1.引言
1.1研究背景及意义
新中国成立以后,在经历过一个漫长的历史潜伏期,终于迎来了一个春天。也就是我们的改革开放,从那时起,我们的经济体制由计划经济实现了到市场经济的巨大转变。市场经济的发展,在跨越了一个新的历史纪元以后,使得中国整个市场都被充分调动起来,整个社会的资本、技术、劳动力等要素继续处于发展的态势,而市场这只无形的手也在继续推进着中国经济的蓬勃发展。开放式的经济环境下,我们所受到的经济全球化的影响也是不容忽视的,这就像是资本投资时所构造的资本收益和风险并存一般,我们能做的也就是在有限的条件下,做到风险最小利益最大。在激烈的国际市场竞争中,中国作为一个处于转型期的发展中国家,怎样促使自己在经济和技术水平相对落后的情况下,在条件有限的市场环境中保持一种优势地位,保持对市场的占有额,这是需要我们长期思考的问题。
为此,本文特意选取华为作为研究的典范来学习和借鉴其发展经验。华为作为一个国际知名的中国企业,是如何在日益激烈的国际市场经济竞争中取得如此骄傲的地位,世界500强当中的非上市公司,其长期健康平稳的发展是建立在拥有一个合理、合法、有效的内部控制制度之下的。对华为的内部控制中风险评估的成功分析具有代表性,可以为未来或者现在企业的壮大发展提供一个可供参考的榜样。同时也对市场经济发展转型提供一个可思考和发展的新的方向。
1.2国内外研究现状
中国作为一个具有中国特色的社会主义国家,在历经了几十年的发展历程以后,获得世界范围内各界的广泛关注,国内政治环境的稳定,社会主义市场经济的建设不断的完善,涵盖着整个政府对于整个经济所实施的积极的财政政策,以及相对较为稳健的货币政策,对于企业发展的政策支持力度也在逐年增长,促使着一批又一批的企业壮大发展,开始走出国门,同时也在享受着经济发展给我们自身带来的便利。
由于企业内部控制的合理性、合法性、有效性,直接决定了企业的生产、经营、管理等一系列的活动能否正常有序合法的运营,也直接决定了企业这艘小船能否在茫茫大海生存下去的护航保证之一,所以内部控制中五大要素之一的风险评估是一个重要的考核标准。
要以开阔发展的眼光,结合我国现代企业发展的真实状况,全面、系统地阐述了对于公司层面、业务活动、下属部门及附属公司的内部控制,要是想全面的提高风险评估的水平,就必须整改企业内部的管理问题,并且是重中之重。吴寿元通过分析企业的所有者直接参与日常的经营管理活动的大概情况,得出现代企业要在完善的内部控制系统来识别外部环境带来的风险,并且采取具有针对性的方式方法,对重大风险的性质及发生的可能性做出评估,早日解决问题。监管或经营环境的变化,重大的经营扩张,信息系统的重大、突然变化,在信息系统中引入新技术等都有可能影响企业内部控制的风险因素[1]。
由于我国相关法律法规颁布的时间较短,体制建成还不是很成熟,并且应用的范围不全面,所以现在企业的内部控制还处在相对低下的阶段。但是其的颁布标志着中国企业内部控制规范体系基本建成,日后各项规范有待完善。出现上述这样的原因主要是:疏于对人的监管,内部控制所涉及的方面很多,包括财务、管理层等,这当中涉及的人员就很多了。财务主要是对于是否持有专业从业资格证的人员的审查,有些资格证的考取相对来说门槛较低,对于道德那块没有评判的标准。管理层主要是会出现家族人员的继承制、世袭制等,所以就互相隐瞒作假,管理不到位。法律法规的不完善和不成熟,导致内部控制法律的实用性不高,其主要原因是因为我国经济发展尚未达到一定的高度,还处于发展中,而现在恰好碰到发展转型的瓶颈,没有可以作为参考的资料来建立适用性广的法律法规。缺乏监管,企业自身的动力不足,就难以形成竞争意识,也会疏于对风险的判断和管理,监管不到位导致的问题更多,从而造成恶性循环。但是我们也不必为此太过紧张,COSO在《COSO内部控制》中有提出说无论内部控制设计的多么的完美都不能完全避免风险的存在,其存在一定的不可控风险,我们所能够做的就是通过针对企业自身活动的控制来控制风险,从而达到内部控制的效果[2]。1.3论文研究思路及结构安排
文章首先是对写作的背景及写作的意义做了一个最基本的介绍,在经济全球化背景下中国经济增长遭遇瓶颈的时刻,我们需要通过学习和借鉴华为发展的历程,总结一些有价值的经验,来给企业参考。论文是想研究企业风险评估问题,起先对风险评估基础理论知识进行一个的分析和概括,介绍了风险评估的基本内容。接下来就是风险评估的对于企业发展的现实意义,如何利用风险评估来完善企业的内部控制制度,使企业又好又快发展。关于风险评估相关风险的分析,事实上要了解到构成风险因素一定不会是唯一的,而是由多种可能性组合在一起的,而且是任何一个企业在发展的任何阶段都是会存在风险的,风险的分析有利于针对性的解决存在的风险问题。
然后为了控制风险评估对企业发展的影响,就必须设计合理的风险评估程序,通过分析和比较不同的风险评估程序方法对于企业的影响,让企业按照自身情况选择适合自己的风险评估程序。在对华为进行了一个简单的介绍以后,又对华为的风险评估经验的成因进行了整个大体经济环境的分析,得出的了其壮大发展的启示,成功是来之不易的。
最后做了一个关于论文的总结,企业的风险评估,我们需要从不同的角度看待,根据企业自身情况具体问题做具体分析,对于未来中国企业的发展可参考华为的发展历程,不能被效仿,但总是有迹可循的。
2.风险评估的相关概念
2.1风险评估含义
风险评估是指能够及时的识别、科学的分析影响企业的战略计划和经营管理目标能否实现的所有不确定的存在因素,并且针对其存在的影响因素采取应对策略的一种过程。也可以指在风险没有结束之前,量化测评某一件事物给人们生活、生命财产等方面带来的影响或者损失的可能程度。风险评估的过程是非常复杂的,需要考虑到被评估的资产可能面临威胁的多样性及不可估量性。风险评估主要包括了目标的设定、风险识别、风险分析和风险应对四个方面的内容,作为风险评估的内容都是具有特殊意义的。风险评估首先要做的就是对企业设定一个可行的目标,风险的存在与企业目标息息相关,风险识别时为了使人们在面临风险时能够积极主动的选择有效的解决方式,风险分析实际上是贯穿于整个评估过程的,也是被看做是需要做的最主要的部分,最后风险应对的方式根据风险的性质和决策的主体对风险的承受能力来确定。
关于内部控制的定义,COSO给出的是:公司的董事会、管理层及其他人士为实现以下目标提供合理保证而实施的程序:运营的效益和效率,财务报告的可靠性和遵守使用的法律法规[3]。用更通俗一点的话来说就是在一定的时期内,企业建立想要获得收益的目标,并且能够保证其经营管理活动长期平稳有序的进行下去,而在企业内部所必须要采取的一些对自己进行协调、限制、规范和调控设定的一系列经营政策,标准和程序。内部控制的主体是由公司的董事会、管理层及其他人组成,也就是说其实每个员工既是监督者也是被监督人,本身是二者的结合体,这就非常有必要加强相互监督。这与风险评估程序存在始终都贯穿在一起的,从分析风险存在因素出发,科学的建立风险控制体系来达成防范风险的目标。
2.2风险评估的现实意义
根据我国经济发展的现状来说,风险管理应该可以算作是企业管理中一个相对较为薄弱的环节,风险意识不强、管理工作的相对薄弱,缺乏专业的风险管理人才,是绝大大多数企业发生重大风险事项的原因之一。企业的风险管理缺乏主动性,事后控制就只能是事后处理风险带来的严重后果了。我们需要做的是事前预防,事中监督,事后控制,全程贯穿,建立一个完善的风险管理体系,做到既治标也治本,从根本上提高企业判断治理的风险水平。这才是有效减少损失的方式。要使得企业所有的人都了解企业风险现状,促使大家共同利益最大化。要想从根源上避免遭受重大的经济损失,我们必须建立起一个机能化的内部控制机制,针对企业的重大风险、事件对策、决定确认等进行实时监控和量化评估。怎样进行有效的风险管理,是我们需要考虑的问题,也是对于风险评估的现实意义考虑的重要原因。
为此,我们需要做到:第一、营造良好的工作环境,给企业的每一个员工灌输具有风险意识的企业文化。让每一位员工都要树立起“风险无处不在”的思想观念,非常清楚个人职责对公司发展会造成怎样的风险,可能会带来怎样的影响,包括自身的工作对于公司的价值和与他人友好相处的重要作用,让员工承认对于企业文化的认同感,也是能够让风险评估管理能正常进行的必要前提条件之一。实际上,这也是员工工作最基本所需要的条件
第二、要有强烈的风险责任意识,而且是关于内部控制的。风险评估出来设定目标的起点是风险识别,这是风险评估的基础和关键。要及时汇集企业的各种和风险有关的初始信息,发现企业面临的各种风险。并对风险进行识别时我们的责任,接下来需要将风险进行分类别,并分析产生各种风险的原因。这样才能从源头上发现问题,并解决问题。
第三、需要相关人员不断地优化企业的内部控制规范制度。内控规范是根据相关法律法规所给予出管理制度和操作流程,在征求相关责任岗位意见的基础上所制定出来的,让每个责任岗位的执行人都按照内控规范操作,严格执行,在高效的工作的同时,也实现了企业的发展目标,可谓是一石二鸟。
内部控制与风险评估二者相辅相成,是体制与机制的关系,缺一不可。也就是说二者不可丢弃一方而独立存在。假如有前者而缺乏后者的意识,则内控管理就像是一副剩下的空壳子,缺乏精神世界的支配。又或者有后者而没有前者的内部结构,则缺失了一种科学的有效的管理手段,也就非常容易形成目标的缺失,目标一旦缺失,使得一切分析都变得毫无意义。
2.3风险评估程序与要求
风险评估程序是指为了清晰的了解被审计单位及其环境,并识别和评估财务报表可能出现的重大错报风险而实施的评估程序。主要包括四个方面的内容:咨询被审计单位所有内部相关人员、实施分析程序、观察和检查、其他审计程序和信息的可能来源。
可以采用多种方法来进行风险评估,其中包括基于知识的分析方法、基于模型的分析方法、定性分析以及定量分析,任何一种方法的使用,其共同的目标都是一致的,都是为了能够找出组织信息资产面临的风险及其影响。
第一种,基于知识的分析方法,这个比较适合一般性的企业。这种方法比较适合在基线风险评估时采用,方便来找出安全状况和基线安全标准之间的差距。采用基于知识的分析方法,因为不需要花费很多时间、精力和资源,所以企业可以节省成本。采用这种方法来消减和控制风险带来的影响,我们只需要通过多种途径采集相关的信息处理完以后与标准的做比较,从中找出与标准不符合的地方,并按照标准给出的应对措施选择可行的安全方案来修正。
评估信息的采集是基于知识分析方法的最重要部分,所采集的信息将作为分析的主要分析内容的依据,也是最终结果的重要组成部分。信息的来源包括: .企业会议讨论; .复查当前的信息安全策略和相关可能涉及的文档; .以问卷的方式进行调查; .访谈; .实地考察。用以上方法所得出的信息可能会因为不具有代表性而有误差,所以还需要通过相应的方式进行信息的筛选,最后再汇总分析。
第二种是基于模型的分析方法,基于模型的分析方法和传统的定性和定量分析是相类似的,CORAS 风险评估度量风险的方法完全不一样,虽然其沿用了识别风险、分析风险、评价并处理风险的过程,但是所有的分析过程都是基于面向对象的模型来进行的。CORAS风险评估的优点在于:由于其分析的精准性同时也提高了对相关特性安全描述的精确性,提升了分析结果的质量;强化了对于风险评估过程的规范性,同时图形化的建模机制更有利于沟通,易于理解和掌握,减少了理解上的偏差;加强了不同评估方法互操作的效率[4];等等。
第三种是定量分析法,定量分析方法则是属于一种较为传统的分析方式,它的目标其实很明确:只是用一定量的数值或者货币金额来对构成风险的各个要素和潜在损失的水平定量,一旦当度量风险的所有要素,包括资产存在价值、威胁、成本等都被赋与数值时,相当于风险评估的整个过程和结果就都被量化,此时一切都变得简单明了,也易于做比较。
理论上说来,我们通过定量分析可以对风险进行准确的分类和分级,但可供参考的指标必须是准确无误的,这是作为分级的重要前提条件。可事实上,信息系统的复杂多变的特点,就很难以保证定量分析所依据的数据是可靠性,再加上计算过程很容易出现错误,所分析的信息数据所具有时效性,无形中这就给分析的过程细化带来了很大困难,所以出于对信息安全风险的考虑,基于这种分析方法其实已经逐步被淘汰出局,人们在寻求着更加稳健有效的方法。
第四种是定性分析法,也现在采用最为广泛的一种方法就是定性分析法,由于具有很强的主观性,对分析者的要求很高,需要凭借其经验和直觉的判断,或者业界的标准和惯例,将风险管理要素资产价值、威胁、控制效力等的大小或高低进行不同程度的定性分级,通常这对于普通小企业来说是比较困难的,而且目前也主要是基于投资或者领导人的决策,很少小企业会真正聘请专业做风险评估的人士进行分析,因为这样的定性分析法下风险评估没有一个特定的标准,没办法做对比。
定性分析的操作方法多种多样,可选择的范围也比较的广,包括会议讨论、问卷调查、人员访谈等。定性分析的操作相对其他方法来说比较容易,其缺点是可能因为操作者的经验和直觉判断的偏差而使风险分析的结果失准。我们所需要的是科学的方式方法,系统地来测量风险存在的可能性。与定量分析相比较,定性分析的准确性稍好但精确性不如定量分析;从计算方面说来,定性分析计算相对简单,但对分析者的经验和能力要求很高,也是保证分析结果准确性高的原因;定量分析则需要通过大量的数据统计汇总之后的测算,;定性分析源于分析者的主观判断,定量分析则基于客观分析;定量分析的结果很直观,也容易理解,定性分析的结果却因为很难有统一的解释而让人觉得比较难理解。
事实上,企业无论选择哪种风险分析方式,其目标都是为了能够解决企业所面临的风险及减少其风险带来的伤害,都难以保证分析结果的完整性,其方法的利弊都是相对来说的。风险评估的最终意义只是为了帮助企业防范风险,降低风险给企业带来的利益损失,并不能够完全的消除风险,而只能将风险最小化,企
业可以根据自身发展的实际情况来选择使用分析方法,从而达到控制风险的目的。
