在线客服

风险评价的定义实用13篇

引论:我们为您整理了13篇风险评价的定义范文,供您借鉴以丰富您的创作。它们是您写作时的宝贵资源,期望它们能够激发您的创作灵感,让您的文章更具深度。

风险评价的定义

篇1

对于消费者来说,装修费其实蛮高的,作为渠道商我也觉得有点高。但是怎么把这个费用降下来,可能大家也在思考,站在各自的利益角度,可能工厂、渠道商、卖场,装饰公司都没有觉得自己挣的多。就我们公司的数据而言,现在装修费用在流通环节里面占了差不多15个百分点。这十几个点根本装不到兜里的,全部消耗掉了。卖场的租金,包括街边店又占十二三个点,我相信像我们经营的规模是比较大的,我们的租金和销售额比例应该还是低的,很多小品类的品牌,租金占销售费用的20%,可能还有25%。人工费差不多要十几个点,仅仅这三项费用,就接近40%,这是我们现实的渠道费用,这个费用是需要消费者买单的。

我拜访过酷家网,觉得互联网技术确实解决了我们很多问题。过去做展厅就是要让人们看见你的东西好不好,效果我喜欢不喜欢。其实目前的互联网技术,陈航已经演示了,未来能解决这种问题的公司会有很多。大家不要有平台恐惧,大家现在最担心会不会出现一个恐龙出来?其实越成熟的东西越廉价,现在互联网技术把我们要装成什么效果,已经提前模拟出来了,你还需要看样板间吗?

篇2

 

风险管理是组织管理活动的一部分,其管理的主要对象就是风险。在GB/T 23694—2013 / ISO Guide 73:2009《风险管理 术语》中曾经指出,风险管理由一系列的活动组成,这些活动包括了标识、评价、处理和可能影响组织正常运行事件的整个过程,其准确的定义为:风险管理(risk management)是指在风险方面,指导和控制组织的协调活动。

 

与风险管理定义密切相关的,还有“风险管理框架”和“风险管理过程”两个词汇。

 

风险管理框架(risk management framework)是指为设计、执行、监督、评审和持续改进整个组织的风险管理提供基础和组织安排的要素集合。在GB/T 23694—2013 / ISO Guide 73:2009原文中给了三个有用的注解,分别为:风险管理框架是要素集合,这个框架并不是单独存在的,这就体现了风险的特点之一,就是一系列的“点”,这些点是要被嵌入(be embedded)。特别值得指出的是,校准(align))、整合(integrate)和嵌入(embed)是信息管理安全领域,也是整个管理学领域的常见词汇。其中,在战略层面一般强调校准,即无论是信息安全的战略还是信息系统的战略,都应该与组织的整体战略保持一致。在更细的策略或流程层次,则强调整合或嵌入。例如,已经有人力资源的管理规程,需要嵌入安全管理的部分,或者已经有事件管理规程,将其与信息安全事件管理进行整合。总之,校准、整合和嵌入是值得深入研究的三种方法。

 

风险管理过程强调的是系统化的策略、程序和方法。这三者关系如图1所示。

 

风险管理过程才体现了信息安全应该如何做(how)的问题。

 

严格讲,风险管理不仅仅是过程,是一系列的活动。因此,在下文的图3中,我们特别指出: 风险管理的阶段划分仅作示意。

 

2 风险评估及其过程

 

在GB/T 23694—2013 / ISO Guide 73:2009中,风险评估并不是作为一个单独的过程定义的。其中定义为:风险评估(risk assessment)包括风险识别、风险分析和风险评价的全过程。

 

风险评估的过程在GB/T 23694—2009 / ISO/IEC Guide 73:2002中虽然也是类似的定义,但是当时并没有单独把“风险识别”作为一个单独的阶段。或者说,在当时的定义中,“风险识别”是作为“风险分析”的一个阶段而出现的,详细定义为:风险评估包括风险分析和风险评价在内的全过程。

 

为了更好地理解其中的变化,我们在表1中给出了风险评估包括的阶段的术语定义。

 

无论如何划分,风险评估都要完成下面这些活动:

 

在上述三个步骤中,步骤一与步骤二较为通用,或者说,截至到风险分析阶段,我们需要确定风险的等级,这都可以按照通用的标准或方法提前定义好。步骤三则不同,这个步骤需要结合组织自己定义的风险准则。

 

3 区分风险评估与风险管理

 

我们可以简单地认为,风险评估是风险管理的一个阶段,只是在更大的风险管理流程中的一个评估风险的阶段。如果把风险管理理解成一个“对症下药”的过程,那么风险评估就是其中的“对症”过程,只是找到问题所在,并没有义务解决。而风险管理是在整个组织内把风险降低到可接受水平的整个过程。主要阶段包括风险评估和风险应对(risk treatment) )。

 

风险管理是一个持续循环,不断上升的过程,它被定义为一个持续的周期,每隔一个阶段就开始新的循环,这些循环要贯穿组织的始终,是组织管理的一部分。风险评估则更像“搞运动”,其一般按照一定的时间间隔进行,但是如果发生组织业务变化、出理新的漏洞或基础机构变化等,都可能启动新的风险评估过程。

 

风险管理的循环过程不是在原地踏步的,它的每一次新循环都应该上一个新的台阶,呈螺旋上升的形状。如图3所示。

 

这种台阶或者档次的上升的来源就是组织定期或临时启动的风险评估,在每一次风险评估中都会发现潜在的问题,并在接下来的风险应对过程中加以解决,从而使组织管理风险的能力得到提升。

 

4 风险应对概念解析

 

无论风险评估步骤进行得多么完美,都只是找到了问题,而解决问题应该是组织的最终目的。风险应对的步骤就是评估、选择并且执行这些改进措施的过程。

 

风险应对(risk treatment)是指处理8)风险的过程。在GB/T 23694—2013 / ISO Guide 73:2009中,对这个定义也有详细的注解,包括:

 

篇3

制度基础审计是以评价被审计单位内部控制系统为导向的审计模式。它从检查被审计单位内部控制系统入手,要求注册会计师在对内部控制进行全面了解、研究和评价的基础上确定实质性测试的性质、时间和范围,收集审计证据,形成审计意见。

基于对制度基础审计的认识,国内外审计职业界对审计风险的理解总的来说都认为审计风险问题实际上是一个审计质量问题,是指注册会计师发表不恰当审计意见的风险。所不同的是,美国注册会计师协会(AICPA)定义审计风险时加入了“无意地”一词,这就意味着它把注册会计师有意发表错误意见视为舞弊排除在审计风险之外;而中国审计准则和国际审计准则没有提及有意或无意的问题,也就意味着“有意”“无意”地发表审计意见的可能性均涵盖在审计风险的定义范围内。

2、审计风险模型

尽管上述三方对审计风险定义的表述有所不同,但中国审计准则和国际审计准则对外公布的审计风险模型却与AICPA的一致,都为:审计风险(AR)=固有风险(IR)*控制风险(CR)*检查风险(DR)。其中,固有风险是指假定不存在相关内部控制时,某一账户或交易类别单独或连同其他账户或交易类别产生重大错报或漏报的可能性。控制风险是指某一账户或交易类别单独或连同其他账户或交易类别产生重大错报或漏报,而未被内部控制防止、发现或纠正的可能性。检查风险是指某一账户或交易类别单独或连同其他账户或交易类别产生重大错报或漏报,而未被实质性测试防止、发现或纠正的可能性。

3、制度基础审计模式下的审计风险及其模型的缺陷

经过深入研究发现,上述审计风险定义及模型存在许多缺陷:

第一,审计风险定义过于狭隘,它忽略了这样一个事实:即使财务报表没有重大错误,注册会计师也会因各种原因而发表不恰当的审计意见的可能性。

第二,该审计风险模型仅仅从审计过程上把审计风险划分为固有风险、控制风险和检查风险,未能从审计过程之外分析审计风险产生的深层次原因。而实际上,审计风险是审计内环境和外环境共同作用的结果。

第三,最令人遗憾的是,上述审计风险模型没有包括被审计单位的经营风险。事实上,经营风险已实实在在危及审计职业界,如安然事件的爆发导致了有百年历史的会计公司巨人之一的安达信的破产。这有两个原因:一是因为现代审计广泛采用抽样技术,存在审计不能发现重大错误的风险。二是因为随着现代经济的迅速发展,企业的规模越来越大,经营风险不断加大,经营失败的可能性也逐渐加大。当某一公司破产或无力偿还债务时,报表使用者通常会指责审计失败。

第四,制度基础审计方法对固有风险的评价流于空泛。对于固有风险,它体现出的是被审计单位会计报表中实际存在的错报和漏报,在注册会计师审计过程中它已经成为事实,注册会计师无法改变它。在审计实践中,从稳健角度出发,一般假定其水平为100%。所以,该模型实际上就没有考虑固有风险的实际情况,从而使注册会计师对固有风险的评估就常常流于形式。

第五,制度基础审计模式下的风险概念体系不一致。上述三方公布的审计风险不尽相同,但审计风险模型却完全相同,这在逻辑上是无法成立的。

二、风险基础审计模式下的审计风险定义及其模型

风险基础审计是在制度基础审计的基础上发展起来的,代表了现代审计方法发展的最新趋势。它以被审计单位的风险评估为基础,综合分析影响被审计单位经济活动的各种风险因素,并根据量化的风险水平确定实施审计的范围和重点,进而实施实质性测试的一种审计方法。

这里我们有必要重新界定风险基础审计模式下审计风险的定义及其模型。

1、经营风险与广义的审计风险

目前,经营风险有两个含义,一是企业没有达到预期经营目标的可能性;二是指企业在经营过程中所面临的种种不确定性。美国审计学家阿伦斯将经营风险定义为“存在企业由于经济或营业条件,如经济萧条、决策失误或同行业之间意想不到的竞争等,而无力归还借款或无法达到投资人期望的风险”。国内有的专家将经营风险定义为“预期收益减少与损失发生的概率”。本文赞同阿伦斯的定义,即经营风险是指企业没有达到预期经营目标的可能性。

2、重识固定风险

与制度基础审计对固有风险的评估流于形式不同,风险基础审计非常重视对被审计单位固有风险的评价。它要求将了解被审计单位情况看作是减少审计风险的重要组成部分,要求注册会计师通过了解,形成对被审计单位固有风险的评价。这种评价就是分析发现企业的战略风险、经营风险区域,然后测试评价风险区域的内部控制有效性,并重点审查这些风险区域。风险基础审计方法虽然也考虑内部控制制度的作用,但它将关注的重点首先放在对财务报表更有影响的企业经营目标、战略措施和经营活动的分析之上,以求从企业的经营环境和经营活动的整体上来把握财务报表的固有风险。因为企业如果经营目标、发展战略有问题,经营活动出现严重困难时,管理层就会有严重的财务报表作假动机,这时内部控制无法起作用。从这个角度出发,我们可以认为:固有风险(IR)=战略风险(SR)*经营风险(BR)。在这里,我们姑且仍用固有风险这一概念,但其内涵与制度基础审计时的固有风险的内涵大不相同。此时审计风险控制的关注点已经落到了对固有风险的分析评价上。

由于风险基础审计和制度基础审计在进行符合性测试和实质性测试时,审计程序基本相同,故在两种审计模式下控制风险和检查风险是一样的。

3、诉讼风险

审计诉讼风险是指在控制风险和检查风险之外,会计师事务所和注册会计师所面临的可能使其遭受损失的可能性。审计风险模型必须考虑诉讼风险,原因有三:

第一,广义审计风险必须与损失相联系。发表不恰当的审计意见和经营风险只是产生审计风险的一个因素,只能算是一个潜在的审计风险。也就是说,发表不恰当的审计意见和经营风险只是审计风险产生的一个前提条件,而不是充分条件。因为如果没有人追究审计的责任,注册会计师无须承担任何损失。即使他们发表了不恰当的审计意见,审计风险也为零。

第二,这里的“损失”,不仅包括现实经济损失,也包括潜在经济损失;不仅包括可以计量的经济损失,也包括不可计量的精神损失。潜在的经济损失包括:注册会计师及其所在会计师事务所的信誉受到损害而带来的对未来收益的影响;精神损失包括:会计师事务所被撤消,注册会计师受到行政处分或刑事处罚。

第三,风险基础审计产生的初衷即使注册会计师面对“诉讼爆炸”危机,为了减少诉讼风险而采用的一种新的审计方法。诉讼风险应该包含在审计风险模型中也就理所当然。

4、新的审计风险模型

基于以上的分析,我们可以重建风险基础审计模式下的审计风险模型,即审计风险(AR)=战略风险(SR)*经营风险(BR)*控制风险(CR)*检查风险(DR)*诉讼风险(LR)。

与制度基础审计模式下的风险模型相比,上述风险模型有如下的优点:

第一,保证了风险基础审计模式下的风险概念体系的一致性。经营风险是风险基础审计的核心,它既体现在审计风险的定义中,又包括于审计风险模型中,保证了风险概念体系的前后连贯性。

篇4

1.1 效益与风险

简而言之,效益反映一种产品降低患一种疾病的风险的程度。在药物经济学的效益风险评价中,效益是指由该项目或干预措施带来的产出价值[2],这一产出价值的单位是货币。效益风险评价中的效益不同于成本效益中的效益。效益在这里指的是使用某种药品给个体或群体带来的正面结果。它不仅包括“效益”,还包括“期望的效益”。“期望的效益”有些类似于“效果”――临床健康结果,可以被直接量化,并且通常包括对获得效益可能性的估计。在效益风险评价早期,效益主要考虑的是“期望的效益”。在1997年国际医学科学组织季员会(CIOMS)的研究报告中,“效益”并不包括对生命质量等经济学角度的正面影响。但是近年来在越来越多的效益风险研究中,对效益的定义包括临床增进健康数据、健康相关的生命质量,以及对于个体或群体的经济利益。

从流行病学的角度,对药物风险的简要、标准的定义是药物的负面情况将发生的可能性。一些对风险的定义试图从几率、强度和时间这三维来描述风险,即不良事件或不利后果发生的可能性,特定群体中的个体的健康危害结果的严重程度,以及健康危害结果可能持续的时间。另外,由于同其他产品相比, 药品具有明显的特殊性, 即与生命、健康的关联性及个体化使用的特异性,药品风险显得更为复杂。而这种个人风险程度的确定会因药源性损害的严重程度、患者的特异质和对公共卫生的影响而变化。因此, 从社会成本的角度考虑药品风险,还应包括个人和人群水平的信息, 以保障个体和群体用药的收益超过最大边际风险。

1.2 效益风险评价和风险效益管理

与效益风险评价相近的一个概念是风险效益管理(risk-benefit management,RBM),有时也简称为风险管理。为进行风险效益管理的研究,国际药物经济学与结果研究协会(ISPOR)成立了风险管理特别兴趣组(Risk Management Special Interest Group,RM)。一些国家(如美国)的药品监管机构,也设立了药品风险评价部门,对所有上市药品安全信息加以监测和评价。不同的机构对所进行的风险效益管理有类似的定义。RM认为风险效益管理是评估和开发某一情况下效益风险管理策略的过程。在卫生保健领域,它是在权衡医疗干预的潜在效益时,主动并互动地估量和分析风险的过程。风险效益管理包括分析医疗干预的效果,以及识别任何不良的副作用。欧盟的药品风险管理是一系列的预警和干预活动,被设计用于确认、描述和阻止或最小化药品的相关风险, 包括风险交流和风险最小化干预活动的有效性评估。FDA 将药品风险管理解释为在药品生命周期内, 一个反复持续的管理过程被设计用于优化药品的风险/ 效益比。

效益风险评价和风险效益管理这两个研究有很多共同之处。如两者都从效益和风险两方面评价药品,研究都包括效益和风险因素的识别、分析、报告、决策全过程。细究两者区别,效益风险评价更偏重风险效益平衡的技术问题,而风险效益管理倾向于效益风险评价的公共政策管理和运用。由于效益风险评价还不是一个完善的方法,有很多未达成一致的领域。所以一般情况下,我们在研究效益风险评价中也应考虑风险效益管理的研究。

2 研究范畴

在理想情况下,根据效益与风险的不同组合,药品可能处于4类不同区域:A区域,最坏的平衡(高风险,低收益);B区域(较高风险,较低收益),限制条件下使用,可能需要深入研究;C区域(较低风险,较高收益),可接受的平衡;D区域,最理想的平衡(低风险,高收益)。在极限区域A和D中,评价结果是显而易见的。但是在极限区域中间有很多不确定的因素,导致区域B和C的位置模糊,且区域B的限制条件难以确定,使得制定效益风险决策会显得复杂和困难。因此,区域B和C就是效益风险评价的研究范畴。

3 研究分类

效益风险评价可分成正规的(定量的)、比较性的以及非正规(定性的)。

3.1 正规的评价(定量分析)

正规的效益风险分析运用科学的推理过程,以一个数值表达式为基础,定量地比较效益风险。近年来,正规的效益风险分析表现为基于成本效果、成本效益和成本效用的研究,以及meta分析和决策理论工具的定量模型。

例如,运用三三原则分级体系的思路,将疗效或不良反应的严重程度和持续时间按其高、低分别给予30~10 的分值,分别求出治愈率(发生率)、严重程度和持续时间的乘积作为效益(B)和风险(R)的量度,然后计算出效益/风险比值(B/R)。

计算公式:

效益(B)=治愈率×疾病严重程度×疾病持续时间

风险(R)=不良反应发生率×不良反应严重程度×不良反应持续时间

上例中的方法通过确定3个关键指标,将不同药品的效益和风险联系起来,适宜用于2种或2种以上药品的B/R之间的比较,但并不是所有的效益风险定量分析都能用于2种以上效益风险的比较。对于很多效益风险评估而言,效益和风险都不易进行量化对比。例如,某一药物能够缓解一种普通的、自限的疾病症状,但是同时也会伴随一种罕见的、威胁生命的副作用的风险。在这种情况下,治愈率(发生率)、严重程度和持续时间这三者是否能赋予一致的权重值得考虑。因此,即使是定量分析,最终的评价很大程度上也是定性的,甚至稍微有些主观。并且对于风险的承受度,与能够观察到的临床获益程度直接相关。

3.2 非正规的评价(描述性评价)

非正规的效益风险分析是一种归纳或者主观分析过程,依靠个人判断对治疗选项相关数据作出评估。

例如,先分别从药品的利益、风险两方面进行定性分析,然后把两方面的因素综合在一起进行比较,得出利弊分析结论。

对于药品效益方面的分析,首先应考虑药品所治疾病的严重程度,如疾病的发生率、死亡率、持续时间、高危人群等,同时还应考虑:该药品是治疗急性疾病、慢性疾病,还是用来预防疾病的发生、发展或复发,是针对病因进行治疗,还是仅用于缓解症状或提高生活质量,是否还有其它替代治疗方法;如果不使用该药品的后果、对疾病控制或治愈的程度如何?有无可测量的客观证据指标?有无与其它治疗方法效果比较的资料?

对药品风险的评价,应从药品不良反应的严重程度、持续时间、发生率等方面考虑。与效益分析不同,风险通常是由许多不良反应组成的,并且不同的不良反应往往因其表达指标和单位不同而难以比较。在进行风险分析时应注意分析风险信号的证据强度和具体特征,如时间联系、发生率等,还应注意分析其它不良反应的情况,注意评价不良反应的可预见性、可预防性和可逆性。另外,有时同一种药物的不同剂型、不同适应证或不同用药人群可能构成不同的风险范围。

在非正规的分析中,包括不同的道德观念和其他难以确定的因素在内,认知和医疗实践的标准都可以影响对效益风险的判断。由于许多效益风险决策都建立在相对而言不正规的证据之上,正是这些不正规的证据使得学界认为“效益风险评价总是基于人们不可靠的判断而形成的”。即使就同样的效益和风险描述信息,也难以达成统一的效益风险评价结果。

3.3 比较性的评价(半定量评价)

比较性的评价方法,是将考察中的产品跟相似产品进行定性对比,来测定效益和风险是否看起来相似。

例如,将药品的效益和风险以所治疗疾病的性质、药品疗效、不良反应这3种因素作为代表,分别按照其严重程度、持续时间和发生率的高低给予3~1 分,再将分值相加得到每种因素的总分值,可以大致反映出药品的效益/风险情况。这种方法尤其适合用于2种或2种以上同类药品之间的比较,由于该方法是基于一组个人的主观判断,所以不会得出一个准确的数据,结果也许不一致。

4 研究意义

在药品上市后评价中,药品效益风险评价有着重要意义。由于上市前研究的局限性和临床不合理用药的客观存在,对上市后药品进行科学再评价极为重要。上市后评价主要是就安全性、有效性和经济性进行评价。这3方面评价在药品上市后评价中处于不同的地位。无论是在美国等发达国家,还是在中国,药品监管机构都始终将安全性评价和疗效评价放在上市后评价的首位。药物经济学讨论的效益风险评价,是对于安全性和有效性的综合评价,实际上是对药物效益和风险比不断认识的一个动态过程。如果某种药物的效益大于风险,则可批准上市或继续保留在市场;一旦风险大于效益,而且风险不能得到有效的控制,则应撤市。

在我国药品管理现阶段,完善效益风险评价的研究的意义在于:为药品监督管理部门制定相关药品风险管理政策提供依据;为社会保障部门降低不良反应产生的影响和费用提供途径,并为城镇居民医疗保险目录的修订提出参考依据;为医疗卫生部门指导和规范临床合理用药,降低医疗风险提供参考,并为国家基本药物目录修订提出参考依据。

参考文献

篇5

在工程项目的风险评价中有多种评价模式,这些评价方法所选择的指标多为期望值。但以期望值作为评价指标的主要缺点是没有充分考虑到项目决策者的决策偏好和承担风险的能力。效用理论作为一种投资项目的一种评价方式,其主要的决策依据和标准是效用最大化原则,并且将决策者的主观决策偏好引入决策中。这一决策方法的理论依据是现代效用理论。在这一理论体系中,把某个具有不确定的建议或决策的效用定义为在偶然事件中获得标准价值的概率相等。同时引入平衡点的概念,即期望得到某种预期值和接受偶然事件的态度无差异的某个数值,并把预期值和平衡点之间的差异定义为风险费用。效用值具有无量纲的特点,一般将决策者最满意的方案效用值定义1,最不满意的方案效用值定义0。即以[0,1]区间来描述和量化对各类待决策方案的效用值。

2、风险效率

由于外界环境可能随时发生变化,因此项目的投资决策会不可避免的面临一定程度风险。为便于研究,一般都把这类风险转化为实际成本的增加来进行量化,即认为未来可能发生的风险事件都可以用追加成本的方式来加以克服。在这种思路下,可将项目的投资风险定义为发生超出能接受的预期成本超支的可能性,与之对应的概率即为项目投资的风险水平。

因此在考虑项目投资的风险评价时,就需要从降低预期成本和降低风险水平这两个角度来进行分析。显然,在预期投入成本为定值的前提下,应当使得该项目的风险水平最低;反之,在风险水平确定后,可确定最优的投资计划所需的预期成本。在这二者之间就存在一个最优组合的问题,实现风险和投资成本同时得到控制,即体现项目投资的效率。这个效率将其定义为风险效率。

3、项目效用的确定

根据前文对于效用的定义,显然效用可绘制成0-1之间变化的曲线的形式,简称为效用曲线。确定效用曲线的方法主要有两种:直接提问法和对比提问法。直接提问法是通过让决策者回答和项目有关的一系列问题,并对这些问题做出主观性的量化,由决策者绘制出让自己满意的效用曲线。对比提问法则是通过让决策者对不同方案间的两两比较来确定在何种情况之下这两类方案具有等效性。当存在多个待考虑因素时,则是固定其他因素,只考虑一个可变因素,以提问的方式来确定该可变因素的效用曲线。在实际应用中,直接提问法因主观性太强而回答的结果往往比较模糊,因此采用较少,更多的是利用对比提问法。

4、0-1规划模型

从本质上看,0-1规划属于整数规划的范畴。在实际应用中,0-1规划既可用于单指标的项目投资决策,也可用于多指标的项目投资决策。这一决策模型的基本步骤和必要的假定为:

(1)同时存在个待决策的投资项目,相应的决策向量为。(2)各待决策的投资项目的效益向量为,其中 为第 个方案的效益。(3)确定各投资项目在资源使用方面的约束条件向量。(4)确定各待决策项目所消耗的资源向量,以矩阵表示。(5)在需要同时进行考虑的 个指标中,有 个属于越大越优型,其他为越小越优型。(6)令第 个待决策项目的第 个指标的效益为,并将各个待决策方案指标进行归一化后再带入模型进行计算。(7)设定各参考指标的权重向量。(8)决策模型:

如在上式中加入约束条件,即可实现从多指标决策模型切换到单指标决策模型。

5、风险与效益综合平衡模型

上一节的模型中考虑的因素为经济利益,而在实际操作中还面临着众多不可确知的随机因素,并带来一定的风险。因此在制定投资决策时还需要将风险因素纳入到决策环节中,同时兼顾到投资项目所可能产生的经济效益和与之伴随的风险,力求在二者之间达到一种最佳的平衡。先假定以项目的预期投入成本和伴随的风险的度量作为投资决策的控制性因素。依据风险效率曲线,在追加预期投入成本的前提下,投资项目的风险水平会有所降低。这样就可能存在两种具有代表性的投资方案,即预期投入最低,但风险很高方案和预期成本最高但风险水平很低的方案。投资者必然会依据企业对风险的承受能力选择在这两个方案之间的某种折中投资方案,从而出于一种本能在风险和效益之间寻求一种平衡。从理论上讲,当风险效率曲线是可靠的前提下,可以通过理论求解的方法以精确的方式寻找到一种最优的风险效率组合投资方案。而实际上,由于受到投资者承受风险的能力的限制,只能选择一种最接近最优解的投资方案。因此投资项目未来的净收益和风险效用是紧密联系的,投资者在风险和效益之间做出的选择实质上反应的是在同等条件下决策者对风险的认知和承受能力。若将风险效用作为正向指标,则可把它作为投资项目利益最大化的一个控制因素。具体讲,可建立如下数学模型:

(1)设投资者拥有的资金总量为 ,各待决策的可行投资方案和利润分别为和。(2)以各可行决策方案中成本最低者作为基准成本,其他投资方案超出该基准成本的部分和风险成本之和为,其下限为,总成,可计算各投资项目的回报率。(3)令风险效用函数和各投资项目的预期效用分别为和,在此基础上以投资回报率和风险效率均取得最优作为优化目标,建立如下模型:

6算例

本例中有三个可供决策的投资项目,各项目的控制参数分别如下。1项目A 基本成本100万元,风险概率0.2,风险结果50万元,预期总利润138万元。2项目B 基本成本105万元,风险概率0.2,风险结果30万元,预期总利润130万元。3项目C 基本成本110万元,风险概率0.2,风险结果10万元,预期总利润135万元。效用函数为,此处 为投资者为降低成本而投入的费用,表示风险容忍度,此处取为25万元。

依据效用理论并结合决策树法,可得到如图1的决策结果:

由图1可见,项目C的预期效用最大。再利用效用函数可计算项目C成本与风险的平衡点为12.35万元,也优于其他投资方案(项目A的平衡点为20.58万元,项目B的平衡点为14.53万元)。因此应当选择项目C作为投资方案。

再用风险与效益综合平衡模型来求解该问题。可得,,。将以上数据带入模型,可解得如下结果:

7、结语

项目投资决策是一项复杂的过程,受到很多实际因素的影响。在决策中引入风险因素是让投资决策更加合理的必然手段。本文引入效用理论的基础上,构建了0-1规划模型和考虑风险与效益的综合平衡模型,给出的实例概要说明了该方法的使用。

篇6

关键词 :全面风险管理;内部控制;融合

中图分类号:F275文献标志码:A文章编号:1000-8772(2015)10-0179-02

收稿日期:2015-03-20

作者简介:曹江涛(1976-)男,汉,陕西咸阳人,大学,会计师,陕西华燕航空仪表有限公司企业管理部部长,研究方向:企业管理。

全面风险管理是国务院国资委提出并推行的。全面风险管理是通过一定的方式识别出企业所有的风险,然后依据一定的标准对识别出的风险进行排序,寻找出企业应当重点关注的风险,再根据风险的属性采取相应的应对方案予以防范风险。其中绝大多数风险都是要依靠应对方案对风险进行控制,预防其发生或者将其控制在最小范围。

内部控制是财政部提出并推行的。内部控制是依据一定的标准对企业的流程进行审理,找出缺陷然后改进缺陷,以防止风险的发生。

可以看出全面风险管理与内部控制在管控思想理念、方式方法等方面是相似或相同的,但是在管理推进过程中,全面风险管理与内部控制形成了各自的体系,并在企业中并行开展。这样的做法在初期对于推动该两项项管理活动有很大帮助,但是也造成了企业内部机构设置繁冗、业务交叉重复、推诿扯皮、资源浪费等问题的出现。因此,研究风险管理与内部控制的融合具有很现实的价值。

一、组织体系的融合

全面风险管理与内部控制在组织体系设计上无论是层级还是职能都基本一致,所以便于融合。

全面风险管理的组织机构设置为三级,分别是风险管理委员会、风险管理办公室和部门风险管理小组(风险管理员)。其中,风险管理委员会是顶层决策机构,风险管理办公室是组织推进管理单位,部门风险管理小组是具体执行单位。

内部控制组织结构设置也分为三级,分别是企业级的内部控制领导小组、内部控制管理办公室和各部门内部控制管理员,其职能分别是决策、归口管理和实施。

因此,组织机构的融合可以采取合并方式,以全面风险管理组织机构为主,风险管理办公室在管理人员上要兼顾内部控制管理的专业人员。

二、管理语言的融合统一

在两个体系融合过程中建立统一的风险控制语言非常重要,有利于管理中信息的传递和管理行为的一致性,避免概念含糊不清导致的管理混乱。统一语言的原则是既可以保证语言的一致,也要保证两个体系的全面融合,避免融合过程中失去内控的对风险管理的辅助优势。

需要统一的语言首要的是对风险的名称定义方式,全面风险管理与内部控制对风险名称的定义办法完全不同。在全面风险管理中,对具体风险事件的名称没有统一规范,均采取描述的方式表达,描述规则是风险事件的“表现+影响”。例如:“应收账款超过诉讼时效导致无法收回”就是对应收账款风险中的一项具体风险事件的描述。对二级风险名称定义是按照业务类别定义的。例如财务风险可分为应收账款风险、现金管理风险、现金流风险等等。对一级风险名称的定义一般是按照风险的属性定义的。例如:战略风险、财务风险、市场风险、运营风险、法律风险等等。

在内部控制管理中,仅有缺陷的概念,而没有风险的概念,但缺陷导致的结果就是风险。内部控制对缺陷的分类是与流程级别对应的,也就是说一级流程缺陷、二级流程缺陷的名称定义方式是“流程名称+缺陷”。例如采购缺陷、采购付款缺陷等。缺陷所导致的风险也没有统一的命名方法,与风险管理一样是采用“表现+影响”的描述方法。

通过上述分析我们发现,对于具体风险事件的命名方法全面风险管理与内部控制管理基本是一样的。对于二级、一级风险(或者缺陷),全面风险管理与内部控制管理命名方法虽然不同,但全面风险管理一、二级风险包含了内部控制管理的一、二级缺陷,因此,在体系融合过程中,可以统一管理语言,即不再使用缺陷的概念,而统一使用全面风险管理的风险概念。

三、风险识别方法的融合

全面风险管理中,风险识别方法有初始信息识别法、分类识别法、头脑风暴识别法、流程分析识别法、价值链分析识别法等。通过这些方法的综合运用,识别出各业务单元、重要业务活动和重要业务流程中的风险。

内部控制识别缺陷(即风险)是通过对业务流程进行实际观察和穿行测试的方法,测试流程是否可以满足控制目标的方式来查找流程缺陷。内部控制识别缺陷的方法确定性很强,因此,该识别方法可以直接融入风险识别中来,为了管理中的语言统一,我们可以把内部控制的这种识别风险的方法命名为流程识别法。

这样的融合既满足了内部控制对风险的识别,也充实了全面风险管理对风险的识别方法。

除此之外内部控制还有通过不相容职务的识别来查找风险的方法。这个方法可以被风险管理借鉴,也作为风险识别的一个方法。

四、风险分析方法的融合

全面风险管理的风险分析就是在识别出风险的基础上,对风险发生的原因、风险发生的可能性以及风险发生后的影响进行甄别与描述。这一过程与内部控制基本是一致的。

内部控制在查找出缺陷的基础上也要对缺陷可能导致的风险进行分析与评价。两者的分析方法没有本质区别,因此完全可以合并融合。

五、评价标准的融合

在全面风险管理中,通过风险识别、风险分析后,依据事前制定的风险评估标准,对风险进行评估。评估是通过对风险发生的可能性和风险发生后的影响程度分别打分(1-5份),然后将这两个分值相乘所得的积作为对某一风险的评估值。而内部控制管理中,通过识别缺陷、分析缺陷后,依据事先制定的标准,根据缺陷的风险发生后的影响,分为重大缺陷、重要缺陷和一般缺陷。由于内部控制对于缺陷的评价仅限于影响程度层面,而且影响程度的评价与风险影响程度的评价维度基本一致,因此,可以将内部控制对缺陷的评价标准纳入风险评估标准中的风险发生后的影响程度这一维度中,并根据企业的实际情况对风险评估标准进行适当修改,以便可以充分反映出内部控制评价的要求。这样就可以实现全面风险管理与内部控制的评价标准的融合。

六、风险应对方案的融合

在全面风险管理中,对风险评估结束后,根据风险评估值的大小排序,企业选择其中重大、重要风险进行重点管控。对重大、重要风险的管控是通过制定相应的风险应对方案来实现的。应对方案包括制度、流程保障以及针对风险特性所制定的一系列措施。

在内部控制管理中,对缺陷评价后,无论缺陷重要与否,都应当制定措施、完善流程以达到最大限度地控制风险发生。

内部控制所采用的通过对流程梳理完善以达到控制风险的方法,其实也是全面风险管理中的重要方法之一,可以完全融入全面风险管理之中,即在风险应对方案中要求必须对相应的控制流程进行分析评估,对有缺陷的流程进行完善,以确保有效控制风险的发生。

七、体系的融合

所谓体系的融合就是要把现在的两个管理体系有机地融合在一起,包括组织体系、管理方法、管理语言、评价标准等,统一为一项管理,并能兼顾原来两个体系各自的优点。

通过对上述六个方面的分析,可以看出在全面风险管理与内部控制体系融合中采用吸收融合法可以满足原来两个体系的管控功能,即以风险管理体系为主,通过统一评价标准、统一语言、合并组织体系、融合识别方法、融合分析方法、融合评价方法和融合应对方案等措施,丰富和完善全面风险管理体系,取消内部控制管理体系。重点在评价标准修订、识别风险环节和风险应对环节充分吸收和兼顾内部控制管理的方式、方法,就能使原来的两个体系有机融合。

融合后对体系运行情况的审计评价,则由原来对两个体系的评价改为对一个体系的评价,评价方法不变。

八、融合前后的流程示意图对比

篇7

内部审计形成于20世纪20至30年代,其产生的真正动因是企业管理的需要。随着社会的发展,企业管理内外部环境处于不断的变化之中。在当前公司价值最大化的目标下,内部审计扮演怎样的角色,其在公司治理中的功能如何,本文愿做一尝试性探讨。

一、内部审计的涵义及职能拓展

(一)内部审计的涵义

2001年内部审计师协会(IIA)对内部审计的定义为“内部审计是一种独立、客观的保证工作与咨询活动,目的是为机构增加价值并提高机构的运作效率。它采取系统化、规范化的方法对风险管理、控制及治理程序进行评估和改善,从而帮助机构实现它的目标。”对于这个定义,我们可以从几个方面来理解:首先,我们不难发现内部审计最终的目标是帮助企业实现其目标,而企业的目标就是增加价值,结合两者,内部审计的最终目标就是为增加企业的价值而服务;其次,它所采用的手段主要是保证和咨询,这里的保证服务是一种为了机构的风险管理、控制或治理过程进行独立评价而客观地审查证据的行为,而咨询则是提供建议以及相关的客户服务活动;再次,内部审计应以风险管理、内部控制系统、企业治理结构为工作范围,用系统化、规范化的方法来评价和改进它们;最后,内部审计人员应该以独立、客观的工作态度完成其职责,其中独立性要求内部审计在确定活动范围、实施审计及报告审计时不应受到任何因素的干扰,客观性要求内部审计师在执行审计工作时,对他们的工作结果秉持诚信的原则,不与任何方面达成重大质量妥协。

中国内部审计协会在参考了IIA定义后,结合我国的现实情况,于2003年在公布的《内部审计基本准则》中,将内部审计定义为“内部审计师在组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的真实性、合法性和有效性来促进组织目标的实现。”这个定义明确了内部审计是由组织内设的机构所实施的一种独立、客观的活动,其目的是通过对组织的经营活动及内部控制的真实性、合法性和有效性进行审查和评价,使组织经营活动及内部控制中存在的问题得到认识和解决,从而促进组织目标的实现。中国内部审计协会的定义在结合我国实际情况基础上提出,尤其进步意义,但是与IIA的发展相比,还是有局限性。尤其是面对全球化的影响,将内部审计主体封闭在一个组织内将难以满足企业决策的信息需求。因此,笔者将按照IIA所提出的理念进行后续论述。

(二)内部审计的职能

在内部审计产生和发展早期,以查错防弊为主的监督职能是其主要职能,但随着社会经济的发展和进步,以及内部审计所承担的角色的增加,笔者认为,企业内部审计包括四个递进的职能:监督、评价、控制和咨询。

1.监督职能。内部审计首先是单位内部的一种经济监督活动,那么监督职能也应是内部审计最基本的一项职能。监督职能是指对被审计对象的财务状况等经济活动进行检查和评价,确定其会计资料是否正确、真实,反映的财务收支和经济活动是否合法、合规,有无违法违纪和浪费行为,从而督促被审计对象遵守财经纪律,改进经营管理水平,提高经济效益。

2.评价职能。评价职能是由经济监督职能派生出来的另一种职能,包括评定和建议两部分,也是内部审计的一项基本职能。通过内部审计可以全面了解部门、单位的真实的经营管理状况,并以此来来评价经营决策、计划、方案的合理性和可行性,评价其规章制度设置是否健全完善,是否正常运行,评价其经营管理水平及效益的优劣。

3.控制职能。现代企业已越来越多元化,层级化,跨国公司业务遍布全球,企业经营管理中的风险随之而增加,企业的高层管理人员不可能事无巨细地对每一项业务进行监督,必须委托一个独立于被审计部门的单位进行控制,以保证企业目标的实现。内部审计因其受企业高层的直接领导,对公司的决策层负责,能够站在企业发展的全局来分析和考虑问题,对企业经营活动的控制活动可以提供直接的技术支持,并检查控制程度和效果,提出控制中存在的不足和问题。

4.咨询职能。随着现代企业制度的建立,企业ERP系统及会计电算化的普及,账面资料的错误会越来越少,内部审计的工作重点必须从传统的“查错防弊”转为内部的管理、决策服务,内部审计的职能作用也已从监督评价向咨询方面延伸。另外,现代企业所面临的环境复杂且多变,经营风险增加,市场竞争激烈,这些导致包括各管理者层尤其是高级管理层迫切地需要有人以“顾问”的身份,对其制定的目标、决策、计划以及在经营过程中出现的错误和薄弱环节提出改进建议。内部审计人员熟悉企业整体情况,且独立于公司的其他部门,使内部审计人员较其他部门更易于提出较全面、客观、可行的建议。因此,内部审计人员承担了专业的咨询服务。咨询职能更能适应内部审计在现代公司治理中的发展,促进内部审计价值增值。

二、内部审计在公司治理中的作用

(一)内部审计与内部控制

关于内部审计与内部控制的关系,审计学家钱伯斯认为,内部审计所拥有的一套管理理论需要以内部控制概念为中心。1977年美国的《国外反贪污行贿法》确立了内部审计在内部控制方面的法定职责。内部控制已成为现代内部审计的主要产物。审计学家布林克在回首IIA50年时指出,内部审计最应该关注的是“内部控制”。

根据《萨班斯-奥克斯利法案》框架中“监督”要素的要求,企业的监督可以分为持续性监督活动和内部审计定期的、相对独立的评估两部分。那么,可以将整个内部控制体系划分为三个相对独立的控制层次:第一个层次是经济业务发生部门严格按照企业内部设计的要求,相互牵制开展业务活动,建立起第一道监控防线;第二个层次,经济业务最终的流向都必将反映到财务报表中去,因此财务部门就要在事后建立起第二道监控防线;第三个层次,内部审计部门要建立起以查为主的监督防线,独立地按照法人要求,有选择地对内控的各方面行使检查功能,发现管理流程中的不足和风险,提出改进措施,并能够将这些评价结果反映到高层,高层同时也要赋权给内审部门督促改进措施的落实,促进内部控制体系建设趋于完善。对于风险较高的组织如金融机构来说,第三道防线更是必不可少。从监督职能来说,尽管内审监督检查的频率要比其他部门的自我监督检查和财会部门的管理监督要低得多,但是内部审计部门的独立性和在组织内应有的权威性,再加上直接由最高层领导,赋予该部门对内控具有再监督和再评价的特殊而又重要的职能。内部审计是企业内部控制的有效监督者,为了强化内部审计监察部门的监督职能,许多西方金融机构都成立了独立于经营管理之外的内审稽核部门。

当然,从组织结构上看,内审检查部门并非独立于内部控制整体框架之外的,它也属于控制的一部分,本身也需要对自身的各种内外部风险进行管理,和经营管理部门一样,也要采取自我控制措施,须注意自我检查和批评。

(二)内部审计与风险管理

关于风险管理,比较有代表性的说法是威廉与汉斯在1964年出版的《风险管理与保险》中所提出的,他们认为风险管理是通过对风险的识别、衡量和控制,以最低的成本使风险导致的各种损失减到最小程度的管理方法。从这个定义中我们可以得出,实现风险管理目标的主要手段是控制。

在充满不确定性的市场环境下,企业要实现目标,其管理者应该确保其拥有健全的风险管理过程,且这些过程发挥了应有的效用。高层决策者和审计部门应该在确定企业是否拥有健全的风险管理过程及这些程序是否有效运作等方面起监督作用,在此,内部审计人员作为高层机构下设的独立机构责无旁贷地承担起这一工作。正如本文开篇介绍的IIA对内部审计的定义中指出:内部审计需提高风险管理、控制与监管工作的有效性,使企业达到预定的目标。《IIA实物标准》(2001)实务公告2100-3中描述到:内部审计部门应该评价并帮助改进机构的风险管理、控制和治理体系。我国著名内部审计专家王光远认为:“内部审计人员是风险管理潜在的重要利益相关人和参与者。”“风险管理是内部控制的延伸,内部审计是风险管理的确认者,是对风险管理的再管理。”国内外许多审计实践表明,对风险管理审计的报告更容易被管理当局所接受,管理部门也容易理解内部审计存在的意义,风险管理可以帮助内部审计度过正在影响企业的价值危机。

那么,内部审计在风险管理中的作用有几何呢?

篇8

一、内部审计的涵义及职能拓展

(一)内部审计的涵义

2001年内部审计师协会(IIA)对内部审计的定义为“内部审计是一种独立、客观的保证工作与咨询活动,目的是为机构增加价值并提高机构的运作效率。它采取系统化、规范化的方法对风险管理、控制及治理程序进行评估和改善,从而帮助机构实现它的目标。”对于这个定义,我们可以从几个方面来理解:首先,我们不难发现内部审计最终的目标是帮助企业实现其目标,而企业的目标就是增加价值,结合两者,内部审计的最终目标就是为增加企业的价值而服务;其次,它所采用的手段主要是保证和咨询,这里的保证服务是一种为了机构的风险管理、控制或治理过程进行独立评价而客观地审查证据的行为,而咨询则是提供建议以及相关的客户服务活动;再次,内部审计应以风险管理、内部控制系统、企业治理结构为工作范围,用系统化、规范化的方法来评价和改进它们;最后,内部审计人员应该以独立、客观的工作态度完成其职责,其中独立性要求内部审计在确定活动范围、实施审计及报告审计时不应受到任何因素的干扰,客观性要求内部审计师在执行审计工作时,对他们的工作结果秉持诚信的原则,不与任何方面达成重大质量妥协。

中国内部审计协会在参考了IIA定义后,结合我国的现实情况,于2003年在公布的《内部审计基本准则》中,将内部审计定义为“内部审计师在组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的真实性、合法性和有效性来促进组织目标的实现。”这个定义明确了内部审计是由组织内设的机构所实施的一种独立、客观的活动,其目的是通过对组织的经营活动及内部控制的真实性、合法性和有效性进行审查和评价,使组织经营活动及内部控制中存在的问题得到认识和解决,从而促进组织目标的实现。中国内部审计协会的定义在结合我国实际情况基础上提出,尤其进步意义,但是与IIA的发展相比,还是有局限性。尤其是面对全球化的影响,将内部审计主体封闭在一个组织内将难以满足企业决策的信息需求。因此,笔者将按照IIA所提出的理念进行后续论述。

(二)内部审计的职能

在内部审计产生和发展早期,以查错防弊为主的监督职能是其主要职能,但随着社会经济的发展和进步,以及内部审计所承担的角色的增加,笔者认为,企业内部审计包括四个递进的职能:监督、评价、控制和咨询。

1.监督职能。内部审计首先是单位内部的一种经济监督活动,那么监督职能也应是内部审计最基本的一项职能。监督职能是指对被审计对象的财务状况等经济活动进行检查和评价,确定其会计资料是否正确、真实,反映的财务收支和经济活动是否合法、合规,有无违法违纪和浪费行为,从而督促被审计对象遵守财经纪律,改进经营管理水平,提高经济效益。

2.评价职能。评价职能是由经济监督职能派生出来的另一种职能,包括评定和建议两部分,也是内部审计的一项基本职能。通过内部审计可以全面了解部门、单位的真实的经营管理状况,并以此来来评价经营决策、计划、方案的合理性和可行性,评价其规章制度设置是否健全完善,是否正常运行,评价其经营管理水平及效益的优劣。

3.控制职能。现代企业已越来越多元化,层级化,跨国公司业务遍布全球,企业经营管理中的风险随之而增加,企业的高层管理人员不可能事无巨细地对每一项业务进行监督,必须委托一个独立于被审计部门的单位进行控制,以保证企业目标的实现。内部审计因其受企业高层的直接领导,对公司的决策层负责,能够站在企业发展的全局来分析和考虑问题,对企业经营活动的控制活动可以提供直接的技术支持,并检查控制程度和效果,提出控制中存在的不足和问题。

4.咨询职能。随着现代企业制度的建立,企业ERP系统及会计电算化的普及,账面资料的错误会越来越少,内部审计的工作重点必须从传统的“查错防弊”转为内部的管理、决策服务,内部审计的职能作用也已从监督评价向咨询方面延伸。另外,现代企业所面临的环境复杂且多变,经营风险增加,市场竞争激烈,这些导致包括各管理者层尤其是高级管理层迫切地需要有人以“顾问”的身份,对其制定的目标、决策、计划以及在经营过程中出现的错误和薄弱环节提出改进建议。内部审计人员熟悉企业整体情况,且独立于公司的其他部门,使内部审计人员较其他部门更易于提出较全面、客观、可行的建议。因此,内部审计人员承担了专业的咨询服务。咨询职能更能适应内部审计在现代公司治理中的发展,促进内部审计价值增值。

二、内部审计在公司治理中的作用

(一)内部审计与内部控制

关于内部审计与内部控制的关系,审计学家钱伯斯认为,内部审计所拥有的一套管理理论需要以内部控制概念为中心。1977年美国的《国外反贪污行贿法》确立了内部审计在内部控制方面的法定职责。内部控制已成为现代内部审计的主要产物。审计学家布林克在回首IIA50年时指出,内部审计最应该关注的是“内部控制”。根据《萨班斯-奥克斯利法案》框架中“监督”要素的要求,企业的监督可以分为持续性监督活动和内部审计定期的、相对独立的评估两部分。那么,可以将整个内部控制体系划分为三个相对独立的控制层次:第一个层次是经济业务发生部门严格按照企业内部设计的要求,相互牵制开展业务活动,建立起第一道监控防线;第二个层次,经济业务最终的流向都必将反映到财务报表中去,因此财务部门就要在事后建立起第二道监控防线;第三个层次,内部审计部门要建立起以查为主的监督防线,独立地按照法人要求,有选择地对内控的各方面行使检查功能,发现管理流程中的不足和风险,提出改进措施,并能够将这些评价结果反映到高层,高层同时也要赋权给内审部门督促改进措施的落实,促进内部控制体系建设趋于完善。对于风险较高的组织如金融机构来说,第三道防线更是必不可少。从监督职能来说,尽管内审监督检查的频率要比其他部门的自我监督检查和财会部门的管理监督要低得多,但是内部审计部门的独立性和在组织内应有的权威性,再加上直接由最高层领导,赋予该部门对内控具有再监督和再评价的特殊而又重要的职能。内部审计是企业内部控制的有效监督者,为了强化内部审计监察部门的监督职能,许多西方金融机构都成立了独立于经营管理之外的内审稽核部门。

当然,从组织结构上看,内审检查部门并非独立于内部控制整体框架之外的,它也属于控制的一部分,本身也需要对自身的各种内外部风险进行管理,和经营管理部门一样,也要采取自我控制措施,须注意自我检查和批评。

(二)内部审计与风险管理

关于风险管理,比较有代表性的说法是威廉与汉斯在1964年出版的《风险管理与保险》中所提出的,他们认为风险管理是通过对风险的识别、衡量和控制,以最低的成本使风险导致的各种损失减到最小程度的管理方法。从这个定义中我们可以得出,实现风险管理目标的主要手段是控制。

在充满不确定性的市场环境下,企业要实现目标,其管理者应该确保其拥有健全的风险管理过程,且这些过程发挥了应有的效用。高层决策者和审计部门应该在确定企业是否拥有健全的风险管理过程及这些程序是否有效运作等方面起监督作用,在此,内部审计人员作为高层机构下设的独立机构责无旁贷地承担起这一工作。正如本文开篇介绍的IIA对内部审计的定义中指出:内部审计需提高风险管理、控制与监管工作的有效性,使企业达到预定的目标。《IIA实物标准》(2001)实务公告2100-3中描述到:内部审计部门应该评价并帮助改进机构的风险管理、控制和治理体系。我国著名内部审计专家王光远认为:“内部审计人员是风险管理潜在的重要利益相关人和参与者。”“风险管理是内部控制的延伸,内部审计是风险管理的确认者,是对风险管理的再管理。”国内外许多审计实践表明,对风险管理审计的报告更容易被管理当局所接受,管理部门也容易理解内部审计存在的意义,风险管理可以帮助内部审计度过正在影响企业的价值危机。

那么,内部审计在风险管理中的作用有几何呢?

1.站在全局的角度上审视风险。企业是一个由各个单位有机结合起来的整体,每一个部门之间要么直接相关,要么间接相关,只要有一个单位发生风险就会或多或少传递至其他部门,并经常危及企业整体。而各部门都站在本部门的立场上处理风险,难免会一叶障目,考虑不周,内部审计则与之不同,它独立于企业经营管理部门,使得它可以从全局出发、客观地管理风险。

2.调控、指导企业的风险策略。内部审计部门处于董事会、总经理和职能部门之间,可在企业风险策略和各部门决策之间进行协调,通过这种协调,内审人员可以调控、指导企业的风险策略。

需要注意的是,内部审计虽然可以促进风险管理过程的建立或提高风险管理的有效性,但是它并不参与风险管理的设计和实施,而是管理层负责ERM的设计,所有员工协助贯彻实施,董事会监督管理层对企业风险管理的设计与实施,内部审计部门通过检查、评价、报告企业风险管理过程的适当性和有效性,并提出改进建议来协助管理层、董事会或审计委员会,而不是履行风险管理的受托责任(Bailey等,2006),否则将影响内部审计的独立性(作者单位:深圳纺织集团股份有限公司)。

参考文献

[1]Bailey,AndrewD,AudreyA.Gramling,SridharRamamoorti:内部审计思想,王光远等译[M],中国时代经济出版社,2006(5)

[2]RobertMoeller,SOA与内部审计新规则,刘霄仑译,[M],中国时代经济出版社,2007(1)

篇9

滑坡是自然界中一种常见的地质灾害,它的发生一方面取决于其自身的自然条件(岩土结构、软弱面、水的活动性等),另一方面也取决于自然应力或人类工程活动,它是自然变异与社会活动相互作用的产物,它所造成的直接影响包括人员伤亡、建筑物及公共设施损坏、自然及生态环境破坏等;间接影响包括打乱人们正常的生活秩序、投资重建整治工程等,它给人类带来的损失仅次于地震和洪水。

一、滑坡地质灾害风险分析的内容和过程

1、滑坡地质灾害风险的概念

鉴于国内外对滑坡、滑坡危险性、滑坡灾害风险等概念的定义和理解方面的差异,有必要对县域滑坡灾害风险管理研究中的若干基本术语进行解释。本文结合我国地质灾害分类规范、县市地质灾害调查规范和技术要求、已有滑坡灾害危险性与风险管理研究成果中具有代表性的术语表达方式以及县域滑坡灾害风险管理特征等,参照国际土力学与岩土工程协会技术委员会(TC32)、澳大利亚地质力学学会等的相关定义,对县域滑坡灾害风险管理研究相关概念进行界定,其中英文的表达严格采用了国际上已经认可的术语表达方式。

2、单体滑坡灾害、区域(县域)滑坡灾害

1)滑坡与滑坡隐患

我国国内对滑坡的定义为:岩(土)体在重力作用下整体(或部分)顺坡向下滑动的地质现象。国际上滑坡(Landslide)的概念指岩(土)体、碎屑物沿斜坡向下的运动,包括滑动型、崩滑型和泥石流型,相当于我国定义的滑坡、崩塌和泥石流。滑坡隐患指岩(土)体在重力作用下具有整体或部分向下滑动趋势的地质现象。

2)滑坡灾害与滑坡灾害隐患

滑坡灾害指岩(土)体在重力作用下整体(或部分)顺坡下滑,并对人类生命财产和各项社会经济活动及资源环境造成损害的滑坡事件。滑坡灾害隐患指岩(土)体在重力作用下具有整体(或部分)顺坡下滑的趋势,并对人类生命财产和各项社会经济活动及资源环境造成潜在威胁的现象。

3)单体滑坡灾害与区域(县域)滑坡灾害

单体滑坡灾害是指单个点状滑坡灾害,单体滑坡灾害的分析评价不考虑与其它滑坡灾害之间的内在联系,认为是一个孤立的滑坡事件。与单体滑坡灾害(点状)相对应,区域(县域)滑坡灾害指特定面域空间范围内的单体滑坡灾害及其隐患的组合,区域滑坡灾害的分析评价要综合考虑区域地质、地理环境特征及滑坡时空分布规律等,区域大小可根据研究范围大小来确定,如全国、全省、全县或一个流域等。

3、滑坡危险性、危害性与滑坡灾害风险

1)滑坡危险性

①危险性(Hazard):国外对滑坡危险性具有明确的概念,从时间、空间、滑动特征、影响范围等方面对滑坡危险性进行预测和研究,并重点强调灾害发生的可能性。我国现有相关技术规范如建设用地地质灾害危险性评估技术要求等,将地质灾害的危险性定义为引发地质灾害并造成人员伤亡和(或)财产损失的可能性,考虑了灾害发生的可能性及造成损失的可能性,综合了国际上地质灾害危险性和风险的概念。②动态危险性:滑坡灾害的危险性多数情况下是随着其诱发因素的动态变化而变化的,因此,在临灾分析及预报预警中,不能用以年为单位的时间尺度来衡量和表达。所以,滑坡的动态危险性指基于诱发因素动态变化的滑坡发生的可能性。(如24h)滑坡发生的可能性。③危险性评价:指对滑坡危险性进行定性估计、定量分析计算并按照一定的标准进行分级排序的过程。滑坡年危险性评价重点对滑坡发生的空间概率或可能性进行预测分析和评价,滑坡动态危险性评价重点对滑坡发生的时间概率或可能性进行评价。④频率(Frenquency):一定时期内滑坡发生的次数。

2)滑坡危害性

①危害性:结合我国的应用习惯,将危害性定义为:滑坡以一定强度发生后,造成的人员伤亡、财产损失程度称为滑坡的危害性。②危害性评价:危害性评价是在承灾体易损性分析与价值估算、承灾体遭遇滑坡的时间概率和空间概率分析的基础上,对滑坡危害程度大小所做的定性估计、定量计算并按照一定的标准进行分级排序的过程。

承灾体(Elements at Risk)指滑坡影响区内的所有承灾对象,包括人、财产、公共设施、土地资源等。

易损性(Vulnerability)指承灾体遭遇滑坡时受到损伤大小的程度,用0~1之间的数值来表示,值越大表示损伤的程度越严重,易损性大小既与承灾体自身的类型和“质量”有关,也与滑坡强度有关。

二、滑坡灾害风险评估、风险处置与风险管理分析方法

1、风险评估(Risk Assessment )

风险评估是在对滑坡灾害进行风险调查的基础上,对滑坡灾害风险特征进行识别,并应用定性或定量的方法对滑坡灾害风险进行分析与评价的过程,包括风险分析和风险评价两方面的内容。在风险评估过程中涉及的其它相关术语主要有:①风险识别(Risk Identification):鉴别构成风险的要素、来源、特性及与滑坡活动有关的不确定性。风险识别存在于对滑坡灾害风险要素调查与分析的整个过程。②风险估计(Risk Estimation):对风险发生的可能性及其后果进行定性分级或定量估算的过程,也称为风险估算或风险度量。③风险分析(Risk Analysis):用定性或定量的方法分析并表达风险结果的过程,包括风险识别与风险估计(估算)。④风险评价(Risk Evaluation):根据风险容许标准(或风险评价标准),利用定性分级或定量评价的方法对风险分析的结果进行等级评定、排序或风险归类的过程。

2、风险处置(Risk Treatment)

对特定风险所采取的控制方法及其实施的整个过程。风险处置的类型包括接受风险、预报风险、转移或分担风险、减缓风险、监测风险及对风险处置结果的再评价等。如果说风险评估是一个主要由专业技术人员及相关理论与方法构成的技术过程,则风险处置是一个集专业技术人员、行政管理人员、社会公众及法规体系、规章制度等为一体的风险决策与控制过程。

3、风险管理(Risk Management)

风险管理指参与风险处置的各方对风险的识别、分析评价、决策处置,以较低合理的成本获取最大安全保障的科学管理方法。因此,风险分析是风险评价的基础,风险评价是风险分析与风险处置的桥梁,而风险管理是将各种理论、方法技术和政策等系统的应用于整个风险分析、评价与处置过程的科学管理方法。

4、滑坡地质灾害风险评价的方法

篇10

3C框架和流程

中天恒管理咨询公司经过多年的探索和实践,专为中国企业打造的3C全面风险管理基本框架(下文简称“3C框架”)如图1。

3C框架从总体结构上是按照目标体系、风险整合、管理融合来安排的,形成了由目标体系、风险整合、管理融合组成的有机体系,贯彻严密的目标――风险――管理的逻辑关系。

企业目标是一个相互联系、相互依存的目标体系。全面风险管理作为企业管理的一项核心内容,可以把目标确定作为全面风险管理的前提条件进行关注,并将其贯穿于全面风险管理工作的始终。

风险是对企业目标实现产生影响事项发生的不确定性,包括了危险和机会,是一个全面的概念。风险偏好、风险意识、风险理念、风险文化是企业全面风险管理的软要素,是企业实施全面风险管理必须明确的基本概念。把企业主要风险整合起来,是全面风险管理的一个基本标准。

全面风险管理是为合理保证企业目标实现,对企业风险进行全面管理的动态过程,是对企业风险进行整合管理的过程,是艺术和科学的结合。全面风险管理目标、意义、主体、内容、流程、方法是企业全面风险管理的重要内容,是必须明确的;全面风险管理政策、战略、策略、决策是企业全面风险管理的基础,影响整个全面风险管理工作;全面风险管理信息、沟通、学习应贯穿于全面风险管理工作的始终。这些都应该从总体上予以明确。

全面风险管理融合,是企业风险管理自身内部的融合,是企业风险管理与企业业务的融合,是企业风险管理与企业管理的融合。全面风险管理与企业管理需要融合的内容很多,其中最重要的就是要做到内部控制与风险管理的融合。

3C框架与COSO的不同

3C框架没有直接引入管理要素概念,从总体看包括目标、风险、管理三个方面;从流程看包括管理准备、管理实施、管理报告和监督改进四个方面。

3C框架把COSO全面风险管理框架“事件识别”定义为“风险识别”;把COSO全面风险管理框架“风险评估”细化为“风险分析”、“风险计价”、“风险评价”;把COSO全面风险管理框架“控制活动”重新定义为“风险控制”;把COSO全面风险管理框架“监控”改为“监督改进”,并细化为“风险监督”、“风险审计”、“管理改进”等。

篇11

该定义重点说明了为组织增加价值是内部审计的根本目标,突出了内部审计参与风险管理、内部控制和公司治理的要求,是现代内部审计的丰碑,对于内部审计事业的发展有着巨大的意义。新定义在原定义的基础上,确立了一些新的内容:

第一,“保证与咨询”的工作方向;

第二,“增加价值”和“提高组织的运作效率”的工作目标;

第三,评价“风险管理、控制及治理程序”的工作内容;

第四,“系统化和规范化”的工作方法。IIA新的内部审计定义为内部审计参与风险管理提供了重要的依据。

一、内部审计介入风险管理的现实动因

1.企业竞争的需要

随着社会经济的发展、科技的进步、国际经济联系的加强,尤其是经济全球化及国际化程度的加深,企业面临的经营环境日趋复杂。为了在复杂的竞争环境中求得生存和发展,企业需要不断进行变革创新,开拓新的业务领域,经营活动的不确定性增大,企业面临的风险也随之大大增加,加强对风险的控制和管理自然成了企业管理的重中之重。因此,企业经营者必须树立风险意识,把降低风险作为企业实现目标的关键,为此,企业需要对现有的和潜在的各种风险进行识别、衡量、评价,并在此基础上制定和实施对企业价值最大化的风险处理方案。内部审计作为企业的一个相对独立的职能部门,必然应当成为企业风险管理的有效组成部分,从组织战略目标的角度来评估,为专业的风险管理部门提供确认与咨询服务。内部审计部门和内部审计人员参与企业的风险管理也就成为企业竞争的必然需要。

2.内部审计自身发展的需要

20世纪90年代以来,价值链原则——企业必须在世界范围内寻找最有效率的、成本最低的价值环节的理念在国外盛行。同时,民间审计的业务领域不断向企业内部管理扩展,在注册会计师的专家优势和价值链原则的引导下,西方内部审计职业界出现了一种重要的现象——内部审计外包。外包的风潮使内部审计面临边缘化的危机。如何提供价值增值服务,提升自己的组织地位,是内部审计需要解决的紧要问题。而企业对风险的空前重视,为内部审计发展提供了一个契机,内部审计介入风险管理并在其中扮演一个重要的角色,将其在企业中的作用推向一个新的高度。内部审计一旦与风险管理结合,其工作范围自然就扩大到企业管理的整个过程,成为一种整体性、全局性的管理活动。更重要的是,内部审计在介入风险管理过程中,将集中全面评估企业面临的风险,甚至可以在董事会授权的情况下帮助企业制定风险管理战略,这就使内部审计从应管理层要求提供确认的被动服务方式,改变为基于战略向管理层提供确认和咨询的主动服务方式。正因如此,国际内审师协会IIA 不遗余力地倡导内部审计介入风险管理,并把风险管理作为内部审计的重要领域写进了内部审计的定义。

3.内部审计在风险管理中的独特优势

内部审计介入风险管理的独特优势风险在企业内部具有感染性、传递性等特征,即一个部门造成的风险或疏于风险管理所带来的后果往往不是由其直接承担,而是会传递到企业内部其他部门,最终可能导致整个企业陷入困境。正因为如此,风险的识别、防范和应对需要从全局考虑,而各业务部门又很难做到这一点。内部审计部门处于企业的董事会、总经理和各职能部门之间,不同于一般的职能部门,具有相对独立的地位,这使得它们可以从全局出发、从客观的角度对风险进行识别,及时建议管理部门采取措施控制风险。相对于外部审计,内部审计在风险管理方面拥有无可比拟的优势。如内部审计对企业面临的风险更了解,可以对经济事项进行连续的跟踪审计,及时反馈信息;无论在企业兴盛还是衰败时期都能与企业融为一体,对防范企业风险、实现企业目标有着更强烈的责任感、义务感;具有连续性、服务性强的特点。这些都是外部审计不可比拟的。所以,内部审计更应该介入企业的风险管理。

二、全面风险管理导向内部审计的涵义

全面风险管理导向内部审计就是以实现企业战略目标为起点,以全面风险管理为导向,通过发挥确认与咨询两大功能,应用系统化和规范化的方法评价并改善企业风险管理过程和效果,以实现企业可持续价值最大化的一种内部审计模式。它是企业内部审计系统的环境、资源、战略、公司治理结构相互作用、结构优化的结果。它既是企业公司治理结构的重要组成要素和核心内容,也是当今时代背景下企业内部审计新的发展方向。与现行内部审计模式相比,全面风险管理导向内部审计具有明显的优势特征。

参考文献:

[1]石恒贵 刘 斌 杨 卫:上市公司内部审计部门治理效果的实证研究[J].华东经济管理,2009,第4期.

[2]刘 斌 石恒贵.上市公司内部审计外包决策的影响因素研究.审计研究.2008,第4期

篇12

(一)操作风险的定义

银行操作风险的界定较为复杂,银行包括声誉在内所有的资产基本都被覆盖在其中,国内和国外的金融界赋予操作风险的定义也都各有不同。主要包括下面一些观点。(1)操作风险较早的定义就是指除了市场风险和信用风险以外的风险,这个定义较为模糊,没有针对性,实际意义也不是很大。因为信用风险在不同银行的定义是不同的,这样就将导致对操作风险的划分不同,(2)英国银行家协会指出,操作风险是由于内部程序、人员、系统或外部因素造成的直接或间接损失的风险。(3)美联储对操作风险的定义是由于违规操作、不完善的系统及欺诈造成的非预期性的损失。(4)目前来看,被大多数人认可的操作风险是指因为失灵或不完善的内部程序、人员、系统及外部事件所导致的损失。

(二)操作风险的内容分类

巴塞尔委员会依据银行损失事件的类型对操作风险进行了分类,其主要包括内部欺诈、外部欺诈、就业政策和工作场所安全、客户产品和业务操作、业务中断及系统失败、实体资产损坏、执行与流程管理等。

我国商业银行在结合国内实际情况的基础上对操作风险内容也做出了分类,主要分为内部因素和外部因素两大类。其中,内部因素包括操作失误、违法行为、流程设计不合理、关键人员流失等;外部因素包括外部欺诈、经营环境恶化等。

二、会计操作风险的定义及其主要风险点

(一)会计操作风险的定义

银行业几乎所有经营业务的运营都与会计有关,这使会计操作环节成为被关注的高风险区域。一般来说会计风险可划分为会计管理风险、会计系统风险与会计操作风险。我们在这里要探讨的会计操作风险就是指商业银行柜面业务及后台的会计综合管理中存在的风险。

(二)会计操作的主要风险点

随着业务品种在商业银行的不断增加,会计操作风险也不断地加大,其主要的潜在风险点体现在核算与结算风险、账户风险、授权风险、轮岗风险、金库管理风险、会计信息化风险等方面。

三、商业银行会计操作风险的成因分析

(一)组织结构与机构设置不合理

多年来,商业银行一直在延用一种纵向的、以分行为主的科层式组织架构,这种组织架构的特点是分行主导、分权管理,管理链条过长、信息传递不及时、分行的权力过大,行长负责制更是使各业务岗之间的彼此监督成了一种摆设。在这种环境下,绝对的权力就容易产生腐败的行为。

近年来,我国的会计操作风险案例多发生在基层分支机构,所以对基层营业机构的会计操作风险防范尤为重要。商业银行对此的认识不足,对基层会计操作风险的管理通常由内控合规部门负责。商业银行一般是一级分行以上内审部门来组织实施非现场审计,非现场审计系统也不能完全覆盖基层内审机构,基层分支机构会计操作风险管理职能不完善,总行对分行是不可能进行实时监督的,这就容易引发会计操作风险。

(二)人员的配置水平无法满足会计风险管理的要求

银行的工作多是由人来完成的,银行的制度和流程也是人去设计和执行的。操作风险和人员配置紧密相关,对人员管理不到位就容易产生道德风险和能力风险。在我国,很多的商业银行没有建立起一套科学的人员任用机制,特别是在选拔任用银行管理层方面,既没有对人员综合素质的评估过程,又没有完整的岗前培训,上级对干部使用的考察重能力、轻品德,重外部业务内力、轻内部管理能力,这就造成了潜在的风险。

另外,中小商业银行人员流动性大且储备不足,部分银行的业务增加量远远高于人员增长,造成了会计操作运营人员的缺失。过多银行强调网点柜员的压缩,而压缩却不能与网点的调整同步,人员、岗位矛盾越来越突出。过分强调减员增效,使网点人员不足,一人多岗、不相容职务不分离的情况时有出现,造成人员素质与岗位设置都难以符合风险控制的要求。

(三)会计操作风险的评估手段落后

我国商业银行会计操作风险要加强管理,必须要能够对每个机构会计操作风险水平做出客观的评价,但目前我国商业银行会计操作风险的评估手段还比较落后。

首先,我国商业银行可量化的综合评价指标不多,差别化管理难以实施,管理重点不能精确地定位。商业银行评价会计操作风险的体系还不成熟,管理者基本还是凭借主观经验来确定风险管理的重点,其客观性及准确性都较差,机构风险点的变化和管理水平不能及时反映,差别化管理遇到瓶颈。

其次,风险评估工作达不到会计操作风险控制的要求。新业务及金融工具的不断更新换代使会计操作风险不断增加,但内部控制风险评估工作的发展速度却落后于业务的更新,这就难以满足会计操作风险控制的要求,无法准确识别风险点,不能有针对性地警示员工,会计操作风险发生的概率大大增加。

(四)业务发展与风险控制出现矛盾

随着市场经济的发展,银行在市场上也面临着越来越激烈的竞争,这就使银行及分支机构极为关注绩效指标、存款贷款等市场指标。部分银行的管理层只重视业务发展,轻视风险控制,对会计操作风险可能给银行带来的危害认识不足,甚至出现了为取得业务发展而干预会计操作的情况。以牺牲原则为代价来获取客户,片面地强调市场业务的发展,必将导致违规操作的发生,业务发展与风险控制失去了平衡点。

存款与贷款的扩张完全以绩效为导向、存款任务指标与绩效奖金挂钩,这容易引发违规操作,导致内部风险控制失控。近年来的很多会计操作风险案例就是由于盲目揽储造成的,部分银行人员为了个人利益,将内部控制流程和制度抛于脑后,给商业银行经营造成的危害极大。

(五)内部审计缺乏有效性

我国商业银行的内部控制和监管制度并不缺乏,但这些制度在真正的执行过程中却被变通打破,有效性也就大大地降低了。商业银行内部审计缺乏有效性主要体现在缺乏内部审计应该具有的独立性和权威性、内部审计方法过于偏重事后监督、审计范围不够全面、不重视对高级管理人员的监督等方面。

四、防范商业会计操作风险的对策

(一)完善会计操作风险控制的组织架构

首先,公司法人治理结构必须合理,公司的股东大会、监事会、董事会的运作必须保持独立性,务必明确各位置的权力与职责,建立起各个机构相互制衡来管理银行的组织架构,权力、执行、监督、经营等机构要相互分离。银行管理机构要合理的行使各自的权利,保证银行内部各部门及员工各司其责、相互监督。

其次,会计操作风险全程检查体系要在银行内部建立起来。商业银行在进行内部控制体系设计及会计操作风险管理时,应该注意权利相互分离的原则,应建立分层次全程监督系统,对银行的经营活动进行事前、事中、事后的实时监督。

(二)形成内部控制文化,全面提高内控意识

会计操作风险是很难把握的,也确实较为复杂。在银行中要全面普及内控意识,内控文化的宣传对象也不仅仅是银行的管理人员,具体执行操作的银行普通员工也要覆盖到。银行内部员工只有提高自己的内控意识,才能更有助于银行的平稳发展。内控文化的传播目的就是要提升员工的能动性,使银行的运营更加稳健。

首先,银行内部不能仅仅注重银行业务量的增长,也要在内部树立起会计操作风险的内部控制意识。银行的管理层应该从全局把握会计操作风险,将风险始终控制在萌芽状态。

其次,在银行内部要明确会计操作风险的防范不仅仅是银行内审部门的工作,也关系到银行的管理层及银行的各个部门,各部门间应相互合作、彼此监督,共同规避可能发生的会计操作风险。

最后,要在企业内部形成一种防范会计操作风险的内控文化,银行的管理层要大力对这一文化建设给予支持,提升银行全员的内控意识。

(三)提高员工的综合素质,奠定会计操作风险管理的基础

要在银行内部建立培训机制,全面提高银行员工的政治素质、思想素质、道德品质、职业素养,提高专业知识及综合能力。

首先,要在银行内部大力宣传法制教育及职业道德教育。银行可通过先进事例报告、内控案例分析、内控知识竞赛、行业经验讲座等多种形式来强化会计人员、监察人员的职业道德,使银行员工有正确的价值观,让员工对法律法规与内部制度有一个更加深刻的认识。

其次,要强化会计人员的职业技能培训。银行内部要有针对性地对各个岗位进行适当、有效的培训,人员上岗必须有相关培训合规证书,切实做到岗前有培训、上岗有证书,改变原来老员工带新员工的教育办法,鼓励学习、鼓励创新。

(四)量化综合评价指标,实行差别化管理

选取一些内控措施重要环节的执行情况、内外部检查出的风险性问题等能反映会计风险控制状况的指标,将这些指标纳入风险评价体系,根据各个指标风险重要程度的不同来分别设定分值,然后根据综合分值对机构的风险防范水平做出全面的评价。对风险不同的机构,可以采取不同的管理措施,将管理精力向管理薄弱的机构倾斜,通过整改汇报、加强培训、跟踪验收等形式,改进其会计操作风险管理状态。

(五)建立银行内控的信息交流与反馈机制

首先,银行内部要实行信息化管理,信息数据均可联网体现,便于内部信息的实时获取,也便于发现问题及时向上级领导反映,从而进行及时的整改。

其次,信息管理员应该将信息进行及时的整理及提炼,形成有价值的信息平台,负责内控的人员获取相关信息后要完成风险分析,及时控制风险并有效减少风险。

(六)充分发挥审计在会计操作风险中的监督作用

要建立起独立的对董事会负责的内部审计部门,使审计职能更充分地发挥;通过网络技术采取非现场稽核手段对业务操作进行监督;重视内部审计的同时也要大力借助外部审计手段;审计部门要对各部分风险防范有一个系统的分析,建立全面风险预警体系及应对风险的预案。

参考文献:

篇13

网络安全正逐渐成为一个国际化的问题,每年全球因计算机网络的安全系统被破坏而造成的经济损失达数千亿美元。网络安全是一个系统的概念,有效的安全策略或方案的制定,是网络信息安全的首要目标。安全风险评估是建立网络防护系统,实施风险管理程序所开展的一项基础性工作。

然而,现有的评估方法在科学性、合理性方面存在一定欠缺。例如:评审法要求严格按照BS7799标准,缺乏实际可操作性;漏洞分析法只是单纯通过简单的漏洞扫描或渗透测试等方式对安全资产进行评估;层次分析法主要以专家的知识经验和统计工具为基础进行定性评估。针对现有网络安全评估方法中出现的这些问题,本文拟引用一种定性与定量相结合,综合化程度较高的评标方法——模糊综合评价法。

模糊综合评价法可根据多因素对事物进行评价,是一种运用模糊数学原理分析和评价具有“模糊性”的事物的系统分析方法,它是一种以模糊推理为主的定性与定量相结合、非精确与精确相统一的分析评价方法。该方法利用模糊隶属度理论把定性指标合理的定量化,很好的解决了现有网络安全风险评估方法中存在的评估指标单一、评估过程不合理的问题。

1关于风险评估的几个重要概念

按照ITSEC的定义对本文涉及的重要概念加以解释:

风险(Risk):威胁主体利用资产的漏洞对其造成损失或破坏的可能性。

威胁(Threat):导致对系统或组织有害的,未预料的事件发生的可能性。

漏洞(Vulnerabmty):指的是可以被威胁利用的系统缺陷,能够增加系统被攻击的可能性。

资产(Asset):资产是属于某个组织的有价值的信息或者资源,本文指的是与评估对象信息处理有关的信息和信息载体。

2网络安全风险评估模型

2.1网络安全风险评估中的评估要素

从风险评估的角度看,信息资产的脆弱性和威胁的严重性相结合,可以获得威胁产生时实际造成损害的成功率,将此成功率和威胁的暴露率相结合便可以得出安全风险的可能性。

可见,信息资产价值、安全威胁和安全漏洞是风险评估时必须评估的三个要素。从风险管理的角度看,这三者也构成了逻辑上不可分割的有机整体:①信息资产的影响价值表明了保护对象的重要性和必要性。完整的安全策略体系中应当包含一个可接受风险的概念;②根据IS0-13335的定义,安全威胁是有能力造成安全事件并可能造成系统、组织和资产损害的环境因素。可以通过降低威胁的方法来降低安全风险,从而达到降低安全风险的目的;③根据IS0-13335的观点,漏洞是和资产相联系的。漏洞可能为威胁所利用,从而导致对信息系统或者业务对象的损害。同样,也可以通过弥补安全漏洞的方法来降低安全风险。

从以上分析可以看出,安全风险是指资产外部的威胁因素利用资产本身的固有漏洞对资产的价值造成的损害,因此风险评估过程就是资产价值、资产固有漏洞以及威胁的确定过程。

即风险R=f(z,t,v)。其中:z为资产的价值,v为网络的脆弱性等级,t为对网络的威胁评估等级。

2.2资产评估

资产评估是风险评估过程的重要因素,主要是针对与企业运作有关的安全资产。通过对这些资产的评估,根据组织的安全需求,筛选出重要的资产,即可能会威胁到企业运作的资产。资产评估一方面是资产的价值评估,针对有形资产;另一方面是资产的重要性评估,主要是从资产的安全属性分析资产对企业运作的影响。资产评估能提供:①企业内部重要资产信息的管理;②重要资产的价值评估;③资产对企业运作的重要性评估;④确定漏洞扫描器的分布。

2.3威胁评估

安全威胁是可以导致安全事故和信息资产损失的活动。安全威胁的获取手段主要有:IDS取样、模拟入侵测试、顾问访谈、人工评估、策略及文档分析和安全审计。通过以上的威胁评估手段,一方面可以了解组织信息安全的环境,另一方面同时对安全威胁进行半定量赋值,分别表示强度不同的安全威胁。

威胁评估大致来说包括:①确定相对重要的财产,以及其价值等安全要求;②明确每种类型资产的薄弱环节,确定可能存在的威胁类型;③分析利用这些薄弱环节进行某种威胁的可能性;④对每种可能存在的威胁具体分析造成损坏的能力;⑤估计每种攻击的代价;⑥估算出可能的应付措施的费用。

2.4脆弱性评估

安全漏洞是信息资产自身的一种缺陷。漏洞评估包括漏洞信息收集、安全事件信息收集、漏洞扫描、漏洞结果评估等。

通过对资产所提供的服务进行漏洞扫描得到的结果,我们可以分析出此设备提供的所有服务的风险状况,进而得出不同服务的风险值。然后根据不同服务在资产中的权重,结合该服务的风险级别,可以最后得到资产的漏洞风险值。

3评估方法

3.1传统的评估方法

关于安全风险评估的最直接的评估模型就是,以一个简单的类数学模型来计算风险。即:风险=威胁+脆弱+资产影响

但是,逻辑与计算需要乘积而不是和的数学模型。即:风险=威胁x脆弱x资产影响

3.2模糊数学评估方法

然而,为了计算风险,必须计量各单独组成要素(威胁、脆弱和影响)。现有的评估方法常用一个简单的数字指标作为分界线,界限两边截然分为两个级别。同时,因为风险要素的赋值是离散的,而非连续的,所以对于风险要素的确定和评估本身也有很大的主观性和不精确性,因此运用以上评估算法,最后得到的风险值有很大的偏差。用模糊数学方法对网络安全的风险评估进行研究和分析,能较好地解决评估的模糊性,也在一定程度上解决了从定性到定量的难题。在风险评估中,出现误差是很普遍的现象。风险评估误差的存在,增加了评估工作的复杂性,如何把握和处理评估误差,是评估工作的难点之一。

在本评估模型中,借鉴了模糊数学概念和方法中比较重要的部分。这样做是为了既能比较简单地得到一个直观的用户易接受的评估结果,又能充分考虑到影响评估的各因素的精度及其他一些因素,尽量消除因为评估的主观性和离散数据所带来的偏差。

(1)确定隶属函数。

在模糊理论中,运用隶属度来刻画客观事物中大量的模糊界限,而隶属度可用隶属函数来表达。如在根据下面的表格确定风险等级时,当U值等于49时为低风险,等于51时就成了中等风险。

此时如运用模糊概念,用隶属度来刻画这条分界线就好得多。比如,当U值等于50时,隶属低风险的程度为60%,隶属中等风险的程度为40%。

为了确定模糊运算,需要为每一个评估因子确定一种隶属函数。如对于资产因子,考虑到由于资产级别定义时的离散性和不精确性,致使资产重要级别较高的资产(如4级资产)也有隶属于中级级别资产(如3级资产)的可能性,可定义如下的资产隶属函数体现这一因素:当资产级别为3时,资产隶属于二级风险级别的程度为10%,隶属于三级风险级别的程度为80%,属于四级风险级别的程度为10%。

威胁因子和漏洞因子的隶属度函数同样也完全可以根据评估对象和具体情况进行定义。

(2)建立关系模糊矩阵。

对各单项指标(评估因子)分别进行评价。可取U为各单项指标的集合,则U=(资产,漏洞,威胁);取V为风险级别的集合,针对我们的评估系统,则V=(低,较低,中,较高,高)。对U上的每个单项指标进行评价,通过各自的隶属函数分别求出各单项指标对于V上五个风险级别的隶属度。例如,漏洞因子有一组实测值,就可以分别求出属于各个风险级别的隶属度,得出一组五个数。同样资产,威胁因子也可以得出一组数,组成一个5×3模糊矩阵,记为关系模糊矩阵R。

(3)权重模糊矩阵。

一般来说,风险级别比较高的因子对于综合风险的影响也是最大的。换句话说,高的综合风险往往来自于那些高风险级别的因子。因此各单项指标中那些风险级别比较高的应该得到更大的重视,即权重也应该较大。设每个单项指标的权重值为β1。得到一个模糊矩阵,记为权重模糊矩阵B,则B=(β1,β2,β3)。

(4)模糊综合评价算法。

进行单项评价并配以权重后,可以得到两个模糊矩阵,即权重模糊矩阵B和关系模糊矩阵R。则模糊综合评价模型为:Y=BxR。其中Y为模糊综合评估结果。Y应该为一个1x5的矩阵:Y=(y1,y2,y3,y4,y5)。其中yi代表最后的综合评估结果隶属于第i个风险级别的程度。这样,最后将得到一个模糊评估形式的结果,当然也可以对这个结果进行量化。比如我们可以定义N=1×y1十2×y2十3×y3×y4十5×y5作为一个最终的数值结果。

4网络安全风险评估示例

以下用实例说明基于模糊数学的风险评估模型在网络安全风险评估中的应用。

在评估模型中,我们首先要进行资产、威胁和漏洞的评估。假设对同样的某项资产,我们进行了资产评估、威胁评估和漏洞评估,得到的风险级别分别为:4、2、2。

那么根据隶属函数的定义,各个因子隶属于各个风险级别的隶属度为:

如果要进行量化,那么最后的评估风险值为:PI=1*0.06+2*0.48+3*0.1+4*0.32+5*0.04=2.8。因此此时该资产的安全风险值为2.8。

参考文献

[1]郭仲伟.风险分析与决策[M].北京:机械工业出版社,1987.

[2]韩立岩,汪培庄.应用模糊数学[M].北京:首都经济贸易大学出版社,1998.