时间:2023-07-17 16:28:37
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇风险评价的定义范例。如需获取更多原创内容,可随时联系我们的客服老师。
关键词:重大项目;风险评估;意义
所谓重大项目,是指事关广大人民群众切身利益的重大决策,涉及较多群众切身利益、并被国家或省市拟定为重大工程的重大项目,以及牵涉相当数量群众切身利益的重大改革等。重大项目社会稳定风险评估,即对与民生密切相关的重大决策、重大项目等,在出台或审批前,对可能影响社会稳定的因素进行科学、系统的预测、分析和评估,制定风险应对策略和预案,以有效地规避、预防、降低、控制和应对可能产生的威胁社会稳定的风险。
一、对重大项目进行社会稳定性风险评估的必要性
目前国外项目评估理论和方法大致经历了四个发展阶段:一是项目财务评价阶段,在20世纪50年代以前,财务评价是项目评价的根本内容,其特点是寻求项目利润最大化;二是项目SCBA评价阶段,自20世纪50年代以后,在凯恩斯经济理论的影响下,西方经济学家逐步形成了一种适应评价公共项目的社会费用效益分析方法,它是从国民经济角度出发,站在国家的立场上进行评价的;三是项目环境评价阶段,自20世纪70年代以来,投资项目环境评价的理论与方法就逐步形成并得到发展,但“以物质为中心”的经济评价没有反映分配效果,并不能保证项目的最优选择,而且,环境评价虽然能减轻一些项目的不利影响,但在引导公众参与、促进信息公开、减少负面社会影响等方面仍有所欠缺;四是项目社会评价阶段,随着社会发展观从“以物质为中心”到“以人为中心”,再到20世纪90年代的“以人为中心的可持续发展”,投资项目社会评价在国际社会越来越受到重视,由此可见,项目评价经历了从单一的经济评价发展到经济、技术、环境和社会等方面综合评价的历程,与经济评价和环境评价不同,项目社会评估着力于从全社会的宏观角度,考察项目存在对社会带来的贡献与影响,从而为降低社会风险,并为项目的可持续发展提供保障。而在项目评估方法方面,目前通用的方法主要包括前后对比法、有无对比法、成功度法和模糊综合评价法等,上世纪末兴起的投资项目社会评价方法对我国项目评估理论与实践产生了重要的影响,并已在国内世界银行贷款项目、亚洲发展银行贷款项目中得以广泛运用,此外,近年来由于受到不断产生的因重大项目引起的的影响,不少地方政府也开始借鉴与吸收项目社会评价理论的思路,探索重大项目涉及社会稳定风险的评估,逐步将后置评估转为前置评估,产生了显著的实际成效。
而恰是这些社会稳定风险评估的实践,不仅为逐渐在重大项目中强制性嵌入社会稳定风险评估进行了有益的尝试,而且较大程度地提高了各级部门维护社会稳定的自觉意识,并因为重视民意和及时化解矛盾而在事实上促进了社会的稳定与和谐,但是,就目前而言,不可忽视的是:这些尝试所产生的主要影响仍限于重大项目中维稳理念的植入,其科学性、系统性、有效性以及实际操作的可行性等均有待提高,这主要表现在记下几个方面:一是评估指标不够科学、系统,评估结果难以具有权威性,目前的评估指标选取与设置、评估指标的权重、具体测评技术等大多未经系统论证,评估过于重视“可行性分析”的有效性,而缺乏对“不可行性”的论证,这就使得不少项目评估实际上流于形式,评估过程操作简单,民意表达渠道相对不畅,对利益相关群体的利益诉求了解不够,评估结果难以具有可预测性与权威性,二是评估过程重视静态评估,而忽视动态跟踪监测,当前的评估大多是静态的,即“一评了之”,而忽视了动态跟踪监测的重要性,而重大项目社会稳定风险评估的真正目的在于分析、识别并及时化解可能的社会稳定风险,从而为重大项目的实施保驾护航,如无必要的后续跟踪监测,评估就难以起到实际的效果;三是评估结果对于做决策、出政策、搞改革、上项目并不具有实际的一票否决权,对于不少地方领导而言,发展是第一要务,尚未真正树立“评估不达标即一票否决权”的意识与决心,而这些方面则都需要进一步深化认识。
二、加强重大项目社会稳定风险评估的意义
1、维护了人民群众的合法权益。社会稳定风险评估,把重大事项晾晒在最广大群众的监督之下,督促有关部门依法履行项目审批管理程序,切实落实项目所涉及的环境保护、征地补偿、拆迁安置、社会保障等各项政策,维护了群众的知情权、参与权、监督权及合法利益。
2、促进了决策的民主化、科学化。评估过程中,通过广泛征集民意、集中民智、凝聚民心,在决策层和普通民众之间搭起一个立体的互动桥梁,促进了决策的民主化、科学化,增强了政策透明度,提升了党委、政府的公信力。
3、维护了人民群众的合法权益。社会稳定风险评估,把重大事项晾晒在最广大群众的监督之下,督促有关部门依法履行项目审批管理程序,切实落实项目所涉及的环境保护、征地补偿、拆迁安置、社会保障等各项政策,维护了群众的知情权、参与权、监督权及合法利益。
4、确保了重大项目的顺利推进。社会稳定风险评估报告形成后,有关责任部门根据报告要求进一步完善工作举措,制定详细的工作方案,并有效组织实施。针对部分群众不必要的顾虑,着力加强宣传引导,增强群众对项目的认知度;针对苗头性不良因素,及时采取措施消除其影响,使得工程项目顺利推进。
5、推行重大事项社会稳定风险评估机制是实践科学发展观的新载体。
以人为本是科学发展观的本质与核心,作为最广大人民群众利益的坚决维护者和捍卫者,我们必须把人民的利益作为一切工作的出发点和落脚点,把科学发展观贯彻落实到维稳工作的始终。推行重大事项社会稳定风险评估机制,通过对重大事项是否可能引发危害社会稳定事件进行先期预测、先期研判、先期介入,对涉及群众切身利益的问题做到慎之又慎,不出纰漏,切实维护人民群众的利益,是保稳定、促发展、创和谐的新举措,也是推进科学发展观落实的有效载体。
我们深知,经济向上高速发展时期,政府在经济建设与保障民生、经济增长与事关社会成员基本权利保护之间,有时的确是处于“两难境地”,结果原本是想解决此种社会矛盾,却往往会加重彼种社会矛盾,比如:为保持经济增长,政府投入巨资,上许多项目,原本是为了迅速增加社会财富,提高百姓生活水平,但往往事与愿违,上项目变成了扰民、影响百姓切身利益,给社会稳定带来极大风险,而这种偏离了发展根本目的、损害社会质量的经济增长就需要重新评估,而建立和推行重大项目社会风险评估制度,就可以确保政策的制定和项目的规划充分吸纳群众意见,极大地降低不必要、但目前为了维持社会稳定而必须支付的高额“维稳费用”,真正做到科学决策,从政策上反映民意、传达民声,从制度上保障民权、善利民生,在关键环节体现构建社会主义和谐社会的必然要求。
三、结束语:
总之,建立和推行重大项目社会风险评估制度,可以确保政策的制定和项目的规划充分吸纳群众意见,是真正做到科学决策,从政策上反映民意、传达民声,从制度上保障民权、善利民生,在关键环节体现构建社会主义和谐社会的必然要求。
参考文献:
[1]胡永铨.基于和谐发展观的项目社会评价体系研究.科技进步与对策,2006(1).
[2]陈超、刘明亮、钟毅.后评价方法在土地整理项目效益后评价上的应用.国土资源,2007(12).
【摘要】文章从内部控制与风险管理之间的内在关系入手,探讨了内部审计与风险管理中的互动关系和目标上的一致性。指出内部审计在企业风险管理中的角色是监督者,并提供保证和咨询服务。
【关键词】内部审计;风险管理;角色定位
自20世纪90年代起,西方许多大型企业内部审计部门开始对企业的风险管理进行评估与监督,以实现企业经营目标的安全性、效率性和效果性。纵观近十几年的发展历程可发现,两者之间互相融合,存在着密不可分的关系。
一、二者互动交融关系形成的现实背景
当今世界,风险无时不在、无处不在,随着时代的发展,企业所面临的风险变得广泛而复杂。企业必须谨慎地识别各种潜在风险,加强风险管理,并在风险管理方案的制定、执行、评估与监督等方面进行合理分工,以保证风险管理的效率。而在整个风险管理过程中又必然涉及多个部门的沟通和协调,这就需要一个超然、独立的组织机构予以保障。内部审计部门在企业中的超然地位以及独立评估和监督的特殊职能,正好满足了这一要求。因此,企业风险管理必然要将内部审计纳入自身体系。
随着企业所面临风险的增加,风险管理成为了企业管理的核心。由此,内部审计也借机及时进行了自身的重新定位,改变了过去只是作为企业财务监督者的定位,将自身的目标确定为向企业提供保证和咨询服务,评估和改善风险管理、控制和治理程序。这样,企业风险管理和内部审计两者各自不同的发展路线逐渐接近并找到了交点。
二、内部审计与风险管理的互动关系
(一)内部审计定义中包含有风险管理的内容
内部审计从产生到现在已经历了几个世纪,每个时期内部审计的概念都有不同的内涵和外延。国际上,内部审计已有7次定义,至今仍在不断变化,内部审计定义的发展在内部审计史上具有重要意义。
风险管理改变着内部审计的定义,也就同时改变了内部审计的职能和在企业中的价值。1993年版《标准》的序言中对内部审计的表述是:在一个企业内部建立的一种独立的评价活动,并作为对该企业的控制及经营活动进行审查和评价的一种服务。而2001年版对内部审计是如下表述的:内部审计是采用一种系统化、规范化的方法来对机构的风险管理、控制及监督过程进行评价进而提高它们的效率,帮助机构实现目标。这个定义与1993年的定义相比较最明显的变化在于将内部审计的范围延伸到风险管理,比旧定义中提及的控制及经营活动要更为广泛和深入。只有在风险管理框架中实施的内部审计才能称之为风险管理审计。显然,将“评价和改善风险管理”作为内部审计的重要工作领域,是内部审计的新发展,扩大了内部审计的领域,拓展了内部审计的广度和深度,对内部审计的重新定位,修订内部审计准则,重整内部审计流程,提高审计服务质量等提出了较高的要求。
(二)风险管理赋予了内部审计在企业中新的地位和作用
为了在企业中担当更重要的角色和发挥更重要的作用,内部审计总是在不断寻找新的对企业十分重要的领域。风险的广泛存在,使企业经理人员对风险空前重视,为内部审计发展提供了一个绝好的机会。内部审计对风险管理的介入,将会使内部审计在企业中成为一个极其重要的角色,并将其在企业中的作用推向一个新高度。正因如此,内部审计师的职业组织——国际内部审计师协会才不遗余力地倡导内部审计师进军这一领域,把风险管理作为内部审计的重要领域直接写入了内部审计的定义。
三、内部审计与风险管理目标上的一致性
风险管理的定义指出:“企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的,为企业目标的实现提供合理保证的过程。”风险管理就是通过对面临的各种风险的认识、估测、评价,准确把握各种不确定性,采取恰当的内部方法,以便用最低的成本获得最高的安全保障,将损失降至最低水平。风险管理通过测试、评价和控制风险因素来降低风险事件发生的概率和造成的损失,直接服务于实现企业目标。21写作秘书网
而在内部审计新定义中,已明确指出内部审计的目的是为机构增加价值并提高机构的运营效率。IIA在2001年修订的《内部审计实务标准》中,对“增加价值”一词作了如下解释:“机构的设立,是为了其所有者、其他利益方、顾客和客户创造价值和谋取利益……内部审计是在收集资料、认识并评价风险的过程中,对经营与改良时机产生了深刻的见解,这些见解可能会对机构带来诸多利益。这些有价值的信息可以咨询、建议、书面报告或通过其他产品的形式呈现出来,所有这些得传达给相应的经营管理人员。”根据这一解释,增加价值的目标应由企业的各个职能部门来共同完成,而内部审计部门作为企业的职能部门之一,也应该努力增加企业的价值;同时,内部审计部门经过收集资料、识别并评价风险的过程之后,对企业管理层及其他职能部门的见解更为深刻,而且这些见解是富有价值的,而企业管理者采纳、利用这些有价值的信息后,一方面可以借此消除各种减值因素,包括风险因素、控制漏洞、治理缺陷等;另一方面可以将这些有价值的信息应用于经营管理活动,从而达到使企业增值的目的。从这个意义上来说,风险管理与内部审计在其目标上是相一致的。
上述种种使企业风险管理与内部审计逐渐形成了你中有我、我中有你、相互依存、联动发展的紧密关系。众多企业在制定本企业风险管理方案时,将内部审计列为风险管理的一道重要防线,由内部审计对整个风险管理流程进行评估和监控;有的企业还特意安排内部审计直接参与风险管理方案的制定和执行全过程,以发挥内部审计在风险管理中的突出作用。与此同时,内部审计也将风险管理作为“为组织增加价值”的重要手段。
四、内部审计在风险管理中的角色定位
COSO在《企业风险管理——整合框架》中的“职能和责任”章节,阐明各管理层在全面风险管理中的地位和职责,并指出组织里的每个人对全面风险管理都有责任。首席执行官承担最终责任,其他管理人员支持全面风险管理的理念,促使组织在风险容量内经营,并在各自负责的领域里负责将风险降低到相应的风险容忍度内。首席风险官、首席财务官、内部审计及其他人员通常承担关键的支持性责任。组织的其他人员负责按照制定的指令和协议执行全面风险管理。这明确表明,内部审计对全面风险管理的建立并没有基本责任,这是高级管理层的责任。内部审计人员的重要角色是,帮助管理层和审计委员会监督、检查、评估、报告、建议全面风险管理过程的充分性和有效性。
IIA2001年颁布的内部审计实务准则,其实务公告——“内部审计在风险管理中的作用”指出,风险管理是管理人员的关键职责,内部审计人员应该通过检查、评价、报告风险管理过程的充分性和有效性并提出改进建议来协助管理人员和审计委员会的工作。管理层和委员会负责机构的风险管理和控制过程,以咨询顾问身份开展工作的内部审计人员可以协助机构确定、评价并实施针对风险的管理方法和控制措施。
在充分考虑内部审计的独立性与客观性的基础上,结合相关法规、报告的观点,可以看出:对整个组织的可持续发展能力,对所有者、利益相关人、监管机构和普通公众负责的是企业管理层,内部审计人员应立足于协助、帮助管理层和审计委员会履行风险管理的职责,主要职责是对整个风险管理过程进行评价,认定并评价管理的充分性与有效性,向管理层和审计委员会报告情况并提出改进管理的建议,以此保证风险管理的有效性。因此,内部审计在企业风险管理框架中首要的角色是监督者,包括对风险管理流程的评估和保证服务、对风险评估准确性的保证服务、对关键风险报告的评估和对关键风险管理的评估。按IIA的标准,内部审计的服务种类可以划分为保证服务和咨询服务,前者是一种独立评价的活动,后者是提供建议及咨询的活动。在企业风险管理中,内部审计的本质特征并不发生改变,因而它可以担任的角色也是基于这两种服务衍生而来的。除了作为监督者所提供的保证服务外,内部审计还可提供咨询服务,包括促进对风险的识别和评估、指导和协调风险管理活动、加强对风险的报告、保持和发展风险管理框架、支持建立风险管理、参与制定风险管理战略等。与此相适应,内部审计承担了咨询者、协调者、建议者的角色。
【参考文献】
[1]刘德运.内部审计原理与技术[M].北京:中国经济出版社,2006(6):25.
【关键词】 内部审计; 风险管理; 角色定位
自20世纪90年代起,西方许多大型企业内部审计部门开始对企业的风险管理进行评估与监督,以实现企业经营目标的安全性、效率性和效果性。纵观近十几年的发展历程可发现,两者之间互相融合,存在着密不可分的关系。
一、二者互动交融关系形成的现实背景
当今世界,风险无时不在、无处不在,随着时代的发展,企业所面临的风险变得广泛而复杂。企业必须谨慎地识别各种潜在风险,加强风险管理,并在风险管理方案的制定、执行、评估与监督等方面进行合理分工,以保证风险管理的效率。而在整个风险管理过程中又必然涉及多个部门的沟通和协调,这就需要一个超然、独立的组织机构予以保障。内部审计部门在企业中的超然地位以及独立评估和监督的特殊职能,正好满足了这一要求。因此,企业风险管理必然要将内部审计纳入自身体系。
随着企业所面临风险的增加,风险管理成为了企业管理的核心。由此,内部审计也借机及时进行了自身的重新定位,改变了过去只是作为企业财务监督者的定位,将自身的目标确定为向企业提供保证和咨询服务,评估和改善风险管理、控制和治理程序。这样,企业风险管理和内部审计两者各自不同的发展路线逐渐接近并找到了交点。
二、内部审计与风险管理的互动关系
(一)内部审计定义中包含有风险管理的内容
内部审计从产生到现在已经历了几个世纪,每个时期内部审计的概念都有不同的内涵和外延。国际上,内部审计已有7次定义,至今仍在不断变化,内部审计定义的发展在内部审计史上具有重要意义。
风险管理改变着内部审计的定义,也就同时改变了内部审计的职能和在企业中的价值。1993年版《标准》的序言中对内部审计的表述是:在一个企业内部建立的一种独立的评价活动,并作为对该企业的控制及经营活动进行审查和评价的一种服务。而2001年版对内部审计是如下表述的:内部审计是采用一种系统化、规范化的方法来对机构的风险管理、控制及监督过程进行评价进而提高它们的效率,帮助机构实现目标。这个定义与1993年的定义相比较最明显的变化在于将内部审计的范围延伸到风险管理,比旧定义中提及的控制及经营活动要更为广泛和深入。只有在风险管理框架中实施的内部审计才能称之为风险管理审计。显然,将“评价和改善风险管理”作为内部审计的重要工作领域,是内部审计的新发展,扩大了内部审计的领域,拓展了内部审计的广度和深度,对内部审计的重新定位,修订内部审计准则,重整内部审计流程,提高审计服务质量等提出了较高的要求。
(二)风险管理赋予了内部审计在企业中新的地位和作用
为了在企业中担当更重要的角色和发挥更重要的作用,内部审计总是在不断寻找新的对企业十分重要的领域。风险的广泛存在,使企业经理人员对风险空前重视,为内部审计发展提供了一个绝好的机会。内部审计对风险管理的介入,将会使内部审计在企业中成为一个极其重要的角色,并将其在企业中的作用推向一个新高度。正因如此,内部审计师的职业组织――国际内部审计师协会才不遗余力地倡导内部审计师进军这一领域,把风险管理作为内部审计的重要领域直接写入了内部审计的定义。
三、内部审计与风险管理目标上的一致性
风险管理的定义指出:“企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的,为企业目标的实现提供合理保证的过程。”风险管理就是通过对面临的各种风险的认识、估测、评价,准确把握各种不确定性,采取恰当的内部方法,以便用最低的成本获得最高的安全保障,将损失降至最低水平。风险管理通过测试、评价和控制风险因素来降低风险事件发生的概率和造成的损失,直接服务于实现企业目标。
而在内部审计新定义中,已明确指出内部审计的目的是为机构增加价值并提高机构的运营效率。IIA在2001年修订的《内部审计实务标准》中,对“增加价值”一词作了如下解释:“机构的设立,是为了其所有者、其他利益方、顾客和客户创造价值和谋取利益……内部审计是在收集资料、认识并评价风险的过程中,对经营与改良时机产生了深刻的见解,这些见解可能会对机构带来诸多利益。这些有价值的信息可以咨询、建议、书面报告或通过其他产品的形式呈现出来,所有这些得传达给相应的经营管理人员。”根据这一解释,增加价值的目标应由企业的各个职能部门来共同完成,而内部审计部门作为企业的职能部门之一,也应该努力增加企业的价值;同时,内部审计部门经过收集资料、识别并评价风险的过程之后,对企业管理层及其他职能部门的见解更为深刻,而且这些见解是富有价值的,而企业管理者采纳、利用这些有价值的信息后,一方面可以借此消除各种减值因素,包括风险因素、控制漏洞、治理缺陷等;另一方面可以将这些有价值的信息应用于经营管理活动,从而达到使企业增值的目的。从这个意义上来说,风险管理与内部审计在其目标上是相一致的。
上述种种使企业风险管理与内部审计逐渐形成了你中有我、我中有你、相互依存、联动发展的紧密关系。众多企业在制定本企业风险管理方案时,将内部审计列为风险管理的一道重要防线,由内部审计对整个风险管理流程进行评估和监控;有的企业还特意安排内部审计直接参与风险管理方案的制定和执行全过程,以发挥内部审计在风险管理中的突出作用。与此同时,内部审计也将风险管理作为“为组织增加价值”的重要手段。
四、内部审计在风险管理中的角色定位
COSO在《企业风险管理――整合框架》中的“职能和责任”章节,阐明各管理层在全面风险管理中的地位和职责,并指出组织里的每个人对全面风险管理都有责任。首席执行官承担最终责任,其他管理人员支持全面风险管理的理念,促使组织在风险容量内经营,并在各自负责的领域里负责将风险降低到相应的风险容忍度内。首席风险官、首席财务官、内部审计及其他人员通常承担关键的支持性责任。组织的其他人员负责按照制定的指令和协议执行全面风险管理。这明确表明,内部审计对全面风险管理的建立并没有基本责任,这是高级管理层的责任。内部审计人员的重要角色是,帮助管理层和审计委员会监督、检查、评估、报告、建议全面风险管理过程的充分性和有效性。
IIA2001年颁布的内部审计实务准则,其实务公告――“内部审计在风险管理中的作用”指出,风险管理是管理人员的关键职责,内部审计人员应该通过检查、评价、报告风险管理过程的充分性和有效性并提出改进建议来协助管理人员和审计委员会的工作。管理层和委员会负责机构的风险管理和控制过程,以咨询顾问身份开展工作的内部审计人员可以协助机构确定、评价并实施针对风险的管理方法和控制措施。
在充分考虑内部审计的独立性与客观性的基础上,结合相关法规、报告的观点,可以看出:对整个组织的可持续发展能力,对所有者、利益相关人、监管机构和普通公众负责的是企业管理层,内部审计人员应立足于协助、帮助管理层和审计委员会履行风险管理的职责,主要职责是对整个风险管理过程进行评价,认定并评价管理的充分性与有效性,向管理层和审计委员会报告情况并提出改进管理的建议,以此保证风险管理的有效性。因此,内部审计在企业风险管理框架中首要的角色是监督者,包括对风险管理流程的评估和保证服务、对风险评估准确性的保证服务、对关键风险报告的评估和对关键风险管理的评估。按IIA的标准,内部审计的服务种类可以划分为保证服务和咨询服务,前者是一种独立评价的活动,后者是提供建议及咨询的活动。在企业风险管理中,内部审计的本质特征并不发生改变,因而它可以担任的角色也是基于这两种服务衍生而来的。除了作为监督者所提供的保证服务外,内部审计还可提供咨询服务,包括促进对风险的识别和评估、指导和协调风险管理活动、加强对风险的报告、保持和发展风险管理框架、支持建立风险管理、参与制定风险管理战略等。与此相适应,内部审计承担了咨询者、协调者、建议者的角色。
【参考文献】
[1] 刘德运.内部审计原理与技术[M].北京:中国经济出版社,2006(6):25.
【关键词】内部审计 风险管理 融合
一、内部审计与风险管理的关系
现代企业受内外环境的影响不断加深,企业必须谨慎地识别各种潜在风险,加强风险管理,风险管理成为企业管理的核心。而在整个风险管理过程中涉及多个部门的沟通和协调,这就需要一个超然、独立的组织机构予以保障。内部审计部门在企业中的超然地位以及独立评估和监督的特殊职能,正好满足了这一要求。因此,企业风险管理必然要将内部审计纳入自身体系。
(一)内部审计定义中包含有风险管理的内容
风险管理改变着内部审计的定义,也就同时改变了内部审计的职能和在企业中的价值。1993年版内部审计标准的序言中对内部审计概念的表述是:在一个企业内部建立的一种独立的评价活动,并作为对该企业的控制及经营活动进行审查和评价的一种服务。而2001年版对内部审计的表述如下:内部审计是采用一种系统化、规范化的方法来对机构的风险管理、控制及监督过程进行评价进而提高它们的效率,帮助机构实现目标。2001年版的定义与1993年版的定义相比较最明显的变化在于将内部审计的范围延伸到风险管理,2001年版的定义中提及的控制及经营活动要更为广泛和深入。2001年版的定义认为,只有在风险管理框架中实施的内部审计才能称之为风险管理审计。新定义将“评价和改善风险管理”作为内部审计的重要工作领域,扩大了内部审计的领域,拓展了内部审计的广度和深度,对内部审计的重新定位,是内部审计的新发展,对修订内部审计准则、重整内部审计流程、提高审计服务质量都提出了较高的要求。
(二)风险管理赋予了内部审计在企业中新的地位和作用
为了在企业中担当更重要的角色和发挥更重要的作用,内部审计总是在不断寻找新的对企业十分重要的领域。风险的广泛存在,使企业经理人员对风险空前重视,为内部审计发展提供了一个绝好的机会。内部审计对风险管理的介入,将会使内部审计在企业中成为一个极其重要的角色,并将其在企业中的作用推向一个新水平。正因如此内部审计师的职业组织――国际内部审计师协会(以下简称IIA)才不遗余力地倡导内部审计师进军这一领域,把风险管理作为内部审计的重要领域直接写入了内部审计的定义。
(三)内部审计与风险管理目标上的一致性
从风险管理的定义看,风险管理就是通过对面临的各种风险的认识、估测、评价,准确把握各种不确定性,采取恰当的内部方法,以便用最低的成本获得最高的安全保障,将损失降至最低水平,直接服务于企业目标的。
而在内部审计新定义中,已明确指出内部审计的目的是为机构增加价值并提高机构的运营效率。IIA在2001年修订的内部审计实务标准中,对“增加价值”一词作了如下解释:“机构的设立,是为了其所有者、其他利益方、顾客和客户创造价值和谋取利益……内部审计是在收集资料、认识并评价风险的过程中,对经营与改良时机产生了深刻的见解,这些见解可能会对机构带来诸多利益。这些有价值的信息可以以咨询、建议、书面报告或通过其他产品的形式呈现出来,所有这些传达给相应的经营管理人员。”根据这一解释,增加价值的目标应由企业的各个职能部门来共同完成,而内部审计部门作为企业的职能部门之一,也应该努力增加企业的价值;同时,内部审计部门经过收集资料、识别并评价风险的过程之后,对企业管理层及其他职能部门的见解更为深刻。而且这些见解是富有价值的,而企业管理者采纳、利用这些有价值的信息后,一方面可以借此消除各种减值因素,包括风险因素、控制漏洞、治理缺陷等,另一方面可以将这些有价值的信息应用于经营管理活动,从而达到使企业增值的目的。从这个意义上来说,风险管理与内部审计在其目标上是相一致的。
上述这些因素使企业风险管理与内部审计逐渐形成了你中有我、我中有你、相互依存、联动发展的紧密关系。许多企业在制定本企业风险管理方案时,将内部审计列为风险管理的一道重要防线,由内部审计对整个风险管理流程进行评估和监控;有的企业还特意安排内部审计直接参与风险管理方案的制定和执行全过程,以发挥内部审计在风险管理中的作用。
二、内部审计在风险管理中的作用
(一)内部审计在风险管理中的角色定位
COSO的企业风险管理框架中的“职能和责任”章节,阐明各管理层在全面风险管理中的地位和职责,并指出组织里的每个人对全面风险管理都有责任。首席执行官承担最终责任,首席风险官、首席财务官、内部审计及其他人员通常承担关键的支持性责任,其他人员负责按照制定的指令和协议执行全面风险管理。这表明,内部审计对全面风险管理的建立并没有基本责任,其主要责任是帮助管理层和审计委员会监督、检查、评估、报告、建议全面风险管理过程的充分性和有效性。
另外,2001年IIA颁布的内部审计实务标准,其实务公告――“内部审计在风险管理中的作用”指出,风险管理是管理人员的关键职责,内部审计人员应该通过检查、评价、报告风险管理过程的充分性和有效性并提出改进建议来协助管理人员和审计委员会的工作。管理层和委员会负责机构的风险管理和控制过程,内部审计人员以咨询顾问身份协助机构确定、评价并实施针对风险的管理方法和控制措施。
由此可见,内部审计人员应立足于协助、帮助管理层和审计委员会履行风险管理的职责,主要职责是对整个风险管理过程进行评价,认定并评价管理的充分性与有效性,向管理层和审计委员会报告情况并提出改进管理的建议,以此保证风险管理的有效性。因此,内部审计在企业风险管理框架中首要的角色是监督者。除了作为监督者,内部审计还可提供咨询服务,包括促进对风险的识别和评估、指导和协调风险管理活动、加强对风险的报告、保持和发展风险管理框架、支持建立风险管理、参与制定风险管理战略等。与此相适应,内部审计承担了咨询者、协调者、建议者的角色。图1说明了组织风险管理水平和报告关系对内部审计角色定位的影响。
从图1可以看出,内部审计在企业风险管理中的角色不是一成不变的,而是一个逐步变化和延续发展的过程。在组织缺乏风险管理程序的情况下,内部审计可以向管理层提出建立企业风险管理的建议,即建议者;在组织实施风险管理的初期,内部审计能够发挥很大的协调作用,即协调者;而当企业风险管理逐步成熟、运作稳定以后,内部审计就从建议者、协调者转化为监督者和咨询者。
内部审计的报告关系也会影响其在企业风险管理中的角色,报告关系层次越高,独立性越强,内部审计就越能够从全局和战略角度参与企业风险管理;反之,则从局部和流程角度参与企业风险管理。
特别需要强调的是,为保证独立性和客观性,内部审计并不对建立企业风险管理体系承担主要责任,风险管理责任应由管理层承担。内部审计可以对企业风险管理提供建议、咨询和支持,但不能设定风险容忍度、强制实行风险管理流程、对风险管理提供保证、对风险问题进行决策,内部审计对企业风险管理的责任应当在审计章程中写明并经审计委员会批准。此外,在实践中,应注意处理保证服务和咨询服务的关系。只要内部审计执行的任务涉及履行管理职责,就应认为与此有关领域的审计客观性受到了损害,内部审计不能就其负责协调和指导的风险管理事项提供保证服务。
(二)内部审计在风险管理中的职责作用
一般认为,内部审计在风险管理中的作用主要有两个方面:一是协助风险估算程序;二是对风险管理程序的评价,对风险管理的恰当程度作出保证。
1.以咨询顾问的身份协助管理层建立风险管理制度
(1)内部审计在公司尚未建立风险管理的过程中,应积极向管理层提出建立风险管理过程的相关建议。如果公司尚未建立风险管理过程,内部审计人员应该提请管理层注意这种情况,并同时提出建立风险管理过程的相关建议。内部审计可以通过开展风险管理培训培育企业风险管理文化,使风险意识贯穿企业的各个层面;内部审计可以利用其专业优势开发适合企业特点的自我评估工具,以提醒管理层注意到目标、风险、控制的关系,帮助管理层将生产经营与风险管理更好地结合。
(2)内部审计可以通过咨询服务的方式协助公司建立风险管理系统。风险管理是一个复杂的系统工程,在一个组织内部应当明确职责分工,各司其职。董事会负责制定战略目标,高层领导负责风险管理,而内部审计人员则负责定期评价和保证工作。如果管理层提出建立风险管理系统的要求,内部审计部门可以协助,但不能超出正常的保证和咨询范围,以免损害独立性。内部审计师可以促进、协助风险管理系统的建立,但不负风险管理的责任。
2.对企业风险管理效果进行再评价
对于已经建立风险管理制度的企业,内部审计部门所进行的风险管理主要是在已有风险管理基础上的再监督,是对风险管理过程的充分性和有效性进行评价并提出改进意见。
(1)评价风险管理主要目标的完成情况。内部审计应采取科学的标准评价企业以及同行业的发展情况和趋势,确定是否可能存在影响企业发展的风险。检查公司的经营战略,了解企业能接受的风险水平,与相关管理层讨论部门的目标、存在的风险以及管理层采取的降低风险和加强控制的活动,并评价其有效性,评价风险监控报告是否恰当,评价风险管理结果报告的充分性和及时性,评价管理层对风险的分析是否全面,为防止风险而采取的措施是否完善,建议是否有效。
(2)评价管理层选择风险管理方式的恰当性。由于每个公司的文化氛围、管理理念和工作目标都不一致,风险管理的实践有很大差别。每个公司应根据自身活动来设计风险管理过程。一般来说,上市公司必须用正式的定量风险管理方法;规模小的、业务不太复杂的公司,则可以设置非正式的风险管理委员会定期开展评价活动。内部审计人员的职责是评价公司风险管理方式与公司活动的性质是否适当。
主要参考文献:
[1]刘德运编著.内部审计原理与技术[M].北京:中国经济出版杜,2006.6:25-26.
[2]方红星译.企业风险管理――整合框架[M].大连:东北财经大学出版社,2005.9:109-111.
【关键词】环境风险;环境风险评价
一、背景
环境风险是指在自然环境中产生的或通过自然传递的,对人类健康和幸福产生不利影响同时又具有某些不确定性的危害事件。由于环境风险区别于传统环境问题,具有巨大的不确定性,逐渐发展出一种新的针对环境风险的环境风险评价制度。环境风险评价是指由一定的机关或组织,对具有不确定性的环境风险可能对人体健康、生态安全等造成的环境后果进行识别、度量、评估的过程或环境管理活动。
从20世纪90年代开始,我国的一些法律规范中提出了环境风险评价的内容。1993年,国家环保局颁布的《环境影响评价技术导则》规定:对于风险事故,在有必要也有条件时,应进行建设项目的环境风险评价或环境风险分析。同年的《基因工程安全管理办法》要求对基因技术进行安全评价。1996年,《农业生物基因工程安全管理实施办法》对农业转基因生物安全评价作了规定。2001年,《职业安全健康管理体系指导意见》对职业安全评价作出规定。2004年的《建设项目环境风险评价技术导则》明确指出:将建设项目环境风险评价纳入环境影响评价管理范畴。2011年公布的《外来物种环境风险评估技术导则》规定了外来物种环境风险评估的原则、内容、工作程序、方法和要求。2015年,环保部批准《尾矿库环境风险评估技术导则(试行)》,要求对运行期间的尾矿库进行环境风险评估。2014年修订的新环保法第39条规定“国家建立、健全环境与健康监测、调查和风险评估制度”,虽然只是国家建立、健全相关制度的义务的概括规定,但同时也使得环境健康风险评价制度第一次进入环保基本法。
二、从一个实践案例看我国环境风险评价制度的实施
(一)湖北荣成纸业有限公司热电联产工程简介
湖北荣成纸业有限公司拟建设一座热电联产中心,为公司生产和和临港工业园区企业供热,于2015年6月初通过环评。环评报告的环境风险评价包括五个部分。第1部分为环境风险评价的目的:分析和预测建设项目存在的潜在危险、有害因素、建设项目建设和运行期间可能发生的突发性事件或事故(一般不包括人为破坏及自然灾害),引起有毒有害和易燃易爆等物质泄漏,所造成的人身安全与环境影响和损害程度,提出合理可行的防范、应急与减缓措施,以使建设项目事故率、损失和环境影响达到可接受水平。
第2部分为环境风险评价程序图,主要包括风险识别、源项分析、后果计算、风险评价、风险可接受水平、风险管理、应急措施预案。第3部分为环境风险评价,报告指出,拟建工程环境风险主要包括:原煤堆场火灾风险事故、燃料油火灾爆炸、氨水罐泄露、粉尘爆炸、锅炉故障导致二f英增加外排。以事故发生原因为基础,将项目环境风险分为火灾爆炸、不可抗力、设备故障和人员管理四类。根据相关规定确定项目环境风险评价工作等级为二级。对项目的主要环境风险进行分析,主要对每类风险的发生原因进行了介绍,仅对二f英的事故排放可能对人体健康造成的影响进行了简要介绍。第4部分围绕原煤堆场火灾、油库、氨水罐、粉尘、锅炉、事故池、事故废水处理规定了环境风险事故防范措施。第5部分事故应急反映方案规定了预案的启动、职责与任务、现场警戒与疏散措施、事故上报程序与内容和善后处理。
另外,根据相关规定,建设项目环境风险评价是作为环境影响评价的一部分而存在的,所以环境风险评价部分没有独立的公众参与部分,项目环评的公众参与主要包括两种方式,一是媒体公示即两次在湖北省环保厅网站上进行了项目公示;二是公众参与调查表,对松滋市陈店镇全心村的83位居民和附近的3家单位进行了问卷调查。公众参与的结果显示,当地公众对建设项目的了解程度一般,部分人担心项目的运行会对生活环境和身体健康造成不利影响,大部分人认为该项目可以带动当地经济的发展,解决当地农民的就业问题,被调查者全部支持该项目的建设,无人反对该项目的建设。
(二)分析
从上文介绍的环境风险评价实例可以看出:1、我国建设项目环境风险评价将环境风险仅仅简要的分为火灾、爆炸和泄露三类,并局限在项目的突发性事件或事故可能造成的环境风险,并不对项目正常工作过程中的环境风险进行考量;2、环境影响评价对可能造成的人体健康和生态系统的不利影响的阐述不充分,从而环境影响评价的结论即风险是否达到可接受水平让人产生不信任感;3、环境风险评价的过程缺乏互动,不能体现评价结论对项目实施方案的具体影响,公众参与形式化、途径单一,公众意见对项目实施缺乏影响力;4、环境风险评价中仅规定了一些事前的预防措施,缺乏事中和事后监督和必要措施。
三、美国环境健康风险管理框架及其启示
(一)美国环境健康风险管理框架的基本内容
环境风险管理框架已成为国际上环境风险评价制度的发展趋势,在众多已制定的环境风险管理框架中,美国总统/国会风险评价和风险管理委员会的《环境健康风险管理框架》(1997)是最具影响力的框架,为多国制定框架时参考和借鉴。在1990年的清洁空气法修正案中,国会要求组成一个风险评价与风险管理委员会,委员会认为,应改变传统评价与降低风险的方法,以降低风险和改善健康状况为总体目标。委员会希望框架指导公共部门和私营机构有价值的资源投资在研究、评估、表征和降低风险中。
框架包括六个阶段:
1.定义问题并把它放在背景下
对科学的风险管理决策而言,首先需要正确界定问题。通过在复杂背景中识别和表征环境健康风险问题并描述它的特征,仔细考虑问题的背景,确定风险管理的目标和有权或有责任采取行动的风险管理者,并让利益相关者参与到过程中。
2.联系问题背景分析风险
阐明问题引起的事实和科学基础,在数量和质量上处理健康和生态风险,描述负面影响的特性、严重性、可逆性或可预防性。把问题引起的风险放在多源头、多媒介、多种化学物质和多风险背景下。了解利益相关者对问题引起的风险的认识。把问题引起的科学和背景方面的信息结合成问题对人类健康或环境产生的风险进行定性,同时考虑利益相关者的认识和其他社会文化的影响。
3.检查处理风险的选择
这一阶段包括确定可能的风险管理选择,评价选择的效果、可行性、成本收益、非计划中的结果和文化社会影响。这个过程可以在界定问题和考虑背景之后任何合适的时间开始。风险管理者和利益相关者获取了关于可行性、成本与效益分析和减少暴露、降低风险对改善人类和生态健康的贡献的正确评价之后,风险管理目标可能会被重新定义。利益相关者在确定和分析选择阶段发挥重要作用。
4.做出实施何种选择的决策
在框架的这一阶段,决策者基于最佳可得科学、经济和其它技术信息,确保决策考虑了问题的多种来源、多种媒介、多种化学物质、多种风险背景,做出符合成本收益具有可行性的风险管理选择。另外,优先预防风险,而不仅仅是控制风险,可能的话,使用命令―控制管理的替代性方案。一个富有成效的利益相关者参与过程可以对决策产生重要指引作用。
5.采取行动来实施决策
传统上,一直是管理机构的要求推动实施,工厂和市政当局通常是实施者。然而,当其他的利益相关者也能扮演重要角色时,成功的可能性会显著提高。利益相关者可能会包括:公共健康机构、其他公共机构、社区团体、市民、工厂、人和技术专家等。
6.对行动作出评价
在风险管理的这个阶段,决策者和利益相关者评价实施的风险行动以及它们的效果。评价工具包括环境健康监测、研究、疾病监管、成本收益分析和与利益相关者的讨论。在大多数情形,应定期评价。就像风险管理过程其他的阶段,利益相关者参与会让评价更有益。另外,评价中可能出现新信息,评价对了解框架的哪一部分需要被重复非常重要。
(二)美国环境健康风险管理框架的主要特点与启示
1.在更广泛的背景下定义风险
一个风险问题的背景的全面理解对于有效进行风险管理是非常有必要的,因为问题狭窄的背景无法反映风险情况的真实复杂性,造成风险管理决策和行动相比不是很有成效。
2.基于科学信息和最佳判断进行风险评价
风险评估者尊重在缺乏充分数据的情况下得到结论时风险和程序的客观科学基础非常重要。风险评估者应该向风险管理者和其他利益相关者提供看起来合理的,含有支撑不确定性和供选观点的具有证明力的评估,从而可以在可得信息的基础上作出风险结论。
3.利益相关者全过程参与
整个风险管理过程的利益相关方参与被认为是至关重要的。通过全过程参与,不同利益相关方全面沟通与合作,最终平衡各方的意见和观点以做出体现公众价值观的风险决策。
4.重复和评估
公众评论、协商、信息收集、研究或风险与选择的分析可能澄清或重新定义问题,使重心改变到一个不同的问题上,由于重要的新信息、观点和看法出现,风险管理过程会灵活而经常重复。评估对充分地履行职责和理智地利用稀缺资源至关重要。
四、完善建议
(一)在更广泛的背景下定义环境风险
当前我国环境风险评价制度的规定主要集中在建设项目、外来物种、尾矿库、基因工程和职业安全领域。其中,建设项目环境风险评价仅适用于涉及有毒有害和易燃易爆物质的项目,排除了有巨大环境风险的核建设项目,而且因为它是以环境风险事故的防范为导向,导致它对环境风险的定义过于狭窄,仅对突发性事件或事故引起的有毒有害、易燃易爆等物质泄漏进行风险评价,排除了非事故情形下,项目正常运营下可能产生的环境风险。《尾矿库环境风险评估技术导则(试行)》适用于运行期间的尾矿库,不适用于贮存放射性尾矿、伴有放射性尾矿的尾矿库环境风险评估,同建设项目环境风险评价,它也只考量尾矿库可能引发突发环境事件的危险因素。《外来物种环境风险评估技术导则》主要适用于规划和建设项目可能导致的外来物种造成的生态危害的评估。《基因工程安全管理办法》和《职业安全健康管理体系指导意见》分别对遗传工程产品和职业安全风险评估进行了初略的要求性规定。整体来说,从我国环境风险评价的各个分散规定可以看出,我国环境风险的范围相对狭窄,而且一般孤立地考虑单一的化学物质在单一的环境媒介中引起的单一风险进行评价,从而也限制了我国全面、综合的环境风险评价。应改变以事故为导向的环境风险定义,逐步扩大我国环境风险评价范围,在更广泛的公共健康和生态背景下进行环境风险评价。
(二)明确环境风险评价的目标
环境风险评价的目标不应停留在防范风险层面上,而应进一步把环境风险评价的目标明确为保障人体健康和生态健康。防范风险虽然是环境风险评价的直观起点,但忽视人体健康和生态健康目标的环境风险评价是有违环境保护的根本宗旨的。实践中的环境风险评价正是因为缺乏对人体健康和生态健康的要求而导致实施的结果难以让人满意。为了配套环境风险评价保障人体健康和生态健康的目标,国家应积极开展环境健康与环境生态监测、调查与研究,为环境风险评价提供科学和数据支撑。
(三)保障利益相关方的参与
我国现有的利益相关者参与主要在建设项目(包括尾矿库)环境风险评价中得到一定的保障,因为环评对公众参与的要求,公众在其中可有享有一定的环境知情权、发表环境意见权和环境监督权等,但是,在实践中利益相关方的参与有走过场的倾向,处于弱势的利益相关方的环境知情权常常受到侵害,意见不能被充分的考虑,对环境风险评价的进程与结论不能产生实质影响。在外来物种、基因工程和职业安全领域,没有要求利益相关方的参与,利益相关方的环境知情权也难以得到保障。环境风险是一个多维的概念,还必须包括受影响方的观点。环境风险评价只有兼顾各方观点和需求,考虑不同群体的价值观、知识和认知,才能做出更好的风险管理决策,而在决策行动的过程中也不易受到利益相关者的反对和抵触。
(四)构建适合我国的环境风险管理框架和方法
关键词:内部审计;企业风险框架
一、企业风险管理框架介绍
1 企业风险管理的定义。2003年7月美国COSO(全美反舞弊性财务报告委员会发起组织)委员会的《企业风险管理框架》征求意见稿中对其定义“企业风险管理是4"由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的,为企业目标的实现提供合理保证的过程。这是一个广义的风险管理定义,适用于各种类型的组织、行业和部门。
2 COSO企业风险管理框架的内容。对于许多企业来说,没有一个普遍认同的关于风险以及风险管理的定义,也缺乏一个概述风险管理运作程序的全面框架,这使得董事会成员和管理层之间进行风险交流变得异常困难。在这背景下,制定框架有着强烈的驱动力。为了顺应企业的呼声和要求,2003年7月美国COSO委员会颁布了企业风险管理框架的讨论稿。讨论稿描述了企业风险管理框架包括四类目标:战略目标、经营目标、报告目标、合规性目标。要素:内部环境、目标制定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。
二、以风险导向的内部审计
内部审计是在一个组织内部建立的一种独立的评价活动,并作为对该组织的活动进行审查和评价的一种服务。内部审计的目的是协助该组织的管理成员有效地履行他们的职责。内部审计的发展趋势是有财务审计到财务审计与管理审计并重。
现在国内外的审计都推行风险导向审计。审计风险模式为:审计风险=重大错报风险×检查风险。在审计过程中,审计师需要实施审计程序,评估重大错报风险,并依据重大错报风险的评估水平确定并实施进一步的审计程序,以便把检查风险降低到一个可以接受的低水平。
站在企业立场的内部审计师更多的把风险导向审计中的“风险”扩大为企业或组织在经营过程中面临的不能实现其目标的各种风险,所以内部审计领域的风险导向审计是以影响企业经营目标实现的经营风险为依据确定审计项目,以企业进行的所有降低风险的活动为测试重点,评价风险降低的充分性和有效性,并提出恰当的降低风险的建议的一种审计方法。
三、内部审计与企业风险管理的关系
内部审计即是企业风险管理(内部控制)的一个组成部分,又是企业风险管理(内部控制)的一种特殊形式。
企业风险管理体系包括要素,其中监控又分为持续监控与个别评价。持续监控的对象是除监控外的七大要素,持续监控的主体是各直接进行风险管理的业务部门。个别评价的对象是除监控外的七大要素和持续监控。个别评价的主题是内部审计部门和业务部门,并且应该以内部审计部门为主,因为业务部门主要负责持续监控,长时间从一个角度看问题容易产生偏差,由内部审计部门介入,能有效地纠正这种偏差。作为个别评价的内部审计是企业风险管理的一部分,评价除自身以外的企业风险管理体系的全部内容。
四、内部审计中企业风险管理框架的应用
在企业风险管理体系中,内部审计是对企业风险管理有效性的评价。本文试图建立一个风险管理评价体系,以方便地指导内部审计对风险管理体系的评价工作,加强全企业范围内对风险的识别与控制,完善风险管理体系。
1 评价的目的。内部审计对企业风险管理有效性评价的目的在于完善企业风险管理体系,更好地控制风险、增加价值。需要注意的是,评价本身不是目的,评价过程中内审人员与各部门的沟通以及评价后相应改进措施比评价本身更为重要。
2 评价的内容。内部审计人员对企业风险管理的评价可分为总体和业务两个层面进行,评价的内容就是企业风险管理框架中的八要素。
3 评价的方法。评价的方法有很多,有很多不同的评价方法和工具,包括一览表、问券以及流程图技术等。这里介绍2种模式。(1)风险管理自评。风险管理自评的方法就是要求审计人员与被审计部门管理人员组成一个小组,对本部门风险管理的恰当性和有效性进行评估,然后根据评估提出审计报告,由管理者实施。对于内部审计而言,风险管理自评可以让管理部门了解到对风险管理的责任,同时还可以提高审计的效率和效果,减少审计人员的工作量,节省审计时间。(2)风险管理矩阵法。风险管理矩阵法是审计人员根据企业经常目标、风险与控制之间的联系,为确保审计建议能针对重要的风险而建立的一张工作表。
该表包含了下列信息:明确企业的经营目标,审计人员对被审计事项的初步了解,根据初步了解的情况识别风险因素,衡量风险的重要程度,采取适当的控制措施,审计人员的评价和结论。
内部审计人员通常在测试的最后阶段来做这个矩阵,其优点是清楚地反映出对每一目标的测试和评价,有助于关注重要风险。
4 评价的报告。评价报告分为两大类,一类是专项评价报告,一类是总体评价报告。
关键词: 电子商务;风险评价;层次分析法;模糊综合评价法
1.引言
在科技发达的21世纪电子商务几乎呈几何增长,淘宝、当当、京东等在线电子商务公司的快速发展,传统的思维方式和购物方式受到冲击,这些不仅改变了人们的消费也改变了人们的生活。但在它给企业机会的同时也存在着一定风险,因此,在企业与学术界进一步探究电子商务风险是一个重要的主题。电子商务是传统业务与网络技术的结合,是传统商业的发展和推广,电子商务系统中存在的机密甚至是核心机密的一部分信息,比如用户信息和银行信息等,所以电子商务的安全问题不仅是经济安全的关系,也与社会保障有关。所以,电子商务的风险和安全问题应该引起足够重视,在分析过程中可能会有各种电子商务风险,评估风险,然后最为重要的是采取相应的风险管理和安全措施。
关于“风险”一词的定义,自从1901年Willett认为风险是不确定的目标、危险的概念,至此之后关于风险的定义就在不断的演变。特纳指出,“任何风险的概念都不可以宣称其权威,都只是仅仅是可以接受。”虽然没有统一定义,但有这些定义都可以加以利用。风险被普遍认为是可能发生的事件的结果。对于电子商务风险评价学术界有更为广泛的研究,具有代表性的一些观点如下:Greenstein.M(2001)认为可能丢失的秘密数据, 或在金融运行机制上导致伤害另一方的数据或程序的破坏,建立或使用,损害硬件的可能性就是电子商务的风险。罗娅丽(2008)把电子商务风险划分为经济风险、管理风险、制度风险等几类,划分依据是电子商务所涉及的领域。姚敏(2010)从技术特性思考,把电子商务风险划分为客户信息泄密风险、破坏系统风险、篡改和假冒风险这四类。赵春燕(2010)根据电子商务交易流程,将电子商务风险划分为质量控制与服务风险、 网上支付风险和法律风险。而对于电子商务风险评价的方法,刘伟江(2005)提出了战略评估方法,也就是SWOT分析法,这一观点是基于战略风险的角度。尹全喜(2010)提出的观点是可以从系统的角度来看,规避风险,实现企业组织结构优化的目标:一是建立和完善投资风险预防机制;第二完善投资风险管理的整个过程,并建立财务信息系统,试图化解风险。高晨光(2011)提出了一种降低电子商务风险最简单的方法,就是要努力减少电子商务项目的周期,建议项目周期不超过90天。
基于上述的研究背景,根据以往学者对于电子商务风险评价的方法和当前的研究热点,通过对各种评价方法的比较发现,层次分析法与模糊综合评价法相结合更适合电子商务风险评价的研究,本文通过建立电子商务风险评价指标体系,将层次分析法与模糊综合评价法相结合,以此来确定各个安全风险指标的权重和各种风险因素之间的模糊隶属关系,并通过计算得出电子商务系统安全风险评价结果,弥补了传统层次分析法的缺陷,使得出的评价结果更加具有科学性与合理性。
2.模型构建
2.1层次分析法与模糊综合评价法的数学原理
美国运筹学家T.L.Saaty(萨蒂)于20世纪70年代初提出层次分析法。建立层次结构模型、构造判断矩阵、层次单排序及一致性检验、层次总排序及一致性检验分别为层次分析法解决问题的一般步骤。而通过模糊集合论方法对决策活动中的人、物、事、方案等进行多因素、多目标的评价和判断就是模糊综合评价法的一般原理。
2.2建立层次结构模型
本文构建了如表3所示的电子商务风险评价指标体系:
3.模型与算例分析
电子商务系统是复杂的相关性,是一个高度集成的协调与应用程序在同一时间的系统工程,无论是在硬件还是软件;既有外 部的影响,和内部的影响,各种因素之间的关系都相互影响和制约。总之,指标的选择应该是全面反映电子商务信息安全的风险。综合考虑各种影响因素的安全电子商务系统,首先,目标层为建立电子商务安全风险,然后建立规则层有四个(C1 - C4):技术安全风险,安全风险管理,通信操作安全、基础设施安全风险和设置基础设施,并且分别设定对应的评价指标,总共12项(I1-I12)这样一个多层次的电子商务系统安全风险评价指标体系。现在依据所构建的指标体系,运用层次分析法和模糊综合评价法,首先构造判断矩阵,然后计算指标层各指标的组合权重并进行一致性检验,最后进行模糊综合评价,得出电子商务各指标风险的安全评价结果。
本文以某企业的电子商务系统作为安全风险分析样本,通过运用层次分析法与模糊综合评价法相结合来评判该企业的电子商务系统风险问题。具体表现在如下几方面:构造判断矩阵、计算指标层各指标的组合权重、进行一致性检验、模糊综合评价、评价结果分析。
4.结论
如今,社会信息化的重要领域就是电子商务,电子商务也有助于建立社会主义和谐。但是电子商务风险的复杂性较大并且影响其风险的因素多种多样,综合国内外形势来看,目前能够建立起的定性且定量衡量电子商务风险的模型不多。而可以用于多准则评估,并且根据相对重要性判断矩阵来计算出每一个指标的综合重要程度是层次分析法的优点,但是这一方法缺乏对权重系数的抗干扰性,还有对模糊信息的处理能力较差;相比较之下模糊评价综合法则可以处理不够准确的信息,所以,两者相结合来评价电子商务风险,就能够实现定量和定性相结合的评价方法,克服两种方法各自的不足之处。从而通过综合分析得出电子商务风险评价结果,以此达到避免或减少电子商务风险的目的。 (作者单位:广西科技大学管理学院)
参考文献:
[1] Greenstein Marilyn.,Feinman Todd M.E-Commerce: security risk management and control [M].北京: 华夏出版社, 2001.
[2] 曾小春,孙宁.基于消费者的电子商务风险界定及度量[J].当代经济科学,2007(03).
[3] 刘伟江,王勇.电子商务风险及控制策略[J].东北师大学报, 2005(01).
[关键词] 审计风险 内部控制 控制措施
近些年随着国内经济的快速发展,审计环境面临着较大的变化,同时也不断涌现出新的现象,而这些新事物的出现势必会增加审计的难度。所以我们有必要对审计风险进行再研究,不断加强企业的内部控制建设,以便于将审计风险控制在可以接受的程度。
一、审计风险、内部控制、审计控制风险定义
1、审计风险的定义
我国《独立审计具体准则第9号―内部控制与审计风险》将审计风险定义为:会计报表中存在重大错报或漏报,注册会计师审计后发表不恰当审计意见的可能性。而审计风险又由两方面风险构成:一方面是审计人员认为会计报表公允可以接受,但实际上会计报表却存在重大错报的风险;另一方面是审计人员认为会计报表存在重大错报而不能接受,但实际上是公允的风险。审计风险的产生既有注册会计师自身的主观原因,也存在审计方法的客观原因。因此,控制审计风险必须从注册会计师内部和其外部着手,并将两者有机地结合起来进行,才能取得良好的效果。
2、内部控制的定义
《独立审计具体准则第9号―内部控制与审计风险》将内部控制定义为:被审单位为了保证业务活动的有效进行,保护资产的安全和完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。
3、审计控制风险的定义
审计控制风险是指被审计单位的业务和相应的会计处理发生重大错弊不能被内部控制防止和纠正的可能性。被审计单位建立内部控制的主要目的之一就是要防止错误和舞弊。如果被审计单位的内部控制制度存在重要的缺陷或者不能有效地工作,那么错误和舞弊就会进入被审计单位的财务报表系统,由此产生了控制风险。
二、审计风险的防范与控制措施
1、加强审计队伍建设,提高审计人员素质
审计风险的高低,在很大程度上都取决于审计人员个人素质的高低,因此审计人员应当强化风险意识,坚持实事求是,客观公正,并树立严谨踏实的工作作风,认真负责的对待每一项审计业务,严格按照独立审计准则进行审计,以确保审计质量,降低审计风险。加强基础建设,打造管理型、复合型的审计队伍,建立健全各项规章制度,抓好审计人员学习、培训工作,提高审计人员的实际应用能力,拓宽视野,更新知识面,掌握新业务的要点和风险点,提高工作效率。同时,加强理论与实践相结合,积极开展各项调研工作,为内控工作的开展奠定理论基础。
2、加强内部控制审计
内部控制审计的目的是合理地保证企业遵守国家有关法律法规和企业内部规章制度;信息的真实、可靠;资产的安全、完整;经济有效的使用资源,提高经济效率和经营效果等目标。由于被审计单位的内部控制制度存在一定的缺陷,所以被审计单位应从加强经济业务管理、内部控制制度与内部激励制度相结合、建立和完善内部控制评价体系三个方面完善内部控制制度,确保其经济活动经济资料合法性合理性。会计电算化与它的内部控制系统是相互作用和相互影响的。审计人员应选择适当的评价标准,实施适当的审查程序,以评价被审计单位的控制环境;评价企业风险管理机制的健全性和有效性;评价控制活动的适当性、合法性、有效性,控制活动对风险的识别和规避;评价企业获取及处理信息的能力,信息传递渠道的便捷与畅通,管理信息系统的安全可靠性。内部审计人员可以采用文字描述、调查问卷、流程图等方法对内部控制进行描述和评价。内部审计人员应向企业的管理层报告内部控制的审计结果。审计报告应说明审查和评价内部控制的目的、范围、审计结论、审计决定及对改善内部控制的建议。
3、创新内部审计
随着现代企业制度的完善,以“查错纠弊,堵塞漏洞”为主要目标的传统内部审计,已远远不能适应现代经济体制的要求。在审计思路上,要努力实现由传统内部审计向现代内部审计的转变,从事后审计向事前事中审计转变;在审计模式上,应探索构建从风险分析入手确定审计目标、范围和程序,以监督和评价财务状况、经营成果以及风险管理、内部控制和公司治理能力为审计成果,从以财务收支为主的审计,向以管理信息化和计算机审计为技术支撑的效益审计、管理审计转变;在审计目的上,从重视审计的独立性、权威性和强调审计监督,转为强调审计为企业服务,帮助企业实现其目标;在审计内容上,由财务控制向业务控制和信息系统转变,以审计经营活动为起点,以审计内部控制为主线,以审计会计核算、财务表现为终点,全面覆盖企业营运活动;在审计行为上,从不规范的随意性,向规范化、系统化和科学化方向转变。
4、内部审计要外部化
内审外部化是指审计业务由企业外部的民间审计组织全部或部分承担,主要有外包与合作两种形式。前者指企业将其内部审计工作全部或大部分外包给外部审计组织,后者指企业在开展内部审计工作时,根据需要借助外部审计力量,共同完成内部审计工作。内部审计外部化具有一系列优点,可以提高内部审计的独立性。外部审计工作一般都是由注册会计师领导完成,它们独立于企业的所有者和经营者,有一套保证审计准则受到遵循的机制,从而能够客观公正地对企业的财务状况进行审计并报告审计结果。同时,还为企业降低成本,因具有比较高的专业化程度,拥有丰富的经验和广阔的知识,可以提高和稳定审计质量。
5、健全组织结构,授权明确
组织结构的好坏直接关系着审计客体的生存,也影响着审汁风险的高低。组织结构中的各个机构、部门都各有自己的职责,明确授权与责任的关系,采取必要的步骤,保证内部控制的有效性,从而降低审计风险。
三、结语
【关键词】风险传播 危机传播 区别 联系
自从风险传播与危机传播从国外引入我国以来,风险传播与危机传播的相关研究在国内传播学界逐渐盛行,然而从目前的相关研究文献来看,国内传播学界在实际研究中存在把风险传播与危机传播两者等同或完全割裂的误区。本文主要从定义、范畴、时态、研究的学科视角来深入分析风险传播与危机传播的区别与联系。
一、风险传播与危机传播的区别
1、从定义上看,风险传播的本质是对风险信息的传递与交流,而危机传播的本质则是对危机信息的传递与交流
其中学术界关于风险传播(Risk Co-
mmunication)有代表性的定义主要有美国国家科学院(The National Academy of Sciences)风险信息传播角度的定义,认为风险沟通是个体、群体以及机构之间交换信息和看法的相互作用过程;这一过程涉及多侧面的风险性质及其相关信息,它不仅直接传递与风险有关的信息,也包括表达对风险事件的关注、意见以及相应的反应,或者国家或机构在风险管理方面的法规和措施等。还有Covello V T, Peters R G, Wojtecki J G, Hyde R C.环境或健康角度的定义,“关于健康或环境的信息,在利益团体间任何有目的的交换。更明确地说,风险传播是在利益团体之间,传播(convey)或传送健康或环境风险的程度、风险的重要性或意义,或管理、控制风险的决定、行为、政策的行动。”①最后还有被Katz与Miller评价为有强调风险信息沟通网络的互动性,有助于培养“参与式民主”的②Waddell民主参与互动角度的定义,认为“风险传播中,价值、信仰和情感不只来自公众,技术信息也不只来自专家。相反地,这是一个信息的互动交换,在此所有的参与者均沟通、诉求、参与价值信仰和情感。通过这个过程,公众政策决定被社会建构出来”。③从以上三种定义中可以看出,无论广义还是狭义的界定,风险传播的指向性都非常明确,就是围绕风险信息而展开的,所以其本质就是有关利益的各方之间的风险信息的传递与交流。
而关于危机传播(Crisis dissemination 或者Crisis Communication)有代表性的定义主要有美国学者费姆・邦茨(Kathleen Feambanks)将危机传播定义为:“在危机事件发生之前、之中以及之后,介于组织和其公众之间的传播。”④台湾学者吴宜蓁通过对危机传播与危机管理(crisis m-
anagement)概念的比较,认为,危机传播偏向于“对人”,并接受Heath,R.L.、Ray,S.J.与Sturges,D.L.省略/meta/32338_
index.html.
⒂张海波,《风险社会与公共危机》,《江海学刊》,2006(2)
