引言：易發表網憑借豐富的文秘實踐，為您精心挑選了九篇風險識別與風險評估的區別范例。如需獲取更多原創內容，可隨時聯系我們的客服老師。

第1篇

關鍵詞：電子政務外網；等級保護測評；風險評估；風險評估模型

中圖分類號：TP311 文獻標識碼：A 文章編號：1009-3044（2014）34-8337-02

1 等級保護背景下的電子政務外網風險評估

電子政務外網提供非的社會公共服務業務，全國從中央各部委、到省、市、縣，已經形成了一張大龐大的網絡系統，有的地方甚至覆蓋到了鄉鎮、社區村委會，有效提高了政府從事行政管理和社會公共服務效率。今后凡屬社會管理和公共服務范疇及不需在國家電子政務內網上部署的業務應用，原則上應納入國家政務外網運行，它按照國家政務外網統一規劃，建立網絡安全防護體系、統一的網絡信任體系和信息安全等級保護措施。

隨著政務外網的網絡覆蓋的擴大及接入的政務單位越來越多、政務外網應用的不斷增加，各級政務移動接入政務外網的需求也在增加，對政務外網的要求和期望越大，網絡安全和運維的壓力也越大，責任也更大。由于政務外網與互聯網邏輯隔離，主要滿足各級政務部門社會管理、公共服務、市場監管和經濟調節等業務應用及公務人員移動辦公、現場執法等各類的需要，網絡和電子政務應用也成為境外敵對勢力、黑客等攻擊目標。隨著新技術的不斷涌現和大量使用，也對電子政務外網網絡的安全防護、監控、管理等帶來新的挑戰。按照國家政務外網統一規劃，建立網絡安全防護體系、統一的網絡信任體系和信息安全等級保護措施是必須的。

為保障電子政務外網的安全有效運行，我們應以風險管理理念來統籌建設網絡和信息安全保障體系。在國家信息系統安全等級保護的大背景下，2011年國家信息中心下發了《關于加快推進國家電子政務外網安全等級保護工作的通知》，強化了電子政務外網的等級保護制度以及等級測評要求，要求對政務外網開展等級測評，全面了解和掌握安全問題、安全保護狀況及與國家安全等級保護制度相關要求存在的差距，分析其中存在的安全風險，并根據風險進行整改[1]。

系統安全測評、風險評估、等級測評都是信息系統安全的評判方法[2，3]，其實它們本沒有本質的區別，目標都是一樣的，系統安全測評從系統整體來對系統的安全進行判斷，風險評估從風險管理的角度來對系統的安全狀況進行評判，而等級測評則是從等級保護的角度對系統的安全進行評判。不管是系統安全測評[1]、風險評估、等級測評，風險的風險與計算都是三者必不可少的部分。

2 電子政務主要風險評估方法簡介

電子政務外網風險評估有自評估、檢查評估、第三方評估（認證）評估模式，都需利用一定的風險評估方法來進行相關風險的評估。從總體上來講，主要有定量評估、定性評估兩類。在進行電子政務系統信息安全風險評估過程中，采用的主要風險評估方法有：OCTAVE、SSE-CMM、FAT（故障樹方法）、AHP （層次分析）以及因素分析法、邏輯分析法、德爾菲法、聚類分析法、決策樹法、時許模型、回歸模型等方法。研究風險評估模型的方法可以運用馬爾可夫法、神經網絡、模糊數學、決策樹、小波分析等[4-6]。OCTAVE 方法是一個系統的方法，它從系統的高度來進行信息安全的安全防護工作，評估系統的安全管理風險、安全技術風險，它提高了利用自評估的方式制定安全防范措施的能力。它通過分析重要資產的安全價值、脆弱性、威脅的情況，制定起風險削減計劃，降低重要資產的安全風險。電子政務外網需要從實際出發，不能照搬其它評估方法，根據電子政務外網實際，本設計基于OCTAVE 評估模型，設計了一個電子政務外網風險分析計算模型。

3 基于OCTAVE模型的一個電子政務外網風險計算模型設計

3.1 風險評估中的資產、威脅、脆弱性賦值的設計

保密性、完整性和可用性是評價資產的三個安全屬性。風險評估中的資產價值不是以資產的經濟價值來衡量，而是由資產在這三個安全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的。

資產價值應依據資產在保密性、完整性和可用性上的賦值等級，經過綜合評定得出。綜合評定方法可以根據自身的特點，選擇對資產保密性、完整性和可用性最為重要的一個屬性的賦值等級作為資產的最終賦值結果；也可以根據資產保密性、完整性和可用性的不同等級對其賦值進行加權計算得到資產的最終賦值結果。本設計模型根據電子政務外網的業務特點，依據資產在保密性、完整性和可用性上的賦值等級進行加權計算（保密性α+完整性β+和可用性γ），α、β、γ為權重系數，權重系數的確定可以采用專家咨詢法、信息商權法、獨立性權數等。本設計方案采用專家咨詢法。資產、威脅、脆弱性的賦值可以從0-10，賦值越高，等級越高。

脆弱性識別是風險評估中最重要的一個環節。脆弱性是資產本身存在的，如果沒有被相應的威脅利用，單純的脆弱性本身不會對資產造成損害。脆弱性識別的依據可以是國際或國家安全標準，也可以是行業規范等，如國家信息安全漏洞共享平臺（CNVD）漏洞通報、CVE漏洞、微軟漏洞通報等。

資產、威脅、脆弱性的識別與賦值依賴于專家對三者的理解，不同的人員對三者的賦值可能不同，甚至差別很大，可能會不能真實的反映實際情況。為了識別與賦值能準確反映實際情況，可以采用一定的方法來進行修正。本設計采用頭腦風暴法、德爾菲法去獲取資產、威脅、脆弱性并賦值、最后采用群體決策方法確定資產、威脅、脆弱性的識別與賦值。這樣發揮了三個方法的特點，得到的賦值準確性大大提高。

判斷威脅出現的頻率是威脅賦值的重要內容，評估者應根據經驗和（或）有關的統計數據來進行判斷[7]。判斷威脅出現的頻率是可能性分析的重要內容，如果僅僅從近一兩年來各種國內、國際組織的對于整個社會或特定行業的威脅及其頻率統計，以及的威脅預警等來判斷是不太準確的，因為它沒有與具體的電子政務外網應用實際聯系起來，實際環境中通過檢測工具（如IPS等）以及各種日志發現的威脅及其頻率的統計也應該考慮進去。

本設計模型采用綜根據經驗和（或）有關的統計數據來進行判斷，并結合具體電子政務外網實際，從歷史生產系統的IPS等獲取各種威脅及其頻率的統計，并采用馬兒可夫方法計算出某個時段內某個威脅發生的概率。馬爾可夫方法是一種定量的方法，具有無后效性的特點，適用于計算實時的動態信息系統威脅發生概率。它利用IPS等統計某一時段的發生了哪些威脅，構建出各種威脅之間的狀態轉移圖，使用馬爾可夫方法計算出該時段內某個威脅發生的概率。計算出的威脅發生概率結果可以進行適當的微調，該方法要求記錄的樣本具有代表性。

3.2 風險計算模型設計

通常風險值計算涉及的風險要素為資產、威脅、和脆弱性。 在完成了資產識別、威脅識別、脆弱性識別，以及已有安全措施確認后，將采用適當的方法與工具確定威脅利用脆弱性導致安全事件發生的可能性，并綜合安全事件所作用的資產價值及脆弱性的嚴重程度，判斷安全事件造成的損失對組織的影響，即安全風險計算。

風險值=R（資產，威脅，脆弱性）= R（可能性（威脅，脆弱性），損失（資產價值，脆弱性嚴重程度））。可根據自身電子政務外網實際情況選擇相應的風險計算方法計算風險值，如目前最常用的矩陣法或相乘法等。矩陣法主要用于兩個要素值確定一個要素值的情形，相乘法主要用于兩個或多個要素值確定一個要素值的情形。

本設計模型采用風險計算矩陣方法。矩陣法通過構造一個二維矩陣，形成安全事件的可能性與安全事件造成的損失之間的二維關系；相乘法通過構造經驗函數，將安全事件的可能性與安全事件造成的損失進行運算得到風險值。

在使用矩陣法分別計算出某個資產對應某個威脅i，某個脆弱性j的風險系數[Ri，j]，還應對某個資產的總體安全威脅風險值進行計算，某個資產總體風險威脅風險=Max（[Ri，j]），i，j=1，2，3…。組織所有資產的威脅風險值為所有資產的風險值之和。

3.3 對風險計算模型的改進

在風險值=R（A，T，V）的計算模型中，由資產賦值、危險、脆弱性三元組計算出風險值， 并沒有把安全防護措施因素對風險計算的影響考慮在內，該文把風險值=R（A，T，V）改進為風險值=R（A，T，V，P），其中P為安全防護措施因素。P因素不僅影響安全事件的可能性，也影響安全事件造成的損失，把上面的公式改進為風險值=R（L（T，V，P），F（Ia，Va，P ））。對于L（T，V，P），F（Ia，Va，P ）的計算可以采用相乘法等。如果采用矩陣法，對L（T，V，P）的可以拆分計算L（T，V，P）=L（L（T，V），L（V，P））。

在計算出單個資產對應某個脆弱性、某個威脅、某個防護措施后的風險值后，還應總體上計算組織內整體資產面臨的整體風險。單個風險（一組風險）對其它風險（一組風險）的影響是必須考慮的，風險之間的影響有風險之間的疊加、消減等。有必要對風險的疊加效應、疊加原理、疊加模型進行研究。

3.4 風險結果判定

為實現對風險的控制與管理，可以對風險評估的結果進行等級化處理。可將風險劃分為10，等級越高，風險越高。

風險等級處理的目的是為風險管理過程中對不同風險的直觀比較，以確定組織安全策略。組織應當綜合考慮風險控制成本與風險造成的影響，提出一個可接受的風險范圍。對某些資產面臨的安全風險，如果風險計算值在可接受的范圍內，則該風險是可接受的，應保持已有的安全措施；如果風險計算值高于可接受范圍的上限值，則該風險是不可接受的，需要采取安全措施以降低、控制或轉移風險。另一種確定不可接受的風險的辦法是根據等級化處理的結果，不設定可接受風險值的基準，對達到相應等級的風險都進行處理。

參考文獻：

[1] 國家電子政務外網管理中心.關于加快推進國家電子政務外網安全等級保護工作的通知[政務外網[2011]15號][Z].2011.

[2] 等級保護、風險評估和安全測評三者之間的區別與聯系[EB/OL].http：///faq/faq.php？lang=cn&itemid=23.

[3] 趙瑞穎.等級保護、風險評估、安全測評三者的內在聯系及實施建議[C].第二十次全國計算機安全學術交流會論文集，2005.

[4] 李煜川.電子政務系統信息安全風險評估研究――以數字檔案館為例[D].蘇州：蘇州大學，2011.

[5] 陳濤，馮平，朱多剛.基于威脅分析的電子政務信息安全風險評估模型研究[J].情報雜志，2011（8）：94-99.

第2篇

一、傳統風險導向審計模型

傳統風險導向審計也稱為控制風險導向審計，是指審計人員在審計過程中將風險分析、評價與控制融入傳統審計方法之中，進而獲取審計證據，形成審計結論的一種審計取證模式。

模型（審計風險=固有風險×控制風險×檢查風險）可以解決交易類別、賬戶余額、披露和其他具體認定層次的錯報，發現經濟交易和事項本身的性質和復雜程度發生的錯報，發現企業管理當局由于本身的認知和技術水平造成的錯報，以及企業管理當局局部和個別人員舞弊和造假造成的錯報，從而將審計風險控制在比較滿意的水平。

二、現代風險導向審計模型

風險導向審計也稱為經營風險導向審計，是指以被審計單位的戰略經營風險為導向，通過“戰略分析――流程分析――經營業績評價――財務報表剩余風險分析”的基本思路，將會計報表重大錯報風險和經營風險聯系起來，從而提出了審計師從源頭分析和發現會計報表錯報的觀念。

2003年10月國際審計和保證準則委員會（IAASB）了國際審計準則第315號（ISA315）： “了解被審計單位及其環境并評估重大錯報風險”，將傳統風險導向審計下的審計風險模型修改為：審計風險＝重大錯報風險×檢查風險，明確規定了審計工作以評估財務報表重大錯報風險作為新的起點和導向。

三、兩個模型的比較

傳統風險導向審計模式與現代風險導向審計模式的本質區別在于審計理念和審計技術方法的不同，后者是對前者的改進，其主要區別如下：

（一）審計起點不同。傳統風險導向審計方法通過綜合評估固有風險和控制風險以確定實質性測試的范圍、時間和程序，由于固有風險難以評估，審計的起點往往為企業的內部控制。

現代風險導向審計方法通過綜合評估經營控制風險以確定實質性測試的范圍、時間和程序，其審計起點為企業的戰略系統及其業務流程。假如企業的業務流程不重要或風險控制很有效，則將實質性測試集中在例外事項上。這種新模式的優點是將審計的重心前移到風險評估，這將有利于充分識別和評估會計報表重大錯報的風險，因此主要針對風險設計、實施控制測試和實質性測試程序。此外，注冊會計師輕易全面把握企業可能存在的重大風險，有利于節省審計成本，克服因缺乏全面性觀點而導致的審計風險。

（二）風險評估識別以分析性復核程序為中心。現代風險導向審計注重運用分析性復核程序，以識別可能存在的重大錯報風險；而傳統風險導向審計對于信息的再加工程度不高，分析性程序主要用在報表分析上。分析性復核程序已成為現代風險審計方法最重要的程序，為適應分析性程序功能擴大的要求，分析性程序開始走向多樣化：在數據分析上，不但對財務數據進行分析，也要對非財務數據進行分析；在分析工具上，借鑒現代治理方法，把戰略分析、績效分析、財務分析以及前景分析等分析工具運用到風險評估之中，使風險因素不再唯一，變一元風險評估為多元風險評估，使得出的風險評估結果更加可靠。

（三）風險評估方式由直接評估轉變為間接評估。傳統風險導向審計的風險評估是一種直接的方式，即直接評估重大錯報的概率。現代風險導向審計模式是從經營風險評估入手，間接地對審計風險進行評估，因為經營風險越高，審計風險也越大，也就是治理舞弊的可能性越大；并且從經營風險中能更有效地發現財務報表潛在的重大錯報，因為財務報表是經營的反映，假如經營風險未能在報表中得到體現，則財務報表很可能失真。此外，會計政策、會計估計的合理性評估也只有從經營風險入手，才能進行正確的評估。

（四）審計程序實施具有個性化。傳統風險導向審計模式的審計程序是標準化形式，對不同的被審計單位都使用標準相同的審計程序，其缺陷是沒有充分貫徹風險導向審計思想，使注冊會計師無法突破客戶預先設置或防范的措施，難以做出正確的審計結論。現代風險導向審計方法要求注冊會計師將評估及識別的審計風險與實施的審計程序相結合，針對不同客戶以及客戶不同的風險領域實施個性化的審計程序。

（五）審計證據的內涵擴大。在現代風險導向審計方式下，審計重心向風險評估轉移，審計證據也由內部向外部轉移。因此，注冊會計師必須充分了解企業整體經營環境，由此評估客戶的經營及審計風險，同時必須從外部取得大量的外部證據來證實風險評估的恰當性。風險導向審計模式下，注冊會計師形成審計結論所依據的審計證據不僅包括實施控制測試和實質性測試獲取的證據，還包括了解企業及其環境獲取的證據。

（六）擴充了內部控制要素。傳統風險導向審計方法下的內部控制是指被審計單位為了保證業務活動的有效進行，保護資產的安全和完整，發現、糾正錯誤與防止舞弊，保證會計資料的真實、合法、完整而制定和實施的政策與程序。內部控制要素包括控制環境、會計系統和控制程序。現代風險導向審計方法下的內部控制是指被審計單位為了合理保證財務報告的可靠性、經營的效率和效果以及對法律法規的遵循，由治理當局和其他人員設計和執行的政策和程序。內部控制的三要素擴充為五要素，即控制環境、被審計單位的風險評估過程、與財務報告相關的信息系統和溝通、控制活動和對控制的監督。

（七）對注冊會計師的專業知識提出了更高要求。現代風險導向審計下審計結果主要依靠風險評估，要求把握現代治理知識和行業知識（包括市場、研發、生產等方面），這對注冊會計師提出了更高的要求。注冊會計師應該是復合型人才，不但要把握一般常用分析工具，還要接受現代治理知識和行業專業知識培訓。

第3篇

內容摘要:宏觀環境風險因素通過與企業內部風險因素的的共振影響企業的生產經營。形成這種內外共振的必要條件就是內、外兩個風險因素具有相同的頻率。共振的振幅巨大對企業的破壞力企業難以承受。為了避免共振現象的發生,企業要不斷完善自己的風險評估方法。基于共振理論的風險評估方法彌補了現有評估方法各個環節銜接不當的缺陷,統籌考慮內外部風險因素,使風險評估工作更加準確。

關鍵詞:風險 共振 集合

風險評估概述

(一)風險概述

風險的定義。一些學者把風險定義為損害發生的可能性。與上述意見不同,另外一些經濟學家把風險定義為損失發生的不確定性,還有一種意見,把風險定義為預期與實際結果的偏離。在本文中,將風險定義為對企業的生存、發展造成損害的可能性,對其控制不當的結果是預期與實際結果的偏離。

風險的分類。風險按其來源分類,可以分為來自企業內部的風險和來自企業外部的風險,簡稱為內部風險和外部風險。內部與外部的劃分,是以企業為界限的。

內部風險。內部風險是指來源于企業系統內部的會對企業的生存、發展造成損害的可能性,如果對內部風險控制不當,會造成企業運行結果與預期目標的偏離。

外部風險。外部風險是指來源于企業系統之外的宏觀市場環境中會對企業的生存、發展造成損害的可能性,即宏觀環境風險。雖然這些風險發生于企業系統之外,但仍然會對企業產生影響,如果沒有及時地發現和應對這些風險,仍然會造成企業目標的偏離。

(二)風險評估

風險評估是對影響企業目標實現的現有的和潛在的風險進行識別和度量并進行評價的過程。廣義的風險評估涵蓋風險管理的各個要素,而狹義的風險評估僅指對風險的識別和度量。本文所指的風險評估是指狹義的風險評估,即僅包括風險識別、風險衡量和風險評價,重點關注導致風險發生的潛在風險因素、風險發生的可能性大小和風險發生后對企業的影響程度。

基于共振理論的風險評估方法的提出

(一)共振理論的啟示

共振理論概述。共振理論是指兩個或兩個以上的物體具有相同的振動頻率,一個物體振動會引起另一個物體的振動,并且在共振情況下的振幅要比單個物體自己振動的振幅要大。由此可見,共振發生的條件是頻率相同。共振具有傳遞性,一個本來靜止的物體,可以由另一個物體的振動引起自己的振動。而共振的結果很重要,它的振幅要比單個物體自己振動的振幅要大,具有更強的破壞性。

用共振理論解釋企業風險的爆發。本文把企業內、外部的各種風險都進行細分為單個的風險因素,對于各風險因素來講,其頻率就是導致風險因素爆發的根本原因,那么包含了所有內部風險因素頻率的集合將其定義為內部風險頻率集。同理,將包含了所有宏觀環境風險因素的頻率的集合稱為宏觀環境風險頻率集。再對這兩個集合求交集,即得出風險頻率交集,在這個集合中的頻率就是將會發生共振的頻率。

基于共振理論的定義,在這個交集中的頻率是內、外部風險共有振動頻率,滿足共振的基本條件。而共振具有傳遞性,本來在企業中處于靜止狀態的內部風險因素,可能由于宏觀環境中風險的振動而隨之振動起來,使企業的風險加劇。特別值得關注的是,內、外部風險因素共振造成的破壞力要遠大于其單個振動時的破壞力,所以具有這樣頻率的風險因素是需要重點關注的。

這就可以解釋為什么市場環境不好時,失敗的企業數量大幅上升,就是因為宏觀環境風險頻率集變大,與內部風險頻率集發生共振的機會就大,而共振產生的破壞力強,一旦超過了企業的承受能力,企業便會走向失敗。通過這一理論也可以解釋企業的成敗是內外部共同作用的結果,如果內部控制系統完美,宏觀環境風險沒有作用的切入點,那么再壞的環境也不會影響企業。但是,企業沒有靜止的,只要運動就會伴隨著風險。為了更好地應對風險,就要求企業做好風險評估工作。

(二)基于共振理論的風險評估方法概述

1.現有的風險評估方法的缺陷,表現為:

沒有系統的評估方法。目前,風險評估的方法雖然多種多樣,但其著眼點僅是風險評估中的某一個具體環節,并沒有形成完整、系統的評估體系,各個環節各自為戰嚴重地削弱了評估方法的系統性。

忽視外部因素的影響。現在的評估方法,幾乎將全部評估重點都放在企業內部因素上,即使有涉及到外部環境因素的,也只是賦予少部分的權重,沒有考慮內外因的相互關系。外因是通過內因起作用的,所以不僅要考慮到外部環境因素的作用,也要研究它和內部因素的相互作用關系。

2.基于共振理論的風險評估方法。針對現有風險評估方法的不足之處,本文提出基于共振理論的風險評估方法,力求形成一套貫穿風險識別、風險衡量和風險評價的完整的風險評估體系,并在重視內部因素的同時,考慮外部環境因素的影響。通過分析外部環境因素與內部因素的相互作用關系,對內部風險因素進行修正。通過共振矩陣系統的反映風險評估的各個環節。在重視內部風險的同時,通過共振系數和相關系數顯示出環境對于企業的影響作用,力求使評估結果更加準確和切合實際。

基于共振理論的評估方法的具體操作

(一)識別內、外部風險

企業內部風險及其識別。企業內部風險是指來自于企業內部的,由于經營不善或者管理疏漏而形成的風險。它是企業風險的直接來源。企業內部風險由于產生于企業內部,所以企業具有主動權,能夠對這類風險施加控制和影響。主要包括營運風險、組織風險、財務風險、人事風險、信息系統風險等。

企業可以以現有的風險清單為基礎,從中找出企業中存在的風險因素,但這只有標準化的風險因素。而每個企業都有自己特定的內部環境,許多特有風險因素沒有出現在風險清單里。針對這些特有風險,可以運用控制自我評估的方法將其識別出來,以使企業的風險識別工作更加全面。

宏觀環境風險及其識別。企業宏觀環境,是指那些會給企業帶來市場機會或環境威脅的主要社會力量,直接或間接地影響企業的管理。主要包括政治和法律環境、經濟環境、科技環境、社會文化環境及自然環境等。宏觀環境風險就是在這些環境中存在的對企業構成威協的風險。

在對宏觀環境風險進行識別時,可以借鑒戰略管理中的PETS分析法并結合企業實際按照政治和法律環境風險、經濟環境風險、科技環境風險、社會文化環境風險和其他環境風險進行識別。

(二)構建共振矩陣

首先將整個風險系統分為內部風險系統和宏觀環境風險系統,將內部風險系統再向下細分為若干個風險子系統,如營運風險子系統、信息風險子系統、銷售風險子系統等。進一步把風險子系統再細分為具體的內部風險因素,記作Ii(i=1,2,3…)。同理,讓宏觀環境風險系統細分為若干個風險子系統,如政治環境風險子系統、經濟環境風險子系統、科技環境風險子系統等,再將各風險子系統中的宏觀環境風險因素識別出來,記作Oj(j=1,2,3…)。在此基礎之上,構建共振矩陣(如圖1)。

共振矩陣是用于列示企業的所有內、外部風險因素的矩陣,其橫坐標為內部風險因素,縱坐標為宏觀環境風險因素。這樣矩陣中各交叉點顯示的都是內外部風險的相互作用系數,即后述的共振系數和相關系數。風險矩陣的最大優點在于可以把任何一對內外部風險因素結合起來,評估其相互作用關系,也就是將內外部風險統籌考慮。

(三)進行風險衡量

衡量風險因素的變異程度。本文使用變異程度測定的方法,用變異系數衡量指標的偏離程度。值得注意的是,有一些風險因素是指標形式的,便于量化考核。但有一些指標是定性的,難于量化,這時可以使用專家打分的方法,將這些風險因素量化。變異系數的計算公式為:

其中,V是風險因素的變異系數,用于衡量風險因素與預期指標的偏離程度;S是該風險因素的標準差;X是期望值,在這里可以使用企業的理想指標作為期望,這樣計算出的變異系數即是實際與預期的偏離程度,也是風險爆發后的結果。

計算共振系數。如前文所述,那些具有出現在風險頻率交集中的頻率的風險因素是重點要關注的風險因素。由于共振的破壞力遠大于單個風險因素振動時造成的影響,所以那些內外部共振的風險因素的變異系數要以乘數倍增加,這個乘數稱之為“共振系數”,記作Gij。但是,在物理學上尚沒有計算共振產生的振幅的計算方法,通常都是通過測量得出。之于風險評估工作來說就要依據行業和企業歷史數據,利用風險評估人員的經驗和個人素質進行評估,估算出一個共振系數,但可以肯定的是共振系數一定大于1。

計算相關系數。相關系數是用于說明兩個風險因素間相互作用關系的系數,它的取值范圍為[-1,1]。取值為正說明內外部風險正相關,即宏觀環境對內部風險因素有放大作用;反之,取值為負,說明內外部風險負相關,即宏觀環境對內部風險因素有抵銷作用。

(四)風險評價

在進行風險評價環節,首先將所權重分配給各風險子系統,即Wi使之和為1,再在各風險子系統內進行分配權重,分配至各風險因素,即wi,風險子系統內的權重之和也為1,并在風險矩陣中注明。之后,將在風險衡量環節得出的變異系數Vi填入風險矩陣,wi與Vi的乘積即為沒有進行修正時的評價結果。但這是不準確的,接下來對這一結果進行修正。所有的相關系數有正有負,其取值范圍為[-1,1]。若計算出的相關系數為負數,即表明宏觀環境對內部風險因素有彌補作用,則用變異系數Vi乘上(1+相關系數);反之,如果相關系數為正且不為1時,說明宏觀環境對內部風險因素有擴大作用,也用變異系數Vi乘以(1+變異系數);而當相關系數為1時,即產生了共振效應,為了與之區別,用共振系數Gij表示。而Gij的取值大于2,其具體數值由評估人員估計產生。由此,可以推出Vi'=[∑(1+Rij)+∑Gij]Vi。最后,得到最終評價結果∑wiVi'。這個結果數值越大,說明與預期偏離越遠,說明企業的風險越大;反之,數值越小,說明越與預期值相符,企業面臨的風險越小。

參考文獻:

1.劉鈞.風險管理概論.清華大學出版社,2008

2.James Roth,Ph.D. 鄭桓圭譯.最佳內部控制評估實務―自我評估與風險評估.中國內部審計協會,1999

3.徐二明.企業戰略管理.中國經濟出版社,2006

4.杜瑩芬.企業風險管理.經濟管理出版社,2008

第4篇

關鍵詞：消費品安全 政府監管 風險評估 諾模圖法 風險矩陣法 RAPEX法

中圖分類號：F76 文獻標識碼：A 文章編號：1674-098X（2014）11（c）-0155-04

歐盟委員會（EC）的2004 RAPEX方法[1]是首個得到政府監管機構廣泛應用的消費品安全官方風險評估方法。非政府學術組織EuroSafe在2005年設立風險評估工作組（EuroSafe WGRA），EC在其研究成果基礎上形成了2010 RAPEX方法[2]，該方法是目前歐盟各成員國政府的正式官方評估方法[3]。受EC健康與消費者保護總司（DG-SANCO）資助的EMARS項目（它提出了著名的錘子案例[4]）、英國RPA[5]等風險研究機構都致力于不斷發展消費品安全風險評估方法。在正式評估方法中，除了RAPEX方法，諾模圖法、風險矩陣法也得到廣泛應用[3-5]。而歐盟REACH法規的技術指南文件（TGD）、國際化學品安全規劃署（IPCS）的“Risk Assessment Terminology”（2004年），聯合國糧農組織/世界衛生組織（FAO/WHO）的“Food Safety Risk Analysis”（2006年）、國際風險管理理事會（IRGC）的“White Paper”（2006年）提供的化學危害風險評估方法主要適用于消費品生產過程[3-5]。美國消費品安全委員會（CPSC）主要應用定性風險評估方法對消費品安全進行A、B、C三級管理，CPSC也使用“安全飲用水法案”（SDWA，1996年）中的評估規則[6]，CPSC在化學危害定量評估方法上遵循美國國家科學委員會的NAS指南（1994年）[7]。國際標準化組織的消費者政策委員會（ISO COPOLCO）的指南文件“Consumer product safety a practical guide for suppliers”（2006年）及其標準則主要適用于消費品的設計及生產階段[3-5]。中國的消費品安全風險評估通則（GB/T22760，2008年）與RAPEX方法基本一致[8]。

該文以政府監管視角選擇最廣泛使用的2004 RAPEX、2010 RAPEX方法、諾模圖法和風險矩陣法應用案例進行比較分析[3-5]，并分析消費品安全風險評估方法的進一步發展方向。

1 消費品安全風險評估基本流程

風險和風險評估在各個領域的定義和方法有所不同。在產品安全評價理論中，風險通常表示為傷害事件的發生概率及嚴重程度的函數，各種消費品安全風險評估方法的基本評估流程是大同小異的，均是在識別消費品危險的基礎上，估計各風險要素的程度（至少包括兩個基本風險要素：傷害的嚴重程度和傷害的發生概率），然后用模型將各風險要素合成風險水平/等級（批量評估應先確定單體風險水平）。各個方法的主要區別在于將其他風險要素（例如消費者屬性、危險可獲得性和危險暴露參數等）的考慮置于哪個階段，是置于危險識別階段，還是置于嚴重程度估計、發生概率估計階段，抑或直接作為獨立風險要素與兩個基本要素進行合成（圖1）。

在消費品供應鏈的不同階段實施安全風險評估應選擇與該階段相適應的風險評估方法，相關評估方法按適用范圍分類如圖2所示（參考了參考文獻[3]，但做了補充和修改）。對于政府監管機構而言，更關心的是準備上市和上市后的消費品安全風險，即：消費品在上市時應符合安全的一般要求，而在上市后只要發現產品存在嚴重安全風險就應及時隔離（risk averse）。因此，以政府監管視角研究上市階段和上市后消費品安全風險評估方法的有效應用具有必要性。

4 討論

（1）從應用案例可看出，2010 RAPEX

法與2004 RAPEX法的主要區別在于：2010 RAPEX法將消費人群區分、風險緩減要素區分從后置改為前置，嚴重程度和發生概率的分等進行了擴充，消費人群區分、風險緩減要素區分仍由主觀判定。兩個方法中風險要素的打分主觀性強，要求評估人員具備足夠的專業知識和足夠準確的數據來源。未來的評估方法可能將消費人群作為獨立風險要素進行識別和估計，在消費品化學危害日益受到重視的情況下，消費人群區分可能相應調整，例如孕婦可能作為弱勢人群進行考慮。

（2）斯洛文尼亞諾模圖法的輸入參數比其他方法增加，各參數的分等擴充，其評估輸出（風險等級）相應細化。與RAPEX法比較，它識別出火災危險風險高于其他危險。危險事件發生時，火災更容易造成群死群傷，因此該評估結果與事實也是相符的。

（3）比利時風險矩陣法引入了暴露程度這一參數擴充矩陣維度。對后果嚴重性的賦值中，該方法對導致“所有使用者和旁觀者死亡”“所有使用者死亡”“數人死亡”和“一個死亡”的嚴重度分別區分，且從100分到15分賦值，區分度極大，但在政府監管角度，對“死亡”后果均應0容忍，評估時應加以注意。

（4）該文在參閱相關文獻時，發現各個評估方法應用的術語高度不一致。如果對術語名稱翻譯和定義不加以界定明確，可能導致對同一危險信息，各評估方法的參數輸入不一致，其輸出大相徑庭。

（5）目前的評估方法對化學危害風險的識別能力偏弱。例如對“長期藥物接觸和輻射暴露”傷害的嚴重程度從輕到重劃分為“腹瀉嘔吐局部癥候”“可逆的內臟損害”“神經系統損害、不可逆的內臟損害”“癌癥（白血病）、影響生殖、影響后代、中樞神經系統抑郁癥”四等的劃分尚嫌粗。歐盟REACH法規的技術指南文件提供了一種化學危害風險評估的有價值的思路。

（6）目前對評估方法的發展研究主要集中在評估模型的改進，從定性向定量向模糊評價發展，但實證研究表明，作為簡單、快速、經濟、有效（risk averse）和有決斷力（resolved）的方法，定性風險評估能對消費品安全風險進行有效評估[3-5]。在政府監管視角，最好把資源直接用于減小風險的努力，而不是盡量達到風險評估的絕對精確。實際上，定量風險評估的大部分輸入數據是高度主觀的，同時，要生成確切的輸出，它要求有一個詳盡和全面的時間鏈模型，這對范圍極廣的現代消費品領域是難度極大的。對定性風險評估方法而言，應減小評估的主觀性，重點應研究傷害嚴重程度和發生概率的科學分等，其基礎工作是盡早形成共享的消費品傷害數據庫。

（7）從應用案例可看出，各個評估方法均基于各風險因子相對獨立的假設，從而對各個風險因子獨立進行評估。有學者研究認為，某些風險因子具有相互聯系和影響關系，具有連通性（connectivity），并引入了連通性矩陣的概念，但這一理論在消費品領域尚未有成熟應用。

5 結論

（1）以政府監管視角來看，2004 RAPEX、2010 RAPEX方法和斯洛文尼亞諾模圖法均能對消費品安全風險進行有效評估。

（2）未來消費品安全風險評估方法的發展，首先應統一規范術語使用以改善評估的一致性；其次應發展傷害嚴重程度和發生概率的科學分等體系以減小評估的主觀性；另外應注重消費品化學危害風險評估方法的研究。

參考文獻

[1] Guidelines for the management of the Community Rapid Information System（RAPEX）and for notifications presented in accordance with Artide 11 of Directive 2001/95/EC[R]，Commission Decision 2004/418/EC of 29 April 2004.OJ L 151，2004.

[2] Commission Decision of 16 December 2009 laying down guidelines for the management of the Community Rapid Information System‘RAPEX’established under Artide 12 and of the notification procedure established under Artide 11 of Directive 2001/95/EC（the General Product Safety Directive） （notified under document C（2009） 9843）[R]，Commission Decision 2010/15/EU of 26 January 2010. OJ L 22， 2010.

[3] Dirk van Aken.Related risk assessment activities[R].Hague： Voedsel en Waren Autoriteit， 2007.

[4] Enhancing Market Surveillance through Best Practices（EMARS）project.Product Safety-Best Practice Techniques in Market Surveillance[R].Amsterdam： EMARS，2013.

[5] Pete Floyd， Tobe A.Nwaogu，Rocio Salado，et al.RPA REPORTAssured Quality-Establishing a Comparative Inventory of Approaches and Methods Used by Enforcement Authorities for the Assessment of the Safety of Consumer Products Covered by Directive 2001/95/EC on General Product Safety and Identification of Best Practices [R].J497/GPSD Implementation， Norfolk：Risk & Policy Analysts Limited（RPA），2006.

[6] CPSC.Research & Statistics-consumer opinon surrveys[EB/OL].（2014-10-20）[2014-4-29].http：//cpsc.gov/en/Research Statistics.

[7] National Research Council.Science and Judgment in Risk Assessment （1994）[M].Washington D.C.：National Academy Press，1994.

第5篇

關鍵詞：風險導向審計；審計模式；適用性分析

隨著國內外重大審計失敗事件的不斷發生，風險導向審計作為一種重要的審計理念和方法，受到審計職業界和學者的關注。中國注冊會計師協會在2004年10月了新的審計風險準則征求意見稿，要求注冊會計師在審計中使用現代風險導向審計方法，實施風險評估程序，降低審計風險，提高審計質量。如果審計風險準則一旦正式生效，將使我國的審計風險準則與國際接軌，并引導中國注冊會計師實務由傳統風險導向審計向現代風險導向審計轉變。因此，對現代風險導向審計模式的理解以及在我國的適用性分析就顯得十分重要。

一、風險導向審計概述

隨著社會經濟的發展變化，審計方法適應審計環境的變化經歷了三個發展階段：一是審計發展的早期，由于企業組織結構簡單、業務性質單一，注冊會計師的審計工作目的是為了促使受托責任人在授權經營過程中做出誠實、可靠的行為，審計方式是詳細審計。審計的重心在資產負債表，是對會計憑證和賬簿的詳細審計，旨在發現和防止錯誤與舞弊，這種審計方法就是賬項基礎審計方法（accountingnumber-basedauditapproach）。二是從1950年代起，以內部控制測試為基礎的抽樣審計在西方國家得到廣泛應用，這種審計方法重點在于注冊會計師了解、測試和評價內部控制設計的合理性和執行的有效性。對內部控制存在缺陷的環節，注冊會計師通常將其涉及交易和賬戶余額作為審計的重點，甚至進行詳細審計；對于可以信賴的內部控制環節，通常將其涉及的交易和賬戶余額進行抽樣審計，以提高審計效率和降低審計費用。從方法論的角度，這種審計方法被稱作制度基礎審計方法（system-basedauditapproach）。三是1970年代以后，由于制度基礎審計方法顯露缺陷，一種新的、以風險防范為基礎的風險導向審計模式逐漸興起，從方法論的角度，注冊會計師以審計風險模型為基礎進行的審計方法稱為風險導向審計方法（risk-orientedauditapproach）。

回顧審計方法的發展歷程，風險導向審計模式已成為審計方法發展的國際趨勢。風險導向審計模式合理地揚棄了作為制度導向審計模式基礎的“無利害關系假設”，把指導思想建立在“合理的職業懷疑假設”的基礎上，不只依賴對被審計單位管理層所設計和執行內部控制制度的檢查與評價，而且實事求是地對公司管理層是否誠信、是否有舞弊造假的驅動始終保持一種合理的職業警覺，將審計的視野擴大到被審計單位所處的經營環境（微觀、中觀乃至宏觀），將風險評估貫穿于審計工作的全過程。與傳統的制度基礎審計相比較，主要有以下區別：

（一）審計模式不同

制度基礎審計模式以內部控制為核心，對控制風險的評估僅通過確定內部控制的可依賴程度來減少實質性測試的工作量，而對固有風險的評估常流于形式；風險導向審計模式不僅通過內部控制評估控制風險，還結合其他風險因素尤其是固有風險綜合考慮，通過對企業環境、發展戰略、公司治理結構等方面的評估，發現其潛在的經營風險及財務風險，并評估財務報表發生重大錯報的風險，以便使審計風險降至可接受水平。

（二）審計基礎不同

制度基礎審計以內部控制制度為基礎，根據被審單位內部控制制度的健全性及符合性評審結果，確定實質性測試的范圍和重點；風險導向審計則以風險評估為基礎，對影響被審單位經濟活動的多種內外因素進行評估，確定審計范圍、重點和方法，其不僅重視與內部控制系統直接相關的因素，而且重視各種環境因素。

（三）審計方法不同

兩種審計模式都采用抽樣技術，但風險導向審計是通過建立審計風險模型將風險量化。因此，相對于制度基礎審計來說，風險導向審計的抽樣技術是更完全意義上的審計抽樣，更注重利用分析性測試方法，從而可以有效降低審計風險。

二、風險導向審計的兩種模式

風險導向審計自產生以來經歷了兩個階段，理論界把以傳統審計風險模型“審計風險=固有風險×控制風險×檢查風險”為基礎進行的審計稱為傳統風險導向審計模式；而將1990年代后期開始，在國際會計師事務所內部推行并逐漸被審計理論與實務界接受的，以“審計風險=重大錯報風險×檢查風險”的模型為基礎，以被審計單位的經營風險為導向的審計方法稱作現代風險導向審計模式。

傳統風險導向審計模式與現代風險導向審計模式的本質區別在于審計理念和審計技術方法的不同，后者是對前者的改進，其主要區別如下：

（一）審計起點不同

傳統風險導向審計運用的審計風險模型中，固有風險是指假定不存在相關內部控制時，某一賬戶或交易類別單獨或連同其他賬戶、交易類別產生重大錯報或漏報的可能性。控制風險是指某一賬戶或交易類別單獨或連同其他賬戶、交易類別產生錯報或漏報，而未能被內部控制防止、發現或糾正的可能性。傳統風險導向審計方法通過綜合評估固有風險和控制風險以確定實質性測試的范圍、時間和程序，由于固有風險難以評估，審計的起點往往為企業的內部控制（如果沒有必要測試內部控制，審計的起點則為會計報表項目）。

現代風險導向審計方法通過綜合評估經營控制風險以確定實質性測試的范圍、時間和程序，其審計起點為企業的戰略系統及其業務流程。如果企業的業務流程不重要或風險控制很有效，則將實質性測試集中在例外事項上。這種新模式的優點是將審計的重心前移到風險評估，這將有利于充分識別和評估會計報表重大錯報的風險，因此，主要針對風險設計、實施控制測試和實質性測試程序。此外，注冊會計師容易全面掌握企業可能存在的重大風險，有利于節省審計成本，克服因缺乏全面性觀點而導致的審計風險。

（二）風險評估識別以分析性復核程序為中心

現代風險導向審計注重運用分析性復核程序，以識別可能存在的重大錯報風險；而傳統風險導向審計對于信息的再加工程度不夠，其分析性程序主要用在報表分析上。分析性復核程序已成為現代風險審計方法最重要的程序，為了適應分析性程序功能擴大的要求，分析性程序開始走向多樣化：在數據分析上不但要對財務數據進行分析，也要對非財務數據進行分析；在分析工具上借鑒現代管理方法，把戰略分析、績效分析、財務分析及前景分析等分析工具運用到風險評估之中，使風險因素不再惟一，變一元風險評估為多元風險評估，使得出的風險評估結果更加可靠。

（三）風險評估方式由直接評估轉變為間接評估

傳統風險導向審計的風險評估是一種直接的方式，即直接評估重大錯報的概率。現代風險導向審計模式是從經營風險評估入手，間接地對審計風險進行評估，因為經營風險越高，審計風險也越大，也就是管理舞弊的可能性越大；并且從經營風險中能更有效地發現財務報表潛在的重大錯報，因為財務報表是經營的反映，如果經營風險未能在報表中得到體現，則財務報表很可能失真。此外，會計政策、會計估計的合理性

評估也只有從經營風險入手，才能進行正確的評估。

（四）審計程序實施具有個性化

傳統風險導向審計模式審計程序是標準化形式，對不同的被審計單位都使用標準相同的審計程序，其缺陷是沒有足夠貫徹風險導向審計思想，使注冊會計師無法突破客戶預先設置或防范的措施，難以做出正確的審計結論。現代風險導向審計方法要求注冊會計師將評估及識別的審計風險與實施的審計程序相結合，針對不同客戶以及客戶不同的風險領域實施個性化的審計程序。

（五）審計證據的內涵擴大

在現代風險導向審計方式下，審計重心向風險評估轉移，審計證據也由內部向外部轉移。因此，注冊會計師必須充分了解企業整體經營環境，由此評估客戶的經營及審計風險，同時必須從外部取得大量的外部證據來證明風險評估的恰當性。風險導向審計模式下，注冊會計師形成審計結論所依據的審計證據不僅包括實施控制測試和實質性測試獲取的證據，還包括了解企業及其環境獲取的證據。

（六）擴充了內部控制要素

傳統風險導向審計方法下的內部控制是指被審計單位為了保證業務活動的有效進行，保護資產的安全和完整，發現、糾正錯誤與防止舞弊，保證會計資料的真實、合法、完整而制定和實施的政策與程序。內部控制要素包括控制環境、會計系統和控制程序。現代風險導向審計方法下的內部控制是指被審計單位為了合理保證財務報告的可靠性、經營的效率和效果以及對法律法規的遵循，由治理當局、管理當局和其他人員設計和執行的政策和程序。內部控制的三要素擴充為五要素，即控制環境、被審計單位的風險評估過程、與財務報告相關的信息系統和溝通、控制活動和對控制的監督。

（七）對注冊會計師的專業知識提出了更高要求

現代風險導向審計對注冊會計師的專業素質提出更高要求，其重心從會計、審計知識轉向管理和行業知識。現代風險導向審計下審計結果主要依賴風險評估，風險評估的各種分析方法要求掌握現代管理知識和行業知識（包括市場、研發、生產等方面），這對注冊會計師提出了更高的要求。注冊會計師應該是復合性人才，不但要掌握一般常用分析工具，還要接受現代管理知識和行業專業知識訓練。

三、現代風險導向審計模式在我國的適用性分析

基于上述分析，現代風險導向審計模式是審計發展的一種必然趨勢。2003年10月，國際審計與鑒證準則委員會（IAASB）通過了新的審計風險準則；中注協也在2004年10日了修訂后的審計風險準則征求意見稿，不僅將使我國的審計風險準則與國際接軌，同時也為提高審計質量、降低審計風險提供了技術支持。審計風險準則一旦正式生效，將引導中國注冊會計師實務由傳統風險導向審計向現代風險導向審計轉變，會對我國的注冊會計師審計理念、審計程序及審計責任產生非常大的影響。

然而，目前要在我國推行風險導向審計模式還存在一定的制約條件和需要解決的問題：

（一）會計師事務所審計成本與效益問題

實施風險導向審計模式的前提是成本能得到補償。現代風險導向審計模式在審計計劃階段和執行控制測試階段，注冊會計師關注的范圍擴大，程度加深，導致工作時間和審計成本的增加，在市場競爭激烈的情況下，成本的增加往往不可能過渡到收費的同步增加。此外，還需要一定的投入來培訓注冊會計師，使他們掌握業務流程和行業知識等有關方面的知識。如果這些成本得不到補償，就會使一部分中小會計師事務所在競爭中無法生存。

（二）信息系統的建設問題

現代風險導向審計的重要特征是審計重心前移，注冊會計師必須首先執行風險評估程序，充分了解客戶整體經營環境，然后針對風險不同的客戶、客戶不同的風險領域，設計個性化的審計程序。因此，會計師事務所必須建立強大的信息系統，以便注冊會計師在風險評估時了解企業的戰略、流程風險管理、業績衡量等。而目前國內很多事務所對行業風險和企業經營風險缺乏了解，客戶的相關信息不夠充分，信息系統的建設還達不到現代風險導向審計的要求，導致風險評估不準確。因此，風險導向審計的運用僅限于老客戶，對新客戶還是將大量時間用于實質性測試。

（三）審計從業人員素質問題

現代風險導向審計對審計從業人員的業務素質提出了新要求，不僅要具備豐富的審計理論和實踐經驗，還要具備必需的管理學知識和經濟學知識，能夠運用系統的、戰略的觀點充分了解、分析企業所處的宏觀經濟環境和行業發展狀況，對有可能導致企業會計報表錯報風險的內外部因素進行客觀、系統的分析與評價，將審計視角擴展到內部控制以外，從較高層面上評估風險，而不是僅僅注重企業會計處理的細節。

（四）輔助審計軟件的使用與完善問題

現代風險導向審計方法中分析性程序占據非常重要的地位，輔助審計軟件的使用在其中發揮著重要的作用。西方發達國家大量運用分析性程序的條件是輔助審計程序的開發和運用，它可以直接對數據庫進行加工分析，依據軟件模型自行處理數據，使運用分析性測試程序成為節約成本的重要手段。另外，采用審計軟件使統計抽樣的樣本更具代表性，審計抽樣風險可控，為風險導向審計提供了技術支持。目前，我國在審計軟件的開發和使用上不夠理想，還有待提高，而且大部分注冊會計師缺少相應的技術準備，在現階段推行現代風險導向審計方法只能是一種愿望。

如上所述，目前在我國全面推行現代風險導向審計模式還受到許多制約，盡管它有很多優越之處，但在我國還不能夠普遍推行。當前我國獨立審計準則主要是以制度基礎審計模式為基礎的，而且相當一部分從事小規模企業審計工作的會計師事務所和注冊會計師，基本上仍然在運用賬項基礎審計模式。但是，現代風險導向審計的實行是一種理念的改變，我們可將制度基礎審計與風險導向審計有機結合。即使在現行審計準則仍然主要以制度基礎審計模式為基礎的情況下，吸取風險導向審計模式的基本觀點和做法，則是完全可行的。通過把風險導向審計中控制風險的理念和方法融合到制度基礎審計中，使其他審計模式忽略審計風險的缺陷得到彌補，將會為探索適合我國的現代風險導向審計模式積累有益的實踐經驗。

參考文獻：

〔1〕陳毓圭。對風險導向審計方法的由來及其發展的認識〔J〕。會計研究，2004，（2）。

〔2〕常勛，黃京菁。從審計模式的演進看風險導向審計〔J〕。財會通訊，2004，（7）。

第6篇

1信息安全風險評估的方法

1.1定性分析方法

這是評估方法具有的一個明顯特點就是它的主觀性較強，在風險評估人員主觀上對資產風險因素所面臨的威脅以及漏洞等作出評估判斷的過程。它的結構構成包括故障樹分析法、事件樹分析法以及原因———后果法等。（1）故障樹分析法。這種分析方法的適用于對風險事件的發生源之間關系以及它的深層次原因進行探究的，它的主要目的是在發現信息故障后對信息安全所進行的定性分析。從它的運行原理來看，它是把信息系統中發生的結果來作為首要解決的問題，分析總結出不愿發生事件的形成因素，從而確定出各個因素之間的邏輯關系。（2）事件樹分析方法。這種方法是在原有的信息系統風險基礎上，來對這些信息安全風險事件發生可能產生的風險結果進行詳細的分析探究，它的分析工作開展的一個顯著特點就是需要對序列組中可能發生的危險事故的結果進行合理的列舉，需要注意的是這并代表是最后的結果，只是其中的一個環節，但是它的缺點就是不適于進行大范圍的普適。（3）原因———后果分析方法。這種分析方法從運行原理的實質上來看，它是對前兩種分析方法的一種融合，它是前兩種分析方法所具有顯著特點的結合，但是，這種方法也有應用的缺點，就是它在大型的、復雜的信息系統中應用并起不到應有的效果。

1.2定量分析方法

這種分析方法是對定性方法的一種改進，削弱了定性方法的主觀性，但是在一些大型復雜的信息系統中，就很可能造成一些定量數據難以獲得，需要浪費較多的時間成本，基于此，它的應用最為廣泛的是定量的故障樹分析法和風險評審技術兩種。

1.3定性分析和定量分析相結合的方法

這種兩相結合的方法在現代應用領域中是最為常見的，也是最適合的形式，這兩種方法相結合的主要目的是為了有效的彌補定性分析法和定量分析法之間的缺陷，因此，它的綜合性就會相對強一些。這種分析模式，適用范圍最為廣泛的并且最為主流的是層次分析法。

2在業務流程基礎上的信息安全風險評估方法

2.1信息資產的辨別

信息安全風險評估主要是針對于信息和信息處理設備所受到的威脅、影響以及威脅事件發生后所帶來的損失而進行的評估預測，那么所進行評估的內容主要涉及到四個要素，即資產、威脅、漏洞以及原有的安全措施。對于這四個要素之間的關系論述，它們是屬于相互關系、相互作用的因素，各自對系統風險的影響各不相同，共同構成復雜的風險評估系統工程。我們在實際的風險評估工作中，主要是對已經存在的風險提出一系列有效的安全防范措施，并依據風險措施實行采取合理的控制措施，從而使風險控制到最合理的范圍內，那么這么講就可以把它的具體實施流程劃分為兩大部分，即對風險的分析和對風險的控制。

2.2業務流程的風險模型分析

在業務開展的基本流程中，對于位置變動資產的識別可以在它的開始階段就進行，這是對位置變動來說的，而對于位置固定的資產識別，就需要對每一個具體業務的節點進行逐一開展。對于位置固定資產的識別來說，因為其自身需要有大量的人工操作，因此它的風險一般是集中于業務節點環節上，并且各個節點上的風險類別、發生方式、起源以及造成的后果影響都是不相同的。此外，由于這些風險的產生是因為位置固定資產而引起的，因此，在業務流程的過程中一般只需要對位置固定資產的風險采取相應的控制措施就可以了，這樣也就確保了位置別動不會對資產的保密性、完整性以及可用性造成威脅。

3總結

第7篇

關鍵詞:電子政務 信息安全

0 引言

隨著電子政務不斷推進，社會各階層對電子政務的依賴程度越來越高，信息安全的重要性日益突出，在電子政務的信息安全管理問題中，基于現實特點的電子政務信息安全體系設計和風險評估[1]模型是突出的熱點和難點問題。本文試圖就這兩個問題給出分析和建議。

1 電子政務信息安全的總體要求

隨著電子政務應用的不斷深入，信息安全問題日益凸顯，為了高效安全的進行電子政務，迫切需要搞好信息安全保障工作。電子政務系統采取的網絡安全措施[2][3]不僅要保證業務與辦公系統和網絡的穩定運行，另一方面要保護運行在內部網上的敏感數據與信息的安全，因此應充分保證以下幾點：

1.1 基礎設施的可用性：運行于內部專網的各主機、數據庫、應用服務器系統的安全運行十分關鍵，網絡安全體系必須保證這些系統不會遭受來自網絡的非法訪問、惡意入侵和破壞。

1.2 數據機密性：對于內部網絡，保密數據的泄密將直接帶來政府機構以及國家利益的損失。網絡安全系統應保證內網機密信息在存儲與傳輸時的保密性。

1.3 網絡域的可控性:電子政務的網絡應該處于嚴格的控制之下，只有經過認證的設備可以訪問網絡，并且能明確地限定其訪問范圍，這對于電子政務的網絡安全十分重要。

1.4 數據備份與容災:任何的安全措施都無法保證數據萬無一失，硬件故障、自然災害以及未知病毒的感染都有可能導致政府重要數據的丟失。因此，在電子政務安全體系中必須包括數據的容災與備份，并且最好是異地備份。

2 電子政務信息安全體系模型設計

完整的電子政務安全保障體系從技術層面上來講，必須建立在一個強大的技術支撐平臺之上，同時具有完備的安全管理機制，并針對物理安全，數據存儲安全，數據傳輸安全和應用安全制定完善的安全策略

在技術支撐平臺方面，核心是要解決好權限控制問題。為了解決授權訪問的問題， 通常是將基于公鑰證書（PKC）的PKI（Public Key Infrastructure）與基于屬性證書（AC）的PMI（Privilege Management Infrastructure)結合起來進行安全性設計，然而由于一個終端用戶可以有許多權限， 許多用戶也可能有相同的權限集， 這些權限都必須寫入屬性證書的屬性中， 這樣就增加了屬性證書的復雜性和存儲空間， 從而也增加了屬性證書的頒發和驗證的復雜度。為了解決這個問題，作者建議根據X.509標準建立基于角色PMI的電子政務安全模型。該模型由客戶端、驗證服務器、應用服務器、資源數據庫和LDAP 目錄服務器等實體組成，在該模型中：

2.1 終端用戶：向驗證服務器發送請求和證書， 并與服務器雙向驗證。

2.2 驗證服務器：由身份認證模塊和授權驗證模塊組成提供身份認證和訪問控制，是安全模型的關鍵部分。

2.3 應用服務器： 與資源數據庫連接， 根據驗證通過的用戶請求，對資源數據庫的數據進行處理， 并把處理結果通過驗證服務器返回給用戶以響應用戶請求。

2.4 LDAP目錄服務器：該模型中采用兩個LDAP目錄服務器， 一個存放公鑰證書（PKC）和公鑰證書吊銷列表（CRL），另一個LDAP 目錄服務器存放角色指派和角色規范屬性證書以及屬性吊銷列表ACRL。

安全管理策略也是電子政務安全體系的重要組成部分。安全的核心實際上是管理，安全技術實際上只是實現管理的一種手段，再好的技術手段都必須配合合理的制度才能發揮作用。需要制訂的制度包括安全行政管理和安全技術管理。安全行政管理應包括組織機構和責任制度等的制定和落實；安全技術管理的內容包括對硬件實體和軟件系統、密鑰的管理。

3 電子政務信息安全管理體系中的風險評估

電子政務信息安全等級保護是根據電子政務系統在國家安全、經濟安全、社會穩定和保護公共利益等方面的重要程度。等級保護工作的要點是對電子政務系統進行風險分析，構建電子政務系統的風險因素集。

3.1 信息系統的安全定級 信息系統的安全等級從低到高依次包括自主保護級、指導保護級、監督保護級、強制保護級、專控保護級五個安全等級。對電子政務的五個安全等級定義，結合系統面臨的風險、系統特定安全保護要求和成本開銷等因素，采取相應的安全保護措施以保障信息和信息系統的安全。

3.2 采用全面的風險評估辦法 風險評估具有不同的方法。在ISO/IEC TR13335-3《信息技術IT安全管理指南:IT安全管理技術》中描述了風險評估方法的例子，其他文獻，例如NIST SP800-30、AS/NZS 4360等也介紹了風險評估的步驟及方法，另外，一些組織還提出了自己的風險評估工具，例如OCTAVE、CRAMM等。

電子政務信息安全建設中采用的風險評估方法可以參考ISO17799、OCTAVE、CSE、《信息安全風險評估指南》等標準和指南，從資產評估、威脅評估、脆弱性評估、安全措施有效性評估四個方面建立風險評估模型。其中，資產的評估主要是對資產進行相對估價，其估價準則依賴于對其影響的分析，主要從保密性、完整性、可用性三方面進行影響分析;威脅評估是對資產所受威脅發生可能性的評估，主要從威脅的能力和動機兩個方面進行分析;脆弱性評估是對資產脆弱程度的評估，主要從脆弱性被利用的難易程度、被成功利用后的嚴重性兩方面進行分析;安全措施有效性評估是對保障措施的有效性進行的評估活動，主要對安全措施防范威脅、減少脆弱性的有效狀況進行分析;安全風險評估就是通過綜合分析評估后的資產信息、威脅信息、脆弱性信息、安全措施信息，最終生成風險信息。

在確定風險評估方法后，還應確定接受風險的準則，識別可接受的風險級別。

4 結語

電子政務與傳統政務相比有顯著區別，包括:辦公手段不同，信息資源的數字化和信息交換的網絡化是電子政務與傳統政務的最顯著區別;行政業務流程不同，實現行政業務流程的集約化、標準化和高效化是電子政務的核心;與公眾溝通方式不同，直接與公眾溝通是實施電子政務的目的之一，也是與傳統政務的重要區別。在電子政務的信息安全管理中，要抓住其特點，從技術、管理、策略角度設計完整的信息安全模型并通過科學量化的風險評估方法識別風險和制定風險應急預案，這樣才能達到全方位實施信息安全管理的目的。

參考文獻：

[1]范紅，馮國登，吳亞非.信息安全風險評估方法與應用.清華大學出版社.2006.

第8篇

隨著電子政務應用的不斷深入，信息安全問題日益凸顯，為了高效安全的進行電子政務，迫切需要搞好信息安全保障工作。電子政務系統采取的網絡安全措施[2][3]不僅要保證業務與辦公系統和網絡的穩定運行，另一方面要保護運行在內部網上的敏感數據與信息的安全，因此應充分保證以下幾點：

1.1基礎設施的可用性：運行于內部專網的各主機、數據庫、應用服務器系統的安全運行十分關鍵，網絡安全體系必須保證這些系統不會遭受來自網絡的非法訪問、惡意入侵和破壞。

1.2數據機密性：對于內部網絡，保密數據的泄密將直接帶來政府機構以及國家利益的損失。網絡安全系統應保證內網機密信息在存儲與傳輸時的保密性。

1.3網絡域的可控性:電子政務的網絡應該處于嚴格的控制之下，只有經過認證的設備可以訪問網絡，并且能明確地限定其訪問范圍，這對于電子政務的網絡安全十分重要。

1.4數據備份與容災:任何的安全措施都無法保證數據萬無一失，硬件故障、自然災害以及未知病毒的感染都有可能導致政府重要數據的丟失。因此，在電子政務安全體系中必須包括數據的容災與備份，并且最好是異地備份。

2電子政務信息安全體系模型設計

完整的電子政務安全保障體系從技術層面上來講，必須建立在一個強大的技術支撐平臺之上，同時具有完備的安全管理機制，并針對物理安全，數據存儲安全，數據傳輸安全和應用安全制定完善的安全策略

在技術支撐平臺方面，核心是要解決好權限控制問題。為了解決授權訪問的問題，通常是將基于公鑰證書（PKC）的PKI（PublicKeyInfrastructure）與基于屬性證書（AC）的PMI（PrivilegeManagementInfrastructure)結合起來進行安全性設計，然而由于一個終端用戶可以有許多權限，許多用戶也可能有相同的權限集，這些權限都必須寫入屬性證書的屬性中，這樣就增加了屬性證書的復雜性和存儲空間，從而也增加了屬性證書的頒發和驗證的復雜度。為了解決這個問題，作者建議根據X.509標準建立基于角色PMI的電子政務安全模型。該模型由客戶端、驗證服務器、應用服務器、資源數據庫和LDAP目錄服務器等實體組成，在該模型中：

2.1終端用戶：向驗證服務器發送請求和證書，并與服務器雙向驗證。

2.2驗證服務器：由身份認證模塊和授權驗證模塊組成提供身份認證和訪問控制，是安全模型的關鍵部分。

2.3應用服務器：與資源數據庫連接，根據驗證通過的用戶請求，對資源數據庫的數據進行處理，并把處理結果通過驗證服務器返回給用戶以響應用戶請求。

2.4LDAP目錄服務器：該模型中采用兩個LDAP目錄服務器，一個存放公鑰證書（PKC）和公鑰證書吊銷列表（CRL），另一個LDAP目錄服務器存放角色指派和角色規范屬性證書以及屬性吊銷列表ACRL。

安全管理策略也是電子政務安全體系的重要組成部分。安全的核心實際上是管理，安全技術實際上只是實現管理的一種手段，再好的技術手段都必須配合合理的制度才能發揮作用。需要制訂的制度包括安全行政管理和安全技術管理。安全行政管理應包括組織機構和責任制度等的制定和落實；安全技術管理的內容包括對硬件實體和軟件系統、密鑰的管理。

轉貼于中國論文下載中心www

3電子政務信息安全管理體系中的風險評估

電子政務信息安全等級保護是根據電子政務系統在國家安全、經濟安全、社會穩定和保護公共利益等方面的重要程度。等級保護工作的要點是對電子政務系統進行風險分析，構建電子政務系統的風險因素集。

3.1信息系統的安全定級信息系統的安全等級從低到高依次包括自主保護級、指導保護級、監督保護級、強制保護級、專控保護級五個安全等級。對電子政務的五個安全等級定義，結合系統面臨的風險、系統特定安全保護要求和成本開銷等因素，采取相應的安全保護措施以保障信息和信息系統的安全。

3.2采用全面的風險評估辦法風險評估具有不同的方法。在ISO/IECTR13335-3《信息技術IT安全管理指南:IT安全管理技術》中描述了風險評估方法的例子，其他文獻，例如NISTSP800-30、AS/NZS4360等也介紹了風險評估的步驟及方法，另外，一些組織還提出了自己的風險評估工具，例如OCTAVE、CRAMM等。

電子政務信息安全建設中采用的風險評估方法可以參考ISO17799、OCTAVE、CSE、《信息安全風險評估指南》等標準和指南，從資產評估、威脅評估、脆弱性評估、安全措施有效性評估四個方面建立風險評估模型。其中，資產的評估主要是對資產進行相對估價，其估價準則依賴于對其影響的分析，主要從保密性、完整性、可用性三方面進行影響分析;威脅評估是對資產所受威脅發生可能性的評估，主要從威脅的能力和動機兩個方面進行分析;脆弱性評估是對資產脆弱程度的評估，主要從脆弱性被利用的難易程度、被成功利用后的嚴重性兩方面進行分析;安全措施有效性評估是對保障措施的有效性進行的評估活動，主要對安全措施防范威脅、減少脆弱性的有效狀況進行分析;安全風險評估就是通過綜合分析評估后的資產信息、威脅信息、脆弱性信息、安全措施信息，最終生成風險信息。

在確定風險評估方法后，還應確定接受風險的準則，識別可接受的風險級別。

4結語

電子政務與傳統政務相比有顯著區別，包括:辦公手段不同，信息資源的數字化和信息交換的網絡化是電子政務與傳統政務的最顯著區別;行政業務流程不同，實現行政業務流程的集約化、標準化和高效化是電子政務的核心;與公眾溝通方式不同，直接與公眾溝通是實施電子政務的目的之一，也是與傳統政務的重要區別。在電子政務的信息安全管理中，要抓住其特點，從技術、管理、策略角度設計完整的信息安全模型并通過科學量化的風險評估方法識別風險和制定風險應急預案，這樣才能達到全方位實施信息安全管理的目的。

參考文獻：

[1]范紅，馮國登，吳亞非.信息安全風險評估方法與應用.清華大學出版社.2006.

[2]李波杰，張緒國，張世永.一種多層取證的電子商務安全審計系統微型電腦應用.2007年05期.

第9篇

關鍵詞：注冊會計師　風險評估　風險管理　內部控制

一、引言

2010年美國公眾公司會計監督委員會(Public Company Accounting Oversight Board，PCAOB)通過了新的審計準則(審計準則第8號至第15號)，以規范審計師對審計風險的評估和反應。目的是監督公眾公司的審計師編制信息量大、公允和獨立的審計報告，以保護投資者利益并增進公眾利益。在PCAOB此次行動之前，不斷有人發出強烈的信息，讓審計職業人員在風險管理中扮演更積極的角色。而且PCAOB早在兩年前就已經提出了實施具體風險評估準則的信息，這些準則旨在解決從最初計劃到結果評估的審計過程問題。這些新準則是在審計促進成熟風險評估中非常重要的一步，可以把審計師未能發現的重大錯報事故風險降到最小。PCAOB執行主席丹尼爾?格爾澤爾說一旦這些標準被采用，在審計財務申明中發現，適當計劃以及實施審計以解決這些風險問題以增強投資者的信息是非常重要的。這些審計標準包括：審計風險、審計計劃、審計參與監督、計劃執行審計中的思考、重大錯報事故的確認與評估、審計師對重大錯報事故的回應、評估審計結果以及審計證據。它們貫穿了從初始計劃階段到審計結果評估的整個審計流程。PCAOB主席丹尼爾?高澤(DanielL，Goelzer)說：這些新準則的出臺意味著在促進精密的審計風險評估與將審計人員未能發現重大誤報的風險降至最低方面邁出了重要一步。識別風險，并通過正確地審計計劃和開展審計活動來應對風險，對于提升投資者對經審計財務報表的信心是至關重要的。

二、風險評估、企業風險管理與審計風險

(一)注冊會計師風險評估　風險導向審計的核心是審計風險，任何審計業務都必須將審計風險控制在可接受的風險水平內。因此風險導向審計要求注冊會計師加強對被審計單位及其環境的了解，在審計的所有階段都要實施風險評估程序，并將識別和的評估的風險與實施的審計程序掛鉤，而且要求針對重大的各類交易、賬戶余額和列報實施實質性程序，可以說風險評估程序是風險導向審計模式落實到審計工作的核心環節，風險導向審計下審計風險模型如下：審計風險=重大錯報風險×檢查風險。審計風險是指財務報表存在重大錯報而注冊會計師發表不恰當審計意見的可能性。重大錯報風險是指財務報表在審計錢存在重大錯報的可能性，檢查風險是指某一認定存在錯報，該錯報單獨或連同其他錯報是重大的，但注冊會計師未能發現這種錯報的可能性。注冊會計師合理設計審計程序的性質、時間和范圍，并有效執行審計程序，以控制檢查風險。注冊會計師采取以下方法展開審計工作：(1)注冊會計師應當針對財務報表層次的重大錯報風險置頂總體應對措施；(2)注冊會計師應當針對認定層次的重大錯報風險設計和實施進一步審計程序，包括測試控制的執行有效性以及實施實質性程序；(3)注冊會計師應當評價風險評估的結果是否適當，并確定是否已經獲取充分、適當的審計證據；(4)注冊會計師應當將實施關鍵的程序形成審計工作記錄。我們發現，注冊會計師以針對評估的財務報表層次重大錯報風險為起點，確定總體應對措施，并有針對評估的認定層次重大錯報風險設計和實施進一步審計程序，以將審計風險控制在可接受的低水平。風險導向的核心是審計風險，控制審計風險的關鍵是風險評估程序，另一方面，企業必須準確地評價和有效地管理各項與企業成功息息相關的風險。管理層不但需要準確地了解各項業務風險以及不良控制的后果，并且能夠根據所確認風險的殘余影響的輕重程度分配資源和關注程度。所以注冊會計師的風險評估將有利于企業的風險管理。

(二)企業的風險管理　每個企業在經營中存在各種風險，而我們這里討論的企業風險管理中的風險概念與金融市場的風險概念有所不同，當然金融風險也是企業(特別是金融類企業)面臨的風險之一，企業風險就是企業面臨的可能導致企業虧損的各種不確定性事件，降低企業的價值。所以風險管理需要做的就是盡量避免這種不確定性事件的發生，或者是降低不確定性事件發生后對企業造成的損失。企業風險管理包括四個環節：風險識別、風險評估、風險應對、風險監察。第一，風險識別是指盡力識別可能對企業取得成功產生影響的風險，包括整個業務面臨的較大的風險，以及與每個項目或較小的業務單位關系的風險，識別潛在風險可以認識到企業面臨的各種風險類型，而且風險識別程序應該在企業內的多個層級得以執行，這與注冊會計師的風險評估貫徹于整個審計過程一樣。第二，風險評估是在識別了各種風險后，對風險的的性質、風險的類型、風險的發生頻率等進行評價，這種評價最主要分為兩方面，一個是影響，另一個是可能性，企業可能還會采用敏感性分析或者決策樹等方法對風險的性質進行全面的認識。這與注冊會計師的風險評估相似，不過更加具體、全面。第三，風險應對是指對上述評估的風險采取相應的措施，以避免該風險對企業產生的損失，風險應對的策略包括風險降低(如分散投資，就是一種降低風險的措施)，風險消除(使得該風險事件發生的概率降低為零)，風險轉移(將風險的后果采用保險、合同等方式轉移出企業)，風險保留(定期風險復核、控制風險情境)。第四，風險監察是指企業監測目標的實現過程，關注新的風險和相關損失，企業需要對風險進行監察，并在需要時不斷作出調整。風險檢查者定期檢查正在發生的虧損，以了解他們的控制建議得以實施，并設計過程來改善風險管理的過程，制定一項戰略來應對出現的新風險。

(三)風險評估與經營風險、審計風險　企業的風險識別是風險管理的第一步，是指對企業面臨的，以及潛在的風險加以判斷、歸類和鑒定風險性質的過程。企業的風險一般可以分為兩類：系統風險和非系統風險。系統風險是由公司之外的各種因素引起的，如戰爭、經濟衰退、通貨膨脹、高利率等與政治、經濟和社會相聯系的風險，是不能通過多元化投資而分散的，因此又稱作不可分散風險或市場風險。非系統風險也被稱作可分散風險，它是由公司本身的商業活動和財務活動帶來的，如企業的管理水平、研究與開發、消費者需求的改變、市場營銷風險以及法律訴訟等，其可以通過多元化投資組合而分散，是公司特有的風險。而現代風險導向審計將風險評估、風險應對與審計程序聯系起來，這就使得注冊會計師審計不僅僅是出具審計報告的鑒證業務，也可以起到促進企業風險管理的作用，注冊會計師審計過程中必須進行風險評估，風險評估的過程是為了能夠獲得盡可能準確的財務報表重大錯報風險信息，以控制審計風險，企業風險管理的過程是為了控制企業經營風險，從審計風險與企業經營風險的關系，我們發現：其一，風險評估是指評估被審計單位風險，評估的過程是企業風險管理中的一個環節，所以在性質上他們具有相似性。其二，風險評估的程序包括：了

解被審計單位及其環境、了解被審計單位的內部控制等，而風險管理也需要進行這些工作，方法包括：觀察、檢查、分析程序，穿行測試等。風險評估。其三，風險評估的目的相同：對于注冊會計師而言，風險評估的目的是為了了解被評估的財務報表重大錯報風險，并且制定風險應對措施，有效地實施審計程序；對于企業而言，風險評估的目的是為了控制企業的風險點，防止企業出現虧損的不利情況而實現企業價值增值。風險評估使企業考慮潛在事項如何影響目標的實現。管理當局應從兩個角度對事項進行評估：可能性和嚴重程度，并且通常采用定性和定量相結合的方法。在不要求定量化的地方，或者在定量評估所需的可靠數據無法取得或獲取和分析數據不具有成本效益時，管理者通常采用定性評估技術。定量技術精確度更高，通常應用在更加復雜的活動中，以對定性技術進行補充。評估風險時既要考慮固有風險，也要考慮剩余風險。固有風險是管理當局沒有采取任何措施來改變風險的可能性或影響的情況下，一個企業所面臨的風險。剩余風險是在管理當局應對風險后所殘余的風險。審計中注冊會計師更多關注的是審計風險以及企業的經營風險，但是對于企業其他風險管理(如制度風險管理、法律風險管理)考慮不足，當然這是注冊會計師收益成本分析后的結果，但是注冊會計師必須區分企業經營風險與審計風險，經營風險是指實現不了經營目標和戰略的可能性，經營失敗是經營風險的擴大化，指企業由于經濟或經濟條件的變化而無法滿足投資者的預期，經營失敗的極端情況是申請破產。誠然企業經營失敗可能使得注冊會計師面臨審計訴訟，經營風險與審計風險有一定的相關性，但風險導向的核心是審計風險，而不是企業的經營風險。

三、注冊會計師風險評估與企業風險管理關系

(一)二者時間發展順序　環境變化促使越來越多的企業實施全面風險管理，也促進了風險導向審計的發展：從20世紀90年代開始，隨著新的科技技術和經濟全球化帶來企業組織結構虛擬化、集約化、專業化及扁平化等新的商業特征，許多跨國公司開始實施全面風險管理方法，一些國際咨詢公司和會計師事務所也開始運用這一概念并將其同咨詢或審計業務相結合。全面風險管理體系正在隨著企業治理的完善而越發受到重視，風險管理的概念逐步引入到我國的企業中，使得我國企業的風險管理工作納入了公司治理的范圍。2004年9月，COSO了《企業風險管理框架》。該框架是在《內部控制――整體框架》報告的基礎上，結合《薩班斯――奧克斯法案》在報告方面的要求，明確提出企業風險管理是由企業董事會、管理層和其他員工共同參與，應用于企業戰略制定，以及企業內部各層次和部門，用于識別可能對企業造成影響的事項，管理風險為企業目標的實現提供合理保證。同時該框架還指出：企業風險管理框架由內部環境、目標制定、事項識別、風險評估、風險反應、控制活動、信息和溝通、監控八個相互關聯的要素構成。這也奠定了企業風險管理系統的組織模式。風險導向審計的發展也與全面的風險管理系統構建同步，2003年10月，國際會計師聯合會下屬的國際審計準則委員會了三個新的國際審計風險準則，并從2004年12月15日或之后開始的期間財務報表審計起執行這三個新準則。2004年10月，中國注冊會計師協會根據國際審計準則的最新發展，對已修訂的四個新審計風險準則在全國范圍內征求意見，并且于2007年1月1日開始實施。風險導向審計已經深入了我國審計的實際工作，為審計業務的展開提供了指引。

(二)二者業務性質相互影響　全面風險管理為現代風險導向審計風險評估提供了更好的基礎為了評估客戶是否有效地監督和控制了其戰略風險及其他經營風險，注冊會計師必須識別、收集和處理大量與客戶經營活動相關的證據。當企業沒有實施全面風險管理時，收集這些證據即使在理論上是可行的，但為此付出的成本對注冊會計師而言也常常是不經濟的。注冊會計師的風險評估程序對企業風險管理有以下益處：(1)了解企業的外部環境風險以及內部控制成為風險評估的重要組成部分，注冊會計師也將公司內部控制的有效性作為風險應對的考慮因素。所以注冊會計師關于企業內部控制的評價將為企業的風險管理提供建議。(2)注冊會計師在實施控制測試與實質性測試時，會將交易的內部控制目標與關鍵內部控制聯系起來，然后將測試的結果與風險評估的結果進行對比，這將有助于公司相關交易所涉及人員在業務流程中履行好自己的職責，注冊會計師審計可以起到監督作用，發現企業內部控制的風險點。企業風險管理對注冊會計師的風險評估有以下益處：第一，企業風險管理的完善性與企業內部控制系統有著很強的相關性，所以如果企業建立了一整套風險管理的體系，那么注冊會計師的風險評估程序就會減少程序，因為風險評估在整個審計過程中的驗證過程都是可靠的。第二，企業風險管理的方式與注冊會計師風險評估。企業全員參與風險管理，從整個企業組合的角度實施風險管理，增強了企業風險管理的有效性，注冊會計師能夠在更大程度上信賴企業的全面風險管理，實施風險評估。第三，企業風險管理系統的完善性越不好，注冊會計師所涉及的這部分程序設計需要越謹慎，而風險評估程序后提出建議的邊際貢獻越高，這二者之間的交互作用就在于風險評估程序是對風險管理的一種再監察。

(三)二者存在的不同　當然二者存在著以下區別：注冊會計師風險評估更多是對內部控制有效性的評估，這種評估是因為審計的效率所決定的，而企業的風險管理需要覆蓋企業的整體層面和各個業務流程，所以我們注冊會計師的風險評估結果對于企業而言是一種參考，注冊會計師的風險評估只是對內部控制水平高低的一個評價，這并不能完全說明企業風險管理的有效性。注冊會計師可以通過對企業內部控制系統有效性評價來評估客戶監督和控制其戰略風險及其他經營風險的情況，如果僅僅是審計過程，注冊會計師不需要提出風險管理改進建議，他們評估的財務報表重大錯報風險只是為了控制檢查風險，進而控制審計風險。所以注冊會計師審計過程的風險評估與企業風險管理過程中的風險評估目的相似，但企業風險管理的目的和注冊會計師的風險評估還是存在不同。

四、企業風險管理及風險評估路徑

(一)風險評估報告與企業風險管理　(圖1)呈現了風險導向審計的框架，風險導向審計最大的要點就在于實施基本審計程序前的風險評估。而且后來的審計程序結果會不斷檢驗風險評估的結果，不斷地修正與調險估計水平，在整個審計過程中都需要進行風險評估過程，所以注冊會計師可以在審計完成后形成風險評估的最終結果，形成風險評估報告，以評價內部控制的有效性及風險管理控制的水平。該報告可能涉及內部環境、企業風險評估、風險反應、控制活動、信息和溝通、監控等要素，對企業內部控制的測試結果進行一個總結性陳述，形成風險評估報告。風險評估報告作為風險導向審計階段性成果在審計完成后反饋給被審計客戶，以幫助被審計客戶進一步完善內部控制水平，但我們必須意識到：風險評估報告不是審計報告的子報告，風險評估報告僅僅為被審計單位進一步提高內部控制水平而用，而非鑒證報告，注冊會計師不需要提供保證。

(二)風險評估報告與信息系統風險管理　注冊會計師評價內部控制有效性的要求里就包括了評價信息系統的有效性，所以注