導(dǎo)語：如何才能寫好一篇風險識別與風險評估的區(qū)別，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：電子政務(wù)外網(wǎng)；等級保護測評；風險評估；風險評估模型

中圖分類號：TP311 文獻標識碼：A 文章編號：1009-3044（2014）34-8337-02

1 等級保護背景下的電子政務(wù)外網(wǎng)風險評估

電子政務(wù)外網(wǎng)提供非的社會公共服務(wù)業(yè)務(wù)，全國從中央各部委、到省、市、縣，已經(jīng)形成了一張大龐大的網(wǎng)絡(luò)系統(tǒng)，有的地方甚至覆蓋到了鄉(xiāng)鎮(zhèn)、社區(qū)村委會，有效提高了政府從事行政管理和社會公共服務(wù)效率。今后凡屬社會管理和公共服務(wù)范疇及不需在國家電子政務(wù)內(nèi)網(wǎng)上部署的業(yè)務(wù)應(yīng)用，原則上應(yīng)納入國家政務(wù)外網(wǎng)運行，它按照國家政務(wù)外網(wǎng)統(tǒng)一規(guī)劃，建立網(wǎng)絡(luò)安全防護體系、統(tǒng)一的網(wǎng)絡(luò)信任體系和信息安全等級保護措施。

隨著政務(wù)外網(wǎng)的網(wǎng)絡(luò)覆蓋的擴大及接入的政務(wù)單位越來越多、政務(wù)外網(wǎng)應(yīng)用的不斷增加，各級政務(wù)移動接入政務(wù)外網(wǎng)的需求也在增加，對政務(wù)外網(wǎng)的要求和期望越大，網(wǎng)絡(luò)安全和運維的壓力也越大，責任也更大。由于政務(wù)外網(wǎng)與互聯(lián)網(wǎng)邏輯隔離，主要滿足各級政務(wù)部門社會管理、公共服務(wù)、市場監(jiān)管和經(jīng)濟調(diào)節(jié)等業(yè)務(wù)應(yīng)用及公務(wù)人員移動辦公、現(xiàn)場執(zhí)法等各類的需要，網(wǎng)絡(luò)和電子政務(wù)應(yīng)用也成為境外敵對勢力、黑客等攻擊目標。隨著新技術(shù)的不斷涌現(xiàn)和大量使用，也對電子政務(wù)外網(wǎng)網(wǎng)絡(luò)的安全防護、監(jiān)控、管理等帶來新的挑戰(zhàn)。按照國家政務(wù)外網(wǎng)統(tǒng)一規(guī)劃，建立網(wǎng)絡(luò)安全防護體系、統(tǒng)一的網(wǎng)絡(luò)信任體系和信息安全等級保護措施是必須的。

為保障電子政務(wù)外網(wǎng)的安全有效運行，我們應(yīng)以風險管理理念來統(tǒng)籌建設(shè)網(wǎng)絡(luò)和信息安全保障體系。在國家信息系統(tǒng)安全等級保護的大背景下，2011年國家信息中心下發(fā)了《關(guān)于加快推進國家電子政務(wù)外網(wǎng)安全等級保護工作的通知》，強化了電子政務(wù)外網(wǎng)的等級保護制度以及等級測評要求，要求對政務(wù)外網(wǎng)開展等級測評，全面了解和掌握安全問題、安全保護狀況及與國家安全等級保護制度相關(guān)要求存在的差距，分析其中存在的安全風險，并根據(jù)風險進行整改[1]。

系統(tǒng)安全測評、風險評估、等級測評都是信息系統(tǒng)安全的評判方法[2，3]，其實它們本沒有本質(zhì)的區(qū)別，目標都是一樣的，系統(tǒng)安全測評從系統(tǒng)整體來對系統(tǒng)的安全進行判斷，風險評估從風險管理的角度來對系統(tǒng)的安全狀況進行評判，而等級測評則是從等級保護的角度對系統(tǒng)的安全進行評判。不管是系統(tǒng)安全測評[1]、風險評估、等級測評，風險的風險與計算都是三者必不可少的部分。

2 電子政務(wù)主要風險評估方法簡介

電子政務(wù)外網(wǎng)風險評估有自評估、檢查評估、第三方評估（認證）評估模式，都需利用一定的風險評估方法來進行相關(guān)風險的評估。從總體上來講，主要有定量評估、定性評估兩類。在進行電子政務(wù)系統(tǒng)信息安全風險評估過程中，采用的主要風險評估方法有：OCTAVE、SSE-CMM、FAT（故障樹方法）、AHP （層次分析）以及因素分析法、邏輯分析法、德爾菲法、聚類分析法、決策樹法、時許模型、回歸模型等方法。研究風險評估模型的方法可以運用馬爾可夫法、神經(jīng)網(wǎng)絡(luò)、模糊數(shù)學、決策樹、小波分析等[4-6]。OCTAVE 方法是一個系統(tǒng)的方法，它從系統(tǒng)的高度來進行信息安全的安全防護工作，評估系統(tǒng)的安全管理風險、安全技術(shù)風險，它提高了利用自評估的方式制定安全防范措施的能力。它通過分析重要資產(chǎn)的安全價值、脆弱性、威脅的情況，制定起風險削減計劃，降低重要資產(chǎn)的安全風險。電子政務(wù)外網(wǎng)需要從實際出發(fā)，不能照搬其它評估方法，根據(jù)電子政務(wù)外網(wǎng)實際，本設(shè)計基于OCTAVE 評估模型，設(shè)計了一個電子政務(wù)外網(wǎng)風險分析計算模型。

3 基于OCTAVE模型的一個電子政務(wù)外網(wǎng)風險計算模型設(shè)計

3.1 風險評估中的資產(chǎn)、威脅、脆弱性賦值的設(shè)計

保密性、完整性和可用性是評價資產(chǎn)的三個安全屬性。風險評估中的資產(chǎn)價值不是以資產(chǎn)的經(jīng)濟價值來衡量，而是由資產(chǎn)在這三個安全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的。

資產(chǎn)價值應(yīng)依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級，經(jīng)過綜合評定得出。綜合評定方法可以根據(jù)自身的特點，選擇對資產(chǎn)保密性、完整性和可用性最為重要的一個屬性的賦值等級作為資產(chǎn)的最終賦值結(jié)果；也可以根據(jù)資產(chǎn)保密性、完整性和可用性的不同等級對其賦值進行加權(quán)計算得到資產(chǎn)的最終賦值結(jié)果。本設(shè)計模型根據(jù)電子政務(wù)外網(wǎng)的業(yè)務(wù)特點，依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級進行加權(quán)計算（保密性α+完整性β+和可用性γ），α、β、γ為權(quán)重系數(shù)，權(quán)重系數(shù)的確定可以采用專家咨詢法、信息商權(quán)法、獨立性權(quán)數(shù)等。本設(shè)計方案采用專家咨詢法。資產(chǎn)、威脅、脆弱性的賦值可以從0-10，賦值越高，等級越高。

脆弱性識別是風險評估中最重要的一個環(huán)節(jié)。脆弱性是資產(chǎn)本身存在的，如果沒有被相應(yīng)的威脅利用，單純的脆弱性本身不會對資產(chǎn)造成損害。脆弱性識別的依據(jù)可以是國際或國家安全標準，也可以是行業(yè)規(guī)范等，如國家信息安全漏洞共享平臺（CNVD）漏洞通報、CVE漏洞、微軟漏洞通報等。

資產(chǎn)、威脅、脆弱性的識別與賦值依賴于專家對三者的理解，不同的人員對三者的賦值可能不同，甚至差別很大，可能會不能真實的反映實際情況。為了識別與賦值能準確反映實際情況，可以采用一定的方法來進行修正。本設(shè)計采用頭腦風暴法、德爾菲法去獲取資產(chǎn)、威脅、脆弱性并賦值、最后采用群體決策方法確定資產(chǎn)、威脅、脆弱性的識別與賦值。這樣發(fā)揮了三個方法的特點，得到的賦值準確性大大提高。

判斷威脅出現(xiàn)的頻率是威脅賦值的重要內(nèi)容，評估者應(yīng)根據(jù)經(jīng)驗和（或）有關(guān)的統(tǒng)計數(shù)據(jù)來進行判斷[7]。判斷威脅出現(xiàn)的頻率是可能性分析的重要內(nèi)容，如果僅僅從近一兩年來各種國內(nèi)、國際組織的對于整個社會或特定行業(yè)的威脅及其頻率統(tǒng)計，以及的威脅預(yù)警等來判斷是不太準確的，因為它沒有與具體的電子政務(wù)外網(wǎng)應(yīng)用實際聯(lián)系起來，實際環(huán)境中通過檢測工具（如IPS等）以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計也應(yīng)該考慮進去。

本設(shè)計模型采用綜根據(jù)經(jīng)驗和（或）有關(guān)的統(tǒng)計數(shù)據(jù)來進行判斷，并結(jié)合具體電子政務(wù)外網(wǎng)實際，從歷史生產(chǎn)系統(tǒng)的IPS等獲取各種威脅及其頻率的統(tǒng)計，并采用馬兒可夫方法計算出某個時段內(nèi)某個威脅發(fā)生的概率。馬爾可夫方法是一種定量的方法，具有無后效性的特點，適用于計算實時的動態(tài)信息系統(tǒng)威脅發(fā)生概率。它利用IPS等統(tǒng)計某一時段的發(fā)生了哪些威脅，構(gòu)建出各種威脅之間的狀態(tài)轉(zhuǎn)移圖，使用馬爾可夫方法計算出該時段內(nèi)某個威脅發(fā)生的概率。計算出的威脅發(fā)生概率結(jié)果可以進行適當?shù)奈⒄{(diào)，該方法要求記錄的樣本具有代表性。

3.2 風險計算模型設(shè)計

通常風險值計算涉及的風險要素為資產(chǎn)、威脅、和脆弱性。 在完成了資產(chǎn)識別、威脅識別、脆弱性識別，以及已有安全措施確認后，將采用適當?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，并綜合安全事件所作用的資產(chǎn)價值及脆弱性的嚴重程度，判斷安全事件造成的損失對組織的影響，即安全風險計算。

風險值=R（資產(chǎn)，威脅，脆弱性）= R（可能性（威脅，脆弱性），損失（資產(chǎn)價值，脆弱性嚴重程度））?？筛鶕?jù)自身電子政務(wù)外網(wǎng)實際情況選擇相應(yīng)的風險計算方法計算風險值，如目前最常用的矩陣法或相乘法等。矩陣法主要用于兩個要素值確定一個要素值的情形，相乘法主要用于兩個或多個要素值確定一個要素值的情形。

本設(shè)計模型采用風險計算矩陣方法。矩陣法通過構(gòu)造一個二維矩陣，形成安全事件的可能性與安全事件造成的損失之間的二維關(guān)系；相乘法通過構(gòu)造經(jīng)驗函數(shù)，將安全事件的可能性與安全事件造成的損失進行運算得到風險值。

在使用矩陣法分別計算出某個資產(chǎn)對應(yīng)某個威脅i，某個脆弱性j的風險系數(shù)[Ri，j]，還應(yīng)對某個資產(chǎn)的總體安全威脅風險值進行計算，某個資產(chǎn)總體風險威脅風險=Max（[Ri，j]），i，j=1，2，3…。組織所有資產(chǎn)的威脅風險值為所有資產(chǎn)的風險值之和。

3.3 對風險計算模型的改進

在風險值=R（A，T，V）的計算模型中，由資產(chǎn)賦值、危險、脆弱性三元組計算出風險值， 并沒有把安全防護措施因素對風險計算的影響考慮在內(nèi)，該文把風險值=R（A，T，V）改進為風險值=R（A，T，V，P），其中P為安全防護措施因素。P因素不僅影響安全事件的可能性，也影響安全事件造成的損失，把上面的公式改進為風險值=R（L（T，V，P），F(xiàn)（Ia，Va，P ））。對于L（T，V，P），F(xiàn)（Ia，Va，P ）的計算可以采用相乘法等。如果采用矩陣法，對L（T，V，P）的可以拆分計算L（T，V，P）=L（L（T，V），L（V，P））。

在計算出單個資產(chǎn)對應(yīng)某個脆弱性、某個威脅、某個防護措施后的風險值后，還應(yīng)總體上計算組織內(nèi)整體資產(chǎn)面臨的整體風險。單個風險（一組風險）對其它風險（一組風險）的影響是必須考慮的，風險之間的影響有風險之間的疊加、消減等。有必要對風險的疊加效應(yīng)、疊加原理、疊加模型進行研究。

3.4 風險結(jié)果判定

為實現(xiàn)對風險的控制與管理，可以對風險評估的結(jié)果進行等級化處理?？蓪L險劃分為10，等級越高，風險越高。

風險等級處理的目的是為風險管理過程中對不同風險的直觀比較，以確定組織安全策略。組織應(yīng)當綜合考慮風險控制成本與風險造成的影響，提出一個可接受的風險范圍。對某些資產(chǎn)面臨的安全風險，如果風險計算值在可接受的范圍內(nèi)，則該風險是可接受的，應(yīng)保持已有的安全措施；如果風險計算值高于可接受范圍的上限值，則該風險是不可接受的，需要采取安全措施以降低、控制或轉(zhuǎn)移風險。另一種確定不可接受的風險的辦法是根據(jù)等級化處理的結(jié)果，不設(shè)定可接受風險值的基準，對達到相應(yīng)等級的風險都進行處理。

參考文獻：

[1] 國家電子政務(wù)外網(wǎng)管理中心.關(guān)于加快推進國家電子政務(wù)外網(wǎng)安全等級保護工作的通知[政務(wù)外網(wǎng)[2011]15號][Z].2011.

[2] 等級保護、風險評估和安全測評三者之間的區(qū)別與聯(lián)系[EB/OL].http：///faq/faq.php？lang=cn&itemid=23.

[3] 趙瑞穎.等級保護、風險評估、安全測評三者的內(nèi)在聯(lián)系及實施建議[C].第二十次全國計算機安全學術(shù)交流會論文集，2005.

[4] 李煜川.電子政務(wù)系統(tǒng)信息安全風險評估研究――以數(shù)字檔案館為例[D].蘇州：蘇州大學，2011.

[5] 陳濤，馮平，朱多剛.基于威脅分析的電子政務(wù)信息安全風險評估模型研究[J].情報雜志，2011（8）：94-99.

篇2

關(guān)鍵詞：消費品安全 政府監(jiān)管 風險評估 諾模圖法 風險矩陣法 RAPEX法

中圖分類號：F76 文獻標識碼：A 文章編號：1674-098X（2014）11（c）-0155-04

歐盟委員會（EC）的2004 RAPEX方法[1]是首個得到政府監(jiān)管機構(gòu)廣泛應(yīng)用的消費品安全官方風險評估方法。非政府學術(shù)組織EuroSafe在2005年設(shè)立風險評估工作組（EuroSafe WGRA），EC在其研究成果基礎(chǔ)上形成了2010 RAPEX方法[2]，該方法是目前歐盟各成員國政府的正式官方評估方法[3]。受EC健康與消費者保護總司（DG-SANCO）資助的EMARS項目（它提出了著名的錘子案例[4]）、英國RPA[5]等風險研究機構(gòu)都致力于不斷發(fā)展消費品安全風險評估方法。在正式評估方法中，除了RAPEX方法，諾模圖法、風險矩陣法也得到廣泛應(yīng)用[3-5]。而歐盟REACH法規(guī)的技術(shù)指南文件（TGD）、國際化學品安全規(guī)劃署（IPCS）的“Risk Assessment Terminology”（2004年），聯(lián)合國糧農(nóng)組織/世界衛(wèi)生組織（FAO/WHO）的“Food Safety Risk Analysis”（2006年）、國際風險管理理事會（IRGC）的“White Paper”（2006年）提供的化學危害風險評估方法主要適用于消費品生產(chǎn)過程[3-5]。美國消費品安全委員會（CPSC）主要應(yīng)用定性風險評估方法對消費品安全進行A、B、C三級管理，CPSC也使用“安全飲用水法案”（SDWA，1996年）中的評估規(guī)則[6]，CPSC在化學危害定量評估方法上遵循美國國家科學委員會的NAS指南（1994年）[7]。國際標準化組織的消費者政策委員會（ISO COPOLCO）的指南文件“Consumer product safety a practical guide for suppliers”（2006年）及其標準則主要適用于消費品的設(shè)計及生產(chǎn)階段[3-5]。中國的消費品安全風險評估通則（GB/T22760，2008年）與RAPEX方法基本一致[8]。

該文以政府監(jiān)管視角選擇最廣泛使用的2004 RAPEX、2010 RAPEX方法、諾模圖法和風險矩陣法應(yīng)用案例進行比較分析[3-5]，并分析消費品安全風險評估方法的進一步發(fā)展方向。

1 消費品安全風險評估基本流程

風險和風險評估在各個領(lǐng)域的定義和方法有所不同。在產(chǎn)品安全評價理論中，風險通常表示為傷害事件的發(fā)生概率及嚴重程度的函數(shù)，各種消費品安全風險評估方法的基本評估流程是大同小異的，均是在識別消費品危險的基礎(chǔ)上，估計各風險要素的程度（至少包括兩個基本風險要素：傷害的嚴重程度和傷害的發(fā)生概率），然后用模型將各風險要素合成風險水平/等級（批量評估應(yīng)先確定單體風險水平）。各個方法的主要區(qū)別在于將其他風險要素（例如消費者屬性、危險可獲得性和危險暴露參數(shù)等）的考慮置于哪個階段，是置于危險識別階段，還是置于嚴重程度估計、發(fā)生概率估計階段，抑或直接作為獨立風險要素與兩個基本要素進行合成（圖1）。

在消費品供應(yīng)鏈的不同階段實施安全風險評估應(yīng)選擇與該階段相適應(yīng)的風險評估方法，相關(guān)評估方法按適用范圍分類如圖2所示（參考了參考文獻[3]，但做了補充和修改）。對于政府監(jiān)管機構(gòu)而言，更關(guān)心的是準備上市和上市后的消費品安全風險，即：消費品在上市時應(yīng)符合安全的一般要求，而在上市后只要發(fā)現(xiàn)產(chǎn)品存在嚴重安全風險就應(yīng)及時隔離（risk averse）。因此，以政府監(jiān)管視角研究上市階段和上市后消費品安全風險評估方法的有效應(yīng)用具有必要性。

4 討論

（1）從應(yīng)用案例可看出，2010 RAPEX

法與2004 RAPEX法的主要區(qū)別在于：2010 RAPEX法將消費人群區(qū)分、風險緩減要素區(qū)分從后置改為前置，嚴重程度和發(fā)生概率的分等進行了擴充，消費人群區(qū)分、風險緩減要素區(qū)分仍由主觀判定。兩個方法中風險要素的打分主觀性強，要求評估人員具備足夠的專業(yè)知識和足夠準確的數(shù)據(jù)來源。未來的評估方法可能將消費人群作為獨立風險要素進行識別和估計，在消費品化學危害日益受到重視的情況下，消費人群區(qū)分可能相應(yīng)調(diào)整，例如孕婦可能作為弱勢人群進行考慮。

（2）斯洛文尼亞諾模圖法的輸入?yún)?shù)比其他方法增加，各參數(shù)的分等擴充，其評估輸出（風險等級）相應(yīng)細化。與RAPEX法比較，它識別出火災(zāi)危險風險高于其他危險。危險事件發(fā)生時，火災(zāi)更容易造成群死群傷，因此該評估結(jié)果與事實也是相符的。

（3）比利時風險矩陣法引入了暴露程度這一參數(shù)擴充矩陣維度。對后果嚴重性的賦值中，該方法對導(dǎo)致“所有使用者和旁觀者死亡”“所有使用者死亡”“數(shù)人死亡”和“一個死亡”的嚴重度分別區(qū)分，且從100分到15分賦值，區(qū)分度極大，但在政府監(jiān)管角度，對“死亡”后果均應(yīng)0容忍，評估時應(yīng)加以注意。

（4）該文在參閱相關(guān)文獻時，發(fā)現(xiàn)各個評估方法應(yīng)用的術(shù)語高度不一致。如果對術(shù)語名稱翻譯和定義不加以界定明確，可能導(dǎo)致對同一危險信息，各評估方法的參數(shù)輸入不一致，其輸出大相徑庭。

（5）目前的評估方法對化學危害風險的識別能力偏弱。例如對“長期藥物接觸和輻射暴露”傷害的嚴重程度從輕到重劃分為“腹瀉嘔吐局部癥候”“可逆的內(nèi)臟損害”“神經(jīng)系統(tǒng)損害、不可逆的內(nèi)臟損害”“癌癥（白血病）、影響生殖、影響后代、中樞神經(jīng)系統(tǒng)抑郁癥”四等的劃分尚嫌粗。歐盟REACH法規(guī)的技術(shù)指南文件提供了一種化學危害風險評估的有價值的思路。

（6）目前對評估方法的發(fā)展研究主要集中在評估模型的改進，從定性向定量向模糊評價發(fā)展，但實證研究表明，作為簡單、快速、經(jīng)濟、有效（risk averse）和有決斷力（resolved）的方法，定性風險評估能對消費品安全風險進行有效評估[3-5]。在政府監(jiān)管視角，最好把資源直接用于減小風險的努力，而不是盡量達到風險評估的絕對精確。實際上，定量風險評估的大部分輸入數(shù)據(jù)是高度主觀的，同時，要生成確切的輸出，它要求有一個詳盡和全面的時間鏈模型，這對范圍極廣的現(xiàn)代消費品領(lǐng)域是難度極大的。對定性風險評估方法而言，應(yīng)減小評估的主觀性，重點應(yīng)研究傷害嚴重程度和發(fā)生概率的科學分等，其基礎(chǔ)工作是盡早形成共享的消費品傷害數(shù)據(jù)庫。

（7）從應(yīng)用案例可看出，各個評估方法均基于各風險因子相對獨立的假設(shè)，從而對各個風險因子獨立進行評估。有學者研究認為，某些風險因子具有相互聯(lián)系和影響關(guān)系，具有連通性（connectivity），并引入了連通性矩陣的概念，但這一理論在消費品領(lǐng)域尚未有成熟應(yīng)用。

5 結(jié)論

（1）以政府監(jiān)管視角來看，2004 RAPEX、2010 RAPEX方法和斯洛文尼亞諾模圖法均能對消費品安全風險進行有效評估。

（2）未來消費品安全風險評估方法的發(fā)展，首先應(yīng)統(tǒng)一規(guī)范術(shù)語使用以改善評估的一致性；其次應(yīng)發(fā)展傷害嚴重程度和發(fā)生概率的科學分等體系以減小評估的主觀性；另外應(yīng)注重消費品化學危害風險評估方法的研究。

參考文獻

[1] Guidelines for the management of the Community Rapid Information System（RAPEX）and for notifications presented in accordance with Artide 11 of Directive 2001/95/EC[R]，Commission Decision 2004/418/EC of 29 April 2004.OJ L 151，2004.

[2] Commission Decision of 16 December 2009 laying down guidelines for the management of the Community Rapid Information System‘RAPEX’established under Artide 12 and of the notification procedure established under Artide 11 of Directive 2001/95/EC（the General Product Safety Directive） （notified under document C（2009） 9843）[R]，Commission Decision 2010/15/EU of 26 January 2010. OJ L 22， 2010.

[3] Dirk van Aken.Related risk assessment activities[R].Hague： Voedsel en Waren Autoriteit， 2007.

[4] Enhancing Market Surveillance through Best Practices（EMARS）project.Product Safety-Best Practice Techniques in Market Surveillance[R].Amsterdam： EMARS，2013.

[5] Pete Floyd， Tobe A.Nwaogu，Rocio Salado，et al.RPA REPORTAssured Quality-Establishing a Comparative Inventory of Approaches and Methods Used by Enforcement Authorities for the Assessment of the Safety of Consumer Products Covered by Directive 2001/95/EC on General Product Safety and Identification of Best Practices [R].J497/GPSD Implementation， Norfolk：Risk & Policy Analysts Limited（RPA），2006.

[6] CPSC.Research & Statistics-consumer opinon surrveys[EB/OL].（2014-10-20）[2014-4-29].http：//cpsc.gov/en/Research Statistics.

[7] National Research Council.Science and Judgment in Risk Assessment （1994）[M].Washington D.C.：National Academy Press，1994.

篇3

關(guān)鍵詞:電子政務(wù) 信息安全

0 引言

隨著電子政務(wù)不斷推進，社會各階層對電子政務(wù)的依賴程度越來越高，信息安全的重要性日益突出，在電子政務(wù)的信息安全管理問題中，基于現(xiàn)實特點的電子政務(wù)信息安全體系設(shè)計和風險評估[1]模型是突出的熱點和難點問題。本文試圖就這兩個問題給出分析和建議。

1 電子政務(wù)信息安全的總體要求

隨著電子政務(wù)應(yīng)用的不斷深入，信息安全問題日益凸顯，為了高效安全的進行電子政務(wù)，迫切需要搞好信息安全保障工作。電子政務(wù)系統(tǒng)采取的網(wǎng)絡(luò)安全措施[2][3]不僅要保證業(yè)務(wù)與辦公系統(tǒng)和網(wǎng)絡(luò)的穩(wěn)定運行，另一方面要保護運行在內(nèi)部網(wǎng)上的敏感數(shù)據(jù)與信息的安全，因此應(yīng)充分保證以下幾點：

1.1 基礎(chǔ)設(shè)施的可用性：運行于內(nèi)部專網(wǎng)的各主機、數(shù)據(jù)庫、應(yīng)用服務(wù)器系統(tǒng)的安全運行十分關(guān)鍵，網(wǎng)絡(luò)安全體系必須保證這些系統(tǒng)不會遭受來自網(wǎng)絡(luò)的非法訪問、惡意入侵和破壞。

1.2 數(shù)據(jù)機密性：對于內(nèi)部網(wǎng)絡(luò)，保密數(shù)據(jù)的泄密將直接帶來政府機構(gòu)以及國家利益的損失。網(wǎng)絡(luò)安全系統(tǒng)應(yīng)保證內(nèi)網(wǎng)機密信息在存儲與傳輸時的保密性。

1.3 網(wǎng)絡(luò)域的可控性:電子政務(wù)的網(wǎng)絡(luò)應(yīng)該處于嚴格的控制之下，只有經(jīng)過認證的設(shè)備可以訪問網(wǎng)絡(luò)，并且能明確地限定其訪問范圍，這對于電子政務(wù)的網(wǎng)絡(luò)安全十分重要。

1.4 數(shù)據(jù)備份與容災(zāi):任何的安全措施都無法保證數(shù)據(jù)萬無一失，硬件故障、自然災(zāi)害以及未知病毒的感染都有可能導(dǎo)致政府重要數(shù)據(jù)的丟失。因此，在電子政務(wù)安全體系中必須包括數(shù)據(jù)的容災(zāi)與備份，并且最好是異地備份。

2 電子政務(wù)信息安全體系模型設(shè)計

完整的電子政務(wù)安全保障體系從技術(shù)層面上來講，必須建立在一個強大的技術(shù)支撐平臺之上，同時具有完備的安全管理機制，并針對物理安全，數(shù)據(jù)存儲安全，數(shù)據(jù)傳輸安全和應(yīng)用安全制定完善的安全策略

在技術(shù)支撐平臺方面，核心是要解決好權(quán)限控制問題。為了解決授權(quán)訪問的問題， 通常是將基于公鑰證書（PKC）的PKI（Public Key Infrastructure）與基于屬性證書（AC）的PMI（Privilege Management Infrastructure)結(jié)合起來進行安全性設(shè)計，然而由于一個終端用戶可以有許多權(quán)限， 許多用戶也可能有相同的權(quán)限集， 這些權(quán)限都必須寫入屬性證書的屬性中， 這樣就增加了屬性證書的復(fù)雜性和存儲空間， 從而也增加了屬性證書的頒發(fā)和驗證的復(fù)雜度。為了解決這個問題，作者建議根據(jù)X.509標準建立基于角色PMI的電子政務(wù)安全模型。該模型由客戶端、驗證服務(wù)器、應(yīng)用服務(wù)器、資源數(shù)據(jù)庫和LDAP 目錄服務(wù)器等實體組成，在該模型中：

2.1 終端用戶：向驗證服務(wù)器發(fā)送請求和證書， 并與服務(wù)器雙向驗證。

2.2 驗證服務(wù)器：由身份認證模塊和授權(quán)驗證模塊組成提供身份認證和訪問控制，是安全模型的關(guān)鍵部分。

2.3 應(yīng)用服務(wù)器： 與資源數(shù)據(jù)庫連接， 根據(jù)驗證通過的用戶請求，對資源數(shù)據(jù)庫的數(shù)據(jù)進行處理， 并把處理結(jié)果通過驗證服務(wù)器返回給用戶以響應(yīng)用戶請求。

2.4 LDAP目錄服務(wù)器：該模型中采用兩個LDAP目錄服務(wù)器， 一個存放公鑰證書（PKC）和公鑰證書吊銷列表（CRL），另一個LDAP 目錄服務(wù)器存放角色指派和角色規(guī)范屬性證書以及屬性吊銷列表ACRL。

安全管理策略也是電子政務(wù)安全體系的重要組成部分。安全的核心實際上是管理，安全技術(shù)實際上只是實現(xiàn)管理的一種手段，再好的技術(shù)手段都必須配合合理的制度才能發(fā)揮作用。需要制訂的制度包括安全行政管理和安全技術(shù)管理。安全行政管理應(yīng)包括組織機構(gòu)和責任制度等的制定和落實；安全技術(shù)管理的內(nèi)容包括對硬件實體和軟件系統(tǒng)、密鑰的管理。

3 電子政務(wù)信息安全管理體系中的風險評估

電子政務(wù)信息安全等級保護是根據(jù)電子政務(wù)系統(tǒng)在國家安全、經(jīng)濟安全、社會穩(wěn)定和保護公共利益等方面的重要程度。等級保護工作的要點是對電子政務(wù)系統(tǒng)進行風險分析，構(gòu)建電子政務(wù)系統(tǒng)的風險因素集。

3.1 信息系統(tǒng)的安全定級 信息系統(tǒng)的安全等級從低到高依次包括自主保護級、指導(dǎo)保護級、監(jiān)督保護級、強制保護級、專控保護級五個安全等級。對電子政務(wù)的五個安全等級定義，結(jié)合系統(tǒng)面臨的風險、系統(tǒng)特定安全保護要求和成本開銷等因素，采取相應(yīng)的安全保護措施以保障信息和信息系統(tǒng)的安全。

3.2 采用全面的風險評估辦法 風險評估具有不同的方法。在ISO/IEC TR13335-3《信息技術(shù)IT安全管理指南:IT安全管理技術(shù)》中描述了風險評估方法的例子，其他文獻，例如NIST SP800-30、AS/NZS 4360等也介紹了風險評估的步驟及方法，另外，一些組織還提出了自己的風險評估工具，例如OCTAVE、CRAMM等。

電子政務(wù)信息安全建設(shè)中采用的風險評估方法可以參考ISO17799、OCTAVE、CSE、《信息安全風險評估指南》等標準和指南，從資產(chǎn)評估、威脅評估、脆弱性評估、安全措施有效性評估四個方面建立風險評估模型。其中，資產(chǎn)的評估主要是對資產(chǎn)進行相對估價，其估價準則依賴于對其影響的分析，主要從保密性、完整性、可用性三方面進行影響分析;威脅評估是對資產(chǎn)所受威脅發(fā)生可能性的評估，主要從威脅的能力和動機兩個方面進行分析;脆弱性評估是對資產(chǎn)脆弱程度的評估，主要從脆弱性被利用的難易程度、被成功利用后的嚴重性兩方面進行分析;安全措施有效性評估是對保障措施的有效性進行的評估活動，主要對安全措施防范威脅、減少脆弱性的有效狀況進行分析;安全風險評估就是通過綜合分析評估后的資產(chǎn)信息、威脅信息、脆弱性信息、安全措施信息，最終生成風險信息。

在確定風險評估方法后，還應(yīng)確定接受風險的準則，識別可接受的風險級別。

4 結(jié)語

電子政務(wù)與傳統(tǒng)政務(wù)相比有顯著區(qū)別，包括:辦公手段不同，信息資源的數(shù)字化和信息交換的網(wǎng)絡(luò)化是電子政務(wù)與傳統(tǒng)政務(wù)的最顯著區(qū)別;行政業(yè)務(wù)流程不同，實現(xiàn)行政業(yè)務(wù)流程的集約化、標準化和高效化是電子政務(wù)的核心;與公眾溝通方式不同，直接與公眾溝通是實施電子政務(wù)的目的之一，也是與傳統(tǒng)政務(wù)的重要區(qū)別。在電子政務(wù)的信息安全管理中，要抓住其特點，從技術(shù)、管理、策略角度設(shè)計完整的信息安全模型并通過科學量化的風險評估方法識別風險和制定風險應(yīng)急預(yù)案，這樣才能達到全方位實施信息安全管理的目的。

參考文獻：

[1]范紅，馮國登，吳亞非.信息安全風險評估方法與應(yīng)用.清華大學出版社.2006.

篇4

關(guān)鍵詞：審計風險準則　風險導(dǎo)向　重大錯報風險　風險評估　審計證據(jù)

一、前言

2006年財政部頒布了《中國注冊會計師執(zhí)業(yè)準則》，標志著我國在建立適應(yīng)社會主義市場經(jīng)濟發(fā)展要求，順應(yīng)國際趨同新形勢的道路上邁進了一大步。為了更好地指導(dǎo)注冊會計師有效地識別、評估和應(yīng)對審計風險，準則框架體系全面滲透著風險導(dǎo)向?qū)徲嫷睦砟?，要求注冊會計師將風險導(dǎo)向?qū)徲嫷挠^念貫穿于審計全過程。傳統(tǒng)審計方法的主要缺陷在于注冊會計師重視被審計單位的內(nèi)部環(huán)境，但忽視其所處的外部環(huán)境；重視審計單位的控制風險但忽視其固有風險。事實上我國注冊會計師面臨的情形是被審計單位及其所處環(huán)境的日趨復(fù)雜。行業(yè)狀況、法律環(huán)境與監(jiān)管環(huán)境以及其他外部因素，都會對注冊會計師審計質(zhì)量產(chǎn)生重大影響。在復(fù)雜環(huán)境下或被審計單位內(nèi)部控制不健全時，如果繼續(xù)采用傳統(tǒng)審計模式，局限于控制測試和實質(zhì)性測試，把審計的主要資源集中在具體交易事項和余額細節(jié)測試上。極易引發(fā)審計風險。因此，新執(zhí)業(yè)準則要求注冊會計師了解被審計單位及其內(nèi)外部環(huán)境，同時注重檢查風險和固有風險(即重大錯報風險)，重點關(guān)注存在重大錯報風險的領(lǐng)域，達到避免觸發(fā)審計風險的目的。新執(zhí)業(yè)準則體系的核心內(nèi)容為以下準則，簡稱審計風險準則，分別為：《中國注冊會計師執(zhí)業(yè)準則第1101號――財務(wù)報表審計的目標和一般原則》(以下簡稱第1101號準則，下同)、《中國注冊會計師執(zhí)業(yè)準則第1211號――了解被審計單位及其環(huán)境并評估重大錯報風險》、《中國注冊會計師執(zhí)業(yè)準則第1231號――針對評估的重大錯報風險實施的程序》、《中國注冊會計師執(zhí)業(yè)準則第1301號――審計證據(jù)》。

二、審計風險準則修訂的主要內(nèi)容

(一)第1101號準則 第1101號準則是在借鑒國際審計與鑒證準則第200號的基礎(chǔ)上，對原《獨立審計準則第1號――會計報表審計》進行修訂而形成的。其主要內(nèi)容有：會計責任和審計責任、審計的目標、審計范圍、職業(yè)懷疑態(tài)度、審計風險及模型。(1)明確區(qū)分注冊會計師的責任，公司管理層和治理層的責任。新準則規(guī)定，對財務(wù)報表發(fā)表審計意見是注冊會計師的責任；在被審計單位治理層的監(jiān)督下，按照適用的會計準則和相關(guān)會計制度的規(guī)定編制財務(wù)報表是被審計單位管理層的責任。此外，準則條款還特別強調(diào)了財務(wù)報表審計不能減輕被審計單位管理層和治理層的責任。(2)明確財務(wù)報表審計目標。新準則規(guī)定，財務(wù)報表審計的目標是注冊會計師通過執(zhí)行審計工作，對財務(wù)報表的下列方面發(fā)表審計意見：財務(wù)報表是否按照適用的會計準則和相關(guān)會計制度的規(guī)定編制；財務(wù)報表是否在所有重大方面公允反映被審計單位的財務(wù)狀況、經(jīng)營成果和現(xiàn)金流量。這個規(guī)定與原有的規(guī)定沒有太大區(qū)別，但是新準則中明確提出，財務(wù)報表審計屬于鑒證業(yè)務(wù)，注冊會計師的審計意見旨在提高財務(wù)報表的可信賴程度。(3)修訂審計范圍的定義。新準則指出，財務(wù)報表的審計范圍是指注冊會計師為實現(xiàn)財務(wù)報表審計目標，根據(jù)審計準則和職業(yè)判斷實施的恰當?shù)膶徲嫵绦虻目偤?。在確定擬實施的審計程序時，注冊會計師應(yīng)當遵守與財務(wù)報表審計相關(guān)的各項審計準則。恰當?shù)膶徲嫵绦蚴侵笇徲嫵绦虻男再|(zhì)、時間和范圍是恰當?shù)?。一是審計程序的性質(zhì)指審計程序的目的和類型。目的包括：通過了解被審計單位及其環(huán)境，識別、評估重大錯報風險；通過實施控制測試，明確內(nèi)部控制運行的有效性；通過實施實質(zhì)性程序，發(fā)現(xiàn)認定層次的重大錯報。類型則包括檢查、觀察、詢問、函證、重新計算、重新執(zhí)行和分析程序。二是審計程序的時間是指注冊會計師何時實施審計程序，或指審計證據(jù)適用的期間或時點。三是審計程序的范圍是指實施審計程序的數(shù)量，包括抽取的樣本量，對某項控制活動的觀察次數(shù)等。審計范圍受到限制是指由于客觀原因或者被審計單位施加的限制，注冊會計師未能實施根據(jù)審計準則和職業(yè)判斷應(yīng)當實施的審計程序，從而未能獲取充分、適當?shù)膶徲嬜C據(jù)。(4)要求注冊會計師在審計過程中始終保持職業(yè)懷疑態(tài)度，并明確在財務(wù)報表審計中注冊會計師只能提供合理保證。新準則要求，在計劃和實施審計工作時，注冊會計師應(yīng)當保持職業(yè)懷疑態(tài)度，充分考慮可能存在導(dǎo)致財務(wù)報表發(fā)生重大錯報的情形。新準則指出，注冊會計師按照審計準則的規(guī)定執(zhí)行審計工作，能夠?qū)ω攧?wù)報表整體不存在重大錯報獲取合理保證。由于審計中存在的固有限制影響注冊會計師發(fā)現(xiàn)重大錯報的能力，注冊會計師不能對財務(wù)報表整體不存在重大錯報獲取絕對保證，即只能提供合理保證。(5)引進新的審計模型。新準則對審計風險模型作了重大改變，將原審計風險模型修正為：審計風險：重大錯報風險x檢查風險，審計風險取決于重大錯報風險和檢查風險，是兩者的綜合風險。重大錯報風險要求注冊會計師站在風險的高度上把握審計過程，以風險為導(dǎo)向進行審計，強化了風險意識，注冊會計師對于重大錯報風險的評估貫穿于審計的整個過程。改變后的審計風險模型使得注冊會計師從更高的層次上把握重大錯報風險，要求注冊會計師必須了解被審計單位及其環(huán)境(包括內(nèi)部控制)，以充分識別和評估財務(wù)報表重大錯報風險，并針對評估的重大錯報風險設(shè)計和實施進一步審計程序(包括控制測試和實質(zhì)性測試)，以降低注冊會計師的審計風險。在目前經(jīng)濟不確定性增大的環(huán)境下，顯然新的審計風險模型更能滿足風險控制的要求，并且可操作性較強。

(二)第1211號準則 第1211號準則是在借鑒國際審計與鑒證準則第315號基礎(chǔ)上出臺的新準則，將取代我國原有的《獨立審計準則第21號――了解被審計單位情況》、《獨立審計準則第9號――內(nèi)部控制與審計風險》和《獨立審計準則第20號――計算機信息系統(tǒng)環(huán)境下的審計》，以克服舊準則相互分離、缺乏有機融合的缺陷。根據(jù)《中國注冊會計師審計準則第1101號――財務(wù)報表審計的目標和一般原則》要求，注冊會計師在審計過程中應(yīng)當貫徹風險導(dǎo)向?qū)徲嫷睦砟?，圍繞重大錯報風險的識別、評估和應(yīng)對，計劃和實施審計工作。其中如何識別和評估重大錯報風險，構(gòu)成了注冊會計師應(yīng)對重大錯報風險的前提。注冊會計師如何了解被審計單位及其環(huán)境，了解哪些具體的內(nèi)容，了解后如何對重大錯報風險進行評估，如何將了解和評估的過程、結(jié)果與管理層和治理層進行溝通，在審計工作底稿中應(yīng)當對哪些內(nèi)容進行記錄，本準則對這些問題做了明確規(guī)范，其修訂的主要內(nèi)容有：(1)注冊會計師審計的總體要求：了解被審計單位及其環(huán)境是必要程序；了解的目的是識別和評估財務(wù)報表重大錯報風險，設(shè)計和實施進一步審計程序；了解的程度應(yīng)當足夠?qū)崿F(xiàn)了解的目的。與獨立審計準則中的規(guī)定不同，了解被審計單位及其內(nèi)外部環(huán)境是注冊會計師審計過程中必須實施的程序，

也是風險導(dǎo)向?qū)徲嫷暮诵摹?2)風險評估程序的概念及項目組內(nèi)部討論的要求。風險評估程序是指為了解被審計單位及其環(huán)境而實施的程序。風險評估程序包括：詢問被審計單位管理層和內(nèi)部其他相關(guān)人員；分析程序；觀察和檢查。注冊會計師在了解被審計單位及其環(huán)境的整個過程中，結(jié)合了解的內(nèi)容和被審計單位業(yè)務(wù)的特點運用相應(yīng)的風險評估程序，并利用風險評估程序所獲取的信息評估重大錯報風險，并可能隨著不斷獲取審計證據(jù)而作出相應(yīng)的變化。如果通過實施進一步審計程序獲取的審計證據(jù)與初始評估獲取的審計證據(jù)相矛盾，注冊會計師應(yīng)當修正風險評估結(jié)果，并相應(yīng)修改原計劃實施的進一步審計程序，實施風險評估程序之后項目組內(nèi)部必須進行討論。注冊會計師通過風險評估程序了解被審計單位及其環(huán)境后，需要對財務(wù)報表重大錯報風險進行評估，評估重大錯報風險需要運用專業(yè)判斷，必須由項目組內(nèi)部討論來完成，項目組內(nèi)部討論可以有效降低審計風險。在原準則中，評估固有風險、控制風險也需要專業(yè)判斷，但并沒有需要項目組共同討論的規(guī)定。一是討論的目標。項目組通過討論可以使成員更好地了解在各自分工負責的領(lǐng)域中，由于舞弊或錯誤導(dǎo)致財務(wù)報表重大錯報地可能性，并了解各自實施審計程序的結(jié)果如何影響審計的其他方面，包括對確定進一步審計程序的性質(zhì)、時間和范圍的影響。二是討論的內(nèi)容。項目組應(yīng)當討論被審計單位面臨的經(jīng)營風險、財務(wù)報表容易發(fā)生錯報的領(lǐng)域以及發(fā)生錯報的方式，特別是由于舞弊導(dǎo)致重大錯報的可能性。三是參與討論的人員。注冊會計師應(yīng)當運用職業(yè)判斷確定項目組內(nèi)部參與討論的成員。項目組的關(guān)鍵成員應(yīng)當參與討論，如果項目組需要擁有信息技術(shù)或其他特殊技能的專家，這些專家也應(yīng)當參與討論。項目組的討論不要求所有成員每次都參與討論，參與討論人員的范圍受項目組成員的職責、經(jīng)驗和信息需求的影響。四是討論的時間和方式。項目組應(yīng)當根據(jù)審計的具體情況，在整個審計過程中，持續(xù)交換有關(guān)財務(wù)報表發(fā)生重大錯報可能性的信息。項目組在討論時應(yīng)當強調(diào)在整個過程中保持職業(yè)懷疑態(tài)度，警惕表明舞弊或錯誤導(dǎo)致的重大錯報可能已經(jīng)發(fā)生的信息或其他跡象，并對這些跡象進行追蹤。通過討論，項目組成員可以交流和分享在整個審計過程中獲得的信息，包括可能對重大錯報風險評估產(chǎn)生影響的信息或有關(guān)針對風險實施的審計程序的信息。(3)注冊會計師應(yīng)盡到的相關(guān)職責。對注冊會計師應(yīng)當從哪些方面了解被審計單位及其環(huán)境作了詳細的定義：行業(yè)狀況、法律環(huán)境與監(jiān)管環(huán)境以及其他外部因素；被審計單位的性質(zhì)；被審計單位對會計政策的選擇和運用；被審計單位的目標、戰(zhàn)略以及相關(guān)經(jīng)營風險；被審計單位財務(wù)業(yè)績的衡量和評價；被審計單位的內(nèi)部控制。這些內(nèi)容是新準則的重要內(nèi)容，值得注意的是對被審計單位的了解不僅局限于被審計單位的內(nèi)部控制。對以上新準則中有相應(yīng)的章節(jié)進行具體的闡述，使得注冊會計師思考的是究竟哪些方面去了解被審計單位，而不像原有準則中是比較模糊的概念，這樣做可以有效防止了解的不徹底影響審計工作，低估重大錯報風險。(4)明確了注冊會計師了解內(nèi)部控制的定位。注冊會計師需要了解和評價的內(nèi)部控制只是與財務(wù)報表審計相關(guān)的內(nèi)部控制，并非被審計單位所有的內(nèi)部控制。因為注冊會計師審計的目標是對財務(wù)報表是否不存在重大錯報發(fā)表審計意見，注冊會計師考慮與財務(wù)報表編制相關(guān)的內(nèi)部控制，但目的并非對被審計單位內(nèi)部控制的有效性發(fā)表意見。(5)明確了注冊會計師評估兩個層次的重大錯報風險。在對重大錯報風險進行識別和評估后，注冊會計師應(yīng)當確定識別的重大錯報風險是與特定的各類交易、賬戶余額、列報的認定相關(guān)，還是與財務(wù)報表整體廣泛相關(guān)，進而影響多項認定。某些重大錯報風險可能與特定的各類交易、賬戶余額、列報的認定相關(guān)。如被審計單位存在復(fù)雜的聯(lián)營或合資，這一事項表明長期股權(quán)投資賬戶的認定可能存在重大錯報風險。又如被審計單位存在重大的關(guān)聯(lián)方交易，該事項表明關(guān)聯(lián)方及關(guān)聯(lián)方交易的披露認定可能存在重大錯報風險。某些重大錯報風險可能與財務(wù)報表整體廣泛相關(guān)，進而影響多項認定。如在經(jīng)濟不穩(wěn)定的國家和地區(qū)開展業(yè)務(wù)、資產(chǎn)的流動性出現(xiàn)問題、重要客戶流失、融資能力受到限制等，可能導(dǎo)致注冊會計師對被審計單位的持續(xù)經(jīng)營能力產(chǎn)生重大疑慮。又如管理層缺乏誠信或承受異常的壓力可能引發(fā)舞弊風險，這些風險與財務(wù)報表整體相關(guān)。(6)提出了特別風險的概念，需要特別考慮的重大錯報風險即為特別風險，并根據(jù)風險的性質(zhì)、潛在錯報的重要程度和發(fā)生的可能性判斷風險是否屬于特別風險。如風險是否屬于舞弊風險；交易的復(fù)雜程度；風險是否涉及重大的關(guān)聯(lián)方交易等。(7)提出了對僅通過實質(zhì)性程序無法應(yīng)對的重大錯報風險的處理方法。僅通過實質(zhì)性程序獲取的審計證據(jù)無法將認定層次的重大錯報風險降至可接受的低水平，注冊會計師應(yīng)當評價被審計單位針對這些風險設(shè)計的控制，并確定其執(zhí)行情況。在被審計單位對日常交易采用高度自動化處理的情況下，審計證據(jù)可能僅以電子形式存在，其充分性和適當性通常取決于自動化信息系統(tǒng)相關(guān)控制的有效性，注冊會計師應(yīng)當考慮僅通過實施實質(zhì)性程序不能獲取充分、適當審計證據(jù)的可能性。如果認為僅通過實施實質(zhì)性程序不能獲取充分、適當?shù)膶徲嬜C據(jù)，注冊會計師應(yīng)當考慮依賴的相關(guān)控制的有效性，并對其進行了解、評估和測試。(8)將了解被審計單位及其環(huán)境過程中獲得的信息記錄與工作底稿中。此類信息包括項目組對由于舞弊或錯誤導(dǎo)致財務(wù)報表發(fā)生重大錯報的可能性進行的討論，以便得出的重要結(jié)論；對被審計單位及其環(huán)境各個方面的了解要點、信息來源以及實施的風險評估程序；在財務(wù)報表層次和認定層次識別、評估出的重大錯報風險；識別出的特別風險和僅通過實質(zhì)性程序無法應(yīng)對的重大錯報風險，以及對相關(guān)控制的評估。

(三)第1231號準則 第1231號準則是在借鑒國際審計與鑒證準則第330號的基礎(chǔ)上出臺的一個全新的準則，將取代原有的《第21號――了解被審計單位情況》、《第9號――內(nèi)部控制與審計風險》和《第20號――計算機信息系統(tǒng)環(huán)境下的審計》。根據(jù)《中國注冊會計師審計準則第1101號――財務(wù)報表審計的目標和一般原則》的要求，注冊會計師在審計過程中應(yīng)當貫徹風險導(dǎo)向?qū)徲嫷睦砟睿瑖@重大錯報風險的識別、評估和應(yīng)對，計劃和實施審計工作。其中《第1211號――了解被審計單位及其環(huán)境并評估重大錯報風險》規(guī)范了注冊會計師通過實施風險評估程序，識別和評估財務(wù)報表層次以及各類交易、賬戶余額、列報認定層次的重大錯報風險，注冊會計師針對已評估的財務(wù)報表層次的重大錯報風險如何確定總體應(yīng)對措施，針對已評估的認定層次的重大錯報風險如何設(shè)計和實施進一步審計程序，進一步審計程序的性質(zhì)、時間、范圍如何確定和實施，如何評價實施審計程序收集的審計證據(jù)的充分性和適當性，在審計工作底稿中將對哪些審計工作進行記錄等，對這些問題的明確規(guī)范是第1231號準則的核心內(nèi)容。其修訂的主要內(nèi)容有：總體要求、針對重大錯報風險的總體反應(yīng)、審計程序的不可預(yù)見性、總體方案和進一步審計程序、控制測試的相關(guān)要求、實質(zhì)性程序及相關(guān)要求、審計的相關(guān)要求、審計工作記錄。(1)明確提出了對注冊會計師審計的兩個總體要求：審計程序的總體要求，注冊會計師應(yīng)

當對評估的財務(wù)報表層次重大錯報風險確定總體應(yīng)對措施，并針對評估的認定層次重大錯報風險設(shè)計和實施進一步審計程序；職業(yè)判斷的總體要求，注冊會計師在確定總體應(yīng)對措施以及設(shè)計和實施進一步審計程序的性質(zhì)、時間和范圍時應(yīng)當運用職業(yè)判斷。(2)首次提出了注冊會計師應(yīng)當針對評估的財務(wù)報表層次重大錯報風險確定下列總體應(yīng)對措施：向項目組強調(diào)在收集和評價審計證據(jù)過程中保持職業(yè)懷疑態(tài)度的必要性；分派更有經(jīng)驗或具有特殊技能的審計人員，或利用專家的工作；提供更多的督導(dǎo)；在選擇進一步審計程序時，應(yīng)當注意使某些程序不被管理層預(yù)見或事先了解；對擬實施審計程序的性質(zhì)、時間和范圍作出總體修改。(3)強調(diào)審計程序的不可預(yù)見性要求。注冊會計師針對評估的財務(wù)報表層次重大錯報風險確定的總體應(yīng)對措施中強調(diào)增強審計程序的不可預(yù)見性，因此，注冊會計師在設(shè)計擬實施審計程序的性質(zhì)、時間和范圍時，為了避免既定思維對審計方案的限制，避免對審計效果的人為干涉，從而使得針對重大錯報風險的進一步審計程序更加有效，注冊會計師要考慮使某些程序不被審計單位管理層預(yù)見或事先了解。(4)首次提出了兩種總體方案和進一步審計程序的概念。兩種總體方案分別為實質(zhì)性方案和綜合性方案，實質(zhì)性方案是指注冊會計師實施的進一步審計程序以實質(zhì)性程序為主；綜合性方案是指注冊會計師在實施進一步審計程序時，將控制測試與實質(zhì)性程序結(jié)合使用。而所謂的進一步審計程序是相對風險評估程序而言的，是注冊會計師針對評估的各類交易、賬戶余額、列報認定層次重大錯報風險實施的審計程序，包括控制測試和實質(zhì)性程序。(5)重新界定了注冊會計師實施控制測試的兩種情形，當存在下列情形之一時，注冊會計師應(yīng)當實施控制測試：在評估認定層次重大錯報風險時，預(yù)期控制的運行時有效的；僅實施實質(zhì)性程序不足以提供認定層次充分、適當?shù)膶徲嬜C據(jù)。(6)強調(diào)了實施控制測試獲取審計證據(jù)的重要性。即認為僅實施實質(zhì)性程序獲取的審計證據(jù)無法將認定層次重大錯報風險降至可接受水平，注冊會計師應(yīng)當實施相關(guān)的控制測試，以獲取控制運行有效性的審計證據(jù)。(7)增加了“重新執(zhí)行”的控制測試取證方法。根據(jù)第1301號審計證據(jù)準則，注冊會計師獲取審計證據(jù)的具體程序中將六種具體的取證方法修改為八種，即檢查記錄或文件；檢查有形資產(chǎn)；觀察；詢問；函證；重新計算；重新執(zhí)行；分析程序。其中增加了“重新執(zhí)行”控制測試的取證方法。(8)嚴格限制了注冊會計師無限期或過長時間內(nèi)不實施測試的做法。如果擬信賴的控制自上次測試后未發(fā)生變化，且不屬于旨在減輕特別風險的控制，注冊會計師應(yīng)當運用職業(yè)判斷確定是否在本期審計中測試其運行有效性，以及本次測試與上次測試的時間間隔，但兩次測試的時間間隔不得超過兩年。(9)首次明確區(qū)分“控制運行的有效性”與“控制是否得到執(zhí)行”。注冊會計師在了解被審計單位及其環(huán)境時需要實施風險評估程序。注冊會計師在確定控制是否得到執(zhí)行而實施的某些風險評估程序可能提供有關(guān)控制運行有效性的審計證據(jù)。注冊會計師可以考慮在評價控制設(shè)計和獲取其得到執(zhí)行的審計證據(jù)的同時測試控制運行有效性，以提高審計效率。兩者的區(qū)別如(表1)所示。(10)首次明確期中進行控制測試的考慮。如果注冊會計師在期中實施控制測試程序，即使注冊會計師已獲取有關(guān)控制在期中運行有效性的審計證據(jù)，仍然需要考慮如何能夠?qū)⒖刂圃谄谥羞\行有效性的審計證據(jù)合理延伸至期末，以確保針對期中至期末這段剩余期間獲取充分、適當?shù)膶徲嬜C據(jù)。如果已獲取有關(guān)控制在期中運行有效性的審計證據(jù)，并擬利用該證據(jù)，注冊會計師應(yīng)當實施下列審計程序：首先，獲取這些控制在剩余期間變化情況的審計證據(jù)。針對期中已獲取過審計證據(jù)的情況，如果這些控制在剩余期間沒有發(fā)生變化，注冊會計師可能決定信賴期中獲取的審計證據(jù)；如果這些控制在剩余期間發(fā)生了變化，注冊會計師需要了解并測試控制的變化對期中審計證據(jù)的影響。其次，確定針對剩余期間還需獲取的補充審計證據(jù)。針對期中已獲取過審計證據(jù)的情況，如果這些控制在剩余期間發(fā)生了變化，注冊會計師應(yīng)當考慮下列因素：評估的認定層次重大錯報風險的重大程度。評估的重大錯報風險對財務(wù)報表的影響越大，注冊會計師需要獲取的剩余期間的補充證據(jù)越多；在期中測試的特定控制。如對自動化運行的控制，注冊會計師更可能測試信息系統(tǒng)一般控制的運行有效性，以獲取控制在剩余期間運行有效姓的審計證據(jù)；在期中對有關(guān)控制運行有效性獲取的審計證據(jù)的程度。如果注冊會計師在期中對有關(guān)控制運行有效性獲取的審計證據(jù)比較充分，可以考慮適當減少需要獲取的剩余期間的補充證據(jù)；剩余期間的長度。剩余期間越長，注冊會計師需要獲取的剩余期間的補充證據(jù)越多；在信賴控制的基礎(chǔ)上擬減少進一步實質(zhì)性程序的范圍。注冊會計師對相關(guān)控制的信賴程度越高，通常在信賴控制的基礎(chǔ)上擬減少進一步實質(zhì)性程序的范圍就越大。在這種情況下，注冊會計師需要獲取的剩余期間的補充證據(jù)越多；控制環(huán)境。在注冊會計師總體上擬信賴控制的前提下，控制環(huán)境越薄弱(或把握程度越低)，注冊會計師需要獲取的剩余期間的補充證據(jù)越多。(11)明確了實質(zhì)性程序概念和內(nèi)容。實質(zhì)性程序是指注冊會計師針對評估的重大錯報風險實施的直接用以發(fā)現(xiàn)認定層次重大錯報的審計程序。包括對各類交易、賬戶余額、列報的細節(jié)測試以及實質(zhì)性分析程序。(12)明確了對于特別風險的專門應(yīng)對程序。如果認為評估的認定層次重大錯報風險是特別風險，注冊會計師應(yīng)當專門針對該風險實施實質(zhì)性程序；如果針對特別風險僅實施實質(zhì)性程序，注冊會計師應(yīng)當使用細節(jié)測試，或?qū)⒓毠?jié)測試和實質(zhì)性分析程序結(jié)合使用，以獲取充分、適當?shù)膶徲嬜C據(jù)。(13)首次提出了是否在期中實施實質(zhì)性程序。注冊會計師如果在期中實施了實質(zhì)性程序，仍然需要消耗進一步的審計資源使期中審計證據(jù)能夠合理延伸至期末，注冊會計師應(yīng)當考慮是否在期中實施實質(zhì)性程序。(14)指明了財務(wù)報表審計是一個累計和不斷修正的過程。隨著計劃的審計程序的實施，如果獲取的信息與風險評估時依據(jù)的信息有重大差異，注冊會計師應(yīng)當考慮修正風險評估結(jié)果，并據(jù)以修改原計劃的其他審計程序的性質(zhì)、時間和范圍。(15)明確了注冊會計師應(yīng)當針對評估的風險設(shè)計細節(jié)測試。如在針對存在或發(fā)生認定設(shè)計細節(jié)測試時，注冊會計師應(yīng)當選擇包含在財務(wù)報表金額中的項目，并獲取相關(guān)審計證據(jù)；針對完整性認定設(shè)計細節(jié)測試時，注冊會計師應(yīng)當選擇有證據(jù)表明應(yīng)包含在財務(wù)報表金額中的項目，并調(diào)查這些項目是否確實包括在內(nèi)。(16)明確了審計工作記錄要求。注冊會計師應(yīng)當針對評估的重大錯報風險實施的程序進行充分的審計工作記錄。包括記錄：對評估的財務(wù)報表層次重大錯報風險采取的總體應(yīng)對措施；實施進一步審計程序的性質(zhì)、時間和范圍；實施進一步審計程序與評估的認定層次重大錯報風險的聯(lián)系；實施進一步審計程序的結(jié)果。

(四)第1301號準則 第1301號準則是在借鑒國際審計與鑒證準則第500號的基礎(chǔ)上，對我國原有的《獨立審計準則第5號――審計證據(jù)》進行修訂而形成的。此次重大修訂的內(nèi)容有：(1)拓展了審計證據(jù)的內(nèi)涵。原審計證據(jù)準則將審計證據(jù)定義為“注冊會計師在執(zhí)行審計業(yè)務(wù)過程中，為形成審計意見所獲取的證據(jù)”。原審計證據(jù)準則對審計證據(jù)的內(nèi)涵界定比較窄，注冊會計師收集

的審計證據(jù)更多體現(xiàn)的是與財務(wù)報表會計記錄相關(guān)的信息。修訂后審計證據(jù)準則將審計證據(jù)定義為“注冊會計師為了得到審計結(jié)論、形成審計意見而使用的所有信息”。新審計證據(jù)準則對審計證據(jù)的內(nèi)涵要寬泛得多，不僅包括與財務(wù)報表會計記錄相關(guān)的信息，還包括其他信息。如(圖1)所示。

其中，第一類審計證據(jù)是“財務(wù)報表依據(jù)的會計記錄中含有的信息”。會計記錄中含有的信息是最基本信息。構(gòu)成了財務(wù)報表最主要的內(nèi)容，一般包括對初始分列的記錄和支持性記錄，如支票、電子資金轉(zhuǎn)賬記錄、發(fā)票、合同、總賬、明細賬、記賬憑證和未在記賬憑證中反映的對財務(wù)報表的其他調(diào)整，以及支持成本分配、計算、調(diào)節(jié)和披露的手工計算表和電子數(shù)據(jù)表。第二類審計證據(jù)是“其他信息”。其他信息是用來印證會計記錄中含有的信息是否真實、完整，指導(dǎo)注冊會計師如何識別、評估財務(wù)報表重大錯報風險，一般包括：注冊會計師從被審計單位內(nèi)部或外部獲取的會計記錄以外的信息，如被審計單位會議記錄、內(nèi)部控制手冊、函證函的回函、分析師的報告、與競爭者的比較數(shù)據(jù)等；通過詢問、觀察和檢查等審計程序獲取的信息，如通過檢查存貨獲取存貨存在性的證據(jù)等；自身編制或獲取的可以通過合理推斷得出結(jié)論的信息，如注冊會計師編制的各種計算表、分析表等。(2)引進了“認定”的概念。原審計證據(jù)準則未將“認定”寫進準則，整個審計準則體系對“認定”概念重視不夠，新審計證據(jù)準則引入“認定”概念，并要求注冊會計師詳細運用認定指導(dǎo)具體審計目標，根據(jù)具體審計目標來設(shè)計和確定進一步審計程序。(3)將獲取審計證據(jù)的程序區(qū)分為總體程序和具體程序。原審計證據(jù)準則只列了六種具體的取證方法。修訂后的審計證據(jù)準則將注冊會計師獲取審計證據(jù)的程序區(qū)分為總體程序和具體程序，總體程序增加了風險評估程序，即包括風險評估程序、控制測試和實質(zhì)性程序；具體程序中將六種具體的取證方法修改為八種，具體包括的內(nèi)容前文已述及。其中，將“監(jiān)盤”程序進行細分，因為“監(jiān)盤”是“檢查記錄或文件”、“檢查有形資產(chǎn)”、“觀察”等具體審計程序的復(fù)合程序；增加“重新執(zhí)行”具體程序；將原來的“計算”和“分析性復(fù)核”分別修改為“重新計算”和“分析程序”。(4)新增風險評估程序。根據(jù)風險導(dǎo)向?qū)徲嫓蕜t體系的要求，注冊會計師應(yīng)當通過了解被審計單位及其環(huán)境識別重大錯報風險，并針對評估的重大錯報風險設(shè)計和實施進一步的審計程序，因此，在修訂后的審計證據(jù)準則中增加“風險評估程序”，以此為手段通過了解情況作為評估財務(wù)報表層次和認定層次重大錯報風險的基礎(chǔ)。但風險評估程序并不能識別出所有的重大錯報風險，雖然它可作為評估財務(wù)報表層次和認定層次重大錯報風險的基礎(chǔ)，但并不能為發(fā)表審計意見提供充分、適當?shù)膶徲嬜C據(jù)。為了獲取充分、適當?shù)膶徲嬜C據(jù)，注冊會計師還需要實施進一步程序，包括實施控制測試(必要時或決定測試時)和實質(zhì)性程序。(5)新增“重新執(zhí)行”的具體審計程序。重新執(zhí)行是指注冊會計師以人工方式或使用計算機輔助審計技術(shù)，重新獨立執(zhí)行作為被審計單位內(nèi)部控制組成部分的程序或控制。如注冊會計師利用被審計單位的銀行存款日記賬和銀行對賬單，重新編制銀行存款余額調(diào)節(jié)表，并與被審計單位編制的銀行存款余額調(diào)節(jié)表進行比較。

三、審計風險準則對注冊會計師的影響

(一)對注冊會計師審計理念的影響注冊會計師審計的主線始終是對重大錯報風險的識別、評估與應(yīng)對。注冊會計師為了實現(xiàn)審計目標。在計劃和實施審計工作時，應(yīng)當保持職業(yè)懷疑態(tài)度，充分考慮可能導(dǎo)致會計報表發(fā)生重大錯報的情形。在審計和實施進一步審計程序時，注冊會計師應(yīng)當將審計程序的性質(zhì)、時間及范圍與識別和評估的風險相聯(lián)系，以防止機械利用程序表從形式上迎合獨立審計準則對審計程序的要求。注冊會計師必須針對重大的各類交易、賬戶余額、列報和披露實施實質(zhì)性測試。注冊會計師對重大錯報風險評估是一種判斷，并且內(nèi)部控制存在固有限制，無論評估的重大錯報風險結(jié)果如何，注冊會計師必須針對重大的各類交易、賬戶余額、列報和披露實施實質(zhì)性程序，不得將實質(zhì)性測試只集中在例外事項上。

篇5

自20世紀80年代起，隨著對風險評估問題研究的不斷深入，出現(xiàn)了多種風險評估方法和標準。但是，這些方法和標準一般都是針對大型機構(gòu)或部門的信息系統(tǒng)設(shè)計，用于實施風險評估，往往工作量較大，無法適用于中小型信息系統(tǒng)。

因此，在已知的大量實際案例中，風險評估的實施往往沒有采用經(jīng)典的由威脅、脆弱性、資產(chǎn)組成的標準模型，而代之以最佳實踐法、資產(chǎn)評估法、基于場景的分析法等方法。其中，最佳實踐法側(cè)重于分析對不同類別資產(chǎn)所采取的安全措施；資產(chǎn)評估法重點關(guān)注資產(chǎn)在組織層面的價值；基于場景的分析法則依靠測試和分析典型風險場景來實現(xiàn)風險評估。這些方法的問題包括：1、評估過程花費昂貴且耗時過長，評估結(jié)果無法及時反應(yīng)信息系統(tǒng)風險狀態(tài)；2、安全措施的選擇往往并非基于風險模型，而是基于由最佳實踐得出的安全措施清單，無法科學地反映被評估系統(tǒng)的問題。

在學術(shù)領(lǐng)域，也有不少研究致力于將故障樹、事件樹、馬爾可夫鏈、FMEA等建模技術(shù)應(yīng)用于風險評估模型的構(gòu)建。如基于DS證據(jù)推理的風險評估模型、基于貝葉斯網(wǎng)絡(luò)的風險評估模型P]、基于攻擊樹的風險評估模型等。上述方法的共同缺點包括：假設(shè)的主觀性較強、風險因素與風險之間關(guān)系的識別的復(fù)雜性較高、時間較長。

2011年，Lazzerini和Mkrtchyan提出了一種使用具有非線性隸屬函數(shù)、條件權(quán)重及時延權(quán)重的擴展模糊認知圖（E-FCMs)來分析風險因素和風險之間關(guān)系的方法，在該文獻中，倆人還提出了一種基于E-FCMs的悲觀方法來評估一個系統(tǒng)或項目整體風險的模型，并通過引入適合于風險分析的特殊圖示對E-FCMs進行了擴展。但是，本文研究的信息安全風險屬于操作類風險，上述方法不能直接用于解決此類風險評估問題。

本文提出了一種基于模糊認知圖（FuzzyCognitiveMaps，F(xiàn)CM)的輕量級風險評估方法，方法包括風險模型構(gòu)建、風險推理兩部分。其中，模糊認知圖被用于獲取資產(chǎn)間依賴關(guān)系，基于模糊認知圖的推理方法被用于將低級資產(chǎn)（如硬件、軟件、信道、人等）的風險整合至高級資產(chǎn)（如服務(wù)、數(shù)據(jù)、業(yè)務(wù)流程等）。另外，本文還以一個移動辦公信息系統(tǒng)為例，對方法的應(yīng)用進行了研究。

2模糊認知圖簡介

Kosko最早通過引入模糊值對認知圖進行擴展，形成了模糊認知圖的概念。大量文獻對模糊認知圖進行了研究[9]，應(yīng)用范疇包括：系統(tǒng)建模、經(jīng)濟制度發(fā)展分析、新技術(shù)應(yīng)用、生態(tài)系統(tǒng)分析和醫(yī)學決策支持等。

FCM是一種有向圖，每個節(jié)點表示系統(tǒng)中的一個概念，這個概念可以是系統(tǒng)的事件、目標和趨勢等，整個模型包含一組概念C={c1,...,c?}；有向邊表示節(jié)點間的因果關(guān)系。每個概念節(jié)點具有各自的激活水平值，激活水平值一般為[0,1]或[-1,1]的實數(shù)，系統(tǒng)狀態(tài)是各節(jié)點激活水平值的n維向量(《=|C|)。

在FCM中，節(jié)點間因果關(guān)系由邊和邊的權(quán)重表示。連接兩個節(jié)點C和Cj的邊的權(quán)重為正，表示c增長將引起C]增長，權(quán)重為負則表示c增長將引起c]減小。最簡單的FCM僅以值-1,0或1作為邊權(quán)重，在圖中分別用負號㈠邊、沒有邊、正號㈩邊表示。為了更精確地定義因果關(guān)系，一般會用語言值（如強烈否定、否定、偏否定、中立、偏肯定、肯定、強烈肯定）表示權(quán)重，計算時再將這些語言值均勻映射到區(qū)間上。

FCM中各節(jié)點間的因果關(guān)系可以用_的影響力矩陣￡=[%]表示，矩陣元素代表連接節(jié)點ct和c3的邊權(quán)重；若兩節(jié)點間無因果關(guān)系，則用0值表示。圖1是一個FCM的例子，Cl,C2,C3,C4,C5,C6為概念節(jié)點，

帶語言值權(quán)重的邊表示節(jié)點間的影響力。影響力矩陣E為：語言值對應(yīng)的數(shù)值選擇沒有確定的規(guī)則，在此采用將語言值均勻映射至區(qū)間[-1,1]的選擇方式，得到對應(yīng)的數(shù)值為-1,-0.66,-0.33,0,0.33,0.66,1。3基于模糊認知圖的風險評估方法各類風險評估標準中均對風險評估的方法的使用方式等有所描述。本文方法與上述方法的主要區(qū)別在于，利用FCM模型能夠方便快捷地獲取資產(chǎn)間的相互影響，并能夠在風險的聚合過程中對資產(chǎn)間依賴關(guān)系的變化實現(xiàn)追蹤。

3.1概念模型

在圖2所示的被測信息系統(tǒng)概念模型中，各項資產(chǎn)按其相互關(guān)系被連接形成一個資產(chǎn)增值樹。其中，低級資產(chǎn)為其上級資產(chǎn)提供服務(wù)，頂部節(jié)點一關(guān)鍵業(yè)務(wù)進程由系統(tǒng)業(yè)務(wù)確定。各資產(chǎn)間的依賴關(guān)系在圖中通過箭頭表示，如圖所示：關(guān)鍵業(yè)務(wù)進程的效用取決于其使用的數(shù)據(jù)和服務(wù)；數(shù)據(jù)的可用性由數(shù)據(jù)源（用戶、外部數(shù)據(jù)提供者）提供；服務(wù)則依賴于軟件、硬件和信道，同時與人員、物理基礎(chǔ)設(shè)施（建筑物、房間、電力設(shè)施）和外部服務(wù)（如PKI)等相關(guān)。同時，各節(jié)點被賦予一定的安全效用值，效用值是資產(chǎn)的完整性、可靠性、可用性等各種安全屬性的集合。低級資產(chǎn)效用值的變化將影響到使用它們的高級資產(chǎn)。

與關(guān)注于攻擊行為或威脅的方法（如攻擊樹法）不同，本文選擇了基于資產(chǎn)的威脅識別方法。在如圖3所示的風險基本模型中，資產(chǎn)的效用值可能受威脅的影響而降低，威脅對資產(chǎn)的負面影響可以通過適當?shù)陌踩胧┘右匝a償，安全措施本身只能降低風險，而不能增加資產(chǎn)的效用值。圖3資產(chǎn)、威脅及安全措施之間的關(guān)系

最后，在安全分析的眾多領(lǐng)域，被評估風險的大小均與風險可能導(dǎo)致的經(jīng)濟損失有關(guān)。作為風險狀況的體現(xiàn)，造成損失較小的事件，若數(shù)量超過一定值，也需要考慮其效果的累積。

另外，對生命體征監(jiān)測、航天、鐵路管理等安全關(guān)鍵系統(tǒng)而言，部分故障應(yīng)被視為無法量化的災(zāi)難性損失，在評估實施中，應(yīng)被視作停止系統(tǒng)運行的條件。本文將討論的移動辦公信息系統(tǒng)，安全性要求較為靈活，不將其視為安全關(guān)鍵系統(tǒng)。

為了便于評估的實施，本文作出如下定義：

⑴效用值：一種被賦予資產(chǎn)的數(shù)值，取值范圍為[-1,1]；

⑵風險：與資產(chǎn)相關(guān)，預(yù)設(shè)效用值與推理過程結(jié)束時計算出的效用值之間的差值。

3.2 基于模糊認知圖的風險評估流程

本文的風險評估流程如圖4所示。圖中圓角矩形表示流程中的各個環(huán)節(jié)，實線矩形表示輸入輸出信息，虛線矩形表示各流程產(chǎn)生的中間結(jié)果。

本文基于模糊認知圖的風險評估方法由以下六步組成：1、資產(chǎn)識別：此步驟的輸入為項目文檔、設(shè)計方案等能夠體現(xiàn)系統(tǒng)現(xiàn)狀和體系結(jié)構(gòu)的文件，以及與方案設(shè)計人員等的面談記錄。輸出為系統(tǒng)的資產(chǎn)列表，包括關(guān)鍵業(yè)務(wù)、服務(wù)、數(shù)據(jù)、軟件模塊、硬件、信道、外部數(shù)據(jù)及服務(wù)提供者，以及相關(guān)人員及辦公場所等。2、構(gòu)建資產(chǎn)增值樹：此步驟的目的是評估低級資產(chǎn)（硬件、軟件、信道等）對高級資產(chǎn)（服務(wù)和數(shù)據(jù)）的影響。影響力的大小由與系統(tǒng)建設(shè)方討論確定的語言值來描述。為便于后續(xù)推理的實施，此步得出的資產(chǎn)增值樹將被表示為FCM影響力矩陣的形式。3、威脅識別：此步驟可使用常見的威脅分類方法(如基于本體），也可根據(jù)被評估系統(tǒng)的資產(chǎn)分類來識別威脅。本文采用以資產(chǎn)為基礎(chǔ)的威脅識別方法，即所有威脅均針對特定資產(chǎn)。4、單項資產(chǎn)風險評估：此步驟將調(diào)査問卷作為基本工具，要求相關(guān)人員回答與安全措施相關(guān)的問題，同時采用由信息安全領(lǐng)域最佳實踐得出的安全措施列表，并對其進行篩選修改，使其適用于特定資產(chǎn)。此步驟的輸出是資產(chǎn)的風險值（歸一化至[0,1]的實數(shù))。5、風險聚合：此步用FCM推理完成，體現(xiàn)低級資產(chǎn)的風險如何累積影響高級資產(chǎn)的風險狀況。此步還包括FCM影響矩陣規(guī)范化等其他準備工作。6、結(jié)果解析：根據(jù)以上計算所得結(jié)果，給出系統(tǒng)關(guān)鍵風險的判斷并給出安全措施等的建議。

3.3風險聚合一一模糊認知圖推理過程

用FCM進行推理的關(guān)鍵在于構(gòu)建狀態(tài)序列：a=j(0)j(1),...j(蛛...，該序列以節(jié)點激活水平值的初始向量為起點，根據(jù)下式算出序列的后續(xù)元素：為(+1)=S,(VA.㈨）（2)第(k+1)輪迭代是將矢量A(k)與影響力矩陣E相乘，然后通過一個激活函數(shù)將所得到的節(jié)點激活水平值映射到預(yù)設(shè)的范圍內(nèi)。

激活函數(shù)的選擇與計算模型密切相關(guān)，尤其是映射的區(qū)間范圍以及使用的是連續(xù)值還是離散值。本例中，矢量A(k)與各元素絕對值均小于1的n維方陣E相乘，其結(jié)果應(yīng)為一個各元素值均在[-?,?]范圍內(nèi)的向量。因此，激活函數(shù)需要滿足條件：1、在此區(qū)間內(nèi)的值應(yīng)被映射至[-1,1](或[0,1])區(qū)間；2、應(yīng)是單調(diào)函數(shù)，并滿足S(0)=0(或S(0)=0.5)。在本文后續(xù)的方法應(yīng)用中，將采用以下兩種激活函數(shù)：

通常，狀態(tài)序列a=A(0XA(1),...^4(處...可無限延展。然而，研究表明，在k次迭代后(k是一個接近矩陣E的秩的數(shù)字），序列將達到一個穩(wěn)定狀態(tài)或產(chǎn)生循環(huán)。因此，當推理算法滿足下式要求時可停止迭代：2 j<k:d(((k),A(j))<￡ (5)其中d是距離，e是一個很小的閾值，如10_2。狀態(tài)序列a代表了一個非單調(diào)的模糊推理過程，推理序列的穩(wěn)定狀態(tài)是推理結(jié)果。本文的風險聚合過程，就是利用了此推理過程。

4移動辦公信息系統(tǒng)風險評估實例

本節(jié)將以某移動辦公信息系統(tǒng)為例，對本文方法的實施過程及結(jié)果進行研究。

4.1 移動辦公信息系統(tǒng)介紹

隨著移動互聯(lián)網(wǎng)技術(shù)的發(fā)展成熟，各行各業(yè)的移動辦公業(yè)務(wù)需求不斷增長，出現(xiàn)了大量移動辦公建設(shè)案例。移動辦公信息系統(tǒng)的主要應(yīng)用模式是通過移動終端從業(yè)務(wù)服務(wù)器下載各類業(yè)務(wù)應(yīng)用數(shù)據(jù)，支持移動辦公現(xiàn)場業(yè)務(wù)實施；在上述業(yè)務(wù)流程中，廣泛的信道支持（WiFi、廣域網(wǎng)、移動運營商網(wǎng)絡(luò)等）為其提供了高度的靈活性，TLS等加密協(xié)議可以為其提供數(shù)據(jù)傳輸?shù)陌踩?。移動辦公人員的地理位置信息等可作為數(shù)據(jù)庫査詢的依據(jù)，査詢結(jié)果根據(jù)辦公人員使用終端類型的不同（個人電腦、平板電腦、智能手機等），用不同的形式自動發(fā)送給現(xiàn)場辦公人員。另外，從現(xiàn)場采集到的業(yè)務(wù)相關(guān)數(shù)據(jù)信息作為業(yè)務(wù)數(shù)據(jù)庫的信息來源被上傳并存儲在數(shù)據(jù)庫中，為后續(xù)的數(shù)據(jù)統(tǒng)計、業(yè)務(wù)決策等提供信息支持。

系統(tǒng)中通常也具備為業(yè)務(wù)管理人員設(shè)計的特殊模塊，使其能夠?qū)ο到y(tǒng)進行參數(shù)配置。此外，系統(tǒng)一般還能夠接收其他符合行業(yè)數(shù)據(jù)標準的其他信息系統(tǒng)提供的數(shù)據(jù)。

系統(tǒng)體系結(jié)構(gòu)如圖5所示，(1)移動客戶端（智能手機）收集原始數(shù)據(jù)，通過互聯(lián)網(wǎng)HTTPS安全通信協(xié)議，經(jīng)(3)SSL認證網(wǎng)關(guān)初步驗證，并加密發(fā)往⑷應(yīng)用服務(wù)器。應(yīng)用服務(wù)器運行系統(tǒng)的主控邏輯，負責授權(quán)、數(shù)據(jù)驗證、生成通知，以及與(5)數(shù)據(jù)庫服務(wù)器和(6)數(shù)據(jù)分析服務(wù)器之間的通信。數(shù)據(jù)分析服務(wù)器負責完成業(yè)務(wù)數(shù)據(jù)的統(tǒng)計分析工作。

4.2 資產(chǎn)識別

本例的資產(chǎn)識別階段，主要實施方式是組織由被測單位信息部門相關(guān)人員參加的訪談及會議，通過對現(xiàn)有的項目文檔進行研究，對系統(tǒng)結(jié)構(gòu)進行討論，明確系統(tǒng)信息安全風險評估所涉及的資產(chǎn)。經(jīng)研討，此系統(tǒng)的資產(chǎn)包括：

1、業(yè)務(wù)過程：現(xiàn)場巡査、業(yè)務(wù)信息檢索、業(yè)務(wù)信息存儲、分析結(jié)果獲??；

2、服務(wù)：數(shù)據(jù)存儲和檢索、數(shù)據(jù)傳輸、數(shù)據(jù)分析；

3、數(shù)據(jù)：現(xiàn)場巡査采集數(shù)據(jù)、遙感影像數(shù)據(jù)、配置數(shù)據(jù)；

4、軟件模塊：認證、業(yè)務(wù)應(yīng)用、資源數(shù)據(jù)庫、移動辦公客戶端、固網(wǎng)客戶端、數(shù)據(jù)分析軟件；

5、硬件模塊：認證服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器、數(shù)據(jù)分析服務(wù)器、智能手機及固網(wǎng)用戶主機；

6、信道:通過WLAN、LAN和3G等構(gòu)建的外部網(wǎng)絡(luò)（HTTPS協(xié)議)，內(nèi)部辦公網(wǎng)絡(luò)(HTTP協(xié)議）；

7、人員：移動辦公用戶、固網(wǎng)辦公用戶、技術(shù)人員；

8、其他：由第三方提供的基礎(chǔ)設(shè)施（通信線路、電力線路)。

4.3 構(gòu)建資產(chǎn)增值樹

圖6為本系統(tǒng)的資產(chǎn)增值樹，圖中各節(jié)點就是前一步中識別出的資產(chǎn)，業(yè)務(wù)過程依賴于軟件和硬件模塊所提供的服務(wù)，并與系統(tǒng)中存儲及交換的數(shù)據(jù)相關(guān)。圖中資產(chǎn)間的相互關(guān)系從系統(tǒng)體系結(jié)構(gòu)的角度考慮確定，邊的權(quán)重值則根據(jù)與系統(tǒng)使用維護人員的訪談確定。權(quán)重確定后，即可將其描述為FCM影響力矩陣的形式，本例中用于描述的語言值為：高、明顯、中、低、無。例如，現(xiàn)場巡査業(yè)務(wù)受數(shù)據(jù)存儲和檢索、數(shù)據(jù)傳輸兩項服務(wù)的高度影響，受數(shù)據(jù)分析服務(wù)的明顯影響。

4.4 威脅識別

目前，在信息安全風險評估中，對威脅的識別一般基于以往經(jīng)驗提供的對攻擊源的認知。根據(jù)以往經(jīng)驗，在本例中，要考慮的所有威脅，可根據(jù)其影響的資產(chǎn)類型分為11類，分別為：（1)過程類，如設(shè)計缺陷；(2)軟件類，如質(zhì)量缺陷、缺乏維護、惡意軟件；（3)硬件類，如質(zhì)量缺陷、能量耗盡；（4)通信類，如協(xié)議缺陷、服務(wù)中斷；（5)數(shù)據(jù)類，如破壞機密性、破壞完整性；（6)外部服務(wù)類，如有無PKI等安全基礎(chǔ)設(shè)施；（7)外部數(shù)據(jù)類，如數(shù)據(jù)接口錯誤；（8)基礎(chǔ)設(shè)施類，如場地、電力、空調(diào)；（9)人員類，與移動辦公用戶、固網(wǎng)辦公用戶和技術(shù)人員相關(guān)的威脅；（10)自然災(zāi)害類；（11)經(jīng)濟條件，法律等。

4.5 單項資產(chǎn)風險評估

此環(huán)節(jié)工作包括兩方面內(nèi)容脆弱性分析和安全措施有效性分析。在實施方式上，此部分評估采用能夠反應(yīng)最佳實踐的問卷調(diào)査的形式。針對此次的被評估系統(tǒng)，關(guān)于威脅與安全措施的調(diào)査問卷共針對11組資產(chǎn)設(shè)計了約140個問題。

表1為與移動辦公客戶端相關(guān)的風險評估調(diào)査問卷。問題根據(jù)各類資產(chǎn)的最佳安全實踐確定，每個問題涉及一項安全特性。各項問題均根據(jù)其對資產(chǎn)整體風險的影響被賦予問題權(quán)重^。每個問題最多給出三個答案，各答案均被賦予代表其對資產(chǎn)風險影響程度的風險影響系數(shù)qije[0,1]。問題權(quán)重W,_及風險影響系數(shù)qy利用專家法由專家評分決定。這些權(quán)重信息對被調(diào)査人員是不可見的。表中星號項為此次問卷調(diào)査的回答結(jié)果。

至此,資產(chǎn)S的風險值RS可通過將ks個問題a(i=1,...,ks)的答案ay代入式(6)得出。值1和0分別表示是或不是某項答案，即若問題i的答案是答案.則%=1，否則％=0。

其中，w是歸一化因子。計算可得，移動辦公客戶端的資產(chǎn)風險值Rs=0.404，風險值不為0，表明資產(chǎn)面臨的威脅不能完全被安全措施控制。

采用上述方法，計算所有低級資產(chǎn)的單項資產(chǎn)風險值，可明確系統(tǒng)中風險值為高、中、低的各類資產(chǎn)，并對高風險資產(chǎn)采取針對性安全措施。

在實際操作中，問卷調(diào)査內(nèi)容的設(shè)計過程與模糊認知圖的構(gòu)建過程是同步進行的，問卷中的權(quán)重值w,即反映了FCM圖中影響值的大小，以數(shù)據(jù)資產(chǎn)“現(xiàn)場巡査采集數(shù)據(jù)”為例，在與其有因果關(guān)系的下級資產(chǎn)(移動辦公客戶端、智能手機、移動辦公用戶）的問卷調(diào)査中，選擇可能影響上級資產(chǎn)的問題，取其權(quán)重的均值，即得到其影響值。

4.6 風險聚合

針對業(yè)務(wù)過程、服務(wù)、數(shù)據(jù)等高級資產(chǎn)類別，由于其自身的復(fù)雜性，無法采用4.5節(jié)中的問卷調(diào)査方式實施風險評估，因此，本文采用FCM推理實現(xiàn)的風險聚合來完成高級資產(chǎn)的風險計算。

在計算前需先進行影響力矩陣的歸一化操作。本例中，原始矩陣用5個語言值（高、較高、中、低、無）來描述，分別對應(yīng)影響力值{1,0.75,0.5,0,25,0}。對每一行i=1,...,n,影響力值的歸一化可按下式完成：

其中，且m是一個正常數(shù)（實際計算中常使用m=1.0)。上述歸一化過程給出了一個概率分布。假設(shè)的分布形式源于博弈論，假設(shè)高級資產(chǎn)ah受低級資產(chǎn)an,...,aik的影響，影響系數(shù)為em,…,em。如果攻擊者選擇從一個低級資產(chǎn)發(fā)起攻擊，那么它應(yīng)該在能夠影響ah的低級元素中選擇影響力eMm最高的元素am但是，攻擊者對影響力可能作出錯誤的估計。由此所得的攻擊行為概率與錯誤估計的分布相關(guān)，而錯誤估計一般沒有明顯的規(guī)律。因此，假設(shè)錯誤估計服從雙指數(shù)分布，就可得到式(7)給出的logit(對數(shù)成敗比率）模型。

最終，聚合風險的計算需要通過連續(xù)使用FCM狀態(tài)方程(2)，構(gòu)建兩個向量序列：無風險序列anr的初始向量為A^(0),在此向量中,表述資產(chǎn)風險屬性的所有向量元素都被置為1。而風險序列d的初始向量A\0)是資產(chǎn)風險屬性向量A10)與式(6)計算出的風險值RA的差，艮P:Ar'(0)=A'(0)-R4。最后，將anr和d中的相應(yīng)元素相減，即R(i)=Anr(i)-Ar(i)，即可得到聚合風險值序列p=R(0),...,R(i),...。此序列將收斂于表示資產(chǎn)聚合風險的數(shù)值。

圖7為系統(tǒng)中數(shù)據(jù)、服務(wù)、業(yè)務(wù)進程三組資產(chǎn)的風險計算的結(jié)果。結(jié)果分別采用式(3)和式(4)定義的激勵函數(shù)S-(圖(a))和SeXp(圖(b))得到。對于函數(shù)SeXp，式中常數(shù)m的值采用2.0。結(jié)果比較表明，兩個函數(shù)的計算結(jié)果趨勢一致。

   4.7結(jié)果解析分析表明，低級資產(chǎn)的風險會影響高級資產(chǎn)。在本文的評估實例中，大量資產(chǎn)（如移動客戶端）的風險是由于系統(tǒng)尚未部署在實際生產(chǎn)環(huán)境中，實驗環(huán)境下大量安全措施（PKI、UPS、物理訪問控制措施等）尚未部署所導(dǎo)致的。在實際部署中，需要將這些安全措施啟用。

5結(jié)束語

篇6

1995年，英國巴林銀行倒閉在世界范圍內(nèi)引起軒然大波。這家百年老店，卻由于年僅28歲的交易員尼克?里森在新加坡期權(quán)市場交易中的違規(guī)操作導(dǎo)致破產(chǎn)。近十年后，在新加坡市場上，中國航空油料（新加坡）股份有限公司也申請破產(chǎn)。中航油（新加坡）于2001年在新加坡成功上市，一度被業(yè)界捧為神話。在公司總裁陳久霖的帶領(lǐng)下于2003年初開始做石油衍生品交易獲利，且一發(fā)不可收拾，最終因?qū)е鹿咎潛p達554億元之巨。不難發(fā)現(xiàn)，兩者的失敗有很多相似之處，本文從公司內(nèi)部控制的角度出發(fā)對兩者進行比較分析，以期對當今公司的內(nèi)控與風險管理提供教訓(xùn)與警示意義。

二、兩大事件內(nèi)部控制比較分析

1992年，美國反虛假財務(wù)報告委員會（通常稱Treadway委員會）下屬COSO委員會，了《內(nèi)部控制―整合框架》的研究報告，把內(nèi)部控制整體框架的要素定義為：控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)督五個緊密聯(lián)系的部分。我們從內(nèi)部控制的五個要素出發(fā)對兩大事件進行對比分析。

（一）控制環(huán)境存在的問題。巴林銀行，這樣一個老牌企業(yè)，管理層的管理哲學、經(jīng)營理念實在讓人不敢恭維，一方面巴林銀行一直認為雇傭的員工都是值得信賴的，其實不然，人都是自利的而且人的自利行為得靠制度約束。再者，管理層存在投機心里，過度相信里森。另外，時任巴林銀行董事長彼得?巴林曾經(jīng)表示由于資產(chǎn)負債表本身是反映的過去而不具有決策價值。

“中航油”是中國航空油料控股公司（下稱“集團公司”）的海外子公司，其控制環(huán)境不同于巴林銀行的是：有著國企的通病。首先，公司內(nèi)部人控制，陳久霖身兼集團公司副總經(jīng)理，在新加坡分公司基本上是他一人說了算。其次，陳久霖早期的成功使得集團公司對其十分信任并委以重任，陳久霖由此自我膨脹、剛愎自負，使其自身不受內(nèi)部控制、監(jiān)督的的制約。

從上述分析可以看出，二者控制環(huán)境區(qū)別主要在于：巴林銀行是員工誠信問題，中航油是管理層不受約束。當然相同之處很明顯，二者都存在過度投機心理，卻缺乏風險意識。

（二）風險評估存在問題。巴林銀行長期以來的優(yōu)越感，使得管理層缺乏風險意識，對風險管理機制不重視。首先，不能有效的識別風險，巴林銀行原有一個錯誤賬戶，而里森所在新加坡分公司又設(shè)立一個錯誤賬戶，很明顯的風險事項卻被管理層忽略。其次，風險水平不受限制，期貨交易具有高風險，而公司卻對此沒做相關(guān)規(guī)定，到了后來，倫敦按照里森的要求每天匯入1000萬英鎊，公司卻從不質(zhì)疑。

中航油同樣存在風險評估問題。第一從風險識別上看，作為公司總裁的陳久霖對期貨交易的風險可定是熟知的，但是他的賭博性讓他不顧風險，妄求收益。第二，風險水平上看，大量的買進期貨合約，風險水平大大超過了可承受范圍。第三，風險應(yīng)對機制上看，當時的賬面虧損已經(jīng)達到8000萬美元，而且管理層已經(jīng)認識到問題的嚴重性，但是卻沒有采取必要的風險應(yīng)對措施，任由陳久霖一意孤行，直至公司申請破產(chǎn)。

從上述分析，二者區(qū)別主要在于：巴林銀行是對風險不能有效識別，中航油是不顧風險孤注一擲。相同之處，二者風險管理機制都不健全。

（三）控制活動存在問題。巴林銀行，里森身兼交易員與清算員，不合理的崗位設(shè)置為其掩蓋交易失誤提供方便。同時，對于高風險的期貨交易，巴林銀行缺乏有效的控制活動，里森每天要求倫敦匯入1000萬英鎊，公司還能審批且不深究。

中航油控制活動的失效表現(xiàn)在兩方面，一方面是公司編制有《風險管理手冊》，規(guī)定損失超過500萬美元就要上報集團公司，當陳久霖在獲悉出現(xiàn)580萬美元的賬面虧損后，卻不斬倉上報，而是繼續(xù)加大買入。從上述對比看出，二者控制活動主要區(qū)別：巴林銀行缺乏有效的控制活動，中航油是控制活動難以執(zhí)行。相同點是二者均設(shè)有不相容崗位。

（四）信息與溝通。巴林銀行的破產(chǎn)與“88888”賬戶的違規(guī)使用密切相關(guān)?？偛颗c里森所負責的新加坡分公司溝通失效，導(dǎo)致“88888”賬戶一直存在，且賬戶信息里森一個人知道。里森為了維護其光榮的地位，對于自己的失誤和員工的失誤隱瞞不報，信息沒有很好的傳遞到倫敦總部。

而中航油則是由于陳久霖盲目自大、專權(quán)獨斷，阻止虧損信息的傳遞。中航油新加坡公司海外市場進行石油衍生品的交易，本身違背了國家有關(guān)國企海外衍生金融工具的相關(guān)規(guī)定。但是，由于航油新加坡公司和集團公司之間的信息溝通不順暢，財務(wù)信息失真，使得母公司在一年以后才知道此違規(guī)操作。

基于上述分析，二者信息與溝通的主要區(qū)別：巴林銀行是由于溝通失誤，員工隱瞞信息，中航油是由于管理者阻止信息的傳遞。相同之處是，二者都是還怕失去已有的光環(huán)，一錯再錯。

（五）監(jiān)督。里森違規(guī)操作兩年多的時間，巴林銀行總部內(nèi)部監(jiān)督部門卻一直沒有發(fā)現(xiàn)。而且在一次內(nèi)部審計中，對于5000萬英鎊存款的造假，卻從不函證其真實性。中航油設(shè)計的內(nèi)部監(jiān)督相對來說是比較完善的，卻實質(zhì)受陳久霖領(lǐng)導(dǎo)，缺乏獨立性。另外，集團公司派來的財務(wù)經(jīng)理被外調(diào)他用。

從上述分析看出，二者監(jiān)督過程的區(qū)別：巴林銀行的監(jiān)督機制松散無實際作用，而中航油的監(jiān)督機制不具獨立性，形同虛設(shè)。相同之處在于，監(jiān)督機制的無作為是罪魁禍首。

三、結(jié)論與啟示

通過對兩大事件的內(nèi)部控制問題的比較分析，我們不難發(fā)現(xiàn)，二者的失敗主要在于對風險管理的缺乏，監(jiān)督機制失靈。所以，如今“企業(yè)管理就是風險管理”的說法是有一定道理的。據(jù)此，本文總結(jié)兩點啟示。

篇7

一、企業(yè)稅務(wù)風險管理體系構(gòu)建依據(jù)的理論問題

理論是行動的指南，沒有理論指導(dǎo)的實踐是盲目的實踐。企業(yè)要構(gòu)建一個科學、合理、操作可行的稅務(wù)風險管理體系，首先就得掌握稅務(wù)風險管理的相關(guān)理論。這些相關(guān)理論分別是：

1.全面風險管理理論

全面風險管理是一種站在整個企業(yè)的角度進行的整體化風險管理。其核心思想為，企業(yè)風險來源于多方面，因而最終能夠?qū)ζ髽I(yè)產(chǎn)生影響為一系列風險共同作用所產(chǎn)生的結(jié)果。因此，從整體角度對企業(yè)所面臨風險進行全面管理方可對其進行最為有效的風險管理。當前應(yīng)用最為普遍的全面風險管理理論與方法包括以下兩大類：其一為TRM，即全面風險管理理論，該理論以風險決策因素為基礎(chǔ)，將風險管理策略的概率、偏好及價格此三因素概念引入，并提出實現(xiàn)此三要素的最佳平衡是風險管理的最終目標。但該理論當前缺乏實踐；其二為ERM，即以組織結(jié)構(gòu)體系為基礎(chǔ)的全面風險標準化度量的風險管理。該方法基于企業(yè)整體系統(tǒng)這一角度對結(jié)構(gòu)內(nèi)部各個層次業(yè)務(wù)單位及業(yè)務(wù)環(huán)節(jié)進行通盤管理，從而實現(xiàn)對企業(yè)風險的全面有效管理。它與TRM理論相比，可操作性更強，得到了業(yè)界多數(shù)人的認可和采納。該方法包括了內(nèi)部環(huán)境、目標識定、事項識別、風險評估、風險應(yīng)付、控制策略、信息與溝通、監(jiān)察等八個方面的具體內(nèi)容。

2.危機管理理論

美國學者史蒂芬•芬克（StevenFink）早在1986年就提出危機管理就是規(guī)避風險的藝術(shù)的觀點。羅伯特•希斯（RobertHeath,2004）在其專著《危機管理》（第二版）一書中，認為危機管理包括對危機事前、事中及事后的管理，這也是目前學術(shù)界普遍認同的觀點。具本來說，危機的事前管理又包括風險規(guī)避、危機管理員預(yù)案、信號偵測及危機預(yù)警等步驟、內(nèi)容，事中管理又包括危機情境、溝通與協(xié)作及危機決策與行動等步驟、內(nèi)容，事后管理又包括評價學習與變革發(fā)展等步驟、內(nèi)容。同時羅伯特•希斯還提出了危機管理的“4R”模型，即將危機管理過程分為縮減（Reduction）、預(yù)備（Readiness）、反應(yīng)（Response）、恢復(fù)（Recovery）四個環(huán)節(jié)，該模型以預(yù)備、反應(yīng)及恢復(fù)三個環(huán)節(jié)為核心。具體來說，縮減環(huán)節(jié)主要是進行風險評估，預(yù)備環(huán)節(jié)主要包括危機預(yù)警系統(tǒng)、危機管理計劃和培訓(xùn)與演習等內(nèi)容，反應(yīng)環(huán)節(jié)又包括確認危機、隔離危機、處理危機及消除危機等步驟、內(nèi)容，恢復(fù)環(huán)節(jié)又包括危機影響分析、危機恢復(fù)計劃、危機恢復(fù)行動等步驟、內(nèi)容。風險與危機既有區(qū)別又有聯(lián)系，而且風險可能轉(zhuǎn)換為危機。風險不等于危機，但風險的存在是危機發(fā)生的前提，只有對風險進行有效的識別、評估和控制管理，才能防范危機的發(fā)生。如果對各種危機熟視無睹，或?qū)σ炎R別到的各項風險未采取有效的應(yīng)對措施，那么風險就轉(zhuǎn)換成危機。

二、企業(yè)稅務(wù)風險管理的識別與評估體系構(gòu)建問題

1.企業(yè)稅務(wù)風險識別方法體系

所謂企業(yè)稅務(wù)風險識別指的是企業(yè)稅務(wù)風險管理工作人員在對相關(guān)知識與方法加以利用的基礎(chǔ)上對企業(yè)可能發(fā)生的稅務(wù)風險加以辨認的過程。風險識別是企業(yè)進行稅務(wù)風險評估與應(yīng)對的基礎(chǔ)。只有對企業(yè)可能存在風險加以識別方能夠針對性地進行相應(yīng)的風險管理。因此，在企業(yè)的稅務(wù)風險管理中，我們必須掌握以下稅務(wù)風險識別的方法：

（1）基本方法：稅務(wù)風險清單法該方法是運用類似于備忘錄的方式，將可能面臨的各類風險一一列舉出來，并聯(lián)系企業(yè)自身運營情況對這些風險進行綜合分析考察。企業(yè)的決策者和風險管理者依據(jù)所列舉的風險清單，對風險及其可能產(chǎn)生的后果作出合理的評估，并探究防止風險的發(fā)生和蔓延的對策。但應(yīng)注意的是，通常情況下企業(yè)稅務(wù)風險清單是基于傳統(tǒng)風險管理方式而設(shè)計，因而其僅對純粹風險進行了考慮，而未對投機風險等加以考慮。因此。為避免忽略相關(guān)風險事項，企業(yè)還可以根據(jù)自身情況或聘請稅務(wù)顧問編制出更為全面、具體的稅務(wù)風險一覽表，對照該表企業(yè)就能夠比較簡單地識別稅務(wù)風險。

（2）輔助方法：財務(wù)報表分析法、因果分析法、流程圖法①財務(wù)報表分析法此方法主要以企業(yè)財務(wù)報表如利潤表、資產(chǎn)負債表以及現(xiàn)金流量表等為依據(jù)，對企業(yè)收入、負債、利潤及資產(chǎn)等多方面情況實行風險分析，基于財務(wù)角度來對企業(yè)將面臨的潛在納稅風險進行識別。因企業(yè)財務(wù)報表中包括了投機風險相關(guān)信息，因而可將此方法應(yīng)用于企業(yè)投機稅務(wù)風險的識別。通過資產(chǎn)負債表則可獲取損失暴露相關(guān)信息；而通過對利潤表的分析則可對企業(yè)盈虧風險來源以及應(yīng)繳納稅別加以識別；通過對企業(yè)現(xiàn)金流量表進行分析可對企業(yè)現(xiàn)金流量風險加以識別。與此同時，通過對企業(yè)財務(wù)報表相關(guān)數(shù)據(jù)的分析，來對企業(yè)稅收負擔率指標及利潤指標等計算出來，而后對計算結(jié)果進行橫向比較，對本企業(yè)相應(yīng)財務(wù)指標同本行業(yè)及企業(yè)的相應(yīng)指標加以對比分析。若某項指標差異過大，則表明該企業(yè)存在著稅務(wù)風險。此外，還可進行縱向比較，通過將本企業(yè)當前變動指標同之前年度平均水平加以對比，對其發(fā)展與變化趨勢進行分析，通過對分析項目是否正常的確定來對該企業(yè)稅務(wù)風險的存在與否加以識別。②因果分析法該方法是日本東京大學石川馨教授于1953年在日本川締公司分析影響產(chǎn)品質(zhì)量因素時提出來的，且取得非常好的效果，進而被推廣。企業(yè)在稅務(wù)風險管理實踐中，引發(fā)稅務(wù)風險的因素很多，而這些因素往往又錯綜復(fù)雜地交織在一起，若想要從根本上應(yīng)對稅務(wù)風險，就必須準確無誤地找出產(chǎn)生問題的根源。而因果分析法，就是通過描繪因果圖，從導(dǎo)致稅務(wù)風險的原因出發(fā)，推導(dǎo)出可能發(fā)生結(jié)果的一種識別稅務(wù)風險的方法。這種方法能夠使得稅務(wù)風險管理者清楚、有效地整出稅務(wù)風險和各個因素之間的關(guān)系，并對其進行分析。③流程圖法此方法是通過生產(chǎn)過程或管理流程來對企業(yè)稅務(wù)風險加以識別的一種方法。首先，該方法對企業(yè)生產(chǎn)運營過程根據(jù)各個階段順序?qū)⑵淅L制成相應(yīng)的流程圖，而后對其進行動態(tài)分析合動態(tài)分析。其中，靜態(tài)分析指的是對流程圖中各個環(huán)節(jié)按照順序加以調(diào)查，在找出潛在的稅務(wù)風險后對其可能產(chǎn)生的后果進行分析；動態(tài)分析則指的是對流程圖各環(huán)節(jié)間的關(guān)系進行分析并找出主要納稅環(huán)節(jié)。企業(yè)稅務(wù)風險管理工作人員使用動態(tài)分析基本上可對企業(yè)生產(chǎn)運營各環(huán)節(jié)可能存在的稅務(wù)風險成功識別，并且此方法對企業(yè)營業(yè)中段以及連帶營業(yè)中段相關(guān)稅務(wù)風險識別尤為有效。然而流程圖方僅強調(diào)事故結(jié)果，對損失原因則并不關(guān)注。

2.企業(yè)稅務(wù)風險評估方法體系

所謂稅務(wù)風險評估指的是基于稅務(wù)風險識別運用數(shù)理統(tǒng)計與概率論的方法對損失發(fā)生概率及大小進行測算，并根據(jù)該企業(yè)應(yīng)對風險的態(tài)度以及風險承受能力來對稅務(wù)風險的重要性及其影響程度加以評價的過程。它主要包括評估風險發(fā)生的可能性與評估風險產(chǎn)生的影響后果兩個方面的內(nèi)容。稅務(wù)風險發(fā)生的可能性越大，稅務(wù)風險就越高。評估的方法既有定性評估法，也有定量評估法。

（1）定性評估方法這種評估方法適用于稅務(wù)風險本身無法進行量比，或不能獲得進行定量分析的足量可靠數(shù)據(jù)，或?qū)?shù)據(jù)進行分析與呈效益相關(guān)原則不符合的情況。定性評估的方法比較多，但本文只介紹SWOT分析法。SWOT[Strenth(內(nèi)部優(yōu)勢)、Weakness（內(nèi)部劣勢）、Opportunity（外部機會）、Threat(外部威脅)]分析法是將企業(yè)的內(nèi)部環(huán)境的優(yōu)劣和外部環(huán)境的機會、威脅加以對照，對企業(yè)目前的內(nèi)部和外部環(huán)境進行初步評估，明確本企業(yè)在市場中的地位，從而制定最優(yōu)戰(zhàn)略，實現(xiàn)企業(yè)的目標。此方法相關(guān)理念在近些年才逐漸被用于對企業(yè)稅務(wù)風險進行評估，其主要應(yīng)用于對企業(yè)所處內(nèi)部稅務(wù)環(huán)境與外部稅務(wù)環(huán)境加以分析，將不可量化風險對整個企業(yè)的影響程度加以判斷。若企業(yè)內(nèi)外部稅務(wù)環(huán)境均處于良好狀態(tài)時，該企業(yè)所面臨的稅務(wù)風險相對較??；而當企業(yè)內(nèi)外部稅務(wù)環(huán)境處于不理想狀態(tài)時，企業(yè)所面臨的稅務(wù)風險則相對較大；當企業(yè)內(nèi)、外部稅務(wù)環(huán)境兩者中一個較好、一個較差時，則就需要結(jié)合企業(yè)的實際情況來分析。

（2）定量評估方法①風險預(yù)警值測算法該方法是根據(jù)企業(yè)的財務(wù)指標設(shè)定風險預(yù)警值，測算稅務(wù)風險大小的一種方法。指標預(yù)警值可依據(jù)評估對象規(guī)模大小、所處環(huán)境、資金流向、所面臨風險以及企業(yè)產(chǎn)品類型等具體因素按照不同區(qū)域、不同行業(yè)及不同規(guī)模加以測算，采用數(shù)學方法將加權(quán)平均值、算數(shù)平均值以及合理變動范圍計算出來。在對其預(yù)警值進行測算時，應(yīng)對地區(qū)、類型、規(guī)劃、稅種以及生產(chǎn)經(jīng)營季節(jié)等諸多因素，將同一行業(yè)、同一規(guī)模以及同一納稅人各種相關(guān)指標若干年度平均水平納入考慮范圍，以確保預(yù)警值更為準確、真實及具有可比性。②綜合風險指數(shù)模型評估法此方法是以稅務(wù)風險對各類指數(shù)或因素變動敏感度的假設(shè)為基礎(chǔ)。作為損失額生成過程，多因素模型試圖將對所有稅務(wù)產(chǎn)生系統(tǒng)影響的重要經(jīng)濟力量提取出來，并將其量化，而后將之代入相應(yīng)數(shù)學模型從而實現(xiàn)數(shù)據(jù)化，根據(jù)此進行評估。企業(yè)稅務(wù)風險評估應(yīng)以多因素、多項目綜合評估為出發(fā)點。因此，可建立下述模型來進行綜合風險評估：V（t）=∑Vit=P1it×S1it+P2it×S2it+……+Pnit×Snit+Eit在上述模型中i=0,1,…，n。我們假設(shè)各風險因素其發(fā)生概率P與敏感系數(shù)S為可知的。其中，V（t）表示的是t時間內(nèi)綜合風險指數(shù)；而Pnit則表示的是t時間內(nèi)第i個項目的第n個風險因素的發(fā)生概率；上述模型中Snit表示的是t時間內(nèi)第i個項目的第n個風險因素其發(fā)生變化對預(yù)期收益率的敏感系數(shù)；E則表示的是隨機誤差項；i則表示的是風險項目數(shù)；式中t表示的是時間，最好以月或半月來算。該指數(shù)模型由于加入了時間因素t，因而其為動態(tài)風險評估模型。企業(yè)稅務(wù)風險管理人員可根據(jù)預(yù)期回報率、其自身風險承受能力以及外部環(huán)境變化等相關(guān)因素來對當前及未來的一段時間內(nèi)的風險狀況進行綜合判斷，進而制定出統(tǒng)觀全局的稅務(wù)風險管理策略。

三、構(gòu)建問題分析

所謂企業(yè)稅務(wù)風險管理績效評價指的是將企業(yè)稅務(wù)風險管理方案實施后實際結(jié)果作為依據(jù)，在此基礎(chǔ)上對該企業(yè)稅務(wù)風險管理手段與方法的適用性、科學性、實際收益等諸多方面加以分析與評價的過程。該評價結(jié)果則可作為企業(yè)制定新稅務(wù)風險管理規(guī)劃制定的一項參考。因而，企業(yè)要構(gòu)建科學適用的稅務(wù)風險管理績效評價體系稅務(wù)風險管理評價人員必須把握以下兩個大的問題：

1.評價步驟

首先應(yīng)制定相應(yīng)的績效評價計劃。企業(yè)相關(guān)機構(gòu)應(yīng)以本企業(yè)具體特點為基礎(chǔ)來確定評價范圍、對象、目標及評價方法，進而制定出相應(yīng)的計劃，這也是企業(yè)稅務(wù)風險管理績效評價極為關(guān)鍵的一步。其次是搜集、整理與稅務(wù)風險管理有關(guān)的資料。在這一階段需要搜集的資料主要包括稅務(wù)風險管理措施實施后相關(guān)資料、當前國家相關(guān)稅收法律及法規(guī)資料、國家相關(guān)部門所制定的企業(yè)稅務(wù)風險管理措施評價方法及其它稅務(wù)風險管理相關(guān)資料等。這是必不可少的一步。再次是編制企業(yè)稅務(wù)風險管理績效評價報告。相關(guān)工作人員應(yīng)根據(jù)國家相關(guān)評價格式對本企業(yè)稅務(wù)風險管理效果相應(yīng)的分析結(jié)果在匯總的基礎(chǔ)上編制出相應(yīng)的評價報告，并將評價報告提交至相關(guān)委托單位與被評價單位。因評價報告是最終成果，故這一步是非常重要的一步。

2.企業(yè)稅務(wù)風險管理績效評價的方法體系

企業(yè)稅務(wù)風險管理績效評價的方法體系主要由定量評價的方法與定性評價的方法兩大部分組成。這兩類方法可以有機地結(jié)合使用。

（1）定量評價法企業(yè)在固定時段內(nèi)可通過百分比、金額、罰款或損失次數(shù)等對該企業(yè)稅務(wù)風險管理績效進行定量評價，評價的指標主要有稅務(wù)風險發(fā)生率、損失程度以及管理成本與收益等。在評價時我們不能孤立地使用這些指標數(shù)據(jù)，需要采用“指標對比法”，將稅務(wù)風險管理措施實施后的實際數(shù)據(jù)或?qū)嶋H情況與實施以前的實際情況或?qū)嶋H數(shù)據(jù)加以對比，找出其中差異。比如，某企業(yè)將2013年其實施稅務(wù)風險管理措施后稅務(wù)風險事故發(fā)生所造成的實際損失與2012年進行相應(yīng)的比較，就可得出其稅務(wù)風險管理效果，并可為以后的稅務(wù)風險管理提供一些參考。

（2）定性評價法企業(yè)進行稅務(wù)風險管理在基于定量評價法的基礎(chǔ)上，還可采取“專題調(diào)查法”、“專家評議法”等方法，對企業(yè)稅務(wù)風險的管理績效進行定性評價。如調(diào)查稅務(wù)風險管理效果的評價報告，企業(yè)可以通過召開有關(guān)人員參加的會議，廣泛吸取他們對評價報告的不同意見，必將有利于克服稅務(wù)風險管理決策中的片面性；對一定時期內(nèi)企業(yè)的稅務(wù)風險管理方案、管理決策的執(zhí)行情況、管理制度的創(chuàng)新以及稅務(wù)損失控制等項目進行定性分析與綜合評判時，企業(yè)可以通過聽取有經(jīng)驗、有能力的稅務(wù)專家的意見來分析、評估稅務(wù)風險管理績效，得出企業(yè)稅務(wù)風險管理水平的等級（優(yōu)、良、中、低、差）。

四、結(jié)束語

篇8

風險管理，評估，工程

【中圖分類號】TL372+.3文獻標識碼：B文章編號：1673-8500（2013）04-0009-02

工程項目周期長，耗資大，經(jīng)常存在多種因素干擾，具有很大的不確定因素，極其容易造成投資決策失誤、建設(shè)方案步驟、工期拖延、人身傷亡、財產(chǎn)損失等，這些全部都被成為工程項目的風險因素，為此，工程項目工作人員需要考慮其風險并做好風險評估，提高項目的風險意識，掌握風險識別技術(shù)，開展風險評估與分析，及時防范和化解工程風險，對于提高工程建設(shè)管理水平和投資效益，都具有特別重要的意義。

1工程項目風險的識別

工程項目中存在風險，首先要對風險進行識別?？梢愿鶕?jù)其產(chǎn)生的背景原因。表現(xiàn)特征以及預(yù)期后果，對所有的風險進行科學的分類，以便采取不同的分析方法進行評估，并依此制定出對應(yīng)的風險管理計劃方案和措施，付諸實施。

2工程項目風險的特性

工程項目有其自身的獨特性，其風險特征可以簡要的分為以下幾類：

一是項目風險的隨機性；

二是項目風險的相對性；

三是項目風險的漸進性；

四是項目風險的階段性；

五是項目風險的突變性。

3工程項目風險的分類

從工程項目風險管理需要出發(fā)，可將工程項目風險分為項目外風險和項目內(nèi)風險。

3.1工程項目外風險

工程項目外風險即由工程項目建設(shè)環(huán)境（或條件）的不確定性而引起的風險，包括：

（1）政治風險。主要是指項目所處的宏觀環(huán)境的局勢穩(wěn)定性，項目建設(shè)和運營所受到的法律法規(guī)的約束和政策性調(diào)控影響，以及有關(guān)項目的審核批準過程中存在的各種不確定性問題。這類風險由下列諸因素引起：一是政府或主管部門對工程項目干預(yù)太多，指揮不當。二是工程建設(shè)體制、工程建設(shè)政策法規(guī)發(fā)生變化或不合理。三是在國際工程中，國家間的關(guān)系發(fā)生變化等。

（2）自然風險。自然界氣候的變化、災(zāi)害的發(fā)生和項目廠址選擇經(jīng)常遇到的不良地質(zhì)條件等。不確定性因素，是每個項目都無法避免的。其通常由下列原因引起：一是惡劣的氣象條件。如嚴寒無法施工，臺風、暴雨都會給施工帶來困難或損失。二是惡劣的現(xiàn)場條件。如施工用水用電供應(yīng)的不穩(wěn)定性，工程不利的地質(zhì)條件；又如洪水、泥石流等。三是不利的地理位置。如工程地點十分偏僻，交通十分不利等。四是地震。

（3）經(jīng)濟風險。經(jīng)濟因素在項目的全壽命周期內(nèi)長期存在，影響頻率高，交叉作用多見，原因較為復(fù)雜。其主要產(chǎn)生于下列原因：一是宏觀經(jīng)濟形勢不利，如整個國家的經(jīng)濟發(fā)展不景氣。二是投資環(huán)境差。工程投資環(huán)境包括硬環(huán)境（如交通、電力供應(yīng)、通訊等條件）和軟環(huán)境（如地方政府對工程的開發(fā)建設(shè)的態(tài)度等）。三是原材料價格不正常上漲。如建筑材料不斷攀升。四是通貨膨脹幅度過大，稅收提高過多。五是投資回報期長，屬長線工程，預(yù)期投資回報難以實現(xiàn)。六是資金籌措困難等。

3.2工程項目內(nèi)風險

對工程項目內(nèi)風險根據(jù)技術(shù)因素的影響和工程項目目標的實現(xiàn)程度又可對其進行分類。

（1）按技術(shù)因素對工程項目的影響，可將工程項目風險分為技術(shù)風險和非技術(shù)風險。工程項目技術(shù)風險是指技術(shù)條件的不確定而引起可能的損失或工程項目目標不能實現(xiàn)的可能性。工程項目非技術(shù)風險是指在計劃、組織、管理協(xié)調(diào)等非技術(shù)條件的不確定而引起工程項目目標不能實現(xiàn)的可能性。

（2）根據(jù)工程項目目標的實現(xiàn)程度，可將工程項目風險分為進度、技術(shù)性能和質(zhì)量，以及費用風險。工程項目進度風險是指工程項目進度不能按計劃目標實現(xiàn)的可能性。工程項目技術(shù)性能或質(zhì)量風險是指工程項目技術(shù)性能或質(zhì)量目標不能實現(xiàn)的可能性。工程項目費用風險是指工程項目費用目標不能實現(xiàn)的可能性。

4項目風險的分析評估

風險識別的目的在于對各種風險因素評估?；谶@些因素的產(chǎn)生原因和表現(xiàn)規(guī)律差異較大，分析評估的方法也就有所區(qū)別。項目風險評估的內(nèi)容主要包括風險源發(fā)生的條件、時間、空間、頻率及損失期望值。風險分析與評估的方法按其性質(zhì)、用途和適用評估對象分為幾種類型：

按性質(zhì)分為定性、定量及兩者結(jié)合的方法，其中定性的方法主要有層次分析法（AHP）和專家評分法（DELPHI）等。

按用途分為：用于風險源分析識別、風險發(fā)生的概率預(yù)測、頻率統(tǒng)計分析、風險后果的評估、風險決策、管理計劃和對策的制定等方法。按適用評估對象分為：針對工期、成本、投資、質(zhì)量、事故（或故障）、合同、管理、匯（利）率、自然氣候、工程地質(zhì)條件、災(zāi)害、政策法規(guī)、技術(shù)、預(yù)測和決策等的分析評估方法。

5有效管理的風險監(jiān)控與風險決策

通過項目風險監(jiān)控，把握工程項目風險的現(xiàn)狀，了解工程項目風險應(yīng)對措施的實施效果、有效性，以及出現(xiàn)哪些新的風險事件。在風險監(jiān)控的基礎(chǔ)上，應(yīng)針對發(fā)現(xiàn)的問題，及時采取措施。這些措施包括：權(quán)變措施、糾正措施以及提出項目變更申請或建議等。并對工程項目風險重新進行評估，對風險應(yīng)對計劃作重新調(diào)整。

在風險被辨識、估計和分析評價后，就可以考慮各種風險的處理方法。風險的防范手段有多種多樣，主要有：風險回避、風險控制、風險轉(zhuǎn)移、風險自擔、風險分散、風險合并、風險修正等方法。

以上的風險對策不是互斥的，實踐中常常組合使用。比如在采取措施降低風險的同時，并不排斥其他的風險對策，例如向保險公司投保?？尚行匝芯恐袘?yīng)結(jié)合項目的實際情況，研究并選用相應(yīng)的風險對策。

6結(jié)語

風險管理的理論已使越來越多的管理者體會到項目的風險管理能夠產(chǎn)生直接的經(jīng)濟效益。合理地規(guī)避風險，有效地抵御風險的困擾，增強項目抗拒風險的能力，無疑就是在減少項目的受損失機會，降低損害的程度，項目的盈利能力因此增強，項目系統(tǒng)建設(shè)和運營的安全可靠性大幅度提高，因此其理論的研究有非常廣闊的應(yīng)用前景。可以預(yù)期，在工程項目領(lǐng)域，風險意識會不斷增強，風險管理的相關(guān)技術(shù)也會有極大的適用空間，尤其應(yīng)用風險管理信息系統(tǒng)軟件，必將大大提高項目的風險管理水平.

參考文獻

篇9

【關(guān)鍵詞】風險管理；內(nèi)部控制；風險評價；公司治理

2008年5月，財政部等五部委聯(lián)合了《企業(yè)內(nèi)部控制基本規(guī)范》，2010年4月26日，財政部會同證監(jiān)會、審計署、國資委、銀監(jiān)會、保監(jiān)會等部門在北京召開聯(lián)合會，隆重了《企業(yè)內(nèi)部控制配套指引》，標志著我國企業(yè)內(nèi)部控制規(guī)范體系基本形成，自2011年1月1日起首先在境內(nèi)外同時上市的公司施行；2012年1月1日起擴大到上海證券交易所、深圳證券交易所主板上市的公司施行；在此基礎(chǔ)上，擇機在中小板和創(chuàng)業(yè)板上市公司施行；同時，鼓勵非上市大中型企業(yè)提前執(zhí)行。這是全面提升上市公司和非上市大中型企業(yè)經(jīng)營管理水平的重要舉措，以期促進企業(yè)提升管理水平和防范風險能力。

1.風險管理的現(xiàn)實要求

1.1 風險防范控制是一種重要的企業(yè)內(nèi)部控制方法

內(nèi)部控制結(jié)構(gòu)或內(nèi)部控制成分只是框架性的，只有在內(nèi)部控制結(jié)構(gòu)或內(nèi)部控制成分的基礎(chǔ)上，以內(nèi)部控制的方法推行內(nèi)部控制可能效果更好，而風險防范控制就是一種很好的企業(yè)內(nèi)部控制方法。

企業(yè)在市場經(jīng)濟環(huán)境中，不可避免會遇到各種風險，因此為防范規(guī)避風險，企業(yè)應(yīng)建立風險評估機制。常有的風險評估內(nèi)容有：籌資風險評估；投資風險評估；信用風險評估。這里所說的信用風險，僅指企業(yè)應(yīng)收賬款回收過程中遭受壞賬損失的可能性。風險防范控制是企業(yè)一項基礎(chǔ)性和經(jīng)常性的工作，企業(yè)必要時可設(shè)置風險評估部門或崗位，專門負責有關(guān)風險的認別、規(guī)避和控制。

1.2 風險控制是內(nèi)部控制的發(fā)展特征和趨勢之一

提高內(nèi)部會計控制規(guī)范的應(yīng)用效果，主要是要使內(nèi)部會計控制充分發(fā)揮其防范和化解風險的功能。內(nèi)部控制的發(fā)展特征和趨勢之一就是風險控制導(dǎo)向，我國也要整合內(nèi)部控制與風險管理的關(guān)系，提升基于企業(yè)風險的內(nèi)部控制理論體系。

我國《企業(yè)內(nèi)部控制基本規(guī)范》指出，企業(yè)建立于實施有效的內(nèi)部控制，應(yīng)當包括五個要素：內(nèi)部環(huán)境、風險評估、控制活動、信息與溝通、內(nèi)部監(jiān)督。其中風險評估，是企業(yè)及時識別、系統(tǒng)分析經(jīng)營活動中與實現(xiàn)內(nèi)部控制目標相關(guān)的內(nèi)部風險和外部風險，合理確定風險應(yīng)對策略?！镀髽I(yè)內(nèi)部控制應(yīng)用指引》共18項指引，可以劃分為三類，即內(nèi)部環(huán)境類指引、控制活動類指引、控制手段類指引，基本涵蓋了企業(yè)資金流、實物流、人力流和信息流等各項業(yè)務(wù)和事項。對每一項指引的具體描述可以分為三部分：涵義、重要風險及如何應(yīng)對風險。可見，在整個內(nèi)部控制中，對風險控制的重視程度。

1.3 經(jīng)營環(huán)境要求企業(yè)進行風險管理

風險影響著每個企業(yè)生存和發(fā)展的能力，也影響其在產(chǎn)業(yè)中的競爭力及在市場上的聲譽和形象。所有的企業(yè)，不論其規(guī)模、結(jié)構(gòu)、性質(zhì)或產(chǎn)業(yè)是什么，其組織的不同層級都會遇到因為內(nèi)部因素和外部因素造成的風險，管理階層須密切注意各部門、各業(yè)務(wù)的風險，并采取必要的管理措施。

在經(jīng)營管理活動中建立和實施的風險自我管理系統(tǒng)，是企業(yè)有效規(guī)避風險、規(guī)范管理行為的重要手段，是完善法人治理結(jié)構(gòu)、建立現(xiàn)代企業(yè)制度的重要內(nèi)容，也是衡量企業(yè)現(xiàn)代化管理的重要標志。

隨著社會經(jīng)濟與技術(shù)的不斷發(fā)展，企業(yè)經(jīng)營環(huán)境的變化，利用與經(jīng)營風險相關(guān)的不確定性與復(fù)雜性作掩護的欺詐與舞弊已成為必須面對和急需解決的一個重要問題，對其的防范應(yīng)通過合理地設(shè)定企業(yè)的戰(zhàn)略目標、嚴格地控制戰(zhàn)略目標實施過程中的修正程序、提高識別風險因素的能力，建立良好的企業(yè)文化來實現(xiàn)。

2.風險管理與內(nèi)部控制

2.1 內(nèi)部控制與企業(yè)風險管理的區(qū)別與聯(lián)系

內(nèi)部控制與企業(yè)風險管理的主要區(qū)別體現(xiàn)在兩個方面：（1）內(nèi)部控制是基于既定的企業(yè)目標以及固化的業(yè)務(wù)模式，不涉及之前的企業(yè)治理和目標確定，以及業(yè)務(wù)模式的選擇；而企業(yè)風險管理則涵蓋了對企業(yè)治理風險、戰(zhàn)略目標確立風險、業(yè)務(wù)模式選擇風險以及固化風險進行管理的整個過程。（2）企業(yè)治理結(jié)構(gòu)和戰(zhàn)略目標的確定都要落腳到企業(yè)本身的限制，是一個由外而內(nèi)的定位過程，因此，風險管理中所考慮的環(huán)境，主要聚焦在包括可得資源、決策者風險偏好及企業(yè)風險承受能力在內(nèi)的企業(yè)內(nèi)部環(huán)境。

內(nèi)部控制目標的實現(xiàn)，是旨在將影響企業(yè)既定戰(zhàn)略目標實現(xiàn)的風險控制到可接受的水平。內(nèi)部控制是為風險管理而控制，是風險管理的重要手段；風險管理是為企業(yè)目標而管理，是目標實現(xiàn)的重要保證。內(nèi)部控制與風險管理兩者相互依存、相互制約，形成一個有機整體，共同來實現(xiàn)企業(yè)的戰(zhàn)略目標。

2.2 內(nèi)部控制、企業(yè)管理及企業(yè)全面風險管理的關(guān)系

在企業(yè)設(shè)立階段和運營階段的風險中，可以將與企業(yè)戰(zhàn)略設(shè)立、調(diào)整相關(guān)的企業(yè)治理結(jié)構(gòu)風險、戰(zhàn)略目標確立風險和業(yè)務(wù)模式選擇風險統(tǒng)稱為活化風險，將業(yè)務(wù)模式既定狀態(tài)下的合規(guī)風險、運營風險和財務(wù)風險稱為固化風險，將固化風險與活化風險合稱作動態(tài)風險。而企業(yè)風險管理就是對企業(yè)動態(tài)風險的管理，而內(nèi)部控制則是對固化風險的控制。

企業(yè)管理是對機會的管理，是設(shè)立目標并達成目標的過程，包括計劃、組織、領(lǐng)導(dǎo)、控制等職能；而企業(yè)全面風險管理是對目標設(shè)定和執(zhí)行中的動態(tài)風險進行管理的過程，包括活化風險管理和固化風險管理（即內(nèi)部控制），兩者并行不悖，可以說，企業(yè)管理是確保企業(yè)成功的充分條件，企業(yè)風險管理是確保企業(yè)成功的必要條件。

2.3 內(nèi)部控制、公司治理、風險管理三者關(guān)系

盡管內(nèi)部控制、公司治理、風險管理在文字表述上存在差異，但就其實質(zhì)而言是相同的，都是基于企業(yè)存在風險而產(chǎn)生的，都是為了進行風險控制，可以統(tǒng)一于一套企業(yè)管理制度之中。

必須注意的是風險管理并不是一種脫離于企業(yè)經(jīng)營管理活動之外的管理形式，它內(nèi)含于整個企業(yè)的經(jīng)營管理活動過程之中；風險管理是針對企業(yè)的各責任主體而言的，離開了這些責任主體風險管理既失去了風險控制的主體，也失去了風險發(fā)生的主體；為了進行風險管理，必須要有一整套風險識別、風險控制的程序和方法；風險控制的目的是確保財物的安全和信息的真實，而后進一步拓展為提高經(jīng)營效率以及各項法律法規(guī)的執(zhí)行。

3.風險管理實施應(yīng)用

3.1 風險評價方法

目前，國內(nèi)外關(guān)于風險評價的方法主要可以分為定性分析評價、定量分析評價和定性與定量相結(jié)合的評價方法三種。

3.1.1 定性分析評價方法

定性方法主要有德爾菲法、情景分析法與壓力測試法、SWOT法、對比法等。

德爾菲法：又稱專家調(diào)查法，由O·赫爾姆和N·達爾克在20世紀40年代首創(chuàng)，是最常用的定性分析方法之一。企業(yè)針對某個風險同時咨詢多個專家，專家們根據(jù)自己的經(jīng)驗做出各自的評估；再綜合這些評估得出一個折中結(jié)果，把該結(jié)果送交給專家們，專家們據(jù)此對自己的評估進行修改，直至達到一致。

情景分析法與壓力測試法：情景分析法通過一些數(shù)字、圖表和曲線，對未來某個狀態(tài)或某種情況進行詳盡的描繪和分析，識別引起風險的關(guān)鍵因素及其影響程度，是一種前推法，對未來的預(yù)測。壓力測試法則對經(jīng)驗過程中面臨的困難做最壞的打算，重現(xiàn)歷史災(zāi)難下企業(yè)所承擔的風險，是對過去的追溯。美國大通曼哈頓銀行成功地使用該方法對企業(yè)中的風險進行了分析。

戰(zhàn)略管理中常用“SWOT”（strength，weakness，opportunities and threats）分析法，也是風險分析的一種，企業(yè)對內(nèi)分析自身的優(yōu)勢與劣勢，長處與短處，對外分析外界的機會和威脅，明確企業(yè)在市場中所處的地位，考慮自己的生存機遇。

3.1.2 定量分析評價方法

定量方法主要包括風險價值法、敏感性分析、決策樹分析法、主成分分析法、蒙特卡洛模擬法等。

風險價值法（VaR）：VaR定義為在一定時期內(nèi)，一定的置信水平上可能的最大損失。它可將企業(yè)的風險大小以一定的貨幣量表示出來，實現(xiàn)不同風險的相互比較。目前求解VaR主要有兩種方法：參數(shù)方法和模擬仿真法。

3.1.3 定量分析和定性分析相結(jié)合的評價方法

常見的定性與定量相結(jié)合的方法，如層次分析法（AHP），是由著名的運籌學家在20世紀70年代初期提出的一種多目標決策方法。利用AHP的遞階層次結(jié)構(gòu)模型，企業(yè)將風險評價總目標進行逐層分解，得到從不同方面衡量風險的多變量準則層，每個待評估的方案按不同準則相互比較，構(gòu)建判斷矩陣，求出矩陣最大特征值對應(yīng)的特征向量，便可得到項目風險大小關(guān)系。該法可很好地處理定性和定量相結(jié)合的問題，將決策者的主觀判斷與政策經(jīng)驗導(dǎo)入模型，并加以量化處理。

之所以最常使用定性與定量相結(jié)合的方法，這是因為風險評價是一個復(fù)雜的系統(tǒng)工程，某些屬性或評價因素不易量化，甚至評價因素本身就不易確定，要想取得理想的評價效果很難。這時可以請多名對評價對象有專門知識或經(jīng)驗的人員來對其進行定性、定量或兩者結(jié)合的評價。而且，隨著計算機技術(shù)的發(fā)展，評價方法越來越豐富，也常常采用定性與定量兩者相結(jié)合的組合風險評價方法進行系統(tǒng)評價。

3.2 風險管理的實施應(yīng)用

COSO委員會研究并了基于風險導(dǎo)向的內(nèi)部控制監(jiān)督模型，它是一項嵌入風險信息與信息技術(shù)的系統(tǒng)化監(jiān)督流程工具，以推動企業(yè)將監(jiān)督有效地植入公司的持續(xù)控制過程，它首次在實質(zhì)上推動了內(nèi)部控制監(jiān)督要素的應(yīng)用性發(fā)展。

風險管理是一個包括風險規(guī)劃、風險識別、風險評價、風險處理與風險監(jiān)控的全過程管理，是一個系統(tǒng)的動態(tài)的循環(huán)的風險管理過程。其中，風險識別、風險評價以及風險處理都有多種常用方法，正確合理地選擇方法是風險管理順利實現(xiàn)的重要前提。在具體運用中，具體選擇哪種方法需要根據(jù)工程實際情況才能做出合理判斷。隨著風險管理在企業(yè)管理中越來越重要，應(yīng)針對本企業(yè)具體情況進行風險辨識、分析和評估、應(yīng)對以及風險防范措施等，以預(yù)防和減輕風險，達到降低風險等級的目的。

另外，在實際操作中，由于我國引進風險管理理念時間較短，它又與我國傳統(tǒng)的理念存在很多差異，管理人員沒有經(jīng)驗，在把這些概念和框架融入到日常的管理活動之中時，遇到許多困難，要不斷摸索著前進。因此，我們要清楚地認識到內(nèi)部控制和風險管理不僅僅是一種規(guī)章制度，更不是靜態(tài)的，一成不變的，而是一種管理過程，是一個持續(xù)的、不斷修正的過程。

參考文獻

[1]白華.內(nèi)部控制、公司治理與風險管理——一個職能論的視角[J].經(jīng)濟學家,2012(3).

[2]孫志梅,李秀蓮,王昕.國有企業(yè)內(nèi)部控制與風險管理研究綜述[J].經(jīng)濟研究導(dǎo)刊,2011(12).

[3]鄧揚建.風險管理導(dǎo)向的企業(yè)內(nèi)部控制思考[J].財務(wù)與金融,2011(8).

[4]劉玉廷.全面提升企業(yè)經(jīng)營管理水平的重要舉措——《企業(yè)內(nèi)部控制配套指引》解讀[J].會計研究,2010(5).

[5]張蕊.高風險形式下企業(yè)欺詐與舞弊的防范[J].會計研究,2010(7).

[6]劉霄侖.風險控制理論的再思考:基于對COSO內(nèi)部控制理念的分析[J].會計研究,2010(10).

[7]Samuel Bassetto,Ali Siadat b and Michel Tollenaere.The management of process control deployment using interactions in risks analyses [J].Journal of Loss Prevention in the Process Industries.2011,24.

篇10

關(guān)鍵詞：出口商品；質(zhì)量；風險管理；模式

中國作為世界出口制造業(yè)第一大國，隨著國際間貿(mào)易競爭不斷加劇，出口商品對通關(guān)便利化的要求越來越高。為了在保證出口商品質(zhì)量安全的同時建立高效、便捷的通關(guān)機制，質(zhì)量監(jiān)管部門必須創(chuàng)新出口商品質(zhì)量風險管理機制，以出口商品質(zhì)量安全信息為基礎(chǔ)，全面掌握與出口商品質(zhì)量安全相關(guān)的風險信息，開展風險分析和質(zhì)量安全狀況評估，落實風險管理措施，依據(jù)產(chǎn)品風險等級和企業(yè)誠信情況、質(zhì)量保證能力實施差別化監(jiān)管，扶優(yōu)限劣，提高通關(guān)效率。2012年5月至2013年8月，福州出入境檢驗檢驗局選擇了較具代表性的出口鞋類商品，前瞻性地開展了檢驗監(jiān)管業(yè)務(wù)風險管理模式改革試點工作，構(gòu)建了"動態(tài)監(jiān)控、分級管理"的檢驗監(jiān)管新機制，取得了良好的實效，同時也對出口法檢目錄調(diào)整之后的出口商品質(zhì)量監(jiān)管模式起到很好的參考作用。

一、實施出口商品質(zhì)量風險管理的必要性

風險管理，指防范風險的管理工作，包括了風險信息采集、風險識別、風險評估、風險應(yīng)對、風險監(jiān)控等一系列活動。出口商品質(zhì)量風險管理，就是要識別各類出口商品質(zhì)量風險，對風險發(fā)生的頻率和后果進行分析，尋找并引入風險控制措施，消除或者減輕因質(zhì)量因素帶來的潛在危害，從而實現(xiàn)出口商品質(zhì)量的有效控制。

出口商品質(zhì)量監(jiān)管工作中實施風險管理，首先是當前外貿(mào)形勢的要求。當前出口企業(yè)面臨諸多困難：生產(chǎn)成本上升，國際市場需求不旺，受周邊國家的價格擠壓，產(chǎn)品單價難以提高等等，企業(yè)利潤大幅下降，對產(chǎn)品質(zhì)量不可避免地造成負面影響。與此同時，出口產(chǎn)品面臨的國外技術(shù)壁壘卻有增無減，部分發(fā)達國家對產(chǎn)品安全性的要求甚至到了苛刻的程度，一種產(chǎn)品可能涉及的危害控制項目往往多達幾十種，給出口企業(yè)在質(zhì)量管理方面造成很大的困擾。

其次是促進外貿(mào)持續(xù)發(fā)展的要求。國家質(zhì)檢總局早在2012年初就提出了深化檢驗監(jiān)管模式改革，積極建立以風險管理為核心的出口商品檢驗監(jiān)管機制，提高出口產(chǎn)品監(jiān)管效率。通過深化和全面加強風險管理，促進外貿(mào)出口。

通過實施風險管理，可以提高利益相關(guān)方風險意識，有效配置和使用資源，實施主動性、前瞻性的質(zhì)量管理，改善工作效率和效果；遵守國內(nèi)外質(zhì)量法律法規(guī)和國際規(guī)范，減少損失，為計劃和決策奠定可靠的基礎(chǔ)；提高產(chǎn)品質(zhì)量水平，增強出口企業(yè)生存和持續(xù)發(fā)展的能力。

出口商品質(zhì)量風險管理總體思路是：運用風險管理的理念，深化和全面加強風險管理，通過風險信息采集與識別、風險分析和評價，區(qū)分不同風險等級，來確定監(jiān)管需求和資源配置的優(yōu)先順序。同時依托口岸電子信息化手段，有針對性地加強關(guān)鍵風險防控，做到"該嚴則嚴、該快則快、打劣促好"，構(gòu)建"動態(tài)監(jiān)控、分級管理"的出口商品質(zhì)量監(jiān)管新機制。

二、出口商品質(zhì)量風險信息的采集

風險，指在某一特定環(huán)境下，在某一特定時間段內(nèi)，某種損失發(fā)生的可能性。風險是一種未來的不確定性，可能會產(chǎn)生嚴重損失、或是可容忍的損失，甚至獲利。從質(zhì)量的角度講，風險與危害不同，危害是事物本身固有的屬性，如有毒物質(zhì)對人體、環(huán)境造成的危害等，危害是造成產(chǎn)品質(zhì)量風險的重要原因之一，但不一定會直接導(dǎo)致風險。

風險信息是實施風險管理的基礎(chǔ)，需通過各種方式、途徑，全面采集出口商品質(zhì)量信息，并識別出風險。

1、外部質(zhì)量風險信息的采集。包括各個出口商品輸往國的質(zhì)量法規(guī)、標準、行為習慣，以及各種現(xiàn)行和即將出臺的技術(shù)性貿(mào)易措施。各國對產(chǎn)品危害點的管制不盡相同，同一產(chǎn)品輸往不同國家產(chǎn)生的質(zhì)量風險也不同，如對產(chǎn)品中重金屬鉛含量的限制，歐盟國家、美國、及其他國家的控制要求各不相同。

2、產(chǎn)品自身質(zhì)量風險信息的采集。不同產(chǎn)品存在不同的質(zhì)量危害，由此產(chǎn)生的質(zhì)量風險也不相同，需針對不同產(chǎn)品進行梳理和識別。一般而言，產(chǎn)品自身中存在的潛在質(zhì)量風險主要包括：一是有害化學物質(zhì)，如：禁用偶氮染料、鄰苯二甲酸鹽、富馬酸二甲酯、全氟辛酸等等。二是物理安全性能，如：嬰兒用品的小附件、銳利尖端和銳利邊緣、繩帶的纏繞，電氣安全等。三是衛(wèi)生性能，如霉變等。四是一般使用性能和外觀要求，如：耐摩性能、拉伸強度、變形、污漬等。

3、出口商品質(zhì)量風險反饋信息的采集。包括出口商品遭遇國外通報、召回信息；出口商品退運信息；遭遇消費者投訴或媒體負面的質(zhì)量信息反饋；以及對出口商品實施監(jiān)督抽查、專項檢查的不合格結(jié)果信息等。

4、企業(yè)質(zhì)量誠信信息的采集。不同企業(yè)的質(zhì)量誠信和質(zhì)量管理水平也會對出口商品質(zhì)量風險產(chǎn)生不同的影響。質(zhì)量文化良好、質(zhì)量管理規(guī)范的企業(yè)，相對質(zhì)量風險低；反之，質(zhì)量風險就高一些。因此對同一產(chǎn)品的不同生產(chǎn)企業(yè)也要進行質(zhì)量信息采集與風險識別，區(qū)別對待。企業(yè)質(zhì)量信息點主要包括：企業(yè)的質(zhì)量意識，企業(yè)在各部門、各機構(gòu)的誠信記錄，質(zhì)量體系建立及運行的有效性，質(zhì)量體系及產(chǎn)品認證情況，質(zhì)量管理人員配置，產(chǎn)品檢驗控制，貿(mào)易信譽，過往質(zhì)量記錄等。

三、出口商品質(zhì)量風險等級

風險發(fā)生所產(chǎn)生的后果，可以根據(jù)其嚴重程度分成不同的等級。理想化來說，所有可能產(chǎn)生不良后果的風險，都需要控制。但是不同風險導(dǎo)致的結(jié)果的不可接受程度不同，需要采取不同的防控措施對待，質(zhì)量保障資源的平均分配或者動用對待關(guān)鍵風險的人力、財力、檢測資源來控制低風險的質(zhì)量項目都是不合理的。通過風險分級，有利于突出重點，節(jié)約質(zhì)量成本，化解風險在可接受范圍內(nèi)。實際工作中根據(jù)風險后果影響程度的不同，將風險區(qū)分為關(guān)鍵控制風險，一般控制風險和基礎(chǔ)性質(zhì)量風險三個風險等級。

1、關(guān)鍵控制風險。其一旦失控，存在不可接受的質(zhì)量風險，必須被總是監(jiān)控。它必須是客戶、消費者或者政府部門最關(guān)注的因素，對產(chǎn)品質(zhì)量的影響是最直接的，或者說是最負面的。如輸美兒童玩具中鉛含量的控制，輸歐真皮皮鞋中六價鉻的控制等。

2、一般控制風險。其一旦失控，一般不會直接導(dǎo)致不可接受的質(zhì)量風險。主要涉及產(chǎn)品一般使用性能和外觀，如衣服扣子釘歪了，鞋底開膠了等等。

3、基礎(chǔ)性質(zhì)量風險。涉及企業(yè)生產(chǎn)規(guī)范、設(shè)施、設(shè)備保障，以及企業(yè)道德、行業(yè)自律、產(chǎn)品標準體系建設(shè)、檢驗檢測認證市場規(guī)范、社會質(zhì)量文化等等。這些因素對質(zhì)量保障的影響是基礎(chǔ)性的，也是降低產(chǎn)品質(zhì)量風險的治本之舉。

四、出口商品質(zhì)量風險評估

1、運用風險矩陣法確定風險等級。運用風險評估技術(shù)中的風險矩陣法對各種風險進行分析和評價，確定風險的等級。具體而言，對每一種風險發(fā)生的頻率（即可能性）和后果的嚴重程度分別進行量化的評估，計算出每一種風險的風險指數(shù)，同時將風險指數(shù)范圍定義為不同的三個區(qū)間：可接受區(qū)間、檢查區(qū)間和不可接受區(qū)間，分別對應(yīng)風險的三個不同等級：關(guān)鍵控制風險，一般控制風險和基礎(chǔ)性質(zhì)量風險。某種項目風險頻率級別的量化值，可以根據(jù)該項目被抽查檢出的不合格比例，以及被國外通報、退運等數(shù)據(jù)的統(tǒng)計進行確定；風險后果的級別量化值，可以根據(jù)該項目對人體產(chǎn)生危害的嚴重程度進行區(qū)分。

2、關(guān)鍵控制風險的確定與動態(tài)調(diào)整。通過風險評估，可以得到某個階段的關(guān)鍵控制風險。風險評估的結(jié)果不僅可以作為出口商品質(zhì)量監(jiān)管的重點項目，同時也可以成為相關(guān)生產(chǎn)企業(yè)和貿(mào)易商的重點質(zhì)量保證項目，引導(dǎo)生產(chǎn)企業(yè)主動在設(shè)計、原輔材料采購和生產(chǎn)過程中對這些項目進行控制。同樣的方法也可以對不同行業(yè)、不同商品、不同企業(yè)、不同目的國，甚至不同環(huán)節(jié)發(fā)生的質(zhì)量風險進行風險等級的判定，從而確定關(guān)鍵控制風險。

風險評估過程是動態(tài)的，開放性的，當遇有國外相關(guān)法律法規(guī)、強制性技術(shù)規(guī)范、標準、風險預(yù)警信息、國外通報情況、監(jiān)督抽查檢測不合格情況、生產(chǎn)條件，及其他影響風險分析、評價的因素發(fā)生重大變化時，須及時或定期重新進行風險評估，對關(guān)鍵控制風險進行動態(tài)調(diào)整。

五、出口商品質(zhì)量風險應(yīng)對

重點針對關(guān)鍵控制風險，加強質(zhì)量監(jiān)管，提高質(zhì)量風險防控措施的針對性和有效性，合理配置行政和企業(yè)資源。

1、強化關(guān)鍵控制風險監(jiān)管。對涉及關(guān)鍵控制風險的出口商品加強審核、查驗、檢測、監(jiān)控，介入點可以是口岸查驗，生產(chǎn)環(huán)節(jié)的企業(yè)合格評定等。如果出現(xiàn)行業(yè)性、區(qū)域性嚴重質(zhì)量風險時，可以采取必要的臨時性措施，如提高市場準入門檻等，嚴格控制質(zhì)量風險。另外，針對特殊商品的質(zhì)量安全監(jiān)管，如出口危險化學品、高風險玩具和稀土等特殊商品，應(yīng)制定明確的法律法規(guī)、制度，完善監(jiān)管流程，確保質(zhì)量安全。

2、提供針對性的技術(shù)支持與服務(wù)。加大服務(wù)企業(yè)的精準度，相關(guān)風險項目的技術(shù)指導(dǎo)，包括質(zhì)量控制方法，生產(chǎn)規(guī)范，原材料選擇等，提供免費的技術(shù)培訓(xùn)和咨詢服務(wù)，幫助企業(yè)了解、掌握、有效應(yīng)對國外技術(shù)性貿(mào)易措施，化解質(zhì)量風險。

3、突出企業(yè)責任，樹立風險意識。通過對出口企業(yè)廣泛、深入、細致的宣傳培訓(xùn)，牢固樹立企業(yè)的質(zhì)量主體意識，不斷提高企業(yè)的質(zhì)量風險意識。鼓勵企業(yè)開展產(chǎn)品風險分析，源頭質(zhì)量檢測，和生產(chǎn)過程的自檢，提高風險防控能力。同時引導(dǎo)企業(yè)開展首件產(chǎn)品確認，并爭取客戶的有效確認。

4、強化執(zhí)法，維護市場秩序。任何質(zhì)量風險的控制都需要質(zhì)量成本的付出做支撐，并在產(chǎn)品的價格上反映出來。必須通過暢通投訴、舉報渠道，開展通報退運后續(xù)調(diào)查、監(jiān)督抽查、專項檢查等方法手段，打擊出口假冒偽劣商品，凈化市場環(huán)境，引導(dǎo)市場走出低價劣質(zhì)無序競爭的困境。

六、出口商品質(zhì)量風險管理改革成效

通過出口商品質(zhì)量風險管理模式改革的實踐，驗證了關(guān)鍵風險控制理論的可行性，取得了良好的實際運行效果。

1、產(chǎn)品整體質(zhì)量水平不斷提高。企業(yè)對產(chǎn)品風險控制的意識和能力顯著提升，促進了出口商品質(zhì)量的持續(xù)提高。雖然監(jiān)管部門的總體抽檢批減少了，但檢驗針對性提高，有效攔截了不合格商品的出口；同時企業(yè)對其產(chǎn)品質(zhì)量風險點能否進行有效控制決定了其產(chǎn)品通關(guān)速度和通關(guān)成本，管理的差異化有助于促進一批優(yōu)質(zhì)企業(yè)轉(zhuǎn)型升級，實現(xiàn)了"促好促快"的良性循環(huán)。

2、提高了質(zhì)量監(jiān)管工作有效性和針對性。改變以往"一刀切"式的、無差別的按比例隨機抽檢的方式，通過高風險關(guān)鍵控制點布控攔截，增強現(xiàn)場施檢的針對性。統(tǒng)計數(shù)據(jù)顯示，針對風險點的抽檢批占總抽檢批的三分之二，集中了有限的檢力資源管住管好了該管的，凸顯了檢驗的有效性。

3、提升了電子信息化技術(shù)應(yīng)用水平。促進了電子信息化技術(shù)在出口商品質(zhì)量管理中的進一步優(yōu)化、完善，實現(xiàn)了高風險項目的嚴密布控、一般風險產(chǎn)品的快速放行和風險信息日常電子化管理。

參考文獻：

[1] 國際標準化組織合格評定委員會 產(chǎn)品監(jiān)管和市場監(jiān)督的原則與實踐 良好實踐指南 2012

[2] 馬文拉桑德著，劉一騮譯 風險評估理論方法與應(yīng)用 清華大學出版社 2013.6

[3] GB/T27921-2011 風險管理 風險評估技術(shù)