首頁 > 精品范文 > 風險評價與風險評估的區別
風險評價與風險評估的區別精品(七篇)
時間:2023-11-24 11:06:26
序論:寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感,挖掘那些隱藏在內心深處的真相,好投稿為您帶來了七篇風險評價與風險評估的區別范文,愿它們成為您寫作過程中的靈感催化劑,助力您的創作。
篇(1)
采用滑坡風險評估三要素的方法,即:風險區劃(R3)、風險概率(RP)、風險損失(Rh),對汶川大地震極震區10個縣市26000km2面積區的震后滑坡風險進行了評估。結果顯示,區內高風險區僅占9.03%面積,但承擔42%的滑坡發生概率和滑坡損失風險貢獻;較高風險區占14.61%面積,承擔25%的風險貢獻;中風險區占22.28.%面積,承擔19%的風險貢獻;低風險區占37.93%面積,承擔11%的風險貢獻;無風險區占16.15%面積,承擔3%的風險貢獻。震后由于采取了有效的避險措施,滑坡風險明顯降低的結果。
關鍵詞:
汶川8.0級地震;極震區;滑坡;風險評估
地震滑坡風險評估與常規滑坡風險評估相比多了“地震”因素條件,在評估的結構和方法上兩者的不同之處何在?對于這一問題,國內外可供參考的文獻極少[1-3]。筆者認為地震滑坡風險評估與常規滑坡風險評估兩者的區別主要應該體現在風險評估結構模型(即:風險區劃=危險度評估×易損度評估)中的危險度評估。評價地震滑坡風險只能通過滑坡危險性評估指標因子與地震相關因子的結合,才可能反映地震因素的影響作用。地震滑坡是在地震瞬間被地震動誘發的,地震動能量通過震源和發震斷層釋放,一次地震過程中距震中或斷層不同距離上分布的滑坡數量和規模差異性很大。因此在危險度評估中,可以通過增加地震滑坡震中距和發震斷層距等與地震相關的作用因子,來提高地震滑坡危險度評估中地震與滑坡的關聯度。而在風險評估中,地震因素的直接作用不能被直接反映。如汶川地震發生后,地震災區的建筑物基本都提高了抗震結構設計標準,區域空間的建筑承災體的易損性都明顯降低。隨著災區建筑物的易損性普遍降低,統計指標中也難以體現出與常規易損性指標的差別。只要在危險度評估中增加了地震因子作用,建立在滑坡危險度和易損度區劃基礎之上的地震滑坡風險評估,就可以反映出地震因素的作用了。因此,地震滑坡風險評估與常規滑坡風險評估的主要差別應該體現在危險度評估中滑坡與震源相關性因子選取上。本文選擇汶川地震極震區(I0≥ⅩⅠ)10縣市(面積26175.77km2)為研究區域,探索了地震滑坡風險評估方法。
1地震滑坡風險分布(Rs)
根據文獻[4]中的滑坡風險分類方法,不同類型滑坡風險的研究深度不同,應用范圍也不一樣。因此滑坡風險研究應該具有不同的目標性和實用性,可以針對不同層次需要,采用不同階段的風險研究目標和方法解決需求。不同階段的風險評價方法也不相同。按照文獻[4]中的風險層次鏈實施階段劃分,筆者在完成汶川地震極震區滑坡風險區劃的基礎上[5],根據滑坡風險綜合評估三要素的原則。式中:RS為風險分布;RP為風險概率;Rh為風險損失。對汶川地震極震災區(I0≥Ⅹ)的汶川、都江堰、彭州、茂縣、什邡、綿竹、安縣、北川、平武、青川10縣市(面積26175.77km2)進行了地震滑坡風險綜合評估。其中,地震滑坡風險分布是采用地震滑坡風險區劃方法確定;地震滑坡風險概率,通過對震后降雨滑坡發生概率統計方法確定;地震滑坡風險損失,根據滑坡受災面積的損失率方法確定。地震滑坡風險評估與常規滑坡風險評估的差別主要體現在滑坡風險區劃的要素中,而其它要素中是難以反映出地震因素的作用。汶川地震極震區的滑坡風險分布可通過全區滑坡風險區劃獲得。采用GIS技術在研究區1:5萬DEM、DRG、20萬地質圖、1:5萬土地利用圖的基礎上,分別對滑坡危險度的10項因子指標、承載體易損度的5項因子指標進行權重疊加,按照5級劃分標準經過區劃劃分,獲得地震滑坡風險的分布結果。
2地震滑坡風險概率(RP)
地震滑坡風險概率與滑坡發生概率成正相關關系,滑坡隨機發生的次數越多,存在的風險概率越大。從宏觀區域滑坡發育規律分析,大地震誘發的滑坡后期復活主要受降雨因素的控制。因為再次發生大地震或余震具有不確定性,作為誘發因素參加滑坡事件概率統計的難度太大。震區降雨型滑坡后期活動是轉化泥石流并造成大面積受損的主要致災因素。所以,地震災區的滑坡風險概率應該由震后降雨滑坡的時間及空間分布概率所決定。
2.1滑坡時間概率采用文獻[6]中的降雨滑坡概率計算方法,可以分別得到降雨滑坡的時間和空間分布概率。時間概率表示在給定降雨臨界值和時間的情況下,發生滑坡的時間概率。
2.2滑坡空間概率空間概率表示按風險區面積為單元的滑坡分布概率。式中:P'為空間概率;x為降雨滑坡分布密度系數(x=md/s、其中m為不同危險度區降雨滑坡數;d為樣本分區區間;s為不同危險度區總面積。采用式(5),對極震災區10縣市震后的降雨滑坡與地震滑坡進行統計計算,獲得空間概率。
3地震滑坡損失評價(Rh)
在地震滑坡風險區劃的基礎上,可以通過對各風險區滑坡受損面積與滑坡風險區面積之比,評估滑坡災害可能造成的受損率。受損率不是經濟指標的評價關系,僅僅代表滑坡破壞范圍的概率。受損率預測對災區人員傷亡情況是難以準確評估的[7-13],因為這與人們防災意識和政府防災管理程度密切相關。根據文獻[3]中的滑坡受災面積統計模型,可以對滑坡風險分布區內每一處滑坡受災面積與滑坡風險區面積進行受損率統計。在實際滑坡風險損失評估中,由于在獲取當地經濟產量和固定資產資料信息的限制,如,經濟總量、建筑物、基礎建設、農業、林業、工業、水利等等,所以得出的經濟損失評估結果往往可信度較低。之前采用各種方法作出的經濟損失評估與實際情況一般差距較大。所以對區域滑坡災害發生前的損失預測評估,可以采用滑坡直接受損面積與風險區面積的比率Rh評估可能造成的損失范圍。根據式(6),可以統計汶川地震極震區全區滑坡風險區的滑坡受損情況(表7)。以上統計結果,無論對極震災區全區的滑坡風險受損率,還是極震災區各縣市滑坡風險受損率,都可以看出未來滑坡風險的受損率一般不是太高。全區的高風險區受損率僅可能達到11%,其他風險區的損失率更低。
險綜合評估(R珔)
在完成以上準備之后,可以對汶川地震極震區滑坡風險進行綜合評估。根據表1、圖1表示的汶川地震極震區滑坡風險分布,表2、表3表示的汶川地震極震區滑坡概率,表4表示的汶川地震極震區滑坡風險受損率的統計結果,評價5類滑坡風險區可能分別承擔的風險損失概率。式(8)表示風險綜合評估(珔R)是評價5類滑坡風險區域面積中(Rs),將可能(概率Rp)分別對應承擔滑坡風險損失(受損率Rh)的貢獻率(γ)。采用式(8),可得到表10、圖3所示的綜合評估結論。式(9)說明,隨著滑坡風險區的等級變化,綜合風險貢獻與風險等級呈線性函數發展關系,并且相關性好。采用以上方法,對汶川地震極震區各縣市滑坡風險進行綜合評估,也可獲得各自的評估說明和規律曲線模型。
5結論
地震滑坡風險評估包括三方面的內容,即風險分布評價、風險概率評價、風險損失評價。而單一的風險評價不能真正代表風險評估的內容。本文根據評估的原則對汶川地震極震區10個縣市的滑坡風險進行了綜合評估。地震發生后,由于政府采取了滑坡危險地帶主動搬遷避讓的恢復重建措施,極震災區的滑坡風險明顯降低。滑坡風險主要由全區9.03%面積的高風險區承擔。其余區域的滑坡風險很小,所以極震災區大部分區域是安全的。風險評估中,滑坡風險損失評價是一項比較難以確定的指標。目前的統計方法還達到不到包括人員在內的損失評價,只能滿足固有資產的統計。因此可能使滑坡綜合風險評估內容有所不足。
參考文獻:
[1]王啟亮,孟朝霞.地震滑坡風險分析研究[J].中國地質災害與防治學報,2010,21(3):14-16.
[2]韓金良,燕軍軍,吳樹仁.四川汶川M8級地震觸發的典型滑坡的風險指標反演[J].地質通報,2009,28(8):1146-1155.
[3]喬建平.第10章汶川大地震滑坡風險評估[M]//大地震誘發滑坡分布規律及危險性評價方法.北京:科學出版社,2014:324-374.
[4]喬建平,王萌.滑坡風險的類型與層次鏈[J].工程地質學報,2010,18(1):84-90.
[5]喬建平,王萌吳彩燕.汶川大地震滑坡風險區劃研究[J].工程地質學報,2015.23(2):1-7.
[6]喬建平,楊宗佶.滑坡風險評估的三要素[J].工程地質學報,2012,20(1):1-6.6
[7]許飛瓊.災害損失評估及系統結構[J].災害學,1998,13(3):80-83.
[8]常勝,曾克峰.恩思州地質災害損失評估方法研究[J].湖北民族學院學報,2005,23(4):402-404.
[9]謝全敏,李道明.翟鵬程.滑坡次生災害損失評估方法研究[J].巖土力學,2007,28(5):961-970.
[10]吳紅華.災害損失評估的灰色模糊綜合方法[J].自然災害學報,2005,14(2):115-118
[11]潘曉紅,賈鐵飛,溫家洪,等.多災害損失評估模型與應用評述[J].防災科學學院學報,2009,14(2):77-88
[12]趙紅蕊,王濤,石麗梅.蘆山7.0級地震震后道路損毀風險評估方法研究[J].災害學,2014,29(2):33-37.
篇(2)
關鍵詞:風險導向審計;審計模式;適用性分析
隨著國內外重大審計失敗事件的不斷發生,風險導向審計作為一種重要的審計理念和方法,受到審計職業界和學者的關注。中國注冊會計師協會在2004年10月了新的審計風險準則征求意見稿,要求注冊會計師在審計中使用現代風險導向審計方法,實施風險評估程序,降低審計風險,提高審計質量。如果審計風險準則一旦正式生效,將使我國的審計風險準則與國際接軌,并引導中國注冊會計師實務由傳統風險導向審計向現代風險導向審計轉變。因此,對現代風險導向審計模式的理解以及在我國的適用性分析就顯得十分重要。
一、風險導向審計概述
隨著社會經濟的發展變化,審計方法適應審計環境的變化經歷了三個發展階段:一是審計發展的早期,由于企業組織結構簡單、業務性質單一,注冊會計師的審計工作目的是為了促使受托責任人在授權經營過程中做出誠實、可靠的行為,審計方式是詳細審計。審計的重心在資產負債表,是對會計憑證和賬簿的詳細審計,旨在發現和防止錯誤與舞弊,這種審計方法就是賬項基礎審計方法(accountingnumber-basedauditapproach)。二是從1950年代起,以內部控制測試為基礎的抽樣審計在西方國家得到廣泛應用,這種審計方法重點在于注冊會計師了解、測試和評價內部控制設計的合理性和執行的有效性。對內部控制存在缺陷的環節,注冊會計師通常將其涉及交易和賬戶余額作為審計的重點,甚至進行詳細審計;對于可以信賴的內部控制環節,通常將其涉及的交易和賬戶余額進行抽樣審計,以提高審計效率和降低審計費用。從方法論的角度,這種審計方法被稱作制度基礎審計方法(system-basedauditapproach)。三是1970年代以后,由于制度基礎審計方法顯露缺陷,一種新的、以風險防范為基礎的風險導向審計模式逐漸興起,從方法論的角度,注冊會計師以審計風險模型為基礎進行的審計方法稱為風險導向審計方法(risk-orientedauditapproach)。
回顧審計方法的發展歷程,風險導向審計模式已成為審計方法發展的國際趨勢。風險導向審計模式合理地揚棄了作為制度導向審計模式基礎的“無利害關系假設”,把指導思想建立在“合理的職業懷疑假設”的基礎上,不只依賴對被審計單位管理層所設計和執行內部控制制度的檢查與評價,而且實事求是地對公司管理層是否誠信、是否有舞弊造假的驅動始終保持一種合理的職業警覺,將審計的視野擴大到被審計單位所處的經營環境(微觀、中觀乃至宏觀),將風險評估貫穿于審計工作的全過程。與傳統的制度基礎審計相比較,主要有以下區別:
(一)審計模式不同
制度基礎審計模式以內部控制為核心,對控制風險的評估僅通過確定內部控制的可依賴程度來減少實質性測試的工作量,而對固有風險的評估常流于形式;風險導向審計模式不僅通過內部控制評估控制風險,還結合其他風險因素尤其是固有風險綜合考慮,通過對企業環境、發展戰略、公司治理結構等方面的評估,發現其潛在的經營風險及財務風險,并評估財務報表發生重大錯報的風險,以便使審計風險降至可接受水平。
(二)審計基礎不同
制度基礎審計以內部控制制度為基礎,根據被審單位內部控制制度的健全性及符合性評審結果,確定實質性測試的范圍和重點;風險導向審計則以風險評估為基礎,對影響被審單位經濟活動的多種內外因素進行評估,確定審計范圍、重點和方法,其不僅重視與內部控制系統直接相關的因素,而且重視各種環境因素。
(三)審計方法不同
兩種審計模式都采用抽樣技術,但風險導向審計是通過建立審計風險模型將風險量化。因此,相對于制度基礎審計來說,風險導向審計的抽樣技術是更完全意義上的審計抽樣,更注重利用分析性測試方法,從而可以有效降低審計風險。
二、風險導向審計的兩種模式
風險導向審計自產生以來經歷了兩個階段,理論界把以傳統審計風險模型“審計風險=固有風險×控制風險×檢查風險”為基礎進行的審計稱為傳統風險導向審計模式;而將1990年代后期開始,在國際會計師事務所內部推行并逐漸被審計理論與實務界接受的,以“審計風險=重大錯報風險×檢查風險”的模型為基礎,以被審計單位的經營風險為導向的審計方法稱作現代風險導向審計模式。
傳統風險導向審計模式與現代風險導向審計模式的本質區別在于審計理念和審計技術方法的不同,后者是對前者的改進,其主要區別如下:
(一)審計起點不同
傳統風險導向審計運用的審計風險模型中,固有風險是指假定不存在相關內部控制時,某一賬戶或交易類別單獨或連同其他賬戶、交易類別產生重大錯報或漏報的可能性。控制風險是指某一賬戶或交易類別單獨或連同其他賬戶、交易類別產生錯報或漏報,而未能被內部控制防止、發現或糾正的可能性。傳統風險導向審計方法通過綜合評估固有風險和控制風險以確定實質性測試的范圍、時間和程序,由于固有風險難以評估,審計的起點往往為企業的內部控制(如果沒有必要測試內部控制,審計的起點則為會計報表項目)。
現代風險導向審計方法通過綜合評估經營控制風險以確定實質性測試的范圍、時間和程序,其審計起點為企業的戰略系統及其業務流程。如果企業的業務流程不重要或風險控制很有效,則將實質性測試集中在例外事項上。這種新模式的優點是將審計的重心前移到風險評估,這將有利于充分識別和評估會計報表重大錯報的風險,因此,主要針對風險設計、實施控制測試和實質性測試程序。此外,注冊會計師容易全面掌握企業可能存在的重大風險,有利于節省審計成本,克服因缺乏全面性觀點而導致的審計風險。
(二)風險評估識別以分析性復核程序為中心
現代風險導向審計注重運用分析性復核程序,以識別可能存在的重大錯報風險;而傳統風險導向審計對于信息的再加工程度不夠,其分析性程序主要用在報表分析上。分析性復核程序已成為現代風險審計方法最重要的程序,為了適應分析性程序功能擴大的要求,分析性程序開始走向多樣化:在數據分析上不但要對財務數據進行分析,也要對非財務數據進行分析;在分析工具上借鑒現代管理方法,把戰略分析、績效分析、財務分析及前景分析等分析工具運用到風險評估之中,使風險因素不再惟一,變一元風險評估為多元風險評估,使得出的風險評估結果更加可靠。
(三)風險評估方式由直接評估轉變為間接評估
傳統風險導向審計的風險評估是一種直接的方式,即直接評估重大錯報的概率。現代風險導向審計模式是從經營風險評估入手,間接地對審計風險進行評估,因為經營風險越高,審計風險也越大,也就是管理舞弊的可能性越大;并且從經營風險中能更有效地發現財務報表潛在的重大錯報,因為財務報表是經營的反映,如果經營風險未能在報表中得到體現,則財務報表很可能失真。此外,會計政策、會計估計的合理性評估也只有從經營風險入手,才能進行正確的評估。
(四)審計程序實施具有個性化
傳統風險導向審計模式審計程序是標準化形式,對不同的被審計單位都使用標準相同的審計程序,其缺陷是沒有足夠貫徹風險導向審計思想,使注冊會計師無法突破客戶預先設置或防范的措施,難以做出正確的審計結論。現代風險導向審計方法要求注冊會計師將評估及識別的審計風險與實施的審計程序相結合,針對不同客戶以及客戶不同的風險領域實施個性化的審計程序。
(五)審計證據的內涵擴大
在現代風險導向審計方式下,審計重心向風險評估轉移,審計證據也由內部向外部轉移。因此,注冊會計師必須充分了解企業整體經營環境,由此評估客戶的經營及審計風險,同時必須從外部取得大量的外部證據來證明風險評估的恰當性。風險導向審計模式下,注冊會計師形成審計結論所依據的審計證據不僅包括實施控制測試和實質性測試獲取的證據,還包括了解企業及其環境獲取的證據。
(六)擴充了內部控制要素
傳統風險導向審計方法下的內部控制是指被審計單位為了保證業務活動的有效進行,保護資產的安全和完整,發現、糾正錯誤與防止舞弊,保證會計資料的真實、合法、完整而制定和實施的政策與程序。內部控制要素包括控制環境、會計系統和控制程序。現代風險導向審計方法下的內部控制是指被審計單位為了合理保證財務報告的可靠性、經營的效率和效果以及對法律法規的遵循,由治理當局、管理當局和其他人員設計和執行的政策和程序。內部控制的三要素擴充為五要素,即控制環境、被審計單位的風險評估過程、與財務報告相關的信息系統和溝通、控制活動和對控制的監督。
(七)對注冊會計師的專業知識提出了更高要求
現代風險導向審計對注冊會計師的專業素質提出更高要求,其重心從會計、審計知識轉向管理和行業知識。現代風險導向審計下審計結果主要依賴風險評估,風險評估的各種分析方法要求掌握現代管理知識和行業知識(包括市場、研發、生產等方面),這對注冊會計師提出了更高的要求。注冊會計師應該是復合性人才,不但要掌握一般常用分析工具,還要接受現代管理知識和行業專業知識訓練。
三、現代風險導向審計模式在我國的適用性分析
基于上述分析,現代風險導向審計模式是審計發展的一種必然趨勢。2003年10月,國際審計與鑒證準則委員會(IAASB)通過了新的審計風險準則;中注協也在2004年10日了修訂后的審計風險準則征求意見稿,不僅將使我國的審計風險準則與國際接軌,同時也為提高審計質量、降低審計風險提供了技術支持。審計風險準則一旦正式生效,將引導中國注冊會計師實務由傳統風險導向審計向現代風險導向審計轉變,會對我國的注冊會計師審計理念、審計程序及審計責任產生非常大的影響。
然而,目前要在我國推行風險導向審計模式還存在一定的制約條件和需要解決的問題:
(一)會計師事務所審計成本與效益問題
實施風險導向審計模式的前提是成本能得到補償。現代風險導向審計模式在審計計劃階段和執行控制測試階段,注冊會計師關注的范圍擴大,程度加深,導致工作時間和審計成本的增加,在市場競爭激烈的情況下,成本的增加往往不可能過渡到收費的同步增加。此外,還需要一定的投入來培訓注冊會計師,使他們掌握業務流程和行業知識等有關方面的知識。如果這些成本得不到補償,就會使一部分中小會計師事務所在競爭中無法生存。
(二)信息系統的建設問題
現代風險導向審計的重要特征是審計重心前移,注冊會計師必須首先執行風險評估程序,充分了解客戶整體經營環境,然后針對風險不同的客戶、客戶不同的風險領域,設計個性化的審計程序。因此,會計師事務所必須建立強大的信息系統,以便注冊會計師在風險評估時了解企業的戰略、流程風險管理、業績衡量等。而目前國內很多事務所對行業風險和企業經營風險缺乏了解,客戶的相關信息不夠充分,信息系統的建設還達不到現代風險導向審計的要求,導致風險評估不準確。因此,風險導向審計的運用僅限于老客戶,對新客戶還是將大量時間用于實質性測試。
(三)審計從業人員素質問題
現代風險導向審計對審計從業人員的業務素質提出了新要求,不僅要具備豐富的審計理論和實踐經驗,還要具備必需的管理學知識和經濟學知識,能夠運用系統的、戰略的觀點充分了解、分析企業所處的宏觀經濟環境和行業發展狀況,對有可能導致企業會計報表錯報風險的內外部因素進行客觀、系統的分析與評價,將審計視角擴展到內部控制以外,從較高層面上評估風險,而不是僅僅注重企業會計處理的細節。
(四)輔助審計軟件的使用與完善問題
現代風險導向審計方法中分析性程序占據非常重要的地位,輔助審計軟件的使用在其中發揮著重要的作用。西方發達國家大量運用分析性程序的條件是輔助審計程序的開發和運用,它可以直接對數據庫進行加工分析,依據軟件模型自行處理數據,使運用分析性測試程序成為節約成本的重要手段。另外,采用審計軟件使統計抽樣的樣本更具代表性,審計抽樣風險可控,為風險導向審計提供了技術支持。目前,我國在審計軟件的開發和使用上不夠理想,還有待提高,而且大部分注冊會計師缺少相應的技術準備,在現階段推行現代風險導向審計方法只能是一種愿望。
如上所述,目前在我國全面推行現代風險導向審計模式還受到許多制約,盡管它有很多優越之處,但在我國還不能夠普遍推行。當前我國獨立審計準則主要是以制度基礎審計模式為基礎的,而且相當一部分從事小規模企業審計工作的會計師事務所和注冊會計師,基本上仍然在運用賬項基礎審計模式。但是,現代風險導向審計的實行是一種理念的改變,我們可將制度基礎審計與風險導向審計有機結合。即使在現行審計準則仍然主要以制度基礎審計模式為基礎的情況下,吸取風險導向審計模式的基本觀點和做法,則是完全可行的。通過把風險導向審計中控制風險的理念和方法融合到制度基礎審計中,使其他審計模式忽略審計風險的缺陷得到彌補,將會為探索適合我國的現代風險導向審計模式積累有益的實踐經驗。
參考文獻:
〔1〕陳毓圭。對風險導向審計方法的由來及其發展的認識〔J〕。會計研究,2004,(2)。
〔2〕常勛,黃京菁。從審計模式的演進看風險導向審計〔J〕。財會通訊,2004,(7)。
篇(3)
關鍵詞:電子政務外網;等級保護測評;風險評估;風險評估模型
中圖分類號:TP311 文獻標識碼:A 文章編號:1009-3044(2014)34-8337-02
1 等級保護背景下的電子政務外網風險評估
電子政務外網提供非的社會公共服務業務,全國從中央各部委、到省、市、縣,已經形成了一張大龐大的網絡系統,有的地方甚至覆蓋到了鄉鎮、社區村委會,有效提高了政府從事行政管理和社會公共服務效率。今后凡屬社會管理和公共服務范疇及不需在國家電子政務內網上部署的業務應用,原則上應納入國家政務外網運行,它按照國家政務外網統一規劃,建立網絡安全防護體系、統一的網絡信任體系和信息安全等級保護措施。
隨著政務外網的網絡覆蓋的擴大及接入的政務單位越來越多、政務外網應用的不斷增加,各級政務移動接入政務外網的需求也在增加,對政務外網的要求和期望越大,網絡安全和運維的壓力也越大,責任也更大。由于政務外網與互聯網邏輯隔離,主要滿足各級政務部門社會管理、公共服務、市場監管和經濟調節等業務應用及公務人員移動辦公、現場執法等各類的需要,網絡和電子政務應用也成為境外敵對勢力、黑客等攻擊目標。隨著新技術的不斷涌現和大量使用,也對電子政務外網網絡的安全防護、監控、管理等帶來新的挑戰。按照國家政務外網統一規劃,建立網絡安全防護體系、統一的網絡信任體系和信息安全等級保護措施是必須的。
為保障電子政務外網的安全有效運行,我們應以風險管理理念來統籌建設網絡和信息安全保障體系。在國家信息系統安全等級保護的大背景下,2011年國家信息中心下發了《關于加快推進國家電子政務外網安全等級保護工作的通知》,強化了電子政務外網的等級保護制度以及等級測評要求,要求對政務外網開展等級測評,全面了解和掌握安全問題、安全保護狀況及與國家安全等級保護制度相關要求存在的差距,分析其中存在的安全風險,并根據風險進行整改[1]。
系統安全測評、風險評估、等級測評都是信息系統安全的評判方法[2,3],其實它們本沒有本質的區別,目標都是一樣的,系統安全測評從系統整體來對系統的安全進行判斷,風險評估從風險管理的角度來對系統的安全狀況進行評判,而等級測評則是從等級保護的角度對系統的安全進行評判。不管是系統安全測評[1]、風險評估、等級測評,風險的風險與計算都是三者必不可少的部分。
2 電子政務主要風險評估方法簡介
電子政務外網風險評估有自評估、檢查評估、第三方評估(認證)評估模式,都需利用一定的風險評估方法來進行相關風險的評估。從總體上來講,主要有定量評估、定性評估兩類。在進行電子政務系統信息安全風險評估過程中,采用的主要風險評估方法有:OCTAVE、SSE-CMM、FAT(故障樹方法)、AHP (層次分析)以及因素分析法、邏輯分析法、德爾菲法、聚類分析法、決策樹法、時許模型、回歸模型等方法。研究風險評估模型的方法可以運用馬爾可夫法、神經網絡、模糊數學、決策樹、小波分析等[4-6]。OCTAVE 方法是一個系統的方法,它從系統的高度來進行信息安全的安全防護工作,評估系統的安全管理風險、安全技術風險,它提高了利用自評估的方式制定安全防范措施的能力。它通過分析重要資產的安全價值、脆弱性、威脅的情況,制定起風險削減計劃,降低重要資產的安全風險。電子政務外網需要從實際出發,不能照搬其它評估方法,根據電子政務外網實際,本設計基于OCTAVE 評估模型,設計了一個電子政務外網風險分析計算模型。
3 基于OCTAVE模型的一個電子政務外網風險計算模型設計
3.1 風險評估中的資產、威脅、脆弱性賦值的設計
保密性、完整性和可用性是評價資產的三個安全屬性。風險評估中的資產價值不是以資產的經濟價值來衡量,而是由資產在這三個安全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的。
資產價值應依據資產在保密性、完整性和可用性上的賦值等級,經過綜合評定得出。綜合評定方法可以根據自身的特點,選擇對資產保密性、完整性和可用性最為重要的一個屬性的賦值等級作為資產的最終賦值結果;也可以根據資產保密性、完整性和可用性的不同等級對其賦值進行加權計算得到資產的最終賦值結果。本設計模型根據電子政務外網的業務特點,依據資產在保密性、完整性和可用性上的賦值等級進行加權計算(保密性α+完整性β+和可用性γ),α、β、γ為權重系數,權重系數的確定可以采用專家咨詢法、信息商權法、獨立性權數等。本設計方案采用專家咨詢法。資產、威脅、脆弱性的賦值可以從0-10,賦值越高,等級越高。
脆弱性識別是風險評估中最重要的一個環節。脆弱性是資產本身存在的,如果沒有被相應的威脅利用,單純的脆弱性本身不會對資產造成損害。脆弱性識別的依據可以是國際或國家安全標準,也可以是行業規范等,如國家信息安全漏洞共享平臺(CNVD)漏洞通報、CVE漏洞、微軟漏洞通報等。
資產、威脅、脆弱性的識別與賦值依賴于專家對三者的理解,不同的人員對三者的賦值可能不同,甚至差別很大,可能會不能真實的反映實際情況。為了識別與賦值能準確反映實際情況,可以采用一定的方法來進行修正。本設計采用頭腦風暴法、德爾菲法去獲取資產、威脅、脆弱性并賦值、最后采用群體決策方法確定資產、威脅、脆弱性的識別與賦值。這樣發揮了三個方法的特點,得到的賦值準確性大大提高。
判斷威脅出現的頻率是威脅賦值的重要內容,評估者應根據經驗和(或)有關的統計數據來進行判斷[7]。判斷威脅出現的頻率是可能性分析的重要內容,如果僅僅從近一兩年來各種國內、國際組織的對于整個社會或特定行業的威脅及其頻率統計,以及的威脅預警等來判斷是不太準確的,因為它沒有與具體的電子政務外網應用實際聯系起來,實際環境中通過檢測工具(如IPS等)以及各種日志發現的威脅及其頻率的統計也應該考慮進去。
本設計模型采用綜根據經驗和(或)有關的統計數據來進行判斷,并結合具體電子政務外網實際,從歷史生產系統的IPS等獲取各種威脅及其頻率的統計,并采用馬兒可夫方法計算出某個時段內某個威脅發生的概率。馬爾可夫方法是一種定量的方法,具有無后效性的特點,適用于計算實時的動態信息系統威脅發生概率。它利用IPS等統計某一時段的發生了哪些威脅,構建出各種威脅之間的狀態轉移圖,使用馬爾可夫方法計算出該時段內某個威脅發生的概率。計算出的威脅發生概率結果可以進行適當的微調,該方法要求記錄的樣本具有代表性。
3.2 風險計算模型設計
通常風險值計算涉及的風險要素為資產、威脅、和脆弱性。 在完成了資產識別、威脅識別、脆弱性識別,以及已有安全措施確認后,將采用適當的方法與工具確定威脅利用脆弱性導致安全事件發生的可能性,并綜合安全事件所作用的資產價值及脆弱性的嚴重程度,判斷安全事件造成的損失對組織的影響,即安全風險計算。
風險值=R(資產,威脅,脆弱性)= R(可能性(威脅,脆弱性),損失(資產價值,脆弱性嚴重程度))。可根據自身電子政務外網實際情況選擇相應的風險計算方法計算風險值,如目前最常用的矩陣法或相乘法等。矩陣法主要用于兩個要素值確定一個要素值的情形,相乘法主要用于兩個或多個要素值確定一個要素值的情形。
本設計模型采用風險計算矩陣方法。矩陣法通過構造一個二維矩陣,形成安全事件的可能性與安全事件造成的損失之間的二維關系;相乘法通過構造經驗函數,將安全事件的可能性與安全事件造成的損失進行運算得到風險值。
在使用矩陣法分別計算出某個資產對應某個威脅i,某個脆弱性j的風險系數[Ri,j],還應對某個資產的總體安全威脅風險值進行計算,某個資產總體風險威脅風險=Max([Ri,j]),i,j=1,2,3…。組織所有資產的威脅風險值為所有資產的風險值之和。
3.3 對風險計算模型的改進
在風險值=R(A,T,V)的計算模型中,由資產賦值、危險、脆弱性三元組計算出風險值, 并沒有把安全防護措施因素對風險計算的影響考慮在內,該文把風險值=R(A,T,V)改進為風險值=R(A,T,V,P),其中P為安全防護措施因素。P因素不僅影響安全事件的可能性,也影響安全事件造成的損失,把上面的公式改進為風險值=R(L(T,V,P),F(Ia,Va,P ))。對于L(T,V,P),F(Ia,Va,P )的計算可以采用相乘法等。如果采用矩陣法,對L(T,V,P)的可以拆分計算L(T,V,P)=L(L(T,V),L(V,P))。
在計算出單個資產對應某個脆弱性、某個威脅、某個防護措施后的風險值后,還應總體上計算組織內整體資產面臨的整體風險。單個風險(一組風險)對其它風險(一組風險)的影響是必須考慮的,風險之間的影響有風險之間的疊加、消減等。有必要對風險的疊加效應、疊加原理、疊加模型進行研究。
3.4 風險結果判定
為實現對風險的控制與管理,可以對風險評估的結果進行等級化處理。可將風險劃分為10,等級越高,風險越高。
風險等級處理的目的是為風險管理過程中對不同風險的直觀比較,以確定組織安全策略。組織應當綜合考慮風險控制成本與風險造成的影響,提出一個可接受的風險范圍。對某些資產面臨的安全風險,如果風險計算值在可接受的范圍內,則該風險是可接受的,應保持已有的安全措施;如果風險計算值高于可接受范圍的上限值,則該風險是不可接受的,需要采取安全措施以降低、控制或轉移風險。另一種確定不可接受的風險的辦法是根據等級化處理的結果,不設定可接受風險值的基準,對達到相應等級的風險都進行處理。
參考文獻:
[1] 國家電子政務外網管理中心.關于加快推進國家電子政務外網安全等級保護工作的通知[政務外網[2011]15號][Z].2011.
[2] 等級保護、風險評估和安全測評三者之間的區別與聯系[EB/OL].http:///faq/faq.php?lang=cn&itemid=23.
[3] 趙瑞穎.等級保護、風險評估、安全測評三者的內在聯系及實施建議[C].第二十次全國計算機安全學術交流會論文集,2005.
[4] 李煜川.電子政務系統信息安全風險評估研究――以數字檔案館為例[D].蘇州:蘇州大學,2011.
[5] 陳濤,馮平,朱多剛.基于威脅分析的電子政務信息安全風險評估模型研究[J].情報雜志,2011(8):94-99.
篇(4)
【關鍵詞】環境風險;環境風險評價
一、背景
環境風險是指在自然環境中產生的或通過自然傳遞的,對人類健康和幸福產生不利影響同時又具有某些不確定性的危害事件。由于環境風險區別于傳統環境問題,具有巨大的不確定性,逐漸發展出一種新的針對環境風險的環境風險評價制度。環境風險評價是指由一定的機關或組織,對具有不確定性的環境風險可能對人體健康、生態安全等造成的環境后果進行識別、度量、評估的過程或環境管理活動。
從20世紀90年代開始,我國的一些法律規范中提出了環境風險評價的內容。1993年,國家環保局頒布的《環境影響評價技術導則》規定:對于風險事故,在有必要也有條件時,應進行建設項目的環境風險評價或環境風險分析。同年的《基因工程安全管理辦法》要求對基因技術進行安全評價。1996年,《農業生物基因工程安全管理實施辦法》對農業轉基因生物安全評價作了規定。2001年,《職業安全健康管理體系指導意見》對職業安全評價作出規定。2004年的《建設項目環境風險評價技術導則》明確指出:將建設項目環境風險評價納入環境影響評價管理范疇。2011年公布的《外來物種環境風險評估技術導則》規定了外來物種環境風險評估的原則、內容、工作程序、方法和要求。2015年,環保部批準《尾礦庫環境風險評估技術導則(試行)》,要求對運行期間的尾礦庫進行環境風險評估。2014年修訂的新環保法第39條規定“國家建立、健全環境與健康監測、調查和風險評估制度”,雖然只是國家建立、健全相關制度的義務的概括規定,但同時也使得環境健康風險評價制度第一次進入環保基本法。
二、從一個實踐案例看我國環境風險評價制度的實施
(一)湖北榮成紙業有限公司熱電聯產工程簡介
湖北榮成紙業有限公司擬建設一座熱電聯產中心,為公司生產和和臨港工業園區企業供熱,于2015年6月初通過環評。環評報告的環境風險評價包括五個部分。第1部分為環境風險評價的目的:分析和預測建設項目存在的潛在危險、有害因素、建設項目建設和運行期間可能發生的突發性事件或事故(一般不包括人為破壞及自然災害),引起有毒有害和易燃易爆等物質泄漏,所造成的人身安全與環境影響和損害程度,提出合理可行的防范、應急與減緩措施,以使建設項目事故率、損失和環境影響達到可接受水平。
第2部分為環境風險評價程序圖,主要包括風險識別、源項分析、后果計算、風險評價、風險可接受水平、風險管理、應急措施預案。第3部分為環境風險評價,報告指出,擬建工程環境風險主要包括:原煤堆場火災風險事故、燃料油火災爆炸、氨水罐泄露、粉塵爆炸、鍋爐故障導致二f英增加外排。以事故發生原因為基礎,將項目環境風險分為火災爆炸、不可抗力、設備故障和人員管理四類。根據相關規定確定項目環境風險評價工作等級為二級。對項目的主要環境風險進行分析,主要對每類風險的發生原因進行了介紹,僅對二f英的事故排放可能對人體健康造成的影響進行了簡要介紹。第4部分圍繞原煤堆場火災、油庫、氨水罐、粉塵、鍋爐、事故池、事故廢水處理規定了環境風險事故防范措施。第5部分事故應急反映方案規定了預案的啟動、職責與任務、現場警戒與疏散措施、事故上報程序與內容和善后處理。
另外,根據相關規定,建設項目環境風險評價是作為環境影響評價的一部分而存在的,所以環境風險評價部分沒有獨立的公眾參與部分,項目環評的公眾參與主要包括兩種方式,一是媒體公示即兩次在湖北省環保廳網站上進行了項目公示;二是公眾參與調查表,對松滋市陳店鎮全心村的83位居民和附近的3家單位進行了問卷調查。公眾參與的結果顯示,當地公眾對建設項目的了解程度一般,部分人擔心項目的運行會對生活環境和身體健康造成不利影響,大部分人認為該項目可以帶動當地經濟的發展,解決當地農民的就業問題,被調查者全部支持該項目的建設,無人反對該項目的建設。
(二)分析
從上文介紹的環境風險評價實例可以看出:1、我國建設項目環境風險評價將環境風險僅僅簡要的分為火災、爆炸和泄露三類,并局限在項目的突發性事件或事故可能造成的環境風險,并不對項目正常工作過程中的環境風險進行考量;2、環境影響評價對可能造成的人體健康和生態系統的不利影響的闡述不充分,從而環境影響評價的結論即風險是否達到可接受水平讓人產生不信任感;3、環境風險評價的過程缺乏互動,不能體現評價結論對項目實施方案的具體影響,公眾參與形式化、途徑單一,公眾意見對項目實施缺乏影響力;4、環境風險評價中僅規定了一些事前的預防措施,缺乏事中和事后監督和必要措施。
三、美國環境健康風險管理框架及其啟示
(一)美國環境健康風險管理框架的基本內容
環境風險管理框架已成為國際上環境風險評價制度的發展趨勢,在眾多已制定的環境風險管理框架中,美國總統/國會風險評價和風險管理委員會的《環境健康風險管理框架》(1997)是最具影響力的框架,為多國制定框架時參考和借鑒。在1990年的清潔空氣法修正案中,國會要求組成一個風險評價與風險管理委員會,委員會認為,應改變傳統評價與降低風險的方法,以降低風險和改善健康狀況為總體目標。委員會希望框架指導公共部門和私營機構有價值的資源投資在研究、評估、表征和降低風險中。
框架包括六個階段:
1.定義問題并把它放在背景下
對科學的風險管理決策而言,首先需要正確界定問題。通過在復雜背景中識別和表征環境健康風險問題并描述它的特征,仔細考慮問題的背景,確定風險管理的目標和有權或有責任采取行動的風險管理者,并讓利益相關者參與到過程中。
2.聯系問題背景分析風險
闡明問題引起的事實和科學基礎,在數量和質量上處理健康和生態風險,描述負面影響的特性、嚴重性、可逆性或可預防性。把問題引起的風險放在多源頭、多媒介、多種化學物質和多風險背景下。了解利益相關者對問題引起的風險的認識。把問題引起的科學和背景方面的信息結合成問題對人類健康或環境產生的風險進行定性,同時考慮利益相關者的認識和其他社會文化的影響。
3.檢查處理風險的選擇
這一階段包括確定可能的風險管理選擇,評價選擇的效果、可行性、成本收益、非計劃中的結果和文化社會影響。這個過程可以在界定問題和考慮背景之后任何合適的時間開始。風險管理者和利益相關者獲取了關于可行性、成本與效益分析和減少暴露、降低風險對改善人類和生態健康的貢獻的正確評價之后,風險管理目標可能會被重新定義。利益相關者在確定和分析選擇階段發揮重要作用。
4.做出實施何種選擇的決策
在框架的這一階段,決策者基于最佳可得科學、經濟和其它技術信息,確保決策考慮了問題的多種來源、多種媒介、多種化學物質、多種風險背景,做出符合成本收益具有可行性的風險管理選擇。另外,優先預防風險,而不僅僅是控制風險,可能的話,使用命令―控制管理的替代性方案。一個富有成效的利益相關者參與過程可以對決策產生重要指引作用。
5.采取行動來實施決策
傳統上,一直是管理機構的要求推動實施,工廠和市政當局通常是實施者。然而,當其他的利益相關者也能扮演重要角色時,成功的可能性會顯著提高。利益相關者可能會包括:公共健康機構、其他公共機構、社區團體、市民、工廠、人和技術專家等。
6.對行動作出評價
在風險管理的這個階段,決策者和利益相關者評價實施的風險行動以及它們的效果。評價工具包括環境健康監測、研究、疾病監管、成本收益分析和與利益相關者的討論。在大多數情形,應定期評價。就像風險管理過程其他的階段,利益相關者參與會讓評價更有益。另外,評價中可能出現新信息,評價對了解框架的哪一部分需要被重復非常重要。
(二)美國環境健康風險管理框架的主要特點與啟示
1.在更廣泛的背景下定義風險
一個風險問題的背景的全面理解對于有效進行風險管理是非常有必要的,因為問題狹窄的背景無法反映風險情況的真實復雜性,造成風險管理決策和行動相比不是很有成效。
2.基于科學信息和最佳判斷進行風險評價
風險評估者尊重在缺乏充分數據的情況下得到結論時風險和程序的客觀科學基礎非常重要。風險評估者應該向風險管理者和其他利益相關者提供看起來合理的,含有支撐不確定性和供選觀點的具有證明力的評估,從而可以在可得信息的基礎上作出風險結論。
3.利益相關者全過程參與
整個風險管理過程的利益相關方參與被認為是至關重要的。通過全過程參與,不同利益相關方全面溝通與合作,最終平衡各方的意見和觀點以做出體現公眾價值觀的風險決策。
4.重復和評估
公眾評論、協商、信息收集、研究或風險與選擇的分析可能澄清或重新定義問題,使重心改變到一個不同的問題上,由于重要的新信息、觀點和看法出現,風險管理過程會靈活而經常重復。評估對充分地履行職責和理智地利用稀缺資源至關重要。
四、完善建議
(一)在更廣泛的背景下定義環境風險
當前我國環境風險評價制度的規定主要集中在建設項目、外來物種、尾礦庫、基因工程和職業安全領域。其中,建設項目環境風險評價僅適用于涉及有毒有害和易燃易爆物質的項目,排除了有巨大環境風險的核建設項目,而且因為它是以環境風險事故的防范為導向,導致它對環境風險的定義過于狹窄,僅對突發性事件或事故引起的有毒有害、易燃易爆等物質泄漏進行風險評價,排除了非事故情形下,項目正常運營下可能產生的環境風險。《尾礦庫環境風險評估技術導則(試行)》適用于運行期間的尾礦庫,不適用于貯存放射性尾礦、伴有放射性尾礦的尾礦庫環境風險評估,同建設項目環境風險評價,它也只考量尾礦庫可能引發突發環境事件的危險因素。《外來物種環境風險評估技術導則》主要適用于規劃和建設項目可能導致的外來物種造成的生態危害的評估。《基因工程安全管理辦法》和《職業安全健康管理體系指導意見》分別對遺傳工程產品和職業安全風險評估進行了初略的要求性規定。整體來說,從我國環境風險評價的各個分散規定可以看出,我國環境風險的范圍相對狹窄,而且一般孤立地考慮單一的化學物質在單一的環境媒介中引起的單一風險進行評價,從而也限制了我國全面、綜合的環境風險評價。應改變以事故為導向的環境風險定義,逐步擴大我國環境風險評價范圍,在更廣泛的公共健康和生態背景下進行環境風險評價。
(二)明確環境風險評價的目標
環境風險評價的目標不應停留在防范風險層面上,而應進一步把環境風險評價的目標明確為保障人體健康和生態健康。防范風險雖然是環境風險評價的直觀起點,但忽視人體健康和生態健康目標的環境風險評價是有違環境保護的根本宗旨的。實踐中的環境風險評價正是因為缺乏對人體健康和生態健康的要求而導致實施的結果難以讓人滿意。為了配套環境風險評價保障人體健康和生態健康的目標,國家應積極開展環境健康與環境生態監測、調查與研究,為環境風險評價提供科學和數據支撐。
(三)保障利益相關方的參與
我國現有的利益相關者參與主要在建設項目(包括尾礦庫)環境風險評價中得到一定的保障,因為環評對公眾參與的要求,公眾在其中可有享有一定的環境知情權、發表環境意見權和環境監督權等,但是,在實踐中利益相關方的參與有走過場的傾向,處于弱勢的利益相關方的環境知情權常常受到侵害,意見不能被充分的考慮,對環境風險評價的進程與結論不能產生實質影響。在外來物種、基因工程和職業安全領域,沒有要求利益相關方的參與,利益相關方的環境知情權也難以得到保障。環境風險是一個多維的概念,還必須包括受影響方的觀點。環境風險評價只有兼顧各方觀點和需求,考慮不同群體的價值觀、知識和認知,才能做出更好的風險管理決策,而在決策行動的過程中也不易受到利益相關者的反對和抵觸。
(四)構建適合我國的環境風險管理框架和方法
篇(5)
【關鍵詞】 風險導向;制度導向;審計
審計模式經歷了賬項導向審計模式、制度導向審計模式,發展到現在為風險導向審計模式。其中:賬項導向審計模式是最初始的審計方法,主要著眼于查錯防弊,從審計期間會計事項所依據的相關會計原始憑證入手,追查到記賬憑證、賬簿、會計報表等會計文件的形成,驗算其記賬金額、核對賬證、賬賬、賬表,賬項導向審計模式適用于經濟業務不很復雜的小規模企業。制度導向審計模式將審計的重點放在對內部控制制度各個控制環節的審查上,目的是發現內部控制制度的薄弱之處,找出問題發生的根源,然后針對這些環節擴大檢查范圍;而對內部控制制度有效之處,則可縮小其檢查范圍或簡化其審計程序,這種審計模式,提高了審計效率。風險導向審計最顯著的特點是:它立足于對審計風險進行系統的分析和評價,并以此作為出發點,制定審計策略和與企業狀況相適應的多樣化審計計劃,將風險考慮貫穿于整個審計過程。因為它著眼于全面的控制測試,而不是著眼于測試內部控制制度的執行效果(即符合性測試),因而要:首先,將客戶置于行業、法律、經營管理、資金、生產技術、甚至企業的經營理念等環境中,從各個方面研究環境對審計風險控制的影響,并對這種影響進行評價,將其數量化,歸結為固有風險。其次,在保留制度導向審計優點的基礎上,重點研究被審計單位的內部控制,此時審計人員所研究的是已經擴大了的內部控制系統,不僅包括會計控制,還包括企業經營管理的其他控制,其目的不僅僅是找出薄弱環節,更要研究由于控制的缺陷而產生的控制風險,并對此進行評估。再次,通過對產生風險的各個環節的分析評價,審計人員利用審計風險模式,可以把風險量化,確定出可以接受的檢查風險水平,并以此確定實質性測試的重點和測試水平,確定如何收集、收集多少及收集什么性質的審計證據。最后,將審計風險降低至審計人員可以接受的水平,出具相應的審計報告。風險導向審計模式合理地揚棄了作為制度導向審計模式基礎的“無利害關系假設”,把指導思想建立在“合理的職業懷疑假設”的基礎上。不只依賴對被審計單位管理層所設計和執行內部控制制度的檢查與評價,而是實事求是地對公司管理層是否誠信,是否有舞弊造假的驅動,始終保持一種合理的職業警覺,將審計的視野擴大到被審計單位所處的經營環境,捕捉潛在的風險點,將風險評估貫穿于審計工作的全過程。
制度導向審計與風險導向審計有聯系也有區別,主要表現在:
一、兩者審計目標相同
風險導向審計與制度基礎審計都是委托人對受托人實施控制的載體。注冊會計師制度的存在和發展應歸因于企業所有權和經營權分離所導致的受托經濟責任。由于企業管理當局是提供會計報表的責任主體,自身利益通常與企業的財務狀況與經營成果掛鉤,編制的會計報表容易受到利益驅動而失實,需要由具有專門知識和技能的獨立第三方――注冊會計師對會計報表進行審計,出具客觀、公允的報告。因此,注冊會計師的報告可以有效地說明企業管理當局的受托經濟責任,降低會計報表使用人進行決策所面臨的信息失真風險。一百多年來,審計的根本目標沒有發生重大變化。從20世紀40年代起,審計的目標就是對被審計單位的會計報表進行審計并發表審計意見。
二、兩者審計理論相同
風險導向審計理論是在制度導向審計理論基礎上發展而來。因此,制度導向審計的很多方法同樣在風險導向審計上使用。按照風險評估確定審計重點,分配審計資源。雖然兩種審計方法的風險評估方法存在重大差異,但在風險評估之后,都要根據風險評估的結果來確定審計重點、分配審計資源。所謂重要性,是指被審計單位的會計報表中錯報或漏報的嚴重程度,這一程度在特定環境下可能影響會計報表使用者的判斷或決策。兩種層次的重要性水平包括報表層次和賬戶或交易層次的重要性水平。因為重要性水平跟審計證據存在反比關系,所以重要水平越低,就要分配更多的審計資源來獲取適當的審計證據,實施審計程序。無論風險評估結果如何,兩種審計方法最終都回歸到實施包括抽樣在內的各種審計程序。風險導向審計可以在一定程度上減少實施的審計程序,但即使由于風險評估結果很小,注冊會計師也應出于謹慎而勤勉盡責,實施一定量的審計程序,進行多角度測試,才會將審計失敗風險降到最小。依據獲取的審計證據對會計報表形成審計意見,出具審計報告。兩種審計方法的工作成果都是審計報告,而審計意見則是注冊會計師對會計報表的合法性及公允性的集中表達,是審計工作的集中體現。
三、兩者審計風險模型不同
由于對審計風險的認識不同。 導致了兩種風險導向審計方法所運用的審計風險模型不同。 制度導向審計方法以“審計風險=固有風險×控制風險×檢查風險”為審計風險模型。風險導向審計以“審計風險=重大錯報風險×檢查風險”為審計風險模型。現代審計風險模型在傳統審計風險模型的基礎上進行了改進,形式上有所簡化。但審計風險的內涵和外延卻擴大了,其中重大錯報風險包括兩個層次:會計報表整體層次和認定層次。認定層次風險指交易類別、賬面余額、披露和其他相關具體認定層次的風險。包括傳統的固有風險和控制風險,會計報表整體層次風險主要指戰略風險和經營風險。把戰略風險和經營風險融入現代審計模型。可建立一個更全面的審計風險分析框架。
四、兩者審計重點不同
在制度導向審計方法中,人為的將風險分為固有風險和控制風險。而固有風險的定義是以內部控制不存在的假設為前提條件的,這種假設本身就是不存在的。因此,在實際操作中,固有風險的評估比較困難,注冊會計師一般不注重從宏觀層面上了解企業及其環境,簡單地把固有風險評估為高水平,直接進行控制風險評估。審計的起點通常是控制測試,如果沒有必要測試內部控制,審計的起點直接為會計報表項目。風險導向審計方法是通過綜合評估經營控制風險來確定檢查風險。注冊會計師通過了解被審計單位的行業狀況、經營目標、戰略和相關經營風險、企業的經營戰略及其業務流程,評估重大錯報風險。審計的起點為風險評估。風險導向審計方法的優點在于將審計的重心前移到風險評估,有利于充分識別和評估會計報表重大錯報的風險,從而針對風險點設計和實施控制測試和實質性程序。
五、兩者審計程序不同
制度導向審計對于信息的再加工重視程度不夠,分析性程序主要用在報表分析上。風險評估以分析為中心,分析性程序成為最重要的程序。為了適應分析性程序功能擴大的要求,分析性程序開始走向多樣化。在數據分析上,不但要對財務數據進行分析,也要對非財務數據進行分析;在分析工具上,充分借鑒現代管理方法,將管理方法運用到分析性程序中去。注冊會計師常常把戰略分析、績效分析、財務分析及前景分析等分析工具運用到風險評估之中,這就使風險因素不再唯一,變一元風險評估為多元風險評估。用幾種方法相互印證,得出的風險評估結果會更加可靠。
六、兩者審計要求不同
職業懷疑態度,是指注冊會計師以質疑的態度評價所獲取審計證據的有效性,并密切關注相互矛盾的審計證據以及對文件或管理當局聲明的可靠性產生懷疑的審計證據。注冊會計師審計的主線始終是對重大錯報風險的識別、評估與應對,假定整體會計報表是不可信的,從而保持全方位的職業懷疑態度,在審計過程中充分關注可能導致會計報表發生重大錯報的情形,排除質疑。審計如同刑事偵察,發現疑點、捕捉線索是關鍵,而保持職業懷疑態度又是關鍵之關鍵。有不少審計失敗的案例,總結其失敗的原因,大都是審計人員未盡到職業懷疑義務,不敢或不會懷疑造成的。
傳統的風險導向審計方法不對企業經營風險實施評估程序,注冊會計師不懂管理知識、行業知識也可以審計。實施風險導向審計方法后,由于審計重心轉移,審計結果需要依賴風險評估,而進行風險評估需要現代管理知識,這就對注冊會計師提出了更高的要求。注冊會計師不但要掌握一些常用分析工具,還必須要學習現代管理知識和接受行業的專業知識培訓。
[主要參考文獻]
篇(6)
審計模式是一定審計環境下并與之相適應的審計目標、審計計劃、審計準則、審計管理體制和審計機構設置等共同組成的完整體系。審計作為一種技術手段,隨著社會經濟環境的變化和審計執行者對審計活動本質的逐步加深,依次經歷了賬項導向審計模式、制度導向審計模式和風險導向模式這三種模式。
制度導向審計又稱內控導向審計。隨著股份有限公司的不斷出現,社會公眾更多關注的是財務報表的公允性、真實性。基于這樣的前提,產生了以評價企業內部控制為基礎,然后確定實質性測試的性質、時間和范圍,并依此收集審計證據、形成審計意見的制度導向審計模式。
制度導向審計模式的重點明確,把企業內控制度及其執行情況作為主要的審計對象,極大地提高了審計抽樣質量。可以說,制度導向審計在保證審計結論具有一定可靠水平的前提下提高了審計工作效率,降低了審計成本,并能夠有效地幫助企業改善經營管理。
風險導向審計模式要求審計人員的審計思維要跳出賬簿,跳出內部控制。風險導向審計模式最顯著的特點是,它立足于對審計風險進行系統的分析和評價,并以此作為出發點,制定審計策略和與企業狀況相適應的多樣化審計計劃,將風險考慮貫穿于整個審計過程。
二、新舊審計準則體系的審計模式的區別
(一)審計風險模型不同
舊審計準則體系的審計模式以“審計風險=固有風險×控制風險×檢查風險”為審計風險模型。
新審計準則體系的審計模式以“審計風險=重大錯報風險×檢查風險”為審計風險模型。現代審計風險模型在傳統審計風險模型的基礎上進行了改進,形式上有所簡化。會計報表整體層次風險主要指戰略風險和經營風險,把戰略風險和經營風險融入現代審計模型,可建立一個更全面的審計風險分析框架。
(二)對注冊會計師的要求不同
舊審計準則體系的審計模式是建立在“無利害關系假設”基礎之上的,使得傳統風險導向的審計方法不對企業經營風險實施評估程序,對注冊會計師的綜合素質要求不是很高,使得不懂管理知識、行業知識的注冊會計師也可以進行審計工作。
新審計準則體系的審計模式把思想建立在“合理的職業懷疑假設”上,要求注冊會計師以質疑的態度評價所獲取審計證據的有效性,并密切關注相互矛盾的審計證據以及對文件或管理當局聲明的可靠性產生懷疑的審計證據。注冊會計師審計的主線始終是對重大錯報風險的識別、評估與應對。注冊會計師不但要掌握一些常用分析工具,還必須要學習現代管理知識和接受行業的專業知識培訓。
(三)審計起點不同
在舊審計準則體系的審計模式中,固有風險是指假定不存在相關內部控制時,某一賬戶或交易類別單獨或連同其他賬戶、交易類別產生重大錯報或漏報的可能性。傳統風險導向審計方法通過綜合評估固有風險和控制風險以確定實質性測試的范圍、時間和程序。
在新審計準則體系的審計模式中,通過綜合評估經營控制風險以確定實質性測試的范圍、時間和程序,其審計起點為企業的戰略系統及其業務流程。這種新模式的優點是將審計的重心前移到風險評估,這將有利于充分識別和評估會計報表重大錯報的風險,因此,主要針對風險設計實施控制測試和實質性測試程序。
(四)內部控制要素不同
舊審計準則體系的審計模式下的內部控制是指被審計單位為了保證業務活動的有效進行,保護資產的安全和完整,發現、糾正錯誤與防止舞弊,保證會計資料的真實、合法、完整而制定和實施的政策與程序。內部控制要素包括控制環境、會計系統和控制程序。
新審計準則體系的審計模式下的內部控制是指被審計單位為了合理保證財務報告的可靠性、經營的效率和效果以及對法律法規的遵循,由治理當局、管理當局和其他人員設計和執行的政策和程序。內部控制的三要素擴充為五要素,即控制環境、被審計單位的風險評估過程、與財務報告相關的信息系統和溝通、控制活動和對控制活動的監督。
(五)風險評估方式不同
舊審計準則體系的審計模式中的風險評估是一種直接的方式,即直接評估重大錯報的概率。
新審計準則體系的審計模式是從經營風險評估入手,間接地對審計風險進行評估,因為經營風險越高,審計風險也越大,也就是管理舞弊的可能性越大;并且從經營風險中能更有效地發現財務報表潛在的重大錯報。此外,會計政策、會計估計的合理性評估也只有從經營風險入手,才能進行正確的評估。
三、新舊審計體系審計模式比較分析的啟示
(一)依據增值服務合理提高審計收費
改良后的風險導向審計模式不僅關注風險,而且對舊的審計模式進行了擴展和延伸。依照改良后風險導向審計的要求會增加事務所的審計成本,但在目前國內各事務所競爭激烈的情況下直接提高審計收費又不可行。解決這種矛盾的途徑可以是,在審計過程中根據企業的不同情況調整審計程序,讓客戶感到他們獲得了審計以外的很多增值服務。此舉,不僅有助于新審計模式的順利實施,同時,也保證了注冊會計師事務所的執業水準。
(二)提高注冊會計師的素質
根據改良后風險導向審計模式的要求,注冊會計師應當了解被審計單位及其環境,不僅要具備會計、審計方面的專業知識,還要掌握戰略管理、業績評價、信息系統管理等現代企業管理方面的知識,具備較高的風險分析水平和職業判斷能力。在改良后的風險導向審計模式下,注冊會計師需要采用復雜系統的認知模式,從而了解、分析客戶風險管理過程以及客戶控制風險的手段、方法。
(三)完善法律環境及監管手段
從理論上來說,只要當注冊會計師認為審計風險達到可接受的低水平,不會導致巨大的審計風險損失,就可以簽發審計報告了。這在法律風險較低時很容易產生審計師的道德風險問題。注冊會計師執業的規范性取決于法律環境和行業監管是否成熟,一個成熟的法律環境和行業監管環境不僅可以為注冊會計師合法執業起到保護作用,還可以起到監督作用。所以,從法律環境和行業監管的改善入手,可以為審計的公正性提 供有效地保障。
(四)使用并完善輔助審計的軟件
在改良后的風險導向審計模式中分析性復核程序占據非常重要的地位,而輔助審計軟件的使用在其中發揮著重要的作用。西方發達國家大量運用分析性復核程序的條件是輔助審計程序的開發和運用,它可以直接對數據庫進行加工分析,依據軟件模型自行處理數據,使運用分析性復核程序成為節約成本的重要手段。
篇(7)
(陜西華燕航空儀表有限公司,陜西 漢中 723102)
摘 要:在體制上全面風險管理與內部控制分別由國務院國資委和財政部提出,并在國有企業中廣泛實施,全面風險管理與內部控制在管控思想理念、方式方法等方面是相似或相同的。但由于分別有同的國家部分主抓,從而形成了在企業內部也會又不同的單位和人員來分別從事全面風險管理和內部控制管理,造成了企業內部機構設置繁冗、業務交叉重復等現象。因此研究全面風險管理與內部控制相融合非常必要。
關鍵詞 :全面風險管理;內部控制;融合
中圖分類號:F275文獻標志碼:A文章編號:1000-8772(2015)10-0179-02
收稿日期:2015-03-20
作者簡介:曹江濤(1976-)男,漢,陜西咸陽人,大學,會計師,陜西華燕航空儀表有限公司企業管理部部長,研究方向:企業管理。
全面風險管理是國務院國資委提出并推行的。全面風險管理是通過一定的方式識別出企業所有的風險,然后依據一定的標準對識別出的風險進行排序,尋找出企業應當重點關注的風險,再根據風險的屬性采取相應的應對方案予以防范風險。其中絕大多數風險都是要依靠應對方案對風險進行控制,預防其發生或者將其控制在最小范圍。
內部控制是財政部提出并推行的。內部控制是依據一定的標準對企業的流程進行審理,找出缺陷然后改進缺陷,以防止風險的發生。
可以看出全面風險管理與內部控制在管控思想理念、方式方法等方面是相似或相同的,但是在管理推進過程中,全面風險管理與內部控制形成了各自的體系,并在企業中并行開展。這樣的做法在初期對于推動該兩項項管理活動有很大幫助,但是也造成了企業內部機構設置繁冗、業務交叉重復、推諉扯皮、資源浪費等問題的出現。因此,研究風險管理與內部控制的融合具有很現實的價值。
一、組織體系的融合
全面風險管理與內部控制在組織體系設計上無論是層級還是職能都基本一致,所以便于融合。
全面風險管理的組織機構設置為三級,分別是風險管理委員會、風險管理辦公室和部門風險管理小組(風險管理員)。其中,風險管理委員會是頂層決策機構,風險管理辦公室是組織推進管理單位,部門風險管理小組是具體執行單位。
內部控制組織結構設置也分為三級,分別是企業級的內部控制領導小組、內部控制管理辦公室和各部門內部控制管理員,其職能分別是決策、歸口管理和實施。
因此,組織機構的融合可以采取合并方式,以全面風險管理組織機構為主,風險管理辦公室在管理人員上要兼顧內部控制管理的專業人員。
二、管理語言的融合統一
在兩個體系融合過程中建立統一的風險控制語言非常重要,有利于管理中信息的傳遞和管理行為的一致性,避免概念含糊不清導致的管理混亂。統一語言的原則是既可以保證語言的一致,也要保證兩個體系的全面融合,避免融合過程中失去內控的對風險管理的輔助優勢。
需要統一的語言首要的是對風險的名稱定義方式,全面風險管理與內部控制對風險名稱的定義辦法完全不同。在全面風險管理中,對具體風險事件的名稱沒有統一規范,均采取描述的方式表達,描述規則是風險事件的“表現+影響”。例如:“應收賬款超過訴訟時效導致無法收回”就是對應收賬款風險中的一項具體風險事件的描述。對二級風險名稱定義是按照業務類別定義的。例如財務風險可分為應收賬款風險、現金管理風險、現金流風險等等。對一級風險名稱的定義一般是按照風險的屬性定義的。例如:戰略風險、財務風險、市場風險、運營風險、法律風險等等。
在內部控制管理中,僅有缺陷的概念,而沒有風險的概念,但缺陷導致的結果就是風險。內部控制對缺陷的分類是與流程級別對應的,也就是說一級流程缺陷、二級流程缺陷的名稱定義方式是“流程名稱+缺陷”。例如采購缺陷、采購付款缺陷等。缺陷所導致的風險也沒有統一的命名方法,與風險管理一樣是采用“表現+影響”的描述方法。
通過上述分析我們發現,對于具體風險事件的命名方法全面風險管理與內部控制管理基本是一樣的。對于二級、一級風險(或者缺陷),全面風險管理與內部控制管理命名方法雖然不同,但全面風險管理一、二級風險包含了內部控制管理的一、二級缺陷,因此,在體系融合過程中,可以統一管理語言,即不再使用缺陷的概念,而統一使用全面風險管理的風險概念。
三、風險識別方法的融合
全面風險管理中,風險識別方法有初始信息識別法、分類識別法、頭腦風暴識別法、流程分析識別法、價值鏈分析識別法等。通過這些方法的綜合運用,識別出各業務單元、重要業務活動和重要業務流程中的風險。
內部控制識別缺陷(即風險)是通過對業務流程進行實際觀察和穿行測試的方法,測試流程是否可以滿足控制目標的方式來查找流程缺陷。內部控制識別缺陷的方法確定性很強,因此,該識別方法可以直接融入風險識別中來,為了管理中的語言統一,我們可以把內部控制的這種識別風險的方法命名為流程識別法。
這樣的融合既滿足了內部控制對風險的識別,也充實了全面風險管理對風險的識別方法。
除此之外內部控制還有通過不相容職務的識別來查找風險的方法。這個方法可以被風險管理借鑒,也作為風險識別的一個方法。
四、風險分析方法的融合
全面風險管理的風險分析就是在識別出風險的基礎上,對風險發生的原因、風險發生的可能性以及風險發生后的影響進行甄別與描述。這一過程與內部控制基本是一致的。
內部控制在查找出缺陷的基礎上也要對缺陷可能導致的風險進行分析與評價。兩者的分析方法沒有本質區別,因此完全可以合并融合。
五、評價標準的融合
在全面風險管理中,通過風險識別、風險分析后,依據事前制定的風險評估標準,對風險進行評估。評估是通過對風險發生的可能性和風險發生后的影響程度分別打分(1-5份),然后將這兩個分值相乘所得的積作為對某一風險的評估值。而內部控制管理中,通過識別缺陷、分析缺陷后,依據事先制定的標準,根據缺陷的風險發生后的影響,分為重大缺陷、重要缺陷和一般缺陷。由于內部控制對于缺陷的評價僅限于影響程度層面,而且影響程度的評價與風險影響程度的評價維度基本一致,因此,可以將內部控制對缺陷的評價標準納入風險評估標準中的風險發生后的影響程度這一維度中,并根據企業的實際情況對風險評估標準進行適當修改,以便可以充分反映出內部控制評價的要求。這樣就可以實現全面風險管理與內部控制的評價標準的融合。
六、風險應對方案的融合
在全面風險管理中,對風險評估結束后,根據風險評估值的大小排序,企業選擇其中重大、重要風險進行重點管控。對重大、重要風險的管控是通過制定相應的風險應對方案來實現的。應對方案包括制度、流程保障以及針對風險特性所制定的一系列措施。
在內部控制管理中,對缺陷評價后,無論缺陷重要與否,都應當制定措施、完善流程以達到最大限度地控制風險發生。
內部控制所采用的通過對流程梳理完善以達到控制風險的方法,其實也是全面風險管理中的重要方法之一,可以完全融入全面風險管理之中,即在風險應對方案中要求必須對相應的控制流程進行分析評估,對有缺陷的流程進行完善,以確保有效控制風險的發生。
七、體系的融合
所謂體系的融合就是要把現在的兩個管理體系有機地融合在一起,包括組織體系、管理方法、管理語言、評價標準等,統一為一項管理,并能兼顧原來兩個體系各自的優點。
通過對上述六個方面的分析,可以看出在全面風險管理與內部控制體系融合中采用吸收融合法可以滿足原來兩個體系的管控功能,即以風險管理體系為主,通過統一評價標準、統一語言、合并組織體系、融合識別方法、融合分析方法、融合評價方法和融合應對方案等措施,豐富和完善全面風險管理體系,取消內部控制管理體系。重點在評價標準修訂、識別風險環節和風險應對環節充分吸收和兼顧內部控制管理的方式、方法,就能使原來的兩個體系有機融合。
融合后對體系運行情況的審計評價,則由原來對兩個體系的評價改為對一個體系的評價,評價方法不變。
八、融合前后的流程示意圖對比
九、結語
