首页资料文库正文

外包风险管理评估细则十篇

时间：2023-08-25 17:23:44

外包风险管理评估细则

外包风险管理评估细则篇1

【关键词】风险导向；内部控制评估

一、内部控制评估的涵义

根据COSO框架的定义，内部控制是受公司董事会、管理层和其他员工的共同作用，旨在为实现经营的效率和效果、财务报告的可靠性以及对适用法律法规的遵循，而提供合理保证的一种过程。其主要目的是合理地保证公司实现以下目标：遵守有关法律法规和组织内部规章制度；信息的真实、可靠；资产的安全、完整；经济有效地使用资源；提高经营效率和效果；实现企业战略。

内部控制包括控制环境、风险管理、控制活动、信息和沟通以及监督五个要素。内部控制评估就是围绕内部控制五个要素的健全性、合理性及有效性展开的，是指为保障内部控制系统的有效性，由相关机构和人员定期或不定期地审视内部控制系统的设计和执行情况，发现并改进内部控制缺陷的一系列过程。内部控制评估包括企业外部机构及人员（如事务所）进行的外部评估和企业内部机构及人员进行的内部评估。内部评估主要包括自我评估与独立评估两部分。自我评估是指公司相关机构和人员对所负责的内部控制有效性进行的自我审视和评价活动。独立评估是由企业内部审计机构和人员对内部控制所进行的一种独立客观的审查和评价活动。内部控制自我评估和独立评估是及时发现内控缺陷、促进内控有效执行和不断改进的重要机制，共同构成公司内部控制评估体系。

二、内部控制评估的目标、对象与原则

（一）内部控制评估的目标

内部控制评估的目标应从内部控制的目标出发，来对内部控制的设计和执行进行评价，考核内部控制所规定的目标实现与否。内部控制的目标包括合规目标、资产目标、报告目标、经营目标和战略目标。因此，内部控制评估的目标应是对以上五个目标的内控设计及执行的有效性进行全面评价。

（二）内部控制评估的对象

内部控制评价的对象是内部控制的有效性，是指企业建立与实施内部控制对实现控制目标提供合理保证的程度。从控制过程看，内部控制的有效性可分为内部控制设计的有效性和内部控制运行的有效性。内部控制设计的有效性是指为实现控制目标所必需的内部控制程序都存在并且设计恰当，能够为控制目标的实现提供合理保证；内部控制运行的有效性是指在内部控制设计有效地前提下，内部控制能够按照设计的内部控制程序正确地执行，从而为控制目标的实现提供合理保证。内部控制运行的有效性离不开设计的有效性，如果内部控制在设计上存在漏洞，即使这些内部控制制度能够得到一贯的执行，那么也不能认为其运行有效的。

从控制目标的角度来看，内部控制的有效性可分为合规目标内部控制的有效性、资产目标内部控制的有效性、报告目标内部控制的有效性、经营目标内部控制的有效性、战略目标内部控制的有效性。其中，合规目标内部控制的有效性是指相关的内部控制能够合理保证企业遵循国家相关法律法规，不进行违法活动或违规交易；资产目标内部控制的有效性是指相关的内部控制能够合理保证资产的安全与完整，防止资产流失；报告目标内部控制的有效性是指相关的内部控制能够防止、发现并纠正财务报告的重大错报；经营目标内部控制的有效性是指相关的内部控制能够合理保证经营活动的效率和效果及时为董事会和经理层所了解或控制；战略目标内部控制的有效性是指相关的内部控制能够合理保证董事会和经理层及时了解战略定位的合理性、实现程度，并适时进行战略调整。

（三）内部控制评估的原则

企业实施内部控制评估至少应当遵循以下原则：

1.全面性原则。评估工作应当包括内部控制的设计与运行，涵盖企业及其所属单位的各种业务和事项。

2.重要性原则。评估工作应当在全面评价的基础上，关注重要业务单位，重大业务事项和高风险领域。

3.客观性原则。评估工作应当准确地揭示经营管理的风险状况，如实反映内部控制设计与运行的有效性。

三、风险导向内部控制评估的程序

（一）确定风险领域，制定内控评估计划

内部控制审计人员应研究本企业内外部环境、经营状况、企业组织机构、行业特点等，结合企业管理目标，进行充分的调查，可采用问卷调查、座谈会等方式，初步确定企业所面临的风险，对重要性做出初步判断编制整体审计计划。

风险导向的内部控制审计把审计的焦点放在那些风险大、对企业实现目标影响大的事项上。在进行内控评估前，审计人员应对企业的风险进行识别、分析并分类，对组织目标实现有重要影响的风险事项进行重点评估。

（二）对确定的风险事项进行评估

评估中通常运用抽样、观察、分析、调查与评估等方法获取充分适当的有关风险及风险管理的证据，确认企业主要风险管理目标是否得到实现。将风险点与控制点结合起来进行评估。在风险导向内部审计理念下，在开展内控评估时，可采取先从重要风险领域分析判断可能对企业目标实现产生影响的风险点，进而在内控实施细则中寻找相应的控制点进行评估。在评估中如果有风险点而没有控制点，应及时对内控实施细则进行补充和完善，以确保及时防范重大内控风险，使内控评估成为一种积极、主动的全过程动态防范风险机制，为管理层进行风险管理提供有用信息，为公司治理提出建议和整改措施。

可以采取以下审计程序：（1）研究、评估与组织业务有关的当前的发展情况、趋势、行业信息及其他相关信息，确定是否存在可能影响组织的风险，是否存在监督、评价、管理这些风险的控制程序；（2）检查公司政策、董事会和审计委员会会议记录，确定组织的经营战略、风险管理理念、方法及风险偏好和风险接受程度；（3）检查管理层、内部审计师、外部审计师以及其他有关方面以前发表的风险评估报告；（4）与被审单位管理层及相关人员交流，了解被审单位存在的风险及采取的风险控制、管理措施；（5）独立评价被审单位风险管理程序的有效性，评估风险管理结果报告的充分性和及时性；（6）评估管理层风险分析是否全面、正确，风险管理措施是否适当，并提出改善建议，说明风险管理实务中存在薄弱环节的问题。

（三）得到评估结论，出具评估报告

内部控制人员在评估结束后，实施必要的审计程序后，以经过核实的证据为依据，形成评估结论与建议，出具评估报告。评估报告中一般包括单位内部控制工作组织安排，评估期间及范围，评估方法，所发现问题的表现、面临的风险、成因、影响、改进建议等，以及单位内控控制设计及执行是否有效的结论。

四、风险导向内部控制评估应注意的问题

（一）以风险管理理念为基准

进行内控评估时，应该以风险管理理念为基准。风险管理是企业经营管理的关键所在，内控评估的重点应该是确认风险及测试管理风险的方法，分析、确认、揭示关键性的经营风险，在评价标准、指标和权重的选择上均要把握风险管理理念，这是内控评估的焦点。

（二）应选取科学合理的标准

制定内部控制评价标准是进行内部控制评价的依据和前提。缺乏科学合理的评价标准而进行的内部控制评价，其结果可能不能真实反映企业内部控制的健全和有效与否。在对内部控制进行评价时，首先必须确定的是采用何种评价标准对内控整体乃至具体的内控项目进行评价。结合内部控制评估的目标，内部控制的评价标准可以选用结果评价标准和过程评价标准。结果评价标准就是要考核内控目标的实现程度，是基于内控目标而建立的一系列结果考核指标。过程评价标准的制定可以按照内控项目来进行，按照风险管理思想，根据风险管理框架的要素来设定控制标准。

（三）关注内部控制的经营与战略目标

内控评估目标包括合规目标、资产目标、报告目标、经营目标和战略目标五个方面，而在具体执行中，企业评估侧重点一般关注于合规目标、资产目标和报告目标，至于经营目标和战略目标受到的关注程度较少。从企业经营管理的角度，显然，经营与战略目标是最重要的。

在具体界定内部控制评价目标时，不同的评价主体可能对内部控制评价的目标界定也不同，如监管部门推动实施的内控评价，其目标可能更多地关注内控制度所达到的报告目标和合规目标；而企业自身进行的内控评估，其目标就不应局限于报告目标和合规目标，还应该包括内控对企业战略目标和经营目标实现的作用程度。

（四）完善内部控制评估的考核监督机制

我国许多企业根据有关规定制定了很多的内部控制条文，但多只注重制度的文字编写环节，以应付有关部门的检查、审计，而不管内部控制制度执行情况如何，使内部控制制度流于形式；同时发现的内控缺陷难以有效整改落实，大大降低了内控评估的风险防范作用。因此，建立健全内控评估的考核评价机制，对于强化内控执行、防范相关风险起着非常更重要的作用。对具体风险点与控制点流程中所有关键环节的内容建立目标和量化评价考核标准，细化内控考核细则；开展分类别内控评估工作质量评比，兑现考核奖惩，强化内控执行。同时，为保证内控缺陷的整改落实，可将内控执行情况、缺陷报告情况及整改情况与部门或个人的绩效考核挂钩，建立激励与约束机制。

参考文献：

[1]财政部.企业内部控制基本规范[S].2009.

外包风险管理评估细则篇2

论文摘要:文章首先分析了信息安全外包存在的风险，根据风险提出信息安全外包的管理框架，并以此框架为基础详细探讨了信息安全外包风险与管理的具体实施。文章以期时信息安全外包的风险进行控制，并获得与外包商合作的最大收益。

1信息安全外包的风险

1.1信任风险

企业是否能与信息安全服务的外包商建立良好的工作和信任关系，仍是决定时候将安全服务外包的一个重要因素。因为信息安全的外包商可以访问到企业的敏感信息，并全面了解其企业和系统的安全状况，而这些重要的信息如果被有意或无意地对公众散播出去，则会对企业造成巨大的损害。并且，如若企业无法信任外包商，不对外包商提供一些关键信息的话，则会造成外包商在运作过程中的信息不完全，从而导致某些环节的失效，这也会对服务质量造成影响。因此，信任是双方合作的基础，也是很大程度上风险规避的重点内容。

1.2依赖风险

企业很容易对某个信息安全服务的外包商产生依赖性，并受其商业变化、商业伙伴和其他企业的影响，恰当的风险缓释方法是将安全服务外包给多个服务外包商，但相应地会加大支出并造成管理上的困难，企业将失去三种灵活性:第一种是短期灵活性，即企业重组资源的能力以及在经营环境发生变化时的应变能力;第二种是适应能力，即在短期到中期的事件范围内所需的灵活性，这是一种以新的方式处理变革而再造业务流程和战略的能力，再造能力即包括了信息技术;第三种灵活性就是进化性，其本质是中期到长期的灵活性，它产生于企业改造技术基本设施以利用新技术的时期。wWW.133229.CoM进化性的获得需要对技术趋势、商业趋势的准确预测和确保双方建立最佳联盟的能力。

1.3所有权风险

不管外包商提供服务的范围如何，企业都对基础设施的安全操作和关键资产的保护持有所有权和责任。企业必须确定服务外包商有足够的能力承担职责，并且其服务级别协议条款支持这一职责的履行。正确的风险缓释方法是让包括员工和管理的各个级别的相关人员意识到，应该将信息安全作为其首要责任，并进行安全培训课程，增强常规企业的安全意识。

1.4共享环境风脸

信息安全服务的外包商使用的向多个企业提供服务的操作环境要比单独的机构内部环境将包含更多的风险，因为共享的操作环境将支持在多企业之间共享数据传输(如公共网络)或处理(如通用服务器)，这将会增加一个企业访问另一企业敏感信息的可能性。这对企业而言也是一种风险。

1.5实施过程风险

启动一个可管理的安全服务关系可能引起企业到服务外包商，或者一个服务外包商到另一个外包商之间的人员、过程、硬件、软件或其他资产的复杂过渡，这一切都可能引起新的风险。企业应该要求外包商说明其高级实施计划，并注明完成日期和所用时间。这样在某种程度上就对实施过程中风险的时间期限做出了限制。

1.6合作关系失败将导致的风险

如果企业和服务商的合作关系失败，企业将面临极大的风险。合作关系失败带来的经济损失、时间损失都是不言而喻的，而这种合作关系的失败归根究底来自于企业和服务外包商之间的服务计划不够充分完善以及沟通与交流不够频繁。这种合作关系在任何阶段都有可能失败，如同其他商业关系一样，它需要给予足够的重视、关注，同时还需要合作关系双方进行频繁的沟通。

2信息安全外包的管理框架

要进行成功的信息安全外包活动，就要建立起一个完善的管理框架，这对于企业实施和管理外包活动，协调与外包商的关系，最大可能降低外包风险，从而达到外包的目的是十分重要的。信息安全外包的管理框架的内容分为几个主体部分，分别包括企业协同信息安全的外包商确定企业的信息安全的方针以及信息安全外包的安全标准，然后是对企业遭受的风险进行系统的评估.并根据方针和风险程度.决定风险管理的内容并确定信息安全外包的流程。之后，双方共同制定适合企业的信息安全外包的控制方法，协调优化企业的信息安全相关部门的企业结构，同时加强管理与外包商的关系。

3信息安全外包风险管理的实施

3.1制定信息安全方针

信息安全方针在很多时候又称为信息安全策略，信息安全方针指的是在一个企业内，指导如何对资产，包括敏感性信息进行管理、保护和分配的指导或者指示。信息安全的方针定义应该包括:(1)信息安全的定义，定义的内容包括信息安全的总体目标、信息安全具体包括的范围以及信息安全对信息共享的重要性;(2)管理层的目的的相关阐述;(3)信息安全的原则和标准的简要说明，以及遵守这些原则和标准对企业的重要性;(4)信息安全管理的总体性责任的定义。在信息安全方针的部分只需要对企业的各个部门的安全职能给出概括性的定义，而具体的信息安全保护的责任细节将留至服务标准的部分来阐明。

3.2选择信息安全管理的标准

信息安全管理体系标准bs7799与信息安全管理标准is013335是目前通用的信息安全管理的标准:

(1)bs7799:bs7799标准是由英国标准协会指定的信息安全管理标准，是国际上具有代表性的信息安全管理体系标准，标准包括如下两部分:bs7799-1;1999《信息安全管理实施细则》;bs7799-2:1999((信息安全管理体系规范》。

(2)is013335:is013335《it安全管理方针》主要是给出如何有效地实施it安全管理的建议和指南。该标准目前分为5个部分，分别是信息技术安全的概念和模型部分;信息技术安全的管理和计划部分;信息技术安全的技术管理部分;防护和选择部分以及外部连接的防护部分。

3.3确定信息安全外包的流程

企业要根据企业的商业特性、地理位置、资产和技术来对信息安全外包的范围进行界定。界定的时候需要考虑如下两个方面:(1)需要保护的信息系统、资产、技术;(2)实物场所(地理位置、部门等)。信息安全的外包商应该根据企业的信息安全方针和所要求的安全程度，识别所有需要管理和控制的风险的内容。企业需要协同信息安全的外包商选择一个适合其安全要求的风险评估和风险管理方案，然后进行合乎规范的评估，识别目前面临的风险。企业可以定期的选择对服务外包商的站点和服务进行独立评估，或者在年度检查中进行评估。选择和使用的独立评估的方案要双方都要能够接受。在达成书面一致后，外包商授予企业独立评估方评估权限，并具体指出评估者不能泄露外包商或客户的任何敏感信息。给外包商提供关于检查范围的进一步消息和细节，以减少任何对可用性，服务程度，客户满意度等的影响。在评估执行后的一段特殊时间内，与外包商共享结果二互相讨论并决定是否需要解决方案和/或开发计划程序以应对由评估显示的任何变化。评估所需要的相关材料和文档在控制过程中都应该予以建立和保存，企业将这些文档作为评估的重要工具，对外包商的服务绩效进行考核。评估结束后，对事件解决方案和优先级的检查都将记录在相应的文件中，以便今后双方在服务和信息安全管理上进行改进。

3.4制定信息安全外包服务的控制规则

依照信息安全外包服务的控制规则，主要分为三部分内容:第一部分定义了服务规则的框架，主要阐明信息安全服务要如何执行，执行的通用标准和量度，服务外包商以及各方的任务和职责;第二部分是信息安全服务的相关要求，这个部分具体分为高层服务需求;服务可用性;服务体系结构;服务硬件和服务软件;服务度量;服务级别;报告要求，服务范围等方面的内容;第三部分是安全要求，包括安全策略、程序和规章制度;连续计划;可操作性和灾难恢复;物理安全;数据控制;鉴定和认证;访问控制;软件完整性;安全资产配置;备份;监控和审计;事故管理等内容。

3.5信息安全外包的企业结构管理具体的优化方案如下:

(1)首席安全官:cso是公司的高层安全执行者，他需要直接向高层执行者进行工作汇报，主要包括:首席执行官、首席运营官、首席财务官、主要管理部门的领导、首席法律顾问。cso需要监督和协调各项安全措施在公司的执行情况，并确定安全工作的标准和主动性，包括信息技术、人力资源、通信、法律、设备管理等部门。

(2)安全小组:安全小组的人员组成包括信息安全外包商的专业人员以及客户企业的内部it人员和信息安全专员。这个小组的任务主要是依照信息安全服务的外包商与企业签订的服务控制规则来进行信息安全的技术性服务。

(3)管理委员会:这是信息安全服务外包商和客户双方高层解决问题的机构。组成人员包括双方的首席执行官，客户企业的cio和cso，外包商的项目经理等相关的高层决策人员。这个委员会每年召开一次会议，负责审核年度的服务水平、企业的适应性、评估结果、关系变化等内容。

(4)咨询委员会:咨询委员会的会议主要解决计划性问题。如服务水平的变更，新的技术手段的应用，服务优先等级的更换以及服务的财政问题等，咨询委员会的成员包括企业内部的ti’人员和安全专员，还有财务部门、人力资源部门、业务部门的相关人员，以及外包商的具体项目的负责人。

(6)安全工作组:安全工作组的人员主要负责解决信息安全中某些特定的问题，工作组的人员组成也是来自服务外包商和企业双方。工作组与服务交换中心密切联系，将突出的问题组建成项目进行解决，并将无法解决的问题提交给咨询委员会。

(7)服务交换中心:服务交换中心由双方人员组成，其中主要人员是企业内部的各个业务部门中与信息安全相关的人员。他们负责联络各个业务部门，发掘出企业中潜在的信息安全的问题和漏洞，并将这些问题报告给安全工作组。

（8）指令问题管理小组:这个小组的人员组成全部为企业内部人员，包括信息安全专员以及各个业务部门的负责人。在安全小组的技术人员解决了企业中的安全性技术问题之后，或者，是当cso了关于信息安全的企业改进方案之后，这些解决方案都将传送给指令问题管理小组，这个小组的人员经过学习讨论后，继而将其到各个业务部门。

(9)监督委员会:这个委员会全部由企业内部人员组成。负责对外包商的服务过程的监督。

外包风险管理评估细则篇3

摘要本文从风险导向审计的定义、流程及实施信贷业务风险导向审计的必要性出发，初步探讨了如何实施新疆农村信用社信贷业务风险导向审计，以及具体实践中的难点及对策。

关键词新疆农村信用社信贷业务风险导向审计

一、风险导向审计

风险导向审计是指以被审计单位的风险评估为基础，综合分析评审影响被审计单位经济活动的各因素，并根据量化风险水平确定实施审计的范围和重点，从而进行实质性审查的一种审计方法。

风险导向审计适应了现代社会高风险的特性，针对不同风险因素采取相应的审计策略,将有限的审计资源集中在高风险领域，合理配置审计资源，以提高审计效率和效果。

二、风险导向审计流程

风险导向模式下的审计流程模式为:首先实施风险评估程序,了解被审计单位及其所处环境(包括内部控制)，初步评估风险程度及确定重要性水平;其次,在审计需要时实施控制测试,进一步评估确认重大差异或缺陷风险;最后,开展实质性测试,发现重大差异,将检查风险降至可接受水平。

传统审计最大的缺陷在于对风险评估不到位，未能有效发现高风险审计领域，造成审计过量或审计不足。风险导向审计加强了风险评估程序，实现了由内控测试到风险评估的转变，风险评估的结果决定了审计人员需要关注的高风险审计领域和重点审计项目、审计资源的分配、审计证据的性质和数量。

三、实施信贷业务风险导向审计的必要性

信贷业务是新疆农村信用社的主要经营业务,信贷资产质量的好坏直接影响到信用社的生存与发展，如何通过信贷审计加强和提高信贷风险防控也是信用社内部审计积极探讨和深入研究的重要课题。新疆南北疆经济发展不均衡，北疆的业务发展速度、规模远远超出南疆，信贷管理水平也层次不齐，客观上也要求内部审计要区别对待。自治区联社内审人员少,审计单位多，信贷审计必须做到“重点突出、针对性强”，实施信贷业务风险导向审计则尤为必要。

四、如何实施信贷业务风险导向审计

信贷业务采用风险导向模式,一是应对新疆84家县(市)联社进行风险评估,确定重点审计对象;二是应关注重大风险,突出审计重点，如大额贷款重点审计合规性,小额贷款重点审计真实性，以降低审计成本，提高审计效率；三是延伸审计内涵,应对贷款投向、贷款风险和损失进行分析研究，揭示信贷业务的发展方向，促进新疆农村信用社信贷业务的健康持续发展。

（一）开展风险评估，初步确定风险程度及重要性水平

1.可采用调查表、个别谈话等方式，初步分析内外部环境对信贷管理产生的风险因素及影响。外部环境的调点包括：国内经济环境影响、农业政策变化、县域经济发展战略、县域经济发展总量及耕地面积引发的风险因素；县域的信用环境、法律环境的影响因素；银行监管举措的变化而产生的影响因素等。内部环境的调点包括：信用社的经营策略、管理架构；管理层核心力及管理驾驭能力；信贷管理的经营风险；制度执行力及流程再造能力；高管人员交流情况；管理层权限分工及勤勉尽责情况；内外部监督力度及处罚情况；整改机制的建立及执行情况；案件发生情况等。

2.实施风险评估。可利用环境调查结果，同时采用询问、查阅、观察、检查等方法从以下几方面开展风险评估，评估重大差异或缺陷风险。对于评估得分在85分（含）以上的，风险程度设定为低，对于评估得分在70（含）-85分的，风险程度设定为中，对于评估得分在70分以下的，风险程度设定为高。对风险程度高的，必须重点关注，可采取“加强检查频次、扩大审计范围”的审计策略具体实施。

3.根据风险评估结果，确定重要性水平。重要性，是指被审计单位经营活动及内部控制中存在偏离特定目标的差异或缺陷的严重程度。审计人员需将风险评估结果转化为审计策略，确定审计事项的重要性水平，合理配置审计资源，降低审计风险。新疆农村信用社信贷审计事项包括贷款、票据、抵债资产。

（二）开展控制测试程序

控制测试是在风险评估的基础上，审计人员对内部控制水平的判断。如果风险程度较低，则需要进行必要的控制测试，收集有效的证据来支持较低控制风险的判断；如果风险程度较高，可直接进入实质性测试。控制测试可采用检查、询问、分析和观察、穿行测试等。

1.检查。调阅贷审会、信贷授权、贷款利率定价、岗位职责、信贷审批流程、贷款新业务办理等资料，检查信贷内部管理（制度）是否健全有效、利率定价是否合规、流程设计是否存在风险隐患、新业务品种开办是否合法合规等。

2.询问、观察。对管理层及相关人员进行询问，并观察业务操作流程，如各岗位的办理过程、资料的传递、信贷档案的管理等，查看是否与规定、询问结果一致。

3.分析。调阅业务状况表、五级分类信息数据，与经营计划比较、与上年度贷款数据进行趋势比较，与本地农业经济发展规模比较，分析贷款业务发展的速度是否正常合理等。

4.穿行测试。选择样本进行穿行测试，样本的选择需要与表2重要性水平表密切结合，对于重要性水平中以上的审计事项均应选取适量样本。通过查看信贷资料及控制执行情况，确定业务流程与相关控制是否与前述程序获得的信息一致，是否存在重大执行偏差。

执行上述程序后，如果设计及执行偏差较小，则可确定控制风险较低，下一步进行实质性程序范围可缩小；如果设计及执行偏差均较大，则可确定控制风险较高，需采取更多的实质性程序。

（三）开展实质性测试程序

外包风险管理评估细则篇4

一、纳税评估的定位

当前纳税评估工作缺乏法律依据，在有关纳税评估的法律依据方面，目前《税收征管法》及其实施细则，均无有关纳税评估的规定。而仅有国税发[2005]43号文《纳税评估管理办法》第一条明确纳税评估的目的是：为进一步强化税源管理，降低税收风险，减少税款流失，不断提高税收征管质量和效率。第二条规定纳税评估的原则：纳税评估工作遵循强化管理、优化服务；分类实施、因地制宜；人机结合、简便易行。即纳税评估的职能是一项融税源管理与服务为一体的工作。事实上纳税评估的依据也仅是财务与税收的内在关系，纳税评估不符合行政执法行为有效成立的形式要件，纳税评估的结果不具备行政执法行为具有的确定力、约束力和执行力等效力。因此，纳税评估不是一种行政执法行为，也不能使用税务检查、税务稽查的手段和文书。因此，鉴于上述表达，本文认为1、纳税评估过程是一个信息系统工程，即从采集税源信息到加工及筛选涉税信息，最后到输出涉税信息。2、纳税评估职能是纳税人涉税方面“健康检查专家门诊”。在这一过程中，如果发现疑点就须进一步要求“确诊”，直至消除疑点或移交稽查等。

二、纳税评估的特点

1、客观性。纳税评估是建立在纳税人自行申报基础之上的一种征管制度。纳税申报不仅是纳税人、扣缴义务人履行其相关义务的法定程序，而且也是税务机关行使税款征收权的可靠保证，并构成纳税评估的主要信息来源。这些在纳税申报过程中所形成的涉税信息及有关纳税资料，成为纳税评估工作最直接、最现实的依据，构成纳税评估工作的基础。

2、逻辑性。纳税评估是一个分析判断的过程。纳税评估的基点是，纳税人的经营行为与应税行为存在客观的内在联系。

首先，纳税人、扣缴义务人依法从事生产经营活动，其应税行为与经营行为的逻辑关系，既体现在行为的性质方面，也体现在行为的数量方面。通过前者可以确认哪些行为属于应税行为，以及适用哪些税种；通过后者可以确认应税行为应承担怎样的纳税义务，以及数量界限。纳税评估正是依据这一原理，通过建立相关分析指标，制定量化分析模型，对纳税申报各种数据信息进行相应的逻辑分析，判断其是否存在异常情况。

其次，纳税人经营行为的账务记录与应纳税额核算应该具有内在联系。

3、系统性。纳税评估具有特定的工作内容、工作程序以及操作方法，是一种相对独立的系统性工作。纳税评估作为一种监控手段，贯穿税收征管的始终。税收征管的各个环节，都包含在纳税评估的范畴之内。从这个意义上讲，税收征管过程就是税收征收管理每一个环节的评估过程。

4、目的性。纳税评估的目的是加强税源监控。纳税评估围绕税源监控的重点对象、重点环节和重点内容，对纳税人纳税申报及有关纳税事项的真实性、合法性进行审核，并通过制定计划、确定对象、审核评估、约谈举证、确定稽查对象、结果反馈等工作环节，全面掌握税源及其变动情况，保证税款征收与税务稽查的有效衔接，对纳税行为尤其是申报质量进行动态、即时的分析、监控，并为实施纳税信誉等级管理奠定基础。

5、局限性。纳税评估指标存有一定局限性。现行的纳税评估指标体系是确定行业内平均值，实际上是企业真实纳税标准的一种假设，一般这种评估指标的测算结果都直接与行业正常值进行比较，也就是说该企业被测算的指标只要处于正常值的合理变动幅度内，就被认为已真实申报，实际上，评估对象的规模大小，企业产品类似多少等因素都对“行业峰值”产生较大影响。另外，单凭评估指标测算和评价很难合理制定申报的合法性和真实性，企业还经常受到所处的环境、面临的风险、资金的流向等诸多因素的影响。纳税评估指标体系的局限性，制约着纳税评估工作的效果和开展方向，进而导致不可避免的存在一定的风险性。

6、风险性。由于纳税评估是建立在对纳税人自我申报的资料基础上，因此，纳税人的诚信度与申报资料的可信度仅凭税务人员的评估，是不可能得到彻底解决的，这种风险来自于纳税人及纳税评估人员。具体包括：源于评估客体的风险主要是固有风险与控制风险即纳税人自身的纳税意识，内部控制制度的健全性与运行的一贯性、有效性，企业办税人员的业务素质与职业道德水准；源于评估主体的风险主要是检查风险即对纳税人的固有风险及控制风险高低的评价（评估），以及自身在实施纳税评估过程中业务素质高低与职业道德的水准。

三、纳税评估的原则

国税发[2005]43号文《纳税评估管理办法》第二条规定纳税评估的原则：纳税评估工作遵循强化管理、优化服务；分类实施、因地制宜；人机结合、简便易行。本文认为除此之外还应遵循下列几个原则：

1、法治原则：纳税评估坚持以事实为依据，以税收法律、法规、规章为准绳，做到有法可依、有法必依，既保障税收收入，又维护纳税人合法权益。

2、公平原则：对不同纳税人的处理坚持政策的统一性，对自由裁量权的行使上注重合理性，对有利于纳税人的政策处理注重权益的保障性。

3、诚信原则：税企双方在诚信的基础上，沟通各种涉税信息，通过纳税评估，提高纳税人办税能力，提升国税机关服务水平。

4、效率原则：降低纳税评估成本，征纳双方在诚信基础上，交流各种涉税信息，并使之成为各税种的共享资源，最大程度减轻纳税人负担。同时国地税部门之间也应建立信息共享机制，由于企业所得税管理不仅涉及到国税部门可能也会涉及到地税部门，加上企业所得税与流转税之间的许多信息可以共享。

5、成本效益原则：一方面要考虑纳税评估效益即该评估对象到底有多大的疑问，另一方面也要兼顾纳税评估成本即需要多少人力、物力、财力。不能“得不偿失”。

四、纳税评估的假设与推定

纳税评估的作用既有静态信息的参考价值，也有动态信息的利用价值。它既有预测功能，又有一定的决策功能。它是一项系统工程，它以扎实的财税知识为基础，丰富的实战经验加上心理学、社会学、逻辑推理学、证据学等集一体的，并随着国家政策、社会环境等因素变化而逐步完善的学科。从目前社会对税收的认知度来看，广大纳税人对此都有或多或少的了解，有的甚至是在经过多方咨询后而作出的谨慎行为。因此，如果仅从纳税人申报的表面资料来看一般很难发现一些实质性的问题，如有的企业在了解税务部门所掌握的一些行业测试指标后，采用倒轧计算进行技术处理，使得税务评估分析的结果无异常现象。

作为纳税评估人员应该掌握一些纳税评估假设与推定的技巧，特别是在新的税收征管模式——“一窗式”+“责任区”下，纳税人的各种静态、动态的信息，随时都掌控在税务机关。平时，责任区的片管员（或专管员）应密切关注纳税人的一些基本资料如：注册地、营业执照中一些信息、产品的市场行情、加工工艺流程、市场分布、在职人数、劳动效率、材料耗用率、废品损失率、单位水电费耗用数、单位负责人的用车情况等。因为上述这些因素属于基本稳定的，一般不会轻易发生重大变动。此外，还应注意生产的季节性、设备的使用情况等。因此，在纳税评估的假设与推理过程中应从硬件和软件两方面来进行。硬件上不仅包括厂房（或经营场所）及办公用房的环境及装修情况；员工及单位负责人的交通工具；企业规模及设备购置情况等。软件包括员工及单位负责人的着装；中层干部及单位负责人的工作、生活习惯及用品、言谈举止等。

到目前为止还没有关于纳税评估方面的一些成文的理论架构，因此，关于纳税评估假设与推定的问题在此也仅作些探讨。作者认为所谓纳税评估假定是指纳税评估人员为了完成评估任务，降低纳税评估风险，根据评估对象的特点及评估的要求，以及所掌握的信息资料，对评估证据和结论作出推断和假设的一种评价方式。它的特点表现为：

1、纳税评估假定是为一定目的而提出，是为完成评估任务，提高评估效率而提出的。

2、评估对象不同，评估要求和评估工作所达到的程度不同，纳税评估假定也不同。

3、纳税评估假定并非是评估人员主观臆断的评价，而是建立在一定的事实证据基础上的。

4、纳税评估假定并非是评估人员的结论和最终的评价。

纳税评估假定的整体思路：提出评估假定——分析评估假定——修正评估假定——肯定或否定评估假定——错弊分析与查核

纳税评估假定可能包括但不局限于下列几个方面：

1、纳税评估关系假设：即纳税评估是以受托经济责任关系或社会责任关系的存在为首要前提的假设。在社会经济生活中存在着各种责任关系，其中最主要的是经济责任关系。纳税评估是由委予责任者（国家或政府），承担责任者（纳税人）和纳税评估人（税务机关）构成。受托责任的形成是纳税评估存在的必然条件，而纳税评估关系的形成才是纳税评估产生与发展的充分条件。

2、正当怀疑假设即纳税评估是以对被评估事项缺乏足够可信性（正当怀疑）为前提的假设。该假设包含两层含义：（1）被评估事项并非完全可靠。即对于受托经济责任的履行状况或反映这种履行状况的经济信息，除非有明确的、绝对的证据。否则没有理由给予完全的信任。所以需要通过纳税评估来进行客观、公允地评价。（2）国家税收法律、法规、规章、公认会计原则及会计电算化系统本身是合理有致的。纳税评估只对纳税人具体业务过程中可能出现的问题加以评价。该假设明确了纳税评估的直接原因及目标。这一基本假设可以推导出纳税评估固有风险等概念。

3、可验证性假设：即纳税评估是以被评估对象可以验证为前提的假设。这一假设认为，除非所有经济活动是可以验证的。否则，纳税评估就失去了对象和生存条件。它使纳税评估法规或暂行办法的制定，纳税评估证据的收集与评价以及纳税评估程序的实施才具有实际意义。

4、有效控制假设即健全、有效的内部控制系统能够减少错误与舞弊事项的发生，内部控制就是被评估单位自身建立起来的防范措施，它包括内部控制机构及内部控制制度。内部控制制度又包括内部会计控制及内部管理控制。如果有充分证据能证明被评估单位存在健全的内部控制并能充分内发挥作用，就有理由相信它有能力有效地抑制不符标准的行为。由此，评估人员对被评估对象的直接评估可以部分地转移到对这些内容控制的评估，而大大减少直接评估工作量。特别是对我省经济较为发达的苏南地区的基层税务部门。

5、惯性及例外假设：这一假设包含两层含义：（1）惯性假设，即若无确凿的反证，过去被认为如何，现在与将来仍会如此。（2）例外假设即在评估过程中对于必须彻底揭露的事项应以扩大评估程序、范围，增加评估成本的假设。这一假设不仅为评估人员执行所有工作提供指南，而且是在评估过程中出现不可预见或意外的变化时为评估人员提供一种必要的保护，从而使评估责任有一个合理限度，由此可以推出评估风险、抽样评估等概念。

纳税评估推定一般应以“无过错推定”为前提。即通过搜集寻找能证明纳税人无过错的证据，来排除纳税人的过错疑点。只有这样才能体现税收服务和依法治税的精神要求。

五、纳税评估的风险

由于纳税评估仅是一项评估工作，无论纳税评估主体的水平和能力如何也无法保证其所评估过的客体或对象万无一失，因此，就必须承认纳税评估风险的存在。即是指纳税人的纳税申报资料存在重大错报或漏报，而评估人员经过纳税评估后发表不恰当纳税评估意见的可能性。纳税评估风险包括固有风险、控制风险和评估风险。

所谓固有风险是指假定不存在内部控制时，某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报的可能性。所谓控制风险是指某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报，而未被内部控制防止、发现或纠正的可能性。评估风险指某一账户或交易类别单独或连同其它账户、交易类别产生重大错、漏报，而未能被评估发现的可能性。

固有风险和控制风险与被评估单位有关，评估人员对此无能为力，只能评估。纳税评估风险=固有风险×控制风险×评估风险。评估风险与固有风险、控制风险成反比关系，固有风险、控制风险综合水平较高时，评估人员须扩大评估范围，尽量降低评估风险，使整个纳税评估风险降至可接受水平，反之，固有和控制综合水平较低时，则评估人员即使冒较大评估风险，但总体纳税评估风险仍较低。

总之，评估人员应当保持应有的职业谨慎，合理运用专业判断，对纳税评估风险进行评估，制定并实施相应的纳税评估程序，以将纳税评估风险降低至可接受的水平。

六、纳税评估的分类

由于在纳税评估过程中主要是运用各项指标，而纳税评估指标具有一定的行业性、地域性、阶段性、局限性、时效性等特点，因此，纳税评估的分类并非是越详细越好，要讲求科学性、效益性、相关性、前瞻性、实用性等。具体来讲就是要做到以下几个方面：

1、有利于真正发现纳税人在纳税申报中是否存在问题，税收实际工作中的不足，挖掘当地税源。

2、有利于通过纳税评估来评价纳税人纳税申报的真实性，为科学评定纳税人纳税信用等级，提供客观、公允的信息。

3、有利于本地区涉税信息的横向可比性，对纳税人涉税情况进行动态服务、管理、监控。

外包风险管理评估细则篇5

[关键词] 审计计划；风险导向

素有企业“内部警察”之称的内部审计已随着企业集团化、业务流程复杂化的发展趋势，从传统的内部审计发展到风险导向审计阶段，在实践中笔者也深深体会到以风险评估为基础制订的年度审计计划在风险导向型审计中所起的作用越来越大，但是如何进行审计计划的风险评估目前无论在国内还是国外都没有广为认可的模型可供参考。笔者结合实践尝试，提出风险诱因评估和审计范围框架体系的搭建模式两种可供应用的方法向读者推荐。

1、风险导向审计的内涵

风险导向审计是指内审人员在审计过程中自始至终都以企业风险分析评估为导向，根据量化的风险估值水平排定审计项目优先次序，依据风险确定审计范围与重点，对企业的风险管理、内部控制和治理程序进行评价，进而提出建设性意见和建议，协助企业管理风险，实现企业价值增值的独立、客观的鉴证和咨询活动。

与传统审计相比，风险导向审计在确定审计范围、审计内容以及审计时间安排上更能接近企业的组织目标，站得更高，看得更远，企业的战略目标、企业的内外部环境均纳入风险导向审计视野。

2、为什么要应用风险导向理念制订年度审计计划

所谓审计计划风险诱因评估是指在制订审计计划之前，对影响审计计划编制的风险因素进行辨识、分析和评价，以利用审计人员依据评估结果制订科学合理的审计计划。

《礼记·中庸》曰：凡事预则立，不预则废。内部审计工作同样如此。科学合理的年度审计计划是开展全年内部审计工作的基础，也是充分发挥有限的审计资源，提高审计效率和效益的重要方法。但当前审计领域不断扩大，任务空前饱满，企业内部审计人员明显不足。这就需要内部审计在制定审计计划时，要优先考虑风险较严重的领域，将有限的审计资源（包括审计人员及审计时间）用于最需要的审计项目，才能实现审计资源效用的最大化，最大程度促进组织目标的实现。

中国内部审计协会《内部审计具体准则第1号——审计计划》第八条中“内部审计机构负责人负责年度审计计划的制订工作。由于年度审计计划是对内部审计机构未来年度审计任务的整体规划，因此需要内部审计机构负责人在全盘考虑组织风险、管理需要及内部审计资源的基础上进行规划。”

此外，国内外监管机构都对审计计划的风险评估都提出了明确的要求。从国际看，国际内部审计师协会《工作标准》第2010条明确提出：“首席审计执行官应根据风险制订审计计划”；从国内看，《中国内部审计准则——基本准则》第11条明确要求：内部审计人员应在考虑组织风险、管理需要及审计资源的基础上，制订审计计划，对审计工作做出合理安排。

3、如何在年度审计计划中应用风险导向理念

应用风险导向理念，科学合理地制订年度审计计划，笔者认为主要可遵循如下步骤：

3.1划分业务流程

要想制订科学合理的年度审计计划，首先要依据企业特点，正确划分管理机制及业务流程。以通信企业为例，结合生产经营特点，可以将所有业务划分为三大方面七项流程十项管理机制：

策略与监察管理机制：包括企业策略管理机制、企业管治（含审计与监察）机制、企业文化管理机制、品牌策略管理机制、研发管理机制、投资（并购与剥离）管理机制、法律与合规管理机制。

核心业务流程：包括市场推广及销售流程、客户服务流程、收入保障流程、新产品开发流程、网络规划和建设流程、采购及物流管理流程、网络管理及操作流程。

资源管理机制：包括人力资源管理机制、财务管理机制、信息技术管理机制。

根据企业实际情况各流程下可细分子流程：比如，市场推广及销售流程可细分为市场资费制定、渠道费用管理、计费管理等子流程。

3.2确定可审计对象，进行多维度、多角度分析，搭建审计范围框架体系

可审计对象是指值得审计事项与关注点，涉及内部审计人员对企业业务流程的职业判断，并基于一定风险考量基础。《内部审计标准说明》（S1AS）建议了10种可选择标准，主要有以下几类：

（1）按业务循环划分审计对象。企业内的各类组织通常被看做是由营销和销售、存货管理、资本性采购、人事薪金、采购和付款五种业务循环高度结合的系统。将组织简化为这五种业务循环，审计师就可以对范围较大的关联活动进行系统的检查。

（2）按职能部门划分审计对象。职能活动具有综合性，与内部控制有明显的重要联系。按职能部门划分审计对象，其结果与传统组织的组织结构相符合，便于操作和理解。一般服务业的职能部门包括营销、财务、管理、会计、人事、设备管理以及从事特定服务的部门。零售业存在采购和存货管理部门。制造业还包括制造职能。

（3）按项目划分审计对象。企业进行的各类经济活动，有时是按项目进行的，如基建项目、基础研究项目、产品开发项目等。按项目划分审计对象可能难以覆盖整个企业的经营活动，但按这种划分方式对重大项目进行绩效审计，常常能明显的为企业增添价值。

（4）按决策中心划分审计对象。这种划分方式与责任会计体现的思想一致，按权责利相互对应的原则将企业划分为成本中心、利润中心、投资中心，分别确认审计对象。想以组织中较大规模的部分作为审计对象，可以按决策中心划分。

（5）按地理位置划分审计对象。跨地区的大型企业，其内部组织分布的地域广。将地理位置临近的组织归集到一起作为审计对象，能方便审计工作，节省工作中的差旅费。按地理位置划分审计对象的方法也可以适用于地域跨度小的企业，譬如将各办公楼和各大楼中的不同分部、部门，按其楼层进行划分。这种标准过于简单，往往要与其他因素结合考虑。

（6）按会计系统划分审计对象。开展资产负债表审计、损益表审计时，是按财务报表的种类划分审计对象。内部审计可以针对总账、应收账款、应付账款、工资账等进行专项审计。因此，按会计系统划分审计对象也不失为一种思路。

3.3开展审计风险诱因评估及数据分析、制订年度审计计划。审计风险诱因，是直接影响风险程度的因素，通常是由于公司架构、人员、经营活动、技术或财务结果的变化而导致的。包括：基础架构稳定性/变化频率、地理因素、经营规模（收入水平、交易量、业务量）、业务及系统的复杂程度、合规要求、资产安全因素、对外部客户满意度、企业运营目标或公司业务模式的影响、外部合作/外包业务等以及一些重要/加权因素，例如前期审计结果、管理层需求及增长率等。针对这些风险诱因，结合企业实际情况，制定具体的评估标准。

在开展审计风险诱因评估中，可采取三种管理方法：

第一，以问卷形式收集各可审计对象所对应的风险诱因分析评估数据。针对各可审计对象可以采取定性及定量数据分析相结合的方式，细化数据指标，编制信息收集问卷，通过数据分析，对可审计对象的风险诱因进行评价排序，并将初步评价结果与各业务部门沟通。

第二，与业务部门负责人进行研讨。审计工作范围框架中的可审计对象在日常经营中都由适当的业务部门负责。作为风险评估程序之一，内审部门与业务部门就可审计对象在日常经营中的风险概况进行讨论分析，获取充分的风险诱因评估信息，对项目组依据定性定量数据分析判定的风险排序进行适当的调整。

第三，参阅以往的内部审计工作记录。通过参阅以往的内部审计工作记录，对风险诱因有进一步的认识。在与业务部门负责人通过研讨方式评估这些风险诱因的过程中，充分结合前期的审计发现，与其进行更深入的探讨。

依据每年度的风险诱因评估及数据分析，根据风险程度不同将可审计对象逐一排序，排序后，可以按照ABC方法，选取风险估值高的流程安排年度审计计划。

如果有下属分公司，参照上述风险评估方法选取风险估值高的分公司安排年度审计计划。围绕风险评估结果进行审计资源分配、审计时间安排、审计方案制定。

通过这一系列的工作的开展，可确定基本建立审计计划的编制流程及操作模式。

3.4持续评估，调整年度审计计划。年度工作中，随着市场竞争形势的变化，行业政策的变化，公司工作重心可能出现变化，流程中控制风险可能增强或减弱，这些风险因素的变化必将引起风险诱因估值的改变，原来风险评分低的可能因此会变得较高，年度审计计划需紧随风险诱因估值做出适当的调整。比如在半年工作结束时进行再评估，或者在风险因素出现显著改变时适时进行评估。

参考文献：

[1]卓继民.风险导向审计的最新发展——风险管理审计，现代企业风险管理审计，2006（6）.

[2]K.H.斯宾塞·皮克特，审计计划编制：风险导向方法，东北财经大学出版社，2009.

外包风险管理评估细则篇6

关键词：新资本协议；商业银行；公司治理；风险控制

Abstract: The corporate governance is directly related to the commercial banks to control the level of risk and performance. In 2004 the New Basel Capital Accord and the implementation of the introduction of the corporate governance of banks has put forward higher requirements to commercial banks， especially transnational operations of commercial banks to further improve their corporate governance.

Key words: New Capital Accord; commercial banking; corporate governance; risk control

前言

当前，随着我国大型商业银行的上市和转型，银行自身的公司治理面临着严峻挑战。鉴于我国也将在近期内对大银行实施新资本协议，如何借鉴巴塞尔新资本协议中公司治理方面的要求以及国际化大银行的相关经验，明确我国商业银行董事会和高级管理层的职责，改善公司治理结构，树立良好的公司治理运行机制，具有相当的紧迫性和必要性。

一、公司治理与银行业

1999年经合组织的《关于公司治理的五项原则》和2004年经合组织的《关于公司治理原则》的修订版中，明确提出了公司治理的五项原则：公司治理框架应保护股东权利；应平等对待所有股东，包括中小股东和外国股东；应确认公司利益相关者的合法权利，鼓励公司与他们开展积极的合作；应确保及时、准确地披露所有与公司有关的实质性事项的信息，包括财务状况、经营状况、所有者结构以及公司治理状况；董事会应确保对公司的战略指导。对管理层的有效控制；董事会应对公司和股东负责。

资产结构的特殊性、资产交易的非透明性、严格的行业管制和监管等银行业自身的特殊性的存在使得商业银行的公司治理既有公司治理的一般性，也有银行业的特殊性。所以，我们在建构商业银行的公司治理体系和运行机制时，既要考虑经合组织关于公司治理的要求，又要考虑银行业方面的特殊要求；在吸收上述内容和1999年的《加强银行组织的公司治理》中银行价值取向、战略目标、责权划分、管理者相互关系、内控体系、特殊风险监控、激励机制和信息透明等八个方面内容的基础上，新资本协议对公司治理的规定，特别是针对采用高级法的银行提出了更高的要求。

二、巴塞尔新资本协议中有关公司治理的要求

2004年，巴塞尔委员会正式推出了新资本协议，这一协议关于公司治理方面的内容后来在2006年的《加强银行公司治理》中得以充分展开，尤其体现在于其规定的稳健公司治理8条原则之中。在这一协议当中，明确提到银行组织的公司治理有两处：一是第一部分中也即第一支柱中的第三章（信用风险－IRB法）中的公司治理和监督；二是第三部分中也即第二支柱中的第二章（监督检查的四项主要原则）中的董事会和高级管理层的监督。当然，还应指出的是，新资本协议中的其他很多地方都和公司治理有密切关系，尤其是第三支柱中关于信息披露制度的规定。

新资本协议从公司治理、信用风险控制、内审和外审三方面阐述银行业的公司治理和监督。首先，明确了董事会的责任。董事会和董事会指定的委员会应做到：（1）批准所有评级和估值过程的重要方面；对银行的风险评级体系有一般性理解，并且详细地了解与评级相关的给管理层的报告；（2）制定包括资本计划在内的战略计划，并把资本计划视为能否实现其战略目标的关键要素；（3）确定银行对风险的承受能力，并确保管理层建立风险评估框架、风险资本系统和内部合规监测办法：采取并支持有力的内部控制，制定相关政策和程序，确保管理层将这些方法和规定在整个组织体系中有效地传达。

其次，明确了高管层的职责为：（1）建立一套评估各类风险的框架，开发一个将风险与资本水平挂钩的系统，制定并有效实施监测内部政策合规性的方法；（2）向董事会或指定的委员会，提供关于重大变化或现行政策例外情况的通告；（3）深入了解评级体系的设计和运作，批准现有的程序和实际做法之间的重大差异；保证评级体系连续、正常运作；定期开会讨论评级过程的表现、需要改进的领域及对不足之处的改进情况；听取内部风险控制部门的内部评级报告；（4）掌握银行所承担风险的性质和程度，了解资本充足程度与风险之间的关系，并根据相应的风险轮廓和商业计划，确保风险管理程序的规范性和复杂性。

再次，明确提出银行必须建立独立的信用风险控制部门，并规定其职责为：（1）负责内部评级体系的设计或选择、实施和业绩表现.包括：测试和监控内部评级；生成和分析银行评级体系的总报告，包括按照违约时的评级和违约前一年的评级进行分类的历史违约数据、评级迁移分析以及对关键评级标准趋势变化的监控。在各部门和各地区验证评级定义的实施程序。检查且记录评级过程的变化，包括变化的原因；检查评级标准以及评估评级对风险的预测情况。为了便于监管当局检查，必须记录和保留评级过程、标准或单个评级参数的变化。（2）必须积极参与评级模型的开发、选择、实施和验证，对评级过程中使用的模型承担监控和监督责任，并且对将来的检查和评级模型的改变承担最终责任。（3）必须和管理层人员定期开会讨论评级过程的表现、需要改进的领域及对不足之处的改进情况。

最后，明确了内审或同样独立的部门的职责：（1）必须每年至少检查一次银行评级体系及其运作状况，包括信用风险控制职能的运作和对违约概率、违约损失率及违约风险暴露的估计。检查的领域包括遵守达到全部最低要求的状况。（2）内审必须记录检查结果。（3）一些国家的监管当局，也要求对银行的评级过程及对损失的估计进行外审。

三、部分国外银行贯彻新资本协议公司治理的做法

随着全球金融体系的构建，各国金融关系越来越密切以及巴塞尔资本协议和新资本协议的推出，各国商业银行和监管当局为了应对新的挑战，也为了将巴塞尔资本协议和新资本协议落到实处，对商业银行的公司治理纷纷进行了进一步的完善和修正。

（一）澳大利亚

澳大利亚审慎监管当局于2006年9月的一份文件（《监管更新：新资本协议在澳大利亚的贯彻状况》）中对实行新资本协议高级法的银行的董事会和高级管理层明确规定了其职责：（1）董事会应批准：所有风险偏好和主要风险类型损失及其定义和测度方法、内部经济资本模型、融资成本和收益回收率方法等；（2）高级管理层：能够用配给资本的盈亏平衡点成本来表示相对收益中所蕴含的实际定价状况：能够用潜在风险（这一风险由经济资本模型的配给资本所反映）相对收益来评估业务条线和产品绩效；自身的绩效评估和激励补偿与承担的风险息息相关。

（二）香港金管局

香港金融管理局在香港新资本协议实施大纲中对银行业的公司治理做了一些规定。主要明确了相关组织结构、风险评估、高管层职责等。具体规定如下：（1）授权机构董事会和高级管理层对风险评级体系操作的有效监督，保证该体系的稳健运行。第CG－1章“香港注册机构的公司治理”和第IC－1章“全面风险管理控制”对上述人员的风险管理责任有详细的规定。上述大部分要求和做法应全面落实。（2）所有风险评级和估值过程的重要方面，都必须得到授权机构董事会（或指定的委员会）和高级管理层的批准。上述各方必须对授权机构风险评级体系具有一般性了解，并详细地了解与评级有关的管理报告。提供给董事会（或指定的委员会）的信息必须足够详细，能让董事或委员会成员决定继续采取授权机构评级方法是否适当，并验证评级体系的控制是否有效正确。（3）高级管理层必须履行：深入了解评级体系的设计和运作，批准现有的程序和实际做法之间出现的重大差异；保证评级体系连续、正常运作；信用控制部门的人员必须定期开会讨论评级过程的表现、需要改进的领域以及改进不足之处的效果。向董事会（或指定的委员会）提供关于重大变化或现行政策例外情况的通告，此重大变化或现行政策例外情况将对授权机构评级体系的运作产生实质性影响。有关内部评级信息必须向董事会（或指定的委员会）和高级管理层进行定期汇报。报告的范围和频率随着信息的重要性、类别及接受人员的级别而变化。（4）报告应包括如下信息：评级划分的风险总体情况；不同级别间的风险评级迁移：每个级别相关参数的估计；实际的违约率（在合适的情况下，指违约损失率和违约风险暴露）与预期值的比较；计量监管资本和经济资本之间的变化；信用风险压力测试的结果；内部评级检查、审核以及其他控制部门报告。

（三）加拿大银行业

加拿大银行业根据新资本协议和其国内相关的法律法规以及公司治理的现状，通过规范银行董事会的规模、结构、素质、专业委员会的责任和义务的分配等方面，来强化银行的公司治理结构，最大限度地保护股东权益。具体做法主要有：（1）“五大”银行的董事会成员从14～19人不等，除蒙特利尔银行外，各银行的董事会主席和总经理的职位不再由1人承担.总经理不进入专业委员会，董事会的基本功能是决策和监管；（2）由审计委员会负责审查与银行财务信息加工和披露有关的一切事务，包括对内部和外部审计人员的工作效果评价、对银行内部控制制度的建立和实施进行审核：（3）操守和风险管理委员会负责审核银行信贷与投资方面的风险问题和银行雇员的操守遵守情况；（4）公司治理和公共政策委员会负责董事会的日常工作安排；（5）人力资源委员会主要负责雇员的招聘工作和总经理继承人的备选工作，对总经理及其银行的高管人员的工作情况进行考核，审核银行的薪金激励政策等。

（四）美国银行业

依据2002年的《萨－奥法案》和新资本协议，美国银行业现阶段公司治理实践为：董事会要负责保证企业整体治理的有效性：审计委员会要负责确保企业内、外部审计过程严格有效；CEO、 CFO及其他高管人员要负责维持有效的财务报告和严格的信息披露制度，遵守道德操守，并对违法违规的高管进行严厉惩罚；重点在于构建良好的所有者、经营者及其他利益相关者责权利分配机制。美联储鼓励银行在依法合规的基础上，追求自身特点与国家法令的完美结合，探索出适合自身发展的最佳治理模式，并不强求形式上的完全统一。

四、我国商业银行公司治理现状

我国银行业基本按照现代公司治理制度构建其公司治理架构和运行机制，尤其是“五大商业银行”和股份制商业银行，基本能按照现代企业公司治理制度的要求来经营。其中，中国银行以董事会的指引和监控为主导，并与高级管理层的经营管理相分离。董事会五个专业委员会分别在战略规划、稽核、风险管理、人事和薪酬、关联交易控制方面协助董事会履行决策和监控职能，保证董事会议事、决策的专业化、高效化。中国银行的股东大会、董事会、监事会和高级管理层各司其职、各尽其责，实际上已发挥了重要的作用。董事长与行长分别由两人担任，以免权力过度集中。中国建设银行作为股份制改造的一部分，改造为股份制商业银行并相应建立了一个新的现代公司管理架构，明确了股东大会、董事会、监事会、高级管理层的权利和责任。其目标是按照“三会分设、三权分开、有效制约、协调发展”的原则，建立科学高效的决策、执行和监督机制，确保各方独立运作、有效制衡。

另外，我国现有5家股份制商业银行的公司治理状况（王传军， 2006）为：（1）流通股比重偏低；（2）国有股比重偏大（深发展和民生银行除外）；（3）银行的董事会规模均在14～17人之间，执行董事在董事会中所占的比重不高。非执行董事在董事会中占据了主导地位：董事会成员持股比重偏低，无法充分发挥股权长期激励的效果；董事双重兼职的情形颇为普遍；董事在银行领取报酬的人数增多；（4）专门委员会的设置基本符合规定，除华夏银行未设置审计委员会外，其他4家银行均已设置5个专门委员会；（5）独立董事，除深发展外，其他4家银行均达到了中国证监会和中国人民银行的比例规定；（6）监事会规模较大；除深发展外，监事成员双重兼职的情形普遍；监事成员持股比重较低；相对而言，监事在银行领取报酬的比重较董事更高；（7）高级管理层：遵从上市公司治理准则的规定，上市银行的董事长和总经理分别由不同的人担任；无高级管理层双重兼职情形，说明高级管理层与股东单位在人事上完全独立；高级管理层零持股现象普遍，股权的长期激励功能没有得到应有的发挥；高级管理层成员普遍在银行领取薪酬；薪酬的激励功效初显；（8）关于监督机制的调查，5家上市银行按照监管机构的规范，董事会、监事会对商业银行内部控制制度的完整性、合理性与有效性做出说明，并且由会计师事务所出具了内部控制状况评价报告，惟一的例外，是浦发银行并没有披露审计师出具的对内部控制评价报告；（9）关于激励与约束机制上市银行均已建立了对董事、监事和高级管理层的业绩考核制度，并且根据考核结果确定薪酬：（10）就整体而言，上市银行能够按照要求对相关信息进行披露。

就监管层面而言，中国银行业监督管理委员会在参照巴塞尔新资本协议中公司治理方面的要求和国外监管机构对银行公司治理方面要求的基础上，2006年颁布了《国有商业银行公司治理及相关监管指引》，从组织结构、股权、中长期战略、业务流程和管理流程、信息披露制度、信息科技、评估与监测、检查与报告等方面对国有商业银行公司治理提供了总计28条款的详细指引。

由上可见，虽然我国的商业银行公司治理取得了一定的进展，并且监管部门也出台了不少关于商业银行的公司治理规定，但是，对商业银行来说，其公司治理仍存在着诸多需要提升和改善的地方，诸如：董事会对公司风险的认识存在误区，并且没有进行适当的监督或对高管层和雇员的行为提出质疑；利益冲突、缺乏独立的董事会成员以及高管人员，导致高成本和低收益的决策；内部控制非常薄弱，甚至根本不存在或者流于形式，没有真正发挥作用：内部和外部审计“在重要关头倒头昏睡”，未能发现欺诈行为。甚至在有些情况下助长了这些行为：交易和组织结构的设计降低透明度、阻碍市场参与者和监管人员获得真实的信息；公司的文化加剧了不道德行为.并且阻止人们提出质疑。尤其是我们在公司治理方面仍然对实施新资本协议没有提出明确的具体要求，使得国有大银行实施新资本协议缺乏必要的制度保障和组织基础。

五、新资本协议实施情况对我国商业银行公司治理的要求和启示

针对中国银行业公司治理方面存在的问题，中国银监会提出解决这一问题的指导思想：既要吸收借鉴上述国际活跃银行在公司治理方面的有益经验，又要结合国情，保证国有商业银行公司治理架构不仅“好看”，而且“好用”。要根据本行的比较优势，确定好明确清晰的发展战略，有所为有所不为，以保持可持续的比较竞争优势。要进一步明确“三会一层”之间的职能界限，形成畅通的信息沟通机制和有效的制衡关系；树立股东价值和稳健经营理念，按照国际公众持股银行和境内外监管规则要求，推动董事会构成的专业化，强化独立董事的作用。要建立健康的决策机制，依靠董事会集体决策，依靠风险管理委员会、审计委员会等专门委员会为董事会决策提供基础。推动传统的公司治理向以风险管理为导向和基础的公司治理转变。

具体说来，首先应明确董事会职责：（1）建立董事培训学习机制，使其具备并不断提高风险识别和风险管理素质和能力，符合银行经营发展需求；（2）建立风险评级机制，成立风险评级专家小组或委员会，定期了解银行的风险评级体系.听取银行内部评级报告，包括所有风险偏好和主要风险类型损失定义、测度方法、内部经济资本模型、融资成本和收益率回收办法等方法的使用，形成评估报告，提交董事会审议批准；（3）根据风险偏好和风险承受能力，制定经营发展战略规划，匹配相应的资本，特别是要对市场风险和操作风险作出合理预测，安排必要的风险资本；（4）监督高级管理层内部评级架构设置及议事规则的健全性、执行过程的合规性和评级结果的有效性；（5）建立考核机制，对董事的履职情况进行评价和考核。

其次，应明确高管层职责：（1）建立评级制度，设置必要的组织机构，配备相应人员；（2）建立风险评估框架，开发风险资本系统，确定风险计量方法，设计风险计量模型；（3）批准风险评级实施过程及风险评级结果，定期审议内部风险报告；（4）建立纠正机制，分析风险的性质和复杂程度，不断完善评级方法和评级模型的设置，规范评级体系的运行；（5）向董事会或指定的委员会提供带来重大影响的重大变化或现行政策例外情况的报告；（6）确保风险管理部门、业务部门和审计部门在人事和财务等方面的相对独立性.对风险管理部门的主要负责人和工作人员实行强制性轮休制度；（7）对于商业银行所面临的风险和潜在风险，要建立相应的报告制度。对于不同的层级，要明确相应的报告时间、报告地点、报告频率和报告内容、报告路线等。

再次，应构建独立的风险控制部门，并明确其职责：（1）确保商业银行所面临的主要风险类型被商业银行风险控制体系所监控、捕获和风险定义的一致性；（2）针对不同类型的风险，商业银行风险管理部门要建立有效的风险预警、风险评估、风险缓释和风险控制等体系；（3）设计和验证相关风险评估模型，包括相关系数、风险暴露、时间步长等要素，充分评估模型风险；（4）测试和监管风险评级测试和监控内部评级；生成和分析银行评级体系的总报告，包括按照违约时的评级和违约前一年的评级进行分类的历史违约数据、评级迁移分析以及对关键评级标准趋势变化的监控。在各部门和各地区验证评级定义的实施程序。检查且记录评级过程的变化，包括变化的原因：检查评级标准以及评估评级对风险的预测情况。为了便于监管当局检查.必须记录和保留评级过程、标准或单个评级参数的变化；（5）定期向董事会和高管层提交相应的风险评级报告、风险评估报告和模型验证等各类报告。对于异常突发风险事件，定期或非定期及时向高管层和董事会报告。

外包风险管理评估细则篇7

关键词：风险导向审计；审计模式；适用性分析

随着国内外重大审计失败事件的不断发生，风险导向审计作为一种重要的审计理念和方法，受到审计职业界和学者的关注。中国注册会计师协会在2004年10月了新的审计风险准则征求意见稿，要求注册会计师在审计中使用现代风险导向审计方法，实施风险评估程序，降低审计风险，提高审计质量。如果审计风险准则一旦正式生效，将使我国的审计风险准则与国际接轨，并引导中国注册会计师实务由传统风险导向审计向现代风险导向审计转变。因此，对现代风险导向审计模式的理解以及在我国的适用性分析就显得十分重要。

一、风险导向审计概述

随着社会经济的发展变化，审计方法适应审计环境的变化经历了三个发展阶段：一是审计发展的早期，由于企业组织结构简单、业务性质单一，注册会计师的审计工作目的是为了促使受托责任人在授权经营过程中做出诚实、可靠的行为，审计方式是详细审计。审计的重心在资产负债表，是对会计凭证和账簿的详细审计，旨在发现和防止错误与舞弊，这种审计方法就是账项基础审计方法（accountingnumber-basedauditapproach）。二是从1950年代起，以内部控制测试为基础的抽样审计在西方国家得到广泛应用，这种审计方法重点在于注册会计师了解、测试和评价内部控制设计的合理性和执行的有效性。对内部控制存在缺陷的环节，注册会计师通常将其涉及交易和账户余额作为审计的重点，甚至进行详细审计；对于可以信赖的内部控制环节，通常将其涉及的交易和账户余额进行抽样审计，以提高审计效率和降低审计费用。从方法论的角度，这种审计方法被称作制度基础审计方法（system-basedauditapproach）。三是1970年代以后，由于制度基础审计方法显露缺陷，一种新的、以风险防范为基础的风险导向审计模式逐渐兴起，从方法论的角度，注册会计师以审计风险模型为基础进行的审计方法称为风险导向审计方法（risk-orientedauditapproach）。

回顾审计方法的发展历程，风险导向审计模式已成为审计方法发展的国际趋势。风险导向审计模式合理地扬弃了作为制度导向审计模式基础的“无利害关系假设”，把指导思想建立在“合理的职业怀疑假设”的基础上，不只依赖对被审计单位管理层所设计和执行内部控制制度的检查与评价，而且实事求是地对公司管理层是否诚信、是否有舞弊造假的驱动始终保持一种合理的职业警觉，将审计的视野扩大到被审计单位所处的经营环境（微观、中观乃至宏观），将风险评估贯穿于审计工作的全过程。与传统的制度基础审计相比较，主要有以下区别：

（一）审计模式不同

制度基础审计模式以内部控制为核心，对控制风险的评估仅通过确定内部控制的可依赖程度来减少实质性测试的工作量，而对固有风险的评估常流于形式；风险导向审计模式不仅通过内部控制评估控制风险，还结合其他风险因素尤其是固有风险综合考虑，通过对企业环境、发展战略、公司治理结构等方面的评估，发现其潜在的经营风险及财务风险，并评估财务报表发生重大错报的风险，以便使审计风险降至可接受水平。

（二）审计基础不同

制度基础审计以内部控制制度为基础，根据被审单位内部控制制度的健全性及符合性评审结果，确定实质性测试的范围和重点；风险导向审计则以风险评估为基础，对影响被审单位经济活动的多种内外因素进行评估，确定审计范围、重点和方法，其不仅重视与内部控制系统直接相关的因素，而且重视各种环境因素。

（三）审计方法不同

两种审计模式都采用抽样技术，但风险导向审计是通过建立审计风险模型将风险量化。因此，相对于制度基础审计来说，风险导向审计的抽样技术是更完全意义上的审计抽样，更注重利用分析性测试方法，从而可以有效降低审计风险。

二、风险导向审计的两种模式

风险导向审计自产生以来经历了两个阶段，理论界把以传统审计风险模型“审计风险=固有风险×控制风险×检查风险”为基础进行的审计称为传统风险导向审计模式；而将1990年代后期开始，在国际会计师事务所内部推行并逐渐被审计理论与实务界接受的，以“审计风险=重大错报风险×检查风险”的模型为基础，以被审计单位的经营风险为导向的审计方法称作现代风险导向审计模式。

传统风险导向审计模式与现代风险导向审计模式的本质区别在于审计理念和审计技术方法的不同，后者是对前者的改进，其主要区别如下：

（一）审计起点不同

传统风险导向审计运用的审计风险模型中，固有风险是指假定不存在相关内部控制时，某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报的可能性。控制风险是指某一账户或交易类别单独或连同其他账户、交易类别产生错报或漏报，而未能被内部控制防止、发现或纠正的可能性。传统风险导向审计方法通过综合评估固有风险和控制风险以确定实质性测试的范围、时间和程序，由于固有风险难以评估，审计的起点往往为企业的内部控制（如果没有必要测试内部控制，审计的起点则为会计报表项目）。

现代风险导向审计方法通过综合评估经营控制风险以确定实质性测试的范围、时间和程序，其审计起点为企业的战略系统及其业务流程。如果企业的业务流程不重要或风险控制很有效，则将实质性测试集中在例外事项上。这种新模式的优点是将审计的重心前移到风险评估，这将有利于充分识别和评估会计报表重大错报的风险，因此，主要针对风险设计、实施控制测试和实质性测试程序。此外，注册会计师容易全面掌握企业可能存在的重大风险，有利于节省审计成本，克服因缺乏全面性观点而导致的审计风险。

（二）风险评估识别以分析性复核程序为中心

现代风险导向审计注重运用分析性复核程序，以识别可能存在的重大错报风险；而传统风险导向审计对于信息的再加工程度不够，其分析性程序主要用在报表分析上。分析性复核程序已成为现代风险审计方法最重要的程序，为了适应分析性程序功能扩大的要求，分析性程序开始走向多样化：在数据分析上不但要对财务数据进行分析，也要对非财务数据进行分析；在分析工具上借鉴现代管理方法，把战略分析、绩效分析、财务分析及前景分析等分析工具运用到风险评估之中，使风险因素不再惟一，变一元风险评估为多元风险评估，使得出的风险评估结果更加可靠。

（三）风险评估方式由直接评估转变为间接评估

传统风险导向审计的风险评估是一种直接的方式，即直接评估重大错报的概率。现代风险导向审计模式是从经营风险评估入手，间接地对审计风险进行评估，因为经营风险越高，审计风险也越大，也就是管理舞弊的可能性越大；并且从经营风险中能更有效地发现财务报表潜在的重大错报，因为财务报表是经营的反映，如果经营风险未能在报表中得到体现，则财务报表很可能失真。此外，会计政策、会计估计的合理性

评估也只有从经营风险入手，才能进行正确的评估。

（四）审计程序实施具有个性化

传统风险导向审计模式审计程序是标准化形式，对不同的被审计单位都使用标准相同的审计程序，其缺陷是没有足够贯彻风险导向审计思想，使注册会计师无法突破客户预先设置或防范的措施，难以做出正确的审计结论。现代风险导向审计方法要求注册会计师将评估及识别的审计风险与实施的审计程序相结合，针对不同客户以及客户不同的风险领域实施个性化的审计程序。

（五）审计证据的内涵扩大

在现代风险导向审计方式下，审计重心向风险评估转移，审计证据也由内部向外部转移。因此，注册会计师必须充分了解企业整体经营环境，由此评估客户的经营及审计风险，同时必须从外部取得大量的外部证据来证明风险评估的恰当性。风险导向审计模式下，注册会计师形成审计结论所依据的审计证据不仅包括实施控制测试和实质性测试获取的证据，还包括了解企业及其环境获取的证据。

（六）扩充了内部控制要素

传统风险导向审计方法下的内部控制是指被审计单位为了保证业务活动的有效进行，保护资产的安全和完整，发现、纠正错误与防止舞弊，保证会计资料的真实、合法、完整而制定和实施的政策与程序。内部控制要素包括控制环境、会计系统和控制程序。现代风险导向审计方法下的内部控制是指被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵循，由治理当局、管理当局和其他人员设计和执行的政策和程序。内部控制的三要素扩充为五要素，即控制环境、被审计单位的风险评估过程、与财务报告相关的信息系统和沟通、控制活动和对控制的监督。

（七）对注册会计师的专业知识提出了更高要求

现代风险导向审计对注册会计师的专业素质提出更高要求，其重心从会计、审计知识转向管理和行业知识。现代风险导向审计下审计结果主要依赖风险评估，风险评估的各种分析方法要求掌握现代管理知识和行业知识（包括市场、研发、生产等方面），这对注册会计师提出了更高的要求。注册会计师应该是复合性人才，不但要掌握一般常用分析工具，还要接受现代管理知识和行业专业知识训练。

三、现代风险导向审计模式在我国的适用性分析

基于上述分析，现代风险导向审计模式是审计发展的一种必然趋势。2003年10月，国际审计与鉴证准则委员会（IAASB）通过了新的审计风险准则；中注协也在2004年10日了修订后的审计风险准则征求意见稿，不仅将使我国的审计风险准则与国际接轨，同时也为提高审计质量、降低审计风险提供了技术支持。审计风险准则一旦正式生效，将引导中国注册会计师实务由传统风险导向审计向现代风险导向审计转变，会对我国的注册会计师审计理念、审计程序及审计责任产生非常大的影响。

然而，目前要在我国推行风险导向审计模式还存在一定的制约条件和需要解决的问题：

（一）会计师事务所审计成本与效益问题

实施风险导向审计模式的前提是成本能得到补偿。现代风险导向审计模式在审计计划阶段和执行控制测试阶段，注册会计师关注的范围扩大，程度加深，导致工作时间和审计成本的增加，在市场竞争激烈的情况下，成本的增加往往不可能过渡到收费的同步增加。此外，还需要一定的投入来培训注册会计师，使他们掌握业务流程和行业知识等有关方面的知识。如果这些成本得不到补偿，就会使一部分中小会计师事务所在竞争中无法生存。

（二）信息系统的建设问题

现代风险导向审计的重要特征是审计重心前移，注册会计师必须首先执行风险评估程序，充分了解客户整体经营环境，然后针对风险不同的客户、客户不同的风险领域，设计个性化的审计程序。因此，会计师事务所必须建立强大的信息系统，以便注册会计师在风险评估时了解企业的战略、流程风险管理、业绩衡量等。而目前国内很多事务所对行业风险和企业经营风险缺乏了解，客户的相关信息不够充分，信息系统的建设还达不到现代风险导向审计的要求，导致风险评估不准确。因此，风险导向审计的运用仅限于老客户，对新客户还是将大量时间用于实质性测试。

（三）审计从业人员素质问题

现代风险导向审计对审计从业人员的业务素质提出了新要求，不仅要具备丰富的审计理论和实践经验，还要具备必需的管理学知识和经济学知识，能够运用系统的、战略的观点充分了解、分析企业所处的宏观经济环境和行业发展状况，对有可能导致企业会计报表错报风险的内外部因素进行客观、系统的分析与评价，将审计视角扩展到内部控制以外，从较高层面上评估风险，而不是仅仅注重企业会计处理的细节。

（四）辅助审计软件的使用与完善问题

现代风险导向审计方法中分析性程序占据非常重要的地位，辅助审计软件的使用在其中发挥着重要的作用。西方发达国家大量运用分析性程序的条件是辅助审计程序的开发和运用，它可以直接对数据库进行加工分析，依据软件模型自行处理数据，使运用分析性测试程序成为节约成本的重要手段。另外，采用审计软件使统计抽样的样本更具代表性，审计抽样风险可控，为风险导向审计提供了技术支持。目前，我国在审计软件的开发和使用上不够理想，还有待提高，而且大部分注册会计师缺少相应的技术准备，在现阶段推行现代风险导向审计方法只能是一种愿望。

如上所述，目前在我国全面推行现代风险导向审计模式还受到许多制约，尽管它有很多优越之处，但在我国还不能够普遍推行。当前我国独立审计准则主要是以制度基础审计模式为基础的，而且相当一部分从事小规模企业审计工作的会计师事务所和注册会计师，基本上仍然在运用账项基础审计模式。但是，现代风险导向审计的实行是一种理念的改变，我们可将制度基础审计与风险导向审计有机结合。即使在现行审计准则仍然主要以制度基础审计模式为基础的情况下，吸取风险导向审计模式的基本观点和做法，则是完全可行的。通过把风险导向审计中控制风险的理念和方法融合到制度基础审计中，使其他审计模式忽略审计风险的缺陷得到弥补，将会为探索适合我国的现代风险导向审计模式积累有益的实践经验。

参考文献：

〔1〕陈毓圭。对风险导向审计方法的由来及其发展的认识〔J〕。会计研究，2004，（2）。

〔2〕常勋，黄京菁。从审计模式的演进看风险导向审计〔J〕。财会通讯，2004，（7）。

外包风险管理评估细则篇8

关键词：韩国投资公司；主权财富基金；投资模式

亚洲金融危机后，韩国意识到外汇储备在应对金融危机中能发挥保险的功能，一改过去偏重“高借贷、低储备”的金融政策，开始注重外汇储备的积累。2000年8月，在全部偿还了国际货币基金组织提供的195亿美元贷款后，外汇储备快速增长。2001年，韩国外汇储备首次突破1 000亿美元，2005年超过了2 000亿美元。2005年7月，韩国决定成立韩国投资公司。其首要任务是通过有效管理国家公共基金，增加主权财富基金的长期购买力；随着委托资产增加，把韩国投资公司发展成为位居韩国之首的全球投资管理公司；促进韩国金融业的发展，使其成为主要金融中心；培养锻炼在国际金融市场运作的专业人才队伍，以加强韩国在国际金融中心中的地位。作为韩国的主权财富基金，韩国投资公司成立时间虽然不长，但其已经发展了一套较完整的投资运作模式。

一、建立了投资管理组织架构

韩国投资公司下设管理委员会、董事会、投资管理部、公司管理部、风险管理部。

管理委员会是韩国投资公司的最高决策机构，负责建立基本管理政策和把握公司发展方向。授权解决以下问题：确定韩国投资公司中长期投资政策；修改金融法，如增减资本；将资产委托给韩国投资公司；决定公司官员的任免；批准韩国投资公司的预算与会计结算；评估公司管理绩效；监督公司业务。

管理委员会成员不超过12人，包括一位主席。目前由9人构成，6位专家中有学术界、法律界、投资运营专家各两人，其他成员为战略与财政部部长、韩国银行行长和韩国投资公司总裁。

管理委员会应解决与投资有关的问题，如制定韩国投资公司中长期投资政策，把资产委托给韩国投资公司，编制公司年度投资计划，确定公司风险管理政策，选择公司外部基金经理等。

管理委员会建立了投资管理委员会分会和风险管理委员会分会，两者职责是对管理委员会委派事项进行审议。投资管理委员会分会负责审议如下事项并将结果报告给管理委员会：如形成并修订投资政策；制定年度投资计划；提交管理委员会审议和解决的其他有关投资事项。风险管理委员会分会负责审议并报告给管理委员会的事项诸如：形成并修订风险管理政策；提交年度投资绩效和风险管理的现状报告；提交管理委员会审议和解决的其他有关风险管理事项。

董事会由总裁及董事组成，主要负责提交到管理委员会审议并决策的事务。总裁代表韩国投资公司负责公司的日常运营。

投资总监主要负责总体的投资经营活动，向董事会及管理委员会报告重要的投资事项及执行管理委员会的决议。投资总监主要职责是：（1）建立投资策略和资产配置计划；（2）制定年度投资计划；（3）管理投资组合的再平衡；（4）审核修改投资政策；（5）监督外部经理人选拔委员会；（6）监督投资绩效。审查其他与投资相关的问题。

运营总监负责全面的计划管理工作，其主要职责是起草中长期管理策略和年度业务规划，保证系统能够支持投资业务正常运转，监测投资信息系统。

风险总监负责全面的风险管理工作。包括制定风险管理政策和计划，进行风险管理，监督投资绩效，各种相关的风险因素，从管理角度考察内部控制程序，检查在管理受托资产及进行其他业务活动中可能出现的各种风险。

二、细化了有关投资政策

在投资政策中规定了投资目标，即在适当风险水平内，获取超过基准的持续稳定的回报。并提出应掌握的两个投资原则：一是通过资产组合多样化将单个资产或市场的风险最小化，二是在审慎负责的资产管理政策指导之下，追求回报的持续增长，当出现投资机会时，适当发挥灵活性，积极抓住机遇。对于资产类别的选择，规定可以包括各种证券（在《韩国投资公司法》下定义的股票和债券）、外国货币及衍生品等。在2005年的投资策略中，考虑到委任给韩国投资公司的资产大部分是外汇储备的一部分，因此禁止韩国投资公司投资于房地产和私募股权。2008年扩大了投资范围，允许投资于备选资产。此外，还要求对每种资产类别的管理应遵循委托人提供的投资指引。在间接投资的情况下，根据委托人的投资政策和指引，投资公司应向外部基金经理提供独立的投资指引。外部基金经理投资指引主要包括投资目标、投资基准、合格的资产分类、投资限制、绩效评估的标准与方法和报告方法。

投资政策中还有其他考虑。首先是投资衍生品的前提条件。为达到韩国投资公司的长期目标，可以使用互换、期权、期货及远期作为策略性投资工具，但在委托人的指引中必须同意进行此类投资，否则韩国投资公司不得投资衍生品。其次是允许韩国投资公司借出证券赚取收益，但要经管理委员会的同意，而且要求韩国投资公司能管理好借出证券的相关风险。此外，赋予韩国投资公司行使同资产投资相关的投票权及由委托人委托的共同诉讼或其他诉讼相关的权利。在间接投资的情况下，按投资管理协议中的规定，投票权可以委托给外部基金经理。韩国投资公司应定期监测并向董事会和管理委员会报告投票权的行使现状。

三、规定了全球资产配置的种类和技术处理方法

韩国投资公司专注于海外投资。由管理委员会主要审议及处理由投资总监制定的全球资产配置计划，此资产配置应该说明韩国投资公司管理的资产投资于不同资产类别的比例，及每种资产的子资产类别。资产配置可分为策略性资产配置（saa）和战术性资产配置（taa）。前者由委托人提供的投资指引决定，后者在投资指引下，利用短期市场条件取得超额回报。成立初期，资产配置中70%为固定收益投资，30%为股权投资。投资基准为雷曼全球加总债券指数（lehman global aggregate index（fi））和摩根士丹利国际资本世界股票指数（msci world index（eq））。2009年债券组合由56个国家的21种货币组成，基准为巴克莱资本全球总和债券指数。股票组合由38个国家的27种货币组成，仍以摩根士丹利国际资本（msci）世界指数为基准。在初期受托的200亿美元资产中，35%由国内管理，65%转委托给外部基金经理。计划未来逐步提高国内管理资产能力，以增加国内管理资产的比例。

2008年1月，战略与财政部决定再委托给韩国投资公司20亿美元，投资于备选资产，备选资产范围很广，包括私募股权基金、房地产、风险资本、对冲基金和商品等。

对资产配置技术处理可以采用组合再平衡方法。在资产价值、现金流或突发的市场波动导致偏离了资产配置目标允许范围时，根据投资指引，投资总监应采取及时有效的方式对资产组合进行再平衡。

韩国投资公司以外币计价管理韩国外的委托资产。只有在临时性、不可避免的情况下，才可按韩元本币计价。

四、允许使用外部服务提供者

外部服务提供者包括外部基金经理、外部顾问和托管人。韩国投资公司受托的资产可以重新委托给外部基金经理。为确保投资公司招聘高水平的外部基金经理，投资基金经理的挑选过程是客观的并具有竞争性。要求每位选中的外部基金经理都有经验和能力管理与韩国投资公司投资目标相匹配的投资。

外部基金经理的选择是由韩国投资公司建议外部基金经理人数，将第一轮评估中选中的外部基金经理提交研究委员会批准或作为推荐，再由投资总监主持的研究委员会向管理委员会提交推荐，最后由管理委员会审议研究委员会的推荐，并投票表明拒绝或接受。

外部基金经理的选择过程应按管理委员会批准的外部基金经理选择指引进行。韩国投资公司应保持对外部基金经理的监管，当出现影响外部基金经理投资能力和投资组合价值事件时，外部基金经理应立即通知韩国投资公司。这些事件包括：管理发生的变化、融资头寸有重大变化、经营方向发生变化、主要官员发生变动、负责投资管理的主要人员发生变动、违背了法律和规则、提供给韩国投资公司错误、遗漏和虚假的信息。

董事会可利用外部顾问服务，外部顾问应：（1）提供投资咨询，如资产配置、投资组合构建、外部基金经理选择、资产类别评估和分析；（2）提供与受托资产投资相关的法律建议；（3）提供与受托资产投资有关的税收建议。

外部顾问的选择应该透明、客观、具有竞争性，选择结果应上报管理委员会。外部顾问的选择标准应注重考察在服务咨询方面的专长和经验；外部咨询顾问工作的稳定性和持续性；提供服务的范围和质量以及服务收费情况等。

托管人的选择由董事会指定，对委托资产进行有效的、健全的管理，委托资产要进行交易结算、会计和报告。

托管机构的选择也应透明、客观、具有竞争性，选择的结果应报告管理委员会。

委托机构的选择标准应侧重委托服务方面表现是否出色；是否有适当的风险管理系统；在委托服务方面有无经验；服务范围的大小和质量好坏；财务是否稳健以及服务费用的高低。

五、规范了风险管理的内容

韩国投资公司对受托资产投资中风险类别进行划分，提出了风险管理的原则、程序和报告内容。

将主要风险划分为市场风险、信用风险、衍生产品风险和操作风险。

韩国投资公司根据量化模型确定跟踪误差来管理市场风险。量化模型以每日各类资产变动

为基础。在为单个组合建立事前跟踪误差限额时，为确保有效分散市场风险，会考虑每种组合的投资策略、目标回报和风险水平。韩国投资公司还规定了合规的投资币种、投资的国家和投资渠道，以避免高风险产品的风险集聚。另外，对单个组合进行监视，使其回报不过低于基准回报。为应对金融市场的不确定性，还设定了一个期间，分不同情景进行压力测试。此外从证券发行人、发行国和市场多个角度分析评估市场风险也是一种行之有效的方法。

信用风险主要源于投资组合中持有的债券及在场外交易中交易对手的信用风险。管理信用风险是根据国际信用评级机构标准普尔、穆迪和惠誉的评级，设定信用评级中的最低投资级别。针对衍生产品风险，韩国投资公司选择了适合投资的衍生产品，规定了投资头寸限额，限制过度杠杆交易。操作风险侧重在对人员风险、程序风险和技术风险的控制上。此外合规部通过要求员工遵守《合规手册》、《道德准则》和《行为准则》，降低业务风险、声誉风险和法律风险。

风险管理原则是韩国投资公司可以通过预防性和系统性风险管理来减少过度的风险和损失，在风险和期望收益之间能够达到平衡。韩国投资公司的风险管理政策由风险管理小组准备，受风险管理委员会分会审查，最后由管理委员会批准。在委托人已编有投资指引情况下，风险管理小组应准备单独的风险管理指引，此指引将结合委托人的指引并取得管理委员会的批准。风险管理程序是根据管理委员会批准的风险管理政策和指引作出的，风险管理小组根据以下程序管理风险：（1）根据风险类型识别风险；（2）根据客观的数据和科学方法测算和评估风险；（3）根据风险类型设定限制；（4）监测和报告。检查风险限定的遵守情况，有违背时，根据预定程序采取行动并上报合规官员、运营总监、投资总监、董事会及管理委员会；（5）审查和反馈。维持和持续改进风险管理系统。

风险管理小组测量和监督实际投资细节和风险，根据韩国投资公司的法律和规则，保留相关的文件并报告给董事会和管理委员会。

风险管理报告的内容有：持有的投资组合和交易细节；风险测量方法，是否采用var和跟踪误差等；有无敏感性分析指标，如久期、贝塔、期权德尔塔；信贷风险暴露情况；压力测试情况；有无违反投资指引或相关规定；资产价值是否有重大变化；投资组合信用评级有否改变；其他风险管理的重大事项。

六、提出了绩效评估、监测的原则和方法

绩效评估目标是通过绩效评估和投资组合归因分析来提高委托资产管理的效率和透明度。韩国投资公司的绩效首先由独立于投资小组的风险管理小组进行评估。如必要，可由包括外部专家的绩效评估委员会进行第二轮评估。根据韩国投资公司法律和规则中规定的方法和程序，将评估结果上报董事会和管理委员会。

绩效评估的主要原则是：制定精确、一致的评估标准；建立合理、公正的绩效评估程序；采用已调整的风险回报。

各投资组合绩效应当用超额回报来估测，它是根据有关基准和风险调整回报得到的。

绩效评估应对组合的投资回报和风险进行分析，根据协定的基准作出，如果有相近者，在相近者内进行评估。

绩效监测和评估要定期并按要求进行：按月度对总体及单个投资回报进行评价；按季度对金融市场趋势和表现进行评价；按年度对单个投资组合、总体投资组合和所有经理的表现进行综合的评估。

在间接投资的情况下，投资小组接受来自外部基金经理的月、季、年度报告，用来监测和评价每个外部基金经理。风险管理小组应结合托管银行提供的信息报告来实行独立和综合的监测与评估。

根据相关法律和法规中的方法、频率和程序，风险管理小组准备绩效评估和分析报告，将其报告董事会及管理委员会。报告内容涉及市场最新情况、展望及基准分析，组合头寸与绩效分析，组合绩效归因分析。

七、建立健全了相应的法律法规

2005年3月，韩国颁布了《韩国投资公司法》，并于7月1日韩国投资公司成立时生效，目的是使韩国投资公司有效管理政府、韩国银行委托的资产。为了防止腐败，韩国总统在2006年3月为韩国投资公司颁布了《行为准则》。同日还颁布了《道德准则》，为韩国投资公司的员工提供正确决策和伦理道德判断的标准。2006年7月韩国投资公司推出了《投资政策陈述》，以说明当韩国投资公司管理来自韩国政府、韩国银行和在基金管理法框架下的其他公共基金委托的资产时，必须坚持的投资政策、程序和标准。

中国主权财富基金中投公司自2007年成立后，建立了组织架构。最初的组织结构并不完善，后按资产配置类别对有关部门重新调整，结构日趋合理。投资政策方面，中投公司在2009年年报中，公布了投资战略继续秉承的四项原则和投资组合的资产类别构成，但仍未明确给出各种资产配置的比例基准以及配置的国家和行业。透明度虽有

提高，但与韩国投资公司相比，仍有可改进之处。在聘用外部基金管理人方面，中投公司建立了一套严格的评选机制，以保证吸收优秀人才加入团队。中投公司还成立了风险管理委员会，建立了风险管理框架。但在相应的投资行为和道德伦理立法方面，还有待完善。

总之，韩国投资公司在成立后很短的时间内就建立了投资管理组织架构，细化了投资政策，明确了全球资产配置的种类和技术处理方法，允许使用外部服务提供者，规范了风险管理原则、程序和报告，提出了绩效评估、监测的原则和方法以及建立健全了相应的法律法规。韩国投资公司的投资模式与经验，值得中国中投公司借鉴。

参考文献：

[1]korea investment corporation code of ethics，2006.

[2]the bank of korea，annual report，2005 to 2008.

[3]korea investment corporation，annual report，2005 to 2009.

外包风险管理评估细则篇9

【关键词】资料；归档管理；档案管理制度

引言

东莞市防雷设施检测所是东莞市气象局重要的对外服务单位，日常主体业务产生的文书资料、影像资料繁多，为有效管理这些资料，需建立健全的档案管理制度来规范业务工作，以体现公开、公平、公正的服务原则。

1 现行东莞市防雷设施检测所档案管理状况

1.1 东莞市防雷设施检测所主体业务资料

防雷所日常工作所产生的资料繁多，主体业务资料包括建筑物年度检测资料，建筑物竣工验收资料，建筑物新建、扩建报建资料，风险评估资料，雷灾调查资料，内部评审，外部评审，现行规范，内部文件，实验室资质资料，各项工作细则等。

1.2 东莞市防雷设施检测所档案管理机构

现行防雷所内的档案管理机构主要是审核组，有一名资料收集归档人员和一名资料归档审核人员。资料收集归档员并非专职，仅对建筑物年度检测资料，建筑物竣工验收资料，建筑物新建、扩建报建资料，报建审核资料，风险评估资料进行收集归档。

1.3 东莞市防雷设施检测所档案管理存在的问题

由于缺乏健全的档案管理制度和专职人员，所内仅对日常主体业务资料进行收集归档，但一些非主流的资料并没有进行有效的管理。例如：归档资料的借阅和查阅，资料销毁，仪器报废维修，会议记录，技术讨论结果等等。

2 东莞市防雷设施检测所档案管理建立档案管理制度

2.1 档案管理原则

（1）加强防雷设施检测所档案管理工作，更好地为企业提供信息服务。

（2）防雷设施检测所档案是防雷所在各项活动中形成的全部档案是总和，其中以防雷检测档案为主体，包括：新建防雷设施资料，定期年检资料，化学危险品场所防雷资料，报建资料等等。

（3）档案工作是企业管理基础工作的组成部分，是维护防雷所经济利益、合法权利和历史真实面貌的一项工作。

（4）档案工作要坚持统一领导，分级管理的原则。

（5）归档的文件材料必须按年度立卷，本单位内部机构在工作活动中形成的各种有保存价值的文件材料，都要按照本制度的规定，分别立卷归档。

（6）结案后及时交专职人员归档。工作变动或因故离职时应将经办的文件材料向接办人员交接清楚，不得擅自带走或销毁。

2.2 东莞市防雷设施检测所档案管理组织架构

建立四级的管理体制。所长统领整个所内的档案管理工作；归档审核员对各项资料结案确认、编号入室；专职资料收集归档员对各项资料进行收集归档提交归档审核员；报建窗口收集新建、扩建报建资料和发票，审核组收集报建审核资料，检测组收集年度检测资料、竣工验收资料和分段验收资料，风评组收集雷击风险评估资料和雷灾资料，办公室收集上级单位的文件、人事资料、各项工作细则等。

2.3 归档资料范围

2.3.1 东莞市防雷检测所各项工作细则

（1）防雷装置报建审核工作细则；（2）防雷装置年度检测工作细则；（3）防雷装置竣工验收工作细则；（4）雷电风险评估业务操作细则；（5）计费、收费和发票管理工作细则；（6）防雷合格证、副证、报告书发放、更改和销毁工作细则；（7）档案管理工作细则；（8）印章使用操作细则；（9）技术规范使用操作细则；（10）图纸使用操作细则；（11）仪器、设备、办公用品购买使用操作细则；（12）内部管理评审工作细则；（13）实验室资质认定操作细则；（14）文件收发操作细则；（15）保密工作细则；（16）公众网信息操作细则；（17）以上细则修改、作废操作细则。

2.3.2 防雷装置报建材料

（1）防雷装置报建登记表；（2）防雷工程专业资质；（3）焊工证书；（4）相关图纸；（5）建设工程规划许可证；（6）防雷装置报建受理回执。

2.3.3 防雷装置设计审核材料

（1）防雷装置设计审核申报表；（2）防雷装置设计审核资料补正通知；（3）防雷装置初步设计核准意见书；（4）防雷装置设计核准意见书；（5）防雷装置设计审核受理回执；（6）新建建筑物防雷装置检测手册；（7）防雷装置检测协议书；（8）缴费发票。

2.3.4 防雷装置竣工检测材料

（1）防雷装置竣工验收申请书；（2）防雷装置检测报告；（3）防雷装置合格证；（4）防雷装置检测原始记录表；（5）新建建筑物防雷装置检测手册；（6）图纸（共张）；（7）客户满意度调查表。

2.3.5 防雷装置年度检测材料

（1）防雷装置检测协议书；（2）交费发票；（3）防雷装置检测报告；（4）防雷装置合格证；（5）防雷装置检测原始记录表。

2.3.6 雷电灾害风险评估材料

（1）建设工程立项批文；（2）雷电灾害风险评估协议书；（3）雷电灾害风险评估报告；（4）雷电灾害风险评估原始记录单；（5）交费发票。

2.3.7 雷电灾害调查材料

（1）雷电灾害调查原始记录；（2）雷电灾害调查报告。

2.3.8 学习、会议记录资料

（1）学习、会议纪要；（2）技术讨论结论记录。

2.3.9 防雷设施检测所人事档案资料

（1）劳动合同；（2）学历资料；（3）职称资料；（4）培训资料；（5）上岗证资料；（6）奖励证书；（7）社保缴交资料；（8）任命文件。

2.3.10 仪器、设备、办公用品资料

（1）仪器、设备、办公用品购买申请、发票；（2）仪器、设备使用说明书；（3）仪器、设备检定证明；（4）仪器、设备使用登记表；（5）仪器、设备维修登记表。

2.3.11 其他资料

内部评审资料，外部评审资料，实验室资质认定资料，现行使用规范，上级部门发放文件，培训学习资料等。

3总结

通过分析东莞市防雷设施检测所档案管理现在的缺陷，针对防雷所的主体业务和对外服务的特性，依据中国气象局第20号令《防雷减灾管理办法》、中国气象局第21号令《防雷装置设计审核和竣工验收规定》和《关于核定防雷设施检测等服务项目和收费标准的复函》粤价函[2004]409号等文件精神建立防雷设施检测所档案管理制度，架设管理机构和规范归档资料，不仅有效规范所内的日常工作，并将日常工作留下的痕迹进行有效归档管理，为实验室资质认定和风险效能防控提供全面真实的资料。

参考文献：

[1]中国气象局第20号令《防雷减灾管理办法》，中国气象局文件，2011年9月1日起施行

[2]中国气象局第21号令《防雷装置设计审核和竣工验收规定》，中国气象局文件，2011年9月1日起施行

[3]《关于核定防雷设施检测等服务项目和收费标准的复函》粤价函[2004]409号，广东省物价局文件，2004年8月1日

作者简介：

朱锦坤（1982—），男，助理工程师，本科，主要从事防雷减灾工作。

外包风险管理评估细则篇10

关键词：风险管理；安全管理；分析

风险管理方法已广泛应用于新加坡建筑现场安全管理，成为项目管理的重要组成部分。通过新加坡所采取的各种措施来看，采用风险管理对现场安全事故的发生起到了有效预防作用。因此对我国而言，有必要也将风险管理运用到施工现场。

1、安全管理的原则

1.1从管理事故转变到要在事故发生前识别出危险并将其消灭在萌芽状态，即从源头上控制事故的发生。

1.2主动规划，积极采取预防措施来营造安全的工作环境，改变以遵守法律为准绳的被动管理。

1.3对于糟糕的现场安全管理采取高额罚款来阻止事故的发生，让管理者意识到糟糕的现场安全管理所付出的代价比事故发生后所付出的代价还要高。

1.4将安全管理的概念融入到建筑产业链的各个环节中去，强调从发展商、设计者、主承包商、分承包商、现场安全管理人员、技术人员到生产人员各个环节贯彻安全管理的概念。

2、安全管理中引入风险管理的程序

现场安全管理引入了全套风险管理的方法，主要内容包括： (1)现场工作活动的风险评估； (2)控制及监控风险； (3)把风险传达到现场所有人员。其中风险评估是风险管理中最为重要的环节，也是现场安全管理的核心内容。风险评估的基本程序如图1所示。

图1风险评估程序

风险评估的方法多种多样，但都包括了3个基本步骤，即危险识别、风险评价和风险控制。风险评估的最终结果就是要找到有效的风险控制措施。所有控制措施均以“层级控制方法”为原则。

2.1准备工作

准备工作主要包括：研究现场平面布置图、作业流程；列出现场所有工作活动；列出现场所用到的化学药品；列出使用的机械设备和工具；学习相关法律法规；查找以往事故记录；学习相关技术规范；查找检查记录；学习现场风险控制的方法；准备安全及健康审计报告；研究从员工、客户、供应商及其他人员方面得到的安全反馈信息；建立安全工作程序；准备其它信息(如产品手册)；准备以往相关安全评估报告。

2.2危险识别

危险识别是风险评估中最为重要的环节，因为只有首先识别出了危险，才能谈到如何控制危险。危险识别要考虑到以下4个方面的内容：

2.2.1现场危险，按性质不同可分为：化学品危险(如酸、碱和溶剂)，生物危险(如细菌、真菌和病毒)，电器危险(破损的电线)，人体机能损伤(重复工作、单一工作姿势，长期站立等)，机械危险(使用已损坏的设备、叉车、吊车、动力挤压设备等)，物理危险(噪音、热及辐射等)，人为造成的危险(超时工作、监督不善)。

2.2.2现场危险的识别，从下列方面进行考虑：工作方法，使用的机电设备、工具，人工加工材料，化学品的使用(在现场应有化学品安全技术说明书MSDS)，使用的机械设备，临时结构，工作环境条件，设备的布置和摆放。

2.2.3酿成的事故或对健康的损害，主要有：高空跌落，高空坠物，水平滑倒，电击，窒息，溺水，噪音致耳聋，皮肤病，结构倒塌，火患和爆炸，物体撞击，软组织受伤等。

2.2.4危险可能对4类人造成伤害：现场直接生产工人员，现场非生产人员，到访人员和公众。

2. 3风险评价

风险评价主要是对风险等级和接受程度进行评价，这是控制现场危险，保证工作安全和健康的基础，风险评价包括4个方面的内容：

2.3.1现有风险控制措施的评价，如现场人员配带基本安全装备(安全帽、安全鞋、安全背带、防护服等)，要对这些基本安全装备的有效性、可造成的后果及可酿成的事故进行评价。

2.3.2评价潜在危险的严重程度，按危险造成伤害的程度划分为3个等级。具体可分为轻度（低）、中度（中）、高度（高）。

2.3.3判断危险发生的机率

危险发生的机率分为3种，包括：罕见（发生的机率极少）；偶尔（可能或有时会发生）；经常（时常发生）。判断危险发生的机率应考虑到以往事故记录、现场经验判断及公开的信息3个方面因素。

2.3.险等级

一旦确定风险严重程度和发生机率后，我们可以判定其风险等级，根据不同的风险等级，采用不同的方法予以消除。

2.险控制