计从产生到现在已经历了几个世纪,每个时期内部审计的概念都有不同的内涵和外延。国际上,内部审计已有7次定义,至今仍在不断变化,内部审计定义的发展在内部审计史上具有重要意义。
风险管理改变着内部审计的定义,也就同时改变了内部审计的职能和在企业中的价值。1993年版《标准》的序言中对内部审计的表述是:在一个企业内部建立的一种独立的评价活动,并作为对该企业的控制及经营活动进行审查和评价的一种服务。而2001年版对内部审计是如下表述的:内部审计是采用一种系统化、规范化的方法来对机构的风险管理、控制及监督过程进行评价进而提高它们的效率,帮助机构实现目标。这个定义与1993年的定义相比较最明显的变化在于将内部审计的范围延伸到风险管理,比旧定义中提及的控制及经营活动要更为广泛和深入。只有在风险管理框架中实施的内部审计才能称之为风险管理审计。显然,将“评价和改善风险管理”作为内部审计的重要工作领域,是内部审计的新发展,扩大了内部审计的领域,拓展了内部审计的广度和深度,对内部审计的重新定位,修订内部审计准则,重整内部审计流程,提高审计服务质量等提出了较高的要求。
(二)风险管理赋予了内部审计在企业中新的地位和作用
为了在企业中担当更重要的角色和发挥更重要的作用,内部审计总是在不断寻找新的对企业十分重要的领域。风险的广泛存在,使企业经理人员对风险空前重视,为内部审计发展提供了一个绝好的机会。内部审计对风险管理的介入,将会使内部审计在企业中成为一个极其重要的角色,并将其在企业中的作用推向一个新高度。正因如此,内部审计师的职业组织——国际内部审计师协会才不遗余力地倡导内部审计师进军这一领域,把风险管理作为内部审计的重要领域直接写入了内部审计的定义。
三、内部审计与风险管理目标上的一致性
风险管理的定义指出:“企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的,为企业目标的实现提供合理保证的过程。”风险管理就是通过对面临的各种风险的认识、估测、评价,准确把握各种不确定性,采取恰当的内部方法,以便用最低的成本获得最高的安全保障,将损失降至最低水平。风险管理通过测试、评价和控制风险因素来降低风险事件发生的概率和造成的损失,直接服务于实现企业目标。21写作秘书网
而在内部审计新定义中,已明确指出内部审计的目的是为机构增加价值并提高机构的运营效率。IIA在2001年修订的《内部审计实务标准》中,对“增加价值”一词作了如下解释:“机构的设立,是为了其所有者、其他利益方、顾客和客户创造价值和谋取利益……内部审计是在收集资料、认识并评价风险的过程中,对经营与改良时机产生了深刻的见解,这些见解可能会对机构带来诸多利益。这些有价值的信息可以咨询、建议、书面报告或通过其他产品的形式呈现出来,所有这些得传达给相应的经营管理人员。”根据这一解释,增加价值的目标应由企业的各个职能部门来共同完成,而内部审计部门作为企业的职能部门之一,也应该努力增加企业的价值;同时,内部审计部门经过收集资料、识别并评价风险的过程之后,对企业管理层及其他职能部门的见解更为深刻,而且这些见解是富有价值的,而企业管理者采纳、利用这些有价值的信息后,一方面可以借此消除各种减值因素,包括风险因素、控制漏洞、治理缺陷等;另一方面可以将这些有价值的信息应用于经营管理活动,从而达到使企业增值的目的。从这个意义上来说,风险管理与内部审计在其目标上是相一致的。
上述种种使企业风险管理与内部审计逐渐形成了你中有我、我中有你、相互依存、联动发展的紧密关系。众多企业在制定本企业风险管理方案时,将内部审计列为风险管理的一道重要防线,由内部审计对整个风险管理流程进行评估和监控;有的企业还特意安排内部审计直接参与风险管理方案的制定和执行全过程,以发挥内部审计在风险管理中的突出作用。与此同时,内部审计也将风险管理作为“为组织增加价值”的重要手段。
四、内部审计在风险管理中的角色定位
COSO在《企业风险管理——整合框架》中的“职能和责任”章节,阐明各管理层在全面风险管理中的地位和职责,并指出组织里的每个人对全面风险管理都有责任。首席执行官承担最终责任,其他管理人员支持全面风险管理的理念,促使组织在风险容量内经营,并在各自负责的领域里负责将风险降低到相应的风险容忍度内。首席风险官、首席财务官、内部审计及其他人员通常承担关键的支持性责任。组织的其他人员负责按照制定的指令和协议执行全面风险管理。这明确表明,内部审计对全面风险管理的建立并没有基本责任,这是高级管理层的责任。内部审计人员的重要角色是,帮助管理层和审计委员会监督、检查、评估、报告、建议全面风险管理过程的充分性和有效性。
IIA2001年颁布的内部审计实务准则,其实务公告——“内部审计在风险管理中的作用”指出,风险管理是管理人员的关键职责,内部审计人员应该通过检查、评价、报告风险管理过程的充分性和有效性并提出改进建议来协助管理人员和审计委员会的工作。管理层和委员会负责机构的风险管理和控制过程,以咨询顾问身份开展工作的内部审计人员可以协助机构确定、评价并实施针对风险的管理方法和控制措施。
在充分考虑内部审计的独立性与客观性的基础上,结合相关法规、报告的观点,可以看出:对整个组织的可持续发展能力,对所有者、利益相关人、监管机构和普通公众负责的是企业管理层,内部审计人员应立足于协助、帮助管理层和审计委员会履行风险管理的职责,主要职责是对整个风险管理过程进行评价,认定并评价管理的充分性与有效性,向管理层和审计委员会报告情况并提出改进管理的建议,以此保证风险管理的有效性。因此,内部审计在企业风险管理框架中首要的角色是监督者,包括对风险管理流程的评估和保证服务、对风险评估准确性的保证服务、对关键风险报告的评估和对关键风险管理的评估。按IIA的标准,内部审计的服务种类可以划分为保证服务和咨询服务,前者是一种独立评价的活动,后者是提供建议及咨询的活动。在企业风险管理中,内部审计的本质特征并不发生改变,因而它可以担任的角色也是基于这两种服务衍生而来的。除了作为监督者所提供的保证服务外,内部审计还可提供咨询服务,包括促进对风险的识别和评估、指导和协调风险管理活动、加强对风险的报告、保持和发展风险管理框架、支持建立风险管理、参与制定风险管理战略等。与此相适应,内部审计承担了咨询者、协调者、建议者的角色。
【参考文献】
[1]刘德运.内部审计原理与技术[M].北京:中国经济出版社,2006(6):25.
【关键词】环境风险;环境风险评价
一、背景
环境风险是指在自然环境中产生的或通过自然传递的,对人类健康和幸福产生不利影响同时又具有某些不确定性的危害事件。由于环境风险区别于传统环境问题,具有巨大的不确定性,逐渐发展出一种新的针对环境风险的环境风险评价制度。环境风险评价是指由一定的机关或组织,对具有不确定性的环境风险可能对人体健康、生态安全等造成的环境后果进行识别、度量、评估的过程或环境管理活动。
从20世纪90年代开始,我国的一些法律规范中提出了环境风险评价的内容。1993年,国家环保局颁布的《环境影响评价技术导则》规定:对于风险事故,在有必要也有条件时,应进行建设项目的环境风险评价或环境风险分析。同年的《基因工程安全管理办法》要求对基因技术进行安全评价。1996年,《农业生物基因工程安全管理实施办法》对农业转基因生物安全评价作了规定。2001年,《职业安全健康管理体系指导意见》对职业安全评价作出规定。2004年的《建设项目环境风险评价技术导则》明确指出:将建设项目环境风险评价纳入环境影响评价管理范畴。2011年公布的《外来物种环境风险评估技术导则》规定了外来物种环境风险评估的原则、内容、工作程序、方法和要求。2015年,环保部批准《尾矿库环境风险评估技术导则(试行)》,要求对运行期间的尾矿库进行环境风险评估。2014年修订的新环保法第39条规定“国家建立、健全环境与健康监测、调查和风险评估制度”,虽然只是国家建立、健全相关制度的义务的概括规定,但同时也使得环境健康风险评价制度第一次进入环保基本法。
二、从一个实践案例看我国环境风险评价制度的实施
(一)湖北荣成纸业有限公司热电联产工程简介
湖北荣成纸业有限公司拟建设一座热电联产中心,为公司生产和和临港工业园区企业供热,于2015年6月初通过环评。环评报告的环境风险评价包括五个部分。第1部分为环境风险评价的目的:分析和预测建设项目存在的潜在危险、有害因素、建设项目建设和运行期间可能发生的突发性事件或事故(一般不包括人为破坏及自然灾害),引起有毒有害和易燃易爆等物质泄漏,所造成的人身安全与环境影响和损害程度,提出合理可行的防范、应急与减缓措施,以使建设项目事故率、损失和环境影响达到可接受水平。
第2部分为环境风险评价程序图,主要包括风险识别、源项分析、后果计算、风险评价、风险可接受水平、风险管理、应急措施预案。第3部分为环境风险评价,报告指出,拟建工程环境风险主要包括:原煤堆场火灾风险事故、燃料油火灾爆炸、氨水罐泄露、粉尘爆炸、锅炉故障导致二f英增加外排。以事故发生原因为基础,将项目环境风险分为火灾爆炸、不可抗力、设备故障和人员管理四类。根据相关规定确定项目环境风险评价工作等级为二级。对项目的主要环境风险进行分析,主要对每类风险的发生原因进行了介绍,仅对二f英的事故排放可能对人体健康造成的影响进行了简要介绍。第4部分围绕原煤堆场火灾、油库、氨水罐、粉尘、锅炉、事故池、事故废水处理规定了环境风险事故防范措施。第5部分事故应急反映方案规定了预案的启动、职责与任务、现场警戒与疏散措施、事故上报程序与内容和善后处理。
另外,根据相关规定,建设项目环境风险评价是作为环境影响评价的一部分而存在的,所以环境风险评价部分没有独立的公众参与部分,项目环评的公众参与主要包括两种方式,一是媒体公示即两次在湖北省环保厅网站上进行了项目公示;二是公众参与调查表,对松滋市陈店镇全心村的83位居民和附近的3家单位进行了问卷调查。公众参与的结果显示,当地公众对建设项目的了解程度一般,部分人担心项目的运行会对生活环境和身体健康造成不利影响,大部分人认为该项目可以带动当地经济的发展,解决当地农民的就业问题,被调查者全部支持该项目的建设,无人反对该项目的建设。
(二)分析
从上文介绍的环境风险评价实例可以看出:1、我国建设项目环境风险评价将环境风险仅仅简要的分为火灾、爆炸和泄露三类,并局限在项目的突发性事件或事故可能造成的环境风险,并不对项目正常工作过程中的环境风险进行考量;2、环境影响评价对可能造成的人体健康和生态系统的不利影响的阐述不充分,从而环境影响评价的结论即风险是否达到可接受水平让人产生不信任感;3、环境风险评价的过程缺乏互动,不能体现评价结论对项目实施方案的具体影响,公众参与形式化、途径单一,公众意见对项目实施缺乏影响力;4、环境风险评价中仅规定了一些事前的预防措施,缺乏事中和事后监督和必要措施。
三、美国环境健康风险管理框架及其启示
(一)美国环境健康风险管理框架的基本内容
环境风险管理框架已成为国际上环境风险评价制度的发展趋势,在众多已制定的环境风险管理框架中,美国总统/国会风险评价和风险管理委员会的《环境健康风险管理框架》(1997)是最具影响力的框架,为多国制定框架时参考和借鉴。在1990年的清洁空气法修正案中,国会要求组成一个风险评价与风险管理委员会,委员会认为,应改变传统评价与降低风险的方法,以降低风险和改善健康状况为总体目标。委员会希望框架指导公共部门和私营机构有价值的资源投资在研究、评估、表征和降低风险中。
框架包括六个阶段:
1.定义问题并把它放在背景下
对科学的风险管理决策而言,首先需要正确界定问题。通过在复杂背景中识别和表征环境健康风险问题并描述它的特征,仔细考虑问题的背景,确定风险管理的目标和有权或有责任采取行动的风险管理者,并让利益相关者参与到过程中。
2.联系问题背景分析风险
阐明问题引起的事实和科学基础,在数量和质量上处理健康和生态风险,描述负面影响的特性、严重性、可逆性或可预防性。把问题引起的风险放在多源头、多媒介、多种化学物质和多风险背景下。了解利益相关者对问题引起的风险的认识。把问题引起的科学和背景方面的信息结合成问题对人类健康或环境产生的风险进行定性,同时考虑利益相关者的认识和其他社会文化的影响。
3.检查处理风险的选择
这一阶段包括确定可能的风险管理选择,评价选择的效果、可行性、成本收益、非计划中的结果和文化社会影响。这个过程可以在界定问题和考虑背景之后任何合适的时间开始。风险管理者和利益相关者获取了关于可行性、成本与效益分析和减少暴露、降低风险对改善人类和生态健康的贡献的正确评价之后,风险管理目标可能会被重新定义。利益相关者在确定和分析选择阶段发挥重要作用。
4.做出实施何种选择的决策
在框架的这一阶段,决策者基于最佳可得科学、经济和其它技术信息,确保决策考虑了问题的多种来源、多种媒介、多种化学物质、多种风险背景,做出符合成本收益具有可行性的风险管理选择。另外,优先预防风险,而不仅仅是控制风险,可能的话,使用命令―控制管理的替代性方案。一个富有成效的利益相关者参与过程可以对决策产生重要指引作用。
5.采取行动来实施决策
传统上,一直是管理机构的要求推动实施,工厂和市政当局通常是实施者。然而,当其他的利益相关者也能扮演重要角色时,成功的可能性会显著提高。利益相关者可能会包括:公共健康机构、其他公共机构、社区团体、市民、工厂、人和技术专家等。
6.对行动作出评价
在风险管理的这个阶段,决策者和利益相关者评价实施的风险行动以及它们的效果。评价工具包括环境健康监测、研究、疾病监管、成本收益分析和与利益相关者的讨论。在大多数情形,应定期评价。就像风险管理过程其他的阶段,利益相关者参与会让评价更有益。另外,评价中可能出现新信息,评价对了解框架的哪一部分需要被重复非常重要。
(二)美国环境健康风险管理框架的主要特点与启示
1.在更广泛的背景下定义风险
一个风险问题的背景的全面理解对于有效进行风险管理是非常有必要的,因为问题狭窄的背景无法反映风险情况的真实复杂性,造成风险管理决策和行动相比不是很有成效。
2.基于科学信息和最佳判断进行风险评价
风险评估者尊重在缺乏充分数据的情况下得到结论时风险和程序的客观科学基础非常重要。风险评估者应该向风险管理者和其他利益相关者提供看起来合理的,含有支撑不确定性和供选观点的具有证明力的评估,从而可以在可得信息的基础上作出风险结论。
3.利益相关者全过程参与
整个风险管理过程的利益相关方参与被认为是至关重要的。通过全过程参与,不同利益相关方全面沟通与合作,最终平衡各方的意见和观点以做出体现公众价值观的风险决策。
4.重复和评估
公众评论、协商、信息收集、研究或风险与选择的分析可能澄清或重新定义问题,使重心改变到一个不同的问题上,由于重要的新信息、观点和看法出现,风险管理过程会灵活而经常重复。评估对充分地履行职责和理智地利用稀缺资源至关重要。
四、完善建议
(一)在更广泛的背景下定义环境风险
当前我国环境风险评价制度的规定主要集中在建设项目、外来物种、尾矿库、基因工程和职业安全领域。其中,建设项目环境风险评价仅适用于涉及有毒有害和易燃易爆物质的项目,排除了有巨大环境风险的核建设项目,而且因为它是以环境风险事故的防范为导向,导致它对环境风险的定义过于狭窄,仅对突发性事件或事故引起的有毒有害、易燃易爆等物质泄漏进行风险评价,排除了非事故情形下,项目正常运营下可能产生的环境风险。《尾矿库环境风险评估技术导则(试行)》适用于运行期间的尾矿库,不适用于贮存放射性尾矿、伴有放射性尾矿的尾矿库环境风险评估,同建设项目环境风险评价,它也只考量尾矿库可能引发突发环境事件的危险因素。《外来物种环境风险评估技术导则》主要适用于规划和建设项目可能导致的外来物种造成的生态危害的评估。《基因工程安全管理办法》和《职业安全健康管理体系指导意见》分别对遗传工程产品和职业安全风险评估进行了初略的要求性规定。整体来说,从我国环境风险评价的各个分散规定可以看出,我国环境风险的范围相对狭窄,而且一般孤立地考虑单一的化学物质在单一的环境媒介中引起的单一风险进行评价,从而也限制了我国全面、综合的环境风险评价。应改变以事故为导向的环境风险定义,逐步扩大我国环境风险评价范围,在更广泛的公共健康和生态背景下进行环境风险评价。
(二)明确环境风险评价的目标
环境风险评价的目标不应停留在防范风险层面上,而应进一步把环境风险评价的目标明确为保障人体健康和生态健康。防范风险虽然是环境风险评价的直观起点,但忽视人体健康和生态健康目标的环境风险评价是有违环境保护的根本宗旨的。实践中的环境风险评价正是因为缺乏对人体健康和生态健康的要求而导致实施的结果难以让人满意。为了配套环境风险评价保障人体健康和生态健康的目标,国家应积极开展环境健康与环境生态监测、调查与研究,为环境风险评价提供科学和数据支撑。
(三)保障利益相关方的参与
我国现有的利益相关者参与主要在建设项目(包括尾矿库)环境风险评价中得到一定的保障,因为环评对公众参与的要求,公众在其中可有享有一定的环境知情权、发表环境意见权和环境监督权等,但是,在实践中利益相关方的参与有走过场的倾向,处于弱势的利益相关方的环境知情权常常受到侵害,意见不能被充分的考虑,对环境风险评价的进程与结论不能产生实质影响。在外来物种、基因工程和职业安全领域,没有要求利益相关方的参与,利益相关方的环境知情权也难以得到保障。环境风险是一个多维的概念,还必须包括受影响方的观点。环境风险评价只有兼顾各方观点和需求,考虑不同群体的价值观、知识和认知,才能做出更好的风险管理决策,而在决策行动的过程中也不易受到利益相关者的反对和抵触。
(四)构建适合我国的环境风险管理框架和方法
[关键词] 审计风险 内部控制 控制措施
近些年随着国内经济的快速发展,审计环境面临着较大的变化,同时也不断涌现出新的现象,而这些新事物的出现势必会增加审计的难度。所以我们有必要对审计风险进行再研究,不断加强企业的内部控制建设,以便于将审计风险控制在可以接受的程度。
一、审计风险、内部控制、审计控制风险定义
1、审计风险的定义
我国《独立审计具体准则第9号―内部控制与审计风险》将审计风险定义为:会计报表中存在重大错报或漏报,注册会计师审计后发表不恰当审计意见的可能性。而审计风险又由两方面风险构成:一方面是审计人员认为会计报表公允可以接受,但实际上会计报表却存在重大错报的风险;另一方面是审计人员认为会计报表存在重大错报而不能接受,但实际上是公允的风险。审计风险的产生既有注册会计师自身的主观原因,也存在审计方法的客观原因。因此,控制审计风险必须从注册会计师内部和其外部着手,并将两者有机地结合起来进行,才能取得良好的效果。
2、内部控制的定义
《独立审计具体准则第9号―内部控制与审计风险》将内部控制定义为:被审单位为了保证业务活动的有效进行,保护资产的安全和完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。
3、审计控制风险的定义
审计控制风险是指被审计单位的业务和相应的会计处理发生重大错弊不能被内部控制防止和纠正的可能性。被审计单位建立内部控制的主要目的之一就是要防止错误和舞弊。如果被审计单位的内部控制制度存在重要的缺陷或者不能有效地工作,那么错误和舞弊就会进入被审计单位的财务报表系统,由此产生了控制风险。
二、审计风险的防范与控制措施
1、加强审计队伍建设,提高审计人员素质
审计风险的高低,在很大程度上都取决于审计人员个人素质的高低,因此审计人员应当强化风险意识,坚持实事求是,客观公正,并树立严谨踏实的工作作风,认真负责的对待每一项审计业务,严格按照独立审计准则进行审计,以确保审计质量,降低审计风险。加强基础建设,打造管理型、复合型的审计队伍,建立健全各项规章制度,抓好审计人员学习、培训工作,提高审计人员的实际应用能力,拓宽视野,更新知识面,掌握新业务的要点和风险点,提高工作效率。同时,加强理论与实践相结合,积极开展各项调研工作,为内控工作的开展奠定理论基础。
2、加强内部控制审计
内部控制审计的目的是合理地保证企业遵守国家有关法律法规和企业内部规章制度;信息的真实、可靠;资产的安全、完整;经济有效的使用资源,提高经济效率和经营效果等目标。由于被审计单位的内部控制制度存在一定的缺陷,所以被审计单位应从加强经济业务管理、内部控制制度与内部激励制度相结合、建立和完善内部控制评价体系三个方面完善内部控制制度,确保其经济活动经济资料合法性合理性。会计电算化与它的内部控制系统是相互作用和相互影响的。审计人员应选择适当的评价标准,实施适当的审查程序,以评价被审计单位的控制环境;评价企业风险管理机制的健全性和有效性;评价控制活动的适当性、合法性、有效性,控制活动对风险的识别和规避;评价企业获取及处理信息的能力,信息传递渠道的便捷与畅通,管理信息系统的安全可靠性。内部审计人员可以采用文字描述、调查问卷、流程图等方法对内部控制进行描述和评价。内部审计人员应向企业的管理层报告内部控制的审计结果。审计报告应说明审查和评价内部控制的目的、范围、审计结论、审计决定及对改善内部控制的建议。
3、创新内部审计
随着现代企业制度的完善,以“查错纠弊,堵塞漏洞”为主要目标的传统内部审计,已远远不能适应现代经济体制的要求。在审计思路上,要努力实现由传统内部审计向现代内部审计的转变,从事后审计向事前事中审计转变;在审计模式上,应探索构建从风险分析入手确定审计目标、范围和程序,以监督和评价财务状况、经营成果以及风险管理、内部控制和公司治理能力为审计成果,从以财务收支为主的审计,向以管理信息化和计算机审计为技术支撑的效益审计、管理审计转变;在审计目的上,从重视审计的独立性、权威性和强调审计监督,转为强调审计为企业服务,帮助企业实现其目标;在审计内容上,由财务控制向业务控制和信息系统转变,以审计经营活动为起点,以审计内部控制为主线,以审计会计核算、财务表现为终点,全面覆盖企业营运活动;在审计行为上,从不规范的随意性,向规范化、系统化和科学化方向转变。
4、内部审计要外部化
内审外部化是指审计业务由企业外部的民间审计组织全部或部分承担,主要有外包与合作两种形式。前者指企业将其内部审计工作全部或大部分外包给外部审计组织,后者指企业在开展内部审计工作时,根据需要借助外部审计力量,共同完成内部审计工作。内部审计外部化具有一系列优点,可以提高内部审计的独立性。外部审计工作一般都是由注册会计师领导完成,它们独立于企业的所有者和经营者,有一套保证审计准则受到遵循的机制,从而能够客观公正地对企业的财务状况进行审计并报告审计结果。同时,还为企业降低成本,因具有比较高的专业化程度,拥有丰富的经验和广阔的知识,可以提高和稳定审计质量。
5、健全组织结构,授权明确
组织结构的好坏直接关系着审计客体的生存,也影响着审汁风险的高低。组织结构中的各个机构、部门都各有自己的职责,明确授权与责任的关系,采取必要的步骤,保证内部控制的有效性,从而降低审计风险。
三、结语
本文将财务危机预警系统作为企业公司治理的一个重要部分,从财务危机的定义入手,.剖析了我国企业公司财务预警系统存在的问题并提出了改进建议。
【关键词】
财务危机 财务危机预警系统
一、财务危机及财务危机预警系统概述
(一)财务危机
“财务危机”(Financial crisis)又称“财务困境”(Financial distress)或“财务失败”(Financial failure)。国外学者对之有不同的定义。比弗(Beaver)将破产、拖欠股利、拖欠债务界定为财务危机。奥特曼(Altman)将财务危机定义为“企业进入法定破产”。罗斯(Ross)等则认为可以从四个方面来定义企业的财务危机:第一,企业财务失败,即企业清算后任无法支付债权人的债务;第二,法定破产,即企业或债权人向法院申请破产;第三,技术破产,即企业无法履行债务合约付息还本;第四,会计破产,即企业的账面资产出现负数,资不抵债。从定义上来看,他们没有本质上的区别,都集中关注企业的资不抵债,都是从现金流,而不是会计流的角度来下定义的,差别只在于是否将违约视为陷入财务困境的标志,在实际研究中经常混用。
(二)财务危机预警系统
目前,我国理论界对财务危机预警系统的定义尚属探讨阶段,主要有三种代表性观点。第一种观点认为:财务危机预警系统是以企业财务信息数据为基础,以财务指标体系为中心,通过对财务指标综合分析,及时反映企业经营情况和财务状况的变化,并对企业各环节发生或将可能发生的经营风险发出预警信号,为管理当局提供决策依据的监控系统。
另一种观点认为:财务危机预警系统是以企业信息化为基础,对企业在经营管理活动中的潜在风险进行实时监控的系统。 此外,还有一种观点认为:财务危机预警系统就是通过对企业财务报表及相关经营资料的分析,利用及时的财务数据和相应的数据化管理方式,将企业所面临的危机情况预先告知企业经营者或其他利益相关者或是其他利益关系人,并分析企业发生财务危机的原因和企业财务运营体系隐藏的问题,以提早做好防范措施的财务分析系统。这一观点比较全面的涵盖了财务危机预警系统的工作过程和功能。笔者赞同第三种观点,也是以此为基础进行论述的。
二、我国企业公司财务危机预警系统现状
我国财务预警系统的建立和应用还不是很完善,目前财务预警系统只注重对企业财务数据的统计、财务指标的筛选、检查和财务模型的计算分析等一些量化的方法进行财务管理,在财务预警系统的应用上还存在很多问题。
1.企业财务预警系统与管理信息系统不能有效整合
目前,虽然许多企业建立了自己的管理信息系统,但大多企业的财务预警系统往往自成体系,或仅作为会计信息系统的一个子系统,仅仅利用会计信息而很少利用其他的业务信息,这种缺乏业务信息支持的财务预警信号的准确性不高,时效性也较差。
2.忽视了定性方法在财务风险评估中的作用
财务风险评估是测量、判断财务风险大小的活动过程。当前,比较常用的财务风险评估模型主要有单一指标模型、Z 分数模型和F 分数模型等。这些模型在选择自变量时均采用可量化的财务指标,在评价方法上均采用经典数学评价方法。经典数学评价方法的特点是精确性,而财务风险高低实际上是一个模糊概念,单一的定量分析可能与现实相矛盾。现代企业管理更加注重一些非量化因素,如企业管理者的风险意识、财务人员素质、人员流动状况、顾客满意度等,这些非量化因素对企业财务风险评价的影响越来越大,忽视定性方法和非财务指标,可能导致财务风险评价结果的不全面、不准确。
3.忽视现金流量指标的运用
完整的财务状况一般包括:企业资产质量及规模状况、资本结构状况、盈利状况以及现金流量状况。目前财务预警模型在变量选择上,应用最多的是资产负债率、营运资金负债总额、流动比率、速动比率、净资产收益率、销售净利率等。这些变量均来自于资产负债表和利润表,用来评价企业的资产质量、资本结构和盈利状况,而现金流量指标的运用较少,忽视了对企业现金流动状况的评价,从而削弱财务风险评价模型的预测效果。
4.警示功能单一
完善的财务预警系统应具备信息收集、预知风险和控制风险三种功能。当前企业财务预警系统主要通过对会计信息系统中的数据进行监测分析,找出与企业财务状况有关的指标,与事先设定的临界标准比较,以发现财务危机的征兆,即财务预警系统主要是发现问题、预示风险,却不能控制风险。
三、对我国企业公司建立现代财务预警系统建议
1.增强利益相关者的风险防范意识。
无论是席卷全球的金融危机还是个别上市公司的财务危机,其发生和蔓延都与利益相关者的风险防范意识的薄弱有关。因此,树立较强的风险防范意识,是完善上市公司财务预警系统,最大限度防止财务危机的发生,以及保证预警系统有效运行的前提。
2.力求会计信息的真实、完整和及时。
财务预警系统是建立在对会计信息进行加工和处理基础上的,会计信息是否真实、完整和及时,直接关系到公司财务预警的质量,并影响财务预警系统职能的发挥。这不仅要求会计从业人员严格遵守“诚信为本、操守为重、坚持准则、不作假账”的职业道德,还要求公司有完善的内控制度。内控失效将导致信息失真,从而使财务预警分析变得毫无意义。
3.协调财务预警系统与其他子系统的关系。
企业公司是一个有机整体,管理者应考虑不同子系统的数据传递和各子系统对各种数据的不同要求,实现公司数据共享,使各子系统之间的关系变得更加和谐,从而建立以财务为中心的信息集中、反馈系统,这样才能更好地发挥财务预警的作用。
4.完善社会评估机制。
目前,我国社会评估机构还不健全,权威性的民间评估机构甚少,且水平参差不齐。因此,应加强对社会评估机构的管理,提高评估人员的技术、责任和素质,使企业公司能借助社会评估机构所作的权威性结论,对公司财务状况和经营情况做出客观评价,从而进一步完善本公司的财务预警系统。
参考文献
[1] COSO制定.方红星等译,企业风险管理—整合框架[M],东北财经大学出版社,2008
[2]周春生,企业风险与危机管理[M],北京大学出版社,2007
[3]田高良,上市公司财务危机实时预警管理机制探讨[J],会计之友,2004(1)
[4]贾明琪,上市公司财务困境预警系统模型及实证研究[J],华东经济管理,2008(5)
[5]胡文萍等,企业财务分析技术[M],中国经济出版社,2002
关键词:网络安全;风险评估;模糊综合评价
0 前言
网络安全正逐渐成为一个国际化的问题,每年全球因计算机网络的安全系统被破坏而造成的经济损失达数千亿美元。网络安全是一个系统的概念,有效的安全策略或方案的制定,是网络信息安全的首要目标。安全风险评估是建立网络防护系统,实施风险管理程序所开展的一项基础性工作。
然而,现有的评估方法在科学性、合理性方面存在一定欠缺。例如:评审法要求严格按照BS7799标准,缺乏实际可操作性;漏洞分析法只是单纯通过简单的漏洞扫描或渗透测试等方式对安全资产进行评估;层次分析法主要以专家的知识经验和统计工具为基础进行定性评估。针对现有网络安全评估方法中出现的这些问题,本文拟引用一种定性与定量相结合,综合化程度较高的评标方法――模糊综合评价法。
模糊综合评价法可根据多因素对事物进行评价,是一种运用模糊数学原理分析和评价具有“模糊性”的事物的系统分析方法,它是一种以模糊推理为主的定性与定量相结合、非精确与精确相统一的分析评价方法。该方法利用模糊隶属度理论把定性指标合理的定量化,很好的解决了现有网络安全风险评估方法中存在的评估指标单一、评估过程不合理的问题。
1 关于风险评估的几个重要概念
按照ITSEC的定义对本文涉及的重要概念加以解释:
风险(Risk):威胁主体利用资产的漏洞对其造成损失或破坏的可能性。
威胁(Threat):导致对系统或组织有害的,未预料的事件发生的可能性。
漏洞(Vulnerabmty):指的是可以被威胁利用的系统缺陷,能够增加系统被攻击的可能性。
资产(Asset):资产是属于某个组织的有价值的信息或者资源,本文指的是与评估对象信息处理有关的信息和信息载体。
2 网络安全风险评估模型
2.1 网络安全风险评估中的评估要素
从风险评估的角度看,信息资产的脆弱性和威胁的严重性相结合,可以获得威胁产生时实际造成损害的成功率,将此成功率和威胁的暴露率相结合便可以得出安全风险的可能性。
可见,信息资产价值、安全威胁和安全漏洞是风险评估时必须评估的三个要素。从风险管理的角度看,这三者也构成了逻辑上不可分割的有机整体:①信息资产的影响价值表明了保护对象的重要性和必要性。完整的安全策略体系中应当包含一个可接受风险的概念;②根据IS0-13335的定义,安全威胁是有能力造成安全事件并可能造成系统、组织和资产损害的环境因素。可以通过降低威胁的方法来降低安全风险,从而达到降低安全风险的目的;③根据IS0-13335的观点,漏洞是和资产相联系的。漏洞可能为威胁所利用,从而导致对信息系统或者业务对象的损害。同样,也可以通过弥补安全漏洞的方法来降低安全风险。
从以上分析可以看出,安全风险是指资产外部的威胁因素利用资产本身的固有漏洞对资产的价值造成的损害,因此风险评估过程就是资产价值、资产固有漏洞以及威胁的确定过程。
即风险R=f(z,t,v)。其中:z为资产的价值,v为网络的脆弱性等级,t为对网络的威胁评估等级。
2.2 资产评估
资产评估是风险评估过程的重要因素,主要是针对与企业运作有关的安全资产。通过对这些资产的评估,根据组织的安全需求,筛选出重要的资产,即可能会威胁到企业运作的资产。资产评估一方面是资产的价值评估,针对有形资产;另一方面是资产的重要性评估,主要是从资产的安全属性分析资产对企业运作的影响。资产评估能提供:①企业内部重要资产信息的管理;②重要资产的价值评估;③资产对企业运作的重要性评估;④确定漏洞扫描器的分布。
2.3 威胁评估
安全威胁是可以导致安全事故和信息资产损失的活动。安全威胁的获取手段主要有:IDS取样、模拟入侵测试、顾问访谈、人工评估、策略及文档分析和安全审计。通过以上的威胁评估手段,一方面可以了解组织信息安全的环境,另一方面同时对安全威胁进行半定量赋值,分别表示强度不同的安全威胁。
威胁评估大致来说包括:①确定相对重要的财产,以及其价值等安全要求;②明确每种类型资产的薄弱环节,确定可能存在的威胁类型;③分析利用这些薄弱环节进行某种威胁的可能性;④对每种可能存在的威胁具体分析造成损坏的能力;⑤估计每种攻击的代价;⑥估算出可能的应付措施的费用。
2.4 脆弱性评估
安全漏洞是信息资产自身的一种缺陷。漏洞评估包括漏洞信息收集、安全事件信息收集、漏洞扫描、漏洞结果评估等。
通过对资产所提供的服务进行漏洞扫描得到的结果,我们可以分析出此设备提供的所有服务的风险状况,进而得出不同服务的风险值。然后根据不同服务在资产中的权重,结合该服务的风险级别,可以最后得到资产的漏洞风险值。
3 评估方法
3.1传统的评估方法
关于安全风险评估的最直接的评估模型就是,以一个简单的类数学模型来计算风险。即:风险=威胁+脆弱+资产影响
但是,逻辑与计算需要乘积而不是和的数学模型。即:风险=威胁x脆弱x资产影响
3.2 模糊数学评估方法
然而,为了计算风险,必须计量各单独组成要素(威胁、脆弱和影响)。现有的评估方法常用一个简单的数字指标作为分界线,界限两边截然分为两个级别。同时,因为风险要素的赋值是离散的,而非连续的,所以对于风险要素的确定和评估本身也有很大的主观性和不精确性,因此运用以上评估算法,最后得到的风险值有很大的偏差。用模糊数学方法对网络安全的风险评估进行研究和分析,能较好地解决评估的模糊性,也在一定程度上解决了从定性到定量的难题。在风险评估中,出现误差是很普遍的现象。风险评估误差的存在,增加了评估工作的复杂性,如何把握和处理评估误差,是评估工作的难点之一。
在本评估模型中,借鉴了模糊数学概念和方法中比较重要的部分。这样做是为了既能比较简单地得到一个直观的用户易接受的评估结果,又能充分考虑到影响评估的各因素的精度及其他一些因素,尽量消除因为评估的主观性和离散数据所带来的偏差。
(1)确定隶属函数。
在模糊理论中,运用隶属度来刻画客观事物中大量的模糊界限,而隶属度可用隶属函数来表达。如在根据下面的表格确定风险等级时,当U值等于49时为低风险,等于51时就成了中等风险。
此时如运用模糊概念,用隶属度来刻画这条分界线就好得多。比如,当U值等于50时,隶属低风险的程度为60%,隶属中等风险的程度为40%。
为了确定模糊运算,需要为每一个评估因子确定一种隶属函数。如对于资产因子,考虑到由于资产级别定义时的离散性和不精确性,致使资产重要级别较高的资产(如4级资产)也有隶属于中级级别资产(如3级资产)的可能性,可定义如下的资产隶属函数体现这一因素:当资产级别为3时,资产隶属于二级风险级别的程度为10%,隶属于三级风险级别的程度为80%,属于四级风险级别的程度为10%。
威胁因子和漏洞因子的隶属度函数同样也完全可以根据评估对象和具体情况进行定义。
(2)建立关系模糊矩阵。
对各单项指标(评估因子)分别进行评价。可取U为各单项指标的集合,则U=(资产,漏洞,威胁);取V为风险级别的集合,针对我们的评估系统,则V=(低,较低,中,较高,高)。对U上的每个单项指标进行评价,通过各自的隶属函数分别求出各单项指标对于V上五个风险级别的隶属度。例如,漏洞因子有一组实测值,就可以分别求出属于各个风险级别的隶属度,得出一组五个数。同样资产,威胁因子也可以得出一组数,组成一个5×3模糊矩阵,记为关系模糊矩阵R。
(3)权重模糊矩阵。
一般来说,风险级别比较高的因子对于综合风险的影响也是最大的。换句话说,高的综合风险往往来自于那些高风险级别的因子。因此各单项指标中那些风险级别比较高的应该得到更大的重视,即权重也应该较大。设每个单项指标的权重值为β1。得到一个模糊矩阵,记为权重模糊矩阵B,则B=(β1,β2,β3)。
(4)模糊综合评价算法。
进行单项评价并配以权重后,可以得到两个模糊矩阵,即权重模糊矩阵B和关系模糊矩阵R。则模糊综合评价模型为:Y=B x R。其中Y为模糊综合评估结果。Y应该为一个1x 5的矩阵:Y=(y1,y2,y3,y4,y5)。其中yi代表最后的综合评估结果隶属于第i个风险级别的程度。这样,最后将得到一个模糊评估形式的结果,当然也可以对这个结果进行量化。比如我们可以定义N=1×y1十2×y2十3×y3×y4十5×y5作为一个最终的数值结果。
4 网络安全风险评估示例
以下用实例说明基于模糊数学的风险评估模型在网络安全风险评估中的应用。
在评估模型中,我们首先要进行资产、威胁和漏洞的评估。假设对同样的某项资产,我们进行了资产评估、威胁评估和漏洞评估,得到的风险级别分别为:4、2、2。
那么根据隶属函数的定义,各个因子隶属于各个风险级别的隶属度为:
如果要进行量化,那么最后的评估风险值为:PI= 1*0.06+2*0.48+3*0.1+4*0.32+5*0.04=2.8。因此此时该资产的安全风险值为2.8。
参考文献
[1]郭仲伟.风险分析与决策[M].北京:机械工业出版社,1987.
[2]韩立岩,汪培庄.应用模糊数学[M].北京:首都经济贸易大学出版社,1998.
[3]徐小琳,龚向阳.网络安全评估软件综述[J].网络信息安全,2001.
关键词:公路工程项目;风险分析;风险评价
1 风险理论的发展现状
(1)国外风险理论的发展现状
企业风险管理起源于美国,在20世纪60年代,一门新的独立的学科―风险管理在美国正式形成。从此风险管理在西方资本主义国家得到了迅猛的发展。1963年梅尔和赫奇斯的《企业的风险管理》与1964年威廉姆斯和汉斯的《风险管理与保险》标志着人们对风险管理学系统研究的开始。
(2)我国风险理论的发展现状
我国的风险管理始于20世纪80年代。在台湾,美籍华人段开岭博士首先发起风险运动,宋明哲提出了风险的“主观说”和“客观说”;卢有杰等与王卓甫比较详细地阐述了工程项目管理的整个过程;姜青舫论述了风险的偏好特性,并给出了四类风险的量测公式。赵振宇将可靠性工程研究中的故障树分析法引入工程项目风险管理,并应用图形演绎方法构建了工程项目风险故障树。
2公路施工企业经营风险分析
2.1风险与企业风险管理
2.1.1风险的定义及特征
(1)风险的定义
关于风险的定义,学术界尚无一个统一的定义。在此,我们对风险的定义为:风险是对特定系统危险事件的发生概率及其后果的综合描述。
(2)风险的特征
风险作为项目中存在的普遍现象,它具有以下特征:客观性;突发性;不确定性;相对性;可变性;可测性。
2.1.2企业风险管理的基本理论
“企业风险管理是对经营风险、财务风险和业务风险的综合管理,从而化风险为企业的股东价值最大化”。企业所面临的风险相互作用与影响,风险管理学科涉及到企业内部各个层次和部门人员,企业风险管理的目标是为股东增加其短期和长期的价值。
2.1.3企业风险管理的基本内容
作为一种管理活动,企业风险管理是由一系列行为构成的。其中包括风险识别、风险处理、风险评估、风险管理效果评价。
2.1.4.公路工程风险的构成
1)工程质量风险;2)工程进度风险;3)工程费用风险;4)工程勘察设计能力风险;5)人身伤亡以及工程或设备毁损的风险;6)市场风险;7)建设市场信用风险;8)法律责任风险;9)所处环境风险。
2.2公路工程项目风险影响因素分析
2.2.1公路工程项目工期风险
公路工程项目工期风险是由于某种原因造成整个公路工程或局部的工程活动(分项工程)的工期延长,不能及时投入使用。
影响公路工程工期风险的因素主要有:1)项目业主方面的因素;2)项目经理方面的因素;3)项目计划与控制方面的因素;4)承包商方面的因素;5)计量与支付方面的因素;6)分包商与劳务队伍方面的因素;7)不可抗拒力的影响因素。
2.2.2公路工程项目费用风险
公路工程项目费用风险包括:财务风险、成本超支、投资追加、收入减少、投资回收期延长或无法回收、回报率降低。
影响公路工程项目费用风险的因素主要有:1)项目业主方面的因素;2)项目经理方面的因素;3)项目计划方面的因素;4)―项目预算方面的因素;5)项目组成员方面的因素;6)分包商与劳务队伍方面的因素;7)计量与支付方面的因素;8)不可抗拒力的影响因素。
2.2.3公路工程项目技术风险
公路工程项目的技术风险指应用新技术、新工艺方法困难或失败,施工技术和方案不合理,场地沉降或地基移动对周围建筑物产生影响,临时设施的设计和施工的失误,施工工艺落后,现场进度计划不合理,承包商对技术文件和规范理解不正确。
影响公路工程项目技术风险的因素主要有:1)项目技术组织结构方面的因素;2)承包商方面的因素;3)项目预算方面的因素;4)项目控制方面的因素;5)分包商与劳务队伍方面的因素。
3 公路工程项目风险评价
3.1 工程项目风险评价方法概述
工程项目进行风险评价的方法很多,常用的有主观评分法、层次分析法、故障树法、外推法、决策树分析法、模糊风险综合评价法、蒙托卡罗模拟法等。
3.2 公路工程项目风险评价指标体系的建立
公路工程项目方案选择有赖于对公路工程项目备选方案进行风险全面评价,而评价的核心就是建立一套评价公路工程项目备选方案的评价指标体系。建立合理的评价指标体系是公路工程项目进行风险综合评价的基础。考虑到公路工程项目的特点,把公路工程项目工期风险、费用风险、质量风险、技术风险、安全与法律风险等因素融合在评价指标体系中;同时在建立指标体系时,应尽可能的反映公路工程项目的特点,有针对性的评价公路工程项目建设的风险。
3.3公路工程项目风险多层次模糊综合评价模型
在公路工程项目方案选择的过程中,由于不同方案的风险影响程度也不相同,公路工程项目的特点要求在公路工程项目方案的选择中尽可能选择风险比较小的方案来进行。
4结论与展望
4.1结论
公路交通事业飞速发展,公路运输在中国公路施工企业也如雨后春笋一般出现了。然而,公路施工企业经营风险的研究,目前只停留在定性风险因素分析和经验风险预防措施的总结上。因此,利用科学的定性和定量相结合的评价方法进行公路施工企业的风险评估,并探讨对风险的应对措施,具有重要的现实意义。
4.2展望
①风险评价和风险管理在国内已不是新事物,但就其实际应用来说,已经是非常缺乏了。公路经营企业也很少有专门的风险管理人才和机构,因此,如何研究和实践, 真正造福企业是研究人员应该继续关注和思考的问题。
②公路经营企业风险的研究是一个庞大的系统工程,但这个研究仅仅为一项二级指标。事实上,许多二级指标可进一步细化,甚至可以独立的研究,特别是通过评估,并确定了关键因素,但也需要仔细研究下去。
③由于公路工程项目风险管理的复杂性,许多问题仍需要进一步的研究和探讨,这些问题主要有以下几点:
(1)采取什么样的技术手段可以更加有效的避免公路工程项目风险的发生,对于合同双方未能充分预见风险及明确由谁来承担相应的风险责任,如何利用法律和合同维护自已的利益。
(2)如何能够理论联系实际,将风险研究的方法和结论更加有效的应用到实践当中去,使之发挥应有的作用。
参考文献
[1] 小阿瑟・威廉姆斯,理查德・M・汉斯. 风险管理与保险[M]. 北京:中国商业出版社,1990.32~36
[2] 宋明哲.风险管理[M]. 台北:中华企业管理发展中心,1973.3~6
【关键词】内部控制 控制评审 评价
近年来,国内相关机构和企事业单位顺应单位管理的内在需要,逐步引入了内部控制及内部控制评审的理论,组织开展了一系列理论研究和实务探索,取得了一定成果。本文以内部控制评价为目标,以内部控制要素的评审为基础。以内部控制系统的业务流程测试检查为手段,对内部控制评审的内容、程序、方法、评价标准等进行了初步探讨。
一、内部控制、内部控制评审的定义
(一)内部控制的定义
在西方国家,内部控制的概念具有历史性,内部控制(InternalControl)一词,最早出现在1936年美国会计师协会的《注册会计师对财务报表的审查》文告中。之后,随着内部控制理论以及认识的不断发展。至二十世纪的七十年代在美国以及其他一些西方国家和组织,内部控制概念的内涵和外延也都发生了较大的变化,内部控制理论由最初的“内部牵制理论”阶段,发展到“内部会计控制与内部管理控制”时期。
1992年。美国反欺诈性财务报告委员会的主办机构委员会(即COSO委员会)了《内部控制――整体框架》报告,即著名的COSO报告,报告对内部控制的定义为:“内部控制是由单位董事会、经理当局以及其他员工为达到财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循等三个目标而提供合理保证的过程”。COSO报告同时认为内部控制包括内部控制环境、风险识别与评估、内部控制活动、监督评价与纠正、信息交流与反馈等五个相互联系的要素,这五大要素服务于上述三大目标。这也是目前比较成熟的内部控制理论,它受到了各国理论界和实务界的广泛关注和普遍认可,国际内部控制理论也因此发展到“内部控制结构和内部控制整体框架理论”阶段。此后,COSO报告也成为美国各界,乃至世界上许多国家和组织制定内部控制文件的依据。
在我国,许多部门、机构和行业也从自身需要出发对内部控制作出过定义,但大都是根据部门或行业不同要求而各有侧重。本文所探讨的内部控制和内部控制评审主要是基于COSO报告的定义。
(二)内部控制评审的定义
目前,国内外的理论界和实务界对内部控制评审的定义尚未形成统一的认识。COSO报告认为,在内部控制系统中,所有部门、岗位都在其中充当着角色。从内审的角度来看,内部控制评审是指以内审人员为主,吸收相关专业技术人员和专家参加的,对内部控制系统建设、实施情况进行的调查、测试、分析、审核和评价等系统性活动,主要测评内部控制系统是否健全、合理,以及执行是否有效,以便进一步完善内部控制系统,改进控制方法和手段,降低控制成本,堵塞管理漏洞,提高内部控制效率,保证生产经营管理活动有序、高效、健康地运行。
二、内部控制评审的内容
内部控制系统的设计不论是按部门、按项目,还是按业务流程。都是围绕内部控制环境、风险识别与评估、内部控制活动、监督评价与纠正、信息交流与反馈这五大要素进行的,因此内部控制评审也应是对内部控制五大要素的评审,评审的内容就是内部控制系统五大要素的各项内容是否健全、是否合理以及执行是否有效。
(一)自部控制环境评审的内容
内部控制环境是内部控制的基础。它是影响和制约其他控制要素发挥作用的重要因素。内部控制环境的评审是指对内部控制系统所依存的软硬环境的各项因素运作状况的健全性、合理性和有效性所进行的评审。评审的内容主要有:组织架构的建立、规范运作和分权制衡:内部控制系统中董事会的建立和完善责任,监事会的监督责任,高级管理层的执行和完善责任;内部控制目标的建立、改进和实现;健康的企业文化建立情况和企业文化为内部控制提供适宜环境;人力资源政策和程序、人力资源日常管理情况等。
(二)风险识别与评估评审的内容
风险识别与评估是指识别和分析那些妨碍实现经营管理目标的各项因素的活动,它包括风险识别和风险分析评估两部分,对风险的分析评估构成了风险管理决策的基础。
风险识别与评估的评审是指对来自内外部对生产经营、财务报告、经营管理目标有影响的各种风险的识别与评估情况所进行的评审。评审的内容是风险识别与评估机制及其运行是否健全、合理、有效,主要包括在经营管理活动中风险的识别和评估是否充分、合理:识别和获取适用法律法规要求的程序建立和执行的情况;与风险识别和评估相对应的内部控制措施方案的内容及执行情况等。
(三)自部控制活动评审的内容
内部控制活动是指为了确保经营管理目标的实现,指导员工实施管理指令,管理和化解风险而采取的政策和程序,包括高层检查、直接管理、信息加工、实物控制、确定指标、职责分离等。
内部控制活动的评审是指对为进行管理和化解风险而采取的控制活动情况所进行的评审。评审的内容是内部控制活动的健全性、合理性、有效性,主要包括所采取的控制措施和程序的健全、合理、有效程度;计算机系统环境下,为确保信息的完整、安全和可用性而采取措施的健全、合理和有效程度;应急预案的建立和执行、应急设备和设施的定期检查情况等。
(四)监督评价与纠正评审的内容
监督评价与纠正是指由特定人员对一定时期的内部控制运行状况进行评估和实施纠正的情况,可采取持续监督和个别评估分别进行或两者结合进行的方式。
监督评价与纠正的评审是指对内部控制监督评价与纠正机制及其运行情况是否健全、合理、有效所进行的评审,主要包括内部控制绩效监测程序建立和执行;内部控制系统监督评价书面程序的建立和执行:对内部控制进行不断完善的情况等内容。
三、内部控制评审方法
内控评审的方法多种多样,可以使用一种方法,也可以同时使用多种方法进行,要根据评审的实际灵活运用,不应有所限制和局限,评审方法的选择应以符合实际、科学方便、经济实用为原则。
(一)抽样法
通过抽取一定数量且具有代表性的样本进行调查和测试,根据样本来推断总体状况的一种评审方法。它需要在制定评审实施方案时确定具体的抽样规模和比例,评审人员从财务凭证和合同的签订人手,对每一业务流程或特定控制点抽取一定数量的业务进行测试,据此来推断内部控制的总体状况。在抽取样本时,所抽样本要有一定的代表性,尽可能包括大、中、小三种金额类型,以便全面反映内部控制的执行情况,可采取整批抽样、分层抽样、系统抽样、随机抽样等方式。在抽样方法中,重要的是样本范围的制定和抽取,只要按照合理的允许的误差科学地抽取了样本,通过对样本的评审是能够满足对单位整个经济活动的评审需要的。
(二)穿行测试法
穿行测试也称全程测试,通常用于对业务流程或具体业务的测试与评价。即评审人员在每一类循环中选择一笔或若干笔具体业务,比照业务流程从头到尾检查其实际处理过程,检查测试该流程步骤和控制点的执行情况,以验证所描述的内部控制的客观性和真实性。这是内部审计经常运用的一种简便易行的技术方法,特别适用于对内部控制的评审中,通过对一笔或若干具体业务的穿行测试,可以比较直观有效的反映一个或若干业务流程的内部控制情况。
(三)证据检查珐
证据检查法是内控评审工作最重要的检查方法之一。评审人员在运用抽样、穿行测试等评审方法时,要求被评审单位在限定的时间内,提供被评审业务主要控制点对应的相关资料,如凭证、账簿、报表、借据、协议合同等等。通过对这些书面证据的检查,验证各项控制措施在实际业务操作中是否得到了有效的贯彻执行。
(四)压力测试法
即测试被评审单位关键业务处理程序和控制措施能够承受的压力程度以及在承受相应压力时所发挥的作用。
(五)流程图法
流程图法主要用于内部控制系统的健全性和合理性测试,即利用符号和图形来表示被评审单位组织结构、职责分工、权限、经营业务的性质及种类,各种业务处理规程、各种会计记录等内部控制状况的示意图。流程图法的运用可以使评审人员清晰地看出被评审单位内部控制系统如何运行,业务的风险控制点和控制措施,有助于发现各内部控制系统的缺陷和评审重点。
四、内部控制评价标准与结果
评审组在现场评审结束后,应依据内部控制评价标准,对被评审单位进行综合评价并出具评审报告。综合评价应坚持定性分析与定量分析相结合的原则,做到量化合理、定性准确。在对各项评审内容严格审查、测试和初步评价的基础上,应对单位整个内部控制系统的健全性、合理性以及执行的有效性做出全面评价,内部控制的评价标准也就是内部控制是否健全、是否合理适用以及执行是否有效的问题。
(一)自部控制的健全性
内部控制的健全性是指单位根据生产经营管理的自身需要,应设置的内部控制系统的内容都比较完备,而且所设置的内部控制系统对单位的生产经营管理活动的全过程能进行自始自终的控制。健全性评价可依据评分分为优、良、基本健全、不健全四个级次。
(二)内部控制的合理性
内部控制的合理性主要是指内部控制设计和执行时的适用性、合规性、经济性,它是在健全性的基础上对单位内部控制更深一层次的要求,评审组根据对内部控制评审内容的测试结果做出评价。合理性评价同样可依据评分分为优秀、良好、基本合理、不合理四个级次。
(三)自部控制的有效性
内部控制的有效性是指设计比较健全、比较合理的内部控制在单位的生产经营管理过程中,能够得到贯彻执行并发挥作用,实现其为单位提高经营效率、规避财务风险和经营风险、遵循国家法律法规提供合理保证的目标。有效性是内部控制的精髓,评审组应根据对内部控制评审内容的测试结果,对各项业务目标是否能够实现,各项业务风险的评估与规避情况如何,内部控制所起到的作用与效果如何等等做出评价。有效性的评价同样可依据评分分为优秀、良好、基本有效、无效四个级次。
Abstract: The definition of complex technical construction projects is put forward, and a novel approach is proposed for analyzing schedule risks. Firstly, schedule risk factors are identified to get complex technical risks. Secondly, based on the relevant theory of risk chain, the correlation between the risk factors of the schedule is evaluated and the risk chain is separated. Thirdly, the technical maturity levels and technical requirements in the TRRA risk matrix are described and defined, and the impact of risk factors on process duration is assessed. Fourthly, the information of project schedule,risk chain and schedule risk are input into Monte Carlo simulation,the risk is estimated and analyzed based on the assessment results. Finally, the method is applied in the example.
P键词: 技术复杂型建设项目;项风险链;技术成熟度;进度风险;风险分析
Key words: technical complex construction projects;risk chain;technology maturity level;schedule risks;risk analysis
中图分类号:F284 文献标识码:A 文章编号:1006-4311(2017)11-0008-04
0 引言
随着全球化、城市化和技术的进步,工程的规模越来越庞大,建筑形态、结构形式也越来越多样,涌现出一大批技术复杂型建设项目。相比于其他建设项目,技术复杂型建设项目如央视主楼、奥运会主体育馆等,具有建筑形态新颖、结构复杂等特点,这些特征使得这些建设项目成为一个技术复杂型的系统。建设项目的技术复杂性使得该类型项目进度风险分析的难度大大增加。
对于建设项目的风险分析,通常所采用的方法有:认为风险因素间与工序间均相互独立的贝叶斯网络[1]、人工神经网络[2]等;认为工序间存在逻辑关系与相关性的CEV模型[3]、NECTOR模型[4]、BN-CPM模型[5]等;认为风险因素间和工序间均存在关联性的CSRAM 模型、相关性系数-关键路径、风险链-仿真模拟[6]等。对于技术复杂型项目,目前国内外通常所采用的风险分析的方法有:概率-影响矩阵、蒙特卡洛模拟法、决策树法、模糊分析法等;考虑技术复杂部分无经验或经验少,采用TRRA风险矩阵代替概率-影响矩阵[7]。然而,技术复杂型建设项目进度风险分析的研究方法却比较少见。文章将技术复杂型建设项目作为研究对象,关注风险因素相关性和工序关联性,引入TRRA风险矩阵,并结合风险链与仿真模拟,对其进度风险进行分析。并对该方法进行实际应用。
1 风险链与TRRA风险矩阵的相关理论
1.1 风险链的概念
某一风险元引发风险事件,可能造成另一风险元引发风险事件,这些风险元的集合就是风险链[6]。风险链在实践中显而易见,例如:某施工工序采用新工艺会导致施工人员需要花费较多时间研究,由于施工人员对该工艺不熟练影响施工效率,从而引起工期延误,同时也容易导致返工的概率增加等。因此,风险链体现了风险之间的相关性。
1.2 TRRA风险矩阵
采用技术成熟度(TRL)、技术需求值(TNV)、技术困难度(R&D3),构成风险矩阵。该矩阵中,风险发生的概率由技术困难度(R&D3)来替代,风险发生的影响程度用技术成熟度差值(?驻TRL,目标技术成熟度与值之差)与技术需求值(TNV)替代。采用该方法易量化技术风险发生的可能性和影响程度[7]。
1.2.1 技术成熟度
技术成熟度,是指技术在现阶段可以使得项目最终能够顺利实施的程度。技术成熟度等级(Technology Readiness Level,TRL),是对技术成熟程度进行度量的标准[8]。文章在航天工程、设备制造工程、复杂新型产品[11]等不同行业界定技术成熟度等级所采用通用原则的基础上,结合工程建设项目中所采用技术的特点,给出工程建设中某项技术的技术成熟度等级。如表1所示。
1.2.2 技术需求值
技术成熟度和技术困难度均存在无法体现整个项目进行过程中该项技术重要程度的问题,因此,就需要在TRRA风险矩阵中设置“技术需求值”(TNV),一个可以描述技术重要性的参数。文章参照航天工程、设备制造工程等行业的定义并结合工程建设项目的特点,给出工程建设项目的技术需求值。如表2所示。
由于风险发生的概率通过仿真会得以体现,因此,仅将TRRA风险矩阵中技术成熟度差值与技术需求度值的乘积来量化复杂技术风险对进度的影响程度。
2 风险链-TRRA进度风险分析方法
采用该方法对独立的风险链进行分析,具体步骤为:①项目进度网络计划图的建立;②风险链的识别,包含识别进度风险因素及其关联性,并分割出风险链;③仿真及评估,创建模型并对进度进行模拟,根据输出值进行计算。
2.1 识别风险链
识别风险链主要包括风险因素的识别、风险因素间关系的确立、关系网络的创建和风险链的分割等四部分。
风险因素识别的主要方法有德尔菲法、专家会议法、头脑风暴法等。也可通过查阅类似项目历史资料和参考风险列表来完成。
风险因素间关系的确立通常采用专家打分法,由于这种方法存在较大的主观性,需要消除应用该方法所带来的影响。因此文章采用以下措施:<叶苑缦找蛩丶涞南喙匦愿出评价值;采用0,1,2,3来确定(0-无关,1-相关性弱,2-相关性强,3-相关性很强),参照表3最终确定风险因素间的是否相关[6]。其中,X为评价值的平均数,P表示0、1的数量,Q表示2、3的数量。具体如表3所示。
风险因素间关系网络的建立依据前述评价结果。创建网络时,如果存在r1和r2相关,并且r1可能诱发r2,则从r1至r2用有向线连接起来;如果不相关,则不连接。如图1所示。
风险链的分割是在风险因素相关关系网络创建的基础,主要依据以下步骤:①将所有进度风险因素的集合定义为R={r1,r2,,…rn}。②任一风险因素ri及其所影响R中元素的集合,叫做ri的影响集,记为Y(ri),如图2,Y(r1)={r1,r3,r5}。③任一风险因素ri及其影响ri元素的集合,叫做ri的被影响集。记为B(ri)。如图2,B(r3)={r1,r3}。④任一风险因素ri的影响集与被影响集的交集,叫做ri的共同集。记为G(ri)。如图2,Y(r3)={r3,r5},B(r3)={r1,r3}得到G(r3)={Y(r3)∩B(r3)}={r3}。⑤若风险因素ri,有Y(r3)=G(r3),则ri为该风险链的起点。⑥风险因素关系网络,若任两个起点re,rf存在Y(re)∩Y(rf)≠?I,则Y(rj),Y(rk)中风险因素属于在同一风险链上,说明该风险因素关系网络不可分割;若有两个起点re,rf,存在Y(re)∩Y(rf)=?I,说明风险因素关系网络可分割,且分割出风险链的组成元素就是Y(re)和Y(rf)。
将图2中的部分作为研究对象,说明风险链的分割过程。如表4所示。
由表4的分割过程可知该网络有两个起点分别是r1和r2,易得Y(r1)∩Y(r2)=?准,说明以两个风险因素为起点的风险链为单独风险链。因此,该网络分割的风险链为2条,分别是:r1r3r5,r2r4。
2.2 仿真模型
风险本身的不确定性,导致通过单一数据无法真实反映风险因素对进度的影响。另外,各工序对项目总工期的影响程度也有所不同。因此,通过仿真技术重复模拟多次,不仅可以得到风险产生影响的期望值等数据,并且可以更客观的描述出风险链对总工期的影响程度。仿真模型如图2所示。
2.3 评价方法
其中:Xj是斯皮尔曼秩相关系数,指工序j的时长与总工期之间的相关度;N是模型运行次数;lm,j是工序Aj在第m次模拟中工序时长与总工期的秩次差。
2.4 风险因素对工序时长的影响
3 实例
广州某剧院是广州市二十一世纪重点工程之一。该项目造型奇特、结构复杂;室内空间曲线曲面类型多、高精度预埋及预留多。同时,项目施工方对上述方面存在无施工经验或经验不足的情况,属于文章所研究的技术复杂型建设项目。因此,采用大剧场这一单项工程的简化数据,以其进度风险为例对文章前述研究方法进行实际应用,并分析结果。
3.1 项目进度计划
大剧场的进度计划如表5所示。
3.2 风险链的识别
首先采用专家调查法对项目可能存在的各风险因素进行识别,然后按照前述消除主观性方法的具体步骤,得到风险相关关系网络进而得出风险链。
专家成员共10名,均是有丰富类似工程项目的从而经验,通过收集基础资料、外部环境信息、相似项目资料等,采用多种手段,识别所有项目风险因素,梳理出关键的风险因素,见表4所示。
接下来专家小组对项目基本信息和相关资料,给出风险发生对项目进度产生的影响,并在上表“进度影响”中列出。其中复杂技术风险的进度影响采用TRRA风险矩阵中的TNV・?驻TRL计算,认为建设工程项目目标技术成熟度是TRL=9,而当前TRL′值与TNV则项目基础文件评价得出。由于篇幅原因,TRL′=5,?驻TRL=4;钢结构的设计和制作对降低项目工期的影响较大,TNV=3;因此,该风险元对工序持续时间的影响为TNV・?驻TRL/5TRL=27%。
之后采用前述消除主观性的方法,得到风险因素间的相互关系。根据分割风险链的方法,将风险关系网络分割成8条风险链。分别为:R1:r1r2r3,R2:r5,R3:r6r4,R4:r7,R5:r8,R6:r10r9r13,R7:r12r11,R8:r14。
3.3 仿真结果分析
通过上述结果与分析,可以看出文章所采用的方法在复杂技术风险对进度产生影响研究上,可以准确评价该类风险因素的风险值以及是否应该重点关注。进而提出相应的对策、分析应对方案可以风险应对的要求后,确定并执行应对方案。
同时,随着项目的推进和风险的变化情况及时对进度风险进行监控,调整应对措施,实现对进度风险的动态管理,降低风险对工期造成的影响。
4 结语
文章在技术复杂型建设项目的进度风险分析过程中,通过仿真模拟计算风险链对影响工序的累积效果值,以考虑风险因素相关性和工序关联性;引入TRRA风险矩阵来评价复杂技术风险对工序时长造成的影响,以解决复杂技术风险无经验可循或经验少的问题,避免了以经验来评估的缺陷,本身也符合实际情形;在实例应用中也得到了较理想的效果。因此,与其他方法相比该方法的评估结果更加精确、合理,对于技术复杂项目实施过程的进度管理,具有不可忽略的意义。
目前国内外对风险链理论的研究尚处于起步阶段,复杂技术风险的TRRA风险矩阵中参数等级是一种新的描述与定义,引入TRRA风险矩阵的风险链在对技术复杂型建设项目进度风险评估方法属于新的尝试,虽然应用时有较好的反馈,但仍需对多个风险因素的相关关系与TRRA风险矩阵中参数等级的完善描述与定义,进行更深入的研究。
参考文献:
[1]Luu V T,Kim S Y,Tuan N V,et al.Quantifying schedule risk in construction projects using Bayesian belief networks[J]. International Journal of Project Management,2009,27(1):39.
[2]Khasman A,Neural networks for credit risk evaluationg:Investigaton of different neural models and learning schemes[J]. Expert Systems with Application,2010,37(9):6233.
[3]Ranasinghe,M.,Russell,A. D.Treatment of correlation for risk analysis of engineering projects[J].Civil Engineering System,1992,9(1):17-39.
[4]Wei-Chih Wang,Laura A.Demsetz.Application example for evaluating networks considering correlation[J].Constr. Eng. Manage,2000,126(6):467-474.
[5]⒖蓿Steven Davis.基于BN-CPM的工程活动相关性分析[J].水力发电学报,2012,31(5):302-308.
[6]曹吉鸣,申良法.风险链视角下建设项目进度风险评估[J].同济大学学报,2015,43(3):468.
[关键词] 学校风险管理 学校财务风险 风险管理审计
2006年11月,天津大学违规挪用资金炒股,造成巨额损失3750万元;2007年2月,南开大学校办企业允公集团总裁杨育麟贪污1.1亿,另外,因杨担任总裁期间管理失误导致3亿元债务;2007年3月,吉林大学财务处贴出通知,详细介绍了吉大目前负债30亿元,每年支付的银行利息高达1.5亿至1.7亿元,资金入不敷出的情况日趋严峻。这三大财务事件暴露了高等学校内部治理机制不完善,内部控制效益低下,未能有效防范学校财务风险,导致发生巨额经济损失和陷入财务困境。本文结合实际,提出学校应当建立健全风险管理机制,实施风险管理,分析了内部审计在防范学校财务风险中的作用,强调学校应当实施风险管理审计,评价、改进学校风险管理机制的健全性、有效性及风险管理过程的适当性、有效性,有效防范学校财务风险,促进学校目标实现。
一、学校风险管理与财务风险
(一)学校风险管理
我国内部审计协会2005年的内部审计具体准则第16号――《风险管理审计》指出:“风险管理,是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证。”
根据以上定义,结合学校的特点,学校风险管理是为实现培养德、智、体等全面发展的社会主义人力资源,发展科学技术文化的总体目标提供合理保证,具体包括对运营的效率和效果、财务的可靠性及法律法规的遵循性提供合理保证。
(二)学校财务风险
不论学校规模大小,财务风险是学校风险中的重要风险,风险管理必须以财务风险为重点。学校财务风险的含义应该是广义的,是指导致学校发生资产损失、财务困境等不利财务事件的可能性。资产损失指资产被盗、贪污挪用、意外事故导致损失等,财务困境是指一个学校处于经常性现金流量不足以抵偿现有到期债务(例如银行借款本息、商业信用等),导致正常运转受到影响,而被迫采取改正行动的境况。财务困境可以通过若干方法解决,比如,(1)出售主要资产;(2)减少资本支出及研究与开发费用;(3)与银行和其他债权人谈判进行债务重组。学校财务风险主要体现在筹资、投资、资产管理、资金使用等方面。
(三)学校风险管理在防范财务风险中的作用
实施风险管理有助于识别学校战略规划、业务运营中的各种财务风险,认识财务风险的性质和特征,为财务风险评估、财务风险应对奠定基础;实施风险管理对学校财务风险采取定性、定量或定性与定量相结合的方法进行评估,可以合理判断财务风险发生可能性的大小及发生后影响程度的大小;实施风险管理,针对学校财务风险的特征及影响,采取科学的方法进行深入分析,能够提出回避、接受、降低、分担财务风险的具体措施,有效防范财务风险。
二、风险管理审计定义及其在防范学校财务风险中的作用
(一)风险管理审计定义
王晓霞在《企业风险审计》一书中,给出企业风险审计定义为:“企业内部审计部门采用一种系统化、规范化的方法来进行以测试企业风险管理信息系统(RMIS)、各业务循环及相关部门的风险识别、分析、评价、管理及处理等为基础的一系列审计活动,对机构的风险管理、控制、及监督过程进行评价进而提高过程效率,帮助机构实现目标。”我国内部审计协会2005年的内部审计具体准则第16号――《风险管理审计》指出:“风险管理是组织内部控制的基本组成部分,内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一。”“内部审计机构和人员应当充分了解组织的风险管理过程,审查和评价其适当性和有效性,并提出改进建议。”“风险管理包括组织整体及职能部门两个层面。内部审计人员既可对组织整体风险管理进行审查与评价,也可对职能部门风险管理进行审查与评价。”综合以上观点,在内部审计中风险管理审计可定义为:风险管理审计是内部审计人员站在独立、客观的角度,围绕组织风险,采用系统化、规范化的方法,从组织整体层次到职能层次,对组织风险管理机制的健全性、有效性,风险管理过程的适当性、有效性进行鉴定和评价,提出改进建议,帮助组织实现其目标。
(二)风险管理审计在防范学校财务风险中的作用
1.实施风险管理审计可以协助学校建立健全风险管理机制和风险管理过程,能够从机制、制度方面强化对学校财务风险的管理。目前学校还没有建立有效的风险管理机制和风险管理过程,没有实施风险管理审计,内部审计人员对学校风险管理机制的建立可以起到前瞻性作用,能够提出建立风险管理机制的合理建议,使最高管理层认识到风险管理的意义和重要性,促使其建立科学有效的风险管理机制和风险管理过程,对学校财务风险实施规范管理。当学校已经建立风险管理机制和管理过程时,实施风险管理审计,对风险管理过程的有效性和充分性进行监控、检查、评估、报告、提出建议,能够协助风险管理机制的健全,促进风险管理过程的完善,有利于财务风险管理。
2.实施风险管理审计,内部审计人员可以从学校整体出发,从全局考虑,从独立、客观的角度对风险进行识别,及时建议学校管理层采取措施防范和控制财务风险;内部审计人员能以独特的身份调控学校的风险策略,防范宏观决策带来的财务风险。
3.实施风险管理审计,内部审计人员采取独特的技术手段,检查、评估风险管理过程的充分性和有效性。内部审计人员可以采取调查、取证、分析等手段评价主要财务风险因素,测定关键风险点、风险度,以判断学校财务风险监控报告制度是否适当、监控报告是否充分有效,财务风险分析是否全面、防范措施是否完善;对管理层自我评估进行测试,检查其依据是否准确;评估与财务风险有关的薄弱环节并与有关管理层进行沟通;评价财务风险管理方式与学校活动性质是否适当。
4.实施风险管理审计,内部审计人员提供客观的风险管理建议直接报告给学校最高决策层,能够引起高层对财务风险管理的重视。
5.实施风险管理审计,内部审计人员能够对学校预算管理进行评估,促进学校严格执行预算,按预算使用资金,提高资金使用效率和效益。
三、加强风险管理审计,防范学校财务风险的对策
(一)强化内部审计机构独立性,完善内部审计组织机制,使内部审计人员能够独立、客观、公正地实施风险管理审计,独立客观的监督学校财务风险管理,帮助学校实现财务目标,进而实现学校的终极目标。规模较大的学校可以以校为单位成立学校理事会,小规模学校(特别是公立中小学校)可以以乡(镇)为单位成立学校理事会,理事会下设立审计委员会,内部审计机构受审计委员会领导。对公立中小学校也可以由县级教育行政部门的内审机构向学校(大规模)或乡镇(小规模学校)下派专职或兼职内部审计人员履行内审职责,实行对下进行监督评价,对上进行职能报告的内部审计机制,这种方式必须进一步提升县级教育行政部门内审机构的地位,确保独立性。
(二)提高内审人员素质,确保实施风险管理审计的专业胜任能力。内审人员是否具有较高的专业胜任能力,专业水平高低,是保障内审工作质量的必要条件。学校高层管理者、内部审计机构要重视内审人员的后续教育,为内审人员学习内审领域先进的审计理念、技术、方法提供各种保障,不断促进内审人员专业胜任能力提高。只有永远保持专业水平的先进性,才能有效实施风险管理审计,才能不断改进完善学校财务风险管理,合理防范财务风险。
(三)使用先进的审计技术,保证风险管理审计的有效性。先进的审计技术已经得到实践证明是合理的、有效的、科学的,能够从内审角度对风险识别、分析、评估、应对进行评价,并提出改进建议。可以使用的技术有:(1)风险控制自我评估(CSA)。CSA是一种预防性审计工具,即针对硬性控制也针对柔性控制,是针对内部控制进行的咨询业务,可以评估旨在减缓风险的各项控制以及有关政策和规程的全面遵循情况,可以采取协调性小组讨论会(专题研讨班)、问卷调查、管理人员分析三种方法。专题研讨班可以采取:“目标-风险-控制-剩余风险-评估”的形式,强调列举阻止实现目标的的壁垒、障碍、威胁和风险,接着对控制进行检查,以确定控制过程是否足以对关键风险进行管理,其目的是确定严重的剩余风险;(2)头脑风暴法。针对问题,把能想到的一切主意集中起来,通过一群人的交流,来激发新思想产生;(3)德尔菲法。采用函调方式,分别向有关专家提出问题,之后将专家的意见整理、归纳,并反馈给有关专家,再次征求意见,然后再次综合反馈,这样多次重复,得到比较一致的意见;(4)抽样技术;(5)共同研讨法;(6)系统分析法。
(四)确定财务风险重点领域,揭示风险暴露,加强风险预警
学校的财务风险重点体现在以下几个方面:筹资、投资、固定资产管理、资金管理及使用。
1.筹资。学校应重点关注债务风险。吉林大学陷入30亿元债务困境,说明加强债务风险管理举足轻重。学校债务须经最高层批准,内部审计人员可以分析学校的资产负债率、还本能力、还息能力,揭示债务风险是否达到警戒状态。对资产负债率的分析既要看比率的大小,又要分析预期资产负债率的变化;对于还本、还息能力分析应重点分析预期所有者(各级政府等投资者)是否不断增加偿还债务本息的投入;可以分析利息保障倍数(预计不含利息费后的结余/利息),利息保障倍数至少为1,越高还息风险越小。
2.投资。应重点关注校办产业、工程建设、闲置资金的投资,应注重投资效益分析,如新建学生宿舍是否有效改善了学生住宿状况,筹办产业企业的未来收益如何。闲置资金应投资于国债等收益稳定、风险较小的项目,不要投资于股票等高风险投资,天津大学发生违规挪用资金炒股,造成巨额损失3750万元就是巨大教训。高校依托先进技术筹办产业企业,内审人员必须对其风险评估进行审查评价,可以采取贴现现金流量等技术。工程建设项目是否有充分的数据支持项目申请,是否进行招投标,是否纳入资本预算,在建工程支出控制是否完善。
3.固定资产管理。应重点关注固定资产的采购、保管和使用。内审人员应重点审查评价资产采购的控制制度是否完善,采购是否进行竞价选择;资产保管制度是否健全,记录是否规范;哪些资产经常使用,哪些资产不需用,各类资产的年使用次数及使用效率。确定对固定资产的实物控制、固定资产处理的控制是否恰当,以判断其是否足以防范固定资产管理及使用方面的财务风险。
4.资金管理及使用。应注意资金(现金、银行存款等)实物接触控制不当、盗用及错误处理资金、潜在舞弊和违规、支出未经授权或审批、未按规定用途使用资金等财务风险及暴露。如两免一补、中职、高教的助学金专款专用,内部审计人员应审查、评价风险管理控制是否健全有效,是否按国家规定的用途使用,效益如何。
5.树立预防为主的理念,对重点风险领域进行实时跟踪审计。学校高层应授权内部审计机构参加重大财务事项的预测、规划等重要会议,使内审人员以独立的视野分析各种财务风险,提供合理建议。对重点风险领域应进行实时跟踪审计,对各种财务风险进行及时防范,避免学校可能遭受经济损失。
参考文献:
[1]王晓霞.企业风险审计.北京:中国时代经济出版社,2007.
[2]卓继民.现代企业风险管理审计.北京:中国财政经济出版社,2005.
[3][美]S.拉奥.瓦莱布哈内尼.刘霄仑,朱军霞,李旭红译. CIA考试指南.内部审计在治理、风险和控制中的作用(理论卷).北京:电子工业出版社,2007.[3][美]S.拉奥.瓦莱布哈内尼.李海风,李媛媛译. CIA考试指南.实施内部审计业务(理论卷).北京:电子工业出版社,2006.
[4]中国内部审计协会.内部审计理论与实务.北京:中国石化出版社,2004.
[5]沈征.内部审计禁忌120例.北京:电子工业出版社,2006.
[6]教育部.教育系统内部审计工作规定.中内协网,2004.
[7]中国内部审计协会.内部审计具体准则第16号―风险管理审计.中内协网,2005.
关键词:内部审计;风险管理;内部控制;独立性
引言
随着全球经济一体化和信息化步伐的加快,在现代企业经营管理中,内外部环境日益复杂,企业风险日益增多,内部审计,作为企业强化管理,实现组织目标的重要手段,在风险管理中所起的作用越来越被人所重视。
一、内部审计在风险管理中的作用
(一)风险管理的概念
所谓风险指的是可能发生的损失或者伤害的意思。在我们经济生活中,公司作为最重要的经济主体之一,面临着来自内部和外部两个方面的风险。其中主要的风险包括:财务风险、汇率风险、信用风险、技术性风险、管理信誉风险、内部控制风险等。企业当然并不可能完全承受所有以上风险,相反,他们应当对风险进行系统性的预测、识别、分析,并进而采取相应的策略去应对。风险管理,指的便是以上所叙述的决定如何对待并规划项目风险的管理活动。风险管理当中包括了对风险的预测、识别、评估和应变策略。
(二)内部审计的概念
内部审计最初的定义是:“内部审计是组织内部检查会计、财务及其他业务的独立性评价活动,以便向管理部门提供防护性和建设。”而经过多次的修订,IIA在2001年颁发的《内部审计专业实务标准》中将内部审计定义为:“内部审计是一种独立、客观的确认和咨询活动,旨在增加价值和改善组织的运营。它通过系统的、规范的方法,评价并改善风险管理、控制和治理过程的结果,帮助组织实现其目标。”由此可以看到定义中一个明显的进步,那就是内部审计已经将提高风险管理的水平直接纳入它的定义,当成内部审计的一个直接的目标来看待,突出强调了内部审计在风险管理中的重大作用。
(三)内部审计在风险管理中的作用
内部审计对风险管理有着重大的指导意义,这个指导作用包含在风险管理的各个过程之中。
1.内部审计在风险识别中所起的作用。风险的识别是指审计人员通过对企业经营活动各项数据的研究和分析,从而确认企业当时所面临的风险、当时并不存在但潜在的风险、可以通过相应方法进行规避的风险等等,从而对企业面临的风险定量和定性,进而方便高层管理人员意识到并对风险作出相应的对策。其中,可以采用的方法包括决策分析,因果分析,可行性分析,专家调查法,风险报酬法,数据解析法等等。
2.内部审计在风险评估中的作用。这是指对已经存在和将要发生的风险进行评估。企业内部审计人员在收集分析企业各项经营信息的基础上,通常会将各种风险因素予以量化和评估。按照量化的风险水平的高低,对审计项目进行科学的排序,从而确定开展审计工作的先后顺序。风险评估应当考虑以下要素:资产的变现能力,资金流动性强弱,现金流的流量情况及趋势,管理水平和经营能力,内部控制的有效性,企业面临的市场环境,政府新出台的政策,上次审计的时间范围内容等等,运用各种科学管理技术和方法,定性和定量分析相结合,从而预测主要风险的大小,确定风险可能产生影响的范围,风险可能产生影响的时间、深度和广度等等,并以此为依据,采取相应的对策。
3.内部审计在风险的预测和预防中的作用。内部审计不仅应考虑公司当前存在的风险,而且应该通过各种分析手段和预测方法,结合公司当前的情况以及公司的长期发展战略,对公司潜在的问题和风险进行合理的预测,并对企业高层管理人员提出相应的解决策略,从而规避或者降低未来有可能出现的风险。
4.内部审计在风险管理评价中的作用。内部审计通过风险管理评价,检查风险管理过程的充分性和有效性。例如:通过对公司经验战略的检查,了解公司能够接受的风险水平;与相关部门管理层讨论部门的目标和存在的风险,以及管理层对于风险的态度,评价管理层对风险处理的有效性和充分性;评价风险控制报告制度是否恰当;评价风险管理报告是否及时有效;评价与风险管理有关的管理薄弱环节,并与高层管理者讨论相关事宜;评价管理层选择的风险管理方式的适当性,由于各个公司的企业文化、管理理念、企业目标等的不同,风险管理的实施有很大的差别,每个公司应该根据自身活动来设计风险管理过程。一般来说,上市公司等规模较大的公司应该用正式的规范的风险管理方法,而规模较小的,由于资金、人力、技术等方面的限制,则可以设置非正式的风险管理委员会开展评价活动。
二、中国内部审计在风险管理中的不足及成因
1.内部审计人员对风险和风险管理缺乏认识。根据《国际内部审计师协会内部审计标准说明》规定,内部审计师应具备财务、会计、企业管理、统计、计算机、概率、线性规划、审计、工程、法律等各方面的知识,以保证执业质量。在风险管理中,管理领域的知识尤为重要,但是,中国的内部审计人员,大多数由财会部门抽调,而他们大多出身于会计、审计专业,所以他们的知识结构比较单一,对于风险管理等管理领域的知识比较欠缺,这就造成了他们尽管对于内部审计等审计业务比较熟悉,但是对于风险管理和先进的风险管理理论不甚了解。
2.企业决策层对内部审计和风险管理的理解太过片面。中国很多企业的领导,大多数重视经营效益而轻视企业内部深层次的管理,对企业的风险管理不够重视。他们对企业内部审计的理解,还停留在财务报表审计和经济责任审计上面,往往不了解或者根本不关心风险管理审计对企业长期发展所起的巨大作用。他们割裂了内部审计和风险管理之间的必然联系而认为两者各自分别起作用。由于他们理解的片面性,造成了他们在评估内部审计部门工作的时候往经济效益等方面倾斜,进而影响到内部审计人员在展开工作的时候对风险管理的忽视。
3.内部审计独立性不足。想要充分发挥内部审计在风险管理中的作用,首先必须保证内部审计人员的独立性。内部审计尽管拥有相当程度的独立性,但是,这是相对于与之平行的其他部门来说的,从最终意义上来说,内部审计还是企业内部设置的机构,其目标还是企业利益的最大化,或者说是股东利益最大化,因此,内部审计在实施过程中不可避免地受本企业利益的限制,很难站在一个完全公正的立场上对企业的风险进行客观的评估。就内部审计人员具体而言,他们不仅受到经理机构的影响,而且在参与企业风险管理的过程中,不可避免地与其他人有了交集,久而久之,所谓的“交情”、“人情”都出来了,在涉及到相关部门风险审计的时候就有可能“下不了手”,影响内部审计独立性。
转贴于
4.风险管理审计开展较少,审计方法落后。由于内部审计人员对风险和风险管理认识上的不足,在加上受到成本、企业政策、人事安排等诸多方面因素的影响,很少有企业经常对风险管理进行专项审计,甚至有不少单位从未进行过风险管理审计。而即便企业进行风险管理审计,他们往往也没有采用先进的审计方法,只有极少的企业中,内部审计人员采用风险基础内部审计,而不少的企业采用的是相对落后的控制基础内部审计甚至账项基础内部审计。
三、相应的对策建议
1.提高内部审计人员的专业素质和综合胜任能力。在内部审计人员的选聘上要选择专业素质过硬,综合能力较强,职业素质较高的人员。不仅如此,对于在岗人员,也要加强后续的教育,增强他们内部审计的专业能力和综合素质,使他们逐步熟悉内部审计业务,提高他们对内审工作的综合驾驭能力;要特别加强风险管理等方面的培训,使内部审计人员能全面了解风险和风险管理,从而使内部审计在风险管理中更好地发挥作用,更好地为企业实现经济目标服务。
2.企业决策层应提高对内部审计工作的重视。企业的管理者要端正对内部审计的态度,要全面认识到其在风险管理中和企业目标实现上的重要作用。企业内部应广泛宣传风险管理内部审计的重要性,使整个企业达成加强风险管理内部审计的共识。除了在思想上,在行动上,要提高内部审计机构和内部审计人员的地位,使内部审计机构成为企业管理机构中必不可少的一个部门,并且为内部审计创造良好的环境,使内部审计人员在稳定的环境中工作。
3.提高审计人员独立性。内审机构和人员的独立性是内部审计实现其职能的前提条件。中国企业要想真正发挥内部审计在风险管理中的作用,应该设置专门的审计机构,并提高内审机构的直属领导层次,因为内部机构隶属关系的层次越高,其独立性越强;权威性越高,审计工作越容易展开。例如在董事会下设立内部审计机构,直接对董事会负责。
4.改进审计方法,将风险基础内部审计纳入企业经营管理之中。企业内部审计人员必须认真学习并贯彻实行风险基础内部审计,与此同时要及时关注内部审计理论和审计方法的更新,在工作的过程中不断学习,力求做到与时俱进。而企业其他各层级的人员特别是高层管理者和决策层,应该转变观念,注重风险,抛弃以往重效益轻风险的观念,重视风险,做到风险与效益并重,做到企业短期利益与长期发展的统一。
参考文献
[1]葛跃民.内部审计在风险管理中的作用[J].一重技术,2010,(2):71-72.
[2]侯金凤.企业内部审计在风险管理中的作用[J].北方经贸,2009,(12):86-88.
[3]时现.内部审计学[M].北京:中国时代经济出版社,2009:2-4.
[4]杨思东.内部审计在风险管理中的作用[J].现代审计与经济,2007,(6):35.
[5]张建民.内部审计在风险管理中的作用[J].中国内部审计,2005,(11):53-54.
[6]李正青.内部审计与风险管理[J].科技信息,2007,(18):220-243.
[7]刘国峰.现代企业内部审计与风险管理[J].煤炭经济研究,2007,(3):63-65.
[8]孙静.论内部审计与风险管理[J].辽宁行政学院学报,2006,(2):123-125.
[9]吴俊奎.关于内部审计与风险管理问题[J].环渤海经济瞭望,2004,(8):24-25.
[10]王潇,张彩云.中小企业内部审计现状与问题研究[J].经济纵横,2007,(3):81.
[11]于弘.企业内部审计现状及完善途径[J].中华会计学习,2007,(4):18-19.
关键词:商业银行,操作风险,内部控制,CSA,控制价值
1.引言
操作风险是现代商业银行风险管理的重要内容。但由于操作风险本身所具有的内生性、分布广泛性、难以度量等特性,使得操作风险的研究长期滞后于信用和市场风险。目前对操作风险管理的研究主要集中操作操作风险的度量和控制防范方法上。操作风险的度量研究上,主要有基于统计的定量模型,定量模型如新巴塞尔协议中的基本度量法、标准度量法以及高级度量法中的内部均衡法、损失分布法、极值法[1]等,但更多的是一些结合定量和定性优点从整体操作风险评价和预测模型,如基于计分卡方法的建立的计分卡模型[2]以及基于模糊逻辑的神经网络评价模型[3]。不过由于操作风险的多样性,以上方法大都对机构的整体操作风险度量,对单个风险的度量和控制效率讨论不多。在控制和防范操作风险的研究上,主要是从准备金和经济资本的计提[4]、内部控制的管理[5]以及外包和保险[6]的转移这三个角度对操作风险的控制方法和体系框架进行研究。控制的自我评估法(CSA)就是通过强化内部控制来提高操作风险管理水平一个有效方法。但由于技术条件限制有些操作风险内部控制管理不明显或者根本不适合,为使有限的内控资源用在合适的操作风险上,本文先明确控制价值模型在控制自评估法中的应用思想,然后通过构建控制价值模型(内控治理价值),对不同的操作风险采取不同程度和不同种类的控制技术,达到更有效的控制,最后用实例来说明模型的应用。
2.基于控制自我评估法的控制价值模型设计思想
控制自我评估法(CSA),是指企业内部为实现目标、控制风险而对内部控制系统的有效性和恰当性实施自我评估的方法。其有三个基本特征:关注业务的过程和控制的成效;由管理部门和职员共同进行;用结构化的方法开展自我评估。实施过程是:通过开展全员风险识别,识别出全行经营管理中存在的操作风险点,同时,识别这些操作风险点是否有控制活动,并评估控制活动质量,进而提出优化控制活动的方案,对没有控制活动或控制不足而引起风险隐患的环节进行修改完善、检查,为进入下一阶段评估做准备。
该方法的缺点是对操作风险点和控制措施进行全面控制,主次不分,影响控制效果。每种操作风险控制应该给予多少资源,如何能有效结合其他办法,如资本金补偿、保险和外包技术等,这就需要对每项操作风险进行内部控制价值评估,然后采取不同程度和不同种类的控制技术。所以控制价值模型就是在进入下一阶段评估之前,利用以前数据和评估结果,对下阶段风险的控制价值进行评估,保证操作风险控制朝正确的方向努力。根据以上的思想,本文设计了控制价值模型在控制自我评估法应用的流程图(图1)。
3.风险控制价值模型的建立
3.1控制价值评估指标
控制价值是指银行操作风险管理中,用内部控制手段对一项操作风险进行控制的必要性、可行性。影响控制价值的因素有:
(1)操作风险大小
依据内部控制效率原则,在同等条件下,应该对风险值比较大的操作风险进行优先治理,所以一项操作风险的控制价值与操作风险的大小成正相关关系。操作风险大小包括发生概率、直接损失及间接损失强度。根据风险度量的经验,一项风险的大小通常用损失期望值和发生概率来描述。不过因考虑到操作风险的发生,不仅会带来直接的经济损失,还有可能带来一些对客户关系、员工忠诚、监管者态度以及社会舆论的不良影响,所以在对操作风险大小评价中加入了这些间接损失。
(2)控制能力
控制价值的评估不仅包括操作风险大小的衡量,更重要的方面是对商业银行操作风险控制能力的衡量,它是结合操作风险点性质和商业银行自身条件的综合考量。按照时间先后分为三个方面,分别是控制措施质量、措施执行能力以及控制效果。控制措施质量是指在CSA初期假设对操作风险点制定的控制措施完全执行,操作风险点得到控制的程度。措施执行能力是根据银行现有的人员、物资现状,对执行操作风险控制措施能力的评价。控制效果是对比以往控制效果经验与本次控制措施质量和措施执行能力对本次控制效果的预评估。
(3)控制成本
影响操作风险控制价值的另外一个因素就是操作风险的控制成本,在风险大小和控制能力都相近的情况下,应优先治理控制成本小的操作风险,尤其要放弃内控资源花费成本大于损失的风险。操作风险控制成本包括显性成本和隐形成本。显性成本是指治理操作风险中花费可明确记录的金额。隐性成本更多的是一种机会成本,是指错过从事更有价值活动的成本估计,包含更多的主观判断因素。
根据以上的因素分析,建立控制价值评估框架(表1)。
3.2控制价值指标的确定
(1)定量属性值的确定
定量属性有概率(P)、强度(L)、显性成本(EC)预计和隐性成本(HC)预计。基于Carol Alexander(2003)对风险概率模型的经验分析,确定各项操作风险的概率参数。通过对操作风险损失事件历史数据统计、业务检查报告、内部审计报告、外部监管审计报告等资料的分析,以操作风险事件发生频率或可能性依据,判断操作风险事件的概率值(表2)。损失强度(L)的确定是在分析上述报告的基础上,结合现行风险水平做出的估计。风险概率(P)和强度(L)越大,相应的操作风险控制价值越大,都是正向指标。显性成本(EC)预计要根据控制措施来估计对应金额;隐性成本(HC)预计更多的是在历史数据基础上的经验估计。显性成本(EC)和隐性成本(HC)这两个指标越大,相应的操作风险控制价值越小,都是负向指标。
(2)定性属性值的确定
定性属性值有间接损失(A)、控制措施质量(Q)、执行能力(E)和控制效果预计(R)。间接损失(A)的确定应分别从客户、员工、监管者以及社会大众四个方面综合考虑,间接损失值越大,控制价值就越大,是正向指标。操作风险控制措施的质量(Q)分别从控制措施的有效性、充分性、必要性、合规性四个方面评价。评价执行能力(E)应从外部环境和内部条件两方面估计控制措施的可操作性和可遵循性。控制措施质量越高和执行能力越好,操作风险的控制价值就越大,都是正向指标。控制效果(R)评估应通过考虑控制措施的得当性、可执行性,并根据以往的经验综合估计现有控制活动的控制效果。控制效果越好,越有控制价值,是正向指标。以上定性属性值由专家判断给出,在1到10之间取值。
3.3控制价值计算模型
模型采用由专家给出的评判信息计算专家评判的相似度和差异度,从而确定群体专家的权重。利用熵权得到属性的权重,根据风险控制综合属性值给出排序结果。在模型中,一位专家对于不同的风险有不同的权重,一个属性对于不同的风险也有不同的权重,从而更加细致、 合理地刻画了不同专家、 不同属性对决策结果的影响,更加符合实际。
设有d位决策者(专家)e1,…,ed参与决策,可供选择风险控制组合有n个,分别用s1,…,sn表示,对风险控制价值的评价属性集为P={p1, …,pm}。设对决策者ek而言,属性pi权重为wi(k),决策者ek关于风险sj的权重为λj(k) 。决策者ek对于风险控制组合sj按属性pi进行评判,得到 sj关于属性pi的属性值为aij(k),从而构成决策者ek的决策矩阵A(k)=(aij(k))m×n 。为消除不同物理量纲对决策的影响,采用文[11]中的矩阵规范化方法将决策者ek的决策矩阵A(k)=(aij(k))m×n规范化为R(k)=(rij(k))m×n。
3.3.1专家权重的确定
由规范化的决策矩阵R(k),决策者ek 给出风险控制组合sj的各属性值向量(评判向量)记为rj(k)=(r1j(k), …,rmj(k)),则专家ek与et给出风险控制组合sj的评判向量rj(k)、rj(t)的夹角余弦为:ηj(k,t)=〈rj(k),rj(t)〉令ηj(k,t)=ηj(k,t)-1,则可得专家ek与其他专家关于风险控制组合sj评判的相似度为:
uj(k)=ηj(k)/ηj(k)(1)
设专家群体给出风险控制组合sj的各属性值均值向量为rj= (r1j,…,rmj),其中 rij=rij(k),令σij(k)=rij(k)-rij,σj(k)=σij(k),则专家ek与群体专家关于风险控制组合sj的评判的差异度为:
δj(k)=σj(k)/σj(k)(2)
结合专家评判的相似度和差异度,利用文[12]的思想,给出专家权重的定义。
定义 1. 决策者ek对风险控制组合sj的权重为:
λj(k)=,1-uj(k)δj(k)≠1 uj(k),其他(3)
3.3.2属性的熵权
定义 2. 根据规范化后的特征矩阵 R(k),对决策者ek,定义属性pi的熵Hi(k)为:
Hi(k)=/fij(k)1nfij(k)(4)
其中,fij(k)=rij(k)/rij(k),当fij(k)=0 时,设fij(k)1nfij(k)=0。
定义 3. 对决策者ek而言,定义属性pi的熵权为:
wi(k)=(1-Hi(k))/(m-Hi(k)),i=1,…,m(5)
各特征的熵和熵权矢量分别记为 H(k)= (H1(k),…,Hm(k)),W(k)=(w1(k),…,wm(k))。
决策者ek给出风险控制组合sj的综合属性值为:
Zj(k)=wi(k)rij(k)(6)
为突出专家群体对决策结果的影响,再由决策者的权重向量,通过简单加权平均得到各风险控制组合群体的综合属性值为:
Zj=[Zj(k)λj(k)],j=1,…,n(7)
4.实例分析
本文以中国银行安徽省分行的一次内部自评估为例。风险控制评估委员会有d=3位专家,包括操作风险专家、内控部门专家、内部审计专家。根据 m=8个属性,对n=4个待选风险控制组合评价和选择(表3)。实施步骤为:首先,根据控制自我评估法(CSA),进行必要的前期准备,包括:制定评估方案、确定评估范围和评估对象,收集资料,组织培训等。其次,对自评对象进行梳理,并通过对上次的自评估结果的分析,重新找出操作风险点以及对应的控制措施。然后,专家对风险控制价值的属性进行打分,以评估专家1为例。根据式(2)、式(3)分别计算专家评价各供应商的相似度和差异度,确定专家的权重;由式(6)确定属性的权重。最后,利用式(7)得到各风险控制组合的综合属性值;由式(8)得到风险控制组合的群体综合属性值,数值越大,对应风险控制组合越有价值。
R(1)=
由式(2) 、 式(3)分别计算各委员评价风险控制组合s1的相似度和差异度为:
μ1(1)=0.3281,μ1(2)=0.3452,μ1(3)=0.3267
δ1(1)=0.3401,δ1(2)=0.1898,δ1(3)=0.4701
由式(6)得到各委员关于风险控制组合s1的权重分别为:
λ1(1)=0.3235,λ1(2)=0.4178,λ1(3)=0.2587
对评选委员e1,由式(6)得到各属性的权重分别为:
w1(1)=0.1049,w2(1)=0.1105,w3(1)=0.1611,w4(1)=0.1327,w5(1)=0.1706,w6(1)=0.1033,w7(1)=0.1264,w8(1)=0.1954
利用式(7 )得到委员e1给出各风险控制组合的综合属性值分别为:
Z1(1)=8.2495,Z2(1)=2.7403,Z3(1)=9.5890,Z4(1)=3.60299
同理,可得到其他委员给出各风险控制组合的综合属性值,再由式(8)得到各风险控制组合的群体综合属性值分别为 Z1=8.5627,Z2=2.5713,Z3=9.6852,Z4=4.0518 所以,各个风险控制组合排序结果为s3>s1 >s4>s2。
根据以上的控制价值排序结果分析,风险控制组合s3、风险控制组合s1、风险控制组合s4的控制价值都比较高,可以考虑用内控评估中产生的控制措施来加以控制,特别是s3、s1应集中资源重点控制;s2的控制价值就不是太高,可以考虑提取资本金或外包保险的措施来控制。结合具体风险项分析,s3属于信息系统风险,s1属于内部欺诈风险,通过技术升级或者制度建设,都可以很快改善。s4虽然属于外部欺诈,但通过上面的内控措施,也可以加大改善。s2属于外部操作风险,防控难度大,成本高,用保险的方式可能更好。
5.结论
内部控制的手段管理操作风险,作为一种积极主动的风险管理手段,其有效性得到了理论和实践的支持。但如何确定内控的力度,是不是内控能有效治理所有操作风险都是一个问题。本文通过构建控制价值模型,并结合控制自评估方法就提供了一种解决办法。它对每项操作风险的控制价值从风险、控制、成本三个角度进行定量定性综合分析,对控制价值大的操作风险予以重点治理,对那些控制价值较小的,建立资本金、外包、保险等风险补偿机制。
正如实例所说明的那样,通过对风险控制价值进行评估,确实使操作风险得到有主次的、综合的治理,也使内控资源得到更有效的利用。进一步的研究方向就是不仅对内控,也要对其它控制手段建立综合的评估体系,使得控制措施的决定更科学,更有效。
参考文献:
[1] Basel committee on Banking supervision. Sound Practices for the Management and Supervision of Operations Risk[C].Basel, February,2003
[2] 刘家鹏,詹原瑞,刘睿.基于记分卡的操作风险管理研究[J].西南交通大学学报(社会科学版),2007(03)
[3] 艾林,周焯华.基于模糊逻辑的自组织竞争网络对操作风险强度的识别[J].中国软科学,2007(01)
[4] 赵欣.标准法替代法计量我国商业银行操作风险资本的分析[J].南方金融,2008(01)
[5] 苏虹,张同健.内部控制对操作风险控制的激励性经验分析[J].中国管理信息化,2008(21)
[6] 王宗军,薄纯林,肖德云.保险对缓释商业银行操作风险的作用研究[J].武汉理工大学学报(信息与管理工程版),2008(02)
[7] Marshall, Christopher. Measure and Managing Operational Risk in Financial Institutions: Tool, Techniques and Other Resources [M].John Wiley&Sons,2001-243.
[8] 张吉光.商业银行操作风险识别与管理[M].北京:中国人民大学出版社,2005:142-213
[9] 温红梅.商业银行操作风险度量与控制[M].中国财政经济出版社,2008:12-80
[10] Carol Alexander等.商业银行操作风险[M].中国财政经济出版社,2005:135-152
[10] 周涛.论CSA 在内部控制三维立体框架评估中的作用[J].交通财会,2009(03)
[11] 张晨,朱卫东.基于信息墒的商业银行操作风险多属性评价方法研究,2007(05)
[12] 梁昌勇,吴坚,陆文星,丁勇.一种新的混合型多属性决策方法及在供应商选择中的应用[J].中国管理科学,2006(12)
[13] 闫书丽,杨万才,肖新平.属性权重未知的混合型多属性决策方法[J].统计与决策,2008(01)
(1)风险管理功能模块。其主要负责提供以下几项基本功能:企业危险源信息管理、危险源人工与实时监测考核以及危险源实时监测预警。具体包括对企业全部已经辨识出的危险源信息进行查询与维护的功能;人工危险源信息录入以及相关问题追踪与复查的功能;与安全监测系统联机进行危险源监测预警功能;对危险源进行实时记录和考核的功能。通过该子系统的设置,可以使企业风险预防和控制更加及时、准确,有助于确保生产安全。(2)评价管理功能模块。其主要负责提供如下功能:对安全管理评价指标体系和评价指标信息的维护管理以及进行内部与外部评价的功能。它的设置使企业对各个部门管理水平的审核与评价工作更加高效、快捷。(3)文档管理功能模块。其主要负责提供如下功能:对各项法律法规、规章制度、标准、日常管理文档以及相关学习资料的分类管理功能。它的设置为企业员工提供了方便、快捷的查阅及学习危险源管理标准和措施以及安全制度等资料的平台。(4)报表管理功能模块。其主要负责提供如下功能:自动汇总并生成报表、报表类表自定义等功能。它的设置能够按照管理人员的需求为其提供各项汇总信息。(5)系统管理功能模块。其主要负责提供如下功能:系统基本设定、用户管理、权限管理等等。它的设置使用户信息维护更加方便,同时权限管理功能的加入使系统的安全性大幅度提高,这对于企业而言尤为重要。
2安全管理中计算机信息化系统的具体应用
2.1危险源信息管理
安全管理员在识别各个系统单元危险源的基础上,将危险源录入系统,录入信息主要包括工序、危险源名称、事故类型、风险类型、风险后果、风险等级、风险值、可能性损失、管理标准、管理对象、主要负责人、主要监管部门、主要监管人员、管理措施等信息内容。管理员有权删除或修改危险源,以便为危险源监测考核和风险评估提供依据。同时,该系统具备关键字检索功能,可以通过输入风险等级、危险源名称等关键字查找相关危险源的全部信息。
2.2危险源监测预警
该系统通过接入安全监测系统,能够为危险源监测提供实时的监测数据,实现对作业环境、设备运行状态以及其它危险源的动态监测。若出现指标超标现象,系统会自动发出预警信息,为及时处理危险源提供可靠依据。在系统中,运用数据上传程序可设置监测数据的获取时间间隔,当执行暂停数据上传操作时,监测数据会自动储存在系统数据库中,以便日后查询、分析之用。此外,系统可将监测数据汇总并用excel格式输出,作为纸质档案资料。
2.3危险源考核
危险源考核建立在实时监控监测数据的基础上,能够自动记录超标或异常数据、预警信息、警情的相关责任人以及危险源考核等信息。管理员可在系统中输入监测点、风险等级、监测时间等关键字查询危险源考核信息,考核信息包括监测点位置、监测设备信息、防控措施、整改建议、监管措施等,同时也可将全部信息输出。
2.4危险源风险分析
危险源风险分析的过程为:先按照危险源事故类型从已录入系统的危险源中选取某个分析对象,再选取与事故相关的危险源作为事故危险因素,构建危险源分析评估模型,并从危险源监测数据中获取事故危险因素的累计次数,计算该事故发生的概率,做出危险源风险等级评定。
2.5评价体系管理
安全管理评价指标体系是确保安全管理评价正常运行的前提和基础,由于评价指标的种类相对较多。所以,体系采用的是分级分层结构,换言之,体系应当包含多重属性,如体系的名称、指标的数量、分级层数以及更新时间等等。企业管理人员在建立体系的同时,能够对其中的相关信息进行维护,具体包括对体系信息的修改以及关联信息的删除,当删除某个体系后,还应当将之相关的评价指标一并删除。此外,建立一个新的体系就必须为其增加相应的评价指标,这类指标一般包括如下内容:建立的具体时间、所属体系的名称、在该体系当中所属的层级、危险源类别等等。与评价指标相同,管理人员在建立评价指标的同时,能够对指标信息进行维护,具体包括删除和修改指标信息。
2.6内部与外部评价
安全管理评价是以评价指标体系的建立为前提,借助系统的自动考核评分数据进行相应的计算,然后对所得的评价结果进行输出,该结果以不同的颜色代表不同的评价等级。在对评价进行执行之前,需要选择最为合理的评价指标体系以及评价类别,系统可按照excel的格式对批量考核评分进行上传,并以此作为评价样本。系统执行评价的阶段主要是通过对评价方法计算模块的调用来实现的。当系统完成评价之后,会将新增的评价结果记录下来,以备查询和报表输出之用。
2.7文档管理
具体是指对企业日常安全文档进行统一管理,全部文档信息均有系统管理员负责维护,主要包括文档资料的上传与删除。系统能够对文档资料进行分类管理,文档资料的上传至系统的工作由管理人员负责完成,用户可根据时间或是文档的名称对安全文档资料进行查询,并可通过下载的方式进行浏览和打印,这为企业人员的安全培训工作提供了一个良好的平台。
2.8报表管理
具体是指将各个子系统中的业务数据以统计的方式进行处理后,根据预先设定好的业务规则输出,以供下载打印之用。当用户想要查询报表信息时,可通过选择报表具体类别、业务范围以及日期期限来予以实现。同时可根据报表的类别与日期来限定报表内容输出,如果报表信息存在,便可按照设定好文件格式,将报表下载之后进行浏览和打印。此外,用户还可以结合自己的需要对报表的输出格式、类别、日期期限和报表信息来源等进行自定义,而系统则会按照实际要求生成以下报表:安全管理周期性考核报表及部门考核报表、周期性安全预警报表、内部与外部评价报表以及数据统计报表等。
2.9系统管理