人员风险评估报告范文

时间:2023-10-22 05:50:27

人员风险评估报告

人员风险评估报告篇1

一、资产评估司法鉴定项目的特殊性

(1)资产评估司法鉴定主体资格的双重性。我国对鉴定主体资格采用鉴定权主义,实行行政许可制度。资产评估司法鉴定主体包括资产评估司法鉴定机构和资产评估司法鉴定人。在实施资产评估司法鉴定工作时,资产评估机构的身份是司法鉴定机构,经办的注册资产评估师的身份是司法鉴定人。正是资产评估司法鉴定主体资格的双重性,才造成资产评估机构从事司法鉴定业务时面对行政管理和行业管理的双重性。

(2)资产评估司法鉴定客体的涉案性和广泛性。资产评估司法鉴定的对象主要为民事诉讼中涉案的财物或权利,包括立案时、诉讼中和执行中的财物或权利,所有的鉴定对象均涉及诉讼原被告双方甚至是第三人的切身利益。鉴定结论一直是诉讼当事人关注的焦点之一,强烈要求鉴定结论具有公正性、准确性、合法性。在个别的行政诉讼和仲裁案件中,也会涉及资产评估司法鉴定,但不是主流。实际工作中,鉴定对象不仅有一般意义上的各类资产,还有需要补偿的损失和需要确定的成本等特殊客体。

(3)资产评估司法鉴定报告的证据性。目前,资产评估司法鉴定的报告表现形式一般可分为两种,一是资产评估报告;二是按《司法鉴定文书规范》要求出具的资产评估司法鉴定意见书。不管采用何种报告形式都不能改变报告的证据性质。资产评估司法鉴定报告作为司法鉴定结论,是一种特殊的证据形式,是民事诉讼法和行政诉讼法中法定的证据种类之一。

(4)资产评估司法鉴定报告使用的限制性。资产评估司法鉴定报告作为鉴定结论并非是当然证据,其证据力并不当然优于其他证据,必须经诉讼当事人当庭质证,且由法庭最终审查并认证。资产评估司法鉴定报告只有经过质证程序后才能依法产生证据力,作为法庭判案的证据。司法鉴定报告合法应用前的质证程序,客观上对评估责任起到了一定过滤作用,在一定程度上化解了司法鉴定机构和司法鉴定人的民事法律责任。

(5)资产评估司法鉴定立场的中立性和超然性。和贷款抵押评估、非货币资产出资评估、拆迁补偿评估、上市公司资产流入类评估、国有资产流出类评估等就高倾向评估以及税基评估、MBO企业整体评估、民进国退企业改制、处置金融不良资产评估、上市公司资产流出类评估、国有资产流入类评估等就低倾向评估不同,资产评估司法鉴定既不就高也不就低。因为一方的多得或少付必然是以另一方或第三方的多付和少得为代价的。不公平地增加一方的额外利益必然损害另一方或第三方的合法利益。对于资产评估司法鉴定,评估立场应坚持中立性和超然性,使评估的公开、公平、公正原则得到充分彰显。

(6)资产评估司法鉴定项目启动权行使的特定性。评估项目的启动权由评估业务的委托人拥有。不同司法领域和环节,委托人有所不同。在自诉案件受理阶段,一般由主张权利的当事人向法院认可的司法鉴定机构进行委托。在案件审理和执行环节,我国目前实行司法官授权鉴定制度,或称中立鉴定制度,资产评估司法鉴定项目的启动权由法院行使。在公诉案件的立案阶段或侦察阶段,一般由检察部门或公安部门进行启动。在仲裁领域,当事人有约定的按约定确定司法鉴定机构,无约定的由仲裁庭指定司法鉴定机构。

(7)资产评估司法鉴定具体事项的指定性。一般情况下,资产评估司法鉴定项目的评估对象和评估范围以及评估基准日都是法院指定的,司法鉴定报告的用途或评估目的也是法定的,司法鉴定机构和司法鉴定人不得随意变更。对于资产评估司法鉴定对象和评估范围内有详细清单的资产的权属问题,司法鉴定人只需尽到关注和披露义务,不对权属影响评估结论承担法律责任。但是对于涉及股权资产评估时,仍须按法律权属指导意见规定处理,在报告中充分披露。对产权不清的资产尽量让有关当事人认定,并与主管法官做好沟通工作。

(8)评估基准期的复杂性。一般的资产评估司法鉴定项目是以法院等委托人指定的某年某月某日为评估基准期,以法院的委托函的落款日期即委托日期为评估基准日。但有些资产评估司法鉴定项目(如损失评估类司法鉴定项目)只能使用评估基准期,为一个特定期间,从某年某月某日至某年某月某日。具体期间长度,由侵权行为的持续时间长短决定。

(9)鉴定结论取价标准的唯一性。不管是对普通对象的评估,还是对损失补偿的评估或对成本的评估等,都必须采用价格标准,而不能采用价值标准。这和企业价值评估或无形资产评估有所不同。只有以价格标准为基础进行评估,才对诉讼当事人是公平、公正和合理的。如果采用价值标准,当价格和价值背离时,必须有一方为这种背离付出代价,这是利害关系人不能接受的。虽然市场价格很多时候并不等于价值,如股票和商品房的价格暴涨暴跌,但市场价格是公平的,市场风险的承担和转移相关法律法规有明确规定。除了以上列举的特殊性外,资产评估司法鉴定项目还有其他一些特点,如评估工作周期法律有明文限制等等。

二、资产评估司法鉴定项目的评估风险识别

对于风险的认识,不同的领域会有不同的概念和解释,并对风险进行不同分类。资产评估司法鉴定项目的鉴定风险实质就是评估风险。对于评估风险,评估行业长期以来缺乏统一的、权威的定义。对评估风险认识的差异,必然会带来风险防范的差异和疏漏。然而可以形成共识的是,对于评估行业来说,不管什么评估领域和什么评估专业,评估风险一定和评估责任及自身利益密切相关,因为评估机构和评估人员一旦可以免责或没有利益损失,所谓的评估风险就会荡然无存,同时评估行业也会失去存在的必要。评估风险是由资产评估的经济职能决定的。评估风险的识别存在两个标准,一是评估责任标准,二是利益损失标准。评估责任是指评估机构及其评估人员依法需要承担的法律责任和应当履行的义务。评估风险是指评估机构及其评估人员因故意或过失通过特定评估项目的资产评估报告作为侵权工具、或违法工具、或犯罪对象以及在评估项目全过程中存在违法行为和存在法律、法规、规章、规范性文件禁止的情形等原因,依法需要承担民事法律责任、行政法律责任和刑事法律责任的可能性、或者虽不需要承担法律责任但客观上存在导致其经济利益遭受损失或对其相关权利造成不利以及受到评估协会行业制裁的可能性。从上面的定义可以看出,评估风险完全基于评估项目。评估风险一旦变为现实,必然会使评估机构或其评估人员的经济利益遭受损失或对相关权利造成不利。需要注意的是,评估合同违约风险、开展未经许可的评估业务、评估费坏账、与评估项目无关的管理风险和经营风险等风险不属于评估风险,但违反保密义务的缔约过失责任因有法律法规、规章明确规定为评估责任而构成评估风险。评估报告是评估风险最主要的直接来源之一。从评估风险直接来源或直接起因角度看,资产评估司法鉴定项目的评估风险可以分为两大类,一是因资产评估司法鉴定报告原因引起的评估风险;二是资产评估司法鉴定报告以外的原因引起的评估风险。从评估责任的角度划分,评估风险可以分为民事法律责任评估风险、行政法律责任评估风险、刑事法律责任评估风险和其他责任评估风险。从评估技术角度划分,评估风险可以分为评估技术风险和非评估技术风险。资产评估司法鉴定项目的评估风险主要来源是资产评估司法鉴定报告引起的评估风险,而且行政法律责任评估风险占全部评估风险的主要份额。原因是资产评估民事责任和资产评估刑事责任注重评估结果,同时由于侵权构成四要件和犯罪构成四要件必须同时具备,因此难以形成评估责任。而资产评估行政责任不仅注重评估结果,而且注重评估过程,同时鉴于违法构成只有一个客观方面,而且涉及的管理部门众多,造成行政责任成为评估机构的主要评估责任。

三、资产评估司法鉴定项目评估风险程度的估计

人员风险评估报告篇2

1、资产评估风险的涵义

资产评估是随着市场经济的发展而兴起的社会中介专业服务行业。目前,资产评估已经深入到市场经济活动的各个领域,与此同时,与资产评估事项有关的诉讼案件在逐渐增多,资产评估机构和评估人员越来越多地面临着评估风险的威胁。关于什么是资产评估风险,我国理论界和执业界有多种理解,如:资产评估风险是指“与资产评估有关的单位或个人因资产评估事项所遭受损失的可能性”;是指“由于评估价值区间与客观价值的偏离,以及评估主体行为的失误(非舞弊或违法行为)产生危害评估报告使用者利益及评估者承担相应责任的可能性”;是指“资产评估机构对委估资产的评估值严重偏离现行市场价格,而给客户、第三者及其它不确定的利害关系人造成重大经济损失,由此引起的法律诉讼带给资产评估机构及评估人员的行政处罚、民事赔偿、刑事处罚的相关法律责任”。

对于资产评估风险的定义,至今国内并无定论,但是对资产评估风险涵义的阐释一般在以下几点是相同的:

第一,资产评估风险的发生具有不确定性。评估项目信息或说明的不确定性、计价的不确定性、评估项目后果的不确定性等等,都有可能导致评估风险的发生,至于何地何时发生、发生何种类型的风险、发生的程度如何等具有不确定性。

第二,资产评估风险的发生是由于评估事项引起的,具体来讲就是对评估标的价值作了不当或错误的判断,给利益相关者造成经济损失,由此引起了法律诉讼。

第三,资产评估风险的承担主体是资产评估机构及评估人员,资产评估风险一旦发生,其后果是使资产评估机构及评估人员承担相应的法律责任。

第四, 资产评估风险是客观存在的,人们不可能消除评估风险,但是可以采取有效的防范措施,降低其发生的概率。

2、资产评估风险的类型和表现形式

由于资产评估活动涉及经济领域的广泛性,因此,资产评估风险有多种表现形式,可以归纳为两类,即不可控风险和可控风险。

2.1不可控风险

不可控风险又称刚性风险,是资产评估机构本身不能直接控制的,但又可能导致评估结果发生错误或重大偏差的风险。这种风险是由外部因素造成的,评估机构和评估人员无法控制。其表现形式主要有:

(1)法律法规欠缺带来的风险。截至目前,我国尚未制定《中国注册资产评估师法》,评估行业本身也没有制定完整的法规体系。我国评估监督体系尚未形成,资产评估结果的客观公正性也很难验证。评估人员缺乏充分的执业法律依据。

(2)政府行政管理行为带来的风险。目前我国资产评估的行政主管部门不统一,各部门在具体实施管理职能和制定执业标准时造成政出多门的局面,影响了资产评估工作正常有序地进行。一些地方政府和行业主管部门为特定目的干预评估活动,强行参与评估,甚至人为操纵评估结果,严重影响了评估结论的公正性,造成资产评估值严重失实。

(3)市场信息不完善带来的风险。由于我国资本市场发展的不完善,很难找到公平的估价标准。会计信息失真现象严重,市场交易信息、相关技术参数不充分,信息的可靠性不高,增大了评估师的评估风险。

(4)行业自身发展不成熟产生的风险。我国资产评估行业形成和发展的时间较短,理论界和实务界对评估理论与方法的研究仍处于探索阶段。资产评估准则体系尚未形成,使评估师缺乏充分的执业依据而带来风险。

2.2 可控风险

可控风险又称柔性风险,是资产评估机构和评估人员能够控制和防范的风险,这种风险取决于评估机构内部评估质量控制制度建设和评估人员自身综合素质的高低。主要表现在以下方面:

(1)评估机构内部管理不健全可能带来的风险。比如,个别评估机构法制观念淡薄,将某些不合法或有争议的资产也进行评估;采取压价、垄断等不正当竞争手段,承揽业务;在承揽业务时违规操作,为关联方或有直接利益关系的客户提供评估服务;评估机构规模大小、人员结构、执业水平等因素与评估目的存在差距等。这些状况都可能给评估机构带来风险。

(2)职业道德水平不高可能带来的风险。我国《资产评估职业道德准则—基本准则》规定:注册资产评估师应当诚实正直,勤勉尽责,恪守独立、客观、公正的原则。但在实际执业过程中,有些评估师过分依赖委托方提供的信息资料,忽视对资产价值尺度判断的市场性,无原则地满足委托方的不当要求,明显高估或低估委估资产价值等等,由此导致评估风险。

(3)评估人员专业水平有限、执业能力不足而带来的评估风险。我国《资产评估职业道德准则—基本准则》中规定:注册资产评估师应当经过专门教育和培训,具备相应的专业知识和经验,能够胜任所执行的评估业务。但是,实际中评估师个体的知识结构和评估经验总是有限的,而评估对象及面临的客观环境在不断变化,这就会使评估结果存在发生错误的可能。即使执业经验丰富的评估师,也可能由于评估对象和环境的复杂性出现判断失误而引发评估风险。

实际工作中,可控风险和不可控风险之间并没有严格的界限,有时候两者是交织在一起的。如,有些可控风险的产生就是源于不可控风险。

3、资产评估风险形成的原因

通过对评估类型及其表现形式的分析,可以把评估风险形成的原因归纳为如下几个方面:

3.1 法律法规等方面的缺陷

资产评估在我国仅有十几年的发展历程,在法律法规建设方面还很不完备。目前,我国只有国务院91号令《国有资产评估管理办法》以及其他相关的管理办法、条例作为资产评估师的执业依据。资产评估管理中不同部门有不同部门的行政法规,由此形成评估行业多头管理、法度不一、执业标准不统一的局面。这些问题的存在都无形中加大了评估机构依法执业的风险。

3.2 科学统一的资产评估准则体系建设滞后

日益专业化、综合化和国际化的业务发展趋势为评估师提供了前所未有的广阔市场,也对评估师提出了更专业、更综合的要求。但是,目前除了财政部已实施的两项基本准则和一项具体准则之外,其它评估具体准则、评估指南等尚在制定和修订之中。资产评估准则体系的不完备必然会造成评估师执业本身的高风险。

3.3 政府的行政干预和操纵

资产评估管理中不同部门有不同部门的行政法规, 造成了行业性的垄断和资产评估行业的条块分割局面,使各行各业均有自己的一块领地,资产评估失去了自由竞争的土壤。在一些兼并、合并和转让等评估事项中,政府行政部门出于各种情况的考虑,会干涉、操纵评估机构对资产的公正估价,从而客观上增加了评估机构的风险。

3.4 缺乏完善的内部管理制度和质量监控制度

目前很多评估机构没有建立完善的内部管理制度和相应的质量监控制度,对评估中的项目接洽、协议签署、资产清查与鉴定、具体评定估算以及评估报告的编写等各方面缺乏质量监控,致使评估人员在评估操作中只注重工作速度和经济效益而忽视评估的质量。风险意识淡薄是评估机构质量监控制度不健全的主要原因。

此外,评估机构缺乏必要的激励机制,评估质量的好坏与评估人员的利益不挂钩,难以调动评估人员讲求评估质量的积极性,往往会给评估机构和人员带来潜在的风险。

3.5评估人员的职业道德和业务能力低下

为了在有限的市场范围内,多做业务增加收入,评估师往往未能格守职业道德准则的要求,滥用评估假设,弄虚作假,随意选择评估参数,高估或低估资产价值,从而为资产评估风险的发生埋下了隐患。

资产评估要求评估人员具有丰富的专业知识、工作经验和较强的执业能力。但是,由于我国的资产评估起步较晚,资产评估理论还不很成熟,评估人员缺乏学习的主动性,相关培训工作不到位,因而造成评估人员的业务素质低下、执业能力有限,直接导致评估风险的产生。

4、资产评估风险的防范对策

通过上述对资产评估风险成因的分析,可以考虑采取以下对策防范资产评估风险。

4.1 加快资产评估法律、法规体系建设和评估准则体系建设

(1) 统一立法,加快评估法律、法规体系建设的步伐

鉴于我国资产评估的法律法规不健全、不统一,资产评估管理条块分割、多头管辖的现状,首先应尽快制定《资产评估管理法》,将国有资产评估和非国有资产评估都纳入它的管理范围,以此作为资产评估全行业管理的法律规范。其次,为了加强注册资产评估师队伍的管理,更好地发挥注册资产评估师维护各类所有者权益的服务作用和在社会中的公信力,应尽快制定《中华人民共和国注册资产评估师法》。

通过统一立法管理,将资产评估纳入法制轨道,使资产评估人员有法可依,以保证和促进资产评估行业健康、有序的发展。

(2) 尽快建立资产评估准则体系

鉴于许多评估领域还没有执业规范,导致评估工作中的主观性、低质量、高风险,评估协会应积极推动和开展资产评估理论与实务操作方法的研究,在目前已实施的《资产评估准则—基本准则》和《资产评估职业道德准则—基本准则》的基础上,尽快制定评估具体准则、评估指南、评估指导意见和资产评估质量控制准则等,建立起我国统一的资产评估准则体系,使资产评估师掌握起执业的武器,减少资产评估的风险。

4.2 政府应当为评估业创造良好的发展环境

党中央、国务院非常重视和支持中介服务业的发展,评估机构执业不受行业和地域的限制。政府要实行统一的行政管理,主要是依据国家的法律法规对评估机构进行宏观方面的指导和监督。行政部门应当积极为资产评估机构创造公平竞争的环境,支持评估机构走企业化的自主发展道路。政府行政工作人员要转变思想观念,树立为中介服务业服务的意识,禁止行政干预和人为障碍。

4.3 资产评估机构应加强对评估风险的防范

评估机构不能只追求眼前利益,从长远利益来看,应当加强对资产评估风险的防范。

(1)建立一只高素质的职工队伍

资产评估机构要建立严格的用工标准,招收已经考取注册资产评估师执业资格的人员。着意培养一批业务骨干力量,同时注意队伍的梯队建设。资产评估机构应定期举办有效的培训,鼓励工作人员自学,在工作中对他们进行监督和指导,以提高队伍的整体素质。

评估机构要建立对评估人员的奖惩制度,这样做不仅可以充分调动评估人员的工作积极性,提高执业质量,而且还会对防范风险起到有效的积极作用。

(2)招聘资产评估专家作为机构顾问

由于资产评估涉及的评估范围大,而每个评估人员的知识面相对有限,因此,评估机构聘请资产评估专家作为自己的顾问,非常必要。评估机构可以根据自己所从事的主要评估领域,聘请在财务会计、工程技术、经济管理、金融、法律以及特殊资产等方面有一定造诣的专家作为自己的顾问,就资产评估执业中的难点、疑点问题进行咨询,定期接受资产评估法律法规、执业规范等方面的培训、教育和专业指导。设立资产评估顾问,有助于提高评估工作质量,防范评估风险。 (3)进一步完善资产评估报告的内容及格式。

在评估实践中,由于存在评估人员在报告书中表述不当而在诉讼中败诉的事例,因此评估师应当按照不同评估范围来规范资产评估报告书的内容及格式,做到报告书中的数据资料都有据可查。同时,在资产评估报告书尽量增加一些保护性条款或内容。资产评估报告的撰写要做到格式统一、内容规范、表述准确、语言精炼。完善资产评估报告书的内容及格式有助于减少资产评估结果使用风险。

(4) 建立资产评估风险保险制度

为了降低资产评估风险可能带来的经济损失,借鉴国内外同类行业的做法,评估机构应建立评估风险保险制度,如评估机构和评估人员自身建立职业风险基金,进行自保,或者向保险公司申请设立评估执业责任保险,等等。

(5) 加强评估机构内部管理,建立内部质量控制制度

资产评估机构要加强内部管理,建立健全各项规章制度,建立完整详尽的标准化执业程序,如:执业操作规范制度、项目负责制度、内部审核制度、风险评价制度等,最大程度地保护自身和评估人员的利益,把风险降低到最小限度。

建立评估全过程的内部质量控制制度,包括评估业务受理、评估前期准备、具体评定估算、出具评估报告以及评估档案管理在内的整个评估过程的质量控制,在每个阶段都规定出评估工作的重点和质量,以及评估人员防范风险应注意的问题。建立评估过程的内部质量控制制度,是规避评估风险的关键性措施。

4.4 资产评估人员应大力提高自身综合素质

为了防止被停止执业等风险,评估人员应努力提高自身综合素质,以取得个人事业的长足发展。

(1) 转变思想观念,增强评估风险意识

资产评估人员必须转变思想观念,充分认识到资产评估风险是关系到自身生存发展和切身利益的大问题。评估人员要提高抵御风险的能力,就必须加强自身职业道德建设,树立终身学习的意识,不断提高业务理论和实践水平。

(2) 加强自身职业道德建设

《资产评估职业道德准则—基本准则》就规范注册资产评估师职业道德行为、提高注册资产评估师职业道德素质提出了明确的要求,注册资产评估师应当诚实正直,勤勉尽责,恪守独立、客观、公正的原则。资产评估师在承揽业务、评估操作和评估报告形成过程中,不能受其他任何单位和个人的干预和影响,要在实质上和形式上保持双重独立,避免评估报告使用人的不当指控。

(3) 大力提高自身业务素质

资产评估人员要通过理论学习和实践锻炼,充分理解和掌握有关资产评估方面的法律法规,严格遵循资产评估操作规程,熟练掌握资产评估的理论以及各种类型资产评估的方法。资产评估人员要树立终身学习的意识,自觉参加职业教育培训,开展各种形式的业务交流,提高评估过程中处理和解决实际问题的能力。

参考文献:

⑴ 潘学模: 资产评估风险及其防范,财会月刊, 2003.B8

⑵ 徐海成: 论资产评估执业风险及其管理,交通财会,2002.8

⑶ 王景升: 资产评估执业风险问题研究,财经论丛,1999.9

⑷ 程阳春: 资产评估执业风险及其防范,湖北财经高等专科学校学报,2004.2

⑸ 王秀东: 王淑珍,赵邦宏: 资产评估风险防范与控制,河北农业大学学报,2002.3

⑹ 王景升: 资产评估机构的责任与资产评估风险的规避,财经问题研究,2000.5

⑺ 里嵌: 资产评估风险及其防范对策,注册会计师通讯,1998.4

⑻ 赵国玲: 资产评估风险与控制,内蒙古统计,2004.5

人员风险评估报告篇3

【关键词】风险导向;内部控制评估

一、内部控制评估的涵义

根据COSO框架的定义,内部控制是受公司董事会、管理层和其他员工的共同作用,旨在为实现经营的效率和效果、财务报告的可靠性以及对适用法律法规的遵循,而提供合理保证的一种过程。其主要目的是合理地保证公司实现以下目标:遵守有关法律法规和组织内部规章制度;信息的真实、可靠;资产的安全、完整;经济有效地使用资源;提高经营效率和效果;实现企业战略。

内部控制包括控制环境、风险管理、控制活动、信息和沟通以及监督五个要素。内部控制评估就是围绕内部控制五个要素的健全性、合理性及有效性展开的,是指为保障内部控制系统的有效性,由相关机构和人员定期或不定期地审视内部控制系统的设计和执行情况,发现并改进内部控制缺陷的一系列过程。内部控制评估包括企业外部机构及人员(如事务所)进行的外部评估和企业内部机构及人员进行的内部评估。内部评估主要包括自我评估与独立评估两部分。自我评估是指公司相关机构和人员对所负责的内部控制有效性进行的自我审视和评价活动。独立评估是由企业内部审计机构和人员对内部控制所进行的一种独立客观的审查和评价活动。内部控制自我评估和独立评估是及时发现内控缺陷、促进内控有效执行和不断改进的重要机制,共同构成公司内部控制评估体系。

二、内部控制评估的目标、对象与原则

(一)内部控制评估的目标

内部控制评估的目标应从内部控制的目标出发,来对内部控制的设计和执行进行评价,考核内部控制所规定的目标实现与否。内部控制的目标包括合规目标、资产目标、报告目标、经营目标和战略目标。因此,内部控制评估的目标应是对以上五个目标的内控设计及执行的有效性进行全面评价。

(二)内部控制评估的对象

内部控制评价的对象是内部控制的有效性,是指企业建立与实施内部控制对实现控制目标提供合理保证的程度。从控制过程看,内部控制的有效性可分为内部控制设计的有效性和内部控制运行的有效性。内部控制设计的有效性是指为实现控制目标所必需的内部控制程序都存在并且设计恰当,能够为控制目标的实现提供合理保证;内部控制运行的有效性是指在内部控制设计有效地前提下,内部控制能够按照设计的内部控制程序正确地执行,从而为控制目标的实现提供合理保证。内部控制运行的有效性离不开设计的有效性,如果内部控制在设计上存在漏洞,即使这些内部控制制度能够得到一贯的执行,那么也不能认为其运行有效的。

从控制目标的角度来看,内部控制的有效性可分为合规目标内部控制的有效性、资产目标内部控制的有效性、报告目标内部控制的有效性、经营目标内部控制的有效性、战略目标内部控制的有效性。其中,合规目标内部控制的有效性是指相关的内部控制能够合理保证企业遵循国家相关法律法规,不进行违法活动或违规交易;资产目标内部控制的有效性是指相关的内部控制能够合理保证资产的安全与完整,防止资产流失;报告目标内部控制的有效性是指相关的内部控制能够防止、发现并纠正财务报告的重大错报;经营目标内部控制的有效性是指相关的内部控制能够合理保证经营活动的效率和效果及时为董事会和经理层所了解或控制;战略目标内部控制的有效性是指相关的内部控制能够合理保证董事会和经理层及时了解战略定位的合理性、实现程度,并适时进行战略调整。

(三)内部控制评估的原则

企业实施内部控制评估至少应当遵循以下原则:

1.全面性原则。评估工作应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项。

2.重要性原则。评估工作应当在全面评价的基础上,关注重要业务单位,重大业务事项和高风险领域。

3.客观性原则。评估工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。

三、风险导向内部控制评估的程序

(一)确定风险领域,制定内控评估计划

内部控制审计人员应研究本企业内外部环境、经营状况、企业组织机构、行业特点等,结合企业管理目标,进行充分的调查,可采用问卷调查、座谈会等方式,初步确定企业所面临的风险,对重要性做出初步判断编制整体审计计划。

风险导向的内部控制审计把审计的焦点放在那些风险大、对企业实现目标影响大的事项上。在进行内控评估前,审计人员应对企业的风险进行识别、分析并分类,对组织目标实现有重要影响的风险事项进行重点评估。

(二)对确定的风险事项进行评估

评估中通常运用抽样、观察、分析、调查与评估等方法获取充分适当的有关风险及风险管理的证据,确认企业主要风险管理目标是否得到实现。将风险点与控制点结合起来进行评估。在风险导向内部审计理念下,在开展内控评估时,可采取先从重要风险领域分析判断可能对企业目标实现产生影响的风险点,进而在内控实施细则中寻找相应的控制点进行评估。在评估中如果有风险点而没有控制点,应及时对内控实施细则进行补充和完善,以确保及时防范重大内控风险,使内控评估成为一种积极、主动的全过程动态防范风险机制,为管理层进行风险管理提供有用信息,为公司治理提出建议和整改措施。

可以采取以下审计程序:(1)研究、评估与组织业务有关的当前的发展情况、趋势、行业信息及其他相关信息,确定是否存在可能影响组织的风险,是否存在监督、评价、管理这些风险的控制程序;(2)检查公司政策、董事会和审计委员会会议记录,确定组织的经营战略、风险管理理念、方法及风险偏好和风险接受程度;(3)检查管理层、内部审计师、外部审计师以及其他有关方面以前发表的风险评估报告;(4)与被审单位管理层及相关人员交流,了解被审单位存在的风险及采取的风险控制、管理措施;(5)独立评价被审单位风险管理程序的有效性,评估风险管理结果报告的充分性和及时性;(6)评估管理层风险分析是否全面、正确,风险管理措施是否适当,并提出改善建议,说明风险管理实务中存在薄弱环节的问题。

(三)得到评估结论,出具评估报告

内部控制人员在评估结束后,实施必要的审计程序后,以经过核实的证据为依据,形成评估结论与建议,出具评估报告。评估报告中一般包括单位内部控制工作组织安排,评估期间及范围,评估方法,所发现问题的表现、面临的风险、成因、影响、改进建议等,以及单位内控控制设计及执行是否有效的结论。

四、风险导向内部控制评估应注意的问题

(一)以风险管理理念为基准

进行内控评估时,应该以风险管理理念为基准。风险管理是企业经营管理的关键所在,内控评估的重点应该是确认风险及测试管理风险的方法,分析、确认、揭示关键性的经营风险,在评价标准、指标和权重的选择上均要把握风险管理理念,这是内控评估的焦点。

(二)应选取科学合理的标准

制定内部控制评价标准是进行内部控制评价的依据和前提。缺乏科学合理的评价标准而进行的内部控制评价,其结果可能不能真实反映企业内部控制的健全和有效与否。在对内部控制进行评价时,首先必须确定的是采用何种评价标准对内控整体乃至具体的内控项目进行评价。结合内部控制评估的目标,内部控制的评价标准可以选用结果评价标准和过程评价标准。结果评价标准就是要考核内控目标的实现程度,是基于内控目标而建立的一系列结果考核指标。过程评价标准的制定可以按照内控项目来进行,按照风险管理思想,根据风险管理框架的要素来设定控制标准。

(三)关注内部控制的经营与战略目标

内控评估目标包括合规目标、资产目标、报告目标、经营目标和战略目标五个方面,而在具体执行中,企业评估侧重点一般关注于合规目标、资产目标和报告目标,至于经营目标和战略目标受到的关注程度较少。从企业经营管理的角度,显然,经营与战略目标是最重要的。

在具体界定内部控制评价目标时,不同的评价主体可能对内部控制评价的目标界定也不同,如监管部门推动实施的内控评价,其目标可能更多地关注内控制度所达到的报告目标和合规目标;而企业自身进行的内控评估,其目标就不应局限于报告目标和合规目标,还应该包括内控对企业战略目标和经营目标实现的作用程度。

(四)完善内部控制评估的考核监督机制

我国许多企业根据有关规定制定了很多的内部控制条文,但多只注重制度的文字编写环节,以应付有关部门的检查、审计,而不管内部控制制度执行情况如何,使内部控制制度流于形式;同时发现的内控缺陷难以有效整改落实,大大降低了内控评估的风险防范作用。因此,建立健全内控评估的考核评价机制,对于强化内控执行、防范相关风险起着非常更重要的作用。对具体风险点与控制点流程中所有关键环节的内容建立目标和量化评价考核标准,细化内控考核细则;开展分类别内控评估工作质量评比,兑现考核奖惩,强化内控执行。同时,为保证内控缺陷的整改落实,可将内控执行情况、缺陷报告情况及整改情况与部门或个人的绩效考核挂钩,建立激励与约束机制。

参考文献:

[1]财政部.企业内部控制基本规范[S].2009.

[2]贺京.小议风险导向内部控制审计及其在企业中的应用[J].现代商业,2011(8).

人员风险评估报告篇4

关键词:风险导向;内部审计;思考

国际上审计模式的发展经历了三个阶段:账项导向审计模式、制度导向审计模式和风险导向审计模式, 风险导向审计是在账项导向审计和制度导向审计基础上发展起来的一种新型审计模式,是在综合分析影响被审计单位经济活动各种因素的基础上,对被审计单位开展风险评估,确定实施审计的范围和重点,进而开展实质性审查的一种审计方法。从揭示风险方面看,风险导向审计与现行审计方式比具有明显的优势,能够有效地弥补现行审计方式的不足,因此在人民银行引人风险导向审计显得尤为必要。

一、人民银行风险导向审计模式的发展轨迹

2011年,人民银行制定并印发了《人民银行内审工作转型2011-2013年规划》,标志着内审转型工作全面启动,并将确立风险导向审计模式作为内审工作转型的第一任务;与此同时,牵头组建了风险评估课题攻关小组,在认真梳理与研究欧美等发达国家央行风险评估工作的基础上,于2012年下发了《关于人民银行风险评估实施方案(征求意见稿)》,人民银行内审风险评估框架的雏形基本形成。在理论研究取得重要突破的同时,人民银行风险评估实践在各分支机构的积极推动下得到了稳步推进。为加强转型成果推广与应用,进一步推进风险评估工作,2013年7月,通过召开座谈会的形式,讨论修订风险评估初步框架,下发《人民银行内审部门风险评估工作试行办法》,建立了人民银行风险量化评估模型,规范了风险评估程序。郭庆平行长助理在转型工作总结会议上指出,各级内审部门在制定审计方案、实施现场审计、编写审计报告过程中,注重应用风险评估方法,更好地做到了“风险引导审计、审计关注风险”。从总体上看,人民银行风险导向审计模式已经基本确立。

二、人民银行风险导向审计模式的几点思考

(一)风险导向审计模式基本确立

经过三年转型,审计人员逐步强化并在实践中努力运用转型五项理念,但对于“风险引导审计、审计关注风险”理念的认识和运用仍处于起步探索阶段,审计人员的认识有待转变。一方面,未能全面认识到风险引导审计不仅可以运用用至审计计划的制定,而且应拓展延伸至审计方案的制定、审计现场的实施、审计报告的编写等过程。另一方面,按照机构层次和职责分工,制定审计计划是总行层面考虑的,分支机构尤其是分行层面以下的省会中支和地市中支主要承担审计项目的组织与实施,对于审计计划制定缺少必要地主动性,因此,风险引导审计理念未得到较广范围、较深层次的实践探索。更重要的是审计人员按照惯性思维与以往审计经验,认为在审计实施和报告阶段已关注了重大审计发现,做到了审计关注风险,没必要再进行复杂的分析评价。

(二)风险识别是风险评估工作的前提和基础

风险评估中需识别的风险事件既包括影响业务目标实现的固有风险事件,也包括影响基本控制目标实现的重大内控缺失问题。在风险事件识别过程中,一方面应以评估对象的业务目标为逻辑起点,参照《人民银行内审部门风险评估工作试行办法》的风险分类方式,全面识别影响业务目标实现的固有风险事件。另一方面,也要认真分析被评估业务流程,理解被评估业务的基本控制目标,进而识别重大内控缺失问题。内部控制具有层次性,通常根据业务重要性和固有风险强弱,设计实施不同层次的控制流程、控制活动和控制措施,与此对应的控制目标也分为基本控制目标和具体控制目标。在风险评估工作中,仅需识别影响基本控制目标实现的重大内控缺失问题,不需识别影响具体控制目标的一般内控规范性问题,以避免识别出的风险失之于详细、琐碎,难以分析利用。

(三)评估依赖参与评估人员的专业判断

开展风险评估更多的依赖于评估人员的职业判断,对评估人员的专业素质要求较高。在审计方案制定阶段开展评估,需评估人员了解制度、近期审计中发现及相关检查的情况。一般意义上来说,能够熟悉上述三方面的人员,往往都是审计经验比较丰富的审计人员,恰恰这部分人员由于审计“惯性”思维的影响,习惯于对照制度去制定审计内容,对于风险评估中比较复杂的数学计算,感觉有点畏难。在审计实施阶段,不仅要求审计人员投入大量的精力查深、查透问题,而且也需要审计人员改进审计方式,采取更有针对性的审计手段对确定的重点内容进行重点审计,往往容易出现出现追求审计进度牺牲审计重点的情况。在审计报告阶段,审计人员要对照影响程度标准对审计发现问题进行再次评判,对审计人员尤其是主审人的能力提出了更高要求。

三、人民银行风险导向审计模式进一步深入研究的方面

虽然人民银行风险评估框架已基本成型,风险导向审计模式已基本确立,但仍有待进一步研究。

(一)提高风险评估的客观性

风险评估更多情况下依赖于职业判断,对评估人员的素质要求较高。如何消除人为因素的影响,提高评估的准确性是不断探索解决的重要问题。通过量化赋值计算得出一个剩余风险的数,但这个数并不是一个精确的数,即便算到小数点后两位,也不代表对风险的衡量就更准确。要想使风险评估更准确,必须在评估过程上下功夫。

(二)改进风险评估的适用性

风险评估适用范围是内审部门,是内审部门对人民银行各项职能和业务领域开展风险评估,制定审计计划、配置审计资源、实施审计活动的重要依据。下一步将此方法推广至人民银行各业务部门开展自评估,风险评估方法适用性、合理性和效果性也是值得深入研究的问题。

(三)提升风险评估工作的效率性

从风险评估量化计算公式可以看出,评估人员在识别出风险事件、做出风险等级认定后,需要投入大量的工作进行复杂的数学计算。因此,适时加快推进评估工作的信息化建设力度,让评估人员跳出复杂的计算过程,使评估真正回归到风险事件的识别、判定风险等级等主要环节,才能有助于更好的发挥评估工作的作用。

(四)强化风险评估结果的应用性

人员风险评估报告篇5

(一)控制环境方面,内控文化、激励约束机制、会计组织结构、会计人员素质等均存在不同程度的缺陷

1.内控文化存在欠缺。人民银行以行政管理为主,内部控制设计、运行的有效性有待进一步提高。部分员工把内部控制与规章制度等同,认为内部控制就是建章建制而忽视了内部控制的本质内涵。有的缺乏内部控制具体的执行落实,内部控制执行不到位。

2.激励约束机制不足。目前人民银行由于体制问题,存在一定的“大锅饭”现象。考核奖惩制度及力度远不如商业银行健全;会计人员在培训、晋升等职业发展上的机遇相对较小,导致部分人员情绪懈怠,少部分人产生机会主义倾向;另外,由于县支行的前景长期不清,人员日趋老化,造成员工思想茫然,缺乏归属感。

3.会计组织过于分散。目前人民银行的会计核算与管理分散于会计财务、货币金银、国库、营业等多个部门,要求各不相同,标准难以统一。在编制全行会计报表时,由于需要汇总多个部门的数据,报表容易出现偏差。

4.会计人员素质有待提高。近年来人民银行会计核算和支付清算都发生了巨大的变化,呈现电子化、网络化、集中化的发展趋势,会计分工日趋细化,许多会计人员仅对自己从事的某一小类业务熟悉,缺乏对于整体业务的认知。

(二)风险评估方面,重制度,轻风险评估的倾向存在在内部控制“五要素”中,风险评估是控制活动的前提和基础,是保证内部控制动态有效性的关键要素。在人民银行,制度观念已经深入人心,“按制度办事、靠制度管人、用制度规范行为”的长效管理机制正在逐步建立与不断完善。制度的风险控制效果与风险评估具有紧密的联系:当某项业务运行前,需要进行详细的风险评估来制定完善的规章制度;当该项业务运行后,仍然需要定期与不定期的风险评估来不断修改完善制度。但现实中,人民银行在制度制定后往往忽视风险评估,仅仅强调制度的执行与落实。制度制定时,也许就当时的情况而言针对各种风险的考虑设计比较全面,但是,随着内外部环境的变化,风险的产生范围和表现形式都会发生变化,如果不进行及时的风险评估,并根据评估结果对制度进行及时完善,制度的风险控制效果必然会大打折扣。

(三)控制活动方面,制度执行不到位问题仍然存在,岗位制约有待加强与商业银行相比,人民银行部门间相互约束控制的有效性差,控制活动方面,制度执行不到位问题仍然存在,岗位制约有待加强。

(四)信息与沟通方面,多个会计核算系统相互独立,信息沟通渠道不畅。

1.多个会计核算系统并存,风险点成倍扩散。由于会计业务分散在多个部门,在推广会计核算电子化的过程中,各部门纷纷开发各自业务的会计核算系统,造成系统众多,每个系统都有相似的风险点,风险点成倍扩散,风险控制的工作量和工作难度都成倍增加。并且,这些系统的业务需求由各业务主管部门负责,独立闭环设计,许多系统之间缺少数据转换接口,互不支持,会计信息相互割裂。

2.多个会计核算部门并存,横向信息沟通不畅。由于存在多个会计核算部门,这些部门都以条线管理为主,同级行各部门间缺乏有效的协调和沟通,信息相对封闭,会计信息资源得不到有效利用。虽然许多分支机构都制定会计联席会议制度,但是该机制主要是就重大会计工作进行协调,日常会计信息缺乏制度性、常规性的沟通渠道。

3.会计内部控制信息缺乏报告制度,纵向信息不对称。在打击会计舞弊、保障财务报告质量过程中,人们逐渐认识到内部控制信息报告与披露的重要性。通过内部控制信息报告与披露,可以降低报告主体与报告接受方的信息不对称,促进报告主体定期对会计业务进行风险评估,从而相应采取更有效的内部控制措施。但是,迄今为止,人民银行还没有会计内部控制信息报告制度,上下级单位之间在会计内部控制信息上存在信息不对称。

二、加强人民银行会计内部控制的思考

会计内部控制建设不能仅仅是“头痛医头、脚痛医脚”,应当在《中国人民银行分支机构内部控制指引》的指导下,按照有效性、全面性、及时性、合理性的原则进行系统性建设。同时,会计内部控制作为会计管理的一部分,应当纳入“大会计”管理框架,由会计部门牵头,国库、支付、营业、发行、事后监督等部门参加,各部门相互配合,通力合作,共同建设。同时,内审部门作为全行内部控制建设的牵头部门,应当负责对会计内部控制的合理性与有效性进行监督与评价。因此,针对人民银行会计内部控制存在的问题,结合内部控制理论研究成果与实践,笔者提出以下思考。

(一)加强会计人员教育,强化激励约束机制,提高会计人员的责任心、职业操守和履职能力

会计内部控制关键靠“人”,要坚持以人为本,积极构建学习型队伍,加强员工的思想、作风和能力建设,加强金融法律法规和内部规章的教育和培训,培养员工形成良好的道德风尚、正确的价值观念、严谨的思维方式和行为方式,增强员工的风险防范能力,促使员工能够自觉堵塞业务流程漏洞,实现员工的自觉行为与制度约束的有机结合。加强会计人员的岗位培训与考核。定期进行岗位知识测试,培养员工学习新业务、新知识的自觉性;对于会计主管及其B角,应当定期进行全面业务考核,在一个部门内至少培养两位全面型会计业务能手。强化激励约束机制。建立科学合理的奖惩制度和明确的奖惩措施,制定问题整改和责任追究制度;尽快对县支行定位进行明确,提高县支行员工的归属感与荣誉感;在奖优评先、职称评定等方面向会计类岗位适当倾斜,激发广大会计人员的工作积极性和创造性。

(二)改革会计组织机构,会计核算“横向集中”,实现由“部门会计”到“流程会计”的转变

为改变会计核算业务分散在各个部门造成的会计管理困难、风险可控性差的弊端,以民生银行、浦发银行等股份制商业银行为先驱,国内商业银行近年来纷纷开展业务流程改造,将会计业务集中处理,分离前后台核算业务,实现由“部门银行”到“流程银行”的转变,这一经验做法值得人民银行借鉴。人民银行近年来进行了上下级行会计核算业务的“纵向集中”,但是并未进行同级行会计核算业务的“横向集中”,这直接导致了上文中罗列的一系列问题。从长远改革目标来看,“横向集中”必须实现,为此应当进行相应的会计组织机构改革,将目前分散在各职能部门的会计核算业务统一剥离出来,设立集中处理所有会计业务的综合运营中心和集中监督所有会计业务的会计监督中心,实现“一部基本制度,一套核算系统,一本账簿报表,一个监督平台,一个窗口服务”,加强会计统一管理,增强风险可控性。

(三)重视风险评估,加强信息沟通渠道建设,建立会计内部控制信息报告制度

风险评估之所以受到的重视程度不够,原因在于员工的风险意识不强,缺乏激励引导机制和有效的反映渠道。无论是操作者还是检查者,严格按照制度办事就可以几乎完全免责,员工缺乏动力去进行风险评估,即使发现了一些问题也缺乏能够引起重视的反映渠道。因此,要加强风险评估,首要工作就必须增强员工的风险意识,采取恰当的激励措施鼓励员工进行风险评估,如在考核指标中专设“风险评估”一项内容,对于提出有效建议的单位与个人进行奖励。同时,要拓宽信息沟通渠道,促使会计内部控制信息沟通的制度化。比如,分行在对外《金融运行报告》、《金融稳定报告》、《金融服务报告》三大报告的基础上,可以增加对内《风险评估报告》,由各相关部门轮流主编,按季度,通过该载体,促进在全行形成重视风险评估的良好氛围,增加风险评估的有效沟通渠道。在同级行各部门之间,以会计工作联席会议为纽带,由会计部门牵头组织各参与部门之间的沟通,在定期召开的会计工作联席会议上增加“风险评估”的固定议题,由各部门报告交流各自在上一时期的风险评估状况;在上下级行之间,建立会计内部控制信息报告制度,下级行定期向上级行报告会计内部控制建设情况,以定期报告这种制度要求促进各级行加强风险评估工作。此外,还须加强突发风险事件的快速反应能力,建立突发事件信息快速通道,提高应急管理水平。

(四)紧抓制度落实,加强相互制约,构建多层次、全方位的监控体系

严格执行各项规章制度仍然是会计内部控制的第一要求。要根据内部牵制的原则,合理定岗定责,在岗位设置上切合业务范围和业务处理需要,体现“责、权、利”相结合,坚持不相容岗位相分离,杜绝违规兼岗、替岗现象,加强岗位交流轮换,对于人员紧缺的县支行可以试行异地轮岗制度。要规范业务操作,实行流程控制,通过制定严谨的业务处理流程来控制业务处理环节中的风险重点,不允许会计人员逆程序或省程序操作,业务处理在相关岗位和相关部门之间传递时,实行权责对等,确保流程控制的有效性。要合理设置各个部门、各级岗位的职责权限,严格实行一般事项分级审批、重大事项集体决策。在目前集中采购、公务活动管理信息通报制度的基础上,合理加大公务信息公开的范围与力度,将相关决策过程和结果阳光化,以阳光化来抑止违规行为。要构建以核算部门内部监督、会计部门检查监督、内审部门审计监督、纪检部门党内监督、人民群众民主监督等为内容的多层次、全方位的监控体系。整合监督资源,完善监督机制,合理确定各部门监督职责与范围,统一编制监督计划,统一调配监督人员,根据监督内容联合部署,实施多部门联合检查,减少重复检查次数,提高监督效率与效果。

(五)加快电子化建设,开发综合会计业务系统,提升会计管理信息化水平

人员风险评估报告篇6

1.1需求分析

通过德尔菲法、访谈法、SWOT分析等风险管理技术,向学院各职能部门和其它渠道收集风险信息,分类总结,然后列出风险系统开发的大功能模块,每个大功能模块有哪些小功能模块;描述实现具体模块所涉及到的主要算法、数据结构、类的层次结构及调用关系,需要说明软件系统各个层次中每个模块或子程序的设计考虑,以便进行编码测试。系统平台可以实现以下功能:自动输出风险评估报告和建议报告,有效监控预防风险;对风险进行定量分析,实现以图表直观形式输出显示,并展示相应的数据指标;用户以个人账户或部门账户,登录到风险评估输入列表,选择相应的职能部门、行业类型、风险级别指标、以问答的形式选择相应的内置风险条目,根据登陆权限,可自拟增加、删除风险条目;可实现日常工作重要环节和重点风险过程的时间提醒功能,通过手机短信或网页提示窗提示等手段,提醒重点工作的正常开展,防范工作疏忽引起的风险;风险级别指标制定,可参考相应的国家或行业标准,也可自拟;系统平台内有评估标准,根据评估标准设计评估模型,利用评估模型对风险评估报告进行评估,得出评估结果供风险决策者参考;校领导和各职能部门负责人可根据管理权限查询相应的风险数据;B/S架构,实现新闻即时,可及时更新各高校风险管理中的经验交流文章、理论知识。

1.2程序编码实现

开始具体的编写程序工作,分别实现各模块的功能,从而实现对目标系统的功能、性能、接口、界面等方面的要求;开发过程中,边开发边测试,系统完工后,通过内部外部测试、模块测试、整体联调等测试方法,验证系统的整体稳定性,不断完善。

1.3具体应用

软件开发完成,做成相关的技术文档,系统上线;在具体应用中发现问题及时登记到问题记录册,反馈到开发人员,为以后的系统平台升级提供依据。

2平台功能模块

信息安全风险评估平台的开发环境为/MSSQL,基于SOA软件系统架构解决学院各信息系统集成,通过PDCA循环模型具体实施。信息安全风险评估系统平台建设主要包括评估公告、用户管理、指标设置、综合评估、综合查询、报表系统,数据导出七大模块。

2.1评估公告模块

评估公告模块实现新闻即时,可及时更新各高校风险管理中的经验交流文章、理论知识;可实现日常工作重要环节和重点风险过程的时间提醒功能,提醒重点工作的正常开展,防范工作疏忽引起的信息系统风险。

2.2用户管理模块

用户管理模块的功能是管理用户信息,主要包括用户的用户名、密码和权限,同时支持显示所有注册用户信息和删除用户功能;模块可以添加系统管理员、评估人和评估单位,评估人员可以设置不同的权限,限制评估范围;用户以个人账户或部门账户,登录到风险评估输入列表,选择相应的职能部门、行业类型、风险级别指标、以问答的形式选择相应的内置风险条目;不同的用户登录系统显示的模块不一样,根据登陆权限,可自拟增加、删除风险条目。

3.3指标设置模块

指标设置模块主要是依据国家有关信息安全风险评估指标,实现信息系统风险评估的指标体系设置,划分两级指标细化评估体系,一级指标划分为信息资产、威胁性、脆弱性,二级指标从硬件、软件、风险识别等细化指标体系;实现指标库的设置,可以分配不同的被评估单位相应的评价指标。

2.4综合评估模块

综合评估模块包括评估列表、评估历史。评估列表显示所有被评估单位,某一单位用户登录以后,系统自动调用相应的指标库,回答相应的信息系统安全问题,系统自动给出指标分数;评估历史是不同的账户登录,显示的列表不同,管理员能查询所有的用户评估历史,单位用户只能查询本系部的评估历史。

2.5综合查询模块

综合查询模块实现不同单位评估次数、评估成绩、各评估对象不同时间段等的评估查询。

2.6报表系统模块

报表模块实现了不同单位评估次数、评估成绩、各评估对象的柱状图的形式直观展示。

2.7数据导出模块

数据导出模块实现了评估单位当前总成绩或历史评估成绩的数据导出功能,支持PDF、Word、Excel文档格式。

3系统评估操作流程

系统管理员首先在系统后台对不同的用户设置相应的评估指标库;用户通过用户名和密码登录系统后台;登录成功后系统会自动调用相应的评价指标,用户回答相应的问题;回答结束后,用户点击提交,系统自动给出相应的评估分值;用户打印或存储评估数据报告。

4平台应用效果

4.1为我国高校的信息系统风险预防和应急处理提供建设性的意见

目前关于我国高校风险评估研究的大多停留在某些具体领域,主要是对宏观风险管理和财务风险状况进行探讨,对信息系统安全的研究较少。信息安全风险评估系统平台对高校信息安全风险进行定量分析评估,为我国高校信息系统风险评估提供了一个重要平台,为高校的信息系统风险预防和应急处理提供一些建设性的意见。

4.2为高校各级信息系统管理者提供了处理信息系统

风险的决策依据系统实现各级信息系统管理者可实时查询部门风险评估,针对高校日常管理中可能面临的各类信息系统安全风险、建议应对措施、突发事件、应急预案、法律法规等相关风险管理文档查询,为科学决策提供依据。

4.3信息系统安全风险处理更迅速

信息系统安全风险评估平台与学院网络安全教育平台、运维网站数据整合,当网络遭受攻击、病毒肆虐时,能第一时间获得相关信息,为快速解决信息系统安全风险创造了条件。

4.4提高了全校师生网络安全防范和参与意识

通过信息系统安全风险评估平台,全院师生提高了网络安全防范和参与意识,为河南牧业经济学院网络信息化建设出谋划策,促进学校领导和有关职能部门制定和完善网络有关管理制度。

4.5规范了全校师生的上网行为,减少了网络攻击

全校师生通过平台了解学校网络管理相关制度和管理方式,认识到自己的上网行为在学校监督管理中,从而自觉规范自身的上网行为。平台为引导师生正确使用网络、规避风险,保障校园网网络良好正常运转起到了积极的作用。通过信息系统风险评估的漏洞查找,各系部加强了网络安全知识普及、全员参与、相关规章制度的约束,一直困扰我院网管人员的网络非法攻击,特别是破坏后果更难预测的内部网络攻击得到了有效的遏制。

5结束语

随着教育信息化的深入推进,高校信息安全风险评估平台已成为河南牧业经济学院网络信息化建设的重要组成部分,为营造一个安全、稳定、和谐的绿色校园网环境,进一步促进校园网络安全管理工作,提升网络管理和服务水平,在教育现代化的进程中日益发挥其作用。

人员风险评估报告篇7

【关键词】风险导向审计;审计流程

现代风险导向审计基于战略系统观,对被审计单位的重大错报风险进行评估,克服了传统审计缺乏全面性分析而导致审计风险的缺点,是审计技术方法、审计程序上的一大变革,也是审计理念的一次更新。现代风险导向审计对重大错报风险的评估将更加准确、科学,能更准确地判断重大风险点和风险域,从而可以依据审计重点,合理配置审计资源,降低审计成本,防范审计风险,提高审计的效率与效果。

一、现代风险导向审计产生的动因

目前“制度基础审计”是审计人员普遍使用的审计方法,它使审计人员容易将审计重点偏向于单位的内部控制系统,而忽视了单位本身的目标,在没有检查组织目标和所处风险而直接评估控制程序,其结果意义不大。因为审计人员无法判断哪些控制对风险而言是最重要的,这一模式也带来一些问题,如:过度控制使许多人员从事无附加值的工作,无效率的控制不断增加,使对与组织目前所面临的风险根本无关的控制的审计,变得更无意义。

没有风险就没有控制,控制只为风险而存在。不分析风险而想有效地评价控制是不可能的,将风险评估引入内部控制并将其列为控制的核心,是审计发展的重要的里程碑,也是审计以后的发展方向。以风险评估为基础的风险导向审计使内审人员开始关心组织所面临的风险,并根据风险评估的思路开展对内部控制的评估。

二、现代风险导向审计的基本内涵分析

现代风险导向审计的理论假设在于:被审计单位在复杂激烈的市场竞争环境下出现经营业绩下滑会影响其战略目标的实现。面对严格的市场监管和社会各方压力,被审计单位的管理层就很可能会产生利用财务报告舞弊以掩盖经营不利的动机。基于此假设,审计风险与被审计单位的经营风险和企业战略密切相关,经营风险总是直接或间接地影响审计风险。因此,有效的审计需要审计师站得高、看得远,从源头上寻找可能产生舞弊的根源,从而更有效地评价财务报告的重大错报风险。

现代风险导向审计以战略观和系统观思想指导重大错报风险评估和整个审计流程,因此又称为风险基础战略系统审计方法。其核心思想可以概括为:审计风险主要来源于企业财务报告的错报风险,而错报风险主要来源于整个企业的经营风险,因此,有效的审计应该是建立在对企业所处社会和行业的宏观环境、战略目标和关键经营环节分析的基础上,通过综合评价经营风险以确定实质性测试的范围、时间和程序。

三、现代风险导向审计流程与审计策略

风险导向审计模型下的审计业务流程主要是围绕着识别重大的错报风险而展开的,形成了风险识别、评估和应对程序。

(一)实施风险评估程序

由于现代风险导向审计是以企业宏观层面上可能导致重大错报的风险因素为导向,因此采用自上而下的审计逻辑:

首先,对被审计单位所处的宏观外部环境和主营业务所处的行业环境进行分析,以全面理解企业总体发展战略,识别显性的战略风险;

第二步,分析被审计单位与外部环境之间的联系,从而发现潜在的战略风险。对于识别出的风险,要分析被审计单位所做的监控(即业绩衡量)和应对(即管理控制)措施;

第三步,分析被审计单位的内部经营环节风险。内部经营尤其是关系到企业战略目标实现的关键经营环节的结果,既能够降低战略风险,也能够导致经营风险。针对被审计单位对于这些关键经营环节的风险监控与过程控制进行分析,具有非常重要的意义;

第四步,审计人员利用职业判断对已经识别的风险进行总结并得出剩余风险。分析完成后,审计人员认为没有得到有效控制的,并且对会计报表有重大影响的风险就成为剩余风险,是后来的审计程序所关注的重点;

最后,根据剩余风险结论进行实质性测试,从而将总体审计风险控制在可接受的范围内。

(二)针对评估的重大错报风险实施的程序

审计人员应当针对评估的财务报表层次重大错报风险确定总体应对措施,并针对评估的认定层次重大错报风险设计和实施进一步审计程序。

第一:针对财务报表层次重大错报风险的总体应对措施

审计人员应当针对评估的财务报表层次重大错报风险确定向项目组强调在收集和评价审计证据过程中保持职业怀疑态度的必要性;分派更有经验或具有特殊技能的审计人员,或利用专家的工作,提供更多的督导,注意选择的进一步审计程序不被管理层预见或事先了解。对拟实施审计程序的性质、时间和范围做出总体修改等总体应对措施。审计人员评估的财务报表层次重大错报风险以及采取的总体应对措施,对拟实施进一步审计程序的总体方案具有重大影响。

第二:针对认定层次重大错报风险的进一步审计程序

审计人员应当针对评估的认定层次重大错报风险设计和实施进一步审计程序,包括审计程序的性质、时间和范围。进一步审计程序是指审计人员针对评估的各类交易、账户余额、列报(包括披露) 认定层次重大错报风险实施的审计程序,包括控制测试和实质性程序。审计人员设计和实施的进一步审计程序的性质、时间和范围,应当与评估的认定层次重大错报风险具备明确的对应关系。在应对评估风险时,合理确定审计程序的性质是最重要的。进一步审计程序的目的包括通过实施控制测试以确定内部控制运行的有效性,通过实施实质性程序以发现认定层次的重大错报,其类型包括检查、观察、询问、函证、重新计算、重新执行和分析程序等。

第三:评价列报的适当性

第四:评价审计证据的充分性和适当性

(三)审计报告完成阶段 ,形成审计意见

在完成上述工作后 ,全面总结前几个阶段的测试结果并进行一些追加的测试。审计人员需要在会计师事务所规定的审计风险水平限度内,发表恰当的审计意见。

四、结束语

现代风险导向审计是审计技术方法的重大创新。现代风险导向审计的发展,是审计职业为了应对内外部环境的变化,重新塑造和完善审计职业抽象知识体系和保护审计职业职责范围的客观需要,更利于降低审计成本,防范审计风险和提高审计效率。

参考文献:

[1]丁瑜.审计风险模式的演变及风险导向审计的新发展[J].当代财经,2006 (11):118-121.

[2]谢荣,吴建友.现代风险导向审计理论研究与实务发展[J].会计研究,2004(04):47-51.

[3]陈毓圭.对风险导向审计方法的由来及其发展的认识[J].会计研究,2004(02):58-63.

人员风险评估报告篇8

在意大利上市的前100家大型企业运用风险导向审计的状况进行了调查,结果表明:有25%的企业未采用风险导向审计方法;有67%的企业只在年度审计计划编制过程中采用了风险导向审计方法;只有8%的企业在年度审计计划编制过程和具体审计项目的实施过程中都采用了风险导向审计方法。可见,风险导向审计并未在具体审计项目实施过程中得到广泛运用。而在理论研究方面,有关风险导向审计的研究也多停留在介绍基本概念、分析其必要性上,虽然提出了一些推广运用的设想,但多数较为笼统,缺少实践案例,对实际操作的借鉴性不强。鉴于此,我们以科技管理审计实施为切入点,将风险导向审计理念贯穿于整个审计过程的始终,为在具体审计项目中运用风险导向审计方法开展了积极探索。

二、风险导向审计实施过程风险导向审计过程主要分为审前准备、审计实施、审计报告三个阶段。

(一)审前准备。风险导向审计的一大特点是审计重心前移,在现场审计前需充分了解被审计对象的情况,分析、评估其面临的风险,这是风险导向审计的基础和关键环节,决定了审计的成败。

1、风险识别

为了识别被审计对象科技管理方面存在的风险,我们在审前采取询问被审计对象内部相关人员、咨询其上级主管部门、收集内外部相关资料、审计组内讨论等方式,收集了被审计对象科技管理和信息系统基本情况、内部控制和风险管理状况、被检查和考核资料等相关信息,为进行风险识别准备好了数据原料。对于科技管理的风险,可从风险源、风险影响和风险行为等多个角度来分类。由于考虑到审计的目的是为了完善风险控制,因此从风险控制措施的角度来看,同一风险源可能采取多种攻击方式,不同风险源也可能产生同样的危害,不便于提出控制措施;而从风险的影响来区分较为笼统,也不便于提出有针对性的控制措施。因此在审计中,我们从风险行为的角度,将科技管理风险主要分为操作失误、滥用授权、行为抵赖、身份假冒或密码分析、黑客攻击、恶意代码和病毒、泄露信息、篡改数据、破坏系统、系统意外故障、系统环境威胁、物理攻击和管理不到位等十多类。我们以以往开展的科技管理审计获取的数据和所收集到的被审计对象科技管理情况为基础,明确科技管理的目标,分析威胁目标实现的风险,依据风险分类方式,进行风险识别。由于风险不可能穷尽,为抓住主要矛盾,仅识别较重要的风险,共识别出7类、24个风险域、49个风险点,形成了科技管理风险清单。

2、风险评估

为对已识别风险进行评估,确定每个风险点的等级,采用了风险矩阵的方式(见图1),将风险分为4个等级:风险可忽略、风险较低、较高风险、重大风险。对于风险发生的可能性和影响程度,由于目前还未能建立完备的风险监测数据库,无法准确的量化风险的发生频率和影响,因此采取的是主观估计法,在审计组内部实施头脑风暴法,由审计人员根据以往科技管理审计的实际情况和经验,对风险的可能性和影响作出判断,在风险矩阵中得出对应的风险等级。对风险影响程度的判断,主要是从风险发生后影响的范围、损失金额大小、系统重要性和业务量、系统数据安全性和保密性要求、系统持续运行要求、系统操作难度等因素来考虑。需要注意的是,这里评估的是固有风险,非剩余风险,使用固有风险是因为审计的目的就是通过检查,评估已有控制措施的效力,进而确定剩余风险,因此,审计前的风险评估应评价的是固有风险的发生可能性和影响程度。在评估固有风险后,还可根据被审计对象的控制风险进行调整。调整因素包括:距上次审计或检查的时间、上次审计或检查的结果、上次审计或检查后的整改情况。调整原则是,如果被审计对象在近2年被审计或检查过,且未发现严重问题,整改情况良好,则被审计或检查过的那部分风险点全部降一个等级。

3、建立科技管理风险评估指标体系

为更好的指导审计实施,量化风险评估结果,提高科技管理风险评估的可比性,我们还研究建立了科技管理风险评估指标体系,制作了《对××单位科技管理审计风险评估表》。在风险评估表中,围绕科技管理内控机制建设、机房与设施管理、网络管理、安全保密管理、业务应用系统运行维护管理、采购和外包服务管理、应急备份和文档管理情况等7部分科技管理主要工作,确定了每部分的工作目标,列出每部分的风险域和风险域中存在的风险点,并针对每个风险点提示了相应的控制措施,便于审计人员根据控制措施的提示对风险点进行脆弱性检测。对于指标体系中权重的设置,由于存在分类、风险域、风险点3个层次,分2种方法进行处理。对于分类和风险域这两种较为抽象的指标,运用了层次分析法。向科技人员和审计骨干们发放调查问卷,请专家们按照1-9标度法对指标的重要性作两两比较,填写判断矩阵;将结果进行汇总平均后,得到最终的判断矩阵(见表2),计算各矩阵的特征根和特征向量,并检验其一致性,再对特征向量进行归一处理后,计算得出各分类和风险域的权重。对于风险点的权重,则利用之前已确定好的风险点等级进行相应赋值,对风险可忽略、风险较低、较高风险、重大风险这4个等级的风险点分别赋值1、2、4、8,在风险域范围内进行归一后获得各风险点的基础权重,再与其对应的风险域、分类的权重相乘后,得到风险点的最终权重。为了更好的评价被审计对象的风险管理情况,我们还编写了审计方案,不仅检查科技管理内控制度的充分性,机房、网络和业务应用系统的安全性,运维、采购和安全管理的规范性,还重点关注科技风险管理的情况,检测科技风险管理的环境建设、风险评估、风险控制和监督等情况,扩展了审计范围,综合评估被审计单位科技风险管理整体状况。审计中,将《对××单位科技管理审计风险评估表》作为审计方案的重要组成部分,要求审计人员在评估表的指导下,根据各风险点的高低实施相应的检查,根据审计结果填写对风险点的控制得分。

(二)审计实施。在审计实施阶段,我们针对不同的风险点,指派特定的审计人员花费一定的审计时间,采取适当的审计程序获取一定范围内具有说服力的审计证据,检测被审计对象的风险控制情况,评价其剩余风险。由于科技管理审计中,机房、网络和业务系统等部分审计内容是高风险点集中的区域,且具有专业技术要求高的特点,因此分派具有相应技能和丰富经验的审计人员负责。审计人员根据所负责部分的风险点高低来确定其审计重点,分配工作量,以风险为导向,采取多种方法检测被审计对象对风险点的控制情况。风险导向审计的审计程序主要分为控制测试和实质性程序两类。控制测试指的是测试控制运行的有效性,包括询问、观察、检查、重新执行和穿行测试等方法。实质性程序是指针对重大、特别风险实施的更深层次的审计方法,包括细节测试和实质性分析程序。由于实质性程序多用于财务性审计,因此,主要应用了控制测试的审计程序。审计人员运用了询问、观察、问卷调查、现场检查、重新执行等方法,多角度测试被审计对象的科技风险控制运行的有效性。对于审计中检查样本抽取数量,根据风险点等级和业务频率来判断(见表3)。高风险点按上限抽取,低风险点按下限抽取。

(三)审计报告。报告阶段的主要工作是评估所获取的审计证据,编写审计报告,提出审计建议,并持续跟踪、落实审计整改情况。现场审计结束后,审计组与被审计对象就事实确认书和风险评估的最终情况进行了沟通和确认,根据反馈情况编写了审计报告。审计报告以风险为中心,全面评价被审计对象的科技风险管理情况,指出了存在的问题和风险隐患,提出改进和完善的意见建议。为了突出审计发现的高风险管理情况和问题,引起关注,我们在审计报告的开始就对被审计对象的风险管理和控制执行情况进行简短的总体评价;将发现问题按照严重程度划分为严重、较严重、一般和轻微4类,依次列出。被审计对象的风险评估最终得分直接根据审计查出问题来赋值。对严重、较严重、一般和轻微问题分别赋值100、40、20、10分,每个风险点原始分值为100,统计每个风险点发现的问题数,单个风险点的最终得分V=100-严重问题数×100-较严重问题数×40-一般问题数×20-轻微问题数×10,得分V最低为0分。风险评估最终得分为所有风险点得分的加权总和。在审计中,我们共发现11个问题,分别为7个一般问题、4个轻微问题。根据评分规则打分后,风险评估最终的得分为95.13分。为了将定量评估转换为定性评价,还建立了风险评估定级标准(见表4)。根据标准,审计组对被审计对象的科技管理情况给出了风险管理状况良好的评价。改情况,特别是要对所发现的严重、较严重问题做重点关注,注意这些重要问题是否得到了有效的控制和消除,并评估是否有新的风险和问题产生。根据被审计对象提交的整改报告和其他途径获取信息,判断是否需要开展后续审计或检查,以确认审计发现的纠正情况。

三、风险导向审计流程框架

基于此次风险导向审计实践,我们总结经验做法,提出了风险导向审计流程框架,以期对今后开展风险导向审计提供帮助。要在具体审计项目中应用风险导向审计,就应该将风险导向审计理念运用至审计计划编制到现场实施,直至审计后续的整个审计过程。在审计过程中,必须重视项目的审前调查和审计方案的编制工作,重点开展对审计对象的风险评估。审计方案的编制应与审前调查结果紧密结合,以风险评估得出的高风险领域作为审计重点,作为选择审计程序、确定审计抽样比例的依据,以提高审计工作的效率和质量。审计方案中应详细列示每一个审计要点对应的目标、风险、控制措施。同时应编制标准化检查表以规范、细化审计步骤,详细列示需要采取什么方法、访谈哪些人员、需要抽取哪些样本等,避免因审计人员经验不足或懈怠等原因而影响审计质量。在现场实施过程中,应根据新增信息不断调整风险评估结果,优化审计步骤,以修正审前调查中由于信息量不足而作出的不当估计和判断。对审计中发现的问题,也应以风险为导向,充分揭示存在的风险隐患,与被审计对象就发现问题和风险评估结果做充分的沟通确认。在审计报告中也以风险作为评价的重点,反映被审计对象的风险管理整体情况,提示风险,提出强化风险防范的建议。

四、结束语

风险导向审计是顺应时展,解决审计资源有限与风险管理亟待加强矛盾的有效方法,也契合了国际内部审计师协会对内部审计的最新要求“通过系统的、规范的方法,评价并改善风险管理、控制和治理过程。”风险导向审计方法应贯穿审计过程的始终,要广泛运用风险导向审计方法,选择审计项目,制定审计方案、指导现场实施、拟写审计报告,真正实现“风险引导审计、审计关注风险”。将风险导向运用于具体的审计实践,能够帮助深化风险导向审计理念,拓展审计视野,改进审计方式,前移审计中心,更为科学的配置审计资源,积累风险导向审计的经验,为不断扩大风险导向审计的应用打下基础。今后,我们还将在风险评估过程、风险评估指标体系建立、审计方案制定等方面继续改进和加强,使风险导向审计的应用更为科学,更加完善。

上一篇:施工安全风险评估报告范文 下一篇:酒店安全风险评估报告范文