欢迎访问发表云网!为您提供杂志订阅、期刊咨询服务!
首页 期刊杂志 科普杂志 SCI杂志 经营许可 购物车(0)
免费咨询
首页 精选范文 风险识别与风险评估的区别

风险识别与风险评估的区别大全11篇

时间:2023-07-18 16:40:01

绪论:写作既是个人情感的抒发,也是对学术真理的探索,欢迎阅读由发表云整理的11篇风险识别与风险评估的区别范文,希望它们能为您的写作提供参考和启发。

风险识别与风险评估的区别

篇(1)

一、《内部控制框架》中的风险评估

美国COSO委员会《内部控制框架》所使用的风险评估概念属于广义风险评估,《内部控制框架》将其作为内部控制的关键构成要素。

(一)设定目标

根据《内部控制框架》,风险评估首先要设定目标。设定目标是风险评估的前提条件。风险是与目标伴随的,首先必须有目标,管理层才能对实现目标的风险进行识别。根据《内部控制框架》,目标设定不属于内部控制的构成要素,但它是内部控制的前提条件,为此《内部控制框架》专门对目标设定进行了论述。目标包括企业层面的目标和业务层面的目标。管理层通过目标设定来明确业绩衡量标准,目标具体分为经营目标、财务报告目标和合规目标。经营目标是管理层基于企业所处特定经营环境所设定的业绩衡量标准;财务报告目标在于对外公布的财务报告的可靠性;合规性目标则要求企业的经营活动遵循适用的法律法规。这些目标是相互补充和相互关联的。

(二)风险识别

1.风险识别必须与目标联系,无论目标是明确的还是隐含的,企业的风险识别应当考虑到目标实现面临的各种可能出现的风险。2.风险识别是一个持续性、反复的过程。3.进行风险识别时应当关注企业各个层面的风险,包括企业层面的风险和业务层面的风险。对主体层面的风险进行识别时,既要关注外部风险,也要关注内部风险。来自外部的风险主要有技术进步引起的风险、客户需求变化风险、市场竞争风险、法律法规变动风险、自然灾害风险以及经济环境变化风险等;来自内部的风险包括信息系统故障风险、员工素质能力等方面的风险、管理层变动风险以及董事会或审计委员会不作为的风险等。对业务层面的风险进行识别时,应当将该层面的风险评估集中于主要业务流程和主要职能上,如销售、生产、营销、研究开发等。应当识别对企业有重大影响的较为明显的风险。

(三)风险分析,即狭义的风险评估

企业在对企业层面的风险和业务层面的风险识别后,则需要进行风险分析。风险分析的方法多种多样。风险分析的过程通常包括估计风险的严重性、评估风险发生的可能性、评估应采取的措施等三个步骤。应当注意的是,作为内部控制一部分的风险评估,与作为管理过程应对措施而采取的计划、方案及其他措施存在着区别

(四)建立识别环境变化的机制

风险评估本质上是一个识别变化并采取必要措施的过程。随着经济、行业和监管等外部环境的变化,企业的经营活动也将发生相应的调整,企业应当建立一套正式或非正式的程序,对可能影响企业目标实现的风险进行识别。管理层应当特别关注以下对环境影响的因素,这些因素包括已变化的经营环境、管理层人员更换及员工大规模更换、使用新的或调整后的信息系统、经营业务快速增长、采用新技术、开拓新的经营领域、进行公司重组等。企业应当建立一定的机制,对发生变化的外部环境进行识别。

二、《企业风险管理框架》中的风险评估

美国COSO委员会2004年的《企业风险管理框架》中将风险管理的要素划分为内部环境、目标设定、事项识别、风险评估、风险应对、信息与沟通和监控等八要素。根据《企业风险管理框架》,风险评估就是要对识别的风险进行分析,以形成确定如何对其进行管理的依据。这实际就是《内部控制框架》中的风险分析,属于狭义上的风险评估概念。《内部控制框架》中的风险评估实际上包括事项识别、风险评估、风险应对三项内容,而目标设定则作为内部控制的前提条件,不属于内部控制要素的范围。

风险总是与特定目标的实现相联系。如不出国旅游,则不会涉及到飞机失事的风险。根据《企业风险管理框架》,实施风险管理首先就涉及到设定目标。目标设定是事项识别、风险评估和风险应对的前提。《企业风险管理框架》正是出于风险管理的需要将目标设定作为风险管理的构成要素之一。《企业风险管理框架》中的目标包括战略目标和相关目标,战略目标是最高层次的目标,而相关目标则是建立在战略目标基础上的企业层面等的目标,企业层面的目标与更为具体的目标相关联,贯穿于整个企业,并具体为各项业务和各项职能的次级目标。《企业风险管理框架》要求设定的目标应当是可计量的,并要求企业各个层次人员根据各自所影响的范围了解企业设定的目标。设定的目标分为经营目标、报告目标、合规目标等三项。作为风险管理的一部分,企业在选择目标时要确保其目标与企业的风险容量相协调。风险容量是企业管理当局在董事会的监督下确定的,反映着企业的风险管理理念,并影响企业的文化和经营风格,是制定战略目标的风向标。战略目标应当选择与其风险容量一致的目标,并使风险反映于战略目标之中。

《企业风险管理框架》中的事项识别要求管理当局对源于内部或外部的影响战略实施或目标实现的事故或事件进行识别,对企业目标实现将带来负面影响的确定为风险,并对其进行评估和应对;将存在正面影响的确定为机会,将其反馈到战略或目标的制定过程之中。在对事项进行识别时,必须考虑企业整体范围内可能带来风险和机会的所有内部和外部因素。外部因素需要考虑的通常包括经济因素、自然环境因素、政治因素、社会因素、技术因素等;而内部因素需要考虑的通常包括人员、流程、技术等因素。

《企业风险管理框架》中的风险评估(即风险分析)要求进行风险评估时,既要考虑预期事项也要考虑非预期事项,对可能对企业存在重大影响的非预期的潜在事项和预期事项的风险进行评估;既要考虑固有风险,也要考虑剩余风险。固有风险是指管理当局未采取任何措施的情况下企业所面临的风险;而剩余风险则是在管理当局进行风险应对之后所残余的风险。确定相应的风险应对后,则集中考虑剩余风险的管理。

《企业风险管理框架》中的风险应对要求企业管理当局评估风险的可能性和影响,并在成本效益比较的基础上,选择能够使剩余风险处于期望的风险容限范围之内的应对策略。风险应对策略包括风险回避、风险降低、风险分担和风险承受。管理当局应当在企业范围内识别风险并确定企业总体剩余风险处于企业风险容量之内。

三、我国《企业内部控制基本规范》中的风险评估

我国《企业内部控制基本规范》中的风险评估使用的是广义上的风险评估概念,包括目标设定、风险识别、风险分析和风险应对。《基本规范》要求企业应当根据设定的控制目标,全面、系统、持续地收集相关信息,结合实际情况,及时进行风险评估。根据《基本规范》。风险评估的具体过程包括:

(一)控制目标的设定

设定控制目标是进行内部控制,特别是风险评估的前提。企业应当根据自身的实际情况,按照本身的发展规划合理确定战略目标。设定的目标应当尽可能量化,并细化为各业务活动和各职能部门的具体目标。内部控制目标的设定要切实可行,与内部控制发展的不同阶段相适应,设定不同要求的内部控制目标,并随着内部控制的发展,逐步提升内部控制目标。

(二)风险识别

《基本规范》要求企业进行风险评估时,应当准确识别与实现控制目标相关的内部风险和外部风险,确定相应的风险承受度。风险承受度即风险容量,是企业能够承担的风险限度,包括整体风险承受能力和业务层面的可接受风险水平。

企业在识别内部风险时,应当关注和考虑的因素包括:1.董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素;2.组织机构、经营方式、资产管理、业务流程等管理因素;3.研究开发、技术投入、信息技术运用等自主创新因素;4.财务状况、经营成果、现金流量等财务因素;5.营运安全、员工健康、环境保护等安全环保因素;6.其他有关内部风险因素。上述因素的现状往往是风险存在的基础,上述因素的变动则往往会诱发新风险的产生。

企业识别外部风险,应当关注和考虑的因素包括:1.经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素;2.法律法规、监管要求等法律因素;3.安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素;4.技术进步、工艺改进等科学技术因素;5.自然灾害、环境状况等自然环境因素;6.其他有关外部风险因素。上述因素实际上是企业经营活动所处的外部环境,外部环境的变动必然会影响到企业的经营活动,有可能给企业带来新的风险,如一项新的技术被其他同行所采用,有可能导致企业所占有的市场份额发生变化而带来风险。再如政府颁布实施较过去更为严格的监管法律,由此可能导致本企业传统加工方法无法继续使用,从而导致风险的产生。

(三)风险分析

《基本规范》要求企业采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。鉴于风险分析的专业性和复杂性,要求企业进行风险分析时充分吸收专业人员,组成风险分析团队,按照严格规范的程序开展工作,确保风险分析结果的准确性。风险分析的目的在于为企业风险应对提供依据。由于企业董事、经理和其他高级管理人员在企业经营活动中的特殊地位,其个人风险偏好对经营活动等具有重大影响,企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好,并予以特别关注,避免因个人风险偏好给企业经营带来重大损失。

篇(2)

一、风险管理审计

(一)风险管理概述

风险管理是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理的目的是为了将风险控制在可接受的范围内(风险的可接受范围取决于组织对风险的态度)。

风险管理分为以下几个阶段:1、风险规划阶段。项目风险管理计划或策略确定控制目标:可以接受水平。2、风险识别阶段。主要确定风险来自何方?有哪几类风险?(我国国资委将国有企业风险分为以下几类:战略风险、财务风险、市场风险、运营风险以及法律风险。)3、风险估计阶段。确定事件后果有多大?发生的可能性有多大?4、风险评价阶段。确定风险的严重顺序;确定项目整体风险水平。5、风险应对阶段。设计控制风险的措施策略。6、风险控制阶段。检查控制措施是否充分有效?自我评估和内部审计。

(二)风险管理审计概念及目的

风险管理审计是内部审计以风险为考虑核心,采用系统

化、规范化的方法,通过对企业全面风险管理活动进行监督和评价,提出改进意见,来改善企业风险管理、增进企业价值的一种审计。

通过内部审计机构和人员对企业风险管理过程的了解,审查并评价其适当性和有效性,提出改进建议,促进企业目标的实现。

(三)内容

企业建立内部风险管理部门,内部审计人员实施必要的审计程序,对风险评估过程进行审查与评价,并重点关注风险发生的可能性和风险对组织目标的实现产生影响的严重程度两个要素。同时,内部审计人员应当充分了解风险评估的方法,并对管理层所采用的风险评估方法的适当性和有效性进行审查。审计人员应当实施必要的审计程序,对风险识别过程进行审查与评价,重点关注被审计单位面临的内、外部风险是否已得到充分、适当的确认。

最终对内部风险管理组织的健全性、风险管理程序的合理性以及风险预警系统的存在及有效性进行审查评价,最终出具风险管理审计报告。

二、风险导向审计

(一)概念及特征

风险导向审计立足于对审计风险进行系统的分析和评价,并以此作为出发点,制定审计战略,制定与企业状况相适应的多样化审计计划,以达到审计工作的效率性和效果性。审计期望差距的存在和审计目标的改变是风险基础审计产生的社会因素。审计组织的经济压力是风险基础审计产生的经济原因。制度基础审计的内在缺陷及解决方法是风险基础审计产生的技术原因

(二)内容

首先,通过对被审计单位控制环境的评价,鉴别其财务报表重要组成项目的各项认定,考虑财务报表重大错误表述的风险。其次,建立审计目标。审计目标以风险评价为基础,通过风险评估分析,制订审计计划,确定如何收集、收集多少和收集何种性质的证据的决策,为更有效地控制和提高审计效果及审计效率,提供了一个完整的结构。再次,根据审计目标确定拟实施的审计程序的性质、时间及范围。最终将审计风险控制在可以接受的范围内,并以此出具审计报告。

理论基础:经营风险驱动审计风险。简单地说,就是任

何影响客户实现其经营目标的潜在风险,都是审计风险的来源。企业的经营风险来自两个层面:战略风险和运营风险。基本逻辑是:财务报表是否存在重大错报与经营活动的顺利与否相关;经营活动的顺利与否与企业的经营战略目标是否正确相关;企业经营战略的风险会逐步转化为财务报表的重大错报风险;重大错报风险是审计风险的直接来源。

三、两者区别与内在联系

(一)区别

产生背景及性质不同:风险导向审计是由于审计期望差距而产生的,同时也是对账项导向审计、制度导向审计的改进,是审计模式的创新发展,同时也是一种新型的审计模式。风险管理审计是为了满足企业加强自身内部风险管理的需要及内部审计自身发展的需要而产生的,是一种全新的审计业务类型。

审计目的不同:风险导向审计是通过评估审计风险,合理分配审计资源,并设计一系列高效率低成本的审计程序,并最终将审计风险降低至可接受水平,从而出具审计报告。风险管理审计则是为了审查和评价企业风险管理的适当性和有效性,并最终服务于内部审计,降低企业经营管理风险,提高企业内部控制水平。

“风险”含义及审计主体不同:风险导向审计中的“风险”指的是审计风险,包括重大错报风险和检查风险,其审计主体是审计机构和审计人员。风险管理审计中的“风险”主要指的是经营风险,主体是企业及管理人员,包括风险识别、评估及应对三个阶段。

审计思路不同:风险导向审计首先评估企业经营风险,从而确定重大错报风险,从而计算出可接受的检查风险水平。风险管理审计主要审查评价企业风险识别是否充分,风险评估是否恰当,所采取的风险应对措施是否合理有效。

篇(3)

关键词:风险 共振 集合

风险评估概述

(一)风险概述

风险的定义。一些学者把风险定义为损害发生的可能性。与上述意见不同,另外一些经济学家把风险定义为损失发生的不确定性,还有一种意见,把风险定义为预期与实际结果的偏离。在本文中,将风险定义为对企业的生存、发展造成损害的可能性,对其控制不当的结果是预期与实际结果的偏离。

风险的分类。风险按其来源分类,可以分为来自企业内部的风险和来自企业外部的风险,简称为内部风险和外部风险。内部与外部的划分,是以企业为界限的。

内部风险。内部风险是指来源于企业系统内部的会对企业的生存、发展造成损害的可能性,如果对内部风险控制不当,会造成企业运行结果与预期目标的偏离。

外部风险。外部风险是指来源于企业系统之外的宏观市场环境中会对企业的生存、发展造成损害的可能性,即宏观环境风险。虽然这些风险发生于企业系统之外,但仍然会对企业产生影响,如果没有及时地发现和应对这些风险,仍然会造成企业目标的偏离。

(二)风险评估

风险评估是对影响企业目标实现的现有的和潜在的风险进行识别和度量并进行评价的过程。广义的风险评估涵盖风险管理的各个要素,而狭义的风险评估仅指对风险的识别和度量。本文所指的风险评估是指狭义的风险评估,即仅包括风险识别、风险衡量和风险评价,重点关注导致风险发生的潜在风险因素、风险发生的可能性大小和风险发生后对企业的影响程度。

基于共振理论的风险评估方法的提出

(一)共振理论的启示

共振理论概述。共振理论是指两个或两个以上的物体具有相同的振动频率,一个物体振动会引起另一个物体的振动,并且在共振情况下的振幅要比单个物体自己振动的振幅要大。由此可见,共振发生的条件是频率相同。共振具有传递性,一个本来静止的物体,可以由另一个物体的振动引起自己的振动。而共振的结果很重要,它的振幅要比单个物体自己振动的振幅要大,具有更强的破坏性。

用共振理论解释企业风险的爆发。本文把企业内、外部的各种风险都进行细分为单个的风险因素,对于各风险因素来讲,其频率就是导致风险因素爆发的根本原因,那么包含了所有内部风险因素频率的集合将其定义为内部风险频率集。同理,将包含了所有宏观环境风险因素的频率的集合称为宏观环境风险频率集。再对这两个集合求交集,即得出风险频率交集,在这个集合中的频率就是将会发生共振的频率。

基于共振理论的定义,在这个交集中的频率是内、外部风险共有振动频率,满足共振的基本条件。而共振具有传递性,本来在企业中处于静止状态的内部风险因素,可能由于宏观环境中风险的振动而随之振动起来,使企业的风险加剧。特别值得关注的是,内、外部风险因素共振造成的破坏力要远大于其单个振动时的破坏力,所以具有这样频率的风险因素是需要重点关注的。

这就可以解释为什么市场环境不好时,失败的企业数量大幅上升,就是因为宏观环境风险频率集变大,与内部风险频率集发生共振的机会就大,而共振产生的破坏力强,一旦超过了企业的承受能力,企业便会走向失败。通过这一理论也可以解释企业的成败是内外部共同作用的结果,如果内部控制系统完美,宏观环境风险没有作用的切入点,那么再坏的环境也不会影响企业。但是,企业没有静止的,只要运动就会伴随着风险。为了更好地应对风险,就要求企业做好风险评估工作。

(二)基于共振理论的风险评估方法概述

1.现有的风险评估方法的缺陷,表现为:

没有系统的评估方法。目前,风险评估的方法虽然多种多样,但其着眼点仅是风险评估中的某一个具体环节,并没有形成完整、系统的评估体系,各个环节各自为战严重地削弱了评估方法的系统性。

忽视外部因素的影响。现在的评估方法,几乎将全部评估重点都放在企业内部因素上,即使有涉及到外部环境因素的,也只是赋予少部分的权重,没有考虑内外因的相互关系。外因是通过内因起作用的,所以不仅要考虑到外部环境因素的作用,也要研究它和内部因素的相互作用关系。

2.基于共振理论的风险评估方法。针对现有风险评估方法的不足之处,本文提出基于共振理论的风险评估方法,力求形成一套贯穿风险识别、风险衡量和风险评价的完整的风险评估体系,并在重视内部因素的同时,考虑外部环境因素的影响。通过分析外部环境因素与内部因素的相互作用关系,对内部风险因素进行修正。通过共振矩阵系统的反映风险评估的各个环节。在重视内部风险的同时,通过共振系数和相关系数显示出环境对于企业的影响作用,力求使评估结果更加准确和切合实际。

基于共振理论的评估方法的具体操作

(一)识别内、外部风险

企业内部风险及其识别。企业内部风险是指来自于企业内部的,由于经营不善或者管理疏漏而形成的风险。它是企业风险的直接来源。企业内部风险由于产生于企业内部,所以企业具有主动权,能够对这类风险施加控制和影响。主要包括营运风险、组织风险、财务风险、人事风险、信息系统风险等。

企业可以以现有的风险清单为基础,从中找出企业中存在的风险因素,但这只有标准化的风险因素。而每个企业都有自己特定的内部环境,许多特有风险因素没有出现在风险清单里。针对这些特有风险,可以运用控制自我评估的方法将其识别出来,以使企业的风险识别工作更加全面。

宏观环境风险及其识别。企业宏观环境,是指那些会给企业带来市场机会或环境威胁的主要社会力量,直接或间接地影响企业的管理。主要包括政治和法律环境、经济环境、科技环境、社会文化环境及自然环境等。宏观环境风险就是在这些环境中存在的对企业构成威协的风险。

在对宏观环境风险进行识别时,可以借鉴战略管理中的PETS分析法并结合企业实际按照政治和法律环境风险、经济环境风险、科技环境风险、社会文化环境风险和其他环境风险进行识别。

(二)构建共振矩阵

首先将整个风险系统分为内部风险系统和宏观环境风险系统,将内部风险系统再向下细分为若干个风险子系统,如营运风险子系统、信息风险子系统、销售风险子系统等。进一步把风险子系统再细分为具体的内部风险因素,记作Ii(i=1,2,3…)。同理,让宏观环境风险系统细分为若干个风险子系统,如政治环境风险子系统、经济环境风险子系统、科技环境风险子系统等,再将各风险子系统中的宏观环境风险因素识别出来,记作Oj(j=1,2,3…)。在此基础之上,构建共振矩阵(如图1)。

共振矩阵是用于列示企业的所有内、外部风险因素的矩阵,其横坐标为内部风险因素,纵坐标为宏观环境风险因素。这样矩阵中各交叉点显示的都是内外部风险的相互作用系数,即后述的共振系数和相关系数。风险矩阵的最大优点在于可以把任何一对内外部风险因素结合起来,评估其相互作用关系,也就是将内外部风险统筹考虑。

(三)进行风险衡量

衡量风险因素的变异程度。本文使用变异程度测定的方法,用变异系数衡量指标的偏离程度。值得注意的是,有一些风险因素是指标形式的,便于量化考核。但有一些指标是定性的,难于量化,这时可以使用专家打分的方法,将这些风险因素量化。变异系数的计算公式为:

其中,V是风险因素的变异系数,用于衡量风险因素与预期指标的偏离程度;S是该风险因素的标准差;X是期望值,在这里可以使用企业的理想指标作为期望,这样计算出的变异系数即是实际与预期的偏离程度,也是风险爆发后的结果。

计算共振系数。如前文所述,那些具有出现在风险频率交集中的频率的风险因素是重点要关注的风险因素。由于共振的破坏力远大于单个风险因素振动时造成的影响,所以那些内外部共振的风险因素的变异系数要以乘数倍增加,这个乘数称之为“共振系数”,记作Gij。但是,在物理学上尚没有计算共振产生的振幅的计算方法,通常都是通过测量得出。之于风险评估工作来说就要依据行业和企业历史数据,利用风险评估人员的经验和个人素质进行评估,估算出一个共振系数,但可以肯定的是共振系数一定大于1。

计算相关系数。相关系数是用于说明两个风险因素间相互作用关系的系数,它的取值范围为[-1,1]。取值为正说明内外部风险正相关,即宏观环境对内部风险因素有放大作用;反之,取值为负,说明内外部风险负相关,即宏观环境对内部风险因素有抵销作用。

(四)风险评价

在进行风险评价环节,首先将所权重分配给各风险子系统,即Wi使之和为1,再在各风险子系统内进行分配权重,分配至各风险因素,即wi,风险子系统内的权重之和也为1,并在风险矩阵中注明。之后,将在风险衡量环节得出的变异系数Vi填入风险矩阵,wi与Vi的乘积即为没有进行修正时的评价结果。但这是不准确的,接下来对这一结果进行修正。所有的相关系数有正有负,其取值范围为[-1,1]。若计算出的相关系数为负数,即表明宏观环境对内部风险因素有弥补作用,则用变异系数Vi乘上(1+相关系数);反之,如果相关系数为正且不为1时,说明宏观环境对内部风险因素有扩大作用,也用变异系数Vi乘以(1+变异系数);而当相关系数为1时,即产生了共振效应,为了与之区别,用共振系数Gij表示。而Gij的取值大于2,其具体数值由评估人员估计产生。由此,可以推出Vi'=[∑(1+Rij)+∑Gij]Vi。最后,得到最终评价结果∑wiVi'。这个结果数值越大,说明与预期偏离越远,说明企业的风险越大;反之,数值越小,说明越与预期值相符,企业面临的风险越小。

参考文献:

1.刘钧.风险管理概论.清华大学出版社,2008

2.James Roth,Ph.D. 郑桓圭译.最佳内部控制评估实务―自我评估与风险评估.中国内部审计协会,1999

3.徐二明.企业战略管理.中国经济出版社,2006

篇(4)

(一)企业全面风险管理框架的要素

2004年,美国反对虚假财务报告委员会的赞助委员会COSO了全面风险管理框架。它包括八个要素,分别是内部环境、目标设定、事件识别、风险评估、风险应对、控制活动、信息与沟通、监控。1.内部环境。企业内部环境是企业风险管理的基础,为企业风险管理中其他组成部分的运行提供了平台。一般包括治理结构、机构设置、人力资源政策、企业文化等。2.目标设定。企业目标的制定是企业风险管理的起点,是其他步骤的驱动力量。只有首先确立了目标,管理层才能针对目标确定企业的风险并采取必要的措施来评估管理风险。企业的目标可以分为两个基本层次,一是战略目标,二是具体目标。3.事件识别。在这一阶段,企业的管理层应当考虑可能影响事项发生的企业各种内外部因素。其内部因素主要包括人员、组织机构、经营方式、环境保护、营运安全等;外部因素主要包括经济形势、产业政策、融资环境、法律法规、技术进步、自然灾害等。4.风险评估。企业应当采用定性和定量相结合的方法,按照风险发生的可能性及其影响程度等,对风险进行评估。5.风险应对。企业应当根据风险评估的结果,综合运用风险规避、风险降低、风险分担和风险承受等风险应对措施,对风险进行有效控制。6.控制活动。控制活动是指企业采取相应的控制措施,将风险控制在可承受的范围之内以确保风险应对得以实施的一系列的活动。7.信息与沟通。企业应当建立信息与沟通机制,确保信息在企业内部、企业与外部之间进行有效沟通。有效的沟通包括上行沟通、下行沟通、横向沟通、斜向沟通。8.监控。企业应对风险管理进行实时、全面的监控,以便及时发现问题并采取措施解决。监控的方式一般有两种:持续监控和个别评估。

(二)ERM视角下餐饮企业财务风险管理框架

餐饮企业应当在营造良好的内部环境、确定增加企业市场份额、超过关键竞争对手、扩大市场声誉、引导餐饮文化等战略目标和生产、营销等具体目标的基础上,结合本企业的实际情况,全面系统持续地收集相关信息,及时识别餐饮企业所面临的财务风险。识别财务风险的主要方法有财务报表分析法、单变量分析法、多元线性判别分析法等。餐饮企业还应当针对识别的财务风险,按照财务风险发生的可能性及其影响程度,采用专家打分法、层次分析法、沃尔评分法、风险价值法等定性与定量相结合的方法对其进行财务风险评估。然后餐饮企业根据风险评估的结果,综合运用风险规避、风险降低、风险分担和风险承受等风险应对措施,实现对企业财务风险的有效控制。餐饮企业根据财务风险评估的结果,从人员责任、作业流程等方面采取相应的控制活动,将财务风险控制在餐饮企业可承受的限度之内。在上述工作的基础上,餐饮企业还应当建立信息与沟通制度,定期召开会议加强企业内部各部门、各员工之间的沟通交流,这样既能提高企业的运营效率,又能及时发现餐饮企业在生产经营各环节可能出现的财务风险。同时,餐饮企业还应对生产经营过程中可能会发生财务风险的地方进行实时有效的监控,如果一旦发现出现财务风险的势头,应当及时采取措施遏制财务风险的发生。ERM(全面风险管理)与传统的风险管理模式有本质上的区别,ERM(全面风险管理)是对传统风险管理模式的继承与发展,是企业风险管理理论与实务的一次重大变革。在餐饮企业中可以将ERM(全面风险管理)应用到企业的财务风险管理中去,不断提升餐饮企业财务风险管理的能力,确保餐饮企业持续健康发展。

作者:谭霞 单位:山东商业职业技术学院

篇(5)

风险评估是从风险管理的角度,分析被评估对象所面临的威胁、存在的弱点,评估安全事件一旦发生可能造成的危害程度和影响。风险管理者可以在风险评估的基础上合理地制定、恰当地选择风险管理手段和风险管理方案。

风险评估的主要内容有:识别组织面临的各种风险;评估风险概率和可能带来的负面影响;设置风险等级与确定风险等级评判标准;控制与管理风险。具体到国库会计风险评估,就是对国库会计风险进行识别、分析和处置。主要包括以下三个方面:

(一)风险识别。指结合国库会计工作的实际情况和特点,充分考虑内部和外部因素,依据国库会计业务流程,正确识别并界定风险点。

(二)风险估定。指针对国库会计风险点,通过日常管理和现场检查等方式整理评估资料,进行分析、甄别,判定风险的严重程度。

(三)风险管理。根据风险分析情况,针对风险点研究解决方案、控制方式以及防范化解措施,最后形成风险评估报告。

二、国库会计风险评估指标的设置

(一)国库会计风险评估指标的设置原则

1、客观性原则。构建国库会计风险评估体系,应当以真实、完整的评估资料为依据,从实际出发,实事求是、客观公正,如实反映评估对象的风险管理和控制情况,尽可能减少或避免主观判断。

2、全面性原则。评估范围应覆盖国库会计业务处理的全过程,反映国库会计风险的方方面面,包括国库会计处理涉及的所有系统、部门、岗位与操作环节。在此基础上,综合有关信息对国库会计当前的风险状况或潜在的风险隐患进行较为全面的分析评价。

3、科学性原则。风险评估体系的设计应充分考虑国库业务的现实状况,遵照定性分析与定量分析相结合的原则,既要全面又要突出重点,使国库资金风险评估体系的资料收集、筛选、分析具有针对性,工作高效快捷,评价结论准确。

4、可操作性原则。风险评估指标的设计应简单可行,指标数目适中,易于获取,既真实、全面反映国库会计面临的资金风险,又能抓住国库会计风险的关键环节。

(二)国库会计风险评估指标

根据国库会计风险表现形态,建立国库会计风险评价指标体系结构如下图:

三、国库会计风险评估过程

风险评估的基本思路:以现场检查和日常管理活动收集、整理的评估资料为基础,对国库会计工作中存在的风险进行识别,根据风险揭示因素的数量、性质及其危害,对各类问题进行逐一分析、甄别后“嵌入”上述风险评估指标框架,评估确定每家国库的风险类别和风险等级。根据评估结果提出风险管理对策,形成风险评估报告供领导决策参考,有针对性地加强国库管理。

(一)国库会计风险识别

国库会计风险评估的首要阶段,是对各类国库会计风险进行识别。本文把国库会计处理过程中可能存在的风险按其表现形式分为以下几种类型:

1、道德风险。道德风险是指由于国库会计人员违背会计职业道德规范或未能达到应有的职业素养,引发业务运转失常或管理行为紊乱,导致会计工作责任事故或资金损失的可能性。例如,国库工作人员的人生观、价值观、道德观发生偏差,在国库业务处理中人为导致国库资金遭受损失。

2、制度风险。制度风险是指国库制度存有缺陷导致国库资金损失的可能性。这种缺陷表现为:现有制度及规定不能涵盖国库各类业务,制度规定滞后于业务发展、时效性不够,或者不同时间、不同部门颁布的制度规定之间存有矛盾。例如,《商业银行、信用社国库业务管理办法》为2001年颁布实施,对国库集中支付、横向联网等国库创新业务没有进行有效规范。

3、管理风险。管理风险是指由于管理不到位、管理失当,导致国库会计处理违规或资金损失的可能性。主要表现在管理人员对业务不熟悉而难于管理,因风险意识不强而疏于管理,或者管理手段不到位、监督力度不够等。

4、操作风险。操作风险是指因会计业务操作人员的业务素质差异、过失等原因,导致会计业务操作不合规、发生资金损失的可能性。例如,个别人员缺乏风险防范意识,未执行或未严格执行制度规定,或者缺乏会计、财税知识,对基本的国库会计操作原则掌握不够,对新业务的了解不透彻、操作不熟练,引发资金风险。

5、信息系统风险。信息系统风险是指因网络和信息系统技术运用不合理、运行与维护不到位、失效等原因,导致业务运行受到不利影响的可能性。近年来,为适应国库服务范围逐渐拓宽、国库业务量快速增长的需要,各地结合当地实际,相继开发推广了税库银横向联网系统、财政集中支付系统等,由于对系统安全性认识不足,普遍存在“重使用,轻管理”的问题,如系统功能拓展不够、安全运营维护不到位,影响国库资金安全。

6、其他风险。如自然灾害等不可抗力造成国库资金损失的可能性。

(二)国库会计风险分析与评价

在进行风险识别后,应进行风险分析与评价。首先赋予道德风险等六类风险基础分值,对风险形成的各项因素逐项打分,然后根据风险发生可能性、频率及造成的后果赋予每类风险合理的权重,采用加权平均法计算评估对象的最终得分。以管理风险为例,假设赋予管理风险100分,每个风险点的扣分标准见表1。

篇(6)

1.1定性分析方法

这是评估方法具有的一个明显特点就是它的主观性较强,在风险评估人员主观上对资产风险因素所面临的威胁以及漏洞等作出评估判断的过程。它的结构构成包括故障树分析法、事件树分析法以及原因———后果法等。(1)故障树分析法。这种分析方法的适用于对风险事件的发生源之间关系以及它的深层次原因进行探究的,它的主要目的是在发现信息故障后对信息安全所进行的定性分析。从它的运行原理来看,它是把信息系统中发生的结果来作为首要解决的问题,分析总结出不愿发生事件的形成因素,从而确定出各个因素之间的逻辑关系。(2)事件树分析方法。这种方法是在原有的信息系统风险基础上,来对这些信息安全风险事件发生可能产生的风险结果进行详细的分析探究,它的分析工作开展的一个显著特点就是需要对序列组中可能发生的危险事故的结果进行合理的列举,需要注意的是这并代表是最后的结果,只是其中的一个环节,但是它的缺点就是不适于进行大范围的普适。(3)原因———后果分析方法。这种分析方法从运行原理的实质上来看,它是对前两种分析方法的一种融合,它是前两种分析方法所具有显著特点的结合,但是,这种方法也有应用的缺点,就是它在大型的、复杂的信息系统中应用并起不到应有的效果。

1.2定量分析方法

这种分析方法是对定性方法的一种改进,削弱了定性方法的主观性,但是在一些大型复杂的信息系统中,就很可能造成一些定量数据难以获得,需要浪费较多的时间成本,基于此,它的应用最为广泛的是定量的故障树分析法和风险评审技术两种。

1.3定性分析和定量分析相结合的方法

这种两相结合的方法在现代应用领域中是最为常见的,也是最适合的形式,这两种方法相结合的主要目的是为了有效的弥补定性分析法和定量分析法之间的缺陷,因此,它的综合性就会相对强一些。这种分析模式,适用范围最为广泛的并且最为主流的是层次分析法。

2在业务流程基础上的信息安全风险评估方法

2.1信息资产的辨别

信息安全风险评估主要是针对于信息和信息处理设备所受到的威胁、影响以及威胁事件发生后所带来的损失而进行的评估预测,那么所进行评估的内容主要涉及到四个要素,即资产、威胁、漏洞以及原有的安全措施。对于这四个要素之间的关系论述,它们是属于相互关系、相互作用的因素,各自对系统风险的影响各不相同,共同构成复杂的风险评估系统工程。我们在实际的风险评估工作中,主要是对已经存在的风险提出一系列有效的安全防范措施,并依据风险措施实行采取合理的控制措施,从而使风险控制到最合理的范围内,那么这么讲就可以把它的具体实施流程划分为两大部分,即对风险的分析和对风险的控制。

2.2业务流程的风险模型分析

在业务开展的基本流程中,对于位置变动资产的识别可以在它的开始阶段就进行,这是对位置变动来说的,而对于位置固定的资产识别,就需要对每一个具体业务的节点进行逐一开展。对于位置固定资产的识别来说,因为其自身需要有大量的人工操作,因此它的风险一般是集中于业务节点环节上,并且各个节点上的风险类别、发生方式、起源以及造成的后果影响都是不相同的。此外,由于这些风险的产生是因为位置固定资产而引起的,因此,在业务流程的过程中一般只需要对位置固定资产的风险采取相应的控制措施就可以了,这样也就确保了位置别动不会对资产的保密性、完整性以及可用性造成威胁。

篇(7)

我国内部控制基本规范中虽然还是提五要素,但在第三章“风险评估”中也借鉴了COSO的表述,包含了目标设定、事项识别、风险评估和风险应对四个方面的内容。关于风险识别,在第二十二条和第二十三条列示了企业内外部各种风险因素。

按照COSO的定义,事项是源于内部或外部的影响战略实施或目标实现的事故或事件。事项可能带来正面或负面的影响,或者两者兼而有之。在事项识别有过程中,管理层认识到不确定性的存在,但是并不知道一个事项是否会发生,或什么时候发生,或者它所带来的确切影响。事项有的很明显,有的很隐晦;所产生的影响有的微不足道,有的十分重大。

笔者认为在企业风险管理构成要素中,事项识别是需要管理层重视的一个问题,也是风险管理工作中一个不好掌握的环节,它是风险评估的起点,与目标紧密相连。在实务工作中,这个要素怎样识别,由谁来确认事项,运用什么工作方法,怎么区别对待机会和威胁并启动不同的风险响应机制,是一个难题。事项、发生的可能性及对其的评估,“在实践中很困难,因为通常很难知道到底应该把底线画在哪儿。”管理层重视事项识别这个环节,并在实际工作中明确岗位职责,建立有效的工作机制,才能做到寓风险管理持续地流动于主体之内的要求。

二、事项识别的主体

事项识别的主体是管理层。企业风险管理要求企业的每个员工都要对风险管理负有一定的责任,首席执行官负有首要和最终的责任,其他管理人员在各自的职责范围内依据风险容限去管理风险。风险官、财务官、内部审计师等通常负有关键的支持责任。企业其他人员按指引和规程去实施风险管理。在企业实际工作中,问题有三个,其一,不同的管理层自上而下认识和努力程度是否一致;其二,不同岗位的人员素质及能力水平是否符合要求;其三,缺乏专责机构,事项识别职责不明。

首席执行官(CEO)负责建立企业风险管理的所有构成要素。CEO要领导和指引其他高级管理人员共同做好事项识别工作,要培养管理团队有共同的风险管理价值观、原则,要使风险管理理念和文化在企业广泛、深入地普及。只有上下认识一致,共同努力,风险识别工作才能做好。

管理层的特定岗位的胜任能力水平是事项识别的重要制约因素。管理人员需要一定的知识与技能才能做好这项工作,人在认知风险事项时是有局限性的,尤其是复杂的经济和社会现象,人们往往认识不清,比如前两年源于美国次贷危机引发的全球金融危机,一开始,很少人认识到它的危害性、影响深度及广度。事项识别需要管理层敏锐的视角,勇于负责的态度,丰富的经验和明确对等的权责分配及监督。

事项识别必须在管理层特定机构和特定岗位明确职责。责任到人,才不会导致由提倡“人人有责”变成“人人无责”,管理层要通过逐级授权,让不同的管理者分担与其分部、业务单元、子公司对应的风险管理责任。事项范围需要按一定的方法进行归类,事项识别漏项要有处罚制度,保证管理层内部权责明确,赏罚分明。

我国企业可以结合自身实际情况,建立以总裁或CEO为首的风险管理委员会,下设具有跨部门、跨单元风险管理职责的专职或兼职的风险管理办公室,各部门、子公司、各单元的负责人为各自单位的风险管理责任人,在各部门、子公司、业务单元设专职风险管理岗位,内部审计部门对风险管理工作进行再监督,这样一种风险管理主体架构。

三、事项识别的工作机制

企业要建立一定的工作机制来保证事项识别工作得到贯彻落实。除了CEO负有全面责任外,风险官、财务官、内审部门负有相对于其他管理层人员更重的事项识别职责,企业风险管理部门、财务部门、法律部门相对于其他部门有更多的风险管理责任,应明确其岗位职责。CEO要定期地约谈、督促相关岗位和部门的管理人员协助其做好这方面的工作。对于事项识别,管理层应建立报告制度,不同层级发现的事项,要按照一定的标准上报,企业要事先规定不同情形的事项如何处置。风险官、财务官、内审部门、风险管理专门机构,要有事项识别具体工作要求,对事项识别的周期、范围、时机、深度和广度做出规定,定期报告,对于特定的事项范围,明确由哪个管理角色来承担。要建立基层员工反映不寻常事项的顺畅渠道,鼓励和引导全体员工积极参与风险管理工作,建立奖励制度。运用科学的方法和有效的工作组织,事项识别工作才能做好。

四、事项识别的难点

不同事项影响企业生存和发展的环境,使企业面临的机会与风险发生变化。事项识别的难点在于事项的广泛性,相关性,相互依赖性,不确定性和可识别性。

所谓广泛性是说事项众多,纷繁复杂。既包括外部因素,如经济、环境、政治、社会、技术因素等,也包括来源于企业内部的各种因素。即使在经济因素里面,事项也数不胜数,如国际金融危机、国家产业政策调整、资金成本变化、行业竞争性准入的变化等等,从企业内部因素看,如人员方面,安全事故、合同到期、薪酬政策等,将可能影响企业人力资源的获得,给企业带来停工损失或使企业形象受损。

相关性是指事项与目标之间的是否有因果对应关系,人们通过界定这些事项,能够提高人们发现风险与机会的能力。事项识别必须围绕着目标的实现来确定的,只有影响战略实施或目标实现的内外部事故和事件才属于事项的范围。

相互依赖性是指事项通常不是孤立地发生的,一个事项可能引发另一个事项,事项也可能会同时发生。如一项资本性开支(固定资产更新改造)因为缩减性财务政策而推迟实施,可能导致停工或延期交货。有时,事项之间的关联性也要进行分析研究才能得出。当事项之间存在相互关联,或者事项结合或相互影响产生显著不同的可能性或影响时,管理层就要把它们放在一起来评估。

不确定性是指事项是否如期发生,企业风险管理的实质就是平衡企业在创造价值的同时,能够承受多少不确定性。在企业经营所处的环境中,诸如经济全球化、技术、重组、变化中的市场、竞争和管制等因素都会导致不确定性。不确定性来源于不能准确地确定事项发生的可能性以及所带来的影响。

可识别性指事项发生或即将发生时,能否被管理层识别。风险实际上更多地来源于管理层没有识别到有着负面影响的事项,在事项发生时,管理层没有意识到它会给企业带来影响。事项识别还包括要将代表着机会的事项反馈到管理层的战略制订或目标制订过程中。企业的事项识别能力也与其运用的技术方法紧密相关,也有一个培养和提高的过程。

事项识别的深度、广度、时机和范围因主体而异。对于以上这些难点的充分认识,有助于企业风险管理抓住“牛鼻子”,抓住关键事项。

篇(8)

一、风险

风险是指在一定的客观情形下,在某一特定期间内,那些可能发生的结果之间的差异。显然,这种差异是实际结果与预期结果的变动程度。所谓风险大,就是指这种变动程度大;风险小,就是指这种变动程度小。基本规范涉及的风险是指对实现内部控制目标可能产生负面影响的不确定因素。因此,在这个概念的界定上,需要明确内部控制目标和不确定因素两个关键词。

1.内部控制的目标

内部控制有五大主要目标,即运营的效率和效果、财务报告的可靠性、资产的安全完整、法律法规的遵循性以及实现企业的战略目标。内部环境、风险评估、控制措施、信息与沟通以及监督检查均服务于五大目标。

对于经营的效率和效果而言,这是一个公司基本的业务目标,包括业绩和盈利目标以及资产的保护,它们因管理者对结构和业绩的选择而异;可靠的财务报告与公认会计准则编制的财务报表以及相关陈述有关,所以会涉及账务和非账务信息;同时,遵循相关的法律法规,公司可以避免对其名誉造成损害或者遭受其他不利后果。

经营的效率和效果及报告的目标更多地建立在偏好、判断和管理风格的基础上。它们在不同的主体之间存在着很大的区别,因为不同的主体可能会选择不同的目标。所以对所有主体而言,都是最优的目标模式是不存在的。

2.不确定性

风险是不确定的,否则,就不能称之为风险。所谓不确定性,即当风险存在时,至少存在两种可能的结果,只是我们面对风险时无法知道哪种结果将出现。不确定性分为主观上的不确定和客观上的不确定。

(1)主观上的不确定

不确定性大多定义为基于对未来发生或不会发生什么事情的情况缺乏认识、产生怀疑的思维状态。不确定性是一种对于未来将发生的事情的简单心理反应。当风险存在时,就产生了不确定性。而这种不确定性往往是主观的,与实际情形不相符合。

(2)客观上的不确定

客观上的不确定的两个层次的含义:

第一,不确定的客观存在性。如果不确定性是由一些偶然因素导致的结果,那么其存在就具有了客观性。第二,有些情况在客观上是确定的,但是人们总体上认知能力不足,无法得到确定状态所必要的信息。因此也可以认为由此导致的对未来的无法判断是客观的。

(3)风险的特征

风险具有三个明显的特征:偶然性、可变性和客观性。

风险具有偶然性。从全社会看,风险是具有必然性的。但是,对特定的个体而言,风险事故的发生是偶然的。这种偶然性其实是由事件的随机性决定的。因为风险事故的发生与否不确定,风险事故何时发生也不能确定,风险事故将会怎样发生,其损失有多大,也不能确定。

风险具有可变性。风险的可变性是指在一定条件下风险具有可转化的特性。而世界上任何事物都是互相联系、互相依存、互相制约的,世界万物都处在运动变化的状态之中,这些变化必然会引起风险的变化。新风险产生和旧风险的消亡,也有量的增减和质的改变。风险的变化是由某些因素引起的,这些因素可以归结为科技的进步、政治和社会结构的改变、经济体制与结构的转变。

风险具有客观性。风险是由客观存在的自然现象和社会现象引起的。自然界的运动如洪水、泥石流、雷电、暴雨等形成自然灾害,对人类的生命和财产构成威胁。战争、冲突等是受社会发展规律支配的,人们认识和掌握规律可以预防意外事故,但是不能完全消除风险的存在。因此,风险是客观存在的,人们只能在一定的范围内改变风险发生和发展的条件,采取办法降低其发生的概率,减少风险带来的损失程度,但是却不能彻底消除风险。

二、风险评估

不同的企业、同一企业的不同时期以及同一企业内部不同的内部环境、外部环境、业务层面和工作环节,都可能面临不同的风险,企业应当有针对性地开展风险评估。

风险评估,是指及时识别、科学分析影响企业内部控制目标实现的各种不确定因素,同时采取应对策略的过程。要对识别的风险进行分析,形成风险管理的依据。风险与可能被影响的目标相关联。既要对固有风险进行评估,也要对剩余风险进行评估,评估要考虑到风险的可能性和影响。

通常来讲,企业进行风险评估的目的主要有:了解和评价企业的经营环境和经营现状;提出组织发展的安全需求;择取最优的风险控制措施;建立安全管理体系;制定有效的安全策略。

风险评估的主要任务有以下几点:识别企业面临的各种风险;评估风险概率和可能带来的负面影响;确定组织承受风险的能力;确定风险消减和控制的优先等级;推荐风险消减对策,适时调整应对策略。

在风险评估过程中,有几个关键的问题需要考虑:第一,确定评估对象或者资产,明确它的直接和间接价值;第二,分析资产面临的潜在威胁和导致威胁的问题所在以及威胁发生的可能性;第三,资产中存在哪些弱点可能会被威胁所利用,利用的难易程度如何;第四,一旦威胁事件发生,企业会遭受怎样的损失或者面临怎样的负面影响;第五,组织应该采取怎样的安全措施以便将风险带来的损失降低到最低程度。解决以上问题的过程,就是风险评估的过程。另外,在进行风险评估时,有几个对应关系必须考虑:(1)每项资产可能面临多种威胁,(2)威胁源(威胁)可能不止一个,(3)每种威胁可能利用一个或多个弱点。

风险评估要按照一定的程序来进行,有目标设定、风险识别、风险分析、风险应对四个步骤。

篇(9)

一、引言

2010年美国公众公司会计监督委员会(Public Company Accounting Oversight Board,PCAOB)通过了新的审计准则(审计准则第8号至第15号),以规范审计师对审计风险的评估和反应。目的是监督公众公司的审计师编制信息量大、公允和独立的审计报告,以保护投资者利益并增进公众利益。在PCAOB此次行动之前,不断有人发出强烈的信息,让审计职业人员在风险管理中扮演更积极的角色。而且PCAOB早在两年前就已经提出了实施具体风险评估准则的信息,这些准则旨在解决从最初计划到结果评估的审计过程问题。这些新准则是在审计促进成熟风险评估中非常重要的一步,可以把审计师未能发现的重大错报事故风险降到最小。PCAOB执行主席丹尼尔・格尔泽尔说一旦这些标准被采用,在审计财务申明中发现,适当计划以及实施审计以解决这些风险问题以增强投资者的信息是非常重要的。这些审计标准包括:审计风险、审计计划、审计参与监督、计划执行审计中的思考、重大错报事故的确认与评估、审计师对重大错报事故的回应、评估审计结果以及审计证据。它们贯穿了从初始计划阶段到审计结果评估的整个审计流程。PCAOB主席丹尼尔・高泽(DanielL,Goelzer)说:这些新准则的出台意味着在促进精密的审计风险评估与将审计人员未能发现重大误报的风险降至最低方面迈出了重要一步。识别风险,并通过正确地审计计划和开展审计活动来应对风险,对于提升投资者对经审计财务报表的信心是至关重要的。

二、风险评估、企业风险管理与审计风险

(一)注册会计师风险评估 风险导向审计的核心是审计风险,任何审计业务都必须将审计风险控制在可接受的风险水平内。因此风险导向审计要求注册会计师加强对被审计单位及其环境的了解,在审计的所有阶段都要实施风险评估程序,并将识别和的评估的风险与实施的审计程序挂钩,而且要求针对重大的各类交易、账户余额和列报实施实质性程序,可以说风险评估程序是风险导向审计模式落实到审计工作的核心环节,风险导向审计下审计风险模型如下:审计风险=重大错报风险×检查风险。审计风险是指财务报表存在重大错报而注册会计师发表不恰当审计意见的可能性。重大错报风险是指财务报表在审计钱存在重大错报的可能性,检查风险是指某一认定存在错报,该错报单独或连同其他错报是重大的,但注册会计师未能发现这种错报的可能性。注册会计师合理设计审计程序的性质、时间和范围,并有效执行审计程序,以控制检查风险。注册会计师采取以下方法展开审计工作:(1)注册会计师应当针对财务报表层次的重大错报风险置顶总体应对措施;(2)注册会计师应当针对认定层次的重大错报风险设计和实施进一步审计程序,包括测试控制的执行有效性以及实施实质性程序;(3)注册会计师应当评价风险评估的结果是否适当,并确定是否已经获取充分、适当的审计证据;(4)注册会计师应当将实施关键的程序形成审计工作记录。我们发现,注册会计师以针对评估的财务报表层次重大错报风险为起点,确定总体应对措施,并有针对评估的认定层次重大错报风险设计和实施进一步审计程序,以将审计风险控制在可接受的低水平。风险导向的核心是审计风险,控制审计风险的关键是风险评估程序,另一方面,企业必须准确地评价和有效地管理各项与企业成功息息相关的风险。管理层不但需要准确地了解各项业务风险以及不良控制的后果,并且能够根据所确认风险的残余影响的轻重程度分配资源和关注程度。所以注册会计师的风险评估将有利于企业的风险管理。

(二)企业的风险管理 每个企业在经营中存在各种风险,而我们这里讨论的企业风险管理中的风险概念与金融市场的风险概念有所不同,当然金融风险也是企业(特别是金融类企业)面临的风险之一,企业风险就是企业面临的可能导致企业亏损的各种不确定性事件,降低企业的价值。所以风险管理需要做的就是尽量避免这种不确定性事件的发生,或者是降低不确定性事件发生后对企业造成的损失。企业风险管理包括四个环节:风险识别、风险评估、风险应对、风险监察。第一,风险识别是指尽力识别可能对企业取得成功产生影响的风险,包括整个业务面临的较大的风险,以及与每个项目或较小的业务单位关系的风险,识别潜在风险可以认识到企业面临的各种风险类型,而且风险识别程序应该在企业内的多个层级得以执行,这与注册会计师的风险评估贯彻于整个审计过程一样。第二,风险评估是在识别了各种风险后,对风险的的性质、风险的类型、风险的发生频率等进行评价,这种评价最主要分为两方面,一个是影响,另一个是可能性,企业可能还会采用敏感性分析或者决策树等方法对风险的性质进行全面的认识。这与注册会计师的风险评估相似,不过更加具体、全面。第三,风险应对是指对上述评估的风险采取相应的措施,以避免该风险对企业产生的损失,风险应对的策略包括风险降低(如分散投资,就是一种降低风险的措施),风险消除(使得该风险事件发生的概率降低为零),风险转移(将风险的后果采用保险、合同等方式转移出企业),风险保留(定期风险复核、控制风险情境)。第四,风险监察是指企业监测目标的实现过程,关注新的风险和相关损失,企业需要对风险进行监察,并在需要时不断作出调整。风险检查者定期检查正在发生的亏损,以了解他们的控制建议得以实施,并设计过程来改善风险管理的过程,制定一项战略来应对出现的新风险。

(三)风险评估与经营风险、审计风险 企业的风险识别是风险管理的第一步,是指对企业面临的,以及潜在的风险加以判断、归类和鉴定风险性质的过程。企业的风险一般可以分为两类:系统风险和非系统风险。系统风险是由公司之外的各种因素引起的,如战争、经济衰退、通货膨胀、高利率等与政治、经济和社会相联系的风险,是不能通过多元化投资而分散的,因此又称作不可分散风险或市场风险。非系统风险也被称作可分散风险,它是由公司本身的商业活动和财务活动带来的,如企业的管理水平、研究与开发、消费者需求的改变、市场营销风险以及法律诉讼等,其可以通过多元化投资组合而分散,是公司特有的风险。而现代风险导向审计将风险评估、风险应对与审计程序联系起来,这就使得注册会计师审计不仅仅是出具审计报告的鉴证业务,也可以起到促进企业风险管理的作用,注册会计师审计过程中必须进行风险评估,风险评估的过程是为了能够获得尽可能准确的财务报表重大错报风险信息,以控制审计风险,企业风险管理的过程是为了控制企业经营风险,从审计风险与企业经营风险的关系,我们发现:其一,风险评估是指评估被审计单位风险,评估的过程是企业风险管理中的一个环节,所以在性质上他们具有相似性。其二,风险评估的程序包括:了

解被审计单位及其环境、了解被审计单位的内部控制等,而风险管理也需要进行这些工作,方法包括:观察、检查、分析程序,穿行测试等。风险评估。其三,风险评估的目的相同:对于注册会计师而言,风险评估的目的是为了了解被评估的财务报表重大错报风险,并且制定风险应对措施,有效地实施审计程序;对于企业而言,风险评估的目的是为了控制企业的风险点,防止企业出现亏损的不利情况而实现企业价值增值。风险评估使企业考虑潜在事项如何影响目标的实现。管理当局应从两个角度对事项进行评估:可能性和严重程度,并且通常采用定性和定量相结合的方法。在不要求定量化的地方,或者在定量评估所需的可靠数据无法取得或获取和分析数据不具有成本效益时,管理者通常采用定性评估技术。定量技术精确度更高,通常应用在更加复杂的活动中,以对定性技术进行补充。评估风险时既要考虑固有风险,也要考虑剩余风险。固有风险是管理当局没有采取任何措施来改变风险的可能性或影响的情况下,一个企业所面临的风险。剩余风险是在管理当局应对风险后所残余的风险。审计中注册会计师更多关注的是审计风险以及企业的经营风险,但是对于企业其他风险管理(如制度风险管理、法律风险管理)考虑不足,当然这是注册会计师收益成本分析后的结果,但是注册会计师必须区分企业经营风险与审计风险,经营风险是指实现不了经营目标和战略的可能性,经营失败是经营风险的扩大化,指企业由于经济或经济条件的变化而无法满足投资者的预期,经营失败的极端情况是申请破产。诚然企业经营失败可能使得注册会计师面临审计诉讼,经营风险与审计风险有一定的相关性,但风险导向的核心是审计风险,而不是企业的经营风险。

三、注册会计师风险评估与企业风险管理关系

(一)二者时间发展顺序 环境变化促使越来越多的企业实施全面风险管理,也促进了风险导向审计的发展:从20世纪90年代开始,随着新的科技技术和经济全球化带来企业组织结构虚拟化、集约化、专业化及扁平化等新的商业特征,许多跨国公司开始实施全面风险管理方法,一些国际咨询公司和会计师事务所也开始运用这一概念并将其同咨询或审计业务相结合。全面风险管理体系正在随着企业治理的完善而越发受到重视,风险管理的概念逐步引入到我国的企业中,使得我国企业的风险管理工作纳入了公司治理的范围。2004年9月,COSO了《企业风险管理框架》。该框架是在《内部控制――整体框架》报告的基础上,结合《萨班斯――奥克斯法案》在报告方面的要求,明确提出企业风险管理是由企业董事会、管理层和其他员工共同参与,应用于企业战略制定,以及企业内部各层次和部门,用于识别可能对企业造成影响的事项,管理风险为企业目标的实现提供合理保证。同时该框架还指出:企业风险管理框架由内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控八个相互关联的要素构成。这也奠定了企业风险管理系统的组织模式。风险导向审计的发展也与全面的风险管理系统构建同步,2003年10月,国际会计师联合会下属的国际审计准则委员会了三个新的国际审计风险准则,并从2004年12月15日或之后开始的期间财务报表审计起执行这三个新准则。2004年10月,中国注册会计师协会根据国际审计准则的最新发展,对已修订的四个新审计风险准则在全国范围内征求意见,并且于2007年1月1日开始实施。风险导向审计已经深入了我国审计的实际工作,为审计业务的展开提供了指引。

(二)二者业务性质相互影响 全面风险管理为现代风险导向审计风险评估提供了更好的基础为了评估客户是否有效地监督和控制了其战略风险及其他经营风险,注册会计师必须识别、收集和处理大量与客户经营活动相关的证据。当企业没有实施全面风险管理时,收集这些证据即使在理论上是可行的,但为此付出的成本对注册会计师而言也常常是不经济的。注册会计师的风险评估程序对企业风险管理有以下益处:(1)了解企业的外部环境风险以及内部控制成为风险评估的重要组成部分,注册会计师也将公司内部控制的有效性作为风险应对的考虑因素。所以注册会计师关于企业内部控制的评价将为企业的风险管理提供建议。(2)注册会计师在实施控制测试与实质性测试时,会将交易的内部控制目标与关键内部控制联系起来,然后将测试的结果与风险评估的结果进行对比,这将有助于公司相关交易所涉及人员在业务流程中履行好自己的职责,注册会计师审计可以起到监督作用,发现企业内部控制的风险点。企业风险管理对注册会计师的风险评估有以下益处:第一,企业风险管理的完善性与企业内部控制系统有着很强的相关性,所以如果企业建立了一整套风险管理的体系,那么注册会计师的风险评估程序就会减少程序,因为风险评估在整个审计过程中的验证过程都是可靠的。第二,企业风险管理的方式与注册会计师风险评估。企业全员参与风险管理,从整个企业组合的角度实施风险管理,增强了企业风险管理的有效性,注册会计师能够在更大程度上信赖企业的全面风险管理,实施风险评估。第三,企业风险管理系统的完善性越不好,注册会计师所涉及的这部分程序设计需要越谨慎,而风险评估程序后提出建议的边际贡献越高,这二者之间的交互作用就在于风险评估程序是对风险管理的一种再监察。

(三)二者存在的不同 当然二者存在着以下区别:注册会计师风险评估更多是对内部控制有效性的评估,这种评估是因为审计的效率所决定的,而企业的风险管理需要覆盖企业的整体层面和各个业务流程,所以我们注册会计师的风险评估结果对于企业而言是一种参考,注册会计师的风险评估只是对内部控制水平高低的一个评价,这并不能完全说明企业风险管理的有效性。注册会计师可以通过对企业内部控制系统有效性评价来评估客户监督和控制其战略风险及其他经营风险的情况,如果仅仅是审计过程,注册会计师不需要提出风险管理改进建议,他们评估的财务报表重大错报风险只是为了控制检查风险,进而控制审计风险。所以注册会计师审计过程的风险评估与企业风险管理过程中的风险评估目的相似,但企业风险管理的目的和注册会计师的风险评估还是存在不同。

四、企业风险管理及风险评估路径

(一)风险评估报告与企业风险管理 (图1)呈现了风险导向审计的框架,风险导向审计最大的要点就在于实施基本审计程序前的风险评估。而且后来的审计程序结果会不断检验风险评估的结果,不断地修正与调险估计水平,在整个审计过程中都需要进行风险评估过程,所以注册会计师可以在审计完成后形成风险评估的最终结果,形成风险评估报告,以评价内部控制的有效性及风险管理控制的水平。该报告可能涉及内部环境、企业风险评估、风险反应、控制活动、信息和沟通、监控等要素,对企业内部控制的测试结果进行一个总结性陈述,形成风险评估报告。风险评估报告作为风险导向审计阶段性成果在审计完成后反馈给被审计客户,以帮助被审计客户进一步完善内部控制水平,但我们必须意识到:风险评估报告不是审计报告的子报告,风险评估报告仅仅为被审计单位进一步提高内部控制水平而用,而非鉴证报告,注册会计师不需要提供保证。

篇(10)

引言

风险审计的基本概念就是指经济活动中,以被审计的企业的风险评估资料为基础,对影响被审计企业的各种因素进行综合分析评估。对审计的对象存在的各种影响因素进行精确分析,最终对其进行量化范围和重要关键部分进行实际审查的一种审计方法。风险导向审计的作用就是着重进行识别和控制风险,风险导向审计时在财务账目导向审计和制度审计的基础上发展形成的。

一、从传统的风险导向审计工作方面分析

进入本世纪以来,由于世界经济极速发展,人类社会都进入了知识经济和信息全球化的时代,在这种世界新形势下企业的生存和发展的外部环境面临着许多新的挑战。如果仍然使用原先传统的审计方式最终不能够很好对完成风险导向审计工作,在变化的过程中被审查的企业已经不再是单个孤立的主体。而传统的风险导向审计的考虑范围就只是仅仅考虑了被审计企业本身的各种因素,而根本就没有考虑到影响到企业发展运行的外部因素。当然,这主要是由我国在建国以后实行的是全民国有制的社会主义计划经济政策决定的。在当时特定的历史环境条件下是基本上是没有外部因素能够影响企业的运行和发展的,因为国家实行的是计划生产、计划分配的制度,所以市场根本就没有其到作用:

(一)从审计角度方面分析

由于传统的审计工作针对的大部分都在计划经济体制下成立的大型国有企业,所以在审计工作中考虑的角度就拿仅仅只是企业本身的生产管理和质量控制问题。许多企业根本就不存在市场竞争,在审计工作中根本就不用考虑市场或者外部因素的变化。在考虑审计影响因素时只能够从企业局部去分析,而不会从企业发展的整个市场生存大环境去考虑,更不会对所有影响因素进行全面的分析。所以传统的风险导向审计工作的考虑范围十分的小,很难从客观上正确真实的反映企业的经营状况。

(二)从风险导向审计工作的思维方面分析

传统的风险导向审计工作基本上都是简单的分析思路。审计模式采用自上而下、从局部到整体的简单模式。,而不是系统全面的进一步分析企业所处的社会外部环境,所以也无法对企业的风险因素进行全面的评估。更不可能把企业的的运行经营风险和企业自身的财务报表结合起来对企业进行整体评估,所以往往用传统方法进行的审计风险评估工作缺乏真实性,不能够用于实际的工作中,因此其审计结果的作用也就十分有限。

(三)从审计方法方面分析

传统的风险导向审计工作基本上都是采用的基本模式下的测试性初级方法,这种评估方法只是简单地将企业表面的风险进行过高的评价,这样就忽略了一些表面因素对风险导向审计工作的影响程度,只是将主要的精力集中在了可人为控制的风险因素方面,对其所采取的也是基本的初级方法,这样对固有的风险因素做出的评估十分地缺乏真实性和可靠性,同时更加不利于从总体上风险评估企业的重大经营问题,最终导致评估失衡。

(四)从审计过程中的事实性参考依据方面分析

传统的风险导向审计思考的审计因素通常哟偶三个方面即固有风险、控制风险、检查风险。传统的的风险导向审计思维模式就是假设三者之间是相互独立的。在现实生活中这三者是不可能完全独立的。其中的固有风险行业控制风险既要受企业各种内外因素的影响,同时还要两者之间还有一定的联系。另外,检查风险部分也不能够完全与控制风险和固有风险彻底隔离开来。因此,传统的的风险导向审计方法得出来的结果十分的有限,不能够充分的反映实际情况。二、从现代的风险导向审计方面分析新的风险导向审计方法主要针对传统方法存在的缺陷进行不断改进和完善的新方法。形成了在传统审计评估考虑的基础上对企业经营的市场风险进行了全面考虑。是战略思考和理论思考 在实际审计工作中运用的新模式。具体的就是专业的会计人员亲自进入企业了解企业经营的真实状况和企业所处的外部环境。通过实质性的测试对企业的自身风险评估审计水平有一个真实的全面的了解。

三、从现代审计方法与传统审计比较进行分析

现代的风险导向审计方法和传统的方法最根本的区别就在审计技术和审计思维方面的不同。具体的也有五个方面:

(一)审计重心的改变

传统的审计方法只注重微观的局部,而现代的审计方法从全方面的对审计对象进行了宏观分析,并将审计的重心放在了风险评估上面,这样十分的有利于控制识别在企业财务会计报表中重大错误信息,并及时地对其进行纠正。

(二)风险审计方式的改变

相对于传统的审计方式而言,现代的审计方式有了巨大的改进,在风险评估的过程中不仅对财务信息进行分析,而且还对非财务信息资料也进行了系统的分析。

(三)获取审计关键依据的改变

现代审计评估获取依据的关键信息主要从企业员工和外部相关人员进行广泛的征集信息,最终对其进行全面的分析。

四、结束语

随着社会经济的快速发展,在风险评估审计过程中的需要从整体的宏观方面对其进行评价;并对企业的经营环境和进行了全方位的评估。充分全面的控制住了企业才财务会计报表上面许多不符合实际情况的信息,新的审计风险评估方法更加有利于企业的长远发展。

参考文献:

[1]张琳琳.现代风险导向审计模式下上市公司审计意见影响因素研究[D].山东财经大学,2012

[2]张杨.现代风险导向审计模式在A会计事务所的应用研究[D].西南财经大学,2011

篇(11)

本文主要从风险管理为切入点,结合海洋工程企业中的项目为依托,对项目在施工过程中的风险进行分析并提出风险规避方法从而有效的避免风险的发生。

一、海洋工程项目风险的识别

(一)工程项目风险的定义及特点

海洋工程项目风险则是指在项目的策划、设计、建造、安装、调试以及后期投入使用各个阶段可能面对的损失。项目的风险在任何项目的任何过程中都会存在。如果不能有效的对项目的风险进行控制,可能会造成项目在实施的过程中出现失控现象,从而导致延长工期、增加成本、甚至项目失败影响企业声誉。任何海洋工程项目都有一次性、独特性和创新性的特点,项目风险也具有随机性、相对可预测性、渐进性、阶段性、突发性等特点。

(二)工程项目风险的分类

根据海洋石油项目的整体特点,基本可以分为可控风险和不可控风险两大类。可控风险指的是以人的主观能力可以控制住的风险,这些风险都可以有效的避免或者可以提前采取一定的措施进行预防,比如施工风险、安全风险、技术风险等等;不可控风险指的是客观存在的,不以人的意志为转移的风险,一般不能有效的规避或者采取预防的措施,例如政治风险、经济风险、自然灾害等等。

(三)海洋工程项目风险的识别

海洋工程的项目与传统的土建项目有着明显的区别,海洋工程的项目交叉作业多、涉及专业多、作业环境复杂、参与人员及设备较多等特点,那么在项目的运行过程中,如何对风险进行有效的控制,首先要对项目的风险进行识别,分析出属于哪类风险,这就要求首先做好风险的识别。以海上组块的安装为例,根据海上安装的施工方案,将该组块的海上安装过程分为“作业船就位、抛锚”、“组块挂扣”、“固定切割”、“组块起吊”、“组块就位”及“组块固定”这几个过程,通过对每个过程中参与作业的设备、人员及外部环境的研究,识别出了每个过程中的安全风险因素。如作业船就位、抛锚过程,参与的机具船舶有:发电机、绞车、锚机、通讯设备、两条辅助船舶及相关设施。参与人员有:作业船及辅助船船员、定位人员、指挥员。因此这个过程中可能的风险有:发电机及绞车故障、通讯设备故障、人员误操作、未按方案布锚、走锚等风险。同理可以得到其他几个作业过程的风险因素。因此有效的识别风险,是为了风险评估、风险应对和风险监控提供强有力的基础。

二、海洋工程项目风险的评估

在项目风险识别之后马上要对项目的风险进行评估,对项目所有的不确定的风险因素进行全面的分析识别后进行综合评价,区分出可控风险和不可控风险。如果有必要需要建立风险模型,通过专家分析进行风险评估并制定有效的方法进行应对。

(一)项目风险的评估的方法

项目的评估方法有很多种,例如作业危险评估法、期望值法、事故树分析法、敏感性分析法、模糊数学法等,而海洋工程项目中一般采用的评估方法是作业危险评估法(LEC法)。

(二)海洋项目风险评估

以海上平台安装为例,在海上平台的安装过程中,相关人员识别出在施工的过程中存在某种突发安全风险后,应该立即组织专家组对该风险进行评估,通过对“事故的不可预测性”、“措施的无效状态”、“人员暴露在危险环境下的频度”、“事故可能损失后果”的等等各个方面进行有效的评估,得到了风险因素的危险程度值及危险等级,为下一步风险的应对提供基础。

三、海洋工程项目风险的应对

(一)海洋工程项目风险的应对的方法

在风险评估完成后,为了保证项目的顺利进行,就需要专家组提出应对风险的措施和方法,应对风险的方式多种多样,但笼统的归纳后有以下两种:1、控制方法,及发现风险后提出有效的手段进行控制从而降低风险,主要以风险回避、风险遏制和风险转移等手段。一般情况下对于海洋工程中的可控风险,一般都会采用这种手段进行控制。2、利用财务手段。在海洋工程领域,大多数情况下业主都会要求分包商进行购买海事保险的方式进行风险分摊,尤其是在重大设备设施的运输、吊装等作业行为前,都需购买保险釆用财务的手段将项目风险进行转嫁。

(二)海洋工程项目风险的应对的原则

1、风险应对有针对性原则。在项目进行中,所采取的每一项措施都必须有针对性,否则势必会浪费企业资源。2、风险应对可操作原则。在发现风险后在经过专家组的论证后制定的每一项应对措施中都必须可操作性,不应仅仅停留在纸面上,否则对防范风险没有任何意义。3、风险应对最大执行力原则。在经过专家组的论证后制定的每一项应对措施后,应引起项目经理的足够重视,从项目高层着手保证这些控制措施发挥其应有的效用。4、风险应对全面原则。一般海洋工程项目的风险具有多样性,复杂化等特点,必须全面的指定有效的措施,需要采取多样的方法从不同角度对其予以全面控制。5、风险应对措施与经济成本相协调原则。在选择风险控制措施时,在相同效果的前提下采取成本较低方案。6、风险应对能力导向原则。控制安全风险时,主要以预防为主,在能力范围内可消除的必须进行处理,无法消除的最大化的削弱风险。

四、海洋工程项目风险的监控

(一)项目风险监控的概念

项目风险的监控是在对项目风险管理指定相关措施后对风险管理过程中的监视和控制。

(二)项目风险监控的目标

在项目风险监控措施的实施的过程中,都应该达到一些目标,这些目标包括:及早识别是否还有新的风险,避免已经发现的风险发生、减少风险发生后带来的损失、总结经验教训在本文中项目风险监控虽然处于项目风险管理的最末端,但是风险监控是贯穿于项目整个过程中的,因此建立一套可行的项目风险监控系统是必不可少的措施,也是风险监控的关键所在。

结语

本文在综合考虑海洋石油工程项目特点及各类分析方法适应性的基础上,对组块的海上吊装安装过程进行风险管理研究,依此建立了风险源及风险识别、评估表,并基于尽早的识别风险,尽可能避免项目进行中事故的发生以及降低项目风险发生以后所产生的不利后果的目的,建立了兼具科学性和可操作性的项目安全风险监控系统。海洋工程项目的安全风险管理与对组块海上安装过程的安全风险管理类似,需要对全过程的作业信息进行收集并处理,识别出项目进行过程中的安全风险,并针对性的进行应对,然后评估每个风险因素的危险性及风险等级。若应对后的风险等级仍然较高,那就需要采取整改措施进行整改,若风险等级较低,则代表风险受到控制,可以继续作业。对风险识别、风险评估及风险应对的全过程实施风险监控,确保识别出所有的安全,且风险的应对措施能够被有效的实施,或对应对措施效果不好的风险进行整改。从而保证项目内每个风险因素都能受到有效控制。

参考文献

[1]刘洪浩.浅议项目风险管理理论[J].抚顺市中医院学理论.2011.

[2]彭俊好,徐国爱,杨义先,汤永利.基于效用的安全风险度量模型[J].北京邮电大学学报.2006.

[3]张俊.浅析项目风险管理与项目管理[J].黑龙江科技信息.2007.

[4]葛治江.国际石油工程EPC总承包项目安全风险因素分析[J].石油化工建设.2009.

上一篇 茶叶的专业知识 下一篇 保险行业的风险管理
返回列表
推荐精选
推荐范文
相关期刊