2011年注册会计师考试公司战略与风险管理预习辅导 67(2)

　　4. 风险的自我评估:管理层对企业内的不同层级采用不同的调查问卷，要求每个人完成一系列的综合问题，以对其负责的领域进行自我评估。这些问题可能涉及如职工安置水平、对现有的已知问题的识别、技术支持的充分性和将在未来半年或一年内出现的计划变动。然后管理层对风险进行评级，即将特别重大的风险领域评为高优先级，次级重要的风险评为中等优先级，影响力有限的风险评为低优先级，并且在与下一级管理人员讨论后，以其优先级作为资源分配的基础。

　　除了风险的自我评估，可以将上文列出的指标纳入评级系统，这种评级系统同时利用客观和主观标准，为业务部门或运营部门评出风险分数。

　　另外一种方法是利用主要风险指标。主要风险指标是由管理层确立的客观的计量方法。由于它们是风险的主要指标，应当对它们进行定期追踪。例如，企业如果以要求员工定期体假作为把内部舞弊风险降至最小化的其中一种方法，就要定期追踪连续休假尚未达到规定期间的员工数量。

　　许多风险是属于操作性质的风险，因此，这些风险都可以采用上述方法计量。它们不一定是复杂的计量方法，但是，如果使用得当，有利于识别暴露潜在问题的领域，从而可以据此采取行动。

　　(三)应对操作风险

　　与可保风险、项目风险或大多数经营风险不同，操作风险的重点不是重大的不确定性。企业不会低估完成一项工作所需要的成本，或者新产品可能不受消费者欢迎的可能性。相反，企业要应对的是在实施己确立的程序时出现的小故障。会出现的问题及其后果是众所周知。因此，管理操作风险最为普遍采用的方法是:

　　1.设立流程、程序和政策

　　流程和程序有助于确保一个企业的政策得以实施。政策和程序的整理归档可以减少管理时间并且为雇员提供策略支持。流程和程序产生的风险包括由于流程、程序、控制或制衡的缺失或无效而引起风险所产生的不良后果。通常，这些程序是为了减少错误或欺诈而设计的。流程和程序的风险影响套期保值以及交易的决策、监督和风险控制功能，交易的处理以及对政策的遵守。

　　企业的竞争力在很大程度上是由其所立程序的有效性表现出来的。国际标准化组织 (ISO)只向那些证明已实施了能够提供高质量产品和服务的程序的企业颁发证书。显然，意识到在操作过程中会面临问题的企业，需要完善用于开展业务的程序。而这需要在必要时增加新的程序、更新现有程序及废止过时的程序。

　　2.在公司内实施正式的内部控制系统

　　可参考本书第八章关于内部控制架构的内容。其中提到要创建企业的内部控制环境，说明管理层的能力，强化内部控制文化和反舞弊意识。

　　3 .防止错误和欺诈

　　人员对于企业的运作至关重要，并且从风险管理的角度来看，他们往往代表一种最为显著的风险。交易涉及雇员的决策以及雇员之间的关系。因此，必须始终警惕潜在的错误和舞弊。执行反舞弊项目，设计和执行控制，以消除程序内嵌入的重大风险。

　　4.培训和管理雇员

　　由于雇员对企业的获利能力有较大影响，因此，对雇员进行有效的管理是很重要的。人力资掘管理的有效性，可通过旷工率、劳动力流失、事故率等来衡量。有关人力资源管理实务，可参见本书第五章第四节的相关内容。

　　5.评价技术和系统

　　技术和系统风险也属于操作风险，是由于商品或服务的定价和交易系统、技术依赖、支付系统、数据和网络保护、访问文件或数据可被欺诈性地改变而产生。

　　对系统和网络进行评价，要根据其对于破坏、欺诈或错误的脆弱性。如果只有一个员工能够操作一个复杂的系统，那么，就会产生很大的问题。关于技术和系统安全的风险属于技术性的问题，许多方面的讨论适合由行业专家来进行。

　　6.外包安排

　　企业应与外包服务商通过服务级别协议建立质量和服务的要求，并对其产品和服务进行定期的检查