企业安全风险评估报告范文
时间:2023-03-20 13:55:26
导语:如何才能写好一篇企业安全风险评估报告,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
关键词:注册会计师 风险评估 风险管理 内部控制
一、引言
2010年美国公众公司会计监督委员会(Public Company Accounting Oversight Board,PCAOB)通过了新的审计准则(审计准则第8号至第15号),以规范审计师对审计风险的评估和反应。目的是监督公众公司的审计师编制信息量大、公允和独立的审计报告,以保护投资者利益并增进公众利益。在PCAOB此次行动之前,不断有人发出强烈的信息,让审计职业人员在风险管理中扮演更积极的角色。而且PCAOB早在两年前就已经提出了实施具体风险评估准则的信息,这些准则旨在解决从最初计划到结果评估的审计过程问题。这些新准则是在审计促进成熟风险评估中非常重要的一步,可以把审计师未能发现的重大错报事故风险降到最小。PCAOB执行主席丹尼尔・格尔泽尔说一旦这些标准被采用,在审计财务申明中发现,适当计划以及实施审计以解决这些风险问题以增强投资者的信息是非常重要的。这些审计标准包括:审计风险、审计计划、审计参与监督、计划执行审计中的思考、重大错报事故的确认与评估、审计师对重大错报事故的回应、评估审计结果以及审计证据。它们贯穿了从初始计划阶段到审计结果评估的整个审计流程。PCAOB主席丹尼尔・高泽(DanielL,Goelzer)说:这些新准则的出台意味着在促进精密的审计风险评估与将审计人员未能发现重大误报的风险降至最低方面迈出了重要一步。识别风险,并通过正确地审计计划和开展审计活动来应对风险,对于提升投资者对经审计财务报表的信心是至关重要的。
二、风险评估、企业风险管理与审计风险
(一)注册会计师风险评估 风险导向审计的核心是审计风险,任何审计业务都必须将审计风险控制在可接受的风险水平内。因此风险导向审计要求注册会计师加强对被审计单位及其环境的了解,在审计的所有阶段都要实施风险评估程序,并将识别和的评估的风险与实施的审计程序挂钩,而且要求针对重大的各类交易、账户余额和列报实施实质性程序,可以说风险评估程序是风险导向审计模式落实到审计工作的核心环节,风险导向审计下审计风险模型如下:审计风险=重大错报风险×检查风险。审计风险是指财务报表存在重大错报而注册会计师发表不恰当审计意见的可能性。重大错报风险是指财务报表在审计钱存在重大错报的可能性,检查风险是指某一认定存在错报,该错报单独或连同其他错报是重大的,但注册会计师未能发现这种错报的可能性。注册会计师合理设计审计程序的性质、时间和范围,并有效执行审计程序,以控制检查风险。注册会计师采取以下方法展开审计工作:(1)注册会计师应当针对财务报表层次的重大错报风险置顶总体应对措施;(2)注册会计师应当针对认定层次的重大错报风险设计和实施进一步审计程序,包括测试控制的执行有效性以及实施实质性程序;(3)注册会计师应当评价风险评估的结果是否适当,并确定是否已经获取充分、适当的审计证据;(4)注册会计师应当将实施关键的程序形成审计工作记录。我们发现,注册会计师以针对评估的财务报表层次重大错报风险为起点,确定总体应对措施,并有针对评估的认定层次重大错报风险设计和实施进一步审计程序,以将审计风险控制在可接受的低水平。风险导向的核心是审计风险,控制审计风险的关键是风险评估程序,另一方面,企业必须准确地评价和有效地管理各项与企业成功息息相关的风险。管理层不但需要准确地了解各项业务风险以及不良控制的后果,并且能够根据所确认风险的残余影响的轻重程度分配资源和关注程度。所以注册会计师的风险评估将有利于企业的风险管理。
(二)企业的风险管理 每个企业在经营中存在各种风险,而我们这里讨论的企业风险管理中的风险概念与金融市场的风险概念有所不同,当然金融风险也是企业(特别是金融类企业)面临的风险之一,企业风险就是企业面临的可能导致企业亏损的各种不确定性事件,降低企业的价值。所以风险管理需要做的就是尽量避免这种不确定性事件的发生,或者是降低不确定性事件发生后对企业造成的损失。企业风险管理包括四个环节:风险识别、风险评估、风险应对、风险监察。第一,风险识别是指尽力识别可能对企业取得成功产生影响的风险,包括整个业务面临的较大的风险,以及与每个项目或较小的业务单位关系的风险,识别潜在风险可以认识到企业面临的各种风险类型,而且风险识别程序应该在企业内的多个层级得以执行,这与注册会计师的风险评估贯彻于整个审计过程一样。第二,风险评估是在识别了各种风险后,对风险的的性质、风险的类型、风险的发生频率等进行评价,这种评价最主要分为两方面,一个是影响,另一个是可能性,企业可能还会采用敏感性分析或者决策树等方法对风险的性质进行全面的认识。这与注册会计师的风险评估相似,不过更加具体、全面。第三,风险应对是指对上述评估的风险采取相应的措施,以避免该风险对企业产生的损失,风险应对的策略包括风险降低(如分散投资,就是一种降低风险的措施),风险消除(使得该风险事件发生的概率降低为零),风险转移(将风险的后果采用保险、合同等方式转移出企业),风险保留(定期风险复核、控制风险情境)。第四,风险监察是指企业监测目标的实现过程,关注新的风险和相关损失,企业需要对风险进行监察,并在需要时不断作出调整。风险检查者定期检查正在发生的亏损,以了解他们的控制建议得以实施,并设计过程来改善风险管理的过程,制定一项战略来应对出现的新风险。
(三)风险评估与经营风险、审计风险 企业的风险识别是风险管理的第一步,是指对企业面临的,以及潜在的风险加以判断、归类和鉴定风险性质的过程。企业的风险一般可以分为两类:系统风险和非系统风险。系统风险是由公司之外的各种因素引起的,如战争、经济衰退、通货膨胀、高利率等与政治、经济和社会相联系的风险,是不能通过多元化投资而分散的,因此又称作不可分散风险或市场风险。非系统风险也被称作可分散风险,它是由公司本身的商业活动和财务活动带来的,如企业的管理水平、研究与开发、消费者需求的改变、市场营销风险以及法律诉讼等,其可以通过多元化投资组合而分散,是公司特有的风险。而现代风险导向审计将风险评估、风险应对与审计程序联系起来,这就使得注册会计师审计不仅仅是出具审计报告的鉴证业务,也可以起到促进企业风险管理的作用,注册会计师审计过程中必须进行风险评估,风险评估的过程是为了能够获得尽可能准确的财务报表重大错报风险信息,以控制审计风险,企业风险管理的过程是为了控制企业经营风险,从审计风险与企业经营风险的关系,我们发现:其一,风险评估是指评估被审计单位风险,评估的过程是企业风险管理中的一个环节,所以在性质上他们具有相似性。其二,风险评估的程序包括:了
解被审计单位及其环境、了解被审计单位的内部控制等,而风险管理也需要进行这些工作,方法包括:观察、检查、分析程序,穿行测试等。风险评估。其三,风险评估的目的相同:对于注册会计师而言,风险评估的目的是为了了解被评估的财务报表重大错报风险,并且制定风险应对措施,有效地实施审计程序;对于企业而言,风险评估的目的是为了控制企业的风险点,防止企业出现亏损的不利情况而实现企业价值增值。风险评估使企业考虑潜在事项如何影响目标的实现。管理当局应从两个角度对事项进行评估:可能性和严重程度,并且通常采用定性和定量相结合的方法。在不要求定量化的地方,或者在定量评估所需的可靠数据无法取得或获取和分析数据不具有成本效益时,管理者通常采用定性评估技术。定量技术精确度更高,通常应用在更加复杂的活动中,以对定性技术进行补充。评估风险时既要考虑固有风险,也要考虑剩余风险。固有风险是管理当局没有采取任何措施来改变风险的可能性或影响的情况下,一个企业所面临的风险。剩余风险是在管理当局应对风险后所残余的风险。审计中注册会计师更多关注的是审计风险以及企业的经营风险,但是对于企业其他风险管理(如制度风险管理、法律风险管理)考虑不足,当然这是注册会计师收益成本分析后的结果,但是注册会计师必须区分企业经营风险与审计风险,经营风险是指实现不了经营目标和战略的可能性,经营失败是经营风险的扩大化,指企业由于经济或经济条件的变化而无法满足投资者的预期,经营失败的极端情况是申请破产。诚然企业经营失败可能使得注册会计师面临审计诉讼,经营风险与审计风险有一定的相关性,但风险导向的核心是审计风险,而不是企业的经营风险。
三、注册会计师风险评估与企业风险管理关系
(一)二者时间发展顺序 环境变化促使越来越多的企业实施全面风险管理,也促进了风险导向审计的发展:从20世纪90年代开始,随着新的科技技术和经济全球化带来企业组织结构虚拟化、集约化、专业化及扁平化等新的商业特征,许多跨国公司开始实施全面风险管理方法,一些国际咨询公司和会计师事务所也开始运用这一概念并将其同咨询或审计业务相结合。全面风险管理体系正在随着企业治理的完善而越发受到重视,风险管理的概念逐步引入到我国的企业中,使得我国企业的风险管理工作纳入了公司治理的范围。2004年9月,COSO了《企业风险管理框架》。该框架是在《内部控制――整体框架》报告的基础上,结合《萨班斯――奥克斯法案》在报告方面的要求,明确提出企业风险管理是由企业董事会、管理层和其他员工共同参与,应用于企业战略制定,以及企业内部各层次和部门,用于识别可能对企业造成影响的事项,管理风险为企业目标的实现提供合理保证。同时该框架还指出:企业风险管理框架由内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控八个相互关联的要素构成。这也奠定了企业风险管理系统的组织模式。风险导向审计的发展也与全面的风险管理系统构建同步,2003年10月,国际会计师联合会下属的国际审计准则委员会了三个新的国际审计风险准则,并从2004年12月15日或之后开始的期间财务报表审计起执行这三个新准则。2004年10月,中国注册会计师协会根据国际审计准则的最新发展,对已修订的四个新审计风险准则在全国范围内征求意见,并且于2007年1月1日开始实施。风险导向审计已经深入了我国审计的实际工作,为审计业务的展开提供了指引。
(二)二者业务性质相互影响 全面风险管理为现代风险导向审计风险评估提供了更好的基础为了评估客户是否有效地监督和控制了其战略风险及其他经营风险,注册会计师必须识别、收集和处理大量与客户经营活动相关的证据。当企业没有实施全面风险管理时,收集这些证据即使在理论上是可行的,但为此付出的成本对注册会计师而言也常常是不经济的。注册会计师的风险评估程序对企业风险管理有以下益处:(1)了解企业的外部环境风险以及内部控制成为风险评估的重要组成部分,注册会计师也将公司内部控制的有效性作为风险应对的考虑因素。所以注册会计师关于企业内部控制的评价将为企业的风险管理提供建议。(2)注册会计师在实施控制测试与实质性测试时,会将交易的内部控制目标与关键内部控制联系起来,然后将测试的结果与风险评估的结果进行对比,这将有助于公司相关交易所涉及人员在业务流程中履行好自己的职责,注册会计师审计可以起到监督作用,发现企业内部控制的风险点。企业风险管理对注册会计师的风险评估有以下益处:第一,企业风险管理的完善性与企业内部控制系统有着很强的相关性,所以如果企业建立了一整套风险管理的体系,那么注册会计师的风险评估程序就会减少程序,因为风险评估在整个审计过程中的验证过程都是可靠的。第二,企业风险管理的方式与注册会计师风险评估。企业全员参与风险管理,从整个企业组合的角度实施风险管理,增强了企业风险管理的有效性,注册会计师能够在更大程度上信赖企业的全面风险管理,实施风险评估。第三,企业风险管理系统的完善性越不好,注册会计师所涉及的这部分程序设计需要越谨慎,而风险评估程序后提出建议的边际贡献越高,这二者之间的交互作用就在于风险评估程序是对风险管理的一种再监察。
(三)二者存在的不同 当然二者存在着以下区别:注册会计师风险评估更多是对内部控制有效性的评估,这种评估是因为审计的效率所决定的,而企业的风险管理需要覆盖企业的整体层面和各个业务流程,所以我们注册会计师的风险评估结果对于企业而言是一种参考,注册会计师的风险评估只是对内部控制水平高低的一个评价,这并不能完全说明企业风险管理的有效性。注册会计师可以通过对企业内部控制系统有效性评价来评估客户监督和控制其战略风险及其他经营风险的情况,如果仅仅是审计过程,注册会计师不需要提出风险管理改进建议,他们评估的财务报表重大错报风险只是为了控制检查风险,进而控制审计风险。所以注册会计师审计过程的风险评估与企业风险管理过程中的风险评估目的相似,但企业风险管理的目的和注册会计师的风险评估还是存在不同。
四、企业风险管理及风险评估路径
(一)风险评估报告与企业风险管理 (图1)呈现了风险导向审计的框架,风险导向审计最大的要点就在于实施基本审计程序前的风险评估。而且后来的审计程序结果会不断检验风险评估的结果,不断地修正与调险估计水平,在整个审计过程中都需要进行风险评估过程,所以注册会计师可以在审计完成后形成风险评估的最终结果,形成风险评估报告,以评价内部控制的有效性及风险管理控制的水平。该报告可能涉及内部环境、企业风险评估、风险反应、控制活动、信息和沟通、监控等要素,对企业内部控制的测试结果进行一个总结性陈述,形成风险评估报告。风险评估报告作为风险导向审计阶段性成果在审计完成后反馈给被审计客户,以帮助被审计客户进一步完善内部控制水平,但我们必须意识到:风险评估报告不是审计报告的子报告,风险评估报告仅仅为被审计单位进一步提高内部控制水平而用,而非鉴证报告,注册会计师不需要提供保证。
(二)风险评估报告与信息系统风险管理 注册会计师评价内部控制有效性的要求里就包括了评价信息系统的有效性,所以注
篇2
会议名称:2018年三季度全面风险管理会
日期:2018年10月17日
地点:二楼视频会议室
出席人:xx行长、xx副行长、xx、xx、、
列席人:纪检组长xx、xx
主持人:xx行长
记录人:xx
一、 授信与风险管理部汇报本条线全面风险管理工作
(一)授信与风险管理部负责人xx汇报2018年三季度授信与风险条线风险评估报告
xx行长对营业部二季度全面风险会议要求整改未落实的事项进行了询问。
(二)授信与风险管理部负责人xx汇报2018年三季度贷后管理工作报告
二、综合管理部汇报本条线全面风险管理工作
(一)综合管理部负责人xx对人力资源条线操作风险情况、声誉风险情况、行政印章条线操作风险情况、信息科技条线操作风险情况、安全保卫条线操作风险情况做了评估报告
(二)xx行长对声誉风险情况中仍有个别客户反馈从我行购买贵金属产品存在质量问题的解决情况进行了询问
三、财务与营运管理部汇报本条线全面风险管理工作
(一)财务与营运管理部负责人xx汇报本条线评估报告
(二)xx行长对受理询证函业务不规范做了询问,并要求整改
四、公司部负责人xx对本条线风险评估报告进行汇报
五、个金部汇报本条线全面风险管理工作
(一)个金部负责人xx汇报2018年三季度个金部条线风险评估报告
(二)xx行长对机具的管理进行了询问
六、营业部xx对本条线风险评估报告进行汇报
七、分管行领导xx、xx分别讲话
(一)xx副行长讲话
1、风险防范意识需进一步加强
(1)贷后管理不到位,要对政策文化、评级变化掌握透彻
(2)个贷资料审核还存在问题
2、业务素质和业务能力仍需进一步提升
(1)大堂的卡挂失等
(2)小微企业专题会
3、加强工作的执行力度
(1)培训(2)外部监管机构的材料报送
4、希望交行员工能践行交行精神、践行责任和担当,确保我们交行的业务是风险可控、持续稳健发展,落实好各部门工作计划。
(二)xx副行长讲话
1、大部分操作风险的原因
(1)意识不强(2)制度不懂(3)业务不熟
2、建议
(1)强化培训(2)强化落实(3)强化考核
八、xx行长讲话
(一)对各个部门的工作给予肯定并提出表扬
(二)要求
1、系统内外的检查
2、标准动作和自选动作相结合
3、检查和员工素质提高相结合
4、全面风险管理和决策
5、按周检查、按月检查、注重日常检查
6、营运部和营业部加强对消保的管理
7、综管部加强对7万元盗刷的舆情管理,与营运部做配合
8、风控部按季核查存放中国银行的存放资金
九、湘西纪检组部署和安排工作
(一)湘西纪检组xx对公司部的汇报中有党风廉政和案防教育提出了表扬
(二)湘西纪检组xx对以后的全面风险管理会的各部门汇报材料提出了要求和建议
篇3
【关键词】安全风险;安全措施;风险评估报告
1.前言
建筑业是危险性较大的行业之一,安全生产管理的任务十分艰巨,安全生产不仅关系到广大群众的根本利益,也关系到企业的形象,还关系到国家和民族的形象,甚至影响着社会的稳定和发展。党的十六届五中全会确立了“安全生产”的指导原则,我国“十一五”发展规划中首次提出了“安全发展”的新理念。所有这些表明,安全生产已成为生产经营活动的基本保障,更是当前建筑工程行业管理的首要目标。
风险评估的目的是为了全面了解建设安全的总体安全状况,并明确掌握系统中各资产的风险级别或风险值,从而为工程安全管理措施的制定提供参考。因此可以说风险评估是建立安全管理体系(ISMS)的基础,也是前期必要的工作。风险评估包括两个过程:风险分析和风险评价[1][2]。风险分析是指系统化地识别风险来源和风险类型,风险评价是指按给出的风险标准估算风险水平,确定风险严重性。
2.风险评估模型与方法
风险评估安全要素主要包括资产、脆弱性、安全风险、安全措施、安全需求、残余风险。在风险评估的过程中要对以上方面的安全要素进行识别、分析。
2.1 资产识别与赋值
一个组织的信息系统是由各种资产组成,资产的自身价值与衍生价值决定信息系统的总体价值。资产的安全程度直接反映信息系统的安全水平。因此资产的价值是风险评估的对象。
本文的风险评估方法将资产主要分为硬件资产、软件资产、文档与数据、人力资源、信息服务等[1][2]。建设工程的资产主要体现在建筑产品、施工人员、施工机械等。
风险评估的第一步是界定ISMS的范围,并尽可能识别该范围内对业务过程有价值的所有事物。
资产识别与赋值阶段主要评价要素为{资产名称、责任人、范围描述、机密性值C、完整性值I、可用性值A、QC、QI、QA}。QC、QI、QA分别为保密性,完整性,可用性的权重,QC=C / (C+I+A),QI、QA类似。
2.2 识别重要资产
信息系统内部的资产很多,但决定工程安全水平的关键资产是相对有限的,在风险评估中可以根据资产的机密性、完整性和可用性这三个安全属性来确定资产的价值。
通常,根据实际经验,三个安全属性中最高的一个对最终的资产价值影响最大。换而言之,整体安全属性的赋值并不随着三个属性值的增加而线性增加,较高的属性值具有较大的权重。
在风险评估方法中使用下面的公式来计算资产价值:
资产价值=10×Round{Log2[(2C+2I+2A)/3]}
其中,C代表机密性赋值;I代表完整性赋值;A代表可用性赋值;Round{}表示四舍五入。
从上述表达式可以发现:三个属性值每相差一,则影响相差两倍,以此来体现最高安全属性的决定性作用。在实际评估中,常常选择资产价值大于25的为重要资产。
2.3 威胁与脆弱性分析
识别并评价资产后,应识别每个资产可能面临的威胁。在识别威胁时,应该根据资产目前所处的环境条件和以前的记录情况来判断。需要注意的是,一项资产可能面临多个威胁,而一个威胁也可能对不同的资产造成影响。
识别威胁的关键在于确认引发威胁的人或事物,即所谓的威胁源或威胁。建筑企业的威胁源主要是四个方面:人的不安全行为,物的不安全因素、环境的不安全因素、管理的不安全因素。
识别资产面临的威胁后,还应根据经验或相关的统计数据来判断威胁发生的频率或概率。评估威胁可能性时有两个关键因素需要考虑:威胁动机和威胁能力。威胁源的能力和动机可以用极低、低、中等、高、很高(1、2、3、4、5)这五级来衡量。脆弱性,即可被威胁利用的弱点,识别主要以资产为核心,从技术和管理两个方面进行。在评估中可以分为五个等级:几乎无(1)、轻微(2)、一般(3)、严重(4)、非常严重(5)。在风险评估中,现有安全措施的识别也是一项重要工作,因为它也是决定资产安全等级的一个重要因素。我们要在分析安全措施效力的基础上,确定威胁利用脆弱性的实际可能性。
2.4 综合风险值
资产的综合风险值是以量化的形式来衡量资产的安全水平。在计算风险值时,以威胁最主要影响资产C、I、A三安全属性所对应的系数QC、QI、QA为权重。计算方法为:
威胁的风险值(RT)=威胁的影响值(I)×威胁发生的可能性(P);
2.5 风险处理
通过前面的过程,我们得到资产的综合风险值,根据组织的实际情况,和管理层沟通后划定临界值来确定被评估的风险结果是可接收还是不可接收的。
对于不可接收的风险按风险数值排序或通过区间划分的方法将风险划分为不同的优先等级,对于风险级别高的资产应优先分配资源进行保护。
对于不可接收的风险处理方法有四种[3]:
1)风险回避,组织可以选择放弃某些业务或资产,以规避风险。是以一定的方式中断风险源,使其不发生或不再发展,从而避免可能产生的潜在损失。例如投标中出现明显错误或漏洞,一旦中标损失巨大,可以选择放弃中标的原则,可能会损失投标保证金,但可避免更大的损失。
2) 降低风险:实施有效控制,将风险降低到可接收的程度,实际上就是设法减少威胁发生的可能性和带来的影响,途径包括:
a.减少威胁:例如降低物的不安全因素和人的不安全因素。
b.减少脆弱性:例如,通过安全教育和意识培训,强化员工的安全意识等。
c.降低影响:例如灾难计划,把风险造成的损失降到最低。
d.监测意外事件、响应,并恢复:例如应急计划和预防计划,及时发现出现的问题。
3)转移风险:将风险全部或者部分转移到其他责任方,是建筑行业风险管理中广泛采用的一项对策,例如,工程保险和合同转移是风险转移的主要方式。
4)风险自留: 适用于别无选择、期望损失不严重、损失可准确预测、企业有短期内承受最大潜在损失的能力、机会成本很大、内部服务优良的风险。
选择风险处理方式,要根据组织运营的具体业务环境与条件来决定,总的原则就是控制措施要与特定的业务要求匹配。最佳实践是将合适的技术、恰当的风险消减策略,以及管理规范有机结合起来,这样才能达到较好的效果。
通过风险处理后,并不能绝对消除风险,仍然存在残余风险:
残余风险Rr =原有的风险Ro-控制R
目标:残余风险Rr≤可接收的风险Rt,力求将残余风险保持在可接受的范围内,对残余风险进行有效控制并定期评审。
主要评估两方面:不可接受风险处理计划表,主要评价要素为{资产名称、责任人、威胁、脆弱点、已有控制措施、风险处理方式、优先处理等级、风险处理措施、处理人员、完成日期};残余风险评估表,主要评价要素为{资产名称、责任人、威胁、脆弱点、已有控制措施、增加的控制措施、残余威胁发生可能性、残余威胁影响程度、残余风险值}。
2.6 风险评估报告
在风险评估结束后,经过全面分析研究,应提交详细的《安全风险评估报告》,报告应该包括[4]:
1) 概述,包括评估目的、方法、过程等。
2) 各种评估过程文档,包括重要资产清单、安全威胁和脆弱性清单、现有控制措施的评估等级,最终的风险评价等级、残余风险处理等。
3)推荐安全措施建议。
3.结论
目前仍有相当一部分施工现场存在各种安全隐患,安全事故层出不群,不仅给人们带来剧痛的伤亡和财产损失,还给社会带来不稳定的因素。风险评估是工程安全领域中的一个重要分支,涉及到计算机科学、管理学、建筑工程安全技术与管理等诸多学科,本文的评估方法综合运用了定性、定量的手段来确定建设工程中各个安全要素,最终衡量出建设工程的安全状况与水平,为建立安全管理体系ISMS提供基础,对建设工程的风险评估具有一定的借鉴意义。
参考文献:
[1]ISO/IEC 17799:2000 Information Technology-Code of Practice for Information Security Management.
[2]BS7799-2:2002.Information Security Management-Specification for Information Security Management Systems.
篇4
关键词:网络安全;风险评估;安全措施
中图分类号:TP393文献标识码:A 文章编号:1009-3044(2008)06-11012-01
A Survey of Network Security Risk Assessment
CHEN Jun-wei
(Dept. of Computer, Nanjing University of Posts and Telecommunications, Nanjing 210003,China)
Abstract:To assess the security condition of a network system, is one of the most important technologies in security area. In this paper, we will point out the shortcomings of the present security guard, in the discussion of the standards and measures of existing risk assessment, and propose methods and directions which are beneficial in perfecting the assessment systems.
Key words:Network security; risk assessment; security measures
1 引言
频频发生的信息安全事件正在日益引起全球的关注,列举的近年来的网络突发事件,不难发现,强化提升网络安全风险评估意识、强化信息安全保障为当务之急。所谓风险评估,是指网络安全防御中的一项重要技术,它的原理是,根据已知的安全漏洞知识库,对目标可能存在的安全隐患进行逐项检查。然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告,为提高网络安全整体水平提供重要依据。完成一个信息安全系统的设计与实施并不足以代表该信息安全事务的完结。随着新技术、新应用的不断出现,以及所导致的信息技术环境的转变,信息安全工作人员要不断地评估当前的安全威胁,并不断对当前系统中的安全性产生认知。
2 网络安全风险评估的现状
2.1 风险评估的必要性
有人说安全产品就是保障网络安全的基础,但有了安全产品,不等于用户可以高枕无忧地应用网络。产品是没有生命的,需要人来管理与维护,这样才能最大程度地发挥其效能。病毒和黑客可谓无孔不入,时时伺机进攻。这就更要求对安全产品及时升级,不断完善,实时检测,不断补漏。网络安全并不是仅仅依靠网络安全产品就能解决的,它需要合适的安全体系和合理的安全产品组合,需要根据网络及网络用户的情况和需求规划、设计和实施一定的安全策略。通常,在一个企业中,对安全技术了如指掌的人员不多,大多技术人员停留在对安全产品的一般使用上,如果安全系统出现故障或者黑客攻击引发网络瘫痪,他们将束手无策。这时他们需要的是安全服务。而安全评估,便是安全服务的重要前期工作。网络信息安全,需要不断评估方可安全威胁。
2.2 安全评估的目标、原则及内容
安全评估的目标通常包括:确定可能对资产造成危害的威胁;通过对历史资料和专家的经验确定威胁实施的可能性;对可能受到威胁影响的资产确定其价值、敏感性和严重性,以及相应的级别,确定哪些资产是最重要的;准确了解企业网的网络和系统安全现状;明晰企业网的安全需求;制定网络和系统的安全策略;制定网络和系统的安全解决方案;指导企业网未来的建设和投入;通过项目实施和培训,培养用户自己的安全队伍。而在安全评估中必须遵循以下原则:标准性原则、可控性原则、整体性原则、最小影响原则、保密性原则。
安全评估的内容包括专业安全评估服务和主机系统加固服务。专业安全评估服务对目标系统通过工具扫描和人工检查,进行专业安全的技术评定,并根据评估结果提供评估报告。
目标系统主要是主流UNIX及NT系统,主流数据库系统,以及主流的网络设备。使用扫描工具对目标系统进行扫描,提供原始评估报告或由专业安全工程师提供人工分析报告。或是人工检查安全配置检查、安全机制检查、入侵追查及事后取证等内容。而主机系统加固服务是根据专业安全评估结果,制定相应的系统加固方案,针对不同目标系统,通过打补丁、修改安全配置、增加安全机制等方法,合理进行安全性加强。
系统加固报告服务选择使用该服务包,必须以选择ISMR/SSMR/HME服务包为前提,针对评估分析报告,提出加固报告。系统加固报告增强服务选择使用该服务包,必须以选择ISMR/SSMR/HME服务包为前提,针对评估分析报告,提出系统加固报告,并将系统加固报告、加固步骤、所需补丁程序以光盘形式提交客户。系统加固实施服务选择使用该服务包,必须以选择 ISMR/SSMR/HME服务包为前提,针对评估分析报告,提出系统加固报告,并将系统加固报告、加固步骤、所需补丁程序以光盘形式提交客户,并由专业安全工程师实施加固工作。
3 网络安全风险评估系统
讨论安全评定的前提在于企业已经具有了较为完备的安全策略,这项工作主要检测当前的安全策略是否被良好的执行,从而发现系统中的不安全因素。当前计算机世界应用的主流网络协议是TCP/IP,而该协议族并没有内置任何安全机制。这意味着基于网络的应用程序必须被非常好的保护,网络安全评定的主要目标就是为修补全部的安全问题提供指导。
评定网络安全性的首要工作是了解网络拓扑结构,拓扑描述文档并不总能反映最新的网络状态,进行一些实际的检测是非常必要的。最简单的,可以通过Trackroute工具进行网络拓扑发现,但是一些网络节点可能会禁止Trackroute流量的通过。在了解了网络拓扑之后,应该获知所有计算机的网络地址和机器名。对于可以访问的计算机,还应该了解其正在运行的端口,这可以通过很多流行的端口发现工具实现。当对整个网络的架构获得了足够的认知以后,就可以针对所运行的网络协议和正在使用的端口发现网络层面的安全脆弱点了。通常使用的方法是对协议和端口所存在的安全漏洞逐项进行测试。
安全领域的很多专家都提出边界防御已经无法满足今天的要求,为了提高安全防御的质量,除了在网络边界防范外部攻击之外,还应该在网络内部对各种访问进行监控和管理。企业组织每天都会从信息应用环境中获得大量的数据,包括系统日志、防火墙日志、入侵检测报警等。是否能够从这些信息中有效的识别出安全风险,是风险管理中重要一环。目前的技术手段主要被应用于信息的收集、识别和分析,也有很多厂商开发出了整合式的安全信息管理平台,可以实现所有系统模块的信息整合与联动。
数据作为信息系统的核心价值,被直接攻击和盗取数据将对用户产生极大的危害。正因为如此,数据系统极易受到攻击。对数据库平台来说,应该验证是否能够从远程进行访问,是否存在默认用户名密码,密码的强度是否达到策略要求等。而除了数据库平台之外,数据管理机制也应该被仔细评估。不同级别的备份措施乃至完整的灾难备份机制都应该进行有效的验证,不但要检验其是否存在安全问题,还要确认其有效性。大部分数据管理产品都附带了足够的功能进行安全设定和数据验证,利用这些功能可以很好的完成安全评定工作并有效的与安全策略管理相集成。攻击者的一个非常重要目的在于无需授权访问某些应用,而这往往是获得系统权限和数据的跳板。事实上大部分的安全漏洞都来自于应用层面,这使得应用程序的安全评定成为整个工作体系中相当重要的一个部分。与更加规程化的面向体系底层的安全评定相比,应用安全评定需要工作人员具有丰富的安全知识和坚实的技术技能。
4 结束语
目前我国信息系统安全风险评估工作,在测试数据采集和处理方面缺乏实用的技术和工具的支持,已经成为制约我国风险评估水平的重要因素。需要研究用于评价信息安全评估效用的理论和方法,总结出一套适用于我国国情的信息安全效用评价体系,以保证信息安全风险评估结果准确可靠,可以为风险管理活动提供有价值的参考;加强我国信息安全风险评估队伍建设,促使我国信息安全评估水平得到持续改进。
参考文献:
[1] 陈晓苏,朱国胜,肖道举.TCP/IP协议族的安全架构[N].华中科技大学学报,2001,32-34.
[2] 贾颖禾.国务院信息化工作办公室网络与信息安全组.信息安全风险评估[J].网络安全技术与应用,2004(7),21-24.
[3] 刘恒,信息安全风险评估挑战[R],信息安全风险评估与信息安全保障体系建设研讨会,2004.10.12.
[4] [美]Thomas A Wadlow.网络安全实施方法.潇湘工作室译.北京:人民邮电出版社,2000.
[5] 张卫清,王以群.网络安全与网络安全文化[J].情报杂志,2006(1),40-45
[6] 赵战生,信息安全风险评估[R],第全国计算机学术交流会,2004.7.3.
篇5
关键词:施工企业 COSO报告 内部控制系统 风险管理
一、COSO内部控制框架
美国政府为了加强对市场的监管,出台了内部控制及公司治理的相关措施,其中COSO委员会于1992年提出、并于1994年修改的《内部控制整合框架》将内部控制定义为由企业董事会、管理层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。内部控制由控制环境、风险评估、控制活动、信息和沟通以及监督这五个要素构成。上述三类目标是企业的努力方向,而五个要素则是实现目标的必要条件,二者相互关联。五个要素之间相互协调,共同构成对不断变化的环境做出动态反应的有机整体。进入21世纪后,风险管理备受全球关注,COSO委员会于2004年了《企业风险管理整合框架》,包括内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通以及监督八个要素。我国于2008年了《企业内部控制基本规范》,该规范中对内控的描述与《内部控制整合框架》基本相同。
二、施工企业的控制环境
内部控制在施工企业具有广泛的适用性,然而,目前我国施工企业的内部控制还相当薄弱,主要表现在内部控制环境差,风险评估意识淡薄,控制活动不严密,信息与沟通不流畅以及监督检查流于形式这五个方面。从我国施工企业内部控制的现状来看,构建一个理想的内部控制体系势在必行。控制环境是五个要素中最基本的要素,被视为其他四个要素的基础。施工企业的控制环境主要包括以下四个方面。
(一)高管层的重视与支持
施工企业内部控制是企业管理中一项综合性很强的工作,涉及到施工工作的各个环节,影响每个职工的切身利益,尤其是对高管层权力具有约束作用。例如针对分包队伍管理这一问题,有些单位将该权利交由主管领导一人决定;若实施内部控制制度,则需要全员共同参与决策。因此,内部控制制度是否能够在施工企业顺利、有效展开实施,良好的控制环境能否在施工企业建立,高管层的重视和支持起关键性作用。
(二)与施工企业相适应的用人机制
施工企业的施工现场很多地处偏远山区,生活及工作环境比较恶劣,致使许多施工企业出现了关键技术员工辞职、离职的现象,严重影响施工生产的正常运行。如果企业缺乏完善的人事制度,企业的管理、运转,甚至生存都将面临危险。因此,对施工企业来讲,一套较为完善的人事制度,应该包括员工的录用制度、培训制度、考核制度、晋升制度以及激励和福利制度等。
(三)加强施工企业文化建设
文化是企业的灵魂,优秀的企业文化是一种无形的力量和源泉,能够引导每一位员工以良好的精神面貌完成每一项管理和控制工作。施工企业的流动性决定了其企业文化的特殊之处。施工现场文化主要体现为文明施工建设,主要包括规范现场的场容管理,保持作业环境整洁卫生;做好现场物资、机械、安全、技术、保卫和消防等方面管理;施工现场各种标识牌和标语的管理;员工娱乐设施管理,减少对居民和环境的不利影响等。施工工地的文明施工水平是该项目工地乃至所在企业各项管理工作水平的综合体现,也是施工企业文化特色的集中表现。
(四)合理、高效的施工企业组织机构
施工生产的单件性、露天性和流动性的特征,使施工企业的组织形式,尤其是现场组织形式,处于动态组合状态。面对日益复杂多变的市场环境,组织机构的设置应有利于企业走向市场,同时有利于增加企业经济效益。
三、施工企业的风险管理
施工企业常见的风险类型包括经营风险、管理风险以及财务风险等方面。施工企业应树立风险意识,分析风险的类别及其特点,划分风险的责任范围,针对各个风险控制点建立有效的风险识别、评估、响应和监控等风险管理流程系统。通过各种具体措施,缩小风险范围,降低风险系数,明确风险目标,加强管理,提高工作效率,减少风险损失,保证施工生产的正常运行。
施工企业风险管理的循环一般包括四个环节。(1)风险识别环节,应分析工程项目风险,识别风险来源。(2)风险评估环节,应根据项目风险的严重性,发生的可能性、可控性来评估风险。(3)风险响应环节,应确定工程项目风险的应对措施。(4)风险控制环节,应建立风险预警系统、制定应急计划。
四、施工企业的控制活动
施工企业内部控制活动的关键控制点主要包括项目资金、项目采购、工程质量、工程成本以及工程项目资源。
(一)项目资金的内部控制
施工企业的流动性及投资的巨大性,决定了资金控制除了授权批准制度以及不相容职务分离外,建立资金结算中心模式更有利于整合遍及全国乃至海外的众多项目资金。
(二)项目采购的内部控制
建设工程项目成本的70%左右均为材料成本,因此降低材料成本是降低生产成本的关键所在,而要降低材料成本,材料采购是最关键的环节之一。根据世界银行贷款项目的货物采购等有关招标采购文件,并结合我国施工企业的实际情况,施工项目物资采购的一般程序为确定采购计划、采购方式、签订合同、执行合同、物资验收以及资料归档。
(三)工程质量的内部控制
工程质量是企业的生命,且工程质量又与工程安全密切相关,因此推行全面质量管理,建立全面质量管理体系,采用科学方法对工程质量采用“一切用数据说话”的基准进行判断,才能确保工程施工质量。
(四)工程成本的内部控制
施工项目成本费用管理效率的水准对施工企业的绩效改善和持续发展极其重要,应实行项目全面成本管理责任体系,将材料控制、劳动控制、机械设备控制、项目间接费控制等方面作为实施重点。
(五)工程项目资源的内部控制
项目资源的内部控制,即各生产要素的管理,一般分为五个阶段,即投标、签约阶段,施工准备阶段,施工阶段,验收、交工与竣工结算阶段,用户服务阶段。项目资源的内部控制是一个综合管理的过程,是优质、高效建筑产品的诞生不可省略的过程之一。
五、施工企业的信息与沟通
信息沟通的方式很多,施工企业一般通过财务信息系统、内部报告系统进行沟通。
(一)财务信息系统
目前,施工企业实行的是财务多级核算模式,具体表现为各个施工队会计报账至各个项目部;各个项目部将其财务报表上交各个分公司;再由各个分公司将其财务报表上交集团总公司。施工企业应结合企业流程再造的思想对企业的组织和业务流程进行重新审视,建立与企业分散施工特点相符的组织结构。同时,在现有的已实施会计电算化的基础上,依托网络技术逐步推进企业内部所有核算单位的会计信息的集中管理模式,逐步改变目前实行的多级管理核算模式(见上图)。
(二)内部报告系统
常用的内部报告体系包括施工生产经营报告体系、资本经营报告体系、预算执行报告体系等三大体系。具体地,施工生产经营报告体系包括财务状况分析报告、项目经理述职报告、施工生产安全报告、施工生产经营报告以及施工质量控制报告;资本经营报告体系包括筹资及其成本报告、所得税报告以及对外投资报告;预算执行报告体系包括收入中心预算执行报告、成本中心预算执行报告、费用中心预算执行报告、利润中心预算执行报告以及投资中心预算执行报告。
六、施工企业的监督
在施工企业内部控制的监督过程中,内部审计和自我评估两项职能发挥着重要作用。
(一)内部审计
施工企业的内部审计既是企业内部控制的一个重要组成部分,又是监督企业内部控制是否严格执行,促进内部控制制度不断完善的重要力量。内部审计主要包括严格审计程序,规范审计行为,确保审计质量;合理设置审计机构,提高内部审计的独立性与客观性;构建信息化方式下,内部审计监督新模式、新方法;合理配备审计人员,提高审计人员素质等方面。
(二)自我评估
在进行内部控制自我评估,编写内部控制自我评估报告时,应就以下八个方面的内容进行披露。(1)声明公司董事会对建立健全和有效实施内部控制负责,并履行了指导和监督职责,能够保证财务报告的真实可靠和资产的安全、完整。(2)声明已经遵循有关标准和程序对内部控制设计与运行的健全性、合理性和有效性进行了自我评估。(3)对开展内部控制自我评估所涉及的范围和内容进行简要描述。(4)声明通过内部控制自我评估,可以合理保证公司的内部控制不存在重大缺陷。(5)如果在自我评估过程中发现内部控制存在重大缺陷,应披露有关的重大缺陷及其影响,并专项说明拟采取的改进措施。(6)保证了已披露的内部控制重大缺陷之外,不存在其他重大缺陷。(7)自资产负债表日至内部控制自我评估报告报出日之间,如果内部控制的设计与运行发生了重大变化,应说明重大变化情况及其影响。第八,依法披露的内部控制自我评估报告,经董事会审议批准后方可公布。
参考文献:
1.Kevin Buehler,Andrew Freeman,Ron Hulme. Owning the Right Risks[J].Harvard Business Review,2008,(09).
2.Keith Wade,Andy Wynne.控制自我评估理论及应用[M].北京:中国财政经济出版社,2008.
3.卜永军.建设工程项目管理一本通[M].北京:地震出版社,2007.
4.方红星译.内部控制――整合框架[M].大连:东北财经大学出版社,2008.
5.刘霄仑译.SOA与内部审计新规则[M].北京:中国时代经济出版社,2007.
6.刘晓红,徐玖平.项目风险管理[M].北京:经济管理出版社,2008.
7.内部控制课题组.企业内部控制基本规范解读与案例分析[M].上海:立信会计出版社,2008.
8.商德福.施工企业的管理与控制活动初探及案例风险[J].经营管理者,2013,(3).
篇6
一、梳理企业现有治理结构、完善组织设计及部门设置
图1 内控环境构建流程
合理的公司治理结构既是内控环境的组成部分,又是内控体系得以顺利实现的基础,所以上市公司首先应该明确自己的战略目标,根据战略目标规范治理结构,对现有组织结构、部门职责进行全方位的梳理,同时还要按照五部委的《内控规范》设立相应的内控部门及部门职责。其次,上市公司还应在上述基础上对公司所有的规章制度进行查缺补漏,整合成符合公司实际需求的制度体系。
二、建立内部控制系统
世界上不存在两个完全相同的企业,即便是同一行业中的两个企业,销售同类型的产品,都会在运营管理中体现出不同的文化特色、管理风格,这就决定了每个企业一定会有自己所特有的内控环境,因而其内部控制系统也一定是各有差异、各具特色。
企业内部控制的主要目标是为了经营合规合法、运作高效率、控制风险。为此,构建企业内部控制系统应该是一个长期、动态持续的过程,一般可以分为以下几阶段:
1.对企业风险进行系统评估。
图2 企业风险评估体系
风险评估是被国内企业最容易忽视的环节,而实际上,这个环节却是建立企业内控体系的一个至关重要的前提。企业应当基于所处行业的特色和企业自身的业务特征,利用专业的评估工具对企业的内外风险进行量化的分析,对风险可能发生的频率和后果赋值,计量风险的严重程度,同时设定企业对风险的容忍限度,对诊断出的所有风险进行排序,随后建立相应的风险数据库及风险应对策略。
2.建立书面的内部管理手册。
图3 企业内部管理手册建立流程
在前述建立的风险数据库的前提下,企业的任务是对应于上述风险数据库对企业整个运营管理流程进行分类,针对具体业务流程(明细程度可能根据企业的控制目标具体界定)确定关键岗位、职责表,描述关键控制点及相关的关键控制活动,分析不相容职务表(详见“立信锐思――如何企业内部管理手册”)。
企业的内部管理手册应该是系统的、可操作的,所以在内部管理手册的最后应当有相应控制活动的对应内审程序及职责表,以便于企业持续的监督,也就是在内控设计有效的基础上确保执行的有效性。
3.对企业内部管理手册的执行进行持续监督。
在以往的国有上市公司内控失败的案例中,很多企业已经制订了防范风险的控制制度,这些制度设计虽不能避免所有的风险,但至少可以保证不会导致企业破产清算,难以持续经营。他们的失败不在于缺乏制度,而在于缺乏监督,致使制度形同虚设,舞弊肆虐、管理完全失效。
企业在建立了内部管理手册以后,由专门的、职责独立的内审部门负责日常的监督,并及时直接地向企业内部控制委员会汇报、实施有效控制。
对企业来说,仅实施日常监督是不够的,内部控制委员会还要制定专项监督制度,对企业的非经常性项目进行不定期的监督,以防止预想之外的风险发生。
4.根据企业的外部环境及内部业务的变化对内控体系进行动态更新。
企业在业务发展的过程中会发生大小各异的内部变化,小到低层员工的变动,大到经营模式的变化,这些变动累积到一定程度会导致原有的风险手册和内控管理手册不再符合企业的实际,特别是2008年全球金融危机,企业面临着及其严酷的竞争环境,该环境加剧了企业风险的可变性。因此,企业的内控体系也应该是一个动态更新的过程。
这个动态更新的过程即可以是渐进式的(当内外部变化不是非常剧烈时),也可以急进的、全新式的(当内外部发生的革命性的变化时)。
规范公司内部控制制度的执行和评价报告制度是公司首次执行公司内部控制评价报告制度最困难的一件任务。首次执行大规模的动态更新对于许多公司来说,并不是一件易事。
我们建议企业在首次建立内控体系或重大动态更新时选择第三方的权威中介机构,既可以借助其专业知识为企业量身定做内控体系,也可以通过培训方式培养企业自身的内控理念和意识。
三、对外披露:内控自我评估及内控鉴证
1.内控自我评估。
企业根据国家有关法律、行政法规或者有关监管规则的规定提交并披露(以财务报告为主的)内部控制自我评估报告时,还应当在该报告中披露以下内容:
(1)声明企业董事会对建立健全和有效实施内部控制负责,并履行了指导和监督职责,能够保证财务报告的真实可靠和资产的安全完整。
(2)声明已经遵循有关的标准和程序对内部控制设计与运行的健全性、合理性和有效性进行了自我评估。
(3)对开展内部控制自我评估所涉及的范围和内容进行简要描述。
(4)声明通过内部控制自我评估,可以合理保证本企业的内部控制不存在重大缺陷。
(5)如果在自我评估过程中发现内部控制存在重大缺陷,应当披露有关的重大缺陷及其影响,并专项说明拟采取的改进措施。
(6)保证除了已披露的内部控制重大缺陷之外,不存在其他重大缺陷。
(7)自资产负债表日至内部控制自我评估报告报出日之间(以下简称报告期内)如果内部控制的设计与运行发生重大变化的,应当说明重大变化情况及其影响。
(8)依法及时披露的内部控制自我评估报告,经董事会审议批准后公布。
2.内控鉴证。
篇7
关键词:资产评估风险;风险防范措施;财务管理;立法风险;管理风险;执业风险 文献标识码:A
中图分类号:F33 文章编号:1009-2374(2016)12-0193-03 DOI:10.13535/ki.11-4406/n.2016.12.092
1 资产评估风险的定义、特征和类型
1.1 资产评估风险的定义
资产评估相关单位或相关个人由于进行资产评估而带来利益损失的可能性。这种损失造成的原因可能是由于评估价值区间与客观价值的偏离或者是评估主体出现了行为失误造成的,而且极其容易引发利益受损者对评估机构以及评估机构的评估人员进行民事甚至是刑事诉讼,要求其承担责任,赔偿损失。这其中又有广义风险和狭义风险之分,那种强调风险表现不确定性的属于狭义风险;而那种强调风险表现为损失的不确定性的属于广义风险。广义风险的结果可能带来损失,可能从中获利,也可能没有利益损害与利益收获。
1.2 资产评估风险的特征
1.2.1 客观必然性。资产评估工作具备规范市场秩序,提高市场交易的积极作用,但其也存在一定风险,所以资产评估风险具有客观必然性。
1.2.2 未知不确定性。资产评估风险具有客观必然性,而且其什么时间什么地点发生,发生什么类型以及发生多大程度的风险都是未知的,所以其具备未知不确定性。
1.2.3 潜在性。资产评估风险的存在是一种客观事实,如果当事人的利益没有遭受损失则相安无事,一旦当事人的利益损失达到了当事人不能容忍的地步的时候,潜在的可能性风险就变成了事实风险,所以资产评估风险具备潜在性。
1.2.4 阶段性。一旦资产评估工作对当事人造成了利益损害,而且被当事人进行了法律诉讼,这种潜在风险就变成了事实风险,也就是说前阶段还是潜在的风险,后阶段就可能爆发为事实风险,所以说资产评估风险具备阶段性。
1.3 资产评估风险的类型
1.3.1 立法风险。由于人的意识要受到现实条件的制约,所以相关部门在制定跟资产评估相关的法律法规的时候往往受到当时的历史局限,经过多少年后,如果资产评估的立法不能够及时更新与时俱进,那么就很可能会给一些不法分子带来钻法律空子的可能,之前确立的法律法规很可能因为不能适用于目前的实际情况而给资产评估工作带来一些风险。
1.3.2 管理风险。管理风险主要是指主管资产评估行业的行政部门在对资产评估工作进行管理过程中可能产生的风险。这其中有两点要特殊说明:一是目前我们国家资产评估管理的行政主管部门还没有统一,不仅由财政部门主管,还由林业、房产管理、农业等部门主管,主管部门过多,造成资产评估工作很难形成统一标准;二是我们国家目前的资产评估管理职能主要有两个,分别是规划职能和控制职能。对于法律法规的制定和行业发展的规划等都属于是规划职能范围内的。而像对资产评估机构和资产评估人员进行资格认证、制定执业标准以及进行国际协调等都属于是控制职能范围内的。在我们国家,关于资产评估管理风险的具体表现主要是:由于评估的主管部门众多,各部门之间存在一些政策上的冲突甚至是矛盾,所以各部门在进行职业标准制定以及其他方面的管理工作的时候,很难形成统一的标准,进而对资产评估工作的正常有序开展产生
影响。
1.3.3 执业风险。执业风险是资产评估风险中最常见的一种风险,由于现在我国资产评估机构众多,资产评估人员数量庞大,但是资产评估人员的素质水平参差不齐,很多人的执业水平都达不到专业标准,如果评估人员的水平不够,在进行资产评估的过程中就容易给评估当事人带来一些不利的影响甚至是一些经济上的损失,那么当事人就会对评估机构以及评估人员进行法律诉讼,评估机构就要承担参与诉讼的花销以及败诉后给当事人的损失补偿,这就是资产评估的执业风险。
1.3.4 结果使用风险。资产评估结果使用风险主要是因为当事人对于资产评估报告书以及资产评估结果的使用不当而带来的一些风险。常见的表现有三种情况:一是评估当事人错误地使用了已经过期的资产评估报告书和资产评估结果;二是当事人没有遵循资产评估报告书上所注明的评估目的来使用资产评估报告书和资产评估结果;三是当事人在使用资产评估报告书和评估结果的过程中对于评估期过去之后的一些事项而引起资产评估价值发生变化没有考虑到。
2 资产评估风险防范面临的问题
2.1 评估人员总体素质水平较低
长期以来,我国一直都在实行注册资产评估师的考试制度来进行评估师的选拔。近年来,我国又开始采用注册资产评估师的分类分级制度来对评估师队伍进行专业划分。目前已经有建筑评估师、土地评估师、机器设备评估师等具体的分类,发挥了每个评估师的专业特长。而分级则是根据注册资产评估师的执业年限和工作经验把资产评估师分为初级、中级和高级三个等级,等级越高的评估师其评估经验越丰富,评估水平越高,评估质量越好。但是由于我国市场混乱,资产评估师考试制度以及资产评估师的分类分级制度实施过程中出现了很多问题,很多组织或个人在考试之前泄题给考生,评估师的分级制度审核也不够严格,加之国内的资产评估起步较晚,所以跟发达国家相比,我国资产评估机构的评估人员素质水平参差不齐,真正有水平的高级评估师很少,评估师队伍整体的素质水平不高。
2.2 缺乏完善的法律法规
从我国发生过的众多评估纠纷案件中可以看出,我国目前的法律法规在资产评估方面极其不完善,缺乏全面的法律支撑。已有的《国有资产评估管理办法》存在诸多方面的缺陷,《中华人民共和国注册资产评估师法》还未形成可以全面规范资产评估执业准则和道德准则的作用。所以,由于我国缺乏完善的法律法规进而导致资产评估纠纷频发,而且纠纷处理缺乏统一的法律依据,常常引发诉讼双方的不满。而且有很多不法分子钻法律的空子,市场上经常出现虚假评估现象。
2.3 相关管理体制不健全
目前我国的资产评估市场比较混乱,评估行业问题百出,矛盾重重,跟我国的管理体制不健全有很大的关系,众多行政主管部门各持各法,没有达成一致,造成管理风险频发。而且由于管理体制不健全,评估人员经常不按照既定程序进行评估操作,导致评估风险频发,还有很多机构急功近利,为了抢占市场份额经常承揽诸多超出机构本身评估能力范围之内的业务,所以就会经常出现很多不科学、不合理的评估结果,久而久之就会给机构的名声带来极大的损害,这都跟我国普遍存在的相关管理体制不健全有关。
2.4 监督制度不完善
我国资产评估起步晚,相关的管理制度尚不健全,相关的监督机制更是不够完善,由于行政主管部门众多,经常出现各部门之间相互推诿、相互扯皮的情况,不但没有起到良好的监管作用,反而降低了对评估行业的监督力度,而且评估行业的新闻曝光率低,社会监督氛围差,行业内部存在很多不正当竞争现象,而且由于缺乏有效监督,很多评估人员都粗心大意甚至是违背道德进行虚假评估,不对评估质量负责,导致评估行业的口碑下降,十分不利于评估行业的健康长远发展。
2.5 评估报告不规范
现实生活中存在评估结果使用风险,主要是由于资产评估报告表述不恰当而引起当事人误会,进而引发评估机构与当事人之间的纠纷,评估报告随意不规范,很多地方阐述得不够清晰,经常给当事人造成麻烦甚至是损失,所以常常引起当事人的不满甚至对评估机构或者是评估师进行法律诉讼,评估机构和评估师也常常因此在诉讼过程中败诉,所以必须要严格规范资产评估报告,做到严格规范、清晰明了。
3 加强资产评估风险防范的对策
3.1 加强对评估人员的培训,提高评估人员素质水平
现代社会的发展进步,“人”的作用至关重要。资产评估工作本身是一项专业性很强且容不得半点马虎的工作,所以要求评估人员必须要具备很高的政治思想素养、专业的评估水平以及严谨负责的工作态度,而且要经常学习,与时俱进。必须要加强评估队伍的素质水平建设,加强对评估人员的素质培训,培训他们专业的评估知识和业务技能,并且要培养其学习能力和创新发展能力,提高其法律意识,加强其诚实守信爱岗敬业的道德教育,使资产评估人员都能够成为综合素质很强的应用型人才,降低资产评估的执业风险。
3.2 完善相关的法律法规
资产评估工作是一项十分严肃的涉及到评估当事人切身利益的事情,所以必须要对其进行规范化、法制化,使资产评估工作真正做到有法可依,引导评估行业健康长远发展,不让非法分子浑水摸鱼,与此同时,必须要对资产评估的责任做出明确法律界定。积极捍卫评估结论的法律效果与权威性,严厉打击不法分子或是失范者的违规行为,让那些破坏评估行业制度的不法分子承担相应的法律责任,通过法律法规的严格要求,净化资产评估行业的发展环境,降低资产评估的立法
风险。
3.3 完善相关的管理体制
要加强资产评估工作的规范化管理,形成行业自律。首先要统一资产评估机构的行政主管部门,实行统一的管理办法,为资产评估行业打造一个规范的外部环境;其次要尽快建立严格的执业准入与退出机制,严格规范评估机构的出资人资格以及评估人员的执业资格;最后要形成公平公正的奖惩制度,加强行业考核,严格把关执业质量,保证评估的正确性,降低资产评估的执业和管理风险。
3.4 完善相关的监督制度
监督是任何行业长远发展都必不可少的保障。对于评估行业而言,要想保证评估结论的安全可靠就必须要形成一套行之有效的监督机制,加强对评估机构以及评估人员的监督,防止其评估失真。这种监督必须要由政府与社会共同完成,结合相关的法律法规,完善相关的技术监督手段,建立起一套完善有效的资产评估监督体系,尽快理清政府、社会、行业机构以及评估师之间的关系,明确各自的职责权限,做到监督到位,科学有效,降低资产评估的执业和管理风险。(下转130页)(上接194页)
3.5 完善评估报告,加强自我保护
资产评估机构必须要吸取教训,要想减少纠纷或者是尽量保证自身在与机构进行法律诉讼过程处于有利地位,资产评估机构就必须要加强对评估报告的规范,积极完善资产评估报告的格式与内容,做到严格规范、内容严谨、语言表述精炼准确,大力提高评估人员严谨的评估意识和专业的评估水平,这才不容易引起执业风险与结果使用风险的发生,起到自我保护的作用。
4 结语
世界范围内资产风险评估的发展已经成为一种流行趋势,它对于促进企业资产扩大的作用日益突出,但是其本身的各个环节都存在着一定的风险性,所以必须要加强对其风险识别、预防,极力降低资产评估风险的风险系数。目前,我国政府跟企业都已经认识到了资产评估的重要意义,都在积极完善资产风险评估制度,所以,相信我们国家的资产评估工作会开展得越来越好。
参考文献
[1] 谭舒蔓,高兵.资产评估风险防范与控制[J].合作经济与科技,2015,(12).
[2] 范雪,张煦.资产评估风险防范与控制[J].中小企业管理与科技,2015,(4).
[3] 汪芹.试论资产评估风险及其规避措施[J].企业导报,2013,(20).
[4] 张翔.资产评估风险及其防范[J].中国证券期货,2013,(9).
[5] 史策,张莹.资产评估风险防范与控制[J].品牌(下半月),2015,(8).
篇8
一、企业各级信息管理部门职责,主要分为总部信息部门和各分部信息管理部门进行管理。
企业总部信息管理部门负责企业整体信息技术风险评估、统一建设信息系统的风险评估和总体层面信息系统的风险评估,并对企业信息技术风险评估工作进行指导和检查。
各分部信息管理部门负责本单位信息技术风险评估工作,组织本单位层面信息系统的风险评估,并将信息技术风险评估报告总部备案。
各级信息业务使用部门职责是在同级信息管理部门的组织下,参与和本部门业务相关的信息系统风险评估工作。
二、信息技术风险分类及主要内容
信息技术风险主要包括信息技术项目风险、信息技术服务连续性风险、信息资产风险、供应商风险、应用风险、基础设施风险、战略与新兴技术风险等。
信息技术项目风险是指信息技术项目无法交付的风险,包括因项目管理关键要素未能有效控制,导致项目延期、消耗资源超支、与计划相比功能减少、交付产品未达标准、实施期间造成业务中断等。
信息技术服务连续性风险是指由于信息系统的不可靠造成业务操作中断,包括因信息技术服务水平过低等导致的宕机或系统响应时间过长等造成业务中断。
信息资产风险是指未能有效保护与保存信息资产,包括信息系统装载的信息资产损毁、丢失以及不当泄露等。
供应商风险是指在信息技术项目交付和日常运营过程中,由于供应商未能交付信息技术产品或服务,或已交付但未达到标准,对信息系统和服务造成即时或潜在的影响。
应用风险主要指信息系统不能满足关键业务需求及信息技术应用故障,包括系统在操作性、功能性、可靠性、可维护性等方面存在缺陷对业务造成的负面影响。
基础设施风险是指由于信息基础设施不能正常运行带来的风险,包括基础设施构件发生故障、替换不当、配置不当等。
战略与新兴技术风险是指由于企业的信息技术能力有限,对战略和新的技术环境缺乏足够的适应能力,包括信息技术总体规划和信息技术架构设计缺乏整体、战略角度的考虑,缺乏灵活性等
三、信息技术风险评估方法
信息技术风险评估前期工作主要是针对信息技术风险评估对象收集相关的内部、外部初始信息,进行必要的筛选、提炼、对比、分类、组合等,以支撑信息技术风险评估工作。信息技术风险评估工作由信息管理部门会同有关业务部门共同完成。
信息技术风险评估包括风险识别、风险分析、风险评价。风险识别是通过查找信息系统支撑的各业务单元、各项重要经营活动及其重要业务流程,系统化地识别风险来源和风险类别;风险分析是对识别出的风险及其特征进行明确定义与描述,分析和描述风险发生的概率及风险发生的条件;风险评价是综合资产的价值、资产面临的威胁、威胁发生的可能性、现有控制体系已经提供的保护等多种因素,按照风险测量方法和风险等级评价原则,评估风险对企业目标的影响程度和风险的价值等。
信息技术风险评估要从战略、运营、项目等多个层面进行综合分析。在战略层面,主要关注信息技术能力与业务战略的一致性、应对新技术发展带来的威胁等;在运营层面,关注危害信息系统及基础设施有效性的风险、绕过系统安全措施的风险、造成重要资源损失或不可用的风险、违反法律法规的风险等;在项目层面,关注项目目标不能达到时所带来的后续风险等。
信息技术风险评估包括各类风险之间的关系分析,以便发现各风险之间的自然对冲、风险事件之间的相关性等组合效应,从策略上对风险进行统一集中管理
信息技术风险识别、分析和评价采用定性与定量相结合的方法。定性方法可采用问卷调查、专家咨询、情景分析、政策分析、行业标杆比较、访谈和调查研究等。定量方法可采用统计推论、计算机模拟、失效模式与影响分析、事件树分析等。
根据信息技术风险评估工作实际,可请有IT风险管理经验的人员参加,以及聘请资质、信誉好的专业机构协助实施。
五、信息技术风险评估后续工作
信息技术风险评估后续工作主要包括制定风险管理策略、实施风险管理、持续跟踪改进等。
制定风险管理策略,主要是根据企业自身条件和外部环境,围绕企业发展战略,确定风险偏好、风险承受度、风险管理有效性标准,选择适合的风险管理工具,并制定风险管理所需人力和财力资源的配置原则。
实施风险管理可通过风险承担、风险规避、风险转移、风险降低4种方法进行。总部和分部信息管理部门在实施信息技术风险管理方面应采取有效控制措施,尽量规避或降低信息技术风险。
持续跟踪改进主要指对信息技术风险实行动态管理,总部和分部信息管理部门应定期或不定期开展风险识别、分析、评价工作,及时发现新的风险和原有风险的变化并进行评估。
六、信息技术风险管理监督、检查
篇9
首先应分析和总结轨道交通工程存在的各类风险与特点,利用理论分析、施工现场勘查以及专家评审等多种方式,通过定期或者不定期报告在建设期限内展开建设质量以及安全风险管理工作,严格督查并切实加强关键节点的质控与风险管理工作;根据风险要素的表现形式来采取针对性控制策略,有效控制工程建设风险水平,最大化降低风险发生概率,以便于将风险事故所酿成的各方损失将至最低值。
2轨道交通工程的风险要素评估
(1)制定风险管理体系。应结合轨道交通建设管理标准与要求,着眼于轨道交通发展现状,针对轨道交通质量安全策划相应的风险管理方案,其内容涉及参建各方职责、风险管理内容以及各部分管理要求等。
(2)整体性评估。应结合施工现场情况、工程相关文件以及各类管理要求,根据工程自身特征、水文工程地质条件以及周边环境制约因素对轨道交通项目建设存在的风险因素展开综合评估,由此对轨道交通项目形成整体性的风险评估结果,对其管理要求以及风险等级予以明确。组织专家小组负责风险评审工作,与参建各方展开风险交底,明确关键风险点,例如轨道交通建设线路是否穿越保护性设施、历史建筑、局部不良地质、立交桥与铁路桥以及市政重要管线,或者在机场临近区域施工、桥桩基础施工风险以及盾构小曲率推进要点、下穿地表水体或穿越高速公路等等。
(3)动态性评估。开工前应根据工程水文地质、施工工艺、总体筹划、周边环境以及施工工序,由监理方指导参建各方评估本部单位工程中存在的风险要素,明确管理过程中的各个关键风险点。然后由安全管理机构对各单位提交的风险评估报告进行汇总,然后交由专家小组评估审核,制定初步的风险申报文件,并向建设单位提交。
3轨道交通工程施工现场安全管理
安全管理机构应为参建各方制定相应的安全管理标准,用于对安全管理标准化模式的执行做出相应的检查和考核。现场安全管理以规范化的行为和管理程序为主要对象,而巡检则是主要执行方式。巡检执行者由专家工作组以及施工现场监察小组组成,其工作内容涉及如下几个方面:
(1)参建各方。对现场各项建设程序进行检查,评估其规范与否;审核各项审批以及备案程序是否已经到位;检查工程关键部位、工序以及分部分项工程中具有较高危险性的部分,尤其是具有较高危险性且已超出一定规模的分项工程,应确认其遵循既定规程接受审批,或根据专家论证后施工技术方案贯彻落实;应对现场施工行为安全进行严密监控,关注现场危险源以及各环节施工违规操作行为,严格执行安全管理制度。
(2)施工企业。评估现场施工方是否就总分包行为构建质量安全保证体系;应对施工企业施工资质所发生的动态性变化予以严格审查,同时还应全面掌握企业工作人员资质动态变化、安全教育培训制度以及各项规章制度;应对专业分包以及劳务分包进行检查,确认其合法与否;确认总承包方在主体工程结构施工方面是否如约完工,或检查其有无非法转包行为;应对施工方现场管理控制工作进行检查和评估,确认其是否存在以包代管的行为,或者是否存在两级管理(施工单位与项目部)现象。
(3)监理方。应对监理企业资质动态变化予以检查,掌握其工作人员资质变化情况,了解其安全教育培训制度以及其他规章制度;应对监理方安全监理工作人员以及监理数量进行检查,确认其有无违背合同之举;应在施工现场对监理方执业行为、总监与工作人员到位情况、服务承诺是否实现等管理行为进行检查;应就现场监理工作展开评估,确认其有无及时察觉施工违规行为,并提出相应的书面整改要求,后期是否及时开展整改复查工作。
(4)应做好薄弱部位的质控工作,根据《危险性较大的分部分项工程的安全管理办法》可知,申请安全监督手续办理或者申领施工许可证时建设单位应出具具有较大危险性的分部分项工程清单以及相应的安全管理策略。其次应遵循《城市轨道交通工程安全质量管理暂行办法》,由建设单位全权负责工程项目管理工作。
4结语
篇10
【关键词】 煤炭企业; 内部控制; 风险评估; 指标体系
一、煤炭企业内部控制风险评估指标体系的建立
煤炭企业的内部控制风险评估指标体系设计应遵循以下原则:
一是科学性和系统性相结合的原则。任何指标体系都应该建立在一定的理论基础之上,科学性和系统性是制定指标体系的基本原则。二是全面性和代表性相结合的原则。指标体系应具有一定的全面性,能全面反映煤炭企业内部控制现状,但也要采用有代表性的指标,避免主次不分。三是可操作性与可延续性相结合的原则。选取的指标不仅要具有可操作性,而且具有在时间和内容上的延续性。四是定性和定量相结合的原则。该指标体系不能全是定性指标或定量指标,这样都不能够客观评价煤炭企业内部控制水平,而应该两者相结合起来。
笔者基于评价指标体系设计原则和方法,结合煤炭企业自身的特点,借鉴《2010年煤炭行业风险评估报告》、2008年9月21日中国煤炭学会经济管理专业委员会在山东威海举办的第九届中国煤炭经济管理论坛(论坛的主题是“企业全面风险管理与控制”)、煤炭行业内部控制风险评估现状及影响因素,提出了煤炭行业内部控制风险评估指标体系。如表1所示。
二、基于AHP法风险评估指标的评估方法
本文对于定性指标,采用调查问卷形式调查实证分析的对象,根据其相应高管对此问卷的回答来确定相应风险发生的可能性及其影响程度。对于定量指标,本论文采用沃尔评分法,结合风险评估的相关计算及综合评估来衡量煤炭企业内部控制风险,煤炭企业内部控制风险评估中三级风险、二级风险和企业加权平均风险值的计算公式如下:
内部控制风险因素三级指标加权平均风险值=∑(风险子因素各项分数×各对应子因素权重) 公式1
内部控制风险因素二级指标加权平均风险值=∑(风险母因素各项分数×各对应的母因素权重)公式2
煤炭企业内部控制风险因素综合风险值=∑(风险类别各项分数×各对应的风险类别权重)公式3
用AHP法对指标进行量化的具体步骤如下:
(一)构建两两比较判断矩阵
从层次结构模型(递阶层次结构图)的第2层开始,对于从属于(或影响)上一层每个因素的同一层诸因素,用成对比较法和1―9比较尺度构造成对比矩阵,直到最下层。
其中,元素满足:
bij>0(i,j=1,2,…,n);bii=1(i=1,2,…n);bji=1/bij(i≠j;i,j=1,2,…,n)
(二)针对某一个标准,计算各备选元素的权重
目前,关于判断矩阵权重计算的方法有两种,即和积法和方根法。采用这两种方法计算最大特征值和特征向量,从而求出相应层次的排序权重。
(三)进行一致性检验
通过判断矩阵可以计算针对某一准则层各元素的相对权重;然后进行一致性检验。虽然在构造判断矩阵A时并不要求判断具有一致性,但判断偏离一致性过大也是不允许的,因此进行一致性检验是很有必要的。
三、实证分析
以某煤炭集团为例,对其内部控制进行风险评估,文中对该公司内控风险的定性指标结果采用专家打分法获得,即向专家发放调查问卷表,汇总专家打分的结果所获得。对财务风险中各指标权重通过AHP方法计算得出;然后通过沃尔评分法计算相应指标的标准评分。根据表1指标体系,该公司内部控制风险评估综合测算如表2所示。
经过定性和定量综合分析后,该公司内部控制风险程度值是1.69,属于低度风险,其中外部风险占综合风险值的15%,内部风险为85%,说明随着煤炭行业的逐步市场化,该公司的内部风险增大,值得企业关注。其中这九个风险中宏观经济风险占外部风险值(1.97)的47%,行业政策风险占外部风险的32%,市场风险为17%,自然灾害风险为4%,人力资源风险占内部风险值(1.66)的10%、安全生产风险为57%、财务风险为3%、研发风险为18%、营销风险为12%。图1反映了二级指标风险因素占相应一级指标因素的综合风险比例。
通过上述内控风险评估结果,笔者分析到该公司存在如下需要控制的风险:
一是该公司宏观经济风险占外部风险值(1.97)的47%。目前全球经济格局仍处于重构阶段,宏观经济环境存在许多的不确定因素,公司应该把它作为一个关键控制点加以管理。二是该公司的行业政策风险表现得比较突出,此风险占其相应一级指标综合风险值的比例为32%,其中资源整合风险71.5%,资源税改革风险19%,环境保护政策风险6.3%,煤炭出口政策3.2%。因此,该集团领导层要高度重视行业政策风险,找到问题的症结,从而采取强有力的措施。三是该公司安全生产风险中人员的安全意识权重高达61.4%,这充分体现了人的安全意识在安全生产中的作用;安全信息化水平权重26.8%,这意味着在人员安全意识加强的前提下,该集团必须提高自身的安全信息化水平。四是在内部风险中,该公司研发风险占其相应的一级指标综合风险值的比例为18%,其中研发经费的合理规划对此数值的影响程度为7.8%,研发人员专业胜任力为47.5%,研发设备匹配度为12.6%,研发信息的及时性为32.1%。五是该公司市场风险占综合风险值的比例为17%,其中海外煤炭生产商加入对此数值的影响程度为2.8%,煤炭运输风险为9.8%,煤炭资源风险为63.6%,下游行业需煤波动风险为23.8%。六是在内部风险中,虽然财务风险(公司2010年的年报还没有披露,所以以上数据都来源于2009年的年报)比重较小(3%),但其中也有值得该公司关注的风险,盈利能力为对此数值的影响程度竟达到78.2%,经营增长状况为5.2%,收益分配风险为1.1%,债务偿还能力为11.2%,筹资风险为4.3%,该公司应该高度重视其盈利能力,把握住公司的资本运作,不断提高主营业务利润率、资本保值增值率,从而更加完善公司的财务控制。
此外,该公司的人力资源管理因素中人才聘、解机制因素对此风险因素的影响程度为38.6%;其次是激励与约束机制为33.8%,该公司应及时关注这两大因素。
结 语
煤炭企业内部控制风险评估首先需要根据指标体系设计的原则,建立相应的风险评估指标体系;然后采用AHP方法构建风险评估数学模型;最后运用该模型对内部控制风险评估进行分析。煤炭企业可依据此分析判断其自身面临的重大风险,从而针对相应的重大风险建立有效的控制活动。
【参考文献】
[1] 张修锋.上市公司内部控制的风险评估研究[D].天津:天津财经大学,2009.
- 上一篇:区域安全风险评估报告
- 下一篇:消防安全风险评估报告
相关期刊
精品范文
10企业偿债能力分析