時間:2023-06-11 09:32:28
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇風險評價的定義,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
【摘要】文章從內部控制與風險管理之間的內在關系入手,探討了內部審計與風險管理中的互動關系和目標上的一致性。指出內部審計在企業風險管理中的角色是監督者,并提供保證和咨詢服務。
【關鍵詞】內部審計;風險管理;角色定位
自20世紀90年代起,西方許多大型企業內部審計部門開始對企業的風險管理進行評估與監督,以實現企業經營目標的安全性、效率性和效果性。縱觀近十幾年的發展歷程可發現,兩者之間互相融合,存在著密不可分的關系。
一、二者互動交融關系形成的現實背景
當今世界,風險無時不在、無處不在,隨著時代的發展,企業所面臨的風險變得廣泛而復雜。企業必須謹慎地識別各種潛在風險,加強風險管理,并在風險管理方案的制定、執行、評估與監督等方面進行合理分工,以保證風險管理的效率。而在整個風險管理過程中又必然涉及多個部門的溝通和協調,這就需要一個超然、獨立的組織機構予以保障。內部審計部門在企業中的超然地位以及獨立評估和監督的特殊職能,正好滿足了這一要求。因此,企業風險管理必然要將內部審計納入自身體系。
隨著企業所面臨風險的增加,風險管理成為了企業管理的核心。由此,內部審計也借機及時進行了自身的重新定位,改變了過去只是作為企業財務監督者的定位,將自身的目標確定為向企業提供保證和咨詢服務,評估和改善風險管理、控制和治理程序。這樣,企業風險管理和內部審計兩者各自不同的發展路線逐漸接近并找到了交點。
二、內部審計與風險管理的互動關系
(一)內部審計定義中包含有風險管理的內容
內部審計從產生到現在已經歷了幾個世紀,每個時期內部審計的概念都有不同的內涵和外延。國際上,內部審計已有7次定義,至今仍在不斷變化,內部審計定義的發展在內部審計史上具有重要意義。
風險管理改變著內部審計的定義,也就同時改變了內部審計的職能和在企業中的價值。1993年版《標準》的序言中對內部審計的表述是:在一個企業內部建立的一種獨立的評價活動,并作為對該企業的控制及經營活動進行審查和評價的一種服務。而2001年版對內部審計是如下表述的:內部審計是采用一種系統化、規范化的方法來對機構的風險管理、控制及監督過程進行評價進而提高它們的效率,幫助機構實現目標。這個定義與1993年的定義相比較最明顯的變化在于將內部審計的范圍延伸到風險管理,比舊定義中提及的控制及經營活動要更為廣泛和深入。只有在風險管理框架中實施的內部審計才能稱之為風險管理審計。顯然,將“評價和改善風險管理”作為內部審計的重要工作領域,是內部審計的新發展,擴大了內部審計的領域,拓展了內部審計的廣度和深度,對內部審計的重新定位,修訂內部審計準則,重整內部審計流程,提高審計服務質量等提出了較高的要求。
(二)風險管理賦予了內部審計在企業中新的地位和作用
為了在企業中擔當更重要的角色和發揮更重要的作用,內部審計總是在不斷尋找新的對企業十分重要的領域。風險的廣泛存在,使企業經理人員對風險空前重視,為內部審計發展提供了一個絕好的機會。內部審計對風險管理的介入,將會使內部審計在企業中成為一個極其重要的角色,并將其在企業中的作用推向一個新高度。正因如此,內部審計師的職業組織——國際內部審計師協會才不遺余力地倡導內部審計師進軍這一領域,把風險管理作為內部審計的重要領域直接寫入了內部審計的定義。
三、內部審計與風險管理目標上的一致性
風險管理的定義指出:“企業風險管理是一個由企業的董事會、管理層和其他員工共同參與的,應用于企業戰略制定和企業內部各個層次和部門的,用于識別可能對企業造成潛在影響的事項并在其風險偏好范圍內管理風險的,為企業目標的實現提供合理保證的過程。”風險管理就是通過對面臨的各種風險的認識、估測、評價,準確把握各種不確定性,采取恰當的內部方法,以便用最低的成本獲得最高的安全保障,將損失降至最低水平。風險管理通過測試、評價和控制風險因素來降低風險事件發生的概率和造成的損失,直接服務于實現企業目標。21寫作秘書網
而在內部審計新定義中,已明確指出內部審計的目的是為機構增加價值并提高機構的運營效率。IIA在2001年修訂的《內部審計實務標準》中,對“增加價值”一詞作了如下解釋:“機構的設立,是為了其所有者、其他利益方、顧客和客戶創造價值和謀取利益……內部審計是在收集資料、認識并評價風險的過程中,對經營與改良時機產生了深刻的見解,這些見解可能會對機構帶來諸多利益。這些有價值的信息可以咨詢、建議、書面報告或通過其他產品的形式呈現出來,所有這些得傳達給相應的經營管理人員。”根據這一解釋,增加價值的目標應由企業的各個職能部門來共同完成,而內部審計部門作為企業的職能部門之一,也應該努力增加企業的價值;同時,內部審計部門經過收集資料、識別并評價風險的過程之后,對企業管理層及其他職能部門的見解更為深刻,而且這些見解是富有價值的,而企業管理者采納、利用這些有價值的信息后,一方面可以借此消除各種減值因素,包括風險因素、控制漏洞、治理缺陷等;另一方面可以將這些有價值的信息應用于經營管理活動,從而達到使企業增值的目的。從這個意義上來說,風險管理與內部審計在其目標上是相一致的。
上述種種使企業風險管理與內部審計逐漸形成了你中有我、我中有你、相互依存、聯動發展的緊密關系。眾多企業在制定本企業風險管理方案時,將內部審計列為風險管理的一道重要防線,由內部審計對整個風險管理流程進行評估和監控;有的企業還特意安排內部審計直接參與風險管理方案的制定和執行全過程,以發揮內部審計在風險管理中的突出作用。與此同時,內部審計也將風險管理作為“為組織增加價值”的重要手段。
四、內部審計在風險管理中的角色定位
COSO在《企業風險管理——整合框架》中的“職能和責任”章節,闡明各管理層在全面風險管理中的地位和職責,并指出組織里的每個人對全面風險管理都有責任。首席執行官承擔最終責任,其他管理人員支持全面風險管理的理念,促使組織在風險容量內經營,并在各自負責的領域里負責將風險降低到相應的風險容忍度內。首席風險官、首席財務官、內部審計及其他人員通常承擔關鍵的支持性責任。組織的其他人員負責按照制定的指令和協議執行全面風險管理。這明確表明,內部審計對全面風險管理的建立并沒有基本責任,這是高級管理層的責任。內部審計人員的重要角色是,幫助管理層和審計委員會監督、檢查、評估、報告、建議全面風險管理過程的充分性和有效性。
IIA2001年頒布的內部審計實務準則,其實務公告——“內部審計在風險管理中的作用”指出,風險管理是管理人員的關鍵職責,內部審計人員應該通過檢查、評價、報告風險管理過程的充分性和有效性并提出改進建議來協助管理人員和審計委員會的工作。管理層和委員會負責機構的風險管理和控制過程,以咨詢顧問身份開展工作的內部審計人員可以協助機構確定、評價并實施針對風險的管理方法和控制措施。
在充分考慮內部審計的獨立性與客觀性的基礎上,結合相關法規、報告的觀點,可以看出:對整個組織的可持續發展能力,對所有者、利益相關人、監管機構和普通公眾負責的是企業管理層,內部審計人員應立足于協助、幫助管理層和審計委員會履行風險管理的職責,主要職責是對整個風險管理過程進行評價,認定并評價管理的充分性與有效性,向管理層和審計委員會報告情況并提出改進管理的建議,以此保證風險管理的有效性。因此,內部審計在企業風險管理框架中首要的角色是監督者,包括對風險管理流程的評估和保證服務、對風險評估準確性的保證服務、對關鍵風險報告的評估和對關鍵風險管理的評估。按IIA的標準,內部審計的服務種類可以劃分為保證服務和咨詢服務,前者是一種獨立評價的活動,后者是提供建議及咨詢的活動。在企業風險管理中,內部審計的本質特征并不發生改變,因而它可以擔任的角色也是基于這兩種服務衍生而來的。除了作為監督者所提供的保證服務外,內部審計還可提供咨詢服務,包括促進對風險的識別和評估、指導和協調風險管理活動、加強對風險的報告、保持和發展風險管理框架、支持建立風險管理、參與制定風險管理戰略等。與此相適應,內部審計承擔了咨詢者、協調者、建議者的角色。
【參考文獻】
[1]劉德運.內部審計原理與技術[M].北京:中國經濟出版社,2006(6):25.
【關鍵詞】環境風險;環境風險評價
一、背景
環境風險是指在自然環境中產生的或通過自然傳遞的,對人類健康和幸福產生不利影響同時又具有某些不確定性的危害事件。由于環境風險區別于傳統環境問題,具有巨大的不確定性,逐漸發展出一種新的針對環境風險的環境風險評價制度。環境風險評價是指由一定的機關或組織,對具有不確定性的環境風險可能對人體健康、生態安全等造成的環境后果進行識別、度量、評估的過程或環境管理活動。
從20世紀90年代開始,我國的一些法律規范中提出了環境風險評價的內容。1993年,國家環保局頒布的《環境影響評價技術導則》規定:對于風險事故,在有必要也有條件時,應進行建設項目的環境風險評價或環境風險分析。同年的《基因工程安全管理辦法》要求對基因技術進行安全評價。1996年,《農業生物基因工程安全管理實施辦法》對農業轉基因生物安全評價作了規定。2001年,《職業安全健康管理體系指導意見》對職業安全評價作出規定。2004年的《建設項目環境風險評價技術導則》明確指出:將建設項目環境風險評價納入環境影響評價管理范疇。2011年公布的《外來物種環境風險評估技術導則》規定了外來物種環境風險評估的原則、內容、工作程序、方法和要求。2015年,環保部批準《尾礦庫環境風險評估技術導則(試行)》,要求對運行期間的尾礦庫進行環境風險評估。2014年修訂的新環保法第39條規定“國家建立、健全環境與健康監測、調查和風險評估制度”,雖然只是國家建立、健全相關制度的義務的概括規定,但同時也使得環境健康風險評價制度第一次進入環保基本法。
二、從一個實踐案例看我國環境風險評價制度的實施
(一)湖北榮成紙業有限公司熱電聯產工程簡介
湖北榮成紙業有限公司擬建設一座熱電聯產中心,為公司生產和和臨港工業園區企業供熱,于2015年6月初通過環評。環評報告的環境風險評價包括五個部分。第1部分為環境風險評價的目的:分析和預測建設項目存在的潛在危險、有害因素、建設項目建設和運行期間可能發生的突發性事件或事故(一般不包括人為破壞及自然災害),引起有毒有害和易燃易爆等物質泄漏,所造成的人身安全與環境影響和損害程度,提出合理可行的防范、應急與減緩措施,以使建設項目事故率、損失和環境影響達到可接受水平。
第2部分為環境風險評價程序圖,主要包括風險識別、源項分析、后果計算、風險評價、風險可接受水平、風險管理、應急措施預案。第3部分為環境風險評價,報告指出,擬建工程環境風險主要包括:原煤堆場火災風險事故、燃料油火災爆炸、氨水罐泄露、粉塵爆炸、鍋爐故障導致二f英增加外排。以事故發生原因為基礎,將項目環境風險分為火災爆炸、不可抗力、設備故障和人員管理四類。根據相關規定確定項目環境風險評價工作等級為二級。對項目的主要環境風險進行分析,主要對每類風險的發生原因進行了介紹,僅對二f英的事故排放可能對人體健康造成的影響進行了簡要介紹。第4部分圍繞原煤堆場火災、油庫、氨水罐、粉塵、鍋爐、事故池、事故廢水處理規定了環境風險事故防范措施。第5部分事故應急反映方案規定了預案的啟動、職責與任務、現場警戒與疏散措施、事故上報程序與內容和善后處理。
另外,根據相關規定,建設項目環境風險評價是作為環境影響評價的一部分而存在的,所以環境風險評價部分沒有獨立的公眾參與部分,項目環評的公眾參與主要包括兩種方式,一是媒體公示即兩次在湖北省環保廳網站上進行了項目公示;二是公眾參與調查表,對松滋市陳店鎮全心村的83位居民和附近的3家單位進行了問卷調查。公眾參與的結果顯示,當地公眾對建設項目的了解程度一般,部分人擔心項目的運行會對生活環境和身體健康造成不利影響,大部分人認為該項目可以帶動當地經濟的發展,解決當地農民的就業問題,被調查者全部支持該項目的建設,無人反對該項目的建設。
(二)分析
從上文介紹的環境風險評價實例可以看出:1、我國建設項目環境風險評價將環境風險僅僅簡要的分為火災、爆炸和泄露三類,并局限在項目的突發性事件或事故可能造成的環境風險,并不對項目正常工作過程中的環境風險進行考量;2、環境影響評價對可能造成的人體健康和生態系統的不利影響的闡述不充分,從而環境影響評價的結論即風險是否達到可接受水平讓人產生不信任感;3、環境風險評價的過程缺乏互動,不能體現評價結論對項目實施方案的具體影響,公眾參與形式化、途徑單一,公眾意見對項目實施缺乏影響力;4、環境風險評價中僅規定了一些事前的預防措施,缺乏事中和事后監督和必要措施。
三、美國環境健康風險管理框架及其啟示
(一)美國環境健康風險管理框架的基本內容
環境風險管理框架已成為國際上環境風險評價制度的發展趨勢,在眾多已制定的環境風險管理框架中,美國總統/國會風險評價和風險管理委員會的《環境健康風險管理框架》(1997)是最具影響力的框架,為多國制定框架時參考和借鑒。在1990年的清潔空氣法修正案中,國會要求組成一個風險評價與風險管理委員會,委員會認為,應改變傳統評價與降低風險的方法,以降低風險和改善健康狀況為總體目標。委員會希望框架指導公共部門和私營機構有價值的資源投資在研究、評估、表征和降低風險中。
框架包括六個階段:
1.定義問題并把它放在背景下
對科學的風險管理決策而言,首先需要正確界定問題。通過在復雜背景中識別和表征環境健康風險問題并描述它的特征,仔細考慮問題的背景,確定風險管理的目標和有權或有責任采取行動的風險管理者,并讓利益相關者參與到過程中。
2.聯系問題背景分析風險
闡明問題引起的事實和科學基礎,在數量和質量上處理健康和生態風險,描述負面影響的特性、嚴重性、可逆性或可預防性。把問題引起的風險放在多源頭、多媒介、多種化學物質和多風險背景下。了解利益相關者對問題引起的風險的認識。把問題引起的科學和背景方面的信息結合成問題對人類健康或環境產生的風險進行定性,同時考慮利益相關者的認識和其他社會文化的影響。
3.檢查處理風險的選擇
這一階段包括確定可能的風險管理選擇,評價選擇的效果、可行性、成本收益、非計劃中的結果和文化社會影響。這個過程可以在界定問題和考慮背景之后任何合適的時間開始。風險管理者和利益相關者獲取了關于可行性、成本與效益分析和減少暴露、降低風險對改善人類和生態健康的貢獻的正確評價之后,風險管理目標可能會被重新定義。利益相關者在確定和分析選擇階段發揮重要作用。
4.做出實施何種選擇的決策
在框架的這一階段,決策者基于最佳可得科學、經濟和其它技術信息,確保決策考慮了問題的多種來源、多種媒介、多種化學物質、多種風險背景,做出符合成本收益具有可行性的風險管理選擇。另外,優先預防風險,而不僅僅是控制風險,可能的話,使用命令―控制管理的替代性方案。一個富有成效的利益相關者參與過程可以對決策產生重要指引作用。
5.采取行動來實施決策
傳統上,一直是管理機構的要求推動實施,工廠和市政當局通常是實施者。然而,當其他的利益相關者也能扮演重要角色時,成功的可能性會顯著提高。利益相關者可能會包括:公共健康機構、其他公共機構、社區團體、市民、工廠、人和技術專家等。
6.對行動作出評價
在風險管理的這個階段,決策者和利益相關者評價實施的風險行動以及它們的效果。評價工具包括環境健康監測、研究、疾病監管、成本收益分析和與利益相關者的討論。在大多數情形,應定期評價。就像風險管理過程其他的階段,利益相關者參與會讓評價更有益。另外,評價中可能出現新信息,評價對了解框架的哪一部分需要被重復非常重要。
(二)美國環境健康風險管理框架的主要特點與啟示
1.在更廣泛的背景下定義風險
一個風險問題的背景的全面理解對于有效進行風險管理是非常有必要的,因為問題狹窄的背景無法反映風險情況的真實復雜性,造成風險管理決策和行動相比不是很有成效。
2.基于科學信息和最佳判斷進行風險評價
風險評估者尊重在缺乏充分數據的情況下得到結論時風險和程序的客觀科學基礎非常重要。風險評估者應該向風險管理者和其他利益相關者提供看起來合理的,含有支撐不確定性和供選觀點的具有證明力的評估,從而可以在可得信息的基礎上作出風險結論。
3.利益相關者全過程參與
整個風險管理過程的利益相關方參與被認為是至關重要的。通過全過程參與,不同利益相關方全面溝通與合作,最終平衡各方的意見和觀點以做出體現公眾價值觀的風險決策。
4.重復和評估
公眾評論、協商、信息收集、研究或風險與選擇的分析可能澄清或重新定義問題,使重心改變到一個不同的問題上,由于重要的新信息、觀點和看法出現,風險管理過程會靈活而經常重復。評估對充分地履行職責和理智地利用稀缺資源至關重要。
四、完善建議
(一)在更廣泛的背景下定義環境風險
當前我國環境風險評價制度的規定主要集中在建設項目、外來物種、尾礦庫、基因工程和職業安全領域。其中,建設項目環境風險評價僅適用于涉及有毒有害和易燃易爆物質的項目,排除了有巨大環境風險的核建設項目,而且因為它是以環境風險事故的防范為導向,導致它對環境風險的定義過于狹窄,僅對突發性事件或事故引起的有毒有害、易燃易爆等物質泄漏進行風險評價,排除了非事故情形下,項目正常運營下可能產生的環境風險。《尾礦庫環境風險評估技術導則(試行)》適用于運行期間的尾礦庫,不適用于貯存放射性尾礦、伴有放射性尾礦的尾礦庫環境風險評估,同建設項目環境風險評價,它也只考量尾礦庫可能引發突發環境事件的危險因素。《外來物種環境風險評估技術導則》主要適用于規劃和建設項目可能導致的外來物種造成的生態危害的評估。《基因工程安全管理辦法》和《職業安全健康管理體系指導意見》分別對遺傳工程產品和職業安全風險評估進行了初略的要求性規定。整體來說,從我國環境風險評價的各個分散規定可以看出,我國環境風險的范圍相對狹窄,而且一般孤立地考慮單一的化學物質在單一的環境媒介中引起的單一風險進行評價,從而也限制了我國全面、綜合的環境風險評價。應改變以事故為導向的環境風險定義,逐步擴大我國環境風險評價范圍,在更廣泛的公共健康和生態背景下進行環境風險評價。
(二)明確環境風險評價的目標
環境風險評價的目標不應停留在防范風險層面上,而應進一步把環境風險評價的目標明確為保障人體健康和生態健康。防范風險雖然是環境風險評價的直觀起點,但忽視人體健康和生態健康目標的環境風險評價是有違環境保護的根本宗旨的。實踐中的環境風險評價正是因為缺乏對人體健康和生態健康的要求而導致實施的結果難以讓人滿意。為了配套環境風險評價保障人體健康和生態健康的目標,國家應積極開展環境健康與環境生態監測、調查與研究,為環境風險評價提供科學和數據支撐。
(三)保障利益相關方的參與
我國現有的利益相關者參與主要在建設項目(包括尾礦庫)環境風險評價中得到一定的保障,因為環評對公眾參與的要求,公眾在其中可有享有一定的環境知情權、發表環境意見權和環境監督權等,但是,在實踐中利益相關方的參與有走過場的傾向,處于弱勢的利益相關方的環境知情權常常受到侵害,意見不能被充分的考慮,對環境風險評價的進程與結論不能產生實質影響。在外來物種、基因工程和職業安全領域,沒有要求利益相關方的參與,利益相關方的環境知情權也難以得到保障。環境風險是一個多維的概念,還必須包括受影響方的觀點。環境風險評價只有兼顧各方觀點和需求,考慮不同群體的價值觀、知識和認知,才能做出更好的風險管理決策,而在決策行動的過程中也不易受到利益相關者的反對和抵觸。
(四)構建適合我國的環境風險管理框架和方法
[關鍵詞] 審計風險 內部控制 控制措施
近些年隨著國內經濟的快速發展,審計環境面臨著較大的變化,同時也不斷涌現出新的現象,而這些新事物的出現勢必會增加審計的難度。所以我們有必要對審計風險進行再研究,不斷加強企業的內部控制建設,以便于將審計風險控制在可以接受的程度。
一、審計風險、內部控制、審計控制風險定義
1、審計風險的定義
我國《獨立審計具體準則第9號―內部控制與審計風險》將審計風險定義為:會計報表中存在重大錯報或漏報,注冊會計師審計后發表不恰當審計意見的可能性。而審計風險又由兩方面風險構成:一方面是審計人員認為會計報表公允可以接受,但實際上會計報表卻存在重大錯報的風險;另一方面是審計人員認為會計報表存在重大錯報而不能接受,但實際上是公允的風險。審計風險的產生既有注冊會計師自身的主觀原因,也存在審計方法的客觀原因。因此,控制審計風險必須從注冊會計師內部和其外部著手,并將兩者有機地結合起來進行,才能取得良好的效果。
2、內部控制的定義
《獨立審計具體準則第9號―內部控制與審計風險》將內部控制定義為:被審單位為了保證業務活動的有效進行,保護資產的安全和完整,防止、發現、糾正錯誤與舞弊,保證會計資料的真實、合法、完整而制定和實施的政策與程序。
3、審計控制風險的定義
審計控制風險是指被審計單位的業務和相應的會計處理發生重大錯弊不能被內部控制防止和糾正的可能性。被審計單位建立內部控制的主要目的之一就是要防止錯誤和舞弊。如果被審計單位的內部控制制度存在重要的缺陷或者不能有效地工作,那么錯誤和舞弊就會進入被審計單位的財務報表系統,由此產生了控制風險。
二、審計風險的防范與控制措施
1、加強審計隊伍建設,提高審計人員素質
審計風險的高低,在很大程度上都取決于審計人員個人素質的高低,因此審計人員應當強化風險意識,堅持實事求是,客觀公正,并樹立嚴謹踏實的工作作風,認真負責的對待每一項審計業務,嚴格按照獨立審計準則進行審計,以確保審計質量,降低審計風險。加強基礎建設,打造管理型、復合型的審計隊伍,建立健全各項規章制度,抓好審計人員學習、培訓工作,提高審計人員的實際應用能力,拓寬視野,更新知識面,掌握新業務的要點和風險點,提高工作效率。同時,加強理論與實踐相結合,積極開展各項調研工作,為內控工作的開展奠定理論基礎。
2、加強內部控制審計
內部控制審計的目的是合理地保證企業遵守國家有關法律法規和企業內部規章制度;信息的真實、可靠;資產的安全、完整;經濟有效的使用資源,提高經濟效率和經營效果等目標。由于被審計單位的內部控制制度存在一定的缺陷,所以被審計單位應從加強經濟業務管理、內部控制制度與內部激勵制度相結合、建立和完善內部控制評價體系三個方面完善內部控制制度,確保其經濟活動經濟資料合法性合理性。會計電算化與它的內部控制系統是相互作用和相互影響的。審計人員應選擇適當的評價標準,實施適當的審查程序,以評價被審計單位的控制環境;評價企業風險管理機制的健全性和有效性;評價控制活動的適當性、合法性、有效性,控制活動對風險的識別和規避;評價企業獲取及處理信息的能力,信息傳遞渠道的便捷與暢通,管理信息系統的安全可靠性。內部審計人員可以采用文字描述、調查問卷、流程圖等方法對內部控制進行描述和評價。內部審計人員應向企業的管理層報告內部控制的審計結果。審計報告應說明審查和評價內部控制的目的、范圍、審計結論、審計決定及對改善內部控制的建議。
3、創新內部審計
隨著現代企業制度的完善,以“查錯糾弊,堵塞漏洞”為主要目標的傳統內部審計,已遠遠不能適應現代經濟體制的要求。在審計思路上,要努力實現由傳統內部審計向現代內部審計的轉變,從事后審計向事前事中審計轉變;在審計模式上,應探索構建從風險分析入手確定審計目標、范圍和程序,以監督和評價財務狀況、經營成果以及風險管理、內部控制和公司治理能力為審計成果,從以財務收支為主的審計,向以管理信息化和計算機審計為技術支撐的效益審計、管理審計轉變;在審計目的上,從重視審計的獨立性、權威性和強調審計監督,轉為強調審計為企業服務,幫助企業實現其目標;在審計內容上,由財務控制向業務控制和信息系統轉變,以審計經營活動為起點,以審計內部控制為主線,以審計會計核算、財務表現為終點,全面覆蓋企業營運活動;在審計行為上,從不規范的隨意性,向規范化、系統化和科學化方向轉變。
4、內部審計要外部化
內審外部化是指審計業務由企業外部的民間審計組織全部或部分承擔,主要有外包與合作兩種形式。前者指企業將其內部審計工作全部或大部分外包給外部審計組織,后者指企業在開展內部審計工作時,根據需要借助外部審計力量,共同完成內部審計工作。內部審計外部化具有一系列優點,可以提高內部審計的獨立性。外部審計工作一般都是由注冊會計師領導完成,它們獨立于企業的所有者和經營者,有一套保證審計準則受到遵循的機制,從而能夠客觀公正地對企業的財務狀況進行審計并報告審計結果。同時,還為企業降低成本,因具有比較高的專業化程度,擁有豐富的經驗和廣闊的知識,可以提高和穩定審計質量。
5、健全組織結構,授權明確
組織結構的好壞直接關系著審計客體的生存,也影響著審汁風險的高低。組織結構中的各個機構、部門都各有自己的職責,明確授權與責任的關系,采取必要的步驟,保證內部控制的有效性,從而降低審計風險。
三、結語
本文將財務危機預警系統作為企業公司治理的一個重要部分,從財務危機的定義入手,.剖析了我國企業公司財務預警系統存在的問題并提出了改進建議。
【關鍵詞】
財務危機 財務危機預警系統
一、財務危機及財務危機預警系統概述
(一)財務危機
“財務危機”(Financial crisis)又稱“財務困境”(Financial distress)或“財務失敗”(Financial failure)。國外學者對之有不同的定義。比弗(Beaver)將破產、拖欠股利、拖欠債務界定為財務危機。奧特曼(Altman)將財務危機定義為“企業進入法定破產”。羅斯(Ross)等則認為可以從四個方面來定義企業的財務危機:第一,企業財務失敗,即企業清算后任無法支付債權人的債務;第二,法定破產,即企業或債權人向法院申請破產;第三,技術破產,即企業無法履行債務合約付息還本;第四,會計破產,即企業的賬面資產出現負數,資不抵債。從定義上來看,他們沒有本質上的區別,都集中關注企業的資不抵債,都是從現金流,而不是會計流的角度來下定義的,差別只在于是否將違約視為陷入財務困境的標志,在實際研究中經常混用。
(二)財務危機預警系統
目前,我國理論界對財務危機預警系統的定義尚屬探討階段,主要有三種代表性觀點。第一種觀點認為:財務危機預警系統是以企業財務信息數據為基礎,以財務指標體系為中心,通過對財務指標綜合分析,及時反映企業經營情況和財務狀況的變化,并對企業各環節發生或將可能發生的經營風險發出預警信號,為管理當局提供決策依據的監控系統。
另一種觀點認為:財務危機預警系統是以企業信息化為基礎,對企業在經營管理活動中的潛在風險進行實時監控的系統。 此外,還有一種觀點認為:財務危機預警系統就是通過對企業財務報表及相關經營資料的分析,利用及時的財務數據和相應的數據化管理方式,將企業所面臨的危機情況預先告知企業經營者或其他利益相關者或是其他利益關系人,并分析企業發生財務危機的原因和企業財務運營體系隱藏的問題,以提早做好防范措施的財務分析系統。這一觀點比較全面的涵蓋了財務危機預警系統的工作過程和功能。筆者贊同第三種觀點,也是以此為基礎進行論述的。
二、我國企業公司財務危機預警系統現狀
我國財務預警系統的建立和應用還不是很完善,目前財務預警系統只注重對企業財務數據的統計、財務指標的篩選、檢查和財務模型的計算分析等一些量化的方法進行財務管理,在財務預警系統的應用上還存在很多問題。
1.企業財務預警系統與管理信息系統不能有效整合
目前,雖然許多企業建立了自己的管理信息系統,但大多企業的財務預警系統往往自成體系,或僅作為會計信息系統的一個子系統,僅僅利用會計信息而很少利用其他的業務信息,這種缺乏業務信息支持的財務預警信號的準確性不高,時效性也較差。
2.忽視了定性方法在財務風險評估中的作用
財務風險評估是測量、判斷財務風險大小的活動過程。當前,比較常用的財務風險評估模型主要有單一指標模型、Z 分數模型和F 分數模型等。這些模型在選擇自變量時均采用可量化的財務指標,在評價方法上均采用經典數學評價方法。經典數學評價方法的特點是精確性,而財務風險高低實際上是一個模糊概念,單一的定量分析可能與現實相矛盾。現代企業管理更加注重一些非量化因素,如企業管理者的風險意識、財務人員素質、人員流動狀況、顧客滿意度等,這些非量化因素對企業財務風險評價的影響越來越大,忽視定性方法和非財務指標,可能導致財務風險評價結果的不全面、不準確。
3.忽視現金流量指標的運用
完整的財務狀況一般包括:企業資產質量及規模狀況、資本結構狀況、盈利狀況以及現金流量狀況。目前財務預警模型在變量選擇上,應用最多的是資產負債率、營運資金負債總額、流動比率、速動比率、凈資產收益率、銷售凈利率等。這些變量均來自于資產負債表和利潤表,用來評價企業的資產質量、資本結構和盈利狀況,而現金流量指標的運用較少,忽視了對企業現金流動狀況的評價,從而削弱財務風險評價模型的預測效果。
4.警示功能單一
完善的財務預警系統應具備信息收集、預知風險和控制風險三種功能。當前企業財務預警系統主要通過對會計信息系統中的數據進行監測分析,找出與企業財務狀況有關的指標,與事先設定的臨界標準比較,以發現財務危機的征兆,即財務預警系統主要是發現問題、預示風險,卻不能控制風險。
三、對我國企業公司建立現代財務預警系統建議
1.增強利益相關者的風險防范意識。
無論是席卷全球的金融危機還是個別上市公司的財務危機,其發生和蔓延都與利益相關者的風險防范意識的薄弱有關。因此,樹立較強的風險防范意識,是完善上市公司財務預警系統,最大限度防止財務危機的發生,以及保證預警系統有效運行的前提。
2.力求會計信息的真實、完整和及時。
財務預警系統是建立在對會計信息進行加工和處理基礎上的,會計信息是否真實、完整和及時,直接關系到公司財務預警的質量,并影響財務預警系統職能的發揮。這不僅要求會計從業人員嚴格遵守“誠信為本、操守為重、堅持準則、不作假賬”的職業道德,還要求公司有完善的內控制度。內控失效將導致信息失真,從而使財務預警分析變得毫無意義。
3.協調財務預警系統與其他子系統的關系。
企業公司是一個有機整體,管理者應考慮不同子系統的數據傳遞和各子系統對各種數據的不同要求,實現公司數據共享,使各子系統之間的關系變得更加和諧,從而建立以財務為中心的信息集中、反饋系統,這樣才能更好地發揮財務預警的作用。
4.完善社會評估機制。
目前,我國社會評估機構還不健全,權威性的民間評估機構甚少,且水平參差不齊。因此,應加強對社會評估機構的管理,提高評估人員的技術、責任和素質,使企業公司能借助社會評估機構所作的權威性結論,對公司財務狀況和經營情況做出客觀評價,從而進一步完善本公司的財務預警系統。
參考文獻
[1] COSO制定.方紅星等譯,企業風險管理—整合框架[M],東北財經大學出版社,2008
[2]周春生,企業風險與危機管理[M],北京大學出版社,2007
[3]田高良,上市公司財務危機實時預警管理機制探討[J],會計之友,2004(1)
[4]賈明琪,上市公司財務困境預警系統模型及實證研究[J],華東經濟管理,2008(5)
[5]胡文萍等,企業財務分析技術[M],中國經濟出版社,2002
關鍵詞:網絡安全;風險評估;模糊綜合評價
0 前言
網絡安全正逐漸成為一個國際化的問題,每年全球因計算機網絡的安全系統被破壞而造成的經濟損失達數千億美元。網絡安全是一個系統的概念,有效的安全策略或方案的制定,是網絡信息安全的首要目標。安全風險評估是建立網絡防護系統,實施風險管理程序所開展的一項基礎性工作。
然而,現有的評估方法在科學性、合理性方面存在一定欠缺。例如:評審法要求嚴格按照BS7799標準,缺乏實際可操作性;漏洞分析法只是單純通過簡單的漏洞掃描或滲透測試等方式對安全資產進行評估;層次分析法主要以專家的知識經驗和統計工具為基礎進行定性評估。針對現有網絡安全評估方法中出現的這些問題,本文擬引用一種定性與定量相結合,綜合化程度較高的評標方法――模糊綜合評價法。
模糊綜合評價法可根據多因素對事物進行評價,是一種運用模糊數學原理分析和評價具有“模糊性”的事物的系統分析方法,它是一種以模糊推理為主的定性與定量相結合、非精確與精確相統一的分析評價方法。該方法利用模糊隸屬度理論把定性指標合理的定量化,很好的解決了現有網絡安全風險評估方法中存在的評估指標單一、評估過程不合理的問題。
1 關于風險評估的幾個重要概念
按照ITSEC的定義對本文涉及的重要概念加以解釋:
風險(Risk):威脅主體利用資產的漏洞對其造成損失或破壞的可能性。
威脅(Threat):導致對系統或組織有害的,未預料的事件發生的可能性。
漏洞(Vulnerabmty):指的是可以被威脅利用的系統缺陷,能夠增加系統被攻擊的可能性。
資產(Asset):資產是屬于某個組織的有價值的信息或者資源,本文指的是與評估對象信息處理有關的信息和信息載體。
2 網絡安全風險評估模型
2.1 網絡安全風險評估中的評估要素
從風險評估的角度看,信息資產的脆弱性和威脅的嚴重性相結合,可以獲得威脅產生時實際造成損害的成功率,將此成功率和威脅的暴露率相結合便可以得出安全風險的可能性。
可見,信息資產價值、安全威脅和安全漏洞是風險評估時必須評估的三個要素。從風險管理的角度看,這三者也構成了邏輯上不可分割的有機整體:①信息資產的影響價值表明了保護對象的重要性和必要性。完整的安全策略體系中應當包含一個可接受風險的概念;②根據IS0-13335的定義,安全威脅是有能力造成安全事件并可能造成系統、組織和資產損害的環境因素。可以通過降低威脅的方法來降低安全風險,從而達到降低安全風險的目的;③根據IS0-13335的觀點,漏洞是和資產相聯系的。漏洞可能為威脅所利用,從而導致對信息系統或者業務對象的損害。同樣,也可以通過彌補安全漏洞的方法來降低安全風險。
從以上分析可以看出,安全風險是指資產外部的威脅因素利用資產本身的固有漏洞對資產的價值造成的損害,因此風險評估過程就是資產價值、資產固有漏洞以及威脅的確定過程。
即風險R=f(z,t,v)。其中:z為資產的價值,v為網絡的脆弱性等級,t為對網絡的威脅評估等級。
2.2 資產評估
資產評估是風險評估過程的重要因素,主要是針對與企業運作有關的安全資產。通過對這些資產的評估,根據組織的安全需求,篩選出重要的資產,即可能會威脅到企業運作的資產。資產評估一方面是資產的價值評估,針對有形資產;另一方面是資產的重要性評估,主要是從資產的安全屬性分析資產對企業運作的影響。資產評估能提供:①企業內部重要資產信息的管理;②重要資產的價值評估;③資產對企業運作的重要性評估;④確定漏洞掃描器的分布。
2.3 威脅評估
安全威脅是可以導致安全事故和信息資產損失的活動。安全威脅的獲取手段主要有:IDS取樣、模擬入侵測試、顧問訪談、人工評估、策略及文檔分析和安全審計。通過以上的威脅評估手段,一方面可以了解組織信息安全的環境,另一方面同時對安全威脅進行半定量賦值,分別表示強度不同的安全威脅。
威脅評估大致來說包括:①確定相對重要的財產,以及其價值等安全要求;②明確每種類型資產的薄弱環節,確定可能存在的威脅類型;③分析利用這些薄弱環節進行某種威脅的可能性;④對每種可能存在的威脅具體分析造成損壞的能力;⑤估計每種攻擊的代價;⑥估算出可能的應付措施的費用。
2.4 脆弱性評估
安全漏洞是信息資產自身的一種缺陷。漏洞評估包括漏洞信息收集、安全事件信息收集、漏洞掃描、漏洞結果評估等。
通過對資產所提供的服務進行漏洞掃描得到的結果,我們可以分析出此設備提供的所有服務的風險狀況,進而得出不同服務的風險值。然后根據不同服務在資產中的權重,結合該服務的風險級別,可以最后得到資產的漏洞風險值。
3 評估方法
3.1傳統的評估方法
關于安全風險評估的最直接的評估模型就是,以一個簡單的類數學模型來計算風險。即:風險=威脅+脆弱+資產影響
但是,邏輯與計算需要乘積而不是和的數學模型。即:風險=威脅x脆弱x資產影響
3.2 模糊數學評估方法
然而,為了計算風險,必須計量各單獨組成要素(威脅、脆弱和影響)。現有的評估方法常用一個簡單的數字指標作為分界線,界限兩邊截然分為兩個級別。同時,因為風險要素的賦值是離散的,而非連續的,所以對于風險要素的確定和評估本身也有很大的主觀性和不精確性,因此運用以上評估算法,最后得到的風險值有很大的偏差。用模糊數學方法對網絡安全的風險評估進行研究和分析,能較好地解決評估的模糊性,也在一定程度上解決了從定性到定量的難題。在風險評估中,出現誤差是很普遍的現象。風險評估誤差的存在,增加了評估工作的復雜性,如何把握和處理評估誤差,是評估工作的難點之一。
在本評估模型中,借鑒了模糊數學概念和方法中比較重要的部分。這樣做是為了既能比較簡單地得到一個直觀的用戶易接受的評估結果,又能充分考慮到影響評估的各因素的精度及其他一些因素,盡量消除因為評估的主觀性和離散數據所帶來的偏差。
(1)確定隸屬函數。
在模糊理論中,運用隸屬度來刻畫客觀事物中大量的模糊界限,而隸屬度可用隸屬函數來表達。如在根據下面的表格確定風險等級時,當U值等于49時為低風險,等于51時就成了中等風險。
此時如運用模糊概念,用隸屬度來刻畫這條分界線就好得多。比如,當U值等于50時,隸屬低風險的程度為60%,隸屬中等風險的程度為40%。
為了確定模糊運算,需要為每一個評估因子確定一種隸屬函數。如對于資產因子,考慮到由于資產級別定義時的離散性和不精確性,致使資產重要級別較高的資產(如4級資產)也有隸屬于中級級別資產(如3級資產)的可能性,可定義如下的資產隸屬函數體現這一因素:當資產級別為3時,資產隸屬于二級風險級別的程度為10%,隸屬于三級風險級別的程度為80%,屬于四級風險級別的程度為10%。
威脅因子和漏洞因子的隸屬度函數同樣也完全可以根據評估對象和具體情況進行定義。
(2)建立關系模糊矩陣。
對各單項指標(評估因子)分別進行評價。可取U為各單項指標的集合,則U=(資產,漏洞,威脅);取V為風險級別的集合,針對我們的評估系統,則V=(低,較低,中,較高,高)。對U上的每個單項指標進行評價,通過各自的隸屬函數分別求出各單項指標對于V上五個風險級別的隸屬度。例如,漏洞因子有一組實測值,就可以分別求出屬于各個風險級別的隸屬度,得出一組五個數。同樣資產,威脅因子也可以得出一組數,組成一個5×3模糊矩陣,記為關系模糊矩陣R。
(3)權重模糊矩陣。
一般來說,風險級別比較高的因子對于綜合風險的影響也是最大的。換句話說,高的綜合風險往往來自于那些高風險級別的因子。因此各單項指標中那些風險級別比較高的應該得到更大的重視,即權重也應該較大。設每個單項指標的權重值為β1。得到一個模糊矩陣,記為權重模糊矩陣B,則B=(β1,β2,β3)。
(4)模糊綜合評價算法。
進行單項評價并配以權重后,可以得到兩個模糊矩陣,即權重模糊矩陣B和關系模糊矩陣R。則模糊綜合評價模型為:Y=B x R。其中Y為模糊綜合評估結果。Y應該為一個1x 5的矩陣:Y=(y1,y2,y3,y4,y5)。其中yi代表最后的綜合評估結果隸屬于第i個風險級別的程度。這樣,最后將得到一個模糊評估形式的結果,當然也可以對這個結果進行量化。比如我們可以定義N=1×y1十2×y2十3×y3×y4十5×y5作為一個最終的數值結果。
4 網絡安全風險評估示例
以下用實例說明基于模糊數學的風險評估模型在網絡安全風險評估中的應用。
在評估模型中,我們首先要進行資產、威脅和漏洞的評估。假設對同樣的某項資產,我們進行了資產評估、威脅評估和漏洞評估,得到的風險級別分別為:4、2、2。
那么根據隸屬函數的定義,各個因子隸屬于各個風險級別的隸屬度為:
如果要進行量化,那么最后的評估風險值為:PI= 1*0.06+2*0.48+3*0.1+4*0.32+5*0.04=2.8。因此此時該資產的安全風險值為2.8。
參考文獻
[1]郭仲偉.風險分析與決策[M].北京:機械工業出版社,1987.
[2]韓立巖,汪培莊.應用模糊數學[M].北京:首都經濟貿易大學出版社,1998.
[3]徐小琳,龔向陽.網絡安全評估軟件綜述[J].網絡信息安全,2001.
關鍵詞:公路工程項目;風險分析;風險評價
1 風險理論的發展現狀
(1)國外風險理論的發展現狀
企業風險管理起源于美國,在20世紀60年代,一門新的獨立的學科―風險管理在美國正式形成。從此風險管理在西方資本主義國家得到了迅猛的發展。1963年梅爾和赫奇斯的《企業的風險管理》與1964年威廉姆斯和漢斯的《風險管理與保險》標志著人們對風險管理學系統研究的開始。
(2)我國風險理論的發展現狀
我國的風險管理始于20世紀80年代。在臺灣,美籍華人段開嶺博士首先發起風險運動,宋明哲提出了風險的“主觀說”和“客觀說”;盧有杰等與王卓甫比較詳細地闡述了工程項目管理的整個過程;姜青舫論述了風險的偏好特性,并給出了四類風險的量測公式。趙振宇將可靠性工程研究中的故障樹分析法引入工程項目風險管理,并應用圖形演繹方法構建了工程項目風險故障樹。
2公路施工企業經營風險分析
2.1風險與企業風險管理
2.1.1風險的定義及特征
(1)風險的定義
關于風險的定義,學術界尚無一個統一的定義。在此,我們對風險的定義為:風險是對特定系統危險事件的發生概率及其后果的綜合描述。
(2)風險的特征
風險作為項目中存在的普遍現象,它具有以下特征:客觀性;突發性;不確定性;相對性;可變性;可測性。
2.1.2企業風險管理的基本理論
“企業風險管理是對經營風險、財務風險和業務風險的綜合管理,從而化風險為企業的股東價值最大化”。企業所面臨的風險相互作用與影響,風險管理學科涉及到企業內部各個層次和部門人員,企業風險管理的目標是為股東增加其短期和長期的價值。
2.1.3企業風險管理的基本內容
作為一種管理活動,企業風險管理是由一系列行為構成的。其中包括風險識別、風險處理、風險評估、風險管理效果評價。
2.1.4.公路工程風險的構成
1)工程質量風險;2)工程進度風險;3)工程費用風險;4)工程勘察設計能力風險;5)人身傷亡以及工程或設備毀損的風險;6)市場風險;7)建設市場信用風險;8)法律責任風險;9)所處環境風險。
2.2公路工程項目風險影響因素分析
2.2.1公路工程項目工期風險
公路工程項目工期風險是由于某種原因造成整個公路工程或局部的工程活動(分項工程)的工期延長,不能及時投入使用。
影響公路工程工期風險的因素主要有:1)項目業主方面的因素;2)項目經理方面的因素;3)項目計劃與控制方面的因素;4)承包商方面的因素;5)計量與支付方面的因素;6)分包商與勞務隊伍方面的因素;7)不可抗拒力的影響因素。
2.2.2公路工程項目費用風險
公路工程項目費用風險包括:財務風險、成本超支、投資追加、收入減少、投資回收期延長或無法回收、回報率降低。
影響公路工程項目費用風險的因素主要有:1)項目業主方面的因素;2)項目經理方面的因素;3)項目計劃方面的因素;4)―項目預算方面的因素;5)項目組成員方面的因素;6)分包商與勞務隊伍方面的因素;7)計量與支付方面的因素;8)不可抗拒力的影響因素。
2.2.3公路工程項目技術風險
公路工程項目的技術風險指應用新技術、新工藝方法困難或失敗,施工技術和方案不合理,場地沉降或地基移動對周圍建筑物產生影響,臨時設施的設計和施工的失誤,施工工藝落后,現場進度計劃不合理,承包商對技術文件和規范理解不正確。
影響公路工程項目技術風險的因素主要有:1)項目技術組織結構方面的因素;2)承包商方面的因素;3)項目預算方面的因素;4)項目控制方面的因素;5)分包商與勞務隊伍方面的因素。
3 公路工程項目風險評價
3.1 工程項目風險評價方法概述
工程項目進行風險評價的方法很多,常用的有主觀評分法、層次分析法、故障樹法、外推法、決策樹分析法、模糊風險綜合評價法、蒙托卡羅模擬法等。
3.2 公路工程項目風險評價指標體系的建立
公路工程項目方案選擇有賴于對公路工程項目備選方案進行風險全面評價,而評價的核心就是建立一套評價公路工程項目備選方案的評價指標體系。建立合理的評價指標體系是公路工程項目進行風險綜合評價的基礎。考慮到公路工程項目的特點,把公路工程項目工期風險、費用風險、質量風險、技術風險、安全與法律風險等因素融合在評價指標體系中;同時在建立指標體系時,應盡可能的反映公路工程項目的特點,有針對性的評價公路工程項目建設的風險。
3.3公路工程項目風險多層次模糊綜合評價模型
在公路工程項目方案選擇的過程中,由于不同方案的風險影響程度也不相同,公路工程項目的特點要求在公路工程項目方案的選擇中盡可能選擇風險比較小的方案來進行。
4結論與展望
4.1結論
公路交通事業飛速發展,公路運輸在中國公路施工企業也如雨后春筍一般出現了。然而,公路施工企業經營風險的研究,目前只停留在定性風險因素分析和經驗風險預防措施的總結上。因此,利用科學的定性和定量相結合的評價方法進行公路施工企業的風險評估,并探討對風險的應對措施,具有重要的現實意義。
4.2展望
①風險評價和風險管理在國內已不是新事物,但就其實際應用來說,已經是非常缺乏了。公路經營企業也很少有專門的風險管理人才和機構,因此,如何研究和實踐, 真正造福企業是研究人員應該繼續關注和思考的問題。
②公路經營企業風險的研究是一個龐大的系統工程,但這個研究僅僅為一項二級指標。事實上,許多二級指標可進一步細化,甚至可以獨立的研究,特別是通過評估,并確定了關鍵因素,但也需要仔細研究下去。
③由于公路工程項目風險管理的復雜性,許多問題仍需要進一步的研究和探討,這些問題主要有以下幾點:
(1)采取什么樣的技術手段可以更加有效的避免公路工程項目風險的發生,對于合同雙方未能充分預見風險及明確由誰來承擔相應的風險責任,如何利用法律和合同維護自已的利益。
(2)如何能夠理論聯系實際,將風險研究的方法和結論更加有效的應用到實踐當中去,使之發揮應有的作用。
參考文獻
[1] 小阿瑟?威廉姆斯,理查德?M?漢斯. 風險管理與保險[M]. 北京:中國商業出版社,1990.32~36
[2] 宋明哲.風險管理[M]. 臺北:中華企業管理發展中心,1973.3~6
【關鍵詞】內部控制 控制評審 評價
近年來,國內相關機構和企事業單位順應單位管理的內在需要,逐步引入了內部控制及內部控制評審的理論,組織開展了一系列理論研究和實務探索,取得了一定成果。本文以內部控制評價為目標,以內部控制要素的評審為基礎。以內部控制系統的業務流程測試檢查為手段,對內部控制評審的內容、程序、方法、評價標準等進行了初步探討。
一、內部控制、內部控制評審的定義
(一)內部控制的定義
在西方國家,內部控制的概念具有歷史性,內部控制(InternalControl)一詞,最早出現在1936年美國會計師協會的《注冊會計師對財務報表的審查》文告中。之后,隨著內部控制理論以及認識的不斷發展。至二十世紀的七十年代在美國以及其他一些西方國家和組織,內部控制概念的內涵和外延也都發生了較大的變化,內部控制理論由最初的“內部牽制理論”階段,發展到“內部會計控制與內部管理控制”時期。
1992年。美國反欺詐性財務報告委員會的主辦機構委員會(即COSO委員會)了《內部控制――整體框架》報告,即著名的COSO報告,報告對內部控制的定義為:“內部控制是由單位董事會、經理當局以及其他員工為達到財務報告的可靠性、經營活動的效率和效果、相關法律法規的遵循等三個目標而提供合理保證的過程”。COSO報告同時認為內部控制包括內部控制環境、風險識別與評估、內部控制活動、監督評價與糾正、信息交流與反饋等五個相互聯系的要素,這五大要素服務于上述三大目標。這也是目前比較成熟的內部控制理論,它受到了各國理論界和實務界的廣泛關注和普遍認可,國際內部控制理論也因此發展到“內部控制結構和內部控制整體框架理論”階段。此后,COSO報告也成為美國各界,乃至世界上許多國家和組織制定內部控制文件的依據。
在我國,許多部門、機構和行業也從自身需要出發對內部控制作出過定義,但大都是根據部門或行業不同要求而各有側重。本文所探討的內部控制和內部控制評審主要是基于COSO報告的定義。
(二)內部控制評審的定義
目前,國內外的理論界和實務界對內部控制評審的定義尚未形成統一的認識。COSO報告認為,在內部控制系統中,所有部門、崗位都在其中充當著角色。從內審的角度來看,內部控制評審是指以內審人員為主,吸收相關專業技術人員和專家參加的,對內部控制系統建設、實施情況進行的調查、測試、分析、審核和評價等系統性活動,主要測評內部控制系統是否健全、合理,以及執行是否有效,以便進一步完善內部控制系統,改進控制方法和手段,降低控制成本,堵塞管理漏洞,提高內部控制效率,保證生產經營管理活動有序、高效、健康地運行。
二、內部控制評審的內容
內部控制系統的設計不論是按部門、按項目,還是按業務流程。都是圍繞內部控制環境、風險識別與評估、內部控制活動、監督評價與糾正、信息交流與反饋這五大要素進行的,因此內部控制評審也應是對內部控制五大要素的評審,評審的內容就是內部控制系統五大要素的各項內容是否健全、是否合理以及執行是否有效。
(一)自部控制環境評審的內容
內部控制環境是內部控制的基礎。它是影響和制約其他控制要素發揮作用的重要因素。內部控制環境的評審是指對內部控制系統所依存的軟硬環境的各項因素運作狀況的健全性、合理性和有效性所進行的評審。評審的內容主要有:組織架構的建立、規范運作和分權制衡:內部控制系統中董事會的建立和完善責任,監事會的監督責任,高級管理層的執行和完善責任;內部控制目標的建立、改進和實現;健康的企業文化建立情況和企業文化為內部控制提供適宜環境;人力資源政策和程序、人力資源日常管理情況等。
(二)風險識別與評估評審的內容
風險識別與評估是指識別和分析那些妨礙實現經營管理目標的各項因素的活動,它包括風險識別和風險分析評估兩部分,對風險的分析評估構成了風險管理決策的基礎。
風險識別與評估的評審是指對來自內外部對生產經營、財務報告、經營管理目標有影響的各種風險的識別與評估情況所進行的評審。評審的內容是風險識別與評估機制及其運行是否健全、合理、有效,主要包括在經營管理活動中風險的識別和評估是否充分、合理:識別和獲取適用法律法規要求的程序建立和執行的情況;與風險識別和評估相對應的內部控制措施方案的內容及執行情況等。
(三)自部控制活動評審的內容
內部控制活動是指為了確保經營管理目標的實現,指導員工實施管理指令,管理和化解風險而采取的政策和程序,包括高層檢查、直接管理、信息加工、實物控制、確定指標、職責分離等。
內部控制活動的評審是指對為進行管理和化解風險而采取的控制活動情況所進行的評審。評審的內容是內部控制活動的健全性、合理性、有效性,主要包括所采取的控制措施和程序的健全、合理、有效程度;計算機系統環境下,為確保信息的完整、安全和可用性而采取措施的健全、合理和有效程度;應急預案的建立和執行、應急設備和設施的定期檢查情況等。
(四)監督評價與糾正評審的內容
監督評價與糾正是指由特定人員對一定時期的內部控制運行狀況進行評估和實施糾正的情況,可采取持續監督和個別評估分別進行或兩者結合進行的方式。
監督評價與糾正的評審是指對內部控制監督評價與糾正機制及其運行情況是否健全、合理、有效所進行的評審,主要包括內部控制績效監測程序建立和執行;內部控制系統監督評價書面程序的建立和執行:對內部控制進行不斷完善的情況等內容。
三、內部控制評審方法
內控評審的方法多種多樣,可以使用一種方法,也可以同時使用多種方法進行,要根據評審的實際靈活運用,不應有所限制和局限,評審方法的選擇應以符合實際、科學方便、經濟實用為原則。
(一)抽樣法
通過抽取一定數量且具有代表性的樣本進行調查和測試,根據樣本來推斷總體狀況的一種評審方法。它需要在制定評審實施方案時確定具體的抽樣規模和比例,評審人員從財務憑證和合同的簽訂人手,對每一業務流程或特定控制點抽取一定數量的業務進行測試,據此來推斷內部控制的總體狀況。在抽取樣本時,所抽樣本要有一定的代表性,盡可能包括大、中、小三種金額類型,以便全面反映內部控制的執行情況,可采取整批抽樣、分層抽樣、系統抽樣、隨機抽樣等方式。在抽樣方法中,重要的是樣本范圍的制定和抽取,只要按照合理的允許的誤差科學地抽取了樣本,通過對樣本的評審是能夠滿足對單位整個經濟活動的評審需要的。
(二)穿行測試法
穿行測試也稱全程測試,通常用于對業務流程或具體業務的測試與評價。即評審人員在每一類循環中選擇一筆或若干筆具體業務,比照業務流程從頭到尾檢查其實際處理過程,檢查測試該流程步驟和控制點的執行情況,以驗證所描述的內部控制的客觀性和真實性。這是內部審計經常運用的一種簡便易行的技術方法,特別適用于對內部控制的評審中,通過對一筆或若干具體業務的穿行測試,可以比較直觀有效的反映一個或若干業務流程的內部控制情況。
(三)證據檢查琺
證據檢查法是內控評審工作最重要的檢查方法之一。評審人員在運用抽樣、穿行測試等評審方法時,要求被評審單位在限定的時間內,提供被評審業務主要控制點對應的相關資料,如憑證、賬簿、報表、借據、協議合同等等。通過對這些書面證據的檢查,驗證各項控制措施在實際業務操作中是否得到了有效的貫徹執行。
(四)壓力測試法
即測試被評審單位關鍵業務處理程序和控制措施能夠承受的壓力程度以及在承受相應壓力時所發揮的作用。
(五)流程圖法
流程圖法主要用于內部控制系統的健全性和合理性測試,即利用符號和圖形來表示被評審單位組織結構、職責分工、權限、經營業務的性質及種類,各種業務處理規程、各種會計記錄等內部控制狀況的示意圖。流程圖法的運用可以使評審人員清晰地看出被評審單位內部控制系統如何運行,業務的風險控制點和控制措施,有助于發現各內部控制系統的缺陷和評審重點。
四、內部控制評價標準與結果
評審組在現場評審結束后,應依據內部控制評價標準,對被評審單位進行綜合評價并出具評審報告。綜合評價應堅持定性分析與定量分析相結合的原則,做到量化合理、定性準確。在對各項評審內容嚴格審查、測試和初步評價的基礎上,應對單位整個內部控制系統的健全性、合理性以及執行的有效性做出全面評價,內部控制的評價標準也就是內部控制是否健全、是否合理適用以及執行是否有效的問題。
(一)自部控制的健全性
內部控制的健全性是指單位根據生產經營管理的自身需要,應設置的內部控制系統的內容都比較完備,而且所設置的內部控制系統對單位的生產經營管理活動的全過程能進行自始自終的控制。健全性評價可依據評分分為優、良、基本健全、不健全四個級次。
(二)內部控制的合理性
內部控制的合理性主要是指內部控制設計和執行時的適用性、合規性、經濟性,它是在健全性的基礎上對單位內部控制更深一層次的要求,評審組根據對內部控制評審內容的測試結果做出評價。合理性評價同樣可依據評分分為優秀、良好、基本合理、不合理四個級次。
(三)自部控制的有效性
內部控制的有效性是指設計比較健全、比較合理的內部控制在單位的生產經營管理過程中,能夠得到貫徹執行并發揮作用,實現其為單位提高經營效率、規避財務風險和經營風險、遵循國家法律法規提供合理保證的目標。有效性是內部控制的精髓,評審組應根據對內部控制評審內容的測試結果,對各項業務目標是否能夠實現,各項業務風險的評估與規避情況如何,內部控制所起到的作用與效果如何等等做出評價。有效性的評價同樣可依據評分分為優秀、良好、基本有效、無效四個級次。
Abstract: The definition of complex technical construction projects is put forward, and a novel approach is proposed for analyzing schedule risks. Firstly, schedule risk factors are identified to get complex technical risks. Secondly, based on the relevant theory of risk chain, the correlation between the risk factors of the schedule is evaluated and the risk chain is separated. Thirdly, the technical maturity levels and technical requirements in the TRRA risk matrix are described and defined, and the impact of risk factors on process duration is assessed. Fourthly, the information of project schedule,risk chain and schedule risk are input into Monte Carlo simulation,the risk is estimated and analyzed based on the assessment results. Finally, the method is applied in the example.
P鍵詞: 技術復雜型建設項目;項風險鏈;技術成熟度;進度風險;風險分析
Key words: technical complex construction projects;risk chain;technology maturity level;schedule risks;risk analysis
中圖分類號:F284 文獻標識碼:A 文章編號:1006-4311(2017)11-0008-04
0 引言
隨著全球化、城市化和技術的進步,工程的規模越來越龐大,建筑形態、結構形式也越來越多樣,涌現出一大批技術復雜型建設項目。相比于其他建設項目,技術復雜型建設項目如央視主樓、奧運會主體育館等,具有建筑形態新穎、結構復雜等特點,這些特征使得這些建設項目成為一個技術復雜型的系統。建設項目的技術復雜性使得該類型項目進度風險分析的難度大大增加。
對于建設項目的風險分析,通常所采用的方法有:認為風險因素間與工序間均相互獨立的貝葉斯網絡[1]、人工神經網絡[2]等;認為工序間存在邏輯關系與相關性的CEV模型[3]、NECTOR模型[4]、BN-CPM模型[5]等;認為風險因素間和工序間均存在關聯性的CSRAM 模型、相關性系數-關鍵路徑、風險鏈-仿真模擬[6]等。對于技術復雜型項目,目前國內外通常所采用的風險分析的方法有:概率-影響矩陣、蒙特卡洛模擬法、決策樹法、模糊分析法等;考慮技術復雜部分無經驗或經驗少,采用TRRA風險矩陣代替概率-影響矩陣[7]。然而,技術復雜型建設項目進度風險分析的研究方法卻比較少見。文章將技術復雜型建設項目作為研究對象,關注風險因素相關性和工序關聯性,引入TRRA風險矩陣,并結合風險鏈與仿真模擬,對其進度風險進行分析。并對該方法進行實際應用。
1 風險鏈與TRRA風險矩陣的相關理論
1.1 風險鏈的概念
某一風險元引發風險事件,可能造成另一風險元引發風險事件,這些風險元的集合就是風險鏈[6]。風險鏈在實踐中顯而易見,例如:某施工工序采用新工藝會導致施工人員需要花費較多時間研究,由于施工人員對該工藝不熟練影響施工效率,從而引起工期延誤,同時也容易導致返工的概率增加等。因此,風險鏈體現了風險之間的相關性。
1.2 TRRA風險矩陣
采用技術成熟度(TRL)、技術需求值(TNV)、技術困難度(R&D3),構成風險矩陣。該矩陣中,風險發生的概率由技術困難度(R&D3)來替代,風險發生的影響程度用技術成熟度差值(?駐TRL,目標技術成熟度與值之差)與技術需求值(TNV)替代。采用該方法易量化技術風險發生的可能性和影響程度[7]。
1.2.1 技術成熟度
技術成熟度,是指技術在現階段可以使得項目最終能夠順利實施的程度。技術成熟度等級(Technology Readiness Level,TRL),是對技術成熟程度進行度量的標準[8]。文章在航天工程、設備制造工程、復雜新型產品[11]等不同行業界定技術成熟度等級所采用通用原則的基礎上,結合工程建設項目中所采用技術的特點,給出工程建設中某項技術的技術成熟度等級。如表1所示。
1.2.2 技術需求值
技術成熟度和技術困難度均存在無法體現整個項目進行過程中該項技術重要程度的問題,因此,就需要在TRRA風險矩陣中設置“技術需求值”(TNV),一個可以描述技術重要性的參數。文章參照航天工程、設備制造工程等行業的定義并結合工程建設項目的特點,給出工程建設項目的技術需求值。如表2所示。
由于風險發生的概率通過仿真會得以體現,因此,僅將TRRA風險矩陣中技術成熟度差值與技術需求度值的乘積來量化復雜技術風險對進度的影響程度。
2 風險鏈-TRRA進度風險分析方法
采用該方法對獨立的風險鏈進行分析,具體步驟為:①項目進度網絡計劃圖的建立;②風險鏈的識別,包含識別進度風險因素及其關聯性,并分割出風險鏈;③仿真及評估,創建模型并對進度進行模擬,根據輸出值進行計算。
2.1 識別風險鏈
識別風險鏈主要包括風險因素的識別、風險因素間關系的確立、關系網絡的創建和風險鏈的分割等四部分。
風險因素識別的主要方法有德爾菲法、專家會議法、頭腦風暴法等。也可通過查閱類似項目歷史資料和參考風險列表來完成。
風險因素間關系的確立通常采用專家打分法,由于這種方法存在較大的主觀性,需要消除應用該方法所帶來的影響。因此文章采用以下措施:<葉苑縵找蛩丶淶南喙匭愿出評價值;采用0,1,2,3來確定(0-無關,1-相關性弱,2-相關性強,3-相關性很強),參照表3最終確定風險因素間的是否相關[6]。其中,X為評價值的平均數,P表示0、1的數量,Q表示2、3的數量。具體如表3所示。
風險因素間關系網絡的建立依據前述評價結果。創建網絡時,如果存在r1和r2相關,并且r1可能誘發r2,則從r1至r2用有向線連接起來;如果不相關,則不連接。如圖1所示。
風險鏈的分割是在風險因素相關關系網絡創建的基礎,主要依據以下步驟:①將所有進度風險因素的集合定義為R={r1,r2,,…rn}。②任一風險因素ri及其所影響R中元素的集合,叫做ri的影響集,記為Y(ri),如圖2,Y(r1)={r1,r3,r5}。③任一風險因素ri及其影響ri元素的集合,叫做ri的被影響集。記為B(ri)。如圖2,B(r3)={r1,r3}。④任一風險因素ri的影響集與被影響集的交集,叫做ri的共同集。記為G(ri)。如圖2,Y(r3)={r3,r5},B(r3)={r1,r3}得到G(r3)={Y(r3)∩B(r3)}={r3}。⑤若風險因素ri,有Y(r3)=G(r3),則ri為該風險鏈的起點。⑥風險因素關系網絡,若任兩個起點re,rf存在Y(re)∩Y(rf)≠?I,則Y(rj),Y(rk)中風險因素屬于在同一風險鏈上,說明該風險因素關系網絡不可分割;若有兩個起點re,rf,存在Y(re)∩Y(rf)=?I,說明風險因素關系網絡可分割,且分割出風險鏈的組成元素就是Y(re)和Y(rf)。
將圖2中的部分作為研究對象,說明風險鏈的分割過程。如表4所示。
由表4的分割過程可知該網絡有兩個起點分別是r1和r2,易得Y(r1)∩Y(r2)=?準,說明以兩個風險因素為起點的風險鏈為單獨風險鏈。因此,該網絡分割的風險鏈為2條,分別是:r1r3r5,r2r4。
2.2 仿真模型
風險本身的不確定性,導致通過單一數據無法真實反映風險因素對進度的影響。另外,各工序對項目總工期的影響程度也有所不同。因此,通過仿真技術重復模擬多次,不僅可以得到風險產生影響的期望值等數據,并且可以更客觀的描述出風險鏈對總工期的影響程度。仿真模型如圖2所示。
2.3 評價方法
其中:Xj是斯皮爾曼秩相關系數,指工序j的時長與總工期之間的相關度;N是模型運行次數;lm,j是工序Aj在第m次模擬中工序時長與總工期的秩次差。
2.4 風險因素對工序時長的影響
3 實例
廣州某劇院是廣州市二十一世紀重點工程之一。該項目造型奇特、結構復雜;室內空間曲線曲面類型多、高精度預埋及預留多。同時,項目施工方對上述方面存在無施工經驗或經驗不足的情況,屬于文章所研究的技術復雜型建設項目。因此,采用大劇場這一單項工程的簡化數據,以其進度風險為例對文章前述研究方法進行實際應用,并分析結果。
3.1 項目進度計劃
大劇場的進度計劃如表5所示。
3.2 風險鏈的識別
首先采用專家調查法對項目可能存在的各風險因素進行識別,然后按照前述消除主觀性方法的具體步驟,得到風險相關關系網絡進而得出風險鏈。
專家成員共10名,均是有豐富類似工程項目的從而經驗,通過收集基礎資料、外部環境信息、相似項目資料等,采用多種手段,識別所有項目風險因素,梳理出關鍵的風險因素,見表4所示。
接下來專家小組對項目基本信息和相關資料,給出風險發生對項目進度產生的影響,并在上表“進度影響”中列出。其中復雜技術風險的進度影響采用TRRA風險矩陣中的TNV??駐TRL計算,認為建設工程項目目標技術成熟度是TRL=9,而當前TRL′值與TNV則項目基礎文件評價得出。由于篇幅原因,TRL′=5,?駐TRL=4;鋼結構的設計和制作對降低項目工期的影響較大,TNV=3;因此,該風險元對工序持續時間的影響為TNV??駐TRL/5TRL=27%。
之后采用前述消除主觀性的方法,得到風險因素間的相互關系。根據分割風險鏈的方法,將風險關系網絡分割成8條風險鏈。分別為:R1:r1r2r3,R2:r5,R3:r6r4,R4:r7,R5:r8,R6:r10r9r13,R7:r12r11,R8:r14。
3.3 仿真結果分析
通過上述結果與分析,可以看出文章所采用的方法在復雜技術風險對進度產生影響研究上,可以準確評價該類風險因素的風險值以及是否應該重點關注。進而提出相應的對策、分析應對方案可以風險應對的要求后,確定并執行應對方案。
同時,隨著項目的推進和風險的變化情況及時對進度風險進行監控,調整應對措施,實現對進度風險的動態管理,降低風險對工期造成的影響。
4 結語
文章在技術復雜型建設項目的進度風險分析過程中,通過仿真模擬計算風險鏈對影響工序的累積效果值,以考慮風險因素相關性和工序關聯性;引入TRRA風險矩陣來評價復雜技術風險對工序時長造成的影響,以解決復雜技術風險無經驗可循或經驗少的問題,避免了以經驗來評估的缺陷,本身也符合實際情形;在實例應用中也得到了較理想的效果。因此,與其他方法相比該方法的評估結果更加精確、合理,對于技術復雜項目實施過程的進度管理,具有不可忽略的意義。
目前國內外對風險鏈理論的研究尚處于起步階段,復雜技術風險的TRRA風險矩陣中參數等級是一種新的描述與定義,引入TRRA風險矩陣的風險鏈在對技術復雜型建設項目進度風險評估方法屬于新的嘗試,雖然應用時有較好的反饋,但仍需對多個風險因素的相關關系與TRRA風險矩陣中參數等級的完善描述與定義,進行更深入的研究。
參考文獻:
[1]Luu V T,Kim S Y,Tuan N V,et al.Quantifying schedule risk in construction projects using Bayesian belief networks[J]. International Journal of Project Management,2009,27(1):39.
[2]Khasman A,Neural networks for credit risk evaluationg:Investigaton of different neural models and learning schemes[J]. Expert Systems with Application,2010,37(9):6233.
[3]Ranasinghe,M.,Russell,A. D.Treatment of correlation for risk analysis of engineering projects[J].Civil Engineering System,1992,9(1):17-39.
[4]Wei-Chih Wang,Laura A.Demsetz.Application example for evaluating networks considering correlation[J].Constr. Eng. Manage,2000,126(6):467-474.
[5]⒖蓿Steven Davis.基于BN-CPM的工程活動相關性分析[J].水力發電學報,2012,31(5):302-308.
[6]曹吉鳴,申良法.風險鏈視角下建設項目進度風險評估[J].同濟大學學報,2015,43(3):468.
[關鍵詞] 學校風險管理 學校財務風險 風險管理審計
2006年11月,天津大學違規挪用資金炒股,造成巨額損失3750萬元;2007年2月,南開大學校辦企業允公集團總裁楊育麟貪污1.1億,另外,因楊擔任總裁期間管理失誤導致3億元債務;2007年3月,吉林大學財務處貼出通知,詳細介紹了吉大目前負債30億元,每年支付的銀行利息高達1.5億至1.7億元,資金入不敷出的情況日趨嚴峻。這三大財務事件暴露了高等學校內部治理機制不完善,內部控制效益低下,未能有效防范學校財務風險,導致發生巨額經濟損失和陷入財務困境。本文結合實際,提出學校應當建立健全風險管理機制,實施風險管理,分析了內部審計在防范學校財務風險中的作用,強調學校應當實施風險管理審計,評價、改進學校風險管理機制的健全性、有效性及風險管理過程的適當性、有效性,有效防范學校財務風險,促進學校目標實現。
一、學校風險管理與財務風險
(一)學校風險管理
我國內部審計協會2005年的內部審計具體準則第16號――《風險管理審計》指出:“風險管理,是對影響組織目標實現的各種不確定性事件進行識別與評估,并采取應對措施將其影響控制在可接受范圍內的過程。風險管理旨在為組織目標的實現提供合理保證。”
根據以上定義,結合學校的特點,學校風險管理是為實現培養德、智、體等全面發展的社會主義人力資源,發展科學技術文化的總體目標提供合理保證,具體包括對運營的效率和效果、財務的可靠性及法律法規的遵循性提供合理保證。
(二)學校財務風險
不論學校規模大小,財務風險是學校風險中的重要風險,風險管理必須以財務風險為重點。學校財務風險的含義應該是廣義的,是指導致學校發生資產損失、財務困境等不利財務事件的可能性。資產損失指資產被盜、貪污挪用、意外事故導致損失等,財務困境是指一個學校處于經常性現金流量不足以抵償現有到期債務(例如銀行借款本息、商業信用等),導致正常運轉受到影響,而被迫采取改正行動的境況。財務困境可以通過若干方法解決,比如,(1)出售主要資產;(2)減少資本支出及研究與開發費用;(3)與銀行和其他債權人談判進行債務重組。學校財務風險主要體現在籌資、投資、資產管理、資金使用等方面。
(三)學校風險管理在防范財務風險中的作用
實施風險管理有助于識別學校戰略規劃、業務運營中的各種財務風險,認識財務風險的性質和特征,為財務風險評估、財務風險應對奠定基礎;實施風險管理對學校財務風險采取定性、定量或定性與定量相結合的方法進行評估,可以合理判斷財務風險發生可能性的大小及發生后影響程度的大小;實施風險管理,針對學校財務風險的特征及影響,采取科學的方法進行深入分析,能夠提出回避、接受、降低、分擔財務風險的具體措施,有效防范財務風險。
二、風險管理審計定義及其在防范學校財務風險中的作用
(一)風險管理審計定義
王曉霞在《企業風險審計》一書中,給出企業風險審計定義為:“企業內部審計部門采用一種系統化、規范化的方法來進行以測試企業風險管理信息系統(RMIS)、各業務循環及相關部門的風險識別、分析、評價、管理及處理等為基礎的一系列審計活動,對機構的風險管理、控制、及監督過程進行評價進而提高過程效率,幫助機構實現目標。”我國內部審計協會2005年的內部審計具體準則第16號――《風險管理審計》指出:“風險管理是組織內部控制的基本組成部分,內部審計人員對風險管理的審查和評價是內部控制審計的基本內容之一。”“內部審計機構和人員應當充分了解組織的風險管理過程,審查和評價其適當性和有效性,并提出改進建議。”“風險管理包括組織整體及職能部門兩個層面。內部審計人員既可對組織整體風險管理進行審查與評價,也可對職能部門風險管理進行審查與評價。”綜合以上觀點,在內部審計中風險管理審計可定義為:風險管理審計是內部審計人員站在獨立、客觀的角度,圍繞組織風險,采用系統化、規范化的方法,從組織整體層次到職能層次,對組織風險管理機制的健全性、有效性,風險管理過程的適當性、有效性進行鑒定和評價,提出改進建議,幫助組織實現其目標。
(二)風險管理審計在防范學校財務風險中的作用
1.實施風險管理審計可以協助學校建立健全風險管理機制和風險管理過程,能夠從機制、制度方面強化對學校財務風險的管理。目前學校還沒有建立有效的風險管理機制和風險管理過程,沒有實施風險管理審計,內部審計人員對學校風險管理機制的建立可以起到前瞻性作用,能夠提出建立風險管理機制的合理建議,使最高管理層認識到風險管理的意義和重要性,促使其建立科學有效的風險管理機制和風險管理過程,對學校財務風險實施規范管理。當學校已經建立風險管理機制和管理過程時,實施風險管理審計,對風險管理過程的有效性和充分性進行監控、檢查、評估、報告、提出建議,能夠協助風險管理機制的健全,促進風險管理過程的完善,有利于財務風險管理。
2.實施風險管理審計,內部審計人員可以從學校整體出發,從全局考慮,從獨立、客觀的角度對風險進行識別,及時建議學校管理層采取措施防范和控制財務風險;內部審計人員能以獨特的身份調控學校的風險策略,防范宏觀決策帶來的財務風險。
3.實施風險管理審計,內部審計人員采取獨特的技術手段,檢查、評估風險管理過程的充分性和有效性。內部審計人員可以采取調查、取證、分析等手段評價主要財務風險因素,測定關鍵風險點、風險度,以判斷學校財務風險監控報告制度是否適當、監控報告是否充分有效,財務風險分析是否全面、防范措施是否完善;對管理層自我評估進行測試,檢查其依據是否準確;評估與財務風險有關的薄弱環節并與有關管理層進行溝通;評價財務風險管理方式與學校活動性質是否適當。
4.實施風險管理審計,內部審計人員提供客觀的風險管理建議直接報告給學校最高決策層,能夠引起高層對財務風險管理的重視。
5.實施風險管理審計,內部審計人員能夠對學校預算管理進行評估,促進學校嚴格執行預算,按預算使用資金,提高資金使用效率和效益。
三、加強風險管理審計,防范學校財務風險的對策
(一)強化內部審計機構獨立性,完善內部審計組織機制,使內部審計人員能夠獨立、客觀、公正地實施風險管理審計,獨立客觀的監督學校財務風險管理,幫助學校實現財務目標,進而實現學校的終極目標。規模較大的學校可以以校為單位成立學校理事會,小規模學校(特別是公立中小學校)可以以鄉(鎮)為單位成立學校理事會,理事會下設立審計委員會,內部審計機構受審計委員會領導。對公立中小學校也可以由縣級教育行政部門的內審機構向學校(大規模)或鄉鎮(小規模學校)下派專職或兼職內部審計人員履行內審職責,實行對下進行監督評價,對上進行職能報告的內部審計機制,這種方式必須進一步提升縣級教育行政部門內審機構的地位,確保獨立性。
(二)提高內審人員素質,確保實施風險管理審計的專業勝任能力。內審人員是否具有較高的專業勝任能力,專業水平高低,是保障內審工作質量的必要條件。學校高層管理者、內部審計機構要重視內審人員的后續教育,為內審人員學習內審領域先進的審計理念、技術、方法提供各種保障,不斷促進內審人員專業勝任能力提高。只有永遠保持專業水平的先進性,才能有效實施風險管理審計,才能不斷改進完善學校財務風險管理,合理防范財務風險。
(三)使用先進的審計技術,保證風險管理審計的有效性。先進的審計技術已經得到實踐證明是合理的、有效的、科學的,能夠從內審角度對風險識別、分析、評估、應對進行評價,并提出改進建議。可以使用的技術有:(1)風險控制自我評估(CSA)。CSA是一種預防性審計工具,即針對硬性控制也針對柔性控制,是針對內部控制進行的咨詢業務,可以評估旨在減緩風險的各項控制以及有關政策和規程的全面遵循情況,可以采取協調性小組討論會(專題研討班)、問卷調查、管理人員分析三種方法。專題研討班可以采取:“目標-風險-控制-剩余風險-評估”的形式,強調列舉阻止實現目標的的壁壘、障礙、威脅和風險,接著對控制進行檢查,以確定控制過程是否足以對關鍵風險進行管理,其目的是確定嚴重的剩余風險;(2)頭腦風暴法。針對問題,把能想到的一切主意集中起來,通過一群人的交流,來激發新思想產生;(3)德爾菲法。采用函調方式,分別向有關專家提出問題,之后將專家的意見整理、歸納,并反饋給有關專家,再次征求意見,然后再次綜合反饋,這樣多次重復,得到比較一致的意見;(4)抽樣技術;(5)共同研討法;(6)系統分析法。
(四)確定財務風險重點領域,揭示風險暴露,加強風險預警
學校的財務風險重點體現在以下幾個方面:籌資、投資、固定資產管理、資金管理及使用。
1.籌資。學校應重點關注債務風險。吉林大學陷入30億元債務困境,說明加強債務風險管理舉足輕重。學校債務須經最高層批準,內部審計人員可以分析學校的資產負債率、還本能力、還息能力,揭示債務風險是否達到警戒狀態。對資產負債率的分析既要看比率的大小,又要分析預期資產負債率的變化;對于還本、還息能力分析應重點分析預期所有者(各級政府等投資者)是否不斷增加償還債務本息的投入;可以分析利息保障倍數(預計不含利息費后的結余/利息),利息保障倍數至少為1,越高還息風險越小。
2.投資。應重點關注校辦產業、工程建設、閑置資金的投資,應注重投資效益分析,如新建學生宿舍是否有效改善了學生住宿狀況,籌辦產業企業的未來收益如何。閑置資金應投資于國債等收益穩定、風險較小的項目,不要投資于股票等高風險投資,天津大學發生違規挪用資金炒股,造成巨額損失3750萬元就是巨大教訓。高校依托先進技術籌辦產業企業,內審人員必須對其風險評估進行審查評價,可以采取貼現現金流量等技術。工程建設項目是否有充分的數據支持項目申請,是否進行招投標,是否納入資本預算,在建工程支出控制是否完善。
3.固定資產管理。應重點關注固定資產的采購、保管和使用。內審人員應重點審查評價資產采購的控制制度是否完善,采購是否進行競價選擇;資產保管制度是否健全,記錄是否規范;哪些資產經常使用,哪些資產不需用,各類資產的年使用次數及使用效率。確定對固定資產的實物控制、固定資產處理的控制是否恰當,以判斷其是否足以防范固定資產管理及使用方面的財務風險。
4.資金管理及使用。應注意資金(現金、銀行存款等)實物接觸控制不當、盜用及錯誤處理資金、潛在舞弊和違規、支出未經授權或審批、未按規定用途使用資金等財務風險及暴露。如兩免一補、中職、高教的助學金專款專用,內部審計人員應審查、評價風險管理控制是否健全有效,是否按國家規定的用途使用,效益如何。
5.樹立預防為主的理念,對重點風險領域進行實時跟蹤審計。學校高層應授權內部審計機構參加重大財務事項的預測、規劃等重要會議,使內審人員以獨立的視野分析各種財務風險,提供合理建議。對重點風險領域應進行實時跟蹤審計,對各種財務風險進行及時防范,避免學校可能遭受經濟損失。
參考文獻:
[1]王曉霞.企業風險審計.北京:中國時代經濟出版社,2007.
[2]卓繼民.現代企業風險管理審計.北京:中國財政經濟出版社,2005.
[3][美]S.拉奧.瓦萊布哈內尼.劉霄侖,朱軍霞,李旭紅譯. CIA考試指南.內部審計在治理、風險和控制中的作用(理論卷).北京:電子工業出版社,2007.[3][美]S.拉奧.瓦萊布哈內尼.李海風,李媛媛譯. CIA考試指南.實施內部審計業務(理論卷).北京:電子工業出版社,2006.
[4]中國內部審計協會.內部審計理論與實務.北京:中國石化出版社,2004.
[5]沈征.內部審計禁忌120例.北京:電子工業出版社,2006.
[6]教育部.教育系統內部審計工作規定.中內協網,2004.
[7]中國內部審計協會.內部審計具體準則第16號―風險管理審計.中內協網,2005.
關鍵詞:內部審計;風險管理;內部控制;獨立性
引言
隨著全球經濟一體化和信息化步伐的加快,在現代企業經營管理中,內外部環境日益復雜,企業風險日益增多,內部審計,作為企業強化管理,實現組織目標的重要手段,在風險管理中所起的作用越來越被人所重視。
一、內部審計在風險管理中的作用
(一)風險管理的概念
所謂風險指的是可能發生的損失或者傷害的意思。在我們經濟生活中,公司作為最重要的經濟主體之一,面臨著來自內部和外部兩個方面的風險。其中主要的風險包括:財務風險、匯率風險、信用風險、技術性風險、管理信譽風險、內部控制風險等。企業當然并不可能完全承受所有以上風險,相反,他們應當對風險進行系統性的預測、識別、分析,并進而采取相應的策略去應對。風險管理,指的便是以上所敘述的決定如何對待并規劃項目風險的管理活動。風險管理當中包括了對風險的預測、識別、評估和應變策略。
(二)內部審計的概念
內部審計最初的定義是:“內部審計是組織內部檢查會計、財務及其他業務的獨立性評價活動,以便向管理部門提供防護性和建設。”而經過多次的修訂,IIA在2001年頒發的《內部審計專業實務標準》中將內部審計定義為:“內部審計是一種獨立、客觀的確認和咨詢活動,旨在增加價值和改善組織的運營。它通過系統的、規范的方法,評價并改善風險管理、控制和治理過程的結果,幫助組織實現其目標。”由此可以看到定義中一個明顯的進步,那就是內部審計已經將提高風險管理的水平直接納入它的定義,當成內部審計的一個直接的目標來看待,突出強調了內部審計在風險管理中的重大作用。
(三)內部審計在風險管理中的作用
內部審計對風險管理有著重大的指導意義,這個指導作用包含在風險管理的各個過程之中。
1.內部審計在風險識別中所起的作用。風險的識別是指審計人員通過對企業經營活動各項數據的研究和分析,從而確認企業當時所面臨的風險、當時并不存在但潛在的風險、可以通過相應方法進行規避的風險等等,從而對企業面臨的風險定量和定性,進而方便高層管理人員意識到并對風險作出相應的對策。其中,可以采用的方法包括決策分析,因果分析,可行性分析,專家調查法,風險報酬法,數據解析法等等。
2.內部審計在風險評估中的作用。這是指對已經存在和將要發生的風險進行評估。企業內部審計人員在收集分析企業各項經營信息的基礎上,通常會將各種風險因素予以量化和評估。按照量化的風險水平的高低,對審計項目進行科學的排序,從而確定開展審計工作的先后順序。風險評估應當考慮以下要素:資產的變現能力,資金流動性強弱,現金流的流量情況及趨勢,管理水平和經營能力,內部控制的有效性,企業面臨的市場環境,政府新出臺的政策,上次審計的時間范圍內容等等,運用各種科學管理技術和方法,定性和定量分析相結合,從而預測主要風險的大小,確定風險可能產生影響的范圍,風險可能產生影響的時間、深度和廣度等等,并以此為依據,采取相應的對策。
3.內部審計在風險的預測和預防中的作用。內部審計不僅應考慮公司當前存在的風險,而且應該通過各種分析手段和預測方法,結合公司當前的情況以及公司的長期發展戰略,對公司潛在的問題和風險進行合理的預測,并對企業高層管理人員提出相應的解決策略,從而規避或者降低未來有可能出現的風險。
4.內部審計在風險管理評價中的作用。內部審計通過風險管理評價,檢查風險管理過程的充分性和有效性。例如:通過對公司經驗戰略的檢查,了解公司能夠接受的風險水平;與相關部門管理層討論部門的目標和存在的風險,以及管理層對于風險的態度,評價管理層對風險處理的有效性和充分性;評價風險控制報告制度是否恰當;評價風險管理報告是否及時有效;評價與風險管理有關的管理薄弱環節,并與高層管理者討論相關事宜;評價管理層選擇的風險管理方式的適當性,由于各個公司的企業文化、管理理念、企業目標等的不同,風險管理的實施有很大的差別,每個公司應該根據自身活動來設計風險管理過程。一般來說,上市公司等規模較大的公司應該用正式的規范的風險管理方法,而規模較小的,由于資金、人力、技術等方面的限制,則可以設置非正式的風險管理委員會開展評價活動。
二、中國內部審計在風險管理中的不足及成因
1.內部審計人員對風險和風險管理缺乏認識。根據《國際內部審計師協會內部審計標準說明》規定,內部審計師應具備財務、會計、企業管理、統計、計算機、概率、線性規劃、審計、工程、法律等各方面的知識,以保證執業質量。在風險管理中,管理領域的知識尤為重要,但是,中國的內部審計人員,大多數由財會部門抽調,而他們大多出身于會計、審計專業,所以他們的知識結構比較單一,對于風險管理等管理領域的知識比較欠缺,這就造成了他們盡管對于內部審計等審計業務比較熟悉,但是對于風險管理和先進的風險管理理論不甚了解。
2.企業決策層對內部審計和風險管理的理解太過片面。中國很多企業的領導,大多數重視經營效益而輕視企業內部深層次的管理,對企業的風險管理不夠重視。他們對企業內部審計的理解,還停留在財務報表審計和經濟責任審計上面,往往不了解或者根本不關心風險管理審計對企業長期發展所起的巨大作用。他們割裂了內部審計和風險管理之間的必然聯系而認為兩者各自分別起作用。由于他們理解的片面性,造成了他們在評估內部審計部門工作的時候往經濟效益等方面傾斜,進而影響到內部審計人員在展開工作的時候對風險管理的忽視。
3.內部審計獨立性不足。想要充分發揮內部審計在風險管理中的作用,首先必須保證內部審計人員的獨立性。內部審計盡管擁有相當程度的獨立性,但是,這是相對于與之平行的其他部門來說的,從最終意義上來說,內部審計還是企業內部設置的機構,其目標還是企業利益的最大化,或者說是股東利益最大化,因此,內部審計在實施過程中不可避免地受本企業利益的限制,很難站在一個完全公正的立場上對企業的風險進行客觀的評估。就內部審計人員具體而言,他們不僅受到經理機構的影響,而且在參與企業風險管理的過程中,不可避免地與其他人有了交集,久而久之,所謂的“交情”、“人情”都出來了,在涉及到相關部門風險審計的時候就有可能“下不了手”,影響內部審計獨立性。
轉貼于
4.風險管理審計開展較少,審計方法落后。由于內部審計人員對風險和風險管理認識上的不足,在加上受到成本、企業政策、人事安排等諸多方面因素的影響,很少有企業經常對風險管理進行專項審計,甚至有不少單位從未進行過風險管理審計。而即便企業進行風險管理審計,他們往往也沒有采用先進的審計方法,只有極少的企業中,內部審計人員采用風險基礎內部審計,而不少的企業采用的是相對落后的控制基礎內部審計甚至賬項基礎內部審計。
三、相應的對策建議
1.提高內部審計人員的專業素質和綜合勝任能力。在內部審計人員的選聘上要選擇專業素質過硬,綜合能力較強,職業素質較高的人員。不僅如此,對于在崗人員,也要加強后續的教育,增強他們內部審計的專業能力和綜合素質,使他們逐步熟悉內部審計業務,提高他們對內審工作的綜合駕馭能力;要特別加強風險管理等方面的培訓,使內部審計人員能全面了解風險和風險管理,從而使內部審計在風險管理中更好地發揮作用,更好地為企業實現經濟目標服務。
2.企業決策層應提高對內部審計工作的重視。企業的管理者要端正對內部審計的態度,要全面認識到其在風險管理中和企業目標實現上的重要作用。企業內部應廣泛宣傳風險管理內部審計的重要性,使整個企業達成加強風險管理內部審計的共識。除了在思想上,在行動上,要提高內部審計機構和內部審計人員的地位,使內部審計機構成為企業管理機構中必不可少的一個部門,并且為內部審計創造良好的環境,使內部審計人員在穩定的環境中工作。
3.提高審計人員獨立性。內審機構和人員的獨立性是內部審計實現其職能的前提條件。中國企業要想真正發揮內部審計在風險管理中的作用,應該設置專門的審計機構,并提高內審機構的直屬領導層次,因為內部機構隸屬關系的層次越高,其獨立性越強;權威性越高,審計工作越容易展開。例如在董事會下設立內部審計機構,直接對董事會負責。
4.改進審計方法,將風險基礎內部審計納入企業經營管理之中。企業內部審計人員必須認真學習并貫徹實行風險基礎內部審計,與此同時要及時關注內部審計理論和審計方法的更新,在工作的過程中不斷學習,力求做到與時俱進。而企業其他各層級的人員特別是高層管理者和決策層,應該轉變觀念,注重風險,拋棄以往重效益輕風險的觀念,重視風險,做到風險與效益并重,做到企業短期利益與長期發展的統一。
參考文獻
[1]葛躍民.內部審計在風險管理中的作用[J].一重技術,2010,(2):71-72.
[2]侯金鳳.企業內部審計在風險管理中的作用[J].北方經貿,2009,(12):86-88.
[3]時現.內部審計學[M].北京:中國時代經濟出版社,2009:2-4.
[4]楊思東.內部審計在風險管理中的作用[J].現代審計與經濟,2007,(6):35.
[5]張建民.內部審計在風險管理中的作用[J].中國內部審計,2005,(11):53-54.
[6]李正青.內部審計與風險管理[J].科技信息,2007,(18):220-243.
[7]劉國峰.現代企業內部審計與風險管理[J].煤炭經濟研究,2007,(3):63-65.
[8]孫靜.論內部審計與風險管理[J].遼寧行政學院學報,2006,(2):123-125.
[9]吳俊奎.關于內部審計與風險管理問題[J].環渤海經濟瞭望,2004,(8):24-25.
[10]王瀟,張彩云.中小企業內部審計現狀與問題研究[J].經濟縱橫,2007,(3):81.
[11]于弘.企業內部審計現狀及完善途徑[J].中華會計學習,2007,(4):18-19.
關鍵詞:商業銀行,操作風險,內部控制,CSA,控制價值
1.引言
操作風險是現代商業銀行風險管理的重要內容。但由于操作風險本身所具有的內生性、分布廣泛性、難以度量等特性,使得操作風險的研究長期滯后于信用和市場風險。目前對操作風險管理的研究主要集中操作操作風險的度量和控制防范方法上。操作風險的度量研究上,主要有基于統計的定量模型,定量模型如新巴塞爾協議中的基本度量法、標準度量法以及高級度量法中的內部均衡法、損失分布法、極值法[1]等,但更多的是一些結合定量和定性優點從整體操作風險評價和預測模型,如基于計分卡方法的建立的計分卡模型[2]以及基于模糊邏輯的神經網絡評價模型[3]。不過由于操作風險的多樣性,以上方法大都對機構的整體操作風險度量,對單個風險的度量和控制效率討論不多。在控制和防范操作風險的研究上,主要是從準備金和經濟資本的計提[4]、內部控制的管理[5]以及外包和保險[6]的轉移這三個角度對操作風險的控制方法和體系框架進行研究。控制的自我評估法(CSA)就是通過強化內部控制來提高操作風險管理水平一個有效方法。但由于技術條件限制有些操作風險內部控制管理不明顯或者根本不適合,為使有限的內控資源用在合適的操作風險上,本文先明確控制價值模型在控制自評估法中的應用思想,然后通過構建控制價值模型(內控治理價值),對不同的操作風險采取不同程度和不同種類的控制技術,達到更有效的控制,最后用實例來說明模型的應用。
2.基于控制自我評估法的控制價值模型設計思想
控制自我評估法(CSA),是指企業內部為實現目標、控制風險而對內部控制系統的有效性和恰當性實施自我評估的方法。其有三個基本特征:關注業務的過程和控制的成效;由管理部門和職員共同進行;用結構化的方法開展自我評估。實施過程是:通過開展全員風險識別,識別出全行經營管理中存在的操作風險點,同時,識別這些操作風險點是否有控制活動,并評估控制活動質量,進而提出優化控制活動的方案,對沒有控制活動或控制不足而引起風險隱患的環節進行修改完善、檢查,為進入下一階段評估做準備。
該方法的缺點是對操作風險點和控制措施進行全面控制,主次不分,影響控制效果。每種操作風險控制應該給予多少資源,如何能有效結合其他辦法,如資本金補償、保險和外包技術等,這就需要對每項操作風險進行內部控制價值評估,然后采取不同程度和不同種類的控制技術。所以控制價值模型就是在進入下一階段評估之前,利用以前數據和評估結果,對下階段風險的控制價值進行評估,保證操作風險控制朝正確的方向努力。根據以上的思想,本文設計了控制價值模型在控制自我評估法應用的流程圖(圖1)。
3.風險控制價值模型的建立
3.1控制價值評估指標
控制價值是指銀行操作風險管理中,用內部控制手段對一項操作風險進行控制的必要性、可行性。影響控制價值的因素有:
(1)操作風險大小
依據內部控制效率原則,在同等條件下,應該對風險值比較大的操作風險進行優先治理,所以一項操作風險的控制價值與操作風險的大小成正相關關系。操作風險大小包括發生概率、直接損失及間接損失強度。根據風險度量的經驗,一項風險的大小通常用損失期望值和發生概率來描述。不過因考慮到操作風險的發生,不僅會帶來直接的經濟損失,還有可能帶來一些對客戶關系、員工忠誠、監管者態度以及社會輿論的不良影響,所以在對操作風險大小評價中加入了這些間接損失。
(2)控制能力
控制價值的評估不僅包括操作風險大小的衡量,更重要的方面是對商業銀行操作風險控制能力的衡量,它是結合操作風險點性質和商業銀行自身條件的綜合考量。按照時間先后分為三個方面,分別是控制措施質量、措施執行能力以及控制效果。控制措施質量是指在CSA初期假設對操作風險點制定的控制措施完全執行,操作風險點得到控制的程度。措施執行能力是根據銀行現有的人員、物資現狀,對執行操作風險控制措施能力的評價。控制效果是對比以往控制效果經驗與本次控制措施質量和措施執行能力對本次控制效果的預評估。
(3)控制成本
影響操作風險控制價值的另外一個因素就是操作風險的控制成本,在風險大小和控制能力都相近的情況下,應優先治理控制成本小的操作風險,尤其要放棄內控資源花費成本大于損失的風險。操作風險控制成本包括顯性成本和隱形成本。顯性成本是指治理操作風險中花費可明確記錄的金額。隱性成本更多的是一種機會成本,是指錯過從事更有價值活動的成本估計,包含更多的主觀判斷因素。
根據以上的因素分析,建立控制價值評估框架(表1)。
3.2控制價值指標的確定
(1)定量屬性值的確定
定量屬性有概率(P)、強度(L)、顯性成本(EC)預計和隱性成本(HC)預計。基于Carol Alexander(2003)對風險概率模型的經驗分析,確定各項操作風險的概率參數。通過對操作風險損失事件歷史數據統計、業務檢查報告、內部審計報告、外部監管審計報告等資料的分析,以操作風險事件發生頻率或可能性依據,判斷操作風險事件的概率值(表2)。損失強度(L)的確定是在分析上述報告的基礎上,結合現行風險水平做出的估計。風險概率(P)和強度(L)越大,相應的操作風險控制價值越大,都是正向指標。顯性成本(EC)預計要根據控制措施來估計對應金額;隱性成本(HC)預計更多的是在歷史數據基礎上的經驗估計。顯性成本(EC)和隱性成本(HC)這兩個指標越大,相應的操作風險控制價值越小,都是負向指標。
(2)定性屬性值的確定
定性屬性值有間接損失(A)、控制措施質量(Q)、執行能力(E)和控制效果預計(R)。間接損失(A)的確定應分別從客戶、員工、監管者以及社會大眾四個方面綜合考慮,間接損失值越大,控制價值就越大,是正向指標。操作風險控制措施的質量(Q)分別從控制措施的有效性、充分性、必要性、合規性四個方面評價。評價執行能力(E)應從外部環境和內部條件兩方面估計控制措施的可操作性和可遵循性。控制措施質量越高和執行能力越好,操作風險的控制價值就越大,都是正向指標。控制效果(R)評估應通過考慮控制措施的得當性、可執行性,并根據以往的經驗綜合估計現有控制活動的控制效果。控制效果越好,越有控制價值,是正向指標。以上定性屬性值由專家判斷給出,在1到10之間取值。
3.3控制價值計算模型
模型采用由專家給出的評判信息計算專家評判的相似度和差異度,從而確定群體專家的權重。利用熵權得到屬性的權重,根據風險控制綜合屬性值給出排序結果。在模型中,一位專家對于不同的風險有不同的權重,一個屬性對于不同的風險也有不同的權重,從而更加細致、 合理地刻畫了不同專家、 不同屬性對決策結果的影響,更加符合實際。
設有d位決策者(專家)e1,…,ed參與決策,可供選擇風險控制組合有n個,分別用s1,…,sn表示,對風險控制價值的評價屬性集為P={p1, …,pm}。設對決策者ek而言,屬性pi權重為wi(k),決策者ek關于風險sj的權重為λj(k) 。決策者ek對于風險控制組合sj按屬性pi進行評判,得到 sj關于屬性pi的屬性值為aij(k),從而構成決策者ek的決策矩陣A(k)=(aij(k))m×n 。為消除不同物理量綱對決策的影響,采用文[11]中的矩陣規范化方法將決策者ek的決策矩陣A(k)=(aij(k))m×n規范化為R(k)=(rij(k))m×n。
3.3.1專家權重的確定
由規范化的決策矩陣R(k),決策者ek 給出風險控制組合sj的各屬性值向量(評判向量)記為rj(k)=(r1j(k), …,rmj(k)),則專家ek與et給出風險控制組合sj的評判向量rj(k)、rj(t)的夾角余弦為:ηj(k,t)=〈rj(k),rj(t)〉令ηj(k,t)=ηj(k,t)-1,則可得專家ek與其他專家關于風險控制組合sj評判的相似度為:
uj(k)=ηj(k)/ηj(k)(1)
設專家群體給出風險控制組合sj的各屬性值均值向量為rj= (r1j,…,rmj),其中 rij=rij(k),令σij(k)=rij(k)-rij,σj(k)=σij(k),則專家ek與群體專家關于風險控制組合sj的評判的差異度為:
δj(k)=σj(k)/σj(k)(2)
結合專家評判的相似度和差異度,利用文[12]的思想,給出專家權重的定義。
定義 1. 決策者ek對風險控制組合sj的權重為:
λj(k)=,1-uj(k)δj(k)≠1 uj(k),其他(3)
3.3.2屬性的熵權
定義 2. 根據規范化后的特征矩陣 R(k),對決策者ek,定義屬性pi的熵Hi(k)為:
Hi(k)=/fij(k)1nfij(k)(4)
其中,fij(k)=rij(k)/rij(k),當fij(k)=0 時,設fij(k)1nfij(k)=0。
定義 3. 對決策者ek而言,定義屬性pi的熵權為:
wi(k)=(1-Hi(k))/(m-Hi(k)),i=1,…,m(5)
各特征的熵和熵權矢量分別記為 H(k)= (H1(k),…,Hm(k)),W(k)=(w1(k),…,wm(k))。
決策者ek給出風險控制組合sj的綜合屬性值為:
Zj(k)=wi(k)rij(k)(6)
為突出專家群體對決策結果的影響,再由決策者的權重向量,通過簡單加權平均得到各風險控制組合群體的綜合屬性值為:
Zj=[Zj(k)λj(k)],j=1,…,n(7)
4.實例分析
本文以中國銀行安徽省分行的一次內部自評估為例。風險控制評估委員會有d=3位專家,包括操作風險專家、內控部門專家、內部審計專家。根據 m=8個屬性,對n=4個待選風險控制組合評價和選擇(表3)。實施步驟為:首先,根據控制自我評估法(CSA),進行必要的前期準備,包括:制定評估方案、確定評估范圍和評估對象,收集資料,組織培訓等。其次,對自評對象進行梳理,并通過對上次的自評估結果的分析,重新找出操作風險點以及對應的控制措施。然后,專家對風險控制價值的屬性進行打分,以評估專家1為例。根據式(2)、式(3)分別計算專家評價各供應商的相似度和差異度,確定專家的權重;由式(6)確定屬性的權重。最后,利用式(7)得到各風險控制組合的綜合屬性值;由式(8)得到風險控制組合的群體綜合屬性值,數值越大,對應風險控制組合越有價值。
R(1)=
由式(2) 、 式(3)分別計算各委員評價風險控制組合s1的相似度和差異度為:
μ1(1)=0.3281,μ1(2)=0.3452,μ1(3)=0.3267
δ1(1)=0.3401,δ1(2)=0.1898,δ1(3)=0.4701
由式(6)得到各委員關于風險控制組合s1的權重分別為:
λ1(1)=0.3235,λ1(2)=0.4178,λ1(3)=0.2587
對評選委員e1,由式(6)得到各屬性的權重分別為:
w1(1)=0.1049,w2(1)=0.1105,w3(1)=0.1611,w4(1)=0.1327,w5(1)=0.1706,w6(1)=0.1033,w7(1)=0.1264,w8(1)=0.1954
利用式(7 )得到委員e1給出各風險控制組合的綜合屬性值分別為:
Z1(1)=8.2495,Z2(1)=2.7403,Z3(1)=9.5890,Z4(1)=3.60299
同理,可得到其他委員給出各風險控制組合的綜合屬性值,再由式(8)得到各風險控制組合的群體綜合屬性值分別為 Z1=8.5627,Z2=2.5713,Z3=9.6852,Z4=4.0518 所以,各個風險控制組合排序結果為s3>s1 >s4>s2。
根據以上的控制價值排序結果分析,風險控制組合s3、風險控制組合s1、風險控制組合s4的控制價值都比較高,可以考慮用內控評估中產生的控制措施來加以控制,特別是s3、s1應集中資源重點控制;s2的控制價值就不是太高,可以考慮提取資本金或外包保險的措施來控制。結合具體風險項分析,s3屬于信息系統風險,s1屬于內部欺詐風險,通過技術升級或者制度建設,都可以很快改善。s4雖然屬于外部欺詐,但通過上面的內控措施,也可以加大改善。s2屬于外部操作風險,防控難度大,成本高,用保險的方式可能更好。
5.結論
內部控制的手段管理操作風險,作為一種積極主動的風險管理手段,其有效性得到了理論和實踐的支持。但如何確定內控的力度,是不是內控能有效治理所有操作風險都是一個問題。本文通過構建控制價值模型,并結合控制自評估方法就提供了一種解決辦法。它對每項操作風險的控制價值從風險、控制、成本三個角度進行定量定性綜合分析,對控制價值大的操作風險予以重點治理,對那些控制價值較小的,建立資本金、外包、保險等風險補償機制。
正如實例所說明的那樣,通過對風險控制價值進行評估,確實使操作風險得到有主次的、綜合的治理,也使內控資源得到更有效的利用。進一步的研究方向就是不僅對內控,也要對其它控制手段建立綜合的評估體系,使得控制措施的決定更科學,更有效。
參考文獻:
[1] Basel committee on Banking supervision. Sound Practices for the Management and Supervision of Operations Risk[C].Basel, February,2003
[2] 劉家鵬,詹原瑞,劉睿.基于記分卡的操作風險管理研究[J].西南交通大學學報(社會科學版),2007(03)
[3] 艾林,周焯華.基于模糊邏輯的自組織競爭網絡對操作風險強度的識別[J].中國軟科學,2007(01)
[4] 趙欣.標準法替代法計量我國商業銀行操作風險資本的分析[J].南方金融,2008(01)
[5] 蘇虹,張同健.內部控制對操作風險控制的激勵性經驗分析[J].中國管理信息化,2008(21)
[6] 王宗軍,薄純林,肖德云.保險對緩釋商業銀行操作風險的作用研究[J].武漢理工大學學報(信息與管理工程版),2008(02)
[7] Marshall, Christopher. Measure and Managing Operational Risk in Financial Institutions: Tool, Techniques and Other Resources [M].John Wiley&Sons,2001-243.
[8] 張吉光.商業銀行操作風險識別與管理[M].北京:中國人民大學出版社,2005:142-213
[9] 溫紅梅.商業銀行操作風險度量與控制[M].中國財政經濟出版社,2008:12-80
[10] Carol Alexander等.商業銀行操作風險[M].中國財政經濟出版社,2005:135-152
[10] 周濤.論CSA 在內部控制三維立體框架評估中的作用[J].交通財會,2009(03)
[11] 張晨,朱衛東.基于信息墑的商業銀行操作風險多屬性評價方法研究,2007(05)
[12] 梁昌勇,吳堅,陸文星,丁勇.一種新的混合型多屬性決策方法及在供應商選擇中的應用[J].中國管理科學,2006(12)
[13] 閆書麗,楊萬才,肖新平.屬性權重未知的混合型多屬性決策方法[J].統計與決策,2008(01)
(1)風險管理功能模塊。其主要負責提供以下幾項基本功能:企業危險源信息管理、危險源人工與實時監測考核以及危險源實時監測預警。具體包括對企業全部已經辨識出的危險源信息進行查詢與維護的功能;人工危險源信息錄入以及相關問題追蹤與復查的功能;與安全監測系統聯機進行危險源監測預警功能;對危險源進行實時記錄和考核的功能。通過該子系統的設置,可以使企業風險預防和控制更加及時、準確,有助于確保生產安全。(2)評價管理功能模塊。其主要負責提供如下功能:對安全管理評價指標體系和評價指標信息的維護管理以及進行內部與外部評價的功能。它的設置使企業對各個部門管理水平的審核與評價工作更加高效、快捷。(3)文檔管理功能模塊。其主要負責提供如下功能:對各項法律法規、規章制度、標準、日常管理文檔以及相關學習資料的分類管理功能。它的設置為企業員工提供了方便、快捷的查閱及學習危險源管理標準和措施以及安全制度等資料的平臺。(4)報表管理功能模塊。其主要負責提供如下功能:自動匯總并生成報表、報表類表自定義等功能。它的設置能夠按照管理人員的需求為其提供各項匯總信息。(5)系統管理功能模塊。其主要負責提供如下功能:系統基本設定、用戶管理、權限管理等等。它的設置使用戶信息維護更加方便,同時權限管理功能的加入使系統的安全性大幅度提高,這對于企業而言尤為重要。
2安全管理中計算機信息化系統的具體應用
2.1危險源信息管理
安全管理員在識別各個系統單元危險源的基礎上,將危險源錄入系統,錄入信息主要包括工序、危險源名稱、事故類型、風險類型、風險后果、風險等級、風險值、可能性損失、管理標準、管理對象、主要負責人、主要監管部門、主要監管人員、管理措施等信息內容。管理員有權刪除或修改危險源,以便為危險源監測考核和風險評估提供依據。同時,該系統具備關鍵字檢索功能,可以通過輸入風險等級、危險源名稱等關鍵字查找相關危險源的全部信息。
2.2危險源監測預警
該系統通過接入安全監測系統,能夠為危險源監測提供實時的監測數據,實現對作業環境、設備運行狀態以及其它危險源的動態監測。若出現指標超標現象,系統會自動發出預警信息,為及時處理危險源提供可靠依據。在系統中,運用數據上傳程序可設置監測數據的獲取時間間隔,當執行暫停數據上傳操作時,監測數據會自動儲存在系統數據庫中,以便日后查詢、分析之用。此外,系統可將監測數據匯總并用excel格式輸出,作為紙質檔案資料。
2.3危險源考核
危險源考核建立在實時監控監測數據的基礎上,能夠自動記錄超標或異常數據、預警信息、警情的相關責任人以及危險源考核等信息。管理員可在系統中輸入監測點、風險等級、監測時間等關鍵字查詢危險源考核信息,考核信息包括監測點位置、監測設備信息、防控措施、整改建議、監管措施等,同時也可將全部信息輸出。
2.4危險源風險分析
危險源風險分析的過程為:先按照危險源事故類型從已錄入系統的危險源中選取某個分析對象,再選取與事故相關的危險源作為事故危險因素,構建危險源分析評估模型,并從危險源監測數據中獲取事故危險因素的累計次數,計算該事故發生的概率,做出危險源風險等級評定。
2.5評價體系管理
安全管理評價指標體系是確保安全管理評價正常運行的前提和基礎,由于評價指標的種類相對較多。所以,體系采用的是分級分層結構,換言之,體系應當包含多重屬性,如體系的名稱、指標的數量、分級層數以及更新時間等等。企業管理人員在建立體系的同時,能夠對其中的相關信息進行維護,具體包括對體系信息的修改以及關聯信息的刪除,當刪除某個體系后,還應當將之相關的評價指標一并刪除。此外,建立一個新的體系就必須為其增加相應的評價指標,這類指標一般包括如下內容:建立的具體時間、所屬體系的名稱、在該體系當中所屬的層級、危險源類別等等。與評價指標相同,管理人員在建立評價指標的同時,能夠對指標信息進行維護,具體包括刪除和修改指標信息。
2.6內部與外部評價
安全管理評價是以評價指標體系的建立為前提,借助系統的自動考核評分數據進行相應的計算,然后對所得的評價結果進行輸出,該結果以不同的顏色代表不同的評價等級。在對評價進行執行之前,需要選擇最為合理的評價指標體系以及評價類別,系統可按照excel的格式對批量考核評分進行上傳,并以此作為評價樣本。系統執行評價的階段主要是通過對評價方法計算模塊的調用來實現的。當系統完成評價之后,會將新增的評價結果記錄下來,以備查詢和報表輸出之用。
2.7文檔管理
具體是指對企業日常安全文檔進行統一管理,全部文檔信息均有系統管理員負責維護,主要包括文檔資料的上傳與刪除。系統能夠對文檔資料進行分類管理,文檔資料的上傳至系統的工作由管理人員負責完成,用戶可根據時間或是文檔的名稱對安全文檔資料進行查詢,并可通過下載的方式進行瀏覽和打印,這為企業人員的安全培訓工作提供了一個良好的平臺。
2.8報表管理
具體是指將各個子系統中的業務數據以統計的方式進行處理后,根據預先設定好的業務規則輸出,以供下載打印之用。當用戶想要查詢報表信息時,可通過選擇報表具體類別、業務范圍以及日期期限來予以實現。同時可根據報表的類別與日期來限定報表內容輸出,如果報表信息存在,便可按照設定好文件格式,將報表下載之后進行瀏覽和打印。此外,用戶還可以結合自己的需要對報表的輸出格式、類別、日期期限和報表信息來源等進行自定義,而系統則會按照實際要求生成以下報表:安全管理周期性考核報表及部門考核報表、周期性安全預警報表、內部與外部評價報表以及數據統計報表等。
2.9系統管理
