序論:在您撰寫風險評價與風險評估的區(qū)別時��,參考他人的優(yōu)秀作品可以開闊視野���,小編為您整理的7篇范文���,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導您走向新的創(chuàng)作高度�����。
第1篇
【關鍵詞】風險管理審計����;風險導向審計;聯(lián)系
一�、風險管理審計
(一)風險管理概述
風險管理是對影響組織目標實現(xiàn)的各種不確定性事件進行識別與評估�����,并采取應對措施將其影響控制在可接受范圍內的過程���。風險管理的目的是為了將風險控制在可接受的范圍內(風險的可接受范圍取決于組織對風險的態(tài)度)。
風險管理分為以下幾個階段:1���、風險規(guī)劃階段����。項目風險管理計劃或策略確定控制目標:可以接受水平�����。2����、風險識別階段。主要確定風險來自何方�?有哪幾類風險�����?(我國國資委將國有企業(yè)風險分為以下幾類:戰(zhàn)略風險、財務風險���、市場風險���、運營風險以及法律風險。)3�����、風險估計階段�����。確定事件后果有多大���?發(fā)生的可能性有多大�����?4���、風險評價階段。確定風險的嚴重順序;確定項目整體風險水平��。5��、風險應對階段����。設計控制風險的措施策略。6�、風險控制階段。檢查控制措施是否充分有效����?自我評估和內部審計。
(二)風險管理審計概念及目的
風險管理審計是內部審計以風險為考慮核心,采用系統(tǒng)
化、規(guī)范化的方法�,通過對企業(yè)全面風險管理活動進行監(jiān)督和評價�����,提出改進意見�����,來改善企業(yè)風險管理����、增進企業(yè)價值的一種審計�����。
通過內部審計機構和人員對企業(yè)風險管理過程的了解��,審查并評價其適當性和有效性��,提出改進建議���,促進企業(yè)目標的實現(xiàn)��。
(三)內容
企業(yè)建立內部風險管理部門���,內部審計人員實施必要的審計程序,對風險評估過程進行審查與評價����,并重點關注風險發(fā)生的可能性和風險對組織目標的實現(xiàn)產生影響的嚴重程度兩個要素。同時����,內部審計人員應當充分了解風險評估的方法,并對管理層所采用的風險評估方法的適當性和有效性進行審查。審計人員應當實施必要的審計程序����,對風險識別過程進行審查與評價,重點關注被審計單位面臨的內����、外部風險是否已得到充分、適當?shù)拇_認��。
最終對內部風險管理組織的健全性�����、風險管理程序的合理性以及風險預警系統(tǒng)的存在及有效性進行審查評價��,最終出具風險管理審計報告�����。
二�����、風險導向審計
(一)概念及特征
風險導向審計立足于對審計風險進行系統(tǒng)的分析和評價�����,并以此作為出發(fā)點,制定審計戰(zhàn)略�,制定與企業(yè)狀況相適應的多樣化審計計劃,以達到審計工作的效率性和效果性��。審計期望差距的存在和審計目標的改變是風險基礎審計產生的社會因素�����。審計組織的經(jīng)濟壓力是風險基礎審計產生的經(jīng)濟原因��。制度基礎審計的內在缺陷及解決方法是風險基礎審計產生的技術原因
(二)內容
首先����,通過對被審計單位控制環(huán)境的評價�����,鑒別其財務報表重要組成項目的各項認定�,考慮財務報表重大錯誤表述的風險。其次��,建立審計目標����。審計目標以風險評價為基礎�����,通過風險評估分析����,制訂審計計劃�,確定如何收集、收集多少和收集何種性質的證據(jù)的決策����,為更有效地控制和提高審計效果及審計效率,提供了一個完整的結構�。再次,根據(jù)審計目標確定擬實施的審計程序的性質�、時間及范圍。最終將審計風險控制在可以接受的范圍內�,并以此出具審計報告。
理論基礎:經(jīng)營風險驅動審計風險����。簡單地說,就是任
何影響客戶實現(xiàn)其經(jīng)營目標的潛在風險���,都是審計風險的來源�。企業(yè)的經(jīng)營風險來自兩個層面:戰(zhàn)略風險和運營風險?����;具壿嬍牵贺攧請蟊硎欠翊嬖谥卮箦e報與經(jīng)營活動的順利與否相關���;經(jīng)營活動的順利與否與企業(yè)的經(jīng)營戰(zhàn)略目標是否正確相關�;企業(yè)經(jīng)營戰(zhàn)略的風險會逐步轉化為財務報表的重大錯報風險��;重大錯報風險是審計風險的直接來源��。
三��、兩者區(qū)別與內在聯(lián)系
(一)區(qū)別
產生背景及性質不同:風險導向審計是由于審計期望差距而產生的����,同時也是對賬項導向審計����、制度導向審計的改進,是審計模式的創(chuàng)新發(fā)展�����,同時也是一種新型的審計模式。風險管理審計是為了滿足企業(yè)加強自身內部風險管理的需要及內部審計自身發(fā)展的需要而產生的���,是一種全新的審計業(yè)務類型�。
審計目的不同:風險導向審計是通過評估審計風險�����,合理分配審計資源����,并設計一系列高效率低成本的審計程序,并最終將審計風險降低至可接受水平���,從而出具審計報告�。風險管理審計則是為了審查和評價企業(yè)風險管理的適當性和有效性���,并最終服務于內部審計�����,降低企業(yè)經(jīng)營管理風險����,提高企業(yè)內部控制水平。
“風險”含義及審計主體不同:風險導向審計中的“風險”指的是審計風險�,包括重大錯報風險和檢查風險,其審計主體是審計機構和審計人員�。風險管理審計中的“風險”主要指的是經(jīng)營風險,主體是企業(yè)及管理人員���,包括風險識別���、評估及應對三個階段。
審計思路不同:風險導向審計首先評估企業(yè)經(jīng)營風險�����,從而確定重大錯報風險�����,從而計算出可接受的檢查風險水平�。風險管理審計主要審查評價企業(yè)風險識別是否充分�,風險評估是否恰當,所采取的風險應對措施是否合理有效�����。
(二)內在聯(lián)系
第2篇
關鍵詞:風險評估 HRN參數(shù) 機械式壓力機
1、前言
壓力機作為常見的金屬加工機械����,在汽車,造船����,航空,機加工等非常多的行業(yè)有著非常廣泛的應用��。同時����,壓力機是一個非常危險的機械。沖壓作業(yè)傷指事故較多�。該行業(yè)曾流行一句話:十個沖工九個殘?����?陀^原因是沖壓機械滑塊垂直下沖速度極快�����。
以一般100噸液壓沖床為例,滑塊每分鐘往復次數(shù)為75次�,即單程一次只約需0.4秒。采用行程為100毫米進行拉伸作業(yè)�����,若手在模內���,沖床滑塊下沖傷指的時間約為0.1秒�。而當操作者發(fā)現(xiàn)或感覺到滑塊下沖時��,反應到大腦���,再由大腦指揮手縮回的時間約為0.2-0.3秒��,顯然手是來不及收回的�。因此常造成傷指事故�����。
因此如何對于一臺沖壓機械中所存的風險進行分析得出結論�����,并對其實施改造�����,以達到機械安全與人員保護的目的��。
2��、風險評估原理
根據(jù)ISO 12100的要求�����,應依照一系列合理步驟進行風險評估�,以便對機械相關危險進行系統(tǒng)地檢查。對于ISO 12100:2010第6條中所述的任何風險降低措施�,風險評估過程均應遵守。為最大限度消除危險并實施安全措施��,這一過程重復進行時���,應給出一個迭代過程�。
風險評估方法包括:
風險估計���。確定限制條件��;危險確認��;風險估計���。
風險評價���。風險估計提供了風險評估所需的信息,而風險評估反過來又有助于對機械安全進行判定�����。
3��、第三 針對一臺400T機械式壓力機所進行的風險評估
在本文中�,我們將主要針對一臺400T閉點式機械壓力機進行風險評估,以識別其中所存在的風險�。依據(jù)前文所述,我們執(zhí)行了以下步驟:
預定的使用環(huán)境為一般工業(yè)環(huán)境�。機器針對操作人員,維護人員和技術人員使用而設計�����。人員已接受機器相關的常規(guī)培訓��。HNKJ-400噸壓機上的維護作業(yè)由受過培訓的人員進行����。機器的清潔由操作人員進行;若存在堵塞��,則由操作人員進行修復��。機器的預計使用壽命為20年��。
在一臺壓力機中����,最顯著的危險源自于合模區(qū)中固定在壓機滑塊的上模與工作臺中固定的下模之間的擠壓危險,但是由于觸及的頻率及方式各不相同�����,對于各個風險點我們進行了如下的識別與評估:
3.3 從正面進入模具區(qū)域
3.4 從側面進入模具區(qū)域
從上述的風險評估舉例中����,可以看出,即使是同一個機械動作所引起的危險��,在不同的作業(yè)情況下,不同的接近路徑下�,其風險區(qū)別極大。因此�,在考慮設計控制系統(tǒng)時,不同的接近路徑下�,不同的控制系統(tǒng)元素的可靠性和冗余性應當也有所區(qū)別。盡管選取最高的系統(tǒng)可靠性顯然能夠滿足系統(tǒng)的安全要求����,但是也會造成系統(tǒng)的構建成本過高,設計過于復雜���。因此�����,根據(jù)風險評估的結果���,來選取相應的控制系統(tǒng)等級來設計控制系統(tǒng),是非常有必要的��。
4�、結語
通過對于HRN風險評估參數(shù)法的闡述,以及對于壓機最主要風險進行的分析�����,我們可以看到,如果在沒有任何保護措施的情況下��,操作這樣高風險的機器時是非常危險的�。我們必須采取安全保護措施�,構建安全防護及相對應的安全控制系統(tǒng)來保護操作人員的安全。而在設計控制系統(tǒng)時��,根據(jù)不同的HRN參數(shù)��,來選擇合適的控制系統(tǒng)等級也是非常重要的����。這樣可以針對性地提高系統(tǒng)安全性,并有效地控制項目成本����。
參考文獻
第3篇
采用滑坡風險評估三要素的方法,即:風險區(qū)劃(R3)����、風險概率(RP)、風險損失(Rh)�,對汶川大地震極震區(qū)10個縣市26000km2面積區(qū)的震后滑坡風險進行了評估��。結果顯示���,區(qū)內高風險區(qū)僅占9.03%面積,但承擔42%的滑坡發(fā)生概率和滑坡?lián)p失風險貢獻;較高風險區(qū)占14.61%面積���,承擔25%的風險貢獻;中風險區(qū)占22.28.%面積��,承擔19%的風險貢獻;低風險區(qū)占37.93%面積�,承擔11%的風險貢獻;無風險區(qū)占16.15%面積��,承擔3%的風險貢獻�����。震后由于采取了有效的避險措施�,滑坡風險明顯降低的結果。
關鍵詞:
汶川8.0級地震;極震區(qū);滑坡;風險評估
地震滑坡風險評估與常規(guī)滑坡風險評估相比多了“地震”因素條件�,在評估的結構和方法上兩者的不同之處何在?對于這一問題,國內外可供參考的文獻極少[1-3]��。筆者認為地震滑坡風險評估與常規(guī)滑坡風險評估兩者的區(qū)別主要應該體現(xiàn)在風險評估結構模型(即:風險區(qū)劃=危險度評估×易損度評估)中的危險度評估��。評價地震滑坡風險只能通過滑坡危險性評估指標因子與地震相關因子的結合,才可能反映地震因素的影響作用���。地震滑坡是在地震瞬間被地震動誘發(fā)的��,地震動能量通過震源和發(fā)震斷層釋放����,一次地震過程中距震中或斷層不同距離上分布的滑坡數(shù)量和規(guī)模差異性很大����。因此在危險度評估中��,可以通過增加地震滑坡震中距和發(fā)震斷層距等與地震相關的作用因子��,來提高地震滑坡危險度評估中地震與滑坡的關聯(lián)度�����。而在風險評估中�,地震因素的直接作用不能被直接反映。如汶川地震發(fā)生后���,地震災區(qū)的建筑物基本都提高了抗震結構設計標準�,區(qū)域空間的建筑承災體的易損性都明顯降低���。隨著災區(qū)建筑物的易損性普遍降低����,統(tǒng)計指標中也難以體現(xiàn)出與常規(guī)易損性指標的差別。只要在危險度評估中增加了地震因子作用���,建立在滑坡危險度和易損度區(qū)劃基礎之上的地震滑坡風險評估�����,就可以反映出地震因素的作用了�。因此�����,地震滑坡風險評估與常規(guī)滑坡風險評估的主要差別應該體現(xiàn)在危險度評估中滑坡與震源相關性因子選取上��。本文選擇汶川地震極震區(qū)(I0≥ⅩⅠ)10縣市(面積26175.77km2)為研究區(qū)域����,探索了地震滑坡風險評估方法。
1地震滑坡風險分布(Rs)
根據(jù)文獻[4]中的滑坡風險分類方法��,不同類型滑坡風險的研究深度不同,應用范圍也不一樣��。因此滑坡風險研究應該具有不同的目標性和實用性�,可以針對不同層次需要,采用不同階段的風險研究目標和方法解決需求����。不同階段的風險評價方法也不相同。按照文獻[4]中的風險層次鏈實施階段劃分�,筆者在完成汶川地震極震區(qū)滑坡風險區(qū)劃的基礎上[5],根據(jù)滑坡風險綜合評估三要素的原則��。式中:RS為風險分布;RP為風險概率;Rh為風險損失���。對汶川地震極震災區(qū)(I0≥Ⅹ)的汶川、都江堰���、彭州���、茂縣、什邡����、綿竹、安縣、北川�、平武、青川10縣市(面積26175.77km2)進行了地震滑坡風險綜合評估���。其中����,地震滑坡風險分布是采用地震滑坡風險區(qū)劃方法確定;地震滑坡風險概率�����,通過對震后降雨滑坡發(fā)生概率統(tǒng)計方法確定;地震滑坡風險損失��,根據(jù)滑坡受災面積的損失率方法確定�����。地震滑坡風險評估與常規(guī)滑坡風險評估的差別主要體現(xiàn)在滑坡風險區(qū)劃的要素中���,而其它要素中是難以反映出地震因素的作用��。汶川地震極震區(qū)的滑坡風險分布可通過全區(qū)滑坡風險區(qū)劃獲得�。采用GIS技術在研究區(qū)1:5萬DEM�、DRG����、20萬地質圖����、1:5萬土地利用圖的基礎上,分別對滑坡危險度的10項因子指標����、承載體易損度的5項因子指標進行權重疊加,按照5級劃分標準經(jīng)過區(qū)劃劃分���,獲得地震滑坡風險的分布結果����。
2地震滑坡風險概率(RP)
地震滑坡風險概率與滑坡發(fā)生概率成正相關關系���,滑坡隨機發(fā)生的次數(shù)越多,存在的風險概率越大�。從宏觀區(qū)域滑坡發(fā)育規(guī)律分析,大地震誘發(fā)的滑坡后期復活主要受降雨因素的控制��。因為再次發(fā)生大地震或余震具有不確定性�����,作為誘發(fā)因素參加滑坡事件概率統(tǒng)計的難度太大。震區(qū)降雨型滑坡后期活動是轉化泥石流并造成大面積受損的主要致災因素��。所以��,地震災區(qū)的滑坡風險概率應該由震后降雨滑坡的時間及空間分布概率所決定�����。
2.1滑坡時間概率采用文獻[6]中的降雨滑坡概率計算方法����,可以分別得到降雨滑坡的時間和空間分布概率。時間概率表示在給定降雨臨界值和時間的情況下����,發(fā)生滑坡的時間概率。
2.2滑坡空間概率空間概率表示按風險區(qū)面積為單元的滑坡分布概率�����。式中:P'為空間概率;x為降雨滑坡分布密度系數(shù)(x=md/s�、其中m為不同危險度區(qū)降雨滑坡數(shù);d為樣本分區(qū)區(qū)間;s為不同危險度區(qū)總面積。采用式(5)�����,對極震災區(qū)10縣市震后的降雨滑坡與地震滑坡進行統(tǒng)計計算,獲得空間概率��。
3地震滑坡?lián)p失評價(Rh)
在地震滑坡風險區(qū)劃的基礎上���,可以通過對各風險區(qū)滑坡受損面積與滑坡風險區(qū)面積之比�,評估滑坡災害可能造成的受損率����。受損率不是經(jīng)濟指標的評價關系,僅僅代表滑坡破壞范圍的概率��。受損率預測對災區(qū)人員傷亡情況是難以準確評估的[7-13]�����,因為這與人們防災意識和政府防災管理程度密切相關��。根據(jù)文獻[3]中的滑坡受災面積統(tǒng)計模型���,可以對滑坡風險分布區(qū)內每一處滑坡受災面積與滑坡風險區(qū)面積進行受損率統(tǒng)計。在實際滑坡風險損失評估中�,由于在獲取當?shù)亟?jīng)濟產量和固定資產資料信息的限制���,如,經(jīng)濟總量����、建筑物、基礎建設�����、農業(yè)���、林業(yè)��、工業(yè)��、水利等等��,所以得出的經(jīng)濟損失評估結果往往可信度較低�。之前采用各種方法作出的經(jīng)濟損失評估與實際情況一般差距較大���。所以對區(qū)域滑坡災害發(fā)生前的損失預測評估��,可以采用滑坡直接受損面積與風險區(qū)面積的比率Rh評估可能造成的損失范圍�。根據(jù)式(6),可以統(tǒng)計汶川地震極震區(qū)全區(qū)滑坡風險區(qū)的滑坡受損情況(表7)��。以上統(tǒng)計結果����,無論對極震災區(qū)全區(qū)的滑坡風險受損率,還是極震災區(qū)各縣市滑坡風險受損率��,都可以看出未來滑坡風險的受損率一般不是太高�����。全區(qū)的高風險區(qū)受損率僅可能達到11%�,其他風險區(qū)的損失率更低。
險綜合評估(R珔)
在完成以上準備之后���,可以對汶川地震極震區(qū)滑坡風險進行綜合評估��。根據(jù)表1�����、圖1表示的汶川地震極震區(qū)滑坡風險分布���,表2、表3表示的汶川地震極震區(qū)滑坡概率�����,表4表示的汶川地震極震區(qū)滑坡風險受損率的統(tǒng)計結果�,評價5類滑坡風險區(qū)可能分別承擔的風險損失概率。式(8)表示風險綜合評估(珔R)是評價5類滑坡風險區(qū)域面積中(Rs)�����,將可能(概率Rp)分別對應承擔滑坡風險損失(受損率Rh)的貢獻率(γ)����。采用式(8),可得到表10���、圖3所示的綜合評估結論����。式(9)說明�����,隨著滑坡風險區(qū)的等級變化,綜合風險貢獻與風險等級呈線性函數(shù)發(fā)展關系��,并且相關性好����。采用以上方法,對汶川地震極震區(qū)各縣市滑坡風險進行綜合評估�,也可獲得各自的評估說明和規(guī)律曲線模型。
5結論
地震滑坡風險評估包括三方面的內容�,即風險分布評價、風險概率評價��、風險損失評價��。而單一的風險評價不能真正代表風險評估的內容��。本文根據(jù)評估的原則對汶川地震極震區(qū)10個縣市的滑坡風險進行了綜合評估�。地震發(fā)生后,由于政府采取了滑坡危險地帶主動搬遷避讓的恢復重建措施��,極震災區(qū)的滑坡風險明顯降低���?����;嘛L險主要由全區(qū)9.03%面積的高風險區(qū)承擔��。其余區(qū)域的滑坡風險很小�����,所以極震災區(qū)大部分區(qū)域是安全的��。風險評估中����,滑坡風險損失評價是一項比較難以確定的指標�。目前的統(tǒng)計方法還達到不到包括人員在內的損失評價,只能滿足固有資產的統(tǒng)計���。因此可能使滑坡綜合風險評估內容有所不足��。
參考文獻:
[1]王啟亮�����,孟朝霞.地震滑坡風險分析研究[J].中國地質災害與防治學報�����,2010�����,21(3):14-16.
[2]韓金良���,燕軍軍��,吳樹仁.四川汶川M8級地震觸發(fā)的典型滑坡的風險指標反演[J].地質通報��,2009�,28(8):1146-1155.
[3]喬建平.第10章汶川大地震滑坡風險評估[M]//大地震誘發(fā)滑坡分布規(guī)律及危險性評價方法.北京:科學出版社�����,2014:324-374.
[4]喬建平���,王萌.滑坡風險的類型與層次鏈[J].工程地質學報����,2010����,18(1):84-90.
[5]喬建平�����,王萌吳彩燕.汶川大地震滑坡風險區(qū)劃研究[J].工程地質學報��,2015.23(2):1-7.
[6]喬建平�����,楊宗佶.滑坡風險評估的三要素[J].工程地質學報,2012����,20(1):1-6.6
[7]許飛瓊.災害損失評估及系統(tǒng)結構[J].災害學,1998�����,13(3):80-83.
[8]常勝�����,曾克峰.恩思州地質災害損失評估方法研究[J].湖北民族學院學報�,2005,23(4):402-404.
[9]謝全敏�,李道明.翟鵬程.滑坡次生災害損失評估方法研究[J].巖土力學���,2007,28(5):961-970.
[10]吳紅華.災害損失評估的灰色模糊綜合方法[J].自然災害學報���,2005���,14(2):115-118
[11]潘曉紅,賈鐵飛�����,溫家洪�����,等.多災害損失評估模型與應用評述[J].防災科學學院學報���,2009�,14(2):77-88
[12]趙紅蕊�����,王濤���,石麗梅.蘆山7.0級地震震后道路損毀風險評估方法研究[J].災害學�����,2014�����,29(2):33-37.
第4篇
關鍵詞:網(wǎng)絡審計 歷史財務報表審計 信息安全管理 風險評估
一�、引言
從審計的角度,風險評估是現(xiàn)代風險導向審計的核心理念�。無論是在歷史財務報表審計還是在網(wǎng)絡審計中,現(xiàn)代風險導向審計均要求審計師在執(zhí)行審計工作過程中應以風險評估為中心���,通過對被審計單位及其環(huán)境的了解,評估確定被審計單位的高風險領域����,從而確定審計的范圍和重點,進一步?jīng)Q定如何收集���、收集多少和收集何種性質的證據(jù)�����,以便更有效地控制和提高審計效果及審計效率����。從企業(yè)管理的角度,企業(yè)風險管理將風險評估作為其基本的要素之一進行規(guī)范�,要求企業(yè)在識別和評估風險可能對企業(yè)產生影響的基礎上,采取積極的措施來控制風險��,降低風險為企業(yè)帶來損失的概率或縮小損失程度來達到控制目的�。信息安全風險評估作為企業(yè)風險管理的一部分,是企業(yè)信息安全管理的基礎和關鍵環(huán)節(jié)�。盡管如此,風險評估在網(wǎng)絡審計��、歷史財務報表審計和企業(yè)信息安全管理等工作中的運用卻不盡相同�����,本文在分析計算機信息系統(tǒng)環(huán)境下所有特定風險和網(wǎng)絡審計風險基本要素的基礎上��,從風險評估中應關注的風險范圍����、風險評估的目的、內容�����、程序及實施流程等內容展開,將網(wǎng)絡審計與歷史財務報表審計和信息安全管理的風險評估進行對比分析����,以期深化對網(wǎng)絡審計風險評估的理解。
二���、網(wǎng)絡審計與歷史財務報表審計的風險評估比較
(一)審計風險要素根據(jù)美國注冊會計師協(xié)會的第47號審計標準說明中的審計風險模型�����,審計風險又由固有風險���、控制風險和檢查風險構成。其中���,固有風險是指不考慮被審計單位相關的內部控制政策或程序的情況下,其財務報表某項認定產生重大錯報的可能性��;控制風險是被審計單位內部控制未能及時防止或發(fā)現(xiàn)財務報表上某項錯報或漏報的可能性����;檢查風險是審計人員通過預定的審計程序未能發(fā)現(xiàn)被審計單位財務報表上存在重大錯報或漏報的可能性����。在網(wǎng)絡審計中�,審計風險仍然包括固有風險、控制風險和檢查風險要素�����,但其具體內容直接受計算機網(wǎng)絡環(huán)境下信息系統(tǒng)特定風險的影響��。計算機及網(wǎng)絡技術的應用能提高企業(yè)經(jīng)營活動的效率����,為企業(yè)的經(jīng)營管理帶來很大的優(yōu)越性,但同時也為企業(yè)帶來了一些新的風險��。這些新的風險主要表現(xiàn)為:(1)數(shù)據(jù)與職責過于集中化��。由于手工系統(tǒng)中的職責分工���、互相牽制等控制措施都被歸并到計算機系統(tǒng)自動處理過程中去了��,這些集中的數(shù)據(jù)庫技術無疑會增加數(shù)據(jù)縱和破壞的風險�。(2)系統(tǒng)程序易于被非法調用甚至遭到篡改。由于計算機系統(tǒng)有較高的技術要求�����,非專業(yè)人員難以察覺計算機舞弊的線索����,這加大了數(shù)據(jù)被非法使用的可能性。如經(jīng)過批準的系統(tǒng)使用人員濫用系統(tǒng)��,或者說����,企業(yè)對接近信息缺乏控制使得重要的數(shù)據(jù)或程序被盜竊等。(3)錯誤程序的風險�,例如程序中的差錯反復和差錯級聯(lián)、數(shù)據(jù)處理不合邏輯��、甚至是程序本身存在錯誤等����。(4)信息系統(tǒng)缺乏應用的審計接口,使得審計人員在審計工作中難以有效地采集或獲取企業(yè)信息系統(tǒng)中的數(shù)據(jù)��,從而無法正常開展審計工作�。(5)網(wǎng)絡系統(tǒng)在技術和商業(yè)上的風險,如計算機信息系統(tǒng)所依賴的硬件設備可能出現(xiàn)一些不可預料的故障�����,或者信息系統(tǒng)所依賴的物理工作環(huán)境可能對整個信息系統(tǒng)的運行效能帶來影響等����。相對應地,網(wǎng)絡審計的固有風險主要是指系統(tǒng)環(huán)境風險���,即財務電算化系統(tǒng)本身所處的環(huán)境引起的風險���,它可分為硬件環(huán)境風險和軟件環(huán)境風險?����?刂骑L險包括系統(tǒng)控制風險和財務數(shù)據(jù)風險��,其中��,系統(tǒng)控制風險是指會計電算化系統(tǒng)的內部控制不嚴密造成的風險�����,財務數(shù)據(jù)風險是指電磁性財務數(shù)據(jù)被篡改的可能性。檢查風險包括審計軟件風險和人員操作風險��,審計軟件風險是指計算機審計軟件本身缺陷原因造成的風險�����,人員操作風險是指計算機審計系統(tǒng)的操作人員�����、技術人員和開發(fā)人員等在工作中由于主觀或客觀原因造成的風險��。
(二)風險評估目的無論在網(wǎng)絡審計還是歷史財務報表審計中����,風險評估只是審計的一項重要程序,貫穿于審計的整個過程���。與其他審計程序緊密聯(lián)系而不是一項獨立的活動����。盡管如此�,兩者所關注的風險范圍則有所不同。歷史財務報表審計的風險評估要求審計人員主要關注的是被審計單位的重大錯報風險――財務報表在審計前存在重大錯報的可能性�����。由于網(wǎng)絡審計的審計對象包括被審計單位基于網(wǎng)絡的財務信息和網(wǎng)絡財務信息系統(tǒng)兩類�,因此審計人員關注的風險應是被審計單位經(jīng)營過程中與該兩類審計對象相關的風險。(1)對于與企業(yè)網(wǎng)絡財務信息系統(tǒng)相關的風險��,審計人員應該從信息系統(tǒng)生命周期的各個階段和信息系統(tǒng)的各組成部分及運行環(huán)境兩方面出發(fā)進行評估��。信息系統(tǒng)生命周期是指該信息系統(tǒng)從產生到完成乃至進入維護的各個階段及其活動����,無論是在早期的線性開發(fā)模型中還是在更為復雜的螺旋式等模型中,一個信息系統(tǒng)的生命周期大都包括規(guī)劃和啟動�����、設計開發(fā)或采購����、集成實現(xiàn)、運行和維護���、廢棄等五個基本階段�。由于信息系統(tǒng)在不同階段的活動內容不同�,企業(yè)在不同階段的控制目標和控制行為也會有所不同���,因此,審計人員的風險評估應該貫穿于信息系統(tǒng)的整個生命周期���。信息系統(tǒng)的組成部分是指構成該信息系統(tǒng)的硬件�����、軟件及數(shù)據(jù)等���,信息系統(tǒng)的運行環(huán)境是指信息系統(tǒng)正常運行使用所依托的物理和管理平臺。具體可將其分為五個層面:物理層���,即信息系統(tǒng)運行所必備的機房����、設備�����、辦公場所�����、系統(tǒng)線路及相關環(huán)境;網(wǎng)絡層�����,即信息系統(tǒng)所需的網(wǎng)絡架構的安全情況��、網(wǎng)絡設備的漏洞情況���、網(wǎng)絡設備配置的缺陷情況等;系統(tǒng)層�,即信息系統(tǒng)本身的漏洞情況、配置的缺陷情況�����;應用層��,即信息系統(tǒng)所使用的應用軟件的漏洞情況����、安全功能缺陷情況;管理層���,即被審計單位在該信息系統(tǒng)的運行使用過程中的組織���、策略�����、技術管理等方面的情況�����。(2)對于與企業(yè)基于網(wǎng)絡的財務信息相關的風險�,審計人員應著重關注財務信息的重大錯報風險和信息的安全風險�。重大錯報風險主要指被審計單位基于網(wǎng)絡的相關財務信息存在重大錯報的可能性,它是針對企業(yè)借助于網(wǎng)絡信息系統(tǒng)或網(wǎng)絡技術對有關賬戶����、交易或事項進行確認、計量或披露而言�。網(wǎng)絡審計中關注的重大錯報風險與傳統(tǒng)審CtT的內涵基本上是一致的,審計人員在審計時應當考慮被審計單位的行業(yè)狀況����、經(jīng)營性質、法律及監(jiān)管環(huán)境��、會計政策和會計方法的選用�、財務業(yè)績的衡量和評價等方面的情況對財務信息錯報可能的影響����。信息安全風險涉及信息的保密性�����、完整性�����、可用性及敏感性等方面可能存在的風險�����,主要針對企業(yè)利用信息系統(tǒng)或一定的網(wǎng)絡平臺來存儲��、傳輸����、披露相關財務信息而言��。在審計過程中����,審eta員應當主要關注相關財務信息被盜用�����、非法攻擊或篡改及非法使用的可能性��。當然����,這兩類風險并非完全分離的��,評估時審計人員應將兩者結合起來考慮���。
(三)風險評估內容 廣泛意義的風險評估是指考慮潛在事件對目標實現(xiàn)的影響程度��。由于網(wǎng)絡審計與歷史財務報表審計風險評估的目的并不完全相同����,因此兩者在風險評估的內容上也是存在區(qū)別的���?�?偟膩碚f��,網(wǎng)絡審計的風險評估內容比歷史財務報表審計的風險評估內容更廣泛和深入��。根據(jù)《中國注冊會計師審計準則第1211號――了解被審計單位及其環(huán)境并評估重大錯報風
險》�,在歷史財務報表審計中,審計人員的風險評估應以了解被審計單位及其環(huán)境為內容����。為識別和評價重大錯報風險,審計人員了解的具體內容包括被審計單位所在行業(yè)狀況��、法律環(huán)境與監(jiān)管環(huán)境以及其他外部因素��、被審計單位的性質�����、被審計單位對會計政策的選擇和運用��、被審計單位的目標��、戰(zhàn)略以及相關經(jīng)營風險����、被審計單位財務業(yè)績的衡量和評價及被審it@位的內部控制等�。在網(wǎng)絡審計中。為了識別和評估上文所述的兩類風險,審計人員除了從以上方面了解被審計單位及其環(huán)境外����,還應該關注其他相關的潛在事件及其影響,尤其是企業(yè)的財務信息系統(tǒng)及基于網(wǎng)絡的財務信息可能面l臨的威脅或存在的脆弱點��。其中�,威脅是指對信息系統(tǒng)及財務信息構成潛在破壞的可能性因素或者事件,它可能是一些如工作人員缺乏責任心����、專業(yè)技能不足或惡意篡改等人為因素,也可能是一些如灰塵���、火災或通訊線路故障等環(huán)境因素��。脆弱點是指信息系統(tǒng)及基于網(wǎng)絡的財務信息所存在的薄弱環(huán)節(jié)����,它是系統(tǒng)或網(wǎng)絡財務信息本身固有的����,包括物理環(huán)境、組織��、過程、人員���、管理���、配置、硬軟件及信息等各方面的弱點����。一般來說,脆弱點本身不會帶來損失或信息錯報�����,威脅卻總是要利用網(wǎng)絡���、系統(tǒng)的弱點來成功地引起破壞�。因此�,我們認為網(wǎng)絡審計申風險評估的內容應包括以下幾方面:(1)識別被審計單位財務信息系統(tǒng)及其基于網(wǎng)絡的財務信息可能面臨的威脅,并分析威脅發(fā)生的可能性�;(2)識別被審計單位財務信息系統(tǒng)及其基于網(wǎng)絡的財務信息可能存在的脆弱點��,并分析脆弱點的嚴重程度��;(3)根據(jù)威脅發(fā)生的可能性和脆弱點發(fā)生的嚴重程度,判斷風險發(fā)生的可能性��;(4)根據(jù)風險發(fā)生的可能性�,評價風險對財務信息系統(tǒng)和基于網(wǎng)絡的財務信息可能帶來的影響;(5)若被審計單位存在風險防范或化解措施�����,審計人員在進行風險評估時還應該考慮相應措施的可行性及有效性����。
(四)風險評估程序《中國注冊會計師審計準則第1211-----了解被審計單位及其環(huán)境并評估重大錯報風險》中要求,審計人員應當實施詢問�����、分析程序�����、觀察和檢查等程序���,以獲取被審計單位的信息�����,進而評估被審計單位的重大錯報風險����。這些程序同樣適用于網(wǎng)絡審計中的風險評估。但在具體運用時網(wǎng)絡審計中更加注重了解和分析被審計單位與信息系統(tǒng)及網(wǎng)絡技術使用相關的事項���。在實施詢問程序時����,審計人員的詢問對象圍繞信息系統(tǒng)和基于網(wǎng)絡的財務信息可大致分為管理人員��、系統(tǒng)開發(fā)和維護人員(或信息編制人員)�、系統(tǒng)使用人員(或信息的內部使用人員)、系統(tǒng)或網(wǎng)絡技術顧問及其他外部相關人員(如律師)等五類�,分別從不同角度了解信息系統(tǒng)和基于網(wǎng)絡的財務信息可能存在的威脅和脆弱點。在實施分析程序時����,除了研究財務數(shù)據(jù)及與財務信息相關的非財務數(shù)據(jù)可能的異常趨勢外,審計人員應格外關注對信息系統(tǒng)及網(wǎng)絡的特性情況�����,被審計單位對信息系統(tǒng)的使用情況等內容的分析比較��。實施觀察和檢查時�����,除執(zhí)行常規(guī)程序外��,審計人員應注意觀察信息系統(tǒng)的操作使用和檢查信息系統(tǒng)文檔。除此之外,針對特定系統(tǒng)或網(wǎng)絡技術風險的評估��,審計人員還需要實施一些特定的程序���。技術方面如IOS取樣分析、滲透測試���、工具掃描�、安全策略分析等�;管理方面如風險問卷調查、風險顧問訪談����、風險策略分析、文檔審核等��。其中���,IDS取樣分析是指通過在核心網(wǎng)絡采樣監(jiān)聽通信數(shù)據(jù)方式�,獲取網(wǎng)絡中存在的攻擊和蠕蟲行為,并對通信流量進行分析�����;滲透測試是指在獲取用戶授權后�����,通過真實模擬黑客使用的工具��、方法來進行實際漏洞發(fā)現(xiàn)和利用的安全測試方法����;工具掃描是指通過評估工具軟件或專用安全評估系統(tǒng)自動獲取評估對象的脆弱性信息,包括主機掃描�����、網(wǎng)絡掃描���、數(shù)據(jù)庫掃描等��,用于分析系統(tǒng)�、應用、網(wǎng)絡設備存在的常見漏洞���。風險問卷調查與風險顧問訪談要求審計人員分別采用問卷和面談的方式向有關主體了解被審計單位的風險狀況,使用時關鍵是要明確問卷或訪談的對象情況風險策略分析要求審計人員對企業(yè)所設定的風險管理和應對策略的有效性進行分析�,進而評價企業(yè)相關風險發(fā)生的概率以及可能帶來的損失;文檔審核是一種事前評價方法���,屬于前置軟件測試的一部分���,主要包括需求文檔測試和設計文檔測試。這些特定程序主要是針對被審計單位信息系統(tǒng)和基于網(wǎng)絡的財務信息在網(wǎng)絡安全風險方面進行評價���,審計人員在具體使用時應結合被審計單位的業(yè)務性質選擇合適的程序��。
三��、網(wǎng)絡審計與信息安全管理的風險評估比較
(一)風險評估的目的信息安全管理中的風險評估(即信息安全風險評估)是指根據(jù)國家有關信息安全技術標準����,對信息系統(tǒng)及由其處理�����、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學評價的過程��。作為信息安全保障體系建立過程中的重要的評價方法和決策機制���,信息安全風險評估是企業(yè)管理的組成部分�,它具有規(guī)劃�����、組織��、協(xié)調和控制等管理的基本特征�����,其主要目的在于從企業(yè)內部風險管理的角度�����,在系統(tǒng)分析和評估風險發(fā)生的可能性及帶來的損失的基礎上�,提出有針對性的防護和整改措施,將企業(yè)面臨或遭遇的風險控制在可接受水平��,最大限度地保證組織的信息安全。而網(wǎng)絡審計是由獨立審計人員向企業(yè)提供的一項鑒證服務����,其風險評估的目的在于識別和評價潛在事件對被審計單位基于網(wǎng)絡的財務信息的合法性、公允性以及網(wǎng)絡財務信息系統(tǒng)的合規(guī)性��、可靠性和有效性的影響程度����,從而指導進一步審計程序��。因此��,兩者風險評估的目的是不一樣����。從評估所應關注的風險范圍來看,兩者具有一致性���,即都需要考慮與信息系統(tǒng)和信息相關的風險���。但是,具體的關注邊界則是不一樣的����。信息安全風險評估要評估企業(yè)資產面臨的威脅以及威脅利用脆弱性導致安全事件的可能性��,并結合安全事件所涉及的資產價值來判斷安全事件一旦發(fā)生對組織造成的影響��,它要求評估人員關注與企業(yè)整個信息系統(tǒng)和所有的信息相關的風險�����,包括實體安全風險��、數(shù)據(jù)安全風險��、軟件安全風險��、運行安全風險等�。網(wǎng)絡審計中���,審計人員是對被審計單位的網(wǎng)絡財務信息系統(tǒng)和基于網(wǎng)絡的財務信息發(fā)表意見����,因此���,風險評估時審計人員主要關注的是與企業(yè)財務信息系統(tǒng)和基于網(wǎng)絡的財務信息相關的風險���,而不是與企業(yè)的整個信息系統(tǒng)和所有的信息相關的風險���。根據(jù)評估實施者的不同,信息安全風險評估形式包括自評估和他評估�。自評估是由組織自身對所擁有的信息系統(tǒng)進行的風險評估活動;他評估通常是由組織的上級主管機關或業(yè)務主管機關發(fā)起的�,旨在依據(jù)已經(jīng)頒布的法規(guī)或標準進行的具有強制意味的檢查。自評估和他評估都可以通過風險評估服務機構進行咨詢���、服務����、培訓以及風險評估有關工具的提供����。因此����。對審計人員而言,受托執(zhí)行的信息安全風險評估應當歸屬于管理咨詢類��,即屬于非鑒證業(yè)務��,與網(wǎng)絡審計嚴格區(qū)分開來。
(二)風險評估的內容在我國國家質量監(jiān)督檢驗檢疫總局的《信息安全風險評估指南》(征求意見稿)國家標準中���,它將信息安全風險評估的內容分為兩部分:基本要素和相關屬性�����,提出信息安全風險評估應圍繞其基本要素展開���,并充分考慮與這些基本要素相關的其他屬性。其中��,風險評估的基本要素包括資產���、脆弱性����、威脅����、風險和安全措施;相關屬性包括業(yè)務戰(zhàn)略��、資產價值���、安全需求�、安全事件、殘余風險等�。在此基礎上的風險計算過程是:(1)對信息資產進行識別,并對資產賦值���;(2)對威脅進行分析�����,并對威
脅發(fā)生的可能性賦值�����;(3)識別信息資產的脆弱性����,并對弱點的嚴重程度賦值����;(4)根據(jù)威脅和脆弱性計算安全事件發(fā)生的可能性�����;(5)根據(jù)脆弱性的嚴重程度及安全事件所作用的資產的價值計算安全事件造成的損失;(6)根據(jù)安全事件發(fā)生的可能性以及安全事件出現(xiàn)后的損失����,計算安全事件一旦發(fā)生對組織的影響,即風險值�。結合上文網(wǎng)絡審計風險評估五個方面的內容可以看出,網(wǎng)絡審計和信息安全風險評估在內容上有相近之處��,即都需要針對信息系統(tǒng)和信息可能面臨的威脅和存在的脆弱點進行識別��。但是�����,信息安全管理作為企業(yè)的一項內部管理���,其風險評估工作需要從兩個層次展開:一是評估風險發(fā)生的可能性及其影響����;二是提出防護或整改措施以控制風險���。第一個層次的工作實質上是為第二層次工作服務的�����,其重點在第二層次����。《信息安全風險評估指南》(征求意見稿)提出����,企業(yè)在確定出風險水平后,應對不可接受的風險選擇適當?shù)奶幚矸绞郊翱刂拼胧?�,并形成風險處理計劃����。其中,風險處理的方式包括回避風險����、降低風險、轉移風險��、接受風險���,而控制措施的選擇應兼顧管理和技術,考慮企業(yè)發(fā)展戰(zhàn)略�����、企業(yè)文化、人員素質���,并特別關注成本與風險的平衡�。網(wǎng)絡審計的風險評估工作主要集中在第一個層次�,即審計人員通過風險評估,為進一步審計中做出合理的職業(yè)判斷�、有效地實施網(wǎng)絡審計程序和實現(xiàn)網(wǎng)絡審計目標提供重要基礎。因此��,兩者的評估內容是存在區(qū)別的�����。
第5篇
風險研究最早運用于項目工程管理領域�,在其發(fā)展過程中主要應用于管理學、金融學���、心理學等學科的研究中��。
(一)風險管理理論
風險管理理論始于20世紀30年代��,至20世紀60年代中期逐步發(fā)展成為一門學科�。“1963年梅爾和赫奇斯的《企業(yè)的風險管理》�����、1964年威廉姆斯和漢斯的《風險管理與保險》出版��,標志著風險管理理論正式登上了歷史的舞臺��?�!保?]風險管理理論經(jīng)歷了從傳統(tǒng)風險管理理論到金融風險管理理論再到全面風險管理理論的不同時期���。傳統(tǒng)風險管理理論主要對風險管理的對象進行界定和區(qū)分���,將純粹意義上的風險作為研究對象,也就是將不利風險納入企業(yè)風險管理的重要范疇�。企業(yè)風險管理的主要任務是減少不利風險的發(fā)生,降低不利風險對企業(yè)的可能損害����。管理的基本手段是采用保險的方式轉移和減少風險所帶來的損失。20世紀60年代末至70年代初�,一些學者對市政管理中的風險問題進行研究��。托德(Todd,1969)和沃恩(Vaughan�,1971)通過對美國九個州市政管理現(xiàn)狀的調查研究,提出市政官員應加強市政風險管理的主張�����。風險管理理論逐步與管理學�、經(jīng)濟學等學科融合與發(fā)展,風險管理研究對象逐步拓展�����,不再局限于傳統(tǒng)風險管理理論對純粹風險的管控�����,金融風險管理興起���。金融風險管理不僅是為了克服純粹風險���,更不是僅僅利用保險的方式轉移風險,而是注重保險的收益功能��。金融風險管理標志著風險管理理論向縱深度發(fā)展。20世紀80年代���,接踵而至的金融危機推動了風險管理理論的蓬勃發(fā)展���,迫使金融界進一步思考風險管理問題,全面風險管理時代來臨���。全面風險管理主張從系統(tǒng)的角度對所有風險集合整體上加以管理和控制����。全面風險管理理論已經(jīng)成為企業(yè)決策和金融業(yè)決策的重要指導���,作為一種系統(tǒng)和科學的管理模式被廣泛應用�����。
(二)風險社會研究的興起與發(fā)展
20世紀以來�����,特別是20世紀后半期���,人類社會在經(jīng)濟領域����、社會領域取得非凡成就���,但也潛藏著各種危機,生態(tài)環(huán)境急劇惡化���,經(jīng)濟危機和金融風險頻繁發(fā)生��,社會貧富分化現(xiàn)象日趨嚴峻;與此同時�����,化學污染���、核威脅、各種電磁輻射��、轉基因產品危害等現(xiàn)代性的負效應正威脅人類���,使社會面臨嚴重風險��。出于對工業(yè)社會和現(xiàn)代性的反思��,1986年德國學者烏爾里希•貝克(UlrichBeck)在其德文版著作《風險社會》中��,首次提出“風險社會”的概念�����。但是在當時風險社會理論并未引起過多關注����,直至1992年其英文版著作《風險社會》出版,風險社會理念才備受矚目�����。伴隨著對風險社會形成原因的不斷追問��,貝克進一步指出工業(yè)社會所面臨的風險與以往社會所面臨的風險存在區(qū)別����,如果將人類社會早期所發(fā)生的自然災害、社會危機歸結為自然規(guī)律所導致的��,那么工業(yè)社會發(fā)生的危機則與人類社會的重大決策緊密相關����。貝克認為:“工業(yè)化以前人類社會所遭遇的各種自然災害與工業(yè)化以后人類社會所面臨的各種風險大不一樣����?�!保?]安東尼•吉登斯則從人類社會歷史發(fā)展的角度��,對社會發(fā)展的現(xiàn)代性�����、社會發(fā)展的全球化趨勢與社會風險關系進行探討�����,提出全球風險社會理論���。吉登斯認為,人類社會面臨的風險�,如果是來自自然界的外在風險,那么是自然風險;如果是由人類社會內部對自然的改造和控制等“人力制造出來的風險”�,那么是“人造風險”。人造風險與人類工業(yè)化發(fā)展�����、對社會現(xiàn)代性的追求相伴生。吉登斯對風險社會的研究系統(tǒng)而深入���,對由現(xiàn)代性引發(fā)的社會風險類型進行了闡釋��,認為現(xiàn)代性蘊含著經(jīng)濟增長���、生態(tài)環(huán)境破壞、極權主義��、軍事沖突���、核危機等社會風險���。從風險管理理論和風險社會研究可以看出,風險并不必然伴隨科技發(fā)展和社會進步而消失或減少;相反��,可能由于人類的某種選擇和決策的失誤而被強化�����。因此�����,從全球的視野來分析社會風險,反思人類社會的管理與決策����,加強決策與管理的科學性,有助于探尋社會風險的化解方法�。
二、歐美重大事件風險管理的實踐經(jīng)驗
近年來���,歐美發(fā)達國家的社會發(fā)展水平逐步提高�����,社會發(fā)展能力被彰顯出來。與此同時����,社會面臨的風險與不確定因素也越來越多,風險轉化成危害�,嚴重威脅著社會穩(wěn)定與持續(xù)發(fā)展。為此��,歐美等發(fā)達國家和地區(qū)積極強化風險社會管理手段與方法��。其依靠重大事件的科學決策有效化解風險��、促進社會穩(wěn)定的經(jīng)驗,值得中國借鑒�����。
(一)美國環(huán)境風險管理制度
美國一直以來重視環(huán)境保護����,20世紀80年代以來,更是將環(huán)境管理問題上升到與國家安全�����、國家利益�����、社會穩(wěn)定同等重要的高度�。美國政府十分重視環(huán)境管理,對于環(huán)境管理中存在的風險進行有效控制���。美國對于環(huán)境管理及風險防控的基本做法主要體現(xiàn)在:一是高度重視環(huán)境保護問題���,將其確定為與國家安全、國家利益緊密相關的重大事件。1977年�����,美國學者萊斯特•布朗(LesterBrown)在其研究報告《重新定義國家的安全》中��,首次提出將環(huán)境問題與國家安全問題緊密相連����。布朗的觀點引起廣泛關注,關于環(huán)境安全的研究逐步增多����。1987年里根政府的《國家安全報告》明確指出,自然資源的損耗與污染成為國家繁榮和國家安全的潛在威脅與風險���,環(huán)境安全��、環(huán)境管理被列入涉及國家安全、國家利益的重要領域��,成為政府決策管理的重要范疇����。二是進行深入系統(tǒng)的環(huán)境風險評價科學研究,為環(huán)境決策提供理論基礎和技術路線。美國是較早開展環(huán)境風險評價研究的國家���,20世紀70年代至80年代初�����,環(huán)境風險評價開始萌芽�,但關于風險評價的內涵尚不清晰�����。20世紀80年代以來���,風險評價的框架基本形成�。美國國家科學院提出環(huán)境風險評價包含危害鑒別�、劑量—效應關系評價、暴露評價和風險表征四個階段[3]�����。20世紀80年代后期��,環(huán)境風險評價運用于決策的相關研究逐步增加�����,特別是比較風險評價理論的提出與發(fā)展,大大推動了美國環(huán)境決策發(fā)展���。艾扎斯(Ijjasz)和特雷耶(Tlayie)認為�,“在宏觀上��,比較風險評價是在掌握大量正確數(shù)據(jù)的基礎上對決策中的風險進行排序比較����,并以風險的大小作為決策方案的選擇依據(jù),從而形成一個包含有科學家��、決策者與利益相關者的開放����、公平的相互交流的環(huán)境?!保?]三是建立生態(tài)風險評價的政策依據(jù),為風險評價提供行動指南���?����!?998年美國國家環(huán)保局正式頒布了《生態(tài)風險評價指南》�����,提出生態(tài)評價三步法:問題形成����、分析和風險表征����,同時要求在正式的科學評價之前,首先制定一個總體規(guī)劃���,以明確評價目的��?��!保?]這也是世界上最早的生態(tài)風險評價方面的指導文件。美國國家環(huán)境保護局將比較風險評價應用于環(huán)境決策�����,確定了將當前環(huán)境決策未解決的問題具體化�、在對數(shù)據(jù)分析的基礎上提出新的決策方案���、決策者依據(jù)環(huán)境因素與潛在風險等因素對方案進行評估、方案選擇決策確定��、校驗決策等基本環(huán)節(jié)����。四是建立完備的風險管理與環(huán)境應急機制。對于環(huán)境存在的風險及可能發(fā)生的突發(fā)事件���,美國建立比較完善的環(huán)境風險管理與應急機制��。環(huán)境風險管理與應急機制主要包括環(huán)境風險的宣傳與教育機制�����、風險預測預警機制���、風險管理機制,針對潛在的環(huán)境風險進行識別�、宣傳與防范,為降低風險和科學決策提供保障�����。
(二)歐盟食品風險評估制度
自20世紀60年代開始,為確保食品安全�,促進食品在成員國自由流通��,歐盟就制定了食品安全政策����。目前歐盟已建立相對完備的食品安全風險評估制度體系,能夠有效防控食品安全危機����。一是構建食品安全風險評估的法律框架,為風險評估工作提供法律依據(jù)�。歐盟委員會分別于1997年和2000年《食品安全綠皮書》、《食品安全白皮書》���,明確了食品安全管理的總體思路���,特別是提出了食品安全風險評估的重要性,提出成立歐盟食品安監(jiān)局作為食品安全風險評估的實施機構����,初步奠定了開展食品安全風險評估的制度基礎。2002年頒布了EC178/2002條例����,明確提出食品安全法應建立在風險評估的基礎上���,明確提出成立食品安全局(EFSA)進行食品安全風險評估的相關工作。二是建立食品安全的快速預警系統(tǒng)���。歐盟在食品安全法的框架下����,建立了食品與飲料快速預警系統(tǒng)(RASFF)[6]����。根據(jù)危急程度不同,預警系統(tǒng)分為預警通報和信息通報兩大類��。當食品安全出現(xiàn)問題���,可能危及人類健康時��,成員國可以借助預警系統(tǒng)互通消息���,從而減少風險。三是成立專門的食品安全風險評估組織機構,以保證評估工作的科學性與獨立性��。歐盟食品安全局作為食品安全風險評估和風險交流的專門機構�����,開展相對獨立��、科學�、公開�����、透明的風險評估工作��。食品安全局組織機構完備����,下設管理委員會、執(zhí)行主任和成員�����、咨詢論壇����、科學委員會和科學小組[7]�。管理委員會主要負責下年度工作計劃和上年度工作總結報告等職責�����。執(zhí)行主任公開招聘產生����,主要負責日常管理工作。咨詢論壇協(xié)助執(zhí)行主任開展工作����,負責與各成員國主管機構合作,加強信息交流����,充分了解和把握潛在的風險??茖W委員會和科學小組負責為決策提供科學建議?�?茖W小組由食品安全領域專家組成����,可以組織聽證會,加強與公眾交流,搜集公眾意見�����?��?茖W委員會則由各小組的主席以及來自科學小組以外的六名專家組成�����,開展全面協(xié)調工作��,確保科學建議的準確性與一致性����。歐盟食品安全局自動發(fā)起或者是應歐盟委員會或其成員國的科學建議請求,必須在規(guī)定期限內為歐盟成員國和歐盟委員會提供科學技術支持�,盡可能地搜集決策相關信息,在對其進行風險評估的基礎上�,將評估結果、風險信息等因素一并提供給歐盟委員會及其成員國���。
(三)英國國家安全風險評估與城市風險評估體系
英國建立了相對完善的國家安全風險評估和城市安全風險評估機制����,能夠對國家層面和城市中可能發(fā)生的危害國家和社會安全的風險進行有效的防范與控制。英國建立了完備的國家安全風險評估與預測機制��,建構了《國家安全風險評估》���、《國家安全任務與指導方針》等風險評估與風險應對的防范政策體系�����。國家安全委員會在廣泛了解和分析潛在的國家安全風險的基礎上��,根據(jù)相關的可能性及其影響���,促進和協(xié)助政府聯(lián)合其他部門共同面對和化解風險。以英國倫敦為例�,其“一案三制”意義上的城市風險管理機制十分完備,堪稱城市風險管理的典范�����,可以為區(qū)域內重大事件決策的風險防范提供參考��。通常情況下�����,風險管理分為風險評估與防范、風險控制�����、風險處置與恢復等環(huán)節(jié)���。在倫敦的城市風險管理中����,風險評估程序非常完善����。倫敦城市風險評估的基本經(jīng)驗主要體現(xiàn)在以下三個方面:一是依法確立風險評估主體��。英國2005年4月正式實施的《國內應急法》明確規(guī)定各級政府是風險評估的責任主體����,在風險評估與應急規(guī)劃中擔負重要責任。二是建立風險評估的協(xié)調機構��。美國“9•11”恐怖襲擊事件發(fā)生以后����,倫敦出于對危機事件有效防范的考量��,著手建立跨區(qū)域�����、跨部門的風險評估協(xié)調機構���。倫敦區(qū)域應急論壇下設倫敦應急團隊,每個論壇的主要職責是對區(qū)域內的風險進行識別與評估�����,使倫敦能有效應對危機事件���。三是完善風險評估的基本流程系統(tǒng)��。倫敦的城市風險評估工作流程主要分為“選擇風險事項��、挑選評估者��、風險分析�����、風險評價���、風險應對�、監(jiān)控與審查等六大步驟”[8]���。選擇風險事項階段��,主要由風險評估工作組和各應急論壇的組成部門協(xié)同合作��,確定風險事項�,識別重要的利益相關者�����,結合區(qū)域環(huán)境因素確定風險評估的原則與標準�。挑選評估者階段,主要是確定風險評估者及地方應急論壇相關人員在工作中的分工與職責�,確定主任評審員的人選��,為后續(xù)工作奠定組織基礎��。風險評價階段�,主要由主任評審員負責�����,對未來五年內可能發(fā)生的風險進行分析與建議����。風險分析階段�����,主要是由主任評審員對風險進行預測��、分析��,并提出相對詳盡的風險分析報告�����。風險應對��、監(jiān)督與評審已經(jīng)成為制度化���、穩(wěn)定化的工作����,地方應急論壇每四年就要對所有風險提出正式的評審報告。
三��、國外經(jīng)驗對我國重大決策社會穩(wěn)定風險評估的啟示
國外關于風險研究的理論與重大事件風險管理的實踐都取得了長足進展�,而我國重大事件社會穩(wěn)定風險評估工作尚處于起步階段,還存在諸多需要完善之處���。汲取歐美發(fā)達國家重大事件風險管理的有益經(jīng)驗��,建立健全我國重大決策社會穩(wěn)定風險評估機制���。
(一)加強重大決策社會穩(wěn)定風險評估的理論研究
中國重大決策社會穩(wěn)定風險評估工作已經(jīng)進入實踐階段,實踐中形成了四川“遂寧模式”和江蘇的“淮安模式”�����,但是中國關于重大決策社會穩(wěn)定風險評估的理論研究還十分匱乏��。分析美國環(huán)境風險管理的成功經(jīng)驗���,美國國家科學院等環(huán)境保護的科研機構及專家學者關于環(huán)境風險的相關理論研究為政府決策提供了有效的理論依據(jù)和方法指引�,對保障決策科學性和化解決策風險起到重要作用����。中國學者關于風險社會理論的研究集中于風險社會意識形成和風險社會危害等研究領域。這些研究雖然奠定了重大決策社會穩(wěn)定風險分析的理論基礎�����,能夠為風險評估提供理論支撐���,但是結合中國社會轉型期社會穩(wěn)定風險的分析不夠深入�����,對于重大決策可能引起的風險認識還不夠清晰��。中國對于重大決策社會穩(wěn)定風險評估價值的探討較多�����,但是對于如何推進實踐的可操作性研究明顯不足���。風險評估作為一種技術已經(jīng)在國內外政治社會生活中廣泛應用,在國家�����、部門,特別是企業(yè)管理中廣泛應用��,但是目前中國在重大決策中應用較少���,學者提供了風險評估的框架體系���,但是缺少細節(jié)設計,還有待于對重大決策風險評估的技術方法和實踐機制等領域進行深入系統(tǒng)的理論研究��。
(二)增強重大決策社會穩(wěn)定風險評估意識
目前�����,從中國相關政府部門到社會公眾�,整體上風險意識淡薄,對于風險管理認識不深入�、不夠重視,特別是對于重大事件決策與社會穩(wěn)定風險之間的相關性認識不清�,缺乏管控風險的意識。因此��,強化對重大決策社會穩(wěn)定風險評估的意識�����,為各級政府決策提供軟環(huán)境。發(fā)達國家的風險意識十分強烈��,美國20世紀80年代就將環(huán)境保護問題上升到與國家安全�����、國家利益息息相關的重大事件進行管理����,對重大事件風險評估與決策十分重視�。英國對于國家未來可能發(fā)生的重大風險進行識別與防控,也是緣于其高度的風險意識�����。
(三)完善重大決策社會穩(wěn)定風險評估的法律制度
歐盟在食品安全管理中��,有關食品風險評估的法律制度提前建立起來�����,為食品風險評估提供法律保障��。英國國家安全以及城市風險管理的相關法律制度較早地完備起來����,為風險評估工作奠定了制度基礎����,使風險評估可以按照法律和制度要求系統(tǒng)化���、經(jīng)?;?���、穩(wěn)定化地開展。中國對于重大決策風險評估的法律依據(jù)尚不充分�����,所以需要建立健全重大決策風險評估的相關法律政策����,為開展重大決策風險評估提供政策依據(jù),保障風險評估工作有序進行���。
(四)建立健全重大決策社會穩(wěn)定風險評估的管理機制
第6篇
【關鍵詞】 雷電災害 風險評估 標準 防雷
1 引言
從標準角度看��,目前國內外有多個關于雷電災害風險評估的標準���,本文主要就雷電災害風險評估的各種標準進行對比����,并分析其優(yōu)缺點��。
2 雷電災害風險評估的標準介紹
我國各個省市所應用風險評估的方法和規(guī)范并不相同�,例如江蘇省評估工作基于IEC62305和GB21714��,重慶����、西安則基于QX/T85-2007,但總體來說�,有關雷電災害風險評估的標準主要有以下幾種:(1)《氣象信息系統(tǒng)雷擊電磁脈沖防護規(guī)范》(QX3-2000),適用范圍是由雷擊電磁脈沖(LEMP)對氣象信息系統(tǒng)造成損失的風險的評估�,所用的方法基于早期國外防雷標準中的因子分析法,評估的重點是確定年平均直擊雷次數(shù)和年平均允許雷擊次數(shù)����;(2)《通信局站雷電損壞危險的評估》(ITU-T K.39),適用于通信局站雷電過電壓(過電流)造成的設備危害和人員安全危害的風險的評估�����;(3)《建筑物電子信息體統(tǒng)防雷技術規(guī)范》(GB 50343―2004),按建筑物電子信息系統(tǒng)所處環(huán)境進行雷電災害風險評估�����,確定雷電防護等級���;(4)《雷擊損害風險評估》(IEC6166)��,主要闡述了建筑物與服務設施的分類���、雷災風險、防護措施的選擇過程以及建筑物與服務設施防護的基本標準等問題��;(5)《雷電防護》(IEC 62305)��,共分5個部分�,IEC 62305-1清楚地說明了在防雷電保護結構中遵循的一般原則;IEC 62305-2表述了保護的需要��、安裝保護措施的經(jīng)濟利益和適當?shù)谋Wo措施的選擇程序����,以及風險管理的方法;IEC 62305-3涉及減少對建筑物的物理損害和威脅生命安全的方法�����;IEC 62305-4闡述了減少建筑物內電器和電子系統(tǒng)故障的方法;IEC 62305-5涉及減少與建筑物有關的服務(主要是電力和電信)的物理損害和出現(xiàn)故障的方法��;(6)《雷電災害風險評估技術規(guī)范》(QX/T85―2007)���,此規(guī)范將雷電災害風險評估分為預評估�����、方案評估與現(xiàn)狀評估��,主要包括大氣雷電環(huán)境評價、雷擊損害風險評估����、雷電災害易損性評估、雷電災害環(huán)境影響評價等內容��。
3 雷電災害風險評估方法
目前����,雷電災害風險評估的方法大致有兩種,一種是定性評估����,一種是定量評估����。GB50057-2010中規(guī)定建筑物應根據(jù)其重要性�、使用性、發(fā)生雷電事故的可能性和后果�,按防雷要求分為三類,這屬于定性評估����。而IEC62305-2以及由此衍生出的GB/T21714、 QX/T85-2007則通過對損失量的影響因子的選擇�,然后進行計算,得出雷擊風險的各種損失的數(shù)值���,這屬于定量評估�。
綜合來看��,我國的雷電災害風險評估采用了定性與定量相結的方法�����,有的地方用定性��,有的地方用定量,還沒有統(tǒng)一��。在該方法的基礎上���,結合中國國情��,在個別參數(shù)的選取上細化或有少許變動��。
4 雷電災害風險評估標準的分析
4.1 評估標準的局限性
任何方法都是有其適用的范圍的�,同樣��,評估中經(jīng)常用到的標準也是有其適用范圍的����,下面對常用的雷電災害風險評估標準的范圍進行簡單的分析:
IEC62305-1適用于建筑物包括其中的裝備和設備,也包括人身以及進入建筑物的公共設施���。不適用于鐵路設施,車輛���、船只�����、飛行器����、海岸設施以及地下高壓管道。
IEC62305-2適用于由雷擊導致的建筑物內或公共設施內的風險評估��。
GB/T21714.2適用于建筑物和服務設施的雷擊風險評估��。
QX/T85-2007適用于新建�、改建、擴建項目的雷電災害風險評估�����。
以上三個規(guī)范����,均不適用于鐵路設施,車輛���、船只�、飛行器���、海岸設施以及地下高壓管道����。因此,當評估對象出現(xiàn)特殊化時���,雷擊風險評估需要加入新的技術標準��。
4.2 評估標準的比較
4.2.1 評估標準的相似性
(1)各評估標準都把重點放在雷電災害損害次數(shù)這個參數(shù)上����,而決定損害次數(shù)的子參數(shù)的選取大多以經(jīng)驗為主�。
(2)各評估標準都需要計算出實際損害次數(shù)(實際風險)和允許損害次數(shù)(允許風險),然后給出風險級別并提供適當?shù)姆雷o措施����。
(3)各評估標準在處理雷電災害損失和雷電災害風險時,都使用相對值��,且大部分參數(shù)都以表格等形式給出一定的典型值����,取值不連續(xù)而且很難達到比較高的精度��。
(4)各評估標準都要求精確得到評估對象(建筑物或服務設施)的雷擊有效面積,乘上當?shù)氐睦讚裘芏榷嬎闫淇赡芾讚舸螖?shù)���,然后需要求得允許雷災水平(可承受雷災水平)��。
4.2.2 評估標準的區(qū)別
雖然個標準之間有一定的相似性�,但同時也存在著許多區(qū)別:(1)從評估結果考慮�,通過對各個標準之間做比較,可以發(fā)現(xiàn)ITU-T k.39和IEC61662都是以公式R=N×P×δ基本計算公式�,兩個標準都考慮了人身損失和財產損失等,都是通過計算防雷裝置的攔截效率E來最終確定評估對象的雷電防護必要性和防護等級(防護級別)��。而IEC62305��、GB/T21714.2和QX/T85-2007都是以公式Rx=Nx×Px×Lx基本公式����,三個標準都考率了人身傷亡損失風險、公眾服務損失風險�����、文化遺產損失風險及經(jīng)濟損失風險�����,都是通過確定風險分量并計算風險分量值,將其分量值與其分量最大允許值相比較最終確定該建筑物是否在風險允許范圍內
(2)IEC61662����、IEC62305標準包括尤其衍生出來的GB/T21714.2和QX/T85-2007是最復雜、準確度及可信度最高的�����,也是我國目前氣象行業(yè)開展雷擊災害風險評估的主要技術規(guī)范��,綜合了建筑物所在區(qū)域預計年遭受雷擊次數(shù)N��、在建筑物區(qū)域內遭受到雷擊后可能發(fā)生雷電災害損失的概率P及建筑物在遭受雷擊后可能發(fā)生的后果及損失程度L三個因素��,而每個因素的計算都是通過一系列的相關限制因子來確定的��。但是GB/T21714.2里面的分量�����、因子��、概率���、損失率等數(shù)據(jù)是德國人根據(jù)歐洲的雷電特性���、雷電環(huán)境、年平均雷暴日�、土壤電阻率等統(tǒng)計、計算出的�,適合歐洲情況。而中國在雷電特性�����、雷電環(huán)境�、年平均雷暴日、土壤電阻率等各方面是截然不同的����。因此,還需要將GB/T21714.2的分量�、因子、概率��、損失率等統(tǒng)計��、計算出適合中國國情的數(shù)據(jù)(3)QX3-2000與GB50343―2004標準的評估重點是確定年平均允許雷擊次數(shù)Nc��,但其所采用的公式不同���,QX3-2000計算Nc的公式為Nc=5.8*10-3/C或Nc=5.8*10-4/C�����,其中C=C1+C2+C3+C4+C5�����,因此其評估精度主要取決于建筑材料因子�、信息系統(tǒng)重要程度因子、設備耐沖擊類型因子����、設備的LPZ因子和雷擊后果因子。而GB50343―2004計算Nc的公式為Nc=5.8*10-1.5/C��,其中C=C1+C2+C3+C4+C5+C6�,C1~C5同QX3-2000中規(guī)定的,C6為區(qū)域雷暴等級因子���。兩種標準雖然計算公式類似�,但所用的指數(shù)不同�,同時GB50343―2004也比QX3-2000多了一個因子(4)QX3-2000和GB50343―2004與IEC61662標準在計算雷擊大地的平局密度Ng的計算公式上也是不同的,QX3-2000和GB50343―2004計算Ng的公式為Ng=0.024Td1.3�����,而IEC61662中為Ng=0.04Td1.25(5)ITU-Tk.39標準的評估重點是確定雷電損害次數(shù)F,F(xiàn)=Fd +Fn +Fs+Fa���,其中Fd=Ng*Ad*Pd,F(xiàn)n=Ng*An*Pn��,F(xiàn)s =Ng*As*Ps�����,F(xiàn)a=Ng*Aa*Pa���,一般情況下以Fs為主��;而面積Ad�����,An����,As和Aa�����,在評估時要注意各類面積可能重疊,概率因子P的確定方法基本上來自于經(jīng)驗�,其大小與設備自身性質和特定的保護措施有關。
由以上分析可以看出��,這些常用雷電災害風險評估標準中包含了三個評估評估重點���,即確定雷擊風險R�����,確定年平均雷擊次數(shù)Nc以及確定雷電損害次數(shù)F���,并且各標準所采用的公式及所需因子等也不盡相同,采用的方法也不相同�����,但各有其優(yōu)缺點���,應當根據(jù)評估對象的特點進行選取����。
5 結語
通過對雷電災害風險評估常用標準的分析,各標準都對雷擊損害風險評估的方法��、流程及各因子的選取等方面進行了詳細的介紹���,但是對大氣雷電環(huán)境的評價都是簡單介紹�,而進行大氣雷電環(huán)境評價的基礎是擁有數(shù)量足夠��、信息可靠的閃電資料����,對目標地點周邊一定距離內雷電環(huán)境分析��,區(qū)別于以往一貫的基于雷暴日進行大氣雷電環(huán)境分析的粗略計算��;即使是同一地區(qū)相距較近的兩地���,也有可能得到不同的雷電環(huán)境分析結論��。
參考文獻:
[1]QX3-2000氣象信息系統(tǒng)雷擊電磁脈沖防護規(guī)范.
[2]ITU-T K.39《通信局站雷電損壞危險的評估》.
[3]GB 50343―2004《建筑物電子信息體統(tǒng)防雷技術規(guī)范》.
[4]IEC6166《雷擊損害風險評估》.
[5]IEC 62305《雷電防護》.
[6]QX/T85―2007《雷電災害風險評估技術規(guī)范》.
[7]GB/T21714.2-2008《雷電防護 第2部分 風險管理》.
[8]鐘萬強�����,肖穩(wěn)安.建筑物雷電災害風險評估的標準���、體系和方法�,http://qxbzjk.cma�����,/servlet/News�����?Node=15611.
第7篇
一�����、傳統(tǒng)風險導向審計模型
傳統(tǒng)風險導向審計也稱為控制風險導向審計����,是指審計人員在審計過程中將風險分析、評價與控制融入傳統(tǒng)審計方法之中�����,進而獲取審計證據(jù)��,形成審計結論的一種審計取證模式。
模型(審計風險=固有風險×控制風險×檢查風險)可以解決交易類別�、賬戶余額、披露和其他具體認定層次的錯報�����,發(fā)現(xiàn)經(jīng)濟交易和事項本身的性質和復雜程度發(fā)生的錯報�����,發(fā)現(xiàn)企業(yè)管理當局由于本身的認知和技術水平造成的錯報����,以及企業(yè)管理當局局部和個別人員舞弊和造假造成的錯報,從而將審計風險控制在比較滿意的水平���。
二、現(xiàn)代風險導向審計模型
風險導向審計也稱為經(jīng)營風險導向審計�,是指以被審計單位的戰(zhàn)略經(jīng)營風險為導向,通過“戰(zhàn)略分析――流程分析――經(jīng)營業(yè)績評價――財務報表剩余風險分析”的基本思路��,將會計報表重大錯報風險和經(jīng)營風險聯(lián)系起來����,從而提出了審計師從源頭分析和發(fā)現(xiàn)會計報表錯報的觀念。
2003年10月國際審計和保證準則委員會(IAASB)了國際審計準則第315號(ISA315): “了解被審計單位及其環(huán)境并評估重大錯報風險”,將傳統(tǒng)風險導向審計下的審計風險模型修改為:審計風險=重大錯報風險×檢查風險���,明確規(guī)定了審計工作以評估財務報表重大錯報風險作為新的起點和導向���。
三、兩個模型的比較
傳統(tǒng)風險導向審計模式與現(xiàn)代風險導向審計模式的本質區(qū)別在于審計理念和審計技術方法的不同���,后者是對前者的改進�,其主要區(qū)別如下:
(一)審計起點不同����。傳統(tǒng)風險導向審計方法通過綜合評估固有風險和控制風險以確定實質性測試的范圍、時間和程序�����,由于固有風險難以評估�����,審計的起點往往為企業(yè)的內部控制�。
現(xiàn)代風險導向審計方法通過綜合評估經(jīng)營控制風險以確定實質性測試的范圍、時間和程序�����,其審計起點為企業(yè)的戰(zhàn)略系統(tǒng)及其業(yè)務流程。假如企業(yè)的業(yè)務流程不重要或風險控制很有效�,則將實質性測試集中在例外事項上。這種新模式的優(yōu)點是將審計的重心前移到風險評估�����,這將有利于充分識別和評估會計報表重大錯報的風險����,因此主要針對風險設計、實施控制測試和實質性測試程序����。此外,注冊會計師輕易全面把握企業(yè)可能存在的重大風險����,有利于節(jié)省審計成本����,克服因缺乏全面性觀點而導致的審計風險。
(二)風險評估識別以分析性復核程序為中心?,F(xiàn)代風險導向審計注重運用分析性復核程序��,以識別可能存在的重大錯報風險���;而傳統(tǒng)風險導向審計對于信息的再加工程度不高,分析性程序主要用在報表分析上���。分析性復核程序已成為現(xiàn)代風險審計方法最重要的程序�,為適應分析性程序功能擴大的要求�,分析性程序開始走向多樣化:在數(shù)據(jù)分析上,不但對財務數(shù)據(jù)進行分析�����,也要對非財務數(shù)據(jù)進行分析��;在分析工具上���,借鑒現(xiàn)代治理方法��,把戰(zhàn)略分析���、績效分析、財務分析以及前景分析等分析工具運用到風險評估之中�����,使風險因素不再唯一,變一元風險評估為多元風險評估����,使得出的風險評估結果更加可靠。
(三)風險評估方式由直接評估轉變?yōu)殚g接評估����。傳統(tǒng)風險導向審計的風險評估是一種直接的方式,即直接評估重大錯報的概率?����,F(xiàn)代風險導向審計模式是從經(jīng)營風險評估入手��,間接地對審計風險進行評估����,因為經(jīng)營風險越高,審計風險也越大��,也就是治理舞弊的可能性越大��;并且從經(jīng)營風險中能更有效地發(fā)現(xiàn)財務報表潛在的重大錯報�,因為財務報表是經(jīng)營的反映,假如經(jīng)營風險未能在報表中得到體現(xiàn)��,則財務報表很可能失真�。此外,會計政策��、會計估計的合理性評估也只有從經(jīng)營風險入手��,才能進行正確的評估����。
(四)審計程序實施具有個性化。傳統(tǒng)風險導向審計模式的審計程序是標準化形式�,對不同的被審計單位都使用標準相同的審計程序,其缺陷是沒有充分貫徹風險導向審計思想�����,使注冊會計師無法突破客戶預先設置或防范的措施��,難以做出正確的審計結論?���,F(xiàn)代風險導向審計方法要求注冊會計師將評估及識別的審計風險與實施的審計程序相結合,針對不同客戶以及客戶不同的風險領域實施個性化的審計程序�����。
(五)審計證據(jù)的內涵擴大。在現(xiàn)代風險導向審計方式下�����,審計重心向風險評估轉移��,審計證據(jù)也由內部向外部轉移�����。因此���,注冊會計師必須充分了解企業(yè)整體經(jīng)營環(huán)境���,由此評估客戶的經(jīng)營及審計風險,同時必須從外部取得大量的外部證據(jù)來證實風險評估的恰當性�����。風險導向審計模式下�����,注冊會計師形成審計結論所依據(jù)的審計證據(jù)不僅包括實施控制測試和實質性測試獲取的證據(jù),還包括了解企業(yè)及其環(huán)境獲取的證據(jù)����。
(六)擴充了內部控制要素���。傳統(tǒng)風險導向審計方法下的內部控制是指被審計單位為了保證業(yè)務活動的有效進行�,保護資產的安全和完整����,發(fā)現(xiàn)、糾正錯誤與防止舞弊��,保證會計資料的真實����、合法、完整而制定和實施的政策與程序��。內部控制要素包括控制環(huán)境�����、會計系統(tǒng)和控制程序。現(xiàn)代風險導向審計方法下的內部控制是指被審計單位為了合理保證財務報告的可靠性�、經(jīng)營的效率和效果以及對法律法規(guī)的遵循,由治理當局和其他人員設計和執(zhí)行的政策和程序�����。內部控制的三要素擴充為五要素�����,即控制環(huán)境���、被審計單位的風險評估過程�、與財務報告相關的信息系統(tǒng)和溝通���、控制活動和對控制的監(jiān)督���。
(七)對注冊會計師的專業(yè)知識提出了更高要求。現(xiàn)代風險導向審計下審計結果主要依靠風險評估��,要求把握現(xiàn)代治理知識和行業(yè)知識(包括市場�����、研發(fā)、生產等方面)�����,這對注冊會計師提出了更高的要求����。注冊會計師應該是復合型人才�����,不但要把握一般常用分析工具��,還要接受現(xiàn)代治理知識和行業(yè)專業(yè)知識培訓����。
