时间:2023-08-24 17:18:41
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇风险评价与风险评估的区别,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:网络审计 历史财务报表审计 信息安全管理 风险评估
一、引言
从审计的角度,风险评估是现代风险导向审计的核心理念。无论是在历史财务报表审计还是在网络审计中,现代风险导向审计均要求审计师在执行审计工作过程中应以风险评估为中心,通过对被审计单位及其环境的了解,评估确定被审计单位的高风险领域,从而确定审计的范围和重点,进一步决定如何收集、收集多少和收集何种性质的证据,以便更有效地控制和提高审计效果及审计效率。从企业管理的角度,企业风险管理将风险评估作为其基本的要素之一进行规范,要求企业在识别和评估风险可能对企业产生影响的基础上,采取积极的措施来控制风险,降低风险为企业带来损失的概率或缩小损失程度来达到控制目的。信息安全风险评估作为企业风险管理的一部分,是企业信息安全管理的基础和关键环节。尽管如此,风险评估在网络审计、历史财务报表审计和企业信息安全管理等工作中的运用却不尽相同,本文在分析计算机信息系统环境下所有特定风险和网络审计风险基本要素的基础上,从风险评估中应关注的风险范围、风险评估的目的、内容、程序及实施流程等内容展开,将网络审计与历史财务报表审计和信息安全管理的风险评估进行对比分析,以期深化对网络审计风险评估的理解。
二、网络审计与历史财务报表审计的风险评估比较
(一)审计风险要素根据美国注册会计师协会的第47号审计标准说明中的审计风险模型,审计风险又由固有风险、控制风险和检查风险构成。其中,固有风险是指不考虑被审计单位相关的内部控制政策或程序的情况下,其财务报表某项认定产生重大错报的可能性;控制风险是被审计单位内部控制未能及时防止或发现财务报表上某项错报或漏报的可能性;检查风险是审计人员通过预定的审计程序未能发现被审计单位财务报表上存在重大错报或漏报的可能性。在网络审计中,审计风险仍然包括固有风险、控制风险和检查风险要素,但其具体内容直接受计算机网络环境下信息系统特定风险的影响。计算机及网络技术的应用能提高企业经营活动的效率,为企业的经营管理带来很大的优越性,但同时也为企业带来了一些新的风险。这些新的风险主要表现为:(1)数据与职责过于集中化。由于手工系统中的职责分工、互相牵制等控制措施都被归并到计算机系统自动处理过程中去了,这些集中的数据库技术无疑会增加数据纵和破坏的风险。(2)系统程序易于被非法调用甚至遭到篡改。由于计算机系统有较高的技术要求,非专业人员难以察觉计算机舞弊的线索,这加大了数据被非法使用的可能性。如经过批准的系统使用人员滥用系统,或者说,企业对接近信息缺乏控制使得重要的数据或程序被盗窃等。(3)错误程序的风险,例如程序中的差错反复和差错级联、数据处理不合逻辑、甚至是程序本身存在错误等。(4)信息系统缺乏应用的审计接口,使得审计人员在审计工作中难以有效地采集或获取企业信息系统中的数据,从而无法正常开展审计工作。(5)网络系统在技术和商业上的风险,如计算机信息系统所依赖的硬件设备可能出现一些不可预料的故障,或者信息系统所依赖的物理工作环境可能对整个信息系统的运行效能带来影响等。相对应地,网络审计的固有风险主要是指系统环境风险,即财务电算化系统本身所处的环境引起的风险,它可分为硬件环境风险和软件环境风险。控制风险包括系统控制风险和财务数据风险,其中,系统控制风险是指会计电算化系统的内部控制不严密造成的风险,财务数据风险是指电磁性财务数据被篡改的可能性。检查风险包括审计软件风险和人员操作风险,审计软件风险是指计算机审计软件本身缺陷原因造成的风险,人员操作风险是指计算机审计系统的操作人员、技术人员和开发人员等在工作中由于主观或客观原因造成的风险。
(二)风险评估目的无论在网络审计还是历史财务报表审计中,风险评估只是审计的一项重要程序,贯穿于审计的整个过程。与其他审计程序紧密联系而不是一项独立的活动。尽管如此,两者所关注的风险范围则有所不同。历史财务报表审计的风险评估要求审计人员主要关注的是被审计单位的重大错报风险――财务报表在审计前存在重大错报的可能性。由于网络审计的审计对象包括被审计单位基于网络的财务信息和网络财务信息系统两类,因此审计人员关注的风险应是被审计单位经营过程中与该两类审计对象相关的风险。(1)对于与企业网络财务信息系统相关的风险,审计人员应该从信息系统生命周期的各个阶段和信息系统的各组成部分及运行环境两方面出发进行评估。信息系统生命周期是指该信息系统从产生到完成乃至进入维护的各个阶段及其活动,无论是在早期的线性开发模型中还是在更为复杂的螺旋式等模型中,一个信息系统的生命周期大都包括规划和启动、设计开发或采购、集成实现、运行和维护、废弃等五个基本阶段。由于信息系统在不同阶段的活动内容不同,企业在不同阶段的控制目标和控制行为也会有所不同,因此,审计人员的风险评估应该贯穿于信息系统的整个生命周期。信息系统的组成部分是指构成该信息系统的硬件、软件及数据等,信息系统的运行环境是指信息系统正常运行使用所依托的物理和管理平台。具体可将其分为五个层面:物理层,即信息系统运行所必备的机房、设备、办公场所、系统线路及相关环境;网络层,即信息系统所需的网络架构的安全情况、网络设备的漏洞情况、网络设备配置的缺陷情况等;系统层,即信息系统本身的漏洞情况、配置的缺陷情况;应用层,即信息系统所使用的应用软件的漏洞情况、安全功能缺陷情况;管理层,即被审计单位在该信息系统的运行使用过程中的组织、策略、技术管理等方面的情况。(2)对于与企业基于网络的财务信息相关的风险,审计人员应着重关注财务信息的重大错报风险和信息的安全风险。重大错报风险主要指被审计单位基于网络的相关财务信息存在重大错报的可能性,它是针对企业借助于网络信息系统或网络技术对有关账户、交易或事项进行确认、计量或披露而言。网络审计中关注的重大错报风险与传统审CtT的内涵基本上是一致的,审计人员在审计时应当考虑被审计单位的行业状况、经营性质、法律及监管环境、会计政策和会计方法的选用、财务业绩的衡量和评价等方面的情况对财务信息错报可能的影响。信息安全风险涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的风险,主要针对企业利用信息系统或一定的网络平台来存储、传输、披露相关财务信息而言。在审计过程中,审eta员应当主要关注相关财务信息被盗用、非法攻击或篡改及非法使用的可能性。当然,这两类风险并非完全分离的,评估时审计人员应将两者结合起来考虑。
(三)风险评估内容 广泛意义的风险评估是指考虑潜在事件对目标实现的影响程度。由于网络审计与历史财务报表审计风险评估的目的并不完全相同,因此两者在风险评估的内容上也是存在区别的。总的来说,网络审计的风险评估内容比历史财务报表审计的风险评估内容更广泛和深入。根据《中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风
险》,在历史财务报表审计中,审计人员的风险评估应以了解被审计单位及其环境为内容。为识别和评价重大错报风险,审计人员了解的具体内容包括被审计单位所在行业状况、法律环境与监管环境以及其他外部因素、被审计单位的性质、被审计单位对会计政策的选择和运用、被审计单位的目标、战略以及相关经营风险、被审计单位财务业绩的衡量和评价及被审it@位的内部控制等。在网络审计中。为了识别和评估上文所述的两类风险,审计人员除了从以上方面了解被审计单位及其环境外,还应该关注其他相关的潜在事件及其影响,尤其是企业的财务信息系统及基于网络的财务信息可能面l临的威胁或存在的脆弱点。其中,威胁是指对信息系统及财务信息构成潜在破坏的可能性因素或者事件,它可能是一些如工作人员缺乏责任心、专业技能不足或恶意篡改等人为因素,也可能是一些如灰尘、火灾或通讯线路故障等环境因素。脆弱点是指信息系统及基于网络的财务信息所存在的薄弱环节,它是系统或网络财务信息本身固有的,包括物理环境、组织、过程、人员、管理、配置、硬软件及信息等各方面的弱点。一般来说,脆弱点本身不会带来损失或信息错报,威胁却总是要利用网络、系统的弱点来成功地引起破坏。因此,我们认为网络审计申风险评估的内容应包括以下几方面:(1)识别被审计单位财务信息系统及其基于网络的财务信息可能面临的威胁,并分析威胁发生的可能性;(2)识别被审计单位财务信息系统及其基于网络的财务信息可能存在的脆弱点,并分析脆弱点的严重程度;(3)根据威胁发生的可能性和脆弱点发生的严重程度,判断风险发生的可能性;(4)根据风险发生的可能性,评价风险对财务信息系统和基于网络的财务信息可能带来的影响;(5)若被审计单位存在风险防范或化解措施,审计人员在进行风险评估时还应该考虑相应措施的可行性及有效性。
(四)风险评估程序《中国注册会计师审计准则第1211-----了解被审计单位及其环境并评估重大错报风险》中要求,审计人员应当实施询问、分析程序、观察和检查等程序,以获取被审计单位的信息,进而评估被审计单位的重大错报风险。这些程序同样适用于网络审计中的风险评估。但在具体运用时网络审计中更加注重了解和分析被审计单位与信息系统及网络技术使用相关的事项。在实施询问程序时,审计人员的询问对象围绕信息系统和基于网络的财务信息可大致分为管理人员、系统开发和维护人员(或信息编制人员)、系统使用人员(或信息的内部使用人员)、系统或网络技术顾问及其他外部相关人员(如律师)等五类,分别从不同角度了解信息系统和基于网络的财务信息可能存在的威胁和脆弱点。在实施分析程序时,除了研究财务数据及与财务信息相关的非财务数据可能的异常趋势外,审计人员应格外关注对信息系统及网络的特性情况,被审计单位对信息系统的使用情况等内容的分析比较。实施观察和检查时,除执行常规程序外,审计人员应注意观察信息系统的操作使用和检查信息系统文档。除此之外,针对特定系统或网络技术风险的评估,审计人员还需要实施一些特定的程序。技术方面如IOS取样分析、渗透测试、工具扫描、安全策略分析等;管理方面如风险问卷调查、风险顾问访谈、风险策略分析、文档审核等。其中,IDS取样分析是指通过在核心网络采样监听通信数据方式,获取网络中存在的攻击和蠕虫行为,并对通信流量进行分析;渗透测试是指在获取用户授权后,通过真实模拟黑客使用的工具、方法来进行实际漏洞发现和利用的安全测试方法;工具扫描是指通过评估工具软件或专用安全评估系统自动获取评估对象的脆弱性信息,包括主机扫描、网络扫描、数据库扫描等,用于分析系统、应用、网络设备存在的常见漏洞。风险问卷调查与风险顾问访谈要求审计人员分别采用问卷和面谈的方式向有关主体了解被审计单位的风险状况,使用时关键是要明确问卷或访谈的对象情况风险策略分析要求审计人员对企业所设定的风险管理和应对策略的有效性进行分析,进而评价企业相关风险发生的概率以及可能带来的损失;文档审核是一种事前评价方法,属于前置软件测试的一部分,主要包括需求文档测试和设计文档测试。这些特定程序主要是针对被审计单位信息系统和基于网络的财务信息在网络安全风险方面进行评价,审计人员在具体使用时应结合被审计单位的业务性质选择合适的程序。
三、网络审计与信息安全管理的风险评估比较
(一)风险评估的目的信息安全管理中的风险评估(即信息安全风险评估)是指根据国家有关信息安全技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程。作为信息安全保障体系建立过程中的重要的评价方法和决策机制,信息安全风险评估是企业管理的组成部分,它具有规划、组织、协调和控制等管理的基本特征,其主要目的在于从企业内部风险管理的角度,在系统分析和评估风险发生的可能性及带来的损失的基础上,提出有针对性的防护和整改措施,将企业面临或遭遇的风险控制在可接受水平,最大限度地保证组织的信息安全。而网络审计是由独立审计人员向企业提供的一项鉴证服务,其风险评估的目的在于识别和评价潜在事件对被审计单位基于网络的财务信息的合法性、公允性以及网络财务信息系统的合规性、可靠性和有效性的影响程度,从而指导进一步审计程序。因此,两者风险评估的目的是不一样。从评估所应关注的风险范围来看,两者具有一致性,即都需要考虑与信息系统和信息相关的风险。但是,具体的关注边界则是不一样的。信息安全风险评估要评估企业资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响,它要求评估人员关注与企业整个信息系统和所有的信息相关的风险,包括实体安全风险、数据安全风险、软件安全风险、运行安全风险等。网络审计中,审计人员是对被审计单位的网络财务信息系统和基于网络的财务信息发表意见,因此,风险评估时审计人员主要关注的是与企业财务信息系统和基于网络的财务信息相关的风险,而不是与企业的整个信息系统和所有的信息相关的风险。根据评估实施者的不同,信息安全风险评估形式包括自评估和他评估。自评估是由组织自身对所拥有的信息系统进行的风险评估活动;他评估通常是由组织的上级主管机关或业务主管机关发起的,旨在依据已经颁布的法规或标准进行的具有强制意味的检查。自评估和他评估都可以通过风险评估服务机构进行咨询、服务、培训以及风险评估有关工具的提供。因此。对审计人员而言,受托执行的信息安全风险评估应当归属于管理咨询类,即属于非鉴证业务,与网络审计严格区分开来。
(二)风险评估的内容在我国国家质量监督检验检疫总局的《信息安全风险评估指南》(征求意见稿)国家标准中,它将信息安全风险评估的内容分为两部分:基本要素和相关属性,提出信息安全风险评估应围绕其基本要素展开,并充分考虑与这些基本要素相关的其他属性。其中,风险评估的基本要素包括资产、脆弱性、威胁、风险和安全措施;相关属性包括业务战略、资产价值、安全需求、安全事件、残余风险等。在此基础上的风险计算过程是:(1)对信息资产进行识别,并对资产赋值;(2)对威胁进行分析,并对威
胁发生的可能性赋值;(3)识别信息资产的脆弱性,并对弱点的严重程度赋值;(4)根据威胁和脆弱性计算安全事件发生的可能性;(5)根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失;(6)根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即风险值。结合上文网络审计风险评估五个方面的内容可以看出,网络审计和信息安全风险评估在内容上有相近之处,即都需要针对信息系统和信息可能面临的威胁和存在的脆弱点进行识别。但是,信息安全管理作为企业的一项内部管理,其风险评估工作需要从两个层次展开:一是评估风险发生的可能性及其影响;二是提出防护或整改措施以控制风险。第一个层次的工作实质上是为第二层次工作服务的,其重点在第二层次。《信息安全风险评估指南》(征求意见稿)提出,企业在确定出风险水平后,应对不可接受的风险选择适当的处理方式及控制措施,并形成风险处理计划。其中,风险处理的方式包括回避风险、降低风险、转移风险、接受风险,而控制措施的选择应兼顾管理和技术,考虑企业发展战略、企业文化、人员素质,并特别关注成本与风险的平衡。网络审计的风险评估工作主要集中在第一个层次,即审计人员通过风险评估,为进一步审计中做出合理的职业判断、有效地实施网络审计程序和实现网络审计目标提供重要基础。因此,两者的评估内容是存在区别的。
关键词:风险导向审计;审计模式;适用性分析
随着国内外重大审计失败事件的不断发生,风险导向审计作为一种重要的审计理念和方法,受到审计职业界和学者的关注。中国注册会计师协会在2004年10月了新的审计风险准则征求意见稿,要求注册会计师在审计中使用现代风险导向审计方法,实施风险评估程序,降低审计风险,提高审计质量。如果审计风险准则一旦正式生效,将使我国的审计风险准则与国际接轨,并引导中国注册会计师实务由传统风险导向审计向现代风险导向审计转变。因此,对现代风险导向审计模式的理解以及在我国的适用性分析就显得十分重要。
一、风险导向审计概述
随着社会经济的发展变化,审计方法适应审计环境的变化经历了三个发展阶段:一是审计发展的早期,由于企业组织结构简单、业务性质单一,注册会计师的审计工作目的是为了促使受托责任人在授权经营过程中做出诚实、可靠的行为,审计方式是详细审计。审计的重心在资产负债表,是对会计凭证和账簿的详细审计,旨在发现和防止错误与舞弊,这种审计方法就是账项基础审计方法(accountingnumber-basedauditapproach)。二是从1950年代起,以内部控制测试为基础的抽样审计在西方国家得到广泛应用,这种审计方法重点在于注册会计师了解、测试和评价内部控制设计的合理性和执行的有效性。对内部控制存在缺陷的环节,注册会计师通常将其涉及交易和账户余额作为审计的重点,甚至进行详细审计;对于可以信赖的内部控制环节,通常将其涉及的交易和账户余额进行抽样审计,以提高审计效率和降低审计费用。从方法论的角度,这种审计方法被称作制度基础审计方法(system-basedauditapproach)。三是1970年代以后,由于制度基础审计方法显露缺陷,一种新的、以风险防范为基础的风险导向审计模式逐渐兴起,从方法论的角度,注册会计师以审计风险模型为基础进行的审计方法称为风险导向审计方法(risk-orientedauditapproach)。
回顾审计方法的发展历程,风险导向审计模式已成为审计方法发展的国际趋势。风险导向审计模式合理地扬弃了作为制度导向审计模式基础的“无利害关系假设”,把指导思想建立在“合理的职业怀疑假设”的基础上,不只依赖对被审计单位管理层所设计和执行内部控制制度的检查与评价,而且实事求是地对公司管理层是否诚信、是否有舞弊造假的驱动始终保持一种合理的职业警觉,将审计的视野扩大到被审计单位所处的经营环境(微观、中观乃至宏观),将风险评估贯穿于审计工作的全过程。与传统的制度基础审计相比较,主要有以下区别:
(一)审计模式不同
制度基础审计模式以内部控制为核心,对控制风险的评估仅通过确定内部控制的可依赖程度来减少实质性测试的工作量,而对固有风险的评估常流于形式;风险导向审计模式不仅通过内部控制评估控制风险,还结合其他风险因素尤其是固有风险综合考虑,通过对企业环境、发展战略、公司治理结构等方面的评估,发现其潜在的经营风险及财务风险,并评估财务报表发生重大错报的风险,以便使审计风险降至可接受水平。
(二)审计基础不同
制度基础审计以内部控制制度为基础,根据被审单位内部控制制度的健全性及符合性评审结果,确定实质性测试的范围和重点;风险导向审计则以风险评估为基础,对影响被审单位经济活动的多种内外因素进行评估,确定审计范围、重点和方法,其不仅重视与内部控制系统直接相关的因素,而且重视各种环境因素。
(三)审计方法不同
两种审计模式都采用抽样技术,但风险导向审计是通过建立审计风险模型将风险量化。因此,相对于制度基础审计来说,风险导向审计的抽样技术是更完全意义上的审计抽样,更注重利用分析性测试方法,从而可以有效降低审计风险。
二、风险导向审计的两种模式
风险导向审计自产生以来经历了两个阶段,理论界把以传统审计风险模型“审计风险=固有风险×控制风险×检查风险”为基础进行的审计称为传统风险导向审计模式;而将1990年代后期开始,在国际会计师事务所内部推行并逐渐被审计理论与实务界接受的,以“审计风险=重大错报风险×检查风险”的模型为基础,以被审计单位的经营风险为导向的审计方法称作现代风险导向审计模式。
传统风险导向审计模式与现代风险导向审计模式的本质区别在于审计理念和审计技术方法的不同,后者是对前者的改进,其主要区别如下:
(一)审计起点不同
传统风险导向审计运用的审计风险模型中,固有风险是指假定不存在相关内部控制时,某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报的可能性。控制风险是指某一账户或交易类别单独或连同其他账户、交易类别产生错报或漏报,而未能被内部控制防止、发现或纠正的可能性。传统风险导向审计方法通过综合评估固有风险和控制风险以确定实质性测试的范围、时间和程序,由于固有风险难以评估,审计的起点往往为企业的内部控制(如果没有必要测试内部控制,审计的起点则为会计报表项目)。
现代风险导向审计方法通过综合评估经营控制风险以确定实质性测试的范围、时间和程序,其审计起点为企业的战略系统及其业务流程。如果企业的业务流程不重要或风险控制很有效,则将实质性测试集中在例外事项上。这种新模式的优点是将审计的重心前移到风险评估,这将有利于充分识别和评估会计报表重大错报的风险,因此,主要针对风险设计、实施控制测试和实质性测试程序。此外,注册会计师容易全面掌握企业可能存在的重大风险,有利于节省审计成本,克服因缺乏全面性观点而导致的审计风险。
(二)风险评估识别以分析性复核程序为中心
现代风险导向审计注重运用分析性复核程序,以识别可能存在的重大错报风险;而传统风险导向审计对于信息的再加工程度不够,其分析性程序主要用在报表分析上。分析性复核程序已成为现代风险审计方法最重要的程序,为了适应分析性程序功能扩大的要求,分析性程序开始走向多样化:在数据分析上不但要对财务数据进行分析,也要对非财务数据进行分析;在分析工具上借鉴现代管理方法,把战略分析、绩效分析、财务分析及前景分析等分析工具运用到风险评估之中,使风险因素不再惟一,变一元风险评估为多元风险评估,使得出的风险评估结果更加可靠。
(三)风险评估方式由直接评估转变为间接评估
传统风险导向审计的风险评估是一种直接的方式,即直接评估重大错报的概率。现代风险导向审计模式是从经营风险评估入手,间接地对审计风险进行评估,因为经营风险越高,审计风险也越大,也就是管理舞弊的可能性越大;并且从经营风险中能更有效地发现财务报表潜在的重大错报,因为财务报表是经营的反映,如果经营风险未能在报表中得到体现,则财务报表很可能失真。此外,会计政策、会计估计的合理性
评估也只有从经营风险入手,才能进行正确的评估。
(四)审计程序实施具有个性化
传统风险导向审计模式审计程序是标准化形式,对不同的被审计单位都使用标准相同的审计程序,其缺陷是没有足够贯彻风险导向审计思想,使注册会计师无法突破客户预先设置或防范的措施,难以做出正确的审计结论。现代风险导向审计方法要求注册会计师将评估及识别的审计风险与实施的审计程序相结合,针对不同客户以及客户不同的风险领域实施个性化的审计程序。
(五)审计证据的内涵扩大
在现代风险导向审计方式下,审计重心向风险评估转移,审计证据也由内部向外部转移。因此,注册会计师必须充分了解企业整体经营环境,由此评估客户的经营及审计风险,同时必须从外部取得大量的外部证据来证明风险评估的恰当性。风险导向审计模式下,注册会计师形成审计结论所依据的审计证据不仅包括实施控制测试和实质性测试获取的证据,还包括了解企业及其环境获取的证据。
(六)扩充了内部控制要素
传统风险导向审计方法下的内部控制是指被审计单位为了保证业务活动的有效进行,保护资产的安全和完整,发现、纠正错误与防止舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。内部控制要素包括控制环境、会计系统和控制程序。现代风险导向审计方法下的内部控制是指被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵循,由治理当局、管理当局和其他人员设计和执行的政策和程序。内部控制的三要素扩充为五要素,即控制环境、被审计单位的风险评估过程、与财务报告相关的信息系统和沟通、控制活动和对控制的监督。
(七)对注册会计师的专业知识提出了更高要求
现代风险导向审计对注册会计师的专业素质提出更高要求,其重心从会计、审计知识转向管理和行业知识。现代风险导向审计下审计结果主要依赖风险评估,风险评估的各种分析方法要求掌握现代管理知识和行业知识(包括市场、研发、生产等方面),这对注册会计师提出了更高的要求。注册会计师应该是复合性人才,不但要掌握一般常用分析工具,还要接受现代管理知识和行业专业知识训练。
三、现代风险导向审计模式在我国的适用性分析
基于上述分析,现代风险导向审计模式是审计发展的一种必然趋势。2003年10月,国际审计与鉴证准则委员会(IAASB)通过了新的审计风险准则;中注协也在2004年10日了修订后的审计风险准则征求意见稿,不仅将使我国的审计风险准则与国际接轨,同时也为提高审计质量、降低审计风险提供了技术支持。审计风险准则一旦正式生效,将引导中国注册会计师实务由传统风险导向审计向现代风险导向审计转变,会对我国的注册会计师审计理念、审计程序及审计责任产生非常大的影响。
然而,目前要在我国推行风险导向审计模式还存在一定的制约条件和需要解决的问题:
(一)会计师事务所审计成本与效益问题
实施风险导向审计模式的前提是成本能得到补偿。现代风险导向审计模式在审计计划阶段和执行控制测试阶段,注册会计师关注的范围扩大,程度加深,导致工作时间和审计成本的增加,在市场竞争激烈的情况下,成本的增加往往不可能过渡到收费的同步增加。此外,还需要一定的投入来培训注册会计师,使他们掌握业务流程和行业知识等有关方面的知识。如果这些成本得不到补偿,就会使一部分中小会计师事务所在竞争中无法生存。
(二)信息系统的建设问题
现代风险导向审计的重要特征是审计重心前移,注册会计师必须首先执行风险评估程序,充分了解客户整体经营环境,然后针对风险不同的客户、客户不同的风险领域,设计个性化的审计程序。因此,会计师事务所必须建立强大的信息系统,以便注册会计师在风险评估时了解企业的战略、流程风险管理、业绩衡量等。而目前国内很多事务所对行业风险和企业经营风险缺乏了解,客户的相关信息不够充分,信息系统的建设还达不到现代风险导向审计的要求,导致风险评估不准确。因此,风险导向审计的运用仅限于老客户,对新客户还是将大量时间用于实质性测试。
(三)审计从业人员素质问题
现代风险导向审计对审计从业人员的业务素质提出了新要求,不仅要具备丰富的审计理论和实践经验,还要具备必需的管理学知识和经济学知识,能够运用系统的、战略的观点充分了解、分析企业所处的宏观经济环境和行业发展状况,对有可能导致企业会计报表错报风险的内外部因素进行客观、系统的分析与评价,将审计视角扩展到内部控制以外,从较高层面上评估风险,而不是仅仅注重企业会计处理的细节。
(四)辅助审计软件的使用与完善问题
现代风险导向审计方法中分析性程序占据非常重要的地位,辅助审计软件的使用在其中发挥着重要的作用。西方发达国家大量运用分析性程序的条件是辅助审计程序的开发和运用,它可以直接对数据库进行加工分析,依据软件模型自行处理数据,使运用分析性测试程序成为节约成本的重要手段。另外,采用审计软件使统计抽样的样本更具代表性,审计抽样风险可控,为风险导向审计提供了技术支持。目前,我国在审计软件的开发和使用上不够理想,还有待提高,而且大部分注册会计师缺少相应的技术准备,在现阶段推行现代风险导向审计方法只能是一种愿望。
如上所述,目前在我国全面推行现代风险导向审计模式还受到许多制约,尽管它有很多优越之处,但在我国还不能够普遍推行。当前我国独立审计准则主要是以制度基础审计模式为基础的,而且相当一部分从事小规模企业审计工作的会计师事务所和注册会计师,基本上仍然在运用账项基础审计模式。但是,现代风险导向审计的实行是一种理念的改变,我们可将制度基础审计与风险导向审计有机结合。即使在现行审计准则仍然主要以制度基础审计模式为基础的情况下,吸取风险导向审计模式的基本观点和做法,则是完全可行的。通过把风险导向审计中控制风险的理念和方法融合到制度基础审计中,使其他审计模式忽略审计风险的缺陷得到弥补,将会为探索适合我国的现代风险导向审计模式积累有益的实践经验。
参考文献:
〔1〕陈毓圭。对风险导向审计方法的由来及其发展的认识〔J〕。会计研究,2004,(2)。
〔2〕常勋,黄京菁。从审计模式的演进看风险导向审计〔J〕。财会通讯,2004,(7)。
关键词:消费品安全 政府监管 风险评估 诺模图法 风险矩阵法 RAPEX法
中图分类号:F76 文献标识码:A 文章编号:1674-098X(2014)11(c)-0155-04
欧盟委员会(EC)的2004 RAPEX方法[1]是首个得到政府监管机构广泛应用的消费品安全官方风险评估方法。非政府学术组织EuroSafe在2005年设立风险评估工作组(EuroSafe WGRA),EC在其研究成果基础上形成了2010 RAPEX方法[2],该方法是目前欧盟各成员国政府的正式官方评估方法[3]。受EC健康与消费者保护总司(DG-SANCO)资助的EMARS项目(它提出了著名的锤子案例[4])、英国RPA[5]等风险研究机构都致力于不断发展消费品安全风险评估方法。在正式评估方法中,除了RAPEX方法,诺模图法、风险矩阵法也得到广泛应用[3-5]。而欧盟REACH法规的技术指南文件(TGD)、国际化学品安全规划署(IPCS)的“Risk Assessment Terminology”(2004年),联合国粮农组织/世界卫生组织(FAO/WHO)的“Food Safety Risk Analysis”(2006年)、国际风险管理理事会(IRGC)的“White Paper”(2006年)提供的化学危害风险评估方法主要适用于消费品生产过程[3-5]。美国消费品安全委员会(CPSC)主要应用定性风险评估方法对消费品安全进行A、B、C三级管理,CPSC也使用“安全饮用水法案”(SDWA,1996年)中的评估规则[6],CPSC在化学危害定量评估方法上遵循美国国家科学委员会的NAS指南(1994年)[7]。国际标准化组织的消费者政策委员会(ISO COPOLCO)的指南文件“Consumer product safety a practical guide for suppliers”(2006年)及其标准则主要适用于消费品的设计及生产阶段[3-5]。中国的消费品安全风险评估通则(GB/T22760,2008年)与RAPEX方法基本一致[8]。
该文以政府监管视角选择最广泛使用的2004 RAPEX、2010 RAPEX方法、诺模图法和风险矩阵法应用案例进行比较分析[3-5],并分析消费品安全风险评估方法的进一步发展方向。
1 消费品安全风险评估基本流程
风险和风险评估在各个领域的定义和方法有所不同。在产品安全评价理论中,风险通常表示为伤害事件的发生概率及严重程度的函数,各种消费品安全风险评估方法的基本评估流程是大同小异的,均是在识别消费品危险的基础上,估计各风险要素的程度(至少包括两个基本风险要素:伤害的严重程度和伤害的发生概率),然后用模型将各风险要素合成风险水平/等级(批量评估应先确定单体风险水平)。各个方法的主要区别在于将其他风险要素(例如消费者属性、危险可获得性和危险暴露参数等)的考虑置于哪个阶段,是置于危险识别阶段,还是置于严重程度估计、发生概率估计阶段,抑或直接作为独立风险要素与两个基本要素进行合成(图1)。
在消费品供应链的不同阶段实施安全风险评估应选择与该阶段相适应的风险评估方法,相关评估方法按适用范围分类如图2所示(参考了参考文献[3],但做了补充和修改)。对于政府监管机构而言,更关心的是准备上市和上市后的消费品安全风险,即:消费品在上市时应符合安全的一般要求,而在上市后只要发现产品存在严重安全风险就应及时隔离(risk averse)。因此,以政府监管视角研究上市阶段和上市后消费品安全风险评估方法的有效应用具有必要性。
4 讨论
(1)从应用案例可看出,2010 RAPEX
法与2004 RAPEX法的主要区别在于:2010 RAPEX法将消费人群区分、风险缓减要素区分从后置改为前置,严重程度和发生概率的分等进行了扩充,消费人群区分、风险缓减要素区分仍由主观判定。两个方法中风险要素的打分主观性强,要求评估人员具备足够的专业知识和足够准确的数据来源。未来的评估方法可能将消费人群作为独立风险要素进行识别和估计,在消费品化学危害日益受到重视的情况下,消费人群区分可能相应调整,例如孕妇可能作为弱势人群进行考虑。
(2)斯洛文尼亚诺模图法的输入参数比其他方法增加,各参数的分等扩充,其评估输出(风险等级)相应细化。与RAPEX法比较,它识别出火灾危险风险高于其他危险。危险事件发生时,火灾更容易造成群死群伤,因此该评估结果与事实也是相符的。
(3)比利时风险矩阵法引入了暴露程度这一参数扩充矩阵维度。对后果严重性的赋值中,该方法对导致“所有使用者和旁观者死亡”“所有使用者死亡”“数人死亡”和“一个死亡”的严重度分别区分,且从100分到15分赋值,区分度极大,但在政府监管角度,对“死亡”后果均应0容忍,评估时应加以注意。
(4)该文在参阅相关文献时,发现各个评估方法应用的术语高度不一致。如果对术语名称翻译和定义不加以界定明确,可能导致对同一危险信息,各评估方法的参数输入不一致,其输出大相径庭。
(5)目前的评估方法对化学危害风险的识别能力偏弱。例如对“长期药物接触和辐射暴露”伤害的严重程度从轻到重划分为“腹泻呕吐局部症候”“可逆的内脏损害”“神经系统损害、不可逆的内脏损害”“癌症(白血病)、影响生殖、影响后代、中枢神经系统抑郁症”四等的划分尚嫌粗。欧盟REACH法规的技术指南文件提供了一种化学危害风险评估的有价值的思路。
(6)目前对评估方法的发展研究主要集中在评估模型的改进,从定性向定量向模糊评价发展,但实证研究表明,作为简单、快速、经济、有效(risk averse)和有决断力(resolved)的方法,定性风险评估能对消费品安全风险进行有效评估[3-5]。在政府监管视角,最好把资源直接用于减小风险的努力,而不是尽量达到风险评估的绝对精确。实际上,定量风险评估的大部分输入数据是高度主观的,同时,要生成确切的输出,它要求有一个详尽和全面的时间链模型,这对范围极广的现代消费品领域是难度极大的。对定性风险评估方法而言,应减小评估的主观性,重点应研究伤害严重程度和发生概率的科学分等,其基础工作是尽早形成共享的消费品伤害数据库。
(7)从应用案例可看出,各个评估方法均基于各风险因子相对独立的假设,从而对各个风险因子独立进行评估。有学者研究认为,某些风险因子具有相互联系和影响关系,具有连通性(connectivity),并引入了连通性矩阵的概念,但这一理论在消费品领域尚未有成熟应用。
5 结论
(1)以政府监管视角来看,2004 RAPEX、2010 RAPEX方法和斯洛文尼亚诺模图法均能对消费品安全风险进行有效评估。
(2)未来消费品安全风险评估方法的发展,首先应统一规范术语使用以改善评估的一致性;其次应发展伤害严重程度和发生概率的科学分等体系以减小评估的主观性;另外应注重消费品化学危害风险评估方法的研究。
参考文献
[1] Guidelines for the management of the Community Rapid Information System(RAPEX)and for notifications presented in accordance with Artide 11 of Directive 2001/95/EC[R],Commission Decision 2004/418/EC of 29 April 2004.OJ L 151,2004.
[2] Commission Decision of 16 December 2009 laying down guidelines for the management of the Community Rapid Information System‘RAPEX’established under Artide 12 and of the notification procedure established under Artide 11 of Directive 2001/95/EC(the General Product Safety Directive) (notified under document C(2009) 9843)[R],Commission Decision 2010/15/EU of 26 January 2010. OJ L 22, 2010.
[3] Dirk van Aken.Related risk assessment activities[R].Hague: Voedsel en Waren Autoriteit, 2007.
[4] Enhancing Market Surveillance through Best Practices(EMARS)project.Product Safety-Best Practice Techniques in Market Surveillance[R].Amsterdam: EMARS,2013.
[5] Pete Floyd, Tobe A.Nwaogu,Rocio Salado,et al.RPA REPORTAssured Quality-Establishing a Comparative Inventory of Approaches and Methods Used by Enforcement Authorities for the Assessment of the Safety of Consumer Products Covered by Directive 2001/95/EC on General Product Safety and Identification of Best Practices [R].J497/GPSD Implementation, Norfolk:Risk & Policy Analysts Limited(RPA),2006.
[6] CPSC.Research & Statistics-consumer opinon surrveys[EB/OL].(2014-10-20)[2014-4-29].http://cpsc.gov/en/Research Statistics.
[7] National Research Council.Science and Judgment in Risk Assessment (1994)[M].Washington D.C.:National Academy Press,1994.
内部审计模式的发展,主要经历了三个阶段:账项基础审计(以会计报表中各项目的审计为基础)、制度基础审计(以内部控制为导向)、风险导向审计。其中,风险导向审计是在前两个阶段审计模式的基础上继承和发展而来的,它经历了由传统风险导向审计向现代风险导向审计的转变。2006年,财政部在借鉴国际审计准则的基础上,颁布了48项新审计准则,全面推行现代风险导向审计思想和方法。
虽然现代风险导向审计改革了过去单纯以财务报告为核心的审计方法,强调从战略管理的高度对企业的经营风险进行综合评估,相对于传统风险导向审计而言,具有显著的优势。但随着社会经济变革的不断深入,现代企业的业务越来越复杂,审计环境也越来越琢磨不透,现代风险导向审计的问题也逐渐暴露出来。而着力研究解决这些问题,完善风险导向审计模式,并探索出适合我国国情的发展之路,对于我国审计技术水平的提高具有重要的现实意义。
二、现代风险导向审计的内涵及本质
所谓风险导向审计,是指注册会计师以审计风险模型为基础,对被审计单位的风险进行判断、评估,确定剩余风险,并执行追加审计程序将剩余风险降低到可接受水平。根据审计理念和审计方法的不同,又可以具体划分为传统风险导向审计和现代风险导向审计。前者以企业的内部控制为审计起点,又称内控导向审计;后者则以企业的经营风险为导向,将重大错报风险与企业经营风险紧密联系起来,控制风险并重。
具体而言,现代风险导向审计要求注册会计师在审计全过程都以重大错报风险的分析、识别和评估为主线,通过对企业经营风险的综合评估来确定财务报表的剩余风险,并进一步确定实质性测试的范围、时间和程序,进而对企业的内部控制、风险管理等进行最终评价,并提出相应的改进意见和建议,帮助企业进行有效的风险管理。因此,风险的识别和评估不再局限于会计系统和传统的内部控制系统,能够有效对付管理舞弊,并合理分配审计资源,节约审计成本,从而在合理保证审计效果的同时提高审计效率。可以说它是符合当前经济不确定性和企业不断提高的审计期望的要求,具有强大的生命力。
三、现代风险导向审计与传统风险导向审计的区别
现代风险导向审计与传统风险导向审计都属于风险导向审计,二者既有区别,又有联系。
现代风险导向审计是在传统风险导向审计的基础上改进、发展而来的。具体而言,由于传统风险导向审计直接从固有风险评估入手,只注重对报表的评价,忽视了经营环境风险,无法真正降低风险,对发表审计意见也难以形成正确支持。针对这一系列问题,现代风险导向审计以企业经营风险为导向,全面、动态地考虑了风险因素。因此,注册会计师不仅能全面、深入地认识企业经营状况,掌握企业可能存在的重大风险点和风险领域,从而对风险因素进行准确、科学、全面的评估,又不脱离环境和报表。
而二者的区别主要表现在审计导向、审计重心、审计风险模型、技术手段以及风险评估程序等方面(见表1)。
表1 现代风险导向审计与传统风险导向审计比较
总之,传统风险导向审计虽已开始考虑企业经营风险,但处理极为简化,并未跳出内部控制导向审计的基本思路。而现代风险导向审计则将审计风险评估贯穿于审计全过程,并借助计算机辅助审计系统对财务数据和非财务数据进行分析、评估,能有效降低审计风险到注册会计师可接受的水平。
四、现代风险导向审计存在的问题
虽然现代风险导向审计在审计理念、技术手段等方面具有显著的优势,更加符合审计实际,有利于实现审计效率的有效配置,提高审计效率和效果。但随着现代业务的复杂化、审计环境也越来越琢磨不透,现代风险导向审计也暴露出诸多问题,亟待解决。
1.风险评估程序形式化严重,难以鉴别内控弱点。
我国由2006年正式确立风险导向审计以来,我国会计师事务所,尤其是“国内大所”和“四大”的效率有所提升,但在实际操作中,仍存在审计程序僵化、评估形式化等缺陷。注册会计师在审计执行过程中由于成本压力、时间限制及部分会计师经验不足等问题,仅注重增加审计中的风险识别和风险评估内容,而审计结果则多依赖于实质性测试,导致风险评估程序流于形式,难以对审计效率和效果产生实质性的重大影响。
2.高素质审计人才欠缺,胜任能力不足。
要正确评估企业的经营风险,就要求注册会计师必须具备深厚的会计、审计类专业知识和实操技能,掌握相应的法律法规;另一方面,还必须对相关行业及企业经营状况,如企业战略、经营目标、内外部环境(行业状况、监管环境等)、业绩衡量和评价、内部控制等有深入了解;同时,应熟悉一些常用的分析软件和工具(数理统计方法等)。唯有如此,注册会计师才能准确地识别出财务报表上的重大错报风险。然而,目前我国大部分审计师虽具有较丰富的实践经验,但多局限于审计和会计领域,企业管理和信息技术方面的知识和能力还十分欠缺。因此,高素质、高层次审计人才的欠缺,就必然限制风险导向审计模式的应用。
3.成本与效益配比性差。
风险导向审计的实施,一方面需要加大审计过程中的关注范围、程度,导致审计工作内容和工作量的增加;另一方面,风险导向审计信息数据库的建设、审计人员转换审计方法、提高审计技能的培训等方面,也需要投入大量资本和时间。但处于同行业竞争的考虑,审计费用未必会相应增加,致使成本与效益配比不协调,对注册会计师和会计师事务所形成巨大的压力,甚至以审计程序的减少和审计质量的牺牲来平衡。
4.信息系统建设不足,缺乏强大的数据库支撑。
实施风险导向审计,要求注册会计师充分了解企业内外部环境,包括企业外部经营环境、内部流程、企业战略、内部控制和业绩衡量比较等方面,才能针对不同的风险领域设计个性化的审计程序。因此,就需要会计师事务所建立一个功能强大的数据库和信息系统,以满足风险评估的需要。然而,我国许多会计师事务所的信息系统建设还十分薄弱,缺乏对行业风险和企业经营风险相关数据的系统把控,致使审计风险偏高。
5.不恰当地使用风险控制程序,可能增大审计风险。
风险导向审计的精髓在于通过对企业内外部经营环境及风险的观察、分析和评估来确定审计范围和重点,选择适当的审计程序和方法。但当企业的经营环境发生改变或企业的内部控制存在缺陷,而注册会计师不能及时发现;或由于风险导向审计得出错误的风险评估结果,而减少实质性测试程序时,便会导致审计测试不充分,难以正确识别和评估重大错报风险,反而大大增加了审计风险。
五、对策建议
针对现代风险导向审计在我国目前环境中所出现的问题,建议从以下几个角度进行解决,以促进其在我国更广泛和深入的发展。
1.加强注册会计师职业教育,提高素质和基础胜任能力。
一是,加强注册会计师的职业道德教育。由行业协会主导,定期培训,加强注册会计师职业品德和职业行为规范建设,时刻保持职业谨慎态度,拒绝出具虚假报告。二是,加强注册会计师胜任力培养。会计师事务所应当注重风险导向审计下注册会计师胜任能力的培养,通过系统的培训、学习、交流等培养注册会计师明确的风险导向审计理念,注重风险导向审计流程、操作规范、易导致失败的关键点等的分析,全面提高审计能力。而注册会计师也应当在具体审计实践中积极吸取经验、教训,不断学习、总结,提高自身胜任力。
2.加强风险导向审计的信息系统建设。
风险导向审计信息系统的建设应由行业协会牵头,会计师事务所主导,分行业收集、整理现有审计资料,包括不同行业的基本审计风险点、代表性审计案例等,并进行分类提炼、存储,从而形成“审计风险资源库”。在实际审计,注册会计师就需要根据这些数据库资源,对相应的高风险点予以高度关注,准确把控,并及时更新、完善和丰富数据库资源,形成完整的客户分类服务体系。
3.改进审计人员的专业知识结构,培养高素质审计人才。
根据现代风险导向审计对注册会计师专业知识和能力的要求,会计师事务所应当积极探讨审计人员专业知识结构的改进,通过培训、交流等形式增强审计人员相关行业知识、企业管理知识(包括战略管理、经营风险等)、数理统计知识等,培养一支专业知识过硬、综合素质和操作能力强的审计队伍。同时,还应注重整个审计队伍的结构优化,改变单一的财会型人才结构,适当聘用一些法律、工程技术等非财会专业人才。
4.继续推行法律体系的演进与变革,完善准则体系。
一方面,应根据现代风险导向审计的具体要求,结合我国审计实际,适时修改一些不合时宜的法律法规,强化注册会计师法律风险意识,加大追责和处罚力度;另一方面,完善审计准则体系,加大注册会计师的审计风险准则后续教育,以有效约束注册会计师行为。
六、结语
关键词:BOT项目;业主风险;风险评估;风险控制
中图分类号:U412文献标识码: A
1.1 BOT项目风险评估的目的及方法
项目风险识别是项目风险管理中的第一步,是基础和重要组成部分。其任务是确定何种风险事件可能影响项目目标,并将这些风险的特性整理成文档。
风险评估就是在风险识别的基础上,分析和评价损失对项目的既定目标的影响程度,通过对由风险识别获得的资料和数据的处理,得到风险后果发生的概率、严重程度和大小,为选择应对措施,进行正确的风险管理决策提供依据。
风险评估的目的是:对项目中各种各样的风险分析、比较,找出主要风险和次要风险;挖掘项目风险间的内在联系;进行项目风险的量化研究,进一步量化已识别的风险发生概率和后果,减少风险发生概率和后果估计中的不确定性,为风险应对提供管理策略。
风险评估是为了确定风险的存在对项目本身造成的影响和后果,风险评估方法一般可以分为定性、定量、定性与定量相结合的三类,而有效的项目风险评估方法一般采用定性与定量相结合的系统方法。常用的项目风险评估方法有:层次分析法、决策树法、主观评分法、模糊风险综合评估法等。
在高速公路BOT项目运营中,可能遭遇的风险带有很大的模糊性,本文结合风险的这一特性,采用模糊数学中的模糊综合评判方法对高速公路BOT项目运营中业主风险进行量化分析评估。
1.2 BOT高速公路项目运营中业主风险评估指标体系
1.2.1 BOT高速公路项目运营中的业主风险因素
通过对高速公路BOT项目运营中业主的风险进行分析,作为业主高速公路BOT项目运营中的风险与其他阶段存在同样多的风险,通过一系列的资料收集和分析,依据广泛性、代表性、准确性相结合的原则,把高速公路BOT项目运营中存在的各种风险因素归纳如下表:
1.1 BOT高速公路项目运营中业主常见风险
环境风险
气候自然灾害风险
政策风险
法律风险
金融风险
外汇风险
利率风险
通货膨胀风险
市场风险
价格风险
交通量转移风险
管理维护风险
管理风险
维护风险
1.2 业主风险模糊综合评估模型的建立
在基于各参与方的高速公路BOT项目运营中业主风险评价指标体系中,由于各指标的影响因素各不相同,除少数可以通过统计方法获得,大量的指标则只能采用专家评分法。对于这样的评价问题,运用模糊数学的方法,即模糊综合评估法(Fuzzy Comprehensive Evaluation,简称FCE)可以得到较好的解决[1]。
模糊评估方法[2]是把模糊数学应用到判别事物和系统优劣领域的新方法,根据给出的评估标准和实测值,经过模糊变换后对事物或系统作出综合评价。
模糊评估方法的特点主要表现在:
(1)模糊评估方法可以不直接依赖于某一项指标,也不过分地依赖于绝对指标,而是采取比较的方法,这样可以避免一般数学评价方法中,由于标准选用不尽合理而导致的评价结果的偏差。
(2)评估指标的重要程度通过权数加以体现,但允许在权数选择上有一定的出入,而不至于改变最终的评估结果。另外,在技术处理上,有效地避免了累积误差的影响。
(3)模糊评估中算子的选择和隶属函数关系的确立,使各项参与评价的非量化指标间建立了有机联系,使评估结果能够更好地反映评估对象的整体特征和一般趋势[12]。
由于高速公路BOT项目运营中业主风险因素多,仅采用单级模糊综合评判,当因素众多时权重难以恰当分配,因素的层次也难以考虑,故本文采用二级模糊综合评判数学模型。
为了能够准确、有效、综合地评估高速公路BOT项目运营中业主风险,使评估结果能够为各项目参与方提供谈判、决策参考,根据本文对高速公路BOT项目运营中业主风险评估指标的划分,用模糊数学综合评判法对高速公路BOT项目运营中业主风险进行评估的内容步骤如下:
① 确定影响因素及其层次,建立评估因素集
本文将高速公路BOT项目运营中业主风险作为因素集,按其属性将风险分成4类,分别是环境、金融、市场和管理维护风险,记为U={U1,U2,U3 ,U4}。Ui中又含有n个子因素,记为Ui={Ui1,Ui2, …,Uin},(i=1,2, 3,4) 如图4-1所示
② 建立评估集
评估集是对评判对象可能作出的各种评估结果组成的集合,不论因素层次有多少,
评估集只有一个。这个评估集适用于全部BOT风险因素。通过评估集给定评价的基准,表示为
V={V1,V2,…,Vp}(4-1)
其中VK(K=1,2,…,P)为总评判的第K个可能的结果。
选择因素集和评估集的原则是:既要全面又要抓住主要矛盾。这样既可以更好的模拟人们的思维,又可以避免一些不必要的麻烦。
按照评估集的原则,把BOT的业主风险程度划分为5个等级:低风险V1;较低风险V2; 一般风险V3; 较高风险V4; 高风险V5 。
③ 建立评估因素的权重集,并修正指标的权重
在我国目前,采用BOT法对于风险评估中,应用专家评估居多,但若直接请专家给出各项指标的权值,结果可能受专家们的主观因素影响太大,从而影响科学性。权重是因素重要程度的定量表示,其合理性直接影响到评价结果的准确性,为了弱化主观因素的影响,本文采用层次分析法(AHP)确定专家给定的指标权重值。
层次分析法[3](Analytic Hierarchy Process,简称AHP)是美国运筹学家萨蒂(T.L.Saaty)于20世纪80年代提出的,是一种定性与定量分析相结合的多目标决策分析方法。它可以将无法量化的风险按照大小排出顺序,把它们彼此区别开来。其步骤为:构建递阶层次结构;按表4.2根据知识、经验和判断,从第一个准则层开始向下,逐步确定各层诸因素相对于上一层各因素的重要性权数,建立的两两比较矩阵:以表4.3所示为准,检验矩阵的一致性。
表2.1利用层次分析法进行业主风险比较的1-9级标度描述
标度 定义
1 i因素与j因素同样重要
3 i因素比j因素略重要
5 i因素比j因素较重要
7 i因素比j因素非常重要
9 i因素比j因素绝对重要
2、4、6、8 上述两判断级的中间值
倒数 若i因素与j因素比较,得到判断值为aji=1/aij, aii=1
表2.2一致性指标
N 1 2 3 4 5 6 7 8 9
RI 0.00 0.00 0.58 0.96 1.12 1.24 1.32 1.41 1.45
根据每1层次中各个影响因素的重要程度,分别赋予相应的权数。
第1层次评估指标的权重集W={W1,W2,W3,W4},且满足:
(4-2)
第2层次评估指标的权重集:Wi中n个子因素,记为A={ai1,ai2,…ain},{i=1,2,3,4},且满足:
(4-3)
为了使专家意见的筛选更为科学,从而使指权重确定的更为合理,对多个专家所分配的权重进行聚类分析与权重修订,过程如下:
用层次分析法处理得出来的权重矩阵如下,其中Wij指第i位专家对第j个指标判断后经层次分析法处理后得到的权重和重要程度.m表示专家的人数,n表示指标的个数.
W= (4-4)
为了判断矩阵中各专家所得权重的离散程度,故需计算各权重间的相似系数并由此组成相似系数矩阵。相似系数Rij和相似矩阵R如下:
(4-5)
(4-6)
其中Rij指专家i与专家j权重结果的相似程度:由式(4-4)可知,Rij越小,则相似程度越小。n表示指标权重的维数,亦即所评价指数的个数。m表示专家意见的总数,即参加权重评估的专家总人数;显然,Rij=1,Rij=Rji 。
在剔除离异点集中离异程度大的权重时,本文根据聚类分析的原理采用了一种简化的方法,它与现有的方法具有相同的精度,但计算简单、原理直观,更适合在实践领域内应用:
(4-7)
(4-8)
其中,Pi表示相似系数矩阵中每一行之和,它表示第i个专家判断所得出的权重意见与其他专家群体评估所得权重意见的偏离程度,相似系数之和越小,则此专家意见距离其他专家意见越“远”,偏离程度越大。P表示相似系数对行求和形成的一列。
通常来说,聚类分析所要解决的问题是把很多的元素按照相似原则划分为若干小集合,目的在于分类而不是淘汰某个集合[4]。本文的聚类分析则侧重于找出偏离专家群体综合意见程度最大的“离异”专家意见。
最后用偏离程度的量化指标来衡量各个专家意见,通过公式(4-8)确定偏离程度。也就是说,当Di大于某一阀值时,这个意见应该被排除掉。
%(4-9)
式中:Di―第i个专家的相似系数与最大相似系数的偏离程度。
Pmax―相似系数矩阵中的最大值。
在BOT项目风险评估的实践中,淘汰的专家太多,就失去了群体决策评估的作用。淘汰专家太少,则又使个别与群体评估权重偏离程度大的专家意见影响评价结果。根据经验,应用聚类分析淘汰专家的比例应在20%-30%为好[5]。
④ 确立隶属关系,获得模糊评判矩阵。
请专家或相关管理人员组成的风险评估小组,根据给定的评价基准对项目风险进行评价。这种评价是一种模糊映射,即使对同一个风险的评定,由于不同评价人员可以作出不同的评定,所以评价结果只能用对第i个因素做出第j评价尺度的可能程度的大小来表示。这种可能程度称为隶属度[6],记作rij。
由此得到模糊评估矩阵
(4-10)
Rij―对因素Ui中第i个评价子因素作出第j级评价Vp的隶属度,j=1,2,…,n;
P=1,2,…,m 。
⑤ 模糊综合评估
根据模糊评估矩阵,模糊综合评判集为:
(4-11)
B为U中所有因素的综合评判结果,它表示评判对象按所有因素评判时,对评判集中第K级的隶属度。再由最大隶属度原则或加权平均法定出最终结论。
⑥确定评估等级。按照已经制定的评估尺度,进行计算,这种评定是一种模糊映射。
将评估等级取成列矩阵V,风险评估结果最后数值结果为:
S=B×V (4-12)
参考文献
[1]傅鸿源. BOT项目风险评价方法的研究[J]. 系统工程理论与实践, 1995, (10): 55-58
[2]宋冬梅. 基于模糊理论的BOT项目风险评价[J]. 建筑管理现代化, 2005, (4): 54-56
从理论上说,风险导向审计是在账项导向审计和制度基础审计上发展起来的一种审计模式,其是指以被审计单位的风险评估为基础,综合分析评审影响被审计单位经济活动的各项因素,并根据量化风险水平确定实施审计的范围与重点,进而进行实质性审查的一种审计方法。风险导向审计作为一种重要的审计理念与方法,将审计资源集中于高风险的审计领域,针对不同风险因素状况、程度采取相应的审计策略,并通过对高风险点实质性测试的强化,将内部审计的剩余风险降低至最低水平,从而可大大提升内部审计的工作效率。
与传统审计模式相比,风险导向审计有着其独特的特点:首先,对风险分析的侧重点不同;风险导向审计更为强调对固有风险的评估,通过深入了解被审计单位的内在环境,从各种渠道了解其所处行业及地域情况,从而发现其潜在的经营风险及财务风险,并实现对财务报表发生重大错报风险的评估。而传统意义上的账簿审计是以会计账簿为目标,审计人员从会计事项依据的的原始凭证入手,查证、核对账证、账账、账表之间的勾稽关系,从而发现账簿之间的错弊。从这一点上看,风险导向审计更为主动,更侧重于风险防控。
其次,审计切入点与程序存在差异;在风险导向审计模式下,内审人员首先需初步了解被审计单位基本情况、行业特点及经营环境,初步判断其经营风险、财务风险,确定是否接受委托,在确定接受委托后再对上述情况进行全面了解,判断舞弊可能,评估风险水平,然后再通过分析性测试等方法,结合对该单位内控结构的评价,确定重点风险领域,最后再根据该风险领域,确定实质性测试的时间、性质与范围,完成对审计计划的最终制定。由此可见,风险导向审计在审计程序设计上更为缜密,更能体现对风险控制的侧重性。
最后,实现了由事后审计向事前、事中审计的转变;在基于风险导向的内控审计模式下,内审人员对内部控制测试所遵循的程序为“计划控制评估风险评价控制”,即首先着眼于实际控制,其次进行风险评估,寻找薄弱点,然后再针对其薄弱点提出改进意见。在该模式下,以风险为核心的审计理念要求内审人员应更为注重计划的制定与实施,提前确认风险而非在形成损失后才出具报告,从而使审计工作的重心前移至计划阶段,实现了事前、事中与事后审计的相结合,同时还可为决策层提供更具预测性、决策支持力的信息。
二、风险导向审计在行政事业单位的应用策略
与企业相比,当前各行政事业单位由于财务规范性、严谨性严重不足,预算执行控制落后,因此加强、改革内部审计存在较大的必要性,此时选择引入风险导向审计也就成为了一条必由之路。从目前来看,各行政事业单位虽有财政供养作为后盾,但是财务风险却日益显现,不容忽视,某些事业单位甚至已面临入不敷出的窘境。在这种环境下,以风险为导向统领本单位的内部审计工作,以风险分析与控制作为出发点,已成为行政事业单位内部审计改革的主方向,且下一步还需继续改进与完善,以实现内部审计质量的全面提升。
为了加强风险导向审计的推广与应用,各行政事业单位当前首先应对传统的审计理念予以转变,将内部审计的重心予以前移,将对经济事项的控制放在事前与事中控制上,以充分揭示经济业务活动和内部管理中所存在的风险,力求在全面把握单位整体风险状况的基础上,实现对高风险领域的实时监控,保证本单位各项管理指标的顺利实现。与此同时,对于账项导向审计与制度基础审计也不可完全摒弃,这两种审计方式在审查账簿是否存在错漏处理时有着其独特的作用,因此应将其加以综合利用,以充分提升内部审计的作用。
其次,构建完善风险评估方法体系,增强准确识别与评估风险的能力。作为风险管理与风险导向审计的基础,风险评估结果的正确与否将会直接影响到审计质量和审计风险,存在偏差的评估结果将使风险审计活动误入歧途。而就行政事业单位而言,对风险的识别与评估应充分考虑前者所处的内外部环境,并在该环境发生变化时予以充分调整,对风险进行再识别与再评估,以确保最新的风险因素可得到有效的控制。例如,随着事业单位改革的逐步推行,某些单位由财政供养转变为市场化运作,或者半财政半市场运作,这必然导致会计核算、资金管理等相关制度的变更,财务风险的凸显要求再识别与再评估。
再次,研究制定适合行政事业单位管理特点的风险导向审计模式,通过对国际审计准则和西方国家风险导向审计经验的借鉴,制定适合本国行政事业单位特点的风险导向审计指引和操作程序,明确风险导向审计的目标、内容与步骤,统一风险评价标准,并将其用于风险导向审计的指引工作。在此过程中,国家应积极发挥主导作用,对于诸如内控制度评价,以及在控制测试和证实测试阶段需使用的审计抽样方法,期望审计风险水平,固有风险、控制风险和检测风险的评估方法等,进行明确、详实的规定,从而可为审计人员在实务操作中建立一个较为规范、原则性的技术指导,使审计人员执业能够有章可循。
最后,增强内审机构与人员的独立性,夯实风险导向审计的执行基础,同时也可实现对内控风险的有效规避。作为内部审计工作的首要前提,独立性是使内审机构及人员在审计活动中出具客观、公正鉴定与评价的重要保障,为此各单位首先应将所成立内审机构与其他部门尤其是财务部门予以平行,内审机构不应归属于任何一方,只受本单位决策层直接领导。同时,内审机构组成人员应保持相对独立,不受本单位其他部门制约,不得兼任其他任何岗位,工资薪酬标准可由上级核准并发放,这对于内审机构负责人而言更应如此。
参考文献:
[1]孙德轩.现代风险导向审计.中国乡镇企业会计.2007(02).
[2]杨慧君.论风险导向审计及其运用.工业审计与会计.2009(06).
【关键词】旅游规划;风险识别;风险评估;风险对策
旅游业具有较强的综合性和敏感性,旅游业的发展容易受政治、经济、社会、市场等多种因素的影响,其中部分因素又具有突发性和不确定性。为保障旅游业的健康、稳定发展,需要制定科学、合理的旅游规划。
《旅游规划通则》[1]规定,旅游规划应对旅游项目的宏观背景、资源禀赋、开发条件、环境保护等作充分的分析和研究。但由于诸多不确定因素的客观存在,旅游规划的实施效果与规划目标仍会产生一定的偏差,因而“旅游规划蕴含风险”[2]。因此,在旅游规划中应重视风险分析,识别影响规划实施的风险因素,评估其风险程度,制定相应的风险对策。风险分析可以提高旅游规划的前瞻性和可操作性,减小风险因素的不利影响。
本文基于工程项目管理中的风险分析理论,结合旅游业的自身特点,探讨风险分析方法在旅游规划中的应用。
1 风险分析的含义
1.1风险的定义[3]
风险的定义有狭义与广义之分。狭义的风险是指“不利结果出现或不幸事件发生的机会”(英国风险管理学会(IRM))。狭义的风险定义认为风险的本质是有害的或不利的。广义的风险定义认为风险是中性的,如国际标准化组织(ISO)将风险定义为“某一事件发生的概率和其后果的组合”。广义的风险定义可以理解为:风险是未来变化偏离预期的可能性以及对目标产生影响的大小[3]。
1.2风险分析的内容
风险分析的主要内容包括:识别可能存在的潜在风险因素;估计这些因素发生的可能性及由此造成的影响;为防止或减小不利影响而制定对策。与上列内容相对应,风险分析可以分为以下3个步骤:①风险识别;②风险评估;③风险对策[3]。
2旅游规划中的风险识别
由于旅游活动易受多种因素的影响,在旅游规划中需要考虑的风险因素也比较多。按风险因素的来源,旅游规划中的风险可分为外部风险和内部风险2大类。外部风险一般包括政策、经济、社会、环境、市场等方面,内部风险一般包括决策、管理、技术等方面。不同的规划类型和规划阶段,涉及的风险因素不尽相同,需要根据具体项目区别对待。
2.1外部风险
(1)政策风险旅游规划的政策风险可能来自2个方面,一方面是因国家相关政策的调整,改变了旅游规划实施的政策条件;另一方面,部分地方政府不合理的旅游发展政策,可能与生态环境、自然文物保护等法律法规划相悖。
(2)经济风险旅游业受经济因素的影响非常显著,经济波动一方面直接影响旅游者的经济收入与消费能力,另一方面也会影响其消费心理与消费预期。如2008年开始的金融危机,对旅游业造成了巨大影响,而且这种影响与经济形势恢复相关,一般持续时间较长。
(3)社会风险社会风险因素可能会对旅游活动造成关键影响。旅游规划中需要考虑的社会风险有:①当地居民是否支持旅游开发;②旅游活动涉及到的民族矛盾、宗教问题;③旅游开发引起的移民、拆迁补偿问题;④突发性事件如非典、H1N1流感及暴力事件等。
(4)环境风险环境因素日益成为制约旅游业发展的关键因素。环境风险一方面来自环境变化对旅游活动的影响,如气温变暖引起雪山融化,干旱使河水断流,污水排放使旅游区水体遭受污染等,对相关旅游活动将构成重要威胁。另一方面,旅游活动的环境保护措施不当,也会引起环境的破坏,而给旅游项目带来风险。
(5)市场风险市场风险是竞争性项目常遇到的重要风险,对旅游规划来说,市场风险主要来自以下几个方面:①市场预测方法或数据错误,导致市场需求分析出现重大偏差;②旅游者偏好转移,使市场需求与预测发生偏离;③竞争格局变化;④产品价格不被市场认可,影响旅游项目的预期收益。
2.2内部风险
(1)决策风险由于旅游业的复杂性和认识能力的局限性,管理者在规划、管理、经营的决策过程中,不可避免具有主观性,如果决策时未考虑风险因素的影响或忽略了某些主要的风险因素,就会导致决策风险。例如宜昌市“三峡集锦”项目,因盲目跟风人造景观热,“真三峡前建设假三峡”,建成10年后被迫拆除,造成了巨大的投资损失(楚天都市报,2006年8月24日)。
(2)管理风险
管理风险是由于管理模式不合理,组织不当,管理混乱或主要管理者能力不足等引起的风险。旅游规划中需要考虑的管理风险有:①旅游开发活动中的管理风险;②旅游企业经营风险;③旅游人力资源管不足、人才流失的风险。
(3)技术风险
旅游项目的技术风险可能来源于:①前期勘察资料的可靠性及开发方案的可行性;②工程施工风险,如旅游基础设施建设中遭遇滑坡、坍塌等;③旅游活动的安全性,特别是一些高危性旅游项目,如漂流、探险等,往往存在较大的技术风险。
3旅游规划中的风险评估
旅游规划中风险评估的任务是估计风险因素发生的可能性及其对规划目标的影响,并按照一定的指标体系和评价标准,划分风险等级,确定关键风险因素。风险评估分为风险估计和风险评价2部分内容。
3.1风险估计
风险估计包括风险概率估计和风险影响估计2个方面。风险概率即风险因素发生的可能性。旅游项目中风险概率估计可以采用定性和定量相结合的办法进行,前者主要包括头脑风暴法、电子会议法、德尔非法等,后者一般是通过统计分析、数学计算和计算机的应用来实现[4]。
按风险发生的概率大小及评价的需要,可以将风险概率分为若干档次,如文献[3]将风险分为很低、较低、中等、较高、很高5档,对应风险概率从0%按每档20%递增至100%。同样,根据风险发生对规划目标的影响大小,可以把风险影响划分为5级,即:严重影响、较大影响、中等影响、较小影响和可忽略影响。
3.2风险评价[3]
风险评价以风险概率估计和风险影响估计为基础,对风险划分等级。评价方法主要有风险评价矩阵法和专家评价法等。
旅游规划中的风险评价,可以使用定性与定量相结合的风险评价矩阵。以风险因素发生的概率为横坐标,以风险发生后对规划目标的影响大小为纵坐标,将各种风险因素排列在矩阵的25个网格内。结合风险因素发生的概率及对规划目标的影响,将风险程度划分为5个等级。
4旅游规划中的风险对策
在旅游规划中,不仅要了解规划可能面临的风险因素,还要提出针对性的风险对策,以避免风险的发生或将风险发生的损失降低到最小程度,保证规划目标的实现。另一方面,风险对策研究的结果应及时反馈到规划的其它方面,作为规划修改和方案调整的依据。
4.1基本要求
(1)风险对策应具针对性旅游规划可能涉及各种各样的风险因素,各种规划的内容和重点也不相同。因此风险对策应结合旅游项目的特点,针对特定对象和关健的风险因素制定对策,将风险影响降低到最小程度。
(2)风险对策应具可行性风险对策应立足于现实客观的基础之上,提出的风险对策应是切实可行的。所谓可行,不仅指技术上可行,而且从财力、人力和物力方面也是可行的。
(3)风险对策应具经济性规避防范风险是要付出代价的,如果风险对策所需要的费用远大于可能造成的风险损失,那么该对策是没有意义的。在风险对策研究中应将规避防范风险所付出的代价与该风险可能造成的损失进行权衡,寻求以最小的费用获取最大的风险效益。
4.2常用的风险对策
在旅游规划中,需要根据不同的风险分别采用不同的对策。常用的风险对策主要有:风险回避、风险控制、风险转移和风险自担。
(1)风险回避风险回避是彻底规避风险的一种做法,即断绝风险的来源。对旅游规划而言意味着改变规划方案或否决某些开发项目。风险回避方法在规避了潜在的风险损失的同时,也放弃了预期的收益。因此,这种方法一般是在风险影响严重,风险概率很高的情况下采用。
(2)风险控制风险控制是针对可控性风险采取防止风险发生,减少风险损失的对策,是最常用的风险对策。风险控制措施需要针对具体的情况,一般包括技术措施、工程措施和管理措施等。如在旅游项目决策过程中进行科学论证,鼓励公众参与,强化监督工作,落实决策失误的责任追究制度,可以有效减少决策的盲目性,降低决策风险。
风险分散是另一种常用的风险控制措施,例如对某些新兴旅游项目,市场前景较好,但不确定因素也较多,可以采取引进风险投资的方式,分散部分风险。
(3)风险转移风险转移是将潜在风险转移给他人承担以避免风险损失的一种方法。例如旅游企业采取向保险公司投保的方式将旅游活动的风险转嫁给保险公司。此对策尤其适用于高危性旅游项目和某些人力难以控制的灾害性风险。
旅游项目建设中的工程风险,可以通过相关合同条款转移给承建方,再由承建方依据自身情况制定相应的风险对策。
(4)风险自担风险自担就是将风险损失由旅游项目自己承担,主要适用于风险程度较低的风险因素。另外,在采取风险应对措施的费用远大于风险损失的情况下,也可以使用风险自担的对策。
5结语
旅游业的发展涉及旅游区的诸多方面,同时也是一个长期积累的过程,因此旅游规划中的风险分析应具有广泛性和长远性,旅游规划风险分析需要加强以下几方面的工作:
(1)旅游规划风险分析应涵盖与旅游业关系密切的政策、经济、社会、环境、市场、管理、技术等诸多方面。
(2)旅游规划风险分析应涵盖旅游规划、投资建设、运营管理的全过程,旅游规划人员应具有一定的风险预见能力。
(3)旅游规划风险分析需要相关的政府部门、规划单位、旅游企业及其它利益相关者及社会公众的广泛参与。
参考文献
[1] GB/T18971-2003,旅游规划通则[S].
[2] 汪宇明.旅游规划方的理性和责任-再谈规避旅游规划的风险[J].旅游学刊,2008,23(9):6.
[3] 全国注册咨询工程师(投资)资格考试参考教材编写委员会.项目决策分析与评价[M].北京:中国计划出版社,2008,388-423.
[4] 孙华平,刘风芹.旅游产业发展中的风险管理与控制[J].经济与管理,2008,22(10):63-67.
[关键词] 项目投资 风险评价指标 风险值
项目投资带来丰厚回报预期同时伴随的是无法避免的风险,如何对项目投资中的风险进行科学评估是保证投资成功的首要条件。本文针对我国经济环境的现状制定一套项目投资风险评价指标,并对所有指标进行标准化的风险量纲统一,进而为科学的风险评估提供技术支持。
一、项目投资风险评价指标的风险值
为保证项目投资中各个不同的风险评价指标可进行综合评估,首先要统一各个指标间的量纲确定表示风险大小的风险值。风险值是每个评价指标实际风险程度的数值表现,取值在-1与1之间,风险值越高表示该项评价指标的风险越高。
二、项目投资风险评价指标体系
本文选取为市场风险、技术风险、金融风险、环境风险及管理风险五个指标作为项目投资风险评价指标体系的一级指标。对于每个一级指标又可细分为若干二级指标,下面给出具体二级指标及其表示风险大小的风险值的确立方法。
1.市场风险。市场是连接生产和消费的桥梁和纽带,在项目能否获得成功的问题上,市场拥有较大的发言权。
(1)项目能否如期完工:提前完工(风险值=-1);按时完工(风险值=0);延期完工(风险值=1)。
(2)项目产品竞争力:强(风险值=-1);较强(风险值=-0.5);标准(风险值=0);较弱(风险值=0.5);弱(风险值=1)。
(3)消费者需求:需求多(风险值=-1);需求较多(风险值=0);需求较少(风险值=1)。
(4)竞争对手实力及项目经营战略:无竞争对手、战略清晰(风险值=-1);竞争对手较弱、战略清晰(风险值=-0.5);竞争对手相当战略清晰(风险值=0);竞争对手较强战略不清(风险值=1)。
2.技术风险。随着知识经济时代的到来,技术越来越显现出它的重要性。谁掌握并利用最先进的技术,谁就在市场竞争中占有优势,掌握先机。
(1)知识产权:有知识产权(风险值=-1);无知识产权(风险值=1)。
(2)技术先进性:国际领先(风险值=-1);国内领先(风险值=-0.5);行业水平(风险值=0.5);低于行业水平(风险值=1)。
(3)替代技术:无替代技术(风险值=-1);有较少替代技术(风险值=0);有较多替代技术(风险值=1)。
3.金融风险。项目能够顺利进行离不开资本链条的正常运转,金融环境对项目的影响同样起着举足轻重的作用。
(1)项目的净现值:其风险评级及风险值确立需要引入参照体系,假设需要投资项目的净现值为 ,并引入一个参照净现值 。其风险值由如下分段函数确立:
(2)现金流:充足(风险值=-1);适当(风险值=0);不足(风险值=1)。
(3)金融动荡对项目影响:无影响(风险值=-1);较小影响(风险值=-0.5);影响适中(风险值=0);有影响(风险值=0.5);有较大影响(风险值=1)。
4.环境风险。任何事物都是处于环境当中,环境的好坏也会影响到项目的成败。经济形势、政策及突发事件等社会环境因素往往可以决定项目的成败。
(1)自然风险对项目的影响程度:无影响(风险值=-1);较小影响(风险值=-0.5);影响适中(风险值=0);有影响(风险值=0.5);有较大影响(风险值=1)。
(2)政策风险对项目影响程度:无关(风险值=-1);小部分相关(风险值=-0.5);相关(风险值=0.5);高度相关(风险值=1)。
(3)法律风险:相关法律健全(风险值=-1);相关法律比较健全(风险值=0);相关法律不健全(风险值=1)。
(4)投资方与项目发起方综合实力对比:投资方强(风险值=-1);投资方较强(风险值=-0.5);双方实力相当(风险值=0);发起方较强(风险值=0.5);发起方强(风险值=1)。
5.管理风险。项目是否具有优秀的管理团队、独特的企业文化以及良好的管理机制对项目能否进行长期盈利都起到了关键的作用。具体还可以对管理风险进行细分如下二级指标。
(1)项目主管:具有丰富经验(风险值=-1);有一定的经验(风险值=0);无经验(风险值=1)。
(2)管理机制:管理系统团队完善(风险值=-1);管理系统团队不完善(风险值=0); 管理不系统团队不完善(风险值=1)。
(3)风险意识:有风险控制体系(风险值=-1);有风险意识但不系统(风险值=0);无风险意识无风险体系(风险值=1)。
三、项目投资风险评估
在统一量纲的项目投资风险评价指标系统下,很容易对选定的项目进行风险评估。首先要利用层次分析法对一级指标和二级指标的各个指标进行赋权,不同时期不同项目各个指标的权重应有所区别。确定各个指标的权重后,将权重与风险值相乘并与同级合并相加构成上级指标的风险值。
最后,加权合并一级风险指标的风险值得出项目总风险值,如果项目总风险值大于0,则表示此项目投资具有较高的风险,若项目总体风险值在-0.5左右,则表示此项目投资风险适中,若项目总体风险值接近-1左右,则表示此项目投资风险较低。
参考文献:
[1]汪克夷 董连胜:项目投资决策风险的分析与评价[J]. 中国软科学,2003年1月
关键词:营财一体化 风险管控 电网企业
一、实施背景
为持续优化电网企业服务质量,全面提升经济效益,有效满足营销系统与财务系统的数据交互要求,打破财务与营销信息孤岛局面,电网企业积极推进实施“营财一体化”建设,通过统一营销系统与财务系统的业务规则与处理方式,搭建稳定、高效的集成架构,改变以往简单的数据交互导致业务处理分隔的模式,实现营销系统与财务系统在业务层面的互融互通,并通过数据贯通实现数据资源的高效利用,达到营财系统一体化运作的效果。
随着“营财一体化”项目部署上线,电费业务管理模式由业务末端逐渐向业务前端延伸,在这一过程中,电费业务日常管理各种矛盾和困难也逐步突显,如财务人员角色定位转换,对前端业务缺乏控制意识,内部监督、考核机制不健全等。为有效应对各类问题,电网企业以内部控制建设为契机,以风险管理为导向,对“营财一体化”重点管理流程进行梳理与完善,查找管理薄弱环节和重大风险点,制定业务优化方案和风险管理措施,完善协同监督机制,推进内部控制与电费业务有机融合;基于电费专项风险评估与分析,有效识别经营管理潜在风险,构建风险预警指标体系,促进“营财协同”从传统管理向风险管理转变,实现营财一体化深化管理的要求。
二、主要思路
结合“营财一体化”总体部署,以“一条主线、两个系统、五项机制”为重点,即内控建设为主线,依托营销SG186、财务信息两大系统,强化内部控制环境建设、风险定期评估、风险分级与内控持续完善、信息与沟通、持续监督五项工作机制建设,有效推进内部控制与电费业务管理有机融合,全面提高“营财一体化”管理的效率和效果(见图1)。
三、实施方案
(一)“营财一体化”内部控制机制建立与实施
结合“营财一体化”业务模式,融合自身管理特点进行特质化完善,以内控标准流程为基础,完善营财内控专题评价指南,设置专业管理的指标体系及目标值。“营财一体化”五项内控机制建设共设置了四类管理指标,分别为标准流程执行率指标,财务总账和营销明细账核算同质化指标,营财信息一致性指标,财务账务、报表数据一致性。具体见表1。
围绕“营财一体化”主题,对营财业务的组织架构和主要工作流程进行全面梳理,形成营财专业内控流程体系框架,明确流程关键控制点与风险点,组织开展风险自评估,制定具体的风险管控措施,强化风险防控效果。按照业务性质不同,细分为7大业务模块,即:电费发行与应收管理、电费实收与对账管理、电费往来账管理、其他业务收费管理、差错处理及退费管理、收入及资金流预测管理、报表管理,并从中梳理出17项主要业务流程和23个关键控制点。以下针对几项重点业务进行具体说明:
1.电费发行与应收管理。电费发行与应收管理的主要风险在于电费发行不准确、营销系统与财务系统反映的电费数据不一致。主要的管控措施包括:营销部门建立电费发行内部审核机制;电费发行班发行电费前通过机审、人工筛选及异常数据排查等方式验证发行数据的正确性;营销部门电费电价专责通过营销系统报表动态审核电费发行数据,重点检查电价执行是否正确,同时通知电费发行班对稽核错误进行差错处理;营销部门电费电价专责在月末营销系统关账前,利用SG186信息系统对当月电费数据进行再次审核,包括按电价类别计算的电费金额是否正确等,审核无误后通知电费发行班进行营销关账,并将审核发行后的电费及各类基金附加汇总数据提交给财务部门;财务部门电费电价专责将客户中心提供的电费及基金附加汇总数据与财务系统中集成的电费凭证数据进行核对,即完成应收电费业务数据与账务数据的核对,如有集成差异及时反馈电费核算班进行差错处理,待营销业务数据与财务数据完全一致后通知电费核算班进行财务关账,锁定账务。
2.收费与解款管理。收费与解款管理的主要风险在于解款不及时、资金滞留挪用,业务数据与财务数据不一致等。主要的管控措施包括:大厅收费员收到的资金必须实行日清月结,当日解款,收费日报与现金交款单核对一致后交电费核算班审核对账;电费核算班每天核对收费员提交的收费日报、现金交款单,并与系统内的电费实收数据核对;每天将网上银行收到的直接汇款转入的电费信息提交收费员,由其输入系统;每天核对当日网上银行对账单,与营销系统内的电费实收解款数据进行复核;财务部门每周核对一次财务系统实收电费数据与网上银行电费资金流入数据,并将相关差异反馈电费核算班处理。
3.银行未达账管理。银行未达账管理的主要风险在于清理不及时、未达账项长期挂账等。主要的管控措施包括:财务部门每月整理未达账项的变动数据,提交电费核算班;电费核算班对财务部门提交的未达账项变动数据进行分析与复核,对能够及时处理的未达账提交收费员及时处理;对相关业务流程未走完或资金性质不清晰的未达账,提交相关业务班组及时处理;根据相关未达账项的处理情况,每月向财务部门提交一次未达账项处理情况报告。
4.差错处理与退费管理。差错处理与退费管理的主要风险包括差错处理不走流程、审批程序不合规等。
主要的管控措施包括:严格执行相关业务流程,所有差错处理与退费业务必须在SG186系统中履行流程,留有痕迹;严格执行电量、电费合并退补,对无法退电量的差错做“全减另发”处理,保证电费报表数据的准确性和真实性;电费核算班必须逐笔审核相关差错处理与退费单据,与SG186系统中的相关流程信息核对一致后,按照退款余额,完成分级审批程序后,方可提交财务部门;财务部门根电费核算班提交的已审核差错处理与退费单据,与SG186系统中的相关流程信息核对一致;同时审核退费资料是否齐全、印章授权是否符合要求,客户信息是否一致,审核完毕后方可办理退费。
5.收入及资金流预测管理。收入及资金流预测管理的主要风险包括电量、线损以及现金流预测不准确、预算得不到执行、预算数据缺少客观依据等。主要的管控措施包括:强化业务协同工作机制,每月召开发展、营销、财务预算协调会,充分共享线损、均价和电费回收等指标信息,进一步提高预算的准确性和科学性;加强预算执行情况监控,每旬通报预算执行进度,及时研究处理对策,提高预算执行精度。处理好与大客户之间的关系,及时掌握大用户预交电费信息,为电费资金流的测算和管控提供客观数据支持。
(二)“营财一体化”风险管控机制建立与实施
风险管控机制遵循风险识别、风险评估、风险应对的基本思路,建立核心风险评估定级与风险应对联动,风险预警响应与风险评估联动的管控机制。风险评估方面对重点用户进行风险特征分析、风险等级进行量化评估;风险应对方面则搭建风险评估定级与响应策略组合触发机制,并设置预警响应规则,实现预警结果同评估响应联动的管控方式(见图2)。
风险管理由事后应对向事前预警转化,通过分析风险产生的内外部原因,深入挖掘风险潜在的影响因素与影响结果,通过构建多层次的风险量化评估与分析模型,实现全方位的风险动态预警与实时监控。下面以电费回收风险为例进行分析。
1.明确风险管理内容。电费回收风险涉及客户服务管理模块,包含信用管理及风险管理两个子模块。信用管理模块中,信用评价主要选取用电缴纳和违约用电及窃电情况等若干指标,信用管理还可以定期向社会公布。而风险管理则针对客户综合风险状况,且将信用评价结果应用于缴费风险子项。风险管理的主要内容包括:分析影响风险的各类因素以及电力用户的各种类别,有效识别风险成因;制定风险评价指标,选取权重,评价风险等级,编制风险预案;明确预警指标,制定预警触发措施,实现风险实时监控(见图3)。
2.选择风险识别方法。围绕电网企业电费管理总体目标,针对外部环境与外部主体、电费管理流程操作的具体环节业务与管理活动,采用资料分析、现场查勘、人员访谈、专家咨询等方式,多角度、全方位识别企业面临的或潜在的风险及风险事件。
根据电费回收风险的来源,将风险源头分为外源性风险或内源性风险。外源性风险是涉及政治政策、宏观经济、社会与自然环境、行业环境等外部环境因素导致的风险。内源性风险是与组织、成员的特质和能力相关,并最终通过业务行为和岗位职能表现出来的风险类别。
(1)采用全景分析法对外源性风险进行识别。全景分析是指宏观环境的分析,P(政治),E(经济),S(社会),T(技术)。参照融合以上方法,电费回收外源性风险可从宏观环境和行业与市场环境两个层面展开识别分析。首先,在PEST四要素基础上增加法律及电力市场监管,共六个角度,对电费回收所面临的外部风险状况进行分析,识别出宏观层面的外源性风险。其次,从电费缴纳主体用电客户与待收费服务合作单位,识别出行业层面的外源性风险。
(2)采用流程分析法对内源性风险进行识别。流程分析法是指从实现流程目标的路线、顺序和过程入手,发现实施差异,识别风险事项的方法。通过分析客户营销服务业务流程运行情况,查找流程疏漏和潜在风险环节,提取风险事项。电费回收风险识别,按照营销服务四大业务环节次第展开,即业扩报装、抄表管理、核算管理、电费收缴,并对每一环节活动事项进行细分。
3.科学开展风险评估。风险评估的原理和目的是运用统计学方法对客户风险进行评估,确定风险水平,划分风险等级,为确定重大风险以及进行风险策略分析奠定基础。
对电力回收风险评估而言,首先是确定重点电力用户,其次是针对重点电力用户确定风险可能性和风险发生造成损失度的评价指标及标准,然后通过测量得出不同客户的风险水平、排序及风险等级。
客户风险水平分值=Σ(各指标权重×各评分指标分值)
电费回收风险半定量评价法,首先按照不同客户类型确定风险水平的评估指标及权重,然后确定风险水平分级标准,按照风险水平评估值对风险进行分级。
常见的用电客户分类有电压等级分类、重要性分类、销售电价分类等。由于用户电费回收风险与用户自身社会经济地位、经营状况、理念意识、交易习惯等相关,销售电价用户分类方式较能综合体现以上区别需要。销售市场目标用户群体分为六大类,即居民用户、商业用户、非工业用户、工业用户(含大工业与普通工业用户)和农业生产用户、趸售电力用户。
工业用户具有用电量较大、客户相对集中的特点,风险一旦发生造成的损失度较高,而且管理的针对性强,效果显著,因而是电费回收应关注的主要群体。工业类用户评估指标选取主要考虑以下因素:客户用电容量、电量、负荷变化情况、客户缴费情况;企业经营现状;企业所属行业运行情况、政策调控情况;企业关联客户情况、上下游企业情况;金融企业对其信用认可情况等。
工业用户电费回收风险评估指标及权重具体见表2。
通过将用户电费回收风险等级划分为五级,按照末级观测指标等级划分采用分值,定义具体风险等级区间。
4.制定风险应对措施。针对电费回收风险等级确定的应对措施主要有:一是建立用电客户电费回收风险评估响应策略组合;二是建立电费回收预警指标体系。
(1)新客户、业扩增减容、合同到期用户。不同的客户应该在签订供用电合同前有针对性地制定不同的风险预防控制措施(见表3)。
(2)电费回收风险评估响应策略组合。按照风险评估响应的总体思路,将用户电费回收风险评估结果同一定的预防性应对措施组合加以匹配,形成用户电费回收风险策略矩阵,达到从风险评估到响应动态触发机制。
四、实施效果
(一)专业管理效率提升
通过开展跨部门协同工作机制、风险定期评估机制、风险分级管理与内控持续完善机制、信息与沟通、持续监督等五项内控机制建设,“营财一体化”业务流程得到优化,重要风险点和控制点得到加强,财务管理向业务管理前端有效延伸,经营管理风险得到了有效防控。
1.营财数据的一致性、及时性、准确性得到大幅提高。通过优化改进,电费相关业务的差错率逐渐下降,公司营销口径数据与财务口径数据达到完全一致,实现了财务账务与报表、营销报表与财务报表的无差异化。
2.通过强化内部控制,当期所有营销业务均能严格执行标准业务流程,业务收费及退费均在SG186系统中实现了数据集中与共享;同时以营销、财务信息系统为载体,实现了业务信息的动态维护和适时核对,营财数据质量得到了大幅提高。
3.通过加强前期遗留问题处理,公司电费未达账项金额、笔数大幅下降,长期未达账项得到逐步清理,实现了未达账时限不超过三个月的管理目标。
4.营销、财务凭证实现同质化、同步化,营销财务一体化管理的效率和效果都得到了大幅提高,营销、财务各专业集团专业指标考核中成绩优异。
(二)经济效益显著提升
按照内部控制管理理念,“营财一体化”建设有效打破了电费管理壁垒,实现了营销部、财务部及客户服务中心缴费渠道建设及运营管理的协同运作,与银行系统直联业务更加顺畅。资金管控和统一调配能力增强,合并口径资金归集率大幅提高,平均货币资金逐步压降,贷款存量压降幅度上升,彻底消灭了电费资金沉淀,有效降低了资金成本,资金整体管控效益提升显著。X
参考文I :
关键词:内部审计 风险管理 角色定 位途 径措施
一、问题提出
由于各种不确定性因素,企业面临着各种风险,能否对风险进行有效的管理和控制,是企业能否生存发展的关键。企业风险管理的有效性在一定程度上取决于企业对风险管理工作的监督和评价。我国从2005年施行的内部审计具体准则第16号―《风险管理审计》中更是强调了内部审计人员对风险管理进行审查和评价的职责。然而,我国内部审计在风险管理中应用的现状却并不令人乐观。根据调查存在以下问题:(1)内部审计人员对风险及风险管理不甚了解。28.05%的被调查内部审计人员认为风险不会影响企业价值,7.32%的被调查内部审计人员竟认为风险会增加企业价值。内部审计人员对风险的不了解,限制了内部审计对风险和风险管理的关注,制约了内部审计在风险管理中的应用。另外,内部审计人员缺乏风险管理知识,对于风险管理的先进理论―全面风险管理不甚熟悉。8.54%的被调查的内部审计人员没听说过“全面风险管理”,只有3.66%的被调查的内部审计人员熟悉“全面风险管理”。缺乏先进的风险管理理论,又从何谈起协助管理人员进行风险管理。(2)内部审计的独立性不足。内部审计部门只有独立于其它职能部门,才能独立、客观、公正地发挥其职能。62.32%的被调查单位的内部审计部门都是独立设置的,这在一定程度上保证了内部审计的独立性。但同时也应注意到内部审计的独立性还不足。56.53%的被调查单位的内部审计隶属于行政正职或分管副职,而只有19.82%的被调查单位的内部审计隶属于董事会、监事会或者审计委员会等层次比较高的部门。内部审计独立性的不足,影响了内部审计在风险管理中应有作用的发挥。(3)内部审计人员结构不合理。我国内部审计的人员结构比较单一,绝大部分是会计、审计人员。在被调查的内部审计人员中,48.43%出身于会计专业,27.99%出身于审计专业,只有10.13%出身于管理专业,以及0.74%出身于计算机专业。人员结构不合理,使得内部审计难以履行监控风险管理的职能,更别说为风险管理提供咨询服务。(4)内部审计范围狭小。内部审计人员结构的不合理,导致了内部审计范围的狭小。在被调查单位中,69.57%经常进行财务收支审计,66.67%经常进行经济效益审计,72.46%经常进行经济责任审计,只有7,25%曾经开展过风险管理审计,没有一家单位对风险管理经常进行审计。(5)内部审计方法落后。内部审计在开展审计业务时,使用的审计方法比较落后。66.67%的被调查单位采用账项基础内部审计24.64%的被调查单位采用控制基础内部审计,只有8.69%采用风险基础内部审计。审计方法的落后严重制约着内部审计在风险管理中的应用。
二、我国企业内部审计风险管理的意义及定位
(一)企业内部审计风险管理的意义主要体现在以下方面:(1)有利于进一步改进公司治理。不同的经济学观点对公司治理问题具有不同的解释,但无论是契约理论提及的不完备契约,还是信息经济学提及的信息不对称,或是委托理论提出的问题,其实质都属于风险问题,都是使企业目标元法实现的各种可能性事件。而针对这些可能性事件的管理,即风险管理,可以被认为是公司治理的核心。而从内部审计来看,通过加强对风险管理的评估和咨询,为审计委员会、董事会提供真实有力的报告证据,使股东和潜在利益相关者获得尽可能充分的信息。这自然增加了内部审计的服务职能一改进公司治理。因此,内部审计与风险管理的有效结合必将进一步改进公司治理,提高企业管理效率。(2)内部审计自身生存和发展的渴求。内部审计对风险管理的介入,使内部审计在企业中成为一个特别重要的角色,也将其在企业中的作用推向了一个新水平。同时,内部审计采用关注风险的审计方法,其报告更容易被接受,管理部门也更容易理解内部审计存在的价值,它可以帮助内部审计渡过正在影响整个职业的价值危机(Value Crisis)。正因为如此,IIA才一直积极倡导内部审计参与风险管理,把风险管理作为内部审计的重要领域直接写入了内部审计的定义。(3)内部审计参与风险管理的独特优势。内部审计部门处于企业董事会的下属位置,是不直接参与经营活动的高层次监督部门,因而在企业风险管理中具有独特的优势。第一,能够客观地、从全局的角度管理风险。风险在企业内部具有感染性、传递性、不对称性等特征,即一个部门造成的风险或疏于风险管理所带来的后果往往不是由其直接承担,而是会传递到其他部门,最终可能使整个企业陷入困境。因此对风险的认识和防范、控制需要从全局考虑,而各业务部门由于其局限性很难做到这一点。但内部审计部门不从事具体业务活动,独立于业务管理部门,这使得它们可以从全局出发、从客观的角度对风险进行识别,及时建议管理部门采取措施控制风险。第二,控制、指导企业的风险策略。由于内部审计部门处于企业的董事会、总经理和各职能部门之间的位置,内部审计人员能够充当企业长期风险策略与各种决策的协调人。其通过对长期计划与短期现实的调节,可以调控、指导企业的风险管理策略。第三,内部审计部门的建议更易引起重视。尽管许多大型企业设有风险管理部门,但它属于管理部门的一个职能部门,向总经理负责和报告,不具有独立性,其意见有时会屈服于管理当局的压力。例如其风险管理部门对某投资项目分析后发现风险太大不适合投资,而总经理好大喜功,他会力促项目的实施,这使得风险管理部门的作用受到限制。而内部审计部门独立于管理部门,其风险评估的意见可以直接报告给董事会,这自然会加强管理当局对内部审计部门意见的重视程度。(4)能保证审计目标与企业目标相契合。传统内部审计通常采用“控制-风险÷目标”的路线,即直接测试内部控制,考虑内部控制是否有效,而风险的太小仅用于表明控制的薄弱与健全环节,从而实现防弊或兴利的目标。其结果是不断向管理层建议增加控制点或加强控制,随着时间的推移,控制点会越来越多,审计业务越来越繁琐缓慢,甚至出现多余控制阻碍各项程序正常运转的情况,因而无法与企业目标直接相关联,导致内部审计无法证明其价值所在。内部审4t@与风险管理后,采取的是“目标一风险_控制”的路线,首先确认企业目标或某项交易的目标,然后分析对这些目标产生影响的风险,确定审计风险水平和审计重点,提出风险防范和控制建议,最后通过后续审计,测定风险是否得到有效防范和控制。这样审计建议可以直接针对企业实现目标过程中面临的主要问题和风险。内部审计的咨询职能充分体现内部审计的能动性及增值目标,并且将事后的反馈
扩展到内部控制建立前及实施时的协助与促进,帮助管理层对风险管理进行持续改进与完善,保证审计目标与企业目标相契合。
(二)内部审计风险管理的定位 coso报告指出企业风险管理有四个目标(实现战略、高效运作、客观报告、遵守法规)、八个要素(内部环境、目标设定、事件识别、风险评估、风险反应、控制活动、信息沟通、监控活动),在企业的四个层次开展(企业级、部门级、事业单位级、分公司级)。内部审计在这一框架中作为监控活动存在,即由内审机构对企业风险管理进行独立评估。内部审计师协会(IIA)在2004年9月的《内部审计在企业风险管理中的角色》意见书也认为内部审计关于企业风险管理的核心角色是就组织风险管理的有效性向董事会提供客观保证,以帮助确信关键商业风险被正确管理及内控系统有效运转。因此,内部审计在企业风险管理框架中首要角色是监督者,包括对风险管理流程的评估和保证服务、对风险评估准确性的保证服务、对关键风险报告的评估和对关键风险管理的评估。按IIA的标准,内部审计的服务种类可以划分为保证服务和咨询服务,前者是一种独立评价的活动,后者是提供建议及咨询的活动。在企业风险管理中,内部审计的本质特征并不发生改变,因而它可以担任的角色也是基于这两种服务衍生而来的。除了作为监督者所提供的保证服务外,内部审计还可提供咨询服务,包括促进对风险的识别和评估、指导和协调风险管理活动、加强对风险的报告、保持和发展风险管理框架、支持建立风险管理、参与制定风险管理战略等。与此相适应,内部审计承担了咨询者、协调者、建议者角色。内部审计在企业风险管理中的角色不是一成不变的,而是一个逐步变化和延续发展过程。在组织缺乏风险管理程序的情况下,内部审计可以向管理层提出建立企业风险管理的建议;在组织实施风险管理的初期,内部审计能够发挥很大的协调作用,甚至直接担任项目经理;而当企业风险管理逐步成熟,运作稳定以后,内部审计就从建议者、协调者转化成监督者和咨询者。内部审计的报告关系也会影响其在企业风险管理中的角色,报告关系层次越高,独立性越强,内部审计就越能够从全局和战略角度参与企业风险管理;反之,则从局部和流程角度参与企业风险管理。(图1)说明了组织风险管理水平和报告关系对内部审计角色定位的影响。为保证独立性和客观性,内部审计并不对建立企业风险管理体系承担主要责任,风险管理责任应由管理层承担。内部审计可以对企业风险管理提供建议、质询和支持,但不能设定风险容忍度、强制实行风险管理流程、对风险提供管理保证、对风险问题进行决策和对风险实施管理职责的行动。内部审计对于企业风险管理的责任应当在审计章程中写明并经审计委员会批准。此外,在实践中,应注意处理保证服务和咨询服务的关系。只要内部审计执行的任务涉及履行管理职责,就应认为与此有关领域的审计客观性受到了损害,内部审计不能就其负责协调和指导的风险管理事项提供保证服务。
三、我国企业内部审计风险管理的思考
(一)内部审计参与风险管理的具体途径 与一般的防范、控制管理部门的风险管理相比,内部审计部门所进行的风险管理,既与其有紧密的联系又有较大的区别。“紧密联系”表现在,两者的目的是统一的,都是为了降低企业的风险;区别在于它们在风险管理中的角色不同。正是由于上述的联系和区别,决定了内部审计部门的风险管理主要是履行以下再监督责任:(1)评估风险的“三性”特征。一是评估风险识别的充分性。有效的风险防范体系要求企业广泛、持续地收集与本企业风险和风险管理相关的内外部信息,包括历史数据和未来预测,以达到识别风险的目的。为了及时地获取资料,并保证资料的真实可靠,企业应当把收集初始信息的职责落实到各有关职能部门和业务单位。内部审计部门应实施相关审计程序,对企业部门和单位风险识别程序进行评价,重点关注企业面临的内外部风险是否已得到充分、适当的确认。二是评价已有风险衡量的恰当性。内部审计部门应当对已有风险衡量进行评价,并重点关注风险发生的可能性和风险对企业目标的影响程度。同时,内部审计部门应当充分了解已有风险衡量的方法,应对管理层所采用的风险评估方法的适当性和有效性进行审查。内部审计部门对管理层所采用的风险评估方法进行审查应重点考虑以下因素:已识别的风险的特征;相关历史数据的充分性与可靠性;管理层进行风险评估的技术能力;成本效益的衡量等。三是评估风险防范措施的充分性。内部审计部门应当实施适当的审计程序,对风险防范措施进行审查,内容包括:采取风险防范措施之后的剩余风险水平是否在组织可以接受的范围之内;采取的风险防范措施是否适合本组织的经营、管理特点;风险防范措施是否有效涵盖重大风险等。(2)对企业风险管理结果进行评价。根据企业外部经营环境和内部管理环节的变化,及时提出改进意见。内部审计部门对企业风险管理结果的评价内容是企业风险管理目标的完成情况,具体包括:企业阶段性风险控制目标与实际结果的相符程度,确认两者之间的重大差异,并加以分析;从上述分析的结果出发,持续评估公司既定的风险防范体系的完备性;与相关管理层定期讨论部门的目标及其存在的风险,以及管理层采取的降低风险、加强控制的措施,并评价其有效性;评价风险监控报告制度是否恰当;评价风险管理结果报告的充分眭和及时性;评价管理层对风险的分析是否有效;对管理层的自我评估进行实地观察、直接测试,检查自我评估所依据的信息是否准确;评估与风险管理有关的管理薄弱环节等。(3)将企业风险管理融入内部审计程序。在风险管理中,内部审计部门主要是对风险管理部门和其他相关部门所进行的风险管理进行再监督。因此,内部审计部门应将日常审计工作与企业的风险管理协调一致,将风险管理纳入日常审计范围。包括:在编制审计计划时,应在对企业风险进行评估的基础上,制定内部审计部门的审CtCt划,确定审计项目;确定审计范围时,要考虑企业的战略性风险计划目标,并每年对审计范围进行一次评估,以涵盖企业最新战略所面临的风险;编制审计方案时,应通过风险因素分析来确定审计业务工作重点;在审计实施过程中,应通过评价内控制度,验证风险控制的有效程度;在选择检测风险的技术与方法时,应如实反映风险的重大性与发生的可能性;在编制审计报告时,应对风险管理状况进行评价,指出风险管理中存在的漏洞和不足之处,提出加强管理的建议;在追踪审计时,应将风险确定为决定追踪审计范围的重要因素。
关键词:出口商品;质量;风险管理;模式
中国作为世界出口制造业第一大国,随着国际间贸易竞争不断加剧,出口商品对通关便利化的要求越来越高。为了在保证出口商品质量安全的同时建立高效、便捷的通关机制,质量监管部门必须创新出口商品质量风险管理机制,以出口商品质量安全信息为基础,全面掌握与出口商品质量安全相关的风险信息,开展风险分析和质量安全状况评估,落实风险管理措施,依据产品风险等级和企业诚信情况、质量保证能力实施差别化监管,扶优限劣,提高通关效率。2012年5月至2013年8月,福州出入境检验检验局选择了较具代表性的出口鞋类商品,前瞻性地开展了检验监管业务风险管理模式改革试点工作,构建了"动态监控、分级管理"的检验监管新机制,取得了良好的实效,同时也对出口法检目录调整之后的出口商品质量监管模式起到很好的参考作用。
一、实施出口商品质量风险管理的必要性
风险管理,指防范风险的管理工作,包括了风险信息采集、风险识别、风险评估、风险应对、风险监控等一系列活动。出口商品质量风险管理,就是要识别各类出口商品质量风险,对风险发生的频率和后果进行分析,寻找并引入风险控制措施,消除或者减轻因质量因素带来的潜在危害,从而实现出口商品质量的有效控制。
出口商品质量监管工作中实施风险管理,首先是当前外贸形势的要求。当前出口企业面临诸多困难:生产成本上升,国际市场需求不旺,受周边国家的价格挤压,产品单价难以提高等等,企业利润大幅下降,对产品质量不可避免地造成负面影响。与此同时,出口产品面临的国外技术壁垒却有增无减,部分发达国家对产品安全性的要求甚至到了苛刻的程度,一种产品可能涉及的危害控制项目往往多达几十种,给出口企业在质量管理方面造成很大的困扰。
其次是促进外贸持续发展的要求。国家质检总局早在2012年初就提出了深化检验监管模式改革,积极建立以风险管理为核心的出口商品检验监管机制,提高出口产品监管效率。通过深化和全面加强风险管理,促进外贸出口。
通过实施风险管理,可以提高利益相关方风险意识,有效配置和使用资源,实施主动性、前瞻性的质量管理,改善工作效率和效果;遵守国内外质量法律法规和国际规范,减少损失,为计划和决策奠定可靠的基础;提高产品质量水平,增强出口企业生存和持续发展的能力。
出口商品质量风险管理总体思路是:运用风险管理的理念,深化和全面加强风险管理,通过风险信息采集与识别、风险分析和评价,区分不同风险等级,来确定监管需求和资源配置的优先顺序。同时依托口岸电子信息化手段,有针对性地加强关键风险防控,做到"该严则严、该快则快、打劣促好",构建"动态监控、分级管理"的出口商品质量监管新机制。
二、出口商品质量风险信息的采集
风险,指在某一特定环境下,在某一特定时间段内,某种损失发生的可能性。风险是一种未来的不确定性,可能会产生严重损失、或是可容忍的损失,甚至获利。从质量的角度讲,风险与危害不同,危害是事物本身固有的属性,如有毒物质对人体、环境造成的危害等,危害是造成产品质量风险的重要原因之一,但不一定会直接导致风险。
风险信息是实施风险管理的基础,需通过各种方式、途径,全面采集出口商品质量信息,并识别出风险。
1、外部质量风险信息的采集。包括各个出口商品输往国的质量法规、标准、行为习惯,以及各种现行和即将出台的技术性贸易措施。各国对产品危害点的管制不尽相同,同一产品输往不同国家产生的质量风险也不同,如对产品中重金属铅含量的限制,欧盟国家、美国、及其他国家的控制要求各不相同。
2、产品自身质量风险信息的采集。不同产品存在不同的质量危害,由此产生的质量风险也不相同,需针对不同产品进行梳理和识别。一般而言,产品自身中存在的潜在质量风险主要包括:一是有害化学物质,如:禁用偶氮染料、邻苯二甲酸盐、富马酸二甲酯、全氟辛酸等等。二是物理安全性能,如:婴儿用品的小附件、锐利尖端和锐利边缘、绳带的缠绕,电气安全等。三是卫生性能,如霉变等。四是一般使用性能和外观要求,如:耐摩性能、拉伸强度、变形、污渍等。
3、出口商品质量风险反馈信息的采集。包括出口商品遭遇国外通报、召回信息;出口商品退运信息;遭遇消费者投诉或媒体负面的质量信息反馈;以及对出口商品实施监督抽查、专项检查的不合格结果信息等。
4、企业质量诚信信息的采集。不同企业的质量诚信和质量管理水平也会对出口商品质量风险产生不同的影响。质量文化良好、质量管理规范的企业,相对质量风险低;反之,质量风险就高一些。因此对同一产品的不同生产企业也要进行质量信息采集与风险识别,区别对待。企业质量信息点主要包括:企业的质量意识,企业在各部门、各机构的诚信记录,质量体系建立及运行的有效性,质量体系及产品认证情况,质量管理人员配置,产品检验控制,贸易信誉,过往质量记录等。
三、出口商品质量风险等级
风险发生所产生的后果,可以根据其严重程度分成不同的等级。理想化来说,所有可能产生不良后果的风险,都需要控制。但是不同风险导致的结果的不可接受程度不同,需要采取不同的防控措施对待,质量保障资源的平均分配或者动用对待关键风险的人力、财力、检测资源来控制低风险的质量项目都是不合理的。通过风险分级,有利于突出重点,节约质量成本,化解风险在可接受范围内。实际工作中根据风险后果影响程度的不同,将风险区分为关键控制风险,一般控制风险和基础性质量风险三个风险等级。
1、关键控制风险。其一旦失控,存在不可接受的质量风险,必须被总是监控。它必须是客户、消费者或者政府部门最关注的因素,对产品质量的影响是最直接的,或者说是最负面的。如输美儿童玩具中铅含量的控制,输欧真皮皮鞋中六价铬的控制等。
2、一般控制风险。其一旦失控,一般不会直接导致不可接受的质量风险。主要涉及产品一般使用性能和外观,如衣服扣子钉歪了,鞋底开胶了等等。
3、基础性质量风险。涉及企业生产规范、设施、设备保障,以及企业道德、行业自律、产品标准体系建设、检验检测认证市场规范、社会质量文化等等。这些因素对质量保障的影响是基础性的,也是降低产品质量风险的治本之举。
四、出口商品质量风险评估
1、运用风险矩阵法确定风险等级。运用风险评估技术中的风险矩阵法对各种风险进行分析和评价,确定风险的等级。具体而言,对每一种风险发生的频率(即可能性)和后果的严重程度分别进行量化的评估,计算出每一种风险的风险指数,同时将风险指数范围定义为不同的三个区间:可接受区间、检查区间和不可接受区间,分别对应风险的三个不同等级:关键控制风险,一般控制风险和基础性质量风险。某种项目风险频率级别的量化值,可以根据该项目被抽查检出的不合格比例,以及被国外通报、退运等数据的统计进行确定;风险后果的级别量化值,可以根据该项目对人体产生危害的严重程度进行区分。
2、关键控制风险的确定与动态调整。通过风险评估,可以得到某个阶段的关键控制风险。风险评估的结果不仅可以作为出口商品质量监管的重点项目,同时也可以成为相关生产企业和贸易商的重点质量保证项目,引导生产企业主动在设计、原辅材料采购和生产过程中对这些项目进行控制。同样的方法也可以对不同行业、不同商品、不同企业、不同目的国,甚至不同环节发生的质量风险进行风险等级的判定,从而确定关键控制风险。
风险评估过程是动态的,开放性的,当遇有国外相关法律法规、强制性技术规范、标准、风险预警信息、国外通报情况、监督抽查检测不合格情况、生产条件,及其他影响风险分析、评价的因素发生重大变化时,须及时或定期重新进行风险评估,对关键控制风险进行动态调整。
五、出口商品质量风险应对
重点针对关键控制风险,加强质量监管,提高质量风险防控措施的针对性和有效性,合理配置行政和企业资源。
1、强化关键控制风险监管。对涉及关键控制风险的出口商品加强审核、查验、检测、监控,介入点可以是口岸查验,生产环节的企业合格评定等。如果出现行业性、区域性严重质量风险时,可以采取必要的临时性措施,如提高市场准入门槛等,严格控制质量风险。另外,针对特殊商品的质量安全监管,如出口危险化学品、高风险玩具和稀土等特殊商品,应制定明确的法律法规、制度,完善监管流程,确保质量安全。
2、提供针对性的技术支持与服务。加大服务企业的精准度,相关风险项目的技术指导,包括质量控制方法,生产规范,原材料选择等,提供免费的技术培训和咨询服务,帮助企业了解、掌握、有效应对国外技术性贸易措施,化解质量风险。
3、突出企业责任,树立风险意识。通过对出口企业广泛、深入、细致的宣传培训,牢固树立企业的质量主体意识,不断提高企业的质量风险意识。鼓励企业开展产品风险分析,源头质量检测,和生产过程的自检,提高风险防控能力。同时引导企业开展首件产品确认,并争取客户的有效确认。
4、强化执法,维护市场秩序。任何质量风险的控制都需要质量成本的付出做支撑,并在产品的价格上反映出来。必须通过畅通投诉、举报渠道,开展通报退运后续调查、监督抽查、专项检查等方法手段,打击出口假冒伪劣商品,净化市场环境,引导市场走出低价劣质无序竞争的困境。
六、出口商品质量风险管理改革成效
通过出口商品质量风险管理模式改革的实践,验证了关键风险控制理论的可行性,取得了良好的实际运行效果。
1、产品整体质量水平不断提高。企业对产品风险控制的意识和能力显著提升,促进了出口商品质量的持续提高。虽然监管部门的总体抽检批减少了,但检验针对性提高,有效拦截了不合格商品的出口;同时企业对其产品质量风险点能否进行有效控制决定了其产品通关速度和通关成本,管理的差异化有助于促进一批优质企业转型升级,实现了"促好促快"的良性循环。
2、提高了质量监管工作有效性和针对性。改变以往"一刀切"式的、无差别的按比例随机抽检的方式,通过高风险关键控制点布控拦截,增强现场施检的针对性。统计数据显示,针对风险点的抽检批占总抽检批的三分之二,集中了有限的检力资源管住管好了该管的,凸显了检验的有效性。
3、提升了电子信息化技术应用水平。促进了电子信息化技术在出口商品质量管理中的进一步优化、完善,实现了高风险项目的严密布控、一般风险产品的快速放行和风险信息日常电子化管理。
参考文献:
[1] 国际标准化组织合格评定委员会 产品监管和市场监督的原则与实践 良好实践指南 2012
[2] 马文拉桑德著,刘一骝译 风险评估理论方法与应用 清华大学出版社 2013.6
[3] GB/T27921-2011 风险管理 风险评估技术
风险导向审计是指通过审计风险模型展开的审计工作,其主要目的是从财务管理战略层面来规避重大风险,适用于财务审计的整个流程,同时,“传统风险导向审计”的实践机制本身就是源于企业组织财务报告存在的重大风险缺陷,这意味着这一工作的理论是建立在内部控制基础上的,即“审计风险”不可忽视企业组织内部的风险因素,包括企业经营范围、工作人员品质、主要业务性质等,但却忽视了外部环境;随着我国市场经济体制的不断完善,风险导向审计不能仅局限于理论研究,更应该落实到具体审计对象、过程中去,从而提升财务决算审计的质量。 一、风险导向审计概述“风险导向审计”模式的出现与现代社会审计环境剧变存在密切关系,全球经济一体化、互联网经济崛起、信息技术等对传统企业经营产生了颠覆性影响,也不断地导致企业组织形式、经营模式、会计准则等发生嬗变,企业之间的单一联系,逐渐被市场主体多元化打破,由此产生的业务和财务合作变得更加复杂,客观上,可能产生的财务风险机率增加,如财务报告舞弊现象。同时,“风险导向审计”在广义上包括“传统”和“现代”两个定义范畴,其特征区别在于:(1 )前者注重审计测试,而后者注重风险评估;(2)风险评估从直接类型转变为间接类型;(3)后者更加重视对信息的加工处理,实现以分析性复核为中心的态势;(4)风险评估模式逐渐由零散走向结构化,从统一标准化买入个性针对化。
结合一般企业组织的特点,在进行财务决算的过程中,通常会把范围限定为基础建设业务、货币资金业务、收入核算业务、项目研发业务、物资采购与支付业务、物流与仓储业务、其他投资业务等七个方面。相应的,确定风险的层级主要有三类,分别包括错报风险、特殊风险和过程风险,每一种风险对应的风险要素不同,因此风险导向审计本身就是一个针对性概念,事先必须了解不同风险类型的容纳体系,以及不同风险因素的权重大小。二、风险导向审计在财务决算审计领域的价值改革开放至今我国经济建设取得了巨大的成就,而市场经济体制的改革和完善过程中,也出现了大量的经济问题。尤其近年来,国内外不断出现审计失败事件,对国民经济的健康发展产生大量不良影响,也导致传统风险导向审计缺陷显露出来。一方面,我国企业组织中传统风险导向审计的模型设计存在缺陷,而依据审计模型展开的审计工作,包括控制风险、固有风险、审计风险等在内,往往表现出较强的“主观性”,审计结论也停留在“基本可信”的程度。另一方面,传统风险导向审计往往采用“实用主义”、“简化主义”的观点,暴露了其审计不符合系统理论的特征,缺乏对企业之间、内外环境之间联系的关注,由此导致“一叶障目”的问题。此外,我国企业组织所采取的传统风险导向审计中容易忽视资源分配集约性问题,由于它是一种“自上而下”的审计形式,设计中会全面考虑可能性,从而导致审计资源配置“面面俱到”,从而造成严重的浪费。基于此,“风险导向审计”在财务决算审计领域的价值如下。第一,满足内部审计转型需求、降低企业组织审计风险。基于现代企业组织内部的审计提出从“账目审计”向“风险审计”的转变诉求,结合风险评估的成果,可以集中力量实现重大风险制定审计的工作规划,以及确定相关审计内容实施的要点;同时,由于风险导向审计本身是围绕着预期目标展开的,那么以此为依据圈定的审计范围也更加能够突出企业业务特征,在分析风险成因、影响、规避措施等方面体现出针对性。
第二,符合财务决算过程中高风险特征的规避需求。客观上,财务决算审计离不开大量数据报表的审查工作,而立足企业经营状况而言,审计者必须对企业组织全年的经营情况有详细的了解,由此就产生了时间和效率的矛盾。由于财务决算审计往往发生在年底或项目结束后的一个短周期内,为了达成任务,就只能采取审计抽样的方法,因此财务决算审计本身就具有很高的风险;结合风险导向审计的特征,可以将审计集中到重点项目或财务活动上,从而实现高风险的可控性。比如说,审计人员重点关注某一个周期内的财务情况,或较为容易出现风险的业务环节。第三,有效提高财务决算审计效率。“十三五”期间,我国已经成长为世界第二大经济体,企业作为市场经济的参与主体,其成长速度也是不容小觑的。但企业的快速发展存在制度更新滞后的制约,对于内部审计的需求也不断提高,由此又产生了资源矛盾。即企业组织内部可分配的审计资源是有限的,即便在领导层重点关注下,也会存在单一审计项目中的资源缺失,特别是“财务决算审计”这样在短时间内需要解决大量数据报表的工作,所以实践中为了提升效率,就要做到有选择性的审计,尽可能挑选审计价值高的项目(即高风险项目),突出重点内容和要素。三、风险导向审计在财务决算审计领域的应用策略第一,审计目标。审计是一种评价,“财务决算审计”则是对会计财务报表合法性、合理性的一种意见提交,明确审计目标是一个前提条件,也是风险导向审计挖掘重点的依据。具体的判断内容包括会计报表的余额是否合理,是否包括了全部经济业务金额,是否存在遗漏或隐瞒等。第二,风险识别。财务决算审计风险能否识别,很大程度上依赖对被审计项目整体情况的了解,如被审计单位的属性,这是最重要的一个定性要求。如果没有对被审计单位的性质进行确认,那么以查阅方式来了解以往审计报告、资料的做法也就没有意义,它并不能实现该单位在当前社会形态下的因素结合,如经济制度、政策法规等。第三,风险评估。在完成“风险识别”之后,可按照财务决算风险发生的可能性、发生后的影响程度等进行风险评估,其中,风险发生的可能性判断依赖风险存在证据的多少,风险影响的判断则涉及财务报表的合法性、合理性,需要通过量化对比的方式实现。
第四,审计重点。很显然,在审计人员获得了风险评估的结果之后,也就相当于获得了财务决算审计的重点内容,以此为依据进行确认,有利于设计针对性的解决措施,排除小概率风险,满足审计重点得以突出的需求。第五,审计规划。财务决算审计工作的规划主要包括了实施流程、资源分配、人员协调、部门配合等,特别在人员和资源上,考虑到审计组织往往是临时建立的,实际工作中存在一定的隔阂和不足,这需要在审计规划中提前准备。
四、结束语积极开展风险导向审计工作是现代化企业组织内部审计的发展趋势,它不仅有利于提高审计效率和质量,同时也强化了企业组织的财务安全,有效降低审计自身的风险机率。我国社会中的风险导向审计应用仍处于起步阶段,尤其是在大量中小企业中,内部审计并没有从传统模式中跨越出来,或者用到了些许风险导向审计的方法,因此,还有待于进一步推动和完善。
