风险识别及评估篇（1）

对项目评估中涉及的无形资产进行风险管理，首先要明确无形资产风险的影响因素有哪些，即都有哪些形成风险的原因。其次，要采用适当的风险识别方法对项目评估中涉及的无形资产进行有针对性的风险识别。

一、无形资产风险的影响因素

评估人员要通过密切结合企业内外部环境动态地分析无形资产的风险种类和风险影响力。通过对形成无形资产风险的主要原因的分析，可以明确无形资产风险的影响因素：

（一）没有一个通用的定义，范围的不确定性，对应的无形资产价值分配不确定性的风险。

（二）外界产业环境、行业行政性发展规划及政策对无形资产使用的影响，对应的无形资产有效期限的不确定风险。

（三）无形资产市场的供求变化及竞争程度，部分无形资产的市场影响度和占有率，无形资产特许权使用费的标准，等等，对应的无形资产在未来所能获取的现金流量的不确定性风险。

（四）资产的隐性成本、机会成本，资产的较低使用效率、操作不规范，管理上未形成完善的管理控制体系，对应的无形资产投入产出及利用效率不确定的风险。

（五）无形资产的使用和管理人员法制观念、职业道德、工作经验等方面的欠缺，对应的无形资产价值毁损甚至产生负收益的风险。

二、无形资产风险识别方法分析

无形资产的风险识别可以借鉴有形资产的风险识别方法，同时考虑无形资产的特殊性，从定性和定量相结合的角度全面剖析企业采用项目在经营活动中可能面临的各种无形资产风险及其形成的根源。

（一）资产形成流程识别方法，即对项目所涉及的无形资产，从其形成流程中分析，对每一个过程、环节进行检查，发现其中潜在的风险，挖掘产生风险的根源。例如，对于项目中涉及的品牌这一无形资产，研究品牌资产从创立之初到形成品牌影响力的过程中是否存在使品牌未来价值发生变动的风险因素，并预估如若风险发生可能给项目实施带来的影响和为预防风险企业需要采取风险管理措施的成本费用。

（二）类比借鉴分析法，即分析企业实施某个项目所面临的内外部环境及涉及的无形资产的种类，寻找相似环境中的同类无形资产，借鉴该同类无形资产已经识别或暴露出的风险对比分析项目中的无形资产的风险。比如专利权，该类无形资产已经为企业和社会所熟识，比较容易找到符合条件的相似资产，通过类比借鉴分析，可以对其风险进行识别。

（三）职能结构分析法，即充分利用企业的职能部门分别在不同的职能范围内进行无形资产风险分析，财务部门针对无形资产财务状况进行分析，风险管理职能部门就无形资产风险清单进行调查，企业管理层就无形资产事故组织专家调查等。比如商誉这种无形资产，在企业进行项目评估时，必须考虑项目的实施成功与否可能会给企业的整体商誉带来的影响，就可以采用职能结构分析法，识别其各种风险，进行相应地风险管理。

三、无形资产的风险管理

对无形资产风险的影响因素分析是为了帮助识别鉴定无形资产的风险，而对无形资产风险的识别是对无形资产风险管理的基础，无形资产特殊性以及不确定性，增加了项目评估中可行性决策的风险。企业必须要加强对无形资产风险的认识，践行无形资产风险管理。

（一）无形资产风险评估。风险评估即对无形资产风险发生的可能性及其损失程度进行评估，为进一步的无形资产风险管理准备，对无形资产风险认识、评估与管理可以使企业的项目评估结果更具说服力。首先，采用定性的方法确定风险类别；其次，采用定量的方法计算预测风险的期望收益；然后选用适当的分析模型，采用定性定量相结合的方式对风险进一步分析。鉴于无形资产的高风险高收益高破坏力的特性，必须尽可能的对无形资产可能面对的各种情景加以分析，重点关注风险发生概率大的无形资产。

（二）无形资产风险控制。对无形资产进行风险控制，一是降低风险发生的可能性，二是减少风险带来的损失。企业在项目评估过程中，要评估与相应的无形资产对应的风险控制方法以及动态管理无形资产风险的能力。应注意三个方面：一是风险发生之前能够进行事前控制，控制的手段不应仅仅局限于风险管理计划中的风险规避措施，还应能够根据实际情况确定应变措施。二是风险发生时，能够快速进行风险分析并制定应对措施。三是风险发生后，能够形成反馈管理机制。

四、结语

在知识经济时代，无形资产这一战略性发展资源对企业的贡献越来越大，企业拥有的无形资产体现了企业的科学技术能力和知识文化能力，无形资产成为企业利益来源的同时也提升了企业的综合实力和竞争力。但是，无形资产所固有的风险及其特征也可能给企业带来现实的或潜在的巨大损失。正是由于无形资产的地位日益凸显，企业资产结构中无形资产比重迅速上升，项目评估中所涉及的无形资产也相应增多，在项目评估过程中，企业必须高度重视无形资产的风险识别及其风险管理，进一步提高无形资产的风险评估意识和风险管理水平。

参考文献

[1] 戴洪健，邱展法.无形资产评估探讨[J].南方论刊，2007 （02）：42-43.

[2] 刘霞，傅国林.无形资产审计过程中的风险点及防范[J].会计师，2013（05）：9-11.

风险识别及评估篇（2）

关键词 ：石油销售 财务风险 识别 评估 防范措施

风险是客观存在的，是人类在社会活动中产生的客观现实，无处不在，企业发展要想健康持续，必须加强对风险的研究，做好风险管控。目前我国的石油销售企业主要面临着两方面的风险，一方面是投资风险；它包括行业竞争风险、投资决策风险、政府监管风险以及宏观政策风险。另一方面是资金回收风险：由于石油销售企业具有接触货币资金人员多、实物资产比重大、面广、线长、点多等特点，这都会对资金的回收带来一定的风险。近年来，石油销售企业为了减少风险采用了信息管理系统，通过预算管理和内部控制来降低风险，但是这是远远不够的，只有明确财务风险的识别方法和评估手段才能提前制定相应的防范措施，从而降低石油销售企业的财务风险。本文通过对石油销售企业财务风险识别方法、评估手段的分析，提出了切实可行的预防措施，为石油销售企业的健康发展提供了重要参考和指导。

1、石油销售企业财务风险识别

财务风险识别只要是指采用相应的方法和技术手段对客观存在的、潜在的、尚未发生的财务风险进行科学系统的预测，对潜在的后果、起因、影响范围和引起源进行辨别并记录的过程。

财务风险识别的操作过程是由感知风险以及分析风险两个部分组成。前者是风险识别的基础，指认识存在的客观风险，并能够找出风险点的过程；后者是风险识别的关键，它是指准确研究引发风险发生的各类因素。一般来说风险识别包含了三个基本过程和步骤：（1）收集信息：根据识别的目标进行信息收集并及时分类梳理，为风险识别提供数据支撑和判断依据，根据我国石油销售企业的特点，信息收集主要包括历史风险事件、现有风险数据库、公司领导讲话、国内外同行业年报所批露的重大风险信息、公司各项制度和章程、国家财经法律法规等内容。（2）确定识别方法：主要是根据收集的大量信息和目标特征选取科学合理的识别方法，主要的识别方法：领导讲话分析法、目标分析法、检查表法、头脑风暴法、情景分析法、财务报表法、历史事件法、流程图分析法、问卷调查法、基准化分析法等几种。（3）建立风险数据库：把已经明确的风险登记造册形成风险数据库，方便以后查阅，它是下一次风险评估的重要参考信息和数据支撑。

2、石油销售企业财务风险评估

企业风险控制与处理的实现离不开财务风险评估，财务风险评估是财务风险管理的关键环节。它是基于风险识别的结果来展开的，通过分析和研究识别出来的财务风险点及其危害程度，全面了解影响企业财务风险的主要因素，从而为管理风险决策以及提出防范措施奠定数据基础和依据。

（1）投资风险评估

①动态分析法。动态分析法是评估石油销售企业财务风险的一个重要方法，它主要是通过折现分析投资加油站建设项目的现金净流量来评估加油站在正式投产后的经济效益，从而确定加油站项目建设的投资风险，在动态分析法中有三个重要的评估指标：动态投资回收期、内部收益率以及标净现值。

②经营杠杆系数。经营杠杆反映的是息税前盈利和销售之间的变化关系，表征的是产销量变动率和利润变动率之间的对应规律。在石油销售企业风险评估中，经营杠杆是一种非常实用且有效的手段，在一定的销售量范围内，固定成本的变化和销量的关系不大，这样就可以通过很小的销售增量大幅度的提高经营利润。经营杠杆系数的别称是经营杠杆程度，描述的是息税前收益变动率除以销售量变动率的数值，由此可见，经营杠杆系数越大，那么石油销售企业的经营风险就越大。

（2）资金回收风险评估

评估石油销售企业的资金回收风险可以通过总资产周转率、存货周转、坏账损失、应收账款周转天数、应收账款周转率等几项指标来展开。

①总资产周转率：它是总资产周转额和总资产平均余额的比值，描述的是销售企业的资金周转次数，该指标越小说明资产被占用较多，资产使用效率不高，那么资金回收风险就会很大，反之亦然。

②存货周转率：它是销售成本和存货平均余额的比值，描述的是企业存货周转次数。如果大量的石油被库存不能销售出去，大量资金将会被占用。该指标越小则表明资金用于存货的就越多，从而资金流转较慢，回收风险较高，反之亦然。

③坏账损失率：它是坏账损失和应收账款总额的比值，它反映的是坏账在赊销收入中所占的比重，数值越小说明坏账越少，那么资金回收风险就越小。

④应收账款周转率：它是赊销收入净额和应收账款平均余额的比值，表征的是转账周转速度，该指标越小表明资金周转越困难，资金回收风险越大。

⑤应收账款周转天数：它等于360除以应收账款周转率，反映的是应收账款变现的速度大小，该值越小，资金回收风险越小。

3、石油销售企业财务风险防范措施分析

根据笔者从业的经验实践认为要切实防范财务风险需要从以下几个方面进行加强：

（1）形成企业财务风险管理文化

首先要建设财务风险管控队伍，强化培训。采用现场指导、召开专业会、集中学习等手段全方位对企业员工进行培训，强化企业员工风险意识[1]，并建立风险管控会议制度，定期探讨风险问题。其次，树立风险管控理念。从成品油的入库、运输、销售每一个环节都存在着风险点，企业每一个员工都要充分认识到财务风险管控的重要作用，从而有意识的防范财务风险。

（2）构筑财务风险管理体系

一是健全石油销售企业的财务风险管理体系：建立一支熟悉即财务管理流程又能够监督检查财务风险管理体系运行状况的专业化人才队伍，并成立财务风险监管领导小组，制定管理手册和管理流程，定期研判财务风险形势，提出控制措施和方案。二是规范严谨的财务风险管理制度体系：结合石油销售企业的具体实际，建立健全检查评价、化解应对、识别评估、风险决策等财务制度，确保风险管理实现信息化、系统化、规范化、流程化、制度化。三是确立四位一体的财务风险评价体系：石油销售企业要完善由外部专业机构、内部审计部、财务风险管理职能部门等组成的评价测试体系。

（3）完善内控体系

一是建立符合实际的日常工作机制：明确工作职责和相关岗位要求，建立定期会议制度，并利用现代化信息系统实现信息的交流和共享。二是完善动态风险管理程序：企业要完善信息收集渠道，对筛选、分类、对比后的信息进行初步判断，然后采用定性和定量相结合的方式研究风险关系、风险因素和风险来源[2]。

三是加大测试监督力度，强化工作执行力。四是建立定期考核以及奖惩机制，确保财务风险管理目标的实现。

（4）优化风险控制方法

一是加强人员管理，减少人为风险：选拔员工时要注重品质和素质，并制定好明确的岗位目标和职责，按时进行考核和奖惩，这样就能够降低人为因素产生的财务风险。二是定期梳理企业的财务风险：由于企业是由很多的员工以及配合企业组成的，人员的变动、设备采购商家的更换、市场行情的变动等因素都会产生财务风险点，必须要定期梳理财务风险才能针对可能出现的新情况制定应对措施。三是进一步完善内部约束和监督机制：完善监督和约束制度，形成不同岗位相互制约、相互监督的局面，并定期测试对发现的问题及时解决。

4、结论

通过对石油销售企业财务风险识别评估与防范措施的研究，主要的出如下结论：

（1）财务风险识别的操作过程是由感知风险和分析风险两个部分组成，需要三个步骤：收集信息、确定识别方法、建立风险数据库。

（2）投资风险评估方法主要有两种：动态分析法和经营杠杆系数；资金回收风险的评估指标主要有总资产周转率、存货周转、坏账损失、应收账款周转天数、应收账款周转率等5 个。

（3）石油销售企业财务风险的防止措施主要包含四个方面：形成企业财务风险管理文化、构筑财务风险管理体、完善内控体系、优化风险控制方法。

参考文献

风险识别及评估篇（3）

中图分类号：G647 文献标志码：A 文章编号：1674-9324（2016）23-0249-02

一、引言

信息时代为国家和个人提供了全新的发展机遇和生活空间，但也带来了新的安全威胁。信息安全的威胁可能来自内部的破坏、外部的攻击、内外勾结的破坏和信息系统自身的意外事故等，因此我们应按照风险管理的思想，对可能的威胁和需要保护的信息资源进行风险分析，以便采取安全措施，妥善应对可能发生的安全风险。信息安全风险评估是依据国家信息安全风险评估有关管理要求和技术标准，对信息系统及由其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。根据ISO27001的管理思想，信息安全风险评估在信息安全管理的PDCA环中是一个很重要的过程，如何处理信息安全风险评估所产生的数据，是每一个信息安全管理者都非常迫切需要解决的一个问题。最好的解决方法是开发出一套实用性强、可操作性高的系统安全风险评估管理工具。

二、风险评估过程

信息安全风险评估系统的设计是针对组织开展信息安全风险评估的过程。这个过程包括对信息系统中的安全风险识别、信息收集、评估和报告等。风险评估的实施过程如下页图1。

1.评估前准备。在风险评估实施前，需要对以下工作进行确定：确定风险评估的目标、确定风险评估的范围、组建风险评估团队、进行系统调研、确定评估依据和方法、制定评估计划和评估方案、获得最高管理者对工作的支持。

2.资产识别。资产识别过程分为资产分类和资产评价两个阶段。资产分类是将单位的信息资产分为实物资产、软件资产、数据资产、人员资产、服务资产和无形资产六类资产进行识别；资产评价是对资产的三个安全属性保密性、可用性及完整性分别等级评价及赋值，经综合评定后，得出资产的价值。

3.威胁识别。威胁识别主要工作是评估者需要从每项识别出的资产出发，找到可能遭受的威胁。识别威胁之后，还需要确定威胁发生的可能性。

4.脆弱性识别。评估者需要从每项识别出的资产和对应的威胁出发，找到可能被利用的脆弱性。识别脆弱性之后，还需要确定弱点可被利用的严重性。

5.已有安全措施确认。在识别脆弱性的同时，评估人员将对已采取的安全措施的有效性进行确认，评估其是否真正地降低了系统的脆弱性，抵御了威胁。

6.风险分析。风险评估中完成资产赋值、威胁评估、脆弱性评估后，在考虑已有安全措施的情况下，利用恰当的方法与工具确定威胁利用资产脆弱性发生安全事件的可能性，并结合资产的安全属性受到破坏后的影响得出信息资产的风险。

三、系统设计

1.用角色设计。系统角色分为三种类型，各用户在登录后自动转入各自的操作页面。A.超级管理员：拥有系统所有权限；B.评估项目管理员：可以对所负责的评估项目进行管理，对评估人员进行分工和权限管理；C.评估人员：负责由项目管理员分配的测评工作，将评估数据导入系统。

2.系统模型。根据信息安全风险评估管理的业务需求，我们构建了以安全知识库为支撑，以风险评估流程为系统主要业务流，以受测业务系统及其相关信息资产的风险评估要素为对象的信息安全风险评估综合管理系统模型，系统模型如图2所示。

3.系统功能设计。信息安全风险评估综合管理系统的功能模块包括：①风险评估项目管理：评估项目管理模块包括评估项目的建立、项目列表、项目设置等功能。主要输入项：项目名称、评估时间、评估对象等；主要输出项：项目计划书。②信息安全需求调研管理：该模块用于用户填写安全调研问卷，为安全评估提供数据支持。主要输入项：用户ID、调查答案；主要输出项：问卷标题、调查题内容。③资产识别。系统提供的资产识别，包括：硬件、软件、数据等，根据业务系统对组织战略的影响程度，对相关资产的重要性进行评价；主要输入项：评估对象（信息资产）、赋值规则；主要输出项：资产识别汇总表、资产识别报告。④威胁识别。威胁识别：系统提供多种网络环境的威胁模板，支持和帮助用户进行威胁识别和分析，并提供资产、脆弱性、威胁自动关联功能：主要输入项：评估对象、赋值规则；主要输出项：威胁识别汇总表、威胁识别报告。⑤脆弱性识别。脆弱性识别：系统可提供多种系统的脆弱性识别功能，包括：主机、数据库、网络设备等对象的脆弱性识别。系统支持常用漏洞扫描软件扫描结果的导入，目前支持的扫描系统有：Nessus、NMap等，主机系统支持：Windows、Linux、Unix等，数据库支持：MSSQL、Oracle等：主要输入项：评估对象、漏洞扫描结果、赋值规则；主要输出项：漏洞扫描报告、脆弱性识别汇总表、脆弱性识别报告。⑥安全措施识别。安全措施识别：系统提供基于技术、管理等方面的安全措施检查功能，帮助用户了解目前的安全状况，找到安全管理问题，确定安全措施的有效性：主要输出项：安全措施识别汇总表、安全措施识别报告。⑦风险分析。系统通过资产评价、脆弱性评价、威胁评价、安全措施有效性评价、风险分析等工作，可自动生成安全风险评估分析报告。主要输入项：评估对象、资产值、脆弱性值、威胁值、安全措施值、计算规则；主要输出项：风险计算汇总表、风险分析报告。⑧评估结果管理。主要功能是对历史记录查询与分析。汇总所有的安全评估结果进行综合分析，并生成各阶段风险评估工作报告，主要包括如下：《资产识别报告》、《漏洞扫描报告》、《威胁识别报告》、《脆弱性识别报告》、《控制措施识别报告》、《风险分析报告》。并可对当期风险评估结果和原始数据进行转存或备份。在有需要时能调出评估历史数据进行查询及风险趋势分析。⑨信息安全知识库更新维护。信息安全知识库的更新维护主要对象有：系统漏洞库、安全威胁库、安全脆弱点库、控制措施库。为避免造成数据的冗余，系统将在各评估项目中需要反复使用的数据归入基础数据库进行管理，在进行评估活动时再从基础库提取有关数据，这样也能减少重复的输入工作。⑩数据接口。导入数据接口：资产库、脆弱点库、威胁库、控制措施库。支持以下常用的格式：如EXCEL文件等；常用的漏洞扫描工具：如绿盟、启明星辰、NESSUS、NMAP等。

四、结束语

该系统设计是以信息安全风险评估工作流程为基础，进行信息安全评估项目管理、风险要素数据收集与辅助风险分析的系统，在实际风险管理过程中，可引入了质量管理理念――PDCA循环，即通过监控每一阶段的信息系统风险情况，及时发现问题，不断调整风险控制工作计划，从而实现信息安全风险管理的工作目标。

风险识别及评估篇（4）

1.1风险评估的关键要素本文所述的风险评估以信息资产为核心，评估信息资产的价值及其所具有的脆弱性和所面临的威胁，并得出信息资产的风险。基于信息资产的风险评估的关键要素主要包括信息资产、资产价值、资产脆弱性(即资产弱点)及威胁。风险评估关键要素间的关系如图1所示。

1.2风险评估流程风险评估流程如图2所示。

1.2.1识别并评价信息资产(1)识别信息资产识别信息资产就是要对所有的信息资产进行梳理与识别，编制资产清单。资产清单主要包括以下要素：资产基本信息：资产编号、资产名称、资产功能和用途简述等；资产类别：资产归类是将信息资产在特定条件下归并为一组，以便于进行风险识别、评估及管理工作；资产所有者：确定信息资产所有人员或单位；资产保管者：确定信息资产管理权责人员；资产使用者：确定信息资产的使用人；资产保密性：确定信息资产在保密性方面的等级；资产完整性：确定信息资产在完整性方面的等级；资产可用性：确定信息资产在可用性方面的等级；资产价值：根据信息资产保密性、完整性、可用性的等级，取最大值作为资产价值。经过笔者实际评估后认为，识别信息资产的关键在于资产的分类，合理的资产分类将大大降低风险评估的工作量。资产大类可以分为信息系统类、人员类、物理环境类、外部服务类、数据类、无形资产类。以信息系统类为例，信息系统下可以继续分为主机型、终端型、软件型三个二级分类。在主机下还可以继续划分为12个三级分类。(2)评价信息资产对信息资产的评分需考虑信息资产三个要素：保密性、完整性和可用性。依据特定资产评价标准对资产进行评分，并取保密性、完整性与可用性分数的最大值，作为该项信息资产的最终价值。为资产价值设定一个标准值，超过标准值的资产才能进行下一步风险评估。

1.2.2识别并评估威胁(1)威胁分类根据威胁的来源，将威胁分为人员威胁、技术威胁、环境威胁三大威胁，并据此罗列出细化分类的常见威胁。(2)威胁与弱点匹配根据列举的安全威胁，对企业面临的信息安全弱点进行划分，评估出每项威胁可能面临的弱点。(3)评价威胁与弱点针对识别的威胁、弱点依次评估其发生机率及事件影响程度，计算出风险值，并在评分的过程中考虑现有控制措施。a.威胁可能性评分标准根据威胁在一定时期内发生的频率，设定威胁发生的可能性。b.影响程度评分标准信息资产的弱点被威胁利用，影响程度的评分标准见表1。

1.2.3风险值计算及风险分级(1)风险值计算风险值的最终确定需综合考虑三个方面，包括资产价值、风险发生的可能性以及风险发生的影响程度。通过识别和评估资产价值，并评估风险发生的可能性和风险发生的影响程度，综合计算出风险值，风险计算公式如下：风险值=信息资产价值×风险发生可能性×风险影响程度评估后将形成如下的风险矩阵，见图3。(2)风险分级依据风险评估结果撰写信息安全风险评估报告，提出可接受的风险等级建议，提交领导层审核并决定可接受的风险等级。

1.2.险评价在风险值确定后，依据风险值大小进行风险处置优先级排序。应制定风险接受水平，等于及高于风险接受水平的风险为高风险。制定风险接受水平时，企业应考虑当年风险处置资源投入成本。对于以下风险，应纳入高风险进行处理：可能导致企业违反国家法律法规、行业规章制度及其他合规标准；可能导致企业品牌、声誉和社会责任的损害；管理层评估为高风险的其他风险项。应以风险评分结果为基础，通过多个角度对企业面临的风险状况进行分析：重要信息资产的分布情况；高风险主要分布的信息资产类别；高风险主要面临的威胁和弱点。从多角度分析目前企业面临的风险现状，有利于企业把握风险管控的重点，为风险处置做出指引。

1.2.5风险处置风险评估完成后，需要制定风险处置计划，执行风险处置，最后要对处置后的情况进行风险再评估。(1)风险处置计划在企业管理层确定企业的风险接受水平后即可对等于、高于风险接受水平的高风险制定处置计划，确定处置方式。风险项的处置方式包括：依据企业管理层确定的风险接受水平，有意识地接受该接受水平之下的较低风险，暂不采取处置措施；采用适宜的控制措施减缓风险，尽可能合理减缓风险至企业的风险接受水平之下；废弃导致风险的信息资产而避免风险；将风险转嫁给第三方，如保险公司或供应商。计划的控制措施应考虑国家的法律法规要求、企业的运营目标、行业监管要求以及风险控制的成本与效益。(2)风险处置执行企业应组织风险的相关责任单位落实风险控制措施，在规定期限内完成风险处置项。(3)风险处置再评估在风险控制措施完成后，企业应对风险项(不包括风险接受水平以下的较低风险)进行二次评估。经过二次评估仍评价为高风险的风险项，应作为残余风险。对于属于以下情况的残余风险应提交管理层批准接受：该风险目前不在企业控制范围内；该风险在目前技术手段下无法有效控制；该风险处置的资源投入高于风险所造成的影响损失。

2风险评估方法的工具实现

风险评估是一项涉及环节众多的复杂工作，需要投入较多的专业人员开展具体工作。为了减轻工作量，提高工作效率，笔者所在单位专门设计开发了一套风险评估的工具平台，并在企业内部得到了应用。

2.1功能模块工具平台设计了以下功能模块,截图见图5。风险计划控制：对风险评估的时间计划进行控制，以便在规定的计划内完成风险评估。信息资产管理：对信息资产进行识别和评价。威胁弱点管理：对信息资产所面临的威胁和弱点进行识别管理。风险评估：根据资产价值、威胁、弱点等进行风险评估。风险处置：根据风险评估结果生成风险处置计划，并落实责任单位与责任人，跟踪风险处置情况。风险报告：根据历年来的风险评估的情况，形成统计报告，跟踪风险发生的趋势和控制措施的改进情况。权限管理：对访问该风险评估工具的用户权限进行配置。

风险识别及评估篇（5）

中图分类号：F832.31 文献标识码：A文章编号:1003－9031(2011)06－0030－06DOI:10.3969/j.issn.1003-9031.2011.06.09

风险评估是指识别和分析相关风险并确定应对策略，它是风险管理的核心，是内部控制的基础，也是选择恰当的控制活动的关键。没有高水平的风险评估，则意味着内部控制就是无的放矢，内部控制就会流于形式。近年来，基层央行严格按照《中国人民银行分支机构内部控制指引》（以下简称《指引》），扎实开展风险评估工作，进一步优化了风险管理环境，提高了风险管理水平，增强了风险防控效能。但从基层央行风险评估的现状来看，仍存在一些不容忽视的瓶颈问题亟待解决。

一、基层央行风险评估工作中存在的问题

（一）风险评估组织机制薄弱

风险评估工作是整个风险管理过程的重要环节，建立风险评估组织有助于及时有效地开展风险评估工作。中国人民银行在机构设置上实行分支行制，总行与分支机构之间存在一种委托关系，因此就产生了风险与机会主义行为。但是，目前人民银行系统在风险评估组织机制方面不够健全，未设置专门的风险评估机构和管理部门，风险评估工作一般由内部控制建设领导小组办公室或内部审计部门承担，容易造成职责不清。风险管理机构应该承担风险评估的具体工作，而审计部门只是对风险评估工作的充分性和有效性进行监督。内部审计部门具体负责风险评估工作，有损于审计的公正性和独立性。内部审计人员只能以咨询顾问的身份参与协助风险评估，而不是直接负责风险评估事宜。由于基层央行缺少一个权威的风险管理机构，在人民银行各分支机构之间和专业部门之间出现内部控制管理各自为政的局面，部门之间内部控制内容相悖、内部控制监督检复、片面强调部门对口等问题也因此产生。同时，由于内控管理机构缺位，对全行风险管理缺乏统一协调，一些业务环节控制过度，也有一些业务领域控制不足。由于控制过度，具体经办人员为了简便，试图摆脱过多的内部控制，形式上的控制过度和事实上的控制不足并存。由于内部控制管理机构的缺位，造成专业部门在风险管理上的本位主义思想盛行，一味强调本部门业务工作的重要性、风险防范的必要性，而不顾基层行的人力资源状况[1]。

（二）风险评估人员专业素质匮乏

目前，基层央行内审人员知识结构老化，部分人员长期不从事具体业务操作，对业务部门业务的新变化、新要求和新特点不熟悉，难以全面深入分析各业务部门的风险情况，从而对内控风险评估量化管理结果产生一定影响。从各业务部门风险评估人员配备而言，目前基层央行开展风险评估的人员层次相对较低，一般都是兼职的业务人员，未配置专业的风险评估人才。评估人员由于缺乏系统的风险管理知识培训和教育，分析评价能力受限，风险识别不够全面，风险分析结果较为粗糙，难以满足日常风险管理工作的需要。部分风险评估人员业务知识的更新跟不上人民银行业务发展的速度，工作理念的转换跟不上内审工作转型与发展的要求，制约了风险评估质量的提升。同时，部分风险评估人员查错纠弊的能力较强，但分析问题和解决问题的能力往往不足，使风险评估的服务与咨询价值难以实现。

（三）风险识别和分析方法单一

目前人民银行风险评估涉及到金融管理、货币信贷、外汇管理、财务管理、会计结算管理、国库业务、货币发行管理、反洗钱管理、征信管理等十多个方面，而《指引》只提供了框架性意向指导，并未对相关业务提供专门的内部控制风险评价办法。因此，每项业务具体的风险无法定量、定性评价。当前，基层央行风险评估人员在对风险进行鉴别、估测和分析过程中，往往更多地依赖于个人经验，甚至凭主观臆断，习惯运用传统理念和方法，仍停留在以定性分析评估为主的阶段，缺少严密有效的计量和定量分析评价。较少运用矩阵分析、COSO例举法、Courtney方法等分析评估方法，科学性、客观性与说服力不强，据此得出的风险评估结果往往可信度不高，或者说不够准确，模糊不清。日常开展风险评估程序不够合理，风险评估环节的职责不够明确，评价手段不够先进和科学，风险评估时间较长，效率较低，质量不高。作为一线操作者，业务部门人员很容易只关注业务流程是否方便、适用，而忽略风险点。与此同时，监督部门对风险判断的客观性不足，缺乏实践检验和说服力。从基层央行现状看，监督部门主要指内审、事后监督和纪检监察，在来自一线业务部门的原始信息很少，同时被有效传递而是有选择性地传递以至在传递过程中信息层层。“失真”或“过滤”的情况下，监督部门凭借已经公认的风险、对照制度进行检查的主观认识来做出对业务部门风险的基本判断。业务部门对公认的风险没有异议，但对监督部门主观认为的风险部分质疑，怀疑监督部门人员没有具体操作业务系统，情况不明，阻碍了内部控制机制的发展。

（四）风险评估制度和预警机制滞后

目前，基层央行开展风险评估工作没有独立规范的制度要求，仅包含在内部控制建设的相关文件中，风险评估规定不够全面，执行起来比较困难。因为风险评估制度滞后，多数管理者将风险评估甚至风险管理的责任转嫁给内部审计部门，认为这是内部审计部门的职责，让内部审计部门承担很多风险评估，造成监督者与管理者职责界定不清。风险评估制度不健全，日常风险评估工作缺少统一的评估标准和尺度，对被评估单位风险控制状况的优劣没有客观公正的评估依据，各单位和职能部门对风险识别和分析的结果往往无法衡量和比较，风险评估作用难以充分发挥。2006年以来，部分基层央行由内审部门为主先后组织开发了内部控制评价系统、业务控制系统，旨在实现有效内部控制、风险预警和风险评价。但由于这两套系统均独立于业务部门操作系统之外，不仅需要一线操作人员重复操作，增加了操作人员负荷，还不能实现风险的适时预警[2]。加上各风险指标衡量标准不可量化或量化不足，使得评价结果欠权威，可信度低，仍然无法实现开发系统的目标。

（五）风险评估长效机制和风险防范流程缺失

一是风险评估长效机制缺失。风险评估工作应该是一个连续的循环往复的过程。有的单位和职能部门将风险评估工作作为阶段性工作来抓，没有把风险评估当作一项长期性、系统化工程来推进，时紧时松、时断时续。一些单位和部门思想上存在一劳永逸的观念，排查出的风险点时间较长。对于已经识别的风险点未及时更新，对于隐匿的新风险点未能认真重新梳理。在风险应对效果评价方面未能结合具体实际情况进行再分析、再评价。已经制定的风险应对措施未能随着人员、流程、系统和外部环境的变化而变化，风险控制方案所起的作用逐渐弱化一些单位和部门的风险评估报告，主体为对发现问题的罗列，对一些问题的表述过于详细,而缺乏对问题性质严重程度的分析提示，对评估发现的重大问题难以引起足够的重视，对改进内部控制和风险防控的价值不高。

二是风险防范流程缺失。从业务风险的表现形式来分析，当前基层央行风险防范缺乏系统的流程。首先是缺源头防范，新制度、新系统软件推广前，多数选择操作部门测试，未与风险挂钩、未进行风险信息和技术的处理。其次是缺乏风险运行状态监测，在操作和重要业务流程运转中仅关注完成每笔业务，没有实现对风险和剩余风险的辨识、分析和持续监测。再次是缺后续防控措施，各类检查中发现了问题往往就事论事落实整改，没有随机开展风险预测，进而促进事前防范，导致制度修订不及时。同时，也没有对风险防范成效定期检查，风险处置得当与否关注较少。缺乏风险评估长效机制和系统的风险防范流程，其实是组织内隐含的最大风险。

二、基层央行风险评估框架的再构路径

（一）建立健全基层央行风险分析与评估框架，整合归口风险防范职能

一个健全有效的风险评估体系是基层央行赖以生存和发展的生命线，是防范和化解各种风险的重要手段和有效途径。建立健全中国人民银行风险分析和评估框架（见图1），使其切实可行，是基层央行有效开展风险评估工作的重要基础。人民银行总行和分支行应成立高规格的风险管理委员会以及按业务条线划分的专业风险评估小组，由单位内具有丰富管理经验的人员担任，定期对整体风险状况进行仔细评估，筛选出较高风险及以上风险点。进行风险监测和风险控制管理，要充分支持风险评估工作的开展，保证风险评估工作具备足够的人力、物力以及信息技术水平，及时了解风险评估工作的开展情况，成立独立于审计、监察部门以外的风险管理部门，主要职责是组织日常风险识别、风险监测和风险分析，负责建立各业务条线的风险评估模型，收集整理风险评估资料，及时评估分析风险状况，为领导决策提供依据。相关职能部门在风险评估过程中要各司其职，既要明确分工，又要通力合作，积极发挥作用。如财务部门要及时向风险评估部门提供准确的财务信息数据，内部审计部门要定期对风险评估体系的准确性、可靠性、充分性和有效性进行独立审计和评价，风险评估部门要向审计部门提供直接的第一手资料和记录，法律部门应当能够有效识别、评估潜在的法律风险[2]。整合监督资源，将内审、事后监督、行政监察等部门进行合并，设立一个直接隶属于行长领导的、集独立行政检查监督及业务审计和内部控制于一身的内部控制管理委员会。负责制定全行的风险管理策略制定、风险评估与确认、预警与控制。在目前基层央行成立独立于审计、监察部门以外的风险管理部门或整合监督资源之前，建议实行风险事务相对集中管理，可将基层央行的六类基本风险的风险评估职能整合归口到各综合管理部门。即：法律和声誉风险评估由办公室负责；资产和操作风险评估由会计、事后监督部门负责；信息技术风险评估由科技部门负责；效率风险评估和跨职能部门的重大决策风险评估由内审部门负责。

（二）加强风险评估队伍建设，开展内部控制自我评估

一是加强风险评估队伍建设。目前，要通过制定风险管理人才培养计划、加大教育培训力度、引进专业风险评估人才、建立风险评估人才库等手段，不断提升风险评估人员的整体素质。支持和鼓励风险评估人员参加中国银行业从业人员风险管理师资格考试，掌握风险评估理论、风险识别以及风险评估方法，提高实际风险评估综合工作能力。同时，风险评估人员应加强自我学习，包括中西方内部控制理论的学习，风险管理理论与实务、央行业务知识与技能，经典案例分析的培训，还可聘请学者专家来现场授课，了解国际、国内风险评估工作的先进方式、方法以及发展趋势，及时掌握金融形势和动态，学会运用数理统计方法和信息技术手段分析监测风险,不断增强风险识别、分析、监测的专业技能，力争成为复合型的风险评估人才。二是开展内部控制自我评估。控制自我评估（Control self-assessment，简称CSA）是国际内部审计师协会大力推荐的组织监督和评估内部控制的重要工具，它体现了内部控制系统评价的崭新观念，是内部控制系统评价方法的新突破。人民银行应顺应内部控制评价发展的新趋势，学习和借鉴CSA的合理方法，适时开展控制自我评估，使业务人员了解哪些控制环节存在缺陷和可能引起的风险，并主动予以改进。而不是在审计人员指出问题后被动采取措施，从而促进职能部门加强管理、改进业务流程和完善风险控制。并适时引入外部独立审计，可以弥补内部评价主体在独立性方面的缺陷，增强内部控制评价的约束力。

（三）严格计量和划分基层央行风险水平和等级，科学设定风险评估标准

一是风险水平计量。将基层央行面临的固有风险分类（如决策风险、信用风险、操作风险、管理风险、法律风险等），分别给予一定的权重，并结合组织的主要流程以计分的方式，评诂固有风险的大小。其次，评估各流程的控制水平。再次，将固有风险减去控制水平得到剩余风险，根据剩余风险分配审计资源，制定审计计划，确保对最关键的领域进行审计，对审计项目本身的投入产出比进行评估，力求每一项审计都能实实在在地发挥作用。

二是风险等级划分。基层央行对潜在的内部风险和外部风险，按发生频率、产生危害、波动范围等指标，分别评定风险等级，将风险级别按一定的序号或代码进行标注，以便对风险进行分类控制，便于在实现风险最小化的同时降低风险控制成本。基层央行进行风险分析时，应充分考虑外部和内部因素，可采用定性或定量的方法进行风险分析。风险等级应该在现有高、中、低三个等级的基础上进一步细分，可划分为高风险、较高风险、中风险、较低风险和低风险五个不同的风险等级。按照风险程度和风险级别分别赋予风险等级不同的分值，如高风险值为0.9，较高风险值为0.8，中风险值为0.7，较低风险值为0.6，低风险值为0.5[3]。

三是评估标准设定。不同地区、不同单位的岗位风险具体情况千差万别，要对其进行评价比较，就必须要有一个可以用来衡量的评估标准。具体分为正常、基本正常、关注、重点关注和风控失效五级标准。一级为“正常”：指被评估部门各项规章制度健全，在各个环节均能有效执行风险防范，能对所有风险进行主动有效识别和控制，无任何风险控制盲点，防范措施适宜，管理效果显著，但在执行中存在个别不规范行为。二级为“基本正常”：指被评估部门各项规章制度基本健全，在各个环节能够较好执行风险防范，能对风险进行识别和控制，防范措施基本适宜，管理效果较好，但在执行中出现少数不规范之处和少数一般性违规问题。三级为“关注”：指被评估部门各项规章制度基本健全，但缺乏系统性和连续性，在岗位风险防范措施执行方面缺乏一贯的合理性，存在风险隐患，管理效果一般，在执行中还存在有章不循、执行制度不到位的情况，出现了一些一般性违规问题。四级为“重点关注”：指被评估部门各项规章制度不够健全，重要部门、环节的风险防范措施没有真正落实，执行制度不严，管理机制较为混乱，业务开展安全性差，出现了严重的违规问题，存在较大的风险隐患。或被评估部门岗位风险防范制度存在严重缺失或岗位风险防范制度明显无效，存在明显的管理漏洞，管理失控，存在重大安全隐患。五级为“风控失效”：指被评估部门各项规章制度严重缺失，重要部门、环节的风险防范措施流于形式，执行制度松懈，管理机制混乱，业务开展安全性很差，风险控制失效，存在很大的风险隐患和明显的管理漏洞，发生了重大责任事故或案件。风险评估结论为“正常”的分值为90（含）~100分，“基本正常”的分值为80（含）~90分，“关注”的分值为70（含）~80分，“重点关注”的分值为60（含）~70分，“风控失效”的分值为60分以下。

（四）在COSO框架下对内部控制“五要素”进行分别评估并加权计算，构建基于内部控制框架下的中央银行风险评估模式

我们认为，中央银行的相关风险在现有的内部控制框架内是可以有效管理和控制的。中央银行的风险管理模式是在内部控制框架的风险管理，其主要特点是将风险管理内容嵌入内部控制的各个因素（环节），从这些要素（环节）入手，强调风险的识别、评估和积极应对，防范和控制风险。风险管理以内部控制目标为目标，是为内部控制服务的。本文直接对被评估对象的风险进行计量、划分和设定，也可以在COSO框架下对内部控制“五要素”进行分别评估并加权计算，并以此确定被评估对象的风险等级和风险评价结果。此方法主要是对内部控制环境、风险评估、控制活动、信息与沟通、监控等这五大类指标分层分级设定评价内容、评价标准、分值等。评估采用百分制，评估结果和五大类指标标准分均为100分，对五大类指标设定不同的权数，其中内部控制环境15%，风险评估20%，控制活动50%，信息与沟通5%，监控10%。其公式为：基层央行内部控制评价综合评估得分=内部控制环境得分×15%+风险评估得分×20%+控制活动得分×50%+信息与沟通得分×5%+监控得分×10%。然后，根据内部控制评价指标体系中的各项指标打分并加权计算后，依据内部控制评价综合得分确定被评估对象的内部控制评价和风险等级及风险评价结果（见表1）。

（五）建立风险评估预警机制和控制系统，强化风险评估组织实施和应对策略

1.建立基层央行风险评估预警机制。基层央行应建立健全岗位风险防范评估预警机制。预警机制包括预警人员、预警机构、职责和权限，以及应急处置方案。预警人员由评估组织在各部门聘请（部门内有事后监督人员的可由其兼任），预警人员要求素质高、责任心强、业务精通，负责发现部门内岗位风险，并向预警机构发出预警信息。预警机构应下设在评估组织内，可由评估组织人员兼任组成，负责在收到预警信息、收到发生重大责任事故或案件信息、收到“关注”标准以下（含关注标准）岗位风险评估结果时，启动应急预案，并组织实施。当发生重大岗位风险时，应急处置方案要明确预警机构、预警人员各自的职责和义务，以及应采取的措施。评估组织在组织开展日常岗位风险评估的同时，还应对突发性的岗位和岗位风险评估结果不理想的评估对象进行关联风险评估。

2．建立基层央行风险预警控制系统。基层央行风险控制系统应涵盖风险管理基本流程和内部控制各环节，包括信息的采集、加工、分析预警、测试、传递、披露等。系统的主要功能是：对各种风险能够计量和定量分析、测试。运用风险矩阵实时反映重大风险涉及的各管理及业务流程的监控状态；利用数据抓包等技术，对重大风险业务适时监测报警。满足风险信息相关知识的管理和共享。该系统应由风险管理部门和各风险涉及的管理及业务流程部门共同集成，并根据实际需要不断进行改进、完善和更新。

3．强化基层央行风险评估处置措施和应对策略。一是根据评估结果及评估报告所反映的情况，针对被评估单位或部门岗位风险防范中存在问题的性质及严重程度，可分别采取以下一项或多项管理措施。包括：约见被评估单位或部门第一负责人谈话；就评估对象岗位风险防范中存在问题可能引发的风险，向被评估单位或部门进行书面提示和警告；要求被评估单位或部门对岗位风险防范中存在的问题限期整改；加大现场检查力度及频率；建议调整管理层；建议调离有关人员。二是根据评级结果，建议对评定为“基本正常”和“正常”的部门，给予不同档次的奖励，并作为职务、职称、工资晋升以及评先评优的条件之一。三是根据评级结果，建议对评定为“关注”的部门给予一定处罚，并取消年终评先资格。四是被评估部门评估结果在“重点关注”及“风控失效”的，在执行前款处罚的同时，对部门负责人降级使用。五是对岗位风险防范评估中发现的严重违反行政法规的行为，追究行政法律责任；触犯法律的，根据有关规定，移交司法部门处理。

参考文献：

风险识别及评估篇（6）

1

目的

为建立风险和机遇的应对措施，明确包括风险应对措施风险规避、风险降低和风险接受在内的操作要求，建立全面的风险和机遇管理措施和内部控制的建设，增强抗风险能力，并为在质量环境管理体系中纳入和应用这些措施及评价这些措施的有效性提供操作指导。

2

范围

本程序适用于在公司质量环境管理体系活动中应对风险和机遇的方法及要求的控制提供操作依据。

3

职责

3.1总经理室：负责风险管理所需资源的提供，包括人员资格、必要的培训、信息获取等，负责公司的SWOT分析并确定公司的战略方向。

3.2品管部：负责建立风险和机遇应对控制程序，并进行维护。负责按本文件所要求的周期组织实施风险和机遇的评审，落实跟进风险和机遇评估中所采取措施的完成情况并跟进落实措施的有效性，并编写《风险和机遇评估分析报告》，负责本部门的风险评估及应对风险的策划和应对风险措施的执行和监督。

3.3各部门：负责本部门的风险和机遇评估，并制定相应的措施以规避或者降低风险并落实执行。

3.4营销部：负责收集产品售后的风险信息及本部门的风险识别，负责制定相应的措施以规避或者降低风险并落实执行。

3.5供应链管理部：负责识别来自供方的要求或期望，并识别其中的风险或机遇，负责制定相应的措施以规避或者降低风险并落实执行。

4

定义

4.1

风险：在一定环境下和一定限期内客观存在的、影响企业目标实现的各种不确定性事件。

4.2

机遇：对企业有正面影响的条件和事件,包括某些突发事件等。

4.3风险评估：在风险事件发生之前或之后（但还没有结束），该事件给各个方面造成的影响和损失的可能性进行量化评估的工作。即，风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。

4.4风险规避：风险规避是风险应对的一种方法，是指通过有计划的变更来消除风险或风险发生的条件，保护目标免受风险的影响。风险规避并不意味着完全消除风险，我们所要规避的是风险可能给我们造成的损失。一是要降低损失发生的机率，这主要是采取事先控制措施；二是要降低损失程度，这主要包括事先控制、事后补救两个方面。

4.5风险降低：通过采取措施以达到降低风险的效果。一般情况下，若采取的措施能够有效的降低所遭受的风险，应将采取措施的记录进行保留或者写入文件进行归档，以便后期重复发生时作为改善的依据。

4.6风险接受：是指企业承担风险造成的损失。风险接受一般适用于那些造成损失较小、重复性较高的风险、最适合于自留的风险事件。

4.7内部风险：企业内部形成的风险,例如战略决策风险、环境因素风险、财务风险、管理风险、经营风险、应急事件等。

4.8外部风险：由外部影响因素导致的风险，例如政策风险、市场需求风险和业务风险、相关方风险等。

4.9风险严重度：风险发生后其所产生的影响的严重程度。

4.10风险发生频度：风险出现的频率或者概率。

4.11风险系数：风险系数用于评定是否对已识别的风险采取措施，风险系数=风险严重度x风险发生频度。

4.12

SWOT：S

（strengths）是优势、W

（weaknesses）是劣势，O

（opportunities）是机会、T

（threats）是威胁。

5

程序

流

程

相关部门

使用表单

备

注

跟踪验证至结案

YES

内外部信息收集

记录保存

方案修订

NG

部门风险和机遇识别

风险和机遇管控

风险和机遇评估

部门风险和机遇识

部门现状评估

风险和机遇识别管控

董事会议召集

方案（经营规划）建立

合作洽谈需求收集

趋势判定

确定投资计划

方案评估

总经理室

总经理室

总经理室

总经理室

总经理室

董事会/总经理室

董事会/总经理室

总经理室/各部门/评估小组

各部门/评估小组

各部门/评估小组

各部门/评估小组

各部门/评估小组

品管部

风险和机遇评估表

风险和机遇评估表/FMEA

风险和机遇评估表

风险和机遇评估表

5.1风险和机遇管理策划

总经理室根据国际、国内、地区和本地的各种法律法规、技术、竞争对手、市场变动和价格、文化、社会和经济因素，企业的价值观、文化、知识和以往绩效、客户技术信息反馈等，确定本公

司企业目标和战略方向，识别出本公司投资计划要求，同时分析识别风险、消除风险、降低或减缓风险，充分利用可能的发展机遇，保证实现企业效益和管理体系预期结果，形成初步方案含经营规划等，同时上升至董事会讨论.

经公司董事会议讨论研究，最终确定公司战略目标方向及方案，明确与公司目标和战略方向相关的各种外部和内部因素，包括需要考虑的有利和不利因素或条件。

总经理室根据董事会会议决议结果，识别形成《风险和机遇评估表》，依照分析结果为重大风险或机遇的，需实施应对风险和机遇的措施，并形成《风险和机遇评估表》。

各部门依总经理室决议后确定的公司战略方向目标以及识别出的风险和机遇，同时结合本部门在生产和管理活动中存在的风险和机遇，建立识别和应对的方法，确认本部门存在的风险，并将评估的结果记录在《风险和机遇评估表》。

在风险和机遇的识别和应对过程中，责任部门应对可能存在风险的车间、生产过程和人员存在的风险进行逐一的筛选识别，风险识别过程中应识别包括但不限于以下方面的风险：

5.1.1总经理对公司环境与背景、投资计划方案等阶段进行分析，明确公司的内部环境与外部经营、环保政策环境，确定公司的正面环境与负面环境，并形成SWOT分析报告。

a

.在SWOT分析报告中，

SO方面，属于公司的机遇，利用公司的优势与机会，由总经理确定公司的“战略方向”。

b.在SWOT分析报告中，

WT方面，属于公司的风险，针对公司的劣势与威胁，识别出主要风险并采取应对风险和机遇的措施。

5.1.2相关方要求或期望中存在的风险或机遇。

a.

营销部识别来自顾客的要求或期望，识别出的顾客要求如果目前公司不能满足，则构成公司的风险，需要采取应对风险或机遇的措施。

b.

供应链管理部识别来自供方的要求或期望，并识别其中的风险或机遇，如果评估风险属于高风险或机遇，需要有应对风险或机遇的措施

c.

厂务部识别来自法规监管方的要求或期望，并识别其中的风险或机遇，如果评估风险属于高风险或机遇，需要有应对风险或机遇的措施。

d.研发部识别来自产品方面法律法规的要求，并识别其中的风险或机遇，如果评估风险属于高风险或机遇，需要有应对风险或机遇的措施。

5.1.3体系运行过程中存在的风险来源于以下几个方面

a.对产品适用的法律法规、客户要求的变更造成的风险；

b.生产作业过程中的安全风险；

c.设备、工装夹具、刀具对产品质量造成的风险；

d.产品售后的风险；

e.产品设计开发阶段的设计失效风险①；

f.过程失效的风险①；

g.重大环境因素未识别的风险；

h.关键设备故障的风险；

i.应急预案不完善的风险；

j.人力资源短缺的风险；

k.操作工无法准确理解作业指导书进行操作过程的风险和机遇管理；

l.订单突然增加的风险；

m.客户投诉增加的风险等。

注①：设计失效和过程失效可参考失效模式分析中DFMEA设计失效模式分析和PFMEA过程失效模式分析的方法对设计和生产过程存在的风险进行评估，若选用其结果应按要求得到控制。

5.2建立风险/机遇管理团队

5.2.1建立分风险和机遇评估小组

风险识别活动的开展应是一次团体的活动，各部门在进行风险识别和评估过程中应通过集思广益和有效的分析判断下进行，在此之前应建立一个“风险和机遇评估小组”，总经理室应通过授权，赋予该“风险和机遇评估小组”以下的职责：

a.

组织实施风险和机遇分析和评估；

b.

制定风险和机遇应对措施并落实执行；

c.

组织实施风险应对措施的实施效果验证。

在“风险和机遇评估小组”中，

总经理室应指派一名人员作为该小组的组长，负责规划和安排风险和机遇的识别和应对的控制，并赋予评估小组组长以下职责：

a.

熟悉其所在部门的所有流程；

b.

有一定的组织协调能力；

c.

熟悉本标准的要求，并依据本标准内容策划风险分析和评估。

5.3

各部门风险机遇策划及识别

评估小组组长依据总经理室最终确认的战略规划及目标，以及总经理室的《风险和机遇评估表》，组织策划识别各部门风险和机遇并编制《风险和机遇评估表》，指导操作风险识别和风险评估，及对风险的可接受性准则规定。

5.4风险评估

对已识别的风险的严重度和发生频度进行评价，其评价的要求应依据本程序所规定的评价准则进行评价确认，风险的严重度和发生频度的确认用以确定风险系数，之后根据风险系数确定对风险应采取的措施。

5.4.1风险的严重程度评价准则

风险严重度用于评价潜在风险可能造成的损害程度，根据对潜在风险的评估量化,若潜在风险发生后，其会导致的各方面的影响以及危害程度，以下包括但不限于风险产生后会导致的危害：

a.法律法规、产品及客户要求；

b.风险发生时导致的环保影响；

c.损失的多少;

d.是否会导致停工/停产；

注：在对风险进行严重程度判定时，推荐扩大分析风险所带来的危害层面，以便于更有效的对潜在的风险采取措施，以达到减少或部分消除风险乃至完全消除的目的。

为便于识别风险所带来的危害程度，对风险的严重程度进行区分，风险严重度分为以下五类：

a.

非常严重

b.严重

c.

较严重

d.

一般

e.

轻微

下表为依据定义的风险影响和影响程度的多少进行量化，在对风险的严重程度进行评价时，下表作为评价风险严重度的准则：

严重程度

描述

严重

等级

质量

质量环境

环境

顾客方面

影响后续过程

成本损失

（万元）

法规监管层面

污染排放方面

非常严重

顾客停止与我司合作

本过程无法工作

损失≥10

停业整顿

临近江河湖泊流域性

5

严重

顾客停线

本过程全部离线返工

10＜损失≥5

行政罚款

本行政区域内

4

较严重

顾客退货

本过程局部返离线工

5＜损失≥0.5

有条件运行

本工业区区域

3

一般

顾客投诉

下过程全部在线返工

损失＜0.5

书面改善

本工厂内

2

轻微

顾客情报反馈

下过程部分在线返工

无损失

口头问题

不影响

1

严重度判定过程中，当多个因素的判定其严重程度不一致时，应遵循从严原则进行判定，即当多个因素中仅其中一个或部分因素其严重度级别更高时，依据严重级别高的因素作为风险严重度进行判定。根据上表内容确定风险的严重度后，将严重等级数字填入《风险和机遇评估表》中。

5.4.2风险的发生频率评价准则

风险的发生频率是指潜在风险出现的频率，为便于识别和定义，将风险频度定义为5级，如下所示：

a.

极少发生；

b.

很少发生；

c.

偶尔发生;

d.

有时发生；

e.

经常发生；

通过对上述的不确定因素进行评价风险发生的频度，风险的发生频率的评价以其可能发生的频率进行量化确认作为风险的发生频率的评价准则：

发生频度

定义

等级

极少发生

发生概率≤0.001%

1

很少发生

0.001%＜发生概率≤0.1%

2

偶尔发生

0.1%＜发生概率≤1%

3

有时发生

1%＜发生概率≤10%

4

经常发生

发生概率≥10%

5

发生频度判定过程中，当一个或多个因素在判定过程中其发生频度不一致时，应遵循从严原则进行判定，即当多个因素中仅其中一个或部分因素其发生较为频繁时，依据发生频率较高的因素作为风险发生度进行判定。根据上表内容确定风险的严重度后，将严重等级数字填入《风险和机遇评估表》中。

5.4.3风险的可接受准则

风险可接受准则是通过计算得出的风险系数来判定风险是否可接受，通过对风险的严重度和风险的发生频率评价后，通过计算风险系数确定是否对风险采取措施。风险系数的计算如下公式：

风险系数=风险严重度等级*风险频度等级

使用风险系数作为参考值，下表为风险风险系数的范围及当风险系数达到一定值时应对风险采取的措施：

风险

系数

风险等级及应采取的措施

风险等级

风险措施

15-25

高风险

应立即采取措施规避或降低风险

5-15

一般风险

需采取措施降低风险

1-5

低风险

风险较低

,接受风险

在进行风险分析和风险应对过程中，应保持风险措施的方案和实施结果的跟进记录，风险分析和风险应对措施的详细内容应记录在《风险和机遇评估分析表》中，记录的保持依据《记录控制程序》文件执行，便于后续的查阅和跟进。

5.4风险应对

各实施部门应对所识别的风险进行评估，根据评估的结果对风险采取措施，从而达到降低或消除风险的目的，风险的应对方式应根据实际情况进行筛选，当潜在的风险可有效的采取规避措施进行规避风险时，应制定风险规避方案，确认风险规避措施并予以执行，直至部分消除或完全消除风险。制定风险应对的额措施时必须将相关措施贯彻到公司日常运行程序中，且部门的管理活动不应与公司层面如SWOT

分析活动对应的措施冲突。

对风险所采取的措施应考虑尽可能的消除风险，在无法消除或暂无有效的方法或者采取消除风险的方法的成本高出风险存在时造成损失时，再选择采取降低风险或者风险接受的风险应对方法。

5.5.风险和机遇评审的策划

风险和机遇评审应每年度至少实施一次评审，以验证其有效性。当出现以下情况是，应当适当

增加风险和风险评审的次数：

a.

与质量环境管理体系有关的法律、法规、标准及其他要求有变化时；

b.

组织机构、产品范围、资源配置发生重大调整时；

c.

发生重大品质事故或相关方投诉连续发生时；

d.

第三方认证审核前或其他认为有管理评审需要时；

e.

其他情况需要时。

6

引用文件：

6.1《记录控制程序》--------------------

SST-QEP-02

7

风险识别及评估篇（7）

中图分类号：TP311 文献标识码：A 文章编号：1007-9599 (2011) 22-0000-01

Research and Design of Power Information Network Risk Assessment Auxiliary System

Yang Dawei1,2,Liu Yu2

(1.School of Control and Computer Engineering North China Electric Power University,Baoding 071003,China;2.Panjin Power Supply Company,Panjin 124000,China)

Abstract:This paper designed a multi-expert assessment system,which runs in strict accordance with the"Guide"to assess the risk assessment process,making assessment results more comprehensive and objective.

Keywords:Information Security;Risk Assessment;Risk Analysis

一、前言

电力系统越来越依赖电力信息网络来保障其安全、可靠、高效的运行，该数据信息网络出现的任何信息安全方面的问题都可能波及电力系统的安全、稳定、经济运行，因此电力信息网络的安全保障工作刻不容缓[1，2]。风险评估具体的评估方法从早期简单的纯技术操作，逐渐过渡到目前普遍采用BS7799、OCTAVE、ISO13335、NIST SP800-30等相关标准的方法，充分体现以资产为出发点，以威胁为触发，以技术、管理、运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型[3]。

二、信息安全风险评估

在我国，风险评估工作已经完成了调查研究阶段、标准草案编制阶段和全国试点工作阶段，国信办制定的标准草案《信息安全风险评估指南》[4]（简称《指南》）得到了较好地实践。本文设计的工具是基于《指南》的，涉及内容包括：

（一）风险要素关系。围绕着资产、威胁、脆弱性和安全措施这些基本要素展开，在对基本要素的评估过程中，需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与基本要素相关的各类属性。

（二）风险分析原理。资产的属性是资产价值；威胁的属性可以是威胁主体、影响对象、出现频率、动机等；脆弱性的属性是资产弱点的严重程度。

（三）风险评估流程。包括风险评估准备、资产识别、威胁识别、脆弱性识别、已有安全措施确认、风险分析、风险消减[5]。

三、电力信息网风险评估辅助系统设计与实现

本文设计的信息安全风险评估辅助系统是基于《指南》的标准，设计阶段参考了Nipc-RiskAssessTool-V2.0，Microsoft Security Risk Self-Assessment Tool等风险评估工具。系统采用C/S结构，是一个多专家共同评估的风险评估工具。分为知识库管理端、信息库管理端、系统评估端、评估管理端。其中前两个工具用于更新知识库和信息库。后两个工具是风险评估的主体。下面对系统各部分的功能模块进行详细介绍：

（一）评估管理端。评估管理端控制风险评估的进度，综合管理系统评估端的评估结果。具体表现在：开启评估任务；分配风险评估专家；对准备阶段、资产识别阶段、威胁识别阶段、脆弱性识别阶段、已有控制措施识别阶段、风险分析阶段、选择控制措施阶段这七个阶段多个专家的评估进行确认，对多个专家的评估数据进行综合，得到综合评估结果。

（二）系统评估端。系统评估端由多个专家操作，同时开展评估。系统评估端要经历如下阶段：a.准备阶段：评估系统中CIA的相对重要性；b.资产识别阶段；c.威胁识别阶段；d.脆弱性识别阶段；e.已有控制措施识别阶段；f.风险分析阶段；g.控制措施选择阶段。在完成了风险评估的所有阶段之后，和评估管理端一样，可以浏览、导出、打印评估的结果―风险评估报表系列。

（三）信息库管理端。信息库管理端由资产管理，威胁管理，脆弱点管理，控制措施管理四部分组成。具体功能是：对资产大类、小类进行管理；对威胁列表进行管理；对脆弱点大类、列表进行管理；对控制措施列表进行管理。

（四）知识库管理端。知识库的管理分为系统CIA问卷管理，脆弱点问卷管理，威胁问卷管理，资产属性问卷管理，控制措施问卷管理，控制措施损益问卷管理六部分。

四、总结

信息安全风险评估是一个新兴的领域，本文在介绍了信息安全风险评估研究意义的基础之上，详细阐述了信息安全风险评估辅助工具的结构设计和系统主要部分的功能描述。测试结果表明系统能对已有的控制措施进行识别，分析出已有控制措施的实施效果，为风险处理计划提供依据。

参考文献：

[1]Huisheng Gao,Yiqun Sun，Research on Indices System of Security Risk Evaluation for Electric Power.Optical Fiber Communication Network,IEEE,2007.

[2]Masami Hasegawa,Toshiki Ogawa,Security Measures for the Manufacture and Control System,SICE Annual Conference 2007.

风险识别及评估篇（8）

在日益激烈的市场竞争中，企业的生产经营过程面临着各种各样的风险，因对风险认识不足、控制不当不断导致一些企业陷入困境甚至倒闭。如何识别、度量和应对风险就成为企业最难解决的问题。企业要识别出其所面临的风险，就必须进行风险评估。

以股票市场为主体的多层次资本市场体系，经过20多年的发展，已成为我国经济发展的重要动力。随着股票市场的发展，上市公司数量不断增加，目前已达到2 500多家，其在经济中的领导地位也不容忽视。股票市场是高风险市场，为了加强上市公司的风险防范意识，规范上市公司的经营管理活动，2008年以来财政部等五部委联合了《企业内部控制基本规范》及其配套指引，作为上市公司建立内部控制体系的指导性文件框架。我国的内部控制体系是以风险评估为核心导向，其中包含风险识别、风险评估、风险防范和风险控制，并且风险评估是整个内控体系的关键。上市公司实施内部控制首先面临的问题就是风险评估，这也是上市公司实施内部控制工作的切入点和起点。

风险评估是上市公司对筛选出的主要风险组织公司的管理层、各职能部门负责人以及业务骨干进行风险识别、系统分析，确定相应的风险应对策略；也是上市公司实施内部控制工作、构建内部控制体系的关键和基础。这就要求上市公司在进行内部控制的风险评估时，既要识别、分析和关注阻碍实现内部控制目标的风险（纯粹风险），更要善于发现对实现内部控制目标具有促进作用的风险（机会风险），结合公司经营管理状况科学分析风险、制定切合公司经营管理实际的风险应对策略，达到分散、弱化以至化解风险的目标，实现上市公司整体价值的提升。

由于风险的不确定性以及风险评估过程复杂且不易操作，风险评估就成为上市公司内部控制实施成功与否的关键，如何进行风险评估就成为一个难点。本文结合上市公司实施内部控制的实践，对风险评估操作过程中的难点进行探讨，以期对上市公司的风险评估工作提供参考。

二、上市公司内部控制风险评估的操作解析

在实施、建立内部控制体系的工作实践中，上市公司的风险评估应重点围绕公司经营管理的主要环节进行，通常应将销售、采购、生产和财务等经营管理活动的主要环节作为开展风险评估工作的重点和总纲，在重点和总纲的统领下，抓住各个环节的关键控制点，即实施内部控制工作过程中的风险点。尤为重要的是，在初始风险评估时，对风险环节和关键控制点的把握宜粗不宜细。若开始时对风险环节和关键控制点要求的过细、过于完美，风险评估工作可能会陷于繁琐细微的事务性工作而难以进行下去，甚至导致上市公司风险评估工作的整体失败。因此，进行风险评估时，首先需要建立上市公司内部控制风险评估工作的总体框架，确立风险评估工作的整体思路；其次，充实和完善风险评估内容：一方面结合内部控制工作的深入不断补充、丰富，另一方面应随着上市公司业务发展和外部环境的变化定期、持续改进、完善，为实施内部控制、构建内部控制体系工作创造有利的条件。

由于上市公司所处行业不同、发展阶段及经营环境的差异，加之风险不易识别、量化，所以上市公司在进行内部控制风险评估时应特别注意与本公司经营管理活动的有机结合，切忌为了风险评估而进行评估的形式主义。具体进行风险评估时，主要从以下方面来进行：

（一）设定风险评估和风险控制目标的难点

进行风险评估前，上市公司应先设定风险评估和风险控制的目标，这是进行风险评估的必备条件，也是风险评估的标准。只有明确了风险评估和风险控制目标，才能有针对性、有标准的搜集、整理和取舍相关的风险信息和数据，才能对已显现的和潜在的风险进行识别、筛选、整理和归纳。

风险评估和风险控制的目标设定，主要根据证监会的监管要求来进行。依据《企业内部控制基本规范》及配套指引的要求，设定风险评估目标通常从公司经营战略、经营目标、报告目标、资产安全目标和经营合规目标等方面来考虑。首先，经营战略比较宏观，在风险评估中不宜定性操作和定量把握。由于大多数员工只是把经营战略作为公司发展的美好愿景和长远奋斗目标，只有公司的高层管理核心人员对其有比较深入的理解和领悟，因此，上市公司的经营战略在风险评估目标中所占比例通常不能太大。其次，经营目标和报告目标是公司日常经营管理活动的指导，最容易被公司经营管理层和广大员工理解和感知，也比较具体且易于量化和识别，因此，风险评估目标和风险控制目标多从这两方面来考虑和提炼。最后，上市公司只要依法经营，按照规章制度和流程去运作和管理，即可保证经营合规目标和资产安全目标的实现，因而对上市公司风险评估和控制目标的设定，就转化为对公司规章制度和运作流程风险控制目标和风险评估目标的设定，实务中更易把握和操作。

（二）收集风险信息的难点和途径

风险信息收集的主要是与上市公司相关的内外部风险信息。风险信息收集的质量关系到整个风险评估的结果。

从收集影响公司经营环境信息的实践来看，上市公司通常对这方面的信息比较困惑：一方面是公司经营外部环境信息的涵盖范围比较广，不易确定应由哪些部门牵头组织和具体实施，并且各部门在收集信息过程中很难把握相关信息对公司经营管理有无影响及影响大小，结果导致收集信息时无所适从，最终难以确定应该收集哪些信息。另一方面，由于日常经营活动多限于具体的事务性工作，上市公司很难准确把握和获得与经营管理活动相匹配的外部环境信息。在收集风险信息时，上市公司应注重外部经营环境与实际经营管理工作的结合、与内部控制关键点和风险点的结合，并在这些交集中寻找切入点和信息点。

上市公司收集影响经营的内部环境信息时，应主要考虑经营战略、经营目标、报告目标、资产安全目标和经营合规目标，并结合各部门的工作职责、制度和工作流程、业务流程，立足于日常的经营管理工作，考虑可能影响经营管理目标实现的内部信息和条件，来收集相关的内部风险信息。

（三）识别经营风险

风险识别是风险评估的重要环节，识别风险更多的是凭借识别者的判断能力、经验积累和识别方法。风险识别是把收集到的风险信息通过对公司高层管理人员、中层管理骨干和基层业务骨干的问卷调查、测试、访谈等方式，经过比较、归类、提炼、组合等方法，并充分考虑国家各部委对内部控制风险评估的具体要求来进行的。风险有多种表现形式，经营风险是风险识别的重点，主要包括核心风险、业务风险和工作风险。

核心风险的识别，主要应从公司的经营目标出发，围绕战略核心，从公司整体及其职能部门层面、经营管理现状层面等方面进行综合考虑，主要通过对公司高层管理人员的问卷调查、访谈等方式，整理出公司的核心风险，这是上市公司高层管理者最关注的风险。

业务风险的识别，主要应从销售、采购、生产、财务等主要业务环节的风险入手，通过对制度、流程的穿行测试及中层管理骨干和基层业务骨干的问卷调查、测试，识别出最主要的业务风险环节和关键控制点，然后再通过穿行测试来检验主要风险环节和关键控制点的收集和查找是否全面，并对测试过程中发现疏漏的风险点和控制点予以补充和完善。

工作风险的识别，主要是通过适用性测试来进行，在适用性测试过程中，识别出主要的风险环节和关键控制点，并予以补充和完善。

从上市公司识别经营风险的实践来看，主板上市公司至少应梳理出100种以上的风险，才可能比较全面的涵盖上市公司面临的风险。

（四）进行风险评估

风险评估是对上市公司经营管理活动中可能存在的各种风险进行分析和估量，其结果关系到风险应对策略的制定。由于风险的错综复杂，要比较客观和全面地反映和衡量上市公司的整体风险，需将各种风险评估方法综合使用。

具体来讲，风险评估主要通过多次循环问卷调查的形式开展，并且应经过至少两轮多次的循环验证，同时要求时间间隔在两周以上，最终使管理层对风险的认知和理解逐步趋于一致。在风险评估过程中，上市公司应根据自身的经营特点，考虑公司所处的发展阶段，采用定性与定量相结合的方法构建其风险评估体系。

1.确定风险评估的范围及参与主体

由于风险存在于上市公司经营管理活动的各个环节，因而，上市公司风险评估应涵盖其主要的生产经营管理活动，各主要职能部门和业务部门就成为参与主体，上市公司高层管理人员、职能部门负责人、主要业务部门负责人和业务骨干人员是主要参与者。

2.确定风险评估的评分标准

风险评估的评分标准是风险评估过程中定性与定量方法衔接的纽带和桥梁，也是风险评估的难点和重点。实务中，风险评估指标体系应结合上市公司的实际情况来设定。具体来讲，主要应结合公司的发展阶段、业务特点、风险发生频率及对公司经营管理活动的影响程度等来确定。

通常，把风险发生的可能性和影响程度划分为5个等级。表1和表2分别从定性、定量两方面描述了风险发生的可能性及影响程度，并把风险的定性标准定量化，从而实现了定性标准与定量标准的衔接和转换。从表中可以看出，风险的影响程度随着风险发生概率的逐级加大也越来越严重。

3.调查问卷的设计

问卷调查是比较常用和有效的风险评估方法之一。科学、合理的问卷设计关系到风险评估的准确度，调查问卷设计一般从风险发生的可能性和风险影响程度两个维度去考虑和设计，一般需要设计200―500个风险事项，力求全面客观地反映上市公司当前面临的主要风险。

4.问卷调查数据的整理

问卷调查结束后，需要对问卷调查的结果进行分类、汇总及处理。理论上，风险评估至少应进行两次问卷调查，要求参与问卷调查的人员基本不变，并且两次问卷调查的时间间隔至少在两周以上，然后再测算两次问卷调查统计结果的离散度。若离散度较低（通常以标准差小于1来认定），则取两次调查问卷的平均值作为问卷调查结果；若离散度较高（通常以标准差大于等于1来认定）时，则公司管理层应组织参与风险评估的人员进行探讨、沟通与交流，努力使大家对风险的认识趋于一致，然后再进行第三次问卷调查，并将这次问卷调查结果作为最终问卷调查结果。

需要注意的是，实务中，在统计问卷时，需将调查问卷分成高层领导、中层干部和基层骨干三个小组，分别进行统计汇总取各组的平均值。对于公司战略层面等较为宏观的风险，运用三组平均值时适当加大高层领导小组数据的权重；对于管理职能类、重要业务类风险，运用三组平均值时适当加大中层干部小组数据的权重；对于具体业务、操作类风险，运用三组平均值时适当加大基层骨干小组数据的权重。权重的调整幅度需要通过开会沟通、讨论，由参与风险评估的主要人员共同做出决定。

5.绘制风险地图

为了比较直观地反映风险分类，根据数据统计汇总调整结果，从风险发生的可能性及影响程度两个维度绘制风险地图，如图1所示。处于黑色区域的为重大风险，处在白色区域的为重要风险，处在灰色区域的为一般风险。通过图1，可以直观地识别出重大风险、重要风险和一般风险。需要注意的是，风险的认定就高不就低，即处在重大风险和重要风险临界点上的风险，划为重大风险，处在重要风险和一般风险临界点上的风险，划为重要风险，充分体现风险评估中风险就高不就低的原则和理念。

风险识别及评估篇（9）

对事件的识别可以帮助企业管理者熟悉影响业务活动的各种因素，但事件识别无法清楚了解这些事件蕴含着怎样的风险。因此企业管理者在了解事件的同时，更应分析这些复杂的事件蕴含了哪些“风险”，即风险识别。企业会计信息风险识别可以将不确定的事件转化为清晰的风险陈述，在事件识别和风险评估之间起到桥梁的作用。

2.会计信息风险识别的内容企业会计信息风险识别可以分为三个方面：

(1)利用风险检查表来系统地识别风险；

(2)对已知风险进行交流。采用口头或书面的方式，在企业会议上针对已知风险进行交流；

(3)将已知的风险编写成文档,可以方便以后查阅。文档内容从风险陈述和相关风险的背景两个方面来写，风险背景中要包括风险发生的时间、地点、原因和后果。

3.会计信息风险识别的方法

企业会计信息识别风险的方法有很多，财会人员可以通过分析公司历年的财务报表，加强与部门经理的讨论沟通，多进行员工调查，或咨询保险人和风险管理咨询顾问等方式，以此识别各种潜在风险。财会管理者在运用各种风险识别方法时，首先要全面了解部门、企业以及影响企业的经济、法律和法规等“事件”。有效识别面临风险的各项财产以及造成潜在损失的原因，考虑对这些财产进行计量的方法。综合各种计量属性的优缺点，选择合理的估价方法。

二、企业会计信息风险管理分析

1.会计信息风险评估

企业会计信息风险评估即对会计信息及信息处理设施可能发生的威胁和影响的评估。企业财会部门利用风险评估可以有效考虑潜在风险对会计目标达成的影响，以确定会计信息风险控制的优先级，实现对潜在风险的有效控制，将风险降低到最小范围。风险评估时管理者首先应考虑到企业资产及其价值的潜在威胁，研究风险发生的可能性和薄弱点，建立完善的风险评估流程。风险评估方法分为定性和定量两种，对于不能量化的或不能进行定量评价，实践中没有实用性的风险采用定性的评估方法。定性分析方法侧重于关注事件带来的损失，而很少关注事件发生的频率，主要是通过事件面临的威胁和脆弱点来确定事件的风险等级，评估中也没有具体的数据，以期望值来设定风险的影响值和概率值。当单纯的期望值不能区分风险值间的差别时，就需用定量评估法。定量评估主要是利用威胁事件发生的概率和可能造成的损失这两个因素，这两个因素相乘的结果称为ALE。通过ALE可以计算出风险等级，以对此做出相应决策。不同规模的企业风险评估工具的选择不同，比较小的企业财会部门的风险管理决策主要来自经验判断，对于规模较大的企业一般通过数据收集、处理分析来进行风险评估。常用的风险评估工具有使用历史数据法、使用回归分析方法和使用正态分布模拟损失分布等。

2.会计信息风险应对

在企业会计信息风险应对中，首先应以风险评估的结果为依据，判断威胁事件的薄弱点，选择合理的手段和正确的保护措施。其次，也应该考虑到费用问题，确保应对措施的费用在财会部门预算范围之内。根据应对措施的费用和部门的实际预算选择合理的方式，达到降低风险的目的。常见的风险应对方法有规避风险、减轻风险、承担风险和接受风险等。风险的发生是随机和不确定的，因此风险应对也是一个动态的过程，财会部门应使用动态的方法应对风险，及时更新风险管理体系。

3.会计信息风险监控

企业会计信息风险监控是财务信息风险管理的重要组成部分，可以通过持续监控和单独评价两种方式实现。在企业财务部门的日常业务活动中实行持续监控，依靠风险评估和持续监控的有效性进行单独评价。持续监控是财务部门对日常工作和业务活动的动态监控，财会部门在工作中如发现风险管理的缺陷应立即向上级汇报，以采取相应措施弥补。通过日常的监控可以及时发现会计信息管理中的各种问题，以规避风险。在风险事件发生后进行个别评估，探讨财会部门风险管理的有效性，重视对事件缺陷的挖掘与汇报，建立可靠的沟通渠道，及时汇报一些敏感或非法的信息。

风险识别及评估篇（10）

二、风险管理理论

所谓风险是指未来结果的不确定性，这种未来的结果包括收益，当然也包括损失。正是由于未来的收益或损失的发生很难确定，所以就产生了对风险进行管理的理论即风险管理理论。风险管理是研究风险发生的规律和风险控制技术的管理学科，人们通过风险识别、风险估测和风险评价。并在此基础上优化各种风险管理技术，对风险实施有效的控制和妥善处理风险所致损失的后果。期望达到以最少的成本获得最大安全保障的目标。

风险管理的基本程序包括风险识别、风险估测、风险控制和风险管理的评价。风险管理的过程其实就是为了降低未来结果发生的不确定性。

三、资产评估机构风险管理系统的构建

根据风险管理理论，构建资产评估风险管理系统主要包括五大功能模块：资产评估风险识别模块、资产评估风险估测模块、资产评估风险评价模块、资产评估风险控制模块和资产评估风险管理评价模块。

（一）资产评估风险识别模块

风险识别是确定哪些因素会给资产评估结果带来风险。资产评估风险类型大致分为业务承接风险、评估操作风险、撰写评估报告风险。

1.资产评估机构承接资产评估业务的风险主要来自信息不对称的风险。在承接资产评估业务时，有的评估机构不惜以降低服务费标准、满足客户的不合理要求等来争取业务，对于客户的基本情况、相关的权证、涉及到的法律条款以及自身是否胜任该项评估业务等都没有作充分的考查。这些因素都为资产评估业务风险埋下了隐患。

2.评估操作风险主要是资产评估人员在具体的评估过程中与职业道德和专业水平相关的风险。职业道德风险主要表现在以下几个方面：执业不规范，不遵循客观公正的原则，不遵循合理的评估程序，在评估过程中人为操纵评估结果；专业技术风险主要表现在资产评估人员缺乏专业胜任能力。例如在评估过程中无法正确分辨委托方提交材料真伪，选择合适的评估方法和参数的能力等。评估操作风险将直接带来评估业务的风险。

3.撰写评估报告风险是指由于报告撰写不规范导致的使用者误用评估结果的风险。资产评估结果的使用者是通过资产评估报告来了解和使用评估结果的，因此，资产评估报告的撰写质量是评估结果使用者正确使用的前提条件。有些评估机构在撰写评估报告时缺乏必要的评估结果的假设、依据及相关事项的说明，评估报告不规范所带来的风险是资产评估机构最容易被查证的风险。

（二）资产评估风险估测和评价模块

资产评估风险估测和评价模块主要是在资产评估风险识别的基础上，对风险进行量化，预测和评估风险大小，为风险控制提供依据。

资产评估业务涉及到的资产类型众多，市场条件复杂，以上特点决定了资产评估业务的复杂性，资产评估风险影响因素众多，因此，资产评估风险的度量需要明确资产评估风险的特点，选择合适的技术和方法。

对于资产评估风险的度量主要体现在承接评估业务和资产评估业务操作过程中。资产评估机构的胜任能力涉及到众多因素：资质、规模、人员素质等，这些因素很难简单的量化处理。资产评估的价值是在特定时点、特定市场条件下的价值。特定的市场条件决定了评估人员在模拟市场的过程中，不仅仅要依赖客观的历史数据，还必须对未来的市场条件、资产状况等作出预测。在预测的过程中，价值类型的选择、评估方法的选择以及参数的确定方法都需要依据评估人员的专业技能、经验和职业道德水平，而对于这些影响因素要准确量化，难度非常高。

从以上分析可以看出，资产评估风险预测和评价是一个多因素综合分析的过程，其影响因素多且难以简单地进行定量处理。例如，对于评估机构胜任能力的各影响因素的描述，一般采用描述性的语言进行判断。鉴于资产评估风险的以上特点，很难去假定其所服从的概率分布。模糊综合评价是一种处理没有明显数量界限问题的有力工具，可以采用模糊综合评价法对风险进行量化处理。

（三）资产评估风险控制模块

资产评估业务是一项系统工程，对资产评估风险的控制应该贯穿于整个资产评估项目阶段。

1.在评估业务承接阶段，正式签约之前，评估机构要对客户及要评估的资产进行充分的了解和审查：关注资产业务性质；自身胜任能力的判断；了解委托方的基本情况，如委托方的信誉；重点审查有关资产的权证情况；明确双方责任等。力求在评估业务承接阶段为后续工作打下良好基础。

2.在评估操作阶段，要注意对评估人员职业道德和业务能力的风险控制。首先，要确保信息的搜集和来源按照科学的方法和程序进行，对信息的信度和效度进行度量和控制；其次。要慎重选择评估假设，科学把握资产交易的市场条件和资产的使用状况；再次，选择合适的方法，充分考虑资产的状况、数据占有情况和各种评估方法的适用条件。

3.在报告撰写阶段，评估人员应当按照资产评估报告的标准格式将评估基准目、评估假设、价值类型、评估内容、评估依据、评估方法和评估结果等重要内容都写入评估报告，评估人员一定要确保将评估假设、评估依据以及必要的说明阐述清楚，规避风险。

（四）资产评估风险管理评价模块