风险识别与风险评估的区别
风险识别与风险评估的区别范文第1篇
关键词:喀斯特 风险评价 评价体系
1.引言
贵州属于典型的喀斯特地区,喀斯特地貌出露面积占全省面积的61.9%。近年来,随着贵州经济的快速增长,交通运输业的发展,带动了各个地区的公路建设。根据《建设项目环境影响技术评估导则》(HJ616—2011)(以下称导则)的要求,在对建设项目进行环境影响评价时,需评估项目建设存在的环境风险制约因素进行,从环境敏感性角度评估建设环境风险可接受性;评估环境风险防范措施和污染事故处理应急方案的可靠性和合理性等1。在喀斯特地区进行基础设施建设是比较艰巨的,在建设过程中,如何减小各种风险,并采取行之有效的措施避免风险的产生及应对各种风险后果,如何建立科学有效的风险评价体系是十分关键的。
本研究的风险评价即为导则中要求的环境风险的评估,首先需要对环境风险的制约因素即风险因子进行识别。分析高速公路建设项目的可行性研究报告等相关资料、及项目建设所涉及的区域的背景情况等,根据环境效应强度及其发生背景对建设工程施工期及营运期中可能产生的不确定的因素进行识别,进而加以分析,判断、归类、鉴定,并对其进行管理,从而减轻或降低风险带来的危害。即根据风险识别过程(数据、资料、信息的获取——资料及数据的分析及风险因子的识别——风险因子的鉴定、归类——风险管理[1]可分为施工期、营运期两个时期进行,并选用一定的项目风险评价方法进行风险评价。
2.风险识别
风险识别即风险源、特性、影响范围等的识别。贵州喀斯特地区广布的溶洞及落水洞、山地多、山谷切割深等特点加大了高速公路建设的难度。施工期的风险识别主要分为路基工程、桥梁工程及隧道工程等三个工程中的风险;营运期主要分为自然灾害、运输危险化学品的风险。
2.1施工期风险因子
2.1.1路基工程
(1)软土路基工程
喀斯特地区的岩层主要为白云岩、石灰岩等,在洼地地区,流水冲击物在此处沉积,沉积物极其脆弱,强度较低,易发生垮塌、沉降等风险。因此识别项目实施地段的软土路基可能发生的风险主要包括路基土质状况、材料运输的可达性等。同时项目实施应尽量避开雨季,雨季容易造成水土流失,并修建排水沟、合理堆放料材等,避免造成水土流失,继而造成河道淤塞。
(2)边坡工程
包括路基边坡及道路开辟形成的边坡。高速公路通过较小的山体时,没有采取避让及隧道工程措施,而是对山体进行爆破,开辟出道路。而开辟之后形成的山体边坡地形高差较大、坡度较陡、岩土体的物质及结构基础属于易发生滑坡的岩土体都存在路基不稳,容易滑坡、塌方等安全隐患。
2.1.2桥梁工程
桥梁工程的风险相对高速公路其他工程较大。由于喀斯特地区河谷切割深,桥梁的跨度较大,长度较长,海拔较高,桥墩高度较高。且各种形式的桥梁存在的风险因素各异,但总的看来,桥梁工程施工期的风险可归纳为以下几个方面:河流水文情势对桥墩、桥桩基础的稳定性的影响;桥梁承重与该高速公路的设计流量的关系;以及桥梁结构、附属设施施工采取的施工组织设计及施工方案产生的风险等。
2.1.3隧道工程
贵州是云贵高原向东部沿海地区的过渡地带,山地较多,因此隧道工程是不可避免的。根据隧道所在位置可分为山岭隧道、水下隧道和城市隧道三大类。喀斯特地区的隧道以山岭隧道为主,山岭隧道是为缩短距离和避免大坡道而从山岭或丘陵下穿越的隧道。在喀斯特地区修建隧道具有复杂性及不可预见性。施工期的风险主要包括正洞施工及辅助坑道施工过程引起的坍塌、突泥、突水、瓦斯燃烧等风险以及由地质水文条件引起的风险等。
2.2运营期风险
2.2.1自然灾害
自然灾害风险表现为自然灾害对高速公路的破坏。主要有地震、暴风雪、严寒酷暑、洪涝灾害引起的滑坡、水土流失等。
2.2.2运输风险
高速公路营运期的运输风险主要是运输环境的风险评价。如危险化学品在运输过程中,由于管理、工作人员的失误、车辆、包装、设施、路况及环境等原因,危险化学物品发生爆炸、泄露等事故从而产生风险。
桥梁工程运输风险除自然灾害对桥梁的破坏导致的风险外,还包括人为破坏等对桥梁的安全运营影响,桥梁工程耐久性等。
隧道工程运输风险包括隧道结构稳定性、防水可靠性、耐久性等。
3.评估方法的选取
风险评估方法是在建立风险评估体系的基础上,采取一定的评估方法对各个风险要素进行评估的方法。并与预期的风险目标进行比较,进而确定项目的风险严重程度,从而采取相应的风险管理措施控制风险发生的概率,减轻风险发生的后果。
风险评估的方法包括:专家评分法、模糊综合评价法、决策树法、网络计划技术、蒙特卡罗模拟、层次分析法等;以及将以上方法加以综合的评价方法:如模糊层次分析法、灰色层次法、模糊效用风险评价法等[2]。其中层次分析法、专家评分法应用较广,理论也较成熟。层次分析法是将定量分析与定性分析相结合,将所识别的风险因子进行分层,通过比较、计算得到不同方案的风险水平。专家评分法是通过对参与大量工程建设的专家进行问卷调查,根据专家的实际工作经验对风险进行打分,从而得到风险的发生概率等。风险评价的目的是选取风险水平小的方案,但风险较大的方案往往盈利的机会较大[3],因此平衡好风险水平与经济盈利之间的关系是比较关键的。
4.风险管理
风险管理主要是为了减小风险发生的概率及减小风险可能发生后的损失大小。减小风险发生的概率就需要增大投资,提高企业风险管理素质及风险控制水平,并对项目实施地段进行充分的调查,对设计方案进行反复的论证,采取各种方法措施对各个风险要素可能发生的情况进行控制,防微杜渐,从而降低风险等级,达到风险管理的目的。
5.结论
日前,随着经济社会的发展,城市化进程的加快,高速公路的建设如雨后春笋般迅速崛起。在公路风险评价中,分为,根据施工期及运营期的风险因素建立风险评价体系,能够全面科学系统地指导实践。同时还应对企业管理水平、素质等进行风险识别,充分考虑各方面的因素可能引起的风险。
参考文献:
[1]《建设项目环境影响技术评估导则》(HJ616—2011);
风险识别与风险评估的区别范文第2篇
风险评估是保险风险管理的重要职能,也是保险公司在经营过程中极易被忽略的领域之一。近年来,重大自然灾害及意外事故频发,单一事故造成的损失巨大,虽然事故发生后保险公司根据保单约定进行了积极的赔付,但事前的风险管理与评估工作仍未能引起足够的重视。笔者在与各保险公司人员进行交流过程中了解到,从认识上各保险公司都能够意识到风险评估工作的重要性,但在具体开展工作的过程中,除了风控经费不足之外,更重要的是对风险管理的思路、流程以及方法认识不清,尤其是面对各种风险时,把握不住重点,存在畏难情绪,所开展的风控工作也仅限于现场识别风险,缺乏统一的风险评估思路,所取得的成效不大。通过对保险承保风险特征的分析,保险风险存在大量风险与同质风险的特征。因此,在风险管理过程中引入标准化的思路,将保险的风险评估过程标准化,按照标准化的要求对风险进行识别、分析和评价,对于有效提升我国保险公司的风险管理水平,降低风险事故的发生的概率具有积极的借鉴意义。
二、保险风险及标准化的概念特征
(一)保险风险的特征
保险是分散风险、消化损失的一种经济补偿制度。从风险管理的角度看,保险是风险管理的一种方法,或风险转移的一种机制。通过保险,将众多的单位和个人结合起来,变个体对付风险为大家共同对付风险,从而提高风险损失的承受能力。保险的经济补偿制度,既是风险的集合过程,又是风险的分散过程。保险公司通过保险将众多投保人所面临的分散性风险集合起来,当发生保险责任范围内的损失时,又将少数人遭受的风险损失分摊给全体投保人,通过保险的补偿或给付行为分摊损失或保证经营稳定。保险风险的集合和分散应具备两个前提条件:一是大量风险的集合体。保险在于集合多数人的保费,补偿少数人的损失。大量风险的集合,是基于风险分散的技术要求,也是概率论和大数法则原则在保险经营中得以运用的前提。二是同质风险的集合体。所谓同质风险,指风险单位在种类、品质、性能和价值等方面大体相近,如果风险不同质,那么风险损失发生的概率就不相同,风险也就无法进行统一集合与分散。此外,不同质风险损失发生的频度、幅度也不同,若对不同质的风险进行集合与分散,极容易导致保险公司财务的不稳定。
(二)标准化的基本概念
根据标准化法条文解释,标准化是“在经济、技术、科学、及管理等社会实践中,对重复性事物和概念通过制定、实施标准,达到统一,以获得最佳秩序和社会效益的过程”。因此,凡具有多次重复使用和需要制定标准的具体产品,以及各种定额、规划、要求、方法、概念等,都可作为标准化的对象。标准化的对象一般可分为两类:一类是标准化的具体对象,即需要制定标准的具体事物;另一类是标准化的总体对象,即各种具体对象的总和所构成的整体,通过它可以研究各种具体对象的共同属性、本质和普遍规律。标准化的基本原理包括统一原理、简化原理、协调原理和最优化原理。统一原理就是为了保证事物发展所必须的秩序和效率,对事物的形成、功能或其他特性,确定适合于一定时期和一定条件的一致规范,并且这种一致规范与被取代的对象在功能上达到等效。简化原理是为了经济有效地满足需要,对标准化对象的结构、型式、规格或其他性能进行筛选提炼,剔除其中多余的、低效能的、可替换的环节,精炼并确定出满足全面需要所必要的高效能的环节,保持整体构成精简合理,使之功能效率最高。协调原理是为了使标准的整体功能达到最佳,并产生实际效果,必须通过有效的方式协调好系统内外相关因素之间的关系,确定为建立和保持相互一致,适应或平衡关系所必须具备的条件。最优化原理是按照特定的目标,在一定的限制条件下,对标准系统的构成因素及其关系进行选择、设计或调整,使之达到最理想的效果。标准化是实现科学管理和现代化管理的基础,是合理发展产品品种、组织专业化生产的前提条件,是提高产品质量保证安全、卫生的技术保障,也是资源合理利用、节约能源和节约原材料的有效途径。实施标准化的重要意义是改进产品、过程和服务的适应性,防止贸易壁垒,促进技术合作。
三、保险风险评估标准化的必要性
标准化的目的是为了在一定范围内获得最佳秩序和社会效益,通过制定和实施标准,使标准化对象的有序化程度达到最佳状态。对于保险中的风险评估,不同的主体,甚至同一主体如保险公司内部的不同层级和部门,对其有着不同的理解,关注的焦点也存在差异,造成了各相关方之间的不配合,难于开展对风险管理效果的客观评价,也就难于达到最佳秩序和最佳社会效益。通过将风险评估活动标准化,为风险管理活动提供一种共同的语言和公式,有了统一的标准,实施风险评估的各相关方就可以使用相同的风险管理过程,有了相同的决策、处理基础,对风险评估活动持有共同的认识,有利于规范保险的风险管理活动。保险所面对的风险具有“大量、同质风险”的特征,风险评估标准化的过程,也就是针对各类大量同质风险进行科学分析研究的基础上,结合技术进步的新成果以及实践中累计的先进经验,使之相互结合,加以消化、融会贯通、提炼和概括的过程。人们在生产实践中为了规避风险或减少损失,已经积累了一定的经验,也取得了大量的科学技术成果,这些成果和经验如果以标准的形式来表达,对于保险公司在实施风险评估过程中提高效率具有重要意义。
四、风险评估过程的标准化分析
保险风险评估标准化体系的构建,要基于标准化的统一、简化、协调和最优化原理,根据保险风险因素的特征,将风险识别、风险分析和风险评价过程中的共性的、重复性的可能导致风险发生的因素识别出来,使决策者及有关各方可以更深刻地理解各类承保风险,以及现有风险控制措施的充分性和有效性,为确定最合适的风险应对方法奠定基础。根据《风险管理风险评估技术》(GB/T27921-2011),结合保险风险评估的特征,将风险识别、风险分析和风险评价环节中的标准化重点进行逐一解析,分析各环节中需要重点关注的因素和方法,实现风险评估过程的标准化。
(一)风险识别标准化
风险识别是发现、列举和描述风险要素的过程,也是风险评估过程中的基础环节。风险识别的目的是确定可能影响保险事故发生的事件或情况,一旦风险得以识别,保险公司应立即对现有的控制措施进行识别。风险识别的范围包括对风险源、风险事件及其原因和潜在后果的识别,识别的方法包括:1)基于证据的方法,例如检查表法以及对历史数据的评审;2)系统性的团队方法,例如专家团队遵循系统化的过程,通过一套结构化的提示或问题来识别风险;3)归纳推理技术,例如危险与可操作性分析方法等。此外,也可利用各种支持性技术来提高风险识别的准确性和完整性,例如头脑风暴法和德尔菲法等,但无论采用哪种技术,其关键是在整个风险识别的过程中要认识到人的不安全行为、物的不安全状态以及组织管理制度的有效性。
(二)风险分析标准化
在风险分析过程中,重点应当考虑导致保险风险发生的原因和风险源、风险事件的正面和负面的后果及其发生的可能性、影响后果和可能的因素、不同风险及其风险源的相互关系以及风险的其他特性,还要考虑控制措施是否存在及其有效性。为确定风险等级,风险分析通常包括对风险的潜在后果范围和发生可能性的估计,该后果可能源于一个时间、情景或状况。在某些情况下,风险可能是一系列事件迭加的结果,或者由一些难以识别待定事件所诱发,在这种情况下,风险评估的重点是分析系统各组成部分的重要性和薄弱环节,检查并确定相应的防护措施。风险分析的方法可以是定性的、半定量的、定量的或以上方法的组合。定性的风险分析可通过重要性等级来确定风险后果、可能性和风险等级,如“高”、“中”、“低”3个重要性程度。半定量法可利用数字评级量表来测度风险的后果和发生的可能性,并运用公式将二者结合起来,确定风险等级。定量分析可估计出风险后果及其发生可能性的实际数值,并产生风险等级的数值。
(三)风险评价标准化
风险评价将包括风险分析的结果与预先设定的风险准则相比较,或者在各种风险分析结果之间进行比较,确定风险的等级。风险评价利用风险分析过程中所获得的对风险的认识,对外来的行动进行决策,包括:1)某个风险是否需要应对;2)风险的对应优先次序;3)是否应开展某项应对活动;4)应该采取哪些途径。依据风险的可容许程度,将风险划分为如下三个区域:不可接受区域、中间区域和广泛可接受区域。不可接受区域内无论相关活动可带来何种收益,风险等级都是无法承受的,必须不惜代价进行风险应对;中间区域内的风险应考虑实施应对措施的成本与收益,并权衡机遇与潜在后果;广泛可接受区域中的风险等级微不足道,或者风险很小,无需采取任何风险应对措施。
五、结语
风险识别与风险评估的区别范文第3篇
关键词:供应链风险;风险识别;评价模型
1 引 言
供应链管理是一种集成式管理思想和方法,是一种有效的企业间合作共生模式。国际上一些先驱企业如丰田、戴尔、沃尔玛、carrefour等厂商,都因实践这一新型管理模式而获得巨大成功。从成功企业实践意义上说,实施供应链管理是进入21世纪企业适应全球化竞争的一种有效途径。正如英国物流专家马丁·克里斯多佛( martin christopher)所说:21世纪的竞争不再是企业和企业之间的竞争,而是供应链与供应链之间的竞争。
然而,据michigan大学(2003)的一项研究发现,在美国大约有50%的企业实施供应链管理所带来的优势并不强于传统的买卖关系,其原因很大程度上是由于企业对供应链系统中各类风险不能准确评估和管理造成的。随着产品和技术生命周期的缩短、市场的全球化延伸、企业间合作关系的日益复杂及组织内外环境不确定性因素的增加等,都将加剧供应链的不稳定并增大其风险性。受多种因素诱发,供应链突发事件生成所带来的损失以及对供应链系统运作的影响都是巨大的。因此,对供应链的风险评估与管理有重要意义。
国内外学者在供应链风险识别与评价方面开展了大量研究并获得许多研究成果。kraljic早在1983年提出的采购组合管理框架中,就已经考虑了由外部因素引起的不确定性和供应中断问题。smeltzer and siferd( 1998)借助交易成本理论和资源依赖模型,从采购管理角度理解供应风险管理,提出积极主动的采购管理就是供应风险管理的观点。此后,sheff( 2001)、harland( 2003)、deloitte( 2004)等分别从不同角度系统研究了供应链风险因素及识别问题。hallikas( 2004)从风险事件的概率角度,定量化研究了供应链风险的评估问题。国内一些学者也对供应链风险做了多种分类,并提出了测度供应链风险的各种方法。如马士华( 2003)的内生风险和外生风险划分,晚春东( 2007)的系统风险划分等。丁伟东等在2003年提出了基于模糊评价方法的供应链可靠性评估矩阵,周南洋( 2008)提出了基于owa算子的供应链风险评估多属性决策方法。综上,以前的学者大多对供应链风险进行某一方面和单一方法的识别与评估,缺乏从企业集团化发展角度对供应链风险进行分析和评估。为此,本文在前人研究基础上,对企业集团供应链风险进行系统识别,并给出相应的综合评价模型和实证分析。
2 企业集团供应链风险的系统识别
大型企业集团产业链的纵横延伸,在强化核心节点企业地位、释放众多经济效应的同时,也为整个供应链的风险累积提供了客观基础。供应链风险来源于系统内外各种不确定性因素的存在,它会利用供应链系统的脆弱性,对供应链系统造成破坏,给上下游企业以至整个供应链带来损害和损失。风险识别是供应链风险管理的前提,按照风险产生的缘由,可将供应链风险划分为内生和外生两大风险来源,其中内生风险主要产生于道德风险、信息扭曲和有限理性。而外生风险主要源于政治、经济和自然等外部环境的突变。
2.1供应链内生风险识别
内生风险是指由供应链系统自身引发的风险。供应链作为一种有效的企业间合作模式,伴随运营而生的物流、商流、资金和信息流,自始至终流经供应、储运、加工、分销、配送和消费等全过程,在围绕核心企业形成合作共赢、优势互补的同时,由于供应链各节点企业独立经营的法人属性,致使供应链各成员之间不可避免存有潜在利益冲突和信息不对称,任何一个环节出现问题都可能波及和影响到其它合作方,进而冲击整个供应链的正常运作以生成供应链风险。内生风险的主要表现形式及特征见表1。
2.2供应链外生风险识别
外生风险是指由供应链系统外部环境不确定性或突变引发的风险。任何一条供应链都是处在一定环境之中的,市场、政治、自然等环境因素的波动或剧变都会不同程度地影响供应链的有效运营。复杂、开放的供应链系统与环境之间存在着物质、能量和信息的交换,受外界环境制约又反作用于环境是供应链系统赖以存在的前提。当环境发生对供应链系统负面影响的变化时,供应链系统与环境之间的平衡将被打破,供应链的正常运营受到制约或破坏从而生成供应链风险。外生风险的主要表现形式及特征见表2。
3 供应链风险评估指标体系
通过供应链风险识别使我们认清了集团供应链系统可能存在的各种风险形态,而有效防范供应链潜在风险可能给集团供应链运营系统带来的利益冲击,则需要对供应链系统风险做出科学有效的评估。供应链风险评估是指借助必要的模型方法对供应链的风险等级进行量化测定或估算,并依据供应链风险等级选择安全对策,最终达到削减和控制风险的目的。对供应链风险的评估,需要建立一套设计合理、操作性较强的风险评估指标体系,该指标体系由可测的、可比的、可以获得的量纲各异的指标及指标群构成,用于全面反映供应链系统存在内外风险的可能性程度。基于对企业集团供应链风险的系统识别,本文构建的供应链风险评估指标体系如下:
1)反映供应链内生风险的指标:合约信任度x1、信息差错率x2、不良采购率x3、供应中断率x4、交货延迟率x5、合同履约率x6。
2)反映供应链外生风险的指标:价格波动指数y1、销售波动指数y2、突发事件预警指数y3。
上述各指标的涵义及赋值方法如下:
合约信任度:反映供应链合约方可信任程度的指标,供应可信性反映了整个供应链提前或按时交货的能力。该指标值增大,表明供应链节点企业的可信度增高,供应链系统越可信。其指标数值由以下公式求得:(提前或按时完成的订单数÷总订单数)×100%。
信息差错率:反映供应链信息传递失真情况的指标,供应链信息传递延迟或失真会呈现“牛鞭”效应。供应链信息传递失真程度与供应链链长有关,节点企业越多,信息传递失真的程度会增大。该指标数值可通过链长与信息阻尼的关系间接求得。
不良采购率:反映采购有效性的指标,其指标数值由以下公式求得:(不良采购批次÷总采购批次)×100%。
供应中断率:反映物流配送可靠程度的指标,其指标数值由以下公式求得:(因供应物流中断而停工待料的时间÷产品计划总生产时间)x l00%。
交货延迟率:反映物流配送可靠程度的指标,其指标数值由以下公式求得:(物流配送延迟的次数÷计划物流配送总次数)×100%。
合同履约率:反映供应链合作机制保障程度的指标,合同履约率高表明供应链合作机制稳定可靠,合作方之间诚信度高。其数值由以下公式求得:(履约合同数÷签约合同总数)x100%。
价格波动指数:反映物料供应市场稳定程度的指标,物料供应市场特定价格指数是根据某一种或一组特定商品或劳务的价格平均计算而成的,它反映某一特定种类或特定组合商品或劳务的价格变动。本指标数值可由统计调查报告中获得。
销售波动指数:反映供应链核心企业产品销售稳定程度的指标,稳步上升的销售量预示着企业对顾客需求识别的准确性。其数值由以下公式求得:(计算期销售量/基准期平均销售量-1)×100%。
突发事件预警指数:反映供应链系统应急体系构建程度的指标,其数值通过预警系统完善程度和应急体系建设投资额换算得出。 4 供应链风险评估模型及实证分析
4.1 评价指标权重的确定
对供应链的风险评估,是将描述供应链风险量纲不同的指标,转化成为无量纲的相对评价值,并综合这些评价值给出该供应链系统存在风险程度的一个总体评价。由于各评价指标在风险评估中地位的非等同性,必然存在对指标体系中各指标的赋权问题。本文采用改进的集值统计加速迭代法,通过迭代步长的加速递增,既可以增加指标权向量的符合性又能提高运算效率。
4.2 评价指标风险值的确定
一般的概率统计估值,每次试验所得为相空间中某个确定的点。若放宽条件将得到相空间上的一个子集,谓之集值统计试验,是经典统计和模糊统计的一种推广。在风险评价中对应专家对风险大小判断的一个区间估计值。
式中 ai为第i个风险指标的权重;石i为专家对第i个风险指标的评价值;f为供应链系统风险的总评价值。f的取值范围在[o,1]之间,分值增高,预示供应链系统风险加大。本文设定供应链风险的四个参照等级标准,其对应的f取值范围见表3。
4.4实例应用
应用对象为胶东半岛制造业一供应链系统,通过综合调研得到应用研究所需的基础数据。依照评价步骤,聘请七位专家对供应链风险指标进行迭代优选及概率区间估计,运用改进的集值统计加速迭代法,对各风险指标进行迭代后的结果见表4。
进一步,各专家对风险评价指标估计的概率区间,以及根据公式(3)、(4)、(5)计算所得的供应链各个指标综合风险概率见表5(含专家分歧度)。
根据公式(6)最终计算得出样本供应链系统风险综合评价值f=0. 26,与风险参照等级标准对照属于b级,表明供应链系统整体风险处于基本安全状态。为此,供应链管理者依此标定供应链系统风险薄弱环节,采取对应修补措施提高供应链系统快速响应能力,使供应链系统稳定在安全等级水平状态。
风险识别与风险评估的区别范文第4篇
一、引言
在日益激烈的市场竞争中,企业的生产经营过程面临着各种各样的风险,因对风险认识不足、控制不当不断导致一些企业陷入困境甚至倒闭。如何识别、度量和应对风险就成为企业最难解决的问题。企业要识别出其所面临的风险,就必须进行风险评估。
以股票市场为主体的多层次资本市场体系,经过20多年的发展,已成为我国经济发展的重要动力。随着股票市场的发展,上市公司数量不断增加,目前已达到2 500多家,其在经济中的领导地位也不容忽视。股票市场是高风险市场,为了加强上市公司的风险防范意识,规范上市公司的经营管理活动,2008年以来财政部等五部委联合了《企业内部控制基本规范》及其配套指引,作为上市公司建立内部控制体系的指导性文件框架。我国的内部控制体系是以风险评估为核心导向,其中包含风险识别、风险评估、风险防范和风险控制,并且风险评估是整个内控体系的关键。上市公司实施内部控制首先面临的问题就是风险评估,这也是上市公司实施内部控制工作的切入点和起点。
风险评估是上市公司对筛选出的主要风险组织公司的管理层、各职能部门负责人以及业务骨干进行风险识别、系统分析,确定相应的风险应对策略;也是上市公司实施内部控制工作、构建内部控制体系的关键和基础。这就要求上市公司在进行内部控制的风险评估时,既要识别、分析和关注阻碍实现内部控制目标的风险(纯粹风险),更要善于发现对实现内部控制目标具有促进作用的风险(机会风险),结合公司经营管理状况科学分析风险、制定切合公司经营管理实际的风险应对策略,达到分散、弱化以至化解风险的目标,实现上市公司整体价值的提升。
由于风险的不确定性以及风险评估过程复杂且不易操作,风险评估就成为上市公司内部控制实施成功与否的关键,如何进行风险评估就成为一个难点。本文结合上市公司实施内部控制的实践,对风险评估操作过程中的难点进行探讨,以期对上市公司的风险评估工作提供参考。
二、上市公司内部控制风险评估的操作解析
在实施、建立内部控制体系的工作实践中,上市公司的风险评估应重点围绕公司经营管理的主要环节进行,通常应将销售、采购、生产和财务等经营管理活动的主要环节作为开展风险评估工作的重点和总纲,在重点和总纲的统领下,抓住各个环节的关键控制点,即实施内部控制工作过程中的风险点。尤为重要的是,在初始风险评估时,对风险环节和关键控制点的把握宜粗不宜细。若开始时对风险环节和关键控制点要求的过细、过于完美,风险评估工作可能会陷于繁琐细微的事务性工作而难以进行下去,甚至导致上市公司风险评估工作的整体失败。因此,进行风险评估时,首先需要建立上市公司内部控制风险评估工作的总体框架,确立风险评估工作的整体思路;其次,充实和完善风险评估内容:一方面结合内部控制工作的深入不断补充、丰富,另一方面应随着上市公司业务发展和外部环境的变化定期、持续改进、完善,为实施内部控制、构建内部控制体系工作创造有利的条件。
由于上市公司所处行业不同、发展阶段及经营环境的差异,加之风险不易识别、量化,所以上市公司在进行内部控制风险评估时应特别注意与本公司经营管理活动的有机结合,切忌为了风险评估而进行评估的形式主义。具体进行风险评估时,主要从以下方面来进行:
(一)设定风险评估和风险控制目标的难点
进行风险评估前,上市公司应先设定风险评估和风险控制的目标,这是进行风险评估的必备条件,也是风险评估的标准。只有明确了风险评估和风险控制目标,才能有针对性、有标准的搜集、整理和取舍相关的风险信息和数据,才能对已显现的和潜在的风险进行识别、筛选、整理和归纳。
风险评估和风险控制的目标设定,主要根据证监会的监管要求来进行。依据《企业内部控制基本规范》及配套指引的要求,设定风险评估目标通常从公司经营战略、经营目标、报告目标、资产安全目标和经营合规目标等方面来考虑。首先,经营战略比较宏观,在风险评估中不宜定性操作和定量把握。由于大多数员工只是把经营战略作为公司发展的美好愿景和长远奋斗目标,只有公司的高层管理核心人员对其有比较深入的理解和领悟,因此,上市公司的经营战略在风险评估目标中所占比例通常不能太大。其次,经营目标和报告目标是公司日常经营管理活动的指导,最容易被公司经营管理层和广大员工理解和感知,也比较具体且易于量化和识别,因此,风险评估目标和风险控制目标多从这两方面来考虑和提炼。最后,上市公司只要依法经营,按照规章制度和流程去运作和管理,即可保证经营合规目标和资产安全目标的实现,因而对上市公司风险评估和控制目标的设定,就转化为对公司规章制度和运作流程风险控制目标和风险评估目标的设定,实务中更易把握和操作。
(二)收集风险信息的难点和途径
风险信息收集的主要是与上市公司相关的内外部风险信息。风险信息收集的质量关系到整个风险评估的结果。
从收集影响公司经营环境信息的实践来看,上市公司通常对这方面的信息比较困惑:一方面是公司经营外部环境信息的涵盖范围比较广,不易确定应由哪些部门牵头组织和具体实施,并且各部门在收集信息过程中很难把握相关信息对公司经营管理有无影响及影响大小,结果导致收集信息时无所适从,最终难以确定应该收集哪些信息。另一方面,由于日常经营活动多限于具体的事务性工作,上市公司很难准确把握和获得与经营管理活动相匹配的外部环境信息。在收集风险信息时,上市公司应注重外部经营环境与实际经营管理工作的结合、与内部控制关键点和风险点的结合,并在这些交集中寻找切入点和信息点。
上市公司收集影响经营的内部环境信息时,应主要考虑经营战略、经营目标、报告目标、资产安全目标和经营合规目标,并结合各部门的工作职责、制度和工作流程、业务流程,立足于日常的经营管理工作,考虑可能影响经营管理目标实现的内部信息和条件,来收集相关的内部风险信息。
(三)识别经营风险
风险识别是风险评估的重要环节,识别风险更多的是凭借识别者的判断能力、经验积累和识别方法。风险识别是把收集到的风险信息通过对公司高层管理人员、中层管理骨干和基层业务骨干的问卷调查、测试、访谈等方式,经过比较、归类、提炼、组合等方法,并充分考虑国家各部委对内部控制风险评估的具体要求来进行的。风险有多种表现形式,经营风险是风险识别的重点,主要包括核心风险、业务风险和工作风险。
核心风险的识别,主要应从公司的经营目标出发,围绕战略核心,从公司整体及其职能部门层面、经营管理现状层面等方面进行综合考虑,主要通过对公司高层管理人员的问卷调查、访谈等方式,整理出公司的核心风险,这是上市公司高层管理者最关注的风险。
业务风险的识别,主要应从销售、采购、生产、财务等主要业务环节的风险入手,通过对制度、流程的穿行测试及中层管理骨干和基层业务骨干的问卷调查、测试,识别出最主要的业务风险环节和关键控制点,然后再通过穿行测试来检验主要风险环节和关键控制点的收集和查找是否全面,并对测试过程中发现疏漏的风险点和控制点予以补充和完善。
工作风险的识别,主要是通过适用性测试来进行,在适用性测试过程中,识别出主要的风险环节和关键控制点,并予以补充和完善。
从上市公司识别经营风险的实践来看,主板上市公司至少应梳理出100种以上的风险,才可能比较全面的涵盖上市公司面临的风险。
(四)进行风险评估
风险评估是对上市公司经营管理活动中可能存在的各种风险进行分析和估量,其结果关系到风险应对策略的制定。由于风险的错综复杂,要比较客观和全面地反映和衡量上市公司的整体风险,需将各种风险评估方法综合使用。
具体来讲,风险评估主要通过多次循环问卷调查的形式开展,并且应经过至少两轮多次的循环验证,同时要求时间间隔在两周以上,最终使管理层对风险的认知和理解逐步趋于一致。在风险评估过程中,上市公司应根据自身的经营特点,考虑公司所处的发展阶段,采用定性与定量相结合的方法构建其风险评估体系。
1.确定风险评估的范围及参与主体
由于风险存在于上市公司经营管理活动的各个环节,因而,上市公司风险评估应涵盖其主要的生产经营管理活动,各主要职能部门和业务部门就成为参与主体,上市公司高层管理人员、职能部门负责人、主要业务部门负责人和业务骨干人员是主要参与者。
2.确定风险评估的评分标准
风险评估的评分标准是风险评估过程中定性与定量方法衔接的纽带和桥梁,也是风险评估的难点和重点。实务中,风险评估指标体系应结合上市公司的实际情况来设定。具体来讲,主要应结合公司的发展阶段、业务特点、风险发生频率及对公司经营管理活动的影响程度等来确定。
通常,把风险发生的可能性和影响程度划分为5个等级。表1和表2分别从定性、定量两方面描述了风险发生的可能性及影响程度,并把风险的定性标准定量化,从而实现了定性标准与定量标准的衔接和转换。从表中可以看出,风险的影响程度随着风险发生概率的逐级加大也越来越严重。
3.调查问卷的设计
问卷调查是比较常用和有效的风险评估方法之一。科学、合理的问卷设计关系到风险评估的准确度,调查问卷设计一般从风险发生的可能性和风险影响程度两个维度去考虑和设计,一般需要设计200―500个风险事项,力求全面客观地反映上市公司当前面临的主要风险。
4.问卷调查数据的整理
问卷调查结束后,需要对问卷调查的结果进行分类、汇总及处理。理论上,风险评估至少应进行两次问卷调查,要求参与问卷调查的人员基本不变,并且两次问卷调查的时间间隔至少在两周以上,然后再测算两次问卷调查统计结果的离散度。若离散度较低(通常以标准差小于1来认定),则取两次调查问卷的平均值作为问卷调查结果;若离散度较高(通常以标准差大于等于1来认定)时,则公司管理层应组织参与风险评估的人员进行探讨、沟通与交流,努力使大家对风险的认识趋于一致,然后再进行第三次问卷调查,并将这次问卷调查结果作为最终问卷调查结果。
需要注意的是,实务中,在统计问卷时,需将调查问卷分成高层领导、中层干部和基层骨干三个小组,分别进行统计汇总取各组的平均值。对于公司战略层面等较为宏观的风险,运用三组平均值时适当加大高层领导小组数据的权重;对于管理职能类、重要业务类风险,运用三组平均值时适当加大中层干部小组数据的权重;对于具体业务、操作类风险,运用三组平均值时适当加大基层骨干小组数据的权重。权重的调整幅度需要通过开会沟通、讨论,由参与风险评估的主要人员共同做出决定。
5.绘制风险地图
为了比较直观地反映风险分类,根据数据统计汇总调整结果,从风险发生的可能性及影响程度两个维度绘制风险地图,如图1所示。处于黑色区域的为重大风险,处在白色区域的为重要风险,处在灰色区域的为一般风险。通过图1,可以直观地识别出重大风险、重要风险和一般风险。需要注意的是,风险的认定就高不就低,即处在重大风险和重要风险临界点上的风险,划为重大风险,处在重要风险和一般风险临界点上的风险,划为重要风险,充分体现风险评估中风险就高不就低的原则和理念。
风险往往是相互交织、相互转化的,上市公司不但要进行风险评估,还需要进行风险管理。通常,对重大风险应予以高度关注,还应制定出重大风险预案,确保风险被有效管理,当重大风险发生时,立即启动预案,应对风险,降低损失。对重要风险要加强监控,防止其进一步发展为重大风险。对一般风险要予以适度关注。
风险识别与风险评估的区别范文第5篇
1.1安全风险评估应用模型三阶段。
在电子政务系统设的实施过程,主要分为规划与设计阶段、建设与实施阶段、运行与管理阶段等三个阶段。其中,安全风险分析主要作用于规划与设计阶段,安全等级评估主要作用于建设与施工阶段,安全检查评估主要作用于运行与管理阶段。安全风险分析,主要是利用风险评估工具对系统的安全问题进行分析。对于信息资产的风险等级的确定,以及其风险的优先控制顺序,可以通过根据电子政务系统的需求,采用定性和定量的方法,制定相关的安全保障方案。安全等级评估,主要由自评估和他评估两种评估方式构成。被评估电子政务系统的拥有者,通过结合其自身的力量和相关的等级保护标准,进行安全等级评估的方式,称为自评估。而他评估则是指通过第三方权威专业评估机构,依据已颁布的标准或法规进行评估。通过定期或随机的安全等级评估,掌握系统动态、业务调整、网络威胁等动向,能够及时预防和处理系统中存在的安全漏洞、隐患,提高系统的防御能力,并给予合理的安全防范措施等。若电子政务网络系统需要进行较大程度上的更新或变革,则需要重新对系统进行安全等级评估工作。安全检查评估,主要是在对漏洞扫描、模拟攻击,以及对安全隐患的检查等方面,对电子政务网络系统的运行状态进行监测,并给予解决问题的安全防范措施。
1.2安全风险分析的应用模型。
在政府网络安全风险评估工作中,主要是借助安全风险评测工具和第三方权威机构,对安全风险分析、安全等级评估和安全检查评估等三方面进行评估工作。在此,本文重点要讲述的是安全风险分析的应用模型。在安全风险分析的应用模型中,着重需要考虑到的是其主要因素、基本流程和专家评判法。
(1)主要因素。
在资产上,政府的信息资源不但具有经济价值,还拥有者重要的政治因素。因此,要从关键和敏感度出发,确定信息资产。在不足上,政府电子政务网络系统,存在一定的脆弱性和被利用的潜在性。在威胁上,政府电子政务网络系统受到来自内、外部的威胁。在影响上,可能致使信息资源泄露,严重时造成重大的资源损失。
(2)基本流程。
根据安全需求,确定政府电子政务网络系统的安全风险等级和目标。根据政府电子政务网络系统的结构和应用需求,实行区域和安全边界的划分。识别并估价安全区域内的信息资产。识别与评价安全区域内的环境对资产的威胁。识别与分析安全区域内的威胁所对应的资产或组织存在的薄弱点。建立政府电子政务网络系统的安全风险评估方法和安全风险等级评价原则,并确定其大小与等级。结合相关的系统安全需求和等级保护,以及费用应当与风险相平衡的原则,对风险控制方法加以探究,从而制定出有效的安全风险控制措施和解决方案。
(3)专家评判法。
在建设政府电子政务网络系统的前期决策中,由于缺少相关的数据和资料,因此,可以通过专家评判的方法,为政府电子政务网络系统提供一个大概的参考数值和结果,作为决策前期的基础。在安全区域内,根据网络拓扑结构(即物理层、网络层、系统层、应用层、数据层、用户层),应用需求和安全需求划分的安全边界和安全区域,建立起风险值计算模型。通过列出从物理层到用户层之间结构所存在的薄弱点,分析其可能为资产所带来的影响,以及这些薄弱点对系统薄弱环节外部可能产生的威胁程度大小,进而通过安全风险评估专家进行评判,得到系统的风险值及排序。在不同的安全层次中,每个薄弱环节都存在着不同程度的潜在威胁。若是采用多嵌套的计算方法,能够帮助计算出特定安全区域下的资产在这些薄弱环节中的风险值。
2结语
