风险评价的定义汇总十篇

序论：好文章的创作是一个不断探索和完善的过程，我们为您推荐十篇风险评价的定义范例，希望它们能助您一臂之力，提升您的阅读品质，带来更深刻的阅读感受。

篇（1）

一、内部审计定义的演进

国际内部审计定义的制定经历了多次的发展变化，内部审计的第一次定义是在1947年7月，IIA发表《内部审计职责说明书》将内部审计定义为：“内部审计是建立在审查财务、会计和其他经营活动基础上的独立评价活动。它为管理提供保护性和建设性的服务，处理财务与会计问题，有时也涉及经营管理中的问题。”定义表明内部审计主要是对公司的财务会计进行审计。1971年，IIA对内部审计重新定义为：“内部审计是建立在审查经营活动基础上的独立评价活动，并为管理提供服务，是一种衡量、评价其他控制有效性的管理控制。”这次定义注重内部审计的管理服务职能，并对控制有效性进行评价。1999年，IIA对内部审计定义进行了修改。在新定义中，IIA指出：“作为一种客观、独立的确认与咨询服务，内部审计通过采用系统的、规范的方法，评价并改善风险管理、控制和治理过程的效果，其目的是帮助企业改善经营状况、增加企业价值”。这次定义最大的变化就是将风险管理列入内部审计的范围，定义的注重点是内部审计在公司治理中应发挥的作用，审计的目标变为增加组织的价值和改善组织的营运。2001年1月IIA重新修订《内部审计实务框架》，在新框架中内部审计定义将风险管理在内部审计中的地位提升到了一个更高的层次，同时也强调要围绕风险制定内部审计计划，确定内部审计重点。2004年IIA在其修订的《内部审计实务标准》中将内部审计认定为：“内部审计是一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法，评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标。”这一定义将内部审计的范围延伸到风险管理和公司治理，认为内部审计是针对风险管理、控制及治理过程的有效性M行评价和改善所必需的。

相比之下，我国的内部审计起步较晚，在我国制定内部审计制度之前，并没有一个权威的完整体系。但从1983年开始，关于内部审计的规定在我国的部分法律中不断地被提及。我国在1985年第一次定义内部审计，“内部审计是部门、单位加强财政、财务监督的重要手段，是国家审计体系的组成部分。”这个定义强调内部审计主要行使监督职能。在1989年和1995年我国对内部审计重新进行定义，定义仍然强调内部审计的监督职能，主要是进行财政财务收支的真实、合法、效益的监督。2003年的《审计署关于内部审计工作的规定》中对内部审计进行重新定义：“内部审计是独立监督和评价本单位及所属单位财政收支、财务收支、经济活动的真实、合法和效益的行为，以促进加强经济管理和实现经济目标。”这个定义增加了内部审计评价的职能，以及增加了内部审计的目的为促进加强经济管理和实现经济目标。2003年《内部审计基本准则》中对内部审计进行了第五次定义，规定：“内部审计通过对经营活动的评价和审计检查，对内部控制适当的把握，并保证其合法性和有效性来促进目标实现，因此它是一种独立又客观的监督评价活动。”这个定义关注的是内部审计的监督和评价职能，而且主要关注经营活动和内控的适当性、合法性和有效性，主要是为组织管理服务。

二、内部审计与风险管理的关系

（一）内部审计和风险管理二者是一种互动交融关系

风险管理系统是企业的重要预警系统，在对企业进行风险检测、识别和预警方面起着重要的作用。而内部审计作为公司治理的重要工具，可以为企业的健康、持续发展提供保证，风险管理与内部审计的融合能够为企业的发展贡献力量。风险管理与内部审计相互融合是改善企业营运状况，增加企业价值的客观需要，也是使其自身得以发展的有效途径。内部审计通过评价和监督风险管理过程，使其成为企业风险管理的一道重要防线。风险管理与内部审计已逐渐形成了“你中有我、我中有你、相互依存、不断发展”的密切关系（余玉苗，2004）。韩志丽（2005）从价值链着手，阐述内部审计与风险管理之间的互动关系，通过内部审计与风险管理之间的这种互动，使得企业整体风险管理水平不断提升，同时也促进了内部审计的持续发展。刘丽云（2006）分析了内部审计和风险管理之间的关系，指出：“内部审计应在定义上融入风险管理，在目标上和风险管理相互统一，在职能上强调对风险的鉴证与咨询，在服务领域上扩展到评价和改善风险管理流程。”随着企业风险管理水平的提高和内部审计在风险预警和风险管理中发挥作用的职能逐渐增加，内部审计和风险管理之间的联系越来越密切，内部审计应积极转型与企业风险管理相结合（魏文婷，2014）。在企业的经营活动中，风险本身就是内部审计的有效对象，将企业的内部审计与风险管理进行有效的联系与融合，是企业未来发展的必然趋势。

（二）风险管理是内部审计的重要组成部分，将主导内部审计的变化

对企业风险管理进行监督和评价是内部审计发展的必然要求，内部审计的范围已经延伸到企业风险管理和公司治理，风险管理已成为内部审计的一项重要内容。2002年，国际内部审计师协会在《全面风险管理：发展趋势和新的实践总结》一文中指出：“21世纪企业管理过程的重点将会是风险管理，风险管理不仅会影响企业如何委派首席风险官向首席执行官和董事长报告工作，而且也会影响内部审计的执行。”Robert.R.Moeller（2006）在《布林克现代内部审计学》中指出：“风险管理是内部审计计划和评估过程的重要组成部分，内部审计人员需要理解风险，并将审计工作的重点尽量集中在高风险领域。”风险管理的变化主导着内部审计的变化，而内部审计在企业风险管理中的主要职责就是对风险管理过程进行再监督、再评价（王光远，2007）。风险管理是企业管理的核心，需要内部审计的协助，内部审计在企业风险管理控制过程中发挥的作用相当大，现代企业管理应该建立健全内部审计的综合风险管理体系，使之与企业各级风险管理组织系统相配合，企业风险管理工作应当成为企业内部审计工作的一部分和主要内容。

（三）内部审计是风险管理系统不可或缺的部分

内部审计在企业中承担着审查并参与企业的风险管理流程、为风险管理提供确证服务、促进风险的识别与评估等重要职责。内部审计部门和内部审计人员参与企业的风险管理已经成为必然的内在需求。内部审计参与企业的风险管理，将会使内部审计在企业管理中发挥重要的作用，并将其在企业风险管理中的作用推向一个更高的层次（许叶枚，2009）。赵婷婷（2011）提出内部审计是风险管理的一种方法、手段，而风险管理则是内部审计的一项新的内容、一个新的领域，内部审计成为风险管理的重要组成部分。马欢欢（2012）明确阐述了企业风险管理与内部审计之间的关系，内部审计在企业的风险管理活动中扮演着重要的角色，对降低企业经营活动风险、加强企业风险管理具有重要作用。王兵、刘力云、张利民（2013）指出我国加入WTO后，内部审计的重心转变为以内部控制、风险管理为导向的管理审计为主，内部审计在加强风险管理、完善组织治理、建立现代企业制度等方面发挥着越来越重要的作用。在当前市场经济环境下，风险管理的有效性在对企业的生存和发展方面的作用日渐显著。内部审计对企业的财务状况和经营管理情况进行指导和监督，评价并改善企业面临的风险，已成为企业风险管理系统的重要部分。

三、内部审计在企业风险管理中的作用

（一）内部审计在企业风险管理中能够增加企业价值

内部审计能够客观地检查与评价企业整体风险管理状况，指导企业的风险管理策略，对企业风险管理效果进行反馈，以及对企业的风险管理进行预警和监督，能够提升企业价值。Mcnamee & Selim（1999）指出：“在高速发展时期，企业管理者需要了解发展过程中可能遇到的各种风险。因此，内部审计人员要在风险环境中观察企业的业务流程，识别和评估企业面临的风险，提出应对和防范风险的建议，从而为企业增加价值。”贾云洁（2009）探讨了企业内部审计与企业战略的匹配从而形成的增值作用对企业价值的影响，并提出内部审计提升企业价值的主要途径。吕秀芝（2010）分析了内部审计给企业带来增值作用的途径和作用领域，指出内部审计通过内部独立的审核和咨询活动的展开能够帮助企业实现自身价值的最大化，是一种有效的增值手段。沈维成（2011）指出内部审计是企业风险管理的重要组成部分，其通过降低企业运营风险来实现企业价值的增加。在风险管理环境中，内部审计可以为企业风险管理部门提供咨询服务，促进企业价值的提升，风险管理视角下内部审计对实现企业价值增值有重要的现实意义。

（二）内部审计能够从整体上防范和管理风险，有利于减少风险损失

内部审计部门可以从全局出发、从客观的角度对企业面临的风险进行识别，及时建议企业管理部门采取措施防范和控制风险。Masaaki（2012）指出：“内部审计是一种独立、客观的鉴证和咨询活动。在全面风险管理方面，内部审计人员的职责就是向董事会提交有关风险管理充分性和有效性的鉴证。”胡静波、李卜（2012）提出内部审计通过监督活动来有效达到企业经营目标，它帮助企业将风险控制在合理的范围内，评价、防范和控制风险的发生和蔓延，并加以改进和完善。姜洪研（2013）指出内部审计人员能够独立地分析、评估和监控风险，并检查风险防范措施，帮助企业管理风险，降低风险损失。李萍（2014）指出内部审计并不参与企业特定的业务活动，使其能够从全局的视角对企业面临的风险进行防范和控制，从而对企业整体的风险管理进行统筹规划。王晨（2016）指出内部审计可以通过风险管理促进内部控制的完善，能够从全局角度客观地管理风险，控制、引导企业风险策略，减少企业风险。内部审计在企业风险管理和内部控制中扮演着重要的角色，内部审计通过对企业风险管理进行评价、监督并提出改善风险管理和内部控制的建议，从而帮助企业优化风险管理体系，降低风险，提高企业运营效率。

（三）内部审计有利于完善公司风险管理流程，提高公司治理水平

在风险管理视角下，内部审计可以有效地监控、改善企业风险管理体系，提高企业的运行效率和治理水平。内部审计在企业风险管理中具有独特的优势，有助于公司治理的M一步完善。Vijayakumar A. N， Nagaraja N（2012）在分析企业运作特点的基础上，指出风险管理视角下的内部审计模式可以有效地监控、改善公共企业风险管理体系，提高公共企业的运行效率。陈瑞敏（2012）分析了内部审计在企业全面风险管理中的重要作用，指出内部审计能够帮助企业完善其法人治理结构，提高公司治理水平。余琛（2013）指出科学的内部审计方式有助于完善企业的组织管理，提高企业的管理水平，有助于企业达到预期的经营目标。徐夏青（2013）指出内部审计参与企业风险管理与公司治理，除了关注传统的内部控制之外，更加关注有效的风险管理机制和健全的公司治理结构，即通过全面参与企业风险管理，提升企业的治理水平。张巧红（2015）从企业面临风险特征及风险形成原因入手，探讨了内部审计在风险管理中的作用，通过系统的、规范的方法，将风险导向贯穿内部审计工作，评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标。内部审计参与企业风险管理，能够促使企业建立更有效的风险管理机制，从而帮助企业提高自身竞争力，实现企业的经营目标。Z

参考文献：

[1]王兵，刘力云，张立民.中国内部审计近30年发展：历程回顾与启示[J].会计研究，2013，（10）.

[2]贾云洁.从战略角度谈内部审计价值增值策略[J].审计与经济研究，2009，（2）.

[3]王晨.企业风险管理中的内部审计研究[J].经济研究导刊，2015，（11）.

篇（2）

【关键词】内部审计;风险管理;角色定位

自20世纪90年代起,西方许多大型企业内部审计部门开始对企业的风险管理进行评估与监督,以实现企业经营目标的安全性、效率性和效果性。纵观近十几年的发展历程可发现,两者之间互相融合,存在着密不可分的关系。

一、二者互动交融关系形成的现实背景

当今世界,风险无时不在、无处不在,随着时代的发展,企业所面临的风险变得广泛而复杂。企业必须谨慎地识别各种潜在风险,加强风险管理,并在风险管理方案的制定、执行、评估与监督等方面进行合理分工,以保证风险管理的效率。而在整个风险管理过程中又必然涉及多个部门的沟通和协调,这就需要一个超然、独立的组织机构予以保障。内部审计部门在企业中的超然地位以及独立评估和监督的特殊职能,正好满足了这一要求。因此,企业风险管理必然要将内部审计纳入自身体系。

随着企业所面临风险的增加,风险管理成为了企业管理的核心。由此,内部审计也借机及时进行了自身的重新定位,改变了过去只是作为企业财务监督者的定位,将自身的目标确定为向企业提供保证和咨询服务,评估和改善风险管理、控制和治理程序。这样,企业风险管理和内部审计两者各自不同的发展路线逐渐接近并找到了交点。

二、内部审计与风险管理的互动关系

(一)内部审计定义中包含有风险管理的内容

内部审计从产生到现在已经历了几个世纪,每个时期内部审计的概念都有不同的内涵和外延。国际上,内部审计已有7次定义,至今仍在不断变化,内部审计定义的发展在内部审计史上具有重要意义。

风险管理改变着内部审计的定义,也就同时改变了内部审计的职能和在企业中的价值。1993年版《标准》的序言中对内部审计的表述是:在一个企业内部建立的一种独立的评价活动,并作为对该企业的控制及经营活动进行审查和评价的一种服务。而2001年版对内部审计是如下表述的:内部审计是采用一种系统化、规范化的方法来对机构的风险管理、控制及监督过程进行评价进而提高它们的效率,帮助机构实现目标。这个定义与1993年的定义相比较最明显的变化在于将内部审计的范围延伸到风险管理,比旧定义中提及的控制及经营活动要更为广泛和深入。只有在风险管理框架中实施的内部审计才能称之为风险管理审计。显然,将“评价和改善风险管理”作为内部审计的重要工作领域,是内部审计的新发展,扩大了内部审计的领域,拓展了内部审计的广度和深度,对内部审计的重新定位,修订内部审计准则,重整内部审计流程,提高审计服务质量等提出了较高的要求。

(二)风险管理赋予了内部审计在企业中新的地位和作用

为了在企业中担当更重要的角色和发挥更重要的作用,内部审计总是在不断寻找新的对企业十分重要的领域。风险的广泛存在,使企业经理人员对风险空前重视,为内部审计发展提供了一个绝好的机会。内部审计对风险管理的介入,将会使内部审计在企业中成为一个极其重要的角色,并将其在企业中的作用推向一个新高度。正因如此,内部审计师的职业组织——国际内部审计师协会才不遗余力地倡导内部审计师进军这一领域,把风险管理作为内部审计的重要领域直接写入了内部审计的定义。

三、内部审计与风险管理目标上的一致性

风险管理的定义指出:“企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的,为企业目标的实现提供合理保证的过程。”风险管理就是通过对面临的各种风险的认识、估测、评价,准确把握各种不确定性,采取恰当的内部方法,以便用最低的成本获得最高的安全保障,将损失降至最低水平。风险管理通过测试、评价和控制风险因素来降低风险事件发生的概率和造成的损失,直接服务于实现企业目标。21写作秘书网

而在内部审计新定义中,已明确指出内部审计的目的是为机构增加价值并提高机构的运营效率。IIA在2001年修订的《内部审计实务标准》中,对“增加价值”一词作了如下解释:“机构的设立,是为了其所有者、其他利益方、顾客和客户创造价值和谋取利益……内部审计是在收集资料、认识并评价风险的过程中,对经营与改良时机产生了深刻的见解,这些见解可能会对机构带来诸多利益。这些有价值的信息可以咨询、建议、书面报告或通过其他产品的形式呈现出来,所有这些得传达给相应的经营管理人员。”根据这一解释,增加价值的目标应由企业的各个职能部门来共同完成,而内部审计部门作为企业的职能部门之一,也应该努力增加企业的价值;同时,内部审计部门经过收集资料、识别并评价风险的过程之后,对企业管理层及其他职能部门的见解更为深刻,而且这些见解是富有价值的,而企业管理者采纳、利用这些有价值的信息后,一方面可以借此消除各种减值因素,包括风险因素、控制漏洞、治理缺陷等;另一方面可以将这些有价值的信息应用于经营管理活动,从而达到使企业增值的目的。从这个意义上来说,风险管理与内部审计在其目标上是相一致的。

上述种种使企业风险管理与内部审计逐渐形成了你中有我、我中有你、相互依存、联动发展的紧密关系。众多企业在制定本企业风险管理方案时,将内部审计列为风险管理的一道重要防线,由内部审计对整个风险管理流程进行评估和监控;有的企业还特意安排内部审计直接参与风险管理方案的制定和执行全过程,以发挥内部审计在风险管理中的突出作用。与此同时,内部审计也将风险管理作为“为组织增加价值”的重要手段。

四、内部审计在风险管理中的角色定位

COSO在《企业风险管理——整合框架》中的“职能和责任”章节,阐明各管理层在全面风险管理中的地位和职责,并指出组织里的每个人对全面风险管理都有责任。首席执行官承担最终责任,其他管理人员支持全面风险管理的理念,促使组织在风险容量内经营,并在各自负责的领域里负责将风险降低到相应的风险容忍度内。首席风险官、首席财务官、内部审计及其他人员通常承担关键的支持性责任。组织的其他人员负责按照制定的指令和协议执行全面风险管理。这明确表明,内部审计对全面风险管理的建立并没有基本责任,这是高级管理层的责任。内部审计人员的重要角色是,帮助管理层和审计委员会监督、检查、评估、报告、建议全面风险管理过程的充分性和有效性。

IIA2001年颁布的内部审计实务准则,其实务公告——“内部审计在风险管理中的作用”指出,风险管理是管理人员的关键职责,内部审计人员应该通过检查、评价、报告风险管理过程的充分性和有效性并提出改进建议来协助管理人员和审计委员会的工作。管理层和委员会负责机构的风险管理和控制过程,以咨询顾问身份开展工作的内部审计人员可以协助机构确定、评价并实施针对风险的管理方法和控制措施。

在充分考虑内部审计的独立性与客观性的基础上,结合相关法规、报告的观点,可以看出:对整个组织的可持续发展能力,对所有者、利益相关人、监管机构和普通公众负责的是企业管理层,内部审计人员应立足于协助、帮助管理层和审计委员会履行风险管理的职责,主要职责是对整个风险管理过程进行评价,认定并评价管理的充分性与有效性,向管理层和审计委员会报告情况并提出改进管理的建议,以此保证风险管理的有效性。因此,内部审计在企业风险管理框架中首要的角色是监督者,包括对风险管理流程的评估和保证服务、对风险评估准确性的保证服务、对关键风险报告的评估和对关键风险管理的评估。按IIA的标准,内部审计的服务种类可以划分为保证服务和咨询服务,前者是一种独立评价的活动,后者是提供建议及咨询的活动。在企业风险管理中,内部审计的本质特征并不发生改变,因而它可以担任的角色也是基于这两种服务衍生而来的。除了作为监督者所提供的保证服务外,内部审计还可提供咨询服务,包括促进对风险的识别和评估、指导和协调风险管理活动、加强对风险的报告、保持和发展风险管理框架、支持建立风险管理、参与制定风险管理战略等。与此相适应,内部审计承担了咨询者、协调者、建议者的角色。

【参考文献】

篇（3）

1、审计风险的定义

制度基础审计是以评价被审计单位内部控制系统为导向的审计模式。它从检查被审计单位内部控制系统入手，要求注册会计师在对内部控制进行全面了解、研究和评价的基础上确定实质性测试的性质、时间和范围，收集审计证据，形成审计意见。

基于对制度基础审计的认识，国内外审计职业界对审计风险的理解总的来说都认为审计风险问题实际上是一个审计质量问题，是指注册会计师发表不恰当审计意见的风险。所不同的是，美国注册会计师协会（AICPA）定义审计风险时加入了“无意地”一词，这就意味着它把注册会计师有意发表错误意见视为舞弊排除在审计风险之外；而中国审计准则和国际审计准则没有提及有意或无意的问题，也就意味着“有意”“无意”地发表审计意见的可能性均涵盖在审计风险的定义范围内。

2、审计风险模型

尽管上述三方对审计风险定义的表述有所不同，但中国审计准则和国际审计准则对外公布的审计风险模型却与AICPA的一致，都为：审计风险（AR）=固有风险（IR）*控制风险（CR）*检查风险（DR）。其中，固有风险是指假定不存在相关内部控制时，某一账户或交易类别单独或连同其他账户或交易类别产生重大错报或漏报的可能性。控制风险是指某一账户或交易类别单独或连同其他账户或交易类别产生重大错报或漏报，而未被内部控制防止、发现或纠正的可能性。检查风险是指某一账户或交易类别单独或连同其他账户或交易类别产生重大错报或漏报，而未被实质性测试防止、发现或纠正的可能性。

3、制度基础审计模式下的审计风险及其模型的缺陷

经过深入研究发现，上述审计风险定义及模型存在许多缺陷：

第一，审计风险定义过于狭隘，它忽略了这样一个事实：即使财务报表没有重大错误，注册会计师也会因各种原因而发表不恰当的审计意见的可能性。

第二，该审计风险模型仅仅从审计过程上把审计风险划分为固有风险、控制风险和检查风险，未能从审计过程之外分析审计风险产生的深层次原因。而实际上，审计风险是审计内环境和外环境共同作用的结果。

第三，最令人遗憾的是，上述审计风险模型没有包括被审计单位的经营风险。事实上，经营风险已实实在在危及审计职业界，如安然事件的爆发导致了有百年历史的会计公司巨人之一的安达信的破产。这有两个原因：一是因为现代审计广泛采用抽样技术，存在审计不能发现重大错误的风险。二是因为随着现代经济的迅速发展，企业的规模越来越大，经营风险不断加大，经营失败的可能性也逐渐加大。当某一公司破产或无力偿还债务时，报表使用者通常会指责审计失败。

第四，制度基础审计方法对固有风险的评价流于空泛。对于固有风险，它体现出的是被审计单位会计报表中实际存在的错报和漏报，在注册会计师审计过程中它已经成为事实，注册会计师无法改变它。在审计实践中，从稳健角度出发，一般假定其水平为100%。所以，该模型实际上就没有考虑固有风险的实际情况，从而使注册会计师对固有风险的评估就常常流于形式。

第五，制度基础审计模式下的风险概念体系不一致。上述三方公布的审计风险不尽相同，但审计风险模型却完全相同，这在逻辑上是无法成立的。

二、风险基础审计模式下的审计风险定义及其模型

风险基础审计是在制度基础审计的基础上发展起来的，代表了现代审计方法发展的最新趋势。它以被审计单位的风险评估为基础，综合分析影响被审计单位经济活动的各种风险因素，并根据量化的风险水平确定实施审计的范围和重点，进而实施实质性测试的一种审计方法。

这里我们有必要重新界定风险基础审计模式下审计风险的定义及其模型。

1、经营风险与广义的审计风险

目前，经营风险有两个含义，一是企业没有达到预期经营目标的可能性；二是指企业在经营过程中所面临的种种不确定性。美国审计学家阿伦斯将经营风险定义为“存在企业由于经济或营业条件，如经济萧条、决策失误或同行业之间意想不到的竞争等，而无力归还借款或无法达到投资人期望的风险”。国内有的专家将经营风险定义为“预期收益减少与损失发生的概率”。本文赞同阿伦斯的定义，即经营风险是指企业没有达到预期经营目标的可能性。

2、重识固定风险

与制度基础审计对固有风险的评估流于形式不同，风险基础审计非常重视对被审计单位固有风险的评价。它要求将了解被审计单位情况看作是减少审计风险的重要组成部分，要求注册会计师通过了解，形成对被审计单位固有风险的评价。这种评价就是分析发现企业的战略风险、经营风险区域，然后测试评价风险区域的内部控制有效性，并重点审查这些风险区域。风险基础审计方法虽然也考虑内部控制制度的作用，但它将关注的重点首先放在对财务报表更有影响的企业经营目标、战略措施和经营活动的分析之上，以求从企业的经营环境和经营活动的整体上来把握财务报表的固有风险。因为企业如果经营目标、发展战略有问题，经营活动出现严重困难时，管理层就会有严重的财务报表作假动机，这时内部控制无法起作用。从这个角度出发，我们可以认为：固有风险（IR）=战略风险（SR）*经营风险（BR）。在这里，我们姑且仍用固有风险这一概念，但其内涵与制度基础审计时的固有风险的内涵大不相同。此时审计风险控制的关注点已经落到了对固有风险的分析评价上。

由于风险基础审计和制度基础审计在进行符合性测试和实质性测试时，审计程序基本相同，故在两种审计模式下控制风险和检查风险是一样的。

3、诉讼风险

审计诉讼风险是指在控制风险和检查风险之外，会计师事务所和注册会计师所面临的可能使其遭受损失的可能性。审计风险模型必须考虑诉讼风险，原因有三：

第一，广义审计风险必须与损失相联系。发表不恰当的审计意见和经营风险只是产生审计风险的一个因素，只能算是一个潜在的审计风险。也就是说，发表不恰当的审计意见和经营风险只是审计风险产生的一个前提条件，而不是充分条件。因为如果没有人追究审计的责任，注册会计师无须承担任何损失。即使他们发表了不恰当的审计意见，审计风险也为零。

第二，这里的“损失”，不仅包括现实经济损失，也包括潜在经济损失；不仅包括可以计量的经济损失，也包括不可计量的精神损失。潜在的经济损失包括：注册会计师及其所在会计师事务所的信誉受到损害而带来的对未来收益的影响；精神损失包括：会计师事务所被撤消，注册会计师受到行政处分或刑事处罚。

第三，风险基础审计产生的初衷即使注册会计师面对“诉讼爆炸”危机，为了减少诉讼风险而采用的一种新的审计方法。诉讼风险应该包含在审计风险模型中也就理所当然。

4、新的审计风险模型

基于以上的分析，我们可以重建风险基础审计模式下的审计风险模型，即审计风险（AR）=战略风险（SR）*经营风险（BR）*控制风险（CR）*检查风险（DR）*诉讼风险（LR）。

与制度基础审计模式下的风险模型相比，上述风险模型有如下的优点：

第一，保证了风险基础审计模式下的风险概念体系的一致性。经营风险是风险基础审计的核心，它既体现在审计风险的定义中，又包括于审计风险模型中，保证了风险概念体系的前后连贯性。

篇（4）

随着企业内外部环境的不断变化，企业在寻求自身发展和经营管理的过程中，面临的风险因素不断增多且更加复杂多变，这些风险成为企业深入发展和提高竞争力的制约因素。因此，风险管理越来越受到企业的重视。内部审计是企业内部控制的一个重要组成部分，在企业中具有独特的地位和作用。随着审计创新，一些内部审计组织开始介入风险管理，并将其作为内部审计的重要领域。内部审计参与企业风险管理不仅可以推动企业建立有效的风险管理体系，使企业在竞争中处于有利地位，同时，也拓展了内部审计的工作范围，促使内部审计人员提高自身素质，有效防范内部审计工作风险。

一、内部审计和风险管理概述

（一）内部审计的相关概念

内部审计之父索耶关于内部审计的定义是：对组织中各类业务和控制进行独立评价，以确定是否遵循公认的方针和程序，是否符合规定和标准，是否有效和经济的使用了资源，是否在实现组织目标。在2011年1月国际内部审计师协会（IIA）的新版的《国际内部审计专业实务框架》中，内部审计全新定义为：内部审计是一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法，评价并改善风险管理、控制及治理过程的效果，帮助组织实现其目标。

内部审计和政府审计、外部审计并列为三种主要审计业务之一。内部审计作为企业内部的经济监督机构，虽然不参与企业内部的经营管理活动，但主要对各项经营管理活动是否达到预定目标、是否遵循了单位的规章制度等进行监督，属于单位内部控制体系的一个组成部分。

（二）风险管理的相关概念

风险是指可能发生的损失、失败或伤害的意思。它是不以人的意志为转移的，在一定环境和期限内客观存在的，导致费用、损失与损害的产生，能够用科学的定量和定性方法进行的不确定性管理，具有客观性、普遍性、必然性、可识别性、可控制性和多样性等特点。

企业风险管理是一个过程，它由一个主体的董事会、管理者和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。确切地讲，风险管理通过了解企业及其市场情况，辨识风险，分析风险，评估风险，设计并实施风险管理解决方案，并不断监测风险管理过程而使企业达到其战略目标。一般情况下，企业风险管理由内部环境、目标设定、事件辨别、风险评估、风险反应、控制活动、信息和交流以及监督等八个方面组成。

二、内部审计和风险管理的关系

内部审计与企业风险管理有着紧密的联系，风险管理是公司治理的核心，内部审计作为公司治理的自我调控机制，与风险管理密不可分。

（一）内部审计定义中包含有风险管理的内容

内部审计从产生到现在已经历了几个世纪，每个时期内部审计的概念都有不同的内涵和外延。国际内部审计师协会（11A）自1941年成立至今总共发表了7个内部审计定义，这些定义的修改和发展，记录了内部审计职能的发展过程，在内部审计史上具有重要意义。1947年国际内部审计史协会在首次公布的《内部审计师职责说明书》中将内部审计第一次定义为：“内部审计师建立在审查财务、会计和其他经营活动基础上的独立评价活动。它为管理提供保护性和建设性的服务，处理财务与会计问题，有时也涉及经营管理中的问题。”这个定义首次将内部审计定位为“独立评价活动”，也首次提出了为管理服务的方向。1957年国际内部审计师协会对定义作出了修改，首次提出了内部审计“是一种衡量、评价其他控制有效性的管理控制。1971年、1978年、1981年、1990年与1999年，国际内部审计师协会又分别对内部审计的定义进行了修改，内部审计的职能由经营审计扩大到管理审计阶段，表明内部审计师管理的延伸，是管理活动的重要组成部分。在风险导向审计阶段，将变化的风险管理模式融入内部审计程序，使内部审计更加注重风险管理，注重组织经营的未来前景。

（二）风险管理赋予了内部审计在企业中新的地位和作用

为了在企业中担当更重要的角色和发挥更重要的作用，内部审计总是在不断寻找新的对企业十分重要的领域。风险的广泛存在，使企业经理人员对风险空前重视，为内部审计发展提供了一个绝好的机会。内部审计对风险管理的介入，将会使内部审计在企业中成为一个极其重要的角色，并将其在企业中的作用推向一个新高度。正因如此，内部审计师的职业组织——国际内部审计师协会才不遗余力地倡导内部审计师进军这一领域，把风险管理作为内部审计的重要领域直接写入了内部审计的定义。

（三）内部审计在风险管理各阶段中的作用

1、对风险管理的环境进行分析。主要包括内部审计师评价、分析企业内部环境和企业外部环境的发展情况和趋势、企业的优势和劣势、外部的机会和威胁，并在此基础上结合企业风险偏好来制订经营目标。对内外环境信息进行评价，最大限度减少由于信息的不准确、不及时、不完整所造成的决策失误。通过内部审计，对敏感信息的接触进行授权限制，保证来自企业内部和外部的相关信息以一定标准进行确认和传递，维护信息渠道畅通。

2、对企业经营战略、经营目标的风险管理提供建议。协助企业建立风险管理的决策机构，将其纳入内部控制制度的范畴，尽可能地提高该机构的专业化程度，以提高决策的科学性、准确性。

3、对风险事件进行识别。内部审计部门通过运用决策分析、统计预测分析、可行性分析、流程图分析、资产负债分析，对原有的已识别风险是否充分进行评价。主要风险有：财务和经营管理信息不对称导致决策错误、资产流失、资源浪费和无效使用、顾客不满意、企业信誉受损等。

4、积极参与风险评估。内部审计部门应用各种管理科学技术，采用定性与定量相结合的方式，估计风险大小，找出主要的风险源，并评价风险的可能影响，对风险采取相应对策。

5、指导实施科学的风险反应。内部审计以其独立性、全局性在风险事件发生时，指导企业实施科学有效的风险反应。对已识别的经营风险，企业如果认为该风险已经超出企业承受能力，企业会采取措施转移或避免这些经营风险。内部审计部门的责任是对有关部门采取的应对措施进行检查，检查其是否充分、得当。对于风险缺乏充分的控制的情况，内部审计部门和人员应提出指导性措施和建议，强化企业的风险管理，降低风险损失。

6、跟踪与评价风险控制活动。内部审计的重要职能是通过对企业风险活动的评估和检查，发现企业风险控制活动的缺陷和漏洞，分析经营管理过程中的偏差和失误，改善企业经营管理，提高经济效益。

（四）内部审计与风险管理目标上的一致性

内部审计部门作为企业的一个职能部门，与企业其他职能部门一样，都应服务于企业的增值目标。内部审计的目标是为了对企业所有者、其他利益方、顾客和客户创造价值和谋取利益，并提高企业的运营效率。内部审计部门在收集资料、识别和评价风险的时候可以为企业管理者提供有用建议，和企业其他部门一起增加企业价值。风险管理是通过对面临的各种风险的识别、评估，采取适当的内部方法，用最低的成本获得最高的安全保障，从而达到企业效益的最大化。从这个意义上来说，内部审计和风险管理的目标是相一致的，都是为了实现企业利润最大化。

三、结语。风险管理是企业管理的重要内容，是一个把内部审计作为有机组成部分的大管理系统行为，而内部审计是企业管理的子系统，企业内部审计的所有活动都要以改善管理绩效和增加企业价值为目标。内部审计与企业管理的目标均是力争实现企业价值最大化。内部审计参与风险管理是新形势下企业生存与发展的客观需要，也是企业管理层的内在需要。内部审计通过发挥其在风险管理中的作用帮助企业改进风险管理，从而为企业增加价值。

参考文献：

篇（5）

一、背景

环境风险是指在自然环境中产生的或通过自然传递的，对人类健康和幸福产生不利影响同时又具有某些不确定性的危害事件。由于环境风险区别于传统环境问题，具有巨大的不确定性，逐渐发展出一种新的针对环境风险的环境风险评价制度。环境风险评价是指由一定的机关或组织，对具有不确定性的环境风险可能对人体健康、生态安全等造成的环境后果进行识别、度量、评估的过程或环境管理活动。

从20世纪90年代开始，我国的一些法律规范中提出了环境风险评价的内容。1993年，国家环保局颁布的《环境影响评价技术导则》规定：对于风险事故，在有必要也有条件时，应进行建设项目的环境风险评价或环境风险分析。同年的《基因工程安全管理办法》要求对基因技术进行安全评价。1996年，《农业生物基因工程安全管理实施办法》对农业转基因生物安全评价作了规定。2001年，《职业安全健康管理体系指导意见》对职业安全评价作出规定。2004年的《建设项目环境风险评价技术导则》明确指出：将建设项目环境风险评价纳入环境影响评价管理范畴。2011年公布的《外来物种环境风险评估技术导则》规定了外来物种环境风险评估的原则、内容、工作程序、方法和要求。2015年，环保部批准《尾矿库环境风险评估技术导则（试行）》，要求对运行期间的尾矿库进行环境风险评估。2014年修订的新环保法第39条规定“国家建立、健全环境与健康监测、调查和风险评估制度”，虽然只是国家建立、健全相关制度的义务的概括规定，但同时也使得环境健康风险评价制度第一次进入环保基本法。

二、从一个实践案例看我国环境风险评价制度的实施

（一）湖北荣成纸业有限公司热电联产工程简介

湖北荣成纸业有限公司拟建设一座热电联产中心，为公司生产和和临港工业园区企业供热，于2015年6月初通过环评。环评报告的环境风险评价包括五个部分。第1部分为环境风险评价的目的：分析和预测建设项目存在的潜在危险、有害因素、建设项目建设和运行期间可能发生的突发性事件或事故（一般不包括人为破坏及自然灾害），引起有毒有害和易燃易爆等物质泄漏，所造成的人身安全与环境影响和损害程度，提出合理可行的防范、应急与减缓措施，以使建设项目事故率、损失和环境影响达到可接受水平。

第2部分为环境风险评价程序图，主要包括风险识别、源项分析、后果计算、风险评价、风险可接受水平、风险管理、应急措施预案。第3部分为环境风险评价，报告指出，拟建工程环境风险主要包括：原煤堆场火灾风险事故、燃料油火灾爆炸、氨水罐泄露、粉尘爆炸、锅炉故障导致二f英增加外排。以事故发生原因为基础，将项目环境风险分为火灾爆炸、不可抗力、设备故障和人员管理四类。根据相关规定确定项目环境风险评价工作等级为二级。对项目的主要环境风险进行分析，主要对每类风险的发生原因进行了介绍，仅对二f英的事故排放可能对人体健康造成的影响进行了简要介绍。第4部分围绕原煤堆场火灾、油库、氨水罐、粉尘、锅炉、事故池、事故废水处理规定了环境风险事故防范措施。第5部分事故应急反映方案规定了预案的启动、职责与任务、现场警戒与疏散措施、事故上报程序与内容和善后处理。

另外，根据相关规定，建设项目环境风险评价是作为环境影响评价的一部分而存在的，所以环境风险评价部分没有独立的公众参与部分，项目环评的公众参与主要包括两种方式，一是媒体公示即两次在湖北省环保厅网站上进行了项目公示；二是公众参与调查表，对松滋市陈店镇全心村的83位居民和附近的3家单位进行了问卷调查。公众参与的结果显示，当地公众对建设项目的了解程度一般，部分人担心项目的运行会对生活环境和身体健康造成不利影响，大部分人认为该项目可以带动当地经济的发展，解决当地农民的就业问题，被调查者全部支持该项目的建设，无人反对该项目的建设。

（二）分析

从上文介绍的环境风险评价实例可以看出：1、我国建设项目环境风险评价将环境风险仅仅简要的分为火灾、爆炸和泄露三类，并局限在项目的突发性事件或事故可能造成的环境风险，并不对项目正常工作过程中的环境风险进行考量；2、环境影响评价对可能造成的人体健康和生态系统的不利影响的阐述不充分，从而环境影响评价的结论即风险是否达到可接受水平让人产生不信任感；3、环境风险评价的过程缺乏互动，不能体现评价结论对项目实施方案的具体影响，公众参与形式化、途径单一，公众意见对项目实施缺乏影响力；4、环境风险评价中仅规定了一些事前的预防措施，缺乏事中和事后监督和必要措施。

三、美国环境健康风险管理框架及其启示

（一）美国环境健康风险管理框架的基本内容

环境风险管理框架已成为国际上环境风险评价制度的发展趋势，在众多已制定的环境风险管理框架中，美国总统/国会风险评价和风险管理委员会的《环境健康风险管理框架》（1997）是最具影响力的框架，为多国制定框架时参考和借鉴。在1990年的清洁空气法修正案中，国会要求组成一个风险评价与风险管理委员会，委员会认为，应改变传统评价与降低风险的方法，以降低风险和改善健康状况为总体目标。委员会希望框架指导公共部门和私营机构有价值的资源投资在研究、评估、表征和降低风险中。

框架包括六个阶段：

1.定义问题并把它放在背景下

对科学的风险管理决策而言，首先需要正确界定问题。通过在复杂背景中识别和表征环境健康风险问题并描述它的特征，仔细考虑问题的背景，确定风险管理的目标和有权或有责任采取行动的风险管理者，并让利益相关者参与到过程中。

2.联系问题背景分析风险

阐明问题引起的事实和科学基础，在数量和质量上处理健康和生态风险，描述负面影响的特性、严重性、可逆性或可预防性。把问题引起的风险放在多源头、多媒介、多种化学物质和多风险背景下。了解利益相关者对问题引起的风险的认识。把问题引起的科学和背景方面的信息结合成问题对人类健康或环境产生的风险进行定性，同时考虑利益相关者的认识和其他社会文化的影响。

3.检查处理风险的选择

这一阶段包括确定可能的风险管理选择，评价选择的效果、可行性、成本收益、非计划中的结果和文化社会影响。这个过程可以在界定问题和考虑背景之后任何合适的时间开始。风险管理者和利益相关者获取了关于可行性、成本与效益分析和减少暴露、降低风险对改善人类和生态健康的贡献的正确评价之后，风险管理目标可能会被重新定义。利益相关者在确定和分析选择阶段发挥重要作用。

4.做出实施何种选择的决策

在框架的这一阶段，决策者基于最佳可得科学、经济和其它技术信息，确保决策考虑了问题的多种来源、多种媒介、多种化学物质、多种风险背景，做出符合成本收益具有可行性的风险管理选择。另外，优先预防风险，而不仅仅是控制风险，可能的话，使用命令―控制管理的替代性方案。一个富有成效的利益相关者参与过程可以对决策产生重要指引作用。

5.采取行动来实施决策

传统上，一直是管理机构的要求推动实施，工厂和市政当局通常是实施者。然而，当其他的利益相关者也能扮演重要角色时，成功的可能性会显著提高。利益相关者可能会包括：公共健康机构、其他公共机构、社区团体、市民、工厂、人和技术专家等。

6.对行动作出评价

在风险管理的这个阶段，决策者和利益相关者评价实施的风险行动以及它们的效果。评价工具包括环境健康监测、研究、疾病监管、成本收益分析和与利益相关者的讨论。在大多数情形，应定期评价。就像风险管理过程其他的阶段，利益相关者参与会让评价更有益。另外，评价中可能出现新信息，评价对了解框架的哪一部分需要被重复非常重要。

（二）美国环境健康风险管理框架的主要特点与启示

1.在更广泛的背景下定义风险

一个风险问题的背景的全面理解对于有效进行风险管理是非常有必要的，因为问题狭窄的背景无法反映风险情况的真实复杂性，造成风险管理决策和行动相比不是很有成效。

2.基于科学信息和最佳判断进行风险评价

风险评估者尊重在缺乏充分数据的情况下得到结论时风险和程序的客观科学基础非常重要。风险评估者应该向风险管理者和其他利益相关者提供看起来合理的，含有支撑不确定性和供选观点的具有证明力的评估，从而可以在可得信息的基础上作出风险结论。

3.利益相关者全过程参与

整个风险管理过程的利益相关方参与被认为是至关重要的。通过全过程参与，不同利益相关方全面沟通与合作，最终平衡各方的意见和观点以做出体现公众价值观的风险决策。

4.重复和评估

公众评论、协商、信息收集、研究或风险与选择的分析可能澄清或重新定义问题，使重心改变到一个不同的问题上，由于重要的新信息、观点和看法出现，风险管理过程会灵活而经常重复。评估对充分地履行职责和理智地利用稀缺资源至关重要。

四、完善建议

（一）在更广泛的背景下定义环境风险

当前我国环境风险评价制度的规定主要集中在建设项目、外来物种、尾矿库、基因工程和职业安全领域。其中，建设项目环境风险评价仅适用于涉及有毒有害和易燃易爆物质的项目，排除了有巨大环境风险的核建设项目，而且因为它是以环境风险事故的防范为导向，导致它对环境风险的定义过于狭窄，仅对突发性事件或事故引起的有毒有害、易燃易爆等物质泄漏进行风险评价，排除了非事故情形下，项目正常运营下可能产生的环境风险。《尾矿库环境风险评估技术导则（试行）》适用于运行期间的尾矿库，不适用于贮存放射性尾矿、伴有放射性尾矿的尾矿库环境风险评估，同建设项目环境风险评价，它也只考量尾矿库可能引发突发环境事件的危险因素。《外来物种环境风险评估技术导则》主要适用于规划和建设项目可能导致的外来物种造成的生态危害的评估。《基因工程安全管理办法》和《职业安全健康管理体系指导意见》分别对遗传工程产品和职业安全风险评估进行了初略的要求性规定。整体来说，从我国环境风险评价的各个分散规定可以看出，我国环境风险的范围相对狭窄，而且一般孤立地考虑单一的化学物质在单一的环境媒介中引起的单一风险进行评价，从而也限制了我国全面、综合的环境风险评价。应改变以事故为导向的环境风险定义，逐步扩大我国环境风险评价范围，在更广泛的公共健康和生态背景下进行环境风险评价。

（二）明确环境风险评价的目标

环境风险评价的目标不应停留在防范风险层面上，而应进一步把环境风险评价的目标明确为保障人体健康和生态健康。防范风险虽然是环境风险评价的直观起点，但忽视人体健康和生态健康目标的环境风险评价是有违环境保护的根本宗旨的。实践中的环境风险评价正是因为缺乏对人体健康和生态健康的要求而导致实施的结果难以让人满意。为了配套环境风险评价保障人体健康和生态健康的目标，国家应积极开展环境健康与环境生态监测、调查与研究，为环境风险评价提供科学和数据支撑。

（三）保障利益相关方的参与

我国现有的利益相关者参与主要在建设项目（包括尾矿库）环境风险评价中得到一定的保障，因为环评对公众参与的要求，公众在其中可有享有一定的环境知情权、发表环境意见权和环境监督权等，但是，在实践中利益相关方的参与有走过场的倾向，处于弱势的利益相关方的环境知情权常常受到侵害，意见不能被充分的考虑，对环境风险评价的进程与结论不能产生实质影响。在外来物种、基因工程和职业安全领域，没有要求利益相关方的参与，利益相关方的环境知情权也难以得到保障。环境风险是一个多维的概念，还必须包括受影响方的观点。环境风险评价只有兼顾各方观点和需求，考虑不同群体的价值观、知识和认知，才能做出更好的风险管理决策，而在决策行动的过程中也不易受到利益相关者的反对和抵触。

篇（6）

摘　要：在体制上全面风险管理与内部控制分别由国务院国资委和财政部提出，并在国有企业中广泛实施，全面风险管理与内部控制在管控思想理念、方式方法等方面是相似或相同的。但由于分别有同的国家部分主抓，从而形成了在企业内部也会又不同的单位和人员来分别从事全面风险管理和内部控制管理，造成了企业内部机构设置繁冗、业务交叉重复等现象。因此研究全面风险管理与内部控制相融合非常必要。

关键词 ：全面风险管理；内部控制；融合

中图分类号：F275文献标志码：A文章编号：1000-8772（2015）10-0179-02

收稿日期：2015-03-20

作者简介：曹江涛（1976-）男，汉，陕西咸阳人，大学，会计师，陕西华燕航空仪表有限公司企业管理部部长，研究方向：企业管理。

全面风险管理是国务院国资委提出并推行的。全面风险管理是通过一定的方式识别出企业所有的风险，然后依据一定的标准对识别出的风险进行排序，寻找出企业应当重点关注的风险，再根据风险的属性采取相应的应对方案予以防范风险。其中绝大多数风险都是要依靠应对方案对风险进行控制，预防其发生或者将其控制在最小范围。

内部控制是财政部提出并推行的。内部控制是依据一定的标准对企业的流程进行审理，找出缺陷然后改进缺陷，以防止风险的发生。

可以看出全面风险管理与内部控制在管控思想理念、方式方法等方面是相似或相同的，但是在管理推进过程中，全面风险管理与内部控制形成了各自的体系，并在企业中并行开展。这样的做法在初期对于推动该两项项管理活动有很大帮助，但是也造成了企业内部机构设置繁冗、业务交叉重复、推诿扯皮、资源浪费等问题的出现。因此，研究风险管理与内部控制的融合具有很现实的价值。

一、组织体系的融合

全面风险管理与内部控制在组织体系设计上无论是层级还是职能都基本一致，所以便于融合。

全面风险管理的组织机构设置为三级，分别是风险管理委员会、风险管理办公室和部门风险管理小组（风险管理员）。其中，风险管理委员会是顶层决策机构，风险管理办公室是组织推进管理单位，部门风险管理小组是具体执行单位。

内部控制组织结构设置也分为三级，分别是企业级的内部控制领导小组、内部控制管理办公室和各部门内部控制管理员，其职能分别是决策、归口管理和实施。

因此，组织机构的融合可以采取合并方式，以全面风险管理组织机构为主，风险管理办公室在管理人员上要兼顾内部控制管理的专业人员。

二、管理语言的融合统一

在两个体系融合过程中建立统一的风险控制语言非常重要，有利于管理中信息的传递和管理行为的一致性，避免概念含糊不清导致的管理混乱。统一语言的原则是既可以保证语言的一致，也要保证两个体系的全面融合，避免融合过程中失去内控的对风险管理的辅助优势。

需要统一的语言首要的是对风险的名称定义方式，全面风险管理与内部控制对风险名称的定义办法完全不同。在全面风险管理中，对具体风险事件的名称没有统一规范，均采取描述的方式表达，描述规则是风险事件的“表现+影响”。例如：“应收账款超过诉讼时效导致无法收回”就是对应收账款风险中的一项具体风险事件的描述。对二级风险名称定义是按照业务类别定义的。例如财务风险可分为应收账款风险、现金管理风险、现金流风险等等。对一级风险名称的定义一般是按照风险的属性定义的。例如：战略风险、财务风险、市场风险、运营风险、法律风险等等。

在内部控制管理中，仅有缺陷的概念，而没有风险的概念，但缺陷导致的结果就是风险。内部控制对缺陷的分类是与流程级别对应的，也就是说一级流程缺陷、二级流程缺陷的名称定义方式是“流程名称+缺陷”。例如采购缺陷、采购付款缺陷等。缺陷所导致的风险也没有统一的命名方法，与风险管理一样是采用“表现+影响”的描述方法。

通过上述分析我们发现，对于具体风险事件的命名方法全面风险管理与内部控制管理基本是一样的。对于二级、一级风险（或者缺陷），全面风险管理与内部控制管理命名方法虽然不同，但全面风险管理一、二级风险包含了内部控制管理的一、二级缺陷，因此，在体系融合过程中，可以统一管理语言，即不再使用缺陷的概念，而统一使用全面风险管理的风险概念。

三、风险识别方法的融合

全面风险管理中，风险识别方法有初始信息识别法、分类识别法、头脑风暴识别法、流程分析识别法、价值链分析识别法等。通过这些方法的综合运用，识别出各业务单元、重要业务活动和重要业务流程中的风险。

内部控制识别缺陷（即风险）是通过对业务流程进行实际观察和穿行测试的方法，测试流程是否可以满足控制目标的方式来查找流程缺陷。内部控制识别缺陷的方法确定性很强，因此，该识别方法可以直接融入风险识别中来，为了管理中的语言统一，我们可以把内部控制的这种识别风险的方法命名为流程识别法。

这样的融合既满足了内部控制对风险的识别，也充实了全面风险管理对风险的识别方法。

除此之外内部控制还有通过不相容职务的识别来查找风险的方法。这个方法可以被风险管理借鉴，也作为风险识别的一个方法。

四、风险分析方法的融合

全面风险管理的风险分析就是在识别出风险的基础上，对风险发生的原因、风险发生的可能性以及风险发生后的影响进行甄别与描述。这一过程与内部控制基本是一致的。

内部控制在查找出缺陷的基础上也要对缺陷可能导致的风险进行分析与评价。两者的分析方法没有本质区别，因此完全可以合并融合。

五、评价标准的融合

在全面风险管理中，通过风险识别、风险分析后，依据事前制定的风险评估标准，对风险进行评估。评估是通过对风险发生的可能性和风险发生后的影响程度分别打分（1-5份），然后将这两个分值相乘所得的积作为对某一风险的评估值。而内部控制管理中，通过识别缺陷、分析缺陷后，依据事先制定的标准，根据缺陷的风险发生后的影响，分为重大缺陷、重要缺陷和一般缺陷。由于内部控制对于缺陷的评价仅限于影响程度层面，而且影响程度的评价与风险影响程度的评价维度基本一致，因此，可以将内部控制对缺陷的评价标准纳入风险评估标准中的风险发生后的影响程度这一维度中，并根据企业的实际情况对风险评估标准进行适当修改，以便可以充分反映出内部控制评价的要求。这样就可以实现全面风险管理与内部控制的评价标准的融合。

六、风险应对方案的融合

在全面风险管理中，对风险评估结束后，根据风险评估值的大小排序，企业选择其中重大、重要风险进行重点管控。对重大、重要风险的管控是通过制定相应的风险应对方案来实现的。应对方案包括制度、流程保障以及针对风险特性所制定的一系列措施。

在内部控制管理中，对缺陷评价后，无论缺陷重要与否，都应当制定措施、完善流程以达到最大限度地控制风险发生。

内部控制所采用的通过对流程梳理完善以达到控制风险的方法，其实也是全面风险管理中的重要方法之一，可以完全融入全面风险管理之中，即在风险应对方案中要求必须对相应的控制流程进行分析评估，对有缺陷的流程进行完善，以确保有效控制风险的发生。

七、体系的融合

所谓体系的融合就是要把现在的两个管理体系有机地融合在一起，包括组织体系、管理方法、管理语言、评价标准等，统一为一项管理，并能兼顾原来两个体系各自的优点。

通过对上述六个方面的分析，可以看出在全面风险管理与内部控制体系融合中采用吸收融合法可以满足原来两个体系的管控功能，即以风险管理体系为主，通过统一评价标准、统一语言、合并组织体系、融合识别方法、融合分析方法、融合评价方法和融合应对方案等措施，丰富和完善全面风险管理体系，取消内部控制管理体系。重点在评价标准修订、识别风险环节和风险应对环节充分吸收和兼顾内部控制管理的方式、方法，就能使原来的两个体系有机融合。

融合后对体系运行情况的审计评价，则由原来对两个体系的评价改为对一个体系的评价，评价方法不变。

八、融合前后的流程示意图对比

篇（7）

中图分类号：X820.4文献标识码： A

随着社会和铁路建设的发展，铁路建设的工程风险越来越引起人们的重视。铁路工程风险包括工程质量风险、经济损失风险、环境破坏风险、生命财产损失风险、工期延误风险等，且各风险之间相互交叉，关系错综复杂。为了进一步加强铁路建设工程风险管理，推进风险标准化管理，有效规避和控制风险，确保铁路工程建设安全，铁路工程项目从立项到建成后运行的整个生命周期中，都必须重视风险管理。作为铁路建设重要组成部分的铁路路基工程，与隧道工程相比，设计和施工风险相对较低，但由于其工程的特殊性，施工和运营中发生的问题仍然较多，路基工程的安全风险依然突出。本文通过对铁路路基工程的风险定义，风险因素和风险事件的识别，风险等级的评价和风险措施的初步研究，探索铁路路基工程风险评价的方法，促进路基工程风险评价的发展。

1风险的概念

对于风险（risk），联合国人道主义事务部定义为在一定区域和给定的时段内，由于特定的自然灾害而引起的人民生命财产和经济活动的期望损失值[1]。采用“风险度（R）＝危险度（H）×易损度（V）”的表达式。《铁路隧道风险评估与管理暂行规定》（以下简称“暂规”）中定义为：“在铁路隧道工程设计和施工期间发生人员伤亡、环境破坏、财产损失、工程经济损失、工期延误等潜在的不利事件的概率（P）和后果（C）的集合，表达式为R＝f（P，C）。上述两种关于“风险”的定义，其本质相同，但所涵盖的内容又有所区别，“暂规”的定义更符合铁路工程的特点，更具体明确。因此，借鉴“暂规”将路基风险定义为：在铁路路基工程设计和施工期间发生人员伤亡、环境破坏、财产损失、工程经济损失、工期延误等事件的概率和后果的集合。

2风险的识别

铁路路基设计阶段导致风险事件发生的风险因素（或因子）种类繁多，但归纳起来总体可以分成如下两大类：建设条件和设计方案。其中建设条件主要包括不良地质和特殊土，以及与既有建筑物的相邻与交叉等；设计方案主要包括特殊形式路基，挡护和地基加固与处理，新技术、新工艺和新材料和施工条件等。具体各风险因素及其可能导致的路基工程风险事件见表2.1所示。

表2. 1铁路路基工程设计风险构成一览表

3风险评价

3.1风险评价的几个假定

铁路路基工程风险构成十分复杂，为了便于风险评价，在 确保确保风险评价结果可信度的前提下，对评价过程进行几个假定。①假定路基风险评价模型为主因素决定型，即风险高低主要取决于在评价中起主要作用的那个因素，如深路堑路基，边坡高度为其风险主要决定因素，风险指标（C）的取值主要根据边坡高度指标进行取值。②假定表2.1中风险因素A、B、C三个指标层内各风险因子对风险事件的贡献是相互独立且地位相等的，不考虑指标对风险事件贡献的权重大小。③取同一风险因素造成期望损失最大的风险事件参与评价。

3.2风险因素的指标取值

C指标层危险度H的取值由风险评定人员根据工程经验和基础资料进行分值评定。参照“暂规”，假定风险事件的发生是在仅有风险因子Ci-j贡献时发生的，风险因子Ci-j对风险事件的贡献越大，风险事件发生的可能性越大，则H（Ci-j）的分值亦越大，即危险度越高。基于这一评分原则，对铁路路基风险因素各风险因子Ci进行评分，分值大小及评分依据见表3.1。

表3.1 风险因素Ci-j取值

3.3风险事件的期望损失

参照“暂规”，铁路路基工程风险事件发生后的期望损失主要表征为经济损失、人员伤亡、工期延误、环境影响等。多种损失同时产生时，采用就高原则确定风险损失等级。风险事件期望损失等级及评分见表3.3。分值越高，表征该风险事件发生后易损度越高。

表3.3 风险事件期望损失等级及评分一览表

险评价的方法

铁路路基工程风险评价以路基工点为评价单元，在勘察设计资料齐备的情况下进行。首先根据表2.1对待评路基工点进行主要风险因素和风险事件的识别并列表，然后结合工点特征，对识别出的风险因素指标层进行赋分值，同时对风险事件的期望损失进行定级赋分值。利用下述数理模型进行风险评价。

R＝Max（Hci*Vci），式4-1

式中：R――风险事件的风险度

Hci-j——风险事件发生的危险度

Vci-j――风险事件发生后的易损度

铁路路基工程安全风险等级由风险度R来表征，当1≦R≦2时，风险等级为I 级（低度风险）；当3≦R﹤5时，风险等级为II 级（中度风险）；当5≦R≦12时，风险等级为III 级（高度风险）；当R≧15时，风险等级为IV 级（极高度风险）。各级风险等级对应的风险措施见表4.1

表4.1 风险处理措施

5题例

杭长客运专线上饶站DIK340+200 ～GDK343+225，与既有浙赣线上饶站并站，分别设置杭长高速场和浙赣普速场，两场并行，合福铁路垂直通过，上跨设置高架高速场，杭长场与合福场通过联络线相联。其中既有场3道需废弃，改建为高速场G6股道，3道为紧邻既有站内正线。上饶站部分地段填高超过12m，为高填方路基，但其下压缩层不厚，采用挖除换填措施处理。上饶站因修建既有线关系，全段表层多为人工弃土，含大量块石，层厚约为0～11.5m，部分既有路基亦为弃土填筑。地基处理措施根据弃土厚度、轨道类型等，分别采用桩板结构、换填、CFG桩等处理措施。

5.1风险识别

设计方案风险因素

5.2风险评价

由表5.1可见，同一风险因素可能导致几种风险事件的发生，采用就高原则确定风险损失等级，即期望损失最大的风险事件为参评事件。例如联络线施工，废弃3道既有股道，增建高速G6股道（C3-3）风险因素可能导致的风险事件有导致既有线下沉，侵限既有线路基，导致既有线路基坍塌，影响既有线行车安全，发生重大安全事故。分析发现，威胁既有线安全，发生重大安全事故作为风险事件来说是灾难性的，直接的，后果更加严重，故建议把该事件作为C3-3风险因素导致的风险事件进行参评，不考虑另外两个可能风险事件。采用同一处理原则对表5.1进行风险事件就高处理和各因子赋分。

表5.2上饶站路基风险评价一览表

根据表4.1，上饶站路基风险等级为IV级，属极高风险，不可接受，必须高度重视。在施工中，应注意相关机具、人员对既有线的干扰，作好隔离和防护措施，相关施工影响既有行车安全时，施工方案应得到设备管理单位的批准。既有线施工中应加强对既有线的变形监测和作好应急预案，发现有变形迹象时应立即停止施工，按照相关预案进行处理。

6、结语

铁路路基工程建设条件多样，设计和施工措施繁杂，挡护和地基处理设计施工要求高，路基接口工程复杂多变，新材料、新工艺层出不穷等，为路基工程的风险评价工作带来挑战。主因素决定型风险评价模型对于发现路基工点潜在风险是可行的，属定性和半定量相结合评价模型，带有一定的人为主观性，风险评价结果的准确性和工程人员的个人从业经验和工点资料收集的完备程度关系很大。下一步研究的重点就是要细化各风险因子的赋分标准，尽量做到定量，减少人为主观性的影响。

参考文献

[1]卢全中，彭建兵，赵法锁，地质灾害风险评估（价）研究综述[J].灾害学.2003

[2]铁路隧道风险评估与管理暂行规定.铁建设〔2007〕200号

[3] 铁路建设工程安全风险管理暂行办法.（铁建设〔2010〕162号）

[4] 铁四院业务建设计划课题（ 2011YJ029）. 路基工程风险评估细则

篇（8）

近些年随着国内经济的快速发展，审计环境面临着较大的变化，同时也不断涌现出新的现象，而这些新事物的出现势必会增加审计的难度。所以我们有必要对审计风险进行再研究，不断加强企业的内部控制建设，以便于将审计风险控制在可以接受的程度。

一、审计风险、内部控制、审计控制风险定义

1、审计风险的定义

我国《独立审计具体准则第9号―内部控制与审计风险》将审计风险定义为：会计报表中存在重大错报或漏报，注册会计师审计后发表不恰当审计意见的可能性。而审计风险又由两方面风险构成：一方面是审计人员认为会计报表公允可以接受，但实际上会计报表却存在重大错报的风险；另一方面是审计人员认为会计报表存在重大错报而不能接受，但实际上是公允的风险。审计风险的产生既有注册会计师自身的主观原因，也存在审计方法的客观原因。因此，控制审计风险必须从注册会计师内部和其外部着手，并将两者有机地结合起来进行，才能取得良好的效果。

2、内部控制的定义

《独立审计具体准则第9号―内部控制与审计风险》将内部控制定义为：被审单位为了保证业务活动的有效进行，保护资产的安全和完整，防止、发现、纠正错误与舞弊，保证会计资料的真实、合法、完整而制定和实施的政策与程序。

3、审计控制风险的定义

审计控制风险是指被审计单位的业务和相应的会计处理发生重大错弊不能被内部控制防止和纠正的可能性。被审计单位建立内部控制的主要目的之一就是要防止错误和舞弊。如果被审计单位的内部控制制度存在重要的缺陷或者不能有效地工作，那么错误和舞弊就会进入被审计单位的财务报表系统，由此产生了控制风险。

二、审计风险的防范与控制措施

1、加强审计队伍建设，提高审计人员素质

审计风险的高低，在很大程度上都取决于审计人员个人素质的高低，因此审计人员应当强化风险意识，坚持实事求是，客观公正，并树立严谨踏实的工作作风，认真负责的对待每一项审计业务，严格按照独立审计准则进行审计，以确保审计质量，降低审计风险。加强基础建设，打造管理型、复合型的审计队伍，建立健全各项规章制度，抓好审计人员学习、培训工作，提高审计人员的实际应用能力，拓宽视野，更新知识面，掌握新业务的要点和风险点，提高工作效率。同时，加强理论与实践相结合，积极开展各项调研工作，为内控工作的开展奠定理论基础。

2、加强内部控制审计

内部控制审计的目的是合理地保证企业遵守国家有关法律法规和企业内部规章制度；信息的真实、可靠；资产的安全、完整；经济有效的使用资源，提高经济效率和经营效果等目标。由于被审计单位的内部控制制度存在一定的缺陷，所以被审计单位应从加强经济业务管理、内部控制制度与内部激励制度相结合、建立和完善内部控制评价体系三个方面完善内部控制制度，确保其经济活动经济资料合法性合理性。会计电算化与它的内部控制系统是相互作用和相互影响的。审计人员应选择适当的评价标准，实施适当的审查程序，以评价被审计单位的控制环境；评价企业风险管理机制的健全性和有效性；评价控制活动的适当性、合法性、有效性，控制活动对风险的识别和规避；评价企业获取及处理信息的能力，信息传递渠道的便捷与畅通，管理信息系统的安全可靠性。内部审计人员可以采用文字描述、调查问卷、流程图等方法对内部控制进行描述和评价。内部审计人员应向企业的管理层报告内部控制的审计结果。审计报告应说明审查和评价内部控制的目的、范围、审计结论、审计决定及对改善内部控制的建议。

3、创新内部审计

随着现代企业制度的完善，以“查错纠弊，堵塞漏洞”为主要目标的传统内部审计，已远远不能适应现代经济体制的要求。在审计思路上，要努力实现由传统内部审计向现代内部审计的转变，从事后审计向事前事中审计转变；在审计模式上，应探索构建从风险分析入手确定审计目标、范围和程序，以监督和评价财务状况、经营成果以及风险管理、内部控制和公司治理能力为审计成果，从以财务收支为主的审计，向以管理信息化和计算机审计为技术支撑的效益审计、管理审计转变；在审计目的上，从重视审计的独立性、权威性和强调审计监督，转为强调审计为企业服务，帮助企业实现其目标；在审计内容上，由财务控制向业务控制和信息系统转变，以审计经营活动为起点，以审计内部控制为主线，以审计会计核算、财务表现为终点，全面覆盖企业营运活动；在审计行为上，从不规范的随意性，向规范化、系统化和科学化方向转变。

4、内部审计要外部化

内审外部化是指审计业务由企业外部的民间审计组织全部或部分承担，主要有外包与合作两种形式。前者指企业将其内部审计工作全部或大部分外包给外部审计组织，后者指企业在开展内部审计工作时，根据需要借助外部审计力量，共同完成内部审计工作。内部审计外部化具有一系列优点，可以提高内部审计的独立性。外部审计工作一般都是由注册会计师领导完成，它们独立于企业的所有者和经营者，有一套保证审计准则受到遵循的机制，从而能够客观公正地对企业的财务状况进行审计并报告审计结果。同时，还为企业降低成本，因具有比较高的专业化程度，拥有丰富的经验和广阔的知识，可以提高和稳定审计质量。

5、健全组织结构，授权明确

组织结构的好坏直接关系着审计客体的生存，也影响着审汁风险的高低。组织结构中的各个机构、部门都各有自己的职责，明确授权与责任的关系，采取必要的步骤，保证内部控制的有效性，从而降低审计风险。

篇（9）

中图分类号：F407.1 文献标识码：A 文章编号：

滑坡是自然界中一种常见的地质灾害，它的发生一方面取决于其自身的自然条件(岩土结构、软弱面、水的活动性等)，另一方面也取决于自然应力或人类工程活动，它是自然变异与社会活动相互作用的产物，它所造成的直接影响包括人员伤亡、建筑物及公共设施损坏、自然及生态环境破坏等；间接影响包括打乱人们正常的生活秩序、投资重建整治工程等，它给人类带来的损失仅次于地震和洪水。

一、滑坡地质灾害风险分析的内容和过程

1、滑坡地质灾害风险的概念

鉴于国内外对滑坡、滑坡危险性、滑坡灾害风险等概念的定义和理解方面的差异，有必要对县域滑坡灾害风险管理研究中的若干基本术语进行解释。本文结合我国地质灾害分类规范、县市地质灾害调查规范和技术要求、已有滑坡灾害危险性与风险管理研究成果中具有代表性的术语表达方式以及县域滑坡灾害风险管理特征等，参照国际土力学与岩土工程协会技术委员会（TC32）、澳大利亚地质力学学会等的相关定义，对县域滑坡灾害风险管理研究相关概念进行界定，其中英文的表达严格采用了国际上已经认可的术语表达方式。

2、单体滑坡灾害、区域（县域）滑坡灾害

1）滑坡与滑坡隐患

我国国内对滑坡的定义为：岩（土）体在重力作用下整体（或部分）顺坡向下滑动的地质现象。国际上滑坡（Landslide）的概念指岩（土）体、碎屑物沿斜坡向下的运动，包括滑动型、崩滑型和泥石流型，相当于我国定义的滑坡、崩塌和泥石流。滑坡隐患指岩（土）体在重力作用下具有整体或部分向下滑动趋势的地质现象。

2）滑坡灾害与滑坡灾害隐患

滑坡灾害指岩（土）体在重力作用下整体（或部分）顺坡下滑，并对人类生命财产和各项社会经济活动及资源环境造成损害的滑坡事件。滑坡灾害隐患指岩（土）体在重力作用下具有整体（或部分）顺坡下滑的趋势，并对人类生命财产和各项社会经济活动及资源环境造成潜在威胁的现象。

3）单体滑坡灾害与区域（县域）滑坡灾害

单体滑坡灾害是指单个点状滑坡灾害，单体滑坡灾害的分析评价不考虑与其它滑坡灾害之间的内在联系，认为是一个孤立的滑坡事件。与单体滑坡灾害（点状）相对应，区域（县域）滑坡灾害指特定面域空间范围内的单体滑坡灾害及其隐患的组合，区域滑坡灾害的分析评价要综合考虑区域地质、地理环境特征及滑坡时空分布规律等，区域大小可根据研究范围大小来确定，如全国、全省、全县或一个流域等。

3、滑坡危险性、危害性与滑坡灾害风险

1）滑坡危险性

①危险性（Hazard）：国外对滑坡危险性具有明确的概念，从时间、空间、滑动特征、影响范围等方面对滑坡危险性进行预测和研究，并重点强调灾害发生的可能性。我国现有相关技术规范如建设用地地质灾害危险性评估技术要求等，将地质灾害的危险性定义为引发地质灾害并造成人员伤亡和（或）财产损失的可能性，考虑了灾害发生的可能性及造成损失的可能性，综合了国际上地质灾害危险性和风险的概念。②动态危险性：滑坡灾害的危险性多数情况下是随着其诱发因素的动态变化而变化的，因此，在临灾分析及预报预警中，不能用以年为单位的时间尺度来衡量和表达。所以，滑坡的动态危险性指基于诱发因素动态变化的滑坡发生的可能性。（如24h）滑坡发生的可能性。③危险性评价：指对滑坡危险性进行定性估计、定量分析计算并按照一定的标准进行分级排序的过程。滑坡年危险性评价重点对滑坡发生的空间概率或可能性进行预测分析和评价，滑坡动态危险性评价重点对滑坡发生的时间概率或可能性进行评价。④频率（Frenquency）：一定时期内滑坡发生的次数。

2）滑坡危害性

①危害性：结合我国的应用习惯，将危害性定义为：滑坡以一定强度发生后，造成的人员伤亡、财产损失程度称为滑坡的危害性。②危害性评价：危害性评价是在承灾体易损性分析与价值估算、承灾体遭遇滑坡的时间概率和空间概率分析的基础上，对滑坡危害程度大小所做的定性估计、定量计算并按照一定的标准进行分级排序的过程。

承灾体（Elements at Risk）指滑坡影响区内的所有承灾对象，包括人、财产、公共设施、土地资源等。

易损性（Vulnerability）指承灾体遭遇滑坡时受到损伤大小的程度，用0～1之间的数值来表示，值越大表示损伤的程度越严重，易损性大小既与承灾体自身的类型和“质量”有关，也与滑坡强度有关。

二、滑坡灾害风险评估、风险处置与风险管理分析方法

1、风险评估（Risk Assessment ）

风险评估是在对滑坡灾害进行风险调查的基础上，对滑坡灾害风险特征进行识别，并应用定性或定量的方法对滑坡灾害风险进行分析与评价的过程，包括风险分析和风险评价两方面的内容。在风险评估过程中涉及的其它相关术语主要有：①风险识别（Risk Identification）：鉴别构成风险的要素、来源、特性及与滑坡活动有关的不确定性。风险识别存在于对滑坡灾害风险要素调查与分析的整个过程。②风险估计（Risk Estimation）：对风险发生的可能性及其后果进行定性分级或定量估算的过程，也称为风险估算或风险度量。③风险分析（Risk Analysis）：用定性或定量的方法分析并表达风险结果的过程，包括风险识别与风险估计（估算）。④风险评价（Risk Evaluation）：根据风险容许标准（或风险评价标准），利用定性分级或定量评价的方法对风险分析的结果进行等级评定、排序或风险归类的过程。

2、风险处置（Risk Treatment）

对特定风险所采取的控制方法及其实施的整个过程。风险处置的类型包括接受风险、预报风险、转移或分担风险、减缓风险、监测风险及对风险处置结果的再评价等。如果说风险评估是一个主要由专业技术人员及相关理论与方法构成的技术过程，则风险处置是一个集专业技术人员、行政管理人员、社会公众及法规体系、规章制度等为一体的风险决策与控制过程。

3、风险管理（Risk Management）

风险管理指参与风险处置的各方对风险的识别、分析评价、决策处置，以较低合理的成本获取最大安全保障的科学管理方法。因此，风险分析是风险评价的基础，风险评价是风险分析与风险处置的桥梁，而风险管理是将各种理论、方法技术和政策等系统的应用于整个风险分析、评价与处置过程的科学管理方法。

4、滑坡地质灾害风险评价的方法

篇（10）

1、引言

银行在金融和商业环境中的作用日益突显。银行所面临风险的增加，使得新巴塞尔协议框架不断修订并改进，而这一框架，被定义为银行类金融机构致力于风险管理的核心原则。其中有关银行监管的过程，即监管当局负责对各银行的风险进行管理并对化解状况、不同风险间相互关系的处理情况、所处市场的性质、收益的有效性和可靠性等因素进行监督检查，以评估银行的稳健性。Sahajwala和Van den Bergh[1]强调的是考虑了银行的财务表现及其内在风险状况和风险管理能力的结构化与量化评估，这种评估的支持监测机构能尽早发现银行环境的变化。

由于缺乏足够的有关银行违约的历史数据，银行评级系统通常基于实证评估。Sahajwala和Van den Bergh[1]提供了几个目前正在实践中使用的系统综述，包括使用最广泛的骆驼（CAMELS）框架，其中涉及的六个主要因素：资本，资产，管理，盈利，流动性和市场风险的敏感性。其他的多准则技术也已用于银行绩效评价。Kosmidou和Zopounidis[2]采用PROMETHEE方法，Raveh[3]采用了联合情景法， 而Ho[4]采用了灰色关联分析， Garcia et al[5]使用了目标规划。Fethi和Pasiouras[6]则提供了一个侧重于数据包络分析和来源于运筹学和人工智能领域中最新银行业的效率分析和绩效评估，此系统被广泛地用于银行业务活动当中，包括贷款评估和信贷发放、财务计划、业务流程再造及资产/负债管理。

本文提出了一个目前在希腊银行使用的基于PROMETHEE II的多准则银行评级方法，并将此方法用在综合决策支持系统里进行案例研究，所选择的银行评估标准与来自希腊银行的专家分析相一致。所选的标准符合骆驼（CAMELS）框架，包括定性、定量的手段，特别强调了有关评价标准、评价过程参数、输入数据相对重要性结果的灵敏性，并用灵敏度分析技术和蒙特卡罗仿真来达到上述目的。

本文安排如下：第1节描述问题的背景和多准则方法的细节。第2节说明了多准则决策支持系统的实施。最后，第3节总结全文，并对了未来的研究方向进行了展望。

2、问题背景和多准则方法

银行评级模型的主要输出是把银行的分类变成有序风险等级（组）。风险等级通常设置为5个等级，等级1表示低风险/高业绩的银行；等级5表明高风险/低业绩银行。整体的业绩又分解成不同的分数（即每一个评价标准）。

根据目前在希腊银行使用的骆驼（CAMELS）模型，这个基于PROMETHEE II 的多准则方法不仅可以使所需要的风险等级变得可行，而且可形成银行整体的性能指标。流程图如图1。

图1 方法模型

PROMETHEE方法被广泛应用于对一系列两两比较的替代方案进行排名，同时也被用来比较一个预先设定参考点的绝对评价。下面小节将详细描述PROMETHEE方法在文中的应用。第3节将给出详细的评价标准和如何将方法应用于决策支持系统。

2.1相对评价

在文中提及的PROMETHEE的银行评价方法是基于两两比较的。对于每对银行（i，j），以及整体业绩指标，其是描述在n个评价准则中银行i的向量。全局偏好指数被定义为局部偏好指数的加权总和，即：

5.5（最差业绩）。最终的评价模型表达如下：

这种模式可用于银行的相关业绩排名。除银行的评级，相关排名也要求作为评级/评价过程中的一个重要组成部分，鉴于以这种方式定义整体得分，评级指所定义的时间间隔，[0.5，1.5]的风险等级为1，（1.5，2.5]的风险等级为2，（2.5，3.5]风险等级为3，（3.5，4.5]风险等级为4，（4.5，5.5]风险等级为5。

2.2绝对评价

如上所述的基于PROMETHEE II方法的评估提供了一个银行的相对评价，这有助于识别一家银行与其竞争对手相比的优势和弱点。然而，银行的评级模型也应该提供一个不依赖于一系列正在被评估银行的绝对评价。

绝对评价也使用PROMETHEE方法的框架，但在这种情况下的结果，仅以银行预先指定的参考点为基础。在希腊银行分析师的实践当中，有两个选项被定义为参考点的规范。第一个选项是从乐观的角度，是银行在比较理想点（理想银行）的情况下。这种评价提供了评估银行的能力，并能被更好地执行。第二个选项使用非理想点，并提供了一个相对在“最坏的情况”下的银行评估。有希腊银行分析师定义的非理想点和理想点，包含每个准则的最坏和最好业绩值，即银行在相对于理想点的情况下，局部评价函数做如下调整：

另一方面，在非理想情况下，局部评价函数如下：

2.3灵敏度分析

当然，上面定义的多准则评价引入一些不确定性和主观性，主要是PROMETHEE方法的参数，其中包括准则权重和部分偏好函数中的参数σ和P。

此外，由于银行在动态环境中运作，识别输入数据的变化也很重要，故可能导致的评级结果变化而引入的灵敏度分析既适合一系列完整的银行，又适合单独的每一个银行。

第一阶段，分析灵敏度程序解决这些问题。对于准则权重，分析的目的是定义评级不变银行，每个准则k权重值的范围。这可以很容易地通过加强的条件，即每家银行i全局得分V（xi）保持其预先指定的权重评分范围内。应该指出的是，这是“单因素”敏感性分析的类型（即，每个标准被认为是独立于其他的）。在与希腊银行的分析师合作中，被认为提供了足够的信息，并且很容易被理解。沃尔特斯和Mareschal[14]已经提出了考虑准则全局变化的敏感性分析的例子。

一个类似的过程也采用标准的偏好函数参数。然而，基于PROMETHEE方法的两两相关评价方案里，部分偏好函数一般对应参数σ和P非单调，非凸函数，这种情况下是不可能定义为评级不变银行特定参数范围。因此，可以明确定义为绝对评价过程的边界。

假设银行i的等级为

2.4 蒙特卡罗仿真

如上节所述，分析的流程提供了评级结果敏感性分析的局部信息。而通过蒙特卡罗仿真将会获得进一步的信息。通过该方法，仿真分析了在准则权重变化下评级结果的敏感性，并在这一过程当中，可以很容易地进一步考虑偏好函数的参数。

仿真涉及到在多个情境下准则权重的生成。一是，由随机单元简单生成。二是，决策者依重要性进行排序，然后按照准则的顺序生成随机权重。

在仿真结果当中，通过全局表现评估均值和中位数，并对其标准差和置信区间进行分析。从而对于每一个银行，可以得出不同加权情况下评级分布的有用结论。

3. 决策支持系统的实施

综合决策支持系统（DSS）使多个用户在一个共享数据库下工作。银行高级分析师负责评估过程中主要参数的设定，即准则权重、相应偏好函数类型等主要参数，以及通过添加或删除标准来修改评价标准集合。而较低级别的分析家们可以充分接触多准则评估过程中的所有功能，但不允许他们使评价参数发生永久性改变。除数据库管理和多准则工具的使用，DSS还提供包括一个用户界面友好，方便图形和表格格式编制的几种预备报告功能。

以下小节将说明DSS提供的功能和基于多准则方法的实施方式。需要指出的是，出于保密原因，在此图中的所有结果都只是指示性的，它们与任何银行实际数据没有关联。

3.1评价数据、准则、偏好参数

考虑系统中涉及希腊银行历史信息的一些数据。该系统可以使用不同的数据库，这取决于分析银行的类型。最初，系统中引入了31个评价准则集合[1]。一个评价标准的范例清单（见表1），这些准则是在与负责监测和评估银行业绩的专家分析师密切合作下选定的。按照骆驼（CAMELS）框架， 该标准被组织成6类（资金，资产，管理，盈利，流动性，对市场风险的敏感性）。总体而言，17个定量标准和14定性标准已初步选定。由希腊银行分析师定义的所有定性标准设定为 [0.5，5.5] 区间范围，较低值表示较好的业绩。

每类准则的权重和每一准则水平都已由希腊银行分析师确定。该系统还包括一些额外的模块，这些模块是支持规范的准则权重分析，即采用rank-order centroid （ROC） 和 rank-rum （RS）方法。图2说明了准则权重系统的截图。近似的ROC和RS根据分析师所指定的准则排名顺序计算。如图2，RS的估计值非常接近于用户自定义每个标准组的相对重要度。同样也观察到了每一准则水平。总体而言，定量的准则分配了70%的权重，其余30%属于定性准则，这是一个基于“硬性数据”，给予重要度高于涉及主观评价的定性准则重要度的政策规范。

所有量化标准的评估都采用了PROMETHEE方法的高斯偏好函数，而定性标准采用线性偏好函数。图3描述了资本充足率的局部偏好函数。这个函数值随准则值而降低，从而表明，较高的资本充足率值与更高的业绩和更低的风险相关。图的右侧部分，用户-分析师可以指定最少和最喜欢值（理想，非理想）函数的类型以及相关参数。图左侧是对用户所做改变的自动更新。

3.2多准则评价

第2节中，系统提供了多种选择，涉及：（1）银行、评价标准、分析的时间周期（2）评价类型（绝/相对）（3）准则权重的规范（4）情景分析，蒙特卡罗仿真情景分析使用（如图4）

通过该系统可知基于PROMETHEE II方法的整体评价结果。为每一年每家银行报告总体评价得分、相互敏感性分析。用户可修改权重或偏好函数参数以自动更新准则和评价结果，从而说明在“实时”状态下，银行业绩和评级变化的影响。

灵敏度分析结果，与有关的标准和相应的偏好函数参数的权重也可在单独的表内，如图5。

每一标准的银行评级不会改变，且其权重范围（上限和下限）可以显示。“稳定指数”，在表的最后一列所示，表示每个准则权重变化的最小百分比（不同的颜色来区分减少和增加）。

3.3情景分析

在情景分析下，通过蒙特卡罗仿真可以获得针对准则权重灵敏度排名的进一步结果。用户-银行分析师可以在此指定不同的权重方案。结果涉及银行全局业绩得分（平均值，中位数、95%置信区间）统计数据以及每家银行的评级分布。此外，通过情景分析报告可以获得准则权重和仿真运行的所有评级之间的关系。特别是，每一标准的相关系数表明了在银行评级和准则相对重要性之间的连接强度。准则负相关可被视为银行的强势。在这个意义上，准则的权重越高，银行的评价得分就越低（越好）。

作为额外的信息，对于每个准则，它的平均权重可以通过被评定为特定等级银行的全情境计算获得。特别是，假设权重的向量W1，W2，…….，针对每次仿真运行和引用Sik，即在银行i被设定为等级K的情况下进行仿真运行的仿真集（|Sik|代表运行的次数），

是在Sik下所有情景的平均权重向量，此式提供了一种关于已选银行评价结果的逆向分析信息。例如，在选定银行2010年分配到风险等级2的情况下，准则权重为CAP1和CAP2，高于可以根据这些标准的权重在分配给该银行风险等级3的情况下的准则权重。

4、结论

银行业绩的监测和评价在最近金融危机背景下获得越来越多的关注。本文提出了一种多准则方法旨在提供全面的专家支持分析，特别强调了把结果的敏感性分析应用到主要评价参数中，从而推导出有关银行优劣势的有用结论。

该方法已在综合决策支持系统（DSS）中实施，目前使用于希腊银行。DSS为用户及分析师提供了一种增强性的数据库管理功能，包括一些分析选项和报告工具。

专业银行分析师将多准则方法和DSS作为他们日常监测和评估银行业绩的支持工具。更进一步来说，其目的是发展能够尽快识别银行所可能面临问题的早期预警系统，并且对宏观经济因素的考虑也能进行加强分析，以及在外部因素对银行业绩和多样化的冲击下，实施执行压力测试。数据同样考虑了来自发达国家和发展中国家的其他银行部门，从而为增强其他市场风险及一个国家整体银行业风险相关性的背景下，提供有用的分析信息。

参考文献：

[1]R. Sahajwala， P. Van den Bergh， Supervisory Risk Assessment and Early Warning Systems， Technical Report 4， Bank of International Settlements， Basel， Switzerland， 2000.

[2]K. Kosmidou， C. Zopounidis， Measurement of bank performance in Greece， South-Eastern Europe Journal of Economics 6 （2008） 79–95.

[3]A. Raveh， The Greek banking system： reanalysis of performance， European Journal of Operational Research 120 （2000） 525–534.

[4]C.T. Ho， Measuring bank operations performance： an approach based on grey relation analysis， Journal of the Operational Research Society 57 （2006） 337–349.

[5]F. García， F. Guijarro， I. Moya， Ranking Spanish savings banks： A multicriteria approach， Mathematical and Computer Modelling 52 （2010） 1058–1065.

[6]D. Fethi， F. Pasiouras， Assessing bank efficiency and performance with operational research and artificial intelligent techniques： a survey， European Journal of Operational Research 204 （2010） 189–198.

[7]J. Butler， J. Jia， J. Dyer， Simulation techniques for the sensitivity analysis of multi-criteria decision models， European Journal of Operational Research 103 （1997） 531–546.

[8]A. Derviz， J. Podpiera， Predicting bank CAMELS and S&P ratings： the case of the Czech Republic， Emerging Markets Finance and Trade 44 （2008） 117–130.

[9]C. Spathis， K. Kosmidou， M. Doumpos， Assessing profitability factors in the Greek banking system： a multicriteria approach， International Transactions in Operational Research 9 （2002） 517–530.

[10]巴塞尔银行监管委员会，外部信用评级与内部信用评级体系[M].罗平，译.北京.中国金融出版社，2004： 451.

[11]赵向飞.上市公司信用能力的综合评价）—AHP与模糊评价的整合[ J].统计与决策， 2005（ 4） ：116- 117.