導(dǎo)語：如何才能寫好一篇風(fēng)險(xiǎn)識(shí)別與風(fēng)險(xiǎn)評估的區(qū)別，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：電子政務(wù)外網(wǎng)；等級保護(hù)測評；風(fēng)險(xiǎn)評估；風(fēng)險(xiǎn)評估模型

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2014）34-8337-02

1 等級保護(hù)背景下的電子政務(wù)外網(wǎng)風(fēng)險(xiǎn)評估

電子政務(wù)外網(wǎng)提供非的社會(huì)公共服務(wù)業(yè)務(wù)，全國從中央各部委、到省、市、縣，已經(jīng)形成了一張大龐大的網(wǎng)絡(luò)系統(tǒng)，有的地方甚至覆蓋到了鄉(xiāng)鎮(zhèn)、社區(qū)村委會(huì)，有效提高了政府從事行政管理和社會(huì)公共服務(wù)效率。今后凡屬社會(huì)管理和公共服務(wù)范疇及不需在國家電子政務(wù)內(nèi)網(wǎng)上部署的業(yè)務(wù)應(yīng)用，原則上應(yīng)納入國家政務(wù)外網(wǎng)運(yùn)行，它按照國家政務(wù)外網(wǎng)統(tǒng)一規(guī)劃，建立網(wǎng)絡(luò)安全防護(hù)體系、統(tǒng)一的網(wǎng)絡(luò)信任體系和信息安全等級保護(hù)措施。

隨著政務(wù)外網(wǎng)的網(wǎng)絡(luò)覆蓋的擴(kuò)大及接入的政務(wù)單位越來越多、政務(wù)外網(wǎng)應(yīng)用的不斷增加，各級政務(wù)移動(dòng)接入政務(wù)外網(wǎng)的需求也在增加，對政務(wù)外網(wǎng)的要求和期望越大，網(wǎng)絡(luò)安全和運(yùn)維的壓力也越大，責(zé)任也更大。由于政務(wù)外網(wǎng)與互聯(lián)網(wǎng)邏輯隔離，主要滿足各級政務(wù)部門社會(huì)管理、公共服務(wù)、市場監(jiān)管和經(jīng)濟(jì)調(diào)節(jié)等業(yè)務(wù)應(yīng)用及公務(wù)人員移動(dòng)辦公、現(xiàn)場執(zhí)法等各類的需要，網(wǎng)絡(luò)和電子政務(wù)應(yīng)用也成為境外敵對勢力、黑客等攻擊目標(biāo)。隨著新技術(shù)的不斷涌現(xiàn)和大量使用，也對電子政務(wù)外網(wǎng)網(wǎng)絡(luò)的安全防護(hù)、監(jiān)控、管理等帶來新的挑戰(zhàn)。按照國家政務(wù)外網(wǎng)統(tǒng)一規(guī)劃，建立網(wǎng)絡(luò)安全防護(hù)體系、統(tǒng)一的網(wǎng)絡(luò)信任體系和信息安全等級保護(hù)措施是必須的。

為保障電子政務(wù)外網(wǎng)的安全有效運(yùn)行，我們應(yīng)以風(fēng)險(xiǎn)管理理念來統(tǒng)籌建設(shè)網(wǎng)絡(luò)和信息安全保障體系。在國家信息系統(tǒng)安全等級保護(hù)的大背景下，2011年國家信息中心下發(fā)了《關(guān)于加快推進(jìn)國家電子政務(wù)外網(wǎng)安全等級保護(hù)工作的通知》，強(qiáng)化了電子政務(wù)外網(wǎng)的等級保護(hù)制度以及等級測評要求，要求對政務(wù)外網(wǎng)開展等級測評，全面了解和掌握安全問題、安全保護(hù)狀況及與國家安全等級保護(hù)制度相關(guān)要求存在的差距，分析其中存在的安全風(fēng)險(xiǎn)，并根據(jù)風(fēng)險(xiǎn)進(jìn)行整改[1]。

系統(tǒng)安全測評、風(fēng)險(xiǎn)評估、等級測評都是信息系統(tǒng)安全的評判方法[2，3]，其實(shí)它們本沒有本質(zhì)的區(qū)別，目標(biāo)都是一樣的，系統(tǒng)安全測評從系統(tǒng)整體來對系統(tǒng)的安全進(jìn)行判斷，風(fēng)險(xiǎn)評估從風(fēng)險(xiǎn)管理的角度來對系統(tǒng)的安全狀況進(jìn)行評判，而等級測評則是從等級保護(hù)的角度對系統(tǒng)的安全進(jìn)行評判。不管是系統(tǒng)安全測評[1]、風(fēng)險(xiǎn)評估、等級測評，風(fēng)險(xiǎn)的風(fēng)險(xiǎn)與計(jì)算都是三者必不可少的部分。

2 電子政務(wù)主要風(fēng)險(xiǎn)評估方法簡介

電子政務(wù)外網(wǎng)風(fēng)險(xiǎn)評估有自評估、檢查評估、第三方評估（認(rèn)證）評估模式，都需利用一定的風(fēng)險(xiǎn)評估方法來進(jìn)行相關(guān)風(fēng)險(xiǎn)的評估。從總體上來講，主要有定量評估、定性評估兩類。在進(jìn)行電子政務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評估過程中，采用的主要風(fēng)險(xiǎn)評估方法有：OCTAVE、SSE-CMM、FAT（故障樹方法）、AHP （層次分析）以及因素分析法、邏輯分析法、德爾菲法、聚類分析法、決策樹法、時(shí)許模型、回歸模型等方法。研究風(fēng)險(xiǎn)評估模型的方法可以運(yùn)用馬爾可夫法、神經(jīng)網(wǎng)絡(luò)、模糊數(shù)學(xué)、決策樹、小波分析等[4-6]。OCTAVE 方法是一個(gè)系統(tǒng)的方法，它從系統(tǒng)的高度來進(jìn)行信息安全的安全防護(hù)工作，評估系統(tǒng)的安全管理風(fēng)險(xiǎn)、安全技術(shù)風(fēng)險(xiǎn)，它提高了利用自評估的方式制定安全防范措施的能力。它通過分析重要資產(chǎn)的安全價(jià)值、脆弱性、威脅的情況，制定起風(fēng)險(xiǎn)削減計(jì)劃，降低重要資產(chǎn)的安全風(fēng)險(xiǎn)。電子政務(wù)外網(wǎng)需要從實(shí)際出發(fā)，不能照搬其它評估方法，根據(jù)電子政務(wù)外網(wǎng)實(shí)際，本設(shè)計(jì)基于OCTAVE 評估模型，設(shè)計(jì)了一個(gè)電子政務(wù)外網(wǎng)風(fēng)險(xiǎn)分析計(jì)算模型。

3 基于OCTAVE模型的一個(gè)電子政務(wù)外網(wǎng)風(fēng)險(xiǎn)計(jì)算模型設(shè)計(jì)

3.1 風(fēng)險(xiǎn)評估中的資產(chǎn)、威脅、脆弱性賦值的設(shè)計(jì)

保密性、完整性和可用性是評價(jià)資產(chǎn)的三個(gè)安全屬性。風(fēng)險(xiǎn)評估中的資產(chǎn)價(jià)值不是以資產(chǎn)的經(jīng)濟(jì)價(jià)值來衡量，而是由資產(chǎn)在這三個(gè)安全屬性上的達(dá)成程度或者其安全屬性未達(dá)成時(shí)所造成的影響程度來決定的。

資產(chǎn)價(jià)值應(yīng)依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級，經(jīng)過綜合評定得出。綜合評定方法可以根據(jù)自身的特點(diǎn)，選擇對資產(chǎn)保密性、完整性和可用性最為重要的一個(gè)屬性的賦值等級作為資產(chǎn)的最終賦值結(jié)果；也可以根據(jù)資產(chǎn)保密性、完整性和可用性的不同等級對其賦值進(jìn)行加權(quán)計(jì)算得到資產(chǎn)的最終賦值結(jié)果。本設(shè)計(jì)模型根據(jù)電子政務(wù)外網(wǎng)的業(yè)務(wù)特點(diǎn)，依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級進(jìn)行加權(quán)計(jì)算（保密性α+完整性β+和可用性γ），α、β、γ為權(quán)重系數(shù)，權(quán)重系數(shù)的確定可以采用專家咨詢法、信息商權(quán)法、獨(dú)立性權(quán)數(shù)等。本設(shè)計(jì)方案采用專家咨詢法。資產(chǎn)、威脅、脆弱性的賦值可以從0-10，賦值越高，等級越高。

脆弱性識(shí)別是風(fēng)險(xiǎn)評估中最重要的一個(gè)環(huán)節(jié)。脆弱性是資產(chǎn)本身存在的，如果沒有被相應(yīng)的威脅利用，單純的脆弱性本身不會(huì)對資產(chǎn)造成損害。脆弱性識(shí)別的依據(jù)可以是國際或國家安全標(biāo)準(zhǔn)，也可以是行業(yè)規(guī)范等，如國家信息安全漏洞共享平臺(tái)（CNVD）漏洞通報(bào)、CVE漏洞、微軟漏洞通報(bào)等。

資產(chǎn)、威脅、脆弱性的識(shí)別與賦值依賴于專家對三者的理解，不同的人員對三者的賦值可能不同，甚至差別很大，可能會(huì)不能真實(shí)的反映實(shí)際情況。為了識(shí)別與賦值能準(zhǔn)確反映實(shí)際情況，可以采用一定的方法來進(jìn)行修正。本設(shè)計(jì)采用頭腦風(fēng)暴法、德爾菲法去獲取資產(chǎn)、威脅、脆弱性并賦值、最后采用群體決策方法確定資產(chǎn)、威脅、脆弱性的識(shí)別與賦值。這樣發(fā)揮了三個(gè)方法的特點(diǎn)，得到的賦值準(zhǔn)確性大大提高。

判斷威脅出現(xiàn)的頻率是威脅賦值的重要內(nèi)容，評估者應(yīng)根據(jù)經(jīng)驗(yàn)和（或）有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來進(jìn)行判斷[7]。判斷威脅出現(xiàn)的頻率是可能性分析的重要內(nèi)容，如果僅僅從近一兩年來各種國內(nèi)、國際組織的對于整個(gè)社會(huì)或特定行業(yè)的威脅及其頻率統(tǒng)計(jì)，以及的威脅預(yù)警等來判斷是不太準(zhǔn)確的，因?yàn)樗鼪]有與具體的電子政務(wù)外網(wǎng)應(yīng)用實(shí)際聯(lián)系起來，實(shí)際環(huán)境中通過檢測工具（如IPS等）以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計(jì)也應(yīng)該考慮進(jìn)去。

本設(shè)計(jì)模型采用綜根據(jù)經(jīng)驗(yàn)和（或）有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來進(jìn)行判斷，并結(jié)合具體電子政務(wù)外網(wǎng)實(shí)際，從歷史生產(chǎn)系統(tǒng)的IPS等獲取各種威脅及其頻率的統(tǒng)計(jì)，并采用馬兒可夫方法計(jì)算出某個(gè)時(shí)段內(nèi)某個(gè)威脅發(fā)生的概率。馬爾可夫方法是一種定量的方法，具有無后效性的特點(diǎn)，適用于計(jì)算實(shí)時(shí)的動(dòng)態(tài)信息系統(tǒng)威脅發(fā)生概率。它利用IPS等統(tǒng)計(jì)某一時(shí)段的發(fā)生了哪些威脅，構(gòu)建出各種威脅之間的狀態(tài)轉(zhuǎn)移圖，使用馬爾可夫方法計(jì)算出該時(shí)段內(nèi)某個(gè)威脅發(fā)生的概率。計(jì)算出的威脅發(fā)生概率結(jié)果可以進(jìn)行適當(dāng)?shù)奈⒄{(diào)，該方法要求記錄的樣本具有代表性。

3.2 風(fēng)險(xiǎn)計(jì)算模型設(shè)計(jì)

通常風(fēng)險(xiǎn)值計(jì)算涉及的風(fēng)險(xiǎn)要素為資產(chǎn)、威脅、和脆弱性。 在完成了資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別，以及已有安全措施確認(rèn)后，將采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，并綜合安全事件所作用的資產(chǎn)價(jià)值及脆弱性的嚴(yán)重程度，判斷安全事件造成的損失對組織的影響，即安全風(fēng)險(xiǎn)計(jì)算。

風(fēng)險(xiǎn)值=R（資產(chǎn)，威脅，脆弱性）= R（可能性（威脅，脆弱性），損失（資產(chǎn)價(jià)值，脆弱性嚴(yán)重程度））?？筛鶕?jù)自身電子政務(wù)外網(wǎng)實(shí)際情況選擇相應(yīng)的風(fēng)險(xiǎn)計(jì)算方法計(jì)算風(fēng)險(xiǎn)值，如目前最常用的矩陣法或相乘法等。矩陣法主要用于兩個(gè)要素值確定一個(gè)要素值的情形，相乘法主要用于兩個(gè)或多個(gè)要素值確定一個(gè)要素值的情形。

本設(shè)計(jì)模型采用風(fēng)險(xiǎn)計(jì)算矩陣方法。矩陣法通過構(gòu)造一個(gè)二維矩陣，形成安全事件的可能性與安全事件造成的損失之間的二維關(guān)系；相乘法通過構(gòu)造經(jīng)驗(yàn)函數(shù)，將安全事件的可能性與安全事件造成的損失進(jìn)行運(yùn)算得到風(fēng)險(xiǎn)值。

在使用矩陣法分別計(jì)算出某個(gè)資產(chǎn)對應(yīng)某個(gè)威脅i，某個(gè)脆弱性j的風(fēng)險(xiǎn)系數(shù)[Ri，j]，還應(yīng)對某個(gè)資產(chǎn)的總體安全威脅風(fēng)險(xiǎn)值進(jìn)行計(jì)算，某個(gè)資產(chǎn)總體風(fēng)險(xiǎn)威脅風(fēng)險(xiǎn)=Max（[Ri，j]），i，j=1，2，3…。組織所有資產(chǎn)的威脅風(fēng)險(xiǎn)值為所有資產(chǎn)的風(fēng)險(xiǎn)值之和。

3.3 對風(fēng)險(xiǎn)計(jì)算模型的改進(jìn)

在風(fēng)險(xiǎn)值=R（A，T，V）的計(jì)算模型中，由資產(chǎn)賦值、危險(xiǎn)、脆弱性三元組計(jì)算出風(fēng)險(xiǎn)值， 并沒有把安全防護(hù)措施因素對風(fēng)險(xiǎn)計(jì)算的影響考慮在內(nèi)，該文把風(fēng)險(xiǎn)值=R（A，T，V）改進(jìn)為風(fēng)險(xiǎn)值=R（A，T，V，P），其中P為安全防護(hù)措施因素。P因素不僅影響安全事件的可能性，也影響安全事件造成的損失，把上面的公式改進(jìn)為風(fēng)險(xiǎn)值=R（L（T，V，P），F(xiàn)（Ia，Va，P ））。對于L（T，V，P），F(xiàn)（Ia，Va，P ）的計(jì)算可以采用相乘法等。如果采用矩陣法，對L（T，V，P）的可以拆分計(jì)算L（T，V，P）=L（L（T，V），L（V，P））。

在計(jì)算出單個(gè)資產(chǎn)對應(yīng)某個(gè)脆弱性、某個(gè)威脅、某個(gè)防護(hù)措施后的風(fēng)險(xiǎn)值后，還應(yīng)總體上計(jì)算組織內(nèi)整體資產(chǎn)面臨的整體風(fēng)險(xiǎn)。單個(gè)風(fēng)險(xiǎn)（一組風(fēng)險(xiǎn)）對其它風(fēng)險(xiǎn)（一組風(fēng)險(xiǎn)）的影響是必須考慮的，風(fēng)險(xiǎn)之間的影響有風(fēng)險(xiǎn)之間的疊加、消減等。有必要對風(fēng)險(xiǎn)的疊加效應(yīng)、疊加原理、疊加模型進(jìn)行研究。

3.4 風(fēng)險(xiǎn)結(jié)果判定

為實(shí)現(xiàn)對風(fēng)險(xiǎn)的控制與管理，可以對風(fēng)險(xiǎn)評估的結(jié)果進(jìn)行等級化處理?？蓪L(fēng)險(xiǎn)劃分為10，等級越高，風(fēng)險(xiǎn)越高。

風(fēng)險(xiǎn)等級處理的目的是為風(fēng)險(xiǎn)管理過程中對不同風(fēng)險(xiǎn)的直觀比較，以確定組織安全策略。組織應(yīng)當(dāng)綜合考慮風(fēng)險(xiǎn)控制成本與風(fēng)險(xiǎn)造成的影響，提出一個(gè)可接受的風(fēng)險(xiǎn)范圍。對某些資產(chǎn)面臨的安全風(fēng)險(xiǎn)，如果風(fēng)險(xiǎn)計(jì)算值在可接受的范圍內(nèi)，則該風(fēng)險(xiǎn)是可接受的，應(yīng)保持已有的安全措施；如果風(fēng)險(xiǎn)計(jì)算值高于可接受范圍的上限值，則該風(fēng)險(xiǎn)是不可接受的，需要采取安全措施以降低、控制或轉(zhuǎn)移風(fēng)險(xiǎn)。另一種確定不可接受的風(fēng)險(xiǎn)的辦法是根據(jù)等級化處理的結(jié)果，不設(shè)定可接受風(fēng)險(xiǎn)值的基準(zhǔn)，對達(dá)到相應(yīng)等級的風(fēng)險(xiǎn)都進(jìn)行處理。

參考文獻(xiàn)：

[1] 國家電子政務(wù)外網(wǎng)管理中心.關(guān)于加快推進(jìn)國家電子政務(wù)外網(wǎng)安全等級保護(hù)工作的通知[政務(wù)外網(wǎng)[2011]15號(hào)][Z].2011.

[2] 等級保護(hù)、風(fēng)險(xiǎn)評估和安全測評三者之間的區(qū)別與聯(lián)系[EB/OL].http：///faq/faq.php？lang=cn&itemid=23.

[3] 趙瑞穎.等級保護(hù)、風(fēng)險(xiǎn)評估、安全測評三者的內(nèi)在聯(lián)系及實(shí)施建議[C].第二十次全國計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集，2005.

[4] 李煜川.電子政務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評估研究――以數(shù)字檔案館為例[D].蘇州：蘇州大學(xué)，2011.

[5] 陳濤，馮平，朱多剛.基于威脅分析的電子政務(wù)信息安全風(fēng)險(xiǎn)評估模型研究[J].情報(bào)雜志，2011（8）：94-99.

篇2

關(guān)鍵詞：消費(fèi)品安全 政府監(jiān)管 風(fēng)險(xiǎn)評估 諾模圖法 風(fēng)險(xiǎn)矩陣法 RAPEX法

中圖分類號(hào)：F76 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-098X（2014）11（c）-0155-04

歐盟委員會(huì)（EC）的2004 RAPEX方法[1]是首個(gè)得到政府監(jiān)管機(jī)構(gòu)廣泛應(yīng)用的消費(fèi)品安全官方風(fēng)險(xiǎn)評估方法。非政府學(xué)術(shù)組織EuroSafe在2005年設(shè)立風(fēng)險(xiǎn)評估工作組（EuroSafe WGRA），EC在其研究成果基礎(chǔ)上形成了2010 RAPEX方法[2]，該方法是目前歐盟各成員國政府的正式官方評估方法[3]。受EC健康與消費(fèi)者保護(hù)總司（DG-SANCO）資助的EMARS項(xiàng)目（它提出了著名的錘子案例[4]）、英國RPA[5]等風(fēng)險(xiǎn)研究機(jī)構(gòu)都致力于不斷發(fā)展消費(fèi)品安全風(fēng)險(xiǎn)評估方法。在正式評估方法中，除了RAPEX方法，諾模圖法、風(fēng)險(xiǎn)矩陣法也得到廣泛應(yīng)用[3-5]。而歐盟REACH法規(guī)的技術(shù)指南文件（TGD）、國際化學(xué)品安全規(guī)劃署（IPCS）的“Risk Assessment Terminology”（2004年），聯(lián)合國糧農(nóng)組織/世界衛(wèi)生組織（FAO/WHO）的“Food Safety Risk Analysis”（2006年）、國際風(fēng)險(xiǎn)管理理事會(huì)（IRGC）的“White Paper”（2006年）提供的化學(xué)危害風(fēng)險(xiǎn)評估方法主要適用于消費(fèi)品生產(chǎn)過程[3-5]。美國消費(fèi)品安全委員會(huì)（CPSC）主要應(yīng)用定性風(fēng)險(xiǎn)評估方法對消費(fèi)品安全進(jìn)行A、B、C三級管理，CPSC也使用“安全飲用水法案”（SDWA，1996年）中的評估規(guī)則[6]，CPSC在化學(xué)危害定量評估方法上遵循美國國家科學(xué)委員會(huì)的NAS指南（1994年）[7]。國際標(biāo)準(zhǔn)化組織的消費(fèi)者政策委員會(huì)（ISO COPOLCO）的指南文件“Consumer product safety a practical guide for suppliers”（2006年）及其標(biāo)準(zhǔn)則主要適用于消費(fèi)品的設(shè)計(jì)及生產(chǎn)階段[3-5]。中國的消費(fèi)品安全風(fēng)險(xiǎn)評估通則（GB/T22760，2008年）與RAPEX方法基本一致[8]。

該文以政府監(jiān)管視角選擇最廣泛使用的2004 RAPEX、2010 RAPEX方法、諾模圖法和風(fēng)險(xiǎn)矩陣法應(yīng)用案例進(jìn)行比較分析[3-5]，并分析消費(fèi)品安全風(fēng)險(xiǎn)評估方法的進(jìn)一步發(fā)展方向。

1 消費(fèi)品安全風(fēng)險(xiǎn)評估基本流程

風(fēng)險(xiǎn)和風(fēng)險(xiǎn)評估在各個(gè)領(lǐng)域的定義和方法有所不同。在產(chǎn)品安全評價(jià)理論中，風(fēng)險(xiǎn)通常表示為傷害事件的發(fā)生概率及嚴(yán)重程度的函數(shù)，各種消費(fèi)品安全風(fēng)險(xiǎn)評估方法的基本評估流程是大同小異的，均是在識(shí)別消費(fèi)品危險(xiǎn)的基礎(chǔ)上，估計(jì)各風(fēng)險(xiǎn)要素的程度（至少包括兩個(gè)基本風(fēng)險(xiǎn)要素：傷害的嚴(yán)重程度和傷害的發(fā)生概率），然后用模型將各風(fēng)險(xiǎn)要素合成風(fēng)險(xiǎn)水平/等級（批量評估應(yīng)先確定單體風(fēng)險(xiǎn)水平）。各個(gè)方法的主要區(qū)別在于將其他風(fēng)險(xiǎn)要素（例如消費(fèi)者屬性、危險(xiǎn)可獲得性和危險(xiǎn)暴露參數(shù)等）的考慮置于哪個(gè)階段，是置于危險(xiǎn)識(shí)別階段，還是置于嚴(yán)重程度估計(jì)、發(fā)生概率估計(jì)階段，抑或直接作為獨(dú)立風(fēng)險(xiǎn)要素與兩個(gè)基本要素進(jìn)行合成（圖1）。

在消費(fèi)品供應(yīng)鏈的不同階段實(shí)施安全風(fēng)險(xiǎn)評估應(yīng)選擇與該階段相適應(yīng)的風(fēng)險(xiǎn)評估方法，相關(guān)評估方法按適用范圍分類如圖2所示（參考了參考文獻(xiàn)[3]，但做了補(bǔ)充和修改）。對于政府監(jiān)管機(jī)構(gòu)而言，更關(guān)心的是準(zhǔn)備上市和上市后的消費(fèi)品安全風(fēng)險(xiǎn)，即：消費(fèi)品在上市時(shí)應(yīng)符合安全的一般要求，而在上市后只要發(fā)現(xiàn)產(chǎn)品存在嚴(yán)重安全風(fēng)險(xiǎn)就應(yīng)及時(shí)隔離（risk averse）。因此，以政府監(jiān)管視角研究上市階段和上市后消費(fèi)品安全風(fēng)險(xiǎn)評估方法的有效應(yīng)用具有必要性。

4 討論

（1）從應(yīng)用案例可看出，2010 RAPEX

法與2004 RAPEX法的主要區(qū)別在于：2010 RAPEX法將消費(fèi)人群區(qū)分、風(fēng)險(xiǎn)緩減要素區(qū)分從后置改為前置，嚴(yán)重程度和發(fā)生概率的分等進(jìn)行了擴(kuò)充，消費(fèi)人群區(qū)分、風(fēng)險(xiǎn)緩減要素區(qū)分仍由主觀判定。兩個(gè)方法中風(fēng)險(xiǎn)要素的打分主觀性強(qiáng)，要求評估人員具備足夠的專業(yè)知識(shí)和足夠準(zhǔn)確的數(shù)據(jù)來源。未來的評估方法可能將消費(fèi)人群作為獨(dú)立風(fēng)險(xiǎn)要素進(jìn)行識(shí)別和估計(jì)，在消費(fèi)品化學(xué)危害日益受到重視的情況下，消費(fèi)人群區(qū)分可能相應(yīng)調(diào)整，例如孕婦可能作為弱勢人群進(jìn)行考慮。

（2）斯洛文尼亞諾模圖法的輸入?yún)?shù)比其他方法增加，各參數(shù)的分等擴(kuò)充，其評估輸出（風(fēng)險(xiǎn)等級）相應(yīng)細(xì)化。與RAPEX法比較，它識(shí)別出火災(zāi)危險(xiǎn)風(fēng)險(xiǎn)高于其他危險(xiǎn)。危險(xiǎn)事件發(fā)生時(shí)，火災(zāi)更容易造成群死群傷，因此該評估結(jié)果與事實(shí)也是相符的。

（3）比利時(shí)風(fēng)險(xiǎn)矩陣法引入了暴露程度這一參數(shù)擴(kuò)充矩陣維度。對后果嚴(yán)重性的賦值中，該方法對導(dǎo)致“所有使用者和旁觀者死亡”“所有使用者死亡”“數(shù)人死亡”和“一個(gè)死亡”的嚴(yán)重度分別區(qū)分，且從100分到15分賦值，區(qū)分度極大，但在政府監(jiān)管角度，對“死亡”后果均應(yīng)0容忍，評估時(shí)應(yīng)加以注意。

（4）該文在參閱相關(guān)文獻(xiàn)時(shí)，發(fā)現(xiàn)各個(gè)評估方法應(yīng)用的術(shù)語高度不一致。如果對術(shù)語名稱翻譯和定義不加以界定明確，可能導(dǎo)致對同一危險(xiǎn)信息，各評估方法的參數(shù)輸入不一致，其輸出大相徑庭。

（5）目前的評估方法對化學(xué)危害風(fēng)險(xiǎn)的識(shí)別能力偏弱。例如對“長期藥物接觸和輻射暴露”傷害的嚴(yán)重程度從輕到重劃分為“腹瀉嘔吐局部癥候”“可逆的內(nèi)臟損害”“神經(jīng)系統(tǒng)損害、不可逆的內(nèi)臟損害”“癌癥（白血?。⒂绊懮?、影響后代、中樞神經(jīng)系統(tǒng)抑郁癥”四等的劃分尚嫌粗。歐盟REACH法規(guī)的技術(shù)指南文件提供了一種化學(xué)危害風(fēng)險(xiǎn)評估的有價(jià)值的思路。

（6）目前對評估方法的發(fā)展研究主要集中在評估模型的改進(jìn)，從定性向定量向模糊評價(jià)發(fā)展，但實(shí)證研究表明，作為簡單、快速、經(jīng)濟(jì)、有效（risk averse）和有決斷力（resolved）的方法，定性風(fēng)險(xiǎn)評估能對消費(fèi)品安全風(fēng)險(xiǎn)進(jìn)行有效評估[3-5]。在政府監(jiān)管視角，最好把資源直接用于減小風(fēng)險(xiǎn)的努力，而不是盡量達(dá)到風(fēng)險(xiǎn)評估的絕對精確。實(shí)際上，定量風(fēng)險(xiǎn)評估的大部分輸入數(shù)據(jù)是高度主觀的，同時(shí)，要生成確切的輸出，它要求有一個(gè)詳盡和全面的時(shí)間鏈模型，這對范圍極廣的現(xiàn)代消費(fèi)品領(lǐng)域是難度極大的。對定性風(fēng)險(xiǎn)評估方法而言，應(yīng)減小評估的主觀性，重點(diǎn)應(yīng)研究傷害嚴(yán)重程度和發(fā)生概率的科學(xué)分等，其基礎(chǔ)工作是盡早形成共享的消費(fèi)品傷害數(shù)據(jù)庫。

（7）從應(yīng)用案例可看出，各個(gè)評估方法均基于各風(fēng)險(xiǎn)因子相對獨(dú)立的假設(shè)，從而對各個(gè)風(fēng)險(xiǎn)因子獨(dú)立進(jìn)行評估。有學(xué)者研究認(rèn)為，某些風(fēng)險(xiǎn)因子具有相互聯(lián)系和影響關(guān)系，具有連通性（connectivity），并引入了連通性矩陣的概念，但這一理論在消費(fèi)品領(lǐng)域尚未有成熟應(yīng)用。

5 結(jié)論

（1）以政府監(jiān)管視角來看，2004 RAPEX、2010 RAPEX方法和斯洛文尼亞諾模圖法均能對消費(fèi)品安全風(fēng)險(xiǎn)進(jìn)行有效評估。

（2）未來消費(fèi)品安全風(fēng)險(xiǎn)評估方法的發(fā)展，首先應(yīng)統(tǒng)一規(guī)范術(shù)語使用以改善評估的一致性；其次應(yīng)發(fā)展傷害嚴(yán)重程度和發(fā)生概率的科學(xué)分等體系以減小評估的主觀性；另外應(yīng)注重消費(fèi)品化學(xué)危害風(fēng)險(xiǎn)評估方法的研究。

參考文獻(xiàn)

[1] Guidelines for the management of the Community Rapid Information System（RAPEX）and for notifications presented in accordance with Artide 11 of Directive 2001/95/EC[R]，Commission Decision 2004/418/EC of 29 April 2004.OJ L 151，2004.

[2] Commission Decision of 16 December 2009 laying down guidelines for the management of the Community Rapid Information System‘RAPEX’established under Artide 12 and of the notification procedure established under Artide 11 of Directive 2001/95/EC（the General Product Safety Directive） （notified under document C（2009） 9843）[R]，Commission Decision 2010/15/EU of 26 January 2010. OJ L 22， 2010.

[3] Dirk van Aken.Related risk assessment activities[R].Hague： Voedsel en Waren Autoriteit， 2007.

[4] Enhancing Market Surveillance through Best Practices（EMARS）project.Product Safety-Best Practice Techniques in Market Surveillance[R].Amsterdam： EMARS，2013.

[5] Pete Floyd， Tobe A.Nwaogu，Rocio Salado，et al.RPA REPORTAssured Quality-Establishing a Comparative Inventory of Approaches and Methods Used by Enforcement Authorities for the Assessment of the Safety of Consumer Products Covered by Directive 2001/95/EC on General Product Safety and Identification of Best Practices [R].J497/GPSD Implementation， Norfolk：Risk & Policy Analysts Limited（RPA），2006.

[6] CPSC.Research & Statistics-consumer opinon surrveys[EB/OL].（2014-10-20）[2014-4-29].http：//cpsc.gov/en/Research Statistics.

[7] National Research Council.Science and Judgment in Risk Assessment （1994）[M].Washington D.C.：National Academy Press，1994.

篇3

關(guān)鍵詞:電子政務(wù) 信息安全

0 引言

隨著電子政務(wù)不斷推進(jìn)，社會(huì)各階層對電子政務(wù)的依賴程度越來越高，信息安全的重要性日益突出，在電子政務(wù)的信息安全管理問題中，基于現(xiàn)實(shí)特點(diǎn)的電子政務(wù)信息安全體系設(shè)計(jì)和風(fēng)險(xiǎn)評估[1]模型是突出的熱點(diǎn)和難點(diǎn)問題。本文試圖就這兩個(gè)問題給出分析和建議。

1 電子政務(wù)信息安全的總體要求

隨著電子政務(wù)應(yīng)用的不斷深入，信息安全問題日益凸顯，為了高效安全的進(jìn)行電子政務(wù)，迫切需要搞好信息安全保障工作。電子政務(wù)系統(tǒng)采取的網(wǎng)絡(luò)安全措施[2][3]不僅要保證業(yè)務(wù)與辦公系統(tǒng)和網(wǎng)絡(luò)的穩(wěn)定運(yùn)行，另一方面要保護(hù)運(yùn)行在內(nèi)部網(wǎng)上的敏感數(shù)據(jù)與信息的安全，因此應(yīng)充分保證以下幾點(diǎn)：

1.1 基礎(chǔ)設(shè)施的可用性：運(yùn)行于內(nèi)部專網(wǎng)的各主機(jī)、數(shù)據(jù)庫、應(yīng)用服務(wù)器系統(tǒng)的安全運(yùn)行十分關(guān)鍵，網(wǎng)絡(luò)安全體系必須保證這些系統(tǒng)不會(huì)遭受來自網(wǎng)絡(luò)的非法訪問、惡意入侵和破壞。

1.2 數(shù)據(jù)機(jī)密性：對于內(nèi)部網(wǎng)絡(luò)，保密數(shù)據(jù)的泄密將直接帶來政府機(jī)構(gòu)以及國家利益的損失。網(wǎng)絡(luò)安全系統(tǒng)應(yīng)保證內(nèi)網(wǎng)機(jī)密信息在存儲(chǔ)與傳輸時(shí)的保密性。

1.3 網(wǎng)絡(luò)域的可控性:電子政務(wù)的網(wǎng)絡(luò)應(yīng)該處于嚴(yán)格的控制之下，只有經(jīng)過認(rèn)證的設(shè)備可以訪問網(wǎng)絡(luò)，并且能明確地限定其訪問范圍，這對于電子政務(wù)的網(wǎng)絡(luò)安全十分重要。

1.4 數(shù)據(jù)備份與容災(zāi):任何的安全措施都無法保證數(shù)據(jù)萬無一失，硬件故障、自然災(zāi)害以及未知病毒的感染都有可能導(dǎo)致政府重要數(shù)據(jù)的丟失。因此，在電子政務(wù)安全體系中必須包括數(shù)據(jù)的容災(zāi)與備份，并且最好是異地備份。

2 電子政務(wù)信息安全體系模型設(shè)計(jì)

完整的電子政務(wù)安全保障體系從技術(shù)層面上來講，必須建立在一個(gè)強(qiáng)大的技術(shù)支撐平臺(tái)之上，同時(shí)具有完備的安全管理機(jī)制，并針對物理安全，數(shù)據(jù)存儲(chǔ)安全，數(shù)據(jù)傳輸安全和應(yīng)用安全制定完善的安全策略

在技術(shù)支撐平臺(tái)方面，核心是要解決好權(quán)限控制問題。為了解決授權(quán)訪問的問題， 通常是將基于公鑰證書（PKC）的PKI（Public Key Infrastructure）與基于屬性證書（AC）的PMI（Privilege Management Infrastructure)結(jié)合起來進(jìn)行安全性設(shè)計(jì)，然而由于一個(gè)終端用戶可以有許多權(quán)限， 許多用戶也可能有相同的權(quán)限集， 這些權(quán)限都必須寫入屬性證書的屬性中， 這樣就增加了屬性證書的復(fù)雜性和存儲(chǔ)空間， 從而也增加了屬性證書的頒發(fā)和驗(yàn)證的復(fù)雜度。為了解決這個(gè)問題，作者建議根據(jù)X.509標(biāo)準(zhǔn)建立基于角色PMI的電子政務(wù)安全模型。該模型由客戶端、驗(yàn)證服務(wù)器、應(yīng)用服務(wù)器、資源數(shù)據(jù)庫和LDAP 目錄服務(wù)器等實(shí)體組成，在該模型中：

2.1 終端用戶：向驗(yàn)證服務(wù)器發(fā)送請求和證書， 并與服務(wù)器雙向驗(yàn)證。

2.2 驗(yàn)證服務(wù)器：由身份認(rèn)證模塊和授權(quán)驗(yàn)證模塊組成提供身份認(rèn)證和訪問控制，是安全模型的關(guān)鍵部分。

2.3 應(yīng)用服務(wù)器： 與資源數(shù)據(jù)庫連接， 根據(jù)驗(yàn)證通過的用戶請求，對資源數(shù)據(jù)庫的數(shù)據(jù)進(jìn)行處理， 并把處理結(jié)果通過驗(yàn)證服務(wù)器返回給用戶以響應(yīng)用戶請求。

2.4 LDAP目錄服務(wù)器：該模型中采用兩個(gè)LDAP目錄服務(wù)器， 一個(gè)存放公鑰證書（PKC）和公鑰證書吊銷列表（CRL），另一個(gè)LDAP 目錄服務(wù)器存放角色指派和角色規(guī)范屬性證書以及屬性吊銷列表ACRL。

安全管理策略也是電子政務(wù)安全體系的重要組成部分。安全的核心實(shí)際上是管理，安全技術(shù)實(shí)際上只是實(shí)現(xiàn)管理的一種手段，再好的技術(shù)手段都必須配合合理的制度才能發(fā)揮作用。需要制訂的制度包括安全行政管理和安全技術(shù)管理。安全行政管理應(yīng)包括組織機(jī)構(gòu)和責(zé)任制度等的制定和落實(shí)；安全技術(shù)管理的內(nèi)容包括對硬件實(shí)體和軟件系統(tǒng)、密鑰的管理。

3 電子政務(wù)信息安全管理體系中的風(fēng)險(xiǎn)評估

電子政務(wù)信息安全等級保護(hù)是根據(jù)電子政務(wù)系統(tǒng)在國家安全、經(jīng)濟(jì)安全、社會(huì)穩(wěn)定和保護(hù)公共利益等方面的重要程度。等級保護(hù)工作的要點(diǎn)是對電子政務(wù)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)分析，構(gòu)建電子政務(wù)系統(tǒng)的風(fēng)險(xiǎn)因素集。

3.1 信息系統(tǒng)的安全定級 信息系統(tǒng)的安全等級從低到高依次包括自主保護(hù)級、指導(dǎo)保護(hù)級、監(jiān)督保護(hù)級、強(qiáng)制保護(hù)級、?？乇Ｗo(hù)級五個(gè)安全等級。對電子政務(wù)的五個(gè)安全等級定義，結(jié)合系統(tǒng)面臨的風(fēng)險(xiǎn)、系統(tǒng)特定安全保護(hù)要求和成本開銷等因素，采取相應(yīng)的安全保護(hù)措施以保障信息和信息系統(tǒng)的安全。

3.2 采用全面的風(fēng)險(xiǎn)評估辦法 風(fēng)險(xiǎn)評估具有不同的方法。在ISO/IEC TR13335-3《信息技術(shù)IT安全管理指南:IT安全管理技術(shù)》中描述了風(fēng)險(xiǎn)評估方法的例子，其他文獻(xiàn)，例如NIST SP800-30、AS/NZS 4360等也介紹了風(fēng)險(xiǎn)評估的步驟及方法，另外，一些組織還提出了自己的風(fēng)險(xiǎn)評估工具，例如OCTAVE、CRAMM等。

電子政務(wù)信息安全建設(shè)中采用的風(fēng)險(xiǎn)評估方法可以參考ISO17799、OCTAVE、CSE、《信息安全風(fēng)險(xiǎn)評估指南》等標(biāo)準(zhǔn)和指南，從資產(chǎn)評估、威脅評估、脆弱性評估、安全措施有效性評估四個(gè)方面建立風(fēng)險(xiǎn)評估模型。其中，資產(chǎn)的評估主要是對資產(chǎn)進(jìn)行相對估價(jià)，其估價(jià)準(zhǔn)則依賴于對其影響的分析，主要從保密性、完整性、可用性三方面進(jìn)行影響分析;威脅評估是對資產(chǎn)所受威脅發(fā)生可能性的評估，主要從威脅的能力和動(dòng)機(jī)兩個(gè)方面進(jìn)行分析;脆弱性評估是對資產(chǎn)脆弱程度的評估，主要從脆弱性被利用的難易程度、被成功利用后的嚴(yán)重性兩方面進(jìn)行分析;安全措施有效性評估是對保障措施的有效性進(jìn)行的評估活動(dòng)，主要對安全措施防范威脅、減少脆弱性的有效狀況進(jìn)行分析;安全風(fēng)險(xiǎn)評估就是通過綜合分析評估后的資產(chǎn)信息、威脅信息、脆弱性信息、安全措施信息，最終生成風(fēng)險(xiǎn)信息。

在確定風(fēng)險(xiǎn)評估方法后，還應(yīng)確定接受風(fēng)險(xiǎn)的準(zhǔn)則，識(shí)別可接受的風(fēng)險(xiǎn)級別。

4 結(jié)語

電子政務(wù)與傳統(tǒng)政務(wù)相比有顯著區(qū)別，包括:辦公手段不同，信息資源的數(shù)字化和信息交換的網(wǎng)絡(luò)化是電子政務(wù)與傳統(tǒng)政務(wù)的最顯著區(qū)別;行政業(yè)務(wù)流程不同，實(shí)現(xiàn)行政業(yè)務(wù)流程的集約化、標(biāo)準(zhǔn)化和高效化是電子政務(wù)的核心;與公眾溝通方式不同，直接與公眾溝通是實(shí)施電子政務(wù)的目的之一，也是與傳統(tǒng)政務(wù)的重要區(qū)別。在電子政務(wù)的信息安全管理中，要抓住其特點(diǎn)，從技術(shù)、管理、策略角度設(shè)計(jì)完整的信息安全模型并通過科學(xué)量化的風(fēng)險(xiǎn)評估方法識(shí)別風(fēng)險(xiǎn)和制定風(fēng)險(xiǎn)應(yīng)急預(yù)案，這樣才能達(dá)到全方位實(shí)施信息安全管理的目的。

參考文獻(xiàn)：

[1]范紅，馮國登，吳亞非.信息安全風(fēng)險(xiǎn)評估方法與應(yīng)用.清華大學(xué)出版社.2006.

篇4

關(guān)鍵詞：審計(jì)風(fēng)險(xiǎn)準(zhǔn)則　風(fēng)險(xiǎn)導(dǎo)向　重大錯(cuò)報(bào)風(fēng)險(xiǎn)　風(fēng)險(xiǎn)評估　審計(jì)證據(jù)

一、前言

2006年財(cái)政部頒布了《中國注冊會(huì)計(jì)師執(zhí)業(yè)準(zhǔn)則》，標(biāo)志著我國在建立適應(yīng)社會(huì)主義市場經(jīng)濟(jì)發(fā)展要求，順應(yīng)國際趨同新形勢的道路上邁進(jìn)了一大步。為了更好地指導(dǎo)注冊會(huì)計(jì)師有效地識(shí)別、評估和應(yīng)對審計(jì)風(fēng)險(xiǎn)，準(zhǔn)則框架體系全面滲透著風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的理念，要求注冊會(huì)計(jì)師將風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的觀念貫穿于審計(jì)全過程。傳統(tǒng)審計(jì)方法的主要缺陷在于注冊會(huì)計(jì)師重視被審計(jì)單位的內(nèi)部環(huán)境，但忽視其所處的外部環(huán)境；重視審計(jì)單位的控制風(fēng)險(xiǎn)但忽視其固有風(fēng)險(xiǎn)。事實(shí)上我國注冊會(huì)計(jì)師面臨的情形是被審計(jì)單位及其所處環(huán)境的日趨復(fù)雜。行業(yè)狀況、法律環(huán)境與監(jiān)管環(huán)境以及其他外部因素，都會(huì)對注冊會(huì)計(jì)師審計(jì)質(zhì)量產(chǎn)生重大影響。在復(fù)雜環(huán)境下或被審計(jì)單位內(nèi)部控制不健全時(shí)，如果繼續(xù)采用傳統(tǒng)審計(jì)模式，局限于控制測試和實(shí)質(zhì)性測試，把審計(jì)的主要資源集中在具體交易事項(xiàng)和余額細(xì)節(jié)測試上。極易引發(fā)審計(jì)風(fēng)險(xiǎn)。因此，新執(zhí)業(yè)準(zhǔn)則要求注冊會(huì)計(jì)師了解被審計(jì)單位及其內(nèi)外部環(huán)境，同時(shí)注重檢查風(fēng)險(xiǎn)和固有風(fēng)險(xiǎn)(即重大錯(cuò)報(bào)風(fēng)險(xiǎn))，重點(diǎn)關(guān)注存在重大錯(cuò)報(bào)風(fēng)險(xiǎn)的領(lǐng)域，達(dá)到避免觸發(fā)審計(jì)風(fēng)險(xiǎn)的目的。新執(zhí)業(yè)準(zhǔn)則體系的核心內(nèi)容為以下準(zhǔn)則，簡稱審計(jì)風(fēng)險(xiǎn)準(zhǔn)則，分別為：《中國注冊會(huì)計(jì)師執(zhí)業(yè)準(zhǔn)則第1101號(hào)――財(cái)務(wù)報(bào)表審計(jì)的目標(biāo)和一般原則》(以下簡稱第1101號(hào)準(zhǔn)則，下同)、《中國注冊會(huì)計(jì)師執(zhí)業(yè)準(zhǔn)則第1211號(hào)――了解被審計(jì)單位及其環(huán)境并評估重大錯(cuò)報(bào)風(fēng)險(xiǎn)》、《中國注冊會(huì)計(jì)師執(zhí)業(yè)準(zhǔn)則第1231號(hào)――針對評估的重大錯(cuò)報(bào)風(fēng)險(xiǎn)實(shí)施的程序》、《中國注冊會(huì)計(jì)師執(zhí)業(yè)準(zhǔn)則第1301號(hào)――審計(jì)證據(jù)》。

二、審計(jì)風(fēng)險(xiǎn)準(zhǔn)則修訂的主要內(nèi)容

(一)第1101號(hào)準(zhǔn)則 第1101號(hào)準(zhǔn)則是在借鑒國際審計(jì)與鑒證準(zhǔn)則第200號(hào)的基礎(chǔ)上，對原《獨(dú)立審計(jì)準(zhǔn)則第1號(hào)――會(huì)計(jì)報(bào)表審計(jì)》進(jìn)行修訂而形成的。其主要內(nèi)容有：會(huì)計(jì)責(zé)任和審計(jì)責(zé)任、審計(jì)的目標(biāo)、審計(jì)范圍、職業(yè)懷疑態(tài)度、審計(jì)風(fēng)險(xiǎn)及模型。(1)明確區(qū)分注冊會(huì)計(jì)師的責(zé)任，公司管理層和治理層的責(zé)任。新準(zhǔn)則規(guī)定，對財(cái)務(wù)報(bào)表發(fā)表審計(jì)意見是注冊會(huì)計(jì)師的責(zé)任；在被審計(jì)單位治理層的監(jiān)督下，按照適用的會(huì)計(jì)準(zhǔn)則和相關(guān)會(huì)計(jì)制度的規(guī)定編制財(cái)務(wù)報(bào)表是被審計(jì)單位管理層的責(zé)任。此外，準(zhǔn)則條款還特別強(qiáng)調(diào)了財(cái)務(wù)報(bào)表審計(jì)不能減輕被審計(jì)單位管理層和治理層的責(zé)任。(2)明確財(cái)務(wù)報(bào)表審計(jì)目標(biāo)。新準(zhǔn)則規(guī)定，財(cái)務(wù)報(bào)表審計(jì)的目標(biāo)是注冊會(huì)計(jì)師通過執(zhí)行審計(jì)工作，對財(cái)務(wù)報(bào)表的下列方面發(fā)表審計(jì)意見：財(cái)務(wù)報(bào)表是否按照適用的會(huì)計(jì)準(zhǔn)則和相關(guān)會(huì)計(jì)制度的規(guī)定編制；財(cái)務(wù)報(bào)表是否在所有重大方面公允反映被審計(jì)單位的財(cái)務(wù)狀況、經(jīng)營成果和現(xiàn)金流量。這個(gè)規(guī)定與原有的規(guī)定沒有太大區(qū)別，但是新準(zhǔn)則中明確提出，財(cái)務(wù)報(bào)表審計(jì)屬于鑒證業(yè)務(wù)，注冊會(huì)計(jì)師的審計(jì)意見旨在提高財(cái)務(wù)報(bào)表的可信賴程度。(3)修訂審計(jì)范圍的定義。新準(zhǔn)則指出，財(cái)務(wù)報(bào)表的審計(jì)范圍是指注冊會(huì)計(jì)師為實(shí)現(xiàn)財(cái)務(wù)報(bào)表審計(jì)目標(biāo)，根據(jù)審計(jì)準(zhǔn)則和職業(yè)判斷實(shí)施的恰當(dāng)?shù)膶徲?jì)程序的總和。在確定擬實(shí)施的審計(jì)程序時(shí)，注冊會(huì)計(jì)師應(yīng)當(dāng)遵守與財(cái)務(wù)報(bào)表審計(jì)相關(guān)的各項(xiàng)審計(jì)準(zhǔn)則。恰當(dāng)?shù)膶徲?jì)程序是指審計(jì)程序的性質(zhì)、時(shí)間和范圍是恰當(dāng)?shù)?。一是審?jì)程序的性質(zhì)指審計(jì)程序的目的和類型。目的包括：通過了解被審計(jì)單位及其環(huán)境，識(shí)別、評估重大錯(cuò)報(bào)風(fēng)險(xiǎn)；通過實(shí)施控制測試，明確內(nèi)部控制運(yùn)行的有效性；通過實(shí)施實(shí)質(zhì)性程序，發(fā)現(xiàn)認(rèn)定層次的重大錯(cuò)報(bào)。類型則包括檢查、觀察、詢問、函證、重新計(jì)算、重新執(zhí)行和分析程序。二是審計(jì)程序的時(shí)間是指注冊會(huì)計(jì)師何時(shí)實(shí)施審計(jì)程序，或指審計(jì)證據(jù)適用的期間或時(shí)點(diǎn)。三是審計(jì)程序的范圍是指實(shí)施審計(jì)程序的數(shù)量，包括抽取的樣本量，對某項(xiàng)控制活動(dòng)的觀察次數(shù)等。審計(jì)范圍受到限制是指由于客觀原因或者被審計(jì)單位施加的限制，注冊會(huì)計(jì)師未能實(shí)施根據(jù)審計(jì)準(zhǔn)則和職業(yè)判斷應(yīng)當(dāng)實(shí)施的審計(jì)程序，從而未能獲取充分、適當(dāng)?shù)膶徲?jì)證據(jù)。(4)要求注冊會(huì)計(jì)師在審計(jì)過程中始終保持職業(yè)懷疑態(tài)度，并明確在財(cái)務(wù)報(bào)表審計(jì)中注冊會(huì)計(jì)師只能提供合理保證。新準(zhǔn)則要求，在計(jì)劃和實(shí)施審計(jì)工作時(shí)，注冊會(huì)計(jì)師應(yīng)當(dāng)保持職業(yè)懷疑態(tài)度，充分考慮可能存在導(dǎo)致財(cái)務(wù)報(bào)表發(fā)生重大錯(cuò)報(bào)的情形。新準(zhǔn)則指出，注冊會(huì)計(jì)師按照審計(jì)準(zhǔn)則的規(guī)定執(zhí)行審計(jì)工作，能夠?qū)ω?cái)務(wù)報(bào)表整體不存在重大錯(cuò)報(bào)獲取合理保證。由于審計(jì)中存在的固有限制影響注冊會(huì)計(jì)師發(fā)現(xiàn)重大錯(cuò)報(bào)的能力，注冊會(huì)計(jì)師不能對財(cái)務(wù)報(bào)表整體不存在重大錯(cuò)報(bào)獲取絕對保證，即只能提供合理保證。(5)引進(jìn)新的審計(jì)模型。新準(zhǔn)則對審計(jì)風(fēng)險(xiǎn)模型作了重大改變，將原審計(jì)風(fēng)險(xiǎn)模型修正為：審計(jì)風(fēng)險(xiǎn)：重大錯(cuò)報(bào)風(fēng)險(xiǎn)x檢查風(fēng)險(xiǎn)，審計(jì)風(fēng)險(xiǎn)取決于重大錯(cuò)報(bào)風(fēng)險(xiǎn)和檢查風(fēng)險(xiǎn)，是兩者的綜合風(fēng)險(xiǎn)。重大錯(cuò)報(bào)風(fēng)險(xiǎn)要求注冊會(huì)計(jì)師站在風(fēng)險(xiǎn)的高度上把握審計(jì)過程，以風(fēng)險(xiǎn)為導(dǎo)向進(jìn)行審計(jì)，強(qiáng)化了風(fēng)險(xiǎn)意識(shí)，注冊會(huì)計(jì)師對于重大錯(cuò)報(bào)風(fēng)險(xiǎn)的評估貫穿于審計(jì)的整個(gè)過程。改變后的審計(jì)風(fēng)險(xiǎn)模型使得注冊會(huì)計(jì)師從更高的層次上把握重大錯(cuò)報(bào)風(fēng)險(xiǎn)，要求注冊會(huì)計(jì)師必須了解被審計(jì)單位及其環(huán)境(包括內(nèi)部控制)，以充分識(shí)別和評估財(cái)務(wù)報(bào)表重大錯(cuò)報(bào)風(fēng)險(xiǎn)，并針對評估的重大錯(cuò)報(bào)風(fēng)險(xiǎn)設(shè)計(jì)和實(shí)施進(jìn)一步審計(jì)程序(包括控制測試和實(shí)質(zhì)性測試)，以降低注冊會(huì)計(jì)師的審計(jì)風(fēng)險(xiǎn)。在目前經(jīng)濟(jì)不確定性增大的環(huán)境下，顯然新的審計(jì)風(fēng)險(xiǎn)模型更能滿足風(fēng)險(xiǎn)控制的要求，并且可操作性較強(qiáng)。

(二)第1211號(hào)準(zhǔn)則 第1211號(hào)準(zhǔn)則是在借鑒國際審計(jì)與鑒證準(zhǔn)則第315號(hào)基礎(chǔ)上出臺(tái)的新準(zhǔn)則，將取代我國原有的《獨(dú)立審計(jì)準(zhǔn)則第21號(hào)――了解被審計(jì)單位情況》、《獨(dú)立審計(jì)準(zhǔn)則第9號(hào)――內(nèi)部控制與審計(jì)風(fēng)險(xiǎn)》和《獨(dú)立審計(jì)準(zhǔn)則第20號(hào)――計(jì)算機(jī)信息系統(tǒng)環(huán)境下的審計(jì)》，以克服舊準(zhǔn)則相互分離、缺乏有機(jī)融合的缺陷。根據(jù)《中國注冊會(huì)計(jì)師審計(jì)準(zhǔn)則第1101號(hào)――財(cái)務(wù)報(bào)表審計(jì)的目標(biāo)和一般原則》要求，注冊會(huì)計(jì)師在審計(jì)過程中應(yīng)當(dāng)貫徹風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的理念，圍繞重大錯(cuò)報(bào)風(fēng)險(xiǎn)的識(shí)別、評估和應(yīng)對，計(jì)劃和實(shí)施審計(jì)工作。其中如何識(shí)別和評估重大錯(cuò)報(bào)風(fēng)險(xiǎn)，構(gòu)成了注冊會(huì)計(jì)師應(yīng)對重大錯(cuò)報(bào)風(fēng)險(xiǎn)的前提。注冊會(huì)計(jì)師如何了解被審計(jì)單位及其環(huán)境，了解哪些具體的內(nèi)容，了解后如何對重大錯(cuò)報(bào)風(fēng)險(xiǎn)進(jìn)行評估，如何將了解和評估的過程、結(jié)果與管理層和治理層進(jìn)行溝通，在審計(jì)工作底稿中應(yīng)當(dāng)對哪些內(nèi)容進(jìn)行記錄，本準(zhǔn)則對這些問題做了明確規(guī)范，其修訂的主要內(nèi)容有：(1)注冊會(huì)計(jì)師審計(jì)的總體要求：了解被審計(jì)單位及其環(huán)境是必要程序；了解的目的是識(shí)別和評估財(cái)務(wù)報(bào)表重大錯(cuò)報(bào)風(fēng)險(xiǎn)，設(shè)計(jì)和實(shí)施進(jìn)一步審計(jì)程序；了解的程度應(yīng)當(dāng)足夠?qū)崿F(xiàn)了解的目的。與獨(dú)立審計(jì)準(zhǔn)則中的規(guī)定不同，了解被審計(jì)單位及其內(nèi)外部環(huán)境是注冊會(huì)計(jì)師審計(jì)過程中必須實(shí)施的程序，

也是風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的核心。(2)風(fēng)險(xiǎn)評估程序的概念及項(xiàng)目組內(nèi)部討論的要求。風(fēng)險(xiǎn)評估程序是指為了解被審計(jì)單位及其環(huán)境而實(shí)施的程序。風(fēng)險(xiǎn)評估程序包括：詢問被審計(jì)單位管理層和內(nèi)部其他相關(guān)人員；分析程序；觀察和檢查。注冊會(huì)計(jì)師在了解被審計(jì)單位及其環(huán)境的整個(gè)過程中，結(jié)合了解的內(nèi)容和被審計(jì)單位業(yè)務(wù)的特點(diǎn)運(yùn)用相應(yīng)的風(fēng)險(xiǎn)評估程序，并利用風(fēng)險(xiǎn)評估程序所獲取的信息評估重大錯(cuò)報(bào)風(fēng)險(xiǎn)，并可能隨著不斷獲取審計(jì)證據(jù)而作出相應(yīng)的變化。如果通過實(shí)施進(jìn)一步審計(jì)程序獲取的審計(jì)證據(jù)與初始評估獲取的審計(jì)證據(jù)相矛盾，注冊會(huì)計(jì)師應(yīng)當(dāng)修正風(fēng)險(xiǎn)評估結(jié)果，并相應(yīng)修改原計(jì)劃實(shí)施的進(jìn)一步審計(jì)程序，實(shí)施風(fēng)險(xiǎn)評估程序之后項(xiàng)目組內(nèi)部必須進(jìn)行討論。注冊會(huì)計(jì)師通過風(fēng)險(xiǎn)評估程序了解被審計(jì)單位及其環(huán)境后，需要對財(cái)務(wù)報(bào)表重大錯(cuò)報(bào)風(fēng)險(xiǎn)進(jìn)行評估，評估重大錯(cuò)報(bào)風(fēng)險(xiǎn)需要運(yùn)用專業(yè)判斷，必須由項(xiàng)目組內(nèi)部討論來完成，項(xiàng)目組內(nèi)部討論可以有效降低審計(jì)風(fēng)險(xiǎn)。在原準(zhǔn)則中，評估固有風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)也需要專業(yè)判斷，但并沒有需要項(xiàng)目組共同討論的規(guī)定。一是討論的目標(biāo)。項(xiàng)目組通過討論可以使成員更好地了解在各自分工負(fù)責(zé)的領(lǐng)域中，由于舞弊或錯(cuò)誤導(dǎo)致財(cái)務(wù)報(bào)表重大錯(cuò)報(bào)地可能性，并了解各自實(shí)施審計(jì)程序的結(jié)果如何影響審計(jì)的其他方面，包括對確定進(jìn)一步審計(jì)程序的性質(zhì)、時(shí)間和范圍的影響。二是討論的內(nèi)容。項(xiàng)目組應(yīng)當(dāng)討論被審計(jì)單位面臨的經(jīng)營風(fēng)險(xiǎn)、財(cái)務(wù)報(bào)表容易發(fā)生錯(cuò)報(bào)的領(lǐng)域以及發(fā)生錯(cuò)報(bào)的方式，特別是由于舞弊導(dǎo)致重大錯(cuò)報(bào)的可能性。三是參與討論的人員。注冊會(huì)計(jì)師應(yīng)當(dāng)運(yùn)用職業(yè)判斷確定項(xiàng)目組內(nèi)部參與討論的成員。項(xiàng)目組的關(guān)鍵成員應(yīng)當(dāng)參與討論，如果項(xiàng)目組需要擁有信息技術(shù)或其他特殊技能的專家，這些專家也應(yīng)當(dāng)參與討論。項(xiàng)目組的討論不要求所有成員每次都參與討論，參與討論人員的范圍受項(xiàng)目組成員的職責(zé)、經(jīng)驗(yàn)和信息需求的影響。四是討論的時(shí)間和方式。項(xiàng)目組應(yīng)當(dāng)根據(jù)審計(jì)的具體情況，在整個(gè)審計(jì)過程中，持續(xù)交換有關(guān)財(cái)務(wù)報(bào)表發(fā)生重大錯(cuò)報(bào)可能性的信息。項(xiàng)目組在討論時(shí)應(yīng)當(dāng)強(qiáng)調(diào)在整個(gè)過程中保持職業(yè)懷疑態(tài)度，警惕表明舞弊或錯(cuò)誤導(dǎo)致的重大錯(cuò)報(bào)可能已經(jīng)發(fā)生的信息或其他跡象，并對這些跡象進(jìn)行追蹤。通過討論，項(xiàng)目組成員可以交流和分享在整個(gè)審計(jì)過程中獲得的信息，包括可能對重大錯(cuò)報(bào)風(fēng)險(xiǎn)評估產(chǎn)生影響的信息或有關(guān)針對風(fēng)險(xiǎn)實(shí)施的審計(jì)程序的信息。(3)注冊會(huì)計(jì)師應(yīng)盡到的相關(guān)職責(zé)。對注冊會(huì)計(jì)師應(yīng)當(dāng)從哪些方面了解被審計(jì)單位及其環(huán)境作了詳細(xì)的定義：行業(yè)狀況、法律環(huán)境與監(jiān)管環(huán)境以及其他外部因素；被審計(jì)單位的性質(zhì)；被審計(jì)單位對會(huì)計(jì)政策的選擇和運(yùn)用；被審計(jì)單位的目標(biāo)、戰(zhàn)略以及相關(guān)經(jīng)營風(fēng)險(xiǎn)；被審計(jì)單位財(cái)務(wù)業(yè)績的衡量和評價(jià)；被審計(jì)單位的內(nèi)部控制。這些內(nèi)容是新準(zhǔn)則的重要內(nèi)容，值得注意的是對被審計(jì)單位的了解不僅局限于被審計(jì)單位的內(nèi)部控制。對以上新準(zhǔn)則中有相應(yīng)的章節(jié)進(jìn)行具體的闡述，使得注冊會(huì)計(jì)師思考的是究竟哪些方面去了解被審計(jì)單位，而不像原有準(zhǔn)則中是比較模糊的概念，這樣做可以有效防止了解的不徹底影響審計(jì)工作，低估重大錯(cuò)報(bào)風(fēng)險(xiǎn)。(4)明確了注冊會(huì)計(jì)師了解內(nèi)部控制的定位。注冊會(huì)計(jì)師需要了解和評價(jià)的內(nèi)部控制只是與財(cái)務(wù)報(bào)表審計(jì)相關(guān)的內(nèi)部控制，并非被審計(jì)單位所有的內(nèi)部控制。因?yàn)樽詴?huì)計(jì)師審計(jì)的目標(biāo)是對財(cái)務(wù)報(bào)表是否不存在重大錯(cuò)報(bào)發(fā)表審計(jì)意見，注冊會(huì)計(jì)師考慮與財(cái)務(wù)報(bào)表編制相關(guān)的內(nèi)部控制，但目的并非對被審計(jì)單位內(nèi)部控制的有效性發(fā)表意見。(5)明確了注冊會(huì)計(jì)師評估兩個(gè)層次的重大錯(cuò)報(bào)風(fēng)險(xiǎn)。在對重大錯(cuò)報(bào)風(fēng)險(xiǎn)進(jìn)行識(shí)別和評估后，注冊會(huì)計(jì)師應(yīng)當(dāng)確定識(shí)別的重大錯(cuò)報(bào)風(fēng)險(xiǎn)是與特定的各類交易、賬戶余額、列報(bào)的認(rèn)定相關(guān)，還是與財(cái)務(wù)報(bào)表整體廣泛相關(guān)，進(jìn)而影響多項(xiàng)認(rèn)定。某些重大錯(cuò)報(bào)風(fēng)險(xiǎn)可能與特定的各類交易、賬戶余額、列報(bào)的認(rèn)定相關(guān)。如被審計(jì)單位存在復(fù)雜的聯(lián)營或合資，這一事項(xiàng)表明長期股權(quán)投資賬戶的認(rèn)定可能存在重大錯(cuò)報(bào)風(fēng)險(xiǎn)。又如被審計(jì)單位存在重大的關(guān)聯(lián)方交易，該事項(xiàng)表明關(guān)聯(lián)方及關(guān)聯(lián)方交易的披露認(rèn)定可能存在重大錯(cuò)報(bào)風(fēng)險(xiǎn)。某些重大錯(cuò)報(bào)風(fēng)險(xiǎn)可能與財(cái)務(wù)報(bào)表整體廣泛相關(guān)，進(jìn)而影響多項(xiàng)認(rèn)定。如在經(jīng)濟(jì)不穩(wěn)定的國家和地區(qū)開展業(yè)務(wù)、資產(chǎn)的流動(dòng)性出現(xiàn)問題、重要客戶流失、融資能力受到限制等，可能導(dǎo)致注冊會(huì)計(jì)師對被審計(jì)單位的持續(xù)經(jīng)營能力產(chǎn)生重大疑慮。又如管理層缺乏誠信或承受異常的壓力可能引發(fā)舞弊風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)與財(cái)務(wù)報(bào)表整體相關(guān)。(6)提出了特別風(fēng)險(xiǎn)的概念，需要特別考慮的重大錯(cuò)報(bào)風(fēng)險(xiǎn)即為特別風(fēng)險(xiǎn)，并根據(jù)風(fēng)險(xiǎn)的性質(zhì)、潛在錯(cuò)報(bào)的重要程度和發(fā)生的可能性判斷風(fēng)險(xiǎn)是否屬于特別風(fēng)險(xiǎn)。如風(fēng)險(xiǎn)是否屬于舞弊風(fēng)險(xiǎn)；交易的復(fù)雜程度；風(fēng)險(xiǎn)是否涉及重大的關(guān)聯(lián)方交易等。(7)提出了對僅通過實(shí)質(zhì)性程序無法應(yīng)對的重大錯(cuò)報(bào)風(fēng)險(xiǎn)的處理方法。僅通過實(shí)質(zhì)性程序獲取的審計(jì)證據(jù)無法將認(rèn)定層次的重大錯(cuò)報(bào)風(fēng)險(xiǎn)降至可接受的低水平，注冊會(huì)計(jì)師應(yīng)當(dāng)評價(jià)被審計(jì)單位針對這些風(fēng)險(xiǎn)設(shè)計(jì)的控制，并確定其執(zhí)行情況。在被審計(jì)單位對日常交易采用高度自動(dòng)化處理的情況下，審計(jì)證據(jù)可能僅以電子形式存在，其充分性和適當(dāng)性通常取決于自動(dòng)化信息系統(tǒng)相關(guān)控制的有效性，注冊會(huì)計(jì)師應(yīng)當(dāng)考慮僅通過實(shí)施實(shí)質(zhì)性程序不能獲取充分、適當(dāng)審計(jì)證據(jù)的可能性。如果認(rèn)為僅通過實(shí)施實(shí)質(zhì)性程序不能獲取充分、適當(dāng)?shù)膶徲?jì)證據(jù)，注冊會(huì)計(jì)師應(yīng)當(dāng)考慮依賴的相關(guān)控制的有效性，并對其進(jìn)行了解、評估和測試。(8)將了解被審計(jì)單位及其環(huán)境過程中獲得的信息記錄與工作底稿中。此類信息包括項(xiàng)目組對由于舞弊或錯(cuò)誤導(dǎo)致財(cái)務(wù)報(bào)表發(fā)生重大錯(cuò)報(bào)的可能性進(jìn)行的討論，以便得出的重要結(jié)論；對被審計(jì)單位及其環(huán)境各個(gè)方面的了解要點(diǎn)、信息來源以及實(shí)施的風(fēng)險(xiǎn)評估程序；在財(cái)務(wù)報(bào)表層次和認(rèn)定層次識(shí)別、評估出的重大錯(cuò)報(bào)風(fēng)險(xiǎn)；識(shí)別出的特別風(fēng)險(xiǎn)和僅通過實(shí)質(zhì)性程序無法應(yīng)對的重大錯(cuò)報(bào)風(fēng)險(xiǎn)，以及對相關(guān)控制的評估。

(三)第1231號(hào)準(zhǔn)則 第1231號(hào)準(zhǔn)則是在借鑒國際審計(jì)與鑒證準(zhǔn)則第330號(hào)的基礎(chǔ)上出臺(tái)的一個(gè)全新的準(zhǔn)則，將取代原有的《第21號(hào)――了解被審計(jì)單位情況》、《第9號(hào)――內(nèi)部控制與審計(jì)風(fēng)險(xiǎn)》和《第20號(hào)――計(jì)算機(jī)信息系統(tǒng)環(huán)境下的審計(jì)》。根據(jù)《中國注冊會(huì)計(jì)師審計(jì)準(zhǔn)則第1101號(hào)――財(cái)務(wù)報(bào)表審計(jì)的目標(biāo)和一般原則》的要求，注冊會(huì)計(jì)師在審計(jì)過程中應(yīng)當(dāng)貫徹風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的理念，圍繞重大錯(cuò)報(bào)風(fēng)險(xiǎn)的識(shí)別、評估和應(yīng)對，計(jì)劃和實(shí)施審計(jì)工作。其中《第1211號(hào)――了解被審計(jì)單位及其環(huán)境并評估重大錯(cuò)報(bào)風(fēng)險(xiǎn)》規(guī)范了注冊會(huì)計(jì)師通過實(shí)施風(fēng)險(xiǎn)評估程序，識(shí)別和評估財(cái)務(wù)報(bào)表層次以及各類交易、賬戶余額、列報(bào)認(rèn)定層次的重大錯(cuò)報(bào)風(fēng)險(xiǎn)，注冊會(huì)計(jì)師針對已評估的財(cái)務(wù)報(bào)表層次的重大錯(cuò)報(bào)風(fēng)險(xiǎn)如何確定總體應(yīng)對措施，針對已評估的認(rèn)定層次的重大錯(cuò)報(bào)風(fēng)險(xiǎn)如何設(shè)計(jì)和實(shí)施進(jìn)一步審計(jì)程序，進(jìn)一步審計(jì)程序的性質(zhì)、時(shí)間、范圍如何確定和實(shí)施，如何評價(jià)實(shí)施審計(jì)程序收集的審計(jì)證據(jù)的充分性和適當(dāng)性，在審計(jì)工作底稿中將對哪些審計(jì)工作進(jìn)行記錄等，對這些問題的明確規(guī)范是第1231號(hào)準(zhǔn)則的核心內(nèi)容。其修訂的主要內(nèi)容有：總體要求、針對重大錯(cuò)報(bào)風(fēng)險(xiǎn)的總體反應(yīng)、審計(jì)程序的不可預(yù)見性、總體方案和進(jìn)一步審計(jì)程序、控制測試的相關(guān)要求、實(shí)質(zhì)性程序及相關(guān)要求、審計(jì)的相關(guān)要求、審計(jì)工作記錄。(1)明確提出了對注冊會(huì)計(jì)師審計(jì)的兩個(gè)總體要求：審計(jì)程序的總體要求，注冊會(huì)計(jì)師應(yīng)

當(dāng)對評估的財(cái)務(wù)報(bào)表層次重大錯(cuò)報(bào)風(fēng)險(xiǎn)確定總體應(yīng)對措施，并針對評估的認(rèn)定層次重大錯(cuò)報(bào)風(fēng)險(xiǎn)設(shè)計(jì)和實(shí)施進(jìn)一步審計(jì)程序；職業(yè)判斷的總體要求，注冊會(huì)計(jì)師在確定總體應(yīng)對措施以及設(shè)計(jì)和實(shí)施進(jìn)一步審計(jì)程序的性質(zhì)、時(shí)間和范圍時(shí)應(yīng)當(dāng)運(yùn)用職業(yè)判斷。(2)首次提出了注冊會(huì)計(jì)師應(yīng)當(dāng)針對評估的財(cái)務(wù)報(bào)表層次重大錯(cuò)報(bào)風(fēng)險(xiǎn)確定下列總體應(yīng)對措施：向項(xiàng)目組強(qiáng)調(diào)在收集和評價(jià)審計(jì)證據(jù)過程中保持職業(yè)懷疑態(tài)度的必要性；分派更有經(jīng)驗(yàn)或具有特殊技能的審計(jì)人員，或利用專家的工作；提供更多的督導(dǎo)；在選擇進(jìn)一步審計(jì)程序時(shí)，應(yīng)當(dāng)注意使某些程序不被管理層預(yù)見或事先了解；對擬實(shí)施審計(jì)程序的性質(zhì)、時(shí)間和范圍作出總體修改。(3)強(qiáng)調(diào)審計(jì)程序的不可預(yù)見性要求。注冊會(huì)計(jì)師針對評估的財(cái)務(wù)報(bào)表層次重大錯(cuò)報(bào)風(fēng)險(xiǎn)確定的總體應(yīng)對措施中強(qiáng)調(diào)增強(qiáng)審計(jì)程序的不可預(yù)見性，因此，注冊會(huì)計(jì)師在設(shè)計(jì)擬實(shí)施審計(jì)程序的性質(zhì)、時(shí)間和范圍時(shí)，為了避免既定思維對審計(jì)方案的限制，避免對審計(jì)效果的人為干涉，從而使得針對重大錯(cuò)報(bào)風(fēng)險(xiǎn)的進(jìn)一步審計(jì)程序更加有效，注冊會(huì)計(jì)師要考慮使某些程序不被審計(jì)單位管理層預(yù)見或事先了解。(4)首次提出了兩種總體方案和進(jìn)一步審計(jì)程序的概念。兩種總體方案分別為實(shí)質(zhì)性方案和綜合性方案，實(shí)質(zhì)性方案是指注冊會(huì)計(jì)師實(shí)施的進(jìn)一步審計(jì)程序以實(shí)質(zhì)性程序?yàn)橹?；綜合性方案是指注冊會(huì)計(jì)師在實(shí)施進(jìn)一步審計(jì)程序時(shí)，將控制測試與實(shí)質(zhì)性程序結(jié)合使用。而所謂的進(jìn)一步審計(jì)程序是相對風(fēng)險(xiǎn)評估程序而言的，是注冊會(huì)計(jì)師針對評估的各類交易、賬戶余額、列報(bào)認(rèn)定層次重大錯(cuò)報(bào)風(fēng)險(xiǎn)實(shí)施的審計(jì)程序，包括控制測試和實(shí)質(zhì)性程序。(5)重新界定了注冊會(huì)計(jì)師實(shí)施控制測試的兩種情形，當(dāng)存在下列情形之一時(shí)，注冊會(huì)計(jì)師應(yīng)當(dāng)實(shí)施控制測試：在評估認(rèn)定層次重大錯(cuò)報(bào)風(fēng)險(xiǎn)時(shí)，預(yù)期控制的運(yùn)行時(shí)有效的；僅實(shí)施實(shí)質(zhì)性程序不足以提供認(rèn)定層次充分、適當(dāng)?shù)膶徲?jì)證據(jù)。(6)強(qiáng)調(diào)了實(shí)施控制測試獲取審計(jì)證據(jù)的重要性。即認(rèn)為僅實(shí)施實(shí)質(zhì)性程序獲取的審計(jì)證據(jù)無法將認(rèn)定層次重大錯(cuò)報(bào)風(fēng)險(xiǎn)降至可接受水平，注冊會(huì)計(jì)師應(yīng)當(dāng)實(shí)施相關(guān)的控制測試，以獲取控制運(yùn)行有效性的審計(jì)證據(jù)。(7)增加了“重新執(zhí)行”的控制測試取證方法。根據(jù)第1301號(hào)審計(jì)證據(jù)準(zhǔn)則，注冊會(huì)計(jì)師獲取審計(jì)證據(jù)的具體程序中將六種具體的取證方法修改為八種，即檢查記錄或文件；檢查有形資產(chǎn)；觀察；詢問；函證；重新計(jì)算；重新執(zhí)行；分析程序。其中增加了“重新執(zhí)行”控制測試的取證方法。(8)嚴(yán)格限制了注冊會(huì)計(jì)師無限期或過長時(shí)間內(nèi)不實(shí)施測試的做法。如果擬信賴的控制自上次測試后未發(fā)生變化，且不屬于旨在減輕特別風(fēng)險(xiǎn)的控制，注冊會(huì)計(jì)師應(yīng)當(dāng)運(yùn)用職業(yè)判斷確定是否在本期審計(jì)中測試其運(yùn)行有效性，以及本次測試與上次測試的時(shí)間間隔，但兩次測試的時(shí)間間隔不得超過兩年。(9)首次明確區(qū)分“控制運(yùn)行的有效性”與“控制是否得到執(zhí)行”。注冊會(huì)計(jì)師在了解被審計(jì)單位及其環(huán)境時(shí)需要實(shí)施風(fēng)險(xiǎn)評估程序。注冊會(huì)計(jì)師在確定控制是否得到執(zhí)行而實(shí)施的某些風(fēng)險(xiǎn)評估程序可能提供有關(guān)控制運(yùn)行有效性的審計(jì)證據(jù)。注冊會(huì)計(jì)師可以考慮在評價(jià)控制設(shè)計(jì)和獲取其得到執(zhí)行的審計(jì)證據(jù)的同時(shí)測試控制運(yùn)行有效性，以提高審計(jì)效率。兩者的區(qū)別如(表1)所示。(10)首次明確期中進(jìn)行控制測試的考慮。如果注冊會(huì)計(jì)師在期中實(shí)施控制測試程序，即使注冊會(huì)計(jì)師已獲取有關(guān)控制在期中運(yùn)行有效性的審計(jì)證據(jù)，仍然需要考慮如何能夠?qū)⒖刂圃谄谥羞\(yùn)行有效性的審計(jì)證據(jù)合理延伸至期末，以確保針對期中至期末這段剩余期間獲取充分、適當(dāng)?shù)膶徲?jì)證據(jù)。如果已獲取有關(guān)控制在期中運(yùn)行有效性的審計(jì)證據(jù)，并擬利用該證據(jù)，注冊會(huì)計(jì)師應(yīng)當(dāng)實(shí)施下列審計(jì)程序：首先，獲取這些控制在剩余期間變化情況的審計(jì)證據(jù)。針對期中已獲取過審計(jì)證據(jù)的情況，如果這些控制在剩余期間沒有發(fā)生變化，注冊會(huì)計(jì)師可能決定信賴期中獲取的審計(jì)證據(jù)；如果這些控制在剩余期間發(fā)生了變化，注冊會(huì)計(jì)師需要了解并測試控制的變化對期中審計(jì)證據(jù)的影響。其次，確定針對剩余期間還需獲取的補(bǔ)充審計(jì)證據(jù)。針對期中已獲取過審計(jì)證據(jù)的情況，如果這些控制在剩余期間發(fā)生了變化，注冊會(huì)計(jì)師應(yīng)當(dāng)考慮下列因素：評估的認(rèn)定層次重大錯(cuò)報(bào)風(fēng)險(xiǎn)的重大程度。評估的重大錯(cuò)報(bào)風(fēng)險(xiǎn)對財(cái)務(wù)報(bào)表的影響越大，注冊會(huì)計(jì)師需要獲取的剩余期間的補(bǔ)充證據(jù)越多；在期中測試的特定控制。如對自動(dòng)化運(yùn)行的控制，注冊會(huì)計(jì)師更可能測試信息系統(tǒng)一般控制的運(yùn)行有效性，以獲取控制在剩余期間運(yùn)行有效姓的審計(jì)證據(jù)；在期中對有關(guān)控制運(yùn)行有效性獲取的審計(jì)證據(jù)的程度。如果注冊會(huì)計(jì)師在期中對有關(guān)控制運(yùn)行有效性獲取的審計(jì)證據(jù)比較充分，可以考慮適當(dāng)減少需要獲取的剩余期間的補(bǔ)充證據(jù)；剩余期間的長度。剩余期間越長，注冊會(huì)計(jì)師需要獲取的剩余期間的補(bǔ)充證據(jù)越多；在信賴控制的基礎(chǔ)上擬減少進(jìn)一步實(shí)質(zhì)性程序的范圍。注冊會(huì)計(jì)師對相關(guān)控制的信賴程度越高，通常在信賴控制的基礎(chǔ)上擬減少進(jìn)一步實(shí)質(zhì)性程序的范圍就越大。在這種情況下，注冊會(huì)計(jì)師需要獲取的剩余期間的補(bǔ)充證據(jù)越多；控制環(huán)境。在注冊會(huì)計(jì)師總體上擬信賴控制的前提下，控制環(huán)境越薄弱(或把握程度越低)，注冊會(huì)計(jì)師需要獲取的剩余期間的補(bǔ)充證據(jù)越多。(11)明確了實(shí)質(zhì)性程序概念和內(nèi)容。實(shí)質(zhì)性程序是指注冊會(huì)計(jì)師針對評估的重大錯(cuò)報(bào)風(fēng)險(xiǎn)實(shí)施的直接用以發(fā)現(xiàn)認(rèn)定層次重大錯(cuò)報(bào)的審計(jì)程序。包括對各類交易、賬戶余額、列報(bào)的細(xì)節(jié)測試以及實(shí)質(zhì)性分析程序。(12)明確了對于特別風(fēng)險(xiǎn)的專門應(yīng)對程序。如果認(rèn)為評估的認(rèn)定層次重大錯(cuò)報(bào)風(fēng)險(xiǎn)是特別風(fēng)險(xiǎn)，注冊會(huì)計(jì)師應(yīng)當(dāng)專門針對該風(fēng)險(xiǎn)實(shí)施實(shí)質(zhì)性程序；如果針對特別風(fēng)險(xiǎn)僅實(shí)施實(shí)質(zhì)性程序，注冊會(huì)計(jì)師應(yīng)當(dāng)使用細(xì)節(jié)測試，或?qū)⒓?xì)節(jié)測試和實(shí)質(zhì)性分析程序結(jié)合使用，以獲取充分、適當(dāng)?shù)膶徲?jì)證據(jù)。(13)首次提出了是否在期中實(shí)施實(shí)質(zhì)性程序。注冊會(huì)計(jì)師如果在期中實(shí)施了實(shí)質(zhì)性程序，仍然需要消耗進(jìn)一步的審計(jì)資源使期中審計(jì)證據(jù)能夠合理延伸至期末，注冊會(huì)計(jì)師應(yīng)當(dāng)考慮是否在期中實(shí)施實(shí)質(zhì)性程序。(14)指明了財(cái)務(wù)報(bào)表審計(jì)是一個(gè)累計(jì)和不斷修正的過程。隨著計(jì)劃的審計(jì)程序的實(shí)施，如果獲取的信息與風(fēng)險(xiǎn)評估時(shí)依據(jù)的信息有重大差異，注冊會(huì)計(jì)師應(yīng)當(dāng)考慮修正風(fēng)險(xiǎn)評估結(jié)果，并據(jù)以修改原計(jì)劃的其他審計(jì)程序的性質(zhì)、時(shí)間和范圍。(15)明確了注冊會(huì)計(jì)師應(yīng)當(dāng)針對評估的風(fēng)險(xiǎn)設(shè)計(jì)細(xì)節(jié)測試。如在針對存在或發(fā)生認(rèn)定設(shè)計(jì)細(xì)節(jié)測試時(shí)，注冊會(huì)計(jì)師應(yīng)當(dāng)選擇包含在財(cái)務(wù)報(bào)表金額中的項(xiàng)目，并獲取相關(guān)審計(jì)證據(jù)；針對完整性認(rèn)定設(shè)計(jì)細(xì)節(jié)測試時(shí)，注冊會(huì)計(jì)師應(yīng)當(dāng)選擇有證據(jù)表明應(yīng)包含在財(cái)務(wù)報(bào)表金額中的項(xiàng)目，并調(diào)查這些項(xiàng)目是否確實(shí)包括在內(nèi)。(16)明確了審計(jì)工作記錄要求。注冊會(huì)計(jì)師應(yīng)當(dāng)針對評估的重大錯(cuò)報(bào)風(fēng)險(xiǎn)實(shí)施的程序進(jìn)行充分的審計(jì)工作記錄。包括記錄：對評估的財(cái)務(wù)報(bào)表層次重大錯(cuò)報(bào)風(fēng)險(xiǎn)采取的總體應(yīng)對措施；實(shí)施進(jìn)一步審計(jì)程序的性質(zhì)、時(shí)間和范圍；實(shí)施進(jìn)一步審計(jì)程序與評估的認(rèn)定層次重大錯(cuò)報(bào)風(fēng)險(xiǎn)的聯(lián)系；實(shí)施進(jìn)一步審計(jì)程序的結(jié)果。

(四)第1301號(hào)準(zhǔn)則 第1301號(hào)準(zhǔn)則是在借鑒國際審計(jì)與鑒證準(zhǔn)則第500號(hào)的基礎(chǔ)上，對我國原有的《獨(dú)立審計(jì)準(zhǔn)則第5號(hào)――審計(jì)證據(jù)》進(jìn)行修訂而形成的。此次重大修訂的內(nèi)容有：(1)拓展了審計(jì)證據(jù)的內(nèi)涵。原審計(jì)證據(jù)準(zhǔn)則將審計(jì)證據(jù)定義為“注冊會(huì)計(jì)師在執(zhí)行審計(jì)業(yè)務(wù)過程中，為形成審計(jì)意見所獲取的證據(jù)”。原審計(jì)證據(jù)準(zhǔn)則對審計(jì)證據(jù)的內(nèi)涵界定比較窄，注冊會(huì)計(jì)師收集

的審計(jì)證據(jù)更多體現(xiàn)的是與財(cái)務(wù)報(bào)表會(huì)計(jì)記錄相關(guān)的信息。修訂后審計(jì)證據(jù)準(zhǔn)則將審計(jì)證據(jù)定義為“注冊會(huì)計(jì)師為了得到審計(jì)結(jié)論、形成審計(jì)意見而使用的所有信息”。新審計(jì)證據(jù)準(zhǔn)則對審計(jì)證據(jù)的內(nèi)涵要寬泛得多，不僅包括與財(cái)務(wù)報(bào)表會(huì)計(jì)記錄相關(guān)的信息，還包括其他信息。如(圖1)所示。

其中，第一類審計(jì)證據(jù)是“財(cái)務(wù)報(bào)表依據(jù)的會(huì)計(jì)記錄中含有的信息”。會(huì)計(jì)記錄中含有的信息是最基本信息。構(gòu)成了財(cái)務(wù)報(bào)表最主要的內(nèi)容，一般包括對初始分列的記錄和支持性記錄，如支票、電子資金轉(zhuǎn)賬記錄、發(fā)票、合同、總賬、明細(xì)賬、記賬憑證和未在記賬憑證中反映的對財(cái)務(wù)報(bào)表的其他調(diào)整，以及支持成本分配、計(jì)算、調(diào)節(jié)和披露的手工計(jì)算表和電子數(shù)據(jù)表。第二類審計(jì)證據(jù)是“其他信息”。其他信息是用來印證會(huì)計(jì)記錄中含有的信息是否真實(shí)、完整，指導(dǎo)注冊會(huì)計(jì)師如何識(shí)別、評估財(cái)務(wù)報(bào)表重大錯(cuò)報(bào)風(fēng)險(xiǎn)，一般包括：注冊會(huì)計(jì)師從被審計(jì)單位內(nèi)部或外部獲取的會(huì)計(jì)記錄以外的信息，如被審計(jì)單位會(huì)議記錄、內(nèi)部控制手冊、函證函的回函、分析師的報(bào)告、與競爭者的比較數(shù)據(jù)等；通過詢問、觀察和檢查等審計(jì)程序獲取的信息，如通過檢查存貨獲取存貨存在性的證據(jù)等；自身編制或獲取的可以通過合理推斷得出結(jié)論的信息，如注冊會(huì)計(jì)師編制的各種計(jì)算表、分析表等。(2)引進(jìn)了“認(rèn)定”的概念。原審計(jì)證據(jù)準(zhǔn)則未將“認(rèn)定”寫進(jìn)準(zhǔn)則，整個(gè)審計(jì)準(zhǔn)則體系對“認(rèn)定”概念重視不夠，新審計(jì)證據(jù)準(zhǔn)則引入“認(rèn)定”概念，并要求注冊會(huì)計(jì)師詳細(xì)運(yùn)用認(rèn)定指導(dǎo)具體審計(jì)目標(biāo)，根據(jù)具體審計(jì)目標(biāo)來設(shè)計(jì)和確定進(jìn)一步審計(jì)程序。(3)將獲取審計(jì)證據(jù)的程序區(qū)分為總體程序和具體程序。原審計(jì)證據(jù)準(zhǔn)則只列了六種具體的取證方法。修訂后的審計(jì)證據(jù)準(zhǔn)則將注冊會(huì)計(jì)師獲取審計(jì)證據(jù)的程序區(qū)分為總體程序和具體程序，總體程序增加了風(fēng)險(xiǎn)評估程序，即包括風(fēng)險(xiǎn)評估程序、控制測試和實(shí)質(zhì)性程序；具體程序中將六種具體的取證方法修改為八種，具體包括的內(nèi)容前文已述及。其中，將“監(jiān)盤”程序進(jìn)行細(xì)分，因?yàn)椤氨O(jiān)盤”是“檢查記錄或文件”、“檢查有形資產(chǎn)”、“觀察”等具體審計(jì)程序的復(fù)合程序；增加“重新執(zhí)行”具體程序；將原來的“計(jì)算”和“分析性復(fù)核”分別修改為“重新計(jì)算”和“分析程序”。(4)新增風(fēng)險(xiǎn)評估程序。根據(jù)風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)準(zhǔn)則體系的要求，注冊會(huì)計(jì)師應(yīng)當(dāng)通過了解被審計(jì)單位及其環(huán)境識(shí)別重大錯(cuò)報(bào)風(fēng)險(xiǎn)，并針對評估的重大錯(cuò)報(bào)風(fēng)險(xiǎn)設(shè)計(jì)和實(shí)施進(jìn)一步的審計(jì)程序，因此，在修訂后的審計(jì)證據(jù)準(zhǔn)則中增加“風(fēng)險(xiǎn)評估程序”，以此為手段通過了解情況作為評估財(cái)務(wù)報(bào)表層次和認(rèn)定層次重大錯(cuò)報(bào)風(fēng)險(xiǎn)的基礎(chǔ)。但風(fēng)險(xiǎn)評估程序并不能識(shí)別出所有的重大錯(cuò)報(bào)風(fēng)險(xiǎn)，雖然它可作為評估財(cái)務(wù)報(bào)表層次和認(rèn)定層次重大錯(cuò)報(bào)風(fēng)險(xiǎn)的基礎(chǔ)，但并不能為發(fā)表審計(jì)意見提供充分、適當(dāng)?shù)膶徲?jì)證據(jù)。為了獲取充分、適當(dāng)?shù)膶徲?jì)證據(jù)，注冊會(huì)計(jì)師還需要實(shí)施進(jìn)一步程序，包括實(shí)施控制測試(必要時(shí)或決定測試時(shí))和實(shí)質(zhì)性程序。(5)新增“重新執(zhí)行”的具體審計(jì)程序。重新執(zhí)行是指注冊會(huì)計(jì)師以人工方式或使用計(jì)算機(jī)輔助審計(jì)技術(shù)，重新獨(dú)立執(zhí)行作為被審計(jì)單位內(nèi)部控制組成部分的程序或控制。如注冊會(huì)計(jì)師利用被審計(jì)單位的銀行存款日記賬和銀行對賬單，重新編制銀行存款余額調(diào)節(jié)表，并與被審計(jì)單位編制的銀行存款余額調(diào)節(jié)表進(jìn)行比較。

三、審計(jì)風(fēng)險(xiǎn)準(zhǔn)則對注冊會(huì)計(jì)師的影響

(一)對注冊會(huì)計(jì)師審計(jì)理念的影響注冊會(huì)計(jì)師審計(jì)的主線始終是對重大錯(cuò)報(bào)風(fēng)險(xiǎn)的識(shí)別、評估與應(yīng)對。注冊會(huì)計(jì)師為了實(shí)現(xiàn)審計(jì)目標(biāo)。在計(jì)劃和實(shí)施審計(jì)工作時(shí)，應(yīng)當(dāng)保持職業(yè)懷疑態(tài)度，充分考慮可能導(dǎo)致會(huì)計(jì)報(bào)表發(fā)生重大錯(cuò)報(bào)的情形。在審計(jì)和實(shí)施進(jìn)一步審計(jì)程序時(shí)，注冊會(huì)計(jì)師應(yīng)當(dāng)將審計(jì)程序的性質(zhì)、時(shí)間及范圍與識(shí)別和評估的風(fēng)險(xiǎn)相聯(lián)系，以防止機(jī)械利用程序表從形式上迎合獨(dú)立審計(jì)準(zhǔn)則對審計(jì)程序的要求。注冊會(huì)計(jì)師必須針對重大的各類交易、賬戶余額、列報(bào)和披露實(shí)施實(shí)質(zhì)性測試。注冊會(huì)計(jì)師對重大錯(cuò)報(bào)風(fēng)險(xiǎn)評估是一種判斷，并且內(nèi)部控制存在固有限制，無論評估的重大錯(cuò)報(bào)風(fēng)險(xiǎn)結(jié)果如何，注冊會(huì)計(jì)師必須針對重大的各類交易、賬戶余額、列報(bào)和披露實(shí)施實(shí)質(zhì)性程序，不得將實(shí)質(zhì)性測試只集中在例外事項(xiàng)上。

篇5

自20世紀(jì)80年代起，隨著對風(fēng)險(xiǎn)評估問題研究的不斷深入，出現(xiàn)了多種風(fēng)險(xiǎn)評估方法和標(biāo)準(zhǔn)。但是，這些方法和標(biāo)準(zhǔn)一般都是針對大型機(jī)構(gòu)或部門的信息系統(tǒng)設(shè)計(jì)，用于實(shí)施風(fēng)險(xiǎn)評估，往往工作量較大，無法適用于中小型信息系統(tǒng)。

因此，在已知的大量實(shí)際案例中，風(fēng)險(xiǎn)評估的實(shí)施往往沒有采用經(jīng)典的由威脅、脆弱性、資產(chǎn)組成的標(biāo)準(zhǔn)模型，而代之以最佳實(shí)踐法、資產(chǎn)評估法、基于場景的分析法等方法。其中，最佳實(shí)踐法側(cè)重于分析對不同類別資產(chǎn)所采取的安全措施；資產(chǎn)評估法重點(diǎn)關(guān)注資產(chǎn)在組織層面的價(jià)值；基于場景的分析法則依靠測試和分析典型風(fēng)險(xiǎn)場景來實(shí)現(xiàn)風(fēng)險(xiǎn)評估。這些方法的問題包括：1、評估過程花費(fèi)昂貴且耗時(shí)過長，評估結(jié)果無法及時(shí)反應(yīng)信息系統(tǒng)風(fēng)險(xiǎn)狀態(tài)；2、安全措施的選擇往往并非基于風(fēng)險(xiǎn)模型，而是基于由最佳實(shí)踐得出的安全措施清單，無法科學(xué)地反映被評估系統(tǒng)的問題。

在學(xué)術(shù)領(lǐng)域，也有不少研究致力于將故障樹、事件樹、馬爾可夫鏈、FMEA等建模技術(shù)應(yīng)用于風(fēng)險(xiǎn)評估模型的構(gòu)建。如基于DS證據(jù)推理的風(fēng)險(xiǎn)評估模型、基于貝葉斯網(wǎng)絡(luò)的風(fēng)險(xiǎn)評估模型P]、基于攻擊樹的風(fēng)險(xiǎn)評估模型等。上述方法的共同缺點(diǎn)包括：假設(shè)的主觀性較強(qiáng)、風(fēng)險(xiǎn)因素與風(fēng)險(xiǎn)之間關(guān)系的識(shí)別的復(fù)雜性較高、時(shí)間較長。

2011年，Lazzerini和Mkrtchyan提出了一種使用具有非線性隸屬函數(shù)、條件權(quán)重及時(shí)延權(quán)重的擴(kuò)展模糊認(rèn)知圖（E-FCMs)來分析風(fēng)險(xiǎn)因素和風(fēng)險(xiǎn)之間關(guān)系的方法，在該文獻(xiàn)中，倆人還提出了一種基于E-FCMs的悲觀方法來評估一個(gè)系統(tǒng)或項(xiàng)目整體風(fēng)險(xiǎn)的模型，并通過引入適合于風(fēng)險(xiǎn)分析的特殊圖示對E-FCMs進(jìn)行了擴(kuò)展。但是，本文研究的信息安全風(fēng)險(xiǎn)屬于操作類風(fēng)險(xiǎn)，上述方法不能直接用于解決此類風(fēng)險(xiǎn)評估問題。

本文提出了一種基于模糊認(rèn)知圖（FuzzyCognitiveMaps，F(xiàn)CM)的輕量級風(fēng)險(xiǎn)評估方法，方法包括風(fēng)險(xiǎn)模型構(gòu)建、風(fēng)險(xiǎn)推理兩部分。其中，模糊認(rèn)知圖被用于獲取資產(chǎn)間依賴關(guān)系，基于模糊認(rèn)知圖的推理方法被用于將低級資產(chǎn)（如硬件、軟件、信道、人等）的風(fēng)險(xiǎn)整合至高級資產(chǎn)（如服務(wù)、數(shù)據(jù)、業(yè)務(wù)流程等）。另外，本文還以一個(gè)移動(dòng)辦公信息系統(tǒng)為例，對方法的應(yīng)用進(jìn)行了研究。

2模糊認(rèn)知圖簡介

Kosko最早通過引入模糊值對認(rèn)知圖進(jìn)行擴(kuò)展，形成了模糊認(rèn)知圖的概念。大量文獻(xiàn)對模糊認(rèn)知圖進(jìn)行了研究[9]，應(yīng)用范疇包括：系統(tǒng)建模、經(jīng)濟(jì)制度發(fā)展分析、新技術(shù)應(yīng)用、生態(tài)系統(tǒng)分析和醫(yī)學(xué)決策支持等。

FCM是一種有向圖，每個(gè)節(jié)點(diǎn)表示系統(tǒng)中的一個(gè)概念，這個(gè)概念可以是系統(tǒng)的事件、目標(biāo)和趨勢等，整個(gè)模型包含一組概念C={c1,...,c?}；有向邊表示節(jié)點(diǎn)間的因果關(guān)系。每個(gè)概念節(jié)點(diǎn)具有各自的激活水平值，激活水平值一般為[0,1]或[-1,1]的實(shí)數(shù)，系統(tǒng)狀態(tài)是各節(jié)點(diǎn)激活水平值的n維向量(《=|C|)。

在FCM中，節(jié)點(diǎn)間因果關(guān)系由邊和邊的權(quán)重表示。連接兩個(gè)節(jié)點(diǎn)C和Cj的邊的權(quán)重為正，表示c增長將引起C]增長，權(quán)重為負(fù)則表示c增長將引起c]減小。最簡單的FCM僅以值-1,0或1作為邊權(quán)重，在圖中分別用負(fù)號(hào)㈠邊、沒有邊、正號(hào)㈩邊表示。為了更精確地定義因果關(guān)系，一般會(huì)用語言值（如強(qiáng)烈否定、否定、偏否定、中立、偏肯定、肯定、強(qiáng)烈肯定）表示權(quán)重，計(jì)算時(shí)再將這些語言值均勻映射到區(qū)間上。

FCM中各節(jié)點(diǎn)間的因果關(guān)系可以用_的影響力矩陣￡=[%]表示，矩陣元素代表連接節(jié)點(diǎn)ct和c3的邊權(quán)重；若兩節(jié)點(diǎn)間無因果關(guān)系，則用0值表示。圖1是一個(gè)FCM的例子，Cl,C2,C3,C4,C5,C6為概念節(jié)點(diǎn)，

帶語言值權(quán)重的邊表示節(jié)點(diǎn)間的影響力。影響力矩陣E為：語言值對應(yīng)的數(shù)值選擇沒有確定的規(guī)則，在此采用將語言值均勻映射至區(qū)間[-1,1]的選擇方式，得到對應(yīng)的數(shù)值為-1,-0.66,-0.33,0,0.33,0.66,1。3基于模糊認(rèn)知圖的風(fēng)險(xiǎn)評估方法各類風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)中均對風(fēng)險(xiǎn)評估的方法的使用方式等有所描述。本文方法與上述方法的主要區(qū)別在于，利用FCM模型能夠方便快捷地獲取資產(chǎn)間的相互影響，并能夠在風(fēng)險(xiǎn)的聚合過程中對資產(chǎn)間依賴關(guān)系的變化實(shí)現(xiàn)追蹤。

3.1概念模型

在圖2所示的被測信息系統(tǒng)概念模型中，各項(xiàng)資產(chǎn)按其相互關(guān)系被連接形成一個(gè)資產(chǎn)增值樹。其中，低級資產(chǎn)為其上級資產(chǎn)提供服務(wù)，頂部節(jié)點(diǎn)一關(guān)鍵業(yè)務(wù)進(jìn)程由系統(tǒng)業(yè)務(wù)確定。各資產(chǎn)間的依賴關(guān)系在圖中通過箭頭表示，如圖所示：關(guān)鍵業(yè)務(wù)進(jìn)程的效用取決于其使用的數(shù)據(jù)和服務(wù)；數(shù)據(jù)的可用性由數(shù)據(jù)源（用戶、外部數(shù)據(jù)提供者）提供；服務(wù)則依賴于軟件、硬件和信道，同時(shí)與人員、物理基礎(chǔ)設(shè)施（建筑物、房間、電力設(shè)施）和外部服務(wù)（如PKI)等相關(guān)。同時(shí)，各節(jié)點(diǎn)被賦予一定的安全效用值，效用值是資產(chǎn)的完整性、可靠性、可用性等各種安全屬性的集合。低級資產(chǎn)效用值的變化將影響到使用它們的高級資產(chǎn)。

與關(guān)注于攻擊行為或威脅的方法（如攻擊樹法）不同，本文選擇了基于資產(chǎn)的威脅識(shí)別方法。在如圖3所示的風(fēng)險(xiǎn)基本模型中，資產(chǎn)的效用值可能受威脅的影響而降低，威脅對資產(chǎn)的負(fù)面影響可以通過適當(dāng)?shù)陌踩胧┘右匝a(bǔ)償，安全措施本身只能降低風(fēng)險(xiǎn)，而不能增加資產(chǎn)的效用值。圖3資產(chǎn)、威脅及安全措施之間的關(guān)系

最后，在安全分析的眾多領(lǐng)域，被評估風(fēng)險(xiǎn)的大小均與風(fēng)險(xiǎn)可能導(dǎo)致的經(jīng)濟(jì)損失有關(guān)。作為風(fēng)險(xiǎn)狀況的體現(xiàn)，造成損失較小的事件，若數(shù)量超過一定值，也需要考慮其效果的累積。

另外，對生命體征監(jiān)測、航天、鐵路管理等安全關(guān)鍵系統(tǒng)而言，部分故障應(yīng)被視為無法量化的災(zāi)難性損失，在評估實(shí)施中，應(yīng)被視作停止系統(tǒng)運(yùn)行的條件。本文將討論的移動(dòng)辦公信息系統(tǒng)，安全性要求較為靈活，不將其視為安全關(guān)鍵系統(tǒng)。

為了便于評估的實(shí)施，本文作出如下定義：

⑴效用值：一種被賦予資產(chǎn)的數(shù)值，取值范圍為[-1,1]；

⑵風(fēng)險(xiǎn)：與資產(chǎn)相關(guān)，預(yù)設(shè)效用值與推理過程結(jié)束時(shí)計(jì)算出的效用值之間的差值。

3.2 基于模糊認(rèn)知圖的風(fēng)險(xiǎn)評估流程

本文的風(fēng)險(xiǎn)評估流程如圖4所示。圖中圓角矩形表示流程中的各個(gè)環(huán)節(jié)，實(shí)線矩形表示輸入輸出信息，虛線矩形表示各流程產(chǎn)生的中間結(jié)果。

本文基于模糊認(rèn)知圖的風(fēng)險(xiǎn)評估方法由以下六步組成：1、資產(chǎn)識(shí)別：此步驟的輸入為項(xiàng)目文檔、設(shè)計(jì)方案等能夠體現(xiàn)系統(tǒng)現(xiàn)狀和體系結(jié)構(gòu)的文件，以及與方案設(shè)計(jì)人員等的面談?dòng)涗?。輸出為系統(tǒng)的資產(chǎn)列表，包括關(guān)鍵業(yè)務(wù)、服務(wù)、數(shù)據(jù)、軟件模塊、硬件、信道、外部數(shù)據(jù)及服務(wù)提供者，以及相關(guān)人員及辦公場所等。2、構(gòu)建資產(chǎn)增值樹：此步驟的目的是評估低級資產(chǎn)（硬件、軟件、信道等）對高級資產(chǎn)（服務(wù)和數(shù)據(jù)）的影響。影響力的大小由與系統(tǒng)建設(shè)方討論確定的語言值來描述。為便于后續(xù)推理的實(shí)施，此步得出的資產(chǎn)增值樹將被表示為FCM影響力矩陣的形式。3、威脅識(shí)別：此步驟可使用常見的威脅分類方法(如基于本體），也可根據(jù)被評估系統(tǒng)的資產(chǎn)分類來識(shí)別威脅。本文采用以資產(chǎn)為基礎(chǔ)的威脅識(shí)別方法，即所有威脅均針對特定資產(chǎn)。4、單項(xiàng)資產(chǎn)風(fēng)險(xiǎn)評估：此步驟將調(diào)査問卷作為基本工具，要求相關(guān)人員回答與安全措施相關(guān)的問題，同時(shí)采用由信息安全領(lǐng)域最佳實(shí)踐得出的安全措施列表，并對其進(jìn)行篩選修改，使其適用于特定資產(chǎn)。此步驟的輸出是資產(chǎn)的風(fēng)險(xiǎn)值（歸一化至[0,1]的實(shí)數(shù))。5、風(fēng)險(xiǎn)聚合：此步用FCM推理完成，體現(xiàn)低級資產(chǎn)的風(fēng)險(xiǎn)如何累積影響高級資產(chǎn)的風(fēng)險(xiǎn)狀況。此步還包括FCM影響矩陣規(guī)范化等其他準(zhǔn)備工作。6、結(jié)果解析：根據(jù)以上計(jì)算所得結(jié)果，給出系統(tǒng)關(guān)鍵風(fēng)險(xiǎn)的判斷并給出安全措施等的建議。

3.3風(fēng)險(xiǎn)聚合一一模糊認(rèn)知圖推理過程

用FCM進(jìn)行推理的關(guān)鍵在于構(gòu)建狀態(tài)序列：a=j(0)j(1),...j(蛛...，該序列以節(jié)點(diǎn)激活水平值的初始向量為起點(diǎn)，根據(jù)下式算出序列的后續(xù)元素：為(+1)=S,(VA.㈨）（2)第(k+1)輪迭代是將矢量A(k)與影響力矩陣E相乘，然后通過一個(gè)激活函數(shù)將所得到的節(jié)點(diǎn)激活水平值映射到預(yù)設(shè)的范圍內(nèi)。

激活函數(shù)的選擇與計(jì)算模型密切相關(guān)，尤其是映射的區(qū)間范圍以及使用的是連續(xù)值還是離散值。本例中，矢量A(k)與各元素絕對值均小于1的n維方陣E相乘，其結(jié)果應(yīng)為一個(gè)各元素值均在[-?,?]范圍內(nèi)的向量。因此，激活函數(shù)需要滿足條件：1、在此區(qū)間內(nèi)的值應(yīng)被映射至[-1,1](或[0,1])區(qū)間；2、應(yīng)是單調(diào)函數(shù)，并滿足S(0)=0(或S(0)=0.5)。在本文后續(xù)的方法應(yīng)用中，將采用以下兩種激活函數(shù)：

通常，狀態(tài)序列a=A(0XA(1),...^4(處...可無限延展。然而，研究表明，在k次迭代后(k是一個(gè)接近矩陣E的秩的數(shù)字），序列將達(dá)到一個(gè)穩(wěn)定狀態(tài)或產(chǎn)生循環(huán)。因此，當(dāng)推理算法滿足下式要求時(shí)可停止迭代：2 j<k:d(((k),A(j))<￡ (5)其中d是距離，e是一個(gè)很小的閾值，如10_2。狀態(tài)序列a代表了一個(gè)非單調(diào)的模糊推理過程，推理序列的穩(wěn)定狀態(tài)是推理結(jié)果。本文的風(fēng)險(xiǎn)聚合過程，就是利用了此推理過程。

4移動(dòng)辦公信息系統(tǒng)風(fēng)險(xiǎn)評估實(shí)例

本節(jié)將以某移動(dòng)辦公信息系統(tǒng)為例，對本文方法的實(shí)施過程及結(jié)果進(jìn)行研究。

4.1 移動(dòng)辦公信息系統(tǒng)介紹

隨著移動(dòng)互聯(lián)網(wǎng)技術(shù)的發(fā)展成熟，各行各業(yè)的移動(dòng)辦公業(yè)務(wù)需求不斷增長，出現(xiàn)了大量移動(dòng)辦公建設(shè)案例。移動(dòng)辦公信息系統(tǒng)的主要應(yīng)用模式是通過移動(dòng)終端從業(yè)務(wù)服務(wù)器下載各類業(yè)務(wù)應(yīng)用數(shù)據(jù)，支持移動(dòng)辦公現(xiàn)場業(yè)務(wù)實(shí)施；在上述業(yè)務(wù)流程中，廣泛的信道支持（WiFi、廣域網(wǎng)、移動(dòng)運(yùn)營商網(wǎng)絡(luò)等）為其提供了高度的靈活性，TLS等加密協(xié)議可以為其提供數(shù)據(jù)傳輸?shù)陌踩?。移?dòng)辦公人員的地理位置信息等可作為數(shù)據(jù)庫査詢的依據(jù)，査詢結(jié)果根據(jù)辦公人員使用終端類型的不同（個(gè)人電腦、平板電腦、智能手機(jī)等），用不同的形式自動(dòng)發(fā)送給現(xiàn)場辦公人員。另外，從現(xiàn)場采集到的業(yè)務(wù)相關(guān)數(shù)據(jù)信息作為業(yè)務(wù)數(shù)據(jù)庫的信息來源被上傳并存儲(chǔ)在數(shù)據(jù)庫中，為后續(xù)的數(shù)據(jù)統(tǒng)計(jì)、業(yè)務(wù)決策等提供信息支持。

系統(tǒng)中通常也具備為業(yè)務(wù)管理人員設(shè)計(jì)的特殊模塊，使其能夠?qū)ο到y(tǒng)進(jìn)行參數(shù)配置。此外，系統(tǒng)一般還能夠接收其他符合行業(yè)數(shù)據(jù)標(biāo)準(zhǔn)的其他信息系統(tǒng)提供的數(shù)據(jù)。

系統(tǒng)體系結(jié)構(gòu)如圖5所示，(1)移動(dòng)客戶端（智能手機(jī)）收集原始數(shù)據(jù)，通過互聯(lián)網(wǎng)HTTPS安全通信協(xié)議，經(jīng)(3)SSL認(rèn)證網(wǎng)關(guān)初步驗(yàn)證，并加密發(fā)往⑷應(yīng)用服務(wù)器。應(yīng)用服務(wù)器運(yùn)行系統(tǒng)的主控邏輯，負(fù)責(zé)授權(quán)、數(shù)據(jù)驗(yàn)證、生成通知，以及與(5)數(shù)據(jù)庫服務(wù)器和(6)數(shù)據(jù)分析服務(wù)器之間的通信。數(shù)據(jù)分析服務(wù)器負(fù)責(zé)完成業(yè)務(wù)數(shù)據(jù)的統(tǒng)計(jì)分析工作。

4.2 資產(chǎn)識(shí)別

本例的資產(chǎn)識(shí)別階段，主要實(shí)施方式是組織由被測單位信息部門相關(guān)人員參加的訪談及會(huì)議，通過對現(xiàn)有的項(xiàng)目文檔進(jìn)行研究，對系統(tǒng)結(jié)構(gòu)進(jìn)行討論，明確系統(tǒng)信息安全風(fēng)險(xiǎn)評估所涉及的資產(chǎn)。經(jīng)研討，此系統(tǒng)的資產(chǎn)包括：

1、業(yè)務(wù)過程：現(xiàn)場巡査、業(yè)務(wù)信息檢索、業(yè)務(wù)信息存儲(chǔ)、分析結(jié)果獲??；

2、服務(wù)：數(shù)據(jù)存儲(chǔ)和檢索、數(shù)據(jù)傳輸、數(shù)據(jù)分析；

3、數(shù)據(jù)：現(xiàn)場巡査采集數(shù)據(jù)、遙感影像數(shù)據(jù)、配置數(shù)據(jù)；

4、軟件模塊：認(rèn)證、業(yè)務(wù)應(yīng)用、資源數(shù)據(jù)庫、移動(dòng)辦公客戶端、固網(wǎng)客戶端、數(shù)據(jù)分析軟件；

5、硬件模塊：認(rèn)證服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器、數(shù)據(jù)分析服務(wù)器、智能手機(jī)及固網(wǎng)用戶主機(jī)；

6、信道:通過WLAN、LAN和3G等構(gòu)建的外部網(wǎng)絡(luò)（HTTPS協(xié)議)，內(nèi)部辦公網(wǎng)絡(luò)(HTTP協(xié)議）；

7、人員：移動(dòng)辦公用戶、固網(wǎng)辦公用戶、技術(shù)人員；

8、其他：由第三方提供的基礎(chǔ)設(shè)施（通信線路、電力線路)。

4.3 構(gòu)建資產(chǎn)增值樹

圖6為本系統(tǒng)的資產(chǎn)增值樹，圖中各節(jié)點(diǎn)就是前一步中識(shí)別出的資產(chǎn)，業(yè)務(wù)過程依賴于軟件和硬件模塊所提供的服務(wù)，并與系統(tǒng)中存儲(chǔ)及交換的數(shù)據(jù)相關(guān)。圖中資產(chǎn)間的相互關(guān)系從系統(tǒng)體系結(jié)構(gòu)的角度考慮確定，邊的權(quán)重值則根據(jù)與系統(tǒng)使用維護(hù)人員的訪談確定。權(quán)重確定后，即可將其描述為FCM影響力矩陣的形式，本例中用于描述的語言值為：高、明顯、中、低、無。例如，現(xiàn)場巡査業(yè)務(wù)受數(shù)據(jù)存儲(chǔ)和檢索、數(shù)據(jù)傳輸兩項(xiàng)服務(wù)的高度影響，受數(shù)據(jù)分析服務(wù)的明顯影響。

4.4 威脅識(shí)別

目前，在信息安全風(fēng)險(xiǎn)評估中，對威脅的識(shí)別一般基于以往經(jīng)驗(yàn)提供的對攻擊源的認(rèn)知。根據(jù)以往經(jīng)驗(yàn)，在本例中，要考慮的所有威脅，可根據(jù)其影響的資產(chǎn)類型分為11類，分別為：（1)過程類，如設(shè)計(jì)缺陷；(2)軟件類，如質(zhì)量缺陷、缺乏維護(hù)、惡意軟件；（3)硬件類，如質(zhì)量缺陷、能量耗盡；（4)通信類，如協(xié)議缺陷、服務(wù)中斷；（5)數(shù)據(jù)類，如破壞機(jī)密性、破壞完整性；（6)外部服務(wù)類，如有無PKI等安全基礎(chǔ)設(shè)施；（7)外部數(shù)據(jù)類，如數(shù)據(jù)接口錯(cuò)誤；（8)基礎(chǔ)設(shè)施類，如場地、電力、空調(diào)；（9)人員類，與移動(dòng)辦公用戶、固網(wǎng)辦公用戶和技術(shù)人員相關(guān)的威脅；（10)自然災(zāi)害類；（11)經(jīng)濟(jì)條件，法律等。

4.5 單項(xiàng)資產(chǎn)風(fēng)險(xiǎn)評估

此環(huán)節(jié)工作包括兩方面內(nèi)容脆弱性分析和安全措施有效性分析。在實(shí)施方式上，此部分評估采用能夠反應(yīng)最佳實(shí)踐的問卷調(diào)査的形式。針對此次的被評估系統(tǒng)，關(guān)于威脅與安全措施的調(diào)査問卷共針對11組資產(chǎn)設(shè)計(jì)了約140個(gè)問題。

表1為與移動(dòng)辦公客戶端相關(guān)的風(fēng)險(xiǎn)評估調(diào)査問卷。問題根據(jù)各類資產(chǎn)的最佳安全實(shí)踐確定，每個(gè)問題涉及一項(xiàng)安全特性。各項(xiàng)問題均根據(jù)其對資產(chǎn)整體風(fēng)險(xiǎn)的影響被賦予問題權(quán)重^。每個(gè)問題最多給出三個(gè)答案，各答案均被賦予代表其對資產(chǎn)風(fēng)險(xiǎn)影響程度的風(fēng)險(xiǎn)影響系數(shù)qije[0,1]。問題權(quán)重W,_及風(fēng)險(xiǎn)影響系數(shù)qy利用專家法由專家評分決定。這些權(quán)重信息對被調(diào)査人員是不可見的。表中星號(hào)項(xiàng)為此次問卷調(diào)査的回答結(jié)果。

至此,資產(chǎn)S的風(fēng)險(xiǎn)值RS可通過將ks個(gè)問題a(i=1,...,ks)的答案ay代入式(6)得出。值1和0分別表示是或不是某項(xiàng)答案，即若問題i的答案是答案.則%=1，否則％=0。

其中，w是歸一化因子。計(jì)算可得，移動(dòng)辦公客戶端的資產(chǎn)風(fēng)險(xiǎn)值Rs=0.404，風(fēng)險(xiǎn)值不為0，表明資產(chǎn)面臨的威脅不能完全被安全措施控制。

采用上述方法，計(jì)算所有低級資產(chǎn)的單項(xiàng)資產(chǎn)風(fēng)險(xiǎn)值，可明確系統(tǒng)中風(fēng)險(xiǎn)值為高、中、低的各類資產(chǎn)，并對高風(fēng)險(xiǎn)資產(chǎn)采取針對性安全措施。

在實(shí)際操作中，問卷調(diào)査內(nèi)容的設(shè)計(jì)過程與模糊認(rèn)知圖的構(gòu)建過程是同步進(jìn)行的，問卷中的權(quán)重值w,即反映了FCM圖中影響值的大小，以數(shù)據(jù)資產(chǎn)“現(xiàn)場巡査采集數(shù)據(jù)”為例，在與其有因果關(guān)系的下級資產(chǎn)(移動(dòng)辦公客戶端、智能手機(jī)、移動(dòng)辦公用戶）的問卷調(diào)査中，選擇可能影響上級資產(chǎn)的問題，取其權(quán)重的均值，即得到其影響值。

4.6 風(fēng)險(xiǎn)聚合

針對業(yè)務(wù)過程、服務(wù)、數(shù)據(jù)等高級資產(chǎn)類別，由于其自身的復(fù)雜性，無法采用4.5節(jié)中的問卷調(diào)査方式實(shí)施風(fēng)險(xiǎn)評估，因此，本文采用FCM推理實(shí)現(xiàn)的風(fēng)險(xiǎn)聚合來完成高級資產(chǎn)的風(fēng)險(xiǎn)計(jì)算。

在計(jì)算前需先進(jìn)行影響力矩陣的歸一化操作。本例中，原始矩陣用5個(gè)語言值（高、較高、中、低、無）來描述，分別對應(yīng)影響力值{1,0.75,0.5,0,25,0}。對每一行i=1,...,n,影響力值的歸一化可按下式完成：

其中，且m是一個(gè)正常數(shù)（實(shí)際計(jì)算中常使用m=1.0)。上述歸一化過程給出了一個(gè)概率分布。假設(shè)的分布形式源于博弈論，假設(shè)高級資產(chǎn)ah受低級資產(chǎn)an,...,aik的影響，影響系數(shù)為em,…,em。如果攻擊者選擇從一個(gè)低級資產(chǎn)發(fā)起攻擊，那么它應(yīng)該在能夠影響ah的低級元素中選擇影響力eMm最高的元素am但是，攻擊者對影響力可能作出錯(cuò)誤的估計(jì)。由此所得的攻擊行為概率與錯(cuò)誤估計(jì)的分布相關(guān)，而錯(cuò)誤估計(jì)一般沒有明顯的規(guī)律。因此，假設(shè)錯(cuò)誤估計(jì)服從雙指數(shù)分布，就可得到式(7)給出的logit(對數(shù)成敗比率）模型。

最終，聚合風(fēng)險(xiǎn)的計(jì)算需要通過連續(xù)使用FCM狀態(tài)方程(2)，構(gòu)建兩個(gè)向量序列：無風(fēng)險(xiǎn)序列anr的初始向量為A^(0),在此向量中,表述資產(chǎn)風(fēng)險(xiǎn)屬性的所有向量元素都被置為1。而風(fēng)險(xiǎn)序列d的初始向量A\0)是資產(chǎn)風(fēng)險(xiǎn)屬性向量A10)與式(6)計(jì)算出的風(fēng)險(xiǎn)值RA的差，艮P:Ar'(0)=A'(0)-R4。最后，將anr和d中的相應(yīng)元素相減，即R(i)=Anr(i)-Ar(i)，即可得到聚合風(fēng)險(xiǎn)值序列p=R(0),...,R(i),...。此序列將收斂于表示資產(chǎn)聚合風(fēng)險(xiǎn)的數(shù)值。

圖7為系統(tǒng)中數(shù)據(jù)、服務(wù)、業(yè)務(wù)進(jìn)程三組資產(chǎn)的風(fēng)險(xiǎn)計(jì)算的結(jié)果。結(jié)果分別采用式(3)和式(4)定義的激勵(lì)函數(shù)S-(圖(a))和SeXp(圖(b))得到。對于函數(shù)SeXp，式中常數(shù)m的值采用2.0。結(jié)果比較表明，兩個(gè)函數(shù)的計(jì)算結(jié)果趨勢一致。

   4.7結(jié)果解析分析表明，低級資產(chǎn)的風(fēng)險(xiǎn)會(huì)影響高級資產(chǎn)。在本文的評估實(shí)例中，大量資產(chǎn)（如移動(dòng)客戶端）的風(fēng)險(xiǎn)是由于系統(tǒng)尚未部署在實(shí)際生產(chǎn)環(huán)境中，實(shí)驗(yàn)環(huán)境下大量安全措施（PKI、UPS、物理訪問控制措施等）尚未部署所導(dǎo)致的。在實(shí)際部署中，需要將這些安全措施啟用。

5結(jié)束語

篇6

1995年，英國巴林銀行倒閉在世界范圍內(nèi)引起軒然大波。這家百年老店，卻由于年僅28歲的交易員尼克?里森在新加坡期權(quán)市場交易中的違規(guī)操作導(dǎo)致破產(chǎn)。近十年后，在新加坡市場上，中國航空油料（新加坡）股份有限公司也申請破產(chǎn)。中航油（新加坡）于2001年在新加坡成功上市，一度被業(yè)界捧為神話。在公司總裁陳久霖的帶領(lǐng)下于2003年初開始做石油衍生品交易獲利，且一發(fā)不可收拾，最終因?qū)е鹿咎潛p達(dá)554億元之巨。不難發(fā)現(xiàn)，兩者的失敗有很多相似之處，本文從公司內(nèi)部控制的角度出發(fā)對兩者進(jìn)行比較分析，以期對當(dāng)今公司的內(nèi)控與風(fēng)險(xiǎn)管理提供教訓(xùn)與警示意義。

二、兩大事件內(nèi)部控制比較分析

1992年，美國反虛假財(cái)務(wù)報(bào)告委員會(huì)（通常稱Treadway委員會(huì)）下屬COSO委員會(huì)，了《內(nèi)部控制―整合框架》的研究報(bào)告，把內(nèi)部控制整體框架的要素定義為：控制環(huán)境、風(fēng)險(xiǎn)評估、控制活動(dòng)、信息與溝通、監(jiān)督五個(gè)緊密聯(lián)系的部分。我們從內(nèi)部控制的五個(gè)要素出發(fā)對兩大事件進(jìn)行對比分析。

（一）控制環(huán)境存在的問題。巴林銀行，這樣一個(gè)老牌企業(yè)，管理層的管理哲學(xué)、經(jīng)營理念實(shí)在讓人不敢恭維，一方面巴林銀行一直認(rèn)為雇傭的員工都是值得信賴的，其實(shí)不然，人都是自利的而且人的自利行為得靠制度約束。再者，管理層存在投機(jī)心里，過度相信里森。另外，時(shí)任巴林銀行董事長彼得?巴林曾經(jīng)表示由于資產(chǎn)負(fù)債表本身是反映的過去而不具有決策價(jià)值。

“中航油”是中國航空油料控股公司（下稱“集團(tuán)公司”）的海外子公司，其控制環(huán)境不同于巴林銀行的是：有著國企的通病。首先，公司內(nèi)部人控制，陳久霖身兼集團(tuán)公司副總經(jīng)理，在新加坡分公司基本上是他一人說了算。其次，陳久霖早期的成功使得集團(tuán)公司對其十分信任并委以重任，陳久霖由此自我膨脹、剛愎自負(fù)，使其自身不受內(nèi)部控制、監(jiān)督的的制約。

從上述分析可以看出，二者控制環(huán)境區(qū)別主要在于：巴林銀行是員工誠信問題，中航油是管理層不受約束。當(dāng)然相同之處很明顯，二者都存在過度投機(jī)心理，卻缺乏風(fēng)險(xiǎn)意識(shí)。

（二）風(fēng)險(xiǎn)評估存在問題。巴林銀行長期以來的優(yōu)越感，使得管理層缺乏風(fēng)險(xiǎn)意識(shí)，對風(fēng)險(xiǎn)管理機(jī)制不重視。首先，不能有效的識(shí)別風(fēng)險(xiǎn)，巴林銀行原有一個(gè)錯(cuò)誤賬戶，而里森所在新加坡分公司又設(shè)立一個(gè)錯(cuò)誤賬戶，很明顯的風(fēng)險(xiǎn)事項(xiàng)卻被管理層忽略。其次，風(fēng)險(xiǎn)水平不受限制，期貨交易具有高風(fēng)險(xiǎn)，而公司卻對此沒做相關(guān)規(guī)定，到了后來，倫敦按照里森的要求每天匯入1000萬英鎊，公司卻從不質(zhì)疑。

中航油同樣存在風(fēng)險(xiǎn)評估問題。第一從風(fēng)險(xiǎn)識(shí)別上看，作為公司總裁的陳久霖對期貨交易的風(fēng)險(xiǎn)可定是熟知的，但是他的賭博性讓他不顧風(fēng)險(xiǎn)，妄求收益。第二，風(fēng)險(xiǎn)水平上看，大量的買進(jìn)期貨合約，風(fēng)險(xiǎn)水平大大超過了可承受范圍。第三，風(fēng)險(xiǎn)應(yīng)對機(jī)制上看，當(dāng)時(shí)的賬面虧損已經(jīng)達(dá)到8000萬美元，而且管理層已經(jīng)認(rèn)識(shí)到問題的嚴(yán)重性，但是卻沒有采取必要的風(fēng)險(xiǎn)應(yīng)對措施，任由陳久霖一意孤行，直至公司申請破產(chǎn)。

從上述分析，二者區(qū)別主要在于：巴林銀行是對風(fēng)險(xiǎn)不能有效識(shí)別，中航油是不顧風(fēng)險(xiǎn)孤注一擲。相同之處，二者風(fēng)險(xiǎn)管理機(jī)制都不健全。

（三）控制活動(dòng)存在問題。巴林銀行，里森身兼交易員與清算員，不合理的崗位設(shè)置為其掩蓋交易失誤提供方便。同時(shí)，對于高風(fēng)險(xiǎn)的期貨交易，巴林銀行缺乏有效的控制活動(dòng)，里森每天要求倫敦匯入1000萬英鎊，公司還能審批且不深究。

中航油控制活動(dòng)的失效表現(xiàn)在兩方面，一方面是公司編制有《風(fēng)險(xiǎn)管理手冊》，規(guī)定損失超過500萬美元就要上報(bào)集團(tuán)公司，當(dāng)陳久霖在獲悉出現(xiàn)580萬美元的賬面虧損后，卻不斬倉上報(bào)，而是繼續(xù)加大買入。從上述對比看出，二者控制活動(dòng)主要區(qū)別：巴林銀行缺乏有效的控制活動(dòng)，中航油是控制活動(dòng)難以執(zhí)行。相同點(diǎn)是二者均設(shè)有不相容崗位。

（四）信息與溝通。巴林銀行的破產(chǎn)與“88888”賬戶的違規(guī)使用密切相關(guān)。總部與里森所負(fù)責(zé)的新加坡分公司溝通失效，導(dǎo)致“88888”賬戶一直存在，且賬戶信息里森一個(gè)人知道。里森為了維護(hù)其光榮的地位，對于自己的失誤和員工的失誤隱瞞不報(bào)，信息沒有很好的傳遞到倫敦總部。

而中航油則是由于陳久霖盲目自大、專權(quán)獨(dú)斷，阻止虧損信息的傳遞。中航油新加坡公司海外市場進(jìn)行石油衍生品的交易，本身違背了國家有關(guān)國企海外衍生金融工具的相關(guān)規(guī)定。但是，由于航油新加坡公司和集團(tuán)公司之間的信息溝通不順暢，財(cái)務(wù)信息失真，使得母公司在一年以后才知道此違規(guī)操作。

基于上述分析，二者信息與溝通的主要區(qū)別：巴林銀行是由于溝通失誤，員工隱瞞信息，中航油是由于管理者阻止信息的傳遞。相同之處是，二者都是還怕失去已有的光環(huán)，一錯(cuò)再錯(cuò)。

（五）監(jiān)督。里森違規(guī)操作兩年多的時(shí)間，巴林銀行總部內(nèi)部監(jiān)督部門卻一直沒有發(fā)現(xiàn)。而且在一次內(nèi)部審計(jì)中，對于5000萬英鎊存款的造假，卻從不函證其真實(shí)性。中航油設(shè)計(jì)的內(nèi)部監(jiān)督相對來說是比較完善的，卻實(shí)質(zhì)受陳久霖領(lǐng)導(dǎo)，缺乏獨(dú)立性。另外，集團(tuán)公司派來的財(cái)務(wù)經(jīng)理被外調(diào)他用。

從上述分析看出，二者監(jiān)督過程的區(qū)別：巴林銀行的監(jiān)督機(jī)制松散無實(shí)際作用，而中航油的監(jiān)督機(jī)制不具獨(dú)立性，形同虛設(shè)。相同之處在于，監(jiān)督機(jī)制的無作為是罪魁禍?zhǔn)住?/p>

三、結(jié)論與啟示

通過對兩大事件的內(nèi)部控制問題的比較分析，我們不難發(fā)現(xiàn)，二者的失敗主要在于對風(fēng)險(xiǎn)管理的缺乏，監(jiān)督機(jī)制失靈。所以，如今“企業(yè)管理就是風(fēng)險(xiǎn)管理”的說法是有一定道理的。據(jù)此，本文總結(jié)兩點(diǎn)啟示。

篇7

一、企業(yè)稅務(wù)風(fēng)險(xiǎn)管理體系構(gòu)建依據(jù)的理論問題

理論是行動(dòng)的指南，沒有理論指導(dǎo)的實(shí)踐是盲目的實(shí)踐。企業(yè)要構(gòu)建一個(gè)科學(xué)、合理、操作可行的稅務(wù)風(fēng)險(xiǎn)管理體系，首先就得掌握稅務(wù)風(fēng)險(xiǎn)管理的相關(guān)理論。這些相關(guān)理論分別是：

1.全面風(fēng)險(xiǎn)管理理論

全面風(fēng)險(xiǎn)管理是一種站在整個(gè)企業(yè)的角度進(jìn)行的整體化風(fēng)險(xiǎn)管理。其核心思想為，企業(yè)風(fēng)險(xiǎn)來源于多方面，因而最終能夠?qū)ζ髽I(yè)產(chǎn)生影響為一系列風(fēng)險(xiǎn)共同作用所產(chǎn)生的結(jié)果。因此，從整體角度對企業(yè)所面臨風(fēng)險(xiǎn)進(jìn)行全面管理方可對其進(jìn)行最為有效的風(fēng)險(xiǎn)管理。當(dāng)前應(yīng)用最為普遍的全面風(fēng)險(xiǎn)管理理論與方法包括以下兩大類：其一為TRM，即全面風(fēng)險(xiǎn)管理理論，該理論以風(fēng)險(xiǎn)決策因素為基礎(chǔ)，將風(fēng)險(xiǎn)管理策略的概率、偏好及價(jià)格此三因素概念引入，并提出實(shí)現(xiàn)此三要素的最佳平衡是風(fēng)險(xiǎn)管理的最終目標(biāo)。但該理論當(dāng)前缺乏實(shí)踐；其二為ERM，即以組織結(jié)構(gòu)體系為基礎(chǔ)的全面風(fēng)險(xiǎn)標(biāo)準(zhǔn)化度量的風(fēng)險(xiǎn)管理。該方法基于企業(yè)整體系統(tǒng)這一角度對結(jié)構(gòu)內(nèi)部各個(gè)層次業(yè)務(wù)單位及業(yè)務(wù)環(huán)節(jié)進(jìn)行通盤管理，從而實(shí)現(xiàn)對企業(yè)風(fēng)險(xiǎn)的全面有效管理。它與TRM理論相比，可操作性更強(qiáng)，得到了業(yè)界多數(shù)人的認(rèn)可和采納。該方法包括了內(nèi)部環(huán)境、目標(biāo)識(shí)定、事項(xiàng)識(shí)別、風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)應(yīng)付、控制策略、信息與溝通、監(jiān)察等八個(gè)方面的具體內(nèi)容。

2.危機(jī)管理理論

美國學(xué)者史蒂芬•芬克（StevenFink）早在1986年就提出危機(jī)管理就是規(guī)避風(fēng)險(xiǎn)的藝術(shù)的觀點(diǎn)。羅伯特•希斯（RobertHeath,2004）在其專著《危機(jī)管理》（第二版）一書中，認(rèn)為危機(jī)管理包括對危機(jī)事前、事中及事后的管理，這也是目前學(xué)術(shù)界普遍認(rèn)同的觀點(diǎn)。具本來說，危機(jī)的事前管理又包括風(fēng)險(xiǎn)規(guī)避、危機(jī)管理員預(yù)案、信號(hào)偵測及危機(jī)預(yù)警等步驟、內(nèi)容，事中管理又包括危機(jī)情境、溝通與協(xié)作及危機(jī)決策與行動(dòng)等步驟、內(nèi)容，事后管理又包括評價(jià)學(xué)習(xí)與變革發(fā)展等步驟、內(nèi)容。同時(shí)羅伯特•希斯還提出了危機(jī)管理的“4R”模型，即將危機(jī)管理過程分為縮減（Reduction）、預(yù)備（Readiness）、反應(yīng)（Response）、恢復(fù)（Recovery）四個(gè)環(huán)節(jié)，該模型以預(yù)備、反應(yīng)及恢復(fù)三個(gè)環(huán)節(jié)為核心。具體來說，縮減環(huán)節(jié)主要是進(jìn)行風(fēng)險(xiǎn)評估，預(yù)備環(huán)節(jié)主要包括危機(jī)預(yù)警系統(tǒng)、危機(jī)管理計(jì)劃和培訓(xùn)與演習(xí)等內(nèi)容，反應(yīng)環(huán)節(jié)又包括確認(rèn)危機(jī)、隔離危機(jī)、處理危機(jī)及消除危機(jī)等步驟、內(nèi)容，恢復(fù)環(huán)節(jié)又包括危機(jī)影響分析、危機(jī)恢復(fù)計(jì)劃、危機(jī)恢復(fù)行動(dòng)等步驟、內(nèi)容。風(fēng)險(xiǎn)與危機(jī)既有區(qū)別又有聯(lián)系，而且風(fēng)險(xiǎn)可能轉(zhuǎn)換為危機(jī)。風(fēng)險(xiǎn)不等于危機(jī)，但風(fēng)險(xiǎn)的存在是危機(jī)發(fā)生的前提，只有對風(fēng)險(xiǎn)進(jìn)行有效的識(shí)別、評估和控制管理，才能防范危機(jī)的發(fā)生。如果對各種危機(jī)熟視無睹，或?qū)σ炎R(shí)別到的各項(xiàng)風(fēng)險(xiǎn)未采取有效的應(yīng)對措施，那么風(fēng)險(xiǎn)就轉(zhuǎn)換成危機(jī)。

二、企業(yè)稅務(wù)風(fēng)險(xiǎn)管理的識(shí)別與評估體系構(gòu)建問題

1.企業(yè)稅務(wù)風(fēng)險(xiǎn)識(shí)別方法體系

所謂企業(yè)稅務(wù)風(fēng)險(xiǎn)識(shí)別指的是企業(yè)稅務(wù)風(fēng)險(xiǎn)管理工作人員在對相關(guān)知識(shí)與方法加以利用的基礎(chǔ)上對企業(yè)可能發(fā)生的稅務(wù)風(fēng)險(xiǎn)加以辨認(rèn)的過程。風(fēng)險(xiǎn)識(shí)別是企業(yè)進(jìn)行稅務(wù)風(fēng)險(xiǎn)評估與應(yīng)對的基礎(chǔ)。只有對企業(yè)可能存在風(fēng)險(xiǎn)加以識(shí)別方能夠針對性地進(jìn)行相應(yīng)的風(fēng)險(xiǎn)管理。因此，在企業(yè)的稅務(wù)風(fēng)險(xiǎn)管理中，我們必須掌握以下稅務(wù)風(fēng)險(xiǎn)識(shí)別的方法：

（1）基本方法：稅務(wù)風(fēng)險(xiǎn)清單法該方法是運(yùn)用類似于備忘錄的方式，將可能面臨的各類風(fēng)險(xiǎn)一一列舉出來，并聯(lián)系企業(yè)自身運(yùn)營情況對這些風(fēng)險(xiǎn)進(jìn)行綜合分析考察。企業(yè)的決策者和風(fēng)險(xiǎn)管理者依據(jù)所列舉的風(fēng)險(xiǎn)清單，對風(fēng)險(xiǎn)及其可能產(chǎn)生的后果作出合理的評估，并探究防止風(fēng)險(xiǎn)的發(fā)生和蔓延的對策。但應(yīng)注意的是，通常情況下企業(yè)稅務(wù)風(fēng)險(xiǎn)清單是基于傳統(tǒng)風(fēng)險(xiǎn)管理方式而設(shè)計(jì)，因而其僅對純粹風(fēng)險(xiǎn)進(jìn)行了考慮，而未對投機(jī)風(fēng)險(xiǎn)等加以考慮。因此。為避免忽略相關(guān)風(fēng)險(xiǎn)事項(xiàng)，企業(yè)還可以根據(jù)自身情況或聘請稅務(wù)顧問編制出更為全面、具體的稅務(wù)風(fēng)險(xiǎn)一覽表，對照該表企業(yè)就能夠比較簡單地識(shí)別稅務(wù)風(fēng)險(xiǎn)。

（2）輔助方法：財(cái)務(wù)報(bào)表分析法、因果分析法、流程圖法①財(cái)務(wù)報(bào)表分析法此方法主要以企業(yè)財(cái)務(wù)報(bào)表如利潤表、資產(chǎn)負(fù)債表以及現(xiàn)金流量表等為依據(jù)，對企業(yè)收入、負(fù)債、利潤及資產(chǎn)等多方面情況實(shí)行風(fēng)險(xiǎn)分析，基于財(cái)務(wù)角度來對企業(yè)將面臨的潛在納稅風(fēng)險(xiǎn)進(jìn)行識(shí)別。因企業(yè)財(cái)務(wù)報(bào)表中包括了投機(jī)風(fēng)險(xiǎn)相關(guān)信息，因而可將此方法應(yīng)用于企業(yè)投機(jī)稅務(wù)風(fēng)險(xiǎn)的識(shí)別。通過資產(chǎn)負(fù)債表則可獲取損失暴露相關(guān)信息；而通過對利潤表的分析則可對企業(yè)盈虧風(fēng)險(xiǎn)來源以及應(yīng)繳納稅別加以識(shí)別；通過對企業(yè)現(xiàn)金流量表進(jìn)行分析可對企業(yè)現(xiàn)金流量風(fēng)險(xiǎn)加以識(shí)別。與此同時(shí)，通過對企業(yè)財(cái)務(wù)報(bào)表相關(guān)數(shù)據(jù)的分析，來對企業(yè)稅收負(fù)擔(dān)率指標(biāo)及利潤指標(biāo)等計(jì)算出來，而后對計(jì)算結(jié)果進(jìn)行橫向比較，對本企業(yè)相應(yīng)財(cái)務(wù)指標(biāo)同本行業(yè)及企業(yè)的相應(yīng)指標(biāo)加以對比分析。若某項(xiàng)指標(biāo)差異過大，則表明該企業(yè)存在著稅務(wù)風(fēng)險(xiǎn)。此外，還可進(jìn)行縱向比較，通過將本企業(yè)當(dāng)前變動(dòng)指標(biāo)同之前年度平均水平加以對比，對其發(fā)展與變化趨勢進(jìn)行分析，通過對分析項(xiàng)目是否正常的確定來對該企業(yè)稅務(wù)風(fēng)險(xiǎn)的存在與否加以識(shí)別。②因果分析法該方法是日本東京大學(xué)石川馨教授于1953年在日本川締公司分析影響產(chǎn)品質(zhì)量因素時(shí)提出來的，且取得非常好的效果，進(jìn)而被推廣。企業(yè)在稅務(wù)風(fēng)險(xiǎn)管理實(shí)踐中，引發(fā)稅務(wù)風(fēng)險(xiǎn)的因素很多，而這些因素往往又錯(cuò)綜復(fù)雜地交織在一起，若想要從根本上應(yīng)對稅務(wù)風(fēng)險(xiǎn)，就必須準(zhǔn)確無誤地找出產(chǎn)生問題的根源。而因果分析法，就是通過描繪因果圖，從導(dǎo)致稅務(wù)風(fēng)險(xiǎn)的原因出發(fā)，推導(dǎo)出可能發(fā)生結(jié)果的一種識(shí)別稅務(wù)風(fēng)險(xiǎn)的方法。這種方法能夠使得稅務(wù)風(fēng)險(xiǎn)管理者清楚、有效地整出稅務(wù)風(fēng)險(xiǎn)和各個(gè)因素之間的關(guān)系，并對其進(jìn)行分析。③流程圖法此方法是通過生產(chǎn)過程或管理流程來對企業(yè)稅務(wù)風(fēng)險(xiǎn)加以識(shí)別的一種方法。首先，該方法對企業(yè)生產(chǎn)運(yùn)營過程根據(jù)各個(gè)階段順序?qū)⑵淅L制成相應(yīng)的流程圖，而后對其進(jìn)行動(dòng)態(tài)分析合動(dòng)態(tài)分析。其中，靜態(tài)分析指的是對流程圖中各個(gè)環(huán)節(jié)按照順序加以調(diào)查，在找出潛在的稅務(wù)風(fēng)險(xiǎn)后對其可能產(chǎn)生的后果進(jìn)行分析；動(dòng)態(tài)分析則指的是對流程圖各環(huán)節(jié)間的關(guān)系進(jìn)行分析并找出主要納稅環(huán)節(jié)。企業(yè)稅務(wù)風(fēng)險(xiǎn)管理工作人員使用動(dòng)態(tài)分析基本上可對企業(yè)生產(chǎn)運(yùn)營各環(huán)節(jié)可能存在的稅務(wù)風(fēng)險(xiǎn)成功識(shí)別，并且此方法對企業(yè)營業(yè)中段以及連帶營業(yè)中段相關(guān)稅務(wù)風(fēng)險(xiǎn)識(shí)別尤為有效。然而流程圖方僅強(qiáng)調(diào)事故結(jié)果，對損失原因則并不關(guān)注。

2.企業(yè)稅務(wù)風(fēng)險(xiǎn)評估方法體系

所謂稅務(wù)風(fēng)險(xiǎn)評估指的是基于稅務(wù)風(fēng)險(xiǎn)識(shí)別運(yùn)用數(shù)理統(tǒng)計(jì)與概率論的方法對損失發(fā)生概率及大小進(jìn)行測算，并根據(jù)該企業(yè)應(yīng)對風(fēng)險(xiǎn)的態(tài)度以及風(fēng)險(xiǎn)承受能力來對稅務(wù)風(fēng)險(xiǎn)的重要性及其影響程度加以評價(jià)的過程。它主要包括評估風(fēng)險(xiǎn)發(fā)生的可能性與評估風(fēng)險(xiǎn)產(chǎn)生的影響后果兩個(gè)方面的內(nèi)容。稅務(wù)風(fēng)險(xiǎn)發(fā)生的可能性越大，稅務(wù)風(fēng)險(xiǎn)就越高。評估的方法既有定性評估法，也有定量評估法。

（1）定性評估方法這種評估方法適用于稅務(wù)風(fēng)險(xiǎn)本身無法進(jìn)行量比，或不能獲得進(jìn)行定量分析的足量可靠數(shù)據(jù)，或?qū)?shù)據(jù)進(jìn)行分析與呈效益相關(guān)原則不符合的情況。定性評估的方法比較多，但本文只介紹SWOT分析法。SWOT[Strenth(內(nèi)部優(yōu)勢)、Weakness（內(nèi)部劣勢）、Opportunity（外部機(jī)會(huì)）、Threat(外部威脅)]分析法是將企業(yè)的內(nèi)部環(huán)境的優(yōu)劣和外部環(huán)境的機(jī)會(huì)、威脅加以對照，對企業(yè)目前的內(nèi)部和外部環(huán)境進(jìn)行初步評估，明確本企業(yè)在市場中的地位，從而制定最優(yōu)戰(zhàn)略，實(shí)現(xiàn)企業(yè)的目標(biāo)。此方法相關(guān)理念在近些年才逐漸被用于對企業(yè)稅務(wù)風(fēng)險(xiǎn)進(jìn)行評估，其主要應(yīng)用于對企業(yè)所處內(nèi)部稅務(wù)環(huán)境與外部稅務(wù)環(huán)境加以分析，將不可量化風(fēng)險(xiǎn)對整個(gè)企業(yè)的影響程度加以判斷。若企業(yè)內(nèi)外部稅務(wù)環(huán)境均處于良好狀態(tài)時(shí)，該企業(yè)所面臨的稅務(wù)風(fēng)險(xiǎn)相對較??；而當(dāng)企業(yè)內(nèi)外部稅務(wù)環(huán)境處于不理想狀態(tài)時(shí)，企業(yè)所面臨的稅務(wù)風(fēng)險(xiǎn)則相對較大；當(dāng)企業(yè)內(nèi)、外部稅務(wù)環(huán)境兩者中一個(gè)較好、一個(gè)較差時(shí)，則就需要結(jié)合企業(yè)的實(shí)際情況來分析。

（2）定量評估方法①風(fēng)險(xiǎn)預(yù)警值測算法該方法是根據(jù)企業(yè)的財(cái)務(wù)指標(biāo)設(shè)定風(fēng)險(xiǎn)預(yù)警值，測算稅務(wù)風(fēng)險(xiǎn)大小的一種方法。指標(biāo)預(yù)警值可依據(jù)評估對象規(guī)模大小、所處環(huán)境、資金流向、所面臨風(fēng)險(xiǎn)以及企業(yè)產(chǎn)品類型等具體因素按照不同區(qū)域、不同行業(yè)及不同規(guī)模加以測算，采用數(shù)學(xué)方法將加權(quán)平均值、算數(shù)平均值以及合理變動(dòng)范圍計(jì)算出來。在對其預(yù)警值進(jìn)行測算時(shí)，應(yīng)對地區(qū)、類型、規(guī)劃、稅種以及生產(chǎn)經(jīng)營季節(jié)等諸多因素，將同一行業(yè)、同一規(guī)模以及同一納稅人各種相關(guān)指標(biāo)若干年度平均水平納入考慮范圍，以確保預(yù)警值更為準(zhǔn)確、真實(shí)及具有可比性。②綜合風(fēng)險(xiǎn)指數(shù)模型評估法此方法是以稅務(wù)風(fēng)險(xiǎn)對各類指數(shù)或因素變動(dòng)敏感度的假設(shè)為基礎(chǔ)。作為損失額生成過程，多因素模型試圖將對所有稅務(wù)產(chǎn)生系統(tǒng)影響的重要經(jīng)濟(jì)力量提取出來，并將其量化，而后將之代入相應(yīng)數(shù)學(xué)模型從而實(shí)現(xiàn)數(shù)據(jù)化，根據(jù)此進(jìn)行評估。企業(yè)稅務(wù)風(fēng)險(xiǎn)評估應(yīng)以多因素、多項(xiàng)目綜合評估為出發(fā)點(diǎn)。因此，可建立下述模型來進(jìn)行綜合風(fēng)險(xiǎn)評估：V（t）=∑Vit=P1it×S1it+P2it×S2it+……+Pnit×Snit+Eit在上述模型中i=0,1,…，n。我們假設(shè)各風(fēng)險(xiǎn)因素其發(fā)生概率P與敏感系數(shù)S為可知的。其中，V（t）表示的是t時(shí)間內(nèi)綜合風(fēng)險(xiǎn)指數(shù)；而Pnit則表示的是t時(shí)間內(nèi)第i個(gè)項(xiàng)目的第n個(gè)風(fēng)險(xiǎn)因素的發(fā)生概率；上述模型中Snit表示的是t時(shí)間內(nèi)第i個(gè)項(xiàng)目的第n個(gè)風(fēng)險(xiǎn)因素其發(fā)生變化對預(yù)期收益率的敏感系數(shù)；E則表示的是隨機(jī)誤差項(xiàng)；i則表示的是風(fēng)險(xiǎn)項(xiàng)目數(shù)；式中t表示的是時(shí)間，最好以月或半月來算。該指數(shù)模型由于加入了時(shí)間因素t，因而其為動(dòng)態(tài)風(fēng)險(xiǎn)評估模型。企業(yè)稅務(wù)風(fēng)險(xiǎn)管理人員可根據(jù)預(yù)期回報(bào)率、其自身風(fēng)險(xiǎn)承受能力以及外部環(huán)境變化等相關(guān)因素來對當(dāng)前及未來的一段時(shí)間內(nèi)的風(fēng)險(xiǎn)狀況進(jìn)行綜合判斷，進(jìn)而制定出統(tǒng)觀全局的稅務(wù)風(fēng)險(xiǎn)管理策略。

三、構(gòu)建問題分析

所謂企業(yè)稅務(wù)風(fēng)險(xiǎn)管理績效評價(jià)指的是將企業(yè)稅務(wù)風(fēng)險(xiǎn)管理方案實(shí)施后實(shí)際結(jié)果作為依據(jù)，在此基礎(chǔ)上對該企業(yè)稅務(wù)風(fēng)險(xiǎn)管理手段與方法的適用性、科學(xué)性、實(shí)際收益等諸多方面加以分析與評價(jià)的過程。該評價(jià)結(jié)果則可作為企業(yè)制定新稅務(wù)風(fēng)險(xiǎn)管理規(guī)劃制定的一項(xiàng)參考。因而，企業(yè)要構(gòu)建科學(xué)適用的稅務(wù)風(fēng)險(xiǎn)管理績效評價(jià)體系稅務(wù)風(fēng)險(xiǎn)管理評價(jià)人員必須把握以下兩個(gè)大的問題：

1.評價(jià)步驟

首先應(yīng)制定相應(yīng)的績效評價(jià)計(jì)劃。企業(yè)相關(guān)機(jī)構(gòu)應(yīng)以本企業(yè)具體特點(diǎn)為基礎(chǔ)來確定評價(jià)范圍、對象、目標(biāo)及評價(jià)方法，進(jìn)而制定出相應(yīng)的計(jì)劃，這也是企業(yè)稅務(wù)風(fēng)險(xiǎn)管理績效評價(jià)極為關(guān)鍵的一步。其次是搜集、整理與稅務(wù)風(fēng)險(xiǎn)管理有關(guān)的資料。在這一階段需要搜集的資料主要包括稅務(wù)風(fēng)險(xiǎn)管理措施實(shí)施后相關(guān)資料、當(dāng)前國家相關(guān)稅收法律及法規(guī)資料、國家相關(guān)部門所制定的企業(yè)稅務(wù)風(fēng)險(xiǎn)管理措施評價(jià)方法及其它稅務(wù)風(fēng)險(xiǎn)管理相關(guān)資料等。這是必不可少的一步。再次是編制企業(yè)稅務(wù)風(fēng)險(xiǎn)管理績效評價(jià)報(bào)告。相關(guān)工作人員應(yīng)根據(jù)國家相關(guān)評價(jià)格式對本企業(yè)稅務(wù)風(fēng)險(xiǎn)管理效果相應(yīng)的分析結(jié)果在匯總的基礎(chǔ)上編制出相應(yīng)的評價(jià)報(bào)告，并將評價(jià)報(bào)告提交至相關(guān)委托單位與被評價(jià)單位。因評價(jià)報(bào)告是最終成果，故這一步是非常重要的一步。

2.企業(yè)稅務(wù)風(fēng)險(xiǎn)管理績效評價(jià)的方法體系

企業(yè)稅務(wù)風(fēng)險(xiǎn)管理績效評價(jià)的方法體系主要由定量評價(jià)的方法與定性評價(jià)的方法兩大部分組成。這兩類方法可以有機(jī)地結(jié)合使用。

（1）定量評價(jià)法企業(yè)在固定時(shí)段內(nèi)可通過百分比、金額、罰款或損失次數(shù)等對該企業(yè)稅務(wù)風(fēng)險(xiǎn)管理績效進(jìn)行定量評價(jià)，評價(jià)的指標(biāo)主要有稅務(wù)風(fēng)險(xiǎn)發(fā)生率、損失程度以及管理成本與收益等。在評價(jià)時(shí)我們不能孤立地使用這些指標(biāo)數(shù)據(jù)，需要采用“指標(biāo)對比法”，將稅務(wù)風(fēng)險(xiǎn)管理措施實(shí)施后的實(shí)際數(shù)據(jù)或?qū)嶋H情況與實(shí)施以前的實(shí)際情況或?qū)嶋H數(shù)據(jù)加以對比，找出其中差異。比如，某企業(yè)將2013年其實(shí)施稅務(wù)風(fēng)險(xiǎn)管理措施后稅務(wù)風(fēng)險(xiǎn)事故發(fā)生所造成的實(shí)際損失與2012年進(jìn)行相應(yīng)的比較，就可得出其稅務(wù)風(fēng)險(xiǎn)管理效果，并可為以后的稅務(wù)風(fēng)險(xiǎn)管理提供一些參考。

（2）定性評價(jià)法企業(yè)進(jìn)行稅務(wù)風(fēng)險(xiǎn)管理在基于定量評價(jià)法的基礎(chǔ)上，還可采取“專題調(diào)查法”、“專家評議法”等方法，對企業(yè)稅務(wù)風(fēng)險(xiǎn)的管理績效進(jìn)行定性評價(jià)。如調(diào)查稅務(wù)風(fēng)險(xiǎn)管理效果的評價(jià)報(bào)告，企業(yè)可以通過召開有關(guān)人員參加的會(huì)議，廣泛吸取他們對評價(jià)報(bào)告的不同意見，必將有利于克服稅務(wù)風(fēng)險(xiǎn)管理決策中的片面性；對一定時(shí)期內(nèi)企業(yè)的稅務(wù)風(fēng)險(xiǎn)管理方案、管理決策的執(zhí)行情況、管理制度的創(chuàng)新以及稅務(wù)損失控制等項(xiàng)目進(jìn)行定性分析與綜合評判時(shí)，企業(yè)可以通過聽取有經(jīng)驗(yàn)、有能力的稅務(wù)專家的意見來分析、評估稅務(wù)風(fēng)險(xiǎn)管理績效，得出企業(yè)稅務(wù)風(fēng)險(xiǎn)管理水平的等級（優(yōu)、良、中、低、差）。

四、結(jié)束語

篇8

風(fēng)險(xiǎn)管理，評估，工程

【中圖分類號(hào)】TL372+.3文獻(xiàn)標(biāo)識(shí)碼：B文章編號(hào)：1673-8500（2013）04-0009-02

工程項(xiàng)目周期長，耗資大，經(jīng)常存在多種因素干擾，具有很大的不確定因素，極其容易造成投資決策失誤、建設(shè)方案步驟、工期拖延、人身傷亡、財(cái)產(chǎn)損失等，這些全部都被成為工程項(xiàng)目的風(fēng)險(xiǎn)因素，為此，工程項(xiàng)目工作人員需要考慮其風(fēng)險(xiǎn)并做好風(fēng)險(xiǎn)評估，提高項(xiàng)目的風(fēng)險(xiǎn)意識(shí)，掌握風(fēng)險(xiǎn)識(shí)別技術(shù)，開展風(fēng)險(xiǎn)評估與分析，及時(shí)防范和化解工程風(fēng)險(xiǎn)，對于提高工程建設(shè)管理水平和投資效益，都具有特別重要的意義。

1工程項(xiàng)目風(fēng)險(xiǎn)的識(shí)別

工程項(xiàng)目中存在風(fēng)險(xiǎn)，首先要對風(fēng)險(xiǎn)進(jìn)行識(shí)別。可以根據(jù)其產(chǎn)生的背景原因。表現(xiàn)特征以及預(yù)期后果，對所有的風(fēng)險(xiǎn)進(jìn)行科學(xué)的分類，以便采取不同的分析方法進(jìn)行評估，并依此制定出對應(yīng)的風(fēng)險(xiǎn)管理計(jì)劃方案和措施，付諸實(shí)施。

2工程項(xiàng)目風(fēng)險(xiǎn)的特性

工程項(xiàng)目有其自身的獨(dú)特性，其風(fēng)險(xiǎn)特征可以簡要的分為以下幾類：

一是項(xiàng)目風(fēng)險(xiǎn)的隨機(jī)性；

二是項(xiàng)目風(fēng)險(xiǎn)的相對性；

三是項(xiàng)目風(fēng)險(xiǎn)的漸進(jìn)性；

四是項(xiàng)目風(fēng)險(xiǎn)的階段性；

五是項(xiàng)目風(fēng)險(xiǎn)的突變性。

3工程項(xiàng)目風(fēng)險(xiǎn)的分類

從工程項(xiàng)目風(fēng)險(xiǎn)管理需要出發(fā)，可將工程項(xiàng)目風(fēng)險(xiǎn)分為項(xiàng)目外風(fēng)險(xiǎn)和項(xiàng)目內(nèi)風(fēng)險(xiǎn)。

3.1工程項(xiàng)目外風(fēng)險(xiǎn)

工程項(xiàng)目外風(fēng)險(xiǎn)即由工程項(xiàng)目建設(shè)環(huán)境（或條件）的不確定性而引起的風(fēng)險(xiǎn)，包括：

（1）政治風(fēng)險(xiǎn)。主要是指項(xiàng)目所處的宏觀環(huán)境的局勢穩(wěn)定性，項(xiàng)目建設(shè)和運(yùn)營所受到的法律法規(guī)的約束和政策性調(diào)控影響，以及有關(guān)項(xiàng)目的審核批準(zhǔn)過程中存在的各種不確定性問題。這類風(fēng)險(xiǎn)由下列諸因素引起：一是政府或主管部門對工程項(xiàng)目干預(yù)太多，指揮不當(dāng)。二是工程建設(shè)體制、工程建設(shè)政策法規(guī)發(fā)生變化或不合理。三是在國際工程中，國家間的關(guān)系發(fā)生變化等。

（2）自然風(fēng)險(xiǎn)。自然界氣候的變化、災(zāi)害的發(fā)生和項(xiàng)目廠址選擇經(jīng)常遇到的不良地質(zhì)條件等。不確定性因素，是每個(gè)項(xiàng)目都無法避免的。其通常由下列原因引起：一是惡劣的氣象條件。如嚴(yán)寒無法施工，臺(tái)風(fēng)、暴雨都會(huì)給施工帶來困難或損失。二是惡劣的現(xiàn)場條件。如施工用水用電供應(yīng)的不穩(wěn)定性，工程不利的地質(zhì)條件；又如洪水、泥石流等。三是不利的地理位置。如工程地點(diǎn)十分偏僻，交通十分不利等。四是地震。

（3）經(jīng)濟(jì)風(fēng)險(xiǎn)。經(jīng)濟(jì)因素在項(xiàng)目的全壽命周期內(nèi)長期存在，影響頻率高，交叉作用多見，原因較為復(fù)雜。其主要產(chǎn)生于下列原因：一是宏觀經(jīng)濟(jì)形勢不利，如整個(gè)國家的經(jīng)濟(jì)發(fā)展不景氣。二是投資環(huán)境差。工程投資環(huán)境包括硬環(huán)境（如交通、電力供應(yīng)、通訊等條件）和軟環(huán)境（如地方政府對工程的開發(fā)建設(shè)的態(tài)度等）。三是原材料價(jià)格不正常上漲。如建筑材料不斷攀升。四是通貨膨脹幅度過大，稅收提高過多。五是投資回報(bào)期長，屬長線工程，預(yù)期投資回報(bào)難以實(shí)現(xiàn)。六是資金籌措困難等。

3.2工程項(xiàng)目內(nèi)風(fēng)險(xiǎn)

對工程項(xiàng)目內(nèi)風(fēng)險(xiǎn)根據(jù)技術(shù)因素的影響和工程項(xiàng)目目標(biāo)的實(shí)現(xiàn)程度又可對其進(jìn)行分類。

（1）按技術(shù)因素對工程項(xiàng)目的影響，可將工程項(xiàng)目風(fēng)險(xiǎn)分為技術(shù)風(fēng)險(xiǎn)和非技術(shù)風(fēng)險(xiǎn)。工程項(xiàng)目技術(shù)風(fēng)險(xiǎn)是指技術(shù)條件的不確定而引起可能的損失或工程項(xiàng)目目標(biāo)不能實(shí)現(xiàn)的可能性。工程項(xiàng)目非技術(shù)風(fēng)險(xiǎn)是指在計(jì)劃、組織、管理協(xié)調(diào)等非技術(shù)條件的不確定而引起工程項(xiàng)目目標(biāo)不能實(shí)現(xiàn)的可能性。

（2）根據(jù)工程項(xiàng)目目標(biāo)的實(shí)現(xiàn)程度，可將工程項(xiàng)目風(fēng)險(xiǎn)分為進(jìn)度、技術(shù)性能和質(zhì)量，以及費(fèi)用風(fēng)險(xiǎn)。工程項(xiàng)目進(jìn)度風(fēng)險(xiǎn)是指工程項(xiàng)目進(jìn)度不能按計(jì)劃目標(biāo)實(shí)現(xiàn)的可能性。工程項(xiàng)目技術(shù)性能或質(zhì)量風(fēng)險(xiǎn)是指工程項(xiàng)目技術(shù)性能或質(zhì)量目標(biāo)不能實(shí)現(xiàn)的可能性。工程項(xiàng)目費(fèi)用風(fēng)險(xiǎn)是指工程項(xiàng)目費(fèi)用目標(biāo)不能實(shí)現(xiàn)的可能性。

4項(xiàng)目風(fēng)險(xiǎn)的分析評估

風(fēng)險(xiǎn)識(shí)別的目的在于對各種風(fēng)險(xiǎn)因素評估。基于這些因素的產(chǎn)生原因和表現(xiàn)規(guī)律差異較大，分析評估的方法也就有所區(qū)別。項(xiàng)目風(fēng)險(xiǎn)評估的內(nèi)容主要包括風(fēng)險(xiǎn)源發(fā)生的條件、時(shí)間、空間、頻率及損失期望值。風(fēng)險(xiǎn)分析與評估的方法按其性質(zhì)、用途和適用評估對象分為幾種類型：

按性質(zhì)分為定性、定量及兩者結(jié)合的方法，其中定性的方法主要有層次分析法（AHP）和專家評分法（DELPHI）等。

按用途分為：用于風(fēng)險(xiǎn)源分析識(shí)別、風(fēng)險(xiǎn)發(fā)生的概率預(yù)測、頻率統(tǒng)計(jì)分析、風(fēng)險(xiǎn)后果的評估、風(fēng)險(xiǎn)決策、管理計(jì)劃和對策的制定等方法。按適用評估對象分為：針對工期、成本、投資、質(zhì)量、事故（或故障）、合同、管理、匯（利）率、自然氣候、工程地質(zhì)條件、災(zāi)害、政策法規(guī)、技術(shù)、預(yù)測和決策等的分析評估方法。

5有效管理的風(fēng)險(xiǎn)監(jiān)控與風(fēng)險(xiǎn)決策

通過項(xiàng)目風(fēng)險(xiǎn)監(jiān)控，把握工程項(xiàng)目風(fēng)險(xiǎn)的現(xiàn)狀，了解工程項(xiàng)目風(fēng)險(xiǎn)應(yīng)對措施的實(shí)施效果、有效性，以及出現(xiàn)哪些新的風(fēng)險(xiǎn)事件。在風(fēng)險(xiǎn)監(jiān)控的基礎(chǔ)上，應(yīng)針對發(fā)現(xiàn)的問題，及時(shí)采取措施。這些措施包括：權(quán)變措施、糾正措施以及提出項(xiàng)目變更申請或建議等。并對工程項(xiàng)目風(fēng)險(xiǎn)重新進(jìn)行評估，對風(fēng)險(xiǎn)應(yīng)對計(jì)劃作重新調(diào)整。

在風(fēng)險(xiǎn)被辨識(shí)、估計(jì)和分析評價(jià)后，就可以考慮各種風(fēng)險(xiǎn)的處理方法。風(fēng)險(xiǎn)的防范手段有多種多樣，主要有：風(fēng)險(xiǎn)回避、風(fēng)險(xiǎn)控制、風(fēng)險(xiǎn)轉(zhuǎn)移、風(fēng)險(xiǎn)自擔(dān)、風(fēng)險(xiǎn)分散、風(fēng)險(xiǎn)合并、風(fēng)險(xiǎn)修正等方法。

以上的風(fēng)險(xiǎn)對策不是互斥的，實(shí)踐中常常組合使用。比如在采取措施降低風(fēng)險(xiǎn)的同時(shí)，并不排斥其他的風(fēng)險(xiǎn)對策，例如向保險(xiǎn)公司投保。可行性研究中應(yīng)結(jié)合項(xiàng)目的實(shí)際情況，研究并選用相應(yīng)的風(fēng)險(xiǎn)對策。

6結(jié)語

風(fēng)險(xiǎn)管理的理論已使越來越多的管理者體會(huì)到項(xiàng)目的風(fēng)險(xiǎn)管理能夠產(chǎn)生直接的經(jīng)濟(jì)效益。合理地規(guī)避風(fēng)險(xiǎn)，有效地抵御風(fēng)險(xiǎn)的困擾，增強(qiáng)項(xiàng)目抗拒風(fēng)險(xiǎn)的能力，無疑就是在減少項(xiàng)目的受損失機(jī)會(huì)，降低損害的程度，項(xiàng)目的盈利能力因此增強(qiáng)，項(xiàng)目系統(tǒng)建設(shè)和運(yùn)營的安全可靠性大幅度提高，因此其理論的研究有非常廣闊的應(yīng)用前景?？梢灶A(yù)期，在工程項(xiàng)目領(lǐng)域，風(fēng)險(xiǎn)意識(shí)會(huì)不斷增強(qiáng)，風(fēng)險(xiǎn)管理的相關(guān)技術(shù)也會(huì)有極大的適用空間，尤其應(yīng)用風(fēng)險(xiǎn)管理信息系統(tǒng)軟件，必將大大提高項(xiàng)目的風(fēng)險(xiǎn)管理水平.

參考文獻(xiàn)

篇9

【關(guān)鍵詞】風(fēng)險(xiǎn)管理；內(nèi)部控制；風(fēng)險(xiǎn)評價(jià)；公司治理

2008年5月，財(cái)政部等五部委聯(lián)合了《企業(yè)內(nèi)部控制基本規(guī)范》，2010年4月26日，財(cái)政部會(huì)同證監(jiān)會(huì)、審計(jì)署、國資委、銀監(jiān)會(huì)、保監(jiān)會(huì)等部門在北京召開聯(lián)合會(huì)，隆重了《企業(yè)內(nèi)部控制配套指引》，標(biāo)志著我國企業(yè)內(nèi)部控制規(guī)范體系基本形成，自2011年1月1日起首先在境內(nèi)外同時(shí)上市的公司施行；2012年1月1日起擴(kuò)大到上海證券交易所、深圳證券交易所主板上市的公司施行；在此基礎(chǔ)上，擇機(jī)在中小板和創(chuàng)業(yè)板上市公司施行；同時(shí)，鼓勵(lì)非上市大中型企業(yè)提前執(zhí)行。這是全面提升上市公司和非上市大中型企業(yè)經(jīng)營管理水平的重要舉措，以期促進(jìn)企業(yè)提升管理水平和防范風(fēng)險(xiǎn)能力。

1.風(fēng)險(xiǎn)管理的現(xiàn)實(shí)要求

1.1 風(fēng)險(xiǎn)防范控制是一種重要的企業(yè)內(nèi)部控制方法

內(nèi)部控制結(jié)構(gòu)或內(nèi)部控制成分只是框架性的，只有在內(nèi)部控制結(jié)構(gòu)或內(nèi)部控制成分的基礎(chǔ)上，以內(nèi)部控制的方法推行內(nèi)部控制可能效果更好，而風(fēng)險(xiǎn)防范控制就是一種很好的企業(yè)內(nèi)部控制方法。

企業(yè)在市場經(jīng)濟(jì)環(huán)境中，不可避免會(huì)遇到各種風(fēng)險(xiǎn)，因此為防范規(guī)避風(fēng)險(xiǎn)，企業(yè)應(yīng)建立風(fēng)險(xiǎn)評估機(jī)制。常有的風(fēng)險(xiǎn)評估內(nèi)容有：籌資風(fēng)險(xiǎn)評估；投資風(fēng)險(xiǎn)評估；信用風(fēng)險(xiǎn)評估。這里所說的信用風(fēng)險(xiǎn)，僅指企業(yè)應(yīng)收賬款回收過程中遭受壞賬損失的可能性。風(fēng)險(xiǎn)防范控制是企業(yè)一項(xiàng)基礎(chǔ)性和經(jīng)常性的工作，企業(yè)必要時(shí)可設(shè)置風(fēng)險(xiǎn)評估部門或崗位，專門負(fù)責(zé)有關(guān)風(fēng)險(xiǎn)的認(rèn)別、規(guī)避和控制。

1.2 風(fēng)險(xiǎn)控制是內(nèi)部控制的發(fā)展特征和趨勢之一

提高內(nèi)部會(huì)計(jì)控制規(guī)范的應(yīng)用效果，主要是要使內(nèi)部會(huì)計(jì)控制充分發(fā)揮其防范和化解風(fēng)險(xiǎn)的功能。內(nèi)部控制的發(fā)展特征和趨勢之一就是風(fēng)險(xiǎn)控制導(dǎo)向，我國也要整合內(nèi)部控制與風(fēng)險(xiǎn)管理的關(guān)系，提升基于企業(yè)風(fēng)險(xiǎn)的內(nèi)部控制理論體系。

我國《企業(yè)內(nèi)部控制基本規(guī)范》指出，企業(yè)建立于實(shí)施有效的內(nèi)部控制，應(yīng)當(dāng)包括五個(gè)要素：內(nèi)部環(huán)境、風(fēng)險(xiǎn)評估、控制活動(dòng)、信息與溝通、內(nèi)部監(jiān)督。其中風(fēng)險(xiǎn)評估，是企業(yè)及時(shí)識(shí)別、系統(tǒng)分析經(jīng)營活動(dòng)中與實(shí)現(xiàn)內(nèi)部控制目標(biāo)相關(guān)的內(nèi)部風(fēng)險(xiǎn)和外部風(fēng)險(xiǎn)，合理確定風(fēng)險(xiǎn)應(yīng)對策略?！镀髽I(yè)內(nèi)部控制應(yīng)用指引》共18項(xiàng)指引，可以劃分為三類，即內(nèi)部環(huán)境類指引、控制活動(dòng)類指引、控制手段類指引，基本涵蓋了企業(yè)資金流、實(shí)物流、人力流和信息流等各項(xiàng)業(yè)務(wù)和事項(xiàng)。對每一項(xiàng)指引的具體描述可以分為三部分：涵義、重要風(fēng)險(xiǎn)及如何應(yīng)對風(fēng)險(xiǎn)?？梢?，在整個(gè)內(nèi)部控制中，對風(fēng)險(xiǎn)控制的重視程度。

1.3 經(jīng)營環(huán)境要求企業(yè)進(jìn)行風(fēng)險(xiǎn)管理

風(fēng)險(xiǎn)影響著每個(gè)企業(yè)生存和發(fā)展的能力，也影響其在產(chǎn)業(yè)中的競爭力及在市場上的聲譽(yù)和形象。所有的企業(yè)，不論其規(guī)模、結(jié)構(gòu)、性質(zhì)或產(chǎn)業(yè)是什么，其組織的不同層級都會(huì)遇到因?yàn)閮?nèi)部因素和外部因素造成的風(fēng)險(xiǎn)，管理階層須密切注意各部門、各業(yè)務(wù)的風(fēng)險(xiǎn)，并采取必要的管理措施。

在經(jīng)營管理活動(dòng)中建立和實(shí)施的風(fēng)險(xiǎn)自我管理系統(tǒng)，是企業(yè)有效規(guī)避風(fēng)險(xiǎn)、規(guī)范管理行為的重要手段，是完善法人治理結(jié)構(gòu)、建立現(xiàn)代企業(yè)制度的重要內(nèi)容，也是衡量企業(yè)現(xiàn)代化管理的重要標(biāo)志。

隨著社會(huì)經(jīng)濟(jì)與技術(shù)的不斷發(fā)展，企業(yè)經(jīng)營環(huán)境的變化，利用與經(jīng)營風(fēng)險(xiǎn)相關(guān)的不確定性與復(fù)雜性作掩護(hù)的欺詐與舞弊已成為必須面對和急需解決的一個(gè)重要問題，對其的防范應(yīng)通過合理地設(shè)定企業(yè)的戰(zhàn)略目標(biāo)、嚴(yán)格地控制戰(zhàn)略目標(biāo)實(shí)施過程中的修正程序、提高識(shí)別風(fēng)險(xiǎn)因素的能力，建立良好的企業(yè)文化來實(shí)現(xiàn)。

2.風(fēng)險(xiǎn)管理與內(nèi)部控制

2.1 內(nèi)部控制與企業(yè)風(fēng)險(xiǎn)管理的區(qū)別與聯(lián)系

內(nèi)部控制與企業(yè)風(fēng)險(xiǎn)管理的主要區(qū)別體現(xiàn)在兩個(gè)方面：（1）內(nèi)部控制是基于既定的企業(yè)目標(biāo)以及固化的業(yè)務(wù)模式，不涉及之前的企業(yè)治理和目標(biāo)確定，以及業(yè)務(wù)模式的選擇；而企業(yè)風(fēng)險(xiǎn)管理則涵蓋了對企業(yè)治理風(fēng)險(xiǎn)、戰(zhàn)略目標(biāo)確立風(fēng)險(xiǎn)、業(yè)務(wù)模式選擇風(fēng)險(xiǎn)以及固化風(fēng)險(xiǎn)進(jìn)行管理的整個(gè)過程。（2）企業(yè)治理結(jié)構(gòu)和戰(zhàn)略目標(biāo)的確定都要落腳到企業(yè)本身的限制，是一個(gè)由外而內(nèi)的定位過程，因此，風(fēng)險(xiǎn)管理中所考慮的環(huán)境，主要聚焦在包括可得資源、決策者風(fēng)險(xiǎn)偏好及企業(yè)風(fēng)險(xiǎn)承受能力在內(nèi)的企業(yè)內(nèi)部環(huán)境。

內(nèi)部控制目標(biāo)的實(shí)現(xiàn)，是旨在將影響企業(yè)既定戰(zhàn)略目標(biāo)實(shí)現(xiàn)的風(fēng)險(xiǎn)控制到可接受的水平。內(nèi)部控制是為風(fēng)險(xiǎn)管理而控制，是風(fēng)險(xiǎn)管理的重要手段；風(fēng)險(xiǎn)管理是為企業(yè)目標(biāo)而管理，是目標(biāo)實(shí)現(xiàn)的重要保證。內(nèi)部控制與風(fēng)險(xiǎn)管理兩者相互依存、相互制約，形成一個(gè)有機(jī)整體，共同來實(shí)現(xiàn)企業(yè)的戰(zhàn)略目標(biāo)。

2.2 內(nèi)部控制、企業(yè)管理及企業(yè)全面風(fēng)險(xiǎn)管理的關(guān)系

在企業(yè)設(shè)立階段和運(yùn)營階段的風(fēng)險(xiǎn)中，可以將與企業(yè)戰(zhàn)略設(shè)立、調(diào)整相關(guān)的企業(yè)治理結(jié)構(gòu)風(fēng)險(xiǎn)、戰(zhàn)略目標(biāo)確立風(fēng)險(xiǎn)和業(yè)務(wù)模式選擇風(fēng)險(xiǎn)統(tǒng)稱為活化風(fēng)險(xiǎn)，將業(yè)務(wù)模式既定狀態(tài)下的合規(guī)風(fēng)險(xiǎn)、運(yùn)營風(fēng)險(xiǎn)和財(cái)務(wù)風(fēng)險(xiǎn)稱為固化風(fēng)險(xiǎn)，將固化風(fēng)險(xiǎn)與活化風(fēng)險(xiǎn)合稱作動(dòng)態(tài)風(fēng)險(xiǎn)。而企業(yè)風(fēng)險(xiǎn)管理就是對企業(yè)動(dòng)態(tài)風(fēng)險(xiǎn)的管理，而內(nèi)部控制則是對固化風(fēng)險(xiǎn)的控制。

企業(yè)管理是對機(jī)會(huì)的管理，是設(shè)立目標(biāo)并達(dá)成目標(biāo)的過程，包括計(jì)劃、組織、領(lǐng)導(dǎo)、控制等職能；而企業(yè)全面風(fēng)險(xiǎn)管理是對目標(biāo)設(shè)定和執(zhí)行中的動(dòng)態(tài)風(fēng)險(xiǎn)進(jìn)行管理的過程，包括活化風(fēng)險(xiǎn)管理和固化風(fēng)險(xiǎn)管理（即內(nèi)部控制），兩者并行不悖，可以說，企業(yè)管理是確保企業(yè)成功的充分條件，企業(yè)風(fēng)險(xiǎn)管理是確保企業(yè)成功的必要條件。

2.3 內(nèi)部控制、公司治理、風(fēng)險(xiǎn)管理三者關(guān)系

盡管內(nèi)部控制、公司治理、風(fēng)險(xiǎn)管理在文字表述上存在差異，但就其實(shí)質(zhì)而言是相同的，都是基于企業(yè)存在風(fēng)險(xiǎn)而產(chǎn)生的，都是為了進(jìn)行風(fēng)險(xiǎn)控制，可以統(tǒng)一于一套企業(yè)管理制度之中。

必須注意的是風(fēng)險(xiǎn)管理并不是一種脫離于企業(yè)經(jīng)營管理活動(dòng)之外的管理形式，它內(nèi)含于整個(gè)企業(yè)的經(jīng)營管理活動(dòng)過程之中；風(fēng)險(xiǎn)管理是針對企業(yè)的各責(zé)任主體而言的，離開了這些責(zé)任主體風(fēng)險(xiǎn)管理既失去了風(fēng)險(xiǎn)控制的主體，也失去了風(fēng)險(xiǎn)發(fā)生的主體；為了進(jìn)行風(fēng)險(xiǎn)管理，必須要有一整套風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)控制的程序和方法；風(fēng)險(xiǎn)控制的目的是確保財(cái)物的安全和信息的真實(shí)，而后進(jìn)一步拓展為提高經(jīng)營效率以及各項(xiàng)法律法規(guī)的執(zhí)行。

3.風(fēng)險(xiǎn)管理實(shí)施應(yīng)用

3.1 風(fēng)險(xiǎn)評價(jià)方法

目前，國內(nèi)外關(guān)于風(fēng)險(xiǎn)評價(jià)的方法主要可以分為定性分析評價(jià)、定量分析評價(jià)和定性與定量相結(jié)合的評價(jià)方法三種。

3.1.1 定性分析評價(jià)方法

定性方法主要有德爾菲法、情景分析法與壓力測試法、SWOT法、對比法等。

德爾菲法：又稱專家調(diào)查法，由O·赫爾姆和N·達(dá)爾克在20世紀(jì)40年代首創(chuàng)，是最常用的定性分析方法之一。企業(yè)針對某個(gè)風(fēng)險(xiǎn)同時(shí)咨詢多個(gè)專家，專家們根據(jù)自己的經(jīng)驗(yàn)做出各自的評估；再綜合這些評估得出一個(gè)折中結(jié)果，把該結(jié)果送交給專家們，專家們據(jù)此對自己的評估進(jìn)行修改，直至達(dá)到一致。

情景分析法與壓力測試法：情景分析法通過一些數(shù)字、圖表和曲線，對未來某個(gè)狀態(tài)或某種情況進(jìn)行詳盡的描繪和分析，識(shí)別引起風(fēng)險(xiǎn)的關(guān)鍵因素及其影響程度，是一種前推法，對未來的預(yù)測。壓力測試法則對經(jīng)驗(yàn)過程中面臨的困難做最壞的打算，重現(xiàn)歷史災(zāi)難下企業(yè)所承擔(dān)的風(fēng)險(xiǎn)，是對過去的追溯。美國大通曼哈頓銀行成功地使用該方法對企業(yè)中的風(fēng)險(xiǎn)進(jìn)行了分析。

戰(zhàn)略管理中常用“SWOT”（strength，weakness，opportunities and threats）分析法，也是風(fēng)險(xiǎn)分析的一種，企業(yè)對內(nèi)分析自身的優(yōu)勢與劣勢，長處與短處，對外分析外界的機(jī)會(huì)和威脅，明確企業(yè)在市場中所處的地位，考慮自己的生存機(jī)遇。

3.1.2 定量分析評價(jià)方法

定量方法主要包括風(fēng)險(xiǎn)價(jià)值法、敏感性分析、決策樹分析法、主成分分析法、蒙特卡洛模擬法等。

風(fēng)險(xiǎn)價(jià)值法（VaR）：VaR定義為在一定時(shí)期內(nèi)，一定的置信水平上可能的最大損失。它可將企業(yè)的風(fēng)險(xiǎn)大小以一定的貨幣量表示出來，實(shí)現(xiàn)不同風(fēng)險(xiǎn)的相互比較。目前求解VaR主要有兩種方法：參數(shù)方法和模擬仿真法。

3.1.3 定量分析和定性分析相結(jié)合的評價(jià)方法

常見的定性與定量相結(jié)合的方法，如層次分析法（AHP），是由著名的運(yùn)籌學(xué)家在20世紀(jì)70年代初期提出的一種多目標(biāo)決策方法。利用AHP的遞階層次結(jié)構(gòu)模型，企業(yè)將風(fēng)險(xiǎn)評價(jià)總目標(biāo)進(jìn)行逐層分解，得到從不同方面衡量風(fēng)險(xiǎn)的多變量準(zhǔn)則層，每個(gè)待評估的方案按不同準(zhǔn)則相互比較，構(gòu)建判斷矩陣，求出矩陣最大特征值對應(yīng)的特征向量，便可得到項(xiàng)目風(fēng)險(xiǎn)大小關(guān)系。該法可很好地處理定性和定量相結(jié)合的問題，將決策者的主觀判斷與政策經(jīng)驗(yàn)導(dǎo)入模型，并加以量化處理。

之所以最常使用定性與定量相結(jié)合的方法，這是因?yàn)轱L(fēng)險(xiǎn)評價(jià)是一個(gè)復(fù)雜的系統(tǒng)工程，某些屬性或評價(jià)因素不易量化，甚至評價(jià)因素本身就不易確定，要想取得理想的評價(jià)效果很難。這時(shí)可以請多名對評價(jià)對象有專門知識(shí)或經(jīng)驗(yàn)的人員來對其進(jìn)行定性、定量或兩者結(jié)合的評價(jià)。而且，隨著計(jì)算機(jī)技術(shù)的發(fā)展，評價(jià)方法越來越豐富，也常常采用定性與定量兩者相結(jié)合的組合風(fēng)險(xiǎn)評價(jià)方法進(jìn)行系統(tǒng)評價(jià)。

3.2 風(fēng)險(xiǎn)管理的實(shí)施應(yīng)用

COSO委員會(huì)研究并了基于風(fēng)險(xiǎn)導(dǎo)向的內(nèi)部控制監(jiān)督模型，它是一項(xiàng)嵌入風(fēng)險(xiǎn)信息與信息技術(shù)的系統(tǒng)化監(jiān)督流程工具，以推動(dòng)企業(yè)將監(jiān)督有效地植入公司的持續(xù)控制過程，它首次在實(shí)質(zhì)上推動(dòng)了內(nèi)部控制監(jiān)督要素的應(yīng)用性發(fā)展。

風(fēng)險(xiǎn)管理是一個(gè)包括風(fēng)險(xiǎn)規(guī)劃、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評價(jià)、風(fēng)險(xiǎn)處理與風(fēng)險(xiǎn)監(jiān)控的全過程管理，是一個(gè)系統(tǒng)的動(dòng)態(tài)的循環(huán)的風(fēng)險(xiǎn)管理過程。其中，風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評價(jià)以及風(fēng)險(xiǎn)處理都有多種常用方法，正確合理地選擇方法是風(fēng)險(xiǎn)管理順利實(shí)現(xiàn)的重要前提。在具體運(yùn)用中，具體選擇哪種方法需要根據(jù)工程實(shí)際情況才能做出合理判斷。隨著風(fēng)險(xiǎn)管理在企業(yè)管理中越來越重要，應(yīng)針對本企業(yè)具體情況進(jìn)行風(fēng)險(xiǎn)辨識(shí)、分析和評估、應(yīng)對以及風(fēng)險(xiǎn)防范措施等，以預(yù)防和減輕風(fēng)險(xiǎn)，達(dá)到降低風(fēng)險(xiǎn)等級的目的。

另外，在實(shí)際操作中，由于我國引進(jìn)風(fēng)險(xiǎn)管理理念時(shí)間較短，它又與我國傳統(tǒng)的理念存在很多差異，管理人員沒有經(jīng)驗(yàn)，在把這些概念和框架融入到日常的管理活動(dòng)之中時(shí)，遇到許多困難，要不斷摸索著前進(jìn)。因此，我們要清楚地認(rèn)識(shí)到內(nèi)部控制和風(fēng)險(xiǎn)管理不僅僅是一種規(guī)章制度，更不是靜態(tài)的，一成不變的，而是一種管理過程，是一個(gè)持續(xù)的、不斷修正的過程。

參考文獻(xiàn)

[1]白華.內(nèi)部控制、公司治理與風(fēng)險(xiǎn)管理——一個(gè)職能論的視角[J].經(jīng)濟(jì)學(xué)家,2012(3).

[2]孫志梅,李秀蓮,王昕.國有企業(yè)內(nèi)部控制與風(fēng)險(xiǎn)管理研究綜述[J].經(jīng)濟(jì)研究導(dǎo)刊,2011(12).

[3]鄧揚(yáng)建.風(fēng)險(xiǎn)管理導(dǎo)向的企業(yè)內(nèi)部控制思考[J].財(cái)務(wù)與金融,2011(8).

[4]劉玉廷.全面提升企業(yè)經(jīng)營管理水平的重要舉措——《企業(yè)內(nèi)部控制配套指引》解讀[J].會(huì)計(jì)研究,2010(5).

[5]張蕊.高風(fēng)險(xiǎn)形式下企業(yè)欺詐與舞弊的防范[J].會(huì)計(jì)研究,2010(7).

[6]劉霄侖.風(fēng)險(xiǎn)控制理論的再思考:基于對COSO內(nèi)部控制理念的分析[J].會(huì)計(jì)研究,2010(10).

[7]Samuel Bassetto,Ali Siadat b and Michel Tollenaere.The management of process control deployment using interactions in risks analyses [J].Journal of Loss Prevention in the Process Industries.2011,24.

篇10

關(guān)鍵詞：出口商品；質(zhì)量；風(fēng)險(xiǎn)管理；模式

中國作為世界出口制造業(yè)第一大國，隨著國際間貿(mào)易競爭不斷加劇，出口商品對通關(guān)便利化的要求越來越高。為了在保證出口商品質(zhì)量安全的同時(shí)建立高效、便捷的通關(guān)機(jī)制，質(zhì)量監(jiān)管部門必須創(chuàng)新出口商品質(zhì)量風(fēng)險(xiǎn)管理機(jī)制，以出口商品質(zhì)量安全信息為基礎(chǔ)，全面掌握與出口商品質(zhì)量安全相關(guān)的風(fēng)險(xiǎn)信息，開展風(fēng)險(xiǎn)分析和質(zhì)量安全狀況評估，落實(shí)風(fēng)險(xiǎn)管理措施，依據(jù)產(chǎn)品風(fēng)險(xiǎn)等級和企業(yè)誠信情況、質(zhì)量保證能力實(shí)施差別化監(jiān)管，扶優(yōu)限劣，提高通關(guān)效率。2012年5月至2013年8月，福州出入境檢驗(yàn)檢驗(yàn)局選擇了較具代表性的出口鞋類商品，前瞻性地開展了檢驗(yàn)監(jiān)管業(yè)務(wù)風(fēng)險(xiǎn)管理模式改革試點(diǎn)工作，構(gòu)建了"動(dòng)態(tài)監(jiān)控、分級管理"的檢驗(yàn)監(jiān)管新機(jī)制，取得了良好的實(shí)效，同時(shí)也對出口法檢目錄調(diào)整之后的出口商品質(zhì)量監(jiān)管模式起到很好的參考作用。

一、實(shí)施出口商品質(zhì)量風(fēng)險(xiǎn)管理的必要性

風(fēng)險(xiǎn)管理，指防范風(fēng)險(xiǎn)的管理工作，包括了風(fēng)險(xiǎn)信息采集、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)應(yīng)對、風(fēng)險(xiǎn)監(jiān)控等一系列活動(dòng)。出口商品質(zhì)量風(fēng)險(xiǎn)管理，就是要識(shí)別各類出口商品質(zhì)量風(fēng)險(xiǎn)，對風(fēng)險(xiǎn)發(fā)生的頻率和后果進(jìn)行分析，尋找并引入風(fēng)險(xiǎn)控制措施，消除或者減輕因質(zhì)量因素帶來的潛在危害，從而實(shí)現(xiàn)出口商品質(zhì)量的有效控制。

出口商品質(zhì)量監(jiān)管工作中實(shí)施風(fēng)險(xiǎn)管理，首先是當(dāng)前外貿(mào)形勢的要求。當(dāng)前出口企業(yè)面臨諸多困難：生產(chǎn)成本上升，國際市場需求不旺，受周邊國家的價(jià)格擠壓，產(chǎn)品單價(jià)難以提高等等，企業(yè)利潤大幅下降，對產(chǎn)品質(zhì)量不可避免地造成負(fù)面影響。與此同時(shí)，出口產(chǎn)品面臨的國外技術(shù)壁壘卻有增無減，部分發(fā)達(dá)國家對產(chǎn)品安全性的要求甚至到了苛刻的程度，一種產(chǎn)品可能涉及的危害控制項(xiàng)目往往多達(dá)幾十種，給出口企業(yè)在質(zhì)量管理方面造成很大的困擾。

其次是促進(jìn)外貿(mào)持續(xù)發(fā)展的要求。國家質(zhì)檢總局早在2012年初就提出了深化檢驗(yàn)監(jiān)管模式改革，積極建立以風(fēng)險(xiǎn)管理為核心的出口商品檢驗(yàn)監(jiān)管機(jī)制，提高出口產(chǎn)品監(jiān)管效率。通過深化和全面加強(qiáng)風(fēng)險(xiǎn)管理，促進(jìn)外貿(mào)出口。

通過實(shí)施風(fēng)險(xiǎn)管理，可以提高利益相關(guān)方風(fēng)險(xiǎn)意識(shí)，有效配置和使用資源，實(shí)施主動(dòng)性、前瞻性的質(zhì)量管理，改善工作效率和效果；遵守國內(nèi)外質(zhì)量法律法規(guī)和國際規(guī)范，減少損失，為計(jì)劃和決策奠定可靠的基礎(chǔ)；提高產(chǎn)品質(zhì)量水平，增強(qiáng)出口企業(yè)生存和持續(xù)發(fā)展的能力。

出口商品質(zhì)量風(fēng)險(xiǎn)管理總體思路是：運(yùn)用風(fēng)險(xiǎn)管理的理念，深化和全面加強(qiáng)風(fēng)險(xiǎn)管理，通過風(fēng)險(xiǎn)信息采集與識(shí)別、風(fēng)險(xiǎn)分析和評價(jià)，區(qū)分不同風(fēng)險(xiǎn)等級，來確定監(jiān)管需求和資源配置的優(yōu)先順序。同時(shí)依托口岸電子信息化手段，有針對性地加強(qiáng)關(guān)鍵風(fēng)險(xiǎn)防控，做到"該嚴(yán)則嚴(yán)、該快則快、打劣促好"，構(gòu)建"動(dòng)態(tài)監(jiān)控、分級管理"的出口商品質(zhì)量監(jiān)管新機(jī)制。

二、出口商品質(zhì)量風(fēng)險(xiǎn)信息的采集

風(fēng)險(xiǎn)，指在某一特定環(huán)境下，在某一特定時(shí)間段內(nèi)，某種損失發(fā)生的可能性。風(fēng)險(xiǎn)是一種未來的不確定性，可能會(huì)產(chǎn)生嚴(yán)重?fù)p失、或是可容忍的損失，甚至獲利。從質(zhì)量的角度講，風(fēng)險(xiǎn)與危害不同，危害是事物本身固有的屬性，如有毒物質(zhì)對人體、環(huán)境造成的危害等，危害是造成產(chǎn)品質(zhì)量風(fēng)險(xiǎn)的重要原因之一，但不一定會(huì)直接導(dǎo)致風(fēng)險(xiǎn)。

風(fēng)險(xiǎn)信息是實(shí)施風(fēng)險(xiǎn)管理的基礎(chǔ)，需通過各種方式、途徑，全面采集出口商品質(zhì)量信息，并識(shí)別出風(fēng)險(xiǎn)。

1、外部質(zhì)量風(fēng)險(xiǎn)信息的采集。包括各個(gè)出口商品輸往國的質(zhì)量法規(guī)、標(biāo)準(zhǔn)、行為習(xí)慣，以及各種現(xiàn)行和即將出臺(tái)的技術(shù)性貿(mào)易措施。各國對產(chǎn)品危害點(diǎn)的管制不盡相同，同一產(chǎn)品輸往不同國家產(chǎn)生的質(zhì)量風(fēng)險(xiǎn)也不同，如對產(chǎn)品中重金屬鉛含量的限制，歐盟國家、美國、及其他國家的控制要求各不相同。

2、產(chǎn)品自身質(zhì)量風(fēng)險(xiǎn)信息的采集。不同產(chǎn)品存在不同的質(zhì)量危害，由此產(chǎn)生的質(zhì)量風(fēng)險(xiǎn)也不相同，需針對不同產(chǎn)品進(jìn)行梳理和識(shí)別。一般而言，產(chǎn)品自身中存在的潛在質(zhì)量風(fēng)險(xiǎn)主要包括：一是有害化學(xué)物質(zhì)，如：禁用偶氮染料、鄰苯二甲酸鹽、富馬酸二甲酯、全氟辛酸等等。二是物理安全性能，如：嬰兒用品的小附件、銳利尖端和銳利邊緣、繩帶的纏繞，電氣安全等。三是衛(wèi)生性能，如霉變等。四是一般使用性能和外觀要求，如：耐摩性能、拉伸強(qiáng)度、變形、污漬等。

3、出口商品質(zhì)量風(fēng)險(xiǎn)反饋信息的采集。包括出口商品遭遇國外通報(bào)、召回信息；出口商品退運(yùn)信息；遭遇消費(fèi)者投訴或媒體負(fù)面的質(zhì)量信息反饋；以及對出口商品實(shí)施監(jiān)督抽查、專項(xiàng)檢查的不合格結(jié)果信息等。

4、企業(yè)質(zhì)量誠信信息的采集。不同企業(yè)的質(zhì)量誠信和質(zhì)量管理水平也會(huì)對出口商品質(zhì)量風(fēng)險(xiǎn)產(chǎn)生不同的影響。質(zhì)量文化良好、質(zhì)量管理規(guī)范的企業(yè)，相對質(zhì)量風(fēng)險(xiǎn)低；反之，質(zhì)量風(fēng)險(xiǎn)就高一些。因此對同一產(chǎn)品的不同生產(chǎn)企業(yè)也要進(jìn)行質(zhì)量信息采集與風(fēng)險(xiǎn)識(shí)別，區(qū)別對待。企業(yè)質(zhì)量信息點(diǎn)主要包括：企業(yè)的質(zhì)量意識(shí)，企業(yè)在各部門、各機(jī)構(gòu)的誠信記錄，質(zhì)量體系建立及運(yùn)行的有效性，質(zhì)量體系及產(chǎn)品認(rèn)證情況，質(zhì)量管理人員配置，產(chǎn)品檢驗(yàn)控制，貿(mào)易信譽(yù)，過往質(zhì)量記錄等。

三、出口商品質(zhì)量風(fēng)險(xiǎn)等級

風(fēng)險(xiǎn)發(fā)生所產(chǎn)生的后果，可以根據(jù)其嚴(yán)重程度分成不同的等級。理想化來說，所有可能產(chǎn)生不良后果的風(fēng)險(xiǎn)，都需要控制。但是不同風(fēng)險(xiǎn)導(dǎo)致的結(jié)果的不可接受程度不同，需要采取不同的防控措施對待，質(zhì)量保障資源的平均分配或者動(dòng)用對待關(guān)鍵風(fēng)險(xiǎn)的人力、財(cái)力、檢測資源來控制低風(fēng)險(xiǎn)的質(zhì)量項(xiàng)目都是不合理的。通過風(fēng)險(xiǎn)分級，有利于突出重點(diǎn)，節(jié)約質(zhì)量成本，化解風(fēng)險(xiǎn)在可接受范圍內(nèi)。實(shí)際工作中根據(jù)風(fēng)險(xiǎn)后果影響程度的不同，將風(fēng)險(xiǎn)區(qū)分為關(guān)鍵控制風(fēng)險(xiǎn)，一般控制風(fēng)險(xiǎn)和基礎(chǔ)性質(zhì)量風(fēng)險(xiǎn)三個(gè)風(fēng)險(xiǎn)等級。

1、關(guān)鍵控制風(fēng)險(xiǎn)。其一旦失控，存在不可接受的質(zhì)量風(fēng)險(xiǎn)，必須被總是監(jiān)控。它必須是客戶、消費(fèi)者或者政府部門最關(guān)注的因素，對產(chǎn)品質(zhì)量的影響是最直接的，或者說是最負(fù)面的。如輸美兒童玩具中鉛含量的控制，輸歐真皮皮鞋中六價(jià)鉻的控制等。

2、一般控制風(fēng)險(xiǎn)。其一旦失控，一般不會(huì)直接導(dǎo)致不可接受的質(zhì)量風(fēng)險(xiǎn)。主要涉及產(chǎn)品一般使用性能和外觀，如衣服扣子釘歪了，鞋底開膠了等等。

3、基礎(chǔ)性質(zhì)量風(fēng)險(xiǎn)。涉及企業(yè)生產(chǎn)規(guī)范、設(shè)施、設(shè)備保障，以及企業(yè)道德、行業(yè)自律、產(chǎn)品標(biāo)準(zhǔn)體系建設(shè)、檢驗(yàn)檢測認(rèn)證市場規(guī)范、社會(huì)質(zhì)量文化等等。這些因素對質(zhì)量保障的影響是基礎(chǔ)性的，也是降低產(chǎn)品質(zhì)量風(fēng)險(xiǎn)的治本之舉。

四、出口商品質(zhì)量風(fēng)險(xiǎn)評估

1、運(yùn)用風(fēng)險(xiǎn)矩陣法確定風(fēng)險(xiǎn)等級。運(yùn)用風(fēng)險(xiǎn)評估技術(shù)中的風(fēng)險(xiǎn)矩陣法對各種風(fēng)險(xiǎn)進(jìn)行分析和評價(jià)，確定風(fēng)險(xiǎn)的等級。具體而言，對每一種風(fēng)險(xiǎn)發(fā)生的頻率（即可能性）和后果的嚴(yán)重程度分別進(jìn)行量化的評估，計(jì)算出每一種風(fēng)險(xiǎn)的風(fēng)險(xiǎn)指數(shù)，同時(shí)將風(fēng)險(xiǎn)指數(shù)范圍定義為不同的三個(gè)區(qū)間：可接受區(qū)間、檢查區(qū)間和不可接受區(qū)間，分別對應(yīng)風(fēng)險(xiǎn)的三個(gè)不同等級：關(guān)鍵控制風(fēng)險(xiǎn)，一般控制風(fēng)險(xiǎn)和基礎(chǔ)性質(zhì)量風(fēng)險(xiǎn)。某種項(xiàng)目風(fēng)險(xiǎn)頻率級別的量化值，可以根據(jù)該項(xiàng)目被抽查檢出的不合格比例，以及被國外通報(bào)、退運(yùn)等數(shù)據(jù)的統(tǒng)計(jì)進(jìn)行確定；風(fēng)險(xiǎn)后果的級別量化值，可以根據(jù)該項(xiàng)目對人體產(chǎn)生危害的嚴(yán)重程度進(jìn)行區(qū)分。

2、關(guān)鍵控制風(fēng)險(xiǎn)的確定與動(dòng)態(tài)調(diào)整。通過風(fēng)險(xiǎn)評估，可以得到某個(gè)階段的關(guān)鍵控制風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評估的結(jié)果不僅可以作為出口商品質(zhì)量監(jiān)管的重點(diǎn)項(xiàng)目，同時(shí)也可以成為相關(guān)生產(chǎn)企業(yè)和貿(mào)易商的重點(diǎn)質(zhì)量保證項(xiàng)目，引導(dǎo)生產(chǎn)企業(yè)主動(dòng)在設(shè)計(jì)、原輔材料采購和生產(chǎn)過程中對這些項(xiàng)目進(jìn)行控制。同樣的方法也可以對不同行業(yè)、不同商品、不同企業(yè)、不同目的國，甚至不同環(huán)節(jié)發(fā)生的質(zhì)量風(fēng)險(xiǎn)進(jìn)行風(fēng)險(xiǎn)等級的判定，從而確定關(guān)鍵控制風(fēng)險(xiǎn)。

風(fēng)險(xiǎn)評估過程是動(dòng)態(tài)的，開放性的，當(dāng)遇有國外相關(guān)法律法規(guī)、強(qiáng)制性技術(shù)規(guī)范、標(biāo)準(zhǔn)、風(fēng)險(xiǎn)預(yù)警信息、國外通報(bào)情況、監(jiān)督抽查檢測不合格情況、生產(chǎn)條件，及其他影響風(fēng)險(xiǎn)分析、評價(jià)的因素發(fā)生重大變化時(shí)，須及時(shí)或定期重新進(jìn)行風(fēng)險(xiǎn)評估，對關(guān)鍵控制風(fēng)險(xiǎn)進(jìn)行動(dòng)態(tài)調(diào)整。

五、出口商品質(zhì)量風(fēng)險(xiǎn)應(yīng)對

重點(diǎn)針對關(guān)鍵控制風(fēng)險(xiǎn)，加強(qiáng)質(zhì)量監(jiān)管，提高質(zhì)量風(fēng)險(xiǎn)防控措施的針對性和有效性，合理配置行政和企業(yè)資源。

1、強(qiáng)化關(guān)鍵控制風(fēng)險(xiǎn)監(jiān)管。對涉及關(guān)鍵控制風(fēng)險(xiǎn)的出口商品加強(qiáng)審核、查驗(yàn)、檢測、監(jiān)控，介入點(diǎn)可以是口岸查驗(yàn)，生產(chǎn)環(huán)節(jié)的企業(yè)合格評定等。如果出現(xiàn)行業(yè)性、區(qū)域性嚴(yán)重質(zhì)量風(fēng)險(xiǎn)時(shí)，可以采取必要的臨時(shí)性措施，如提高市場準(zhǔn)入門檻等，嚴(yán)格控制質(zhì)量風(fēng)險(xiǎn)。另外，針對特殊商品的質(zhì)量安全監(jiān)管，如出口危險(xiǎn)化學(xué)品、高風(fēng)險(xiǎn)玩具和稀土等特殊商品，應(yīng)制定明確的法律法規(guī)、制度，完善監(jiān)管流程，確保質(zhì)量安全。

2、提供針對性的技術(shù)支持與服務(wù)。加大服務(wù)企業(yè)的精準(zhǔn)度，相關(guān)風(fēng)險(xiǎn)項(xiàng)目的技術(shù)指導(dǎo)，包括質(zhì)量控制方法，生產(chǎn)規(guī)范，原材料選擇等，提供免費(fèi)的技術(shù)培訓(xùn)和咨詢服務(wù)，幫助企業(yè)了解、掌握、有效應(yīng)對國外技術(shù)性貿(mào)易措施，化解質(zhì)量風(fēng)險(xiǎn)。

3、突出企業(yè)責(zé)任，樹立風(fēng)險(xiǎn)意識(shí)。通過對出口企業(yè)廣泛、深入、細(xì)致的宣傳培訓(xùn)，牢固樹立企業(yè)的質(zhì)量主體意識(shí)，不斷提高企業(yè)的質(zhì)量風(fēng)險(xiǎn)意識(shí)。鼓勵(lì)企業(yè)開展產(chǎn)品風(fēng)險(xiǎn)分析，源頭質(zhì)量檢測，和生產(chǎn)過程的自檢，提高風(fēng)險(xiǎn)防控能力。同時(shí)引導(dǎo)企業(yè)開展首件產(chǎn)品確認(rèn)，并爭取客戶的有效確認(rèn)。

4、強(qiáng)化執(zhí)法，維護(hù)市場秩序。任何質(zhì)量風(fēng)險(xiǎn)的控制都需要質(zhì)量成本的付出做支撐，并在產(chǎn)品的價(jià)格上反映出來。必須通過暢通投訴、舉報(bào)渠道，開展通報(bào)退運(yùn)后續(xù)調(diào)查、監(jiān)督抽查、專項(xiàng)檢查等方法手段，打擊出口假冒偽劣商品，凈化市場環(huán)境，引導(dǎo)市場走出低價(jià)劣質(zhì)無序競爭的困境。

六、出口商品質(zhì)量風(fēng)險(xiǎn)管理改革成效

通過出口商品質(zhì)量風(fēng)險(xiǎn)管理模式改革的實(shí)踐，驗(yàn)證了關(guān)鍵風(fēng)險(xiǎn)控制理論的可行性，取得了良好的實(shí)際運(yùn)行效果。

1、產(chǎn)品整體質(zhì)量水平不斷提高。企業(yè)對產(chǎn)品風(fēng)險(xiǎn)控制的意識(shí)和能力顯著提升，促進(jìn)了出口商品質(zhì)量的持續(xù)提高。雖然監(jiān)管部門的總體抽檢批減少了，但檢驗(yàn)針對性提高，有效攔截了不合格商品的出口；同時(shí)企業(yè)對其產(chǎn)品質(zhì)量風(fēng)險(xiǎn)點(diǎn)能否進(jìn)行有效控制決定了其產(chǎn)品通關(guān)速度和通關(guān)成本，管理的差異化有助于促進(jìn)一批優(yōu)質(zhì)企業(yè)轉(zhuǎn)型升級，實(shí)現(xiàn)了"促好促快"的良性循環(huán)。

2、提高了質(zhì)量監(jiān)管工作有效性和針對性。改變以往"一刀切"式的、無差別的按比例隨機(jī)抽檢的方式，通過高風(fēng)險(xiǎn)關(guān)鍵控制點(diǎn)布控?cái)r截，增強(qiáng)現(xiàn)場施檢的針對性。統(tǒng)計(jì)數(shù)據(jù)顯示，針對風(fēng)險(xiǎn)點(diǎn)的抽檢批占總抽檢批的三分之二，集中了有限的檢力資源管住管好了該管的，凸顯了檢驗(yàn)的有效性。

3、提升了電子信息化技術(shù)應(yīng)用水平。促進(jìn)了電子信息化技術(shù)在出口商品質(zhì)量管理中的進(jìn)一步優(yōu)化、完善，實(shí)現(xiàn)了高風(fēng)險(xiǎn)項(xiàng)目的嚴(yán)密布控、一般風(fēng)險(xiǎn)產(chǎn)品的快速放行和風(fēng)險(xiǎn)信息日常電子化管理。

參考文獻(xiàn)：

[1] 國際標(biāo)準(zhǔn)化組織合格評定委員會(huì) 產(chǎn)品監(jiān)管和市場監(jiān)督的原則與實(shí)踐 良好實(shí)踐指南 2012

[2] 馬文拉桑德著，劉一騮譯 風(fēng)險(xiǎn)評估理論方法與應(yīng)用 清華大學(xué)出版社 2013.6

[3] GB/T27921-2011 風(fēng)險(xiǎn)管理 風(fēng)險(xiǎn)評估技術(shù)