2015年银行业专业人员职业资格考试内部资料
风险管理
第五章 操作风险管理
知识点:操作风险评估步骤
● 定义:
包括准备、评估和报告三个阶段
● 详细描述:
(1)准备阶段
①确认评估对象
②绘制流程图
③收集整理操作风险信息
(2)评估阶段
①识别评价固有风险
②识别评估现有控制
③评估剩余风险
④提出优化方案
(3)报告阶段
①整合评估成果
②提交报告
例题:
1.自我评估的工作流程为()。
A.报告自我评估工作和日常监控—作业流程分析和风险识别与评估—控制活
动识别与评估—制定与实施控制优化方案—全员风险识别与报告
B.全员风险识别与报告—作业流程分析和风险识别与评估—控制活动识别与
评估—制定与实施控制优化方案—报告自我评估工作和日常监控
C.作业流程分析和风险识别与评估—全员风险识别与报告—控制活动识别与
评估—制定与实施控制优化方案—报告自我评估工作和日常监控
D.控制活动识别与评估—全员风险识别与报告—制定与实施控制优化方案
—作业流程分析和风险识别与评估—报告自我评估工作和日常监控
正确答案:C
解析:自我评估的工作流程为作业流程分析和风险识别与评估—全员风险识别与报告—控制活动识别与评估—制定与实施控制优化方案—报告自我评估工作和日常监控
2.每位员工依据本岗位工作职责以及体系文件、场所文件,识别本岗位各项工作环节中的风险点及对应的控制措施,初步评估风险程度和控制措施,并提出控制优化的建议。这一步骤的工作属于操作风险与内部控制评估工作流程的()阶段。
A.控制活动识别与评估
B.全员风险识别与报告
C.作业流程分析和风险识别与评估
D.制定与实施控制优化方案
正确答案:B
解析:这一步骤的工作属于操作风险与内部控制评估工作流程的全员风险识别与报告阶段。
3.商业银行施行操作风险自我评估的合理流程是()。(1)全员风险识别与报告(2)控制措施评估(3)报告自我评估工作与日常监控(4)制定与实施控制优化方案(5)作业流程分析、风险识别与评估
A.(1)(5)(2)(4)(3)
B.(1)(5)(4)(2)(3)
C.(1)(3)(4)(5)(2)
D.(1)(3)(2)(5)(4)
正确答案:D
解析:①商业银行内部控制体系的基础上
②开展全员风险识别,发现风险点
③影响程度和发生概率来评估
4.操作风险评估准备包括()三个步骤。
A.准备
B.评估
C.确认
D.报告
E.提交
正确答案:A,B,D
解析:操作风险评估准备包括准备、评估和报告三个步骤。准备阶段:包括确认评估对象、绘制流程图、收集整理操作风险信息;评估阶段:包括识别和评估固有风险、识别和评估现有控制、评估剩余风险、提出优化方案;报告阶段:包括整合评估成果和提交报告两个步骤。
5.商业银行管理操作风险,最主要的途径应当是()
A.购买商业保险
B.设立应急预案和连续营业计划
C.加强内部控制体系的建设
D.业务外包
正确答案:C
解析:参见教材256页商业保险的最后一句话:预防和减少操作风险事件的发生,根本上还是要靠商业银行不断提高自身的风险管理水平,即加强内部控制体系的建设
6.操作风险评估的步骤不包括()。
A.准备
B.分析
C.评估
D.报告
正确答案:B
解析:本题考核操作风险评估的步骤
风险管理控制程序 1.目的 为建立风险和机遇的应对措施,明确包括风险应对措施风险规避、风险降低和风险接受在的操作要求,建立全面的风险和机遇管理措施和部控制的建设,增强抗风险能力,并为在质量和环境管理体系中纳入和应用这些措施及评价这些措施的有效性提供操作指导。 2.围 本程序适用于在公司质量和环境管理体系活动中应对风险和机遇的方法及要求的控制提供操作依据,这些活动包括: a. 业务开发、市场调查及客户满意度测评过程的风险和机遇管理; b. 供应商评审和采购控制过程的风险和机遇管理; c. 生产过程的风险和机遇管理; d. 过程检验和监视测量设备的管理过程的风险和机遇管理; e. 设备的维护和保养管理过程的风险和机遇管理; f. 不合格品的处置及纠正预防措施的执行和验证过程的风险和机遇管理; g. 持续改进过程的风险和机遇管理; h. 当适用时,也可适用于对公司管理过程中应对风险和机遇的控制提供操作指南。 3.职责 3.1总经理:负责风险管理所需资源的提供,包括人员资格、必要的培训、信息获取等。负责风险可接受准则方针的确定,并按制定的评审周期保持对风险和机遇管理的评审。 3.2安环部:负责建立风险和机遇应对控制程序,并进行维护。负责按本文件所要求的周期组织实施风险和机遇的评审,落实跟进风险和机遇评估中所采取措施的完成情况并跟进落实措施的有效性,并编写《风险和机遇评估分析报告》,负责本部门的风险评估及应对风险的策划和应对风险措施的执行和监督。 3.3各单位:负责本部门/科室的风险和机遇评估,并制定相应的措施以规避或者降低风险并落实执行。 3.4经营部:负责收集产品售后的风险信息及本部门的风险识别,负责制定相应的措施以规避或者降低风险并落实执行。
1.0 范围 适用于公司生产制造过程中影响产品交付和产品质量的风险识别和控制因素策划及实施。 2.0 目的 为了控制可能会影响产品交付和产品质量有关的风险,为风险识别、评估和降低 确定技术、工具和对其应用,特制定本程序。 3.0 设备要求 不适用 4.0 职责 4.1 设备部负责对生产过程中产生质量风险、检验文件的制定和更改以及设 备设施的可利用性、可维护性的风险进行评估和控制; 4.2 营销主料采购和供应链辅料采购部负责对原辅材料采购、外包方和供方 业绩进行评估和控制;负责供方变化及其质量管理体系变化产生的风险 进行评估和控制; 4.3 销售/客服部和工程部负责不合格产品交付产生的风险进行评估和控制 4.4 质量安全部负责产品的检验与试验过程、检测设备的使用和维修 可能产生的质量风险进行评估和控制; 4.5 人事行政部负责对人员能力、专项技能的符合性、组织机构变更以及关 键或重要人员的改变产生的风险进行评估和风险控制。 5.0 程序 5.1 定义 5.1.1风险:有可能发生并有潜在负面结果的局面或境况 5.1.2 风险评估 评估来自可能发生的风险,考虑现有控制的适当性和决定该风险是否可接 受的过程。 5.2 风险辨识和风险评估过程 1)评估准备----收集资料,制定计划 2)风险识别----事故类型,影响因数及机制 3)风险评估----事故发生的可能性,事故的严重程度,风险值的确定,风险分级 4)风险控制----制定方案,落实风险防范措施 5)登记重大风险项目 6)定期检查提出整改方案 5.3 风险源的识别 5.3.1 风险源的识别应考虑以下方面: 5.3.1.1与产品交付相关的风险评估应包括: 1)设施/设备的可用性和可维护性 2)供应商绩效以及材料的可用性/供应
风险管理的各个步骤 对于现代企业来说,风险管理就是通过风险的识别、预测和衡量、选择有效的手段,以尽可能降低成本,有计划地处理风险,以获得企业安全生产的经济保障。这就要求企业在生产经营过程中,应对可能发生的风险进行识别,预测各种风险发生后对资源及生产经营造成的消极影响,使生产能够持续进行。可见,风险的识别、风险的预测和风险的处理是企业风险管理的主要步骤。 风险的识别 风险的识别是风险管理的首要环节。只有在全面了解各种风险的基础上,才能够预测危险可能造成的危害,从而选择处理风险的有效手段。风险识别方法很多,常见的方法有: 2.1.1◆生产流程分析法生产流程分析法是对企业整个生产经营过程进行全面分析,对其中各个环节逐项分析可能遭遇的风险,找出各种潜在的风险因素。生产流程分析法可分为风险列举法和流程图法。 1.风险列举法指风险管理部门根据本企业的生产流程,列举出各个生产环节的所有风险。 2.流程图法指企业风险管理部门将整个企业生产过程一切环节系统化、顺序化,制成流程图,从而便于发现企业面临的风险。 2.1.2◆财务表格分析法财务表格分析法是通过对企业的资产负债表、损益表、营业报告书及其他有关资料进行分析,从而识别和发现企业现有的财产、责任等面临的风险。 2.1.3保险调查法采用保险调查法进行风险识别可以利用两种形式:通过保险险种一览表,企业可以根据保险公司或者专门保险刊物的保险险种一览表,选择适合本企业需要的险种。这种方法仅仅对可保风险进行识别,对不可保风险则无能为力。委托保险人或者保险咨询服务机构对本企业的风险管理进行调查设计,找出各种财产和责任存在的风险。 风险的预测 风险预测实际上就是估算、衡量风险,由风险管理人运用科学的方法,对其掌握的统计资料、风险信息及风险的性质进行系统分析和研究,进而确定各项风险的频度和强度,为选择适当的风险处理方法提供依据。风险的预测一般包括以下两个方面: 2.2.1预测风险的概率:通过资料积累和观察,发现造成损失的规律性。一个简单的例子:一个时期一万栋房屋中有十栋发生火灾,则风险发生的概率是1/1000。由此对概率高的风险进行重点防范。 2.2.2预测风险的强度:假设风险发生,导致企业的直接损失和间接损失。对于容易造成直接损失并且损失规模和程度大的风险应重点防范。 风险的处理 风险的处理常见的方法有: 2.3.1避免风险:消极躲避风险。比如避免火灾可将房屋出售,避免航空事故可改用陆路运输等。因为存在以下问题,所以一般不采用。可能会带来另外的风险。比如航空运输改用陆路运输,虽然避免了航空事故,但是却面临着陆路运输工具事故的风险。会影响企业经营目标的实现。比如为避免生产事故而停止生产,则企业的收益目标无法实现。 2.3.2预防风险:采取措施消除或者减少风险发生的因素。例如为了防止水灾导致仓库进水,采取增加防洪门、加高防洪堤等,可大大减少因水灾导致的损失。 2.3.3自保风险:企业自己承担风险。途径有:小额损失纳入生产经营成本,损失发生时用企业的收益补偿。针对发生的频率和强度都大的风险建立意外损失基金,损失发生时用它补偿。带来的问题是挤占了企业的资金,降低了资金使用的效率。对于较大的企业,建立专业的自保公司。 2.3.4转移风险:在危险发生前,通过采取出售、转让、保险等方法,将风险转移出去。
风险管理流程简述
一、风险识别 风险识别包括整备相关涉税数据、建立风险识别模型、加工产生风险结果三个步骤。 涉税数据主要包括纳税人报送得数据、税务机关采集得数据、相关第三方得数据以及国际情报交换数据。风险监控局负责收集并整理相关涉税数据。 各业务部门运用政策分析、案例分析与经验分析等风险分析方法,寻找税收风险领域,提取风险特征,建立相应得风险指标与风险识别模型,识别税收风险点。 风险监控局按照年度税收风险管理计划,加工产生税收风险点。 二、等级排序及推送 税收风险得大小用风险积分表示。风险积分以风险发生概率与风险发生造成税款流失得严重程度为主要评价因素。风险评估机构根据税收风险点得风险类型、关键指标风险数量与风险指标权重等情况进行综合分析,计算纳税人风险积分。根据纳税人风险积分得高低,排定纳税人风险次序,确定
纳税人风险等级。 风险监控局根据风险等级排序得结果,形成风险应对任务,按照风险应对局得应对能力,合理设置与推送应对处理得工作量,定期将风险应对任务推送给相应得风险应对局。三、风险应对及反馈 风险应对局根据风险应对任务中得纳税人税收风险点、风险等级与税收风险形成得具体原因,按照差别化应对得原则,分别采取相应得应对策略与措施,并在省级大集中系统中进行业务处理。 风险应对局对纳税人采取应对措施后,应将结果向风险监控局反馈。 风险监控局对所采用得风险识别模型、风险特征、风险指标、风险积分规则,应建立快捷有效得跟踪反馈机制,以便不断改进与完善,提高税收风险识别得准确率。 (一)低等风险应对 低等风险主要采取风险提示与纳税辅导得方法实施应对,不采用约谈、核查等管理措施。
1.目的和范围 1.1落实安全生产隐患排查制度,确保在工厂发生的所有作业活动得到风险预 评预控,每位员工认识本岗位存在的风险及预控措施,防止意外事故和疾病的 发生。 1.2适用于本厂员工、以及所有进入工厂的承包商施工人员、访客、货车司机 的业务活动开展的风险评估。包括:现有的无SOP/WI管理、控制的作业;新增的作业;改变现有的作业;可能偏离程序的非常规作业;生产方式和生产工艺 的变化;法律、法规及其它要求的变化;事故或未遂事件发生后。 2.规范性引用文件 下例文件中的条款通过本程序的引用而成为本规程的条款。 2.1.《中华人民共和国安全生产法》国务院 2.2.《企业安全生产标准化基础规范》国家安全生产委员会 3.定义 3.1工作安全分析(英文缩写JSA):对岗位任务活动过程中已识别出的危害因素,运用一种或几种评价方法,定性、定量或半定量地评价其风险程度,并确 定是否可容许的全过程。 3.2危害源:可能造成人员伤害、职业相关病症、财产损失、作业环境破坏或 其组合的根源或状态。 3.3危险源辨识:识别危险源的存在并确定其特性的过程。 3.4隐患:危险源是隐患的母体,一般隐患来自于危险源之中,隐患的风险程 度明显高于一般意义上的危险源。隐患一是客观上已经存在的、违反有关法规 标准的实际危险源,而不仅仅是潜在或未来可能的东西;二是将隐患应当看做 是较高风险值的危险源,是不可容许的临界状态,是必须采取措施进行整改和 控制的危险源。 3.5风险:是衡量某一种危险引发事故、造成伤害或疾病的概率和后果的尺度,是危险事件发生的可能性与后果的结合,风险=发生危险事件的可能性×后果。 3.6作业条件风险评价法:又称LEC法,是一种简单易行的,评价操作人员在 具有潜在风险性环境中作业时危险性的半定量评价法。 3.7隐患排查:隐患排查是指生产经营单位组织安全生产管理人员、工程技术 人员和其他相关人员对本单位的事故隐患进行排查的行为。 3.8隐患A类级别:当出现下列任意一项时,可直接确定为不可容许”A级”风 险: 1)现状严重不符合法律、法规、国家安全标准、集团安全标准及公司安全 管理制度; 2)相关工作岗位员工有合理抱怨和强烈要求; 3)曾经发生过事故,且未采取有效防范、改进控制措施的工作岗位; 4)直接观察到可能导致严重后果,且无适当控制措施的工作岗位; 3.9风险等级:C级风险D≤20;B级风险21≥D≤159;D≥160A级风险; 4.职责 4.1安全部:
全面风险管理基本流程和方法 (1)内部环境 管理当局确立关于风险的理念,并确定风险容量。所有企业的核心都是人(他们的个人品性,包括诚信、道德价值观和胜任能力)以及经营所处的环境,内部环境为主体中的人们如何看待风险和着手控制风险确立了基础。 (2)目标设定 必须先有目标,管理当局才能识别影响目标实现的潜在事项。
定的目标支持主体的使命并与其相衔接,以及与它的风险容量相适应。 (3)事项识别 必须识别可能对主体产生影响的潜在事项,包括表示风险的事项和表示机会的事项,以及可能二者兼有的事项。机会被追溯到管理当局的战略或目标制定过程。 (4)风险评估 要对识别的风险进行分析,以便确定管理的依据。风险与可能被影响的目标相关联。既要对固有风险进行评估,也要对剩余风险进行评估,评估要考虑到风险的可能性和影响。
(5)风险应对 员工识别和评价可能的风险应对措施,包括回避、承担、降低和分担风险。管理当局选择一系列措施使风险与主体的风险容限和风险容量相适应。 (6)控制活动 制定和实施政策与程序以确保管理当局所选择的风险应对策略得以有效实施。 (7)信息与沟通 主体的各个层级都需要借助信息来识别、评估和应对风险。广泛意义的有效沟通包括信息在主体中向下、平行和向上流动。
(8)监控 整个企业风险管理处于监控之下,必要时还会进行修正。这种方式能够动态地反应风险管理状况,并使之根据条件的要求而变化。监控通过持续的管理活动、对企业风险管理的单独评价或者两者的结合来完成。 第三个维度(侧面维度)是主体单元,包括集团、部门、业务单元、分支机构四个层面。 在中国银行业从业人员资格认证的相关书籍中,将全面风险管理要素表述为
企业风险管理的主要方法 风险管理是各经济、社会单位在对其生产、生活中的风险进行识别、估测、评价的基础上,优化组合各种风险管理技术,对风险实施有效的控制,妥善处理风险所致的结果,以期以最小的成本达到最大的安全保障的过程。随着社会的发展和科技的进步,现实生活中的风险因素越来越多,无论企业还是社会,都日益认识到进行风险管理的必要性和迫切性。人们想出种种办法来对付风险,但无论采用何种方法,风险管理的一条基本原则是:以最小的成本获得最大的保障。 一、企业经营中常见风险 每个企业在经营中都有可能性发生风险,如何化解和减少风险是企业经营者必须进行研究的。首先要明确有哪几种风险,然后有的放矢地采取措施。只有加强风险意识,进行科学的管理和科学的决策,建立起相应的制度才能避免风险的发生。从目前市场环境来看主要有七种风险: 1.经济合同风险:是指企业在履行经济合同过程中,对方违反合同规定或遇到不可抗力影响,造成本企业的经济损失。因此,企业在进行经营和产品合同签订后的履约及赔偿责任问
题。合同签订后还应密切注视其执行情况,要有远见地处理随时发生的变化。 2.债务风险:是指企业举债不当或举债后资金使用不当致使企业遭受损失。为了避免企业资产负债,企业应控制负债比率。 3.担保风险:是指为其他企业的贷款提供担保,最后因其他企业无力还款而代其偿还债务。企业应谨慎办理担保业务,严格审批手续,一定要完善反担保手续以避免不必要的损失。 4.汇率风险:是指企业在经营进出口及其他对外经济活动时,因本国与外国汇率变动,使企业在兑换过程中遭受的损失。企业平时就要随时注意其外币债务,密切注视各种货币的汇率变化,以便采取相应措施。 5.投资风险:是指因投资不当造成投产企业经营的效益不好,投资资本下跌。企业对此应采取:在项目投资前,一定要各职能部门和项目评审组一起进行严格的、科学的审查和论证,不能盲目运作。对外资项目更不能作风险承诺,也不能作差额担保和许诺固定回报率。
事项责任部门决策提出部门 政策建议部门 项目报建部门 改革牵头部门 重大活动 承办部门 建立涉稳信 息直报点, 设立维稳信 息直报员, 及时发现上 报重大事项 实施中的稳 定风险 社会稳定风险评估工作流程示意图 风险评估程序评估结果运用 成立组织机构评估主体集体进行 制定评估方案会审并作出决定 全面收集掌握评 估对象基本情况 高风中风低风 险不险化险可 认真开展社会调实施解风实施 查、民意收集、专险后 家论证、群众听实施 证,准确预测存在 风险。 编制评估报告及评 估 全面客观进行四 审核表报同级维稳 办 备案 性分析论证 准确确定风险 制定风险处置预案, 做 好相关化解工作,开 始 等级 组织实施 上报相关部门 审批跟踪监测管理 纪检、监察定期召开联 建立重大 事 在、人大、系会议,研 项社会稳 定 政协、维稳、判形势,通 风险评估 化 信访、新闻报情况,商 解季通报 制 媒体通过各定防范化解 度,掌握 情 自渠道实施措施 况,督促 落 监督 实整改措 施 决策原则 存在低风险的, 可以作出实施 的决策,但要 做好教育化解 工作,妥善处 理相关群众的 合理诉求 存在中风险的, 待采取有效的防 范、化解风险措 施后,再作出实 施的决策 存在高风险的,应 当区别情况作出 不实施的决策, 或者调整决策方 案、降低风险等 级后 再行决策 加强日常监 控,严格责 任追究
1/22
项目基本情况 项目名称 项目类别主管部门 投资主体计划总投资项目地址建设年限项目建设涉及区 域和群众情况 建设规模及主要 建设内容 项目手续审批涉 及单位 2/22
社会稳定风险评估领导小组成员名单 姓名工作单位职务组长 副组长 成 员 3/22
风险评估流程 风险评估是风险管理的基础,是组织确定信息安全要求的途径之一,属于企业信息安全管理体系策划的过程。通过风险评估识别企业所面临的安全风险并确定风险控制的优先等级,从而对其实施有效控制,将风险控制在企业可以接受的范围之内。 1、在风险评估中,考虑的主要因素包括: 1) 信息资产及其价值 2) 对这些资产的威胁,以及它们发生的可能性 3) 薄弱点 4) 已有的安全控制措施 2、风险评估的基本流程如下: 1)按照企业商务运作流程进行信息资产识别,并根据估价原则对信息资产进行估价 2)根据资产所处的环境进行威胁识别与评价 3)对应每一个威胁,对资产或组织存在的薄弱点进行识别与评价 4)对以采取的安全控制进行确认 5)建立风险测量的方法及风险等级评价原则,确定风险的大小与等级 风险评估的形式 风险评估的形式按照评估实施者的不同,可将风险评估形式分为自评估和检查评估两大类。 ◇自评估是由被评估信息系统的拥有者依靠自身的力量,对其自身的信息系统进行的风险评估活动。 ◇检查评估则通常是被评估信息系统的拥有者的上级主管机关或业务主管机关发起的, 旨在依据已经颁布的法规或标准进行的,具有强制意味的检查活动,是通过行政手段加强信息安全 的重要措施。 自评估和检查评估都可以通过信息安全风险评估服务机构进行风险评估的咨询、服务、培训以及风险评估有关工具的提供。而自评估是企业最不可或缺的安全评估方式,它是检查评估的基础和必要条件。不论是保证企业日常信息系统的正常运行,还是满足上级检查评估,自评估都发挥着举足轻重的作用。 风险评估的流程 一般来说,电信IP 网络风险评估实施过程主要包括以下几个阶段: 1.确定评估范围:调查并了解 IP 网络节点的网络拓扑、评估对象、系统业务流程和运行环境,确定评估范围的边界以及范围内所有的评估对象; 2.资产识别和估价:对评估范围内的所有电信资产进行调查和识别,并根据该资产在 网络中的位置作用、所承载业务系统的重要性、所存储数据的重要程度等因素,对各资产的
4全过程工程咨询风险管理 4.1全过程工程咨询项目各阶段的主要风险 4.1.1项目决策阶段的主要风险 市场风险:由于对宏观经济形势(包括国民经济发展状况,经济政策及经济状况)的分析和对市场供需情况(包括主要产品的市场供需状况,价格走势及对竞争力的判断)和预测与实际情况不符;市场调研报告(包括市场调查、预测、市场竞争策略、营销策略等内容)及其论证或者评估不正确或不可靠所引起的风险。 4.1.2技术风险 1工艺技术选用,在先进适用性,安全可靠性,经济合理性,耐久性等方面,存在问题所引起的风险。 2由于对产品品种、建设规模、建设方案和建设地址的选择报告(包括建设条件、资源状况、材料来源与供应、总平面布置、环保、安全、技术经济分析等内容)。可行性研究及其论证或评估不正确或不可靠引起的风险。 4.1.3筹、融资风险 由于投资估算和资金筹措渠道与筹措方式不合理或不可靠引起风险。
4.1.4环境风险 由于建设地区的社会、法律、经济、文化、自然地理、基础设施、社会服务等环境因素对项目目标产生不利影响所引起的风险。 4.1.5项目招、投标阶段的主要风险 项目成立后到承包合同签订之前,招、投标阶段的主要风险 1招标风险:风险承担人是项目主办人(单位)。 2投标(报价)风险:风险承担人是承包商。 3合同风险:风险承担人为双方,但主要是承包商。 4.1.6项目实施阶段的主要风险 承包合同签订后,项目实施阶段的主要风险: 1勘察设计风险 1设计风险 2采购风险 3项目管理风险(质量、安全、费用、进度等风险) 4.1.7项目收尾阶段的主要风险 1合同收尾 2管理收尾 此阶段的风险承担人主要是项目业主。
高顿财经CPA 培训中心 1 风险管理基本流程 收集风险管理初始信息 风险管理基本流程的第一步,要广泛地、持续不断地收集与本企业风险和风险管理相关的内部、外部初始信息,包括历史数据和未来预测。应把收集初始信息的职责分工落实到各有关职能部门和业务单位。 收集初始信息要根据所分析的风险类型具体展开。例如: (一)分析战略风险,企业应广泛收集国内外企业战略风险失控导致企业蒙受损失的案例,并至少收集与本企业相关的以下重要信息: 1.国内外宏观经济政策以及经济运行情况、企业所在产业的状况、国家产业政策; 2.科技进步、技术创新的有关内容; 3.市场对该企业产品或服务的需求; 4.与企业战略合作伙伴的关系,未来寻求战略合作伙伴的可能性; 5.该企业主要客户、供应商及竞争对手的有关情况; 6.与主要竞争对手相比,该企业实力与差距; 7.本企业发展战略和规划、投融资计划、年度经营目标、经营战略,以及编制这些战略、规划、计划、目标的有关依据; 8.该企业对外投融资流程中曾发生或易发生错误的业务流程或环节。 (二)分析财务风险,企业应广泛收集国内外企业财务风险失控导致危机的案例,并至少收集本企业的以下重要信息: 1.负债、或有负债、负债率、偿债能力; 2.现金流、应收账款及其占销售收入的比重、资金周转率; 3.产品存货及其占销售成本的比重、应付账款及其占购货额的比重; 4.制造成本和管理费用、财务费用、营业费用; 5.盈利能力;
高顿财经CPA 培训中心 2 6.成本核算、资金结算和现金管理业务中曾发生或易发生错误的业务流程或环节; 7.与本企业相关的产业会计政策、会计估算、与国际会计制度的差异与调节(如退休金、递延税项等)等信息。 (三)分析市场风险,企业应广泛收集国内外企业忽视市场风险、缺乏应对措施导致企业蒙受损失的案例,并至少收集与该企业相关的以下重要信息: 1.产品或服务的价格及供需变化; 2.能源、原材料、配件等物资供应的充足性、稳定性和价格变化; 3.主要客户、主要供应商的信用情况; 4.税收政策和利率、汇率、股票价格指数的变化; 5.潜在竞争者、竞争者及其主要产品、替代品情况。 (四)分析运营风险,企业应至少收集与本企业、本产业相关的以下信息: 1.产品结构、新产品研发; 2.新市场开发,市场营销策略,包括产品或服务定价与销售渠道,市场营销环境状况等; 3.企业组织效能、管理现状、企业文化,高、中层管理人员和重要业务流程中专业人员的知识结构、专业经验; 4.期货等衍生产品业务中曾发生或易发生失误的流程和环节; 5.质量、安全、环保、信息安全等管理中曾发生或易发生失误的业务流程或环节; 6.因企业内、外部人员的道德风险致使企业遭受损失或业务控制系统失灵; 7.给企业造成损失的自然灾害以及除上述有关情形之外的其他纯粹风险; 8.对现有业务流程和信息系统操作运行情况的监管、运行评价及持续改进能力; 9.企业风险管理的现状和能力。 (五)分析法律风险方面,企业应广泛收集国内外企业忽视法律法规风险、缺乏应对措施导致企业蒙受损失的案例,并至少收集与该企业相关的以下信息: 1.国内外与该企业相关的政治、法律环境;
风险评估程序的运用 新的审计准则强调“风险导向”的审计理念。所以07年考试的综合题就考了一个20分的综合题。从07年开始,考试的出题方式发生了一些变化形成了三分天下的局面:审计的基础理论、方法(6-12章)占30%的分值、风险导向的审计理论(9-11章)占30%的分值,审计实务(13-17章)占30%的分值。其他的占10%左右的分值。当然审计报告是必考的,会结合审计实务一起考。 学习审计,要先有一个正确的思路。这非常关键,就是假设你是一个CPA,让你去审计,要知道先干啥,再干啥。如果没有一个整体的思路,可能不知道审计在讲啥。像盖楼,你要先有一个图纸,比如要盖30层,然后再计算一下每一层要用多少砖、多少水泥,最后算一下整栋楼要用多少砖、水泥等,工程造价是多少钱,也就是要有一个计划。 审计的过程大体上是: 1、先了解一下被审计单位的环境(看看能不能审,对方是否诚信,自己是不是具备专业胜任能力,知彼知已) 2、签订业务约定书(正式接手审计业务) 3、了解被审计单位及其环境(也就是运用风险评估程序,看看哪里可能出错) 4、实施进一步的审计程序,包括控制测试和实施性程序。 也就是针对第3步评估出来的重大错报风险,有针对性的采取最恰当的审计程序,找出具体的错报。这实际上也就是风险应对
5、汇总错报,判断意见类型,出具报告。 大体上的过程是这样的,写得不够细。 第九章内容挺多,考试估计太多不会考死记硬背的东西,看一下07年的考题就知道了,会结合第13-17章的内控等考实务方面的题,这种机率比较高。 风险评估的思路也就是:先从总体上估计一下哪里可能出错(评估),根据评估结果采取针对性的程序(风险应对)。风险评估理念的好处是避免了审计的盲目性,提高了效率,降低了成本。 一、必须记记的内容(书上都有,指出来的是第9章的重点) (一)风险评估需运用的三大程序 1、询问(被审计单位管理层和内部其他相关人员) 2、实施分析程序(考实务可能要大量地用到分析) 3、观察和检查 (二)了解被审计单位及其环境的6个方面(注意简答题) ⅰ行业状况、法律环境与监管环境以及其他外部因素;(外部环境)ⅱ被审计单位的性质;(内部环境) ⅲ被审计单位对会计政策的选择与运用;(内部环境) ⅳ被审计单位的目标、战略以及相关经营风险(内部环境) ⅴ被审计单位财务业绩的衡量和评价;(内、外部环境) ⅵ被审计单位的的内部控制(内部环境) 识别被审计单位及其环境在上述各方面与以前各期相比发生的“重大变化”,对于充分了解被审计单位及其环境、识别和评估重大错报风
风险评估计划书 公司内部编号:(GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-
风险评估计划书 一、评估目的: 进一步发现业务实施过程中存在的潜在风险及内控缺陷,修订并完善内控程序文件、流程图,建立切合实际操作且控制环节、控制措施完善的内控制度文件。提升公司风险控制意识。 二、评估业务范围: (1)、投资管理循环 (2)、内控管理循环 (3)、综合管理循环 (4)、人事管理循环 (5)、公共安全管理循环 (6)、信息管理循环 三、风险评估准备 1、风险评估识别表的编制 参照股份公司内控评价表中对以上需做风险评估循环的风险点,依 我司实际情况,由各部分先进行风险点分析识别,编制风险评估识 别初表。 内控部依据内控评价表和各部门编制的风险识别表进行复核,汇总 发送风险评估小组成员复核各风险点 四、风险评估工作步骤
第一步:由内控部向风险评估小组简单介绍风险目标设定、风险识别及风险评估的常用方法。(本次风险评估重点:1、评估各循环的中、高度风险和一票否决项目。2、关注现有控制措施之后的剩余风险。) 第二步:评价小组进行风险评估流程 1.主管负责人介绍业务流程、操作方式、控制点、控制效果及目前 存在的问题; 2.对风险点进行集体表决法:出于对评估效率的考虑,由评估小组 集体表决,确定风险程度在现有的风险等级。 第三步:根据风险评估的讨论结果制定是否需要增加新的控制措施、整改纠正计划,内控部后续跟踪。 对于高、中、低的风险程度风险评估小组实施风险管理的整体 建议: 高度风险项目:公司职能部门及管理层需要重点关注,严格把 关,避免高风险的发生。 中度风险项目:公司职能部门及管理层需关注风险趋势变化, 做好日常控制,防止中度风险向高风险转化。 低度风险项目:公司职能部门及管理层需维持现有管理水平, 将低风险控制常态化。 第四步:总结报告 1.对风险点进行汇报,形成《风险汇总表》 2.撰写风险评估报告。 五、被评估方需配合的人员和要求
Five steps to risk assessment 风险评估五步骤 This leaflet aims to help you assess health and safety risks inthe workplace 这个小册子旨在帮助你评估工作场所的安全健康风险。 A risk assessment is an important step in protecting your workers and your business, as well as complying with the law. 风险评价是用于既保护工人和公司同时又遵守法律的一项重要的措施。 It helps you focus on the risks that really matter in your workplace –the ones with the potential to cause real harm. 它有助于你关注工作场所中与你真正相关的风险,这些风险具有引起实际伤害的潜在性。 In many instances, straightforward measures can readily control risks, for example ensuring spillages are cleaned up promptly so people do not slip, or cupboard drawers are kept closed to ensure people do not trip. 许多情况下,直接措施能够真正的控制风险,例如,确保及时清理溢出物防止人员滑到,或者关闭食橱的抽屉确保人员不被绊倒。 For most, that means simple, cheap and effective measures to ensure your most valuable asset – your workforce – is protected.
风险管理的体系与流程 风险主要有四种类型:财务风险、商业风险、管理风险、操作风险。针对这些风险,风险管理有一套集文化、方法、模型、管理制度、组织架构于一体的综合性系统。完整的风险管理体系应当包括以下四个模块: 模块一:法人治理结构。法人治理结构无论对企业的风险管理工作还是对企业发展都非常重要。一个好的法人治理结构可以减少决策的失误,防止减少股东资产自失,缩小减少代理人所引发的各种成本。所以,治理结构对于企业的风险管理是至关重要的,它是企业实行有效风险管理的组织保障。 模块二:风险管理组织。风险管理组织是专门为企业从事风险管理活动而成立的机构,是职业的风险管理执行者。这个组织对于企业高层风险管理决策的贯彻和实施具有决定性作用。 模块三:财务运营和公司运营的政策、制度与程序。所谓的财务运营政策和程序,其实是对财务决策的一系列规定,这对企业的风险管理工作也是至关重要的。就一般企业而言,随着决策涉及财务金额的增加,签字领导的级别也必须相应提高,这就是企业财务运营程序的一个简单例子。其实,对于企业而言,这里的逻辑并不是因为怀疑每个人都有可能出问题而制定制度,而是如果没有一套完善的制度,就肯定或非常有可能会出问题。 模块四:内部审计系统。内部审计系统不仅包括财务报表的审计,也包括公司内部控制、程序的执行情况、战略的贯彻情况、依法运行
的情况等的审计。风险管理的步骤是风险的识别、风险的评估、风险管理、风险监控,其实就是明确风险、量化风险以后,对风险进行管理和降低,然后进行风险监控。 风险管理体系的几个环节——治理结构、风险管理组织、政策与程序、内部审计,其实就是企业进行风险管理的几个保障(见图)。这也是企业风险管理工作的核心,在这个圈子里面,所有东西都会对企业风险管理产生重要的影响。一个治理紊乱的公司,经营不可能规范;而一个经营不规范的公司,风险不可能避免,决策失误、资产流失更是在所难免。 所以,要想做好风险管理,必先完善风险管理的三个流程: 风险管理计划。考察各种风险,判断风险的性质和后果,对风险进行分类,选择风险处理的方案,编制风险处理的实施计划。当然,这也是风险管理工作的一个重要步骤。风险管理流程,实际上也是从另一个角度来看风险管理工作的步骤。 风险管理的组织架构。根据风险管理计划,安排风险管理的人事布局和组织体系,包括业务分工、权力安排和组织结构等。这一环节的工作有的直接是公司治理结构的安排,它的目的本身就是为了防止风险;有的则是内部控制体系的安排,比如公司对采购环节的控制和风险管理,就应该考虑如何保证采购员采购的物品符合质量要求,保证采购员不会和卖方串通,这里就需要一种结构,使得采购员之间、采购员和公司的其他监管人员及财务人员之间相互制约、相互监督。 风险管理的考核。按照规定,进行经营业绩和管理流程的记录、
1.目的和X围 1.1落实安全生产隐患排查制度,确保在工厂发生的所有作业活动得到风险预评预控,每位员工认识本岗位存在的风险及预控措施,防止意外事故和疾病的发生。 1.2适用于本厂员工、以及所有进入工厂的承包商施工人员、访客、货车司机的业务活动开展的风险评估。包括:现有的无SOP/WI管理、控制的作业;新增的作业;改变现有的作业;可能偏离程序的非常规作业;生产方式和生产工艺的变化;法律、法规及其它要求的变化;事故或未遂事件发生后。 2.规X性引用文件 下例文件中的条款通过本程序的引用而成为本规程的条款。 2.1.《中华人民XX国安全生产法》国务院 2.2.《企业安全生产标准化基础规X》国家安全生产委员会 3.定义 3.1工作安全分析(英文缩写JSA):对岗位任务活动过程中已识别出的危害因素,运用一种或几种评价方法,定性、定量或半定量地评价其风险程度,并确定是否可容许的全过程。 3.2危害源:可能造成人员伤害、职业相关病症、财产损失、作业环境破坏或其组合的根源或状态。 3.3危险源辨识:识别危险源的存在并确定其特性的过程。 3.4隐患:危险源是隐患的母体,一般隐患来自于危险源之中,隐患的风险程度明显高于一般意义上的危险源。隐患一是客观上已经存在的、违反有关法规标准
的实际危险源,而不仅仅是潜在或未来可能的东西;二是将隐患应当看做是较高风险值的危险源,是不可容许的临界状态,是必须采取措施进行整改和控制的危险源。 3.5风险:是衡量某一种危险引发事故、造成伤害或疾病的概率和后果的尺度,是危险事件发生的可能性与后果的结合,风险= 发生危险事件的可能性×后果。 3.6作业条件风险评价法:又称LEC法,是一种简单易行的,评价操作人员在具有潜在风险性环境中作业时危险性的半定量评价法。 3.7隐患排查:隐患排查是指生产经营单位组织安全生产管理人员、工程技术人员和其他相关人员对本单位的事故隐患进行排查的行为。 3.8隐患A类级别:当出现下列任意一项时,可直接确定为不可容许”A级”风 险: 1)现状严重不符合法律、法规、国家安全标准、集团安全标准及公司安全 管理制度; 2)相关工作岗位员工有合理抱怨和强烈要求; 3)曾经发生过事故,且未采取有效防X、改进控制措施的工作岗位; 4)直接观察到可能导致严重后果,且无适当控制措施的工作岗位; 3.9风险等级:C级风险D≤20;B级风险21≥D≤159;D≥160A级风险; 4.职责 4.1安全部: 负责更新和维护本程序,负责制定全厂的JSA活动计划; 负责编辑相关的培训资料,并为车间部门的培训提供技术支援和现场指导;
一、名词解释 风险评估(Risk Assessment)是指,在风险事件发生之前或之后(但还没有结束),该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作。即,风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。 二、SCRUBBER设备介绍 识别组织面临的各种风险 评估风险概率和可能带来的负面影响 确定组织承受风险的能力 确定风险消减和控制的优先等级 推荐风险消减对策 四、风险评估过程注意事项 在风险评估过程中,有几个关键的问题需要考虑。 首先,要确定保护的对象(或者资产)是什么?它的直接和间接价值如何? 其次,资产面临哪些潜在威胁?导致威胁的问题所在?威胁发生的可能性有多大? 第三,资产中存在哪里弱点可能会被威胁所利用?利用的容易程度又如何? 第四,一旦威胁事件发生,组织会遭受怎样的损失或者面临怎样的负面影响? 最后,组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程度? 解决以上问题的过程,就是风险评估的过程。 进行风险评估时,有几个对应关系必须考虑: 每项资产可能面临多种威胁 威胁源(威胁代理)可能不止一个 每种威胁可能利用一个或多个弱点 编辑本段风险评估的三种可行途径 在风险管理的前期准备阶段,组织已经根据安全目标确定了自己的安全战略,其中就包括对风险评估战略的考虑。所谓风险评估战略,其实就是进行风险评估的途径,也就是规定风险评估应该延续的操作过程和方式。 风险评估的操作范围可以是整个组织,也可以是组织中的某一部门,或者独立的信息系统、特定系统组件和服务。影响风险评估进展的某些因素,包括评估时间、力度、展开幅度和深度,都应与组织的环境和安全要求相符合。组织应该针对不同的情况来选择恰当的风险评估途径。目前,实际工作中经常使用的风险评估途径包括基线评估、详细评估和组合评估三种。 基线评估 如果组织的商业运作不是很复杂,并且组织对信息处理和网络的依赖程度不是很高,或者组织信息系统多采用普遍且标准化的模式,基线风险评估(Baseline Risk Assessment)就可以直接而简单地实现基本的安全水平,并且满足组织及其商业环境的所有要求。 采用基线风险评估,组织根据自己的实际情况(所在行业、业务环境与性质等),对信息系统进行安全基线检查(拿现有的安全措施与安全基线规定的措施进行比较,找出其中的差距),得出基本的安全需求,通过选择并实施标准的安全措施来消减和控制风险。所谓的安全基线,是在诸多标准规范中规定的一组安全控制措施或者惯例,这些措施和惯例适用于特定环境下的所有系统,可以满足基本的安全需求,能使系统达到一定的安全防护水平。组织可以根据以下资源来选择安全基线: 国际标准和国家标准,例如BS 7799-1、ISO 13335-4; 行业标准或推荐,例如德国联邦安全局IT 基线保护手册;
企业风险评估 风险评估包括风险辨识、风险分析和风险评价等三个步骤 ·风险辨识是识别企业面临的风险,并将风险归类 ·风险分析是将辨识出的风险放进统一的模型中进行分析处理,进一步作出定性和定量的分析,包括风险对企业目标实现的可能影响、这些风险物化的多重情境分析和统计特性、可能的影响因素和方式 ·风险评价是评价风险对企业目标的影响,企业影响最大的风险将成为企业风险管理的重点企业风险因素:·外汇风险·市场风险·外交风险·体制风险·政策风险·自然灾害风险·产品风险·人事风险·购并风险·经营风险 企业内部风险 1、经营风险:因原材料供应、能源、技术、产品价格、商品销售、业务结构、特许经营、汇率调整等原因,对公司经营造成的实质性影响。 2、资产风险:因大股东出资不到位、公司资产不实,大股东长期占用上市公司资金、资产而
侵害公司利益,上市公司为大股东抵押担保等原因,对公司资产安全形成隐患。 3、财务风险:因公司示建立独立核算体系、内部控制制度虚设、管理失控、公司利润不实、采取提前确认收入、推迟确认费用、潜亏挂帐、变更会计方法等手段操纵利润、编造虚假业绩,公司财务状况恶化,或有负债造成等原因,对公司造成潜在风险。 4、行为风险:因公司董事不履行诚信义务,不履行承诺事项,不及时、真实、准确、完整地披露信息,因虚假披露、误导性陈述和重大遗漏导致投资者利益损失,由道德风险引发造成社会不安定因素。 企业外部风险 1、行业风险:因公司所处行业状态,对相关产业的依赖程度而对公司经营造成影响,以及行业竞争所带来的风险。 2、市场风险:因经济、金融形势及相关行业对市场造成的波动,市场变化及产品的可替代性对公司经营损益造成的影响。 3、项目风险:因投资项目实施过程中的各种不确定因素(包括人力资源、技术和管理等)对项目财务目标造成影响,以及市场变化对公司预期收益带来的影响。
风险评估计划书 Document number:PBGCG-0857-BTDO-0089-PTT1998
风险评估计划书 一、评估目的: 进一步发现业务实施过程中存在的潜在风险及内控缺陷,修订并完善内控程序文件、流程图,建立切合实际操作且控制环节、控制措施完善的内控制度文件。提升公司风险控制意识。 二、评估业务范围: (1)、投资管理循环 (2)、内控管理循环 (3)、综合管理循环 (4)、人事管理循环 (5)、公共安全管理循环 (6)、信息管理循环 三、风险评估准备 1、风险评估识别表的编制 ?参照股份公司内控评价表中对以上需做风险评估循环的风险点,依我司实际情况,由各部分先进行风险点分析识别,编制风险评估识别初表。 ?内控部依据内控评价表和各部门编制的风险识别表进行复核,汇总 ?发送风险评估小组成员复核各风险点 四、风险评估工作步骤 第一步:由内控部向风险评估小组简单介绍风险目标设定、风险识别及风险评估的常用方法。(本次风险评估重点:1、评估各循环的中、高度风险和一票否决项目。2、关注现有控制措施之后的剩余风险。)
第二步:评价小组进行风险评估流程 1.主管负责人介绍业务流程、操作方式、控制点、控制效果及 目前存在的问题; 2.对风险点进行集体表决法:出于对评估效率的考虑,由评估小组集 体表决,确定风险程度在现有的风险等级。 第三步:根据风险评估的讨论结果制定是否需要增加新的控制措施、整改纠正计划,内控部后续跟踪。 对于高、中、低的风险程度风险评估小组实施风险管理的整体建 议: ◆高度风险项目:公司职能部门及管理层需要重点关注,严格把关,避 免高风险的发生。 ◆中度风险项目:公司职能部门及管理层需关注风险趋势变化,做好日 常控制,防止中度风险向高风险转化。 ◆低度风险项目:公司职能部门及管理层需维持现有管理水平,将低风 险控制常态化。 第四步:总结报告 1.对风险点进行汇报,形成《风险汇总表》 2.撰写风险评估报告。 五、被评估方需配合的人员和要求 1.人员要求: 1)要求有一名主管负责人介绍所有相关工作流程 2)安排一名负责人回答风险评估小组人员的提问。 2.其它要求:
风险评估的基本过程 风险评估是组织确定信息安全需求的过程,包括资产识别与评价、威胁和弱点评估、控制措施评估、风险认定在内的一系列活动。 计划和准备 组织在正式进行风险评估之前,应该制定一个有效的风险评估计划,明确风险评估的目标,限定评估的范围,建立相关的组织结构并委派责任,并采取有效措施来采集风险评估所需的信息和数据。具体来说,风险评估计划应该包括以下内容: 目标——开展风险评估活动的目的,期望得到的输出结果,关键的约束条件(时间、成本、技术、策略、资源等)。 范围和边界——既定的风险评估可能只针对组织全部资产(包括其弱点、威胁事件和威胁源等)的一个子集,评估范围必须首先明确。例如,研究范围也许只是确定某项特定资产的风险,或者与一种新型攻击或威胁源相关的风险。此外,必须定义风险评估的物理边界和逻辑边界。逻辑分析边界定义了分析所需的广度和深,度,而物理系统边界则定义了一个系统起于哪里止于何处,比如一个与外部系统相连的系统,必须对其所有的接口特性进行描述。 系统描述——进行风险评估的一个先决条件就是对受评估系统的需求、操作概念和系统资产特性有一个清晰的认识,必须识别评估边界内所有的系统。 角色和责任——组织应该成立一个专门的风险评估小组,小组应该包括具有安全评估经验和熟悉组织运作情况的成员,还应该包括管理层、业务部门、人力资源、IT 系统和来自用户的代表,如果需要,还应该聘请外部的风险评估专家来参与项目。此外,组织的信息安全官、IT 系统安全管理员也都应该承担各自的责任。最重要的一点,组织的高级管理层一定要参与并支持风险评估项目。 风险评估行动计划——确定风险评估的途径和方法,计划评估步骤。 风险接受标准——事先明确组织能够接受的风险的水平或者等级。 风险评估适用表格——为风险评估过程拟订标准化的表格、模板、问卷等材料。 制定风险评估计划之后,组织首先要为正式实施风险评估做准备。准备阶段的主要工作就是通过多种途径去采集信息,包括: 专家经验(来自内部或外部专家、专业组织的统计公布信息)集体讨论或小组讨论系统分析(包括技术性分析和业务分析) 人员访谈 调查问卷