首页 > 精品范文 > 风险评价与风险评估的区别
时间:2023-11-24 11:06:26
序论:写作是一种深度的自我表达。它要求我们深入探索自己的思想和情感,挖掘那些隐藏在内心深处的真相,好投稿为您带来了七篇风险评价与风险评估的区别范文,愿它们成为您写作过程中的灵感催化剂,助力您的创作。
采用滑坡风险评估三要素的方法,即:风险区划(R3)、风险概率(RP)、风险损失(Rh),对汶川大地震极震区10个县市26000km2面积区的震后滑坡风险进行了评估。结果显示,区内高风险区仅占9.03%面积,但承担42%的滑坡发生概率和滑坡损失风险贡献;较高风险区占14.61%面积,承担25%的风险贡献;中风险区占22.28.%面积,承担19%的风险贡献;低风险区占37.93%面积,承担11%的风险贡献;无风险区占16.15%面积,承担3%的风险贡献。震后由于采取了有效的避险措施,滑坡风险明显降低的结果。
关键词:
汶川8.0级地震;极震区;滑坡;风险评估
地震滑坡风险评估与常规滑坡风险评估相比多了“地震”因素条件,在评估的结构和方法上两者的不同之处何在?对于这一问题,国内外可供参考的文献极少[1-3]。笔者认为地震滑坡风险评估与常规滑坡风险评估两者的区别主要应该体现在风险评估结构模型(即:风险区划=危险度评估×易损度评估)中的危险度评估。评价地震滑坡风险只能通过滑坡危险性评估指标因子与地震相关因子的结合,才可能反映地震因素的影响作用。地震滑坡是在地震瞬间被地震动诱发的,地震动能量通过震源和发震断层释放,一次地震过程中距震中或断层不同距离上分布的滑坡数量和规模差异性很大。因此在危险度评估中,可以通过增加地震滑坡震中距和发震断层距等与地震相关的作用因子,来提高地震滑坡危险度评估中地震与滑坡的关联度。而在风险评估中,地震因素的直接作用不能被直接反映。如汶川地震发生后,地震灾区的建筑物基本都提高了抗震结构设计标准,区域空间的建筑承灾体的易损性都明显降低。随着灾区建筑物的易损性普遍降低,统计指标中也难以体现出与常规易损性指标的差别。只要在危险度评估中增加了地震因子作用,建立在滑坡危险度和易损度区划基础之上的地震滑坡风险评估,就可以反映出地震因素的作用了。因此,地震滑坡风险评估与常规滑坡风险评估的主要差别应该体现在危险度评估中滑坡与震源相关性因子选取上。本文选择汶川地震极震区(I0≥ⅩⅠ)10县市(面积26175.77km2)为研究区域,探索了地震滑坡风险评估方法。
1地震滑坡风险分布(Rs)
根据文献[4]中的滑坡风险分类方法,不同类型滑坡风险的研究深度不同,应用范围也不一样。因此滑坡风险研究应该具有不同的目标性和实用性,可以针对不同层次需要,采用不同阶段的风险研究目标和方法解决需求。不同阶段的风险评价方法也不相同。按照文献[4]中的风险层次链实施阶段划分,笔者在完成汶川地震极震区滑坡风险区划的基础上[5],根据滑坡风险综合评估三要素的原则。式中:RS为风险分布;RP为风险概率;Rh为风险损失。对汶川地震极震灾区(I0≥Ⅹ)的汶川、都江堰、彭州、茂县、什邡、绵竹、安县、北川、平武、青川10县市(面积26175.77km2)进行了地震滑坡风险综合评估。其中,地震滑坡风险分布是采用地震滑坡风险区划方法确定;地震滑坡风险概率,通过对震后降雨滑坡发生概率统计方法确定;地震滑坡风险损失,根据滑坡受灾面积的损失率方法确定。地震滑坡风险评估与常规滑坡风险评估的差别主要体现在滑坡风险区划的要素中,而其它要素中是难以反映出地震因素的作用。汶川地震极震区的滑坡风险分布可通过全区滑坡风险区划获得。采用GIS技术在研究区1:5万DEM、DRG、20万地质图、1:5万土地利用图的基础上,分别对滑坡危险度的10项因子指标、承载体易损度的5项因子指标进行权重叠加,按照5级划分标准经过区划划分,获得地震滑坡风险的分布结果。
2地震滑坡风险概率(RP)
地震滑坡风险概率与滑坡发生概率成正相关关系,滑坡随机发生的次数越多,存在的风险概率越大。从宏观区域滑坡发育规律分析,大地震诱发的滑坡后期复活主要受降雨因素的控制。因为再次发生大地震或余震具有不确定性,作为诱发因素参加滑坡事件概率统计的难度太大。震区降雨型滑坡后期活动是转化泥石流并造成大面积受损的主要致灾因素。所以,地震灾区的滑坡风险概率应该由震后降雨滑坡的时间及空间分布概率所决定。
2.1滑坡时间概率采用文献[6]中的降雨滑坡概率计算方法,可以分别得到降雨滑坡的时间和空间分布概率。时间概率表示在给定降雨临界值和时间的情况下,发生滑坡的时间概率。
2.2滑坡空间概率空间概率表示按风险区面积为单元的滑坡分布概率。式中:P'为空间概率;x为降雨滑坡分布密度系数(x=md/s、其中m为不同危险度区降雨滑坡数;d为样本分区区间;s为不同危险度区总面积。采用式(5),对极震灾区10县市震后的降雨滑坡与地震滑坡进行统计计算,获得空间概率。
3地震滑坡损失评价(Rh)
在地震滑坡风险区划的基础上,可以通过对各风险区滑坡受损面积与滑坡风险区面积之比,评估滑坡灾害可能造成的受损率。受损率不是经济指标的评价关系,仅仅代表滑坡破坏范围的概率。受损率预测对灾区人员伤亡情况是难以准确评估的[7-13],因为这与人们防灾意识和政府防灾管理程度密切相关。根据文献[3]中的滑坡受灾面积统计模型,可以对滑坡风险分布区内每一处滑坡受灾面积与滑坡风险区面积进行受损率统计。在实际滑坡风险损失评估中,由于在获取当地经济产量和固定资产资料信息的限制,如,经济总量、建筑物、基础建设、农业、林业、工业、水利等等,所以得出的经济损失评估结果往往可信度较低。之前采用各种方法作出的经济损失评估与实际情况一般差距较大。所以对区域滑坡灾害发生前的损失预测评估,可以采用滑坡直接受损面积与风险区面积的比率Rh评估可能造成的损失范围。根据式(6),可以统计汶川地震极震区全区滑坡风险区的滑坡受损情况(表7)。以上统计结果,无论对极震灾区全区的滑坡风险受损率,还是极震灾区各县市滑坡风险受损率,都可以看出未来滑坡风险的受损率一般不是太高。全区的高风险区受损率仅可能达到11%,其他风险区的损失率更低。
险综合评估(R珔)
在完成以上准备之后,可以对汶川地震极震区滑坡风险进行综合评估。根据表1、图1表示的汶川地震极震区滑坡风险分布,表2、表3表示的汶川地震极震区滑坡概率,表4表示的汶川地震极震区滑坡风险受损率的统计结果,评价5类滑坡风险区可能分别承担的风险损失概率。式(8)表示风险综合评估(珔R)是评价5类滑坡风险区域面积中(Rs),将可能(概率Rp)分别对应承担滑坡风险损失(受损率Rh)的贡献率(γ)。采用式(8),可得到表10、图3所示的综合评估结论。式(9)说明,随着滑坡风险区的等级变化,综合风险贡献与风险等级呈线性函数发展关系,并且相关性好。采用以上方法,对汶川地震极震区各县市滑坡风险进行综合评估,也可获得各自的评估说明和规律曲线模型。
5结论
地震滑坡风险评估包括三方面的内容,即风险分布评价、风险概率评价、风险损失评价。而单一的风险评价不能真正代表风险评估的内容。本文根据评估的原则对汶川地震极震区10个县市的滑坡风险进行了综合评估。地震发生后,由于政府采取了滑坡危险地带主动搬迁避让的恢复重建措施,极震灾区的滑坡风险明显降低。滑坡风险主要由全区9.03%面积的高风险区承担。其余区域的滑坡风险很小,所以极震灾区大部分区域是安全的。风险评估中,滑坡风险损失评价是一项比较难以确定的指标。目前的统计方法还达到不到包括人员在内的损失评价,只能满足固有资产的统计。因此可能使滑坡综合风险评估内容有所不足。
参考文献:
[1]王启亮,孟朝霞.地震滑坡风险分析研究[J].中国地质灾害与防治学报,2010,21(3):14-16.
[2]韩金良,燕军军,吴树仁.四川汶川M8级地震触发的典型滑坡的风险指标反演[J].地质通报,2009,28(8):1146-1155.
[3]乔建平.第10章汶川大地震滑坡风险评估[M]//大地震诱发滑坡分布规律及危险性评价方法.北京:科学出版社,2014:324-374.
[4]乔建平,王萌.滑坡风险的类型与层次链[J].工程地质学报,2010,18(1):84-90.
[5]乔建平,王萌吴彩燕.汶川大地震滑坡风险区划研究[J].工程地质学报,2015.23(2):1-7.
[6]乔建平,杨宗佶.滑坡风险评估的三要素[J].工程地质学报,2012,20(1):1-6.6
[7]许飞琼.灾害损失评估及系统结构[J].灾害学,1998,13(3):80-83.
[8]常胜,曾克峰.恩思州地质灾害损失评估方法研究[J].湖北民族学院学报,2005,23(4):402-404.
[9]谢全敏,李道明.翟鹏程.滑坡次生灾害损失评估方法研究[J].岩土力学,2007,28(5):961-970.
[10]吴红华.灾害损失评估的灰色模糊综合方法[J].自然灾害学报,2005,14(2):115-118
[11]潘晓红,贾铁飞,温家洪,等.多灾害损失评估模型与应用评述[J].防灾科学学院学报,2009,14(2):77-88
[12]赵红蕊,王涛,石丽梅.芦山7.0级地震震后道路损毁风险评估方法研究[J].灾害学,2014,29(2):33-37.
关键词:风险导向审计;审计模式;适用性分析
随着国内外重大审计失败事件的不断发生,风险导向审计作为一种重要的审计理念和方法,受到审计职业界和学者的关注。中国注册会计师协会在2004年10月了新的审计风险准则征求意见稿,要求注册会计师在审计中使用现代风险导向审计方法,实施风险评估程序,降低审计风险,提高审计质量。如果审计风险准则一旦正式生效,将使我国的审计风险准则与国际接轨,并引导中国注册会计师实务由传统风险导向审计向现代风险导向审计转变。因此,对现代风险导向审计模式的理解以及在我国的适用性分析就显得十分重要。
一、风险导向审计概述
随着社会经济的发展变化,审计方法适应审计环境的变化经历了三个发展阶段:一是审计发展的早期,由于企业组织结构简单、业务性质单一,注册会计师的审计工作目的是为了促使受托责任人在授权经营过程中做出诚实、可靠的行为,审计方式是详细审计。审计的重心在资产负债表,是对会计凭证和账簿的详细审计,旨在发现和防止错误与舞弊,这种审计方法就是账项基础审计方法(accountingnumber-basedauditapproach)。二是从1950年代起,以内部控制测试为基础的抽样审计在西方国家得到广泛应用,这种审计方法重点在于注册会计师了解、测试和评价内部控制设计的合理性和执行的有效性。对内部控制存在缺陷的环节,注册会计师通常将其涉及交易和账户余额作为审计的重点,甚至进行详细审计;对于可以信赖的内部控制环节,通常将其涉及的交易和账户余额进行抽样审计,以提高审计效率和降低审计费用。从方法论的角度,这种审计方法被称作制度基础审计方法(system-basedauditapproach)。三是1970年代以后,由于制度基础审计方法显露缺陷,一种新的、以风险防范为基础的风险导向审计模式逐渐兴起,从方法论的角度,注册会计师以审计风险模型为基础进行的审计方法称为风险导向审计方法(risk-orientedauditapproach)。
回顾审计方法的发展历程,风险导向审计模式已成为审计方法发展的国际趋势。风险导向审计模式合理地扬弃了作为制度导向审计模式基础的“无利害关系假设”,把指导思想建立在“合理的职业怀疑假设”的基础上,不只依赖对被审计单位管理层所设计和执行内部控制制度的检查与评价,而且实事求是地对公司管理层是否诚信、是否有舞弊造假的驱动始终保持一种合理的职业警觉,将审计的视野扩大到被审计单位所处的经营环境(微观、中观乃至宏观),将风险评估贯穿于审计工作的全过程。与传统的制度基础审计相比较,主要有以下区别:
(一)审计模式不同
制度基础审计模式以内部控制为核心,对控制风险的评估仅通过确定内部控制的可依赖程度来减少实质性测试的工作量,而对固有风险的评估常流于形式;风险导向审计模式不仅通过内部控制评估控制风险,还结合其他风险因素尤其是固有风险综合考虑,通过对企业环境、发展战略、公司治理结构等方面的评估,发现其潜在的经营风险及财务风险,并评估财务报表发生重大错报的风险,以便使审计风险降至可接受水平。
(二)审计基础不同
制度基础审计以内部控制制度为基础,根据被审单位内部控制制度的健全性及符合性评审结果,确定实质性测试的范围和重点;风险导向审计则以风险评估为基础,对影响被审单位经济活动的多种内外因素进行评估,确定审计范围、重点和方法,其不仅重视与内部控制系统直接相关的因素,而且重视各种环境因素。
(三)审计方法不同
两种审计模式都采用抽样技术,但风险导向审计是通过建立审计风险模型将风险量化。因此,相对于制度基础审计来说,风险导向审计的抽样技术是更完全意义上的审计抽样,更注重利用分析性测试方法,从而可以有效降低审计风险。
二、风险导向审计的两种模式
风险导向审计自产生以来经历了两个阶段,理论界把以传统审计风险模型“审计风险=固有风险×控制风险×检查风险”为基础进行的审计称为传统风险导向审计模式;而将1990年代后期开始,在国际会计师事务所内部推行并逐渐被审计理论与实务界接受的,以“审计风险=重大错报风险×检查风险”的模型为基础,以被审计单位的经营风险为导向的审计方法称作现代风险导向审计模式。
传统风险导向审计模式与现代风险导向审计模式的本质区别在于审计理念和审计技术方法的不同,后者是对前者的改进,其主要区别如下:
(一)审计起点不同
传统风险导向审计运用的审计风险模型中,固有风险是指假定不存在相关内部控制时,某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报的可能性。控制风险是指某一账户或交易类别单独或连同其他账户、交易类别产生错报或漏报,而未能被内部控制防止、发现或纠正的可能性。传统风险导向审计方法通过综合评估固有风险和控制风险以确定实质性测试的范围、时间和程序,由于固有风险难以评估,审计的起点往往为企业的内部控制(如果没有必要测试内部控制,审计的起点则为会计报表项目)。
现代风险导向审计方法通过综合评估经营控制风险以确定实质性测试的范围、时间和程序,其审计起点为企业的战略系统及其业务流程。如果企业的业务流程不重要或风险控制很有效,则将实质性测试集中在例外事项上。这种新模式的优点是将审计的重心前移到风险评估,这将有利于充分识别和评估会计报表重大错报的风险,因此,主要针对风险设计、实施控制测试和实质性测试程序。此外,注册会计师容易全面掌握企业可能存在的重大风险,有利于节省审计成本,克服因缺乏全面性观点而导致的审计风险。
(二)风险评估识别以分析性复核程序为中心
现代风险导向审计注重运用分析性复核程序,以识别可能存在的重大错报风险;而传统风险导向审计对于信息的再加工程度不够,其分析性程序主要用在报表分析上。分析性复核程序已成为现代风险审计方法最重要的程序,为了适应分析性程序功能扩大的要求,分析性程序开始走向多样化:在数据分析上不但要对财务数据进行分析,也要对非财务数据进行分析;在分析工具上借鉴现代管理方法,把战略分析、绩效分析、财务分析及前景分析等分析工具运用到风险评估之中,使风险因素不再惟一,变一元风险评估为多元风险评估,使得出的风险评估结果更加可靠。
(三)风险评估方式由直接评估转变为间接评估
传统风险导向审计的风险评估是一种直接的方式,即直接评估重大错报的概率。现代风险导向审计模式是从经营风险评估入手,间接地对审计风险进行评估,因为经营风险越高,审计风险也越大,也就是管理舞弊的可能性越大;并且从经营风险中能更有效地发现财务报表潜在的重大错报,因为财务报表是经营的反映,如果经营风险未能在报表中得到体现,则财务报表很可能失真。此外,会计政策、会计估计的合理性评估也只有从经营风险入手,才能进行正确的评估。
(四)审计程序实施具有个性化
传统风险导向审计模式审计程序是标准化形式,对不同的被审计单位都使用标准相同的审计程序,其缺陷是没有足够贯彻风险导向审计思想,使注册会计师无法突破客户预先设置或防范的措施,难以做出正确的审计结论。现代风险导向审计方法要求注册会计师将评估及识别的审计风险与实施的审计程序相结合,针对不同客户以及客户不同的风险领域实施个性化的审计程序。
(五)审计证据的内涵扩大
在现代风险导向审计方式下,审计重心向风险评估转移,审计证据也由内部向外部转移。因此,注册会计师必须充分了解企业整体经营环境,由此评估客户的经营及审计风险,同时必须从外部取得大量的外部证据来证明风险评估的恰当性。风险导向审计模式下,注册会计师形成审计结论所依据的审计证据不仅包括实施控制测试和实质性测试获取的证据,还包括了解企业及其环境获取的证据。
(六)扩充了内部控制要素
传统风险导向审计方法下的内部控制是指被审计单位为了保证业务活动的有效进行,保护资产的安全和完整,发现、纠正错误与防止舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。内部控制要素包括控制环境、会计系统和控制程序。现代风险导向审计方法下的内部控制是指被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵循,由治理当局、管理当局和其他人员设计和执行的政策和程序。内部控制的三要素扩充为五要素,即控制环境、被审计单位的风险评估过程、与财务报告相关的信息系统和沟通、控制活动和对控制的监督。
(七)对注册会计师的专业知识提出了更高要求
现代风险导向审计对注册会计师的专业素质提出更高要求,其重心从会计、审计知识转向管理和行业知识。现代风险导向审计下审计结果主要依赖风险评估,风险评估的各种分析方法要求掌握现代管理知识和行业知识(包括市场、研发、生产等方面),这对注册会计师提出了更高的要求。注册会计师应该是复合性人才,不但要掌握一般常用分析工具,还要接受现代管理知识和行业专业知识训练。
三、现代风险导向审计模式在我国的适用性分析
基于上述分析,现代风险导向审计模式是审计发展的一种必然趋势。2003年10月,国际审计与鉴证准则委员会(IAASB)通过了新的审计风险准则;中注协也在2004年10日了修订后的审计风险准则征求意见稿,不仅将使我国的审计风险准则与国际接轨,同时也为提高审计质量、降低审计风险提供了技术支持。审计风险准则一旦正式生效,将引导中国注册会计师实务由传统风险导向审计向现代风险导向审计转变,会对我国的注册会计师审计理念、审计程序及审计责任产生非常大的影响。
然而,目前要在我国推行风险导向审计模式还存在一定的制约条件和需要解决的问题:
(一)会计师事务所审计成本与效益问题
实施风险导向审计模式的前提是成本能得到补偿。现代风险导向审计模式在审计计划阶段和执行控制测试阶段,注册会计师关注的范围扩大,程度加深,导致工作时间和审计成本的增加,在市场竞争激烈的情况下,成本的增加往往不可能过渡到收费的同步增加。此外,还需要一定的投入来培训注册会计师,使他们掌握业务流程和行业知识等有关方面的知识。如果这些成本得不到补偿,就会使一部分中小会计师事务所在竞争中无法生存。
(二)信息系统的建设问题
现代风险导向审计的重要特征是审计重心前移,注册会计师必须首先执行风险评估程序,充分了解客户整体经营环境,然后针对风险不同的客户、客户不同的风险领域,设计个性化的审计程序。因此,会计师事务所必须建立强大的信息系统,以便注册会计师在风险评估时了解企业的战略、流程风险管理、业绩衡量等。而目前国内很多事务所对行业风险和企业经营风险缺乏了解,客户的相关信息不够充分,信息系统的建设还达不到现代风险导向审计的要求,导致风险评估不准确。因此,风险导向审计的运用仅限于老客户,对新客户还是将大量时间用于实质性测试。
(三)审计从业人员素质问题
现代风险导向审计对审计从业人员的业务素质提出了新要求,不仅要具备丰富的审计理论和实践经验,还要具备必需的管理学知识和经济学知识,能够运用系统的、战略的观点充分了解、分析企业所处的宏观经济环境和行业发展状况,对有可能导致企业会计报表错报风险的内外部因素进行客观、系统的分析与评价,将审计视角扩展到内部控制以外,从较高层面上评估风险,而不是仅仅注重企业会计处理的细节。
(四)辅助审计软件的使用与完善问题
现代风险导向审计方法中分析性程序占据非常重要的地位,辅助审计软件的使用在其中发挥着重要的作用。西方发达国家大量运用分析性程序的条件是辅助审计程序的开发和运用,它可以直接对数据库进行加工分析,依据软件模型自行处理数据,使运用分析性测试程序成为节约成本的重要手段。另外,采用审计软件使统计抽样的样本更具代表性,审计抽样风险可控,为风险导向审计提供了技术支持。目前,我国在审计软件的开发和使用上不够理想,还有待提高,而且大部分注册会计师缺少相应的技术准备,在现阶段推行现代风险导向审计方法只能是一种愿望。
如上所述,目前在我国全面推行现代风险导向审计模式还受到许多制约,尽管它有很多优越之处,但在我国还不能够普遍推行。当前我国独立审计准则主要是以制度基础审计模式为基础的,而且相当一部分从事小规模企业审计工作的会计师事务所和注册会计师,基本上仍然在运用账项基础审计模式。但是,现代风险导向审计的实行是一种理念的改变,我们可将制度基础审计与风险导向审计有机结合。即使在现行审计准则仍然主要以制度基础审计模式为基础的情况下,吸取风险导向审计模式的基本观点和做法,则是完全可行的。通过把风险导向审计中控制风险的理念和方法融合到制度基础审计中,使其他审计模式忽略审计风险的缺陷得到弥补,将会为探索适合我国的现代风险导向审计模式积累有益的实践经验。
参考文献:
〔1〕陈毓圭。对风险导向审计方法的由来及其发展的认识〔J〕。会计研究,2004,(2)。
〔2〕常勋,黄京菁。从审计模式的演进看风险导向审计〔J〕。财会通讯,2004,(7)。
关键词:电子政务外网;等级保护测评;风险评估;风险评估模型
中图分类号:TP311 文献标识码:A 文章编号:1009-3044(2014)34-8337-02
1 等级保护背景下的电子政务外网风险评估
电子政务外网提供非的社会公共服务业务,全国从中央各部委、到省、市、县,已经形成了一张大庞大的网络系统,有的地方甚至覆盖到了乡镇、社区村委会,有效提高了政府从事行政管理和社会公共服务效率。今后凡属社会管理和公共服务范畴及不需在国家电子政务内网上部署的业务应用,原则上应纳入国家政务外网运行,它按照国家政务外网统一规划,建立网络安全防护体系、统一的网络信任体系和信息安全等级保护措施。
随着政务外网的网络覆盖的扩大及接入的政务单位越来越多、政务外网应用的不断增加,各级政务移动接入政务外网的需求也在增加,对政务外网的要求和期望越大,网络安全和运维的压力也越大,责任也更大。由于政务外网与互联网逻辑隔离,主要满足各级政务部门社会管理、公共服务、市场监管和经济调节等业务应用及公务人员移动办公、现场执法等各类的需要,网络和电子政务应用也成为境外敌对势力、黑客等攻击目标。随着新技术的不断涌现和大量使用,也对电子政务外网网络的安全防护、监控、管理等带来新的挑战。按照国家政务外网统一规划,建立网络安全防护体系、统一的网络信任体系和信息安全等级保护措施是必须的。
为保障电子政务外网的安全有效运行,我们应以风险管理理念来统筹建设网络和信息安全保障体系。在国家信息系统安全等级保护的大背景下,2011年国家信息中心下发了《关于加快推进国家电子政务外网安全等级保护工作的通知》,强化了电子政务外网的等级保护制度以及等级测评要求,要求对政务外网开展等级测评,全面了解和掌握安全问题、安全保护状况及与国家安全等级保护制度相关要求存在的差距,分析其中存在的安全风险,并根据风险进行整改[1]。
系统安全测评、风险评估、等级测评都是信息系统安全的评判方法[2,3],其实它们本没有本质的区别,目标都是一样的,系统安全测评从系统整体来对系统的安全进行判断,风险评估从风险管理的角度来对系统的安全状况进行评判,而等级测评则是从等级保护的角度对系统的安全进行评判。不管是系统安全测评[1]、风险评估、等级测评,风险的风险与计算都是三者必不可少的部分。
2 电子政务主要风险评估方法简介
电子政务外网风险评估有自评估、检查评估、第三方评估(认证)评估模式,都需利用一定的风险评估方法来进行相关风险的评估。从总体上来讲,主要有定量评估、定性评估两类。在进行电子政务系统信息安全风险评估过程中,采用的主要风险评估方法有:OCTAVE、SSE-CMM、FAT(故障树方法)、AHP (层次分析)以及因素分析法、逻辑分析法、德尔菲法、聚类分析法、决策树法、时许模型、回归模型等方法。研究风险评估模型的方法可以运用马尔可夫法、神经网络、模糊数学、决策树、小波分析等[4-6]。OCTAVE 方法是一个系统的方法,它从系统的高度来进行信息安全的安全防护工作,评估系统的安全管理风险、安全技术风险,它提高了利用自评估的方式制定安全防范措施的能力。它通过分析重要资产的安全价值、脆弱性、威胁的情况,制定起风险削减计划,降低重要资产的安全风险。电子政务外网需要从实际出发,不能照搬其它评估方法,根据电子政务外网实际,本设计基于OCTAVE 评估模型,设计了一个电子政务外网风险分析计算模型。
3 基于OCTAVE模型的一个电子政务外网风险计算模型设计
3.1 风险评估中的资产、威胁、脆弱性赋值的设计
保密性、完整性和可用性是评价资产的三个安全属性。风险评估中的资产价值不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。
资产价值应依据资产在保密性、完整性和可用性上的赋值等级,经过综合评定得出。综合评定方法可以根据自身的特点,选择对资产保密性、完整性和可用性最为重要的一个属性的赋值等级作为资产的最终赋值结果;也可以根据资产保密性、完整性和可用性的不同等级对其赋值进行加权计算得到资产的最终赋值结果。本设计模型根据电子政务外网的业务特点,依据资产在保密性、完整性和可用性上的赋值等级进行加权计算(保密性α+完整性β+和可用性γ),α、β、γ为权重系数,权重系数的确定可以采用专家咨询法、信息商权法、独立性权数等。本设计方案采用专家咨询法。资产、威胁、脆弱性的赋值可以从0-10,赋值越高,等级越高。
脆弱性识别是风险评估中最重要的一个环节。脆弱性是资产本身存在的,如果没有被相应的威胁利用,单纯的脆弱性本身不会对资产造成损害。脆弱性识别的依据可以是国际或国家安全标准,也可以是行业规范等,如国家信息安全漏洞共享平台(CNVD)漏洞通报、CVE漏洞、微软漏洞通报等。
资产、威胁、脆弱性的识别与赋值依赖于专家对三者的理解,不同的人员对三者的赋值可能不同,甚至差别很大,可能会不能真实的反映实际情况。为了识别与赋值能准确反映实际情况,可以采用一定的方法来进行修正。本设计采用头脑风暴法、德尔菲法去获取资产、威胁、脆弱性并赋值、最后采用群体决策方法确定资产、威胁、脆弱性的识别与赋值。这样发挥了三个方法的特点,得到的赋值准确性大大提高。
判断威胁出现的频率是威胁赋值的重要内容,评估者应根据经验和(或)有关的统计数据来进行判断[7]。判断威胁出现的频率是可能性分析的重要内容,如果仅仅从近一两年来各种国内、国际组织的对于整个社会或特定行业的威胁及其频率统计,以及的威胁预警等来判断是不太准确的,因为它没有与具体的电子政务外网应用实际联系起来,实际环境中通过检测工具(如IPS等)以及各种日志发现的威胁及其频率的统计也应该考虑进去。
本设计模型采用综根据经验和(或)有关的统计数据来进行判断,并结合具体电子政务外网实际,从历史生产系统的IPS等获取各种威胁及其频率的统计,并采用马儿可夫方法计算出某个时段内某个威胁发生的概率。马尔可夫方法是一种定量的方法,具有无后效性的特点,适用于计算实时的动态信息系统威胁发生概率。它利用IPS等统计某一时段的发生了哪些威胁,构建出各种威胁之间的状态转移图,使用马尔可夫方法计算出该时段内某个威胁发生的概率。计算出的威胁发生概率结果可以进行适当的微调,该方法要求记录的样本具有代表性。
3.2 风险计算模型设计
通常风险值计算涉及的风险要素为资产、威胁、和脆弱性。 在完成了资产识别、威胁识别、脆弱性识别,以及已有安全措施确认后,将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性,并综合安全事件所作用的资产价值及脆弱性的严重程度,判断安全事件造成的损失对组织的影响,即安全风险计算。
风险值=R(资产,威胁,脆弱性)= R(可能性(威胁,脆弱性),损失(资产价值,脆弱性严重程度))。可根据自身电子政务外网实际情况选择相应的风险计算方法计算风险值,如目前最常用的矩阵法或相乘法等。矩阵法主要用于两个要素值确定一个要素值的情形,相乘法主要用于两个或多个要素值确定一个要素值的情形。
本设计模型采用风险计算矩阵方法。矩阵法通过构造一个二维矩阵,形成安全事件的可能性与安全事件造成的损失之间的二维关系;相乘法通过构造经验函数,将安全事件的可能性与安全事件造成的损失进行运算得到风险值。
在使用矩阵法分别计算出某个资产对应某个威胁i,某个脆弱性j的风险系数[Ri,j],还应对某个资产的总体安全威胁风险值进行计算,某个资产总体风险威胁风险=Max([Ri,j]),i,j=1,2,3…。组织所有资产的威胁风险值为所有资产的风险值之和。
3.3 对风险计算模型的改进
在风险值=R(A,T,V)的计算模型中,由资产赋值、危险、脆弱性三元组计算出风险值, 并没有把安全防护措施因素对风险计算的影响考虑在内,该文把风险值=R(A,T,V)改进为风险值=R(A,T,V,P),其中P为安全防护措施因素。P因素不仅影响安全事件的可能性,也影响安全事件造成的损失,把上面的公式改进为风险值=R(L(T,V,P),F(Ia,Va,P ))。对于L(T,V,P),F(Ia,Va,P )的计算可以采用相乘法等。如果采用矩阵法,对L(T,V,P)的可以拆分计算L(T,V,P)=L(L(T,V),L(V,P))。
在计算出单个资产对应某个脆弱性、某个威胁、某个防护措施后的风险值后,还应总体上计算组织内整体资产面临的整体风险。单个风险(一组风险)对其它风险(一组风险)的影响是必须考虑的,风险之间的影响有风险之间的叠加、消减等。有必要对风险的叠加效应、叠加原理、叠加模型进行研究。
3.4 风险结果判定
为实现对风险的控制与管理,可以对风险评估的结果进行等级化处理。可将风险划分为10,等级越高,风险越高。
风险等级处理的目的是为风险管理过程中对不同风险的直观比较,以确定组织安全策略。组织应当综合考虑风险控制成本与风险造成的影响,提出一个可接受的风险范围。对某些资产面临的安全风险,如果风险计算值在可接受的范围内,则该风险是可接受的,应保持已有的安全措施;如果风险计算值高于可接受范围的上限值,则该风险是不可接受的,需要采取安全措施以降低、控制或转移风险。另一种确定不可接受的风险的办法是根据等级化处理的结果,不设定可接受风险值的基准,对达到相应等级的风险都进行处理。
参考文献:
[1] 国家电子政务外网管理中心.关于加快推进国家电子政务外网安全等级保护工作的通知[政务外网[2011]15号][Z].2011.
[2] 等级保护、风险评估和安全测评三者之间的区别与联系[EB/OL].http:///faq/faq.php?lang=cn&itemid=23.
[3] 赵瑞颖.等级保护、风险评估、安全测评三者的内在联系及实施建议[C].第二十次全国计算机安全学术交流会论文集,2005.
[4] 李煜川.电子政务系统信息安全风险评估研究――以数字档案馆为例[D].苏州:苏州大学,2011.
[5] 陈涛,冯平,朱多刚.基于威胁分析的电子政务信息安全风险评估模型研究[J].情报杂志,2011(8):94-99.
【关键词】环境风险;环境风险评价
一、背景
环境风险是指在自然环境中产生的或通过自然传递的,对人类健康和幸福产生不利影响同时又具有某些不确定性的危害事件。由于环境风险区别于传统环境问题,具有巨大的不确定性,逐渐发展出一种新的针对环境风险的环境风险评价制度。环境风险评价是指由一定的机关或组织,对具有不确定性的环境风险可能对人体健康、生态安全等造成的环境后果进行识别、度量、评估的过程或环境管理活动。
从20世纪90年代开始,我国的一些法律规范中提出了环境风险评价的内容。1993年,国家环保局颁布的《环境影响评价技术导则》规定:对于风险事故,在有必要也有条件时,应进行建设项目的环境风险评价或环境风险分析。同年的《基因工程安全管理办法》要求对基因技术进行安全评价。1996年,《农业生物基因工程安全管理实施办法》对农业转基因生物安全评价作了规定。2001年,《职业安全健康管理体系指导意见》对职业安全评价作出规定。2004年的《建设项目环境风险评价技术导则》明确指出:将建设项目环境风险评价纳入环境影响评价管理范畴。2011年公布的《外来物种环境风险评估技术导则》规定了外来物种环境风险评估的原则、内容、工作程序、方法和要求。2015年,环保部批准《尾矿库环境风险评估技术导则(试行)》,要求对运行期间的尾矿库进行环境风险评估。2014年修订的新环保法第39条规定“国家建立、健全环境与健康监测、调查和风险评估制度”,虽然只是国家建立、健全相关制度的义务的概括规定,但同时也使得环境健康风险评价制度第一次进入环保基本法。
二、从一个实践案例看我国环境风险评价制度的实施
(一)湖北荣成纸业有限公司热电联产工程简介
湖北荣成纸业有限公司拟建设一座热电联产中心,为公司生产和和临港工业园区企业供热,于2015年6月初通过环评。环评报告的环境风险评价包括五个部分。第1部分为环境风险评价的目的:分析和预测建设项目存在的潜在危险、有害因素、建设项目建设和运行期间可能发生的突发性事件或事故(一般不包括人为破坏及自然灾害),引起有毒有害和易燃易爆等物质泄漏,所造成的人身安全与环境影响和损害程度,提出合理可行的防范、应急与减缓措施,以使建设项目事故率、损失和环境影响达到可接受水平。
第2部分为环境风险评价程序图,主要包括风险识别、源项分析、后果计算、风险评价、风险可接受水平、风险管理、应急措施预案。第3部分为环境风险评价,报告指出,拟建工程环境风险主要包括:原煤堆场火灾风险事故、燃料油火灾爆炸、氨水罐泄露、粉尘爆炸、锅炉故障导致二f英增加外排。以事故发生原因为基础,将项目环境风险分为火灾爆炸、不可抗力、设备故障和人员管理四类。根据相关规定确定项目环境风险评价工作等级为二级。对项目的主要环境风险进行分析,主要对每类风险的发生原因进行了介绍,仅对二f英的事故排放可能对人体健康造成的影响进行了简要介绍。第4部分围绕原煤堆场火灾、油库、氨水罐、粉尘、锅炉、事故池、事故废水处理规定了环境风险事故防范措施。第5部分事故应急反映方案规定了预案的启动、职责与任务、现场警戒与疏散措施、事故上报程序与内容和善后处理。
另外,根据相关规定,建设项目环境风险评价是作为环境影响评价的一部分而存在的,所以环境风险评价部分没有独立的公众参与部分,项目环评的公众参与主要包括两种方式,一是媒体公示即两次在湖北省环保厅网站上进行了项目公示;二是公众参与调查表,对松滋市陈店镇全心村的83位居民和附近的3家单位进行了问卷调查。公众参与的结果显示,当地公众对建设项目的了解程度一般,部分人担心项目的运行会对生活环境和身体健康造成不利影响,大部分人认为该项目可以带动当地经济的发展,解决当地农民的就业问题,被调查者全部支持该项目的建设,无人反对该项目的建设。
(二)分析
从上文介绍的环境风险评价实例可以看出:1、我国建设项目环境风险评价将环境风险仅仅简要的分为火灾、爆炸和泄露三类,并局限在项目的突发性事件或事故可能造成的环境风险,并不对项目正常工作过程中的环境风险进行考量;2、环境影响评价对可能造成的人体健康和生态系统的不利影响的阐述不充分,从而环境影响评价的结论即风险是否达到可接受水平让人产生不信任感;3、环境风险评价的过程缺乏互动,不能体现评价结论对项目实施方案的具体影响,公众参与形式化、途径单一,公众意见对项目实施缺乏影响力;4、环境风险评价中仅规定了一些事前的预防措施,缺乏事中和事后监督和必要措施。
三、美国环境健康风险管理框架及其启示
(一)美国环境健康风险管理框架的基本内容
环境风险管理框架已成为国际上环境风险评价制度的发展趋势,在众多已制定的环境风险管理框架中,美国总统/国会风险评价和风险管理委员会的《环境健康风险管理框架》(1997)是最具影响力的框架,为多国制定框架时参考和借鉴。在1990年的清洁空气法修正案中,国会要求组成一个风险评价与风险管理委员会,委员会认为,应改变传统评价与降低风险的方法,以降低风险和改善健康状况为总体目标。委员会希望框架指导公共部门和私营机构有价值的资源投资在研究、评估、表征和降低风险中。
框架包括六个阶段:
1.定义问题并把它放在背景下
对科学的风险管理决策而言,首先需要正确界定问题。通过在复杂背景中识别和表征环境健康风险问题并描述它的特征,仔细考虑问题的背景,确定风险管理的目标和有权或有责任采取行动的风险管理者,并让利益相关者参与到过程中。
2.联系问题背景分析风险
阐明问题引起的事实和科学基础,在数量和质量上处理健康和生态风险,描述负面影响的特性、严重性、可逆性或可预防性。把问题引起的风险放在多源头、多媒介、多种化学物质和多风险背景下。了解利益相关者对问题引起的风险的认识。把问题引起的科学和背景方面的信息结合成问题对人类健康或环境产生的风险进行定性,同时考虑利益相关者的认识和其他社会文化的影响。
3.检查处理风险的选择
这一阶段包括确定可能的风险管理选择,评价选择的效果、可行性、成本收益、非计划中的结果和文化社会影响。这个过程可以在界定问题和考虑背景之后任何合适的时间开始。风险管理者和利益相关者获取了关于可行性、成本与效益分析和减少暴露、降低风险对改善人类和生态健康的贡献的正确评价之后,风险管理目标可能会被重新定义。利益相关者在确定和分析选择阶段发挥重要作用。
4.做出实施何种选择的决策
在框架的这一阶段,决策者基于最佳可得科学、经济和其它技术信息,确保决策考虑了问题的多种来源、多种媒介、多种化学物质、多种风险背景,做出符合成本收益具有可行性的风险管理选择。另外,优先预防风险,而不仅仅是控制风险,可能的话,使用命令―控制管理的替代性方案。一个富有成效的利益相关者参与过程可以对决策产生重要指引作用。
5.采取行动来实施决策
传统上,一直是管理机构的要求推动实施,工厂和市政当局通常是实施者。然而,当其他的利益相关者也能扮演重要角色时,成功的可能性会显著提高。利益相关者可能会包括:公共健康机构、其他公共机构、社区团体、市民、工厂、人和技术专家等。
6.对行动作出评价
在风险管理的这个阶段,决策者和利益相关者评价实施的风险行动以及它们的效果。评价工具包括环境健康监测、研究、疾病监管、成本收益分析和与利益相关者的讨论。在大多数情形,应定期评价。就像风险管理过程其他的阶段,利益相关者参与会让评价更有益。另外,评价中可能出现新信息,评价对了解框架的哪一部分需要被重复非常重要。
(二)美国环境健康风险管理框架的主要特点与启示
1.在更广泛的背景下定义风险
一个风险问题的背景的全面理解对于有效进行风险管理是非常有必要的,因为问题狭窄的背景无法反映风险情况的真实复杂性,造成风险管理决策和行动相比不是很有成效。
2.基于科学信息和最佳判断进行风险评价
风险评估者尊重在缺乏充分数据的情况下得到结论时风险和程序的客观科学基础非常重要。风险评估者应该向风险管理者和其他利益相关者提供看起来合理的,含有支撑不确定性和供选观点的具有证明力的评估,从而可以在可得信息的基础上作出风险结论。
3.利益相关者全过程参与
整个风险管理过程的利益相关方参与被认为是至关重要的。通过全过程参与,不同利益相关方全面沟通与合作,最终平衡各方的意见和观点以做出体现公众价值观的风险决策。
4.重复和评估
公众评论、协商、信息收集、研究或风险与选择的分析可能澄清或重新定义问题,使重心改变到一个不同的问题上,由于重要的新信息、观点和看法出现,风险管理过程会灵活而经常重复。评估对充分地履行职责和理智地利用稀缺资源至关重要。
四、完善建议
(一)在更广泛的背景下定义环境风险
当前我国环境风险评价制度的规定主要集中在建设项目、外来物种、尾矿库、基因工程和职业安全领域。其中,建设项目环境风险评价仅适用于涉及有毒有害和易燃易爆物质的项目,排除了有巨大环境风险的核建设项目,而且因为它是以环境风险事故的防范为导向,导致它对环境风险的定义过于狭窄,仅对突发性事件或事故引起的有毒有害、易燃易爆等物质泄漏进行风险评价,排除了非事故情形下,项目正常运营下可能产生的环境风险。《尾矿库环境风险评估技术导则(试行)》适用于运行期间的尾矿库,不适用于贮存放射性尾矿、伴有放射性尾矿的尾矿库环境风险评估,同建设项目环境风险评价,它也只考量尾矿库可能引发突发环境事件的危险因素。《外来物种环境风险评估技术导则》主要适用于规划和建设项目可能导致的外来物种造成的生态危害的评估。《基因工程安全管理办法》和《职业安全健康管理体系指导意见》分别对遗传工程产品和职业安全风险评估进行了初略的要求性规定。整体来说,从我国环境风险评价的各个分散规定可以看出,我国环境风险的范围相对狭窄,而且一般孤立地考虑单一的化学物质在单一的环境媒介中引起的单一风险进行评价,从而也限制了我国全面、综合的环境风险评价。应改变以事故为导向的环境风险定义,逐步扩大我国环境风险评价范围,在更广泛的公共健康和生态背景下进行环境风险评价。
(二)明确环境风险评价的目标
环境风险评价的目标不应停留在防范风险层面上,而应进一步把环境风险评价的目标明确为保障人体健康和生态健康。防范风险虽然是环境风险评价的直观起点,但忽视人体健康和生态健康目标的环境风险评价是有违环境保护的根本宗旨的。实践中的环境风险评价正是因为缺乏对人体健康和生态健康的要求而导致实施的结果难以让人满意。为了配套环境风险评价保障人体健康和生态健康的目标,国家应积极开展环境健康与环境生态监测、调查与研究,为环境风险评价提供科学和数据支撑。
(三)保障利益相关方的参与
我国现有的利益相关者参与主要在建设项目(包括尾矿库)环境风险评价中得到一定的保障,因为环评对公众参与的要求,公众在其中可有享有一定的环境知情权、发表环境意见权和环境监督权等,但是,在实践中利益相关方的参与有走过场的倾向,处于弱势的利益相关方的环境知情权常常受到侵害,意见不能被充分的考虑,对环境风险评价的进程与结论不能产生实质影响。在外来物种、基因工程和职业安全领域,没有要求利益相关方的参与,利益相关方的环境知情权也难以得到保障。环境风险是一个多维的概念,还必须包括受影响方的观点。环境风险评价只有兼顾各方观点和需求,考虑不同群体的价值观、知识和认知,才能做出更好的风险管理决策,而在决策行动的过程中也不易受到利益相关者的反对和抵触。
(四)构建适合我国的环境风险管理框架和方法
【关键词】 风险导向;制度导向;审计
审计模式经历了账项导向审计模式、制度导向审计模式,发展到现在为风险导向审计模式。其中:账项导向审计模式是最初始的审计方法,主要着眼于查错防弊,从审计期间会计事项所依据的相关会计原始凭证入手,追查到记账凭证、账簿、会计报表等会计文件的形成,验算其记账金额、核对账证、账账、账表,账项导向审计模式适用于经济业务不很复杂的小规模企业。制度导向审计模式将审计的重点放在对内部控制制度各个控制环节的审查上,目的是发现内部控制制度的薄弱之处,找出问题发生的根源,然后针对这些环节扩大检查范围;而对内部控制制度有效之处,则可缩小其检查范围或简化其审计程序,这种审计模式,提高了审计效率。风险导向审计最显著的特点是:它立足于对审计风险进行系统的分析和评价,并以此作为出发点,制定审计策略和与企业状况相适应的多样化审计计划,将风险考虑贯穿于整个审计过程。因为它着眼于全面的控制测试,而不是着眼于测试内部控制制度的执行效果(即符合性测试),因而要:首先,将客户置于行业、法律、经营管理、资金、生产技术、甚至企业的经营理念等环境中,从各个方面研究环境对审计风险控制的影响,并对这种影响进行评价,将其数量化,归结为固有风险。其次,在保留制度导向审计优点的基础上,重点研究被审计单位的内部控制,此时审计人员所研究的是已经扩大了的内部控制系统,不仅包括会计控制,还包括企业经营管理的其他控制,其目的不仅仅是找出薄弱环节,更要研究由于控制的缺陷而产生的控制风险,并对此进行评估。再次,通过对产生风险的各个环节的分析评价,审计人员利用审计风险模式,可以把风险量化,确定出可以接受的检查风险水平,并以此确定实质性测试的重点和测试水平,确定如何收集、收集多少及收集什么性质的审计证据。最后,将审计风险降低至审计人员可以接受的水平,出具相应的审计报告。风险导向审计模式合理地扬弃了作为制度导向审计模式基础的“无利害关系假设”,把指导思想建立在“合理的职业怀疑假设”的基础上。不只依赖对被审计单位管理层所设计和执行内部控制制度的检查与评价,而是实事求是地对公司管理层是否诚信,是否有舞弊造假的驱动,始终保持一种合理的职业警觉,将审计的视野扩大到被审计单位所处的经营环境,捕捉潜在的风险点,将风险评估贯穿于审计工作的全过程。
制度导向审计与风险导向审计有联系也有区别,主要表现在:
一、两者审计目标相同
风险导向审计与制度基础审计都是委托人对受托人实施控制的载体。注册会计师制度的存在和发展应归因于企业所有权和经营权分离所导致的受托经济责任。由于企业管理当局是提供会计报表的责任主体,自身利益通常与企业的财务状况与经营成果挂钩,编制的会计报表容易受到利益驱动而失实,需要由具有专门知识和技能的独立第三方――注册会计师对会计报表进行审计,出具客观、公允的报告。因此,注册会计师的报告可以有效地说明企业管理当局的受托经济责任,降低会计报表使用人进行决策所面临的信息失真风险。一百多年来,审计的根本目标没有发生重大变化。从20世纪40年代起,审计的目标就是对被审计单位的会计报表进行审计并发表审计意见。
二、两者审计理论相同
风险导向审计理论是在制度导向审计理论基础上发展而来。因此,制度导向审计的很多方法同样在风险导向审计上使用。按照风险评估确定审计重点,分配审计资源。虽然两种审计方法的风险评估方法存在重大差异,但在风险评估之后,都要根据风险评估的结果来确定审计重点、分配审计资源。所谓重要性,是指被审计单位的会计报表中错报或漏报的严重程度,这一程度在特定环境下可能影响会计报表使用者的判断或决策。两种层次的重要性水平包括报表层次和账户或交易层次的重要性水平。因为重要性水平跟审计证据存在反比关系,所以重要水平越低,就要分配更多的审计资源来获取适当的审计证据,实施审计程序。无论风险评估结果如何,两种审计方法最终都回归到实施包括抽样在内的各种审计程序。风险导向审计可以在一定程度上减少实施的审计程序,但即使由于风险评估结果很小,注册会计师也应出于谨慎而勤勉尽责,实施一定量的审计程序,进行多角度测试,才会将审计失败风险降到最小。依据获取的审计证据对会计报表形成审计意见,出具审计报告。两种审计方法的工作成果都是审计报告,而审计意见则是注册会计师对会计报表的合法性及公允性的集中表达,是审计工作的集中体现。
三、两者审计风险模型不同
由于对审计风险的认识不同。 导致了两种风险导向审计方法所运用的审计风险模型不同。 制度导向审计方法以“审计风险=固有风险×控制风险×检查风险”为审计风险模型。风险导向审计以“审计风险=重大错报风险×检查风险”为审计风险模型。现代审计风险模型在传统审计风险模型的基础上进行了改进,形式上有所简化。但审计风险的内涵和外延却扩大了,其中重大错报风险包括两个层次:会计报表整体层次和认定层次。认定层次风险指交易类别、账面余额、披露和其他相关具体认定层次的风险。包括传统的固有风险和控制风险,会计报表整体层次风险主要指战略风险和经营风险。把战略风险和经营风险融入现代审计模型。可建立一个更全面的审计风险分析框架。
四、两者审计重点不同
在制度导向审计方法中,人为的将风险分为固有风险和控制风险。而固有风险的定义是以内部控制不存在的假设为前提条件的,这种假设本身就是不存在的。因此,在实际操作中,固有风险的评估比较困难,注册会计师一般不注重从宏观层面上了解企业及其环境,简单地把固有风险评估为高水平,直接进行控制风险评估。审计的起点通常是控制测试,如果没有必要测试内部控制,审计的起点直接为会计报表项目。风险导向审计方法是通过综合评估经营控制风险来确定检查风险。注册会计师通过了解被审计单位的行业状况、经营目标、战略和相关经营风险、企业的经营战略及其业务流程,评估重大错报风险。审计的起点为风险评估。风险导向审计方法的优点在于将审计的重心前移到风险评估,有利于充分识别和评估会计报表重大错报的风险,从而针对风险点设计和实施控制测试和实质性程序。
五、两者审计程序不同
制度导向审计对于信息的再加工重视程度不够,分析性程序主要用在报表分析上。风险评估以分析为中心,分析性程序成为最重要的程序。为了适应分析性程序功能扩大的要求,分析性程序开始走向多样化。在数据分析上,不但要对财务数据进行分析,也要对非财务数据进行分析;在分析工具上,充分借鉴现代管理方法,将管理方法运用到分析性程序中去。注册会计师常常把战略分析、绩效分析、财务分析及前景分析等分析工具运用到风险评估之中,这就使风险因素不再唯一,变一元风险评估为多元风险评估。用几种方法相互印证,得出的风险评估结果会更加可靠。
六、两者审计要求不同
职业怀疑态度,是指注册会计师以质疑的态度评价所获取审计证据的有效性,并密切关注相互矛盾的审计证据以及对文件或管理当局声明的可靠性产生怀疑的审计证据。注册会计师审计的主线始终是对重大错报风险的识别、评估与应对,假定整体会计报表是不可信的,从而保持全方位的职业怀疑态度,在审计过程中充分关注可能导致会计报表发生重大错报的情形,排除质疑。审计如同刑事侦察,发现疑点、捕捉线索是关键,而保持职业怀疑态度又是关键之关键。有不少审计失败的案例,总结其失败的原因,大都是审计人员未尽到职业怀疑义务,不敢或不会怀疑造成的。
传统的风险导向审计方法不对企业经营风险实施评估程序,注册会计师不懂管理知识、行业知识也可以审计。实施风险导向审计方法后,由于审计重心转移,审计结果需要依赖风险评估,而进行风险评估需要现代管理知识,这就对注册会计师提出了更高的要求。注册会计师不但要掌握一些常用分析工具,还必须要学习现代管理知识和接受行业的专业知识培训。
[主要参考文献]
审计模式是一定审计环境下并与之相适应的审计目标、审计计划、审计准则、审计管理体制和审计机构设置等共同组成的完整体系。审计作为一种技术手段,随着社会经济环境的变化和审计执行者对审计活动本质的逐步加深,依次经历了账项导向审计模式、制度导向审计模式和风险导向模式这三种模式。
制度导向审计又称内控导向审计。随着股份有限公司的不断出现,社会公众更多关注的是财务报表的公允性、真实性。基于这样的前提,产生了以评价企业内部控制为基础,然后确定实质性测试的性质、时间和范围,并依此收集审计证据、形成审计意见的制度导向审计模式。
制度导向审计模式的重点明确,把企业内控制度及其执行情况作为主要的审计对象,极大地提高了审计抽样质量。可以说,制度导向审计在保证审计结论具有一定可靠水平的前提下提高了审计工作效率,降低了审计成本,并能够有效地帮助企业改善经营管理。
风险导向审计模式要求审计人员的审计思维要跳出账簿,跳出内部控制。风险导向审计模式最显着的特点是,它立足于对审计风险进行系统的分析和评价,并以此作为出发点,制定审计策略和与企业状况相适应的多样化审计计划,将风险考虑贯穿于整个审计过程。
二、新旧审计准则体系的审计模式的区别
(一)审计风险模型不同
旧审计准则体系的审计模式以“审计风险=固有风险×控制风险×检查风险”为审计风险模型。
新审计准则体系的审计模式以“审计风险=重大错报风险×检查风险”为审计风险模型。现代审计风险模型在传统审计风险模型的基础上进行了改进,形式上有所简化。会计报表整体层次风险主要指战略风险和经营风险,把战略风险和经营风险融入现代审计模型,可建立一个更全面的审计风险分析框架。
(二)对注册会计师的要求不同
旧审计准则体系的审计模式是建立在“无利害关系假设”基础之上的,使得传统风险导向的审计方法不对企业经营风险实施评估程序,对注册会计师的综合素质要求不是很高,使得不懂管理知识、行业知识的注册会计师也可以进行审计工作。
新审计准则体系的审计模式把思想建立在“合理的职业怀疑假设”上,要求注册会计师以质疑的态度评价所获取审计证据的有效性,并密切关注相互矛盾的审计证据以及对文件或管理当局声明的可靠性产生怀疑的审计证据。注册会计师审计的主线始终是对重大错报风险的识别、评估与应对。注册会计师不但要掌握一些常用分析工具,还必须要学习现代管理知识和接受行业的专业知识培训。
(三)审计起点不同
在旧审计准则体系的审计模式中,固有风险是指假定不存在相关内部控制时,某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报的可能性。传统风险导向审计方法通过综合评估固有风险和控制风险以确定实质性测试的范围、时间和程序。
在新审计准则体系的审计模式中,通过综合评估经营控制风险以确定实质性测试的范围、时间和程序,其审计起点为企业的战略系统及其业务流程。这种新模式的优点是将审计的重心前移到风险评估,这将有利于充分识别和评估会计报表重大错报的风险,因此,主要针对风险设计实施控制测试和实质性测试程序。
(四)内部控制要素不同
旧审计准则体系的审计模式下的内部控制是指被审计单位为了保证业务活动的有效进行,保护资产的安全和完整,发现、纠正错误与防止舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。内部控制要素包括控制环境、会计系统和控制程序。
新审计准则体系的审计模式下的内部控制是指被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵循,由治理当局、管理当局和其他人员设计和执行的政策和程序。内部控制的三要素扩充为五要素,即控制环境、被审计单位的风险评估过程、与财务报告相关的信息系统和沟通、控制活动和对控制活动的监督。
(五)风险评估方式不同
旧审计准则体系的审计模式中的风险评估是一种直接的方式,即直接评估重大错报的概率。
新审计准则体系的审计模式是从经营风险评估入手,间接地对审计风险进行评估,因为经营风险越高,审计风险也越大,也就是管理舞弊的可能性越大;并且从经营风险中能更有效地发现财务报表潜在的重大错报。此外,会计政策、会计估计的合理性评估也只有从经营风险入手,才能进行正确的评估。
三、新旧审计体系审计模式比较分析的启示
(一)依据增值服务合理提高审计收费
改良后的风险导向审计模式不仅关注风险,而且对旧的审计模式进行了扩展和延伸。依照改良后风险导向审计的要求会增加事务所的审计成本,但在目前国内各事务所竞争激烈的情况下直接提高审计收费又不可行。解决这种矛盾的途径可以是,在审计过程中根据企业的不同情况调整审计程序,让客户感到他们获得了审计以外的很多增值服务。此举,不仅有助于新审计模式的顺利实施,同时,也保证了注册会计师事务所的执业水准。
(二)提高注册会计师的素质
根据改良后风险导向审计模式的要求,注册会计师应当了解被审计单位及其环境,不仅要具备会计、审计方面的专业知识,还要掌握战略管理、业绩评价、信息系统管理等现代企业管理方面的知识,具备较高的风险分析水平和职业判断能力。在改良后的风险导向审计模式下,注册会计师需要采用复杂系统的认知模式,从而了解、分析客户风险管理过程以及客户控制风险的手段、方法。
(三)完善法律环境及监管手段
从理论上来说,只要当注册会计师认为审计风险达到可接受的低水平,不会导致巨大的审计风险损失,就可以签发审计报告了。这在法律风险较低时很容易产生审计师的道德风险问题。注册会计师执业的规范性取决于法律环境和行业监管是否成熟,一个成熟的法律环境和行业监管环境不仅可以为注册会计师合法执业起到保护作用,还可以起到监督作用。所以,从法律环境和行业监管的改善入手,可以为审计的公正性提 供有效地保障。
(四)使用并完善辅助审计的软件
在改良后的风险导向审计模式中分析性复核程序占据非常重要的地位,而辅助审计软件的使用在其中发挥着重要的作用。西方发达国家大量运用分析性复核程序的条件是辅助审计程序的开发和运用,它可以直接对数据库进行加工分析,依据软件模型自行处理数据,使运用分析性复核程序成为节约成本的重要手段。
(陕西华燕航空仪表有限公司,陕西 汉中 723102)
摘 要:在体制上全面风险管理与内部控制分别由国务院国资委和财政部提出,并在国有企业中广泛实施,全面风险管理与内部控制在管控思想理念、方式方法等方面是相似或相同的。但由于分别有同的国家部分主抓,从而形成了在企业内部也会又不同的单位和人员来分别从事全面风险管理和内部控制管理,造成了企业内部机构设置繁冗、业务交叉重复等现象。因此研究全面风险管理与内部控制相融合非常必要。
关键词 :全面风险管理;内部控制;融合
中图分类号:F275文献标志码:A文章编号:1000-8772(2015)10-0179-02
收稿日期:2015-03-20
作者简介:曹江涛(1976-)男,汉,陕西咸阳人,大学,会计师,陕西华燕航空仪表有限公司企业管理部部长,研究方向:企业管理。
全面风险管理是国务院国资委提出并推行的。全面风险管理是通过一定的方式识别出企业所有的风险,然后依据一定的标准对识别出的风险进行排序,寻找出企业应当重点关注的风险,再根据风险的属性采取相应的应对方案予以防范风险。其中绝大多数风险都是要依靠应对方案对风险进行控制,预防其发生或者将其控制在最小范围。
内部控制是财政部提出并推行的。内部控制是依据一定的标准对企业的流程进行审理,找出缺陷然后改进缺陷,以防止风险的发生。
可以看出全面风险管理与内部控制在管控思想理念、方式方法等方面是相似或相同的,但是在管理推进过程中,全面风险管理与内部控制形成了各自的体系,并在企业中并行开展。这样的做法在初期对于推动该两项项管理活动有很大帮助,但是也造成了企业内部机构设置繁冗、业务交叉重复、推诿扯皮、资源浪费等问题的出现。因此,研究风险管理与内部控制的融合具有很现实的价值。
一、组织体系的融合
全面风险管理与内部控制在组织体系设计上无论是层级还是职能都基本一致,所以便于融合。
全面风险管理的组织机构设置为三级,分别是风险管理委员会、风险管理办公室和部门风险管理小组(风险管理员)。其中,风险管理委员会是顶层决策机构,风险管理办公室是组织推进管理单位,部门风险管理小组是具体执行单位。
内部控制组织结构设置也分为三级,分别是企业级的内部控制领导小组、内部控制管理办公室和各部门内部控制管理员,其职能分别是决策、归口管理和实施。
因此,组织机构的融合可以采取合并方式,以全面风险管理组织机构为主,风险管理办公室在管理人员上要兼顾内部控制管理的专业人员。
二、管理语言的融合统一
在两个体系融合过程中建立统一的风险控制语言非常重要,有利于管理中信息的传递和管理行为的一致性,避免概念含糊不清导致的管理混乱。统一语言的原则是既可以保证语言的一致,也要保证两个体系的全面融合,避免融合过程中失去内控的对风险管理的辅助优势。
需要统一的语言首要的是对风险的名称定义方式,全面风险管理与内部控制对风险名称的定义办法完全不同。在全面风险管理中,对具体风险事件的名称没有统一规范,均采取描述的方式表达,描述规则是风险事件的“表现+影响”。例如:“应收账款超过诉讼时效导致无法收回”就是对应收账款风险中的一项具体风险事件的描述。对二级风险名称定义是按照业务类别定义的。例如财务风险可分为应收账款风险、现金管理风险、现金流风险等等。对一级风险名称的定义一般是按照风险的属性定义的。例如:战略风险、财务风险、市场风险、运营风险、法律风险等等。
在内部控制管理中,仅有缺陷的概念,而没有风险的概念,但缺陷导致的结果就是风险。内部控制对缺陷的分类是与流程级别对应的,也就是说一级流程缺陷、二级流程缺陷的名称定义方式是“流程名称+缺陷”。例如采购缺陷、采购付款缺陷等。缺陷所导致的风险也没有统一的命名方法,与风险管理一样是采用“表现+影响”的描述方法。
通过上述分析我们发现,对于具体风险事件的命名方法全面风险管理与内部控制管理基本是一样的。对于二级、一级风险(或者缺陷),全面风险管理与内部控制管理命名方法虽然不同,但全面风险管理一、二级风险包含了内部控制管理的一、二级缺陷,因此,在体系融合过程中,可以统一管理语言,即不再使用缺陷的概念,而统一使用全面风险管理的风险概念。
三、风险识别方法的融合
全面风险管理中,风险识别方法有初始信息识别法、分类识别法、头脑风暴识别法、流程分析识别法、价值链分析识别法等。通过这些方法的综合运用,识别出各业务单元、重要业务活动和重要业务流程中的风险。
内部控制识别缺陷(即风险)是通过对业务流程进行实际观察和穿行测试的方法,测试流程是否可以满足控制目标的方式来查找流程缺陷。内部控制识别缺陷的方法确定性很强,因此,该识别方法可以直接融入风险识别中来,为了管理中的语言统一,我们可以把内部控制的这种识别风险的方法命名为流程识别法。
这样的融合既满足了内部控制对风险的识别,也充实了全面风险管理对风险的识别方法。
除此之外内部控制还有通过不相容职务的识别来查找风险的方法。这个方法可以被风险管理借鉴,也作为风险识别的一个方法。
四、风险分析方法的融合
全面风险管理的风险分析就是在识别出风险的基础上,对风险发生的原因、风险发生的可能性以及风险发生后的影响进行甄别与描述。这一过程与内部控制基本是一致的。
内部控制在查找出缺陷的基础上也要对缺陷可能导致的风险进行分析与评价。两者的分析方法没有本质区别,因此完全可以合并融合。
五、评价标准的融合
在全面风险管理中,通过风险识别、风险分析后,依据事前制定的风险评估标准,对风险进行评估。评估是通过对风险发生的可能性和风险发生后的影响程度分别打分(1-5份),然后将这两个分值相乘所得的积作为对某一风险的评估值。而内部控制管理中,通过识别缺陷、分析缺陷后,依据事先制定的标准,根据缺陷的风险发生后的影响,分为重大缺陷、重要缺陷和一般缺陷。由于内部控制对于缺陷的评价仅限于影响程度层面,而且影响程度的评价与风险影响程度的评价维度基本一致,因此,可以将内部控制对缺陷的评价标准纳入风险评估标准中的风险发生后的影响程度这一维度中,并根据企业的实际情况对风险评估标准进行适当修改,以便可以充分反映出内部控制评价的要求。这样就可以实现全面风险管理与内部控制的评价标准的融合。
六、风险应对方案的融合
在全面风险管理中,对风险评估结束后,根据风险评估值的大小排序,企业选择其中重大、重要风险进行重点管控。对重大、重要风险的管控是通过制定相应的风险应对方案来实现的。应对方案包括制度、流程保障以及针对风险特性所制定的一系列措施。
在内部控制管理中,对缺陷评价后,无论缺陷重要与否,都应当制定措施、完善流程以达到最大限度地控制风险发生。
内部控制所采用的通过对流程梳理完善以达到控制风险的方法,其实也是全面风险管理中的重要方法之一,可以完全融入全面风险管理之中,即在风险应对方案中要求必须对相应的控制流程进行分析评估,对有缺陷的流程进行完善,以确保有效控制风险的发生。
七、体系的融合
所谓体系的融合就是要把现在的两个管理体系有机地融合在一起,包括组织体系、管理方法、管理语言、评价标准等,统一为一项管理,并能兼顾原来两个体系各自的优点。
通过对上述六个方面的分析,可以看出在全面风险管理与内部控制体系融合中采用吸收融合法可以满足原来两个体系的管控功能,即以风险管理体系为主,通过统一评价标准、统一语言、合并组织体系、融合识别方法、融合分析方法、融合评价方法和融合应对方案等措施,丰富和完善全面风险管理体系,取消内部控制管理体系。重点在评价标准修订、识别风险环节和风险应对环节充分吸收和兼顾内部控制管理的方式、方法,就能使原来的两个体系有机融合。
融合后对体系运行情况的审计评价,则由原来对两个体系的评价改为对一个体系的评价,评价方法不变。
八、融合前后的流程示意图对比
九、结语