风险管理的基本内容篇1
本大纲突出国内银行业实践,兼顾国际银行业最新趋势,坚持理论与实践相结合,以实践为主;知识与技能相结合,以技能为主;现实与前瞻相结合,以现实为主的原则。
本大纲包括商业银行风险管理基础、商业银行风险管理基本架构、信用风险管理、市场风险管理、操作风险管理、流动性风险管理、声誉风险和战略风险管理、监管要求与市场约束等八个部分。大纲从商业银行风险管理的基本概念和基本架构入手,着重突出信用、市场、操作三大风险的识别、计量、监测与控制的技能知识,并考察流动性风险、声誉风险和战略风险等基本知识,最后从理念、机制和方法等角度对商业银行监管和市场约束作了要求。
与2006年考试大纲相比,本次考试大纲的修订主要表现在以下几个方面:
结构调整
原大纲由六章组成,新大纲由八章组成,主要是将原大纲中的第一章和第五章进行了拆分和合并。对原考纲的调研意见反映,风险管理基本架构不应包含在风险管理的基础知识中,修订后更便于大家对风险管理认识的深化和全面理解。根据商业银行风险管理发展的实际,目前大多数同业已将国家风险管理纳入到信用风险管理中,将法律风险管理纳入到操作风险管理中,据此,我们将风险管理基本框架在新大纲中单独成章;将国家风险管理合并到信用风险管理中,将法律风险管理合并到操作风险管理中;同时,为了体现流动性风险管理的重要性,我们还将流动性风险管理也单独成章。
内容变化
一方面,对原考纲的调研反映出,风险管理的基础部分应增加风险量化的基础知识和内容,据此,我们在第一章中增加了两节,一节是风险管理常用的概率统计知识,一节是风险管理的数理基础,这两节中由原考纲的部分内容及新增内容组成;另一方面,虽然现阶段我国商业银行面临的流动性风险不大,但是,由于流动性风险是商业银行面临的一个永恒风险,根据商业银行风险管理实际情况和需要,我们对有关内容也进行了充实。
逻辑优化
关于信用风险管理,调研反映,原大纲的第二节和第三节逻辑性不强,与实际操作差距较大,为此,在新大纲中,我们对原大纲中的信用风险评估与计量、信用风险控制等内容进行了归纳、重组,并增加了与实际操作关联度较大的内容,主要是将各种信用风险管理模型和技术纳入到客户信用评级、债项评级以及组合信用风险度量中,并增加了国家风险评级和新资本协议下信用风险的量化。同时,将信用风险控制的内容按管理流程重新组合成限额管理、信贷审批、贷后管理、经济资本配置、资产证券化与信用衍生产品五节。
关于市场风险管理,为了更加突出重点,我们将第一节的资产分类从第一部分调整到第三部分;为了强调各种计量方法的同等重要性,将原大纲中的第二节的第二、第三部分进行了合并,统一称为市场风险计量方法;为了强调经济资本配置在市场风险管理中的重要作用,我们将有关内容从第三节第三部分中分离出来,单独形成第四部分。
关于操作风险管理,为了与实际操作更加吻合,我们将原大纲评估与计量中的有关内容进行了拆分,将其中第三部分形成新大纲中的风险资本计量与资本配置,将其他内容合并到现大纲第三节第二部分,并将原大纲中的产品线控制改为主要业务风险控制。
风险管理的基本内容篇2
董事会在风险管理中的战略定位
公司治理是风险管理的基础
商业银行的战略目标是实现风险调整后收益的最大化,而有效的风险管理正是实现风险与收益平衡的基本途径。对银行而言,公司治理和风险管理之间存在密切联系,两者相辅相成。公司治理是实现风险管理的前提和基础,是有效推进风险管理的制度保证;反过来,风险管理也是公司治理的重要内容与核心任务。在公司治理的基础上,银行的风险管理要取得实效,还必须从战略、体制和机制等三个基本途径入手,构建起从宏观到微观、从硬件到软件、从理念到操作的一整套风险管理的传导机制,而这一切追根溯源又都要以完善的公司治理为基础。
董事会在风险管理中起主导作用
董事会作为股东代表,是银行风险管理的最终责任承担者。一旦银行的风险失控,董事会负有不可推卸的责任。统计显示,1990~2006年间倒闭的459家美国银行中,90%是由于董事的消极被动或决策失误所致。其中,倒闭的336家存贷款机构不同程度上存在董事、疏于谨慎的问题。新资本协议和全面风险管理框架,从不同角度描述了董事会推行风险管理的基本模式和总体要求,提出了设立战略委员会、风险管理委员会、审计委员会,由此构造多重风险防线体系,以确保经济资本的核心盾牌不被那些突发的不利事件击穿。
总之,对银行而言,公司治理是风险管理的基础,董事会是公司治理的核心,充分发挥董事会作用是增强风险管理能力的关键。与管理层相比,董事会在推进风险管理过程中应该表现出更突出的长期性、全局性、战略性和根本性特征。
董事会开展风险管理的基本条件
提升董事会风险管理的理念和能力
首先,要提高董事会成员的风险管理意识和理念,使每位董事都明确董事会在风险管理中的职责和任务,提高其工作上的主动性和服从内部控制的自觉性。其次,对董事会成员进行系统的风险管理培训,使之熟悉风险管理的知识、技术和方法,提高决策水平和工作能力。第三,通过优化董事会结构来达到提高风险管理水平的目的。比如,引入风险管理专家作为董事会成员;在董事会内部设立风险管理委员会;也可以在管理层设立直属董事会的首席风险官(CRo),将风险管理的任务和责任进一步分解,并由CRo监督Ceo及其他管理者的风险管理情况,董事会则通过对CRo进行监督来降低监督成本,提高风险管理的专业化水平和效率。
建立一套完整、规范的董事会风险管理流程
建立董事会的风险管理流程,是商业银行完善内控体系的基本要求,主要应从三方面入手:一是建立董事会决策范围内重大事项的风险识别、评估、决策、应对和后评价等一条龙的管理程序,将其载入公司章程,使之制度化、规范化;二是对高管层的风险管理状况进行程序化的督导;三是严格执行董事会集体决策制度,这已经被证明是董事会风险管理的一种有效方式,国内外不少银行经营失败的根源就在于没有很好地贯彻这一制度。
发挥董事会专门委员会的指导作用
目前,我国商业银行董事会的专业化建设还有待加强。从上市银行的信息披露中,很难发现董事会专门委员会的详细信息,说明上市银行对董事会专门委员会的作用认识还不够。董事会在银行内部控制和风险管理体系中的核心作用,只有通过不断增强其专业化来实现。实现“专业化”的主要途径之一就是设立专门委员会,通过专门委员会来协助董事会,甚至可以直接负责某一方面的工作。这种专业化制度将增强董事会监督银行运作的能力,并能提升董事会决策的质量。
商业银行风险管理可以由董事会下设的多个委员会共同承担。其中,风险管理委员会负责监督高级管理层关于信用、市场、操作等风险的控制情况,对风险管理状况进行完整的评估,提出改进风险管理和内部控制的指导意见。审计委员会侧重于事后监督评价,主要负责处理与财务报告及合规性有关的风险事项。与战略、市场、渠道、顾客、技术、供应链和其他运营事务有关的风险可由战略委员会和风险委员会共同负责。这三个委员会在风险管理过程中要充分协作配合,战略委员会重点负责事前风险控制,风险管理委员会重点负责事中控制,审计委员会主要负责事后控制;再加上关联交易委员会、提名委员会、薪酬委员会的协调配合,就可以在决策层形成一个比较全面的风险管理网络。
建立科学的董事会业绩评价体系和方法
银行要将董事会业绩评估作为公司治理的持续驱动力,通过实施科学而全面的业绩评估,及时发现董事会履职能力和履职效果方面的薄弱环节。科学的业绩评估体系有助于决策层协调风险与收益的平衡关系,促进董事会更加积极地推进风险管理工作,为股东创造更大价值。股东单位和银监会要对派出的专职董事进行客观和科学的评价考核,建立起有效的激励机制。2010年,银监会将出台一个对银行董事的评价考核办法,这是一次有益的探索,对于国内银行加强公司治理,促进董事会的提高履职能力具有重要意义。
对董事会的风险管理业绩考核可从董事会整体和董事个人两个层面进行。对于银行重大经营失误,若系董事会集体决策所致,应向董事会全体问责;若因个别董事不称职或违背内控原则而导致重大失误,则应当像更换行长一样,通过临时股东大会及时对其进行更换。业绩考核的具体方式可以采取自我警醒与外部考评相结合的机制。但不论是哪个层面或哪种方式,评价时都要注意不仅要看到董事会当期的、显性的业绩,还要科学评估业绩背后的对应的长期的、潜在的风险。
培育与发展战略相适应的风险管理文化
风险管理既是一门科学,又是一门艺术,但无论如何,它必须成为一种文化,融入到银行自身的“血液”中,才能真正发挥作用。风险文化建设是董事会有效开展风险管理的前提条件。董事会应着眼于银行的长远发展,成为风险管理文化建设的倡导者和推动者。董事和高级管理人员应投入足够精力,强化全行的风险意识,督导各部门、各业务条线、各分支机构树立全方位风险理念,使风险管理成为银行的活灵魂。要通过广泛的风险教育,培养所有员工对风险的敏感度,将风险意识贯穿到所有人员的自觉行动中,将风险管理作为一个动态过程融入公司经营管理全过程,并将其提升到一个战略高度。
董事会是推动风险管理的着力点
制订风险战略,确立风险偏好和容忍度体系
风险管理战略是商业银行整体发展战略中一个不可或缺的组成部分,其核心内容就是确定银行的风险偏好,并建立与之相适应的容忍度体系。风险偏好是银行对风险的基本态度,包括银行愿意承担何种风险,最多承担多少风险,以何种方式承担这些风险,是否准备承担新的风险,以及为了增加每一分盈利愿意多承担多少风险等等。风险偏好是战略性的,通常以定性描述为主。而风险容忍度是风险偏好的具体体现,是对风险偏好的进一步量化和细化。风险容忍度涵盖了信用风险、市场风险、操作风险、流动性风险等所有风险类别,通常包括一整套关键的控制指标,如目标资本覆盖率、VaR置信度、最低资本充足率、最低准入标准、授信集中度等。
董事会在确定风险战略和推动其实施过程中,应综合考虑以下因素:第一,风险战略必须与银行总体战略目标相一致。风险战略必须服从和服务于银行总体发展战略,为银行价值最大化目标服务。第二,风险战略需要根据银行所处的市场环境及自身发展阶段适当加以调整。随着这些内外部环境的变化,风险战略也要加以调整,以使其更贴近市场和银行实际。第三,风险战略确定以后,董事会应指导管理层,将风险偏好和风险容忍度分解到各种类别的风险限额管理中去,并以此为依据将风险战略体现在银行的资本管理、业务拓展、资源配置等各个方面,使全面风险管理在全行得以推进和实施。
完善风险治理架构,为全面风险管理提供体制保障
在风险战略确定之后,银行要通过公司治理架构,使风险战略由董事会传导到管理层,管理层再据此制订风险防范和内控措施,再传导到具体业务和经营层面,由此推动风险战略在全行贯彻落实。
风险治理的三道防线。从风险治理架构的横向看,董事会要构造多道防线组成的风险控制体系。该体系包括三道防线:第一道是前台业务部门,包括一线工作的营销人员、客户经理、产品经理和风险经理等,他们站在风险过滤网的最前端,是风险管理的基础力量;第二道防线是管理部门,包括信贷审批、贷后管理、预警监控、系统管理、政策研究、资产负债管理、法律合规等,这些综合管理部门形成了风险管理的中间力量;第三道防线是后台审计部门,包括内部审计和外部审计,它直接隶属于董事会,实施垂直化管理。
风险治理的上层架构。从风险治理架构的横向看,上层架构主要由董事会、高管层和监事会组成。董事会层面,重点是强化其决策职能,通过发挥专业委员会的作用来制订风险战略,核准高管层提交的风险政策和管理程序,并对管理层的风险管理活动进行监督。高管层负责实施董事会确定的各项战略、政策与制度,负责建立责权明确、报告线路清晰的组织结构,建立识别、计量和管理风险的程序,并实施健全有效的内部控制。监事会负责对董事会和高管层进行监督,保证银行的经营符合法律规定,减少道德风险和内部人控制。
风险治理的基层架构。风险治理的基层架构由各业务条线、各个分支机构组成。董事会的任务是在基层架构上建立起一个覆盖面广、相互联系、相互制约的控制体系,使上层架构确定的目标、政策、制度能在基层架构得到传达和落实。第一,风险管理条线要建立包括操作风险、市场风险、信用风险、资产负债、合规风险等在内的管理部门。第二,向营销条线派驻风险管理团队或专员,使之对风险管理部门直接汇报。第三,在分支机构中设立风险管理部门与岗位,并接受总行风险管理条线和分支机构的双重领导,实施矩阵式管理。第四,设立独立的审计监督部门,负责检查、评价风险管理和内部控制的健全性、有效性,审计部门直接向首席审计官和董事会审计委员会负责。
构建内控传导机制,增强风险管理的可执行性
在制定风险战略和完善风险治理架构的基础上,董事会还要通过建设一系列传导机制,解决风险治理的上层架构与基层架构之间的联接问题,使全面风险管理的决策系统、执行系统、监督系统有机衔接起来,保证风险管理的战略、政策、程序在全行得到有效贯彻和执行。当前,我国商业银行重点要从经济资本管理、激励约束和预警纠偏三方面来加强传导机制建设。
基于风险战略,建立经济资本管理机制。经济资本管理近年来在国际银行业得到广泛应用,它是银行内部优化资源配置、平衡风险与收益的核心机制。董事会所设定的风险偏好和风险容忍度,要落实到具体的资本计量上,并将资本在不同行业、产品、地区和客户等维度上进行交叉配置,以此体现银行的风险偏好,引导全行按照整体战略进行业务拓展、结构调整和战略转型。目前,对国内许多银行来讲,建设经济资本管理机制的重点是从计算信用风险的内部评级法入手,在加强信息系统建设、对业务数据进行积累和筛选的基础上,构建信用风险计量模型,计算预期损失和非预期损失。随着风险计量水平的提高,再逐步对市场风险和操作风险进行计量,并进行相应的经济资本配置,最终使资本覆盖所有风险类别。简单讲,经济资本管理机制的实施线路是:战略制订―风险计量―资本分配―业务发展和结构调整―评价考核―战略再调整。
围绕风险容忍度建立预警纠偏机制。董事会应重视风险管理的过程控制,除了经济资本管理机制和激励约束机制以外,还要建立风险预警与纠偏机制,以便对各类潜在风险做到及时发现、及时反馈、及时应对,保证董事会战略决策的执行效果不打折扣。风险容忍度既是银行风险偏好的具体体现,也是各条线风险限额执行情况的汇总反映,起着承上启下的作用,可以作为董事会进行风险管理的战略工具和传递机制。管理层应定期向董事会报送风险容忍度的动态数据,分析评价总体风险状况和关键风险点。在必要时管理层要组织现场检查,核实数据背后的实际风险状况,根据容忍度执行数值,有针对性地进行风险排查。如果风险容忍度被突破或即将被突破,就表明风险管理出现了整体性问题,而不是局部问题。此时,管理层须立即向董事会报告,风险管理委员会要作出专业分析和明确指导,同时责成管理层采取行动,以控制风险态势的蔓延。围绕风险容忍度建立起上述预警纠偏机制,能够使董事会的风险管理由一种结果式的管理转变为过程性管理,使之不仅能够传达政策导向,还能对风险动态进行敏锐的预警和前期控制。
从上述传导机制看,董事会重点要抓住“一头一尾”,即事前建立风险偏好体系,事后进行考核监督;同时,在风险管理过程中引入预警纠偏机制,从而使董事会的风险管理具有更强的可执行性。
董事会当前应关注的主要风险点
以董事会为主导的风险治理,是一种宏观层面的战略性风险管理,应着重控制源于外部的系统性风险、公司治理本身的风险以及经营管理中的关键风险点。年初,董事会在预算案之前,应对全年经济金融形势作出判断,并结合国家经济政策导向以及同业竞争格局,确定年度风险控制要点,并提出基本应对原则和要求,为全行风险管理谋篇布局、指明方向。当前,董事会及其风险管理委员会应抓大放小,重点控制好几个风险点。
防范战略风险
董事会要重点关注战略风险。战略的风险不是风险的战略,它是由于战略失误导致的风险损失,往往是重大损失。战略风险包括三个情况:一是由于没有战略而形成的风险;二是有战略但没有执行的风险;三是战略错误而形成的风险。董事会有责任为银行发展制订一个正确的战略,并且保证这一战略得到有效执行。银行的战略应该是董事会的战略,而不是管理层的战略,这是公司治理的基本理念。董事会不仅要花精力制订战略,还要每年进行重检,并根据实际情况加以动态调整。
提高资本管理水平
资本管理是董事会进行风险治理的一项重点工作。其中,资本充足率管理是商业银行可持续发展的核心要素,也是外部监管和市场约束的着力点。商业银行要注重从“分子”和“分母”两个方面,做好这项工作。一方面,管理层要管好“分母”,因为资本是一个外生变量,是银行的硬约束,管理层应通过优化业务结构、改善资产组合,以及应用各种衍生工具等方法加强对风险资产的管理和调控,使之与现有资本相适应,并达到监管标准和董事会的要求。另一方面,董事会还要管好“分子”。既要建立资本补充机制,使资本数量达到管理要求,又要不断优化资本结构,提高资本质量,降低融资成本,将资本充足率稳定在一个有利于持续发展的水平。当然,董事会也要积极参与“分母”的管理,包括审定银行的中长期发展战略、信贷投向政策、资产组合策略等。董事会应促进和鼓励管理层不断提升资本管理水平,从账面资本管理到监管资本管理,再到经济资本管理,要不断地提高管理的精细化程度。
控制集中度风险
近年来,国内商业银行风险集中度不断上升。2009年,随着新一轮信贷大规模投放,风险集中度问题更为突出。1~11月,60%以上的新增贷款投向政府融资平台或相关项目。其中,不少项目资质不全、前景黯淡,偿还能力不足,这对以后的信贷资产质量留下了很大隐患。董事会应对此高度重视,要开展全行范围的检查整顿,采取必要的防范措施:第一,各项指标必须达到了银监会规定的集中度底线;第二,严格控制对县以下融资平台发放贷款,禁止打包贷款,加大对政府项目背景贷款的审查力度,加快相关信用评级工具的开发;第三,加强相关资产的证券化工作,推动新避险工具的研发;第四,建立了集中度管理的长效机制,明确并落实了部门职责、管理流程和报告线路;第五,加强贷后管理,防止了信贷集中度向高风险行业、地区和产品迁移。
推进新资本协议的实施准备
受金融危机影响,巴塞尔新资本协议的实施进度在全球范围内有所放缓,但这并不能影响我国商业银行在正确的方向上持续地向前推进。因为,实施新资本协议是具有战略意义的:第一,可以提升银行的市场形象,对上市和开展新业务都有好处;第二,可以提高风险管理的技术水平和精细化程度;第三,可以改善资本管理,提高资本效率,为银行发展提供后劲。长期以来,许多银行的高管层对这项工作的意义认识不足,很难形成一个推进的合力。董事会在这方面要看得更远一些,应该给予必要的支持和推动。
内控体系建设
近年来,国内商业银行发展速度很快,业绩也不错,这是值得肯定的,但这也掩盖了不少矛盾和缺陷。其中,内控体系薄弱是一个比较普遍的现象。内控体系是商业银行风险管理的基础,董事会不仅要亲自抓,而且要常抓不懈。在这方面,风险委员会和审计委员会要明确分工、密切协作,发挥合力。内控体系建设和内控活动是风险管理的第二条防线,由风险管理部门负责;而审计是风险管理的第三防线,它负责对内控体系进行评价和监督,是银行内部以第三方角度,对内控体系及执行情况进行自觉的、常规的监督、评价和修正。实践表明,商业银行内控体系建设是一个难点,很容易做得华而不实,所以需要董事会风险委员会和审计委员会共同加以治理,管理层的和后台相互配合,这样才能收到比较好的效果。
控制衍生品交易风险
前一时期,国内银行在国际市场上做了不少资金交易,有些交易工具设计复杂、杠杆率高、临界点容易被击穿。一旦国际市场行情恶化,会给银行带来难以承受的巨额损失。金融危机爆发后,国内银行衍生品业务出现了较大亏损。董事会应对此给予关注,要提足减值准备,密切监控风险变化;必要时应果断平盘;也可以聘请外部专业机构,对衍生品风险进行专业评估。董事会应责成管理层,在控制风险蔓延势头的条件下,对相关业务流程进行了深入整改。目前,随着国际金融市场回暖,国内银行衍生品业务已经逐步趋于正常,风险损失基本可控,但董事会和管理层应从中吸取教训,加强内控建设,提高专业技术水平,将来要把金融衍生产品做得更好,而不是因噎废食、止步不前。
风险管理的基本内容篇3
关键词:电力企业,风险管理,定量风险评估
0、引言
电力作为高风险产业,不仅源于其公用事业属性,以及技术资金密集、供求瞬时平衡、生产运行连续等特征,同时电力项目投资额巨大、建设周期长、沉没成本高,而且,随着电力体制改革和电力市场建设进程的深入,市场主体越来越多,电力交易关系复杂,不同主体之间协调困难,电力行业规划建设、生产经营的不确定性加大、电力市场风险增加。根据“十一五”期间电力体制改革的任务,面对我国电力市场化发展的现状,增强风险意识,树立风险观念,加强风险管理将是电力企业的重要任务。本文在阐述了企业风险管理基本框架流程及其主要内容的基础上,提出电力企业定量风险评估的主要内容及方法,以期推动电力系统风险管理工作的开展。
1、风险管理的主要内容
风险作为客观存在,要求人们考察研究风险时,要从决策角度认识到风险与人们有目的活动、行动方案选择及事物的未来变化有关。风险的形成过程和风险的客观性、损失性、不确定性特征共同构成风险形成机制分析和风险管理的基础。
人们一般对风险持厌恶态度,都想减小风险损失,追求风险与收益的均衡优化。风险管理的提出与发展与企业发展状况、社会背景密不可分。风险管理作为一门管理学科,首先在美国应运而生,之后传到西欧、亚洲、拉丁美洲。美国大多数企业都设置专职部门进行风险管理,许多大学的工商管理学院都开设风险管理课程。风险管理作为一门科学与艺术,既需要定性分析,又需要定量估计;既要求理性,又要求人性;不但需要多学科理论指导,还需要多种方法支持。
源于风险意识的风险管理主要包括风险分析、风险评价与风险控制三大部份。根据风险形成的过程,风险分析需要进行风险辨识、风险估计。风险估计需要进行频率分析与后果分析,而后果分析又包括情景分析与损失分析。通过风险分析,可得到特定系统所有风险的风险估计,对此再参照相应的风险标准及可接受性,判断系统的风险是否可接受,是否采取安全措施,这就是风险评价。风险分析与风险评价总称为风险评估。为进行风险定量化估算,要进行定量风险评估(QuantitativeRiskassessment—QRa)。在风险评估的基础上,针对风险状况采取相应的措施与对策方案,以控制、抑制、降低风险,即风险控制。风险管理不仅要定性分析风险因素、风险事故及损失状况,而且要尽可能基于风险标准及可接受性对风险进行定量评价。对于以盈利为目的的工业企业也希望将风险损失价值化并给出货币衡量标准。风险管理就是风险分析、风险评价、风险控制三者密切相联的动态过程,见图1。
2、风险管理的组织实施与基本流程
为有效实施风险管理,企业应由专门的组织及相关人员按一定程序组织实施风险管理工作。据《幸福》杂志对美国500多家大公司的调查知,84%的公司由中层以上的经理人员负责风险管理。风险管理的趋势是董事会下属设立风险管理委员会全面负责公司风险管理,组织实施的流程是:①制定风险管理规划;②风险辩识;③风险评估;④风险管理策略方案选择;⑤风险管理策略实施;⑥风险管理策略实施评价。
3、电力企业定量风险评估(QRa)
电力企业QRa的建立与发展从内部来看,不仅已有可靠性分析、安全分析、质量管理、项目管理等各专业分析作基础,从外部而言有电力用户、政府与社会公众、咨询机构等众多相关主体的关注。电力企业QRa对企业的作用主要体现在:通过QRa有利于企业将风险水平控制在规定标准的风险水平之内,并符合最低合理可行原则;通过开展QRa可帮助企业全面识别风险,并按轻重缓急排序,以有助于管理者将精力、财力、物力集中于风险控制的重要紧急领域,使风险管理决策更为合理、效果更好、成本最小;通过对各种风险控制方案或安全改进措施进行QRa,使决策者对方案措施进行优劣选择,为公司提出决策支持。电力企业的风险将对其它企业和主体带来连带影响,并产生放大效应,电力系统安全、可靠、高效、优质是各行各业和政府管理部门共同的愿望。电力企业实施QRa具有现实意义。
3.1 电力企业QHa的基本框架模式
电力企业QRa是指在工业系统QRa的基础上,考虑电力系统的技术经济特点及运行规律,结合电力体制改革及电力市场化进程而以概率模型表征的全面风险管理理论方法。为便于实施风险管理,保证风险评估质量,满足风险评估过程各阶段的不同要求,构建如图3所示的适用于电力企业QRa的基本框架模式。在具体实施时,允许依实际情况而有所改变。
3.2 电力企业QRa的主要工作内容
(1)确定目标及范围。包括风险管理的目的与意义,待分析系统的设备配置、工作流程、资金、人员、管
理、信息、地区、人文环境等,即确定QRa实现目标和实施条件等。
(2)风险辨识。即找出待评价系统中所有潜在的风险因素,并进行初步分析,通过安全检查看系统是否达到规范要求。风险辩识的基本途径有历史事故统计分析、安全检查表分析、风险与可操作性研究(HZopS)、故障模式与影响分析(Fmea)、故障模式影响及危急分析(FmeCa)、故障树分析(eta)、事故树分析(eta)、风险分析调查表、保单检视表、资产风险暴露分析表、财务报表、流程图、现场检查表、风险趋势估计表等。为配合保险公司对出险事项的处理,可采用从下至上的归纳法、从上至下的演绎法及两者综合运用。针对特定风险,可选用基于系统平面布置的区域分析、隐含事件分析、德尔菲法及基于事故树分析的风险事故网络法等。风险辩识不只局限于系统硬件,还应考虑人为因素、组织制度等系统软件。
风险综合集成是指对所有风险按其特性类型分门别类加以汇总整理。因电力工业特点及电力市场化改革特点,把电力系统风险按厂网分开的行业结构进行分类。
对于发电企业而言,主要有电源规划风险、报价竞价上网风险、供求平衡风险、市场力抑制风险、备用容量风险、信用风险、法律风险、项目风险、中介机构风险等。对于电网企业而言,主要有电网规划风险、电网融资风险、购电电价风险、电力交易转移风险、辅助服务风险、成本分摊风险、输电阻塞风险、输电能力风险、备用率风险、电力监管风险等。另外,电力企业还将面临电力可靠性、安全性、稳定性风险及电能质量风险等。
风险管理的基本内容篇4
关键词企业内部审计控制体系风险管理
一、企业内部审计与风险管理的关系
内部审计与风险管理都是企业内部控制的重要内容,对于规范企业经济活动,减少经营风险,实现资源高效配置有着积极作用。在企业管理中,内部审计与风险管理存在着必然联系,具体表现为:
(一)内部审计在风险管理中的地位
对于企业而言,其在经营过程中不可避免地会面临各种风险,通过内部审计能够对经营风险起到一定的防控和治理,可见,内部审计在企业风险管理中有着非常重要的地位。在市场经济的背景下,企业的内部审计将各项经营及投资活动一并纳入到了市场竞争环境当中,借助专业、系统的审计方法,对企业的经营和投资进行全面、具体的财务分析以及详实、可靠的评估与预测,并针对企业经营与投资中可能面临的风险进行防控与管理,由此不但可以使企业的各项经济活动的成效性有所增加,而且还能进一步提升企业的总体收益和利润。
(二)内部审计在风险管理中的作用
风险存在于企业经营、投资的全过程当中,风险管理的最终目的就是预防和控制风险,而内部审计在企业风险管理中的作用具体体现在如下几个方面:一是在风险管理范围确定中的作用。企业的主要风险来源于经营和投资活动,这种风险具有一定的可控性。内部审计是企业把控全局的重要方式之一,其除了能真实反映出企业的经营与财务状况外,还能通过对内部经济活动各个环节的控制,对企业的风险问题进行正确评估,并就风险可能存在的范围及其影响程度进行预测,从而提高企业的风险管理水平,降低经营成本。二是在风险识别与分析中的作用。内部审计可以通过不同的风险分析方法对企业的内外部风险因素进行识别,为风险管理层应对风险提供依据。三是在风险评价中的作用。内部审计能够对企业经营管理层制定的政策进行风险预测与评估,有助于经营决策的完善。四是在风险处理中的作用。内部审计是风险处理过程中的关键环节之一,可对风险处理方法进行监督评价,并提出改进建议,有助于企业风险处理水平的提升。五是在风险反馈中的作用。内部审计是控制企业管理的一种有效方式,它可以反馈各种风险信息,对企业经营活动的有序进行具有积极的促进作用。
(三)内部审计与风险管理的融合
随着全球经济一体化进程的不断加快,使得企业间的竞争日趋激烈,由于受各种因素的影响,导致企业经营、投资活动的不确定性有所增加,在这一前提下,为确保企业稳定、持续发展,就必须加强企业内部审计与风险管理的融合。从目前的总体情况上看,企业内部审计与风险管理之间的联系越来越紧密,实践证明,行之有效的内部审计能够减轻审计委员会的工作压力,其立足于企业战略和经营风险的管理,并通过风险识别、分析、评估、处理等环节,将审计的协调、监督作用融入风险管理的审计程序当中。
二、构建基于风险导向的内部审计质量控制体系
企业应构建起基于风险导向的内部审计质量控制体系,明确内部审计的职能,强化对风险管理过程的检查、监督和评价,一方面完善内部审计机制;另一方面加强企业风险防范。
(一)设立内部审计委员会
企业应当设置独立的内部审计委员会,并由其全权负责外部审计师的聘任和解聘,同时辅助外部审计师开展相关工作。可由审计委员会对企业内控制度、风险管理制度以及财务报告进行全面审查,并对审计工作进行监督、指导,协调内审与外审之间的关系,为董事会使用和披露财务信息提供可靠保障。企业在设立内部审计委员会的过程中,应当本着成本费用合理、工作过程独立的原则,这样能够使内部审计委员会在企业风险管理中的作用得以充分发挥,从而为企业创造出一个良好的内部环境,有助于提升企业抵御风险的能力。
(二)确定风险容忍度
所谓的风险容忍度具体是指企业经营、投资时,在实现预定目标的过程中对存在风险的接受程度。相关研究结果表明,企业对风险的容忍度越大,对风险的承受能力就越强。企业的内审人员可按照本企业当前所处的经营环境、资本结构等条件,对风险容忍度进行确定,同时找出可能会给企业经营带来威胁的所有风险,分析风险的权重,确定出威胁最大的风险,针对这些风险进行容忍度量化分析,进而确定出企业可接受的风险范围,并采取有针对性的措施应对风险,降低风险对企业经营投资活动的影响,提高企业效益。
(三)加强风险识别与评估分析
在风险管理中风险识别是关键环节,它是对企业潜在风险的判断及对风险性质的鉴定。在风险识别过程中,先要对风险进行定性,这就要求内审人员应当熟悉企业的经营管理过程,并以风险的评估分析为立足点开展具体工作,从而有效地对风险进行识别。企业可结合自身的实际情况,合理制定风险管理审计计划,该计划中应当包括以下内容:财务风险管理审计计划、市场风险管理审计计划、人事风险管理审计计划、会计风险管理审计计划以及其它风险管理审计计划。此外,审计委员会应当对风险识别的完整程度加以关注,具体而言就是企业经营投资过程中所面临的主要风险是否全部被识别出来,确认没有遗漏后,便可通过收集资料,运用科学技术,采取定性与定量相结合的方式,对这些风险的发生的可能性、频繁度以及影响程度进行评估,并对相关的风险管理审计计划进行分别评估,进而确定出企业总体风险的大小。内部审计委员会还应当对评估结果进行复验,看结果是否恰当,并对不恰当的情况进行更正,提出相应的改进建议,提升风险管理水平,降低风险给企业造成的损失。
(四)做好风险应对与监督
企业的内部审计人员应当做好风险的应对与监督工作。首先,内审人员可依据企业的风险容忍度,制定合理可行的风险应对策略,确保制定出来的策略能够有效规避、转移、缓解风险。其次,审计委员会应当认真检查各部门针对风险采取的行动,看是否充分、得当,如果发现某些风险缺乏控制措施时,应按照具体情况提出相应的措施和建议,借此来强化风险管理防范,从而降低企业的风险损失。再次,由于风险本身具有可变性的特点,其数量及发生的可能性会随着企业内部和外部环境的变化而改变,为此,应当对风险进行持续监控,这是提升风险管理水平较有效的途径之一。审计委员会可通过对各类风险的持续监控,使企业明确风险处理中应重点加强的环节,由此能够使企业进一步明确风险管理的作用和价值,这不但能够为风险评估提供依据,而且还有利于成本费用的控制。
三、案例分析
a公司为股份有限公司成立于1993年2月2日,主要经营业务为建设与维修电厂、电力行业技术服务、生产销售电力与热力、生产销售电力仪器等。2006年9月,a公司进行股权分置改革,由B集团公司持有21.15%的a公司股本。a公司于2003年设立了审计委员会,由董事会选举产生委员会委员,明确了审计委员会的职责权限,但是未将风险管理纳入到内部审计范围内,使得a公司在经营管理中面临着较大风险。为此,应当建立起基于风险导向的内部审计质量控制体系,具体措施如下:
(一)完善a公司内部审计组织模式
从a公司内审委员会的人员结构、规模设计以及任职条件等方面来看,全部符合内审委员会的设立要求,但从具体职责和权限上看,仍需要进一步完善。可将企业风险管控加入到内审委员会的职责权限当中,并赋予其一定的权利,确保相关工作的有序开展。在a公司审计委员会下设内部审计部门,负责对公司经营面临的风险进行识别、分析,并提出应对建议。
(二)识别a公司风险
通过风险调查法和财务报表法,审计部门对a公司当前面临的风险因素进行识别,从而得出企业面临的主要风险有以下几种:一是外部经济形势。因中央政府实施了紧缩货币政策,从而给企业资金流量带来了压力,影响了企业对长期项目的投资计划。二是原材料价格。电煤价格上涨导致经营空间缩小,同时煤电价格联动政策未再实行使企业经营面临更大的困难。三是电力产品销售。由于煤电联动政策没有实施,致使煤炭涨价增加的成本全部由企业自行承担,导致企业经营业绩下滑。
(三)确定a公司风险容忍度
审计部门在对a公司面临的主要风险因素进行分析后,结合企业当前所处的经营环境,将企业目前的风险容忍度确定为较低水平,企业面临的风险较高,已经无法再容忍错报的发生。于是向审计委员会建议a公司必须进一步提升风险管理水平,并规避和转移风险,审计委员会采纳了审计部门的这一建议。
(四)落实a公司风险应对措施
通过风险识别和容忍度的确定,审计部门针对风险点,采取相应的措施,使识别到的风险降至可接受的水平。其一,在外部经济风险的应对中,在审计部门的建议下a公司采取了缩短应收电热费的回收期;减少陈欠电费积压;多举借短期借款,抛售中长期借款;创新融资渠道等措施。其二,在原材料价格风险的应对中,审计部门建议实施一把手工程,对燃料管理体系进行了规范,同时加强与煤矿和铁路运输部门的协调,并加大对来煤结构的调整,确保了充足的煤量,煤价上涨得到了有效控制。其三,在产品销售风险的应对中,审计部门建议企业加大市场开拓力度,争取发电量计划,落实电量指标转移,向有关部门反映电价偏低等问题,争取提高电价。
四、结论
企业应深入研究内部审计与风险管理之间的联系,结合风险管理理论和内部审计框架,构建起基于风险导向的内部审计质量控制体系,既有利于丰富内部审计内容,提高内部审计工作效率,充分发挥内部审计在风险管理中的作用,又有利于提升企业风险管理水平,强化对风险的监督控制,提高企业风险防范能力。
(作者单位为清源科技股份有限公司)
参考文献
[1]栾姗迟.审计风险产生的原因及风险防范[J].现代经济信息,2013(9):121-123.
[2]孙宝厚.关于全面审计质量控制若干关键问题的思考[J].审计研究,2012(8):39-42.
[3]杨莉.风险导向内部审计在我国企业风险管理中的应用研究[J].长沙理工大学学报,2012(10):84-86.
风险管理的基本内容篇5
关键词:内部会计控制;理论基础;目标定位;风险组合观;风险偏好
二、内部会计控制的目标定位
在古典企业理论看来,企业追求的是在既定生产函数的技术约束,和既定的投入产出品价格的经济约束,以及既定的需求函数的市场约束下的利润最大化。古典企业理论的主要缺陷在于其对信息的完全假设,以至它根本没有必要去关注企业内部具体的结构及激励问题,公司治理基本上不具有任何意义。现代企业理论是在对古典企业理论的反思和不满中发展起来的,现代企业理论的一个核心观点是,企业是一系列(不完全)契约的有机组合。契约理论之先河由科斯开辟,科斯依据交易和交易费用来阐释企业的性质,认为企业是生产要素的交易,确切地说是劳动与资本的长期权威性的契约关系。契约理论在20世纪70年代取得较大的发展,逐渐衍生出理论,理论又分为成本理论和委托—理论两类。
企业作为一系列契约的联结,存在复杂的委托—关系,客观上要求会计系统反映人的受托经管责任,从而形成了以受托责任为目标取向的会计目标—受托责任观。有些学者用实证研究方法来解释会计目标,认为会计是作为企业契约监督工具而产生,因此,会计目标就是降低企业作为一系列契约的联结—契约成本(包括签约成本和监督成本等)。受托责任观认为会计的目标就是以恰当的方式有效反映资源受托人的受托经管责任及其履行情况,会计人员从客观的立场上参与到委托—关系之中,其行为不受资源委托人和受托人的影响,只受会计准则的约束,强调会计信息的可靠性。
二、内部会计控制的目标定位
首先,内部会计控制的目标定位为提供真实可靠的会计信息,既能发挥会计工作的核算和监督职能,也能为提高企业经济效益提供真实的会计信息,充分体现会计的管理职能,有利于会计控制向管理控制的有效过渡与结合。其次,这一目标定位是当前经济环境下的可行目标,这并不意味着内部会计控制的目标一成不变。内部控制发展的国际趋势是内部会计控制和内部管理控制不断融合,随着外部环境的不断变化,内部会计控制或者说内部控制的目标也一定会随之变化而不断提升。再次,企业经营活动日趋复杂,产生了大量的财务信息和非财务信息,财务信息通过会计核算和控制能够比较准确的提供给决策者,很多有价值的非财务信息会影响信息使用者的决策,但却不能通过会计系统明确的反映出来,有些问题还在进一步探讨中,如对商誉的确认和计量问题。
三、内部会计控制与公司治理结构的关系
1.公司治理结构是内部会计控制的环境和前提。企业是一种创造财富的有效机制,公司治理和公司管理都是这种有效机制的组成部分,两者的结合构成了企业系统。作为内部控制核心的内部会计控制在公司制度安排中担任内部管理监控的角色,成为公司管理中不可缺少的部分。内部会计控制的基本目标之一是确保企业生成真实与公允的会计信息,使其符合公认会计准则的要求。但是,在现代企业的委托一关系中,最为突出的矛盾是双方目标不一致和信息不对称,委托人希望通过经营获利使资产增值,但是他却不能直接地进行管理和经营,只能通过会计信息间接控制;人直接控制企业的经营过程和会计信息的生成,他希望由此解脱受托经管责任并获得期望报酬。
2.内部会计控制是公司治理结构的重要组成部分。公司治理结构是现代公司制的核心。公司制使所有权与经营权相分离,在这种分离的基础上,由于所有者和经营者之问的信息不对称,导致各相关利益主体地位的不对等。
内部会计控制是公司治理结构的重要组成部分,良好的内部会计控制是正确处理企业利益相关方关系、完善公司治理的重要保证。公司治理结构分为外部治理结构与内部治理结构。外部治理结构受资本市场、融资市场、经理人市场等因素的影响,内部治理结构受各利益相关方权力制衡的影响,良好的内部会计控制是这些权力制衡的重要手段。
四、企业内部会计控制的主要内容
1.内部会计控制的主体和对象。企业内部会计控制的主体是企业内部会计监管机构和会计人员,其控制原则是在会计机构及会计人员处理会计业务过程中贯彻进行的,其对象则涵盖了企业的一切经济活动。
2.内部会计控制最基本的原则——内部牵制:不相容职务之间的分离。不相容职务之间的分离是建立和实施内部会计控制的基本原则,也是内部会计控制的核心要素。其实质是根据不相容职务设置的要求,明确相关人员的职责权限,使其在各自的职权范围内相互交叉、制约,进而在各自授权范围内行使职权和承担责任,借以防止和发现经济业务与会计处理过程中可能出现的差错和舞弊行为。
3.内部会计控制体系包含的具体业务。(1)内部组织机构的控制制度。企业应健全和强化内部组织机构,它是企业经济活动进行计划、指挥和控制的组织基础,其核心问题是合理的职责分工。(2)实物控制。实物资产内部控制的基本原则是:建立实物资产管理的岗位责任制度,对实物资产的验收入库、领用、发出、盘点、保管及处置等关键环节进行控制,防止各种实物资产被盗、毁损和流失。(3)销售与收款控制。应当在制定商品或劳务等的定价原则、信用标准和条件、收款方式等销售政策时,充分发挥会计机构和人员的作用,加强合同订立、商品发出和账款回收的会计控制,避免或减少坏账损失。(4)采购与付款控制。应当合理设置采购与付款业务的机构和岗位,建立和完善采购与付款的会计控制程序,加强请购、审批、合同订立、采购、验收、付款等环节的会计控制,堵塞采购环节的漏洞,减少采购风险。(5)对其他重大财务事项的内部控制。企业融资方案、对外投资以及对外担保等重大财务事项也应加强内部控制。对外投资业务必须合理分工,一项投资业务可分为授权、执行、记录和保管等,应由不同部门的人员执行,对于重大事项应有单位领导集体审批。(6)成本费用控制。应当建立成本费用控制系统,做好成本费用管理的各项基础工作,制定成本费用标准,分解成本费用指标,控制成本费用差异,考核成本费用指标的完成情况,落实奖罚措施,降低成本费用,提高经济效益。
五、内部会计控制理最新发展——CoSo理论对内部会计控制理论的影响
内部控制理论是在实践中逐步产生、发展和完善起来的。自1992年以来,该内部控制框架已经被世界上许多企业所采用,但理论界和实务界纷纷对内部控制框架提出一些改进建议,强调内部控制框架的建立应与企业的风险管理相结合。新的企业风险管理框架就是在《内部控制整体框架》报告的基础上,结合《萨班斯一奥克斯法案》(Sar-banes-oxleyact)在报告方面的要求,进行扩展研究得到的。概括地说,相对于内部控制框架而言,新的CoSo报告新增加了一个观念、一个目标、两个概念和三个要素,即“风险组合观”、“战略目标”、“风险偏好”和“风险容忍度”的概念以及“目标制定”、“事项识别”和“风险反应”要素。对应风险管理的需要,新框架还要求企业设立一个新的部门——风险管理部。
新的风险管理框架比起内部控制框架,无论在内容还是范围上都有所扩大和提高,具体表现在:
1.提出了一个新的观念:风险组合观。企业风险管理要求企业管理者以风险组合的观点看待风险,对相关的风险进行识别并采取措施使企业所承担的风险在风险偏好的范围内。对企业内的每个单位而言,其风险可能落在该单位的风险容忍度范围内,但从企业总体来看,总风险可能超过企业总体的风险偏好范围。因此,应从企业总体的风险组合的观点看待风险。
2.增加了一类目标:战略目标,并扩大了报告目标。企业风险管理框架也包含类似内部控制框架的经营、财务报告和合法性三个目标,但是财务报告目标的界定则有所区别。内部控制框架中的财务报告目标只与公开披露的财务报表的可靠性相关,而企业风险管理框架中的报告目标的范围有很大的扩展,该目标覆盖了企业编制的所有报告。此外,企业风险管理框架比内部控制框架增加了一个目标:战略目标。该目标的层次比其他三个目标更高。企业的风险管理在应用于实现企业其他三类目标的过程中,也应用于企业的战略制定阶段。
3.针对风险度量提出了两个新概念:风险偏好和风险容忍度。从广义上看,风险偏好是指企业在实现其目标的过程中愿意接受的风险的数量。企业的风险偏好与企业的战略直接相关,企业在制定战略时,应考虑将该战略的既定收益与企业的风险偏好结合起来,目的是要帮助企业的管理者在不同战略间选择与企业的风险偏好相一致的战略。风险偏好的概念是建立在风险容忍度概念基础上的。风险容忍度是指在企业目标实现过程中对差异的可接受程度,是企业在风险偏好的基础上设定的对相关目标实现过程中所出现差异的可容忍限度。在确定各目标的风险容忍度时,企业应考虑相关目标的重要性,并将其与企业风险偏好联系起来。
4.增加了三个风险管理要素,对其他要素的分析更加深入,范围上也有所扩大。企业风险管理框架新增的三个风险管理要素,即“目标制定”、“事项识别”和“风险反应”。此外,针对企业将管理的重心移至风险管理,风险管理框架更加深入地阐述了其他要素的内涵,并扩大了相关要素的范围。
参考文献:
[1]储稀梁.CoSo内部控制整体框架:背景、内容、理论贡献与启示[J].金融会计,2004.
[2]杨有红,胡燕.试论公司治理与内部控制的对接[J].会计研究,2004,(10).
风险管理的基本内容篇6
关键词:网络审计 历史财务报表审计 信息安全管理 风险评估
一、引言
从审计的角度,风险评估是现代风险导向审计的核心理念。无论是在历史财务报表审计还是在网络审计中,现代风险导向审计均要求审计师在执行审计工作过程中应以风险评估为中心,通过对被审计单位及其环境的了解,评估确定被审计单位的高风险领域,从而确定审计的范围和重点,进一步决定如何收集、收集多少和收集何种性质的证据,以便更有效地控制和提高审计效果及审计效率。从企业管理的角度,企业风险管理将风险评估作为其基本的要素之一进行规范,要求企业在识别和评估风险可能对企业产生影响的基础上,采取积极的措施来控制风险,降低风险为企业带来损失的概率或缩小损失程度来达到控制目的。信息安全风险评估作为企业风险管理的一部分,是企业信息安全管理的基础和关键环节。尽管如此,风险评估在网络审计、历史财务报表审计和企业信息安全管理等工作中的运用却不尽相同,本文在分析计算机信息系统环境下所有特定风险和网络审计风险基本要素的基础上,从风险评估中应关注的风险范围、风险评估的目的、内容、程序及实施流程等内容展开,将网络审计与历史财务报表审计和信息安全管理的风险评估进行对比分析,以期深化对网络审计风险评估的理解。
二、网络审计与历史财务报表审计的风险评估比较
(一)审计风险要素根据美国注册会计师协会的第47号审计标准说明中的审计风险模型,审计风险又由固有风险、控制风险和检查风险构成。其中,固有风险是指不考虑被审计单位相关的内部控制政策或程序的情况下,其财务报表某项认定产生重大错报的可能性;控制风险是被审计单位内部控制未能及时防止或发现财务报表上某项错报或漏报的可能性;检查风险是审计人员通过预定的审计程序未能发现被审计单位财务报表上存在重大错报或漏报的可能性。在网络审计中,审计风险仍然包括固有风险、控制风险和检查风险要素,但其具体内容直接受计算机网络环境下信息系统特定风险的影响。计算机及网络技术的应用能提高企业经营活动的效率,为企业的经营管理带来很大的优越性,但同时也为企业带来了一些新的风险。这些新的风险主要表现为:(1)数据与职责过于集中化。由于手工系统中的职责分工、互相牵制等控制措施都被归并到计算机系统自动处理过程中去了,这些集中的数据库技术无疑会增加数据纵和破坏的风险。(2)系统程序易于被非法调用甚至遭到篡改。由于计算机系统有较高的技术要求,非专业人员难以察觉计算机舞弊的线索,这加大了数据被非法使用的可能性。如经过批准的系统使用人员滥用系统,或者说,企业对接近信息缺乏控制使得重要的数据或程序被盗窃等。(3)错误程序的风险,例如程序中的差错反复和差错级联、数据处理不合逻辑、甚至是程序本身存在错误等。(4)信息系统缺乏应用的审计接口,使得审计人员在审计工作中难以有效地采集或获取企业信息系统中的数据,从而无法正常开展审计工作。(5)网络系统在技术和商业上的风险,如计算机信息系统所依赖的硬件设备可能出现一些不可预料的故障,或者信息系统所依赖的物理工作环境可能对整个信息系统的运行效能带来影响等。相对应地,网络审计的固有风险主要是指系统环境风险,即财务电算化系统本身所处的环境引起的风险,它可分为硬件环境风险和软件环境风险。控制风险包括系统控制风险和财务数据风险,其中,系统控制风险是指会计电算化系统的内部控制不严密造成的风险,财务数据风险是指电磁性财务数据被篡改的可能性。检查风险包括审计软件风险和人员操作风险,审计软件风险是指计算机审计软件本身缺陷原因造成的风险,人员操作风险是指计算机审计系统的操作人员、技术人员和开发人员等在工作中由于主观或客观原因造成的风险。
(二)风险评估目的无论在网络审计还是历史财务报表审计中,风险评估只是审计的一项重要程序,贯穿于审计的整个过程。与其他审计程序紧密联系而不是一项独立的活动。尽管如此,两者所关注的风险范围则有所不同。历史财务报表审计的风险评估要求审计人员主要关注的是被审计单位的重大错报风险――财务报表在审计前存在重大错报的可能性。由于网络审计的审计对象包括被审计单位基于网络的财务信息和网络财务信息系统两类,因此审计人员关注的风险应是被审计单位经营过程中与该两类审计对象相关的风险。(1)对于与企业网络财务信息系统相关的风险,审计人员应该从信息系统生命周期的各个阶段和信息系统的各组成部分及运行环境两方面出发进行评估。信息系统生命周期是指该信息系统从产生到完成乃至进入维护的各个阶段及其活动,无论是在早期的线性开发模型中还是在更为复杂的螺旋式等模型中,一个信息系统的生命周期大都包括规划和启动、设计开发或采购、集成实现、运行和维护、废弃等五个基本阶段。由于信息系统在不同阶段的活动内容不同,企业在不同阶段的控制目标和控制行为也会有所不同,因此,审计人员的风险评估应该贯穿于信息系统的整个生命周期。信息系统的组成部分是指构成该信息系统的硬件、软件及数据等,信息系统的运行环境是指信息系统正常运行使用所依托的物理和管理平台。具体可将其分为五个层面:物理层,即信息系统运行所必备的机房、设备、办公场所、系统线路及相关环境;网络层,即信息系统所需的网络架构的安全情况、网络设备的漏洞情况、网络设备配置的缺陷情况等;系统层,即信息系统本身的漏洞情况、配置的缺陷情况;应用层,即信息系统所使用的应用软件的漏洞情况、安全功能缺陷情况;管理层,即被审计单位在该信息系统的运行使用过程中的组织、策略、技术管理等方面的情况。(2)对于与企业基于网络的财务信息相关的风险,审计人员应着重关注财务信息的重大错报风险和信息的安全风险。重大错报风险主要指被审计单位基于网络的相关财务信息存在重大错报的可能性,它是针对企业借助于网络信息系统或网络技术对有关账户、交易或事项进行确认、计量或披露而言。网络审计中关注的重大错报风险与传统审Ctt的内涵基本上是一致的,审计人员在审计时应当考虑被审计单位的行业状况、经营性质、法律及监管环境、会计政策和会计方法的选用、财务业绩的衡量和评价等方面的情况对财务信息错报可能的影响。信息安全风险涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的风险,主要针对企业利用信息系统或一定的网络平台来存储、传输、披露相关财务信息而言。在审计过程中,审eta员应当主要关注相关财务信息被盗用、非法攻击或篡改及非法使用的可能性。当然,这两类风险并非完全分离的,评估时审计人员应将两者结合起来考虑。
(三)风险评估内容 广泛意义的风险评估是指考虑潜在事件对目标实现的影响程度。由于网络审计与历史财务报表审计风险评估的目的并不完全相同,因此两者在风险评估的内容上也是存在区别的。总的来说,网络审计的风险评估内容比历史财务报表审计的风险评估内容更广泛和深入。根据《中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风
险》,在历史财务报表审计中,审计人员的风险评估应以了解被审计单位及其环境为内容。为识别和评价重大错报风险,审计人员了解的具体内容包括被审计单位所在行业状况、法律环境与监管环境以及其他外部因素、被审计单位的性质、被审计单位对会计政策的选择和运用、被审计单位的目标、战略以及相关经营风险、被审计单位财务业绩的衡量和评价及被审it@位的内部控制等。在网络审计中。为了识别和评估上文所述的两类风险,审计人员除了从以上方面了解被审计单位及其环境外,还应该关注其他相关的潜在事件及其影响,尤其是企业的财务信息系统及基于网络的财务信息可能面l临的威胁或存在的脆弱点。其中,威胁是指对信息系统及财务信息构成潜在破坏的可能性因素或者事件,它可能是一些如工作人员缺乏责任心、专业技能不足或恶意篡改等人为因素,也可能是一些如灰尘、火灾或通讯线路故障等环境因素。脆弱点是指信息系统及基于网络的财务信息所存在的薄弱环节,它是系统或网络财务信息本身固有的,包括物理环境、组织、过程、人员、管理、配置、硬软件及信息等各方面的弱点。一般来说,脆弱点本身不会带来损失或信息错报,威胁却总是要利用网络、系统的弱点来成功地引起破坏。因此,我们认为网络审计申风险评估的内容应包括以下几方面:(1)识别被审计单位财务信息系统及其基于网络的财务信息可能面临的威胁,并分析威胁发生的可能性;(2)识别被审计单位财务信息系统及其基于网络的财务信息可能存在的脆弱点,并分析脆弱点的严重程度;(3)根据威胁发生的可能性和脆弱点发生的严重程度,判断风险发生的可能性;(4)根据风险发生的可能性,评价风险对财务信息系统和基于网络的财务信息可能带来的影响;(5)若被审计单位存在风险防范或化解措施,审计人员在进行风险评估时还应该考虑相应措施的可行性及有效性。
(四)风险评估程序《中国注册会计师审计准则第1211-----了解被审计单位及其环境并评估重大错报风险》中要求,审计人员应当实施询问、分析程序、观察和检查等程序,以获取被审计单位的信息,进而评估被审计单位的重大错报风险。这些程序同样适用于网络审计中的风险评估。但在具体运用时网络审计中更加注重了解和分析被审计单位与信息系统及网络技术使用相关的事项。在实施询问程序时,审计人员的询问对象围绕信息系统和基于网络的财务信息可大致分为管理人员、系统开发和维护人员(或信息编制人员)、系统使用人员(或信息的内部使用人员)、系统或网络技术顾问及其他外部相关人员(如律师)等五类,分别从不同角度了解信息系统和基于网络的财务信息可能存在的威胁和脆弱点。在实施分析程序时,除了研究财务数据及与财务信息相关的非财务数据可能的异常趋势外,审计人员应格外关注对信息系统及网络的特性情况,被审计单位对信息系统的使用情况等内容的分析比较。实施观察和检查时,除执行常规程序外,审计人员应注意观察信息系统的操作使用和检查信息系统文档。除此之外,针对特定系统或网络技术风险的评估,审计人员还需要实施一些特定的程序。技术方面如ioS取样分析、渗透测试、工具扫描、安全策略分析等;管理方面如风险问卷调查、风险顾问访谈、风险策略分析、文档审核等。其中,iDS取样分析是指通过在核心网络采样监听通信数据方式,获取网络中存在的攻击和蠕虫行为,并对通信流量进行分析;渗透测试是指在获取用户授权后,通过真实模拟黑客使用的工具、方法来进行实际漏洞发现和利用的安全测试方法;工具扫描是指通过评估工具软件或专用安全评估系统自动获取评估对象的脆弱性信息,包括主机扫描、网络扫描、数据库扫描等,用于分析系统、应用、网络设备存在的常见漏洞。风险问卷调查与风险顾问访谈要求审计人员分别采用问卷和面谈的方式向有关主体了解被审计单位的风险状况,使用时关键是要明确问卷或访谈的对象情况风险策略分析要求审计人员对企业所设定的风险管理和应对策略的有效性进行分析,进而评价企业相关风险发生的概率以及可能带来的损失;文档审核是一种事前评价方法,属于前置软件测试的一部分,主要包括需求文档测试和设计文档测试。这些特定程序主要是针对被审计单位信息系统和基于网络的财务信息在网络安全风险方面进行评价,审计人员在具体使用时应结合被审计单位的业务性质选择合适的程序。
三、网络审计与信息安全管理的风险评估比较
(一)风险评估的目的信息安全管理中的风险评估(即信息安全风险评估)是指根据国家有关信息安全技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程。作为信息安全保障体系建立过程中的重要的评价方法和决策机制,信息安全风险评估是企业管理的组成部分,它具有规划、组织、协调和控制等管理的基本特征,其主要目的在于从企业内部风险管理的角度,在系统分析和评估风险发生的可能性及带来的损失的基础上,提出有针对性的防护和整改措施,将企业面临或遭遇的风险控制在可接受水平,最大限度地保证组织的信息安全。而网络审计是由独立审计人员向企业提供的一项鉴证服务,其风险评估的目的在于识别和评价潜在事件对被审计单位基于网络的财务信息的合法性、公允性以及网络财务信息系统的合规性、可靠性和有效性的影响程度,从而指导进一步审计程序。因此,两者风险评估的目的是不一样。从评估所应关注的风险范围来看,两者具有一致性,即都需要考虑与信息系统和信息相关的风险。但是,具体的关注边界则是不一样的。信息安全风险评估要评估企业资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响,它要求评估人员关注与企业整个信息系统和所有的信息相关的风险,包括实体安全风险、数据安全风险、软件安全风险、运行安全风险等。网络审计中,审计人员是对被审计单位的网络财务信息系统和基于网络的财务信息发表意见,因此,风险评估时审计人员主要关注的是与企业财务信息系统和基于网络的财务信息相关的风险,而不是与企业的整个信息系统和所有的信息相关的风险。根据评估实施者的不同,信息安全风险评估形式包括自评估和他评估。自评估是由组织自身对所拥有的信息系统进行的风险评估活动;他评估通常是由组织的上级主管机关或业务主管机关发起的,旨在依据已经颁布的法规或标准进行的具有强制意味的检查。自评估和他评估都可以通过风险评估服务机构进行咨询、服务、培训以及风险评估有关工具的提供。因此。对审计人员而言,受托执行的信息安全风险评估应当归属于管理咨询类,即属于非鉴证业务,与网络审计严格区分开来。
(二)风险评估的内容在我国国家质量监督检验检疫总局的《信息安全风险评估指南》(征求意见稿)国家标准中,它将信息安全风险评估的内容分为两部分:基本要素和相关属性,提出信息安全风险评估应围绕其基本要素展开,并充分考虑与这些基本要素相关的其他属性。其中,风险评估的基本要素包括资产、脆弱性、威胁、风险和安全措施;相关属性包括业务战略、资产价值、安全需求、安全事件、残余风险等。在此基础上的风险计算过程是:(1)对信息资产进行识别,并对资产赋值;(2)对威胁进行分析,并对威
胁发生的可能性赋值;(3)识别信息资产的脆弱性,并对弱点的严重程度赋值;(4)根据威胁和脆弱性计算安全事件发生的可能性;(5)根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失;(6)根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即风险值。结合上文网络审计风险评估五个方面的内容可以看出,网络审计和信息安全风险评估在内容上有相近之处,即都需要针对信息系统和信息可能面临的威胁和存在的脆弱点进行识别。但是,信息安全管理作为企业的一项内部管理,其风险评估工作需要从两个层次展开:一是评估风险发生的可能性及其影响;二是提出防护或整改措施以控制风险。第一个层次的工作实质上是为第二层次工作服务的,其重点在第二层次。《信息安全风险评估指南》(征求意见稿)提出,企业在确定出风险水平后,应对不可接受的风险选择适当的处理方式及控制措施,并形成风险处理计划。其中,风险处理的方式包括回避风险、降低风险、转移风险、接受风险,而控制措施的选择应兼顾管理和技术,考虑企业发展战略、企业文化、人员素质,并特别关注成本与风险的平衡。网络审计的风险评估工作主要集中在第一个层次,即审计人员通过风险评估,为进一步审计中做出合理的职业判断、有效地实施网络审计程序和实现网络审计目标提供重要基础。因此,两者的评估内容是存在区别的。
风险管理的基本内容篇7
关键词:基金管理公司;风险控制力;建设
随着2007年以来中国证券市场和投资基金业的大发展,中国基金管理公司的基金资产已达4万亿元的规模,成为证券市场中最为重要的一支机构投资力量。在基金发行持续高温的背景下,也使基金管理公司忽视了自身风险控制力的建设。作为面临极高的证券市场价格波动风险的公司主体,全面梳理基金管理公司经营风险类型,加强公司风险控制力建设是相当必要的。
一、基金管理公司经营风险种类
对基金管理公司而言,由于其投资对象为风险性较高的证券市场,这种风险随着业务规模的扩大而成倍地放大。在基金管理公司的业务发展过程中,可能会面临以下各种风险:
(一)营销风险。包括产品设计、销售渠道、市场推广、客户服务风险。营销作为基金管理公司的生存之本,营销风险的控制协调将对基金管理公司的生存具有至关重要的意义。
(二)投资风险。由于基金管理公司面临的市场是不确定的股票市场和债券市场,一方面要防范投资决策过程中人为因素干扰过大的风险,另一方面还要防范所投资上市公司业绩造假、变脸的风险以及在投资交易过程中个别交易员交易流程无法掌控的风险。
(三)后台风险。包括基金管理公司交易通道的畅通,基金会计结算的完备,防止出现网络技术支持体系和会计核算不准确所带来的品牌损失风险。投资管理人应根据国家法律法规的要求,遵循安全性、实用性、可操作性原则,严格制定信息系统的管理制度。
(四)会计风险。投资管理人对所管理的基金应以每个基金专户为会计核算主体,独立建账、独立核算,保证不同基金专户的账户设置、资金划拨、账簿记录等方面相互独立。基金会计核算应独立于投资管理人自身会计核算,采取合理的估值方法和科学的估值程序,公允反映基金所投资的有价证券在估值时点的价值。
(五)法律风险。包括基金管理公司在基金投资运作过程中严格遵守所在国证券法律相关制度规定,不做内幕交易、联手做庄等严格禁止的交易行为。
(六)人力资源风险。国内基金管理公司在发展过程中还面临着优秀人力资本流失的风险。国外老牌基金管理公司进入中国市场,其优厚的薪酬待遇和良好的个人发展空间无疑对国内基金管理人才具有很强的吸引力,因此,基金管理公司需要防范人才流失给公司正常的经营运转带来的负面影响。
二、基金管理公司风险控制力构成
从控制的步骤角度看,基金管理公司良好的风险控制能力主要表现在:
(一)具有良好的反馈机制。控制的前提是能够准确衡量和评估各部门的实际工作情况,因而良好的反馈机制,即:具有完备的衡量实际工作情况的途径、科学和定量化的衡量内容是良好控制能力的重要组成部分。
(二)科学合理的标准体系。只有通过将实际工作情况与标准相比较,判断实际与目标之间的偏差,才能采取有效的控制措施。这些标准是一系列目标,这些目标主要是股票投资风险。由于组织的各类活动与战略目标产生一定的偏差在所难免,确定具体的可以接受的偏差范围是非常重要的。
(三)彻底纠偏的传统。控制的最后且最重要的一个步骤就是采取管理行动来纠正偏差或不适当的标准。纠正行动从类型上可以划分为立即纠正行动和彻底纠正行动。前者是立即将出现问题的工作矫正到正确的轨道上来,主要采取行政指令、人事调整等直接调控手段;后者则是在弄清工作中的偏差如何产生,从产生偏差的地方开始纠偏行动(包括修正不现实的标准)。
三、基金管理公司风险控制力建设的紧迫性
近年来,随着经济的全球化及投资的自由化趋势,金融市场的波动性日趋加剧,市场风险管理已成为金融机构风险管理的核心内容。随着全球经济活动日趋国际化,特别是国际金融领域一体化的深化和发展,国内基金管理公司的资产管理业务必将与国际投资银行处于同样的全球金融市场环境下进行竞争,市场风险管理的重要性和紧迫性日益增强。
现阶段中国基金管理业务的市场风险有其特殊性。目前基金管理业务所托管的资金主要投资在国内的证券市场上,所以现阶段基金管理业务的市场风险主要是证券市场价格波动风险。中国证券市场发育不完善,未能形成有效的价格形成机制,投机气氛浓厚,股价运行经常脱离价值基础,其具体表现在:第一,市场不完全,金融投资品种有限且缺乏做空机制,使得基金管理公司不能通过构造有效的证券组合来充分避险;第二,上市公司并非真正意义上的市场主体,未建立有效的内控和运营机制,缺乏良性的激励和约束机制,这就加大了市场的非系统性风险:第三,市场中现有的中介机构并非独立超然的机构,不能从外部对市场主体进行有效监督和控制,这就加大了市场投资者的信息鉴别成本和交易成本,并改变了投资者的预期形成机制,再加上市场本身固有的价格风险,最终可能导致市场风险的不断积累和放大。
四、加强基金管理公司风险控制力建设理念与措施
(一)构建基金管理公司风险建设的理念。基金管理公司应通过系统化的流程设计、内容稽核体系的完善,将基金管理公司面临的多层面的风险控制责任融合到每一个业务目标和员工责任描述中,使风险控制成为基金管理公司业务流程、管理架构和公司整体体系的一部分,从而实现对公司整体业务风险的有效评价和管理。基金管理公司的风险控制体系包括:理念、目标、原则三个方面内容(见表1)。
(二)基金管理公司运营风险控制措施
风险管理的基本内容篇8
关键词:电力企业,风险管理,定量风险评估
0、引言
电力作为高风险产业,不仅源于其公用事业属性,以及技术资金密集、供求瞬时平衡、生产运行连续等特征,同时电力项目投资额巨大、建设周期长、沉没成本高,而且,随着电力体制改革和电力市场建设进程的深入,市场主体越来越多,电力交易关系复杂,不同主体之间协调困难,电力行业规划建设、生产经营的不确定性加大、电力市场风险增加。根据“十一五”期间电力体制改革的任务,面对我国电力市场化发展的现状,增强风险意识,树立风险观念,加强风险管理将是电力企业的重要任务。本文在阐述了企业风险管理基本框架流程及其主要内容的基础上,提出电力企业定量风险评估的主要内容及方法,以期推动电力系统风险管理工作的开展。
1、风险管理的主要内容
风险作为客观存在,要求人们考察研究风险时,要从决策角度认识到风险与人们有目的活动、行动方案选择及事物的未来变化有关。风险的形成过程和风险的客观性、损失性、不确定性特征共同构成风险形成机制分析和风险管理的基础。
人们一般对风险持厌恶态度,都想减小风险损失,追求风险与收益的均衡优化。风险管理的提出与发展与企业发展状况、社会背景密不可分。风险管理作为一门管理学科,首先在美国应运而生,之后传到西欧、亚洲、拉丁美洲。美国大多数企业都设置专职部门进行风险管理,许多大学的工商管理学院都开设风险管理课程。风险管理作为一门科学与艺术,既需要定性分析,又需要定量估计;既要求理性,又要求人性;不但需要多学科理论指导,还需要多种方法支持。
源于风险意识的风险管理主要包括风险分析、风险评价与风险控制三大部份。根据风险形成的过程,风险分析需要进行风险辨识、风险估计。风险估计需要进行频率分析与后果分析,而后果分析又包括情景分析与损失分析。通过风险分析,可得到特定系统所有风险的风险估计,对此再参照相应的风险标准及可接受性,判断系统的风险是否可接受,是否采取安全措施,这就是风险评价。风险分析与风险评价总称为风险评估。为进行风险定量化估算,要进行定量风险评估(QuantitativeRiskassessment—QRa)。在风险评估的基础上,针对风险状况采取相应的措施与对策方案,以控制、抑制、降低风险,即风险控制。风险管理不仅要定性分析风险因素、风险事故及损失状况,而且要尽可能基于风险标准及可接受性对风险进行定量评价。对于以盈利为目的的工业企业也希望将风险损失价值化并给出货币衡量标准。风险管理就是风险分析、风险评价、风险控制三者密切相联的动态过程,见图1。
2、风险管理的组织实施与基本流程
为有效实施风险管理,企业应由专门的组织及相关人员按一定程序组织实施风险管理工作。据《幸福》杂志对美国500多家大公司的调查知,84%的公司由中层以上的经理人员负责风险管理。风险管理的趋势是董事会下属设立风险管理委员会全面负责公司风险管理,组织实施的流程是:①制定风险管理规划;②风险辩识;③风险评估;④风险管理策略方案选择;⑤风险管理策略实施;⑥风险管理策略实施评价。
3、电力企业定量风险评估(QRa)
电力企业QRa的建立与发展从内部来看,不仅已有可靠性分析、安全分析、质量管理、项目管理等各专业分析作基础,从外部而言有电力用户、政府与社会公众、咨询机构等众多相关主体的关注。电力企业QRa对企业的作用主要体现在:通过QRa有利于企业将风险水平控制在规定标准的风险水平之内,并符合最低合理可行原则;通过开展QRa可帮助企业全面识别风险,并按轻重缓急排序,以有助于管理者将精力、财力、物力集中于风险控制的重要紧急领域,使风险管理决策更为合理、效果更好、成本最小;通过对各种风险控制方案或安全改进措施进行QRa,使决策者对方案措施进行优劣选择,为公司提出决策支持。电力企业的风险将对其它企业和主体带来连带影响,并产生放大效应,电力系统安全、可靠、高效、优质是各行各业和政府管理部门共同的愿望。电力企业实施QRa具有现实意义。
3.1电力企业QHa的基本框架模式
电力企业QRa是指在工业系统QRa的基础上,考虑电力系统的技术经济特点及运行规律,结合电力体制改革及电力市场化进程而以概率模型表征的全面风险管理理论方法。为便于实施风险管理,保证风险评估质量,满足风险评估过程各阶段的不同要求,构建如图3所示的适用于电力企业QRa的基本框架模式。在具体实施时,允许依实际情况而有所改变。
3.2电力企业QRa的主要工作内容
(1)确定目标及范围。包括风险管理的目的与意义,待分析系统的设备配置、工作流程、资金、人员、管理、信息、地区、人文环境等,即确定QRa实现目标和实施条件等。
(2)风险辨识。即找出待评价系统中所有潜在的风险因素,并进行初步分析,通过安全检查看系统是否达到规范要求。风险辩识的基本途径有历史事故统计分析、安全检查表分析、风险与可操作性研究(HZopS)、故障模式与影响分析(Fmea)、故障模式影响及危急分析(FmeCa)、故障树分析(eta)、事故树分析(eta)、风险分析调查表、保单检视表、资产风险暴露分析表、财务报表、流程图、现场检查表、风险趋势估计表等。为配合保险公司对出险事项的处理,可采用从下至上的归纳法、从上至下的演绎法及两者综合运用。针对特定风险,可选用基于系统平面布置的区域分析、隐含事件分析、德尔菲法及基于事故树分析的风险事故网络法等。风险辩识不只局限于系统硬件,还应考虑人为因素、组织制度等系统软件。风险综合集成是指对所有风险按其特性类型分门别类加以汇总整理。因电力工业特点及电力市场化改革特点,把电力系统风险按厂网分开的行业结构进行分类。
对于发电企业而言,主要有电源规划风险、报价竞价上网风险、供求平衡风险、市场力抑制风险、备用容量风险、信用风险、法律风险、项目风险、中介机构风险等。对于电网企业而言,主要有电网规划风险、电网融资风险、购电电价风险、电力交易转移风险、辅助服务风险、成本分摊风险、输电阻塞风险、输电能力风险、备用率风险、电力监管风险等。另外,电力企业还将面临电力可靠性、安全性、稳定性风险及电能质量风险等。
风险综合集成后的初步风险分析是对已辩识出的风险进行初步分析评估,确定风险的等级或水平。风险水平低的可忽略不计或仅作定性评估,风险水平高的要在定性分析基础上,进行定量评估。
(3)频率分析。即确定风险可能发生的频率,其方法主要有历史数据统计分析、故障树分析与失效理论模型分析。历史数据统计分析是根据有关事故的历史数据预测今后可能发生的频率。因此要建立风险数据库,既作为QRa的基础,又作为风险决策的依据。故障树分析作为一种自上而下的逻辑分析法,把可能发生的事故或系统失效(顶事件)与基本部件的失效联系起来,根据基本部件的失效概率计算出顶事件的发生概率。失效理论模型分析是在历史数据与专家经验的基础上,采用某种失效理论模型来计算风险发生频率。
(4)风险测定估计。根据风险特性及类型,运用一定的数学工具测定或估计风险大小。常用方法主要有主观估计法、客观估计法、期望值法、数学模型法、随机模拟法和马尔可夫模型法等。
(5)后果分析。即分析特定风险在某种环境作用下可能导致的各种事故后果及损失。其方法主要有情景分析与损失分析。情景分析通过事件树模型分析特定风险在环境作用下可能导致的各种事故后果。损失分析是分析特定后果对其它事物的影响及利益损失并归结为某种风险指标。
(6)风险标准及可接受性。风险标准及可接受性应遵循最低合理可行(aLaRp)原则。aLaRp原则是指任何系统都存在风险,而且风险水平越低,即风险程度越小要进一步减少风险越困难,其成本会呈指数曲线上升。也就是说,风险改进措施投资的边际效益递减,最终趋于零,甚至为负值。因此,必须在风险水平与成本间折衷考虑。如果电力企业定量风险评估所得风险水平在不可接受线之上,则该风险被拒绝,如果风险水平在可接受线之下,则该风险可接受,无需采取风险改进措施;如风险水平在不可接受线与可接受线之间,即落人aLaRp区(可容忍区),这时要进行风险改进措施投资成本风险分析或风险成本收益分析。
分析结果如果证明进一步增加风险改进投资对电力企业的风险水平减小贡献不大,则该风险是可接受的,即允许该风险存在,以节省投资成本。aLaRp原则的经济学解释类似投入要素的边际收益递减规律一样,风险与风险措施投入间的风险曲线也呈边际收益递减规律。
3.3电力企业QRa常用方法
根据电力企业QRa的工作内容和实现要求,结合电力企业本身特点,电力企业QRa常用的方法主要有:安全检查表即实施安全检查的项目明细表;故障模式与影响分析技术和故障模式影响分析与致命度分析(FmeaCa)技术;风险与可操作性研究技术;事件树分析技术;基于概率影响图技术、人工智能、专家系统、可靠性工程技术期望值法、风险主观、客观估计法、模糊评估法等。
风险管理的基本内容篇9
从供电企业的角度来看,将合同管理工作把握好可以使供电企业运营效益得到明显改善,同时对于降低合同风险也具有至关重要的意义。在供电合同管理工作中,风险识别与评价是非常重要的手段,所以在实际工作中可以从风险识别和评价两个角度明确供电合同风险指标,并对供电合同风险系数进行全面分析,这样才能做到防患于未然。基于此,文章从不同角度针对供电合同管理的风险识别和评价展开了分析,供大家参考。
关键词:
供电合同管理风险;识别;评价;方法
随着供电公司法律风险的加大以及企业中合同管理地位的逐渐提高,供电合同风管理开始受到人们的重视。合同管理的作用可以通过多方面体现出来,其最基础作用在于提升企业形象,核心作用在于监控经营风险,而创造经济效益的价值很容易被人忽视,其最根本的作用就是促进供电企业整体管理水平的提高。对于供电合同管理来说,利用风险识别与评价方法对风险进行分析和研究很有必要。
一、供电合同与供电合同管理
供电合同是供电公司按照用户需求的笔筒拟定的供电协议,其中的内容包含很多方面,例如供电方式、电费结算方式等,对于供电过程来说供电合同的拟定为其提供了最为基本的保障。所谓供电合同管理是以供电合同为基础的一项管理工作,其中主要涉及到了各方面的合同管理内容。供电合同管理的内容非常繁杂,具有庞大的管理体系,不同环节都对供电企业效益带来了极大影响,因此在工作中需要对其展开全面的把握,保证管理的精细化、规范化。签订、修订及履行合同的过程统称为供电合同管理,一旦在供电合同管理中遇到了疑难问题,或者很难解决的问题,这时供电企业运营将会面临极大的风险,对企业运行效益的提升极为不利。纵观当前我国供电合同管理工作,供电合同管理体系尚未完善,存在非常高的合同风险,由此引发的问题也非常多,甚至对供电企业的正常工作造成了严重的不利影响,现阶段怎样消除这些合同风险是现在业内人士极为关注的重要课题之一。
二、供电合同管理风险的识别与评价
(一)识别合同管理风险
(1)编制供电合同存在的风险。供电合同编制阶段存在的风险主要涉及到策划、咨询、谈判及文本等内容及风险,合同策划及发展规划中的风险为策划风险,具体体现在合同的策划目标、企业战略目标不一致;咨询调查风险主要体现在用户咨询资料信息的收集不全;谈判风险主要体现细节处理不到位的现象;合同文本风险主要由条例不完善等因素导致。
(2)审核供电合同的风险。审核合同需要对合同的可行性、合法性及严密性进行全面分析,同时在此基础上对供电合同管理存在的风险进行把握,最终对合同中是否存在问题进行判断和确定,最终提出有效性的意见和建议。
(3)签署合同的风险。在签署合同的过程中,因为受到时间、环境等因素的限制,很容易会出现一些问题,例如签订合同时没有进行详细的审核、签署合同过程中出现涂改的现象、签订合同时出现合同保管不当、信息泄漏等问题。以上情况都可能会在签署合同环节引发风险。
(4)履行合同的风险。履行合同的过程中由于履行操作、履行人员及管理方式的不同,也容易造成履行合同的偏差,进而在履行合同的过程中引发一些风险。具体来说,履行合同的阶段主要存在变更风险、履行风险及纠纷处理风险等。
(二)评价合同管理风险
(1)制定统一评价指标。合同管理风险进行评价的过程中,应针对供电合同管理工作落实的的科学性、可操作性及层次性等内容进行全面分析,使合同指标最大限度量化得到实现,并利用定性方式展开描述。与此同时,评价指标之间存在着一定关系,合同“串接”的实现还需要对各因子间的相关性把握好。
(2)以系统理论为基础构建模型。在合同管理风险进行评价的过程中,应始终注意按照风险权重展开定量计算,充分利用系统分析理论对建立起应的模型。在构建常规模型时,通常需要用到模糊综合评价法,所谓模糊综合评价法是指给予各评价因素权重向量进行模糊运算。计算过程中需要利用多评价因素组成集合,同时以多因素、多种判断为基础完成供电合同风险指标由定性到定量的计算,可以利用专家分析法对合同管理风险影响指标进行确定,并在此基础上建立评判样本矩阵,利用样本矩阵和权重明确综合评价因素组成的集合与多种判断组成的结合的关系,并对供电合同管理风险系数进行分析,在此基础上对合同管理法风险相关指标和要素进行全面的了解和分析。
(3)展开评价验证。当评价工作完成以后,还要领数学算法对供电合同管理风险的相关数据和指标展开验证,然后对评价结果的准确性及有效性进行确定,保证各项结果的准确性以后,给出准确的解决对策和建议,只有这样才能从最大程度上使合同管理风险得到降低。
三、结语
综上所述,从供电企业的角度来说,供电合同风险管理工作的展开可以为其工作提供保证,甚至对企业建设效益的改善起到了决定性的意义。在识别和评价该风险时,相关工作人员应该将供电合同管理内容把握好,全面了解合同管理风险的类型,明确评价目标和风险权重,对供电管理工作中存在的各项风险系数进行计算,以此为基础采取措施对风险进行规避,从而为供电企业未来的发展提供良好前提与基础。
作者:张涛单位:国网山东省电力公司东营市东营区供电公司
参考文献
[1]杨凤春.石油企业合同管理中的风险评估与控制——以大港油田公司为例[J].经济师,2011,09:245-246.
[2]司永辉,邱大芳.基于多层次模糊理论的供用电合同管理风险识别与评价[J].华北电力大学学报(社会科学版),2011,S2:80-85.
风险管理的基本内容篇10
关键词:企业管理 内部审计 风险管理
2004年CoSoH布了《企业风险管理――整合框架》,该框架将风险管理和内部审计进行了整合,扩大了内部审计的范围和领域,使内部审计真正参与到企业管理中来。在研究企业管理与内部审计的关系时发现,企业管理与内部审计通过共同参与风险管理,使内部审计将其工作范围扩大到了企业管理的全部领域和过程,巩固和提高了其在组织中的地位和发展。而管理层则通过设定战略和目标有效地应对了不确定性及与之相随的的风险,并在增长收益目标和相关风险之间取得最佳平衡,增强了企业风险应对决策,使企业高效率地配置资源,减少营运意外,降低损失。最终增强企业创造价值的能力并帮助企业实现绩效目标和盈利目标,使企业价值达到最大化。
一、企业管理与内部审计的研究现状
(一)企业管理研究现状 (1)企业管理现状。在企业经营管理过程中,各个企业都面临不确定性,管理层的挑战在于努力增加利益相关人价值的同时要确定应承受多大的不确定性。这个不确定性即为风险。风险在一定环境和限期内客观存在,它能导致费用损失和损害产生。它具有客观性、普遍性、必然性、可识别性、可控性等特点。近年来,随着社会经济的发展,特别是经济全球化及国际化程度的加深,企业经营环境变得日趋复杂,企业经营风险也大大增加。知识经济的到来,更使企业的风险雪上加霜。因此,减少企业面临的风险成为组织实现目标的关键,也成为企业的管理人员十分关心的问题。这些年来,一系列财务失败事件的发生以及对企业风险的关注,使人们越来越清楚地认识到需要一个强有力的管理框架来有效地识别、评估和控制风险。普华在最近的一份报告中提出了一个GRC(Governance,Risk,Compliance)模型。该报告认为,组织可以把GRC战略性地整合进它们的经营中,以形成一个可以对企业进行管理的道德和经营框架。这个框架包括治理(Governance)、企业风险管理(enterpriseRiskmanagement)和遵守(Comphanee)三个组成部分。在这个框架中,风险管理活动包括识别和评价那些可能会影响目标实现能力的风险,应用风险管理来获得竞争优势和确定风险应对策略和控制活动。在这个框架中我们看出风险管理可以帮助企业管理层实现组织的绩效目标和盈利目标,防止资源损失;有助于保证有效的信息报告及更好地遵循法律法规,从而避免组织受损及其他相关后果。(2)企业管理中的风险管理。2003年颁布了《内部审计实务准则》,该准则指出风险管理是管理层的主要职责。管理人员应该保证机构拥有健全的风险管理过程并使其发挥作用。2004年9月,CoSo了《企业风险管理一整合框架》,CoSo在界定风险管理时,明确指出企业风险管理是企业管理过程的一个组成部分。所谓风险管理,是对影响公司目标实现的各种不确定事件进行识别和评估,并采取应对措施将其影响控制在可接受范围内的过程,风险管理旨在为公司目标的实现提供合理保证。风险管理活动已经成为国际性大公司管理活动的重点,一些国家和组织也在致力于研究如何防范企业风险。风险管理理念是一套共享的观念和态度,它标志着企业考虑风险时的特征,反映了企业的价值观,影响着企业的文化和经营方式。企业风险管理包括八个相互关联的构成要素,它们源自管理当局的经营方式,并与管理过程整合在一起。其分别是:内部环境,管理当局确立关于风险的理念,并确定风险容量。所有企业的核心都是人(他们的个人品性。包括诚信、道德价值观和胜任能力)以及经营所处的环境,内部环境为主体中的人们如何看待风险和着手控制风险确立了基础;目标设定,必须先有目标,管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取恰当的程序去设定目标,并保证选定的目标支持主体的使命并与其相衔接,以及与它的风险容量相适应;事项识别,必须识别可能对主体产生影响的潜在事?它包括表示风险的事项和表示机会的事项,以及可能二者兼有的事项。机会被追溯到管理当局的战略或目标制定过程;风险评估,要对识别的风险进行分析,以便确定管理的依据。风险与可能被影响的目标相关联。既要对固有风险进行评估,也要对剩余风险进行评估,评估要考虑到风险的可能性和影响;风险应对,员工识别和评价可能的风险应对措施,包括回避、承担、降低和分担风险。管理当局选择一系列措施使风险与主体的风险容限和风险容量相适应;控制活动,制定和实施政策与程序以确保管理当局所选择的风险应对策略得以有效实施;信息与沟通,主体的各个层级都需要借助信息来识别、评估和应对风险。广泛意义的有效沟通包括信息在主体中向下、平行和向上流动;监控,整个企业风险管理处于监控之下,必要时还会进行修正。这种方式能够动态地反应风险管理状况,并使之根据条件的要求而变化。监控通过持续的管理活动、对企业风险管理的单独评价或者两者的结合来完成。
(二)内部审计研究现状 (1)企业内部审计的现状。衍生于授权管理需要的企业内部审计,根植于传统企业环境,经过几十年的发展,已经基本形成了固有的模式和完整的体系格局。但当传统企业演变为现代企业时,原有的内部审计理论和实务发生了碰撞。许多既定的内部审计内容和方法,显得难以适应新的企业环境。内部审计的本质和基本功能是对经济活动的监督和控制。20世纪40年代,随着企业规模扩张、管理层次的增多和管理人员经济责任的加重,现代内部审计应运而生。内部审计产生的理论基础源于两权分离下的受托经济责任理论。内部审计最初在财务领域开展,主要是监督、鉴证受托财务责任,审计目的是查错防弊;20世纪60年代至80年代,由于市场竞争加剧和大型跨国公司兴起,企业管理者对于降低成本、提高经济效益的要求更加迫切,迅速发展起经营审计和经济效益审计,以实现帮助组织提高经营效率和经营效果的兴利目标;随着内部审计范围向管理领域的延伸,1993年版的iia内部审计实务准则将内部审计职能定义为监督和评价;而2001年根据最新版的《内部审计实务标准》规定,内部审计是用来增加组织价值和改善组织运营的独立、客观的保证与咨询活动,它以系统化、专业化的方法对风险管理、控制及治理过程的有效性进行评估和改善,帮助组织实现目标。根据这一定义,现代内部审计的范围已从传统上的财务收支审计扩大到风险管理和公司治理层次上来,有效的风险管理机制和健全的公司治理结构已成为现代内部审计关注的焦点。内部控制与风险是我国《内部审计准则》的两个核心概念,内部审计不仅是内部控制的重要组成部分同时也是风险管理的重要组成部分,它与风险管理的联系日趋紧密。风险管理作为管理层的一项关键责任,企业管理层对其负有不可推卸的责任。内部审计部门则有职责定期评价并协助企业管理层进行风险管理,
在改善管理层的风险管理流程效果和效率方面进行检查、评价、报告和提出审计建议,帮助识别、评价和实施风险管理,从而为企业增加价值。(2)内部审计注入风险管理的内容。现代企业风险管理贯穿在企业生产经营的全过程,渗透到企业的各个部门各个环节。内部审计作为现代企业的重要管理部门之一,对企业的风险管理也承担着重要的责任。国家审计署在2003年5月修订生效的《审计署关于内部审计工作的规定》中对内部审计的基本职责作出明确规定,其中就包括“对本单位及所属单位内部控制制度的健全性和有效性以及风险管理进行评审”。国际内部审计师协会也在关于内部审计的新定义中明确:“内部审计是一种旨在增值和改善机构运营状况的独立的、客观的保证和咨询活动。它通过引入系统化、严谨方法来评价和改善风险管理、控制和治理程序,帮助所在机构实现其目标。”从这些规定和定义及内部审计的职责和监督服务的基本功能可以看出,内部审计注入了企业风险管理的内容。一是在企业风险管理中担负监督、评价责任。监督、评价是内部审计的一项基本职责,也是内部审计传统的看家本领。企业风险管理过程也存在监督、评价职责,而且监督、评价是风险管理的起始和基础。要管理风险,必先识别风险。企业的风险在哪里,形成风险的相关因素有哪些?内部审计在履行风险管理监督责任时,首先要学会分析判断企业风险所在,在准确识别风险的基础上,要坚持原则,勇于发现反映企业存在的风险,切实体现监督责任,因为许多企业的风险是同各级管理人员甚至领导人员的工作缺陷分不开的。企业风险管理中的监督和风险管理中的各项处置与承受也需要在不同的职能部门间分开,才能使风险得到充分的反映。因此内部审计往往成为体现企业风险管理监督责任的主要部门。企业风险在识别的基础上需要进一步评价。内部审计应当掌握企业风险评价的系统方法,对企业风险形成因素、影响后果、发生频率、损失程度等等作出分析,根据不同的指标对企业的风险级次进行排序,为进一步的风险处置提供决策基础。这里值得强调的是,内部审计要承担好风险评价责任,必须具备专业的系统化严谨评价方法,而不是简单的主观经验判断。无疑这对许多内部审计机构来讲仍然是一个薄弱的环节,需要相应的专业人才配备和学习培训,才能担负起风险评价的责任。二是在企业风险管理中担负咨询服务责任。咨询服务是现代企业内部审计体现创新和大力发展的新的功能,也是现代新型内部审计的重要责任。企业风险管理最终的目的是要对风险的相关因素采取措施,规避风险,化解和转移风险,或权衡利弊分担和降低风险损失的影响。内部审计应当对企业风险管理需要采取的措施提出建议,尤其是对需要通过改进内部管理、健全内控制度来进行风险管理的内容提出建设性的意见。咨询服务是企业环境变化给内部审计带来增加价值的极好机会,是内部审计提升地位和作用的崭新平台,而风险管理正是提供咨询服务最多机会的重要管理活动。内部审计应抓住这个机遇,作到急企业所急,想企业所想,积极主动地在风险管理中开展帮助、促进健全管理活动,才能履行好咨询服务责任。内部审计要在企业风险管理中尽其责任,是必须通过内部审计的具体工作来体现的,通过涉及风险管理的有关审计活动发挥其作用。在企业风险管理中,内部审计的本质特征并不发生改变。为了保证其独立性和客观性,内部审计并不对建立企业风险管理体系承担主要责任,风险管理责任应由管理层承担。内部审计可以对企业风险管理提供建议、咨询和支持,但不能设定风险容忍度、强制施行风险管理流程、对风险提供管理保证、对风险问题进行决策和对风险实施管理职责的行动,内部审计对于企业风险管理的责任应当在审计章程中写明并经审计委员会批准。
二、企业管理和内部审计及其与风险管理的关系
(一)企业管理与内部审计的交叉点――风险管理 风险管理是企业管理的一项职能,更是一种管理理念,它贯穿于企业管理的各个方面。在一个大型企业内,不同部门面临的风险表现和种类存在显著差别。这些来自企业内部的风险常常是由于内部控制系统有缺陷或虽有良好的管理控制系统却未得到认真的贯彻执行而产生。在企业内部,现代企业建立了各级风险管理组织层次,包括风险控制委员会、内部审计部门、专职风险监管部门。但风险监管部门隶属于管理部门,不具有独立性,其意见有时会屈服于管理当局的压力,这使得风险管理部门的作用受到限制。在现代企业中,内部审计部门独立于管理部门,其风险评估的意见可以直接报送给董事会,提出的意见与建议更具权威性。他们以风险发生可能性大小为依据,深入经营管理过程和行为,在业务经营、财务管理、费用控制等各方面查找并防范风险,通过内部视角,敏锐观察经营过程中不断变化的风险因素,快速传递管理中存在的缺陷或失败,促使董事会和高级管理层做出快速反应,及时采取措施,防范和纠正不当行为。(1)企业管理与风险管理的联系。2004年,CoSo在内部控制框架概念的基础上,提出了企业风险管理(enterpriseRiskmanagement,eRm)的概念,CoSo在界定企业风险管理时,明确了所属关系:企业风险管理是企业管理过程的一个组成部分。企业风险管理框架的要素都是管理层经营一个企业所做的事情。但是,并非管理层做的事情都是企业风险管理的组成部分。在管理层的决策与相关管理行为中应用的许多判断,尽管是管理过程的组成部分,但不是企业风险管理的组成部分。例如,确保有一个适当的目标设定过程是企业风险管理的一个关键组成要素,而管理层选择的特定目标不是企业风险管理的组成部分;在适当风险评估的基础上对风险做出反应是企业风险管理的组成部分,而所选择的特定风险应对策略和相关的资源配置不是企业风险管理的组成部分;确定和实施控制活动以确保管理层选择的风险应对策略得到有效的实施是企业风险管理的组成部分,而所选择的特定控制活动不是企业风险管理的组成部分。(2)内部审计与风险管理的联系。从上述企业管理与内部审计的研究中我们发现风险管理是企业管理的一种管理方法,它渗透到管理的各个环节,而内部审计也参与企业风险管理。二者都和风险管理相关,风险管理就是二者的交叉点。在市场经济条件下,风险是普遍存在的,风险是企业的一种特殊资源,可以给企业带来巨大市场商机,也可以给企业带来巨大灾难,关键是企业如何识别风险、评估风险、应对和规避风险(回避风险、防范风险、分散风险和转移风险),从而实现企业目标。为了实现企业目标,需要制定发展战略、人才战略、营销策略、改革措施等等,同时需要建立内部控制制度,加强企业风险管理。在企业风险管理中,企业管理层负责确定可接受的风险范围,建立健全风险管理机制并使之有效运行。企业管理层对待风险的态度将直接决定企业风险管理的程度,什么情况下采用激进的冒险策略,什么情况下采用稳健的避险策略,是企业管理层的责任。尽管风险管理是全员的,但是风险管理的责任主体是企业管理层。现在风险管理已成为内部审计的重要领域。内部审计涉足风险管理领域是社会发展的客观必然。在风险管理中,内部审计部门主要是对风险管理部门和其他相关部门所进行的风险管理进行再监督。但这绝不意味着内部审计部门不能作为直接的风险管理人,在必要的情况下,它可以直接进行
风险管理。内部审计介入风险管理是一个崭新的事物,对内部审计如何在风险管理中发挥作用是一个需要进一步深入探讨的课题。
(二)风险管理对企业管理和内部审计的影响 (1)风险管理对企业管理的影响。全面风险管理对现有的企业管理起到的是提升、整合、强化的作用。现有的管理体系基本是对业务流程的管理,而所有的业务流程的管理中都应当有风险管理的内容。也就是说,全面风险管理为现有管理体系提供了基础和操作平台。从全面风险管理的角度审视现有的各种管理体系,可以看到许多应当改进的地方。因此,全面风险管理对现有的各种管理体系有提升的作用。现有的企业中的管理体系往往是互相重叠的、关系不清的。而全面风险管理体系的系统性强,覆盖了企业管理的各个方面,表现了现代企业管理的核心内容。所以,实施全面风险管理能够将现存的管理功能联系起来,协调相互不一致、不连贯的地方,将其去粗取精。因此,在企业现有的管理体系中进行风险管理有利于提高企业的管理水平。在企业中,现有的管理体系中风险管理功能欠缺及整个企业层面上控制风险功能欠缺,我们通过实施全面风险管理来强化企业管理的功能,弥补现有管理体系的缺陷和不足。(2)风险管理对内部审计的影响。内部审计参与企业风险管理,是由企业经营管理环境变化和对内部审计的需求变化决定的。对内部审计而言,选择积极参与企业风险管理,也是内部审计自身发展的需要,这一选择对内部审计带来了深远的影响。一是参与风险管理,对拓展内部审计工作范围的影响。内部审计参与企业风险管理必然会突破传统的财务审计范围,向企业管理的各个重要风险存在领域实施审计检查,审计的对象会发生很大变化,会超越财务会计范畴,更多涉及生产经营业务的操作管理。这为内部审计向更高层次、更大范围的发展提供了广阔的舞台。发达国家的企业内部审计已较早涉足企业的风险管理。内部审计参与企业风险管理涉足的宽广范围,使内部审计人员开阔了视野,丰富了知识,对提升内部审计的综合性管理层次具有重要意义。二是参与风险管理对提升内部审计工作价值的影响。为企业提供增值服务是现代内部审计发展的重要方向之一,而参与企业风险管理就为内部审计实现增值服务创造更多机会。对于一些可以量化的风险,通过审计准确的检查评价,揭示具体的风险并使企业及时采取措施,避免了风险和损失的发生,就可以直接为企业增加价值。对于制度、管理活动中的缺陷可能造成的风险,审计也应发挥建设性作用,帮助改善企业的内控管理系统,这也是一种间接的或难以量化的增值服务。内部审计切实在参与风险管理中为企业提供有效的帮助,它不仅会受到企业高层管理的重视,而且会得到广大被审计单位的欢迎和支持,内部审计的价值就会得到进一步提升和体现。三是参与风险管理对防范内部审计工作风险的影响。风险导向审计方法在现代独立审计业界普遍流行和得到重视,正是因为这种方法可以有效控制审计风险。它以审计风险评估为中心,哪里可能产生较大的审计风险,就在哪里投入较多的审计资源,进行详细的审计检查,使审计结果减少虚假错漏的风险。内部审计参与风险管理也有助于审计在反映问题的方向和准确性方面防范审计风险。因为企业的风险是客观存在的,通过审计如不能准确地反映企业的风险,事后企业的风险暴露造成损失,内部审计也会因失查而承担一定责任,这也是审计的风险所在。再此,企业的风险和审计的风险是密切相关的,关注和化解了企业风险也就减少了审计的风险。现代企业管理是一种系统性社会行为。它必然是一个以领导行为为主导,领导、经营、管理、治理相互交叉、相互统一的行为过程;也一定是一个以绩效为导向,结果、过程和目标相互交叉、相互统一的行为过程;是―个把内部审计作为有机组成部分的大管理系统行为。风险管理是企业管理的重要内容,内部审计参与风险管理是新形势下企业生存与发展的客观需要,也是企业管理层的内在需要。而企业内部审计是企业管理的子系统,企业内部审计的所有活动都要以改善管理绩效和增加企业价值为目标。
参考文献:
[1]张健刚等:《论现代内部审计与风险管理的协调整合》,《山东财政学院学报》2007年第1期。