在最近的几十年中,世界各地的公司已投入大量资源来改善其内部控制系统的质量,强调对风险的评估,从而可以提前了解所有可能导致难以遵守该准则的因素。实体设定的目标。
本文的发展提出了一种方法,该方法旨在通过分析,验证和控制工作和/或过程中的可能偏差,促进目标与目标风险之间的联系,从而确定控制目标并考虑到重要性的程度来制定《风险预防计划》,以便合理地确定其纠正的优先级。
介绍。
多年来,“风险”一词在许多国家的立法中以及在代表全球性问题的文件中反复出现,无论这些问题是气候变化(Berger,2009年,NC ISO 14001,2004年),职业安全。 (NC 18001,2005),技术事故(IAEA,1999)或自然灾害(UN,2005)。公众的常识将术语“风险”解释为特定危险(问题,失败,事故,自然灾害,欺诈,人为错误等)发生的可能性或频率的结果该不良事件的后果的严重程度或严重程度。
该术语也适用于公司和/或机构的管理系统的内部运作,尽管其后果可能导致上述风险,但也可能由于与产品或服务有关的疏忽或故意行为而导致经济或声誉损失。流程经理人员。
实体中的过程的内部控制系统并不是社会主义制度所独有的,实际上,它是从资本主义国家的大型私营公司中进行风险分析的经验而诞生的(Coopers and Librand,1997)。通过控制和自我控制系统对这些危险进行预防性识别,这些系统可以使用所谓的风险图或欺诈矩阵进行风险管理(Bueno,2008年)。
总体而言,内部控制系统是允许识别,分析,评估和处理风险的一种方法,同时考虑到实体的政治,社会,经济,法律和组织环境,包括制定标准,政策,战略规划和风险最小化。
考虑到内部控制的广泛概念框架,COSO报告(Coopers和Librand,1997)构成了强制性参考材料。
根据这些作者的定义,识别风险的目的是基于合理的安全程度来确定可能损害实现实体目标的方面,这是管理层会及时得到警告的信心。存在危害目标的危险(风险)。一旦确定了这些风险,就将根据其特征对它们进行分析,包括对每种风险的损失或成本的估计,其发生的可能性以及建立用于管理的措施。
但是,在COSO报告中,它忽略了风险分析方法,提出了一种研究发生概率的模棱两可的方法,使用了非严格的来源来分析损失,最终得出了定性分类风险,几乎没有其他信息。
例如,在我国,风险分析已成为在实体内部控制系统内制定现行古巴立法要求的预防计划中反复出现的主题。有多种方法可以分析组织的风险,但是其中许多方法并未提供必要的信息,无法根据这些风险对组织目标的影响或后果对风险进行适当的优先级排序。
根据所有先前的推理,本研究的目标是“与预防计划中推论出的方面相关的风险”,科学问题是“与计划框架内与风险分析任务相关的方法学差距”。预防”。
发展。
风险管理是系统地应用策略,程序和实践来识别,分析,评估,处理和监视风险,这实质上意味着预见可能出问题的原因,可能发生的原因以及可以避免的措施或降低风险。
下图显示了该过程的六个基本阶段(风险管理):
|
||
|
摘自JB Madrigal的《业务风险管理入门》,2004年12月
建立风险环境。
为了确定风险的背景,除了通过良好的方式确定实体的目标外,还必须确定和定义进行活动,过程或决策的政治,社会,经济,法律和组织环境。组织的战略规划
当前,最常用的定义公司目标的方法是SWOT矩阵,因为该工具可以根据取得的结果来制定新战略并设定新目标,这样目标本身就可以揭示履行组织的使命。
风险识别。
第一步是确定组织用于运营和实现其目标的所有资产和资源。易于识别的公司的有形金融资产和资源,例如机械,用品,员工,资本,设施或建筑物。但是,还有其他资产和资源可能不太明显,称为无形资源,例如:执行能力,市场份额,信誉,客户资产,声誉,服务美德或组织用于生产其服务或产品的输出和投入预算。
如今,有许多技术可以帮助您识别风险。但是,人为错误通常是导致风险的主要因素,这尤其适用于业务环境,最常用于识别这些风险的是任务分析,清单,与所分析活动的专家协商以及在专家小组中进行头脑风暴。
风险分析。
风险分析是确定对业务绩效的潜在影响或结果的过程。
对于风险分析,有多种技术,但可能在业务环境中使用最多的是“头脑风暴”,在业务活动领域中,场景类型为“如果…会发生什么?..?”。这些方案将有助于确定可采取的应对措施,以管理这些风险,随后进入风险评估阶段。使用此工具的缺点在于,它无法提供确定所有风险影响最大的必要信息。成功实现目标的目的在于优化必要的资源并保证具有所需质量的服务和产品,从而优先考虑组织的关键流程。
我们建议的风险管理方法在评估风险之前包含一个中间阶段,该阶段将被确定为风险层次结构(参见图1),该阶段可通过对专家的权重进行量化。组织针对公司每个目标的潜在风险及其后果(请参见表1)。
Fig.No.1风险管理过程的新阶段的整合阶段的图
为了将在此阶段获得的数据纳入“目标与风险矩阵”,有必要让来自组织不同领域的专家组参与进来,他们将根据先前提议的规模评估风险,这已经可以对风险进行分析。不同维度的影响或结果,根据建议的分析获得结果,例如以下表2中的示例所示
表2影响或后果类别
在确定该风险相对于总目标的具体目标的影响或后果时,专家组对此进行了权衡。所述加权如下:
权重:(总风险得分/最高得分)。
加权结果显示在表3中,从中也可以推断出该风险相对于该目标的重要性水平(表4)。以这种方式,可以采取可以管理这些风险的措施。
表3最终结果评估示例目标与风险矩阵。
表4重要程度
考虑到表3中列出的“目标与风险矩阵”的结果,很明显,风险对总体目标的影响更大,这反过来又优先考虑了专家组确定的风险,以便随后进行评估并适当地纳入风险评估中。根据发现水平和优先级制定风险预防计划。
根据古巴正在开发的新经济模式,使用这种方法,一般的中小型公司,特别是国有公司,企业将能够制定其战略计划,以确保更有效地将风险的影响最小化。在组织管理中,因为通过这种方式,物质和人力资源将集中于最影响目标实现的那些风险。
使用此方法的优点以及需要添加“风险排名”步骤的优点。
- 确定战略计划,优先考虑影响公司的风险的措施优化公司的资源节省时间,金钱和人力资本以提高内部控制系统的质量确保决策者更加清晰决策风险预防计划在组织管理中的更大利益。
根据建议的方法进行风险评估。
一旦通过层次结构确定了风险的潜在影响,就必须确定风险处理和控制的重点。评估风险的两个基本要素是其概率-
发生频率(请参见表5)和影响或后果(请参见表2)可能会导致目标实现,并可能造成公司的经济损失和形象。
表5概率-发生频率。
确定发生的概率-频率以及此风险相对于目标的影响或后果,然后定义风险级别(请参见表6),以建立随后的优先级(请参见表7)。使该风险包含在“风险预防计划”中。然后,风险评估的结果将反映在“ 风险图”中,从而可以显示已确定风险的风险级别,优先级别和控制目标。
要了解优先级,有必要知道该风险的检测级别。下面显示了如何计算风险优先级,表8显示了检测级别的含义风险优先级=频率范围*影响范围*检测概率
表7优先等级。
| 优先等级 | NP | 范围 | |
| 最高优先级 | 一世 | 101至125点 | |
| 高优先级 | II | 76至100点 | |
| 中等优先级 | 三级 | 51至75点 | |
| 低优先级 | IV | 26至50点 | |
| 可以忽略的优先级 | V | 0至25点 |
表8风险检测等级
| 5 | 不确定 | 现有的控制活动无法检测到问题,或者没有控制活动。 |
| 4 | 低 | 发现问题的机会很小
提前。 |
| 3 | 中等 | 有时问题会尽早发现。 |
| 二 | 高 | 被发现问题的可能性很高
足够的通知。 |
| 之一 | 几乎是真的 | 通常,问题总是通过 |
检测水平检测概率
足够的通知。
风险处理。
根据风险图中给出的结果并建立风险优先级,制定战略风险预防计划,进行处理,并采取措施修改风险,包括作为主要要素,控制或控制措施。降低风险,以更好地控制它。
处理风险的一些替代方法可以是:
- 避免它:放弃产生它的活动。降低概率和影响:通过特定的行动计划和控制。转移:与战略合作伙伴分担风险,承保保险,合同协议等。保留它:通过将其实现为剩余级别来接受其实现级别,甚至管理其后果。
持续监控和审查风险管理阶段。
在完成《战略风险预防计划》之后,有必要对公司流程/领域所识别和确定的风险进行监督和监视,因为随着时间的流逝,许多风险可能会改变其重要性,并且中心的高级管理层必须然后确定先前设计的内部控制系统是否仍然具有相关性并能够应对新的风险,并且在这种认识下,高级管理人员会在修改风险后重新考虑控制的设计,以及旨在降低风险的控制措施。在可接受的水平上,它们继续有效运行。
- 个案分析
为了进行案例分析,我们将以一家食品行业公司为例,并从该实体中确定可能阻碍实现总体目标的衡量,分析和改进流程的风险。
XXXX公司
总体目标。
- 确保生产满足国内市场需求并保证出口承诺。年度计划的成品出口8,801吨/年监管市场上的出口量为126,141.0吨/年,其中外汇市场为114,139.0吨/年,而外汇市场则为22,002.0吨/年。保质保量,准时交货。维护综合管理系统的认证。在执行的所有控制措施中均获得令人满意的结果。验证是否符合植物检疫检验计划。验证固体废物的管理。
一旦确定了通用目标和特定目标,就可以确定度量,分析和改进过程的风险,并根据该潜在风险对目标的影响或后果给出得分(见表9中的结果) ),对风险进行加权后,就确定该风险相对于该目标的重要性级别(表10),以将其包括在“风险图中”
(表11)并最终形成风险预防计划(表12)
权重示例:(总风险得分/最高得分)。
丢失证书= 7/15 = 0.47
表10目标与风险矩阵(重要性级别)
根据上表所示的结果,可以明显看出哪些风险对实现工作目标的影响最大,并且在分析重要性水平的基础上,准备了风险图(表11),供以后使用实施《风险防范计划》(表第十二号表)。
结论。
- 在传统的风险分析中,公司的风险层次阶段中的包含提议可以优化资源并处理对实现目标影响最大的风险。作为实体战略预防计划中对风险管理的支持,它以分层的方式构成了量化风险的宝贵工具,其有效性是基于其以更大视野优化预防资源的方法组织的经济方面。
参考书目
- 伯格(M. BERGER)(2009年),奥巴马对哥本哈根会议几乎一无所获,古巴格拉玛报纸(Granma Newspaper),古巴,2009年11月27日,星期五。BUENOCASTAÑEDA,L.(2008),《操作风险的概念和经验》,第一届内部审计大会”内部审计在风险管理中的作用和远景”,哥伦比亚内部审计师协会,哥伦比亚。Coopers&LYBRAND(1997年),内部控制的新概念(COSO报告),EdicionesDíazde Santos,SA,西班牙马德里,ISBN 84-7978-295-1.MAC(2009),古巴共和国总审计长第107号法.MAC(2011),内部控制系统第60号决议标准(JB(2004)) ,业务风险管理简介。NCISO 14001:2004。环境管理系统。要求NC 18001:2005。职业健康与安全管理体系-要求。国际原子能机构(IAEA)(1999),基本安全原则,INSAG-3,奥地利维也纳,联合国(2005),在兵库县神户市召开的减少自然灾害世界会议,日本神户TORRES,A.,PERDOMO,M.等(2009年),古巴风险和可靠性分析小组:在安全性,可靠性和维护分析服务方面拥有20年的经验。阿根廷科尔多瓦水库:在安全性,可靠性和维护分析服务方面拥有20年的经验。阿根廷科尔多瓦水库:在安全性,可靠性和维护分析服务方面拥有20年的经验。阿根廷科尔多瓦水库:
