时间:2023-06-11 09:33:38
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇风险因素的识别和评估,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
[关键词]重大错报风险,识别;评估,模糊综合评价
近年来,企业外部环境的急剧变化直接影响到企业管理层的制度设计和业务开拓,致使会计师事务所客户的业务活动越发复杂、管理层的舞弊越发隐蔽,审计风险明显增加。国际审计委员会和我国已分别于2003年和2006年重新进行了审计准则的修订,显著加强了对审计风险的管理。
风险管理是对风险的事前预测和控制,是一种减小风险损失的管理工作,包括风险识别、风险评估、风险控制和风险转移等4个环节。其中:风险识别是确定可能发生的风险类型或风险所在领域;风险评估是对识别出的各种类型风险进行定量描述;风险控制是采取降低风险发生概率和风险损失的行为;而风险转移则是通过一些正当的手段将风险转移给保险公司,也可通过合作的方式将部分风险转移给合作伙伴。在风险管理中以风险识别最为重要,是风险管理的第一步,也是风险管理的基础,直接影响着风险评估、风险控制、风险转移的准确性和有效性。
审计风险是被审计客户财务报表存在重大错报而注册会计师发表不恰当审计意见的可能性。相对于其他类别、行业的风险来说,审计风险的存在不仅给直接从事审计业务的会计师事务所带来损失,而且还会给依赖于注册会计师审计意见的投资者带来损失。审计风险如果存在转移,要么转移给被审计客户,要么转移给拟信赖审计报告的投资者,但不管如何转移,最大的受害者最终还是投资者,这是违背注册会计师职业要求和资本市场发展需要的。所以,审计风险的管理工作应只包含风险识别、风险评估和风险应对,不再包含风险转移。
我国2006年审计准则的修订对传统的审计风险模型也进行了整合,将审计风险模型转变为:审计风险=重大错报风险×检查风险,其中重大错报风险是指财务报表在审计前存在重大错报的可能性。审计人员在具体应用和实施该模型时,首先是确定审计业务所达到的可信赖程度;其次是审计人员据此深入地了解被审计单位及其环境,始终对公司管理层的诚信、有无舞弊造假动机等保持一种合理的职业警觉,捕捉潜在的风险,谨慎进行重大错报风险的识别、评估;最后在重大错报风险评估的基础上采取相应的风险应对的措施,以控制检查风险至可接受的水平。由此可见,新风险模型的应用更加注重的是对重大错报风险的识别和评估,且自始至终贯穿于整个审计业务过程中,直接影响注册会计师所发表审计意见的准确性。而本文所探讨的就是在重大错报风险识别基础上关于审计识别、评估的衔接、评估方法的选择和应用的问题。
一、重大错报风险识别和评估的侧重点
重大错报风险的识别是注册会计师审计业务小组用感知、判断或归类的方式对大量和审计业务有关的信息资料进行系统了解和分析,认清被审计客户业务活动中潜在的各种风险和可能发生的各种损失,进而判断和鉴别审计业务所面临的重大错报风险及其性质,并把握其发展趋势的行为,即从错综复杂的环境中找出目标体所面临的主要风险。重大错报风险的识别一方面可以通过审计师对被审计客户的感性认识和根据多年积累的审计经验结合被审计客户自身内外部环境的变化等因素来判断;另一方面也可通过对各种客观的资料和风险事故的记录,在定性分析的基础上结合一定的定量分析技术来分析、归纳和整理。
重大错报风险的评估在重大错报风险识别的基础上,分析和评价损失对审计业务既定目标的影响程度,通过对由风险识别获得的资料和数据的处理,得到风险后果发生的概率、严重程度和大小,为选择应对措施进行正确的风险管理决策提供依据。
重大错报风险识别的重点是识别出风险存在的主要领域或公认的具体风险,而评估是进一步确定出关键领域的重大错报风险具体水平,为后期的应对策略提供具体的和较为准确的决策依据来尽量控制审计损失的发生。所以,风险评估也称为风险量化,它主要解决的是识别出关键领域的重大错报风险水平是多少的问题。
二、模糊综合评估方法的选择
审计风险评估的具体方法很多,常用的有风险因素分析法、模糊综合评价法、内部控制评价法、审计风险模型法、定性风险估计法、风险率评估法等。评估方法选择不仅要考虑方法的特点,而且要注意评估目标和评估对象的类型与评估方法的对应问题。从审计角度来看,重大错报风险评估是一个动态的过程,需要建立在对被审计单位的分析和评价的基础上,评价涉及较多因素,包含主观和客观因素,其评价过程表现出较大的模糊性;同时,在重要性水平的确定和审计风险的关系等审计风险评估方面也存在一定的模糊性。因此,本文在识别出被审计客户重大错报风险发生的领域之后,采用模糊综合评判法对识别出的重大错报风险进行评估。
模糊综合评价法是指针对评价对象的多样性、模糊性,采用模糊数学的理论与技术,对受影响评价对象的多种因素进行模糊综合评价,从而得到评价结果的方法。该方法既综合考虑了所有因素,同时又通过权重把各因素的重要程度区分开来,在判定因素影响程度方面更加客观、详细,避免了定性方法的主观随意性和弹性较大的弊端,更有利于风险判断的准确性,并可使用计算机进行计算,克服了其计算烦琐的缺点。
三、模糊综合评判决策的一般步骤
1.确立评价因素集
代表第i个影响因素,n代表因素的个数。如果因素较为复杂,可建立多级因素集。
2.确立权重集
权重是被评价对象的不同重要程度的定量分配,每个指标在整体评价中的相对重要程度即为权重。评价指标的权重应为U上的模糊子集,用A表示,即:A={a1,a2,…,
3.建立评判集
评判集是对各种评价指标做出的评语等级和层次,用V表示,即:V={v1,v
4.单因素评判
对U中所有因素分别进行单因素评价可得到模糊矩阵R,表示为Ri={ri1,业人员对评判对象进行打分,并归属于相应的评语集,按归属某一评语的人数占总人数的百分比作为这一因素的评判结果。
5.综合评判
M(∧,∨)计算,可得综合评判B=A•R,即对两个模糊矩阵各元素之间最小值运算:将权重集A中处于第i列的ai与R矩阵中相对应的第i行中的每一个数值进行比较,取两者中较小的一个作为结果矩阵中的用来比较的R矩阵数值对应位置的新元素,由此组成一个新的矩阵,然后取新矩阵中每一列的最大数值作为模糊矩阵B中的第j个数,得:6.确定因素重大错报风险水平由B和V计算重大错报风险评价水平=BVT。
四、重大错报风险评估的应用实例
1.确立评价因素集、权重集和评语集
重大错报风险的评估是在识别的基础上来进行的,所以,评估阶段的评价因素集、权重集和评语集与识别阶段相对应(见表1所示)。
假定在重大错报风险的识别阶段识别出的关键领域为战略规划变更风险U2,其二级评价指标有:开发新产品或提供新服务、进入新业务领域U21,新的经营场所U实务中量化为V={90%,70%,50%,30%,10%}。
2.进行单因素评判
用M(∧,∨)计算得B=A•R,A=(0.2727,0.2273,0.2273,0.1364,0.0909,0.0454),
B=A•R=(00.27270.22730.13640)=归一化=00.430.360.210。
3.计算战略规划变动风险的重大错报风险水平
BVT=00.430.360.210
(90%70%50%30%10%)=0.544=54.4%。
通过以上对已识别出的该审计客户重大错报风险存在领域的企业战略规划变更风险的模糊评估,说明该类风险可能发生的概率为54.5%,假定审计组所估计的可信赖程度为95%,即审计风险为5%,则根据审计风险=重大错报风险×检查风险,可以计算出该审计组需要将检查风险水平控制在9.19%的范围之内(5%÷54.4%),属于较低水平。由此,审计人员在制订风险应对策略时,考虑在有必要的情况下实施控制测试,否则需要实施较大范围的实质性测试。
主要参考文献
[1]中国注册会计师协会.审计[M].北京:经济科学出版社,2007.
【关键词】 水利水电项目 风险管理 风险控制
随着经济社会发展的转型升级,水利水电工程建设进入新时期。但是水利水电工程项目在开发过程中,面临诸多风险,比如自然环境风险、技术风险等,使得工程建设的经济收益可能受到影响。在本文中,笔者结合自身工作实际和相关的理论文献,从风险识别、风险评估与风险应对等方面做了分析。
1 水利水电项目风险因素
1.1 水利水电项目风险
水利水电项目在开发建设过程中,可能存在较大的风险,按照成因与性质,分为六类风险,分别是自然环境风险、技术风险、政治法律经济风险、财务风险、组织风险和人员风险等。
其中,自然环境风险包括地震、雷电、泥石流等,技术风险包括设计内容不全、标准选择不当,技术资料提供不及时等,以及工艺流程不合理、方案不合理等。政治经济与法律风险包括规章制度变化、涨价、工资变化和市场动荡等,而财务风险包括资金筹措不合理、资金不到位和外汇管制等,人员风险包括设计、业主、监理、技术和管理等人员素质;组织风险包括设计单位、施工单位及其之间协调不利等。
1.2 水利水电项目风险特点
水利水电项目具有周期长、技术风险大和不确定性因素多等特点,风险特点主要包括以下几个方面:(1)风险的普遍性与客观性。项目风险不以人的意志为转移,其工程全寿命周期内,风险无时、无处不在。作为项目的管理者,仅仅能在风险控制中做一些事情,而无法消除风险。(2)风险的可变性。在项目实施过程中,风险的质和量均会发生变化,一些风险可能得到控制,而另外一些风险无法得到控制。同时,在项目各个阶段,均可产生一些新的风险。(3)风险的多样性和层次性。水利水电项目周期长、涉及范围广,风险因素较多,风险之间存在各种复杂的关系,呈现出多层次性。(4)全局性和全程性。水利水电工程中的风险是多种风险共同作用的结果,带有随机性和偶然性。不过经过分析大量风险得出,各种风险具有一定的规律性,从而可用概率统计方法计算风险发生的概率与损失程度。
2 风险管理内容与流程
2.1 风险识别
风险识别为通过一定的方法,对水利水电项目中的各种不确定因素和潜在风险,根据产生的原因、表现和预期威胁等,进行识别与定义,从而分析和判断是否会对项目造成威胁;如果可造成威胁,则预测后果的严重程度,并进行合理分类,以为风险评估提供依据。
风险识别一般分为三步,即信息收集、风险形势的估计和风险事件的确定与归类。在当前的风险识别中,德尔菲法、情境分析法和头脑风暴法等应用广泛。而专家调查法、事件树分析法和现场模拟法等,在取得试验数据的条件下,也是识别风险有效的方法。
2.2 风险评估
风险评估的方法比较多,根据评估的深度与层次,分为两类,一类为定量分析法,一类为定性分析法。(1)风险的定性评估方法。该方法是一种典型的模糊评价方法,主要是评估人利用之前的经验做法,实现对项目风险的快速评估,并采取有效的预防措施。定性评估方法,对风险大小、威胁因素、危害性和风险产生的条件等,均可开展系统评估,并有效评估所采取的防范措施。当前的风险评估方法包括故障树分析法、主观估计法和蒙特卡罗模拟法等。(2)风险评估定量分析方法。该方法是在定性分析的基础上,对风险产生的危害进行定量的分析与计算,从而使目标更为清晰,提高可信度。不过由于定量分析工作的信息量增加、操作系统性和复杂性较大。该方法主要包括敏感性分析法、影像图分析法和贝叶斯推断原理法等。
2.3 风险应对
在全面识别和评估风险的基础上,以项目目标为主要的依据,按照风险的潜在破坏力、风险性质等,制定风险管理的基本程序,称之为风险应对。风险应对策略包括四类,即风险回避、风险缓解、风险转移和风险自留。
2.4 风险监控与后评价
(1)风险监控。水利水电项目在实施过程中,需要持续跟踪检查各项风险应对措施的落实情况,目的包括三个:第一,监视风险状况,比如风险是否已经消失;第二,检查风险应对之策是否有效,以及效果如何,是否需要调险应对策略;第三,有效识别新风险,并采取一定的防范措施。
风险监控的一般方法包括:第一,风险设计。安排专人检查风险监控机制的执行情况,并制定风险审核的对策,比如对于重点风险,应制定新的应对计划;第二,偏差分析。和事前计划相对比,分析时间和成本上是否有偏差,比如是否如期完工、是否超出预算等,并找出偏差出现的原因;制定完善的补救措施,从而减低风险所造成的损失。在风险监控中,常用的技术指标为:原定技术指标与实际技术指标的差异。通过测试,如果未达到性能上的要求,则缺陷数可能超过预期。
(2)项目后评价。后评价是对已实施项目的全过程,开展系统、客观的分析与评价,从而确定前期风险识别、风险评估等是否准确,并检查项目风险对策是否合理。同时,建立项目风险预测、管理数据库系统,形成有价值的信息数据,为风险预测、管理和决策提供可靠的依据。
3 结语
对于水利水电项目来说,风险管理是重要的内容之一。由于风险无时不在、无处不在,具有普遍性和客观性特点,且一旦造成的危害通常较大,这就要求施工单位在项目实施过程中,通过风险识别、风险评估、风险应对等步骤,有效控制风险,降低甚至消除风险所带来的损失。在本文中,笔者从水利水电项目中风险的特点与分类、风险的应对与控制等方面做了总结归纳。
参考文献:
[1]潘旭能.洽谈水利水电工程项目风险管理[J].水利水电工程造价,2009(01).
[2]王文飞,黄洁生.水利水电项目风险管理浅析[J].中国农村水利水电,2010(05).
[关键词]境外 石油钻井工程 项目风险管理
1引言
石油是一种不可再生的重要能源,与经济发展的关系十分密切。随着世界各国的发展,对石油资源的需求也逐步提升,境外石油工程项目的开发已经成为国际能源行业发展的大趋势。我国的石油行业历经多年的发展后,也已经纷纷将触角伸向海外地区,并获得了可观的经济效益和石油资源。然而值得注意的是,海外石油钻井工程项目因为涉及到庞大的工程规模与复杂的技术管理体系,中间蕴含着必须面对的风险。如何能够客观地识别、评估和管理境外石油钻井项目的风险并以合理的方式进行有效规避,是一个亟待解决的问题。本文首先从风险管理的自觉性、风险管理的动态性以及风险管理的经济性、风险管理的系统性四个方面分析了境外石油钻井工程项目风险管理的主要特点,在此基础上从境外石油钻井工程项目的前期、中期和后期三个角度阐述了风险管理和控制的具体措施。本文的成果对于改进海外油气钻井工程项目风险管理现存问题具有比较好的理论价值与实践意义。
2境外石油钻井工程项目风险特点分析
2.1自觉性
境外钻井风险管理是项目主体的自觉性行动。风险管理的最终目的是为了能够通过准确地识别与规避风险来避免带来不必要的经济损失,因此处于企业经济效益最大化的目的,其工程主体将风险管理作为一项自觉的行为。
2.2经济性
对项目进行风险管理,其本质依然是一种经济行为,是为了避免企业在境外钻井过程中遭受经济损失而进行的一种管理行为。项目主体既要承受项目带来的风险,又要识别和管理各类风险,这两项行为集中于同一个施工主体单位,具有鲜明的经济性特征。
2.3动态性
项目风险是一个不确定的过程,可以在项目进行的全周期中的任意一个阶段存在和发生,风险因素的种类和程度也处于不断变化之中,因此风险管理带有很明显的不确定特征。只有针对其不确定性进行合理而及时的风险评估与识别,才能在真正意义上实现风险的控制与规避。
2.4系统性
风险管理是一个整体工程,具有系统性,钻井工程本身是一项系统性很强的工作,而风险分析与管理同样是一个相对完整的环节,从风险的识别到风险的分析和应对,是一个环环相扣的整体。
3境外石油钻井工程项目风险管理
3.1石油钻井工程项目前期风险管理策略
在境外石油钻井工程项目的前期阶段,应该对可能存在的风险进行预先管理,预先管理的重点内容是结合该项目当中具有较大发生几率的风险进行客观的评估和识别,将风险因素从源头进行断绝。具体到境外的石油钻井项目,应该结合量化的方法,以数理统计和综合分析的方式,综合考虑该工程所涉及的经济因素、政治因素、地质因素、技术因素等多方面变量,构建合理的数学模型,并以专家的打分和以往的经验为各个指标做出合理的权重,最后进行风险的量化,确定工程所存在的风险值。这个环节是风险测度中难度较高的一个环节,其结果能够决定下一步风险管理模式的构建。而项目风险的各类影响因素互不相同,有些因素是显性的,能够对其进行描述或者测量;有些因素则没有前期的迹象,判断与测量的复杂度很高。此外,风险的评估也受到执行者的技术素养和施工经验影响,因此只有在项目前期进行尽可能客观精确的风险测度,才能为下面的风险识别和规避打下良好基础。
3.2石油钻井工程项目中期风险管理策略
中期风险管理策略所关注的是境外石油项目的具体实施过程。当一个项目获准实施并且开始投入人力物力之后,必须结合项目前期风险管理行为中所测度和评估的项目风险源以及风险程度,对其进行有效的管理与控制。不但应进行准确的风险预警,还应制定严密的具有可行性的风险应对机制,配置所需的人力物力要素,从而在风险来临之前对其进行弱化或消除,风险来临之时则运用有效的应对机制使损失达到最小化。以科学的分析手段,结合工程的实际特点以及以往的工程施工经验,制定出应对风险事件的管理措施。如果项目前期风险管理策略是对钻井项目进行风险警戒,则项目中期的管理目标则是为了在风险事件真正出现时进行有效的应对和善后。
3.3石油钻井工程项目后期风险管理策略
在工程项目后期,针对风险所做的管理工作主要是实现后评价。后评价所覆盖的范围则包括从工程的立项、实施到工程结束,充分参考工程立项时所确立的施工目标,结合项目现场的经济条件、技术条件以及境外的政治条件等,对项目的风险管理进行综合的总结与评估。一方面论证项目所取得的成绩与依旧存在的风险,另一方面则从项目风险管理所达到的实际效果来判断项目风险目标是否实现。项目的后评估工作能够对钻井工程的风险管理经验进行归纳汇总,并以此作为日后其他类似项目的参考。
项目后评估结束之后,则应结合具体的评估结果,详尽探讨日后的其他项目可能遇到的类似风险以及应持有的应对措施,并着手开展新一轮的境外钻井工程项目风险识别管理。流程为:
(1)充分结合项目的进行阶段来进行有针对性的风险评估与识别。由于一个境外钻井工程项目周期很长,处于不同阶段的项目所面对的风险也有较大的差异,因此在风险管理时必须考虑到项目的阶段性。
(2)结合科学的分析方法,例如神经网络识别方法、模糊算法识别方法以及层次分析法识别等等,以客观准确的量化风险值作为工程风险评估与规避的依据,并找出风险源,进行有针对性的管理。
(3)结合具体的风险识别结果,以具有针对性的管理方式进行规避和弱化,制定有效的应对策略。
关键词:水利水电工程风险识别应对
一、风险管理是建设项目的关键
水利水电工程是利用自然资源产生经济效益的工程,在水利水电的开发过程中存在着许多不确定因素,所以水利水电工程建设的风险管理具有很重大的意义。所以应尽早研究水利水电工程建设期间风险管理的相关问题,及时摸清楚当中存在的问题和将会带来的后果,并采取有效的风险防范和处理措施。风险管理对于提高投资效益,确保工程实施的顺利进行,将我国水利水电工程建设的设计与施工管理水平提到一个新的高度,都具有重要的意义。
二、水利水电建设工程中的主要风险因素
水利水电工程的工程风险是指在水利水电工程项目的立项、分析和实施的过程中都存在着不能预先掌握的干扰因素。在整个水利水电建设过程中主要的风险因素有:
2.1自然因素。自然因素是整个工程施工中最常见又最不可避免的干扰因素。气候的变化会直接导致水文的变化,同时在项目建设期间有可能遇到的恶劣天气等都可能对项目的实施构成威胁。而且,不良地质构造及暴雨、泥石流、塌方、滑坡等其他不可抗的自然事件对大坝、地下工程、水库甚至整个工程都会造成很大的伤害。
2.2政策因素。在水利水电工程的建设过程中,往往会遇到国家政策及法规的调整。这些政策的调整都会对这个项目的投资及建设造成干扰。
2.3技术因素。水利水电的设计风险有:选址、工程地质勘测、水文调查分析及设计质量等。大坝抗震、泄洪消能、大规模地下工程及水库、厂房的施工质量都关系到整个项目的生命周期。
三、水利水电工程项目风险管理的主要过程
就水利水电工程项目的风险管理来水,通常由风险识别、风险评估和风险应对三个部分组成。
3.1风险识别。
通过各种方法识别出项目中存在哪些风险及这些风险可能造成的后果,是进行水利水电工程风险管理的首要步骤。而风险识别的原则是通过系统分析和因素分解把一个比较复杂的项目分解成一系列的小部分,并找出各个部分中可能存在的风险,这样就能省时的找出潜在的风险。由于风险在不断变化,所以风险的识别在项目的各个阶段都是十分重要的工作,它贯穿于项目建设的全过程。在进行风险识别时,要依照项目风险管理计划、项目结构描述、项目的计划信息及项目的历史参考资料等,通过对不同施工阶段的不同目标、工程的结构和建设环境的各种不确定因素的分析,得出项目潜在的风险及可能引起的后果,然后将搜集的各种信息分类整理,编制成风险识别报告,全面地总结出影响水利水电工程施工的风险及其来源、征兆等。识别风险的主要方法有:检查表法、流程图法、情景分析法、环境分析法等。
3.2风险评估。
如果说风险识别是对风险的定性分析,那么风险评估就是对风险的定量分析。通过对风险的评估来确定该风险因素在整个水利水电工程风险管理中的影响程度。一般来说,风险评估中要考量的关键是风险事件发生的频率和该风险会造成的损失,例如桥梁的完全损坏虽然只有一次但也足以让整个项目陷入困境,造成不能估量的损失。所以,在进行风险评估时,必须对风险的严重程度,风险发生的频率、风险发生的时间及各风险事件间的相互联系,以确保让风险发生率降到最低。
3.3风险应对。
在水利水电工程施工的全过程中,发现风险是无可避免的,而当发现了风险,如何应对也是十分重要的步骤。为了能更好的应对风险,我们要以风险管理计划为依据,以风险识别和风险评估的结果为基准,尤其要重点的考虑风险的特性、项目主体的抗风险能力,从而定制切实可行的风险应对计划。并且还要针对项目的不同阶段和不同的风险定制不同的、切合实际的应对措施。还有很多的风险处于潜伏的未被发现的阶段,所以我们要做到能够正确的预见和发现风险的苗头,积极采取有效的措施,消除隐患和风险,尽早的发现和阻止风险事件的发生。如果在风险事件不可避免的发生了,我们就要积极采取抢救和补救措施,同时要根据风险事件发生的位置及严重程度,尽量缩小风险的范围或将风险事件转移到其他不会对项目造成严重影响的部位,尽可能的将风险事件造成的损失降到最低。与此同时,在风险造成损失的阶段,要迅速的对风险造成的损失进行有效的补偿,尽量避免风险事件对项目日常进展的影响,减少间接造成的损失。在风险应对时,特别要注意的是确定风险应对的措施,必须以风险识别和风险评估以及工程特点为依据,从系统整体的观点出发,考虑风险管理的思路和步骤,选择最优的解决方法。
风险管理对于水利水电行业来说是个新的课题,同时也是工程项目管理中不可或缺的部分,在水利水电工程的项目中,风险是十分客观存在的,因此我们要根据项目的具体特点和企业自身的实际情况,及时分析项目中可能存在的风险因素。对于风险的管理我们还是应在风险预测上下功夫,但现在对风险的预测还是很难定量和定性地进行,大多数情况下都还是要依靠经验进行预测。怎样运用各种策略和技巧,系统、科学地对工程风险进行管理,有针对性地采取控制措施,才能减少风险或避免其可能产生的损失,从而为项目的顺利实现提供了安全保障。
参考文献:
[1]邱莞华。现代项目风险管理方法与实践。北京科学出版社,2003。
关键词:电力工程项目 风险 防范
中图分类号:F407文献标识码: A 文章编号:
一、电力工程项目蕴含风险
电力项目建设程序可分为立项、可研、建设、运行等阶段,电力项目建设周期长、投资大,对项目投资者而言,准确识别、评估各阶段风险,并采取有效措施防范显得十分重要。在项目立项可研阶段。主要存在决策风险和项目技术经济风险。在项目建设投产阶段,主要存在项目完工风险和项目施工管理风险。在项目运行管理阶段,主要存在运行操作风险、需求衰退、项目效益下滑和电力市场改革、市场竞争等方面的风险。电力项目建设周期长、投资回收期长,在整个过程中可能遇到更多政策变动风险、法律诉讼风险等。
对风险进行评估是运用概率和数理统计等方法对投资项目潜在风险事件发生概率、对目标实现影响程度进行估计,为风险控制奠定基础。风险评估可考虑风险发生的可能性。即风险发生概率;还可考虑风险发生后影响程度,即造成损失的大小。一般投资项目风险评估工具和方法很多,对电力工程项目而言,主要有概率分析法、决策树分析法、敏感性分析以及蒙特卡洛模拟法等方法。
二、电力工程项目风险识别
风险识别是风险防范的基础,用感知、判断或归类方式对现实和潜在风险性质进行鉴别。只有正确识别项目所面临风险,投资者才能够开展风险应对策略并实施。电力工程项目面临各种各样风险,既有当前也有潜在于未来的,既有内部也有外部的,既有静态也有动态的等。风险识别目的在于,识别出可能对项目进展有影响的风险因素、性质以及风险产生的条件,并据此衡量风险大小;记录具体风险特征,并提供最适当风险防范对策;识别风险可能引起后果。
风险识别直接影响风险管理决策质量进而影响整个风险防范的最终结果。全面、正确识别项目所面临风险,衡量风险和选择对付风险方法才有实际意义。风险因素在识别阶段被忽略。尤其是重大风险因素被忽略,可能导致整个项目失败,造成不可估量经济损失。增强风险意识、认真识别风险,是衡量风险程度、采取有效风险控制措施以及进行风险管理决策的条件。通过风险识别建立信息有存在或潜在风险因素;风险发生后果,影响大小和严重性;风险发生可能性、概率;风险发生可能时间;风险与本项目或其他项目及环境之间影响等。
三、电力工程项目风险防范
电力工程项目从立项到施工到投产运行,都将面临众多潜在风险,投资者应树立全面风险防范意识,在不同项目建设阶段组织专业项目管理班子,对电力工程项目进行风险识别、评估及控制,确定风险化解对策并组织实施,保障项目预期投资效益。
风险控制是针对风险识别和风险评估结果。为降低项目风险造成损失而制定风险应对措施、应对策略和技术手段并组织实施。项目经评价,可能会出现两种情况,一是项目整体风险超出评价基准,超过投资者能够接受水平;二是项目整体风险在基准范围内,处于投资者可以接受范围内。对于前者,投资者会改变投资项目目标和策略。对于后者,投资者应监测已识别风险。制定风险应对策略并实施,保障项目预期投资效益目标实现。风险应从公司整体角度来考虑。从各单元来看。剩余风险可能在单元风险承受范围内,但各单元剩余风险叠加,则可超过公司整体风险偏好,就需追加采用相应风险化解对策,或改变原先风险化解对策。相反,各单元风险也可互相抵消,或者一个单元风险较高而另一单元风险较低。对各类风险进行总体评估后,投资者须采取相应风险化解对策。一是风险回避。投资者发现拟实施项目潜在风险事件发生概率高,导致不利后果严重,又无其他措施可缓解风险,可回避这种风险。二是风险缓解。设法采取措施减小风险发生概率或不利影响程度,或两者兼而有之。相对于风险事件发生后损失,缓解措施成本合理。三是风险分散。风险分散方式有转让、分包、保险、担保和签订免责协议等。四是风险接受。投资者对潜在风险事件不利后果权衡后,决定不采取任何化解对策,顺其自然。
电力工程投资项目获取利润机会无处不在,但风险也无时无刻不伴随项目实施而存在,对项目风险的防范应贯穿电力项目整个周期。现行风险管理,已提升为全面风险管理.拓展到考虑企业组织结构、职能设置、政策、目标、程序、过程和资源等全方位因素。全面风险管理。企业围绕经营目标,在各个环节和经营过程中执行风险管理基本流程,培育良好风险管理文化,建立风险管理体系,包括风险管理策略、风险理财措施、风险管理组织职能体系、风险管理信息系统和内部控制系统,为实现风险管理总目标提供合理过程和方法。全面风险管理用系统的、动态的方法进行风险防范管理,减少项目实行过程不确定性。不仅使各层次项目管理者建立风险意识,防范于未然。而且在各阶段、各方面实施有效风险控制,形成前后连贯管理过程。全面风险防范要求对项目全过程进行风险管理,从项目立项到项目结束,都进行风险识别与评估、对策制定以及风险控制;对全部风险进行全方位的、全面的管理并采取有效措施解决。
Tao Liqun;Zhu Fengqi;Lv Fenghua;Jing Zhirui
(Jiangsu Tobacco Industrial Co.,Ltd.,Nanjing 210011,China)
摘要:品牌是企业核心价值与核心竞争力的重要体现,实施卷烟品牌战略对于卷烟企业可持续发展具有重要的推动作用。卷烟品牌风险管理作为卷烟企业品牌战略的重要组成部分,是卷烟企业进一步加强品牌战略的重要保证。本文通过分析卷烟品牌价值链中风险的形成机理,建立了集风险识别、风险评估、风险控制于一体的卷烟品牌风险管理体系,为卷烟企业强化品牌管理、构建品牌战略提供了可借鉴的研究成果。
Abstract: Brand stands for the core values and core competitiveness of enterprises, and carrying out brand strategy is of importance to enterprises' sustainable development. As important component of the brand strategy, cigarette brand risk management is the significant guarantee for enterprise to extend its brand strategy. This paper analyzes the forming mechanism of the cigarette brand risk among the brand value chain, and proposes a model of cigarette brand risk management. This model consists of risk identification, risk assessment and risk control, which provides experience for cigarette enterprises to explore tobacco brand tactics and strengthen brand management.
关键词:卷烟品牌 品牌风险管理 风险识别 风险评估 风险控制
Key words: cigarette brand;brand risk management;risk identification;risk assessment;risk control
中图分类号:F273文献标识码:A文章编号:1006-4311(2011)29-0110-03
0引言
我国是全世界最大的烟草生产国与消费国,烤烟种植面积、烤烟产量、烤烟增长速度、卷烟产销量、卷烟增长速度、吸烟人数、吸烟人数增长数量、烟税增长速度均为世界第一[1]。据保守数据:中国有3.5亿烟民,占世界烟民总数的25%,其烟草生产占全球的35%,而烟草消费占全球的32%。烟草行业每年对国家的税收贡献超过1000亿元,占国家税收收入的10%。从以上数据可以看出烟草行业在我国国民经济中的重要作用。然而,在国家烟草专卖体制下,国产卷烟的市场化运作程度很低,各卷烟企业对卷烟品牌的重视程度还很不够。随着我国加入WTO的进一步深入,卷烟行业逐渐对外开放,众多国外知名企业,如“555”、“万宝路”等,争相进入我国卷烟市场,给我过卷烟企业带来了极大的压力。面对国内外烟草市场格局的变化,在国家烟草专卖局制定的《中国卷烟科技发展纲要》中阐述了,中国卷烟业发展所面临的机遇和挑战,明确了中国卷烟科技发展的主要任务,提出了中式卷烟发展的目标,以积极地姿态提高国内烟草行业的竞争力。
品牌风险,也称为品牌危机,是指在企业品牌建设中,对企业品牌造成严重威胁的、不确定性的和有危机感的情境或者事件。国内外学者对品牌风险管理进行了深入的研究,从不同的角度对品牌风险给出了自己的理解。吴狄亚、卢冰(2002)首次提出了品牌危机的定义:“品牌危机指的是由于企业外部环境的突变和品牌运营或营销管理的失常,而对品牌整体形象造成不良影响并在很短的时间内波及到社会公众,使企业品牌乃至企业本身信誉大为减损,甚至危机企业生存的窘困状态。[2]”钟唯希(2003)则把这个概念进一步明晰化,把诱发品牌风险的因素细化,并指出,品牌风险的实质就是信任危机[3]。郭盈盈(2006)首次从媒介和信息传播角度对品牌危机下了定义,指出“品牌危机是指品牌所代表的产品(服务)及其组织的自身缺失或者外部不利因素以信息的形式传播于公众,……,使得该品牌面临严重威胁的突发状态[4]”。
品牌风险管理是一项复杂的系统工程,针对企业品牌价值链形成的过程中的各种相关因素,从系统的角度,结合先进的品牌风险管理理论,运用各类风险管理技术和信息技术,对品牌风险进行管理。东方船(2000)指出,品牌是企业“整个战略系统的完整体系”[5]。刘庆玉等(2005)认为品牌本质上是一个复杂的价值系统,需要企业资源系统各要素的协同作用稳定发展[6]。系统角度的品牌风险管理研究在于扩大研究的范畴,上升到企业的战略管理层面,从宏观的角度来考察品牌风险的形成。
从以上研究可以看出,品牌风险管理越来越引起了企业管理者的重视,随着市场化的发展,品牌战略已经成为企业立足于市场中的重要基础因素。本文通过对卷烟品牌实施品牌风险进行风险管理,开展品牌风险要素的识别和预警,以及品牌风险的处理等,能够促进卷烟品牌又快又好地健康发展。因此,如何有效地识别、防范和管理企业卷烟品牌风险,是我国卷烟企业急需解决的一个关键问题,也是我国卷烟行业从传统保护行业走向市场化过程中的一个管理新课题。
1卷烟品牌风险管理框架
从风险的一般原理出发,烟草品牌风险可以定义为烟草品牌的持续盈利能力受到不利因素冲击而导致的不确定性。在卷烟品牌建设中,在品牌环境、品牌载体、品牌运作的过程中,存在着各类薄弱点,风险源就是通过影响这些弱点来达到影响卷烟品牌的目的。针对这些风险源,采取一定的应对措施加以控制,即进行品牌风险管理,是一项综合全方位的管理任务。卷烟品牌风险形成机理的概念模型如图1所示。
品牌风险管理是一种通过对风险的识别、评价和控制,以最少的成本将风险导致的各种不利后果减少到最低限度地科学方法[7]。烟草品牌风险管理的一般过程为:首先,对卷烟品牌的经营的内外环境进行分析,识别风险;其次,对识别的风险影响因子进行风险评估,根据已有的风险表征指标对各风险因子进行评价;最后,得出卷烟品牌风险管理的应对对策,建立品牌风险预警体系,如图2所示。2卷烟品牌风险管理策略过程分析
卷烟品牌风险管理的一般过程主要包括风险识别、风险评估和风险控制三个方面,通过三个方面的综合集成,能够建立一套完善的卷烟品牌风险管理策略。
2.1 风险识别风险识别主要分为风险因子定义、风险因子提取和风险因子识别,风险识别要根据定义的风险因素的类型、特征,提取风险因素,进而定位到风险事件。风险因素的提取是指通过对风险源进行分析,对其中关键的影响因子就行抽象化处理,得出具体的因素指标。风险因素的识别要求识别出影响品牌风险的关键因子,剔除次要因子。卷烟品牌风险因素是指导致卷烟品牌运作的实际结果与预期目标产生差异的因素。查阅相关研究文献,在分析我国卷烟品牌当前风险管理的现状的基础上,初步将风险因素分为四大类:宏观环境因素、生产价值链、商品流通价值链、行业竞争与企业决策,如图3所示。
2.2 风险评估风险评估是指对识别的风险因子进行估计的工作,以考虑其对卷烟品牌的各方面所造成的影响和损失的严重性,来确定是否采取措施进行管理,或者采取何种措施加以控制。风险评估分为三个步骤:确定风险表征指标、选取风险评估模型、进行风险评估。
2.2.1 风险表征指标风险表征指标是风险出现时所反应的某个侧面的度量指标变化,显然,表征指标在理论上是无限可分的,但从管理的实际出发需遵循可理解性、准确性、易于操作性等原则。从品牌持续成长的表征出发,通过头脑风暴法集思广益,然后对得到的结果进行分析处理,得出影响卷烟品牌风险的三大类7个表征指标:一是从公众的视角产生的三个指标,分别为品牌忠诚度、品牌公关知名度、品牌声誉度;二是从品牌在行业内的个性视角来产生的两个指标,分别为品牌竞争力和品牌免疫力;三是考虑品牌的成长和扩张的两个指标,分别为品牌成长性和品牌辐射度。这些指标分别从不同的视角刻画了卷烟品牌的风险产生的过程。
2.2.2 风险评估模型风险评估模型是评估结果是否可靠的关键,风险评估模型要能够体现出卷烟品牌所面临的各类风险类型,根据不同类型的风险要素的影响程度,按照一定的评价策略,对其进行相应的分析,最后得出风险等级信息。具体的风险评估模型如图4所示。其中,风险要素分为三种类型:一是可度量的风险因素;二是定性描述的风险事件;三是企业内部运作的风险。针对三种不同类型的风险源,分别采取影响分析、威胁分析、脆弱性分析三种不同的分析方法,得出相应的风险信息,然后对这些信息进行风险评估,最后得出相应的风险等级信息。
2.2.3 风险评估在选定了品牌风险表征指标,建立了风险评估模型后,接下来要完成的就是根据现有的风险因子信息进行卷烟品牌的风险因子评估,每一个风险因子按照评估的流程进行分析,得出其对卷烟品牌的影响度。风险因子评估的目的:①测定风险路径影响因子,给出警情判断;②根据对警情的综合判断,按照一定的规则对影响因素进行警情排序;③根据判断的结果,对重要警情进行线路标注,然后再标注的基础上对其进行控制。风险因子评估的流程如图5。
2.3 风险控制对策风险控制,也称为风险管理,是根据一定的风险管理策略对产生品牌风险的要素、事件等进行管理的过程,以期起到化解风险的作用。风险控制主要包括风险控制策略的制定以及相应的组织体系的建设,此外还涉及重要警源的管理流程设计、风险管理投资与立项的管理等。卷因品牌风险控制策略的制定和实施需要经历四步:①风险预测。对可能发生的风险损失有足够的估计,发现潜在的风险和损失。②风险决策。采取定量和定性的方法进行科学的决策,提出风险控制的可行性方案。③实施风险控制方案。采取各种有效措施来降低风险,保证方案顺利实施。④方案的成果评价。
2.3.1 风险控制框架获得了卷烟品牌风险的评估结果后,需要采取适当的风险控制策略,对潜在的风险因素进行控制,达到预防的目的。常用的风险控制策略有风险回避、风险应对、风险转移和风险自留等。风险回避是以放弃或拒绝承担风险作为控制方法来回避损失发生的可能性。 风险应对是卷烟品牌通过降低风险发生概率和减少风险发生带来的损失来达到控制风险目的的手段和方法。风险转移是通过若干技术手段和经济手段,将风险部分的或全部转移给其他人承担。风险自留是对一些无法避免和无法转移的风险,采取现实态度,在不影响根本利益的同时,将风险自愿承担下来。风险控制是一个复杂的过程,在控制的过程中,涉及到卷烟的生产、销售、流通等各个环节,涉及企业内部各主体,如何权衡各方的权利和义务是摆在决策者面前的一个难题。为了便于协调企业内部各部门之间的关系,需要设计一套规范的风险流程机制,并将其上升为企业的规章制度,保征风险控制策略能够顺利实施。经过研究,本项目设计了风险控制了基本机制,如图6所示。
2.3.2 风险控制组织体系良好的风险管理组织体系是风险控制策略得以实施的重要保证。为了进行风险的预警和控制,企业需要设定专门的负责品牌风险管理的组织。但考虑到烟草公司现有管理体系是在实践中形成的,有其存在的基础和合理性,同时为了更好的调集各部门在风险控制中的积极性。因此,本项目认为将卷烟品牌的风险管理作为管理的一个侧面,作为一种新的管理职能,融入到现有的管理体系中,更符合现实情况。为了便于风险控制策略的实施,本项目设计了一套风险管理的组织体系,该体系能够很好的融入到各部门、各组织,有利于开展风险控制工作。基本思想是在现有组织体系中建立一个职能团队式的品牌风险管理小组,来制定或者审核风险控制的方案,清理风险危机。风险管理小组不一定是实际存在的部门,而是在企业部门中选定风险管理人员,在市场部设定风险管理经理,同时在经理层设定一位风险管理主管领导的团队,该团队是协调组织各部门落实风险管理的运作中心。相应的组织形式如图7所示。风险管理小组成员需要由各部门业务精炼,具有较强风险洞察力的人员组成。各部门风险人员的职责就是随时监测卷烟品牌风险影响因子,并及时反馈信息,向风险经理汇报相关指标的变化情况;其次还要负责本部门与全公司之间的协调,保证相关风险管理行动在部门内顺利开展。风险经理的职责是定期召开风险管理会议,收集各部门风险指标数据,进行分析,并做出风险管理决策。
3结束语
卷烟品牌风险管理对于卷烟企业的品牌建设具有重大的意义。随着我国卷烟行业环境的变革,企业内部的显现出来的各种因素对于企业的进一步发展或多或少的产生着各种影响,尤其对于卷烟品牌价值链的形成会带来巨大的影响。
本文在系统分析卷烟品牌建设的基础上,针对卷烟品牌价值链形成的全过程,建立了卷烟品牌风险识别、风险评估和风险控制的卷烟品牌风险管理体系,并针对三个方面进行了深入具体的分析,分别建立了卷烟品牌风险识别、风险评估和风险控制的策略,建立了一个相对完整的卷烟品牌风险管理流程体系。本文的研究对于卷烟企业应对卷烟品牌风险的管理具有现实的指导意义。
参考文献:
[1]赵全意.探索中国烟草的品牌之路.中国经贸导刊,2001,(22):32-33.
[2]吴狄亚,卢冰.企业品牌危机防范[J].经营管理者,2002,(2):44-45.
[3]钟唯希.品牌预警管理研究[D].武汉:武汉理工大学,2003.
[4]郭盈盈.品牌危机分析及其管理研究[D].成都:西南交通大学,2006.
[5]东方船.切开危机看品牌[J].中国广告,2000,(2):61-62.
风险评估是保险风险管理的重要职能,也是保险公司在经营过程中极易被忽略的领域之一。近年来,重大自然灾害及意外事故频发,单一事故造成的损失巨大,虽然事故发生后保险公司根据保单约定进行了积极的赔付,但事前的风险管理与评估工作仍未能引起足够的重视。笔者在与各保险公司人员进行交流过程中了解到,从认识上各保险公司都能够意识到风险评估工作的重要性,但在具体开展工作的过程中,除了风控经费不足之外,更重要的是对风险管理的思路、流程以及方法认识不清,尤其是面对各种风险时,把握不住重点,存在畏难情绪,所开展的风控工作也仅限于现场识别风险,缺乏统一的风险评估思路,所取得的成效不大。通过对保险承保风险特征的分析,保险风险存在大量风险与同质风险的特征。因此,在风险管理过程中引入标准化的思路,将保险的风险评估过程标准化,按照标准化的要求对风险进行识别、分析和评价,对于有效提升我国保险公司的风险管理水平,降低风险事故的发生的概率具有积极的借鉴意义。
二、保险风险及标准化的概念特征
(一)保险风险的特征
保险是分散风险、消化损失的一种经济补偿制度。从风险管理的角度看,保险是风险管理的一种方法,或风险转移的一种机制。通过保险,将众多的单位和个人结合起来,变个体对付风险为大家共同对付风险,从而提高风险损失的承受能力。保险的经济补偿制度,既是风险的集合过程,又是风险的分散过程。保险公司通过保险将众多投保人所面临的分散性风险集合起来,当发生保险责任范围内的损失时,又将少数人遭受的风险损失分摊给全体投保人,通过保险的补偿或给付行为分摊损失或保证经营稳定。保险风险的集合和分散应具备两个前提条件:一是大量风险的集合体。保险在于集合多数人的保费,补偿少数人的损失。大量风险的集合,是基于风险分散的技术要求,也是概率论和大数法则原则在保险经营中得以运用的前提。二是同质风险的集合体。所谓同质风险,指风险单位在种类、品质、性能和价值等方面大体相近,如果风险不同质,那么风险损失发生的概率就不相同,风险也就无法进行统一集合与分散。此外,不同质风险损失发生的频度、幅度也不同,若对不同质的风险进行集合与分散,极容易导致保险公司财务的不稳定。
(二)标准化的基本概念
根据标准化法条文解释,标准化是“在经济、技术、科学、及管理等社会实践中,对重复性事物和概念通过制定、实施标准,达到统一,以获得最佳秩序和社会效益的过程”。因此,凡具有多次重复使用和需要制定标准的具体产品,以及各种定额、规划、要求、方法、概念等,都可作为标准化的对象。标准化的对象一般可分为两类:一类是标准化的具体对象,即需要制定标准的具体事物;另一类是标准化的总体对象,即各种具体对象的总和所构成的整体,通过它可以研究各种具体对象的共同属性、本质和普遍规律。标准化的基本原理包括统一原理、简化原理、协调原理和最优化原理。统一原理就是为了保证事物发展所必须的秩序和效率,对事物的形成、功能或其他特性,确定适合于一定时期和一定条件的一致规范,并且这种一致规范与被取代的对象在功能上达到等效。简化原理是为了经济有效地满足需要,对标准化对象的结构、型式、规格或其他性能进行筛选提炼,剔除其中多余的、低效能的、可替换的环节,精炼并确定出满足全面需要所必要的高效能的环节,保持整体构成精简合理,使之功能效率最高。协调原理是为了使标准的整体功能达到最佳,并产生实际效果,必须通过有效的方式协调好系统内外相关因素之间的关系,确定为建立和保持相互一致,适应或平衡关系所必须具备的条件。最优化原理是按照特定的目标,在一定的限制条件下,对标准系统的构成因素及其关系进行选择、设计或调整,使之达到最理想的效果。标准化是实现科学管理和现代化管理的基础,是合理发展产品品种、组织专业化生产的前提条件,是提高产品质量保证安全、卫生的技术保障,也是资源合理利用、节约能源和节约原材料的有效途径。实施标准化的重要意义是改进产品、过程和服务的适应性,防止贸易壁垒,促进技术合作。
三、保险风险评估标准化的必要性
标准化的目的是为了在一定范围内获得最佳秩序和社会效益,通过制定和实施标准,使标准化对象的有序化程度达到最佳状态。对于保险中的风险评估,不同的主体,甚至同一主体如保险公司内部的不同层级和部门,对其有着不同的理解,关注的焦点也存在差异,造成了各相关方之间的不配合,难于开展对风险管理效果的客观评价,也就难于达到最佳秩序和最佳社会效益。通过将风险评估活动标准化,为风险管理活动提供一种共同的语言和公式,有了统一的标准,实施风险评估的各相关方就可以使用相同的风险管理过程,有了相同的决策、处理基础,对风险评估活动持有共同的认识,有利于规范保险的风险管理活动。保险所面对的风险具有“大量、同质风险”的特征,风险评估标准化的过程,也就是针对各类大量同质风险进行科学分析研究的基础上,结合技术进步的新成果以及实践中累计的先进经验,使之相互结合,加以消化、融会贯通、提炼和概括的过程。人们在生产实践中为了规避风险或减少损失,已经积累了一定的经验,也取得了大量的科学技术成果,这些成果和经验如果以标准的形式来表达,对于保险公司在实施风险评估过程中提高效率具有重要意义。
四、风险评估过程的标准化分析
保险风险评估标准化体系的构建,要基于标准化的统一、简化、协调和最优化原理,根据保险风险因素的特征,将风险识别、风险分析和风险评价过程中的共性的、重复性的可能导致风险发生的因素识别出来,使决策者及有关各方可以更深刻地理解各类承保风险,以及现有风险控制措施的充分性和有效性,为确定最合适的风险应对方法奠定基础。根据《风险管理风险评估技术》(GB/T27921-2011),结合保险风险评估的特征,将风险识别、风险分析和风险评价环节中的标准化重点进行逐一解析,分析各环节中需要重点关注的因素和方法,实现风险评估过程的标准化。
(一)风险识别标准化
风险识别是发现、列举和描述风险要素的过程,也是风险评估过程中的基础环节。风险识别的目的是确定可能影响保险事故发生的事件或情况,一旦风险得以识别,保险公司应立即对现有的控制措施进行识别。风险识别的范围包括对风险源、风险事件及其原因和潜在后果的识别,识别的方法包括:1)基于证据的方法,例如检查表法以及对历史数据的评审;2)系统性的团队方法,例如专家团队遵循系统化的过程,通过一套结构化的提示或问题来识别风险;3)归纳推理技术,例如危险与可操作性分析方法等。此外,也可利用各种支持性技术来提高风险识别的准确性和完整性,例如头脑风暴法和德尔菲法等,但无论采用哪种技术,其关键是在整个风险识别的过程中要认识到人的不安全行为、物的不安全状态以及组织管理制度的有效性。
(二)风险分析标准化
在风险分析过程中,重点应当考虑导致保险风险发生的原因和风险源、风险事件的正面和负面的后果及其发生的可能性、影响后果和可能的因素、不同风险及其风险源的相互关系以及风险的其他特性,还要考虑控制措施是否存在及其有效性。为确定风险等级,风险分析通常包括对风险的潜在后果范围和发生可能性的估计,该后果可能源于一个时间、情景或状况。在某些情况下,风险可能是一系列事件迭加的结果,或者由一些难以识别待定事件所诱发,在这种情况下,风险评估的重点是分析系统各组成部分的重要性和薄弱环节,检查并确定相应的防护措施。风险分析的方法可以是定性的、半定量的、定量的或以上方法的组合。定性的风险分析可通过重要性等级来确定风险后果、可能性和风险等级,如“高”、“中”、“低”3个重要性程度。半定量法可利用数字评级量表来测度风险的后果和发生的可能性,并运用公式将二者结合起来,确定风险等级。定量分析可估计出风险后果及其发生可能性的实际数值,并产生风险等级的数值。
(三)风险评价标准化
风险评价将包括风险分析的结果与预先设定的风险准则相比较,或者在各种风险分析结果之间进行比较,确定风险的等级。风险评价利用风险分析过程中所获得的对风险的认识,对外来的行动进行决策,包括:1)某个风险是否需要应对;2)风险的对应优先次序;3)是否应开展某项应对活动;4)应该采取哪些途径。依据风险的可容许程度,将风险划分为如下三个区域:不可接受区域、中间区域和广泛可接受区域。不可接受区域内无论相关活动可带来何种收益,风险等级都是无法承受的,必须不惜代价进行风险应对;中间区域内的风险应考虑实施应对措施的成本与收益,并权衡机遇与潜在后果;广泛可接受区域中的风险等级微不足道,或者风险很小,无需采取任何风险应对措施。
五、结语
关键词:风险;软件项目;风险管理;
中图分类号:F069・9 文献标识码:A
文章编号:1006-4311(2009)11-0094-03
0引言
随着社会需求的增加和计算机技术的迅速发展,软件产业在经济发展中的地位日趋重要。但是,由于软件产品的纯知识性,随之而来的软件项目高失败率也成为一个焦点。20世纪80年代末,软件项目风险管理作为一门学科应运而生。经过近30年的发展,出现了一系列的软件项目风险管理工具和方法。
由于对风险管理技术和实践缺少了解,风险管理技术却没有得到广泛的应用。鉴于此原因,本文对近年来出现的一些风险管理方法进行分析与比较,以期对软件开发企业起到一定的帮助作用。
1软件项目风险管理定义
SEI认为[1],“风险”就是承受损失的不确定性。风险管理是指在项目中含有过程、方法和工具的管理风险实践,它建立了预先决策的规范环境,使得:①连续地评估风险;②明确了哪些风险因重要而需要处理;③③实施处理这些风险的战略[1]。Hall[2]认为风险管理是评估和控制影响软件项目、过程或产品的风险的实践,该实践围绕目标设定、项目计划、执行、度量、改进和发现新信息 6 部分展开。
Boehm认为[3] ,软件风险管理指的是“试图以一种可行的原则和实践,规范化地控制影响项目成功的风险,其目的是辨识、描述和消除风险因素,以免它们威胁软件的成功运作”。
2软件风险管理技术、工具和方法
经过近30年的发展,软件项目风险管理研究中出现了一系列的技术、工具和方法。其中,软件工程研究所(SEI)为整个风险管理提出了一整套的标准步骤。这篇论文将对具有代表性的6个软件项目风险管理工具和方法进行介绍和分析。
2.1 软件风险评估(SRE)技术
SRE 模式是由SEI开发的,旨在对与系统相关的风险进行识别、分析、沟通、缓解。SRE系统包括风险管理流程、软件开发风险分类图(SDRT)以及基于问卷的分类法(TBQ)。该模型有五个过程,分别为风险识别、风险分析、计划、风险跟踪和风险控制,即对软件项目中存在的风险行识别并加以分析评估,对风险进行优进化排序, 并对TOP风险加以管理,制定相应的应对计划,最后进行跟踪控制。
SRE不但是一种诊断工具而且还是一种决策工具。该技术从产品,过程和约束条件上进行风险处理,识别和分类。另外,项目成员参与风险识别与分析过程,并设法规避风险领域以面对自己的开发计划。因此,项目经理可以在早期阶段了解项目风险。
2.2 团队风险管理(TRM)技术
Ronald P・Higuera, David P・Gluch, Richard L・ Murphy 指出,团队风险管理是指“在软件开发项目生命周期的各个阶段中,所有项目直接涉及到包括组织,团队,部门和等都作为团队的参与者参与其中,协同进行对组织结构和操作活动的风险管理。团队风险管理,为政府和承包商提供了过程、方法和工具,从而使这两个组织都能够单独的或者共同的参与决策过程,从而防患于未然[4]。”团队风险管理活动使所有人包括从开发者到客户都参与到一个组织当中。这种技术确保通过项目可以反复地和协作地进行持续风险管理[5]。TRM工作程序是风险识别,定期评估和分析新风险,计划资源的合理利用以降低风险,风险跟踪和风险规范行动,开始风险控制并将之变成问题,最终,项目中的伙伴关于风险开始沟通。
2.3 Softrisk 模型
Softrisk[6]风险管理技术是由于一些传统的风险管理技术存在缺陷的情况下出现的。Softrisk模型结合其它项目管理来探讨风险管理,确保了风险管理自动化并且适用于任何类型和规模的项目[7]。Ayad Ali Keshlaf,Khairuddin Hashim指出, Softrisk模型“是建立在一种思想基础上设计出来的,这种思想就是风险文档化和集中注意力在最大风险上是节省开发者时间和精力并且在降低软件风险上能达到好的结果的最好的方法”[6]。
模型步骤概括如下[6]:
Softrisk模型第一步就是风险识别。Softrisk模型识别不仅针对可能发生在任何类型项目的一般风险也针对仅发生在特定项目的特定风险。第二步就是对第一步中识别出的每一种风险都要确定它发生的概率及其影响。风险的概率和影响都由特殊的风险清单进行评估。利用风险清单,将风险分为很低,低,中等,高,很高五类。第三步,风险文档化阶段。在这一阶段,Softrisk将所有一般的和特别的风险数据文档化。这个文档用来跟踪项目情况、统计业务和预测未来风险。第四步,风险评估。Ayad Ali Keshlaf, Khairuddin Hashim定义了风险暴露(RE)公式:
RE=风险发生的概率*风险造成的影响
第五步,排序。RE值是用来对所有风险进行分类并列出十大风险。第六步,把一图形分成红、黄、蓝三个区域来表示RE值。第七步,控制阶段。根据风险严重程度来选择一个合适的风险减少技术。这项技术可以是缓解偶然性或危机计划。在应用了这种技术后,再估计,再评估,再排序是必须的。最后一步,确定没有任何风险存在。如果有新的风险,就要再转到第一步。
2.4 ARMOR
M・R・Lu, J・S・Yu, S・R・Dalal认为, ARMOR(Analyzer for Reducing Module Operational Risk)“是一种自动识别软件项目模块操作风险的软件风险分析工具”[8]。ARMOR的工作程序是访问数据仓库,项目数据库,失败数据库和项目开发数据库。该工具创建风险模型,并显示项目管理的各种统计数据。通过提高用户界面,简化了风险建模程序。ARMOR建立了可行的项目评估风险模型,能够衡量软件项目风险。并且可以识别出风险源,指出如何提高软件项目以减少它们的风险水平,并决定数据资料得来的风险模型的有效性。
在这个工具中,用户可以将软件风险分布的各种统计数据显示出来。最后,用户应用回归分析验证风险模型的有效性。经验证的风险模型通常保存在一个模型库。该模型将进一步应用于其它项目或完全不相关的项目当中。
2.5 Riskit模型
Riskit方法是由Maryland大学提出的,目的是为了支持系统风险分析,避免危险区域的出现,并使用合理的步骤评估风险。Riskit方法使用了图形形式化工具,支持在定量分析之前对风险情景的定性分析。该方法根据历史数据的有效性,准确的评估效用理论以其对风险进行量级,其特征就是支持多目标和利益相关者的多项需要。Riskit分析图是Riskit模型的一种图形形式,用来描述风险。使用Riskit分析图不同的是使风险得到了明确的定义,因此,它比口头交流更加形式化。Riskit分析图在Riskit程序中将风险分解成风险元素。
2.6 基于CMM的软件风险控制优化模型
在基于CMM的模型中,软件风险评估和风险控制遵循CMM(能力成熟度模型)框架。在这个模型中,过程数据库用来识别风险和制定相应的风险缓解计划[9]。此模型在相似项目历史数据基础上实行软件风险控制策略[10]。在这个模型中,软件风险管理过程分成两个活动:软件风险评估和软件风险控制。软件风险评估主要是识别风险源,找出它们的潜在影响因素,最终确定风险的优先级。软件风险控制主要是制定风险缓解计划,监控风险情况,启动风险缓解计划,并调整计划。对风险进行识别和优化后,制定结构化的计划以使列表中高风险的影响程度最小化。其中,过程数据库或风险库对于识别和制定风险控制决策起着重要作用。
3比较与分析
软件风险管理是一种新兴学科,目标就是在风险因素对软件的成功运作构成威胁之前,对风险因素进行识别,描述和消除。
软件风险评估(SRE)方法是风险管理方法中比较好的例子。这个方法根据分析对风险进行识别,分析和制定计划,并且具有很强的可操作性。但是,在识别和分析阶段仅有项目开发人员而没有其他利益相关人员如客户的参与。这可能是一个比较严重的问题。由于项目的主要风险都是由利益相关者提出的需求因素引起的。因此,如果缺少利益相关者的参与,项目开发团队可能没有得到明确的需求,从而导致项目的失败。
相反地,TRM确保了所有人员参与到风险管理过程中,使得项目经理很容易得到项目的明确需求。在团队风险管理中,个人同组织一起参与到风险管理活动中,它包括了组织内部活动和组织间的进程。
Softrisk方法的重点是文档化。这个模型可以应用于任何类型项目的任何阶段。该模型的一个重要特点就是能对风险进行量化并计算风险发生的概率。模型将风险进行优先排序,并对TOP风险重点采取减缓措施。Softrisk方法利用图形进行风险监控,并根据风险缓解计划提出风险减缓建议。跟ARMOR方法一样,Softrisk方法也利用了风险数据库。
ARMOR方法是一种系统化的方法,不仅识别风险,还可以确定风险源并通过降低风险水平积极地对项目进行完善。
Riskit管理模型广泛应用于许多行业。该模型使用图形对不同方面的风险进行定义。一方面,模型拥有在TRM模型中相关参与者的主要特征;另一方面,模型还突出了在Softrisk模型中有主要特征的重要风险。
在基于CMM的软件风险控制优化模型方法中,我们不难发现其与ARMOR方法在运行程序上的相似之处。两种方法都从之前应用的启发式知识失败数据库中收集数据。CMM方法以通过研究所遵循的SEI标准为基础。
一、风险及风险管理的概念
风险是指损失发生的不确定性,它是不利事件或损失发生的概率及其后果的函数,用数学公式表示为:R=f(P,C),其中R表示风险,P表示不利事件发生的概率,C表示该事件发生的后果。
风险管理是指经济单位对可能遇到的风险进行预测。识别、评估、分析,并在此基础上有效地处置风险,以最低成本实现最大安全保障的科学管理方法。
从总体上看,风险是一种客观存在,是不可避免的,而且在一定条件下还带有某些规律性。因此,人们只能把风险缩减到最小的程度,而不可能将其完全消除。这就要求社会经济各部门、各行业主动地认识风险,积极管理风险,有效地控制风险,把风险减至最低的程度,以保证社会生产和人民生活的正常进行。
二、项目风险管理的过程和方法
(一)项目风险预测与识别?
项目风险预测和识别是对项目进行风险管理的重要一步,但常被人们忽视,以致夸大或缩小了项目中风险的范围、种类和严重程度,从而使对项目风险的评估、分析和处置发生差错,造成不必要的损失。对项目风险进行预测和识别的方法很多,目前常用的有:德尔菲方法、头脑风暴法和情景分析法等。德尔菲方法又称专家调查法,用德尔菲方法进行项目风险预测和识别的过程是由项目风险小组选定与该项目有关的领域和专家,并与这些适当数量的专家建立直接的函询联系,通过函询收集专家意见,然后加以综合整理,再匿名反馈给各位专家,再次征询意见。这样反复经过四至五轮,逐步使专家的意见趋向一致,作为最后预测和识别的根据。在运用此法时,要求在选定的专家之间相互匿名,对各剩。反应进行统计处理并带有反馈地征询几轮意见,经过数轮征询后,专家们的意见相对收敛,趋向一致。
头脑风暴法,就是以专家的创造性思维来素取未来信息的一种直观预测和识别方法。一般是在一个专家小组内进行人以“宏观智能结构”为基础,通过专家会议,发排专家的创造性思维未获取未来信息。
情景分析法是根据发展趋势的多样性,通过对系统内外相关问题的系统分析,设计出多种可能的未来前景,然后用类似于撰写电影剧本的手法,对系统发展态势作出自始至终的情景和画面的描述。当一个项目持续的时间较长时,往往要考虑各种技术、经济和社会因素的影响,对这种项目进行风险预测和识别,就可用情景分析法来预测和识别其关键风险因素及其影响程度。
(二)项目风险评估与分析对项目风险进行评估和分析是处置风险的前提,是制订和实施风险控制计划的科学根据,因此一定要对风险发生的概率及其后果作出尽量准确的定量估计,但由于历史资料的不完整、项目的复杂性、环境的多变性以及人们认识的局限性都会使人们在评估和分析项目风险时出现一些偏差,如何利用多种方法综合判断以便缩小这一偏差,仍值得进一步研究的问题。
三、项目风险管理控制
通过对项目风险的评估和分析,把项目风险发生的概率、损失严重程度以及其它因素综合起来考虑,就可得出项目发生各种风险的可能性及其危害程度,再与公认的安全指标相比较,就可确定项目的危险等级,从而决定应采取什么样的措施以及控制措施应采取到什么程度。
在对某项目进行风险预测、识别、评估和分析后,如发现实施此项目将面临巨大风险,一旦发生事故,将造成项目组无法承受的重大损失,而且风险经理又不可能采取有效措施减少其风险和损失大小,保险公司也认为该项目风险太大而拒绝承保,这时就应放弃或终止该项目的实施,以避免今后可能发生的更大损失。风险回避虽可彻底消除实施该项目可能造成的损失和可能产生的恐惧心理,但它是一种消极的风险控制方法,因为同时也失去了实施项目可能带来的收益。
对信息系统进行模糊评价的步骤是先建立评价因素集t/评价集、再用从U到F(F)的模糊映射7导出模糊矩阵再给出各因素的权重,并选择相应的函数进行综合,最后进行评判。数学模型为:召=4RS=B广,其中B为评价矩阵,4为权重集合,为从f/到F的一个模糊关系,S为系统得分,严为系统风险得分M。
2局域网信息安全风险评估
下面以以某单位局域网信息系统为评估对象,运用模糊评价理论和AHP方法对其进行风险评估。
2.1风险评估准备
主要是确定风fe评估的目标和范围。目标是识别单位局域网信息系统及管理上的不足,以及可能造成的风险大小;范围是单位局域网信息系统及系统内存储的内部信息。
2.2资产识别
2.2.1资产分类机密性、完整性和可用性是评价资产的三个安全属性。这里的局域网信息系统的资产表现形式主要是单位内部文件、科研成果、人员档案等数据资料,系统安装的应用软件、源程序等软件和网络设备、计算机设备、存储设备等硬件。
2.2.2资产赋值这里仅给出机密性的赋值。不同等级对应资产在机密性上达成的程度或者机密性缺失时对整个单位的影响。
2.2.3资产重要度区分资产价值可依据资产在机密上、完整性和可用性上的赋值等级得出。这里以资产机密性的赋值结果作为资产的最终赋值结果。为与上述机密生赋值相对应,将资产划分为五级,级别越高表示资产越重要。
2.3威胁识别
这里采用德尔菲集体讨论法进行威胁识别,确定评估对象面临的主要威胁,生成威胁集r:kK=I2…,M,其中为第;种威胁,〃为评估对象面临的威胁种类数。单位内部网络信息系统有别于一般网络信息系统的是,其在运行时一般要求与外网相隔离,因此,其面临的安全威胁,特别是网络攻击和泄密主要来自内部人员。
2.4脆弱性识别
脆弱性识别是风险评估中最重要的一个环节。这里采用问卷调查的方法,从技术和管理两个方面进行识别。
2.5建立风险评估指标体系
建立潜在风睑指标体系时要尽量包括其所面临的各方面的风验,根据以上分析的单位局域网信息系统所面临的威胁,并结合系统的脆弱性识别结果,建立了该系统所面临的潜在风险的指标体系。
2.6建立关于风险严重程度的评价集
根据风S可能造成的影响的程度,建立评价集V=jVi,v2,v3v4mi,ninivi=丨灾难性的,严重的,轻微的,可忽略的!
2.7评价结果及建议
由系统风险得分对照表8风险级别对应的风险值,可以看出该评估对象的风险等级为“严重的”,说明该单位局域网存在较大风险。结合最大隶属度原则和评价权重可以看出该系统的信息安全风险隐患主要来自于制度落实不到位和有意泄密2个方面。一方面说明该系统安全管理制度制定较健全,但在管理制度的落实上存在问题,执行过程中未严格落实,因而存在发生安全风险的可能。另外,系统设计时防范措施不严密,存在内部人员利用系统安全漏洞进行攻击的风险。所以,该单位信息系统需加强信息安全管理制度的落实监督,及时检测系统漏洞,并制定方案修补漏洞,从而提高其安全性。
3结语
关键词:新准则;审计风险;重大错报风险;检查风险
0 引言
2010年新修订的《审计准则》将风险导向审计理念全面彻底地贯彻到整套审计准则中,进一步强化了风险导向审计思想,从风险识别、评估和应对等方面高度要求注册会计师考虑是否实施及如何实施这些程序。新准则对注册会计师进行审计风险评估与控制提出了更高的要求。
审计风险是指财务报表存在重大错报,而注册会计师发表不恰当审计意见的可能性。注册会计师对财务报告不存在重大错报提供的是合理保证,这意味着审计风险始终存在。如果注册会计师将审计风险降至可接受的低水平,则对财务报表不存在重大错报获取了合理保证。
1 审计风险形成的原因
我国新审计准则的主要变化之一是采用了新的审计风险模型:
审计风险=重大错报风险×检查风险
可见,审计风险取决于两方面因素:(1)重大错报风险;(2)检查风险。从审计风险的两个要素可以看到审计风险形成的原因。
1.1 重大错报风险存在的客观性
1.1.1 重大错报风险要素的客观存在性
重大错报风险是指财务报表在审计前就存在重大错报的可能性,分为基于报表层次的重大错报风险和认定层次的重大错报风险。要分析重大错报风险的形成,首先要界定其风险要素:(1)报表层次的重大错报风险主要受企业经营风险的影响,企业的经营风险受内外部经营环境的影响,或由于战略的失误,或因经营流程的错误而不可避免;财务上有意无意的错报漏报增加了会计风险。(2)认定层次的重大错报风险包括固有风险和控制风险,企业内部控制设计的合理与执行的有效与否决定了控制风险的高低。这些都决定了重大错报风险的可能性。
1.1.2 财务报表编制不具合法性、公允性
如果被审计单位对会计估计的判断及对会计政策的选择和运用不符合适用的会计准则和相关会计制度,或是会计人员的舞弊行为,都容易致使报表出现重大差错。如果注册会计师通过测试未能发现这些差错,就形成审计风险了。
1.1.3 被审计单位管理当局的舞弊行为
管理当局出于经济或其他目的,同时由于企业财务业绩的衡量和评价对管理层带来的压力,可能导致其进行财务舞弊,通过各种手段粉饰财务报表,而且手段越来越隐蔽、高明,如果注册会计师没有识别出这种舞弊行为,报表信息使用者就会追究注册会计师责任,因此,被审计单位管理当局的舞弊行为成为审计风险的重要根源。
1.2 检查风险的不可避免性
检查风险是指如果存在某一错报,该错报单独或连同其他错报可能是重大的,注册会计师为将审计风险降至可接受的低水平而实施程序后没有发现这种错报的风险。检查风险取决于注册会计师的专业胜任能力和职业道德遵循情况。专业胜任能力的影响因素主要有:注册会计师应具备的专业知识不足;职业判断失误;执业经验不足等。影响职业道德遵循的因素主要有:注册会计师没有保持独立性,缺乏应有的执业谨慎,责任心不强;承接不能胜任的工作等。此外,如果会计师事务所的审计质量控制存在问题,也会增加注册会计师的检查风险。并且,由于采用抽样审计技术,检查风险通常无法降至零。
从以上两个审计风险要素及成因可知,审计风险的评估与控制也应从这两方面着手。由于重大错报风险是由被审计单位形成的,注册会计师只能对其进行识别评估而无法进行控制,再根据重大错报风险的评估水平来确定检查风险并进行控制。
2 重大错报风险的评估
对于重大错报风险的评估,审计人员要作出审计判断首先要识别相关风险,然后评估重大错报风险并采取应对程序。在识别和评估重大错报风险时,注册会计师应该考虑被审计单位的战略目标及相关的经营风险等重要因素。
2.1 重大错报风险影响因素的考虑
2.1.1 识别和评估经营风险
经营风险,是指对被审计单位实现目标和实施战略的能力可能造成不利影响的重要状况、事项、情况、作为或不作为而导致的风险,或由于制定不恰当的目标和战略而导致的风险,包括战略风险和经营流程风险。
1)战略风险的识别与评估
注册会计师接受委托后的第一阶段就要了解企业的战略目标。注册会计师要了解行业状况、法律环境与监管环境,以及其他外部因素,并通过分析外部环境中影响企业有效执行战略的潜在风险因素来识别战略风险。在识别战略风险后,注册会计师可以通过询问、观察和检查等方法了解被审计单位有无相应的风险管理措施及执行的有效性,以此来判断战略风险。
2)关键经营流程风险的确定
注册会计师在确定战略风险后,应判断其重要性,如果是重要的,那么它所指向的经营流程也是重要的;另一方面也可以通过重要交易类别识别出关键经营流程,也即先确定企业经营中的重要交易类别,再判断其对会计报表的影响是否重要,如重要则说明这一重要交易类别所处的流程为关键流程。然后从流程目标、投入、作业、交易类型等方面对企业所依赖的关键经营流程进行了解分析,以此评价流程风险。
2.1.2 评估控制风险和固有风险
注册会计师应通过职业判断确定哪些内部控制与审计有关,审计人员可以通过询问、观察、检查、重新执行等程序对内部控制进行测试,必要时进行穿行测试,以评价这些控制设计的合理性,确定其是否得到有效执行,并以此评估控制风险。固有风险是指在考虑相关的内部控制之前,某一认定是于发生错报的可能性,它与控制风险不可分割地交织在一起,有时无法单独进行评估,可视注册会计师偏好的审计技术和方法及实务上来考虑评估方法。
2.1.3 关注特别风险
特别风险是指注册会计师识别和评估的、根据判断认为需要特别考虑的重大错报风险。主要包括:舞弊风险;与近期经济环境、会计处理方法及其他方面的重大变化有关的风险;涉及重大的关联方交易;交易的复杂程度等;涉及异常或超出正常经营过程的重大交易的风险;以及财务信息计量的主观程度,特别是计量结果涉及广泛的计量不确定性带来的风险。
2.2 综合评估重大错报风险
新审计准则要求注册会计师从财务报表层次和认定层次来识别和评估重大错报风险, 为设计和实施进一步审计程序提供基础。
2.2.1 财务报表层次重大错报风险的评估
注册会计师在对重大错报风险的各要素风险进行识别和评估后,应考虑这些风险是否更广泛地与财务报表整体相关,进而潜在地影响多项认定。报表层次的重大错报风险很可能源于薄弱的控制环境,因为控制环境对报表的影响难以限于某类交易、账户余额和披露。注册会计师可以通过测算各项财务指标,包括资产负债率、流动资产比例、资产负债表各项目占总资产的比例、资产负债表各项目增长率等,以及利润表中的毛利率、其他业务收入、营业外收入、投资收益与主营业务收入的比例等,并实施分析程序,将这些指标与同行业平均指标相比较,了解其变动趋势,分析变动原因。在这个过程中,注册会计师应考虑审计项目组的胜任能力、对专家工作的利用,以及采用相应的质量控制程序。
2.2.2 基于认定层次的重大错报风险的评估
有些重大错报风险直接与特定的某类交易、账户余额和披露的认定相关,而报表层次的重大错报风险会潜在地影响多项认定,因此,要将报表层次的重大错报风险分解到账户认定层次,也就是说注册会计师对重大错报风险的评估最终都归集到认定层次。
首先,将各风险要素分配到业务循环层次,注册会计师应考虑某一风险要素如何影响客户某一个或某几个业务循环产生,影响程度怎样及发生可能性的大小;其次,分析影响该业务循环的风险因素对具体账户的影响,即将重大错报风险归结到账户和认定层次;最后,综合各单个账户可能受到的各方面风险因素的影响,从而最终确定该账户认定层次上重大错报风险。
重大错报风险是审计人员估计水平,如果通过实施进一步审计程序获取的审计证据,或获取的新信息,与注册会计师之前作出评估所依据的审计证据不一致,注册会计师应当对评估的重大错报风险水平进行修正,以此来确定检查风险,并修改原计划实施的进一步审计程序。
3 检查风险的控制
从审计风险模型可以看出,检查风险与审计风险之间存在着正向关系,与重大错报风险成反向关系。由于审计业务是一项保证程度较高的业务,可接受的审计风险应当足够低,如果评估的重大错报风险较高,注册会计师就必须将检查风险控制在较低的水平,以使审计风险处于可接受的水平。所以,在既定的风险水平下,注册会计师在评估了重大错报风险水平之后,要做的就是如何控制检查风险。简言之,对检查风险的控制就是针对重大错报风险采取有效的审计程序,这贯穿于审计过程的始终。
3.1 审计前的风险控制
在业务承接阶段,注册会计师要综合考虑客户各方面情况,对是否接受新客户或保持现有客户关系实施必要的程序,从而决定是否接受业务受托。这些程序包括:初步了解审计业务环境、考虑胜任能力、评价独立性、分析和评价客户风险因素。
注册会计师在接受委托并且评估重大错报风险后,在实施审计前需要做的是针对报表层次的重大错报风险采取总体应对措施:强调保持职业怀疑的必要性;审计人员安排;对业务的督导;对不可预见因素的考虑及进一步审计程序计划的修改等。总体应对措施会影响到拟实施进一步审计程序的总体方案,包括实质性方案和综合性方案,当评估的财务报表层次重大错报风险为高风险水平时,拟实施的进一步审计程序往往更倾向于实质性方案。
3.2 审计实施阶段的风险控制
实施阶段的风险控制是针对认定层次重大的错报风险而采取的风险应对措施,即实施进一步审计程序,包括控制测试和实质性程序,涉及到审计程序的性质、时间和范围,其中性质是最重的。
3.2.1 控制测试的选择
控制测试不是必要的审计程序,只有认为控制设计是合理的、预期控制有运行是有效的,或仅实施实质性程序并不能够提供认定层次充分、适当的审计证据时,注册会计师才有必要实施控制测试。注册会计师可以采取询问、观察、检查和重新执行等审计程序,根据被审计单位内部控制执行的频率、运行有效性的时间长度及预期偏差等来确定控制范围,以获取控制运行有效性的审计证据。对控制有效性的信赖程度越高,注册会计师应当获取越有说服力的审计证据。注册会计师在进行控制测试时更适宜选择在期中进行,但应考虑针对期中至期末这段剩余时间获取充分、适当的审计证据。
3.2.2 实施实质性程序
实质性程序是必要的审计程序,包括细节测试和实质性分析程序。细节测试适用于对各类交易、账户余额有披露认定的测试,尤其是对存在、发生或认定的测试,而实质性分析程序更适用于在一段时间内存在可预期关系的大量交易。注册会计师应根据各类交易、账户余额和披露的性质选择实质性程序的类型,并根据评估的认定层次的重大错报风险和控制测试的结果来确定实质性程序的范围。实质性审计程序更适宜在期末或接近期末进行,如果考虑到多方面因素需在期中进行,注册会计师应权衡成本效益,并将期中实施的结论合理延伸至期末。如果拟利用以前获取的审计证据,注册会计师应当在本期实施审计程序,以确定这些审计证据是否具有持续相关性。
3.3 审计报告阶段的风险控制
在完成实质性测试后,注册会计师已经掌握了较充分的审计证据。此时,注册会计师要综合考虑各风险要素,对审计证据进行整理与评价,复核审计工作底稿,汇总审计测试结果和审计差异,以此对审计风险进行最终评价,并与期望审计风险比较,以判断审计风险是否控制在可接近水平之下。如果注册会计师得出结论,审计风险处在一个可接受水平,那么则可以直接提出意见,如果注册会计师认为风险不能接受,那么他应追加实施额外的审计程序,或要求被审计单位作必要调整,以使重大错报的风险降低至可接受水平,并得出恰当的审计意见。
参考文献:
[1] 中国注册会计师协会.中国注册会计师审计准则2010[M].经济科学出版社,2010.
[2] 注册会计师协会.注册会计师考试教材[M].经济科学出版社,2012.
[3] 赵保卿.审计学[M].经济科学出版社,2007.
[4] 邹晶,方松.风险导向审计的重心:审计风险评估[J].审计月刊,2006.
[5] 李祥富.注册会计师审计风险研究[J].经济管理论坛,2005.
关键词:铁路建设;工程风险;风险评估与管理
中图分类号:X731文献标识码: A
2014年3月在义乌西站货场扩能改造工程建设中了解到《上海铁路局建设项目质量安全风险管理“一图四表”法实施意见》上铁建发【2012】434号文,从中学习到铁路工程建设风险评估与管理的重要性,并对此有了些自我见解。
一、铁路建设工程风险形成
工程建设风险是由两部分组成的:风险事件出现的概率以及风险出现后可能造成的损失。风险事件的发生是由一系列风险因素引起的,它是风险可能产生的潜在征兆。由此可以看出,工程建设风险的发生过程实际上就是一系列风险因素以及风险事件共同作用下对工程造成损失的过程,该过程凸显了风险形成的机理,同时也展现了风险的构成。
(一)风险因素
风险因素是导致风险事故发生、风险损失形成的直接或者间接原因,它是推动风险发生概率以及风险损失程度增大的罪魁祸首。风险因素的形式上多种多种的,在建设工程中主要表现为两种形式,一种是有形的风险因素,另一种是无形的风险因素。有形的风险因素是指直接与建设工程相关,不以人为因素而变更的因素,比如,工程质量缺陷,工程环境恶劣等。而无形的风险因素多体现为人为因素,如人为欺诈或对建设工程抱有侥幸心理等。
(二)风险事件
风险事故是指直接或间接造成生命财产损失的事件。在一定程度上可以说风险事件是损失的承载体,也就是说损失必须要风险事件发生后才能得以出现,是指造成生命财产损失的偶然事件,是直接或间接造成损失的事故,例如,线路工程中所需材料不合格,螺旋道钉锚固架不达标、未按照配合比进行熬制锚固浆以及违章施工和大型机械及其他物体侵入线路的事件。
(三)损失
铁路建设工程上的损失是指由风险事件发生后导致的的经济损失、人员伤亡或工期延误等,这种损失通常不在风险管理着预期范围内,具有极大的不确定性。损失通常可以分为两种:直接损失和间接损失。直接损失即与建设工程风险直接挂钩的损失,可理解为实质性损失;间接损失则是指为弥补风险直接损失所需承担的额外费用等损失。
二、风险识别
风险识别是系统、全面地识别影响项目目标实现的风险事件,并加以适当归类的过程,是项目管理者动态监控、识别风险来源,确定风险触发条件并初步评价风险影响的过程。
风险识别是风险管理的基础,它的好坏直接影响到风险管理的质量以及最终结果。同时,风险识别还为评估提供必要的信息,为风险评估打下基础。通过风险识别将某些可能对项目造成危害的因素标记出来,以便制定更有针对性的风险方案,而不是盲目的制定补救措施。
(一)风险识别的流程
图1铁路建设工程风险识别流程
(二)风险识别的方法
总体来说,风险识别的方法可以分为三类:基于证据的方法、系统性的团队方法、归纳推理技术等。下面介绍几种在工程中常用的风险识别方法。
(1)检查表法
检查表法是比较简单的一种风险识别方法,因此它也是风险管理过程中最常用的一种方法。使用此方法前需要建立一个完整的风险指标体系,确定风险责任人,在对具体工点的风险进行分析时可直接对照该体系进行识别,并落实到人。。
检查表法操作简单,即是说非专家人士可以使用。同时,编制精良的检查表将各种专业知识纳入到了便于使用的系统中,有助于确保常见问题不会遗忘。
(2)头脑风暴法
头脑风暴法是一种激发团队智慧来解决问题的方法,它通常是采用开会讨论的方式来进行,邀请一些行业专家对所涉及问题畅所欲言,收集并整理这些专家的意见以得到合理的决策标准或处理方法,比如参照公司分发的问题库等进行排查。
脑风暴法可以排除折衷方案,对所讨论问题通过客观、连续的分析,找到一组切实可行的方案。头脑风暴法有以下几个优点:
①激发想象,提供一个良好的思维环境,更容易实现创新;
②多人参与,通过全面的沟通提前发现问题并解决问题;
③速度较快并易于开展。
(3)分析分解法
分析分解法是将复杂事物按一定规则简化的过程,通常以层次结构的形式展现。当复杂事物的各个要素并未清晰的呈现时,可采用此方法,以达到事物易于分析,便于实行的目的。
铁路建设工程具有规模大、周期长的特点,在风险识别时通常采用分析分解法将工程项目进行结构性划分,将复杂问题简单化,使风险识别的结果更加完整准确。
三、风险估计的内容
在识别了工程项目所面临的各种风险之后,风险管理人员必须对项目风险量大小进行估计,以便确定它们的相对重要性,并为风险管理决策提供依据。风险估计需要同时确定项目风险概率和损失量,并以此作为风险分析的基础,评估风险量的大小,即项目风险的等级。
(一)风险概率
风险概率是指风险事件现实发生的可能性。通常采取等级赋值的方法,将定性的概率描述与量化的概率相联系,建立起五级制的等级划分。这种方法即方便决策者理解,又能提高评估的准确性。风险概率五个等级的具体表示如下。
①“很不可能”:该风险事件可被发生的可能性几乎为0。
②“不可能”:该风险事件有可能发生。
③“偶然”:该风险事件偶尔会发生。
④“可能”:该风险事件有规律地发生。
⑤“很可能”:该风险事件频繁地发生。
(二)风险损失
风险损失是指风险一旦发生将会对项目目标实现造成的影响,包括如下三个方面。
(1)人员伤亡。是指在参与施工过程中或运营过程中,由于操作者的失误、操作对象的缺陷以及环境因素等相互作用所导致的人员伤亡。
(2)经济损失。经济损失是指风险事故造成工程发生灾害后所需弥补费用的总和。
(3)工期延误。工期延误是指风险事故发生引起的工程建设时间的延长,反映在各阶段工作的延误或总体进度的延误上。工期延误的潜在损失起初被认为某一特别的工序延误引起的,而没有考虑这个工序是否在关键线路上,到后来才只在关键线路上来考虑工期的延误。
从以上三种损失的分类可以看出,它们分属于不同的性质,如经济损失用货币来衡量,而进度的拖延则属于时间范畴。但是,进一步分析可知这三种损失在本质上可以归纳为经济损失和责任。
四、风险处理
在风险识别和风险评估后,下一步工作就是如何有效地应对风险,以减少风险事件发生的概率,降低损失程度。风险处理就是针对风险分析的结果,为降低风险的负面影响而采取的应对措施。常用的项目风险应对措施包括风险减轻、风险预防、风险转移、风险规避和风险自留。
(一)风险减轻
风险减轻是指通过采取一系列风险防范措施,以达到降低风险发生可能性的目的。针对不同类型的风险,应提出不同的风险处理措施予以达到风险减轻的目的。对于可预测的风险,风险管理之应提前做好应急准备,以实现风险的完全控制,例如随着工程施工工作的开展,施工工期逐渐清晰,工期延误风险变得可预测,如出现此类风险,即可通过压缩关键路线时间,以达到减少工期的目的。对于不可预测的风险,则必须加强风险信息的收集,以降低风险发生的不确定性。
(二)风险预防
风险预防是指在风险发生前提前做好准备,以防止风险的出现。根据预防的形式不同,可分为有形和无形两种风险预防手段。
(1)有形的风险预防手段,通过采取工程措施(例如抗滑桩、挡护墙等)将可能造成的人、财、物损失同风险因素隔离,增加的防护还能预防风险事件的发生。
(2)无形的风险预防手段,最主要的形式为教育形式。通过对工程管理人员进行风险教育,包括工程建设相关的法律、法规、标准、规范和安全技能等方面的教育,使有关人员提高风险管理意识,减少因人工失误造成的不必要损失。
(三)风险转移
风险转移是借助合同等手段,在风险发生时将损失的一部分转移到第三方的策略。
风险转移的策略主要包括:分包、保险和担保三种。
分包:承包人将其所承包的一部分向其他专业施工公司分包,专业分包公司对于特定施工工艺的熟悉,可以有效降低施工风险。保险:通过购买保险,当风险事件发生后,项目各方就可以获得保险公司的补偿,实现将风险转移给保险公司的目的。担保:可以实现银行、保险公司和其他银行金融机构为项目风险负间接责任的一种承诺。
(四)风险规避
风险规避是指,在风险发生概率较大、风险损失较严重,且无法通过其他方法对风险加以改善的情况下,通过改变项目目标的方式避让风险的措施。例如,在铁路建设工程可研阶段,即可通过选线来规避上述类别风险。
(五)风险自留
项目管理者主动将风险事件的不利后果接受下来,即为风险自留,分为主动接受和被动接受两种。在风险计划的过程中项目管理者已经估计到了风险事件发生的可能性,并作出了相应的准备,当风险事件发生后,立刻执行应急计划,即为主动接受。被动接受,是指风险事件损失后果不严重,对整体工程影响不大,项目管理者提前准备一笔费用,以防此类风险的发生,如预算应急费、涨价费等。
结语
铁路工程建设项目风险管理理论还需要进一步完善,同时更应加强风险管理理论在实际工程中应用。在理论研究的同时,还需要把理论与工程实际相结合,使理论更好地服务于实践,以促进工程风险管理水平的提高。
参考文献
[1]聂洪亮.铁路路基工程风险分类及评价研究[D].西南交通大学,2014.
