【文章內容簡介】 ................................ 54 5． 6總結 ................................................................................................................ 56 第六章：風險評估系統(tǒng)測試 ............................................................................................ 57 6． 1測試環(huán)境 ......................................................................................................... 57 6． 2測試方法 ......................................................................................................... 57 6． 3測試用例 ......................................................................................................... 59 6 6． 4測試結果及處理 .............................................................................................. 61 6． 5本章小結 ......................................................................................................... 61 第七章：總結 ................................................................................................................. 62 參考文獻 ........................................................................................................................ 64 7 第一章：緒論 1． 1 選題背景 千禧年后 ,由于 外界市場 環(huán)境的持續(xù)變化和信息技術的快速發(fā)展 ,越來越多的風險開始影響企業(yè) ， 投資者和他們的利益相關者在各種危機 中損失其經濟利益 。事實上 ,如果 決策者 不能有效控制風險和及時響應 ,企業(yè)可能 就會 遭受 到打擊 。 由美國次貸危機在 2021 年引發(fā)的全球金融危機導致眾多企業(yè)破產， 使得 美洲，歐洲和整個亞太地區(qū)的金融市場 都遭受到了 重大打擊。風險管理的重要性已經大大凸顯。經過全球金融危機的慘痛教訓，管理者應該清醒地認識到必須加強風險管理和控制，從全球范圍內加強風險的管理與控制 必須 成為企業(yè) 的 必修課，只有在這個過程中 完成考核才能擁有 生存 下去的權利 。 目前，國外學者和企業(yè)在風險管理研究和應用方面已經比較成熟，在企業(yè)的目標設置、財務管理、融資和投資決策、內部控制制度建設等方面，都可以看到風險管理的理念、方法和手段 。然而，在我國風險管理研究與應用的相對滯后，許多國內企業(yè)的風險意識淡薄，并沒有建立健全的風險管理體系，從而使風險管理困難。 國資委在 2021 發(fā)布了中央企業(yè)全面風險管理指引，明確要求國有大型企業(yè)的風險管理體系建設的議事提到日程上來，有 31家央企國資委被選為年度風險管理報告試點單位。此外， 2021 后，所有的央企都需要準備一份風險管理報告。在政策引導下，作為一家全資子公司的大型央企在 2021 開始建立風險管理體系，包括風險管理信息系統(tǒng)和內部控制系統(tǒng)，從而實現(xiàn)風險管理的總體目標提供合理保證。 企業(yè)風險評估信息系統(tǒng)是利 用信息技術實現(xiàn)企業(yè)在經營過程中可能遇到的風險進行識別和管理，以滿足企業(yè)在風險評估過程的過程中的外部環(huán)境和內部信息和資源，是風險管理業(yè)務利用信息化手段的實現(xiàn)。 企業(yè)風險評估信息系統(tǒng)的建立，能提供及時，準確的 提供 依據(jù)和預測分析， 為 企業(yè)管理 帶來理論基礎 ，從而使企業(yè) 有效地規(guī)避風險，提高競爭力。 8 基于以上背景，本人在風險評估和內部控制系統(tǒng)的基本過程中進行了深入研究，結合某煤礦企業(yè)的具體需求，對風險評估信息系統(tǒng)的設計與實現(xiàn)進行研究。必須滿足企業(yè)對各種風險分析系統(tǒng)、監(jiān)測、預警、執(zhí)行各職能部門、業(yè)務單位、整合和共享的要求， 這 不僅可以滿足個人業(yè)務風險管理的要求，也能滿足企業(yè)整體和跨職能部門、業(yè)務部門綜合風險管理的要求，對建立和完善企業(yè)全面風險管理信息系統(tǒng)，提高企業(yè)風險決策和風險應對能力具有一定的借鑒意義。 1． 2 企業(yè)風險管理與風險評估 1． 2． 1 企業(yè)風險 管理 在風險管理這一新學科的研究中，不同學者對風險管理研究的重點 不同 ，有的學者側重于風險管理的出發(fā)點，有的側重于管理目標，有的側重于應用。因此，風險管理的定義存在著一定的差異，隨著研究的不斷深入，風險管理的差異也在不斷變化。 IIA2021 屆主席武頓先生將風險 管理定義為：企業(yè)風險管理就是通過確定、辨識、管控、組織潛在的事件，為組織目標的實現(xiàn)提供適當保證的過程。 2021 年， COSO 發(fā)布《企業(yè)風險管理（草案）》，其中對風險管理的定義是： 所謂 企業(yè)風險管理，是由公司、管理及員工 一起 參與 進行的 ，應用于企業(yè)目標設定階段，涵蓋了企業(yè)管理流程內部各部門的決定，其目的是檢測企業(yè) 的 風險事件， 確定 可能造成的損失和在企業(yè)范圍內的風險偏好 以及 風險控制 ， 確保公司實現(xiàn)所需的戰(zhàn)略目標。 在 澳大利亞和新西蘭標準委員會的定義中，風險管理被認為是 “ 包括風險識別、風險分析、風險評估、風險應 對、協(xié)調和監(jiān)測、評價和交流的內容和其他的邏輯體系，貫穿于整個業(yè)務過程，涵蓋企業(yè)所有職能部門和業(yè)務活動， 此 方法的目的是讓業(yè)務損失的程度最低并實現(xiàn) 利益 最大。 ” 結合學者對風險管理分析的定義，筆者認為，企業(yè)風險管理是一個過程，這一過程適用于企業(yè)戰(zhàn)略目標的建立和企業(yè)內部部門，由企業(yè)的董事會、管理層和其他員工共同參與，是用來識別可能影響企業(yè)事件和風險管理的范圍內的風險管理和風險控制。 1． 2． 2 企業(yè)風險評估 企業(yè)風險評估過程主要包括風險 識別 、風險分析和風險評價等三個步驟。 9 風險 識別 是整個風險管理的基礎和出發(fā)點。它是 收集，分類和分析各種可能影響企業(yè)的事件的管理過程。它的意義在于，如果企業(yè)所面臨的各種風險，不能及時，準確地識別，就錯過了有效應對這些風險的時機， 使得 相關職能部門的作用 不能完全發(fā)揮出來 ， 就不能 不能有效地控制和風險管理。 風險識別過程包括兩個方面，即，感知風險和風險分析。感知風險是風險識別 的基礎 ，這是 建立在 企業(yè) 對 目標的各種風險進行詳細了解的基礎上，風險分析的關鍵是風險識別，這是要分析造成各種危害的各種因素。 風險評估 既是 同通過對已經辨識出的風險進行分析評價， 為 接下來的 風險提供風險管理的基礎。風險管理人員 應該要從 兩方面 來進行 風險評估， 分別是 可能性和風險程度，評價方法可以采取定量的方法，也可以用定性的方法。 所謂的風險評估是基于風險識別上，通過大量的關于與使用風險評估工具相關聯(lián)的風險的詳細信息，使用概率論與數(shù)理統(tǒng)計方法分析數(shù)據(jù)和信息來計算可能性和風險的損失，最后列出的風險矩陣來評估風險事件。 風險評估包括風險事件的頻率和概率風險評估的可能性。它可以被形容為“幾乎不可能”、“不太可能”、“可能”、“很可能”、“極有可能”等術語描述。風險發(fā)生影響程度分析，即分析某一風險事件在環(huán)境因素下可能導致的各種事故后果及其可能造成的 損失，一般可以用“輕微”、“較輕”、“中等”、“較重”、“嚴重”等術語描述。最后，根據(jù)評分高低對風險進行優(yōu)先次序的排列 ， 該風險分數(shù)是根據(jù)概率和風險的影響計算，并且優(yōu)先順序是根據(jù)得分給出。 1． 3 國內外研究現(xiàn)狀 1． 3． 1 企業(yè)全面風險管理主要流程框架 2021 年 9月， COSO 委員會發(fā)表 《 企業(yè)風險管理框架 — 全體》（ 即 ERM）。ERM 在此之前是 1992 年發(fā)表的 《 內部統(tǒng)制 — 整個框架 》 主體內容的基礎上，擴充和更新各國企業(yè)風險管理提供統(tǒng)一用語和概念體系的全面應用。 COSO，企業(yè)的風險管理已經內部控制在內， 和 內部控 制 相比來說 ，風險管理更廣， 它擴大了 內部控制的內容，關注風險形成， 是 更加“ 穩(wěn)定 ”的概念體系。 國際上主流的風險管理理論框架主要 是 以美國為首的《企業(yè)風險管理整合框架》的 ，而 我國資委《中央企業(yè)全面風險管理指引》 是以 澳大利亞、新西蘭 的澳新標準 為基礎 的 。 10 （ 1）企業(yè)風險管理框架 2021 年 9月，在 COSO 美國反虛假財務報告委員會 管理組織中 ， 實現(xiàn)了 對上市公司的風險管理的參考標準的管理機構 框架 。其實質是建立一種共同的語言，為企業(yè)風險管理提供了明確的方向和指導。 （ 2）澳新企業(yè)風險管理標準 澳新銀行的標準是由澳大利亞和新西 蘭聯(lián)合標準委員會 在 2021年 9月發(fā)行的，該 澳新標準 認為： 企業(yè)風險管理是一個系統(tǒng)的，邏輯過程和方法，包括建立風險管理，風險識別，風險分析，風險評估 ； 風險 管理 的基礎應該是監(jiān)督和咨詢，溝通和評價穿插在公司的各項業(yè)務活動，職能部門和業(yè)務流程，使得公司實現(xiàn)最大限度地減少損失，最大限度地抓住機遇。 （ 3）國資委《中央企業(yè)全面風險管理指引》 國務院于 2021 年頒布了澳大利亞和新西蘭的標準 《中央企業(yè)全面風險管理指引》，借鑒了澳新標準即澳大利亞和新西蘭國 家 風險管理水平，風險管理，英國風險管理標準，美國 COSO 內部控制框 架， COSO 企業(yè)風險管理框架，薩班斯法案等行業(yè)標準文件進入中國的大型國有企業(yè)的實際情況，按照我國有關法律法規(guī)。 COSO 在其之前設計的內部控制框架的基礎上，進行了擴展，加入了三個風險管理維度，即目標、管理層級、風險管理要素。目標用以描述企業(yè)期望實現(xiàn)的效果；管理層級分為整個企業(yè)、職能部門、業(yè)務單位、分支機構四層；風險管理要素就是實現(xiàn)企業(yè)目標需要憑恃的元素。三大管理維度之間的關系如下圖 中的矩陣立方體所示。 11 圖 COSO基礎上 的 風險管理 矩陣圖 1． 3． 2 風險評估的主流技術與方法 風險評估 活動目的在于通過基于事實的信息進行分析，就如何處理特定風險以及如何選擇風險應對策略進行科學決策。 風險評估并非一項獨立的活動，必須整合到風險管理過程的其它組成部分中。 GB/T 243532021 中界定的風險管理過程包含以下要素：明確環(huán)境信息；風險評估（包括風險識別、風險分析與風險評價）；風險應對；監(jiān)督和檢查；溝通和記錄。 風險評估是由風險識別、風險分析及風險評價構成的一個完整過程，該過程的開展方式不僅取決于風險管理過程的背景，還取決于開展風險評估工作所使用的方法與技術。下面是風險評估的幾種主流技術和方法： （ 1）頭腦風暴法 頭腦風暴法（ Brainstorming）是指一些掌握有關資源與相應知識的的人員發(fā)揮個人想象，集中起來，暢所欲言，來發(fā)現(xiàn)相關危險、風險、決策標準及或處理辦法。頭腦風暴法這個術語經常用來泛指針對某一主題，發(fā)散的進行任何形式的討論。真正的頭腦風暴法包括旨在確保人們的想象力因團隊內其他成員的思想和話語而得到激發(fā)的一種方法。 12 （ 2）結構化或半結構化訪談 在結構化訪談（ Structured Interviews）中，需要事先準備訪談的問題，向每個被訪談對象逐一訪談準備好的問題，不同的人從不同角度不同 理解看待某種情況，因此就可以從不同角度識別風險。半結構化訪談（ SemistructuredInterviews）與結構化訪談類似，但是可以不局限于議題，進行更自由的對話，以探討出現(xiàn)的問題。 （ 3）風險矩陣 風險矩陣（ Risk Matrix）是一種將定性或半定量的后果分級與產生一定水平的風險或風險等級的可能性相結合的方式。矩陣格式及適用的定義取決于使用背景，關鍵是要在這種情況下使用合適的設計。 （ 4）在險值法 在過去的幾年里，一些銀行和監(jiān)管當局普遍地運用在險值法（ Value at Risk）衡量風險。在險值 法又被稱為“風險價值”或“在險價值”，是指在一定的置信水平下，某一金融資產在未來設定的一段時間內可能出現(xiàn)的最大損失。這和傳統(tǒng)的風險度量方法手段不同，完全是建立在統(tǒng)計分析基礎上的風險度量技術。 （ 5）蒙特卡羅模擬分析 很多系統(tǒng)過于復雜，無法運用分析技術對不確定性因素的影響進行模擬，但可以通過考慮投入隨機變量和運行 N次計算（即所謂模擬）的樣本，以便獲得希望結果的個可能成果。描述輸入數(shù)據(jù)的不確定性并開展多項模擬，對輸入數(shù)據(jù)進行抽樣以代表可能出現(xiàn)的結果進行評估。這種方法可以解決那些借助于分析方法很難理解和解決