時間:2023-06-11 09:33:38
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇風險因素的識別和評估,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
[關鍵詞]重大錯報風險,識別;評估,模糊綜合評價
近年來,企業外部環境的急劇變化直接影響到企業管理層的制度設計和業務開拓,致使會計師事務所客戶的業務活動越發復雜、管理層的舞弊越發隱蔽,審計風險明顯增加。國際審計委員會和我國已分別于2003年和2006年重新進行了審計準則的修訂,顯著加強了對審計風險的管理。
風險管理是對風險的事前預測和控制,是一種減小風險損失的管理工作,包括風險識別、風險評估、風險控制和風險轉移等4個環節。其中:風險識別是確定可能發生的風險類型或風險所在領域;風險評估是對識別出的各種類型風險進行定量描述;風險控制是采取降低風險發生概率和風險損失的行為;而風險轉移則是通過一些正當的手段將風險轉移給保險公司,也可通過合作的方式將部分風險轉移給合作伙伴。在風險管理中以風險識別最為重要,是風險管理的第一步,也是風險管理的基礎,直接影響著風險評估、風險控制、風險轉移的準確性和有效性。
審計風險是被審計客戶財務報表存在重大錯報而注冊會計師發表不恰當審計意見的可能性。相對于其他類別、行業的風險來說,審計風險的存在不僅給直接從事審計業務的會計師事務所帶來損失,而且還會給依賴于注冊會計師審計意見的投資者帶來損失。審計風險如果存在轉移,要么轉移給被審計客戶,要么轉移給擬信賴審計報告的投資者,但不管如何轉移,最大的受害者最終還是投資者,這是違背注冊會計師職業要求和資本市場發展需要的。所以,審計風險的管理工作應只包含風險識別、風險評估和風險應對,不再包含風險轉移。
我國2006年審計準則的修訂對傳統的審計風險模型也進行了整合,將審計風險模型轉變為:審計風險=重大錯報風險×檢查風險,其中重大錯報風險是指財務報表在審計前存在重大錯報的可能性。審計人員在具體應用和實施該模型時,首先是確定審計業務所達到的可信賴程度;其次是審計人員據此深入地了解被審計單位及其環境,始終對公司管理層的誠信、有無舞弊造假動機等保持一種合理的職業警覺,捕捉潛在的風險,謹慎進行重大錯報風險的識別、評估;最后在重大錯報風險評估的基礎上采取相應的風險應對的措施,以控制檢查風險至可接受的水平。由此可見,新風險模型的應用更加注重的是對重大錯報風險的識別和評估,且自始至終貫穿于整個審計業務過程中,直接影響注冊會計師所發表審計意見的準確性。而本文所探討的就是在重大錯報風險識別基礎上關于審計識別、評估的銜接、評估方法的選擇和應用的問題。
一、重大錯報風險識別和評估的側重點
重大錯報風險的識別是注冊會計師審計業務小組用感知、判斷或歸類的方式對大量和審計業務有關的信息資料進行系統了解和分析,認清被審計客戶業務活動中潛在的各種風險和可能發生的各種損失,進而判斷和鑒別審計業務所面臨的重大錯報風險及其性質,并把握其發展趨勢的行為,即從錯綜復雜的環境中找出目標體所面臨的主要風險。重大錯報風險的識別一方面可以通過審計師對被審計客戶的感性認識和根據多年積累的審計經驗結合被審計客戶自身內外部環境的變化等因素來判斷;另一方面也可通過對各種客觀的資料和風險事故的記錄,在定性分析的基礎上結合一定的定量分析技術來分析、歸納和整理。
重大錯報風險的評估在重大錯報風險識別的基礎上,分析和評價損失對審計業務既定目標的影響程度,通過對由風險識別獲得的資料和數據的處理,得到風險后果發生的概率、嚴重程度和大小,為選擇應對措施進行正確的風險管理決策提供依據。
重大錯報風險識別的重點是識別出風險存在的主要領域或公認的具體風險,而評估是進一步確定出關鍵領域的重大錯報風險具體水平,為后期的應對策略提供具體的和較為準確的決策依據來盡量控制審計損失的發生。所以,風險評估也稱為風險量化,它主要解決的是識別出關鍵領域的重大錯報風險水平是多少的問題。
二、模糊綜合評估方法的選擇
審計風險評估的具體方法很多,常用的有風險因素分析法、模糊綜合評價法、內部控制評價法、審計風險模型法、定性風險估計法、風險率評估法等。評估方法選擇不僅要考慮方法的特點,而且要注意評估目標和評估對象的類型與評估方法的對應問題。從審計角度來看,重大錯報風險評估是一個動態的過程,需要建立在對被審計單位的分析和評價的基礎上,評價涉及較多因素,包含主觀和客觀因素,其評價過程表現出較大的模糊性;同時,在重要性水平的確定和審計風險的關系等審計風險評估方面也存在一定的模糊性。因此,本文在識別出被審計客戶重大錯報風險發生的領域之后,采用模糊綜合評判法對識別出的重大錯報風險進行評估。
模糊綜合評價法是指針對評價對象的多樣性、模糊性,采用模糊數學的理論與技術,對受影響評價對象的多種因素進行模糊綜合評價,從而得到評價結果的方法。該方法既綜合考慮了所有因素,同時又通過權重把各因素的重要程度區分開來,在判定因素影響程度方面更加客觀、詳細,避免了定性方法的主觀隨意性和彈性較大的弊端,更有利于風險判斷的準確性,并可使用計算機進行計算,克服了其計算煩瑣的缺點。
三、模糊綜合評判決策的一般步驟
1.確立評價因素集
代表第i個影響因素,n代表因素的個數。如果因素較為復雜,可建立多級因素集。
2.確立權重集
權重是被評價對象的不同重要程度的定量分配,每個指標在整體評價中的相對重要程度即為權重。評價指標的權重應為U上的模糊子集,用A表示,即:A={a1,a2,…,
3.建立評判集
評判集是對各種評價指標做出的評語等級和層次,用V表示,即:V={v1,v
4.單因素評判
對U中所有因素分別進行單因素評價可得到模糊矩陣R,表示為Ri={ri1,業人員對評判對象進行打分,并歸屬于相應的評語集,按歸屬某一評語的人數占總人數的百分比作為這一因素的評判結果。
5.綜合評判
M(∧,∨)計算,可得綜合評判B=A•R,即對兩個模糊矩陣各元素之間最小值運算:將權重集A中處于第i列的ai與R矩陣中相對應的第i行中的每一個數值進行比較,取兩者中較小的一個作為結果矩陣中的用來比較的R矩陣數值對應位置的新元素,由此組成一個新的矩陣,然后取新矩陣中每一列的最大數值作為模糊矩陣B中的第j個數,得:6.確定因素重大錯報風險水平由B和V計算重大錯報風險評價水平=BVT。
四、重大錯報風險評估的應用實例
1.確立評價因素集、權重集和評語集
重大錯報風險的評估是在識別的基礎上來進行的,所以,評估階段的評價因素集、權重集和評語集與識別階段相對應(見表1所示)。
假定在重大錯報風險的識別階段識別出的關鍵領域為戰略規劃變更風險U2,其二級評價指標有:開發新產品或提供新服務、進入新業務領域U21,新的經營場所U實務中量化為V={90%,70%,50%,30%,10%}。
2.進行單因素評判
用M(∧,∨)計算得B=A•R,A=(0.2727,0.2273,0.2273,0.1364,0.0909,0.0454),
B=A•R=(00.27270.22730.13640)=歸一化=00.430.360.210。
3.計算戰略規劃變動風險的重大錯報風險水平
BVT=00.430.360.210
(90%70%50%30%10%)=0.544=54.4%。
通過以上對已識別出的該審計客戶重大錯報風險存在領域的企業戰略規劃變更風險的模糊評估,說明該類風險可能發生的概率為54.5%,假定審計組所估計的可信賴程度為95%,即審計風險為5%,則根據審計風險=重大錯報風險×檢查風險,可以計算出該審計組需要將檢查風險水平控制在9.19%的范圍之內(5%÷54.4%),屬于較低水平。由此,審計人員在制訂風險應對策略時,考慮在有必要的情況下實施控制測試,否則需要實施較大范圍的實質性測試。
主要參考文獻
[1]中國注冊會計師協會.審計[M].北京:經濟科學出版社,2007.
【關鍵詞】 水利水電項目 風險管理 風險控制
隨著經濟社會發展的轉型升級,水利水電工程建設進入新時期。但是水利水電工程項目在開發過程中,面臨諸多風險,比如自然環境風險、技術風險等,使得工程建設的經濟收益可能受到影響。在本文中,筆者結合自身工作實際和相關的理論文獻,從風險識別、風險評估與風險應對等方面做了分析。
1 水利水電項目風險因素
1.1 水利水電項目風險
水利水電項目在開發建設過程中,可能存在較大的風險,按照成因與性質,分為六類風險,分別是自然環境風險、技術風險、政治法律經濟風險、財務風險、組織風險和人員風險等。
其中,自然環境風險包括地震、雷電、泥石流等,技術風險包括設計內容不全、標準選擇不當,技術資料提供不及時等,以及工藝流程不合理、方案不合理等。政治經濟與法律風險包括規章制度變化、漲價、工資變化和市場動蕩等,而財務風險包括資金籌措不合理、資金不到位和外匯管制等,人員風險包括設計、業主、監理、技術和管理等人員素質;組織風險包括設計單位、施工單位及其之間協調不利等。
1.2 水利水電項目風險特點
水利水電項目具有周期長、技術風險大和不確定性因素多等特點,風險特點主要包括以下幾個方面:(1)風險的普遍性與客觀性。項目風險不以人的意志為轉移,其工程全壽命周期內,風險無時、無處不在。作為項目的管理者,僅僅能在風險控制中做一些事情,而無法消除風險。(2)風險的可變性。在項目實施過程中,風險的質和量均會發生變化,一些風險可能得到控制,而另外一些風險無法得到控制。同時,在項目各個階段,均可產生一些新的風險。(3)風險的多樣性和層次性。水利水電項目周期長、涉及范圍廣,風險因素較多,風險之間存在各種復雜的關系,呈現出多層次性。(4)全局性和全程性。水利水電工程中的風險是多種風險共同作用的結果,帶有隨機性和偶然性。不過經過分析大量風險得出,各種風險具有一定的規律性,從而可用概率統計方法計算風險發生的概率與損失程度。
2 風險管理內容與流程
2.1 風險識別
風險識別為通過一定的方法,對水利水電項目中的各種不確定因素和潛在風險,根據產生的原因、表現和預期威脅等,進行識別與定義,從而分析和判斷是否會對項目造成威脅;如果可造成威脅,則預測后果的嚴重程度,并進行合理分類,以為風險評估提供依據。
風險識別一般分為三步,即信息收集、風險形勢的估計和風險事件的確定與歸類。在當前的風險識別中,德爾菲法、情境分析法和頭腦風暴法等應用廣泛。而專家調查法、事件樹分析法和現場模擬法等,在取得試驗數據的條件下,也是識別風險有效的方法。
2.2 風險評估
風險評估的方法比較多,根據評估的深度與層次,分為兩類,一類為定量分析法,一類為定性分析法。(1)風險的定性評估方法。該方法是一種典型的模糊評價方法,主要是評估人利用之前的經驗做法,實現對項目風險的快速評估,并采取有效的預防措施。定性評估方法,對風險大小、威脅因素、危害性和風險產生的條件等,均可開展系統評估,并有效評估所采取的防范措施。當前的風險評估方法包括故障樹分析法、主觀估計法和蒙特卡羅模擬法等。(2)風險評估定量分析方法。該方法是在定性分析的基礎上,對風險產生的危害進行定量的分析與計算,從而使目標更為清晰,提高可信度。不過由于定量分析工作的信息量增加、操作系統性和復雜性較大。該方法主要包括敏感性分析法、影像圖分析法和貝葉斯推斷原理法等。
2.3 風險應對
在全面識別和評估風險的基礎上,以項目目標為主要的依據,按照風險的潛在破壞力、風險性質等,制定風險管理的基本程序,稱之為風險應對。風險應對策略包括四類,即風險回避、風險緩解、風險轉移和風險自留。
2.4 風險監控與后評價
(1)風險監控。水利水電項目在實施過程中,需要持續跟蹤檢查各項風險應對措施的落實情況,目的包括三個:第一,監視風險狀況,比如風險是否已經消失;第二,檢查風險應對之策是否有效,以及效果如何,是否需要調險應對策略;第三,有效識別新風險,并采取一定的防范措施。
風險監控的一般方法包括:第一,風險設計。安排專人檢查風險監控機制的執行情況,并制定風險審核的對策,比如對于重點風險,應制定新的應對計劃;第二,偏差分析。和事前計劃相對比,分析時間和成本上是否有偏差,比如是否如期完工、是否超出預算等,并找出偏差出現的原因;制定完善的補救措施,從而減低風險所造成的損失。在風險監控中,常用的技術指標為:原定技術指標與實際技術指標的差異。通過測試,如果未達到性能上的要求,則缺陷數可能超過預期。
(2)項目后評價。后評價是對已實施項目的全過程,開展系統、客觀的分析與評價,從而確定前期風險識別、風險評估等是否準確,并檢查項目風險對策是否合理。同時,建立項目風險預測、管理數據庫系統,形成有價值的信息數據,為風險預測、管理和決策提供可靠的依據。
3 結語
對于水利水電項目來說,風險管理是重要的內容之一。由于風險無時不在、無處不在,具有普遍性和客觀性特點,且一旦造成的危害通常較大,這就要求施工單位在項目實施過程中,通過風險識別、風險評估、風險應對等步驟,有效控制風險,降低甚至消除風險所帶來的損失。在本文中,筆者從水利水電項目中風險的特點與分類、風險的應對與控制等方面做了總結歸納。
參考文獻:
[1]潘旭能.洽談水利水電工程項目風險管理[J].水利水電工程造價,2009(01).
[2]王文飛,黃潔生.水利水電項目風險管理淺析[J].中國農村水利水電,2010(05).
[關鍵詞]境外 石油鉆井工程 項目風險管理
1引言
石油是一種不可再生的重要能源,與經濟發展的關系十分密切。隨著世界各國的發展,對石油資源的需求也逐步提升,境外石油工程項目的開發已經成為國際能源行業發展的大趨勢。我國的石油行業歷經多年的發展后,也已經紛紛將觸角伸向海外地區,并獲得了可觀的經濟效益和石油資源。然而值得注意的是,海外石油鉆井工程項目因為涉及到龐大的工程規模與復雜的技術管理體系,中間蘊含著必須面對的風險。如何能夠客觀地識別、評估和管理境外石油鉆井項目的風險并以合理的方式進行有效規避,是一個亟待解決的問題。本文首先從風險管理的自覺性、風險管理的動態性以及風險管理的經濟性、風險管理的系統性四個方面分析了境外石油鉆井工程項目風險管理的主要特點,在此基礎上從境外石油鉆井工程項目的前期、中期和后期三個角度闡述了風險管理和控制的具體措施。本文的成果對于改進海外油氣鉆井工程項目風險管理現存問題具有比較好的理論價值與實踐意義。
2境外石油鉆井工程項目風險特點分析
2.1自覺性
境外鉆井風險管理是項目主體的自覺性行動。風險管理的最終目的是為了能夠通過準確地識別與規避風險來避免帶來不必要的經濟損失,因此處于企業經濟效益最大化的目的,其工程主體將風險管理作為一項自覺的行為。
2.2經濟性
對項目進行風險管理,其本質依然是一種經濟行為,是為了避免企業在境外鉆井過程中遭受經濟損失而進行的一種管理行為。項目主體既要承受項目帶來的風險,又要識別和管理各類風險,這兩項行為集中于同一個施工主體單位,具有鮮明的經濟性特征。
2.3動態性
項目風險是一個不確定的過程,可以在項目進行的全周期中的任意一個階段存在和發生,風險因素的種類和程度也處于不斷變化之中,因此風險管理帶有很明顯的不確定特征。只有針對其不確定性進行合理而及時的風險評估與識別,才能在真正意義上實現風險的控制與規避。
2.4系統性
風險管理是一個整體工程,具有系統性,鉆井工程本身是一項系統性很強的工作,而風險分析與管理同樣是一個相對完整的環節,從風險的識別到風險的分析和應對,是一個環環相扣的整體。
3境外石油鉆井工程項目風險管理
3.1石油鉆井工程項目前期風險管理策略
在境外石油鉆井工程項目的前期階段,應該對可能存在的風險進行預先管理,預先管理的重點內容是結合該項目當中具有較大發生幾率的風險進行客觀的評估和識別,將風險因素從源頭進行斷絕。具體到境外的石油鉆井項目,應該結合量化的方法,以數理統計和綜合分析的方式,綜合考慮該工程所涉及的經濟因素、政治因素、地質因素、技術因素等多方面變量,構建合理的數學模型,并以專家的打分和以往的經驗為各個指標做出合理的權重,最后進行風險的量化,確定工程所存在的風險值。這個環節是風險測度中難度較高的一個環節,其結果能夠決定下一步風險管理模式的構建。而項目風險的各類影響因素互不相同,有些因素是顯性的,能夠對其進行描述或者測量;有些因素則沒有前期的跡象,判斷與測量的復雜度很高。此外,風險的評估也受到執行者的技術素養和施工經驗影響,因此只有在項目前期進行盡可能客觀精確的風險測度,才能為下面的風險識別和規避打下良好基礎。
3.2石油鉆井工程項目中期風險管理策略
中期風險管理策略所關注的是境外石油項目的具體實施過程。當一個項目獲準實施并且開始投入人力物力之后,必須結合項目前期風險管理行為中所測度和評估的項目風險源以及風險程度,對其進行有效的管理與控制。不但應進行準確的風險預警,還應制定嚴密的具有可行性的風險應對機制,配置所需的人力物力要素,從而在風險來臨之前對其進行弱化或消除,風險來臨之時則運用有效的應對機制使損失達到最小化。以科學的分析手段,結合工程的實際特點以及以往的工程施工經驗,制定出應對風險事件的管理措施。如果項目前期風險管理策略是對鉆井項目進行風險警戒,則項目中期的管理目標則是為了在風險事件真正出現時進行有效的應對和善后。
3.3石油鉆井工程項目后期風險管理策略
在工程項目后期,針對風險所做的管理工作主要是實現后評價。后評價所覆蓋的范圍則包括從工程的立項、實施到工程結束,充分參考工程立項時所確立的施工目標,結合項目現場的經濟條件、技術條件以及境外的政治條件等,對項目的風險管理進行綜合的總結與評估。一方面論證項目所取得的成績與依舊存在的風險,另一方面則從項目風險管理所達到的實際效果來判斷項目風險目標是否實現。項目的后評估工作能夠對鉆井工程的風險管理經驗進行歸納匯總,并以此作為日后其他類似項目的參考。
項目后評估結束之后,則應結合具體的評估結果,詳盡探討日后的其他項目可能遇到的類似風險以及應持有的應對措施,并著手開展新一輪的境外鉆井工程項目風險識別管理。流程為:
(1)充分結合項目的進行階段來進行有針對性的風險評估與識別。由于一個境外鉆井工程項目周期很長,處于不同階段的項目所面對的風險也有較大的差異,因此在風險管理時必須考慮到項目的階段性。
(2)結合科學的分析方法,例如神經網絡識別方法、模糊算法識別方法以及層次分析法識別等等,以客觀準確的量化風險值作為工程風險評估與規避的依據,并找出風險源,進行有針對性的管理。
(3)結合具體的風險識別結果,以具有針對性的管理方式進行規避和弱化,制定有效的應對策略。
關鍵詞:水利水電工程風險識別應對
一、風險管理是建設項目的關鍵
水利水電工程是利用自然資源產生經濟效益的工程,在水利水電的開發過程中存在著許多不確定因素,所以水利水電工程建設的風險管理具有很重大的意義。所以應盡早研究水利水電工程建設期間風險管理的相關問題,及時摸清楚當中存在的問題和將會帶來的后果,并采取有效的風險防范和處理措施。風險管理對于提高投資效益,確保工程實施的順利進行,將我國水利水電工程建設的設計與施工管理水平提到一個新的高度,都具有重要的意義。
二、水利水電建設工程中的主要風險因素
水利水電工程的工程風險是指在水利水電工程項目的立項、分析和實施的過程中都存在著不能預先掌握的干擾因素。在整個水利水電建設過程中主要的風險因素有:
2.1自然因素。自然因素是整個工程施工中最常見又最不可避免的干擾因素。氣候的變化會直接導致水文的變化,同時在項目建設期間有可能遇到的惡劣天氣等都可能對項目的實施構成威脅。而且,不良地質構造及暴雨、泥石流、塌方、滑坡等其他不可抗的自然事件對大壩、地下工程、水庫甚至整個工程都會造成很大的傷害。
2.2政策因素。在水利水電工程的建設過程中,往往會遇到國家政策及法規的調整。這些政策的調整都會對這個項目的投資及建設造成干擾。
2.3技術因素。水利水電的設計風險有:選址、工程地質勘測、水文調查分析及設計質量等。大壩抗震、泄洪消能、大規模地下工程及水庫、廠房的施工質量都關系到整個項目的生命周期。
三、水利水電工程項目風險管理的主要過程
就水利水電工程項目的風險管理來水,通常由風險識別、風險評估和風險應對三個部分組成。
3.1風險識別。
通過各種方法識別出項目中存在哪些風險及這些風險可能造成的后果,是進行水利水電工程風險管理的首要步驟。而風險識別的原則是通過系統分析和因素分解把一個比較復雜的項目分解成一系列的小部分,并找出各個部分中可能存在的風險,這樣就能省時的找出潛在的風險。由于風險在不斷變化,所以風險的識別在項目的各個階段都是十分重要的工作,它貫穿于項目建設的全過程。在進行風險識別時,要依照項目風險管理計劃、項目結構描述、項目的計劃信息及項目的歷史參考資料等,通過對不同施工階段的不同目標、工程的結構和建設環境的各種不確定因素的分析,得出項目潛在的風險及可能引起的后果,然后將搜集的各種信息分類整理,編制成風險識別報告,全面地總結出影響水利水電工程施工的風險及其來源、征兆等。識別風險的主要方法有:檢查表法、流程圖法、情景分析法、環境分析法等。
3.2風險評估。
如果說風險識別是對風險的定性分析,那么風險評估就是對風險的定量分析。通過對風險的評估來確定該風險因素在整個水利水電工程風險管理中的影響程度。一般來說,風險評估中要考量的關鍵是風險事件發生的頻率和該風險會造成的損失,例如橋梁的完全損壞雖然只有一次但也足以讓整個項目陷入困境,造成不能估量的損失。所以,在進行風險評估時,必須對風險的嚴重程度,風險發生的頻率、風險發生的時間及各風險事件間的相互聯系,以確保讓風險發生率降到最低。
3.3風險應對。
在水利水電工程施工的全過程中,發現風險是無可避免的,而當發現了風險,如何應對也是十分重要的步驟。為了能更好的應對風險,我們要以風險管理計劃為依據,以風險識別和風險評估的結果為基準,尤其要重點的考慮風險的特性、項目主體的抗風險能力,從而定制切實可行的風險應對計劃。并且還要針對項目的不同階段和不同的風險定制不同的、切合實際的應對措施。還有很多的風險處于潛伏的未被發現的階段,所以我們要做到能夠正確的預見和發現風險的苗頭,積極采取有效的措施,消除隱患和風險,盡早的發現和阻止風險事件的發生。如果在風險事件不可避免的發生了,我們就要積極采取搶救和補救措施,同時要根據風險事件發生的位置及嚴重程度,盡量縮小風險的范圍或將風險事件轉移到其他不會對項目造成嚴重影響的部位,盡可能的將風險事件造成的損失降到最低。與此同時,在風險造成損失的階段,要迅速的對風險造成的損失進行有效的補償,盡量避免風險事件對項目日常進展的影響,減少間接造成的損失。在風險應對時,特別要注意的是確定風險應對的措施,必須以風險識別和風險評估以及工程特點為依據,從系統整體的觀點出發,考慮風險管理的思路和步驟,選擇最優的解決方法。
風險管理對于水利水電行業來說是個新的課題,同時也是工程項目管理中不可或缺的部分,在水利水電工程的項目中,風險是十分客觀存在的,因此我們要根據項目的具體特點和企業自身的實際情況,及時分析項目中可能存在的風險因素。對于風險的管理我們還是應在風險預測上下功夫,但現在對風險的預測還是很難定量和定性地進行,大多數情況下都還是要依靠經驗進行預測。怎樣運用各種策略和技巧,系統、科學地對工程風險進行管理,有針對性地采取控制措施,才能減少風險或避免其可能產生的損失,從而為項目的順利實現提供了安全保障。
參考文獻:
[1]邱莞華。現代項目風險管理方法與實踐。北京科學出版社,2003。
關鍵詞:電力工程項目 風險 防范
中圖分類號:F407文獻標識碼: A 文章編號:
一、電力工程項目蘊含風險
電力項目建設程序可分為立項、可研、建設、運行等階段,電力項目建設周期長、投資大,對項目投資者而言,準確識別、評估各階段風險,并采取有效措施防范顯得十分重要。在項目立項可研階段。主要存在決策風險和項目技術經濟風險。在項目建設投產階段,主要存在項目完工風險和項目施工管理風險。在項目運行管理階段,主要存在運行操作風險、需求衰退、項目效益下滑和電力市場改革、市場競爭等方面的風險。電力項目建設周期長、投資回收期長,在整個過程中可能遇到更多政策變動風險、法律訴訟風險等。
對風險進行評估是運用概率和數理統計等方法對投資項目潛在風險事件發生概率、對目標實現影響程度進行估計,為風險控制奠定基礎。風險評估可考慮風險發生的可能性。即風險發生概率;還可考慮風險發生后影響程度,即造成損失的大小。一般投資項目風險評估工具和方法很多,對電力工程項目而言,主要有概率分析法、決策樹分析法、敏感性分析以及蒙特卡洛模擬法等方法。
二、電力工程項目風險識別
風險識別是風險防范的基礎,用感知、判斷或歸類方式對現實和潛在風險性質進行鑒別。只有正確識別項目所面臨風險,投資者才能夠開展風險應對策略并實施。電力工程項目面臨各種各樣風險,既有當前也有潛在于未來的,既有內部也有外部的,既有靜態也有動態的等。風險識別目的在于,識別出可能對項目進展有影響的風險因素、性質以及風險產生的條件,并據此衡量風險大小;記錄具體風險特征,并提供最適當風險防范對策;識別風險可能引起后果。
風險識別直接影響風險管理決策質量進而影響整個風險防范的最終結果。全面、正確識別項目所面臨風險,衡量風險和選擇對付風險方法才有實際意義。風險因素在識別階段被忽略。尤其是重大風險因素被忽略,可能導致整個項目失敗,造成不可估量經濟損失。增強風險意識、認真識別風險,是衡量風險程度、采取有效風險控制措施以及進行風險管理決策的條件。通過風險識別建立信息有存在或潛在風險因素;風險發生后果,影響大小和嚴重性;風險發生可能性、概率;風險發生可能時間;風險與本項目或其他項目及環境之間影響等。
三、電力工程項目風險防范
電力工程項目從立項到施工到投產運行,都將面臨眾多潛在風險,投資者應樹立全面風險防范意識,在不同項目建設階段組織專業項目管理班子,對電力工程項目進行風險識別、評估及控制,確定風險化解對策并組織實施,保障項目預期投資效益。
風險控制是針對風險識別和風險評估結果。為降低項目風險造成損失而制定風險應對措施、應對策略和技術手段并組織實施。項目經評價,可能會出現兩種情況,一是項目整體風險超出評價基準,超過投資者能夠接受水平;二是項目整體風險在基準范圍內,處于投資者可以接受范圍內。對于前者,投資者會改變投資項目目標和策略。對于后者,投資者應監測已識別風險。制定風險應對策略并實施,保障項目預期投資效益目標實現。風險應從公司整體角度來考慮。從各單元來看。剩余風險可能在單元風險承受范圍內,但各單元剩余風險疊加,則可超過公司整體風險偏好,就需追加采用相應風險化解對策,或改變原先風險化解對策。相反,各單元風險也可互相抵消,或者一個單元風險較高而另一單元風險較低。對各類風險進行總體評估后,投資者須采取相應風險化解對策。一是風險回避。投資者發現擬實施項目潛在風險事件發生概率高,導致不利后果嚴重,又無其他措施可緩解風險,可回避這種風險。二是風險緩解。設法采取措施減小風險發生概率或不利影響程度,或兩者兼而有之。相對于風險事件發生后損失,緩解措施成本合理。三是風險分散。風險分散方式有轉讓、分包、保險、擔保和簽訂免責協議等。四是風險接受。投資者對潛在風險事件不利后果權衡后,決定不采取任何化解對策,順其自然。
電力工程投資項目獲取利潤機會無處不在,但風險也無時無刻不伴隨項目實施而存在,對項目風險的防范應貫穿電力項目整個周期。現行風險管理,已提升為全面風險管理.拓展到考慮企業組織結構、職能設置、政策、目標、程序、過程和資源等全方位因素。全面風險管理。企業圍繞經營目標,在各個環節和經營過程中執行風險管理基本流程,培育良好風險管理文化,建立風險管理體系,包括風險管理策略、風險理財措施、風險管理組織職能體系、風險管理信息系統和內部控制系統,為實現風險管理總目標提供合理過程和方法。全面風險管理用系統的、動態的方法進行風險防范管理,減少項目實行過程不確定性。不僅使各層次項目管理者建立風險意識,防范于未然。而且在各階段、各方面實施有效風險控制,形成前后連貫管理過程。全面風險防范要求對項目全過程進行風險管理,從項目立項到項目結束,都進行風險識別與評估、對策制定以及風險控制;對全部風險進行全方位的、全面的管理并采取有效措施解決。
Tao Liqun;Zhu Fengqi;Lv Fenghua;Jing Zhirui
(Jiangsu Tobacco Industrial Co.,Ltd.,Nanjing 210011,China)
摘要:品牌是企業核心價值與核心競爭力的重要體現,實施卷煙品牌戰略對于卷煙企業可持續發展具有重要的推動作用。卷煙品牌風險管理作為卷煙企業品牌戰略的重要組成部分,是卷煙企業進一步加強品牌戰略的重要保證。本文通過分析卷煙品牌價值鏈中風險的形成機理,建立了集風險識別、風險評估、風險控制于一體的卷煙品牌風險管理體系,為卷煙企業強化品牌管理、構建品牌戰略提供了可借鑒的研究成果。
Abstract: Brand stands for the core values and core competitiveness of enterprises, and carrying out brand strategy is of importance to enterprises' sustainable development. As important component of the brand strategy, cigarette brand risk management is the significant guarantee for enterprise to extend its brand strategy. This paper analyzes the forming mechanism of the cigarette brand risk among the brand value chain, and proposes a model of cigarette brand risk management. This model consists of risk identification, risk assessment and risk control, which provides experience for cigarette enterprises to explore tobacco brand tactics and strengthen brand management.
關鍵詞:卷煙品牌 品牌風險管理 風險識別 風險評估 風險控制
Key words: cigarette brand;brand risk management;risk identification;risk assessment;risk control
中圖分類號:F273文獻標識碼:A文章編號:1006-4311(2011)29-0110-03
0引言
我國是全世界最大的煙草生產國與消費國,烤煙種植面積、烤煙產量、烤煙增長速度、卷煙產銷量、卷煙增長速度、吸煙人數、吸煙人數增長數量、煙稅增長速度均為世界第一[1]。據保守數據:中國有3.5億煙民,占世界煙民總數的25%,其煙草生產占全球的35%,而煙草消費占全球的32%。煙草行業每年對國家的稅收貢獻超過1000億元,占國家稅收收入的10%。從以上數據可以看出煙草行業在我國國民經濟中的重要作用。然而,在國家煙草專賣體制下,國產卷煙的市場化運作程度很低,各卷煙企業對卷煙品牌的重視程度還很不夠。隨著我國加入WTO的進一步深入,卷煙行業逐漸對外開放,眾多國外知名企業,如“555”、“萬寶路”等,爭相進入我國卷煙市場,給我過卷煙企業帶來了極大的壓力。面對國內外煙草市場格局的變化,在國家煙草專賣局制定的《中國卷煙科技發展綱要》中闡述了,中國卷煙業發展所面臨的機遇和挑戰,明確了中國卷煙科技發展的主要任務,提出了中式卷煙發展的目標,以積極地姿態提高國內煙草行業的競爭力。
品牌風險,也稱為品牌危機,是指在企業品牌建設中,對企業品牌造成嚴重威脅的、不確定性的和有危機感的情境或者事件。國內外學者對品牌風險管理進行了深入的研究,從不同的角度對品牌風險給出了自己的理解。吳狄亞、盧冰(2002)首次提出了品牌危機的定義:“品牌危機指的是由于企業外部環境的突變和品牌運營或營銷管理的失常,而對品牌整體形象造成不良影響并在很短的時間內波及到社會公眾,使企業品牌乃至企業本身信譽大為減損,甚至危機企業生存的窘困狀態。[2]”鐘唯希(2003)則把這個概念進一步明晰化,把誘發品牌風險的因素細化,并指出,品牌風險的實質就是信任危機[3]。郭盈盈(2006)首次從媒介和信息傳播角度對品牌危機下了定義,指出“品牌危機是指品牌所代表的產品(服務)及其組織的自身缺失或者外部不利因素以信息的形式傳播于公眾,……,使得該品牌面臨嚴重威脅的突發狀態[4]”。
品牌風險管理是一項復雜的系統工程,針對企業品牌價值鏈形成的過程中的各種相關因素,從系統的角度,結合先進的品牌風險管理理論,運用各類風險管理技術和信息技術,對品牌風險進行管理。東方船(2000)指出,品牌是企業“整個戰略系統的完整體系”[5]。劉慶玉等(2005)認為品牌本質上是一個復雜的價值系統,需要企業資源系統各要素的協同作用穩定發展[6]。系統角度的品牌風險管理研究在于擴大研究的范疇,上升到企業的戰略管理層面,從宏觀的角度來考察品牌風險的形成。
從以上研究可以看出,品牌風險管理越來越引起了企業管理者的重視,隨著市場化的發展,品牌戰略已經成為企業立足于市場中的重要基礎因素。本文通過對卷煙品牌實施品牌風險進行風險管理,開展品牌風險要素的識別和預警,以及品牌風險的處理等,能夠促進卷煙品牌又快又好地健康發展。因此,如何有效地識別、防范和管理企業卷煙品牌風險,是我國卷煙企業急需解決的一個關鍵問題,也是我國卷煙行業從傳統保護行業走向市場化過程中的一個管理新課題。
1卷煙品牌風險管理框架
從風險的一般原理出發,煙草品牌風險可以定義為煙草品牌的持續盈利能力受到不利因素沖擊而導致的不確定性。在卷煙品牌建設中,在品牌環境、品牌載體、品牌運作的過程中,存在著各類薄弱點,風險源就是通過影響這些弱點來達到影響卷煙品牌的目的。針對這些風險源,采取一定的應對措施加以控制,即進行品牌風險管理,是一項綜合全方位的管理任務。卷煙品牌風險形成機理的概念模型如圖1所示。
品牌風險管理是一種通過對風險的識別、評價和控制,以最少的成本將風險導致的各種不利后果減少到最低限度地科學方法[7]。煙草品牌風險管理的一般過程為:首先,對卷煙品牌的經營的內外環境進行分析,識別風險;其次,對識別的風險影響因子進行風險評估,根據已有的風險表征指標對各風險因子進行評價;最后,得出卷煙品牌風險管理的應對對策,建立品牌風險預警體系,如圖2所示。2卷煙品牌風險管理策略過程分析
卷煙品牌風險管理的一般過程主要包括風險識別、風險評估和風險控制三個方面,通過三個方面的綜合集成,能夠建立一套完善的卷煙品牌風險管理策略。
2.1 風險識別風險識別主要分為風險因子定義、風險因子提取和風險因子識別,風險識別要根據定義的風險因素的類型、特征,提取風險因素,進而定位到風險事件。風險因素的提取是指通過對風險源進行分析,對其中關鍵的影響因子就行抽象化處理,得出具體的因素指標。風險因素的識別要求識別出影響品牌風險的關鍵因子,剔除次要因子。卷煙品牌風險因素是指導致卷煙品牌運作的實際結果與預期目標產生差異的因素。查閱相關研究文獻,在分析我國卷煙品牌當前風險管理的現狀的基礎上,初步將風險因素分為四大類:宏觀環境因素、生產價值鏈、商品流通價值鏈、行業競爭與企業決策,如圖3所示。
2.2 風險評估風險評估是指對識別的風險因子進行估計的工作,以考慮其對卷煙品牌的各方面所造成的影響和損失的嚴重性,來確定是否采取措施進行管理,或者采取何種措施加以控制。風險評估分為三個步驟:確定風險表征指標、選取風險評估模型、進行風險評估。
2.2.1 風險表征指標風險表征指標是風險出現時所反應的某個側面的度量指標變化,顯然,表征指標在理論上是無限可分的,但從管理的實際出發需遵循可理解性、準確性、易于操作性等原則。從品牌持續成長的表征出發,通過頭腦風暴法集思廣益,然后對得到的結果進行分析處理,得出影響卷煙品牌風險的三大類7個表征指標:一是從公眾的視角產生的三個指標,分別為品牌忠誠度、品牌公關知名度、品牌聲譽度;二是從品牌在行業內的個性視角來產生的兩個指標,分別為品牌競爭力和品牌免疫力;三是考慮品牌的成長和擴張的兩個指標,分別為品牌成長性和品牌輻射度。這些指標分別從不同的視角刻畫了卷煙品牌的風險產生的過程。
2.2.2 風險評估模型風險評估模型是評估結果是否可靠的關鍵,風險評估模型要能夠體現出卷煙品牌所面臨的各類風險類型,根據不同類型的風險要素的影響程度,按照一定的評價策略,對其進行相應的分析,最后得出風險等級信息。具體的風險評估模型如圖4所示。其中,風險要素分為三種類型:一是可度量的風險因素;二是定性描述的風險事件;三是企業內部運作的風險。針對三種不同類型的風險源,分別采取影響分析、威脅分析、脆弱性分析三種不同的分析方法,得出相應的風險信息,然后對這些信息進行風險評估,最后得出相應的風險等級信息。
2.2.3 風險評估在選定了品牌風險表征指標,建立了風險評估模型后,接下來要完成的就是根據現有的風險因子信息進行卷煙品牌的風險因子評估,每一個風險因子按照評估的流程進行分析,得出其對卷煙品牌的影響度。風險因子評估的目的:①測定風險路徑影響因子,給出警情判斷;②根據對警情的綜合判斷,按照一定的規則對影響因素進行警情排序;③根據判斷的結果,對重要警情進行線路標注,然后再標注的基礎上對其進行控制。風險因子評估的流程如圖5。
2.3 風險控制對策風險控制,也稱為風險管理,是根據一定的風險管理策略對產生品牌風險的要素、事件等進行管理的過程,以期起到化解風險的作用。風險控制主要包括風險控制策略的制定以及相應的組織體系的建設,此外還涉及重要警源的管理流程設計、風險管理投資與立項的管理等。卷因品牌風險控制策略的制定和實施需要經歷四步:①風險預測。對可能發生的風險損失有足夠的估計,發現潛在的風險和損失。②風險決策。采取定量和定性的方法進行科學的決策,提出風險控制的可行性方案。③實施風險控制方案。采取各種有效措施來降低風險,保證方案順利實施。④方案的成果評價。
2.3.1 風險控制框架獲得了卷煙品牌風險的評估結果后,需要采取適當的風險控制策略,對潛在的風險因素進行控制,達到預防的目的。常用的風險控制策略有風險回避、風險應對、風險轉移和風險自留等。風險回避是以放棄或拒絕承擔風險作為控制方法來回避損失發生的可能性。 風險應對是卷煙品牌通過降低風險發生概率和減少風險發生帶來的損失來達到控制風險目的的手段和方法。風險轉移是通過若干技術手段和經濟手段,將風險部分的或全部轉移給其他人承擔。風險自留是對一些無法避免和無法轉移的風險,采取現實態度,在不影響根本利益的同時,將風險自愿承擔下來。風險控制是一個復雜的過程,在控制的過程中,涉及到卷煙的生產、銷售、流通等各個環節,涉及企業內部各主體,如何權衡各方的權利和義務是擺在決策者面前的一個難題。為了便于協調企業內部各部門之間的關系,需要設計一套規范的風險流程機制,并將其上升為企業的規章制度,保征風險控制策略能夠順利實施。經過研究,本項目設計了風險控制了基本機制,如圖6所示。
2.3.2 風險控制組織體系良好的風險管理組織體系是風險控制策略得以實施的重要保證。為了進行風險的預警和控制,企業需要設定專門的負責品牌風險管理的組織。但考慮到煙草公司現有管理體系是在實踐中形成的,有其存在的基礎和合理性,同時為了更好的調集各部門在風險控制中的積極性。因此,本項目認為將卷煙品牌的風險管理作為管理的一個側面,作為一種新的管理職能,融入到現有的管理體系中,更符合現實情況。為了便于風險控制策略的實施,本項目設計了一套風險管理的組織體系,該體系能夠很好的融入到各部門、各組織,有利于開展風險控制工作。基本思想是在現有組織體系中建立一個職能團隊式的品牌風險管理小組,來制定或者審核風險控制的方案,清理風險危機。風險管理小組不一定是實際存在的部門,而是在企業部門中選定風險管理人員,在市場部設定風險管理經理,同時在經理層設定一位風險管理主管領導的團隊,該團隊是協調組織各部門落實風險管理的運作中心。相應的組織形式如圖7所示。風險管理小組成員需要由各部門業務精煉,具有較強風險洞察力的人員組成。各部門風險人員的職責就是隨時監測卷煙品牌風險影響因子,并及時反饋信息,向風險經理匯報相關指標的變化情況;其次還要負責本部門與全公司之間的協調,保證相關風險管理行動在部門內順利開展。風險經理的職責是定期召開風險管理會議,收集各部門風險指標數據,進行分析,并做出風險管理決策。
3結束語
卷煙品牌風險管理對于卷煙企業的品牌建設具有重大的意義。隨著我國卷煙行業環境的變革,企業內部的顯現出來的各種因素對于企業的進一步發展或多或少的產生著各種影響,尤其對于卷煙品牌價值鏈的形成會帶來巨大的影響。
本文在系統分析卷煙品牌建設的基礎上,針對卷煙品牌價值鏈形成的全過程,建立了卷煙品牌風險識別、風險評估和風險控制的卷煙品牌風險管理體系,并針對三個方面進行了深入具體的分析,分別建立了卷煙品牌風險識別、風險評估和風險控制的策略,建立了一個相對完整的卷煙品牌風險管理流程體系。本文的研究對于卷煙企業應對卷煙品牌風險的管理具有現實的指導意義。
參考文獻:
[1]趙全意.探索中國煙草的品牌之路.中國經貿導刊,2001,(22):32-33.
[2]吳狄亞,盧冰.企業品牌危機防范[J].經營管理者,2002,(2):44-45.
[3]鐘唯希.品牌預警管理研究[D].武漢:武漢理工大學,2003.
[4]郭盈盈.品牌危機分析及其管理研究[D].成都:西南交通大學,2006.
[5]東方船.切開危機看品牌[J].中國廣告,2000,(2):61-62.
風險評估是保險風險管理的重要職能,也是保險公司在經營過程中極易被忽略的領域之一。近年來,重大自然災害及意外事故頻發,單一事故造成的損失巨大,雖然事故發生后保險公司根據保單約定進行了積極的賠付,但事前的風險管理與評估工作仍未能引起足夠的重視。筆者在與各保險公司人員進行交流過程中了解到,從認識上各保險公司都能夠意識到風險評估工作的重要性,但在具體開展工作的過程中,除了風控經費不足之外,更重要的是對風險管理的思路、流程以及方法認識不清,尤其是面對各種風險時,把握不住重點,存在畏難情緒,所開展的風控工作也僅限于現場識別風險,缺乏統一的風險評估思路,所取得的成效不大。通過對保險承保風險特征的分析,保險風險存在大量風險與同質風險的特征。因此,在風險管理過程中引入標準化的思路,將保險的風險評估過程標準化,按照標準化的要求對風險進行識別、分析和評價,對于有效提升我國保險公司的風險管理水平,降低風險事故的發生的概率具有積極的借鑒意義。
二、保險風險及標準化的概念特征
(一)保險風險的特征
保險是分散風險、消化損失的一種經濟補償制度。從風險管理的角度看,保險是風險管理的一種方法,或風險轉移的一種機制。通過保險,將眾多的單位和個人結合起來,變個體對付風險為大家共同對付風險,從而提高風險損失的承受能力。保險的經濟補償制度,既是風險的集合過程,又是風險的分散過程。保險公司通過保險將眾多投保人所面臨的分散性風險集合起來,當發生保險責任范圍內的損失時,又將少數人遭受的風險損失分攤給全體投保人,通過保險的補償或給付行為分攤損失或保證經營穩定。保險風險的集合和分散應具備兩個前提條件:一是大量風險的集合體。保險在于集合多數人的保費,補償少數人的損失。大量風險的集合,是基于風險分散的技術要求,也是概率論和大數法則原則在保險經營中得以運用的前提。二是同質風險的集合體。所謂同質風險,指風險單位在種類、品質、性能和價值等方面大體相近,如果風險不同質,那么風險損失發生的概率就不相同,風險也就無法進行統一集合與分散。此外,不同質風險損失發生的頻度、幅度也不同,若對不同質的風險進行集合與分散,極容易導致保險公司財務的不穩定。
(二)標準化的基本概念
根據標準化法條文解釋,標準化是“在經濟、技術、科學、及管理等社會實踐中,對重復性事物和概念通過制定、實施標準,達到統一,以獲得最佳秩序和社會效益的過程”。因此,凡具有多次重復使用和需要制定標準的具體產品,以及各種定額、規劃、要求、方法、概念等,都可作為標準化的對象。標準化的對象一般可分為兩類:一類是標準化的具體對象,即需要制定標準的具體事物;另一類是標準化的總體對象,即各種具體對象的總和所構成的整體,通過它可以研究各種具體對象的共同屬性、本質和普遍規律。標準化的基本原理包括統一原理、簡化原理、協調原理和最優化原理。統一原理就是為了保證事物發展所必須的秩序和效率,對事物的形成、功能或其他特性,確定適合于一定時期和一定條件的一致規范,并且這種一致規范與被取代的對象在功能上達到等效。簡化原理是為了經濟有效地滿足需要,對標準化對象的結構、型式、規格或其他性能進行篩選提煉,剔除其中多余的、低效能的、可替換的環節,精煉并確定出滿足全面需要所必要的高效能的環節,保持整體構成精簡合理,使之功能效率最高。協調原理是為了使標準的整體功能達到最佳,并產生實際效果,必須通過有效的方式協調好系統內外相關因素之間的關系,確定為建立和保持相互一致,適應或平衡關系所必須具備的條件。最優化原理是按照特定的目標,在一定的限制條件下,對標準系統的構成因素及其關系進行選擇、設計或調整,使之達到最理想的效果。標準化是實現科學管理和現代化管理的基礎,是合理發展產品品種、組織專業化生產的前提條件,是提高產品質量保證安全、衛生的技術保障,也是資源合理利用、節約能源和節約原材料的有效途徑。實施標準化的重要意義是改進產品、過程和服務的適應性,防止貿易壁壘,促進技術合作。
三、保險風險評估標準化的必要性
標準化的目的是為了在一定范圍內獲得最佳秩序和社會效益,通過制定和實施標準,使標準化對象的有序化程度達到最佳狀態。對于保險中的風險評估,不同的主體,甚至同一主體如保險公司內部的不同層級和部門,對其有著不同的理解,關注的焦點也存在差異,造成了各相關方之間的不配合,難于開展對風險管理效果的客觀評價,也就難于達到最佳秩序和最佳社會效益。通過將風險評估活動標準化,為風險管理活動提供一種共同的語言和公式,有了統一的標準,實施風險評估的各相關方就可以使用相同的風險管理過程,有了相同的決策、處理基礎,對風險評估活動持有共同的認識,有利于規范保險的風險管理活動。保險所面對的風險具有“大量、同質風險”的特征,風險評估標準化的過程,也就是針對各類大量同質風險進行科學分析研究的基礎上,結合技術進步的新成果以及實踐中累計的先進經驗,使之相互結合,加以消化、融會貫通、提煉和概括的過程。人們在生產實踐中為了規避風險或減少損失,已經積累了一定的經驗,也取得了大量的科學技術成果,這些成果和經驗如果以標準的形式來表達,對于保險公司在實施風險評估過程中提高效率具有重要意義。
四、風險評估過程的標準化分析
保險風險評估標準化體系的構建,要基于標準化的統一、簡化、協調和最優化原理,根據保險風險因素的特征,將風險識別、風險分析和風險評價過程中的共性的、重復性的可能導致風險發生的因素識別出來,使決策者及有關各方可以更深刻地理解各類承保風險,以及現有風險控制措施的充分性和有效性,為確定最合適的風險應對方法奠定基礎。根據《風險管理風險評估技術》(GB/T27921-2011),結合保險風險評估的特征,將風險識別、風險分析和風險評價環節中的標準化重點進行逐一解析,分析各環節中需要重點關注的因素和方法,實現風險評估過程的標準化。
(一)風險識別標準化
風險識別是發現、列舉和描述風險要素的過程,也是風險評估過程中的基礎環節。風險識別的目的是確定可能影響保險事故發生的事件或情況,一旦風險得以識別,保險公司應立即對現有的控制措施進行識別。風險識別的范圍包括對風險源、風險事件及其原因和潛在后果的識別,識別的方法包括:1)基于證據的方法,例如檢查表法以及對歷史數據的評審;2)系統性的團隊方法,例如專家團隊遵循系統化的過程,通過一套結構化的提示或問題來識別風險;3)歸納推理技術,例如危險與可操作性分析方法等。此外,也可利用各種支持性技術來提高風險識別的準確性和完整性,例如頭腦風暴法和德爾菲法等,但無論采用哪種技術,其關鍵是在整個風險識別的過程中要認識到人的不安全行為、物的不安全狀態以及組織管理制度的有效性。
(二)風險分析標準化
在風險分析過程中,重點應當考慮導致保險風險發生的原因和風險源、風險事件的正面和負面的后果及其發生的可能性、影響后果和可能的因素、不同風險及其風險源的相互關系以及風險的其他特性,還要考慮控制措施是否存在及其有效性。為確定風險等級,風險分析通常包括對風險的潛在后果范圍和發生可能性的估計,該后果可能源于一個時間、情景或狀況。在某些情況下,風險可能是一系列事件迭加的結果,或者由一些難以識別待定事件所誘發,在這種情況下,風險評估的重點是分析系統各組成部分的重要性和薄弱環節,檢查并確定相應的防護措施。風險分析的方法可以是定性的、半定量的、定量的或以上方法的組合。定性的風險分析可通過重要性等級來確定風險后果、可能性和風險等級,如“高”、“中”、“低”3個重要性程度。半定量法可利用數字評級量表來測度風險的后果和發生的可能性,并運用公式將二者結合起來,確定風險等級。定量分析可估計出風險后果及其發生可能性的實際數值,并產生風險等級的數值。
(三)風險評價標準化
風險評價將包括風險分析的結果與預先設定的風險準則相比較,或者在各種風險分析結果之間進行比較,確定風險的等級。風險評價利用風險分析過程中所獲得的對風險的認識,對外來的行動進行決策,包括:1)某個風險是否需要應對;2)風險的對應優先次序;3)是否應開展某項應對活動;4)應該采取哪些途徑。依據風險的可容許程度,將風險劃分為如下三個區域:不可接受區域、中間區域和廣泛可接受區域。不可接受區域內無論相關活動可帶來何種收益,風險等級都是無法承受的,必須不惜代價進行風險應對;中間區域內的風險應考慮實施應對措施的成本與收益,并權衡機遇與潛在后果;廣泛可接受區域中的風險等級微不足道,或者風險很小,無需采取任何風險應對措施。
五、結語
關鍵詞:風險;軟件項目;風險管理;
中圖分類號:F069?9 文獻標識碼:A
文章編號:1006-4311(2009)11-0094-03
0引言
隨著社會需求的增加和計算機技術的迅速發展,軟件產業在經濟發展中的地位日趨重要。但是,由于軟件產品的純知識性,隨之而來的軟件項目高失敗率也成為一個焦點。20世紀80年代末,軟件項目風險管理作為一門學科應運而生。經過近30年的發展,出現了一系列的軟件項目風險管理工具和方法。
由于對風險管理技術和實踐缺少了解,風險管理技術卻沒有得到廣泛的應用。鑒于此原因,本文對近年來出現的一些風險管理方法進行分析與比較,以期對軟件開發企業起到一定的幫助作用。
1軟件項目風險管理定義
SEI認為[1],“風險”就是承受損失的不確定性。風險管理是指在項目中含有過程、方法和工具的管理風險實踐,它建立了預先決策的規范環境,使得:①連續地評估風險;②明確了哪些風險因重要而需要處理;③③實施處理這些風險的戰略[1]。Hall[2]認為風險管理是評估和控制影響軟件項目、過程或產品的風險的實踐,該實踐圍繞目標設定、項目計劃、執行、度量、改進和發現新信息 6 部分展開。
Boehm認為[3] ,軟件風險管理指的是“試圖以一種可行的原則和實踐,規范化地控制影響項目成功的風險,其目的是辨識、描述和消除風險因素,以免它們威脅軟件的成功運作”。
2軟件風險管理技術、工具和方法
經過近30年的發展,軟件項目風險管理研究中出現了一系列的技術、工具和方法。其中,軟件工程研究所(SEI)為整個風險管理提出了一整套的標準步驟。這篇論文將對具有代表性的6個軟件項目風險管理工具和方法進行介紹和分析。
2.1 軟件風險評估(SRE)技術
SRE 模式是由SEI開發的,旨在對與系統相關的風險進行識別、分析、溝通、緩解。SRE系統包括風險管理流程、軟件開發風險分類圖(SDRT)以及基于問卷的分類法(TBQ)。該模型有五個過程,分別為風險識別、風險分析、計劃、風險跟蹤和風險控制,即對軟件項目中存在的風險行識別并加以分析評估,對風險進行優進化排序, 并對TOP風險加以管理,制定相應的應對計劃,最后進行跟蹤控制。
SRE不但是一種診斷工具而且還是一種決策工具。該技術從產品,過程和約束條件上進行風險處理,識別和分類。另外,項目成員參與風險識別與分析過程,并設法規避風險領域以面對自己的開發計劃。因此,項目經理可以在早期階段了解項目風險。
2.2 團隊風險管理(TRM)技術
Ronald P?Higuera, David P?Gluch, Richard L? Murphy 指出,團隊風險管理是指“在軟件開發項目生命周期的各個階段中,所有項目直接涉及到包括組織,團隊,部門和等都作為團隊的參與者參與其中,協同進行對組織結構和操作活動的風險管理。團隊風險管理,為政府和承包商提供了過程、方法和工具,從而使這兩個組織都能夠單獨的或者共同的參與決策過程,從而防患于未然[4]。”團隊風險管理活動使所有人包括從開發者到客戶都參與到一個組織當中。這種技術確保通過項目可以反復地和協作地進行持續風險管理[5]。TRM工作程序是風險識別,定期評估和分析新風險,計劃資源的合理利用以降低風險,風險跟蹤和風險規范行動,開始風險控制并將之變成問題,最終,項目中的伙伴關于風險開始溝通。
2.3 Softrisk 模型
Softrisk[6]風險管理技術是由于一些傳統的風險管理技術存在缺陷的情況下出現的。Softrisk模型結合其它項目管理來探討風險管理,確保了風險管理自動化并且適用于任何類型和規模的項目[7]。Ayad Ali Keshlaf,Khairuddin Hashim指出, Softrisk模型“是建立在一種思想基礎上設計出來的,這種思想就是風險文檔化和集中注意力在最大風險上是節省開發者時間和精力并且在降低軟件風險上能達到好的結果的最好的方法”[6]。
模型步驟概括如下[6]:
Softrisk模型第一步就是風險識別。Softrisk模型識別不僅針對可能發生在任何類型項目的一般風險也針對僅發生在特定項目的特定風險。第二步就是對第一步中識別出的每一種風險都要確定它發生的概率及其影響。風險的概率和影響都由特殊的風險清單進行評估。利用風險清單,將風險分為很低,低,中等,高,很高五類。第三步,風險文檔化階段。在這一階段,Softrisk將所有一般的和特別的風險數據文檔化。這個文檔用來跟蹤項目情況、統計業務和預測未來風險。第四步,風險評估。Ayad Ali Keshlaf, Khairuddin Hashim定義了風險暴露(RE)公式:
RE=風險發生的概率*風險造成的影響
第五步,排序。RE值是用來對所有風險進行分類并列出十大風險。第六步,把一圖形分成紅、黃、藍三個區域來表示RE值。第七步,控制階段。根據風險嚴重程度來選擇一個合適的風險減少技術。這項技術可以是緩解偶然性或危機計劃。在應用了這種技術后,再估計,再評估,再排序是必須的。最后一步,確定沒有任何風險存在。如果有新的風險,就要再轉到第一步。
2.4 ARMOR
M?R?Lu, J?S?Yu, S?R?Dalal認為, ARMOR(Analyzer for Reducing Module Operational Risk)“是一種自動識別軟件項目模塊操作風險的軟件風險分析工具”[8]。ARMOR的工作程序是訪問數據倉庫,項目數據庫,失敗數據庫和項目開發數據庫。該工具創建風險模型,并顯示項目管理的各種統計數據。通過提高用戶界面,簡化了風險建模程序。ARMOR建立了可行的項目評估風險模型,能夠衡量軟件項目風險。并且可以識別出風險源,指出如何提高軟件項目以減少它們的風險水平,并決定數據資料得來的風險模型的有效性。
在這個工具中,用戶可以將軟件風險分布的各種統計數據顯示出來。最后,用戶應用回歸分析驗證風險模型的有效性。經驗證的風險模型通常保存在一個模型庫。該模型將進一步應用于其它項目或完全不相關的項目當中。
2.5 Riskit模型
Riskit方法是由Maryland大學提出的,目的是為了支持系統風險分析,避免危險區域的出現,并使用合理的步驟評估風險。Riskit方法使用了圖形形式化工具,支持在定量分析之前對風險情景的定性分析。該方法根據歷史數據的有效性,準確的評估效用理論以其對風險進行量級,其特征就是支持多目標和利益相關者的多項需要。Riskit分析圖是Riskit模型的一種圖形形式,用來描述風險。使用Riskit分析圖不同的是使風險得到了明確的定義,因此,它比口頭交流更加形式化。Riskit分析圖在Riskit程序中將風險分解成風險元素。
2.6 基于CMM的軟件風險控制優化模型
在基于CMM的模型中,軟件風險評估和風險控制遵循CMM(能力成熟度模型)框架。在這個模型中,過程數據庫用來識別風險和制定相應的風險緩解計劃[9]。此模型在相似項目歷史數據基礎上實行軟件風險控制策略[10]。在這個模型中,軟件風險管理過程分成兩個活動:軟件風險評估和軟件風險控制。軟件風險評估主要是識別風險源,找出它們的潛在影響因素,最終確定風險的優先級。軟件風險控制主要是制定風險緩解計劃,監控風險情況,啟動風險緩解計劃,并調整計劃。對風險進行識別和優化后,制定結構化的計劃以使列表中高風險的影響程度最小化。其中,過程數據庫或風險庫對于識別和制定風險控制決策起著重要作用。
3比較與分析
軟件風險管理是一種新興學科,目標就是在風險因素對軟件的成功運作構成威脅之前,對風險因素進行識別,描述和消除。
軟件風險評估(SRE)方法是風險管理方法中比較好的例子。這個方法根據分析對風險進行識別,分析和制定計劃,并且具有很強的可操作性。但是,在識別和分析階段僅有項目開發人員而沒有其他利益相關人員如客戶的參與。這可能是一個比較嚴重的問題。由于項目的主要風險都是由利益相關者提出的需求因素引起的。因此,如果缺少利益相關者的參與,項目開發團隊可能沒有得到明確的需求,從而導致項目的失敗。
相反地,TRM確保了所有人員參與到風險管理過程中,使得項目經理很容易得到項目的明確需求。在團隊風險管理中,個人同組織一起參與到風險管理活動中,它包括了組織內部活動和組織間的進程。
Softrisk方法的重點是文檔化。這個模型可以應用于任何類型項目的任何階段。該模型的一個重要特點就是能對風險進行量化并計算風險發生的概率。模型將風險進行優先排序,并對TOP風險重點采取減緩措施。Softrisk方法利用圖形進行風險監控,并根據風險緩解計劃提出風險減緩建議。跟ARMOR方法一樣,Softrisk方法也利用了風險數據庫。
ARMOR方法是一種系統化的方法,不僅識別風險,還可以確定風險源并通過降低風險水平積極地對項目進行完善。
Riskit管理模型廣泛應用于許多行業。該模型使用圖形對不同方面的風險進行定義。一方面,模型擁有在TRM模型中相關參與者的主要特征;另一方面,模型還突出了在Softrisk模型中有主要特征的重要風險。
在基于CMM的軟件風險控制優化模型方法中,我們不難發現其與ARMOR方法在運行程序上的相似之處。兩種方法都從之前應用的啟發式知識失敗數據庫中收集數據。CMM方法以通過研究所遵循的SEI標準為基礎。
一、風險及風險管理的概念
風險是指損失發生的不確定性,它是不利事件或損失發生的概率及其后果的函數,用數學公式表示為:R=f(P,C),其中R表示風險,P表示不利事件發生的概率,C表示該事件發生的后果。
風險管理是指經濟單位對可能遇到的風險進行預測。識別、評估、分析,并在此基礎上有效地處置風險,以最低成本實現最大安全保障的科學管理方法。
從總體上看,風險是一種客觀存在,是不可避免的,而且在一定條件下還帶有某些規律性。因此,人們只能把風險縮減到最小的程度,而不可能將其完全消除。這就要求社會經濟各部門、各行業主動地認識風險,積極管理風險,有效地控制風險,把風險減至最低的程度,以保證社會生產和人民生活的正常進行。
二、項目風險管理的過程和方法
(一)項目風險預測與識別?
項目風險預測和識別是對項目進行風險管理的重要一步,但常被人們忽視,以致夸大或縮小了項目中風險的范圍、種類和嚴重程度,從而使對項目風險的評估、分析和處置發生差錯,造成不必要的損失。對項目風險進行預測和識別的方法很多,目前常用的有:德爾菲方法、頭腦風暴法和情景分析法等。德爾菲方法又稱專家調查法,用德爾菲方法進行項目風險預測和識別的過程是由項目風險小組選定與該項目有關的領域和專家,并與這些適當數量的專家建立直接的函詢聯系,通過函詢收集專家意見,然后加以綜合整理,再匿名反饋給各位專家,再次征詢意見。這樣反復經過四至五輪,逐步使專家的意見趨向一致,作為最后預測和識別的根據。在運用此法時,要求在選定的專家之間相互匿名,對各剩。反應進行統計處理并帶有反饋地征詢幾輪意見,經過數輪征詢后,專家們的意見相對收斂,趨向一致。
頭腦風暴法,就是以專家的創造性思維來素取未來信息的一種直觀預測和識別方法。一般是在一個專家小組內進行人以“宏觀智能結構”為基礎,通過專家會議,發排專家的創造性思維未獲取未來信息。
情景分析法是根據發展趨勢的多樣性,通過對系統內外相關問題的系統分析,設計出多種可能的未來前景,然后用類似于撰寫電影劇本的手法,對系統發展態勢作出自始至終的情景和畫面的描述。當一個項目持續的時間較長時,往往要考慮各種技術、經濟和社會因素的影響,對這種項目進行風險預測和識別,就可用情景分析法來預測和識別其關鍵風險因素及其影響程度。
(二)項目風險評估與分析對項目風險進行評估和分析是處置風險的前提,是制訂和實施風險控制計劃的科學根據,因此一定要對風險發生的概率及其后果作出盡量準確的定量估計,但由于歷史資料的不完整、項目的復雜性、環境的多變性以及人們認識的局限性都會使人們在評估和分析項目風險時出現一些偏差,如何利用多種方法綜合判斷以便縮小這一偏差,仍值得進一步研究的問題。
三、項目風險管理控制
通過對項目風險的評估和分析,把項目風險發生的概率、損失嚴重程度以及其它因素綜合起來考慮,就可得出項目發生各種風險的可能性及其危害程度,再與公認的安全指標相比較,就可確定項目的危險等級,從而決定應采取什么樣的措施以及控制措施應采取到什么程度。
在對某項目進行風險預測、識別、評估和分析后,如發現實施此項目將面臨巨大風險,一旦發生事故,將造成項目組無法承受的重大損失,而且風險經理又不可能采取有效措施減少其風險和損失大小,保險公司也認為該項目風險太大而拒絕承保,這時就應放棄或終止該項目的實施,以避免今后可能發生的更大損失。風險回避雖可徹底消除實施該項目可能造成的損失和可能產生的恐懼心理,但它是一種消極的風險控制方法,因為同時也失去了實施項目可能帶來的收益。
對信息系統進行模糊評價的步驟是先建立評價因素集t/評價集、再用從U到F(F)的模糊映射7導出模糊矩陣再給出各因素的權重,并選擇相應的函數進行綜合,最后進行評判。數學模型為:召=4RS=B廣,其中B為評價矩陣,4為權重集合,為從f/到F的一個模糊關系,S為系統得分,嚴為系統風險得分M。
2局域網信息安全風險評估
下面以以某單位局域網信息系統為評估對象,運用模糊評價理論和AHP方法對其進行風險評估。
2.1風險評估準備
主要是確定風fe評估的目標和范圍。目標是識別單位局域網信息系統及管理上的不足,以及可能造成的風險大小;范圍是單位局域網信息系統及系統內存儲的內部信息。
2.2資產識別
2.2.1資產分類機密性、完整性和可用性是評價資產的三個安全屬性。這里的局域網信息系統的資產表現形式主要是單位內部文件、科研成果、人員檔案等數據資料,系統安裝的應用軟件、源程序等軟件和網絡設備、計算機設備、存儲設備等硬件。
2.2.2資產賦值這里僅給出機密性的賦值。不同等級對應資產在機密性上達成的程度或者機密性缺失時對整個單位的影響。
2.2.3資產重要度區分資產價值可依據資產在機密上、完整性和可用性上的賦值等級得出。這里以資產機密性的賦值結果作為資產的最終賦值結果。為與上述機密生賦值相對應,將資產劃分為五級,級別越高表示資產越重要。
2.3威脅識別
這里采用德爾菲集體討論法進行威脅識別,確定評估對象面臨的主要威脅,生成威脅集r:kK=I2…,M,其中為第;種威脅,〃為評估對象面臨的威脅種類數。單位內部網絡信息系統有別于一般網絡信息系統的是,其在運行時一般要求與外網相隔離,因此,其面臨的安全威脅,特別是網絡攻擊和泄密主要來自內部人員。
2.4脆弱性識別
脆弱性識別是風險評估中最重要的一個環節。這里采用問卷調查的方法,從技術和管理兩個方面進行識別。
2.5建立風險評估指標體系
建立潛在風瞼指標體系時要盡量包括其所面臨的各方面的風驗,根據以上分析的單位局域網信息系統所面臨的威脅,并結合系統的脆弱性識別結果,建立了該系統所面臨的潛在風險的指標體系。
2.6建立關于風險嚴重程度的評價集
根據風S可能造成的影響的程度,建立評價集V=jVi,v2,v3v4mi,ninivi=丨災難性的,嚴重的,輕微的,可忽略的!
2.7評價結果及建議
由系統風險得分對照表8風險級別對應的風險值,可以看出該評估對象的風險等級為“嚴重的”,說明該單位局域網存在較大風險。結合最大隸屬度原則和評價權重可以看出該系統的信息安全風險隱患主要來自于制度落實不到位和有意泄密2個方面。一方面說明該系統安全管理制度制定較健全,但在管理制度的落實上存在問題,執行過程中未嚴格落實,因而存在發生安全風險的可能。另外,系統設計時防范措施不嚴密,存在內部人員利用系統安全漏洞進行攻擊的風險。所以,該單位信息系統需加強信息安全管理制度的落實監督,及時檢測系統漏洞,并制定方案修補漏洞,從而提高其安全性。
3結語
關鍵詞:新準則;審計風險;重大錯報風險;檢查風險
0 引言
2010年新修訂的《審計準則》將風險導向審計理念全面徹底地貫徹到整套審計準則中,進一步強化了風險導向審計思想,從風險識別、評估和應對等方面高度要求注冊會計師考慮是否實施及如何實施這些程序。新準則對注冊會計師進行審計風險評估與控制提出了更高的要求。
審計風險是指財務報表存在重大錯報,而注冊會計師發表不恰當審計意見的可能性。注冊會計師對財務報告不存在重大錯報提供的是合理保證,這意味著審計風險始終存在。如果注冊會計師將審計風險降至可接受的低水平,則對財務報表不存在重大錯報獲取了合理保證。
1 審計風險形成的原因
我國新審計準則的主要變化之一是采用了新的審計風險模型:
審計風險=重大錯報風險×檢查風險
可見,審計風險取決于兩方面因素:(1)重大錯報風險;(2)檢查風險。從審計風險的兩個要素可以看到審計風險形成的原因。
1.1 重大錯報風險存在的客觀性
1.1.1 重大錯報風險要素的客觀存在性
重大錯報風險是指財務報表在審計前就存在重大錯報的可能性,分為基于報表層次的重大錯報風險和認定層次的重大錯報風險。要分析重大錯報風險的形成,首先要界定其風險要素:(1)報表層次的重大錯報風險主要受企業經營風險的影響,企業的經營風險受內外部經營環境的影響,或由于戰略的失誤,或因經營流程的錯誤而不可避免;財務上有意無意的錯報漏報增加了會計風險。(2)認定層次的重大錯報風險包括固有風險和控制風險,企業內部控制設計的合理與執行的有效與否決定了控制風險的高低。這些都決定了重大錯報風險的可能性。
1.1.2 財務報表編制不具合法性、公允性
如果被審計單位對會計估計的判斷及對會計政策的選擇和運用不符合適用的會計準則和相關會計制度,或是會計人員的舞弊行為,都容易致使報表出現重大差錯。如果注冊會計師通過測試未能發現這些差錯,就形成審計風險了。
1.1.3 被審計單位管理當局的舞弊行為
管理當局出于經濟或其他目的,同時由于企業財務業績的衡量和評價對管理層帶來的壓力,可能導致其進行財務舞弊,通過各種手段粉飾財務報表,而且手段越來越隱蔽、高明,如果注冊會計師沒有識別出這種舞弊行為,報表信息使用者就會追究注冊會計師責任,因此,被審計單位管理當局的舞弊行為成為審計風險的重要根源。
1.2 檢查風險的不可避免性
檢查風險是指如果存在某一錯報,該錯報單獨或連同其他錯報可能是重大的,注冊會計師為將審計風險降至可接受的低水平而實施程序后沒有發現這種錯報的風險。檢查風險取決于注冊會計師的專業勝任能力和職業道德遵循情況。專業勝任能力的影響因素主要有:注冊會計師應具備的專業知識不足;職業判斷失誤;執業經驗不足等。影響職業道德遵循的因素主要有:注冊會計師沒有保持獨立性,缺乏應有的執業謹慎,責任心不強;承接不能勝任的工作等。此外,如果會計師事務所的審計質量控制存在問題,也會增加注冊會計師的檢查風險。并且,由于采用抽樣審計技術,檢查風險通常無法降至零。
從以上兩個審計風險要素及成因可知,審計風險的評估與控制也應從這兩方面著手。由于重大錯報風險是由被審計單位形成的,注冊會計師只能對其進行識別評估而無法進行控制,再根據重大錯報風險的評估水平來確定檢查風險并進行控制。
2 重大錯報風險的評估
對于重大錯報風險的評估,審計人員要作出審計判斷首先要識別相關風險,然后評估重大錯報風險并采取應對程序。在識別和評估重大錯報風險時,注冊會計師應該考慮被審計單位的戰略目標及相關的經營風險等重要因素。
2.1 重大錯報風險影響因素的考慮
2.1.1 識別和評估經營風險
經營風險,是指對被審計單位實現目標和實施戰略的能力可能造成不利影響的重要狀況、事項、情況、作為或不作為而導致的風險,或由于制定不恰當的目標和戰略而導致的風險,包括戰略風險和經營流程風險。
1)戰略風險的識別與評估
注冊會計師接受委托后的第一階段就要了解企業的戰略目標。注冊會計師要了解行業狀況、法律環境與監管環境,以及其他外部因素,并通過分析外部環境中影響企業有效執行戰略的潛在風險因素來識別戰略風險。在識別戰略風險后,注冊會計師可以通過詢問、觀察和檢查等方法了解被審計單位有無相應的風險管理措施及執行的有效性,以此來判斷戰略風險。
2)關鍵經營流程風險的確定
注冊會計師在確定戰略風險后,應判斷其重要性,如果是重要的,那么它所指向的經營流程也是重要的;另一方面也可以通過重要交易類別識別出關鍵經營流程,也即先確定企業經營中的重要交易類別,再判斷其對會計報表的影響是否重要,如重要則說明這一重要交易類別所處的流程為關鍵流程。然后從流程目標、投入、作業、交易類型等方面對企業所依賴的關鍵經營流程進行了解分析,以此評價流程風險。
2.1.2 評估控制風險和固有風險
注冊會計師應通過職業判斷確定哪些內部控制與審計有關,審計人員可以通過詢問、觀察、檢查、重新執行等程序對內部控制進行測試,必要時進行穿行測試,以評價這些控制設計的合理性,確定其是否得到有效執行,并以此評估控制風險。固有風險是指在考慮相關的內部控制之前,某一認定是于發生錯報的可能性,它與控制風險不可分割地交織在一起,有時無法單獨進行評估,可視注冊會計師偏好的審計技術和方法及實務上來考慮評估方法。
2.1.3 關注特別風險
特別風險是指注冊會計師識別和評估的、根據判斷認為需要特別考慮的重大錯報風險。主要包括:舞弊風險;與近期經濟環境、會計處理方法及其他方面的重大變化有關的風險;涉及重大的關聯方交易;交易的復雜程度等;涉及異常或超出正常經營過程的重大交易的風險;以及財務信息計量的主觀程度,特別是計量結果涉及廣泛的計量不確定性帶來的風險。
2.2 綜合評估重大錯報風險
新審計準則要求注冊會計師從財務報表層次和認定層次來識別和評估重大錯報風險, 為設計和實施進一步審計程序提供基礎。
2.2.1 財務報表層次重大錯報風險的評估
注冊會計師在對重大錯報風險的各要素風險進行識別和評估后,應考慮這些風險是否更廣泛地與財務報表整體相關,進而潛在地影響多項認定。報表層次的重大錯報風險很可能源于薄弱的控制環境,因為控制環境對報表的影響難以限于某類交易、賬戶余額和披露。注冊會計師可以通過測算各項財務指標,包括資產負債率、流動資產比例、資產負債表各項目占總資產的比例、資產負債表各項目增長率等,以及利潤表中的毛利率、其他業務收入、營業外收入、投資收益與主營業務收入的比例等,并實施分析程序,將這些指標與同行業平均指標相比較,了解其變動趨勢,分析變動原因。在這個過程中,注冊會計師應考慮審計項目組的勝任能力、對專家工作的利用,以及采用相應的質量控制程序。
2.2.2 基于認定層次的重大錯報風險的評估
有些重大錯報風險直接與特定的某類交易、賬戶余額和披露的認定相關,而報表層次的重大錯報風險會潛在地影響多項認定,因此,要將報表層次的重大錯報風險分解到賬戶認定層次,也就是說注冊會計師對重大錯報風險的評估最終都歸集到認定層次。
首先,將各風險要素分配到業務循環層次,注冊會計師應考慮某一風險要素如何影響客戶某一個或某幾個業務循環產生,影響程度怎樣及發生可能性的大小;其次,分析影響該業務循環的風險因素對具體賬戶的影響,即將重大錯報風險歸結到賬戶和認定層次;最后,綜合各單個賬戶可能受到的各方面風險因素的影響,從而最終確定該賬戶認定層次上重大錯報風險。
重大錯報風險是審計人員估計水平,如果通過實施進一步審計程序獲取的審計證據,或獲取的新信息,與注冊會計師之前作出評估所依據的審計證據不一致,注冊會計師應當對評估的重大錯報風險水平進行修正,以此來確定檢查風險,并修改原計劃實施的進一步審計程序。
3 檢查風險的控制
從審計風險模型可以看出,檢查風險與審計風險之間存在著正向關系,與重大錯報風險成反向關系。由于審計業務是一項保證程度較高的業務,可接受的審計風險應當足夠低,如果評估的重大錯報風險較高,注冊會計師就必須將檢查風險控制在較低的水平,以使審計風險處于可接受的水平。所以,在既定的風險水平下,注冊會計師在評估了重大錯報風險水平之后,要做的就是如何控制檢查風險。簡言之,對檢查風險的控制就是針對重大錯報風險采取有效的審計程序,這貫穿于審計過程的始終。
3.1 審計前的風險控制
在業務承接階段,注冊會計師要綜合考慮客戶各方面情況,對是否接受新客戶或保持現有客戶關系實施必要的程序,從而決定是否接受業務受托。這些程序包括:初步了解審計業務環境、考慮勝任能力、評價獨立性、分析和評價客戶風險因素。
注冊會計師在接受委托并且評估重大錯報風險后,在實施審計前需要做的是針對報表層次的重大錯報風險采取總體應對措施:強調保持職業懷疑的必要性;審計人員安排;對業務的督導;對不可預見因素的考慮及進一步審計程序計劃的修改等。總體應對措施會影響到擬實施進一步審計程序的總體方案,包括實質性方案和綜合性方案,當評估的財務報表層次重大錯報風險為高風險水平時,擬實施的進一步審計程序往往更傾向于實質性方案。
3.2 審計實施階段的風險控制
實施階段的風險控制是針對認定層次重大的錯報風險而采取的風險應對措施,即實施進一步審計程序,包括控制測試和實質性程序,涉及到審計程序的性質、時間和范圍,其中性質是最重的。
3.2.1 控制測試的選擇
控制測試不是必要的審計程序,只有認為控制設計是合理的、預期控制有運行是有效的,或僅實施實質性程序并不能夠提供認定層次充分、適當的審計證據時,注冊會計師才有必要實施控制測試。注冊會計師可以采取詢問、觀察、檢查和重新執行等審計程序,根據被審計單位內部控制執行的頻率、運行有效性的時間長度及預期偏差等來確定控制范圍,以獲取控制運行有效性的審計證據。對控制有效性的信賴程度越高,注冊會計師應當獲取越有說服力的審計證據。注冊會計師在進行控制測試時更適宜選擇在期中進行,但應考慮針對期中至期末這段剩余時間獲取充分、適當的審計證據。
3.2.2 實施實質性程序
實質性程序是必要的審計程序,包括細節測試和實質性分析程序。細節測試適用于對各類交易、賬戶余額有披露認定的測試,尤其是對存在、發生或認定的測試,而實質性分析程序更適用于在一段時間內存在可預期關系的大量交易。注冊會計師應根據各類交易、賬戶余額和披露的性質選擇實質性程序的類型,并根據評估的認定層次的重大錯報風險和控制測試的結果來確定實質性程序的范圍。實質性審計程序更適宜在期末或接近期末進行,如果考慮到多方面因素需在期中進行,注冊會計師應權衡成本效益,并將期中實施的結論合理延伸至期末。如果擬利用以前獲取的審計證據,注冊會計師應當在本期實施審計程序,以確定這些審計證據是否具有持續相關性。
3.3 審計報告階段的風險控制
在完成實質性測試后,注冊會計師已經掌握了較充分的審計證據。此時,注冊會計師要綜合考慮各風險要素,對審計證據進行整理與評價,復核審計工作底稿,匯總審計測試結果和審計差異,以此對審計風險進行最終評價,并與期望審計風險比較,以判斷審計風險是否控制在可接近水平之下。如果注冊會計師得出結論,審計風險處在一個可接受水平,那么則可以直接提出意見,如果注冊會計師認為風險不能接受,那么他應追加實施額外的審計程序,或要求被審計單位作必要調整,以使重大錯報的風險降低至可接受水平,并得出恰當的審計意見。
參考文獻:
[1] 中國注冊會計師協會.中國注冊會計師審計準則2010[M].經濟科學出版社,2010.
[2] 注冊會計師協會.注冊會計師考試教材[M].經濟科學出版社,2012.
[3] 趙保卿.審計學[M].經濟科學出版社,2007.
[4] 鄒晶,方松.風險導向審計的重心:審計風險評估[J].審計月刊,2006.
[5] 李祥富.注冊會計師審計風險研究[J].經濟管理論壇,2005.
關鍵詞:鐵路建設;工程風險;風險評估與管理
中圖分類號:X731文獻標識碼: A
2014年3月在義烏西站貨場擴能改造工程建設中了解到《上海鐵路局建設項目質量安全風險管理“一圖四表”法實施意見》上鐵建發【2012】434號文,從中學習到鐵路工程建設風險評估與管理的重要性,并對此有了些自我見解。
一、鐵路建設工程風險形成
工程建設風險是由兩部分組成的:風險事件出現的概率以及風險出現后可能造成的損失。風險事件的發生是由一系列風險因素引起的,它是風險可能產生的潛在征兆。由此可以看出,工程建設風險的發生過程實際上就是一系列風險因素以及風險事件共同作用下對工程造成損失的過程,該過程凸顯了風險形成的機理,同時也展現了風險的構成。
(一)風險因素
風險因素是導致風險事故發生、風險損失形成的直接或者間接原因,它是推動風險發生概率以及風險損失程度增大的罪魁禍首。風險因素的形式上多種多種的,在建設工程中主要表現為兩種形式,一種是有形的風險因素,另一種是無形的風險因素。有形的風險因素是指直接與建設工程相關,不以人為因素而變更的因素,比如,工程質量缺陷,工程環境惡劣等。而無形的風險因素多體現為人為因素,如人為欺詐或對建設工程抱有僥幸心理等。
(二)風險事件
風險事故是指直接或間接造成生命財產損失的事件。在一定程度上可以說風險事件是損失的承載體,也就是說損失必須要風險事件發生后才能得以出現,是指造成生命財產損失的偶然事件,是直接或間接造成損失的事故,例如,線路工程中所需材料不合格,螺旋道釘錨固架不達標、未按照配合比進行熬制錨固漿以及違章施工和大型機械及其他物體侵入線路的事件。
(三)損失
鐵路建設工程上的損失是指由風險事件發生后導致的的經濟損失、人員傷亡或工期延誤等,這種損失通常不在風險管理著預期范圍內,具有極大的不確定性。損失通常可以分為兩種:直接損失和間接損失。直接損失即與建設工程風險直接掛鉤的損失,可理解為實質性損失;間接損失則是指為彌補風險直接損失所需承擔的額外費用等損失。
二、風險識別
風險識別是系統、全面地識別影響項目目標實現的風險事件,并加以適當歸類的過程,是項目管理者動態監控、識別風險來源,確定風險觸發條件并初步評價風險影響的過程。
風險識別是風險管理的基礎,它的好壞直接影響到風險管理的質量以及最終結果。同時,風險識別還為評估提供必要的信息,為風險評估打下基礎。通過風險識別將某些可能對項目造成危害的因素標記出來,以便制定更有針對性的風險方案,而不是盲目的制定補救措施。
(一)風險識別的流程
圖1鐵路建設工程風險識別流程
(二)風險識別的方法
總體來說,風險識別的方法可以分為三類:基于證據的方法、系統性的團隊方法、歸納推理技術等。下面介紹幾種在工程中常用的風險識別方法。
(1)檢查表法
檢查表法是比較簡單的一種風險識別方法,因此它也是風險管理過程中最常用的一種方法。使用此方法前需要建立一個完整的風險指標體系,確定風險責任人,在對具體工點的風險進行分析時可直接對照該體系進行識別,并落實到人。。
檢查表法操作簡單,即是說非專家人士可以使用。同時,編制精良的檢查表將各種專業知識納入到了便于使用的系統中,有助于確保常見問題不會遺忘。
(2)頭腦風暴法
頭腦風暴法是一種激發團隊智慧來解決問題的方法,它通常是采用開會討論的方式來進行,邀請一些行業專家對所涉及問題暢所欲言,收集并整理這些專家的意見以得到合理的決策標準或處理方法,比如參照公司分發的問題庫等進行排查。
腦風暴法可以排除折衷方案,對所討論問題通過客觀、連續的分析,找到一組切實可行的方案。頭腦風暴法有以下幾個優點:
①激發想象,提供一個良好的思維環境,更容易實現創新;
②多人參與,通過全面的溝通提前發現問題并解決問題;
③速度較快并易于開展。
(3)分析分解法
分析分解法是將復雜事物按一定規則簡化的過程,通常以層次結構的形式展現。當復雜事物的各個要素并未清晰的呈現時,可采用此方法,以達到事物易于分析,便于實行的目的。
鐵路建設工程具有規模大、周期長的特點,在風險識別時通常采用分析分解法將工程項目進行結構性劃分,將復雜問題簡單化,使風險識別的結果更加完整準確。
三、風險估計的內容
在識別了工程項目所面臨的各種風險之后,風險管理人員必須對項目風險量大小進行估計,以便確定它們的相對重要性,并為風險管理決策提供依據。風險估計需要同時確定項目風險概率和損失量,并以此作為風險分析的基礎,評估風險量的大小,即項目風險的等級。
(一)風險概率
風險概率是指風險事件現實發生的可能性。通常采取等級賦值的方法,將定性的概率描述與量化的概率相聯系,建立起五級制的等級劃分。這種方法即方便決策者理解,又能提高評估的準確性。風險概率五個等級的具體表示如下。
①“很不可能”:該風險事件可被發生的可能性幾乎為0。
②“不可能”:該風險事件有可能發生。
③“偶然”:該風險事件偶爾會發生。
④“可能”:該風險事件有規律地發生。
⑤“很可能”:該風險事件頻繁地發生。
(二)風險損失
風險損失是指風險一旦發生將會對項目目標實現造成的影響,包括如下三個方面。
(1)人員傷亡。是指在參與施工過程中或運營過程中,由于操作者的失誤、操作對象的缺陷以及環境因素等相互作用所導致的人員傷亡。
(2)經濟損失。經濟損失是指風險事故造成工程發生災害后所需彌補費用的總和。
(3)工期延誤。工期延誤是指風險事故發生引起的工程建設時間的延長,反映在各階段工作的延誤或總體進度的延誤上。工期延誤的潛在損失起初被認為某一特別的工序延誤引起的,而沒有考慮這個工序是否在關鍵線路上,到后來才只在關鍵線路上來考慮工期的延誤。
從以上三種損失的分類可以看出,它們分屬于不同的性質,如經濟損失用貨幣來衡量,而進度的拖延則屬于時間范疇。但是,進一步分析可知這三種損失在本質上可以歸納為經濟損失和責任。
四、風險處理
在風險識別和風險評估后,下一步工作就是如何有效地應對風險,以減少風險事件發生的概率,降低損失程度。風險處理就是針對風險分析的結果,為降低風險的負面影響而采取的應對措施。常用的項目風險應對措施包括風險減輕、風險預防、風險轉移、風險規避和風險自留。
(一)風險減輕
風險減輕是指通過采取一系列風險防范措施,以達到降低風險發生可能性的目的。針對不同類型的風險,應提出不同的風險處理措施予以達到風險減輕的目的。對于可預測的風險,風險管理之應提前做好應急準備,以實現風險的完全控制,例如隨著工程施工工作的開展,施工工期逐漸清晰,工期延誤風險變得可預測,如出現此類風險,即可通過壓縮關鍵路線時間,以達到減少工期的目的。對于不可預測的風險,則必須加強風險信息的收集,以降低風險發生的不確定性。
(二)風險預防
風險預防是指在風險發生前提前做好準備,以防止風險的出現。根據預防的形式不同,可分為有形和無形兩種風險預防手段。
(1)有形的風險預防手段,通過采取工程措施(例如抗滑樁、擋護墻等)將可能造成的人、財、物損失同風險因素隔離,增加的防護還能預防風險事件的發生。
(2)無形的風險預防手段,最主要的形式為教育形式。通過對工程管理人員進行風險教育,包括工程建設相關的法律、法規、標準、規范和安全技能等方面的教育,使有關人員提高風險管理意識,減少因人工失誤造成的不必要損失。
(三)風險轉移
風險轉移是借助合同等手段,在風險發生時將損失的一部分轉移到第三方的策略。
風險轉移的策略主要包括:分包、保險和擔保三種。
分包:承包人將其所承包的一部分向其他專業施工公司分包,專業分包公司對于特定施工工藝的熟悉,可以有效降低施工風險。保險:通過購買保險,當風險事件發生后,項目各方就可以獲得保險公司的補償,實現將風險轉移給保險公司的目的。擔保:可以實現銀行、保險公司和其他銀行金融機構為項目風險負間接責任的一種承諾。
(四)風險規避
風險規避是指,在風險發生概率較大、風險損失較嚴重,且無法通過其他方法對風險加以改善的情況下,通過改變項目目標的方式避讓風險的措施。例如,在鐵路建設工程可研階段,即可通過選線來規避上述類別風險。
(五)風險自留
項目管理者主動將風險事件的不利后果接受下來,即為風險自留,分為主動接受和被動接受兩種。在風險計劃的過程中項目管理者已經估計到了風險事件發生的可能性,并作出了相應的準備,當風險事件發生后,立刻執行應急計劃,即為主動接受。被動接受,是指風險事件損失后果不嚴重,對整體工程影響不大,項目管理者提前準備一筆費用,以防此類風險的發生,如預算應急費、漲價費等。
結語
鐵路工程建設項目風險管理理論還需要進一步完善,同時更應加強風險管理理論在實際工程中應用。在理論研究的同時,還需要把理論與工程實際相結合,使理論更好地服務于實踐,以促進工程風險管理水平的提高。
參考文獻
[1]聶洪亮.鐵路路基工程風險分類及評價研究[D].西南交通大學,2014.
