發布時間:2023-07-17 16:30:06
序言:寫作是分享個人見解和探索未知領域的橋梁,我們為您精選了8篇的風險因素的識別和評估樣本,期待這些樣本能夠為您提供豐富的參考和啟發,請盡情閱讀。
關鍵詞:企業會計信息;風險識別;管理分析
中圖分類號:F23 文獻標識碼:A 文章編號:1001-828X(2013)11-0-01
風險就是未來可能發生的不確定性的結果,在財務管理方面不論何種風險都會造成重大損失,因此需要對風險進行有效識別和管理,以最大限度降低風險成本。企業會計信息系統可以有效維護企業的整體運行,企業對會計信息系統進行風險識別和管理不僅是企業財務規避風險的需要,也是整個企業風險管理的需要。但目前我國在會計信息系統風險識別和管理方面的研究還很少,企業在會計信息風險管理方面的認識和經驗還不足,很多企業為保證會計信息安全傾盡了大量財力、物力卻沒有任何效果。因此企業如何識別風險,并采取措施進行有針對性的風險管理,需要企業管理者認真思考總結,以對癥下藥。
一、企業會計信息風險識別
1.會計信息風險識別的定義和重要性
對事件的識別可以幫助企業管理者熟悉影響業務活動的各種因素,但事件識別無法清楚了解這些事件蘊含著怎樣的風險。因此企業管理者在了解事件的同時,更應分析這些復雜的事件蘊含了哪些“風險”,即風險識別。企業會計信息風險識別可以將不確定的事件轉化為清晰的風險陳述,在事件識別和風險評估之間起到橋梁的作用。
2.會計信息風險識別的內容
企業會計信息風險識別可以分為三個方面:(1)利用風險檢查表來系統地識別風險;(2)對已知風險進行交流。采用口頭或書面的方式,在企業會議上針對已知風險進行交流;(3)將已知的風險編寫成文檔,可以方便以后查閱。文檔內容從風險陳述和相關風險的背景兩個方面來寫,風險背景中要包括風險發生的時間、地點、原因和后果[1]。
3.會計信息風險識別的方法
企業會計信息識別風險的方法有很多,財會人員可以通過分析公司歷年的財務報表,加強與部門經理的討論溝通,多進行員工調查,或咨詢保險人和風險管理咨詢顧問等方式,以此識別各種潛在風險。財會管理者在運用各種風險識別方法時,首先要全面了解部門、企業以及影響企業的經濟、法律和法規等“事件”。有效識別面臨風險的各項財產以及造成潛在損失的原因,考慮對這些財產進行計量的方法。綜合各種計量屬性的優缺點,選擇合理的估價方法。
二、企業會計信息風險管理分析
1.會計信息風險評估
企業會計信息風險評估即對會計信息及信息處理設施可能發生的威脅和影響的評估。企業財會部門利用風險評估可以有效考慮潛在風險對會計目標達成的影響,以確定會計信息風險控制的優先級,實現對潛在風險的有效控制,將風險降低到最小范圍。風險評估時管理者首先應考慮到企業資產及其價值的潛在威脅,研究風險發生的可能性和薄弱點,建立完善的風險評估流程。風險評估方法分為定性和定量兩種,對于不能量化的或不能進行定量評價,實踐中沒有實用性的風險采用定性的評估方法。定性分析方法側重于關注事件帶來的損失,而很少關注事件發生的頻率,主要是通過事件面臨的威脅和脆弱點來確定事件的風險等級,評估中也沒有具體的數據,以期望值來設定風險的影響值和概率值[2]。
當單純的期望值不能區分風險值間的差別時,就需用定量評估法。定量評估主要是利用威脅事件發生的概率和可能造成的損失這兩個因素,這兩個因素相乘的結果稱為ALE。通過ALE可以計算出風險等級,以對此做出相應決策。不同規模的企業風險評估工具的選擇不同,比較小的企業財會部門的風險管理決策主要來自經驗判斷,對于規模較大的企業一般通過數據收集、處理分析來進行風險評估。常用的風險評估工具有使用歷史數據法、使用回歸分析方法和使用正態分布模擬損失分布等。
2.會計信息風險應對
在企業會計信息風險應對中,首先應以風險評估的結果為依據,判斷威脅事件的薄弱點,選擇合理的手段和正確的保護措施。其次,也應該考慮到費用問題,確保應對措施的費用在財會部門預算范圍之內。根據應對措施的費用和部門的實際預算選擇合理的方式,達到降低風險的目的。常見的風險應對方法有規避風險、減輕風險、承擔風險和接受風險等。風險的發生是隨機和不確定的,因此風險應對也是一個動態的過程,財會部門應使用動態的方法應對風險,及時更新風險管理體系。
3.會計信息風險監控
企業會計信息風險監控是財務信息風險管理的重要組成部分,可以通過持續監控和單獨評價兩種方式實現。在企業財務部門的日常業務活動中實行持續監控,依靠風險評估和持續監控的有效性進行單獨評價。持續監控是財務部門對日常工作和業務活動的動態監控,財會部門在工作中如發現風險管理的缺陷應立即向上級匯報,以采取相應措施彌補。通過日常的監控可以及時發現會計信息管理中的各種問題,以規避風險。在風險事件發生后進行個別評估,探討財會部門風險管理的有效性,重視對事件缺陷的挖掘與匯報,建立可靠的溝通渠道,及時匯報一些敏感或非法的信息[3]。
三、結語
在激烈的市場競爭中,企業在經營管理的各個環節,不可避免的會存在一定風險,這些風險可能對企業產生重大影響。有效規避和化解企業會計信息中的風險,是確保企業在激烈的競爭中持續發展的基本要求。財會部門作為企業的核心部門,在日常工作中應該建立有效的風險管理體制,對可能發生的風險進行評估,并采取相應的措施應對,也要實施風險持續監控制度,積極挖掘財會工作中的各種風險管理缺陷,以此規避風險減少企業經濟損失。
參考文獻:
[1]李華麗.淺論會計風險管理存在的問題[J].中國市場,2010,5(26):21-23.
1.1靜態風險評估
靜態風險評估是根據傳統風險評估的具體方法對較短時間內系統存在的各種風險進行科學的評估,評估的整個過程并不連續,評估的對象主要選擇相對靜止的系統。
1.2動態風險評估
動態風險評估是對網絡進行安全風險的評估,并研究系統變化的過程和趨勢,將安全風險與具體的環境相互聯系,從宏觀的角度了解整個系統存在的安全風險,把握風險的動態變化,風險評估的過程是動態變化的過程。對于電信網絡而言,客觀準確的進行安全風險的評估是整個電信安全管理的重要前提。風險評估是風險管理的初級階段,目前,我國的電信網絡仍然采用傳統靜態評估的方式,最終對安全風險的評估只是針對特定的時間點。但是,靜態風險評估不能有效的體現評估風險各種變化的趨勢,評估結果相對比較滯后。動態風險評估加強了靜態風險評估的效果,能夠反映較長時間安全風險具體的變化情況。在動態風險進行評估的過程中,如果系統出現安全問題,可以及時的進行處理,展現了整個風險評估的變化過程,保證了網絡的安全。對電信網絡實施動態風險評估,具有非常復雜的過程,評估的結果具有參考價值。電信網絡安全風險評估的研究文/向宗旭隨著電信技術的不斷發展和深入,電信網絡與現代的互聯網存在較為緊密的聯系,這也為電信網絡帶來巨大的安全風險。電信網絡屬于我國通信網絡中的重要內容,直接關系到我國社會的穩定。本文主要探討了電信網絡的安全風險評估。
2電信網絡安全風險評估具體的實施過程
對電信網絡進行安全風險評估的工作,其對象可以針對電信網絡的某一部門也可以是整個電信網絡。風險評估的內容包含技術的安全問題以及網絡管理的安全問題。技術安全主要包括網絡安全以及物理安全等,管理安全主要包括管理制度以及人員管理等。對電信網絡實施安全風險的評估主要按照以下幾個步驟。
2.1風險評估前的準備工作
在進行安全風險評估之前,首先需要獲得各個方面對安全風險評估的支持,相互配合,確定需要評估的具體內容,組織負責進行安全風險評估的專業團隊,做好市場的調查工作,制定評估使用的方法,只有做好一系列的準備工作才能為接下來的安全風險評估奠定基礎。
2.2對資產的識別工作
在電信網絡中的資產主要包括具有一定使用價值的資源,電信網絡的資產也是進行安全風險評估的主要對象。資產存在多種形式,有無形資產和有形資產,還可以分為硬件和軟件。例如,一些網絡的布局以及用戶的數據等。做好資產識別的工作能夠確定資產具體的安全情況。對資產進行安全風險的評估可以綜合分析資產的價值以及安全狀況,還可以考慮資產具有的社會影響力。社會影響力是指資產一旦失去安全的保障會對整個社會帶來影響。
2.3威脅識別工作
威脅的識別是指對電信網絡內部資產存在破壞的各種因素,這種潛在的破壞因素客觀存在。對資產產生威脅的主要原因包括技術、環境以及人為。技術因素是指網絡自身存在的設備故障或者是網絡的設計存在疏漏。環境因素是指環境中的物理因素。人為因素是指人為造成的威脅,包括惡意和非惡意。通過對威脅的動機以及發生幾率描述網絡存在的各種威脅,威脅識別工作的重要任務就是判斷出現威脅的可能性。
2.4脆弱性識別工作
網絡資產本身具有脆弱性的特點,包括網絡存在的各種缺陷。只有網絡存在各種缺陷和弱點才有可能出現各種威脅的因素,如果沒有威脅的產生,網絡具有的脆弱性并不會損害資產。但是只有系統較少自身的脆弱性才會較少資產被威脅的可能性,使系統的資產更加安全,從而有效的較少損失。對電信網絡進行脆弱性識別工作可以從技術和管理上展開,主要以資產的安全作為核心內容,針對資產的不同特征,進行脆弱性的識別工作。
2.5確認具體的安全措施
對電信網絡進行的安全風險評估需要做好安全措施的確認工作,保持有明顯效果的安全措施,對失去效果的安全措施予以改正,避免內部資產的浪費,杜絕重復使用安全措施。一旦發現不合理的安全措施需要及時檢查安全措施能否被取消,并制定更合理的安全措施。確認安全措施的工作主要分為預防性和保護性兩種。預防性措施主要負責減少威脅性因素產生的可能性,保護性措施是為了減少資產的損失。
2.6風險分析工作
風險分析工作主要對電信網絡的資產識別、脆弱性識別、威脅識別以及存在風險對資產造成的損失進行綜合性的分析,最終得出準確的風險值,結合制定的安全措施。分析資產承受風險的最大范圍。如果出現的安全風險在資產承受的范圍之內,需要繼續采取安全保護措施,如果安全風險超出了資產承受的范圍,這就需要對風險進行控制,制定更可靠的安全措施。
2.7整理風險評估記錄
對電信網絡實施安全風險評估工作的整個過程,需要進行風險評估的準確記錄,包括評估的過程以及評估的最終結果,制定系統的安全風險評估報告。為安全風險評估的工作提供可靠的科學依據。
3結束語
2004年9月美國COSO委員會的企業風險管理整合框架,其中很重要的一個變化是企業風險管理框架拓展了內部控制框架的風險評估要素,創造了四個構成要素――目標設定、事項識別、風險評估和風險應對,使原來內部控制中的五要素,拓展為企業風險管理的八要素,為什么要對此細化呢?筆者的理解是COSO試圖讓這個框架在風險評估這個環節更具體,更有指導性,體現了其和對風險評估要素的重視及強調,雖然它并不否定其他構成要素的重要性。
我國內部控制基本規范中雖然還是提五要素,但在第三章“風險評估”中也借鑒了COSO的表述,包含了目標設定、事項識別、風險評估和風險應對四個方面的內容。關于風險識別,在第二十二條和第二十三條列示了企業內外部各種風險因素。
按照COSO的定義,事項是源于內部或外部的影響戰略實施或目標實現的事故或事件。事項可能帶來正面或負面的影響,或者兩者兼而有之。在事項識別有過程中,管理層認識到不確定性的存在,但是并不知道一個事項是否會發生,或什么時候發生,或者它所帶來的確切影響。事項有的很明顯,有的很隱晦;所產生的影響有的微不足道,有的十分重大。
筆者認為在企業風險管理構成要素中,事項識別是需要管理層重視的一個問題,也是風險管理工作中一個不好掌握的環節,它是風險評估的起點,與目標緊密相連。在實務工作中,這個要素怎樣識別,由誰來確認事項,運用什么工作方法,怎么區別對待機會和威脅并啟動不同的風險響應機制,是一個難題。事項、發生的可能性及對其的評估,“在實踐中很困難,因為通常很難知道到底應該把底線畫在哪兒。”管理層重視事項識別這個環節,并在實際工作中明確崗位職責,建立有效的工作機制,才能做到寓風險管理持續地流動于主體之內的要求。
二、事項識別的主體
事項識別的主體是管理層。企業風險管理要求企業的每個員工都要對風險管理負有一定的責任,首席執行官負有首要和最終的責任,其他管理人員在各自的職責范圍內依據風險容限去管理風險。風險官、財務官、內部審計師等通常負有關鍵的支持責任。企業其他人員按指引和規程去實施風險管理。在企業實際工作中,問題有三個,其一,不同的管理層自上而下認識和努力程度是否一致;其二,不同崗位的人員素質及能力水平是否符合要求;其三,缺乏專責機構,事項識別職責不明。
首席執行官(CEO)負責建立企業風險管理的所有構成要素。CEO要領導和指引其他高級管理人員共同做好事項識別工作,要培養管理團隊有共同的風險管理價值觀、原則,要使風險管理理念和文化在企業廣泛、深入地普及。只有上下認識一致,共同努力,風險識別工作才能做好。
管理層的特定崗位的勝任能力水平是事項識別的重要制約因素。管理人員需要一定的知識與技能才能做好這項工作,人在認知風險事項時是有局限性的,尤其是復雜的經濟和社會現象,人們往往認識不清,比如前兩年源于美國次貸危機引發的全球金融危機,一開始,很少人認識到它的危害性、影響深度及廣度。事項識別需要管理層敏銳的視角,勇于負責的態度,豐富的經驗和明確對等的權責分配及監督。
事項識別必須在管理層特定機構和特定崗位明確職責。責任到人,才不會導致由提倡“人人有責”變成“人人無責”,管理層要通過逐級授權,讓不同的管理者分擔與其分部、業務單元、子公司對應的風險管理責任。事項范圍需要按一定的方法進行歸類,事項識別漏項要有處罰制度,保證管理層內部權責明確,賞罰分明。
我國企業可以結合自身實際情況,建立以總裁或CEO為首的風險管理委員會,下設具有跨部門、跨單元風險管理職責的專職或兼職的風險管理辦公室,各部門、子公司、各單元的負責人為各自單位的風險管理責任人,在各部門、子公司、業務單元設專職風險管理崗位,內部審計部門對風險管理工作進行再監督,這樣一種風險管理主體架構。
三、事項識別的工作機制
企業要建立一定的工作機制來保證事項識別工作得到貫徹落實。除了CEO負有全面責任外,風險官、財務官、內審部門負有相對于其他管理層人員更重的事項識別職責,企業風險管理部門、財務部門、法律部門相對于其他部門有更多的風險管理責任,應明確其崗位職責。CEO要定期地約談、督促相關崗位和部門的管理人員協助其做好這方面的工作。對于事項識別,管理層應建立報告制度,不同層級發現的事項,要按照一定的標準上報,企業要事先規定不同情形的事項如何處置。風險官、財務官、內審部門、風險管理專門機構,要有事項識別具體工作要求,對事項識別的周期、范圍、時機、深度和廣度做出規定,定期報告,對于特定的事項范圍,明確由哪個管理角色來承擔。要建立基層員工反映不尋常事項的順暢渠道,鼓勵和引導全體員工積極參與風險管理工作,建立獎勵制度。運用科學的方法和有效的工作組織,事項識別工作才能做好。
四、事項識別的難點
不同事項影響企業生存和發展的環境,使企業面臨的機會與風險發生變化。事項識別的難點在于事項的廣泛性,相關性,相互依賴性,不確定性和可識別性。
所謂廣泛性是說事項眾多,紛繁復雜。既包括外部因素,如經濟、環境、政治、社會、技術因素等,也包括來源于企業內部的各種因素。即使在經濟因素里面,事項也數不勝數,如國際金融危機、國家產業政策調整、資金成本變化、行業競爭性準入的變化等等,從企業內部因素看,如人員方面,安全事故、合同到期、薪酬政策等,將可能影響企業人力資源的獲得,給企業帶來停工損失或使企業形象受損。
相關性是指事項與目標之間的是否有因果對應關系,人們通過界定這些事項,能夠提高人們發現風險與機會的能力。事項識別必須圍繞著目標的實現來確定的,只有影響戰略實施或目標實現的內外部事故和事件才屬于事項的范圍。
相互依賴性是指事項通常不是孤立地發生的,一個事項可能引發另一個事項,事項也可能會同時發生。如一項資本性開支(固定資產更新改造)因為縮減性財務政策而推遲實施,可能導致停工或延期交貨。有時,事項之間的關聯性也要進行分析研究才能得出。當事項之間存在相互關聯,或者事項結合或相互影響產生顯著不同的可能性或影響時,管理層就要把它們放在一起來評估。
不確定性是指事項是否如期發生,企業風險管理的實質就是平衡企業在創造價值的同時,能夠承受多少不確定性。在企業經營所處的環境中,諸如經濟全球化、技術、重組、變化中的市場、競爭和管制等因素都會導致不確定性。不確定性來源于不能準確地確定事項發生的可能性以及所帶來的影響。
可識別性指事項發生或即將發生時,能否被管理層識別。風險實際上更多地來源于管理層沒有識別到有著負面影響的事項,在事項發生時,管理層沒有意識到它會給企業帶來影響。事項識別還包括要將代表著機會的事項反饋到管理層的戰略制訂或目標制訂過程中。企業的事項識別能力也與其運用的技術方法緊密相關,也有一個培養和提高的過程。
事項識別的深度、廣度、時機和范圍因主體而異。對于以上這些難點的充分認識,有助于企業風險管理抓住“牛鼻子”,抓住關鍵事項。
五、事項識別的方法
檔案信息資產是與檔案信息系統有關的所有資產,包括檔案信息系統的硬件、軟件、數據、人員、服務及組織形象等,是有形和無形資產的總和。脆弱性是檔案信息系統自身存在的技術和管理漏洞,可能被外部威脅利用,造成安全事故;威脅是外部存在的、可能導致檔案信息系統發生安全事故的潛在因素。威脅、脆弱性及檔案信息資產的相互影響造成檔案信息系統面臨安全風險,最后計算出風險值。
檔案信息安全風險評估總體方法
檔案信息安全風險評估的核心問題之一是風險評估方法的選擇,風險評估方法包括總體方法和具體方法。總體方法是從宏觀的角度確定檔案信息安全風險評估大致方法,包括:風險評價標準確定方法;風險評估中資產、威脅和脆弱性的識別方法;風險評估輔助工具使用方法及風險評估管理方法等。事實上,信息安全風險評估方法經歷了一個不斷發展的過程,“經歷了從手動評估到工具輔助評估的階段,目前正在由技術評估到整體評估發展,由定性評估向定性和定量相結合的方向發展,由基于知識(或經驗)的評估向基于模型(或標準)的評估方法發展。”。隨著信息安全技術與安全管理的不斷發展,目前信息安全風險評估方法已發展到基于標準的、定性與定量相結合的、借用工具輔助評估的整體評估方法。檔案信息安全風險評估總體方法應采用目前最先進方法,即采用依據合適風險評估標準、定性與定量結合、借助評估工具或軟件來實現不僅進行檔案信息安全技術評估,而且進行檔案信息安全管理評估的整體評估方法。
1 檔案信息安全風險評估標準的確定
信息安全風險評估標準主要分為國際國外標準和國家標準。國際國外標準有:《ISO/IEC 13335 信息技術 IT安全管理指南》、《ISO/IEC 17799:2005信息安全管理實施指南》、《ISO/IEC27001:2005信息安全管理體系要求》、《NIST SP 800-30信息技術系統的風險管理指南》系列標準等,這些標準在國外已得到廣泛使用,而我國信息安全風險評估起步較晚,在吸取國外標準且根據我國國情的基礎上于2007年制定了國家標準((GB/T 20984-2007信息安全技術信息安全風險評估規范》,并在全國范圍內推廣。國家發展改革委員會、公安部、國家保密局于2008年了“關于加強國家電子政務工程建設項目信息安全風險評估工作的通知(發改高技[2008]2071號)”,該文件要求國家電子政務工程建設項目(以下簡稱電子政務項目),應開展信息安全風險評估工作,且規定采用《GB/T 20984-2007信息安全技術信息安全風險評估規范》。檔案信息系統屬于電子政務系統,檔案信息安全風險評估也應該采取OB/T 20984-2007標準。
2 檔案信息安全風險評估需定性與定量相結合
定性分析方法是目前廣泛采用的方法,需要憑借評估者的知識、經驗和直覺,為風險的各個要素定級。定性分析法操作相對容易,但也可能因為分析結果過于主觀性,很難完全反映安全現實情況。定量分析則對構成風險的各個要素和潛在損失水平賦予數值或貨幣金額,最后得出系統安全風險的量化評估結果。
定量分析方法準確,但由于信息系統風險評估是一個復雜的過程,整個信息系統又是一個龐大的系統工程,需要考慮的安全因素眾多,而完全量化這些因素是不切實際的,因此完全量化評估是很難實現的。
定性與定量結合分析方法就是將風險要素的賦值和計算,根據需要分別采取定性和定量的方法,將定性分析方法和定量分析方法有機結合起來,共同完成信息安全風險評估。檔案信息安全風險評估應采取定性與定量相結合的方法,在檔案信息系統資產重要度、威脅分析和脆弱性分析可用定性方法,但給予賦值可采用定量方法。具體脆弱性測試軟件可得出定量的數據,最后得出風險值,并判斷哪些風險可接受和不可接受等。
3 檔案信息安全風險評估需借用輔助評估工具
目前信息安全風險評估輔助工具的出現,改變了以往一切工作都只能手工進行的狀況,這些工作包括識別重要資產、威脅和弱點發現、安全需求分析、當前安全實踐分析、基于資產的風險分析和評估等。其工作量巨大,容易出現疏漏,而且有些工作如系統軟硬件漏洞檢測等無法用手工完成,因此目前國內外均使用相應的評估輔助工具,如漏洞檢測軟件和風險評估輔助軟件等。檔案信息安全風險評估也需借助相應的輔助工具,直接可用的是各種系統軟硬件漏洞測試軟件或我國依據《GB/T 20984-2007信息安全技術信息安全風險評估規范》開發的風險評估輔助軟件,將來可開發專門的檔案信息安全風險評估輔助工具軟件。
4 檔案信息安全風險評估需整體評估
信息安全風險評估不僅需進行安全技術評估,更重要的需進行安全管理等評估,我國已將信息系統等級保護作為一項安全制度,對不同等級的信息系統根據國家相關標準確定安全等級并采取該等級對應的基本安全措施,其中包括安全技術措施和安全管理措施,因此評估風險時同樣需進行安全技術和安全管理的整體風險評估,檔案信息安全風險評估同樣如此。
檔案信息安全風險評估具體方法
根據檔案信息安全風險評估原理。從資產識別到風險計算,都需根據信息系統自身情況和風險評估要求選擇合適的具體方法,包括:資產識別方法、威脅識別方法、脆弱性識別方法、現有措施識別法和風險計算方法等。
1 資產識別方法
檔案信息資產識別是對信息資產的分類和判定其價值,因此資產識別方法包括資產分類方法和資產賦值方法。
(1)資產分類方法
在風險評估中資產分類沒有嚴格的標準,但一般需滿足:所有的資產都能找到相應的類;任何資產只能有唯一的類相對應。常用的資產分類方法有:按資產表現形式分類、按資產安全級別分類和按資產的功能分類等。
在《GB/T 20984-2007信息安全技術信息安全風險評估規范》中,對資產按其表現形式進行分類,即分為數據、軟件、硬件、服務、人員及其他(主要指組織的無形資產)。這種分類方法的優點為:資產分類清晰、資產分類詳細,其缺點為:資產分類與其安全屬性無關、資產分類過細造成評估極其復雜,因為目前大部分風險評估
都以資產識別作為起點,一項資產面臨多項威脅,—項威脅又與多項脆弱性有關,最后造成針對某一項資產的風險評估就十分復雜,缺乏實際可操作性。這種分類方法比較適合于初次風險評估單位對所有信息資產進行摸底和統計。
風險評估中資產的價值不是以資產的經濟價值來衡量,所以信息資產分類應與信息資產安全要求有關,即依據信息資產對安全要求的高低進行分類,這種方法同時也滿足下一環節即信息資產重要度賦值需求。任何一個檔案信息資產無論是硬件、軟件還是其他,其均有安全屬性,在《GB/T 20984-2007信息安全技術信息安全風險評估規范》中要求:“資產價值應依據資產在保密性、完整性和可用性上的賦值等級,經過綜合評定得出”。可選擇每個資產在上述三個安全屬性中最重要的安全屬性等級作為其最后重要等級。但檔案信息安全屬性應該更多,除上述屬性外還包括:真實性、不可否認性(抗抵賴)、可控性和可追溯性,所以可以根據檔案信息的七個安全屬性中最重要屬性的等級作為該資產等級。
目前信息資產安全屬性等級如保密性等級可分為:很高、高、中等、低、很低,因此信息資產按安全等級也可分為:很高、高、中等、低、很低,即如果此信息資產保密性等級為“中”,完整性等級為“中”,可用性等級為“低”,則取此信息資產安全等級最高的“中”級。
按信息資產安全級別分類法符合風險評估要求,因為體現了安全要求越高其資產價值越高的宗旨,在統計資產時也可按表現形式和安全等級結合的方法進行,如下表1所示。“類別”為按第一種分類方法中的類別,重要度為第二種方法中的五個等級。
但如果風險評估時按表1進行資產分類時,每個檔案信息系統將具有很多資產,這樣針對每一項資產進行評估的時間和精力對于評估方都難以接受。因此,在《信息安全風險評估——概念、方法和實踐》一書中提出:“最好的解決辦法應該是面對系統的評估”,信息資產安全等級分類的起點可以認為是系統(或子系統),這樣可以在資產統計時用資產表現形式進行分類,在資產安全等級分類時按系統或子系統進行大致分類,即同一個系統或子系統中的資產的安全等級相同,這樣滿足了組織進行風險評估時“用最少的時間找到主要風險”的思想。
(2)資產賦值方法
由于信息資產價值與安全等級有關,因此對資產賦值應與“很高、高、中等、低、很低”相關,但這是定性的方法,結合定量方法為對應“5、4、3、2、1”五個值,同時將此值稱為“資產等級重要度”。
2 威脅識別方法
(1)威脅分類方法
對檔案信息系統的威脅可從表現形式、來源、動機、途徑等多角度進行分類,而常用的為按來源和表現形式分類。按來源可分為:環境因素和人為因素,人為因素又分為惡意和無意兩種。基于表現形式可分為:物理環境影響、軟硬件故障、無作為或操作失誤、管理不到位、惡意代碼、越權或濫用、網絡攻擊、物理攻擊、泄密、篡改和抵賴等。由于威脅對信息系統的破壞性極大,所以應以分類詳細為宗旨,按表現形式方法分類較為合適。
(2)威脅賦值方法
威脅賦值是以威脅出現的頻率為依據的,評估者應根據經驗或相關統計數據進行判斷,綜合考慮三個方面:“以往安全事件中出現威脅頻率及其頻率統計,實踐中檢測到的威脅頻率統計、近期國內外相關組織的威脅預警”。。可以對威脅出現的頻率進行等級化賦值,即為:“很高、高、中等、低、很低”,相應的值為:“5、4、3、2、1”。
3 脆弱性識別方法
脆弱性的識別可以以資產為核心,針對每一項需要保護的資產,識別可能被威脅利用的弱點,同時結合已有安全控制措施,對脆弱性的嚴重程度進行評估。脆弱性識別時來自于信息資產的所有者、使用者,以及相關業務領域和軟硬件方面的專業人員等,并對脆弱性識別途徑主要有:問卷調查、工具檢測、人工核查、文檔查閱、滲透性測試等。
(1)脆弱性分類方法
脆弱性一般可以分為兩大類:信息資產本身脆弱性和安全控制措施不足帶來的脆弱性。資產本身的脆弱性可以通過測試或漏洞掃描等途徑得到,屬于技術脆弱性。而安全控制措施不足的脆弱性包括技術脆弱性和管理脆弱性,管理脆弱性更容易被威脅所利用,最后造成安全事故。檔案信息系統脆弱性分類最好按技術脆弱性和管理脆弱性進行。技術脆弱性涉及物理層、網絡層、系統層、應用層等各個層面的安全問題,管理脆弱性又可分為技術管理脆弱性和組織管理脆弱性兩方面。
(2)脆弱性賦值方法
根據脆弱性對資產的暴露程度(指被威脅利用后資產的損失程度),采用等級方式可對已經分類并識別的脆弱性進行賦值。如果脆弱性被威脅利用將對資產造成完全損害,則為最高等級,共分五級:“很高、高、中等、低、很低”,相應的值為:“5、4、3、2、1”。
脆弱性值(已有控制措施仍存在的脆弱性)也可稱為暴露等級,將暴露等級“5、4、3、2、1”可轉化為對應的暴露系數:100%、80%、60%、40%、20%,再將“脆弱性”與“資產重要度等級”聯系,計算出如果脆弱性被威脅利用后發生安全事故的影響等級。
影響等級=暴露系數×資產等級重要度
4 已有控制措施識別方法
(1)識別方法
在識別脆弱性的同時應對已經采取的安全措施進行確認,然后確定安全事件發生的容易度。容易度描述的是在采取安全控制措施后威脅利用脆弱性仍可能發生安全事故的容易情況,也就是威脅的五個等級:“很高、高、中等、低、很低”,相應的取值為:“5、4、3、2、1”,“5”為最容易發生安全事故。
同時安全事件發生的可能性與已有控制措施有關,評估人員可以根據對系統的調查分析直接給在用控制措施的有效性進行賦值,賦值等級可分為0-5級,
“0”為控制措施基本有效,“5”為控制措施基本無效。
(2)安全事件可能性賦值
安全事件發生的可能性可用以下公式計算:
發生可能性=發生容易度(即威脅賦值)+控制措施
5 風險計算方法
風險計算方法有很多種,但其必須與資產安全等級、面臨威脅值、脆弱性值、暴露等級值、容易度值、已有控制措施值等有關,計算出風險評估原理圖中的影響等級和發生可能性值。目前一般而言風險計算公式如下:
風險=影響等級×發生可能性
綜上所述,可將信息資產、面臨威脅、可利用脆弱性、暴露、容易度、控制措施、影響、可能性、風險值構成表2,最終計算出風險值。下表以某數字檔案館為例,其主要分為館內檔案管理系統和電子文件中心,評估資產以子系統作為分類和賦值為起點,并只以部分威脅、脆弱性列出并計算風險。
上表中暴露等級值體現了脆弱性,容易度體現了威脅,以表2第一行為例計算檔案管理系統數據泄密的風險值,過程如下:
影響等級=暴露系數×資產等級重要度=(3/5)*5=3
可能性=容易度(威脅值)+控制措施值=3+3=6
風險=影響等級×可能性=3×6=18
農業機械安全風險評價是采用科學的方法和程序識別、分析農業機械安全事故發生的原因,針對原因采取措施以消除或減少農業機械在安裝、使用、維修等環節存在的各種安全隱患,預防安全事故,提高農業機械的使用安全。其過程包括風險分析(產品限制的確定、危險識別、安全風險評估)、安全風險評定和風險減少。安全風險評價為迭代過程。通過安全風險評定,對不可接受的安全風險,應采取消除或減少風險的措施,并重新進行風險(包括再生風險)分析和評定,直至安全風險降到可接受的程度。
2農業機械危險識別
在對危險識別前,首先應確定機械的限制。即描述產品作業功能、預定使用范圍、可預期的誤用、使用和維修環境,以確定危險識別范圍。一般可根據產品功能及使用操作來描述。如拖拉機加油、加水、上車、啟動、前進、轉向、倒退、制動、停車、駐車、下車、懸掛、牽引、提升、維修等。危險是指潛在的傷害源。農業機械產品存在的主要危險包括:機械危險(如擠壓、剪切、沖擊、纏繞、吸入或卷入、切割、高壓流體噴射等)、電氣危險(如與帶電部件接觸)、熱危險(如與高溫物體接觸、熱輻射等)、噪聲危險、振動危險(如座椅、手把振動)、材料和物質產生的危險(如人體與農藥接觸)及滑落、絆倒及跌落危險。不同農業機械產品,可能產生危險的形式及多少各異。危險識別目的是在機械限制范圍內確定并形成危險、危險狀態和危險事件的清單。危險識別應在農業機械的壽命期間內系統地識別所有階段(如運輸、安裝、使用、停用、維修等)的全部相關任務中可預見的危險。危險識別一般采用至上而下及至下而上兩種方法。至上而下法是以潛在的后果(如擠壓、燒傷)清單為起點,確定造成傷害的危險。至下而上法是以檢查所有的危險為起點,考慮確定的危險狀態下所有可能出錯的途徑(如制動功能失效、人為差錯)及其導致傷害的方式。相比而言,至下而上法更為全面徹底,但過程較復雜。
3農業機械安全風險評估
安全風險為傷害發生的概率及傷害造成嚴重程度的綜合。農業機械安全風險評估是依據農業機械產品的危險識別結果,確定各種傷害發生概率及傷害造成嚴重程度的過程。目的是確定每個危險狀態或事故的最高安全風險。通常用等級、指數、或分數表示安全風險的大小。評估傷害發生概率應在考慮暴露危險區人員、危險事件發生可能性(產品特征、產品成熟度、生產企業規模、生產方式)、避免或限制傷害等因素后確定。傷害造成嚴重程度可在考慮傷害或影響健康的程度(如輕微、嚴重、死亡)及傷害的范圍(如人數)后確定。安全風險評估方法分為定性評估法和定量評估法兩類。常見方法有風險矩陣法、風險圖法、數值評分法、定量風險評估法和綜合評估法。其中風險矩陣法和風險圖法較簡單,也較常用。
3.1風險矩陣法
風險矩陣法是針對每一識別的危險,將決定危險事件風險的兩個因素即傷害嚴重程度和引起傷害的概率劃分為相應等級,形成風險矩陣,用交叉單元來定性地衡量風險大小的方法。該方法包括風險矩陣選擇、傷害嚴重程度評價、傷害發生的概率評價和得出風險等級四個步驟。
3.2風險圖法
風險圖以決策樹為基礎發展而來,其特點是使所評價的危險形象化,便于分析比較。風險圖中,每個節點代表一個風險參數(嚴重程度、暴露度、危險事件發生概率、避免可能性),每個節點的分支分別代表相應風險參數的等級(如輕微的、嚴重的)。風險評估時,從起點開始,在每個節點處沿著所確定等級的分支向前,末端指向就是風險等級。
4農業機械安全風險的減少
安全風險評價目的是減少或消除不可接受的安全風險。安全風險由安全風險因素構成,減少或消除安全風險就要減少或消除影響風險等級的風險因素(危險源、發生的概率或傷害程度)。而減少或消除影響風險等級的風險因素可通過在產品設計階段及在使用階段采用相應措施來實現。
4.1在產品設計制造階段采取消除或減少安全風險的措施
1)本質安全設計制造。即通過產品設計制造消除或減少危險。如去除收割機、拖拉機等農機覆蓋件上存在的銳角,加大拖拉機操作手柄與相鄰部件的間隙可以消除其帶來的劃傷或擠壓危險。不是所有的危險可以通過產品設計制造完全消除,當存在設計不能消除的危險時,應通過設計制造減少風險。如降低高地隙自走式噴藥機的行駛速度和質心高度來提高穩定性;采用減震機構減少拖拉機座椅振動等。本質安全設計制造是減少安全風險最有效的措施,應優先采用。2)安全防護措施。當不能通過產品設計制造消除或充分地減少安全風險時,應采用限制暴露于危險、減少危險事件發生概率或消除或降低傷害可能性的安全措施。如對收割機、拖拉機外露旋轉件加裝防護罩,對動力噴藥機安裝安全閥限制壓力。3)使用信息。使用信息是對采取本質安全設計和防護措施后的遺留安全風險提出使用警告,以降低傷害發生的可能性。如在農業機械危險部位粘貼安全警告標志、標簽;安裝喇叭、后視鏡等信號裝置;在產品使用說明書中說明安全使用規則;限制使用范圍等。
[論文摘要]本文就我國商業銀行的客戶信用風險、市場風險和操作風險展開研究,分析商業銀行風險的識別途徑提出風險評估的相應評估、計量方法最后研究了客戶信用風險的應對、市場風險的控制和監控以及操作風險的轉移方法以期為實現我國商業銀行的全面風險管理打下良好的基礎。
一、引言
伴隨金融風險復雜程度的上升銀行業正在不斷地改進和完善其風險管理理念、手段和技術商業銀行風險管理已經逐步由傳統的資產負債管理模式向以風險資本約束為核心的全面風險管理模式邁進。提升國內商業銀行的全面風險管理能力業是貫徹落實科學發展觀的具體體現事關國家金融安全穩定的大局其意義十分重大。
二、商業銀行風險的識別
商業銀行風險的主要類型有信用風險、市場風險、操作風險。故商業銀行的風險識別相應的為:客戶信用風險識別;商業銀行市場風險識別;商業銀行操作風險識別。
1、客戶信用風險的識別。是指對客戶各項風險因素的捕捉和分別進行判斷的過程.實際上就是對客戶信用風險的盡職調查過程。客戶信用風險評級指標主要包括基本面指標、財務指標兩大類內容。(1)基本面指標。又稱為定性指標或非財務指標包括品質、實力、環境三個主要方面。品質類指標包括管理層素質、股東治理結構、還貸誠意、信用記錄等多個方面。實力類指標從客戶的資金、技術及設備、管理、人員等各方面考量企業實力高低。環境類指標包括市場競爭環境、信用環境、政策法規環境;(2)財務指標。對財務指標的分析主要包括償債能力指標、營運能力指標、盈利能力指標、成長性指標和其他指標等幾個方面。誣膾債能力指標主要考量客戶的資產負債率、利息保障倍數、平衡的流動比率或速動比率等;②營運能力指標主要考量客戶的總資產周轉率、應收賬款周轉率、營運資金周轉率以及流動資產周轉率等等。③盈利能力指標主要考量客戶總資產收益率、銷售利潤率、凈資產收益率。④成長性指標主要計算和分析銷售收人增長率、利潤增長率、權益增長率等。
2、商業銀行市場風險的識別。銀行面臨的風險可以分為重新定價風險、收益率曲線風險、基準風險和期權性風險。重新定價風險也稱為期限錯配風險來源于銀行資產、負債和表外業務到期期限或重新定價期限所存在的差異;重新定價的不對稱性也會使收益率曲線斜率、形態發生變化從而形成收益率曲線風險也稱為利率期限結構變化風險;基準風險也稱為利率定價基礎風險是另一種重要的利率風險來源;期權性風險是一種越來越重要的利率風險來源于銀行資產、負債和表外業務中所隱含的期權。商業銀行應當對每項業務和產品中的市場風險因素進行分解和分析及時、準確地識別所有交易和非交易業務中市場風險的類別和性質。
3、商業銀行操作風險的識別。操作風險識別過程應該以當前和未來潛在的操作風險兩方面為重點。這個過程應該考慮:潛在操作風險的整體情況;銀行運行所處的內外部環境;銀行的戰略目標;銀行提供的產品和服務;銀行的獨特環境因素;內外部的變化以及變化的速度操作風險識別的主要手段有以下幾種:(1)操作風險內部分析。其作為日常業務計劃循環流程的一部分而完成典型的是通過一個業務部門員工會議來完成;(2)操作風險指標分析。銀行可選擇一些和風險產生有關的”關鍵指標”通過監控這些指標發現存在一些能夠引起風險發生的條件;(3)升級觸發指標分析或臨界觸發指標分析。通過將當前交易或事件與預先定義的標準相比較引起銀行管理層對潛在領域進行關注;(4)損失事件數據分析。用以往單個操作風險損失事件的數據記錄等信息來識別操作風險及其誘因;(5)流程圖分析通過繪制業務和管理活動流程圖排查和識別業務流程中的風險點。
三、商業銀行風險的評估
風險估計是商業銀行風險管理的第二步。通過風險識別商業銀行在準確判明自己所承受的風險在性質上是何種具體形態之后隨之需要進一步把握這些風險在量上可能達到何種程度以便決定是否加以控制如何加以控制。
1、商業銀行客戶信用風險的評估
客戶信用風險的評估是指根據客戶經理對客戶信用風險識別判斷的結果對客戶整體的信用風險高低給予評估得到客戶信用風險評級結果。其評估方法主要有:(1)專家判斷法。專家判斷法主要采取"5C"分析框架:借款人的品質(character)、還款能力〔capacit辦資本金大小(capital)、抵押品情況(collateral),所處環境情況(condition),(2)信用評分法即結合信貸專家的業務經驗預先設定的一系列主觀和客觀的風險因素將這些因素設計為相對固定的打分表由評級人按照打分表確定客戶的信用風險評級結果。(3)模型法。其可分兩類:一類是建立對客戶信用風險的多變量判別模型包括線性概率模型、L.ogit模型、Probit模型和多元判別分析模型;另一類為市場模型或套利模型如期權定價型的破產模型、債券違約率模型和期限方法、神經網絡分析系統等。
2、商業銀行市場風險的評估與計量
在市場風險識別后應根據本行的業務性質、規模和復雜程度對銀行賬戶和交易賬戶中不同類別的市場風險選擇適當的、普遍接受的計量方法將所計量的銀行賬戶和交易賬戶中的市場風險在全行范圍內進行加總以便董事會和高級管理層了解本行的總體市場風險水平。可采取不同的方法或模型計量銀行賬戶和交易帳戶中不同類別的市場風險計量方式包括缺口分析、久期分析、外匯敞口分析、敏感性分析和運用內部模型計算風險價值等此外還可采用壓力測試等手段進行補充。商業銀行應采取措施確保假設前提、參數、數據來源和計量程序的合理性和準確性并當對市場風險計量系統的假設前提和參數定期進行評估制定修改假設前提和參數的內部程序。
3、商業銀行操作風險的評估。
操作風險被識別出來后對其進行評估以決定哪些風險具有不可接受的性質應該作為風險緩解的目標。進行這一步驟時通常需要通過考察一項操作風險的驅動者和原因估計該項風險可能發生的概率;此外還應在不考慮控制戰略影響的情況下評估一項操作風險可能的影響。對風險可能影響的評估不僅要考慮經濟上的直接影響還應該更廣泛地考慮風險對公司目標實現的影響。
四、商業銀行風險的應對
做出適當的風險評估后需要決定如何應對這些風險。根據風險發生的概率和影響程度的高低銀行所有人員需選擇合理的風險應對對策包括規避風險、接受風險、降低風險和轉移風險。
I、商業銀行客戶信用風險的應對。客戶信用風險的應對是指基于對客戶信用風險的評估結果銀行應采取相應措施來防范、化解或控制其信用風險。表現為:①根據客戶信用風險評級結果確定客戶準人標準把好商業銀行授信業務的第一道關口;②根據客戶信用風險評級結果對存量客戶進行分類管理。對于信用風險高低不同的客戶銀行應采取不同的管理政策和管理措施;③根據客戶信用風險識別、分析和評估提供的關鍵信息提高對客戶信用風險監控工作的針對性和效率;④參考客戶信用風險評級結果確定貸款定價彌補信用風險可能產生的預期損失。
2,商業銀行市場風險的控制與監測。(1)市場風險的控制與管理。包括:①限額管理。對市場風險實施限額管理制定對各類和各級限額的內部審批程序和操作規程根業務性質、規模、復雜程度和風險承受能力設定、定期審查和更新限額;②完善的市場風險管理信息系統;③對重大市場風險情況的應急處理方案;(2)市場風險的監測與報告商業銀行定期、及時向董事會、高級管理層和其他管理人員提供有關市場風險情況的報告。向董事會提交銀行的總體市場風險頭寸、風險水平、盈虧狀況和對市場風險限額及市場風險管理的其他政策和程序的遵守情況等內容;向高級管理層和其他管理人員提交按地區、業務經營部門、資產組合、金融工具和風險類別分解后的詳細信息等。
3、商業銀行操作風險的轉移。目前商業銀行操作風險轉移技術主要有:(1)購買保險產品。主要有:銀行一攬子保險;董事及高級職員責任保險;未授權交易保險;財產保險和其他險種等;(2)利用金融衍生工具。商業銀行在對其操作風險予以量化的基礎上在資本市場上向投資者出售金融衍生工具以將操作風險有效并分散地轉移到交易對手那里到期時按照約定向投資者支付本息;(3)其他風險轉移方法。在某些情形下銀行部門可以通過一些特殊的形式將其操作風險向其他非金融部門、非商業機構轉移。
【關鍵詞】 內部控制; 風險評估; 管理策略
為了加強和規范企業內部控制,提高企業經營管理水平和風險防范能力,根據國家有關法律法規,財政部會同證監會、審計署、銀監會、保監會制定了《企業內部控制基本規范》。該規范自2009年7月1日起在上市公司范圍內施行,鼓勵非上市的大中型企業執行。我國《企業內部控制基本規范》提出我國內部控制的基本要素包括內部環境、風險評估、控制活動、信息與溝通和內部監督等五項,并在《基本規范》中單辟一章,就風險評估的有關內容進行了規定。這說明國家和企業已經意識到風險評估在企業內部控制中的重要作用,那么企業應該從哪些方面來加強識別企業風險,建立風險評估系統,進一步改善內部控制呢?
一、國內外企業風險評估體系研究綜述
國外對內部控制的研究已有很長的歷史。1988年美國注冊會計師協會《審計準則公告第55號》,該公告提出內部控制結構的三個要素:控制環境、會計制度、控制程序。進入90年代以后,COSO提出《內部控制―整體框架》的報告,將內部控制分為控制環境、風險評估、控制活動、信息與溝通和監督五個部分,實現了內部控制由三要素向五要素的飛躍。自此風險評估被納入內部控制系統之中。最新內部控制研究結果表明,內部控制與風險管理愈發趨向目標一致,某些內容也有較大重合,COSO也于2001年起著手進行風險管理研究,從最初的將風險評估作為一個要素納入內部控制整體框架中到目前的著手進行風險管理研究,足可以看出內部控制與風險管理的趨同性和風險這一因素在內部控制中的作用和地位越來越重要。
近年,我國理論界和實務界越來越重視內部控制的研究和應用,學者們在理論觀念的引進和研究方面做了大量的工作。由財政部、證監會等五部委聯合的我國第一部《企業內部控制基本規范》就是很好的證明。
二、進行內部控制風險評估研究的現實意義
史學家湯因比曾說過:“一個國家乃至一個民族,其衰亡是從內部開始的,外部力量不過是其死亡前的最后一擊”。企業的存亡又何嘗不是如此呢。既然一個企業的衰亡也是從其內部開始的,那若要尋求企業的生存發展之路就必須從其內部抓起,內部控制正是基于這一點才得到了世界各國理論界和實務界的重視。同時,市場經濟從微觀角度來說是一種風險經濟,企業作為市場的基本單位時刻置身于風險之中,越是開放發達的市場經濟,其中蘊藏的風險和不確定性越大。隨著市場經濟的發展成熟和市場開放程度的加大,風險己經成為企業關注和管理的焦點,作為企業內部管理核心的內部控制要想發揮其應有的作用,必須不斷充實和發展,以求跟上市場發展的步伐,正是基于這個基礎,風險的概念逐步進入了內部控制的范圍。減輕或避免風險是內部控制活動的目標,各種風險因素是內部控制的對象。所以,企業要實施有效的內部控制,就要識別和衡量它所面臨的風險及其風險因素,這是采取有效控制活動的依據和前提,這里的識別和衡量風險就是風險評估。目前COSO整體框架和我國《企業內部控制基本規范》把風險評估作為一項基礎要素納入到內部控制框架之中,這一發展是理論順應客觀實際發展的必然結果。
進行內部控制和風險評估研究具有重要的現實意義:內部控制的缺失和不健全是導致會計舞弊泛濫的根本原因之一;內部控制制度的極度缺失和對風險的忽視是導致我國企業生命周期短的根本原因; 國有企業改革的成功離不開健全的內部控制制度及風險的管理和控制;風險評估是內部控制制度設計控制活動和發揮應有作用的基礎。
風險評估是內部控制系統的基礎組成部分,要使控制制度發揮其應有的作用,企業必須清楚所面臨的風險,并對整個企業的風險進行定性或定量的評估,然后針對風險評估的結果采取相應的控制活動。其實內部控制也就是風險的管理與控制活動,如果毫無風險,也就不需耗費大量的人力財力物力去搞什么內部控制。既然風險的存在是控制的原因所在,進行風險評估就成為整個內部控制制度的基礎和關鍵。無論是從國際大環境來看還是從我國的具體情況出發,內部控制的研究和應用都是非常重要的。但是,作為有效實施內部控制的基礎條件的風險評估卻還沒有得到足夠的發展,研究會計和審計的人都早已熟知制度基礎上的審計,但風險基礎上的控制觀念還是個新概念,還沒有建立起比較完善的體系。因此,進行內部控制和風險評估研究無疑具有非常重要的現實意義。
三、風險評估體系的構建
鑒于風險評估在我國內部控制中的運用,筆者認為可以通過以下幾個步驟來建立風險評估系統。
(一)確定全面風險管理目標
風險是指企業在未來經營中面臨的、可能影響其經營目標實現的所有不確定性。風險評估是企業及時識別、系統分析經營活動中與實現內部控制目標相關的風險,并合理確定風險應對策略。全面風險管理是指企業圍繞總體目標,制定風險管理策略,在企業經營管理的各個方面和業務過程中的各個環節進行風險管理的基本流程,落實風險理財措施,培育良好的風險管理文化,建立健全風險管理的組織體系、信息系統和內部控制系統的過程和方法。
企業目標是企業宗旨的具體化,是企業各項業務和管理活動所指向的終點。企業風險管理的首要任務,就是確定目標。只有先確立了目標,管理層才能針對目標確定風險并采取必要的行動來管理風險。確定全面風險管理目標要做到:企業風險管理目標的確定應與員工溝通;企業計劃和預算與風險管理目標、戰略計劃及當前情況具有一致性;業務活動風險目標要具體;領導層參與制定企業風險目標并對其負責。
(二)收集風險管理初始信息
實施全面風險管理,企業應廣泛、持續不斷地收集與本企業風險和風險管理相關的內部、外部初始信息,包括歷史數據和未來預測。應把收集初始信息的職責分工落實到各有關職能部門和業務單位。
1.在財務風險方面,企業至少收集以下信息
(1)負債、或有負債、負債率、償債能力。(2)現金流、應收賬款及其占主營業務收入的比重、資金周轉率。(3)應付賬款及其占購貨額的比重。(4)成本和管理費用、財務費用、營業費用。(5)成本核算、資金結算和現金管理業務中曾發生或易發生錯誤的業務流程或環節。
2.在市場風險方面,企業至少收集以下信息
(1)產品的價格及供需變化。(2)產品供應的充足性、穩定性和價格變化。(3)主要客戶、主要供應商的信用情況。(4)潛在競爭者、競爭者及其主要產品情況。
3.在運營風險方面,企業至少收集以下信息:
(1)新市場開發,市場營銷策略。(2)企業組織效能、管理現狀、企業文化,中、高層管理人員和重要業務流程中專業人員的知識結構、專業經驗。(3)質量、安全、環保、信息安全等管理中曾發生或易發生失誤的業務流程或環節。(4)因企業內、外部人員的道德風險致使企業遭受損失或業務控制系統失靈。(5)企業風險管理的現狀和能力。
企業對收集的初始信息應進行必要的篩選、提煉、對比、分類、組合,以便進行風險評估。
(三)風險識別
企業風險的識別應當以一種系統方法來進行,以確保公司的所有主要活動及其風險都被囊括進來,并進行有效的分類。根據企業實際情況和技術水平,風險識別主要以定性識別方法為主,適當結合定量識別方法,同時根據業務發展和管理水平的不斷提高,逐步引進和加大定量識別方法。
企業應選擇適當的風險識別方法,保證風險識別的規范性和科學性,具體措施有:
1.建立科學的風險識別方法體系,對企業和各職能部門隨時關注企業活動中存在的風險提供指導。
2.對風險識別方法進行規范化和制度化,確保企業和各職能部門使用統一的識別方法體系對風險識別結果進行描述。
3.利用歷史事件諸如違約支付、產品價格變動等,關注未來事件諸如人口變動、新市場條件以及競爭者行為等對風險進行趨勢分析和關注。
4.建立損失事件數據庫,通過事件列表、事件分類、內部分析、推動討論和會談、流程分析等方法進行風險識別,確定風險因素發展趨勢和根源。
(四)風險分析
企業風險分析評估的方法多種多樣,采用定量分析方法,特別是利用數學模型進行風險分析,可以使風險管理建立在科學的基礎上,并為最終的決策提供可靠的依據。風險分析及度量,需要充分地獲得企業在歷史年度內發生的各種風險的次數以及所導致的損失,統計時段越長,風險評估的準確性越高。風險評估不僅要了解歷史上各種風險發生的頻率,還要充分考慮風險的客觀環境是否改變,如果有變化,就要在歷史數據的趨勢分析上進行修正。在實際操作中,許多風險發生的可能性實際上難以量化,它們至多只能定性地被描述為“大的”、“中的”、或“小的”風險。
企業在分析風險發生的可能性(或頻率、概率)和風險發生的條件方面,可采取如下措施:
1.企業基于風險識別的結果對風險的發生概率進行分析評估,選擇采用諸如預期估計或情況評價等術語來表達潛在的可能性,或采用數據或圖表的形式來描述和評價風險發生的概率。
2.企業建立風險分析模型,通過關鍵風險指標管理方法、壓力測試和情景分析等定量技術手段和會談、工作組會議等定性評價技術對風險發生的條件因素進行分析,以確定風險發生的具體條件。
3.企業自查與外部檢查、事前與事后檢查相結合。
4.企業引進技術手段,由日常業務數據、財務數據入手,按照既定的模型做預警提示。
(五)風險評價
企業風險評價是在風險識別、風險分析的基礎上,評估風險對企業可能產生的影響以及確定風險的重要性水平的過程。企業風險評價包括兩個方面的內容,即分析風險可能產生的影響和確定風險的重要性水平。企業風險評價通常是和風險分析同步進行的,因而其方法也和風險分析相同。
企業風險評價的控制措施有:
1.企業對于重要事項面臨的重要風險可能帶來的重大影響,應當通過定量分析技術,確定各種可能性造成影響的數量,從而為企業采取恰當的風險對策提供科學的依據。
2.企業應當按照風險可能帶來的影響程度的大小,對風險進行排序,明確重要風險和一般風險。
3.企業應當對重要風險予以特別的關注,避免重要風險可能給企業帶來的重大損失。
(六)風險管理策略
一般情況下,對戰略、財務、運營和法律風險,可采取風險承擔、風險規避、風險轉換、風險控制等方法。
1.企業針對各種風險建立確定風險應對措施的程序和方法,對具有較高發生概率、影響重大的風險優先考慮。
2.建立一套廣泛適應的風險決策判斷標準,即根據風險嚴重程度和企業的風險承受程度確定不同的決策。
3.企業對降低風險水平所需成本進行合理分析,評估風險應對措施的成本與效益。
4.企業選定風險處理措施后,根據剩余風險重新校訂風險。
5.企業要持續獲得風險變化信息,有效地控制、管理風險,防范新風險的產生。
6.對重要風險進行實時監控。
四、結論
企業風險評估是一個持續反復的過程,一次風險評估并不能一勞永逸。企業應當結合不同發展階段和業務拓展情況,持續收集與風險變化相關的信息,進行風險識別和風險分析,根據情況的變化及時調險應對策略,以避免由于原來選擇使用的風險應對策略無效而影響內部目標的實現。特別是當企業經營活動所處的外部環境發生變化時,企業必須保持應有的靈敏度,針對變化的外部環境進行相應的風險評估,以使企業的目標在變化了的外部環境中得以實現。我國企業只有建立比較完善的風險評估系統,才能真正完善我國企業的內部控制,真正促進我國企業的進一步發展。
【參考文獻】
[1] 李玉環.內部控制中的風險評估[J].會計之友,2008 (10).
[2] 馬宏杰.企業內部控制制度存在的問題與對策[J].財會研究,
2007(4).
關鍵詞:風險管理;尿液檢驗;質量控制
從臨床實驗室質量管理的歷史來看,是源于20世紀50年代病理學家Levey和Jennings2位引入的統計學質控技術,通過利用患者標本重復檢測制作質控圖,采用12s控制限來監測檢驗方法的精密度。1980年,Westgard經過研究提出了一套高誤差檢出率和低假失控概率的質控規則,以12s作為警告限,13s、R4s、22s、41s、10x作為失控限的多規則質控方法。隨著自動化儀器性能的不斷提高,進一步提出了不同檢測系統采用不同質控程序的理念。當臨床實驗室引入全面質量管理概念后,基于檢驗方法精密度和正確度而設計的最佳化質控程序開始應用于臨床實驗室中。1990年后,工業領域的六西格瑪(sixsigma,6σ)質量管理理念的建立和推行,要求質量應能達到世界級目標(百萬缺陷率<3.4個),這就要求臨床實驗室在“啟動”分析批階段,使用高誤差檢出率的質控程序,在“監測”階段,分析批中間使用假失控概率低的質控程序,在“最終”階段,考慮使用觀察整個分析批所有測量數據患者結果均值的質控程序。2010年后,國際上又提出了基于風險管理的質控操作,要求在不同測量系統的不同時間設計不同的質控方法,即對檢測系統進行系統回顧,識別所有可能的失控模式,基于事故發生頻率以控制失控發生的風險,通過臨床實驗室識別出的高風險事項,建立質控策略,減少危害、預防事故發生和/或最佳檢出失控,風險管理技術開啟了現代臨床實驗室質量管理技術的新方向。
臨床上,尿液檢驗在泌尿和生殖系統疾病的診斷、鑒別診斷中起著毋庸置疑的重要作用,如尿液分析有助于尿糖、蛋白尿、血尿、白細胞尿、感染、管型尿和結晶尿的篩查;尿液干化學試帶分析有助于尿糖、蛋白尿、血尿、白細胞尿和感染的篩查,尿液微生物檢查有助于感染的診斷;尿液細胞學檢查有助于腎小球和腎小管疾病、下尿路感染、非細菌感染和結石病的診斷和療效監測;流式細胞術和DNA分析有助于移行上皮細胞癌的療效監測和預后判斷。因此,如何保證尿液檢驗的質量管理一直是臨床醫護人員和檢驗人員共同關注的問題,而尿液檢驗的管理風險可源自于檢驗前階段的臨床需求、申請、標本采集、運送、接受、分類、制備、分樣等過程,檢驗階段的上樣、加試劑、混合標本、孵育、檢測、生成數據、產生結果、結果復核、復測等過程,檢驗后階段的標本貯存、結果報告、結果處置、結果解釋和與其他臨床信息整合采取臨床決策等過程,上述過程究竟存在多少風險,如何進行控制,既是臨床醫護人員的責任,也是臨床實驗室檢驗人員的責任,利用風險管理技術可有效提高檢驗質量,使檢驗、臨床醫護和患者滿意。有效的控制風險需正確的風險管理技術,包括危害識別、風險評價、風險控制和風險監測等方面技術。本期專題刊登了尿液檢驗及腎臟疾病實驗診斷項目風險管理的系列文章,以供讀者在實踐中了解和正確應用風險管理技術。在《尿液常規檢驗項目的風險管理》一文中,蔡玉嬋等采用故障模式與影響分析(failuremodeandeffectanalysis,FMEA)法對尿干化學試帶的12個檢驗項目和尿有形成分分析的7個檢驗項目進行風險評估,通過繪制魚骨圖,分析了影響尿蛋白和管型檢驗結果準確性的可能影響因素,并確定了根本原因,同時利用頭腦風暴和個人實踐經驗,制定了相應對策,并對實施的效果進行了驗證。在實踐中發現,尿蛋白質和管型檢驗結果不準確的主要原因是:(1)檢驗人員未按復檢規則復檢;(2)顯微鏡鏡頭模糊,看不清有形成分;(3)尿液標本放置時間過長。通過臨床醫護人員和檢驗人員的共同改進和控制,尿蛋白質陽性標本的管型檢出率由1.55%提高到6.83%,明顯提高了管型檢出率,改進了尿干化學試帶和尿有形成分分析的檢驗質量。在《尿細菌培養潛在風險的識別與管理》一文中,堯榮鳳等開展了尿細菌培養的風險識別和管理工作,對尿細菌培養的檢驗前、中、后3個階段,從人員、設備、材料、方法和設施等方面對可能影響尿細菌培養檢驗結果性能進行風險識別,并根據風險嚴重程度、發生概率和可識別概率等指標進行分級,對不可接受風險和需采取措施的風險進行管理。研究發現需采取措施降低風險的因素有:(1)標本采集(采集操作不規范、采集容器污染);(2)標本處理(無菌操作不規范、未及時處理);(3)培養結果判讀(細菌識別錯誤)。經對上述風險進行控制后,尿培養污染率下降了9.3%,陽性率提高了9.5%,說明識別和控制尿細菌培養過程的潛在風險,有利于提高尿培養檢驗質量。
