發(fā)布時(shí)間:2023-07-17 16:30:06
序言:寫(xiě)作是分享個(gè)人見(jiàn)解和探索未知領(lǐng)域的橋梁,我們?yōu)槟x了8篇的風(fēng)險(xiǎn)因素的識(shí)別和評(píng)估樣本,期待這些樣本能夠?yàn)槟峁┴S富的參考和啟發(fā),請(qǐng)盡情閱讀。
關(guān)鍵詞:企業(yè)會(huì)計(jì)信息;風(fēng)險(xiǎn)識(shí)別;管理分析
中圖分類(lèi)號(hào):F23 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1001-828X(2013)11-0-01
風(fēng)險(xiǎn)就是未來(lái)可能發(fā)生的不確定性的結(jié)果,在財(cái)務(wù)管理方面不論何種風(fēng)險(xiǎn)都會(huì)造成重大損失,因此需要對(duì)風(fēng)險(xiǎn)進(jìn)行有效識(shí)別和管理,以最大限度降低風(fēng)險(xiǎn)成本。企業(yè)會(huì)計(jì)信息系統(tǒng)可以有效維護(hù)企業(yè)的整體運(yùn)行,企業(yè)對(duì)會(huì)計(jì)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)識(shí)別和管理不僅是企業(yè)財(cái)務(wù)規(guī)避風(fēng)險(xiǎn)的需要,也是整個(gè)企業(yè)風(fēng)險(xiǎn)管理的需要。但目前我國(guó)在會(huì)計(jì)信息系統(tǒng)風(fēng)險(xiǎn)識(shí)別和管理方面的研究還很少,企業(yè)在會(huì)計(jì)信息風(fēng)險(xiǎn)管理方面的認(rèn)識(shí)和經(jīng)驗(yàn)還不足,很多企業(yè)為保證會(huì)計(jì)信息安全傾盡了大量財(cái)力、物力卻沒(méi)有任何效果。因此企業(yè)如何識(shí)別風(fēng)險(xiǎn),并采取措施進(jìn)行有針對(duì)性的風(fēng)險(xiǎn)管理,需要企業(yè)管理者認(rèn)真思考總結(jié),以對(duì)癥下藥。
一、企業(yè)會(huì)計(jì)信息風(fēng)險(xiǎn)識(shí)別
1.會(huì)計(jì)信息風(fēng)險(xiǎn)識(shí)別的定義和重要性
對(duì)事件的識(shí)別可以幫助企業(yè)管理者熟悉影響業(yè)務(wù)活動(dòng)的各種因素,但事件識(shí)別無(wú)法清楚了解這些事件蘊(yùn)含著怎樣的風(fēng)險(xiǎn)。因此企業(yè)管理者在了解事件的同時(shí),更應(yīng)分析這些復(fù)雜的事件蘊(yùn)含了哪些“風(fēng)險(xiǎn)”,即風(fēng)險(xiǎn)識(shí)別。企業(yè)會(huì)計(jì)信息風(fēng)險(xiǎn)識(shí)別可以將不確定的事件轉(zhuǎn)化為清晰的風(fēng)險(xiǎn)陳述,在事件識(shí)別和風(fēng)險(xiǎn)評(píng)估之間起到橋梁的作用。
2.會(huì)計(jì)信息風(fēng)險(xiǎn)識(shí)別的內(nèi)容
企業(yè)會(huì)計(jì)信息風(fēng)險(xiǎn)識(shí)別可以分為三個(gè)方面:(1)利用風(fēng)險(xiǎn)檢查表來(lái)系統(tǒng)地識(shí)別風(fēng)險(xiǎn);(2)對(duì)已知風(fēng)險(xiǎn)進(jìn)行交流。采用口頭或書(shū)面的方式,在企業(yè)會(huì)議上針對(duì)已知風(fēng)險(xiǎn)進(jìn)行交流;(3)將已知的風(fēng)險(xiǎn)編寫(xiě)成文檔,可以方便以后查閱。文檔內(nèi)容從風(fēng)險(xiǎn)陳述和相關(guān)風(fēng)險(xiǎn)的背景兩個(gè)方面來(lái)寫(xiě),風(fēng)險(xiǎn)背景中要包括風(fēng)險(xiǎn)發(fā)生的時(shí)間、地點(diǎn)、原因和后果[1]。
3.會(huì)計(jì)信息風(fēng)險(xiǎn)識(shí)別的方法
企業(yè)會(huì)計(jì)信息識(shí)別風(fēng)險(xiǎn)的方法有很多,財(cái)會(huì)人員可以通過(guò)分析公司歷年的財(cái)務(wù)報(bào)表,加強(qiáng)與部門(mén)經(jīng)理的討論溝通,多進(jìn)行員工調(diào)查,或咨詢保險(xiǎn)人和風(fēng)險(xiǎn)管理咨詢顧問(wèn)等方式,以此識(shí)別各種潛在風(fēng)險(xiǎn)。財(cái)會(huì)管理者在運(yùn)用各種風(fēng)險(xiǎn)識(shí)別方法時(shí),首先要全面了解部門(mén)、企業(yè)以及影響企業(yè)的經(jīng)濟(jì)、法律和法規(guī)等“事件”。有效識(shí)別面臨風(fēng)險(xiǎn)的各項(xiàng)財(cái)產(chǎn)以及造成潛在損失的原因,考慮對(duì)這些財(cái)產(chǎn)進(jìn)行計(jì)量的方法。綜合各種計(jì)量屬性的優(yōu)缺點(diǎn),選擇合理的估價(jià)方法。
二、企業(yè)會(huì)計(jì)信息風(fēng)險(xiǎn)管理分析
1.會(huì)計(jì)信息風(fēng)險(xiǎn)評(píng)估
企業(yè)會(huì)計(jì)信息風(fēng)險(xiǎn)評(píng)估即對(duì)會(huì)計(jì)信息及信息處理設(shè)施可能發(fā)生的威脅和影響的評(píng)估。企業(yè)財(cái)會(huì)部門(mén)利用風(fēng)險(xiǎn)評(píng)估可以有效考慮潛在風(fēng)險(xiǎn)對(duì)會(huì)計(jì)目標(biāo)達(dá)成的影響,以確定會(huì)計(jì)信息風(fēng)險(xiǎn)控制的優(yōu)先級(jí),實(shí)現(xiàn)對(duì)潛在風(fēng)險(xiǎn)的有效控制,將風(fēng)險(xiǎn)降低到最小范圍。風(fēng)險(xiǎn)評(píng)估時(shí)管理者首先應(yīng)考慮到企業(yè)資產(chǎn)及其價(jià)值的潛在威脅,研究風(fēng)險(xiǎn)發(fā)生的可能性和薄弱點(diǎn),建立完善的風(fēng)險(xiǎn)評(píng)估流程。風(fēng)險(xiǎn)評(píng)估方法分為定性和定量?jī)煞N,對(duì)于不能量化的或不能進(jìn)行定量評(píng)價(jià),實(shí)踐中沒(méi)有實(shí)用性的風(fēng)險(xiǎn)采用定性的評(píng)估方法。定性分析方法側(cè)重于關(guān)注事件帶來(lái)的損失,而很少關(guān)注事件發(fā)生的頻率,主要是通過(guò)事件面臨的威脅和脆弱點(diǎn)來(lái)確定事件的風(fēng)險(xiǎn)等級(jí),評(píng)估中也沒(méi)有具體的數(shù)據(jù),以期望值來(lái)設(shè)定風(fēng)險(xiǎn)的影響值和概率值[2]。
當(dāng)單純的期望值不能區(qū)分風(fēng)險(xiǎn)值間的差別時(shí),就需用定量評(píng)估法。定量評(píng)估主要是利用威脅事件發(fā)生的概率和可能造成的損失這兩個(gè)因素,這兩個(gè)因素相乘的結(jié)果稱(chēng)為ALE。通過(guò)ALE可以計(jì)算出風(fēng)險(xiǎn)等級(jí),以對(duì)此做出相應(yīng)決策。不同規(guī)模的企業(yè)風(fēng)險(xiǎn)評(píng)估工具的選擇不同,比較小的企業(yè)財(cái)會(huì)部門(mén)的風(fēng)險(xiǎn)管理決策主要來(lái)自經(jīng)驗(yàn)判斷,對(duì)于規(guī)模較大的企業(yè)一般通過(guò)數(shù)據(jù)收集、處理分析來(lái)進(jìn)行風(fēng)險(xiǎn)評(píng)估。常用的風(fēng)險(xiǎn)評(píng)估工具有使用歷史數(shù)據(jù)法、使用回歸分析方法和使用正態(tài)分布模擬損失分布等。
2.會(huì)計(jì)信息風(fēng)險(xiǎn)應(yīng)對(duì)
在企業(yè)會(huì)計(jì)信息風(fēng)險(xiǎn)應(yīng)對(duì)中,首先應(yīng)以風(fēng)險(xiǎn)評(píng)估的結(jié)果為依據(jù),判斷威脅事件的薄弱點(diǎn),選擇合理的手段和正確的保護(hù)措施。其次,也應(yīng)該考慮到費(fèi)用問(wèn)題,確保應(yīng)對(duì)措施的費(fèi)用在財(cái)會(huì)部門(mén)預(yù)算范圍之內(nèi)。根據(jù)應(yīng)對(duì)措施的費(fèi)用和部門(mén)的實(shí)際預(yù)算選擇合理的方式,達(dá)到降低風(fēng)險(xiǎn)的目的。常見(jiàn)的風(fēng)險(xiǎn)應(yīng)對(duì)方法有規(guī)避風(fēng)險(xiǎn)、減輕風(fēng)險(xiǎn)、承擔(dān)風(fēng)險(xiǎn)和接受風(fēng)險(xiǎn)等。風(fēng)險(xiǎn)的發(fā)生是隨機(jī)和不確定的,因此風(fēng)險(xiǎn)應(yīng)對(duì)也是一個(gè)動(dòng)態(tài)的過(guò)程,財(cái)會(huì)部門(mén)應(yīng)使用動(dòng)態(tài)的方法應(yīng)對(duì)風(fēng)險(xiǎn),及時(shí)更新風(fēng)險(xiǎn)管理體系。
3.會(huì)計(jì)信息風(fēng)險(xiǎn)監(jiān)控
企業(yè)會(huì)計(jì)信息風(fēng)險(xiǎn)監(jiān)控是財(cái)務(wù)信息風(fēng)險(xiǎn)管理的重要組成部分,可以通過(guò)持續(xù)監(jiān)控和單獨(dú)評(píng)價(jià)兩種方式實(shí)現(xiàn)。在企業(yè)財(cái)務(wù)部門(mén)的日常業(yè)務(wù)活動(dòng)中實(shí)行持續(xù)監(jiān)控,依靠風(fēng)險(xiǎn)評(píng)估和持續(xù)監(jiān)控的有效性進(jìn)行單獨(dú)評(píng)價(jià)。持續(xù)監(jiān)控是財(cái)務(wù)部門(mén)對(duì)日常工作和業(yè)務(wù)活動(dòng)的動(dòng)態(tài)監(jiān)控,財(cái)會(huì)部門(mén)在工作中如發(fā)現(xiàn)風(fēng)險(xiǎn)管理的缺陷應(yīng)立即向上級(jí)匯報(bào),以采取相應(yīng)措施彌補(bǔ)。通過(guò)日常的監(jiān)控可以及時(shí)發(fā)現(xiàn)會(huì)計(jì)信息管理中的各種問(wèn)題,以規(guī)避風(fēng)險(xiǎn)。在風(fēng)險(xiǎn)事件發(fā)生后進(jìn)行個(gè)別評(píng)估,探討財(cái)會(huì)部門(mén)風(fēng)險(xiǎn)管理的有效性,重視對(duì)事件缺陷的挖掘與匯報(bào),建立可靠的溝通渠道,及時(shí)匯報(bào)一些敏感或非法的信息[3]。
三、結(jié)語(yǔ)
在激烈的市場(chǎng)競(jìng)爭(zhēng)中,企業(yè)在經(jīng)營(yíng)管理的各個(gè)環(huán)節(jié),不可避免的會(huì)存在一定風(fēng)險(xiǎn),這些風(fēng)險(xiǎn)可能對(duì)企業(yè)產(chǎn)生重大影響。有效規(guī)避和化解企業(yè)會(huì)計(jì)信息中的風(fēng)險(xiǎn),是確保企業(yè)在激烈的競(jìng)爭(zhēng)中持續(xù)發(fā)展的基本要求。財(cái)會(huì)部門(mén)作為企業(yè)的核心部門(mén),在日常工作中應(yīng)該建立有效的風(fēng)險(xiǎn)管理體制,對(duì)可能發(fā)生的風(fēng)險(xiǎn)進(jìn)行評(píng)估,并采取相應(yīng)的措施應(yīng)對(duì),也要實(shí)施風(fēng)險(xiǎn)持續(xù)監(jiān)控制度,積極挖掘財(cái)會(huì)工作中的各種風(fēng)險(xiǎn)管理缺陷,以此規(guī)避風(fēng)險(xiǎn)減少企業(yè)經(jīng)濟(jì)損失。
參考文獻(xiàn):
[1]李華麗.淺論會(huì)計(jì)風(fēng)險(xiǎn)管理存在的問(wèn)題[J].中國(guó)市場(chǎng),2010,5(26):21-23.
1.1靜態(tài)風(fēng)險(xiǎn)評(píng)估
靜態(tài)風(fēng)險(xiǎn)評(píng)估是根據(jù)傳統(tǒng)風(fēng)險(xiǎn)評(píng)估的具體方法對(duì)較短時(shí)間內(nèi)系統(tǒng)存在的各種風(fēng)險(xiǎn)進(jìn)行科學(xué)的評(píng)估,評(píng)估的整個(gè)過(guò)程并不連續(xù),評(píng)估的對(duì)象主要選擇相對(duì)靜止的系統(tǒng)。
1.2動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估
動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估是對(duì)網(wǎng)絡(luò)進(jìn)行安全風(fēng)險(xiǎn)的評(píng)估,并研究系統(tǒng)變化的過(guò)程和趨勢(shì),將安全風(fēng)險(xiǎn)與具體的環(huán)境相互聯(lián)系,從宏觀的角度了解整個(gè)系統(tǒng)存在的安全風(fēng)險(xiǎn),把握風(fēng)險(xiǎn)的動(dòng)態(tài)變化,風(fēng)險(xiǎn)評(píng)估的過(guò)程是動(dòng)態(tài)變化的過(guò)程。對(duì)于電信網(wǎng)絡(luò)而言,客觀準(zhǔn)確的進(jìn)行安全風(fēng)險(xiǎn)的評(píng)估是整個(gè)電信安全管理的重要前提。風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的初級(jí)階段,目前,我國(guó)的電信網(wǎng)絡(luò)仍然采用傳統(tǒng)靜態(tài)評(píng)估的方式,最終對(duì)安全風(fēng)險(xiǎn)的評(píng)估只是針對(duì)特定的時(shí)間點(diǎn)。但是,靜態(tài)風(fēng)險(xiǎn)評(píng)估不能有效的體現(xiàn)評(píng)估風(fēng)險(xiǎn)各種變化的趨勢(shì),評(píng)估結(jié)果相對(duì)比較滯后。動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估加強(qiáng)了靜態(tài)風(fēng)險(xiǎn)評(píng)估的效果,能夠反映較長(zhǎng)時(shí)間安全風(fēng)險(xiǎn)具體的變化情況。在動(dòng)態(tài)風(fēng)險(xiǎn)進(jìn)行評(píng)估的過(guò)程中,如果系統(tǒng)出現(xiàn)安全問(wèn)題,可以及時(shí)的進(jìn)行處理,展現(xiàn)了整個(gè)風(fēng)險(xiǎn)評(píng)估的變化過(guò)程,保證了網(wǎng)絡(luò)的安全。對(duì)電信網(wǎng)絡(luò)實(shí)施動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估,具有非常復(fù)雜的過(guò)程,評(píng)估的結(jié)果具有參考價(jià)值。電信網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的研究文/向宗旭隨著電信技術(shù)的不斷發(fā)展和深入,電信網(wǎng)絡(luò)與現(xiàn)代的互聯(lián)網(wǎng)存在較為緊密的聯(lián)系,這也為電信網(wǎng)絡(luò)帶來(lái)巨大的安全風(fēng)險(xiǎn)。電信網(wǎng)絡(luò)屬于我國(guó)通信網(wǎng)絡(luò)中的重要內(nèi)容,直接關(guān)系到我國(guó)社會(huì)的穩(wěn)定。本文主要探討了電信網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)評(píng)估。
2電信網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估具體的實(shí)施過(guò)程
對(duì)電信網(wǎng)絡(luò)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估的工作,其對(duì)象可以針對(duì)電信網(wǎng)絡(luò)的某一部門(mén)也可以是整個(gè)電信網(wǎng)絡(luò)。風(fēng)險(xiǎn)評(píng)估的內(nèi)容包含技術(shù)的安全問(wèn)題以及網(wǎng)絡(luò)管理的安全問(wèn)題。技術(shù)安全主要包括網(wǎng)絡(luò)安全以及物理安全等,管理安全主要包括管理制度以及人員管理等。對(duì)電信網(wǎng)絡(luò)實(shí)施安全風(fēng)險(xiǎn)的評(píng)估主要按照以下幾個(gè)步驟。
2.1風(fēng)險(xiǎn)評(píng)估前的準(zhǔn)備工作
在進(jìn)行安全風(fēng)險(xiǎn)評(píng)估之前,首先需要獲得各個(gè)方面對(duì)安全風(fēng)險(xiǎn)評(píng)估的支持,相互配合,確定需要評(píng)估的具體內(nèi)容,組織負(fù)責(zé)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估的專(zhuān)業(yè)團(tuán)隊(duì),做好市場(chǎng)的調(diào)查工作,制定評(píng)估使用的方法,只有做好一系列的準(zhǔn)備工作才能為接下來(lái)的安全風(fēng)險(xiǎn)評(píng)估奠定基礎(chǔ)。
2.2對(duì)資產(chǎn)的識(shí)別工作
在電信網(wǎng)絡(luò)中的資產(chǎn)主要包括具有一定使用價(jià)值的資源,電信網(wǎng)絡(luò)的資產(chǎn)也是進(jìn)行安全風(fēng)險(xiǎn)評(píng)估的主要對(duì)象。資產(chǎn)存在多種形式,有無(wú)形資產(chǎn)和有形資產(chǎn),還可以分為硬件和軟件。例如,一些網(wǎng)絡(luò)的布局以及用戶的數(shù)據(jù)等。做好資產(chǎn)識(shí)別的工作能夠確定資產(chǎn)具體的安全情況。對(duì)資產(chǎn)進(jìn)行安全風(fēng)險(xiǎn)的評(píng)估可以綜合分析資產(chǎn)的價(jià)值以及安全狀況,還可以考慮資產(chǎn)具有的社會(huì)影響力。社會(huì)影響力是指資產(chǎn)一旦失去安全的保障會(huì)對(duì)整個(gè)社會(huì)帶來(lái)影響。
2.3威脅識(shí)別工作
威脅的識(shí)別是指對(duì)電信網(wǎng)絡(luò)內(nèi)部資產(chǎn)存在破壞的各種因素,這種潛在的破壞因素客觀存在。對(duì)資產(chǎn)產(chǎn)生威脅的主要原因包括技術(shù)、環(huán)境以及人為。技術(shù)因素是指網(wǎng)絡(luò)自身存在的設(shè)備故障或者是網(wǎng)絡(luò)的設(shè)計(jì)存在疏漏。環(huán)境因素是指環(huán)境中的物理因素。人為因素是指人為造成的威脅,包括惡意和非惡意。通過(guò)對(duì)威脅的動(dòng)機(jī)以及發(fā)生幾率描述網(wǎng)絡(luò)存在的各種威脅,威脅識(shí)別工作的重要任務(wù)就是判斷出現(xiàn)威脅的可能性。
2.4脆弱性識(shí)別工作
網(wǎng)絡(luò)資產(chǎn)本身具有脆弱性的特點(diǎn),包括網(wǎng)絡(luò)存在的各種缺陷。只有網(wǎng)絡(luò)存在各種缺陷和弱點(diǎn)才有可能出現(xiàn)各種威脅的因素,如果沒(méi)有威脅的產(chǎn)生,網(wǎng)絡(luò)具有的脆弱性并不會(huì)損害資產(chǎn)。但是只有系統(tǒng)較少自身的脆弱性才會(huì)較少資產(chǎn)被威脅的可能性,使系統(tǒng)的資產(chǎn)更加安全,從而有效的較少損失。對(duì)電信網(wǎng)絡(luò)進(jìn)行脆弱性識(shí)別工作可以從技術(shù)和管理上展開(kāi),主要以資產(chǎn)的安全作為核心內(nèi)容,針對(duì)資產(chǎn)的不同特征,進(jìn)行脆弱性的識(shí)別工作。
2.5確認(rèn)具體的安全措施
對(duì)電信網(wǎng)絡(luò)進(jìn)行的安全風(fēng)險(xiǎn)評(píng)估需要做好安全措施的確認(rèn)工作,保持有明顯效果的安全措施,對(duì)失去效果的安全措施予以改正,避免內(nèi)部資產(chǎn)的浪費(fèi),杜絕重復(fù)使用安全措施。一旦發(fā)現(xiàn)不合理的安全措施需要及時(shí)檢查安全措施能否被取消,并制定更合理的安全措施。確認(rèn)安全措施的工作主要分為預(yù)防性和保護(hù)性兩種。預(yù)防性措施主要負(fù)責(zé)減少威脅性因素產(chǎn)生的可能性,保護(hù)性措施是為了減少資產(chǎn)的損失。
2.6風(fēng)險(xiǎn)分析工作
風(fēng)險(xiǎn)分析工作主要對(duì)電信網(wǎng)絡(luò)的資產(chǎn)識(shí)別、脆弱性識(shí)別、威脅識(shí)別以及存在風(fēng)險(xiǎn)對(duì)資產(chǎn)造成的損失進(jìn)行綜合性的分析,最終得出準(zhǔn)確的風(fēng)險(xiǎn)值,結(jié)合制定的安全措施。分析資產(chǎn)承受風(fēng)險(xiǎn)的最大范圍。如果出現(xiàn)的安全風(fēng)險(xiǎn)在資產(chǎn)承受的范圍之內(nèi),需要繼續(xù)采取安全保護(hù)措施,如果安全風(fēng)險(xiǎn)超出了資產(chǎn)承受的范圍,這就需要對(duì)風(fēng)險(xiǎn)進(jìn)行控制,制定更可靠的安全措施。
2.7整理風(fēng)險(xiǎn)評(píng)估記錄
對(duì)電信網(wǎng)絡(luò)實(shí)施安全風(fēng)險(xiǎn)評(píng)估工作的整個(gè)過(guò)程,需要進(jìn)行風(fēng)險(xiǎn)評(píng)估的準(zhǔn)確記錄,包括評(píng)估的過(guò)程以及評(píng)估的最終結(jié)果,制定系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估報(bào)告。為安全風(fēng)險(xiǎn)評(píng)估的工作提供可靠的科學(xué)依據(jù)。
3結(jié)束語(yǔ)
2004年9月美國(guó)COSO委員會(huì)的企業(yè)風(fēng)險(xiǎn)管理整合框架,其中很重要的一個(gè)變化是企業(yè)風(fēng)險(xiǎn)管理框架拓展了內(nèi)部控制框架的風(fēng)險(xiǎn)評(píng)估要素,創(chuàng)造了四個(gè)構(gòu)成要素――目標(biāo)設(shè)定、事項(xiàng)識(shí)別、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)應(yīng)對(duì),使原來(lái)內(nèi)部控制中的五要素,拓展為企業(yè)風(fēng)險(xiǎn)管理的八要素,為什么要對(duì)此細(xì)化呢?筆者的理解是COSO試圖讓這個(gè)框架在風(fēng)險(xiǎn)評(píng)估這個(gè)環(huán)節(jié)更具體,更有指導(dǎo)性,體現(xiàn)了其和對(duì)風(fēng)險(xiǎn)評(píng)估要素的重視及強(qiáng)調(diào),雖然它并不否定其他構(gòu)成要素的重要性。
我國(guó)內(nèi)部控制基本規(guī)范中雖然還是提五要素,但在第三章“風(fēng)險(xiǎn)評(píng)估”中也借鑒了COSO的表述,包含了目標(biāo)設(shè)定、事項(xiàng)識(shí)別、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)應(yīng)對(duì)四個(gè)方面的內(nèi)容。關(guān)于風(fēng)險(xiǎn)識(shí)別,在第二十二條和第二十三條列示了企業(yè)內(nèi)外部各種風(fēng)險(xiǎn)因素。
按照COSO的定義,事項(xiàng)是源于內(nèi)部或外部的影響戰(zhàn)略實(shí)施或目標(biāo)實(shí)現(xiàn)的事故或事件。事項(xiàng)可能帶來(lái)正面或負(fù)面的影響,或者兩者兼而有之。在事項(xiàng)識(shí)別有過(guò)程中,管理層認(rèn)識(shí)到不確定性的存在,但是并不知道一個(gè)事項(xiàng)是否會(huì)發(fā)生,或什么時(shí)候發(fā)生,或者它所帶來(lái)的確切影響。事項(xiàng)有的很明顯,有的很隱晦;所產(chǎn)生的影響有的微不足道,有的十分重大。
筆者認(rèn)為在企業(yè)風(fēng)險(xiǎn)管理構(gòu)成要素中,事項(xiàng)識(shí)別是需要管理層重視的一個(gè)問(wèn)題,也是風(fēng)險(xiǎn)管理工作中一個(gè)不好掌握的環(huán)節(jié),它是風(fēng)險(xiǎn)評(píng)估的起點(diǎn),與目標(biāo)緊密相連。在實(shí)務(wù)工作中,這個(gè)要素怎樣識(shí)別,由誰(shuí)來(lái)確認(rèn)事項(xiàng),運(yùn)用什么工作方法,怎么區(qū)別對(duì)待機(jī)會(huì)和威脅并啟動(dòng)不同的風(fēng)險(xiǎn)響應(yīng)機(jī)制,是一個(gè)難題。事項(xiàng)、發(fā)生的可能性及對(duì)其的評(píng)估,“在實(shí)踐中很困難,因?yàn)橥ǔ:茈y知道到底應(yīng)該把底線畫(huà)在哪兒。”管理層重視事項(xiàng)識(shí)別這個(gè)環(huán)節(jié),并在實(shí)際工作中明確崗位職責(zé),建立有效的工作機(jī)制,才能做到寓風(fēng)險(xiǎn)管理持續(xù)地流動(dòng)于主體之內(nèi)的要求。
二、事項(xiàng)識(shí)別的主體
事項(xiàng)識(shí)別的主體是管理層。企業(yè)風(fēng)險(xiǎn)管理要求企業(yè)的每個(gè)員工都要對(duì)風(fēng)險(xiǎn)管理負(fù)有一定的責(zé)任,首席執(zhí)行官負(fù)有首要和最終的責(zé)任,其他管理人員在各自的職責(zé)范圍內(nèi)依據(jù)風(fēng)險(xiǎn)容限去管理風(fēng)險(xiǎn)。風(fēng)險(xiǎn)官、財(cái)務(wù)官、內(nèi)部審計(jì)師等通常負(fù)有關(guān)鍵的支持責(zé)任。企業(yè)其他人員按指引和規(guī)程去實(shí)施風(fēng)險(xiǎn)管理。在企業(yè)實(shí)際工作中,問(wèn)題有三個(gè),其一,不同的管理層自上而下認(rèn)識(shí)和努力程度是否一致;其二,不同崗位的人員素質(zhì)及能力水平是否符合要求;其三,缺乏專(zhuān)責(zé)機(jī)構(gòu),事項(xiàng)識(shí)別職責(zé)不明。
首席執(zhí)行官(CEO)負(fù)責(zé)建立企業(yè)風(fēng)險(xiǎn)管理的所有構(gòu)成要素。CEO要領(lǐng)導(dǎo)和指引其他高級(jí)管理人員共同做好事項(xiàng)識(shí)別工作,要培養(yǎng)管理團(tuán)隊(duì)有共同的風(fēng)險(xiǎn)管理價(jià)值觀、原則,要使風(fēng)險(xiǎn)管理理念和文化在企業(yè)廣泛、深入地普及。只有上下認(rèn)識(shí)一致,共同努力,風(fēng)險(xiǎn)識(shí)別工作才能做好。
管理層的特定崗位的勝任能力水平是事項(xiàng)識(shí)別的重要制約因素。管理人員需要一定的知識(shí)與技能才能做好這項(xiàng)工作,人在認(rèn)知風(fēng)險(xiǎn)事項(xiàng)時(shí)是有局限性的,尤其是復(fù)雜的經(jīng)濟(jì)和社會(huì)現(xiàn)象,人們往往認(rèn)識(shí)不清,比如前兩年源于美國(guó)次貸危機(jī)引發(fā)的全球金融危機(jī),一開(kāi)始,很少人認(rèn)識(shí)到它的危害性、影響深度及廣度。事項(xiàng)識(shí)別需要管理層敏銳的視角,勇于負(fù)責(zé)的態(tài)度,豐富的經(jīng)驗(yàn)和明確對(duì)等的權(quán)責(zé)分配及監(jiān)督。
事項(xiàng)識(shí)別必須在管理層特定機(jī)構(gòu)和特定崗位明確職責(zé)。責(zé)任到人,才不會(huì)導(dǎo)致由提倡“人人有責(zé)”變成“人人無(wú)責(zé)”,管理層要通過(guò)逐級(jí)授權(quán),讓不同的管理者分擔(dān)與其分部、業(yè)務(wù)單元、子公司對(duì)應(yīng)的風(fēng)險(xiǎn)管理責(zé)任。事項(xiàng)范圍需要按一定的方法進(jìn)行歸類(lèi),事項(xiàng)識(shí)別漏項(xiàng)要有處罰制度,保證管理層內(nèi)部權(quán)責(zé)明確,賞罰分明。
我國(guó)企業(yè)可以結(jié)合自身實(shí)際情況,建立以總裁或CEO為首的風(fēng)險(xiǎn)管理委員會(huì),下設(shè)具有跨部門(mén)、跨單元風(fēng)險(xiǎn)管理職責(zé)的專(zhuān)職或兼職的風(fēng)險(xiǎn)管理辦公室,各部門(mén)、子公司、各單元的負(fù)責(zé)人為各自單位的風(fēng)險(xiǎn)管理責(zé)任人,在各部門(mén)、子公司、業(yè)務(wù)單元設(shè)專(zhuān)職風(fēng)險(xiǎn)管理崗位,內(nèi)部審計(jì)部門(mén)對(duì)風(fēng)險(xiǎn)管理工作進(jìn)行再監(jiān)督,這樣一種風(fēng)險(xiǎn)管理主體架構(gòu)。
三、事項(xiàng)識(shí)別的工作機(jī)制
企業(yè)要建立一定的工作機(jī)制來(lái)保證事項(xiàng)識(shí)別工作得到貫徹落實(shí)。除了CEO負(fù)有全面責(zé)任外,風(fēng)險(xiǎn)官、財(cái)務(wù)官、內(nèi)審部門(mén)負(fù)有相對(duì)于其他管理層人員更重的事項(xiàng)識(shí)別職責(zé),企業(yè)風(fēng)險(xiǎn)管理部門(mén)、財(cái)務(wù)部門(mén)、法律部門(mén)相對(duì)于其他部門(mén)有更多的風(fēng)險(xiǎn)管理責(zé)任,應(yīng)明確其崗位職責(zé)。CEO要定期地約談、督促相關(guān)崗位和部門(mén)的管理人員協(xié)助其做好這方面的工作。對(duì)于事項(xiàng)識(shí)別,管理層應(yīng)建立報(bào)告制度,不同層級(jí)發(fā)現(xiàn)的事項(xiàng),要按照一定的標(biāo)準(zhǔn)上報(bào),企業(yè)要事先規(guī)定不同情形的事項(xiàng)如何處置。風(fēng)險(xiǎn)官、財(cái)務(wù)官、內(nèi)審部門(mén)、風(fēng)險(xiǎn)管理專(zhuān)門(mén)機(jī)構(gòu),要有事項(xiàng)識(shí)別具體工作要求,對(duì)事項(xiàng)識(shí)別的周期、范圍、時(shí)機(jī)、深度和廣度做出規(guī)定,定期報(bào)告,對(duì)于特定的事項(xiàng)范圍,明確由哪個(gè)管理角色來(lái)承擔(dān)。要建立基層員工反映不尋常事項(xiàng)的順暢渠道,鼓勵(lì)和引導(dǎo)全體員工積極參與風(fēng)險(xiǎn)管理工作,建立獎(jiǎng)勵(lì)制度。運(yùn)用科學(xué)的方法和有效的工作組織,事項(xiàng)識(shí)別工作才能做好。
四、事項(xiàng)識(shí)別的難點(diǎn)
不同事項(xiàng)影響企業(yè)生存和發(fā)展的環(huán)境,使企業(yè)面臨的機(jī)會(huì)與風(fēng)險(xiǎn)發(fā)生變化。事項(xiàng)識(shí)別的難點(diǎn)在于事項(xiàng)的廣泛性,相關(guān)性,相互依賴性,不確定性和可識(shí)別性。
所謂廣泛性是說(shuō)事項(xiàng)眾多,紛繁復(fù)雜。既包括外部因素,如經(jīng)濟(jì)、環(huán)境、政治、社會(huì)、技術(shù)因素等,也包括來(lái)源于企業(yè)內(nèi)部的各種因素。即使在經(jīng)濟(jì)因素里面,事項(xiàng)也數(shù)不勝數(shù),如國(guó)際金融危機(jī)、國(guó)家產(chǎn)業(yè)政策調(diào)整、資金成本變化、行業(yè)競(jìng)爭(zhēng)性準(zhǔn)入的變化等等,從企業(yè)內(nèi)部因素看,如人員方面,安全事故、合同到期、薪酬政策等,將可能影響企業(yè)人力資源的獲得,給企業(yè)帶來(lái)停工損失或使企業(yè)形象受損。
相關(guān)性是指事項(xiàng)與目標(biāo)之間的是否有因果對(duì)應(yīng)關(guān)系,人們通過(guò)界定這些事項(xiàng),能夠提高人們發(fā)現(xiàn)風(fēng)險(xiǎn)與機(jī)會(huì)的能力。事項(xiàng)識(shí)別必須圍繞著目標(biāo)的實(shí)現(xiàn)來(lái)確定的,只有影響戰(zhàn)略實(shí)施或目標(biāo)實(shí)現(xiàn)的內(nèi)外部事故和事件才屬于事項(xiàng)的范圍。
相互依賴性是指事項(xiàng)通常不是孤立地發(fā)生的,一個(gè)事項(xiàng)可能引發(fā)另一個(gè)事項(xiàng),事項(xiàng)也可能會(huì)同時(shí)發(fā)生。如一項(xiàng)資本性開(kāi)支(固定資產(chǎn)更新改造)因?yàn)榭s減性財(cái)務(wù)政策而推遲實(shí)施,可能導(dǎo)致停工或延期交貨。有時(shí),事項(xiàng)之間的關(guān)聯(lián)性也要進(jìn)行分析研究才能得出。當(dāng)事項(xiàng)之間存在相互關(guān)聯(lián),或者事項(xiàng)結(jié)合或相互影響產(chǎn)生顯著不同的可能性或影響時(shí),管理層就要把它們放在一起來(lái)評(píng)估。
不確定性是指事項(xiàng)是否如期發(fā)生,企業(yè)風(fēng)險(xiǎn)管理的實(shí)質(zhì)就是平衡企業(yè)在創(chuàng)造價(jià)值的同時(shí),能夠承受多少不確定性。在企業(yè)經(jīng)營(yíng)所處的環(huán)境中,諸如經(jīng)濟(jì)全球化、技術(shù)、重組、變化中的市場(chǎng)、競(jìng)爭(zhēng)和管制等因素都會(huì)導(dǎo)致不確定性。不確定性來(lái)源于不能準(zhǔn)確地確定事項(xiàng)發(fā)生的可能性以及所帶來(lái)的影響。
可識(shí)別性指事項(xiàng)發(fā)生或即將發(fā)生時(shí),能否被管理層識(shí)別。風(fēng)險(xiǎn)實(shí)際上更多地來(lái)源于管理層沒(méi)有識(shí)別到有著負(fù)面影響的事項(xiàng),在事項(xiàng)發(fā)生時(shí),管理層沒(méi)有意識(shí)到它會(huì)給企業(yè)帶來(lái)影響。事項(xiàng)識(shí)別還包括要將代表著機(jī)會(huì)的事項(xiàng)反饋到管理層的戰(zhàn)略制訂或目標(biāo)制訂過(guò)程中。企業(yè)的事項(xiàng)識(shí)別能力也與其運(yùn)用的技術(shù)方法緊密相關(guān),也有一個(gè)培養(yǎng)和提高的過(guò)程。
事項(xiàng)識(shí)別的深度、廣度、時(shí)機(jī)和范圍因主體而異。對(duì)于以上這些難點(diǎn)的充分認(rèn)識(shí),有助于企業(yè)風(fēng)險(xiǎn)管理抓住“牛鼻子”,抓住關(guān)鍵事項(xiàng)。
五、事項(xiàng)識(shí)別的方法
檔案信息資產(chǎn)是與檔案信息系統(tǒng)有關(guān)的所有資產(chǎn),包括檔案信息系統(tǒng)的硬件、軟件、數(shù)據(jù)、人員、服務(wù)及組織形象等,是有形和無(wú)形資產(chǎn)的總和。脆弱性是檔案信息系統(tǒng)自身存在的技術(shù)和管理漏洞,可能被外部威脅利用,造成安全事故;威脅是外部存在的、可能導(dǎo)致檔案信息系統(tǒng)發(fā)生安全事故的潛在因素。威脅、脆弱性及檔案信息資產(chǎn)的相互影響造成檔案信息系統(tǒng)面臨安全風(fēng)險(xiǎn),最后計(jì)算出風(fēng)險(xiǎn)值。
檔案信息安全風(fēng)險(xiǎn)評(píng)估總體方法
檔案信息安全風(fēng)險(xiǎn)評(píng)估的核心問(wèn)題之一是風(fēng)險(xiǎn)評(píng)估方法的選擇,風(fēng)險(xiǎn)評(píng)估方法包括總體方法和具體方法。總體方法是從宏觀的角度確定檔案信息安全風(fēng)險(xiǎn)評(píng)估大致方法,包括:風(fēng)險(xiǎn)評(píng)價(jià)標(biāo)準(zhǔn)確定方法;風(fēng)險(xiǎn)評(píng)估中資產(chǎn)、威脅和脆弱性的識(shí)別方法;風(fēng)險(xiǎn)評(píng)估輔助工具使用方法及風(fēng)險(xiǎn)評(píng)估管理方法等。事實(shí)上,信息安全風(fēng)險(xiǎn)評(píng)估方法經(jīng)歷了一個(gè)不斷發(fā)展的過(guò)程,“經(jīng)歷了從手動(dòng)評(píng)估到工具輔助評(píng)估的階段,目前正在由技術(shù)評(píng)估到整體評(píng)估發(fā)展,由定性評(píng)估向定性和定量相結(jié)合的方向發(fā)展,由基于知識(shí)(或經(jīng)驗(yàn))的評(píng)估向基于模型(或標(biāo)準(zhǔn))的評(píng)估方法發(fā)展。”。隨著信息安全技術(shù)與安全管理的不斷發(fā)展,目前信息安全風(fēng)險(xiǎn)評(píng)估方法已發(fā)展到基于標(biāo)準(zhǔn)的、定性與定量相結(jié)合的、借用工具輔助評(píng)估的整體評(píng)估方法。檔案信息安全風(fēng)險(xiǎn)評(píng)估總體方法應(yīng)采用目前最先進(jìn)方法,即采用依據(jù)合適風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)、定性與定量結(jié)合、借助評(píng)估工具或軟件來(lái)實(shí)現(xiàn)不僅進(jìn)行檔案信息安全技術(shù)評(píng)估,而且進(jìn)行檔案信息安全管理評(píng)估的整體評(píng)估方法。
1 檔案信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)的確定
信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)主要分為國(guó)際國(guó)外標(biāo)準(zhǔn)和國(guó)家標(biāo)準(zhǔn)。國(guó)際國(guó)外標(biāo)準(zhǔn)有:《ISO/IEC 13335 信息技術(shù) IT安全管理指南》、《ISO/IEC 17799:2005信息安全管理實(shí)施指南》、《ISO/IEC27001:2005信息安全管理體系要求》、《NIST SP 800-30信息技術(shù)系統(tǒng)的風(fēng)險(xiǎn)管理指南》系列標(biāo)準(zhǔn)等,這些標(biāo)準(zhǔn)在國(guó)外已得到廣泛使用,而我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估起步較晚,在吸取國(guó)外標(biāo)準(zhǔn)且根據(jù)我國(guó)國(guó)情的基礎(chǔ)上于2007年制定了國(guó)家標(biāo)準(zhǔn)((GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》,并在全國(guó)范圍內(nèi)推廣。國(guó)家發(fā)展改革委員會(huì)、公安部、國(guó)家保密局于2008年了“關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知(發(fā)改高技[2008]2071號(hào))”,該文件要求國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目(以下簡(jiǎn)稱(chēng)電子政務(wù)項(xiàng)目),應(yīng)開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作,且規(guī)定采用《GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》。檔案信息系統(tǒng)屬于電子政務(wù)系統(tǒng),檔案信息安全風(fēng)險(xiǎn)評(píng)估也應(yīng)該采取OB/T 20984-2007標(biāo)準(zhǔn)。
2 檔案信息安全風(fēng)險(xiǎn)評(píng)估需定性與定量相結(jié)合
定性分析方法是目前廣泛采用的方法,需要憑借評(píng)估者的知識(shí)、經(jīng)驗(yàn)和直覺(jué),為風(fēng)險(xiǎn)的各個(gè)要素定級(jí)。定性分析法操作相對(duì)容易,但也可能因?yàn)榉治鼋Y(jié)果過(guò)于主觀性,很難完全反映安全現(xiàn)實(shí)情況。定量分析則對(duì)構(gòu)成風(fēng)險(xiǎn)的各個(gè)要素和潛在損失水平賦予數(shù)值或貨幣金額,最后得出系統(tǒng)安全風(fēng)險(xiǎn)的量化評(píng)估結(jié)果。
定量分析方法準(zhǔn)確,但由于信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估是一個(gè)復(fù)雜的過(guò)程,整個(gè)信息系統(tǒng)又是一個(gè)龐大的系統(tǒng)工程,需要考慮的安全因素眾多,而完全量化這些因素是不切實(shí)際的,因此完全量化評(píng)估是很難實(shí)現(xiàn)的。
定性與定量結(jié)合分析方法就是將風(fēng)險(xiǎn)要素的賦值和計(jì)算,根據(jù)需要分別采取定性和定量的方法,將定性分析方法和定量分析方法有機(jī)結(jié)合起來(lái),共同完成信息安全風(fēng)險(xiǎn)評(píng)估。檔案信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)采取定性與定量相結(jié)合的方法,在檔案信息系統(tǒng)資產(chǎn)重要度、威脅分析和脆弱性分析可用定性方法,但給予賦值可采用定量方法。具體脆弱性測(cè)試軟件可得出定量的數(shù)據(jù),最后得出風(fēng)險(xiǎn)值,并判斷哪些風(fēng)險(xiǎn)可接受和不可接受等。
3 檔案信息安全風(fēng)險(xiǎn)評(píng)估需借用輔助評(píng)估工具
目前信息安全風(fēng)險(xiǎn)評(píng)估輔助工具的出現(xiàn),改變了以往一切工作都只能手工進(jìn)行的狀況,這些工作包括識(shí)別重要資產(chǎn)、威脅和弱點(diǎn)發(fā)現(xiàn)、安全需求分析、當(dāng)前安全實(shí)踐分析、基于資產(chǎn)的風(fēng)險(xiǎn)分析和評(píng)估等。其工作量巨大,容易出現(xiàn)疏漏,而且有些工作如系統(tǒng)軟硬件漏洞檢測(cè)等無(wú)法用手工完成,因此目前國(guó)內(nèi)外均使用相應(yīng)的評(píng)估輔助工具,如漏洞檢測(cè)軟件和風(fēng)險(xiǎn)評(píng)估輔助軟件等。檔案信息安全風(fēng)險(xiǎn)評(píng)估也需借助相應(yīng)的輔助工具,直接可用的是各種系統(tǒng)軟硬件漏洞測(cè)試軟件或我國(guó)依據(jù)《GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》開(kāi)發(fā)的風(fēng)險(xiǎn)評(píng)估輔助軟件,將來(lái)可開(kāi)發(fā)專(zhuān)門(mén)的檔案信息安全風(fēng)險(xiǎn)評(píng)估輔助工具軟件。
4 檔案信息安全風(fēng)險(xiǎn)評(píng)估需整體評(píng)估
信息安全風(fēng)險(xiǎn)評(píng)估不僅需進(jìn)行安全技術(shù)評(píng)估,更重要的需進(jìn)行安全管理等評(píng)估,我國(guó)已將信息系統(tǒng)等級(jí)保護(hù)作為一項(xiàng)安全制度,對(duì)不同等級(jí)的信息系統(tǒng)根據(jù)國(guó)家相關(guān)標(biāo)準(zhǔn)確定安全等級(jí)并采取該等級(jí)對(duì)應(yīng)的基本安全措施,其中包括安全技術(shù)措施和安全管理措施,因此評(píng)估風(fēng)險(xiǎn)時(shí)同樣需進(jìn)行安全技術(shù)和安全管理的整體風(fēng)險(xiǎn)評(píng)估,檔案信息安全風(fēng)險(xiǎn)評(píng)估同樣如此。
檔案信息安全風(fēng)險(xiǎn)評(píng)估具體方法
根據(jù)檔案信息安全風(fēng)險(xiǎn)評(píng)估原理。從資產(chǎn)識(shí)別到風(fēng)險(xiǎn)計(jì)算,都需根據(jù)信息系統(tǒng)自身情況和風(fēng)險(xiǎn)評(píng)估要求選擇合適的具體方法,包括:資產(chǎn)識(shí)別方法、威脅識(shí)別方法、脆弱性識(shí)別方法、現(xiàn)有措施識(shí)別法和風(fēng)險(xiǎn)計(jì)算方法等。
1 資產(chǎn)識(shí)別方法
檔案信息資產(chǎn)識(shí)別是對(duì)信息資產(chǎn)的分類(lèi)和判定其價(jià)值,因此資產(chǎn)識(shí)別方法包括資產(chǎn)分類(lèi)方法和資產(chǎn)賦值方法。
(1)資產(chǎn)分類(lèi)方法
在風(fēng)險(xiǎn)評(píng)估中資產(chǎn)分類(lèi)沒(méi)有嚴(yán)格的標(biāo)準(zhǔn),但一般需滿足:所有的資產(chǎn)都能找到相應(yīng)的類(lèi);任何資產(chǎn)只能有唯一的類(lèi)相對(duì)應(yīng)。常用的資產(chǎn)分類(lèi)方法有:按資產(chǎn)表現(xiàn)形式分類(lèi)、按資產(chǎn)安全級(jí)別分類(lèi)和按資產(chǎn)的功能分類(lèi)等。
在《GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》中,對(duì)資產(chǎn)按其表現(xiàn)形式進(jìn)行分類(lèi),即分為數(shù)據(jù)、軟件、硬件、服務(wù)、人員及其他(主要指組織的無(wú)形資產(chǎn))。這種分類(lèi)方法的優(yōu)點(diǎn)為:資產(chǎn)分類(lèi)清晰、資產(chǎn)分類(lèi)詳細(xì),其缺點(diǎn)為:資產(chǎn)分類(lèi)與其安全屬性無(wú)關(guān)、資產(chǎn)分類(lèi)過(guò)細(xì)造成評(píng)估極其復(fù)雜,因?yàn)槟壳按蟛糠诛L(fēng)險(xiǎn)評(píng)估
都以資產(chǎn)識(shí)別作為起點(diǎn),一項(xiàng)資產(chǎn)面臨多項(xiàng)威脅,—項(xiàng)威脅又與多項(xiàng)脆弱性有關(guān),最后造成針對(duì)某一項(xiàng)資產(chǎn)的風(fēng)險(xiǎn)評(píng)估就十分復(fù)雜,缺乏實(shí)際可操作性。這種分類(lèi)方法比較適合于初次風(fēng)險(xiǎn)評(píng)估單位對(duì)所有信息資產(chǎn)進(jìn)行摸底和統(tǒng)計(jì)。
風(fēng)險(xiǎn)評(píng)估中資產(chǎn)的價(jià)值不是以資產(chǎn)的經(jīng)濟(jì)價(jià)值來(lái)衡量,所以信息資產(chǎn)分類(lèi)應(yīng)與信息資產(chǎn)安全要求有關(guān),即依據(jù)信息資產(chǎn)對(duì)安全要求的高低進(jìn)行分類(lèi),這種方法同時(shí)也滿足下一環(huán)節(jié)即信息資產(chǎn)重要度賦值需求。任何一個(gè)檔案信息資產(chǎn)無(wú)論是硬件、軟件還是其他,其均有安全屬性,在《GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》中要求:“資產(chǎn)價(jià)值應(yīng)依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級(jí),經(jīng)過(guò)綜合評(píng)定得出”。可選擇每個(gè)資產(chǎn)在上述三個(gè)安全屬性中最重要的安全屬性等級(jí)作為其最后重要等級(jí)。但檔案信息安全屬性應(yīng)該更多,除上述屬性外還包括:真實(shí)性、不可否認(rèn)性(抗抵賴)、可控性和可追溯性,所以可以根據(jù)檔案信息的七個(gè)安全屬性中最重要屬性的等級(jí)作為該資產(chǎn)等級(jí)。
目前信息資產(chǎn)安全屬性等級(jí)如保密性等級(jí)可分為:很高、高、中等、低、很低,因此信息資產(chǎn)按安全等級(jí)也可分為:很高、高、中等、低、很低,即如果此信息資產(chǎn)保密性等級(jí)為“中”,完整性等級(jí)為“中”,可用性等級(jí)為“低”,則取此信息資產(chǎn)安全等級(jí)最高的“中”級(jí)。
按信息資產(chǎn)安全級(jí)別分類(lèi)法符合風(fēng)險(xiǎn)評(píng)估要求,因?yàn)轶w現(xiàn)了安全要求越高其資產(chǎn)價(jià)值越高的宗旨,在統(tǒng)計(jì)資產(chǎn)時(shí)也可按表現(xiàn)形式和安全等級(jí)結(jié)合的方法進(jìn)行,如下表1所示。“類(lèi)別”為按第一種分類(lèi)方法中的類(lèi)別,重要度為第二種方法中的五個(gè)等級(jí)。
但如果風(fēng)險(xiǎn)評(píng)估時(shí)按表1進(jìn)行資產(chǎn)分類(lèi)時(shí),每個(gè)檔案信息系統(tǒng)將具有很多資產(chǎn),這樣針對(duì)每一項(xiàng)資產(chǎn)進(jìn)行評(píng)估的時(shí)間和精力對(duì)于評(píng)估方都難以接受。因此,在《信息安全風(fēng)險(xiǎn)評(píng)估——概念、方法和實(shí)踐》一書(shū)中提出:“最好的解決辦法應(yīng)該是面對(duì)系統(tǒng)的評(píng)估”,信息資產(chǎn)安全等級(jí)分類(lèi)的起點(diǎn)可以認(rèn)為是系統(tǒng)(或子系統(tǒng)),這樣可以在資產(chǎn)統(tǒng)計(jì)時(shí)用資產(chǎn)表現(xiàn)形式進(jìn)行分類(lèi),在資產(chǎn)安全等級(jí)分類(lèi)時(shí)按系統(tǒng)或子系統(tǒng)進(jìn)行大致分類(lèi),即同一個(gè)系統(tǒng)或子系統(tǒng)中的資產(chǎn)的安全等級(jí)相同,這樣滿足了組織進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)“用最少的時(shí)間找到主要風(fēng)險(xiǎn)”的思想。
(2)資產(chǎn)賦值方法
由于信息資產(chǎn)價(jià)值與安全等級(jí)有關(guān),因此對(duì)資產(chǎn)賦值應(yīng)與“很高、高、中等、低、很低”相關(guān),但這是定性的方法,結(jié)合定量方法為對(duì)應(yīng)“5、4、3、2、1”五個(gè)值,同時(shí)將此值稱(chēng)為“資產(chǎn)等級(jí)重要度”。
2 威脅識(shí)別方法
(1)威脅分類(lèi)方法
對(duì)檔案信息系統(tǒng)的威脅可從表現(xiàn)形式、來(lái)源、動(dòng)機(jī)、途徑等多角度進(jìn)行分類(lèi),而常用的為按來(lái)源和表現(xiàn)形式分類(lèi)。按來(lái)源可分為:環(huán)境因素和人為因素,人為因素又分為惡意和無(wú)意兩種。基于表現(xiàn)形式可分為:物理環(huán)境影響、軟硬件故障、無(wú)作為或操作失誤、管理不到位、惡意代碼、越權(quán)或?yàn)E用、網(wǎng)絡(luò)攻擊、物理攻擊、泄密、篡改和抵賴等。由于威脅對(duì)信息系統(tǒng)的破壞性極大,所以應(yīng)以分類(lèi)詳細(xì)為宗旨,按表現(xiàn)形式方法分類(lèi)較為合適。
(2)威脅賦值方法
威脅賦值是以威脅出現(xiàn)的頻率為依據(jù)的,評(píng)估者應(yīng)根據(jù)經(jīng)驗(yàn)或相關(guān)統(tǒng)計(jì)數(shù)據(jù)進(jìn)行判斷,綜合考慮三個(gè)方面:“以往安全事件中出現(xiàn)威脅頻率及其頻率統(tǒng)計(jì),實(shí)踐中檢測(cè)到的威脅頻率統(tǒng)計(jì)、近期國(guó)內(nèi)外相關(guān)組織的威脅預(yù)警”。。可以對(duì)威脅出現(xiàn)的頻率進(jìn)行等級(jí)化賦值,即為:“很高、高、中等、低、很低”,相應(yīng)的值為:“5、4、3、2、1”。
3 脆弱性識(shí)別方法
脆弱性的識(shí)別可以以資產(chǎn)為核心,針對(duì)每一項(xiàng)需要保護(hù)的資產(chǎn),識(shí)別可能被威脅利用的弱點(diǎn),同時(shí)結(jié)合已有安全控制措施,對(duì)脆弱性的嚴(yán)重程度進(jìn)行評(píng)估。脆弱性識(shí)別時(shí)來(lái)自于信息資產(chǎn)的所有者、使用者,以及相關(guān)業(yè)務(wù)領(lǐng)域和軟硬件方面的專(zhuān)業(yè)人員等,并對(duì)脆弱性識(shí)別途徑主要有:?jiǎn)柧碚{(diào)查、工具檢測(cè)、人工核查、文檔查閱、滲透性測(cè)試等。
(1)脆弱性分類(lèi)方法
脆弱性一般可以分為兩大類(lèi):信息資產(chǎn)本身脆弱性和安全控制措施不足帶來(lái)的脆弱性。資產(chǎn)本身的脆弱性可以通過(guò)測(cè)試或漏洞掃描等途徑得到,屬于技術(shù)脆弱性。而安全控制措施不足的脆弱性包括技術(shù)脆弱性和管理脆弱性,管理脆弱性更容易被威脅所利用,最后造成安全事故。檔案信息系統(tǒng)脆弱性分類(lèi)最好按技術(shù)脆弱性和管理脆弱性進(jìn)行。技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個(gè)層面的安全問(wèn)題,管理脆弱性又可分為技術(shù)管理脆弱性和組織管理脆弱性兩方面。
(2)脆弱性賦值方法
根據(jù)脆弱性對(duì)資產(chǎn)的暴露程度(指被威脅利用后資產(chǎn)的損失程度),采用等級(jí)方式可對(duì)已經(jīng)分類(lèi)并識(shí)別的脆弱性進(jìn)行賦值。如果脆弱性被威脅利用將對(duì)資產(chǎn)造成完全損害,則為最高等級(jí),共分五級(jí):“很高、高、中等、低、很低”,相應(yīng)的值為:“5、4、3、2、1”。
脆弱性值(已有控制措施仍存在的脆弱性)也可稱(chēng)為暴露等級(jí),將暴露等級(jí)“5、4、3、2、1”可轉(zhuǎn)化為對(duì)應(yīng)的暴露系數(shù):100%、80%、60%、40%、20%,再將“脆弱性”與“資產(chǎn)重要度等級(jí)”聯(lián)系,計(jì)算出如果脆弱性被威脅利用后發(fā)生安全事故的影響等級(jí)。
影響等級(jí)=暴露系數(shù)×資產(chǎn)等級(jí)重要度
4 已有控制措施識(shí)別方法
(1)識(shí)別方法
在識(shí)別脆弱性的同時(shí)應(yīng)對(duì)已經(jīng)采取的安全措施進(jìn)行確認(rèn),然后確定安全事件發(fā)生的容易度。容易度描述的是在采取安全控制措施后威脅利用脆弱性仍可能發(fā)生安全事故的容易情況,也就是威脅的五個(gè)等級(jí):“很高、高、中等、低、很低”,相應(yīng)的取值為:“5、4、3、2、1”,“5”為最容易發(fā)生安全事故。
同時(shí)安全事件發(fā)生的可能性與已有控制措施有關(guān),評(píng)估人員可以根據(jù)對(duì)系統(tǒng)的調(diào)查分析直接給在用控制措施的有效性進(jìn)行賦值,賦值等級(jí)可分為0-5級(jí),
“0”為控制措施基本有效,“5”為控制措施基本無(wú)效。
(2)安全事件可能性賦值
安全事件發(fā)生的可能性可用以下公式計(jì)算:
發(fā)生可能性=發(fā)生容易度(即威脅賦值)+控制措施
5 風(fēng)險(xiǎn)計(jì)算方法
風(fēng)險(xiǎn)計(jì)算方法有很多種,但其必須與資產(chǎn)安全等級(jí)、面臨威脅值、脆弱性值、暴露等級(jí)值、容易度值、已有控制措施值等有關(guān),計(jì)算出風(fēng)險(xiǎn)評(píng)估原理圖中的影響等級(jí)和發(fā)生可能性值。目前一般而言風(fēng)險(xiǎn)計(jì)算公式如下:
風(fēng)險(xiǎn)=影響等級(jí)×發(fā)生可能性
綜上所述,可將信息資產(chǎn)、面臨威脅、可利用脆弱性、暴露、容易度、控制措施、影響、可能性、風(fēng)險(xiǎn)值構(gòu)成表2,最終計(jì)算出風(fēng)險(xiǎn)值。下表以某數(shù)字檔案館為例,其主要分為館內(nèi)檔案管理系統(tǒng)和電子文件中心,評(píng)估資產(chǎn)以子系統(tǒng)作為分類(lèi)和賦值為起點(diǎn),并只以部分威脅、脆弱性列出并計(jì)算風(fēng)險(xiǎn)。
上表中暴露等級(jí)值體現(xiàn)了脆弱性,容易度體現(xiàn)了威脅,以表2第一行為例計(jì)算檔案管理系統(tǒng)數(shù)據(jù)泄密的風(fēng)險(xiǎn)值,過(guò)程如下:
影響等級(jí)=暴露系數(shù)×資產(chǎn)等級(jí)重要度=(3/5)*5=3
可能性=容易度(威脅值)+控制措施值=3+3=6
風(fēng)險(xiǎn)=影響等級(jí)×可能性=3×6=18
農(nóng)業(yè)機(jī)械安全風(fēng)險(xiǎn)評(píng)價(jià)是采用科學(xué)的方法和程序識(shí)別、分析農(nóng)業(yè)機(jī)械安全事故發(fā)生的原因,針對(duì)原因采取措施以消除或減少農(nóng)業(yè)機(jī)械在安裝、使用、維修等環(huán)節(jié)存在的各種安全隱患,預(yù)防安全事故,提高農(nóng)業(yè)機(jī)械的使用安全。其過(guò)程包括風(fēng)險(xiǎn)分析(產(chǎn)品限制的確定、危險(xiǎn)識(shí)別、安全風(fēng)險(xiǎn)評(píng)估)、安全風(fēng)險(xiǎn)評(píng)定和風(fēng)險(xiǎn)減少。安全風(fēng)險(xiǎn)評(píng)價(jià)為迭代過(guò)程。通過(guò)安全風(fēng)險(xiǎn)評(píng)定,對(duì)不可接受的安全風(fēng)險(xiǎn),應(yīng)采取消除或減少風(fēng)險(xiǎn)的措施,并重新進(jìn)行風(fēng)險(xiǎn)(包括再生風(fēng)險(xiǎn))分析和評(píng)定,直至安全風(fēng)險(xiǎn)降到可接受的程度。
2農(nóng)業(yè)機(jī)械危險(xiǎn)識(shí)別
在對(duì)危險(xiǎn)識(shí)別前,首先應(yīng)確定機(jī)械的限制。即描述產(chǎn)品作業(yè)功能、預(yù)定使用范圍、可預(yù)期的誤用、使用和維修環(huán)境,以確定危險(xiǎn)識(shí)別范圍。一般可根據(jù)產(chǎn)品功能及使用操作來(lái)描述。如拖拉機(jī)加油、加水、上車(chē)、啟動(dòng)、前進(jìn)、轉(zhuǎn)向、倒退、制動(dòng)、停車(chē)、駐車(chē)、下車(chē)、懸掛、牽引、提升、維修等。危險(xiǎn)是指潛在的傷害源。農(nóng)業(yè)機(jī)械產(chǎn)品存在的主要危險(xiǎn)包括:機(jī)械危險(xiǎn)(如擠壓、剪切、沖擊、纏繞、吸入或卷入、切割、高壓流體噴射等)、電氣危險(xiǎn)(如與帶電部件接觸)、熱危險(xiǎn)(如與高溫物體接觸、熱輻射等)、噪聲危險(xiǎn)、振動(dòng)危險(xiǎn)(如座椅、手把振動(dòng))、材料和物質(zhì)產(chǎn)生的危險(xiǎn)(如人體與農(nóng)藥接觸)及滑落、絆倒及跌落危險(xiǎn)。不同農(nóng)業(yè)機(jī)械產(chǎn)品,可能產(chǎn)生危險(xiǎn)的形式及多少各異。危險(xiǎn)識(shí)別目的是在機(jī)械限制范圍內(nèi)確定并形成危險(xiǎn)、危險(xiǎn)狀態(tài)和危險(xiǎn)事件的清單。危險(xiǎn)識(shí)別應(yīng)在農(nóng)業(yè)機(jī)械的壽命期間內(nèi)系統(tǒng)地識(shí)別所有階段(如運(yùn)輸、安裝、使用、停用、維修等)的全部相關(guān)任務(wù)中可預(yù)見(jiàn)的危險(xiǎn)。危險(xiǎn)識(shí)別一般采用至上而下及至下而上兩種方法。至上而下法是以潛在的后果(如擠壓、燒傷)清單為起點(diǎn),確定造成傷害的危險(xiǎn)。至下而上法是以檢查所有的危險(xiǎn)為起點(diǎn),考慮確定的危險(xiǎn)狀態(tài)下所有可能出錯(cuò)的途徑(如制動(dòng)功能失效、人為差錯(cuò))及其導(dǎo)致傷害的方式。相比而言,至下而上法更為全面徹底,但過(guò)程較復(fù)雜。
3農(nóng)業(yè)機(jī)械安全風(fēng)險(xiǎn)評(píng)估
安全風(fēng)險(xiǎn)為傷害發(fā)生的概率及傷害造成嚴(yán)重程度的綜合。農(nóng)業(yè)機(jī)械安全風(fēng)險(xiǎn)評(píng)估是依據(jù)農(nóng)業(yè)機(jī)械產(chǎn)品的危險(xiǎn)識(shí)別結(jié)果,確定各種傷害發(fā)生概率及傷害造成嚴(yán)重程度的過(guò)程。目的是確定每個(gè)危險(xiǎn)狀態(tài)或事故的最高安全風(fēng)險(xiǎn)。通常用等級(jí)、指數(shù)、或分?jǐn)?shù)表示安全風(fēng)險(xiǎn)的大小。評(píng)估傷害發(fā)生概率應(yīng)在考慮暴露危險(xiǎn)區(qū)人員、危險(xiǎn)事件發(fā)生可能性(產(chǎn)品特征、產(chǎn)品成熟度、生產(chǎn)企業(yè)規(guī)模、生產(chǎn)方式)、避免或限制傷害等因素后確定。傷害造成嚴(yán)重程度可在考慮傷害或影響健康的程度(如輕微、嚴(yán)重、死亡)及傷害的范圍(如人數(shù))后確定。安全風(fēng)險(xiǎn)評(píng)估方法分為定性評(píng)估法和定量評(píng)估法兩類(lèi)。常見(jiàn)方法有風(fēng)險(xiǎn)矩陣法、風(fēng)險(xiǎn)圖法、數(shù)值評(píng)分法、定量風(fēng)險(xiǎn)評(píng)估法和綜合評(píng)估法。其中風(fēng)險(xiǎn)矩陣法和風(fēng)險(xiǎn)圖法較簡(jiǎn)單,也較常用。
3.1風(fēng)險(xiǎn)矩陣法
風(fēng)險(xiǎn)矩陣法是針對(duì)每一識(shí)別的危險(xiǎn),將決定危險(xiǎn)事件風(fēng)險(xiǎn)的兩個(gè)因素即傷害嚴(yán)重程度和引起傷害的概率劃分為相應(yīng)等級(jí),形成風(fēng)險(xiǎn)矩陣,用交叉單元來(lái)定性地衡量風(fēng)險(xiǎn)大小的方法。該方法包括風(fēng)險(xiǎn)矩陣選擇、傷害嚴(yán)重程度評(píng)價(jià)、傷害發(fā)生的概率評(píng)價(jià)和得出風(fēng)險(xiǎn)等級(jí)四個(gè)步驟。
3.2風(fēng)險(xiǎn)圖法
風(fēng)險(xiǎn)圖以決策樹(shù)為基礎(chǔ)發(fā)展而來(lái),其特點(diǎn)是使所評(píng)價(jià)的危險(xiǎn)形象化,便于分析比較。風(fēng)險(xiǎn)圖中,每個(gè)節(jié)點(diǎn)代表一個(gè)風(fēng)險(xiǎn)參數(shù)(嚴(yán)重程度、暴露度、危險(xiǎn)事件發(fā)生概率、避免可能性),每個(gè)節(jié)點(diǎn)的分支分別代表相應(yīng)風(fēng)險(xiǎn)參數(shù)的等級(jí)(如輕微的、嚴(yán)重的)。風(fēng)險(xiǎn)評(píng)估時(shí),從起點(diǎn)開(kāi)始,在每個(gè)節(jié)點(diǎn)處沿著所確定等級(jí)的分支向前,末端指向就是風(fēng)險(xiǎn)等級(jí)。
4農(nóng)業(yè)機(jī)械安全風(fēng)險(xiǎn)的減少
安全風(fēng)險(xiǎn)評(píng)價(jià)目的是減少或消除不可接受的安全風(fēng)險(xiǎn)。安全風(fēng)險(xiǎn)由安全風(fēng)險(xiǎn)因素構(gòu)成,減少或消除安全風(fēng)險(xiǎn)就要減少或消除影響風(fēng)險(xiǎn)等級(jí)的風(fēng)險(xiǎn)因素(危險(xiǎn)源、發(fā)生的概率或傷害程度)。而減少或消除影響風(fēng)險(xiǎn)等級(jí)的風(fēng)險(xiǎn)因素可通過(guò)在產(chǎn)品設(shè)計(jì)階段及在使用階段采用相應(yīng)措施來(lái)實(shí)現(xiàn)。
4.1在產(chǎn)品設(shè)計(jì)制造階段采取消除或減少安全風(fēng)險(xiǎn)的措施
1)本質(zhì)安全設(shè)計(jì)制造。即通過(guò)產(chǎn)品設(shè)計(jì)制造消除或減少危險(xiǎn)。如去除收割機(jī)、拖拉機(jī)等農(nóng)機(jī)覆蓋件上存在的銳角,加大拖拉機(jī)操作手柄與相鄰部件的間隙可以消除其帶來(lái)的劃傷或擠壓危險(xiǎn)。不是所有的危險(xiǎn)可以通過(guò)產(chǎn)品設(shè)計(jì)制造完全消除,當(dāng)存在設(shè)計(jì)不能消除的危險(xiǎn)時(shí),應(yīng)通過(guò)設(shè)計(jì)制造減少風(fēng)險(xiǎn)。如降低高地隙自走式噴藥機(jī)的行駛速度和質(zhì)心高度來(lái)提高穩(wěn)定性;采用減震機(jī)構(gòu)減少拖拉機(jī)座椅振動(dòng)等。本質(zhì)安全設(shè)計(jì)制造是減少安全風(fēng)險(xiǎn)最有效的措施,應(yīng)優(yōu)先采用。2)安全防護(hù)措施。當(dāng)不能通過(guò)產(chǎn)品設(shè)計(jì)制造消除或充分地減少安全風(fēng)險(xiǎn)時(shí),應(yīng)采用限制暴露于危險(xiǎn)、減少危險(xiǎn)事件發(fā)生概率或消除或降低傷害可能性的安全措施。如對(duì)收割機(jī)、拖拉機(jī)外露旋轉(zhuǎn)件加裝防護(hù)罩,對(duì)動(dòng)力噴藥機(jī)安裝安全閥限制壓力。3)使用信息。使用信息是對(duì)采取本質(zhì)安全設(shè)計(jì)和防護(hù)措施后的遺留安全風(fēng)險(xiǎn)提出使用警告,以降低傷害發(fā)生的可能性。如在農(nóng)業(yè)機(jī)械危險(xiǎn)部位粘貼安全警告標(biāo)志、標(biāo)簽;安裝喇叭、后視鏡等信號(hào)裝置;在產(chǎn)品使用說(shuō)明書(shū)中說(shuō)明安全使用規(guī)則;限制使用范圍等。
[論文摘要]本文就我國(guó)商業(yè)銀行的客戶信用風(fēng)險(xiǎn)、市場(chǎng)風(fēng)險(xiǎn)和操作風(fēng)險(xiǎn)展開(kāi)研究,分析商業(yè)銀行風(fēng)險(xiǎn)的識(shí)別途徑提出風(fēng)險(xiǎn)評(píng)估的相應(yīng)評(píng)估、計(jì)量方法最后研究了客戶信用風(fēng)險(xiǎn)的應(yīng)對(duì)、市場(chǎng)風(fēng)險(xiǎn)的控制和監(jiān)控以及操作風(fēng)險(xiǎn)的轉(zhuǎn)移方法以期為實(shí)現(xiàn)我國(guó)商業(yè)銀行的全面風(fēng)險(xiǎn)管理打下良好的基礎(chǔ)。
一、引言
伴隨金融風(fēng)險(xiǎn)復(fù)雜程度的上升銀行業(yè)正在不斷地改進(jìn)和完善其風(fēng)險(xiǎn)管理理念、手段和技術(shù)商業(yè)銀行風(fēng)險(xiǎn)管理已經(jīng)逐步由傳統(tǒng)的資產(chǎn)負(fù)債管理模式向以風(fēng)險(xiǎn)資本約束為核心的全面風(fēng)險(xiǎn)管理模式邁進(jìn)。提升國(guó)內(nèi)商業(yè)銀行的全面風(fēng)險(xiǎn)管理能力業(yè)是貫徹落實(shí)科學(xué)發(fā)展觀的具體體現(xiàn)事關(guān)國(guó)家金融安全穩(wěn)定的大局其意義十分重大。
二、商業(yè)銀行風(fēng)險(xiǎn)的識(shí)別
商業(yè)銀行風(fēng)險(xiǎn)的主要類(lèi)型有信用風(fēng)險(xiǎn)、市場(chǎng)風(fēng)險(xiǎn)、操作風(fēng)險(xiǎn)。故商業(yè)銀行的風(fēng)險(xiǎn)識(shí)別相應(yīng)的為:客戶信用風(fēng)險(xiǎn)識(shí)別;商業(yè)銀行市場(chǎng)風(fēng)險(xiǎn)識(shí)別;商業(yè)銀行操作風(fēng)險(xiǎn)識(shí)別。
1、客戶信用風(fēng)險(xiǎn)的識(shí)別。是指對(duì)客戶各項(xiàng)風(fēng)險(xiǎn)因素的捕捉和分別進(jìn)行判斷的過(guò)程.實(shí)際上就是對(duì)客戶信用風(fēng)險(xiǎn)的盡職調(diào)查過(guò)程。客戶信用風(fēng)險(xiǎn)評(píng)級(jí)指標(biāo)主要包括基本面指標(biāo)、財(cái)務(wù)指標(biāo)兩大類(lèi)內(nèi)容。(1)基本面指標(biāo)。又稱(chēng)為定性指標(biāo)或非財(cái)務(wù)指標(biāo)包括品質(zhì)、實(shí)力、環(huán)境三個(gè)主要方面。品質(zhì)類(lèi)指標(biāo)包括管理層素質(zhì)、股東治理結(jié)構(gòu)、還貸誠(chéng)意、信用記錄等多個(gè)方面。實(shí)力類(lèi)指標(biāo)從客戶的資金、技術(shù)及設(shè)備、管理、人員等各方面考量企業(yè)實(shí)力高低。環(huán)境類(lèi)指標(biāo)包括市場(chǎng)競(jìng)爭(zhēng)環(huán)境、信用環(huán)境、政策法規(guī)環(huán)境;(2)財(cái)務(wù)指標(biāo)。對(duì)財(cái)務(wù)指標(biāo)的分析主要包括償債能力指標(biāo)、營(yíng)運(yùn)能力指標(biāo)、盈利能力指標(biāo)、成長(zhǎng)性指標(biāo)和其他指標(biāo)等幾個(gè)方面。誣膾債能力指標(biāo)主要考量客戶的資產(chǎn)負(fù)債率、利息保障倍數(shù)、平衡的流動(dòng)比率或速動(dòng)比率等;②營(yíng)運(yùn)能力指標(biāo)主要考量客戶的總資產(chǎn)周轉(zhuǎn)率、應(yīng)收賬款周轉(zhuǎn)率、營(yíng)運(yùn)資金周轉(zhuǎn)率以及流動(dòng)資產(chǎn)周轉(zhuǎn)率等等。③盈利能力指標(biāo)主要考量客戶總資產(chǎn)收益率、銷(xiāo)售利潤(rùn)率、凈資產(chǎn)收益率。④成長(zhǎng)性指標(biāo)主要計(jì)算和分析銷(xiāo)售收人增長(zhǎng)率、利潤(rùn)增長(zhǎng)率、權(quán)益增長(zhǎng)率等。
2、商業(yè)銀行市場(chǎng)風(fēng)險(xiǎn)的識(shí)別。銀行面臨的風(fēng)險(xiǎn)可以分為重新定價(jià)風(fēng)險(xiǎn)、收益率曲線風(fēng)險(xiǎn)、基準(zhǔn)風(fēng)險(xiǎn)和期權(quán)性風(fēng)險(xiǎn)。重新定價(jià)風(fēng)險(xiǎn)也稱(chēng)為期限錯(cuò)配風(fēng)險(xiǎn)來(lái)源于銀行資產(chǎn)、負(fù)債和表外業(yè)務(wù)到期期限或重新定價(jià)期限所存在的差異;重新定價(jià)的不對(duì)稱(chēng)性也會(huì)使收益率曲線斜率、形態(tài)發(fā)生變化從而形成收益率曲線風(fēng)險(xiǎn)也稱(chēng)為利率期限結(jié)構(gòu)變化風(fēng)險(xiǎn);基準(zhǔn)風(fēng)險(xiǎn)也稱(chēng)為利率定價(jià)基礎(chǔ)風(fēng)險(xiǎn)是另一種重要的利率風(fēng)險(xiǎn)來(lái)源;期權(quán)性風(fēng)險(xiǎn)是一種越來(lái)越重要的利率風(fēng)險(xiǎn)來(lái)源于銀行資產(chǎn)、負(fù)債和表外業(yè)務(wù)中所隱含的期權(quán)。商業(yè)銀行應(yīng)當(dāng)對(duì)每項(xiàng)業(yè)務(wù)和產(chǎn)品中的市場(chǎng)風(fēng)險(xiǎn)因素進(jìn)行分解和分析及時(shí)、準(zhǔn)確地識(shí)別所有交易和非交易業(yè)務(wù)中市場(chǎng)風(fēng)險(xiǎn)的類(lèi)別和性質(zhì)。
3、商業(yè)銀行操作風(fēng)險(xiǎn)的識(shí)別。操作風(fēng)險(xiǎn)識(shí)別過(guò)程應(yīng)該以當(dāng)前和未來(lái)潛在的操作風(fēng)險(xiǎn)兩方面為重點(diǎn)。這個(gè)過(guò)程應(yīng)該考慮:潛在操作風(fēng)險(xiǎn)的整體情況;銀行運(yùn)行所處的內(nèi)外部環(huán)境;銀行的戰(zhàn)略目標(biāo);銀行提供的產(chǎn)品和服務(wù);銀行的獨(dú)特環(huán)境因素;內(nèi)外部的變化以及變化的速度操作風(fēng)險(xiǎn)識(shí)別的主要手段有以下幾種:(1)操作風(fēng)險(xiǎn)內(nèi)部分析。其作為日常業(yè)務(wù)計(jì)劃循環(huán)流程的一部分而完成典型的是通過(guò)一個(gè)業(yè)務(wù)部門(mén)員工會(huì)議來(lái)完成;(2)操作風(fēng)險(xiǎn)指標(biāo)分析。銀行可選擇一些和風(fēng)險(xiǎn)產(chǎn)生有關(guān)的”關(guān)鍵指標(biāo)”通過(guò)監(jiān)控這些指標(biāo)發(fā)現(xiàn)存在一些能夠引起風(fēng)險(xiǎn)發(fā)生的條件;(3)升級(jí)觸發(fā)指標(biāo)分析或臨界觸發(fā)指標(biāo)分析。通過(guò)將當(dāng)前交易或事件與預(yù)先定義的標(biāo)準(zhǔn)相比較引起銀行管理層對(duì)潛在領(lǐng)域進(jìn)行關(guān)注;(4)損失事件數(shù)據(jù)分析。用以往單個(gè)操作風(fēng)險(xiǎn)損失事件的數(shù)據(jù)記錄等信息來(lái)識(shí)別操作風(fēng)險(xiǎn)及其誘因;(5)流程圖分析通過(guò)繪制業(yè)務(wù)和管理活動(dòng)流程圖排查和識(shí)別業(yè)務(wù)流程中的風(fēng)險(xiǎn)點(diǎn)。
三、商業(yè)銀行風(fēng)險(xiǎn)的評(píng)估
風(fēng)險(xiǎn)估計(jì)是商業(yè)銀行風(fēng)險(xiǎn)管理的第二步。通過(guò)風(fēng)險(xiǎn)識(shí)別商業(yè)銀行在準(zhǔn)確判明自己所承受的風(fēng)險(xiǎn)在性質(zhì)上是何種具體形態(tài)之后隨之需要進(jìn)一步把握這些風(fēng)險(xiǎn)在量上可能達(dá)到何種程度以便決定是否加以控制如何加以控制。
1、商業(yè)銀行客戶信用風(fēng)險(xiǎn)的評(píng)估
客戶信用風(fēng)險(xiǎn)的評(píng)估是指根據(jù)客戶經(jīng)理對(duì)客戶信用風(fēng)險(xiǎn)識(shí)別判斷的結(jié)果對(duì)客戶整體的信用風(fēng)險(xiǎn)高低給予評(píng)估得到客戶信用風(fēng)險(xiǎn)評(píng)級(jí)結(jié)果。其評(píng)估方法主要有:(1)專(zhuān)家判斷法。專(zhuān)家判斷法主要采取"5C"分析框架:借款人的品質(zhì)(character)、還款能力〔capacit辦資本金大小(capital)、抵押品情況(collateral),所處環(huán)境情況(condition),(2)信用評(píng)分法即結(jié)合信貸專(zhuān)家的業(yè)務(wù)經(jīng)驗(yàn)預(yù)先設(shè)定的一系列主觀和客觀的風(fēng)險(xiǎn)因素將這些因素設(shè)計(jì)為相對(duì)固定的打分表由評(píng)級(jí)人按照打分表確定客戶的信用風(fēng)險(xiǎn)評(píng)級(jí)結(jié)果。(3)模型法。其可分兩類(lèi):一類(lèi)是建立對(duì)客戶信用風(fēng)險(xiǎn)的多變量判別模型包括線性概率模型、L.ogit模型、Probit模型和多元判別分析模型;另一類(lèi)為市場(chǎng)模型或套利模型如期權(quán)定價(jià)型的破產(chǎn)模型、債券違約率模型和期限方法、神經(jīng)網(wǎng)絡(luò)分析系統(tǒng)等。
2、商業(yè)銀行市場(chǎng)風(fēng)險(xiǎn)的評(píng)估與計(jì)量
在市場(chǎng)風(fēng)險(xiǎn)識(shí)別后應(yīng)根據(jù)本行的業(yè)務(wù)性質(zhì)、規(guī)模和復(fù)雜程度對(duì)銀行賬戶和交易賬戶中不同類(lèi)別的市場(chǎng)風(fēng)險(xiǎn)選擇適當(dāng)?shù)摹⑵毡榻邮艿挠?jì)量方法將所計(jì)量的銀行賬戶和交易賬戶中的市場(chǎng)風(fēng)險(xiǎn)在全行范圍內(nèi)進(jìn)行加總以便董事會(huì)和高級(jí)管理層了解本行的總體市場(chǎng)風(fēng)險(xiǎn)水平。可采取不同的方法或模型計(jì)量銀行賬戶和交易帳戶中不同類(lèi)別的市場(chǎng)風(fēng)險(xiǎn)計(jì)量方式包括缺口分析、久期分析、外匯敞口分析、敏感性分析和運(yùn)用內(nèi)部模型計(jì)算風(fēng)險(xiǎn)價(jià)值等此外還可采用壓力測(cè)試等手段進(jìn)行補(bǔ)充。商業(yè)銀行應(yīng)采取措施確保假設(shè)前提、參數(shù)、數(shù)據(jù)來(lái)源和計(jì)量程序的合理性和準(zhǔn)確性并當(dāng)對(duì)市場(chǎng)風(fēng)險(xiǎn)計(jì)量系統(tǒng)的假設(shè)前提和參數(shù)定期進(jìn)行評(píng)估制定修改假設(shè)前提和參數(shù)的內(nèi)部程序。
3、商業(yè)銀行操作風(fēng)險(xiǎn)的評(píng)估。
操作風(fēng)險(xiǎn)被識(shí)別出來(lái)后對(duì)其進(jìn)行評(píng)估以決定哪些風(fēng)險(xiǎn)具有不可接受的性質(zhì)應(yīng)該作為風(fēng)險(xiǎn)緩解的目標(biāo)。進(jìn)行這一步驟時(shí)通常需要通過(guò)考察一項(xiàng)操作風(fēng)險(xiǎn)的驅(qū)動(dòng)者和原因估計(jì)該項(xiàng)風(fēng)險(xiǎn)可能發(fā)生的概率;此外還應(yīng)在不考慮控制戰(zhàn)略影響的情況下評(píng)估一項(xiàng)操作風(fēng)險(xiǎn)可能的影響。對(duì)風(fēng)險(xiǎn)可能影響的評(píng)估不僅要考慮經(jīng)濟(jì)上的直接影響還應(yīng)該更廣泛地考慮風(fēng)險(xiǎn)對(duì)公司目標(biāo)實(shí)現(xiàn)的影響。
四、商業(yè)銀行風(fēng)險(xiǎn)的應(yīng)對(duì)
做出適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估后需要決定如何應(yīng)對(duì)這些風(fēng)險(xiǎn)。根據(jù)風(fēng)險(xiǎn)發(fā)生的概率和影響程度的高低銀行所有人員需選擇合理的風(fēng)險(xiǎn)應(yīng)對(duì)對(duì)策包括規(guī)避風(fēng)險(xiǎn)、接受風(fēng)險(xiǎn)、降低風(fēng)險(xiǎn)和轉(zhuǎn)移風(fēng)險(xiǎn)。
I、商業(yè)銀行客戶信用風(fēng)險(xiǎn)的應(yīng)對(duì)。客戶信用風(fēng)險(xiǎn)的應(yīng)對(duì)是指基于對(duì)客戶信用風(fēng)險(xiǎn)的評(píng)估結(jié)果銀行應(yīng)采取相應(yīng)措施來(lái)防范、化解或控制其信用風(fēng)險(xiǎn)。表現(xiàn)為:①根據(jù)客戶信用風(fēng)險(xiǎn)評(píng)級(jí)結(jié)果確定客戶準(zhǔn)人標(biāo)準(zhǔn)把好商業(yè)銀行授信業(yè)務(wù)的第一道關(guān)口;②根據(jù)客戶信用風(fēng)險(xiǎn)評(píng)級(jí)結(jié)果對(duì)存量客戶進(jìn)行分類(lèi)管理。對(duì)于信用風(fēng)險(xiǎn)高低不同的客戶銀行應(yīng)采取不同的管理政策和管理措施;③根據(jù)客戶信用風(fēng)險(xiǎn)識(shí)別、分析和評(píng)估提供的關(guān)鍵信息提高對(duì)客戶信用風(fēng)險(xiǎn)監(jiān)控工作的針對(duì)性和效率;④參考客戶信用風(fēng)險(xiǎn)評(píng)級(jí)結(jié)果確定貸款定價(jià)彌補(bǔ)信用風(fēng)險(xiǎn)可能產(chǎn)生的預(yù)期損失。
2,商業(yè)銀行市場(chǎng)風(fēng)險(xiǎn)的控制與監(jiān)測(cè)。(1)市場(chǎng)風(fēng)險(xiǎn)的控制與管理。包括:①限額管理。對(duì)市場(chǎng)風(fēng)險(xiǎn)實(shí)施限額管理制定對(duì)各類(lèi)和各級(jí)限額的內(nèi)部審批程序和操作規(guī)程根業(yè)務(wù)性質(zhì)、規(guī)模、復(fù)雜程度和風(fēng)險(xiǎn)承受能力設(shè)定、定期審查和更新限額;②完善的市場(chǎng)風(fēng)險(xiǎn)管理信息系統(tǒng);③對(duì)重大市場(chǎng)風(fēng)險(xiǎn)情況的應(yīng)急處理方案;(2)市場(chǎng)風(fēng)險(xiǎn)的監(jiān)測(cè)與報(bào)告商業(yè)銀行定期、及時(shí)向董事會(huì)、高級(jí)管理層和其他管理人員提供有關(guān)市場(chǎng)風(fēng)險(xiǎn)情況的報(bào)告。向董事會(huì)提交銀行的總體市場(chǎng)風(fēng)險(xiǎn)頭寸、風(fēng)險(xiǎn)水平、盈虧狀況和對(duì)市場(chǎng)風(fēng)險(xiǎn)限額及市場(chǎng)風(fēng)險(xiǎn)管理的其他政策和程序的遵守情況等內(nèi)容;向高級(jí)管理層和其他管理人員提交按地區(qū)、業(yè)務(wù)經(jīng)營(yíng)部門(mén)、資產(chǎn)組合、金融工具和風(fēng)險(xiǎn)類(lèi)別分解后的詳細(xì)信息等。
3、商業(yè)銀行操作風(fēng)險(xiǎn)的轉(zhuǎn)移。目前商業(yè)銀行操作風(fēng)險(xiǎn)轉(zhuǎn)移技術(shù)主要有:(1)購(gòu)買(mǎi)保險(xiǎn)產(chǎn)品。主要有:銀行一攬子保險(xiǎn);董事及高級(jí)職員責(zé)任保險(xiǎn);未授權(quán)交易保險(xiǎn);財(cái)產(chǎn)保險(xiǎn)和其他險(xiǎn)種等;(2)利用金融衍生工具。商業(yè)銀行在對(duì)其操作風(fēng)險(xiǎn)予以量化的基礎(chǔ)上在資本市場(chǎng)上向投資者出售金融衍生工具以將操作風(fēng)險(xiǎn)有效并分散地轉(zhuǎn)移到交易對(duì)手那里到期時(shí)按照約定向投資者支付本息;(3)其他風(fēng)險(xiǎn)轉(zhuǎn)移方法。在某些情形下銀行部門(mén)可以通過(guò)一些特殊的形式將其操作風(fēng)險(xiǎn)向其他非金融部門(mén)、非商業(yè)機(jī)構(gòu)轉(zhuǎn)移。
【關(guān)鍵詞】 內(nèi)部控制; 風(fēng)險(xiǎn)評(píng)估; 管理策略
為了加強(qiáng)和規(guī)范企業(yè)內(nèi)部控制,提高企業(yè)經(jīng)營(yíng)管理水平和風(fēng)險(xiǎn)防范能力,根據(jù)國(guó)家有關(guān)法律法規(guī),財(cái)政部會(huì)同證監(jiān)會(huì)、審計(jì)署、銀監(jiān)會(huì)、保監(jiān)會(huì)制定了《企業(yè)內(nèi)部控制基本規(guī)范》。該規(guī)范自2009年7月1日起在上市公司范圍內(nèi)施行,鼓勵(lì)非上市的大中型企業(yè)執(zhí)行。我國(guó)《企業(yè)內(nèi)部控制基本規(guī)范》提出我國(guó)內(nèi)部控制的基本要素包括內(nèi)部環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息與溝通和內(nèi)部監(jiān)督等五項(xiàng),并在《基本規(guī)范》中單辟一章,就風(fēng)險(xiǎn)評(píng)估的有關(guān)內(nèi)容進(jìn)行了規(guī)定。這說(shuō)明國(guó)家和企業(yè)已經(jīng)意識(shí)到風(fēng)險(xiǎn)評(píng)估在企業(yè)內(nèi)部控制中的重要作用,那么企業(yè)應(yīng)該從哪些方面來(lái)加強(qiáng)識(shí)別企業(yè)風(fēng)險(xiǎn),建立風(fēng)險(xiǎn)評(píng)估系統(tǒng),進(jìn)一步改善內(nèi)部控制呢?
一、國(guó)內(nèi)外企業(yè)風(fēng)險(xiǎn)評(píng)估體系研究綜述
國(guó)外對(duì)內(nèi)部控制的研究已有很長(zhǎng)的歷史。1988年美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)《審計(jì)準(zhǔn)則公告第55號(hào)》,該公告提出內(nèi)部控制結(jié)構(gòu)的三個(gè)要素:控制環(huán)境、會(huì)計(jì)制度、控制程序。進(jìn)入90年代以后,COSO提出《內(nèi)部控制―整體框架》的報(bào)告,將內(nèi)部控制分為控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息與溝通和監(jiān)督五個(gè)部分,實(shí)現(xiàn)了內(nèi)部控制由三要素向五要素的飛躍。自此風(fēng)險(xiǎn)評(píng)估被納入內(nèi)部控制系統(tǒng)之中。最新內(nèi)部控制研究結(jié)果表明,內(nèi)部控制與風(fēng)險(xiǎn)管理愈發(fā)趨向目標(biāo)一致,某些內(nèi)容也有較大重合,COSO也于2001年起著手進(jìn)行風(fēng)險(xiǎn)管理研究,從最初的將風(fēng)險(xiǎn)評(píng)估作為一個(gè)要素納入內(nèi)部控制整體框架中到目前的著手進(jìn)行風(fēng)險(xiǎn)管理研究,足可以看出內(nèi)部控制與風(fēng)險(xiǎn)管理的趨同性和風(fēng)險(xiǎn)這一因素在內(nèi)部控制中的作用和地位越來(lái)越重要。
近年,我國(guó)理論界和實(shí)務(wù)界越來(lái)越重視內(nèi)部控制的研究和應(yīng)用,學(xué)者們?cè)诶碚撚^念的引進(jìn)和研究方面做了大量的工作。由財(cái)政部、證監(jiān)會(huì)等五部委聯(lián)合的我國(guó)第一部《企業(yè)內(nèi)部控制基本規(guī)范》就是很好的證明。
二、進(jìn)行內(nèi)部控制風(fēng)險(xiǎn)評(píng)估研究的現(xiàn)實(shí)意義
史學(xué)家湯因比曾說(shuō)過(guò):“一個(gè)國(guó)家乃至一個(gè)民族,其衰亡是從內(nèi)部開(kāi)始的,外部力量不過(guò)是其死亡前的最后一擊”。企業(yè)的存亡又何嘗不是如此呢。既然一個(gè)企業(yè)的衰亡也是從其內(nèi)部開(kāi)始的,那若要尋求企業(yè)的生存發(fā)展之路就必須從其內(nèi)部抓起,內(nèi)部控制正是基于這一點(diǎn)才得到了世界各國(guó)理論界和實(shí)務(wù)界的重視。同時(shí),市場(chǎng)經(jīng)濟(jì)從微觀角度來(lái)說(shuō)是一種風(fēng)險(xiǎn)經(jīng)濟(jì),企業(yè)作為市場(chǎng)的基本單位時(shí)刻置身于風(fēng)險(xiǎn)之中,越是開(kāi)放發(fā)達(dá)的市場(chǎng)經(jīng)濟(jì),其中蘊(yùn)藏的風(fēng)險(xiǎn)和不確定性越大。隨著市場(chǎng)經(jīng)濟(jì)的發(fā)展成熟和市場(chǎng)開(kāi)放程度的加大,風(fēng)險(xiǎn)己經(jīng)成為企業(yè)關(guān)注和管理的焦點(diǎn),作為企業(yè)內(nèi)部管理核心的內(nèi)部控制要想發(fā)揮其應(yīng)有的作用,必須不斷充實(shí)和發(fā)展,以求跟上市場(chǎng)發(fā)展的步伐,正是基于這個(gè)基礎(chǔ),風(fēng)險(xiǎn)的概念逐步進(jìn)入了內(nèi)部控制的范圍。減輕或避免風(fēng)險(xiǎn)是內(nèi)部控制活動(dòng)的目標(biāo),各種風(fēng)險(xiǎn)因素是內(nèi)部控制的對(duì)象。所以,企業(yè)要實(shí)施有效的內(nèi)部控制,就要識(shí)別和衡量它所面臨的風(fēng)險(xiǎn)及其風(fēng)險(xiǎn)因素,這是采取有效控制活動(dòng)的依據(jù)和前提,這里的識(shí)別和衡量風(fēng)險(xiǎn)就是風(fēng)險(xiǎn)評(píng)估。目前COSO整體框架和我國(guó)《企業(yè)內(nèi)部控制基本規(guī)范》把風(fēng)險(xiǎn)評(píng)估作為一項(xiàng)基礎(chǔ)要素納入到內(nèi)部控制框架之中,這一發(fā)展是理論順應(yīng)客觀實(shí)際發(fā)展的必然結(jié)果。
進(jìn)行內(nèi)部控制和風(fēng)險(xiǎn)評(píng)估研究具有重要的現(xiàn)實(shí)意義:內(nèi)部控制的缺失和不健全是導(dǎo)致會(huì)計(jì)舞弊泛濫的根本原因之一;內(nèi)部控制制度的極度缺失和對(duì)風(fēng)險(xiǎn)的忽視是導(dǎo)致我國(guó)企業(yè)生命周期短的根本原因; 國(guó)有企業(yè)改革的成功離不開(kāi)健全的內(nèi)部控制制度及風(fēng)險(xiǎn)的管理和控制;風(fēng)險(xiǎn)評(píng)估是內(nèi)部控制制度設(shè)計(jì)控制活動(dòng)和發(fā)揮應(yīng)有作用的基礎(chǔ)。
風(fēng)險(xiǎn)評(píng)估是內(nèi)部控制系統(tǒng)的基礎(chǔ)組成部分,要使控制制度發(fā)揮其應(yīng)有的作用,企業(yè)必須清楚所面臨的風(fēng)險(xiǎn),并對(duì)整個(gè)企業(yè)的風(fēng)險(xiǎn)進(jìn)行定性或定量的評(píng)估,然后針對(duì)風(fēng)險(xiǎn)評(píng)估的結(jié)果采取相應(yīng)的控制活動(dòng)。其實(shí)內(nèi)部控制也就是風(fēng)險(xiǎn)的管理與控制活動(dòng),如果毫無(wú)風(fēng)險(xiǎn),也就不需耗費(fèi)大量的人力財(cái)力物力去搞什么內(nèi)部控制。既然風(fēng)險(xiǎn)的存在是控制的原因所在,進(jìn)行風(fēng)險(xiǎn)評(píng)估就成為整個(gè)內(nèi)部控制制度的基礎(chǔ)和關(guān)鍵。無(wú)論是從國(guó)際大環(huán)境來(lái)看還是從我國(guó)的具體情況出發(fā),內(nèi)部控制的研究和應(yīng)用都是非常重要的。但是,作為有效實(shí)施內(nèi)部控制的基礎(chǔ)條件的風(fēng)險(xiǎn)評(píng)估卻還沒(méi)有得到足夠的發(fā)展,研究會(huì)計(jì)和審計(jì)的人都早已熟知制度基礎(chǔ)上的審計(jì),但風(fēng)險(xiǎn)基礎(chǔ)上的控制觀念還是個(gè)新概念,還沒(méi)有建立起比較完善的體系。因此,進(jìn)行內(nèi)部控制和風(fēng)險(xiǎn)評(píng)估研究無(wú)疑具有非常重要的現(xiàn)實(shí)意義。
三、風(fēng)險(xiǎn)評(píng)估體系的構(gòu)建
鑒于風(fēng)險(xiǎn)評(píng)估在我國(guó)內(nèi)部控制中的運(yùn)用,筆者認(rèn)為可以通過(guò)以下幾個(gè)步驟來(lái)建立風(fēng)險(xiǎn)評(píng)估系統(tǒng)。
(一)確定全面風(fēng)險(xiǎn)管理目標(biāo)
風(fēng)險(xiǎn)是指企業(yè)在未來(lái)經(jīng)營(yíng)中面臨的、可能影響其經(jīng)營(yíng)目標(biāo)實(shí)現(xiàn)的所有不確定性。風(fēng)險(xiǎn)評(píng)估是企業(yè)及時(shí)識(shí)別、系統(tǒng)分析經(jīng)營(yíng)活動(dòng)中與實(shí)現(xiàn)內(nèi)部控制目標(biāo)相關(guān)的風(fēng)險(xiǎn),并合理確定風(fēng)險(xiǎn)應(yīng)對(duì)策略。全面風(fēng)險(xiǎn)管理是指企業(yè)圍繞總體目標(biāo),制定風(fēng)險(xiǎn)管理策略,在企業(yè)經(jīng)營(yíng)管理的各個(gè)方面和業(yè)務(wù)過(guò)程中的各個(gè)環(huán)節(jié)進(jìn)行風(fēng)險(xiǎn)管理的基本流程,落實(shí)風(fēng)險(xiǎn)理財(cái)措施,培育良好的風(fēng)險(xiǎn)管理文化,建立健全風(fēng)險(xiǎn)管理的組織體系、信息系統(tǒng)和內(nèi)部控制系統(tǒng)的過(guò)程和方法。
企業(yè)目標(biāo)是企業(yè)宗旨的具體化,是企業(yè)各項(xiàng)業(yè)務(wù)和管理活動(dòng)所指向的終點(diǎn)。企業(yè)風(fēng)險(xiǎn)管理的首要任務(wù),就是確定目標(biāo)。只有先確立了目標(biāo),管理層才能針對(duì)目標(biāo)確定風(fēng)險(xiǎn)并采取必要的行動(dòng)來(lái)管理風(fēng)險(xiǎn)。確定全面風(fēng)險(xiǎn)管理目標(biāo)要做到:企業(yè)風(fēng)險(xiǎn)管理目標(biāo)的確定應(yīng)與員工溝通;企業(yè)計(jì)劃和預(yù)算與風(fēng)險(xiǎn)管理目標(biāo)、戰(zhàn)略計(jì)劃及當(dāng)前情況具有一致性;業(yè)務(wù)活動(dòng)風(fēng)險(xiǎn)目標(biāo)要具體;領(lǐng)導(dǎo)層參與制定企業(yè)風(fēng)險(xiǎn)目標(biāo)并對(duì)其負(fù)責(zé)。
(二)收集風(fēng)險(xiǎn)管理初始信息
實(shí)施全面風(fēng)險(xiǎn)管理,企業(yè)應(yīng)廣泛、持續(xù)不斷地收集與本企業(yè)風(fēng)險(xiǎn)和風(fēng)險(xiǎn)管理相關(guān)的內(nèi)部、外部初始信息,包括歷史數(shù)據(jù)和未來(lái)預(yù)測(cè)。應(yīng)把收集初始信息的職責(zé)分工落實(shí)到各有關(guān)職能部門(mén)和業(yè)務(wù)單位。
1.在財(cái)務(wù)風(fēng)險(xiǎn)方面,企業(yè)至少收集以下信息
(1)負(fù)債、或有負(fù)債、負(fù)債率、償債能力。(2)現(xiàn)金流、應(yīng)收賬款及其占主營(yíng)業(yè)務(wù)收入的比重、資金周轉(zhuǎn)率。(3)應(yīng)付賬款及其占購(gòu)貨額的比重。(4)成本和管理費(fèi)用、財(cái)務(wù)費(fèi)用、營(yíng)業(yè)費(fèi)用。(5)成本核算、資金結(jié)算和現(xiàn)金管理業(yè)務(wù)中曾發(fā)生或易發(fā)生錯(cuò)誤的業(yè)務(wù)流程或環(huán)節(jié)。
2.在市場(chǎng)風(fēng)險(xiǎn)方面,企業(yè)至少收集以下信息
(1)產(chǎn)品的價(jià)格及供需變化。(2)產(chǎn)品供應(yīng)的充足性、穩(wěn)定性和價(jià)格變化。(3)主要客戶、主要供應(yīng)商的信用情況。(4)潛在競(jìng)爭(zhēng)者、競(jìng)爭(zhēng)者及其主要產(chǎn)品情況。
3.在運(yùn)營(yíng)風(fēng)險(xiǎn)方面,企業(yè)至少收集以下信息:
(1)新市場(chǎng)開(kāi)發(fā),市場(chǎng)營(yíng)銷(xiāo)策略。(2)企業(yè)組織效能、管理現(xiàn)狀、企業(yè)文化,中、高層管理人員和重要業(yè)務(wù)流程中專(zhuān)業(yè)人員的知識(shí)結(jié)構(gòu)、專(zhuān)業(yè)經(jīng)驗(yàn)。(3)質(zhì)量、安全、環(huán)保、信息安全等管理中曾發(fā)生或易發(fā)生失誤的業(yè)務(wù)流程或環(huán)節(jié)。(4)因企業(yè)內(nèi)、外部人員的道德風(fēng)險(xiǎn)致使企業(yè)遭受損失或業(yè)務(wù)控制系統(tǒng)失靈。(5)企業(yè)風(fēng)險(xiǎn)管理的現(xiàn)狀和能力。
企業(yè)對(duì)收集的初始信息應(yīng)進(jìn)行必要的篩選、提煉、對(duì)比、分類(lèi)、組合,以便進(jìn)行風(fēng)險(xiǎn)評(píng)估。
(三)風(fēng)險(xiǎn)識(shí)別
企業(yè)風(fēng)險(xiǎn)的識(shí)別應(yīng)當(dāng)以一種系統(tǒng)方法來(lái)進(jìn)行,以確保公司的所有主要活動(dòng)及其風(fēng)險(xiǎn)都被囊括進(jìn)來(lái),并進(jìn)行有效的分類(lèi)。根據(jù)企業(yè)實(shí)際情況和技術(shù)水平,風(fēng)險(xiǎn)識(shí)別主要以定性識(shí)別方法為主,適當(dāng)結(jié)合定量識(shí)別方法,同時(shí)根據(jù)業(yè)務(wù)發(fā)展和管理水平的不斷提高,逐步引進(jìn)和加大定量識(shí)別方法。
企業(yè)應(yīng)選擇適當(dāng)?shù)娘L(fēng)險(xiǎn)識(shí)別方法,保證風(fēng)險(xiǎn)識(shí)別的規(guī)范性和科學(xué)性,具體措施有:
1.建立科學(xué)的風(fēng)險(xiǎn)識(shí)別方法體系,對(duì)企業(yè)和各職能部門(mén)隨時(shí)關(guān)注企業(yè)活動(dòng)中存在的風(fēng)險(xiǎn)提供指導(dǎo)。
2.對(duì)風(fēng)險(xiǎn)識(shí)別方法進(jìn)行規(guī)范化和制度化,確保企業(yè)和各職能部門(mén)使用統(tǒng)一的識(shí)別方法體系對(duì)風(fēng)險(xiǎn)識(shí)別結(jié)果進(jìn)行描述。
3.利用歷史事件諸如違約支付、產(chǎn)品價(jià)格變動(dòng)等,關(guān)注未來(lái)事件諸如人口變動(dòng)、新市場(chǎng)條件以及競(jìng)爭(zhēng)者行為等對(duì)風(fēng)險(xiǎn)進(jìn)行趨勢(shì)分析和關(guān)注。
4.建立損失事件數(shù)據(jù)庫(kù),通過(guò)事件列表、事件分類(lèi)、內(nèi)部分析、推動(dòng)討論和會(huì)談、流程分析等方法進(jìn)行風(fēng)險(xiǎn)識(shí)別,確定風(fēng)險(xiǎn)因素發(fā)展趨勢(shì)和根源。
(四)風(fēng)險(xiǎn)分析
企業(yè)風(fēng)險(xiǎn)分析評(píng)估的方法多種多樣,采用定量分析方法,特別是利用數(shù)學(xué)模型進(jìn)行風(fēng)險(xiǎn)分析,可以使風(fēng)險(xiǎn)管理建立在科學(xué)的基礎(chǔ)上,并為最終的決策提供可靠的依據(jù)。風(fēng)險(xiǎn)分析及度量,需要充分地獲得企業(yè)在歷史年度內(nèi)發(fā)生的各種風(fēng)險(xiǎn)的次數(shù)以及所導(dǎo)致的損失,統(tǒng)計(jì)時(shí)段越長(zhǎng),風(fēng)險(xiǎn)評(píng)估的準(zhǔn)確性越高。風(fēng)險(xiǎn)評(píng)估不僅要了解歷史上各種風(fēng)險(xiǎn)發(fā)生的頻率,還要充分考慮風(fēng)險(xiǎn)的客觀環(huán)境是否改變,如果有變化,就要在歷史數(shù)據(jù)的趨勢(shì)分析上進(jìn)行修正。在實(shí)際操作中,許多風(fēng)險(xiǎn)發(fā)生的可能性實(shí)際上難以量化,它們至多只能定性地被描述為“大的”、“中的”、或“小的”風(fēng)險(xiǎn)。
企業(yè)在分析風(fēng)險(xiǎn)發(fā)生的可能性(或頻率、概率)和風(fēng)險(xiǎn)發(fā)生的條件方面,可采取如下措施:
1.企業(yè)基于風(fēng)險(xiǎn)識(shí)別的結(jié)果對(duì)風(fēng)險(xiǎn)的發(fā)生概率進(jìn)行分析評(píng)估,選擇采用諸如預(yù)期估計(jì)或情況評(píng)價(jià)等術(shù)語(yǔ)來(lái)表達(dá)潛在的可能性,或采用數(shù)據(jù)或圖表的形式來(lái)描述和評(píng)價(jià)風(fēng)險(xiǎn)發(fā)生的概率。
2.企業(yè)建立風(fēng)險(xiǎn)分析模型,通過(guò)關(guān)鍵風(fēng)險(xiǎn)指標(biāo)管理方法、壓力測(cè)試和情景分析等定量技術(shù)手段和會(huì)談、工作組會(huì)議等定性評(píng)價(jià)技術(shù)對(duì)風(fēng)險(xiǎn)發(fā)生的條件因素進(jìn)行分析,以確定風(fēng)險(xiǎn)發(fā)生的具體條件。
3.企業(yè)自查與外部檢查、事前與事后檢查相結(jié)合。
4.企業(yè)引進(jìn)技術(shù)手段,由日常業(yè)務(wù)數(shù)據(jù)、財(cái)務(wù)數(shù)據(jù)入手,按照既定的模型做預(yù)警提示。
(五)風(fēng)險(xiǎn)評(píng)價(jià)
企業(yè)風(fēng)險(xiǎn)評(píng)價(jià)是在風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析的基礎(chǔ)上,評(píng)估風(fēng)險(xiǎn)對(duì)企業(yè)可能產(chǎn)生的影響以及確定風(fēng)險(xiǎn)的重要性水平的過(guò)程。企業(yè)風(fēng)險(xiǎn)評(píng)價(jià)包括兩個(gè)方面的內(nèi)容,即分析風(fēng)險(xiǎn)可能產(chǎn)生的影響和確定風(fēng)險(xiǎn)的重要性水平。企業(yè)風(fēng)險(xiǎn)評(píng)價(jià)通常是和風(fēng)險(xiǎn)分析同步進(jìn)行的,因而其方法也和風(fēng)險(xiǎn)分析相同。
企業(yè)風(fēng)險(xiǎn)評(píng)價(jià)的控制措施有:
1.企業(yè)對(duì)于重要事項(xiàng)面臨的重要風(fēng)險(xiǎn)可能帶來(lái)的重大影響,應(yīng)當(dāng)通過(guò)定量分析技術(shù),確定各種可能性造成影響的數(shù)量,從而為企業(yè)采取恰當(dāng)?shù)娘L(fēng)險(xiǎn)對(duì)策提供科學(xué)的依據(jù)。
2.企業(yè)應(yīng)當(dāng)按照風(fēng)險(xiǎn)可能帶來(lái)的影響程度的大小,對(duì)風(fēng)險(xiǎn)進(jìn)行排序,明確重要風(fēng)險(xiǎn)和一般風(fēng)險(xiǎn)。
3.企業(yè)應(yīng)當(dāng)對(duì)重要風(fēng)險(xiǎn)予以特別的關(guān)注,避免重要風(fēng)險(xiǎn)可能給企業(yè)帶來(lái)的重大損失。
(六)風(fēng)險(xiǎn)管理策略
一般情況下,對(duì)戰(zhàn)略、財(cái)務(wù)、運(yùn)營(yíng)和法律風(fēng)險(xiǎn),可采取風(fēng)險(xiǎn)承擔(dān)、風(fēng)險(xiǎn)規(guī)避、風(fēng)險(xiǎn)轉(zhuǎn)換、風(fēng)險(xiǎn)控制等方法。
1.企業(yè)針對(duì)各種風(fēng)險(xiǎn)建立確定風(fēng)險(xiǎn)應(yīng)對(duì)措施的程序和方法,對(duì)具有較高發(fā)生概率、影響重大的風(fēng)險(xiǎn)優(yōu)先考慮。
2.建立一套廣泛適應(yīng)的風(fēng)險(xiǎn)決策判斷標(biāo)準(zhǔn),即根據(jù)風(fēng)險(xiǎn)嚴(yán)重程度和企業(yè)的風(fēng)險(xiǎn)承受程度確定不同的決策。
3.企業(yè)對(duì)降低風(fēng)險(xiǎn)水平所需成本進(jìn)行合理分析,評(píng)估風(fēng)險(xiǎn)應(yīng)對(duì)措施的成本與效益。
4.企業(yè)選定風(fēng)險(xiǎn)處理措施后,根據(jù)剩余風(fēng)險(xiǎn)重新校訂風(fēng)險(xiǎn)。
5.企業(yè)要持續(xù)獲得風(fēng)險(xiǎn)變化信息,有效地控制、管理風(fēng)險(xiǎn),防范新風(fēng)險(xiǎn)的產(chǎn)生。
6.對(duì)重要風(fēng)險(xiǎn)進(jìn)行實(shí)時(shí)監(jiān)控。
四、結(jié)論
企業(yè)風(fēng)險(xiǎn)評(píng)估是一個(gè)持續(xù)反復(fù)的過(guò)程,一次風(fēng)險(xiǎn)評(píng)估并不能一勞永逸。企業(yè)應(yīng)當(dāng)結(jié)合不同發(fā)展階段和業(yè)務(wù)拓展情況,持續(xù)收集與風(fēng)險(xiǎn)變化相關(guān)的信息,進(jìn)行風(fēng)險(xiǎn)識(shí)別和風(fēng)險(xiǎn)分析,根據(jù)情況的變化及時(shí)調(diào)險(xiǎn)應(yīng)對(duì)策略,以避免由于原來(lái)選擇使用的風(fēng)險(xiǎn)應(yīng)對(duì)策略無(wú)效而影響內(nèi)部目標(biāo)的實(shí)現(xiàn)。特別是當(dāng)企業(yè)經(jīng)營(yíng)活動(dòng)所處的外部環(huán)境發(fā)生變化時(shí),企業(yè)必須保持應(yīng)有的靈敏度,針對(duì)變化的外部環(huán)境進(jìn)行相應(yīng)的風(fēng)險(xiǎn)評(píng)估,以使企業(yè)的目標(biāo)在變化了的外部環(huán)境中得以實(shí)現(xiàn)。我國(guó)企業(yè)只有建立比較完善的風(fēng)險(xiǎn)評(píng)估系統(tǒng),才能真正完善我國(guó)企業(yè)的內(nèi)部控制,真正促進(jìn)我國(guó)企業(yè)的進(jìn)一步發(fā)展。
【參考文獻(xiàn)】
[1] 李玉環(huán).內(nèi)部控制中的風(fēng)險(xiǎn)評(píng)估[J].會(huì)計(jì)之友,2008 (10).
[2] 馬宏杰.企業(yè)內(nèi)部控制制度存在的問(wèn)題與對(duì)策[J].財(cái)會(huì)研究,
2007(4).
關(guān)鍵詞:風(fēng)險(xiǎn)管理;尿液檢驗(yàn);質(zhì)量控制
從臨床實(shí)驗(yàn)室質(zhì)量管理的歷史來(lái)看,是源于20世紀(jì)50年代病理學(xué)家Levey和Jennings2位引入的統(tǒng)計(jì)學(xué)質(zhì)控技術(shù),通過(guò)利用患者標(biāo)本重復(fù)檢測(cè)制作質(zhì)控圖,采用12s控制限來(lái)監(jiān)測(cè)檢驗(yàn)方法的精密度。1980年,Westgard經(jīng)過(guò)研究提出了一套高誤差檢出率和低假失控概率的質(zhì)控規(guī)則,以12s作為警告限,13s、R4s、22s、41s、10x作為失控限的多規(guī)則質(zhì)控方法。隨著自動(dòng)化儀器性能的不斷提高,進(jìn)一步提出了不同檢測(cè)系統(tǒng)采用不同質(zhì)控程序的理念。當(dāng)臨床實(shí)驗(yàn)室引入全面質(zhì)量管理概念后,基于檢驗(yàn)方法精密度和正確度而設(shè)計(jì)的最佳化質(zhì)控程序開(kāi)始應(yīng)用于臨床實(shí)驗(yàn)室中。1990年后,工業(yè)領(lǐng)域的六西格瑪(sixsigma,6σ)質(zhì)量管理理念的建立和推行,要求質(zhì)量應(yīng)能達(dá)到世界級(jí)目標(biāo)(百萬(wàn)缺陷率<3.4個(gè)),這就要求臨床實(shí)驗(yàn)室在“啟動(dòng)”分析批階段,使用高誤差檢出率的質(zhì)控程序,在“監(jiān)測(cè)”階段,分析批中間使用假失控概率低的質(zhì)控程序,在“最終”階段,考慮使用觀察整個(gè)分析批所有測(cè)量數(shù)據(jù)患者結(jié)果均值的質(zhì)控程序。2010年后,國(guó)際上又提出了基于風(fēng)險(xiǎn)管理的質(zhì)控操作,要求在不同測(cè)量系統(tǒng)的不同時(shí)間設(shè)計(jì)不同的質(zhì)控方法,即對(duì)檢測(cè)系統(tǒng)進(jìn)行系統(tǒng)回顧,識(shí)別所有可能的失控模式,基于事故發(fā)生頻率以控制失控發(fā)生的風(fēng)險(xiǎn),通過(guò)臨床實(shí)驗(yàn)室識(shí)別出的高風(fēng)險(xiǎn)事項(xiàng),建立質(zhì)控策略,減少危害、預(yù)防事故發(fā)生和/或最佳檢出失控,風(fēng)險(xiǎn)管理技術(shù)開(kāi)啟了現(xiàn)代臨床實(shí)驗(yàn)室質(zhì)量管理技術(shù)的新方向。
臨床上,尿液檢驗(yàn)在泌尿和生殖系統(tǒng)疾病的診斷、鑒別診斷中起著毋庸置疑的重要作用,如尿液分析有助于尿糖、蛋白尿、血尿、白細(xì)胞尿、感染、管型尿和結(jié)晶尿的篩查;尿液干化學(xué)試帶分析有助于尿糖、蛋白尿、血尿、白細(xì)胞尿和感染的篩查,尿液微生物檢查有助于感染的診斷;尿液細(xì)胞學(xué)檢查有助于腎小球和腎小管疾病、下尿路感染、非細(xì)菌感染和結(jié)石病的診斷和療效監(jiān)測(cè);流式細(xì)胞術(shù)和DNA分析有助于移行上皮細(xì)胞癌的療效監(jiān)測(cè)和預(yù)后判斷。因此,如何保證尿液檢驗(yàn)的質(zhì)量管理一直是臨床醫(yī)護(hù)人員和檢驗(yàn)人員共同關(guān)注的問(wèn)題,而尿液檢驗(yàn)的管理風(fēng)險(xiǎn)可源自于檢驗(yàn)前階段的臨床需求、申請(qǐng)、標(biāo)本采集、運(yùn)送、接受、分類(lèi)、制備、分樣等過(guò)程,檢驗(yàn)階段的上樣、加試劑、混合標(biāo)本、孵育、檢測(cè)、生成數(shù)據(jù)、產(chǎn)生結(jié)果、結(jié)果復(fù)核、復(fù)測(cè)等過(guò)程,檢驗(yàn)后階段的標(biāo)本貯存、結(jié)果報(bào)告、結(jié)果處置、結(jié)果解釋和與其他臨床信息整合采取臨床決策等過(guò)程,上述過(guò)程究竟存在多少風(fēng)險(xiǎn),如何進(jìn)行控制,既是臨床醫(yī)護(hù)人員的責(zé)任,也是臨床實(shí)驗(yàn)室檢驗(yàn)人員的責(zé)任,利用風(fēng)險(xiǎn)管理技術(shù)可有效提高檢驗(yàn)質(zhì)量,使檢驗(yàn)、臨床醫(yī)護(hù)和患者滿意。有效的控制風(fēng)險(xiǎn)需正確的風(fēng)險(xiǎn)管理技術(shù),包括危害識(shí)別、風(fēng)險(xiǎn)評(píng)價(jià)、風(fēng)險(xiǎn)控制和風(fēng)險(xiǎn)監(jiān)測(cè)等方面技術(shù)。本期專(zhuān)題刊登了尿液檢驗(yàn)及腎臟疾病實(shí)驗(yàn)診斷項(xiàng)目風(fēng)險(xiǎn)管理的系列文章,以供讀者在實(shí)踐中了解和正確應(yīng)用風(fēng)險(xiǎn)管理技術(shù)。在《尿液常規(guī)檢驗(yàn)項(xiàng)目的風(fēng)險(xiǎn)管理》一文中,蔡玉嬋等采用故障模式與影響分析(failuremodeandeffectanalysis,F(xiàn)MEA)法對(duì)尿干化學(xué)試帶的12個(gè)檢驗(yàn)項(xiàng)目和尿有形成分分析的7個(gè)檢驗(yàn)項(xiàng)目進(jìn)行風(fēng)險(xiǎn)評(píng)估,通過(guò)繪制魚(yú)骨圖,分析了影響尿蛋白和管型檢驗(yàn)結(jié)果準(zhǔn)確性的可能影響因素,并確定了根本原因,同時(shí)利用頭腦風(fēng)暴和個(gè)人實(shí)踐經(jīng)驗(yàn),制定了相應(yīng)對(duì)策,并對(duì)實(shí)施的效果進(jìn)行了驗(yàn)證。在實(shí)踐中發(fā)現(xiàn),尿蛋白質(zhì)和管型檢驗(yàn)結(jié)果不準(zhǔn)確的主要原因是:(1)檢驗(yàn)人員未按復(fù)檢規(guī)則復(fù)檢;(2)顯微鏡鏡頭模糊,看不清有形成分;(3)尿液標(biāo)本放置時(shí)間過(guò)長(zhǎng)。通過(guò)臨床醫(yī)護(hù)人員和檢驗(yàn)人員的共同改進(jìn)和控制,尿蛋白質(zhì)陽(yáng)性標(biāo)本的管型檢出率由1.55%提高到6.83%,明顯提高了管型檢出率,改進(jìn)了尿干化學(xué)試帶和尿有形成分分析的檢驗(yàn)質(zhì)量。在《尿細(xì)菌培養(yǎng)潛在風(fēng)險(xiǎn)的識(shí)別與管理》一文中,堯榮鳳等開(kāi)展了尿細(xì)菌培養(yǎng)的風(fēng)險(xiǎn)識(shí)別和管理工作,對(duì)尿細(xì)菌培養(yǎng)的檢驗(yàn)前、中、后3個(gè)階段,從人員、設(shè)備、材料、方法和設(shè)施等方面對(duì)可能影響尿細(xì)菌培養(yǎng)檢驗(yàn)結(jié)果性能進(jìn)行風(fēng)險(xiǎn)識(shí)別,并根據(jù)風(fēng)險(xiǎn)嚴(yán)重程度、發(fā)生概率和可識(shí)別概率等指標(biāo)進(jìn)行分級(jí),對(duì)不可接受風(fēng)險(xiǎn)和需采取措施的風(fēng)險(xiǎn)進(jìn)行管理。研究發(fā)現(xiàn)需采取措施降低風(fēng)險(xiǎn)的因素有:(1)標(biāo)本采集(采集操作不規(guī)范、采集容器污染);(2)標(biāo)本處理(無(wú)菌操作不規(guī)范、未及時(shí)處理);(3)培養(yǎng)結(jié)果判讀(細(xì)菌識(shí)別錯(cuò)誤)。經(jīng)對(duì)上述風(fēng)險(xiǎn)進(jìn)行控制后,尿培養(yǎng)污染率下降了9.3%,陽(yáng)性率提高了9.5%,說(shuō)明識(shí)別和控制尿細(xì)菌培養(yǎng)過(guò)程的潛在風(fēng)險(xiǎn),有利于提高尿培養(yǎng)檢驗(yàn)質(zhì)量。
