风险识别与风险评估的区别范文
时间:2023-06-13 17:15:31
导语:如何才能写好一篇风险识别与风险评估的区别,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
关键词:电子政务外网;等级保护测评;风险评估;风险评估模型
中图分类号:TP311 文献标识码:A 文章编号:1009-3044(2014)34-8337-02
1 等级保护背景下的电子政务外网风险评估
电子政务外网提供非的社会公共服务业务,全国从中央各部委、到省、市、县,已经形成了一张大庞大的网络系统,有的地方甚至覆盖到了乡镇、社区村委会,有效提高了政府从事行政管理和社会公共服务效率。今后凡属社会管理和公共服务范畴及不需在国家电子政务内网上部署的业务应用,原则上应纳入国家政务外网运行,它按照国家政务外网统一规划,建立网络安全防护体系、统一的网络信任体系和信息安全等级保护措施。
随着政务外网的网络覆盖的扩大及接入的政务单位越来越多、政务外网应用的不断增加,各级政务移动接入政务外网的需求也在增加,对政务外网的要求和期望越大,网络安全和运维的压力也越大,责任也更大。由于政务外网与互联网逻辑隔离,主要满足各级政务部门社会管理、公共服务、市场监管和经济调节等业务应用及公务人员移动办公、现场执法等各类的需要,网络和电子政务应用也成为境外敌对势力、黑客等攻击目标。随着新技术的不断涌现和大量使用,也对电子政务外网网络的安全防护、监控、管理等带来新的挑战。按照国家政务外网统一规划,建立网络安全防护体系、统一的网络信任体系和信息安全等级保护措施是必须的。
为保障电子政务外网的安全有效运行,我们应以风险管理理念来统筹建设网络和信息安全保障体系。在国家信息系统安全等级保护的大背景下,2011年国家信息中心下发了《关于加快推进国家电子政务外网安全等级保护工作的通知》,强化了电子政务外网的等级保护制度以及等级测评要求,要求对政务外网开展等级测评,全面了解和掌握安全问题、安全保护状况及与国家安全等级保护制度相关要求存在的差距,分析其中存在的安全风险,并根据风险进行整改[1]。
系统安全测评、风险评估、等级测评都是信息系统安全的评判方法[2,3],其实它们本没有本质的区别,目标都是一样的,系统安全测评从系统整体来对系统的安全进行判断,风险评估从风险管理的角度来对系统的安全状况进行评判,而等级测评则是从等级保护的角度对系统的安全进行评判。不管是系统安全测评[1]、风险评估、等级测评,风险的风险与计算都是三者必不可少的部分。
2 电子政务主要风险评估方法简介
电子政务外网风险评估有自评估、检查评估、第三方评估(认证)评估模式,都需利用一定的风险评估方法来进行相关风险的评估。从总体上来讲,主要有定量评估、定性评估两类。在进行电子政务系统信息安全风险评估过程中,采用的主要风险评估方法有:OCTAVE、SSE-CMM、FAT(故障树方法)、AHP (层次分析)以及因素分析法、逻辑分析法、德尔菲法、聚类分析法、决策树法、时许模型、回归模型等方法。研究风险评估模型的方法可以运用马尔可夫法、神经网络、模糊数学、决策树、小波分析等[4-6]。OCTAVE 方法是一个系统的方法,它从系统的高度来进行信息安全的安全防护工作,评估系统的安全管理风险、安全技术风险,它提高了利用自评估的方式制定安全防范措施的能力。它通过分析重要资产的安全价值、脆弱性、威胁的情况,制定起风险削减计划,降低重要资产的安全风险。电子政务外网需要从实际出发,不能照搬其它评估方法,根据电子政务外网实际,本设计基于OCTAVE 评估模型,设计了一个电子政务外网风险分析计算模型。
3 基于OCTAVE模型的一个电子政务外网风险计算模型设计
3.1 风险评估中的资产、威胁、脆弱性赋值的设计
保密性、完整性和可用性是评价资产的三个安全属性。风险评估中的资产价值不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。
资产价值应依据资产在保密性、完整性和可用性上的赋值等级,经过综合评定得出。综合评定方法可以根据自身的特点,选择对资产保密性、完整性和可用性最为重要的一个属性的赋值等级作为资产的最终赋值结果;也可以根据资产保密性、完整性和可用性的不同等级对其赋值进行加权计算得到资产的最终赋值结果。本设计模型根据电子政务外网的业务特点,依据资产在保密性、完整性和可用性上的赋值等级进行加权计算(保密性α+完整性β+和可用性γ),α、β、γ为权重系数,权重系数的确定可以采用专家咨询法、信息商权法、独立性权数等。本设计方案采用专家咨询法。资产、威胁、脆弱性的赋值可以从0-10,赋值越高,等级越高。
脆弱性识别是风险评估中最重要的一个环节。脆弱性是资产本身存在的,如果没有被相应的威胁利用,单纯的脆弱性本身不会对资产造成损害。脆弱性识别的依据可以是国际或国家安全标准,也可以是行业规范等,如国家信息安全漏洞共享平台(CNVD)漏洞通报、CVE漏洞、微软漏洞通报等。
资产、威胁、脆弱性的识别与赋值依赖于专家对三者的理解,不同的人员对三者的赋值可能不同,甚至差别很大,可能会不能真实的反映实际情况。为了识别与赋值能准确反映实际情况,可以采用一定的方法来进行修正。本设计采用头脑风暴法、德尔菲法去获取资产、威胁、脆弱性并赋值、最后采用群体决策方法确定资产、威胁、脆弱性的识别与赋值。这样发挥了三个方法的特点,得到的赋值准确性大大提高。
判断威胁出现的频率是威胁赋值的重要内容,评估者应根据经验和(或)有关的统计数据来进行判断[7]。判断威胁出现的频率是可能性分析的重要内容,如果仅仅从近一两年来各种国内、国际组织的对于整个社会或特定行业的威胁及其频率统计,以及的威胁预警等来判断是不太准确的,因为它没有与具体的电子政务外网应用实际联系起来,实际环境中通过检测工具(如IPS等)以及各种日志发现的威胁及其频率的统计也应该考虑进去。
本设计模型采用综根据经验和(或)有关的统计数据来进行判断,并结合具体电子政务外网实际,从历史生产系统的IPS等获取各种威胁及其频率的统计,并采用马儿可夫方法计算出某个时段内某个威胁发生的概率。马尔可夫方法是一种定量的方法,具有无后效性的特点,适用于计算实时的动态信息系统威胁发生概率。它利用IPS等统计某一时段的发生了哪些威胁,构建出各种威胁之间的状态转移图,使用马尔可夫方法计算出该时段内某个威胁发生的概率。计算出的威胁发生概率结果可以进行适当的微调,该方法要求记录的样本具有代表性。
3.2 风险计算模型设计
通常风险值计算涉及的风险要素为资产、威胁、和脆弱性。 在完成了资产识别、威胁识别、脆弱性识别,以及已有安全措施确认后,将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性,并综合安全事件所作用的资产价值及脆弱性的严重程度,判断安全事件造成的损失对组织的影响,即安全风险计算。
风险值=R(资产,威胁,脆弱性)= R(可能性(威胁,脆弱性),损失(资产价值,脆弱性严重程度))。可根据自身电子政务外网实际情况选择相应的风险计算方法计算风险值,如目前最常用的矩阵法或相乘法等。矩阵法主要用于两个要素值确定一个要素值的情形,相乘法主要用于两个或多个要素值确定一个要素值的情形。
本设计模型采用风险计算矩阵方法。矩阵法通过构造一个二维矩阵,形成安全事件的可能性与安全事件造成的损失之间的二维关系;相乘法通过构造经验函数,将安全事件的可能性与安全事件造成的损失进行运算得到风险值。
在使用矩阵法分别计算出某个资产对应某个威胁i,某个脆弱性j的风险系数[Ri,j],还应对某个资产的总体安全威胁风险值进行计算,某个资产总体风险威胁风险=Max([Ri,j]),i,j=1,2,3…。组织所有资产的威胁风险值为所有资产的风险值之和。
3.3 对风险计算模型的改进
在风险值=R(A,T,V)的计算模型中,由资产赋值、危险、脆弱性三元组计算出风险值, 并没有把安全防护措施因素对风险计算的影响考虑在内,该文把风险值=R(A,T,V)改进为风险值=R(A,T,V,P),其中P为安全防护措施因素。P因素不仅影响安全事件的可能性,也影响安全事件造成的损失,把上面的公式改进为风险值=R(L(T,V,P),F(Ia,Va,P ))。对于L(T,V,P),F(Ia,Va,P )的计算可以采用相乘法等。如果采用矩阵法,对L(T,V,P)的可以拆分计算L(T,V,P)=L(L(T,V),L(V,P))。
在计算出单个资产对应某个脆弱性、某个威胁、某个防护措施后的风险值后,还应总体上计算组织内整体资产面临的整体风险。单个风险(一组风险)对其它风险(一组风险)的影响是必须考虑的,风险之间的影响有风险之间的叠加、消减等。有必要对风险的叠加效应、叠加原理、叠加模型进行研究。
3.4 风险结果判定
为实现对风险的控制与管理,可以对风险评估的结果进行等级化处理。可将风险划分为10,等级越高,风险越高。
风险等级处理的目的是为风险管理过程中对不同风险的直观比较,以确定组织安全策略。组织应当综合考虑风险控制成本与风险造成的影响,提出一个可接受的风险范围。对某些资产面临的安全风险,如果风险计算值在可接受的范围内,则该风险是可接受的,应保持已有的安全措施;如果风险计算值高于可接受范围的上限值,则该风险是不可接受的,需要采取安全措施以降低、控制或转移风险。另一种确定不可接受的风险的办法是根据等级化处理的结果,不设定可接受风险值的基准,对达到相应等级的风险都进行处理。
参考文献:
[1] 国家电子政务外网管理中心.关于加快推进国家电子政务外网安全等级保护工作的通知[政务外网[2011]15号][Z].2011.
[2] 等级保护、风险评估和安全测评三者之间的区别与联系[EB/OL].http:///faq/faq.php?lang=cn&itemid=23.
[3] 赵瑞颖.等级保护、风险评估、安全测评三者的内在联系及实施建议[C].第二十次全国计算机安全学术交流会论文集,2005.
[4] 李煜川.电子政务系统信息安全风险评估研究――以数字档案馆为例[D].苏州:苏州大学,2011.
[5] 陈涛,冯平,朱多刚.基于威胁分析的电子政务信息安全风险评估模型研究[J].情报杂志,2011(8):94-99.
篇2
关键词:消费品安全 政府监管 风险评估 诺模图法 风险矩阵法 RAPEX法
中图分类号:F76 文献标识码:A 文章编号:1674-098X(2014)11(c)-0155-04
欧盟委员会(EC)的2004 RAPEX方法[1]是首个得到政府监管机构广泛应用的消费品安全官方风险评估方法。非政府学术组织EuroSafe在2005年设立风险评估工作组(EuroSafe WGRA),EC在其研究成果基础上形成了2010 RAPEX方法[2],该方法是目前欧盟各成员国政府的正式官方评估方法[3]。受EC健康与消费者保护总司(DG-SANCO)资助的EMARS项目(它提出了著名的锤子案例[4])、英国RPA[5]等风险研究机构都致力于不断发展消费品安全风险评估方法。在正式评估方法中,除了RAPEX方法,诺模图法、风险矩阵法也得到广泛应用[3-5]。而欧盟REACH法规的技术指南文件(TGD)、国际化学品安全规划署(IPCS)的“Risk Assessment Terminology”(2004年),联合国粮农组织/世界卫生组织(FAO/WHO)的“Food Safety Risk Analysis”(2006年)、国际风险管理理事会(IRGC)的“White Paper”(2006年)提供的化学危害风险评估方法主要适用于消费品生产过程[3-5]。美国消费品安全委员会(CPSC)主要应用定性风险评估方法对消费品安全进行A、B、C三级管理,CPSC也使用“安全饮用水法案”(SDWA,1996年)中的评估规则[6],CPSC在化学危害定量评估方法上遵循美国国家科学委员会的NAS指南(1994年)[7]。国际标准化组织的消费者政策委员会(ISO COPOLCO)的指南文件“Consumer product safety a practical guide for suppliers”(2006年)及其标准则主要适用于消费品的设计及生产阶段[3-5]。中国的消费品安全风险评估通则(GB/T22760,2008年)与RAPEX方法基本一致[8]。
该文以政府监管视角选择最广泛使用的2004 RAPEX、2010 RAPEX方法、诺模图法和风险矩阵法应用案例进行比较分析[3-5],并分析消费品安全风险评估方法的进一步发展方向。
1 消费品安全风险评估基本流程
风险和风险评估在各个领域的定义和方法有所不同。在产品安全评价理论中,风险通常表示为伤害事件的发生概率及严重程度的函数,各种消费品安全风险评估方法的基本评估流程是大同小异的,均是在识别消费品危险的基础上,估计各风险要素的程度(至少包括两个基本风险要素:伤害的严重程度和伤害的发生概率),然后用模型将各风险要素合成风险水平/等级(批量评估应先确定单体风险水平)。各个方法的主要区别在于将其他风险要素(例如消费者属性、危险可获得性和危险暴露参数等)的考虑置于哪个阶段,是置于危险识别阶段,还是置于严重程度估计、发生概率估计阶段,抑或直接作为独立风险要素与两个基本要素进行合成(图1)。
在消费品供应链的不同阶段实施安全风险评估应选择与该阶段相适应的风险评估方法,相关评估方法按适用范围分类如图2所示(参考了参考文献[3],但做了补充和修改)。对于政府监管机构而言,更关心的是准备上市和上市后的消费品安全风险,即:消费品在上市时应符合安全的一般要求,而在上市后只要发现产品存在严重安全风险就应及时隔离(risk averse)。因此,以政府监管视角研究上市阶段和上市后消费品安全风险评估方法的有效应用具有必要性。
4 讨论
(1)从应用案例可看出,2010 RAPEX
法与2004 RAPEX法的主要区别在于:2010 RAPEX法将消费人群区分、风险缓减要素区分从后置改为前置,严重程度和发生概率的分等进行了扩充,消费人群区分、风险缓减要素区分仍由主观判定。两个方法中风险要素的打分主观性强,要求评估人员具备足够的专业知识和足够准确的数据来源。未来的评估方法可能将消费人群作为独立风险要素进行识别和估计,在消费品化学危害日益受到重视的情况下,消费人群区分可能相应调整,例如孕妇可能作为弱势人群进行考虑。
(2)斯洛文尼亚诺模图法的输入参数比其他方法增加,各参数的分等扩充,其评估输出(风险等级)相应细化。与RAPEX法比较,它识别出火灾危险风险高于其他危险。危险事件发生时,火灾更容易造成群死群伤,因此该评估结果与事实也是相符的。
(3)比利时风险矩阵法引入了暴露程度这一参数扩充矩阵维度。对后果严重性的赋值中,该方法对导致“所有使用者和旁观者死亡”“所有使用者死亡”“数人死亡”和“一个死亡”的严重度分别区分,且从100分到15分赋值,区分度极大,但在政府监管角度,对“死亡”后果均应0容忍,评估时应加以注意。
(4)该文在参阅相关文献时,发现各个评估方法应用的术语高度不一致。如果对术语名称翻译和定义不加以界定明确,可能导致对同一危险信息,各评估方法的参数输入不一致,其输出大相径庭。
(5)目前的评估方法对化学危害风险的识别能力偏弱。例如对“长期药物接触和辐射暴露”伤害的严重程度从轻到重划分为“腹泻呕吐局部症候”“可逆的内脏损害”“神经系统损害、不可逆的内脏损害”“癌症(白血病)、影响生殖、影响后代、中枢神经系统抑郁症”四等的划分尚嫌粗。欧盟REACH法规的技术指南文件提供了一种化学危害风险评估的有价值的思路。
(6)目前对评估方法的发展研究主要集中在评估模型的改进,从定性向定量向模糊评价发展,但实证研究表明,作为简单、快速、经济、有效(risk averse)和有决断力(resolved)的方法,定性风险评估能对消费品安全风险进行有效评估[3-5]。在政府监管视角,最好把资源直接用于减小风险的努力,而不是尽量达到风险评估的绝对精确。实际上,定量风险评估的大部分输入数据是高度主观的,同时,要生成确切的输出,它要求有一个详尽和全面的时间链模型,这对范围极广的现代消费品领域是难度极大的。对定性风险评估方法而言,应减小评估的主观性,重点应研究伤害严重程度和发生概率的科学分等,其基础工作是尽早形成共享的消费品伤害数据库。
(7)从应用案例可看出,各个评估方法均基于各风险因子相对独立的假设,从而对各个风险因子独立进行评估。有学者研究认为,某些风险因子具有相互联系和影响关系,具有连通性(connectivity),并引入了连通性矩阵的概念,但这一理论在消费品领域尚未有成熟应用。
5 结论
(1)以政府监管视角来看,2004 RAPEX、2010 RAPEX方法和斯洛文尼亚诺模图法均能对消费品安全风险进行有效评估。
(2)未来消费品安全风险评估方法的发展,首先应统一规范术语使用以改善评估的一致性;其次应发展伤害严重程度和发生概率的科学分等体系以减小评估的主观性;另外应注重消费品化学危害风险评估方法的研究。
参考文献
[1] Guidelines for the management of the Community Rapid Information System(RAPEX)and for notifications presented in accordance with Artide 11 of Directive 2001/95/EC[R],Commission Decision 2004/418/EC of 29 April 2004.OJ L 151,2004.
[2] Commission Decision of 16 December 2009 laying down guidelines for the management of the Community Rapid Information System‘RAPEX’established under Artide 12 and of the notification procedure established under Artide 11 of Directive 2001/95/EC(the General Product Safety Directive) (notified under document C(2009) 9843)[R],Commission Decision 2010/15/EU of 26 January 2010. OJ L 22, 2010.
[3] Dirk van Aken.Related risk assessment activities[R].Hague: Voedsel en Waren Autoriteit, 2007.
[4] Enhancing Market Surveillance through Best Practices(EMARS)project.Product Safety-Best Practice Techniques in Market Surveillance[R].Amsterdam: EMARS,2013.
[5] Pete Floyd, Tobe A.Nwaogu,Rocio Salado,et al.RPA REPORTAssured Quality-Establishing a Comparative Inventory of Approaches and Methods Used by Enforcement Authorities for the Assessment of the Safety of Consumer Products Covered by Directive 2001/95/EC on General Product Safety and Identification of Best Practices [R].J497/GPSD Implementation, Norfolk:Risk & Policy Analysts Limited(RPA),2006.
[6] CPSC.Research & Statistics-consumer opinon surrveys[EB/OL].(2014-10-20)[2014-4-29].http://cpsc.gov/en/Research Statistics.
[7] National Research Council.Science and Judgment in Risk Assessment (1994)[M].Washington D.C.:National Academy Press,1994.
篇3
关键词:电子政务 信息安全
0 引言
随着电子政务不断推进,社会各阶层对电子政务的依赖程度越来越高,信息安全的重要性日益突出,在电子政务的信息安全管理问题中,基于现实特点的电子政务信息安全体系设计和风险评估[1]模型是突出的热点和难点问题。本文试图就这两个问题给出分析和建议。
1 电子政务信息安全的总体要求
随着电子政务应用的不断深入,信息安全问题日益凸显,为了高效安全的进行电子政务,迫切需要搞好信息安全保障工作。电子政务系统采取的网络安全措施[2][3]不仅要保证业务与办公系统和网络的稳定运行,另一方面要保护运行在内部网上的敏感数据与信息的安全,因此应充分保证以下几点:
1.1 基础设施的可用性:运行于内部专网的各主机、数据库、应用服务器系统的安全运行十分关键,网络安全体系必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏。
1.2 数据机密性:对于内部网络,保密数据的泄密将直接带来政府机构以及国家利益的损失。网络安全系统应保证内网机密信息在存储与传输时的保密性。
1.3 网络域的可控性:电子政务的网络应该处于严格的控制之下,只有经过认证的设备可以访问网络,并且能明确地限定其访问范围,这对于电子政务的网络安全十分重要。
1.4 数据备份与容灾:任何的安全措施都无法保证数据万无一失,硬件故障、自然灾害以及未知病毒的感染都有可能导致政府重要数据的丢失。因此,在电子政务安全体系中必须包括数据的容灾与备份,并且最好是异地备份。
2 电子政务信息安全体系模型设计
完整的电子政务安全保障体系从技术层面上来讲,必须建立在一个强大的技术支撑平台之上,同时具有完备的安全管理机制,并针对物理安全,数据存储安全,数据传输安全和应用安全制定完善的安全策略
在技术支撑平台方面,核心是要解决好权限控制问题。为了解决授权访问的问题, 通常是将基于公钥证书(PKC)的PKI(Public Key Infrastructure)与基于属性证书(AC)的PMI(Privilege Management Infrastructure)结合起来进行安全性设计,然而由于一个终端用户可以有许多权限, 许多用户也可能有相同的权限集, 这些权限都必须写入属性证书的属性中, 这样就增加了属性证书的复杂性和存储空间, 从而也增加了属性证书的颁发和验证的复杂度。为了解决这个问题,作者建议根据X.509标准建立基于角色PMI的电子政务安全模型。该模型由客户端、验证服务器、应用服务器、资源数据库和LDAP 目录服务器等实体组成,在该模型中:
2.1 终端用户:向验证服务器发送请求和证书, 并与服务器双向验证。
2.2 验证服务器:由身份认证模块和授权验证模块组成提供身份认证和访问控制,是安全模型的关键部分。
2.3 应用服务器: 与资源数据库连接, 根据验证通过的用户请求,对资源数据库的数据进行处理, 并把处理结果通过验证服务器返回给用户以响应用户请求。
2.4 LDAP目录服务器:该模型中采用两个LDAP目录服务器, 一个存放公钥证书(PKC)和公钥证书吊销列表(CRL),另一个LDAP 目录服务器存放角色指派和角色规范属性证书以及属性吊销列表ACRL。
安全管理策略也是电子政务安全体系的重要组成部分。安全的核心实际上是管理,安全技术实际上只是实现管理的一种手段,再好的技术手段都必须配合合理的制度才能发挥作用。需要制订的制度包括安全行政管理和安全技术管理。安全行政管理应包括组织机构和责任制度等的制定和落实;安全技术管理的内容包括对硬件实体和软件系统、密钥的管理。
3 电子政务信息安全管理体系中的风险评估
电子政务信息安全等级保护是根据电子政务系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度。等级保护工作的要点是对电子政务系统进行风险分析,构建电子政务系统的风险因素集。
3.1 信息系统的安全定级 信息系统的安全等级从低到高依次包括自主保护级、指导保护级、监督保护级、强制保护级、专控保护级五个安全等级。对电子政务的五个安全等级定义,结合系统面临的风险、系统特定安全保护要求和成本开销等因素,采取相应的安全保护措施以保障信息和信息系统的安全。
3.2 采用全面的风险评估办法 风险评估具有不同的方法。在ISO/IEC TR13335-3《信息技术IT安全管理指南:IT安全管理技术》中描述了风险评估方法的例子,其他文献,例如NIST SP800-30、AS/NZS 4360等也介绍了风险评估的步骤及方法,另外,一些组织还提出了自己的风险评估工具,例如OCTAVE、CRAMM等。
电子政务信息安全建设中采用的风险评估方法可以参考ISO17799、OCTAVE、CSE、《信息安全风险评估指南》等标准和指南,从资产评估、威胁评估、脆弱性评估、安全措施有效性评估四个方面建立风险评估模型。其中,资产的评估主要是对资产进行相对估价,其估价准则依赖于对其影响的分析,主要从保密性、完整性、可用性三方面进行影响分析;威胁评估是对资产所受威胁发生可能性的评估,主要从威胁的能力和动机两个方面进行分析;脆弱性评估是对资产脆弱程度的评估,主要从脆弱性被利用的难易程度、被成功利用后的严重性两方面进行分析;安全措施有效性评估是对保障措施的有效性进行的评估活动,主要对安全措施防范威胁、减少脆弱性的有效状况进行分析;安全风险评估就是通过综合分析评估后的资产信息、威胁信息、脆弱性信息、安全措施信息,最终生成风险信息。
在确定风险评估方法后,还应确定接受风险的准则,识别可接受的风险级别。
4 结语
电子政务与传统政务相比有显著区别,包括:办公手段不同,信息资源的数字化和信息交换的网络化是电子政务与传统政务的最显著区别;行政业务流程不同,实现行政业务流程的集约化、标准化和高效化是电子政务的核心;与公众沟通方式不同,直接与公众沟通是实施电子政务的目的之一,也是与传统政务的重要区别。在电子政务的信息安全管理中,要抓住其特点,从技术、管理、策略角度设计完整的信息安全模型并通过科学量化的风险评估方法识别风险和制定风险应急预案,这样才能达到全方位实施信息安全管理的目的。
参考文献:
[1]范红,冯国登,吴亚非.信息安全风险评估方法与应用.清华大学出版社.2006.
篇4
关键词:审计风险准则 风险导向 重大错报风险 风险评估 审计证据
一、前言
2006年财政部颁布了《中国注册会计师执业准则》,标志着我国在建立适应社会主义市场经济发展要求,顺应国际趋同新形势的道路上迈进了一大步。为了更好地指导注册会计师有效地识别、评估和应对审计风险,准则框架体系全面渗透着风险导向审计的理念,要求注册会计师将风险导向审计的观念贯穿于审计全过程。传统审计方法的主要缺陷在于注册会计师重视被审计单位的内部环境,但忽视其所处的外部环境;重视审计单位的控制风险但忽视其固有风险。事实上我国注册会计师面临的情形是被审计单位及其所处环境的日趋复杂。行业状况、法律环境与监管环境以及其他外部因素,都会对注册会计师审计质量产生重大影响。在复杂环境下或被审计单位内部控制不健全时,如果继续采用传统审计模式,局限于控制测试和实质性测试,把审计的主要资源集中在具体交易事项和余额细节测试上。极易引发审计风险。因此,新执业准则要求注册会计师了解被审计单位及其内外部环境,同时注重检查风险和固有风险(即重大错报风险),重点关注存在重大错报风险的领域,达到避免触发审计风险的目的。新执业准则体系的核心内容为以下准则,简称审计风险准则,分别为:《中国注册会计师执业准则第1101号――财务报表审计的目标和一般原则》(以下简称第1101号准则,下同)、《中国注册会计师执业准则第1211号――了解被审计单位及其环境并评估重大错报风险》、《中国注册会计师执业准则第1231号――针对评估的重大错报风险实施的程序》、《中国注册会计师执业准则第1301号――审计证据》。
二、审计风险准则修订的主要内容
(一)第1101号准则 第1101号准则是在借鉴国际审计与鉴证准则第200号的基础上,对原《独立审计准则第1号――会计报表审计》进行修订而形成的。其主要内容有:会计责任和审计责任、审计的目标、审计范围、职业怀疑态度、审计风险及模型。(1)明确区分注册会计师的责任,公司管理层和治理层的责任。新准则规定,对财务报表发表审计意见是注册会计师的责任;在被审计单位治理层的监督下,按照适用的会计准则和相关会计制度的规定编制财务报表是被审计单位管理层的责任。此外,准则条款还特别强调了财务报表审计不能减轻被审计单位管理层和治理层的责任。(2)明确财务报表审计目标。新准则规定,财务报表审计的目标是注册会计师通过执行审计工作,对财务报表的下列方面发表审计意见:财务报表是否按照适用的会计准则和相关会计制度的规定编制;财务报表是否在所有重大方面公允反映被审计单位的财务状况、经营成果和现金流量。这个规定与原有的规定没有太大区别,但是新准则中明确提出,财务报表审计属于鉴证业务,注册会计师的审计意见旨在提高财务报表的可信赖程度。(3)修订审计范围的定义。新准则指出,财务报表的审计范围是指注册会计师为实现财务报表审计目标,根据审计准则和职业判断实施的恰当的审计程序的总和。在确定拟实施的审计程序时,注册会计师应当遵守与财务报表审计相关的各项审计准则。恰当的审计程序是指审计程序的性质、时间和范围是恰当的。一是审计程序的性质指审计程序的目的和类型。目的包括:通过了解被审计单位及其环境,识别、评估重大错报风险;通过实施控制测试,明确内部控制运行的有效性;通过实施实质性程序,发现认定层次的重大错报。类型则包括检查、观察、询问、函证、重新计算、重新执行和分析程序。二是审计程序的时间是指注册会计师何时实施审计程序,或指审计证据适用的期间或时点。三是审计程序的范围是指实施审计程序的数量,包括抽取的样本量,对某项控制活动的观察次数等。审计范围受到限制是指由于客观原因或者被审计单位施加的限制,注册会计师未能实施根据审计准则和职业判断应当实施的审计程序,从而未能获取充分、适当的审计证据。(4)要求注册会计师在审计过程中始终保持职业怀疑态度,并明确在财务报表审计中注册会计师只能提供合理保证。新准则要求,在计划和实施审计工作时,注册会计师应当保持职业怀疑态度,充分考虑可能存在导致财务报表发生重大错报的情形。新准则指出,注册会计师按照审计准则的规定执行审计工作,能够对财务报表整体不存在重大错报获取合理保证。由于审计中存在的固有限制影响注册会计师发现重大错报的能力,注册会计师不能对财务报表整体不存在重大错报获取绝对保证,即只能提供合理保证。(5)引进新的审计模型。新准则对审计风险模型作了重大改变,将原审计风险模型修正为:审计风险:重大错报风险x检查风险,审计风险取决于重大错报风险和检查风险,是两者的综合风险。重大错报风险要求注册会计师站在风险的高度上把握审计过程,以风险为导向进行审计,强化了风险意识,注册会计师对于重大错报风险的评估贯穿于审计的整个过程。改变后的审计风险模型使得注册会计师从更高的层次上把握重大错报风险,要求注册会计师必须了解被审计单位及其环境(包括内部控制),以充分识别和评估财务报表重大错报风险,并针对评估的重大错报风险设计和实施进一步审计程序(包括控制测试和实质性测试),以降低注册会计师的审计风险。在目前经济不确定性增大的环境下,显然新的审计风险模型更能满足风险控制的要求,并且可操作性较强。
(二)第1211号准则 第1211号准则是在借鉴国际审计与鉴证准则第315号基础上出台的新准则,将取代我国原有的《独立审计准则第21号――了解被审计单位情况》、《独立审计准则第9号――内部控制与审计风险》和《独立审计准则第20号――计算机信息系统环境下的审计》,以克服旧准则相互分离、缺乏有机融合的缺陷。根据《中国注册会计师审计准则第1101号――财务报表审计的目标和一般原则》要求,注册会计师在审计过程中应当贯彻风险导向审计的理念,围绕重大错报风险的识别、评估和应对,计划和实施审计工作。其中如何识别和评估重大错报风险,构成了注册会计师应对重大错报风险的前提。注册会计师如何了解被审计单位及其环境,了解哪些具体的内容,了解后如何对重大错报风险进行评估,如何将了解和评估的过程、结果与管理层和治理层进行沟通,在审计工作底稿中应当对哪些内容进行记录,本准则对这些问题做了明确规范,其修订的主要内容有:(1)注册会计师审计的总体要求:了解被审计单位及其环境是必要程序;了解的目的是识别和评估财务报表重大错报风险,设计和实施进一步审计程序;了解的程度应当足够实现了解的目的。与独立审计准则中的规定不同,了解被审计单位及其内外部环境是注册会计师审计过程中必须实施的程序,
也是风险导向审计的核心。(2)风险评估程序的概念及项目组内部讨论的要求。风险评估程序是指为了解被审计单位及其环境而实施的程序。风险评估程序包括:询问被审计单位管理层和内部其他相关人员;分析程序;观察和检查。注册会计师在了解被审计单位及其环境的整个过程中,结合了解的内容和被审计单位业务的特点运用相应的风险评估程序,并利用风险评估程序所获取的信息评估重大错报风险,并可能随着不断获取审计证据而作出相应的变化。如果通过实施进一步审计程序获取的审计证据与初始评估获取的审计证据相矛盾,注册会计师应当修正风险评估结果,并相应修改原计划实施的进一步审计程序,实施风险评估程序之后项目组内部必须进行讨论。注册会计师通过风险评估程序了解被审计单位及其环境后,需要对财务报表重大错报风险进行评估,评估重大错报风险需要运用专业判断,必须由项目组内部讨论来完成,项目组内部讨论可以有效降低审计风险。在原准则中,评估固有风险、控制风险也需要专业判断,但并没有需要项目组共同讨论的规定。一是讨论的目标。项目组通过讨论可以使成员更好地了解在各自分工负责的领域中,由于舞弊或错误导致财务报表重大错报地可能性,并了解各自实施审计程序的结果如何影响审计的其他方面,包括对确定进一步审计程序的性质、时间和范围的影响。二是讨论的内容。项目组应当讨论被审计单位面临的经营风险、财务报表容易发生错报的领域以及发生错报的方式,特别是由于舞弊导致重大错报的可能性。三是参与讨论的人员。注册会计师应当运用职业判断确定项目组内部参与讨论的成员。项目组的关键成员应当参与讨论,如果项目组需要拥有信息技术或其他特殊技能的专家,这些专家也应当参与讨论。项目组的讨论不要求所有成员每次都参与讨论,参与讨论人员的范围受项目组成员的职责、经验和信息需求的影响。四是讨论的时间和方式。项目组应当根据审计的具体情况,在整个审计过程中,持续交换有关财务报表发生重大错报可能性的信息。项目组在讨论时应当强调在整个过程中保持职业怀疑态度,警惕表明舞弊或错误导致的重大错报可能已经发生的信息或其他迹象,并对这些迹象进行追踪。通过讨论,项目组成员可以交流和分享在整个审计过程中获得的信息,包括可能对重大错报风险评估产生影响的信息或有关针对风险实施的审计程序的信息。(3)注册会计师应尽到的相关职责。对注册会计师应当从哪些方面了解被审计单位及其环境作了详细的定义:行业状况、法律环境与监管环境以及其他外部因素;被审计单位的性质;被审计单位对会计政策的选择和运用;被审计单位的目标、战略以及相关经营风险;被审计单位财务业绩的衡量和评价;被审计单位的内部控制。这些内容是新准则的重要内容,值得注意的是对被审计单位的了解不仅局限于被审计单位的内部控制。对以上新准则中有相应的章节进行具体的阐述,使得注册会计师思考的是究竟哪些方面去了解被审计单位,而不像原有准则中是比较模糊的概念,这样做可以有效防止了解的不彻底影响审计工作,低估重大错报风险。(4)明确了注册会计师了解内部控制的定位。注册会计师需要了解和评价的内部控制只是与财务报表审计相关的内部控制,并非被审计单位所有的内部控制。因为注册会计师审计的目标是对财务报表是否不存在重大错报发表审计意见,注册会计师考虑与财务报表编制相关的内部控制,但目的并非对被审计单位内部控制的有效性发表意见。(5)明确了注册会计师评估两个层次的重大错报风险。在对重大错报风险进行识别和评估后,注册会计师应当确定识别的重大错报风险是与特定的各类交易、账户余额、列报的认定相关,还是与财务报表整体广泛相关,进而影响多项认定。某些重大错报风险可能与特定的各类交易、账户余额、列报的认定相关。如被审计单位存在复杂的联营或合资,这一事项表明长期股权投资账户的认定可能存在重大错报风险。又如被审计单位存在重大的关联方交易,该事项表明关联方及关联方交易的披露认定可能存在重大错报风险。某些重大错报风险可能与财务报表整体广泛相关,进而影响多项认定。如在经济不稳定的国家和地区开展业务、资产的流动性出现问题、重要客户流失、融资能力受到限制等,可能导致注册会计师对被审计单位的持续经营能力产生重大疑虑。又如管理层缺乏诚信或承受异常的压力可能引发舞弊风险,这些风险与财务报表整体相关。(6)提出了特别风险的概念,需要特别考虑的重大错报风险即为特别风险,并根据风险的性质、潜在错报的重要程度和发生的可能性判断风险是否属于特别风险。如风险是否属于舞弊风险;交易的复杂程度;风险是否涉及重大的关联方交易等。(7)提出了对仅通过实质性程序无法应对的重大错报风险的处理方法。仅通过实质性程序获取的审计证据无法将认定层次的重大错报风险降至可接受的低水平,注册会计师应当评价被审计单位针对这些风险设计的控制,并确定其执行情况。在被审计单位对日常交易采用高度自动化处理的情况下,审计证据可能仅以电子形式存在,其充分性和适当性通常取决于自动化信息系统相关控制的有效性,注册会计师应当考虑仅通过实施实质性程序不能获取充分、适当审计证据的可能性。如果认为仅通过实施实质性程序不能获取充分、适当的审计证据,注册会计师应当考虑依赖的相关控制的有效性,并对其进行了解、评估和测试。(8)将了解被审计单位及其环境过程中获得的信息记录与工作底稿中。此类信息包括项目组对由于舞弊或错误导致财务报表发生重大错报的可能性进行的讨论,以便得出的重要结论;对被审计单位及其环境各个方面的了解要点、信息来源以及实施的风险评估程序;在财务报表层次和认定层次识别、评估出的重大错报风险;识别出的特别风险和仅通过实质性程序无法应对的重大错报风险,以及对相关控制的评估。
(三)第1231号准则 第1231号准则是在借鉴国际审计与鉴证准则第330号的基础上出台的一个全新的准则,将取代原有的《第21号――了解被审计单位情况》、《第9号――内部控制与审计风险》和《第20号――计算机信息系统环境下的审计》。根据《中国注册会计师审计准则第1101号――财务报表审计的目标和一般原则》的要求,注册会计师在审计过程中应当贯彻风险导向审计的理念,围绕重大错报风险的识别、评估和应对,计划和实施审计工作。其中《第1211号――了解被审计单位及其环境并评估重大错报风险》规范了注册会计师通过实施风险评估程序,识别和评估财务报表层次以及各类交易、账户余额、列报认定层次的重大错报风险,注册会计师针对已评估的财务报表层次的重大错报风险如何确定总体应对措施,针对已评估的认定层次的重大错报风险如何设计和实施进一步审计程序,进一步审计程序的性质、时间、范围如何确定和实施,如何评价实施审计程序收集的审计证据的充分性和适当性,在审计工作底稿中将对哪些审计工作进行记录等,对这些问题的明确规范是第1231号准则的核心内容。其修订的主要内容有:总体要求、针对重大错报风险的总体反应、审计程序的不可预见性、总体方案和进一步审计程序、控制测试的相关要求、实质性程序及相关要求、审计的相关要求、审计工作记录。(1)明确提出了对注册会计师审计的两个总体要求:审计程序的总体要求,注册会计师应
当对评估的财务报表层次重大错报风险确定总体应对措施,并针对评估的认定层次重大错报风险设计和实施进一步审计程序;职业判断的总体要求,注册会计师在确定总体应对措施以及设计和实施进一步审计程序的性质、时间和范围时应当运用职业判断。(2)首次提出了注册会计师应当针对评估的财务报表层次重大错报风险确定下列总体应对措施:向项目组强调在收集和评价审计证据过程中保持职业怀疑态度的必要性;分派更有经验或具有特殊技能的审计人员,或利用专家的工作;提供更多的督导;在选择进一步审计程序时,应当注意使某些程序不被管理层预见或事先了解;对拟实施审计程序的性质、时间和范围作出总体修改。(3)强调审计程序的不可预见性要求。注册会计师针对评估的财务报表层次重大错报风险确定的总体应对措施中强调增强审计程序的不可预见性,因此,注册会计师在设计拟实施审计程序的性质、时间和范围时,为了避免既定思维对审计方案的限制,避免对审计效果的人为干涉,从而使得针对重大错报风险的进一步审计程序更加有效,注册会计师要考虑使某些程序不被审计单位管理层预见或事先了解。(4)首次提出了两种总体方案和进一步审计程序的概念。两种总体方案分别为实质性方案和综合性方案,实质性方案是指注册会计师实施的进一步审计程序以实质性程序为主;综合性方案是指注册会计师在实施进一步审计程序时,将控制测试与实质性程序结合使用。而所谓的进一步审计程序是相对风险评估程序而言的,是注册会计师针对评估的各类交易、账户余额、列报认定层次重大错报风险实施的审计程序,包括控制测试和实质性程序。(5)重新界定了注册会计师实施控制测试的两种情形,当存在下列情形之一时,注册会计师应当实施控制测试:在评估认定层次重大错报风险时,预期控制的运行时有效的;仅实施实质性程序不足以提供认定层次充分、适当的审计证据。(6)强调了实施控制测试获取审计证据的重要性。即认为仅实施实质性程序获取的审计证据无法将认定层次重大错报风险降至可接受水平,注册会计师应当实施相关的控制测试,以获取控制运行有效性的审计证据。(7)增加了“重新执行”的控制测试取证方法。根据第1301号审计证据准则,注册会计师获取审计证据的具体程序中将六种具体的取证方法修改为八种,即检查记录或文件;检查有形资产;观察;询问;函证;重新计算;重新执行;分析程序。其中增加了“重新执行”控制测试的取证方法。(8)严格限制了注册会计师无限期或过长时间内不实施测试的做法。如果拟信赖的控制自上次测试后未发生变化,且不属于旨在减轻特别风险的控制,注册会计师应当运用职业判断确定是否在本期审计中测试其运行有效性,以及本次测试与上次测试的时间间隔,但两次测试的时间间隔不得超过两年。(9)首次明确区分“控制运行的有效性”与“控制是否得到执行”。注册会计师在了解被审计单位及其环境时需要实施风险评估程序。注册会计师在确定控制是否得到执行而实施的某些风险评估程序可能提供有关控制运行有效性的审计证据。注册会计师可以考虑在评价控制设计和获取其得到执行的审计证据的同时测试控制运行有效性,以提高审计效率。两者的区别如(表1)所示。(10)首次明确期中进行控制测试的考虑。如果注册会计师在期中实施控制测试程序,即使注册会计师已获取有关控制在期中运行有效性的审计证据,仍然需要考虑如何能够将控制在期中运行有效性的审计证据合理延伸至期末,以确保针对期中至期末这段剩余期间获取充分、适当的审计证据。如果已获取有关控制在期中运行有效性的审计证据,并拟利用该证据,注册会计师应当实施下列审计程序:首先,获取这些控制在剩余期间变化情况的审计证据。针对期中已获取过审计证据的情况,如果这些控制在剩余期间没有发生变化,注册会计师可能决定信赖期中获取的审计证据;如果这些控制在剩余期间发生了变化,注册会计师需要了解并测试控制的变化对期中审计证据的影响。其次,确定针对剩余期间还需获取的补充审计证据。针对期中已获取过审计证据的情况,如果这些控制在剩余期间发生了变化,注册会计师应当考虑下列因素:评估的认定层次重大错报风险的重大程度。评估的重大错报风险对财务报表的影响越大,注册会计师需要获取的剩余期间的补充证据越多;在期中测试的特定控制。如对自动化运行的控制,注册会计师更可能测试信息系统一般控制的运行有效性,以获取控制在剩余期间运行有效姓的审计证据;在期中对有关控制运行有效性获取的审计证据的程度。如果注册会计师在期中对有关控制运行有效性获取的审计证据比较充分,可以考虑适当减少需要获取的剩余期间的补充证据;剩余期间的长度。剩余期间越长,注册会计师需要获取的剩余期间的补充证据越多;在信赖控制的基础上拟减少进一步实质性程序的范围。注册会计师对相关控制的信赖程度越高,通常在信赖控制的基础上拟减少进一步实质性程序的范围就越大。在这种情况下,注册会计师需要获取的剩余期间的补充证据越多;控制环境。在注册会计师总体上拟信赖控制的前提下,控制环境越薄弱(或把握程度越低),注册会计师需要获取的剩余期间的补充证据越多。(11)明确了实质性程序概念和内容。实质性程序是指注册会计师针对评估的重大错报风险实施的直接用以发现认定层次重大错报的审计程序。包括对各类交易、账户余额、列报的细节测试以及实质性分析程序。(12)明确了对于特别风险的专门应对程序。如果认为评估的认定层次重大错报风险是特别风险,注册会计师应当专门针对该风险实施实质性程序;如果针对特别风险仅实施实质性程序,注册会计师应当使用细节测试,或将细节测试和实质性分析程序结合使用,以获取充分、适当的审计证据。(13)首次提出了是否在期中实施实质性程序。注册会计师如果在期中实施了实质性程序,仍然需要消耗进一步的审计资源使期中审计证据能够合理延伸至期末,注册会计师应当考虑是否在期中实施实质性程序。(14)指明了财务报表审计是一个累计和不断修正的过程。随着计划的审计程序的实施,如果获取的信息与风险评估时依据的信息有重大差异,注册会计师应当考虑修正风险评估结果,并据以修改原计划的其他审计程序的性质、时间和范围。(15)明确了注册会计师应当针对评估的风险设计细节测试。如在针对存在或发生认定设计细节测试时,注册会计师应当选择包含在财务报表金额中的项目,并获取相关审计证据;针对完整性认定设计细节测试时,注册会计师应当选择有证据表明应包含在财务报表金额中的项目,并调查这些项目是否确实包括在内。(16)明确了审计工作记录要求。注册会计师应当针对评估的重大错报风险实施的程序进行充分的审计工作记录。包括记录:对评估的财务报表层次重大错报风险采取的总体应对措施;实施进一步审计程序的性质、时间和范围;实施进一步审计程序与评估的认定层次重大错报风险的联系;实施进一步审计程序的结果。
(四)第1301号准则 第1301号准则是在借鉴国际审计与鉴证准则第500号的基础上,对我国原有的《独立审计准则第5号――审计证据》进行修订而形成的。此次重大修订的内容有:(1)拓展了审计证据的内涵。原审计证据准则将审计证据定义为“注册会计师在执行审计业务过程中,为形成审计意见所获取的证据”。原审计证据准则对审计证据的内涵界定比较窄,注册会计师收集
的审计证据更多体现的是与财务报表会计记录相关的信息。修订后审计证据准则将审计证据定义为“注册会计师为了得到审计结论、形成审计意见而使用的所有信息”。新审计证据准则对审计证据的内涵要宽泛得多,不仅包括与财务报表会计记录相关的信息,还包括其他信息。如(图1)所示。
其中,第一类审计证据是“财务报表依据的会计记录中含有的信息”。会计记录中含有的信息是最基本信息。构成了财务报表最主要的内容,一般包括对初始分列的记录和支持性记录,如支票、电子资金转账记录、发票、合同、总账、明细账、记账凭证和未在记账凭证中反映的对财务报表的其他调整,以及支持成本分配、计算、调节和披露的手工计算表和电子数据表。第二类审计证据是“其他信息”。其他信息是用来印证会计记录中含有的信息是否真实、完整,指导注册会计师如何识别、评估财务报表重大错报风险,一般包括:注册会计师从被审计单位内部或外部获取的会计记录以外的信息,如被审计单位会议记录、内部控制手册、函证函的回函、分析师的报告、与竞争者的比较数据等;通过询问、观察和检查等审计程序获取的信息,如通过检查存货获取存货存在性的证据等;自身编制或获取的可以通过合理推断得出结论的信息,如注册会计师编制的各种计算表、分析表等。(2)引进了“认定”的概念。原审计证据准则未将“认定”写进准则,整个审计准则体系对“认定”概念重视不够,新审计证据准则引入“认定”概念,并要求注册会计师详细运用认定指导具体审计目标,根据具体审计目标来设计和确定进一步审计程序。(3)将获取审计证据的程序区分为总体程序和具体程序。原审计证据准则只列了六种具体的取证方法。修订后的审计证据准则将注册会计师获取审计证据的程序区分为总体程序和具体程序,总体程序增加了风险评估程序,即包括风险评估程序、控制测试和实质性程序;具体程序中将六种具体的取证方法修改为八种,具体包括的内容前文已述及。其中,将“监盘”程序进行细分,因为“监盘”是“检查记录或文件”、“检查有形资产”、“观察”等具体审计程序的复合程序;增加“重新执行”具体程序;将原来的“计算”和“分析性复核”分别修改为“重新计算”和“分析程序”。(4)新增风险评估程序。根据风险导向审计准则体系的要求,注册会计师应当通过了解被审计单位及其环境识别重大错报风险,并针对评估的重大错报风险设计和实施进一步的审计程序,因此,在修订后的审计证据准则中增加“风险评估程序”,以此为手段通过了解情况作为评估财务报表层次和认定层次重大错报风险的基础。但风险评估程序并不能识别出所有的重大错报风险,虽然它可作为评估财务报表层次和认定层次重大错报风险的基础,但并不能为发表审计意见提供充分、适当的审计证据。为了获取充分、适当的审计证据,注册会计师还需要实施进一步程序,包括实施控制测试(必要时或决定测试时)和实质性程序。(5)新增“重新执行”的具体审计程序。重新执行是指注册会计师以人工方式或使用计算机辅助审计技术,重新独立执行作为被审计单位内部控制组成部分的程序或控制。如注册会计师利用被审计单位的银行存款日记账和银行对账单,重新编制银行存款余额调节表,并与被审计单位编制的银行存款余额调节表进行比较。
三、审计风险准则对注册会计师的影响
(一)对注册会计师审计理念的影响注册会计师审计的主线始终是对重大错报风险的识别、评估与应对。注册会计师为了实现审计目标。在计划和实施审计工作时,应当保持职业怀疑态度,充分考虑可能导致会计报表发生重大错报的情形。在审计和实施进一步审计程序时,注册会计师应当将审计程序的性质、时间及范围与识别和评估的风险相联系,以防止机械利用程序表从形式上迎合独立审计准则对审计程序的要求。注册会计师必须针对重大的各类交易、账户余额、列报和披露实施实质性测试。注册会计师对重大错报风险评估是一种判断,并且内部控制存在固有限制,无论评估的重大错报风险结果如何,注册会计师必须针对重大的各类交易、账户余额、列报和披露实施实质性程序,不得将实质性测试只集中在例外事项上。
篇5
自20世纪80年代起,随着对风险评估问题研究的不断深入,出现了多种风险评估方法和标准。但是,这些方法和标准一般都是针对大型机构或部门的信息系统设计,用于实施风险评估,往往工作量较大,无法适用于中小型信息系统。
因此,在已知的大量实际案例中,风险评估的实施往往没有采用经典的由威胁、脆弱性、资产组成的标准模型,而代之以最佳实践法、资产评估法、基于场景的分析法等方法。其中,最佳实践法侧重于分析对不同类别资产所采取的安全措施;资产评估法重点关注资产在组织层面的价值;基于场景的分析法则依靠测试和分析典型风险场景来实现风险评估。这些方法的问题包括:1、评估过程花费昂贵且耗时过长,评估结果无法及时反应信息系统风险状态;2、安全措施的选择往往并非基于风险模型,而是基于由最佳实践得出的安全措施清单,无法科学地反映被评估系统的问题。
在学术领域,也有不少研究致力于将故障树、事件树、马尔可夫链、FMEA等建模技术应用于风险评估模型的构建。如基于DS证据推理的风险评估模型、基于贝叶斯网络的风险评估模型P]、基于攻击树的风险评估模型等。上述方法的共同缺点包括:假设的主观性较强、风险因素与风险之间关系的识别的复杂性较高、时间较长。
2011年,Lazzerini和Mkrtchyan提出了一种使用具有非线性隶属函数、条件权重及时延权重的扩展模糊认知图(E-FCMs)来分析风险因素和风险之间关系的方法,在该文献中,俩人还提出了一种基于E-FCMs的悲观方法来评估一个系统或项目整体风险的模型,并通过引入适合于风险分析的特殊图示对E-FCMs进行了扩展。但是,本文研究的信息安全风险属于操作类风险,上述方法不能直接用于解决此类风险评估问题。
本文提出了一种基于模糊认知图(FuzzyCognitiveMaps,FCM)的轻量级风险评估方法,方法包括风险模型构建、风险推理两部分。其中,模糊认知图被用于获取资产间依赖关系,基于模糊认知图的推理方法被用于将低级资产(如硬件、软件、信道、人等)的风险整合至高级资产(如服务、数据、业务流程等)。另外,本文还以一个移动办公信息系统为例,对方法的应用进行了研究。
2模糊认知图简介
Kosko最早通过引入模糊值对认知图进行扩展,形成了模糊认知图的概念。大量文献对模糊认知图进行了研究[9],应用范畴包括:系统建模、经济制度发展分析、新技术应用、生态系统分析和医学决策支持等。
FCM是一种有向图,每个节点表示系统中的一个概念,这个概念可以是系统的事件、目标和趋势等,整个模型包含一组概念C={c1,...,c?};有向边表示节点间的因果关系。每个概念节点具有各自的激活水平值,激活水平值一般为[0,1]或[-1,1]的实数,系统状态是各节点激活水平值的n维向量(《=|C|)。
在FCM中,节点间因果关系由边和边的权重表示。连接两个节点C和Cj的边的权重为正,表示c增长将引起C]增长,权重为负则表示c增长将引起c]减小。最简单的FCM仅以值-1,0或1作为边权重,在图中分别用负号㈠边、没有边、正号㈩边表示。为了更精确地定义因果关系,一般会用语言值(如强烈否定、否定、偏否定、中立、偏肯定、肯定、强烈肯定)表示权重,计算时再将这些语言值均匀映射到区间上。
FCM中各节点间的因果关系可以用_的影响力矩阵£=[%]表示,矩阵元素代表连接节点ct和c3的边权重;若两节点间无因果关系,则用0值表示。图1是一个FCM的例子,Cl,C2,C3,C4,C5,C6为概念节点,
带语言值权重的边表示节点间的影响力。影响力矩阵E为:语言值对应的数值选择没有确定的规则,在此采用将语言值均匀映射至区间[-1,1]的选择方式,得到对应的数值为-1,-0.66,-0.33,0,0.33,0.66,1。3基于模糊认知图的风险评估方法各类风险评估标准中均对风险评估的方法的使用方式等有所描述。本文方法与上述方法的主要区别在于,利用FCM模型能够方便快捷地获取资产间的相互影响,并能够在风险的聚合过程中对资产间依赖关系的变化实现追踪。
3.1概念模型
在图2所示的被测信息系统概念模型中,各项资产按其相互关系被连接形成一个资产增值树。其中,低级资产为其上级资产提供服务,顶部节点一关键业务进程由系统业务确定。各资产间的依赖关系在图中通过箭头表示,如图所示:关键业务进程的效用取决于其使用的数据和服务;数据的可用性由数据源(用户、外部数据提供者)提供;服务则依赖于软件、硬件和信道,同时与人员、物理基础设施(建筑物、房间、电力设施)和外部服务(如PKI)等相关。同时,各节点被赋予一定的安全效用值,效用值是资产的完整性、可靠性、可用性等各种安全属性的集合。低级资产效用值的变化将影响到使用它们的高级资产。
与关注于攻击行为或威胁的方法(如攻击树法)不同,本文选择了基于资产的威胁识别方法。在如图3所示的风险基本模型中,资产的效用值可能受威胁的影响而降低,威胁对资产的负面影响可以通过适当的安全措施加以补偿,安全措施本身只能降低风险,而不能增加资产的效用值。图3资产、威胁及安全措施之间的关系
最后,在安全分析的众多领域,被评估风险的大小均与风险可能导致的经济损失有关。作为风险状况的体现,造成损失较小的事件,若数量超过一定值,也需要考虑其效果的累积。
另外,对生命体征监测、航天、铁路管理等安全关键系统而言,部分故障应被视为无法量化的灾难性损失,在评估实施中,应被视作停止系统运行的条件。本文将讨论的移动办公信息系统,安全性要求较为灵活,不将其视为安全关键系统。
为了便于评估的实施,本文作出如下定义:
⑴效用值:一种被赋予资产的数值,取值范围为[-1,1];
⑵风险:与资产相关,预设效用值与推理过程结束时计算出的效用值之间的差值。
3.2 基于模糊认知图的风险评估流程
本文的风险评估流程如图4所示。图中圆角矩形表示流程中的各个环节,实线矩形表示输入输出信息,虚线矩形表示各流程产生的中间结果。
本文基于模糊认知图的风险评估方法由以下六步组成:1、资产识别:此步骤的输入为项目文档、设计方案等能够体现系统现状和体系结构的文件,以及与方案设计人员等的面谈记录。输出为系统的资产列表,包括关键业务、服务、数据、软件模块、硬件、信道、外部数据及服务提供者,以及相关人员及办公场所等。2、构建资产增值树:此步骤的目的是评估低级资产(硬件、软件、信道等)对高级资产(服务和数据)的影响。影响力的大小由与系统建设方讨论确定的语言值来描述。为便于后续推理的实施,此步得出的资产增值树将被表示为FCM影响力矩阵的形式。3、威胁识别:此步骤可使用常见的威胁分类方法(如基于本体),也可根据被评估系统的资产分类来识别威胁。本文采用以资产为基础的威胁识别方法,即所有威胁均针对特定资产。4、单项资产风险评估:此步骤将调査问卷作为基本工具,要求相关人员回答与安全措施相关的问题,同时采用由信息安全领域最佳实践得出的安全措施列表,并对其进行筛选修改,使其适用于特定资产。此步骤的输出是资产的风险值(归一化至[0,1]的实数)。5、风险聚合:此步用FCM推理完成,体现低级资产的风险如何累积影响高级资产的风险状况。此步还包括FCM影响矩阵规范化等其他准备工作。6、结果解析:根据以上计算所得结果,给出系统关键风险的判断并给出安全措施等的建议。
3.3风险聚合一一模糊认知图推理过程
用FCM进行推理的关键在于构建状态序列:a=j(0)j(1),...j(蛛...,该序列以节点激活水平值的初始向量为起点,根据下式算出序列的后续元素:为(+1)=S,(VA.㈨)(2)第(k+1)轮迭代是将矢量A(k)与影响力矩阵E相乘,然后通过一个激活函数将所得到的节点激活水平值映射到预设的范围内。
激活函数的选择与计算模型密切相关,尤其是映射的区间范围以及使用的是连续值还是离散值。本例中,矢量A(k)与各元素绝对值均小于1的n维方阵E相乘,其结果应为一个各元素值均在[-?,?]范围内的向量。因此,激活函数需要满足条件:1、在此区间内的值应被映射至[-1,1](或[0,1])区间;2、应是单调函数,并满足S(0)=0(或S(0)=0.5)。在本文后续的方法应用中,将采用以下两种激活函数:
通常,状态序列a=A(0XA(1),...^4(处...可无限延展。然而,研究表明,在k次迭代后(k是一个接近矩阵E的秩的数字),序列将达到一个稳定状态或产生循环。因此,当推理算法满足下式要求时可停止迭代:2 j<k:d(((k),A(j))<£ (5)其中d是距离,e是一个很小的阈值,如10_2。状态序列a代表了一个非单调的模糊推理过程,推理序列的稳定状态是推理结果。本文的风险聚合过程,就是利用了此推理过程。
4移动办公信息系统风险评估实例
本节将以某移动办公信息系统为例,对本文方法的实施过程及结果进行研究。
4.1 移动办公信息系统介绍
随着移动互联网技术的发展成熟,各行各业的移动办公业务需求不断增长,出现了大量移动办公建设案例。移动办公信息系统的主要应用模式是通过移动终端从业务服务器下载各类业务应用数据,支持移动办公现场业务实施;在上述业务流程中,广泛的信道支持(WiFi、广域网、移动运营商网络等)为其提供了高度的灵活性,TLS等加密协议可以为其提供数据传输的安全性。移动办公人员的地理位置信息等可作为数据库査询的依据,査询结果根据办公人员使用终端类型的不同(个人电脑、平板电脑、智能手机等),用不同的形式自动发送给现场办公人员。另外,从现场采集到的业务相关数据信息作为业务数据库的信息来源被上传并存储在数据库中,为后续的数据统计、业务决策等提供信息支持。
系统中通常也具备为业务管理人员设计的特殊模块,使其能够对系统进行参数配置。此外,系统一般还能够接收其他符合行业数据标准的其他信息系统提供的数据。
系统体系结构如图5所示,(1)移动客户端(智能手机)收集原始数据,通过互联网HTTPS安全通信协议,经(3)SSL认证网关初步验证,并加密发往⑷应用服务器。应用服务器运行系统的主控逻辑,负责授权、数据验证、生成通知,以及与(5)数据库服务器和(6)数据分析服务器之间的通信。数据分析服务器负责完成业务数据的统计分析工作。
4.2 资产识别
本例的资产识别阶段,主要实施方式是组织由被测单位信息部门相关人员参加的访谈及会议,通过对现有的项目文档进行研究,对系统结构进行讨论,明确系统信息安全风险评估所涉及的资产。经研讨,此系统的资产包括:
1、业务过程:现场巡査、业务信息检索、业务信息存储、分析结果获取;
2、服务:数据存储和检索、数据传输、数据分析;
3、数据:现场巡査采集数据、遥感影像数据、配置数据;
4、软件模块:认证、业务应用、资源数据库、移动办公客户端、固网客户端、数据分析软件;
5、硬件模块:认证服务器、应用服务器、数据库服务器、数据分析服务器、智能手机及固网用户主机;
6、信道:通过WLAN、LAN和3G等构建的外部网络(HTTPS协议),内部办公网络(HTTP协议);
7、人员:移动办公用户、固网办公用户、技术人员;
8、其他:由第三方提供的基础设施(通信线路、电力线路)。
4.3 构建资产增值树
图6为本系统的资产增值树,图中各节点就是前一步中识别出的资产,业务过程依赖于软件和硬件模块所提供的服务,并与系统中存储及交换的数据相关。图中资产间的相互关系从系统体系结构的角度考虑确定,边的权重值则根据与系统使用维护人员的访谈确定。权重确定后,即可将其描述为FCM影响力矩阵的形式,本例中用于描述的语言值为:高、明显、中、低、无。例如,现场巡査业务受数据存储和检索、数据传输两项服务的高度影响,受数据分析服务的明显影响。
4.4 威胁识别
目前,在信息安全风险评估中,对威胁的识别一般基于以往经验提供的对攻击源的认知。根据以往经验,在本例中,要考虑的所有威胁,可根据其影响的资产类型分为11类,分别为:(1)过程类,如设计缺陷;(2)软件类,如质量缺陷、缺乏维护、恶意软件;(3)硬件类,如质量缺陷、能量耗尽;(4)通信类,如协议缺陷、服务中断;(5)数据类,如破坏机密性、破坏完整性;(6)外部服务类,如有无PKI等安全基础设施;(7)外部数据类,如数据接口错误;(8)基础设施类,如场地、电力、空调;(9)人员类,与移动办公用户、固网办公用户和技术人员相关的威胁;(10)自然灾害类;(11)经济条件,法律等。
4.5 单项资产风险评估
此环节工作包括两方面内容脆弱性分析和安全措施有效性分析。在实施方式上,此部分评估采用能够反应最佳实践的问卷调査的形式。针对此次的被评估系统,关于威胁与安全措施的调査问卷共针对11组资产设计了约140个问题。
表1为与移动办公客户端相关的风险评估调査问卷。问题根据各类资产的最佳安全实践确定,每个问题涉及一项安全特性。各项问题均根据其对资产整体风险的影响被赋予问题权重^。每个问题最多给出三个答案,各答案均被赋予代表其对资产风险影响程度的风险影响系数qije[0,1]。问题权重W,_及风险影响系数qy利用专家法由专家评分决定。这些权重信息对被调査人员是不可见的。表中星号项为此次问卷调査的回答结果。
至此,资产S的风险值RS可通过将ks个问题a(i=1,...,ks)的答案ay代入式(6)得出。值1和0分别表示是或不是某项答案,即若问题i的答案是答案.则%=1,否则%=0。
其中,w是归一化因子。计算可得,移动办公客户端的资产风险值Rs=0.404,风险值不为0,表明资产面临的威胁不能完全被安全措施控制。
采用上述方法,计算所有低级资产的单项资产风险值,可明确系统中风险值为高、中、低的各类资产,并对高风险资产采取针对性安全措施。
在实际操作中,问卷调査内容的设计过程与模糊认知图的构建过程是同步进行的,问卷中的权重值w,即反映了FCM图中影响值的大小,以数据资产“现场巡査采集数据”为例,在与其有因果关系的下级资产(移动办公客户端、智能手机、移动办公用户)的问卷调査中,选择可能影响上级资产的问题,取其权重的均值,即得到其影响值。
4.6 风险聚合
针对业务过程、服务、数据等高级资产类别,由于其自身的复杂性,无法采用4.5节中的问卷调査方式实施风险评估,因此,本文采用FCM推理实现的风险聚合来完成高级资产的风险计算。
在计算前需先进行影响力矩阵的归一化操作。本例中,原始矩阵用5个语言值(高、较高、中、低、无)来描述,分别对应影响力值{1,0.75,0.5,0,25,0}。对每一行i=1,...,n,影响力值的归一化可按下式完成:
其中,且m是一个正常数(实际计算中常使用m=1.0)。上述归一化过程给出了一个概率分布。假设的分布形式源于博弈论,假设高级资产ah受低级资产an,...,aik的影响,影响系数为em,…,em。如果攻击者选择从一个低级资产发起攻击,那么它应该在能够影响ah的低级元素中选择影响力eMm最高的元素am但是,攻击者对影响力可能作出错误的估计。由此所得的攻击行为概率与错误估计的分布相关,而错误估计一般没有明显的规律。因此,假设错误估计服从双指数分布,就可得到式(7)给出的logit(对数成败比率)模型。
最终,聚合风险的计算需要通过连续使用FCM状态方程(2),构建两个向量序列:无风险序列anr的初始向量为A^(0),在此向量中,表述资产风险属性的所有向量元素都被置为1。而风险序列d的初始向量A\0)是资产风险属性向量A10)与式(6)计算出的风险值RA的差,艮P:Ar'(0)=A'(0)-R4。最后,将anr和d中的相应元素相减,即R(i)=Anr(i)-Ar(i),即可得到聚合风险值序列p=R(0),...,R(i),...。此序列将收敛于表示资产聚合风险的数值。
图7为系统中数据、服务、业务进程三组资产的风险计算的结果。结果分别采用式(3)和式(4)定义的激励函数S-(图(a))和SeXp(图(b))得到。对于函数SeXp,式中常数m的值采用2.0。结果比较表明,两个函数的计算结果趋势一致。
4.7结果解析分析表明,低级资产的风险会影响高级资产。在本文的评估实例中,大量资产(如移动客户端)的风险是由于系统尚未部署在实际生产环境中,实验环境下大量安全措施(PKI、UPS、物理访问控制措施等)尚未部署所导致的。在实际部署中,需要将这些安全措施启用。
5结束语
篇6
1995年,英国巴林银行倒闭在世界范围内引起轩然大波。这家百年老店,却由于年仅28岁的交易员尼克?里森在新加坡期权市场交易中的违规操作导致破产。近十年后,在新加坡市场上,中国航空油料(新加坡)股份有限公司也申请破产。中航油(新加坡)于2001年在新加坡成功上市,一度被业界捧为神话。在公司总裁陈久霖的带领下于2003年初开始做石油衍生品交易获利,且一发不可收拾,最终因导致公司亏损达554亿元之巨。不难发现,两者的失败有很多相似之处,本文从公司内部控制的角度出发对两者进行比较分析,以期对当今公司的内控与风险管理提供教训与警示意义。
二、两大事件内部控制比较分析
1992年,美国反虚假财务报告委员会(通常称Treadway委员会)下属COSO委员会,了《内部控制―整合框架》的研究报告,把内部控制整体框架的要素定义为:控制环境、风险评估、控制活动、信息与沟通、监督五个紧密联系的部分。我们从内部控制的五个要素出发对两大事件进行对比分析。
(一)控制环境存在的问题。巴林银行,这样一个老牌企业,管理层的管理哲学、经营理念实在让人不敢恭维,一方面巴林银行一直认为雇佣的员工都是值得信赖的,其实不然,人都是自利的而且人的自利行为得靠制度约束。再者,管理层存在投机心里,过度相信里森。另外,时任巴林银行董事长彼得?巴林曾经表示由于资产负债表本身是反映的过去而不具有决策价值。
“中航油”是中国航空油料控股公司(下称“集团公司”)的海外子公司,其控制环境不同于巴林银行的是:有着国企的通病。首先,公司内部人控制,陈久霖身兼集团公司副总经理,在新加坡分公司基本上是他一人说了算。其次,陈久霖早期的成功使得集团公司对其十分信任并委以重任,陈久霖由此自我膨胀、刚愎自负,使其自身不受内部控制、监督的的制约。
从上述分析可以看出,二者控制环境区别主要在于:巴林银行是员工诚信问题,中航油是管理层不受约束。当然相同之处很明显,二者都存在过度投机心理,却缺乏风险意识。
(二)风险评估存在问题。巴林银行长期以来的优越感,使得管理层缺乏风险意识,对风险管理机制不重视。首先,不能有效的识别风险,巴林银行原有一个错误账户,而里森所在新加坡分公司又设立一个错误账户,很明显的风险事项却被管理层忽略。其次,风险水平不受限制,期货交易具有高风险,而公司却对此没做相关规定,到了后来,伦敦按照里森的要求每天汇入1000万英镑,公司却从不质疑。
中航油同样存在风险评估问题。第一从风险识别上看,作为公司总裁的陈久霖对期货交易的风险可定是熟知的,但是他的赌博性让他不顾风险,妄求收益。第二,风险水平上看,大量的买进期货合约,风险水平大大超过了可承受范围。第三,风险应对机制上看,当时的账面亏损已经达到8000万美元,而且管理层已经认识到问题的严重性,但是却没有采取必要的风险应对措施,任由陈久霖一意孤行,直至公司申请破产。
从上述分析,二者区别主要在于:巴林银行是对风险不能有效识别,中航油是不顾风险孤注一掷。相同之处,二者风险管理机制都不健全。
(三)控制活动存在问题。巴林银行,里森身兼交易员与清算员,不合理的岗位设置为其掩盖交易失误提供方便。同时,对于高风险的期货交易,巴林银行缺乏有效的控制活动,里森每天要求伦敦汇入1000万英镑,公司还能审批且不深究。
中航油控制活动的失效表现在两方面,一方面是公司编制有《风险管理手册》,规定损失超过500万美元就要上报集团公司,当陈久霖在获悉出现580万美元的账面亏损后,却不斩仓上报,而是继续加大买入。从上述对比看出,二者控制活动主要区别:巴林银行缺乏有效的控制活动,中航油是控制活动难以执行。相同点是二者均设有不相容岗位。
(四)信息与沟通。巴林银行的破产与“88888”账户的违规使用密切相关。总部与里森所负责的新加坡分公司沟通失效,导致“88888”账户一直存在,且账户信息里森一个人知道。里森为了维护其光荣的地位,对于自己的失误和员工的失误隐瞒不报,信息没有很好的传递到伦敦总部。
而中航油则是由于陈久霖盲目自大、专权独断,阻止亏损信息的传递。中航油新加坡公司海外市场进行石油衍生品的交易,本身违背了国家有关国企海外衍生金融工具的相关规定。但是,由于航油新加坡公司和集团公司之间的信息沟通不顺畅,财务信息失真,使得母公司在一年以后才知道此违规操作。
基于上述分析,二者信息与沟通的主要区别:巴林银行是由于沟通失误,员工隐瞒信息,中航油是由于管理者阻止信息的传递。相同之处是,二者都是还怕失去已有的光环,一错再错。
(五)监督。里森违规操作两年多的时间,巴林银行总部内部监督部门却一直没有发现。而且在一次内部审计中,对于5000万英镑存款的造假,却从不函证其真实性。中航油设计的内部监督相对来说是比较完善的,却实质受陈久霖领导,缺乏独立性。另外,集团公司派来的财务经理被外调他用。
从上述分析看出,二者监督过程的区别:巴林银行的监督机制松散无实际作用,而中航油的监督机制不具独立性,形同虚设。相同之处在于,监督机制的无作为是罪魁祸首。
三、结论与启示
通过对两大事件的内部控制问题的比较分析,我们不难发现,二者的失败主要在于对风险管理的缺乏,监督机制失灵。所以,如今“企业管理就是风险管理”的说法是有一定道理的。据此,本文总结两点启示。
篇7
一、企业税务风险管理体系构建依据的理论问题
理论是行动的指南,没有理论指导的实践是盲目的实践。企业要构建一个科学、合理、操作可行的税务风险管理体系,首先就得掌握税务风险管理的相关理论。这些相关理论分别是:
1.全面风险管理理论
全面风险管理是一种站在整个企业的角度进行的整体化风险管理。其核心思想为,企业风险来源于多方面,因而最终能够对企业产生影响为一系列风险共同作用所产生的结果。因此,从整体角度对企业所面临风险进行全面管理方可对其进行最为有效的风险管理。当前应用最为普遍的全面风险管理理论与方法包括以下两大类:其一为TRM,即全面风险管理理论,该理论以风险决策因素为基础,将风险管理策略的概率、偏好及价格此三因素概念引入,并提出实现此三要素的最佳平衡是风险管理的最终目标。但该理论当前缺乏实践;其二为ERM,即以组织结构体系为基础的全面风险标准化度量的风险管理。该方法基于企业整体系统这一角度对结构内部各个层次业务单位及业务环节进行通盘管理,从而实现对企业风险的全面有效管理。它与TRM理论相比,可操作性更强,得到了业界多数人的认可和采纳。该方法包括了内部环境、目标识定、事项识别、风险评估、风险应付、控制策略、信息与沟通、监察等八个方面的具体内容。
2.危机管理理论
美国学者史蒂芬•芬克(StevenFink)早在1986年就提出危机管理就是规避风险的艺术的观点。罗伯特•希斯(RobertHeath,2004)在其专著《危机管理》(第二版)一书中,认为危机管理包括对危机事前、事中及事后的管理,这也是目前学术界普遍认同的观点。具本来说,危机的事前管理又包括风险规避、危机管理员预案、信号侦测及危机预警等步骤、内容,事中管理又包括危机情境、沟通与协作及危机决策与行动等步骤、内容,事后管理又包括评价学习与变革发展等步骤、内容。同时罗伯特•希斯还提出了危机管理的“4R”模型,即将危机管理过程分为缩减(Reduction)、预备(Readiness)、反应(Response)、恢复(Recovery)四个环节,该模型以预备、反应及恢复三个环节为核心。具体来说,缩减环节主要是进行风险评估,预备环节主要包括危机预警系统、危机管理计划和培训与演习等内容,反应环节又包括确认危机、隔离危机、处理危机及消除危机等步骤、内容,恢复环节又包括危机影响分析、危机恢复计划、危机恢复行动等步骤、内容。风险与危机既有区别又有联系,而且风险可能转换为危机。风险不等于危机,但风险的存在是危机发生的前提,只有对风险进行有效的识别、评估和控制管理,才能防范危机的发生。如果对各种危机熟视无睹,或对已识别到的各项风险未采取有效的应对措施,那么风险就转换成危机。
二、企业税务风险管理的识别与评估体系构建问题
1.企业税务风险识别方法体系
所谓企业税务风险识别指的是企业税务风险管理工作人员在对相关知识与方法加以利用的基础上对企业可能发生的税务风险加以辨认的过程。风险识别是企业进行税务风险评估与应对的基础。只有对企业可能存在风险加以识别方能够针对性地进行相应的风险管理。因此,在企业的税务风险管理中,我们必须掌握以下税务风险识别的方法:
(1)基本方法:税务风险清单法该方法是运用类似于备忘录的方式,将可能面临的各类风险一一列举出来,并联系企业自身运营情况对这些风险进行综合分析考察。企业的决策者和风险管理者依据所列举的风险清单,对风险及其可能产生的后果作出合理的评估,并探究防止风险的发生和蔓延的对策。但应注意的是,通常情况下企业税务风险清单是基于传统风险管理方式而设计,因而其仅对纯粹风险进行了考虑,而未对投机风险等加以考虑。因此。为避免忽略相关风险事项,企业还可以根据自身情况或聘请税务顾问编制出更为全面、具体的税务风险一览表,对照该表企业就能够比较简单地识别税务风险。
(2)辅助方法:财务报表分析法、因果分析法、流程图法①财务报表分析法此方法主要以企业财务报表如利润表、资产负债表以及现金流量表等为依据,对企业收入、负债、利润及资产等多方面情况实行风险分析,基于财务角度来对企业将面临的潜在纳税风险进行识别。因企业财务报表中包括了投机风险相关信息,因而可将此方法应用于企业投机税务风险的识别。通过资产负债表则可获取损失暴露相关信息;而通过对利润表的分析则可对企业盈亏风险来源以及应缴纳税别加以识别;通过对企业现金流量表进行分析可对企业现金流量风险加以识别。与此同时,通过对企业财务报表相关数据的分析,来对企业税收负担率指标及利润指标等计算出来,而后对计算结果进行横向比较,对本企业相应财务指标同本行业及企业的相应指标加以对比分析。若某项指标差异过大,则表明该企业存在着税务风险。此外,还可进行纵向比较,通过将本企业当前变动指标同之前年度平均水平加以对比,对其发展与变化趋势进行分析,通过对分析项目是否正常的确定来对该企业税务风险的存在与否加以识别。②因果分析法该方法是日本东京大学石川馨教授于1953年在日本川缔公司分析影响产品质量因素时提出来的,且取得非常好的效果,进而被推广。企业在税务风险管理实践中,引发税务风险的因素很多,而这些因素往往又错综复杂地交织在一起,若想要从根本上应对税务风险,就必须准确无误地找出产生问题的根源。而因果分析法,就是通过描绘因果图,从导致税务风险的原因出发,推导出可能发生结果的一种识别税务风险的方法。这种方法能够使得税务风险管理者清楚、有效地整出税务风险和各个因素之间的关系,并对其进行分析。③流程图法此方法是通过生产过程或管理流程来对企业税务风险加以识别的一种方法。首先,该方法对企业生产运营过程根据各个阶段顺序将其绘制成相应的流程图,而后对其进行动态分析合动态分析。其中,静态分析指的是对流程图中各个环节按照顺序加以调查,在找出潜在的税务风险后对其可能产生的后果进行分析;动态分析则指的是对流程图各环节间的关系进行分析并找出主要纳税环节。企业税务风险管理工作人员使用动态分析基本上可对企业生产运营各环节可能存在的税务风险成功识别,并且此方法对企业营业中段以及连带营业中段相关税务风险识别尤为有效。然而流程图方仅强调事故结果,对损失原因则并不关注。
2.企业税务风险评估方法体系
所谓税务风险评估指的是基于税务风险识别运用数理统计与概率论的方法对损失发生概率及大小进行测算,并根据该企业应对风险的态度以及风险承受能力来对税务风险的重要性及其影响程度加以评价的过程。它主要包括评估风险发生的可能性与评估风险产生的影响后果两个方面的内容。税务风险发生的可能性越大,税务风险就越高。评估的方法既有定性评估法,也有定量评估法。
(1)定性评估方法这种评估方法适用于税务风险本身无法进行量比,或不能获得进行定量分析的足量可靠数据,或对数据进行分析与呈效益相关原则不符合的情况。定性评估的方法比较多,但本文只介绍SWOT分析法。SWOT[Strenth(内部优势)、Weakness(内部劣势)、Opportunity(外部机会)、Threat(外部威胁)]分析法是将企业的内部环境的优劣和外部环境的机会、威胁加以对照,对企业目前的内部和外部环境进行初步评估,明确本企业在市场中的地位,从而制定最优战略,实现企业的目标。此方法相关理念在近些年才逐渐被用于对企业税务风险进行评估,其主要应用于对企业所处内部税务环境与外部税务环境加以分析,将不可量化风险对整个企业的影响程度加以判断。若企业内外部税务环境均处于良好状态时,该企业所面临的税务风险相对较小;而当企业内外部税务环境处于不理想状态时,企业所面临的税务风险则相对较大;当企业内、外部税务环境两者中一个较好、一个较差时,则就需要结合企业的实际情况来分析。
(2)定量评估方法①风险预警值测算法该方法是根据企业的财务指标设定风险预警值,测算税务风险大小的一种方法。指标预警值可依据评估对象规模大小、所处环境、资金流向、所面临风险以及企业产品类型等具体因素按照不同区域、不同行业及不同规模加以测算,采用数学方法将加权平均值、算数平均值以及合理变动范围计算出来。在对其预警值进行测算时,应对地区、类型、规划、税种以及生产经营季节等诸多因素,将同一行业、同一规模以及同一纳税人各种相关指标若干年度平均水平纳入考虑范围,以确保预警值更为准确、真实及具有可比性。②综合风险指数模型评估法此方法是以税务风险对各类指数或因素变动敏感度的假设为基础。作为损失额生成过程,多因素模型试图将对所有税务产生系统影响的重要经济力量提取出来,并将其量化,而后将之代入相应数学模型从而实现数据化,根据此进行评估。企业税务风险评估应以多因素、多项目综合评估为出发点。因此,可建立下述模型来进行综合风险评估:V(t)=∑Vit=P1it×S1it+P2it×S2it+……+Pnit×Snit+Eit在上述模型中i=0,1,…,n。我们假设各风险因素其发生概率P与敏感系数S为可知的。其中,V(t)表示的是t时间内综合风险指数;而Pnit则表示的是t时间内第i个项目的第n个风险因素的发生概率;上述模型中Snit表示的是t时间内第i个项目的第n个风险因素其发生变化对预期收益率的敏感系数;E则表示的是随机误差项;i则表示的是风险项目数;式中t表示的是时间,最好以月或半月来算。该指数模型由于加入了时间因素t,因而其为动态风险评估模型。企业税务风险管理人员可根据预期回报率、其自身风险承受能力以及外部环境变化等相关因素来对当前及未来的一段时间内的风险状况进行综合判断,进而制定出统观全局的税务风险管理策略。
三、构建问题分析
所谓企业税务风险管理绩效评价指的是将企业税务风险管理方案实施后实际结果作为依据,在此基础上对该企业税务风险管理手段与方法的适用性、科学性、实际收益等诸多方面加以分析与评价的过程。该评价结果则可作为企业制定新税务风险管理规划制定的一项参考。因而,企业要构建科学适用的税务风险管理绩效评价体系税务风险管理评价人员必须把握以下两个大的问题:
1.评价步骤
首先应制定相应的绩效评价计划。企业相关机构应以本企业具体特点为基础来确定评价范围、对象、目标及评价方法,进而制定出相应的计划,这也是企业税务风险管理绩效评价极为关键的一步。其次是搜集、整理与税务风险管理有关的资料。在这一阶段需要搜集的资料主要包括税务风险管理措施实施后相关资料、当前国家相关税收法律及法规资料、国家相关部门所制定的企业税务风险管理措施评价方法及其它税务风险管理相关资料等。这是必不可少的一步。再次是编制企业税务风险管理绩效评价报告。相关工作人员应根据国家相关评价格式对本企业税务风险管理效果相应的分析结果在汇总的基础上编制出相应的评价报告,并将评价报告提交至相关委托单位与被评价单位。因评价报告是最终成果,故这一步是非常重要的一步。
2.企业税务风险管理绩效评价的方法体系
企业税务风险管理绩效评价的方法体系主要由定量评价的方法与定性评价的方法两大部分组成。这两类方法可以有机地结合使用。
(1)定量评价法企业在固定时段内可通过百分比、金额、罚款或损失次数等对该企业税务风险管理绩效进行定量评价,评价的指标主要有税务风险发生率、损失程度以及管理成本与收益等。在评价时我们不能孤立地使用这些指标数据,需要采用“指标对比法”,将税务风险管理措施实施后的实际数据或实际情况与实施以前的实际情况或实际数据加以对比,找出其中差异。比如,某企业将2013年其实施税务风险管理措施后税务风险事故发生所造成的实际损失与2012年进行相应的比较,就可得出其税务风险管理效果,并可为以后的税务风险管理提供一些参考。
(2)定性评价法企业进行税务风险管理在基于定量评价法的基础上,还可采取“专题调查法”、“专家评议法”等方法,对企业税务风险的管理绩效进行定性评价。如调查税务风险管理效果的评价报告,企业可以通过召开有关人员参加的会议,广泛吸取他们对评价报告的不同意见,必将有利于克服税务风险管理决策中的片面性;对一定时期内企业的税务风险管理方案、管理决策的执行情况、管理制度的创新以及税务损失控制等项目进行定性分析与综合评判时,企业可以通过听取有经验、有能力的税务专家的意见来分析、评估税务风险管理绩效,得出企业税务风险管理水平的等级(优、良、中、低、差)。
四、结束语
篇8
风险管理,评估,工程
【中图分类号】TL372+.3文献标识码:B文章编号:1673-8500(2013)04-0009-02
工程项目周期长,耗资大,经常存在多种因素干扰,具有很大的不确定因素,极其容易造成投资决策失误、建设方案步骤、工期拖延、人身伤亡、财产损失等,这些全部都被成为工程项目的风险因素,为此,工程项目工作人员需要考虑其风险并做好风险评估,提高项目的风险意识,掌握风险识别技术,开展风险评估与分析,及时防范和化解工程风险,对于提高工程建设管理水平和投资效益,都具有特别重要的意义。
1工程项目风险的识别
工程项目中存在风险,首先要对风险进行识别。可以根据其产生的背景原因。表现特征以及预期后果,对所有的风险进行科学的分类,以便采取不同的分析方法进行评估,并依此制定出对应的风险管理计划方案和措施,付诸实施。
2工程项目风险的特性
工程项目有其自身的独特性,其风险特征可以简要的分为以下几类:
一是项目风险的随机性;
二是项目风险的相对性;
三是项目风险的渐进性;
四是项目风险的阶段性;
五是项目风险的突变性。
3工程项目风险的分类
从工程项目风险管理需要出发,可将工程项目风险分为项目外风险和项目内风险。
3.1工程项目外风险
工程项目外风险即由工程项目建设环境(或条件)的不确定性而引起的风险,包括:
(1)政治风险。主要是指项目所处的宏观环境的局势稳定性,项目建设和运营所受到的法律法规的约束和政策性调控影响,以及有关项目的审核批准过程中存在的各种不确定性问题。这类风险由下列诸因素引起:一是政府或主管部门对工程项目干预太多,指挥不当。二是工程建设体制、工程建设政策法规发生变化或不合理。三是在国际工程中,国家间的关系发生变化等。
(2)自然风险。自然界气候的变化、灾害的发生和项目厂址选择经常遇到的不良地质条件等。不确定性因素,是每个项目都无法避免的。其通常由下列原因引起:一是恶劣的气象条件。如严寒无法施工,台风、暴雨都会给施工带来困难或损失。二是恶劣的现场条件。如施工用水用电供应的不稳定性,工程不利的地质条件;又如洪水、泥石流等。三是不利的地理位置。如工程地点十分偏僻,交通十分不利等。四是地震。
(3)经济风险。经济因素在项目的全寿命周期内长期存在,影响频率高,交叉作用多见,原因较为复杂。其主要产生于下列原因:一是宏观经济形势不利,如整个国家的经济发展不景气。二是投资环境差。工程投资环境包括硬环境(如交通、电力供应、通讯等条件)和软环境(如地方政府对工程的开发建设的态度等)。三是原材料价格不正常上涨。如建筑材料不断攀升。四是通货膨胀幅度过大,税收提高过多。五是投资回报期长,属长线工程,预期投资回报难以实现。六是资金筹措困难等。
3.2工程项目内风险
对工程项目内风险根据技术因素的影响和工程项目目标的实现程度又可对其进行分类。
(1)按技术因素对工程项目的影响,可将工程项目风险分为技术风险和非技术风险。工程项目技术风险是指技术条件的不确定而引起可能的损失或工程项目目标不能实现的可能性。工程项目非技术风险是指在计划、组织、管理协调等非技术条件的不确定而引起工程项目目标不能实现的可能性。
(2)根据工程项目目标的实现程度,可将工程项目风险分为进度、技术性能和质量,以及费用风险。工程项目进度风险是指工程项目进度不能按计划目标实现的可能性。工程项目技术性能或质量风险是指工程项目技术性能或质量目标不能实现的可能性。工程项目费用风险是指工程项目费用目标不能实现的可能性。
4项目风险的分析评估
风险识别的目的在于对各种风险因素评估。基于这些因素的产生原因和表现规律差异较大,分析评估的方法也就有所区别。项目风险评估的内容主要包括风险源发生的条件、时间、空间、频率及损失期望值。风险分析与评估的方法按其性质、用途和适用评估对象分为几种类型:
按性质分为定性、定量及两者结合的方法,其中定性的方法主要有层次分析法(AHP)和专家评分法(DELPHI)等。
按用途分为:用于风险源分析识别、风险发生的概率预测、频率统计分析、风险后果的评估、风险决策、管理计划和对策的制定等方法。按适用评估对象分为:针对工期、成本、投资、质量、事故(或故障)、合同、管理、汇(利)率、自然气候、工程地质条件、灾害、政策法规、技术、预测和决策等的分析评估方法。
5有效管理的风险监控与风险决策
通过项目风险监控,把握工程项目风险的现状,了解工程项目风险应对措施的实施效果、有效性,以及出现哪些新的风险事件。在风险监控的基础上,应针对发现的问题,及时采取措施。这些措施包括:权变措施、纠正措施以及提出项目变更申请或建议等。并对工程项目风险重新进行评估,对风险应对计划作重新调整。
在风险被辨识、估计和分析评价后,就可以考虑各种风险的处理方法。风险的防范手段有多种多样,主要有:风险回避、风险控制、风险转移、风险自担、风险分散、风险合并、风险修正等方法。
以上的风险对策不是互斥的,实践中常常组合使用。比如在采取措施降低风险的同时,并不排斥其他的风险对策,例如向保险公司投保。可行性研究中应结合项目的实际情况,研究并选用相应的风险对策。
6结语
风险管理的理论已使越来越多的管理者体会到项目的风险管理能够产生直接的经济效益。合理地规避风险,有效地抵御风险的困扰,增强项目抗拒风险的能力,无疑就是在减少项目的受损失机会,降低损害的程度,项目的盈利能力因此增强,项目系统建设和运营的安全可靠性大幅度提高,因此其理论的研究有非常广阔的应用前景。可以预期,在工程项目领域,风险意识会不断增强,风险管理的相关技术也会有极大的适用空间,尤其应用风险管理信息系统软件,必将大大提高项目的风险管理水平.
参考文献
篇9
【关键词】风险管理;内部控制;风险评价;公司治理
2008年5月,财政部等五部委联合了《企业内部控制基本规范》,2010年4月26日,财政部会同证监会、审计署、国资委、银监会、保监会等部门在北京召开联合会,隆重了《企业内部控制配套指引》,标志着我国企业内部控制规范体系基本形成,自2011年1月1日起首先在境内外同时上市的公司施行;2012年1月1日起扩大到上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行;同时,鼓励非上市大中型企业提前执行。这是全面提升上市公司和非上市大中型企业经营管理水平的重要举措,以期促进企业提升管理水平和防范风险能力。
1.风险管理的现实要求
1.1 风险防范控制是一种重要的企业内部控制方法
内部控制结构或内部控制成分只是框架性的,只有在内部控制结构或内部控制成分的基础上,以内部控制的方法推行内部控制可能效果更好,而风险防范控制就是一种很好的企业内部控制方法。
企业在市场经济环境中,不可避免会遇到各种风险,因此为防范规避风险,企业应建立风险评估机制。常有的风险评估内容有:筹资风险评估;投资风险评估;信用风险评估。这里所说的信用风险,仅指企业应收账款回收过程中遭受坏账损失的可能性。风险防范控制是企业一项基础性和经常性的工作,企业必要时可设置风险评估部门或岗位,专门负责有关风险的认别、规避和控制。
1.2 风险控制是内部控制的发展特征和趋势之一
提高内部会计控制规范的应用效果,主要是要使内部会计控制充分发挥其防范和化解风险的功能。内部控制的发展特征和趋势之一就是风险控制导向,我国也要整合内部控制与风险管理的关系,提升基于企业风险的内部控制理论体系。
我国《企业内部控制基本规范》指出,企业建立于实施有效的内部控制,应当包括五个要素:内部环境、风险评估、控制活动、信息与沟通、内部监督。其中风险评估,是企业及时识别、系统分析经营活动中与实现内部控制目标相关的内部风险和外部风险,合理确定风险应对策略。《企业内部控制应用指引》共18项指引,可以划分为三类,即内部环境类指引、控制活动类指引、控制手段类指引,基本涵盖了企业资金流、实物流、人力流和信息流等各项业务和事项。对每一项指引的具体描述可以分为三部分:涵义、重要风险及如何应对风险。可见,在整个内部控制中,对风险控制的重视程度。
1.3 经营环境要求企业进行风险管理
风险影响着每个企业生存和发展的能力,也影响其在产业中的竞争力及在市场上的声誉和形象。所有的企业,不论其规模、结构、性质或产业是什么,其组织的不同层级都会遇到因为内部因素和外部因素造成的风险,管理阶层须密切注意各部门、各业务的风险,并采取必要的管理措施。
在经营管理活动中建立和实施的风险自我管理系统,是企业有效规避风险、规范管理行为的重要手段,是完善法人治理结构、建立现代企业制度的重要内容,也是衡量企业现代化管理的重要标志。
随着社会经济与技术的不断发展,企业经营环境的变化,利用与经营风险相关的不确定性与复杂性作掩护的欺诈与舞弊已成为必须面对和急需解决的一个重要问题,对其的防范应通过合理地设定企业的战略目标、严格地控制战略目标实施过程中的修正程序、提高识别风险因素的能力,建立良好的企业文化来实现。
2.风险管理与内部控制
2.1 内部控制与企业风险管理的区别与联系
内部控制与企业风险管理的主要区别体现在两个方面:(1)内部控制是基于既定的企业目标以及固化的业务模式,不涉及之前的企业治理和目标确定,以及业务模式的选择;而企业风险管理则涵盖了对企业治理风险、战略目标确立风险、业务模式选择风险以及固化风险进行管理的整个过程。(2)企业治理结构和战略目标的确定都要落脚到企业本身的限制,是一个由外而内的定位过程,因此,风险管理中所考虑的环境,主要聚焦在包括可得资源、决策者风险偏好及企业风险承受能力在内的企业内部环境。
内部控制目标的实现,是旨在将影响企业既定战略目标实现的风险控制到可接受的水平。内部控制是为风险管理而控制,是风险管理的重要手段;风险管理是为企业目标而管理,是目标实现的重要保证。内部控制与风险管理两者相互依存、相互制约,形成一个有机整体,共同来实现企业的战略目标。
2.2 内部控制、企业管理及企业全面风险管理的关系
在企业设立阶段和运营阶段的风险中,可以将与企业战略设立、调整相关的企业治理结构风险、战略目标确立风险和业务模式选择风险统称为活化风险,将业务模式既定状态下的合规风险、运营风险和财务风险称为固化风险,将固化风险与活化风险合称作动态风险。而企业风险管理就是对企业动态风险的管理,而内部控制则是对固化风险的控制。
企业管理是对机会的管理,是设立目标并达成目标的过程,包括计划、组织、领导、控制等职能;而企业全面风险管理是对目标设定和执行中的动态风险进行管理的过程,包括活化风险管理和固化风险管理(即内部控制),两者并行不悖,可以说,企业管理是确保企业成功的充分条件,企业风险管理是确保企业成功的必要条件。
2.3 内部控制、公司治理、风险管理三者关系
尽管内部控制、公司治理、风险管理在文字表述上存在差异,但就其实质而言是相同的,都是基于企业存在风险而产生的,都是为了进行风险控制,可以统一于一套企业管理制度之中。
必须注意的是风险管理并不是一种脱离于企业经营管理活动之外的管理形式,它内含于整个企业的经营管理活动过程之中;风险管理是针对企业的各责任主体而言的,离开了这些责任主体风险管理既失去了风险控制的主体,也失去了风险发生的主体;为了进行风险管理,必须要有一整套风险识别、风险控制的程序和方法;风险控制的目的是确保财物的安全和信息的真实,而后进一步拓展为提高经营效率以及各项法律法规的执行。
3.风险管理实施应用
3.1 风险评价方法
目前,国内外关于风险评价的方法主要可以分为定性分析评价、定量分析评价和定性与定量相结合的评价方法三种。
3.1.1 定性分析评价方法
定性方法主要有德尔菲法、情景分析法与压力测试法、SWOT法、对比法等。
德尔菲法:又称专家调查法,由O·赫尔姆和N·达尔克在20世纪40年代首创,是最常用的定性分析方法之一。企业针对某个风险同时咨询多个专家,专家们根据自己的经验做出各自的评估;再综合这些评估得出一个折中结果,把该结果送交给专家们,专家们据此对自己的评估进行修改,直至达到一致。
情景分析法与压力测试法:情景分析法通过一些数字、图表和曲线,对未来某个状态或某种情况进行详尽的描绘和分析,识别引起风险的关键因素及其影响程度,是一种前推法,对未来的预测。压力测试法则对经验过程中面临的困难做最坏的打算,重现历史灾难下企业所承担的风险,是对过去的追溯。美国大通曼哈顿银行成功地使用该方法对企业中的风险进行了分析。
战略管理中常用“SWOT”(strength,weakness,opportunities and threats)分析法,也是风险分析的一种,企业对内分析自身的优势与劣势,长处与短处,对外分析外界的机会和威胁,明确企业在市场中所处的地位,考虑自己的生存机遇。
3.1.2 定量分析评价方法
定量方法主要包括风险价值法、敏感性分析、决策树分析法、主成分分析法、蒙特卡洛模拟法等。
风险价值法(VaR):VaR定义为在一定时期内,一定的置信水平上可能的最大损失。它可将企业的风险大小以一定的货币量表示出来,实现不同风险的相互比较。目前求解VaR主要有两种方法:参数方法和模拟仿真法。
3.1.3 定量分析和定性分析相结合的评价方法
常见的定性与定量相结合的方法,如层次分析法(AHP),是由著名的运筹学家在20世纪70年代初期提出的一种多目标决策方法。利用AHP的递阶层次结构模型,企业将风险评价总目标进行逐层分解,得到从不同方面衡量风险的多变量准则层,每个待评估的方案按不同准则相互比较,构建判断矩阵,求出矩阵最大特征值对应的特征向量,便可得到项目风险大小关系。该法可很好地处理定性和定量相结合的问题,将决策者的主观判断与政策经验导入模型,并加以量化处理。
之所以最常使用定性与定量相结合的方法,这是因为风险评价是一个复杂的系统工程,某些属性或评价因素不易量化,甚至评价因素本身就不易确定,要想取得理想的评价效果很难。这时可以请多名对评价对象有专门知识或经验的人员来对其进行定性、定量或两者结合的评价。而且,随着计算机技术的发展,评价方法越来越丰富,也常常采用定性与定量两者相结合的组合风险评价方法进行系统评价。
3.2 风险管理的实施应用
COSO委员会研究并了基于风险导向的内部控制监督模型,它是一项嵌入风险信息与信息技术的系统化监督流程工具,以推动企业将监督有效地植入公司的持续控制过程,它首次在实质上推动了内部控制监督要素的应用性发展。
风险管理是一个包括风险规划、风险识别、风险评价、风险处理与风险监控的全过程管理,是一个系统的动态的循环的风险管理过程。其中,风险识别、风险评价以及风险处理都有多种常用方法,正确合理地选择方法是风险管理顺利实现的重要前提。在具体运用中,具体选择哪种方法需要根据工程实际情况才能做出合理判断。随着风险管理在企业管理中越来越重要,应针对本企业具体情况进行风险辨识、分析和评估、应对以及风险防范措施等,以预防和减轻风险,达到降低风险等级的目的。
另外,在实际操作中,由于我国引进风险管理理念时间较短,它又与我国传统的理念存在很多差异,管理人员没有经验,在把这些概念和框架融入到日常的管理活动之中时,遇到许多困难,要不断摸索着前进。因此,我们要清楚地认识到内部控制和风险管理不仅仅是一种规章制度,更不是静态的,一成不变的,而是一种管理过程,是一个持续的、不断修正的过程。
参考文献
[1]白华.内部控制、公司治理与风险管理——一个职能论的视角[J].经济学家,2012(3).
[2]孙志梅,李秀莲,王昕.国有企业内部控制与风险管理研究综述[J].经济研究导刊,2011(12).
[3]邓扬建.风险管理导向的企业内部控制思考[J].财务与金融,2011(8).
[4]刘玉廷.全面提升企业经营管理水平的重要举措——《企业内部控制配套指引》解读[J].会计研究,2010(5).
[5]张蕊.高风险形式下企业欺诈与舞弊的防范[J].会计研究,2010(7).
[6]刘霄仑.风险控制理论的再思考:基于对COSO内部控制理念的分析[J].会计研究,2010(10).
[7]Samuel Bassetto,Ali Siadat b and Michel Tollenaere.The management of process control deployment using interactions in risks analyses [J].Journal of Loss Prevention in the Process Industries.2011,24.
篇10
关键词:出口商品;质量;风险管理;模式
中国作为世界出口制造业第一大国,随着国际间贸易竞争不断加剧,出口商品对通关便利化的要求越来越高。为了在保证出口商品质量安全的同时建立高效、便捷的通关机制,质量监管部门必须创新出口商品质量风险管理机制,以出口商品质量安全信息为基础,全面掌握与出口商品质量安全相关的风险信息,开展风险分析和质量安全状况评估,落实风险管理措施,依据产品风险等级和企业诚信情况、质量保证能力实施差别化监管,扶优限劣,提高通关效率。2012年5月至2013年8月,福州出入境检验检验局选择了较具代表性的出口鞋类商品,前瞻性地开展了检验监管业务风险管理模式改革试点工作,构建了"动态监控、分级管理"的检验监管新机制,取得了良好的实效,同时也对出口法检目录调整之后的出口商品质量监管模式起到很好的参考作用。
一、实施出口商品质量风险管理的必要性
风险管理,指防范风险的管理工作,包括了风险信息采集、风险识别、风险评估、风险应对、风险监控等一系列活动。出口商品质量风险管理,就是要识别各类出口商品质量风险,对风险发生的频率和后果进行分析,寻找并引入风险控制措施,消除或者减轻因质量因素带来的潜在危害,从而实现出口商品质量的有效控制。
出口商品质量监管工作中实施风险管理,首先是当前外贸形势的要求。当前出口企业面临诸多困难:生产成本上升,国际市场需求不旺,受周边国家的价格挤压,产品单价难以提高等等,企业利润大幅下降,对产品质量不可避免地造成负面影响。与此同时,出口产品面临的国外技术壁垒却有增无减,部分发达国家对产品安全性的要求甚至到了苛刻的程度,一种产品可能涉及的危害控制项目往往多达几十种,给出口企业在质量管理方面造成很大的困扰。
其次是促进外贸持续发展的要求。国家质检总局早在2012年初就提出了深化检验监管模式改革,积极建立以风险管理为核心的出口商品检验监管机制,提高出口产品监管效率。通过深化和全面加强风险管理,促进外贸出口。
通过实施风险管理,可以提高利益相关方风险意识,有效配置和使用资源,实施主动性、前瞻性的质量管理,改善工作效率和效果;遵守国内外质量法律法规和国际规范,减少损失,为计划和决策奠定可靠的基础;提高产品质量水平,增强出口企业生存和持续发展的能力。
出口商品质量风险管理总体思路是:运用风险管理的理念,深化和全面加强风险管理,通过风险信息采集与识别、风险分析和评价,区分不同风险等级,来确定监管需求和资源配置的优先顺序。同时依托口岸电子信息化手段,有针对性地加强关键风险防控,做到"该严则严、该快则快、打劣促好",构建"动态监控、分级管理"的出口商品质量监管新机制。
二、出口商品质量风险信息的采集
风险,指在某一特定环境下,在某一特定时间段内,某种损失发生的可能性。风险是一种未来的不确定性,可能会产生严重损失、或是可容忍的损失,甚至获利。从质量的角度讲,风险与危害不同,危害是事物本身固有的属性,如有毒物质对人体、环境造成的危害等,危害是造成产品质量风险的重要原因之一,但不一定会直接导致风险。
风险信息是实施风险管理的基础,需通过各种方式、途径,全面采集出口商品质量信息,并识别出风险。
1、外部质量风险信息的采集。包括各个出口商品输往国的质量法规、标准、行为习惯,以及各种现行和即将出台的技术性贸易措施。各国对产品危害点的管制不尽相同,同一产品输往不同国家产生的质量风险也不同,如对产品中重金属铅含量的限制,欧盟国家、美国、及其他国家的控制要求各不相同。
2、产品自身质量风险信息的采集。不同产品存在不同的质量危害,由此产生的质量风险也不相同,需针对不同产品进行梳理和识别。一般而言,产品自身中存在的潜在质量风险主要包括:一是有害化学物质,如:禁用偶氮染料、邻苯二甲酸盐、富马酸二甲酯、全氟辛酸等等。二是物理安全性能,如:婴儿用品的小附件、锐利尖端和锐利边缘、绳带的缠绕,电气安全等。三是卫生性能,如霉变等。四是一般使用性能和外观要求,如:耐摩性能、拉伸强度、变形、污渍等。
3、出口商品质量风险反馈信息的采集。包括出口商品遭遇国外通报、召回信息;出口商品退运信息;遭遇消费者投诉或媒体负面的质量信息反馈;以及对出口商品实施监督抽查、专项检查的不合格结果信息等。
4、企业质量诚信信息的采集。不同企业的质量诚信和质量管理水平也会对出口商品质量风险产生不同的影响。质量文化良好、质量管理规范的企业,相对质量风险低;反之,质量风险就高一些。因此对同一产品的不同生产企业也要进行质量信息采集与风险识别,区别对待。企业质量信息点主要包括:企业的质量意识,企业在各部门、各机构的诚信记录,质量体系建立及运行的有效性,质量体系及产品认证情况,质量管理人员配置,产品检验控制,贸易信誉,过往质量记录等。
三、出口商品质量风险等级
风险发生所产生的后果,可以根据其严重程度分成不同的等级。理想化来说,所有可能产生不良后果的风险,都需要控制。但是不同风险导致的结果的不可接受程度不同,需要采取不同的防控措施对待,质量保障资源的平均分配或者动用对待关键风险的人力、财力、检测资源来控制低风险的质量项目都是不合理的。通过风险分级,有利于突出重点,节约质量成本,化解风险在可接受范围内。实际工作中根据风险后果影响程度的不同,将风险区分为关键控制风险,一般控制风险和基础性质量风险三个风险等级。
1、关键控制风险。其一旦失控,存在不可接受的质量风险,必须被总是监控。它必须是客户、消费者或者政府部门最关注的因素,对产品质量的影响是最直接的,或者说是最负面的。如输美儿童玩具中铅含量的控制,输欧真皮皮鞋中六价铬的控制等。
2、一般控制风险。其一旦失控,一般不会直接导致不可接受的质量风险。主要涉及产品一般使用性能和外观,如衣服扣子钉歪了,鞋底开胶了等等。
3、基础性质量风险。涉及企业生产规范、设施、设备保障,以及企业道德、行业自律、产品标准体系建设、检验检测认证市场规范、社会质量文化等等。这些因素对质量保障的影响是基础性的,也是降低产品质量风险的治本之举。
四、出口商品质量风险评估
1、运用风险矩阵法确定风险等级。运用风险评估技术中的风险矩阵法对各种风险进行分析和评价,确定风险的等级。具体而言,对每一种风险发生的频率(即可能性)和后果的严重程度分别进行量化的评估,计算出每一种风险的风险指数,同时将风险指数范围定义为不同的三个区间:可接受区间、检查区间和不可接受区间,分别对应风险的三个不同等级:关键控制风险,一般控制风险和基础性质量风险。某种项目风险频率级别的量化值,可以根据该项目被抽查检出的不合格比例,以及被国外通报、退运等数据的统计进行确定;风险后果的级别量化值,可以根据该项目对人体产生危害的严重程度进行区分。
2、关键控制风险的确定与动态调整。通过风险评估,可以得到某个阶段的关键控制风险。风险评估的结果不仅可以作为出口商品质量监管的重点项目,同时也可以成为相关生产企业和贸易商的重点质量保证项目,引导生产企业主动在设计、原辅材料采购和生产过程中对这些项目进行控制。同样的方法也可以对不同行业、不同商品、不同企业、不同目的国,甚至不同环节发生的质量风险进行风险等级的判定,从而确定关键控制风险。
风险评估过程是动态的,开放性的,当遇有国外相关法律法规、强制性技术规范、标准、风险预警信息、国外通报情况、监督抽查检测不合格情况、生产条件,及其他影响风险分析、评价的因素发生重大变化时,须及时或定期重新进行风险评估,对关键控制风险进行动态调整。
五、出口商品质量风险应对
重点针对关键控制风险,加强质量监管,提高质量风险防控措施的针对性和有效性,合理配置行政和企业资源。
1、强化关键控制风险监管。对涉及关键控制风险的出口商品加强审核、查验、检测、监控,介入点可以是口岸查验,生产环节的企业合格评定等。如果出现行业性、区域性严重质量风险时,可以采取必要的临时性措施,如提高市场准入门槛等,严格控制质量风险。另外,针对特殊商品的质量安全监管,如出口危险化学品、高风险玩具和稀土等特殊商品,应制定明确的法律法规、制度,完善监管流程,确保质量安全。
2、提供针对性的技术支持与服务。加大服务企业的精准度,相关风险项目的技术指导,包括质量控制方法,生产规范,原材料选择等,提供免费的技术培训和咨询服务,帮助企业了解、掌握、有效应对国外技术性贸易措施,化解质量风险。
3、突出企业责任,树立风险意识。通过对出口企业广泛、深入、细致的宣传培训,牢固树立企业的质量主体意识,不断提高企业的质量风险意识。鼓励企业开展产品风险分析,源头质量检测,和生产过程的自检,提高风险防控能力。同时引导企业开展首件产品确认,并争取客户的有效确认。
4、强化执法,维护市场秩序。任何质量风险的控制都需要质量成本的付出做支撑,并在产品的价格上反映出来。必须通过畅通投诉、举报渠道,开展通报退运后续调查、监督抽查、专项检查等方法手段,打击出口假冒伪劣商品,净化市场环境,引导市场走出低价劣质无序竞争的困境。
六、出口商品质量风险管理改革成效
通过出口商品质量风险管理模式改革的实践,验证了关键风险控制理论的可行性,取得了良好的实际运行效果。
1、产品整体质量水平不断提高。企业对产品风险控制的意识和能力显著提升,促进了出口商品质量的持续提高。虽然监管部门的总体抽检批减少了,但检验针对性提高,有效拦截了不合格商品的出口;同时企业对其产品质量风险点能否进行有效控制决定了其产品通关速度和通关成本,管理的差异化有助于促进一批优质企业转型升级,实现了"促好促快"的良性循环。
2、提高了质量监管工作有效性和针对性。改变以往"一刀切"式的、无差别的按比例随机抽检的方式,通过高风险关键控制点布控拦截,增强现场施检的针对性。统计数据显示,针对风险点的抽检批占总抽检批的三分之二,集中了有限的检力资源管住管好了该管的,凸显了检验的有效性。
3、提升了电子信息化技术应用水平。促进了电子信息化技术在出口商品质量管理中的进一步优化、完善,实现了高风险项目的严密布控、一般风险产品的快速放行和风险信息日常电子化管理。
参考文献:
[1] 国际标准化组织合格评定委员会 产品监管和市场监督的原则与实践 良好实践指南 2012
[2] 马文拉桑德著,刘一骝译 风险评估理论方法与应用 清华大学出版社 2013.6
[3] GB/T27921-2011 风险管理 风险评估技术
