導語：如何才能寫好一篇風險識別與風險評估的區(qū)別，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

關鍵詞：電子政務外網；等級保護測評；風險評估；風險評估模型

中圖分類號：TP311 文獻標識碼：A 文章編號：1009-3044（2014）34-8337-02

1 等級保護背景下的電子政務外網風險評估

電子政務外網提供非的社會公共服務業(yè)務，全國從中央各部委、到省、市、縣，已經形成了一張大龐大的網絡系統(tǒng)，有的地方甚至覆蓋到了鄉(xiāng)鎮(zhèn)、社區(qū)村委會，有效提高了政府從事行政管理和社會公共服務效率。今后凡屬社會管理和公共服務范疇及不需在國家電子政務內網上部署的業(yè)務應用，原則上應納入國家政務外網運行，它按照國家政務外網統(tǒng)一規(guī)劃，建立網絡安全防護體系、統(tǒng)一的網絡信任體系和信息安全等級保護措施。

隨著政務外網的網絡覆蓋的擴大及接入的政務單位越來越多、政務外網應用的不斷增加，各級政務移動接入政務外網的需求也在增加，對政務外網的要求和期望越大，網絡安全和運維的壓力也越大，責任也更大。由于政務外網與互聯(lián)網邏輯隔離，主要滿足各級政務部門社會管理、公共服務、市場監(jiān)管和經濟調節(jié)等業(yè)務應用及公務人員移動辦公、現場執(zhí)法等各類的需要，網絡和電子政務應用也成為境外敵對勢力、黑客等攻擊目標。隨著新技術的不斷涌現和大量使用，也對電子政務外網網絡的安全防護、監(jiān)控、管理等帶來新的挑戰(zhàn)。按照國家政務外網統(tǒng)一規(guī)劃，建立網絡安全防護體系、統(tǒng)一的網絡信任體系和信息安全等級保護措施是必須的。

為保障電子政務外網的安全有效運行，我們應以風險管理理念來統(tǒng)籌建設網絡和信息安全保障體系。在國家信息系統(tǒng)安全等級保護的大背景下，2011年國家信息中心下發(fā)了《關于加快推進國家電子政務外網安全等級保護工作的通知》，強化了電子政務外網的等級保護制度以及等級測評要求，要求對政務外網開展等級測評，全面了解和掌握安全問題、安全保護狀況及與國家安全等級保護制度相關要求存在的差距，分析其中存在的安全風險，并根據風險進行整改[1]。

系統(tǒng)安全測評、風險評估、等級測評都是信息系統(tǒng)安全的評判方法[2，3]，其實它們本沒有本質的區(qū)別，目標都是一樣的，系統(tǒng)安全測評從系統(tǒng)整體來對系統(tǒng)的安全進行判斷，風險評估從風險管理的角度來對系統(tǒng)的安全狀況進行評判，而等級測評則是從等級保護的角度對系統(tǒng)的安全進行評判。不管是系統(tǒng)安全測評[1]、風險評估、等級測評，風險的風險與計算都是三者必不可少的部分。

2 電子政務主要風險評估方法簡介

電子政務外網風險評估有自評估、檢查評估、第三方評估（認證）評估模式，都需利用一定的風險評估方法來進行相關風險的評估。從總體上來講，主要有定量評估、定性評估兩類。在進行電子政務系統(tǒng)信息安全風險評估過程中，采用的主要風險評估方法有：OCTAVE、SSE-CMM、FAT（故障樹方法）、AHP （層次分析）以及因素分析法、邏輯分析法、德爾菲法、聚類分析法、決策樹法、時許模型、回歸模型等方法。研究風險評估模型的方法可以運用馬爾可夫法、神經網絡、模糊數學、決策樹、小波分析等[4-6]。OCTAVE 方法是一個系統(tǒng)的方法，它從系統(tǒng)的高度來進行信息安全的安全防護工作，評估系統(tǒng)的安全管理風險、安全技術風險，它提高了利用自評估的方式制定安全防范措施的能力。它通過分析重要資產的安全價值、脆弱性、威脅的情況，制定起風險削減計劃，降低重要資產的安全風險。電子政務外網需要從實際出發(fā)，不能照搬其它評估方法，根據電子政務外網實際，本設計基于OCTAVE 評估模型，設計了一個電子政務外網風險分析計算模型。

3 基于OCTAVE模型的一個電子政務外網風險計算模型設計

3.1 風險評估中的資產、威脅、脆弱性賦值的設計

保密性、完整性和可用性是評價資產的三個安全屬性。風險評估中的資產價值不是以資產的經濟價值來衡量，而是由資產在這三個安全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的。

資產價值應依據資產在保密性、完整性和可用性上的賦值等級，經過綜合評定得出。綜合評定方法可以根據自身的特點，選擇對資產保密性、完整性和可用性最為重要的一個屬性的賦值等級作為資產的最終賦值結果；也可以根據資產保密性、完整性和可用性的不同等級對其賦值進行加權計算得到資產的最終賦值結果。本設計模型根據電子政務外網的業(yè)務特點，依據資產在保密性、完整性和可用性上的賦值等級進行加權計算（保密性α+完整性β+和可用性γ），α、β、γ為權重系數，權重系數的確定可以采用專家咨詢法、信息商權法、獨立性權數等。本設計方案采用專家咨詢法。資產、威脅、脆弱性的賦值可以從0-10，賦值越高，等級越高。

脆弱性識別是風險評估中最重要的一個環(huán)節(jié)。脆弱性是資產本身存在的，如果沒有被相應的威脅利用，單純的脆弱性本身不會對資產造成損害。脆弱性識別的依據可以是國際或國家安全標準，也可以是行業(yè)規(guī)范等，如國家信息安全漏洞共享平臺（CNVD）漏洞通報、CVE漏洞、微軟漏洞通報等。

資產、威脅、脆弱性的識別與賦值依賴于專家對三者的理解，不同的人員對三者的賦值可能不同，甚至差別很大，可能會不能真實的反映實際情況。為了識別與賦值能準確反映實際情況，可以采用一定的方法來進行修正。本設計采用頭腦風暴法、德爾菲法去獲取資產、威脅、脆弱性并賦值、最后采用群體決策方法確定資產、威脅、脆弱性的識別與賦值。這樣發(fā)揮了三個方法的特點，得到的賦值準確性大大提高。

判斷威脅出現的頻率是威脅賦值的重要內容，評估者應根據經驗和（或）有關的統(tǒng)計數據來進行判斷[7]。判斷威脅出現的頻率是可能性分析的重要內容，如果僅僅從近一兩年來各種國內、國際組織的對于整個社會或特定行業(yè)的威脅及其頻率統(tǒng)計，以及的威脅預警等來判斷是不太準確的，因為它沒有與具體的電子政務外網應用實際聯(lián)系起來，實際環(huán)境中通過檢測工具（如IPS等）以及各種日志發(fā)現的威脅及其頻率的統(tǒng)計也應該考慮進去。

本設計模型采用綜根據經驗和（或）有關的統(tǒng)計數據來進行判斷，并結合具體電子政務外網實際，從歷史生產系統(tǒng)的IPS等獲取各種威脅及其頻率的統(tǒng)計，并采用馬兒可夫方法計算出某個時段內某個威脅發(fā)生的概率。馬爾可夫方法是一種定量的方法，具有無后效性的特點，適用于計算實時的動態(tài)信息系統(tǒng)威脅發(fā)生概率。它利用IPS等統(tǒng)計某一時段的發(fā)生了哪些威脅，構建出各種威脅之間的狀態(tài)轉移圖，使用馬爾可夫方法計算出該時段內某個威脅發(fā)生的概率。計算出的威脅發(fā)生概率結果可以進行適當的微調，該方法要求記錄的樣本具有代表性。

3.2 風險計算模型設計

通常風險值計算涉及的風險要素為資產、威脅、和脆弱性。 在完成了資產識別、威脅識別、脆弱性識別，以及已有安全措施確認后，將采用適當的方法與工具確定威脅利用脆弱性導致安全事件發(fā)生的可能性，并綜合安全事件所作用的資產價值及脆弱性的嚴重程度，判斷安全事件造成的損失對組織的影響，即安全風險計算。

風險值=R（資產，威脅，脆弱性）= R（可能性（威脅，脆弱性），損失（資產價值，脆弱性嚴重程度））?？筛鶕陨黼娮诱胀饩W實際情況選擇相應的風險計算方法計算風險值，如目前最常用的矩陣法或相乘法等。矩陣法主要用于兩個要素值確定一個要素值的情形，相乘法主要用于兩個或多個要素值確定一個要素值的情形。

本設計模型采用風險計算矩陣方法。矩陣法通過構造一個二維矩陣，形成安全事件的可能性與安全事件造成的損失之間的二維關系；相乘法通過構造經驗函數，將安全事件的可能性與安全事件造成的損失進行運算得到風險值。

在使用矩陣法分別計算出某個資產對應某個威脅i，某個脆弱性j的風險系數[Ri，j]，還應對某個資產的總體安全威脅風險值進行計算，某個資產總體風險威脅風險=Max（[Ri，j]），i，j=1，2，3…。組織所有資產的威脅風險值為所有資產的風險值之和。

3.3 對風險計算模型的改進

在風險值=R（A，T，V）的計算模型中，由資產賦值、危險、脆弱性三元組計算出風險值， 并沒有把安全防護措施因素對風險計算的影響考慮在內，該文把風險值=R（A，T，V）改進為風險值=R（A，T，V，P），其中P為安全防護措施因素。P因素不僅影響安全事件的可能性，也影響安全事件造成的損失，把上面的公式改進為風險值=R（L（T，V，P），F（Ia，Va，P ））。對于L（T，V，P），F（Ia，Va，P ）的計算可以采用相乘法等。如果采用矩陣法，對L（T，V，P）的可以拆分計算L（T，V，P）=L（L（T，V），L（V，P））。

在計算出單個資產對應某個脆弱性、某個威脅、某個防護措施后的風險值后，還應總體上計算組織內整體資產面臨的整體風險。單個風險（一組風險）對其它風險（一組風險）的影響是必須考慮的，風險之間的影響有風險之間的疊加、消減等。有必要對風險的疊加效應、疊加原理、疊加模型進行研究。

3.4 風險結果判定

為實現對風險的控制與管理，可以對風險評估的結果進行等級化處理?？蓪L險劃分為10，等級越高，風險越高。

風險等級處理的目的是為風險管理過程中對不同風險的直觀比較，以確定組織安全策略。組織應當綜合考慮風險控制成本與風險造成的影響，提出一個可接受的風險范圍。對某些資產面臨的安全風險，如果風險計算值在可接受的范圍內，則該風險是可接受的，應保持已有的安全措施；如果風險計算值高于可接受范圍的上限值，則該風險是不可接受的，需要采取安全措施以降低、控制或轉移風險。另一種確定不可接受的風險的辦法是根據等級化處理的結果，不設定可接受風險值的基準，對達到相應等級的風險都進行處理。

參考文獻：

[1] 國家電子政務外網管理中心.關于加快推進國家電子政務外網安全等級保護工作的通知[政務外網[2011]15號][Z].2011.

[2] 等級保護、風險評估和安全測評三者之間的區(qū)別與聯(lián)系[EB/OL].http：///faq/faq.php？lang=cn&itemid=23.

[3] 趙瑞穎.等級保護、風險評估、安全測評三者的內在聯(lián)系及實施建議[C].第二十次全國計算機安全學術交流會論文集，2005.

[4] 李煜川.電子政務系統(tǒng)信息安全風險評估研究――以數字檔案館為例[D].蘇州：蘇州大學，2011.

[5] 陳濤，馮平，朱多剛.基于威脅分析的電子政務信息安全風險評估模型研究[J].情報雜志，2011（8）：94-99.

篇2

關鍵詞：消費品安全 政府監(jiān)管 風險評估 諾模圖法 風險矩陣法 RAPEX法

中圖分類號：F76 文獻標識碼：A 文章編號：1674-098X（2014）11（c）-0155-04

歐盟委員會（EC）的2004 RAPEX方法[1]是首個得到政府監(jiān)管機構廣泛應用的消費品安全官方風險評估方法。非政府學術組織EuroSafe在2005年設立風險評估工作組（EuroSafe WGRA），EC在其研究成果基礎上形成了2010 RAPEX方法[2]，該方法是目前歐盟各成員國政府的正式官方評估方法[3]。受EC健康與消費者保護總司（DG-SANCO）資助的EMARS項目（它提出了著名的錘子案例[4]）、英國RPA[5]等風險研究機構都致力于不斷發(fā)展消費品安全風險評估方法。在正式評估方法中，除了RAPEX方法，諾模圖法、風險矩陣法也得到廣泛應用[3-5]。而歐盟REACH法規(guī)的技術指南文件（TGD）、國際化學品安全規(guī)劃署（IPCS）的“Risk Assessment Terminology”（2004年），聯(lián)合國糧農組織/世界衛(wèi)生組織（FAO/WHO）的“Food Safety Risk Analysis”（2006年）、國際風險管理理事會（IRGC）的“White Paper”（2006年）提供的化學危害風險評估方法主要適用于消費品生產過程[3-5]。美國消費品安全委員會（CPSC）主要應用定性風險評估方法對消費品安全進行A、B、C三級管理，CPSC也使用“安全飲用水法案”（SDWA，1996年）中的評估規(guī)則[6]，CPSC在化學危害定量評估方法上遵循美國國家科學委員會的NAS指南（1994年）[7]。國際標準化組織的消費者政策委員會（ISO COPOLCO）的指南文件“Consumer product safety a practical guide for suppliers”（2006年）及其標準則主要適用于消費品的設計及生產階段[3-5]。中國的消費品安全風險評估通則（GB/T22760，2008年）與RAPEX方法基本一致[8]。

該文以政府監(jiān)管視角選擇最廣泛使用的2004 RAPEX、2010 RAPEX方法、諾模圖法和風險矩陣法應用案例進行比較分析[3-5]，并分析消費品安全風險評估方法的進一步發(fā)展方向。

1 消費品安全風險評估基本流程

風險和風險評估在各個領域的定義和方法有所不同。在產品安全評價理論中，風險通常表示為傷害事件的發(fā)生概率及嚴重程度的函數，各種消費品安全風險評估方法的基本評估流程是大同小異的，均是在識別消費品危險的基礎上，估計各風險要素的程度（至少包括兩個基本風險要素：傷害的嚴重程度和傷害的發(fā)生概率），然后用模型將各風險要素合成風險水平/等級（批量評估應先確定單體風險水平）。各個方法的主要區(qū)別在于將其他風險要素（例如消費者屬性、危險可獲得性和危險暴露參數等）的考慮置于哪個階段，是置于危險識別階段，還是置于嚴重程度估計、發(fā)生概率估計階段，抑或直接作為獨立風險要素與兩個基本要素進行合成（圖1）。

在消費品供應鏈的不同階段實施安全風險評估應選擇與該階段相適應的風險評估方法，相關評估方法按適用范圍分類如圖2所示（參考了參考文獻[3]，但做了補充和修改）。對于政府監(jiān)管機構而言，更關心的是準備上市和上市后的消費品安全風險，即：消費品在上市時應符合安全的一般要求，而在上市后只要發(fā)現產品存在嚴重安全風險就應及時隔離（risk averse）。因此，以政府監(jiān)管視角研究上市階段和上市后消費品安全風險評估方法的有效應用具有必要性。

4 討論

（1）從應用案例可看出，2010 RAPEX

法與2004 RAPEX法的主要區(qū)別在于：2010 RAPEX法將消費人群區(qū)分、風險緩減要素區(qū)分從后置改為前置，嚴重程度和發(fā)生概率的分等進行了擴充，消費人群區(qū)分、風險緩減要素區(qū)分仍由主觀判定。兩個方法中風險要素的打分主觀性強，要求評估人員具備足夠的專業(yè)知識和足夠準確的數據來源。未來的評估方法可能將消費人群作為獨立風險要素進行識別和估計，在消費品化學危害日益受到重視的情況下，消費人群區(qū)分可能相應調整，例如孕婦可能作為弱勢人群進行考慮。

（2）斯洛文尼亞諾模圖法的輸入參數比其他方法增加，各參數的分等擴充，其評估輸出（風險等級）相應細化。與RAPEX法比較，它識別出火災危險風險高于其他危險。危險事件發(fā)生時，火災更容易造成群死群傷，因此該評估結果與事實也是相符的。

（3）比利時風險矩陣法引入了暴露程度這一參數擴充矩陣維度。對后果嚴重性的賦值中，該方法對導致“所有使用者和旁觀者死亡”“所有使用者死亡”“數人死亡”和“一個死亡”的嚴重度分別區(qū)分，且從100分到15分賦值，區(qū)分度極大，但在政府監(jiān)管角度，對“死亡”后果均應0容忍，評估時應加以注意。

（4）該文在參閱相關文獻時，發(fā)現各個評估方法應用的術語高度不一致。如果對術語名稱翻譯和定義不加以界定明確，可能導致對同一危險信息，各評估方法的參數輸入不一致，其輸出大相徑庭。

（5）目前的評估方法對化學危害風險的識別能力偏弱。例如對“長期藥物接觸和輻射暴露”傷害的嚴重程度從輕到重劃分為“腹瀉嘔吐局部癥候”“可逆的內臟損害”“神經系統(tǒng)損害、不可逆的內臟損害”“癌癥（白血病）、影響生殖、影響后代、中樞神經系統(tǒng)抑郁癥”四等的劃分尚嫌粗。歐盟REACH法規(guī)的技術指南文件提供了一種化學危害風險評估的有價值的思路。

（6）目前對評估方法的發(fā)展研究主要集中在評估模型的改進，從定性向定量向模糊評價發(fā)展，但實證研究表明，作為簡單、快速、經濟、有效（risk averse）和有決斷力（resolved）的方法，定性風險評估能對消費品安全風險進行有效評估[3-5]。在政府監(jiān)管視角，最好把資源直接用于減小風險的努力，而不是盡量達到風險評估的絕對精確。實際上，定量風險評估的大部分輸入數據是高度主觀的，同時，要生成確切的輸出，它要求有一個詳盡和全面的時間鏈模型，這對范圍極廣的現代消費品領域是難度極大的。對定性風險評估方法而言，應減小評估的主觀性，重點應研究傷害嚴重程度和發(fā)生概率的科學分等，其基礎工作是盡早形成共享的消費品傷害數據庫。

（7）從應用案例可看出，各個評估方法均基于各風險因子相對獨立的假設，從而對各個風險因子獨立進行評估。有學者研究認為，某些風險因子具有相互聯(lián)系和影響關系，具有連通性（connectivity），并引入了連通性矩陣的概念，但這一理論在消費品領域尚未有成熟應用。

5 結論

（1）以政府監(jiān)管視角來看，2004 RAPEX、2010 RAPEX方法和斯洛文尼亞諾模圖法均能對消費品安全風險進行有效評估。

（2）未來消費品安全風險評估方法的發(fā)展，首先應統(tǒng)一規(guī)范術語使用以改善評估的一致性；其次應發(fā)展傷害嚴重程度和發(fā)生概率的科學分等體系以減小評估的主觀性；另外應注重消費品化學危害風險評估方法的研究。

參考文獻

[1] Guidelines for the management of the Community Rapid Information System（RAPEX）and for notifications presented in accordance with Artide 11 of Directive 2001/95/EC[R]，Commission Decision 2004/418/EC of 29 April 2004.OJ L 151，2004.

[2] Commission Decision of 16 December 2009 laying down guidelines for the management of the Community Rapid Information System‘RAPEX’established under Artide 12 and of the notification procedure established under Artide 11 of Directive 2001/95/EC（the General Product Safety Directive） （notified under document C（2009） 9843）[R]，Commission Decision 2010/15/EU of 26 January 2010. OJ L 22， 2010.

[3] Dirk van Aken.Related risk assessment activities[R].Hague： Voedsel en Waren Autoriteit， 2007.

[4] Enhancing Market Surveillance through Best Practices（EMARS）project.Product Safety-Best Practice Techniques in Market Surveillance[R].Amsterdam： EMARS，2013.

[5] Pete Floyd， Tobe A.Nwaogu，Rocio Salado，et al.RPA REPORTAssured Quality-Establishing a Comparative Inventory of Approaches and Methods Used by Enforcement Authorities for the Assessment of the Safety of Consumer Products Covered by Directive 2001/95/EC on General Product Safety and Identification of Best Practices [R].J497/GPSD Implementation， Norfolk：Risk & Policy Analysts Limited（RPA），2006.

[6] CPSC.Research & Statistics-consumer opinon surrveys[EB/OL].（2014-10-20）[2014-4-29].http：//cpsc.gov/en/Research Statistics.

[7] National Research Council.Science and Judgment in Risk Assessment （1994）[M].Washington D.C.：National Academy Press，1994.

篇3

關鍵詞:電子政務 信息安全

0 引言

隨著電子政務不斷推進，社會各階層對電子政務的依賴程度越來越高，信息安全的重要性日益突出，在電子政務的信息安全管理問題中，基于現實特點的電子政務信息安全體系設計和風險評估[1]模型是突出的熱點和難點問題。本文試圖就這兩個問題給出分析和建議。

1 電子政務信息安全的總體要求

隨著電子政務應用的不斷深入，信息安全問題日益凸顯，為了高效安全的進行電子政務，迫切需要搞好信息安全保障工作。電子政務系統(tǒng)采取的網絡安全措施[2][3]不僅要保證業(yè)務與辦公系統(tǒng)和網絡的穩(wěn)定運行，另一方面要保護運行在內部網上的敏感數據與信息的安全，因此應充分保證以下幾點：

1.1 基礎設施的可用性：運行于內部專網的各主機、數據庫、應用服務器系統(tǒng)的安全運行十分關鍵，網絡安全體系必須保證這些系統(tǒng)不會遭受來自網絡的非法訪問、惡意入侵和破壞。

1.2 數據機密性：對于內部網絡，保密數據的泄密將直接帶來政府機構以及國家利益的損失。網絡安全系統(tǒng)應保證內網機密信息在存儲與傳輸時的保密性。

1.3 網絡域的可控性:電子政務的網絡應該處于嚴格的控制之下，只有經過認證的設備可以訪問網絡，并且能明確地限定其訪問范圍，這對于電子政務的網絡安全十分重要。

1.4 數據備份與容災:任何的安全措施都無法保證數據萬無一失，硬件故障、自然災害以及未知病毒的感染都有可能導致政府重要數據的丟失。因此，在電子政務安全體系中必須包括數據的容災與備份，并且最好是異地備份。

2 電子政務信息安全體系模型設計

完整的電子政務安全保障體系從技術層面上來講，必須建立在一個強大的技術支撐平臺之上，同時具有完備的安全管理機制，并針對物理安全，數據存儲安全，數據傳輸安全和應用安全制定完善的安全策略

在技術支撐平臺方面，核心是要解決好權限控制問題。為了解決授權訪問的問題， 通常是將基于公鑰證書（PKC）的PKI（Public Key Infrastructure）與基于屬性證書（AC）的PMI（Privilege Management Infrastructure)結合起來進行安全性設計，然而由于一個終端用戶可以有許多權限， 許多用戶也可能有相同的權限集， 這些權限都必須寫入屬性證書的屬性中， 這樣就增加了屬性證書的復雜性和存儲空間， 從而也增加了屬性證書的頒發(fā)和驗證的復雜度。為了解決這個問題，作者建議根據X.509標準建立基于角色PMI的電子政務安全模型。該模型由客戶端、驗證服務器、應用服務器、資源數據庫和LDAP 目錄服務器等實體組成，在該模型中：

2.1 終端用戶：向驗證服務器發(fā)送請求和證書， 并與服務器雙向驗證。

2.2 驗證服務器：由身份認證模塊和授權驗證模塊組成提供身份認證和訪問控制，是安全模型的關鍵部分。

2.3 應用服務器： 與資源數據庫連接， 根據驗證通過的用戶請求，對資源數據庫的數據進行處理， 并把處理結果通過驗證服務器返回給用戶以響應用戶請求。

2.4 LDAP目錄服務器：該模型中采用兩個LDAP目錄服務器， 一個存放公鑰證書（PKC）和公鑰證書吊銷列表（CRL），另一個LDAP 目錄服務器存放角色指派和角色規(guī)范屬性證書以及屬性吊銷列表ACRL。

安全管理策略也是電子政務安全體系的重要組成部分。安全的核心實際上是管理，安全技術實際上只是實現管理的一種手段，再好的技術手段都必須配合合理的制度才能發(fā)揮作用。需要制訂的制度包括安全行政管理和安全技術管理。安全行政管理應包括組織機構和責任制度等的制定和落實；安全技術管理的內容包括對硬件實體和軟件系統(tǒng)、密鑰的管理。

3 電子政務信息安全管理體系中的風險評估

電子政務信息安全等級保護是根據電子政務系統(tǒng)在國家安全、經濟安全、社會穩(wěn)定和保護公共利益等方面的重要程度。等級保護工作的要點是對電子政務系統(tǒng)進行風險分析，構建電子政務系統(tǒng)的風險因素集。

3.1 信息系統(tǒng)的安全定級 信息系統(tǒng)的安全等級從低到高依次包括自主保護級、指導保護級、監(jiān)督保護級、強制保護級、?？乇Ｗo級五個安全等級。對電子政務的五個安全等級定義，結合系統(tǒng)面臨的風險、系統(tǒng)特定安全保護要求和成本開銷等因素，采取相應的安全保護措施以保障信息和信息系統(tǒng)的安全。

3.2 采用全面的風險評估辦法 風險評估具有不同的方法。在ISO/IEC TR13335-3《信息技術IT安全管理指南:IT安全管理技術》中描述了風險評估方法的例子，其他文獻，例如NIST SP800-30、AS/NZS 4360等也介紹了風險評估的步驟及方法，另外，一些組織還提出了自己的風險評估工具，例如OCTAVE、CRAMM等。

電子政務信息安全建設中采用的風險評估方法可以參考ISO17799、OCTAVE、CSE、《信息安全風險評估指南》等標準和指南，從資產評估、威脅評估、脆弱性評估、安全措施有效性評估四個方面建立風險評估模型。其中，資產的評估主要是對資產進行相對估價，其估價準則依賴于對其影響的分析，主要從保密性、完整性、可用性三方面進行影響分析;威脅評估是對資產所受威脅發(fā)生可能性的評估，主要從威脅的能力和動機兩個方面進行分析;脆弱性評估是對資產脆弱程度的評估，主要從脆弱性被利用的難易程度、被成功利用后的嚴重性兩方面進行分析;安全措施有效性評估是對保障措施的有效性進行的評估活動，主要對安全措施防范威脅、減少脆弱性的有效狀況進行分析;安全風險評估就是通過綜合分析評估后的資產信息、威脅信息、脆弱性信息、安全措施信息，最終生成風險信息。

在確定風險評估方法后，還應確定接受風險的準則，識別可接受的風險級別。

4 結語

電子政務與傳統(tǒng)政務相比有顯著區(qū)別，包括:辦公手段不同，信息資源的數字化和信息交換的網絡化是電子政務與傳統(tǒng)政務的最顯著區(qū)別;行政業(yè)務流程不同，實現行政業(yè)務流程的集約化、標準化和高效化是電子政務的核心;與公眾溝通方式不同，直接與公眾溝通是實施電子政務的目的之一，也是與傳統(tǒng)政務的重要區(qū)別。在電子政務的信息安全管理中，要抓住其特點，從技術、管理、策略角度設計完整的信息安全模型并通過科學量化的風險評估方法識別風險和制定風險應急預案，這樣才能達到全方位實施信息安全管理的目的。

參考文獻：

[1]范紅，馮國登，吳亞非.信息安全風險評估方法與應用.清華大學出版社.2006.

篇4

關鍵詞：審計風險準則　風險導向　重大錯報風險　風險評估　審計證據

一、前言

2006年財政部頒布了《中國注冊會計師執(zhí)業(yè)準則》，標志著我國在建立適應社會主義市場經濟發(fā)展要求，順應國際趨同新形勢的道路上邁進了一大步。為了更好地指導注冊會計師有效地識別、評估和應對審計風險，準則框架體系全面滲透著風險導向審計的理念，要求注冊會計師將風險導向審計的觀念貫穿于審計全過程。傳統(tǒng)審計方法的主要缺陷在于注冊會計師重視被審計單位的內部環(huán)境，但忽視其所處的外部環(huán)境；重視審計單位的控制風險但忽視其固有風險。事實上我國注冊會計師面臨的情形是被審計單位及其所處環(huán)境的日趨復雜。行業(yè)狀況、法律環(huán)境與監(jiān)管環(huán)境以及其他外部因素，都會對注冊會計師審計質量產生重大影響。在復雜環(huán)境下或被審計單位內部控制不健全時，如果繼續(xù)采用傳統(tǒng)審計模式，局限于控制測試和實質性測試，把審計的主要資源集中在具體交易事項和余額細節(jié)測試上。極易引發(fā)審計風險。因此，新執(zhí)業(yè)準則要求注冊會計師了解被審計單位及其內外部環(huán)境，同時注重檢查風險和固有風險(即重大錯報風險)，重點關注存在重大錯報風險的領域，達到避免觸發(fā)審計風險的目的。新執(zhí)業(yè)準則體系的核心內容為以下準則，簡稱審計風險準則，分別為：《中國注冊會計師執(zhí)業(yè)準則第1101號――財務報表審計的目標和一般原則》(以下簡稱第1101號準則，下同)、《中國注冊會計師執(zhí)業(yè)準則第1211號――了解被審計單位及其環(huán)境并評估重大錯報風險》、《中國注冊會計師執(zhí)業(yè)準則第1231號――針對評估的重大錯報風險實施的程序》、《中國注冊會計師執(zhí)業(yè)準則第1301號――審計證據》。

二、審計風險準則修訂的主要內容

(一)第1101號準則 第1101號準則是在借鑒國際審計與鑒證準則第200號的基礎上，對原《獨立審計準則第1號――會計報表審計》進行修訂而形成的。其主要內容有：會計責任和審計責任、審計的目標、審計范圍、職業(yè)懷疑態(tài)度、審計風險及模型。(1)明確區(qū)分注冊會計師的責任，公司管理層和治理層的責任。新準則規(guī)定，對財務報表發(fā)表審計意見是注冊會計師的責任；在被審計單位治理層的監(jiān)督下，按照適用的會計準則和相關會計制度的規(guī)定編制財務報表是被審計單位管理層的責任。此外，準則條款還特別強調了財務報表審計不能減輕被審計單位管理層和治理層的責任。(2)明確財務報表審計目標。新準則規(guī)定，財務報表審計的目標是注冊會計師通過執(zhí)行審計工作，對財務報表的下列方面發(fā)表審計意見：財務報表是否按照適用的會計準則和相關會計制度的規(guī)定編制；財務報表是否在所有重大方面公允反映被審計單位的財務狀況、經營成果和現金流量。這個規(guī)定與原有的規(guī)定沒有太大區(qū)別，但是新準則中明確提出，財務報表審計屬于鑒證業(yè)務，注冊會計師的審計意見旨在提高財務報表的可信賴程度。(3)修訂審計范圍的定義。新準則指出，財務報表的審計范圍是指注冊會計師為實現財務報表審計目標，根據審計準則和職業(yè)判斷實施的恰當的審計程序的總和。在確定擬實施的審計程序時，注冊會計師應當遵守與財務報表審計相關的各項審計準則。恰當的審計程序是指審計程序的性質、時間和范圍是恰當的。一是審計程序的性質指審計程序的目的和類型。目的包括：通過了解被審計單位及其環(huán)境，識別、評估重大錯報風險；通過實施控制測試，明確內部控制運行的有效性；通過實施實質性程序，發(fā)現認定層次的重大錯報。類型則包括檢查、觀察、詢問、函證、重新計算、重新執(zhí)行和分析程序。二是審計程序的時間是指注冊會計師何時實施審計程序，或指審計證據適用的期間或時點。三是審計程序的范圍是指實施審計程序的數量，包括抽取的樣本量，對某項控制活動的觀察次數等。審計范圍受到限制是指由于客觀原因或者被審計單位施加的限制，注冊會計師未能實施根據審計準則和職業(yè)判斷應當實施的審計程序，從而未能獲取充分、適當的審計證據。(4)要求注冊會計師在審計過程中始終保持職業(yè)懷疑態(tài)度，并明確在財務報表審計中注冊會計師只能提供合理保證。新準則要求，在計劃和實施審計工作時，注冊會計師應當保持職業(yè)懷疑態(tài)度，充分考慮可能存在導致財務報表發(fā)生重大錯報的情形。新準則指出，注冊會計師按照審計準則的規(guī)定執(zhí)行審計工作，能夠對財務報表整體不存在重大錯報獲取合理保證。由于審計中存在的固有限制影響注冊會計師發(fā)現重大錯報的能力，注冊會計師不能對財務報表整體不存在重大錯報獲取絕對保證，即只能提供合理保證。(5)引進新的審計模型。新準則對審計風險模型作了重大改變，將原審計風險模型修正為：審計風險：重大錯報風險x檢查風險，審計風險取決于重大錯報風險和檢查風險，是兩者的綜合風險。重大錯報風險要求注冊會計師站在風險的高度上把握審計過程，以風險為導向進行審計，強化了風險意識，注冊會計師對于重大錯報風險的評估貫穿于審計的整個過程。改變后的審計風險模型使得注冊會計師從更高的層次上把握重大錯報風險，要求注冊會計師必須了解被審計單位及其環(huán)境(包括內部控制)，以充分識別和評估財務報表重大錯報風險，并針對評估的重大錯報風險設計和實施進一步審計程序(包括控制測試和實質性測試)，以降低注冊會計師的審計風險。在目前經濟不確定性增大的環(huán)境下，顯然新的審計風險模型更能滿足風險控制的要求，并且可操作性較強。

(二)第1211號準則 第1211號準則是在借鑒國際審計與鑒證準則第315號基礎上出臺的新準則，將取代我國原有的《獨立審計準則第21號――了解被審計單位情況》、《獨立審計準則第9號――內部控制與審計風險》和《獨立審計準則第20號――計算機信息系統(tǒng)環(huán)境下的審計》，以克服舊準則相互分離、缺乏有機融合的缺陷。根據《中國注冊會計師審計準則第1101號――財務報表審計的目標和一般原則》要求，注冊會計師在審計過程中應當貫徹風險導向審計的理念，圍繞重大錯報風險的識別、評估和應對，計劃和實施審計工作。其中如何識別和評估重大錯報風險，構成了注冊會計師應對重大錯報風險的前提。注冊會計師如何了解被審計單位及其環(huán)境，了解哪些具體的內容，了解后如何對重大錯報風險進行評估，如何將了解和評估的過程、結果與管理層和治理層進行溝通，在審計工作底稿中應當對哪些內容進行記錄，本準則對這些問題做了明確規(guī)范，其修訂的主要內容有：(1)注冊會計師審計的總體要求：了解被審計單位及其環(huán)境是必要程序；了解的目的是識別和評估財務報表重大錯報風險，設計和實施進一步審計程序；了解的程度應當足夠實現了解的目的。與獨立審計準則中的規(guī)定不同，了解被審計單位及其內外部環(huán)境是注冊會計師審計過程中必須實施的程序，

也是風險導向審計的核心。(2)風險評估程序的概念及項目組內部討論的要求。風險評估程序是指為了解被審計單位及其環(huán)境而實施的程序。風險評估程序包括：詢問被審計單位管理層和內部其他相關人員；分析程序；觀察和檢查。注冊會計師在了解被審計單位及其環(huán)境的整個過程中，結合了解的內容和被審計單位業(yè)務的特點運用相應的風險評估程序，并利用風險評估程序所獲取的信息評估重大錯報風險，并可能隨著不斷獲取審計證據而作出相應的變化。如果通過實施進一步審計程序獲取的審計證據與初始評估獲取的審計證據相矛盾，注冊會計師應當修正風險評估結果，并相應修改原計劃實施的進一步審計程序，實施風險評估程序之后項目組內部必須進行討論。注冊會計師通過風險評估程序了解被審計單位及其環(huán)境后，需要對財務報表重大錯報風險進行評估，評估重大錯報風險需要運用專業(yè)判斷，必須由項目組內部討論來完成，項目組內部討論可以有效降低審計風險。在原準則中，評估固有風險、控制風險也需要專業(yè)判斷，但并沒有需要項目組共同討論的規(guī)定。一是討論的目標。項目組通過討論可以使成員更好地了解在各自分工負責的領域中，由于舞弊或錯誤導致財務報表重大錯報地可能性，并了解各自實施審計程序的結果如何影響審計的其他方面，包括對確定進一步審計程序的性質、時間和范圍的影響。二是討論的內容。項目組應當討論被審計單位面臨的經營風險、財務報表容易發(fā)生錯報的領域以及發(fā)生錯報的方式，特別是由于舞弊導致重大錯報的可能性。三是參與討論的人員。注冊會計師應當運用職業(yè)判斷確定項目組內部參與討論的成員。項目組的關鍵成員應當參與討論，如果項目組需要擁有信息技術或其他特殊技能的專家，這些專家也應當參與討論。項目組的討論不要求所有成員每次都參與討論，參與討論人員的范圍受項目組成員的職責、經驗和信息需求的影響。四是討論的時間和方式。項目組應當根據審計的具體情況，在整個審計過程中，持續(xù)交換有關財務報表發(fā)生重大錯報可能性的信息。項目組在討論時應當強調在整個過程中保持職業(yè)懷疑態(tài)度，警惕表明舞弊或錯誤導致的重大錯報可能已經發(fā)生的信息或其他跡象，并對這些跡象進行追蹤。通過討論，項目組成員可以交流和分享在整個審計過程中獲得的信息，包括可能對重大錯報風險評估產生影響的信息或有關針對風險實施的審計程序的信息。(3)注冊會計師應盡到的相關職責。對注冊會計師應當從哪些方面了解被審計單位及其環(huán)境作了詳細的定義：行業(yè)狀況、法律環(huán)境與監(jiān)管環(huán)境以及其他外部因素；被審計單位的性質；被審計單位對會計政策的選擇和運用；被審計單位的目標、戰(zhàn)略以及相關經營風險；被審計單位財務業(yè)績的衡量和評價；被審計單位的內部控制。這些內容是新準則的重要內容，值得注意的是對被審計單位的了解不僅局限于被審計單位的內部控制。對以上新準則中有相應的章節(jié)進行具體的闡述，使得注冊會計師思考的是究竟哪些方面去了解被審計單位，而不像原有準則中是比較模糊的概念，這樣做可以有效防止了解的不徹底影響審計工作，低估重大錯報風險。(4)明確了注冊會計師了解內部控制的定位。注冊會計師需要了解和評價的內部控制只是與財務報表審計相關的內部控制，并非被審計單位所有的內部控制。因為注冊會計師審計的目標是對財務報表是否不存在重大錯報發(fā)表審計意見，注冊會計師考慮與財務報表編制相關的內部控制，但目的并非對被審計單位內部控制的有效性發(fā)表意見。(5)明確了注冊會計師評估兩個層次的重大錯報風險。在對重大錯報風險進行識別和評估后，注冊會計師應當確定識別的重大錯報風險是與特定的各類交易、賬戶余額、列報的認定相關，還是與財務報表整體廣泛相關，進而影響多項認定。某些重大錯報風險可能與特定的各類交易、賬戶余額、列報的認定相關。如被審計單位存在復雜的聯(lián)營或合資，這一事項表明長期股權投資賬戶的認定可能存在重大錯報風險。又如被審計單位存在重大的關聯(lián)方交易，該事項表明關聯(lián)方及關聯(lián)方交易的披露認定可能存在重大錯報風險。某些重大錯報風險可能與財務報表整體廣泛相關，進而影響多項認定。如在經濟不穩(wěn)定的國家和地區(qū)開展業(yè)務、資產的流動性出現問題、重要客戶流失、融資能力受到限制等，可能導致注冊會計師對被審計單位的持續(xù)經營能力產生重大疑慮。又如管理層缺乏誠信或承受異常的壓力可能引發(fā)舞弊風險，這些風險與財務報表整體相關。(6)提出了特別風險的概念，需要特別考慮的重大錯報風險即為特別風險，并根據風險的性質、潛在錯報的重要程度和發(fā)生的可能性判斷風險是否屬于特別風險。如風險是否屬于舞弊風險；交易的復雜程度；風險是否涉及重大的關聯(lián)方交易等。(7)提出了對僅通過實質性程序無法應對的重大錯報風險的處理方法。僅通過實質性程序獲取的審計證據無法將認定層次的重大錯報風險降至可接受的低水平，注冊會計師應當評價被審計單位針對這些風險設計的控制，并確定其執(zhí)行情況。在被審計單位對日常交易采用高度自動化處理的情況下，審計證據可能僅以電子形式存在，其充分性和適當性通常取決于自動化信息系統(tǒng)相關控制的有效性，注冊會計師應當考慮僅通過實施實質性程序不能獲取充分、適當審計證據的可能性。如果認為僅通過實施實質性程序不能獲取充分、適當的審計證據，注冊會計師應當考慮依賴的相關控制的有效性，并對其進行了解、評估和測試。(8)將了解被審計單位及其環(huán)境過程中獲得的信息記錄與工作底稿中。此類信息包括項目組對由于舞弊或錯誤導致財務報表發(fā)生重大錯報的可能性進行的討論，以便得出的重要結論；對被審計單位及其環(huán)境各個方面的了解要點、信息來源以及實施的風險評估程序；在財務報表層次和認定層次識別、評估出的重大錯報風險；識別出的特別風險和僅通過實質性程序無法應對的重大錯報風險，以及對相關控制的評估。

(三)第1231號準則 第1231號準則是在借鑒國際審計與鑒證準則第330號的基礎上出臺的一個全新的準則，將取代原有的《第21號――了解被審計單位情況》、《第9號――內部控制與審計風險》和《第20號――計算機信息系統(tǒng)環(huán)境下的審計》。根據《中國注冊會計師審計準則第1101號――財務報表審計的目標和一般原則》的要求，注冊會計師在審計過程中應當貫徹風險導向審計的理念，圍繞重大錯報風險的識別、評估和應對，計劃和實施審計工作。其中《第1211號――了解被審計單位及其環(huán)境并評估重大錯報風險》規(guī)范了注冊會計師通過實施風險評估程序，識別和評估財務報表層次以及各類交易、賬戶余額、列報認定層次的重大錯報風險，注冊會計師針對已評估的財務報表層次的重大錯報風險如何確定總體應對措施，針對已評估的認定層次的重大錯報風險如何設計和實施進一步審計程序，進一步審計程序的性質、時間、范圍如何確定和實施，如何評價實施審計程序收集的審計證據的充分性和適當性，在審計工作底稿中將對哪些審計工作進行記錄等，對這些問題的明確規(guī)范是第1231號準則的核心內容。其修訂的主要內容有：總體要求、針對重大錯報風險的總體反應、審計程序的不可預見性、總體方案和進一步審計程序、控制測試的相關要求、實質性程序及相關要求、審計的相關要求、審計工作記錄。(1)明確提出了對注冊會計師審計的兩個總體要求：審計程序的總體要求，注冊會計師應

當對評估的財務報表層次重大錯報風險確定總體應對措施，并針對評估的認定層次重大錯報風險設計和實施進一步審計程序；職業(yè)判斷的總體要求，注冊會計師在確定總體應對措施以及設計和實施進一步審計程序的性質、時間和范圍時應當運用職業(yè)判斷。(2)首次提出了注冊會計師應當針對評估的財務報表層次重大錯報風險確定下列總體應對措施：向項目組強調在收集和評價審計證據過程中保持職業(yè)懷疑態(tài)度的必要性；分派更有經驗或具有特殊技能的審計人員，或利用專家的工作；提供更多的督導；在選擇進一步審計程序時，應當注意使某些程序不被管理層預見或事先了解；對擬實施審計程序的性質、時間和范圍作出總體修改。(3)強調審計程序的不可預見性要求。注冊會計師針對評估的財務報表層次重大錯報風險確定的總體應對措施中強調增強審計程序的不可預見性，因此，注冊會計師在設計擬實施審計程序的性質、時間和范圍時，為了避免既定思維對審計方案的限制，避免對審計效果的人為干涉，從而使得針對重大錯報風險的進一步審計程序更加有效，注冊會計師要考慮使某些程序不被審計單位管理層預見或事先了解。(4)首次提出了兩種總體方案和進一步審計程序的概念。兩種總體方案分別為實質性方案和綜合性方案，實質性方案是指注冊會計師實施的進一步審計程序以實質性程序為主；綜合性方案是指注冊會計師在實施進一步審計程序時，將控制測試與實質性程序結合使用。而所謂的進一步審計程序是相對風險評估程序而言的，是注冊會計師針對評估的各類交易、賬戶余額、列報認定層次重大錯報風險實施的審計程序，包括控制測試和實質性程序。(5)重新界定了注冊會計師實施控制測試的兩種情形，當存在下列情形之一時，注冊會計師應當實施控制測試：在評估認定層次重大錯報風險時，預期控制的運行時有效的；僅實施實質性程序不足以提供認定層次充分、適當的審計證據。(6)強調了實施控制測試獲取審計證據的重要性。即認為僅實施實質性程序獲取的審計證據無法將認定層次重大錯報風險降至可接受水平，注冊會計師應當實施相關的控制測試，以獲取控制運行有效性的審計證據。(7)增加了“重新執(zhí)行”的控制測試取證方法。根據第1301號審計證據準則，注冊會計師獲取審計證據的具體程序中將六種具體的取證方法修改為八種，即檢查記錄或文件；檢查有形資產；觀察；詢問；函證；重新計算；重新執(zhí)行；分析程序。其中增加了“重新執(zhí)行”控制測試的取證方法。(8)嚴格限制了注冊會計師無限期或過長時間內不實施測試的做法。如果擬信賴的控制自上次測試后未發(fā)生變化，且不屬于旨在減輕特別風險的控制，注冊會計師應當運用職業(yè)判斷確定是否在本期審計中測試其運行有效性，以及本次測試與上次測試的時間間隔，但兩次測試的時間間隔不得超過兩年。(9)首次明確區(qū)分“控制運行的有效性”與“控制是否得到執(zhí)行”。注冊會計師在了解被審計單位及其環(huán)境時需要實施風險評估程序。注冊會計師在確定控制是否得到執(zhí)行而實施的某些風險評估程序可能提供有關控制運行有效性的審計證據。注冊會計師可以考慮在評價控制設計和獲取其得到執(zhí)行的審計證據的同時測試控制運行有效性，以提高審計效率。兩者的區(qū)別如(表1)所示。(10)首次明確期中進行控制測試的考慮。如果注冊會計師在期中實施控制測試程序，即使注冊會計師已獲取有關控制在期中運行有效性的審計證據，仍然需要考慮如何能夠將控制在期中運行有效性的審計證據合理延伸至期末，以確保針對期中至期末這段剩余期間獲取充分、適當的審計證據。如果已獲取有關控制在期中運行有效性的審計證據，并擬利用該證據，注冊會計師應當實施下列審計程序：首先，獲取這些控制在剩余期間變化情況的審計證據。針對期中已獲取過審計證據的情況，如果這些控制在剩余期間沒有發(fā)生變化，注冊會計師可能決定信賴期中獲取的審計證據；如果這些控制在剩余期間發(fā)生了變化，注冊會計師需要了解并測試控制的變化對期中審計證據的影響。其次，確定針對剩余期間還需獲取的補充審計證據。針對期中已獲取過審計證據的情況，如果這些控制在剩余期間發(fā)生了變化，注冊會計師應當考慮下列因素：評估的認定層次重大錯報風險的重大程度。評估的重大錯報風險對財務報表的影響越大，注冊會計師需要獲取的剩余期間的補充證據越多；在期中測試的特定控制。如對自動化運行的控制，注冊會計師更可能測試信息系統(tǒng)一般控制的運行有效性，以獲取控制在剩余期間運行有效姓的審計證據；在期中對有關控制運行有效性獲取的審計證據的程度。如果注冊會計師在期中對有關控制運行有效性獲取的審計證據比較充分，可以考慮適當減少需要獲取的剩余期間的補充證據；剩余期間的長度。剩余期間越長，注冊會計師需要獲取的剩余期間的補充證據越多；在信賴控制的基礎上擬減少進一步實質性程序的范圍。注冊會計師對相關控制的信賴程度越高，通常在信賴控制的基礎上擬減少進一步實質性程序的范圍就越大。在這種情況下，注冊會計師需要獲取的剩余期間的補充證據越多；控制環(huán)境。在注冊會計師總體上擬信賴控制的前提下，控制環(huán)境越薄弱(或把握程度越低)，注冊會計師需要獲取的剩余期間的補充證據越多。(11)明確了實質性程序概念和內容。實質性程序是指注冊會計師針對評估的重大錯報風險實施的直接用以發(fā)現認定層次重大錯報的審計程序。包括對各類交易、賬戶余額、列報的細節(jié)測試以及實質性分析程序。(12)明確了對于特別風險的專門應對程序。如果認為評估的認定層次重大錯報風險是特別風險，注冊會計師應當專門針對該風險實施實質性程序；如果針對特別風險僅實施實質性程序，注冊會計師應當使用細節(jié)測試，或將細節(jié)測試和實質性分析程序結合使用，以獲取充分、適當的審計證據。(13)首次提出了是否在期中實施實質性程序。注冊會計師如果在期中實施了實質性程序，仍然需要消耗進一步的審計資源使期中審計證據能夠合理延伸至期末，注冊會計師應當考慮是否在期中實施實質性程序。(14)指明了財務報表審計是一個累計和不斷修正的過程。隨著計劃的審計程序的實施，如果獲取的信息與風險評估時依據的信息有重大差異，注冊會計師應當考慮修正風險評估結果，并據以修改原計劃的其他審計程序的性質、時間和范圍。(15)明確了注冊會計師應當針對評估的風險設計細節(jié)測試。如在針對存在或發(fā)生認定設計細節(jié)測試時，注冊會計師應當選擇包含在財務報表金額中的項目，并獲取相關審計證據；針對完整性認定設計細節(jié)測試時，注冊會計師應當選擇有證據表明應包含在財務報表金額中的項目，并調查這些項目是否確實包括在內。(16)明確了審計工作記錄要求。注冊會計師應當針對評估的重大錯報風險實施的程序進行充分的審計工作記錄。包括記錄：對評估的財務報表層次重大錯報風險采取的總體應對措施；實施進一步審計程序的性質、時間和范圍；實施進一步審計程序與評估的認定層次重大錯報風險的聯(lián)系；實施進一步審計程序的結果。

(四)第1301號準則 第1301號準則是在借鑒國際審計與鑒證準則第500號的基礎上，對我國原有的《獨立審計準則第5號――審計證據》進行修訂而形成的。此次重大修訂的內容有：(1)拓展了審計證據的內涵。原審計證據準則將審計證據定義為“注冊會計師在執(zhí)行審計業(yè)務過程中，為形成審計意見所獲取的證據”。原審計證據準則對審計證據的內涵界定比較窄，注冊會計師收集

的審計證據更多體現的是與財務報表會計記錄相關的信息。修訂后審計證據準則將審計證據定義為“注冊會計師為了得到審計結論、形成審計意見而使用的所有信息”。新審計證據準則對審計證據的內涵要寬泛得多，不僅包括與財務報表會計記錄相關的信息，還包括其他信息。如(圖1)所示。

其中，第一類審計證據是“財務報表依據的會計記錄中含有的信息”。會計記錄中含有的信息是最基本信息。構成了財務報表最主要的內容，一般包括對初始分列的記錄和支持性記錄，如支票、電子資金轉賬記錄、發(fā)票、合同、總賬、明細賬、記賬憑證和未在記賬憑證中反映的對財務報表的其他調整，以及支持成本分配、計算、調節(jié)和披露的手工計算表和電子數據表。第二類審計證據是“其他信息”。其他信息是用來印證會計記錄中含有的信息是否真實、完整，指導注冊會計師如何識別、評估財務報表重大錯報風險，一般包括：注冊會計師從被審計單位內部或外部獲取的會計記錄以外的信息，如被審計單位會議記錄、內部控制手冊、函證函的回函、分析師的報告、與競爭者的比較數據等；通過詢問、觀察和檢查等審計程序獲取的信息，如通過檢查存貨獲取存貨存在性的證據等；自身編制或獲取的可以通過合理推斷得出結論的信息，如注冊會計師編制的各種計算表、分析表等。(2)引進了“認定”的概念。原審計證據準則未將“認定”寫進準則，整個審計準則體系對“認定”概念重視不夠，新審計證據準則引入“認定”概念，并要求注冊會計師詳細運用認定指導具體審計目標，根據具體審計目標來設計和確定進一步審計程序。(3)將獲取審計證據的程序區(qū)分為總體程序和具體程序。原審計證據準則只列了六種具體的取證方法。修訂后的審計證據準則將注冊會計師獲取審計證據的程序區(qū)分為總體程序和具體程序，總體程序增加了風險評估程序，即包括風險評估程序、控制測試和實質性程序；具體程序中將六種具體的取證方法修改為八種，具體包括的內容前文已述及。其中，將“監(jiān)盤”程序進行細分，因為“監(jiān)盤”是“檢查記錄或文件”、“檢查有形資產”、“觀察”等具體審計程序的復合程序；增加“重新執(zhí)行”具體程序；將原來的“計算”和“分析性復核”分別修改為“重新計算”和“分析程序”。(4)新增風險評估程序。根據風險導向審計準則體系的要求，注冊會計師應當通過了解被審計單位及其環(huán)境識別重大錯報風險，并針對評估的重大錯報風險設計和實施進一步的審計程序，因此，在修訂后的審計證據準則中增加“風險評估程序”，以此為手段通過了解情況作為評估財務報表層次和認定層次重大錯報風險的基礎。但風險評估程序并不能識別出所有的重大錯報風險，雖然它可作為評估財務報表層次和認定層次重大錯報風險的基礎，但并不能為發(fā)表審計意見提供充分、適當的審計證據。為了獲取充分、適當的審計證據，注冊會計師還需要實施進一步程序，包括實施控制測試(必要時或決定測試時)和實質性程序。(5)新增“重新執(zhí)行”的具體審計程序。重新執(zhí)行是指注冊會計師以人工方式或使用計算機輔助審計技術，重新獨立執(zhí)行作為被審計單位內部控制組成部分的程序或控制。如注冊會計師利用被審計單位的銀行存款日記賬和銀行對賬單，重新編制銀行存款余額調節(jié)表，并與被審計單位編制的銀行存款余額調節(jié)表進行比較。

三、審計風險準則對注冊會計師的影響

(一)對注冊會計師審計理念的影響注冊會計師審計的主線始終是對重大錯報風險的識別、評估與應對。注冊會計師為了實現審計目標。在計劃和實施審計工作時，應當保持職業(yè)懷疑態(tài)度，充分考慮可能導致會計報表發(fā)生重大錯報的情形。在審計和實施進一步審計程序時，注冊會計師應當將審計程序的性質、時間及范圍與識別和評估的風險相聯(lián)系，以防止機械利用程序表從形式上迎合獨立審計準則對審計程序的要求。注冊會計師必須針對重大的各類交易、賬戶余額、列報和披露實施實質性測試。注冊會計師對重大錯報風險評估是一種判斷，并且內部控制存在固有限制，無論評估的重大錯報風險結果如何，注冊會計師必須針對重大的各類交易、賬戶余額、列報和披露實施實質性程序，不得將實質性測試只集中在例外事項上。

篇5

自20世紀80年代起，隨著對風險評估問題研究的不斷深入，出現了多種風險評估方法和標準。但是，這些方法和標準一般都是針對大型機構或部門的信息系統(tǒng)設計，用于實施風險評估，往往工作量較大，無法適用于中小型信息系統(tǒng)。

因此，在已知的大量實際案例中，風險評估的實施往往沒有采用經典的由威脅、脆弱性、資產組成的標準模型，而代之以最佳實踐法、資產評估法、基于場景的分析法等方法。其中，最佳實踐法側重于分析對不同類別資產所采取的安全措施；資產評估法重點關注資產在組織層面的價值；基于場景的分析法則依靠測試和分析典型風險場景來實現風險評估。這些方法的問題包括：1、評估過程花費昂貴且耗時過長，評估結果無法及時反應信息系統(tǒng)風險狀態(tài)；2、安全措施的選擇往往并非基于風險模型，而是基于由最佳實踐得出的安全措施清單，無法科學地反映被評估系統(tǒng)的問題。

在學術領域，也有不少研究致力于將故障樹、事件樹、馬爾可夫鏈、FMEA等建模技術應用于風險評估模型的構建。如基于DS證據推理的風險評估模型、基于貝葉斯網絡的風險評估模型P]、基于攻擊樹的風險評估模型等。上述方法的共同缺點包括：假設的主觀性較強、風險因素與風險之間關系的識別的復雜性較高、時間較長。

2011年，Lazzerini和Mkrtchyan提出了一種使用具有非線性隸屬函數、條件權重及時延權重的擴展模糊認知圖（E-FCMs)來分析風險因素和風險之間關系的方法，在該文獻中，倆人還提出了一種基于E-FCMs的悲觀方法來評估一個系統(tǒng)或項目整體風險的模型，并通過引入適合于風險分析的特殊圖示對E-FCMs進行了擴展。但是，本文研究的信息安全風險屬于操作類風險，上述方法不能直接用于解決此類風險評估問題。

本文提出了一種基于模糊認知圖（FuzzyCognitiveMaps，FCM)的輕量級風險評估方法，方法包括風險模型構建、風險推理兩部分。其中，模糊認知圖被用于獲取資產間依賴關系，基于模糊認知圖的推理方法被用于將低級資產（如硬件、軟件、信道、人等）的風險整合至高級資產（如服務、數據、業(yè)務流程等）。另外，本文還以一個移動辦公信息系統(tǒng)為例，對方法的應用進行了研究。

2模糊認知圖簡介

Kosko最早通過引入模糊值對認知圖進行擴展，形成了模糊認知圖的概念。大量文獻對模糊認知圖進行了研究[9]，應用范疇包括：系統(tǒng)建模、經濟制度發(fā)展分析、新技術應用、生態(tài)系統(tǒng)分析和醫(yī)學決策支持等。

FCM是一種有向圖，每個節(jié)點表示系統(tǒng)中的一個概念，這個概念可以是系統(tǒng)的事件、目標和趨勢等，整個模型包含一組概念C={c1,...,c?}；有向邊表示節(jié)點間的因果關系。每個概念節(jié)點具有各自的激活水平值，激活水平值一般為[0,1]或[-1,1]的實數，系統(tǒng)狀態(tài)是各節(jié)點激活水平值的n維向量(《=|C|)。

在FCM中，節(jié)點間因果關系由邊和邊的權重表示。連接兩個節(jié)點C和Cj的邊的權重為正，表示c增長將引起C]增長，權重為負則表示c增長將引起c]減小。最簡單的FCM僅以值-1,0或1作為邊權重，在圖中分別用負號㈠邊、沒有邊、正號㈩邊表示。為了更精確地定義因果關系，一般會用語言值（如強烈否定、否定、偏否定、中立、偏肯定、肯定、強烈肯定）表示權重，計算時再將這些語言值均勻映射到區(qū)間上。

FCM中各節(jié)點間的因果關系可以用_的影響力矩陣￡=[%]表示，矩陣元素代表連接節(jié)點ct和c3的邊權重；若兩節(jié)點間無因果關系，則用0值表示。圖1是一個FCM的例子，Cl,C2,C3,C4,C5,C6為概念節(jié)點，

帶語言值權重的邊表示節(jié)點間的影響力。影響力矩陣E為：語言值對應的數值選擇沒有確定的規(guī)則，在此采用將語言值均勻映射至區(qū)間[-1,1]的選擇方式，得到對應的數值為-1,-0.66,-0.33,0,0.33,0.66,1。3基于模糊認知圖的風險評估方法各類風險評估標準中均對風險評估的方法的使用方式等有所描述。本文方法與上述方法的主要區(qū)別在于，利用FCM模型能夠方便快捷地獲取資產間的相互影響，并能夠在風險的聚合過程中對資產間依賴關系的變化實現追蹤。

3.1概念模型

在圖2所示的被測信息系統(tǒng)概念模型中，各項資產按其相互關系被連接形成一個資產增值樹。其中，低級資產為其上級資產提供服務，頂部節(jié)點一關鍵業(yè)務進程由系統(tǒng)業(yè)務確定。各資產間的依賴關系在圖中通過箭頭表示，如圖所示：關鍵業(yè)務進程的效用取決于其使用的數據和服務；數據的可用性由數據源（用戶、外部數據提供者）提供；服務則依賴于軟件、硬件和信道，同時與人員、物理基礎設施（建筑物、房間、電力設施）和外部服務（如PKI)等相關。同時，各節(jié)點被賦予一定的安全效用值，效用值是資產的完整性、可靠性、可用性等各種安全屬性的集合。低級資產效用值的變化將影響到使用它們的高級資產。

與關注于攻擊行為或威脅的方法（如攻擊樹法）不同，本文選擇了基于資產的威脅識別方法。在如圖3所示的風險基本模型中，資產的效用值可能受威脅的影響而降低，威脅對資產的負面影響可以通過適當的安全措施加以補償，安全措施本身只能降低風險，而不能增加資產的效用值。圖3資產、威脅及安全措施之間的關系

最后，在安全分析的眾多領域，被評估風險的大小均與風險可能導致的經濟損失有關。作為風險狀況的體現，造成損失較小的事件，若數量超過一定值，也需要考慮其效果的累積。

另外，對生命體征監(jiān)測、航天、鐵路管理等安全關鍵系統(tǒng)而言，部分故障應被視為無法量化的災難性損失，在評估實施中，應被視作停止系統(tǒng)運行的條件。本文將討論的移動辦公信息系統(tǒng)，安全性要求較為靈活，不將其視為安全關鍵系統(tǒng)。

為了便于評估的實施，本文作出如下定義：

⑴效用值：一種被賦予資產的數值，取值范圍為[-1,1]；

⑵風險：與資產相關，預設效用值與推理過程結束時計算出的效用值之間的差值。

3.2 基于模糊認知圖的風險評估流程

本文的風險評估流程如圖4所示。圖中圓角矩形表示流程中的各個環(huán)節(jié)，實線矩形表示輸入輸出信息，虛線矩形表示各流程產生的中間結果。

本文基于模糊認知圖的風險評估方法由以下六步組成：1、資產識別：此步驟的輸入為項目文檔、設計方案等能夠體現系統(tǒng)現狀和體系結構的文件，以及與方案設計人員等的面談記錄。輸出為系統(tǒng)的資產列表，包括關鍵業(yè)務、服務、數據、軟件模塊、硬件、信道、外部數據及服務提供者，以及相關人員及辦公場所等。2、構建資產增值樹：此步驟的目的是評估低級資產（硬件、軟件、信道等）對高級資產（服務和數據）的影響。影響力的大小由與系統(tǒng)建設方討論確定的語言值來描述。為便于后續(xù)推理的實施，此步得出的資產增值樹將被表示為FCM影響力矩陣的形式。3、威脅識別：此步驟可使用常見的威脅分類方法(如基于本體），也可根據被評估系統(tǒng)的資產分類來識別威脅。本文采用以資產為基礎的威脅識別方法，即所有威脅均針對特定資產。4、單項資產風險評估：此步驟將調査問卷作為基本工具，要求相關人員回答與安全措施相關的問題，同時采用由信息安全領域最佳實踐得出的安全措施列表，并對其進行篩選修改，使其適用于特定資產。此步驟的輸出是資產的風險值（歸一化至[0,1]的實數)。5、風險聚合：此步用FCM推理完成，體現低級資產的風險如何累積影響高級資產的風險狀況。此步還包括FCM影響矩陣規(guī)范化等其他準備工作。6、結果解析：根據以上計算所得結果，給出系統(tǒng)關鍵風險的判斷并給出安全措施等的建議。

3.3風險聚合一一模糊認知圖推理過程

用FCM進行推理的關鍵在于構建狀態(tài)序列：a=j(0)j(1),...j(蛛...，該序列以節(jié)點激活水平值的初始向量為起點，根據下式算出序列的后續(xù)元素：為(+1)=S,(VA.㈨）（2)第(k+1)輪迭代是將矢量A(k)與影響力矩陣E相乘，然后通過一個激活函數將所得到的節(jié)點激活水平值映射到預設的范圍內。

激活函數的選擇與計算模型密切相關，尤其是映射的區(qū)間范圍以及使用的是連續(xù)值還是離散值。本例中，矢量A(k)與各元素絕對值均小于1的n維方陣E相乘，其結果應為一個各元素值均在[-?,?]范圍內的向量。因此，激活函數需要滿足條件：1、在此區(qū)間內的值應被映射至[-1,1](或[0,1])區(qū)間；2、應是單調函數，并滿足S(0)=0(或S(0)=0.5)。在本文后續(xù)的方法應用中，將采用以下兩種激活函數：

通常，狀態(tài)序列a=A(0XA(1),...^4(處...可無限延展。然而，研究表明，在k次迭代后(k是一個接近矩陣E的秩的數字），序列將達到一個穩(wěn)定狀態(tài)或產生循環(huán)。因此，當推理算法滿足下式要求時可停止迭代：2 j<k:d(((k),A(j))<￡ (5)其中d是距離，e是一個很小的閾值，如10_2。狀態(tài)序列a代表了一個非單調的模糊推理過程，推理序列的穩(wěn)定狀態(tài)是推理結果。本文的風險聚合過程，就是利用了此推理過程。

4移動辦公信息系統(tǒng)風險評估實例

本節(jié)將以某移動辦公信息系統(tǒng)為例，對本文方法的實施過程及結果進行研究。

4.1 移動辦公信息系統(tǒng)介紹

隨著移動互聯(lián)網技術的發(fā)展成熟，各行各業(yè)的移動辦公業(yè)務需求不斷增長，出現了大量移動辦公建設案例。移動辦公信息系統(tǒng)的主要應用模式是通過移動終端從業(yè)務服務器下載各類業(yè)務應用數據，支持移動辦公現場業(yè)務實施；在上述業(yè)務流程中，廣泛的信道支持（WiFi、廣域網、移動運營商網絡等）為其提供了高度的靈活性，TLS等加密協(xié)議可以為其提供數據傳輸的安全性。移動辦公人員的地理位置信息等可作為數據庫査詢的依據，査詢結果根據辦公人員使用終端類型的不同（個人電腦、平板電腦、智能手機等），用不同的形式自動發(fā)送給現場辦公人員。另外，從現場采集到的業(yè)務相關數據信息作為業(yè)務數據庫的信息來源被上傳并存儲在數據庫中，為后續(xù)的數據統(tǒng)計、業(yè)務決策等提供信息支持。

系統(tǒng)中通常也具備為業(yè)務管理人員設計的特殊模塊，使其能夠對系統(tǒng)進行參數配置。此外，系統(tǒng)一般還能夠接收其他符合行業(yè)數據標準的其他信息系統(tǒng)提供的數據。

系統(tǒng)體系結構如圖5所示，(1)移動客戶端（智能手機）收集原始數據，通過互聯(lián)網HTTPS安全通信協(xié)議，經(3)SSL認證網關初步驗證，并加密發(fā)往⑷應用服務器。應用服務器運行系統(tǒng)的主控邏輯，負責授權、數據驗證、生成通知，以及與(5)數據庫服務器和(6)數據分析服務器之間的通信。數據分析服務器負責完成業(yè)務數據的統(tǒng)計分析工作。

4.2 資產識別

本例的資產識別階段，主要實施方式是組織由被測單位信息部門相關人員參加的訪談及會議，通過對現有的項目文檔進行研究，對系統(tǒng)結構進行討論，明確系統(tǒng)信息安全風險評估所涉及的資產。經研討，此系統(tǒng)的資產包括：

1、業(yè)務過程：現場巡査、業(yè)務信息檢索、業(yè)務信息存儲、分析結果獲??；

2、服務：數據存儲和檢索、數據傳輸、數據分析；

3、數據：現場巡査采集數據、遙感影像數據、配置數據；

4、軟件模塊：認證、業(yè)務應用、資源數據庫、移動辦公客戶端、固網客戶端、數據分析軟件；

5、硬件模塊：認證服務器、應用服務器、數據庫服務器、數據分析服務器、智能手機及固網用戶主機；

6、信道:通過WLAN、LAN和3G等構建的外部網絡（HTTPS協(xié)議)，內部辦公網絡(HTTP協(xié)議）；

7、人員：移動辦公用戶、固網辦公用戶、技術人員；

8、其他：由第三方提供的基礎設施（通信線路、電力線路)。

4.3 構建資產增值樹

圖6為本系統(tǒng)的資產增值樹，圖中各節(jié)點就是前一步中識別出的資產，業(yè)務過程依賴于軟件和硬件模塊所提供的服務，并與系統(tǒng)中存儲及交換的數據相關。圖中資產間的相互關系從系統(tǒng)體系結構的角度考慮確定，邊的權重值則根據與系統(tǒng)使用維護人員的訪談確定。權重確定后，即可將其描述為FCM影響力矩陣的形式，本例中用于描述的語言值為：高、明顯、中、低、無。例如，現場巡査業(yè)務受數據存儲和檢索、數據傳輸兩項服務的高度影響，受數據分析服務的明顯影響。

4.4 威脅識別

目前，在信息安全風險評估中，對威脅的識別一般基于以往經驗提供的對攻擊源的認知。根據以往經驗，在本例中，要考慮的所有威脅，可根據其影響的資產類型分為11類，分別為：（1)過程類，如設計缺陷；(2)軟件類，如質量缺陷、缺乏維護、惡意軟件；（3)硬件類，如質量缺陷、能量耗盡；（4)通信類，如協(xié)議缺陷、服務中斷；（5)數據類，如破壞機密性、破壞完整性；（6)外部服務類，如有無PKI等安全基礎設施；（7)外部數據類，如數據接口錯誤；（8)基礎設施類，如場地、電力、空調；（9)人員類，與移動辦公用戶、固網辦公用戶和技術人員相關的威脅；（10)自然災害類；（11)經濟條件，法律等。

4.5 單項資產風險評估

此環(huán)節(jié)工作包括兩方面內容脆弱性分析和安全措施有效性分析。在實施方式上，此部分評估采用能夠反應最佳實踐的問卷調査的形式。針對此次的被評估系統(tǒng)，關于威脅與安全措施的調査問卷共針對11組資產設計了約140個問題。

表1為與移動辦公客戶端相關的風險評估調査問卷。問題根據各類資產的最佳安全實踐確定，每個問題涉及一項安全特性。各項問題均根據其對資產整體風險的影響被賦予問題權重^。每個問題最多給出三個答案，各答案均被賦予代表其對資產風險影響程度的風險影響系數qije[0,1]。問題權重W,_及風險影響系數qy利用專家法由專家評分決定。這些權重信息對被調査人員是不可見的。表中星號項為此次問卷調査的回答結果。

至此,資產S的風險值RS可通過將ks個問題a(i=1,...,ks)的答案ay代入式(6)得出。值1和0分別表示是或不是某項答案，即若問題i的答案是答案.則%=1，否則％=0。

其中，w是歸一化因子。計算可得，移動辦公客戶端的資產風險值Rs=0.404，風險值不為0，表明資產面臨的威脅不能完全被安全措施控制。

采用上述方法，計算所有低級資產的單項資產風險值，可明確系統(tǒng)中風險值為高、中、低的各類資產，并對高風險資產采取針對性安全措施。

在實際操作中，問卷調査內容的設計過程與模糊認知圖的構建過程是同步進行的，問卷中的權重值w,即反映了FCM圖中影響值的大小，以數據資產“現場巡査采集數據”為例，在與其有因果關系的下級資產(移動辦公客戶端、智能手機、移動辦公用戶）的問卷調査中，選擇可能影響上級資產的問題，取其權重的均值，即得到其影響值。

4.6 風險聚合

針對業(yè)務過程、服務、數據等高級資產類別，由于其自身的復雜性，無法采用4.5節(jié)中的問卷調査方式實施風險評估，因此，本文采用FCM推理實現的風險聚合來完成高級資產的風險計算。

在計算前需先進行影響力矩陣的歸一化操作。本例中，原始矩陣用5個語言值（高、較高、中、低、無）來描述，分別對應影響力值{1,0.75,0.5,0,25,0}。對每一行i=1,...,n,影響力值的歸一化可按下式完成：

其中，且m是一個正常數（實際計算中常使用m=1.0)。上述歸一化過程給出了一個概率分布。假設的分布形式源于博弈論，假設高級資產ah受低級資產an,...,aik的影響，影響系數為em,…,em。如果攻擊者選擇從一個低級資產發(fā)起攻擊，那么它應該在能夠影響ah的低級元素中選擇影響力eMm最高的元素am但是，攻擊者對影響力可能作出錯誤的估計。由此所得的攻擊行為概率與錯誤估計的分布相關，而錯誤估計一般沒有明顯的規(guī)律。因此，假設錯誤估計服從雙指數分布，就可得到式(7)給出的logit(對數成敗比率）模型。

最終，聚合風險的計算需要通過連續(xù)使用FCM狀態(tài)方程(2)，構建兩個向量序列：無風險序列anr的初始向量為A^(0),在此向量中,表述資產風險屬性的所有向量元素都被置為1。而風險序列d的初始向量A\0)是資產風險屬性向量A10)與式(6)計算出的風險值RA的差，艮P:Ar'(0)=A'(0)-R4。最后，將anr和d中的相應元素相減，即R(i)=Anr(i)-Ar(i)，即可得到聚合風險值序列p=R(0),...,R(i),...。此序列將收斂于表示資產聚合風險的數值。

圖7為系統(tǒng)中數據、服務、業(yè)務進程三組資產的風險計算的結果。結果分別采用式(3)和式(4)定義的激勵函數S-(圖(a))和SeXp(圖(b))得到。對于函數SeXp，式中常數m的值采用2.0。結果比較表明，兩個函數的計算結果趨勢一致。

   4.7結果解析分析表明，低級資產的風險會影響高級資產。在本文的評估實例中，大量資產（如移動客戶端）的風險是由于系統(tǒng)尚未部署在實際生產環(huán)境中，實驗環(huán)境下大量安全措施（PKI、UPS、物理訪問控制措施等）尚未部署所導致的。在實際部署中，需要將這些安全措施啟用。

5結束語

篇6

1995年，英國巴林銀行倒閉在世界范圍內引起軒然大波。這家百年老店，卻由于年僅28歲的交易員尼克?里森在新加坡期權市場交易中的違規(guī)操作導致破產。近十年后，在新加坡市場上，中國航空油料（新加坡）股份有限公司也申請破產。中航油（新加坡）于2001年在新加坡成功上市，一度被業(yè)界捧為神話。在公司總裁陳久霖的帶領下于2003年初開始做石油衍生品交易獲利，且一發(fā)不可收拾，最終因導致公司虧損達554億元之巨。不難發(fā)現，兩者的失敗有很多相似之處，本文從公司內部控制的角度出發(fā)對兩者進行比較分析，以期對當今公司的內控與風險管理提供教訓與警示意義。

二、兩大事件內部控制比較分析

1992年，美國反虛假財務報告委員會（通常稱Treadway委員會）下屬COSO委員會，了《內部控制―整合框架》的研究報告，把內部控制整體框架的要素定義為：控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)督五個緊密聯(lián)系的部分。我們從內部控制的五個要素出發(fā)對兩大事件進行對比分析。

（一）控制環(huán)境存在的問題。巴林銀行，這樣一個老牌企業(yè)，管理層的管理哲學、經營理念實在讓人不敢恭維，一方面巴林銀行一直認為雇傭的員工都是值得信賴的，其實不然，人都是自利的而且人的自利行為得靠制度約束。再者，管理層存在投機心里，過度相信里森。另外，時任巴林銀行董事長彼得?巴林曾經表示由于資產負債表本身是反映的過去而不具有決策價值。

“中航油”是中國航空油料控股公司（下稱“集團公司”）的海外子公司，其控制環(huán)境不同于巴林銀行的是：有著國企的通病。首先，公司內部人控制，陳久霖身兼集團公司副總經理，在新加坡分公司基本上是他一人說了算。其次，陳久霖早期的成功使得集團公司對其十分信任并委以重任，陳久霖由此自我膨脹、剛愎自負，使其自身不受內部控制、監(jiān)督的的制約。

從上述分析可以看出，二者控制環(huán)境區(qū)別主要在于：巴林銀行是員工誠信問題，中航油是管理層不受約束。當然相同之處很明顯，二者都存在過度投機心理，卻缺乏風險意識。

（二）風險評估存在問題。巴林銀行長期以來的優(yōu)越感，使得管理層缺乏風險意識，對風險管理機制不重視。首先，不能有效的識別風險，巴林銀行原有一個錯誤賬戶，而里森所在新加坡分公司又設立一個錯誤賬戶，很明顯的風險事項卻被管理層忽略。其次，風險水平不受限制，期貨交易具有高風險，而公司卻對此沒做相關規(guī)定，到了后來，倫敦按照里森的要求每天匯入1000萬英鎊，公司卻從不質疑。

中航油同樣存在風險評估問題。第一從風險識別上看，作為公司總裁的陳久霖對期貨交易的風險可定是熟知的，但是他的賭博性讓他不顧風險，妄求收益。第二，風險水平上看，大量的買進期貨合約，風險水平大大超過了可承受范圍。第三，風險應對機制上看，當時的賬面虧損已經達到8000萬美元，而且管理層已經認識到問題的嚴重性，但是卻沒有采取必要的風險應對措施，任由陳久霖一意孤行，直至公司申請破產。

從上述分析，二者區(qū)別主要在于：巴林銀行是對風險不能有效識別，中航油是不顧風險孤注一擲。相同之處，二者風險管理機制都不健全。

（三）控制活動存在問題。巴林銀行，里森身兼交易員與清算員，不合理的崗位設置為其掩蓋交易失誤提供方便。同時，對于高風險的期貨交易，巴林銀行缺乏有效的控制活動，里森每天要求倫敦匯入1000萬英鎊，公司還能審批且不深究。

中航油控制活動的失效表現在兩方面，一方面是公司編制有《風險管理手冊》，規(guī)定損失超過500萬美元就要上報集團公司，當陳久霖在獲悉出現580萬美元的賬面虧損后，卻不斬倉上報，而是繼續(xù)加大買入。從上述對比看出，二者控制活動主要區(qū)別：巴林銀行缺乏有效的控制活動，中航油是控制活動難以執(zhí)行。相同點是二者均設有不相容崗位。

（四）信息與溝通。巴林銀行的破產與“88888”賬戶的違規(guī)使用密切相關。總部與里森所負責的新加坡分公司溝通失效，導致“88888”賬戶一直存在，且賬戶信息里森一個人知道。里森為了維護其光榮的地位，對于自己的失誤和員工的失誤隱瞞不報，信息沒有很好的傳遞到倫敦總部。

而中航油則是由于陳久霖盲目自大、專權獨斷，阻止虧損信息的傳遞。中航油新加坡公司海外市場進行石油衍生品的交易，本身違背了國家有關國企海外衍生金融工具的相關規(guī)定。但是，由于航油新加坡公司和集團公司之間的信息溝通不順暢，財務信息失真，使得母公司在一年以后才知道此違規(guī)操作。

基于上述分析，二者信息與溝通的主要區(qū)別：巴林銀行是由于溝通失誤，員工隱瞞信息，中航油是由于管理者阻止信息的傳遞。相同之處是，二者都是還怕失去已有的光環(huán)，一錯再錯。

（五）監(jiān)督。里森違規(guī)操作兩年多的時間，巴林銀行總部內部監(jiān)督部門卻一直沒有發(fā)現。而且在一次內部審計中，對于5000萬英鎊存款的造假，卻從不函證其真實性。中航油設計的內部監(jiān)督相對來說是比較完善的，卻實質受陳久霖領導，缺乏獨立性。另外，集團公司派來的財務經理被外調他用。

從上述分析看出，二者監(jiān)督過程的區(qū)別：巴林銀行的監(jiān)督機制松散無實際作用，而中航油的監(jiān)督機制不具獨立性，形同虛設。相同之處在于，監(jiān)督機制的無作為是罪魁禍首。

三、結論與啟示

通過對兩大事件的內部控制問題的比較分析，我們不難發(fā)現，二者的失敗主要在于對風險管理的缺乏，監(jiān)督機制失靈。所以，如今“企業(yè)管理就是風險管理”的說法是有一定道理的。據此，本文總結兩點啟示。

篇7

一、企業(yè)稅務風險管理體系構建依據的理論問題

理論是行動的指南，沒有理論指導的實踐是盲目的實踐。企業(yè)要構建一個科學、合理、操作可行的稅務風險管理體系，首先就得掌握稅務風險管理的相關理論。這些相關理論分別是：

1.全面風險管理理論

全面風險管理是一種站在整個企業(yè)的角度進行的整體化風險管理。其核心思想為，企業(yè)風險來源于多方面，因而最終能夠對企業(yè)產生影響為一系列風險共同作用所產生的結果。因此，從整體角度對企業(yè)所面臨風險進行全面管理方可對其進行最為有效的風險管理。當前應用最為普遍的全面風險管理理論與方法包括以下兩大類：其一為TRM，即全面風險管理理論，該理論以風險決策因素為基礎，將風險管理策略的概率、偏好及價格此三因素概念引入，并提出實現此三要素的最佳平衡是風險管理的最終目標。但該理論當前缺乏實踐；其二為ERM，即以組織結構體系為基礎的全面風險標準化度量的風險管理。該方法基于企業(yè)整體系統(tǒng)這一角度對結構內部各個層次業(yè)務單位及業(yè)務環(huán)節(jié)進行通盤管理，從而實現對企業(yè)風險的全面有效管理。它與TRM理論相比，可操作性更強，得到了業(yè)界多數人的認可和采納。該方法包括了內部環(huán)境、目標識定、事項識別、風險評估、風險應付、控制策略、信息與溝通、監(jiān)察等八個方面的具體內容。

2.危機管理理論

美國學者史蒂芬•芬克（StevenFink）早在1986年就提出危機管理就是規(guī)避風險的藝術的觀點。羅伯特•希斯（RobertHeath,2004）在其專著《危機管理》（第二版）一書中，認為危機管理包括對危機事前、事中及事后的管理，這也是目前學術界普遍認同的觀點。具本來說，危機的事前管理又包括風險規(guī)避、危機管理員預案、信號偵測及危機預警等步驟、內容，事中管理又包括危機情境、溝通與協(xié)作及危機決策與行動等步驟、內容，事后管理又包括評價學習與變革發(fā)展等步驟、內容。同時羅伯特•希斯還提出了危機管理的“4R”模型，即將危機管理過程分為縮減（Reduction）、預備（Readiness）、反應（Response）、恢復（Recovery）四個環(huán)節(jié)，該模型以預備、反應及恢復三個環(huán)節(jié)為核心。具體來說，縮減環(huán)節(jié)主要是進行風險評估，預備環(huán)節(jié)主要包括危機預警系統(tǒng)、危機管理計劃和培訓與演習等內容，反應環(huán)節(jié)又包括確認危機、隔離危機、處理危機及消除危機等步驟、內容，恢復環(huán)節(jié)又包括危機影響分析、危機恢復計劃、危機恢復行動等步驟、內容。風險與危機既有區(qū)別又有聯(lián)系，而且風險可能轉換為危機。風險不等于危機，但風險的存在是危機發(fā)生的前提，只有對風險進行有效的識別、評估和控制管理，才能防范危機的發(fā)生。如果對各種危機熟視無睹，或對已識別到的各項風險未采取有效的應對措施，那么風險就轉換成危機。

二、企業(yè)稅務風險管理的識別與評估體系構建問題

1.企業(yè)稅務風險識別方法體系

所謂企業(yè)稅務風險識別指的是企業(yè)稅務風險管理工作人員在對相關知識與方法加以利用的基礎上對企業(yè)可能發(fā)生的稅務風險加以辨認的過程。風險識別是企業(yè)進行稅務風險評估與應對的基礎。只有對企業(yè)可能存在風險加以識別方能夠針對性地進行相應的風險管理。因此，在企業(yè)的稅務風險管理中，我們必須掌握以下稅務風險識別的方法：

（1）基本方法：稅務風險清單法該方法是運用類似于備忘錄的方式，將可能面臨的各類風險一一列舉出來，并聯(lián)系企業(yè)自身運營情況對這些風險進行綜合分析考察。企業(yè)的決策者和風險管理者依據所列舉的風險清單，對風險及其可能產生的后果作出合理的評估，并探究防止風險的發(fā)生和蔓延的對策。但應注意的是，通常情況下企業(yè)稅務風險清單是基于傳統(tǒng)風險管理方式而設計，因而其僅對純粹風險進行了考慮，而未對投機風險等加以考慮。因此。為避免忽略相關風險事項，企業(yè)還可以根據自身情況或聘請稅務顧問編制出更為全面、具體的稅務風險一覽表，對照該表企業(yè)就能夠比較簡單地識別稅務風險。

（2）輔助方法：財務報表分析法、因果分析法、流程圖法①財務報表分析法此方法主要以企業(yè)財務報表如利潤表、資產負債表以及現金流量表等為依據，對企業(yè)收入、負債、利潤及資產等多方面情況實行風險分析，基于財務角度來對企業(yè)將面臨的潛在納稅風險進行識別。因企業(yè)財務報表中包括了投機風險相關信息，因而可將此方法應用于企業(yè)投機稅務風險的識別。通過資產負債表則可獲取損失暴露相關信息；而通過對利潤表的分析則可對企業(yè)盈虧風險來源以及應繳納稅別加以識別；通過對企業(yè)現金流量表進行分析可對企業(yè)現金流量風險加以識別。與此同時，通過對企業(yè)財務報表相關數據的分析，來對企業(yè)稅收負擔率指標及利潤指標等計算出來，而后對計算結果進行橫向比較，對本企業(yè)相應財務指標同本行業(yè)及企業(yè)的相應指標加以對比分析。若某項指標差異過大，則表明該企業(yè)存在著稅務風險。此外，還可進行縱向比較，通過將本企業(yè)當前變動指標同之前年度平均水平加以對比，對其發(fā)展與變化趨勢進行分析，通過對分析項目是否正常的確定來對該企業(yè)稅務風險的存在與否加以識別。②因果分析法該方法是日本東京大學石川馨教授于1953年在日本川締公司分析影響產品質量因素時提出來的，且取得非常好的效果，進而被推廣。企業(yè)在稅務風險管理實踐中，引發(fā)稅務風險的因素很多，而這些因素往往又錯綜復雜地交織在一起，若想要從根本上應對稅務風險，就必須準確無誤地找出產生問題的根源。而因果分析法，就是通過描繪因果圖，從導致稅務風險的原因出發(fā)，推導出可能發(fā)生結果的一種識別稅務風險的方法。這種方法能夠使得稅務風險管理者清楚、有效地整出稅務風險和各個因素之間的關系，并對其進行分析。③流程圖法此方法是通過生產過程或管理流程來對企業(yè)稅務風險加以識別的一種方法。首先，該方法對企業(yè)生產運營過程根據各個階段順序將其繪制成相應的流程圖，而后對其進行動態(tài)分析合動態(tài)分析。其中，靜態(tài)分析指的是對流程圖中各個環(huán)節(jié)按照順序加以調查，在找出潛在的稅務風險后對其可能產生的后果進行分析；動態(tài)分析則指的是對流程圖各環(huán)節(jié)間的關系進行分析并找出主要納稅環(huán)節(jié)。企業(yè)稅務風險管理工作人員使用動態(tài)分析基本上可對企業(yè)生產運營各環(huán)節(jié)可能存在的稅務風險成功識別，并且此方法對企業(yè)營業(yè)中段以及連帶營業(yè)中段相關稅務風險識別尤為有效。然而流程圖方僅強調事故結果，對損失原因則并不關注。

2.企業(yè)稅務風險評估方法體系

所謂稅務風險評估指的是基于稅務風險識別運用數理統(tǒng)計與概率論的方法對損失發(fā)生概率及大小進行測算，并根據該企業(yè)應對風險的態(tài)度以及風險承受能力來對稅務風險的重要性及其影響程度加以評價的過程。它主要包括評估風險發(fā)生的可能性與評估風險產生的影響后果兩個方面的內容。稅務風險發(fā)生的可能性越大，稅務風險就越高。評估的方法既有定性評估法，也有定量評估法。

（1）定性評估方法這種評估方法適用于稅務風險本身無法進行量比，或不能獲得進行定量分析的足量可靠數據，或對數據進行分析與呈效益相關原則不符合的情況。定性評估的方法比較多，但本文只介紹SWOT分析法。SWOT[Strenth(內部優(yōu)勢)、Weakness（內部劣勢）、Opportunity（外部機會）、Threat(外部威脅)]分析法是將企業(yè)的內部環(huán)境的優(yōu)劣和外部環(huán)境的機會、威脅加以對照，對企業(yè)目前的內部和外部環(huán)境進行初步評估，明確本企業(yè)在市場中的地位，從而制定最優(yōu)戰(zhàn)略，實現企業(yè)的目標。此方法相關理念在近些年才逐漸被用于對企業(yè)稅務風險進行評估，其主要應用于對企業(yè)所處內部稅務環(huán)境與外部稅務環(huán)境加以分析，將不可量化風險對整個企業(yè)的影響程度加以判斷。若企業(yè)內外部稅務環(huán)境均處于良好狀態(tài)時，該企業(yè)所面臨的稅務風險相對較?。欢斊髽I(yè)內外部稅務環(huán)境處于不理想狀態(tài)時，企業(yè)所面臨的稅務風險則相對較大；當企業(yè)內、外部稅務環(huán)境兩者中一個較好、一個較差時，則就需要結合企業(yè)的實際情況來分析。

（2）定量評估方法①風險預警值測算法該方法是根據企業(yè)的財務指標設定風險預警值，測算稅務風險大小的一種方法。指標預警值可依據評估對象規(guī)模大小、所處環(huán)境、資金流向、所面臨風險以及企業(yè)產品類型等具體因素按照不同區(qū)域、不同行業(yè)及不同規(guī)模加以測算，采用數學方法將加權平均值、算數平均值以及合理變動范圍計算出來。在對其預警值進行測算時，應對地區(qū)、類型、規(guī)劃、稅種以及生產經營季節(jié)等諸多因素，將同一行業(yè)、同一規(guī)模以及同一納稅人各種相關指標若干年度平均水平納入考慮范圍，以確保預警值更為準確、真實及具有可比性。②綜合風險指數模型評估法此方法是以稅務風險對各類指數或因素變動敏感度的假設為基礎。作為損失額生成過程，多因素模型試圖將對所有稅務產生系統(tǒng)影響的重要經濟力量提取出來，并將其量化，而后將之代入相應數學模型從而實現數據化，根據此進行評估。企業(yè)稅務風險評估應以多因素、多項目綜合評估為出發(fā)點。因此，可建立下述模型來進行綜合風險評估：V（t）=∑Vit=P1it×S1it+P2it×S2it+……+Pnit×Snit+Eit在上述模型中i=0,1,…，n。我們假設各風險因素其發(fā)生概率P與敏感系數S為可知的。其中，V（t）表示的是t時間內綜合風險指數；而Pnit則表示的是t時間內第i個項目的第n個風險因素的發(fā)生概率；上述模型中Snit表示的是t時間內第i個項目的第n個風險因素其發(fā)生變化對預期收益率的敏感系數；E則表示的是隨機誤差項；i則表示的是風險項目數；式中t表示的是時間，最好以月或半月來算。該指數模型由于加入了時間因素t，因而其為動態(tài)風險評估模型。企業(yè)稅務風險管理人員可根據預期回報率、其自身風險承受能力以及外部環(huán)境變化等相關因素來對當前及未來的一段時間內的風險狀況進行綜合判斷，進而制定出統(tǒng)觀全局的稅務風險管理策略。

三、構建問題分析

所謂企業(yè)稅務風險管理績效評價指的是將企業(yè)稅務風險管理方案實施后實際結果作為依據，在此基礎上對該企業(yè)稅務風險管理手段與方法的適用性、科學性、實際收益等諸多方面加以分析與評價的過程。該評價結果則可作為企業(yè)制定新稅務風險管理規(guī)劃制定的一項參考。因而，企業(yè)要構建科學適用的稅務風險管理績效評價體系稅務風險管理評價人員必須把握以下兩個大的問題：

1.評價步驟

首先應制定相應的績效評價計劃。企業(yè)相關機構應以本企業(yè)具體特點為基礎來確定評價范圍、對象、目標及評價方法，進而制定出相應的計劃，這也是企業(yè)稅務風險管理績效評價極為關鍵的一步。其次是搜集、整理與稅務風險管理有關的資料。在這一階段需要搜集的資料主要包括稅務風險管理措施實施后相關資料、當前國家相關稅收法律及法規(guī)資料、國家相關部門所制定的企業(yè)稅務風險管理措施評價方法及其它稅務風險管理相關資料等。這是必不可少的一步。再次是編制企業(yè)稅務風險管理績效評價報告。相關工作人員應根據國家相關評價格式對本企業(yè)稅務風險管理效果相應的分析結果在匯總的基礎上編制出相應的評價報告，并將評價報告提交至相關委托單位與被評價單位。因評價報告是最終成果，故這一步是非常重要的一步。

2.企業(yè)稅務風險管理績效評價的方法體系

企業(yè)稅務風險管理績效評價的方法體系主要由定量評價的方法與定性評價的方法兩大部分組成。這兩類方法可以有機地結合使用。

（1）定量評價法企業(yè)在固定時段內可通過百分比、金額、罰款或損失次數等對該企業(yè)稅務風險管理績效進行定量評價，評價的指標主要有稅務風險發(fā)生率、損失程度以及管理成本與收益等。在評價時我們不能孤立地使用這些指標數據，需要采用“指標對比法”，將稅務風險管理措施實施后的實際數據或實際情況與實施以前的實際情況或實際數據加以對比，找出其中差異。比如，某企業(yè)將2013年其實施稅務風險管理措施后稅務風險事故發(fā)生所造成的實際損失與2012年進行相應的比較，就可得出其稅務風險管理效果，并可為以后的稅務風險管理提供一些參考。

（2）定性評價法企業(yè)進行稅務風險管理在基于定量評價法的基礎上，還可采取“專題調查法”、“專家評議法”等方法，對企業(yè)稅務風險的管理績效進行定性評價。如調查稅務風險管理效果的評價報告，企業(yè)可以通過召開有關人員參加的會議，廣泛吸取他們對評價報告的不同意見，必將有利于克服稅務風險管理決策中的片面性；對一定時期內企業(yè)的稅務風險管理方案、管理決策的執(zhí)行情況、管理制度的創(chuàng)新以及稅務損失控制等項目進行定性分析與綜合評判時，企業(yè)可以通過聽取有經驗、有能力的稅務專家的意見來分析、評估稅務風險管理績效，得出企業(yè)稅務風險管理水平的等級（優(yōu)、良、中、低、差）。

四、結束語

篇8

風險管理，評估，工程

【中圖分類號】TL372+.3文獻標識碼：B文章編號：1673-8500（2013）04-0009-02

工程項目周期長，耗資大，經常存在多種因素干擾，具有很大的不確定因素，極其容易造成投資決策失誤、建設方案步驟、工期拖延、人身傷亡、財產損失等，這些全部都被成為工程項目的風險因素，為此，工程項目工作人員需要考慮其風險并做好風險評估，提高項目的風險意識，掌握風險識別技術，開展風險評估與分析，及時防范和化解工程風險，對于提高工程建設管理水平和投資效益，都具有特別重要的意義。

1工程項目風險的識別

工程項目中存在風險，首先要對風險進行識別?？梢愿鶕洚a生的背景原因。表現特征以及預期后果，對所有的風險進行科學的分類，以便采取不同的分析方法進行評估，并依此制定出對應的風險管理計劃方案和措施，付諸實施。

2工程項目風險的特性

工程項目有其自身的獨特性，其風險特征可以簡要的分為以下幾類：

一是項目風險的隨機性；

二是項目風險的相對性；

三是項目風險的漸進性；

四是項目風險的階段性；

五是項目風險的突變性。

3工程項目風險的分類

從工程項目風險管理需要出發(fā)，可將工程項目風險分為項目外風險和項目內風險。

3.1工程項目外風險

工程項目外風險即由工程項目建設環(huán)境（或條件）的不確定性而引起的風險，包括：

（1）政治風險。主要是指項目所處的宏觀環(huán)境的局勢穩(wěn)定性，項目建設和運營所受到的法律法規(guī)的約束和政策性調控影響，以及有關項目的審核批準過程中存在的各種不確定性問題。這類風險由下列諸因素引起：一是政府或主管部門對工程項目干預太多，指揮不當。二是工程建設體制、工程建設政策法規(guī)發(fā)生變化或不合理。三是在國際工程中，國家間的關系發(fā)生變化等。

（2）自然風險。自然界氣候的變化、災害的發(fā)生和項目廠址選擇經常遇到的不良地質條件等。不確定性因素，是每個項目都無法避免的。其通常由下列原因引起：一是惡劣的氣象條件。如嚴寒無法施工，臺風、暴雨都會給施工帶來困難或損失。二是惡劣的現場條件。如施工用水用電供應的不穩(wěn)定性，工程不利的地質條件；又如洪水、泥石流等。三是不利的地理位置。如工程地點十分偏僻，交通十分不利等。四是地震。

（3）經濟風險。經濟因素在項目的全壽命周期內長期存在，影響頻率高，交叉作用多見，原因較為復雜。其主要產生于下列原因：一是宏觀經濟形勢不利，如整個國家的經濟發(fā)展不景氣。二是投資環(huán)境差。工程投資環(huán)境包括硬環(huán)境（如交通、電力供應、通訊等條件）和軟環(huán)境（如地方政府對工程的開發(fā)建設的態(tài)度等）。三是原材料價格不正常上漲。如建筑材料不斷攀升。四是通貨膨脹幅度過大，稅收提高過多。五是投資回報期長，屬長線工程，預期投資回報難以實現。六是資金籌措困難等。

3.2工程項目內風險

對工程項目內風險根據技術因素的影響和工程項目目標的實現程度又可對其進行分類。

（1）按技術因素對工程項目的影響，可將工程項目風險分為技術風險和非技術風險。工程項目技術風險是指技術條件的不確定而引起可能的損失或工程項目目標不能實現的可能性。工程項目非技術風險是指在計劃、組織、管理協(xié)調等非技術條件的不確定而引起工程項目目標不能實現的可能性。

（2）根據工程項目目標的實現程度，可將工程項目風險分為進度、技術性能和質量，以及費用風險。工程項目進度風險是指工程項目進度不能按計劃目標實現的可能性。工程項目技術性能或質量風險是指工程項目技術性能或質量目標不能實現的可能性。工程項目費用風險是指工程項目費用目標不能實現的可能性。

4項目風險的分析評估

風險識別的目的在于對各種風險因素評估?；谶@些因素的產生原因和表現規(guī)律差異較大，分析評估的方法也就有所區(qū)別。項目風險評估的內容主要包括風險源發(fā)生的條件、時間、空間、頻率及損失期望值。風險分析與評估的方法按其性質、用途和適用評估對象分為幾種類型：

按性質分為定性、定量及兩者結合的方法，其中定性的方法主要有層次分析法（AHP）和專家評分法（DELPHI）等。

按用途分為：用于風險源分析識別、風險發(fā)生的概率預測、頻率統(tǒng)計分析、風險后果的評估、風險決策、管理計劃和對策的制定等方法。按適用評估對象分為：針對工期、成本、投資、質量、事故（或故障）、合同、管理、匯（利）率、自然氣候、工程地質條件、災害、政策法規(guī)、技術、預測和決策等的分析評估方法。

5有效管理的風險監(jiān)控與風險決策

通過項目風險監(jiān)控，把握工程項目風險的現狀，了解工程項目風險應對措施的實施效果、有效性，以及出現哪些新的風險事件。在風險監(jiān)控的基礎上，應針對發(fā)現的問題，及時采取措施。這些措施包括：權變措施、糾正措施以及提出項目變更申請或建議等。并對工程項目風險重新進行評估，對風險應對計劃作重新調整。

在風險被辨識、估計和分析評價后，就可以考慮各種風險的處理方法。風險的防范手段有多種多樣，主要有：風險回避、風險控制、風險轉移、風險自擔、風險分散、風險合并、風險修正等方法。

以上的風險對策不是互斥的，實踐中常常組合使用。比如在采取措施降低風險的同時，并不排斥其他的風險對策，例如向保險公司投保?？尚行匝芯恐袘Y合項目的實際情況，研究并選用相應的風險對策。

6結語

風險管理的理論已使越來越多的管理者體會到項目的風險管理能夠產生直接的經濟效益。合理地規(guī)避風險，有效地抵御風險的困擾，增強項目抗拒風險的能力，無疑就是在減少項目的受損失機會，降低損害的程度，項目的盈利能力因此增強，項目系統(tǒng)建設和運營的安全可靠性大幅度提高，因此其理論的研究有非常廣闊的應用前景?？梢灶A期，在工程項目領域，風險意識會不斷增強，風險管理的相關技術也會有極大的適用空間，尤其應用風險管理信息系統(tǒng)軟件，必將大大提高項目的風險管理水平.

參考文獻

篇9

【關鍵詞】風險管理；內部控制；風險評價；公司治理

2008年5月，財政部等五部委聯(lián)合了《企業(yè)內部控制基本規(guī)范》，2010年4月26日，財政部會同證監(jiān)會、審計署、國資委、銀監(jiān)會、保監(jiān)會等部門在北京召開聯(lián)合會，隆重了《企業(yè)內部控制配套指引》，標志著我國企業(yè)內部控制規(guī)范體系基本形成，自2011年1月1日起首先在境內外同時上市的公司施行；2012年1月1日起擴大到上海證券交易所、深圳證券交易所主板上市的公司施行；在此基礎上，擇機在中小板和創(chuàng)業(yè)板上市公司施行；同時，鼓勵非上市大中型企業(yè)提前執(zhí)行。這是全面提升上市公司和非上市大中型企業(yè)經營管理水平的重要舉措，以期促進企業(yè)提升管理水平和防范風險能力。

1.風險管理的現實要求

1.1 風險防范控制是一種重要的企業(yè)內部控制方法

內部控制結構或內部控制成分只是框架性的，只有在內部控制結構或內部控制成分的基礎上，以內部控制的方法推行內部控制可能效果更好，而風險防范控制就是一種很好的企業(yè)內部控制方法。

企業(yè)在市場經濟環(huán)境中，不可避免會遇到各種風險，因此為防范規(guī)避風險，企業(yè)應建立風險評估機制。常有的風險評估內容有：籌資風險評估；投資風險評估；信用風險評估。這里所說的信用風險，僅指企業(yè)應收賬款回收過程中遭受壞賬損失的可能性。風險防范控制是企業(yè)一項基礎性和經常性的工作，企業(yè)必要時可設置風險評估部門或崗位，專門負責有關風險的認別、規(guī)避和控制。

1.2 風險控制是內部控制的發(fā)展特征和趨勢之一

提高內部會計控制規(guī)范的應用效果，主要是要使內部會計控制充分發(fā)揮其防范和化解風險的功能。內部控制的發(fā)展特征和趨勢之一就是風險控制導向，我國也要整合內部控制與風險管理的關系，提升基于企業(yè)風險的內部控制理論體系。

我國《企業(yè)內部控制基本規(guī)范》指出，企業(yè)建立于實施有效的內部控制，應當包括五個要素：內部環(huán)境、風險評估、控制活動、信息與溝通、內部監(jiān)督。其中風險評估，是企業(yè)及時識別、系統(tǒng)分析經營活動中與實現內部控制目標相關的內部風險和外部風險，合理確定風險應對策略?！镀髽I(yè)內部控制應用指引》共18項指引，可以劃分為三類，即內部環(huán)境類指引、控制活動類指引、控制手段類指引，基本涵蓋了企業(yè)資金流、實物流、人力流和信息流等各項業(yè)務和事項。對每一項指引的具體描述可以分為三部分：涵義、重要風險及如何應對風險。可見，在整個內部控制中，對風險控制的重視程度。

1.3 經營環(huán)境要求企業(yè)進行風險管理

風險影響著每個企業(yè)生存和發(fā)展的能力，也影響其在產業(yè)中的競爭力及在市場上的聲譽和形象。所有的企業(yè)，不論其規(guī)模、結構、性質或產業(yè)是什么，其組織的不同層級都會遇到因為內部因素和外部因素造成的風險，管理階層須密切注意各部門、各業(yè)務的風險，并采取必要的管理措施。

在經營管理活動中建立和實施的風險自我管理系統(tǒng)，是企業(yè)有效規(guī)避風險、規(guī)范管理行為的重要手段，是完善法人治理結構、建立現代企業(yè)制度的重要內容，也是衡量企業(yè)現代化管理的重要標志。

隨著社會經濟與技術的不斷發(fā)展，企業(yè)經營環(huán)境的變化，利用與經營風險相關的不確定性與復雜性作掩護的欺詐與舞弊已成為必須面對和急需解決的一個重要問題，對其的防范應通過合理地設定企業(yè)的戰(zhàn)略目標、嚴格地控制戰(zhàn)略目標實施過程中的修正程序、提高識別風險因素的能力，建立良好的企業(yè)文化來實現。

2.風險管理與內部控制

2.1 內部控制與企業(yè)風險管理的區(qū)別與聯(lián)系

內部控制與企業(yè)風險管理的主要區(qū)別體現在兩個方面：（1）內部控制是基于既定的企業(yè)目標以及固化的業(yè)務模式，不涉及之前的企業(yè)治理和目標確定，以及業(yè)務模式的選擇；而企業(yè)風險管理則涵蓋了對企業(yè)治理風險、戰(zhàn)略目標確立風險、業(yè)務模式選擇風險以及固化風險進行管理的整個過程。（2）企業(yè)治理結構和戰(zhàn)略目標的確定都要落腳到企業(yè)本身的限制，是一個由外而內的定位過程，因此，風險管理中所考慮的環(huán)境，主要聚焦在包括可得資源、決策者風險偏好及企業(yè)風險承受能力在內的企業(yè)內部環(huán)境。

內部控制目標的實現，是旨在將影響企業(yè)既定戰(zhàn)略目標實現的風險控制到可接受的水平。內部控制是為風險管理而控制，是風險管理的重要手段；風險管理是為企業(yè)目標而管理，是目標實現的重要保證。內部控制與風險管理兩者相互依存、相互制約，形成一個有機整體，共同來實現企業(yè)的戰(zhàn)略目標。

2.2 內部控制、企業(yè)管理及企業(yè)全面風險管理的關系

在企業(yè)設立階段和運營階段的風險中，可以將與企業(yè)戰(zhàn)略設立、調整相關的企業(yè)治理結構風險、戰(zhàn)略目標確立風險和業(yè)務模式選擇風險統(tǒng)稱為活化風險，將業(yè)務模式既定狀態(tài)下的合規(guī)風險、運營風險和財務風險稱為固化風險，將固化風險與活化風險合稱作動態(tài)風險。而企業(yè)風險管理就是對企業(yè)動態(tài)風險的管理，而內部控制則是對固化風險的控制。

企業(yè)管理是對機會的管理，是設立目標并達成目標的過程，包括計劃、組織、領導、控制等職能；而企業(yè)全面風險管理是對目標設定和執(zhí)行中的動態(tài)風險進行管理的過程，包括活化風險管理和固化風險管理（即內部控制），兩者并行不悖，可以說，企業(yè)管理是確保企業(yè)成功的充分條件，企業(yè)風險管理是確保企業(yè)成功的必要條件。

2.3 內部控制、公司治理、風險管理三者關系

盡管內部控制、公司治理、風險管理在文字表述上存在差異，但就其實質而言是相同的，都是基于企業(yè)存在風險而產生的，都是為了進行風險控制，可以統(tǒng)一于一套企業(yè)管理制度之中。

必須注意的是風險管理并不是一種脫離于企業(yè)經營管理活動之外的管理形式，它內含于整個企業(yè)的經營管理活動過程之中；風險管理是針對企業(yè)的各責任主體而言的，離開了這些責任主體風險管理既失去了風險控制的主體，也失去了風險發(fā)生的主體；為了進行風險管理，必須要有一整套風險識別、風險控制的程序和方法；風險控制的目的是確保財物的安全和信息的真實，而后進一步拓展為提高經營效率以及各項法律法規(guī)的執(zhí)行。

3.風險管理實施應用

3.1 風險評價方法

目前，國內外關于風險評價的方法主要可以分為定性分析評價、定量分析評價和定性與定量相結合的評價方法三種。

3.1.1 定性分析評價方法

定性方法主要有德爾菲法、情景分析法與壓力測試法、SWOT法、對比法等。

德爾菲法：又稱專家調查法，由O·赫爾姆和N·達爾克在20世紀40年代首創(chuàng)，是最常用的定性分析方法之一。企業(yè)針對某個風險同時咨詢多個專家，專家們根據自己的經驗做出各自的評估；再綜合這些評估得出一個折中結果，把該結果送交給專家們，專家們據此對自己的評估進行修改，直至達到一致。

情景分析法與壓力測試法：情景分析法通過一些數字、圖表和曲線，對未來某個狀態(tài)或某種情況進行詳盡的描繪和分析，識別引起風險的關鍵因素及其影響程度，是一種前推法，對未來的預測。壓力測試法則對經驗過程中面臨的困難做最壞的打算，重現歷史災難下企業(yè)所承擔的風險，是對過去的追溯。美國大通曼哈頓銀行成功地使用該方法對企業(yè)中的風險進行了分析。

戰(zhàn)略管理中常用“SWOT”（strength，weakness，opportunities and threats）分析法，也是風險分析的一種，企業(yè)對內分析自身的優(yōu)勢與劣勢，長處與短處，對外分析外界的機會和威脅，明確企業(yè)在市場中所處的地位，考慮自己的生存機遇。

3.1.2 定量分析評價方法

定量方法主要包括風險價值法、敏感性分析、決策樹分析法、主成分分析法、蒙特卡洛模擬法等。

風險價值法（VaR）：VaR定義為在一定時期內，一定的置信水平上可能的最大損失。它可將企業(yè)的風險大小以一定的貨幣量表示出來，實現不同風險的相互比較。目前求解VaR主要有兩種方法：參數方法和模擬仿真法。

3.1.3 定量分析和定性分析相結合的評價方法

常見的定性與定量相結合的方法，如層次分析法（AHP），是由著名的運籌學家在20世紀70年代初期提出的一種多目標決策方法。利用AHP的遞階層次結構模型，企業(yè)將風險評價總目標進行逐層分解，得到從不同方面衡量風險的多變量準則層，每個待評估的方案按不同準則相互比較，構建判斷矩陣，求出矩陣最大特征值對應的特征向量，便可得到項目風險大小關系。該法可很好地處理定性和定量相結合的問題，將決策者的主觀判斷與政策經驗導入模型，并加以量化處理。

之所以最常使用定性與定量相結合的方法，這是因為風險評價是一個復雜的系統(tǒng)工程，某些屬性或評價因素不易量化，甚至評價因素本身就不易確定，要想取得理想的評價效果很難。這時可以請多名對評價對象有專門知識或經驗的人員來對其進行定性、定量或兩者結合的評價。而且，隨著計算機技術的發(fā)展，評價方法越來越豐富，也常常采用定性與定量兩者相結合的組合風險評價方法進行系統(tǒng)評價。

3.2 風險管理的實施應用

COSO委員會研究并了基于風險導向的內部控制監(jiān)督模型，它是一項嵌入風險信息與信息技術的系統(tǒng)化監(jiān)督流程工具，以推動企業(yè)將監(jiān)督有效地植入公司的持續(xù)控制過程，它首次在實質上推動了內部控制監(jiān)督要素的應用性發(fā)展。

風險管理是一個包括風險規(guī)劃、風險識別、風險評價、風險處理與風險監(jiān)控的全過程管理，是一個系統(tǒng)的動態(tài)的循環(huán)的風險管理過程。其中，風險識別、風險評價以及風險處理都有多種常用方法，正確合理地選擇方法是風險管理順利實現的重要前提。在具體運用中，具體選擇哪種方法需要根據工程實際情況才能做出合理判斷。隨著風險管理在企業(yè)管理中越來越重要，應針對本企業(yè)具體情況進行風險辨識、分析和評估、應對以及風險防范措施等，以預防和減輕風險，達到降低風險等級的目的。

另外，在實際操作中，由于我國引進風險管理理念時間較短，它又與我國傳統(tǒng)的理念存在很多差異，管理人員沒有經驗，在把這些概念和框架融入到日常的管理活動之中時，遇到許多困難，要不斷摸索著前進。因此，我們要清楚地認識到內部控制和風險管理不僅僅是一種規(guī)章制度，更不是靜態(tài)的，一成不變的，而是一種管理過程，是一個持續(xù)的、不斷修正的過程。

參考文獻

[1]白華.內部控制、公司治理與風險管理——一個職能論的視角[J].經濟學家,2012(3).

[2]孫志梅,李秀蓮,王昕.國有企業(yè)內部控制與風險管理研究綜述[J].經濟研究導刊,2011(12).

[3]鄧揚建.風險管理導向的企業(yè)內部控制思考[J].財務與金融,2011(8).

[4]劉玉廷.全面提升企業(yè)經營管理水平的重要舉措——《企業(yè)內部控制配套指引》解讀[J].會計研究,2010(5).

[5]張蕊.高風險形式下企業(yè)欺詐與舞弊的防范[J].會計研究,2010(7).

[6]劉霄侖.風險控制理論的再思考:基于對COSO內部控制理念的分析[J].會計研究,2010(10).

[7]Samuel Bassetto,Ali Siadat b and Michel Tollenaere.The management of process control deployment using interactions in risks analyses [J].Journal of Loss Prevention in the Process Industries.2011,24.

篇10

關鍵詞：出口商品；質量；風險管理；模式

中國作為世界出口制造業(yè)第一大國，隨著國際間貿易競爭不斷加劇，出口商品對通關便利化的要求越來越高。為了在保證出口商品質量安全的同時建立高效、便捷的通關機制，質量監(jiān)管部門必須創(chuàng)新出口商品質量風險管理機制，以出口商品質量安全信息為基礎，全面掌握與出口商品質量安全相關的風險信息，開展風險分析和質量安全狀況評估，落實風險管理措施，依據產品風險等級和企業(yè)誠信情況、質量保證能力實施差別化監(jiān)管，扶優(yōu)限劣，提高通關效率。2012年5月至2013年8月，福州出入境檢驗檢驗局選擇了較具代表性的出口鞋類商品，前瞻性地開展了檢驗監(jiān)管業(yè)務風險管理模式改革試點工作，構建了"動態(tài)監(jiān)控、分級管理"的檢驗監(jiān)管新機制，取得了良好的實效，同時也對出口法檢目錄調整之后的出口商品質量監(jiān)管模式起到很好的參考作用。

一、實施出口商品質量風險管理的必要性

風險管理，指防范風險的管理工作，包括了風險信息采集、風險識別、風險評估、風險應對、風險監(jiān)控等一系列活動。出口商品質量風險管理，就是要識別各類出口商品質量風險，對風險發(fā)生的頻率和后果進行分析，尋找并引入風險控制措施，消除或者減輕因質量因素帶來的潛在危害，從而實現出口商品質量的有效控制。

出口商品質量監(jiān)管工作中實施風險管理，首先是當前外貿形勢的要求。當前出口企業(yè)面臨諸多困難：生產成本上升，國際市場需求不旺，受周邊國家的價格擠壓，產品單價難以提高等等，企業(yè)利潤大幅下降，對產品質量不可避免地造成負面影響。與此同時，出口產品面臨的國外技術壁壘卻有增無減，部分發(fā)達國家對產品安全性的要求甚至到了苛刻的程度，一種產品可能涉及的危害控制項目往往多達幾十種，給出口企業(yè)在質量管理方面造成很大的困擾。

其次是促進外貿持續(xù)發(fā)展的要求。國家質檢總局早在2012年初就提出了深化檢驗監(jiān)管模式改革，積極建立以風險管理為核心的出口商品檢驗監(jiān)管機制，提高出口產品監(jiān)管效率。通過深化和全面加強風險管理，促進外貿出口。

通過實施風險管理，可以提高利益相關方風險意識，有效配置和使用資源，實施主動性、前瞻性的質量管理，改善工作效率和效果；遵守國內外質量法律法規(guī)和國際規(guī)范，減少損失，為計劃和決策奠定可靠的基礎；提高產品質量水平，增強出口企業(yè)生存和持續(xù)發(fā)展的能力。

出口商品質量風險管理總體思路是：運用風險管理的理念，深化和全面加強風險管理，通過風險信息采集與識別、風險分析和評價，區(qū)分不同風險等級，來確定監(jiān)管需求和資源配置的優(yōu)先順序。同時依托口岸電子信息化手段，有針對性地加強關鍵風險防控，做到"該嚴則嚴、該快則快、打劣促好"，構建"動態(tài)監(jiān)控、分級管理"的出口商品質量監(jiān)管新機制。

二、出口商品質量風險信息的采集

風險，指在某一特定環(huán)境下，在某一特定時間段內，某種損失發(fā)生的可能性。風險是一種未來的不確定性，可能會產生嚴重損失、或是可容忍的損失，甚至獲利。從質量的角度講，風險與危害不同，危害是事物本身固有的屬性，如有毒物質對人體、環(huán)境造成的危害等，危害是造成產品質量風險的重要原因之一，但不一定會直接導致風險。

風險信息是實施風險管理的基礎，需通過各種方式、途徑，全面采集出口商品質量信息，并識別出風險。

1、外部質量風險信息的采集。包括各個出口商品輸往國的質量法規(guī)、標準、行為習慣，以及各種現行和即將出臺的技術性貿易措施。各國對產品危害點的管制不盡相同，同一產品輸往不同國家產生的質量風險也不同，如對產品中重金屬鉛含量的限制，歐盟國家、美國、及其他國家的控制要求各不相同。

2、產品自身質量風險信息的采集。不同產品存在不同的質量危害，由此產生的質量風險也不相同，需針對不同產品進行梳理和識別。一般而言，產品自身中存在的潛在質量風險主要包括：一是有害化學物質，如：禁用偶氮染料、鄰苯二甲酸鹽、富馬酸二甲酯、全氟辛酸等等。二是物理安全性能，如：嬰兒用品的小附件、銳利尖端和銳利邊緣、繩帶的纏繞，電氣安全等。三是衛(wèi)生性能，如霉變等。四是一般使用性能和外觀要求，如：耐摩性能、拉伸強度、變形、污漬等。

3、出口商品質量風險反饋信息的采集。包括出口商品遭遇國外通報、召回信息；出口商品退運信息；遭遇消費者投訴或媒體負面的質量信息反饋；以及對出口商品實施監(jiān)督抽查、專項檢查的不合格結果信息等。

4、企業(yè)質量誠信信息的采集。不同企業(yè)的質量誠信和質量管理水平也會對出口商品質量風險產生不同的影響。質量文化良好、質量管理規(guī)范的企業(yè)，相對質量風險低；反之，質量風險就高一些。因此對同一產品的不同生產企業(yè)也要進行質量信息采集與風險識別，區(qū)別對待。企業(yè)質量信息點主要包括：企業(yè)的質量意識，企業(yè)在各部門、各機構的誠信記錄，質量體系建立及運行的有效性，質量體系及產品認證情況，質量管理人員配置，產品檢驗控制，貿易信譽，過往質量記錄等。

三、出口商品質量風險等級

風險發(fā)生所產生的后果，可以根據其嚴重程度分成不同的等級。理想化來說，所有可能產生不良后果的風險，都需要控制。但是不同風險導致的結果的不可接受程度不同，需要采取不同的防控措施對待，質量保障資源的平均分配或者動用對待關鍵風險的人力、財力、檢測資源來控制低風險的質量項目都是不合理的。通過風險分級，有利于突出重點，節(jié)約質量成本，化解風險在可接受范圍內。實際工作中根據風險后果影響程度的不同，將風險區(qū)分為關鍵控制風險，一般控制風險和基礎性質量風險三個風險等級。

1、關鍵控制風險。其一旦失控，存在不可接受的質量風險，必須被總是監(jiān)控。它必須是客戶、消費者或者政府部門最關注的因素，對產品質量的影響是最直接的，或者說是最負面的。如輸美兒童玩具中鉛含量的控制，輸歐真皮皮鞋中六價鉻的控制等。

2、一般控制風險。其一旦失控，一般不會直接導致不可接受的質量風險。主要涉及產品一般使用性能和外觀，如衣服扣子釘歪了，鞋底開膠了等等。

3、基礎性質量風險。涉及企業(yè)生產規(guī)范、設施、設備保障，以及企業(yè)道德、行業(yè)自律、產品標準體系建設、檢驗檢測認證市場規(guī)范、社會質量文化等等。這些因素對質量保障的影響是基礎性的，也是降低產品質量風險的治本之舉。

四、出口商品質量風險評估

1、運用風險矩陣法確定風險等級。運用風險評估技術中的風險矩陣法對各種風險進行分析和評價，確定風險的等級。具體而言，對每一種風險發(fā)生的頻率（即可能性）和后果的嚴重程度分別進行量化的評估，計算出每一種風險的風險指數，同時將風險指數范圍定義為不同的三個區(qū)間：可接受區(qū)間、檢查區(qū)間和不可接受區(qū)間，分別對應風險的三個不同等級：關鍵控制風險，一般控制風險和基礎性質量風險。某種項目風險頻率級別的量化值，可以根據該項目被抽查檢出的不合格比例，以及被國外通報、退運等數據的統(tǒng)計進行確定；風險后果的級別量化值，可以根據該項目對人體產生危害的嚴重程度進行區(qū)分。

2、關鍵控制風險的確定與動態(tài)調整。通過風險評估，可以得到某個階段的關鍵控制風險。風險評估的結果不僅可以作為出口商品質量監(jiān)管的重點項目，同時也可以成為相關生產企業(yè)和貿易商的重點質量保證項目，引導生產企業(yè)主動在設計、原輔材料采購和生產過程中對這些項目進行控制。同樣的方法也可以對不同行業(yè)、不同商品、不同企業(yè)、不同目的國，甚至不同環(huán)節(jié)發(fā)生的質量風險進行風險等級的判定，從而確定關鍵控制風險。

風險評估過程是動態(tài)的，開放性的，當遇有國外相關法律法規(guī)、強制性技術規(guī)范、標準、風險預警信息、國外通報情況、監(jiān)督抽查檢測不合格情況、生產條件，及其他影響風險分析、評價的因素發(fā)生重大變化時，須及時或定期重新進行風險評估，對關鍵控制風險進行動態(tài)調整。

五、出口商品質量風險應對

重點針對關鍵控制風險，加強質量監(jiān)管，提高質量風險防控措施的針對性和有效性，合理配置行政和企業(yè)資源。

1、強化關鍵控制風險監(jiān)管。對涉及關鍵控制風險的出口商品加強審核、查驗、檢測、監(jiān)控，介入點可以是口岸查驗，生產環(huán)節(jié)的企業(yè)合格評定等。如果出現行業(yè)性、區(qū)域性嚴重質量風險時，可以采取必要的臨時性措施，如提高市場準入門檻等，嚴格控制質量風險。另外，針對特殊商品的質量安全監(jiān)管，如出口危險化學品、高風險玩具和稀土等特殊商品，應制定明確的法律法規(guī)、制度，完善監(jiān)管流程，確保質量安全。

2、提供針對性的技術支持與服務。加大服務企業(yè)的精準度，相關風險項目的技術指導，包括質量控制方法，生產規(guī)范，原材料選擇等，提供免費的技術培訓和咨詢服務，幫助企業(yè)了解、掌握、有效應對國外技術性貿易措施，化解質量風險。

3、突出企業(yè)責任，樹立風險意識。通過對出口企業(yè)廣泛、深入、細致的宣傳培訓，牢固樹立企業(yè)的質量主體意識，不斷提高企業(yè)的質量風險意識。鼓勵企業(yè)開展產品風險分析，源頭質量檢測，和生產過程的自檢，提高風險防控能力。同時引導企業(yè)開展首件產品確認，并爭取客戶的有效確認。

4、強化執(zhí)法，維護市場秩序。任何質量風險的控制都需要質量成本的付出做支撐，并在產品的價格上反映出來。必須通過暢通投訴、舉報渠道，開展通報退運后續(xù)調查、監(jiān)督抽查、專項檢查等方法手段，打擊出口假冒偽劣商品，凈化市場環(huán)境，引導市場走出低價劣質無序競爭的困境。

六、出口商品質量風險管理改革成效

通過出口商品質量風險管理模式改革的實踐，驗證了關鍵風險控制理論的可行性，取得了良好的實際運行效果。

1、產品整體質量水平不斷提高。企業(yè)對產品風險控制的意識和能力顯著提升，促進了出口商品質量的持續(xù)提高。雖然監(jiān)管部門的總體抽檢批減少了，但檢驗針對性提高，有效攔截了不合格商品的出口；同時企業(yè)對其產品質量風險點能否進行有效控制決定了其產品通關速度和通關成本，管理的差異化有助于促進一批優(yōu)質企業(yè)轉型升級，實現了"促好促快"的良性循環(huán)。

2、提高了質量監(jiān)管工作有效性和針對性。改變以往"一刀切"式的、無差別的按比例隨機抽檢的方式，通過高風險關鍵控制點布控攔截，增強現場施檢的針對性。統(tǒng)計數據顯示，針對風險點的抽檢批占總抽檢批的三分之二，集中了有限的檢力資源管住管好了該管的，凸顯了檢驗的有效性。

3、提升了電子信息化技術應用水平。促進了電子信息化技術在出口商品質量管理中的進一步優(yōu)化、完善，實現了高風險項目的嚴密布控、一般風險產品的快速放行和風險信息日常電子化管理。

參考文獻：

[1] 國際標準化組織合格評定委員會 產品監(jiān)管和市場監(jiān)督的原則與實踐 良好實踐指南 2012

[2] 馬文拉桑德著，劉一騮譯 風險評估理論方法與應用 清華大學出版社 2013.6

[3] GB/T27921-2011 風險管理 風險評估技術