前言:中文期刊网精心挑选了风险评价的定义范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
风险评价的定义范文1
【摘要】文章从内部控制与风险管理之间的内在关系入手,探讨了内部审计与风险管理中的互动关系和目标上的一致性。指出内部审计在企业风险管理中的角色是监督者,并提供保证和咨询服务。
【关键词】内部审计;风险管理;角色定位
自20世纪90年代起,西方许多大型企业内部审计部门开始对企业的风险管理进行评估与监督,以实现企业经营目标的安全性、效率性和效果性。纵观近十几年的发展历程可发现,两者之间互相融合,存在着密不可分的关系。
一、二者互动交融关系形成的现实背景
当今世界,风险无时不在、无处不在,随着时代的发展,企业所面临的风险变得广泛而复杂。企业必须谨慎地识别各种潜在风险,加强风险管理,并在风险管理方案的制定、执行、评估与监督等方面进行合理分工,以保证风险管理的效率。而在整个风险管理过程中又必然涉及多个部门的沟通和协调,这就需要一个超然、独立的组织机构予以保障。内部审计部门在企业中的超然地位以及独立评估和监督的特殊职能,正好满足了这一要求。因此,企业风险管理必然要将内部审计纳入自身体系。
随着企业所面临风险的增加,风险管理成为了企业管理的核心。由此,内部审计也借机及时进行了自身的重新定位,改变了过去只是作为企业财务监督者的定位,将自身的目标确定为向企业提供保证和咨询服务,评估和改善风险管理、控制和治理程序。这样,企业风险管理和内部审计两者各自不同的发展路线逐渐接近并找到了交点。
二、内部审计与风险管理的互动关系
(一)内部审计定义中包含有风险管理的内容
内部审计从产生到现在已经历了几个世纪,每个时期内部审计的概念都有不同的内涵和外延。国际上,内部审计已有7次定义,至今仍在不断变化,内部审计定义的发展在内部审计史上具有重要意义。
风险管理改变着内部审计的定义,也就同时改变了内部审计的职能和在企业中的价值。1993年版《标准》的序言中对内部审计的表述是:在一个企业内部建立的一种独立的评价活动,并作为对该企业的控制及经营活动进行审查和评价的一种服务。而2001年版对内部审计是如下表述的:内部审计是采用一种系统化、规范化的方法来对机构的风险管理、控制及监督过程进行评价进而提高它们的效率,帮助机构实现目标。这个定义与1993年的定义相比较最明显的变化在于将内部审计的范围延伸到风险管理,比旧定义中提及的控制及经营活动要更为广泛和深入。只有在风险管理框架中实施的内部审计才能称之为风险管理审计。显然,将“评价和改善风险管理”作为内部审计的重要工作领域,是内部审计的新发展,扩大了内部审计的领域,拓展了内部审计的广度和深度,对内部审计的重新定位,修订内部审计准则,重整内部审计流程,提高审计服务质量等提出了较高的要求。
(二)风险管理赋予了内部审计在企业中新的地位和作用
为了在企业中担当更重要的角色和发挥更重要的作用,内部审计总是在不断寻找新的对企业十分重要的领域。风险的广泛存在,使企业经理人员对风险空前重视,为内部审计发展提供了一个绝好的机会。内部审计对风险管理的介入,将会使内部审计在企业中成为一个极其重要的角色,并将其在企业中的作用推向一个新高度。正因如此,内部审计师的职业组织——国际内部审计师协会才不遗余力地倡导内部审计师进军这一领域,把风险管理作为内部审计的重要领域直接写入了内部审计的定义。
三、内部审计与风险管理目标上的一致性
风险管理的定义指出:“企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的,为企业目标的实现提供合理保证的过程。”风险管理就是通过对面临的各种风险的认识、估测、评价,准确把握各种不确定性,采取恰当的内部方法,以便用最低的成本获得最高的安全保障,将损失降至最低水平。风险管理通过测试、评价和控制风险因素来降低风险事件发生的概率和造成的损失,直接服务于实现企业目标。21写作秘书网
而在内部审计新定义中,已明确指出内部审计的目的是为机构增加价值并提高机构的运营效率。IIA在2001年修订的《内部审计实务标准》中,对“增加价值”一词作了如下解释:“机构的设立,是为了其所有者、其他利益方、顾客和客户创造价值和谋取利益……内部审计是在收集资料、认识并评价风险的过程中,对经营与改良时机产生了深刻的见解,这些见解可能会对机构带来诸多利益。这些有价值的信息可以咨询、建议、书面报告或通过其他产品的形式呈现出来,所有这些得传达给相应的经营管理人员。”根据这一解释,增加价值的目标应由企业的各个职能部门来共同完成,而内部审计部门作为企业的职能部门之一,也应该努力增加企业的价值;同时,内部审计部门经过收集资料、识别并评价风险的过程之后,对企业管理层及其他职能部门的见解更为深刻,而且这些见解是富有价值的,而企业管理者采纳、利用这些有价值的信息后,一方面可以借此消除各种减值因素,包括风险因素、控制漏洞、治理缺陷等;另一方面可以将这些有价值的信息应用于经营管理活动,从而达到使企业增值的目的。从这个意义上来说,风险管理与内部审计在其目标上是相一致的。
上述种种使企业风险管理与内部审计逐渐形成了你中有我、我中有你、相互依存、联动发展的紧密关系。众多企业在制定本企业风险管理方案时,将内部审计列为风险管理的一道重要防线,由内部审计对整个风险管理流程进行评估和监控;有的企业还特意安排内部审计直接参与风险管理方案的制定和执行全过程,以发挥内部审计在风险管理中的突出作用。与此同时,内部审计也将风险管理作为“为组织增加价值”的重要手段。
四、内部审计在风险管理中的角色定位
COSO在《企业风险管理——整合框架》中的“职能和责任”章节,阐明各管理层在全面风险管理中的地位和职责,并指出组织里的每个人对全面风险管理都有责任。首席执行官承担最终责任,其他管理人员支持全面风险管理的理念,促使组织在风险容量内经营,并在各自负责的领域里负责将风险降低到相应的风险容忍度内。首席风险官、首席财务官、内部审计及其他人员通常承担关键的支持性责任。组织的其他人员负责按照制定的指令和协议执行全面风险管理。这明确表明,内部审计对全面风险管理的建立并没有基本责任,这是高级管理层的责任。内部审计人员的重要角色是,帮助管理层和审计委员会监督、检查、评估、报告、建议全面风险管理过程的充分性和有效性。
IIA2001年颁布的内部审计实务准则,其实务公告——“内部审计在风险管理中的作用”指出,风险管理是管理人员的关键职责,内部审计人员应该通过检查、评价、报告风险管理过程的充分性和有效性并提出改进建议来协助管理人员和审计委员会的工作。管理层和委员会负责机构的风险管理和控制过程,以咨询顾问身份开展工作的内部审计人员可以协助机构确定、评价并实施针对风险的管理方法和控制措施。
在充分考虑内部审计的独立性与客观性的基础上,结合相关法规、报告的观点,可以看出:对整个组织的可持续发展能力,对所有者、利益相关人、监管机构和普通公众负责的是企业管理层,内部审计人员应立足于协助、帮助管理层和审计委员会履行风险管理的职责,主要职责是对整个风险管理过程进行评价,认定并评价管理的充分性与有效性,向管理层和审计委员会报告情况并提出改进管理的建议,以此保证风险管理的有效性。因此,内部审计在企业风险管理框架中首要的角色是监督者,包括对风险管理流程的评估和保证服务、对风险评估准确性的保证服务、对关键风险报告的评估和对关键风险管理的评估。按IIA的标准,内部审计的服务种类可以划分为保证服务和咨询服务,前者是一种独立评价的活动,后者是提供建议及咨询的活动。在企业风险管理中,内部审计的本质特征并不发生改变,因而它可以担任的角色也是基于这两种服务衍生而来的。除了作为监督者所提供的保证服务外,内部审计还可提供咨询服务,包括促进对风险的识别和评估、指导和协调风险管理活动、加强对风险的报告、保持和发展风险管理框架、支持建立风险管理、参与制定风险管理战略等。与此相适应,内部审计承担了咨询者、协调者、建议者的角色。
【参考文献】
[1]刘德运.内部审计原理与技术[M].北京:中国经济出版社,2006(6):25.
风险评价的定义范文2
【关键词】环境风险;环境风险评价
一、背景
环境风险是指在自然环境中产生的或通过自然传递的,对人类健康和幸福产生不利影响同时又具有某些不确定性的危害事件。由于环境风险区别于传统环境问题,具有巨大的不确定性,逐渐发展出一种新的针对环境风险的环境风险评价制度。环境风险评价是指由一定的机关或组织,对具有不确定性的环境风险可能对人体健康、生态安全等造成的环境后果进行识别、度量、评估的过程或环境管理活动。
从20世纪90年代开始,我国的一些法律规范中提出了环境风险评价的内容。1993年,国家环保局颁布的《环境影响评价技术导则》规定:对于风险事故,在有必要也有条件时,应进行建设项目的环境风险评价或环境风险分析。同年的《基因工程安全管理办法》要求对基因技术进行安全评价。1996年,《农业生物基因工程安全管理实施办法》对农业转基因生物安全评价作了规定。2001年,《职业安全健康管理体系指导意见》对职业安全评价作出规定。2004年的《建设项目环境风险评价技术导则》明确指出:将建设项目环境风险评价纳入环境影响评价管理范畴。2011年公布的《外来物种环境风险评估技术导则》规定了外来物种环境风险评估的原则、内容、工作程序、方法和要求。2015年,环保部批准《尾矿库环境风险评估技术导则(试行)》,要求对运行期间的尾矿库进行环境风险评估。2014年修订的新环保法第39条规定“国家建立、健全环境与健康监测、调查和风险评估制度”,虽然只是国家建立、健全相关制度的义务的概括规定,但同时也使得环境健康风险评价制度第一次进入环保基本法。
二、从一个实践案例看我国环境风险评价制度的实施
(一)湖北荣成纸业有限公司热电联产工程简介
湖北荣成纸业有限公司拟建设一座热电联产中心,为公司生产和和临港工业园区企业供热,于2015年6月初通过环评。环评报告的环境风险评价包括五个部分。第1部分为环境风险评价的目的:分析和预测建设项目存在的潜在危险、有害因素、建设项目建设和运行期间可能发生的突发性事件或事故(一般不包括人为破坏及自然灾害),引起有毒有害和易燃易爆等物质泄漏,所造成的人身安全与环境影响和损害程度,提出合理可行的防范、应急与减缓措施,以使建设项目事故率、损失和环境影响达到可接受水平。
第2部分为环境风险评价程序图,主要包括风险识别、源项分析、后果计算、风险评价、风险可接受水平、风险管理、应急措施预案。第3部分为环境风险评价,报告指出,拟建工程环境风险主要包括:原煤堆场火灾风险事故、燃料油火灾爆炸、氨水罐泄露、粉尘爆炸、锅炉故障导致二f英增加外排。以事故发生原因为基础,将项目环境风险分为火灾爆炸、不可抗力、设备故障和人员管理四类。根据相关规定确定项目环境风险评价工作等级为二级。对项目的主要环境风险进行分析,主要对每类风险的发生原因进行了介绍,仅对二f英的事故排放可能对人体健康造成的影响进行了简要介绍。第4部分围绕原煤堆场火灾、油库、氨水罐、粉尘、锅炉、事故池、事故废水处理规定了环境风险事故防范措施。第5部分事故应急反映方案规定了预案的启动、职责与任务、现场警戒与疏散措施、事故上报程序与内容和善后处理。
另外,根据相关规定,建设项目环境风险评价是作为环境影响评价的一部分而存在的,所以环境风险评价部分没有独立的公众参与部分,项目环评的公众参与主要包括两种方式,一是媒体公示即两次在湖北省环保厅网站上进行了项目公示;二是公众参与调查表,对松滋市陈店镇全心村的83位居民和附近的3家单位进行了问卷调查。公众参与的结果显示,当地公众对建设项目的了解程度一般,部分人担心项目的运行会对生活环境和身体健康造成不利影响,大部分人认为该项目可以带动当地经济的发展,解决当地农民的就业问题,被调查者全部支持该项目的建设,无人反对该项目的建设。
(二)分析
从上文介绍的环境风险评价实例可以看出:1、我国建设项目环境风险评价将环境风险仅仅简要的分为火灾、爆炸和泄露三类,并局限在项目的突发性事件或事故可能造成的环境风险,并不对项目正常工作过程中的环境风险进行考量;2、环境影响评价对可能造成的人体健康和生态系统的不利影响的阐述不充分,从而环境影响评价的结论即风险是否达到可接受水平让人产生不信任感;3、环境风险评价的过程缺乏互动,不能体现评价结论对项目实施方案的具体影响,公众参与形式化、途径单一,公众意见对项目实施缺乏影响力;4、环境风险评价中仅规定了一些事前的预防措施,缺乏事中和事后监督和必要措施。
三、美国环境健康风险管理框架及其启示
(一)美国环境健康风险管理框架的基本内容
环境风险管理框架已成为国际上环境风险评价制度的发展趋势,在众多已制定的环境风险管理框架中,美国总统/国会风险评价和风险管理委员会的《环境健康风险管理框架》(1997)是最具影响力的框架,为多国制定框架时参考和借鉴。在1990年的清洁空气法修正案中,国会要求组成一个风险评价与风险管理委员会,委员会认为,应改变传统评价与降低风险的方法,以降低风险和改善健康状况为总体目标。委员会希望框架指导公共部门和私营机构有价值的资源投资在研究、评估、表征和降低风险中。
框架包括六个阶段:
1.定义问题并把它放在背景下
对科学的风险管理决策而言,首先需要正确界定问题。通过在复杂背景中识别和表征环境健康风险问题并描述它的特征,仔细考虑问题的背景,确定风险管理的目标和有权或有责任采取行动的风险管理者,并让利益相关者参与到过程中。
2.联系问题背景分析风险
阐明问题引起的事实和科学基础,在数量和质量上处理健康和生态风险,描述负面影响的特性、严重性、可逆性或可预防性。把问题引起的风险放在多源头、多媒介、多种化学物质和多风险背景下。了解利益相关者对问题引起的风险的认识。把问题引起的科学和背景方面的信息结合成问题对人类健康或环境产生的风险进行定性,同时考虑利益相关者的认识和其他社会文化的影响。
3.检查处理风险的选择
这一阶段包括确定可能的风险管理选择,评价选择的效果、可行性、成本收益、非计划中的结果和文化社会影响。这个过程可以在界定问题和考虑背景之后任何合适的时间开始。风险管理者和利益相关者获取了关于可行性、成本与效益分析和减少暴露、降低风险对改善人类和生态健康的贡献的正确评价之后,风险管理目标可能会被重新定义。利益相关者在确定和分析选择阶段发挥重要作用。
4.做出实施何种选择的决策
在框架的这一阶段,决策者基于最佳可得科学、经济和其它技术信息,确保决策考虑了问题的多种来源、多种媒介、多种化学物质、多种风险背景,做出符合成本收益具有可行性的风险管理选择。另外,优先预防风险,而不仅仅是控制风险,可能的话,使用命令―控制管理的替代性方案。一个富有成效的利益相关者参与过程可以对决策产生重要指引作用。
5.采取行动来实施决策
传统上,一直是管理机构的要求推动实施,工厂和市政当局通常是实施者。然而,当其他的利益相关者也能扮演重要角色时,成功的可能性会显著提高。利益相关者可能会包括:公共健康机构、其他公共机构、社区团体、市民、工厂、人和技术专家等。
6.对行动作出评价
在风险管理的这个阶段,决策者和利益相关者评价实施的风险行动以及它们的效果。评价工具包括环境健康监测、研究、疾病监管、成本收益分析和与利益相关者的讨论。在大多数情形,应定期评价。就像风险管理过程其他的阶段,利益相关者参与会让评价更有益。另外,评价中可能出现新信息,评价对了解框架的哪一部分需要被重复非常重要。
(二)美国环境健康风险管理框架的主要特点与启示
1.在更广泛的背景下定义风险
一个风险问题的背景的全面理解对于有效进行风险管理是非常有必要的,因为问题狭窄的背景无法反映风险情况的真实复杂性,造成风险管理决策和行动相比不是很有成效。
2.基于科学信息和最佳判断进行风险评价
风险评估者尊重在缺乏充分数据的情况下得到结论时风险和程序的客观科学基础非常重要。风险评估者应该向风险管理者和其他利益相关者提供看起来合理的,含有支撑不确定性和供选观点的具有证明力的评估,从而可以在可得信息的基础上作出风险结论。
3.利益相关者全过程参与
整个风险管理过程的利益相关方参与被认为是至关重要的。通过全过程参与,不同利益相关方全面沟通与合作,最终平衡各方的意见和观点以做出体现公众价值观的风险决策。
4.重复和评估
公众评论、协商、信息收集、研究或风险与选择的分析可能澄清或重新定义问题,使重心改变到一个不同的问题上,由于重要的新信息、观点和看法出现,风险管理过程会灵活而经常重复。评估对充分地履行职责和理智地利用稀缺资源至关重要。
四、完善建议
(一)在更广泛的背景下定义环境风险
当前我国环境风险评价制度的规定主要集中在建设项目、外来物种、尾矿库、基因工程和职业安全领域。其中,建设项目环境风险评价仅适用于涉及有毒有害和易燃易爆物质的项目,排除了有巨大环境风险的核建设项目,而且因为它是以环境风险事故的防范为导向,导致它对环境风险的定义过于狭窄,仅对突发性事件或事故引起的有毒有害、易燃易爆等物质泄漏进行风险评价,排除了非事故情形下,项目正常运营下可能产生的环境风险。《尾矿库环境风险评估技术导则(试行)》适用于运行期间的尾矿库,不适用于贮存放射性尾矿、伴有放射性尾矿的尾矿库环境风险评估,同建设项目环境风险评价,它也只考量尾矿库可能引发突发环境事件的危险因素。《外来物种环境风险评估技术导则》主要适用于规划和建设项目可能导致的外来物种造成的生态危害的评估。《基因工程安全管理办法》和《职业安全健康管理体系指导意见》分别对遗传工程产品和职业安全风险评估进行了初略的要求性规定。整体来说,从我国环境风险评价的各个分散规定可以看出,我国环境风险的范围相对狭窄,而且一般孤立地考虑单一的化学物质在单一的环境媒介中引起的单一风险进行评价,从而也限制了我国全面、综合的环境风险评价。应改变以事故为导向的环境风险定义,逐步扩大我国环境风险评价范围,在更广泛的公共健康和生态背景下进行环境风险评价。
(二)明确环境风险评价的目标
环境风险评价的目标不应停留在防范风险层面上,而应进一步把环境风险评价的目标明确为保障人体健康和生态健康。防范风险虽然是环境风险评价的直观起点,但忽视人体健康和生态健康目标的环境风险评价是有违环境保护的根本宗旨的。实践中的环境风险评价正是因为缺乏对人体健康和生态健康的要求而导致实施的结果难以让人满意。为了配套环境风险评价保障人体健康和生态健康的目标,国家应积极开展环境健康与环境生态监测、调查与研究,为环境风险评价提供科学和数据支撑。
(三)保障利益相关方的参与
我国现有的利益相关者参与主要在建设项目(包括尾矿库)环境风险评价中得到一定的保障,因为环评对公众参与的要求,公众在其中可有享有一定的环境知情权、发表环境意见权和环境监督权等,但是,在实践中利益相关方的参与有走过场的倾向,处于弱势的利益相关方的环境知情权常常受到侵害,意见不能被充分的考虑,对环境风险评价的进程与结论不能产生实质影响。在外来物种、基因工程和职业安全领域,没有要求利益相关方的参与,利益相关方的环境知情权也难以得到保障。环境风险是一个多维的概念,还必须包括受影响方的观点。环境风险评价只有兼顾各方观点和需求,考虑不同群体的价值观、知识和认知,才能做出更好的风险管理决策,而在决策行动的过程中也不易受到利益相关者的反对和抵触。
(四)构建适合我国的环境风险管理框架和方法
风险评价的定义范文3
[关键词] 审计风险 内部控制 控制措施
近些年随着国内经济的快速发展,审计环境面临着较大的变化,同时也不断涌现出新的现象,而这些新事物的出现势必会增加审计的难度。所以我们有必要对审计风险进行再研究,不断加强企业的内部控制建设,以便于将审计风险控制在可以接受的程度。
一、审计风险、内部控制、审计控制风险定义
1、审计风险的定义
我国《独立审计具体准则第9号―内部控制与审计风险》将审计风险定义为:会计报表中存在重大错报或漏报,注册会计师审计后发表不恰当审计意见的可能性。而审计风险又由两方面风险构成:一方面是审计人员认为会计报表公允可以接受,但实际上会计报表却存在重大错报的风险;另一方面是审计人员认为会计报表存在重大错报而不能接受,但实际上是公允的风险。审计风险的产生既有注册会计师自身的主观原因,也存在审计方法的客观原因。因此,控制审计风险必须从注册会计师内部和其外部着手,并将两者有机地结合起来进行,才能取得良好的效果。
2、内部控制的定义
《独立审计具体准则第9号―内部控制与审计风险》将内部控制定义为:被审单位为了保证业务活动的有效进行,保护资产的安全和完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。
3、审计控制风险的定义
审计控制风险是指被审计单位的业务和相应的会计处理发生重大错弊不能被内部控制防止和纠正的可能性。被审计单位建立内部控制的主要目的之一就是要防止错误和舞弊。如果被审计单位的内部控制制度存在重要的缺陷或者不能有效地工作,那么错误和舞弊就会进入被审计单位的财务报表系统,由此产生了控制风险。
二、审计风险的防范与控制措施
1、加强审计队伍建设,提高审计人员素质
审计风险的高低,在很大程度上都取决于审计人员个人素质的高低,因此审计人员应当强化风险意识,坚持实事求是,客观公正,并树立严谨踏实的工作作风,认真负责的对待每一项审计业务,严格按照独立审计准则进行审计,以确保审计质量,降低审计风险。加强基础建设,打造管理型、复合型的审计队伍,建立健全各项规章制度,抓好审计人员学习、培训工作,提高审计人员的实际应用能力,拓宽视野,更新知识面,掌握新业务的要点和风险点,提高工作效率。同时,加强理论与实践相结合,积极开展各项调研工作,为内控工作的开展奠定理论基础。
2、加强内部控制审计
内部控制审计的目的是合理地保证企业遵守国家有关法律法规和企业内部规章制度;信息的真实、可靠;资产的安全、完整;经济有效的使用资源,提高经济效率和经营效果等目标。由于被审计单位的内部控制制度存在一定的缺陷,所以被审计单位应从加强经济业务管理、内部控制制度与内部激励制度相结合、建立和完善内部控制评价体系三个方面完善内部控制制度,确保其经济活动经济资料合法性合理性。会计电算化与它的内部控制系统是相互作用和相互影响的。审计人员应选择适当的评价标准,实施适当的审查程序,以评价被审计单位的控制环境;评价企业风险管理机制的健全性和有效性;评价控制活动的适当性、合法性、有效性,控制活动对风险的识别和规避;评价企业获取及处理信息的能力,信息传递渠道的便捷与畅通,管理信息系统的安全可靠性。内部审计人员可以采用文字描述、调查问卷、流程图等方法对内部控制进行描述和评价。内部审计人员应向企业的管理层报告内部控制的审计结果。审计报告应说明审查和评价内部控制的目的、范围、审计结论、审计决定及对改善内部控制的建议。
3、创新内部审计
随着现代企业制度的完善,以“查错纠弊,堵塞漏洞”为主要目标的传统内部审计,已远远不能适应现代经济体制的要求。在审计思路上,要努力实现由传统内部审计向现代内部审计的转变,从事后审计向事前事中审计转变;在审计模式上,应探索构建从风险分析入手确定审计目标、范围和程序,以监督和评价财务状况、经营成果以及风险管理、内部控制和公司治理能力为审计成果,从以财务收支为主的审计,向以管理信息化和计算机审计为技术支撑的效益审计、管理审计转变;在审计目的上,从重视审计的独立性、权威性和强调审计监督,转为强调审计为企业服务,帮助企业实现其目标;在审计内容上,由财务控制向业务控制和信息系统转变,以审计经营活动为起点,以审计内部控制为主线,以审计会计核算、财务表现为终点,全面覆盖企业营运活动;在审计行为上,从不规范的随意性,向规范化、系统化和科学化方向转变。
4、内部审计要外部化
内审外部化是指审计业务由企业外部的民间审计组织全部或部分承担,主要有外包与合作两种形式。前者指企业将其内部审计工作全部或大部分外包给外部审计组织,后者指企业在开展内部审计工作时,根据需要借助外部审计力量,共同完成内部审计工作。内部审计外部化具有一系列优点,可以提高内部审计的独立性。外部审计工作一般都是由注册会计师领导完成,它们独立于企业的所有者和经营者,有一套保证审计准则受到遵循的机制,从而能够客观公正地对企业的财务状况进行审计并报告审计结果。同时,还为企业降低成本,因具有比较高的专业化程度,拥有丰富的经验和广阔的知识,可以提高和稳定审计质量。
5、健全组织结构,授权明确
组织结构的好坏直接关系着审计客体的生存,也影响着审汁风险的高低。组织结构中的各个机构、部门都各有自己的职责,明确授权与责任的关系,采取必要的步骤,保证内部控制的有效性,从而降低审计风险。
三、结语
风险评价的定义范文4
本文将财务危机预警系统作为企业公司治理的一个重要部分,从财务危机的定义入手,.剖析了我国企业公司财务预警系统存在的问题并提出了改进建议。
【关键词】
财务危机 财务危机预警系统
一、财务危机及财务危机预警系统概述
(一)财务危机
“财务危机”(Financial crisis)又称“财务困境”(Financial distress)或“财务失败”(Financial failure)。国外学者对之有不同的定义。比弗(Beaver)将破产、拖欠股利、拖欠债务界定为财务危机。奥特曼(Altman)将财务危机定义为“企业进入法定破产”。罗斯(Ross)等则认为可以从四个方面来定义企业的财务危机:第一,企业财务失败,即企业清算后任无法支付债权人的债务;第二,法定破产,即企业或债权人向法院申请破产;第三,技术破产,即企业无法履行债务合约付息还本;第四,会计破产,即企业的账面资产出现负数,资不抵债。从定义上来看,他们没有本质上的区别,都集中关注企业的资不抵债,都是从现金流,而不是会计流的角度来下定义的,差别只在于是否将违约视为陷入财务困境的标志,在实际研究中经常混用。
(二)财务危机预警系统
目前,我国理论界对财务危机预警系统的定义尚属探讨阶段,主要有三种代表性观点。第一种观点认为:财务危机预警系统是以企业财务信息数据为基础,以财务指标体系为中心,通过对财务指标综合分析,及时反映企业经营情况和财务状况的变化,并对企业各环节发生或将可能发生的经营风险发出预警信号,为管理当局提供决策依据的监控系统。
另一种观点认为:财务危机预警系统是以企业信息化为基础,对企业在经营管理活动中的潜在风险进行实时监控的系统。 此外,还有一种观点认为:财务危机预警系统就是通过对企业财务报表及相关经营资料的分析,利用及时的财务数据和相应的数据化管理方式,将企业所面临的危机情况预先告知企业经营者或其他利益相关者或是其他利益关系人,并分析企业发生财务危机的原因和企业财务运营体系隐藏的问题,以提早做好防范措施的财务分析系统。这一观点比较全面的涵盖了财务危机预警系统的工作过程和功能。笔者赞同第三种观点,也是以此为基础进行论述的。
二、我国企业公司财务危机预警系统现状
我国财务预警系统的建立和应用还不是很完善,目前财务预警系统只注重对企业财务数据的统计、财务指标的筛选、检查和财务模型的计算分析等一些量化的方法进行财务管理,在财务预警系统的应用上还存在很多问题。
1.企业财务预警系统与管理信息系统不能有效整合
目前,虽然许多企业建立了自己的管理信息系统,但大多企业的财务预警系统往往自成体系,或仅作为会计信息系统的一个子系统,仅仅利用会计信息而很少利用其他的业务信息,这种缺乏业务信息支持的财务预警信号的准确性不高,时效性也较差。
2.忽视了定性方法在财务风险评估中的作用
财务风险评估是测量、判断财务风险大小的活动过程。当前,比较常用的财务风险评估模型主要有单一指标模型、Z 分数模型和F 分数模型等。这些模型在选择自变量时均采用可量化的财务指标,在评价方法上均采用经典数学评价方法。经典数学评价方法的特点是精确性,而财务风险高低实际上是一个模糊概念,单一的定量分析可能与现实相矛盾。现代企业管理更加注重一些非量化因素,如企业管理者的风险意识、财务人员素质、人员流动状况、顾客满意度等,这些非量化因素对企业财务风险评价的影响越来越大,忽视定性方法和非财务指标,可能导致财务风险评价结果的不全面、不准确。
3.忽视现金流量指标的运用
完整的财务状况一般包括:企业资产质量及规模状况、资本结构状况、盈利状况以及现金流量状况。目前财务预警模型在变量选择上,应用最多的是资产负债率、营运资金负债总额、流动比率、速动比率、净资产收益率、销售净利率等。这些变量均来自于资产负债表和利润表,用来评价企业的资产质量、资本结构和盈利状况,而现金流量指标的运用较少,忽视了对企业现金流动状况的评价,从而削弱财务风险评价模型的预测效果。
4.警示功能单一
完善的财务预警系统应具备信息收集、预知风险和控制风险三种功能。当前企业财务预警系统主要通过对会计信息系统中的数据进行监测分析,找出与企业财务状况有关的指标,与事先设定的临界标准比较,以发现财务危机的征兆,即财务预警系统主要是发现问题、预示风险,却不能控制风险。
三、对我国企业公司建立现代财务预警系统建议
1.增强利益相关者的风险防范意识。
无论是席卷全球的金融危机还是个别上市公司的财务危机,其发生和蔓延都与利益相关者的风险防范意识的薄弱有关。因此,树立较强的风险防范意识,是完善上市公司财务预警系统,最大限度防止财务危机的发生,以及保证预警系统有效运行的前提。
2.力求会计信息的真实、完整和及时。
财务预警系统是建立在对会计信息进行加工和处理基础上的,会计信息是否真实、完整和及时,直接关系到公司财务预警的质量,并影响财务预警系统职能的发挥。这不仅要求会计从业人员严格遵守“诚信为本、操守为重、坚持准则、不作假账”的职业道德,还要求公司有完善的内控制度。内控失效将导致信息失真,从而使财务预警分析变得毫无意义。
3.协调财务预警系统与其他子系统的关系。
企业公司是一个有机整体,管理者应考虑不同子系统的数据传递和各子系统对各种数据的不同要求,实现公司数据共享,使各子系统之间的关系变得更加和谐,从而建立以财务为中心的信息集中、反馈系统,这样才能更好地发挥财务预警的作用。
4.完善社会评估机制。
目前,我国社会评估机构还不健全,权威性的民间评估机构甚少,且水平参差不齐。因此,应加强对社会评估机构的管理,提高评估人员的技术、责任和素质,使企业公司能借助社会评估机构所作的权威性结论,对公司财务状况和经营情况做出客观评价,从而进一步完善本公司的财务预警系统。
参考文献
[1] COSO制定.方红星等译,企业风险管理—整合框架[M],东北财经大学出版社,2008
[2]周春生,企业风险与危机管理[M],北京大学出版社,2007
[3]田高良,上市公司财务危机实时预警管理机制探讨[J],会计之友,2004(1)
[4]贾明琪,上市公司财务困境预警系统模型及实证研究[J],华东经济管理,2008(5)
[5]胡文萍等,企业财务分析技术[M],中国经济出版社,2002
风险评价的定义范文5
关键词:网络安全;风险评估;模糊综合评价
0 前言
网络安全正逐渐成为一个国际化的问题,每年全球因计算机网络的安全系统被破坏而造成的经济损失达数千亿美元。网络安全是一个系统的概念,有效的安全策略或方案的制定,是网络信息安全的首要目标。安全风险评估是建立网络防护系统,实施风险管理程序所开展的一项基础性工作。
然而,现有的评估方法在科学性、合理性方面存在一定欠缺。例如:评审法要求严格按照BS7799标准,缺乏实际可操作性;漏洞分析法只是单纯通过简单的漏洞扫描或渗透测试等方式对安全资产进行评估;层次分析法主要以专家的知识经验和统计工具为基础进行定性评估。针对现有网络安全评估方法中出现的这些问题,本文拟引用一种定性与定量相结合,综合化程度较高的评标方法――模糊综合评价法。
模糊综合评价法可根据多因素对事物进行评价,是一种运用模糊数学原理分析和评价具有“模糊性”的事物的系统分析方法,它是一种以模糊推理为主的定性与定量相结合、非精确与精确相统一的分析评价方法。该方法利用模糊隶属度理论把定性指标合理的定量化,很好的解决了现有网络安全风险评估方法中存在的评估指标单一、评估过程不合理的问题。
1 关于风险评估的几个重要概念
按照ITSEC的定义对本文涉及的重要概念加以解释:
风险(Risk):威胁主体利用资产的漏洞对其造成损失或破坏的可能性。
威胁(Threat):导致对系统或组织有害的,未预料的事件发生的可能性。
漏洞(Vulnerabmty):指的是可以被威胁利用的系统缺陷,能够增加系统被攻击的可能性。
资产(Asset):资产是属于某个组织的有价值的信息或者资源,本文指的是与评估对象信息处理有关的信息和信息载体。
2 网络安全风险评估模型
2.1 网络安全风险评估中的评估要素
从风险评估的角度看,信息资产的脆弱性和威胁的严重性相结合,可以获得威胁产生时实际造成损害的成功率,将此成功率和威胁的暴露率相结合便可以得出安全风险的可能性。
可见,信息资产价值、安全威胁和安全漏洞是风险评估时必须评估的三个要素。从风险管理的角度看,这三者也构成了逻辑上不可分割的有机整体:①信息资产的影响价值表明了保护对象的重要性和必要性。完整的安全策略体系中应当包含一个可接受风险的概念;②根据IS0-13335的定义,安全威胁是有能力造成安全事件并可能造成系统、组织和资产损害的环境因素。可以通过降低威胁的方法来降低安全风险,从而达到降低安全风险的目的;③根据IS0-13335的观点,漏洞是和资产相联系的。漏洞可能为威胁所利用,从而导致对信息系统或者业务对象的损害。同样,也可以通过弥补安全漏洞的方法来降低安全风险。
从以上分析可以看出,安全风险是指资产外部的威胁因素利用资产本身的固有漏洞对资产的价值造成的损害,因此风险评估过程就是资产价值、资产固有漏洞以及威胁的确定过程。
即风险R=f(z,t,v)。其中:z为资产的价值,v为网络的脆弱性等级,t为对网络的威胁评估等级。
2.2 资产评估
资产评估是风险评估过程的重要因素,主要是针对与企业运作有关的安全资产。通过对这些资产的评估,根据组织的安全需求,筛选出重要的资产,即可能会威胁到企业运作的资产。资产评估一方面是资产的价值评估,针对有形资产;另一方面是资产的重要性评估,主要是从资产的安全属性分析资产对企业运作的影响。资产评估能提供:①企业内部重要资产信息的管理;②重要资产的价值评估;③资产对企业运作的重要性评估;④确定漏洞扫描器的分布。
2.3 威胁评估
安全威胁是可以导致安全事故和信息资产损失的活动。安全威胁的获取手段主要有:IDS取样、模拟入侵测试、顾问访谈、人工评估、策略及文档分析和安全审计。通过以上的威胁评估手段,一方面可以了解组织信息安全的环境,另一方面同时对安全威胁进行半定量赋值,分别表示强度不同的安全威胁。
威胁评估大致来说包括:①确定相对重要的财产,以及其价值等安全要求;②明确每种类型资产的薄弱环节,确定可能存在的威胁类型;③分析利用这些薄弱环节进行某种威胁的可能性;④对每种可能存在的威胁具体分析造成损坏的能力;⑤估计每种攻击的代价;⑥估算出可能的应付措施的费用。
2.4 脆弱性评估
安全漏洞是信息资产自身的一种缺陷。漏洞评估包括漏洞信息收集、安全事件信息收集、漏洞扫描、漏洞结果评估等。
通过对资产所提供的服务进行漏洞扫描得到的结果,我们可以分析出此设备提供的所有服务的风险状况,进而得出不同服务的风险值。然后根据不同服务在资产中的权重,结合该服务的风险级别,可以最后得到资产的漏洞风险值。
3 评估方法
3.1传统的评估方法
关于安全风险评估的最直接的评估模型就是,以一个简单的类数学模型来计算风险。即:风险=威胁+脆弱+资产影响
但是,逻辑与计算需要乘积而不是和的数学模型。即:风险=威胁x脆弱x资产影响
3.2 模糊数学评估方法
然而,为了计算风险,必须计量各单独组成要素(威胁、脆弱和影响)。现有的评估方法常用一个简单的数字指标作为分界线,界限两边截然分为两个级别。同时,因为风险要素的赋值是离散的,而非连续的,所以对于风险要素的确定和评估本身也有很大的主观性和不精确性,因此运用以上评估算法,最后得到的风险值有很大的偏差。用模糊数学方法对网络安全的风险评估进行研究和分析,能较好地解决评估的模糊性,也在一定程度上解决了从定性到定量的难题。在风险评估中,出现误差是很普遍的现象。风险评估误差的存在,增加了评估工作的复杂性,如何把握和处理评估误差,是评估工作的难点之一。
在本评估模型中,借鉴了模糊数学概念和方法中比较重要的部分。这样做是为了既能比较简单地得到一个直观的用户易接受的评估结果,又能充分考虑到影响评估的各因素的精度及其他一些因素,尽量消除因为评估的主观性和离散数据所带来的偏差。
(1)确定隶属函数。
在模糊理论中,运用隶属度来刻画客观事物中大量的模糊界限,而隶属度可用隶属函数来表达。如在根据下面的表格确定风险等级时,当U值等于49时为低风险,等于51时就成了中等风险。
此时如运用模糊概念,用隶属度来刻画这条分界线就好得多。比如,当U值等于50时,隶属低风险的程度为60%,隶属中等风险的程度为40%。
为了确定模糊运算,需要为每一个评估因子确定一种隶属函数。如对于资产因子,考虑到由于资产级别定义时的离散性和不精确性,致使资产重要级别较高的资产(如4级资产)也有隶属于中级级别资产(如3级资产)的可能性,可定义如下的资产隶属函数体现这一因素:当资产级别为3时,资产隶属于二级风险级别的程度为10%,隶属于三级风险级别的程度为80%,属于四级风险级别的程度为10%。
威胁因子和漏洞因子的隶属度函数同样也完全可以根据评估对象和具体情况进行定义。
(2)建立关系模糊矩阵。
对各单项指标(评估因子)分别进行评价。可取U为各单项指标的集合,则U=(资产,漏洞,威胁);取V为风险级别的集合,针对我们的评估系统,则V=(低,较低,中,较高,高)。对U上的每个单项指标进行评价,通过各自的隶属函数分别求出各单项指标对于V上五个风险级别的隶属度。例如,漏洞因子有一组实测值,就可以分别求出属于各个风险级别的隶属度,得出一组五个数。同样资产,威胁因子也可以得出一组数,组成一个5×3模糊矩阵,记为关系模糊矩阵R。
(3)权重模糊矩阵。
一般来说,风险级别比较高的因子对于综合风险的影响也是最大的。换句话说,高的综合风险往往来自于那些高风险级别的因子。因此各单项指标中那些风险级别比较高的应该得到更大的重视,即权重也应该较大。设每个单项指标的权重值为β1。得到一个模糊矩阵,记为权重模糊矩阵B,则B=(β1,β2,β3)。
(4)模糊综合评价算法。
进行单项评价并配以权重后,可以得到两个模糊矩阵,即权重模糊矩阵B和关系模糊矩阵R。则模糊综合评价模型为:Y=B x R。其中Y为模糊综合评估结果。Y应该为一个1x 5的矩阵:Y=(y1,y2,y3,y4,y5)。其中yi代表最后的综合评估结果隶属于第i个风险级别的程度。这样,最后将得到一个模糊评估形式的结果,当然也可以对这个结果进行量化。比如我们可以定义N=1×y1十2×y2十3×y3×y4十5×y5作为一个最终的数值结果。
4 网络安全风险评估示例
以下用实例说明基于模糊数学的风险评估模型在网络安全风险评估中的应用。
在评估模型中,我们首先要进行资产、威胁和漏洞的评估。假设对同样的某项资产,我们进行了资产评估、威胁评估和漏洞评估,得到的风险级别分别为:4、2、2。
那么根据隶属函数的定义,各个因子隶属于各个风险级别的隶属度为:
如果要进行量化,那么最后的评估风险值为:PI= 1*0.06+2*0.48+3*0.1+4*0.32+5*0.04=2.8。因此此时该资产的安全风险值为2.8。
参考文献
[1]郭仲伟.风险分析与决策[M].北京:机械工业出版社,1987.
[2]韩立岩,汪培庄.应用模糊数学[M].北京:首都经济贸易大学出版社,1998.
[3]徐小琳,龚向阳.网络安全评估软件综述[J].网络信息安全,2001.
风险评价的定义范文6
关键词:公路工程项目;风险分析;风险评价
1 风险理论的发展现状
(1)国外风险理论的发展现状
企业风险管理起源于美国,在20世纪60年代,一门新的独立的学科―风险管理在美国正式形成。从此风险管理在西方资本主义国家得到了迅猛的发展。1963年梅尔和赫奇斯的《企业的风险管理》与1964年威廉姆斯和汉斯的《风险管理与保险》标志着人们对风险管理学系统研究的开始。
(2)我国风险理论的发展现状
我国的风险管理始于20世纪80年代。在台湾,美籍华人段开岭博士首先发起风险运动,宋明哲提出了风险的“主观说”和“客观说”;卢有杰等与王卓甫比较详细地阐述了工程项目管理的整个过程;姜青舫论述了风险的偏好特性,并给出了四类风险的量测公式。赵振宇将可靠性工程研究中的故障树分析法引入工程项目风险管理,并应用图形演绎方法构建了工程项目风险故障树。
2公路施工企业经营风险分析
2.1风险与企业风险管理
2.1.1风险的定义及特征
(1)风险的定义
关于风险的定义,学术界尚无一个统一的定义。在此,我们对风险的定义为:风险是对特定系统危险事件的发生概率及其后果的综合描述。
(2)风险的特征
风险作为项目中存在的普遍现象,它具有以下特征:客观性;突发性;不确定性;相对性;可变性;可测性。
2.1.2企业风险管理的基本理论
“企业风险管理是对经营风险、财务风险和业务风险的综合管理,从而化风险为企业的股东价值最大化”。企业所面临的风险相互作用与影响,风险管理学科涉及到企业内部各个层次和部门人员,企业风险管理的目标是为股东增加其短期和长期的价值。
2.1.3企业风险管理的基本内容
作为一种管理活动,企业风险管理是由一系列行为构成的。其中包括风险识别、风险处理、风险评估、风险管理效果评价。
2.1.4.公路工程风险的构成
1)工程质量风险;2)工程进度风险;3)工程费用风险;4)工程勘察设计能力风险;5)人身伤亡以及工程或设备毁损的风险;6)市场风险;7)建设市场信用风险;8)法律责任风险;9)所处环境风险。
2.2公路工程项目风险影响因素分析
2.2.1公路工程项目工期风险
公路工程项目工期风险是由于某种原因造成整个公路工程或局部的工程活动(分项工程)的工期延长,不能及时投入使用。
影响公路工程工期风险的因素主要有:1)项目业主方面的因素;2)项目经理方面的因素;3)项目计划与控制方面的因素;4)承包商方面的因素;5)计量与支付方面的因素;6)分包商与劳务队伍方面的因素;7)不可抗拒力的影响因素。
2.2.2公路工程项目费用风险
公路工程项目费用风险包括:财务风险、成本超支、投资追加、收入减少、投资回收期延长或无法回收、回报率降低。
影响公路工程项目费用风险的因素主要有:1)项目业主方面的因素;2)项目经理方面的因素;3)项目计划方面的因素;4)―项目预算方面的因素;5)项目组成员方面的因素;6)分包商与劳务队伍方面的因素;7)计量与支付方面的因素;8)不可抗拒力的影响因素。
2.2.3公路工程项目技术风险
公路工程项目的技术风险指应用新技术、新工艺方法困难或失败,施工技术和方案不合理,场地沉降或地基移动对周围建筑物产生影响,临时设施的设计和施工的失误,施工工艺落后,现场进度计划不合理,承包商对技术文件和规范理解不正确。
影响公路工程项目技术风险的因素主要有:1)项目技术组织结构方面的因素;2)承包商方面的因素;3)项目预算方面的因素;4)项目控制方面的因素;5)分包商与劳务队伍方面的因素。
3 公路工程项目风险评价
3.1 工程项目风险评价方法概述
工程项目进行风险评价的方法很多,常用的有主观评分法、层次分析法、故障树法、外推法、决策树分析法、模糊风险综合评价法、蒙托卡罗模拟法等。
3.2 公路工程项目风险评价指标体系的建立
公路工程项目方案选择有赖于对公路工程项目备选方案进行风险全面评价,而评价的核心就是建立一套评价公路工程项目备选方案的评价指标体系。建立合理的评价指标体系是公路工程项目进行风险综合评价的基础。考虑到公路工程项目的特点,把公路工程项目工期风险、费用风险、质量风险、技术风险、安全与法律风险等因素融合在评价指标体系中;同时在建立指标体系时,应尽可能的反映公路工程项目的特点,有针对性的评价公路工程项目建设的风险。
3.3公路工程项目风险多层次模糊综合评价模型
在公路工程项目方案选择的过程中,由于不同方案的风险影响程度也不相同,公路工程项目的特点要求在公路工程项目方案的选择中尽可能选择风险比较小的方案来进行。
4结论与展望
4.1结论
公路交通事业飞速发展,公路运输在中国公路施工企业也如雨后春笋一般出现了。然而,公路施工企业经营风险的研究,目前只停留在定性风险因素分析和经验风险预防措施的总结上。因此,利用科学的定性和定量相结合的评价方法进行公路施工企业的风险评估,并探讨对风险的应对措施,具有重要的现实意义。
4.2展望
①风险评价和风险管理在国内已不是新事物,但就其实际应用来说,已经是非常缺乏了。公路经营企业也很少有专门的风险管理人才和机构,因此,如何研究和实践, 真正造福企业是研究人员应该继续关注和思考的问题。
②公路经营企业风险的研究是一个庞大的系统工程,但这个研究仅仅为一项二级指标。事实上,许多二级指标可进一步细化,甚至可以独立的研究,特别是通过评估,并确定了关键因素,但也需要仔细研究下去。
③由于公路工程项目风险管理的复杂性,许多问题仍需要进一步的研究和探讨,这些问题主要有以下几点:
(1)采取什么样的技术手段可以更加有效的避免公路工程项目风险的发生,对于合同双方未能充分预见风险及明确由谁来承担相应的风险责任,如何利用法律和合同维护自已的利益。
(2)如何能够理论联系实际,将风险研究的方法和结论更加有效的应用到实践当中去,使之发挥应有的作用。
参考文献
[1] 小阿瑟・威廉姆斯,理查德・M・汉斯. 风险管理与保险[M]. 北京:中国商业出版社,1990.32~36
[2] 宋明哲.风险管理[M]. 台北:中华企业管理发展中心,1973.3~6
