风险理念

风险理念（精选十篇）

风险理念 篇1

为了从根本上增强审计人员评估风险和发现舞弊的能力、促进我国审计准则与国际审计准则的相互协调, 中国注册会计师协会借鉴最新国际审计准则的有关内容对我国的独立审计准则进行了修订, 修订后的审计准则 (即现行审计准则) 已于2006年2月15日颁布并于2007年1月1日正式实施。其中新颁布的具体准则有: (1) 《中国注册会计师审计准则第1101号———财务报表审计的目标和一般原则》, 取代《独立审计具体准则第1号———会计报表审计》; (2) 《中国注册会计师审计准则第1211号———了解被审计单位及其环境并评估重大错报风险》, 取代《独立审计具体准则第9号———内部控制与审计风险》、《独立审计具体准则第20号———计算机信息系统环境下的审计》及《独立审计具体准则第21号———了解被审计单位情况》; (3) 《中国注册会计师审计准则第1231号———针对评估的重大错报风险实施的程序》; (4) 《中国注册会计师审计准则第1301号———审计证据》, 取代《独立审计具体准则第5号———审计证据》。这次修订的最大变化就是启用新的审计风险模型, 即:审计风险=重大错报风险×检查风险。与原有审计风险模型 (审计风险=固有风险×控制风险×检查风险) 相比, 新审计风险模型有着显著的进步, 对注册会计师有更高的要求。

一、对现代风险导向审计理念下的审计风险模型的评价

1. 引入“重大错报风险”概念, 明确审计工作的重点。

现行审计准则正式引入“重大错报风险”概念 (重大错报风险是指财务报表在审计前存在重大错报的可能性) , 将审计风险模型重构为:审计风险=重大错报风险×检查风险。这里并不是简单地将固有风险和控制风险合并为重大错报风险, 而是作出了实质性的改进。现行审计准则启用新审计风险模型, 要求注册会计师在设计审计程序和进行审计测试前必须恰当地评估重大错报风险, 不能未评估重大错报风险就盲目进行审计测试, 也不能像以往那样将固有风险简单设定为最高水平而直接进行更广泛的实质性测试。因为不弄清重大错报风险可能发生的环节就一味进行实质性测试, 将难以查出重大错报事项, 从而会造成审计资源的浪费。新审计风险模型明确了审计工作的重点, 即评估财务报表的重大错报风险, 这样就抓住了审计工作的“牛鼻子”, 而且这一工作重点与现行审计目标定位密切相关, 有利于注册会计师履行审计责任, 从而顺利实现审计目标。新审计风险模型更有利于直接引导注册会计师时刻围绕评估重大错报风险来设计和执行审计程序, 最终实现保证财务报表不存在重大错报的审计目标。

现行审计准则体现了以评估重大错报风险为导向、以控制审计风险至可接受的水平为目标的现代风险导向审计理念。现行审计准则明确规定, 注册会计师应从多方面来了解审计客户及其所处的环境并评估重大错报风险, 其中包括了解审计客户的经营目标和战略以及相关而非全部的经营风险。这主要是因为: (1) 不是所有客户的经营风险在任何情况下都会导致财务后果且必然导致财务报表存在重大错报; (2) 评估和控制经营风险、实现经营目标是被审计单位管理当局的责任, 注册会计师的责任是评估被审计单位财务报表的重大错报风险, 以帮助被审计单位设计和实施有效的审计程序, 保证发现重大错报事项。

2. 区分财务报表层次和认定层次来评估重大错报风险。

新审计风险模型要求注册会计师区分财务报表层次和认定层次来评估重大错报风险, 然后再针对评估出的这两个层次的重大错报风险, 合理运用职业判断确定总体应对措施和进一步设计、实施审计程序, 以将审计风险降至可接受的低水平。不仅如此, 新审计风险模型还强调, 注册会计师评估的财务报表层次的重大错报风险以及采取的总体应对措施应对拟进一步实施的审计策略具有重大影响。原有审计准则和审计风险模型尽管也要求评估财务报表层次的固有风险, 但并没有明确指出要针对其采取总体应对措施, 也没有强调评估的财务报表层次的重大错报风险对审计策略产生重大影响。这样容易导致注册会计师不重视对财务报表层次重大错报风险的评估, 割裂了财务报表层次和认定层次的重大错报风险之间的联系, 使财务报表层次重大错报风险的评估流于形式, 难以最大程度地发挥审计风险模型的效用。

3. 改进了审计程序, 增强了审计程序实施的效果。

现行审计准则依据新审计风险模型, 把审计程序分为三部分: (1) 了解被审计单位的情况 (包括内部控制情况) 及其所处的环境, 目的是评估财务报表层次和认定层次的重大错报风险, 这一审计程序被称为“风险评估程序”; (2) (必要时进行) 控制测试, 目的是评价内部控制制度在防止、发现和纠正认定层次的重大错报方面的有效性, 并据此重新评估认定层次的重大错报风险; (3) 实施实质性程序, 目的是发现认定层次的重大错报, 降低检查风险。现行审计准则把第 (2) 、 (3) 部分统称为“进一步审计程序”, 并指出仅靠执行风险评估程序不足以为发表审计意见提供充分、恰当的审计证据, 这时注册会计师还应当进一步设计和实施审计程序, 包括控制测试 (必要时进行) 和实质性程序。

对审计程序作上述改进后, 要求注册会计师全程关注财务报表层次的重大错报风险, 并将风险评估作为整个审计工作的前提和基础。注册会计师首先应花大力气去识别和评估重大错报风险, 然后据此有针对性地采取措施, 以合理保证财务报表不存在重大错报。重大错报风险评估的失当, 必将导致整个审计工作的失败。由此看来, 能否合理评估被审计单位的财务报表层次的重大错报风险, 将成为评价会计师事务所的审计质量及注册会计师专业胜任能力的重要标准, 而这对我国不少会计师事务所和注册会计师提出了挑战。

4. 认定层次的重大错报风险仍由固有风险和控制风险构成。

现行审计准则及新审计风险模型并没有要求从固有风险和控制风险两方面来评估财务报表层次的重大错报风险, 但指出认定层次的重大错报风险仍由固有风险和控制风险构成。新审计风险模型要求注册会计师必须先评估认定层次的重大错报风险, 然后据此设计进一步的审计程序, 不过这种评估只是一种判断而不是精确的风险评估。如果注册会计师评估重大错报风险时预计控制程序有效, 就必须进行控制测试, 以支持该评估结果。因此, 对认定层次而言, 实施控制测试和风险评估程序都是为了解决重大错报风险的评估问题, 而这最终会通过直接影响重大错报风险的评估来间接影响认定层次的检查风险水平的确定和实质性程序的设计。可见, 尽管现行审计准则将控制测试和实质性程序统称为“进一步审计程序”, 但进行控制测试并不是为了直接降低检查风险水平, 检查风险仍然只与认定层次的实质性程序的性质及其实施时间、范围和效果直接相关。

综上所述, 现行审计准则及新审计风险模型强调了解被审计单位的情况 (包括内部控制情况) 及其所处的环境, 以充分识别和评估财务报表层次的重大错报风险, 并针对评估的重大错报风险实施控制测试和实质性程序, 以控制检查风险;同时强调无论内部控制是否有效, 都要对各类重大交易、重要账户余额和重要披露事项进行详细审计。现行审计准则纠正了人们对风险导向审计方法的认知偏差, 其实施有利于注册会计师提高审计质量、降低审计风险, 其在一定程度上体现了现代风险导向审计的思想。

二、新审计风险模型中重大错报风险要素的修正

《中国注册会计师审计准则第1101号———财务报表审计的目标和一般原则》指出, 重大错报风险是指财务报表在审计前存在重大错报的可能性。《中国注册会计师审计准则第1141号———财务报表审计中对舞弊的考虑》指出, 财务报表的错报可能由舞弊或错误所致, 舞弊和错误的区别在于导致财务报表发生错报的行为是故意行为还是非故意行为。舞弊行为是指被审计单位的管理层、治理层、员工或第三方使用欺骗手段获取不当或非法利益的故意行为;错误行为是指导致财务报表错报的非故意行为。从根源上看, 引起财务报表的错报不外乎舞弊和错误这两个因素, 因此笔者认为可以将新审计风险模型中的“重大错报风险”分解成“舞弊风险”和“误报风险”。舞弊风险是指被审计单位的舞弊行为导致财务报表产生重大错报的可能性;误报风险是指由被审计单位的员工的非故意行为导致财务报表产生重大错报的可能性。这样, 现代风险导向审计理念下的审计风险模型可以修正为:

审计风险= (舞弊风险+误报风险) ×检查风险

这样修正的依据如下:

1. 社会需求推动了审计模式的演进。

审计模式的演进是为了不断满足社会需求。直到20世纪初, 各国都还没有形成独立的审计理论和方法, 人们只是基于查错防弊的目的对大量的账簿记录进行逐笔审查, 这一时期的审计被称为账项基础审计。由此可以看出, 账项基础审计的产生满足了利益相关者预防欺诈、舞弊以保护企业资产安全和完整的需要。1929~1933年的世界经济危机使大批企业倒闭, 投资者和债权人蒙受巨大的经济损失, 这从客观上要求企业的利益相关者应更加关注企业的财务状况, 制度基础审计的产生正是为了满足这种需求。但制度基础审计由于存在缺陷, 对管理当局凌驾于内部控制之上的舞弊无能为力。自20世纪60年代中期以来, 审计诉讼案件日益增多;到20世纪70年代中期, 发生了数以百计控告审计人员的诉讼案;直到20世纪80年代初期, 控告审计人员的案件的数量之多仍然令人吃惊;2001年更是国内外独立审计行业的多事之秋, 世界五大会计师事务所之一的安达信因为“安然”事件陷入绝境, 我国深圳中天勤会计师事务所因为“银广夏”事件而解散。现代风险导向审计正是在这种情况下产生和发展起来的, 它的产生更多的是为了满足社会公众要求揭露管理当局舞弊行为的需要。

2. 舞弊给注册会计师带来了真正的威胁。

从世界范围内已发生的审计失败案件来看, 给注册会计师带来真正威胁的是舞弊, 尤其是管理当局的舞弊。这是因为会计人员无意识的误报或技术性错误一般是可以被控制的, 另外由于这种误报或技术性错误是会计人员的无意识行为, 会计人员是不会加以掩饰的, 从而易于被发现;而舞弊是一种故意行为, 具有较强的隐蔽性, 难以被注册会计师察觉。因此, 注册会计师应该把主要精力放在识别和控制由于管理当局舞弊所带来的风险上。修正后的审计风险模型把舞弊风险作为一个独立因子, 这就对注册会计师识别和控制舞弊风险提出了明确的要求。

3. 修正后的审计风险模型真正抓住了重大错报风险的“牛鼻子”。

现行审计准则规定要将评估财务报表层次的重大错报风险作为审计工作的重点, 那么在准确地抓住审计工作的“牛鼻子”之后再对舞弊风险进行评估就抓住了重大错报风险的“牛鼻子”。由此可以看出, 舞弊风险评估是重大错报风险评估的一个重要组成部分。从审计风险来看, 虽然误报风险可能会给注册会计师带来损失, 但这与管理当局舞弊风险可能给注册会计师带来的损失相比是微乎其微的。有关这一点, 近十年的中外审计失败案足以证明。这表明风险导向审计必须实现将主要精力放在关注和控制管理当局舞弊所可能带来的风险上的这样一种战略转变, 这是现代社会的一种客观要求。为此, 注册会计师应摒弃传统的“管理当局中性”的看法, 遵循“有错推定原则”, 即没有充分的证据证明管理当局没有舞弊, 就推断管理当局舞弊。有关这一点, 我们可以充分借鉴美国注册会计师协会颁布的《审计准则第99号———考虑财务报告中的舞弊》的有关规定。这一准则进一步强调了“职业怀疑精神”, 提出了新的舞弊风险评价模式, 即将重点放在舞弊产生的根源而非舞弊导致的结果上。这一准则建议注册会计师将注意力放在舞弊产生的主要条件上, 这些条件可以被归纳为压力、机会和借口。当这三个条件同时满足时, 就意味着出现舞弊的可能性很大, 注册会计师就必须予以足够的关注, 同时实施有效的审计程序以控制风险。

4. 修正后的审计风险模型明确了注册会计师识别和控制的风险的内容。

修正后的审计风险模型中没有固有风险和控制风险这两个要素, 这是因为固有风险和财务报表层次的风险包含在舞弊风险之中, 账户余额和交易层次的风险包含在误报风险之中;而由于内部控制对管理当局舞弊行为以及员工的串通舞弊行为的控制是无效的, 所以控制风险主要包含在误报风险之中。修正后的审计风险模型既可用于某一账户余额或交易类别的风险认定方面, 又可用于财务报表整体, 这就明确了注册会计师识别和控制的风险 (特别是财务报表层次的风险) 内容。这样便于指导实际操作, 而且还充分体现了审计过程中整体和局部、战略和战术的区别和联系, 在逻辑上也保持了前后一致、严密合理。

5. 修正后的审计风险模型有助于注册会计师结合企业的实际情况对有关风险进行具体分析。

修正后的审计风险模型将重大错报风险划分为舞弊风险和误报风险, 这有助于注册会计师结合企业的实际情况对相关风险进行具体分析并区别对待。对于误报风险, 注册会计师可以结合企业的业务特点、审计人员的业务知识和能力、企业管理的条件和水平以及内部控制制度的建立和实施情况, 分析确定审计的范围和重点;对于员工的舞弊风险, 注册会计师可以结合不同岗位的特点和有无岗位轮换制度等情况, 分析确定审计的范围和重点;对于管理当局的舞弊风险, 注册会计师可以结合企业的经营环境、是否存在关联方以及关联方之间是否进行交易、管理当局是否存在“压力、机会和借口”等情况, 对舞弊产生的主要条件进行分析, 确定审计的范围和重点。这样做才真正体现了“风险导向”的内涵。

6. 修正后的审计风险模型体现了审计开始由“以证实性为主”向“以侦察性为先导、以证实性为补充”转变。

从制度基础审计到风险导向审计, 审计的手法一直都是以证实性为主。审计人员进行控制测试是为了减少实质性测试的工作量。注册会计师应当根据审计准则的要求充分考虑审计风险并实施适当的审计程序, 以发现可能导致财务报表严重失真的错误与舞弊。同时我国审计准则也强调, 注册会计师对财务报表的审计并非专为发现错误或舞弊。因此, 迄今为止, 包括传统风险导向审计在内, 审计的手法都是以证实性为主, 奉行的是“无反证假设”和“有错推定原则”, 注册会计师在审计过程中要关注可能导致财务报表严重失真的错误与舞弊。

修正后的审计风险模型也存在以下几点不足: (1) 这种模型不利于减小审计期望差; (2) “应有的职业怀疑”在这种模型下难以落到实处, 很容易成为一句空话。修正后的审计风险模型以风险源为构成要素, 这就为实施“以侦察性为先导、以证实性为补充”的审计战略提供了基础。现代企业的特点是规模大、业务繁杂、会计普遍实现电算化、内部控制制度比较完善但管理当局舞弊频频发生, 在这样一种背景下, 风险导向审计发生“以侦察性为先导、以证实性为补充”的转变无疑有着非常积极的意义。因为, 企业会计电算化的普及大大减小了会计上一般错误发生的可能性, 管理当局舞弊成为当前财务报表审计的最主要内容。在这种情况下, 实施“以侦察性为先导、以证实性为补充”的审计战略可以有效地减小审计风险, 并能将“应有的职业怀疑”从一开始就落到实处, 从而有效地减小审计期望差。

参考文献

[1].王会金.风险导向审计.北京:中国审计出版社, 2000

[2].谢荣, 吴建友.现代风险导向审计理论研究与实务发展.会计研究, 2004;4

[3].杰里·D.沙利文等著.汤云为等译.蒙哥马利审计学.北京:中国商业出版社, 1990

新准则全面引入风险导向审计理念 篇2

在第一次公开征求意见后，中注协根据来自国务院有关部委、地方协会、会计师事务所、审计准则委员会委员以及香港会计师公会的反馈意见，对审计准则作出了全面修改，并于6月将修改后的审计准则及应用指南向会计师事务所定向征求意见。

本次修订充分借鉴了国际审计准则明晰项目的成果，对全部38项审计准则按照新的体例结构进行了改写，科学设定审计工作目标，明确审计工作要求，重塑结构。修订后的准则由“总则”、“定义”、“目标”、“要求”和“附则”等5部分构成，

按照新的体例结构改写后的审计准则体系，有利于提高审计准则理解和执行的一致性，有利于监管机构开展更有针对性的监管工作。

修订后的审计准则进一步强化风险导向审计的思想，除修订核心风险审计准则外，对其他审计准则也作出修改，将风险导向审计理念全面彻底地贯彻到整套审计准则中。

风险理念 篇3

关键词：安全风险管理；铁路；机务管理

引言

本文主要阐释了铁路机务部门如何利用安全风险管理的理念使铁路行车更加安全，并对如何发挥风险管理的作用做出了深入的思考。从铁路机务的实际工作出发，全面地分析铁路在行车安全方面的风险管理的现状，并以此来制定科学的安全措施。只有这样才能对铁路行车安全进行超前的防范，减少潜在的安全隐患，不断提高铁路的行车安全。

1.安全风险理念的适用性

1.1安全风险管理的定义。风险管理是一门新兴的管理类的学科，顾名思义它就是通过研究来寻找风险发生的规律并通过专门的技术手段对风险进行控制。不过在不同的领域中有着不同的管理目标，所以对于风险管理也有着不同的解读。安全生产行业通常会把风险管理的含义解释为：安全风险管理是基于对整个安全生产过程中的每个事件发生意外的概率以及对遭受的损失进行分析评估，体现出一种比较全面的管理职能。在综合分析出现风险的概率以及准确性之后，并以此为根据制定相关的方案以达到降低意外发生的概率并减少损失。

1.2风险管理在铁路机务中的应用分析。从我国现阶段的铁路安全管理发展来看，铁路的安全管理模式尚不成熟。一直以来，铁路部门采用的安全管理办法是“逐级落实安全生产责任制”。这是一种比较被动的管理模式，比如出现事故时也是采取事后管理的办法。而且即便高铁已经成功进行运营，然而在安全管理方面依旧没有看到任何新的模式。

我国许多行业风险管理得不到更深入的研究，风险管理在实践中依旧是等待填充的空白。虽然铁路机务部门对此做出了大胆的尝试，但是由于整体缺乏系统性阻碍了进一步的探索。由于没有可以借鉴的经验，使得许多观点都脱离了铁路的实际情况，对于到底如何进行操作也没有明确的说明。所以过于理论的思想是难以对实际的工作有过多的指导意义。不断研究将风险管理的理念应用到实践中去是一个艰巨的任务。

2.安全风险管理理念在铁路机务管理中的应用策略研究

2.1提高铁路机务管理安全态势评估水平。风险管理水平得到逐步提高，在进行安全态势评估时我们可以采用更为严谨和系统的风险识别技术。另外，在风险管理操作中实际情况是十分复杂的，实际工作往往要求我们将多种方法结合起来对风险进行全面的识别。但是无论是采用哪种方法，对于进行识别后的风险，我们都必须保证其全面性、准确性、系统性和科学性。通过对事故统计分析报表进行归纳并对日常安全检查问题库进行汇总，我们可以对风险事件的频率进行估计。在发生风险事件后，我们可以通过统计分析事故数据库来确定事故造成的后果，或者建立数学模型来估计事故的严重程度。

2.2确定铁路机务风险安全预警目标和执行准则。安全预警目标管理可以使全体职工共同努力实现铁路企业一定时期内的目标任务。职工通过在日常生产过程中不断增强自身业务知识并逐渐强化对安全风险管理理论知识的学习来实现自己的目标。被动学习逐渐转化为主动学习，员工不但实现了自己的安全目标还提高了自己的安全风险知识水平，提高了自己的安全风险意识。最重要的是铁路企业安全生产准则的建立不仅引导企业进行安全生产，还指引企业职工的操作行为更加安全健康。

2.3完善铁路机务安全信息管理机制。铁路机务安全信息管理机制的完善要严格按照5个步骤进行，即统一收集信息、信息系统分类、科学分析信息、反馈发布结果、记录存档。在完善安全信息时，要注意已经发生的事故和存在的安全隐患，还应该包含对设备运行的检查结果及设备运行状态等。对于安全信息的管理责任，要明确到段、车间及个人。在管理时要保证每个环节落实到位，可以由段级这一整个职能部门对安全信息进行统一管理以便掌握全面的信息。管理部门在工作中应制定有效的风险控制措施，在分析数据排查危险源后，对安全危险进行及时有效的处理评价。

2.4优化铁路机务安全风险评价和整改方法。在将安全风险管理应用于铁路工务部门时，我们要理解风险管理的原理熟悉风险管理的过程，针对不同层次和类别的风险因素确定相应的预警线并采取措施。在处理风险的过程中，选择适合的风险缓解措施，明确相应处理过程，处置措施应便于操作，职责分工要明确。通常对于不同风险类型，在制定控制、消除风险的措施时应符合设备质量标准和职工作业的相关准则，在把风险责任落实到具体工种、岗位时，要满足“逐级负责、专业负责、分工负责、岗位负责”要求。同时，还要注意对安全风险开展应急处置工作。

2.5进行系统性的铁路机务安全风险管理培训。铁路安全提升的首要任务就是培训铁路部门职工的安全意识、提高他们的业务能力、加强其法制观念等。建立铁路部门安全体系，应该针对全体员工开展培训工作，而不是仅仅拘泥于管理部门，这样才能达到铁路安全持续稳定的目的。培训内容包括帮助职工理解掌握安全风险管理的基本理论知识，明确职工各自的安全工作任务和目标，使职工的安全生产技能得到提，养成观察、思考、总结的好习惯最终可以控制风险并独立处理应急情况。

结语

综上所述，铁路个面实施安全风险管路，是在现有安全管理基础上对安全意识的强化、安全理念的提升、工作思路的优化，有利于管理理性化、决策科学化、防范超前化通过对列车运行、劳动安全、设备安全方面进行风险研判，找出风险点，制定安全防范措施，达到降低和或消除行车安全风险的目的，实现闭环管理，防比行车安全事故的发生。

参考文献：

[1]郭辉.安全风险管理在铁路机务行车安全方面的探索与研究[J].科技创新与应用，2015，14：261.

[2]姜百涛，李健.对铁路机务安全风险管理的初步解析[J].哈尔滨铁道科技，2012，03：30-32.

[3]张万鹏.铁路风险管理方法及信息处置平台研究[D].中国铁道科学研究院，2014.

[4]赵雁峰.铁路货运安全风险管理研究[D].西南交通大学，2013.

风险理念 篇4

目前, 各国银行都把《巴塞尔新资本协议》作为风险防范的一个重要指引, 但是从1988的巴塞尔协议到2006年的巴塞尔新协议, 虽然其内容发生了很大变化, 它的最为主要的着力点还是保证银行的最终偿还能力, 要说88年的巴塞尔协议和新的巴塞尔协议有何不同, 其主要体现为:1.监控职能所有不同;2.监管的范围不同;3.监管的手段和方法不同。88年的巴塞尔协议主要有两方面的内容:一是要加强对银行业的资本充足率的监督, 保证银行的资本充足率达到协议要求水平;二是通过对银行业的监督来保证银行体系的稳健运行。所以说88年的巴塞尔协议所主要关注的是银行是否有最终的偿付能力, 从而保证其稳健运行。然而随着银行金融业的不断创新, 金融衍生业产品的不断发展, 88年的巴塞尔协议所监管的银行风险范围, 远远不能覆盖银行所面临的新的风险, 而且在新业务不断发展的形势下, 市场风险、操作风险对银行经营稳定性的影响更大。从巴林银行倒闭案来看, 巴林银行1993年其资本充足率还远超于8%, 1995年1月巴林银行还被认为是比较安全的, 然而到了1995年2月这家老牌的银行便宣告破产;再反思一下1997年的东南亚金融危机, 变幻莫测的金融市场是产生这场金融危机的一个重要原因。所以, 上世纪90年代后各大银行倒闭引起了银行业对其监管框架进行了重新的反思。银行业达成一致的共识, 认为金融业存在的问题不仅仅是信用风险或市场风险等单一风险的问题, 而是由信用风险、市场风险外加操作风险互相交织作用产生的。1997年9月推出的《有效银行监管的核心原则》表明, 巴塞尔委员会已经确立了全面风险管理的理念。该文件共提出涉及到银行监管7个方面的25条核心原则, 因此, 可以说自1997年起, 在银行业已经树立起了全面风险管理的理念。

谈到这里我们有必要对近一个世纪的风险管理实践和理论做一下回顾和反思。对金融风险的分类早就有信用风险、市场风险、操作风险、汇率风险、系统风险、道德风险、国家政策和法规风险等。对于金融风险的多种分类, 在一般的风险管理理论和管理实践中, 风险管理已涵盖了信用风险、市场风险和操作风险, 那么为什么说《有效银行监管的核心原则》的推出, 才被认为是全面风险管理的开端, 或者说拉开了全面风险管理的序幕, 我个人认为:

1.《有效银行监管的核心原则》的提出, 改变了银行监管部门的侧重点, 银行业对于风险的评估和监测不再只注重银行的偿还能力, 而且更加注重市场风险、操作风险, 同时要强化监管部门的监督检查及市场约束。在旧巴塞尔协议框架中, 银行在风险防范和管理过程中始终处于被动地位, 且缺乏自我约束, 银行危机的产生主要由借款人的风险引起, 银行风险的规避取决于监管当局对其资本金计提方法和计提数量的监督, 并不注重当事人主体能动作用的发挥, 也没有对银行提出如何适应市场以及如何主动接受市场约束的问题。

2.新巴塞尔协议的“三大支柱”不仅反映了当今银行业迅速发展的深刻变化, 同时代表着最新的风险管理理念, 就是以资本为核心的风险管理理念。报告以不同的风险权重将不同风险的资产加以区分, 使得同样规模的资产可以对应不同的资本量, 资本的保障能力随资产风险权重的不同而异, 体现出报告的动态监管思想。意味着资产负债管理时代向风险管理时代过渡。

3.在信用风险的衡量和计算方式上改变了旧协议主要根据债务人所在国是否经合组织成员国来区分的标准, 而强调自律行为与外部评估机构的评估结果。在此基础上提供了三个可供选择的方案, 即标准化方案、银行内部评级方案 (基础IRB) 和资产组合信用风险模型方案 (高级IRB) 体系。强调用内部评级为基础来衡量风险资产, 进而确定和配置资本, 在此基础上强化市场风险和操作风险的防范与管理, 并提出具体量化和管理这些风险的办法。与原巴塞尔协议相比较, 全面风险管理的一般程序包括七个步骤。这七个步骤是: (1) 建立综合信息框架; (2) 风险评估; (3) 制定风险战略; (4) 构造风险管理解决方案; (5) 实施风险管理解决方; (6) 监控改进风险管理的过程; (7) 贯穿于整个风险管理过程中的信息沟通。以上全面风险管理过程要求银行在实际工作中, 首先应确保其风险管理能够涵盖所有业务和所有环节中的一切风险, 即所有风险都有专门的、对应的岗位来负责。对于新产品、新业务, 银行应确保这些产品和业务在被引进之前就应制定出适应的风险管理程序和控制方法。全面风险管理的程序的执行, 不是一个从上到下的直线式的过程, 而是互相联系的循环过程。这种循环式的执行程序, 表现了银行全面风险管理作用的连续性特征, 使得全面风险管理成为一个动态的过程, 从而保证全面风险管理的灵活性和可操作性。

二、全面风险管理的手段

(一) 风险的测量。

风险的测量是进行全面风险管理的基础和前提, 是全面风险管理的一个最为重要的组成部分, 信用风险的测量应该涵盖所有的业务和领域。全面风险管理既要对传统的信用风险进行风险的测量, 也要对市场风险和操作风险进行风险测量。根据《巴塞尔协新资本协议》的要求, 所有银行应尽可能创造条件使用内部评级法 (IRB) 来测量违约率 (PD) 和违约损失率 (LGD) , 强化对客户和债权的评级。在使用内部评级法进行银行风险测量时, 也要结合传统的风险测量方法, 要考虑借款人的声誉、杠杆和资本结构及其借款人的收益变化情况, 同时也要考虑经济周期、国家政策和利率水平等因素。操作风险的发生具有相当程度的不确定性, 所以对操作风险的测量要具有全面性和动态性。《巴塞尔新资本协议》对操作风险提出的四种计量方法具有一定的操作难度, 特别是在基层操作更具有一定的困难。因此在目前的条件下银行还应测重风险控制的自我评估, 并逐步向内部评级法过渡。风险的评估必须兼顾到业务流程式的每一环节, 针对不同业务的特点在风险测量方面要区别对待。要先对风险进行定性, 然后测算风险量的大小。

(二) 风险偏好的测定。

风险偏好决定了人们的置信区间, 在一般的情况下银行的资金投向哪里是由投资者的银行偏好决定的, 或者说银行的投资取向一方面是靠上级的投资政策, 一方面还要靠投资者偏好。在没有经济资本约束的条件下, 银行资源的配置在很大程度上是由银行的风险偏好决定的, 这样银行的资源配置在很大程度上是首先考虑收益, 而忽略了该盈利能力背后承担的风险。因此要实施全面的风险管理, 首先必须明确银行本身是在什么样的风险程度上进行经营和管理, 从而制定相应的风险战略。

(三) 经济资本的管理。

经济资本对于银行风险管理的意义在于在即定的经济资本前提下要扩大贷款总量必须减少风险资产, 从而控制银行风险的产生。目前, 从总行的角度来讲经济资本管理其主要内容是银行所拥有的经济资本要向监管资本看齐, 总行在对一级分行的经济资本配置过程是根据某一级分行资产潜在的风险来为其配置经济资本的。从盈利的角度来看, 任何一个银行也不愿意承担过多的经济资本, 从而减少其资产规模。

经济资本是是通过计算过程产生的, 在这个计算过程中银行是愿意增加经济资本还是减少经济资本呢?这里必须强调一点, 银行分配的经济资本仍是一种虚拟的资本, 他真正的含义是要求某一分行在一定的贷款规模控制下来发放贷款。内部评级法或外部评级法所测算出的经济资本从理论上讲是通过对信用风险、市场风险、和操作风险的计量来反映银行的风险资产状况, 他是一个历史指标。经济资本过高, 要么调整贷款投向, 要么停止贷款投放, 因为减少信贷规模在一定程度上是减少了银行所承担的经济资本。所以说关注经济资本, 时刻了解经济资本变化的动向, 银行经营管理的测重点必然会转移到对资产质量的关注上, 转移到对客户信用的分析上, 从而在一定程度上减少银行的风险。

(四) 实施全面风险管理的差别手段

由于银行业务种类和金融新产品不断增多, 不同业务种类之间存在着较大的业务特性和风险差异。从总体来讲信用风险和操作风险显然不同能采用相同的管理方法和手段;从业务类别来看, 对公业务和个人业务产生风险的因素也有很大区别, 例如对公业务在授信审查中要着重强调企业的发展前景和财务状况分析, 注重企业的现金流量和财务比率分析。而零售业务的风险是分散的, 更多的强调整体违约率的把握, 在单个授信审查中则强调对借款人未来收入和偿付能力的分析。如果简单套用公司业务的风险管理模式和方法进行零售业务风险管理, 不仅不能控制住风险, 还会增加管理成本。差别化管理不仅体现在不同业务风险管理中, 还要体现在不同的业务品种之间。银行的风险管理部门应合理划分业务品种, 根据不同业务品种的特性和风险大小、形态确定不同的风险管理方法。如消费信贷和投资经营类贷款, 在贷款用途和还款来源等方面具有较大的差异, 消费信贷一般金额小、期限短, 还款来源主要依靠家庭收入, 是公认的风险较小的授信品种, 对这类业务适宜通过批量化处理从整体上进行违约率控制;而投资经营类贷款一般金额较大, 还款来源主要依靠投资所得, 具有较大的不确定性, 对投资经营类贷款不仅要分析借款人的资信状况, 还要相应进行行业和地区风险分析, 采用不同于消费信贷的管理方法。如果对不同种类的业务采取同一的风险管理方法, 要么限制了业务正常发展, 要么放松了风险防范。

(五) 加强风险文化建设

加强风险文化建设, 是银行企业文化建设的重要组成部分, 是银行企业文化建设的重要内容, 在银行全面风险管理过程中, 先进健康的企业文化对于增强银行全体员工的责任感, 强化风险意识, 全面提升银行的管理水平具有实际意义。在目前形势下加强企业文化应做好以下几方面的工作:1.要在银行树立全面风险意识和经济资本管理的观念, 全体员工特别是各级领导者应深刻认清商业银行风险管理文化建设的战略地位和重要作用;2.要加速对风险评估、风险测量和商业银行风险管理有关监管文件的学习, 特别应注重内部评级法在银行内部的普及和用;3.要坚持不懈地深入开展风险管理教育, 着力推动管理层和全体员工的风险管理理念, 强化银行风险管理的自律性, 进一步提高全体员工对加强风险管理重要性、紧迫性的认识, 自觉地把风险防范与控制和员工的工作和责任紧密联系起来;4、积极学习他行的先进风险管理理论和实践经验, 着力实现风险管理体系、机制和制度建设的根本性转变与突破, 使全体员工在从事业务活动时遵守统一的行为规范, 并力求所有存在操作风险部门的员工都了解本行的风险管理制度, 对风险的敏感程度、承受水平、控制手段有足够的理解和掌握, 从而构建成全行齐抓共管的先进的风险管理文化。

(六) 加强内控合规建设

内部控制是全面风险管理的必要环节, 是满足内部控制系统的要求, 也是企业风险管理体系建立应该达到的基本状态。巴塞尔银行监管委员会在《银行业组织内部控制体系框架》中, 将“合法和合规性”列为银行内部控制框架的重要要素之一。内部控制与新资本协议关系主要体现在内部控制与操作风险的关系上, 新资本协议的操作风险是指由于不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。毕马威全球风险调查结果显示:信用风险、市场风险、操作风险及其他风险所要求的风险资本占资本总额的比例, 过去为55%、35%、5%和5%, 现阶段为40%、35%、20%和5%, 将来可能演变成30%、25%、40%和5%。由这组数字我们可以看出, 银行的操作风险在所有风险构成中所占比例不断增高, 所以, 加强内部控制, 既要强化信贷风险的内部控制, 同时也要加强银行业务操作流程的合法性和合规性。1.要强化信贷风险内控管理机制。这里应注意以下几方面:一是营造信贷风险管理的内控环境, 为商业银行信贷风险内控机制的建立提供基本条件。二是完善信贷风险控制体系, 优化信贷风险管理流程, 明确信贷风险管理各环节的工作职责, 加强各部门各环节间的衔接与合作, 不断提高信贷业务程序的流转效率和服务水平。三是健全客户统一综合授信制度。对客户的授信要做到表内业务与表外业务统一管理、本币业务与外币业务统一管理, 控制整体风险;2.要建立一套与加强全面风险管理相适应的、完整配套的、涵盖业务各个角落和环节的内控制度体系, 把预防性控制落实到各业务制度中, 增强制度的时效性和可操作性。3.内控机制与信息流程的优化组合要在银行业务流程的操作过程中体现出来, 内控制度、条例制订和完善应扩大对操作流程的涵盖面, 体现出内控管理的阶段性。4.建立一套自我持续改进的风险管理机制, 承担内部控制评价的职能部门, 要按照有效性、审慎性、全面性、及时性和独立性原则, 对业务和管理流程进行连续的内部控制检查, 并通过审核、评价和改进, 不断提高内部识别、评估和控制风险能力, 实现对风险的更有效管理, 为银行的风险防范管理构建一个长期有效的内控机制。

参考文献

[1]王忠厚.全面风险管理[M].北京:清华大学出版社, 2010.

[2]吕香茹.商业银行全面风险管理[M].北京:中国金融出版社, 2009.

[3]陈四清.商业银行风险管理通论[M].北京:中国金融出版社, 2006.

风险理念 篇5

今年以来，根据国家税务总局以及省局推进税源专业化管理的具体要求，进一步加快改革步伐，为此，虞姬分局强化风险意识，全力推进征管业务流程再造试点工作，并取得了阶段性成果，使税源专业化管理新模式得以顺利推行。

一、抓规范，搭建专业化管理的基本格局

根据总局《税源专业化管理新模式试点工作实施方案》的精神，结合实际情况，该局以税收风险管理为导向,以纳税人规模和行业等为主，对税源实施科学分类。调整征管机构，科学确定税源管理岗位，细化职责分工，按照“权力分解，人人管事”的原则，建立完善纵向联动、横向互动的专业化管理运行机制。

（一）实行分类管理，科学调整管理股职责

按照“外分”的原则，突破属地管理界线，以规模、行业及其缴纳的税种为主，兼顾风险和存续期，将纳税人分为重点税源、一般企业税源和个体税源，并据此对分局税源管理股的管理范围和职责进行调整，形成税源专业化管理的基本格局。

在重点税源管理上，成立“虞姬地税分局重点税源管理股”，将占总收入比重80%的重点税源（建筑、房地产开发业）划入重点税源管理股，实行专业化管理，此举大大提高了重点税源的管理精度，并可有效控制全局80%以上的税收风险，利于实现征纳双方的共盈。

在一般企业税源和个体税源的管理上，充分考虑征管成本，按照实事求是的原则，成立了虞姬分局税源管理一股和税源管理二股，采

取分行业和分区域相结合的管理方式，对规模行业，实行专业化管理；没有规模行业的乡镇，按地域进行管理。

（二）围绕按事分岗，合理划分岗位职责

按照“内分”的原则，通过按事分岗，对现有基层征管业务划分为征收服务、日常管理、税源管理、综合管理四大类，按照四类业务所涉及的事项设置岗位，实行分岗管事，分解过于集中的权力，实现有效的监督制约。根据各基层分局实际情况和人员数量，灵活设置岗位，可采取一人多岗或一岗多人的方式，以解决当前人员短缺的问题。优化征管资源配置，对纳税人实施分行业和分规模为主导的分类管理，将一部分税收管理员从日趋繁杂的事务中解放出来，专门从事税源管理，把有限的征管资源用于税收风险大的行业和企业。截至目前，全局共配备日常管理类43人，税源管理类46人。

（三）设置中枢机构，增强税源管理力量

成立税源管理科，调配稽查、征管、信息化等方面的人才7人，组成管理团队，负责组织实施纳税评估、税收预警、税源监控分析和重点税源管理等工作，充分发挥税源管理科纵向管理指导、横向统筹协调的中枢作用。

在纵向管理指导方面，税源管理科牵头制定方案、出台管理措施，成为税源专业化管理的“领航员”，使全局在税源管理上步伐一致、政令统一，充分保证了新模式的推行质量；其次，税源管理科结合征管状况，每月召开两次税源分析和交流会，总结经验，查找问题，对基层分局在新模式运行中遇到的难题进行解决和指导，分局税源管理岗及

时将新模式运行情况向税源管理科进行反馈，使两级联动和协作机制进一步形成。

在横向统筹协调方面，税源管理科强化与征管、税政、稽查等部门的工作协调，形成齐抓共管的税源管理局面。通过税源管理、计财、税政等部门的税收分析为纳税评估确定疑点、指明方向；通过纳税评估为税务稽查提供案源；稽查局每月将检查案例向税源管理科反馈查处结果，根据查处结果反映的问题，改进和加强日常管理，形成了各部门、各环节联动配合的良性互动格局。

二、求完善，建立专业化管理的保障机制

为确保税源专业化管理模式的顺利推行，该局建立并不断完善了信息采集共享、应急处理、风险评估等机制，进一步夯实了专业化管理工作的运行基础。

（一）建立并完善信息采集共享机制

在第三方信息采集分析方面，加强了对财政局、国税局、工商局、建委、房管局、科技局等单位的数据采集、加工和分析利用，并与各协税部门建立了联席会议制度，进一步畅通了信息传递渠道，为基层税源管理岗加强税收管理提供了重要的信息来源，促进了税源专业化管理质效的提升。在此基础上，注重发挥信息技术的支撑力度，加强内部信息的整合和交流。以Groove协同软件为蓝本，研发了“内部协同工作平台”。其原理是基于P2P技术的协同软件工具，提供各方面的互动信息沟通，在保证数据安全的同时又保证用户穿过防火墙访问数据，从而达到协同工作的目的。

（二）建立并完善风险分析评估机制

纳税人的风险，主要是纳税人因不当履行税收法律义务而可能面临的加收滞纳金、承担行政罚款等行政责任以及刑事责任等。为最大限度的降低纳税人风险，该局牢固树立“纳税人的风险就是我们的风险”理念，建立并完善了风险分析评估机制，并借助分行业管理的优势，进一步搭建了行业风险预警指标体系，通过税收预警分析，及时提醒纳税人依法纳税，避免各类涉税风险。同时，按照“高风险、高防范、高标准”的原则，对税源实行分类管理，对存在不同风险纳税人实施不同的管理措施，加强管理的针对性，有效降低了纳税人的税收风险。

（三）建立并完善应急处理机制

税源专业化管理新模式的推行是一项重大变革，没有经验可以借鉴，在逐步摸索推进中必然会遇到难以预知的困难和问题。对此，该局建立并完善了应急处理机制，成立“税源专业化管理应急处理小组”，对新模式推行中遇到的突发问题进行集中研讨，及时研究制定解决方案，为新模式的高效运行“保驾护航”。

三、严督查，构建专业化管理的责任体系

为保证税源专业化管理各项工作的顺利实施，充分调动税收管理员的积极性，确保各项工作的贯彻落实，该局制定了《招远市地税局税源专业化管理考核办法》。考核分为对税源管理科的考核和对基层分局的考核。对基层的考核将分局长作为第一责任人，充分发挥分局长在税源专业化管理工作的中坚作用。

为了对税源管理全过程进行全方位的监督和制约，制定并实施了《招远市地税局税源督查管理办法》，以“有效监督”来规范和约束税收管理员的税源管理行为。自去年以来税源管理科按照督查管理办法，对重点区域、重点行业、重点税种的税源管理落实情况进行督查，共督查纳税人或区域44个，经过督查发现税源管理、税收政策落实不到位等多个方面的问题，查补入库税款109万元。今年1月份，根据督查结果，对10名税收管理员进行了责任追究，扣发了能级管理奖，对涉及的5个分局局长也一并扣发了能级管理奖。通过责任追究，充分调动了税收管理员的主动性和积极性，为税源专业化管理的顺利实施提供了保障。

四、促征管，凸显专业化管理的蝴蝶效应

税源管理作为税收工作的核心环节，其专业化变革必将形成“牵一发而动全身”的局面。因此，尽管税源专业化管理新模式运行时间不长，但它所引发的“蝴蝶效应”已经初步显现。

（一）税收收入实现较大幅度增长

2010年1-3月份，该局共入库税款43543万元，比去年同期37005万元，增长6538万元，增幅17.67%。其中：地方级收入25273万元，比去年同期21614万元，增长3659万元，增幅16.93%。税收收入的增长，充分体现了税源专业化管理的重要作用和突出效果。

（二）税源管理人员的主动性和积极性得到提高

税源专业化管理新模式的推行，充分调动了税源管理人员的积极性。各岗位间既有分工，又有协作，又相互制约，极大的增强了税源

管理人员的责任心。就日常管理类人员而言，由于岗位职责细化周详清晰，每项工作有考核有监督，打破了“包户到人，各事统管”的传统模式，能够专心于职责范围内的工作，工作效率得到了进一步提升，征管基础工作得到进一步加强。2010年1-3月份，该局平均征期申报率达到99.98%；财务报表报送率达到98%，比去年同期增长3.1%；数据出错率为0；异常数据产生率减少46%；烟台预警平台预警93条，同比减少424条。上述数据说明，日常管理类人员的工作责任心有了很大提高。就税源管理类人员而言，由于从繁杂的日常事务中解脱出来，有充足的精力和时间去从事税源管理工作，从而促进了税源管理质效的大幅提高。

（三）人员少、税源管理能力不足的问题得到了解决

在“各事统管”的传统模式下，管理人员的时间和精力过于分散，税源管理的力度和深度明显不足，各部门都感觉人手短缺。自税源专业化管理实施后，税源管理有了专业队伍，人才资源得到充分优化，对税源的管理实现了由粗放型向精细化方向的转变，税源监控水平得到了较大提升，解决了疏于管理、淡化责任的问题。

风险理念 篇6

关键词：风险导向审计,风险评估模型,年度审计计划

素有企业“经济卫士”与“保健医生”美誉的内部审计已随着社会的演变发展从传统的内部审计发展到风险导向审计阶段, 但是, 在实践中笔者深深体会到以风险评估为基础制定的年度审计计划在风险导向型审计中所起的作用越来越大, 但是如何进行审计计划的风险评估目前无论在国内还是国外都没有广为认可的模型可供参考。鉴于此, 本文试图向读者推荐一种可供应用的方法。

一、风险导向审计的内涵

风险导向审计是指内审人员在审计过程中自始至终都以企业风险分析评估为导向, 根据量化的风险估值水平排定审计项目优先次序, 依据风险确定审计范围与重点, 对企业的风险管理、内部控制和治理程序进行评价, 进而提出建设性意见和建议, 协助企业管理风险, 实现企业价值增值的独立、客观的鉴证和咨询活动。

与传统审计相比, 风险导向审计在确定审计范围、审计内容以及审计时间安排上更能接近企业的组织目标, 站的更高看的更远, 企业的战略目标、企业的内外部环境均纳入风险导向审计视野。

二、为什么要应用风险导向理念制定年度审计计划

所谓审计计划风险评估是指在制定审计计划之前, 对影响审计计划编制的风险因素进行辨识、分析和评价, 以利用审计人员依据评估结果制定科学合理的审计计划。

《礼记·中庸》曰:凡事预则立, 不预则废。内部审计工作同样如此。科学合理的年度审计计划是开展全年内部审计工作的基础, 也是充分发挥有限的审计资源, 提高审计效率和效益的重要方法。而只有进行审计计划的风险评估, 才能制定科学合理的年度审计计划。

此外, 国内外监管机构都对审计计划的风险评估都提出了明确的要求。从国际看, 国际内部审计师协会《工作标准》第2010条明确提出:“首席审计执行官应根据风险制定审计计划”;从国内看, 《中国内部审计准则——基本准则》第十一条明确要求:内部审计人员应在考虑组织风险、管理需要及审计资源的基础上, 制定审计计划, 对审计工作做出合理安排。”

三、如何在年度审计计划中应用风险评估理念

进行审计计划风险评估, 科学合理的制定年度审计计划, 笔者认为主要可遵循如下步骤:

(一) 划分业务流程

要想制定科学合理的年度审计计划, 首先要依据企业特点, 正确划分业务循环。以电信企业为例, 结合生产经营特点, 可以将业务划分为以下几个循环:1、风险管理与公司治理;2、人力资源与人工成本管理;3、销售与收款;4、采购与付款;5、在建工程与固定资产管理;6、网络运维与资源管理;7、财务会计与信息披露;8、信息系统管理流程。

根据企业实际情况各流程下可细分子流程:比如, 销售与收款循环可细分为市场资费制定、渠道费用管理、计费管理、应收账款管理、营收资金管理等子流程。

(二) 确定各业务流程的风险评估因素

国际内部审计师协会的一份研究报告指出如下18种风险因素可以作为审计人员在进行风险评估时考虑的主要内容:被审计单位内部控制的质量;管理人员的能力;管理人员的正直程度;单位规模;会计系统的近期变动;经营业务的复杂程度;要职人员的近期变动;资产的流动性;单位经济环境的恶化;公司发展速度;单位的电脑化程度;距上次审计的时间间隔;管理人员对完成目标的压力;政府法规的范围;员工的士气状况;外部审计的时间、次数、覆盖范围、重要性水平;对公众的公开程度;离总部的距离。

笔者认为公司可根据本企业的实际特点, 从中选择5-8种最重要的风险因素对业务流程评估进行评估。

(三) 建立风险评估模型

对 (二) 中确定的5-8种最重要的风险因素赋予不同的权重, 从而对 (一) 中确定的各流程建立审计计划风险评估模型。各项风险因素的权重合计为100。根据公司经营发展的不同阶段, 其权重可做相应的调整。

在实践中, 可以运用计算机技术, 在系统中构建企业风险评估模型, 使繁琐的风险评估工作简单化, 提高风险评估的效率和效果。

(四) 审计计划风险评估方法

笔者认为风险评估可以采用访谈及评分的方式进行。

1、与公司管理层、流程所涉部门主管、流程执行人员等进行的访谈, 从而收集风险评估相关信息。

2、由相关人员, 如审计部门领导、审计人员、流程所涉及部门领导及人员根据 (三) 中确定的风险评估模型对相关业务流程的每项风险因素进行评分。

3、对不同人员的评分赋予合理的权重, 加权平均得出各业务流程的总评分。

4、按业务流程风险估值从大到小顺序排列。

(五) 根据风险评估结果制定审计年度计划

在对所有业务流程或循环进行风险评估、排序后, 可以按照ABC方法, 选取风险估值高的流程安排年度审计计划。

如果有下属分公司, 参照上述风险评估方法选取风险估值高的分公司安排年度审计计划。围绕风险评估结果进行审计资源分配、审计时间安排、审计方案制定。

(六) 持续评估, 调整年度审计计划

风险理念 篇7

一、自主创新——3C框架在全面风险管理领域的探索

3C全面风险管理标准包括基本框架、实务标准、操作指南, 基本涵盖了COSO全面风险管理框架和国务院国资委颁布的《中央企业全面风险管理指引》的所有内容。3C全面风险管理标准力求自主创新, 除增加了实务标准、操作指南 (COSO和国资委还未发布) 这些具有可操作性的内容之外, 在基本框架方面也进行了一系列的创新, 充分考虑了中国企业的实际情况, 在构建中国企业自己的全面风险管理标准方面进行了有益探索。仅基本框架而言, 在全面风险管理领域的探索是全方位的, 简单归纳起来主要包括以下几个方面:

(一) 总体结构逻辑关系简单明了

COSO全面风险管理框架主体结构由定义、内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控、职能与责任、企业风险管理的局限、该做些什么等构成。《中央企业全面风险管理指引》由总则、风险管理初始信息、风险评估、风险管理策略、风险管理解决方案、风险管理的监督与改进、风险管理组织体系、风险管理信息系统、风险管理文化、附则等组成。而3C全面风险管理基本框架从总体结构上是按照目标体系、风险整合、管理融合来安排的, 形成了由目标体系、风险整合、管理融合组成的有机体系, 贯彻严密的目标——风险——管理的逻辑关系。

(二) 框架内容力求科学系统

COSO全面风险管理框架认为企业风险管理包括8个相互关联的构成要素。这些构成要素是:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。《中央企业全面风险管理指引》没有直接引入管理要素概念, 仅从全面风险管理内容看, 包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统5个方面。3C全面风险管理基本框架从总体看包括目标、风险、管理3个部分, 从流程看包括管理准备、管理实施、管理报告和监督改进4个程序。具体探索体现在以下几个方面:

1.3C全面风险管理基本框架没有引入“内部环境”要素, 而是将COSO全面风险管理框架中“内部环境”要素中的具体内容全部融入了整个框架中。COSO全面风险管理框架中“内部环境”界定的风险管理理念、风险容量、董事会、诚信与道德价值观、对胜任能力的要求、组织结构、权力和职责的分配、人力资源准则等要素, 既有全面风险管理的“软要素”, 又涉及到全面风险管理“硬要素”, 确实是全面风险管理的基础, 但用“内部环境”来界定难以理解, 使人容易产生是诱发风险的内部环境因素, 因此, 3C全面风险管理基本框架没有引入“内部环境”要素, 而是将它们分别作为全面风险管理的基础和内容独立出来了。

2.3C全面风险管理基本框架没有把“目标设定”作为全面风险管理的基本要素, 并将COSO全面风险管理框架“目标设定”改为“目标确定”。目标管理很重要, 是管理中的管理, 目标确定是企业目标管理的核心内容, 是企业管理工作的首要任务, 董事会和各级管理人员必须确定目标。企业管理层在确定目标时要考虑风险因素, 这是必然的, 但全面风险管理工作不能事事从确定目标开始, 确定目标本身就是管理人员的事, 全面风险管理作为企业管理的一项核心内容, 可以把目标确定作为风险管理的内容进行关注, 但不是流程, 至多说目标确定是全面风险管理的前提条件之一。

3.3C全面风险管理基本框架把COSO全面风险管理框架“信息与沟通”作为全面风险管理的重要手段, 而不单独作为全面风险管理的一个流程或重要要素。信息在现代社会很重要, 沟通无限, 全面风险管理的全过程都涉及“信息与沟通”, 不可能也没有必要独立出来, 应该贯穿于全面风险管理的全过程。

4.3C全面风险管理基本框架把COSO全面风险管理框架“事件识别”定义为“风险识别”, 把COSO全面风险管理框架“风险评估”细化为“风险分析”、“风险计价”、“风险评价”, 把COSO全面风险管理框架“控制活动”重新定义为“风险控制”, 把COSO全面风险管理框架“监控”改为“监督改进”, 并细化为“风险监督”、“风险审计”、“管理改进”等。

5.3C全面风险管理基本框架从我国企业的实际情况出发, 把全面风险管理流程界定为管理准备、管理实施、管理报告、监督改进四个基本流程。对每个具体流程都明确了工作内容、方法、步骤以及相应的表单, 具有可操作性。

6.3C全面风险管理基本框架在包含COSO全面风险管理框架基本内容的同时, 又增加了不少内容。比如明确提出风险偏好、风险意识、风险理念、风险文化等全面风险管理软要素;增加了全面风险管理政策、战略、策略、决策, 风险学习等重要内容;总结了我国企业全面风险管理的一系列重要方法和工具;增加“风险预警”的独立内容, 强调实时报警的重要性;增加“管理报告”的独立环节, 强调风险报告的重要性;增加“风险审计”独立内容, 强调风险审计的重要性, 等等。

(三) 将目标作为全面风险管理的前提而独立出来了

COSO全面风险管理框架认为企业风险管理框架力求实现主体的战略、经营、报告和合规4种类型的目标, 并认为目标设定是事项识别、风险评估和风险应对的前提。《中央企业全面风险管理指引》未涉及企业目标的具体内容。3C全面风险管理基本框架首先界定了企业的目标体系, 将其作为全面风险管理的前提而独立出来了。具体探索表现在以下几个方面:

1.3C全面风险管理基本框架明确了目标概念。企业目标是尽可能地创造价值, 使企业价值最大化, 全面风险管理目标与企业目标在总体方向上是一致的, 但具体目标肯定是不同的, 不能把企业目标和全面风险管理目标混为一谈。

2.3C全面风险管理基本框架明确了目标分类。从全面风险管理的需要出发, 考虑到我国企业的一般情况, 企业的目标可从总体上分为社会目标、管理目标、经营目标、财务目标、遵循目标、其他目标等一级目标, 在这个一级目标下细分了若干个二级目标, 在二级目标下再细分三级目标。当然, 在三级目标下, 还可再继续分下去, 这就看企业管理的细化程度了。

3.3C全面风险管理基本框架明确了目标体系。企业目标是一个相互联系、相互依存的目标体系。企业目标体系是有层次的。由于企业存在着不同的管理层次, 每一层次都有其自身的目标, 低一层次的目标必然要服务于高一层次的目标。企业目标体系是相互关联相互渗透的。企业目标体系是需要整合的。企业目标体系是不断变化的。

4.3C全面风险管理基本框架将COSO全面风险管理框架目标设定改为目标确定。

(四) 强调了风险整合的理念

COSO全面风险管理框架特别强调风险组合观, 《中央企业全面风险管理指引》虽未明确提出风险整合的概念, 但都有风险组合观的思想。3C全面风险管理基本框架借鉴了COSO全面风险管理框架风险组合观的观点, 将风险整合作为全面风险管理的基本标准, 并明确了风险偏好、风险意识、风险理念、风险文化等全面风险管理软要素。具体探索表现在以下几个方面:

1. 提出了一个全面的风险概念, 认为危险和机会并存。

COSO全面风险管理框架引入了“事项”这一概念, 事项包括风险和机会。《中央企业全面风险管理指引》用不确定性对企业实现其经营目标的影响来定义企业风险, 抓住了风险的本质特征, 但其只是针对经营目标的影响, 范围狭窄。

2. 明确界定了风险因素。

COSO全面风险管理框架和《中央企业全面风险管理指引》均未明确风险要素, 3C全面风险管理基本框架明确界定风险是由风险因素、风险事故和风险损失3要素构成。

3. 确定了风险属性。

COSO全面风险管理框架首先界定了主体的所面临的不确定性, 国务院国资委颁布的《中央企业全面风险管理指引》对风险属性没有明确的界定, 3C全面风险管理基本框架认为风险属性是多样的, 具有客观性、相对性、可变性、不确定性等属性, 其中不确定性是风险的本质特性。

4. 明确了风险分类。

COSO全面风险管理框架对风险未进行明确的分类, 《中央企业全面风险管理指引》对风险按其内容和能否为企业带来盈利等机会为标志进行了分类。3C全面风险管理基本框架认为企业风险应从总体上分为社会风险、管理风险、经营风险、财务风险、遵循风险、其他风险六个一级风险, 在这些一级风险下细分了若干个二级风险, 在二级风险下再细分三级风险。实际工作中, 根据全面风险管理的需要, 在三级风险下, 还可再继续分下去, 但考虑到全面风险管理的成本和效益, 一般分到三级即可。

(五) 突出了内部控制与风险管理融合

COSO全面风险管理框架和《中央企业全面风险管理指引》都体现了管理融合的思想。3C全面风险管理基本框架将管理融合视为企业风险管理自身内部的融合, 企业风险管理与企业业务的融合, 企业风险管理与企业管理的融合, 突出了内部控制与风险管理的融合。具体探索表现在以下几个方面:

1.重新定义了全面风险管理。

2.明确全面风险管理目标。

3.强调了全面风险管理意义。

4.增加了全面风险管理政策、战略、策略、决策的新内容。

5. 明确了全面风险管理的主体。

6. 确定了全面风险管理内容。

7. 细化了全面风险管理流程。

8. 总结了我国中央企业全面风险管理的方法。

9. 将信息与沟通独立出来。

10. 增加了全面风险管理学习。

(六) 进一步统一了全面风险管理语言

3C全面风险管理基本框架将风险辨识、风险确认、事件识别统一为风险识别, 并定义为确认风险的过程;将风险计量、风险衡量、风险量度、风险测量、风险估计、风险估价统一为风险计价, 并定义为风险的量化过程;将风险策略、风险应对、风险工具统一为风险应对, 并定义为选择应对风险策略的过程;将控制活动、控制政策、控制程序、控制措施、应对措施统一为风险控制, 并定义为应对风险的各种措施;将监督检查、监督评价、持续监督、监控、监控系统、内部监督统一为风险监督, 并定义为监督检查风险的过程等等。

此外, 3C全面风险管理实务标准和操作指南是COSO全面风险管理框架和《中央企业全面风险管理指引》所没有的内容, 不具有可比性, 但它都是全面风险管理实际工作非常需要的具有可操作性的内容。

二、必然趋势——内部控制和风险管理逐步走向融合

内部控制与风险管理走向融合, 是一个必然的趋势, 这不仅是内部控制体系向前迈进了一大步, 也为内部审计的发展指明了方向, 因此为了适应这样一种发展趋势, 我国现行的内部控制体系有必要逐步向全面风险管理体系升级和完善。

实际上, 世界上内部控制与风险管理已逐渐融合了, 把内部控制与风险管理试为同一事件。1992年, Treadway委员会的发起组织委员会 (the Committee of Sponsoring Organizations of the Treadway Commission) 发布了《内部控制——整合框架》, 2004年, 该委员会又发布了《企业风险管理——整合框架》, 在该框架附件C中明确:内部控制被涵盖在企业风险管理之内, 是其不可分割的一部分。

国资委颁布的《中央企业全面风险管理指引》要求企业在开展全面风险管理工作的同时, 还要与其他管理工作紧密结合, 把风险管理的各项要求融入企业管理和业务流程中。我国的有些企业都在积极探索内部控制与风险管理的融合之道, 中天恒管理咨询公司为我国某中央企业设计的《全面风险管理手册》, 与公司现有管理体系和管理手段相衔接, 实际上不仅仅是内部控制与风险管理的融合, 而是整个管理的融合。

内部控制与风险管理融合的道理其实非常简单。企业在实现目标的漫长征程中, 会遇到各种各样的风险;因此, 就要采取措施控制风险。也正因为有风险才要控制, 如果没有风险, 控制就是多余的了, 就是添乱, 当然更是浪费资源。风险与控制的关系简单地说就是风险减去控制就等于剩余风险。当然, 这个剩余风险一定要在企业可接受的水平范围内。

如果内部控制与风险管理融合后, 企业至少没有必要既设立风险管理部, 又设立内部控制部, 设一个风险控制部就够用了。风险管理与内部控制融合, 就是要打破风险和控制水平之间的平衡, 不要把现代企业的风险管理和控制仅仅当成是一项纯粹的企业经营活动, 它是一项包括了企业咨询专家、企业决策者、中层管理者以及企业员工在内的综合管理系统, 需要各方面力量的协调和配合才能实现。

风险理念 篇8

一、公允价值应用现状及审计内涵

(一) 公允价值的应用现状

2006年我国颁布的新企业会计准则, 最核心的变化之一是适度引入了国际上通用的公允价值计量属性。新准则在企业合并、投资性房地产、生物资产、股份支付、债务重组、非货币性交易、金融工具等方面的确认和计量中都引入了公允价值计量。据张正勇, 何建伟 (2009) 等学者的统计, 在我国现行的由1项基本准则和38项具体准则构成的新会计准则中, 直接或间接运用公允价值计量的多达31项, 而没有涉及公允价值计量的只有8项, 用到公允价值的会计准则比例高达79%。

(二) 公允价值的审计内涵

从公允价值审计的发展历程来看, 公允价值审计是随着公允价值会计的发展而发展起来的。会计计量中公允价值的大量运用, 使得注册会计师在审计时必须采用公允价值审计。公允价值审计是注册会计师在财务报表审计过程中, 在执行了必要的审计程序的基础上获取充分、适当的审计证据, 以确定公允价值的确认、计量和披露是否符合适用的会计准则和相关会计制度规定, 并得出相应审计结论的过程。由此可见, 公允价值审计的具体内容是财务报告中以公允价值列报和披露的有关资产、负债和权益项目的评估、计量、列报和披露情况, 包括产生于交易的原始记录以及后期的价值变化。注册会计师实施公允价值审计, 就是要审查公司会计计量过程中公允价值的运用是否恰当, 计量是否公允。

二、公允价值审计风险的来源分析

(一) 公允价值计价的不确定性

我国新颁布的《企业会计准则———基本准则》中将公允价值定义为:“在公平交易中, 熟悉情况的交易双方自愿进行资产交换或者债务清偿的金额。”上述定义虽然言简意赅, 容易理解, 但在实践中公允价值如何取得以及公允性的判断, 一直以来都是公允价值计量的挑战性问题。与一些发达国家相比, 我国目前还缺乏比较完善的公允价值评估体系或相关的参考标准。在实施公允价值审计时, 审计人员如何判断被审计单位公允价值的计量是否公允, 将是一个很重要的问题。一般而言, 如果资产或负债存在活跃市场, 则应当以资产或负债的市场价格为基础确定其公允价值;如果一项资产或负债不存在活跃的交易市场, 那么就要由专业人士通过恰当的模型和基于市场的各项要素做出价值评估和判断。如通过现值技术估计公允价值, 需要会计人员对未来现金流量和折现率等信息做出判断和估计。另外, 在选择相应的估值技术和模型时, 企业可能会倾向于选择有利于自身利益的估计技术和模型, 这就使得公允价值计量不可避免地存在着可靠性的风险。

(二) 审计人员专业素质的不适应

公允价值的确定赋予企业更多的自主裁定权, 操作弹性空间越来越大, 极有可能成为利润操纵的工具。在实施公允价值审计时, 仅仅依靠传统的审计程序和方法很难满足公允价值审计的目的和要求。由于公允价值不仅仅只关注过去, 更多地要面向现在和未来。因此在公允价值审计的过程中, 审计人员要更多地关注被审计单位潜在的风险, 了解被审计单位的业务流程、市场状况、管理层, 甚至对被审计单位所处行业整体经营状况都要有比较清晰地了解。这就对审计人员的业务素质和职业判断能力提出了更高的要求, 要求审计人员不仅精通各种估值技术和方法, 还要求其拥有丰富的职业判断经验, 以及对风险管理方面的专业知识和相关的法律、经济学等相关学科的背景。因此, 缺乏高素质的审计人员可能会导致公允价值审计的风险提高。

(三) 公允价值审计理论的缺乏

我国财政部于2006年发布的会计准则对公允价值计量和披露做出了规范和要求, 但却没有制定公允价值的具体会计准则, 关于公允价值计量与披露的规定分散于各项具体会计准则及其应用指南中, 内容很不详尽和统一。会计准则的先天不足直接导致了审计准则及其应用指南内容的局限性, 进而对公允价值审计工作的开展产生较大的困扰。因此当务之急就是加强公允价值的理论研究, 尽快制定出相应的公允价值实施细则和审计准则, 提高审计的独立性及审计质量。

(四) 披露审计缺失

在我国财政部发布的以《公允价值计量和披露的审计》为题的审计准则中, 没有说明如何对公允价值的披露进行审计。然而公允价值相关信息的充分披露与否不仅是投资者判断的依据, 还是审计过程中重要的一项风险控制。公允价值披露审计的缺失使审计人员在执行具体的审计程序时, 感到无所是从, 从而增大了审计风险。

三、基于风险导向审计的对策措施

与传统风险导向审计相比, 现代风险导向审计更强调了解被审计单位及其环境, 关注经营风险, 以充分识别和评估财务报表层次可能存在的重大错报风险, 并将识别的风险与认定层次可能发生错报的领域联系起来, 然后针对评估的认定层次的重大错报风险设计和实施进一步的审计程序。

(一) 了解内部控制, 评估重大错报风险

现代风险导向审计要求审计人员在进行公允价值审计之前应当了解有关公允价值计量的内部控制。一般情况下, 企业资产的安全与否、会计资料的正确与否以及发生错弊的多少与企业内部控制有着密切的关系。内部控制健全有效, 企业资产就比较安全, 会计资料准确性较高, 各种舞弊和技术性错误发生的概率就比较低;在进行公允价值审计时, 注册会计师必须确信其关键控制程序, 特别是与职责分离相关的内部控制设计是否合理、执行是否有效, 并在此基础上考虑产生的重大错报风险。在进行与公允价值的计量和披露有关的风险评估时需要考虑对公允价值计量过程的控制、进行公允价值计量的人员的专业熟练程度和经验、信息技术在整个过程中所扮演的角色、进行公允价值计量的账户和交易的类型 (如该交易是经常性交易, 还是偶然的、非常规交易) 、管理部门进行公允价值计量时的重要假设和估计等因素。如果企业雇用了中介机构协助进行公允价值的计量, 那么还应当评估企业对中介结构的依赖程度、企业利用专家工作的程度等。在风险评价结束以后审计人员要根据风险评估的结果确定实施进一步审计程序的性质、时间和范围。

(二) 对公允价值相关的内部控制实施控制测试

恰当、充分的应用控制测试对获取充分的审计证据和提高审计质量和效率有重要作用, 审计人员应根据具体情况来判断是否对公允价值相关内部控制进行控制测试。如果审计人员在评估与公允价值相关的认定层次重大错报风险时, 预期相关的内部控制运行是有效的, 或者认为仅实施实质性程序无法获取充分、适当的审计证据将认定层次重大错报风险降至可接受的低水平, 则应当对其实施控制测试, 以获取充分、适当的审计证据。

在评价被审计单位的内部控制是否有效运行时, 应加强对被审计单位的诚信度、能力和态度的分析。治理层、管理层担负着建立健全单位内部控制并监督其合理、有效执行的责任, 其品行、阅历、经验、能力及经营管理的观念、方式和对风险的态度等都会影响被审计单位运行的规范性。

另外, 还应深入了解被审计单位的经营状况和市场情况, 关注其是否存在公允价值计量舞弊的可能性。被审计单位在公允价值计量方面作假大多是为了达到利润操纵的目的, 特别是上市公司, 其作假往往是为了达到再融资指标、避免退市或配合股票市场的价格预期。因此, 深入了解被审计单位的经营状况和市场情况, 有利于注册会计师站在更高的角度看待问题, 从而更有效地发现舞弊。

(三) 对公允价值计量和披露的实质性程序

注册会计师在实施与公允价值计量和披露相关的实质性程序时, 首先, 应采用询问、检查等程序对管理层采用的重大理论假设、选用的主要估值模型、采用的基础数据的来源、准确性等进行测试和分析;然后对依据管理层选用的假设、模型、数据对公允价值进行重新估值、重新计算, 来印证管理层计算的公允价值是否真实、是否恰当有效;最后, 还要考虑或有事项、期后调整等对期末公允价值计量及披露的影响。

在实施公允价值审计的整个过程中, 注册会计师要善于运用分析程序, 以发现一些重要线索, 找出审计的高风险领域。同时, 还应加强与公司管理部门和内部审计部门的沟通。与管理部门的沟通主要是获得管理部门就其公允价值的计量和披露的书面声明;与公司内部审计部门的沟通, 主要是确认公司的内部审计部门是否清楚地了解管理部门进行会计估计的过程和形成会计估计的基础。需要指出的是, 目前我国大多数公司的内部审计部门是隶属于管理部门的, 与单位内部的沟通并不能代替实质性程序。

在执行与公允价值相关的审计实务时, 审计人员不但要评价公允价值计量的适当性, 同时还要评价公允价值披露的充分性。对公允价值相关信息的充分披露, 一方面有利于注册会计师进行审计风险控制, 另一方面, 也有利于投资者获取和决策有用的相关信息, 充分判断投资风险。

四、总结

在当前国内外要求企业广泛接受和采用公允价值计量模式的大趋势下, 公允价值审计已经成为审计实务的工作重心和审计理论研究的焦点问题。我国新会计准则全面引入公允价值计量不但体现了与国际准则趋同, 更能体现会计信息的相关性。但由于公允价值会计信息的主观性、动态性, 使得公允价值计量的实际操作难度较大, 这对注册会计师的审计提出了严峻的挑战。公允价值不但要求审计人员注重相对滞后的会计资料, 同时还要对市场具有一定的认知。审计人员应充分认识到传统审计思路“就账审账”的局限性, 在对公允价值进行审计时必须适时转变审计思路, 从多角度思考问题, 逐步由查账师转变为更高层次的审计分析师, 把公允价值审计风险降低到可接受的水平。

参考文献

[1]汪燕芳, 马佩璇, 曾向红.公允价值审计:现代风险导向审计理念的审计策略[J].财会通讯, 2011 (2) .

[2]张正勇, 何建伟.试论公允价值审计面临的问题及其对策[J].财会通讯, 2009 (1) .

[3]王杏芬.新会计准则下的公允价值审计[J].会计之友, 2009 (9) .

[4]史倩, 丁时勇.公允价值审计的一点建议[J].财会月刊, 2010 (6) .

风险理念 篇9

随着我国证券市场2006年迎来了牛市, 证券公司也逐渐活跃起来, 2006年、2007年上半年都实现了全行业盈利, 公司资本金和总资产规模也有所提高。但是, 我国证券公司的收入结构并没有发生根本性的改变, 业绩增长依然主要来自股票市场的经纪业务和自营业务, 创新业务的推进相对缓慢, 单个公司的资产规模依然远远小于摩根士丹利等国际大公司, 综合竞争力仍很低下。同时, 由于在发展初期承担了为国企改革服务的重担, 风险管理这一本应成为投资银行重要经营部分的要素被忽略, 我国证券公司在风险管理政策、风险管理制度、风险管理手段等方面落后甚多, 因风险管理及控制系统瘫痪或执行不当引发的风险事件仍时有发生。因此, 改善风险管理, 防范和化解证券公司的各种风险, 促进证券公司规范运作、稳定发展仍然是我国证券公司的紧迫任务。

9.11袭击和安然公司倒闭等突发事件掀起了世界范围的加强企业风险管理的热潮, 也对建立关于风险管理的全面概念框架和具体应用指南提出了要求。在这样的背景下, COSO从2001年开始, 在其1992年的研究成果——《内部控制框架》报告的基础上, 结合《萨班斯一奥克斯法案》 (Sarbanes—Oxley Act) 在报告方面的要求, 对企业风险管理框架进行研究, 于2004年发布了《企业风险管理——整合框架》 (以下简称COSO风险管理框架) 的正式稿。该框架已在全球范围内得到普及。本文分析了该框架在目标、环境、要素、组织机构等方面的理念创新, 并就我国证券公司如何引以为鉴, 提升风险管理水平进行了探讨。

2 COSO风险管理框架的理念创新

2.1 战略目标的引进

在COSO《内部控制框架》中, 内部控制有三个目标:经营的效果和效率、财务报告的可靠性和法律法规的遵循性。而风险管理框架指出, 企业的风险管理也应用于企业的战略制定阶段, 即战略目标的实现。战略目标与企业的任务和预期相联系并支持企业的任务和预期的实现, 是企业的高层次目标, 支持其他目标并使之更有动力。一个主体的战略目标一般是稳定的, 但是它的战略和许多相关的目标却更多是动态的, 并且会随着内外部条件的变化而调整。随着它们的变化, 战略和相关的目标会重新调整以便与战略目标相协调。因而, 在考虑实现战略目标的备选方式时, 管理当局要识别与一系列战略选择相关联的风险, 并考虑它们的影响。同时, 企业风险管理又基于企业的战略目标整合资源和行动, 实现风险管理过程。

2.2 由“控制环境”到“内部环境”

诸多风险管理文件都提到环境对加强或削弱风险管理系统的重要作用, 环境是风险管理系统的基础。COSO《内部控制框架》将“控制环境”作为第一要素。而新风险管理框架将其改为“内部环境”, 这不仅是名称上的变化, 更体现了企业风险管理的范围扩大了, 应该关注的环境视野比过去更广了。在该新要素中强调了内部环境包含了一个组织的气氛, 形成一个组织的人员识别和看待风险的基础。董事会是内部环境的重要组成部分, 对其他内部环境要素有重要的影响。企业的管理者也是内部环境的一部分, 其职责是建立企业风险管理理念, 确定企业的风险偏好, 营造企业的风险文化, 并将企业的风险管理和相关的初步行动结合起来。

2.3 风险组合观的树立

人们在多年的风险管理实践中逐渐意识到, 一个企业内部不同部门或不同业务的风险, 有的会相互叠加放大, 即单个部门的风险结合起来会超过整个企业的风险偏好;有的可能在企业内部自然抵消减少或单个部门的风险相对较高, 但组合起来则低于企业整体的风险偏好。因此, COSO风险管理框架强调在整个企业范围内识别管理风险的重要性, 强调企业的风险管理应针对企业目标的实现在企业战略制定阶段就予以考虑, 而在对其下属部门进行风险管理时, 应针对风险进行汇总, 从组织顶端、以一种全局的风险组合观来看待风险。

2.4 目标设定及事件识别要素的创新

COSO在调查许多大公司舞弊案中发现, 许多风险管控的失败, 往往是在一开始确立公司目标时就已经铸定了。与此同时, 公司在经营过程中, 对什么事件应采取什么对策并不清晰, 特别是高风险事项, 也采用一般程序来处理, 也是导致公司风险管控失败的主要原因之一。在新风险管理框架中, 特别设立了目标设定及事件识别二个新要素。目标设定要素适用于管理层在确立目标时考虑风险战略, 即形成一个组织风险偏好——从高处展望管理层和董事会将接受多大的风险, 使选择的目标能支持、连接企业的使命, 并与其风险偏好相一致。组织还必须识别影响其目标实现的内、外部事项, 区分哪些是风险、哪些是机会。可能有负面影响的事项代表了风险。可能有正面影响的事项代表了能抵消负面作用的机会, 通过事项识别, 引导管理层战略或者目标始终能保持不被偏离。

2.5 相关角色和任务的变化

COSO风险管理框架将组织的董事会、管理层和内部审计和其他职员都看成是相关责任人。董事会在企业风险管理方面负总体责任, 批准组织的风险偏好。CEO必须识别目标和战略方案, 每一个业务单元、分部、子公司的领导也需要识别各自的目标, 并与企业的总体目标相联系 ( George Matyjewicz et al, 2004) 。一旦设定了目标, 管理层就需要识别风险和影响风险的事项、评估风险并采取控制措施。内部审计人员在监督和评价成果方面承担重要任务, 他们必需协助管理层和董事会监督、评价、检查、报告和改革风险管理框架。内审人员还可能被要求提供风险管理框架的教育和训练。但是, 内审人员并不对建立风险管理体系承担主要责任。在COSO风险管理框架中, 新增加了一个角色——风险主管或风险经理。风险主管除了需要和其他管理人员一样, 在自己的职责范围内建立起风险管理外, 还要帮助其他经理人报告企业风险信息, 并可能是风险管理委员会的成员之一。

3 借鉴COSO风险管理框架, 提升我国证券公司的风险管理

3.1 将风险管理技术应用于公司的目标设定和战略选择

已有的对我国证券公司风险管理的研究多将我国证券公司风险管理失效的原因归为公司治理失败, 忽略了其规模小、业务范围狭窄的内因。事实上, 由于国内证券公司多按地域系统分别建立, 规模小、资金分散、资产流动性差, 才致使其抵御风险的能力十分有限。业务范围狭窄, 创新业务推进缓慢, 一方面使得业绩增长依然主要来自传统业务, 行业竞争激烈, 另一方面因缺乏套利和规避风险的手段, 难以应对千变万化的市场环境。而规模普遍偏小的状况又使其无力承担产品创新的成本, 市场和经营范围方面的拓展能力受限, 经营风险难以分散。因而提高我国证券公司抗风险能力的根本途径是树立创造性经营理念, 制定合理的经营战略, 在合理的基础上不断扩大资本规模, 在传统业务的基础上不断拓展业务范围, 增加利润来源。风险管理技术要应用于公司的目标设定和战略选择, 帮助证券公司形成正确的经营战略。在战略选择时, 通过对公司经营状况进行评估、分析内外部环境因素、公司的优势劣势和面临的机遇与威胁, 确认与各战略相伴随的风险及影响;要确定战略与公司的风险偏好是否一致, 根据公司的风险偏好选择、修正战略, 使得公司在增长、收益与风险之间取得平衡。当公司的任务和目标确定下来后, 管理层要根据不同业务单元的战略计划和公司整体的风险偏好, 将资源在不同的业务单元进行分配, 以使投入的资源取得预期的收益;整个组织、人员、流程以及基础设施也要进行整合, 以利于战略的成功实施, 并使公司的运营不超出公司的风险偏好。

3.2 培育风险管理理念作为有效风险管理的基础

一个主体的风险管理理念是一整套共同的信念和态度, 它反映了主体的价值观, 决定着该主体如何应用风险管理的构成要素, 包括如何识别风险、承担哪些风险、以及如何管理这些风险。很多国际证券公司都曾明确提出, 在业务拓展时要着力培育健康的风险管理理念。而我国很多证券公司片面追求发展速度和发展规模, 急于求成, 缺乏依法经营观念, 法人违纪行为普遍, 违规现象突出;经营目标短期化, 只重视短期效益, 不考虑可能发生的风险及对风险的管理和防范;内部控制流于形式, 只重制度的建立, 不重执行、监督和评估, 致使行业风险不断累积并集中爆发, 恶化了券商的生存环境, 损害了券商这一中介服务机构的信誉和公众形象。证券行业是典型的高风险行业, 管理当局应对风险管理有深刻、全面的认识, 并将其作为企业经营管理理念的一个重要组成部分, 建立具有风险意识的企业文化, 并将这一意识灌输到全体员工思想中, 贯穿到业务拓展的全过程。管理者的正直与道德价值观决定了企业文化中的道德基调, 他们的行为和他们所作的表率在整个企业中传达了强有力的信息, 使得员工形成与他们一样的态度。企业风险管理的有效性不可能超越他们的正直和道德价值观。因而, 提高高层管理者的风险意识、诚信及道德价值观是确保风险管控制度有效执行的重要前提。它可以通过从事合理而又有利可图的经营活动来实现。只要业绩目标切合实际, 业绩激励——配以适当的控制——就能成为有用的管理技术。

3.3 舍末逐本, 从整体视角关注关键风险

COSO风险管理框架强调企业风险管理者要建立一种企业总体层面上的风险组合观, 在整个企业范围内识别和管理关键风险, 而不是过分关注一些细节控制, 这是有特殊意义的。从我国证券公司风险管理的现状看, 多多少少都有风险管理制度。公司董事会与管理层往往认为, 这些制度的贯彻与执行, 就是风险管理的所有内容, 结果舍本求末, 浪费了管理资源, 还忽视了企业重大风险。风险管理体系应主要对董事会与管理层面临的最关键的风险进行管理和优化, 在事件识别中, 应了解影响公司实现战略的能力的事件之间是如何相互关联的, 并将类似的潜在事件分类, 确定潜在的机会和风险。在风险评估方面, 公司高层管理者应从公司总体层面上考虑相互关联的风险和公司的总风险, 对各业务单位、职能部门、及其他相关活动负责的各层管理者对其负责的部门的风险应进行复合式评估。在建立风险应对措施时, 不仅要使每个单位的风险落在风险忍度范围内, 而且从公司总体来看, 总风险不能超过公司总的风险偏好范围。如果单个部门风险承受度以内的风险结合起来超过了公司总的风险偏好, 要采取额外的风险应对措施;相反, 若单个部门的风险相对较高, 但组合起来低于公司总的风险, 管理层可以激励单个部门的管理者在目标区内接受更大的风险, 来提高整个公司的增长和回报。

3.4 完善风险管理组织机构, 为有效风险管理提供制度保障

证券公司对于风险控制最为有效的管理就是建立一个高效、系统的风险管理组织, 将日常的风险控制纳入公司正常运营的过程之中。完善的风险管理组织结构是证券公司风险管理有效进行的重要内部制度保障。国际大证券公司基本上都建立了风险管理委员会、风险主管、业务部门及其他部门的风险管理岗位的系统的风险管理组织。而我国证券公司的风险管理组织或者只是一个提供建议的机构而不是执行机构, 或者因不直接向董事会负责而无法充分发挥应有的作用。针对存在的问题, 我国证券公司的风险管理部门应当建立风险主管负责制, 实行一体化管理, 以避免分别管理时, 无人负责整体的风险报告, 或各风险管理部门提供了不一致的、甚至互相矛盾的报告。由于要跨越公司部门的限制, 汇总公司各部门的交易数据;各部门如有超越风险限额的事项发生, 还要担任监督及监控业务部门风险以符合风险规范的角色, 风险管理部门必须独立于业务部门, 以免因利益冲突而无法客观执行风险管理工作。风险管理部门要全盘了解各部门业务及相关作业流程, 并有能力协调各业务部门, 确保各业务部门严格执行识别、度量和监控与其业务相关的风险。风险管理部门还必须有可直接与决策层沟通的地位, 以使风险报告能迅速有效地传达到决策层.

参考文献

[1].COSO.企业风险管理——整合框架[M].方红星、王宏译.大连:东北财经大学出版社, 2005

[2].COSO.企业风险管理——应用技术[M].张宜霞译.大连:东北财经大学出版社, 2006

[3].朱荣恩.企业内部控制制度设计——理论与实践[M].上海:上海财经大学, 2005

[4].彭明生.CRO机制下证券公司风险管理体系研究[J].云南财经大学学报, 2007, (4) :92~96

[5].杨小舟.内部环境:企业风险管理的基础[J].新理财, 2006, (7) :44~49

[6].杨小舟.目标设定、战略与企业风险偏好[J].新理财, 2006, (8) 44~49

[7].张泽晓.我国证券公司全面风险管理研究[J].中央则经大学学报, 2006, (8) :34~39

[8].冯玉明, 刘娟娟.我国证券公司有效风险管理体系探讨[J].证券市场导报, 2006, (1) :63~68

[9].金日方, 李若山, 徐明磊.COSO报告下的内部控制新发展——丛中航油事件看企业风险管理[J].会计研究, 2005, (2) :32~38

[10].陈共炎.内部控制与证券公司治理[J].证券市场导报, 2004年, (10) :13~18

[11].孟焰, 孙丽虹.从内部控制理论的发展看如何加强证券公司的内部控制[J].审计研究, 2004, (3) :15~18

风险理念 篇10

信息技术的发展与普及为医疗健康服务带来了新的机遇与挑战。信息技术的合理使用可以提高有限医疗资源的效率,有利于降低医疗过失的发生,也能够使患者与医疗服务之间的联系更为紧密。为实现这些上层目的,所需要进行的一项基础建设就是对医疗器械实现联网使用。

然而,医疗器械联网使用带来大量便利的同时,也给人们提出了诸多挑战。有很多问题的存在使得医疗器械的联网使用不是那么的简单,这往往表现在:首先,评价医疗器械的临床风险时对来自于联网使用风险考虑不足;其次,制造商对医疗器械的联网使用支持不足;再次,医疗器械与网络中包括软件在内的其他设备存在兼容性问题,从而可能导致其运行错误或性能降低;另外,很多医疗器械不具有信息安全方面的保护能力;最后,医疗器械领域内的变更存在着严格的管控,而网络被攻击时又必须做出快速反应,这两者之间也存在着矛盾。当这些问题暴露出来后,常常会导致无法预见的后果,这些都是在医疗器械在连网前以及连网上线后需要密切关注的。

回顾医疗器械单独使用的状况,其中应对各种问题的一大利器就是风险管理方法。随着医疗器械厂商对ISO 14971的普遍接受以及对IEC60601-1第三版的广泛采纳,风险管理在医疗器械制造领域已经深入人心,成为业界共识。我国《医疗器械监督管理条例》第九条就要求第二、三类医疗器械在注册时必须提交风险分析资料,采用风险管理在医疗器械的上市前环节也已经成为法规强制要求。然而,仅仅是上市前的风险管理是远远不够的,保障医疗器械的安全有效,对其在使用环节进行高质量的风险管理也不可或缺。在我们探索医疗器械的全生命周期风险管理的时刻,国外已有的先进经验不妨拿来参考借鉴。其中,引人注目的IEC 80001系列标准就是针对医疗器械在联网使用环节中的风险管理方法。对此系列标准的深入学习,可以加深我们对风险管理的理解,提高我们从事风险管理的能力。

限于篇幅,本文拟从IEC80001标准中提取出若干重要理念予以介绍,以便读者快速了解IEC80001系列标准的核心内容。

1. IEC80001-1标准重要理念

1.1 关键特性理念

ISO14971是指导医疗器械制造商针对单个医疗器械进行风险管理的,当医疗器械连网后风险管理的对象就从单个医疗器械变成了医疗IT网络。这也使得风险概念的含义需要在原有ISO14971的安全性、有效性基础上,把网络信息安全的含义扩充进去。IEC 80001将安全性、有效性、信息安全三者合称为关键特性。IEC 80001中的风险管理,也就是针对关键特性的风险管理。这种扩充,使得风险管理的内容与传统医疗器械风险管理的内容大不相同,也导致了方法上的一些变通。尤其是当关键特性内部三方面发生竞争,而需要在它们之间作出取舍时,则安全性具有最高优先级,有效性次之,信息安全再次。三者优先级的安排,是以病人利益为核心而进行的。

1.2 责任方理念

医疗IT网络风险管理涉及到三个相关方,即医疗服务提供方,如某一家医院;医疗器械制造商,以及IT设备的供应商。在这三者之中,医疗服务提供方拥有并使用网络,直接接触患者,它对医疗IT网络的运行负有整体责任,IEC80001-1标准[1]确定医疗服务提供方为责任方。然而,如果这里所涉及的网络如果属于完整医疗器械的一部分,医疗服务提供方在使用中对网络也不加改动,那么IEC80001-1并不适用。这种情况下应该由制造商为包含网络的整体医疗器械承担责任,所依据的风险管理则遵循ISO14971的要求。

为确保正确地从事医疗IT网络的风险管理,IEC80001-1标准要求责任方的最高管理层制定方针、提供资源、指派有资质的人员、并审查风险管理活动的结果。安排人员来执行医疗IT网络的风险管理过程是至关重要的。责任方的最高管理层的一大职责就是指派一个医疗IT网络风险管理经理,并且确保在将医疗器械连入IT网络的过程中,责任方的其他人员都对医疗IT网络风险管理经理给予配合。

IEC80001-1标准认识到,要做好医疗IT网络的风险管理,将医疗服务提供者确定为责任方仅仅是一个方面,责任方与医疗器械制造商、IT网络设备提供方的通力合作也是不可或缺的。责任协议为各方的合作提供了保障,责任协议可以确立把医疗器械连入IT网络的各参与方所担任的角色及其责任,可以规定所建设的医疗IT网络生命周期的各方面事宜,也可以涵盖该生命周期各环节的所有活动。尤其是当现有文档无法满足责任方的风险管理需要时,可以通过责任协议来约定医疗器械制造商与IT设备提供方,提供为风险管理所需要的更为充分的资料。特别是当所需要的信息从医疗器械制造商的角度属于敏感信息的时候,对此信息的提供由责任协议来规定,而且通过保密协议来对其进行保护是有必要的。

1.3 生命周期风险管理理念

1.3.1 风险管理方针

在最高层次上,进行医疗IT网络的风险管理,首先应该由责任方的最高管理层制定风险管理方针。风险管理方针的制定解决三个方面的问题:其一是掌握责任方业务与三大关键特性之间的平衡;其二是确定一个方法,以便将来依此方法建立风险可接受的准则;其三是对风险管理的一些过程进行描述,以确立这些过程在风险管理活动中的地位。

1.3.2 风险管理过程

实际的风险管理操作包含了诸多步骤。通常而言,标准为了行文严谨而对其可读性作出了牺牲。为了加深对风险管理的理解,与IEC80001-1同系列,作为技术报告的IEC80001-2-1给出了一些例子[2],并提出了一个便于操作的十步骤方法,简要介绍如下:

•第一步:识别危害与危害处境

识别危害与危害处境,是风险管理的起点。

•第二步:识别原因与其所致的危害处境

对第一步所识别出来的危害,考虑哪些原因、哪些事件序列可能会导致此危害或危害场景。有些原因不一定是技术问题,例如,使用不当与组织协同不良也是导致危害场景的原因。为识别这一类非技术问题,邀请比较有经验的使用者参与风险管理是十分重要的。

•第三步:判定非预期后果并估计严重度

对每个危害场景,判定对病人、医生、单位可能造成的后果,估计严重度。

•第四步:估计非预期后果的发生概率

对每个危害处境导致损害发生的概率分为两部分,其一为危害处境出现的概率P1,其二为危害处境出现后因其而导致损害的概率P2,两部分联合成为总的风险概率。通常准确地估计风险的概率是一件困难的事情,在后续的监视与事件管理中可以不断地对概率估计进行修正。

•第五步:评价风险

到这一步,损害的严重度与发生概率均已知晓。责任方应对每一个风险与事先确定的风险可接受准则进行比较。通常可将比较结果以风险可接受度矩阵来表示。若此时判断风险可以被接受,则后续第六到第九步可以省略。

•第六步:识别并记录风险控制措施,重新评价风险

如果第五步显示风险不可接受,则需要进行风险控制。通常有多种方法可以实现风险控制,需要从中选取最佳风险控制方式。如果风险较高而风险控制又无法实现,这时就需要进行风险/收益分析,去判断是否收益较高而值得承担风险。在这一步如果作出了风险过高而不可接受的结论,则后续第七到第九步自然省略。

•第七步:风险控制措施的实现

对第六步所识别的风险控制措施需要予以实现。在风险管理过程完成之前不应将风险控制措施实施上线。

•第八步:风险控制措施的验证

风险控制措施的验证包含了两个方面:其一是验证风险控制措施的实施;其二是验证风险控制措施的效果。原则上,风险控制措施上线之前必须要通过验证,可是个别情况下,风险控制措施的效果在测试环境中无法得到验证。此时,可以规定一个时间窗口,确保在时间窗口内完成风险控制措施得到验证。一旦验证结果为风险控制措施不可接受,所有改动在此时间窗口内可以回复到起始状态。

•第九步:评价因风险控制而导致的新风险

风险控制措施可能会导致新的风险,比如:由于对信息安全的控制过于严格,导致在紧急情况下医生无法获取病人的信息。这种情况下,有必要根据临床需要而不是IT方案来调整风险控制措施。

•第十步:对整体剩余风险进行评价并报告

对剩余风险单个单个地进行考虑后,还需要对整体剩余风险进行考虑。比如:有两个危害若它们单独发生,其风险都能够被接受,可是这两个危害互相存在关联,它们总是同时发生,这样的风险就需要经过进一步的评价来判断是否能被接受。

1.3.3 变更风险管理

对医疗IT网络进行变更是经常发生的,IEC80001-1所说的变更意义比较广泛,它包含了医疗IT网络的创建,以及相关网络部件的退出使用。通常执行此类变更需要有一个项目。在项目计划中应当考虑来自风险管理的需求,后续的项目执行过程中也相应地执行风险管理的各个步骤。

由于大量的变更属于低风险的日常性变更,比如给网络增加一名用户,在监护网络中再增加一台监护仪,对此类变更如果仍然启动项目管理将会是一件耗时耗力的事,如此空耗风险管理资源是得不偿失的,IEC 80001-1标准为此提出了一个“变更许可”概念。作为风险管理活动的结果,在特定的条件下,如果责任方决定某种类型的例行变更所产生的风险均可接受,那么,责任方可以定义一个变更许可并规定其前提条件。在今后的操作中,如果变更符合其前提条件,则依照变更许可,可以很快地进入线上环境而无需重复经历项目管理的过程。

1.3.4在线风险管理

当医疗IT网络投入使用,并不代表风险管理已经完成任务。此时,责任方应当进行在线风险管理,它包含了两方面的内容:其一为监视;其二为事件管理。

对处于运行中的医疗IT网络,责任方应监视是否有新的风险出现、已有的风险控制措施是否持续有效,以及先前的风险估计是否准确。需要注意的是不应忽视一些非技术因素的监视,比如责任方的方针调整以及一些过程调整。

在线风险管理的另一大内容是事件管理,事件管理主要用于:(a)捕捉并记录负面事件;(b)评价事件并通过变更放行管理提出适当的变更;(c)跟踪所有使任务完成的纠正措施与预防活动;(d)向医疗IT网络风险管理经理和/或责任方的其他人员报告重大发现。

当在线风险管理提出一些纠正措施后,就会触发医疗IT网络的变更,于是回到前述变更风险管理的内容,如此周而复始,保障医疗IT网络的三大关键特性。

2.IEC 80001-2技术报告

为了使IEC80001-1标准得到更好的使用,标准开发者随后推出了一系列技术报告作为补充,以增强标准的可读性与可操作性。这一系列技术报告对医疗健康服务机构的风险管理进行了指导[5],对风险管理的步骤进行了解释[2];医疗健康服务机构跟医疗器械厂商就信息安全问题如何有效地沟通,报告也进行了举例说明[3];由于无线网络的便利和普及,针对无线网络所需要注意的问题报告专门给出了指导[4];在医疗健康服务机构的网络中,常常集成了分布式报警系统,报告对此给出了风险管理的导则[6];医疗IT网络的风险管理是一个多方参与的活动,为了保证各方的协同,报告给出了确立多方的责任协议的指南[7];风险管理是一项体系性的工作,报告也给出了如何进行内部审查的指导[8]。由于医疗IT网络的重要性日益增加,IEC80001系列相关的标准与技术报告还在持续开发当中。

3.总结

网络技术的发展使我们面临着前所未有的变局。医疗IT网络的发展,一方面在于传统医疗机构的内部网络不断得以加强与完善;另一方面也在于医疗IT网络脱出了传统医疗机构的院墙而深入到人们的日常生活中。所触及的人群,逐渐从病人、亚健康人群延伸到健康人群。不难预见,未来几乎全体人口都会被医疗IT网络所涉及。而

现今状况是大量的非医疗相关的机构,甚至个人,在巨大的盈利预期驱动下涌向了健康IT产业,他们不具有传统的医疗服务机构或是传统医疗器械制造商所积累的经验。在这种现实背景下,对医疗IT网络的风险管理进行系统的学习是十分必要的。

IEC80001系列标准提出了针对医疗IT网络进行风险管理的方法论,其中所体现的风险管理方法与理念值得我们认真探讨。

参考文献

[1]IEC 80001-1,Application of risk management for IT-networks incorporating medical devices-Part 1:Roles,responsibilities and activities,Edition 1.0,2010-10

[2]IEC/TR 80001-2-1,Application of risk management for IT-networks incorporating medical devices-Part 2-1:Step-by-step risk management of medical IT-networks-Practical applications and examples,Edition 1.0,2012-07

[3]IEC/TR 80001-2-2,Application of risk management for IT-networks incorporating medical devices-Part 2-2:Guidance for the disclosure and communication of medical device security needs,risks and controls,Edition 1.0,2012-07

[4]IEC/TR 80001-2-3,Application of risk management for IT-networks incorporating medical devices-Part 2-3:Guidance for wireless networks,Edition 1.0,2012-07

[5]IEC/TR 80001-2-4,Application of risk management for IT-networks incorporating medical devices-Part 2-4:Application guidance-General implementation guidance for healthcare delivery organizations,Edition 1.0,2012-11

[6]IEC TR 80001-2-5,Application of risk management for IT-networks incorporating medical devices-Part 2-5:Application guidance-Guidance on distributed alarm systems,Edition 1.0,2014-12

[7]ISO/TR 80001-2-6,Application of risk management for IT-networks incorporating medical device-Part 2-6:Application guidance-Guidance for responsibility agreements,Edition 1.0,2014-12