风险评估存在的问题及建议范文

时间:2024-01-25 17:22:15

导语:如何才能写好一篇风险评估存在的问题及建议,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

风险评估存在的问题及建议

篇1

食品安全风险评估

食品安全风险评估现状。食品安全风险评估是指能对人体和动物产生副作用的危险因素进行评估的科学程序。风险分析包括风险评估、风险交流及风险管理,而风险评估是风险分析的基础与前提。我国颁布了多个食品安全法律,法律法规体系在不断完善中,卫计委、农业部也加大了国家食品和农产品的风险监测评估机制与机制建设。2015年修订的《中华人民共和国食品安全法》在第十四条中规定:“国家建立食品安全风险监测制度,对食源性疾病、食品污染以及食品中的有害因素进行检测”,在十七条中明确规定:“国家建立食品安全风险评估制度,运用科学方法,根据食品安全检测信息、科学数据以及有关信息,对食品、食品添加剂、食品相关产品中生物学、化学性和物理性危害因素进行风险评估”。由于我国食品风险评估与监管体系起步较晚,很多技术、人员、仪器设备及规划体系相对不完善,故在实施过程中仍存在一定问题。有文献报道,食源性疾病引起的食品安全风险更为严重,应加以重视。

食品安全监管体系构建及存在的问题

体系构建。近年来,“毒奶粉”“瘦肉精”“毒豆芽”“塑化剂”等食品安全事件频频见诸报端,这说明我国食品监管体系存在一定问题,食品安全监管问题形势严峻。随着国家对食品安全的高度重视,我国逐渐建立了一系列的风险评估机构。国家食品安全风险检测体系主要是进行技术数据基础网络建设及制定国家食品安全风险检测年度计划,并开展风险检测工作。结合我国实际国情,2011年成立了国家风险安全评估中心,并设立相关部门对食品风险监测、风险评估、风险交流、标准研究及技术研究进行管理,对食品安全问题的监管有了一定保障。在2012年,我国国家食品安全风险监测网络建设已覆盖31个省份,从中央到地方初步形成了国家食品安全风险检测网络体系。

74监管体系主要存在问题有以下几点:(1)食品安全风险评估中心成立时间不长,整体规划及技术保障能力需不断完善,风险评估及检测不太成熟。(2)风险评估需要利用大量数据及资料对签字风险进行科学评估,食品安全风险监测信息及监管信息收集机制不健全,缺乏搜安全风险评估所需要的基础数据。(3)我国目前负责风险评估的技术人员较少,技术水平有待提高,对程度大量的风险评估任务完成较困难。(4)对监管机构的监管缺失也是食品安全风险评估及监测中的大问题,职能部门需要社会和其他部门的被监管,预防监管部门,保障食品安全。

同时,食品监管体系存在职责权限划分不清、多头管理、监管盲区等问题。这导致食品市场监管失灵,小规模食品企业多,生产条件简陋,存在一系列食品安全问题。食品安全监管困难,我国食品监管体系亟待完善。

对策与建议

根据上述存在问题,对食品安全风险评估与监管体系构建要提供以下保障:一是国家法律法规制度保障,二是技术人员保障,三是资金及仪器设备保障,四是加强对监管部门的监管,避免职能部门。

同时,应结合我国国情及食品安全风险评估和监管的现状,整合出一套顺应时代的食品安全管理体系,逐步完善我国《食品安全法》的措施和制度,针对各行各业、各类食品制定相关食品安全法律法规,建立一套适合我国的食品安全风险评估体系,并对食品安全实施监管,保障食品安全。

篇2

[关键词] 现代风险导向审计风险评估内部治理机制

在世界经济全球化背景下,我国于2007年1月1日开始实施的新审计准则充分借鉴了国际审计准则,并逐渐向国际审计准则趋同,新审计准则的一大亮点莫过于引入了现代风险导向审计方法。

一、现代风险导向审计的涵义

现代风险导向审计方法作为一个新的审计理念和方法,是为了适应社会对审计的需求及审计大环境的改变而产生并发展起来的,也是现代审计的产物,要求审计人员对被审计单位面临的经营风险以及内部控制等情况有充分的了解,并将此作为确定实质性测试的范围、时间和程序的依据。这种审计方法有助于审计人员全面掌握企业可能存在的重大风险,也有助于节省审计成本,克服因缺乏全面性的观点导致的审计风险。由于我国的新审计准则采用了现代风险导向审计方法,这表明我国审计人员的审计实务已经由传统风险导向审计转变为现代风险导向审计。同时现代风险导向审计的全面实施对我国审计人员的审计理念、专业能力和审计成本等方面产生了巨大影响。

二、现代风险导向审计模式在我国应用中存在的问题

新审计准则要求审计人员把审计工作的重点集中在财务报表存在错报风险较高的领域,同时将对被审计单位风险评估的结果与审计程序紧密联系起来,这不仅有利于提高审计质量,增强社会公众对已审财务报表的信心,也有助于加强对社会公众利益的保护。但现代风险导向审计在我国应用的过程中仍存在一些问题。

1.现代风险导向审计所需信息不足

现代风险导向审计要求将审计的重心前移,即审计人员在执行审计时,首先应执行风险评估程序,以充分了解被审计单位整体的经营环境,然后针对评估的不同风险和风险领域,设计合理的审计程序。首先,这就要求审计人员对被审计单位的宏观环境、监管环境、法律环境、行业状况以及经营的战略等信息有足够的了解,并以此作为判断被审计单位诚信、评估经营风险的依据。其次,也要求会计师事务拥有功能强大和全面的数据库,以满足审计人员了解被审计单位整体情况的需要。但是,目前我国许多会计师事务所对各个行业的风险和企业面临的经营风险缺乏足够的了解,主要原因是会计师事务所对被审计单位的相关信息储存不足,信息系统的建设还远远达不到现代风险导向审计的要求,最终导致风险评估不够准确,严重影响了现代风险导向审计方法在我国的实施。

2.我国审计人员的整体素质不够

目前我国审计人员所具备的知识还不能达到实施现代风险导向审计的要求,审计人员的能力不足以判断被审计单位是否具有生存能力和合理的经营规划。现代风险导向审计下,审计人员不仅要熟练掌握会计、审计知识,也要掌握管理、行业和法律方面的知识,还要熟练运用多种分析工具进行财务和非财务的分析。但这种高素质人才在我国相对缺乏,已经成为现代风险导向审计模式广泛开展的瓶颈。

3.被审计单位的内部治理机制不健全

目前,我国企业的治理结构很不完善,所有者缺位现象非常普遍,内部人控制问题十分严重。在这种情况下,委托人与经营者合为一体,委托经营关系已不存在,这就使审计的委托关系变成了经营者出面委托会计师事务所对自己的行为和经营业绩进行监督和审查,并向会计师事务所支付审计费用。严重打乱了审计关系三方有序的平衡关系,使审计人员在审计关系中处于明显的被动地位,导致企业对高质量的审计服务缺乏内在的经济动机。

三、解决建议

针对现代风险导向审计在我国的应用过程中存在的诸多问题,为使其在我国更好地应用现提出以下几个方面的建议:

1.建立资源共享机制

新审计准则要求审计人员必须先执行风险评估程序,充分了解被审计单位的整体经营环境,还要针对风险不同的客户以及客户不同的风险领域设计不同的审计程序。这不但需要政府部门或者注册会计师协会采取措施将获得的企业相关信息及时在网上公布,以实现资源共享,还需要会计师事务所自身也应该建立功能强大的数据库,以便审计人员在风险评估时了解企业的战略、流程、风险管理、业绩衡量等。建立各行业数据库无论是对于会计师事务所的执业水平还是其长远的发展都十分必要。

2.提高审计人员的素质

现代风险导向审计在我国的应用效果很大程度上取决于审计人员的素质。由于新审计准则要求审计人员执行审计时要对被审计单位及其环境进行了解,要求审计人员必须具备与被审计单位所在行业相关的知识,并在审计执业过程中保持职业怀疑态度以及必要的职业谨慎。因此,应加强对审计人员的培训,使其对各行业政策和相关知识进行学习,增强职业判断能力,以更好地适应现代风险导向审计的发展。除此以外,应提高审计人员的计划能力,建立针对风险评估的专业人员组,按照新审计风险准则的精神,应在我国的审计实务工作中提高审计人员的计划能力,加强审计计划工作,因而对被审计单位进行比较准确的评估。这既符合现代风险导向审计的要求,也符合我国会计师事务所的现实条件。

3.强制建立健全企业内部控制机制

企业内部控制的好坏将对审计人员的审计风险产生重大的影响。目前,我国企业的公司治理结构及内部控制制度还不够完善,经理人掌握着信息的控制权,这些都妨碍了风险导向审计在我国的运用。为使风险导向审计在我国得到更好地应用,企业必须优化公司治理结构,并对企业内部控制的设计、运行、评价、改进四个环节建立和完善企业内部控制机制,强调管理层对内部控制的责任,关注对企业相关风险的评估情况,重视日常的控制活动,从而建立健全企业内部控制机制。

四、结束语

现代风险导向审计在我国还有待进一步的发展,但其与其他审计方法相比仍有很大的优势。一方面,现代风险导向审计是随着审计环境的变化对旧审计方法的调整。另一方面,现代风险导向审计方法是对战略观和系统论两理论的重大创新,这种新的审计模式为量化审计风险、明确审计责任、提高审计效率和质量都做出了有益的尝试。因此,我们有理由相信在我国现代风险导向审计的发展前景良好。

参考文献:

[1]陈毓圭:对风险导向审计方法的由来及其发展的认识[J].会计研究,2004,(2)

篇3

关键词:内控审计;存在问题;改进建议

本文通过对公司内部审计现状的分析及改进措施,以期进一步完善公司治理结构,提高公司治理水平。

一、公司内控审计中发现的问题

1、缺乏良好的内部控制环境

董事会、监事会、经理层之间责权利不明确,缺乏相互制衡、监督、约束和激励机制,董事会没有发挥其监督管理的作用。董事会成员与经理层成员高度重叠。对上市公司,要求设立独立董事和审计委员会,存在重形式、轻制度的问题。监事会工作形式化、空壳化,也未能很好的发挥监督作用,尚未真正建立起有效的法人治理结构。

2、公司管理人员内控意识、风险意识不够

高层管理者内部控制意识淡薄、定位不准确、风险管理意识不足、决策随意的现象还偶有发生,没有形成建立和实施内控的良好意识氛围。另外,公司员工对内控的程序和措置缺乏正确的理解和判断,不能完全按规定的质量完成内部控制。当业务需要和内部控制需要出现矛盾时,没有经过严谨的分析和评估并获得批准,就逾越内部控制规定而选择业务需要。

3.风险管理机制不完善

很多在中大型企业尚未开展系统的风险评估工作,无法对公司所面临的主要风险进行识别、分析和评估。各个部门单独进行的风险评估工作,无法提升到整个公司层面,形成各个部门间的风险信息共享。应对突发事件的能力亟待加强。目前的工作只限定在了操作层面及个别部门,对潜在的风险缺乏整体性认识和系统归类;对重要业务流程缺乏确认标准,没有建立起公司重要业务流程风险数据库;风险估测技术落后,主观判断多,科学方法少,难以真实、客观地反映公司经营活动的风险状况;科学有效的风险评估制度体系没有建立起来。没有一个健全有效的风险预警系统,管理层风险意识不足。

4.公司监控体系未能有效发挥作用

审计委员会未能有效发挥作用,公司成立了审计委员会,但同国际大型公司相比,审计委员会在对公司内部控制、反舞弊等方面职能的发挥尚有一定差距;同时,由于公司内部审计负责人的任免及汇报关系、业绩评价及薪酬体系的决定、审计手段及审计技术等方面的限制,内部审计只能较多局限于与财务活动相关的查错纠弊,所发挥的监督作用也比较有限,尚未提升到作为完善经营管理、提高经营效率的“咨询师”的角色;内部审计人员数量和经验不够,目前,同繁多的内部审计任务相比,内部审计人员的数量明显不足,同时由于内审员工缺乏足够的经验和知识开展内审工作。内审计划没有通过风险评估而关注最需要关注的领域。内审工作范围不能覆盖公司各个层面;内部控制监督没有与绩效考核情况相结合,没有将内部控制监督结果与绩效考核情况相结合,使得监督工作是去其权威性。

二、 加强公司内部控制的改进建议

1.强化公司管理层的内控意识和风险管理意识,重视内部控制“软环境”建设

公司管理层对于内部控制建设的重视程度直接影响公司内部控制机制的建设和有效运行。由于内部控制建设是一项长期的工作,公司领导需要不断地向公司员工传达和灌输内部控制理念,使得内部控制成为公司文化的一个重要组成部分,所以要想解决内控问题、搞好内控建设,公司领导和高管层必须提高重视程度。

在加强内部控制制度建设的同时,强化公司文化建设,尤其是内控文化的建设。 将内部控制、风险管理的理念贯穿于公司文化的管理哲学、经营理念中,形成上下一致的重视内控氛围;加强职业道德教育、在注重外在约束的制度安排的同时,要注重强化人的内在约束。

2.建立独立、有效的董事会、监事会

完善董事会制度,确立董事会在内部控制中的核心地位,发挥独立董事的作用,确保独立董事的独立性:提高独立董事的比例,明确独立董事功能定位.目前,国资委研究出台的《中央企业国有资本经营预算建议草案编报办法(试行)》国资发产权[2008]46号中指出,“中央企业国有资本经营预算支出(以下简称预算支出)包括资本性支出、费用性支出和其他支出等。.其他支出是指国资委用于中央企业结构调整和企业重组重大项目聘请中介机构的费用,中央企业外部董事薪酬,以及用于预算支出项目的各项管理费用等。”将有利于提高外部独立董事的独立性,充分发挥外部独立董事的作用。

从经费和人事两方面着手解决监事会的独立问题,使其真正能够按照公司章程规定对董事及经理人员进行有效监督.是否可以仿效外部独立董事的做法,引进外部独立监事,且其人事与薪酬都独立于被监管公司。

3.建立健全风险识别、评估和反映机制,加强风险管理的整体性、系统性和科学性

根据公司规模、所处行业等特点,制定公司风险管理制度,将风险评估系统化,通过风险评估识别公司内部所有重要业务流程,持续完善公司重要业务流程风险数据库,建立起科学的风险评估制度体系。

4.加强内部审计监督力度

内部审计是内部控制的一部分,也是监督内部控制其他各环节的主要力量.必须要提高内部审计的地位,确保其权威性和独立性.要把内部审计工作的主要职提高到对公司的管理作出分析、评价和提出管理建议上来。

5.注重内部控制体系的科学性及可操作性

建立科学、严格的授权审批制度、对具体业务流程进行标准化管理、建立缺陷评价标准体系等,这有助于提高内控体系的有效性,为决策及监督评价提供依据;同时,应强调内控体系的可操作性,提高控制措施的可执行性,避免内控制度流于形式。

6.将内部控制管理嵌入到流程中,形成日常管理机制

只有将内部控制嵌入到业务流程中,才能够真正发挥内控的有效性。必须建立内部控制的日常管理机制,明确责任。同时,内部控制机制必须随业务流程、系统和外部环境变化而变化,只有嵌入到流程中进行日常化管理,才能保证内部控制的有效性和相关性。同时,公司必须加强规章制度的可操作性和可执行性,将内部控制落实到实处。

参考文献:

篇4

1 营销稽查工作现状

1.1 稽查工作业务量庞大

电力营销工作中的专业点多、面广,而且具体的业务内容也比较繁杂,仅靠资源有限的稽查工作难以达到对所有工作环节全面而系统的稽查。因此,稽查人员需要对重点、热点和难点问题进行了解,以合理安排稽查资源。但是现有的稽查理论、工具,不能给予稽查人员在面对规模不断扩大、复杂性不断提升的稽查范围时,提供科学、详细的方向,但谈不上对重大风险点进行深挖和分析,最后往往沦为走形式完成任务。

1.2 存在少量“两张皮”现象

稽查整改建议好坏的重要标志是稽查能否被落实并产生预期的效果,如果缺乏系统性、可操作性的建设措施,使问题与建议形成两张皮,这样的稽查建议不但起不到应有的作用,还会破坏稽查形象,降低稽查质量,有时还会造成误导和损失。

1.3 稽查整改不够彻底

传统的稽查整改跟踪,往往只停留在问题表面的整改,未能举一反三地对问题根源整改情况进行分析、确证。另外,对收集到的问题整改信息,缺乏科学评估整改效果的理论工具,难以起到有效评价稽查问题是否整改到位,往往出现屡查屡错、屡改屡错的现象。

2 应用风险管理理论的解决思路

本文通过风险管理中的核心理论、工具,解决在营销稽查全过程中存在的部分缺陷与不足。首先,通过风险导向理论,明确稽查事项侧重点,寻求一种既能保持稽查效果又能提高稽查效率的全新方式。另外,将风险应对策略理论创新性地应用在问题建议方面,以避免稽查建议与问题两张皮的情况。最后,针对营销稽查工作闭环中的稽查跟踪,借助剩余风险理论工具,科学分析问题整改成效,防止问题整改走过场。

3 风险理论在稽查实践中的应用

3.1稽查实施——风险导向理论

风险导向理论,要求稽查人员对被稽查单位进行稽查前,首先要识别和评价被稽查单位的营销风险情况,然后再以风险为导向选择稽查策略,以指导稽查实施。因此,在稽查实施阶段应用风险单项理论,需要经过风险识别、风险评估以及明确稽查实施策略共三个步骤。

3.1.1 风险识别

风险识别,是指通过对通过业务流程梳理、指标分析等方法,经过分析、归纳,梳理出各个风险点。风险识别是做好、风险管理的基础,只有全面、深入识别营销业务各个风险点的基础上,才能为后续风险评估和制定稽查策略提供基础风险信息。

目前,稽查人员在稽查实施过程中缺乏系统的风险识别思想、方法,没能很好的将具有潜在风险的营销业务、异常营销现象或历史事故进行分析、梳理,造成风险点错漏、风险识别不够全面等情况[2]。

风险识别的方法主要有业务流程法、指标分析法、分解分析法、失误树分析法等[3]。在开展营销稽查识别风险时,可单独使用上述其中一种方法,也可交互使用各种方法:

(1)业务流程法,是指根据不同的营销业务流程,对每一阶段和环节,逐个进行调查分析,找出风险状况信息的方法[4]。这种方法比较简洁和直观,易于发现关键控制点的风险因素。比如在对业扩报装业务进行稽查前,可利用业务流程法识别出各流程环节的风险。

(2)指标分析法,是指稽查人员经过实际的调查研究,对市场营销服务各类核心指标进行因素分解,以挖掘影响核心指标的关键风险事件。比如抄表差错率指标[5],计算公式为:当年电费回收率=(实际到账的当年电费 / 当年应收电费)* 100%[6]。

(3)历史事故分析法,是指通过调研、分析企业或行业已发生的典型历史营销事故,对引起历史事故的风险动因进行分解分析,以判断、提炼出未来稽查工作中应该重点关注的风险范围。

3.1.2 风险评估

风险评估,是指在风险识别的基础上通过从可能性和影响两个角度对风险程度进行评估,把各风险点根据风险程度由大到小进行划分[7],为稽查人员以风险为导向针对不同程度的风险点制定、实施稽查策略。

在风险评估过程中,稽查人员可以根据风险后果和风险发生概率两个维度进行考虑。

(1)当风险概率一定时,风险后果越严重,则营销风险值越高。风险后果可以从经济、社会、人身安全等若干方面考虑[8]。如“重要客户未配备应急电源或应急电源无法及时启动,供电局应急发电装置配置不足或无法及时接入”事件,该风险为重大风险,主要从社会效益考虑,会造成重要客户停电、甚至长时间停电无法恢复,在全省及以上范围产生不良影响。

(2)当风险后果一定时,风险概率越高,则营销风险值也越高。风险概率在这里是指“营销服务潜在风险发生的可能性有多大”,潜在风险发生的可能性与营销服务业务发生数量有极大的关系。如抄核收业务,一个地市局是数以千万计的业务量即使单件事项的风险后果只是微弱或一般的营销差错,但当业务量积累到一定量时,会发生“从量变到质变”的飞跃,从而使营销风险值飙高。比如收费方面,若是收费员每天挪用一点零碎电费或错收一户电费,久而久之,电费损失积少成多,严重损害了供电企业的经济效益。本文由收集整理

3.1.3 以风险为导向的稽查策略

基于上述风险识别、风险评估的结果,以风险为导向确定各风险点的稽查策略,如稽查形式、稽查方法等,以达到有的放矢,从而大大提升稽查效率和效果(如表4所示)。

3.2 稽查建议—风险应对理论

风险应对策略就是指对已经识别的风险进行风险评估以及风险排序后,根据风险程度、风险性质制订相应的应对措施。营销稽查问题作为历史风险事件,可根据风险应对策略理论,提出风险控制、风险承担、风险转移共三种整改建议。

(1)风险控制,是指控制风险事件发生的动因、环境、条件等,来达到减轻风险事件发生时的损失或降低风险事件发生的概率的目的[9]。一般来说,营销服务各类制度、业务指导书等规范执行类问题建议都是常见的风险控制类建议。

(2)风险承担,是指企业经过成本效益权衡后主动承担风险。如技术线损的问题建议,因为损耗的电量较少,带来的风险也较少,若要控制的话需要投入大量的资金、资产进行电网架构的改造,因此可采取风险承担策略类建议,对此问题不投入资源进行控制。

(3)风险转移,是指企业通过合同、契约等方式将风险转移到第三方,企业对转以后的风险不再拥有所有权。比如计量设备技术层面高科技的问题建议,电网企业自身技术能力不足,此时可采取风险转移策略,问题整改落实职责通过技术外包合同形式转移给电科院等外部技术单位。

3.3 稽查跟踪—剩余风险理论

剩余风险是指企业存在的管理问题或风险加以实施控制、整改后的风险水平[10]。

稽查人员在评价问题整改效果时,可以运用剩余风险理论,分别对问题事实和问题根源进行全面评价,从未来剩余风险角度来衡量问题的整改情况,以避免稽查问题屡改屡犯的情况。及时问题整改跟踪,有利于客观评价问题整改效果,并及时督促、推进问题整改往正确方向发展。按照分析、评估后的剩余风险程度,可以将稽查整改效果分为“有效整改”、“有限整改”以及“无效整改”共三种情况。有效整改,为经过稽查跟踪证明,整改单位已完成整改措施,原稽查问题所揭示的风险已得到有效控制或化解的,剩余风险较小且可以接受。有限整改,为经过稽查跟踪证明,整改单位已采取整改措施,原稽查问题所揭示的风险已得到一定控制或降低,但是剩余风险较大、不可接受。无效整改,为经过稽查跟踪证明,整改单位已采取或未采取整改措施,原稽查问题所揭示的风险没有得到控制,剩余风险没有明显下降。

篇5

【关键词】信用风险评估 判别分析 Logit模型 BP人工神经网络模型

一、引言

银行在现代经济体系中发挥着非常重要的作用,尤其是在创造货币存款、实现金融政策效率、社会投资实现等方面都起到了举足轻重的核心作用。信用风险评估是银行信用风险管理的关键环节,关系到银行自身的生存和经济社会的稳定和繁荣,世界上所有国家都非常重视对银行信用风险的监管和评估,特别是发达国家更是对此关注度极高。我国商业银行和金融市场仍处在转轨和新兴发展阶段,信用风险管理方法和技术比较落后,因此加快我国信用风险评估方法研究显得尤为必要和迫切。

信用风险评估方法的研究可以追溯到上世纪30年代,大致经历了比例分析、统计分析和人工智能三个阶段。本文试图通过阐述统计模型和人工智能模型中的典型代表来分别阐述其实现条件和过程,分析各种方法的不足,并对我国银行信用风险评价方法给出评价和建议。

二、两类银行信用风险评估方法介绍

(一)传统统计方法概述

传统的统计分析方法主要是基于多元统计分析方法,其基本思路是根据已经掌握的历史上每个类别的若干样本,从中分析出分类的规律,建立判别公式,用于新样本的分类,典型的代表有多元判别分析(MDA)和Logit模型分析。

1.多元判别分析(MDA)。数理统计理论中判别分析模型主要有三类,分别是距离判别法、Bayes判别分析法、Fisher判别分析法;在三种判别分析方法中,距离判别法是根据个体到总体间的距离进行判别;Bayes判别是在已知总体分布的条件下求得平均误判概率最小的分类判别函数;Fisher判别是在未知总体分布函数的条件下,根据Fisher准则得到的最优线性判别函数,Fisher准则的基本思想就是利用一元方差分析思想,导出线性判别函数。

2.Logistic模型的提出。由于多元判别分析模型(MDA)在应用的过程中要求有正态分布的假定,而在现实经济生活中常无法满足,所以当涉及到一些样本数据不同分布于正态分布时,应用MDA模型所得到的研究结果缺乏可信度,从而探索非同分布的方法就十分必要,其中最常见的一种方法就是应用Logistic模型,Logit分析与MDA分析最本质的差异就在于Logit分析不需要样本满足正态分布或同方差,其判别正确率高于判别分析结果。Logit模型采用logistic函数,函数形式如下:

Y=,η=с0+cixi;

其中xi(1≤i≤p)表示第i个指标,ci是第i个指标的系数,Y是因变量,因为Y∈(0,1),所以Y也可以理解为属于某一类的概率。

由于logit分析无需假定任何的概率分布,所以就不需要类似于判别分析那样先进行检验而是可以直接应用样本数据计算,以得到logit模型。

(二)人工智能模型(AI)概述

1.人工神经网络及BP神经网络概述。人工神经网络是一种具有模式识别能力的计算机制,它具有自组织、自适应和自学习三大特点,它的编码可以用于整个的权值网络,不仅可以呈现分布式存储,而且具有相当大的容错能力。在人工神经网络中,下面提到的BP神经网络技术是算法最成熟且应用最广泛的一种。

2.BP神经网络的基本原理和算法。第一,BP神经网络的基本原理。

BP神经网络属于前向三层即前馈式神经网络的一种典型分支代表,主要是由以下三个部分组成即输入层、隐含层和输出层组成。

第二,BP神经网络的基本算法。

BP学习算法的基本思想是通过由输入层输入的信息,传导至隐层分析后再由输出层输出,如果输出层的结果未达到期望值要求则计算每个神经元的误差值并且将这些误差值重新反向传递到隐层的神经元,根据误差值调整各个神经元的连接权值,直到误差值达到了期望值的要求。

BP神经网络技术一般运用传递函数来反映下层的输入对上层节点的刺激脉冲强度,因此传递函数又称为刺激函数,通常情况下取(0,1)内连续取值Sigmoid函数。

Sigmoid函数函数可以表示为:

该函数可以用于计算和反映出实际的计算输出与期望输出间的误差大小。

三、两类方法存在问题的分析

(一)统计分析方法存在的问题

传统统计分析模型是以历史数据作为分析和建立模型的基础,这些数据仅以会计账面价值为原始来源,没有将银行贷款者的非财务因素纳入模型当中,并且这些会计账面数据属于离散和非连续性的数据类型,因此很难捕捉到这些银行贷款者信用状况细微和快速的变化,无法对贷款者的信用状况做出比较全面的评价。另外,该类模型处理速度慢且数据的准确性较差,属于静态模型没有自主的调整能力。

(二)人工智能模型存在的问题

人工智能模型最大的缺陷在于指标和加权值的确定带有很大的主观性和不确定性,造成在网络结构确定方面存在较大困难,另外该模型的训练效率比较低,解释能力也比较差,在建模过程中经常出现组合爆炸和过度拟合等问题。其典型代表神经网络系统的缺陷主要有以下几个方面,第一,所谓“黑箱子”问题,即神经网络没有办法确定输入变量之间的具体的函数关系,也无法产生有效的统计规则来解释模型的具体运行过程,这使得模型在应用时缺乏透明度和可信度;第二,在指标选取方面,神经网络模型对于非线性的方法没有统一具体的成熟方法进行分析指标选取;第三,模型结构的问题,神经网络模型在应用过程中效果表现的好坏和预测结果的精确程度主要决定于系统结构的设计是否合理和科学,但是如果想要得到一个比较好的神经网络结构通常会消耗大量的人力和时间,这些在实际的建模过程中经常无法同时满足。

四、对我国银行信用风险评估的启示

(一)我国银行信用风险评估存在的问题

我国商业银行信用风险评估方法的主要缺陷可以概括为以下几个方面,首先,在商业银行信用风险评估中,大部分采用的仍然是专家系统机制,即通过个别专家系统的经验和个别风险分析人员提供的信息来对信贷的风险进行评估和决策,这就导致信用风险评估效果较低且银行无法及时地应对金融市场的即时变化;其次,国内对银行信用风险评价方法的研究中大都缺乏定性分析和定量分析相结合的探索,片面的停留在定性分析和定量分析的两个极端,第三,在现今的银行信用风险评估指标体系方面,没有形成客观、科学、有效的指标体系,大多数信用风险模型选取的都是财务性指标而缺乏那些影响信用风险的非财务指标;最后,由于我国金融市场的发展起步较晚,银行业各种运作机制存在很多的问题尚待完善和发展,其中很重要的一点就是我国商业银行在客户资料收集、整理和存储方面存在很大的不足,未能建立有效的风险评估数据库系统,不能为风险评估模型的运用提供很好的样本基础,成为制约我国风险评估方法发展的一大瓶颈。

(二)对我国银行信用风险评估的启示

虽然我国商业银行信用风险评估的方法和理论得到了不断地发展,但其中仍存在需要改进的地方。在我国,大多数先进的银行信用风险评估方法是建立在西方发达国家商业银行对历史数据的统计分析和经验总结的基础上,还不能够直接应用到我国商业银行信用风险评估当中,因此我国商业银行在研究和探索信用风险评估方法时必须考虑到我国自己的基本国情、金融市场发展的现状以及银行业自身发展的客观现实等。

针对以上分析的国内信用风险评估方法发展的现状,我们可以通过从以下几个方面来改善和提高。一方面,商业银行应该建立切实有效的企业信贷风险管理数据库系统,加强对企业各类违约风险评估数据的收集、整理和管理,及时更新和加强数据库的建设。另一方面,商业银行需要建立自身内部的信用评价体系,为现代信用风险评估的运用创造适宜的条件和基础,将定性方法和定量方法相结合,进一步推动我国银行信用风险评估方法的发展。最后,任何完善的信用风险评估方法都离不开高素质的专业风险管理人才,因此加强信用风险评评价的人才队伍建设也是一个刻不容缓的课题,商业银行应该加快培养高素质信用风险评估人才的步伐,同时要在全球范围内大量吸纳那些已经具备信用风险评估专业知识和技术的优秀人才,为推动我国信用风险评估方法的进步不断寻求突破。

参考文献

[1]柯孔林,周春喜.商业银行信用风险评估方法研究述评[J].商业经济与管理,2005(6)

[2]王建新,于立勇.基于信用风险度的商业银行风险评估模型研究[J].管理工程学报,2007(4)

[3]徐晓霞,李金林.基于决策树法的我国商业银行信用风险评估模型研究[J],北京理工大学学报,2006, 8(3)

[4]王莉,郑兆瑞,郝记秀.BP神经网络在信用风险评估中的应用[J].太原理工大学学报,2005,36(2)

[5]韩岗.国外信用风险度量方法及其使用性研究[J],国际金融研究,2008

[6]闫晓丽,徐建中.商业银行信用风险评估模型比较研究[J],哈尔滨工业大学学报(社会科学版),2007,9(2)

[7]郑毅,蔺帅.遗传神经网络在商业银行信用风险评估中的应用[J].社会科学家,2008,(1)

篇6

基本情况

____年,江西省大余县人民检察院试行案件管理工作初具雏形,采取的是与控申科合署办公的模式,功能较单一,主要是负责收送案工作。20__年底,该院案管办正式成立,2013年7月案管办经正式批文核准为内设机构,2013年9月案管办受理中心建设完成,并制定了《大余县人民检察院案件管理暂行办法》、《大余县人民检察院案件流程管理暂行规定》、《大余县人民检察院接待、联系辩护人、诉讼人暂行规定》等工作制度,律师接待模式是业务部门和案件管理部门混合接待。2014年律师接待统一在案件管理办公室,涉案款物管理工作以及数据统计工作移交案件管理办公室。

存在的问题

阅卷方式存在的细节问题。律师现在的阅卷方式基本都是采取拍照的方式,回律所后自行打印,这种拍照的方式简单、便捷,但是存在的隐患也不小。2014年以来,大余县人民检察院案管办接待的申请阅卷的律师中,数人提出用手机或PAD等具有上网功能的电子设备对案卷进行拍照,我们考虑到网络泄密的可能性比较大,提出更换拍照工具。另外拍照、复印等方式可能导致未成年当事人、尤其是未成年受害人的基本情况外泄,与刑诉法保护未成年人的精神相冲突。

涉案款物管理存在的细节问题。作为基层检察院,必定会有案件移送市院审查,那么在这个过程中,就涉及到涉案款物的移送,按照规范模式,案件移送的同时涉案款物也要随案移送至市院,而公诉开庭时,一般又是在犯罪嫌疑人关押地开庭,则涉案款物又要再送至基层法院,在这往来的过程中,长途运输的颠簸、天气变化以及人为因素,可能导致涉案款物的遗失或性状的改变,从而影响款物的证明力。

案件风险评估存在的细节问题。个别案件根据规定应当属于有一定风险的案件,但是承办人在开展案件风险评估时并未指出其具有风险性,而案件管理部门并不直接与当事人等接触,因此并不清楚案件是否有风险,就可能导致个别有风险的案件被当做无风险案件同样处理,甚至可能由于重视不够导致矛盾最终激化,风险等级提升。

案件评查奖惩机制存在的细节问题。目前案件评查工作对如何评查制定了较为详细和操作性较强的规范制度,但是监督整改手段却还是很薄弱,主要还是依靠通知整改的形式,对承办人的约束和激励机制不健全,这就可能导致评查力度虽大,但整改不到位或改正后又出现等问题。

意见和建议

进一步详细规范律师阅卷工作。当下一些年青律师在阅卷时,使用手机等拍照,但是手机这种电子载体,极易感染病毒,不经意间就可能导致案件信息外泄,,建议明确规定律师如果采取拍照方式只能采用不具有上网功能的电子设备。另外对于涉及未成年人犯罪案件,根据刑诉法第275条,“应当对相关犯罪记录予以封存”。对于这些案件阅卷的,笔者认为不宜采用复印或拍照等阅卷方式,律师虽保密义务,但经过走访,发现各律所发展状况不一,硬件参差不齐,档案管理制度不健全,刑诉法所要求的封存,难以从真正意义上实现。建议明确规定对涉及未成年人当事人及当事人隐私的证据采用摘抄等形式,确有复印、拍照等需要的,建议遮挡住关键信息再复印或拍照。

涉案款物跨地区流转简易化。实践中,涉案款物多为物证,对于这些物证,公诉卷内一般有提取笔录、辨认笔录、照片等,承办人通过以上的材料基本能确定该物证的证明作用,因此为了更好地保护涉案款物尤其是物品,建议对于涉案款物一般采用照片移送审查的方式,除非承办人认为有必要随案移送的。另外由于上下院公诉与案管部门沟通渠道不畅可能导致涉案款物滞留,建议上级检察院案件管理部门通过一定的渠道,定期对上级检察院到基层开庭的时间予以公布。

篇7

关键词: 现代风险导向审计 重大错报风险评估 程序 方法 建议

一、引言

我国在新准则中所提倡的现代风险导向审计是指注册会计师通过了解被审计单位及其环境,评估被审计单位的风险程度,确定剩余风险,执行额外审计程序,将剩余风险降低到可接受的水平。现代风险导向审计是以战略观和系统观为核心,强调以了解被审计单位的经营战略及其业务流程为起点,以识别、评估和应对会计报表重大错报风险为中心进行审计,侧重于评估财务报表重大错报风险。新的审计风险模型为:审计风险=重大错报风险×检查风险;重大错报风险是指会计报表审计前存在重大错报的可能性。重大错报风险分为两个层次:报表整体层次的重大错报风险和认定层次的重大错报风险。通过对财务报表整体层次的重大错报风险风险分析,可以在源头和宏观上分析和发现会计报表错报,从而解决高层串通舞弊、虚构交易或事项而导致财务报表存在错报的问题。认定层次的重大错报风险主要来源于经济交易事项本身的性质和复杂程度与实际不符,企业管理当局由于本身的认识和技术水平,以及由于企业管理当局局部或个别人员舞弊或造假造成的风险。

一、重大错报风险评估的意义

(一)作为现代风险导向审计重心的重大错报风险评估,通过注册会计师对财务报表整体层次和认定层次来评估重大错报风险的评估可以更好地针对评估出的财务报表层次的重大错报风险和认定层次的重大错报风险,合理运用职业判断分别确定总体应对措施和设计、实施进一步审计程序,将审计风险降至可接受的低水平。

(二)重大错报风险评估中还注重强调注册会计师评估的财务报表层次重大错报风险,以及采取的特殊的舞弊风险因素的考虑,对拟实施进一步审计程序,以及整体审计策略都具有重大影响。

(三)重大错报风险评估从战略和系统的角度全面考虑被审计及其环境,运用战略分析等先进审计技术方法,识别和评估重大错报风险,提高了审计效率,降低了审计风险。

二、重大错报风险评估的程序和方法

(一)重大错报风险评估程序

1.了解被审计单位及其情况,对客户进行战略经营分析,包括战略分析和经营流程分析,以评估战略风险和经营流程风险,战略风险和经营流程风险构成了战略经营风险。

2.了解被审计单位财务业绩的衡量和评价,以及被审计单位对会计政策的选择和运用,初步评估绩效风险。

3.经过对被审计单位经营战略、经营流程、经营绩效的分析,审计师已经对客户的内部控制有了初步的了解,运用内部控制评价法对被审计单位内部控制结构的评价而确定控制风险水平。

4.综合考虑被审计单位的战略风险、经营流程风险、绩效风险、控制风险与特殊考虑的舞弊风险,系统地评估财务报告的重大错报风险。

(二)重大错报风险评估方法

1.战略分析。注册会计师主要是通过分析外部环境中威胁客户成功执行战略,从而达到经营目标的潜在风险因素来识别战略风险的。

公司的外部环境是指那些能影响公司经营成败,但又在公司外部而非公司所能完全控制的外部因素。分析公司外部环境的目的,就是要找出外部环境是否存在为公司提供的可以加以利用的发展机会,以及外部环境对公司发展是否构成威胁。通过各个行业的外部经营风险评价标准对企业在宏观环境中的存在的潜在风险进行分析。

2.经营流程分析。注册会计师通过分析被审计单位内部环境,理解被审计单位的经营流程,识别关键经营环节,进行经营流程风险的评估。

(1)通过分析出重要的战略风险识别出关键经营环节。在战略分析后,注册会计师需要汇总已经识别出的战略风险,根据其重要程度来识别战略经营风险所指向的关键经营环节,并对所识别的关键经营环节进行分析。

(2)通过重要的交易类别和其他异常情况识别出关键经营环节。通过战略分析后,注册会计师在对被审计单位的经营管理的理解,确定对企业经营业务的重要交易类别和异常情况是否对相关会计报表及其认定的影响。根据影响的重要程度来识别被审计单位的关键经营环节。

3.内部控制评价分析。内部控制评价法是指通过对被审计单位内部控制结构的评价而确定审计风险水平的一种方法。

对内部控制的评价可以分三步进行:首先,了解企业的内部控制结构并作出相应的记录;其次,实行符合性测试,证实有关内部控制的设计和执行的效果;最后,评价内部控制的强弱,即评价控制风险。注册会计师可以通过包括询问、审阅证据、实地观察、追踪执行过程等方法,据以评估因内部控制产生的相关可能导致重大错报的控制风险。

4.舞弊风险因素分析。关注和评价舞弊风险为核心的谨慎行为构成现代审计的重要内容,它同时也体现出一种风险意识而非利益意识的现代审计策略、思维。注册会计师最大的敌人是管理层舞弊,管理层舞弊往往会绕过或逾越内部控制,所以过去的审计方法往往会导致控制风险很低而实际上审计风险很高的问题。

三、在我国实务中运用重大错报风险评估方法的建议

(一)运用重大错报风险评估方法前提条件

要对重大错报风险进行正确的评估,必须满足以下前提条件。

1.审计人员需具备较高的职业素质。正确评估重大错报风险是建立在对企业环境特别是与企业有关的环境充分了解、分析的基础上的,其对审计人员提出了较高要求,审计人员不仅需具备专业知识,掌握管理、统计等基本知识,而且应对金融、法律政治常识有所了解。

2.企业应做好财务基础工作,具备审计条件。被审计企业必须建立完整的凭证、账簿等财务核算系统和财务核算制度,做到账证一致、账表一致,使审计人员有基本的、充分的财务资料依据。

3.健全注册会计师组织管理体制,建立规范的执业竞争机制,使审计人员真正做到独立、客观、公正。这是注册会计师的灵魂,是审计工作开展的基本前提,如果无法保证,整个审计工作就会失去意义,审计人员也就无法发挥其作用。

4.良好的审计环境、健全的各项法规制度、审计执业界同社会各界的良好联系与沟通、社会各界对审计工作的广泛支持,是正确处理重大错报风险的前提。审计是一项需要协同合作的工作,如果失去了社会各界的理解与支持,审计工作将难以进行,重大错报也将无从披露,审计就失去了其存在意义。

(二)运用重大错报风险评估方法的建议

1.提高和完善审计从业人员素质。应大力培养专业人才,以及提升注册会计师谨慎的执业判断能力,完善制定执业后续教育准则的具体准则,加大对注册会计师的后续教育培训,不断在后续培训中提升注册会计师在管理、统计等基本知识,以及金融、法律政治常识的综合能力。

2.完善公司治理结构。制定相关法律,完善上市公司“审计委员会”制度。对被审计单位管理当局更换会计师事务的随意性进行了约束,同时督促上市公司财务报告及相关信息的规范运作,防止注册会计师受管理人员左右,加强注册会计师在执业中独立性的监督。

3.加强立法,明确事务所及注册会计师的执业法律责任。从注册会计师担负的社会责任出发,从维护社会公众利益出发,从注册会计师行业存在的必要性出发,明确注册会计师和会计师事务所的法律责任,特别是经济责任的承担,使行业在法制的范围内良性竞争。

4.加强信息系统的建设。会计师事务所必须建立强大的信息系统,以便注册会计师在对被审计单位进行风险评估时更好地了解企业的战略、风险管理、业绩衡量等情况及环境,系统战略评估被审计单位的重大错报风险,提高审计效率,降低审计风险。

综上所述,作为现代风险导向审计重心的重大错报风险评估在审计实务中起着关键的作用,规范与使用重大错报风险评估的程序和方法可以提高审计效率,保证审计质量,促进我国注册会计师在实务中执业能力的提高。

参考文献:

[1]刘明辉.高级审计理论与实务.东北财经大学出版社,2006.

[2]卓继民.现代企业风险管理审计.上海财经大学出版社,2006.

[3]徐政旦,谢荣.审计研究前沿.上海财经大学出版社,2002.

[4]王泽霞.管理舞弊导向审计研究.机械工业出版社,2005.

[5]蔡春,赵沙.现代风险导向审计论.北京,中国时代经济出版社,2006.6.

篇8

本文立足于人民银行内部审计逐步从合规性审计向风险导向审计、绩效审计等发展背景,积极探索风险导向审计在人民银行业务中的应用,分析基层人民银行在运用风险导向审计中出现的问题,并提出相应的对策建议,促进人民银行强化风险管控。

【关键词】

风险导向审计;人民银行内部审计;风险管理

2011年,人民银行总行下发了《人民银行内审工作转型2011~2013年规划》,提出构建以风险为导向、以控制为主线、以治理为目标、以增值为目的的内部审计新模式,这种审计模式的转变是高效履行人民银行职责的客观需要。面对愈来愈复杂多变的国际经济形势和金融改革不断深化的国内形势,人民银行面临的内外部风险逐渐加大,风险事项的构成也趋于复杂。因此,适时开展风险导向审计既符合审计工作的发展方向,也是内审更好服务于中央银行履职需求,实现内部审计价值增值的重要突破口。

一、风险导向审计在基层人民银行业务中的探索应用

2016年,克拉玛依中支探索开展了货币金银业务风险导向审计,根据风险导向审计理论和人民银行业务实际调整了审计风险模型,即审计风险=系统风险(固有风险)×可控制风险,制定了风险导向内部审计应遵循“确立目标—风险识别—风险测量—等级认定—风险控制”的审计流程,并根据货币金银部门的履职目标建立了7个一级指标、21个二级指标和93个三级指标,规定各风险点的评估标准、内容和方法,形成较完善的风险评价体系,审计结果得到被审计部门的充分认可,同时内审人员也发现运用风险导向审计还存在一些亟待解决的问题。

二、风险导向审计在基层人民银行内部审计运用中存在的问题

(一)数据收集不完整未开发审计信息系统

风险导向审计模式的基础是通过了解被审计对象的履职目标、业务流程和控制措施,掌握翔实的数据开展风险评估和分析测试,然后针对风险点设计个性化的审计程序,分配相应的审计人力资源。然而,现阶段内审部门与央行业务部门之间尚未实现数据库连接,没有形成一个强大的信息网络系统,内审部门获取的信息数据主要依赖于过去开展的审计项目资料的积累,掌握的是被审计对象的历史数据,不能实时反映当前人民银行的业务风险现状,加之这些零星片面的信息没有形成风险状况的数据积累,影响了风险评估的客观性和真实性。

(二)风险的正确评估与量化的审计手段缺乏

一是对风险识别、风险度量、风险控制和风险监测等环节缺乏有效的技术手段和实用工具,主要依靠手工查看会计凭证、报表等审计方式,使内审人员在业务的风险量化上容易受个人素质和经验差异的影响,制约了风险评估技术的准确性和科学性;二是央行各项业务均实现电子化、网络化和数据集中,而内审人员由于没有参与这些系统的推广培训,对新系统、新业务的风险很难全面了解,导致实践中内部审计更侧重于对制度执行的检查测试,且大多依赖于详细审计或审计者个人经验判断的抽样审计方法,难以准确地界定抽样范围和重点,导致审计人员不能令人信服地解释抽样审计的结果,也无法利用这一结果对被审计业务进行客观公正的评价。

(三)审计检查程序与现行审计要求有一定的差距

风险导向审计是对各种风险进行全面了解、识别,侧重于对风险的判断和执行中存在的薄弱环节或缺陷,不特指已存在的违规情况,更多是对未发生风险的一种预警,作为一种风险提示作用,加之风险的存在也不是孤立的,涉及到主观能动性、客观局限性、系统完善性乃至整个政策有效性,且各种风险随时都处于不断更替、变化中,用整改问题的方法对待风险导向型审计的结论,不能够全面体现风险导向审计的成果转化。因此,现行制度对程序完整性的要求影响了风险导向审计的开展效果。

(四)内审人员素质不能满足风险导向审计需求

在风险导向审计模式下,要求内审人员根据已获得的被审计部门的信息,运用分析性测试程序获取审计证据,然而各风险要素的评估、审计证据收集的数量和方法,都与内审人员的素质息息相关,目前基层内审人员数理统计以及风险管理等方面的知识相对缺乏,他们对风险的预测尤其是对有关风险点、证据的判断多是凭工作经验做出的推理,具有较强的主观臆断性。

三、推动风险导向审计在人民银行内部审计运用的对策建议

(一)加强内审数据库建设

风险导向审计的核心是深入了解被审计对象所面临的各类风险和开展风险评估,因此,获取翔实丰富的数据资料是实施风险导向审计的关键,内审人员对被审计对象的风险评估结果与实地审计测试结果出入大小取决于其所掌握的信息资料的多少,因此建议总行在业务软件上开设审计接口,探索建立包括央行业务及管理流程等内容的风险数据库,明确风险监测变量、风险指标和评估标准等内容,加强对重点业务、重要岗位的风险监测,实现对审计所需数据实时采集加工、动态的监控,使内审工作走出“信息孤岛”,为风险导向审计的实施提供直接的信息支撑。

(二)探索推广计算机辅助系统应用

审计手段的现代化已成为改革的大趋势,因此要不断探索完善审计的模式和方法,对人民银行重要业务领域,如货币发行、支付结算、国库、会计、科技等部门开展审计时,通过总行层面提取审计数据,逐步探索使用计算机辅助审计技术,通过计算机辅助审计软件对海量数据进行筛选,实现快速分类、灵活分析,效避免人为因素的影响,提高分析的效率和精度,使审计结果更趋于科学、规范、合理。

(三)加快推进人民银行风险导向审计制度建设

通过借鉴国外和其他行业的先进做法和经验,制定符合人民银行内部管理体制和业务特点的风险导向审计操作规程,扩大审前调查和风险数据分析应用,不仅对违规事实进行确认,还要对潜在的风险事项和风险点进行提示和关注,要求被审计部门制定风险管控措施,使其逐步接受风险管理理念,发挥好内部审计监督与服务作用。

(四)培养专业化的内审队伍

内审转型是一种理念和方法的更新,需要我们深入学习研究国内外审计理论和方法,把握好风险导向审计的内涵和外延,并将其与央行业务进行有效结合,才能发挥好内部审计服务组织治理的作用;同时加强内审人才培养,使其不仅精通审计理论和会计知识,还要掌握数理模型分析、计算机和经济金融等知识,促进内审人员转变审计观念、拓宽审计思路,达到提高自身素质的目的。

作者:王海容 单位:石河子大学经济与管理学院

参考文献

[1]中国人民银行广州分行课题组,风险导向审计在人民银行风险管理中的应用研究[J].南方金融.2008(09).

[2]杨淑慧,龚文清.风险导向审计模式在人民银行内部审计中的运用研究[J].金融与经济.2011(08).

篇9

【 关键词 】 工控设备;风险评估;安全隐患;安全防护

Security Risk Assessment and Practice for Industrial Equipment

Xie Bin He Zhi-qiang Tang Fang-ming Zhang Li

(Institute of Computer Application, China Academy of Engineering Physics SichuanMianyang 621900)

【 Abstract 】 Security information incidents occur recently shows, industrial system has become the main target of foreign information security attacks, safety protection for industrial control system must be strengthen. Industrial control system, is not office system, it has many intelligent devices、embedded operating system with various special protocols, especially intelligent equipments which has more high integration、specialty-industry, private kernel and lack efficient control technology for data interface, security risk assessment method and standard for industrial control system has not informed. In this paper, security confidential risk assessment model and process for industrial equipment is proposed. For 840D industrial system, security risk assessment method is given to assess the full life of 840D.Last,some safety protections for confidential security is advised to adopted to protect industrial system.

【 Keywords 】 industrial equipment; risk assessment; security threat; safety protection

1 引言

近年来,越来越多的数控设备和工控系统应用到工业生产中,它们更多地采用了开放性和透明性较强的通用协议、通用硬件和通用软件,并通过各种方式与企业管理网、互联网等公共网络连接。根据CNNVD搜集的漏洞数据和CNCERT的网络安全态势报告,这些工控系统中存在的各种漏洞、病毒、木马等威胁正在向工业控制系统扩散,工业控制系统信息安全问题日益突出。

近期披露的信息安全事件表明,信息安全问题已经从软件延伸至硬件,从传统的网络信息系统延伸至工业控制系统、大型科研装置、基础设施等诸多领域。对于工控系统以及工控设备的安全性测试和风险评估也变得重要起来。

工控系统与办公系统不同,系统中使用智能设备、嵌入式操作系统和各种专用协议,尤其是智能设备具有集成度高、行业性强、内核不对外开放、数据交互接口无法进行技术管控等特点,工控系统的安全风险不能直接参照办公系统的风险评估标准,其评估方法、标准还在不断研究和探索中。

2 工控设备风险评估模型和流程

2.1 工控设备风险评估模型

工控设备安全保密风险需求主要涉及到三大方面:一是工控设备所处的物理环境安全,如防偷窃、非授权接触、是否有窃听窃视装置等;二是工控设备自身的安全,主要分析包括硬件、软件、网络和电磁等方面的安全;三是工控设备的安全保密管理问题,包括其管理机构、人员、制度、流程等。在对工控设备安全保密需求分析的基础上,本文结合工控设备安全检测的需求,提出了工控设备安全风险评估框架,如图1所示。

2.2 工控设备安全保密风险评估流程

针对上述评估模型,本文按照检测对象、风险分析、检测方案、结果评估的流程开展工控设备安全保密风险评估,如图2所示。

1)检测对象:确定设备用途,分析基本组成;

2)风险分析:根据不同设备类型,按照风险评估模型进行风险分析;

3)检测方案:依据根据风险分析结果制定检测方案,准备检测工具、环境,明确检测项目、要求和方法;

4)结果评估:依据检测方案执行检测,完成所有检测项,依据检测结果进行评估,对发现的可疑风险点进行深入检测,修订检测方案,综合评估。

3 数控设备安全保密风险评估实践

3.1 检测对象

数控机床主要用于各种零部件的生产加工,机床包括机床主体和核心控制系统。840D控制系统是西门子公司推出的一款功能强大、简单开放的数控系统,本次数控设备安全保密风险评估的主要内容也是针对该控制系统。

840D sl将数控系统(NC、PLC、HMI)与驱动控制系统集成在一起,可与全数控键盘(垂直型或水平型)直接连接,通过PROFIBUS总线与PLC I/O连接通讯,基于工业以太网的标准通讯方式,可实现工业组网。其各部分硬件组成结构、拓扑结构、软件系结构统如图3、4、5所示。

3.2 风险分析及评估

3.2.1 物理安全

通过对840D数控机床设备所处的房间进行物理安全检查,区域控制符合要求;窃听窃照检测,未发现有窃听窃照装置;通过对房间的进行声光泄漏检测,符合相关安全要求。

3.3.2 系统自身安全

1) 操作系统

脆弱点分析:

* 基本情况

> SINUMERIK 840D PCU采用Windows XP平台

> 一般不会对Windows平台安装任何补丁

> 微软停止对Windows XP的技术服务

> NCU系统为黑盒系统

* PCU

> RPC远程执行漏洞(MS08-067)

> 快捷方式文件解析漏洞(MS10-046)

> 打印机后台程序服务漏洞(MS10-061)

> 系统未安装任何防火墙软件和杀毒软件

* NCU(CF卡)

> SINUMERIK 840D系统的NCU采用的西门子自有的内嵌式Linux系统,该系统在编译时经过特殊设计,只能在SINUMERIK系统环境下运行;

> 可以对CF卡进行映像和重建,而且新建的CF卡可以在SINUMERIK 840D系统上成功启动;

> NCU系统中设定了不同的用户及权限,但内置的用户及口令均以默认状态存在系统存在默认用户及口令;

> SNMP服务存在可读口令,远程攻击者可以通过SNMP获取系统的很多细节信息。密码可暴力猜解,snmp服务密码为弱口令“public”。

风险:

* 攻击者可以利用漏洞入侵和控制SINUMERIK 840D系统的PCU,获取到相应操作权限,对下位机下达相应指令;

* 由于在CF卡上有用户数据的存放、HMI应用程序显示的数据以及系统日志文件,因此通过对CF卡的复制和研究可还原用户存放数据、PLC加工代码等信息;

* 只要通过PCU或者直接使用PC安装相应的管理软件,通过网络连接到NCU,即可使用以上用户和口令进行各类操作;

* 攻击者一旦得到了可写口令,可以修改系统文件或者执行系统命令。

2) 应用系统

* 基本情况

> 应用软件多种多样,很难形成统一的防范规范;

> 开放应用端口,常规IT防火墙很难保障其安全性;

> 利用一些应用软件的安全漏洞获取设备的控制权。

* 重要应用――Winscp

脆弱点分析:是一款远程管理软件,其可通过ssh、SCP、SFTP等加密协议对下位机进行一定权限的系统命令操作; 通过winscp软件可以对NCU进行远程管理,需要相应的用户账户和密码。账户和密码可通过协议漏洞获取,如表1所示。

风险评估:攻击者机器上直接登录winscp远程控制NCU。进一步,可对下位机NCU进行信息的窃取(G代码等相关数据均存于此)、系统破坏、上传病毒、木马、后门等作进一步攻击。

* 重要应用――VNC Viewer

脆弱点分析:VNC是一款功能强大的远程管理软件。可接受管理人员键盘、鼠标等几乎全部本地的控制操作;840d工控系统上位机所采用的VNC远程管理软件为通用软件,不需要登录认证。

风险评估:在内网的攻击者只需一款普通VNC就可以实现对下位机的远程的、完全的控制。

* 重要应用――HMI

脆弱点分析:HMI(直接发出指令操控机器的计算机软件),可装在任何符合条件的PC上,通过工程调试模式(直连管理口)连接NCU,进行配置信息的查看修改。

风险评估:物理接触、调试,不仅存在信息泄露、甚至可能存在致使系统崩溃,或者植入软件后门的风险。也可通过网络配置实现对下位机的控制操作 。

3) 通信协议

> SINUMERIK 840D采用TCP/IP 协议和OPC 协议等通信,通信协议存在潜在威胁;

> 网络传输的信息是否安全;

> 容易读取到网络上传输的消息,也可以冒充其它的结点。

* 协议――MPI

脆弱点分析:MPI MPI是一种适用于少数站点间通信的多点网络通信协议,用于连接上位机和少量PLC之间近距离通信。MPI协议为西门子公司内部协议,不对外公开。

风险评估:尚未发现MPI多点通讯协议的安全问题。

* 协议――G代码传输协议

脆弱点分析:G代码是数控程序中的指令,它是数控系统中人与制造机床的最本质桥梁,是上位机对下位机及加工部件最直接最根本控制;G代码传输采用的是基于TCP/IP协议之上的自定义协议,其传输过程中的G代码装载、卸载,PC_Panel上按键操作等都是进行明文传输。

风险评估:攻击者不仅可以嗅探到完全的G代码及上位机操作信息。而且可以对传输过程中的G代码进行篡改、重放,致使下位机接收错误的命令和数据,从而使得工业控制系统不可控,生产制造不合格甚至带有蓄意破坏性的工件。

4) 其他部分

* 数据存储

脆弱点分析:生产加工数据明文存放于PCU上,缺少必要的安全增加及保护措施。

风险评估:数据存在被非法获取的隐患。

* 特定部件

脆弱点分析:G代码在CF卡上有临时备份,通过数据处理,有可能获取到加工参数。

风险评估:可通过非法拷贝等方式对加工数据进行获取。

* 硬件安全

脆弱点分析:是否存在危险的硬件陷阱,如逻辑锁等安全问题。

风险评估:目前尚未发现。

3.3.3 管理安全

1)人员安全意识 工业控制系统在设计时多考虑系统的可用性,普遍对安全性问题的考虑不足,缺乏相应的安全政策、管理制度以及对人员的安全意识培养。

2)安全审计 缺少对系统内部人员在应用系统层面的误操作、违规操作或故意的破坏性等方面的安全审计。

3)安全运维与管理 缺少对账号与口令安全、恶意代码管理、安全更新(补丁管理)、业务连续性管理等关键控制领域实施制度化/流程化、可落地的、具有多层次纵深防御能力的安全保障体系建设。

4)核心部件使用管理 缺乏对类似NCU的CF卡这些核心部件的使用、复制和保管进行安全管理,防止非信任人员的接触的管理规定。

4 工控设备安全防护建议

1)建立纵深防御安全体系,提高工控系统安全性; 2)针对核心部件加强安全管理,进行严格的访问控制;3)加强网络脆弱性的防护、采用安全的相关应用软件 、严格控制NCU服务; 4)加强对工业控制系统的安全运维管理; 5)建立有效的安全应急体系;6)从设备采购、使用、维修、报废全生命周期关注其信息安全,定期开展风险评估,工控系统全生命周期如图6所示。

5 结束语

随着信息技术的广泛应用,工控系统已经从封闭、孤立的系统走向互联体系的IT系统,安全风险在不断增加。做好工控系统安全保密风险评估非常重要,研究工控设备的风险评估模型、流程,开展数控设备的安全保密风险评估实践,可以为工控系统的安全保密风险评估奠定重要的基础。

参考文献

[1] CNNVD. China National Vulnerability Database of Information Security [Z/OL]. (2011205221), http: //.cn/.

[2] CNCERT. 2010年中国互联网安全态势报告[Z/OL].(2011205221), CERT. 2010 report on the Internet Security Situation of China [Z/OL]. (2011205221), .cn.(in Chinese).

[3] NIST SP800-30.Risk Management Guide for Information Technology Systems[S]. Gary Stoneburner, Alice Goguen, and Alexis Feringa. National Institute of Standards and Technology(NIST),2002.

[4] GB/T 20984―2007.信息安全技术信息安全风险评估规范[S].北京:中华人民共和国国家质量监督检验检疫总局,2007.

[5] GB/T 20984―2007. Information Security Technology―Risk Assessment Specification for Information Security [S].Beijing: General Administration of Quality Supervision,Inspection and Quarantine of the Peopleps Republic of China,2007. (in Chinese)

[6] 赵冬梅,张玉清,马建峰.网络安全的综合风险评估[J].计算机科学, 2004,31(7): 66-69.

作者简介:

谢彬(1966-),女,四川安岳人,中国纺织大学,大学本科,副主任,高级工程师;长期从事信息系统软件测评、信息系统安全保密相关的技术研究,负责了多个项目的技术安全保密检测、安全保密防护方案设计以及相关技术研究工作;主要研究方向和关注领域:信息安全相关技术、信息系统安全、工控系统安全。

贺志强(1983-),男,四川绵阳人,四川大学,硕士,测评工程师,工程师;主要研究方向和关注领域:信息安全技术、信息安全及相关技术。

篇10

关键词:银行;会计;内部控制

中图分类号:F23 文献标识码:A 文章编号:1001-828X(2012)02-0-02

随着社会的高速发展,金融银行业在我国经济社会中发挥着的越来越重要的作用,金融银行业的健康发展对我国整个社会发展以及社会稳定具有非常重要的影响。国内银行系统金融事件与金融风险的不断出现,对我国银行业的发展提出了严峻的挑战,其根本原因几乎都是内部控制所影响的,为此社会对完善和健全的内部控制问题关注程度加大。

银行的业务大部分都集中由会计部门管理,银行会计工作的好坏将直接影响着银行本身的经济效益和资产安全,会计内部控制是银行内部控制的基础,有效的会计内控制度建立是防范金融风险的有效防线。银行业非常重视会计内部控制工作,有效地开展会计内部控制工作,对于银行的快速平稳发展具有重要意义。本文通过探讨银行会计内部控制的主要问题,对进一步改革和完善银行会计内部控制提出一系列的建议,进而为全面提升银行内部控制水平,为我国银行案件频发的问题提供新的思路。

一、银行会计内部控制存在的问题

(一)会计内部控制制度的不完善

会计内部控制制度建设滞后。从我国银行会计业务处理中的实际情况看,计算机技术已经基本上普及,为此需要对有关会计制度提出新的要求,但网络技术和计算机在银行的运用比较不成熟,在我国银行技术管理上相对比较薄弱;从大方向看,银行在对内部控制中的新技术和新问题解决上的不充分,部分银行是在开展业务后再进行对制度的应急完善,这给银行埋下了隐患。因此如何使会计内部控制制度适用于现代科技发展速度的银行会计业务是迫切需要解决的难题。

会计内部控制制度执行力度不够。在制度执行过程中,员工不能认真严格按照相关业务规定简易完成,对已订立的内部会计控制制度没有认真地对待,做出一些表面应付有关部门的检查,并且存在有章不循,违章操作现象严重,导致内部会计控制制度形同虚设,削弱了制度的严肃性和刚性,制度的效果没有显现出来,使得工作产生随意性,造成巨大的风险隐患。

(二)会计内部控制风险意识薄弱,风险防范方法落后

现在我国金融业的风险较高,对风险的防范工作成为银行内部控制的重点之一。但在实践中,大多数银行会计人员的思想还是停留在强调会计工作要做到各种规章制度的汇总、稽核或管理层的事等规章制度的表面,对在工作业务运行过程中认为内部控制与会计关系不大,随着金融市场的快速变化,业务内容的复杂化,风险因素的增加,会计管理人员对风险发生的预见性不足逐渐显现,对风险控制的能力不强,风险意识淡薄等问题。

银行没有针对有风险的业务加以辨认、分类,认识关键的风险控制点进行风险评估框架的正确建立;没有采用相适应的科学技术方法来分析风险发生后的目标的差异和实际情况;没有对相关风险进行持续监控,风险预警系统建设的滞后是普遍现象,现阶段也只是依据老方法提出改进风险管理的相关措施,使风险控制存在很大的弊端。

(三)会计信息系统战略规划问题

会计信息管理的手段滞后。目前银行的会计业务处理基本普及了电子信息化,其好处是可以提高工作效率、减少核算环节,但是也增加许多新风险如人员管理、系统安全和信息安全等风险。这就要求需要科学的会计信息管理,将可能产生的风险控制在最小或可预见和接受的范围内。

信息系统的科学建设。银行会计的业务量巨大并且会计业务是相对独立的,大量分散存放的会计数据需要多个部门分工协作才能完成,这些大量的数据信息需要使用计算机进行管理,信息技术的落后很容易导致会计信息失真。在信息监督方面,会计内部控制监督手段主要是以现场监督和账簿表核对的审查方法,相对不断更新的信息系统运行,显现的比较乏力。

(四)会计内部控制人员配备问题

银行在做会计内部控制的工作中,实施的主体是人,银行会计内控制度的质量受人员素质的高低的影响是很大的。但现有大部分人员素质是跟不上业务发展的需要,熟悉创新业务的人员较少,勤于思考问题的人员较少,可以掌握多技能的综合素质高的人员较少。究其原因还是在人员选配和人员培训上存在一定的问题,近几年随着银行监管力度的不断加大以及金融业务不断创新和不断扩展,对人员综合素质提出了更高更严格的要求,人员素质高低在一定程度上影响着银行会计内部控制信息的真实质量,成为制约银行发展的重要因素。

二、对策建议

(一)建立完善的会计内部控制制度体系

首先,根据现阶段信息技术迅猛发展的实际需要,以有效衡量、识别、控制和防范风险为核心,在前瞻性的视角下,借鉴国外在完善制度方面的先进经验,健全一系列合理严密的规章制度和切实可行的操作规程;相应的规章制度不是一成不变的,要随着实际工作的不断变化和应用软件的升级,分时段时机对规章制度的更新和完善进行认真研究。其次,在观念和意识上做好正确引导工作,让管理层与员工相互能够达成共识,完善会计内部控制制度是全员性的,完善全程中都需要大家一起提出有效建议,促使会计内部控制环境意识深入人心。最后,在执行过程中,需要银行相关监管部门对银行会计内部控制方面的专项检查的力度加大力度,完善会计检查的相关制度,及时准确指出银行会计内控方面的存在问题和可能发生的风险,迅速督促相关部门对产生的问题切实整改落实,使银行会计内部控制制度逐步实现系统化、规范化和科学化。

(二)建立风险评估、风险监测和风险预警相结合的长效机制

建立风险预警、风险监测和风险评估相结合一体化的防范风险有效机制。对于风险评估,针对典型的银行会计内部控制风险案例,收集大量基础数据,对这些数据进行统计分类,根据处理结果设计风险指标体系和测算其指标的标准值,可以把资产营运指标作为补充,结合现阶段的金融环境与其他同行进行比较测算,确定相关影响因素;对于风险预警,主要从对象、方式和内容三方面入手,以分数的划分来判定风险危急,计算指标的实际值,估计预警得分和预警度判断,运用计算机分析系统计算单位预警指标的得分,综合得分评估会计风险的指数,同时根据所处的级次根据标准来判断预警区间,对照相应的预警区间判断出预警度,若是危险区域则提出预警报告;对于风险监测,对风险状况进行严密的跟踪监测,监测变量的变化和走势,在风险评估的基础上提出防范的措施,控制和避免可能会出现的风险损失,在改进的业务运行中不断总结。通过机制的建立,使风险预警、风险监测和风险评估紧密结合、相互协调,形成防范风险的整体合力,加大防范力度,确保银行会计业务发生的偏差得到纠正或对即将预测到的风险加以适当的控制。

(三)设计现代化的会计信息管理系统

首先,在设计系统过程中,设计多级别的安全控制功能,要确保权限制约,讲分级监督等风险控制的功能融入其中,做好职责分离工作,如:科技部门与操作应用部门之间、程序员和操作员之间等,严禁程序员单独接触系统,严禁软件开发人员和软件开发者介入实际会计业务操作等一系列规定,以防范银行会计数据信息的录入、传输、加工和存储风险,提供一个安全计算机内部环境。其次,会计信息系统的设计开发是应用到计算机控制的关键软件,控制的有效程度是和系统完善程度成正比的,所以在系统的开发中的项目立项、设计开发和测试运行等过程中需要严格把守,对于系统的及时更新需要专业人员定期检查,工作人员定期反馈使用信息,方便快速专业人员找出解决办法。最后,保证完整的计算机运行日志,防止机房出现安全问题和加强日常操作人员的管理需定期检查安全保障设备,确保会计信息系统处于正常工作状态。

(四)形成严格的人员选配和人员培训体系

在人员选聘上,根据银行会计业务实际情况分析出所需人数,以与选聘业务相关知识为基本,用科学的方法制定选聘条件,根据条件进行选聘工作,在选聘过程中做到公平公正公开。在人员培训上,将人员素质和专业知识并重进行培训,加强对会计人员的职业道德教育培训,从而提高会计人员的遵纪守法和自律意识;开展会计内部控制知识辩论赛、对会计内部控制理论研究讨论和实例调查研究等多种知识活动,创造出浓郁的会计内部控制文化学习氛围,形成会计人员落实内控和懂内控的良好内部控制环境。在实施激励机制上,对考察人员实行综合考评,实行在基本工资上的差别档次的经济激励措施,将优秀的业务骨干不断提拔到一线监管队伍中去,实行晋升激励措施。

三、结论

本文主要通过探讨对银行会计内部控制存在的制度完善问题、风险防范问题、会计信息系统问题和人员选聘问题,针对这些问题提出了相应的对策建议,期望提升银行内部控制水平,加强会计内部控制,为我国银行会计内部控制工作的开展提供更多的参考资料,保证银行的正常经营。

参考文献:

[1]涂佳.浅析我国商业银行会计内部控制及风险防范[J].金融与经济,2011(08):90-92.

[2]李彦平.浅论商业银行会计内部控制[J].武汉金融,2005(06):60-61.

[3]安小圣.中国建设银行会计内部控制研究[J].商业研究,2007(05):191-193.

[4]黄伟宏.完善商业银行会计内部控制的探讨[J].新金融,2011(07):31-33.