導(dǎo)語：如何才能寫好一篇企業(yè)安全風(fēng)險評估報告，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：注冊會計師　風(fēng)險評估　風(fēng)險管理　內(nèi)部控制

一、引言

2010年美國公眾公司會計監(jiān)督委員會(Public Company Accounting Oversight Board，PCAOB)通過了新的審計準(zhǔn)則(審計準(zhǔn)則第8號至第15號)，以規(guī)范審計師對審計風(fēng)險的評估和反應(yīng)。目的是監(jiān)督公眾公司的審計師編制信息量大、公允和獨(dú)立的審計報告，以保護(hù)投資者利益并增進(jìn)公眾利益。在PCAOB此次行動之前，不斷有人發(fā)出強(qiáng)烈的信息，讓審計職業(yè)人員在風(fēng)險管理中扮演更積極的角色。而且PCAOB早在兩年前就已經(jīng)提出了實施具體風(fēng)險評估準(zhǔn)則的信息，這些準(zhǔn)則旨在解決從最初計劃到結(jié)果評估的審計過程問題。這些新準(zhǔn)則是在審計促進(jìn)成熟風(fēng)險評估中非常重要的一步，可以把審計師未能發(fā)現(xiàn)的重大錯報事故風(fēng)險降到最小。PCAOB執(zhí)行主席丹尼爾?格爾澤爾說一旦這些標(biāo)準(zhǔn)被采用，在審計財務(wù)申明中發(fā)現(xiàn)，適當(dāng)計劃以及實施審計以解決這些風(fēng)險問題以增強(qiáng)投資者的信息是非常重要的。這些審計標(biāo)準(zhǔn)包括：審計風(fēng)險、審計計劃、審計參與監(jiān)督、計劃執(zhí)行審計中的思考、重大錯報事故的確認(rèn)與評估、審計師對重大錯報事故的回應(yīng)、評估審計結(jié)果以及審計證據(jù)。它們貫穿了從初始計劃階段到審計結(jié)果評估的整個審計流程。PCAOB主席丹尼爾?高澤(DanielL，Goelzer)說：這些新準(zhǔn)則的出臺意味著在促進(jìn)精密的審計風(fēng)險評估與將審計人員未能發(fā)現(xiàn)重大誤報的風(fēng)險降至最低方面邁出了重要一步。識別風(fēng)險，并通過正確地審計計劃和開展審計活動來應(yīng)對風(fēng)險，對于提升投資者對經(jīng)審計財務(wù)報表的信心是至關(guān)重要的。

二、風(fēng)險評估、企業(yè)風(fēng)險管理與審計風(fēng)險

(一)注冊會計師風(fēng)險評估　風(fēng)險導(dǎo)向?qū)徲嫷暮诵氖菍徲嬶L(fēng)險，任何審計業(yè)務(wù)都必須將審計風(fēng)險控制在可接受的風(fēng)險水平內(nèi)。因此風(fēng)險導(dǎo)向?qū)徲嬕笞詴嫀熂訌?qiáng)對被審計單位及其環(huán)境的了解，在審計的所有階段都要實施風(fēng)險評估程序，并將識別和的評估的風(fēng)險與實施的審計程序掛鉤，而且要求針對重大的各類交易、賬戶余額和列報實施實質(zhì)性程序，可以說風(fēng)險評估程序是風(fēng)險導(dǎo)向?qū)徲嬆Ｊ铰鋵嵉綄徲嫻ぷ鞯暮诵沫h(huán)節(jié)，風(fēng)險導(dǎo)向?qū)徲嬒聦徲嬶L(fēng)險模型如下：審計風(fēng)險=重大錯報風(fēng)險×檢查風(fēng)險。審計風(fēng)險是指財務(wù)報表存在重大錯報而注冊會計師發(fā)表不恰當(dāng)審計意見的可能性。重大錯報風(fēng)險是指財務(wù)報表在審計錢存在重大錯報的可能性，檢查風(fēng)險是指某一認(rèn)定存在錯報，該錯報單獨(dú)或連同其他錯報是重大的，但注冊會計師未能發(fā)現(xiàn)這種錯報的可能性。注冊會計師合理設(shè)計審計程序的性質(zhì)、時間和范圍，并有效執(zhí)行審計程序，以控制檢查風(fēng)險。注冊會計師采取以下方法展開審計工作：(1)注冊會計師應(yīng)當(dāng)針對財務(wù)報表層次的重大錯報風(fēng)險置頂總體應(yīng)對措施；(2)注冊會計師應(yīng)當(dāng)針對認(rèn)定層次的重大錯報風(fēng)險設(shè)計和實施進(jìn)一步審計程序，包括測試控制的執(zhí)行有效性以及實施實質(zhì)性程序；(3)注冊會計師應(yīng)當(dāng)評價風(fēng)險評估的結(jié)果是否適當(dāng)，并確定是否已經(jīng)獲取充分、適當(dāng)?shù)膶徲嬜C據(jù)；(4)注冊會計師應(yīng)當(dāng)將實施關(guān)鍵的程序形成審計工作記錄。我們發(fā)現(xiàn)，注冊會計師以針對評估的財務(wù)報表層次重大錯報風(fēng)險為起點，確定總體應(yīng)對措施，并有針對評估的認(rèn)定層次重大錯報風(fēng)險設(shè)計和實施進(jìn)一步審計程序，以將審計風(fēng)險控制在可接受的低水平。風(fēng)險導(dǎo)向的核心是審計風(fēng)險，控制審計風(fēng)險的關(guān)鍵是風(fēng)險評估程序，另一方面，企業(yè)必須準(zhǔn)確地評價和有效地管理各項與企業(yè)成功息息相關(guān)的風(fēng)險。管理層不但需要準(zhǔn)確地了解各項業(yè)務(wù)風(fēng)險以及不良控制的后果，并且能夠根據(jù)所確認(rèn)風(fēng)險的殘余影響的輕重程度分配資源和關(guān)注程度。所以注冊會計師的風(fēng)險評估將有利于企業(yè)的風(fēng)險管理。

(二)企業(yè)的風(fēng)險管理　每個企業(yè)在經(jīng)營中存在各種風(fēng)險，而我們這里討論的企業(yè)風(fēng)險管理中的風(fēng)險概念與金融市場的風(fēng)險概念有所不同，當(dāng)然金融風(fēng)險也是企業(yè)(特別是金融類企業(yè))面臨的風(fēng)險之一，企業(yè)風(fēng)險就是企業(yè)面臨的可能導(dǎo)致企業(yè)虧損的各種不確定性事件，降低企業(yè)的價值。所以風(fēng)險管理需要做的就是盡量避免這種不確定性事件的發(fā)生，或者是降低不確定性事件發(fā)生后對企業(yè)造成的損失。企業(yè)風(fēng)險管理包括四個環(huán)節(jié)：風(fēng)險識別、風(fēng)險評估、風(fēng)險應(yīng)對、風(fēng)險監(jiān)察。第一，風(fēng)險識別是指盡力識別可能對企業(yè)取得成功產(chǎn)生影響的風(fēng)險，包括整個業(yè)務(wù)面臨的較大的風(fēng)險，以及與每個項目或較小的業(yè)務(wù)單位關(guān)系的風(fēng)險，識別潛在風(fēng)險可以認(rèn)識到企業(yè)面臨的各種風(fēng)險類型，而且風(fēng)險識別程序應(yīng)該在企業(yè)內(nèi)的多個層級得以執(zhí)行，這與注冊會計師的風(fēng)險評估貫徹于整個審計過程一樣。第二，風(fēng)險評估是在識別了各種風(fēng)險后，對風(fēng)險的的性質(zhì)、風(fēng)險的類型、風(fēng)險的發(fā)生頻率等進(jìn)行評價，這種評價最主要分為兩方面，一個是影響，另一個是可能性，企業(yè)可能還會采用敏感性分析或者決策樹等方法對風(fēng)險的性質(zhì)進(jìn)行全面的認(rèn)識。這與注冊會計師的風(fēng)險評估相似，不過更加具體、全面。第三，風(fēng)險應(yīng)對是指對上述評估的風(fēng)險采取相應(yīng)的措施，以避免該風(fēng)險對企業(yè)產(chǎn)生的損失，風(fēng)險應(yīng)對的策略包括風(fēng)險降低(如分散投資，就是一種降低風(fēng)險的措施)，風(fēng)險消除(使得該風(fēng)險事件發(fā)生的概率降低為零)，風(fēng)險轉(zhuǎn)移(將風(fēng)險的后果采用保險、合同等方式轉(zhuǎn)移出企業(yè))，風(fēng)險保留(定期風(fēng)險復(fù)核、控制風(fēng)險情境)。第四，風(fēng)險監(jiān)察是指企業(yè)監(jiān)測目標(biāo)的實現(xiàn)過程，關(guān)注新的風(fēng)險和相關(guān)損失，企業(yè)需要對風(fēng)險進(jìn)行監(jiān)察，并在需要時不斷作出調(diào)整。風(fēng)險檢查者定期檢查正在發(fā)生的虧損，以了解他們的控制建議得以實施，并設(shè)計過程來改善風(fēng)險管理的過程，制定一項戰(zhàn)略來應(yīng)對出現(xiàn)的新風(fēng)險。

(三)風(fēng)險評估與經(jīng)營風(fēng)險、審計風(fēng)險　企業(yè)的風(fēng)險識別是風(fēng)險管理的第一步，是指對企業(yè)面臨的，以及潛在的風(fēng)險加以判斷、歸類和鑒定風(fēng)險性質(zhì)的過程。企業(yè)的風(fēng)險一般可以分為兩類：系統(tǒng)風(fēng)險和非系統(tǒng)風(fēng)險。系統(tǒng)風(fēng)險是由公司之外的各種因素引起的，如戰(zhàn)爭、經(jīng)濟(jì)衰退、通貨膨脹、高利率等與政治、經(jīng)濟(jì)和社會相聯(lián)系的風(fēng)險，是不能通過多元化投資而分散的，因此又稱作不可分散風(fēng)險或市場風(fēng)險。非系統(tǒng)風(fēng)險也被稱作可分散風(fēng)險，它是由公司本身的商業(yè)活動和財務(wù)活動帶來的，如企業(yè)的管理水平、研究與開發(fā)、消費(fèi)者需求的改變、市場營銷風(fēng)險以及法律訴訟等，其可以通過多元化投資組合而分散，是公司特有的風(fēng)險。而現(xiàn)代風(fēng)險導(dǎo)向?qū)徲媽L(fēng)險評估、風(fēng)險應(yīng)對與審計程序聯(lián)系起來，這就使得注冊會計師審計不僅僅是出具審計報告的鑒證業(yè)務(wù)，也可以起到促進(jìn)企業(yè)風(fēng)險管理的作用，注冊會計師審計過程中必須進(jìn)行風(fēng)險評估，風(fēng)險評估的過程是為了能夠獲得盡可能準(zhǔn)確的財務(wù)報表重大錯報風(fēng)險信息，以控制審計風(fēng)險，企業(yè)風(fēng)險管理的過程是為了控制企業(yè)經(jīng)營風(fēng)險，從審計風(fēng)險與企業(yè)經(jīng)營風(fēng)險的關(guān)系，我們發(fā)現(xiàn)：其一，風(fēng)險評估是指評估被審計單位風(fēng)險，評估的過程是企業(yè)風(fēng)險管理中的一個環(huán)節(jié)，所以在性質(zhì)上他們具有相似性。其二，風(fēng)險評估的程序包括：了

解被審計單位及其環(huán)境、了解被審計單位的內(nèi)部控制等，而風(fēng)險管理也需要進(jìn)行這些工作，方法包括：觀察、檢查、分析程序，穿行測試等。風(fēng)險評估。其三，風(fēng)險評估的目的相同：對于注冊會計師而言，風(fēng)險評估的目的是為了了解被評估的財務(wù)報表重大錯報風(fēng)險，并且制定風(fēng)險應(yīng)對措施，有效地實施審計程序；對于企業(yè)而言，風(fēng)險評估的目的是為了控制企業(yè)的風(fēng)險點，防止企業(yè)出現(xiàn)虧損的不利情況而實現(xiàn)企業(yè)價值增值。風(fēng)險評估使企業(yè)考慮潛在事項如何影響目標(biāo)的實現(xiàn)。管理當(dāng)局應(yīng)從兩個角度對事項進(jìn)行評估：可能性和嚴(yán)重程度，并且通常采用定性和定量相結(jié)合的方法。在不要求定量化的地方，或者在定量評估所需的可靠數(shù)據(jù)無法取得或獲取和分析數(shù)據(jù)不具有成本效益時，管理者通常采用定性評估技術(shù)。定量技術(shù)精確度更高，通常應(yīng)用在更加復(fù)雜的活動中，以對定性技術(shù)進(jìn)行補(bǔ)充。評估風(fēng)險時既要考慮固有風(fēng)險，也要考慮剩余風(fēng)險。固有風(fēng)險是管理當(dāng)局沒有采取任何措施來改變風(fēng)險的可能性或影響的情況下，一個企業(yè)所面臨的風(fēng)險。剩余風(fēng)險是在管理當(dāng)局應(yīng)對風(fēng)險后所殘余的風(fēng)險。審計中注冊會計師更多關(guān)注的是審計風(fēng)險以及企業(yè)的經(jīng)營風(fēng)險，但是對于企業(yè)其他風(fēng)險管理(如制度風(fēng)險管理、法律風(fēng)險管理)考慮不足，當(dāng)然這是注冊會計師收益成本分析后的結(jié)果，但是注冊會計師必須區(qū)分企業(yè)經(jīng)營風(fēng)險與審計風(fēng)險，經(jīng)營風(fēng)險是指實現(xiàn)不了經(jīng)營目標(biāo)和戰(zhàn)略的可能性，經(jīng)營失敗是經(jīng)營風(fēng)險的擴(kuò)大化，指企業(yè)由于經(jīng)濟(jì)或經(jīng)濟(jì)條件的變化而無法滿足投資者的預(yù)期，經(jīng)營失敗的極端情況是申請破產(chǎn)。誠然企業(yè)經(jīng)營失敗可能使得注冊會計師面臨審計訴訟，經(jīng)營風(fēng)險與審計風(fēng)險有一定的相關(guān)性，但風(fēng)險導(dǎo)向的核心是審計風(fēng)險，而不是企業(yè)的經(jīng)營風(fēng)險。

三、注冊會計師風(fēng)險評估與企業(yè)風(fēng)險管理關(guān)系

(一)二者時間發(fā)展順序　環(huán)境變化促使越來越多的企業(yè)實施全面風(fēng)險管理，也促進(jìn)了風(fēng)險導(dǎo)向?qū)徲嫷陌l(fā)展：從20世紀(jì)90年代開始，隨著新的科技技術(shù)和經(jīng)濟(jì)全球化帶來企業(yè)組織結(jié)構(gòu)虛擬化、集約化、專業(yè)化及扁平化等新的商業(yè)特征，許多跨國公司開始實施全面風(fēng)險管理方法，一些國際咨詢公司和會計師事務(wù)所也開始運(yùn)用這一概念并將其同咨詢或?qū)徲嫎I(yè)務(wù)相結(jié)合。全面風(fēng)險管理體系正在隨著企業(yè)治理的完善而越發(fā)受到重視，風(fēng)險管理的概念逐步引入到我國的企業(yè)中，使得我國企業(yè)的風(fēng)險管理工作納入了公司治理的范圍。2004年9月，COSO了《企業(yè)風(fēng)險管理框架》。該框架是在《內(nèi)部控制――整體框架》報告的基礎(chǔ)上，結(jié)合《薩班斯――奧克斯法案》在報告方面的要求，明確提出企業(yè)風(fēng)險管理是由企業(yè)董事會、管理層和其他員工共同參與，應(yīng)用于企業(yè)戰(zhàn)略制定，以及企業(yè)內(nèi)部各層次和部門，用于識別可能對企業(yè)造成影響的事項，管理風(fēng)險為企業(yè)目標(biāo)的實現(xiàn)提供合理保證。同時該框架還指出：企業(yè)風(fēng)險管理框架由內(nèi)部環(huán)境、目標(biāo)制定、事項識別、風(fēng)險評估、風(fēng)險反應(yīng)、控制活動、信息和溝通、監(jiān)控八個相互關(guān)聯(lián)的要素構(gòu)成。這也奠定了企業(yè)風(fēng)險管理系統(tǒng)的組織模式。風(fēng)險導(dǎo)向?qū)徲嫷陌l(fā)展也與全面的風(fēng)險管理系統(tǒng)構(gòu)建同步，2003年10月，國際會計師聯(lián)合會下屬的國際審計準(zhǔn)則委員會了三個新的國際審計風(fēng)險準(zhǔn)則，并從2004年12月15日或之后開始的期間財務(wù)報表審計起執(zhí)行這三個新準(zhǔn)則。2004年10月，中國注冊會計師協(xié)會根據(jù)國際審計準(zhǔn)則的最新發(fā)展，對已修訂的四個新審計風(fēng)險準(zhǔn)則在全國范圍內(nèi)征求意見，并且于2007年1月1日開始實施。風(fēng)險導(dǎo)向?qū)徲嬕呀?jīng)深入了我國審計的實際工作，為審計業(yè)務(wù)的展開提供了指引。

(二)二者業(yè)務(wù)性質(zhì)相互影響　全面風(fēng)險管理為現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嬶L(fēng)險評估提供了更好的基礎(chǔ)為了評估客戶是否有效地監(jiān)督和控制了其戰(zhàn)略風(fēng)險及其他經(jīng)營風(fēng)險，注冊會計師必須識別、收集和處理大量與客戶經(jīng)營活動相關(guān)的證據(jù)。當(dāng)企業(yè)沒有實施全面風(fēng)險管理時，收集這些證據(jù)即使在理論上是可行的，但為此付出的成本對注冊會計師而言也常常是不經(jīng)濟(jì)的。注冊會計師的風(fēng)險評估程序?qū)ζ髽I(yè)風(fēng)險管理有以下益處：(1)了解企業(yè)的外部環(huán)境風(fēng)險以及內(nèi)部控制成為風(fēng)險評估的重要組成部分，注冊會計師也將公司內(nèi)部控制的有效性作為風(fēng)險應(yīng)對的考慮因素。所以注冊會計師關(guān)于企業(yè)內(nèi)部控制的評價將為企業(yè)的風(fēng)險管理提供建議。(2)注冊會計師在實施控制測試與實質(zhì)性測試時，會將交易的內(nèi)部控制目標(biāo)與關(guān)鍵內(nèi)部控制聯(lián)系起來，然后將測試的結(jié)果與風(fēng)險評估的結(jié)果進(jìn)行對比，這將有助于公司相關(guān)交易所涉及人員在業(yè)務(wù)流程中履行好自己的職責(zé)，注冊會計師審計可以起到監(jiān)督作用，發(fā)現(xiàn)企業(yè)內(nèi)部控制的風(fēng)險點。企業(yè)風(fēng)險管理對注冊會計師的風(fēng)險評估有以下益處：第一，企業(yè)風(fēng)險管理的完善性與企業(yè)內(nèi)部控制系統(tǒng)有著很強(qiáng)的相關(guān)性，所以如果企業(yè)建立了一整套風(fēng)險管理的體系，那么注冊會計師的風(fēng)險評估程序就會減少程序，因為風(fēng)險評估在整個審計過程中的驗證過程都是可靠的。第二，企業(yè)風(fēng)險管理的方式與注冊會計師風(fēng)險評估。企業(yè)全員參與風(fēng)險管理，從整個企業(yè)組合的角度實施風(fēng)險管理，增強(qiáng)了企業(yè)風(fēng)險管理的有效性，注冊會計師能夠在更大程度上信賴企業(yè)的全面風(fēng)險管理，實施風(fēng)險評估。第三，企業(yè)風(fēng)險管理系統(tǒng)的完善性越不好，注冊會計師所涉及的這部分程序設(shè)計需要越謹(jǐn)慎，而風(fēng)險評估程序后提出建議的邊際貢獻(xiàn)越高，這二者之間的交互作用就在于風(fēng)險評估程序是對風(fēng)險管理的一種再監(jiān)察。

(三)二者存在的不同　當(dāng)然二者存在著以下區(qū)別：注冊會計師風(fēng)險評估更多是對內(nèi)部控制有效性的評估，這種評估是因為審計的效率所決定的，而企業(yè)的風(fēng)險管理需要覆蓋企業(yè)的整體層面和各個業(yè)務(wù)流程，所以我們注冊會計師的風(fēng)險評估結(jié)果對于企業(yè)而言是一種參考，注冊會計師的風(fēng)險評估只是對內(nèi)部控制水平高低的一個評價，這并不能完全說明企業(yè)風(fēng)險管理的有效性。注冊會計師可以通過對企業(yè)內(nèi)部控制系統(tǒng)有效性評價來評估客戶監(jiān)督和控制其戰(zhàn)略風(fēng)險及其他經(jīng)營風(fēng)險的情況，如果僅僅是審計過程，注冊會計師不需要提出風(fēng)險管理改進(jìn)建議，他們評估的財務(wù)報表重大錯報風(fēng)險只是為了控制檢查風(fēng)險，進(jìn)而控制審計風(fēng)險。所以注冊會計師審計過程的風(fēng)險評估與企業(yè)風(fēng)險管理過程中的風(fēng)險評估目的相似，但企業(yè)風(fēng)險管理的目的和注冊會計師的風(fēng)險評估還是存在不同。

四、企業(yè)風(fēng)險管理及風(fēng)險評估路徑

(一)風(fēng)險評估報告與企業(yè)風(fēng)險管理　(圖1)呈現(xiàn)了風(fēng)險導(dǎo)向?qū)徲嫷目蚣埽L(fēng)險導(dǎo)向?qū)徲嬜畲蟮囊c就在于實施基本審計程序前的風(fēng)險評估。而且后來的審計程序結(jié)果會不斷檢驗風(fēng)險評估的結(jié)果，不斷地修正與調(diào)險估計水平，在整個審計過程中都需要進(jìn)行風(fēng)險評估過程，所以注冊會計師可以在審計完成后形成風(fēng)險評估的最終結(jié)果，形成風(fēng)險評估報告，以評價內(nèi)部控制的有效性及風(fēng)險管理控制的水平。該報告可能涉及內(nèi)部環(huán)境、企業(yè)風(fēng)險評估、風(fēng)險反應(yīng)、控制活動、信息和溝通、監(jiān)控等要素，對企業(yè)內(nèi)部控制的測試結(jié)果進(jìn)行一個總結(jié)性陳述，形成風(fēng)險評估報告。風(fēng)險評估報告作為風(fēng)險導(dǎo)向?qū)徲嬰A段性成果在審計完成后反饋給被審計客戶，以幫助被審計客戶進(jìn)一步完善內(nèi)部控制水平，但我們必須意識到：風(fēng)險評估報告不是審計報告的子報告，風(fēng)險評估報告僅僅為被審計單位進(jìn)一步提高內(nèi)部控制水平而用，而非鑒證報告，注冊會計師不需要提供保證。

(二)風(fēng)險評估報告與信息系統(tǒng)風(fēng)險管理　注冊會計師評價內(nèi)部控制有效性的要求里就包括了評價信息系統(tǒng)的有效性，所以注

篇2

會議名稱：2018年三季度全面風(fēng)險管理會

日期：2018年10月17日

地點：二樓視頻會議室

出席人：xx行長、xx副行長、xx、xx、、

列席人：紀(jì)檢組長xx、xx

主持人：xx行長

記錄人：xx

 

一、  授信與風(fēng)險管理部匯報本條線全面風(fēng)險管理工作

（一）授信與風(fēng)險管理部負(fù)責(zé)人xx匯報2018年三季度授信與風(fēng)險條線風(fēng)險評估報告

xx行長對營業(yè)部二季度全面風(fēng)險會議要求整改未落實的事項進(jìn)行了詢問。

（二）授信與風(fēng)險管理部負(fù)責(zé)人xx匯報2018年三季度貸后管理工作報告

二、綜合管理部匯報本條線全面風(fēng)險管理工作

（一）綜合管理部負(fù)責(zé)人xx對人力資源條線操作風(fēng)險情況、聲譽(yù)風(fēng)險情況、行政印章條線操作風(fēng)險情況、信息科技條線操作風(fēng)險情況、安全保衛(wèi)條線操作風(fēng)險情況做了評估報告

（二）xx行長對聲譽(yù)風(fēng)險情況中仍有個別客戶反饋從我行購買貴金屬產(chǎn)品存在質(zhì)量問題的解決情況進(jìn)行了詢問

三、財務(wù)與營運(yùn)管理部匯報本條線全面風(fēng)險管理工作

（一）財務(wù)與營運(yùn)管理部負(fù)責(zé)人xx匯報本條線評估報告

（二）xx行長對受理詢證函業(yè)務(wù)不規(guī)范做了詢問，并要求整改

四、公司部負(fù)責(zé)人xx對本條線風(fēng)險評估報告進(jìn)行匯報

五、個金部匯報本條線全面風(fēng)險管理工作

（一）個金部負(fù)責(zé)人xx匯報2018年三季度個金部條線風(fēng)險評估報告

（二）xx行長對機(jī)具的管理進(jìn)行了詢問

六、營業(yè)部xx對本條線風(fēng)險評估報告進(jìn)行匯報

七、分管行領(lǐng)導(dǎo)xx、xx分別講話

（一）xx副行長講話

1、風(fēng)險防范意識需進(jìn)一步加強(qiáng)

（1）貸后管理不到位，要對政策文化、評級變化掌握透徹

（2）個貸資料審核還存在問題

2、業(yè)務(wù)素質(zhì)和業(yè)務(wù)能力仍需進(jìn)一步提升

（1）大堂的卡掛失等

（2）小微企業(yè)專題會

3、加強(qiáng)工作的執(zhí)行力度

（1）培訓(xùn)（2）外部監(jiān)管機(jī)構(gòu)的材料報送

4、希望交行員工能踐行交行精神、踐行責(zé)任和擔(dān)當(dāng)，確保我們交行的業(yè)務(wù)是風(fēng)險可控、持續(xù)穩(wěn)健發(fā)展，落實好各部門工作計劃。

（二）xx副行長講話

1、大部分操作風(fēng)險的原因

（1）意識不強(qiáng)（2）制度不懂（3）業(yè)務(wù)不熟

2、建議

（1）強(qiáng)化培訓(xùn)（2）強(qiáng)化落實（3）強(qiáng)化考核

八、xx行長講話

（一）對各個部門的工作給予肯定并提出表揚(yáng)

（二）要求

1、系統(tǒng)內(nèi)外的檢查

2、標(biāo)準(zhǔn)動作和自選動作相結(jié)合

3、檢查和員工素質(zhì)提高相結(jié)合

4、全面風(fēng)險管理和決策

5、按周檢查、按月檢查、注重日常檢查

6、營運(yùn)部和營業(yè)部加強(qiáng)對消保的管理

7、綜管部加強(qiáng)對7萬元盜刷的輿情管理，與營運(yùn)部做配合

8、風(fēng)控部按季核查存放中國銀行的存放資金

九、湘西紀(jì)檢組部署和安排工作

（一）湘西紀(jì)檢組xx對公司部的匯報中有黨風(fēng)廉政和案防教育提出了表揚(yáng)

（二）湘西紀(jì)檢組xx對以后的全面風(fēng)險管理會的各部門匯報材料提出了要求和建議

篇3

【關(guān)鍵詞】安全風(fēng)險；安全措施；風(fēng)險評估報告

1.前言

建筑業(yè)是危險性較大的行業(yè)之一，安全生產(chǎn)管理的任務(wù)十分艱巨，安全生產(chǎn)不僅關(guān)系到廣大群眾的根本利益，也關(guān)系到企業(yè)的形象，還關(guān)系到國家和民族的形象，甚至影響著社會的穩(wěn)定和發(fā)展。黨的十六屆五中全會確立了“安全生產(chǎn)”的指導(dǎo)原則，我國“十一五”發(fā)展規(guī)劃中首次提出了“安全發(fā)展”的新理念。所有這些表明，安全生產(chǎn)已成為生產(chǎn)經(jīng)營活動的基本保障，更是當(dāng)前建筑工程行業(yè)管理的首要目標(biāo)。

風(fēng)險評估的目的是為了全面了解建設(shè)安全的總體安全狀況，并明確掌握系統(tǒng)中各資產(chǎn)的風(fēng)險級別或風(fēng)險值，從而為工程安全管理措施的制定提供參考。因此可以說風(fēng)險評估是建立安全管理體系（ISMS）的基礎(chǔ)，也是前期必要的工作。風(fēng)險評估包括兩個過程：風(fēng)險分析和風(fēng)險評價[1][2]。風(fēng)險分析是指系統(tǒng)化地識別風(fēng)險來源和風(fēng)險類型，風(fēng)險評價是指按給出的風(fēng)險標(biāo)準(zhǔn)估算風(fēng)險水平，確定風(fēng)險嚴(yán)重性。

2.風(fēng)險評估模型與方法

風(fēng)險評估安全要素主要包括資產(chǎn)、脆弱性、安全風(fēng)險、安全措施、安全需求、殘余風(fēng)險。在風(fēng)險評估的過程中要對以上方面的安全要素進(jìn)行識別、分析。

2.1 資產(chǎn)識別與賦值

一個組織的信息系統(tǒng)是由各種資產(chǎn)組成，資產(chǎn)的自身價值與衍生價值決定信息系統(tǒng)的總體價值。資產(chǎn)的安全程度直接反映信息系統(tǒng)的安全水平。因此資產(chǎn)的價值是風(fēng)險評估的對象。

本文的風(fēng)險評估方法將資產(chǎn)主要分為硬件資產(chǎn)、軟件資產(chǎn)、文檔與數(shù)據(jù)、人力資源、信息服務(wù)等[1][2]。建設(shè)工程的資產(chǎn)主要體現(xiàn)在建筑產(chǎn)品、施工人員、施工機(jī)械等。

風(fēng)險評估的第一步是界定ISMS的范圍，并盡可能識別該范圍內(nèi)對業(yè)務(wù)過程有價值的所有事物。

資產(chǎn)識別與賦值階段主要評價要素為{資產(chǎn)名稱、責(zé)任人、范圍描述、機(jī)密性值C、完整性值I、可用性值A(chǔ)、QC、QI、QA}。QC、QI、QA分別為保密性，完整性，可用性的權(quán)重，QC=C / （C+I+A），QI、QA類似。

2.2 識別重要資產(chǎn)

信息系統(tǒng)內(nèi)部的資產(chǎn)很多，但決定工程安全水平的關(guān)鍵資產(chǎn)是相對有限的，在風(fēng)險評估中可以根據(jù)資產(chǎn)的機(jī)密性、完整性和可用性這三個安全屬性來確定資產(chǎn)的價值。

通常，根據(jù)實際經(jīng)驗，三個安全屬性中最高的一個對最終的資產(chǎn)價值影響最大。換而言之，整體安全屬性的賦值并不隨著三個屬性值的增加而線性增加，較高的屬性值具有較大的權(quán)重。

在風(fēng)險評估方法中使用下面的公式來計算資產(chǎn)價值：

資產(chǎn)價值=10×Round{Log2[（2C+2I+2A）/3]}

其中，C代表機(jī)密性賦值；I代表完整性賦值；A代表可用性賦值；Round{}表示四舍五入。

從上述表達(dá)式可以發(fā)現(xiàn)：三個屬性值每相差一，則影響相差兩倍，以此來體現(xiàn)最高安全屬性的決定性作用。在實際評估中，常常選擇資產(chǎn)價值大于25的為重要資產(chǎn)。

2.3 威脅與脆弱性分析

識別并評價資產(chǎn)后，應(yīng)識別每個資產(chǎn)可能面臨的威脅。在識別威脅時，應(yīng)該根據(jù)資產(chǎn)目前所處的環(huán)境條件和以前的記錄情況來判斷。需要注意的是，一項資產(chǎn)可能面臨多個威脅，而一個威脅也可能對不同的資產(chǎn)造成影響。

識別威脅的關(guān)鍵在于確認(rèn)引發(fā)威脅的人或事物，即所謂的威脅源或威脅。建筑企業(yè)的威脅源主要是四個方面：人的不安全行為，物的不安全因素、環(huán)境的不安全因素、管理的不安全因素。

識別資產(chǎn)面臨的威脅后，還應(yīng)根據(jù)經(jīng)驗或相關(guān)的統(tǒng)計數(shù)據(jù)來判斷威脅發(fā)生的頻率或概率。評估威脅可能性時有兩個關(guān)鍵因素需要考慮：威脅動機(jī)和威脅能力。威脅源的能力和動機(jī)可以用極低、低、中等、高、很高（1、2、3、4、5）這五級來衡量。脆弱性，即可被威脅利用的弱點，識別主要以資產(chǎn)為核心，從技術(shù)和管理兩個方面進(jìn)行。在評估中可以分為五個等級：幾乎無（1）、輕微（2）、一般（3）、嚴(yán)重（4）、非常嚴(yán)重（5）。在風(fēng)險評估中，現(xiàn)有安全措施的識別也是一項重要工作，因為它也是決定資產(chǎn)安全等級的一個重要因素。我們要在分析安全措施效力的基礎(chǔ)上，確定威脅利用脆弱性的實際可能性。

2.4 綜合風(fēng)險值

資產(chǎn)的綜合風(fēng)險值是以量化的形式來衡量資產(chǎn)的安全水平。在計算風(fēng)險值時，以威脅最主要影響資產(chǎn)C、I、A三安全屬性所對應(yīng)的系數(shù)QC、QI、QA為權(quán)重。計算方法為：

威脅的風(fēng)險值（RT）=威脅的影響值（I）×威脅發(fā)生的可能性（P）；

2.5 風(fēng)險處理

通過前面的過程，我們得到資產(chǎn)的綜合風(fēng)險值，根據(jù)組織的實際情況，和管理層溝通后劃定臨界值來確定被評估的風(fēng)險結(jié)果是可接收還是不可接收的。

對于不可接收的風(fēng)險按風(fēng)險數(shù)值排序或通過區(qū)間劃分的方法將風(fēng)險劃分為不同的優(yōu)先等級，對于風(fēng)險級別高的資產(chǎn)應(yīng)優(yōu)先分配資源進(jìn)行保護(hù)。

對于不可接收的風(fēng)險處理方法有四種[3]：

1）風(fēng)險回避，組織可以選擇放棄某些業(yè)務(wù)或資產(chǎn)，以規(guī)避風(fēng)險。是以一定的方式中斷風(fēng)險源，使其不發(fā)生或不再發(fā)展，從而避免可能產(chǎn)生的潛在損失。例如投標(biāo)中出現(xiàn)明顯錯誤或漏洞，一旦中標(biāo)損失巨大，可以選擇放棄中標(biāo)的原則，可能會損失投標(biāo)保證金，但可避免更大的損失。

2） 降低風(fēng)險：實施有效控制，將風(fēng)險降低到可接收的程度，實際上就是設(shè)法減少威脅發(fā)生的可能性和帶來的影響，途徑包括：

a.減少威脅：例如降低物的不安全因素和人的不安全因素。

b.減少脆弱性：例如，通過安全教育和意識培訓(xùn)，強(qiáng)化員工的安全意識等。

c.降低影響：例如災(zāi)難計劃，把風(fēng)險造成的損失降到最低。

d.監(jiān)測意外事件、響應(yīng)，并恢復(fù)：例如應(yīng)急計劃和預(yù)防計劃，及時發(fā)現(xiàn)出現(xiàn)的問題。

3）轉(zhuǎn)移風(fēng)險：將風(fēng)險全部或者部分轉(zhuǎn)移到其他責(zé)任方，是建筑行業(yè)風(fēng)險管理中廣泛采用的一項對策，例如，工程保險和合同轉(zhuǎn)移是風(fēng)險轉(zhuǎn)移的主要方式。

4）風(fēng)險自留： 適用于別無選擇、期望損失不嚴(yán)重、損失可準(zhǔn)確預(yù)測、企業(yè)有短期內(nèi)承受最大潛在損失的能力、機(jī)會成本很大、內(nèi)部服務(wù)優(yōu)良的風(fēng)險。

選擇風(fēng)險處理方式，要根據(jù)組織運(yùn)營的具體業(yè)務(wù)環(huán)境與條件來決定，總的原則就是控制措施要與特定的業(yè)務(wù)要求匹配。最佳實踐是將合適的技術(shù)、恰當(dāng)?shù)娘L(fēng)險消減策略，以及管理規(guī)范有機(jī)結(jié)合起來，這樣才能達(dá)到較好的效果。

通過風(fēng)險處理后，并不能絕對消除風(fēng)險，仍然存在殘余風(fēng)險：

殘余風(fēng)險Rr =原有的風(fēng)險Ro-控制R

目標(biāo)：殘余風(fēng)險Rr≤可接收的風(fēng)險Rt，力求將殘余風(fēng)險保持在可接受的范圍內(nèi)，對殘余風(fēng)險進(jìn)行有效控制并定期評審。

主要評估兩方面：不可接受風(fēng)險處理計劃表，主要評價要素為{資產(chǎn)名稱、責(zé)任人、威脅、脆弱點、已有控制措施、風(fēng)險處理方式、優(yōu)先處理等級、風(fēng)險處理措施、處理人員、完成日期}；殘余風(fēng)險評估表，主要評價要素為{資產(chǎn)名稱、責(zé)任人、威脅、脆弱點、已有控制措施、增加的控制措施、殘余威脅發(fā)生可能性、殘余威脅影響程度、殘余風(fēng)險值}。

2.6 風(fēng)險評估報告

在風(fēng)險評估結(jié)束后，經(jīng)過全面分析研究，應(yīng)提交詳細(xì)的《安全風(fēng)險評估報告》，報告應(yīng)該包括[4]：

1） 概述，包括評估目的、方法、過程等。

2） 各種評估過程文檔，包括重要資產(chǎn)清單、安全威脅和脆弱性清單、現(xiàn)有控制措施的評估等級，最終的風(fēng)險評價等級、殘余風(fēng)險處理等。

3）推薦安全措施建議。

3.結(jié)論

目前仍有相當(dāng)一部分施工現(xiàn)場存在各種安全隱患，安全事故層出不群，不僅給人們帶來劇痛的傷亡和財產(chǎn)損失，還給社會帶來不穩(wěn)定的因素。風(fēng)險評估是工程安全領(lǐng)域中的一個重要分支，涉及到計算機(jī)科學(xué)、管理學(xué)、建筑工程安全技術(shù)與管理等諸多學(xué)科，本文的評估方法綜合運(yùn)用了定性、定量的手段來確定建設(shè)工程中各個安全要素，最終衡量出建設(shè)工程的安全狀況與水平，為建立安全管理體系ISMS提供基礎(chǔ)，對建設(shè)工程的風(fēng)險評估具有一定的借鑒意義。

參考文獻(xiàn)：

[1]ISO/IEC 17799：2000 Information Technology-Code of Practice for Information Security Management.

[2]BS7799-2：2002.Information Security Management-Specification for Information Security Management Systems.

篇4

關(guān)鍵詞：網(wǎng)絡(luò)安全；風(fēng)險評估；安全措施

中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044(2008)06-11012-01

A Survey of Network Security Risk Assessment

CHEN Jun-wei

(Dept. of Computer, Nanjing University of Posts and Telecommunications, Nanjing 210003,China)

Abstract：To assess the security condition of a network system, is one of the most important technologies in security area. In this paper, we will point out the shortcomings of the present security guard, in the discussion of the standards and measures of existing risk assessment, and propose methods and directions which are beneficial in perfecting the assessment systems.

Key words:Network security; risk assessment; security measures

1 引言

頻頻發(fā)生的信息安全事件正在日益引起全球的關(guān)注，列舉的近年來的網(wǎng)絡(luò)突發(fā)事件，不難發(fā)現(xiàn)，強(qiáng)化提升網(wǎng)絡(luò)安全風(fēng)險評估意識、強(qiáng)化信息安全保障為當(dāng)務(wù)之急。所謂風(fēng)險評估，是指網(wǎng)絡(luò)安全防御中的一項重要技術(shù)，它的原理是，根據(jù)已知的安全漏洞知識庫，對目標(biāo)可能存在的安全隱患進(jìn)行逐項檢查。然后根據(jù)掃描結(jié)果向系統(tǒng)管理員提供周密可靠的安全性分析報告，為提高網(wǎng)絡(luò)安全整體水平提供重要依據(jù)。完成一個信息安全系統(tǒng)的設(shè)計與實施并不足以代表該信息安全事務(wù)的完結(jié)。隨著新技術(shù)、新應(yīng)用的不斷出現(xiàn)，以及所導(dǎo)致的信息技術(shù)環(huán)境的轉(zhuǎn)變，信息安全工作人員要不斷地評估當(dāng)前的安全威脅，并不斷對當(dāng)前系統(tǒng)中的安全性產(chǎn)生認(rèn)知。

2 網(wǎng)絡(luò)安全風(fēng)險評估的現(xiàn)狀

2.1 風(fēng)險評估的必要性

有人說安全產(chǎn)品就是保障網(wǎng)絡(luò)安全的基礎(chǔ)，但有了安全產(chǎn)品，不等于用戶可以高枕無憂地應(yīng)用網(wǎng)絡(luò)。產(chǎn)品是沒有生命的，需要人來管理與維護(hù)，這樣才能最大程度地發(fā)揮其效能。病毒和黑客可謂無孔不入，時時伺機(jī)進(jìn)攻。這就更要求對安全產(chǎn)品及時升級，不斷完善，實時檢測，不斷補(bǔ)漏。網(wǎng)絡(luò)安全并不是僅僅依靠網(wǎng)絡(luò)安全產(chǎn)品就能解決的，它需要合適的安全體系和合理的安全產(chǎn)品組合，需要根據(jù)網(wǎng)絡(luò)及網(wǎng)絡(luò)用戶的情況和需求規(guī)劃、設(shè)計和實施一定的安全策略。通常，在一個企業(yè)中，對安全技術(shù)了如指掌的人員不多，大多技術(shù)人員停留在對安全產(chǎn)品的一般使用上，如果安全系統(tǒng)出現(xiàn)故障或者黑客攻擊引發(fā)網(wǎng)絡(luò)癱瘓，他們將束手無策。這時他們需要的是安全服務(wù)。而安全評估，便是安全服務(wù)的重要前期工作。網(wǎng)絡(luò)信息安全，需要不斷評估方可安全威脅。

2.2 安全評估的目標(biāo)、原則及內(nèi)容

安全評估的目標(biāo)通常包括：確定可能對資產(chǎn)造成危害的威脅；通過對歷史資料和專家的經(jīng)驗確定威脅實施的可能性；對可能受到威脅影響的資產(chǎn)確定其價值、敏感性和嚴(yán)重性，以及相應(yīng)的級別，確定哪些資產(chǎn)是最重要的；準(zhǔn)確了解企業(yè)網(wǎng)的網(wǎng)絡(luò)和系統(tǒng)安全現(xiàn)狀；明晰企業(yè)網(wǎng)的安全需求；制定網(wǎng)絡(luò)和系統(tǒng)的安全策略；制定網(wǎng)絡(luò)和系統(tǒng)的安全解決方案；指導(dǎo)企業(yè)網(wǎng)未來的建設(shè)和投入；通過項目實施和培訓(xùn)，培養(yǎng)用戶自己的安全隊伍。而在安全評估中必須遵循以下原則：標(biāo)準(zhǔn)性原則、可控性原則、整體性原則、最小影響原則、保密性原則。

安全評估的內(nèi)容包括專業(yè)安全評估服務(wù)和主機(jī)系統(tǒng)加固服務(wù)。專業(yè)安全評估服務(wù)對目標(biāo)系統(tǒng)通過工具掃描和人工檢查，進(jìn)行專業(yè)安全的技術(shù)評定，并根據(jù)評估結(jié)果提供評估報告。

目標(biāo)系統(tǒng)主要是主流UNIX及NT系統(tǒng)，主流數(shù)據(jù)庫系統(tǒng)，以及主流的網(wǎng)絡(luò)設(shè)備。使用掃描工具對目標(biāo)系統(tǒng)進(jìn)行掃描，提供原始評估報告或由專業(yè)安全工程師提供人工分析報告。或是人工檢查安全配置檢查、安全機(jī)制檢查、入侵追查及事后取證等內(nèi)容。而主機(jī)系統(tǒng)加固服務(wù)是根據(jù)專業(yè)安全評估結(jié)果，制定相應(yīng)的系統(tǒng)加固方案，針對不同目標(biāo)系統(tǒng)，通過打補(bǔ)丁、修改安全配置、增加安全機(jī)制等方法，合理進(jìn)行安全性加強(qiáng)。

系統(tǒng)加固報告服務(wù)選擇使用該服務(wù)包，必須以選擇ISMR/SSMR/HME服務(wù)包為前提，針對評估分析報告，提出加固報告。系統(tǒng)加固報告增強(qiáng)服務(wù)選擇使用該服務(wù)包，必須以選擇ISMR/SSMR/HME服務(wù)包為前提，針對評估分析報告，提出系統(tǒng)加固報告，并將系統(tǒng)加固報告、加固步驟、所需補(bǔ)丁程序以光盤形式提交客戶。系統(tǒng)加固實施服務(wù)選擇使用該服務(wù)包，必須以選擇 ISMR/SSMR/HME服務(wù)包為前提，針對評估分析報告，提出系統(tǒng)加固報告，并將系統(tǒng)加固報告、加固步驟、所需補(bǔ)丁程序以光盤形式提交客戶，并由專業(yè)安全工程師實施加固工作。

3 網(wǎng)絡(luò)安全風(fēng)險評估系統(tǒng)

討論安全評定的前提在于企業(yè)已經(jīng)具有了較為完備的安全策略，這項工作主要檢測當(dāng)前的安全策略是否被良好的執(zhí)行，從而發(fā)現(xiàn)系統(tǒng)中的不安全因素。當(dāng)前計算機(jī)世界應(yīng)用的主流網(wǎng)絡(luò)協(xié)議是TCP/IP，而該協(xié)議族并沒有內(nèi)置任何安全機(jī)制。這意味著基于網(wǎng)絡(luò)的應(yīng)用程序必須被非常好的保護(hù)，網(wǎng)絡(luò)安全評定的主要目標(biāo)就是為修補(bǔ)全部的安全問題提供指導(dǎo)。

評定網(wǎng)絡(luò)安全性的首要工作是了解網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，拓?fù)涿枋鑫臋n并不總能反映最新的網(wǎng)絡(luò)狀態(tài)，進(jìn)行一些實際的檢測是非常必要的。最簡單的，可以通過Trackroute工具進(jìn)行網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)，但是一些網(wǎng)絡(luò)節(jié)點可能會禁止Trackroute流量的通過。在了解了網(wǎng)絡(luò)拓?fù)渲?，?yīng)該獲知所有計算機(jī)的網(wǎng)絡(luò)地址和機(jī)器名。對于可以訪問的計算機(jī)，還應(yīng)該了解其正在運(yùn)行的端口，這可以通過很多流行的端口發(fā)現(xiàn)工具實現(xiàn)。當(dāng)對整個網(wǎng)絡(luò)的架構(gòu)獲得了足夠的認(rèn)知以后，就可以針對所運(yùn)行的網(wǎng)絡(luò)協(xié)議和正在使用的端口發(fā)現(xiàn)網(wǎng)絡(luò)層面的安全脆弱點了。通常使用的方法是對協(xié)議和端口所存在的安全漏洞逐項進(jìn)行測試。

安全領(lǐng)域的很多專家都提出邊界防御已經(jīng)無法滿足今天的要求，為了提高安全防御的質(zhì)量，除了在網(wǎng)絡(luò)邊界防范外部攻擊之外，還應(yīng)該在網(wǎng)絡(luò)內(nèi)部對各種訪問進(jìn)行監(jiān)控和管理。企業(yè)組織每天都會從信息應(yīng)用環(huán)境中獲得大量的數(shù)據(jù)，包括系統(tǒng)日志、防火墻日志、入侵檢測報警等。是否能夠從這些信息中有效的識別出安全風(fēng)險，是風(fēng)險管理中重要一環(huán)。目前的技術(shù)手段主要被應(yīng)用于信息的收集、識別和分析，也有很多廠商開發(fā)出了整合式的安全信息管理平臺，可以實現(xiàn)所有系統(tǒng)模塊的信息整合與聯(lián)動。

數(shù)據(jù)作為信息系統(tǒng)的核心價值，被直接攻擊和盜取數(shù)據(jù)將對用戶產(chǎn)生極大的危害。正因為如此，數(shù)據(jù)系統(tǒng)極易受到攻擊。對數(shù)據(jù)庫平臺來說，應(yīng)該驗證是否能夠從遠(yuǎn)程進(jìn)行訪問，是否存在默認(rèn)用戶名密碼，密碼的強(qiáng)度是否達(dá)到策略要求等。而除了數(shù)據(jù)庫平臺之外，數(shù)據(jù)管理機(jī)制也應(yīng)該被仔細(xì)評估。不同級別的備份措施乃至完整的災(zāi)難備份機(jī)制都應(yīng)該進(jìn)行有效的驗證，不但要檢驗其是否存在安全問題，還要確認(rèn)其有效性。大部分?jǐn)?shù)據(jù)管理產(chǎn)品都附帶了足夠的功能進(jìn)行安全設(shè)定和數(shù)據(jù)驗證，利用這些功能可以很好的完成安全評定工作并有效的與安全策略管理相集成。攻擊者的一個非常重要目的在于無需授權(quán)訪問某些應(yīng)用，而這往往是獲得系統(tǒng)權(quán)限和數(shù)據(jù)的跳板。事實上大部分的安全漏洞都來自于應(yīng)用層面，這使得應(yīng)用程序的安全評定成為整個工作體系中相當(dāng)重要的一個部分。與更加規(guī)程化的面向體系底層的安全評定相比，應(yīng)用安全評定需要工作人員具有豐富的安全知識和堅實的技術(shù)技能。

4 結(jié)束語

目前我國信息系統(tǒng)安全風(fēng)險評估工作，在測試數(shù)據(jù)采集和處理方面缺乏實用的技術(shù)和工具的支持，已經(jīng)成為制約我國風(fēng)險評估水平的重要因素。需要研究用于評價信息安全評估效用的理論和方法，總結(jié)出一套適用于我國國情的信息安全效用評價體系，以保證信息安全風(fēng)險評估結(jié)果準(zhǔn)確可靠，可以為風(fēng)險管理活動提供有價值的參考；加強(qiáng)我國信息安全風(fēng)險評估隊伍建設(shè)，促使我國信息安全評估水平得到持續(xù)改進(jìn)。

參考文獻(xiàn)：

[1] 陳曉蘇，朱國勝，肖道舉.TCP/IP協(xié)議族的安全架構(gòu)[N].華中科技大學(xué)學(xué)報,2001，32-34.

[2] 賈穎禾.國務(wù)院信息化工作辦公室網(wǎng)絡(luò)與信息安全組.信息安全風(fēng)險評估[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2004(7)，21-24.

[3] 劉恒,信息安全風(fēng)險評估挑戰(zhàn)[R],信息安全風(fēng)險評估與信息安全保障體系建設(shè)研討會,2004.10.12.

[4] [美]Thomas A Wadlow.網(wǎng)絡(luò)安全實施方法.瀟湘工作室譯.北京:人民郵電出版社，2000.

[5] 張衛(wèi)清,王以群.網(wǎng)絡(luò)安全與網(wǎng)絡(luò)安全文化[J].情報雜志,2006(1)，40-45

[6] 趙戰(zhàn)生,信息安全風(fēng)險評估[R],第全國計算機(jī)學(xué)術(shù)交流會,2004.7.3.

篇5

關(guān)鍵詞：施工企業(yè) COSO報告 內(nèi)部控制系統(tǒng) 風(fēng)險管理

一、COSO內(nèi)部控制框架

美國政府為了加強(qiáng)對市場的監(jiān)管，出臺了內(nèi)部控制及公司治理的相關(guān)措施，其中COSO委員會于1992年提出、并于1994年修改的《內(nèi)部控制整合框架》將內(nèi)部控制定義為由企業(yè)董事會、管理層和其他員工實施的，為營運(yùn)的效率效果、財務(wù)報告的可靠性、相關(guān)法令的遵循性等目標(biāo)的達(dá)成而提供合理保證的過程。內(nèi)部控制由控制環(huán)境、風(fēng)險評估、控制活動、信息和溝通以及監(jiān)督這五個要素構(gòu)成。上述三類目標(biāo)是企業(yè)的努力方向，而五個要素則是實現(xiàn)目標(biāo)的必要條件，二者相互關(guān)聯(lián)。五個要素之間相互協(xié)調(diào)，共同構(gòu)成對不斷變化的環(huán)境做出動態(tài)反應(yīng)的有機(jī)整體。進(jìn)入21世紀(jì)后，風(fēng)險管理備受全球關(guān)注，COSO委員會于2004年了《企業(yè)風(fēng)險管理整合框架》，包括內(nèi)部環(huán)境、目標(biāo)設(shè)定、事項識別、風(fēng)險評估、風(fēng)險應(yīng)對、控制活動、信息與溝通以及監(jiān)督八個要素。我國于2008年了《企業(yè)內(nèi)部控制基本規(guī)范》，該規(guī)范中對內(nèi)控的描述與《內(nèi)部控制整合框架》基本相同。

二、施工企業(yè)的控制環(huán)境

內(nèi)部控制在施工企業(yè)具有廣泛的適用性，然而，目前我國施工企業(yè)的內(nèi)部控制還相當(dāng)薄弱，主要表現(xiàn)在內(nèi)部控制環(huán)境差，風(fēng)險評估意識淡薄，控制活動不嚴(yán)密，信息與溝通不流暢以及監(jiān)督檢查流于形式這五個方面。從我國施工企業(yè)內(nèi)部控制的現(xiàn)狀來看，構(gòu)建一個理想的內(nèi)部控制體系勢在必行。控制環(huán)境是五個要素中最基本的要素，被視為其他四個要素的基礎(chǔ)。施工企業(yè)的控制環(huán)境主要包括以下四個方面。

（一）高管層的重視與支持

施工企業(yè)內(nèi)部控制是企業(yè)管理中一項綜合性很強(qiáng)的工作，涉及到施工工作的各個環(huán)節(jié)，影響每個職工的切身利益，尤其是對高管層權(quán)力具有約束作用。例如針對分包隊伍管理這一問題，有些單位將該權(quán)利交由主管領(lǐng)導(dǎo)一人決定；若實施內(nèi)部控制制度，則需要全員共同參與決策。因此，內(nèi)部控制制度是否能夠在施工企業(yè)順利、有效展開實施，良好的控制環(huán)境能否在施工企業(yè)建立，高管層的重視和支持起關(guān)鍵性作用。

（二）與施工企業(yè)相適應(yīng)的用人機(jī)制

施工企業(yè)的施工現(xiàn)場很多地處偏遠(yuǎn)山區(qū)，生活及工作環(huán)境比較惡劣，致使許多施工企業(yè)出現(xiàn)了關(guān)鍵技術(shù)員工辭職、離職的現(xiàn)象，嚴(yán)重影響施工生產(chǎn)的正常運(yùn)行。如果企業(yè)缺乏完善的人事制度，企業(yè)的管理、運(yùn)轉(zhuǎn)，甚至生存都將面臨危險。因此，對施工企業(yè)來講，一套較為完善的人事制度，應(yīng)該包括員工的錄用制度、培訓(xùn)制度、考核制度、晉升制度以及激勵和福利制度等。

（三）加強(qiáng)施工企業(yè)文化建設(shè)

文化是企業(yè)的靈魂，優(yōu)秀的企業(yè)文化是一種無形的力量和源泉，能夠引導(dǎo)每一位員工以良好的精神面貌完成每一項管理和控制工作。施工企業(yè)的流動性決定了其企業(yè)文化的特殊之處。施工現(xiàn)場文化主要體現(xiàn)為文明施工建設(shè)，主要包括規(guī)范現(xiàn)場的場容管理，保持作業(yè)環(huán)境整潔衛(wèi)生；做好現(xiàn)場物資、機(jī)械、安全、技術(shù)、保衛(wèi)和消防等方面管理；施工現(xiàn)場各種標(biāo)識牌和標(biāo)語的管理；員工娛樂設(shè)施管理，減少對居民和環(huán)境的不利影響等。施工工地的文明施工水平是該項目工地乃至所在企業(yè)各項管理工作水平的綜合體現(xiàn)，也是施工企業(yè)文化特色的集中表現(xiàn)。

（四）合理、高效的施工企業(yè)組織機(jī)構(gòu)

施工生產(chǎn)的單件性、露天性和流動性的特征，使施工企業(yè)的組織形式，尤其是現(xiàn)場組織形式，處于動態(tài)組合狀態(tài)。面對日益復(fù)雜多變的市場環(huán)境，組織機(jī)構(gòu)的設(shè)置應(yīng)有利于企業(yè)走向市場，同時有利于增加企業(yè)經(jīng)濟(jì)效益。

三、施工企業(yè)的風(fēng)險管理

施工企業(yè)常見的風(fēng)險類型包括經(jīng)營風(fēng)險、管理風(fēng)險以及財務(wù)風(fēng)險等方面。施工企業(yè)應(yīng)樹立風(fēng)險意識，分析風(fēng)險的類別及其特點，劃分風(fēng)險的責(zé)任范圍，針對各個風(fēng)險控制點建立有效的風(fēng)險識別、評估、響應(yīng)和監(jiān)控等風(fēng)險管理流程系統(tǒng)。通過各種具體措施，縮小風(fēng)險范圍，降低風(fēng)險系數(shù)，明確風(fēng)險目標(biāo)，加強(qiáng)管理，提高工作效率，減少風(fēng)險損失，保證施工生產(chǎn)的正常運(yùn)行。

施工企業(yè)風(fēng)險管理的循環(huán)一般包括四個環(huán)節(jié)。（1）風(fēng)險識別環(huán)節(jié)，應(yīng)分析工程項目風(fēng)險，識別風(fēng)險來源。（2）風(fēng)險評估環(huán)節(jié)，應(yīng)根據(jù)項目風(fēng)險的嚴(yán)重性，發(fā)生的可能性、可控性來評估風(fēng)險。（3）風(fēng)險響應(yīng)環(huán)節(jié)，應(yīng)確定工程項目風(fēng)險的應(yīng)對措施。（4）風(fēng)險控制環(huán)節(jié)，應(yīng)建立風(fēng)險預(yù)警系統(tǒng)、制定應(yīng)急計劃。

四、施工企業(yè)的控制活動

施工企業(yè)內(nèi)部控制活動的關(guān)鍵控制點主要包括項目資金、項目采購、工程質(zhì)量、工程成本以及工程項目資源。

（一）項目資金的內(nèi)部控制

施工企業(yè)的流動性及投資的巨大性，決定了資金控制除了授權(quán)批準(zhǔn)制度以及不相容職務(wù)分離外，建立資金結(jié)算中心模式更有利于整合遍及全國乃至海外的眾多項目資金。

（二）項目采購的內(nèi)部控制

建設(shè)工程項目成本的70%左右均為材料成本，因此降低材料成本是降低生產(chǎn)成本的關(guān)鍵所在，而要降低材料成本，材料采購是最關(guān)鍵的環(huán)節(jié)之一。根據(jù)世界銀行貸款項目的貨物采購等有關(guān)招標(biāo)采購文件，并結(jié)合我國施工企業(yè)的實際情況，施工項目物資采購的一般程序為確定采購計劃、采購方式、簽訂合同、執(zhí)行合同、物資驗收以及資料歸檔。

（三）工程質(zhì)量的內(nèi)部控制

工程質(zhì)量是企業(yè)的生命，且工程質(zhì)量又與工程安全密切相關(guān)，因此推行全面質(zhì)量管理，建立全面質(zhì)量管理體系，采用科學(xué)方法對工程質(zhì)量采用“一切用數(shù)據(jù)說話”的基準(zhǔn)進(jìn)行判斷，才能確保工程施工質(zhì)量。

（四）工程成本的內(nèi)部控制

施工項目成本費(fèi)用管理效率的水準(zhǔn)對施工企業(yè)的績效改善和持續(xù)發(fā)展極其重要，應(yīng)實行項目全面成本管理責(zé)任體系，將材料控制、勞動控制、機(jī)械設(shè)備控制、項目間接費(fèi)控制等方面作為實施重點。

（五）工程項目資源的內(nèi)部控制

項目資源的內(nèi)部控制，即各生產(chǎn)要素的管理，一般分為五個階段，即投標(biāo)、簽約階段，施工準(zhǔn)備階段，施工階段，驗收、交工與竣工結(jié)算階段，用戶服務(wù)階段。項目資源的內(nèi)部控制是一個綜合管理的過程，是優(yōu)質(zhì)、高效建筑產(chǎn)品的誕生不可省略的過程之一。

五、施工企業(yè)的信息與溝通

信息溝通的方式很多，施工企業(yè)一般通過財務(wù)信息系統(tǒng)、內(nèi)部報告系統(tǒng)進(jìn)行溝通。

（一）財務(wù)信息系統(tǒng)

目前，施工企業(yè)實行的是財務(wù)多級核算模式，具體表現(xiàn)為各個施工隊會計報賬至各個項目部；各個項目部將其財務(wù)報表上交各個分公司；再由各個分公司將其財務(wù)報表上交集團(tuán)總公司。施工企業(yè)應(yīng)結(jié)合企業(yè)流程再造的思想對企業(yè)的組織和業(yè)務(wù)流程進(jìn)行重新審視，建立與企業(yè)分散施工特點相符的組織結(jié)構(gòu)。同時，在現(xiàn)有的已實施會計電算化的基礎(chǔ)上，依托網(wǎng)絡(luò)技術(shù)逐步推進(jìn)企業(yè)內(nèi)部所有核算單位的會計信息的集中管理模式，逐步改變目前實行的多級管理核算模式（見上圖）。

（二）內(nèi)部報告系統(tǒng)

常用的內(nèi)部報告體系包括施工生產(chǎn)經(jīng)營報告體系、資本經(jīng)營報告體系、預(yù)算執(zhí)行報告體系等三大體系。具體地，施工生產(chǎn)經(jīng)營報告體系包括財務(wù)狀況分析報告、項目經(jīng)理述職報告、施工生產(chǎn)安全報告、施工生產(chǎn)經(jīng)營報告以及施工質(zhì)量控制報告；資本經(jīng)營報告體系包括籌資及其成本報告、所得稅報告以及對外投資報告；預(yù)算執(zhí)行報告體系包括收入中心預(yù)算執(zhí)行報告、成本中心預(yù)算執(zhí)行報告、費(fèi)用中心預(yù)算執(zhí)行報告、利潤中心預(yù)算執(zhí)行報告以及投資中心預(yù)算執(zhí)行報告。

六、施工企業(yè)的監(jiān)督

在施工企業(yè)內(nèi)部控制的監(jiān)督過程中，內(nèi)部審計和自我評估兩項職能發(fā)揮著重要作用。

（一）內(nèi)部審計

施工企業(yè)的內(nèi)部審計既是企業(yè)內(nèi)部控制的一個重要組成部分，又是監(jiān)督企業(yè)內(nèi)部控制是否嚴(yán)格執(zhí)行，促進(jìn)內(nèi)部控制制度不斷完善的重要力量。內(nèi)部審計主要包括嚴(yán)格審計程序，規(guī)范審計行為，確保審計質(zhì)量；合理設(shè)置審計機(jī)構(gòu)，提高內(nèi)部審計的獨(dú)立性與客觀性；構(gòu)建信息化方式下，內(nèi)部審計監(jiān)督新模式、新方法；合理配備審計人員，提高審計人員素質(zhì)等方面。

（二）自我評估

在進(jìn)行內(nèi)部控制自我評估，編寫內(nèi)部控制自我評估報告時，應(yīng)就以下八個方面的內(nèi)容進(jìn)行披露。（1）聲明公司董事會對建立健全和有效實施內(nèi)部控制負(fù)責(zé)，并履行了指導(dǎo)和監(jiān)督職責(zé)，能夠保證財務(wù)報告的真實可靠和資產(chǎn)的安全、完整。（2）聲明已經(jīng)遵循有關(guān)標(biāo)準(zhǔn)和程序?qū)?nèi)部控制設(shè)計與運(yùn)行的健全性、合理性和有效性進(jìn)行了自我評估。（3）對開展內(nèi)部控制自我評估所涉及的范圍和內(nèi)容進(jìn)行簡要描述。（4）聲明通過內(nèi)部控制自我評估，可以合理保證公司的內(nèi)部控制不存在重大缺陷。（5）如果在自我評估過程中發(fā)現(xiàn)內(nèi)部控制存在重大缺陷，應(yīng)披露有關(guān)的重大缺陷及其影響，并專項說明擬采取的改進(jìn)措施。（6）保證了已披露的內(nèi)部控制重大缺陷之外，不存在其他重大缺陷。（7）自資產(chǎn)負(fù)債表日至內(nèi)部控制自我評估報告報出日之間，如果內(nèi)部控制的設(shè)計與運(yùn)行發(fā)生了重大變化，應(yīng)說明重大變化情況及其影響。第八，依法披露的內(nèi)部控制自我評估報告，經(jīng)董事會審議批準(zhǔn)后方可公布。

參考文獻(xiàn)：

1.Kevin Buehler，Andrew Freeman，Ron Hulme. Owning the Right Risks[J].Harvard Business Review，2008，（09）.

2.Keith Wade，Andy Wynne.控制自我評估理論及應(yīng)用[M].北京：中國財政經(jīng)濟(jì)出版社，2008.

3.卜永軍.建設(shè)工程項目管理一本通[M].北京：地震出版社，2007.

4.方紅星譯.內(nèi)部控制――整合框架[M].大連：東北財經(jīng)大學(xué)出版社，2008.

5.劉霄侖譯.SOA與內(nèi)部審計新規(guī)則[M].北京：中國時代經(jīng)濟(jì)出版社，2007.

6.劉曉紅，徐玖平.項目風(fēng)險管理[M].北京：經(jīng)濟(jì)管理出版社，2008.

7.內(nèi)部控制課題組.企業(yè)內(nèi)部控制基本規(guī)范解讀與案例分析[M].上海：立信會計出版社，2008.

8.商德福.施工企業(yè)的管理與控制活動初探及案例風(fēng)險[J].經(jīng)營管理者，2013，（3）.

篇6

一、梳理企業(yè)現(xiàn)有治理結(jié)構(gòu)、完善組織設(shè)計及部門設(shè)置

圖1 內(nèi)控環(huán)境構(gòu)建流程

合理的公司治理結(jié)構(gòu)既是內(nèi)控環(huán)境的組成部分，又是內(nèi)控體系得以順利實現(xiàn)的基礎(chǔ)，所以上市公司首先應(yīng)該明確自己的戰(zhàn)略目標(biāo)，根據(jù)戰(zhàn)略目標(biāo)規(guī)范治理結(jié)構(gòu)，對現(xiàn)有組織結(jié)構(gòu)、部門職責(zé)進(jìn)行全方位的梳理，同時還要按照五部委的《內(nèi)控規(guī)范》設(shè)立相應(yīng)的內(nèi)控部門及部門職責(zé)。其次，上市公司還應(yīng)在上述基礎(chǔ)上對公司所有的規(guī)章制度進(jìn)行查缺補(bǔ)漏，整合成符合公司實際需求的制度體系。

二、建立內(nèi)部控制系統(tǒng)

世界上不存在兩個完全相同的企業(yè)，即便是同一行業(yè)中的兩個企業(yè)，銷售同類型的產(chǎn)品，都會在運(yùn)營管理中體現(xiàn)出不同的文化特色、管理風(fēng)格，這就決定了每個企業(yè)一定會有自己所特有的內(nèi)控環(huán)境，因而其內(nèi)部控制系統(tǒng)也一定是各有差異、各具特色。

企業(yè)內(nèi)部控制的主要目標(biāo)是為了經(jīng)營合規(guī)合法、運(yùn)作高效率、控制風(fēng)險。為此，構(gòu)建企業(yè)內(nèi)部控制系統(tǒng)應(yīng)該是一個長期、動態(tài)持續(xù)的過程，一般可以分為以下幾階段：

1.對企業(yè)風(fēng)險進(jìn)行系統(tǒng)評估。

圖2 企業(yè)風(fēng)險評估體系

風(fēng)險評估是被國內(nèi)企業(yè)最容易忽視的環(huán)節(jié)，而實際上，這個環(huán)節(jié)卻是建立企業(yè)內(nèi)控體系的一個至關(guān)重要的前提。企業(yè)應(yīng)當(dāng)基于所處行業(yè)的特色和企業(yè)自身的業(yè)務(wù)特征，利用專業(yè)的評估工具對企業(yè)的內(nèi)外風(fēng)險進(jìn)行量化的分析，對風(fēng)險可能發(fā)生的頻率和后果賦值，計量風(fēng)險的嚴(yán)重程度，同時設(shè)定企業(yè)對風(fēng)險的容忍限度，對診斷出的所有風(fēng)險進(jìn)行排序，隨后建立相應(yīng)的風(fēng)險數(shù)據(jù)庫及風(fēng)險應(yīng)對策略。

2.建立書面的內(nèi)部管理手冊。

圖3 企業(yè)內(nèi)部管理手冊建立流程

在前述建立的風(fēng)險數(shù)據(jù)庫的前提下，企業(yè)的任務(wù)是對應(yīng)于上述風(fēng)險數(shù)據(jù)庫對企業(yè)整個運(yùn)營管理流程進(jìn)行分類，針對具體業(yè)務(wù)流程（明細(xì)程度可能根據(jù)企業(yè)的控制目標(biāo)具體界定）確定關(guān)鍵崗位、職責(zé)表，描述關(guān)鍵控制點及相關(guān)的關(guān)鍵控制活動，分析不相容職務(wù)表（詳見“立信銳思――如何企業(yè)內(nèi)部管理手冊”）。

企業(yè)的內(nèi)部管理手冊應(yīng)該是系統(tǒng)的、可操作的，所以在內(nèi)部管理手冊的最后應(yīng)當(dāng)有相應(yīng)控制活動的對應(yīng)內(nèi)審程序及職責(zé)表，以便于企業(yè)持續(xù)的監(jiān)督，也就是在內(nèi)控設(shè)計有效的基礎(chǔ)上確保執(zhí)行的有效性。

3.對企業(yè)內(nèi)部管理手冊的執(zhí)行進(jìn)行持續(xù)監(jiān)督。

在以往的國有上市公司內(nèi)控失敗的案例中，很多企業(yè)已經(jīng)制訂了防范風(fēng)險的控制制度，這些制度設(shè)計雖不能避免所有的風(fēng)險，但至少可以保證不會導(dǎo)致企業(yè)破產(chǎn)清算，難以持續(xù)經(jīng)營。他們的失敗不在于缺乏制度，而在于缺乏監(jiān)督，致使制度形同虛設(shè)，舞弊肆虐、管理完全失效。

企業(yè)在建立了內(nèi)部管理手冊以后，由專門的、職責(zé)獨(dú)立的內(nèi)審部門負(fù)責(zé)日常的監(jiān)督，并及時直接地向企業(yè)內(nèi)部控制委員會匯報、實施有效控制。

對企業(yè)來說，僅實施日常監(jiān)督是不夠的，內(nèi)部控制委員會還要制定專項監(jiān)督制度，對企業(yè)的非經(jīng)常性項目進(jìn)行不定期的監(jiān)督，以防止預(yù)想之外的風(fēng)險發(fā)生。

4.根據(jù)企業(yè)的外部環(huán)境及內(nèi)部業(yè)務(wù)的變化對內(nèi)控體系進(jìn)行動態(tài)更新。

企業(yè)在業(yè)務(wù)發(fā)展的過程中會發(fā)生大小各異的內(nèi)部變化，小到低層員工的變動，大到經(jīng)營模式的變化，這些變動累積到一定程度會導(dǎo)致原有的風(fēng)險手冊和內(nèi)控管理手冊不再符合企業(yè)的實際，特別是2008年全球金融危機(jī)，企業(yè)面臨著及其嚴(yán)酷的競爭環(huán)境，該環(huán)境加劇了企業(yè)風(fēng)險的可變性。因此，企業(yè)的內(nèi)控體系也應(yīng)該是一個動態(tài)更新的過程。

這個動態(tài)更新的過程即可以是漸進(jìn)式的（當(dāng)內(nèi)外部變化不是非常劇烈時），也可以急進(jìn)的、全新式的（當(dāng)內(nèi)外部發(fā)生的革命性的變化時）。

規(guī)范公司內(nèi)部控制制度的執(zhí)行和評價報告制度是公司首次執(zhí)行公司內(nèi)部控制評價報告制度最困難的一件任務(wù)。首次執(zhí)行大規(guī)模的動態(tài)更新對于許多公司來說，并不是一件易事。

我們建議企業(yè)在首次建立內(nèi)控體系或重大動態(tài)更新時選擇第三方的權(quán)威中介機(jī)構(gòu)，既可以借助其專業(yè)知識為企業(yè)量身定做內(nèi)控體系，也可以通過培訓(xùn)方式培養(yǎng)企業(yè)自身的內(nèi)控理念和意識。

三、對外披露：內(nèi)控自我評估及內(nèi)控鑒證

1.內(nèi)控自我評估。

企業(yè)根據(jù)國家有關(guān)法律、行政法規(guī)或者有關(guān)監(jiān)管規(guī)則的規(guī)定提交并披露（以財務(wù)報告為主的）內(nèi)部控制自我評估報告時，還應(yīng)當(dāng)在該報告中披露以下內(nèi)容：

（1）聲明企業(yè)董事會對建立健全和有效實施內(nèi)部控制負(fù)責(zé)，并履行了指導(dǎo)和監(jiān)督職責(zé)，能夠保證財務(wù)報告的真實可靠和資產(chǎn)的安全完整。

（2）聲明已經(jīng)遵循有關(guān)的標(biāo)準(zhǔn)和程序?qū)?nèi)部控制設(shè)計與運(yùn)行的健全性、合理性和有效性進(jìn)行了自我評估。

（3）對開展內(nèi)部控制自我評估所涉及的范圍和內(nèi)容進(jìn)行簡要描述。

（4）聲明通過內(nèi)部控制自我評估，可以合理保證本企業(yè)的內(nèi)部控制不存在重大缺陷。

（5）如果在自我評估過程中發(fā)現(xiàn)內(nèi)部控制存在重大缺陷，應(yīng)當(dāng)披露有關(guān)的重大缺陷及其影響，并專項說明擬采取的改進(jìn)措施。

（6）保證除了已披露的內(nèi)部控制重大缺陷之外，不存在其他重大缺陷。

（7）自資產(chǎn)負(fù)債表日至內(nèi)部控制自我評估報告報出日之間（以下簡稱報告期內(nèi)）如果內(nèi)部控制的設(shè)計與運(yùn)行發(fā)生重大變化的，應(yīng)當(dāng)說明重大變化情況及其影響。

（8）依法及時披露的內(nèi)部控制自我評估報告，經(jīng)董事會審議批準(zhǔn)后公布。

2.內(nèi)控鑒證。

篇7

關(guān)鍵詞：資產(chǎn)評估風(fēng)險；風(fēng)險防范措施；財務(wù)管理；立法風(fēng)險；管理風(fēng)險；執(zhí)業(yè)風(fēng)險 文獻(xiàn)標(biāo)識碼：A

中圖分類號：F33 文章編號：1009-2374（2016）12-0193-03 DOI：10.13535/ki.11-4406/n.2016.12.092

1 資產(chǎn)評估風(fēng)險的定義、特征和類型

1.1 資產(chǎn)評估風(fēng)險的定義

資產(chǎn)評估相關(guān)單位或相關(guān)個人由于進(jìn)行資產(chǎn)評估而帶來利益損失的可能性。這種損失造成的原因可能是由于評估價值區(qū)間與客觀價值的偏離或者是評估主體出現(xiàn)了行為失誤造成的，而且極其容易引發(fā)利益受損者對評估機(jī)構(gòu)以及評估機(jī)構(gòu)的評估人員進(jìn)行民事甚至是刑事訴訟，要求其承擔(dān)責(zé)任，賠償損失。這其中又有廣義風(fēng)險和狹義風(fēng)險之分，那種強(qiáng)調(diào)風(fēng)險表現(xiàn)不確定性的屬于狹義風(fēng)險；而那種強(qiáng)調(diào)風(fēng)險表現(xiàn)為損失的不確定性的屬于廣義風(fēng)險。廣義風(fēng)險的結(jié)果可能帶來損失，可能從中獲利，也可能沒有利益損害與利益收獲。

1.2 資產(chǎn)評估風(fēng)險的特征

1.2.1 客觀必然性。資產(chǎn)評估工作具備規(guī)范市場秩序，提高市場交易的積極作用，但其也存在一定風(fēng)險，所以資產(chǎn)評估風(fēng)險具有客觀必然性。

1.2.2 未知不確定性。資產(chǎn)評估風(fēng)險具有客觀必然性，而且其什么時間什么地點發(fā)生，發(fā)生什么類型以及發(fā)生多大程度的風(fēng)險都是未知的，所以其具備未知不確定性。

1.2.3 潛在性。資產(chǎn)評估風(fēng)險的存在是一種客觀事實，如果當(dāng)事人的利益沒有遭受損失則相安無事，一旦當(dāng)事人的利益損失達(dá)到了當(dāng)事人不能容忍的地步的時候，潛在的可能性風(fēng)險就變成了事實風(fēng)險，所以資產(chǎn)評估風(fēng)險具備潛在性。

1.2.4 階段性。一旦資產(chǎn)評估工作對當(dāng)事人造成了利益損害，而且被當(dāng)事人進(jìn)行了法律訴訟，這種潛在風(fēng)險就變成了事實風(fēng)險，也就是說前階段還是潛在的風(fēng)險，后階段就可能爆發(fā)為事實風(fēng)險，所以說資產(chǎn)評估風(fēng)險具備階段性。

1.3 資產(chǎn)評估風(fēng)險的類型

1.3.1 立法風(fēng)險。由于人的意識要受到現(xiàn)實條件的制約，所以相關(guān)部門在制定跟資產(chǎn)評估相關(guān)的法律法規(guī)的時候往往受到當(dāng)時的歷史局限，經(jīng)過多少年后，如果資產(chǎn)評估的立法不能夠及時更新與時俱進(jìn)，那么就很可能會給一些不法分子帶來鉆法律空子的可能，之前確立的法律法規(guī)很可能因為不能適用于目前的實際情況而給資產(chǎn)評估工作帶來一些風(fēng)險。

1.3.2 管理風(fēng)險。管理風(fēng)險主要是指主管資產(chǎn)評估行業(yè)的行政部門在對資產(chǎn)評估工作進(jìn)行管理過程中可能產(chǎn)生的風(fēng)險。這其中有兩點要特殊說明：一是目前我們國家資產(chǎn)評估管理的行政主管部門還沒有統(tǒng)一，不僅由財政部門主管，還由林業(yè)、房產(chǎn)管理、農(nóng)業(yè)等部門主管，主管部門過多，造成資產(chǎn)評估工作很難形成統(tǒng)一標(biāo)準(zhǔn)；二是我們國家目前的資產(chǎn)評估管理職能主要有兩個，分別是規(guī)劃職能和控制職能。對于法律法規(guī)的制定和行業(yè)發(fā)展的規(guī)劃等都屬于是規(guī)劃職能范圍內(nèi)的。而像對資產(chǎn)評估機(jī)構(gòu)和資產(chǎn)評估人員進(jìn)行資格認(rèn)證、制定執(zhí)業(yè)標(biāo)準(zhǔn)以及進(jìn)行國際協(xié)調(diào)等都屬于是控制職能范圍內(nèi)的。在我們國家，關(guān)于資產(chǎn)評估管理風(fēng)險的具體表現(xiàn)主要是：由于評估的主管部門眾多，各部門之間存在一些政策上的沖突甚至是矛盾，所以各部門在進(jìn)行職業(yè)標(biāo)準(zhǔn)制定以及其他方面的管理工作的時候，很難形成統(tǒng)一的標(biāo)準(zhǔn)，進(jìn)而對資產(chǎn)評估工作的正常有序開展產(chǎn)生

影響。

1.3.3 執(zhí)業(yè)風(fēng)險。執(zhí)業(yè)風(fēng)險是資產(chǎn)評估風(fēng)險中最常見的一種風(fēng)險，由于現(xiàn)在我國資產(chǎn)評估機(jī)構(gòu)眾多，資產(chǎn)評估人員數(shù)量龐大，但是資產(chǎn)評估人員的素質(zhì)水平參差不齊，很多人的執(zhí)業(yè)水平都達(dá)不到專業(yè)標(biāo)準(zhǔn)，如果評估人員的水平不夠，在進(jìn)行資產(chǎn)評估的過程中就容易給評估當(dāng)事人帶來一些不利的影響甚至是一些經(jīng)濟(jì)上的損失，那么當(dāng)事人就會對評估機(jī)構(gòu)以及評估人員進(jìn)行法律訴訟，評估機(jī)構(gòu)就要承擔(dān)參與訴訟的花銷以及敗訴后給當(dāng)事人的損失補(bǔ)償，這就是資產(chǎn)評估的執(zhí)業(yè)風(fēng)險。

1.3.4 結(jié)果使用風(fēng)險。資產(chǎn)評估結(jié)果使用風(fēng)險主要是因為當(dāng)事人對于資產(chǎn)評估報告書以及資產(chǎn)評估結(jié)果的使用不當(dāng)而帶來的一些風(fēng)險。常見的表現(xiàn)有三種情況：一是評估當(dāng)事人錯誤地使用了已經(jīng)過期的資產(chǎn)評估報告書和資產(chǎn)評估結(jié)果；二是當(dāng)事人沒有遵循資產(chǎn)評估報告書上所注明的評估目的來使用資產(chǎn)評估報告書和資產(chǎn)評估結(jié)果；三是當(dāng)事人在使用資產(chǎn)評估報告書和評估結(jié)果的過程中對于評估期過去之后的一些事項而引起資產(chǎn)評估價值發(fā)生變化沒有考慮到。

2 資產(chǎn)評估風(fēng)險防范面臨的問題

2.1 評估人員總體素質(zhì)水平較低

長期以來，我國一直都在實行注冊資產(chǎn)評估師的考試制度來進(jìn)行評估師的選拔。近年來，我國又開始采用注冊資產(chǎn)評估師的分類分級制度來對評估師隊伍進(jìn)行專業(yè)劃分。目前已經(jīng)有建筑評估師、土地評估師、機(jī)器設(shè)備評估師等具體的分類，發(fā)揮了每個評估師的專業(yè)特長。而分級則是根據(jù)注冊資產(chǎn)評估師的執(zhí)業(yè)年限和工作經(jīng)驗把資產(chǎn)評估師分為初級、中級和高級三個等級，等級越高的評估師其評估經(jīng)驗越豐富，評估水平越高，評估質(zhì)量越好。但是由于我國市場混亂，資產(chǎn)評估師考試制度以及資產(chǎn)評估師的分類分級制度實施過程中出現(xiàn)了很多問題，很多組織或個人在考試之前泄題給考生，評估師的分級制度審核也不夠嚴(yán)格，加之國內(nèi)的資產(chǎn)評估起步較晚，所以跟發(fā)達(dá)國家相比，我國資產(chǎn)評估機(jī)構(gòu)的評估人員素質(zhì)水平參差不齊，真正有水平的高級評估師很少，評估師隊伍整體的素質(zhì)水平不高。

2.2 缺乏完善的法律法規(guī)

從我國發(fā)生過的眾多評估糾紛案件中可以看出，我國目前的法律法規(guī)在資產(chǎn)評估方面極其不完善，缺乏全面的法律支撐。已有的《國有資產(chǎn)評估管理辦法》存在諸多方面的缺陷，《中華人民共和國注冊資產(chǎn)評估師法》還未形成可以全面規(guī)范資產(chǎn)評估執(zhí)業(yè)準(zhǔn)則和道德準(zhǔn)則的作用。所以，由于我國缺乏完善的法律法規(guī)進(jìn)而導(dǎo)致資產(chǎn)評估糾紛頻發(fā)，而且糾紛處理缺乏統(tǒng)一的法律依據(jù)，常常引發(fā)訴訟雙方的不滿。而且有很多不法分子鉆法律的空子，市場上經(jīng)常出現(xiàn)虛假評估現(xiàn)象。

2.3 相關(guān)管理體制不健全

目前我國的資產(chǎn)評估市場比較混亂，評估行業(yè)問題百出，矛盾重重，跟我國的管理體制不健全有很大的關(guān)系，眾多行政主管部門各持各法，沒有達(dá)成一致，造成管理風(fēng)險頻發(fā)。而且由于管理體制不健全，評估人員經(jīng)常不按照既定程序進(jìn)行評估操作，導(dǎo)致評估風(fēng)險頻發(fā)，還有很多機(jī)構(gòu)急功近利，為了搶占市場份額經(jīng)常承攬諸多超出機(jī)構(gòu)本身評估能力范圍之內(nèi)的業(yè)務(wù)，所以就會經(jīng)常出現(xiàn)很多不科學(xué)、不合理的評估結(jié)果，久而久之就會給機(jī)構(gòu)的名聲帶來極大的損害，這都跟我國普遍存在的相關(guān)管理體制不健全有關(guān)。

2.4 監(jiān)督制度不完善

我國資產(chǎn)評估起步晚，相關(guān)的管理制度尚不健全，相關(guān)的監(jiān)督機(jī)制更是不夠完善，由于行政主管部門眾多，經(jīng)常出現(xiàn)各部門之間相互推諉、相互扯皮的情況，不但沒有起到良好的監(jiān)管作用，反而降低了對評估行業(yè)的監(jiān)督力度，而且評估行業(yè)的新聞曝光率低，社會監(jiān)督氛圍差，行業(yè)內(nèi)部存在很多不正當(dāng)競爭現(xiàn)象，而且由于缺乏有效監(jiān)督，很多評估人員都粗心大意甚至是違背道德進(jìn)行虛假評估，不對評估質(zhì)量負(fù)責(zé)，導(dǎo)致評估行業(yè)的口碑下降，十分不利于評估行業(yè)的健康長遠(yuǎn)發(fā)展。

2.5 評估報告不規(guī)范

現(xiàn)實生活中存在評估結(jié)果使用風(fēng)險，主要是由于資產(chǎn)評估報告表述不恰當(dāng)而引起當(dāng)事人誤會，進(jìn)而引發(fā)評估機(jī)構(gòu)與當(dāng)事人之間的糾紛，評估報告隨意不規(guī)范，很多地方闡述得不夠清晰，經(jīng)常給當(dāng)事人造成麻煩甚至是損失，所以常常引起當(dāng)事人的不滿甚至對評估機(jī)構(gòu)或者是評估師進(jìn)行法律訴訟，評估機(jī)構(gòu)和評估師也常常因此在訴訟過程中敗訴，所以必須要嚴(yán)格規(guī)范資產(chǎn)評估報告，做到嚴(yán)格規(guī)范、清晰明了。

3 加強(qiáng)資產(chǎn)評估風(fēng)險防范的對策

3.1 加強(qiáng)對評估人員的培訓(xùn)，提高評估人員素質(zhì)水平

現(xiàn)代社會的發(fā)展進(jìn)步，“人”的作用至關(guān)重要。資產(chǎn)評估工作本身是一項專業(yè)性很強(qiáng)且容不得半點馬虎的工作，所以要求評估人員必須要具備很高的政治思想素養(yǎng)、專業(yè)的評估水平以及嚴(yán)謹(jǐn)負(fù)責(zé)的工作態(tài)度，而且要經(jīng)常學(xué)習(xí)，與時俱進(jìn)。必須要加強(qiáng)評估隊伍的素質(zhì)水平建設(shè)，加強(qiáng)對評估人員的素質(zhì)培訓(xùn)，培訓(xùn)他們專業(yè)的評估知識和業(yè)務(wù)技能，并且要培養(yǎng)其學(xué)習(xí)能力和創(chuàng)新發(fā)展能力，提高其法律意識，加強(qiáng)其誠實守信愛崗敬業(yè)的道德教育，使資產(chǎn)評估人員都能夠成為綜合素質(zhì)很強(qiáng)的應(yīng)用型人才，降低資產(chǎn)評估的執(zhí)業(yè)風(fēng)險。

3.2 完善相關(guān)的法律法規(guī)

資產(chǎn)評估工作是一項十分嚴(yán)肅的涉及到評估當(dāng)事人切身利益的事情，所以必須要對其進(jìn)行規(guī)范化、法制化，使資產(chǎn)評估工作真正做到有法可依，引導(dǎo)評估行業(yè)健康長遠(yuǎn)發(fā)展，不讓非法分子渾水摸魚，與此同時，必須要對資產(chǎn)評估的責(zé)任做出明確法律界定。積極捍衛(wèi)評估結(jié)論的法律效果與權(quán)威性，嚴(yán)厲打擊不法分子或是失范者的違規(guī)行為，讓那些破壞評估行業(yè)制度的不法分子承擔(dān)相應(yīng)的法律責(zé)任，通過法律法規(guī)的嚴(yán)格要求，凈化資產(chǎn)評估行業(yè)的發(fā)展環(huán)境，降低資產(chǎn)評估的立法

風(fēng)險。

3.3 完善相關(guān)的管理體制

要加強(qiáng)資產(chǎn)評估工作的規(guī)范化管理，形成行業(yè)自律。首先要統(tǒng)一資產(chǎn)評估機(jī)構(gòu)的行政主管部門，實行統(tǒng)一的管理辦法，為資產(chǎn)評估行業(yè)打造一個規(guī)范的外部環(huán)境；其次要盡快建立嚴(yán)格的執(zhí)業(yè)準(zhǔn)入與退出機(jī)制，嚴(yán)格規(guī)范評估機(jī)構(gòu)的出資人資格以及評估人員的執(zhí)業(yè)資格；最后要形成公平公正的獎懲制度，加強(qiáng)行業(yè)考核，嚴(yán)格把關(guān)執(zhí)業(yè)質(zhì)量，保證評估的正確性，降低資產(chǎn)評估的執(zhí)業(yè)和管理風(fēng)險。

3.4 完善相關(guān)的監(jiān)督制度

監(jiān)督是任何行業(yè)長遠(yuǎn)發(fā)展都必不可少的保障。對于評估行業(yè)而言，要想保證評估結(jié)論的安全可靠就必須要形成一套行之有效的監(jiān)督機(jī)制，加強(qiáng)對評估機(jī)構(gòu)以及評估人員的監(jiān)督，防止其評估失真。這種監(jiān)督必須要由政府與社會共同完成，結(jié)合相關(guān)的法律法規(guī)，完善相關(guān)的技術(shù)監(jiān)督手段，建立起一套完善有效的資產(chǎn)評估監(jiān)督體系，盡快理清政府、社會、行業(yè)機(jī)構(gòu)以及評估師之間的關(guān)系，明確各自的職責(zé)權(quán)限，做到監(jiān)督到位，科學(xué)有效，降低資產(chǎn)評估的執(zhí)業(yè)和管理風(fēng)險。（下轉(zhuǎn)130頁）（上接194頁）

3.5 完善評估報告，加強(qiáng)自我保護(hù)

資產(chǎn)評估機(jī)構(gòu)必須要吸取教訓(xùn)，要想減少糾紛或者是盡量保證自身在與機(jī)構(gòu)進(jìn)行法律訴訟過程處于有利地位，資產(chǎn)評估機(jī)構(gòu)就必須要加強(qiáng)對評估報告的規(guī)范，積極完善資產(chǎn)評估報告的格式與內(nèi)容，做到嚴(yán)格規(guī)范、內(nèi)容嚴(yán)謹(jǐn)、語言表述精煉準(zhǔn)確，大力提高評估人員嚴(yán)謹(jǐn)?shù)脑u估意識和專業(yè)的評估水平，這才不容易引起執(zhí)業(yè)風(fēng)險與結(jié)果使用風(fēng)險的發(fā)生，起到自我保護(hù)的作用。

4 結(jié)語

世界范圍內(nèi)資產(chǎn)風(fēng)險評估的發(fā)展已經(jīng)成為一種流行趨勢，它對于促進(jìn)企業(yè)資產(chǎn)擴(kuò)大的作用日益突出，但是其本身的各個環(huán)節(jié)都存在著一定的風(fēng)險性，所以必須要加強(qiáng)對其風(fēng)險識別、預(yù)防，極力降低資產(chǎn)評估風(fēng)險的風(fēng)險系數(shù)。目前，我國政府跟企業(yè)都已經(jīng)認(rèn)識到了資產(chǎn)評估的重要意義，都在積極完善資產(chǎn)風(fēng)險評估制度，所以，相信我們國家的資產(chǎn)評估工作會開展得越來越好。

參考文獻(xiàn)

[1] 譚舒蔓，高兵.資產(chǎn)評估風(fēng)險防范與控制[J].合作經(jīng)濟(jì)與科技，2015，（12）.

[2] 范雪，張煦.資產(chǎn)評估風(fēng)險防范與控制[J].中小企業(yè)管理與科技，2015，（4）.

[3] 汪芹.試論資產(chǎn)評估風(fēng)險及其規(guī)避措施[J].企業(yè)導(dǎo)報，2013，（20）.

[4] 張翔.資產(chǎn)評估風(fēng)險及其防范[J].中國證券期貨，2013，（9）.

[5] 史策，張瑩.資產(chǎn)評估風(fēng)險防范與控制[J].品牌（下半月），2015，（8）.

篇8

一、企業(yè)各級信息管理部門職責(zé)，主要分為總部信息部門和各分部信息管理部門進(jìn)行管理。

企業(yè)總部信息管理部門負(fù)責(zé)企業(yè)整體信息技術(shù)風(fēng)險評估、統(tǒng)一建設(shè)信息系統(tǒng)的風(fēng)險評估和總體層面信息系統(tǒng)的風(fēng)險評估，并對企業(yè)信息技術(shù)風(fēng)險評估工作進(jìn)行指導(dǎo)和檢查。

各分部信息管理部門負(fù)責(zé)本單位信息技術(shù)風(fēng)險評估工作，組織本單位層面信息系統(tǒng)的風(fēng)險評估，并將信息技術(shù)風(fēng)險評估報告總部備案。

各級信息業(yè)務(wù)使用部門職責(zé)是在同級信息管理部門的組織下，參與和本部門業(yè)務(wù)相關(guān)的信息系統(tǒng)風(fēng)險評估工作。

二、信息技術(shù)風(fēng)險分類及主要內(nèi)容

信息技術(shù)風(fēng)險主要包括信息技術(shù)項目風(fēng)險、信息技術(shù)服務(wù)連續(xù)性風(fēng)險、信息資產(chǎn)風(fēng)險、供應(yīng)商風(fēng)險、應(yīng)用風(fēng)險、基礎(chǔ)設(shè)施風(fēng)險、戰(zhàn)略與新興技術(shù)風(fēng)險等。

信息技術(shù)項目風(fēng)險是指信息技術(shù)項目無法交付的風(fēng)險，包括因項目管理關(guān)鍵要素未能有效控制，導(dǎo)致項目延期、消耗資源超支、與計劃相比功能減少、交付產(chǎn)品未達(dá)標(biāo)準(zhǔn)、實施期間造成業(yè)務(wù)中斷等。

信息技術(shù)服務(wù)連續(xù)性風(fēng)險是指由于信息系統(tǒng)的不可靠造成業(yè)務(wù)操作中斷，包括因信息技術(shù)服務(wù)水平過低等導(dǎo)致的宕機(jī)或系統(tǒng)響應(yīng)時間過長等造成業(yè)務(wù)中斷。

信息資產(chǎn)風(fēng)險是指未能有效保護(hù)與保存信息資產(chǎn)，包括信息系統(tǒng)裝載的信息資產(chǎn)損毀、丟失以及不當(dāng)泄露等。

供應(yīng)商風(fēng)險是指在信息技術(shù)項目交付和日常運(yùn)營過程中，由于供應(yīng)商未能交付信息技術(shù)產(chǎn)品或服務(wù)，或已交付但未達(dá)到標(biāo)準(zhǔn)，對信息系統(tǒng)和服務(wù)造成即時或潛在的影響。

應(yīng)用風(fēng)險主要指信息系統(tǒng)不能滿足關(guān)鍵業(yè)務(wù)需求及信息技術(shù)應(yīng)用故障，包括系統(tǒng)在操作性、功能性、可靠性、可維護(hù)性等方面存在缺陷對業(yè)務(wù)造成的負(fù)面影響。

基礎(chǔ)設(shè)施風(fēng)險是指由于信息基礎(chǔ)設(shè)施不能正常運(yùn)行帶來的風(fēng)險，包括基礎(chǔ)設(shè)施構(gòu)件發(fā)生故障、替換不當(dāng)、配置不當(dāng)?shù)取?/p>

戰(zhàn)略與新興技術(shù)風(fēng)險是指由于企業(yè)的信息技術(shù)能力有限，對戰(zhàn)略和新的技術(shù)環(huán)境缺乏足夠的適應(yīng)能力，包括信息技術(shù)總體規(guī)劃和信息技術(shù)架構(gòu)設(shè)計缺乏整體、戰(zhàn)略角度的考慮，缺乏靈活性等

三、信息技術(shù)風(fēng)險評估方法

信息技術(shù)風(fēng)險評估前期工作主要是針對信息技術(shù)風(fēng)險評估對象收集相關(guān)的內(nèi)部、外部初始信息，進(jìn)行必要的篩選、提煉、對比、分類、組合等，以支撐信息技術(shù)風(fēng)險評估工作。信息技術(shù)風(fēng)險評估工作由信息管理部門會同有關(guān)業(yè)務(wù)部門共同完成。

信息技術(shù)風(fēng)險評估包括風(fēng)險識別、風(fēng)險分析、風(fēng)險評價。風(fēng)險識別是通過查找信息系統(tǒng)支撐的各業(yè)務(wù)單元、各項重要經(jīng)營活動及其重要業(yè)務(wù)流程，系統(tǒng)化地識別風(fēng)險來源和風(fēng)險類別；風(fēng)險分析是對識別出的風(fēng)險及其特征進(jìn)行明確定義與描述，分析和描述風(fēng)險發(fā)生的概率及風(fēng)險發(fā)生的條件；風(fēng)險評價是綜合資產(chǎn)的價值、資產(chǎn)面臨的威脅、威脅發(fā)生的可能性、現(xiàn)有控制體系已經(jīng)提供的保護(hù)等多種因素，按照風(fēng)險測量方法和風(fēng)險等級評價原則，評估風(fēng)險對企業(yè)目標(biāo)的影響程度和風(fēng)險的價值等。

信息技術(shù)風(fēng)險評估要從戰(zhàn)略、運(yùn)營、項目等多個層面進(jìn)行綜合分析。在戰(zhàn)略層面，主要關(guān)注信息技術(shù)能力與業(yè)務(wù)戰(zhàn)略的一致性、應(yīng)對新技術(shù)發(fā)展帶來的威脅等；在運(yùn)營層面，關(guān)注危害信息系統(tǒng)及基礎(chǔ)設(shè)施有效性的風(fēng)險、繞過系統(tǒng)安全措施的風(fēng)險、造成重要資源損失或不可用的風(fēng)險、違反法律法規(guī)的風(fēng)險等；在項目層面，關(guān)注項目目標(biāo)不能達(dá)到時所帶來的后續(xù)風(fēng)險等。

信息技術(shù)風(fēng)險評估包括各類風(fēng)險之間的關(guān)系分析，以便發(fā)現(xiàn)各風(fēng)險之間的自然對沖、風(fēng)險事件之間的相關(guān)性等組合效應(yīng)，從策略上對風(fēng)險進(jìn)行統(tǒng)一集中管理

信息技術(shù)風(fēng)險識別、分析和評價采用定性與定量相結(jié)合的方法。定性方法可采用問卷調(diào)查、專家咨詢、情景分析、政策分析、行業(yè)標(biāo)桿比較、訪談和調(diào)查研究等。定量方法可采用統(tǒng)計推論、計算機(jī)模擬、失效模式與影響分析、事件樹分析等。

根據(jù)信息技術(shù)風(fēng)險評估工作實際，可請有IT風(fēng)險管理經(jīng)驗的人員參加，以及聘請資質(zhì)、信譽(yù)好的專業(yè)機(jī)構(gòu)協(xié)助實施。

五、信息技術(shù)風(fēng)險評估后續(xù)工作

信息技術(shù)風(fēng)險評估后續(xù)工作主要包括制定風(fēng)險管理策略、實施風(fēng)險管理、持續(xù)跟蹤改進(jìn)等。

制定風(fēng)險管理策略，主要是根據(jù)企業(yè)自身條件和外部環(huán)境，圍繞企業(yè)發(fā)展戰(zhàn)略，確定風(fēng)險偏好、風(fēng)險承受度、風(fēng)險管理有效性標(biāo)準(zhǔn)，選擇適合的風(fēng)險管理工具，并制定風(fēng)險管理所需人力和財力資源的配置原則。

實施風(fēng)險管理可通過風(fēng)險承擔(dān)、風(fēng)險規(guī)避、風(fēng)險轉(zhuǎn)移、風(fēng)險降低4種方法進(jìn)行。總部和分部信息管理部門在實施信息技術(shù)風(fēng)險管理方面應(yīng)采取有效控制措施，盡量規(guī)避或降低信息技術(shù)風(fēng)險。

持續(xù)跟蹤改進(jìn)主要指對信息技術(shù)風(fēng)險實行動態(tài)管理，總部和分部信息管理部門應(yīng)定期或不定期開展風(fēng)險識別、分析、評價工作，及時發(fā)現(xiàn)新的風(fēng)險和原有風(fēng)險的變化并進(jìn)行評估。

六、信息技術(shù)風(fēng)險管理監(jiān)督、檢查

篇9

首先應(yīng)分析和總結(jié)軌道交通工程存在的各類風(fēng)險與特點，利用理論分析、施工現(xiàn)場勘查以及專家評審等多種方式，通過定期或者不定期報告在建設(shè)期限內(nèi)展開建設(shè)質(zhì)量以及安全風(fēng)險管理工作，嚴(yán)格督查并切實加強(qiáng)關(guān)鍵節(jié)點的質(zhì)控與風(fēng)險管理工作;根據(jù)風(fēng)險要素的表現(xiàn)形式來采取針對性控制策略，有效控制工程建設(shè)風(fēng)險水平，最大化降低風(fēng)險發(fā)生概率，以便于將風(fēng)險事故所釀成的各方損失將至最低值。

2軌道交通工程的風(fēng)險要素評估

(1)制定風(fēng)險管理體系。應(yīng)結(jié)合軌道交通建設(shè)管理標(biāo)準(zhǔn)與要求，著眼于軌道交通發(fā)展現(xiàn)狀，針對軌道交通質(zhì)量安全策劃相應(yīng)的風(fēng)險管理方案，其內(nèi)容涉及參建各方職責(zé)、風(fēng)險管理內(nèi)容以及各部分管理要求等。

(2)整體性評估。應(yīng)結(jié)合施工現(xiàn)場情況、工程相關(guān)文件以及各類管理要求，根據(jù)工程自身特征、水文工程地質(zhì)條件以及周邊環(huán)境制約因素對軌道交通項目建設(shè)存在的風(fēng)險因素展開綜合評估，由此對軌道交通項目形成整體性的風(fēng)險評估結(jié)果，對其管理要求以及風(fēng)險等級予以明確。組織專家小組負(fù)責(zé)風(fēng)險評審工作，與參建各方展開風(fēng)險交底，明確關(guān)鍵風(fēng)險點，例如軌道交通建設(shè)線路是否穿越保護(hù)性設(shè)施、歷史建筑、局部不良地質(zhì)、立交橋與鐵路橋以及市政重要管線，或者在機(jī)場臨近區(qū)域施工、橋樁基礎(chǔ)施工風(fēng)險以及盾構(gòu)小曲率推進(jìn)要點、下穿地表水體或穿越高速公路等等。

(3)動態(tài)性評估。開工前應(yīng)根據(jù)工程水文地質(zhì)、施工工藝、總體籌劃、周邊環(huán)境以及施工工序，由監(jiān)理方指導(dǎo)參建各方評估本部單位工程中存在的風(fēng)險要素，明確管理過程中的各個關(guān)鍵風(fēng)險點。然后由安全管理機(jī)構(gòu)對各單位提交的風(fēng)險評估報告進(jìn)行匯總，然后交由專家小組評估審核，制定初步的風(fēng)險申報文件，并向建設(shè)單位提交。

3軌道交通工程施工現(xiàn)場安全管理

安全管理機(jī)構(gòu)應(yīng)為參建各方制定相應(yīng)的安全管理標(biāo)準(zhǔn)，用于對安全管理標(biāo)準(zhǔn)化模式的執(zhí)行做出相應(yīng)的檢查和考核?，F(xiàn)場安全管理以規(guī)范化的行為和管理程序為主要對象，而巡檢則是主要執(zhí)行方式。巡檢執(zhí)行者由專家工作組以及施工現(xiàn)場監(jiān)察小組組成，其工作內(nèi)容涉及如下幾個方面:

(1)參建各方。對現(xiàn)場各項建設(shè)程序進(jìn)行檢查，評估其規(guī)范與否;審核各項審批以及備案程序是否已經(jīng)到位;檢查工程關(guān)鍵部位、工序以及分部分項工程中具有較高危險性的部分，尤其是具有較高危險性且已超出一定規(guī)模的分項工程，應(yīng)確認(rèn)其遵循既定規(guī)程接受審批，或根據(jù)專家論證后施工技術(shù)方案貫徹落實;應(yīng)對現(xiàn)場施工行為安全進(jìn)行嚴(yán)密監(jiān)控，關(guān)注現(xiàn)場危險源以及各環(huán)節(jié)施工違規(guī)操作行為，嚴(yán)格執(zhí)行安全管理制度。

(2)施工企業(yè)。評估現(xiàn)場施工方是否就總分包行為構(gòu)建質(zhì)量安全保證體系;應(yīng)對施工企業(yè)施工資質(zhì)所發(fā)生的動態(tài)性變化予以嚴(yán)格審查，同時還應(yīng)全面掌握企業(yè)工作人員資質(zhì)動態(tài)變化、安全教育培訓(xùn)制度以及各項規(guī)章制度;應(yīng)對專業(yè)分包以及勞務(wù)分包進(jìn)行檢查，確認(rèn)其合法與否;確認(rèn)總承包方在主體工程結(jié)構(gòu)施工方面是否如約完工，或檢查其有無非法轉(zhuǎn)包行為;應(yīng)對施工方現(xiàn)場管理控制工作進(jìn)行檢查和評估，確認(rèn)其是否存在以包代管的行為，或者是否存在兩級管理(施工單位與項目部)現(xiàn)象。

(3)監(jiān)理方。應(yīng)對監(jiān)理企業(yè)資質(zhì)動態(tài)變化予以檢查，掌握其工作人員資質(zhì)變化情況，了解其安全教育培訓(xùn)制度以及其他規(guī)章制度;應(yīng)對監(jiān)理方安全監(jiān)理工作人員以及監(jiān)理數(shù)量進(jìn)行檢查，確認(rèn)其有無違背合同之舉;應(yīng)在施工現(xiàn)場對監(jiān)理方執(zhí)業(yè)行為、總監(jiān)與工作人員到位情況、服務(wù)承諾是否實現(xiàn)等管理行為進(jìn)行檢查;應(yīng)就現(xiàn)場監(jiān)理工作展開評估，確認(rèn)其有無及時察覺施工違規(guī)行為，并提出相應(yīng)的書面整改要求，后期是否及時開展整改復(fù)查工作。

(4)應(yīng)做好薄弱部位的質(zhì)控工作，根據(jù)《危險性較大的分部分項工程的安全管理辦法》可知，申請安全監(jiān)督手續(xù)辦理或者申領(lǐng)施工許可證時建設(shè)單位應(yīng)出具具有較大危險性的分部分項工程清單以及相應(yīng)的安全管理策略。其次應(yīng)遵循《城市軌道交通工程安全質(zhì)量管理暫行辦法》，由建設(shè)單位全權(quán)負(fù)責(zé)工程項目管理工作。

4結(jié)語

篇10

【關(guān)鍵詞】 煤炭企業(yè)； 內(nèi)部控制； 風(fēng)險評估； 指標(biāo)體系

一、煤炭企業(yè)內(nèi)部控制風(fēng)險評估指標(biāo)體系的建立

煤炭企業(yè)的內(nèi)部控制風(fēng)險評估指標(biāo)體系設(shè)計應(yīng)遵循以下原則：

一是科學(xué)性和系統(tǒng)性相結(jié)合的原則。任何指標(biāo)體系都應(yīng)該建立在一定的理論基礎(chǔ)之上，科學(xué)性和系統(tǒng)性是制定指標(biāo)體系的基本原則。二是全面性和代表性相結(jié)合的原則。指標(biāo)體系應(yīng)具有一定的全面性，能全面反映煤炭企業(yè)內(nèi)部控制現(xiàn)狀，但也要采用有代表性的指標(biāo)，避免主次不分。三是可操作性與可延續(xù)性相結(jié)合的原則。選取的指標(biāo)不僅要具有可操作性，而且具有在時間和內(nèi)容上的延續(xù)性。四是定性和定量相結(jié)合的原則。該指標(biāo)體系不能全是定性指標(biāo)或定量指標(biāo)，這樣都不能夠客觀評價煤炭企業(yè)內(nèi)部控制水平，而應(yīng)該兩者相結(jié)合起來。

筆者基于評價指標(biāo)體系設(shè)計原則和方法，結(jié)合煤炭企業(yè)自身的特點，借鑒《2010年煤炭行業(yè)風(fēng)險評估報告》、2008年9月21日中國煤炭學(xué)會經(jīng)濟(jì)管理專業(yè)委員會在山東威海舉辦的第九屆中國煤炭經(jīng)濟(jì)管理論壇（論壇的主題是“企業(yè)全面風(fēng)險管理與控制”）、煤炭行業(yè)內(nèi)部控制風(fēng)險評估現(xiàn)狀及影響因素，提出了煤炭行業(yè)內(nèi)部控制風(fēng)險評估指標(biāo)體系。如表1所示。

二、基于AHP法風(fēng)險評估指標(biāo)的評估方法

本文對于定性指標(biāo)，采用調(diào)查問卷形式調(diào)查實證分析的對象，根據(jù)其相應(yīng)高管對此問卷的回答來確定相應(yīng)風(fēng)險發(fā)生的可能性及其影響程度。對于定量指標(biāo)，本論文采用沃爾評分法，結(jié)合風(fēng)險評估的相關(guān)計算及綜合評估來衡量煤炭企業(yè)內(nèi)部控制風(fēng)險，煤炭企業(yè)內(nèi)部控制風(fēng)險評估中三級風(fēng)險、二級風(fēng)險和企業(yè)加權(quán)平均風(fēng)險值的計算公式如下：

內(nèi)部控制風(fēng)險因素三級指標(biāo)加權(quán)平均風(fēng)險值=∑（風(fēng)險子因素各項分?jǐn)?shù)×各對應(yīng)子因素權(quán)重） 公式1

內(nèi)部控制風(fēng)險因素二級指標(biāo)加權(quán)平均風(fēng)險值=∑（風(fēng)險母因素各項分?jǐn)?shù)×各對應(yīng)的母因素權(quán)重）公式2

煤炭企業(yè)內(nèi)部控制風(fēng)險因素綜合風(fēng)險值=∑（風(fēng)險類別各項分?jǐn)?shù)×各對應(yīng)的風(fēng)險類別權(quán)重）公式3

用AHP法對指標(biāo)進(jìn)行量化的具體步驟如下：

（一）構(gòu)建兩兩比較判斷矩陣

從層次結(jié)構(gòu)模型（遞階層次結(jié)構(gòu)圖）的第2層開始，對于從屬于（或影響）上一層每個因素的同一層諸因素，用成對比較法和1―9比較尺度構(gòu)造成對比矩陣，直到最下層。

其中，元素滿足：

bij>0（i，j=1，2，…，n）；bii=1（i=1，2，…n）；bji=1/bij（i≠j；i，j=1，2，…，n）

（二）針對某一個標(biāo)準(zhǔn)，計算各備選元素的權(quán)重

目前，關(guān)于判斷矩陣權(quán)重計算的方法有兩種，即和積法和方根法。采用這兩種方法計算最大特征值和特征向量，從而求出相應(yīng)層次的排序權(quán)重。

（三）進(jìn)行一致性檢驗

通過判斷矩陣可以計算針對某一準(zhǔn)則層各元素的相對權(quán)重；然后進(jìn)行一致性檢驗。雖然在構(gòu)造判斷矩陣A時并不要求判斷具有一致性，但判斷偏離一致性過大也是不允許的，因此進(jìn)行一致性檢驗是很有必要的。

三、實證分析

以某煤炭集團(tuán)為例，對其內(nèi)部控制進(jìn)行風(fēng)險評估，文中對該公司內(nèi)控風(fēng)險的定性指標(biāo)結(jié)果采用專家打分法獲得，即向?qū)＜野l(fā)放調(diào)查問卷表，匯總專家打分的結(jié)果所獲得。對財務(wù)風(fēng)險中各指標(biāo)權(quán)重通過AHP方法計算得出；然后通過沃爾評分法計算相應(yīng)指標(biāo)的標(biāo)準(zhǔn)評分。根據(jù)表1指標(biāo)體系，該公司內(nèi)部控制風(fēng)險評估綜合測算如表2所示。

經(jīng)過定性和定量綜合分析后，該公司內(nèi)部控制風(fēng)險程度值是1.69，屬于低度風(fēng)險，其中外部風(fēng)險占綜合風(fēng)險值的15%，內(nèi)部風(fēng)險為85%，說明隨著煤炭行業(yè)的逐步市場化，該公司的內(nèi)部風(fēng)險增大，值得企業(yè)關(guān)注。其中這九個風(fēng)險中宏觀經(jīng)濟(jì)風(fēng)險占外部風(fēng)險值（1.97）的47%，行業(yè)政策風(fēng)險占外部風(fēng)險的32%，市場風(fēng)險為17%，自然災(zāi)害風(fēng)險為4%，人力資源風(fēng)險占內(nèi)部風(fēng)險值（1.66）的10%、安全生產(chǎn)風(fēng)險為57%、財務(wù)風(fēng)險為3%、研發(fā)風(fēng)險為18%、營銷風(fēng)險為12%。圖1反映了二級指標(biāo)風(fēng)險因素占相應(yīng)一級指標(biāo)因素的綜合風(fēng)險比例。

通過上述內(nèi)控風(fēng)險評估結(jié)果，筆者分析到該公司存在如下需要控制的風(fēng)險：

一是該公司宏觀經(jīng)濟(jì)風(fēng)險占外部風(fēng)險值（1.97）的47%。目前全球經(jīng)濟(jì)格局仍處于重構(gòu)階段，宏觀經(jīng)濟(jì)環(huán)境存在許多的不確定因素，公司應(yīng)該把它作為一個關(guān)鍵控制點加以管理。二是該公司的行業(yè)政策風(fēng)險表現(xiàn)得比較突出，此風(fēng)險占其相應(yīng)一級指標(biāo)綜合風(fēng)險值的比例為32%，其中資源整合風(fēng)險71.5%，資源稅改革風(fēng)險19%，環(huán)境保護(hù)政策風(fēng)險6.3%，煤炭出口政策3.2%。因此，該集團(tuán)領(lǐng)導(dǎo)層要高度重視行業(yè)政策風(fēng)險，找到問題的癥結(jié)，從而采取強(qiáng)有力的措施。三是該公司安全生產(chǎn)風(fēng)險中人員的安全意識權(quán)重高達(dá)61.4%，這充分體現(xiàn)了人的安全意識在安全生產(chǎn)中的作用；安全信息化水平權(quán)重26.8%，這意味著在人員安全意識加強(qiáng)的前提下，該集團(tuán)必須提高自身的安全信息化水平。四是在內(nèi)部風(fēng)險中，該公司研發(fā)風(fēng)險占其相應(yīng)的一級指標(biāo)綜合風(fēng)險值的比例為18%，其中研發(fā)經(jīng)費(fèi)的合理規(guī)劃對此數(shù)值的影響程度為7.8%，研發(fā)人員專業(yè)勝任力為47.5%，研發(fā)設(shè)備匹配度為12.6%，研發(fā)信息的及時性為32.1%。五是該公司市場風(fēng)險占綜合風(fēng)險值的比例為17%，其中海外煤炭生產(chǎn)商加入對此數(shù)值的影響程度為2.8%，煤炭運(yùn)輸風(fēng)險為9.8%，煤炭資源風(fēng)險為63.6%，下游行業(yè)需煤波動風(fēng)險為23.8%。六是在內(nèi)部風(fēng)險中，雖然財務(wù)風(fēng)險（公司2010年的年報還沒有披露，所以以上數(shù)據(jù)都來源于2009年的年報）比重較?。?%），但其中也有值得該公司關(guān)注的風(fēng)險，盈利能力為對此數(shù)值的影響程度竟達(dá)到78.2%，經(jīng)營增長狀況為5.2%，收益分配風(fēng)險為1.1%，債務(wù)償還能力為11.2%，籌資風(fēng)險為4.3%，該公司應(yīng)該高度重視其盈利能力，把握住公司的資本運(yùn)作，不斷提高主營業(yè)務(wù)利潤率、資本保值增值率，從而更加完善公司的財務(wù)控制。

此外，該公司的人力資源管理因素中人才聘、解機(jī)制因素對此風(fēng)險因素的影響程度為38.6%；其次是激勵與約束機(jī)制為33.8%，該公司應(yīng)及時關(guān)注這兩大因素。

結(jié) 語

煤炭企業(yè)內(nèi)部控制風(fēng)險評估首先需要根據(jù)指標(biāo)體系設(shè)計的原則，建立相應(yīng)的風(fēng)險評估指標(biāo)體系；然后采用AHP方法構(gòu)建風(fēng)險評估數(shù)學(xué)模型；最后運(yùn)用該模型對內(nèi)部控制風(fēng)險評估進(jìn)行分析。煤炭企業(yè)可依據(jù)此分析判斷其自身面臨的重大風(fēng)險，從而針對相應(yīng)的重大風(fēng)險建立有效的控制活動。

【參考文獻(xiàn)】

［1］ 張修鋒.上市公司內(nèi)部控制的風(fēng)險評估研究［D］.天津：天津財經(jīng)大學(xué)，2009.