時間:2024-04-08 14:48:32
序論:在您撰寫風(fēng)險評價與風(fēng)險評估的區(qū)別時,參考他人的優(yōu)秀作品可以開闊視野,小編為您整理的7篇范文,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導(dǎo)您走向新的創(chuàng)作高度。
【關(guān)鍵詞】風(fēng)險管理審計;風(fēng)險導(dǎo)向?qū)徲?;?lián)系
一、風(fēng)險管理審計
(一)風(fēng)險管理概述
風(fēng)險管理是對影響組織目標(biāo)實現(xiàn)的各種不確定性事件進(jìn)行識別與評估,并采取應(yīng)對措施將其影響控制在可接受范圍內(nèi)的過程。風(fēng)險管理的目的是為了將風(fēng)險控制在可接受的范圍內(nèi)(風(fēng)險的可接受范圍取決于組織對風(fēng)險的態(tài)度)。
風(fēng)險管理分為以下幾個階段:1、風(fēng)險規(guī)劃階段。項目風(fēng)險管理計劃或策略確定控制目標(biāo):可以接受水平。2、風(fēng)險識別階段。主要確定風(fēng)險來自何方?有哪幾類風(fēng)險?(我國國資委將國有企業(yè)風(fēng)險分為以下幾類:戰(zhàn)略風(fēng)險、財務(wù)風(fēng)險、市場風(fēng)險、運營風(fēng)險以及法律風(fēng)險。)3、風(fēng)險估計階段。確定事件后果有多大?發(fā)生的可能性有多大?4、風(fēng)險評價階段。確定風(fēng)險的嚴(yán)重順序;確定項目整體風(fēng)險水平。5、風(fēng)險應(yīng)對階段。設(shè)計控制風(fēng)險的措施策略。6、風(fēng)險控制階段。檢查控制措施是否充分有效?自我評估和內(nèi)部審計。
(二)風(fēng)險管理審計概念及目的
風(fēng)險管理審計是內(nèi)部審計以風(fēng)險為考慮核心,采用系統(tǒng)
化、規(guī)范化的方法,通過對企業(yè)全面風(fēng)險管理活動進(jìn)行監(jiān)督和評價,提出改進(jìn)意見,來改善企業(yè)風(fēng)險管理、增進(jìn)企業(yè)價值的一種審計。
通過內(nèi)部審計機構(gòu)和人員對企業(yè)風(fēng)險管理過程的了解,審查并評價其適當(dāng)性和有效性,提出改進(jìn)建議,促進(jìn)企業(yè)目標(biāo)的實現(xiàn)。
(三)內(nèi)容
企業(yè)建立內(nèi)部風(fēng)險管理部門,內(nèi)部審計人員實施必要的審計程序,對風(fēng)險評估過程進(jìn)行審查與評價,并重點關(guān)注風(fēng)險發(fā)生的可能性和風(fēng)險對組織目標(biāo)的實現(xiàn)產(chǎn)生影響的嚴(yán)重程度兩個要素。同時,內(nèi)部審計人員應(yīng)當(dāng)充分了解風(fēng)險評估的方法,并對管理層所采用的風(fēng)險評估方法的適當(dāng)性和有效性進(jìn)行審查。審計人員應(yīng)當(dāng)實施必要的審計程序,對風(fēng)險識別過程進(jìn)行審查與評價,重點關(guān)注被審計單位面臨的內(nèi)、外部風(fēng)險是否已得到充分、適當(dāng)?shù)拇_認(rèn)。
最終對內(nèi)部風(fēng)險管理組織的健全性、風(fēng)險管理程序的合理性以及風(fēng)險預(yù)警系統(tǒng)的存在及有效性進(jìn)行審查評價,最終出具風(fēng)險管理審計報告。
二、風(fēng)險導(dǎo)向?qū)徲?/p>
(一)概念及特征
風(fēng)險導(dǎo)向?qū)徲嬃⒆阌趯徲嬶L(fēng)險進(jìn)行系統(tǒng)的分析和評價,并以此作為出發(fā)點,制定審計戰(zhàn)略,制定與企業(yè)狀況相適應(yīng)的多樣化審計計劃,以達(dá)到審計工作的效率性和效果性。審計期望差距的存在和審計目標(biāo)的改變是風(fēng)險基礎(chǔ)審計產(chǎn)生的社會因素。審計組織的經(jīng)濟壓力是風(fēng)險基礎(chǔ)審計產(chǎn)生的經(jīng)濟原因。制度基礎(chǔ)審計的內(nèi)在缺陷及解決方法是風(fēng)險基礎(chǔ)審計產(chǎn)生的技術(shù)原因
(二)內(nèi)容
首先,通過對被審計單位控制環(huán)境的評價,鑒別其財務(wù)報表重要組成項目的各項認(rèn)定,考慮財務(wù)報表重大錯誤表述的風(fēng)險。其次,建立審計目標(biāo)。審計目標(biāo)以風(fēng)險評價為基礎(chǔ),通過風(fēng)險評估分析,制訂審計計劃,確定如何收集、收集多少和收集何種性質(zhì)的證據(jù)的決策,為更有效地控制和提高審計效果及審計效率,提供了一個完整的結(jié)構(gòu)。再次,根據(jù)審計目標(biāo)確定擬實施的審計程序的性質(zhì)、時間及范圍。最終將審計風(fēng)險控制在可以接受的范圍內(nèi),并以此出具審計報告。
理論基礎(chǔ):經(jīng)營風(fēng)險驅(qū)動審計風(fēng)險。簡單地說,就是任
何影響客戶實現(xiàn)其經(jīng)營目標(biāo)的潛在風(fēng)險,都是審計風(fēng)險的來源。企業(yè)的經(jīng)營風(fēng)險來自兩個層面:戰(zhàn)略風(fēng)險和運營風(fēng)險?;具壿嬍牵贺攧?wù)報表是否存在重大錯報與經(jīng)營活動的順利與否相關(guān);經(jīng)營活動的順利與否與企業(yè)的經(jīng)營戰(zhàn)略目標(biāo)是否正確相關(guān);企業(yè)經(jīng)營戰(zhàn)略的風(fēng)險會逐步轉(zhuǎn)化為財務(wù)報表的重大錯報風(fēng)險;重大錯報風(fēng)險是審計風(fēng)險的直接來源。
三、兩者區(qū)別與內(nèi)在聯(lián)系
(一)區(qū)別
產(chǎn)生背景及性質(zhì)不同:風(fēng)險導(dǎo)向?qū)徲嬍怯捎趯徲嬈谕罹喽a(chǎn)生的,同時也是對賬項導(dǎo)向?qū)徲?、制度?dǎo)向?qū)徲嫷母倪M(jìn),是審計模式的創(chuàng)新發(fā)展,同時也是一種新型的審計模式。風(fēng)險管理審計是為了滿足企業(yè)加強自身內(nèi)部風(fēng)險管理的需要及內(nèi)部審計自身發(fā)展的需要而產(chǎn)生的,是一種全新的審計業(yè)務(wù)類型。
審計目的不同:風(fēng)險導(dǎo)向?qū)徲嬍峭ㄟ^評估審計風(fēng)險,合理分配審計資源,并設(shè)計一系列高效率低成本的審計程序,并最終將審計風(fēng)險降低至可接受水平,從而出具審計報告。風(fēng)險管理審計則是為了審查和評價企業(yè)風(fēng)險管理的適當(dāng)性和有效性,并最終服務(wù)于內(nèi)部審計,降低企業(yè)經(jīng)營管理風(fēng)險,提高企業(yè)內(nèi)部控制水平。
“風(fēng)險”含義及審計主體不同:風(fēng)險導(dǎo)向?qū)徲嬛械摹帮L(fēng)險”指的是審計風(fēng)險,包括重大錯報風(fēng)險和檢查風(fēng)險,其審計主體是審計機構(gòu)和審計人員。風(fēng)險管理審計中的“風(fēng)險”主要指的是經(jīng)營風(fēng)險,主體是企業(yè)及管理人員,包括風(fēng)險識別、評估及應(yīng)對三個階段。
審計思路不同:風(fēng)險導(dǎo)向?qū)徲嬍紫仍u估企業(yè)經(jīng)營風(fēng)險,從而確定重大錯報風(fēng)險,從而計算出可接受的檢查風(fēng)險水平。風(fēng)險管理審計主要審查評價企業(yè)風(fēng)險識別是否充分,風(fēng)險評估是否恰當(dāng),所采取的風(fēng)險應(yīng)對措施是否合理有效。
(二)內(nèi)在聯(lián)系
關(guān)鍵詞:風(fēng)險評估 HRN參數(shù) 機械式壓力機
1、前言
壓力機作為常見的金屬加工機械,在汽車,造船,航空,機加工等非常多的行業(yè)有著非常廣泛的應(yīng)用。同時,壓力機是一個非常危險的機械。沖壓作業(yè)傷指事故較多。該行業(yè)曾流行一句話:十個沖工九個殘。客觀原因是沖壓機械滑塊垂直下沖速度極快。
以一般100噸液壓沖床為例,滑塊每分鐘往復(fù)次數(shù)為75次,即單程一次只約需0.4秒。采用行程為100毫米進(jìn)行拉伸作業(yè),若手在模內(nèi),沖床滑塊下沖傷指的時間約為0.1秒。而當(dāng)操作者發(fā)現(xiàn)或感覺到滑塊下沖時,反應(yīng)到大腦,再由大腦指揮手縮回的時間約為0.2-0.3秒,顯然手是來不及收回的。因此常造成傷指事故。
因此如何對于一臺沖壓機械中所存的風(fēng)險進(jìn)行分析得出結(jié)論,并對其實施改造,以達(dá)到機械安全與人員保護(hù)的目的。
2、風(fēng)險評估原理
根據(jù)ISO 12100的要求,應(yīng)依照一系列合理步驟進(jìn)行風(fēng)險評估,以便對機械相關(guān)危險進(jìn)行系統(tǒng)地檢查。對于ISO 12100:2010第6條中所述的任何風(fēng)險降低措施,風(fēng)險評估過程均應(yīng)遵守。為最大限度消除危險并實施安全措施,這一過程重復(fù)進(jìn)行時,應(yīng)給出一個迭代過程。
風(fēng)險評估方法包括:
風(fēng)險估計。確定限制條件;危險確認(rèn);風(fēng)險估計。
風(fēng)險評價。風(fēng)險估計提供了風(fēng)險評估所需的信息,而風(fēng)險評估反過來又有助于對機械安全進(jìn)行判定。
3、第三 針對一臺400T機械式壓力機所進(jìn)行的風(fēng)險評估
在本文中,我們將主要針對一臺400T閉點式機械壓力機進(jìn)行風(fēng)險評估,以識別其中所存在的風(fēng)險。依據(jù)前文所述,我們執(zhí)行了以下步驟:
預(yù)定的使用環(huán)境為一般工業(yè)環(huán)境。機器針對操作人員,維護(hù)人員和技術(shù)人員使用而設(shè)計。人員已接受機器相關(guān)的常規(guī)培訓(xùn)。HNKJ-400噸壓機上的維護(hù)作業(yè)由受過培訓(xùn)的人員進(jìn)行。機器的清潔由操作人員進(jìn)行;若存在堵塞,則由操作人員進(jìn)行修復(fù)。機器的預(yù)計使用壽命為20年。
在一臺壓力機中,最顯著的危險源自于合模區(qū)中固定在壓機滑塊的上模與工作臺中固定的下模之間的擠壓危險,但是由于觸及的頻率及方式各不相同,對于各個風(fēng)險點我們進(jìn)行了如下的識別與評估:
3.3 從正面進(jìn)入模具區(qū)域
3.4 從側(cè)面進(jìn)入模具區(qū)域
從上述的風(fēng)險評估舉例中,可以看出,即使是同一個機械動作所引起的危險,在不同的作業(yè)情況下,不同的接近路徑下,其風(fēng)險區(qū)別極大。因此,在考慮設(shè)計控制系統(tǒng)時,不同的接近路徑下,不同的控制系統(tǒng)元素的可靠性和冗余性應(yīng)當(dāng)也有所區(qū)別。盡管選取最高的系統(tǒng)可靠性顯然能夠滿足系統(tǒng)的安全要求,但是也會造成系統(tǒng)的構(gòu)建成本過高,設(shè)計過于復(fù)雜。因此,根據(jù)風(fēng)險評估的結(jié)果,來選取相應(yīng)的控制系統(tǒng)等級來設(shè)計控制系統(tǒng),是非常有必要的。
4、結(jié)語
通過對于HRN風(fēng)險評估參數(shù)法的闡述,以及對于壓機最主要風(fēng)險進(jìn)行的分析,我們可以看到,如果在沒有任何保護(hù)措施的情況下,操作這樣高風(fēng)險的機器時是非常危險的。我們必須采取安全保護(hù)措施,構(gòu)建安全防護(hù)及相對應(yīng)的安全控制系統(tǒng)來保護(hù)操作人員的安全。而在設(shè)計控制系統(tǒng)時,根據(jù)不同的HRN參數(shù),來選擇合適的控制系統(tǒng)等級也是非常重要的。這樣可以針對性地提高系統(tǒng)安全性,并有效地控制項目成本。
參考文獻(xiàn)
采用滑坡風(fēng)險評估三要素的方法,即:風(fēng)險區(qū)劃(R3)、風(fēng)險概率(RP)、風(fēng)險損失(Rh),對汶川大地震極震區(qū)10個縣市26000km2面積區(qū)的震后滑坡風(fēng)險進(jìn)行了評估。結(jié)果顯示,區(qū)內(nèi)高風(fēng)險區(qū)僅占9.03%面積,但承擔(dān)42%的滑坡發(fā)生概率和滑坡?lián)p失風(fēng)險貢獻(xiàn);較高風(fēng)險區(qū)占14.61%面積,承擔(dān)25%的風(fēng)險貢獻(xiàn);中風(fēng)險區(qū)占22.28.%面積,承擔(dān)19%的風(fēng)險貢獻(xiàn);低風(fēng)險區(qū)占37.93%面積,承擔(dān)11%的風(fēng)險貢獻(xiàn);無風(fēng)險區(qū)占16.15%面積,承擔(dān)3%的風(fēng)險貢獻(xiàn)。震后由于采取了有效的避險措施,滑坡風(fēng)險明顯降低的結(jié)果。
關(guān)鍵詞:
汶川8.0級地震;極震區(qū);滑坡;風(fēng)險評估
地震滑坡風(fēng)險評估與常規(guī)滑坡風(fēng)險評估相比多了“地震”因素條件,在評估的結(jié)構(gòu)和方法上兩者的不同之處何在?對于這一問題,國內(nèi)外可供參考的文獻(xiàn)極少[1-3]。筆者認(rèn)為地震滑坡風(fēng)險評估與常規(guī)滑坡風(fēng)險評估兩者的區(qū)別主要應(yīng)該體現(xiàn)在風(fēng)險評估結(jié)構(gòu)模型(即:風(fēng)險區(qū)劃=危險度評估×易損度評估)中的危險度評估。評價地震滑坡風(fēng)險只能通過滑坡危險性評估指標(biāo)因子與地震相關(guān)因子的結(jié)合,才可能反映地震因素的影響作用。地震滑坡是在地震瞬間被地震動誘發(fā)的,地震動能量通過震源和發(fā)震斷層釋放,一次地震過程中距震中或斷層不同距離上分布的滑坡數(shù)量和規(guī)模差異性很大。因此在危險度評估中,可以通過增加地震滑坡震中距和發(fā)震斷層距等與地震相關(guān)的作用因子,來提高地震滑坡危險度評估中地震與滑坡的關(guān)聯(lián)度。而在風(fēng)險評估中,地震因素的直接作用不能被直接反映。如汶川地震發(fā)生后,地震災(zāi)區(qū)的建筑物基本都提高了抗震結(jié)構(gòu)設(shè)計標(biāo)準(zhǔn),區(qū)域空間的建筑承災(zāi)體的易損性都明顯降低。隨著災(zāi)區(qū)建筑物的易損性普遍降低,統(tǒng)計指標(biāo)中也難以體現(xiàn)出與常規(guī)易損性指標(biāo)的差別。只要在危險度評估中增加了地震因子作用,建立在滑坡危險度和易損度區(qū)劃基礎(chǔ)之上的地震滑坡風(fēng)險評估,就可以反映出地震因素的作用了。因此,地震滑坡風(fēng)險評估與常規(guī)滑坡風(fēng)險評估的主要差別應(yīng)該體現(xiàn)在危險度評估中滑坡與震源相關(guān)性因子選取上。本文選擇汶川地震極震區(qū)(I0≥ⅩⅠ)10縣市(面積26175.77km2)為研究區(qū)域,探索了地震滑坡風(fēng)險評估方法。
1地震滑坡風(fēng)險分布(Rs)
根據(jù)文獻(xiàn)[4]中的滑坡風(fēng)險分類方法,不同類型滑坡風(fēng)險的研究深度不同,應(yīng)用范圍也不一樣。因此滑坡風(fēng)險研究應(yīng)該具有不同的目標(biāo)性和實用性,可以針對不同層次需要,采用不同階段的風(fēng)險研究目標(biāo)和方法解決需求。不同階段的風(fēng)險評價方法也不相同。按照文獻(xiàn)[4]中的風(fēng)險層次鏈實施階段劃分,筆者在完成汶川地震極震區(qū)滑坡風(fēng)險區(qū)劃的基礎(chǔ)上[5],根據(jù)滑坡風(fēng)險綜合評估三要素的原則。式中:RS為風(fēng)險分布;RP為風(fēng)險概率;Rh為風(fēng)險損失。對汶川地震極震災(zāi)區(qū)(I0≥Ⅹ)的汶川、都江堰、彭州、茂縣、什邡、綿竹、安縣、北川、平武、青川10縣市(面積26175.77km2)進(jìn)行了地震滑坡風(fēng)險綜合評估。其中,地震滑坡風(fēng)險分布是采用地震滑坡風(fēng)險區(qū)劃方法確定;地震滑坡風(fēng)險概率,通過對震后降雨滑坡發(fā)生概率統(tǒng)計方法確定;地震滑坡風(fēng)險損失,根據(jù)滑坡受災(zāi)面積的損失率方法確定。地震滑坡風(fēng)險評估與常規(guī)滑坡風(fēng)險評估的差別主要體現(xiàn)在滑坡風(fēng)險區(qū)劃的要素中,而其它要素中是難以反映出地震因素的作用。汶川地震極震區(qū)的滑坡風(fēng)險分布可通過全區(qū)滑坡風(fēng)險區(qū)劃獲得。采用GIS技術(shù)在研究區(qū)1:5萬DEM、DRG、20萬地質(zhì)圖、1:5萬土地利用圖的基礎(chǔ)上,分別對滑坡危險度的10項因子指標(biāo)、承載體易損度的5項因子指標(biāo)進(jìn)行權(quán)重疊加,按照5級劃分標(biāo)準(zhǔn)經(jīng)過區(qū)劃劃分,獲得地震滑坡風(fēng)險的分布結(jié)果。
2地震滑坡風(fēng)險概率(RP)
地震滑坡風(fēng)險概率與滑坡發(fā)生概率成正相關(guān)關(guān)系,滑坡隨機發(fā)生的次數(shù)越多,存在的風(fēng)險概率越大。從宏觀區(qū)域滑坡發(fā)育規(guī)律分析,大地震誘發(fā)的滑坡后期復(fù)活主要受降雨因素的控制。因為再次發(fā)生大地震或余震具有不確定性,作為誘發(fā)因素參加滑坡事件概率統(tǒng)計的難度太大。震區(qū)降雨型滑坡后期活動是轉(zhuǎn)化泥石流并造成大面積受損的主要致災(zāi)因素。所以,地震災(zāi)區(qū)的滑坡風(fēng)險概率應(yīng)該由震后降雨滑坡的時間及空間分布概率所決定。
2.1滑坡時間概率采用文獻(xiàn)[6]中的降雨滑坡概率計算方法,可以分別得到降雨滑坡的時間和空間分布概率。時間概率表示在給定降雨臨界值和時間的情況下,發(fā)生滑坡的時間概率。
2.2滑坡空間概率空間概率表示按風(fēng)險區(qū)面積為單元的滑坡分布概率。式中:P'為空間概率;x為降雨滑坡分布密度系數(shù)(x=md/s、其中m為不同危險度區(qū)降雨滑坡數(shù);d為樣本分區(qū)區(qū)間;s為不同危險度區(qū)總面積。采用式(5),對極震災(zāi)區(qū)10縣市震后的降雨滑坡與地震滑坡進(jìn)行統(tǒng)計計算,獲得空間概率。
3地震滑坡?lián)p失評價(Rh)
在地震滑坡風(fēng)險區(qū)劃的基礎(chǔ)上,可以通過對各風(fēng)險區(qū)滑坡受損面積與滑坡風(fēng)險區(qū)面積之比,評估滑坡災(zāi)害可能造成的受損率。受損率不是經(jīng)濟指標(biāo)的評價關(guān)系,僅僅代表滑坡破壞范圍的概率。受損率預(yù)測對災(zāi)區(qū)人員傷亡情況是難以準(zhǔn)確評估的[7-13],因為這與人們防災(zāi)意識和政府防災(zāi)管理程度密切相關(guān)。根據(jù)文獻(xiàn)[3]中的滑坡受災(zāi)面積統(tǒng)計模型,可以對滑坡風(fēng)險分布區(qū)內(nèi)每一處滑坡受災(zāi)面積與滑坡風(fēng)險區(qū)面積進(jìn)行受損率統(tǒng)計。在實際滑坡風(fēng)險損失評估中,由于在獲取當(dāng)?shù)亟?jīng)濟產(chǎn)量和固定資產(chǎn)資料信息的限制,如,經(jīng)濟總量、建筑物、基礎(chǔ)建設(shè)、農(nóng)業(yè)、林業(yè)、工業(yè)、水利等等,所以得出的經(jīng)濟損失評估結(jié)果往往可信度較低。之前采用各種方法作出的經(jīng)濟損失評估與實際情況一般差距較大。所以對區(qū)域滑坡災(zāi)害發(fā)生前的損失預(yù)測評估,可以采用滑坡直接受損面積與風(fēng)險區(qū)面積的比率Rh評估可能造成的損失范圍。根據(jù)式(6),可以統(tǒng)計汶川地震極震區(qū)全區(qū)滑坡風(fēng)險區(qū)的滑坡受損情況(表7)。以上統(tǒng)計結(jié)果,無論對極震災(zāi)區(qū)全區(qū)的滑坡風(fēng)險受損率,還是極震災(zāi)區(qū)各縣市滑坡風(fēng)險受損率,都可以看出未來滑坡風(fēng)險的受損率一般不是太高。全區(qū)的高風(fēng)險區(qū)受損率僅可能達(dá)到11%,其他風(fēng)險區(qū)的損失率更低。
險綜合評估(R珔)
在完成以上準(zhǔn)備之后,可以對汶川地震極震區(qū)滑坡風(fēng)險進(jìn)行綜合評估。根據(jù)表1、圖1表示的汶川地震極震區(qū)滑坡風(fēng)險分布,表2、表3表示的汶川地震極震區(qū)滑坡概率,表4表示的汶川地震極震區(qū)滑坡風(fēng)險受損率的統(tǒng)計結(jié)果,評價5類滑坡風(fēng)險區(qū)可能分別承擔(dān)的風(fēng)險損失概率。式(8)表示風(fēng)險綜合評估(珔R)是評價5類滑坡風(fēng)險區(qū)域面積中(Rs),將可能(概率Rp)分別對應(yīng)承擔(dān)滑坡風(fēng)險損失(受損率Rh)的貢獻(xiàn)率(γ)。采用式(8),可得到表10、圖3所示的綜合評估結(jié)論。式(9)說明,隨著滑坡風(fēng)險區(qū)的等級變化,綜合風(fēng)險貢獻(xiàn)與風(fēng)險等級呈線性函數(shù)發(fā)展關(guān)系,并且相關(guān)性好。采用以上方法,對汶川地震極震區(qū)各縣市滑坡風(fēng)險進(jìn)行綜合評估,也可獲得各自的評估說明和規(guī)律曲線模型。
5結(jié)論
地震滑坡風(fēng)險評估包括三方面的內(nèi)容,即風(fēng)險分布評價、風(fēng)險概率評價、風(fēng)險損失評價。而單一的風(fēng)險評價不能真正代表風(fēng)險評估的內(nèi)容。本文根據(jù)評估的原則對汶川地震極震區(qū)10個縣市的滑坡風(fēng)險進(jìn)行了綜合評估。地震發(fā)生后,由于政府采取了滑坡危險地帶主動搬遷避讓的恢復(fù)重建措施,極震災(zāi)區(qū)的滑坡風(fēng)險明顯降低。滑坡風(fēng)險主要由全區(qū)9.03%面積的高風(fēng)險區(qū)承擔(dān)。其余區(qū)域的滑坡風(fēng)險很小,所以極震災(zāi)區(qū)大部分區(qū)域是安全的。風(fēng)險評估中,滑坡風(fēng)險損失評價是一項比較難以確定的指標(biāo)。目前的統(tǒng)計方法還達(dá)到不到包括人員在內(nèi)的損失評價,只能滿足固有資產(chǎn)的統(tǒng)計。因此可能使滑坡綜合風(fēng)險評估內(nèi)容有所不足。
參考文獻(xiàn):
[1]王啟亮,孟朝霞.地震滑坡風(fēng)險分析研究[J].中國地質(zhì)災(zāi)害與防治學(xué)報,2010,21(3):14-16.
[2]韓金良,燕軍軍,吳樹仁.四川汶川M8級地震觸發(fā)的典型滑坡的風(fēng)險指標(biāo)反演[J].地質(zhì)通報,2009,28(8):1146-1155.
[3]喬建平.第10章汶川大地震滑坡風(fēng)險評估[M]//大地震誘發(fā)滑坡分布規(guī)律及危險性評價方法.北京:科學(xué)出版社,2014:324-374.
[4]喬建平,王萌.滑坡風(fēng)險的類型與層次鏈[J].工程地質(zhì)學(xué)報,2010,18(1):84-90.
[5]喬建平,王萌吳彩燕.汶川大地震滑坡風(fēng)險區(qū)劃研究[J].工程地質(zhì)學(xué)報,2015.23(2):1-7.
[6]喬建平,楊宗佶.滑坡風(fēng)險評估的三要素[J].工程地質(zhì)學(xué)報,2012,20(1):1-6.6
[7]許飛瓊.災(zāi)害損失評估及系統(tǒng)結(jié)構(gòu)[J].災(zāi)害學(xué),1998,13(3):80-83.
[8]常勝,曾克峰.恩思州地質(zhì)災(zāi)害損失評估方法研究[J].湖北民族學(xué)院學(xué)報,2005,23(4):402-404.
[9]謝全敏,李道明.翟鵬程.滑坡次生災(zāi)害損失評估方法研究[J].巖土力學(xué),2007,28(5):961-970.
[10]吳紅華.災(zāi)害損失評估的灰色模糊綜合方法[J].自然災(zāi)害學(xué)報,2005,14(2):115-118
[11]潘曉紅,賈鐵飛,溫家洪,等.多災(zāi)害損失評估模型與應(yīng)用評述[J].防災(zāi)科學(xué)學(xué)院學(xué)報,2009,14(2):77-88
[12]趙紅蕊,王濤,石麗梅.蘆山7.0級地震震后道路損毀風(fēng)險評估方法研究[J].災(zāi)害學(xué),2014,29(2):33-37.
關(guān)鍵詞:網(wǎng)絡(luò)審計 歷史財務(wù)報表審計 信息安全管理 風(fēng)險評估
一、引言
從審計的角度,風(fēng)險評估是現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嫷暮诵睦砟?。無論是在歷史財務(wù)報表審計還是在網(wǎng)絡(luò)審計中,現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嬀髮徲嫀熢趫?zhí)行審計工作過程中應(yīng)以風(fēng)險評估為中心,通過對被審計單位及其環(huán)境的了解,評估確定被審計單位的高風(fēng)險領(lǐng)域,從而確定審計的范圍和重點,進(jìn)一步?jīng)Q定如何收集、收集多少和收集何種性質(zhì)的證據(jù),以便更有效地控制和提高審計效果及審計效率。從企業(yè)管理的角度,企業(yè)風(fēng)險管理將風(fēng)險評估作為其基本的要素之一進(jìn)行規(guī)范,要求企業(yè)在識別和評估風(fēng)險可能對企業(yè)產(chǎn)生影響的基礎(chǔ)上,采取積極的措施來控制風(fēng)險,降低風(fēng)險為企業(yè)帶來損失的概率或縮小損失程度來達(dá)到控制目的。信息安全風(fēng)險評估作為企業(yè)風(fēng)險管理的一部分,是企業(yè)信息安全管理的基礎(chǔ)和關(guān)鍵環(huán)節(jié)。盡管如此,風(fēng)險評估在網(wǎng)絡(luò)審計、歷史財務(wù)報表審計和企業(yè)信息安全管理等工作中的運用卻不盡相同,本文在分析計算機信息系統(tǒng)環(huán)境下所有特定風(fēng)險和網(wǎng)絡(luò)審計風(fēng)險基本要素的基礎(chǔ)上,從風(fēng)險評估中應(yīng)關(guān)注的風(fēng)險范圍、風(fēng)險評估的目的、內(nèi)容、程序及實施流程等內(nèi)容展開,將網(wǎng)絡(luò)審計與歷史財務(wù)報表審計和信息安全管理的風(fēng)險評估進(jìn)行對比分析,以期深化對網(wǎng)絡(luò)審計風(fēng)險評估的理解。
二、網(wǎng)絡(luò)審計與歷史財務(wù)報表審計的風(fēng)險評估比較
(一)審計風(fēng)險要素根據(jù)美國注冊會計師協(xié)會的第47號審計標(biāo)準(zhǔn)說明中的審計風(fēng)險模型,審計風(fēng)險又由固有風(fēng)險、控制風(fēng)險和檢查風(fēng)險構(gòu)成。其中,固有風(fēng)險是指不考慮被審計單位相關(guān)的內(nèi)部控制政策或程序的情況下,其財務(wù)報表某項認(rèn)定產(chǎn)生重大錯報的可能性;控制風(fēng)險是被審計單位內(nèi)部控制未能及時防止或發(fā)現(xiàn)財務(wù)報表上某項錯報或漏報的可能性;檢查風(fēng)險是審計人員通過預(yù)定的審計程序未能發(fā)現(xiàn)被審計單位財務(wù)報表上存在重大錯報或漏報的可能性。在網(wǎng)絡(luò)審計中,審計風(fēng)險仍然包括固有風(fēng)險、控制風(fēng)險和檢查風(fēng)險要素,但其具體內(nèi)容直接受計算機網(wǎng)絡(luò)環(huán)境下信息系統(tǒng)特定風(fēng)險的影響。計算機及網(wǎng)絡(luò)技術(shù)的應(yīng)用能提高企業(yè)經(jīng)營活動的效率,為企業(yè)的經(jīng)營管理帶來很大的優(yōu)越性,但同時也為企業(yè)帶來了一些新的風(fēng)險。這些新的風(fēng)險主要表現(xiàn)為:(1)數(shù)據(jù)與職責(zé)過于集中化。由于手工系統(tǒng)中的職責(zé)分工、互相牽制等控制措施都被歸并到計算機系統(tǒng)自動處理過程中去了,這些集中的數(shù)據(jù)庫技術(shù)無疑會增加數(shù)據(jù)縱和破壞的風(fēng)險。(2)系統(tǒng)程序易于被非法調(diào)用甚至遭到篡改。由于計算機系統(tǒng)有較高的技術(shù)要求,非專業(yè)人員難以察覺計算機舞弊的線索,這加大了數(shù)據(jù)被非法使用的可能性。如經(jīng)過批準(zhǔn)的系統(tǒng)使用人員濫用系統(tǒng),或者說,企業(yè)對接近信息缺乏控制使得重要的數(shù)據(jù)或程序被盜竊等。(3)錯誤程序的風(fēng)險,例如程序中的差錯反復(fù)和差錯級聯(lián)、數(shù)據(jù)處理不合邏輯、甚至是程序本身存在錯誤等。(4)信息系統(tǒng)缺乏應(yīng)用的審計接口,使得審計人員在審計工作中難以有效地采集或獲取企業(yè)信息系統(tǒng)中的數(shù)據(jù),從而無法正常開展審計工作。(5)網(wǎng)絡(luò)系統(tǒng)在技術(shù)和商業(yè)上的風(fēng)險,如計算機信息系統(tǒng)所依賴的硬件設(shè)備可能出現(xiàn)一些不可預(yù)料的故障,或者信息系統(tǒng)所依賴的物理工作環(huán)境可能對整個信息系統(tǒng)的運行效能帶來影響等。相對應(yīng)地,網(wǎng)絡(luò)審計的固有風(fēng)險主要是指系統(tǒng)環(huán)境風(fēng)險,即財務(wù)電算化系統(tǒng)本身所處的環(huán)境引起的風(fēng)險,它可分為硬件環(huán)境風(fēng)險和軟件環(huán)境風(fēng)險??刂骑L(fēng)險包括系統(tǒng)控制風(fēng)險和財務(wù)數(shù)據(jù)風(fēng)險,其中,系統(tǒng)控制風(fēng)險是指會計電算化系統(tǒng)的內(nèi)部控制不嚴(yán)密造成的風(fēng)險,財務(wù)數(shù)據(jù)風(fēng)險是指電磁性財務(wù)數(shù)據(jù)被篡改的可能性。檢查風(fēng)險包括審計軟件風(fēng)險和人員操作風(fēng)險,審計軟件風(fēng)險是指計算機審計軟件本身缺陷原因造成的風(fēng)險,人員操作風(fēng)險是指計算機審計系統(tǒng)的操作人員、技術(shù)人員和開發(fā)人員等在工作中由于主觀或客觀原因造成的風(fēng)險。
(二)風(fēng)險評估目的無論在網(wǎng)絡(luò)審計還是歷史財務(wù)報表審計中,風(fēng)險評估只是審計的一項重要程序,貫穿于審計的整個過程。與其他審計程序緊密聯(lián)系而不是一項獨立的活動。盡管如此,兩者所關(guān)注的風(fēng)險范圍則有所不同。歷史財務(wù)報表審計的風(fēng)險評估要求審計人員主要關(guān)注的是被審計單位的重大錯報風(fēng)險――財務(wù)報表在審計前存在重大錯報的可能性。由于網(wǎng)絡(luò)審計的審計對象包括被審計單位基于網(wǎng)絡(luò)的財務(wù)信息和網(wǎng)絡(luò)財務(wù)信息系統(tǒng)兩類,因此審計人員關(guān)注的風(fēng)險應(yīng)是被審計單位經(jīng)營過程中與該兩類審計對象相關(guān)的風(fēng)險。(1)對于與企業(yè)網(wǎng)絡(luò)財務(wù)信息系統(tǒng)相關(guān)的風(fēng)險,審計人員應(yīng)該從信息系統(tǒng)生命周期的各個階段和信息系統(tǒng)的各組成部分及運行環(huán)境兩方面出發(fā)進(jìn)行評估。信息系統(tǒng)生命周期是指該信息系統(tǒng)從產(chǎn)生到完成乃至進(jìn)入維護(hù)的各個階段及其活動,無論是在早期的線性開發(fā)模型中還是在更為復(fù)雜的螺旋式等模型中,一個信息系統(tǒng)的生命周期大都包括規(guī)劃和啟動、設(shè)計開發(fā)或采購、集成實現(xiàn)、運行和維護(hù)、廢棄等五個基本階段。由于信息系統(tǒng)在不同階段的活動內(nèi)容不同,企業(yè)在不同階段的控制目標(biāo)和控制行為也會有所不同,因此,審計人員的風(fēng)險評估應(yīng)該貫穿于信息系統(tǒng)的整個生命周期。信息系統(tǒng)的組成部分是指構(gòu)成該信息系統(tǒng)的硬件、軟件及數(shù)據(jù)等,信息系統(tǒng)的運行環(huán)境是指信息系統(tǒng)正常運行使用所依托的物理和管理平臺。具體可將其分為五個層面:物理層,即信息系統(tǒng)運行所必備的機房、設(shè)備、辦公場所、系統(tǒng)線路及相關(guān)環(huán)境;網(wǎng)絡(luò)層,即信息系統(tǒng)所需的網(wǎng)絡(luò)架構(gòu)的安全情況、網(wǎng)絡(luò)設(shè)備的漏洞情況、網(wǎng)絡(luò)設(shè)備配置的缺陷情況等;系統(tǒng)層,即信息系統(tǒng)本身的漏洞情況、配置的缺陷情況;應(yīng)用層,即信息系統(tǒng)所使用的應(yīng)用軟件的漏洞情況、安全功能缺陷情況;管理層,即被審計單位在該信息系統(tǒng)的運行使用過程中的組織、策略、技術(shù)管理等方面的情況。(2)對于與企業(yè)基于網(wǎng)絡(luò)的財務(wù)信息相關(guān)的風(fēng)險,審計人員應(yīng)著重關(guān)注財務(wù)信息的重大錯報風(fēng)險和信息的安全風(fēng)險。重大錯報風(fēng)險主要指被審計單位基于網(wǎng)絡(luò)的相關(guān)財務(wù)信息存在重大錯報的可能性,它是針對企業(yè)借助于網(wǎng)絡(luò)信息系統(tǒng)或網(wǎng)絡(luò)技術(shù)對有關(guān)賬戶、交易或事項進(jìn)行確認(rèn)、計量或披露而言。網(wǎng)絡(luò)審計中關(guān)注的重大錯報風(fēng)險與傳統(tǒng)審CtT的內(nèi)涵基本上是一致的,審計人員在審計時應(yīng)當(dāng)考慮被審計單位的行業(yè)狀況、經(jīng)營性質(zhì)、法律及監(jiān)管環(huán)境、會計政策和會計方法的選用、財務(wù)業(yè)績的衡量和評價等方面的情況對財務(wù)信息錯報可能的影響。信息安全風(fēng)險涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的風(fēng)險,主要針對企業(yè)利用信息系統(tǒng)或一定的網(wǎng)絡(luò)平臺來存儲、傳輸、披露相關(guān)財務(wù)信息而言。在審計過程中,審eta員應(yīng)當(dāng)主要關(guān)注相關(guān)財務(wù)信息被盜用、非法攻擊或篡改及非法使用的可能性。當(dāng)然,這兩類風(fēng)險并非完全分離的,評估時審計人員應(yīng)將兩者結(jié)合起來考慮。
(三)風(fēng)險評估內(nèi)容 廣泛意義的風(fēng)險評估是指考慮潛在事件對目標(biāo)實現(xiàn)的影響程度。由于網(wǎng)絡(luò)審計與歷史財務(wù)報表審計風(fēng)險評估的目的并不完全相同,因此兩者在風(fēng)險評估的內(nèi)容上也是存在區(qū)別的。總的來說,網(wǎng)絡(luò)審計的風(fēng)險評估內(nèi)容比歷史財務(wù)報表審計的風(fēng)險評估內(nèi)容更廣泛和深入。根據(jù)《中國注冊會計師審計準(zhǔn)則第1211號――了解被審計單位及其環(huán)境并評估重大錯報風(fēng)
險》,在歷史財務(wù)報表審計中,審計人員的風(fēng)險評估應(yīng)以了解被審計單位及其環(huán)境為內(nèi)容。為識別和評價重大錯報風(fēng)險,審計人員了解的具體內(nèi)容包括被審計單位所在行業(yè)狀況、法律環(huán)境與監(jiān)管環(huán)境以及其他外部因素、被審計單位的性質(zhì)、被審計單位對會計政策的選擇和運用、被審計單位的目標(biāo)、戰(zhàn)略以及相關(guān)經(jīng)營風(fēng)險、被審計單位財務(wù)業(yè)績的衡量和評價及被審it@位的內(nèi)部控制等。在網(wǎng)絡(luò)審計中。為了識別和評估上文所述的兩類風(fēng)險,審計人員除了從以上方面了解被審計單位及其環(huán)境外,還應(yīng)該關(guān)注其他相關(guān)的潛在事件及其影響,尤其是企業(yè)的財務(wù)信息系統(tǒng)及基于網(wǎng)絡(luò)的財務(wù)信息可能面l臨的威脅或存在的脆弱點。其中,威脅是指對信息系統(tǒng)及財務(wù)信息構(gòu)成潛在破壞的可能性因素或者事件,它可能是一些如工作人員缺乏責(zé)任心、專業(yè)技能不足或惡意篡改等人為因素,也可能是一些如灰塵、火災(zāi)或通訊線路故障等環(huán)境因素。脆弱點是指信息系統(tǒng)及基于網(wǎng)絡(luò)的財務(wù)信息所存在的薄弱環(huán)節(jié),它是系統(tǒng)或網(wǎng)絡(luò)財務(wù)信息本身固有的,包括物理環(huán)境、組織、過程、人員、管理、配置、硬軟件及信息等各方面的弱點。一般來說,脆弱點本身不會帶來損失或信息錯報,威脅卻總是要利用網(wǎng)絡(luò)、系統(tǒng)的弱點來成功地引起破壞。因此,我們認(rèn)為網(wǎng)絡(luò)審計申風(fēng)險評估的內(nèi)容應(yīng)包括以下幾方面:(1)識別被審計單位財務(wù)信息系統(tǒng)及其基于網(wǎng)絡(luò)的財務(wù)信息可能面臨的威脅,并分析威脅發(fā)生的可能性;(2)識別被審計單位財務(wù)信息系統(tǒng)及其基于網(wǎng)絡(luò)的財務(wù)信息可能存在的脆弱點,并分析脆弱點的嚴(yán)重程度;(3)根據(jù)威脅發(fā)生的可能性和脆弱點發(fā)生的嚴(yán)重程度,判斷風(fēng)險發(fā)生的可能性;(4)根據(jù)風(fēng)險發(fā)生的可能性,評價風(fēng)險對財務(wù)信息系統(tǒng)和基于網(wǎng)絡(luò)的財務(wù)信息可能帶來的影響;(5)若被審計單位存在風(fēng)險防范或化解措施,審計人員在進(jìn)行風(fēng)險評估時還應(yīng)該考慮相應(yīng)措施的可行性及有效性。
(四)風(fēng)險評估程序《中國注冊會計師審計準(zhǔn)則第1211-----了解被審計單位及其環(huán)境并評估重大錯報風(fēng)險》中要求,審計人員應(yīng)當(dāng)實施詢問、分析程序、觀察和檢查等程序,以獲取被審計單位的信息,進(jìn)而評估被審計單位的重大錯報風(fēng)險。這些程序同樣適用于網(wǎng)絡(luò)審計中的風(fēng)險評估。但在具體運用時網(wǎng)絡(luò)審計中更加注重了解和分析被審計單位與信息系統(tǒng)及網(wǎng)絡(luò)技術(shù)使用相關(guān)的事項。在實施詢問程序時,審計人員的詢問對象圍繞信息系統(tǒng)和基于網(wǎng)絡(luò)的財務(wù)信息可大致分為管理人員、系統(tǒng)開發(fā)和維護(hù)人員(或信息編制人員)、系統(tǒng)使用人員(或信息的內(nèi)部使用人員)、系統(tǒng)或網(wǎng)絡(luò)技術(shù)顧問及其他外部相關(guān)人員(如律師)等五類,分別從不同角度了解信息系統(tǒng)和基于網(wǎng)絡(luò)的財務(wù)信息可能存在的威脅和脆弱點。在實施分析程序時,除了研究財務(wù)數(shù)據(jù)及與財務(wù)信息相關(guān)的非財務(wù)數(shù)據(jù)可能的異常趨勢外,審計人員應(yīng)格外關(guān)注對信息系統(tǒng)及網(wǎng)絡(luò)的特性情況,被審計單位對信息系統(tǒng)的使用情況等內(nèi)容的分析比較。實施觀察和檢查時,除執(zhí)行常規(guī)程序外,審計人員應(yīng)注意觀察信息系統(tǒng)的操作使用和檢查信息系統(tǒng)文檔。除此之外,針對特定系統(tǒng)或網(wǎng)絡(luò)技術(shù)風(fēng)險的評估,審計人員還需要實施一些特定的程序。技術(shù)方面如IOS取樣分析、滲透測試、工具掃描、安全策略分析等;管理方面如風(fēng)險問卷調(diào)查、風(fēng)險顧問訪談、風(fēng)險策略分析、文檔審核等。其中,IDS取樣分析是指通過在核心網(wǎng)絡(luò)采樣監(jiān)聽通信數(shù)據(jù)方式,獲取網(wǎng)絡(luò)中存在的攻擊和蠕蟲行為,并對通信流量進(jìn)行分析;滲透測試是指在獲取用戶授權(quán)后,通過真實模擬黑客使用的工具、方法來進(jìn)行實際漏洞發(fā)現(xiàn)和利用的安全測試方法;工具掃描是指通過評估工具軟件或?qū)S冒踩u估系統(tǒng)自動獲取評估對象的脆弱性信息,包括主機掃描、網(wǎng)絡(luò)掃描、數(shù)據(jù)庫掃描等,用于分析系統(tǒng)、應(yīng)用、網(wǎng)絡(luò)設(shè)備存在的常見漏洞。風(fēng)險問卷調(diào)查與風(fēng)險顧問訪談要求審計人員分別采用問卷和面談的方式向有關(guān)主體了解被審計單位的風(fēng)險狀況,使用時關(guān)鍵是要明確問卷或訪談的對象情況風(fēng)險策略分析要求審計人員對企業(yè)所設(shè)定的風(fēng)險管理和應(yīng)對策略的有效性進(jìn)行分析,進(jìn)而評價企業(yè)相關(guān)風(fēng)險發(fā)生的概率以及可能帶來的損失;文檔審核是一種事前評價方法,屬于前置軟件測試的一部分,主要包括需求文檔測試和設(shè)計文檔測試。這些特定程序主要是針對被審計單位信息系統(tǒng)和基于網(wǎng)絡(luò)的財務(wù)信息在網(wǎng)絡(luò)安全風(fēng)險方面進(jìn)行評價,審計人員在具體使用時應(yīng)結(jié)合被審計單位的業(yè)務(wù)性質(zhì)選擇合適的程序。
三、網(wǎng)絡(luò)審計與信息安全管理的風(fēng)險評估比較
(一)風(fēng)險評估的目的信息安全管理中的風(fēng)險評估(即信息安全風(fēng)險評估)是指根據(jù)國家有關(guān)信息安全技術(shù)標(biāo)準(zhǔn),對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進(jìn)行科學(xué)評價的過程。作為信息安全保障體系建立過程中的重要的評價方法和決策機制,信息安全風(fēng)險評估是企業(yè)管理的組成部分,它具有規(guī)劃、組織、協(xié)調(diào)和控制等管理的基本特征,其主要目的在于從企業(yè)內(nèi)部風(fēng)險管理的角度,在系統(tǒng)分析和評估風(fēng)險發(fā)生的可能性及帶來的損失的基礎(chǔ)上,提出有針對性的防護(hù)和整改措施,將企業(yè)面臨或遭遇的風(fēng)險控制在可接受水平,最大限度地保證組織的信息安全。而網(wǎng)絡(luò)審計是由獨立審計人員向企業(yè)提供的一項鑒證服務(wù),其風(fēng)險評估的目的在于識別和評價潛在事件對被審計單位基于網(wǎng)絡(luò)的財務(wù)信息的合法性、公允性以及網(wǎng)絡(luò)財務(wù)信息系統(tǒng)的合規(guī)性、可靠性和有效性的影響程度,從而指導(dǎo)進(jìn)一步審計程序。因此,兩者風(fēng)險評估的目的是不一樣。從評估所應(yīng)關(guān)注的風(fēng)險范圍來看,兩者具有一致性,即都需要考慮與信息系統(tǒng)和信息相關(guān)的風(fēng)險。但是,具體的關(guān)注邊界則是不一樣的。信息安全風(fēng)險評估要評估企業(yè)資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性,并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響,它要求評估人員關(guān)注與企業(yè)整個信息系統(tǒng)和所有的信息相關(guān)的風(fēng)險,包括實體安全風(fēng)險、數(shù)據(jù)安全風(fēng)險、軟件安全風(fēng)險、運行安全風(fēng)險等。網(wǎng)絡(luò)審計中,審計人員是對被審計單位的網(wǎng)絡(luò)財務(wù)信息系統(tǒng)和基于網(wǎng)絡(luò)的財務(wù)信息發(fā)表意見,因此,風(fēng)險評估時審計人員主要關(guān)注的是與企業(yè)財務(wù)信息系統(tǒng)和基于網(wǎng)絡(luò)的財務(wù)信息相關(guān)的風(fēng)險,而不是與企業(yè)的整個信息系統(tǒng)和所有的信息相關(guān)的風(fēng)險。根據(jù)評估實施者的不同,信息安全風(fēng)險評估形式包括自評估和他評估。自評估是由組織自身對所擁有的信息系統(tǒng)進(jìn)行的風(fēng)險評估活動;他評估通常是由組織的上級主管機關(guān)或業(yè)務(wù)主管機關(guān)發(fā)起的,旨在依據(jù)已經(jīng)頒布的法規(guī)或標(biāo)準(zhǔn)進(jìn)行的具有強制意味的檢查。自評估和他評估都可以通過風(fēng)險評估服務(wù)機構(gòu)進(jìn)行咨詢、服務(wù)、培訓(xùn)以及風(fēng)險評估有關(guān)工具的提供。因此。對審計人員而言,受托執(zhí)行的信息安全風(fēng)險評估應(yīng)當(dāng)歸屬于管理咨詢類,即屬于非鑒證業(yè)務(wù),與網(wǎng)絡(luò)審計嚴(yán)格區(qū)分開來。
(二)風(fēng)險評估的內(nèi)容在我國國家質(zhì)量監(jiān)督檢驗檢疫總局的《信息安全風(fēng)險評估指南》(征求意見稿)國家標(biāo)準(zhǔn)中,它將信息安全風(fēng)險評估的內(nèi)容分為兩部分:基本要素和相關(guān)屬性,提出信息安全風(fēng)險評估應(yīng)圍繞其基本要素展開,并充分考慮與這些基本要素相關(guān)的其他屬性。其中,風(fēng)險評估的基本要素包括資產(chǎn)、脆弱性、威脅、風(fēng)險和安全措施;相關(guān)屬性包括業(yè)務(wù)戰(zhàn)略、資產(chǎn)價值、安全需求、安全事件、殘余風(fēng)險等。在此基礎(chǔ)上的風(fēng)險計算過程是:(1)對信息資產(chǎn)進(jìn)行識別,并對資產(chǎn)賦值;(2)對威脅進(jìn)行分析,并對威
脅發(fā)生的可能性賦值;(3)識別信息資產(chǎn)的脆弱性,并對弱點的嚴(yán)重程度賦值;(4)根據(jù)威脅和脆弱性計算安全事件發(fā)生的可能性;(5)根據(jù)脆弱性的嚴(yán)重程度及安全事件所作用的資產(chǎn)的價值計算安全事件造成的損失;(6)根據(jù)安全事件發(fā)生的可能性以及安全事件出現(xiàn)后的損失,計算安全事件一旦發(fā)生對組織的影響,即風(fēng)險值。結(jié)合上文網(wǎng)絡(luò)審計風(fēng)險評估五個方面的內(nèi)容可以看出,網(wǎng)絡(luò)審計和信息安全風(fēng)險評估在內(nèi)容上有相近之處,即都需要針對信息系統(tǒng)和信息可能面臨的威脅和存在的脆弱點進(jìn)行識別。但是,信息安全管理作為企業(yè)的一項內(nèi)部管理,其風(fēng)險評估工作需要從兩個層次展開:一是評估風(fēng)險發(fā)生的可能性及其影響;二是提出防護(hù)或整改措施以控制風(fēng)險。第一個層次的工作實質(zhì)上是為第二層次工作服務(wù)的,其重點在第二層次?!缎畔踩L(fēng)險評估指南》(征求意見稿)提出,企業(yè)在確定出風(fēng)險水平后,應(yīng)對不可接受的風(fēng)險選擇適當(dāng)?shù)奶幚矸绞郊翱刂拼胧?,并形成風(fēng)險處理計劃。其中,風(fēng)險處理的方式包括回避風(fēng)險、降低風(fēng)險、轉(zhuǎn)移風(fēng)險、接受風(fēng)險,而控制措施的選擇應(yīng)兼顧管理和技術(shù),考慮企業(yè)發(fā)展戰(zhàn)略、企業(yè)文化、人員素質(zhì),并特別關(guān)注成本與風(fēng)險的平衡。網(wǎng)絡(luò)審計的風(fēng)險評估工作主要集中在第一個層次,即審計人員通過風(fēng)險評估,為進(jìn)一步審計中做出合理的職業(yè)判斷、有效地實施網(wǎng)絡(luò)審計程序和實現(xiàn)網(wǎng)絡(luò)審計目標(biāo)提供重要基礎(chǔ)。因此,兩者的評估內(nèi)容是存在區(qū)別的。
風(fēng)險研究最早運用于項目工程管理領(lǐng)域,在其發(fā)展過程中主要應(yīng)用于管理學(xué)、金融學(xué)、心理學(xué)等學(xué)科的研究中。
(一)風(fēng)險管理理論
風(fēng)險管理理論始于20世紀(jì)30年代,至20世紀(jì)60年代中期逐步發(fā)展成為一門學(xué)科?!?963年梅爾和赫奇斯的《企業(yè)的風(fēng)險管理》、1964年威廉姆斯和漢斯的《風(fēng)險管理與保險》出版,標(biāo)志著風(fēng)險管理理論正式登上了歷史的舞臺?!保?]風(fēng)險管理理論經(jīng)歷了從傳統(tǒng)風(fēng)險管理理論到金融風(fēng)險管理理論再到全面風(fēng)險管理理論的不同時期。傳統(tǒng)風(fēng)險管理理論主要對風(fēng)險管理的對象進(jìn)行界定和區(qū)分,將純粹意義上的風(fēng)險作為研究對象,也就是將不利風(fēng)險納入企業(yè)風(fēng)險管理的重要范疇。企業(yè)風(fēng)險管理的主要任務(wù)是減少不利風(fēng)險的發(fā)生,降低不利風(fēng)險對企業(yè)的可能損害。管理的基本手段是采用保險的方式轉(zhuǎn)移和減少風(fēng)險所帶來的損失。20世紀(jì)60年代末至70年代初,一些學(xué)者對市政管理中的風(fēng)險問題進(jìn)行研究。托德(Todd,1969)和沃恩(Vaughan,1971)通過對美國九個州市政管理現(xiàn)狀的調(diào)查研究,提出市政官員應(yīng)加強市政風(fēng)險管理的主張。風(fēng)險管理理論逐步與管理學(xué)、經(jīng)濟學(xué)等學(xué)科融合與發(fā)展,風(fēng)險管理研究對象逐步拓展,不再局限于傳統(tǒng)風(fēng)險管理理論對純粹風(fēng)險的管控,金融風(fēng)險管理興起。金融風(fēng)險管理不僅是為了克服純粹風(fēng)險,更不是僅僅利用保險的方式轉(zhuǎn)移風(fēng)險,而是注重保險的收益功能。金融風(fēng)險管理標(biāo)志著風(fēng)險管理理論向縱深度發(fā)展。20世紀(jì)80年代,接踵而至的金融危機推動了風(fēng)險管理理論的蓬勃發(fā)展,迫使金融界進(jìn)一步思考風(fēng)險管理問題,全面風(fēng)險管理時代來臨。全面風(fēng)險管理主張從系統(tǒng)的角度對所有風(fēng)險集合整體上加以管理和控制。全面風(fēng)險管理理論已經(jīng)成為企業(yè)決策和金融業(yè)決策的重要指導(dǎo),作為一種系統(tǒng)和科學(xué)的管理模式被廣泛應(yīng)用。
(二)風(fēng)險社會研究的興起與發(fā)展
20世紀(jì)以來,特別是20世紀(jì)后半期,人類社會在經(jīng)濟領(lǐng)域、社會領(lǐng)域取得非凡成就,但也潛藏著各種危機,生態(tài)環(huán)境急劇惡化,經(jīng)濟危機和金融風(fēng)險頻繁發(fā)生,社會貧富分化現(xiàn)象日趨嚴(yán)峻;與此同時,化學(xué)污染、核威脅、各種電磁輻射、轉(zhuǎn)基因產(chǎn)品危害等現(xiàn)代性的負(fù)效應(yīng)正威脅人類,使社會面臨嚴(yán)重風(fēng)險。出于對工業(yè)社會和現(xiàn)代性的反思,1986年德國學(xué)者烏爾里希•貝克(UlrichBeck)在其德文版著作《風(fēng)險社會》中,首次提出“風(fēng)險社會”的概念。但是在當(dāng)時風(fēng)險社會理論并未引起過多關(guān)注,直至1992年其英文版著作《風(fēng)險社會》出版,風(fēng)險社會理念才備受矚目。伴隨著對風(fēng)險社會形成原因的不斷追問,貝克進(jìn)一步指出工業(yè)社會所面臨的風(fēng)險與以往社會所面臨的風(fēng)險存在區(qū)別,如果將人類社會早期所發(fā)生的自然災(zāi)害、社會危機歸結(jié)為自然規(guī)律所導(dǎo)致的,那么工業(yè)社會發(fā)生的危機則與人類社會的重大決策緊密相關(guān)。貝克認(rèn)為:“工業(yè)化以前人類社會所遭遇的各種自然災(zāi)害與工業(yè)化以后人類社會所面臨的各種風(fēng)險大不一樣?!保?]安東尼•吉登斯則從人類社會歷史發(fā)展的角度,對社會發(fā)展的現(xiàn)代性、社會發(fā)展的全球化趨勢與社會風(fēng)險關(guān)系進(jìn)行探討,提出全球風(fēng)險社會理論。吉登斯認(rèn)為,人類社會面臨的風(fēng)險,如果是來自自然界的外在風(fēng)險,那么是自然風(fēng)險;如果是由人類社會內(nèi)部對自然的改造和控制等“人力制造出來的風(fēng)險”,那么是“人造風(fēng)險”。人造風(fēng)險與人類工業(yè)化發(fā)展、對社會現(xiàn)代性的追求相伴生。吉登斯對風(fēng)險社會的研究系統(tǒng)而深入,對由現(xiàn)代性引發(fā)的社會風(fēng)險類型進(jìn)行了闡釋,認(rèn)為現(xiàn)代性蘊含著經(jīng)濟增長、生態(tài)環(huán)境破壞、極權(quán)主義、軍事沖突、核危機等社會風(fēng)險。從風(fēng)險管理理論和風(fēng)險社會研究可以看出,風(fēng)險并不必然伴隨科技發(fā)展和社會進(jìn)步而消失或減少;相反,可能由于人類的某種選擇和決策的失誤而被強化。因此,從全球的視野來分析社會風(fēng)險,反思人類社會的管理與決策,加強決策與管理的科學(xué)性,有助于探尋社會風(fēng)險的化解方法。
二、歐美重大事件風(fēng)險管理的實踐經(jīng)驗
近年來,歐美發(fā)達(dá)國家的社會發(fā)展水平逐步提高,社會發(fā)展能力被彰顯出來。與此同時,社會面臨的風(fēng)險與不確定因素也越來越多,風(fēng)險轉(zhuǎn)化成危害,嚴(yán)重威脅著社會穩(wěn)定與持續(xù)發(fā)展。為此,歐美等發(fā)達(dá)國家和地區(qū)積極強化風(fēng)險社會管理手段與方法。其依靠重大事件的科學(xué)決策有效化解風(fēng)險、促進(jìn)社會穩(wěn)定的經(jīng)驗,值得中國借鑒。
(一)美國環(huán)境風(fēng)險管理制度
美國一直以來重視環(huán)境保護(hù),20世紀(jì)80年代以來,更是將環(huán)境管理問題上升到與國家安全、國家利益、社會穩(wěn)定同等重要的高度。美國政府十分重視環(huán)境管理,對于環(huán)境管理中存在的風(fēng)險進(jìn)行有效控制。美國對于環(huán)境管理及風(fēng)險防控的基本做法主要體現(xiàn)在:一是高度重視環(huán)境保護(hù)問題,將其確定為與國家安全、國家利益緊密相關(guān)的重大事件。1977年,美國學(xué)者萊斯特•布朗(LesterBrown)在其研究報告《重新定義國家的安全》中,首次提出將環(huán)境問題與國家安全問題緊密相連。布朗的觀點引起廣泛關(guān)注,關(guān)于環(huán)境安全的研究逐步增多。1987年里根政府的《國家安全報告》明確指出,自然資源的損耗與污染成為國家繁榮和國家安全的潛在威脅與風(fēng)險,環(huán)境安全、環(huán)境管理被列入涉及國家安全、國家利益的重要領(lǐng)域,成為政府決策管理的重要范疇。二是進(jìn)行深入系統(tǒng)的環(huán)境風(fēng)險評價科學(xué)研究,為環(huán)境決策提供理論基礎(chǔ)和技術(shù)路線。美國是較早開展環(huán)境風(fēng)險評價研究的國家,20世紀(jì)70年代至80年代初,環(huán)境風(fēng)險評價開始萌芽,但關(guān)于風(fēng)險評價的內(nèi)涵尚不清晰。20世紀(jì)80年代以來,風(fēng)險評價的框架基本形成。美國國家科學(xué)院提出環(huán)境風(fēng)險評價包含危害鑒別、劑量—效應(yīng)關(guān)系評價、暴露評價和風(fēng)險表征四個階段[3]。20世紀(jì)80年代后期,環(huán)境風(fēng)險評價運用于決策的相關(guān)研究逐步增加,特別是比較風(fēng)險評價理論的提出與發(fā)展,大大推動了美國環(huán)境決策發(fā)展。艾扎斯(Ijjasz)和特雷耶(Tlayie)認(rèn)為,“在宏觀上,比較風(fēng)險評價是在掌握大量正確數(shù)據(jù)的基礎(chǔ)上對決策中的風(fēng)險進(jìn)行排序比較,并以風(fēng)險的大小作為決策方案的選擇依據(jù),從而形成一個包含有科學(xué)家、決策者與利益相關(guān)者的開放、公平的相互交流的環(huán)境?!保?]三是建立生態(tài)風(fēng)險評價的政策依據(jù),為風(fēng)險評價提供行動指南?!?998年美國國家環(huán)保局正式頒布了《生態(tài)風(fēng)險評價指南》,提出生態(tài)評價三步法:問題形成、分析和風(fēng)險表征,同時要求在正式的科學(xué)評價之前,首先制定一個總體規(guī)劃,以明確評價目的?!保?]這也是世界上最早的生態(tài)風(fēng)險評價方面的指導(dǎo)文件。美國國家環(huán)境保護(hù)局將比較風(fēng)險評價應(yīng)用于環(huán)境決策,確定了將當(dāng)前環(huán)境決策未解決的問題具體化、在對數(shù)據(jù)分析的基礎(chǔ)上提出新的決策方案、決策者依據(jù)環(huán)境因素與潛在風(fēng)險等因素對方案進(jìn)行評估、方案選擇決策確定、校驗決策等基本環(huán)節(jié)。四是建立完備的風(fēng)險管理與環(huán)境應(yīng)急機制。對于環(huán)境存在的風(fēng)險及可能發(fā)生的突發(fā)事件,美國建立比較完善的環(huán)境風(fēng)險管理與應(yīng)急機制。環(huán)境風(fēng)險管理與應(yīng)急機制主要包括環(huán)境風(fēng)險的宣傳與教育機制、風(fēng)險預(yù)測預(yù)警機制、風(fēng)險管理機制,針對潛在的環(huán)境風(fēng)險進(jìn)行識別、宣傳與防范,為降低風(fēng)險和科學(xué)決策提供保障。
(二)歐盟食品風(fēng)險評估制度
自20世紀(jì)60年代開始,為確保食品安全,促進(jìn)食品在成員國自由流通,歐盟就制定了食品安全政策。目前歐盟已建立相對完備的食品安全風(fēng)險評估制度體系,能夠有效防控食品安全危機。一是構(gòu)建食品安全風(fēng)險評估的法律框架,為風(fēng)險評估工作提供法律依據(jù)。歐盟委員會分別于1997年和2000年《食品安全綠皮書》、《食品安全白皮書》,明確了食品安全管理的總體思路,特別是提出了食品安全風(fēng)險評估的重要性,提出成立歐盟食品安監(jiān)局作為食品安全風(fēng)險評估的實施機構(gòu),初步奠定了開展食品安全風(fēng)險評估的制度基礎(chǔ)。2002年頒布了EC178/2002條例,明確提出食品安全法應(yīng)建立在風(fēng)險評估的基礎(chǔ)上,明確提出成立食品安全局(EFSA)進(jìn)行食品安全風(fēng)險評估的相關(guān)工作。二是建立食品安全的快速預(yù)警系統(tǒng)。歐盟在食品安全法的框架下,建立了食品與飲料快速預(yù)警系統(tǒng)(RASFF)[6]。根據(jù)危急程度不同,預(yù)警系統(tǒng)分為預(yù)警通報和信息通報兩大類。當(dāng)食品安全出現(xiàn)問題,可能危及人類健康時,成員國可以借助預(yù)警系統(tǒng)互通消息,從而減少風(fēng)險。三是成立專門的食品安全風(fēng)險評估組織機構(gòu),以保證評估工作的科學(xué)性與獨立性。歐盟食品安全局作為食品安全風(fēng)險評估和風(fēng)險交流的專門機構(gòu),開展相對獨立、科學(xué)、公開、透明的風(fēng)險評估工作。食品安全局組織機構(gòu)完備,下設(shè)管理委員會、執(zhí)行主任和成員、咨詢論壇、科學(xué)委員會和科學(xué)小組[7]。管理委員會主要負(fù)責(zé)下年度工作計劃和上年度工作總結(jié)報告等職責(zé)。執(zhí)行主任公開招聘產(chǎn)生,主要負(fù)責(zé)日常管理工作。咨詢論壇協(xié)助執(zhí)行主任開展工作,負(fù)責(zé)與各成員國主管機構(gòu)合作,加強信息交流,充分了解和把握潛在的風(fēng)險??茖W(xué)委員會和科學(xué)小組負(fù)責(zé)為決策提供科學(xué)建議??茖W(xué)小組由食品安全領(lǐng)域?qū)<医M成,可以組織聽證會,加強與公眾交流,搜集公眾意見。科學(xué)委員會則由各小組的主席以及來自科學(xué)小組以外的六名專家組成,開展全面協(xié)調(diào)工作,確??茖W(xué)建議的準(zhǔn)確性與一致性。歐盟食品安全局自動發(fā)起或者是應(yīng)歐盟委員會或其成員國的科學(xué)建議請求,必須在規(guī)定期限內(nèi)為歐盟成員國和歐盟委員會提供科學(xué)技術(shù)支持,盡可能地搜集決策相關(guān)信息,在對其進(jìn)行風(fēng)險評估的基礎(chǔ)上,將評估結(jié)果、風(fēng)險信息等因素一并提供給歐盟委員會及其成員國。
(三)英國國家安全風(fēng)險評估與城市風(fēng)險評估體系
英國建立了相對完善的國家安全風(fēng)險評估和城市安全風(fēng)險評估機制,能夠?qū)覍用婧统鞘兄锌赡馨l(fā)生的危害國家和社會安全的風(fēng)險進(jìn)行有效的防范與控制。英國建立了完備的國家安全風(fēng)險評估與預(yù)測機制,建構(gòu)了《國家安全風(fēng)險評估》、《國家安全任務(wù)與指導(dǎo)方針》等風(fēng)險評估與風(fēng)險應(yīng)對的防范政策體系。國家安全委員會在廣泛了解和分析潛在的國家安全風(fēng)險的基礎(chǔ)上,根據(jù)相關(guān)的可能性及其影響,促進(jìn)和協(xié)助政府聯(lián)合其他部門共同面對和化解風(fēng)險。以英國倫敦為例,其“一案三制”意義上的城市風(fēng)險管理機制十分完備,堪稱城市風(fēng)險管理的典范,可以為區(qū)域內(nèi)重大事件決策的風(fēng)險防范提供參考。通常情況下,風(fēng)險管理分為風(fēng)險評估與防范、風(fēng)險控制、風(fēng)險處置與恢復(fù)等環(huán)節(jié)。在倫敦的城市風(fēng)險管理中,風(fēng)險評估程序非常完善。倫敦城市風(fēng)險評估的基本經(jīng)驗主要體現(xiàn)在以下三個方面:一是依法確立風(fēng)險評估主體。英國2005年4月正式實施的《國內(nèi)應(yīng)急法》明確規(guī)定各級政府是風(fēng)險評估的責(zé)任主體,在風(fēng)險評估與應(yīng)急規(guī)劃中擔(dān)負(fù)重要責(zé)任。二是建立風(fēng)險評估的協(xié)調(diào)機構(gòu)。美國“9•11”恐怖襲擊事件發(fā)生以后,倫敦出于對危機事件有效防范的考量,著手建立跨區(qū)域、跨部門的風(fēng)險評估協(xié)調(diào)機構(gòu)。倫敦區(qū)域應(yīng)急論壇下設(shè)倫敦應(yīng)急團隊,每個論壇的主要職責(zé)是對區(qū)域內(nèi)的風(fēng)險進(jìn)行識別與評估,使倫敦能有效應(yīng)對危機事件。三是完善風(fēng)險評估的基本流程系統(tǒng)。倫敦的城市風(fēng)險評估工作流程主要分為“選擇風(fēng)險事項、挑選評估者、風(fēng)險分析、風(fēng)險評價、風(fēng)險應(yīng)對、監(jiān)控與審查等六大步驟”[8]。選擇風(fēng)險事項階段,主要由風(fēng)險評估工作組和各應(yīng)急論壇的組成部門協(xié)同合作,確定風(fēng)險事項,識別重要的利益相關(guān)者,結(jié)合區(qū)域環(huán)境因素確定風(fēng)險評估的原則與標(biāo)準(zhǔn)。挑選評估者階段,主要是確定風(fēng)險評估者及地方應(yīng)急論壇相關(guān)人員在工作中的分工與職責(zé),確定主任評審員的人選,為后續(xù)工作奠定組織基礎(chǔ)。風(fēng)險評價階段,主要由主任評審員負(fù)責(zé),對未來五年內(nèi)可能發(fā)生的風(fēng)險進(jìn)行分析與建議。風(fēng)險分析階段,主要是由主任評審員對風(fēng)險進(jìn)行預(yù)測、分析,并提出相對詳盡的風(fēng)險分析報告。風(fēng)險應(yīng)對、監(jiān)督與評審已經(jīng)成為制度化、穩(wěn)定化的工作,地方應(yīng)急論壇每四年就要對所有風(fēng)險提出正式的評審報告。
三、國外經(jīng)驗對我國重大決策社會穩(wěn)定風(fēng)險評估的啟示
國外關(guān)于風(fēng)險研究的理論與重大事件風(fēng)險管理的實踐都取得了長足進(jìn)展,而我國重大事件社會穩(wěn)定風(fēng)險評估工作尚處于起步階段,還存在諸多需要完善之處。汲取歐美發(fā)達(dá)國家重大事件風(fēng)險管理的有益經(jīng)驗,建立健全我國重大決策社會穩(wěn)定風(fēng)險評估機制。
(一)加強重大決策社會穩(wěn)定風(fēng)險評估的理論研究
中國重大決策社會穩(wěn)定風(fēng)險評估工作已經(jīng)進(jìn)入實踐階段,實踐中形成了四川“遂寧模式”和江蘇的“淮安模式”,但是中國關(guān)于重大決策社會穩(wěn)定風(fēng)險評估的理論研究還十分匱乏。分析美國環(huán)境風(fēng)險管理的成功經(jīng)驗,美國國家科學(xué)院等環(huán)境保護(hù)的科研機構(gòu)及專家學(xué)者關(guān)于環(huán)境風(fēng)險的相關(guān)理論研究為政府決策提供了有效的理論依據(jù)和方法指引,對保障決策科學(xué)性和化解決策風(fēng)險起到重要作用。中國學(xué)者關(guān)于風(fēng)險社會理論的研究集中于風(fēng)險社會意識形成和風(fēng)險社會危害等研究領(lǐng)域。這些研究雖然奠定了重大決策社會穩(wěn)定風(fēng)險分析的理論基礎(chǔ),能夠為風(fēng)險評估提供理論支撐,但是結(jié)合中國社會轉(zhuǎn)型期社會穩(wěn)定風(fēng)險的分析不夠深入,對于重大決策可能引起的風(fēng)險認(rèn)識還不夠清晰。中國對于重大決策社會穩(wěn)定風(fēng)險評估價值的探討較多,但是對于如何推進(jìn)實踐的可操作性研究明顯不足。風(fēng)險評估作為一種技術(shù)已經(jīng)在國內(nèi)外政治社會生活中廣泛應(yīng)用,在國家、部門,特別是企業(yè)管理中廣泛應(yīng)用,但是目前中國在重大決策中應(yīng)用較少,學(xué)者提供了風(fēng)險評估的框架體系,但是缺少細(xì)節(jié)設(shè)計,還有待于對重大決策風(fēng)險評估的技術(shù)方法和實踐機制等領(lǐng)域進(jìn)行深入系統(tǒng)的理論研究。
(二)增強重大決策社會穩(wěn)定風(fēng)險評估意識
目前,從中國相關(guān)政府部門到社會公眾,整體上風(fēng)險意識淡薄,對于風(fēng)險管理認(rèn)識不深入、不夠重視,特別是對于重大事件決策與社會穩(wěn)定風(fēng)險之間的相關(guān)性認(rèn)識不清,缺乏管控風(fēng)險的意識。因此,強化對重大決策社會穩(wěn)定風(fēng)險評估的意識,為各級政府決策提供軟環(huán)境。發(fā)達(dá)國家的風(fēng)險意識十分強烈,美國20世紀(jì)80年代就將環(huán)境保護(hù)問題上升到與國家安全、國家利益息息相關(guān)的重大事件進(jìn)行管理,對重大事件風(fēng)險評估與決策十分重視。英國對于國家未來可能發(fā)生的重大風(fēng)險進(jìn)行識別與防控,也是緣于其高度的風(fēng)險意識。
(三)完善重大決策社會穩(wěn)定風(fēng)險評估的法律制度
歐盟在食品安全管理中,有關(guān)食品風(fēng)險評估的法律制度提前建立起來,為食品風(fēng)險評估提供法律保障。英國國家安全以及城市風(fēng)險管理的相關(guān)法律制度較早地完備起來,為風(fēng)險評估工作奠定了制度基礎(chǔ),使風(fēng)險評估可以按照法律和制度要求系統(tǒng)化、經(jīng)?;?、穩(wěn)定化地開展。中國對于重大決策風(fēng)險評估的法律依據(jù)尚不充分,所以需要建立健全重大決策風(fēng)險評估的相關(guān)法律政策,為開展重大決策風(fēng)險評估提供政策依據(jù),保障風(fēng)險評估工作有序進(jìn)行。
(四)建立健全重大決策社會穩(wěn)定風(fēng)險評估的管理機制
【關(guān)鍵詞】 雷電災(zāi)害 風(fēng)險評估 標(biāo)準(zhǔn) 防雷
1 引言
從標(biāo)準(zhǔn)角度看,目前國內(nèi)外有多個關(guān)于雷電災(zāi)害風(fēng)險評估的標(biāo)準(zhǔn),本文主要就雷電災(zāi)害風(fēng)險評估的各種標(biāo)準(zhǔn)進(jìn)行對比,并分析其優(yōu)缺點。
2 雷電災(zāi)害風(fēng)險評估的標(biāo)準(zhǔn)介紹
我國各個省市所應(yīng)用風(fēng)險評估的方法和規(guī)范并不相同,例如江蘇省評估工作基于IEC62305和GB21714,重慶、西安則基于QX/T85-2007,但總體來說,有關(guān)雷電災(zāi)害風(fēng)險評估的標(biāo)準(zhǔn)主要有以下幾種:(1)《氣象信息系統(tǒng)雷擊電磁脈沖防護(hù)規(guī)范》(QX3-2000),適用范圍是由雷擊電磁脈沖(LEMP)對氣象信息系統(tǒng)造成損失的風(fēng)險的評估,所用的方法基于早期國外防雷標(biāo)準(zhǔn)中的因子分析法,評估的重點是確定年平均直擊雷次數(shù)和年平均允許雷擊次數(shù);(2)《通信局站雷電損壞危險的評估》(ITU-T K.39),適用于通信局站雷電過電壓(過電流)造成的設(shè)備危害和人員安全危害的風(fēng)險的評估;(3)《建筑物電子信息體統(tǒng)防雷技術(shù)規(guī)范》(GB 50343―2004),按建筑物電子信息系統(tǒng)所處環(huán)境進(jìn)行雷電災(zāi)害風(fēng)險評估,確定雷電防護(hù)等級;(4)《雷擊損害風(fēng)險評估》(IEC6166),主要闡述了建筑物與服務(wù)設(shè)施的分類、雷災(zāi)風(fēng)險、防護(hù)措施的選擇過程以及建筑物與服務(wù)設(shè)施防護(hù)的基本標(biāo)準(zhǔn)等問題;(5)《雷電防護(hù)》(IEC 62305),共分5個部分,IEC 62305-1清楚地說明了在防雷電保護(hù)結(jié)構(gòu)中遵循的一般原則;IEC 62305-2表述了保護(hù)的需要、安裝保護(hù)措施的經(jīng)濟利益和適當(dāng)?shù)谋Wo(hù)措施的選擇程序,以及風(fēng)險管理的方法;IEC 62305-3涉及減少對建筑物的物理損害和威脅生命安全的方法;IEC 62305-4闡述了減少建筑物內(nèi)電器和電子系統(tǒng)故障的方法;IEC 62305-5涉及減少與建筑物有關(guān)的服務(wù)(主要是電力和電信)的物理損害和出現(xiàn)故障的方法;(6)《雷電災(zāi)害風(fēng)險評估技術(shù)規(guī)范》(QX/T85―2007),此規(guī)范將雷電災(zāi)害風(fēng)險評估分為預(yù)評估、方案評估與現(xiàn)狀評估,主要包括大氣雷電環(huán)境評價、雷擊損害風(fēng)險評估、雷電災(zāi)害易損性評估、雷電災(zāi)害環(huán)境影響評價等內(nèi)容。
3 雷電災(zāi)害風(fēng)險評估方法
目前,雷電災(zāi)害風(fēng)險評估的方法大致有兩種,一種是定性評估,一種是定量評估。GB50057-2010中規(guī)定建筑物應(yīng)根據(jù)其重要性、使用性、發(fā)生雷電事故的可能性和后果,按防雷要求分為三類,這屬于定性評估。而IEC62305-2以及由此衍生出的GB/T21714、 QX/T85-2007則通過對損失量的影響因子的選擇,然后進(jìn)行計算,得出雷擊風(fēng)險的各種損失的數(shù)值,這屬于定量評估。
綜合來看,我國的雷電災(zāi)害風(fēng)險評估采用了定性與定量相結(jié)的方法,有的地方用定性,有的地方用定量,還沒有統(tǒng)一。在該方法的基礎(chǔ)上,結(jié)合中國國情,在個別參數(shù)的選取上細(xì)化或有少許變動。
4 雷電災(zāi)害風(fēng)險評估標(biāo)準(zhǔn)的分析
4.1 評估標(biāo)準(zhǔn)的局限性
任何方法都是有其適用的范圍的,同樣,評估中經(jīng)常用到的標(biāo)準(zhǔn)也是有其適用范圍的,下面對常用的雷電災(zāi)害風(fēng)險評估標(biāo)準(zhǔn)的范圍進(jìn)行簡單的分析:
IEC62305-1適用于建筑物包括其中的裝備和設(shè)備,也包括人身以及進(jìn)入建筑物的公共設(shè)施。不適用于鐵路設(shè)施,車輛、船只、飛行器、海岸設(shè)施以及地下高壓管道。
IEC62305-2適用于由雷擊導(dǎo)致的建筑物內(nèi)或公共設(shè)施內(nèi)的風(fēng)險評估。
GB/T21714.2適用于建筑物和服務(wù)設(shè)施的雷擊風(fēng)險評估。
QX/T85-2007適用于新建、改建、擴建項目的雷電災(zāi)害風(fēng)險評估。
以上三個規(guī)范,均不適用于鐵路設(shè)施,車輛、船只、飛行器、海岸設(shè)施以及地下高壓管道。因此,當(dāng)評估對象出現(xiàn)特殊化時,雷擊風(fēng)險評估需要加入新的技術(shù)標(biāo)準(zhǔn)。
4.2 評估標(biāo)準(zhǔn)的比較
4.2.1 評估標(biāo)準(zhǔn)的相似性
(1)各評估標(biāo)準(zhǔn)都把重點放在雷電災(zāi)害損害次數(shù)這個參數(shù)上,而決定損害次數(shù)的子參數(shù)的選取大多以經(jīng)驗為主。
(2)各評估標(biāo)準(zhǔn)都需要計算出實際損害次數(shù)(實際風(fēng)險)和允許損害次數(shù)(允許風(fēng)險),然后給出風(fēng)險級別并提供適當(dāng)?shù)姆雷o(hù)措施。
(3)各評估標(biāo)準(zhǔn)在處理雷電災(zāi)害損失和雷電災(zāi)害風(fēng)險時,都使用相對值,且大部分參數(shù)都以表格等形式給出一定的典型值,取值不連續(xù)而且很難達(dá)到比較高的精度。
(4)各評估標(biāo)準(zhǔn)都要求精確得到評估對象(建筑物或服務(wù)設(shè)施)的雷擊有效面積,乘上當(dāng)?shù)氐睦讚裘芏榷嬎闫淇赡芾讚舸螖?shù),然后需要求得允許雷災(zāi)水平(可承受雷災(zāi)水平)。
4.2.2 評估標(biāo)準(zhǔn)的區(qū)別
雖然個標(biāo)準(zhǔn)之間有一定的相似性,但同時也存在著許多區(qū)別:(1)從評估結(jié)果考慮,通過對各個標(biāo)準(zhǔn)之間做比較,可以發(fā)現(xiàn)ITU-T k.39和IEC61662都是以公式R=N×P×δ基本計算公式,兩個標(biāo)準(zhǔn)都考慮了人身損失和財產(chǎn)損失等,都是通過計算防雷裝置的攔截效率E來最終確定評估對象的雷電防護(hù)必要性和防護(hù)等級(防護(hù)級別)。而IEC62305、GB/T21714.2和QX/T85-2007都是以公式Rx=Nx×Px×Lx基本公式,三個標(biāo)準(zhǔn)都考率了人身傷亡損失風(fēng)險、公眾服務(wù)損失風(fēng)險、文化遺產(chǎn)損失風(fēng)險及經(jīng)濟損失風(fēng)險,都是通過確定風(fēng)險分量并計算風(fēng)險分量值,將其分量值與其分量最大允許值相比較最終確定該建筑物是否在風(fēng)險允許范圍內(nèi)
(2)IEC61662、IEC62305標(biāo)準(zhǔn)包括尤其衍生出來的GB/T21714.2和QX/T85-2007是最復(fù)雜、準(zhǔn)確度及可信度最高的,也是我國目前氣象行業(yè)開展雷擊災(zāi)害風(fēng)險評估的主要技術(shù)規(guī)范,綜合了建筑物所在區(qū)域預(yù)計年遭受雷擊次數(shù)N、在建筑物區(qū)域內(nèi)遭受到雷擊后可能發(fā)生雷電災(zāi)害損失的概率P及建筑物在遭受雷擊后可能發(fā)生的后果及損失程度L三個因素,而每個因素的計算都是通過一系列的相關(guān)限制因子來確定的。但是GB/T21714.2里面的分量、因子、概率、損失率等數(shù)據(jù)是德國人根據(jù)歐洲的雷電特性、雷電環(huán)境、年平均雷暴日、土壤電阻率等統(tǒng)計、計算出的,適合歐洲情況。而中國在雷電特性、雷電環(huán)境、年平均雷暴日、土壤電阻率等各方面是截然不同的。因此,還需要將GB/T21714.2的分量、因子、概率、損失率等統(tǒng)計、計算出適合中國國情的數(shù)據(jù)(3)QX3-2000與GB50343―2004標(biāo)準(zhǔn)的評估重點是確定年平均允許雷擊次數(shù)Nc,但其所采用的公式不同,QX3-2000計算Nc的公式為Nc=5.8*10-3/C或Nc=5.8*10-4/C,其中C=C1+C2+C3+C4+C5,因此其評估精度主要取決于建筑材料因子、信息系統(tǒng)重要程度因子、設(shè)備耐沖擊類型因子、設(shè)備的LPZ因子和雷擊后果因子。而GB50343―2004計算Nc的公式為Nc=5.8*10-1.5/C,其中C=C1+C2+C3+C4+C5+C6,C1~C5同QX3-2000中規(guī)定的,C6為區(qū)域雷暴等級因子。兩種標(biāo)準(zhǔn)雖然計算公式類似,但所用的指數(shù)不同,同時GB50343―2004也比QX3-2000多了一個因子(4)QX3-2000和GB50343―2004與IEC61662標(biāo)準(zhǔn)在計算雷擊大地的平局密度Ng的計算公式上也是不同的,QX3-2000和GB50343―2004計算Ng的公式為Ng=0.024Td1.3,而IEC61662中為Ng=0.04Td1.25(5)ITU-Tk.39標(biāo)準(zhǔn)的評估重點是確定雷電損害次數(shù)F,F(xiàn)=Fd +Fn +Fs+Fa,其中Fd=Ng*Ad*Pd,F(xiàn)n=Ng*An*Pn,F(xiàn)s =Ng*As*Ps,F(xiàn)a=Ng*Aa*Pa,一般情況下以Fs為主;而面積Ad,An,As和Aa,在評估時要注意各類面積可能重疊,概率因子P的確定方法基本上來自于經(jīng)驗,其大小與設(shè)備自身性質(zhì)和特定的保護(hù)措施有關(guān)。
由以上分析可以看出,這些常用雷電災(zāi)害風(fēng)險評估標(biāo)準(zhǔn)中包含了三個評估評估重點,即確定雷擊風(fēng)險R,確定年平均雷擊次數(shù)Nc以及確定雷電損害次數(shù)F,并且各標(biāo)準(zhǔn)所采用的公式及所需因子等也不盡相同,采用的方法也不相同,但各有其優(yōu)缺點,應(yīng)當(dāng)根據(jù)評估對象的特點進(jìn)行選取。
5 結(jié)語
通過對雷電災(zāi)害風(fēng)險評估常用標(biāo)準(zhǔn)的分析,各標(biāo)準(zhǔn)都對雷擊損害風(fēng)險評估的方法、流程及各因子的選取等方面進(jìn)行了詳細(xì)的介紹,但是對大氣雷電環(huán)境的評價都是簡單介紹,而進(jìn)行大氣雷電環(huán)境評價的基礎(chǔ)是擁有數(shù)量足夠、信息可靠的閃電資料,對目標(biāo)地點周邊一定距離內(nèi)雷電環(huán)境分析,區(qū)別于以往一貫的基于雷暴日進(jìn)行大氣雷電環(huán)境分析的粗略計算;即使是同一地區(qū)相距較近的兩地,也有可能得到不同的雷電環(huán)境分析結(jié)論。
參考文獻(xiàn):
[1]QX3-2000氣象信息系統(tǒng)雷擊電磁脈沖防護(hù)規(guī)范.
[2]ITU-T K.39《通信局站雷電損壞危險的評估》.
[3]GB 50343―2004《建筑物電子信息體統(tǒng)防雷技術(shù)規(guī)范》.
[4]IEC6166《雷擊損害風(fēng)險評估》.
[5]IEC 62305《雷電防護(hù)》.
[6]QX/T85―2007《雷電災(zāi)害風(fēng)險評估技術(shù)規(guī)范》.
[7]GB/T21714.2-2008《雷電防護(hù) 第2部分 風(fēng)險管理》.
[8]鐘萬強,肖穩(wěn)安.建筑物雷電災(zāi)害風(fēng)險評估的標(biāo)準(zhǔn)、體系和方法,http://qxbzjk.cma,/servlet/News?Node=15611.
一、傳統(tǒng)風(fēng)險導(dǎo)向?qū)徲嬆P?/p>
傳統(tǒng)風(fēng)險導(dǎo)向?qū)徲嬕卜Q為控制風(fēng)險導(dǎo)向?qū)徲嫞侵笇徲嬋藛T在審計過程中將風(fēng)險分析、評價與控制融入傳統(tǒng)審計方法之中,進(jìn)而獲取審計證據(jù),形成審計結(jié)論的一種審計取證模式。
模型(審計風(fēng)險=固有風(fēng)險×控制風(fēng)險×檢查風(fēng)險)可以解決交易類別、賬戶余額、披露和其他具體認(rèn)定層次的錯報,發(fā)現(xiàn)經(jīng)濟交易和事項本身的性質(zhì)和復(fù)雜程度發(fā)生的錯報,發(fā)現(xiàn)企業(yè)管理當(dāng)局由于本身的認(rèn)知和技術(shù)水平造成的錯報,以及企業(yè)管理當(dāng)局局部和個別人員舞弊和造假造成的錯報,從而將審計風(fēng)險控制在比較滿意的水平。
二、現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嬆P?/p>
風(fēng)險導(dǎo)向?qū)徲嬕卜Q為經(jīng)營風(fēng)險導(dǎo)向?qū)徲?,是指以被審計單位的?zhàn)略經(jīng)營風(fēng)險為導(dǎo)向,通過“戰(zhàn)略分析――流程分析――經(jīng)營業(yè)績評價――財務(wù)報表剩余風(fēng)險分析”的基本思路,將會計報表重大錯報風(fēng)險和經(jīng)營風(fēng)險聯(lián)系起來,從而提出了審計師從源頭分析和發(fā)現(xiàn)會計報表錯報的觀念。
2003年10月國際審計和保證準(zhǔn)則委員會(IAASB)了國際審計準(zhǔn)則第315號(ISA315): “了解被審計單位及其環(huán)境并評估重大錯報風(fēng)險”,將傳統(tǒng)風(fēng)險導(dǎo)向?qū)徲嬒碌膶徲嬶L(fēng)險模型修改為:審計風(fēng)險=重大錯報風(fēng)險×檢查風(fēng)險,明確規(guī)定了審計工作以評估財務(wù)報表重大錯報風(fēng)險作為新的起點和導(dǎo)向。
三、兩個模型的比較
傳統(tǒng)風(fēng)險導(dǎo)向?qū)徲嬆J脚c現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嬆J降谋举|(zhì)區(qū)別在于審計理念和審計技術(shù)方法的不同,后者是對前者的改進(jìn),其主要區(qū)別如下:
(一)審計起點不同。傳統(tǒng)風(fēng)險導(dǎo)向?qū)徲嫹椒ㄍㄟ^綜合評估固有風(fēng)險和控制風(fēng)險以確定實質(zhì)性測試的范圍、時間和程序,由于固有風(fēng)險難以評估,審計的起點往往為企業(yè)的內(nèi)部控制。
現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嫹椒ㄍㄟ^綜合評估經(jīng)營控制風(fēng)險以確定實質(zhì)性測試的范圍、時間和程序,其審計起點為企業(yè)的戰(zhàn)略系統(tǒng)及其業(yè)務(wù)流程。假如企業(yè)的業(yè)務(wù)流程不重要或風(fēng)險控制很有效,則將實質(zhì)性測試集中在例外事項上。這種新模式的優(yōu)點是將審計的重心前移到風(fēng)險評估,這將有利于充分識別和評估會計報表重大錯報的風(fēng)險,因此主要針對風(fēng)險設(shè)計、實施控制測試和實質(zhì)性測試程序。此外,注冊會計師輕易全面把握企業(yè)可能存在的重大風(fēng)險,有利于節(jié)省審計成本,克服因缺乏全面性觀點而導(dǎo)致的審計風(fēng)險。
(二)風(fēng)險評估識別以分析性復(fù)核程序為中心。現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嬜⒅剡\用分析性復(fù)核程序,以識別可能存在的重大錯報風(fēng)險;而傳統(tǒng)風(fēng)險導(dǎo)向?qū)徲媽τ谛畔⒌脑偌庸こ潭炔桓?,分析性程序主要用在報表分析上。分析性?fù)核程序已成為現(xiàn)代風(fēng)險審計方法最重要的程序,為適應(yīng)分析性程序功能擴大的要求,分析性程序開始走向多樣化:在數(shù)據(jù)分析上,不但對財務(wù)數(shù)據(jù)進(jìn)行分析,也要對非財務(wù)數(shù)據(jù)進(jìn)行分析;在分析工具上,借鑒現(xiàn)代治理方法,把戰(zhàn)略分析、績效分析、財務(wù)分析以及前景分析等分析工具運用到風(fēng)險評估之中,使風(fēng)險因素不再唯一,變一元風(fēng)險評估為多元風(fēng)險評估,使得出的風(fēng)險評估結(jié)果更加可靠。
(三)風(fēng)險評估方式由直接評估轉(zhuǎn)變?yōu)殚g接評估。傳統(tǒng)風(fēng)險導(dǎo)向?qū)徲嫷娘L(fēng)險評估是一種直接的方式,即直接評估重大錯報的概率。現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嬆J绞菑慕?jīng)營風(fēng)險評估入手,間接地對審計風(fēng)險進(jìn)行評估,因為經(jīng)營風(fēng)險越高,審計風(fēng)險也越大,也就是治理舞弊的可能性越大;并且從經(jīng)營風(fēng)險中能更有效地發(fā)現(xiàn)財務(wù)報表潛在的重大錯報,因為財務(wù)報表是經(jīng)營的反映,假如經(jīng)營風(fēng)險未能在報表中得到體現(xiàn),則財務(wù)報表很可能失真。此外,會計政策、會計估計的合理性評估也只有從經(jīng)營風(fēng)險入手,才能進(jìn)行正確的評估。
(四)審計程序?qū)嵤┚哂袀€性化。傳統(tǒng)風(fēng)險導(dǎo)向?qū)徲嬆J降膶徲嫵绦蚴菢?biāo)準(zhǔn)化形式,對不同的被審計單位都使用標(biāo)準(zhǔn)相同的審計程序,其缺陷是沒有充分貫徹風(fēng)險導(dǎo)向?qū)徲嬎枷?,使注冊會計師無法突破客戶預(yù)先設(shè)置或防范的措施,難以做出正確的審計結(jié)論。現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嫹椒ㄒ笞詴嫀煂⒃u估及識別的審計風(fēng)險與實施的審計程序相結(jié)合,針對不同客戶以及客戶不同的風(fēng)險領(lǐng)域?qū)嵤﹤€性化的審計程序。
(五)審計證據(jù)的內(nèi)涵擴大。在現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嫹绞较?,審計重心向風(fēng)險評估轉(zhuǎn)移,審計證據(jù)也由內(nèi)部向外部轉(zhuǎn)移。因此,注冊會計師必須充分了解企業(yè)整體經(jīng)營環(huán)境,由此評估客戶的經(jīng)營及審計風(fēng)險,同時必須從外部取得大量的外部證據(jù)來證實風(fēng)險評估的恰當(dāng)性。風(fēng)險導(dǎo)向?qū)徲嬆J较?,注冊會計師形成審計結(jié)論所依據(jù)的審計證據(jù)不僅包括實施控制測試和實質(zhì)性測試獲取的證據(jù),還包括了解企業(yè)及其環(huán)境獲取的證據(jù)。
(六)擴充了內(nèi)部控制要素。傳統(tǒng)風(fēng)險導(dǎo)向?qū)徲嫹椒ㄏ碌膬?nèi)部控制是指被審計單位為了保證業(yè)務(wù)活動的有效進(jìn)行,保護(hù)資產(chǎn)的安全和完整,發(fā)現(xiàn)、糾正錯誤與防止舞弊,保證會計資料的真實、合法、完整而制定和實施的政策與程序。內(nèi)部控制要素包括控制環(huán)境、會計系統(tǒng)和控制程序。現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嫹椒ㄏ碌膬?nèi)部控制是指被審計單位為了合理保證財務(wù)報告的可靠性、經(jīng)營的效率和效果以及對法律法規(guī)的遵循,由治理當(dāng)局和其他人員設(shè)計和執(zhí)行的政策和程序。內(nèi)部控制的三要素擴充為五要素,即控制環(huán)境、被審計單位的風(fēng)險評估過程、與財務(wù)報告相關(guān)的信息系統(tǒng)和溝通、控制活動和對控制的監(jiān)督。
(七)對注冊會計師的專業(yè)知識提出了更高要求?,F(xiàn)代風(fēng)險導(dǎo)向?qū)徲嬒聦徲嫿Y(jié)果主要依靠風(fēng)險評估,要求把握現(xiàn)代治理知識和行業(yè)知識(包括市場、研發(fā)、生產(chǎn)等方面),這對注冊會計師提出了更高的要求。注冊會計師應(yīng)該是復(fù)合型人才,不但要把握一般常用分析工具,還要接受現(xiàn)代治理知識和行業(yè)專業(yè)知識培訓(xùn)。