风险评估范文

导语：如何才能写好一篇风险评估，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

篇1

 

摘要：档案安全风险评估专家制度是档案安全风险评估制度保障体系中的重要组成部分。本文在分析档案安全风险评估中对专家需求、专家的角色功能定位的基础上，力图从专家遴选机制、运行机制、咨询机制、激励机制、责任追究机制等几个方面构建档案安全风险评估专家制度。档案期刊

 

关键词：档案安全风险评估;专家制度;专家;制度设计;机制

 

档案安全风险评估专家制度是档案安全风险评估制度保障体系中的重要组成部分。档案安全风险评估专家是指在档案安全风险评估过程中，在档案安全领域具有专业研究，拥有科学化、技术化的档案安全知识或者掌握档案安全风险评估的科学方法、工具的人，他们在档案安全风险评估中能够进行专业指导或是给出独立客观的意见，是档案安全风险评估科学性的重要保障。专家在档案安全风险评估工作中扮演着越来越重要的角色，但目前专家参与评估存在很大的主观性、随意性，且工作缺乏规范化、制度化的管理措施。本文主要探讨如何构建科学、完善的档案安全风险评估专家制度，以充分发挥专家作用，保障档案安全风险评估的科学性。

1档案安全风险评估对专家的需求

1.1评估指标体系的建立、修正与完善

档案安全风险评估指标是评估的工具，没有评估指标就无法开展评估工作，因此指标设计是开展评估工作的前提。因此构成档案安全风险的评估指标也很多，至少有几十种，如青岛市的档案安全风险评估指标就涉及了21种风险因素、70项风险因子。只有这样才能准确有效地找出各个档案安全风险点(风险因素)，并对其发生的概率进行预测和判断。由此可见，建立健全科学、合理的档案安全风险评估指标体系，必须借助专家的智力支持。

1.2评估方案、评估结果的分析评价

评估工作的有效开展必须基于详细、科学、周全的评估方案，在评估方案的制定过程中，需要专家对评估方案的科学性进行分析评价，并协助参与方案的修正与完善工作。此外在评价评估结果的科学性、准确性时，也需要专家参与进来。

1.3档案安全风险的实地评估及评估过程中的技术指导

专家参与档案安全风险的实地评估，能够确保评估的科学性与技术性;专家在进行实地评估的过程中提供技术指导，包括对评估人员进行培训、统一评估的标准与尺度，保证评估结果的公平与公正。

1.4评估相关政策、制度的制定与完善

制定评估政策、制度，是实现档案安全风险评估规范化、制度化的重要要求。在政策、制度的制定与完善中，需要发挥专家参谋和智囊作用，对风险评估政策、制度制定中存在的难点问题、重点问题进行探讨，并提出建设性的意见和建议。

2档案安全风险评估专家制度的构建

档案安全风险评估专家制度构建，可从专家遴选机制、运行机制、咨询机制、激励机制、责任追究机制等几个方面展开。

2.1专家遴选机制

2.1.1专家结构构成情况第一，专业结构。为实现专业、专长配比组合的最优化，档案安全风险评估专家应包括以下几个专业的专家：档案学、风险管理、风险评估、档案保护技术、计算机技术、工程技术、信息化，等等。在实际工作中，不同专业结构的专家对于同一工作事项很可能会形成不同的观点，有时有些观点还会截然相反，因此建立专家组合并非把不同专业结构的档案安全风险评估专家简单地组合在一起开展工作，而是要建立机制，明确专家的职责分工，使不同专业结构的专家进行密切合作。第二，年龄结构。研究发现，专家的年龄段与其创造力有密切的关系。美国学者朱克曼对美国67位诺贝尔奖获得者首次做出重大贡献时的年龄进行分析，发现其中84%的人年龄集中在29岁至44岁之间，因此建议档案安全风险评估专家的年龄结构应以中、青年为主，并兼具老、中、青三个年龄段。第三，职称结构。专家职称反映了专家学术成就、专业技术水平和工作能力，为保证专家的整体学术研究与专业技术水平，在档案安全风险评估专家职称结构中，获得高级职称的专家应占绝大部分比例。第四，研究领域。档案安全风险评估所涉及的专业知识很广，且某些领域如档案信息系统安全风险评估的专业性极强，因此需要对专家的研究方向与研究领域做进一步要求，使得专家给出的意见与建议更有针对性与权威性、开展的工作指导更具有专业性与科学性。

2.1.2专家遴选指标体系专家遴选指标体系主要由以下几个指标组成：一是基本指标，如学历、职称、荣誉等;二是职业道德修养指标，包括思想品德、职业修养、智能修养等;三是专业业绩指标，包括科研成果、档案管理实践经历、档案专业技能、档案技术研发推广等。在这些指标体系中容易忽视的是职业道德指标，这是由于个人的职业道德修养难以量化和考察所造成的，目前的专家推荐条件一般为学位、职称、科研成果等容易量化和考察的条件、标准，而职业道德修养指标鲜有问津。事实上，职业道德修养这一指标在保障专家作用的实际发挥方面起到很大的作用。专家往往身兼多职，如不具备较高的职业道德修养、缺乏责任意识，往往不会在档案安全风险评估工作中投入足够的时间与精力，使得专家制度形同虚设，造成资源的极大浪费，影响档案安全风险评估的科学性、技术性和准确性。

2.1.3专家遴选的程序专家遴选的程序由遴选公告，个人申请、单位或专家推荐，档案部门审核、考察，聘任等几个环节构成。为了避免专家遴选评审考核形式化、走过场，评审团成员应严格遵守回避制度，如，一旦进入评审团的专家将不再作为推荐人进行推荐。在专家遴选的过程中，为了提高专家咨询论证的科学性，建议专家应来自不同地区、不同单位，并且规避相互之间存在学缘关系的现象。

2.2专家库运行机制

可设立专家库管理委员会负责专家库的管理，委员会具体负责专家的遴选、聘任、动态管理、考核、培训等。对入库专家实行聘期制管理，聘任期一般为2至3年，摈弃“终身制”;实行“能者上、庸者让”的原则，定期针对专家业绩和履职情况开展年度考核和届满考核，将考核结果告知通过考核的专家，以便其根据考核结果及时改进工作，并且及时清退业务水平停滞、工作成绩平庸、履职不力者;还要将考核材料整理归档，作为下一届专家评选的参考资料。

2.3专家咨询机制

专家咨询是档案安全风险评估工作中的一项主要内容。目前专家咨询的方式较为单一，多为召开座谈会或研讨会，这样的方式容易使专家产生从众心理，容易倾向于更加权威者的意见，或服从于大多数人的意见，削弱专家的客观性与独立性，影响专家咨询的科学性、客观性、权威性。因此笔者建议采取多种专家咨询方法，如德尔菲法、头脑风暴法、电子会议等，并综合各种方法的长处，不断提升专家咨询的效果。

2.4专家激励机制

第一，为专家的自我提升提供机遇与平台。在档案安全领域中引入风险管理、风险评估理论是近几年的事情，风险评估专业技术和管理人才相对匮乏;此外，现有档案安全风险评估专家的知识结构有待改善。基于这样的现状，有必要为专家自身专业素质的提升提供平台，可以提供给专家必要的出国、外地考察、交流、学习、培训的机会，不断提升专家的专业素质;还可以定期组织不同专业、不同领域之间的专家开展交流，进一步拓宽专家的思维与眼界。第二，对优秀专家进行表彰与奖励。对表现突出的专家进行表彰，有利于激发专家的积极性、充分调动他们的主观能动性，做好档案安全风险评估工作。应确保表彰与奖励的形式多样化，除了采用常规的奖励手段，还可采用资助专家的科研经费等办法。

2.5专家责任追究机制

篇2

关键词:雷电灾害；风险评估；途径；对策

中图分类号：U674.74文献标识码:A

引言

雷电能造成人员伤亡,能使建筑物起火、击毁。近年来随着我市经济的快速发展，雷击造成的损失也呈逐年上升趋势，雷电过电压、过电流和脉冲电磁场会通过供电线、通信线、接收天线、金属管道和空间辐射等途径侵入建筑物内，威胁室内电子设备的正常工作和安全运行。通过雷击风险评估可为评估对象提供雷电防护的科学设计、灾害风险控制、经济投资、应急管理等方面服务，保证防雷工程安全可靠、技术先进、经济合理。雷击风险评估是开展综合防雷的必经程序，也是实现科学防雷的必要条件，体现了预防为主，防治结合的理念。

雷击风险评估的目的和意义

法律法规和各级政府规范性文件对气象灾害风险评估早就提出了明确要求,我市在2010年后陆续开展了重大建设项目雷击风险评估工作。雷击风险评估是根据项目所在地雷电活动时空分布特征及其灾害特征,结合现场情况进行分析,对雷电可能导致的人员伤亡、财产损失程度与危害范围等方面的综合风险计算,从而为项目选址、功能分布布局、防雷类别与防雷措施确定、雷灾事故应急方案等提出建设性意见的一种评价方法,是一项科学、、严谨、复杂的技术工作,依赖于监测手段的进步、技术标准的完善。

系统风险评估的目的是认识和评价风险，进而进行风险控制和管理。雷击风险评估是根据项目所在地雷电活动时空分布特征及其灾害特点，结合现场情况进行分析，对雷电可能导致的人员生命损失、公众服务损失、文化遗产损失和经济损失与危害范围等方面的综合风险估算，从而为项目选址、功能分区布局、科学设计、灾害风险控制、防雷类别与防雷措施确定、经济投入、应急管理等方面提出建设性意见的一种评价方法。雷击风险评估是防雷工作的一个重要组成部分，是开展综合防雷的必经程序，也是实现科学防雷的必要条件，体现了预防为主，防治结合的理念和安全可靠、技术先进、经济合理的原则。

二、龙里县雷击风险评估工作现状

通过调查了解，现在全国各地均在开展雷击风险评估工作，发展还很不平衡，开展较好的已有百余个项目，较差的刚起步。评估范围涉及有大型建设项目、爆炸火灾危险环境、普通住宅、重点项目、人员密集场所等。下面分析一下我县雷击风险评估工作。

（一）多没有进行现场勘察、测试，也没有统一的勘察报告或调查表。仅靠平面规划图是不能全面了解局地地形、地质、周围环境、雷击历史、小气候等来分析对雷击的影响。缺少必要的评估工作流程和技术流程。

（二）评估采用标准不规范，部分将已废止的标准或过期的规章和已转化为国标的国际标准还在引用，现行国际标准只能参考，不宜直接采用。相关法律法规规章多没有在《报告》中列明。

（三）对住宅小区评估没有分区，对于工厂密集建筑没有总体等效为一个建筑物或分区或分装置来进行评估。

（四）评估分析损失类型不全面。部分只作建筑物中人员生命损失类型风险评估，而未进行经济损失和可能引起其他损失的风险评估。其实规范要求仅对具有爆炸火灾危险的建筑物或医院以及其他内部系统的失效马上会危及人员生命的建筑物，才进行全部人员生命损失风险分量的分析，否则仅对个别分量分析。

（五）对住宅燃气管道的雷击风险没有考虑，特别是管道法兰间非金属衬垫因雷击电火花穿孔，有可能造成火灾或爆炸的风险没有进行风险分析和评估。

三、雷击风险评估的分类和一般程序

（一）现场勘察原始记录应有内容

现场勘察原始记录应有评估工程名称、委托单位名称地址、工程项目名称位置、联系人电话、建筑面积、总投资额，勘察日期天气环境、使用仪器设备及编号、附近雷击史、土壤电阻率测试记录，工程项目的数据、结构类型及电磁特性、附近雷击大地密度、防接触与跨步电压损害措施，地板类型、防火等级、火灾风险、特殊损害度，强弱电系统电缆及设备特性、各建筑间关联性、项目平面示意图、电气布线总平面图，项目存放原料、产品、经营物品和生产设备等，还应对现场拍摄必要的影像资料，还必须有现场勘察人、委托单位陪同人等签名。

（二）项目预评估

项目预评估是根据建设项目初步规划的建筑物参数、选址、总体布局、功能分区分布,结合当地的雷电资料、现场的勘察情况,对雷电灾害的风险量进行计算分析,给出选址、功能布局、重要设备的布设、防雷类别及措施、风险管理、应急方案等建议, 为项目的可行性论证、立项、核准、总平规划等提供防雷科学依据。

（三）方案评估

方案评估是对建设项目设计方案的雷电防护措施进行雷电灾害风险量的计算分析,给出设计方案的雷电防护措施是否能将雷电灾害风险量控制在国家要求的范围内,给出科学、经济和安全的雷电防护建议措施,提供风险管理、雷灾事故应急方案指导施工图设计。

篇3

“凡是群众不受益、不支持的事，坚决不做”

**市地处四川盆地中部，人口密集、经济欠发达，因企业改制和征地拆迁而引发的社会矛盾十分集中，过去时有发生。

**市委常委、政法委书记魏福友说，以前往往因时间紧、任务重，对一些涉及群众切身利益的重大项目没等把存在的矛盾摸清并处置好就仓促上马，想抢时间、抓效率，结果却是欲速而不达，一些工程因群众不满而被迫停工，不仅造成经济损失，社会影响也不好。

20**年初，针对当时最易引发的一些重大建设工程，**市出台了《重大工程建设项目稳定风险预测评估制度》，明确规定凡新开工工程未经稳定风险评估不得盲目开工，评估出的严重隐患未得到妥善化解不得擅自开工。

新出台的规定，立即在实践中发挥出了积极效应。当年，**市船山区对“猫儿洲”立项整体开发，考虑到涉及2700余名村民整体搬迁，存在不稳定事件隐患，市里邀请了国家、省、市、区有关专家对项目进行风险评估。最终，这个项目被改为了结合新农村建设实施开发，得到了绝大多数群众认可和支持。

20**年，尝到了“甜头”的**市又进一步完善了风险评估机制，建立了《**市重大事项社会稳定风险评估化解制度》等八项工作机制，要求在重大政策、重大改革措施和其他事关人民群众切身利益的办法出台之前，均要认真组织开展风险评估。

“所谓风险评估，就是群众不受益、不支持的事，坚决不做！”魏福友说。据统计，截至目前，**市共对281件重大事项进行评估，群众拥护并顺利实施156件占56％，暂缓实施33件、占12％，完善后实施68件、占24％，被否决的24件、占8％，经评估后实施的重大事项没有发生较大影响稳定问题。

“否决还是实施，每一次评估都要讲科学”

重大工程、改革、决策涉及利益面广，问题错综复杂，科学评估尤为重要。为抓好社会稳定风险评估，**市经过调查研究、实践探索，从内容到办法、从目的到责任追究等，都建立了一套完整、周密、细致的政策规定和工作体系。

魏福友说：“否决还是实施，每一次评估都要讲科学。否则，也可能会损害老百姓利益，造成不良社会影响。”

为确保风险评估科学性，在开展风险评估的过程中，**市始终坚持着“五步走”：第一步，确定评估对象，全面掌握情况；第二步，分析预测、评估风险；第三步，形成社会稳定风险评估报告；第四步，通过对显性风险、潜在风险和可能诱发风险的因素进行综合研判，确定风险系数，提出四级预警的分类处置意见，作出不准实施，暂缓实施、分步实施、准予实施的决定；第五步，各级维稳办负责抓好本地社会稳定风险评估工作、化解工作的督促和协调。

20**12月，**市**县水电气安装部门要求提高安装费用。作为一项涉及到老百姓切身利益的决策，**市立即对此展开风险评估。

12月25日，市物价部门举行了听证会，邀请消费者、经营者、其他利益相关方、专家学者参加，接着又开展群众满意度测评。最终认定，提价依据不充足、群众满意度测评支持率很低、方案不详实、配套措施不完善，否决了提价要求。

为全面贯彻落实风险评估机制，**市还规定，对贯彻执行社会稳定风险评估化解机制不力、酿成重大不稳定事件的，要坚决实施责任追究。如“凡发生重大的，取消责任部门、县区及主要领导当年评优、评先资格”、“发生重大不稳定事件造成严重后果的，主要领导应引咎辞职”等。

一条条“铁令”，成了“悬”在领导干部头上的一把“利剑”，也使“风险评估”成为**市家喻户晓的一个词汇。“现在啥事都要风险评估，改个桥梁名字都要听听我们的意见。但只要能通过评估的，那绝对是能让我们受益的，肯定要支持！”49岁的船山区月山村村民罗贤丰说。

“民生配套”让风险评估插上“双翼”

**市维稳办主任侯贤松说，社会稳定风险评估机制变“保稳定”为“创稳定”，是“源头维稳”的一种表现形式，但风险评估只是针对重大项目和决策。为实现整个社会的和谐稳定，**市还配套出台了一系列民生政策，以解决特殊群体的实际困难，给“风险评估”插上了“双翼”。

在改善民生、维护社会稳定的过程中，**市倾力打造了“政务服务中心”、“惠民帮扶中心”和“群众接待中心”。如今，这三个中心被当地群众亲切地称为“政务超市、幸福驿站、群众之家”。

**市52岁下岗工人袁晓林的爱人余芝兰不久前得子宫肌瘤住院，花了3000多元钱，23岁的女儿袁希待岗在家。惠民帮扶中心了解到这一情况后，给他们申请了每月70元的困难补助金，并安排他们的女儿参加技能培训，帮助她顺利找到了一份工作。

**市总工会副主席何春林说，解决困难群众的实际困难，也是把稳定工作前移，杜绝可能出现的不稳定因素。

与惠民帮扶中心

篇4

关键词：火灾；风险评估；农村消防工作

一、Y市农村火灾风险评估基本方法

要准确判断一个地区火灾的风险程度和危险度就必须通过合理的方法对该地区的火灾状况进行评价，找出关键节点，才能为火灾风险的控制提供有力支撑。风险评估的方法很多，主要有风险坐标图、层次分析法、关联图法、事故树分析法、关键风险指标法、专家技术评估法等。本文主要在现有理论的基础上，以Y市农村为例，采用层次分析法与专家评价法，将定性与定量有机结合建立一个评估体系，对火灾的风险进行量化和评估[1.2]，得出不同因素对于火灾风险的影响程度，找出不同工作举措对于减少农村火灾风险起到的具体作用，最终确定最合理火灾防控措施，做到以最有效方法、最低投入到达最安全的保护[3.4]。

二、Y市农村火灾风险评估结构模型的设计

为了对农村火灾风险进行系统的评估，本文根据农村火灾的规律，结合具体调研的基础上，构建农村火灾风险评估体系，并采取层次分析法（TheAnalyticHierarchyProcess，简称AHP）和专家评分法，对农村消防火灾风险进行系统的评估[5.6]。在整个体系的构建和评估过程中，作者选取Y市消防支队防火监督处长（负责全市的火灾防控工作）、防火监督处工程师（指导全市火灾防控工作开展，开展火灾原因调查等工作）、县市消防大队大队长（全面负责县市的消防工作）、大队参谋（具体县市的火灾防控工作）、中队干部（负责火灾扑救工作）等作为本次火灾评估体系的专家组，专家的选择具有很好的层次性，既包括负责火灾全局统筹的领导也包括具体实施的工作人员，既有理论基础扎实的工程师也有实践经验丰富的基层工作人员，最大程度的确保体系的科学性，真实反映Y市农村火灾的状况。首先，我们在征求专家组意见的基础上，建立一个合理的层次结构，我们将农村火灾风险状况作为目标层，然后根据对Y市农村地区火灾情况调研的结论，在众多的因素中选取对农村火灾防控具有重要影响的消防公共基础设施建设、消防安全管理体系、公众消防安全素质、消防安全规划等作为评价Y市农村地区火灾风险状况的一级指标。然后再对四个方面进行细化，确定具体的火灾风险要素[7],构建农村火灾风险评价指标体系(见表1)。完成体系的构建后，本文采用层次分析法来确定各参评指标的权重。逐一征求专家组意见，然后再进行讨论确定判断矩阵(见表2)。计算出各指标的权重之后，通过专家打分法对Y市农村火灾风险状况（见表3）进行打分，得出具体分值然后得出Y市农村地区风险总值。

篇5

预防性维护是指在设备服役期间，为了减少设备故障率，在设备故障发生之前就采取的对设备的维护保养工作。包括：设备的检查、检测和性能测试、基于风险的检查间期以及常规护理等内容。设备的检查流程应该基于以下需求：设备的维护要求、风险分类、设备的功能和故障的发生历史[1-2]。预防性维护并不能预防随机故障，特别是与电子装备和低风险设备（不像高风险设备一样需要相同频率或密集度的性能验证）相关的随机故障。医疗设备应进行风险评估，以决定测试的频率。如果1台设备的测试频率过长，它可能会在下次定期维护之前出现故障或产生错误结果。反之测试过于频繁，本来可以更好地用于维护其他设备的时间就被浪费了[3]。临床医学工程师的工作，是要在定期功能性测试和医疗设备安全使用所需要投入的时间和精力两者之间找到平衡点。

2基于风险评估的预防性维护周期

为了建立有效的维护方案，必须先决定检查频率[4]。应该将重点放在对医疗仪器持续安全运转产生影响的设备上。Vermont大学已经开发了一套风险评估系统用来决定维护的频率[5]。该系统认为预防性维护周期是根据风险、要求、后勤保障和设备历史4项因素综合确定的，这些风险包括设备的功能、与设备使用相关的有形风险、与患者安全相关的设备历史、对生命支持设备还需要进行特别的确认[6-7]。Vermont大学的基于风险的检查评分系统。

3维护周期确定的运作实例

为了说明基于风险的检查评分系统的具体应用，列举脉搏血氧饱和度仪和高频电刀2个实例。应用表1得到的评分结果。血氧饱和度仪是非介入监测血氧浓度水平的设备。因它是对患者进行直接监护的，其临床功能评分为3分；设备故障可能会导致不适宜的治疗方案，如患者血氧浓度不够，或者失去对血氧浓度的监控，其有形风险为3分；从故障历史上讲，血氧饱和度仪的故障难以预料，而且突发的问题通常在定期测试时不易被发现，因此问题避免概率应该评2分；历史资料没有记录与血氧饱和度仪相关的事故，对该设备并没有任何具体的设备维护的要求，故事故历史和制造商/管理部门的要求的分数都是1分。最终血氧饱和度仪的总分为10分[9]，据此该设备定为年度检验。高频电刀是利用高频电流切割或破坏组织的设备[10]。因该装置是用于直接治疗病人的，其临床功能类别评4分；该设备故障可能造成病人的严重伤害，有形风险评4分；从故障历史上讲，电刀出现的故障难以预料，而突发的问题通常在定期测试时不易发现，问题避免概率评2分；历史资料显示，存在电刀故障导致病人事故的历史，事故历史评2分；由于对这些设备维护没有具体规定，制造商/管理部门规定评1分。高频电刀的总分为13分[11]，据此该设备定为半年检验1次。应注意设备仅仅是按照通用设备类型进行评分。并没有具体到某种设备型号。风险评分准则仅仅是用来确定预防性维护周期的一个工具。如果对某个特定型号的设备。有不同于相同类型的其他型号设备的特殊测试或维修要求时，则针对个别情况维修时间应作调整[12]。

4维护方案有效性的评沽

对预防性维护方案有效性的评估应从以下几点出发：（1）预防性维护周期应每年进行审查，审查工作主要是对维护历史中产生的数据进行分析，以便根据具体情况或新的规定或准则进行相应的调整[13]。（2）在定期性能检测时经常发现问题或有较高故障率的设备，可能需要更频繁的检查。同时，随着医疗器械的可靠性不断提高，在功能性测试中发现的问题也会越来越少。此外，随着电子控制器件逐渐取代机械系统，较新的技术往往对预订零备件的需求越来越少。例如现在的全身麻醉机采用电子流量控制元件，与采用的机械式针阀组件的设备相比，不但准确度更高，而且零件磨损较轻，可以不再频繁检查。（3）除了在功能测试中发现的问题，其他类型的设备问题也应被追踪。不能重现的设备问题和使用操作不正确产生的问题，都表明临床人员需要在如何正确使用设备方面接受更多的培训。若出现设备的摆放或清洁及使用不当的情况，则表明需要更多的员工教育或改变临床应用方案，例如当呼吸机出现需要更换管道和过滤器的问题时，则该设备在维修周期应该进行重新评估，或需要进行更多的技术培训。（4）性能标准应该是明确和合理的，而且要确保满足地方性法规。

5结语

篇6

摘要：为了保护计算机系统和网络，就必须对潜在的安全威胁提高警惕。了解了系统的漏洞和可能存在的威胁就能很成功地对你的计算机系统利网络进行风险评估,进而采取有效的防护措施,本文分四个方面介绍了进行系统安全评估的基本概念。

关键词：系统安全；风险评估

网络中基本上存在于两种威胁：偶然的威胁，主要是由缺少安全防范意识的用户没有做预先的考虑和计划；有意图的威胁，执行一个有计划的行动，它的范围可能是从一些简单的文件到整个系统的体系改变来进行恶意的破坏。有意图的威胁可以分为两类：被动的威胁，比如在网络中利用sniffer捕获数据包没有警告内容或改变目的地址；主动的威胁：主要是包括修改信息或用于正常运转的数据。

一、攻击的类型

Spoofing or masquerade attacks：这种攻击，一台主机(程序或应用程序)伪装成另外的主机或网络上的实体。通过与另一台主机建立信任的关系来进行欺骗性的攻市，并且任何交易都会导致更进―步的危害。

Replay attacks：是指网络数据包在传输过程中有其自己的包头或内容，目的是完成欺骗。内容的伪造是为了避免检查，如checksums等。最终的目的是取得访问权或突破安全。

拒绝服务攻击：拒绝服务攻击是使主机或系统不能正常地运转因为网络上的另一个程序或节点正占用着所有的资源（如快速的请求的flood）。

内部攻击：内部攻击是非常常见的而且在很多类型攻击中都会发生。这种方法利用在外部攻击取得非授权的访问然后可以在内部进行活动，有时这是非常容易的，因为安全的措施主要是防止外部的攻击。在应用程序之间窃听信息以及危及现有的控制机制是常用的两种技术。

Trapdoor attacks：在这种trapdoor攻击中，一些命令容易被使用并且激活时，会产生潜在的非授权访问。比如，尽管登陆账号有着较好的密码保护机制，但一些账号是用来运行诊断，通常具有很高级别的权限，并可能留下易遭入侵的程序漏洞。虽然入侵者不能利用那个账号来登陆，但能观察文件：并看到利用SUID转为root的一些应用程序。执行这些应用程序即可取得较高的权限来进行破坏活动。

特洛伊木马：特洛伊木马是trapdoor攻击的一个变种。它把一些非授权的命令隐藏在一个看似实现普通功能的程序中来产生突破口。在UNIX中，最常见类型的特洛伊木马类型之一就是root kit，它是代替合法程序的程序，利用email把系统中/etc/shadow文件的内容发送出去，或捕获登陆的序列并通过email发送出去，完成明文密码的拷备。Solaris和Linux更倾向于这种木马的攻击。

二、Windows NT的安全风险

Windows NT像每个其它重要的操作系统一样，包含许多默认的设置和选项，允许更复杂的管理。这些系统默认值可以被有经验的攻击者用来渗透系统。有些默认值不能改变，但有些可以改变。这些改变可以提供足够的安全性。

默认目录―在Windows NT初始化安装后要考虑很多默认选项的安全性。例如，WindowsNT4．0默认是安装在系统主分区的\WINNT目录下。使用不同的目录对合法用户不会造成任何影响，但对于那些企图通过类似WEB服务器这样的介质远程访问文件的攻击者来说大大地增加了难度。

默认账号―在前面的课程里我们曾谈过对账号改名。对于administrator，Guest和其它一些系统账号都应该改名。其它一些账号，比如IUSER―MACHINENAME是在安装IIS后产生的，对其也应该改名。

默认共享―WindowsNT出于管理的目的自动地建立了一些共享。包括CS,DS利系统其它一些根卷。ADMIN$是一个指向\SYSTEMROOT\目录的共享。尽管它们仅仅是针对管理而配置的，但仍形成一个没必要的风险，成为攻击者一个常见的日标。你可以通过增加注册表\HKLM\System\CurrentControlSet\Service\LanManServer\Parameters下一个叫AutoShareServer的键值，类型为DWORD并且值为0，来禁止这些管理用的共享。对于-使用Windows NTWorkstation的机器，键值名为AutoShareWks。・

三、UNIX的安全风险

为了能够适当地保护一个UNIX系统，必须留意那些本来就存在的主要应用程序和命令。下面列出了一些常见的UNIX安全风险：rlogin命令、网络信息系统(NIS)、网络文件系统(NFS)。

rlogin命令是从Berkeley UNIX的品种中演变出来的，适应网络供给及分布式系统访问。rlogin命令可以被设置成不需要输入密码。rlogin命令实际上违反了安全的初衷，因此多数系统上根本就不再支持它。其它一些系统，包括LINUX，支持这些命令的较高的修正版本。

在一般的rlogin执行过程中，etc／hosts．equiv文件用来检查源系统的主机名，如果出现，则进一步的远程登陆过程继续。如果未出现，那么第二个文件：(．rhosts)将被用来检查源主机的主机名。任何一种方法，可能都要呈现给远程主机要求的登陆名以作为用户的身份。然而，如果系统主机名没呈现，或不匹配．rhost文件里的内容，则rlogin程序将自动地要求输入密码。rlogin的―1选项是很有用的因为不是在每个系统上都能得到同样的或唯―的登陆名。

网络信息系统(NIS)是在本地网络中创建分布式计算机环境的方法之一。NIS最早由SUN公司发明。它作为一个网络数据库存储着一些重要的配置把网络中的机器绑定到一个单独的可用的实体里。NFS是跨网络的分布式文件系统。通过NFS机制，服务器端可以将自己的一部分文件凋出，让多个客户主机透明地使用服务器上的文件和目录。

篇7

    2. 在管道风险度不升高的前提下,找出经济的施工与运行方案。对可能发生的破坏和造成的影响进行量化分析,为制定管道运行的应急维护措施提供技术依据。 

    现以西气东输管道南京到上海段为例进行风险评估。评估工作分以下三个阶段。 

    1. 初步评估。根据有关管道路线、沿线地形及沿线管段邻近区域内的人口密度等资料,对管道最有可能发生破坏的地段分别进行灾害识别。针对各管段有代表性的管道设计参数,如管径、压力和气体组成等,预测这些管段破坏时可能发生的火灾范围和程度。 

    2. 识别高风险管段。在第一阶段的基础上,估计管道沿线各个区段破坏发生的频率。这项工作依据欧洲和北美以及我国管道的运行经验和数据,在可能的条件下对管道破坏发生的频率进行修正。该阶段需要使用更为详细的管道设计资料,包括管材的性能、壁厚、管道埋设深度和对各种威胁所采取的防范与保护措施 ( 包括对管壁腐蚀的控制方法、对管道的监测方法和各种保护措施 ) 。对每一种破坏原因,估计其造成破裂或穿透的相对概率。在此基础上识别具有高破坏频率的管段,然后将这些评估结果与灾害后果分析的结果、第一阶段评估的结果相结合,进行综合分析判断,以确定高风险度管段。 

    3. 详细的风险评估和确定降低风险的方案。该阶段将对那些在第二阶段评估中所确定的对人员和连续供气具有高风险的管段进行详细的分析,对具有高风险度的管段进行量化评估。这项工作将使用更多的参数,包括管道特性、距邻近压气站和截断阀的位置、该管段覆盖土壤的类型、当地主导气候条件,以及沿该管段区域内详细的人口分布密度 ( 包括敏感性人口密集区,如学校和医院等 ) 。将分析结果与国际上认可的可接受风险指标 ( 如英国规范 IGE / TD / 1 第四版 ) 进行比较,通过比较,确定那些风险度超过可接受指标的管段,对这些管段,应制定可行的降低风险措施,并在设计阶段估计采用该措施所需要的费用。这些可供选择的方案包括:调整线路位置、增加管道壁厚、降低工作压力、增加覆盖层厚度等。其它防护措施有,增加管道检测的密度,采用机械性保护和增加管壁腐蚀检测的频率。对每一种方案,将按照上述风险评估程序逐个进行分析,以确定最经济的降低风险的方案,将风险控制在“尽可能合理低”的基础上。在本阶段,根据风险评估结果,对按常规管道设计规范要求确定的管道壁厚和截断阀间距作出评估。这项工作将有助于通过考虑管道风险来优化设计,从而降低项目投资和管道的运行与维护费用。 

    通过上述工作,可以得到以下成果: 

    1. 可对管道各段因破坏可能产生的后果进行量化分析; 

    2. 可识别管道沿线对人员存在高风险的管段; 

    3. 可根据这些管段的现有设计来估算管道的破坏频率; 

    4. 有助于准确确定对人员存在高风险管段的风险度和风险度超过可接受标准的管段; 

    5. 对所识别的不可接受高风险的管段,选择既可以降低风险又可以实施的改进方案,对设计方案进行调整。 

篇8

关键词：风险评估；风险管理；桥梁施工

引言

伴随着我国交通事业的快速发展，公路网密度不断提高，既有公路上的桥梁建设也日益增多。因此，在施工过程中，既要加快进度，又要尽量减少干扰既有公路的正常通行时间，保证既有公路的交通畅通和行车安全，同时也要考虑到桥梁本身的施工安全，施工难度，施工风险。因此施工单位要用现代化的风险评估手段，加强风险管理，确保工程项目的安全、质量和进度。

1工程概况

某城市公路桥梁是由96+175+96m组成的连续结构。因该段地质条件良好，施工期间未发现不良地质现象。但就施工环境而言，该区属低山地貌，地壳间歇性上升，水平运动较弱，预计今后一段时期将出现弱震[1]。整体上看，该项目施工难度较大，施工过程中存在诸多风险。本文以本工程为例进行风险评估，并提出风险管理对策。

2桥梁施工的风险评估与风险管理对策

2.1风险评估

2.1.1风险评估内容（1）本工程整体风险评估：在评估项目整体风险时，应综合考虑所有的因素。施工前，施工单位应根据桥梁所在区域的工程地质条件、预计施工规模和结构特点，分析项目可能存在的不利影响因素，进行安全风险评估，确定其静态安全风险等级。（2）本工程专项风险评估：在进行一系列科学评估后，所有有风险的施工活动都应加以识别，根据评估结果，总体风险级别达到了高风险水平的加以重点关注，对危险因素的风险源进行分析，最后综合各因素得出最终结果。

2.1.2风险评估流程（1）风险识别①组建专业技术队伍，参与施工方案设计和现场管理，通过小组讨论，找出方案中存在的不足及可能出现的问题，特别是要结合现场实际，与已有的施工经验和事故案例进行比对，对风险进行预警和控制，针对复杂的大事故隐患，建立事故树，层层分析引发事故的原因，排除小风险源，防范更大风险[2]。②参考有关工程技术和管理规范，采用相应的试验技术，从施工开始就确定风险源，可采取的方法有：利用各种测量仪器识别施工误差，分析误差产生的原因及危害；对材料性能进行试验验证，确保符合规范要求；建立风险模型，推算工程实际及未来状况，判断施工中的决策失误和不当。③通过施工风险分析和计算，找出桥梁结构施工中的薄弱环节，全面识别施工风险，有针对性地提出风险控制措施。④对桥梁工程施工现场的周边环境、施工区域的气候条件、施工单位的现场施工情况进行调查研究，总结风险事件。跟踪调查施工现场情况，随时掌握施工现场工程进度等情况的变化，及时发现新的风险事件。（2）风险评估①通过对历史资料的分析，运用多种数学方法，对桥梁施工中可能发生的事故及其造成的经济损失和影响进行定量估计的过程，主要采用风险概率法和风险影响法。②通过对其他桥梁工程实际发生的事故资料，结合估价人员的经验、预感和直觉进行综合分析，得出桥隧工程事故风险概率估计[3]。采用概率树和蒙特卡洛方法进行风险影响评估。③概率树是研究桥梁施工过程中各不确定因素在各不确定条件下的概率分布规律，从而得出各不确定因素对桥梁工程经济效益的影响。④用随机模拟的方法对可靠性预测值进行近似计算，该方法由计算机实现，理论分析表明，试验次数与结果的正确率成正比。（3）风险评价①对风险等级进行评价，以主观评价为主，在经过专家分析评估后，得出整体风险程度，这样操作和使用都很方便，评价的可信度主要取决于评价标准和评价结果。②模糊评价法主要是对桥梁施工过程中的整体风险进行分析，然后建立模型，推算，确定风险等级。③层层分析法主要是建立模型，对模型进行图表分析，并逐个检验。（4）风险处理①强化施工过程控制，在确定施工现场的环境条件后，才能对工程项目实施控制。如本桥梁工程施工中，对混凝土施工、灌注桩等施工技术进行了详细分析，说明相关设备的使用和操作方法，使所有施工人员能够心中有数，在施工过程中能够严格按照技术标准操作。在工程实施过程中，技术人员要随时深入现场，给予技术指导，确保工程质量[4]。②强化施工人员的风险防范意识，施工单位是项目的直接参与者，其风险意识影响着整个公路桥梁工程的施工风险程度。因此，本工程项目中的项目经理、监理等人员应发挥各自的作用，实行严格的施工风险管理，要求所有施工人员进入工地前必须穿戴好安全防护用品，定期对其进行质量检查，及时更换防护用品损坏的地方，避免安全事故的发生。③与当地气象部门建立联系，了解天气信息，一旦有关天气变化的信息，应采取包括混凝土保温、原材料入库等措施，以避免因原材料受潮而造成损坏，并确保施工质量。④公路桥梁定期检测和维护可以降低桥梁的安全隐患，延长其使用寿命。公路桥梁在投入使用后，会对道路产生磨损等破坏作用，其他因素，如自然因素等，也会对桥梁造成一定的损害，从而增加桥梁的安全隐患，因此应定期进行检查和维护，以减少桥梁的破坏程度，从而减少安全隐患。

2.2风险管理

2.2.1风险回避（1）将风险的影响降至最低，如果在风险识别阶段对风险进行回避，可能导致施工单位重大损失，管理人员不能有效地控制风险。（2）在采取规避风险的策略之前，首先要对各种风险因素有清楚的了解。尽管规避风险是一种非常普遍的方法，但在实际应用中却有其局限性，风险不可能永远避免，否则可能会带来新的风险。

2.2.2风险转移风险转移就是运用各种经济和技术手段，把风险转移到其他地方。在这种情况下，投资可以把风险转移出去，但其带来的收益也会被转移出去，风险转移法是桥梁建设项目中广泛采用的方法。风险转移有两种形式：（1）非保险的或非合同的风险转移；通常是通过协商或签订合同将风险转移给设计方、承包商等。（2）工程合同的转移。保险合同签订后，承包人或业主向保险人支付保险费，保险人按合同约定支付保险费。

2.2.3风险缓解通过预先设定或临时采取相应的措施，可以有效地控制已存在的风险，挽回损失或减少风险的扩散[5]。建立应急机制，特别是应对紧急情况中的风险，并采用一般做法，以应对一般风险，通过在初始阶段逐个控制解决问题，以预防风险。

2.2.4风险自留（1）当风险无法避免、转移和减轻时，通过经济手段处理因风险造成的事故损失是一种经济对策，只有运用经济对策，才能实现风险自留。（2）由于项目风险造成的损失由项目负责人承担。这是一种无意识的、被动的、无计划的风险管理方法，也可以是一种主动的、有意识的、有计划的风险管理方法。当项目经理发现某些风险无法避免或转移时，他们只能采用自我控制的管理方式。2.2.5风险监控（1）风险监测的内容包括：根据最新监测信息，判断实际已确定的风险情况是否与预期相符，并预测未来风险变化；判断风险对计划措施实现程度的影响，以决定是否已采取其他对策；分析工程施工环境是否已发生重大变化及其对总体目标的影响[6]；预测风险变化趋势，包括可能出现的新的风险因素。（2）工期、质量和成本是项目风险管理三个重要目标。工程进度监测采用横道图、线图；工程质量监测采用控制图；工程成本监测采用横道图、挣值法。

篇9

关键词：增量配电业务；投资风险；风险评估

1引言

在2016年，我国发改委了《关于规范开展增量配电业务改革试点的通知》，确定增加增量配电业务项目。要求符合条件的配电业务项目，可以通过招标的途径，公平、公正、公开的方式进行招标，来选择增量配电业务的资金投入人员。引导电网公司和社会资金，以股权合作的模式进行有效竞争。增量配电业务，转变了传统的电力公司整体谋划、整体建设、整体运行的格局。为此，不管是对增量配电业务工程的实施还是对项目的管控，皆会影响到电力网络的长期发展。本论文着重针对增量配电业务投资存在的风险进行分析，并对风险加以估计，期望能够减小增量配电业务投资风险产生的概率。

2增量配电业务的投资风险

2.1区域划分的风险

增量配电业务政策要坚持界限清晰，权限清楚的准则，划定增量配电业务项目的电能供应范畴，防止重复建设的状况产生，避免交叉供电，从而保证电能供给的安稳。增量配电业务，是界限清楚和独立性较强的配电网，而电力公司电能供给范畴内的配电工程是不包括在内的。然而，在增量配电业务项目的实际运作中，为了满足招商及供电的需求，项目在区域的选择上，不会在完全空白的区域进行，所以所选择的业务项目区域内，多多少少会存在一些电网的资产，而这些有限的存量电网资产，却在一定程度上阻碍了增量配电业务项目的进展。增量配电业务在区域划分上没有切实可行的方法进行解决，因此导致了各个增量配电业务项目在区域的划分上，标准得不到统一，这样以来，会给投资者带来一定的投资风险。

2.2配电价格的风险

首先，投资者要时刻面临配电价格机制的不够健全，而给投资者带来的收益上的风险，即使，国家有出台相应的政策，明确了招标定价法，准许收入法，最高限价法，标尺竞争法等可以使用，然而，在实际的情况中，价格主要是依据各地区的现实状况来确定的。为此，当前配电价格在正式核定以前，都是依照电力供给企业亦或客户所接入的电压级别相对应的电网共用输电网的输配电价，减去此电网接入的电压级别所对的省级共用网络输配电实施。另外，增量配电业务项目的地区，电能使用者所接入的配电网的电压级别和增量配电网所接的电力网络的电压级别一样，因此按上述的电价暂行办法，则没有配电费用，因此，在配电价格机制及运营方式在没有成熟的情况下，进行项目招标，极容易引起投资者之间出现恶性竞争的情况。

2.3特许经营结束退出风险

目前国家的政策所扶持的产权、股权交易市场，通过股权转让和资产证券等方式，不断的丰富着投资退出的渠道。但对增量配电业务的投资者来说，都是投资回收，保障投资收益的重要途径。由于增量配电网的特殊性，因此政府在进行项目建设是时，为了保障项目的稳定性，一般会通过一定时间的锁定期，来限制资本直接或间接地转让。同时，在特殊经营时期结束时，所涉及到的固定资产的折旧方面，在项目最初的筹建时，投资者应与政府部门事先做好明确的规定。

2.4用户与保底供电服务的风险

在增量配电网运营范畴内的客户，大概有2种类型，其一是非电力市场客户，其二是电力市场内部客户。对于前者而言，假如增量配电网以趸售的方式由外部电力网络购入电能，则电量电价的核算和投资的回报紧密关联。假如前者转化为后者，电能价格的变动同样是投资人员要考量的因素。另外，增量配电网还应当担负服务的职责和保底电能供给服务等，在这之中，伴随增量配电网项目的实行应着力处理的是交叉补助问题。

2.5电源在管理、交易和调度方面存有问题

目前对于增量配电网与内部电源之间的关系，没有相关的文件进行明晰。然而增量配电网中的电源对参加电力市场买卖的规则方面，和增量配电网享有电源调度权限与否方面均未在有关文件中体现。增量配电网和调度运营的模式也未明晰。增量配电网的根本性质是公共配电网，为此，其所接入的电源，也应当与国家电力买卖有关的制度文件要求相一致。增量配电网之外客户的电能，由于牵涉到和外部电网的交易，为此对于客户所处电力网络的电压级别的输配电费，和配电服务开支，进行充分的考虑。同时政府方面也未有相应的文件来明确各类电源在接入增量配电网参与电力市场交易的相关规则。增量配电网有了电源的接入，必然会涉及到对电源的调度权限。由于调度权限并不是输电网的专有，因此，应对不同配电网之间的调度功能进行明确的划分。增量配电网的调度功能是应该自己运行，还是委托上级电网，要充分的尊重责任主体的选择。

2.6增量配电网安全责任划分上的风险

经济的发展与社会的稳定，及人们日常的生产生活，都离不开对电力的需求，因此，电力企业是国家的基本性且支柱性行业。电力的安全是电力公司需格外重视且重点管控的。由于增量配电网范围的电力客户的电能供给安全，牵涉到增量电力供给企业和电力企业两家不同的企业，然而针对这两家不同的企业，并未进行安全责任的具体明晰。在交易逐渐市场化、增量配电网大量发展的情况下，电能供给安全受到很大威胁，而投资人员也面临着安全责任划分上的风险。

3风险评估

配售电公司主要面临投资，市场和供电可靠性等方面的风险。配售电公司，完全处于市场环境下，因此，将直接面临着投资市场中存在的风险，投资风险评估方法可以对投资过程中，可能存在的环境与自然灾害等不确定因素加以管控。投资增量配电网的模糊风险，主要包括政治经济风险与自然灾害的风险。政治经济风险主要是因为在政治经济的背景下，售电量的变化引起的。而自然灾害的风险，主要是因为不可控制的自然灾害，而造成的配电网出现故障引起的经济损失。因此在投资增量配电网时，应在一定程度上加强对自然灾害的承受能力。配售电公司，主要的经济利润来源于售电的利润。而售电运营中的风险主要是在不确定几个的情况下购买电能，确以确定的价格将电能对外出售。而在放开电力市场后，配售电公司可以通过多种购电渠道，来降低因市场购电价格的变化而引发的风险。配售电企业担负的配电范畴内的电能供给服务，不仅是对配电网的调度、运行、维护等方面，还应保障基础用电的可靠及稳定。对于新成立的配售电公司，由于其运营的时间较短，经验不足，因此，还应充分的考虑人员的成本和规模效益，新的配售电公司，其专业性不如电网公司，所以在电力系统运行的安全性及稳定性也没有电网公司的供电更为可靠。因此，为了保障用电区域供电的稳定性及可靠性，配售电公司通常情况下回购买备用容量。

篇10

【关键词】 传统风险导向审计 现代风险导向审计 风险评估策略 审计风险

Comparing on the Tactics of Risk Assessment of Traditional Risk-based Audit and Modern Risk-based Audit

Abstract: Traditional Risk-based Audit and Modern Risk-based Audit are the two phases that Risk-based Audit has evolved. tactics of risk assessment of Traditional Risk-based Audit and Modern Risk-based Audit differ from each other while they still have some similarities. This paper does the Comparion on the Tactics of Risk Assessment from the following four aspects: orientation of risk assessment， extent of risk assessment， procedures of risk assessment and methods of risk assessment.

Keywords: Traditional Risk-based Audit Modern Risk-based Audit

Tactics of Risk Assessment Audit risk

一、引言

传统风险导向审计和现代风险导向审计是风险导向审计模式发展的两个不同阶段。传统风险导向审计和现代风险导向审计均以风险评估为起点，同时都将风险与控制方法贯穿运用于审计全过程，使审计过程成为一个不断克服和降低审计风险的过程。因此传统风险导向审计和现代风险导向审计两种审计模式在风险评估策略上存在一定的相同之处，但同时更多地体现出了差异。鉴于两种审计模式的风险评估策略较易被混淆，本文拟对两种审计模式的风险评估策略作一比较，对两者差异加以初步探讨。 二、传统风险导向审计和现代风险导向审计涵义

（一）传统风险导向审计 传统风险导向审计也称为控制风险导向审计[1]。审计模式 发展到传统风险导向审计的标志性事件是AICPA在1983年了第47号《审计准则公告》（SAS No.47）——“审计业务中的审计风险和重要性”，首次提出了审计风险模型。传统风险导向审计是指审计人员在审计过程中将风险分析、评价与控制融入传统审计方法（账项导向审计和制度导向审计）之中，进而获取审计证据，形成审计结论的一种审计取证模式。传统风险导向审计的基本程序并没有脱离制度导向审计模式，但它在制度导向审计模式的基础上更加注重风险评估和风险管理。针对制度导向审计不直接处理审计风险，不能对审计风险进行量化的缺点，传统风险导向审计引入审计风险模型，通过该模型将从各种渠道所收集的证据联系了起来，并在此基础上对审计风险进行定量评估，将审计资源相对合理的分配到高风险领域。 （二）现代风险导向审计

现代风险导向审计也称为经营（商业）风险导向审计、风险基础战略系统审计。1997 年，Bell 和 Frank 发表了名为《通过战略系统的视角对组织进行审计》的研究报告，首次提出了毕马威的BMP 审计模式，这标志着现代风险导向审计的产生。现代风险导向审计是审计技术方法在系统和战略管理理论基础上的重大创新，它以被审计单位的战略经营风险为导向，通过“战略分析——流程分析——经营业绩评价——财务报表剩余风险分析”的基本思路，将报表重大错报风险和经营风险联系了起来，从而提出了审计师从源头分析和发现会计报表错报的观念[2]。现代风险导向审计针对传统风险导向审

计风险评估不到位，未能有效发现高风险审计领域，造成审计过量或审计不足的缺点，大大加强了风险评估程序，做到了以风险评估中心，真正体现了风险导向审计的理念。

2003年10月国际审计和保证准则委员会（IAASB）了国际审计准则第315号( ISA 315) “了解被审计单位及其环境并评估重大错报风险”，将传统风险导向审计下的审计风险模型修改为：审计风险＝重大错报风险×检查风险，明确规定了审计工作以评估财务报表重大错报风险作为新的起点和导向。这就导致了实务中普遍运用的现代风险导向审计在审计风险模型和审计具体风险导向等上和准则规定产生了一定的差异。鉴于这一点，特别指出本文所称的现代风险导向审计是指国际会计师事务所在实务中运用的以战略经营风险为导向的现代风险导向审计。 二、传统风险导向审计和现代风险导向审计风险评估策略比较

风险评估是指对审计风险的评估。美国注册会计师协会（AICPA）认为审计风险是指审计人员对于存在重大错报的财务报表未能适当发表意见的风险[3]。风险评估的目标就是确定

高风险环节，从而确定审计的范围和重点，并进一步确定如何收集、收集多少和收集何种性质的证据，以便更有效地控制和提高审计效果及审计效率。策略，是根据形势发展而制定的行动方针和方法。借鉴中注协（1997）对审计策略的定义，笔者将风险评估策略定义为审计人员根据确定的风险评估范围，选择能够达到风险评估目标而应当实施的最有效风险评估程序的基本思路、组织方式和具体方法。在本文中，笔者从风险评估导向、风险评估范围、风险评估程序、以及风险评估具体方法四个方面来比较两种审计模式的风险评估策略。

（一）风险评估导向

虽然国际审计准则规定，在传统风险导向审计下审计人员首先应当对财务报表整体层次和交易类别、账户余额认定层次的固有风险进行评估，但由于固有风险和控制风险都受内外部环境的，两者很难区分，因此审计人员通常难以对固有风险单独做出准确评估。又鉴于稳健性原则的考虑，实务中审计人员往往将固有风险简单地确定为高水平，从而将风险评估重点锁定在控制风险上。因此在实务中，传统风险导向审计实际上是以对控制风险进行的评估为切入点的，所以传统风险导向审计是以控制风险为导向的。

现代风险导向审计强调：审计人员的审计风险[i]主要来源于企业财务报表的错报风险，而企业财务报表的错报风险则主要来源于整个企业的战略管理风险和经营活动风险[4]。所以要充

分理解审计风险，审计人员就必须从企业的战略分析入手，充分识别企业内、外部风险并理解内外部风险对财务报表认定的影响。因此，现代风险导向审计并不直接从对固有风险的评估入手，而是间接地以被审计单位的战略经营风险为导向，通过综合评估战略经营风险从而确定财务报表剩余风险，并进一步确定实质性测试的范围、时间和程序。因此，现代风险导向审计是以战略经营风险为导向的。 （二）风险评估范围

在实务中运用传统风险导向审计时，审计人员往往忽略对固有风险的准确评估，而将固有风险简单地确定为高水平。因此在传统风险导向审计下审计人员往往不注重从宏观层面上了解企业及其环境（如行业状况、监管环境；企业的性质；企业的目标、战略、以及可能导致会计报表重大错报的相关经营风险；对企业财务业绩的衡量和评价）[5]，而只关注企业的内部

控制。因此，在传统风险导向审计方法下，审计人员实际上只仅仅依赖对控制风险所作的粗放型评估来直接、大致确定检查风险水平。

现代风险导向审计要比传统风险导向审计站得更高，看得更远，对企业了解得更透。它将被审计单位置于广泛的系统中，认为有效的审计需要对企业所处的宏观经济环境和行业环境、战略目标和措施、影响企业目标实现的主要业务活动和关键经营环节以及剩余风险进行深入的了解。在现代风险导向审计下审计风险仍然由固有风险、控制风险和检查风险三要素组成，审计人员也同样要对固有风险和控制风险进行评估。但是相比传统风险导向审计，现代风险导向审计下“固有风险”的内涵扩大了，除了包括会计报表项目本身的风险外，更多地考虑了企业的经营风险。而且在现代风险导向审计下，企业内部控制已经发展到内部控制框架阶段，并有被企业全面风险管理框架取代的趋势，相比传统风险导向审计下的内部控制结构概念，现代风险导向审计下对控制风险进行评估时考虑的因素则更加全面了。

（三）风险评估程序 传统风险导向审计风险评估的基本程序可表示为：固有风险评估了解被审计单位的内部控制结构控制风险初步评估控制测试（可选）控制风险综合评估确定检查风险。审计人员在对固有风险进行评估时主要考虑以下因素：管理人员的品行、能力、变动情况和遭受异常压力的情况；客户业务特征；关联方；非常规交易；以前审计结果等。但由于种种原因，实务中审计人员往往忽略对固有风险的准确评估，通常的做法是将固有风险简单地确定为高水平，而将风险评估的重点放在控制风险上。审计人员在对被审计单位的内部控制进行了解时，首先从控制环境入手，再对制度和控制程序进行分析。分析控制环境时主要考虑以下因素：管理和经营作风；组织机构；董事会及审计委员会职能；人事政策和程序；确定职权和责任的等。然后审计人员基于当前对内控的了解对控制风险水平进行初步评估（计划估计水平）。如果审计人员将某一控制的控制风险初步评估为最高值，则对该控制不需执行控制测试而直接进入实质性测试阶段；但如果审计人员将某一控制的控制风险评估为低于最高值时，则就需要对该控制执行控制测试，从而来获取证据以支持低于最高值的风险水平。控制测试完成以后，审计人员对被测试控制的控制风险进行再次评估（最终估计水平），并根据最终估计水平来决定相应的检查风险水平。 风险导向审计风险评估的基本程序可用下图表示。如图所示（由于不能粘贴，此处图略），审计人员首先需要对客户的战略进行分析，分析时需要对客户的内外部环境进行了解，包括客户行业状况、监管环境以及其他外部因素（宏观环境等）；被审计单位的目标、战略以及面临的经营风险；对威胁企业战略的风险做出的反应等。对客户的战略进行分析后即可对战略风险做出评估。现代风险导向审计下内部控制被分为管理控制（战略控制、高层控制）和流程控制（一般控制、员工控制）[6]，在对 客户的战略进行分析时同时要对战略控制进行了解并进行评价。然后审计人员对客户的流程进行分析，分析时可从流程目标、投入、作业、交易类型、威胁流程目标的风险等八个维度来了解流程情况[7]。通过流程分析可

以了解客户创造价值的方式、竞争优势及劣势、威胁，从而来评估流程经营风险。在对客户的流程进行分析时同时要对流程控制进行了解并进行评价。在对战略经营风险和流程经营风险进行评估时特别要注重对舞弊风险的评估。然后在此基础上来对固有风险进行初步评估，在评估时除了要重点考虑经营风险可能引起的重大错报之外，还要考虑其他可能引起重大错报的因素（管理当局遭受的异常压力等）。审计人员在对客户的战略和流程进行分析时已经从企业整体层次对内部控制进行了了解（战略控制和流程控制）并做了评价，在这个基础上还要对内部控制的其他方面进行了解并给予评价，特别是要关注有关交易重要类别的控制。基于对内部控制充分的了解，审计人员然后对控制风险进行初步评估。由于固有风险和控制风险都受企业内外部环境的，两者之间存在着紧密的联系，因此审计人员在单独对固有风险、控制风险进行初步评估的基础上还须对两者进行综合评估，即固有风险和控制风险的联合。对联合风险的评估是审计工作的核心，因为接下来其余的审计工作都要围绕联合风险来进行，联合风险的评估结果是审计人员决定实质性程序性质、时间以及范围的基础[8]。然后审计人员对 值得信赖的控制进一步执行控制测试，从而来获取支持其较低控制风险水平的证据。最后根据控制测试结果并结合联合风险评估水平，审计人员对会计报表重大错报风险进行综合评估，从而来确定会计报表剩余风险（即检查风险），并进一步决定实质性程序的性质、时间以及范围。 （四）风险评估具体方法 风险评估的方法主要有观察、检查、函证、询问、穿行测试、分析性程序等多种审计取证手法。虽然传统风险导向审计客观上要求大量使用分析性程序来进行风险评估，但由于实务中审计人员往往忽略对固有风险的准确评估，因此限制了分析性程序的运用范围。而且传统风险导向审计对于信急的再加工重视程度不够，分析性程序主要适用在报表分析上[9]。 而在现代风险导向审计下，风险评估以分析性程序为中心，分析性程序成为最重要的程序。而且随着分析性程序功能的不断扩大，分析性程序开始走向多样化，审计人员不仅对财务数据进行分析，同时也对非财务数据进行分析。由于分析性程序的多样化运用，大量的分析工具以及现代管理方法被运用到分析性程序中去。如在战略分析时审计人员运用了PSET分析和POPTER分析方法；在流程分析时运用到了价值链分析（VCA)）和波士顿矩阵（BCG）以及SWOT分析方法；绩效分析时运用到了平衡积分卡（BSC）和标杆管理（Benchmarking）分析技术[10]。将分析工具运用到风险评估中 使得风险因素不再独立，而且风险评估不再是一元评估，而是多元评估，因此风险评估的结果将更加可靠。

三、结论

1. 风险评估导向不同：

虽然国际审计准则规定传统风险导向审计应以固有风险为切入点，但在实务中传统风险导向审计实际上是以控制风险为导向的；而现代风险导向审计则是以战略经营风险为导向的。

2. 风险评估范围不同：

审计人员在实务中运用传统风险导向审计时往往会忽略对固有风险的准确评估，只通过对控制风险所作的粗放型评估来决定实质性测试的性质、时间和范围；而现代风险导向审计下审计人员除了要对传统的固有风险，即会计报表项目本身的风险进行评估之外，更多地是要考虑企业的经营风险，特别是注重对舞弊风险的评估[11]。同时由于内部控制概念内涵的扩

大，审计人员在对控制风险进行评估时考虑的因素相比传统风险导向审计下更加全面了。

3. 风险评估程序不同： 相比传统风险导向审计，由于现代风险导向审计增加了对企业战略和经营流程的分析，以及对经营风险的评估，而且最后将固有风险和控制风险联合起来进行评估，因此在评估程序方面现代风险导向审计比传统风险导向审计更完善。由于现代风险导向审计对审计风险考虑的更全面了，所以在现代风险导向审计下能够更好的将会计报表剩余风险降低到可接受水平。 4. 风险评估具体方法重点不一样： 两种审计模式在风险评估时都运用了观察、检查、函证、询问、穿行测试等风险评估方法，但相比传统风险导向审计，现代风险导向审计更注重分析性程序的运用，做到了以分析性程序为中心。

________________________________________

[i]国际会计师事务所认为审计风险应该是广义的，即不仅包括审计过程的缺陷而导致审计结果与实际不相符而产生损失或责任风险，还包括客户经营失败而导致审计主体遭受损失或不利的可能性。

：

[1] 王泽霞.论风险导向审计创新[J].会计，2004（12）: 49-54

[2] 谢荣，吴建友.现代风险导向审计研究与实务发展[J].会计研究，2004（14）:47-51

[3] AICPA：professional Standards As of June 1，1992，AU.31

[4] 谢荣，吴建友.现代风险导向审计基本内涵分析[J].审计研究，2004（05）:26-30

[5] 陈毓圭.对风险导向审计方法的由来及其发展的认识[J].会计研究，2004（14）:58-63

[6] 郑朝晖.战略系统审计：财务数据之合理预期[J/OL].会计视野，2004 [2006-4-17] doc.esnai.com/showdoc.asp?docid=448&uchecked=true

[7] 王义华.BMP审计模式介绍[J].中国注册会计师，2005（06）: 69-70

[8] Ernst&Young Global Audit Planning Toolkit 2004[M]， 2004: 65-67

[9] 马贤明，郑朝晖.现代风险导向审计探讨[J].审计与经济研究，2005（01）:9-13