时间:2023-06-25 16:19:39
导语:在风险识别及评估的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
【关键词】 基金会; 关联交易; 风险控制
基金会源于公益,成于财富,是拥有财富的人之于公益的表达形式,是一个社会通过组织化的形式激励富人对穷人以公益捐赠的方式表达社会关怀的制度安排,也是使财富在社会公益的名义下得以重新分配和永续存在的合法形式。基金会在从事公益活动过程中必然发生各种交易活动,而关联交易大量的存在掏空了基金会,成为某些基金会捐赠人避税的工具。研究基金会关联交易的风险控制,探索治理基金会恶意关联交易风险的路径,对于规范基金会的运作,促进基金会的健康发展具有重要的意义。
一、基金会关联交易的概念和法律特征
基金会关联交易是指发生在基金会关联人之间的有关移转资源或义务的事项安排行为。从本质而言,基金会关联交易是一种商事法律行为,不过其交易双方的关系决定了它与一般的商事法律行为有所不同。在一般的商事法律行为中,交易主体之间的法律地位平等,双方遵循市场竞争原则,依据彼此真实的意思表示进行交易,基本上能达到双方认可的公平的结果。而基金会关联交易中双方当事人地位不平等,一方对另一方的决策能够直接或间接控制或施加影响,因而关联交易具有其特殊的法律特征:
第一,基金会关联交易的主体具有特定性,地位不平等,交易一方对另一方具有控制权或者重大影响,基金会与其关联人可能恶意串通利用关联交易行为损害基金会的利益。
第二,基金会关联交易行为的范围具有广泛性,类型具有多样性,既有移转资源的行为,又有避税事项的安排行为;既有有偿交易行为,又有无偿交易行为;既有双务行为,又有单务行为。
第三,基金会关联交易存在基金会内部人利益冲突,在关联交易中,内部人往往会陷入“角色冲突”之困境。
第四,基金会关联交易的后果具有双重性,有可能造成对基金会利益的侵害和对国家利益的侵害。
二、基金会关联交易主体的识别
在基金会财务和经营决策中,如果一方有能力直接或间接控制、共同控制另一方或对另一方施加重大影响,则将视其为关联方;如果两方或多方同受一方控制,也将其视为关联方。从关联主体的性质来看,包括关联自然人和关联法人两种。可以将关联主体归纳为以下几类:基金会和捐赠人;同一捐赠人控制的基金会;基金会和理事、监事个人;基金会和理事、监事控制的企业;其他。
三、基金会关联交易行为的识别
由于基金会关联人产生的目的特定性,关联交易也有其特定的表现形式。基金会关联交易主要包括以下几种情形:购买或销售商品;购买或销售除商品以外的其他资产;提供或接受劳务;;租赁;提供资金(包括以现金或实物形式的贷款或权益性资金);担保和抵押;管理方面的合同;其他。列举的这些项目基本上涉及了基金会关联交易的主要行为形式,但在商事行为实践中出现的关联交易行为则不止于此。
这里面有很多难题需要探讨,究竟哪些行为算作关联交易,非常宽泛。如因当理事出名、而后出书卖钱算不算关联,因客观上需要基金会的支持算不算关联,因自身长远利益需要谋求当理事算不算利益关联?有利益关联不可能展露出来,利益隐蔽,又无人举报,谁负责查核利益关联问题?笔者认为利益关联的限定应以基金会利益损失为最终判定。如事前已知某理事有利益关联,应禁止其不参与决策。但往往这种关联是不便确定的,隐含的或隐蔽的,也无人去确认,那就只能事后发现。如果由于参与决策的理事(或其关系人)因为同基金会的交易,获得额外的或超出市场公平的利益,而事实造成基金会利益损失,应该从重处罚。至于理事尽管和基金会有利益关联,在事前无人知道的情况下,参与了决策,事后发现这一问题,但关联交易结果具有向基金会提供优惠和实际利益的情况,或是完全公平的交易,应该不予追究。
有些基金会关联交易行为过于迂回,很难识别,必须制定识别原则。例如,2005年,牛根生创立“老牛基金会”,宣称将自己持有的全部蒙牛股权捐出,生前贡献其51%红利,身后股权全部归属基金会。随后,这部分股权被用于抵押贷款,后赎回。2009年,中粮入股蒙牛,该股权随之变为现金,牛根生称其公益用途不变。人们怀疑陈发树任会长的新华都基金会也有可能不受约束,照此行事,比如当陈发树的公司出现困难时,可以通过基金会的高价收购使其脱困。
四、基金会关联交易行为对利益转移和避税行为影响的风险评估
基金会关联交易行为利益转移和避税行为影响的风险评估包括三个层面:
第一,对基金会关联交易行为风险本身的界定。包括风险发生的可能性、风险强度、风险持续时间、风险发生的区域及关键风险点。
第二,对基金会关联交易行为对风险作用方式的界定。包括风险对基金会的影响是直接的还是间接的、是否会引发其他的相关风险、风险对基金会的作用范围等。
第三,对基金会关联交易行为风险后果的界定。如果风险发生,对基金会和国家税收造成多大的损失?如果避免或减少风险,基金会需要付出多大的代价?如果基金会冒了风险,可能获得多大的利益?如果避免或减少风险,基金会得到的利益又是多少?
五、基金会关联交易行为风险的控制
利用控制论关于一切控制系统都具有信息的交换和反馈过程的基本观点以及包含的关于动态系统控制的调节机理和一般规律,在基金会关联交易风险的识别、评估和控制中,设计前馈控制、过程控制和反馈控制措施。
第一,基金会的投资与项目运作的双轨模式。基金会资产的运作一定要外部运行,不能直接由理事会来管。外部管理可以在资本市场上直接购买股票或者基金,也可以再委托一个投资公司帮助理财。
第二,基金会信息公开。现有的基金会管理条例中关于关联交易的规定是非常少的,而且简单、操作性差、不够完整,因此会导致关联交易很难通过法律途径去禁止它,避免关联交易。除了法律的强制性规定之外,很好的一个办法就是基金会的信息公开,把它一年的收入情况和支出情况以及一些重要的交易都予以公开,引入注册会计师审计监督。
第三,将资产管理与施赠项目管理分离,互不隶属。基金会信托的职责是管理基金会资产。基金会负责施赠项目的管理和运作。基金会有权向基金会信托索要任何其财产范围内的资产进行公益活动。信托公司与基金会相互独立,互不隶属。以“投资”的眼光来看待慈善事业,合理投资―高额回报―部分收益用于慈善,剩余收益和本金继续投资。
六、政策建议
基金会是慈善事业,没有法制和信用就没有秩序,基金会就不可能健康发展。同时对基金会关联交易应该疏堵并举、标本兼治、正确疏导。
(一)放开基金会关联交易的制度限制
允许基金会在公允价值的基础上进行有限度的关联交易,在不损害基金会利益和不流失国家税收的基础上使关联人获得一定收益。
通过制定基金会关联交易准则、加强关联交易信息披露、引入注册会计师审计监督、加强政府监管、完善基金会法人治理结构、加强基金会自律、加强伦理道德建设等措施规范关联交易。
(二)允许建立风险基金会
风险基金会就是借鉴风险投资的方式运作企业的慈善事业,将企业的捐赠视为一种“投资”,要求它产生最大的效益,既包括经济社会效益,更看重战略意义。
与传统的慈善活动不同,实施“风险基金会”的企业不仅向捐赠对象提供财务资助,而且提供管理和技术支撑;双方不仅是捐赠与接受的关系,更着力形成合作伙伴关系。此外,风险基金会是一项长期投资行为,运作时间一般在3-6年之间,企业亲自参与和监督基金会活动,终极目标是帮助捐赠对象提升组织能力。Verizon基金会培育消费种子、耐克借助“NikeGO”活动培育消费后备军都是成功的案例。
风险基金会除了强调和关注传统慈善的“授人以鱼”,更注重“授人以渔”,在帮助捐赠对象更好发展的同时,也为自己的企业培养了大批潜在消费者,可谓是慈善活动和风险投资精神的完美结合。但是风险基金会存在大量关联交易行为,需要加强关联交易的风险控制。
【参考文献】
[1] 胡光志,方桂荣.论我国投资基金关联交易监管模式的选择[J].法学家,2008(3).
风险和机遇的应对控制程序
1
目的
为建立风险和机遇的应对措施,明确包括风险应对措施风险规避、风险降低和风险接受在内的操作要求,建立全面的风险和机遇管理措施和内部控制的建设,增强抗风险能力,并为在质量环境管理体系中纳入和应用这些措施及评价这些措施的有效性提供操作指导。
2
范围
本程序适用于在公司质量环境管理体系活动中应对风险和机遇的方法及要求的控制提供操作依据。
3
职责
3.1总经理室:负责风险管理所需资源的提供,包括人员资格、必要的培训、信息获取等,负责公司的SWOT分析并确定公司的战略方向。
3.2品管部:负责建立风险和机遇应对控制程序,并进行维护。负责按本文件所要求的周期组织实施风险和机遇的评审,落实跟进风险和机遇评估中所采取措施的完成情况并跟进落实措施的有效性,并编写《风险和机遇评估分析报告》,负责本部门的风险评估及应对风险的策划和应对风险措施的执行和监督。
3.3各部门:负责本部门的风险和机遇评估,并制定相应的措施以规避或者降低风险并落实执行。
3.4营销部:负责收集产品售后的风险信息及本部门的风险识别,负责制定相应的措施以规避或者降低风险并落实执行。
3.5供应链管理部:负责识别来自供方的要求或期望,并识别其中的风险或机遇,负责制定相应的措施以规避或者降低风险并落实执行。
4
定义
4.1
风险:在一定环境下和一定限期内客观存在的、影响企业目标实现的各种不确定性事件。
4.2
机遇:对企业有正面影响的条件和事件,包括某些突发事件等。
4.3风险评估:在风险事件发生之前或之后(但还没有结束),该事件给各个方面造成的影响和损失的可能性进行量化评估的工作。即,风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。
4.4风险规避:风险规避是风险应对的一种方法,是指通过有计划的变更来消除风险或风险发生的条件,保护目标免受风险的影响。风险规避并不意味着完全消除风险,我们所要规避的是风险可能给我们造成的损失。一是要降低损失发生的机率,这主要是采取事先控制措施;二是要降低损失程度,这主要包括事先控制、事后补救两个方面。
4.5风险降低:通过采取措施以达到降低风险的效果。一般情况下,若采取的措施能够有效的降低所遭受的风险,应将采取措施的记录进行保留或者写入文件进行归档,以便后期重复发生时作为改善的依据。
4.6风险接受:是指企业承担风险造成的损失。风险接受一般适用于那些造成损失较小、重复性较高的风险、最适合于自留的风险事件。
4.7内部风险:企业内部形成的风险,例如战略决策风险、环境因素风险、财务风险、管理风险、经营风险、应急事件等。
4.8外部风险:由外部影响因素导致的风险,例如政策风险、市场需求风险和业务风险、相关方风险等。
4.险严重度:风险发生后其所产生的影响的严重程度。
4.10风险发生频度:风险出现的频率或者概率。
4.11风险系数:风险系数用于评定是否对已识别的风险采取措施,风险系数=风险严重度x风险发生频度。
4.12
SWOT:S
(strengths)是优势、W
(weaknesses)是劣势,O
(opportunities)是机会、T
(threats)是威胁。
5
程序
流
程
相关部门
使用表单
备
注
跟踪验证至结案
YES
内外部信息收集
记录保存
方案修订
NG
部门风险和机遇识别
风险和机遇管控
风险和机遇评估
部门风险和机遇识
部门现状评估
风险和机遇识别管控
董事会议召集
方案(经营规划)建立
合作洽谈需求收集
趋势判定
确定投资计划
方案评估
总经理室
总经理室
总经理室
总经理室
总经理室
董事会/总经理室
董事会/总经理室
总经理室/各部门/评估小组
各部门/评估小组
各部门/评估小组
各部门/评估小组
各部门/评估小组
品管部
风险和机遇评估表
风险和机遇评估表/FMEA
风险和机遇评估表
风险和机遇评估表
5.1风险和机遇管理策划
总经理室根据国际、国内、地区和本地的各种法律法规、技术、竞争对手、市场变动和价格、文化、社会和经济因素,企业的价值观、文化、知识和以往绩效、客户技术信息反馈等,确定本公
司企业目标和战略方向,识别出本公司投资计划要求,同时分析识别风险、消除风险、降低或减缓风险,充分利用可能的发展机遇,保证实现企业效益和管理体系预期结果,形成初步方案含经营规划等,同时上升至董事会讨论.
经公司董事会议讨论研究,最终确定公司战略目标方向及方案,明确与公司目标和战略方向相关的各种外部和内部因素,包括需要考虑的有利和不利因素或条件。
总经理室根据董事会会议决议结果,识别形成《风险和机遇评估表》,依照分析结果为重大风险或机遇的,需实施应对风险和机遇的措施,并形成《风险和机遇评估表》。
各部门依总经理室决议后确定的公司战略方向目标以及识别出的风险和机遇,同时结合本部门在生产和管理活动中存在的风险和机遇,建立识别和应对的方法,确认本部门存在的风险,并将评估的结果记录在《风险和机遇评估表》。
在风险和机遇的识别和应对过程中,责任部门应对可能存在风险的车间、生产过程和人员存在的风险进行逐一的筛选识别,风险识别过程中应识别包括但不限于以下方面的风险:
5.1.1总经理对公司环境与背景、投资计划方案等阶段进行分析,明确公司的内部环境与外部经营、环保政策环境,确定公司的正面环境与负面环境,并形成SWOT分析报告。
a
.在SWOT分析报告中,
SO方面,属于公司的机遇,利用公司的优势与机会,由总经理确定公司的“战略方向”。
b.在SWOT分析报告中,
WT方面,属于公司的风险,针对公司的劣势与威胁,识别出主要风险并采取应对风险和机遇的措施。
5.1.2相关方要求或期望中存在的风险或机遇。
a.
营销部识别来自顾客的要求或期望,识别出的顾客要求如果目前公司不能满足,则构成公司的风险,需要采取应对风险或机遇的措施。
b.
供应链管理部识别来自供方的要求或期望,并识别其中的风险或机遇,如果评估风险属于高风险或机遇,需要有应对风险或机遇的措施
c.
厂务部识别来自法规监管方的要求或期望,并识别其中的风险或机遇,如果评估风险属于高风险或机遇,需要有应对风险或机遇的措施。
d.研发部识别来自产品方面法律法规的要求,并识别其中的风险或机遇,如果评估风险属于高风险或机遇,需要有应对风险或机遇的措施。
5.1.3体系运行过程中存在的风险来源于以下几个方面
a.对产品适用的法律法规、客户要求的变更造成的风险;
b.生产作业过程中的安全风险;
c.设备、工装夹具、刀具对产品质量造成的风险;
d.产品售后的风险;
e.产品设计开发阶段的设计失效风险①;
f.过程失效的风险①;
g.重大环境因素未识别的风险;
h.关键设备故障的风险;
i.应急预案不完善的风险;
j.人力资源短缺的风险;
k.操作工无法准确理解作业指导书进行操作过程的风险和机遇管理;
l.订单突然增加的风险;
m.客户投诉增加的风险等。
注①:设计失效和过程失效可参考失效模式分析中DFMEA设计失效模式分析和PFMEA过程失效模式分析的方法对设计和生产过程存在的风险进行评估,若选用其结果应按要求得到控制。
5.2建立风险/机遇管理团队
5.2.1建立分风险和机遇评估小组
风险识别活动的开展应是一次团体的活动,各部门在进行风险识别和评估过程中应通过集思广益和有效的分析判断下进行,在此之前应建立一个“风险和机遇评估小组”,总经理室应通过授权,赋予该“风险和机遇评估小组”以下的职责:
a.
组织实施风险和机遇分析和评估;
b.
制定风险和机遇应对措施并落实执行;
c.
组织实施风险应对措施的实施效果验证。
在“风险和机遇评估小组”中,
总经理室应指派一名人员作为该小组的组长,负责规划和安排风险和机遇的识别和应对的控制,并赋予评估小组组长以下职责:
a.
熟悉其所在部门的所有流程;
b.
有一定的组织协调能力;
c.
熟悉本标准的要求,并依据本标准内容策划风险分析和评估。
5.3
各部门风险机遇策划及识别
评估小组组长依据总经理室最终确认的战略规划及目标,以及总经理室的《风险和机遇评估表》,组织策划识别各部门风险和机遇并编制《风险和机遇评估表》,指导操作风险识别和风险评估,及对风险的可接受性准则规定。
5.4风险评估
对已识别的风险的严重度和发生频度进行评价,其评价的要求应依据本程序所规定的评价准则进行评价确认,风险的严重度和发生频度的确认用以确定风险系数,之后根据风险系数确定对风险应采取的措施。
5.4.1风险的严重程度评价准则
风险严重度用于评价潜在风险可能造成的损害程度,根据对潜在风险的评估量化,若潜在风险发生后,其会导致的各方面的影响以及危害程度,以下包括但不限于风险产生后会导致的危害:
a.法律法规、产品及客户要求;
b.风险发生时导致的环保影响;
c.损失的多少;
d.是否会导致停工/停产;
注:在对风险进行严重程度判定时,推荐扩大分析风险所带来的危害层面,以便于更有效的对潜在的风险采取措施,以达到减少或部分消除风险乃至完全消除的目的。
为便于识别风险所带来的危害程度,对风险的严重程度进行区分,风险严重度分为以下五类:
a.
非常严重
b.严重
c.
较严重
d.
一般
e.
轻微
下表为依据定义的风险影响和影响程度的多少进行量化,在对风险的严重程度进行评价时,下表作为评价风险严重度的准则:
严重程度
描述
严重
等级
质量
质量环境
环境
顾客方面
影响后续过程
成本损失
(万元)
法规监管层面
污染排放方面
非常严重
顾客停止与我司合作
本过程无法工作
损失≥10
停业整顿
临近江河湖泊流域性
5
严重
顾客停线
本过程全部离线返工
10<损失≥5
行政罚款
本行政区域内
4
较严重
顾客退货
本过程局部返离线工
5<损失≥0.5
有条件运行
本工业区区域
3
一般
顾客投诉
下过程全部在线返工
损失<0.5
书面改善
本工厂内
2
轻微
顾客情报反馈
下过程部分在线返工
无损失
口头问题
不影响
1
严重度判定过程中,当多个因素的判定其严重程度不一致时,应遵循从严原则进行判定,即当多个因素中仅其中一个或部分因素其严重度级别更高时,依据严重级别高的因素作为风险严重度进行判定。根据上表内容确定风险的严重度后,将严重等级数字填入《风险和机遇评估表》中。
5.4.2风险的发生频率评价准则
风险的发生频率是指潜在风险出现的频率,为便于识别和定义,将风险频度定义为5级,如下所示:
a.
极少发生;
b.
很少发生;
c.
偶尔发生;
d.
有时发生;
e.
经常发生;
通过对上述的不确定因素进行评价风险发生的频度,风险的发生频率的评价以其可能发生的频率进行量化确认作为风险的发生频率的评价准则:
发生频度
定义
等级
极少发生
发生概率≤0.001%
1
很少发生
0.001%<发生概率≤0.1%
2
偶尔发生
0.1%<发生概率≤1%
3
有时发生
1%<发生概率≤10%
4
经常发生
发生概率≥10%
5
发生频度判定过程中,当一个或多个因素在判定过程中其发生频度不一致时,应遵循从严原则进行判定,即当多个因素中仅其中一个或部分因素其发生较为频繁时,依据发生频率较高的因素作为风险发生度进行判定。根据上表内容确定风险的严重度后,将严重等级数字填入《风险和机遇评估表》中。
5.4.3风险的可接受准则
风险可接受准则是通过计算得出的风险系数来判定风险是否可接受,通过对风险的严重度和风险的发生频率评价后,通过计算风险系数确定是否对风险采取措施。风险系数的计算如下公式:
风险系数=风险严重度等级*风险频度等级
使用风险系数作为参考值,下表为风险风险系数的范围及当风险系数达到一定值时应对风险采取的措施:
风险
系数
风险等级及应采取的措施
风险等级
风险措施
15-25
高风险
应立即采取措施规避或降低风险
5-15
一般风险
需采取措施降低风险
1-5
低风险
风险较低
,接受风险
在进行风险分析和风险应对过程中,应保持风险措施的方案和实施结果的跟进记录,风险分析和风险应对措施的详细内容应记录在《风险和机遇评估分析表》中,记录的保持依据《记录控制程序》文件执行,便于后续的查阅和跟进。
5.4风险应对
各实施部门应对所识别的风险进行评估,根据评估的结果对风险采取措施,从而达到降低或消除风险的目的,风险的应对方式应根据实际情况进行筛选,当潜在的风险可有效的采取规避措施进行规避风险时,应制定风险规避方案,确认风险规避措施并予以执行,直至部分消除或完全消除风险。制定风险应对的额措施时必须将相关措施贯彻到公司日常运行程序中,且部门的管理活动不应与公司层面如SWOT
分析活动对应的措施冲突。
对风险所采取的措施应考虑尽可能的消除风险,在无法消除或暂无有效的方法或者采取消除风险的方法的成本高出风险存在时造成损失时,再选择采取降低风险或者风险接受的风险应对方法。
5.5.风险和机遇评审的策划
风险和机遇评审应每年度至少实施一次评审,以验证其有效性。当出现以下情况是,应当适当
增加风险和风险评审的次数:
a.
与质量环境管理体系有关的法律、法规、标准及其他要求有变化时;
b.
组织机构、产品范围、资源配置发生重大调整时;
c.
发生重大品质事故或相关方投诉连续发生时;
d.
第三方认证审核前或其他认为有管理评审需要时;
e.
其他情况需要时。
6
引用文件:
6.1《记录控制程序》--------------------
SST-QEP-02
7
记录表单:
关键词:企业会计信息;风险识别;管理分析
中图分类号:F23 文献标识码:A 文章编号:1001-828X(2013)11-0-01
风险就是未来可能发生的不确定性的结果,在财务管理方面不论何种风险都会造成重大损失,因此需要对风险进行有效识别和管理,以最大限度降低风险成本。企业会计信息系统可以有效维护企业的整体运行,企业对会计信息系统进行风险识别和管理不仅是企业财务规避风险的需要,也是整个企业风险管理的需要。但目前我国在会计信息系统风险识别和管理方面的研究还很少,企业在会计信息风险管理方面的认识和经验还不足,很多企业为保证会计信息安全倾尽了大量财力、物力却没有任何效果。因此企业如何识别风险,并采取措施进行有针对性的风险管理,需要企业管理者认真思考总结,以对症下药。
一、企业会计信息风险识别
1.会计信息风险识别的定义和重要性
对事件的识别可以帮助企业管理者熟悉影响业务活动的各种因素,但事件识别无法清楚了解这些事件蕴含着怎样的风险。因此企业管理者在了解事件的同时,更应分析这些复杂的事件蕴含了哪些“风险”,即风险识别。企业会计信息风险识别可以将不确定的事件转化为清晰的风险陈述,在事件识别和风险评估之间起到桥梁的作用。
2.会计信息风险识别的内容
企业会计信息风险识别可以分为三个方面:(1)利用风险检查表来系统地识别风险;(2)对已知风险进行交流。采用口头或书面的方式,在企业会议上针对已知风险进行交流;(3)将已知的风险编写成文档,可以方便以后查阅。文档内容从风险陈述和相关风险的背景两个方面来写,风险背景中要包括风险发生的时间、地点、原因和后果[1]。
3.会计信息风险识别的方法
企业会计信息识别风险的方法有很多,财会人员可以通过分析公司历年的财务报表,加强与部门经理的讨论沟通,多进行员工调查,或咨询保险人和风险管理咨询顾问等方式,以此识别各种潜在风险。财会管理者在运用各种风险识别方法时,首先要全面了解部门、企业以及影响企业的经济、法律和法规等“事件”。有效识别面临风险的各项财产以及造成潜在损失的原因,考虑对这些财产进行计量的方法。综合各种计量属性的优缺点,选择合理的估价方法。
二、企业会计信息风险管理分析
1.会计信息风险评估
企业会计信息风险评估即对会计信息及信息处理设施可能发生的威胁和影响的评估。企业财会部门利用风险评估可以有效考虑潜在风险对会计目标达成的影响,以确定会计信息风险控制的优先级,实现对潜在风险的有效控制,将风险降低到最小范围。风险评估时管理者首先应考虑到企业资产及其价值的潜在威胁,研究风险发生的可能性和薄弱点,建立完善的风险评估流程。风险评估方法分为定性和定量两种,对于不能量化的或不能进行定量评价,实践中没有实用性的风险采用定性的评估方法。定性分析方法侧重于关注事件带来的损失,而很少关注事件发生的频率,主要是通过事件面临的威胁和脆弱点来确定事件的风险等级,评估中也没有具体的数据,以期望值来设定风险的影响值和概率值[2]。
当单纯的期望值不能区分风险值间的差别时,就需用定量评估法。定量评估主要是利用威胁事件发生的概率和可能造成的损失这两个因素,这两个因素相乘的结果称为ALE。通过ALE可以计算出风险等级,以对此做出相应决策。不同规模的企业风险评估工具的选择不同,比较小的企业财会部门的风险管理决策主要来自经验判断,对于规模较大的企业一般通过数据收集、处理分析来进行风险评估。常用的风险评估工具有使用历史数据法、使用回归分析方法和使用正态分布模拟损失分布等。
2.会计信息风险应对
在企业会计信息风险应对中,首先应以风险评估的结果为依据,判断威胁事件的薄弱点,选择合理的手段和正确的保护措施。其次,也应该考虑到费用问题,确保应对措施的费用在财会部门预算范围之内。根据应对措施的费用和部门的实际预算选择合理的方式,达到降低风险的目的。常见的风险应对方法有规避风险、减轻风险、承担风险和接受风险等。风险的发生是随机和不确定的,因此风险应对也是一个动态的过程,财会部门应使用动态的方法应对风险,及时更新风险管理体系。
3.会计信息风险监控
企业会计信息风险监控是财务信息风险管理的重要组成部分,可以通过持续监控和单独评价两种方式实现。在企业财务部门的日常业务活动中实行持续监控,依靠风险评估和持续监控的有效性进行单独评价。持续监控是财务部门对日常工作和业务活动的动态监控,财会部门在工作中如发现风险管理的缺陷应立即向上级汇报,以采取相应措施弥补。通过日常的监控可以及时发现会计信息管理中的各种问题,以规避风险。在风险事件发生后进行个别评估,探讨财会部门风险管理的有效性,重视对事件缺陷的挖掘与汇报,建立可靠的沟通渠道,及时汇报一些敏感或非法的信息[3]。
三、结语
在激烈的市场竞争中,企业在经营管理的各个环节,不可避免的会存在一定风险,这些风险可能对企业产生重大影响。有效规避和化解企业会计信息中的风险,是确保企业在激烈的竞争中持续发展的基本要求。财会部门作为企业的核心部门,在日常工作中应该建立有效的风险管理体制,对可能发生的风险进行评估,并采取相应的措施应对,也要实施风险持续监控制度,积极挖掘财会工作中的各种风险管理缺陷,以此规避风险减少企业经济损失。
参考文献:
[1]李华丽.浅论会计风险管理存在的问题[J].中国市场,2010,5(26):21-23.
通过评估结果来看,目前银行业机构尚未将洗钱风险管理当做一项系统化、规范化的工作来做,在风险管理架构、风险评估、风险监测和应对各环节中存在不同程度的缺陷。
(一)风险管理架构状况总体上看,金融机构的风险管理架构尚处在合规管理状态下,制订各项反洗钱工作制度和操作规程的重点停留在规避违规风险上,而未能将工作思路转到如何识别、评估和监测客户和交易的洗钱风险上。主要表现为:1.金融机构反洗钱风险控制的政策目标存在偏差。多数金融机构风险控制目标集中在反洗钱工作合规性上,而未将识别和控制洗钱风险做为最终的政策目标。2.反洗钱制度更新频度与业务发展不匹配。除国有商业银行以外的银行机构,特别是地方法人机构,反洗钱内控制度或操作规程的更新与其业务发展严重脱节,个别金融机构的客户身份制度仍在执行2007年制定的版本,新业务新产品推出未能及时纳入洗钱风险控制与监测的范围。3.高管缺乏对洗钱风险的认知和对员工引导。通过调阅被评估单位的会议记录及书面批示内容来看,多数金融机构的高管对反洗钱风险控制的认知放在规避反洗钱违规风险上,对工作的指导方向与洗钱风险管理相差甚远。4.反洗钱资源配置缺乏合理规划。在抽样机构中,除工行、建行的分支机构的反洗钱工作做到了团队做、专业做外,其他金融机构反洗钱工作全部由指定的内设部门的人员来兼职反洗钱工作,且部门和岗位变动频繁,不利于本机构的反洗钱工作开展。5.反洗钱工作内容未完全融入机构的合规文化建设中。一是反洗钱内控制度和操作规程多数独立于业务条线的操作规程;二是抽样评估的机构中,尚有部分机构未将反洗钱履职行为纳入年度或其他定期的绩效考核范围;三是员工反洗钱业务培训工作未能以提高员工业务技能为出发点,从培训记录的内容来看多数为应对人民银行的现场检查;四是反洗钱宣传工作未能发挥主观能动性,结合机构业务情况自行设计和印制宣传材料,主动履行反洗钱宣传义务。
(二)风险识别与评估状况1.缺乏有利的风险识别与测量工具。一是从抽样结果看,金融机构尚未建立识别与测量客户风险敞口的统计工具;二是尚未建立识别产品风险敞口的统计工具;三是尚未建立识别高风险业务风险敞口的统计工具;四是尚未建立识别实际受益人的识别和统计工具。2.缺乏评估产品风险的机制。评估期间,所有评估机构尚未按照《金融机构洗钱和恐怖融资风险评估及客户分类管理指引》(下称《指引》)的要求建立对产品风险的评估机制。3.缺乏有效的客户风险评估指标设计。从评估结果看,抽样机构的客户风险评估指标未能参照《指引》的要求,建立综合性的评估指标,对客户实施动态风险评估和管理。4.缺乏科学合理的风险评估流程。从评估结果看,抽样机构的风险评估工作目前正处于两个极端:一是有客户风险等级评估系统的全部依靠系统自动评估,缺乏人工审核;二是没有客户风险等级评估系统的,全部依靠人工主观判断,缺少系统客观指标的辅助,这两种情况均可能导致客户风险等级划分、调整、审核工作流于形式。
(三)风险监测状况1.缺少反洗钱和反恐怖融资黑名单实时监控功能。多数地方法人机构未能将反洗钱和反恐怖融资黑名单置入核心业务系统,无法设置业务触发点以及对反洗钱和反恐怖融资监控名单进行实时更新。2.缺乏有效的内部审计监督机制。从抽样评估的情况来看,除上级机构的反洗钱工作审计报告能反馈出反洗钱工作中存在的问题外,抽样机构对本级以及分支机构的内部审计监督基本流于形式,未能体现发现风险、控制风险的目的。3.缺乏对客户开展持续调查的工具。目前抽样机构全部缺少对客户开展持续调查的辅助工具,不但降低了工作效率,也影响了客户身份持续识别工作的效果。4.缺乏有效的异常交易监测模型。从目前状况来看,除工行建立了较为完善的反洗钱监测模型外,其余机构全部按照可疑交易客观标准设置可疑交易监测指标,需人工判断的指标无法量化并实现系统自动提取。5.缺乏综合的可疑交易监测系统。抽样机构中,除工行的可疑交易监测系统能基本满足可疑交易分析过程能达到“方便的提取客户基本信息及交易信息”综合开展甄别分析外,其他机构的可疑交易监测系统均独立于业务数据库之外,无法在技术手段上提供有效开展可疑交易甄别分析的便利条件。
(四)风险应对状况1.缺乏对高风险业务、客户的管控措施。多数机构未能建立对高风险业务和客户的管控措施,在高风险业务发生或高风险客户提交异常交易后缺少有效的控制手段,难以降低洗钱后果发生的概率。2.缺乏制度化的风险消化、提升风险对抗能力的工作流程。多数机构特别是地方性法人机构缺乏对典型案例进行追溯、审查、分析、追责等工作制度,便于查找自身风控漏洞,提出风险提示和采取相应改进措施的,或采取有效手段予以推行。3.缺乏应对洗钱案件的应急处置措施。抽样机构全部未建立洗钱风险应急预案,难以保证在涉及自身的案件发生后,能快速做出反应。4.缺乏反洗钱工作的内部沟通机制。多数的抽样机构未能建立定期的内部沟通机制,便于反洗钱部门定期或不定期与业务条线、下级机构就进一步完善反洗钱内控及风控措施进行回溯性审查、政策研究。5.缺乏与当地反洗钱监管部门的沟通机制。多数的抽样机构未能建立向当地人民银行报告重要反洗钱事项、敏感反洗钱工作信息的外部沟通机制。
二、优化风险管理工作建议
(一)及时转变观念,树立风险意识金融机构工作人员特别是金融机构的管理团队要尽快转变工作理念,树立洗钱风险意识,确立正确的反洗钱履职意识和工作目标,同时还要将洗钱风险管理融入本机构的合规文化建设这中,引导本机构的员工在合规基础上,着力于加大对洗钱风险的识别与管控的工作力度。
(二)加大成本投入,完善风险管理架构1.完善风险管理制度架构。尽快按照《指引》要求,落实风险管理框架下的各项工作制度和操作规程,提高客户、产品、业务之间综合开展风险评估的能力。2.优化反洗钱技术手段。在优化完善反洗钱工作技术性的辅助系统上加大成本投入,建立综合性的反洗钱分析监测系统,完善风险识别与测量工具,逐步提高对高风险业务、高风险客户的综合监测和分析能力,建立持续性的风险监测分析制度及配套的技术手段。3.合理配置反洗钱资源。反洗钱工作资源的配置要与客户、产品的市场拓展,对风险的接纳能力以及所拥有的技术手段相匹配,有条件的机构要推广反洗钱工作团队作、专业作,条件有限的情况下要按照风险高低程度合理配置工作资源,在保证质量的前提下提高工作效率。
(三)优化工作流程,提高风险识别监测能力1.提高员工培训的实效。员工的反洗钱意识、工作能力、制度执行力直接影响着反洗钱工作成效,员工培训要从这三个方面入手,提高培训工作实效。2.建立综合性风险识别与监测机制。客户、产品、业务的风险识别与监测是关联度较紧密的工作,在实际工作中要充分利用各种工作资源和工作信息,建立综合性的评估指标及评估机制,对客户实施动态风险评估和管理。3.建立科学合理的风险评估流程。建立起系统自动评估与人工审核相结合的风险评估流程,实现人机互补,提高风险评估质量和效率,从而建立对客户风险等级划分、调整、审核工作的动态化持续化的管理机制。4.建立科学的异常交易监测模型。参照人民银行的可疑交易监测模型,结合本机构业务开展情况、对风险接纳能力、客户群的分布特征,建立适合自身的异常监测模型,将风险监测工作落到实处。5.建立综合性的可疑交易监测系统。可疑交易监测系统要与业务数据库建立联系,使系统能达到“方便的提取客户基本信息及交易信息”综合开展甄别分析的要求,在技术手段上为可疑交易甄别分析提供有效的便利条件。
关键词:风险管理;审计计划
中图分类号:F239 文献标识码:A 文章编号:1001-828X(2013)06-0-01
一、风险管理
风险管理自被提出以来,一直主要应用于金融领域。而企业的风险管理大范围受到重视仅近30年,其发展历程大致为:20世纪70年代,企业风险管理只是单一的信用风险管理;20世纪80年代,企业风险管理主要是针对投资风险和财务风险的分散和回避;进入20世纪90年代,企业越来越重视风险和风险管理,全面风险管理等被提出并付诸实践。1992年,COSO(Committee of Sponsoring organization)委员会了《内部控制――整体框架》,在此基础上,该委员会于2004年提出了《企业风险管理――整合框架》(企业风险管理简称ERM),认为企业风险管理是一个过程,由企业的董事会、管理层和其他人员共同参与实施,应用于企业战略制定和企业内部的各层次和部门,贯穿于企业之中;风险管理的目的在于识别可能对企业造成潜在影响的事项,并在风险偏好范围内管理风险,以将其限制在风险容忍度内,为企业实现目标提供保证。
ERM风险管理框架的要素“内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控”,实际就是对风险管理过程的诠译,在这八个要素中,事项识别、风险评估、控制活动及监控与内部审计有直接的关系。基于以上分析,得出风险管理的基本理念就是识别风险、评估风险和控制风险,这与近年来倡导的风险导向审计理念有共同之处。风险管理活动应该贯穿于内部审计工作的全过程,特别是年度审计计划的制定更应体现对企业风险的控制,将有限的审计资源重点投放到高风险的领域。
二、内部审计在风险管理中的作用
国际内部审计师协会(IIA)认为内部审计是一种独立、客观的确认和咨询活动,它通过应用系统、规范的方法,评价并改善组织的风险管理、控制和治理过程的有效性,帮助组织实现目标。显而易见,随着客观环境的发展,内部审计已将评价和改善组织的风险管理作为其重要职能之一,内部审计人员必须树立风险理念,将风险识别、评价和控制融入到实际工作中。按照COSO的ERM报告,在风险管理过程中,内部审计机构和人员的职责是应用一定的风险管理方法和审计方法,检查风险管理过程的充分性和有效性,评估风险是否得到有效控制,且以报告形式提出意见,为管理层及审计委员会提供帮助。
虽然COSO和IIA都强调了内部审计在风险管理中具有重要的地位和作用,但我们也发现,事实上无论IIA还是COSO都没有对内部审计如何具体参与企业风险管理作出相应的阐述。针对企业的风险管理的具体情况来看,内部审计参与风险管理是一个逐步发展的过程,在不同的阶段中,内部审计工作的侧重点各有不同。
企业未建立风险管理机制时,作为职能部门,内部审计应积极向管理层提出建立风险管理机制的建议。提请管理层关注风险。并且内部审计工作计划应该是在风险分析的基础上制定。如果企业管理层提出建立风险管理机制的要求,内部审计部门可以通过咨询服务的方式,积极协助企业风险管理过程的建立,内部审计人员可以运用对企业内部情况比较了解的优势和专业知识,从独立客观的角度为审计委员会和管理层提供有价值的咨询服务。内部审计可以通过指导管理层和相关业务部门对风险进行识别与评估,明确管理层的风险偏好和风险容忍度,并相应地做出风险应对等方式来协助管理层建立风险管理机制,促进企业的风险管理水平的提高。如果企业建立了风险管理机制,内部审计就可以将对风险管理的评价作为审计工作的内容之一,以检查、评价企业对风险管理的适当性和有效性。内部审计人员应当对风险识别过程、风险评估的方法、风险应对措施进行审查与评价,审查评价风险管理过程的充分性适当性和有效性,并对于风险管理过程存在的问题提出改进建议。
ERM将企业的内部审计人员推上非常重要的地位,认为内部审计人员可以通过对管理者风险管理过程的充分性、适当性和有效性进行监控、检查、评估、报告和提出改进建议来帮助管理层和董事会履行其职责。实际工作中,内部审计通常并不将企业的风险管理过程作为一个专门审计项目予以开展,其原因在于风险管理措施、手段与企业的内部控制整体不可分割,因此内部审计参与风险管理仍然体现在项目选择和项目实施中。其中项目选择更加突出体现风险管理理念,项目选择实质上就是年度审计计划的制定。可以说,将风险管理理念和方法融入内部审计年度审计计划的制定是科学合理的选择。
三、运用风险管理理念制定年度审计计划的基本原理及方法
《国际内部审计实务公告》第2010―2:“审计计划对风险和风险的暴露的关注”强调首席审计执行官应该制定以风险为基础的计划,以确定内部审计活动重点。具体方法是在风险评估和风险暴露优先次序的基础上安排审计工作。根据以上论述,我们认为如果企业已经建立起风险管理机制并开展了风险管理工作,则内部审计完全可以利用其成果,有针对性地选择审计重点;如果企业尚未建立风险管理机制,则内部审计可以按照风险管理的理念和思路开展风险识别、风险评估等工作,并以此为基础制定年度审计计划,确定审计重点。
风险识别是风险管理中的关键和难点,如何识别风险也是审计计划制定过程中的关键起点。这里我们充分利用传统的审计风险控制模型来和内部控制评价理论来确定风险识别的方法。传统审计风险模型认为,审计风险=固有风险×控制风险×检查风险,当审计师可接受的审计风险水平确定时,固有风险、控制风险与检查风险成反比例关系,也就是说当审计师识别了高固有风险和高控制风险领域,那么其检查风险就会降低。显然识别风险就是要识别固有风险和控制风险,但在实际操作中,固有风险与控制风险往往相伴相生,我们通常并不将其分开识别和评估。同时考虑到内部控制评价对企业业务流程的分解和评价与这里的风险识别和评估有着共同特点,因此我们可以参照内部控制评价方法细化流程中的控制环节,针对各个控制环节识别并评估固有风险和控制风险的高低,这将大大降低风险识别的盲目性。具体步骤是根据内部控制评价体系的基础资料,制定风险评估方案,进行风险识别、风险调查、风险专业判断、风险评估及报告和实际运用(制定审计计划),当然对固有风险和控制风险的评估结果并不是制定审计计划的唯一依据,通常还须结合审计资源等情况,综合考虑和权衡。
四、实际运用中需要注意的问题
1.在风险识别环节,根据经验和内部控制评价方法来选择风险环节的科学性,是否存在遗漏其他高风险环节,这方面需要在实践中不断完善。
2.在风险调查环节,风险管理是全员参与的过程,风险识别调查范围必须有一定的宽度,选择的调查点须具有代表性。另外,调查方式方法的选择及调查内容的设计,对调查的被接受性和调查结果的准确性必然产生很大的影响,因此调查的方式方法选择要避免走过场式的随意性,调查内容的设计要易于理解,不会让被调查者产生歧义。
3.在风险判断环节,如何把握风险测定的因素和标准的完整性准确性、专业判断的科学性,需要根据企业发展的实际情况不断完善。
综上所述,随着审计环境的变化,运用风险管理理念制定年度审计计划不仅是一种有益的尝试,更是的提高效率、合理化科学化的必然选择。风险管理理念的融入必将使内部审计年度计划的制定更加具有针对性,使内部审计部门能够更加合理地配置有限的审计资源,将审计工作重点转向高风险领域,从而使企业的内部控制达到事半功倍的效果,反过来也必将推动内部审计工作不断向科学化方向发展。
参考文献:
[1]朱荣恩,贺欣.内部控制框架的新发展―企业风险管理框架-COSO委员会新报告《企业风险管理框架》简介[J].审计研究,2003(6).
[2]高岩芳.ERM框架影响下的内部审计的新发展[J].内蒙古财经学院学报,2005(5).
关键要:海洋石油工程;作业危险评估法;安全;风险管理本文主要从风险管理为切入点,结合海洋工程企业中的项目为依托,对项目在施工过程中的风险进行分析并提出风险规避方法从而有效的避免风险的发生。
一、海洋工程项目风险的识别
(一)工程项目风险的定义及特点
海洋工程项目风险则是指在项目的策划、设计、建造、安装、调试以及后期投入使用各个阶段可能面对的损失。项目的风险在任何项目的任何过程中都会存在。如果不能有效的对项目的风险进行控制,可能会造成项目在实施的过程中出现失控现象,从而导致延长工期、增加成本、甚至项目失败影响企业声誉。任何海洋工程项目都有一次性、独特性和创新性的特点,项目风险也具有随机性、相对可预测性、渐进性、阶段性、突发性等特点。
(二)工程项目风险的分类
根据海洋石油项目的整体特点,基本可以分为可控风险和不可控风险两大类。可控风险指的是以人的主观能力可以控制住的风险,这些风险都可以有效的避免或者可以提前采取一定的措施进行预防,比如施工风险、安全风险、技术风险等等;不可控风险指的是客观存在的,不以人的意志为转移的风险,一般不能有效的规避或者采取预防的措施,例如政治风险、经济风险、自然灾害等等。
(三)海洋工程项目风险的识别
海洋工程的项目与传统的土建项目有着明显的区别,海洋工程的项目交叉作业多、涉及专业多、作业环境复杂、参与人员及设备较多等特点,那么在项目的运行过程中,如何对风险进行有效的控制,首先要对项目的风险进行识别,分析出属于哪类风险,这就要求首先做好风险的识别。以海上组块的安装为例,根据海上安装的施工方案,将该组块的海上安装过程分为“作业船就位、抛锚”、“组块挂扣”、“固定切割”、“组块起吊”、“组块就位”及“组块固定”这几个过程,通过对每个过程中参与作业的设备、人员及外部环境的研究,识别出了每个过程中的安全风险因素。如作业船就位、抛锚过程,参与的机具船舶有:发电机、绞车、锚机、通讯设备、两条辅助船舶及相关设施。参与人员有:作业船及辅助船船员、定位人员、指挥员。因此这个过程中可能的风险有:发电机及绞车故障、通讯设备故障、人员误操作、未按方案布锚、走锚等风险。同理可以得到其他几个作业过程的风险因素。因此有效的识别风险,是为了风险评估、风险应对和风险监控提供强有力的基础。
二、海洋工程项目风险的评估
在项目风险识别之后马上要对项目的风险进行评估,对项目所有的不确定的风险因素进行全面的分析识别后进行综合评价,区分出可控风险和不可控风险。如果有必要需要建立风险模型,通过专家分析进行风险评估并制定有效的方法进行应对。
(一)项目风险的评估的方法
项目的评估方法有很多种,例如作业危险评估法、期望值法、事故树分析法、敏感性分析法、模糊数学法等,而海洋工程项目中一般采用的评估方法是作业危险评估法(LEC法)。
(二)海洋项目风险评估
以海上平台安装为例,在海上平台的安装过程中,相关人员识别出在施工的过程中存在某种突发安全风险后,应该立即组织专家组对该风险进行评估,通过对“事故的不可预测性”、“措施的无效状态”、“人员暴露在危险环境下的频度”、“事故可能损失后果”的等等各个方面进行有效的评估,得到了风险因素的危险程度值及危险等级,为下一步风险的应对提供基础。
三、海洋工程项目风险的应对
(一)海洋工程项目风险的应对的方法
在风险评估完成后,为了保证项目的顺利进行,就需要专家组提出应对风险的措施和方法,应对风险的方式多种多样,但笼统的归纳后有以下两种:1、控制方法,及发现风险后提出有效的手段进行控制从而降低风险,主要以风险回避、风险遏制和风险转移等手段。一般情况下对于海洋工程中的可控风险,一般都会采用这种手段进行控制。2、利用财务手段。在海洋工程领域,大多数情况下业主都会要求分包商进行购买海事保险的方式进行风险分摊,尤其是在重大设备设施的运输、吊装等作业行为前,都需购买保险釆用财务的手段将项目风险进行转嫁。
(二)海洋工程项目风险的应对的原则
1、风险应对有针对性原则。在项目进行中,所采取的每一项措施都必须有针对性,否则势必会浪费企业资源。2、风险应对可操作原则。在发现风险后在经过专家组的论证后制定的每一项应对措施中都必须可操作性,不应仅仅停留在纸面上,否则对防范风险没有任何意义。3、风险应对最大执行力原则。在经过专家组的论证后制定的每一项应对措施后,应引起项目经理的足够重视,从项目高层着手保证这些控制措施发挥其应有的效用。4、风险应对全面原则。一般海洋工程项目的风险具有多样性,复杂化等特点,必须全面的指定有效的措施,需要采取多样的方法从不同角度对其予以全面控制。5、风险应对措施与经济成本相协调原则。在选择风险控制措施时,在相同效果的前提下采取成本较低方案。6、风险应对能力导向原则。控制安全风险时,主要以预防为主,在能力范围内可消除的必须进行处理,无法消除的最大化的削弱风险。
四、海洋工程项目风险的监控
(一)项目风险监控的概念
项目风险的监控是在对项目风险管理指定相关措施后对风险管理过程中的监视和控制。
(二)项目风险监控的目标
在项目风险监控措施的实施的过程中,都应该达到一些目标,这些目标包括:及早识别是否还有新的风险,避免已经发现的风险发生、减少风险发生后带来的损失、总结经验教训在本文中项目风险监控虽然处于项目风险管理的最末端,但是风险监控是贯穿于项目整个过程中的,因此建立一套可行的项目风险监控系统是必不可少的措施,也是风险监控的关键所在。
本文在综合考虑海洋石油工程项目特点及各类分析方法适应性的基础上,对组块的海上吊装安装过程进行风险管理研究,依此建立了风险源及风险识别、评估表,并基于尽早的识别风险,尽可能避免项目进行中事故的发生以及降低项目风险发生以后所产生的不利后果的目的,建立了兼具科学性和可操作性的项目安全风险监控系统。海洋工程项目的安全风险管理与对组块海上安装过程的安全风险管理类似,需要对全过程的作业信息进行收集并处理,识别出项目进行过程中的安全风险,并针对性的进行应对,然后评估每个风险因素的危险性及风险等级。若应对后的风险等级仍然较高,那就需要采取整改措施进行整改,若风险等级较低,则代表风险受到控制,可以继续作业。对风险识别、风险评估及风险应对的全过程实施风险监控,确保识别出所有的安全,且风险的应对措施能够被有效的实施,或对应对措施效果不好的风险进行整改。从而保证项目内每个风险因素都能受到有效控制。
作者:王增 孙诗杰 曹德明 单位:海洋石油工程股份有限公司
参考文献
[1]刘洪浩.浅议项目风险管理理论[J].抚顺市中医院学理论.2011.
[2]彭俊好,徐国爱,杨义先,汤永利.基于效用的安全风险度量模型[J].北京邮电大学学报.2006.
[3]张俊.浅析项目风险管理与项目管理[J].黑龙江科技信息.2007.
[4]葛治江.国际石油工程EPC总承包项目安全风险因素分析[J].石油化工建设.2009.
本文基于德尔菲法,通过整合风险评估理论分析了目前商贸流通业转型中的风险,并提出了建立或完善商贸流通业风险评估体系的方法和措施,希望能够为商贸流通业转型期风险评估研究提供有益参考。
关键词:
商贸流通业;风险评估;德尔菲法
一、转型时期的商贸流通企业风险分析
(一)细分市场风险事实上,市场细分建立在三个基础上。在市场上,消费者总是希望根据自己的独特需求去购买产品,因此不同顾客间的需求是有差异性的;在同一地理条件下、具有相同背景和文化的人们有着相对类似的价值观和人生观,因此他们的需求又是具备相似性的;企业受限于自身实力,无法向市场提供满足一切需求的产品。为了有效竞争,企业选择市场细分,针对目标市场,集中企业优势资源,取得竞争优势。目前商贸流通企业在转型中的确将很大一部分将精力投入到细分市场中,尽量满足客户多元化及个性化的需求,但这背后其实也隐藏了很大的风险。首先,细分市场可能导致其订单碎片化和小量化,影响其市场占有率。其次,细分市场可能会增加企业运营成本。整个商贸流通业的利润率并不高,如果缺乏销量的支持,企业很有可能会亏损。最后,消费者需求变化快,细分市场不稳定,增加了企业运营风险。
(二)互联网运营风险在互联网经济时代,电子商务的快速发展带动了商贸流通业与互联网的快速“联姻”。应用新技术和发展新模式成为商贸流通业改革创新的重要手段,其中大力发展电子商务,建立网络化平台就是当今的主流趋势。传统的商贸流通业存在着信息不对称、资源配置效率低等弊端,而在以云计算、物联网为代表的新一代信息技术冲击下,电子商务平台帮助传统商贸流通业突破束缚其做大做强的瓶颈,成为组织配置资源和要素的中心,主动引导生产和影响消费,真正成为经济活动的主导者。对于众多商贸流通企业来说,挑战无处不在,其中最突出的问题即是线上与线下模式的冲突,线上模式由于减少中间渠道商环节,可以节省一定成本,因此线上商品价格普遍比线下有优势,这在一定程度上压缩了线下模式的利润率,在线上模式未达到盈利规模时,企业需要承担很大的经营风险和财务风险。
(三)供应链整合风险供应链整合风险与互联网运营风险一脉相承,由于线上模式的成功很大程度上依赖于仓储物流及供应链管理,然而对于商贸流通企业来说,由于往往处于制造业的下游,对于供应链的把控处于非支配地位,因此在经营中往往被动,一旦供应链出现环节失联或沟通无效的情况,便会出现系统性业务失效,进而直接危及企业运营。互联网与移动经济的发展使得商贸企业间的竞争不单纯是产品的竞争,更是供应链与供应链的竞争。目前互联网公司正致力于建设自己的产品生态圈,本质上就是依托自身强大的营销能力和供应链管理能力,横向扩充产品线,形成竞争优势。从整条商品供应链上看,制造业创造的利润是最低的,而最有价值的却是流通服务和产品研发。因此对于一般商贸流通企业来说,整合供应链有利于把控上下游产业链,降低交易成本,增加企业利润。很明显,要做到这点需要流通主体的市场占有率和盈利能力,对于中小流通企业来说,需要有更高层次的改革方向作为配合。
二、科学的企业风险评估体系要素与流程
企业层面的风险评估也称危险度评价或安全评价,是指在风险事件发生之前或之后(但还没有结束),对该事件给企业财产和正常生产、运营等方面造成影响和损失的可能性进行量化评估的工作。对于商贸流通业来说,产业转型升级是企业可持续发展的必然选择,而风险评估以保证转型升级安全为目的,通过对固有或潜在风险进行定性和定量分析,有针对性地制定控制措施和管理决策。企业风险评估围绕业务战略、资产价值、安全需求、安全措施、脆弱性和安全事件等基本要素展开,在对基本要素评估的过程中,必须充分考虑到个要素间相互作用关系。企业风险评估中各要素的关系如图1所示。
(一)评估准备与资产识别风险前的准备至关重要,关系到风险评估的准备性及实际效果。首先要确定风险评估的目的以及风险评估的范围,接着组建适当的评估管理与实施团队。然后进行系统调研,可以采取问卷调查或现场询问等方式,获得相关数据后,制定方案,随即进入资产识别阶段,该阶段是对系统中设计的重要资产进行识别,并对其等级进行评估。
(二)威胁识别与脆弱性识别威胁识别与脆弱性识别是企业风险评估流程的第二阶段。威胁是一种对组织及其资产构成潜在破坏的可能性因素,威胁识别就是要识别重要资产可能遇到的威胁,例如竞争对手可能采取的策略。脆弱性识别也称弱点识别,每个企业都有优势资源,一个企业的优势对应竞争对手就是弱点,因此要识别自身存在的相对于竞争对手的脆弱性,并提前评估定级,同时还要对目前采取的应对策略进行评估,是否应该沿袭或调整。
(三)综合分析与制定风控预案综合分析与制定风控预案是企业进行风险评估的第三阶段,风险综合分析是综合企业资产识别、威胁识别、脆弱性识别的情况及数据,定性和定量地评估目前企业安全状况及风险因素,确定企业可接受风险范围;风险控制方案是针对风险综合分析中的风险要素,特别是不可接受风险,制定风险控制和处理计划,选择有效的风险控制措施将残余风险限制在可接受范围内。
三、商贸流通企业风险评估体系的完善
(一)方法选择在目前的主流企业风险评估方法体系中,德尔菲法是应用最为广泛的。该方法是采用背对背的通信方式征询专家小组的预测意见,经过几轮征询,使专家小组的预测意见趋于集中,最后做出符合市场未来发展趋势的预测结论,因此本质上是一种反馈匿名函询法。相较于其他技术预见法,德尔菲法重点在于把握事物发展趋势,而非结果的精度。德尔菲法有三个明显区别于其他专家预测方法的特点,即匿名性、多次反馈、小组的统计回答。匿名法是德尔菲法的突出特点,从事预测的专家彼此不知道有哪些人参加预测,这样就可以减少权威、主观思想或情绪等因素的干扰,获得最接近事实的结论;反馈性是指该方法需要经过很多轮的信息反馈,在每次反馈中调查组和专家组都需要进行深入研究,并对自己的想法和结论不断改进调整,这样可以避免一些疏忽或填补某些领域的知识空白,使得结果客观、可信;统计性是指该方法依据集体决策遵循少数服从多数的原则,因此结果反映多数人的观点。
(二)完善流程依据本文选取的德尔菲法企业风险控制预案制定思想,德尔菲法的实施一般有组建预测小组、选择专家、设计问卷、实施调查和反馈汇总等步骤,其中调查和反馈是德尔菲法能否发挥作用最重要的环节。在整个实施过程中,组织者和专家组各有不同的任务。针对商贸流通企业的风险控制需求,考虑到每个企业由于所处的市场环境、市场地位不一样,面临的风险种类和程度也各有不同,形成具有代表性的标准化风险评估体系建立工作流程十分必要。微观企业可以参照本文操作流程来有步骤、因地制宜的开展风险评估体系的完善工作,如图2所示。1.组建预测工作组。对于流通企业由单一流通职能向多功能服务提供者的角色转变趋势,企业首先需要综合评估未来转型中面临的大概率风险,将因此而可能涉及到的人事、市场、销售、研发、生产、供应链等环节的负责人都纳入评估小组,负责“企业转型风险评估”调查问卷的设计、专家选择、调查统计等一系列工作,避免片面,此阶段多属于预测和评估研究性工作。2.选择专家。进行企业风险评估的专家选择应来自内部和外部两个渠道,企业、行业协会和政府等均应纳入专家小组范围,专家不仅要有丰富的研究经验,还要熟悉商贸流通业的发展历史和具体的企业经营概况,能够站在企业、行业及国家三个层面对商贸流通业的未来发展趋势给出战略性意见并参与讨论。3.设计专家调查表。专家调查表的设计一般来说应根据商贸流通企业的实际情况,可以分为以下几个部分:该企业目前的竞争优势有哪些;该企业的竞争对手在哪些方面的威胁最大;该企业最容易出现风险的地方是哪里;该企业进入细分市场的障碍是什么;该企业是否有能力发展电子商务平台;该企业的供应链管理能力如何。专家对每一项做出回答,并按照重要程度划分:分为非常重要、重要、一般、不重要四个级别。4.组织调查实施。第一轮调查是开放式的,组织者提供背景材料和预测问题,请专家围绕预测问题提出自己的看法。组织者汇总整理专家意见,归并同类意见,并作为第二轮调查表分发给专家组;第二轮调研是评价式的,专家评价第一轮调研总结出的每个预测事件,说明事件可能发生的时间、方式、影响和理由,组织者统计这一轮专家意见,再整理出第三轮调查表;第三轮调研是重审式的,在这一轮中,专家会重新审视争论的焦点,给出自己新的评价,如果修正自己的意见,应叙述更改理由。组织者负责形成最终的风险评估报告和应对预案。值得注意的是,并非所有预测都需要经过这几步,有些预测事件可能在第二步就达成统一意见,或者经过三轮以上反馈仍然有较大分歧。事实上,定性研究不像定量研究那么精确,结果往往不很统一,只要如实记录下来就可以尽量真实地反映事件的发展趋势。运用德尔菲法时必须注意两点,一是保证专家意见的独立性,二是专家挑选必须基于对企业的了解,根据专家预测的风险排序,商贸流通企业需要针对每一个可能出现的风险,制定相应的风险预防方案。如果缺乏相应的预防措施,那么企业就应该考虑放弃该转型方向,选择从风险系数更小或风险应对措施更加充分的领域开始着手进行转型变革工作,以便减少失败概率,取得最大效益,也只有这样,流通企业的风险预测才能得到更客观、准确的结果,企业的风险预防和控制工作也才真正有意义。
参考文献:
1.曲钟阳.基于德尔菲法的技术预见[D].大连理工大学,2013
2.徐蔼婷.德尔菲法的应用及其难点[J].中国统计,2006(9)
3.夏网生,许黎明.加快江苏商贸流通转型升级[J].群众,2014(12)
4.顾宇.传统国有商贸流通企业转型升级的路径探讨[J].中国商贸,2013(14)
关键词:制药生产;统计学;质量管理;质量风险;药品安全
随着科学技术的推进式发展,治疗各种疾病及不同治疗效果的药物层出不穷,人们在得益于新型药物的治疗的同时,也同样面临药物质量带来的风险。随着我国药检工作的不断推进,人们对药品质量风险的关注度也普遍提升。为了应对药品生产过程中的质量风险问题,国家出台了一系列的法规、政策,也投入更多的人力、物力致力于药品质量风险的研究。在此研究背景下,本文主要根据文献资料对制药生产过程的质量风险管理流程进行综述,并分析统计学在制药生产过程质量管理应用中的适用性。
1制药生产过程质量风险管理流程
质量风险管理是贯穿于药品生产过程的质量风险评估、控制、沟通及审核回顾的过程。实现对制药生产过程质量风险的有效管理,需要熟悉风险管理的流程。对风险管理流程的把控是实施风险管理、有效降低制药过程质量风险的前提和基础。因此,本文首先对风险管理的流程进行概述。将制药过程质量风险管理分为四个步骤:风险评估、风险控制、风险沟通和风险审核及回顾。
1.1风险评估
风险评估是进行风险管理的首要工作,风险评估主要包括了对风险的识别、分析以及风险分析过后的风险评价环节。这三个环节的主要工作是弄清楚可能产生的风险、风险发生率和后果的严重程度及对风险的评级。有效的风险评估工作需要企业建立完善的风险评估团队,并应使团队包括各方面的评估专业人员,他们应对药物生产过程中的每个环节有深入的了解,如人员、厂房、设施、设备、物料、产品等,并对生产过程中的风险有较为全面正确的认识,能够利用专业知识进行有效的风险评估。其中,风险识别环节的有效进行,需要企业相关人员能够对风险有较为敏锐的识别,可以参考并利用已有的风险识别经验和信息。可参考的资料主要来源于产品的生产数据资料。产品的数据资料可以形成对可靠质量水平的控制标准,当出现偏离一般生产水平的质量时,认定为可能会出现风险。相关风险识别理论,风险识别理论能够为风险识别提供理论参考,实现定量评判风险出现的可能性。风险识别的研究过程中会产生一系列识别指标,根据已有的指标进行风险识别不仅可以提高识别效率,也能在一定程度上提高风险识别的准确性。在识别风险后,对风险的分析十分重要。风险分析的主要目的是判断出现这个风险的可能性有多大,对风险的严重性和可能性进行分析判断,并通过对结果的分析,形成风险程度评价表。在风险分析这一步骤中,我们可以使用所有可用的信息对已识别的风险进行估计。风险分析对风险评估的准确性影响也较大。风险评价即评估该风险发生后影响的严重程度。在进行风险评估之前,应预先建立一个风险标准,在这个过程中,会使用到风险指数矩阵图,然后根据风险发生的可能性和严重性来综合评价风险等级。
1.2风险控制
风险控制是风险管理的最终目的,将风险控制在一定的可接受范围内是评价风险管理效果的有效指标。风险控制是在风险评估的基础之上进行的,根据风险评估的结果,分析风险控制的范围和可能性,然后采取措施降低风险。风险控制过程的关键问题是:(1)判断评估后的风险是否超出了风险控制的水平。当风险超出可接受的范围时,就要采取有关措施进行风险控制,以尽可能降低风险;(2)企业在降低风险中的可能性。任何风险都有产生损失的可能性,因此企业利用现有的风险管理水平,寻求风险的进一步降低,始终是风险管理的有效措施,也是降低企业可能性损失的有效方式;(3)分析风险,找出风险的可能性来源。风险具有不可预估性,因此找到风险的可能性来源是风险控制的必要环节也是可以正本清源的最有效措施。找到风险的可能性来源,能够及时发现可能出现的新风险并及时找到有效的降低风险的措施。
1.3风险沟通
在进行了有效的风险识别和风险控制之后,进行及时的风险沟通是风险管理系统程序的必要环节,也是风险管理模式良好运行的基础。一个风险交流的主要工作是进行同系统不同时期风险的数据分析。对不同时段的风险进行分析,能够系统把控风险管理的效果,并通过对比分析,找到不同风险管理过程中的优劣点,为后续风险管理的更有效开展打下基础,进而进行系统性的风险管理过程的全面分析。通过对整个风险管理过程的有效分析,能够及时了解风险管理过程中存在的问题,避免新的风险出现时重蹈覆辙。1.险审核、回顾在完成风险识别、风险控制及风险沟通后,风险管理程序的结果的审核及回顾是最后一个步骤,这对于全面把握该次分析管理的效果十分有效。风险审核及回顾的主要工作有:(1)形成有效的风险管理文件。对风险管理过程进行有效的回顾,并形成记录文件,以便为后续风险管理工作的顺利开展提供数据资料;(2)定期开展不同岗位员工的全面风险回顾工作,使管理人员和一线工作人员都能够及时对风险管理进行总结,同时可以通过有效的评价机制对风险回顾的效果进行考核。
2制药生产过程的质量风险管理
2.1统计质量管理法
近年来,随着科研技术水平的不断提高,药品的研发水平也有了长足的进展。药品的大规模研发,给更多的疾病治愈带来了希望,人们享受着新型药物的治疗效果,也面临着药物质量的风险。特别是在仿制药在整个药品处方量中占比逐渐增大的情况下,药品研发过程与制药过程的质量安全性成为人们关注的焦点,各国监管部门对于药学研发、药品生产开发与药品质量管理领域的统计学要求也逐渐提高。其中一部分原因归结于药品的安全性主要是在研发环节和生产环节体现的。除此之外,仿制药的大规模开发,也在很大程度上制约着药品质量的可靠性。在劳动力资源和原料资源成本日益增高的大趋势下,药品质量问题成为制约企业发展的有效因素。企业正在积极寻求有效措施使其在药品质量得到保障的前提下,降低研发和生产成本。统计学是一种有效的数学分析工具,在传统制造业的发展过程中其应用已经证明了其优势性。在监管要求严格化及企业自身发展动因的双重因素驱动下,统计学在药品生产过程质量管理的应用方面将会有长足的发展。通过对已有的科研资料分析发现,国内药企也已经大规模、广泛性地开始使用统计学工具来实现对药品生产过程的质量管理,但是在如何高效地利用统计学工具方面还有很大的提升空间,实现统计学在药品生产过程质量管理的有效利用是今后药品质量管理的一大方向。
2.2统计学在制药过程质量管理中的应用
2.2.1统计在质量控制中的应用。统计学是有效的制药过程质量控制工具,利用统计学对药品生产过程的质量进行控制是有效控制手段,如何实现统计学在药品质量控制中的应用是主要的研究目标。每一种药物都需要准确的成分配比,才能保证其药效,避免副作用和毒性。然而药品的生产过程中难免会因生产工艺、技术水平等因素而导致药品质量稳定性失良。药品稳定性的失良被称为药品稳定性的波动。药品稳定性波动可以分为自然波动和异常波动两种,而异常波动的出现往往是基于药品的原料性质不良、人员操作不当、技术水平欠缺等原因。对药品质量的控制主要就是通过发现和分析这些因素,从而控制药品的异常波动,实现其质量的稳定性。统计工作中的控制图可以实现这一目的。控制图的核心工作就是监测并识别药品稳定性的异常波动,并通过控制图的反馈控制,有效地处理异常波动,最终实现药品稳定性的波动范围控制在自然波动范围内,实现对药品质量的有效控制。
2.2.2统计学在质量诊断中的应用。作为统计过程控制的一个重要工具,控制图最早由休哈特博士(Shewhart)在1924年首先提出,并被命名为Shewhart控制图。这是科学管理的一个重要工具,特别是质量管理方面的一个不可或缺的管理工具。图形是通过测量或计算样本与样本的数目或时间来体现质量特性。统计推断是实现Shewhart控制图的制图原理,利用统计推断实现对药品质量稳定性的诊断,其中利用的数据分析方法是方差分析。实现统计学在质量诊断方面效果的工作流程为:(1)根据研究对象确定要选用的控制图类型、控制的参数、取样间隔、取样次数和样本量;(2)进行生产研究,按照确定的取样方案进行样品取样,通过对取样样本的检验形成记录结果;(3)按照设计的规程计算中心线、控制下限和控制上限,并检查是否有任何点超出控制限,从而揭示异常波动;(4)通过对异常波动的分析,调查确定其发生来源,去除超限点,并重新计算中心线、控制下限和控制上限。如此循环,直到所有点落在控制限内,从而建立出用以对后续生产进行质量诊断的控制图。
2.2.3统计学在质量优化中的应用。利用统计学工具对药品生产过程质量进行有效的控制和诊断之后,还需要进行验收取样,从而实现对药品质量进一步控制和优化。质量源于检验,即使是对已经控制过的质量进行有效的验收取样,也能够进一步保证质量的安全性。从本质上来说,验收取样并不能从根本上保证质量,而是质量进一步优化的有效控制手段,也是预防严重质量偏离的最后防线。验收取样方法是根据取样结果和预先设定的判别标准,决定放行或拒收批次的决策理论,理论依据是概率分布。
3结语
对药品生产过程的质量管理是一项长期且艰巨的任务,也是在科技飞速发展的今天我们亟待解决的难题。本文主要是基于对药品生产过程中质量管理的流程分析,阐释统计学在药品质量管控中的应用和适用性。基于相关理论研究成果的缺乏,本文的研究可以为药品生产过程中的质量管理提供一定的理论支持。
作者:陈果果 单位:康龙化成(北京)生物技术有限公司
参考文献:
[1]国家食品药品监督管理局药品认证管理中心.药品GMP指南[M].北京:中国医药科技出版社,2011.
[2]北京市药品监督管理局药品认证管理中心.药品生产经营企业风险评估系统:中国,201010233202.2[P].2012.
(1)IT治理风险。IT治理风险的宏观体现是最高管理层对信息化理解的不确定性、以及企业领导力影响的不确定性;微观体现是缺乏制度化与标准化的约束,缺乏部门之间及流程之间协调、沟通的机制,造成IT系统与业务需求的脱离,以及IT系统和企业信息资源间的孤立。
(2)遵从性风险。指企业内部IT策略与外部法律法规的遵从(Compliance)所导致的风险。伴随信息技术的发展,国内外出台大量法律法规加强了对信息系统的监管。例如,2002年美国国会的《萨班斯—奥克斯利法案》虽然没有直接明确对信息系统的要求,但据统计,企业在实施符合法案要求的工作中,信息系统方面的工作量占比超过40%;2006年中国银监会《电子银行业务管理办法》和《电子银行安全评估指引》,也直接对技术风险较大的电子银行提出了进行独立的或相对独立的信息系统审计的要求。
(3)信息安全风险。企业信息系统不断开放和复杂,使得信息安全面临来自内外部的严峻挑战。针对企业信息系统的攻击方式简单易学、攻击对象身份隐匿,造成企业信息安全风险极易转化为现实的业务威胁,如支持员工移动办公给企业资产安全性和可用性带来的压力倍增,许多敏感机密信息被轻易泄露。
(4)可用性风险。可用性风险主要来自三个方面,一是IT平台系统自身漏洞导致的系统停机事件越发难以掌控;二是由于事件管理、变更管理、配置管理、连续性计划等IT服务管理流程缺失或不到位,导致IT系统不可用;三是来自自然的灾害威胁着IT系统的可用性。
(5)绩效风险。若IT投资行为不能带来合理的回报,如规划不当、控制不严等,将使组织面临巨大财务风险。同时,如果对IT的投资绩效和运行绩效不能进行有效测量,就不能有效地发现存在的问题,并采取针对性的改进措施。随着信息系统日益成为企业经营成功的核心,且贯穿在完整的流程过程中,企业业务和支撑业务的信息系统愈加无法分割,形成有机的整体。因此,IT风险带来的挑战不仅影响到信息系统本身,也同时会影响到业务的稳定运行及发展,更有可能影响到外部的业务客户。在应对这些IT风险时,传统的方式大多是采用事后反应式的控制措施,使得技术人员疲于应付各种层出不穷的风险,且在面对制度、流程、人员行为等方面带来的风险时,传统的控制方法存在明显不足,而降低企业IT风险的关键是需要有一个主动、科学的风险管理体系。
2企业IT风险管理及其标准指南
企业IT风险管理是围绕企业信息化战略目标,通过在信息系统的规划、开发、运行、维护、监控与评价的各个阶段中降低企业风险的科学化管理流程,包括风险管理的策略制定、风险的识别、风险的评估、风险的处置等环节,以达到企业信息化可持续发展的目标。一个科学的IT风险管理体系是一个具有前瞻性、全局性的控制机制,能综合防范和应对IT治理、法规遵从、系统可用、信息安全、IT外包、业务连续性、IT绩效等诸多方面的企业风险,并能使企业IT战略与企业综合战略相融合,以实现有效益、可持续的信息化发展。信息社会环境下,无论何种规模、什么类型的企业,都需要面临围绕信息系统制定一套管理体系和控制指南,有效地管理企业面临的各种各样的风险,并随着业务环境的变化和新技术的发展及时更新。
在此方面,国内外已经有一些较为成熟的企业IT风险管理的标准或指南。例如美国反虚假财务报告委员会(COSO)于2004年颁布的《COSO企业风险管理框架》,此框架要求企业管理者以风险组合的观点看待企业风险,对包括IT风险在内的所有风险进行识别,并采取措施使企业所承担的风险在风险容纳量(RiskAppetite)的范围内。而美国信息系统审计与控制协会的COBIT标准自1996年诞生以来已经更新到了第四版,已成为全球通用的信息系统审计标准,该标准每一次更新都在不断强化IT风险控制的目标内容,为企业信息系统安全审计提出了具体指导。此外,国际知名的信息安全标准也都提出了各自的IT风险管理控制框架,包括ITIL(Infor-mationTechnologyInfrastructureLibrary,信息技术基础架构库)、ISO27001(信息安全管理使用规则)、CMMI(CapabilityMaturityModelIntegration,能力成熟度模型集成)、Prince2(ProjectsINControlledEn-vironments,受控环境下的项目)等。
近年来,我国的信息化主管部门以及各行业也积极加强了企业风险管理。以金融业为例,2004年9月银监会了《商业银行内部控制评价试行办法》,其中包括了对银行计算机系统的IT风险控制要求;2009年银监会出台了《商业银行信息科技风险管理指引》,2011年银监会了《商业银行业务连续性监管指引》。与此同时,其他行业监管部门也已经或计划出台类似的风险管理措施。上述标准或指南为企业IT风险管理提供了原则指导和对策框架,如何将这些原则性建议与企业自身的工作实际相结合,如何将IT风险管理融入常态化的企业管理机制,仍然是企业管理实践中的难点。因此,本文以我国企业IT风险管理的先行行业———金融业的管理实践为例,详细探讨企业IT风险管理的体系结构及其关系,并就企业IT风险管理的实施提出具体建议。
3企业IT风险管理的体系框架
企业IT风险管理框架通过对企业信息安全各个层面实际需求和风险的分析,引入恰当的安全控制措施,并且同信息系统审计相结合,从而保证企业信息资产的安全性、完整性和可用性。企业IT风险管理框架可分为风险治理、风险评估和风险应对三个主要的方面,并通过风险沟通和监控等手段将三方面有效结合。该体系框架遵循PDCA(Plan、Do、Check、Act)的管理模式,能确保企业IT风险管理始终保持在可持续发展的轨道上,并通过阶段性地进行信息系统审计,以发现存在的偏离,及时调整到信息化的最终目标上来。
3.1风险治理
主要内容包括建立基于风险的信息科技决策、定义风险策略、建立风险组织和风险整合等内容。例如宣传IT风险对于决策的价值、将IT风险考虑纳入业务和IT决策、整合IT风险策略和业务风险策略等都属于风险治理的内容。
3.2风险评估
主要内容包括风险识别、风险分析和风险维护等内容。诸多国际标准都提出了信息安全风险评估的标准,如ISO27001(信息安全管理体系规范)、ISO/IECTR13335(信息技术安全管理指南)、NISTSP800-30(信息技术系统风险管理指南)等,可作为企业实施风险评估实践的参考。风险评估包括识别具体的风险管理对象、识别风险、根据模型进行评估、识别现有控制、分析剩余风险等步骤。风险维护就是对企业识别出的风险进行管理,跟踪风险处置情况,更新风险清单,可通过创建和维护风险数据库来实现。风险维护也是风险评估的重要内容,以实现对风险的持续管理和改进。
3.3风险应对
风险应对就是对已识别的风险进行评估后,制定并落实相应的措施和整体策略,使剩余风险处于可控的范围。风险应对措施包括接受风险、转移风险、避免风险和降低风险。风险应对活动包括确定风险处置方案、实施风险处置、响应和处理风险事件等。
3.险监控/沟通
风险监控/沟通是链接企业IT风险管理各要素的关键环节,是企业IT风险管理体系得以运转的重要方面,包括建立和运行风险指标体系、IT风险内部监督体系、风险报告体系以及风险沟通渠道等。风险管理需要从管理层到普通员工的共同参与,这需要将风险直观准确地展现、横向和纵向的沟通、并持续进行监控。
4企业IT风险管理的实施步骤
为了推进企业IT风险管理体系的实施,本文在总结金融企业信息系统安全风险管理的实施过程,得出企业IT风险管理可行的实施步骤,具体包括识别管理对象、风险识别、风险分析评估、风险应对、风险监控/沟通等五大关键步骤。
4.1管理对象识别
明确风险管理对象是企业实施风险管理的首要步骤,本文提出风险地图(RiskMap)的概念,即实现风险评估对象的可视化,明确识别出全部或特定领域的所有管理对象,只有保证企业风险地图的全面性和准确性,才能准确识别并标示出IT风险所在的位置,从而进行有效的管理,一个全面的IT风险管理可从如下三大维度进行风险管理对象的识别:(1)从资产的角度进行识别,即对组成信息系统的系统、设备和数据等信息资产进行全面识别和统计,具体实施细则可参照ISO27001。(2)从管理领域的角度进行识别,如变更管理、事件管理、配置管理等,具体实施细则可参照COBIT。(3)从服务的角度进行识别,具体实施细可参照ISO20000执行。
4.2风险识别
风险识别是通过科学方法了解企业所面临的IT风险,分析风险的来源、性质,并进行风险处置和风险管理。风险识别通常采用以下方法:(1)头脑风暴;(2)德尔菲方法;(3)故障树分析法,又称分解分析法;(4)业务流程分析法;(5)情景分析法;(6)专家预测法,包括个人经验法、专家会议等形式;(7)筛选、监测、诊断法;(8)资产财务状况分析法。其中,德尔菲方法是最常用的IT风险分析方法之一,具体是指采用“背对背”的沟通方式征询专家小组成员的预测意见,经过几轮征询,使专家小组的意见趋于集中,最后做出合理的预测结论,利用德尔菲法进行IT风险分析的具体流程如下。除了按照上述方法识别风险,也可直接从风险来源入手建立企业的IT风险清单,如行业公认的风险清单、监管要求、监管机构风险提示、过往事件、自我或外部风险评估结果、内部审计发现、管理层和内部员工在工作中的认识等。
4.3风险分析评估
IT风险分析评估是根据一定的评估模型,评估企业IT固有风险值、控制风险值,再根据固有风险值和控制风险值计算出剩余风险值。风险分析是IT风险管理中较难实施的一个环节,尤其是评估模型的制定,可以采用较易开展的定性方式,也可采用准确度较高的定量计算,也可以定量和定性综合使用。以下是一种较为通用的风险分析模型和流程,可以对风险进行量化评估,具体流程包括:(1)计算固有风险值。从影响程度和发生可能性两个维度进行评分,可得出固有风险分值。如下是风险评估的量化模型和公式。其中风险评分从影响程度和发生可能性两方面进行计算,并给出影响程度和发生可能性两方面的评估参数示例。(2)计算控制风险值。结合现有控制评估的结果,从设计、执行、补偿性控制三个层面,参照衡量标准,最终确认控制风险分值。(3)计算剩余风险评估。在获得每一个风险的固有风险等级和控制风险等级后,可根据矩阵获得剩余风险等级值。
4.险应对
首选需要确定管理层的风险偏好等级。风险偏好是为了实现目标,企业在承担风险的种类、大小等方面的基本态度。然后根据剩余风险评估结果及风险偏好,依据内外部需求,并结合实际情况,针对剩余风险提供恰当的控制改进建议,以将剩余风险降低到可接受的水平。风险处置措施包括接受风险、转移风险、避免风险和降低风险。在风险处置计划方面,一方面需要体现可操作性,如分为短期(半年),中期(1年),长期(2-3年),同时也需要考虑多个维度,如组织架构、人员、制度流程和技术等。
4.5IT风险监控/沟通
风险指标是有效进行风险监控和沟通的重要手段。指标是一种可量化的、被事先认可的、用来反映组织目标实现程度的重要标识,是绩效管理的有效手段。企业IT风险管理引入指标体系,可以促进整个活动的有效开展。指标的功能主要表现在以下三个方面:(1)在准备阶段,可以清楚的反映目前企业的信息安全现状,并为制定目标提供依据;(2)在实施过程中,阶段性地反映进展情况;(3)便于各层人员把握活动的进展情况:使高层领导清晰地了解关键要素的进展和改进情况;使管理者集中精力于对活动中的重要和关键要素,及时诊断活动中出现的问题并采取措施。在实践中,应针对关键的风险领域,即根据企业及领导层的风险偏好,建立可监控、可量化的IT关键风险指标。IT关键风险指标来源可包括内外部监管机构数据、自动监控平台数据、IT风险检查果、IT风险自报结果等。关键风险指标可分为风险指标(KRI)、控制指标(KCI)。以变更管理的风险管理指标,可设置紧急变更次数、变更失败比例、变更导致的事件数量等,针对每个变更管理风险管理指标,制定出相应的控制指标,如预警阀值和容忍阀值。
5结语
购物车(0)