(一)风险导向审计与金融机构洗钱风险评估的异同。具体运用中,两者均采用抽样评价方法,取证手段相同(如询问、查阅、检查等方式),评估流程类同。财务报表审计流程大致分三个阶段,即承接业务阶段的内外部风险评估,主要分析被审计单位高管层压力、机会和借口等因素所引发的舞弊或错报风险;风险初步评估阶段,了解评价被审计单位环境、内控制度情况;进一步审计程序阶段,控制测试和实质性测试(对被审计单位各类交易、账户余额和披露的细节测试以及实质性分析程序)。后续审计程序根据前阶段的风险评估结果确定,当后续审计程序获取的审计证据与初始评估获取的审计证据相矛盾时,可以修正风险评估结果,并相应修改原计划实施的进一步审计程序。审计风险评估的目的是根据风险,确定进一步审计程序的性质、范围和时间安排,其目的在于内控风险较高时,更多的控制测试和实质性测试能推断被审计单位的错报或舞弊行为,继而获取被审计单位错报或舞弊对财务报表的影响程度。洗钱风险评估与此类似,一是了解金融机构固有风险阶段,与承接审计业务阶段内外部风险评估相似,需了解金融机构所面临的宏观经济状况,所在行业的洗钱风险及经营状况对洗钱风险的影响。二是初步评估阶段,与审计风险初步评估阶段相似,对金融机构反洗钱工作的环境、内控制度执行情况进行评估。三是深入评估阶段,与进一步审计程序阶段相似,对金融机构的反洗钱内控制度有效性和可疑交易分析报告工作的及时性和有效性进行分析评价。洗钱风险评估过程中,可以在了解金融机构固有风险的基础上,确定初步评估的范围,指导深入评估的时间、范围和方法,包括对金融机构进行一次初步评估和一次深入评估,也包括根据评估结果,采取现场检查、约见谈话、现场走访等后续监管措施。不同之处在于:一是业务性质不同。风险导向审计是对财务报表不存在由于错误或舞弊导致的重大错报获得合理保证;金融机构洗钱风险评估是对金融机构洗钱风险的高低作出评价。二是评价内容不同。前者是对被审计单位的外部环境、内部环境、内控制度,特别是对会计报表及账务处理的准确性及真实性进行评价,具有经济评价性质,较为复杂;后者是对被评估单位反洗钱相关的环境、内控制度及可疑交易分析能力进行评价,具有单一性风险评价性质,较为简单。三是法律责任不同。审计主体对审计报告具有强制性报告义务,并对出具的审计报告承担法律责任;洗钱风险评估是对风险进行判断,不具有强制性报告义务,较少承担法律责任。四是委托责任不同。前者是会计师事务所接受有关信息使用者的委托,对被审计单位进行审计,信息使用者包括政府、股东及投资者等相关人员;后者主要是评估主体接受政府部门委托,根据最新风险状况对被评估机构洗钱风险进行评估。
(二)风险导向审计对洗钱风险评估的借鉴意义。风险导向审计理念成熟的理论和规则对新型的洗钱风险评估具有一定的参考意义,主要表现在:一是评估理念。实施审计的范围包括被审计单位内外经济、政治、法律环境、内部控制制度及经营状况,体现出评估对象在极为复杂的情况下,仍讲究审计的成本与效益。洗钱风险评估作为近年来推出的一种监管方法,强调合理配置监管成本,通过借鉴审计规则,才能将风险为本的评估理念落到实处。二是评价体系。审计风险评价体系采用类似于矩阵的评价方法评价,其基础是被审计单位的风险不能通过细化风险点进行简单汇总,理由在于风险之间存在交叉影响。金融机构洗钱风险评估是对金融机构反洗钱内控制度及控制措施进行评价,各风险控制点对整体风险的影响与审计实务基本相同,借鉴审计评价方法,能较好反映金融机构被利用洗钱的风险。三是评估方法。开展审计时,具体审计目的不同,取证手段也不同,各具优势,金融机构洗钱风险评估的方法处于摸索阶段,通过借鉴,能优化评价效能。
二、审计风险评价体系对洗钱风险评价体系的借鉴
层次分析法(AnalyticHierarchyProcess,AHP)是美国运筹学家T、L、Saaty于20世纪70年代初提出的一种决策分析方法,基本原理是:把一个复杂的决策问题视为一个系统,按总目标、子目标、评价因素的顺序进行逐步分解,构建层次结构,然后通过模糊量化确定各元素对于上层指标的重要性,以此递推到总目标层,从而为最终的决策问题提供较为科学的定量依据。洗钱风险评估方法之一为层次分析评价方法,通过采用分级细化、确定指标分值权重、逐级加减汇总的方式,确定总体水平。如澳大利亚评估洗钱风险主要考虑两个因素,一是机构被用于洗钱和恐怖融资活动的可能性(剩余风险),若机构的内在风险(自身提供的产品、服务、销售渠道、面对的客户群体导致的内在风险)较高,但其各项内控政策措施足以有效管理风险的话,则剩余风险不大;如果被评机构属于公共机构,则被用于洗钱的影响就比较大,其内控风险模块和内在风险模块的风险值根据各自重要性加总,前者减后者得出剩余风险值。我国试行的金融机构反洗钱风险评估标准中,将风险指标划分为环境、产品/客户、控制、沟通和调整五类一级指标,通过对各类指标中的标准评价得分汇总得出整体风险,优点在于,整体风险或工作情况受多个控制点、事项或交易的影响,各指标的汇总得分情况能较好反映整体水平,其在工作绩效考核运用中的优势尤其明显。
审计风险值的确定方法与上不同,是在确定各类风险值(或风险高低)的基础上,对各类风险值进行数值乘算(或选用“高”、“中”、“低”等文字的定性描述),并通过矩阵表的方式计算确定风险,本文将此方法描述为矩阵评价方法。审计风险值具体确定方法为,审计风险=重大错报风险×检查风险(实务中,注册会计师不一定用绝对数量表示风险水平,还可以选用“高”、“中”、“低”等文字描述,即审计风险值可通过数值乘算,也可以定性确定),其中,检查风险取决于审计程序设计的合理性和执行的有效性,可以通过职责分配、提供针对性审计计划等方式解决。重大错报风险包括固有风险和控制风险,评估时可以单独对固有风险和控制风险进行评估,也可以合并进行评估。国内有关研究提议采用矩阵方式评价风险,第一种评价方法为,洗钱风险=固有风险×内控风险,其中,固有风险包括:国家/地域风险、产品/服务风险、客户风险;内控风险主要是指反洗钱内控制度及执行风险。第二种评估方法为:反洗钱风险=原本风险×管控风险×监管风险。与反洗钱风险管理的评估方法相似,金融机构洗钱风险水平受以下四个方面的因素影响:国家经济,所在行业、地域环境;反洗钱内控制度与内部环境;金融产品、服务及客户本身的洗钱风险水平;可疑交易报告的及时性和有效性。第三种评价方法为,金融机构洗钱风险=国家(地域、行业)风险×控制风险×产品(或客户)风险×交易监测风险(与审计风险评估相似,洗钱风险值可通过数值乘算,亦可定性确定)。
国外有关监管机构采取类似的矩阵评价方法,如德国运用12格矩阵表示不同的风险等级,对金融机构的风险评估方法为,金融机构洗钱风险=潜在洗钱威胁×反洗钱措施的质量,其中金融机构潜在洗钱威胁分为高、中、低三档,包括金融机构所处地理位置、业务范围、产品结构、客户构成及销售方式。反洗钱措施的质量分高、中高、中低、低四档,评估结果主要依据金融机构的年度审计报告。本文认为矩阵评价方法体现出风险与成本的一种均衡,避免将洗钱风险通过简单汇总各级指标分值的方式进行评价。主要体现在:一是控制成本。风险导向审计理论认为,机构内部行使控制职能的人员素质及控制成本影响控制效果,若实施某项控制成本大于控制效果而发生损失时,就没有必要设置该控制环节或控制措施。洗钱风险评估中,某金融产品被用于洗钱的风险较高,其相关控制风险也较高,但若金融机构的该类金融产品交易量很少,则其整体洗钱风险不能被认定为高风险,投入此部分的评估资源可以相对减少。二是风险项的交叉性影响。即各类风险相互之间的影响,如新客户“职业”登记为“其他或无业”的比例较高,则不能认定客户身份识别制度执行有效,被利用于洗钱的风险应该较高。三是不同类别风险对整体风险的影响程度。即当某类风险较高,而其他类风险较低时,须依据各类风险对整体的影响程度确定风险等级。金融机构的反洗钱义务在于预防,所有控制措施都是为做好可疑交易的监测、分析和报送服务,若客户身份识别制度和客户风险等级划分制度执行的很好,但监测分析人员的人数配置不够、分析能力不高,可疑交易分析系统的智能化不足,则应认定该单位的洗钱风险水平为高风险。
三、风险导向审计方法在洗钱风险评估方法中的运用
(一)运用抽样评价方法。审计抽样范围受所鉴定会计期间的影响,并针对该会计期间各类控制、事项或交易中的部分样本进行评价,通过样本推断总体,如年度财务报表审计,只有在审计报表期初余额,及评价期末、期后事项对报表的影响时,才会跨年度选取样本。洗钱风险评估相对灵活,可以对某一年度的洗钱风险进行抽样评估,也可以针对某类控制、事项或交易的样本扩大至若干个年度进行抽样评估。
(二)依据风险高低扩大或减少样本量。审计实务中,若认为被审计单位控制环境薄弱,则很难认定某一相关流程的控制有效,其实质性测试的样本量会大幅增加(实质性测试包括细节性测试和实质性分析程序,即对会计计量的真实性、准确性、合理性进行审查)。小型机构员工较少,限制了其职责分离的程度,虽然没有文件形式的控制要素,但了解管理层的态度、认识和措施及其控制环境非常重要,应该更多的采取实质性程序。洗钱风险评估可借鉴以上方法,若金融机构的内控风险很高,则其客户身份识别、交易记录保存及客户风险等级划分相关控制点就较难得到有效执行,继而影响异常交易分析识别的及时性和有效性,此时应扩大对异常交易分析及报告的样本量,确定洗钱风险的高低。
(三)整合取证手段。审计取证方法包括查阅、询问、观察、穿行测试、重新执行、实质性分析程序等方法,具体审计目的不同,取证手段和工作流程也不同。如对收入确认的完整性测试,由原始凭证追查至明细账(从发货部门的发运凭证追查至有关销售发票副本,再到收入明细账),而对收入确认真实性的审计流程与上述流程相反。洗钱风险评估中,如评价金融机构的可疑交易报告是否有遗漏,可以选取部分存量客户,从建立业务关系,到客户风险等级划分,再到可疑交易分析报告的整个流程进行取证;评价可疑交易报告是否合理,则与上述流程相反。在具体方法运用上,主要有以下几种可供借鉴。1、询问。向金融机构有关员工进行询问,获取与内部控制运行情况相关的信息。如果某项控制要求某一员工(复核人)在文件上签字以证明他复核该份文件,那么应询问其复核的性质,即对什么进行复核,复核的要点是什么,签字复核的意义等等。如个人独资企业、家族企业、合伙企业、存在隐名股东或匿名股东公司的尽职调查难度通常会高于一般公司,应询问此类尽职调查的方法和措施。2、穿行测试。追踪交易报告在业务流程中发生、处理和记录的过程。业务流程中存在多个风险控制点,如客户身份识别措施——身份识别记录——风险等级划分——交易记录保存——可疑交易提取、分析——复核确认——分析报告结论,通过穿行测试,掌握内控薄弱环节,及对整体风险的影响程度。3、重新执行。审计实务中,检查复核人员是否认真执行核对时,不仅应检查是否在相关文件上签字,还应选取一部分凭证如销售发票进行核对。在风险评估中,可以选取部分可疑交易报告,评判可疑交易分析复核的合理性;在可疑交易分析系统及风险等级划分系统(或者是功能模块)中,评估人员从相关系统调取客户身份资料(一般是开户资料)和交易记录,以评价系统设计的合理性。4、实质性分析程序。通过研究数据间关系评价一段期间的交易情况。审计实务中,实质性测试包括对各类交易、账户余额和披露的细节测试以及实质性分析程序(如财务指标的横纵向比较)。在洗钱风险评估中,可以运用到实质性分析程序,如“可疑交易量/同类型交易量”的横纵向比较,“未登记客户职业信息数量/所有客户数量”的横纵向比较;如私人银行业务的投资理财品种和交易金额的变动情况。
四、审计成本控制在洗钱风险评估成本中的借鉴
【关键词】 内部审计; 风险管理; 角色定位
自20世纪90年代起,西方许多大型企业内部审计部门开始对企业的风险管理进行评估与监督,以实现企业经营目标的安全性、效率性和效果性。纵观近十几年的发展历程可发现,两者之间互相融合,存在着密不可分的关系。
一、二者互动交融关系形成的现实背景
当今世界,风险无时不在、无处不在,随着时代的发展,企业所面临的风险变得广泛而复杂。企业必须谨慎地识别各种潜在风险,加强风险管理,并在风险管理方案的制定、执行、评估与监督等方面进行合理分工,以保证风险管理的效率。而在整个风险管理过程中又必然涉及多个部门的沟通和协调,这就需要一个超然、独立的组织机构予以保障。内部审计部门在企业中的超然地位以及独立评估和监督的特殊职能,正好满足了这一要求。因此,企业风险管理必然要将内部审计纳入自身体系。
随着企业所面临风险的增加,风险管理成为了企业管理的核心。由此,内部审计也借机及时进行了自身的重新定位,改变了过去只是作为企业财务监督者的定位,将自身的目标确定为向企业提供保证和咨询服务,评估和改善风险管理、控制和治理程序。这样,企业风险管理和内部审计两者各自不同的发展路线逐渐接近并找到了交点。
二、内部审计与风险管理的互动关系
(一)内部审计定义中包含有风险管理的内容
内部审计从产生到现在已经历了几个世纪,每个时期内部审计的概念都有不同的内涵和外延。国际上,内部审计已有7次定义,至今仍在不断变化,内部审计定义的发展在内部审计史上具有重要意义。
风险管理改变着内部审计的定义,也就同时改变了内部审计的职能和在企业中的价值。1993年版《标准》的序言中对内部审计的表述是:在一个企业内部建立的一种独立的评价活动,并作为对该企业的控制及经营活动进行审查和评价的一种服务。而2001年版对内部审计是如下表述的:内部审计是采用一种系统化、规范化的方法来对机构的风险管理、控制及监督过程进行评价进而提高它们的效率,帮助机构实现目标。这个定义与1993年的定义相比较最明显的变化在于将内部审计的范围延伸到风险管理,比旧定义中提及的控制及经营活动要更为广泛和深入。只有在风险管理框架中实施的内部审计才能称之为风险管理审计。显然,将“评价和改善风险管理”作为内部审计的重要工作领域,是内部审计的新发展,扩大了内部审计的领域,拓展了内部审计的广度和深度,对内部审计的重新定位,修订内部审计准则,重整内部审计流程,提高审计服务质量等提出了较高的要求。
(二)风险管理赋予了内部审计在企业中新的地位和作用
为了在企业中担当更重要的角色和发挥更重要的作用,内部审计总是在不断寻找新的对企业十分重要的领域。风险的广泛存在,使企业经理人员对风险空前重视,为内部审计发展提供了一个绝好的机会。内部审计对风险管理的介入,将会使内部审计在企业中成为一个极其重要的角色,并将其在企业中的作用推向一个新高度。正因如此,内部审计师的职业组织——国际内部审计师协会才不遗余力地倡导内部审计师进军这一领域,把风险管理作为内部审计的重要领域直接写入了内部审计的定义。
三、内部审计与风险管理目标上的一致性
风险管理的定义指出:“企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的,为企业目标的实现提供合理保证的过程。”风险管理就是通过对面临的各种风险的认识、估测、评价,准确把握各种不确定性,采取恰当的内部方法,以便用最低的成本获得最高的安全保障,将损失降至最低水平。风险管理通过测试、评价和控制风险因素来降低风险事件发生的概率和造成的损失,直接服务于实现企业目标。
而在内部审计新定义中,已明确指出内部审计的目的是为机构增加价值并提高机构的运营效率。IIA在2001年修订的《内部审计实务标准》中,对“增加价值”一词作了如下解释:“机构的设立,是为了其所有者、其他利益方、顾客和客户创造价值和谋取利益……内部审计是在收集资料、认识并评价风险的过程中,对经营与改良时机产生了深刻的见解,这些见解可能会对机构带来诸多利益。这些有价值的信息可以咨询、建议、书面报告或通过其他产品的形式呈现出来,所有这些得传达给相应的经营管理人员。”根据这一解释,增加价值的目标应由企业的各个职能部门来共同完成,而内部审计部门作为企业的职能部门之一,也应该努力增加企业的价值;同时,内部审计部门经过收集资料、识别并评价风险的过程之后,对企业管理层及其他职能部门的见解更为深刻,而且这些见解是富有价值的,而企业管理者采纳、利用这些有价值的信息后,一方面可以借此消除各种减值因素,包括风险因素、控制漏洞、治理缺陷等;另一方面可以将这些有价值的信息应用于经营管理活动,从而达到使企业增值的目的。从这个意义上来说,风险管理与内部审计在其目标上是相一致的。
上述种种使企业风险管理与内部审计逐渐形成了你中有我、我中有你、相互依存、联动发展的紧密关系。众多企业在制定本企业风险管理方案时,将内部审计列为风险管理的一道重要防线,由内部审计对整个风险管理流程进行评估和监控;有的企业还特意安排内部审计直接参与风险管理方案的制定和执行全过程,以发挥内部审计在风险管理中的突出作用。与此同时,内部审计也将风险管理作为“为组织增加价值”的重要手段。
四、内部审计在风险管理中的角色定位
COSO在《企业风险管理——整合框架》中的“职能和责任”章节,阐明各管理层在全面风险管理中的地位和职责,并指出组织里的每个人对全面风险管理都有责任。首席执行官承担最终责任,其他管理人员支持全面风险管理的理念,促使组织在风险容量内经营,并在各自负责的领域里负责将风险降低到相应的风险容忍度内。首席风险官、首席财务官、内部审计及其他人员通常承担关键的支持性责任。组织的其他人员负责按照制定的指令和协议执行全面风险管理。这明确表明,内部审计对全面风险管理的建立并没有基本责任,这是高级管理层的责任。内部审计人员的重要角色是,帮助管理层和审计委员会监督、检查、评估、报告、建议全面风险管理过程的充分性和有效性。
IIA2001年颁布的内部审计实务准则,其实务公告——“内部审计在风险管理中的作用”指出,风险管理是管理人员的关键职责,内部审计人员应该通过检查、评价、报告风险管理过程的充分性和有效性并提出改进建议来协助管理人员和审计委员会的工作。管理层和委员会负责机构的风险管理和控制过程,以咨询顾问身份开展工作的内部审计人员可以协助机构确定、评价并实施针对风险的管理方法和控制措施。
在充分考虑内部审计的独立性与客观性的基础上,结合相关法规、报告的观点,可以看出:对整个组织的可持续发展能力,对所有者、利益相关人、监管机构和普通公众负责的是企业管理层,内部审计人员应立足于协助、帮助管理层和审计委员会履行风险管理的职责,主要职责是对整个风险管理过程进行评价,认定并评价管理的充分性与有效性,向管理层和审计委员会报告情况并提出改进管理的建议,以此保证风险管理的有效性。因此,内部审计在企业风险管理框架中首要的角色是监督者,包括对风险管理流程的评估和保证服务、对风险评估准确性的保证服务、对关键风险报告的评估和对关键风险管理的评估。按IIA的标准,内部审计的服务种类可以划分为保证服务和咨询服务,前者是一种独立评价的活动,后者是提供建议及咨询的活动。在企业风险管理中,内部审计的本质特征并不发生改变,因而它可以担任的角色也是基于这两种服务衍生而来的。除了作为监督者所提供的保证服务外,内部审计还可提供咨询服务,包括促进对风险的识别和评估、指导和协调风险管理活动、加强对风险的报告、保持和发展风险管理框架、支持建立风险管理、参与制定风险管理战略等。与此相适应,内部审计承担了咨询者、协调者、建议者的角色。
参考文献
[1] 刘德运、内部审计原理与技术[M]、北京:中国经济出版社,2006(6):25、
关键词:内部审计;企业风险框架
一、企业风险管理框架介绍
1 企业风险管理的定义。2003年7月美国COSO(全美反舞弊性财务报告委员会发起组织)委员会的《企业风险管理框架》征求意见稿中对其定义“企业风险管理是4"由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的,为企业目标的实现提供合理保证的过程。这是一个广义的风险管理定义,适用于各种类型的组织、行业和部门。
2 COSO企业风险管理框架的内容。对于许多企业来说,没有一个普遍认同的关于风险以及风险管理的定义,也缺乏一个概述风险管理运作程序的全面框架,这使得董事会成员和管理层之间进行风险交流变得异常困难。在这背景下,制定框架有着强烈的驱动力。为了顺应企业的呼声和要求,2003年7月美国COSO委员会颁布了企业风险管理框架的讨论稿。讨论稿描述了企业风险管理框架包括四类目标:战略目标、经营目标、报告目标、合规性目标。要素:内部环境、目标制定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。
二、以风险导向的内部审计
内部审计是在一个组织内部建立的一种独立的评价活动,并作为对该组织的活动进行审查和评价的一种服务。内部审计的目的是协助该组织的管理成员有效地履行他们的职责。内部审计的发展趋势是有财务审计到财务审计与管理审计并重。
现在国内外的审计都推行风险导向审计。审计风险模式为:审计风险=重大错报风险×检查风险。在审计过程中,审计师需要实施审计程序,评估重大错报风险,并依据重大错报风险的评估水平确定并实施进一步的审计程序,以便把检查风险降低到一个可以接受的低水平。
站在企业立场的内部审计师更多的把风险导向审计中的“风险”扩大为企业或组织在经营过程中面临的不能实现其目标的各种风险,所以内部审计领域的风险导向审计是以影响企业经营目标实现的经营风险为依据确定审计项目,以企业进行的所有降低风险的活动为测试重点,评价风险降低的充分性和有效性,并提出恰当的降低风险的建议的一种审计方法。
三、内部审计与企业风险管理的关系
内部审计即是企业风险管理(内部控制)的一个组成部分,又是企业风险管理(内部控制)的一种特殊形式。
企业风险管理体系包括要素,其中监控又分为持续监控与个别评价。持续监控的对象是除监控外的七大要素,持续监控的主体是各直接进行风险管理的业务部门。个别评价的对象是除监控外的七大要素和持续监控。个别评价的主题是内部审计部门和业务部门,并且应该以内部审计部门为主,因为业务部门主要负责持续监控,长时间从一个角度看问题容易产生偏差,由内部审计部门介入,能有效地纠正这种偏差。作为个别评价的内部审计是企业风险管理的一部分,评价除自身以外的企业风险管理体系的全部内容。
四、内部审计中企业风险管理框架的应用
在企业风险管理体系中,内部审计是对企业风险管理有效性的评价。本文试图建立一个风险管理评价体系,以方便地指导内部审计对风险管理体系的评价工作,加强全企业范围内对风险的识别与控制,完善风险管理体系。
1 评价的目的。内部审计对企业风险管理有效性评价的目的在于完善企业风险管理体系,更好地控制风险、增加价值。需要注意的是,评价本身不是目的,评价过程中内审人员与各部门的沟通以及评价后相应改进措施比评价本身更为重要。
2 评价的内容。内部审计人员对企业风险管理的评价可分为总体和业务两个层面进行,评价的内容就是企业风险管理框架中的八要素。
3 评价的方法。评价的方法有很多,有很多不同的评价方法和工具,包括一览表、问券以及流程图技术等。这里介绍2种模式。(1)风险管理自评。风险管理自评的方法就是要求审计人员与被审计部门管理人员组成一个小组,对本部门风险管理的恰当性和有效性进行评估,然后根据评估提出审计报告,由管理者实施。对于内部审计而言,风险管理自评可以让管理部门了解到对风险管理的责任,同时还可以提高审计的效率和效果,减少审计人员的工作量,节省审计时间。(2)风险管理矩阵法。风险管理矩阵法是审计人员根据企业经常目标、风险与控制之间的联系,为确保审计建议能针对重要的风险而建立的一张工作表。
该表包含了下列信息:明确企业的经营目标,审计人员对被审计事项的初步了解,根据初步了解的情况识别风险因素,衡量风险的重要程度,采取适当的控制措施,审计人员的评价和结论。
内部审计人员通常在测试的最后阶段来做这个矩阵,其优点是清楚地反映出对每一目标的测试和评价,有助于关注重要风险。
4 评价的报告。评价报告分为两大类,一类是专项评价报告,一类是总体评价报告。
[关键词]内部审计;内部控制;战略审计;风险管理
[中图分类号]F275 [文献标识码]A [文章编号]1005-6432(2010)44-0077-02
1 内部审计的发展历程
1、1 国际内部审计的发展历程
1978年,国际注册内部审计师协会(IIA)正式颁布了《内部审计实务准则》,认为“内部审计是建立在以检查、评价为基础上的独立评价活动,并为组织提供服务”。这个定义强调了内部审计为组织提供服务,并且强调了内部审计的独立性。
国际注册内部审计师协会(IIA)在1993年颁布的《内部审计实务标准》中提出,“内部审计的目的是协助该组织的管理成员有效地履行他们的职责”。这个定义仍然强调了内部审计对组织管理的服务职能。
国际注册内部审计师协会(IIA)在2001年出版的《内部审计实务标准》中规定:“内部审计是一种旨在增加组织价值和改善组织价值及经营状况的客观的保证和咨询活动,它通过引入系统化的方法来评价并改进组织风险管理、控制和治理效率,以帮助组织实现目标。”这个定义引入了“风险管理”一词,内部审计的目标是为组织管理提供服务,但此时它的视角更广了。
2004年,IIA颁布《国际内部审计专业实务标准》,规定“内部审计是一种独立、客观的确认和咨询活动,旨在增加组织价值和改善组织的运营,它通过引入系统化、规范化的方法来评价并改善风险管理、控制和治理过程的效果,帮助组织实现目标。”这个定义在2001年定义的基础上,强调采用系统化的方法,也使得内部审计更加科学,反映了内部审计的发展趋势和客观要求。更重要的是,这个定义强调了内部审计的职能由管理职能向治理职能的转变。此时,内部审计的目标可以分为两类:一是要实现组织价值的增值,改善组织的经营状况;二是要提供与风险管理、内部控制和公司治理程序相关的确认和咨询服务。
1、2 国内内部审计的发展历程
我国于1984年在部门、单位内部成立了审计机构,实行内部审计监督。
1985年我国了《审计署关于内部审计工作的若干规定》,提出“内部审计是部门、单位加强财政、财务监督的重要手段,是国家审计体系的组成部分”。这个定义强调了内部审计主要行使监督职能。
2003年,审计署在《审计署关于内部审计工作的规定》中指出:“内部审计是独立监督和评价本单位及所属单位财政收支、财务收支、经济活动的真实、合法和效益的活动”,这个定义增加了内部审计的评价职能。
2003年,中国内部审计协会颁布的《中国内部审计准则》规定:内部审计是指组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。这个定义强调了监督和评价职能并重,而且关注经营活动和内部控制的适当性、合法性和有效性,主要是为组织管理服务。
通过国内外对内部审计定义的比较,可以发现,内部审计的发展大致上经过了三个阶段:第一个阶段,内部审计的主要目标是防止组织内部的舞弊行为和检查组织内部的财务差错,这是一种比较初级的审计;第二个阶段,内部审计的主要目标是加强控制、改善经营,内部审计的职能有所加强;第三个阶段,内部审计的主要目标是风险防范和价值增值。内部控制和风险管理也成为了内部审计关注的重点。
2 内部审计在内部控制中的作用
《萨班斯―奥克斯利法案》规定:每份年度报告的文件中都应该包含一份内部控制报告,同时公司管理层在年度报告之日前对内部控制的有效性进行过评估。2006年7月15日,中国内部控制标准委员会成立,标志着我国企业内部控制正式提上日程。由此可见,随着经济发展水平的不断提高和企业管理思想的不断完善,内部控制也越来越受到企业的利益相关者的关注。那么,内部审计在内部控制中又发挥着什么样的重要作用呢?
现代内部审计之父Lawrence Sawyer(2005)认为,控制评价是内部审计人员的“执业秘诀”,内部审计人员要通过评价内部控制制度和指出需要加强的内部控制的弱点,成为有力的管理工具。这反映出了内部审计在内部控制中的评价职能,而且,是内部控制评估的主力。王光远教授(2005)指出内部审计准则的最核心概念有两个,即内部控制和风险。内部审计与内部控制之间是相互依存的,内部审计是内部控制的要素之一,而内部控制又是内部审计的直接对象。内部审计在内部控制中的职能包括:评价内部控制;参与重大控制程序的制度与修订;监督内部控制的运行;提供管理咨询等。
3 基于内部控制下的内部审计的新发展
3、1 由基础审计向高层次审计的发展
内部控制强调全过程控制,同样,内部审计也应该是“全过程审计”。按照内部审计进行的时间,又可以把审计分为事前审计、事中审计和事后审计。事后审计是我国传统内部审计的方式,侧重于事后的监督和评价,起到一个查漏补缺的作用;事中审计实时跟踪审计内部控制制度建立的执行情况;事前审计是一种“防范于未然”的审计方式,它强调在内部控制制度建立和执行前就进行风险评估。这样的内部审计贯穿于战略审计、经营审计和作业审计的全过程。
企业内部控制从控制主体可以分为三个层次:一是以董事会等高层管理者为主体的战略控制;二是以经营者为主体的经营控制;三是以员工为主体的作业控制。这三个层次对应的内部审计分别为战略审计、经营审计和作业审计,它们的审计流程、重点与评价内容不同,但三者是紧密相关,相互作用的有机整体。
战略审计是企业内部审计部门对各层次的战略管理活动及战略管理的全过程所作的分析、评价和监督。战略审计是公司制定战略前必须完成的工作,主要包括:企业内外部经营环境分析、对已实施的战略效果进行评估、对现行战略的适当性和战略执行的有效性进行评价,这些是事前审计;此外,还要对战略的执行过程进行监督,监督有关责任人认真履行与战略管理有关的受托责任,这些属于事中审计;最后,要对企业的管理绩效进行评估、对战略的执行结果进行总结评估和反思,这就属于事后审计。
经营审计是内审部门对经营循环的全过程,包括投入、运作、产出、分配等各个环节的效率和效果进行评价、确认和监督。经营审计主要审查经营者是否努力改善和充分利用了企业的物质条件和技术条件,审查利用生产力各要素的具体方式方法的有效性。如审查经营决策的科学性是事前审计;而对决策的落实和执行情况进行审查是事中审计;最后,对决策执行所带来的结果进行评估总结,形成书面报告则是事后审计。
作业审计是内审部门对内部控制的业务层面和工作环节进行监督检查,并提交相应的检查报告、提出有针对性的改进措施。作业审计主要包括对作业控制的评价、确认和监督。在作业审计中,如评估具体业务层次上的可接受风险水平、评价员工的专业胜任能力、为管理层提供实行风险回避还是风险分担的咨询建议等这些就属于事前审计;而监督员工在开展业务活动中没有非法使用企业资产牟取不当利益、监督员工没有单独或者串通舞弊给企业造成损失,则属于事中审计;对各部门和员工当期业绩进行考核和评价等属于事后审计。
在我国,目前大多数企业的内部审计仍然停留在作业审计和经营审计的阶段,内部审计也往往只是在事后进行,这样的内部审计工作往往难以发挥应有的作用。内部审计由基础审计向高层次审计发展,由作业审计和经营审计向战略审计发展,由事后审计向全过程的审计发展,是内部审计的必然趋势,也是企业加强经营管理的内在要求。
3、2 内部审计职能由监督向风险管理的转变
IIA在1999年对内部审计的重新定义也提到了,内部审计是用来增加企业组织价值和改善组织运营的独立、客观的保证和咨询活动,它以系统的、专业的方法对风险管理、控制及治理过程的有效性进行评价和改善,帮助组织实现其目标。企业开始注重风险管理,同样,内部审计的重心也应向风险审计转移,是企业进行风险管理的重要组成部分,前文所提到的事前审计也正是出于对企业进行风险管理的需要。
根据IIA的定义,基于风险管理的内部审计有两个目标――增加组织的价值和改善组织的营运状况。内部审计人员要根据对企业风险管理过程的审查,评价其适当性和有效性,提出建设性的意见和建议,不断完善企业的风险管理,最终才能实现两个基本目标。
基于风险管理的内部审计的内容既包括企业风险管理的设计,也包括企业风险管理的实施。首先,内部审计部门要根据企业的行业特征、生产经营的性质、企业规模、企业管理水平和企业文化特征设计出适合企业的规范化风险管理的组织体系。通过风险管理的制度建设,让企业的每个部门和员工明确风险管理中的权责关系,使企业的风险管理既分工明确,又是一个有机整体。其次,内部审计部门要明确企业的战略和目标,并且保证其具有合理性。企业的战略可以分为公司战略、业务单位战略和职能战略,内部审计部门要审查企业的各个层次的战略是否明确并且合理。只有在明确而合理的战略指导下,企业的风险管理才能行之有效。最后,内部审计部门要在风险管理的过程中,全面跟踪审计,做到事前预测风险,事中控制风险,事后对风险管理的过程进行总结,提出更好的改进方案。
【关键词】大学生科技创新;模糊评价方法;过程风险;评估
大学生科技创新是指大学生群体在国家有关部门和学校的组织下,依靠教师的指导,自主开展的科技学术活动,活动的主体是大学生群体,包括本、专科生和研究生[1]。本文结合大学生科技创新项目评价多采用语义评价的特点,引入模糊评价方法,将研究重点集中在大学生科技创新项目过程中的风险分析和评估上,发掘项目研究过程中的薄弱环节,针对特定风险给出规避风险的建议,并根据模糊评估结果做出项目选择、继续支持或项目退出的决策。
一、大学生科技创新项目过程中风险的识别和分类
风险识别是指对尚未发生的、潜在的以及客观存在的各种风险进行系统地、连续地预测、识别、推断和归纳,并分析产生事故原因的过程。这个定义包含了以下含义:感知风险和识别风险是风险识别的基本内容;风险识别不仅要识别所面临的风险,更重要的、也是最困难的是识别各种潜在的风险。因此,本文针对大学生科技创新过程各个阶段为项目过程风险分类,建立层次结构的风险评价指标体系(如表1):
表1 大学生科技创新项目过程风险分类
评价阶段 一级指标 二级
指标 三级指标
立项阶段 研究对象评价 创新性风险评价 学术思想创新度
研究方法创新度
技术创新度
研究内容明确性
目标明确性
预期效果风险评价 创新人才培养效应
项目潜在经济效益
项目社会效益
项目潜在研究贡献
学术应用价值风险评价 应用目标明确度
项目成果转化难度
对相关学科领域发展贡献
完成条件评价 可行性风险评价 技术路线合理性
研究方案可行性
项目进度安排合理性
完成能力风险评价 成员知识结构合理性
成员能力
前期调研充分性
资源可获风险评价 实验室资源完备性
经费预算合理度
培育阶段 目标完成评价 质量评价与进度风险评价 阶段成果实现程度
阶段成果创新性
阶段情况
研究时间充裕程度
成本控制 经费使用比例
预期经费超支可能性
团队合作评价 成员发展评价 成员学科素质提高程度
成员科研能力发展
成员满意度评价
交流评价 团队知识交流频度
团队知识交流效度
成员知识公布意愿
知识共享评价 共享度评价 文献共享程度
成果共享程度
知识库建设
评价 知识库更新频度
更新知识有效性
研究发展性评价 人的发展性
评价 成员继续研究可能性
新成员加入可能性
项目发展性
评价 延伸研究方向提出可能性
资源可供性
结题阶段 研究结果评价 可视结果评价 奖项评价
论文评价
潜在结果评价 引申研究方向评价
使用资源评价 科研资源评价 经费使用效度
实验室使用效度
人力资源评价 团队提升程度
成员获益程度
二、模糊评价方法模型
(一)项目过程风险度量
一般项目风险度量通常使用风险发生的概率和风险可能带来的损失两个参数进行衡量,在这一模型的基础上,一方面考虑项目过程随时间变化的动态性,另一方面考虑项目成果在不同阶段的专家综合考评意见,构建大学生科技创新项目过程风险度量模型如下:
Rm=f(Rl,Rs,Ri,t)
式中Rl为风险发生的概率,Rs为风险对结果的影响严重性,Ri为当阶段的专家考评意见,t表示项目研究的某个阶段。
项目研究全过程的风险可以表示为各个阶段风险量的集合,记为Rm={Rm0,Rm1,…,Rmt},当t=0时,表明是对项目立项阶段的风险评估。
(二)t值的确定
t值的确定即考核时间间隔的确定,表示整个项目的中期考核频度,频度大,有利于项目过程的监控和风险变化的及时发现,但管理成本提高。频度小,成本降低,但对风险的监控力度下降。如何确立合适的考核频度,对过程风险的评估影响较大。结合目前中国大学生科技创新项目的管理现状来看,一般情况下考核间隔期为一年,t值则根据研究预期年限来决定。
(三)第t阶段Rlt、Rst、Rit、Rmt的模糊表示
假定在创新项目研究的第t阶段,风险事件发生的可能性Rlt用模糊集{很低,低,有可能,可能,极大}来表示,风险对结果的影响严重性Rst用模糊集{很小,小,一般,大,很大}来表示,选择三角函数作为隶属度函数,专家考评研究效果Rit用模糊集{很差,一般,好,很好}来表示,选择梯形函数作为隶属度函数,风险量Rmt用模糊集{很低,低,中,高,很高}来表示。
(四)专家意见向梯形模糊数的转化
专家进行评价时使用的是语言变量进行判断,为了实现由定性描述到定量计算的转变,需要将语言变量统一用标准梯形模糊数表示。根据梯形模糊数的定义:
记F(R)为R上的全体模糊集,称M为梯形模糊数,如果M的隶属度函数为μ(M):R[0,1]表示为
(x-a1)/(am-an);x∈[a1,am]
μ(M)={1;x∈[am,an]
(aμ-x)/(aμ-an);x∈[an,aμ]
0;其他
式中:a1≤am≤an≤aμ,梯形模糊数记为M(a1,am,an,aμ)。当a1=am=an=aμ时,它表示一个数值,当a1=am或an=aμ时,它表示一个区间,当am=an时,它表示一个三角模糊数。
根据这一定义,可以将专家给出的语义变量转换为梯形模糊数,实现定性描述到定量的转换,下文中涉及到专家意见的定量化,将全部使用这一方法。
(五)确定各个指标的权重
步骤一:建立风险评价指标的层次结构,在表1中已给出;
步骤二:对指标进行两两比较,由专家给出比较值区间或某一比较值,然后将比较值转换为梯形模糊数Mij;
步骤三:结合专家意见权重,构造判断矩阵,根据下式求出模糊权重ωi。
步骤四:参照潘英帅在《基于模糊博弈论的合作型供应链优化配置方法》中的梯形模糊数大小比较方法,将模糊权重ωi转化为普通实数。
(六)专家考评研究效果Rit的确定
在创新项目的各个阶段,专家对阶段成果的考评印象不同,直接影响到项目是否能够存续的决策,专家考评研究效果Rit可用下式进行计算:
其中,Sjt表示第j个专家在阶段t对项目阶段效果的评价的估计值,Cj为第j个专家的权重。
(七)确定第t阶段Rlt和Rst的评价值
风险事件发生的可能性Rlt和风险对结果的影响严重性Rst可由专家根据经验进行估算,并转换为梯形模糊数来表示,其公式为:
式中,Rl1t,Rl2t,…Rljt表示j个专家给出的风险事件发生的可能性的估计值,Rs1t,Rs2t,…Rsjt表示风险对结果的影响严重性的专家估计值,Cj为第j个专家的权重。
(八)Rmt的计算和全过程的风险集合
风险量Rmt根据Rlt、Rst、Rit使用Mamdani模糊推理办法推算得出,项目过程每个阶段的Rmt求出后,整个科技创新项目的过程风险即可用集合{Rm0,Rm1,…,Rmt}表示,其中t为划分的考核阶段数。
在得出了过程风险集合后,管理者可根据风险值绘制风险发展曲线图,总言之,在根据风险发展曲线决定管理者决策的时候,还需要追溯风险量值的产生过程,分析高风险环节,才能做出相对合理的决策。
四、结论
本文将过程风险的研究引入了大学生科技创新项目管理中,不仅考虑了过程风险的重要性,还提出了过程风险的动态变化对项目管理者决策的影响。但是,这一模型提出的假设条件是专家对所评价项目所在的领域非常了解,且评价具有一致性。从实际情况来看,目前各高校大学生科技创新项目的评价还不能实现这一假设,因此,如何评价专家对该学科领域的熟悉程度,如何对专家评价意见进行修正,是亟待解决的问题。
参考文献:
[1]邹海贵、知识经济下我国大学生科技创新活动研究[D]、湖南大学,2003、
[2]徐宏武,孙凤萍、大学生创新性实验计划过程管理探究[J]、高教高职研究,2009(37):55-56、
[3]李珏、风险投资全过程评价体系研究[D]、武汉理工大学,2006、
[4]田军,张朋柱,王刊良,汪应洛、基于德尔菲法的专家意见集成模型研究[J]、系统工程理论与实践,2004(1):57-69、
关键词:网络安全;风险评估;模糊综合评价
0 前言
网络安全正逐渐成为一个国际化的问题,每年全球因计算机网络的安全系统被破坏而造成的经济损失达数千亿美元。网络安全是一个系统的概念,有效的安全策略或方案的制定,是网络信息安全的首要目标。安全风险评估是建立网络防护系统,实施风险管理程序所开展的一项基础性工作。
然而,现有的评估方法在科学性、合理性方面存在一定欠缺。例如:评审法要求严格按照BS7799标准,缺乏实际可操作性;漏洞分析法只是单纯通过简单的漏洞扫描或渗透测试等方式对安全资产进行评估;层次分析法主要以专家的知识经验和统计工具为基础进行定性评估。针对现有网络安全评估方法中出现的这些问题,本文拟引用一种定性与定量相结合,综合化程度较高的评标方法——模糊综合评价法。
模糊综合评价法可根据多因素对事物进行评价,是一种运用模糊数学原理分析和评价具有“模糊性”的事物的系统分析方法,它是一种以模糊推理为主的定性与定量相结合、非精确与精确相统一的分析评价方法。该方法利用模糊隶属度理论把定性指标合理的定量化,很好的解决了现有网络安全风险评估方法中存在的评估指标单一、评估过程不合理的问题。
1 关于风险评估的几个重要概念
按照ITSEC的定义对本文涉及的重要概念加以解释:
风险(Risk):威胁主体利用资产的漏洞对其造成损失或破坏的可能性。
威胁(Threat):导致对系统或组织有害的,未预料的事件发生的可能性。
漏洞(Vulnerabmty):指的是可以被威胁利用的系统缺陷,能够增加系统被攻击的可能性。
资产(Asset):资产是属于某个组织的有价值的信息或者资源,本文指的是与评估对象信息处理有关的信息和信息载体。
2 网络安全风险评估模型
2、1 网络安全风险评估中的评估要素
从风险评估的角度看,信息资产的脆弱性和威胁的严重性相结合,可以获得威胁产生时实际造成损害的成功率,将此成功率和威胁的暴露率相结合便可以得出安全风险的可能性。
可见,信息资产价值、安全威胁和安全漏洞是风险评估时必须评估的三个要素。从风险管理的角度看,这三者也构成了逻辑上不可分割的有机整体:①信息资产的影响价值表明了保护对象的重要性和必要性。完整的安全策略体系中应当包含一个可接受风险的概念;②根据IS0-13335的定义,安全威胁是有能力造成安全事件并可能造成系统、组织和资产损害的环境因素。可以通过降低威胁的方法来降低安全风险,从而达到降低安全风险的目的;③根据IS0-13335的观点,漏洞是和资产相联系的。漏洞可能为威胁所利用,从而导致对信息系统或者业务对象的损害。同样,也可以通过弥补安全漏洞的方法来降低安全风险。
从以上分析可以看出,安全风险是指资产外部的威胁因素利用资产本身的固有漏洞对资产的价值造成的损害,因此风险评估过程就是资产价值、资产固有漏洞以及威胁的确定过程。
即风险R=f(z,t,v)。其中:z为资产的价值,v为网络的脆弱性等级,t为对网络的威胁评估等级。
2、2 资产评估
资产评估是风险评估过程的重要因素,主要是针对与企业运作有关的安全资产。通过对这些资产的评估,根据组织的安全需求,筛选出重要的资产,即可能会威胁到企业运作的资产。资产评估一方面是资产的价值评估,针对有形资产;另一方面是资产的重要性评估,主要是从资产的安全属性分析资产对企业运作的影响。资产评估能提供:①企业内部重要资产信息的管理;②重要资产的价值评估;③资产对企业运作的重要性评估;④确定漏洞扫描器的分布。
2、3 威胁评估
安全威胁是可以导致安全事故和信息资产损失的活动。安全威胁的获取手段主要有:IDS取样、模拟入侵测试、顾问访谈、人工评估、策略及文档分析和安全审计。通过以上的威胁评估手段,一方面可以了解组织信息安全的环境,另一方面同时对安全威胁进行半定量赋值,分别表示强度不同的安全威胁。
威胁评估大致来说包括:①确定相对重要的财产,以及其价值等安全要求;②明确每种类型资产的薄弱环节,确定可能存在的威胁类型;③分析利用这些薄弱环节进行某种威胁的可能性;④对每种可能存在的威胁具体分析造成损坏的能力;⑤估计每种攻击的代价;⑥估算出可能的应付措施的费用。
2、4 脆弱性评估
安全漏洞是信息资产自身的一种缺陷。漏洞评估包括漏洞信息收集、安全事件信息收集、漏洞扫描、漏洞结果评估等。
通过对资产所提供的服务进行漏洞扫描得到的结果,我们可以分析出此设备提供的所有服务的风险状况,进而得出不同服务的风险值。然后根据不同服务在资产中的权重,结合该服务的风险级别,可以最后得到资产的漏洞风险值。
3 评估方法
3、1传统的评估方法
关于安全风险评估的最直接的评估模型就是,以一个简单的类数学模型来计算风险。即:风险=威胁+脆弱+资产影响
但是,逻辑与计算需要乘积而不是和的数学模型。即:风险=威胁x脆弱x资产影响
3、2 模糊数学评估方法
然而,为了计算风险,必须计量各单独组成要素(威胁、脆弱和影响)。现有的评估方法常用一个简单的数字指标作为分界线,界限两边截然分为两个级别。同时,因为风险要素的赋值是离散的,而非连续的,所以对于风险要素的确定和评估本身也有很大的主观性和不精确性,因此运用以上评估算法,最后得到的风险值有很大的偏差。用模糊数学方法对网络安全的风险评估进行研究和分析,能较好地解决评估的模糊性,也在一定程度上解决了从定性到定量的难题。在风险评估中,出现误差是很普遍的现象。风险评估误差的存在,增加了评估工作的复杂性,如何把握和处理评估误差,是评估工作的难点之一。
在本评估模型中,借鉴了模糊数学概念和方法中比较重要的部分。这样做是为了既能比较简单地得到一个直观的用户易接受的评估结果,又能充分考虑到影响评估的各因素的精度及其他一些因素,尽量消除因为评估的主观性和离散数据所带来的偏差。
(1)确定隶属函数。
在模糊理论中,运用隶属度来刻画客观事物中大量的模糊界限,而隶属度可用隶属函数来表达。如在根据下面的表格确定风险等级时,当U值等于49时为低风险,等于51时就成了中等风险。
此时如运用模糊概念,用隶属度来刻画这条分界线就好得多。比如,当U值等于50时,隶属低风险的程度为60%,隶属中等风险的程度为40%。
为了确定模糊运算,需要为每一个评估因子确定一种隶属函数。如对于资产因子,考虑到由于资产级别定义时的离散性和不精确性,致使资产重要级别较高的资产(如4级资产)也有隶属于中级级别资产(如3级资产)的可能性,可定义如下的资产隶属函数体现这一因素:当资产级别为3时,资产隶属于二级风险级别的程度为10%,隶属于三级风险级别的程度为80%,属于四级风险级别的程度为10%。
威胁因子和漏洞因子的隶属度函数同样也完全可以根据评估对象和具体情况进行定义。
(2)建立关系模糊矩阵。
对各单项指标(评估因子)分别进行评价。可取U为各单项指标的集合,则U=(资产,漏洞,威胁);取V为风险级别的集合,针对我们的评估系统,则V=(低,较低,中,较高,高)。对U上的每个单项指标进行评价,通过各自的隶属函数分别求出各单项指标对于V上五个风险级别的隶属度。例如,漏洞因子有一组实测值,就可以分别求出属于各个风险级别的隶属度,得出一组五个数。同样资产,威胁因子也可以得出一组数,组成一个5×3模糊矩阵,记为关系模糊矩阵R。
(3)权重模糊矩阵。
一般来说,风险级别比较高的因子对于综合风险的影响也是最大的。换句话说,高的综合风险往往来自于那些高风险级别的因子。因此各单项指标中那些风险级别比较高的应该得到更大的重视,即权重也应该较大。设每个单项指标的权重值为β1。得到一个模糊矩阵,记为权重模糊矩阵B,则B=(β1,β2,β3)。
(4)模糊综合评价算法。
进行单项评价并配以权重后,可以得到两个模糊矩阵,即权重模糊矩阵B和关系模糊矩阵R。则模糊综合评价模型为:Y=B x R。其中Y为模糊综合评估结果。Y应该为一个1x 5的矩阵:Y=(y1,y2,y3,y4,y5)。其中yi代表最后的综合评估结果隶属于第i个风险级别的程度。这样,最后将得到一个模糊评估形式的结果,当然也可以对这个结果进行量化。比如我们可以定义N=1×y1十2×y2十3×y3×y4十5×y5作为一个最终的数值结果。
4 网络安全风险评估示例
以下用实例说明基于模糊数学的风险评估模型在网络安全风险评估中的应用。
在评估模型中,我们首先要进行资产、威胁和漏洞的评估。假设对同样的某项资产,我们进行了资产评估、威胁评估和漏洞评估,得到的风险级别分别为:4、2、2。
那么根据隶属函数的定义,各个因子隶属于各个风险级别的隶属度为:
如果要进行量化,那么最后的评估风险值为:PI= 1*0、06+2*0、48+3*0、1+4*0、32+5*0、04=2、8。因此此时该资产的安全风险值为2、8。
参考文献
[1]郭仲伟、风险分析与决策[M]、北京:机械工业出版社,1987、
[2]韩立岩,汪培庄、应用模糊数学[M]、北京:首都经济贸易大学出版社,1998、
[3]徐小琳,龚向阳、网络安全评估软件综述[J]、网络信息安全,2001、
关键词科技评估风险投资风险管理
1科技评估
1、1科技评估的概念
2000年12月28日科技部颁发的《科技评估管理暂行办法》将科技评估定义为“是指由科技评估机构根据委托方明确的目的,遵循一定的原则、程序和标准,运用科学、可行的方法对科技政策、科技计划、科技项目、科技成果、科技发展领域、科技机构、科技人员以及与科技活动有关的行为所进行的专业化咨询和评判活动”。从更广泛的意义上来讲,科技评估是对与科学技术活动有关的行为,根据委托者的明确目的,由专门的机构和人员依据大量的客观事实和数据,按照专门的规范、程序,遵循适用的原则和标准,运用科学的方法所进行的专业化判断活动。其结果要归结为能够回答委托者特定目的评估结论和评估分析。
1、2科技评估的范畴
科技评估的范畴主要是职能性评估和经营性评估两大方面,职能性评估是指对政府科技活动有关行为进行的客观的、科学的评价和判断,为政府有关部门发挥决策、监督职能提供服务。经营性评估是指对企业或其他社会组织与科技活动有关行为进行的客观的、科学的评价和判断,为他们对被评事物的决策、判断提供参考依据。在市场经济条件下,科技评估作为一种咨询活动,不应仅仅只为政府决策服务,还应深入到市场中的各类科技活动之中,接受非政府机构委托的评估任务,如企业投资项目的科技评估、风险投资机构投资的科技评估、企业产权交易中的科技评估等。
1、3科技评估的分类
科技评估可从不同角度分类。从评估时间上,可分为事先评估、事中评估、事后评估和跟踪评估四类。事先评估是在某项科技活动实施前所进行的评估,主要包括实施该项活动必要性和可行性两方面内容。它常常带有预测的性质,但不同于一般的预测分析;事中评估是在科技活动实施过程中进行的监督性评估,着重检验是否按照预定的目标、计划执行,对前面工作的进展与预期效果进行比较,并对未来进行预估,以发现问题,调整或修正目标与策略;事后评估是科技活动完成后进行的评估。另外,从评估空间上,可分为国家评估和地方评估;从评估规模上,可分为宏观评估、中观评估和微观评估;从评估方法上分,可分为定性评估、定量评估及定性与定量相结合的评估;从评估形式上,可分为通信评估、会议评估、调查评估、专访评估和组合评估等。
1、4科技评估的方法
评估方法有广义和狭义两种概念,广义概念包括评估准备、评估设计、信息获取、评估分析与综合、撰写评估报告等评估活动全过程的方法,狭义概念特指评估分析与综合的方法。
科技评估可选用的方法多种多样,关键是要依据不同对象,有针对性地选择评估方法。常用的分析评价方法有定性和定量结合的方法、多指标综合评价方法、指数法及经济分析法和基于计算机技术的评估方法等。
2风险投资的风险管理
风险管理是通过对风险的识别、衡量和控制,以最少的成本将风险导致的各种不利后果减少到最低限度的科学管理方法。风险投资的风险管理的出发点和归宿,都是企图运用系统的、综合的现代科学管理方法,有效地扩大投资活动的有利因素,控制和抑制不利因素,达到以最小的成本,安全、可靠地实现风险投资利益的最大化。
2、1风险识别
风险识别是风险管理的第一步,是指对企业面临的,以及潜在的风险加以判断、归类和鉴定风险性质的过程。存在于企业自身周围的风险多种多样、错综复杂,无论是潜在的,还是实际存在的,是静态的,还是动态的,是企业内部的,还是与企业相关联的外部的,所有这些风险在一定时期和某一特定条件下是否客观存在,存在的条件是什么,以及损害发生的可能性等,都是在风险识别阶段应予以回答的问题。在风险投资中,风险一般可以分为两类:系统风险和非系统风险。系统风险是由公司之外的各种因素引起的,如战争、经济衰退、通货膨胀、高利率等与政治、经济和社会相联系的风险,是不能通过多角化投资而分散的,因此又称作不可分散风险或市场风险。重要的系统风险有政治风险、法律法规风险和政策风险等。非系统风险也被称作可分散风险,它是由公司本身的商业活动和财务活动带来的,如企业的管理水平、研究与开发、消费者需求的改变、市场营销风险以及法律诉讼等,其可以通过多角化投资组合而分散,是公司特有的风险。重要的非系统风险有决策风险、财务风险、信用风险、完工风险和市场风险。作为风险投资者,其关心的往往只是项目的系统风险,因非系统风险完全可以通过合理的投资组合而得到分散。
2、2风险衡量
风险衡量对已经识别的风险进行分析评估,以确定其损害程度的过程。风险衡量的方法分为定性风险评价方法和定量风险评价方法两大类,定性风险评价方法又可分为主观评价法和客观评价法,传统的主观评价法主要有观察法、资产负债表透视法和事件推测法等。现代的主观风险评价方法致力于将传统主观方法涉及到的因素综合在一起,并且设法将传统上的主观方法的定性分析特征转向定量分析上,由此而将主观分析扩展到能够同时完成综合评价风险因素与测量风险临界值的双重任务。现代客观风险评价法中,最具代表性的是“Z记分”方法。作为一种综合评价风险企业风险的方法,“Z记分”方法首先挑选出一组决定企业风险大小的最重要的财务和非财务的数据比率,然后根据这些比率在预先显示或预测风险企业经营失败方面的能力大小给予不同的加权,最后将这些加权数值进行加总,就得到一个风险企业的综合风险分数值,将其对比临界值就可知企业风险的危急程度。定量风险评价方法主要有风险图法、决策树法等。
2、3风险控制
风险控制是指在对风险进行全面的分析之后,实施各种风险控制工具,力图在风险发生之前消除各种隐患,减少损失产生的原因及实质性因素,将损失的后果减少到最低限度。实施风险控制的步骤是风险预测——风险决策——实施决策方案——方案的成果评价。风险控制的主要方法有风险规避、风险预防、风险分散、风险转嫁、风险补偿、风险抑制等。
3科技评估与风险投资的风险管理
科技评估与风险管理既有联系也有区别,科技评估作为一种专业化判断活动,在介入风险投资的风险管理后,其任务便是对风险进行识别和衡量,其结果作为风险投资机构投资决策和制定风险控制实施方案的依据。可见,在风险投资的风险管理中,科技评估实质是风险的识别和衡量的过程,而风险管理还包括了风险控制的实施过程,这样科技评估就可以作为风险管理一个组成部分,实现两者的有机结合,促进共同发展。科技评估与风险投资的风险管理的关系如附图所示:
3、1科技评估是提高风险投资管理效率的重要手段
科技评估经过近十年的发展,已有一整套较为完备的评估规范和技术方法,在评估设计、评估信息采集、综合分析、评估质量控制等方面的研究已较为成熟,同时,由于科技评估机构长期致力于国家和地方各类科技计划、科技项目、科研机构等方面的评估,对于科技产业、科技政策等方面的研究也是其他咨询机构无法比拟的。而我国风险投资业尚处于起步阶段,国家还未出台较为完备的有关风险投资事业的行政法规,风险投资机构的风险管理机制还很不健全,对风险管理人才培训的投入和重视程度还远远不够,因此,将科技评估运用到风险投资的风险管理中将能充分发挥其作用,提高管理效率。
3、2科技评估方法是衡量风险投资风险的有效工具
定量和定性方法相结合是科技评估方法应用的基本思路,这与现代风险评价所采取的方法既有相近又有其独到之处,科技评估中最常用的方法是多指标综合评估方法,它是在对多个影响因素进行分析研究之后,设计一套相应的评估指标体系,并对每一个评估指标都制定具体的标准和统一的计算方法,使其能对金额、人数等可计量的指标进行定量评估,同时对社会影响等因素亦可做定性评估的描述。这与上面介绍的“Z记分”方法仅依靠可计量的数据作为评价基础相比较更为有效。采取科技评估方法衡量投资风险也更为准确、可信。
3、3科技评估是推动风险投资管理创新的动力
引入评估机制,使风险投资机构的投资选择与投资决策相分离,使得风险投资管理更为透明化,也遏止了内部人员的“暗箱操作”等种种不良现象。通过独立的、专业化的评估中介组织的运作,将能使风险投资机构的管理层能更客观地认识到投资风险,从而可集中精力于投资决策,通过管理体制的创新,保证投资的科学性和安全性,也提高了投资成功率。
3、4科技评估参与风险投资管理是其自身发展的需要
科技评估工作现阶段主要是为各级科技行政管理部门,主要是国家和省、市科技管理部门服务,而且大部分科技评估机构是由科技管理部门所属的有关单位,如软科学研究机构、科技咨询机构、科技情报机构等部门产生,但由科技管理部门所属的单位评估科技管理部门的科技项目、科技计划等等,在一定程度和一定范围内不可避免的受到科技管理部门的影响。因而,评估水平难以提高。因此,科技评估机构作为一种社会中介服务机构,和各类资产评估机构一样,应逐步社会化和多元化,如参与到风险投资管理的咨询工作中,只有社会化、多元化,才能充分引进竞争机制,优胜劣汰,提高评估水平,促进科技评估事业的发展。
3、5科技评估促进风险投资实现动态管理
风险投资从进入到退出的全过程中,无时无处不存在着风险,实施某项投资决策前需要进行深入分析以确定各种存在风险的影响程度;进行投资后,还应深入到所投资的企业进行跟踪调查分析,对企业生产经营、财务状况,市场竞争状况,企业的发展趋势与步骤等,经常进行科学的、系统的分析与判断,发现潜在的风险,及时采取有效措施,杜绝它的发生或降低它的危害;风险投资退出后,还要对风险投资的效果进行测评,总结经验与教训,作为今后投资决策的参考。可见,风险投资的风险管理是一个动态的过程,实现管理目标需要实施一系列的评估,科技评估的事前、事中和事后评估能够满足这一要求,促进风险管理动态管理。
参考文献
1国家科技评估中心编、科技评估规范,科技评估概论[M]、北京:中国物价出版社,2001
2杜沔、关于风险投资中的风险控制工具的探讨[J]、中国科技产业,2001(7)
[关键词]风险;风险管理
一、风险管理的内涵
1、风险的含义。风险和危险是不同的,风险包含着一种不确定性,每个结果的概率是可知或可以估计的,而危险则只意味着一种不好的预兆。因此,有时虽然有危险存在,但不一定要冒此风险,我们要想方设法去改变风险发生的条件,使之不发生,甚至带来转机。综上所述,可以这样定义的风险:风险就是活动或事件消极的,人们不希望的后果发生的潜在可能性。具体地说,风险一般应具备以下要素:(1)事件(不希望发生的变化);(2)事件发生具有不确定性;(3)风险的影响(后果);(4)风险的原因。
2、风险管理的含义。风险管理涉及各个行业,每个行业都有其自身的特点,企业风险管理是指生产过程中,风险管理部门对可能遇到的各种风险因素进行识别、分析、评估,以最低成本实现最大的安全保障的过程。
从表层上分析,风险管理就是对生产活动或行为中的风险进行管理,从深层上研究,风险管理是指主体通过风险识别、风险量化、风险评价等风险分析活动,对风险进行规划、控制、监督,从而增大应对威胁的机会,以成功地完成并实现总目标。风险管理的主体是管理人员,客体是生产活动中的风险或不确定性,大型、复杂的生产活动过程应设置专门的风险管理机构和相应的风险负责人。
二、风险管理过程及方法
风险管理过程包括风险规划、风险识别、风险评价、风险处理和风险监控几个阶段:
1、风险规划。风险规划,指决定如何着手进行风险管理活动的过程。风险规划确定一套完整全面有机配合、协调一致的策略和方法并将风险其形成文件的过程,这套策略和方法用于识别和跟踪风险区;拟定风险缓解方案;进行持续的风险评估,从而确定风险变化情况并配置充足的资源。在进行风险规划时,主要考虑的因素有:风险管理策略、预定义角色和指责、各项风险容忍度、工作分解结构、风险管理指标体系。
风险规划过程的运行机制是为风险管理过程提供方法、技巧、工具或其他手段、定量的目标、应对策略、选择标准和风险数据库。其中,定量的目标表示了量化的目标;应对策略有助于确定应对风险的可选择方式;选择标准指在风险规划过程中制定策略;风险数据库包含历史风险信息和风险行动计划等。
2、风险识别。风险识别是风险管理的第一步,即识别实施过程中可能遇到(面临的、潜在的)的所有风险源和风险因素,对它们的特性进行判断、归类,并鉴定风险性质。风险识别的目的是减少的结构不确定性。亦即发现引起风险的主要因素,并对其影响后果做出定性的估计。该步骤需要明确两个问题:明确风险来自何方(确定风险源),并对风险事项进行分类;对风险源进行初步量化。
风险的识别是风险管理的基础,应是一项持续性、反复作业的过程和工作。因为风险具有可变性、不确定性,任何条件和环境的变化都可能会改变原有风险的性质并产生新的风险。对风险的识别不仅要通过感性认识和经验进行判断,更重要的是必须依靠对各种客观统计资料和风险记录进行分析、归纳和整理,从而发现各种风险的特征及规律。常用的风险识别方法有:专家调查法(头脑风暴法、德尔菲法、访谈法、问卷调查法)、情景分析法、故障树分析法等。
3、风险分析和评价。风险分析和评价是在对风险进行识别的基础上,对识别出的风险采用定性分析和定量分析相结合的方法,估计风险发生的概率、风险范围、风险严重程度(大小)、变化幅度、分布情况、持续时间和频度,从而找到影响安全的主要风险源和关键风险因素,确定风险区域、风险排序和可接受的风险基准。在分析和评价风险时,既要考虑风险所致损失的大小,又要考虑风险发生的概率,由此衡量风险的严重性。
风险分析和评价的目的是将各种数据转化成可为决策者提供决策支持的信息,进而对各风险事件后果进行评价,并确定其严重程度排序。在确定风险评价准则和风险决策准则后,可从决策角度评定风险的影响,计算出风险对决策准则影响的度量,由此确定可否接受风险,或者选择控制风险的方法,降低或转移风险。
风险分析和评价的方法主要有:专家打分法、蒙特卡罗模拟法、概率分布的叠加模型(CIMM模型)、随机网络法、风险影响图分析法、风险当量法等。
4、风险处理。风险处理就是对风险提出处置意见和办法。通过对风险识别、估计和评价,把风险发生的概率、损失严重程度以及其他因素综合起来考虑,就可得出发生各种风险的可能性及其危害程度,再与公认的安全指标相比较,就可确定的危险等级,从而决定采取什么样的措施以及控制措施应采取到什么程度。有效处理风险,可以从改变风险后果的性质、风险发生的概率或风险后果大小三个方面提出多种策略。
5、风险监控。风险监控就是通过对风险识别、估计、评价、处理全过程的监视和控制,从而保证风险管理能达到预期的目标。监控风险实际上是监控生产活动的进展和环境,即情况的变化,其目的是:核对风险管理策略和措施的实际效果是否与预见的相同;寻找机会改善和细化风险控制计划,获取反馈信息,以便将来的决策更符合实际。在风险监控过程中,及时发现那些新出现的以及预先制定的策略或措施不见效或性质随着时间的推延而发生变化的风险,然后及时反馈,并根据对生产活动的影响程度,重新进行风险识别、估计、评价和处理,同时还应对每一风险事件制定成败标准和判据。
风险监控的主要方法有:审核检查法、监视单、风险报告等。
三、总结
风险管理是一个全寿命的动态过程,与管理的四个阶段,即启动、规划、实施和结束阶段密切结合,渗透在寿命周期的全过程之中。在企业有效开展风险管理能够促进各单位决策的科学化、合理化,减少决策的风险性,能为企业提供安全的经营环境,能够保障企业经营目标的顺利实现,能够促进企业经营效益的提高。无论从理论还是从实践的角度来说,大胆创新、探索性地恰当运用风险管理的理论与方法,已成为关注的一个热点,对于提升企业管理水平、加强安全保障、创造更好的经济效益具有十分重要的意义。
参考文献: