風險識別與風險評估的區別匯總十篇

時間：2023-08-25 17:07:40

序論：好文章的創作是一個不斷探索和完善的過程，我們為您推薦十篇風險識別與風險評估的區別范例，希望它們能助您一臂之力，提升您的閱讀品質，帶來更深刻的閱讀感受。

風險識別與風險評估的區別

篇（1）

內部審計作為重要的管理工具，一直是企業內部監督的重要組成部分。隨著經濟全球化和市場競爭多元化的不斷深入，企業所面臨的風險日趨復雜。尤其是對于大型企業集團而言，風險規模已經遠遠超出管理層能夠直接管控的范圍。為此，企業開始日益重視風險管理工作，積極建立內部控制體系，提高企業風險管控能力。在此趨勢下，風險導向內部審計應運而生，并較好的適應了管理層的風險管理需要。

一、風險導向內部審計的概念與基本特點

按照國際內部審計師協會（IIA）對內部審計的定義，內部審計是“一種獨立、客觀的保證和咨詢活動，其目的是在于為組織增加價值并提高組織的運作效率。它采取系統化和規范化的方法來對風險管理、控制和治理程序進行評估和改善，從而幫助組織實現目標”。根據這一定義，推行風險導向內部審計就是要以對組織風險的評估與改善作為基本目標，以內部控制為審計基礎，以公司治理為參與風險管理的前提。風險導向內部審計作為內部審計發展的一個階段，其本身具有區別于傳統內部審計和注冊會計師外部審計的特點。筆者認為這些特點主要體現在如下方面：首先，風險導向內部審計將風險評估和改善作為首要目標，并據此延伸其職能。具體來說，其職能主要有三個方面，一是利用其在內部管理方面的專家地位和信息優勢，根據企業目標評估、分析和管理風險，并將審計結果和管理建議向管理層報告。二是幫助管理層在制定重大決策事項時進行風險評估。三是為市場、采購、技術等其他專業領域的風險管理部門提供咨詢。總之，風險導向內部審計不再是消極的查錯防弊，而應以組織的整體風險評估作為首要工作。其次，風險導向內部審計在方法上更加注重風險評估、缺陷評估和管理建議。區別于傳統內部審計，風險導向內部審計始終把風險管理作為審計工作的出發點和落腳點，強化審計工作的事前風險評估和事后缺陷評估環節，并基于這些評估得到審計結論和給出風險管理建議。第三，風險導向內部審計以內部控制為基礎。從理論上說，內部審計是內部控制的監督環節，是對其他內部控制環節的再控制。內部審計無論從事是對風險的評估和改善，還是參與風險管理和治理程序，都需要依托對企業內部控制狀況的了解。第四，采用風險導向使內部審計工作融入企業全面風險管理體系。不同于外部審計師所實施的內部控制審計，內部審計是為了保證企業經營目標的實現、保護資產安全、防止舞弊的發生而進行的全方位的內部控制評價。也就是說，內部審計、內部控制以及管理層的風險治理活動都是以企業風險管理為目標。內部審計通過采用風險導向而參與到企業全面風險管理中，成為整個風險管理體系的有機組成部分。

二、在內部審計中采用風險導向的必要性與實踐意義

當前，內部審計需要應對的風險越來越復雜，對審計的要求也不斷提高。內部審計需要更為全面、及時、準確的反映企業存在的風險，并提出有針對性的管理建議。傳統內部審計雖然也針對企業風險進行監督，但從根本上說仍然缺乏完整有效的風險識別和評估體系，審計工作高度依賴審計人員水平，其風險覆蓋的全面性、重要環節的審計充分性、以及審計質量的穩定性均難以保證。這不但無法滿足企業風險管理需求，而且難以體現內部審計的管理價值，不利于內部審計的長期發展。因此，在審計實踐中采用風險導向是內部審計發展的必然選擇。

1、風險導向內部審計以風險評估和改善為目標，可以更為系統的覆蓋企業重要風險，保證內部審計的完整性傳統內部審計對于內部控制的關注一般集中在已有流程和已識別的運營風險，而缺乏對風險識別全面性和風險變動的評估。但對個體企業而言，無論是外部環境、業務特點，還是內部管理和治理結構都十分復雜，且始終處在不斷變化的過程中。COSO委員會在2004年頒布的《企業風險管理——整體框架》（ERM）中將企業全面風險要素概括為八個大類，而阿瑟.安德森公司的商務風險模型（BRM）則將企業風險概括為三大類75種，足見其范圍之廣。在此情況下，傳統內部審計很難保證審計結果和管理建議不存在重大遺漏、誤判或者與企業實際狀況脫節的風險。而風險導向內部審計通過有效的風險識別和風險評估，可以及時、全面的掌握這些情況，幫助內部審計部門形成對被審企業的完整認識。

2、風險導向內部審計對風險和缺陷的評估，能夠更為科學的確定審計事項的重要性水平，有助于合理調配審計資源，深入進行研究分析，保證內部審計的充分性在目前的內部審計實踐中，一個較為突出的問題是在標準化的審計程序上耗費大量審計資源，而缺乏對重要問題的深入研究和系統性分析。具體來說，一方面，審計過于追求程序的標準化，審計意見包含大量詳細的操作細節問題，但沒有區分重要性水平。特別是對于風險較小的環節給予過多關注，造成控制冗余，不但影響審計效率，也可能對后續審計產生誤導。另一方面，對于重要缺陷不能給出系統評估和全面的解決方案，例如評估缺陷在多大程度上增加了企業運營風險，缺陷產生的系統性原因和個體原因，以及如何進行整改和需要投入的管理資源是否符合成本效益原則。而風險導向內部審計重視事前的風險評估，可以有效解決審計側重點問題，合理調配審計資源。可以結合企業目標，有針對性的深入研究重要風險，評估缺陷程度。同時，還可以減少在次要風險上的審計資源投入，在總體資源有限的情況下發揮最大的審計效果。

三、實施風險導向內部審計的實現途徑與展望

風險導向內部審計從根本上改變了傳統審計的指導思想和工作模式，對內審部門提出了很大的挑戰，其在實踐中的應用還存在很大障礙。筆者認為，要想實施風險導向內部審計，至少需要在如下幾個實現轉變。

1、內部審計部門職能的轉變：由消極的查錯防弊向主動的風險管理轉變在所有阻礙風險導向審計實施的問題中，最根本的是內審部門自身定位的轉變。風險導向內部審計要求內審部門的定位要從消極的查錯防弊變為主動的風險管理，在風險評估、內部控制乃至公司治理中發揮專業作用。這使內審工作從監督指導職能延伸到風險評估、缺陷分析和管理咨詢，幾乎顛覆了內審部門的舊有工作范圍，無疑是對內審部門從軟件到硬件的全面挑戰。盡管如此，這些轉變又是不可回避的，因為能否轉變思路并主動適應新的角色，是內部審計能否提升自身價值的關鍵所在，也是企業風險管理提升不可或缺的重要途徑。

2、審計方法的轉變：建立完善風險評估機制風險評估和改善作為內部審計的首要目標，在實踐中也是能否真正實施風險導向內部審計的關鍵問題。因為企業的風險千差萬別，風險評估也非常復雜繁瑣，但作為整個審計體系的基石，所有后續審計工作均需要以風險評估為基礎。筆者認為，企業應通過建立成熟的風險識別模型和風險評估程序，通過流程化、標準化以節約審計資源。具體來說，一方面內審部門應結合COSO企業風險管理框架（ERM）、企業風險模型（BRM）以及其他風險分析工具，建立一套適合本企業特點的風險識別模型。然后根據企業目標，在模型框架內識別具有重大影響的風險項目，建立企業風險數據庫。另一方面，在內部審計中應建立風險評估報告制度，強制要求內審人員全面了解被審單位的風險狀況，以保證所有后續審計工作按風險導向執行，最終幫助評價審計結果對企業整體風險的影響。

3、風險管理架構的轉變：整合內部控制資源，實施風險的全過程管理無論是內部審計還是內部控制和企業風險管理部門，乃至于各專業部門的風險管理人員，其根本任務歸根結底就是對風險進行管理。而受制于管理范圍和資源限制，內部審計部門必須與其他風險管理部門共同開展風險管理工作。具體來說，一是需要加強部門協調，與相關部門共享風險數據庫，并在共同的風險識別框架下對風險形成共同認識，對控制措施和審計缺陷評估實施共同標準。二是對風險進行全過程管理。根據風險管理過程理論，風險管理是風險識別、風險度量和風險監控三個環節構成的循環，內部審計對于風險的管理也必然是一個動態的過程，需要整合相關資源對風險全流程進行管理，及時進行重新評估和應對。目前，外部審計機構正在大力開展管理咨詢業務，憑借其專業優勢和成本優勢，越來越多的重復性內部審計工作已呈現外包化趨勢。內部審計如果仍在“查錯防弊”階段止步不前，將越來越難以為企業創造價值。因此，只有積極參與企業內部風險管理，并在此基礎上與其他風險管理部門密切配合，形成強有力的風險管理體系，才能有效為企業保駕護航，這或許是內部審計的長遠發展方向。

作者:姜傳志胡增會單位:青島中油巖土工程有限公司

參考文獻:

[1]曹偉,桂友泉.2002:內部審計與內部控制[J].審計研究(1),P27-30.

篇（2）

傳統風險導向審計也稱為控制風險導向審計，是指審計人員在審計過程中將風險分析、評價與控制融入傳統審計方法之中，進而獲取審計證據，形成審計結論的一種審計取證模式。

模型（審計風險=固有風險×控制風險×檢查風險）可以解決交易類別、賬戶余額、披露和其他具體認定層次的錯報，發現經濟交易和事項本身的性質和復雜程度發生的錯報，發現企業管理當局由于本身的認知和技術水平造成的錯報，以及企業管理當局局部和個別人員舞弊和造假造成的錯報，從而將審計風險控制在比較滿意的水平。

二、現代風險導向審計模型

風險導向審計也稱為經營風險導向審計，是指以被審計單位的戰略經營風險為導向，通過“戰略分析――流程分析――經營業績評價――財務報表剩余風險分析”的基本思路，將會計報表重大錯報風險和經營風險聯系起來，從而提出了審計師從源頭分析和發現會計報表錯報的觀念。

2003年10月國際審計和保證準則委員會（IAASB）了國際審計準則第315號（ISA315）： “了解被審計單位及其環境并評估重大錯報風險”，將傳統風險導向審計下的審計風險模型修改為：審計風險＝重大錯報風險×檢查風險，明確規定了審計工作以評估財務報表重大錯報風險作為新的起點和導向。

三、兩個模型的比較

傳統風險導向審計模式與現代風險導向審計模式的本質區別在于審計理念和審計技術方法的不同，后者是對前者的改進，其主要區別如下：

（一）審計起點不同。傳統風險導向審計方法通過綜合評估固有風險和控制風險以確定實質性測試的范圍、時間和程序，由于固有風險難以評估，審計的起點往往為企業的內部控制。

現代風險導向審計方法通過綜合評估經營控制風險以確定實質性測試的范圍、時間和程序，其審計起點為企業的戰略系統及其業務流程。假如企業的業務流程不重要或風險控制很有效，則將實質性測試集中在例外事項上。這種新模式的優點是將審計的重心前移到風險評估，這將有利于充分識別和評估會計報表重大錯報的風險，因此主要針對風險設計、實施控制測試和實質性測試程序。此外，注冊會計師輕易全面把握企業可能存在的重大風險，有利于節省審計成本，克服因缺乏全面性觀點而導致的審計風險。

（二）風險評估識別以分析性復核程序為中心。現代風險導向審計注重運用分析性復核程序，以識別可能存在的重大錯報風險；而傳統風險導向審計對于信息的再加工程度不高，分析性程序主要用在報表分析上。分析性復核程序已成為現代風險審計方法最重要的程序，為適應分析性程序功能擴大的要求，分析性程序開始走向多樣化：在數據分析上，不但對財務數據進行分析，也要對非財務數據進行分析；在分析工具上，借鑒現代治理方法，把戰略分析、績效分析、財務分析以及前景分析等分析工具運用到風險評估之中，使風險因素不再唯一，變一元風險評估為多元風險評估，使得出的風險評估結果更加可靠。

（三）風險評估方式由直接評估轉變為間接評估。傳統風險導向審計的風險評估是一種直接的方式，即直接評估重大錯報的概率。現代風險導向審計模式是從經營風險評估入手，間接地對審計風險進行評估，因為經營風險越高，審計風險也越大，也就是治理舞弊的可能性越大；并且從經營風險中能更有效地發現財務報表潛在的重大錯報，因為財務報表是經營的反映，假如經營風險未能在報表中得到體現，則財務報表很可能失真。此外，會計政策、會計估計的合理性評估也只有從經營風險入手，才能進行正確的評估。

（四）審計程序實施具有個性化。傳統風險導向審計模式的審計程序是標準化形式，對不同的被審計單位都使用標準相同的審計程序，其缺陷是沒有充分貫徹風險導向審計思想，使注冊會計師無法突破客戶預先設置或防范的措施，難以做出正確的審計結論。現代風險導向審計方法要求注冊會計師將評估及識別的審計風險與實施的審計程序相結合，針對不同客戶以及客戶不同的風險領域實施個性化的審計程序。

（五）審計證據的內涵擴大。在現代風險導向審計方式下，審計重心向風險評估轉移，審計證據也由內部向外部轉移。因此，注冊會計師必須充分了解企業整體經營環境，由此評估客戶的經營及審計風險，同時必須從外部取得大量的外部證據來證實風險評估的恰當性。風險導向審計模式下，注冊會計師形成審計結論所依據的審計證據不僅包括實施控制測試和實質性測試獲取的證據，還包括了解企業及其環境獲取的證據。

（六）擴充了內部控制要素。傳統風險導向審計方法下的內部控制是指被審計單位為了保證業務活動的有效進行，保護資產的安全和完整，發現、糾正錯誤與防止舞弊，保證會計資料的真實、合法、完整而制定和實施的政策與程序。內部控制要素包括控制環境、會計系統和控制程序。現代風險導向審計方法下的內部控制是指被審計單位為了合理保證財務報告的可靠性、經營的效率和效果以及對法律法規的遵循，由治理當局和其他人員設計和執行的政策和程序。內部控制的三要素擴充為五要素，即控制環境、被審計單位的風險評估過程、與財務報告相關的信息系統和溝通、控制活動和對控制的監督。

篇（3）

一、風險管理審計

（一）風險管理概述

風險管理是對影響組織目標實現的各種不確定性事件進行識別與評估，并采取應對措施將其影響控制在可接受范圍內的過程。風險管理的目的是為了將風險控制在可接受的范圍內（風險的可接受范圍取決于組織對風險的態度）。

風險管理分為以下幾個階段：1、風險規劃階段。項目風險管理計劃或策略確定控制目標：可以接受水平。2、風險識別階段。主要確定風險來自何方？有哪幾類風險？（我國國資委將國有企業風險分為以下幾類：戰略風險、財務風險、市場風險、運營風險以及法律風險。）3、風險估計階段。確定事件后果有多大？發生的可能性有多大？4、風險評價階段。確定風險的嚴重順序；確定項目整體風險水平。5、風險應對階段。設計控制風險的措施策略。6、風險控制階段。檢查控制措施是否充分有效？自我評估和內部審計。

（二）風險管理審計概念及目的

風險管理審計是內部審計以風險為考慮核心，采用系統

化、規范化的方法，通過對企業全面風險管理活動進行監督和評價，提出改進意見，來改善企業風險管理、增進企業價值的一種審計。

通過內部審計機構和人員對企業風險管理過程的了解，審查并評價其適當性和有效性，提出改進建議，促進企業目標的實現。

（三）內容

企業建立內部風險管理部門，內部審計人員實施必要的審計程序，對風險評估過程進行審查與評價，并重點關注風險發生的可能性和風險對組織目標的實現產生影響的嚴重程度兩個要素。同時，內部審計人員應當充分了解風險評估的方法，并對管理層所采用的風險評估方法的適當性和有效性進行審查。審計人員應當實施必要的審計程序，對風險識別過程進行審查與評價，重點關注被審計單位面臨的內、外部風險是否已得到充分、適當的確認。

最終對內部風險管理組織的健全性、風險管理程序的合理性以及風險預警系統的存在及有效性進行審查評價，最終出具風險管理審計報告。

二、風險導向審計

（一）概念及特征

風險導向審計立足于對審計風險進行系統的分析和評價，并以此作為出發點，制定審計戰略，制定與企業狀況相適應的多樣化審計計劃，以達到審計工作的效率性和效果性。審計期望差距的存在和審計目標的改變是風險基礎審計產生的社會因素。審計組織的經濟壓力是風險基礎審計產生的經濟原因。制度基礎審計的內在缺陷及解決方法是風險基礎審計產生的技術原因

（二）內容

首先，通過對被審計單位控制環境的評價，鑒別其財務報表重要組成項目的各項認定，考慮財務報表重大錯誤表述的風險。其次，建立審計目標。審計目標以風險評價為基礎，通過風險評估分析，制訂審計計劃，確定如何收集、收集多少和收集何種性質的證據的決策，為更有效地控制和提高審計效果及審計效率，提供了一個完整的結構。再次，根據審計目標確定擬實施的審計程序的性質、時間及范圍。最終將審計風險控制在可以接受的范圍內，并以此出具審計報告。

理論基礎：經營風險驅動審計風險。簡單地說，就是任

何影響客戶實現其經營目標的潛在風險，都是審計風險的來源。企業的經營風險來自兩個層面：戰略風險和運營風險。基本邏輯是：財務報表是否存在重大錯報與經營活動的順利與否相關；經營活動的順利與否與企業的經營戰略目標是否正確相關；企業經營戰略的風險會逐步轉化為財務報表的重大錯報風險；重大錯報風險是審計風險的直接來源。

三、兩者區別與內在聯系

（一）區別

產生背景及性質不同：風險導向審計是由于審計期望差距而產生的，同時也是對賬項導向審計、制度導向審計的改進，是審計模式的創新發展，同時也是一種新型的審計模式。風險管理審計是為了滿足企業加強自身內部風險管理的需要及內部審計自身發展的需要而產生的，是一種全新的審計業務類型。

審計目的不同：風險導向審計是通過評估審計風險，合理分配審計資源，并設計一系列高效率低成本的審計程序，并最終將審計風險降低至可接受水平，從而出具審計報告。風險管理審計則是為了審查和評價企業風險管理的適當性和有效性，并最終服務于內部審計，降低企業經營管理風險，提高企業內部控制水平。

“風險”含義及審計主體不同：風險導向審計中的“風險”指的是審計風險，包括重大錯報風險和檢查風險，其審計主體是審計機構和審計人員。風險管理審計中的“風險”主要指的是經營風險，主體是企業及管理人員，包括風險識別、評估及應對三個階段。

審計思路不同：風險導向審計首先評估企業經營風險，從而確定重大錯報風險，從而計算出可接受的檢查風險水平。風險管理審計主要審查評價企業風險識別是否充分，風險評估是否恰當，所采取的風險應對措施是否合理有效。

篇（4）

隨著國內外重大審計失敗事件的不斷發生，風險導向審計作為一種重要的審計理念和方法，受到審計職業界和學者的關注。中國注冊會計師協會在2004年10月了新的審計風險準則征求意見稿，要求注冊會計師在審計中使用現代風險導向審計方法，實施風險評估程序，降低審計風險，提高審計質量。如果審計風險準則一旦正式生效，將使我國的審計風險準則與國際接軌，并引導中國注冊會計師實務由傳統風險導向審計向現代風險導向審計轉變。因此，對現代風險導向審計模式的理解以及在我國的適用性分析就顯得十分重要。

一、風險導向審計概述

隨著社會經濟的發展變化，審計方法適應審計環境的變化經歷了三個發展階段：一是審計發展的早期，由于企業組織結構簡單、業務性質單一，注冊會計師的審計工作目的是為了促使受托責任人在授權經營過程中做出誠實、可靠的行為，審計方式是詳細審計。審計的重心在資產負債表，是對會計憑證和賬簿的詳細審計，旨在發現和防止錯誤與舞弊，這種審計方法就是賬項基礎審計方法（accountingnumber-basedauditapproach）。二是從1950年代起，以內部控制測試為基礎的抽樣審計在西方國家得到廣泛應用，這種審計方法重點在于注冊會計師了解、測試和評價內部控制設計的合理性和執行的有效性。對內部控制存在缺陷的環節，注冊會計師通常將其涉及交易和賬戶余額作為審計的重點，甚至進行詳細審計；對于可以信賴的內部控制環節，通常將其涉及的交易和賬戶余額進行抽樣審計，以提高審計效率和降低審計費用。從方法論的角度，這種審計方法被稱作制度基礎審計方法（system-basedauditapproach）。三是1970年代以后，由于制度基礎審計方法顯露缺陷，一種新的、以風險防范為基礎的風險導向審計模式逐漸興起，從方法論的角度，注冊會計師以審計風險模型為基礎進行的審計方法稱為風險導向審計方法（risk-orientedauditapproach）。

回顧審計方法的發展歷程，風險導向審計模式已成為審計方法發展的國際趨勢。風險導向審計模式合理地揚棄了作為制度導向審計模式基礎的“無利害關系假設”，把指導思想建立在“合理的職業懷疑假設”的基礎上，不只依賴對被審計單位管理層所設計和執行內部控制制度的檢查與評價，而且實事求是地對公司管理層是否誠信、是否有舞弊造假的驅動始終保持一種合理的職業警覺，將審計的視野擴大到被審計單位所處的經營環境（微觀、中觀乃至宏觀），將風險評估貫穿于審計工作的全過程。與傳統的制度基礎審計相比較，主要有以下區別：

（一）審計模式不同

制度基礎審計模式以內部控制為核心，對控制風險的評估僅通過確定內部控制的可依賴程度來減少實質性測試的工作量，而對固有風險的評估常流于形式；風險導向審計模式不僅通過內部控制評估控制風險，還結合其他風險因素尤其是固有風險綜合考慮，通過對企業環境、發展戰略、公司治理結構等方面的評估，發現其潛在的經營風險及財務風險，并評估財務報表發生重大錯報的風險，以便使審計風險降至可接受水平。

（二）審計基礎不同

制度基礎審計以內部控制制度為基礎，根據被審單位內部控制制度的健全性及符合性評審結果，確定實質性測試的范圍和重點；風險導向審計則以風險評估為基礎，對影響被審單位經濟活動的多種內外因素進行評估，確定審計范圍、重點和方法，其不僅重視與內部控制系統直接相關的因素，而且重視各種環境因素。

（三）審計方法不同

兩種審計模式都采用抽樣技術，但風險導向審計是通過建立審計風險模型將風險量化。因此，相對于制度基礎審計來說，風險導向審計的抽樣技術是更完全意義上的審計抽樣，更注重利用分析性測試方法，從而可以有效降低審計風險。

二、風險導向審計的兩種模式

風險導向審計自產生以來經歷了兩個階段，理論界把以傳統審計風險模型“審計風險=固有風險×控制風險×檢查風險”為基礎進行的審計稱為傳統風險導向審計模式；而將1990年代后期開始，在國際會計師事務所內部推行并逐漸被審計理論與實務界接受的，以“審計風險=重大錯報風險×檢查風險”的模型為基礎，以被審計單位的經營風險為導向的審計方法稱作現代風險導向審計模式。

傳統風險導向審計模式與現代風險導向審計模式的本質區別在于審計理念和審計技術方法的不同，后者是對前者的改進，其主要區別如下：

（一）審計起點不同

傳統風險導向審計運用的審計風險模型中，固有風險是指假定不存在相關內部控制時，某一賬戶或交易類別單獨或連同其他賬戶、交易類別產生重大錯報或漏報的可能性。控制風險是指某一賬戶或交易類別單獨或連同其他賬戶、交易類別產生錯報或漏報，而未能被內部控制防止、發現或糾正的可能性。傳統風險導向審計方法通過綜合評估固有風險和控制風險以確定實質性測試的范圍、時間和程序，由于固有風險難以評估，審計的起點往往為企業的內部控制（如果沒有必要測試內部控制，審計的起點則為會計報表項目）。

現代風險導向審計方法通過綜合評估經營控制風險以確定實質性測試的范圍、時間和程序，其審計起點為企業的戰略系統及其業務流程。如果企業的業務流程不重要或風險控制很有效，則將實質性測試集中在例外事項上。這種新模式的優點是將審計的重心前移到風險評估，這將有利于充分識別和評估會計報表重大錯報的風險，因此，主要針對風險設計、實施控制測試和實質性測試程序。此外，注冊會計師容易全面掌握企業可能存在的重大風險，有利于節省審計成本，克服因缺乏全面性觀點而導致的審計風險。

（二）風險評估識別以分析性復核程序為中心

現代風險導向審計注重運用分析性復核程序，以識別可能存在的重大錯報風險；而傳統風險導向審計對于信息的再加工程度不夠，其分析性程序主要用在報表分析上。分析性復核程序已成為現代風險審計方法最重要的程序，為了適應分析性程序功能擴大的要求，分析性程序開始走向多樣化：在數據分析上不但要對財務數據進行分析，也要對非財務數據進行分析；在分析工具上借鑒現代管理方法，把戰略分析、績效分析、財務分析及前景分析等分析工具運用到風險評估之中，使風險因素不再惟一，變一元風險評估為多元風險評估，使得出的風險評估結果更加可靠。

（三）風險評估方式由直接評估轉變為間接評估

傳統風險導向審計的風險評估是一種直接的方式，即直接評估重大錯報的概率。現代風險導向審計模式是從經營風險評估入手，間接地對審計風險進行評估，因為經營風險越高，審計風險也越大，也就是管理舞弊的可能性越大；并且從經營風險中能更有效地發現財務報表潛在的重大錯報，因為財務報表是經營的反映，如果經營風險未能在報表中得到體現，則財務報表很可能失真。此外，會計政策、會計估計的合理性評估也只有從經營風險入手，才能進行正確的評估。

（四）審計程序實施具有個性化

傳統風險導向審計模式審計程序是標準化形式，對不同的被審計單位都使用標準相同的審計程序，其缺陷是沒有足夠貫徹風險導向審計思想，使注冊會計師無法突破客戶預先設置或防范的措施，難以做出正確的審計結論。現代風險導向審計方法要求注冊會計師將評估及識別的審計風險與實施的審計程序相結合，針對不同客戶以及客戶不同的風險領域實施個性化的審計程序。

（五）審計證據的內涵擴大

在現代風險導向審計方式下，審計重心向風險評估轉移，審計證據也由內部向外部轉移。因此，注冊會計師必須充分了解企業整體經營環境，由此評估客戶的經營及審計風險，同時必須從外部取得大量的外部證據來證明風險評估的恰當性。風險導向審計模式下，注冊會計師形成審計結論所依據的審計證據不僅包括實施控制測試和實質性測試獲取的證據，還包括了解企業及其環境獲取的證據。

（六）擴充了內部控制要素

傳統風險導向審計方法下的內部控制是指被審計單位為了保證業務活動的有效進行，保護資產的安全和完整，發現、糾正錯誤與防止舞弊，保證會計資料的真實、合法、完整而制定和實施的政策與程序。內部控制要素包括控制環境、會計系統和控制程序。現代風險導向審計方法下的內部控制是指被審計單位為了合理保證財務報告的可靠性、經營的效率和效果以及對法律法規的遵循，由治理當局、管理當局和其他人員設計和執行的政策和程序。內部控制的三要素擴充為五要素，即控制環境、被審計單位的風險評估過程、與財務報告相關的信息系統和溝通、控制活動和對控制的監督。

（七）對注冊會計師的專業知識提出了更高要求

現代風險導向審計對注冊會計師的專業素質提出更高要求，其重心從會計、審計知識轉向管理和行業知識。現代風險導向審計下審計結果主要依賴風險評估，風險評估的各種分析方法要求掌握現代管理知識和行業知識（包括市場、研發、生產等方面），這對注冊會計師提出了更高的要求。注冊會計師應該是復合性人才，不但要掌握一般常用分析工具，還要接受現代管理知識和行業專業知識訓練。

三、現代風險導向審計模式在我國的適用性分析

基于上述分析，現代風險導向審計模式是審計發展的一種必然趨勢。2003年10月，國際審計與鑒證準則委員會（IAASB）通過了新的審計風險準則；中注協也在2004年10日了修訂后的審計風險準則征求意見稿，不僅將使我國的審計風險準則與國際接軌，同時也為提高審計質量、降低審計風險提供了技術支持。審計風險準則一旦正式生效，將引導中國注冊會計師實務由傳統風險導向審計向現代風險導向審計轉變，會對我國的注冊會計師審計理念、審計程序及審計責任產生非常大的影響。

然而，目前要在我國推行風險導向審計模式還存在一定的制約條件和需要解決的問題：

（一）會計師事務所審計成本與效益問題

實施風險導向審計模式的前提是成本能得到補償。現代風險導向審計模式在審計計劃階段和執行控制測試階段，注冊會計師關注的范圍擴大，程度加深，導致工作時間和審計成本的增加，在市場競爭激烈的情況下，成本的增加往往不可能過渡到收費的同步增加。此外，還需要一定的投入來培訓注冊會計師，使他們掌握業務流程和行業知識等有關方面的知識。如果這些成本得不到補償，就會使一部分中小會計師事務所在競爭中無法生存。

（二）信息系統的建設問題

現代風險導向審計的重要特征是審計重心前移，注冊會計師必須首先執行風險評估程序，充分了解客戶整體經營環境，然后針對風險不同的客戶、客戶不同的風險領域，設計個性化的審計程序。因此，會計師事務所必須建立強大的信息系統，以便注冊會計師在風險評估時了解企業的戰略、流程風險管理、業績衡量等。而目前國內很多事務所對行業風險和企業經營風險缺乏了解，客戶的相關信息不夠充分，信息系統的建設還達不到現代風險導向審計的要求，導致風險評估不準確。因此，風險導向審計的運用僅限于老客戶，對新客戶還是將大量時間用于實質性測試。

（三）審計從業人員素質問題

現代風險導向審計對審計從業人員的業務素質提出了新要求，不僅要具備豐富的審計理論和實踐經驗，還要具備必需的管理學知識和經濟學知識，能夠運用系統的、戰略的觀點充分了解、分析企業所處的宏觀經濟環境和行業發展狀況，對有可能導致企業會計報表錯報風險的內外部因素進行客觀、系統的分析與評價，將審計視角擴展到內部控制以外，從較高層面上評估風險，而不是僅僅注重企業會計處理的細節。

（四）輔助審計軟件的使用與完善問題

現代風險導向審計方法中分析性程序占據非常重要的地位，輔助審計軟件的使用在其中發揮著重要的作用。西方發達國家大量運用分析性程序的條件是輔助審計程序的開發和運用，它可以直接對數據庫進行加工分析，依據軟件模型自行處理數據，使運用分析性測試程序成為節約成本的重要手段。另外，采用審計軟件使統計抽樣的樣本更具代表性，審計抽樣風險可控，為風險導向審計提供了技術支持。目前，我國在審計軟件的開發和使用上不夠理想，還有待提高，而且大部分注冊會計師缺少相應的技術準備，在現階段推行現代風險導向審計方法只能是一種愿望。

如上所述，目前在我國全面推行現代風險導向審計模式還受到許多制約，盡管它有很多優越之處，但在我國還不能夠普遍推行。當前我國獨立審計準則主要是以制度基礎審計模式為基礎的，而且相當一部分從事小規模企業審計工作的會計師事務所和注冊會計師，基本上仍然在運用賬項基礎審計模式。但是，現代風險導向審計的實行是一種理念的改變，我們可將制度基礎審計與風險導向審計有機結合。即使在現行審計準則仍然主要以制度基礎審計模式為基礎的情況下，吸取風險導向審計模式的基本觀點和做法，則是完全可行的。通過把風險導向審計中控制風險的理念和方法融合到制度基礎審計中，使其他審計模式忽略審計風險的缺陷得到彌補，將會為探索適合我國的現代風險導向審計模式積累有益的實踐經驗。

參考文獻：

〔1〕陳毓圭。對風險導向審計方法的由來及其發展的認識〔J〕。會計研究，2004，（2）。

篇（5）

一、風險導向審計概述

（一）審計模式不同

（二）審計基礎不同

（三）審計方法不同

二、風險導向審計的兩種模式

傳統風險導向審計模式與現代風險導向審計模式的本質區別在于審計理念和審計技術方法的不同，后者是對前者的改進，其主要區別如下：

（一）審計起點不同

（二）風險評估識別以分析性復核程序為中心

（三）風險評估方式由直接評估轉變為間接評估

評估也只有從經營風險入手，才能進行正確的評估。

（四）審計程序實施具有個性化

（五）審計證據的內涵擴大

（六）擴充了內部控制要素

（七）對注冊會計師的專業知識提出了更高要求

三、現代風險導向審計模式在我國的適用性分析

然而，目前要在我國推行風險導向審計模式還存在一定的制約條件和需要解決的問題：

（一）會計師事務所審計成本與效益問題

（二）信息系統的建設問題

（三）審計從業人員素質問題

（四）輔助審計軟件的使用與完善問題

參考文獻：

〔1〕陳毓圭。對風險導向審計方法的由來及其發展的認識〔J〕。會計研究，2004，（2）。

篇（6）

風險評估是從風險管理的角度，分析被評估對象所面臨的威脅、存在的弱點，評估安全事件一旦發生可能造成的危害程度和影響。風險管理者可以在風險評估的基礎上合理地制定、恰當地選擇風險管理手段和風險管理方案。

風險評估的主要內容有：識別組織面臨的各種風險；評估風險概率和可能帶來的負面影響；設置風險等級與確定風險等級評判標準；控制與管理風險。具體到國庫會計風險評估，就是對國庫會計風險進行識別、分析和處置。主要包括以下三個方面：

（一）風險識別。指結合國庫會計工作的實際情況和特點，充分考慮內部和外部因素，依據國庫會計業務流程，正確識別并界定風險點。

（二）風險估定。指針對國庫會計風險點，通過日常管理和現場檢查等方式整理評估資料，進行分析、甄別，判定風險的嚴重程度。

（三）風險管理。根據風險分析情況，針對風險點研究解決方案、控制方式以及防范化解措施，最后形成風險評估報告。

二、國庫會計風險評估指標的設置

（一）國庫會計風險評估指標的設置原則

1、客觀性原則。構建國庫會計風險評估體系，應當以真實、完整的評估資料為依據，從實際出發，實事求是、客觀公正，如實反映評估對象的風險管理和控制情況，盡可能減少或避免主觀判斷。

2、全面性原則。評估范圍應覆蓋國庫會計業務處理的全過程，反映國庫會計風險的方方面面，包括國庫會計處理涉及的所有系統、部門、崗位與操作環節。在此基礎上，綜合有關信息對國庫會計當前的風險狀況或潛在的風險隱患進行較為全面的分析評價。

3、科學性原則。風險評估體系的設計應充分考慮國庫業務的現實狀況，遵照定性分析與定量分析相結合的原則，既要全面又要突出重點，使國庫資金風險評估體系的資料收集、篩選、分析具有針對性，工作高效快捷，評價結論準確。

4、可操作性原則。風險評估指標的設計應簡單可行，指標數目適中，易于獲取，既真實、全面反映國庫會計面臨的資金風險，又能抓住國庫會計風險的關鍵環節。

（二）國庫會計風險評估指標

根據國庫會計風險表現形態，建立國庫會計風險評價指標體系結構如下圖：

三、國庫會計風險評估過程

風險評估的基本思路：以現場檢查和日常管理活動收集、整理的評估資料為基礎，對國庫會計工作中存在的風險進行識別，根據風險揭示因素的數量、性質及其危害，對各類問題進行逐一分析、甄別后“嵌入”上述風險評估指標框架，評估確定每家國庫的風險類別和風險等級。根據評估結果提出風險管理對策，形成風險評估報告供領導決策參考，有針對性地加強國庫管理。

（一）國庫會計風險識別

國庫會計風險評估的首要階段，是對各類國庫會計風險進行識別。本文把國庫會計處理過程中可能存在的風險按其表現形式分為以下幾種類型：

1、道德風險。道德風險是指由于國庫會計人員違背會計職業道德規范或未能達到應有的職業素養，引發業務運轉失常或管理行為紊亂，導致會計工作責任事故或資金損失的可能性。例如，國庫工作人員的人生觀、價值觀、道德觀發生偏差，在國庫業務處理中人為導致國庫資金遭受損失。

2、制度風險。制度風險是指國庫制度存有缺陷導致國庫資金損失的可能性。這種缺陷表現為：現有制度及規定不能涵蓋國庫各類業務，制度規定滯后于業務發展、時效性不夠，或者不同時間、不同部門頒布的制度規定之間存有矛盾。例如，《商業銀行、信用社國庫業務管理辦法》為2001年頒布實施，對國庫集中支付、橫向聯網等國庫創新業務沒有進行有效規范。

3、管理風險。管理風險是指由于管理不到位、管理失當，導致國庫會計處理違規或資金損失的可能性。主要表現在管理人員對業務不熟悉而難于管理，因風險意識不強而疏于管理，或者管理手段不到位、監督力度不夠等。

4、操作風險。操作風險是指因會計業務操作人員的業務素質差異、過失等原因，導致會計業務操作不合規、發生資金損失的可能性。例如，個別人員缺乏風險防范意識，未執行或未嚴格執行制度規定，或者缺乏會計、財稅知識，對基本的國庫會計操作原則掌握不夠，對新業務的了解不透徹、操作不熟練，引發資金風險。

5、信息系統風險。信息系統風險是指因網絡和信息系統技術運用不合理、運行與維護不到位、失效等原因，導致業務運行受到不利影響的可能性。近年來，為適應國庫服務范圍逐漸拓寬、國庫業務量快速增長的需要，各地結合當地實際，相繼開發推廣了稅庫銀橫向聯網系統、財政集中支付系統等，由于對系統安全性認識不足，普遍存在“重使用，輕管理”的問題，如系統功能拓展不夠、安全運營維護不到位，影響國庫資金安全。

6、其他風險。如自然災害等不可抗力造成國庫資金損失的可能性。

（二）國庫會計風險分析與評價

在進行風險識別后，應進行風險分析與評價。首先賦予道德風險等六類風險基礎分值，對風險形成的各項因素逐項打分，然后根據風險發生可能性、頻率及造成的后果賦予每類風險合理的權重，采用加權平均法計算評估對象的最終得分。以管理風險為例，假設賦予管理風險100分，每個風險點的扣分標準見表1。

篇（7）

計算機技術的高速發展，隨之而來的是各種軟件的爆發式增長，軟件已經成為了我們生活中不可或缺的一部分，在這種情況下軟件開發工作就顯得尤為重要。但是，軟件在開發以及最后使用過程中存在著一定的風險，這些風險的存在造成了使用者的不便，也產生了很多的額外成本，這與當今人們對軟件質量日益提高的需求極為不符。傳統的軟件風險評估多是借助于計量模型，利用一定的數據來進行定量的計算，但是軟件使用中的風險存在著很多的額不確定性，各種各樣的因素都會影響到軟件效用的發揮，一些因素也不能轉化成數據而直接進行計算，這些缺點導致傳統的軟件開發的風險評估方式已經不能滿足人們希望更精確地評估風險的要求了。證據理論是一種新興起的分析方法，它是一種基于不確定因素的定性的分析方法，這幾年在軟件風險評估方面得到了很大的應用，它雖然不能給出精確的風險值，但是可以給出具體方案的一個可行的實施范圍，這對現代軟件開發風險評估方式來說是一大進步，它取代了傳統軟件風險評估要求在不確定因素中選擇確定性數據定量計量的不足。

一、傳統軟件開發風險評估的方式

軟件開發工作自身是一項智力投入高，具有創新性的研究性活動，而且其研究的也不是具有實物形態的產品，而是各種各樣的代碼與數據庫。軟件開發過程中存在著很多的風險，這與軟件開發自身所具有的特殊性質有著密切的關系，軟件開發的客觀性和普通性、不確定性、行為的相關性、多樣性以及對稱性決定了軟件開發過程中風險的不確定性與來源廣泛性，如果根據風險的本質來進行分類的話，大概分成三個種類：產品自身風險、項目特殊化風險以及開發環境的風險，對這各種各樣的風險有著很多的評估方式。中國對于軟件開發過程中的風險評估方式主要是源于西方的研究內容。最早的軟件風險評估方法衍生于SEI對軟件風險管理的研究中，SEI運用分類法來對軟件開發過程的風險進行評估，分類法是一種簡單而且實踐性很強的風險識別方法。后來SEI又根據分類法設計了調查問卷進一步完善了分類法，而這種問卷的核心是根據分類法設置的屬性根。風險評估一般含有評估者的主觀性比較大，而且各個項目的特點不同，某些項目上經驗豐富的專家很難找到，這就使得項目成本大大提升，因此，有人就將風險評估與成本分析一起作為研究對象，RayMadachy和KariKansala在這方面做出了很大的貢獻。Chittister則從功能性角度、時態角度、失效來源角度價格風險評估視為一個“整體”。

二、什么是證據理論

證據理論又稱D-S證據理論，是由Dempster和Shafer提出來的，它屬于人工智能系統，是一種不精確的推理方法，可以用在處理不明確，模糊的信息上，最早是應用在專家系統之中，因為它能分析不確定因素的特點，現在被廣泛地應用在軟件開發的風險評估、模式識別、信息融合中。證據理論雖然不需要定性的測量，但是也需要建立一定的理論框架，進而確定在一定風險區間內的決策選擇情況。證據理論的框架以人們知道的信息和想要知道的信息為出發點，他們一起被稱為證據理論的辨識框架，證據理論通過辨識框架來區別“確定性”和“不確定性”進而得到人們想要的結果。在進行證據理論建模的時候首先要確定BBA（mass）生成問題，來將不確定的信息進行具體的表述，以便應用到模型中去。而BBA生成問題的關鍵是關于隨機變量的分布與建模的難題，這恰恰與具體研究的問題有關，需要根據問題的不同而得到不同的BBA生成。

三、從證據理論的風險評估方式

風險是人人都不想看到的，所以對風險的評估以及管理就顯得極為需要。證據理論因為可以將影響風險發生的各種不確定因素作為模型變量而考慮到模型中，所以適用于對于不確定性風險的分析。實際上，現在的很多風險管理都是根據三個部分建立的：風險識別、風險決策、風險反饋，然后再用統計計量的相關方法進行分析，這與其他的風險管理沒有什么實質的區分。本文運用證據理論的分析方法來將以前不能考慮到沒模型中的因素考慮進去，使得軟件開發的風險評估更為可行，更加具有應用性。證據理論在使用中首先要進行賦值，即將不可測量的不完備、不精確或不易獲得的數據轉化成易衡量易獲得的指數而納入模型中，我們在分析的過程中涵蓋了系統分析、設計、實施等不同的階段以及進度、技術、費用的風險等具體的參數，具體如下圖基于分層然后無確定了各個指標的具體賦值的概率情況，我們認為概率賦值較高的指標為關鍵指標，而概率賦值教的指標則成為非關鍵指標。在進行具體的賦值與分類之前，我們需要將各項指標進行證據融合，以期望得到信任函數，在這個步驟中可以采用交叉列表法來進行具體的證據融合，之后我們就可以得到具體的指標賦值概率，然后利用信任函數經過具體的計算就可以得到各個指標的風險值情況，然后將各個指標分配一定的權重就可以得到軟件開發過程中受各種不確定因素影響的風險范圍。

作者:于婕單位:天津卓朗科技發展有限公司

參考文獻：

[1]韓德強,楊藝,韓崇昭.DS證據理論研究進展及相關問題探討[J].控制與決策,2014,29(1):1-11.

篇（8）

1.1基礎設施的可用性：運行于內部專網的各主機、數據庫、應用服務器系統的安全運行十分關鍵，網絡安全體系必須保證這些系統不會遭受來自網絡的非法訪問、惡意入侵和破壞。

1.2數據機密性：對于內部網絡，保密數據的泄密將直接帶來政府機構以及國家利益的損失。網絡安全系統應保證內網機密信息在存儲與傳輸時的保密性。

1.3網絡域的可控性:電子政務的網絡應該處于嚴格的控制之下，只有經過認證的設備可以訪問網絡，并且能明確地限定其訪問范圍，這對于電子政務的網絡安全十分重要。

1.4數據備份與容災:任何的安全措施都無法保證數據萬無一失，硬件故障、自然災害以及未知病毒的感染都有可能導致政府重要數據的丟失。因此，在電子政務安全體系中必須包括數據的容災與備份，并且最好是異地備份。

2電子政務信息安全體系模型設計

完整的電子政務安全保障體系從技術層面上來講，必須建立在一個強大的技術支撐平臺之上，同時具有完備的安全管理機制，并針對物理安全，數據存儲安全，數據傳輸安全和應用安全制定完善的安全策略

在技術支撐平臺方面，核心是要解決好權限控制問題。為了解決授權訪問的問題，通常是將基于公鑰證書（PKC）的PKI（PublicKeyInfrastructure）與基于屬性證書（AC）的PMI（PrivilegeManagementInfrastructure)結合起來進行安全性設計，然而由于一個終端用戶可以有許多權限，許多用戶也可能有相同的權限集，這些權限都必須寫入屬性證書的屬性中，這樣就增加了屬性證書的復雜性和存儲空間，從而也增加了屬性證書的頒發和驗證的復雜度。為了解決這個問題，作者建議根據X.509標準建立基于角色PMI的電子政務安全模型。該模型由客戶端、驗證服務器、應用服務器、資源數據庫和LDAP目錄服務器等實體組成，在該模型中：

2.1終端用戶：向驗證服務器發送請求和證書，并與服務器雙向驗證。

2.2驗證服務器：由身份認證模塊和授權驗證模塊組成提供身份認證和訪問控制，是安全模型的關鍵部分。

2.3應用服務器：與資源數據庫連接，根據驗證通過的用戶請求，對資源數據庫的數據進行處理，并把處理結果通過驗證服務器返回給用戶以響應用戶請求。

2.4LDAP目錄服務器：該模型中采用兩個LDAP目錄服務器，一個存放公鑰證書（PKC）和公鑰證書吊銷列表（CRL），另一個LDAP目錄服務器存放角色指派和角色規范屬性證書以及屬性吊銷列表ACRL。

安全管理策略也是電子政務安全體系的重要組成部分。安全的核心實際上是管理，安全技術實際上只是實現管理的一種手段，再好的技術手段都必須配合合理的制度才能發揮作用。需要制訂的制度包括安全行政管理和安全技術管理。安全行政管理應包括組織機構和責任制度等的制定和落實；安全技術管理的內容包括對硬件實體和軟件系統、密鑰的管理。

轉貼于中國論文下載中心www

3電子政務信息安全管理體系中的風險評估

電子政務信息安全等級保護是根據電子政務系統在國家安全、經濟安全、社會穩定和保護公共利益等方面的重要程度。等級保護工作的要點是對電子政務系統進行風險分析，構建電子政務系統的風險因素集。

3.1信息系統的安全定級信息系統的安全等級從低到高依次包括自主保護級、指導保護級、監督保護級、強制保護級、專控保護級五個安全等級。對電子政務的五個安全等級定義，結合系統面臨的風險、系統特定安全保護要求和成本開銷等因素，采取相應的安全保護措施以保障信息和信息系統的安全。

3.2采用全面的風險評估辦法風險評估具有不同的方法。在ISO/IECTR13335-3《信息技術IT安全管理指南:IT安全管理技術》中描述了風險評估方法的例子，其他文獻，例如NISTSP800-30、AS/NZS4360等也介紹了風險評估的步驟及方法，另外，一些組織還提出了自己的風險評估工具，例如OCTAVE、CRAMM等。

電子政務信息安全建設中采用的風險評估方法可以參考ISO17799、OCTAVE、CSE、《信息安全風險評估指南》等標準和指南，從資產評估、威脅評估、脆弱性評估、安全措施有效性評估四個方面建立風險評估模型。其中，資產的評估主要是對資產進行相對估價，其估價準則依賴于對其影響的分析，主要從保密性、完整性、可用性三方面進行影響分析;威脅評估是對資產所受威脅發生可能性的評估，主要從威脅的能力和動機兩個方面進行分析;脆弱性評估是對資產脆弱程度的評估，主要從脆弱性被利用的難易程度、被成功利用后的嚴重性兩方面進行分析;安全措施有效性評估是對保障措施的有效性進行的評估活動，主要對安全措施防范威脅、減少脆弱性的有效狀況進行分析;安全風險評估就是通過綜合分析評估后的資產信息、威脅信息、脆弱性信息、安全措施信息，最終生成風險信息。

在確定風險評估方法后，還應確定接受風險的準則，識別可接受的風險級別。

4結語

電子政務與傳統政務相比有顯著區別，包括:辦公手段不同，信息資源的數字化和信息交換的網絡化是電子政務與傳統政務的最顯著區別;行政業務流程不同，實現行政業務流程的集約化、標準化和高效化是電子政務的核心;與公眾溝通方式不同，直接與公眾溝通是實施電子政務的目的之一，也是與傳統政務的重要區別。在電子政務的信息安全管理中，要抓住其特點，從技術、管理、策略角度設計完整的信息安全模型并通過科學量化的風險評估方法識別風險和制定風險應急預案，這樣才能達到全方位實施信息安全管理的目的。

參考文獻：

[1]范紅，馮國登，吳亞非.信息安全風險評估方法與應用.清華大學出版社.2006.

篇（9）

一、風險

風險是指在一定的客觀情形下，在某一特定期間內，那些可能發生的結果之間的差異。顯然，這種差異是實際結果與預期結果的變動程度。所謂風險大，就是指這種變動程度大；風險小，就是指這種變動程度小。基本規范涉及的風險是指對實現內部控制目標可能產生負面影響的不確定因素。因此，在這個概念的界定上，需要明確內部控制目標和不確定因素兩個關鍵詞。

1.內部控制的目標

內部控制有五大主要目標，即運營的效率和效果、財務報告的可靠性、資產的安全完整、法律法規的遵循性以及實現企業的戰略目標。內部環境、風險評估、控制措施、信息與溝通以及監督檢查均服務于五大目標。

對于經營的效率和效果而言，這是一個公司基本的業務目標，包括業績和盈利目標以及資產的保護，它們因管理者對結構和業績的選擇而異；可靠的財務報告與公認會計準則編制的財務報表以及相關陳述有關，所以會涉及賬務和非賬務信息；同時，遵循相關的法律法規，公司可以避免對其名譽造成損害或者遭受其他不利后果。

經營的效率和效果及報告的目標更多地建立在偏好、判斷和管理風格的基礎上。它們在不同的主體之間存在著很大的區別，因為不同的主體可能會選擇不同的目標。所以對所有主體而言，都是最優的目標模式是不存在的。

2.不確定性

風險是不確定的，否則，就不能稱之為風險。所謂不確定性，即當風險存在時，至少存在兩種可能的結果，只是我們面對風險時無法知道哪種結果將出現。不確定性分為主觀上的不確定和客觀上的不確定。

（1）主觀上的不確定

不確定性大多定義為基于對未來發生或不會發生什么事情的情況缺乏認識、產生懷疑的思維狀態。不確定性是一種對于未來將發生的事情的簡單心理反應。當風險存在時，就產生了不確定性。而這種不確定性往往是主觀的，與實際情形不相符合。

（2）客觀上的不確定

客觀上的不確定的兩個層次的含義：

第一，不確定的客觀存在性。如果不確定性是由一些偶然因素導致的結果，那么其存在就具有了客觀性。第二，有些情況在客觀上是確定的，但是人們總體上認知能力不足，無法得到確定狀態所必要的信息。因此也可以認為由此導致的對未來的無法判斷是客觀的。

（3）風險的特征

風險具有三個明顯的特征：偶然性、可變性和客觀性。

風險具有偶然性。從全社會看，風險是具有必然性的。但是，對特定的個體而言，風險事故的發生是偶然的。這種偶然性其實是由事件的隨機性決定的。因為風險事故的發生與否不確定，風險事故何時發生也不能確定，風險事故將會怎樣發生，其損失有多大，也不能確定。

風險具有可變性。風險的可變性是指在一定條件下風險具有可轉化的特性。而世界上任何事物都是互相聯系、互相依存、互相制約的，世界萬物都處在運動變化的狀態之中，這些變化必然會引起風險的變化。新風險產生和舊風險的消亡，也有量的增減和質的改變。風險的變化是由某些因素引起的，這些因素可以歸結為科技的進步、政治和社會結構的改變、經濟體制與結構的轉變。

風險具有客觀性。風險是由客觀存在的自然現象和社會現象引起的。自然界的運動如洪水、泥石流、雷電、暴雨等形成自然災害，對人類的生命和財產構成威脅。戰爭、沖突等是受社會發展規律支配的，人們認識和掌握規律可以預防意外事故，但是不能完全消除風險的存在。因此，風險是客觀存在的，人們只能在一定的范圍內改變風險發生和發展的條件，采取辦法降低其發生的概率，減少風險帶來的損失程度，但是卻不能徹底消除風險。

二、風險評估

不同的企業、同一企業的不同時期以及同一企業內部不同的內部環境、外部環境、業務層面和工作環節，都可能面臨不同的風險，企業應當有針對性地開展風險評估。

風險評估，是指及時識別、科學分析影響企業內部控制目標實現的各種不確定因素，同時采取應對策略的過程。要對識別的風險進行分析，形成風險管理的依據。風險與可能被影響的目標相關聯。既要對固有風險進行評估，也要對剩余風險進行評估，評估要考慮到風險的可能性和影響。

通常來講，企業進行風險評估的目的主要有：了解和評價企業的經營環境和經營現狀；提出組織發展的安全需求；擇取最優的風險控制措施；建立安全管理體系；制定有效的安全策略。

風險評估的主要任務有以下幾點：識別企業面臨的各種風險；評估風險概率和可能帶來的負面影響；確定組織承受風險的能力；確定風險消減和控制的優先等級；推薦風險消減對策，適時調整應對策略。

在風險評估過程中，有幾個關鍵的問題需要考慮：第一，確定評估對象或者資產，明確它的直接和間接價值；第二，分析資產面臨的潛在威脅和導致威脅的問題所在以及威脅發生的可能性；第三，資產中存在哪些弱點可能會被威脅所利用，利用的難易程度如何；第四，一旦威脅事件發生，企業會遭受怎樣的損失或者面臨怎樣的負面影響；第五，組織應該采取怎樣的安全措施以便將風險帶來的損失降低到最低程度。解決以上問題的過程，就是風險評估的過程。另外，在進行風險評估時，有幾個對應關系必須考慮：（1）每項資產可能面臨多種威脅，（2）威脅源（威脅）可能不止一個，（3）每種威脅可能利用一個或多個弱點。

風險評估要按照一定的程序來進行，有目標設定、風險識別、風險分析、風險應對四個步驟。

篇（10）

(一)風險管理理論

風險管理理論始于20世紀30年代，至20世紀60年代中期逐步發展成為一門學科。“1963年梅爾和赫奇斯的《企業的風險管理》、1964年威廉姆斯和漢斯的《風險管理與保險》出版，標志著風險管理理論正式登上了歷史的舞臺。”［1］風險管理理論經歷了從傳統風險管理理論到金融風險管理理論再到全面風險管理理論的不同時期。傳統風險管理理論主要對風險管理的對象進行界定和區分，將純粹意義上的風險作為研究對象，也就是將不利風險納入企業風險管理的重要范疇。企業風險管理的主要任務是減少不利風險的發生，降低不利風險對企業的可能損害。管理的基本手段是采用保險的方式轉移和減少風險所帶來的損失。20世紀60年代末至70年代初，一些學者對市政管理中的風險問題進行研究。托德(Todd，1969)和沃恩(Vaughan，1971)通過對美國九個州市政管理現狀的調查研究，提出市政官員應加強市政風險管理的主張。風險管理理論逐步與管理學、經濟學等學科融合與發展，風險管理研究對象逐步拓展，不再局限于傳統風險管理理論對純粹風險的管控，金融風險管理興起。金融風險管理不僅是為了克服純粹風險，更不是僅僅利用保險的方式轉移風險，而是注重保險的收益功能。金融風險管理標志著風險管理理論向縱深度發展。20世紀80年代，接踵而至的金融危機推動了風險管理理論的蓬勃發展，迫使金融界進一步思考風險管理問題，全面風險管理時代來臨。全面風險管理主張從系統的角度對所有風險集合整體上加以管理和控制。全面風險管理理論已經成為企業決策和金融業決策的重要指導，作為一種系統和科學的管理模式被廣泛應用。

(二)風險社會研究的興起與發展

20世紀以來，特別是20世紀后半期，人類社會在經濟領域、社會領域取得非凡成就，但也潛藏著各種危機，生態環境急劇惡化，經濟危機和金融風險頻繁發生，社會貧富分化現象日趨嚴峻;與此同時，化學污染、核威脅、各種電磁輻射、轉基因產品危害等現代性的負效應正威脅人類，使社會面臨嚴重風險。出于對工業社會和現代性的反思，1986年德國學者烏爾里希•貝克(UlrichBeck)在其德文版著作《風險社會》中，首次提出“風險社會”的概念。但是在當時風險社會理論并未引起過多關注，直至1992年其英文版著作《風險社會》出版，風險社會理念才備受矚目。伴隨著對風險社會形成原因的不斷追問，貝克進一步指出工業社會所面臨的風險與以往社會所面臨的風險存在區別，如果將人類社會早期所發生的自然災害、社會危機歸結為自然規律所導致的，那么工業社會發生的危機則與人類社會的重大決策緊密相關。貝克認為:“工業化以前人類社會所遭遇的各種自然災害與工業化以后人類社會所面臨的各種風險大不一樣。”［2］安東尼•吉登斯則從人類社會歷史發展的角度，對社會發展的現代性、社會發展的全球化趨勢與社會風險關系進行探討，提出全球風險社會理論。吉登斯認為，人類社會面臨的風險，如果是來自自然界的外在風險，那么是自然風險;如果是由人類社會內部對自然的改造和控制等“人力制造出來的風險”，那么是“人造風險”。人造風險與人類工業化發展、對社會現代性的追求相伴生。吉登斯對風險社會的研究系統而深入，對由現代性引發的社會風險類型進行了闡釋，認為現代性蘊含著經濟增長、生態環境破壞、極權主義、軍事沖突、核危機等社會風險。從風險管理理論和風險社會研究可以看出，風險并不必然伴隨科技發展和社會進步而消失或減少;相反，可能由于人類的某種選擇和決策的失誤而被強化。因此，從全球的視野來分析社會風險，反思人類社會的管理與決策，加強決策與管理的科學性，有助于探尋社會風險的化解方法。

二、歐美重大事件風險管理的實踐經驗

近年來，歐美發達國家的社會發展水平逐步提高，社會發展能力被彰顯出來。與此同時，社會面臨的風險與不確定因素也越來越多，風險轉化成危害，嚴重威脅著社會穩定與持續發展。為此，歐美等發達國家和地區積極強化風險社會管理手段與方法。其依靠重大事件的科學決策有效化解風險、促進社會穩定的經驗，值得中國借鑒。

(一)美國環境風險管理制度

美國一直以來重視環境保護，20世紀80年代以來，更是將環境管理問題上升到與國家安全、國家利益、社會穩定同等重要的高度。美國政府十分重視環境管理，對于環境管理中存在的風險進行有效控制。美國對于環境管理及風險防控的基本做法主要體現在:一是高度重視環境保護問題，將其確定為與國家安全、國家利益緊密相關的重大事件。1977年，美國學者萊斯特•布朗(LesterBrown)在其研究報告《重新定義國家的安全》中，首次提出將環境問題與國家安全問題緊密相連。布朗的觀點引起廣泛關注，關于環境安全的研究逐步增多。1987年里根政府的《國家安全報告》明確指出，自然資源的損耗與污染成為國家繁榮和國家安全的潛在威脅與風險，環境安全、環境管理被列入涉及國家安全、國家利益的重要領域，成為政府決策管理的重要范疇。二是進行深入系統的環境風險評價科學研究，為環境決策提供理論基礎和技術路線。美國是較早開展環境風險評價研究的國家，20世紀70年代至80年代初，環境風險評價開始萌芽，但關于風險評價的內涵尚不清晰。20世紀80年代以來，風險評價的框架基本形成。美國國家科學院提出環境風險評價包含危害鑒別、劑量—效應關系評價、暴露評價和風險表征四個階段［3］。20世紀80年代后期，環境風險評價運用于決策的相關研究逐步增加，特別是比較風險評價理論的提出與發展，大大推動了美國環境決策發展。艾扎斯(Ijjasz)和特雷耶(Tlayie)認為，“在宏觀上，比較風險評價是在掌握大量正確數據的基礎上對決策中的風險進行排序比較，并以風險的大小作為決策方案的選擇依據，從而形成一個包含有科學家、決策者與利益相關者的開放、公平的相互交流的環境。”［4］三是建立生態風險評價的政策依據，為風險評價提供行動指南。“1998年美國國家環保局正式頒布了《生態風險評價指南》，提出生態評價三步法:問題形成、分析和風險表征，同時要求在正式的科學評價之前，首先制定一個總體規劃，以明確評價目的。”［5］這也是世界上最早的生態風險評價方面的指導文件。美國國家環境保護局將比較風險評價應用于環境決策，確定了將當前環境決策未解決的問題具體化、在對數據分析的基礎上提出新的決策方案、決策者依據環境因素與潛在風險等因素對方案進行評估、方案選擇決策確定、校驗決策等基本環節。四是建立完備的風險管理與環境應急機制。對于環境存在的風險及可能發生的突發事件，美國建立比較完善的環境風險管理與應急機制。環境風險管理與應急機制主要包括環境風險的宣傳與教育機制、風險預測預警機制、風險管理機制，針對潛在的環境風險進行識別、宣傳與防范，為降低風險和科學決策提供保障。

(二)歐盟食品風險評估制度

自20世紀60年代開始，為確保食品安全，促進食品在成員國自由流通，歐盟就制定了食品安全政策。目前歐盟已建立相對完備的食品安全風險評估制度體系，能夠有效防控食品安全危機。一是構建食品安全風險評估的法律框架，為風險評估工作提供法律依據。歐盟委員會分別于1997年和2000年《食品安全綠皮書》、《食品安全白皮書》，明確了食品安全管理的總體思路，特別是提出了食品安全風險評估的重要性，提出成立歐盟食品安監局作為食品安全風險評估的實施機構，初步奠定了開展食品安全風險評估的制度基礎。2002年頒布了EC178/2002條例，明確提出食品安全法應建立在風險評估的基礎上，明確提出成立食品安全局(EFSA)進行食品安全風險評估的相關工作。二是建立食品安全的快速預警系統。歐盟在食品安全法的框架下，建立了食品與飲料快速預警系統(RASFF)［6］。根據危急程度不同，預警系統分為預警通報和信息通報兩大類。當食品安全出現問題，可能危及人類健康時，成員國可以借助預警系統互通消息，從而減少風險。三是成立專門的食品安全風險評估組織機構，以保證評估工作的科學性與獨立性。歐盟食品安全局作為食品安全風險評估和風險交流的專門機構，開展相對獨立、科學、公開、透明的風險評估工作。食品安全局組織機構完備，下設管理委員會、執行主任和成員、咨詢論壇、科學委員會和科學小組［7］。管理委員會主要負責下年度工作計劃和上年度工作總結報告等職責。執行主任公開招聘產生，主要負責日常管理工作。咨詢論壇協助執行主任開展工作，負責與各成員國主管機構合作，加強信息交流，充分了解和把握潛在的風險。科學委員會和科學小組負責為決策提供科學建議。科學小組由食品安全領域專家組成，可以組織聽證會，加強與公眾交流，搜集公眾意見。科學委員會則由各小組的主席以及來自科學小組以外的六名專家組成，開展全面協調工作，確保科學建議的準確性與一致性。歐盟食品安全局自動發起或者是應歐盟委員會或其成員國的科學建議請求，必須在規定期限內為歐盟成員國和歐盟委員會提供科學技術支持，盡可能地搜集決策相關信息，在對其進行風險評估的基礎上，將評估結果、風險信息等因素一并提供給歐盟委員會及其成員國。

(三)英國國家安全風險評估與城市風險評估體系

英國建立了相對完善的國家安全風險評估和城市安全風險評估機制，能夠對國家層面和城市中可能發生的危害國家和社會安全的風險進行有效的防范與控制。英國建立了完備的國家安全風險評估與預測機制，建構了《國家安全風險評估》、《國家安全任務與指導方針》等風險評估與風險應對的防范政策體系。國家安全委員會在廣泛了解和分析潛在的國家安全風險的基礎上，根據相關的可能性及其影響，促進和協助政府聯合其他部門共同面對和化解風險。以英國倫敦為例，其“一案三制”意義上的城市風險管理機制十分完備，堪稱城市風險管理的典范，可以為區域內重大事件決策的風險防范提供參考。通常情況下，風險管理分為風險評估與防范、風險控制、風險處置與恢復等環節。在倫敦的城市風險管理中，風險評估程序非常完善。倫敦城市風險評估的基本經驗主要體現在以下三個方面:一是依法確立風險評估主體。英國2005年4月正式實施的《國內應急法》明確規定各級政府是風險評估的責任主體，在風險評估與應急規劃中擔負重要責任。二是建立風險評估的協調機構。美國“9•11”恐怖襲擊事件發生以后，倫敦出于對危機事件有效防范的考量，著手建立跨區域、跨部門的風險評估協調機構。倫敦區域應急論壇下設倫敦應急團隊，每個論壇的主要職責是對區域內的風險進行識別與評估，使倫敦能有效應對危機事件。三是完善風險評估的基本流程系統。倫敦的城市風險評估工作流程主要分為“選擇風險事項、挑選評估者、風險分析、風險評價、風險應對、監控與審查等六大步驟”［8］。選擇風險事項階段，主要由風險評估工作組和各應急論壇的組成部門協同合作，確定風險事項，識別重要的利益相關者，結合區域環境因素確定風險評估的原則與標準。挑選評估者階段，主要是確定風險評估者及地方應急論壇相關人員在工作中的分工與職責，確定主任評審員的人選，為后續工作奠定組織基礎。風險評價階段，主要由主任評審員負責，對未來五年內可能發生的風險進行分析與建議。風險分析階段，主要是由主任評審員對風險進行預測、分析，并提出相對詳盡的風險分析報告。風險應對、監督與評審已經成為制度化、穩定化的工作，地方應急論壇每四年就要對所有風險提出正式的評審報告。

三、國外經驗對我國重大決策社會穩定風險評估的啟示

國外關于風險研究的理論與重大事件風險管理的實踐都取得了長足進展，而我國重大事件社會穩定風險評估工作尚處于起步階段，還存在諸多需要完善之處。汲取歐美發達國家重大事件風險管理的有益經驗，建立健全我國重大決策社會穩定風險評估機制。

(一)加強重大決策社會穩定風險評估的理論研究

中國重大決策社會穩定風險評估工作已經進入實踐階段，實踐中形成了四川“遂寧模式”和江蘇的“淮安模式”，但是中國關于重大決策社會穩定風險評估的理論研究還十分匱乏。分析美國環境風險管理的成功經驗，美國國家科學院等環境保護的科研機構及專家學者關于環境風險的相關理論研究為政府決策提供了有效的理論依據和方法指引，對保障決策科學性和化解決策風險起到重要作用。中國學者關于風險社會理論的研究集中于風險社會意識形成和風險社會危害等研究領域。這些研究雖然奠定了重大決策社會穩定風險分析的理論基礎，能夠為風險評估提供理論支撐，但是結合中國社會轉型期社會穩定風險的分析不夠深入，對于重大決策可能引起的風險認識還不夠清晰。中國對于重大決策社會穩定風險評估價值的探討較多，但是對于如何推進實踐的可操作性研究明顯不足。風險評估作為一種技術已經在國內外政治社會生活中廣泛應用，在國家、部門，特別是企業管理中廣泛應用，但是目前中國在重大決策中應用較少，學者提供了風險評估的框架體系，但是缺少細節設計，還有待于對重大決策風險評估的技術方法和實踐機制等領域進行深入系統的理論研究。

(二)增強重大決策社會穩定風險評估意識

目前，從中國相關政府部門到社會公眾，整體上風險意識淡薄，對于風險管理認識不深入、不夠重視，特別是對于重大事件決策與社會穩定風險之間的相關性認識不清，缺乏管控風險的意識。因此，強化對重大決策社會穩定風險評估的意識，為各級政府決策提供軟環境。發達國家的風險意識十分強烈，美國20世紀80年代就將環境保護問題上升到與國家安全、國家利益息息相關的重大事件進行管理，對重大事件風險評估與決策十分重視。英國對于國家未來可能發生的重大風險進行識別與防控，也是緣于其高度的風險意識。

(三)完善重大決策社會穩定風險評估的法律制度

歐盟在食品安全管理中，有關食品風險評估的法律制度提前建立起來，為食品風險評估提供法律保障。英國國家安全以及城市風險管理的相關法律制度較早地完備起來，為風險評估工作奠定了制度基礎，使風險評估可以按照法律和制度要求系統化、經常化、穩定化地開展。中國對于重大決策風險評估的法律依據尚不充分，所以需要建立健全重大決策風險評估的相關法律政策，為開展重大決策風險評估提供政策依據，保障風險評估工作有序進行。

上一篇: 景觀園林施工設計下一篇: 企業文化的重要