風險評估存在的問題及建議范文

時間:2024-01-25 17:22:15

導語:如何才能寫好一篇風險評估存在的問題及建議,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

風險評估存在的問題及建議

篇1

食品安全風險評估

食品安全風險評估現狀。食品安全風險評估是指能對人體和動物產生副作用的危險因素進行評估的科學程序。風險分析包括風險評估、風險交流及風險管理,而風險評估是風險分析的基礎與前提。我國頒布了多個食品安全法律,法律法規體系在不斷完善中,衛計委、農業部也加大了國家食品和農產品的風險監測評估機制與機制建設。2015年修訂的《中華人民共和國食品安全法》在第十四條中規定:“國家建立食品安全風險監測制度,對食源性疾病、食品污染以及食品中的有害因素進行檢測”,在十七條中明確規定:“國家建立食品安全風險評估制度,運用科學方法,根據食品安全檢測信息、科學數據以及有關信息,對食品、食品添加劑、食品相關產品中生物學、化學性和物理性危害因素進行風險評估”。由于我國食品風險評估與監管體系起步較晚,很多技術、人員、儀器設備及規劃體系相對不完善,故在實施過程中仍存在一定問題。有文獻報道,食源性疾病引起的食品安全風險更為嚴重,應加以重視。

食品安全監管體系構建及存在的問題

體系構建。近年來,“毒奶粉”“瘦肉精”“毒豆芽”“塑化劑”等食品安全事件頻頻見諸報端,這說明我國食品監管體系存在一定問題,食品安全監管問題形勢嚴峻。隨著國家對食品安全的高度重視,我國逐漸建立了一系列的風險評估機構。國家食品安全風險檢測體系主要是進行技術數據基礎網絡建設及制定國家食品安全風險檢測年度計劃,并開展風險檢測工作。結合我國實際國情,2011年成立了國家風險安全評估中心,并設立相關部門對食品風險監測、風險評估、風險交流、標準研究及技術研究進行管理,對食品安全問題的監管有了一定保障。在2012年,我國國家食品安全風險監測網絡建設已覆蓋31個省份,從中央到地方初步形成了國家食品安全風險檢測網絡體系。

74監管體系主要存在問題有以下幾點:(1)食品安全風險評估中心成立時間不長,整體規劃及技術保障能力需不斷完善,風險評估及檢測不太成熟。(2)風險評估需要利用大量數據及資料對簽字風險進行科學評估,食品安全風險監測信息及監管信息收集機制不健全,缺乏搜安全風險評估所需要的基礎數據。(3)我國目前負責風險評估的技術人員較少,技術水平有待提高,對程度大量的風險評估任務完成較困難。(4)對監管機構的監管缺失也是食品安全風險評估及監測中的大問題,職能部門需要社會和其他部門的被監管,預防監管部門,保障食品安全。

同時,食品監管體系存在職責權限劃分不清、多頭管理、監管盲區等問題。這導致食品市場監管失靈,小規模食品企業多,生產條件簡陋,存在一系列食品安全問題。食品安全監管困難,我國食品監管體系亟待完善。

對策與建議

根據上述存在問題,對食品安全風險評估與監管體系構建要提供以下保障:一是國家法律法規制度保障,二是技術人員保障,三是資金及儀器設備保障,四是加強對監管部門的監管,避免職能部門。

同時,應結合我國國情及食品安全風險評估和監管的現狀,整合出一套順應時代的食品安全管理體系,逐步完善我國《食品安全法》的措施和制度,針對各行各業、各類食品制定相關食品安全法律法規,建立一套適合我國的食品安全風險評估體系,并對食品安全實施監管,保障食品安全。

篇2

[關鍵詞] 現代風險導向審計風險評估內部治理機制

在世界經濟全球化背景下,我國于2007年1月1日開始實施的新審計準則充分借鑒了國際審計準則,并逐漸向國際審計準則趨同,新審計準則的一大亮點莫過于引入了現代風險導向審計方法。

一、現代風險導向審計的涵義

現代風險導向審計方法作為一個新的審計理念和方法,是為了適應社會對審計的需求及審計大環境的改變而產生并發展起來的,也是現代審計的產物,要求審計人員對被審計單位面臨的經營風險以及內部控制等情況有充分的了解,并將此作為確定實質性測試的范圍、時間和程序的依據。這種審計方法有助于審計人員全面掌握企業可能存在的重大風險,也有助于節省審計成本,克服因缺乏全面性的觀點導致的審計風險。由于我國的新審計準則采用了現代風險導向審計方法,這表明我國審計人員的審計實務已經由傳統風險導向審計轉變為現代風險導向審計。同時現代風險導向審計的全面實施對我國審計人員的審計理念、專業能力和審計成本等方面產生了巨大影響。

二、現代風險導向審計模式在我國應用中存在的問題

新審計準則要求審計人員把審計工作的重點集中在財務報表存在錯報風險較高的領域,同時將對被審計單位風險評估的結果與審計程序緊密聯系起來,這不僅有利于提高審計質量,增強社會公眾對已審財務報表的信心,也有助于加強對社會公眾利益的保護。但現代風險導向審計在我國應用的過程中仍存在一些問題。

1.現代風險導向審計所需信息不足

現代風險導向審計要求將審計的重心前移,即審計人員在執行審計時,首先應執行風險評估程序,以充分了解被審計單位整體的經營環境,然后針對評估的不同風險和風險領域,設計合理的審計程序。首先,這就要求審計人員對被審計單位的宏觀環境、監管環境、法律環境、行業狀況以及經營的戰略等信息有足夠的了解,并以此作為判斷被審計單位誠信、評估經營風險的依據。其次,也要求會計師事務擁有功能強大和全面的數據庫,以滿足審計人員了解被審計單位整體情況的需要。但是,目前我國許多會計師事務所對各個行業的風險和企業面臨的經營風險缺乏足夠的了解,主要原因是會計師事務所對被審計單位的相關信息儲存不足,信息系統的建設還遠遠達不到現代風險導向審計的要求,最終導致風險評估不夠準確,嚴重影響了現代風險導向審計方法在我國的實施。

2.我國審計人員的整體素質不夠

目前我國審計人員所具備的知識還不能達到實施現代風險導向審計的要求,審計人員的能力不足以判斷被審計單位是否具有生存能力和合理的經營規劃。現代風險導向審計下,審計人員不僅要熟練掌握會計、審計知識,也要掌握管理、行業和法律方面的知識,還要熟練運用多種分析工具進行財務和非財務的分析。但這種高素質人才在我國相對缺乏,已經成為現代風險導向審計模式廣泛開展的瓶頸。

3.被審計單位的內部治理機制不健全

目前,我國企業的治理結構很不完善,所有者缺位現象非常普遍,內部人控制問題十分嚴重。在這種情況下,委托人與經營者合為一體,委托經營關系已不存在,這就使審計的委托關系變成了經營者出面委托會計師事務所對自己的行為和經營業績進行監督和審查,并向會計師事務所支付審計費用。嚴重打亂了審計關系三方有序的平衡關系,使審計人員在審計關系中處于明顯的被動地位,導致企業對高質量的審計服務缺乏內在的經濟動機。

三、解決建議

針對現代風險導向審計在我國的應用過程中存在的諸多問題,為使其在我國更好地應用現提出以下幾個方面的建議:

1.建立資源共享機制

新審計準則要求審計人員必須先執行風險評估程序,充分了解被審計單位的整體經營環境,還要針對風險不同的客戶以及客戶不同的風險領域設計不同的審計程序。這不但需要政府部門或者注冊會計師協會采取措施將獲得的企業相關信息及時在網上公布,以實現資源共享,還需要會計師事務所自身也應該建立功能強大的數據庫,以便審計人員在風險評估時了解企業的戰略、流程、風險管理、業績衡量等。建立各行業數據庫無論是對于會計師事務所的執業水平還是其長遠的發展都十分必要。

2.提高審計人員的素質

現代風險導向審計在我國的應用效果很大程度上取決于審計人員的素質。由于新審計準則要求審計人員執行審計時要對被審計單位及其環境進行了解,要求審計人員必須具備與被審計單位所在行業相關的知識,并在審計執業過程中保持職業懷疑態度以及必要的職業謹慎。因此,應加強對審計人員的培訓,使其對各行業政策和相關知識進行學習,增強職業判斷能力,以更好地適應現代風險導向審計的發展。除此以外,應提高審計人員的計劃能力,建立針對風險評估的專業人員組,按照新審計風險準則的精神,應在我國的審計實務工作中提高審計人員的計劃能力,加強審計計劃工作,因而對被審計單位進行比較準確的評估。這既符合現代風險導向審計的要求,也符合我國會計師事務所的現實條件。

3.強制建立健全企業內部控制機制

企業內部控制的好壞將對審計人員的審計風險產生重大的影響。目前,我國企業的公司治理結構及內部控制制度還不夠完善,經理人掌握著信息的控制權,這些都妨礙了風險導向審計在我國的運用。為使風險導向審計在我國得到更好地應用,企業必須優化公司治理結構,并對企業內部控制的設計、運行、評價、改進四個環節建立和完善企業內部控制機制,強調管理層對內部控制的責任,關注對企業相關風險的評估情況,重視日常的控制活動,從而建立健全企業內部控制機制。

四、結束語

現代風險導向審計在我國還有待進一步的發展,但其與其他審計方法相比仍有很大的優勢。一方面,現代風險導向審計是隨著審計環境的變化對舊審計方法的調整。另一方面,現代風險導向審計方法是對戰略觀和系統論兩理論的重大創新,這種新的審計模式為量化審計風險、明確審計責任、提高審計效率和質量都做出了有益的嘗試。因此,我們有理由相信在我國現代風險導向審計的發展前景良好。

參考文獻:

[1]陳毓圭:對風險導向審計方法的由來及其發展的認識[J].會計研究,2004,(2)

篇3

關鍵詞:內控審計;存在問題;改進建議

本文通過對公司內部審計現狀的分析及改進措施,以期進一步完善公司治理結構,提高公司治理水平。

一、公司內控審計中發現的問題

1、缺乏良好的內部控制環境

董事會、監事會、經理層之間責權利不明確,缺乏相互制衡、監督、約束和激勵機制,董事會沒有發揮其監督管理的作用。董事會成員與經理層成員高度重疊。對上市公司,要求設立獨立董事和審計委員會,存在重形式、輕制度的問題。監事會工作形式化、空殼化,也未能很好的發揮監督作用,尚未真正建立起有效的法人治理結構。

2、公司管理人員內控意識、風險意識不夠

高層管理者內部控制意識淡薄、定位不準確、風險管理意識不足、決策隨意的現象還偶有發生,沒有形成建立和實施內控的良好意識氛圍。另外,公司員工對內控的程序和措置缺乏正確的理解和判斷,不能完全按規定的質量完成內部控制。當業務需要和內部控制需要出現矛盾時,沒有經過嚴謹的分析和評估并獲得批準,就逾越內部控制規定而選擇業務需要。

3.風險管理機制不完善

很多在中大型企業尚未開展系統的風險評估工作,無法對公司所面臨的主要風險進行識別、分析和評估。各個部門單獨進行的風險評估工作,無法提升到整個公司層面,形成各個部門間的風險信息共享。應對突發事件的能力亟待加強。目前的工作只限定在了操作層面及個別部門,對潛在的風險缺乏整體性認識和系統歸類;對重要業務流程缺乏確認標準,沒有建立起公司重要業務流程風險數據庫;風險估測技術落后,主觀判斷多,科學方法少,難以真實、客觀地反映公司經營活動的風險狀況;科學有效的風險評估制度體系沒有建立起來。沒有一個健全有效的風險預警系統,管理層風險意識不足。

4.公司監控體系未能有效發揮作用

審計委員會未能有效發揮作用,公司成立了審計委員會,但同國際大型公司相比,審計委員會在對公司內部控制、反舞弊等方面職能的發揮尚有一定差距;同時,由于公司內部審計負責人的任免及匯報關系、業績評價及薪酬體系的決定、審計手段及審計技術等方面的限制,內部審計只能較多局限于與財務活動相關的查錯糾弊,所發揮的監督作用也比較有限,尚未提升到作為完善經營管理、提高經營效率的“咨詢師”的角色;內部審計人員數量和經驗不夠,目前,同繁多的內部審計任務相比,內部審計人員的數量明顯不足,同時由于內審員工缺乏足夠的經驗和知識開展內審工作。內審計劃沒有通過風險評估而關注最需要關注的領域。內審工作范圍不能覆蓋公司各個層面;內部控制監督沒有與績效考核情況相結合,沒有將內部控制監督結果與績效考核情況相結合,使得監督工作是去其權威性。

二、 加強公司內部控制的改進建議

1.強化公司管理層的內控意識和風險管理意識,重視內部控制“軟環境”建設

公司管理層對于內部控制建設的重視程度直接影響公司內部控制機制的建設和有效運行。由于內部控制建設是一項長期的工作,公司領導需要不斷地向公司員工傳達和灌輸內部控制理念,使得內部控制成為公司文化的一個重要組成部分,所以要想解決內控問題、搞好內控建設,公司領導和高管層必須提高重視程度。

在加強內部控制制度建設的同時,強化公司文化建設,尤其是內控文化的建設。 將內部控制、風險管理的理念貫穿于公司文化的管理哲學、經營理念中,形成上下一致的重視內控氛圍;加強職業道德教育、在注重外在約束的制度安排的同時,要注重強化人的內在約束。

2.建立獨立、有效的董事會、監事會

完善董事會制度,確立董事會在內部控制中的核心地位,發揮獨立董事的作用,確保獨立董事的獨立性:提高獨立董事的比例,明確獨立董事功能定位.目前,國資委研究出臺的《中央企業國有資本經營預算建議草案編報辦法(試行)》國資發產權[2008]46號中指出,“中央企業國有資本經營預算支出(以下簡稱預算支出)包括資本性支出、費用性支出和其他支出等。.其他支出是指國資委用于中央企業結構調整和企業重組重大項目聘請中介機構的費用,中央企業外部董事薪酬,以及用于預算支出項目的各項管理費用等。”將有利于提高外部獨立董事的獨立性,充分發揮外部獨立董事的作用。

從經費和人事兩方面著手解決監事會的獨立問題,使其真正能夠按照公司章程規定對董事及經理人員進行有效監督.是否可以仿效外部獨立董事的做法,引進外部獨立監事,且其人事與薪酬都獨立于被監管公司。

3.建立健全風險識別、評估和反映機制,加強風險管理的整體性、系統性和科學性

根據公司規模、所處行業等特點,制定公司風險管理制度,將風險評估系統化,通過風險評估識別公司內部所有重要業務流程,持續完善公司重要業務流程風險數據庫,建立起科學的風險評估制度體系。

4.加強內部審計監督力度

內部審計是內部控制的一部分,也是監督內部控制其他各環節的主要力量.必須要提高內部審計的地位,確保其權威性和獨立性.要把內部審計工作的主要職提高到對公司的管理作出分析、評價和提出管理建議上來。

5.注重內部控制體系的科學性及可操作性

建立科學、嚴格的授權審批制度、對具體業務流程進行標準化管理、建立缺陷評價標準體系等,這有助于提高內控體系的有效性,為決策及監督評價提供依據;同時,應強調內控體系的可操作性,提高控制措施的可執行性,避免內控制度流于形式。

6.將內部控制管理嵌入到流程中,形成日常管理機制

只有將內部控制嵌入到業務流程中,才能夠真正發揮內控的有效性。必須建立內部控制的日常管理機制,明確責任。同時,內部控制機制必須隨業務流程、系統和外部環境變化而變化,只有嵌入到流程中進行日常化管理,才能保證內部控制的有效性和相關性。同時,公司必須加強規章制度的可操作性和可執行性,將內部控制落實到實處。

參考文獻:

篇4

1 營銷稽查工作現狀

1.1 稽查工作業務量龐大

電力營銷工作中的專業點多、面廣,而且具體的業務內容也比較繁雜,僅靠資源有限的稽查工作難以達到對所有工作環節全面而系統的稽查。因此,稽查人員需要對重點、熱點和難點問題進行了解,以合理安排稽查資源。但是現有的稽查理論、工具,不能給予稽查人員在面對規模不斷擴大、復雜性不斷提升的稽查范圍時,提供科學、詳細的方向,但談不上對重大風險點進行深挖和分析,最后往往淪為走形式完成任務。

1.2 存在少量“兩張皮”現象

稽查整改建議好壞的重要標志是稽查能否被落實并產生預期的效果,如果缺乏系統性、可操作性的建設措施,使問題與建議形成兩張皮,這樣的稽查建議不但起不到應有的作用,還會破壞稽查形象,降低稽查質量,有時還會造成誤導和損失。

1.3 稽查整改不夠徹底

傳統的稽查整改跟蹤,往往只停留在問題表面的整改,未能舉一反三地對問題根源整改情況進行分析、確證。另外,對收集到的問題整改信息,缺乏科學評估整改效果的理論工具,難以起到有效評價稽查問題是否整改到位,往往出現屢查屢錯、屢改屢錯的現象。

2 應用風險管理理論的解決思路

本文通過風險管理中的核心理論、工具,解決在營銷稽查全過程中存在的部分缺陷與不足。首先,通過風險導向理論,明確稽查事項側重點,尋求一種既能保持稽查效果又能提高稽查效率的全新方式。另外,將風險應對策略理論創新性地應用在問題建議方面,以避免稽查建議與問題兩張皮的情況。最后,針對營銷稽查工作閉環中的稽查跟蹤,借助剩余風險理論工具,科學分析問題整改成效,防止問題整改走過場。

3 風險理論在稽查實踐中的應用

3.1稽查實施——風險導向理論

風險導向理論,要求稽查人員對被稽查單位進行稽查前,首先要識別和評價被稽查單位的營銷風險情況,然后再以風險為導向選擇稽查策略,以指導稽查實施。因此,在稽查實施階段應用風險單項理論,需要經過風險識別、風險評估以及明確稽查實施策略共三個步驟。

3.1.1 風險識別

風險識別,是指通過對通過業務流程梳理、指標分析等方法,經過分析、歸納,梳理出各個風險點。風險識別是做好、風險管理的基礎,只有全面、深入識別營銷業務各個風險點的基礎上,才能為后續風險評估和制定稽查策略提供基礎風險信息。

目前,稽查人員在稽查實施過程中缺乏系統的風險識別思想、方法,沒能很好的將具有潛在風險的營銷業務、異常營銷現象或歷史事故進行分析、梳理,造成風險點錯漏、風險識別不夠全面等情況[2]。

風險識別的方法主要有業務流程法、指標分析法、分解分析法、失誤樹分析法等[3]。在開展營銷稽查識別風險時,可單獨使用上述其中一種方法,也可交互使用各種方法:

(1)業務流程法,是指根據不同的營銷業務流程,對每一階段和環節,逐個進行調查分析,找出風險狀況信息的方法[4]。這種方法比較簡潔和直觀,易于發現關鍵控制點的風險因素。比如在對業擴報裝業務進行稽查前,可利用業務流程法識別出各流程環節的風險。

(2)指標分析法,是指稽查人員經過實際的調查研究,對市場營銷服務各類核心指標進行因素分解,以挖掘影響核心指標的關鍵風險事件。比如抄表差錯率指標[5],計算公式為:當年電費回收率=(實際到賬的當年電費 / 當年應收電費)* 100%[6]。

(3)歷史事故分析法,是指通過調研、分析企業或行業已發生的典型歷史營銷事故,對引起歷史事故的風險動因進行分解分析,以判斷、提煉出未來稽查工作中應該重點關注的風險范圍。

3.1.2 風險評估

風險評估,是指在風險識別的基礎上通過從可能性和影響兩個角度對風險程度進行評估,把各風險點根據風險程度由大到小進行劃分[7],為稽查人員以風險為導向針對不同程度的風險點制定、實施稽查策略。

在風險評估過程中,稽查人員可以根據風險后果和風險發生概率兩個維度進行考慮。

(1)當風險概率一定時,風險后果越嚴重,則營銷風險值越高。風險后果可以從經濟、社會、人身安全等若干方面考慮[8]。如“重要客戶未配備應急電源或應急電源無法及時啟動,供電局應急發電裝置配置不足或無法及時接入”事件,該風險為重大風險,主要從社會效益考慮,會造成重要客戶停電、甚至長時間停電無法恢復,在全省及以上范圍產生不良影響。

(2)當風險后果一定時,風險概率越高,則營銷風險值也越高。風險概率在這里是指“營銷服務潛在風險發生的可能性有多大”,潛在風險發生的可能性與營銷服務業務發生數量有極大的關系。如抄核收業務,一個地市局是數以千萬計的業務量即使單件事項的風險后果只是微弱或一般的營銷差錯,但當業務量積累到一定量時,會發生“從量變到質變”的飛躍,從而使營銷風險值飆高。比如收費方面,若是收費員每天挪用一點零碎電費或錯收一戶電費,久而久之,電費損失積少成多,嚴重損害了供電企業的經濟效益。本文由收集整理

3.1.3 以風險為導向的稽查策略

基于上述風險識別、風險評估的結果,以風險為導向確定各風險點的稽查策略,如稽查形式、稽查方法等,以達到有的放矢,從而大大提升稽查效率和效果(如表4所示)。

3.2 稽查建議—風險應對理論

風險應對策略就是指對已經識別的風險進行風險評估以及風險排序后,根據風險程度、風險性質制訂相應的應對措施。營銷稽查問題作為歷史風險事件,可根據風險應對策略理論,提出風險控制、風險承擔、風險轉移共三種整改建議。

(1)風險控制,是指控制風險事件發生的動因、環境、條件等,來達到減輕風險事件發生時的損失或降低風險事件發生的概率的目的[9]。一般來說,營銷服務各類制度、業務指導書等規范執行類問題建議都是常見的風險控制類建議。

(2)風險承擔,是指企業經過成本效益權衡后主動承擔風險。如技術線損的問題建議,因為損耗的電量較少,帶來的風險也較少,若要控制的話需要投入大量的資金、資產進行電網架構的改造,因此可采取風險承擔策略類建議,對此問題不投入資源進行控制。

(3)風險轉移,是指企業通過合同、契約等方式將風險轉移到第三方,企業對轉以后的風險不再擁有所有權。比如計量設備技術層面高科技的問題建議,電網企業自身技術能力不足,此時可采取風險轉移策略,問題整改落實職責通過技術外包合同形式轉移給電科院等外部技術單位。

3.3 稽查跟蹤—剩余風險理論

剩余風險是指企業存在的管理問題或風險加以實施控制、整改后的風險水平[10]。

稽查人員在評價問題整改效果時,可以運用剩余風險理論,分別對問題事實和問題根源進行全面評價,從未來剩余風險角度來衡量問題的整改情況,以避免稽查問題屢改屢犯的情況。及時問題整改跟蹤,有利于客觀評價問題整改效果,并及時督促、推進問題整改往正確方向發展。按照分析、評估后的剩余風險程度,可以將稽查整改效果分為“有效整改”、“有限整改”以及“無效整改”共三種情況。有效整改,為經過稽查跟蹤證明,整改單位已完成整改措施,原稽查問題所揭示的風險已得到有效控制或化解的,剩余風險較小且可以接受。有限整改,為經過稽查跟蹤證明,整改單位已采取整改措施,原稽查問題所揭示的風險已得到一定控制或降低,但是剩余風險較大、不可接受。無效整改,為經過稽查跟蹤證明,整改單位已采取或未采取整改措施,原稽查問題所揭示的風險沒有得到控制,剩余風險沒有明顯下降。

篇5

【關鍵詞】信用風險評估 判別分析 Logit模型 BP人工神經網絡模型

一、引言

銀行在現代經濟體系中發揮著非常重要的作用,尤其是在創造貨幣存款、實現金融政策效率、社會投資實現等方面都起到了舉足輕重的核心作用。信用風險評估是銀行信用風險管理的關鍵環節,關系到銀行自身的生存和經濟社會的穩定和繁榮,世界上所有國家都非常重視對銀行信用風險的監管和評估,特別是發達國家更是對此關注度極高。我國商業銀行和金融市場仍處在轉軌和新興發展階段,信用風險管理方法和技術比較落后,因此加快我國信用風險評估方法研究顯得尤為必要和迫切。

信用風險評估方法的研究可以追溯到上世紀30年代,大致經歷了比例分析、統計分析和人工智能三個階段。本文試圖通過闡述統計模型和人工智能模型中的典型代表來分別闡述其實現條件和過程,分析各種方法的不足,并對我國銀行信用風險評價方法給出評價和建議。

二、兩類銀行信用風險評估方法介紹

(一)傳統統計方法概述

傳統的統計分析方法主要是基于多元統計分析方法,其基本思路是根據已經掌握的歷史上每個類別的若干樣本,從中分析出分類的規律,建立判別公式,用于新樣本的分類,典型的代表有多元判別分析(MDA)和Logit模型分析。

1.多元判別分析(MDA)。數理統計理論中判別分析模型主要有三類,分別是距離判別法、Bayes判別分析法、Fisher判別分析法;在三種判別分析方法中,距離判別法是根據個體到總體間的距離進行判別;Bayes判別是在已知總體分布的條件下求得平均誤判概率最小的分類判別函數;Fisher判別是在未知總體分布函數的條件下,根據Fisher準則得到的最優線性判別函數,Fisher準則的基本思想就是利用一元方差分析思想,導出線性判別函數。

2.Logistic模型的提出。由于多元判別分析模型(MDA)在應用的過程中要求有正態分布的假定,而在現實經濟生活中常無法滿足,所以當涉及到一些樣本數據不同分布于正態分布時,應用MDA模型所得到的研究結果缺乏可信度,從而探索非同分布的方法就十分必要,其中最常見的一種方法就是應用Logistic模型,Logit分析與MDA分析最本質的差異就在于Logit分析不需要樣本滿足正態分布或同方差,其判別正確率高于判別分析結果。Logit模型采用logistic函數,函數形式如下:

Y=,η=с0+cixi;

其中xi(1≤i≤p)表示第i個指標,ci是第i個指標的系數,Y是因變量,因為Y∈(0,1),所以Y也可以理解為屬于某一類的概率。

由于logit分析無需假定任何的概率分布,所以就不需要類似于判別分析那樣先進行檢驗而是可以直接應用樣本數據計算,以得到logit模型。

(二)人工智能模型(AI)概述

1.人工神經網絡及BP神經網絡概述。人工神經網絡是一種具有模式識別能力的計算機制,它具有自組織、自適應和自學習三大特點,它的編碼可以用于整個的權值網絡,不僅可以呈現分布式存儲,而且具有相當大的容錯能力。在人工神經網絡中,下面提到的BP神經網絡技術是算法最成熟且應用最廣泛的一種。

2.BP神經網絡的基本原理和算法。第一,BP神經網絡的基本原理。

BP神經網絡屬于前向三層即前饋式神經網絡的一種典型分支代表,主要是由以下三個部分組成即輸入層、隱含層和輸出層組成。

第二,BP神經網絡的基本算法。

BP學習算法的基本思想是通過由輸入層輸入的信息,傳導至隱層分析后再由輸出層輸出,如果輸出層的結果未達到期望值要求則計算每個神經元的誤差值并且將這些誤差值重新反向傳遞到隱層的神經元,根據誤差值調整各個神經元的連接權值,直到誤差值達到了期望值的要求。

BP神經網絡技術一般運用傳遞函數來反映下層的輸入對上層節點的刺激脈沖強度,因此傳遞函數又稱為刺激函數,通常情況下取(0,1)內連續取值Sigmoid函數。

Sigmoid函數函數可以表示為:

該函數可以用于計算和反映出實際的計算輸出與期望輸出間的誤差大小。

三、兩類方法存在問題的分析

(一)統計分析方法存在的問題

傳統統計分析模型是以歷史數據作為分析和建立模型的基礎,這些數據僅以會計賬面價值為原始來源,沒有將銀行貸款者的非財務因素納入模型當中,并且這些會計賬面數據屬于離散和非連續性的數據類型,因此很難捕捉到這些銀行貸款者信用狀況細微和快速的變化,無法對貸款者的信用狀況做出比較全面的評價。另外,該類模型處理速度慢且數據的準確性較差,屬于靜態模型沒有自主的調整能力。

(二)人工智能模型存在的問題

人工智能模型最大的缺陷在于指標和加權值的確定帶有很大的主觀性和不確定性,造成在網絡結構確定方面存在較大困難,另外該模型的訓練效率比較低,解釋能力也比較差,在建模過程中經常出現組合爆炸和過度擬合等問題。其典型代表神經網絡系統的缺陷主要有以下幾個方面,第一,所謂“黑箱子”問題,即神經網絡沒有辦法確定輸入變量之間的具體的函數關系,也無法產生有效的統計規則來解釋模型的具體運行過程,這使得模型在應用時缺乏透明度和可信度;第二,在指標選取方面,神經網絡模型對于非線性的方法沒有統一具體的成熟方法進行分析指標選取;第三,模型結構的問題,神經網絡模型在應用過程中效果表現的好壞和預測結果的精確程度主要決定于系統結構的設計是否合理和科學,但是如果想要得到一個比較好的神經網絡結構通常會消耗大量的人力和時間,這些在實際的建模過程中經常無法同時滿足。

四、對我國銀行信用風險評估的啟示

(一)我國銀行信用風險評估存在的問題

我國商業銀行信用風險評估方法的主要缺陷可以概括為以下幾個方面,首先,在商業銀行信用風險評估中,大部分采用的仍然是專家系統機制,即通過個別專家系統的經驗和個別風險分析人員提供的信息來對信貸的風險進行評估和決策,這就導致信用風險評估效果較低且銀行無法及時地應對金融市場的即時變化;其次,國內對銀行信用風險評價方法的研究中大都缺乏定性分析和定量分析相結合的探索,片面的停留在定性分析和定量分析的兩個極端,第三,在現今的銀行信用風險評估指標體系方面,沒有形成客觀、科學、有效的指標體系,大多數信用風險模型選取的都是財務性指標而缺乏那些影響信用風險的非財務指標;最后,由于我國金融市場的發展起步較晚,銀行業各種運作機制存在很多的問題尚待完善和發展,其中很重要的一點就是我國商業銀行在客戶資料收集、整理和存儲方面存在很大的不足,未能建立有效的風險評估數據庫系統,不能為風險評估模型的運用提供很好的樣本基礎,成為制約我國風險評估方法發展的一大瓶頸。

(二)對我國銀行信用風險評估的啟示

雖然我國商業銀行信用風險評估的方法和理論得到了不斷地發展,但其中仍存在需要改進的地方。在我國,大多數先進的銀行信用風險評估方法是建立在西方發達國家商業銀行對歷史數據的統計分析和經驗總結的基礎上,還不能夠直接應用到我國商業銀行信用風險評估當中,因此我國商業銀行在研究和探索信用風險評估方法時必須考慮到我國自己的基本國情、金融市場發展的現狀以及銀行業自身發展的客觀現實等。

針對以上分析的國內信用風險評估方法發展的現狀,我們可以通過從以下幾個方面來改善和提高。一方面,商業銀行應該建立切實有效的企業信貸風險管理數據庫系統,加強對企業各類違約風險評估數據的收集、整理和管理,及時更新和加強數據庫的建設。另一方面,商業銀行需要建立自身內部的信用評價體系,為現代信用風險評估的運用創造適宜的條件和基礎,將定性方法和定量方法相結合,進一步推動我國銀行信用風險評估方法的發展。最后,任何完善的信用風險評估方法都離不開高素質的專業風險管理人才,因此加強信用風險評評價的人才隊伍建設也是一個刻不容緩的課題,商業銀行應該加快培養高素質信用風險評估人才的步伐,同時要在全球范圍內大量吸納那些已經具備信用風險評估專業知識和技術的優秀人才,為推動我國信用風險評估方法的進步不斷尋求突破。

參考文獻

[1]柯孔林,周春喜.商業銀行信用風險評估方法研究述評[J].商業經濟與管理,2005(6)

[2]王建新,于立勇.基于信用風險度的商業銀行風險評估模型研究[J].管理工程學報,2007(4)

[3]徐曉霞,李金林.基于決策樹法的我國商業銀行信用風險評估模型研究[J],北京理工大學學報,2006, 8(3)

[4]王莉,鄭兆瑞,郝記秀.BP神經網絡在信用風險評估中的應用[J].太原理工大學學報,2005,36(2)

[5]韓崗.國外信用風險度量方法及其使用性研究[J],國際金融研究,2008

[6]閆曉麗,徐建中.商業銀行信用風險評估模型比較研究[J],哈爾濱工業大學學報(社會科學版),2007,9(2)

[7]鄭毅,藺帥.遺傳神經網絡在商業銀行信用風險評估中的應用[J].社會科學家,2008,(1)

篇6

基本情況

____年,江西省大余縣人民檢察院試行案件管理工作初具雛形,采取的是與控申科合署辦公的模式,功能較單一,主要是負責收送案工作。20__年底,該院案管辦正式成立,2013年7月案管辦經正式批文核準為內設機構,2013年9月案管辦受理中心建設完成,并制定了《大余縣人民檢察院案件管理暫行辦法》、《大余縣人民檢察院案件流程管理暫行規定》、《大余縣人民檢察院接待、聯系辯護人、訴訟人暫行規定》等工作制度,律師接待模式是業務部門和案件管理部門混合接待。2014年律師接待統一在案件管理辦公室,涉案款物管理工作以及數據統計工作移交案件管理辦公室。

存在的問題

閱卷方式存在的細節問題。律師現在的閱卷方式基本都是采取拍照的方式,回律所后自行打印,這種拍照的方式簡單、便捷,但是存在的隱患也不小。2014年以來,大余縣人民檢察院案管辦接待的申請閱卷的律師中,數人提出用手機或PAD等具有上網功能的電子設備對案卷進行拍照,我們考慮到網絡泄密的可能性比較大,提出更換拍照工具。另外拍照、復印等方式可能導致未成年當事人、尤其是未成年受害人的基本情況外泄,與刑訴法保護未成年人的精神相沖突。

涉案款物管理存在的細節問題。作為基層檢察院,必定會有案件移送市院審查,那么在這個過程中,就涉及到涉案款物的移送,按照規范模式,案件移送的同時涉案款物也要隨案移送至市院,而公訴開庭時,一般又是在犯罪嫌疑人關押地開庭,則涉案款物又要再送至基層法院,在這往來的過程中,長途運輸的顛簸、天氣變化以及人為因素,可能導致涉案款物的遺失或性狀的改變,從而影響款物的證明力。

案件風險評估存在的細節問題。個別案件根據規定應當屬于有一定風險的案件,但是承辦人在開展案件風險評估時并未指出其具有風險性,而案件管理部門并不直接與當事人等接觸,因此并不清楚案件是否有風險,就可能導致個別有風險的案件被當做無風險案件同樣處理,甚至可能由于重視不夠導致矛盾最終激化,風險等級提升。

案件評查獎懲機制存在的細節問題。目前案件評查工作對如何評查制定了較為詳細和操作性較強的規范制度,但是監督整改手段卻還是很薄弱,主要還是依靠通知整改的形式,對承辦人的約束和激勵機制不健全,這就可能導致評查力度雖大,但整改不到位或改正后又出現等問題。

意見和建議

進一步詳細規范律師閱卷工作。當下一些年青律師在閱卷時,使用手機等拍照,但是手機這種電子載體,極易感染病毒,不經意間就可能導致案件信息外泄,,建議明確規定律師如果采取拍照方式只能采用不具有上網功能的電子設備。另外對于涉及未成年人犯罪案件,根據刑訴法第275條,“應當對相關犯罪記錄予以封存”。對于這些案件閱卷的,筆者認為不宜采用復印或拍照等閱卷方式,律師雖保密義務,但經過走訪,發現各律所發展狀況不一,硬件參差不齊,檔案管理制度不健全,刑訴法所要求的封存,難以從真正意義上實現。建議明確規定對涉及未成年人當事人及當事人隱私的證據采用摘抄等形式,確有復印、拍照等需要的,建議遮擋住關鍵信息再復印或拍照。

涉案款物跨地區流轉簡易化。實踐中,涉案款物多為物證,對于這些物證,公訴卷內一般有提取筆錄、辨認筆錄、照片等,承辦人通過以上的材料基本能確定該物證的證明作用,因此為了更好地保護涉案款物尤其是物品,建議對于涉案款物一般采用照片移送審查的方式,除非承辦人認為有必要隨案移送的。另外由于上下院公訴與案管部門溝通渠道不暢可能導致涉案款物滯留,建議上級檢察院案件管理部門通過一定的渠道,定期對上級檢察院到基層開庭的時間予以公布。

篇7

關鍵詞: 現代風險導向審計 重大錯報風險評估 程序 方法 建議

一、引言

我國在新準則中所提倡的現代風險導向審計是指注冊會計師通過了解被審計單位及其環境,評估被審計單位的風險程度,確定剩余風險,執行額外審計程序,將剩余風險降低到可接受的水平。現代風險導向審計是以戰略觀和系統觀為核心,強調以了解被審計單位的經營戰略及其業務流程為起點,以識別、評估和應對會計報表重大錯報風險為中心進行審計,側重于評估財務報表重大錯報風險。新的審計風險模型為:審計風險=重大錯報風險×檢查風險;重大錯報風險是指會計報表審計前存在重大錯報的可能性。重大錯報風險分為兩個層次:報表整體層次的重大錯報風險和認定層次的重大錯報風險。通過對財務報表整體層次的重大錯報風險風險分析,可以在源頭和宏觀上分析和發現會計報表錯報,從而解決高層串通舞弊、虛構交易或事項而導致財務報表存在錯報的問題。認定層次的重大錯報風險主要來源于經濟交易事項本身的性質和復雜程度與實際不符,企業管理當局由于本身的認識和技術水平,以及由于企業管理當局局部或個別人員舞弊或造假造成的風險。

一、重大錯報風險評估的意義

(一)作為現代風險導向審計重心的重大錯報風險評估,通過注冊會計師對財務報表整體層次和認定層次來評估重大錯報風險的評估可以更好地針對評估出的財務報表層次的重大錯報風險和認定層次的重大錯報風險,合理運用職業判斷分別確定總體應對措施和設計、實施進一步審計程序,將審計風險降至可接受的低水平。

(二)重大錯報風險評估中還注重強調注冊會計師評估的財務報表層次重大錯報風險,以及采取的特殊的舞弊風險因素的考慮,對擬實施進一步審計程序,以及整體審計策略都具有重大影響。

(三)重大錯報風險評估從戰略和系統的角度全面考慮被審計及其環境,運用戰略分析等先進審計技術方法,識別和評估重大錯報風險,提高了審計效率,降低了審計風險。

二、重大錯報風險評估的程序和方法

(一)重大錯報風險評估程序

1.了解被審計單位及其情況,對客戶進行戰略經營分析,包括戰略分析和經營流程分析,以評估戰略風險和經營流程風險,戰略風險和經營流程風險構成了戰略經營風險。

2.了解被審計單位財務業績的衡量和評價,以及被審計單位對會計政策的選擇和運用,初步評估績效風險。

3.經過對被審計單位經營戰略、經營流程、經營績效的分析,審計師已經對客戶的內部控制有了初步的了解,運用內部控制評價法對被審計單位內部控制結構的評價而確定控制風險水平。

4.綜合考慮被審計單位的戰略風險、經營流程風險、績效風險、控制風險與特殊考慮的舞弊風險,系統地評估財務報告的重大錯報風險。

(二)重大錯報風險評估方法

1.戰略分析。注冊會計師主要是通過分析外部環境中威脅客戶成功執行戰略,從而達到經營目標的潛在風險因素來識別戰略風險的。

公司的外部環境是指那些能影響公司經營成敗,但又在公司外部而非公司所能完全控制的外部因素。分析公司外部環境的目的,就是要找出外部環境是否存在為公司提供的可以加以利用的發展機會,以及外部環境對公司發展是否構成威脅。通過各個行業的外部經營風險評價標準對企業在宏觀環境中的存在的潛在風險進行分析。

2.經營流程分析。注冊會計師通過分析被審計單位內部環境,理解被審計單位的經營流程,識別關鍵經營環節,進行經營流程風險的評估。

(1)通過分析出重要的戰略風險識別出關鍵經營環節。在戰略分析后,注冊會計師需要匯總已經識別出的戰略風險,根據其重要程度來識別戰略經營風險所指向的關鍵經營環節,并對所識別的關鍵經營環節進行分析。

(2)通過重要的交易類別和其他異常情況識別出關鍵經營環節。通過戰略分析后,注冊會計師在對被審計單位的經營管理的理解,確定對企業經營業務的重要交易類別和異常情況是否對相關會計報表及其認定的影響。根據影響的重要程度來識別被審計單位的關鍵經營環節。

3.內部控制評價分析。內部控制評價法是指通過對被審計單位內部控制結構的評價而確定審計風險水平的一種方法。

對內部控制的評價可以分三步進行:首先,了解企業的內部控制結構并作出相應的記錄;其次,實行符合性測試,證實有關內部控制的設計和執行的效果;最后,評價內部控制的強弱,即評價控制風險。注冊會計師可以通過包括詢問、審閱證據、實地觀察、追蹤執行過程等方法,據以評估因內部控制產生的相關可能導致重大錯報的控制風險。

4.舞弊風險因素分析。關注和評價舞弊風險為核心的謹慎行為構成現代審計的重要內容,它同時也體現出一種風險意識而非利益意識的現代審計策略、思維。注冊會計師最大的敵人是管理層舞弊,管理層舞弊往往會繞過或逾越內部控制,所以過去的審計方法往往會導致控制風險很低而實際上審計風險很高的問題。

三、在我國實務中運用重大錯報風險評估方法的建議

(一)運用重大錯報風險評估方法前提條件

要對重大錯報風險進行正確的評估,必須滿足以下前提條件。

1.審計人員需具備較高的職業素質。正確評估重大錯報風險是建立在對企業環境特別是與企業有關的環境充分了解、分析的基礎上的,其對審計人員提出了較高要求,審計人員不僅需具備專業知識,掌握管理、統計等基本知識,而且應對金融、法律政治常識有所了解。

2.企業應做好財務基礎工作,具備審計條件。被審計企業必須建立完整的憑證、賬簿等財務核算系統和財務核算制度,做到賬證一致、賬表一致,使審計人員有基本的、充分的財務資料依據。

3.健全注冊會計師組織管理體制,建立規范的執業競爭機制,使審計人員真正做到獨立、客觀、公正。這是注冊會計師的靈魂,是審計工作開展的基本前提,如果無法保證,整個審計工作就會失去意義,審計人員也就無法發揮其作用。

4.良好的審計環境、健全的各項法規制度、審計執業界同社會各界的良好聯系與溝通、社會各界對審計工作的廣泛支持,是正確處理重大錯報風險的前提。審計是一項需要協同合作的工作,如果失去了社會各界的理解與支持,審計工作將難以進行,重大錯報也將無從披露,審計就失去了其存在意義。

(二)運用重大錯報風險評估方法的建議

1.提高和完善審計從業人員素質。應大力培養專業人才,以及提升注冊會計師謹慎的執業判斷能力,完善制定執業后續教育準則的具體準則,加大對注冊會計師的后續教育培訓,不斷在后續培訓中提升注冊會計師在管理、統計等基本知識,以及金融、法律政治常識的綜合能力。

2.完善公司治理結構。制定相關法律,完善上市公司“審計委員會”制度。對被審計單位管理當局更換會計師事務的隨意性進行了約束,同時督促上市公司財務報告及相關信息的規范運作,防止注冊會計師受管理人員左右,加強注冊會計師在執業中獨立性的監督。

3.加強立法,明確事務所及注冊會計師的執業法律責任。從注冊會計師擔負的社會責任出發,從維護社會公眾利益出發,從注冊會計師行業存在的必要性出發,明確注冊會計師和會計師事務所的法律責任,特別是經濟責任的承擔,使行業在法制的范圍內良性競爭。

4.加強信息系統的建設。會計師事務所必須建立強大的信息系統,以便注冊會計師在對被審計單位進行風險評估時更好地了解企業的戰略、風險管理、業績衡量等情況及環境,系統戰略評估被審計單位的重大錯報風險,提高審計效率,降低審計風險。

綜上所述,作為現代風險導向審計重心的重大錯報風險評估在審計實務中起著關鍵的作用,規范與使用重大錯報風險評估的程序和方法可以提高審計效率,保證審計質量,促進我國注冊會計師在實務中執業能力的提高。

參考文獻:

[1]劉明輝.高級審計理論與實務.東北財經大學出版社,2006.

[2]卓繼民.現代企業風險管理審計.上海財經大學出版社,2006.

[3]徐政旦,謝榮.審計研究前沿.上海財經大學出版社,2002.

[4]王澤霞.管理舞弊導向審計研究.機械工業出版社,2005.

[5]蔡春,趙沙.現代風險導向審計論.北京,中國時代經濟出版社,2006.6.

篇8

本文立足于人民銀行內部審計逐步從合規性審計向風險導向審計、績效審計等發展背景,積極探索風險導向審計在人民銀行業務中的應用,分析基層人民銀行在運用風險導向審計中出現的問題,并提出相應的對策建議,促進人民銀行強化風險管控。

【關鍵詞】

風險導向審計;人民銀行內部審計;風險管理

2011年,人民銀行總行下發了《人民銀行內審工作轉型2011~2013年規劃》,提出構建以風險為導向、以控制為主線、以治理為目標、以增值為目的的內部審計新模式,這種審計模式的轉變是高效履行人民銀行職責的客觀需要。面對愈來愈復雜多變的國際經濟形勢和金融改革不斷深化的國內形勢,人民銀行面臨的內外部風險逐漸加大,風險事項的構成也趨于復雜。因此,適時開展風險導向審計既符合審計工作的發展方向,也是內審更好服務于中央銀行履職需求,實現內部審計價值增值的重要突破口。

一、風險導向審計在基層人民銀行業務中的探索應用

2016年,克拉瑪依中支探索開展了貨幣金銀業務風險導向審計,根據風險導向審計理論和人民銀行業務實際調整了審計風險模型,即審計風險=系統風險(固有風險)×可控制風險,制定了風險導向內部審計應遵循“確立目標—風險識別—風險測量—等級認定—風險控制”的審計流程,并根據貨幣金銀部門的履職目標建立了7個一級指標、21個二級指標和93個三級指標,規定各風險點的評估標準、內容和方法,形成較完善的風險評價體系,審計結果得到被審計部門的充分認可,同時內審人員也發現運用風險導向審計還存在一些亟待解決的問題。

二、風險導向審計在基層人民銀行內部審計運用中存在的問題

(一)數據收集不完整未開發審計信息系統

風險導向審計模式的基礎是通過了解被審計對象的履職目標、業務流程和控制措施,掌握翔實的數據開展風險評估和分析測試,然后針對風險點設計個性化的審計程序,分配相應的審計人力資源。然而,現階段內審部門與央行業務部門之間尚未實現數據庫連接,沒有形成一個強大的信息網絡系統,內審部門獲取的信息數據主要依賴于過去開展的審計項目資料的積累,掌握的是被審計對象的歷史數據,不能實時反映當前人民銀行的業務風險現狀,加之這些零星片面的信息沒有形成風險狀況的數據積累,影響了風險評估的客觀性和真實性。

(二)風險的正確評估與量化的審計手段缺乏

一是對風險識別、風險度量、風險控制和風險監測等環節缺乏有效的技術手段和實用工具,主要依靠手工查看會計憑證、報表等審計方式,使內審人員在業務的風險量化上容易受個人素質和經驗差異的影響,制約了風險評估技術的準確性和科學性;二是央行各項業務均實現電子化、網絡化和數據集中,而內審人員由于沒有參與這些系統的推廣培訓,對新系統、新業務的風險很難全面了解,導致實踐中內部審計更側重于對制度執行的檢查測試,且大多依賴于詳細審計或審計者個人經驗判斷的抽樣審計方法,難以準確地界定抽樣范圍和重點,導致審計人員不能令人信服地解釋抽樣審計的結果,也無法利用這一結果對被審計業務進行客觀公正的評價。

(三)審計檢查程序與現行審計要求有一定的差距

風險導向審計是對各種風險進行全面了解、識別,側重于對風險的判斷和執行中存在的薄弱環節或缺陷,不特指已存在的違規情況,更多是對未發生風險的一種預警,作為一種風險提示作用,加之風險的存在也不是孤立的,涉及到主觀能動性、客觀局限性、系統完善性乃至整個政策有效性,且各種風險隨時都處于不斷更替、變化中,用整改問題的方法對待風險導向型審計的結論,不能夠全面體現風險導向審計的成果轉化。因此,現行制度對程序完整性的要求影響了風險導向審計的開展效果。

(四)內審人員素質不能滿足風險導向審計需求

在風險導向審計模式下,要求內審人員根據已獲得的被審計部門的信息,運用分析性測試程序獲取審計證據,然而各風險要素的評估、審計證據收集的數量和方法,都與內審人員的素質息息相關,目前基層內審人員數理統計以及風險管理等方面的知識相對缺乏,他們對風險的預測尤其是對有關風險點、證據的判斷多是憑工作經驗做出的推理,具有較強的主觀臆斷性。

三、推動風險導向審計在人民銀行內部審計運用的對策建議

(一)加強內審數據庫建設

風險導向審計的核心是深入了解被審計對象所面臨的各類風險和開展風險評估,因此,獲取翔實豐富的數據資料是實施風險導向審計的關鍵,內審人員對被審計對象的風險評估結果與實地審計測試結果出入大小取決于其所掌握的信息資料的多少,因此建議總行在業務軟件上開設審計接口,探索建立包括央行業務及管理流程等內容的風險數據庫,明確風險監測變量、風險指標和評估標準等內容,加強對重點業務、重要崗位的風險監測,實現對審計所需數據實時采集加工、動態的監控,使內審工作走出“信息孤島”,為風險導向審計的實施提供直接的信息支撐。

(二)探索推廣計算機輔助系統應用

審計手段的現代化已成為改革的大趨勢,因此要不斷探索完善審計的模式和方法,對人民銀行重要業務領域,如貨幣發行、支付結算、國庫、會計、科技等部門開展審計時,通過總行層面提取審計數據,逐步探索使用計算機輔助審計技術,通過計算機輔助審計軟件對海量數據進行篩選,實現快速分類、靈活分析,效避免人為因素的影響,提高分析的效率和精度,使審計結果更趨于科學、規范、合理。

(三)加快推進人民銀行風險導向審計制度建設

通過借鑒國外和其他行業的先進做法和經驗,制定符合人民銀行內部管理體制和業務特點的風險導向審計操作規程,擴大審前調查和風險數據分析應用,不僅對違規事實進行確認,還要對潛在的風險事項和風險點進行提示和關注,要求被審計部門制定風險管控措施,使其逐步接受風險管理理念,發揮好內部審計監督與服務作用。

(四)培養專業化的內審隊伍

內審轉型是一種理念和方法的更新,需要我們深入學習研究國內外審計理論和方法,把握好風險導向審計的內涵和外延,并將其與央行業務進行有效結合,才能發揮好內部審計服務組織治理的作用;同時加強內審人才培養,使其不僅精通審計理論和會計知識,還要掌握數理模型分析、計算機和經濟金融等知識,促進內審人員轉變審計觀念、拓寬審計思路,達到提高自身素質的目的。

作者:王海容 單位:石河子大學經濟與管理學院

參考文獻

[1]中國人民銀行廣州分行課題組,風險導向審計在人民銀行風險管理中的應用研究[J].南方金融.2008(09).

[2]楊淑慧,龔文清.風險導向審計模式在人民銀行內部審計中的運用研究[J].金融與經濟.2011(08).

篇9

【 關鍵詞 】 工控設備;風險評估;安全隱患;安全防護

Security Risk Assessment and Practice for Industrial Equipment

Xie Bin He Zhi-qiang Tang Fang-ming Zhang Li

(Institute of Computer Application, China Academy of Engineering Physics SichuanMianyang 621900)

【 Abstract 】 Security information incidents occur recently shows, industrial system has become the main target of foreign information security attacks, safety protection for industrial control system must be strengthen. Industrial control system, is not office system, it has many intelligent devices、embedded operating system with various special protocols, especially intelligent equipments which has more high integration、specialty-industry, private kernel and lack efficient control technology for data interface, security risk assessment method and standard for industrial control system has not informed. In this paper, security confidential risk assessment model and process for industrial equipment is proposed. For 840D industrial system, security risk assessment method is given to assess the full life of 840D.Last,some safety protections for confidential security is advised to adopted to protect industrial system.

【 Keywords 】 industrial equipment; risk assessment; security threat; safety protection

1 引言

近年來,越來越多的數控設備和工控系統應用到工業生產中,它們更多地采用了開放性和透明性較強的通用協議、通用硬件和通用軟件,并通過各種方式與企業管理網、互聯網等公共網絡連接。根據CNNVD搜集的漏洞數據和CNCERT的網絡安全態勢報告,這些工控系統中存在的各種漏洞、病毒、木馬等威脅正在向工業控制系統擴散,工業控制系統信息安全問題日益突出。

近期披露的信息安全事件表明,信息安全問題已經從軟件延伸至硬件,從傳統的網絡信息系統延伸至工業控制系統、大型科研裝置、基礎設施等諸多領域。對于工控系統以及工控設備的安全性測試和風險評估也變得重要起來。

工控系統與辦公系統不同,系統中使用智能設備、嵌入式操作系統和各種專用協議,尤其是智能設備具有集成度高、行業性強、內核不對外開放、數據交互接口無法進行技術管控等特點,工控系統的安全風險不能直接參照辦公系統的風險評估標準,其評估方法、標準還在不斷研究和探索中。

2 工控設備風險評估模型和流程

2.1 工控設備風險評估模型

工控設備安全保密風險需求主要涉及到三大方面:一是工控設備所處的物理環境安全,如防偷竊、非授權接觸、是否有竊聽竊視裝置等;二是工控設備自身的安全,主要分析包括硬件、軟件、網絡和電磁等方面的安全;三是工控設備的安全保密管理問題,包括其管理機構、人員、制度、流程等。在對工控設備安全保密需求分析的基礎上,本文結合工控設備安全檢測的需求,提出了工控設備安全風險評估框架,如圖1所示。

2.2 工控設備安全保密風險評估流程

針對上述評估模型,本文按照檢測對象、風險分析、檢測方案、結果評估的流程開展工控設備安全保密風險評估,如圖2所示。

1)檢測對象:確定設備用途,分析基本組成;

2)風險分析:根據不同設備類型,按照風險評估模型進行風險分析;

3)檢測方案:依據根據風險分析結果制定檢測方案,準備檢測工具、環境,明確檢測項目、要求和方法;

4)結果評估:依據檢測方案執行檢測,完成所有檢測項,依據檢測結果進行評估,對發現的可疑風險點進行深入檢測,修訂檢測方案,綜合評估。

3 數控設備安全保密風險評估實踐

3.1 檢測對象

數控機床主要用于各種零部件的生產加工,機床包括機床主體和核心控制系統。840D控制系統是西門子公司推出的一款功能強大、簡單開放的數控系統,本次數控設備安全保密風險評估的主要內容也是針對該控制系統。

840D sl將數控系統(NC、PLC、HMI)與驅動控制系統集成在一起,可與全數控鍵盤(垂直型或水平型)直接連接,通過PROFIBUS總線與PLC I/O連接通訊,基于工業以太網的標準通訊方式,可實現工業組網。其各部分硬件組成結構、拓撲結構、軟件系結構統如圖3、4、5所示。

3.2 風險分析及評估

3.2.1 物理安全

通過對840D數控機床設備所處的房間進行物理安全檢查,區域控制符合要求;竊聽竊照檢測,未發現有竊聽竊照裝置;通過對房間的進行聲光泄漏檢測,符合相關安全要求。

3.3.2 系統自身安全

1) 操作系統

脆弱點分析:

* 基本情況

> SINUMERIK 840D PCU采用Windows XP平臺

> 一般不會對Windows平臺安裝任何補丁

> 微軟停止對Windows XP的技術服務

> NCU系統為黑盒系統

* PCU

> RPC遠程執行漏洞(MS08-067)

> 快捷方式文件解析漏洞(MS10-046)

> 打印機后臺程序服務漏洞(MS10-061)

> 系統未安裝任何防火墻軟件和殺毒軟件

* NCU(CF卡)

> SINUMERIK 840D系統的NCU采用的西門子自有的內嵌式Linux系統,該系統在編譯時經過特殊設計,只能在SINUMERIK系統環境下運行;

> 可以對CF卡進行映像和重建,而且新建的CF卡可以在SINUMERIK 840D系統上成功啟動;

> NCU系統中設定了不同的用戶及權限,但內置的用戶及口令均以默認狀態存在系統存在默認用戶及口令;

> SNMP服務存在可讀口令,遠程攻擊者可以通過SNMP獲取系統的很多細節信息。密碼可暴力猜解,snmp服務密碼為弱口令“public”。

風險:

* 攻擊者可以利用漏洞入侵和控制SINUMERIK 840D系統的PCU,獲取到相應操作權限,對下位機下達相應指令;

* 由于在CF卡上有用戶數據的存放、HMI應用程序顯示的數據以及系統日志文件,因此通過對CF卡的復制和研究可還原用戶存放數據、PLC加工代碼等信息;

* 只要通過PCU或者直接使用PC安裝相應的管理軟件,通過網絡連接到NCU,即可使用以上用戶和口令進行各類操作;

* 攻擊者一旦得到了可寫口令,可以修改系統文件或者執行系統命令。

2) 應用系統

* 基本情況

> 應用軟件多種多樣,很難形成統一的防范規范;

> 開放應用端口,常規IT防火墻很難保障其安全性;

> 利用一些應用軟件的安全漏洞獲取設備的控制權。

* 重要應用――Winscp

脆弱點分析:是一款遠程管理軟件,其可通過ssh、SCP、SFTP等加密協議對下位機進行一定權限的系統命令操作; 通過winscp軟件可以對NCU進行遠程管理,需要相應的用戶賬戶和密碼。賬戶和密碼可通過協議漏洞獲取,如表1所示。

風險評估:攻擊者機器上直接登錄winscp遠程控制NCU。進一步,可對下位機NCU進行信息的竊取(G代碼等相關數據均存于此)、系統破壞、上傳病毒、木馬、后門等作進一步攻擊。

* 重要應用――VNC Viewer

脆弱點分析:VNC是一款功能強大的遠程管理軟件。可接受管理人員鍵盤、鼠標等幾乎全部本地的控制操作;840d工控系統上位機所采用的VNC遠程管理軟件為通用軟件,不需要登錄認證。

風險評估:在內網的攻擊者只需一款普通VNC就可以實現對下位機的遠程的、完全的控制。

* 重要應用――HMI

脆弱點分析:HMI(直接發出指令操控機器的計算機軟件),可裝在任何符合條件的PC上,通過工程調試模式(直連管理口)連接NCU,進行配置信息的查看修改。

風險評估:物理接觸、調試,不僅存在信息泄露、甚至可能存在致使系統崩潰,或者植入軟件后門的風險。也可通過網絡配置實現對下位機的控制操作 。

3) 通信協議

> SINUMERIK 840D采用TCP/IP 協議和OPC 協議等通信,通信協議存在潛在威脅;

> 網絡傳輸的信息是否安全;

> 容易讀取到網絡上傳輸的消息,也可以冒充其它的結點。

* 協議――MPI

脆弱點分析:MPI MPI是一種適用于少數站點間通信的多點網絡通信協議,用于連接上位機和少量PLC之間近距離通信。MPI協議為西門子公司內部協議,不對外公開。

風險評估:尚未發現MPI多點通訊協議的安全問題。

* 協議――G代碼傳輸協議

脆弱點分析:G代碼是數控程序中的指令,它是數控系統中人與制造機床的最本質橋梁,是上位機對下位機及加工部件最直接最根本控制;G代碼傳輸采用的是基于TCP/IP協議之上的自定義協議,其傳輸過程中的G代碼裝載、卸載,PC_Panel上按鍵操作等都是進行明文傳輸。

風險評估:攻擊者不僅可以嗅探到完全的G代碼及上位機操作信息。而且可以對傳輸過程中的G代碼進行篡改、重放,致使下位機接收錯誤的命令和數據,從而使得工業控制系統不可控,生產制造不合格甚至帶有蓄意破壞性的工件。

4) 其他部分

* 數據存儲

脆弱點分析:生產加工數據明文存放于PCU上,缺少必要的安全增加及保護措施。

風險評估:數據存在被非法獲取的隱患。

* 特定部件

脆弱點分析:G代碼在CF卡上有臨時備份,通過數據處理,有可能獲取到加工參數。

風險評估:可通過非法拷貝等方式對加工數據進行獲取。

* 硬件安全

脆弱點分析:是否存在危險的硬件陷阱,如邏輯鎖等安全問題。

風險評估:目前尚未發現。

3.3.3 管理安全

1)人員安全意識 工業控制系統在設計時多考慮系統的可用性,普遍對安全性問題的考慮不足,缺乏相應的安全政策、管理制度以及對人員的安全意識培養。

2)安全審計 缺少對系統內部人員在應用系統層面的誤操作、違規操作或故意的破壞性等方面的安全審計。

3)安全運維與管理 缺少對賬號與口令安全、惡意代碼管理、安全更新(補丁管理)、業務連續性管理等關鍵控制領域實施制度化/流程化、可落地的、具有多層次縱深防御能力的安全保障體系建設。

4)核心部件使用管理 缺乏對類似NCU的CF卡這些核心部件的使用、復制和保管進行安全管理,防止非信任人員的接觸的管理規定。

4 工控設備安全防護建議

1)建立縱深防御安全體系,提高工控系統安全性; 2)針對核心部件加強安全管理,進行嚴格的訪問控制;3)加強網絡脆弱性的防護、采用安全的相關應用軟件 、嚴格控制NCU服務; 4)加強對工業控制系統的安全運維管理; 5)建立有效的安全應急體系;6)從設備采購、使用、維修、報廢全生命周期關注其信息安全,定期開展風險評估,工控系統全生命周期如圖6所示。

5 結束語

隨著信息技術的廣泛應用,工控系統已經從封閉、孤立的系統走向互聯體系的IT系統,安全風險在不斷增加。做好工控系統安全保密風險評估非常重要,研究工控設備的風險評估模型、流程,開展數控設備的安全保密風險評估實踐,可以為工控系統的安全保密風險評估奠定重要的基礎。

參考文獻

[1] CNNVD. China National Vulnerability Database of Information Security [Z/OL]. (2011205221), http: //.cn/.

[2] CNCERT. 2010年中國互聯網安全態勢報告[Z/OL].(2011205221), CERT. 2010 report on the Internet Security Situation of China [Z/OL]. (2011205221), .cn.(in Chinese).

[3] NIST SP800-30.Risk Management Guide for Information Technology Systems[S]. Gary Stoneburner, Alice Goguen, and Alexis Feringa. National Institute of Standards and Technology(NIST),2002.

[4] GB/T 20984―2007.信息安全技術信息安全風險評估規范[S].北京:中華人民共和國國家質量監督檢驗檢疫總局,2007.

[5] GB/T 20984―2007. Information Security Technology―Risk Assessment Specification for Information Security [S].Beijing: General Administration of Quality Supervision,Inspection and Quarantine of the Peopleps Republic of China,2007. (in Chinese)

[6] 趙冬梅,張玉清,馬建峰.網絡安全的綜合風險評估[J].計算機科學, 2004,31(7): 66-69.

作者簡介:

謝彬(1966-),女,四川安岳人,中國紡織大學,大學本科,副主任,高級工程師;長期從事信息系統軟件測評、信息系統安全保密相關的技術研究,負責了多個項目的技術安全保密檢測、安全保密防護方案設計以及相關技術研究工作;主要研究方向和關注領域:信息安全相關技術、信息系統安全、工控系統安全。

賀志強(1983-),男,四川綿陽人,四川大學,碩士,測評工程師,工程師;主要研究方向和關注領域:信息安全技術、信息安全及相關技術。

篇10

關鍵詞:銀行;會計;內部控制

中圖分類號:F23 文獻標識碼:A 文章編號:1001-828X(2012)02-0-02

隨著社會的高速發展,金融銀行業在我國經濟社會中發揮著的越來越重要的作用,金融銀行業的健康發展對我國整個社會發展以及社會穩定具有非常重要的影響。國內銀行系統金融事件與金融風險的不斷出現,對我國銀行業的發展提出了嚴峻的挑戰,其根本原因幾乎都是內部控制所影響的,為此社會對完善和健全的內部控制問題關注程度加大。

銀行的業務大部分都集中由會計部門管理,銀行會計工作的好壞將直接影響著銀行本身的經濟效益和資產安全,會計內部控制是銀行內部控制的基礎,有效的會計內控制度建立是防范金融風險的有效防線。銀行業非常重視會計內部控制工作,有效地開展會計內部控制工作,對于銀行的快速平穩發展具有重要意義。本文通過探討銀行會計內部控制的主要問題,對進一步改革和完善銀行會計內部控制提出一系列的建議,進而為全面提升銀行內部控制水平,為我國銀行案件頻發的問題提供新的思路。

一、銀行會計內部控制存在的問題

(一)會計內部控制制度的不完善

會計內部控制制度建設滯后。從我國銀行會計業務處理中的實際情況看,計算機技術已經基本上普及,為此需要對有關會計制度提出新的要求,但網絡技術和計算機在銀行的運用比較不成熟,在我國銀行技術管理上相對比較薄弱;從大方向看,銀行在對內部控制中的新技術和新問題解決上的不充分,部分銀行是在開展業務后再進行對制度的應急完善,這給銀行埋下了隱患。因此如何使會計內部控制制度適用于現代科技發展速度的銀行會計業務是迫切需要解決的難題。

會計內部控制制度執行力度不夠。在制度執行過程中,員工不能認真嚴格按照相關業務規定簡易完成,對已訂立的內部會計控制制度沒有認真地對待,做出一些表面應付有關部門的檢查,并且存在有章不循,違章操作現象嚴重,導致內部會計控制制度形同虛設,削弱了制度的嚴肅性和剛性,制度的效果沒有顯現出來,使得工作產生隨意性,造成巨大的風險隱患。

(二)會計內部控制風險意識薄弱,風險防范方法落后

現在我國金融業的風險較高,對風險的防范工作成為銀行內部控制的重點之一。但在實踐中,大多數銀行會計人員的思想還是停留在強調會計工作要做到各種規章制度的匯總、稽核或管理層的事等規章制度的表面,對在工作業務運行過程中認為內部控制與會計關系不大,隨著金融市場的快速變化,業務內容的復雜化,風險因素的增加,會計管理人員對風險發生的預見性不足逐漸顯現,對風險控制的能力不強,風險意識淡薄等問題。

銀行沒有針對有風險的業務加以辨認、分類,認識關鍵的風險控制點進行風險評估框架的正確建立;沒有采用相適應的科學技術方法來分析風險發生后的目標的差異和實際情況;沒有對相關風險進行持續監控,風險預警系統建設的滯后是普遍現象,現階段也只是依據老方法提出改進風險管理的相關措施,使風險控制存在很大的弊端。

(三)會計信息系統戰略規劃問題

會計信息管理的手段滯后。目前銀行的會計業務處理基本普及了電子信息化,其好處是可以提高工作效率、減少核算環節,但是也增加許多新風險如人員管理、系統安全和信息安全等風險。這就要求需要科學的會計信息管理,將可能產生的風險控制在最小或可預見和接受的范圍內。

信息系統的科學建設。銀行會計的業務量巨大并且會計業務是相對獨立的,大量分散存放的會計數據需要多個部門分工協作才能完成,這些大量的數據信息需要使用計算機進行管理,信息技術的落后很容易導致會計信息失真。在信息監督方面,會計內部控制監督手段主要是以現場監督和賬簿表核對的審查方法,相對不斷更新的信息系統運行,顯現的比較乏力。

(四)會計內部控制人員配備問題

銀行在做會計內部控制的工作中,實施的主體是人,銀行會計內控制度的質量受人員素質的高低的影響是很大的。但現有大部分人員素質是跟不上業務發展的需要,熟悉創新業務的人員較少,勤于思考問題的人員較少,可以掌握多技能的綜合素質高的人員較少。究其原因還是在人員選配和人員培訓上存在一定的問題,近幾年隨著銀行監管力度的不斷加大以及金融業務不斷創新和不斷擴展,對人員綜合素質提出了更高更嚴格的要求,人員素質高低在一定程度上影響著銀行會計內部控制信息的真實質量,成為制約銀行發展的重要因素。

二、對策建議

(一)建立完善的會計內部控制制度體系

首先,根據現階段信息技術迅猛發展的實際需要,以有效衡量、識別、控制和防范風險為核心,在前瞻性的視角下,借鑒國外在完善制度方面的先進經驗,健全一系列合理嚴密的規章制度和切實可行的操作規程;相應的規章制度不是一成不變的,要隨著實際工作的不斷變化和應用軟件的升級,分時段時機對規章制度的更新和完善進行認真研究。其次,在觀念和意識上做好正確引導工作,讓管理層與員工相互能夠達成共識,完善會計內部控制制度是全員性的,完善全程中都需要大家一起提出有效建議,促使會計內部控制環境意識深入人心。最后,在執行過程中,需要銀行相關監管部門對銀行會計內部控制方面的專項檢查的力度加大力度,完善會計檢查的相關制度,及時準確指出銀行會計內控方面的存在問題和可能發生的風險,迅速督促相關部門對產生的問題切實整改落實,使銀行會計內部控制制度逐步實現系統化、規范化和科學化。

(二)建立風險評估、風險監測和風險預警相結合的長效機制

建立風險預警、風險監測和風險評估相結合一體化的防范風險有效機制。對于風險評估,針對典型的銀行會計內部控制風險案例,收集大量基礎數據,對這些數據進行統計分類,根據處理結果設計風險指標體系和測算其指標的標準值,可以把資產營運指標作為補充,結合現階段的金融環境與其他同行進行比較測算,確定相關影響因素;對于風險預警,主要從對象、方式和內容三方面入手,以分數的劃分來判定風險危急,計算指標的實際值,估計預警得分和預警度判斷,運用計算機分析系統計算單位預警指標的得分,綜合得分評估會計風險的指數,同時根據所處的級次根據標準來判斷預警區間,對照相應的預警區間判斷出預警度,若是危險區域則提出預警報告;對于風險監測,對風險狀況進行嚴密的跟蹤監測,監測變量的變化和走勢,在風險評估的基礎上提出防范的措施,控制和避免可能會出現的風險損失,在改進的業務運行中不斷總結。通過機制的建立,使風險預警、風險監測和風險評估緊密結合、相互協調,形成防范風險的整體合力,加大防范力度,確保銀行會計業務發生的偏差得到糾正或對即將預測到的風險加以適當的控制。

(三)設計現代化的會計信息管理系統

首先,在設計系統過程中,設計多級別的安全控制功能,要確保權限制約,講分級監督等風險控制的功能融入其中,做好職責分離工作,如:科技部門與操作應用部門之間、程序員和操作員之間等,嚴禁程序員單獨接觸系統,嚴禁軟件開發人員和軟件開發者介入實際會計業務操作等一系列規定,以防范銀行會計數據信息的錄入、傳輸、加工和存儲風險,提供一個安全計算機內部環境。其次,會計信息系統的設計開發是應用到計算機控制的關鍵軟件,控制的有效程度是和系統完善程度成正比的,所以在系統的開發中的項目立項、設計開發和測試運行等過程中需要嚴格把守,對于系統的及時更新需要專業人員定期檢查,工作人員定期反饋使用信息,方便快速專業人員找出解決辦法。最后,保證完整的計算機運行日志,防止機房出現安全問題和加強日常操作人員的管理需定期檢查安全保障設備,確保會計信息系統處于正常工作狀態。

(四)形成嚴格的人員選配和人員培訓體系

在人員選聘上,根據銀行會計業務實際情況分析出所需人數,以與選聘業務相關知識為基本,用科學的方法制定選聘條件,根據條件進行選聘工作,在選聘過程中做到公平公正公開。在人員培訓上,將人員素質和專業知識并重進行培訓,加強對會計人員的職業道德教育培訓,從而提高會計人員的遵紀守法和自律意識;開展會計內部控制知識辯論賽、對會計內部控制理論研究討論和實例調查研究等多種知識活動,創造出濃郁的會計內部控制文化學習氛圍,形成會計人員落實內控和懂內控的良好內部控制環境。在實施激勵機制上,對考察人員實行綜合考評,實行在基本工資上的差別檔次的經濟激勵措施,將優秀的業務骨干不斷提拔到一線監管隊伍中去,實行晉升激勵措施。

三、結論

本文主要通過探討對銀行會計內部控制存在的制度完善問題、風險防范問題、會計信息系統問題和人員選聘問題,針對這些問題提出了相應的對策建議,期望提升銀行內部控制水平,加強會計內部控制,為我國銀行會計內部控制工作的開展提供更多的參考資料,保證銀行的正常經營。

參考文獻:

[1]涂佳.淺析我國商業銀行會計內部控制及風險防范[J].金融與經濟,2011(08):90-92.

[2]李彥平.淺論商業銀行會計內部控制[J].武漢金融,2005(06):60-61.

[3]安小圣.中國建設銀行會計內部控制研究[J].商業研究,2007(05):191-193.

[4]黃偉宏.完善商業銀行會計內部控制的探討[J].新金融,2011(07):31-33.