时间:2023-08-25 17:07:40
序论:好文章的创作是一个不断探索和完善的过程,我们为您推荐十篇风险识别与风险评估的区别范例,希望它们能助您一臂之力,提升您的阅读品质,带来更深刻的阅读感受。
内部审计作为重要的管理工具,一直是企业内部监督的重要组成部分。随着经济全球化和市场竞争多元化的不断深入,企业所面临的风险日趋复杂。尤其是对于大型企业集团而言,风险规模已经远远超出管理层能够直接管控的范围。为此,企业开始日益重视风险管理工作,积极建立内部控制体系,提高企业风险管控能力。在此趋势下,风险导向内部审计应运而生,并较好的适应了管理层的风险管理需要。
一、风险导向内部审计的概念与基本特点
按照国际内部审计师协会(IIA)对内部审计的定义,内部审计是“一种独立、客观的保证和咨询活动,其目的是在于为组织增加价值并提高组织的运作效率。它采取系统化和规范化的方法来对风险管理、控制和治理程序进行评估和改善,从而帮助组织实现目标”。根据这一定义,推行风险导向内部审计就是要以对组织风险的评估与改善作为基本目标,以内部控制为审计基础,以公司治理为参与风险管理的前提。风险导向内部审计作为内部审计发展的一个阶段,其本身具有区别于传统内部审计和注册会计师外部审计的特点。笔者认为这些特点主要体现在如下方面:首先,风险导向内部审计将风险评估和改善作为首要目标,并据此延伸其职能。具体来说,其职能主要有三个方面,一是利用其在内部管理方面的专家地位和信息优势,根据企业目标评估、分析和管理风险,并将审计结果和管理建议向管理层报告。二是帮助管理层在制定重大决策事项时进行风险评估。三是为市场、采购、技术等其他专业领域的风险管理部门提供咨询。总之,风险导向内部审计不再是消极的查错防弊,而应以组织的整体风险评估作为首要工作。其次,风险导向内部审计在方法上更加注重风险评估、缺陷评估和管理建议。区别于传统内部审计,风险导向内部审计始终把风险管理作为审计工作的出发点和落脚点,强化审计工作的事前风险评估和事后缺陷评估环节,并基于这些评估得到审计结论和给出风险管理建议。第三,风险导向内部审计以内部控制为基础。从理论上说,内部审计是内部控制的监督环节,是对其他内部控制环节的再控制。内部审计无论从事是对风险的评估和改善,还是参与风险管理和治理程序,都需要依托对企业内部控制状况的了解。第四,采用风险导向使内部审计工作融入企业全面风险管理体系。不同于外部审计师所实施的内部控制审计,内部审计是为了保证企业经营目标的实现、保护资产安全、防止舞弊的发生而进行的全方位的内部控制评价。也就是说,内部审计、内部控制以及管理层的风险治理活动都是以企业风险管理为目标。内部审计通过采用风险导向而参与到企业全面风险管理中,成为整个风险管理体系的有机组成部分。
二、在内部审计中采用风险导向的必要性与实践意义
当前,内部审计需要应对的风险越来越复杂,对审计的要求也不断提高。内部审计需要更为全面、及时、准确的反映企业存在的风险,并提出有针对性的管理建议。传统内部审计虽然也针对企业风险进行监督,但从根本上说仍然缺乏完整有效的风险识别和评估体系,审计工作高度依赖审计人员水平,其风险覆盖的全面性、重要环节的审计充分性、以及审计质量的稳定性均难以保证。这不但无法满足企业风险管理需求,而且难以体现内部审计的管理价值,不利于内部审计的长期发展。因此,在审计实践中采用风险导向是内部审计发展的必然选择。
1、风险导向内部审计以风险评估和改善为目标,可以更为系统的覆盖企业重要风险,保证内部审计的完整性传统内部审计对于内部控制的关注一般集中在已有流程和已识别的运营风险,而缺乏对风险识别全面性和风险变动的评估。但对个体企业而言,无论是外部环境、业务特点,还是内部管理和治理结构都十分复杂,且始终处在不断变化的过程中。COSO委员会在2004年颁布的《企业风险管理——整体框架》(ERM)中将企业全面风险要素概括为八个大类,而阿瑟.安德森公司的商务风险模型(BRM)则将企业风险概括为三大类75种,足见其范围之广。在此情况下,传统内部审计很难保证审计结果和管理建议不存在重大遗漏、误判或者与企业实际状况脱节的风险。而风险导向内部审计通过有效的风险识别和风险评估,可以及时、全面的掌握这些情况,帮助内部审计部门形成对被审企业的完整认识。
2、风险导向内部审计对风险和缺陷的评估,能够更为科学的确定审计事项的重要性水平,有助于合理调配审计资源,深入进行研究分析,保证内部审计的充分性在目前的内部审计实践中,一个较为突出的问题是在标准化的审计程序上耗费大量审计资源,而缺乏对重要问题的深入研究和系统性分析。具体来说,一方面,审计过于追求程序的标准化,审计意见包含大量详细的操作细节问题,但没有区分重要性水平。特别是对于风险较小的环节给予过多关注,造成控制冗余,不但影响审计效率,也可能对后续审计产生误导。另一方面,对于重要缺陷不能给出系统评估和全面的解决方案,例如评估缺陷在多大程度上增加了企业运营风险,缺陷产生的系统性原因和个体原因,以及如何进行整改和需要投入的管理资源是否符合成本效益原则。而风险导向内部审计重视事前的风险评估,可以有效解决审计侧重点问题,合理调配审计资源。可以结合企业目标,有针对性的深入研究重要风险,评估缺陷程度。同时,还可以减少在次要风险上的审计资源投入,在总体资源有限的情况下发挥最大的审计效果。
三、实施风险导向内部审计的实现途径与展望
风险导向内部审计从根本上改变了传统审计的指导思想和工作模式,对内审部门提出了很大的挑战,其在实践中的应用还存在很大障碍。笔者认为,要想实施风险导向内部审计,至少需要在如下几个实现转变。
1、内部审计部门职能的转变:由消极的查错防弊向主动的风险管理转变在所有阻碍风险导向审计实施的问题中,最根本的是内审部门自身定位的转变。风险导向内部审计要求内审部门的定位要从消极的查错防弊变为主动的风险管理,在风险评估、内部控制乃至公司治理中发挥专业作用。这使内审工作从监督指导职能延伸到风险评估、缺陷分析和管理咨询,几乎颠覆了内审部门的旧有工作范围,无疑是对内审部门从软件到硬件的全面挑战。尽管如此,这些转变又是不可回避的,因为能否转变思路并主动适应新的角色,是内部审计能否提升自身价值的关键所在,也是企业风险管理提升不可或缺的重要途径。
2、审计方法的转变:建立完善风险评估机制风险评估和改善作为内部审计的首要目标,在实践中也是能否真正实施风险导向内部审计的关键问题。因为企业的风险千差万别,风险评估也非常复杂繁琐,但作为整个审计体系的基石,所有后续审计工作均需要以风险评估为基础。笔者认为,企业应通过建立成熟的风险识别模型和风险评估程序,通过流程化、标准化以节约审计资源。具体来说,一方面内审部门应结合COSO企业风险管理框架(ERM)、企业风险模型(BRM)以及其他风险分析工具,建立一套适合本企业特点的风险识别模型。然后根据企业目标,在模型框架内识别具有重大影响的风险项目,建立企业风险数据库。另一方面,在内部审计中应建立风险评估报告制度,强制要求内审人员全面了解被审单位的风险状况,以保证所有后续审计工作按风险导向执行,最终帮助评价审计结果对企业整体风险的影响。
3、风险管理架构的转变:整合内部控制资源,实施风险的全过程管理无论是内部审计还是内部控制和企业风险管理部门,乃至于各专业部门的风险管理人员,其根本任务归根结底就是对风险进行管理。而受制于管理范围和资源限制,内部审计部门必须与其他风险管理部门共同开展风险管理工作。具体来说,一是需要加强部门协调,与相关部门共享风险数据库,并在共同的风险识别框架下对风险形成共同认识,对控制措施和审计缺陷评估实施共同标准。二是对风险进行全过程管理。根据风险管理过程理论,风险管理是风险识别、风险度量和风险监控三个环节构成的循环,内部审计对于风险的管理也必然是一个动态的过程,需要整合相关资源对风险全流程进行管理,及时进行重新评估和应对。目前,外部审计机构正在大力开展管理咨询业务,凭借其专业优势和成本优势,越来越多的重复性内部审计工作已呈现外包化趋势。内部审计如果仍在“查错防弊”阶段止步不前,将越来越难以为企业创造价值。因此,只有积极参与企业内部风险管理,并在此基础上与其他风险管理部门密切配合,形成强有力的风险管理体系,才能有效为企业保驾护航,这或许是内部审计的长远发展方向。
作者:姜传志 胡增会 单位:青岛中油岩土工程有限公司
参考文献:
[1]曹伟,桂友泉.2002:内部审计与内部控制[J].审计研究(1),P27-30.
传统风险导向审计也称为控制风险导向审计,是指审计人员在审计过程中将风险分析、评价与控制融入传统审计方法之中,进而获取审计证据,形成审计结论的一种审计取证模式。
模型(审计风险=固有风险×控制风险×检查风险)可以解决交易类别、账户余额、披露和其他具体认定层次的错报,发现经济交易和事项本身的性质和复杂程度发生的错报,发现企业管理当局由于本身的认知和技术水平造成的错报,以及企业管理当局局部和个别人员舞弊和造假造成的错报,从而将审计风险控制在比较满意的水平。
二、现代风险导向审计模型
风险导向审计也称为经营风险导向审计,是指以被审计单位的战略经营风险为导向,通过“战略分析――流程分析――经营业绩评价――财务报表剩余风险分析”的基本思路,将会计报表重大错报风险和经营风险联系起来,从而提出了审计师从源头分析和发现会计报表错报的观念。
2003年10月国际审计和保证准则委员会(IAASB)了国际审计准则第315号(ISA315): “了解被审计单位及其环境并评估重大错报风险”,将传统风险导向审计下的审计风险模型修改为:审计风险=重大错报风险×检查风险,明确规定了审计工作以评估财务报表重大错报风险作为新的起点和导向。
三、两个模型的比较
传统风险导向审计模式与现代风险导向审计模式的本质区别在于审计理念和审计技术方法的不同,后者是对前者的改进,其主要区别如下:
(一)审计起点不同。传统风险导向审计方法通过综合评估固有风险和控制风险以确定实质性测试的范围、时间和程序,由于固有风险难以评估,审计的起点往往为企业的内部控制。
现代风险导向审计方法通过综合评估经营控制风险以确定实质性测试的范围、时间和程序,其审计起点为企业的战略系统及其业务流程。假如企业的业务流程不重要或风险控制很有效,则将实质性测试集中在例外事项上。这种新模式的优点是将审计的重心前移到风险评估,这将有利于充分识别和评估会计报表重大错报的风险,因此主要针对风险设计、实施控制测试和实质性测试程序。此外,注册会计师轻易全面把握企业可能存在的重大风险,有利于节省审计成本,克服因缺乏全面性观点而导致的审计风险。
(二)风险评估识别以分析性复核程序为中心。现代风险导向审计注重运用分析性复核程序,以识别可能存在的重大错报风险;而传统风险导向审计对于信息的再加工程度不高,分析性程序主要用在报表分析上。分析性复核程序已成为现代风险审计方法最重要的程序,为适应分析性程序功能扩大的要求,分析性程序开始走向多样化:在数据分析上,不但对财务数据进行分析,也要对非财务数据进行分析;在分析工具上,借鉴现代治理方法,把战略分析、绩效分析、财务分析以及前景分析等分析工具运用到风险评估之中,使风险因素不再唯一,变一元风险评估为多元风险评估,使得出的风险评估结果更加可靠。
(三)风险评估方式由直接评估转变为间接评估。传统风险导向审计的风险评估是一种直接的方式,即直接评估重大错报的概率。现代风险导向审计模式是从经营风险评估入手,间接地对审计风险进行评估,因为经营风险越高,审计风险也越大,也就是治理舞弊的可能性越大;并且从经营风险中能更有效地发现财务报表潜在的重大错报,因为财务报表是经营的反映,假如经营风险未能在报表中得到体现,则财务报表很可能失真。此外,会计政策、会计估计的合理性评估也只有从经营风险入手,才能进行正确的评估。
(四)审计程序实施具有个性化。传统风险导向审计模式的审计程序是标准化形式,对不同的被审计单位都使用标准相同的审计程序,其缺陷是没有充分贯彻风险导向审计思想,使注册会计师无法突破客户预先设置或防范的措施,难以做出正确的审计结论。现代风险导向审计方法要求注册会计师将评估及识别的审计风险与实施的审计程序相结合,针对不同客户以及客户不同的风险领域实施个性化的审计程序。
(五)审计证据的内涵扩大。在现代风险导向审计方式下,审计重心向风险评估转移,审计证据也由内部向外部转移。因此,注册会计师必须充分了解企业整体经营环境,由此评估客户的经营及审计风险,同时必须从外部取得大量的外部证据来证实风险评估的恰当性。风险导向审计模式下,注册会计师形成审计结论所依据的审计证据不仅包括实施控制测试和实质性测试获取的证据,还包括了解企业及其环境获取的证据。
(六)扩充了内部控制要素。传统风险导向审计方法下的内部控制是指被审计单位为了保证业务活动的有效进行,保护资产的安全和完整,发现、纠正错误与防止舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。内部控制要素包括控制环境、会计系统和控制程序。现代风险导向审计方法下的内部控制是指被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵循,由治理当局和其他人员设计和执行的政策和程序。内部控制的三要素扩充为五要素,即控制环境、被审计单位的风险评估过程、与财务报告相关的信息系统和沟通、控制活动和对控制的监督。
一、风险管理审计
(一)风险管理概述
风险管理是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理的目的是为了将风险控制在可接受的范围内(风险的可接受范围取决于组织对风险的态度)。
风险管理分为以下几个阶段:1、风险规划阶段。项目风险管理计划或策略确定控制目标:可以接受水平。2、风险识别阶段。主要确定风险来自何方?有哪几类风险?(我国国资委将国有企业风险分为以下几类:战略风险、财务风险、市场风险、运营风险以及法律风险。)3、风险估计阶段。确定事件后果有多大?发生的可能性有多大?4、风险评价阶段。确定风险的严重顺序;确定项目整体风险水平。5、风险应对阶段。设计控制风险的措施策略。6、风险控制阶段。检查控制措施是否充分有效?自我评估和内部审计。
(二)风险管理审计概念及目的
风险管理审计是内部审计以风险为考虑核心,采用系统
化、规范化的方法,通过对企业全面风险管理活动进行监督和评价,提出改进意见,来改善企业风险管理、增进企业价值的一种审计。
通过内部审计机构和人员对企业风险管理过程的了解,审查并评价其适当性和有效性,提出改进建议,促进企业目标的实现。
(三)内容
企业建立内部风险管理部门,内部审计人员实施必要的审计程序,对风险评估过程进行审查与评价,并重点关注风险发生的可能性和风险对组织目标的实现产生影响的严重程度两个要素。同时,内部审计人员应当充分了解风险评估的方法,并对管理层所采用的风险评估方法的适当性和有效性进行审查。审计人员应当实施必要的审计程序,对风险识别过程进行审查与评价,重点关注被审计单位面临的内、外部风险是否已得到充分、适当的确认。
最终对内部风险管理组织的健全性、风险管理程序的合理性以及风险预警系统的存在及有效性进行审查评价,最终出具风险管理审计报告。
二、风险导向审计
(一)概念及特征
风险导向审计立足于对审计风险进行系统的分析和评价,并以此作为出发点,制定审计战略,制定与企业状况相适应的多样化审计计划,以达到审计工作的效率性和效果性。审计期望差距的存在和审计目标的改变是风险基础审计产生的社会因素。审计组织的经济压力是风险基础审计产生的经济原因。制度基础审计的内在缺陷及解决方法是风险基础审计产生的技术原因
(二)内容
首先,通过对被审计单位控制环境的评价,鉴别其财务报表重要组成项目的各项认定,考虑财务报表重大错误表述的风险。其次,建立审计目标。审计目标以风险评价为基础,通过风险评估分析,制订审计计划,确定如何收集、收集多少和收集何种性质的证据的决策,为更有效地控制和提高审计效果及审计效率,提供了一个完整的结构。再次,根据审计目标确定拟实施的审计程序的性质、时间及范围。最终将审计风险控制在可以接受的范围内,并以此出具审计报告。
理论基础:经营风险驱动审计风险。简单地说,就是任
何影响客户实现其经营目标的潜在风险,都是审计风险的来源。企业的经营风险来自两个层面:战略风险和运营风险。基本逻辑是:财务报表是否存在重大错报与经营活动的顺利与否相关;经营活动的顺利与否与企业的经营战略目标是否正确相关;企业经营战略的风险会逐步转化为财务报表的重大错报风险;重大错报风险是审计风险的直接来源。
三、两者区别与内在联系
(一)区别
产生背景及性质不同:风险导向审计是由于审计期望差距而产生的,同时也是对账项导向审计、制度导向审计的改进,是审计模式的创新发展,同时也是一种新型的审计模式。风险管理审计是为了满足企业加强自身内部风险管理的需要及内部审计自身发展的需要而产生的,是一种全新的审计业务类型。
审计目的不同:风险导向审计是通过评估审计风险,合理分配审计资源,并设计一系列高效率低成本的审计程序,并最终将审计风险降低至可接受水平,从而出具审计报告。风险管理审计则是为了审查和评价企业风险管理的适当性和有效性,并最终服务于内部审计,降低企业经营管理风险,提高企业内部控制水平。
“风险”含义及审计主体不同:风险导向审计中的“风险”指的是审计风险,包括重大错报风险和检查风险,其审计主体是审计机构和审计人员。风险管理审计中的“风险”主要指的是经营风险,主体是企业及管理人员,包括风险识别、评估及应对三个阶段。
审计思路不同:风险导向审计首先评估企业经营风险,从而确定重大错报风险,从而计算出可接受的检查风险水平。风险管理审计主要审查评价企业风险识别是否充分,风险评估是否恰当,所采取的风险应对措施是否合理有效。
随着国内外重大审计失败事件的不断发生,风险导向审计作为一种重要的审计理念和方法,受到审计职业界和学者的关注。中国注册会计师协会在2004年10月了新的审计风险准则征求意见稿,要求注册会计师在审计中使用现代风险导向审计方法,实施风险评估程序,降低审计风险,提高审计质量。如果审计风险准则一旦正式生效,将使我国的审计风险准则与国际接轨,并引导中国注册会计师实务由传统风险导向审计向现代风险导向审计转变。因此,对现代风险导向审计模式的理解以及在我国的适用性分析就显得十分重要。
一、风险导向审计概述
随着社会经济的发展变化,审计方法适应审计环境的变化经历了三个发展阶段:一是审计发展的早期,由于企业组织结构简单、业务性质单一,注册会计师的审计工作目的是为了促使受托责任人在授权经营过程中做出诚实、可靠的行为,审计方式是详细审计。审计的重心在资产负债表,是对会计凭证和账簿的详细审计,旨在发现和防止错误与舞弊,这种审计方法就是账项基础审计方法(accountingnumber-basedauditapproach)。二是从1950年代起,以内部控制测试为基础的抽样审计在西方国家得到广泛应用,这种审计方法重点在于注册会计师了解、测试和评价内部控制设计的合理性和执行的有效性。对内部控制存在缺陷的环节,注册会计师通常将其涉及交易和账户余额作为审计的重点,甚至进行详细审计;对于可以信赖的内部控制环节,通常将其涉及的交易和账户余额进行抽样审计,以提高审计效率和降低审计费用。从方法论的角度,这种审计方法被称作制度基础审计方法(system-basedauditapproach)。三是1970年代以后,由于制度基础审计方法显露缺陷,一种新的、以风险防范为基础的风险导向审计模式逐渐兴起,从方法论的角度,注册会计师以审计风险模型为基础进行的审计方法称为风险导向审计方法(risk-orientedauditapproach)。
回顾审计方法的发展历程,风险导向审计模式已成为审计方法发展的国际趋势。风险导向审计模式合理地扬弃了作为制度导向审计模式基础的“无利害关系假设”,把指导思想建立在“合理的职业怀疑假设”的基础上,不只依赖对被审计单位管理层所设计和执行内部控制制度的检查与评价,而且实事求是地对公司管理层是否诚信、是否有舞弊造假的驱动始终保持一种合理的职业警觉,将审计的视野扩大到被审计单位所处的经营环境(微观、中观乃至宏观),将风险评估贯穿于审计工作的全过程。与传统的制度基础审计相比较,主要有以下区别:
(一)审计模式不同
制度基础审计模式以内部控制为核心,对控制风险的评估仅通过确定内部控制的可依赖程度来减少实质性测试的工作量,而对固有风险的评估常流于形式;风险导向审计模式不仅通过内部控制评估控制风险,还结合其他风险因素尤其是固有风险综合考虑,通过对企业环境、发展战略、公司治理结构等方面的评估,发现其潜在的经营风险及财务风险,并评估财务报表发生重大错报的风险,以便使审计风险降至可接受水平。
(二)审计基础不同
制度基础审计以内部控制制度为基础,根据被审单位内部控制制度的健全性及符合性评审结果,确定实质性测试的范围和重点;风险导向审计则以风险评估为基础,对影响被审单位经济活动的多种内外因素进行评估,确定审计范围、重点和方法,其不仅重视与内部控制系统直接相关的因素,而且重视各种环境因素。
(三)审计方法不同
两种审计模式都采用抽样技术,但风险导向审计是通过建立审计风险模型将风险量化。因此,相对于制度基础审计来说,风险导向审计的抽样技术是更完全意义上的审计抽样,更注重利用分析性测试方法,从而可以有效降低审计风险。
二、风险导向审计的两种模式
风险导向审计自产生以来经历了两个阶段,理论界把以传统审计风险模型“审计风险=固有风险×控制风险×检查风险”为基础进行的审计称为传统风险导向审计模式;而将1990年代后期开始,在国际会计师事务所内部推行并逐渐被审计理论与实务界接受的,以“审计风险=重大错报风险×检查风险”的模型为基础,以被审计单位的经营风险为导向的审计方法称作现代风险导向审计模式。
传统风险导向审计模式与现代风险导向审计模式的本质区别在于审计理念和审计技术方法的不同,后者是对前者的改进,其主要区别如下:
(一)审计起点不同
传统风险导向审计运用的审计风险模型中,固有风险是指假定不存在相关内部控制时,某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报的可能性。控制风险是指某一账户或交易类别单独或连同其他账户、交易类别产生错报或漏报,而未能被内部控制防止、发现或纠正的可能性。传统风险导向审计方法通过综合评估固有风险和控制风险以确定实质性测试的范围、时间和程序,由于固有风险难以评估,审计的起点往往为企业的内部控制(如果没有必要测试内部控制,审计的起点则为会计报表项目)。
现代风险导向审计方法通过综合评估经营控制风险以确定实质性测试的范围、时间和程序,其审计起点为企业的战略系统及其业务流程。如果企业的业务流程不重要或风险控制很有效,则将实质性测试集中在例外事项上。这种新模式的优点是将审计的重心前移到风险评估,这将有利于充分识别和评估会计报表重大错报的风险,因此,主要针对风险设计、实施控制测试和实质性测试程序。此外,注册会计师容易全面掌握企业可能存在的重大风险,有利于节省审计成本,克服因缺乏全面性观点而导致的审计风险。
(二)风险评估识别以分析性复核程序为中心
现代风险导向审计注重运用分析性复核程序,以识别可能存在的重大错报风险;而传统风险导向审计对于信息的再加工程度不够,其分析性程序主要用在报表分析上。分析性复核程序已成为现代风险审计方法最重要的程序,为了适应分析性程序功能扩大的要求,分析性程序开始走向多样化:在数据分析上不但要对财务数据进行分析,也要对非财务数据进行分析;在分析工具上借鉴现代管理方法,把战略分析、绩效分析、财务分析及前景分析等分析工具运用到风险评估之中,使风险因素不再惟一,变一元风险评估为多元风险评估,使得出的风险评估结果更加可靠。
(三)风险评估方式由直接评估转变为间接评估
传统风险导向审计的风险评估是一种直接的方式,即直接评估重大错报的概率。现代风险导向审计模式是从经营风险评估入手,间接地对审计风险进行评估,因为经营风险越高,审计风险也越大,也就是管理舞弊的可能性越大;并且从经营风险中能更有效地发现财务报表潜在的重大错报,因为财务报表是经营的反映,如果经营风险未能在报表中得到体现,则财务报表很可能失真。此外,会计政策、会计估计的合理性评估也只有从经营风险入手,才能进行正确的评估。
(四)审计程序实施具有个性化
传统风险导向审计模式审计程序是标准化形式,对不同的被审计单位都使用标准相同的审计程序,其缺陷是没有足够贯彻风险导向审计思想,使注册会计师无法突破客户预先设置或防范的措施,难以做出正确的审计结论。现代风险导向审计方法要求注册会计师将评估及识别的审计风险与实施的审计程序相结合,针对不同客户以及客户不同的风险领域实施个性化的审计程序。
(五)审计证据的内涵扩大
在现代风险导向审计方式下,审计重心向风险评估转移,审计证据也由内部向外部转移。因此,注册会计师必须充分了解企业整体经营环境,由此评估客户的经营及审计风险,同时必须从外部取得大量的外部证据来证明风险评估的恰当性。风险导向审计模式下,注册会计师形成审计结论所依据的审计证据不仅包括实施控制测试和实质性测试获取的证据,还包括了解企业及其环境获取的证据。
(六)扩充了内部控制要素
传统风险导向审计方法下的内部控制是指被审计单位为了保证业务活动的有效进行,保护资产的安全和完整,发现、纠正错误与防止舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。内部控制要素包括控制环境、会计系统和控制程序。现代风险导向审计方法下的内部控制是指被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵循,由治理当局、管理当局和其他人员设计和执行的政策和程序。内部控制的三要素扩充为五要素,即控制环境、被审计单位的风险评估过程、与财务报告相关的信息系统和沟通、控制活动和对控制的监督。
(七)对注册会计师的专业知识提出了更高要求
现代风险导向审计对注册会计师的专业素质提出更高要求,其重心从会计、审计知识转向管理和行业知识。现代风险导向审计下审计结果主要依赖风险评估,风险评估的各种分析方法要求掌握现代管理知识和行业知识(包括市场、研发、生产等方面),这对注册会计师提出了更高的要求。注册会计师应该是复合性人才,不但要掌握一般常用分析工具,还要接受现代管理知识和行业专业知识训练。
三、现代风险导向审计模式在我国的适用性分析
基于上述分析,现代风险导向审计模式是审计发展的一种必然趋势。2003年10月,国际审计与鉴证准则委员会(IAASB)通过了新的审计风险准则;中注协也在2004年10日了修订后的审计风险准则征求意见稿,不仅将使我国的审计风险准则与国际接轨,同时也为提高审计质量、降低审计风险提供了技术支持。审计风险准则一旦正式生效,将引导中国注册会计师实务由传统风险导向审计向现代风险导向审计转变,会对我国的注册会计师审计理念、审计程序及审计责任产生非常大的影响。
然而,目前要在我国推行风险导向审计模式还存在一定的制约条件和需要解决的问题:
(一)会计师事务所审计成本与效益问题
实施风险导向审计模式的前提是成本能得到补偿。现代风险导向审计模式在审计计划阶段和执行控制测试阶段,注册会计师关注的范围扩大,程度加深,导致工作时间和审计成本的增加,在市场竞争激烈的情况下,成本的增加往往不可能过渡到收费的同步增加。此外,还需要一定的投入来培训注册会计师,使他们掌握业务流程和行业知识等有关方面的知识。如果这些成本得不到补偿,就会使一部分中小会计师事务所在竞争中无法生存。
(二)信息系统的建设问题
现代风险导向审计的重要特征是审计重心前移,注册会计师必须首先执行风险评估程序,充分了解客户整体经营环境,然后针对风险不同的客户、客户不同的风险领域,设计个性化的审计程序。因此,会计师事务所必须建立强大的信息系统,以便注册会计师在风险评估时了解企业的战略、流程风险管理、业绩衡量等。而目前国内很多事务所对行业风险和企业经营风险缺乏了解,客户的相关信息不够充分,信息系统的建设还达不到现代风险导向审计的要求,导致风险评估不准确。因此,风险导向审计的运用仅限于老客户,对新客户还是将大量时间用于实质性测试。
(三)审计从业人员素质问题
现代风险导向审计对审计从业人员的业务素质提出了新要求,不仅要具备丰富的审计理论和实践经验,还要具备必需的管理学知识和经济学知识,能够运用系统的、战略的观点充分了解、分析企业所处的宏观经济环境和行业发展状况,对有可能导致企业会计报表错报风险的内外部因素进行客观、系统的分析与评价,将审计视角扩展到内部控制以外,从较高层面上评估风险,而不是仅仅注重企业会计处理的细节。
(四)辅助审计软件的使用与完善问题
现代风险导向审计方法中分析性程序占据非常重要的地位,辅助审计软件的使用在其中发挥着重要的作用。西方发达国家大量运用分析性程序的条件是辅助审计程序的开发和运用,它可以直接对数据库进行加工分析,依据软件模型自行处理数据,使运用分析性测试程序成为节约成本的重要手段。另外,采用审计软件使统计抽样的样本更具代表性,审计抽样风险可控,为风险导向审计提供了技术支持。目前,我国在审计软件的开发和使用上不够理想,还有待提高,而且大部分注册会计师缺少相应的技术准备,在现阶段推行现代风险导向审计方法只能是一种愿望。
如上所述,目前在我国全面推行现代风险导向审计模式还受到许多制约,尽管它有很多优越之处,但在我国还不能够普遍推行。当前我国独立审计准则主要是以制度基础审计模式为基础的,而且相当一部分从事小规模企业审计工作的会计师事务所和注册会计师,基本上仍然在运用账项基础审计模式。但是,现代风险导向审计的实行是一种理念的改变,我们可将制度基础审计与风险导向审计有机结合。即使在现行审计准则仍然主要以制度基础审计模式为基础的情况下,吸取风险导向审计模式的基本观点和做法,则是完全可行的。通过把风险导向审计中控制风险的理念和方法融合到制度基础审计中,使其他审计模式忽略审计风险的缺陷得到弥补,将会为探索适合我国的现代风险导向审计模式积累有益的实践经验。
参考文献:
〔1〕陈毓圭。对风险导向审计方法的由来及其发展的认识〔J〕。会计研究,2004,(2)。
随着国内外重大审计失败事件的不断发生,风险导向审计作为一种重要的审计理念和方法,受到审计职业界和学者的关注。中国注册会计师协会在2004年10月了新的审计风险准则征求意见稿,要求注册会计师在审计中使用现代风险导向审计方法,实施风险评估程序,降低审计风险,提高审计质量。如果审计风险准则一旦正式生效,将使我国的审计风险准则与国际接轨,并引导中国注册会计师实务由传统风险导向审计向现代风险导向审计转变。因此,对现代风险导向审计模式的理解以及在我国的适用性分析就显得十分重要。
一、风险导向审计概述
随着社会经济的发展变化,审计方法适应审计环境的变化经历了三个发展阶段:一是审计发展的早期,由于企业组织结构简单、业务性质单一,注册会计师的审计工作目的是为了促使受托责任人在授权经营过程中做出诚实、可靠的行为,审计方式是详细审计。审计的重心在资产负债表,是对会计凭证和账簿的详细审计,旨在发现和防止错误与舞弊,这种审计方法就是账项基础审计方法(accountingnumber-basedauditapproach)。二是从1950年代起,以内部控制测试为基础的抽样审计在西方国家得到广泛应用,这种审计方法重点在于注册会计师了解、测试和评价内部控制设计的合理性和执行的有效性。对内部控制存在缺陷的环节,注册会计师通常将其涉及交易和账户余额作为审计的重点,甚至进行详细审计;对于可以信赖的内部控制环节,通常将其涉及的交易和账户余额进行抽样审计,以提高审计效率和降低审计费用。从方法论的角度,这种审计方法被称作制度基础审计方法(system-basedauditapproach)。三是1970年代以后,由于制度基础审计方法显露缺陷,一种新的、以风险防范为基础的风险导向审计模式逐渐兴起,从方法论的角度,注册会计师以审计风险模型为基础进行的审计方法称为风险导向审计方法(risk-orientedauditapproach)。
回顾审计方法的发展历程,风险导向审计模式已成为审计方法发展的国际趋势。风险导向审计模式合理地扬弃了作为制度导向审计模式基础的“无利害关系假设”,把指导思想建立在“合理的职业怀疑假设”的基础上,不只依赖对被审计单位管理层所设计和执行内部控制制度的检查与评价,而且实事求是地对公司管理层是否诚信、是否有舞弊造假的驱动始终保持一种合理的职业警觉,将审计的视野扩大到被审计单位所处的经营环境(微观、中观乃至宏观),将风险评估贯穿于审计工作的全过程。与传统的制度基础审计相比较,主要有以下区别:
(一)审计模式不同
制度基础审计模式以内部控制为核心,对控制风险的评估仅通过确定内部控制的可依赖程度来减少实质性测试的工作量,而对固有风险的评估常流于形式;风险导向审计模式不仅通过内部控制评估控制风险,还结合其他风险因素尤其是固有风险综合考虑,通过对企业环境、发展战略、公司治理结构等方面的评估,发现其潜在的经营风险及财务风险,并评估财务报表发生重大错报的风险,以便使审计风险降至可接受水平。
(二)审计基础不同
制度基础审计以内部控制制度为基础,根据被审单位内部控制制度的健全性及符合性评审结果,确定实质性测试的范围和重点;风险导向审计则以风险评估为基础,对影响被审单位经济活动的多种内外因素进行评估,确定审计范围、重点和方法,其不仅重视与内部控制系统直接相关的因素,而且重视各种环境因素。
(三)审计方法不同
两种审计模式都采用抽样技术,但风险导向审计是通过建立审计风险模型将风险量化。因此,相对于制度基础审计来说,风险导向审计的抽样技术是更完全意义上的审计抽样,更注重利用分析性测试方法,从而可以有效降低审计风险。
二、风险导向审计的两种模式
风险导向审计自产生以来经历了两个阶段,理论界把以传统审计风险模型“审计风险=固有风险×控制风险×检查风险”为基础进行的审计称为传统风险导向审计模式;而将1990年代后期开始,在国际会计师事务所内部推行并逐渐被审计理论与实务界接受的,以“审计风险=重大错报风险×检查风险”的模型为基础,以被审计单位的经营风险为导向的审计方法称作现代风险导向审计模式。
传统风险导向审计模式与现代风险导向审计模式的本质区别在于审计理念和审计技术方法的不同,后者是对前者的改进,其主要区别如下:
(一)审计起点不同
传统风险导向审计运用的审计风险模型中,固有风险是指假定不存在相关内部控制时,某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报的可能性。控制风险是指某一账户或交易类别单独或连同其他账户、交易类别产生错报或漏报,而未能被内部控制防止、发现或纠正的可能性。传统风险导向审计方法通过综合评估固有风险和控制风险以确定实质性测试的范围、时间和程序,由于固有风险难以评估,审计的起点往往为企业的内部控制(如果没有必要测试内部控制,审计的起点则为会计报表项目)。
现代风险导向审计方法通过综合评估经营控制风险以确定实质性测试的范围、时间和程序,其审计起点为企业的战略系统及其业务流程。如果企业的业务流程不重要或风险控制很有效,则将实质性测试集中在例外事项上。这种新模式的优点是将审计的重心前移到风险评估,这将有利于充分识别和评估会计报表重大错报的风险,因此,主要针对风险设计、实施控制测试和实质性测试程序。此外,注册会计师容易全面掌握企业可能存在的重大风险,有利于节省审计成本,克服因缺乏全面性观点而导致的审计风险。
(二)风险评估识别以分析性复核程序为中心
现代风险导向审计注重运用分析性复核程序,以识别可能存在的重大错报风险;而传统风险导向审计对于信息的再加工程度不够,其分析性程序主要用在报表分析上。分析性复核程序已成为现代风险审计方法最重要的程序,为了适应分析性程序功能扩大的要求,分析性程序开始走向多样化:在数据分析上不但要对财务数据进行分析,也要对非财务数据进行分析;在分析工具上借鉴现代管理方法,把战略分析、绩效分析、财务分析及前景分析等分析工具运用到风险评估之中,使风险因素不再惟一,变一元风险评估为多元风险评估,使得出的风险评估结果更加可靠。
(三)风险评估方式由直接评估转变为间接评估
传统风险导向审计的风险评估是一种直接的方式,即直接评估重大错报的概率。现代风险导向审计模式是从经营风险评估入手,间接地对审计风险进行评估,因为经营风险越高,审计风险也越大,也就是管理舞弊的可能性越大;并且从经营风险中能更有效地发现财务报表潜在的重大错报,因为财务报表是经营的反映,如果经营风险未能在报表中得到体现,则财务报表很可能失真。此外,会计政策、会计估计的合理性
评估也只有从经营风险入手,才能进行正确的评估。
(四)审计程序实施具有个性化
传统风险导向审计模式审计程序是标准化形式,对不同的被审计单位都使用标准相同的审计程序,其缺陷是没有足够贯彻风险导向审计思想,使注册会计师无法突破客户预先设置或防范的措施,难以做出正确的审计结论。现代风险导向审计方法要求注册会计师将评估及识别的审计风险与实施的审计程序相结合,针对不同客户以及客户不同的风险领域实施个性化的审计程序。
(五)审计证据的内涵扩大
在现代风险导向审计方式下,审计重心向风险评估转移,审计证据也由内部向外部转移。因此,注册会计师必须充分了解企业整体经营环境,由此评估客户的经营及审计风险,同时必须从外部取得大量的外部证据来证明风险评估的恰当性。风险导向审计模式下,注册会计师形成审计结论所依据的审计证据不仅包括实施控制测试和实质性测试获取的证据,还包括了解企业及其环境获取的证据。
(六)扩充了内部控制要素
传统风险导向审计方法下的内部控制是指被审计单位为了保证业务活动的有效进行,保护资产的安全和完整,发现、纠正错误与防止舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。内部控制要素包括控制环境、会计系统和控制程序。现代风险导向审计方法下的内部控制是指被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵循,由治理当局、管理当局和其他人员设计和执行的政策和程序。内部控制的三要素扩充为五要素,即控制环境、被审计单位的风险评估过程、与财务报告相关的信息系统和沟通、控制活动和对控制的监督。
(七)对注册会计师的专业知识提出了更高要求
现代风险导向审计对注册会计师的专业素质提出更高要求,其重心从会计、审计知识转向管理和行业知识。现代风险导向审计下审计结果主要依赖风险评估,风险评估的各种分析方法要求掌握现代管理知识和行业知识(包括市场、研发、生产等方面),这对注册会计师提出了更高的要求。注册会计师应该是复合性人才,不但要掌握一般常用分析工具,还要接受现代管理知识和行业专业知识训练。
三、现代风险导向审计模式在我国的适用性分析
基于上述分析,现代风险导向审计模式是审计发展的一种必然趋势。2003年10月,国际审计与鉴证准则委员会(IAASB)通过了新的审计风险准则;中注协也在2004年10日了修订后的审计风险准则征求意见稿,不仅将使我国的审计风险准则与国际接轨,同时也为提高审计质量、降低审计风险提供了技术支持。审计风险准则一旦正式生效,将引导中国注册会计师实务由传统风险导向审计向现代风险导向审计转变,会对我国的注册会计师审计理念、审计程序及审计责任产生非常大的影响。
然而,目前要在我国推行风险导向审计模式还存在一定的制约条件和需要解决的问题:
(一)会计师事务所审计成本与效益问题
实施风险导向审计模式的前提是成本能得到补偿。现代风险导向审计模式在审计计划阶段和执行控制测试阶段,注册会计师关注的范围扩大,程度加深,导致工作时间和审计成本的增加,在市场竞争激烈的情况下,成本的增加往往不可能过渡到收费的同步增加。此外,还需要一定的投入来培训注册会计师,使他们掌握业务流程和行业知识等有关方面的知识。如果这些成本得不到补偿,就会使一部分中小会计师事务所在竞争中无法生存。
(二)信息系统的建设问题
现代风险导向审计的重要特征是审计重心前移,注册会计师必须首先执行风险评估程序,充分了解客户整体经营环境,然后针对风险不同的客户、客户不同的风险领域,设计个性化的审计程序。因此,会计师事务所必须建立强大的信息系统,以便注册会计师在风险评估时了解企业的战略、流程风险管理、业绩衡量等。而目前国内很多事务所对行业风险和企业经营风险缺乏了解,客户的相关信息不够充分,信息系统的建设还达不到现代风险导向审计的要求,导致风险评估不准确。因此,风险导向审计的运用仅限于老客户,对新客户还是将大量时间用于实质性测试。
(三)审计从业人员素质问题
现代风险导向审计对审计从业人员的业务素质提出了新要求,不仅要具备丰富的审计理论和实践经验,还要具备必需的管理学知识和经济学知识,能够运用系统的、战略的观点充分了解、分析企业所处的宏观经济环境和行业发展状况,对有可能导致企业会计报表错报风险的内外部因素进行客观、系统的分析与评价,将审计视角扩展到内部控制以外,从较高层面上评估风险,而不是仅仅注重企业会计处理的细节。
(四)辅助审计软件的使用与完善问题
现代风险导向审计方法中分析性程序占据非常重要的地位,辅助审计软件的使用在其中发挥着重要的作用。西方发达国家大量运用分析性程序的条件是辅助审计程序的开发和运用,它可以直接对数据库进行加工分析,依据软件模型自行处理数据,使运用分析性测试程序成为节约成本的重要手段。另外,采用审计软件使统计抽样的样本更具代表性,审计抽样风险可控,为风险导向审计提供了技术支持。目前,我国在审计软件的开发和使用上不够理想,还有待提高,而且大部分注册会计师缺少相应的技术准备,在现阶段推行现代风险导向审计方法只能是一种愿望。
如上所述,目前在我国全面推行现代风险导向审计模式还受到许多制约,尽管它有很多优越之处,但在我国还不能够普遍推行。当前我国独立审计准则主要是以制度基础审计模式为基础的,而且相当一部分从事小规模企业审计工作的会计师事务所和注册会计师,基本上仍然在运用账项基础审计模式。但是,现代风险导向审计的实行是一种理念的改变,我们可将制度基础审计与风险导向审计有机结合。即使在现行审计准则仍然主要以制度基础审计模式为基础的情况下,吸取风险导向审计模式的基本观点和做法,则是完全可行的。通过把风险导向审计中控制风险的理念和方法融合到制度基础审计中,使其他审计模式忽略审计风险的缺陷得到弥补,将会为探索适合我国的现代风险导向审计模式积累有益的实践经验。
参考文献:
〔1〕陈毓圭。对风险导向审计方法的由来及其发展的认识〔J〕。会计研究,2004,(2)。
风险评估是从风险管理的角度,分析被评估对象所面临的威胁、存在的弱点,评估安全事件一旦发生可能造成的危害程度和影响。风险管理者可以在风险评估的基础上合理地制定、恰当地选择风险管理手段和风险管理方案。
风险评估的主要内容有:识别组织面临的各种风险;评估风险概率和可能带来的负面影响;设置风险等级与确定风险等级评判标准;控制与管理风险。具体到国库会计风险评估,就是对国库会计风险进行识别、分析和处置。主要包括以下三个方面:
(一)风险识别。指结合国库会计工作的实际情况和特点,充分考虑内部和外部因素,依据国库会计业务流程,正确识别并界定风险点。
(二)风险估定。指针对国库会计风险点,通过日常管理和现场检查等方式整理评估资料,进行分析、甄别,判定风险的严重程度。
(三)风险管理。根据风险分析情况,针对风险点研究解决方案、控制方式以及防范化解措施,最后形成风险评估报告。
二、国库会计风险评估指标的设置
(一)国库会计风险评估指标的设置原则
1、客观性原则。构建国库会计风险评估体系,应当以真实、完整的评估资料为依据,从实际出发,实事求是、客观公正,如实反映评估对象的风险管理和控制情况,尽可能减少或避免主观判断。
2、全面性原则。评估范围应覆盖国库会计业务处理的全过程,反映国库会计风险的方方面面,包括国库会计处理涉及的所有系统、部门、岗位与操作环节。在此基础上,综合有关信息对国库会计当前的风险状况或潜在的风险隐患进行较为全面的分析评价。
3、科学性原则。风险评估体系的设计应充分考虑国库业务的现实状况,遵照定性分析与定量分析相结合的原则,既要全面又要突出重点,使国库资金风险评估体系的资料收集、筛选、分析具有针对性,工作高效快捷,评价结论准确。
4、可操作性原则。风险评估指标的设计应简单可行,指标数目适中,易于获取,既真实、全面反映国库会计面临的资金风险,又能抓住国库会计风险的关键环节。
(二)国库会计风险评估指标
根据国库会计风险表现形态,建立国库会计风险评价指标体系结构如下图:
三、国库会计风险评估过程
风险评估的基本思路:以现场检查和日常管理活动收集、整理的评估资料为基础,对国库会计工作中存在的风险进行识别,根据风险揭示因素的数量、性质及其危害,对各类问题进行逐一分析、甄别后“嵌入”上述风险评估指标框架,评估确定每家国库的风险类别和风险等级。根据评估结果提出风险管理对策,形成风险评估报告供领导决策参考,有针对性地加强国库管理。
(一)国库会计风险识别
国库会计风险评估的首要阶段,是对各类国库会计风险进行识别。本文把国库会计处理过程中可能存在的风险按其表现形式分为以下几种类型:
1、道德风险。道德风险是指由于国库会计人员违背会计职业道德规范或未能达到应有的职业素养,引发业务运转失常或管理行为紊乱,导致会计工作责任事故或资金损失的可能性。例如,国库工作人员的人生观、价值观、道德观发生偏差,在国库业务处理中人为导致国库资金遭受损失。
2、制度风险。制度风险是指国库制度存有缺陷导致国库资金损失的可能性。这种缺陷表现为:现有制度及规定不能涵盖国库各类业务,制度规定滞后于业务发展、时效性不够,或者不同时间、不同部门颁布的制度规定之间存有矛盾。例如,《商业银行、信用社国库业务管理办法》为2001年颁布实施,对国库集中支付、横向联网等国库创新业务没有进行有效规范。
3、管理风险。管理风险是指由于管理不到位、管理失当,导致国库会计处理违规或资金损失的可能性。主要表现在管理人员对业务不熟悉而难于管理,因风险意识不强而疏于管理,或者管理手段不到位、监督力度不够等。
4、操作风险。操作风险是指因会计业务操作人员的业务素质差异、过失等原因,导致会计业务操作不合规、发生资金损失的可能性。例如,个别人员缺乏风险防范意识,未执行或未严格执行制度规定,或者缺乏会计、财税知识,对基本的国库会计操作原则掌握不够,对新业务的了解不透彻、操作不熟练,引发资金风险。
5、信息系统风险。信息系统风险是指因网络和信息系统技术运用不合理、运行与维护不到位、失效等原因,导致业务运行受到不利影响的可能性。近年来,为适应国库服务范围逐渐拓宽、国库业务量快速增长的需要,各地结合当地实际,相继开发推广了税库银横向联网系统、财政集中支付系统等,由于对系统安全性认识不足,普遍存在“重使用,轻管理”的问题,如系统功能拓展不够、安全运营维护不到位,影响国库资金安全。
6、其他风险。如自然灾害等不可抗力造成国库资金损失的可能性。
(二)国库会计风险分析与评价
在进行风险识别后,应进行风险分析与评价。首先赋予道德风险等六类风险基础分值,对风险形成的各项因素逐项打分,然后根据风险发生可能性、频率及造成的后果赋予每类风险合理的权重,采用加权平均法计算评估对象的最终得分。以管理风险为例,假设赋予管理风险100分,每个风险点的扣分标准见表1。
计算机技术的高速发展,随之而来的是各种软件的爆发式增长,软件已经成为了我们生活中不可或缺的一部分,在这种情况下软件开发工作就显得尤为重要。但是,软件在开发以及最后使用过程中存在着一定的风险,这些风险的存在造成了使用者的不便,也产生了很多的额外成本,这与当今人们对软件质量日益提高的需求极为不符。传统的软件风险评估多是借助于计量模型,利用一定的数据来进行定量的计算,但是软件使用中的风险存在着很多的额不确定性,各种各样的因素都会影响到软件效用的发挥,一些因素也不能转化成数据而直接进行计算,这些缺点导致传统的软件开发的风险评估方式已经不能满足人们希望更精确地评估风险的要求了。证据理论是一种新兴起的分析方法,它是一种基于不确定因素的定性的分析方法,这几年在软件风险评估方面得到了很大的应用,它虽然不能给出精确的风险值,但是可以给出具体方案的一个可行的实施范围,这对现代软件开发风险评估方式来说是一大进步,它取代了传统软件风险评估要求在不确定因素中选择确定性数据定量计量的不足。
一、传统软件开发风险评估的方式
软件开发工作自身是一项智力投入高,具有创新性的研究性活动,而且其研究的也不是具有实物形态的产品,而是各种各样的代码与数据库。软件开发过程中存在着很多的风险,这与软件开发自身所具有的特殊性质有着密切的关系,软件开发的客观性和普通性、不确定性、行为的相关性、多样性以及对称性决定了软件开发过程中风险的不确定性与来源广泛性,如果根据风险的本质来进行分类的话,大概分成三个种类:产品自身风险、项目特殊化风险以及开发环境的风险,对这各种各样的风险有着很多的评估方式。中国对于软件开发过程中的风险评估方式主要是源于西方的研究内容。最早的软件风险评估方法衍生于SEI对软件风险管理的研究中,SEI运用分类法来对软件开发过程的风险进行评估,分类法是一种简单而且实践性很强的风险识别方法。后来SEI又根据分类法设计了调查问卷进一步完善了分类法,而这种问卷的核心是根据分类法设置的属性根。风险评估一般含有评估者的主观性比较大,而且各个项目的特点不同,某些项目上经验丰富的专家很难找到,这就使得项目成本大大提升,因此,有人就将风险评估与成本分析一起作为研究对象,RayMadachy和KariKansala在这方面做出了很大的贡献。Chittister则从功能性角度、时态角度、失效来源角度价格风险评估视为一个“整体”。
二、什么是证据理论
证据理论又称D-S证据理论,是由Dempster和Shafer提出来的,它属于人工智能系统,是一种不精确的推理方法,可以用在处理不明确,模糊的信息上,最早是应用在专家系统之中,因为它能分析不确定因素的特点,现在被广泛地应用在软件开发的风险评估、模式识别、信息融合中。证据理论虽然不需要定性的测量,但是也需要建立一定的理论框架,进而确定在一定风险区间内的决策选择情况。证据理论的框架以人们知道的信息和想要知道的信息为出发点,他们一起被称为证据理论的辨识框架,证据理论通过辨识框架来区别“确定性”和“不确定性”进而得到人们想要的结果。在进行证据理论建模的时候首先要确定BBA(mass)生成问题,来将不确定的信息进行具体的表述,以便应用到模型中去。而BBA生成问题的关键是关于随机变量的分布与建模的难题,这恰恰与具体研究的问题有关,需要根据问题的不同而得到不同的BBA生成。
三、从证据理论的风险评估方式
风险是人人都不想看到的,所以对风险的评估以及管理就显得极为需要。证据理论因为可以将影响风险发生的各种不确定因素作为模型变量而考虑到模型中,所以适用于对于不确定性风险的分析。实际上,现在的很多风险管理都是根据三个部分建立的:风险识别、风险决策、风险反馈,然后再用统计计量的相关方法进行分析,这与其他的风险管理没有什么实质的区分。本文运用证据理论的分析方法来将以前不能考虑到没模型中的因素考虑进去,使得软件开发的风险评估更为可行,更加具有应用性。证据理论在使用中首先要进行赋值,即将不可测量的不完备、不精确或不易获得的数据转化成易衡量易获得的指数而纳入模型中,我们在分析的过程中涵盖了系统分析、设计、实施等不同的阶段以及进度、技术、费用的风险等具体的参数,具体如下图基于分层然后无确定了各个指标的具体赋值的概率情况,我们认为概率赋值较高的指标为关键指标,而概率赋值教的指标则成为非关键指标。在进行具体的赋值与分类之前,我们需要将各项指标进行证据融合,以期望得到信任函数,在这个步骤中可以采用交叉列表法来进行具体的证据融合,之后我们就可以得到具体的指标赋值概率,然后利用信任函数经过具体的计算就可以得到各个指标的风险值情况,然后将各个指标分配一定的权重就可以得到软件开发过程中受各种不确定因素影响的风险范围。
作者:于婕 单位:天津卓朗科技发展有限公司
参考文献:
[1]韩德强,杨艺,韩崇昭.DS证据理论研究进展及相关问题探讨[J].控制与决策,2014,29(1):1-11.
1.1基础设施的可用性:运行于内部专网的各主机、数据库、应用服务器系统的安全运行十分关键,网络安全体系必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏。
1.2数据机密性:对于内部网络,保密数据的泄密将直接带来政府机构以及国家利益的损失。网络安全系统应保证内网机密信息在存储与传输时的保密性。
1.3网络域的可控性:电子政务的网络应该处于严格的控制之下,只有经过认证的设备可以访问网络,并且能明确地限定其访问范围,这对于电子政务的网络安全十分重要。
1.4数据备份与容灾:任何的安全措施都无法保证数据万无一失,硬件故障、自然灾害以及未知病毒的感染都有可能导致政府重要数据的丢失。因此,在电子政务安全体系中必须包括数据的容灾与备份,并且最好是异地备份。
2电子政务信息安全体系模型设计
完整的电子政务安全保障体系从技术层面上来讲,必须建立在一个强大的技术支撑平台之上,同时具有完备的安全管理机制,并针对物理安全,数据存储安全,数据传输安全和应用安全制定完善的安全策略
在技术支撑平台方面,核心是要解决好权限控制问题。为了解决授权访问的问题,通常是将基于公钥证书(PKC)的PKI(PublicKeyInfrastructure)与基于属性证书(AC)的PMI(PrivilegeManagementInfrastructure)结合起来进行安全性设计,然而由于一个终端用户可以有许多权限,许多用户也可能有相同的权限集,这些权限都必须写入属性证书的属性中,这样就增加了属性证书的复杂性和存储空间,从而也增加了属性证书的颁发和验证的复杂度。为了解决这个问题,作者建议根据X.509标准建立基于角色PMI的电子政务安全模型。该模型由客户端、验证服务器、应用服务器、资源数据库和LDAP目录服务器等实体组成,在该模型中:
2.1终端用户:向验证服务器发送请求和证书,并与服务器双向验证。
2.2验证服务器:由身份认证模块和授权验证模块组成提供身份认证和访问控制,是安全模型的关键部分。
2.3应用服务器:与资源数据库连接,根据验证通过的用户请求,对资源数据库的数据进行处理,并把处理结果通过验证服务器返回给用户以响应用户请求。
2.4LDAP目录服务器:该模型中采用两个LDAP目录服务器,一个存放公钥证书(PKC)和公钥证书吊销列表(CRL),另一个LDAP目录服务器存放角色指派和角色规范属性证书以及属性吊销列表ACRL。
安全管理策略也是电子政务安全体系的重要组成部分。安全的核心实际上是管理,安全技术实际上只是实现管理的一种手段,再好的技术手段都必须配合合理的制度才能发挥作用。需要制订的制度包括安全行政管理和安全技术管理。安全行政管理应包括组织机构和责任制度等的制定和落实;安全技术管理的内容包括对硬件实体和软件系统、密钥的管理。
转贴于中国论文下载中心www
3电子政务信息安全管理体系中的风险评估
电子政务信息安全等级保护是根据电子政务系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度。等级保护工作的要点是对电子政务系统进行风险分析,构建电子政务系统的风险因素集。
3.1信息系统的安全定级信息系统的安全等级从低到高依次包括自主保护级、指导保护级、监督保护级、强制保护级、专控保护级五个安全等级。对电子政务的五个安全等级定义,结合系统面临的风险、系统特定安全保护要求和成本开销等因素,采取相应的安全保护措施以保障信息和信息系统的安全。
3.2采用全面的风险评估办法风险评估具有不同的方法。在ISO/IECTR13335-3《信息技术IT安全管理指南:IT安全管理技术》中描述了风险评估方法的例子,其他文献,例如NISTSP800-30、AS/NZS4360等也介绍了风险评估的步骤及方法,另外,一些组织还提出了自己的风险评估工具,例如OCTAVE、CRAMM等。
电子政务信息安全建设中采用的风险评估方法可以参考ISO17799、OCTAVE、CSE、《信息安全风险评估指南》等标准和指南,从资产评估、威胁评估、脆弱性评估、安全措施有效性评估四个方面建立风险评估模型。其中,资产的评估主要是对资产进行相对估价,其估价准则依赖于对其影响的分析,主要从保密性、完整性、可用性三方面进行影响分析;威胁评估是对资产所受威胁发生可能性的评估,主要从威胁的能力和动机两个方面进行分析;脆弱性评估是对资产脆弱程度的评估,主要从脆弱性被利用的难易程度、被成功利用后的严重性两方面进行分析;安全措施有效性评估是对保障措施的有效性进行的评估活动,主要对安全措施防范威胁、减少脆弱性的有效状况进行分析;安全风险评估就是通过综合分析评估后的资产信息、威胁信息、脆弱性信息、安全措施信息,最终生成风险信息。
在确定风险评估方法后,还应确定接受风险的准则,识别可接受的风险级别。
4结语
电子政务与传统政务相比有显著区别,包括:办公手段不同,信息资源的数字化和信息交换的网络化是电子政务与传统政务的最显著区别;行政业务流程不同,实现行政业务流程的集约化、标准化和高效化是电子政务的核心;与公众沟通方式不同,直接与公众沟通是实施电子政务的目的之一,也是与传统政务的重要区别。在电子政务的信息安全管理中,要抓住其特点,从技术、管理、策略角度设计完整的信息安全模型并通过科学量化的风险评估方法识别风险和制定风险应急预案,这样才能达到全方位实施信息安全管理的目的。
参考文献:
[1]范红,冯国登,吴亚非.信息安全风险评估方法与应用.清华大学出版社.2006.
一、风险
风险是指在一定的客观情形下,在某一特定期间内,那些可能发生的结果之间的差异。显然,这种差异是实际结果与预期结果的变动程度。所谓风险大,就是指这种变动程度大;风险小,就是指这种变动程度小。基本规范涉及的风险是指对实现内部控制目标可能产生负面影响的不确定因素。因此,在这个概念的界定上,需要明确内部控制目标和不确定因素两个关键词。
1.内部控制的目标
内部控制有五大主要目标,即运营的效率和效果、财务报告的可靠性、资产的安全完整、法律法规的遵循性以及实现企业的战略目标。内部环境、风险评估、控制措施、信息与沟通以及监督检查均服务于五大目标。
对于经营的效率和效果而言,这是一个公司基本的业务目标,包括业绩和盈利目标以及资产的保护,它们因管理者对结构和业绩的选择而异;可靠的财务报告与公认会计准则编制的财务报表以及相关陈述有关,所以会涉及账务和非账务信息;同时,遵循相关的法律法规,公司可以避免对其名誉造成损害或者遭受其他不利后果。
经营的效率和效果及报告的目标更多地建立在偏好、判断和管理风格的基础上。它们在不同的主体之间存在着很大的区别,因为不同的主体可能会选择不同的目标。所以对所有主体而言,都是最优的目标模式是不存在的。
2.不确定性
风险是不确定的,否则,就不能称之为风险。所谓不确定性,即当风险存在时,至少存在两种可能的结果,只是我们面对风险时无法知道哪种结果将出现。不确定性分为主观上的不确定和客观上的不确定。
(1)主观上的不确定
不确定性大多定义为基于对未来发生或不会发生什么事情的情况缺乏认识、产生怀疑的思维状态。不确定性是一种对于未来将发生的事情的简单心理反应。当风险存在时,就产生了不确定性。而这种不确定性往往是主观的,与实际情形不相符合。
(2)客观上的不确定
客观上的不确定的两个层次的含义:
第一,不确定的客观存在性。如果不确定性是由一些偶然因素导致的结果,那么其存在就具有了客观性。第二,有些情况在客观上是确定的,但是人们总体上认知能力不足,无法得到确定状态所必要的信息。因此也可以认为由此导致的对未来的无法判断是客观的。
(3)风险的特征
风险具有三个明显的特征:偶然性、可变性和客观性。
风险具有偶然性。从全社会看,风险是具有必然性的。但是,对特定的个体而言,风险事故的发生是偶然的。这种偶然性其实是由事件的随机性决定的。因为风险事故的发生与否不确定,风险事故何时发生也不能确定,风险事故将会怎样发生,其损失有多大,也不能确定。
风险具有可变性。风险的可变性是指在一定条件下风险具有可转化的特性。而世界上任何事物都是互相联系、互相依存、互相制约的,世界万物都处在运动变化的状态之中,这些变化必然会引起风险的变化。新风险产生和旧风险的消亡,也有量的增减和质的改变。风险的变化是由某些因素引起的,这些因素可以归结为科技的进步、政治和社会结构的改变、经济体制与结构的转变。
风险具有客观性。风险是由客观存在的自然现象和社会现象引起的。自然界的运动如洪水、泥石流、雷电、暴雨等形成自然灾害,对人类的生命和财产构成威胁。战争、冲突等是受社会发展规律支配的,人们认识和掌握规律可以预防意外事故,但是不能完全消除风险的存在。因此,风险是客观存在的,人们只能在一定的范围内改变风险发生和发展的条件,采取办法降低其发生的概率,减少风险带来的损失程度,但是却不能彻底消除风险。
二、风险评估
不同的企业、同一企业的不同时期以及同一企业内部不同的内部环境、外部环境、业务层面和工作环节,都可能面临不同的风险,企业应当有针对性地开展风险评估。
风险评估,是指及时识别、科学分析影响企业内部控制目标实现的各种不确定因素,同时采取应对策略的过程。要对识别的风险进行分析,形成风险管理的依据。风险与可能被影响的目标相关联。既要对固有风险进行评估,也要对剩余风险进行评估,评估要考虑到风险的可能性和影响。
通常来讲,企业进行风险评估的目的主要有:了解和评价企业的经营环境和经营现状;提出组织发展的安全需求;择取最优的风险控制措施;建立安全管理体系;制定有效的安全策略。
风险评估的主要任务有以下几点:识别企业面临的各种风险;评估风险概率和可能带来的负面影响;确定组织承受风险的能力;确定风险消减和控制的优先等级;推荐风险消减对策,适时调整应对策略。
在风险评估过程中,有几个关键的问题需要考虑:第一,确定评估对象或者资产,明确它的直接和间接价值;第二,分析资产面临的潜在威胁和导致威胁的问题所在以及威胁发生的可能性;第三,资产中存在哪些弱点可能会被威胁所利用,利用的难易程度如何;第四,一旦威胁事件发生,企业会遭受怎样的损失或者面临怎样的负面影响;第五,组织应该采取怎样的安全措施以便将风险带来的损失降低到最低程度。解决以上问题的过程,就是风险评估的过程。另外,在进行风险评估时,有几个对应关系必须考虑:(1)每项资产可能面临多种威胁,(2)威胁源(威胁)可能不止一个,(3)每种威胁可能利用一个或多个弱点。
风险评估要按照一定的程序来进行,有目标设定、风险识别、风险分析、风险应对四个步骤。
(一)风险管理理论
风险管理理论始于20世纪30年代,至20世纪60年代中期逐步发展成为一门学科。“1963年梅尔和赫奇斯的《企业的风险管理》、1964年威廉姆斯和汉斯的《风险管理与保险》出版,标志着风险管理理论正式登上了历史的舞台。”[1]风险管理理论经历了从传统风险管理理论到金融风险管理理论再到全面风险管理理论的不同时期。传统风险管理理论主要对风险管理的对象进行界定和区分,将纯粹意义上的风险作为研究对象,也就是将不利风险纳入企业风险管理的重要范畴。企业风险管理的主要任务是减少不利风险的发生,降低不利风险对企业的可能损害。管理的基本手段是采用保险的方式转移和减少风险所带来的损失。20世纪60年代末至70年代初,一些学者对市政管理中的风险问题进行研究。托德(Todd,1969)和沃恩(Vaughan,1971)通过对美国九个州市政管理现状的调查研究,提出市政官员应加强市政风险管理的主张。风险管理理论逐步与管理学、经济学等学科融合与发展,风险管理研究对象逐步拓展,不再局限于传统风险管理理论对纯粹风险的管控,金融风险管理兴起。金融风险管理不仅是为了克服纯粹风险,更不是仅仅利用保险的方式转移风险,而是注重保险的收益功能。金融风险管理标志着风险管理理论向纵深度发展。20世纪80年代,接踵而至的金融危机推动了风险管理理论的蓬勃发展,迫使金融界进一步思考风险管理问题,全面风险管理时代来临。全面风险管理主张从系统的角度对所有风险集合整体上加以管理和控制。全面风险管理理论已经成为企业决策和金融业决策的重要指导,作为一种系统和科学的管理模式被广泛应用。
(二)风险社会研究的兴起与发展
20世纪以来,特别是20世纪后半期,人类社会在经济领域、社会领域取得非凡成就,但也潜藏着各种危机,生态环境急剧恶化,经济危机和金融风险频繁发生,社会贫富分化现象日趋严峻;与此同时,化学污染、核威胁、各种电磁辐射、转基因产品危害等现代性的负效应正威胁人类,使社会面临严重风险。出于对工业社会和现代性的反思,1986年德国学者乌尔里希•贝克(UlrichBeck)在其德文版著作《风险社会》中,首次提出“风险社会”的概念。但是在当时风险社会理论并未引起过多关注,直至1992年其英文版著作《风险社会》出版,风险社会理念才备受瞩目。伴随着对风险社会形成原因的不断追问,贝克进一步指出工业社会所面临的风险与以往社会所面临的风险存在区别,如果将人类社会早期所发生的自然灾害、社会危机归结为自然规律所导致的,那么工业社会发生的危机则与人类社会的重大决策紧密相关。贝克认为:“工业化以前人类社会所遭遇的各种自然灾害与工业化以后人类社会所面临的各种风险大不一样。”[2]安东尼•吉登斯则从人类社会历史发展的角度,对社会发展的现代性、社会发展的全球化趋势与社会风险关系进行探讨,提出全球风险社会理论。吉登斯认为,人类社会面临的风险,如果是来自自然界的外在风险,那么是自然风险;如果是由人类社会内部对自然的改造和控制等“人力制造出来的风险”,那么是“人造风险”。人造风险与人类工业化发展、对社会现代性的追求相伴生。吉登斯对风险社会的研究系统而深入,对由现代性引发的社会风险类型进行了阐释,认为现代性蕴含着经济增长、生态环境破坏、极权主义、军事冲突、核危机等社会风险。从风险管理理论和风险社会研究可以看出,风险并不必然伴随科技发展和社会进步而消失或减少;相反,可能由于人类的某种选择和决策的失误而被强化。因此,从全球的视野来分析社会风险,反思人类社会的管理与决策,加强决策与管理的科学性,有助于探寻社会风险的化解方法。
二、欧美重大事件风险管理的实践经验
近年来,欧美发达国家的社会发展水平逐步提高,社会发展能力被彰显出来。与此同时,社会面临的风险与不确定因素也越来越多,风险转化成危害,严重威胁着社会稳定与持续发展。为此,欧美等发达国家和地区积极强化风险社会管理手段与方法。其依靠重大事件的科学决策有效化解风险、促进社会稳定的经验,值得中国借鉴。
(一)美国环境风险管理制度
美国一直以来重视环境保护,20世纪80年代以来,更是将环境管理问题上升到与国家安全、国家利益、社会稳定同等重要的高度。美国政府十分重视环境管理,对于环境管理中存在的风险进行有效控制。美国对于环境管理及风险防控的基本做法主要体现在:一是高度重视环境保护问题,将其确定为与国家安全、国家利益紧密相关的重大事件。1977年,美国学者莱斯特•布朗(LesterBrown)在其研究报告《重新定义国家的安全》中,首次提出将环境问题与国家安全问题紧密相连。布朗的观点引起广泛关注,关于环境安全的研究逐步增多。1987年里根政府的《国家安全报告》明确指出,自然资源的损耗与污染成为国家繁荣和国家安全的潜在威胁与风险,环境安全、环境管理被列入涉及国家安全、国家利益的重要领域,成为政府决策管理的重要范畴。二是进行深入系统的环境风险评价科学研究,为环境决策提供理论基础和技术路线。美国是较早开展环境风险评价研究的国家,20世纪70年代至80年代初,环境风险评价开始萌芽,但关于风险评价的内涵尚不清晰。20世纪80年代以来,风险评价的框架基本形成。美国国家科学院提出环境风险评价包含危害鉴别、剂量—效应关系评价、暴露评价和风险表征四个阶段[3]。20世纪80年代后期,环境风险评价运用于决策的相关研究逐步增加,特别是比较风险评价理论的提出与发展,大大推动了美国环境决策发展。艾扎斯(Ijjasz)和特雷耶(Tlayie)认为,“在宏观上,比较风险评价是在掌握大量正确数据的基础上对决策中的风险进行排序比较,并以风险的大小作为决策方案的选择依据,从而形成一个包含有科学家、决策者与利益相关者的开放、公平的相互交流的环境。”[4]三是建立生态风险评价的政策依据,为风险评价提供行动指南。“1998年美国国家环保局正式颁布了《生态风险评价指南》,提出生态评价三步法:问题形成、分析和风险表征,同时要求在正式的科学评价之前,首先制定一个总体规划,以明确评价目的。”[5]这也是世界上最早的生态风险评价方面的指导文件。美国国家环境保护局将比较风险评价应用于环境决策,确定了将当前环境决策未解决的问题具体化、在对数据分析的基础上提出新的决策方案、决策者依据环境因素与潜在风险等因素对方案进行评估、方案选择决策确定、校验决策等基本环节。四是建立完备的风险管理与环境应急机制。对于环境存在的风险及可能发生的突发事件,美国建立比较完善的环境风险管理与应急机制。环境风险管理与应急机制主要包括环境风险的宣传与教育机制、风险预测预警机制、风险管理机制,针对潜在的环境风险进行识别、宣传与防范,为降低风险和科学决策提供保障。
(二)欧盟食品风险评估制度
自20世纪60年代开始,为确保食品安全,促进食品在成员国自由流通,欧盟就制定了食品安全政策。目前欧盟已建立相对完备的食品安全风险评估制度体系,能够有效防控食品安全危机。一是构建食品安全风险评估的法律框架,为风险评估工作提供法律依据。欧盟委员会分别于1997年和2000年《食品安全绿皮书》、《食品安全白皮书》,明确了食品安全管理的总体思路,特别是提出了食品安全风险评估的重要性,提出成立欧盟食品安监局作为食品安全风险评估的实施机构,初步奠定了开展食品安全风险评估的制度基础。2002年颁布了EC178/2002条例,明确提出食品安全法应建立在风险评估的基础上,明确提出成立食品安全局(EFSA)进行食品安全风险评估的相关工作。二是建立食品安全的快速预警系统。欧盟在食品安全法的框架下,建立了食品与饮料快速预警系统(RASFF)[6]。根据危急程度不同,预警系统分为预警通报和信息通报两大类。当食品安全出现问题,可能危及人类健康时,成员国可以借助预警系统互通消息,从而减少风险。三是成立专门的食品安全风险评估组织机构,以保证评估工作的科学性与独立性。欧盟食品安全局作为食品安全风险评估和风险交流的专门机构,开展相对独立、科学、公开、透明的风险评估工作。食品安全局组织机构完备,下设管理委员会、执行主任和成员、咨询论坛、科学委员会和科学小组[7]。管理委员会主要负责下年度工作计划和上年度工作总结报告等职责。执行主任公开招聘产生,主要负责日常管理工作。咨询论坛协助执行主任开展工作,负责与各成员国主管机构合作,加强信息交流,充分了解和把握潜在的风险。科学委员会和科学小组负责为决策提供科学建议。科学小组由食品安全领域专家组成,可以组织听证会,加强与公众交流,搜集公众意见。科学委员会则由各小组的主席以及来自科学小组以外的六名专家组成,开展全面协调工作,确保科学建议的准确性与一致性。欧盟食品安全局自动发起或者是应欧盟委员会或其成员国的科学建议请求,必须在规定期限内为欧盟成员国和欧盟委员会提供科学技术支持,尽可能地搜集决策相关信息,在对其进行风险评估的基础上,将评估结果、风险信息等因素一并提供给欧盟委员会及其成员国。
(三)英国国家安全风险评估与城市风险评估体系
英国建立了相对完善的国家安全风险评估和城市安全风险评估机制,能够对国家层面和城市中可能发生的危害国家和社会安全的风险进行有效的防范与控制。英国建立了完备的国家安全风险评估与预测机制,建构了《国家安全风险评估》、《国家安全任务与指导方针》等风险评估与风险应对的防范政策体系。国家安全委员会在广泛了解和分析潜在的国家安全风险的基础上,根据相关的可能性及其影响,促进和协助政府联合其他部门共同面对和化解风险。以英国伦敦为例,其“一案三制”意义上的城市风险管理机制十分完备,堪称城市风险管理的典范,可以为区域内重大事件决策的风险防范提供参考。通常情况下,风险管理分为风险评估与防范、风险控制、风险处置与恢复等环节。在伦敦的城市风险管理中,风险评估程序非常完善。伦敦城市风险评估的基本经验主要体现在以下三个方面:一是依法确立风险评估主体。英国2005年4月正式实施的《国内应急法》明确规定各级政府是风险评估的责任主体,在风险评估与应急规划中担负重要责任。二是建立风险评估的协调机构。美国“9•11”恐怖袭击事件发生以后,伦敦出于对危机事件有效防范的考量,着手建立跨区域、跨部门的风险评估协调机构。伦敦区域应急论坛下设伦敦应急团队,每个论坛的主要职责是对区域内的风险进行识别与评估,使伦敦能有效应对危机事件。三是完善风险评估的基本流程系统。伦敦的城市风险评估工作流程主要分为“选择风险事项、挑选评估者、风险分析、风险评价、风险应对、监控与审查等六大步骤”[8]。选择风险事项阶段,主要由风险评估工作组和各应急论坛的组成部门协同合作,确定风险事项,识别重要的利益相关者,结合区域环境因素确定风险评估的原则与标准。挑选评估者阶段,主要是确定风险评估者及地方应急论坛相关人员在工作中的分工与职责,确定主任评审员的人选,为后续工作奠定组织基础。风险评价阶段,主要由主任评审员负责,对未来五年内可能发生的风险进行分析与建议。风险分析阶段,主要是由主任评审员对风险进行预测、分析,并提出相对详尽的风险分析报告。风险应对、监督与评审已经成为制度化、稳定化的工作,地方应急论坛每四年就要对所有风险提出正式的评审报告。
三、国外经验对我国重大决策社会稳定风险评估的启示
国外关于风险研究的理论与重大事件风险管理的实践都取得了长足进展,而我国重大事件社会稳定风险评估工作尚处于起步阶段,还存在诸多需要完善之处。汲取欧美发达国家重大事件风险管理的有益经验,建立健全我国重大决策社会稳定风险评估机制。
(一)加强重大决策社会稳定风险评估的理论研究
中国重大决策社会稳定风险评估工作已经进入实践阶段,实践中形成了四川“遂宁模式”和江苏的“淮安模式”,但是中国关于重大决策社会稳定风险评估的理论研究还十分匮乏。分析美国环境风险管理的成功经验,美国国家科学院等环境保护的科研机构及专家学者关于环境风险的相关理论研究为政府决策提供了有效的理论依据和方法指引,对保障决策科学性和化解决策风险起到重要作用。中国学者关于风险社会理论的研究集中于风险社会意识形成和风险社会危害等研究领域。这些研究虽然奠定了重大决策社会稳定风险分析的理论基础,能够为风险评估提供理论支撑,但是结合中国社会转型期社会稳定风险的分析不够深入,对于重大决策可能引起的风险认识还不够清晰。中国对于重大决策社会稳定风险评估价值的探讨较多,但是对于如何推进实践的可操作性研究明显不足。风险评估作为一种技术已经在国内外政治社会生活中广泛应用,在国家、部门,特别是企业管理中广泛应用,但是目前中国在重大决策中应用较少,学者提供了风险评估的框架体系,但是缺少细节设计,还有待于对重大决策风险评估的技术方法和实践机制等领域进行深入系统的理论研究。
(二)增强重大决策社会稳定风险评估意识
目前,从中国相关政府部门到社会公众,整体上风险意识淡薄,对于风险管理认识不深入、不够重视,特别是对于重大事件决策与社会稳定风险之间的相关性认识不清,缺乏管控风险的意识。因此,强化对重大决策社会稳定风险评估的意识,为各级政府决策提供软环境。发达国家的风险意识十分强烈,美国20世纪80年代就将环境保护问题上升到与国家安全、国家利益息息相关的重大事件进行管理,对重大事件风险评估与决策十分重视。英国对于国家未来可能发生的重大风险进行识别与防控,也是缘于其高度的风险意识。
(三)完善重大决策社会稳定风险评估的法律制度
欧盟在食品安全管理中,有关食品风险评估的法律制度提前建立起来,为食品风险评估提供法律保障。英国国家安全以及城市风险管理的相关法律制度较早地完备起来,为风险评估工作奠定了制度基础,使风险评估可以按照法律和制度要求系统化、经常化、稳定化地开展。中国对于重大决策风险评估的法律依据尚不充分,所以需要建立健全重大决策风险评估的相关法律政策,为开展重大决策风险评估提供政策依据,保障风险评估工作有序进行。