時間:2023-06-25 16:19:39
導語:在風險識別及評估的撰寫旅程中,學習并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優秀范文,愿這些內容能夠啟發您的創作靈感,引領您探索更多的創作可能。
【關鍵詞】 基金會; 關聯交易; 風險控制
基金會源于公益,成于財富,是擁有財富的人之于公益的表達形式,是一個社會通過組織化的形式激勵富人對窮人以公益捐贈的方式表達社會關懷的制度安排,也是使財富在社會公益的名義下得以重新分配和永續存在的合法形式。基金會在從事公益活動過程中必然發生各種交易活動,而關聯交易大量的存在掏空了基金會,成為某些基金會捐贈人避稅的工具。研究基金會關聯交易的風險控制,探索治理基金會惡意關聯交易風險的路徑,對于規范基金會的運作,促進基金會的健康發展具有重要的意義。
一、基金會關聯交易的概念和法律特征
基金會關聯交易是指發生在基金會關聯人之間的有關移轉資源或義務的事項安排行為。從本質而言,基金會關聯交易是一種商事法律行為,不過其交易雙方的關系決定了它與一般的商事法律行為有所不同。在一般的商事法律行為中,交易主體之間的法律地位平等,雙方遵循市場競爭原則,依據彼此真實的意思表示進行交易,基本上能達到雙方認可的公平的結果。而基金會關聯交易中雙方當事人地位不平等,一方對另一方的決策能夠直接或間接控制或施加影響,因而關聯交易具有其特殊的法律特征:
第一,基金會關聯交易的主體具有特定性,地位不平等,交易一方對另一方具有控制權或者重大影響,基金會與其關聯人可能惡意串通利用關聯交易行為損害基金會的利益。
第二,基金會關聯交易行為的范圍具有廣泛性,類型具有多樣性,既有移轉資源的行為,又有避稅事項的安排行為;既有有償交易行為,又有無償交易行為;既有雙務行為,又有單務行為。
第三,基金會關聯交易存在基金會內部人利益沖突,在關聯交易中,內部人往往會陷入“角色沖突”之困境。
第四,基金會關聯交易的后果具有雙重性,有可能造成對基金會利益的侵害和對國家利益的侵害。
二、基金會關聯交易主體的識別
在基金會財務和經營決策中,如果一方有能力直接或間接控制、共同控制另一方或對另一方施加重大影響,則將視其為關聯方;如果兩方或多方同受一方控制,也將其視為關聯方。從關聯主體的性質來看,包括關聯自然人和關聯法人兩種。可以將關聯主體歸納為以下幾類:基金會和捐贈人;同一捐贈人控制的基金會;基金會和理事、監事個人;基金會和理事、監事控制的企業;其他。
三、基金會關聯交易行為的識別
由于基金會關聯人產生的目的特定性,關聯交易也有其特定的表現形式。基金會關聯交易主要包括以下幾種情形:購買或銷售商品;購買或銷售除商品以外的其他資產;提供或接受勞務;;租賃;提供資金(包括以現金或實物形式的貸款或權益性資金);擔保和抵押;管理方面的合同;其他。列舉的這些項目基本上涉及了基金會關聯交易的主要行為形式,但在商事行為實踐中出現的關聯交易行為則不止于此。
這里面有很多難題需要探討,究竟哪些行為算作關聯交易,非常寬泛。如因當理事出名、而后出書賣錢算不算關聯,因客觀上需要基金會的支持算不算關聯,因自身長遠利益需要謀求當理事算不算利益關聯?有利益關聯不可能展露出來,利益隱蔽,又無人舉報,誰負責查核利益關聯問題?筆者認為利益關聯的限定應以基金會利益損失為最終判定。如事前已知某理事有利益關聯,應禁止其不參與決策。但往往這種關聯是不便確定的,隱含的或隱蔽的,也無人去確認,那就只能事后發現。如果由于參與決策的理事(或其關系人)因為同基金會的交易,獲得額外的或超出市場公平的利益,而事實造成基金會利益損失,應該從重處罰。至于理事盡管和基金會有利益關聯,在事前無人知道的情況下,參與了決策,事后發現這一問題,但關聯交易結果具有向基金會提供優惠和實際利益的情況,或是完全公平的交易,應該不予追究。
有些基金會關聯交易行為過于迂回,很難識別,必須制定識別原則。例如,2005年,牛根生創立“老牛基金會”,宣稱將自己持有的全部蒙牛股權捐出,生前貢獻其51%紅利,身后股權全部歸屬基金會。隨后,這部分股權被用于抵押貸款,后贖回。2009年,中糧入股蒙牛,該股權隨之變為現金,牛根生稱其公益用途不變。人們懷疑陳發樹任會長的新華都基金會也有可能不受約束,照此行事,比如當陳發樹的公司出現困難時,可以通過基金會的高價收購使其脫困。
四、基金會關聯交易行為對利益轉移和避稅行為影響的風險評估
基金會關聯交易行為利益轉移和避稅行為影響的風險評估包括三個層面:
第一,對基金會關聯交易行為風險本身的界定。包括風險發生的可能性、風險強度、風險持續時間、風險發生的區域及關鍵風險點。
第二,對基金會關聯交易行為對風險作用方式的界定。包括風險對基金會的影響是直接的還是間接的、是否會引發其他的相關風險、風險對基金會的作用范圍等。
第三,對基金會關聯交易行為風險后果的界定。如果風險發生,對基金會和國家稅收造成多大的損失?如果避免或減少風險,基金會需要付出多大的代價?如果基金會冒了風險,可能獲得多大的利益?如果避免或減少風險,基金會得到的利益又是多少?
五、基金會關聯交易行為風險的控制
利用控制論關于一切控制系統都具有信息的交換和反饋過程的基本觀點以及包含的關于動態系統控制的調節機理和一般規律,在基金會關聯交易風險的識別、評估和控制中,設計前饋控制、過程控制和反饋控制措施。
第一,基金會的投資與項目運作的雙軌模式。基金會資產的運作一定要外部運行,不能直接由理事會來管。外部管理可以在資本市場上直接購買股票或者基金,也可以再委托一個投資公司幫助理財。
第二,基金會信息公開。現有的基金會管理條例中關于關聯交易的規定是非常少的,而且簡單、操作性差、不夠完整,因此會導致關聯交易很難通過法律途徑去禁止它,避免關聯交易。除了法律的強制性規定之外,很好的一個辦法就是基金會的信息公開,把它一年的收入情況和支出情況以及一些重要的交易都予以公開,引入注冊會計師審計監督。
第三,將資產管理與施贈項目管理分離,互不隸屬。基金會信托的職責是管理基金會資產。基金會負責施贈項目的管理和運作。基金會有權向基金會信托索要任何其財產范圍內的資產進行公益活動。信托公司與基金會相互獨立,互不隸屬。以“投資”的眼光來看待慈善事業,合理投資―高額回報―部分收益用于慈善,剩余收益和本金繼續投資。
六、政策建議
基金會是慈善事業,沒有法制和信用就沒有秩序,基金會就不可能健康發展。同時對基金會關聯交易應該疏堵并舉、標本兼治、正確疏導。
(一)放開基金會關聯交易的制度限制
允許基金會在公允價值的基礎上進行有限度的關聯交易,在不損害基金會利益和不流失國家稅收的基礎上使關聯人獲得一定收益。
通過制定基金會關聯交易準則、加強關聯交易信息披露、引入注冊會計師審計監督、加強政府監管、完善基金會法人治理結構、加強基金會自律、加強倫理道德建設等措施規范關聯交易。
(二)允許建立風險基金會
風險基金會就是借鑒風險投資的方式運作企業的慈善事業,將企業的捐贈視為一種“投資”,要求它產生最大的效益,既包括經濟社會效益,更看重戰略意義。
與傳統的慈善活動不同,實施“風險基金會”的企業不僅向捐贈對象提供財務資助,而且提供管理和技術支撐;雙方不僅是捐贈與接受的關系,更著力形成合作伙伴關系。此外,風險基金會是一項長期投資行為,運作時間一般在3-6年之間,企業親自參與和監督基金會活動,終極目標是幫助捐贈對象提升組織能力。Verizon基金會培育消費種子、耐克借助“NikeGO”活動培育消費后備軍都是成功的案例。
風險基金會除了強調和關注傳統慈善的“授人以魚”,更注重“授人以漁”,在幫助捐贈對象更好發展的同時,也為自己的企業培養了大批潛在消費者,可謂是慈善活動和風險投資精神的完美結合。但是風險基金會存在大量關聯交易行為,需要加強關聯交易的風險控制。
【參考文獻】
[1] 胡光志,方桂榮.論我國投資基金關聯交易監管模式的選擇[J].法學家,2008(3).
風險和機遇的應對控制程序
1
目的
為建立風險和機遇的應對措施,明確包括風險應對措施風險規避、風險降低和風險接受在內的操作要求,建立全面的風險和機遇管理措施和內部控制的建設,增強抗風險能力,并為在質量環境管理體系中納入和應用這些措施及評價這些措施的有效性提供操作指導。
2
范圍
本程序適用于在公司質量環境管理體系活動中應對風險和機遇的方法及要求的控制提供操作依據。
3
職責
3.1總經理室:負責風險管理所需資源的提供,包括人員資格、必要的培訓、信息獲取等,負責公司的SWOT分析并確定公司的戰略方向。
3.2品管部:負責建立風險和機遇應對控制程序,并進行維護。負責按本文件所要求的周期組織實施風險和機遇的評審,落實跟進風險和機遇評估中所采取措施的完成情況并跟進落實措施的有效性,并編寫《風險和機遇評估分析報告》,負責本部門的風險評估及應對風險的策劃和應對風險措施的執行和監督。
3.3各部門:負責本部門的風險和機遇評估,并制定相應的措施以規避或者降低風險并落實執行。
3.4營銷部:負責收集產品售后的風險信息及本部門的風險識別,負責制定相應的措施以規避或者降低風險并落實執行。
3.5供應鏈管理部:負責識別來自供方的要求或期望,并識別其中的風險或機遇,負責制定相應的措施以規避或者降低風險并落實執行。
4
定義
4.1
風險:在一定環境下和一定限期內客觀存在的、影響企業目標實現的各種不確定性事件。
4.2
機遇:對企業有正面影響的條件和事件,包括某些突發事件等。
4.3風險評估:在風險事件發生之前或之后(但還沒有結束),該事件給各個方面造成的影響和損失的可能性進行量化評估的工作。即,風險評估就是量化測評某一事件或事物帶來的影響或損失的可能程度。
4.4風險規避:風險規避是風險應對的一種方法,是指通過有計劃的變更來消除風險或風險發生的條件,保護目標免受風險的影響。風險規避并不意味著完全消除風險,我們所要規避的是風險可能給我們造成的損失。一是要降低損失發生的機率,這主要是采取事先控制措施;二是要降低損失程度,這主要包括事先控制、事后補救兩個方面。
4.5風險降低:通過采取措施以達到降低風險的效果。一般情況下,若采取的措施能夠有效的降低所遭受的風險,應將采取措施的記錄進行保留或者寫入文件進行歸檔,以便后期重復發生時作為改善的依據。
4.6風險接受:是指企業承擔風險造成的損失。風險接受一般適用于那些造成損失較小、重復性較高的風險、最適合于自留的風險事件。
4.7內部風險:企業內部形成的風險,例如戰略決策風險、環境因素風險、財務風險、管理風險、經營風險、應急事件等。
4.8外部風險:由外部影響因素導致的風險,例如政策風險、市場需求風險和業務風險、相關方風險等。
4.險嚴重度:風險發生后其所產生的影響的嚴重程度。
4.10風險發生頻度:風險出現的頻率或者概率。
4.11風險系數:風險系數用于評定是否對已識別的風險采取措施,風險系數=風險嚴重度x風險發生頻度。
4.12
SWOT:S
(strengths)是優勢、W
(weaknesses)是劣勢,O
(opportunities)是機會、T
(threats)是威脅。
5
程序
流
程
相關部門
使用表單
備
注
跟蹤驗證至結案
YES
內外部信息收集
記錄保存
方案修訂
NG
部門風險和機遇識別
風險和機遇管控
風險和機遇評估
部門風險和機遇識
部門現狀評估
風險和機遇識別管控
董事會議召集
方案(經營規劃)建立
合作洽談需求收集
趨勢判定
確定投資計劃
方案評估
總經理室
總經理室
總經理室
總經理室
總經理室
董事會/總經理室
董事會/總經理室
總經理室/各部門/評估小組
各部門/評估小組
各部門/評估小組
各部門/評估小組
各部門/評估小組
品管部
風險和機遇評估表
風險和機遇評估表/FMEA
風險和機遇評估表
風險和機遇評估表
5.1風險和機遇管理策劃
總經理室根據國際、國內、地區和本地的各種法律法規、技術、競爭對手、市場變動和價格、文化、社會和經濟因素,企業的價值觀、文化、知識和以往績效、客戶技術信息反饋等,確定本公
司企業目標和戰略方向,識別出本公司投資計劃要求,同時分析識別風險、消除風險、降低或減緩風險,充分利用可能的發展機遇,保證實現企業效益和管理體系預期結果,形成初步方案含經營規劃等,同時上升至董事會討論.
經公司董事會議討論研究,最終確定公司戰略目標方向及方案,明確與公司目標和戰略方向相關的各種外部和內部因素,包括需要考慮的有利和不利因素或條件。
總經理室根據董事會會議決議結果,識別形成《風險和機遇評估表》,依照分析結果為重大風險或機遇的,需實施應對風險和機遇的措施,并形成《風險和機遇評估表》。
各部門依總經理室決議后確定的公司戰略方向目標以及識別出的風險和機遇,同時結合本部門在生產和管理活動中存在的風險和機遇,建立識別和應對的方法,確認本部門存在的風險,并將評估的結果記錄在《風險和機遇評估表》。
在風險和機遇的識別和應對過程中,責任部門應對可能存在風險的車間、生產過程和人員存在的風險進行逐一的篩選識別,風險識別過程中應識別包括但不限于以下方面的風險:
5.1.1總經理對公司環境與背景、投資計劃方案等階段進行分析,明確公司的內部環境與外部經營、環保政策環境,確定公司的正面環境與負面環境,并形成SWOT分析報告。
a
.在SWOT分析報告中,
SO方面,屬于公司的機遇,利用公司的優勢與機會,由總經理確定公司的“戰略方向”。
b.在SWOT分析報告中,
WT方面,屬于公司的風險,針對公司的劣勢與威脅,識別出主要風險并采取應對風險和機遇的措施。
5.1.2相關方要求或期望中存在的風險或機遇。
a.
營銷部識別來自顧客的要求或期望,識別出的顧客要求如果目前公司不能滿足,則構成公司的風險,需要采取應對風險或機遇的措施。
b.
供應鏈管理部識別來自供方的要求或期望,并識別其中的風險或機遇,如果評估風險屬于高風險或機遇,需要有應對風險或機遇的措施
c.
廠務部識別來自法規監管方的要求或期望,并識別其中的風險或機遇,如果評估風險屬于高風險或機遇,需要有應對風險或機遇的措施。
d.研發部識別來自產品方面法律法規的要求,并識別其中的風險或機遇,如果評估風險屬于高風險或機遇,需要有應對風險或機遇的措施。
5.1.3體系運行過程中存在的風險來源于以下幾個方面
a.對產品適用的法律法規、客戶要求的變更造成的風險;
b.生產作業過程中的安全風險;
c.設備、工裝夾具、刀具對產品質量造成的風險;
d.產品售后的風險;
e.產品設計開發階段的設計失效風險①;
f.過程失效的風險①;
g.重大環境因素未識別的風險;
h.關鍵設備故障的風險;
i.應急預案不完善的風險;
j.人力資源短缺的風險;
k.操作工無法準確理解作業指導書進行操作過程的風險和機遇管理;
l.訂單突然增加的風險;
m.客戶投訴增加的風險等。
注①:設計失效和過程失效可參考失效模式分析中DFMEA設計失效模式分析和PFMEA過程失效模式分析的方法對設計和生產過程存在的風險進行評估,若選用其結果應按要求得到控制。
5.2建立風險/機遇管理團隊
5.2.1建立分風險和機遇評估小組
風險識別活動的開展應是一次團體的活動,各部門在進行風險識別和評估過程中應通過集思廣益和有效的分析判斷下進行,在此之前應建立一個“風險和機遇評估小組”,總經理室應通過授權,賦予該“風險和機遇評估小組”以下的職責:
a.
組織實施風險和機遇分析和評估;
b.
制定風險和機遇應對措施并落實執行;
c.
組織實施風險應對措施的實施效果驗證。
在“風險和機遇評估小組”中,
總經理室應指派一名人員作為該小組的組長,負責規劃和安排風險和機遇的識別和應對的控制,并賦予評估小組組長以下職責:
a.
熟悉其所在部門的所有流程;
b.
有一定的組織協調能力;
c.
熟悉本標準的要求,并依據本標準內容策劃風險分析和評估。
5.3
各部門風險機遇策劃及識別
評估小組組長依據總經理室最終確認的戰略規劃及目標,以及總經理室的《風險和機遇評估表》,組織策劃識別各部門風險和機遇并編制《風險和機遇評估表》,指導操作風險識別和風險評估,及對風險的可接受性準則規定。
5.4風險評估
對已識別的風險的嚴重度和發生頻度進行評價,其評價的要求應依據本程序所規定的評價準則進行評價確認,風險的嚴重度和發生頻度的確認用以確定風險系數,之后根據風險系數確定對風險應采取的措施。
5.4.1風險的嚴重程度評價準則
風險嚴重度用于評價潛在風險可能造成的損害程度,根據對潛在風險的評估量化,若潛在風險發生后,其會導致的各方面的影響以及危害程度,以下包括但不限于風險產生后會導致的危害:
a.法律法規、產品及客戶要求;
b.風險發生時導致的環保影響;
c.損失的多少;
d.是否會導致停工/停產;
注:在對風險進行嚴重程度判定時,推薦擴大分析風險所帶來的危害層面,以便于更有效的對潛在的風險采取措施,以達到減少或部分消除風險乃至完全消除的目的。
為便于識別風險所帶來的危害程度,對風險的嚴重程度進行區分,風險嚴重度分為以下五類:
a.
非常嚴重
b.嚴重
c.
較嚴重
d.
一般
e.
輕微
下表為依據定義的風險影響和影響程度的多少進行量化,在對風險的嚴重程度進行評價時,下表作為評價風險嚴重度的準則:
嚴重程度
描述
嚴重
等級
質量
質量環境
環境
顧客方面
影響后續過程
成本損失
(萬元)
法規監管層面
污染排放方面
非常嚴重
顧客停止與我司合作
本過程無法工作
損失≥10
停業整頓
臨近江河湖泊流域性
5
嚴重
顧客停線
本過程全部離線返工
10<損失≥5
行政罰款
本行政區域內
4
較嚴重
顧客退貨
本過程局部返離線工
5<損失≥0.5
有條件運行
本工業區區域
3
一般
顧客投訴
下過程全部在線返工
損失<0.5
書面改善
本工廠內
2
輕微
顧客情報反饋
下過程部分在線返工
無損失
口頭問題
不影響
1
嚴重度判定過程中,當多個因素的判定其嚴重程度不一致時,應遵循從嚴原則進行判定,即當多個因素中僅其中一個或部分因素其嚴重度級別更高時,依據嚴重級別高的因素作為風險嚴重度進行判定。根據上表內容確定風險的嚴重度后,將嚴重等級數字填入《風險和機遇評估表》中。
5.4.2風險的發生頻率評價準則
風險的發生頻率是指潛在風險出現的頻率,為便于識別和定義,將風險頻度定義為5級,如下所示:
a.
極少發生;
b.
很少發生;
c.
偶爾發生;
d.
有時發生;
e.
經常發生;
通過對上述的不確定因素進行評價風險發生的頻度,風險的發生頻率的評價以其可能發生的頻率進行量化確認作為風險的發生頻率的評價準則:
發生頻度
定義
等級
極少發生
發生概率≤0.001%
1
很少發生
0.001%<發生概率≤0.1%
2
偶爾發生
0.1%<發生概率≤1%
3
有時發生
1%<發生概率≤10%
4
經常發生
發生概率≥10%
5
發生頻度判定過程中,當一個或多個因素在判定過程中其發生頻度不一致時,應遵循從嚴原則進行判定,即當多個因素中僅其中一個或部分因素其發生較為頻繁時,依據發生頻率較高的因素作為風險發生度進行判定。根據上表內容確定風險的嚴重度后,將嚴重等級數字填入《風險和機遇評估表》中。
5.4.3風險的可接受準則
風險可接受準則是通過計算得出的風險系數來判定風險是否可接受,通過對風險的嚴重度和風險的發生頻率評價后,通過計算風險系數確定是否對風險采取措施。風險系數的計算如下公式:
風險系數=風險嚴重度等級*風險頻度等級
使用風險系數作為參考值,下表為風險風險系數的范圍及當風險系數達到一定值時應對風險采取的措施:
風險
系數
風險等級及應采取的措施
風險等級
風險措施
15-25
高風險
應立即采取措施規避或降低風險
5-15
一般風險
需采取措施降低風險
1-5
低風險
風險較低
,接受風險
在進行風險分析和風險應對過程中,應保持風險措施的方案和實施結果的跟進記錄,風險分析和風險應對措施的詳細內容應記錄在《風險和機遇評估分析表》中,記錄的保持依據《記錄控制程序》文件執行,便于后續的查閱和跟進。
5.4風險應對
各實施部門應對所識別的風險進行評估,根據評估的結果對風險采取措施,從而達到降低或消除風險的目的,風險的應對方式應根據實際情況進行篩選,當潛在的風險可有效的采取規避措施進行規避風險時,應制定風險規避方案,確認風險規避措施并予以執行,直至部分消除或完全消除風險。制定風險應對的額措施時必須將相關措施貫徹到公司日常運行程序中,且部門的管理活動不應與公司層面如SWOT
分析活動對應的措施沖突。
對風險所采取的措施應考慮盡可能的消除風險,在無法消除或暫無有效的方法或者采取消除風險的方法的成本高出風險存在時造成損失時,再選擇采取降低風險或者風險接受的風險應對方法。
5.5.風險和機遇評審的策劃
風險和機遇評審應每年度至少實施一次評審,以驗證其有效性。當出現以下情況是,應當適當
增加風險和風險評審的次數:
a.
與質量環境管理體系有關的法律、法規、標準及其他要求有變化時;
b.
組織機構、產品范圍、資源配置發生重大調整時;
c.
發生重大品質事故或相關方投訴連續發生時;
d.
第三方認證審核前或其他認為有管理評審需要時;
e.
其他情況需要時。
6
引用文件:
6.1《記錄控制程序》--------------------
SST-QEP-02
7
記錄表單:
關鍵詞:企業會計信息;風險識別;管理分析
中圖分類號:F23 文獻標識碼:A 文章編號:1001-828X(2013)11-0-01
風險就是未來可能發生的不確定性的結果,在財務管理方面不論何種風險都會造成重大損失,因此需要對風險進行有效識別和管理,以最大限度降低風險成本。企業會計信息系統可以有效維護企業的整體運行,企業對會計信息系統進行風險識別和管理不僅是企業財務規避風險的需要,也是整個企業風險管理的需要。但目前我國在會計信息系統風險識別和管理方面的研究還很少,企業在會計信息風險管理方面的認識和經驗還不足,很多企業為保證會計信息安全傾盡了大量財力、物力卻沒有任何效果。因此企業如何識別風險,并采取措施進行有針對性的風險管理,需要企業管理者認真思考總結,以對癥下藥。
一、企業會計信息風險識別
1.會計信息風險識別的定義和重要性
對事件的識別可以幫助企業管理者熟悉影響業務活動的各種因素,但事件識別無法清楚了解這些事件蘊含著怎樣的風險。因此企業管理者在了解事件的同時,更應分析這些復雜的事件蘊含了哪些“風險”,即風險識別。企業會計信息風險識別可以將不確定的事件轉化為清晰的風險陳述,在事件識別和風險評估之間起到橋梁的作用。
2.會計信息風險識別的內容
企業會計信息風險識別可以分為三個方面:(1)利用風險檢查表來系統地識別風險;(2)對已知風險進行交流。采用口頭或書面的方式,在企業會議上針對已知風險進行交流;(3)將已知的風險編寫成文檔,可以方便以后查閱。文檔內容從風險陳述和相關風險的背景兩個方面來寫,風險背景中要包括風險發生的時間、地點、原因和后果[1]。
3.會計信息風險識別的方法
企業會計信息識別風險的方法有很多,財會人員可以通過分析公司歷年的財務報表,加強與部門經理的討論溝通,多進行員工調查,或咨詢保險人和風險管理咨詢顧問等方式,以此識別各種潛在風險。財會管理者在運用各種風險識別方法時,首先要全面了解部門、企業以及影響企業的經濟、法律和法規等“事件”。有效識別面臨風險的各項財產以及造成潛在損失的原因,考慮對這些財產進行計量的方法。綜合各種計量屬性的優缺點,選擇合理的估價方法。
二、企業會計信息風險管理分析
1.會計信息風險評估
企業會計信息風險評估即對會計信息及信息處理設施可能發生的威脅和影響的評估。企業財會部門利用風險評估可以有效考慮潛在風險對會計目標達成的影響,以確定會計信息風險控制的優先級,實現對潛在風險的有效控制,將風險降低到最小范圍。風險評估時管理者首先應考慮到企業資產及其價值的潛在威脅,研究風險發生的可能性和薄弱點,建立完善的風險評估流程。風險評估方法分為定性和定量兩種,對于不能量化的或不能進行定量評價,實踐中沒有實用性的風險采用定性的評估方法。定性分析方法側重于關注事件帶來的損失,而很少關注事件發生的頻率,主要是通過事件面臨的威脅和脆弱點來確定事件的風險等級,評估中也沒有具體的數據,以期望值來設定風險的影響值和概率值[2]。
當單純的期望值不能區分風險值間的差別時,就需用定量評估法。定量評估主要是利用威脅事件發生的概率和可能造成的損失這兩個因素,這兩個因素相乘的結果稱為ALE。通過ALE可以計算出風險等級,以對此做出相應決策。不同規模的企業風險評估工具的選擇不同,比較小的企業財會部門的風險管理決策主要來自經驗判斷,對于規模較大的企業一般通過數據收集、處理分析來進行風險評估。常用的風險評估工具有使用歷史數據法、使用回歸分析方法和使用正態分布模擬損失分布等。
2.會計信息風險應對
在企業會計信息風險應對中,首先應以風險評估的結果為依據,判斷威脅事件的薄弱點,選擇合理的手段和正確的保護措施。其次,也應該考慮到費用問題,確保應對措施的費用在財會部門預算范圍之內。根據應對措施的費用和部門的實際預算選擇合理的方式,達到降低風險的目的。常見的風險應對方法有規避風險、減輕風險、承擔風險和接受風險等。風險的發生是隨機和不確定的,因此風險應對也是一個動態的過程,財會部門應使用動態的方法應對風險,及時更新風險管理體系。
3.會計信息風險監控
企業會計信息風險監控是財務信息風險管理的重要組成部分,可以通過持續監控和單獨評價兩種方式實現。在企業財務部門的日常業務活動中實行持續監控,依靠風險評估和持續監控的有效性進行單獨評價。持續監控是財務部門對日常工作和業務活動的動態監控,財會部門在工作中如發現風險管理的缺陷應立即向上級匯報,以采取相應措施彌補。通過日常的監控可以及時發現會計信息管理中的各種問題,以規避風險。在風險事件發生后進行個別評估,探討財會部門風險管理的有效性,重視對事件缺陷的挖掘與匯報,建立可靠的溝通渠道,及時匯報一些敏感或非法的信息[3]。
三、結語
在激烈的市場競爭中,企業在經營管理的各個環節,不可避免的會存在一定風險,這些風險可能對企業產生重大影響。有效規避和化解企業會計信息中的風險,是確保企業在激烈的競爭中持續發展的基本要求。財會部門作為企業的核心部門,在日常工作中應該建立有效的風險管理體制,對可能發生的風險進行評估,并采取相應的措施應對,也要實施風險持續監控制度,積極挖掘財會工作中的各種風險管理缺陷,以此規避風險減少企業經濟損失。
參考文獻:
[1]李華麗.淺論會計風險管理存在的問題[J].中國市場,2010,5(26):21-23.
通過評估結果來看,目前銀行業機構尚未將洗錢風險管理當做一項系統化、規范化的工作來做,在風險管理架構、風險評估、風險監測和應對各環節中存在不同程度的缺陷。
(一)風險管理架構狀況總體上看,金融機構的風險管理架構尚處在合規管理狀態下,制訂各項反洗錢工作制度和操作規程的重點停留在規避違規風險上,而未能將工作思路轉到如何識別、評估和監測客戶和交易的洗錢風險上。主要表現為:1.金融機構反洗錢風險控制的政策目標存在偏差。多數金融機構風險控制目標集中在反洗錢工作合規性上,而未將識別和控制洗錢風險做為最終的政策目標。2.反洗錢制度更新頻度與業務發展不匹配。除國有商業銀行以外的銀行機構,特別是地方法人機構,反洗錢內控制度或操作規程的更新與其業務發展嚴重脫節,個別金融機構的客戶身份制度仍在執行2007年制定的版本,新業務新產品推出未能及時納入洗錢風險控制與監測的范圍。3.高管缺乏對洗錢風險的認知和對員工引導。通過調閱被評估單位的會議記錄及書面批示內容來看,多數金融機構的高管對反洗錢風險控制的認知放在規避反洗錢違規風險上,對工作的指導方向與洗錢風險管理相差甚遠。4.反洗錢資源配置缺乏合理規劃。在抽樣機構中,除工行、建行的分支機構的反洗錢工作做到了團隊做、專業做外,其他金融機構反洗錢工作全部由指定的內設部門的人員來兼職反洗錢工作,且部門和崗位變動頻繁,不利于本機構的反洗錢工作開展。5.反洗錢工作內容未完全融入機構的合規文化建設中。一是反洗錢內控制度和操作規程多數獨立于業務條線的操作規程;二是抽樣評估的機構中,尚有部分機構未將反洗錢履職行為納入年度或其他定期的績效考核范圍;三是員工反洗錢業務培訓工作未能以提高員工業務技能為出發點,從培訓記錄的內容來看多數為應對人民銀行的現場檢查;四是反洗錢宣傳工作未能發揮主觀能動性,結合機構業務情況自行設計和印制宣傳材料,主動履行反洗錢宣傳義務。
(二)風險識別與評估狀況1.缺乏有利的風險識別與測量工具。一是從抽樣結果看,金融機構尚未建立識別與測量客戶風險敞口的統計工具;二是尚未建立識別產品風險敞口的統計工具;三是尚未建立識別高風險業務風險敞口的統計工具;四是尚未建立識別實際受益人的識別和統計工具。2.缺乏評估產品風險的機制。評估期間,所有評估機構尚未按照《金融機構洗錢和恐怖融資風險評估及客戶分類管理指引》(下稱《指引》)的要求建立對產品風險的評估機制。3.缺乏有效的客戶風險評估指標設計。從評估結果看,抽樣機構的客戶風險評估指標未能參照《指引》的要求,建立綜合性的評估指標,對客戶實施動態風險評估和管理。4.缺乏科學合理的風險評估流程。從評估結果看,抽樣機構的風險評估工作目前正處于兩個極端:一是有客戶風險等級評估系統的全部依靠系統自動評估,缺乏人工審核;二是沒有客戶風險等級評估系統的,全部依靠人工主觀判斷,缺少系統客觀指標的輔助,這兩種情況均可能導致客戶風險等級劃分、調整、審核工作流于形式。
(三)風險監測狀況1.缺少反洗錢和反恐怖融資黑名單實時監控功能。多數地方法人機構未能將反洗錢和反恐怖融資黑名單置入核心業務系統,無法設置業務觸發點以及對反洗錢和反恐怖融資監控名單進行實時更新。2.缺乏有效的內部審計監督機制。從抽樣評估的情況來看,除上級機構的反洗錢工作審計報告能反饋出反洗錢工作中存在的問題外,抽樣機構對本級以及分支機構的內部審計監督基本流于形式,未能體現發現風險、控制風險的目的。3.缺乏對客戶開展持續調查的工具。目前抽樣機構全部缺少對客戶開展持續調查的輔助工具,不但降低了工作效率,也影響了客戶身份持續識別工作的效果。4.缺乏有效的異常交易監測模型。從目前狀況來看,除工行建立了較為完善的反洗錢監測模型外,其余機構全部按照可疑交易客觀標準設置可疑交易監測指標,需人工判斷的指標無法量化并實現系統自動提取。5.缺乏綜合的可疑交易監測系統。抽樣機構中,除工行的可疑交易監測系統能基本滿足可疑交易分析過程能達到“方便的提取客戶基本信息及交易信息”綜合開展甄別分析外,其他機構的可疑交易監測系統均獨立于業務數據庫之外,無法在技術手段上提供有效開展可疑交易甄別分析的便利條件。
(四)風險應對狀況1.缺乏對高風險業務、客戶的管控措施。多數機構未能建立對高風險業務和客戶的管控措施,在高風險業務發生或高風險客戶提交異常交易后缺少有效的控制手段,難以降低洗錢后果發生的概率。2.缺乏制度化的風險消化、提升風險對抗能力的工作流程。多數機構特別是地方性法人機構缺乏對典型案例進行追溯、審查、分析、追責等工作制度,便于查找自身風控漏洞,提出風險提示和采取相應改進措施的,或采取有效手段予以推行。3.缺乏應對洗錢案件的應急處置措施。抽樣機構全部未建立洗錢風險應急預案,難以保證在涉及自身的案件發生后,能快速做出反應。4.缺乏反洗錢工作的內部溝通機制。多數的抽樣機構未能建立定期的內部溝通機制,便于反洗錢部門定期或不定期與業務條線、下級機構就進一步完善反洗錢內控及風控措施進行回溯性審查、政策研究。5.缺乏與當地反洗錢監管部門的溝通機制。多數的抽樣機構未能建立向當地人民銀行報告重要反洗錢事項、敏感反洗錢工作信息的外部溝通機制。
二、優化風險管理工作建議
(一)及時轉變觀念,樹立風險意識金融機構工作人員特別是金融機構的管理團隊要盡快轉變工作理念,樹立洗錢風險意識,確立正確的反洗錢履職意識和工作目標,同時還要將洗錢風險管理融入本機構的合規文化建設這中,引導本機構的員工在合規基礎上,著力于加大對洗錢風險的識別與管控的工作力度。
(二)加大成本投入,完善風險管理架構1.完善風險管理制度架構。盡快按照《指引》要求,落實風險管理框架下的各項工作制度和操作規程,提高客戶、產品、業務之間綜合開展風險評估的能力。2.優化反洗錢技術手段。在優化完善反洗錢工作技術性的輔助系統上加大成本投入,建立綜合性的反洗錢分析監測系統,完善風險識別與測量工具,逐步提高對高風險業務、高風險客戶的綜合監測和分析能力,建立持續性的風險監測分析制度及配套的技術手段。3.合理配置反洗錢資源。反洗錢工作資源的配置要與客戶、產品的市場拓展,對風險的接納能力以及所擁有的技術手段相匹配,有條件的機構要推廣反洗錢工作團隊作、專業作,條件有限的情況下要按照風險高低程度合理配置工作資源,在保證質量的前提下提高工作效率。
(三)優化工作流程,提高風險識別監測能力1.提高員工培訓的實效。員工的反洗錢意識、工作能力、制度執行力直接影響著反洗錢工作成效,員工培訓要從這三個方面入手,提高培訓工作實效。2.建立綜合性風險識別與監測機制。客戶、產品、業務的風險識別與監測是關聯度較緊密的工作,在實際工作中要充分利用各種工作資源和工作信息,建立綜合性的評估指標及評估機制,對客戶實施動態風險評估和管理。3.建立科學合理的風險評估流程。建立起系統自動評估與人工審核相結合的風險評估流程,實現人機互補,提高風險評估質量和效率,從而建立對客戶風險等級劃分、調整、審核工作的動態化持續化的管理機制。4.建立科學的異常交易監測模型。參照人民銀行的可疑交易監測模型,結合本機構業務開展情況、對風險接納能力、客戶群的分布特征,建立適合自身的異常監測模型,將風險監測工作落到實處。5.建立綜合性的可疑交易監測系統。可疑交易監測系統要與業務數據庫建立聯系,使系統能達到“方便的提取客戶基本信息及交易信息”綜合開展甄別分析的要求,在技術手段上為可疑交易甄別分析提供有效的便利條件。
關鍵詞:風險管理;審計計劃
中圖分類號:F239 文獻標識碼:A 文章編號:1001-828X(2013)06-0-01
一、風險管理
風險管理自被提出以來,一直主要應用于金融領域。而企業的風險管理大范圍受到重視僅近30年,其發展歷程大致為:20世紀70年代,企業風險管理只是單一的信用風險管理;20世紀80年代,企業風險管理主要是針對投資風險和財務風險的分散和回避;進入20世紀90年代,企業越來越重視風險和風險管理,全面風險管理等被提出并付諸實踐。1992年,COSO(Committee of Sponsoring organization)委員會了《內部控制――整體框架》,在此基礎上,該委員會于2004年提出了《企業風險管理――整合框架》(企業風險管理簡稱ERM),認為企業風險管理是一個過程,由企業的董事會、管理層和其他人員共同參與實施,應用于企業戰略制定和企業內部的各層次和部門,貫穿于企業之中;風險管理的目的在于識別可能對企業造成潛在影響的事項,并在風險偏好范圍內管理風險,以將其限制在風險容忍度內,為企業實現目標提供保證。
ERM風險管理框架的要素“內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監控”,實際就是對風險管理過程的詮譯,在這八個要素中,事項識別、風險評估、控制活動及監控與內部審計有直接的關系。基于以上分析,得出風險管理的基本理念就是識別風險、評估風險和控制風險,這與近年來倡導的風險導向審計理念有共同之處。風險管理活動應該貫穿于內部審計工作的全過程,特別是年度審計計劃的制定更應體現對企業風險的控制,將有限的審計資源重點投放到高風險的領域。
二、內部審計在風險管理中的作用
國際內部審計師協會(IIA)認為內部審計是一種獨立、客觀的確認和咨詢活動,它通過應用系統、規范的方法,評價并改善組織的風險管理、控制和治理過程的有效性,幫助組織實現目標。顯而易見,隨著客觀環境的發展,內部審計已將評價和改善組織的風險管理作為其重要職能之一,內部審計人員必須樹立風險理念,將風險識別、評價和控制融入到實際工作中。按照COSO的ERM報告,在風險管理過程中,內部審計機構和人員的職責是應用一定的風險管理方法和審計方法,檢查風險管理過程的充分性和有效性,評估風險是否得到有效控制,且以報告形式提出意見,為管理層及審計委員會提供幫助。
雖然COSO和IIA都強調了內部審計在風險管理中具有重要的地位和作用,但我們也發現,事實上無論IIA還是COSO都沒有對內部審計如何具體參與企業風險管理作出相應的闡述。針對企業的風險管理的具體情況來看,內部審計參與風險管理是一個逐步發展的過程,在不同的階段中,內部審計工作的側重點各有不同。
企業未建立風險管理機制時,作為職能部門,內部審計應積極向管理層提出建立風險管理機制的建議。提請管理層關注風險。并且內部審計工作計劃應該是在風險分析的基礎上制定。如果企業管理層提出建立風險管理機制的要求,內部審計部門可以通過咨詢服務的方式,積極協助企業風險管理過程的建立,內部審計人員可以運用對企業內部情況比較了解的優勢和專業知識,從獨立客觀的角度為審計委員會和管理層提供有價值的咨詢服務。內部審計可以通過指導管理層和相關業務部門對風險進行識別與評估,明確管理層的風險偏好和風險容忍度,并相應地做出風險應對等方式來協助管理層建立風險管理機制,促進企業的風險管理水平的提高。如果企業建立了風險管理機制,內部審計就可以將對風險管理的評價作為審計工作的內容之一,以檢查、評價企業對風險管理的適當性和有效性。內部審計人員應當對風險識別過程、風險評估的方法、風險應對措施進行審查與評價,審查評價風險管理過程的充分性適當性和有效性,并對于風險管理過程存在的問題提出改進建議。
ERM將企業的內部審計人員推上非常重要的地位,認為內部審計人員可以通過對管理者風險管理過程的充分性、適當性和有效性進行監控、檢查、評估、報告和提出改進建議來幫助管理層和董事會履行其職責。實際工作中,內部審計通常并不將企業的風險管理過程作為一個專門審計項目予以開展,其原因在于風險管理措施、手段與企業的內部控制整體不可分割,因此內部審計參與風險管理仍然體現在項目選擇和項目實施中。其中項目選擇更加突出體現風險管理理念,項目選擇實質上就是年度審計計劃的制定。可以說,將風險管理理念和方法融入內部審計年度審計計劃的制定是科學合理的選擇。
三、運用風險管理理念制定年度審計計劃的基本原理及方法
《國際內部審計實務公告》第2010―2:“審計計劃對風險和風險的暴露的關注”強調首席審計執行官應該制定以風險為基礎的計劃,以確定內部審計活動重點。具體方法是在風險評估和風險暴露優先次序的基礎上安排審計工作。根據以上論述,我們認為如果企業已經建立起風險管理機制并開展了風險管理工作,則內部審計完全可以利用其成果,有針對性地選擇審計重點;如果企業尚未建立風險管理機制,則內部審計可以按照風險管理的理念和思路開展風險識別、風險評估等工作,并以此為基礎制定年度審計計劃,確定審計重點。
風險識別是風險管理中的關鍵和難點,如何識別風險也是審計計劃制定過程中的關鍵起點。這里我們充分利用傳統的審計風險控制模型來和內部控制評價理論來確定風險識別的方法。傳統審計風險模型認為,審計風險=固有風險×控制風險×檢查風險,當審計師可接受的審計風險水平確定時,固有風險、控制風險與檢查風險成反比例關系,也就是說當審計師識別了高固有風險和高控制風險領域,那么其檢查風險就會降低。顯然識別風險就是要識別固有風險和控制風險,但在實際操作中,固有風險與控制風險往往相伴相生,我們通常并不將其分開識別和評估。同時考慮到內部控制評價對企業業務流程的分解和評價與這里的風險識別和評估有著共同特點,因此我們可以參照內部控制評價方法細化流程中的控制環節,針對各個控制環節識別并評估固有風險和控制風險的高低,這將大大降低風險識別的盲目性。具體步驟是根據內部控制評價體系的基礎資料,制定風險評估方案,進行風險識別、風險調查、風險專業判斷、風險評估及報告和實際運用(制定審計計劃),當然對固有風險和控制風險的評估結果并不是制定審計計劃的唯一依據,通常還須結合審計資源等情況,綜合考慮和權衡。
四、實際運用中需要注意的問題
1.在風險識別環節,根據經驗和內部控制評價方法來選擇風險環節的科學性,是否存在遺漏其他高風險環節,這方面需要在實踐中不斷完善。
2.在風險調查環節,風險管理是全員參與的過程,風險識別調查范圍必須有一定的寬度,選擇的調查點須具有代表性。另外,調查方式方法的選擇及調查內容的設計,對調查的被接受性和調查結果的準確性必然產生很大的影響,因此調查的方式方法選擇要避免走過場式的隨意性,調查內容的設計要易于理解,不會讓被調查者產生歧義。
3.在風險判斷環節,如何把握風險測定的因素和標準的完整性準確性、專業判斷的科學性,需要根據企業發展的實際情況不斷完善。
綜上所述,隨著審計環境的變化,運用風險管理理念制定年度審計計劃不僅是一種有益的嘗試,更是的提高效率、合理化科學化的必然選擇。風險管理理念的融入必將使內部審計年度計劃的制定更加具有針對性,使內部審計部門能夠更加合理地配置有限的審計資源,將審計工作重點轉向高風險領域,從而使企業的內部控制達到事半功倍的效果,反過來也必將推動內部審計工作不斷向科學化方向發展。
參考文獻:
[1]朱榮恩,賀欣.內部控制框架的新發展―企業風險管理框架-COSO委員會新報告《企業風險管理框架》簡介[J].審計研究,2003(6).
[2]高巖芳.ERM框架影響下的內部審計的新發展[J].內蒙古財經學院學報,2005(5).
關鍵要:海洋石油工程;作業危險評估法;安全;風險管理本文主要從風險管理為切入點,結合海洋工程企業中的項目為依托,對項目在施工過程中的風險進行分析并提出風險規避方法從而有效的避免風險的發生。
一、海洋工程項目風險的識別
(一)工程項目風險的定義及特點
海洋工程項目風險則是指在項目的策劃、設計、建造、安裝、調試以及后期投入使用各個階段可能面對的損失。項目的風險在任何項目的任何過程中都會存在。如果不能有效的對項目的風險進行控制,可能會造成項目在實施的過程中出現失控現象,從而導致延長工期、增加成本、甚至項目失敗影響企業聲譽。任何海洋工程項目都有一次性、獨特性和創新性的特點,項目風險也具有隨機性、相對可預測性、漸進性、階段性、突發性等特點。
(二)工程項目風險的分類
根據海洋石油項目的整體特點,基本可以分為可控風險和不可控風險兩大類。可控風險指的是以人的主觀能力可以控制住的風險,這些風險都可以有效的避免或者可以提前采取一定的措施進行預防,比如施工風險、安全風險、技術風險等等;不可控風險指的是客觀存在的,不以人的意志為轉移的風險,一般不能有效的規避或者采取預防的措施,例如政治風險、經濟風險、自然災害等等。
(三)海洋工程項目風險的識別
海洋工程的項目與傳統的土建項目有著明顯的區別,海洋工程的項目交叉作業多、涉及專業多、作業環境復雜、參與人員及設備較多等特點,那么在項目的運行過程中,如何對風險進行有效的控制,首先要對項目的風險進行識別,分析出屬于哪類風險,這就要求首先做好風險的識別。以海上組塊的安裝為例,根據海上安裝的施工方案,將該組塊的海上安裝過程分為“作業船就位、拋錨”、“組塊掛扣”、“固定切割”、“組塊起吊”、“組塊就位”及“組塊固定”這幾個過程,通過對每個過程中參與作業的設備、人員及外部環境的研究,識別出了每個過程中的安全風險因素。如作業船就位、拋錨過程,參與的機具船舶有:發電機、絞車、錨機、通訊設備、兩條輔助船舶及相關設施。參與人員有:作業船及輔助船船員、定位人員、指揮員。因此這個過程中可能的風險有:發電機及絞車故障、通訊設備故障、人員誤操作、未按方案布錨、走錨等風險。同理可以得到其他幾個作業過程的風險因素。因此有效的識別風險,是為了風險評估、風險應對和風險監控提供強有力的基礎。
二、海洋工程項目風險的評估
在項目風險識別之后馬上要對項目的風險進行評估,對項目所有的不確定的風險因素進行全面的分析識別后進行綜合評價,區分出可控風險和不可控風險。如果有必要需要建立風險模型,通過專家分析進行風險評估并制定有效的方法進行應對。
(一)項目風險的評估的方法
項目的評估方法有很多種,例如作業危險評估法、期望值法、事故樹分析法、敏感性分析法、模糊數學法等,而海洋工程項目中一般采用的評估方法是作業危險評估法(LEC法)。
(二)海洋項目風險評估
以海上平臺安裝為例,在海上平臺的安裝過程中,相關人員識別出在施工的過程中存在某種突發安全風險后,應該立即組織專家組對該風險進行評估,通過對“事故的不可預測性”、“措施的無效狀態”、“人員暴露在危險環境下的頻度”、“事故可能損失后果”的等等各個方面進行有效的評估,得到了風險因素的危險程度值及危險等級,為下一步風險的應對提供基礎。
三、海洋工程項目風險的應對
(一)海洋工程項目風險的應對的方法
在風險評估完成后,為了保證項目的順利進行,就需要專家組提出應對風險的措施和方法,應對風險的方式多種多樣,但籠統的歸納后有以下兩種:1、控制方法,及發現風險后提出有效的手段進行控制從而降低風險,主要以風險回避、風險遏制和風險轉移等手段。一般情況下對于海洋工程中的可控風險,一般都會采用這種手段進行控制。2、利用財務手段。在海洋工程領域,大多數情況下業主都會要求分包商進行購買海事保險的方式進行風險分攤,尤其是在重大設備設施的運輸、吊裝等作業行為前,都需購買保險釆用財務的手段將項目風險進行轉嫁。
(二)海洋工程項目風險的應對的原則
1、風險應對有針對性原則。在項目進行中,所采取的每一項措施都必須有針對性,否則勢必會浪費企業資源。2、風險應對可操作原則。在發現風險后在經過專家組的論證后制定的每一項應對措施中都必須可操作性,不應僅僅停留在紙面上,否則對防范風險沒有任何意義。3、風險應對最大執行力原則。在經過專家組的論證后制定的每一項應對措施后,應引起項目經理的足夠重視,從項目高層著手保證這些控制措施發揮其應有的效用。4、風險應對全面原則。一般海洋工程項目的風險具有多樣性,復雜化等特點,必須全面的指定有效的措施,需要采取多樣的方法從不同角度對其予以全面控制。5、風險應對措施與經濟成本相協調原則。在選擇風險控制措施時,在相同效果的前提下采取成本較低方案。6、風險應對能力導向原則。控制安全風險時,主要以預防為主,在能力范圍內可消除的必須進行處理,無法消除的最大化的削弱風險。
四、海洋工程項目風險的監控
(一)項目風險監控的概念
項目風險的監控是在對項目風險管理指定相關措施后對風險管理過程中的監視和控制。
(二)項目風險監控的目標
在項目風險監控措施的實施的過程中,都應該達到一些目標,這些目標包括:及早識別是否還有新的風險,避免已經發現的風險發生、減少風險發生后帶來的損失、總結經驗教訓在本文中項目風險監控雖然處于項目風險管理的最末端,但是風險監控是貫穿于項目整個過程中的,因此建立一套可行的項目風險監控系統是必不可少的措施,也是風險監控的關鍵所在。
本文在綜合考慮海洋石油工程項目特點及各類分析方法適應性的基礎上,對組塊的海上吊裝安裝過程進行風險管理研究,依此建立了風險源及風險識別、評估表,并基于盡早的識別風險,盡可能避免項目進行中事故的發生以及降低項目風險發生以后所產生的不利后果的目的,建立了兼具科學性和可操作性的項目安全風險監控系統。海洋工程項目的安全風險管理與對組塊海上安裝過程的安全風險管理類似,需要對全過程的作業信息進行收集并處理,識別出項目進行過程中的安全風險,并針對性的進行應對,然后評估每個風險因素的危險性及風險等級。若應對后的風險等級仍然較高,那就需要采取整改措施進行整改,若風險等級較低,則代表風險受到控制,可以繼續作業。對風險識別、風險評估及風險應對的全過程實施風險監控,確保識別出所有的安全,且風險的應對措施能夠被有效的實施,或對應對措施效果不好的風險進行整改。從而保證項目內每個風險因素都能受到有效控制。
作者:王增 孫詩杰 曹德明 單位:海洋石油工程股份有限公司
參考文獻
[1]劉洪浩.淺議項目風險管理理論[J].撫順市中醫院學理論.2011.
[2]彭俊好,徐國愛,楊義先,湯永利.基于效用的安全風險度量模型[J].北京郵電大學學報.2006.
[3]張俊.淺析項目風險管理與項目管理[J].黑龍江科技信息.2007.
[4]葛治江.國際石油工程EPC總承包項目安全風險因素分析[J].石油化工建設.2009.
本文基于德爾菲法,通過整合風險評估理論分析了目前商貿流通業轉型中的風險,并提出了建立或完善商貿流通業風險評估體系的方法和措施,希望能夠為商貿流通業轉型期風險評估研究提供有益參考。
關鍵詞:
商貿流通業;風險評估;德爾菲法
一、轉型時期的商貿流通企業風險分析
(一)細分市場風險事實上,市場細分建立在三個基礎上。在市場上,消費者總是希望根據自己的獨特需求去購買產品,因此不同顧客間的需求是有差異性的;在同一地理條件下、具有相同背景和文化的人們有著相對類似的價值觀和人生觀,因此他們的需求又是具備相似性的;企業受限于自身實力,無法向市場提供滿足一切需求的產品。為了有效競爭,企業選擇市場細分,針對目標市場,集中企業優勢資源,取得競爭優勢。目前商貿流通企業在轉型中的確將很大一部分將精力投入到細分市場中,盡量滿足客戶多元化及個性化的需求,但這背后其實也隱藏了很大的風險。首先,細分市場可能導致其訂單碎片化和小量化,影響其市場占有率。其次,細分市場可能會增加企業運營成本。整個商貿流通業的利潤率并不高,如果缺乏銷量的支持,企業很有可能會虧損。最后,消費者需求變化快,細分市場不穩定,增加了企業運營風險。
(二)互聯網運營風險在互聯網經濟時代,電子商務的快速發展帶動了商貿流通業與互聯網的快速“聯姻”。應用新技術和發展新模式成為商貿流通業改革創新的重要手段,其中大力發展電子商務,建立網絡化平臺就是當今的主流趨勢。傳統的商貿流通業存在著信息不對稱、資源配置效率低等弊端,而在以云計算、物聯網為代表的新一代信息技術沖擊下,電子商務平臺幫助傳統商貿流通業突破束縛其做大做強的瓶頸,成為組織配置資源和要素的中心,主動引導生產和影響消費,真正成為經濟活動的主導者。對于眾多商貿流通企業來說,挑戰無處不在,其中最突出的問題即是線上與線下模式的沖突,線上模式由于減少中間渠道商環節,可以節省一定成本,因此線上商品價格普遍比線下有優勢,這在一定程度上壓縮了線下模式的利潤率,在線上模式未達到盈利規模時,企業需要承擔很大的經營風險和財務風險。
(三)供應鏈整合風險供應鏈整合風險與互聯網運營風險一脈相承,由于線上模式的成功很大程度上依賴于倉儲物流及供應鏈管理,然而對于商貿流通企業來說,由于往往處于制造業的下游,對于供應鏈的把控處于非支配地位,因此在經營中往往被動,一旦供應鏈出現環節失聯或溝通無效的情況,便會出現系統性業務失效,進而直接危及企業運營。互聯網與移動經濟的發展使得商貿企業間的競爭不單純是產品的競爭,更是供應鏈與供應鏈的競爭。目前互聯網公司正致力于建設自己的產品生態圈,本質上就是依托自身強大的營銷能力和供應鏈管理能力,橫向擴充產品線,形成競爭優勢。從整條商品供應鏈上看,制造業創造的利潤是最低的,而最有價值的卻是流通服務和產品研發。因此對于一般商貿流通企業來說,整合供應鏈有利于把控上下游產業鏈,降低交易成本,增加企業利潤。很明顯,要做到這點需要流通主體的市場占有率和盈利能力,對于中小流通企業來說,需要有更高層次的改革方向作為配合。
二、科學的企業風險評估體系要素與流程
企業層面的風險評估也稱危險度評價或安全評價,是指在風險事件發生之前或之后(但還沒有結束),對該事件給企業財產和正常生產、運營等方面造成影響和損失的可能性進行量化評估的工作。對于商貿流通業來說,產業轉型升級是企業可持續發展的必然選擇,而風險評估以保證轉型升級安全為目的,通過對固有或潛在風險進行定性和定量分析,有針對性地制定控制措施和管理決策。企業風險評估圍繞業務戰略、資產價值、安全需求、安全措施、脆弱性和安全事件等基本要素展開,在對基本要素評估的過程中,必須充分考慮到個要素間相互作用關系。企業風險評估中各要素的關系如圖1所示。
(一)評估準備與資產識別風險前的準備至關重要,關系到風險評估的準備性及實際效果。首先要確定風險評估的目的以及風險評估的范圍,接著組建適當的評估管理與實施團隊。然后進行系統調研,可以采取問卷調查或現場詢問等方式,獲得相關數據后,制定方案,隨即進入資產識別階段,該階段是對系統中設計的重要資產進行識別,并對其等級進行評估。
(二)威脅識別與脆弱性識別威脅識別與脆弱性識別是企業風險評估流程的第二階段。威脅是一種對組織及其資產構成潛在破壞的可能性因素,威脅識別就是要識別重要資產可能遇到的威脅,例如競爭對手可能采取的策略。脆弱性識別也稱弱點識別,每個企業都有優勢資源,一個企業的優勢對應競爭對手就是弱點,因此要識別自身存在的相對于競爭對手的脆弱性,并提前評估定級,同時還要對目前采取的應對策略進行評估,是否應該沿襲或調整。
(三)綜合分析與制定風控預案綜合分析與制定風控預案是企業進行風險評估的第三階段,風險綜合分析是綜合企業資產識別、威脅識別、脆弱性識別的情況及數據,定性和定量地評估目前企業安全狀況及風險因素,確定企業可接受風險范圍;風險控制方案是針對風險綜合分析中的風險要素,特別是不可接受風險,制定風險控制和處理計劃,選擇有效的風險控制措施將殘余風險限制在可接受范圍內。
三、商貿流通企業風險評估體系的完善
(一)方法選擇在目前的主流企業風險評估方法體系中,德爾菲法是應用最為廣泛的。該方法是采用背對背的通信方式征詢專家小組的預測意見,經過幾輪征詢,使專家小組的預測意見趨于集中,最后做出符合市場未來發展趨勢的預測結論,因此本質上是一種反饋匿名函詢法。相較于其他技術預見法,德爾菲法重點在于把握事物發展趨勢,而非結果的精度。德爾菲法有三個明顯區別于其他專家預測方法的特點,即匿名性、多次反饋、小組的統計回答。匿名法是德爾菲法的突出特點,從事預測的專家彼此不知道有哪些人參加預測,這樣就可以減少權威、主觀思想或情緒等因素的干擾,獲得最接近事實的結論;反饋性是指該方法需要經過很多輪的信息反饋,在每次反饋中調查組和專家組都需要進行深入研究,并對自己的想法和結論不斷改進調整,這樣可以避免一些疏忽或填補某些領域的知識空白,使得結果客觀、可信;統計性是指該方法依據集體決策遵循少數服從多數的原則,因此結果反映多數人的觀點。
(二)完善流程依據本文選取的德爾菲法企業風險控制預案制定思想,德爾菲法的實施一般有組建預測小組、選擇專家、設計問卷、實施調查和反饋匯總等步驟,其中調查和反饋是德爾菲法能否發揮作用最重要的環節。在整個實施過程中,組織者和專家組各有不同的任務。針對商貿流通企業的風險控制需求,考慮到每個企業由于所處的市場環境、市場地位不一樣,面臨的風險種類和程度也各有不同,形成具有代表性的標準化風險評估體系建立工作流程十分必要。微觀企業可以參照本文操作流程來有步驟、因地制宜的開展風險評估體系的完善工作,如圖2所示。1.組建預測工作組。對于流通企業由單一流通職能向多功能服務提供者的角色轉變趨勢,企業首先需要綜合評估未來轉型中面臨的大概率風險,將因此而可能涉及到的人事、市場、銷售、研發、生產、供應鏈等環節的負責人都納入評估小組,負責“企業轉型風險評估”調查問卷的設計、專家選擇、調查統計等一系列工作,避免片面,此階段多屬于預測和評估研究性工作。2.選擇專家。進行企業風險評估的專家選擇應來自內部和外部兩個渠道,企業、行業協會和政府等均應納入專家小組范圍,專家不僅要有豐富的研究經驗,還要熟悉商貿流通業的發展歷史和具體的企業經營概況,能夠站在企業、行業及國家三個層面對商貿流通業的未來發展趨勢給出戰略性意見并參與討論。3.設計專家調查表。專家調查表的設計一般來說應根據商貿流通企業的實際情況,可以分為以下幾個部分:該企業目前的競爭優勢有哪些;該企業的競爭對手在哪些方面的威脅最大;該企業最容易出現風險的地方是哪里;該企業進入細分市場的障礙是什么;該企業是否有能力發展電子商務平臺;該企業的供應鏈管理能力如何。專家對每一項做出回答,并按照重要程度劃分:分為非常重要、重要、一般、不重要四個級別。4.組織調查實施。第一輪調查是開放式的,組織者提供背景材料和預測問題,請專家圍繞預測問題提出自己的看法。組織者匯總整理專家意見,歸并同類意見,并作為第二輪調查表分發給專家組;第二輪調研是評價式的,專家評價第一輪調研總結出的每個預測事件,說明事件可能發生的時間、方式、影響和理由,組織者統計這一輪專家意見,再整理出第三輪調查表;第三輪調研是重審式的,在這一輪中,專家會重新審視爭論的焦點,給出自己新的評價,如果修正自己的意見,應敘述更改理由。組織者負責形成最終的風險評估報告和應對預案。值得注意的是,并非所有預測都需要經過這幾步,有些預測事件可能在第二步就達成統一意見,或者經過三輪以上反饋仍然有較大分歧。事實上,定性研究不像定量研究那么精確,結果往往不很統一,只要如實記錄下來就可以盡量真實地反映事件的發展趨勢。運用德爾菲法時必須注意兩點,一是保證專家意見的獨立性,二是專家挑選必須基于對企業的了解,根據專家預測的風險排序,商貿流通企業需要針對每一個可能出現的風險,制定相應的風險預防方案。如果缺乏相應的預防措施,那么企業就應該考慮放棄該轉型方向,選擇從風險系數更小或風險應對措施更加充分的領域開始著手進行轉型變革工作,以便減少失敗概率,取得最大效益,也只有這樣,流通企業的風險預測才能得到更客觀、準確的結果,企業的風險預防和控制工作也才真正有意義。
參考文獻:
1.曲鐘陽.基于德爾菲法的技術預見[D].大連理工大學,2013
2.徐藹婷.德爾菲法的應用及其難點[J].中國統計,2006(9)
3.夏網生,許黎明.加快江蘇商貿流通轉型升級[J].群眾,2014(12)
4.顧宇.傳統國有商貿流通企業轉型升級的路徑探討[J].中國商貿,2013(14)
關鍵詞:制藥生產;統計學;質量管理;質量風險;藥品安全
隨著科學技術的推進式發展,治療各種疾病及不同治療效果的藥物層出不窮,人們在得益于新型藥物的治療的同時,也同樣面臨藥物質量帶來的風險。隨著我國藥檢工作的不斷推進,人們對藥品質量風險的關注度也普遍提升。為了應對藥品生產過程中的質量風險問題,國家出臺了一系列的法規、政策,也投入更多的人力、物力致力于藥品質量風險的研究。在此研究背景下,本文主要根據文獻資料對制藥生產過程的質量風險管理流程進行綜述,并分析統計學在制藥生產過程質量管理應用中的適用性。
1制藥生產過程質量風險管理流程
質量風險管理是貫穿于藥品生產過程的質量風險評估、控制、溝通及審核回顧的過程。實現對制藥生產過程質量風險的有效管理,需要熟悉風險管理的流程。對風險管理流程的把控是實施風險管理、有效降低制藥過程質量風險的前提和基礎。因此,本文首先對風險管理的流程進行概述。將制藥過程質量風險管理分為四個步驟:風險評估、風險控制、風險溝通和風險審核及回顧。
1.1風險評估
風險評估是進行風險管理的首要工作,風險評估主要包括了對風險的識別、分析以及風險分析過后的風險評價環節。這三個環節的主要工作是弄清楚可能產生的風險、風險發生率和后果的嚴重程度及對風險的評級。有效的風險評估工作需要企業建立完善的風險評估團隊,并應使團隊包括各方面的評估專業人員,他們應對藥物生產過程中的每個環節有深入的了解,如人員、廠房、設施、設備、物料、產品等,并對生產過程中的風險有較為全面正確的認識,能夠利用專業知識進行有效的風險評估。其中,風險識別環節的有效進行,需要企業相關人員能夠對風險有較為敏銳的識別,可以參考并利用已有的風險識別經驗和信息。可參考的資料主要來源于產品的生產數據資料。產品的數據資料可以形成對可靠質量水平的控制標準,當出現偏離一般生產水平的質量時,認定為可能會出現風險。相關風險識別理論,風險識別理論能夠為風險識別提供理論參考,實現定量評判風險出現的可能性。風險識別的研究過程中會產生一系列識別指標,根據已有的指標進行風險識別不僅可以提高識別效率,也能在一定程度上提高風險識別的準確性。在識別風險后,對風險的分析十分重要。風險分析的主要目的是判斷出現這個風險的可能性有多大,對風險的嚴重性和可能性進行分析判斷,并通過對結果的分析,形成風險程度評價表。在風險分析這一步驟中,我們可以使用所有可用的信息對已識別的風險進行估計。風險分析對風險評估的準確性影響也較大。風險評價即評估該風險發生后影響的嚴重程度。在進行風險評估之前,應預先建立一個風險標準,在這個過程中,會使用到風險指數矩陣圖,然后根據風險發生的可能性和嚴重性來綜合評價風險等級。
1.2風險控制
風險控制是風險管理的最終目的,將風險控制在一定的可接受范圍內是評價風險管理效果的有效指標。風險控制是在風險評估的基礎之上進行的,根據風險評估的結果,分析風險控制的范圍和可能性,然后采取措施降低風險。風險控制過程的關鍵問題是:(1)判斷評估后的風險是否超出了風險控制的水平。當風險超出可接受的范圍時,就要采取有關措施進行風險控制,以盡可能降低風險;(2)企業在降低風險中的可能性。任何風險都有產生損失的可能性,因此企業利用現有的風險管理水平,尋求風險的進一步降低,始終是風險管理的有效措施,也是降低企業可能性損失的有效方式;(3)分析風險,找出風險的可能性來源。風險具有不可預估性,因此找到風險的可能性來源是風險控制的必要環節也是可以正本清源的最有效措施。找到風險的可能性來源,能夠及時發現可能出現的新風險并及時找到有效的降低風險的措施。
1.3風險溝通
在進行了有效的風險識別和風險控制之后,進行及時的風險溝通是風險管理系統程序的必要環節,也是風險管理模式良好運行的基礎。一個風險交流的主要工作是進行同系統不同時期風險的數據分析。對不同時段的風險進行分析,能夠系統把控風險管理的效果,并通過對比分析,找到不同風險管理過程中的優劣點,為后續風險管理的更有效開展打下基礎,進而進行系統性的風險管理過程的全面分析。通過對整個風險管理過程的有效分析,能夠及時了解風險管理過程中存在的問題,避免新的風險出現時重蹈覆轍。1.險審核、回顧在完成風險識別、風險控制及風險溝通后,風險管理程序的結果的審核及回顧是最后一個步驟,這對于全面把握該次分析管理的效果十分有效。風險審核及回顧的主要工作有:(1)形成有效的風險管理文件。對風險管理過程進行有效的回顧,并形成記錄文件,以便為后續風險管理工作的順利開展提供數據資料;(2)定期開展不同崗位員工的全面風險回顧工作,使管理人員和一線工作人員都能夠及時對風險管理進行總結,同時可以通過有效的評價機制對風險回顧的效果進行考核。
2制藥生產過程的質量風險管理
2.1統計質量管理法
近年來,隨著科研技術水平的不斷提高,藥品的研發水平也有了長足的進展。藥品的大規模研發,給更多的疾病治愈帶來了希望,人們享受著新型藥物的治療效果,也面臨著藥物質量的風險。特別是在仿制藥在整個藥品處方量中占比逐漸增大的情況下,藥品研發過程與制藥過程的質量安全性成為人們關注的焦點,各國監管部門對于藥學研發、藥品生產開發與藥品質量管理領域的統計學要求也逐漸提高。其中一部分原因歸結于藥品的安全性主要是在研發環節和生產環節體現的。除此之外,仿制藥的大規模開發,也在很大程度上制約著藥品質量的可靠性。在勞動力資源和原料資源成本日益增高的大趨勢下,藥品質量問題成為制約企業發展的有效因素。企業正在積極尋求有效措施使其在藥品質量得到保障的前提下,降低研發和生產成本。統計學是一種有效的數學分析工具,在傳統制造業的發展過程中其應用已經證明了其優勢性。在監管要求嚴格化及企業自身發展動因的雙重因素驅動下,統計學在藥品生產過程質量管理的應用方面將會有長足的發展。通過對已有的科研資料分析發現,國內藥企也已經大規模、廣泛性地開始使用統計學工具來實現對藥品生產過程的質量管理,但是在如何高效地利用統計學工具方面還有很大的提升空間,實現統計學在藥品生產過程質量管理的有效利用是今后藥品質量管理的一大方向。
2.2統計學在制藥過程質量管理中的應用
2.2.1統計在質量控制中的應用。統計學是有效的制藥過程質量控制工具,利用統計學對藥品生產過程的質量進行控制是有效控制手段,如何實現統計學在藥品質量控制中的應用是主要的研究目標。每一種藥物都需要準確的成分配比,才能保證其藥效,避免副作用和毒性。然而藥品的生產過程中難免會因生產工藝、技術水平等因素而導致藥品質量穩定性失良。藥品穩定性的失良被稱為藥品穩定性的波動。藥品穩定性波動可以分為自然波動和異常波動兩種,而異常波動的出現往往是基于藥品的原料性質不良、人員操作不當、技術水平欠缺等原因。對藥品質量的控制主要就是通過發現和分析這些因素,從而控制藥品的異常波動,實現其質量的穩定性。統計工作中的控制圖可以實現這一目的。控制圖的核心工作就是監測并識別藥品穩定性的異常波動,并通過控制圖的反饋控制,有效地處理異常波動,最終實現藥品穩定性的波動范圍控制在自然波動范圍內,實現對藥品質量的有效控制。
2.2.2統計學在質量診斷中的應用。作為統計過程控制的一個重要工具,控制圖最早由休哈特博士(Shewhart)在1924年首先提出,并被命名為Shewhart控制圖。這是科學管理的一個重要工具,特別是質量管理方面的一個不可或缺的管理工具。圖形是通過測量或計算樣本與樣本的數目或時間來體現質量特性。統計推斷是實現Shewhart控制圖的制圖原理,利用統計推斷實現對藥品質量穩定性的診斷,其中利用的數據分析方法是方差分析。實現統計學在質量診斷方面效果的工作流程為:(1)根據研究對象確定要選用的控制圖類型、控制的參數、取樣間隔、取樣次數和樣本量;(2)進行生產研究,按照確定的取樣方案進行樣品取樣,通過對取樣樣本的檢驗形成記錄結果;(3)按照設計的規程計算中心線、控制下限和控制上限,并檢查是否有任何點超出控制限,從而揭示異常波動;(4)通過對異常波動的分析,調查確定其發生來源,去除超限點,并重新計算中心線、控制下限和控制上限。如此循環,直到所有點落在控制限內,從而建立出用以對后續生產進行質量診斷的控制圖。
2.2.3統計學在質量優化中的應用。利用統計學工具對藥品生產過程質量進行有效的控制和診斷之后,還需要進行驗收取樣,從而實現對藥品質量進一步控制和優化。質量源于檢驗,即使是對已經控制過的質量進行有效的驗收取樣,也能夠進一步保證質量的安全性。從本質上來說,驗收取樣并不能從根本上保證質量,而是質量進一步優化的有效控制手段,也是預防嚴重質量偏離的最后防線。驗收取樣方法是根據取樣結果和預先設定的判別標準,決定放行或拒收批次的決策理論,理論依據是概率分布。
3結語
對藥品生產過程的質量管理是一項長期且艱巨的任務,也是在科技飛速發展的今天我們亟待解決的難題。本文主要是基于對藥品生產過程中質量管理的流程分析,闡釋統計學在藥品質量管控中的應用和適用性。基于相關理論研究成果的缺乏,本文的研究可以為藥品生產過程中的質量管理提供一定的理論支持。
作者:陳果果 單位:康龍化成(北京)生物技術有限公司
參考文獻:
[1]國家食品藥品監督管理局藥品認證管理中心.藥品GMP指南[M].北京:中國醫藥科技出版社,2011.
[2]北京市藥品監督管理局藥品認證管理中心.藥品生產經營企業風險評估系統:中國,201010233202.2[P].2012.
(1)IT治理風險。IT治理風險的宏觀體現是最高管理層對信息化理解的不確定性、以及企業領導力影響的不確定性;微觀體現是缺乏制度化與標準化的約束,缺乏部門之間及流程之間協調、溝通的機制,造成IT系統與業務需求的脫離,以及IT系統和企業信息資源間的孤立。
(2)遵從性風險。指企業內部IT策略與外部法律法規的遵從(Compliance)所導致的風險。伴隨信息技術的發展,國內外出臺大量法律法規加強了對信息系統的監管。例如,2002年美國國會的《薩班斯—奧克斯利法案》雖然沒有直接明確對信息系統的要求,但據統計,企業在實施符合法案要求的工作中,信息系統方面的工作量占比超過40%;2006年中國銀監會《電子銀行業務管理辦法》和《電子銀行安全評估指引》,也直接對技術風險較大的電子銀行提出了進行獨立的或相對獨立的信息系統審計的要求。
(3)信息安全風險。企業信息系統不斷開放和復雜,使得信息安全面臨來自內外部的嚴峻挑戰。針對企業信息系統的攻擊方式簡單易學、攻擊對象身份隱匿,造成企業信息安全風險極易轉化為現實的業務威脅,如支持員工移動辦公給企業資產安全性和可用性帶來的壓力倍增,許多敏感機密信息被輕易泄露。
(4)可用性風險。可用性風險主要來自三個方面,一是IT平臺系統自身漏洞導致的系統停機事件越發難以掌控;二是由于事件管理、變更管理、配置管理、連續性計劃等IT服務管理流程缺失或不到位,導致IT系統不可用;三是來自自然的災害威脅著IT系統的可用性。
(5)績效風險。若IT投資行為不能帶來合理的回報,如規劃不當、控制不嚴等,將使組織面臨巨大財務風險。同時,如果對IT的投資績效和運行績效不能進行有效測量,就不能有效地發現存在的問題,并采取針對性的改進措施。隨著信息系統日益成為企業經營成功的核心,且貫穿在完整的流程過程中,企業業務和支撐業務的信息系統愈加無法分割,形成有機的整體。因此,IT風險帶來的挑戰不僅影響到信息系統本身,也同時會影響到業務的穩定運行及發展,更有可能影響到外部的業務客戶。在應對這些IT風險時,傳統的方式大多是采用事后反應式的控制措施,使得技術人員疲于應付各種層出不窮的風險,且在面對制度、流程、人員行為等方面帶來的風險時,傳統的控制方法存在明顯不足,而降低企業IT風險的關鍵是需要有一個主動、科學的風險管理體系。
2企業IT風險管理及其標準指南
企業IT風險管理是圍繞企業信息化戰略目標,通過在信息系統的規劃、開發、運行、維護、監控與評價的各個階段中降低企業風險的科學化管理流程,包括風險管理的策略制定、風險的識別、風險的評估、風險的處置等環節,以達到企業信息化可持續發展的目標。一個科學的IT風險管理體系是一個具有前瞻性、全局性的控制機制,能綜合防范和應對IT治理、法規遵從、系統可用、信息安全、IT外包、業務連續性、IT績效等諸多方面的企業風險,并能使企業IT戰略與企業綜合戰略相融合,以實現有效益、可持續的信息化發展。信息社會環境下,無論何種規模、什么類型的企業,都需要面臨圍繞信息系統制定一套管理體系和控制指南,有效地管理企業面臨的各種各樣的風險,并隨著業務環境的變化和新技術的發展及時更新。
在此方面,國內外已經有一些較為成熟的企業IT風險管理的標準或指南。例如美國反虛假財務報告委員會(COSO)于2004年頒布的《COSO企業風險管理框架》,此框架要求企業管理者以風險組合的觀點看待企業風險,對包括IT風險在內的所有風險進行識別,并采取措施使企業所承擔的風險在風險容納量(RiskAppetite)的范圍內。而美國信息系統審計與控制協會的COBIT標準自1996年誕生以來已經更新到了第四版,已成為全球通用的信息系統審計標準,該標準每一次更新都在不斷強化IT風險控制的目標內容,為企業信息系統安全審計提出了具體指導。此外,國際知名的信息安全標準也都提出了各自的IT風險管理控制框架,包括ITIL(Infor-mationTechnologyInfrastructureLibrary,信息技術基礎架構庫)、ISO27001(信息安全管理使用規則)、CMMI(CapabilityMaturityModelIntegration,能力成熟度模型集成)、Prince2(ProjectsINControlledEn-vironments,受控環境下的項目)等。
近年來,我國的信息化主管部門以及各行業也積極加強了企業風險管理。以金融業為例,2004年9月銀監會了《商業銀行內部控制評價試行辦法》,其中包括了對銀行計算機系統的IT風險控制要求;2009年銀監會出臺了《商業銀行信息科技風險管理指引》,2011年銀監會了《商業銀行業務連續性監管指引》。與此同時,其他行業監管部門也已經或計劃出臺類似的風險管理措施。上述標準或指南為企業IT風險管理提供了原則指導和對策框架,如何將這些原則性建議與企業自身的工作實際相結合,如何將IT風險管理融入常態化的企業管理機制,仍然是企業管理實踐中的難點。因此,本文以我國企業IT風險管理的先行行業———金融業的管理實踐為例,詳細探討企業IT風險管理的體系結構及其關系,并就企業IT風險管理的實施提出具體建議。
3企業IT風險管理的體系框架
企業IT風險管理框架通過對企業信息安全各個層面實際需求和風險的分析,引入恰當的安全控制措施,并且同信息系統審計相結合,從而保證企業信息資產的安全性、完整性和可用性。企業IT風險管理框架可分為風險治理、風險評估和風險應對三個主要的方面,并通過風險溝通和監控等手段將三方面有效結合。該體系框架遵循PDCA(Plan、Do、Check、Act)的管理模式,能確保企業IT風險管理始終保持在可持續發展的軌道上,并通過階段性地進行信息系統審計,以發現存在的偏離,及時調整到信息化的最終目標上來。
3.1風險治理
主要內容包括建立基于風險的信息科技決策、定義風險策略、建立風險組織和風險整合等內容。例如宣傳IT風險對于決策的價值、將IT風險考慮納入業務和IT決策、整合IT風險策略和業務風險策略等都屬于風險治理的內容。
3.2風險評估
主要內容包括風險識別、風險分析和風險維護等內容。諸多國際標準都提出了信息安全風險評估的標準,如ISO27001(信息安全管理體系規范)、ISO/IECTR13335(信息技術安全管理指南)、NISTSP800-30(信息技術系統風險管理指南)等,可作為企業實施風險評估實踐的參考。風險評估包括識別具體的風險管理對象、識別風險、根據模型進行評估、識別現有控制、分析剩余風險等步驟。風險維護就是對企業識別出的風險進行管理,跟蹤風險處置情況,更新風險清單,可通過創建和維護風險數據庫來實現。風險維護也是風險評估的重要內容,以實現對風險的持續管理和改進。
3.3風險應對
風險應對就是對已識別的風險進行評估后,制定并落實相應的措施和整體策略,使剩余風險處于可控的范圍。風險應對措施包括接受風險、轉移風險、避免風險和降低風險。風險應對活動包括確定風險處置方案、實施風險處置、響應和處理風險事件等。
3.險監控/溝通
風險監控/溝通是鏈接企業IT風險管理各要素的關鍵環節,是企業IT風險管理體系得以運轉的重要方面,包括建立和運行風險指標體系、IT風險內部監督體系、風險報告體系以及風險溝通渠道等。風險管理需要從管理層到普通員工的共同參與,這需要將風險直觀準確地展現、橫向和縱向的溝通、并持續進行監控。
4企業IT風險管理的實施步驟
為了推進企業IT風險管理體系的實施,本文在總結金融企業信息系統安全風險管理的實施過程,得出企業IT風險管理可行的實施步驟,具體包括識別管理對象、風險識別、風險分析評估、風險應對、風險監控/溝通等五大關鍵步驟。
4.1管理對象識別
明確風險管理對象是企業實施風險管理的首要步驟,本文提出風險地圖(RiskMap)的概念,即實現風險評估對象的可視化,明確識別出全部或特定領域的所有管理對象,只有保證企業風險地圖的全面性和準確性,才能準確識別并標示出IT風險所在的位置,從而進行有效的管理,一個全面的IT風險管理可從如下三大維度進行風險管理對象的識別:(1)從資產的角度進行識別,即對組成信息系統的系統、設備和數據等信息資產進行全面識別和統計,具體實施細則可參照ISO27001。(2)從管理領域的角度進行識別,如變更管理、事件管理、配置管理等,具體實施細則可參照COBIT。(3)從服務的角度進行識別,具體實施細可參照ISO20000執行。
4.2風險識別
風險識別是通過科學方法了解企業所面臨的IT風險,分析風險的來源、性質,并進行風險處置和風險管理。風險識別通常采用以下方法:(1)頭腦風暴;(2)德爾菲方法;(3)故障樹分析法,又稱分解分析法;(4)業務流程分析法;(5)情景分析法;(6)專家預測法,包括個人經驗法、專家會議等形式;(7)篩選、監測、診斷法;(8)資產財務狀況分析法。其中,德爾菲方法是最常用的IT風險分析方法之一,具體是指采用“背對背”的溝通方式征詢專家小組成員的預測意見,經過幾輪征詢,使專家小組的意見趨于集中,最后做出合理的預測結論,利用德爾菲法進行IT風險分析的具體流程如下。除了按照上述方法識別風險,也可直接從風險來源入手建立企業的IT風險清單,如行業公認的風險清單、監管要求、監管機構風險提示、過往事件、自我或外部風險評估結果、內部審計發現、管理層和內部員工在工作中的認識等。
4.3風險分析評估
IT風險分析評估是根據一定的評估模型,評估企業IT固有風險值、控制風險值,再根據固有風險值和控制風險值計算出剩余風險值。風險分析是IT風險管理中較難實施的一個環節,尤其是評估模型的制定,可以采用較易開展的定性方式,也可采用準確度較高的定量計算,也可以定量和定性綜合使用。以下是一種較為通用的風險分析模型和流程,可以對風險進行量化評估,具體流程包括:(1)計算固有風險值。從影響程度和發生可能性兩個維度進行評分,可得出固有風險分值。如下是風險評估的量化模型和公式。其中風險評分從影響程度和發生可能性兩方面進行計算,并給出影響程度和發生可能性兩方面的評估參數示例。(2)計算控制風險值。結合現有控制評估的結果,從設計、執行、補償性控制三個層面,參照衡量標準,最終確認控制風險分值。(3)計算剩余風險評估。在獲得每一個風險的固有風險等級和控制風險等級后,可根據矩陣獲得剩余風險等級值。
4.險應對
首選需要確定管理層的風險偏好等級。風險偏好是為了實現目標,企業在承擔風險的種類、大小等方面的基本態度。然后根據剩余風險評估結果及風險偏好,依據內外部需求,并結合實際情況,針對剩余風險提供恰當的控制改進建議,以將剩余風險降低到可接受的水平。風險處置措施包括接受風險、轉移風險、避免風險和降低風險。在風險處置計劃方面,一方面需要體現可操作性,如分為短期(半年),中期(1年),長期(2-3年),同時也需要考慮多個維度,如組織架構、人員、制度流程和技術等。
4.5IT風險監控/溝通
風險指標是有效進行風險監控和溝通的重要手段。指標是一種可量化的、被事先認可的、用來反映組織目標實現程度的重要標識,是績效管理的有效手段。企業IT風險管理引入指標體系,可以促進整個活動的有效開展。指標的功能主要表現在以下三個方面:(1)在準備階段,可以清楚的反映目前企業的信息安全現狀,并為制定目標提供依據;(2)在實施過程中,階段性地反映進展情況;(3)便于各層人員把握活動的進展情況:使高層領導清晰地了解關鍵要素的進展和改進情況;使管理者集中精力于對活動中的重要和關鍵要素,及時診斷活動中出現的問題并采取措施。在實踐中,應針對關鍵的風險領域,即根據企業及領導層的風險偏好,建立可監控、可量化的IT關鍵風險指標。IT關鍵風險指標來源可包括內外部監管機構數據、自動監控平臺數據、IT風險檢查果、IT風險自報結果等。關鍵風險指標可分為風險指標(KRI)、控制指標(KCI)。以變更管理的風險管理指標,可設置緊急變更次數、變更失敗比例、變更導致的事件數量等,針對每個變更管理風險管理指標,制定出相應的控制指標,如預警閥值和容忍閥值。
5結語