美章网 精品范文 风险识别与风险评估的区别范文

风险识别与风险评估的区别范文

前言:我们精心挑选了数篇优质风险识别与风险评估的区别文章,供您阅读参考。期待这些文章能为您带来启发,助您在写作的道路上更上一层楼。

风险识别与风险评估的区别

第1篇

关键词:电子政务外网;等级保护测评;风险评估;风险评估模型

中图分类号:TP311 文献标识码:A 文章编号:1009-3044(2014)34-8337-02

1 等级保护背景下的电子政务外网风险评估

电子政务外网提供非的社会公共服务业务,全国从中央各部委、到省、市、县,已经形成了一张大庞大的网络系统,有的地方甚至覆盖到了乡镇、社区村委会,有效提高了政府从事行政管理和社会公共服务效率。今后凡属社会管理和公共服务范畴及不需在国家电子政务内网上部署的业务应用,原则上应纳入国家政务外网运行,它按照国家政务外网统一规划,建立网络安全防护体系、统一的网络信任体系和信息安全等级保护措施。

随着政务外网的网络覆盖的扩大及接入的政务单位越来越多、政务外网应用的不断增加,各级政务移动接入政务外网的需求也在增加,对政务外网的要求和期望越大,网络安全和运维的压力也越大,责任也更大。由于政务外网与互联网逻辑隔离,主要满足各级政务部门社会管理、公共服务、市场监管和经济调节等业务应用及公务人员移动办公、现场执法等各类的需要,网络和电子政务应用也成为境外敌对势力、黑客等攻击目标。随着新技术的不断涌现和大量使用,也对电子政务外网网络的安全防护、监控、管理等带来新的挑战。按照国家政务外网统一规划,建立网络安全防护体系、统一的网络信任体系和信息安全等级保护措施是必须的。

为保障电子政务外网的安全有效运行,我们应以风险管理理念来统筹建设网络和信息安全保障体系。在国家信息系统安全等级保护的大背景下,2011年国家信息中心下发了《关于加快推进国家电子政务外网安全等级保护工作的通知》,强化了电子政务外网的等级保护制度以及等级测评要求,要求对政务外网开展等级测评,全面了解和掌握安全问题、安全保护状况及与国家安全等级保护制度相关要求存在的差距,分析其中存在的安全风险,并根据风险进行整改[1]。

系统安全测评、风险评估、等级测评都是信息系统安全的评判方法[2,3],其实它们本没有本质的区别,目标都是一样的,系统安全测评从系统整体来对系统的安全进行判断,风险评估从风险管理的角度来对系统的安全状况进行评判,而等级测评则是从等级保护的角度对系统的安全进行评判。不管是系统安全测评[1]、风险评估、等级测评,风险的风险与计算都是三者必不可少的部分。

2 电子政务主要风险评估方法简介

电子政务外网风险评估有自评估、检查评估、第三方评估(认证)评估模式,都需利用一定的风险评估方法来进行相关风险的评估。从总体上来讲,主要有定量评估、定性评估两类。在进行电子政务系统信息安全风险评估过程中,采用的主要风险评估方法有:OCTAVE、SSE-CMM、FAT(故障树方法)、AHP (层次分析)以及因素分析法、逻辑分析法、德尔菲法、聚类分析法、决策树法、时许模型、回归模型等方法。研究风险评估模型的方法可以运用马尔可夫法、神经网络、模糊数学、决策树、小波分析等[4-6]。OCTAVE 方法是一个系统的方法,它从系统的高度来进行信息安全的安全防护工作,评估系统的安全管理风险、安全技术风险,它提高了利用自评估的方式制定安全防范措施的能力。它通过分析重要资产的安全价值、脆弱性、威胁的情况,制定起风险削减计划,降低重要资产的安全风险。电子政务外网需要从实际出发,不能照搬其它评估方法,根据电子政务外网实际,本设计基于OCTAVE 评估模型,设计了一个电子政务外网风险分析计算模型。

3 基于OCTAVE模型的一个电子政务外网风险计算模型设计

3.1 风险评估中的资产、威胁、脆弱性赋值的设计

保密性、完整性和可用性是评价资产的三个安全属性。风险评估中的资产价值不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。

资产价值应依据资产在保密性、完整性和可用性上的赋值等级,经过综合评定得出。综合评定方法可以根据自身的特点,选择对资产保密性、完整性和可用性最为重要的一个属性的赋值等级作为资产的最终赋值结果;也可以根据资产保密性、完整性和可用性的不同等级对其赋值进行加权计算得到资产的最终赋值结果。本设计模型根据电子政务外网的业务特点,依据资产在保密性、完整性和可用性上的赋值等级进行加权计算(保密性α+完整性β+和可用性γ),α、β、γ为权重系数,权重系数的确定可以采用专家咨询法、信息商权法、独立性权数等。本设计方案采用专家咨询法。资产、威胁、脆弱性的赋值可以从0-10,赋值越高,等级越高。

脆弱性识别风险评估中最重要的一个环节。脆弱性是资产本身存在的,如果没有被相应的威胁利用,单纯的脆弱性本身不会对资产造成损害。脆弱性识别的依据可以是国际或国家安全标准,也可以是行业规范等,如国家信息安全漏洞共享平台(CNVD)漏洞通报、CVE漏洞、微软漏洞通报等。

资产、威胁、脆弱性的识别与赋值依赖于专家对三者的理解,不同的人员对三者的赋值可能不同,甚至差别很大,可能会不能真实的反映实际情况。为了识别与赋值能准确反映实际情况,可以采用一定的方法来进行修正。本设计采用头脑风暴法、德尔菲法去获取资产、威胁、脆弱性并赋值、最后采用群体决策方法确定资产、威胁、脆弱性的识别与赋值。这样发挥了三个方法的特点,得到的赋值准确性大大提高。

判断威胁出现的频率是威胁赋值的重要内容,评估者应根据经验和(或)有关的统计数据来进行判断[7]。判断威胁出现的频率是可能性分析的重要内容,如果仅仅从近一两年来各种国内、国际组织的对于整个社会或特定行业的威胁及其频率统计,以及的威胁预警等来判断是不太准确的,因为它没有与具体的电子政务外网应用实际联系起来,实际环境中通过检测工具(如IPS等)以及各种日志发现的威胁及其频率的统计也应该考虑进去。

本设计模型采用综根据经验和(或)有关的统计数据来进行判断,并结合具体电子政务外网实际,从历史生产系统的IPS等获取各种威胁及其频率的统计,并采用马儿可夫方法计算出某个时段内某个威胁发生的概率。马尔可夫方法是一种定量的方法,具有无后效性的特点,适用于计算实时的动态信息系统威胁发生概率。它利用IPS等统计某一时段的发生了哪些威胁,构建出各种威胁之间的状态转移图,使用马尔可夫方法计算出该时段内某个威胁发生的概率。计算出的威胁发生概率结果可以进行适当的微调,该方法要求记录的样本具有代表性。

3.2 风险计算模型设计

通常风险值计算涉及的风险要素为资产、威胁、和脆弱性。 在完成了资产识别、威胁识别、脆弱性识别,以及已有安全措施确认后,将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性,并综合安全事件所作用的资产价值及脆弱性的严重程度,判断安全事件造成的损失对组织的影响,即安全风险计算。

风险值=R(资产,威胁,脆弱性)= R(可能性(威胁,脆弱性),损失(资产价值,脆弱性严重程度))。可根据自身电子政务外网实际情况选择相应的风险计算方法计算风险值,如目前最常用的矩阵法或相乘法等。矩阵法主要用于两个要素值确定一个要素值的情形,相乘法主要用于两个或多个要素值确定一个要素值的情形。

本设计模型采用风险计算矩阵方法。矩阵法通过构造一个二维矩阵,形成安全事件的可能性与安全事件造成的损失之间的二维关系;相乘法通过构造经验函数,将安全事件的可能性与安全事件造成的损失进行运算得到风险值。

在使用矩阵法分别计算出某个资产对应某个威胁i,某个脆弱性j的风险系数[Ri,j],还应对某个资产的总体安全威胁风险值进行计算,某个资产总体风险威胁风险=Max([Ri,j]),i,j=1,2,3…。组织所有资产的威胁风险值为所有资产的风险值之和。

3.3 对风险计算模型的改进

在风险值=R(A,T,V)的计算模型中,由资产赋值、危险、脆弱性三元组计算出风险值, 并没有把安全防护措施因素对风险计算的影响考虑在内,该文把风险值=R(A,T,V)改进为风险值=R(A,T,V,P),其中P为安全防护措施因素。P因素不仅影响安全事件的可能性,也影响安全事件造成的损失,把上面的公式改进为风险值=R(L(T,V,P),F(Ia,Va,P ))。对于L(T,V,P),F(Ia,Va,P )的计算可以采用相乘法等。如果采用矩阵法,对L(T,V,P)的可以拆分计算L(T,V,P)=L(L(T,V),L(V,P))。

在计算出单个资产对应某个脆弱性、某个威胁、某个防护措施后的风险值后,还应总体上计算组织内整体资产面临的整体风险。单个风险(一组风险)对其它风险(一组风险)的影响是必须考虑的,风险之间的影响有风险之间的叠加、消减等。有必要对风险的叠加效应、叠加原理、叠加模型进行研究。

3.4 风险结果判定

为实现对风险的控制与管理,可以对风险评估的结果进行等级化处理。可将风险划分为10,等级越高,风险越高。

风险等级处理的目的是为风险管理过程中对不同风险的直观比较,以确定组织安全策略。组织应当综合考虑风险控制成本与风险造成的影响,提出一个可接受的风险范围。对某些资产面临的安全风险,如果风险计算值在可接受的范围内,则该风险是可接受的,应保持已有的安全措施;如果风险计算值高于可接受范围的上限值,则该风险是不可接受的,需要采取安全措施以降低、控制或转移风险。另一种确定不可接受的风险的办法是根据等级化处理的结果,不设定可接受风险值的基准,对达到相应等级的风险都进行处理。

参考文献:

[1] 国家电子政务外网管理中心.关于加快推进国家电子政务外网安全等级保护工作的通知[政务外网[2011]15号][Z].2011.

[2] 等级保护、风险评估和安全测评三者之间的区别与联系[EB/OL].http:///faq/faq.php?lang=cn&itemid=23.

[3] 赵瑞颖.等级保护、风险评估、安全测评三者的内在联系及实施建议[C].第二十次全国计算机安全学术交流会论文集,2005.

[4] 李煜川.电子政务系统信息安全风险评估研究――以数字档案馆为例[D].苏州:苏州大学,2011.

[5] 陈涛,冯平,朱多刚.基于威胁分析的电子政务信息安全风险评估模型研究[J].情报杂志,2011(8):94-99.

第2篇

关键词:内部审计;风险导向内部审计;风险管理

内部审计作为重要的管理工具,一直是企业内部监督的重要组成部分。随着经济全球化和市场竞争多元化的不断深入,企业所面临的风险日趋复杂。尤其是对于大型企业集团而言,风险规模已经远远超出管理层能够直接管控的范围。为此,企业开始日益重视风险管理工作,积极建立内部控制体系,提高企业风险管控能力。在此趋势下,风险导向内部审计应运而生,并较好的适应了管理层的风险管理需要。

一、风险导向内部审计的概念与基本特点

按照国际内部审计师协会(IIA)对内部审计的定义,内部审计是“一种独立、客观的保证和咨询活动,其目的是在于为组织增加价值并提高组织的运作效率。它采取系统化和规范化的方法来对风险管理、控制和治理程序进行评估和改善,从而帮助组织实现目标”。根据这一定义,推行风险导向内部审计就是要以对组织风险的评估与改善作为基本目标,以内部控制为审计基础,以公司治理为参与风险管理的前提。风险导向内部审计作为内部审计发展的一个阶段,其本身具有区别于传统内部审计和注册会计师外部审计的特点。笔者认为这些特点主要体现在如下方面:首先,风险导向内部审计将风险评估和改善作为首要目标,并据此延伸其职能。具体来说,其职能主要有三个方面,一是利用其在内部管理方面的专家地位和信息优势,根据企业目标评估、分析和管理风险,并将审计结果和管理建议向管理层报告。二是帮助管理层在制定重大决策事项时进行风险评估。三是为市场、采购、技术等其他专业领域的风险管理部门提供咨询。总之,风险导向内部审计不再是消极的查错防弊,而应以组织的整体风险评估作为首要工作。其次,风险导向内部审计在方法上更加注重风险评估、缺陷评估和管理建议。区别于传统内部审计,风险导向内部审计始终把风险管理作为审计工作的出发点和落脚点,强化审计工作的事前风险评估和事后缺陷评估环节,并基于这些评估得到审计结论和给出风险管理建议。第三,风险导向内部审计以内部控制为基础。从理论上说,内部审计是内部控制的监督环节,是对其他内部控制环节的再控制。内部审计无论从事是对风险的评估和改善,还是参与风险管理和治理程序,都需要依托对企业内部控制状况的了解。第四,采用风险导向使内部审计工作融入企业全面风险管理体系。不同于外部审计师所实施的内部控制审计,内部审计是为了保证企业经营目标的实现、保护资产安全、防止舞弊的发生而进行的全方位的内部控制评价。也就是说,内部审计、内部控制以及管理层的风险治理活动都是以企业风险管理为目标。内部审计通过采用风险导向而参与到企业全面风险管理中,成为整个风险管理体系的有机组成部分。

二、在内部审计中采用风险导向的必要性与实践意义

当前,内部审计需要应对的风险越来越复杂,对审计的要求也不断提高。内部审计需要更为全面、及时、准确的反映企业存在的风险,并提出有针对性的管理建议。传统内部审计虽然也针对企业风险进行监督,但从根本上说仍然缺乏完整有效的风险识别和评估体系,审计工作高度依赖审计人员水平,其风险覆盖的全面性、重要环节的审计充分性、以及审计质量的稳定性均难以保证。这不但无法满足企业风险管理需求,而且难以体现内部审计的管理价值,不利于内部审计的长期发展。因此,在审计实践中采用风险导向是内部审计发展的必然选择。

1、风险导向内部审计以风险评估和改善为目标,可以更为系统的覆盖企业重要风险,保证内部审计的完整性传统内部审计对于内部控制的关注一般集中在已有流程和已识别的运营风险,而缺乏对风险识别全面性和风险变动的评估。但对个体企业而言,无论是外部环境、业务特点,还是内部管理和治理结构都十分复杂,且始终处在不断变化的过程中。COSO委员会在2004年颁布的《企业风险管理——整体框架》(ERM)中将企业全面风险要素概括为八个大类,而阿瑟.安德森公司的商务风险模型(BRM)则将企业风险概括为三大类75种,足见其范围之广。在此情况下,传统内部审计很难保证审计结果和管理建议不存在重大遗漏、误判或者与企业实际状况脱节的风险。而风险导向内部审计通过有效的风险识别和风险评估,可以及时、全面的掌握这些情况,帮助内部审计部门形成对被审企业的完整认识。

2、风险导向内部审计对风险和缺陷的评估,能够更为科学的确定审计事项的重要性水平,有助于合理调配审计资源,深入进行研究分析,保证内部审计的充分性在目前的内部审计实践中,一个较为突出的问题是在标准化的审计程序上耗费大量审计资源,而缺乏对重要问题的深入研究和系统性分析。具体来说,一方面,审计过于追求程序的标准化,审计意见包含大量详细的操作细节问题,但没有区分重要性水平。特别是对于风险较小的环节给予过多关注,造成控制冗余,不但影响审计效率,也可能对后续审计产生误导。另一方面,对于重要缺陷不能给出系统评估和全面的解决方案,例如评估缺陷在多大程度上增加了企业运营风险,缺陷产生的系统性原因和个体原因,以及如何进行整改和需要投入的管理资源是否符合成本效益原则。而风险导向内部审计重视事前的风险评估,可以有效解决审计侧重点问题,合理调配审计资源。可以结合企业目标,有针对性的深入研究重要风险,评估缺陷程度。同时,还可以减少在次要风险上的审计资源投入,在总体资源有限的情况下发挥最大的审计效果。

三、实施风险导向内部审计的实现途径与展望

风险导向内部审计从根本上改变了传统审计的指导思想和工作模式,对内审部门提出了很大的挑战,其在实践中的应用还存在很大障碍。笔者认为,要想实施风险导向内部审计,至少需要在如下几个实现转变。

1、内部审计部门职能的转变:由消极的查错防弊向主动的风险管理转变在所有阻碍风险导向审计实施的问题中,最根本的是内审部门自身定位的转变。风险导向内部审计要求内审部门的定位要从消极的查错防弊变为主动的风险管理,在风险评估、内部控制乃至公司治理中发挥专业作用。这使内审工作从监督指导职能延伸到风险评估、缺陷分析和管理咨询,几乎颠覆了内审部门的旧有工作范围,无疑是对内审部门从软件到硬件的全面挑战。尽管如此,这些转变又是不可回避的,因为能否转变思路并主动适应新的角色,是内部审计能否提升自身价值的关键所在,也是企业风险管理提升不可或缺的重要途径。

2、审计方法的转变:建立完善风险评估机制风险评估和改善作为内部审计的首要目标,在实践中也是能否真正实施风险导向内部审计的关键问题。因为企业的风险千差万别,风险评估也非常复杂繁琐,但作为整个审计体系的基石,所有后续审计工作均需要以风险评估为基础。笔者认为,企业应通过建立成熟的风险识别模型和风险评估程序,通过流程化、标准化以节约审计资源。具体来说,一方面内审部门应结合COSO企业风险管理框架(ERM)、企业风险模型(BRM)以及其他风险分析工具,建立一套适合本企业特点的风险识别模型。然后根据企业目标,在模型框架内识别具有重大影响的风险项目,建立企业风险数据库。另一方面,在内部审计中应建立风险评估报告制度,强制要求内审人员全面了解被审单位的风险状况,以保证所有后续审计工作按风险导向执行,最终帮助评价审计结果对企业整体风险的影响。

3、风险管理架构的转变:整合内部控制资源,实施风险的全过程管理无论是内部审计还是内部控制和企业风险管理部门,乃至于各专业部门的风险管理人员,其根本任务归根结底就是对风险进行管理。而受制于管理范围和资源限制,内部审计部门必须与其他风险管理部门共同开展风险管理工作。具体来说,一是需要加强部门协调,与相关部门共享风险数据库,并在共同的风险识别框架下对风险形成共同认识,对控制措施和审计缺陷评估实施共同标准。二是对风险进行全过程管理。根据风险管理过程理论,风险管理是风险识别、风险度量和风险监控三个环节构成的循环,内部审计对于风险的管理也必然是一个动态的过程,需要整合相关资源对风险全流程进行管理,及时进行重新评估和应对。目前,外部审计机构正在大力开展管理咨询业务,凭借其专业优势和成本优势,越来越多的重复性内部审计工作已呈现外包化趋势。内部审计如果仍在“查错防弊”阶段止步不前,将越来越难以为企业创造价值。因此,只有积极参与企业内部风险管理,并在此基础上与其他风险管理部门密切配合,形成强有力的风险管理体系,才能有效为企业保驾护航,这或许是内部审计的长远发展方向。

作者:姜传志 胡增会 单位:青岛中油岩土工程有限公司

参考文献:

[1]曹伟,桂友泉.2002:内部审计与内部控制[J].审计研究(1),P27-30.

[2]费朵,邹家继.2008:项目风险识别方法探讨[J].物流科技(8),P139-141.

第3篇

在市场经济条件下,每个企业都面临着来自外部和内部的风险。企业内部控制就是通过对风险的控制以实现其目标的,风险评估是企业内部控制的重要内容之一。内部控制中的风险评估的概念有广义和狭义之分。广义的风险评估包括目标设定、风险识别、风险分析、风险应对等;狭义的风险评估仅仅是指风险分析,即通过采用定性分析和定量分析,按照企业风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。

一、《内部控制框架》中的风险评估

美国COSO委员会《内部控制框架》所使用的风险评估概念属于广义风险评估,《内部控制框架》将其作为内部控制的关键构成要素。

(一)设定目标

根据《内部控制框架》,风险评估首先要设定目标。设定目标是风险评估的前提条件。风险是与目标伴随的,首先必须有目标,管理层才能对实现目标的风险进行识别。根据《内部控制框架》,目标设定不属于内部控制的构成要素,但它是内部控制的前提条件,为此《内部控制框架》专门对目标设定进行了论述。目标包括企业层面的目标和业务层面的目标。管理层通过目标设定来明确业绩衡量标准,目标具体分为经营目标、财务报告目标和合规目标。经营目标是管理层基于企业所处特定经营环境所设定的业绩衡量标准;财务报告目标在于对外公布的财务报告的可靠性;合规性目标则要求企业的经营活动遵循适用的法律法规。这些目标是相互补充和相互关联的。

(二)风险识别

1.风险识别必须与目标联系,无论目标是明确的还是隐含的,企业的风险识别应当考虑到目标实现面临的各种可能出现的风险。2.风险识别是一个持续性、反复的过程。3.进行风险识别时应当关注企业各个层面的风险,包括企业层面的风险和业务层面的风险。对主体层面的风险进行识别时,既要关注外部风险,也要关注内部风险。来自外部的风险主要有技术进步引起的风险、客户需求变化风险、市场竞争风险、法律法规变动风险、自然灾害风险以及经济环境变化风险等;来自内部的风险包括信息系统故障风险、员工素质能力等方面的风险、管理层变动风险以及董事会或审计委员会不作为的风险等。对业务层面的风险进行识别时,应当将该层面的风险评估集中于主要业务流程和主要职能上,如销售、生产、营销、研究开发等。应当识别对企业有重大影响的较为明显的风险。

(三)风险分析,即狭义的风险评估

企业在对企业层面的风险和业务层面的风险识别后,则需要进行风险分析。风险分析的方法多种多样。风险分析的过程通常包括估计风险的严重性、评估风险发生的可能性、评估应采取的措施等三个步骤。应当注意的是,作为内部控制一部分的风险评估,与作为管理过程应对措施而采取的计划、方案及其他措施存在着区别。

(四)建立识别环境变化的机制

风险评估本质上是一个识别变化并采取必要措施的过程。随着经济、行业和监管等外部环境的变化,企业的经营活动也将发生相应的调整,企业应当建立一套正式或非正式的程序,对可能影响企业目标实现的风险进行识别。管理层应当特别关注以下对环境影响的因素,这些因素包括已变化的经营环境、管理层人员更换及员工大规模更换、使用新的或调整后的信息系统、经营业务快速增长、采用新技术、开拓新的经营领域、进行公司重组等。企业应当建立一定的机制,对发生变化的外部环境进行识别。

二、《企业风险管理框架》中的风险评估

美国COSO委员会2004年的《企业风险管理框架》中将风险管理的要素划分为内部环境、目标设定、事项识别、风险评估、风险应对、信息与沟通和监控等八要素。根据《企业风险管理框架》,风险评估就是要对识别的风险进行分析,以形成确定如何对其进行管理的依据。这实际就是《内部控制框架》中的风险分析,属于狭义上的风险评估概念。《内部控制框架》中的风险评估实际上包括事项识别、风险评估、风险应对三项内容,而目标设定则作为内部控制的前提条件,不属于内部控制要素的范围。

风险总是与特定目标的实现相联系。如不出国旅游,则不会涉及到飞机失事的风险。根据《企业风险管理框架》,实施风险管理首先就涉及到设定目标。目标设定是事项识别、风险评估和风险应对的前提。《企业风险管理框架》正是出于风险管理的需要将目标设定作为风险管理的构成要素之一。《企业风险管理框架》中的目标包括战略目标和相关目标,战略目标是最高层次的目标,而相关目标则是建立在战略目标基础上的企业层面等的目标,企业层面的目标与更为具体的目标相关联,贯穿于整个企业,并具体为各项业务和各项职能的次级目标。《企业风险管理框架》要求设定的目标应当是可计量的,并要求企业各个层次人员根据各自所影响的范围了解企业设定的目标。设定的目标分为经营目标、报告目标、合规目标等三项。作为风险管理的一部分,企业在选择目标时要确保其目标与企业的风险容量相协调。风险容量是企业管理当局在董事会的监督下确定的,反映着企业的风险管理理念,并影响企业的文化和经营风格,是制定战略目标的风向标。战略目标应当选择与其风险容量一致的目标,并使风险反映于战略目标之中。

《企业风险管理框架》中的事项识别要求管理当局对源于内部或外部的影响战略实施或目标实现的事故或事件进行识别,对企业目标实现将带来负面影响的确定为风险,并对其进行评估和应对;将存在正面影响的确定为机会,将其反馈到战略或目标的制定过程之中。在对事项进行识别时,必须考虑企业整体范围内可能带来风险和机会的所有内部和外部因素。外部因素需要考虑的通常包括经济因素、自然环境因素、政治因素、社会因素、技术因素等;而内部因素需要考虑的通常包括人员、流程、技术等因素。

《企业风险管理框架》中的风险评估(即风险分析)要求进行风险评估时,既要考虑预期事项也要考虑非预期事项,对可能对企业存在重大影响的非预期的潜在事项和预期事项的风险进行评估;既要考虑固有风险,也要考虑剩余风险。固有风险是指管理当局未采取任何措施的情况下企业所面临的风险;而剩余风险则是在管理当局进行风险应对之后所残余的风险。确定相应的风险应对后,则集中考虑剩余风险的管理。

《企业风险管理框架》中的风险应对要求企业管理当局评估风险的可能性和影响,并在成本效益比较的基础上,选择能够使剩余风险处于期望的风险容限范围之内的应对策略。风险应对策略包括风险回避、风险降低、风险分担和风险承受。管理当局应当在企业范围内识别风险并确定企业总体剩余风险处于企业风险容量之内。

三、我国《企业内部控制基本规范》中的风险评估

我国《企业内部控制基本规范》中的风险评估使用的是广义上的风险评估概念,包括目标设定、风险识别、风险分析和风险应对。《基本规范》要求企业应当根据设定的控制目标,全面、系统、持续地收集相关信息,结合实际情况,及时进行风险评估。根据《基本规范》。风险评估的具体过程包括:

(一)控制目标的设定

设定控制目标是进行内部控制,特别是风险评估的前提。企业应当根据自身的实际情况,按照本身的发展规划合理确定战略目标。设定的目标应当尽可能量化,并细化为各业务活动和各职能部门的具体目标。内部控制目标的设定要切实可行,与内部控制发展的不同阶段相适应,设定不同要求的内部控制目标,并随着内部控制的发展,逐步提升内部控制目标。

(二)风险识别

《基本规范》要求企业进行风险评估时,应当准确识别与实现控制目标相关的内部风险和外部风险,确定相应的风险承受度。风险承受度即风险容量,是企业能够承担的风险限度,包括整体风险承受能力和业务层面的可接受风险水平。

企业在识别内部风险时,应当关注和考虑的因素包括:1.董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素;2.组织机构、经营方式、资产管理、业务流程等管理因素;3.研究开发、技术投入、信息技术运用等自主创新因素;4.财务状况、经营成果、现金流量等财务因素;5.营运安全、员工健康、环境保护等安全环保因素;6.其他有关内部风险因素。上述因素的现状往往是风险存在的基础,上述因素的变动则往往会诱发新风险的产生。

企业识别外部风险,应当关注和考虑的因素包括:1.经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素;2.法律法规、监管要求等法律因素;3.安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素;4.技术进步、工艺改进等科学技术因素;5.自然灾害、环境状况等自然环境因素;6.其他有关外部风险因素。上述因素实际上是企业经营活动所处的外部环境,外部环境的变动必然会影响到企业的经营活动,有可能给企业带来新的风险,如一项新的技术被其他同行所采用,有可能导致企业所占有的市场份额发生变化而带来风险。再如政府颁布实施较过去更为严格的监管法律,由此可能导致本企业传统加工方法无法继续使用,从而导致风险的产生。

(三)风险分析

《基本规范》要求企业采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。鉴于风险分析的专业性和复杂性,要求企业进行风险分析时充分吸收专业人员,组成风险分析团队,按照严格规范的程序开展工作,确保风险分析结果的准确性。风险分析的目的在于为企业风险应对提供依据。由于企业董事、经理和其他高级管理人员在企业经营活动中的特殊地位,其个人风险偏好对经营活动等具有重大影响,企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好,并予以特别关注,避免因个人风险偏好给企业经营带来重大损失。

(四)风险应对

第4篇

关键词:消费品安全 政府监管 风险评估 诺模图法 风险矩阵法 RAPEX法

中图分类号:F76 文献标识码:A 文章编号:1674-098X(2014)11(c)-0155-04

欧盟委员会(EC)的2004 RAPEX方法[1]是首个得到政府监管机构广泛应用的消费品安全官方风险评估方法。非政府学术组织EuroSafe在2005年设立风险评估工作组(EuroSafe WGRA),EC在其研究成果基础上形成了2010 RAPEX方法[2],该方法是目前欧盟各成员国政府的正式官方评估方法[3]。受EC健康与消费者保护总司(DG-SANCO)资助的EMARS项目(它提出了著名的锤子案例[4])、英国RPA[5]等风险研究机构都致力于不断发展消费品安全风险评估方法。在正式评估方法中,除了RAPEX方法,诺模图法、风险矩阵法也得到广泛应用[3-5]。而欧盟REACH法规的技术指南文件(TGD)、国际化学品安全规划署(IPCS)的“Risk Assessment Terminology”(2004年),联合国粮农组织/世界卫生组织(FAO/WHO)的“Food Safety Risk Analysis”(2006年)、国际风险管理理事会(IRGC)的“White Paper”(2006年)提供的化学危害风险评估方法主要适用于消费品生产过程[3-5]。美国消费品安全委员会(CPSC)主要应用定性风险评估方法对消费品安全进行A、B、C三级管理,CPSC也使用“安全饮用水法案”(SDWA,1996年)中的评估规则[6],CPSC在化学危害定量评估方法上遵循美国国家科学委员会的NAS指南(1994年)[7]。国际标准化组织的消费者政策委员会(ISO COPOLCO)的指南文件“Consumer product safety a practical guide for suppliers”(2006年)及其标准则主要适用于消费品的设计及生产阶段[3-5]。中国的消费品安全风险评估通则(GB/T22760,2008年)与RAPEX方法基本一致[8]。

该文以政府监管视角选择最广泛使用的2004 RAPEX、2010 RAPEX方法、诺模图法和风险矩阵法应用案例进行比较分析[3-5],并分析消费品安全风险评估方法的进一步发展方向。

1 消费品安全风险评估基本流程

风险和风险评估在各个领域的定义和方法有所不同。在产品安全评价理论中,风险通常表示为伤害事件的发生概率及严重程度的函数,各种消费品安全风险评估方法的基本评估流程是大同小异的,均是在识别消费品危险的基础上,估计各风险要素的程度(至少包括两个基本风险要素:伤害的严重程度和伤害的发生概率),然后用模型将各风险要素合成风险水平/等级(批量评估应先确定单体风险水平)。各个方法的主要区别在于将其他风险要素(例如消费者属性、危险可获得性和危险暴露参数等)的考虑置于哪个阶段,是置于危险识别阶段,还是置于严重程度估计、发生概率估计阶段,抑或直接作为独立风险要素与两个基本要素进行合成(图1)。

在消费品供应链的不同阶段实施安全风险评估应选择与该阶段相适应的风险评估方法,相关评估方法按适用范围分类如图2所示(参考了参考文献[3],但做了补充和修改)。对于政府监管机构而言,更关心的是准备上市和上市后的消费品安全风险,即:消费品在上市时应符合安全的一般要求,而在上市后只要发现产品存在严重安全风险就应及时隔离(risk averse)。因此,以政府监管视角研究上市阶段和上市后消费品安全风险评估方法的有效应用具有必要性。

4 讨论

(1)从应用案例可看出,2010 RAPEX

法与2004 RAPEX法的主要区别在于:2010 RAPEX法将消费人群区分、风险缓减要素区分从后置改为前置,严重程度和发生概率的分等进行了扩充,消费人群区分、风险缓减要素区分仍由主观判定。两个方法中风险要素的打分主观性强,要求评估人员具备足够的专业知识和足够准确的数据来源。未来的评估方法可能将消费人群作为独立风险要素进行识别和估计,在消费品化学危害日益受到重视的情况下,消费人群区分可能相应调整,例如孕妇可能作为弱势人群进行考虑。

(2)斯洛文尼亚诺模图法的输入参数比其他方法增加,各参数的分等扩充,其评估输出(风险等级)相应细化。与RAPEX法比较,它识别出火灾危险风险高于其他危险。危险事件发生时,火灾更容易造成群死群伤,因此该评估结果与事实也是相符的。

(3)比利时风险矩阵法引入了暴露程度这一参数扩充矩阵维度。对后果严重性的赋值中,该方法对导致“所有使用者和旁观者死亡”“所有使用者死亡”“数人死亡”和“一个死亡”的严重度分别区分,且从100分到15分赋值,区分度极大,但在政府监管角度,对“死亡”后果均应0容忍,评估时应加以注意。

(4)该文在参阅相关文献时,发现各个评估方法应用的术语高度不一致。如果对术语名称翻译和定义不加以界定明确,可能导致对同一危险信息,各评估方法的参数输入不一致,其输出大相径庭。

(5)目前的评估方法对化学危害风险的识别能力偏弱。例如对“长期药物接触和辐射暴露”伤害的严重程度从轻到重划分为“腹泻呕吐局部症候”“可逆的内脏损害”“神经系统损害、不可逆的内脏损害”“癌症(白血病)、影响生殖、影响后代、中枢神经系统抑郁症”四等的划分尚嫌粗。欧盟REACH法规的技术指南文件提供了一种化学危害风险评估的有价值的思路。

(6)目前对评估方法的发展研究主要集中在评估模型的改进,从定性向定量向模糊评价发展,但实证研究表明,作为简单、快速、经济、有效(risk averse)和有决断力(resolved)的方法,定性风险评估能对消费品安全风险进行有效评估[3-5]。在政府监管视角,最好把资源直接用于减小风险的努力,而不是尽量达到风险评估的绝对精确。实际上,定量风险评估的大部分输入数据是高度主观的,同时,要生成确切的输出,它要求有一个详尽和全面的时间链模型,这对范围极广的现代消费品领域是难度极大的。对定性风险评估方法而言,应减小评估的主观性,重点应研究伤害严重程度和发生概率的科学分等,其基础工作是尽早形成共享的消费品伤害数据库。

(7)从应用案例可看出,各个评估方法均基于各风险因子相对独立的假设,从而对各个风险因子独立进行评估。有学者研究认为,某些风险因子具有相互联系和影响关系,具有连通性(connectivity),并引入了连通性矩阵的概念,但这一理论在消费品领域尚未有成熟应用。

5 结论

(1)以政府监管视角来看,2004 RAPEX、2010 RAPEX方法和斯洛文尼亚诺模图法均能对消费品安全风险进行有效评估。

(2)未来消费品安全风险评估方法的发展,首先应统一规范术语使用以改善评估的一致性;其次应发展伤害严重程度和发生概率的科学分等体系以减小评估的主观性;另外应注重消费品化学危害风险评估方法的研究。

参考文献

[1] Guidelines for the management of the Community Rapid Information System(RAPEX)and for notifications presented in accordance with Artide 11 of Directive 2001/95/EC[R],Commission Decision 2004/418/EC of 29 April 2004.OJ L 151,2004.

[2] Commission Decision of 16 December 2009 laying down guidelines for the management of the Community Rapid Information System‘RAPEX’established under Artide 12 and of the notification procedure established under Artide 11 of Directive 2001/95/EC(the General Product Safety Directive) (notified under document C(2009) 9843)[R],Commission Decision 2010/15/EU of 26 January 2010. OJ L 22, 2010.

[3] Dirk van Aken.Related risk assessment activities[R].Hague: Voedsel en Waren Autoriteit, 2007.

[4] Enhancing Market Surveillance through Best Practices(EMARS)project.Product Safety-Best Practice Techniques in Market Surveillance[R].Amsterdam: EMARS,2013.

[5] Pete Floyd, Tobe A.Nwaogu,Rocio Salado,et al.RPA REPORTAssured Quality-Establishing a Comparative Inventory of Approaches and Methods Used by Enforcement Authorities for the Assessment of the Safety of Consumer Products Covered by Directive 2001/95/EC on General Product Safety and Identification of Best Practices [R].J497/GPSD Implementation, Norfolk:Risk & Policy Analysts Limited(RPA),2006.

[6] CPSC.Research & Statistics-consumer opinon surrveys[EB/OL].(2014-10-20)[2014-4-29].http://cpsc.gov/en/Research Statistics.

[7] National Research Council.Science and Judgment in Risk Assessment (1994)[M].Washington D.C.:National Academy Press,1994.

第5篇

关键词:风险导向审计;审计模式;适用性分析

随着国内外重大审计失败事件的不断发生,风险导向审计作为一种重要的审计理念和方法,受到审计职业界和学者的关注。中国注册会计师协会在2004年10月了新的审计风险准则征求意见稿,要求注册会计师在审计中使用现代风险导向审计方法,实施风险评估程序,降低审计风险,提高审计质量。如果审计风险准则一旦正式生效,将使我国的审计风险准则与国际接轨,并引导中国注册会计师实务由传统风险导向审计向现代风险导向审计转变。因此,对现代风险导向审计模式的理解以及在我国的适用性分析就显得十分重要。

一、风险导向审计概述

随着社会经济的发展变化,审计方法适应审计环境的变化经历了三个发展阶段:一是审计发展的早期,由于企业组织结构简单、业务性质单一,注册会计师的审计工作目的是为了促使受托责任人在授权经营过程中做出诚实、可靠的行为,审计方式是详细审计。审计的重心在资产负债表,是对会计凭证和账簿的详细审计,旨在发现和防止错误与舞弊,这种审计方法就是账项基础审计方法(accountingnumber-basedauditapproach)。二是从1950年代起,以内部控制测试为基础的抽样审计在西方国家得到广泛应用,这种审计方法重点在于注册会计师了解、测试和评价内部控制设计的合理性和执行的有效性。对内部控制存在缺陷的环节,注册会计师通常将其涉及交易和账户余额作为审计的重点,甚至进行详细审计;对于可以信赖的内部控制环节,通常将其涉及的交易和账户余额进行抽样审计,以提高审计效率和降低审计费用。从方法论的角度,这种审计方法被称作制度基础审计方法(system-basedauditapproach)。三是1970年代以后,由于制度基础审计方法显露缺陷,一种新的、以风险防范为基础的风险导向审计模式逐渐兴起,从方法论的角度,注册会计师以审计风险模型为基础进行的审计方法称为风险导向审计方法(risk-orientedauditapproach)。

回顾审计方法的发展历程,风险导向审计模式已成为审计方法发展的国际趋势。风险导向审计模式合理地扬弃了作为制度导向审计模式基础的“无利害关系假设”,把指导思想建立在“合理的职业怀疑假设”的基础上,不只依赖对被审计单位管理层所设计和执行内部控制制度的检查与评价,而且实事求是地对公司管理层是否诚信、是否有舞弊造假的驱动始终保持一种合理的职业警觉,将审计的视野扩大到被审计单位所处的经营环境(微观、中观乃至宏观),将风险评估贯穿于审计工作的全过程。与传统的制度基础审计相比较,主要有以下区别:

(一)审计模式不同

制度基础审计模式以内部控制为核心,对控制风险的评估仅通过确定内部控制的可依赖程度来减少实质性测试的工作量,而对固有风险的评估常流于形式;风险导向审计模式不仅通过内部控制评估控制风险,还结合其他风险因素尤其是固有风险综合考虑,通过对企业环境、发展战略、公司治理结构等方面的评估,发现其潜在的经营风险及财务风险,并评估财务报表发生重大错报的风险,以便使审计风险降至可接受水平。

(二)审计基础不同

制度基础审计以内部控制制度为基础,根据被审单位内部控制制度的健全性及符合性评审结果,确定实质性测试的范围和重点;风险导向审计则以风险评估为基础,对影响被审单位经济活动的多种内外因素进行评估,确定审计范围、重点和方法,其不仅重视与内部控制系统直接相关的因素,而且重视各种环境因素。

(三)审计方法不同

两种审计模式都采用抽样技术,但风险导向审计是通过建立审计风险模型将风险量化。因此,相对于制度基础审计来说,风险导向审计的抽样技术是更完全意义上的审计抽样,更注重利用分析性测试方法,从而可以有效降低审计风险。

二、风险导向审计的两种模式

风险导向审计自产生以来经历了两个阶段,理论界把以传统审计风险模型“审计风险=固有风险×控制风险×检查风险”为基础进行的审计称为传统风险导向审计模式;而将1990年代后期开始,在国际会计师事务所内部推行并逐渐被审计理论与实务界接受的,以“审计风险=重大错报风险×检查风险”的模型为基础,以被审计单位的经营风险为导向的审计方法称作现代风险导向审计模式。

传统风险导向审计模式与现代风险导向审计模式的本质区别在于审计理念和审计技术方法的不同,后者是对前者的改进,其主要区别如下:

(一)审计起点不同

传统风险导向审计运用的审计风险模型中,固有风险是指假定不存在相关内部控制时,某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报的可能性。控制风险是指某一账户或交易类别单独或连同其他账户、交易类别产生错报或漏报,而未能被内部控制防止、发现或纠正的可能性。传统风险导向审计方法通过综合评估固有风险和控制风险以确定实质性测试的范围、时间和程序,由于固有风险难以评估,审计的起点往往为企业的内部控制(如果没有必要测试内部控制,审计的起点则为会计报表项目)。

现代风险导向审计方法通过综合评估经营控制风险以确定实质性测试的范围、时间和程序,其审计起点为企业的战略系统及其业务流程。如果企业的业务流程不重要或风险控制很有效,则将实质性测试集中在例外事项上。这种新模式的优点是将审计的重心前移到风险评估,这将有利于充分识别和评估会计报表重大错报的风险,因此,主要针对风险设计、实施控制测试和实质性测试程序。此外,注册会计师容易全面掌握企业可能存在的重大风险,有利于节省审计成本,克服因缺乏全面性观点而导致的审计风险。

(二)风险评估识别以分析性复核程序为中心

现代风险导向审计注重运用分析性复核程序,以识别可能存在的重大错报风险;而传统风险导向审计对于信息的再加工程度不够,其分析性程序主要用在报表分析上。分析性复核程序已成为现代风险审计方法最重要的程序,为了适应分析性程序功能扩大的要求,分析性程序开始走向多样化:在数据分析上不但要对财务数据进行分析,也要对非财务数据进行分析;在分析工具上借鉴现代管理方法,把战略分析、绩效分析、财务分析及前景分析等分析工具运用到风险评估之中,使风险因素不再惟一,变一元风险评估为多元风险评估,使得出的风险评估结果更加可靠。

(三)风险评估方式由直接评估转变为间接评估

传统风险导向审计的风险评估是一种直接的方式,即直接评估重大错报的概率。现代风险导向审计模式是从经营风险评估入手,间接地对审计风险进行评估,因为经营风险越高,审计风险也越大,也就是管理舞弊的可能性越大;并且从经营风险中能更有效地发现财务报表潜在的重大错报,因为财务报表是经营的反映,如果经营风险未能在报表中得到体现,则财务报表很可能失真。此外,会计政策、会计估计的合理性评估也只有从经营风险入手,才能进行正确的评估。

(四)审计程序实施具有个性化

传统风险导向审计模式审计程序是标准化形式,对不同的被审计单位都使用标准相同的审计程序,其缺陷是没有足够贯彻风险导向审计思想,使注册会计师无法突破客户预先设置或防范的措施,难以做出正确的审计结论。现代风险导向审计方法要求注册会计师将评估及识别的审计风险与实施的审计程序相结合,针对不同客户以及客户不同的风险领域实施个性化的审计程序。

(五)审计证据的内涵扩大

在现代风险导向审计方式下,审计重心向风险评估转移,审计证据也由内部向外部转移。因此,注册会计师必须充分了解企业整体经营环境,由此评估客户的经营及审计风险,同时必须从外部取得大量的外部证据来证明风险评估的恰当性。风险导向审计模式下,注册会计师形成审计结论所依据的审计证据不仅包括实施控制测试和实质性测试获取的证据,还包括了解企业及其环境获取的证据。

(六)扩充了内部控制要素

传统风险导向审计方法下的内部控制是指被审计单位为了保证业务活动的有效进行,保护资产的安全和完整,发现、纠正错误与防止舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。内部控制要素包括控制环境、会计系统和控制程序。现代风险导向审计方法下的内部控制是指被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵循,由治理当局、管理当局和其他人员设计和执行的政策和程序。内部控制的三要素扩充为五要素,即控制环境、被审计单位的风险评估过程、与财务报告相关的信息系统和沟通、控制活动和对控制的监督。

(七)对注册会计师的专业知识提出了更高要求

现代风险导向审计对注册会计师的专业素质提出更高要求,其重心从会计、审计知识转向管理和行业知识。现代风险导向审计下审计结果主要依赖风险评估,风险评估的各种分析方法要求掌握现代管理知识和行业知识(包括市场、研发、生产等方面),这对注册会计师提出了更高的要求。注册会计师应该是复合性人才,不但要掌握一般常用分析工具,还要接受现代管理知识和行业专业知识训练。

三、现代风险导向审计模式在我国的适用性分析

基于上述分析,现代风险导向审计模式是审计发展的一种必然趋势。2003年10月,国际审计与鉴证准则委员会(IAASB)通过了新的审计风险准则;中注协也在2004年10日了修订后的审计风险准则征求意见稿,不仅将使我国的审计风险准则与国际接轨,同时也为提高审计质量、降低审计风险提供了技术支持。审计风险准则一旦正式生效,将引导中国注册会计师实务由传统风险导向审计向现代风险导向审计转变,会对我国的注册会计师审计理念、审计程序及审计责任产生非常大的影响。

然而,目前要在我国推行风险导向审计模式还存在一定的制约条件和需要解决的问题:

(一)会计师事务所审计成本与效益问题

实施风险导向审计模式的前提是成本能得到补偿。现代风险导向审计模式在审计计划阶段和执行控制测试阶段,注册会计师关注的范围扩大,程度加深,导致工作时间和审计成本的增加,在市场竞争激烈的情况下,成本的增加往往不可能过渡到收费的同步增加。此外,还需要一定的投入来培训注册会计师,使他们掌握业务流程和行业知识等有关方面的知识。如果这些成本得不到补偿,就会使一部分中小会计师事务所在竞争中无法生存。

(二)信息系统的建设问题

现代风险导向审计的重要特征是审计重心前移,注册会计师必须首先执行风险评估程序,充分了解客户整体经营环境,然后针对风险不同的客户、客户不同的风险领域,设计个性化的审计程序。因此,会计师事务所必须建立强大的信息系统,以便注册会计师在风险评估时了解企业的战略、流程风险管理、业绩衡量等。而目前国内很多事务所对行业风险和企业经营风险缺乏了解,客户的相关信息不够充分,信息系统的建设还达不到现代风险导向审计的要求,导致风险评估不准确。因此,风险导向审计的运用仅限于老客户,对新客户还是将大量时间用于实质性测试。

(三)审计从业人员素质问题

现代风险导向审计对审计从业人员的业务素质提出了新要求,不仅要具备丰富的审计理论和实践经验,还要具备必需的管理学知识和经济学知识,能够运用系统的、战略的观点充分了解、分析企业所处的宏观经济环境和行业发展状况,对有可能导致企业会计报表错报风险的内外部因素进行客观、系统的分析与评价,将审计视角扩展到内部控制以外,从较高层面上评估风险,而不是仅仅注重企业会计处理的细节。

(四)辅助审计软件的使用与完善问题

现代风险导向审计方法中分析性程序占据非常重要的地位,辅助审计软件的使用在其中发挥着重要的作用。西方发达国家大量运用分析性程序的条件是辅助审计程序的开发和运用,它可以直接对数据库进行加工分析,依据软件模型自行处理数据,使运用分析性测试程序成为节约成本的重要手段。另外,采用审计软件使统计抽样的样本更具代表性,审计抽样风险可控,为风险导向审计提供了技术支持。目前,我国在审计软件的开发和使用上不够理想,还有待提高,而且大部分注册会计师缺少相应的技术准备,在现阶段推行现代风险导向审计方法只能是一种愿望。

如上所述,目前在我国全面推行现代风险导向审计模式还受到许多制约,尽管它有很多优越之处,但在我国还不能够普遍推行。当前我国独立审计准则主要是以制度基础审计模式为基础的,而且相当一部分从事小规模企业审计工作的会计师事务所和注册会计师,基本上仍然在运用账项基础审计模式。但是,现代风险导向审计的实行是一种理念的改变,我们可将制度基础审计与风险导向审计有机结合。即使在现行审计准则仍然主要以制度基础审计模式为基础的情况下,吸取风险导向审计模式的基本观点和做法,则是完全可行的。通过把风险导向审计中控制风险的理念和方法融合到制度基础审计中,使其他审计模式忽略审计风险的缺陷得到弥补,将会为探索适合我国的现代风险导向审计模式积累有益的实践经验。

参考文献:

〔1〕陈毓圭。对风险导向审计方法的由来及其发展的认识〔J〕。会计研究,2004,(2)。

〔2〕常勋,黄京菁。从审计模式的演进看风险导向审计〔J〕。财会通讯,2004,(7)。

第6篇

(一)企业全面风险管理框架的要素

2004年,美国反对虚假财务报告委员会的赞助委员会COSO了全面风险管理框架。它包括八个要素,分别是内部环境、目标设定、事件识别、风险评估、风险应对、控制活动、信息与沟通、监控。1.内部环境。企业内部环境是企业风险管理的基础,为企业风险管理中其他组成部分的运行提供了平台。一般包括治理结构、机构设置、人力资源政策、企业文化等。2.目标设定。企业目标的制定是企业风险管理的起点,是其他步骤的驱动力量。只有首先确立了目标,管理层才能针对目标确定企业的风险并采取必要的措施来评估管理风险。企业的目标可以分为两个基本层次,一是战略目标,二是具体目标。3.事件识别。在这一阶段,企业的管理层应当考虑可能影响事项发生的企业各种内外部因素。其内部因素主要包括人员、组织机构、经营方式、环境保护、营运安全等;外部因素主要包括经济形势、产业政策、融资环境、法律法规、技术进步、自然灾害等。4.风险评估。企业应当采用定性和定量相结合的方法,按照风险发生的可能性及其影响程度等,对风险进行评估。5.风险应对。企业应当根据风险评估的结果,综合运用风险规避、风险降低、风险分担和风险承受等风险应对措施,对风险进行有效控制。6.控制活动。控制活动是指企业采取相应的控制措施,将风险控制在可承受的范围之内以确保风险应对得以实施的一系列的活动。7.信息与沟通。企业应当建立信息与沟通机制,确保信息在企业内部、企业与外部之间进行有效沟通。有效的沟通包括上行沟通、下行沟通、横向沟通、斜向沟通。8.监控。企业应对风险管理进行实时、全面的监控,以便及时发现问题并采取措施解决。监控的方式一般有两种:持续监控和个别评估。

(二)ERM视角下餐饮企业财务风险管理框架

餐饮企业应当在营造良好的内部环境、确定增加企业市场份额、超过关键竞争对手、扩大市场声誉、引导餐饮文化等战略目标和生产、营销等具体目标的基础上,结合本企业的实际情况,全面系统持续地收集相关信息,及时识别餐饮企业所面临的财务风险。识别财务风险的主要方法有财务报表分析法、单变量分析法、多元线性判别分析法等。餐饮企业还应当针对识别的财务风险,按照财务风险发生的可能性及其影响程度,采用专家打分法、层次分析法、沃尔评分法、风险价值法等定性与定量相结合的方法对其进行财务风险评估。然后餐饮企业根据风险评估的结果,综合运用风险规避、风险降低、风险分担和风险承受等风险应对措施,实现对企业财务风险的有效控制。餐饮企业根据财务风险评估的结果,从人员责任、作业流程等方面采取相应的控制活动,将财务风险控制在餐饮企业可承受的限度之内。在上述工作的基础上,餐饮企业还应当建立信息与沟通制度,定期召开会议加强企业内部各部门、各员工之间的沟通交流,这样既能提高企业的运营效率,又能及时发现餐饮企业在生产经营各环节可能出现的财务风险。同时,餐饮企业还应对生产经营过程中可能会发生财务风险的地方进行实时有效的监控,如果一旦发现出现财务风险的势头,应当及时采取措施遏制财务风险的发生。ERM(全面风险管理)与传统的风险管理模式有本质上的区别,ERM(全面风险管理)是对传统风险管理模式的继承与发展,是企业风险管理理论与实务的一次重大变革。在餐饮企业中可以将ERM(全面风险管理)应用到企业的财务风险管理中去,不断提升餐饮企业财务风险管理的能力,确保餐饮企业持续健康发展。

作者:谭霞 单位:山东商业职业技术学院

第7篇

关键词:电子政务 信息安全

0 引言

随着电子政务不断推进,社会各阶层对电子政务的依赖程度越来越高,信息安全的重要性日益突出,在电子政务的信息安全管理问题中,基于现实特点的电子政务信息安全体系设计和风险评估[1]模型是突出的热点和难点问题。本文试图就这两个问题给出分析和建议。

1 电子政务信息安全的总体要求

随着电子政务应用的不断深入,信息安全问题日益凸显,为了高效安全的进行电子政务,迫切需要搞好信息安全保障工作。电子政务系统采取的网络安全措施[2][3]不仅要保证业务与办公系统和网络的稳定运行,另一方面要保护运行在内部网上的敏感数据与信息的安全,因此应充分保证以下几点:

1.1 基础设施的可用性:运行于内部专网的各主机、数据库、应用服务器系统的安全运行十分关键,网络安全体系必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏。

1.2 数据机密性:对于内部网络,保密数据的泄密将直接带来政府机构以及国家利益的损失。网络安全系统应保证内网机密信息在存储与传输时的保密性。

1.3 网络域的可控性:电子政务的网络应该处于严格的控制之下,只有经过认证的设备可以访问网络,并且能明确地限定其访问范围,这对于电子政务的网络安全十分重要。

1.4 数据备份与容灾:任何的安全措施都无法保证数据万无一失,硬件故障、自然灾害以及未知病毒的感染都有可能导致政府重要数据的丢失。因此,在电子政务安全体系中必须包括数据的容灾与备份,并且最好是异地备份。

2 电子政务信息安全体系模型设计

完整的电子政务安全保障体系从技术层面上来讲,必须建立在一个强大的技术支撑平台之上,同时具有完备的安全管理机制,并针对物理安全,数据存储安全,数据传输安全和应用安全制定完善的安全策略

在技术支撑平台方面,核心是要解决好权限控制问题。为了解决授权访问的问题, 通常是将基于公钥证书(PKC)的PKI(Public Key Infrastructure)与基于属性证书(AC)的PMI(Privilege Management Infrastructure)结合起来进行安全性设计,然而由于一个终端用户可以有许多权限, 许多用户也可能有相同的权限集, 这些权限都必须写入属性证书的属性中, 这样就增加了属性证书的复杂性和存储空间, 从而也增加了属性证书的颁发和验证的复杂度。为了解决这个问题,作者建议根据X.509标准建立基于角色PMI的电子政务安全模型。该模型由客户端、验证服务器、应用服务器、资源数据库和LDAP 目录服务器等实体组成,在该模型中:

2.1 终端用户:向验证服务器发送请求和证书, 并与服务器双向验证。

2.2 验证服务器:由身份认证模块和授权验证模块组成提供身份认证和访问控制,是安全模型的关键部分。

2.3 应用服务器: 与资源数据库连接, 根据验证通过的用户请求,对资源数据库的数据进行处理, 并把处理结果通过验证服务器返回给用户以响应用户请求。

2.4 LDAP目录服务器:该模型中采用两个LDAP目录服务器, 一个存放公钥证书(PKC)和公钥证书吊销列表(CRL),另一个LDAP 目录服务器存放角色指派和角色规范属性证书以及属性吊销列表ACRL。

安全管理策略也是电子政务安全体系的重要组成部分。安全的核心实际上是管理,安全技术实际上只是实现管理的一种手段,再好的技术手段都必须配合合理的制度才能发挥作用。需要制订的制度包括安全行政管理和安全技术管理。安全行政管理应包括组织机构和责任制度等的制定和落实;安全技术管理的内容包括对硬件实体和软件系统、密钥的管理。

3 电子政务信息安全管理体系中的风险评估

电子政务信息安全等级保护是根据电子政务系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度。等级保护工作的要点是对电子政务系统进行风险分析,构建电子政务系统的风险因素集。

3.1 信息系统的安全定级 信息系统的安全等级从低到高依次包括自主保护级、指导保护级、监督保护级、强制保护级、专控保护级五个安全等级。对电子政务的五个安全等级定义,结合系统面临的风险、系统特定安全保护要求和成本开销等因素,采取相应的安全保护措施以保障信息和信息系统的安全。

3.2 采用全面的风险评估办法 风险评估具有不同的方法。在ISO/IEC TR13335-3《信息技术IT安全管理指南:IT安全管理技术》中描述了风险评估方法的例子,其他文献,例如NIST SP800-30、AS/NZS 4360等也介绍了风险评估的步骤及方法,另外,一些组织还提出了自己的风险评估工具,例如OCTAVE、CRAMM等。

电子政务信息安全建设中采用的风险评估方法可以参考ISO17799、OCTAVE、CSE、《信息安全风险评估指南》等标准和指南,从资产评估、威胁评估、脆弱性评估、安全措施有效性评估四个方面建立风险评估模型。其中,资产的评估主要是对资产进行相对估价,其估价准则依赖于对其影响的分析,主要从保密性、完整性、可用性三方面进行影响分析;威胁评估是对资产所受威胁发生可能性的评估,主要从威胁的能力和动机两个方面进行分析;脆弱性评估是对资产脆弱程度的评估,主要从脆弱性被利用的难易程度、被成功利用后的严重性两方面进行分析;安全措施有效性评估是对保障措施的有效性进行的评估活动,主要对安全措施防范威胁、减少脆弱性的有效状况进行分析;安全风险评估就是通过综合分析评估后的资产信息、威胁信息、脆弱性信息、安全措施信息,最终生成风险信息。

在确定风险评估方法后,还应确定接受风险的准则,识别可接受的风险级别。

4 结语

电子政务与传统政务相比有显著区别,包括:办公手段不同,信息资源的数字化和信息交换的网络化是电子政务与传统政务的最显著区别;行政业务流程不同,实现行政业务流程的集约化、标准化和高效化是电子政务的核心;与公众沟通方式不同,直接与公众沟通是实施电子政务的目的之一,也是与传统政务的重要区别。在电子政务的信息安全管理中,要抓住其特点,从技术、管理、策略角度设计完整的信息安全模型并通过科学量化的风险评估方法识别风险和制定风险应急预案,这样才能达到全方位实施信息安全管理的目的。

参考文献:

[1]范红,冯国登,吴亚非.信息安全风险评估方法与应用.清华大学出版社.2006.

第8篇

关键词:软件开发;风险评估;证据理论

计算机技术的高速发展,随之而来的是各种软件的爆发式增长,软件已经成为了我们生活中不可或缺的一部分,在这种情况下软件开发工作就显得尤为重要。但是,软件在开发以及最后使用过程中存在着一定的风险,这些风险的存在造成了使用者的不便,也产生了很多的额外成本,这与当今人们对软件质量日益提高的需求极为不符。传统的软件风险评估多是借助于计量模型,利用一定的数据来进行定量的计算,但是软件使用中的风险存在着很多的额不确定性,各种各样的因素都会影响到软件效用的发挥,一些因素也不能转化成数据而直接进行计算,这些缺点导致传统的软件开发的风险评估方式已经不能满足人们希望更精确地评估风险的要求了。证据理论是一种新兴起的分析方法,它是一种基于不确定因素的定性的分析方法,这几年在软件风险评估方面得到了很大的应用,它虽然不能给出精确的风险值,但是可以给出具体方案的一个可行的实施范围,这对现代软件开发风险评估方式来说是一大进步,它取代了传统软件风险评估要求在不确定因素中选择确定性数据定量计量的不足。

一、传统软件开发风险评估的方式

软件开发工作自身是一项智力投入高,具有创新性的研究性活动,而且其研究的也不是具有实物形态的产品,而是各种各样的代码与数据库。软件开发过程中存在着很多的风险,这与软件开发自身所具有的特殊性质有着密切的关系,软件开发的客观性和普通性、不确定性、行为的相关性、多样性以及对称性决定了软件开发过程中风险的不确定性与来源广泛性,如果根据风险的本质来进行分类的话,大概分成三个种类:产品自身风险、项目特殊化风险以及开发环境的风险,对这各种各样的风险有着很多的评估方式。中国对于软件开发过程中的风险评估方式主要是源于西方的研究内容。最早的软件风险评估方法衍生于SEI对软件风险管理的研究中,SEI运用分类法来对软件开发过程的风险进行评估,分类法是一种简单而且实践性很强的风险识别方法。后来SEI又根据分类法设计了调查问卷进一步完善了分类法,而这种问卷的核心是根据分类法设置的属性根。风险评估一般含有评估者的主观性比较大,而且各个项目的特点不同,某些项目上经验丰富的专家很难找到,这就使得项目成本大大提升,因此,有人就将风险评估与成本分析一起作为研究对象,RayMadachy和KariKansala在这方面做出了很大的贡献。Chittister则从功能性角度、时态角度、失效来源角度价格风险评估视为一个“整体”。

二、什么是证据理论

证据理论又称D-S证据理论,是由Dempster和Shafer提出来的,它属于人工智能系统,是一种不精确的推理方法,可以用在处理不明确,模糊的信息上,最早是应用在专家系统之中,因为它能分析不确定因素的特点,现在被广泛地应用在软件开发的风险评估、模式识别、信息融合中。证据理论虽然不需要定性的测量,但是也需要建立一定的理论框架,进而确定在一定风险区间内的决策选择情况。证据理论的框架以人们知道的信息和想要知道的信息为出发点,他们一起被称为证据理论的辨识框架,证据理论通过辨识框架来区别“确定性”和“不确定性”进而得到人们想要的结果。在进行证据理论建模的时候首先要确定BBA(mass)生成问题,来将不确定的信息进行具体的表述,以便应用到模型中去。而BBA生成问题的关键是关于随机变量的分布与建模的难题,这恰恰与具体研究的问题有关,需要根据问题的不同而得到不同的BBA生成。

三、从证据理论的风险评估方式

风险是人人都不想看到的,所以对风险的评估以及管理就显得极为需要。证据理论因为可以将影响风险发生的各种不确定因素作为模型变量而考虑到模型中,所以适用于对于不确定性风险的分析。实际上,现在的很多风险管理都是根据三个部分建立的:风险识别、风险决策、风险反馈,然后再用统计计量的相关方法进行分析,这与其他的风险管理没有什么实质的区分。本文运用证据理论的分析方法来将以前不能考虑到没模型中的因素考虑进去,使得软件开发的风险评估更为可行,更加具有应用性。证据理论在使用中首先要进行赋值,即将不可测量的不完备、不精确或不易获得的数据转化成易衡量易获得的指数而纳入模型中,我们在分析的过程中涵盖了系统分析、设计、实施等不同的阶段以及进度、技术、费用的风险等具体的参数,具体如下图基于分层然后无确定了各个指标的具体赋值的概率情况,我们认为概率赋值较高的指标为关键指标,而概率赋值教的指标则成为非关键指标。在进行具体的赋值与分类之前,我们需要将各项指标进行证据融合,以期望得到信任函数,在这个步骤中可以采用交叉列表法来进行具体的证据融合,之后我们就可以得到具体的指标赋值概率,然后利用信任函数经过具体的计算就可以得到各个指标的风险值情况,然后将各个指标分配一定的权重就可以得到软件开发过程中受各种不确定因素影响的风险范围。

作者:于婕 单位:天津卓朗科技发展有限公司

参考文献:

[1]韩德强,杨艺,韩崇昭.DS证据理论研究进展及相关问题探讨[J].控制与决策,2014,29(1):1-11.

[2]鞠彦兵,冯允成,姚李刚.基于证据理论的软件开发风险评估方法[J].系统管理学报,2003,12(3):218-223.

第9篇

2004年9月美国COSO委员会的企业风险管理整合框架,其中很重要的一个变化是企业风险管理框架拓展了内部控制框架的风险评估要素,创造了四个构成要素――目标设定、事项识别、风险评估和风险应对,使原来内部控制中的五要素,拓展为企业风险管理的八要素,为什么要对此细化呢?笔者的理解是COSO试图让这个框架在风险评估这个环节更具体,更有指导性,体现了其和对风险评估要素的重视及强调,虽然它并不否定其他构成要素的重要性。

我国内部控制基本规范中虽然还是提五要素,但在第三章“风险评估”中也借鉴了COSO的表述,包含了目标设定、事项识别、风险评估和风险应对四个方面的内容。关于风险识别,在第二十二条和第二十三条列示了企业内外部各种风险因素。

按照COSO的定义,事项是源于内部或外部的影响战略实施或目标实现的事故或事件。事项可能带来正面或负面的影响,或者两者兼而有之。在事项识别有过程中,管理层认识到不确定性的存在,但是并不知道一个事项是否会发生,或什么时候发生,或者它所带来的确切影响。事项有的很明显,有的很隐晦;所产生的影响有的微不足道,有的十分重大。

笔者认为在企业风险管理构成要素中,事项识别是需要管理层重视的一个问题,也是风险管理工作中一个不好掌握的环节,它是风险评估的起点,与目标紧密相连。在实务工作中,这个要素怎样识别,由谁来确认事项,运用什么工作方法,怎么区别对待机会和威胁并启动不同的风险响应机制,是一个难题。事项、发生的可能性及对其的评估,“在实践中很困难,因为通常很难知道到底应该把底线画在哪儿。”管理层重视事项识别这个环节,并在实际工作中明确岗位职责,建立有效的工作机制,才能做到寓风险管理持续地流动于主体之内的要求。

二、事项识别的主体

事项识别的主体是管理层。企业风险管理要求企业的每个员工都要对风险管理负有一定的责任,首席执行官负有首要和最终的责任,其他管理人员在各自的职责范围内依据风险容限去管理风险。风险官、财务官、内部审计师等通常负有关键的支持责任。企业其他人员按指引和规程去实施风险管理。在企业实际工作中,问题有三个,其一,不同的管理层自上而下认识和努力程度是否一致;其二,不同岗位的人员素质及能力水平是否符合要求;其三,缺乏专责机构,事项识别职责不明。

首席执行官(CEO)负责建立企业风险管理的所有构成要素。CEO要领导和指引其他高级管理人员共同做好事项识别工作,要培养管理团队有共同的风险管理价值观、原则,要使风险管理理念和文化在企业广泛、深入地普及。只有上下认识一致,共同努力,风险识别工作才能做好。

管理层的特定岗位的胜任能力水平是事项识别的重要制约因素。管理人员需要一定的知识与技能才能做好这项工作,人在认知风险事项时是有局限性的,尤其是复杂的经济和社会现象,人们往往认识不清,比如前两年源于美国次贷危机引发的全球金融危机,一开始,很少人认识到它的危害性、影响深度及广度。事项识别需要管理层敏锐的视角,勇于负责的态度,丰富的经验和明确对等的权责分配及监督。

事项识别必须在管理层特定机构和特定岗位明确职责。责任到人,才不会导致由提倡“人人有责”变成“人人无责”,管理层要通过逐级授权,让不同的管理者分担与其分部、业务单元、子公司对应的风险管理责任。事项范围需要按一定的方法进行归类,事项识别漏项要有处罚制度,保证管理层内部权责明确,赏罚分明。

我国企业可以结合自身实际情况,建立以总裁或CEO为首的风险管理委员会,下设具有跨部门、跨单元风险管理职责的专职或兼职的风险管理办公室,各部门、子公司、各单元的负责人为各自单位的风险管理责任人,在各部门、子公司、业务单元设专职风险管理岗位,内部审计部门对风险管理工作进行再监督,这样一种风险管理主体架构。

三、事项识别的工作机制

企业要建立一定的工作机制来保证事项识别工作得到贯彻落实。除了CEO负有全面责任外,风险官、财务官、内审部门负有相对于其他管理层人员更重的事项识别职责,企业风险管理部门、财务部门、法律部门相对于其他部门有更多的风险管理责任,应明确其岗位职责。CEO要定期地约谈、督促相关岗位和部门的管理人员协助其做好这方面的工作。对于事项识别,管理层应建立报告制度,不同层级发现的事项,要按照一定的标准上报,企业要事先规定不同情形的事项如何处置。风险官、财务官、内审部门、风险管理专门机构,要有事项识别具体工作要求,对事项识别的周期、范围、时机、深度和广度做出规定,定期报告,对于特定的事项范围,明确由哪个管理角色来承担。要建立基层员工反映不寻常事项的顺畅渠道,鼓励和引导全体员工积极参与风险管理工作,建立奖励制度。运用科学的方法和有效的工作组织,事项识别工作才能做好。

四、事项识别的难点

不同事项影响企业生存和发展的环境,使企业面临的机会与风险发生变化。事项识别的难点在于事项的广泛性,相关性,相互依赖性,不确定性和可识别性。

所谓广泛性是说事项众多,纷繁复杂。既包括外部因素,如经济、环境、政治、社会、技术因素等,也包括来源于企业内部的各种因素。即使在经济因素里面,事项也数不胜数,如国际金融危机、国家产业政策调整、资金成本变化、行业竞争性准入的变化等等,从企业内部因素看,如人员方面,安全事故、合同到期、薪酬政策等,将可能影响企业人力资源的获得,给企业带来停工损失或使企业形象受损。

相关性是指事项与目标之间的是否有因果对应关系,人们通过界定这些事项,能够提高人们发现风险与机会的能力。事项识别必须围绕着目标的实现来确定的,只有影响战略实施或目标实现的内外部事故和事件才属于事项的范围。

相互依赖性是指事项通常不是孤立地发生的,一个事项可能引发另一个事项,事项也可能会同时发生。如一项资本性开支(固定资产更新改造)因为缩减性财务政策而推迟实施,可能导致停工或延期交货。有时,事项之间的关联性也要进行分析研究才能得出。当事项之间存在相互关联,或者事项结合或相互影响产生显著不同的可能性或影响时,管理层就要把它们放在一起来评估。

不确定性是指事项是否如期发生,企业风险管理的实质就是平衡企业在创造价值的同时,能够承受多少不确定性。在企业经营所处的环境中,诸如经济全球化、技术、重组、变化中的市场、竞争和管制等因素都会导致不确定性。不确定性来源于不能准确地确定事项发生的可能性以及所带来的影响。

可识别性指事项发生或即将发生时,能否被管理层识别。风险实际上更多地来源于管理层没有识别到有着负面影响的事项,在事项发生时,管理层没有意识到它会给企业带来影响。事项识别还包括要将代表着机会的事项反馈到管理层的战略制订或目标制订过程中。企业的事项识别能力也与其运用的技术方法紧密相关,也有一个培养和提高的过程。

事项识别的深度、广度、时机和范围因主体而异。对于以上这些难点的充分认识,有助于企业风险管理抓住“牛鼻子”,抓住关键事项。

五、事项识别的方法

第10篇

关键词:审计风险准则 风险导向 重大错报风险 风险评估 审计证据

一、前言

2006年财政部颁布了《中国注册会计师执业准则》,标志着我国在建立适应社会主义市场经济发展要求,顺应国际趋同新形势的道路上迈进了一大步。为了更好地指导注册会计师有效地识别、评估和应对审计风险,准则框架体系全面渗透着风险导向审计的理念,要求注册会计师将风险导向审计的观念贯穿于审计全过程。传统审计方法的主要缺陷在于注册会计师重视被审计单位的内部环境,但忽视其所处的外部环境;重视审计单位的控制风险但忽视其固有风险。事实上我国注册会计师面临的情形是被审计单位及其所处环境的日趋复杂。行业状况、法律环境与监管环境以及其他外部因素,都会对注册会计师审计质量产生重大影响。在复杂环境下或被审计单位内部控制不健全时,如果继续采用传统审计模式,局限于控制测试和实质性测试,把审计的主要资源集中在具体交易事项和余额细节测试上。极易引发审计风险。因此,新执业准则要求注册会计师了解被审计单位及其内外部环境,同时注重检查风险和固有风险(即重大错报风险),重点关注存在重大错报风险的领域,达到避免触发审计风险的目的。新执业准则体系的核心内容为以下准则,简称审计风险准则,分别为:《中国注册会计师执业准则第1101号――财务报表审计的目标和一般原则》(以下简称第1101号准则,下同)、《中国注册会计师执业准则第1211号――了解被审计单位及其环境并评估重大错报风险》、《中国注册会计师执业准则第1231号――针对评估的重大错报风险实施的程序》、《中国注册会计师执业准则第1301号――审计证据》。

二、审计风险准则修订的主要内容

(一)第1101号准则 第1101号准则是在借鉴国际审计与鉴证准则第200号的基础上,对原《独立审计准则第1号――会计报表审计》进行修订而形成的。其主要内容有:会计责任和审计责任、审计的目标、审计范围、职业怀疑态度、审计风险及模型。(1)明确区分注册会计师的责任,公司管理层和治理层的责任。新准则规定,对财务报表发表审计意见是注册会计师的责任;在被审计单位治理层的监督下,按照适用的会计准则和相关会计制度的规定编制财务报表是被审计单位管理层的责任。此外,准则条款还特别强调了财务报表审计不能减轻被审计单位管理层和治理层的责任。(2)明确财务报表审计目标。新准则规定,财务报表审计的目标是注册会计师通过执行审计工作,对财务报表的下列方面发表审计意见:财务报表是否按照适用的会计准则和相关会计制度的规定编制;财务报表是否在所有重大方面公允反映被审计单位的财务状况、经营成果和现金流量。这个规定与原有的规定没有太大区别,但是新准则中明确提出,财务报表审计属于鉴证业务,注册会计师的审计意见旨在提高财务报表的可信赖程度。(3)修订审计范围的定义。新准则指出,财务报表的审计范围是指注册会计师为实现财务报表审计目标,根据审计准则和职业判断实施的恰当的审计程序的总和。在确定拟实施的审计程序时,注册会计师应当遵守与财务报表审计相关的各项审计准则。恰当的审计程序是指审计程序的性质、时间和范围是恰当的。一是审计程序的性质指审计程序的目的和类型。目的包括:通过了解被审计单位及其环境,识别、评估重大错报风险;通过实施控制测试,明确内部控制运行的有效性;通过实施实质性程序,发现认定层次的重大错报。类型则包括检查、观察、询问、函证、重新计算、重新执行和分析程序。二是审计程序的时间是指注册会计师何时实施审计程序,或指审计证据适用的期间或时点。三是审计程序的范围是指实施审计程序的数量,包括抽取的样本量,对某项控制活动的观察次数等。审计范围受到限制是指由于客观原因或者被审计单位施加的限制,注册会计师未能实施根据审计准则和职业判断应当实施的审计程序,从而未能获取充分、适当的审计证据。(4)要求注册会计师在审计过程中始终保持职业怀疑态度,并明确在财务报表审计中注册会计师只能提供合理保证。新准则要求,在计划和实施审计工作时,注册会计师应当保持职业怀疑态度,充分考虑可能存在导致财务报表发生重大错报的情形。新准则指出,注册会计师按照审计准则的规定执行审计工作,能够对财务报表整体不存在重大错报获取合理保证。由于审计中存在的固有限制影响注册会计师发现重大错报的能力,注册会计师不能对财务报表整体不存在重大错报获取绝对保证,即只能提供合理保证。(5)引进新的审计模型。新准则对审计风险模型作了重大改变,将原审计风险模型修正为:审计风险:重大错报风险x检查风险,审计风险取决于重大错报风险和检查风险,是两者的综合风险。重大错报风险要求注册会计师站在风险的高度上把握审计过程,以风险为导向进行审计,强化了风险意识,注册会计师对于重大错报风险的评估贯穿于审计的整个过程。改变后的审计风险模型使得注册会计师从更高的层次上把握重大错报风险,要求注册会计师必须了解被审计单位及其环境(包括内部控制),以充分识别和评估财务报表重大错报风险,并针对评估的重大错报风险设计和实施进一步审计程序(包括控制测试和实质性测试),以降低注册会计师的审计风险。在目前经济不确定性增大的环境下,显然新的审计风险模型更能满足风险控制的要求,并且可操作性较强。

(二)第1211号准则 第1211号准则是在借鉴国际审计与鉴证准则第315号基础上出台的新准则,将取代我国原有的《独立审计准则第21号――了解被审计单位情况》、《独立审计准则第9号――内部控制与审计风险》和《独立审计准则第20号――计算机信息系统环境下的审计》,以克服旧准则相互分离、缺乏有机融合的缺陷。根据《中国注册会计师审计准则第1101号――财务报表审计的目标和一般原则》要求,注册会计师在审计过程中应当贯彻风险导向审计的理念,围绕重大错报风险的识别、评估和应对,计划和实施审计工作。其中如何识别和评估重大错报风险,构成了注册会计师应对重大错报风险的前提。注册会计师如何了解被审计单位及其环境,了解哪些具体的内容,了解后如何对重大错报风险进行评估,如何将了解和评估的过程、结果与管理层和治理层进行沟通,在审计工作底稿中应当对哪些内容进行记录,本准则对这些问题做了明确规范,其修订的主要内容有:(1)注册会计师审计的总体要求:了解被审计单位及其环境是必要程序;了解的目的是识别和评估财务报表重大错报风险,设计和实施进一步审计程序;了解的程度应当足够实现了解的目的。与独立审计准则中的规定不同,了解被审计单位及其内外部环境是注册会计师审计过程中必须实施的程序,

也是风险导向审计的核心。(2)风险评估程序的概念及项目组内部讨论的要求。风险评估程序是指为了解被审计单位及其环境而实施的程序。风险评估程序包括:询问被审计单位管理层和内部其他相关人员;分析程序;观察和检查。注册会计师在了解被审计单位及其环境的整个过程中,结合了解的内容和被审计单位业务的特点运用相应的风险评估程序,并利用风险评估程序所获取的信息评估重大错报风险,并可能随着不断获取审计证据而作出相应的变化。如果通过实施进一步审计程序获取的审计证据与初始评估获取的审计证据相矛盾,注册会计师应当修正风险评估结果,并相应修改原计划实施的进一步审计程序,实施风险评估程序之后项目组内部必须进行讨论。注册会计师通过风险评估程序了解被审计单位及其环境后,需要对财务报表重大错报风险进行评估,评估重大错报风险需要运用专业判断,必须由项目组内部讨论来完成,项目组内部讨论可以有效降低审计风险。在原准则中,评估固有风险、控制风险也需要专业判断,但并没有需要项目组共同讨论的规定。一是讨论的目标。项目组通过讨论可以使成员更好地了解在各自分工负责的领域中,由于舞弊或错误导致财务报表重大错报地可能性,并了解各自实施审计程序的结果如何影响审计的其他方面,包括对确定进一步审计程序的性质、时间和范围的影响。二是讨论的内容。项目组应当讨论被审计单位面临的经营风险、财务报表容易发生错报的领域以及发生错报的方式,特别是由于舞弊导致重大错报的可能性。三是参与讨论的人员。注册会计师应当运用职业判断确定项目组内部参与讨论的成员。项目组的关键成员应当参与讨论,如果项目组需要拥有信息技术或其他特殊技能的专家,这些专家也应当参与讨论。项目组的讨论不要求所有成员每次都参与讨论,参与讨论人员的范围受项目组成员的职责、经验和信息需求的影响。四是讨论的时间和方式。项目组应当根据审计的具体情况,在整个审计过程中,持续交换有关财务报表发生重大错报可能性的信息。项目组在讨论时应当强调在整个过程中保持职业怀疑态度,警惕表明舞弊或错误导致的重大错报可能已经发生的信息或其他迹象,并对这些迹象进行追踪。通过讨论,项目组成员可以交流和分享在整个审计过程中获得的信息,包括可能对重大错报风险评估产生影响的信息或有关针对风险实施的审计程序的信息。(3)注册会计师应尽到的相关职责。对注册会计师应当从哪些方面了解被审计单位及其环境作了详细的定义:行业状况、法律环境与监管环境以及其他外部因素;被审计单位的性质;被审计单位对会计政策的选择和运用;被审计单位的目标、战略以及相关经营风险;被审计单位财务业绩的衡量和评价;被审计单位的内部控制。这些内容是新准则的重要内容,值得注意的是对被审计单位的了解不仅局限于被审计单位的内部控制。对以上新准则中有相应的章节进行具体的阐述,使得注册会计师思考的是究竟哪些方面去了解被审计单位,而不像原有准则中是比较模糊的概念,这样做可以有效防止了解的不彻底影响审计工作,低估重大错报风险。(4)明确了注册会计师了解内部控制的定位。注册会计师需要了解和评价的内部控制只是与财务报表审计相关的内部控制,并非被审计单位所有的内部控制。因为注册会计师审计的目标是对财务报表是否不存在重大错报发表审计意见,注册会计师考虑与财务报表编制相关的内部控制,但目的并非对被审计单位内部控制的有效性发表意见。(5)明确了注册会计师评估两个层次的重大错报风险。在对重大错报风险进行识别和评估后,注册会计师应当确定识别的重大错报风险是与特定的各类交易、账户余额、列报的认定相关,还是与财务报表整体广泛相关,进而影响多项认定。某些重大错报风险可能与特定的各类交易、账户余额、列报的认定相关。如被审计单位存在复杂的联营或合资,这一事项表明长期股权投资账户的认定可能存在重大错报风险。又如被审计单位存在重大的关联方交易,该事项表明关联方及关联方交易的披露认定可能存在重大错报风险。某些重大错报风险可能与财务报表整体广泛相关,进而影响多项认定。如在经济不稳定的国家和地区开展业务、资产的流动性出现问题、重要客户流失、融资能力受到限制等,可能导致注册会计师对被审计单位的持续经营能力产生重大疑虑。又如管理层缺乏诚信或承受异常的压力可能引发舞弊风险,这些风险与财务报表整体相关。(6)提出了特别风险的概念,需要特别考虑的重大错报风险即为特别风险,并根据风险的性质、潜在错报的重要程度和发生的可能性判断风险是否属于特别风险。如风险是否属于舞弊风险;交易的复杂程度;风险是否涉及重大的关联方交易等。(7)提出了对仅通过实质性程序无法应对的重大错报风险的处理方法。仅通过实质性程序获取的审计证据无法将认定层次的重大错报风险降至可接受的低水平,注册会计师应当评价被审计单位针对这些风险设计的控制,并确定其执行情况。在被审计单位对日常交易采用高度自动化处理的情况下,审计证据可能仅以电子形式存在,其充分性和适当性通常取决于自动化信息系统相关控制的有效性,注册会计师应当考虑仅通过实施实质性程序不能获取充分、适当审计证据的可能性。如果认为仅通过实施实质性程序不能获取充分、适当的审计证据,注册会计师应当考虑依赖的相关控制的有效性,并对其进行了解、评估和测试。(8)将了解被审计单位及其环境过程中获得的信息记录与工作底稿中。此类信息包括项目组对由于舞弊或错误导致财务报表发生重大错报的可能性进行的讨论,以便得出的重要结论;对被审计单位及其环境各个方面的了解要点、信息来源以及实施的风险评估程序;在财务报表层次和认定层次识别、评估出的重大错报风险;识别出的特别风险和仅通过实质性程序无法应对的重大错报风险,以及对相关控制的评估。

(三)第1231号准则 第1231号准则是在借鉴国际审计与鉴证准则第330号的基础上出台的一个全新的准则,将取代原有的《第21号――了解被审计单位情况》、《第9号――内部控制与审计风险》和《第20号――计算机信息系统环境下的审计》。根据《中国注册会计师审计准则第1101号――财务报表审计的目标和一般原则》的要求,注册会计师在审计过程中应当贯彻风险导向审计的理念,围绕重大错报风险的识别、评估和应对,计划和实施审计工作。其中《第1211号――了解被审计单位及其环境并评估重大错报风险》规范了注册会计师通过实施风险评估程序,识别和评估财务报表层次以及各类交易、账户余额、列报认定层次的重大错报风险,注册会计师针对已评估的财务报表层次的重大错报风险如何确定总体应对措施,针对已评估的认定层次的重大错报风险如何设计和实施进一步审计程序,进一步审计程序的性质、时间、范围如何确定和实施,如何评价实施审计程序收集的审计证据的充分性和适当性,在审计工作底稿中将对哪些审计工作进行记录等,对这些问题的明确规范是第1231号准则的核心内容。其修订的主要内容有:总体要求、针对重大错报风险的总体反应、审计程序的不可预见性、总体方案和进一步审计程序、控制测试的相关要求、实质性程序及相关要求、审计的相关要求、审计工作记录。(1)明确提出了对注册会计师审计的两个总体要求:审计程序的总体要求,注册会计师应

当对评估的财务报表层次重大错报风险确定总体应对措施,并针对评估的认定层次重大错报风险设计和实施进一步审计程序;职业判断的总体要求,注册会计师在确定总体应对措施以及设计和实施进一步审计程序的性质、时间和范围时应当运用职业判断。(2)首次提出了注册会计师应当针对评估的财务报表层次重大错报风险确定下列总体应对措施:向项目组强调在收集和评价审计证据过程中保持职业怀疑态度的必要性;分派更有经验或具有特殊技能的审计人员,或利用专家的工作;提供更多的督导;在选择进一步审计程序时,应当注意使某些程序不被管理层预见或事先了解;对拟实施审计程序的性质、时间和范围作出总体修改。(3)强调审计程序的不可预见性要求。注册会计师针对评估的财务报表层次重大错报风险确定的总体应对措施中强调增强审计程序的不可预见性,因此,注册会计师在设计拟实施审计程序的性质、时间和范围时,为了避免既定思维对审计方案的限制,避免对审计效果的人为干涉,从而使得针对重大错报风险的进一步审计程序更加有效,注册会计师要考虑使某些程序不被审计单位管理层预见或事先了解。(4)首次提出了两种总体方案和进一步审计程序的概念。两种总体方案分别为实质性方案和综合性方案,实质性方案是指注册会计师实施的进一步审计程序以实质性程序为主;综合性方案是指注册会计师在实施进一步审计程序时,将控制测试与实质性程序结合使用。而所谓的进一步审计程序是相对风险评估程序而言的,是注册会计师针对评估的各类交易、账户余额、列报认定层次重大错报风险实施的审计程序,包括控制测试和实质性程序。(5)重新界定了注册会计师实施控制测试的两种情形,当存在下列情形之一时,注册会计师应当实施控制测试:在评估认定层次重大错报风险时,预期控制的运行时有效的;仅实施实质性程序不足以提供认定层次充分、适当的审计证据。(6)强调了实施控制测试获取审计证据的重要性。即认为仅实施实质性程序获取的审计证据无法将认定层次重大错报风险降至可接受水平,注册会计师应当实施相关的控制测试,以获取控制运行有效性的审计证据。(7)增加了“重新执行”的控制测试取证方法。根据第1301号审计证据准则,注册会计师获取审计证据的具体程序中将六种具体的取证方法修改为八种,即检查记录或文件;检查有形资产;观察;询问;函证;重新计算;重新执行;分析程序。其中增加了“重新执行”控制测试的取证方法。(8)严格限制了注册会计师无限期或过长时间内不实施测试的做法。如果拟信赖的控制自上次测试后未发生变化,且不属于旨在减轻特别风险的控制,注册会计师应当运用职业判断确定是否在本期审计中测试其运行有效性,以及本次测试与上次测试的时间间隔,但两次测试的时间间隔不得超过两年。(9)首次明确区分“控制运行的有效性”与“控制是否得到执行”。注册会计师在了解被审计单位及其环境时需要实施风险评估程序。注册会计师在确定控制是否得到执行而实施的某些风险评估程序可能提供有关控制运行有效性的审计证据。注册会计师可以考虑在评价控制设计和获取其得到执行的审计证据的同时测试控制运行有效性,以提高审计效率。两者的区别如(表1)所示。(10)首次明确期中进行控制测试的考虑。如果注册会计师在期中实施控制测试程序,即使注册会计师已获取有关控制在期中运行有效性的审计证据,仍然需要考虑如何能够将控制在期中运行有效性的审计证据合理延伸至期末,以确保针对期中至期末这段剩余期间获取充分、适当的审计证据。如果已获取有关控制在期中运行有效性的审计证据,并拟利用该证据,注册会计师应当实施下列审计程序:首先,获取这些控制在剩余期间变化情况的审计证据。针对期中已获取过审计证据的情况,如果这些控制在剩余期间没有发生变化,注册会计师可能决定信赖期中获取的审计证据;如果这些控制在剩余期间发生了变化,注册会计师需要了解并测试控制的变化对期中审计证据的影响。其次,确定针对剩余期间还需获取的补充审计证据。针对期中已获取过审计证据的情况,如果这些控制在剩余期间发生了变化,注册会计师应当考虑下列因素:评估的认定层次重大错报风险的重大程度。评估的重大错报风险对财务报表的影响越大,注册会计师需要获取的剩余期间的补充证据越多;在期中测试的特定控制。如对自动化运行的控制,注册会计师更可能测试信息系统一般控制的运行有效性,以获取控制在剩余期间运行有效姓的审计证据;在期中对有关控制运行有效性获取的审计证据的程度。如果注册会计师在期中对有关控制运行有效性获取的审计证据比较充分,可以考虑适当减少需要获取的剩余期间的补充证据;剩余期间的长度。剩余期间越长,注册会计师需要获取的剩余期间的补充证据越多;在信赖控制的基础上拟减少进一步实质性程序的范围。注册会计师对相关控制的信赖程度越高,通常在信赖控制的基础上拟减少进一步实质性程序的范围就越大。在这种情况下,注册会计师需要获取的剩余期间的补充证据越多;控制环境。在注册会计师总体上拟信赖控制的前提下,控制环境越薄弱(或把握程度越低),注册会计师需要获取的剩余期间的补充证据越多。(11)明确了实质性程序概念和内容。实质性程序是指注册会计师针对评估的重大错报风险实施的直接用以发现认定层次重大错报的审计程序。包括对各类交易、账户余额、列报的细节测试以及实质性分析程序。(12)明确了对于特别风险的专门应对程序。如果认为评估的认定层次重大错报风险是特别风险,注册会计师应当专门针对该风险实施实质性程序;如果针对特别风险仅实施实质性程序,注册会计师应当使用细节测试,或将细节测试和实质性分析程序结合使用,以获取充分、适当的审计证据。(13)首次提出了是否在期中实施实质性程序。注册会计师如果在期中实施了实质性程序,仍然需要消耗进一步的审计资源使期中审计证据能够合理延伸至期末,注册会计师应当考虑是否在期中实施实质性程序。(14)指明了财务报表审计是一个累计和不断修正的过程。随着计划的审计程序的实施,如果获取的信息与风险评估时依据的信息有重大差异,注册会计师应当考虑修正风险评估结果,并据以修改原计划的其他审计程序的性质、时间和范围。(15)明确了注册会计师应当针对评估的风险设计细节测试。如在针对存在或发生认定设计细节测试时,注册会计师应当选择包含在财务报表金额中的项目,并获取相关审计证据;针对完整性认定设计细节测试时,注册会计师应当选择有证据表明应包含在财务报表金额中的项目,并调查这些项目是否确实包括在内。(16)明确了审计工作记录要求。注册会计师应当针对评估的重大错报风险实施的程序进行充分的审计工作记录。包括记录:对评估的财务报表层次重大错报风险采取的总体应对措施;实施进一步审计程序的性质、时间和范围;实施进一步审计程序与评估的认定层次重大错报风险的联系;实施进一步审计程序的结果。

(四)第1301号准则 第1301号准则是在借鉴国际审计与鉴证准则第500号的基础上,对我国原有的《独立审计准则第5号――审计证据》进行修订而形成的。此次重大修订的内容有:(1)拓展了审计证据的内涵。原审计证据准则将审计证据定义为“注册会计师在执行审计业务过程中,为形成审计意见所获取的证据”。原审计证据准则对审计证据的内涵界定比较窄,注册会计师收集

的审计证据更多体现的是与财务报表会计记录相关的信息。修订后审计证据准则将审计证据定义为“注册会计师为了得到审计结论、形成审计意见而使用的所有信息”。新审计证据准则对审计证据的内涵要宽泛得多,不仅包括与财务报表会计记录相关的信息,还包括其他信息。如(图1)所示。

其中,第一类审计证据是“财务报表依据的会计记录中含有的信息”。会计记录中含有的信息是最基本信息。构成了财务报表最主要的内容,一般包括对初始分列的记录和支持性记录,如支票、电子资金转账记录、发票、合同、总账、明细账、记账凭证和未在记账凭证中反映的对财务报表的其他调整,以及支持成本分配、计算、调节和披露的手工计算表和电子数据表。第二类审计证据是“其他信息”。其他信息是用来印证会计记录中含有的信息是否真实、完整,指导注册会计师如何识别、评估财务报表重大错报风险,一般包括:注册会计师从被审计单位内部或外部获取的会计记录以外的信息,如被审计单位会议记录、内部控制手册、函证函的回函、分析师的报告、与竞争者的比较数据等;通过询问、观察和检查等审计程序获取的信息,如通过检查存货获取存货存在性的证据等;自身编制或获取的可以通过合理推断得出结论的信息,如注册会计师编制的各种计算表、分析表等。(2)引进了“认定”的概念。原审计证据准则未将“认定”写进准则,整个审计准则体系对“认定”概念重视不够,新审计证据准则引入“认定”概念,并要求注册会计师详细运用认定指导具体审计目标,根据具体审计目标来设计和确定进一步审计程序。(3)将获取审计证据的程序区分为总体程序和具体程序。原审计证据准则只列了六种具体的取证方法。修订后的审计证据准则将注册会计师获取审计证据的程序区分为总体程序和具体程序,总体程序增加了风险评估程序,即包括风险评估程序、控制测试和实质性程序;具体程序中将六种具体的取证方法修改为八种,具体包括的内容前文已述及。其中,将“监盘”程序进行细分,因为“监盘”是“检查记录或文件”、“检查有形资产”、“观察”等具体审计程序的复合程序;增加“重新执行”具体程序;将原来的“计算”和“分析性复核”分别修改为“重新计算”和“分析程序”。(4)新增风险评估程序。根据风险导向审计准则体系的要求,注册会计师应当通过了解被审计单位及其环境识别重大错报风险,并针对评估的重大错报风险设计和实施进一步的审计程序,因此,在修订后的审计证据准则中增加“风险评估程序”,以此为手段通过了解情况作为评估财务报表层次和认定层次重大错报风险的基础。但风险评估程序并不能识别出所有的重大错报风险,虽然它可作为评估财务报表层次和认定层次重大错报风险的基础,但并不能为发表审计意见提供充分、适当的审计证据。为了获取充分、适当的审计证据,注册会计师还需要实施进一步程序,包括实施控制测试(必要时或决定测试时)和实质性程序。(5)新增“重新执行”的具体审计程序。重新执行是指注册会计师以人工方式或使用计算机辅助审计技术,重新独立执行作为被审计单位内部控制组成部分的程序或控制。如注册会计师利用被审计单位的银行存款日记账和银行对账单,重新编制银行存款余额调节表,并与被审计单位编制的银行存款余额调节表进行比较。

三、审计风险准则对注册会计师的影响

(一)对注册会计师审计理念的影响注册会计师审计的主线始终是对重大错报风险的识别、评估与应对。注册会计师为了实现审计目标。在计划和实施审计工作时,应当保持职业怀疑态度,充分考虑可能导致会计报表发生重大错报的情形。在审计和实施进一步审计程序时,注册会计师应当将审计程序的性质、时间及范围与识别和评估的风险相联系,以防止机械利用程序表从形式上迎合独立审计准则对审计程序的要求。注册会计师必须针对重大的各类交易、账户余额、列报和披露实施实质性测试。注册会计师对重大错报风险评估是一种判断,并且内部控制存在固有限制,无论评估的重大错报风险结果如何,注册会计师必须针对重大的各类交易、账户余额、列报和披露实施实质性程序,不得将实质性测试只集中在例外事项上。

第11篇

风险研究最早运用于项目工程管理领域,在其发展过程中主要应用于管理学、金融学、心理学等学科的研究中。

(一)风险管理理论

风险管理理论始于20世纪30年代,至20世纪60年代中期逐步发展成为一门学科。“1963年梅尔和赫奇斯的《企业的风险管理》、1964年威廉姆斯和汉斯的《风险管理与保险》出版,标志着风险管理理论正式登上了历史的舞台。”[1]风险管理理论经历了从传统风险管理理论到金融风险管理理论再到全面风险管理理论的不同时期。传统风险管理理论主要对风险管理的对象进行界定和区分,将纯粹意义上的风险作为研究对象,也就是将不利风险纳入企业风险管理的重要范畴。企业风险管理的主要任务是减少不利风险的发生,降低不利风险对企业的可能损害。管理的基本手段是采用保险的方式转移和减少风险所带来的损失。20世纪60年代末至70年代初,一些学者对市政管理中的风险问题进行研究。托德(Todd,1969)和沃恩(Vaughan,1971)通过对美国九个州市政管理现状的调查研究,提出市政官员应加强市政风险管理的主张。风险管理理论逐步与管理学、经济学等学科融合与发展,风险管理研究对象逐步拓展,不再局限于传统风险管理理论对纯粹风险的管控,金融风险管理兴起。金融风险管理不仅是为了克服纯粹风险,更不是仅仅利用保险的方式转移风险,而是注重保险的收益功能。金融风险管理标志着风险管理理论向纵深度发展。20世纪80年代,接踵而至的金融危机推动了风险管理理论的蓬勃发展,迫使金融界进一步思考风险管理问题,全面风险管理时代来临。全面风险管理主张从系统的角度对所有风险集合整体上加以管理和控制。全面风险管理理论已经成为企业决策和金融业决策的重要指导,作为一种系统和科学的管理模式被广泛应用。

(二)风险社会研究的兴起与发展

20世纪以来,特别是20世纪后半期,人类社会在经济领域、社会领域取得非凡成就,但也潜藏着各种危机,生态环境急剧恶化,经济危机和金融风险频繁发生,社会贫富分化现象日趋严峻;与此同时,化学污染、核威胁、各种电磁辐射、转基因产品危害等现代性的负效应正威胁人类,使社会面临严重风险。出于对工业社会和现代性的反思,1986年德国学者乌尔里希•贝克(UlrichBeck)在其德文版著作《风险社会》中,首次提出“风险社会”的概念。但是在当时风险社会理论并未引起过多关注,直至1992年其英文版著作《风险社会》出版,风险社会理念才备受瞩目。伴随着对风险社会形成原因的不断追问,贝克进一步指出工业社会所面临的风险与以往社会所面临的风险存在区别,如果将人类社会早期所发生的自然灾害、社会危机归结为自然规律所导致的,那么工业社会发生的危机则与人类社会的重大决策紧密相关。贝克认为:“工业化以前人类社会所遭遇的各种自然灾害与工业化以后人类社会所面临的各种风险大不一样。”[2]安东尼•吉登斯则从人类社会历史发展的角度,对社会发展的现代性、社会发展的全球化趋势与社会风险关系进行探讨,提出全球风险社会理论。吉登斯认为,人类社会面临的风险,如果是来自自然界的外在风险,那么是自然风险;如果是由人类社会内部对自然的改造和控制等“人力制造出来的风险”,那么是“人造风险”。人造风险与人类工业化发展、对社会现代性的追求相伴生。吉登斯对风险社会的研究系统而深入,对由现代性引发的社会风险类型进行了阐释,认为现代性蕴含着经济增长、生态环境破坏、极权主义、军事冲突、核危机等社会风险。从风险管理理论和风险社会研究可以看出,风险并不必然伴随科技发展和社会进步而消失或减少;相反,可能由于人类的某种选择和决策的失误而被强化。因此,从全球的视野来分析社会风险,反思人类社会的管理与决策,加强决策与管理的科学性,有助于探寻社会风险的化解方法。

二、欧美重大事件风险管理的实践经验

近年来,欧美发达国家的社会发展水平逐步提高,社会发展能力被彰显出来。与此同时,社会面临的风险与不确定因素也越来越多,风险转化成危害,严重威胁着社会稳定与持续发展。为此,欧美等发达国家和地区积极强化风险社会管理手段与方法。其依靠重大事件的科学决策有效化解风险、促进社会稳定的经验,值得中国借鉴。

(一)美国环境风险管理制度

美国一直以来重视环境保护,20世纪80年代以来,更是将环境管理问题上升到与国家安全、国家利益、社会稳定同等重要的高度。美国政府十分重视环境管理,对于环境管理中存在的风险进行有效控制。美国对于环境管理及风险防控的基本做法主要体现在:一是高度重视环境保护问题,将其确定为与国家安全、国家利益紧密相关的重大事件。1977年,美国学者莱斯特•布朗(LesterBrown)在其研究报告《重新定义国家的安全》中,首次提出将环境问题与国家安全问题紧密相连。布朗的观点引起广泛关注,关于环境安全的研究逐步增多。1987年里根政府的《国家安全报告》明确指出,自然资源的损耗与污染成为国家繁荣和国家安全的潜在威胁与风险,环境安全、环境管理被列入涉及国家安全、国家利益的重要领域,成为政府决策管理的重要范畴。二是进行深入系统的环境风险评价科学研究,为环境决策提供理论基础和技术路线。美国是较早开展环境风险评价研究的国家,20世纪70年代至80年代初,环境风险评价开始萌芽,但关于风险评价的内涵尚不清晰。20世纪80年代以来,风险评价的框架基本形成。美国国家科学院提出环境风险评价包含危害鉴别、剂量—效应关系评价、暴露评价和风险表征四个阶段[3]。20世纪80年代后期,环境风险评价运用于决策的相关研究逐步增加,特别是比较风险评价理论的提出与发展,大大推动了美国环境决策发展。艾扎斯(Ijjasz)和特雷耶(Tlayie)认为,“在宏观上,比较风险评价是在掌握大量正确数据的基础上对决策中的风险进行排序比较,并以风险的大小作为决策方案的选择依据,从而形成一个包含有科学家、决策者与利益相关者的开放、公平的相互交流的环境。”[4]三是建立生态风险评价的政策依据,为风险评价提供行动指南。“1998年美国国家环保局正式颁布了《生态风险评价指南》,提出生态评价三步法:问题形成、分析和风险表征,同时要求在正式的科学评价之前,首先制定一个总体规划,以明确评价目的。”[5]这也是世界上最早的生态风险评价方面的指导文件。美国国家环境保护局将比较风险评价应用于环境决策,确定了将当前环境决策未解决的问题具体化、在对数据分析的基础上提出新的决策方案、决策者依据环境因素与潜在风险等因素对方案进行评估、方案选择决策确定、校验决策等基本环节。四是建立完备的风险管理与环境应急机制。对于环境存在的风险及可能发生的突发事件,美国建立比较完善的环境风险管理与应急机制。环境风险管理与应急机制主要包括环境风险的宣传与教育机制、风险预测预警机制、风险管理机制,针对潜在的环境风险进行识别、宣传与防范,为降低风险和科学决策提供保障。

(二)欧盟食品风险评估制度

自20世纪60年代开始,为确保食品安全,促进食品在成员国自由流通,欧盟就制定了食品安全政策。目前欧盟已建立相对完备的食品安全风险评估制度体系,能够有效防控食品安全危机。一是构建食品安全风险评估的法律框架,为风险评估工作提供法律依据。欧盟委员会分别于1997年和2000年《食品安全绿皮书》、《食品安全白皮书》,明确了食品安全管理的总体思路,特别是提出了食品安全风险评估的重要性,提出成立欧盟食品安监局作为食品安全风险评估的实施机构,初步奠定了开展食品安全风险评估的制度基础。2002年颁布了EC178/2002条例,明确提出食品安全法应建立在风险评估的基础上,明确提出成立食品安全局(EFSA)进行食品安全风险评估的相关工作。二是建立食品安全的快速预警系统。欧盟在食品安全法的框架下,建立了食品与饮料快速预警系统(RASFF)[6]。根据危急程度不同,预警系统分为预警通报和信息通报两大类。当食品安全出现问题,可能危及人类健康时,成员国可以借助预警系统互通消息,从而减少风险。三是成立专门的食品安全风险评估组织机构,以保证评估工作的科学性与独立性。欧盟食品安全局作为食品安全风险评估和风险交流的专门机构,开展相对独立、科学、公开、透明的风险评估工作。食品安全局组织机构完备,下设管理委员会、执行主任和成员、咨询论坛、科学委员会和科学小组[7]。管理委员会主要负责下年度工作计划和上年度工作总结报告等职责。执行主任公开招聘产生,主要负责日常管理工作。咨询论坛协助执行主任开展工作,负责与各成员国主管机构合作,加强信息交流,充分了解和把握潜在的风险。科学委员会和科学小组负责为决策提供科学建议。科学小组由食品安全领域专家组成,可以组织听证会,加强与公众交流,搜集公众意见。科学委员会则由各小组的主席以及来自科学小组以外的六名专家组成,开展全面协调工作,确保科学建议的准确性与一致性。欧盟食品安全局自动发起或者是应欧盟委员会或其成员国的科学建议请求,必须在规定期限内为欧盟成员国和欧盟委员会提供科学技术支持,尽可能地搜集决策相关信息,在对其进行风险评估的基础上,将评估结果、风险信息等因素一并提供给欧盟委员会及其成员国。

(三)英国国家安全风险评估与城市风险评估体系

英国建立了相对完善的国家安全风险评估和城市安全风险评估机制,能够对国家层面和城市中可能发生的危害国家和社会安全的风险进行有效的防范与控制。英国建立了完备的国家安全风险评估与预测机制,建构了《国家安全风险评估》、《国家安全任务与指导方针》等风险评估与风险应对的防范政策体系。国家安全委员会在广泛了解和分析潜在的国家安全风险的基础上,根据相关的可能性及其影响,促进和协助政府联合其他部门共同面对和化解风险。以英国伦敦为例,其“一案三制”意义上的城市风险管理机制十分完备,堪称城市风险管理的典范,可以为区域内重大事件决策的风险防范提供参考。通常情况下,风险管理分为风险评估与防范、风险控制、风险处置与恢复等环节。在伦敦的城市风险管理中,风险评估程序非常完善。伦敦城市风险评估的基本经验主要体现在以下三个方面:一是依法确立风险评估主体。英国2005年4月正式实施的《国内应急法》明确规定各级政府是风险评估的责任主体,在风险评估与应急规划中担负重要责任。二是建立风险评估的协调机构。美国“9•11”恐怖袭击事件发生以后,伦敦出于对危机事件有效防范的考量,着手建立跨区域、跨部门的风险评估协调机构。伦敦区域应急论坛下设伦敦应急团队,每个论坛的主要职责是对区域内的风险进行识别与评估,使伦敦能有效应对危机事件。三是完善风险评估的基本流程系统。伦敦的城市风险评估工作流程主要分为“选择风险事项、挑选评估者、风险分析、风险评价、风险应对、监控与审查等六大步骤”[8]。选择风险事项阶段,主要由风险评估工作组和各应急论坛的组成部门协同合作,确定风险事项,识别重要的利益相关者,结合区域环境因素确定风险评估的原则与标准。挑选评估者阶段,主要是确定风险评估者及地方应急论坛相关人员在工作中的分工与职责,确定主任评审员的人选,为后续工作奠定组织基础。风险评价阶段,主要由主任评审员负责,对未来五年内可能发生的风险进行分析与建议。风险分析阶段,主要是由主任评审员对风险进行预测、分析,并提出相对详尽的风险分析报告。风险应对、监督与评审已经成为制度化、稳定化的工作,地方应急论坛每四年就要对所有风险提出正式的评审报告。

三、国外经验对我国重大决策社会稳定风险评估的启示

国外关于风险研究的理论与重大事件风险管理的实践都取得了长足进展,而我国重大事件社会稳定风险评估工作尚处于起步阶段,还存在诸多需要完善之处。汲取欧美发达国家重大事件风险管理的有益经验,建立健全我国重大决策社会稳定风险评估机制。

(一)加强重大决策社会稳定风险评估的理论研究

中国重大决策社会稳定风险评估工作已经进入实践阶段,实践中形成了四川“遂宁模式”和江苏的“淮安模式”,但是中国关于重大决策社会稳定风险评估的理论研究还十分匮乏。分析美国环境风险管理的成功经验,美国国家科学院等环境保护的科研机构及专家学者关于环境风险的相关理论研究为政府决策提供了有效的理论依据和方法指引,对保障决策科学性和化解决策风险起到重要作用。中国学者关于风险社会理论的研究集中于风险社会意识形成和风险社会危害等研究领域。这些研究虽然奠定了重大决策社会稳定风险分析的理论基础,能够为风险评估提供理论支撑,但是结合中国社会转型期社会稳定风险的分析不够深入,对于重大决策可能引起的风险认识还不够清晰。中国对于重大决策社会稳定风险评估价值的探讨较多,但是对于如何推进实践的可操作性研究明显不足。风险评估作为一种技术已经在国内外政治社会生活中广泛应用,在国家、部门,特别是企业管理中广泛应用,但是目前中国在重大决策中应用较少,学者提供了风险评估的框架体系,但是缺少细节设计,还有待于对重大决策风险评估的技术方法和实践机制等领域进行深入系统的理论研究。

(二)增强重大决策社会稳定风险评估意识

目前,从中国相关政府部门到社会公众,整体上风险意识淡薄,对于风险管理认识不深入、不够重视,特别是对于重大事件决策与社会稳定风险之间的相关性认识不清,缺乏管控风险的意识。因此,强化对重大决策社会稳定风险评估的意识,为各级政府决策提供软环境。发达国家的风险意识十分强烈,美国20世纪80年代就将环境保护问题上升到与国家安全、国家利益息息相关的重大事件进行管理,对重大事件风险评估与决策十分重视。英国对于国家未来可能发生的重大风险进行识别与防控,也是缘于其高度的风险意识。

(三)完善重大决策社会稳定风险评估的法律制度

欧盟在食品安全管理中,有关食品风险评估的法律制度提前建立起来,为食品风险评估提供法律保障。英国国家安全以及城市风险管理的相关法律制度较早地完备起来,为风险评估工作奠定了制度基础,使风险评估可以按照法律和制度要求系统化、经常化、稳定化地开展。中国对于重大决策风险评估的法律依据尚不充分,所以需要建立健全重大决策风险评估的相关法律政策,为开展重大决策风险评估提供政策依据,保障风险评估工作有序进行。

(四)建立健全重大决策社会稳定风险评估的管理机制

第12篇

关键词:风险导向 现代与传统 审计方式 相互比较

引言

风险审计的基本概念就是指经济活动中,以被审计的企业的风险评估资料为基础,对影响被审计企业的各种因素进行综合分析评估。对审计的对象存在的各种影响因素进行精确分析,最终对其进行量化范围和重要关键部分进行实际审查的一种审计方法。风险导向审计的作用就是着重进行识别和控制风险,风险导向审计时在财务账目导向审计和制度审计的基础上发展形成的。

一、从传统的风险导向审计工作方面分析

进入本世纪以来,由于世界经济极速发展,人类社会都进入了知识经济和信息全球化的时代,在这种世界新形势下企业的生存和发展的外部环境面临着许多新的挑战。如果仍然使用原先传统的审计方式最终不能够很好对完成风险导向审计工作,在变化的过程中被审查的企业已经不再是单个孤立的主体。而传统的风险导向审计的考虑范围就只是仅仅考虑了被审计企业本身的各种因素,而根本就没有考虑到影响到企业发展运行的外部因素。当然,这主要是由我国在建国以后实行的是全民国有制的社会主义计划经济政策决定的。在当时特定的历史环境条件下是基本上是没有外部因素能够影响企业的运行和发展的,因为国家实行的是计划生产、计划分配的制度,所以市场根本就没有其到作用:

(一)从审计角度方面分析

由于传统的审计工作针对的大部分都在计划经济体制下成立的大型国有企业,所以在审计工作中考虑的角度就拿仅仅只是企业本身的生产管理和质量控制问题。许多企业根本就不存在市场竞争,在审计工作中根本就不用考虑市场或者外部因素的变化。在考虑审计影响因素时只能够从企业局部去分析,而不会从企业发展的整个市场生存大环境去考虑,更不会对所有影响因素进行全面的分析。所以传统的风险导向审计工作的考虑范围十分的小,很难从客观上正确真实的反映企业的经营状况。

(二)从风险导向审计工作的思维方面分析

传统的风险导向审计工作基本上都是简单的分析思路。审计模式采用自上而下、从局部到整体的简单模式。,而不是系统全面的进一步分析企业所处的社会外部环境,所以也无法对企业的风险因素进行全面的评估。更不可能把企业的的运行经营风险和企业自身的财务报表结合起来对企业进行整体评估,所以往往用传统方法进行的审计风险评估工作缺乏真实性,不能够用于实际的工作中,因此其审计结果的作用也就十分有限。

(三)从审计方法方面分析

传统的风险导向审计工作基本上都是采用的基本模式下的测试性初级方法,这种评估方法只是简单地将企业表面的风险进行过高的评价,这样就忽略了一些表面因素对风险导向审计工作的影响程度,只是将主要的精力集中在了可人为控制的风险因素方面,对其所采取的也是基本的初级方法,这样对固有的风险因素做出的评估十分地缺乏真实性和可靠性,同时更加不利于从总体上风险评估企业的重大经营问题,最终导致评估失衡。

(四)从审计过程中的事实性参考依据方面分析

传统的风险导向审计思考的审计因素通常哟偶三个方面即固有风险、控制风险、检查风险。传统的的风险导向审计思维模式就是假设三者之间是相互独立的。在现实生活中这三者是不可能完全独立的。其中的固有风险行业控制风险既要受企业各种内外因素的影响,同时还要两者之间还有一定的联系。另外,检查风险部分也不能够完全与控制风险和固有风险彻底隔离开来。因此,传统的的风险导向审计方法得出来的结果十分的有限,不能够充分的反映实际情况。二、从现代的风险导向审计方面分析新的风险导向审计方法主要针对传统方法存在的缺陷进行不断改进和完善的新方法。形成了在传统审计评估考虑的基础上对企业经营的市场风险进行了全面考虑。是战略思考和理论思考 在实际审计工作中运用的新模式。具体的就是专业的会计人员亲自进入企业了解企业经营的真实状况和企业所处的外部环境。通过实质性的测试对企业的自身风险评估审计水平有一个真实的全面的了解。

三、从现代审计方法与传统审计比较进行分析

现代的风险导向审计方法和传统的方法最根本的区别就在审计技术和审计思维方面的不同。具体的也有五个方面:

(一)审计重心的改变

传统的审计方法只注重微观的局部,而现代的审计方法从全方面的对审计对象进行了宏观分析,并将审计的重心放在了风险评估上面,这样十分的有利于控制识别在企业财务会计报表中重大错误信息,并及时地对其进行纠正。

(二)风险审计方式的改变

相对于传统的审计方式而言,现代的审计方式有了巨大的改进,在风险评估的过程中不仅对财务信息进行分析,而且还对非财务信息资料也进行了系统的分析。

(三)获取审计关键依据的改变

现代审计评估获取依据的关键信息主要从企业员工和外部相关人员进行广泛的征集信息,最终对其进行全面的分析。

四、结束语

随着社会经济的快速发展,在风险评估审计过程中的需要从整体的宏观方面对其进行评价;并对企业的经营环境和进行了全方位的评估。充分全面的控制住了企业才财务会计报表上面许多不符合实际情况的信息,新的审计风险评估方法更加有利于企业的长远发展。

参考文献:

[1]张琳琳.现代风险导向审计模式下上市公司审计意见影响因素研究[D].山东财经大学,2012

[2]张杨.现代风险导向审计模式在A会计事务所的应用研究[D].西南财经大学,2011

[3]徐宝华,於超.现代风险导向审计与传统风险导向审计的区别审视[J].消费导刊,2009;10

第13篇

自20世纪80年代起,随着对风险评估问题研究的不断深入,出现了多种风险评估方法和标准。但是,这些方法和标准一般都是针对大型机构或部门的信息系统设计,用于实施风险评估,往往工作量较大,无法适用于中小型信息系统。

因此,在已知的大量实际案例中,风险评估的实施往往没有采用经典的由威胁、脆弱性、资产组成的标准模型,而代之以最佳实践法、资产评估法、基于场景的分析法等方法。其中,最佳实践法侧重于分析对不同类别资产所采取的安全措施;资产评估法重点关注资产在组织层面的价值;基于场景的分析法则依靠测试和分析典型风险场景来实现风险评估。这些方法的问题包括:1、评估过程花费昂贵且耗时过长,评估结果无法及时反应信息系统风险状态;2、安全措施的选择往往并非基于风险模型,而是基于由最佳实践得出的安全措施清单,无法科学地反映被评估系统的问题。

在学术领域,也有不少研究致力于将故障树、事件树、马尔可夫链、FMEA等建模技术应用于风险评估模型的构建。如基于DS证据推理的风险评估模型、基于贝叶斯网络的风险评估模型P]、基于攻击树的风险评估模型等。上述方法的共同缺点包括:假设的主观性较强、风险因素与风险之间关系的识别的复杂性较高、时间较长。

2011年,Lazzerini和Mkrtchyan提出了一种使用具有非线性隶属函数、条件权重及时延权重的扩展模糊认知图(E-FCMs)来分析风险因素和风险之间关系的方法,在该文献中,俩人还提出了一种基于E-FCMs的悲观方法来评估一个系统或项目整体风险的模型,并通过引入适合于风险分析的特殊图示对E-FCMs进行了扩展。但是,本文研究的信息安全风险属于操作类风险,上述方法不能直接用于解决此类风险评估问题。

本文提出了一种基于模糊认知图(FuzzyCognitiveMaps,FCM)的轻量级风险评估方法,方法包括风险模型构建、风险推理两部分。其中,模糊认知图被用于获取资产间依赖关系,基于模糊认知图的推理方法被用于将低级资产(如硬件、软件、信道、人等)的风险整合至高级资产(如服务、数据、业务流程等)。另外,本文还以一个移动办公信息系统为例,对方法的应用进行了研究。

2模糊认知图简介

Kosko最早通过引入模糊值对认知图进行扩展,形成了模糊认知图的概念。大量文献对模糊认知图进行了研究[9],应用范畴包括:系统建模、经济制度发展分析、新技术应用、生态系统分析和医学决策支持等。

FCM是一种有向图,每个节点表示系统中的一个概念,这个概念可以是系统的事件、目标和趋势等,整个模型包含一组概念C={c1,...,c?};有向边表示节点间的因果关系。每个概念节点具有各自的激活水平值,激活水平值一般为[0,1]或[-1,1]的实数,系统状态是各节点激活水平值的n维向量(《=|C|)。

在FCM中,节点间因果关系由边和边的权重表示。连接两个节点C和Cj的边的权重为正,表示c增长将引起C]增长,权重为负则表示c增长将引起c]减小。最简单的FCM仅以值-1,0或1作为边权重,在图中分别用负号㈠边、没有边、正号㈩边表示。为了更精确地定义因果关系,一般会用语言值(如强烈否定、否定、偏否定、中立、偏肯定、肯定、强烈肯定)表示权重,计算时再将这些语言值均匀映射到区间上。

FCM中各节点间的因果关系可以用_的影响力矩阵£=[%]表示,矩阵元素代表连接节点ct和c3的边权重;若两节点间无因果关系,则用0值表示。图1是一个FCM的例子,Cl,C2,C3,C4,C5,C6为概念节点,

带语言值权重的边表示节点间的影响力。影响力矩阵E为:语言值对应的数值选择没有确定的规则,在此采用将语言值均匀映射至区间[-1,1]的选择方式,得到对应的数值为-1,-0.66,-0.33,0,0.33,0.66,1。3基于模糊认知图的风险评估方法各类风险评估标准中均对风险评估的方法的使用方式等有所描述。本文方法与上述方法的主要区别在于,利用FCM模型能够方便快捷地获取资产间的相互影响,并能够在风险的聚合过程中对资产间依赖关系的变化实现追踪。

3.1概念模型

在图2所示的被测信息系统概念模型中,各项资产按其相互关系被连接形成一个资产增值树。其中,低级资产为其上级资产提供服务,顶部节点一关键业务进程由系统业务确定。各资产间的依赖关系在图中通过箭头表示,如图所示:关键业务进程的效用取决于其使用的数据和服务;数据的可用性由数据源(用户、外部数据提供者)提供;服务则依赖于软件、硬件和信道,同时与人员、物理基础设施(建筑物、房间、电力设施)和外部服务(如PKI)等相关。同时,各节点被赋予一定的安全效用值,效用值是资产的完整性、可靠性、可用性等各种安全属性的集合。低级资产效用值的变化将影响到使用它们的高级资产。

与关注于攻击行为或威胁的方法(如攻击树法)不同,本文选择了基于资产的威胁识别方法。在如图3所示的风险基本模型中,资产的效用值可能受威胁的影响而降低,威胁对资产的负面影响可以通过适当的安全措施加以补偿,安全措施本身只能降低风险,而不能增加资产的效用值。图3资产、威胁及安全措施之间的关系

最后,在安全分析的众多领域,被评估风险的大小均与风险可能导致的经济损失有关。作为风险状况的体现,造成损失较小的事件,若数量超过一定值,也需要考虑其效果的累积。

另外,对生命体征监测、航天、铁路管理等安全关键系统而言,部分故障应被视为无法量化的灾难性损失,在评估实施中,应被视作停止系统运行的条件。本文将讨论的移动办公信息系统,安全性要求较为灵活,不将其视为安全关键系统。

为了便于评估的实施,本文作出如下定义:

⑴效用值:一种被赋予资产的数值,取值范围为[-1,1];

⑵风险:与资产相关,预设效用值与推理过程结束时计算出的效用值之间的差值。

3.2 基于模糊认知图的风险评估流程

本文的风险评估流程如图4所示。图中圆角矩形表示流程中的各个环节,实线矩形表示输入输出信息,虚线矩形表示各流程产生的中间结果。

本文基于模糊认知图的风险评估方法由以下六步组成:1、资产识别:此步骤的输入为项目文档、设计方案等能够体现系统现状和体系结构的文件,以及与方案设计人员等的面谈记录。输出为系统的资产列表,包括关键业务、服务、数据、软件模块、硬件、信道、外部数据及服务提供者,以及相关人员及办公场所等。2、构建资产增值树:此步骤的目的是评估低级资产(硬件、软件、信道等)对高级资产(服务和数据)的影响。影响力的大小由与系统建设方讨论确定的语言值来描述。为便于后续推理的实施,此步得出的资产增值树将被表示为FCM影响力矩阵的形式。3、威胁识别:此步骤可使用常见的威胁分类方法(如基于本体),也可根据被评估系统的资产分类来识别威胁。本文采用以资产为基础的威胁识别方法,即所有威胁均针对特定资产。4、单项资产风险评估:此步骤将调査问卷作为基本工具,要求相关人员回答与安全措施相关的问题,同时采用由信息安全领域最佳实践得出的安全措施列表,并对其进行筛选修改,使其适用于特定资产。此步骤的输出是资产的风险值(归一化至[0,1]的实数)。5、风险聚合:此步用FCM推理完成,体现低级资产的风险如何累积影响高级资产的风险状况。此步还包括FCM影响矩阵规范化等其他准备工作。6、结果解析:根据以上计算所得结果,给出系统关键风险的判断并给出安全措施等的建议。

3.3风险聚合一一模糊认知图推理过程

用FCM进行推理的关键在于构建状态序列:a=j(0)j(1),...j(蛛...,该序列以节点激活水平值的初始向量为起点,根据下式算出序列的后续元素:为(+1)=S,(VA.㈨)(2)第(k+1)轮迭代是将矢量A(k)与影响力矩阵E相乘,然后通过一个激活函数将所得到的节点激活水平值映射到预设的范围内。

激活函数的选择与计算模型密切相关,尤其是映射的区间范围以及使用的是连续值还是离散值。本例中,矢量A(k)与各元素绝对值均小于1的n维方阵E相乘,其结果应为一个各元素值均在[-?,?]范围内的向量。因此,激活函数需要满足条件:1、在此区间内的值应被映射至[-1,1](或[0,1])区间;2、应是单调函数,并满足S(0)=0(或S(0)=0.5)。在本文后续的方法应用中,将采用以下两种激活函数:

通常,状态序列a=A(0XA(1),...^4(处...可无限延展。然而,研究表明,在k次迭代后(k是一个接近矩阵E的秩的数字),序列将达到一个稳定状态或产生循环。因此,当推理算法满足下式要求时可停止迭代:2 j<k:d(((k),A(j))<£ (5)其中d是距离,e是一个很小的阈值,如10_2。状态序列a代表了一个非单调的模糊推理过程,推理序列的稳定状态是推理结果。本文的风险聚合过程,就是利用了此推理过程。

4移动办公信息系统风险评估实例

本节将以某移动办公信息系统为例,对本文方法的实施过程及结果进行研究。

4.1 移动办公信息系统介绍

随着移动互联网技术的发展成熟,各行各业的移动办公业务需求不断增长,出现了大量移动办公建设案例。移动办公信息系统的主要应用模式是通过移动终端从业务服务器下载各类业务应用数据,支持移动办公现场业务实施;在上述业务流程中,广泛的信道支持(WiFi、广域网、移动运营商网络等)为其提供了高度的灵活性,TLS等加密协议可以为其提供数据传输的安全性。移动办公人员的地理位置信息等可作为数据库査询的依据,査询结果根据办公人员使用终端类型的不同(个人电脑、平板电脑、智能手机等),用不同的形式自动发送给现场办公人员。另外,从现场采集到的业务相关数据信息作为业务数据库的信息来源被上传并存储在数据库中,为后续的数据统计、业务决策等提供信息支持。

系统中通常也具备为业务管理人员设计的特殊模块,使其能够对系统进行参数配置。此外,系统一般还能够接收其他符合行业数据标准的其他信息系统提供的数据。

系统体系结构如图5所示,(1)移动客户端(智能手机)收集原始数据,通过互联网HTTPS安全通信协议,经(3)SSL认证网关初步验证,并加密发往⑷应用服务器。应用服务器运行系统的主控逻辑,负责授权、数据验证、生成通知,以及与(5)数据库服务器和(6)数据分析服务器之间的通信。数据分析服务器负责完成业务数据的统计分析工作。

4.2 资产识别

本例的资产识别阶段,主要实施方式是组织由被测单位信息部门相关人员参加的访谈及会议,通过对现有的项目文档进行研究,对系统结构进行讨论,明确系统信息安全风险评估所涉及的资产。经研讨,此系统的资产包括:

1、业务过程:现场巡査、业务信息检索、业务信息存储、分析结果获取;

2、服务:数据存储和检索、数据传输、数据分析;

3、数据:现场巡査采集数据、遥感影像数据、配置数据;

4、软件模块:认证、业务应用、资源数据库、移动办公客户端、固网客户端、数据分析软件;

5、硬件模块:认证服务器、应用服务器、数据库服务器、数据分析服务器、智能手机及固网用户主机;

6、信道:通过WLAN、LAN和3G等构建的外部网络(HTTPS协议),内部办公网络(HTTP协议);

7、人员:移动办公用户、固网办公用户、技术人员;

8、其他:由第三方提供的基础设施(通信线路、电力线路)。

4.3 构建资产增值树

图6为本系统的资产增值树,图中各节点就是前一步中识别出的资产,业务过程依赖于软件和硬件模块所提供的服务,并与系统中存储及交换的数据相关。图中资产间的相互关系从系统体系结构的角度考虑确定,边的权重值则根据与系统使用维护人员的访谈确定。权重确定后,即可将其描述为FCM影响力矩阵的形式,本例中用于描述的语言值为:高、明显、中、低、无。例如,现场巡査业务受数据存储和检索、数据传输两项服务的高度影响,受数据分析服务的明显影响。

4.4 威胁识别

目前,在信息安全风险评估中,对威胁的识别一般基于以往经验提供的对攻击源的认知。根据以往经验,在本例中,要考虑的所有威胁,可根据其影响的资产类型分为11类,分别为:(1)过程类,如设计缺陷;(2)软件类,如质量缺陷、缺乏维护、恶意软件;(3)硬件类,如质量缺陷、能量耗尽;(4)通信类,如协议缺陷、服务中断;(5)数据类,如破坏机密性、破坏完整性;(6)外部服务类,如有无PKI等安全基础设施;(7)外部数据类,如数据接口错误;(8)基础设施类,如场地、电力、空调;(9)人员类,与移动办公用户、固网办公用户和技术人员相关的威胁;(10)自然灾害类;(11)经济条件,法律等。

4.5 单项资产风险评估

此环节工作包括两方面内容脆弱性分析和安全措施有效性分析。在实施方式上,此部分评估采用能够反应最佳实践的问卷调査的形式。针对此次的被评估系统,关于威胁与安全措施的调査问卷共针对11组资产设计了约140个问题。

表1为与移动办公客户端相关的风险评估调査问卷。问题根据各类资产的最佳安全实践确定,每个问题涉及一项安全特性。各项问题均根据其对资产整体风险的影响被赋予问题权重^。每个问题最多给出三个答案,各答案均被赋予代表其对资产风险影响程度的风险影响系数qije[0,1]。问题权重W,_及风险影响系数qy利用专家法由专家评分决定。这些权重信息对被调査人员是不可见的。表中星号项为此次问卷调査的回答结果。

至此,资产S的风险值RS可通过将ks个问题a(i=1,...,ks)的答案ay代入式(6)得出。值1和0分别表示是或不是某项答案,即若问题i的答案是答案.则%=1,否则%=0。

其中,w是归一化因子。计算可得,移动办公客户端的资产风险值Rs=0.404,风险值不为0,表明资产面临的威胁不能完全被安全措施控制。

采用上述方法,计算所有低级资产的单项资产风险值,可明确系统中风险值为高、中、低的各类资产,并对高风险资产采取针对性安全措施。

在实际操作中,问卷调査内容的设计过程与模糊认知图的构建过程是同步进行的,问卷中的权重值w,即反映了FCM图中影响值的大小,以数据资产“现场巡査采集数据”为例,在与其有因果关系的下级资产(移动办公客户端、智能手机、移动办公用户)的问卷调査中,选择可能影响上级资产的问题,取其权重的均值,即得到其影响值。

4.6 风险聚合

针对业务过程、服务、数据等高级资产类别,由于其自身的复杂性,无法采用4.5节中的问卷调査方式实施风险评估,因此,本文采用FCM推理实现的风险聚合来完成高级资产的风险计算。

在计算前需先进行影响力矩阵的归一化操作。本例中,原始矩阵用5个语言值(高、较高、中、低、无)来描述,分别对应影响力值{1,0.75,0.5,0,25,0}。对每一行i=1,...,n,影响力值的归一化可按下式完成:

其中,且m是一个正常数(实际计算中常使用m=1.0)。上述归一化过程给出了一个概率分布。假设的分布形式源于博弈论,假设高级资产ah受低级资产an,...,aik的影响,影响系数为em,…,em。如果攻击者选择从一个低级资产发起攻击,那么它应该在能够影响ah的低级元素中选择影响力eMm最高的元素am但是,攻击者对影响力可能作出错误的估计。由此所得的攻击行为概率与错误估计的分布相关,而错误估计一般没有明显的规律。因此,假设错误估计服从双指数分布,就可得到式(7)给出的logit(对数成败比率)模型。

最终,聚合风险的计算需要通过连续使用FCM状态方程(2),构建两个向量序列:无风险序列anr的初始向量为A^(0),在此向量中,表述资产风险属性的所有向量元素都被置为1。而风险序列d的初始向量A\0)是资产风险属性向量A10)与式(6)计算出的风险值RA的差,艮P:Ar'(0)=A'(0)-R4。最后,将anr和d中的相应元素相减,即R(i)=Anr(i)-Ar(i),即可得到聚合风险值序列p=R(0),...,R(i),...。此序列将收敛于表示资产聚合风险的数值。

图7为系统中数据、服务、业务进程三组资产的风险计算的结果。结果分别采用式(3)和式(4)定义的激励函数S-(图(a))和SeXp(图(b))得到。对于函数SeXp,式中常数m的值采用2.0。结果比较表明,两个函数的计算结果趋势一致。

   4.7结果解析分析表明,低级资产的风险会影响高级资产。在本文的评估实例中,大量资产(如移动客户端)的风险是由于系统尚未部署在实际生产环境中,实验环境下大量安全措施(PKI、UPS、物理访问控制措施等)尚未部署所导致的。在实际部署中,需要将这些安全措施启用。

5结束语

第14篇

油田中心处理站在施工过程中的安全风险具有以下特点:

1.风险种类多。油田中心处理站施工过程复杂、工序多,几乎涵盖了所有的建筑安装行业风险,主要风险包括:大型吊装、高处作业、受限空间、临时用电、挖掘作业等。

2.作业环境影响大。在不同的作业环境下,同种作业的风险危害程度差别很大。同种作业,分别在地面上、管架上、罐体内进行,其危害因素构成和风险等级有很大的区别。

3.交叉作业多。油田中心处理站项目的施工活动集中,投入的人力、物力大,涉及的专业多,在时间和空间上深度交叉,增加了安全管理和协调的难度。

4.自然环境增加安全风险。目前中国的大多数海外石油项目分布在自然环境恶劣的国家,比如非洲和中东地区夏季气温常常高于50℃,对员工健康和安全造成了很大威胁。

二、安全管理策略和措施

油田中心处理站项目的施工特点及海外环境的制约,对项目的安全管理提出了很高的要求和挑战。作为EPC总包商,要充分发挥其资源优势和总体控制能力,前移管理端口,提前干预,具体措施如下:

1.通过HSE管理体系建设带动各项安全工作的开展要以HSE管理体系建设为主线,通过分解体系要素,落实各级安全生产责任,完善各项管理制度和操作程序,逐渐实现安全管理的制度化和程序化。按照“PDCA”(计划-实施-检查-整改)管理模式,持续改进现场的HSE表现。加强“有感领导”,营造全员参与安全生产的氛围。

2.动态管理安全风险风险管理是施工现场安全管理的基础,所有安全措施的制定都应建立在危害识别和风险评估的基础上。要针对施工活动的复杂性和风险变化快的特点,对风险进行动态管理。既要对项目的整体风险进行评估,找出重大风险加以控制,还要加强每个阶段、每个施工活动、每个岗位的风险评估,特别是当作业环境发生变化时,应及时进行危害识别和风险评估,并据此制定相应的控制措施。

3.提前干预,从源头消除不安全因素海外项目的很多安全问题发生在施工现场,但问题的根源却在于施工组织和施工准备。针对海外项目安全管理中常见问题,提前干预,防患于未然,重点做好以下工作:

1).做好分包商安全设备设施的审核。总包商要根据工程总量,结合项目工期等加权因素,对分包商安全设备设施的数量进行评估,对于安全设备设施严重不足的,通过合同手段对其提出要求,促其整改,确保安全设备设施数量充足。对于脚手架等影响较大的安全设备设施,要提前发运,为现场施工做好准备。

2).做好关键岗位人员的审核。总包商应建立分包商关键岗位人员的审核机制。审核对象包括分包商的安全主管领导、安全人员、特种作业人员、作业队长和班组长,通过审核确保关键岗位人员配置齐全,具备基本的安全素质。对于不符合要求的人员不允许办理出国动迁手续。

4.明确总分包商安全管理界面通过合同化管理,规范分包商的安全生产行为。总包商与分包商签订《安全生产合同》,明确总分双方的安全生产责任和义务。

5.科学实施HSE培训培训是快速提高人员安全素质的有效途径。在HSE培训方面,应做好以下三个方面的工作:

1).识别培训需求,针对性开展培训。通过员工的HSE表现、违章数据分析等方式,识别出不同人群的HSE需求,建立培训矩阵,针对性地开展培训,提高培训质量。

2).强化基层培训。安全管理的重点在操作层,操作层的重点在班组。要积极开展班组安全操作规程、岗位危害识别培训,不断提高基层员工的风险识别能力和安全操作技能。

3).培训方式要多样化。现场HSE培训不仅包括课堂培训,还应根据现场实际拓展培训形式,如专题培训、班前会、案例教育等。

三、结语

第15篇

【关键词】内部控制 财务报表审计 整合

1.整合审计的依据分析

对企业内部控制的审计可由企业聘请注册会计师单独进行,也可将内部控制审计与财务报表审计两项交由聘请的注册会计师进行整合审计,此为我国现行法规规定所允许,也是整合审计的政策依据根据国外的内部控制审计的实践及研究成果,高成本制约着内部控制审计的发展进程。如果对两者单独进行,可能存在以下问题:由于不同注册会计师的业务水平和思想认识不同,对同一企业内部控制的评价认识上可能出现不一致;不同的注册会计师由于所确定选择的审计范围和审计方法不同以至于形成不同甚至相互矛盾的结论;不同的注册会计师进行审计,两者工作得不到互相对接和印证。另外还造成工作量叠加,重复劳动等不利结果,这样势必影响内部控制审计的质量以及效果和效率,这为两者的整合审计提供了必要性。

因此,应内部控制审计和财务报表审计进行必要的整合,提高注册会计师的审计质量和效果,节约审计资源,为内部控制的有效性提供合理保证,为财务报告的可靠性提供支撑,促使内部控制审计在我国的顺利实施,为经济发展保驾护航。

2.审计计划阶段的整合

内部控制审计和财务报表审计都需要编制计划,但由于审计的具体目标不同,计划的内容会各有所侧重。风险评估、公司经营的规模及相对复杂程度、利用相关人员工作等方面是注册会计师在计划内部控制审计时所要主要关注的。而在计划财务报表审计时则要考虑被审计单位行业状况、风险评估程序、拟实施的审计程序的性质、范围和时间等。

由于是同一会计事务所对同一被审单位进行进行两项审计,尽管两者审计的审计计划内容存在差异,但是在制定计划时考虑的内容有很多相同之处,因此可以对审计计划进行整合,编制一份审计计划,对不同的部分分述,相同或相关的部分进行整合列示。比如在计划中都要说明被审计单位的概况,确定的审计范围、重大错报风险的领域、关于相关人员的利用以及拟依赖程度、确定相同的重要性水平等,对上述方面可整合列示进行。

3.审计实施阶段的整合

3.1审计方法的整合

内部控制审计和财务报表审计采用的审计方法策略不同,分别采用是自上而下审计方法和风险导向审计方法,但是两者都在重大错报风险的识别、评估和应对审计工作中发挥作用。自上而下的方法要求注册会计师首先应了解并测试企业层面控制、业务层面控制、然后引导其找出可能会导致财务报表发生重大错报的账户、列报及认定上,也体现了风险导向的特点。财务报表采用的风险导向审计最主要的特点是突出了对重大错报风险评估,并以此为基础开展剩下的审计工作,可见两者都贯穿了风险导向的审计理念。内部控制审计中对内部控制的识别和测试,为注册会计师在财务报表审计中所进行的风险评估提供了佐证依据,而财务报表审计中所作的风险评估,使注册会计师在内部控制审计中强化了对内部控制深入了解。

3.2审计程序的整合

在内部控制审计中,注册会计师通常需采取识别企业层面控制、业务层面控制、与舞弊风险相关的控制,识别错报的可能来源 、控制测试、评价控制缺陷等程序。注册会计师进行的财务报表审计程序分为风险评估程序、控制测试和实质性程序三方面。从以上论述可见两者的审计程序在风险评估和控制测试方面相重合,可以进行必要的整合。比如,针对风险评估方面,两者都要进行,但评估结果满足两者的不同需要,内部控制审计可以根据评估结果,确定重大缺陷的高风险领域,关注重要的账户及认定,确定对相应控制的测试,决定针对特定控制所需收集的证据;财务报表审计则根据评估结果,确定重要性水平,识别和评估财务报表层次的重大错报风险,识别需要特别考虑的领域,设计和实施进一步审计程序。

3.3审计证据的整合

为了合理保证审计目标的实现,支撑两种审计得出结论,注册会计师必须获取充分、适当的证据。采取有效方式收集相关审计证据,无论是对于内部控制审计还是对于财务报表审计都是其工作的核心环节。尽管两者在审计证据收集的方法、时间方面有重大区别,但并不影响两者在审计证据方面的整合,工作成果的相互利用。

进行内部控制审计,需要对期末财务报告内部控制的有效性发表意见,因此,倾向于获取时点的证据,注册会计师往往在接近管理层内部控制评估日,测试内部控制,采用检查记录、观察、询问、穿行测试等方法,收集必需的审计证据。

在财务报表审计中,审计证据的收集方法包括盘点、审阅、观察、询问、函证、分析性程序、重新执行和重新计算等。财务报表审计收集的是期末整个时段的证据。

4.完成审计工作的整合

在完成审计工作阶段,注册会计师应当取得企业的书面说明,通过对各种来源的证据的分析评价,得出审计结论。

注册会计师在出具审计报告前,内部控制审计和财务报表审计都需要就有关事项进行必要的沟通,对此时段的工作可以进行必要的整合。在沟通过程中,注册会计师可用充分的证据,说明企业内部控制存在的问题,内部控制无论是设计失效还是运行失效都会影响到企业的发展,影响到财务信息的可靠性,使企业对内部控制存在的问题有清晰、透彻的了解,认识到内部控制的重要与必要性,为企业的持续健康发展提供保障。这样也兼顾考虑了社会效益和注册会计师的长远利益,树立注册会计师经济卫士的良好形象。

综上所述,合理保证会计报表的公允性是财务报表审计目标,合理保证内部控制的有效性是内部控制审计的目标,只因他们有着的共同目标:为了报表使用者获得可靠的财务信息,促进企业战略目标的实现,两者的整合才具有了广泛的意义。两者的关联性,为整合审计提供了可能。整合能够节约审计资源、降低成本,为整合审计提供了必要性。但我国刚刚实行注册会计师内部控制审计,有很多问题需要探讨,而整合审计更有待进一步的实证检验过程。

参考文献:

[1]张龙平、陈作习.财务报告内部控制审计与财务报表审计的整合研究(上)[J].审计月刊.2009(5):10-12