导语:如何才能写好一篇企业安全风险评估报告,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
一、引言
三、注册会计师风险评估与企业风险管理关系
(三)二者存在的不同当然二者存在着以下区别:注册会计师风险评估更多是对内部控制有效性的评估,这种评估是因为审计的效率所决定的,而企业的风险管理需要覆盖企业的整体层面和各个业务流程,所以我们注册会计师的风险评估结果对于企业而言是一种参考,注册会计师的风险评估只是对内部控制水平高低的一个评价,这并不能完全说明企业风险管理的有效性。注册会计师可以通过对企业内部控制系统有效性评价来评估客户监督和控制其战略风险及其他经营风险的情况,如果仅仅是审计过程,注册会计师不需要提出风险管理改进建议,他们评估的财务报表重大错报风险只是为了控制检查风险,进而控制审计风险。所以注册会计师审计过程的风险评估与企业风险管理过程中的风险评估目的相似,但企业风险管理的目的和注册会计师的风险评估还是存在不同。
四、企业风险管理及风险评估路径
(二)风险评估报告与信息系统风险管理注册会计师评价内部控制有效性的要求里就包括了评价信息系统的有效性,所以注
会议名称:2018年三季度全面风险管理会
日期:2018年10月17日
地点:二楼视频会议室
出席人:xx行长、xx副行长、xx、xx、、
列席人:纪检组长xx、xx
主持人:xx行长
记录人:xx
一、授信与风险管理部汇报本条线全面风险管理工作
(一)授信与风险管理部负责人xx汇报2018年三季度授信与风险条线风险评估报告
xx行长对营业部二季度全面风险会议要求整改未落实的事项进行了询问。
(二)授信与风险管理部负责人xx汇报2018年三季度贷后管理工作报告
二、综合管理部汇报本条线全面风险管理工作
(一)综合管理部负责人xx对人力资源条线操作风险情况、声誉风险情况、行政印章条线操作风险情况、信息科技条线操作风险情况、安全保卫条线操作风险情况做了评估报告
(二)xx行长对声誉风险情况中仍有个别客户反馈从我行购买贵金属产品存在质量问题的解决情况进行了询问
三、财务与营运管理部汇报本条线全面风险管理工作
(一)财务与营运管理部负责人xx汇报本条线评估报告
(二)xx行长对受理询证函业务不规范做了询问,并要求整改
四、公司部负责人xx对本条线风险评估报告进行汇报
五、个金部汇报本条线全面风险管理工作
(一)个金部负责人xx汇报2018年三季度个金部条线风险评估报告
(二)xx行长对机具的管理进行了询问
六、营业部xx对本条线风险评估报告进行汇报
七、分管行领导xx、xx分别讲话
(一)xx副行长讲话
1、风险防范意识需进一步加强
(1)贷后管理不到位,要对政策文化、评级变化掌握透彻
(2)个贷资料审核还存在问题
2、业务素质和业务能力仍需进一步提升
(1)大堂的卡挂失等
(2)小微企业专题会
3、加强工作的执行力度
(1)培训(2)外部监管机构的材料报送
4、希望交行员工能践行交行精神、践行责任和担当,确保我们交行的业务是风险可控、持续稳健发展,落实好各部门工作计划。
(二)xx副行长讲话
1、大部分操作风险的原因
(1)意识不强(2)制度不懂(3)业务不熟
2、建议
(1)强化培训(2)强化落实(3)强化考核
八、xx行长讲话
(一)对各个部门的工作给予肯定并提出表扬
(二)要求
1、系统内外的检查
2、标准动作和自选动作相结合
3、检查和员工素质提高相结合
4、全面风险管理和决策
5、按周检查、按月检查、注重日常检查
6、营运部和营业部加强对消保的管理
7、综管部加强对7万元盗刷的舆情管理,与营运部做配合
8、风控部按季核查存放中国银行的存放资金
九、湘西纪检组部署和安排工作
(一)湘西纪检组xx对公司部的汇报中有党风廉政和案防教育提出了表扬
(二)湘西纪检组xx对以后的全面风险管理会的各部门汇报材料提出了要求和建议
【关键词】安全风险;安全措施;风险评估报告
1.前言
建筑业是危险性较大的行业之一,安全生产管理的任务十分艰巨,安全生产不仅关系到广大群众的根本利益,也关系到企业的形象,还关系到国家和民族的形象,甚至影响着社会的稳定和发展。党的十六届五中全会确立了“安全生产”的指导原则,我国“十一五”发展规划中首次提出了“安全发展”的新理念。所有这些表明,安全生产已成为生产经营活动的基本保障,更是当前建筑工程行业管理的首要目标。
2.风险评估模型与方法
风险评估安全要素主要包括资产、脆弱性、安全风险、安全措施、安全需求、残余风险。在风险评估的过程中要对以上方面的安全要素进行识别、分析。
2.1资产识别与赋值
一个组织的信息系统是由各种资产组成,资产的自身价值与衍生价值决定信息系统的总体价值。资产的安全程度直接反映信息系统的安全水平。因此资产的价值是风险评估的对象。
本文的风险评估方法将资产主要分为硬件资产、软件资产、文档与数据、人力资源、信息服务等[1][2]。建设工程的资产主要体现在建筑产品、施工人员、施工机械等。
风险评估的第一步是界定ISMS的范围,并尽可能识别该范围内对业务过程有价值的所有事物。
资产识别与赋值阶段主要评价要素为{资产名称、责任人、范围描述、机密性值C、完整性值I、可用性值A、QC、QI、QA}。QC、QI、QA分别为保密性,完整性,可用性的权重,QC=C/(C+I+A),QI、QA类似。
2.2识别重要资产
信息系统内部的资产很多,但决定工程安全水平的关键资产是相对有限的,在风险评估中可以根据资产的机密性、完整性和可用性这三个安全属性来确定资产的价值。
通常,根据实际经验,三个安全属性中最高的一个对最终的资产价值影响最大。换而言之,整体安全属性的赋值并不随着三个属性值的增加而线性增加,较高的属性值具有较大的权重。
在风险评估方法中使用下面的公式来计算资产价值:
资产价值=10×Round{Log2[(2C+2I+2A)/3]}
其中,C代表机密性赋值;I代表完整性赋值;A代表可用性赋值;Round{}表示四舍五入。
从上述表达式可以发现:三个属性值每相差一,则影响相差两倍,以此来体现最高安全属性的决定性作用。在实际评估中,常常选择资产价值大于25的为重要资产。
2.3威胁与脆弱性分析
识别并评价资产后,应识别每个资产可能面临的威胁。在识别威胁时,应该根据资产目前所处的环境条件和以前的记录情况来判断。需要注意的是,一项资产可能面临多个威胁,而一个威胁也可能对不同的资产造成影响。
识别威胁的关键在于确认引发威胁的人或事物,即所谓的威胁源或威胁。建筑企业的威胁源主要是四个方面:人的不安全行为,物的不安全因素、环境的不安全因素、管理的不安全因素。
2.4综合风险值
资产的综合风险值是以量化的形式来衡量资产的安全水平。在计算风险值时,以威胁最主要影响资产C、I、A三安全属性所对应的系数QC、QI、QA为权重。计算方法为:
威胁的风险值(RT)=威胁的影响值(I)×威胁发生的可能性(P);
2.5风险处理
通过前面的过程,我们得到资产的综合风险值,根据组织的实际情况,和管理层沟通后划定临界值来确定被评估的风险结果是可接收还是不可接收的。
对于不可接收的风险按风险数值排序或通过区间划分的方法将风险划分为不同的优先等级,对于风险级别高的资产应优先分配资源进行保护。
对于不可接收的风险处理方法有四种[3]:
1)风险回避,组织可以选择放弃某些业务或资产,以规避风险。是以一定的方式中断风险源,使其不发生或不再发展,从而避免可能产生的潜在损失。例如投标中出现明显错误或漏洞,一旦中标损失巨大,可以选择放弃中标的原则,可能会损失投标保证金,但可避免更大的损失。
2)降低风险:实施有效控制,将风险降低到可接收的程度,实际上就是设法减少威胁发生的可能性和带来的影响,途径包括:
a.减少威胁:例如降低物的不安全因素和人的不安全因素。
b.减少脆弱性:例如,通过安全教育和意识培训,强化员工的安全意识等。
c.降低影响:例如灾难计划,把风险造成的损失降到最低。
d.监测意外事件、响应,并恢复:例如应急计划和预防计划,及时发现出现的问题。
3)转移风险:将风险全部或者部分转移到其他责任方,是建筑行业风险管理中广泛采用的一项对策,例如,工程保险和合同转移是风险转移的主要方式。
4)风险自留:适用于别无选择、期望损失不严重、损失可准确预测、企业有短期内承受最大潜在损失的能力、机会成本很大、内部服务优良的风险。
选择风险处理方式,要根据组织运营的具体业务环境与条件来决定,总的原则就是控制措施要与特定的业务要求匹配。最佳实践是将合适的技术、恰当的风险消减策略,以及管理规范有机结合起来,这样才能达到较好的效果。
通过风险处理后,并不能绝对消除风险,仍然存在残余风险:
残余风险Rr=原有的风险Ro-控制R
目标:残余风险Rr≤可接收的风险Rt,力求将残余风险保持在可接受的范围内,对残余风险进行有效控制并定期评审。
主要评估两方面:不可接受风险处理计划表,主要评价要素为{资产名称、责任人、威胁、脆弱点、已有控制措施、风险处理方式、优先处理等级、风险处理措施、处理人员、完成日期};残余风险评估表,主要评价要素为{资产名称、责任人、威胁、脆弱点、已有控制措施、增加的控制措施、残余威胁发生可能性、残余威胁影响程度、残余风险值}。
2.6风险评估报告
在风险评估结束后,经过全面分析研究,应提交详细的《安全风险评估报告》,报告应该包括[4]:
1)概述,包括评估目的、方法、过程等。
2)各种评估过程文档,包括重要资产清单、安全威胁和脆弱性清单、现有控制措施的评估等级,最终的风险评价等级、残余风险处理等。
3)推荐安全措施建议。
3.结论
目前仍有相当一部分施工现场存在各种安全隐患,安全事故层出不群,不仅给人们带来剧痛的伤亡和财产损失,还给社会带来不稳定的因素。风险评估是工程安全领域中的一个重要分支,涉及到计算机科学、管理学、建筑工程安全技术与管理等诸多学科,本文的评估方法综合运用了定性、定量的手段来确定建设工程中各个安全要素,最终衡量出建设工程的安全状况与水平,为建立安全管理体系ISMS提供基础,对建设工程的风险评估具有一定的借鉴意义。
参考文献:
[1]ISO/IEC17799:2000InformationTechnology-CodeofPracticeforInformationSecurityManagement.
[2]BS7799-2:2002.InformationSecurityManagement-SpecificationforInformationSecurityManagementSystems.
关键词:网络安全;风险评估;安全措施
ASurveyofNetworkSecurityRiskAssessment
CHENJun-wei
(Dept.ofComputer,NanjingUniversityofPostsandTelecommunications,Nanjing210003,China)
Abstract:Toassessthesecurityconditionofanetworksystem,isoneofthemostimportanttechnologiesinsecurityarea.Inthispaper,wewillpointouttheshortcomingsofthepresentsecurityguard,inthediscussionofthestandardsandmeasuresofexistingriskassessment,andproposemethodsanddirectionswhicharebeneficialinperfectingtheassessmentsystems.
Keywords:Networksecurity;riskassessment;securitymeasures
1引言
2网络安全风险评估的现状
2.1风险评估的必要性
有人说安全产品就是保障网络安全的基础,但有了安全产品,不等于用户可以高枕无忧地应用网络。产品是没有生命的,需要人来管理与维护,这样才能最大程度地发挥其效能。病毒和黑客可谓无孔不入,时时伺机进攻。这就更要求对安全产品及时升级,不断完善,实时检测,不断补漏。网络安全并不是仅仅依靠网络安全产品就能解决的,它需要合适的安全体系和合理的安全产品组合,需要根据网络及网络用户的情况和需求规划、设计和实施一定的安全策略。通常,在一个企业中,对安全技术了如指掌的人员不多,大多技术人员停留在对安全产品的一般使用上,如果安全系统出现故障或者黑客攻击引发网络瘫痪,他们将束手无策。这时他们需要的是安全服务。而安全评估,便是安全服务的重要前期工作。网络信息安全,需要不断评估方可安全威胁。
2.2安全评估的目标、原则及内容
安全评估的目标通常包括:确定可能对资产造成危害的威胁;通过对历史资料和专家的经验确定威胁实施的可能性;对可能受到威胁影响的资产确定其价值、敏感性和严重性,以及相应的级别,确定哪些资产是最重要的;准确了解企业网的网络和系统安全现状;明晰企业网的安全需求;制定网络和系统的安全策略;制定网络和系统的安全解决方案;指导企业网未来的建设和投入;通过项目实施和培训,培养用户自己的安全队伍。而在安全评估中必须遵循以下原则:标准性原则、可控性原则、整体性原则、最小影响原则、保密性原则。
安全评估的内容包括专业安全评估服务和主机系统加固服务。专业安全评估服务对目标系统通过工具扫描和人工检查,进行专业安全的技术评定,并根据评估结果提供评估报告。
目标系统主要是主流UNIX及NT系统,主流数据库系统,以及主流的网络设备。使用扫描工具对目标系统进行扫描,提供原始评估报告或由专业安全工程师提供人工分析报告。或是人工检查安全配置检查、安全机制检查、入侵追查及事后取证等内容。而主机系统加固服务是根据专业安全评估结果,制定相应的系统加固方案,针对不同目标系统,通过打补丁、修改安全配置、增加安全机制等方法,合理进行安全性加强。
系统加固报告服务选择使用该服务包,必须以选择ISMR/SSMR/HME服务包为前提,针对评估分析报告,提出加固报告。系统加固报告增强服务选择使用该服务包,必须以选择ISMR/SSMR/HME服务包为前提,针对评估分析报告,提出系统加固报告,并将系统加固报告、加固步骤、所需补丁程序以光盘形式提交客户。系统加固实施服务选择使用该服务包,必须以选择ISMR/SSMR/HME服务包为前提,针对评估分析报告,提出系统加固报告,并将系统加固报告、加固步骤、所需补丁程序以光盘形式提交客户,并由专业安全工程师实施加固工作。
3网络安全风险评估系统
讨论安全评定的前提在于企业已经具有了较为完备的安全策略,这项工作主要检测当前的安全策略是否被良好的执行,从而发现系统中的不安全因素。当前计算机世界应用的主流网络协议是TCP/IP,而该协议族并没有内置任何安全机制。这意味着基于网络的应用程序必须被非常好的保护,网络安全评定的主要目标就是为修补全部的安全问题提供指导。
评定网络安全性的首要工作是了解网络拓扑结构,拓扑描述文档并不总能反映最新的网络状态,进行一些实际的检测是非常必要的。最简单的,可以通过Trackroute工具进行网络拓扑发现,但是一些网络节点可能会禁止Trackroute流量的通过。在了解了网络拓扑之后,应该获知所有计算机的网络地址和机器名。对于可以访问的计算机,还应该了解其正在运行的端口,这可以通过很多流行的端口发现工具实现。当对整个网络的架构获得了足够的认知以后,就可以针对所运行的网络协议和正在使用的端口发现网络层面的安全脆弱点了。通常使用的方法是对协议和端口所存在的安全漏洞逐项进行测试。
安全领域的很多专家都提出边界防御已经无法满足今天的要求,为了提高安全防御的质量,除了在网络边界防范外部攻击之外,还应该在网络内部对各种访问进行监控和管理。企业组织每天都会从信息应用环境中获得大量的数据,包括系统日志、防火墙日志、入侵检测报警等。是否能够从这些信息中有效的识别出安全风险,是风险管理中重要一环。目前的技术手段主要被应用于信息的收集、识别和分析,也有很多厂商开发出了整合式的安全信息管理平台,可以实现所有系统模块的信息整合与联动。
4结束语
目前我国信息系统安全风险评估工作,在测试数据采集和处理方面缺乏实用的技术和工具的支持,已经成为制约我国风险评估水平的重要因素。需要研究用于评价信息安全评估效用的理论和方法,总结出一套适用于我国国情的信息安全效用评价体系,以保证信息安全风险评估结果准确可靠,可以为风险管理活动提供有价值的参考;加强我国信息安全风险评估队伍建设,促使我国信息安全评估水平得到持续改进。
[1]陈晓苏,朱国胜,肖道举.TCP/IP协议族的安全架构[N].华中科技大学学报,2001,32-34.
[2]贾颖禾.国务院信息化工作办公室网络与信息安全组.信息安全风险评估[J].网络安全技术与应用,2004(7),21-24.
[3]刘恒,信息安全风险评估挑战[R],信息安全风险评估与信息安全保障体系建设研讨会,2004.10.12.
[4][美]ThomasAWadlow.网络安全实施方法.潇湘工作室译.北京:人民邮电出版社,2000.
[5]张卫清,王以群.网络安全与网络安全文化[J].情报杂志,2006(1),40-45
[6]赵战生,信息安全风险评估[R],第全国计算机学术交流会,2004.7.3.
关键词:施工企业COSO报告内部控制系统风险管理
一、COSO内部控制框架
二、施工企业的控制环境
内部控制在施工企业具有广泛的适用性,然而,目前我国施工企业的内部控制还相当薄弱,主要表现在内部控制环境差,风险评估意识淡薄,控制活动不严密,信息与沟通不流畅以及监督检查流于形式这五个方面。从我国施工企业内部控制的现状来看,构建一个理想的内部控制体系势在必行。控制环境是五个要素中最基本的要素,被视为其他四个要素的基础。施工企业的控制环境主要包括以下四个方面。
(一)高管层的重视与支持
施工企业内部控制是企业管理中一项综合性很强的工作,涉及到施工工作的各个环节,影响每个职工的切身利益,尤其是对高管层权力具有约束作用。例如针对分包队伍管理这一问题,有些单位将该权利交由主管领导一人决定;若实施内部控制制度,则需要全员共同参与决策。因此,内部控制制度是否能够在施工企业顺利、有效展开实施,良好的控制环境能否在施工企业建立,高管层的重视和支持起关键性作用。
(二)与施工企业相适应的用人机制
施工企业的施工现场很多地处偏远山区,生活及工作环境比较恶劣,致使许多施工企业出现了关键技术员工辞职、离职的现象,严重影响施工生产的正常运行。如果企业缺乏完善的人事制度,企业的管理、运转,甚至生存都将面临危险。因此,对施工企业来讲,一套较为完善的人事制度,应该包括员工的录用制度、培训制度、考核制度、晋升制度以及激励和福利制度等。
(三)加强施工企业文化建设
文化是企业的灵魂,优秀的企业文化是一种无形的力量和源泉,能够引导每一位员工以良好的精神面貌完成每一项管理和控制工作。施工企业的流动性决定了其企业文化的特殊之处。施工现场文化主要体现为文明施工建设,主要包括规范现场的场容管理,保持作业环境整洁卫生;做好现场物资、机械、安全、技术、保卫和消防等方面管理;施工现场各种标识牌和标语的管理;员工娱乐设施管理,减少对居民和环境的不利影响等。施工工地的文明施工水平是该项目工地乃至所在企业各项管理工作水平的综合体现,也是施工企业文化特色的集中表现。
(四)合理、高效的施工企业组织机构
施工生产的单件性、露天性和流动性的特征,使施工企业的组织形式,尤其是现场组织形式,处于动态组合状态。面对日益复杂多变的市场环境,组织机构的设置应有利于企业走向市场,同时有利于增加企业经济效益。
三、施工企业的风险管理
施工企业常见的风险类型包括经营风险、管理风险以及财务风险等方面。施工企业应树立风险意识,分析风险的类别及其特点,划分风险的责任范围,针对各个风险控制点建立有效的风险识别、评估、响应和监控等风险管理流程系统。通过各种具体措施,缩小风险范围,降低风险系数,明确风险目标,加强管理,提高工作效率,减少风险损失,保证施工生产的正常运行。
四、施工企业的控制活动
施工企业内部控制活动的关键控制点主要包括项目资金、项目采购、工程质量、工程成本以及工程项目资源。
(一)项目资金的内部控制
(二)项目采购的内部控制
建设工程项目成本的70%左右均为材料成本,因此降低材料成本是降低生产成本的关键所在,而要降低材料成本,材料采购是最关键的环节之一。根据世界银行贷款项目的货物采购等有关招标采购文件,并结合我国施工企业的实际情况,施工项目物资采购的一般程序为确定采购计划、采购方式、签订合同、执行合同、物资验收以及资料归档。
(三)工程质量的内部控制
(四)工程成本的内部控制
施工项目成本费用管理效率的水准对施工企业的绩效改善和持续发展极其重要,应实行项目全面成本管理责任体系,将材料控制、劳动控制、机械设备控制、项目间接费控制等方面作为实施重点。
(五)工程项目资源的内部控制
项目资源的内部控制,即各生产要素的管理,一般分为五个阶段,即投标、签约阶段,施工准备阶段,施工阶段,验收、交工与竣工结算阶段,用户服务阶段。项目资源的内部控制是一个综合管理的过程,是优质、高效建筑产品的诞生不可省略的过程之一。
五、施工企业的信息与沟通
信息沟通的方式很多,施工企业一般通过财务信息系统、内部报告系统进行沟通。
(一)财务信息系统
目前,施工企业实行的是财务多级核算模式,具体表现为各个施工队会计报账至各个项目部;各个项目部将其财务报表上交各个分公司;再由各个分公司将其财务报表上交集团总公司。施工企业应结合企业流程再造的思想对企业的组织和业务流程进行重新审视,建立与企业分散施工特点相符的组织结构。同时,在现有的已实施会计电算化的基础上,依托网络技术逐步推进企业内部所有核算单位的会计信息的集中管理模式,逐步改变目前实行的多级管理核算模式(见上图)。
(二)内部报告系统
常用的内部报告体系包括施工生产经营报告体系、资本经营报告体系、预算执行报告体系等三大体系。具体地,施工生产经营报告体系包括财务状况分析报告、项目经理述职报告、施工生产安全报告、施工生产经营报告以及施工质量控制报告;资本经营报告体系包括筹资及其成本报告、所得税报告以及对外投资报告;预算执行报告体系包括收入中心预算执行报告、成本中心预算执行报告、费用中心预算执行报告、利润中心预算执行报告以及投资中心预算执行报告。
六、施工企业的监督
在施工企业内部控制的监督过程中,内部审计和自我评估两项职能发挥着重要作用。
(一)内部审计
施工企业的内部审计既是企业内部控制的一个重要组成部分,又是监督企业内部控制是否严格执行,促进内部控制制度不断完善的重要力量。内部审计主要包括严格审计程序,规范审计行为,确保审计质量;合理设置审计机构,提高内部审计的独立性与客观性;构建信息化方式下,内部审计监督新模式、新方法;合理配备审计人员,提高审计人员素质等方面。
(二)自我评估
1.KevinBuehler,AndrewFreeman,RonHulme.OwningtheRightRisks[J].HarvardBusinessReview,2008,(09).
2.KeithWade,AndyWynne.控制自我评估理论及应用[M].北京:中国财政经济出版社,2008.
3.卜永军.建设工程项目管理一本通[M].北京:地震出版社,2007.
4.方红星译.内部控制――整合框架[M].大连:东北财经大学出版社,2008.
5.刘霄仑译.SOA与内部审计新规则[M].北京:中国时代经济出版社,2007.
6.刘晓红,徐玖平.项目风险管理[M].北京:经济管理出版社,2008.
7.内部控制课题组.企业内部控制基本规范解读与案例分析[M].上海:立信会计出版社,2008.
8.商德福.施工企业的管理与控制活动初探及案例风险[J].经营管理者,2013,(3).
一、梳理企业现有治理结构、完善组织设计及部门设置
图1内控环境构建流程
合理的公司治理结构既是内控环境的组成部分,又是内控体系得以顺利实现的基础,所以上市公司首先应该明确自己的战略目标,根据战略目标规范治理结构,对现有组织结构、部门职责进行全方位的梳理,同时还要按照五部委的《内控规范》设立相应的内控部门及部门职责。其次,上市公司还应在上述基础上对公司所有的规章制度进行查缺补漏,整合成符合公司实际需求的制度体系。
二、建立内部控制系统
世界上不存在两个完全相同的企业,即便是同一行业中的两个企业,销售同类型的产品,都会在运营管理中体现出不同的文化特色、管理风格,这就决定了每个企业一定会有自己所特有的内控环境,因而其内部控制系统也一定是各有差异、各具特色。
企业内部控制的主要目标是为了经营合规合法、运作高效率、控制风险。为此,构建企业内部控制系统应该是一个长期、动态持续的过程,一般可以分为以下几阶段:
1.对企业风险进行系统评估。
图2企业风险评估体系
风险评估是被国内企业最容易忽视的环节,而实际上,这个环节却是建立企业内控体系的一个至关重要的前提。企业应当基于所处行业的特色和企业自身的业务特征,利用专业的评估工具对企业的内外风险进行量化的分析,对风险可能发生的频率和后果赋值,计量风险的严重程度,同时设定企业对风险的容忍限度,对诊断出的所有风险进行排序,随后建立相应的风险数据库及风险应对策略。
2.建立书面的内部管理手册。
图3企业内部管理手册建立流程
企业的内部管理手册应该是系统的、可操作的,所以在内部管理手册的最后应当有相应控制活动的对应内审程序及职责表,以便于企业持续的监督,也就是在内控设计有效的基础上确保执行的有效性。
3.对企业内部管理手册的执行进行持续监督。
在以往的国有上市公司内控失败的案例中,很多企业已经制订了防范风险的控制制度,这些制度设计虽不能避免所有的风险,但至少可以保证不会导致企业破产清算,难以持续经营。他们的失败不在于缺乏制度,而在于缺乏监督,致使制度形同虚设,舞弊肆虐、管理完全失效。
企业在建立了内部管理手册以后,由专门的、职责独立的内审部门负责日常的监督,并及时直接地向企业内部控制委员会汇报、实施有效控制。
对企业来说,仅实施日常监督是不够的,内部控制委员会还要制定专项监督制度,对企业的非经常性项目进行不定期的监督,以防止预想之外的风险发生。
4.根据企业的外部环境及内部业务的变化对内控体系进行动态更新。
企业在业务发展的过程中会发生大小各异的内部变化,小到低层员工的变动,大到经营模式的变化,这些变动累积到一定程度会导致原有的风险手册和内控管理手册不再符合企业的实际,特别是2008年全球金融危机,企业面临着及其严酷的竞争环境,该环境加剧了企业风险的可变性。因此,企业的内控体系也应该是一个动态更新的过程。
这个动态更新的过程即可以是渐进式的(当内外部变化不是非常剧烈时),也可以急进的、全新式的(当内外部发生的革命性的变化时)。
规范公司内部控制制度的执行和评价报告制度是公司首次执行公司内部控制评价报告制度最困难的一件任务。首次执行大规模的动态更新对于许多公司来说,并不是一件易事。
我们建议企业在首次建立内控体系或重大动态更新时选择第三方的权威中介机构,既可以借助其专业知识为企业量身定做内控体系,也可以通过培训方式培养企业自身的内控理念和意识。
三、对外披露:内控自我评估及内控鉴证
1.内控自我评估。
企业根据国家有关法律、行政法规或者有关监管规则的规定提交并披露(以财务报告为主的)内部控制自我评估报告时,还应当在该报告中披露以下内容:
(3)对开展内部控制自我评估所涉及的范围和内容进行简要描述。
(5)如果在自我评估过程中发现内部控制存在重大缺陷,应当披露有关的重大缺陷及其影响,并专项说明拟采取的改进措施。
(6)保证除了已披露的内部控制重大缺陷之外,不存在其他重大缺陷。
(7)自资产负债表日至内部控制自我评估报告报出日之间(以下简称报告期内)如果内部控制的设计与运行发生重大变化的,应当说明重大变化情况及其影响。
(8)依法及时披露的内部控制自我评估报告,经董事会审议批准后公布。
2.内控鉴证。
关键词:资产评估风险;风险防范措施;财务管理;立法风险;管理风险;执业风险文献标识码:A
1资产评估风险的定义、特征和类型
1.1资产评估风险的定义
1.2资产评估风险的特征
1.2.1客观必然性。资产评估工作具备规范市场秩序,提高市场交易的积极作用,但其也存在一定风险,所以资产评估风险具有客观必然性。
1.2.3潜在性。资产评估风险的存在是一种客观事实,如果当事人的利益没有遭受损失则相安无事,一旦当事人的利益损失达到了当事人不能容忍的地步的时候,潜在的可能性风险就变成了事实风险,所以资产评估风险具备潜在性。
1.2.4阶段性。一旦资产评估工作对当事人造成了利益损害,而且被当事人进行了法律诉讼,这种潜在风险就变成了事实风险,也就是说前阶段还是潜在的风险,后阶段就可能爆发为事实风险,所以说资产评估风险具备阶段性。
1.3资产评估风险的类型
1.3.2管理风险。管理风险主要是指主管资产评估行业的行政部门在对资产评估工作进行管理过程中可能产生的风险。这其中有两点要特殊说明:一是目前我们国家资产评估管理的行政主管部门还没有统一,不仅由财政部门主管,还由林业、房产管理、农业等部门主管,主管部门过多,造成资产评估工作很难形成统一标准;二是我们国家目前的资产评估管理职能主要有两个,分别是规划职能和控制职能。对于法律法规的制定和行业发展的规划等都属于是规划职能范围内的。而像对资产评估机构和资产评估人员进行资格认证、制定执业标准以及进行国际协调等都属于是控制职能范围内的。在我们国家,关于资产评估管理风险的具体表现主要是:由于评估的主管部门众多,各部门之间存在一些政策上的冲突甚至是矛盾,所以各部门在进行职业标准制定以及其他方面的管理工作的时候,很难形成统一的标准,进而对资产评估工作的正常有序开展产生
影响。
1.3.3执业风险。执业风险是资产评估风险中最常见的一种风险,由于现在我国资产评估机构众多,资产评估人员数量庞大,但是资产评估人员的素质水平参差不齐,很多人的执业水平都达不到专业标准,如果评估人员的水平不够,在进行资产评估的过程中就容易给评估当事人带来一些不利的影响甚至是一些经济上的损失,那么当事人就会对评估机构以及评估人员进行法律诉讼,评估机构就要承担参与诉讼的花销以及败诉后给当事人的损失补偿,这就是资产评估的执业风险。
1.3.4结果使用风险。资产评估结果使用风险主要是因为当事人对于资产评估报告书以及资产评估结果的使用不当而带来的一些风险。常见的表现有三种情况:一是评估当事人错误地使用了已经过期的资产评估报告书和资产评估结果;二是当事人没有遵循资产评估报告书上所注明的评估目的来使用资产评估报告书和资产评估结果;三是当事人在使用资产评估报告书和评估结果的过程中对于评估期过去之后的一些事项而引起资产评估价值发生变化没有考虑到。
2资产评估风险防范面临的问题
2.1评估人员总体素质水平较低
长期以来,我国一直都在实行注册资产评估师的考试制度来进行评估师的选拔。近年来,我国又开始采用注册资产评估师的分类分级制度来对评估师队伍进行专业划分。目前已经有建筑评估师、土地评估师、机器设备评估师等具体的分类,发挥了每个评估师的专业特长。而分级则是根据注册资产评估师的执业年限和工作经验把资产评估师分为初级、中级和高级三个等级,等级越高的评估师其评估经验越丰富,评估水平越高,评估质量越好。但是由于我国市场混乱,资产评估师考试制度以及资产评估师的分类分级制度实施过程中出现了很多问题,很多组织或个人在考试之前泄题给考生,评估师的分级制度审核也不够严格,加之国内的资产评估起步较晚,所以跟发达国家相比,我国资产评估机构的评估人员素质水平参差不齐,真正有水平的高级评估师很少,评估师队伍整体的素质水平不高。
2.2缺乏完善的法律法规
从我国发生过的众多评估纠纷案件中可以看出,我国目前的法律法规在资产评估方面极其不完善,缺乏全面的法律支撑。已有的《国有资产评估管理办法》存在诸多方面的缺陷,《中华人民共和国注册资产评估师法》还未形成可以全面规范资产评估执业准则和道德准则的作用。所以,由于我国缺乏完善的法律法规进而导致资产评估纠纷频发,而且纠纷处理缺乏统一的法律依据,常常引发诉讼双方的不满。而且有很多不法分子钻法律的空子,市场上经常出现虚假评估现象。
2.4监督制度不完善
2.5评估报告不规范
现实生活中存在评估结果使用风险,主要是由于资产评估报告表述不恰当而引起当事人误会,进而引发评估机构与当事人之间的纠纷,评估报告随意不规范,很多地方阐述得不够清晰,经常给当事人造成麻烦甚至是损失,所以常常引起当事人的不满甚至对评估机构或者是评估师进行法律诉讼,评估机构和评估师也常常因此在诉讼过程中败诉,所以必须要严格规范资产评估报告,做到严格规范、清晰明了。
3加强资产评估风险防范的对策
3.1加强对评估人员的培训,提高评估人员素质水平
现代社会的发展进步,“人”的作用至关重要。资产评估工作本身是一项专业性很强且容不得半点马虎的工作,所以要求评估人员必须要具备很高的政治思想素养、专业的评估水平以及严谨负责的工作态度,而且要经常学习,与时俱进。必须要加强评估队伍的素质水平建设,加强对评估人员的素质培训,培训他们专业的评估知识和业务技能,并且要培养其学习能力和创新发展能力,提高其法律意识,加强其诚实守信爱岗敬业的道德教育,使资产评估人员都能够成为综合素质很强的应用型人才,降低资产评估的执业风险。
资产评估工作是一项十分严肃的涉及到评估当事人切身利益的事情,所以必须要对其进行规范化、法制化,使资产评估工作真正做到有法可依,引导评估行业健康长远发展,不让非法分子浑水摸鱼,与此同时,必须要对资产评估的责任做出明确法律界定。积极捍卫评估结论的法律效果与权威性,严厉打击不法分子或是失范者的违规行为,让那些破坏评估行业制度的不法分子承担相应的法律责任,通过法律法规的严格要求,净化资产评估行业的发展环境,降低资产评估的立法
风险。
要加强资产评估工作的规范化管理,形成行业自律。首先要统一资产评估机构的行政主管部门,实行统一的管理办法,为资产评估行业打造一个规范的外部环境;其次要尽快建立严格的执业准入与退出机制,严格规范评估机构的出资人资格以及评估人员的执业资格;最后要形成公平公正的奖惩制度,加强行业考核,严格把关执业质量,保证评估的正确性,降低资产评估的执业和管理风险。
3.5完善评估报告,加强自我保护
资产评估机构必须要吸取教训,要想减少纠纷或者是尽量保证自身在与机构进行法律诉讼过程处于有利地位,资产评估机构就必须要加强对评估报告的规范,积极完善资产评估报告的格式与内容,做到严格规范、内容严谨、语言表述精炼准确,大力提高评估人员严谨的评估意识和专业的评估水平,这才不容易引起执业风险与结果使用风险的发生,起到自我保护的作用。
4结语
世界范围内资产风险评估的发展已经成为一种流行趋势,它对于促进企业资产扩大的作用日益突出,但是其本身的各个环节都存在着一定的风险性,所以必须要加强对其风险识别、预防,极力降低资产评估风险的风险系数。目前,我国政府跟企业都已经认识到了资产评估的重要意义,都在积极完善资产风险评估制度,所以,相信我们国家的资产评估工作会开展得越来越好。
参考文献
[1]谭舒蔓,高兵.资产评估风险防范与控制[J].合作经济与科技,2015,(12).
[2]范雪,张煦.资产评估风险防范与控制[J].中小企业管理与科技,2015,(4).
[3]汪芹.试论资产评估风险及其规避措施[J].企业导报,2013,(20).
[4]张翔.资产评估风险及其防范[J].中国证券期货,2013,(9).
[5]史策,张莹.资产评估风险防范与控制[J].品牌(下半月),2015,(8).
一、企业各级信息管理部门职责,主要分为总部信息部门和各分部信息管理部门进行管理。
企业总部信息管理部门负责企业整体信息技术风险评估、统一建设信息系统的风险评估和总体层面信息系统的风险评估,并对企业信息技术风险评估工作进行指导和检查。
各分部信息管理部门负责本单位信息技术风险评估工作,组织本单位层面信息系统的风险评估,并将信息技术风险评估报告总部备案。
二、信息技术风险分类及主要内容
信息技术风险主要包括信息技术项目风险、信息技术服务连续性风险、信息资产风险、供应商风险、应用风险、基础设施风险、战略与新兴技术风险等。
信息技术项目风险是指信息技术项目无法交付的风险,包括因项目管理关键要素未能有效控制,导致项目延期、消耗资源超支、与计划相比功能减少、交付产品未达标准、实施期间造成业务中断等。
信息资产风险是指未能有效保护与保存信息资产,包括信息系统装载的信息资产损毁、丢失以及不当泄露等。
供应商风险是指在信息技术项目交付和日常运营过程中,由于供应商未能交付信息技术产品或服务,或已交付但未达到标准,对信息系统和服务造成即时或潜在的影响。
应用风险主要指信息系统不能满足关键业务需求及信息技术应用故障,包括系统在操作性、功能性、可靠性、可维护性等方面存在缺陷对业务造成的负面影响。
基础设施风险是指由于信息基础设施不能正常运行带来的风险,包括基础设施构件发生故障、替换不当、配置不当等。
战略与新兴技术风险是指由于企业的信息技术能力有限,对战略和新的技术环境缺乏足够的适应能力,包括信息技术总体规划和信息技术架构设计缺乏整体、战略角度的考虑,缺乏灵活性等
三、信息技术风险评估方法
信息技术风险识别、分析和评价采用定性与定量相结合的方法。定性方法可采用问卷调查、专家咨询、情景分析、政策分析、行业标杆比较、访谈和调查研究等。定量方法可采用统计推论、计算机模拟、失效模式与影响分析、事件树分析等。
根据信息技术风险评估工作实际,可请有IT风险管理经验的人员参加,以及聘请资质、信誉好的专业机构协助实施。
五、信息技术风险评估后续工作
信息技术风险评估后续工作主要包括制定风险管理策略、实施风险管理、持续跟踪改进等。
制定风险管理策略,主要是根据企业自身条件和外部环境,围绕企业发展战略,确定风险偏好、风险承受度、风险管理有效性标准,选择适合的风险管理工具,并制定风险管理所需人力和财力资源的配置原则。
实施风险管理可通过风险承担、风险规避、风险转移、风险降低4种方法进行。总部和分部信息管理部门在实施信息技术风险管理方面应采取有效控制措施,尽量规避或降低信息技术风险。
持续跟踪改进主要指对信息技术风险实行动态管理,总部和分部信息管理部门应定期或不定期开展风险识别、分析、评价工作,及时发现新的风险和原有风险的变化并进行评估。
六、信息技术风险管理监督、检查
首先应分析和总结轨道交通工程存在的各类风险与特点,利用理论分析、施工现场勘查以及专家评审等多种方式,通过定期或者不定期报告在建设期限内展开建设质量以及安全风险管理工作,严格督查并切实加强关键节点的质控与风险管理工作;根据风险要素的表现形式来采取针对性控制策略,有效控制工程建设风险水平,最大化降低风险发生概率,以便于将风险事故所酿成的各方损失将至最低值。
2轨道交通工程的风险要素评估
(1)制定风险管理体系。应结合轨道交通建设管理标准与要求,着眼于轨道交通发展现状,针对轨道交通质量安全策划相应的风险管理方案,其内容涉及参建各方职责、风险管理内容以及各部分管理要求等。
(3)动态性评估。开工前应根据工程水文地质、施工工艺、总体筹划、周边环境以及施工工序,由监理方指导参建各方评估本部单位工程中存在的风险要素,明确管理过程中的各个关键风险点。然后由安全管理机构对各单位提交的风险评估报告进行汇总,然后交由专家小组评估审核,制定初步的风险申报文件,并向建设单位提交。
3轨道交通工程施工现场安全管理
安全管理机构应为参建各方制定相应的安全管理标准,用于对安全管理标准化模式的执行做出相应的检查和考核。现场安全管理以规范化的行为和管理程序为主要对象,而巡检则是主要执行方式。巡检执行者由专家工作组以及施工现场监察小组组成,其工作内容涉及如下几个方面:
(2)施工企业。评估现场施工方是否就总分包行为构建质量安全保证体系;应对施工企业施工资质所发生的动态性变化予以严格审查,同时还应全面掌握企业工作人员资质动态变化、安全教育培训制度以及各项规章制度;应对专业分包以及劳务分包进行检查,确认其合法与否;确认总承包方在主体工程结构施工方面是否如约完工,或检查其有无非法转包行为;应对施工方现场管理控制工作进行检查和评估,确认其是否存在以包代管的行为,或者是否存在两级管理(施工单位与项目部)现象。
(3)监理方。应对监理企业资质动态变化予以检查,掌握其工作人员资质变化情况,了解其安全教育培训制度以及其他规章制度;应对监理方安全监理工作人员以及监理数量进行检查,确认其有无违背合同之举;应在施工现场对监理方执业行为、总监与工作人员到位情况、服务承诺是否实现等管理行为进行检查;应就现场监理工作展开评估,确认其有无及时察觉施工违规行为,并提出相应的书面整改要求,后期是否及时开展整改复查工作。
(4)应做好薄弱部位的质控工作,根据《危险性较大的分部分项工程的安全管理办法》可知,申请安全监督手续办理或者申领施工许可证时建设单位应出具具有较大危险性的分部分项工程清单以及相应的安全管理策略。其次应遵循《城市轨道交通工程安全质量管理暂行办法》,由建设单位全权负责工程项目管理工作。
【关键词】煤炭企业;内部控制;风险评估;指标体系
一、煤炭企业内部控制风险评估指标体系的建立
煤炭企业的内部控制风险评估指标体系设计应遵循以下原则:
笔者基于评价指标体系设计原则和方法,结合煤炭企业自身的特点,借鉴《2010年煤炭行业风险评估报告》、2008年9月21日中国煤炭学会经济管理专业委员会在山东威海举办的第九届中国煤炭经济管理论坛(论坛的主题是“企业全面风险管理与控制”)、煤炭行业内部控制风险评估现状及影响因素,提出了煤炭行业内部控制风险评估指标体系。如表1所示。
二、基于AHP法风险评估指标的评估方法
内部控制风险因素三级指标加权平均风险值=∑(风险子因素各项分数×各对应子因素权重)公式1
内部控制风险因素二级指标加权平均风险值=∑(风险母因素各项分数×各对应的母因素权重)公式2
煤炭企业内部控制风险因素综合风险值=∑(风险类别各项分数×各对应的风险类别权重)公式3
用AHP法对指标进行量化的具体步骤如下:
(一)构建两两比较判断矩阵
从层次结构模型(递阶层次结构图)的第2层开始,对于从属于(或影响)上一层每个因素的同一层诸因素,用成对比较法和1―9比较尺度构造成对比矩阵,直到最下层。
其中,元素满足:
bij>0(i,j=1,2,…,n);bii=1(i=1,2,…n);bji=1/bij(i≠j;i,j=1,2,…,n)
(二)针对某一个标准,计算各备选元素的权重
目前,关于判断矩阵权重计算的方法有两种,即和积法和方根法。采用这两种方法计算最大特征值和特征向量,从而求出相应层次的排序权重。
(三)进行一致性检验
通过判断矩阵可以计算针对某一准则层各元素的相对权重;然后进行一致性检验。虽然在构造判断矩阵A时并不要求判断具有一致性,但判断偏离一致性过大也是不允许的,因此进行一致性检验是很有必要的。
三、实证分析
以某煤炭集团为例,对其内部控制进行风险评估,文中对该公司内控风险的定性指标结果采用专家打分法获得,即向专家发放调查问卷表,汇总专家打分的结果所获得。对财务风险中各指标权重通过AHP方法计算得出;然后通过沃尔评分法计算相应指标的标准评分。根据表1指标体系,该公司内部控制风险评估综合测算如表2所示。
通过上述内控风险评估结果,笔者分析到该公司存在如下需要控制的风险:
结语
煤炭企业内部控制风险评估首先需要根据指标体系设计的原则,建立相应的风险评估指标体系;然后采用AHP方法构建风险评估数学模型;最后运用该模型对内部控制风险评估进行分析。煤炭企业可依据此分析判断其自身面临的重大风险,从而针对相应的重大风险建立有效的控制活动。
【参考文献】
[1]张修锋.上市公司内部控制的风险评估研究[D].天津:天津财经大学,2009.