【关I词】工程试验 风险评估 应急方法
安全可靠性是煤矿工程中最为人注意的问题,这一问题存在很强的不确定性,所以对工程试验进行风险评估以及编制应急预案是当前煤矿工程中一个较好的研究方向。下面就以新疆涝坝湾煤矿副平硐工程为例对工程试验中的风险评估以及应急方案展开分析。
1 工程试验中的风险评估
1.1 机械拼装、调试工作的风险评估及控制措施
在接卸拼装过程中,由于接卸本身的设计缺陷或者工作人员的失误会导致机械无法正常运转的风险,相应的风险控制措施有:(1)设备拼装人员要具备过硬的专业技术水平和高度的责任感;(2)设备在进场前保证质量完好、无缺陷、能够正常运转,运输中注意设备的保护,防止磕碰。
1.2 龙门吊的安装、调试工作的风险评估及控制措施
龙门吊在安装过程中轨道铺设未达标、位置不准确;在龙门吊使用过程中工作人员不专业、指挥不恰当等都是风险因子,相应的风险控制措施有:(1)设备拼装人员要具备过硬的专业技术水平和高度的责任感。(2)设备在进场前保证质量完好、无缺陷、能够正常运转,运输中注意设备的保护,防止磕碰。(3)在设备安装、调试时全过程监控,严格按操作规程作业。
1.3 复合式硬岩掘进机始发、掘进以及出洞的风险评估和控制措施
复合式硬岩掘进机作为一种大型的施工机械,在其始发、掘进以及出洞的过程中会拥有很多风险因子,比如洞口密封失效、基座安装不合适、地质条件发生变化等都是风险因子,相应的风险控制措施有:(1)洞门密封圈安装要准确,在盾构推进的过程中要注意观察,防止盾构刀盘的周边刀割伤橡胶密封圈;密封圈可涂牛油增加性;洞门的扇形钢板要及时调整,改善密封圈的受力状况;(2)对基座框架结构的强度和刚度进行验算,以满足出洞时盾构穿越加固土体所产生的推力要求;(3)详细了解地质状况,根据地质变化及时调整施工参数。
2 工程试验中的应急预案
2.1 应急处理流程
工程试验中的应急预案流程图如图1所示。
2.2 应急方法和措施
2.2.1 掘进机机前方塌方应急处理措施
发生塌方,保护好现场。对塌方区域人员进行疏散,并派纠察进行维持,就发生塌方产生的后果进行评估。如在开仓时发生塌方现象,人员立即从土仓里撤出,关仓并恢复推进。掘进机机必须连续推进,以短时间内通过塌方区域,在掘进机机尾部通过塌方区时必须超量注浆,以补充塌方造成的土体空隙。严格控制掘进机姿态,选择正确合适的推进参数。
2.2.2 工伤事故应急处理措施
(1)首先抢救伤员及国家财产,保护现场;采取措施制止事故扩大和蔓延。(2)及时向有关领导报告;必须建立和健全紧急救援职责;根据事故紧急救援领导职责及职责分解,本工程救援措施第一责任人为项目生产副经理;其他管理人员为救援队伍必须配合人员。(3)被抢救人员以就近医院救治为原则,同时可根据受伤部位送专科及特色医院,本施工项目应由的工伤事故急救特色医院清单,以备急用。食物中毒视情况立即报告卫生部门;火灾立即报告消防部门;水灾立即通知水利专管部门。(4)根据灾情制定现场紧急措施,立即在现场布置警戒线,并维护现场秩序,组织做好人员疏散工作。(5)查明事故造成的人员伤亡及财产损失。(6)根据事故调查和处理程序,组织进行事故调查和处理。
2.2.3 消防应急处理措施
(1)施工现场及井下必须配备应急灯,专人负责保管,检修保持良好状态。(2)一旦发生火警由当班施工负责人组织义务消防队员和现场施工人员积极扑救,及时向领导汇报和向119报警。(3)在分工各就各位的基础上,对易燃部位加强控制,防止蔓延。
2.2.4 防汛防雪应急处理措施
工程在汛情期间,必须加强重点部位巡视检查,确保重点部位及其周边地区的排水畅通。一旦工地或周围发生积水情况,在半个小时内(最迟不得超过1个小时)防汛防雪值班人员必须赶到现场进行排水抢险。在对重点部位重点监控的同时,也要对其它一般部位进行强化管理,首先确保每个施工点要有专人负责防汛、防台工作,并确保防汛防台设备完好,同时要求每一个施工点建立巡视制度,一旦发生意外情况,马上向项目部及项经部防汛防台领导小组汇报,并立即制定对策后付诸实施。
综上所述,在工程试验中开展风险评估,编制应急预案的做法是非常有必要的,这些措施可以有效降低工程的风险,保障施工人员的生命安全。
参考文献:
房地产是指土地、建筑物及其他地上定着物,它是实物、权益、区位三者的综合体,有土地、建筑物、房地产联合体三种存在形态。如果按照开发程度来划分,房地产可以分为以下几类:
1、生地:是指不具有城市基础配套实施的土地,如荒地、农地。
2、毛地:是指具有一定城市基础设施,但尚未完成房屋拆迁补偿安置的土地。
3、熟地:是指具有较完善的城市基础配套设施且土地平整,能直接在其上进行房屋建设的土地。
4、在建工程 是指地上建筑物已开始建设但尚未完成,或已建成但尚未办理竣工验收手续、不具备使用条件的房地产。该房地产不一定是正在建设,也可能停工了多年。
5、现房(含土地):是指地上建筑物已建成,可直接使用的房地产,它可能是新的,也可能是旧的。
二、常用的评估土地及在建工程的方法介绍
1、剩余法:也叫假设开发法、倒算法,是在估算未来不动产正常交易价格的基础上,扣除建筑物建造费用和与建筑物建造、租售有关的专业费、利息、利润、税收等费用后,以价格余额来确定估价对象土地价格的一种估价方法。剩余法公式:地价=销售收入-销售税费-建筑安装费用-管理费用-利息-税费-利润-购买该宗地应支付的税费。
2、成本法:就是以开发土地所耗费的各项费用以及建筑成本之和为主要依据,再加上一定的利润、利息、应缴纳税金来推算土地价格的估价方法。成本法公式:地价=土地取得成本+开发成本+已投入建筑成本及专业费用+利息+利润+税费。此方法适用于土地及在建工程评估。
3、市场比较法:是将估价对象与在估价时点近期交易的类似房地产进行比较,对这些类似房地产的成交价格作适当的修正和调整,以此求取估价对象的客观合理价格或价值的方法。此方法适用于土地及在建工程评估。
三、在建工程的评估技术思路及特例情况处理
在建工程泛指处于建设过程中、尚未完成并交付使用的工程项目,一般把是否进行了整体竣工验收作为界定的主要依据。在建工程最重要的特征就是其工程量尚未完成,因而体现在建筑物实体形态不完全,不具备有关部门组织进行竣工验收的条件,以及不能马上实现其涉及用途等诸多特征。作为房地产的一种类型,在建工程的表现形式多种多样,我们将其分为三类,第一类是停工项目;第二类是竣工项目;第三类是施工项目。就抵押贷款而言,在建工程完工的程度不同,采用的方法也不同,其抵押评估基本思路可分类为三种情况考虑:①停工的或者正在施工、尚未通过完成主体工程的在建工程,一般采用成本法,以取得土地的取得及开发费用、以投入建筑成本及专业费用,加上利息、利润等加总积算用成本法进行评估。公式:在建工程价值=土地的取得及开发费用+投入建筑成本及专业费用+利息+利润。土地的取得及开发费用采用基准地价系数修正法进行测算,投入的建筑成本及专业费用按照开发商提供的预算价格或者按照建筑工程实际进度确定,利息按当前利率计算;②正在施工的已完成主体工程,但尚未通过竣工验收的在建工程,可以综合考虑以下两种方法确定其评估价格。一种是采用成本法,以土地的取得及开发费用、以投入建筑成本及专业费用,加上利息、利润等加总积算用成本法进行评估,这种情况下利润取值与市场正常利润相当。另一种是采用剩余法,公式:V=A-(B+C+D+E+F),V—在建工程价值;A—续建完成后的不动产价值(指该工程按设计标准完工后的市场可以接受的销售价格,常用市场比较法取得,不能接委托方制定的预售价格);B—续建成本(土建工程费用、设施设备及安装费用、内外装修工程费用、专业费及不可预见费);C—投资利息;D—税金;E—续建投资利润;F—租售费用。采用剩余法进行评估事宜慎重;③以通过竣工验收,尚未领取房地产证的在建工程。采用市场比较法较为合适,类似于市场商品房的评估。
四、土地及在建工程风险点分析
土地及在建工程用于抵押除了有评估方法运用的风险(方法不同一般得出的结果不同),还有以下几个风险点:
1、企业风险:开发商、建筑承包商是否是合法企业,有无经营能力,企业的资质、信誉以及开发能力能否满足项目的要求。
2、法律手续:房地产项目开发前期以及开发过程中的法律手续是否齐全,包括土地的取得是否合法、项目开发是否遵循土地规划和建筑规划的要求,另外,还要注意在建工程抵押前是否已办理预售,是否存在商品房预售抵押(主要是对内部预售而国土局未备案者更要注意)
3、资金风险:开发商的融资能力能否满足项目开发的需要,建筑企业的工程款的支付情况,是否有违规的使用工程款造成项目无法进行的情况。
4、质量风险:项目的质量是项目的灵魂,项目的质量出现问题,容易引起许多法律的纠纷,造成项目无法进行(注意考察设计、施工单位的资信度)。
5、管理风险:项目管理主要是项目成本的控制、施工的进度控制和项目的质量控制,完善的项目管理能够将成本控制在合理的范围,保证项目的施工进度按照预期完成并保证项目的质量达到规范要求,避免不必要纠纷。
6、销售风险:项目的销售是否具备合法的手续。
7、市场风险:项目在前期预测、定位上的估计不足,使得项目在竣工后出现竞争过大,同类物业在市场上同时存在,功能上无优势,产生较大的市场风险。
关键词:电力企业,风险管理,定量风险评估
0、引言
电力作为高风险产业,不仅源于其公用事业属性,以及技术资金密集、供求瞬时平衡、生产运行连续等特征,同时电力项目投资额巨大、建设周期长、沉没成本高,而且,随着电力体制改革和电力市场建设进程的深入,市场主体越来越多,电力交易关系复杂,不同主体之间协调困难,电力行业规划建设、生产经营的不确定性加大、电力市场风险增加。根据“十一五”期间电力体制改革的任务,面对我国电力市场化发展的现状,增强风险意识,树立风险观念,加强风险管理将是电力企业的重要任务。本文在阐述了企业风险管理基本框架流程及其主要内容的基础上,提出电力企业定量风险评估的主要内容及方法,以期推动电力系统风险管理工作的开展。
1、风险管理的主要内容
风险作为客观存在,要求人们考察研究风险时,要从决策角度认识到风险与人们有目的活动、行动方案选择及事物的未来变化有关。风险的形成过程和风险的客观性、损失性、不确定性特征共同构成风险形成机制分析和风险管理的基础。
人们一般对风险持厌恶态度,都想减小风险损失,追求风险与收益的均衡优化。风险管理的提出与发展与企业发展状况、社会背景密不可分。风险管理作为一门管理学科,首先在美国应运而生,之后传到西欧、亚洲、拉丁美洲。美国大多数企业都设置专职部门进行风险管理,许多大学的工商管理学院都开设风险管理课程。风险管理作为一门科学与艺术,既需要定性分析,又需要定量估计;既要求理性,又要求人性;不但需要多学科理论指导,还需要多种方法支持。
源于风险意识的风险管理主要包括风险分析、风险评价与风险控制三大部份。根据风险形成的过程,风险分析需要进行风险辨识、风险估计。风险估计需要进行频率分析与后果分析,而后果分析又包括情景分析与损失分析。通过风险分析,可得到特定系统所有风险的风险估计,对此再参照相应的风险标准及可接受性,判断系统的风险是否可接受,是否采取安全措施,这就是风险评价。风险分析与风险评价总称为风险评估。为进行风险定量化估算,要进行定量风险评估(quantitative risk assessment—qra)。在风险评估的基础上,针对风险状况采取相应的措施与对策方案,以控制、抑制、降低风险,即风险控制。风险管理不仅要定性分析风险因素、风险事故及损失状况,而且要尽可能基于风险标准及可接受性对风险进行定量评价。对于以盈利为目的的工业企业也希望将风险损失价值化并给出货币衡量标准。风险管理就是风险分析、风险评价、风险控制三者密切相联的动态过程,见图1。
2、风险管理的组织实施与基本流程
为有效实施风险管理,企业应由专门的组织及相关人员按一定程序组织实施风险管理工作。据《幸福》杂志对美国500多家大公司的调查知,84%的公司由中层以上的经理人员负责风险管理。风险管理的趋势是董事会下属设立风险管理委员会全面负责公司风险管理,组织实施的流程是:①制定风险管理规划;②风险辩识;③风险评估;④风险管理策略方案选择;⑤风险管理策略实施;⑥风险管理策略实施评价。
3、电力企业定量风险评估(qra)
电力企业qra的建立与发展从内部来看,不仅已有可靠性分析、安全分析、质量管理、项目管理等各专业分析作基础,从外部而言有电力用户、政府与社会公众、咨询机构等众多相关主体的关注。电力企业qra对企业的作用主要体现在:通过qra有利于企业将风险水平控制在规定标准的风险水平之内,并符合最低合理可行原则;通过开展qra可帮助企业全面识别风险,并按轻重缓急排序,以有助于管理者将精力、财力、物力集中于风险控制的重要紧急领域,使风险管理决策更为合理、效果更好、成本最小;通过对各种风险控制方案或安全改进措施进行qra,使决策者对方案措施进行优劣选择,为公司提出决策支持。电力企业的风险将对其它企业和主体带来连带影响,并产生放大效应,电力系统安全、可靠、高效、优质是各行各业和政府管理部门共同的愿望。电力企业实施qra具有现实意义。
3.1 电力企业qha的基本框架模式
电力企业qra是指在工业系统qra的基础上,考虑电力系统的技术经济特点及运行规律,结合电力体制改革及电力市场化进程而以概率模型表征的全面风险管理理论方法。为便于实施风险管理,保证风险评估质量,满足风险评估过程各阶段的不同要求,构建如图3所示的适用于电力企业qra的基本框架模式。在具体实施时,允许依实际情况而有所改变。
3.2 电力企业qra的主要工作内容
(1)确定目标及范围。包括风险管理的目的与意义,待分析系统的设备配置、工作流程、资金、人员、管理、信息、地区、人文环境等,即确定qra实现目标和实施条件等。
(2)风险辨识。即找出待评价系统中所有潜在的风险因素,并进行初步分析,通过安全检查看系统是否达到规范要求。风险辩识的基本途径有历史事故统计分析、安全检查表分析、风险与可操作性研究(hzops)、故障模式与影响分析(fmea)、故障模式影响及危急分析(fmeca)、故障树分析(eta)、事故树分析(eta)、风险分析调查表、保单检视表、资产风险暴露分析表、财务报表、流程图、现场检查表、风险趋势估计表等。为配合保险公司对出险事项的处理,可采用从下至上的归纳法、从上至下的演绎法及两者综合运用。针对特定风险,可选用基于系统平面布置的区域分析、隐含事件分析、德尔菲法及基于事故树分析的风险事故网络法等。风险辩识不只局限于系统硬件,还应考虑人为因素、组织制度等系统软件。
风险综合集成是指对所有风险按其特性类型分门别类加以汇总因电力工业特点及电力市场化改革特点,把电力系统风险按厂网分开的行业结构进行分类。
对于发电企业而言,主要有电源规划风险、报价竞价上网风险、供求平衡风险、市场力抑制风险、备用容量风险、信用风险、法律风险、项目风险、中介机构风险等。对于电网企业而言,主要有电网规划风险、电网融资风险、购电电价风险、电力交易转移风险、辅助服务风险、成本分摊风险、输电阻塞风险、输电能力风险、备用率风险、电力监管风险等。另外,电力企业还将面临电力可靠性、安全性、稳定性风险及电能质量风险等。
风险综合集成后的初步风险分析是对已辩识出的风险进行初步分析评估,确定风险的等级或水平。风险水平低的可忽略不计或仅作定性评估,风险水平高的要在定性分析基础上,进行定量评估。
(3)频率分析。即确定风险可能发生的频率,其方法主要有历史数据统计分析、故障树分析与失效理论模型分析。历史数据统计分析是根据有关事故的历史数据预测今后可能发生的频率。因此要建立
风险数据库,既作为qra的基础,又作为风险决策的依据。故障树分析作为一种自上而下的逻辑分析法,把可能发生的事故或系统失效(顶事件)与基本部件的失效联系起来,根据基本部件的失效概率计算出顶事件的发生概率。失效理论模型分析是在历史数据与专家经验的基础上,采用某种失效理论模型来计算风险发生频率。
(4)风险测定估计。根据风险特性及类型,运用一定的数学工具测定或估计风险大小。常用方法主要有主观估计法、客观估计法、期望值法、数学模型法、随机模拟法和马尔可夫模型法等。
(5)后果分析。即分析特定风险在某种环境作用下可能导致的各种事故后果及损失。其方法主要有情景分析与损失分析。情景分析通过事件树模型分析特定风险在环境作用下可能导致的各种事故后果。损失分析是分析特定后果对其它事物的影响及利益损失并归结为某种风险指标。
(6)风险标准及可接受性。风险标准及可接受性应遵循最低合理可行(alarp)原则。alarp原则是指任何系统都存在风险,而且风险水平越低,即风险程度越小要进一步减少风险越困难,其成本会呈指数曲线上升。也就是说,风险改进措施投资的边际效益递减,最终趋于零,甚至为负值。因此,必须在风险水平与成本间折衷考虑。如果电力企业定量风险评估所得风险水平在不可接受线之上,则该风险被拒绝,如果风险水平在可接受线之下,则该风险可接受,无需采取风险改进措施;如风险水平在不可接受线与可接受线之间,即落人alarp区(可容忍区),这时要进行风险改进措施投资成本风险分析或风险成本收益分析。转载于范文中国网 。
分析结果如果证明进一步增加风险改进投资对电力企业的风险水平减小贡献不大,则该风险是可接受的,即允许该风险存在,以节省投资成本。alarp原则的经济学解释类似投入要素的边际收益递减规律一样,风险与风险措施投入间的风险曲线也呈边际收益递减规律。
3.3 电力企业qra常用方法
根据电力企业qra的工作内容和实现要求,结合电力企业本身特点,电力企业qra常用的方法主要有:安全检查表即实施安全检查的项目明细表;故障模式与影响分析技术和故障模式影响分析与致命度分析(fmeaca)技术;风险与可操作性研究技术;事件树分析技术;基于概率影响图技术、人工智能、专家系统、可靠性工程技术期望值法、风险主观、客观估计法、模糊评估法等。
1 对象与方法
1.1对象来我院疗养体检3020人,其中男1849人(61.2%),女1171人(38.8%);年龄24~64岁。
1.2方法
1.2.1MS评定标准中华医学会糖尿病学分会2004年4月提出了我国自己的MS诊断工作定义:①BMI≥25.00。②收缩压≥140mmHg(1mmHg=0.133kPa)和(或)舒张压≥90mmHg,或已确认为高血压并治疗者。③血脂异常:高三酰甘油≥1.7 mmol/L,低高密度脂蛋白胆固醇,男性
国际糖尿病联盟(IDF)2005年4月在WHO和ATPIII定义的基础上对MS诊断标准达成了共识定义,我们根据IDF提出的MS诊断标准可以得知,确定一个个体是否为MS,必须具备:中心性肥胖(中国人种中定义为男性腰围90cm,女性腰围≥80cm);另外加下列4因素中任意两项:三酰甘油(TG)水平升高>1.7mmol/L,或已接受针对此项脂质异常的特殊治疗;高密度脂蛋白胆固醇(HDL-C)水平降低:男性
1.2.2检查内容①一般常规检查(血压、内科、外科等)。②营养体脂测定及腰围测定。③实验室检查(生化全套20项等)。④生活方式(饮食爱好、体力活动、作息时间)调查。
2 结果
3020例体检者MS检出率为19.5%,其中24~40岁的检出率为13.0%,40岁以上检出率23.0%。高血压、高TG和(或)低HDL-C、BMI≥25.00者、腰围异常者的检出率分别为16.6%、30.3%、41.5%、20.6%。2型糖尿病患者中MS的检出率为43.4%。
3 讨论
测定方法的精确度是提高检出率的第一要素。测血压时,要求每位体检者静坐休息5min后测量3次坐位血压(测量前0.5h内避免吸烟、饮酒、饮用含有咖啡因的饮料以及剧烈运动1。测量体重时只穿内衣、脱鞋精确至0.1kg;测量身高时脱鞋精确至0.001m;腰围为平静呼吸状态脐上1cm水平的周长。实验室测定采取空腹静脉血测定血脂、血糖,空腹不足10h者不予采血。
关键词:中央银行;风险评估;瓶颈制约;框架再构
中图分类号:F832.31 文献标识码:A文章编号:1003-9031(2011)06-0030-06DOI:10.3969/j.issn.1003-9031.2011.06.09
风险评估是指识别和分析相关风险并确定应对策略,它是风险管理的核心,是内部控制的基础,也是选择恰当的控制活动的关键。没有高水平的风险评估,则意味着内部控制就是无的放矢,内部控制就会流于形式。近年来,基层央行严格按照《中国人民银行分支机构内部控制指引》(以下简称《指引》),扎实开展风险评估工作,进一步优化了风险管理环境,提高了风险管理水平,增强了风险防控效能。但从基层央行风险评估的现状来看,仍存在一些不容忽视的瓶颈问题亟待解决。
一、基层央行风险评估工作中存在的问题
(一)风险评估组织机制薄弱
风险评估工作是整个风险管理过程的重要环节,建立风险评估组织有助于及时有效地开展风险评估工作。中国人民银行在机构设置上实行分支行制,总行与分支机构之间存在一种委托关系,因此就产生了风险与机会主义行为。但是,目前人民银行系统在风险评估组织机制方面不够健全,未设置专门的风险评估机构和管理部门,风险评估工作一般由内部控制建设领导小组办公室或内部审计部门承担,容易造成职责不清。风险管理机构应该承担风险评估的具体工作,而审计部门只是对风险评估工作的充分性和有效性进行监督。内部审计部门具体负责风险评估工作,有损于审计的公正性和独立性。内部审计人员只能以咨询顾问的身份参与协助风险评估,而不是直接负责风险评估事宜。由于基层央行缺少一个权威的风险管理机构,在人民银行各分支机构之间和专业部门之间出现内部控制管理各自为政的局面,部门之间内部控制内容相悖、内部控制监督检复、片面强调部门对口等问题也因此产生。同时,由于内控管理机构缺位,对全行风险管理缺乏统一协调,一些业务环节控制过度,也有一些业务领域控制不足。由于控制过度,具体经办人员为了简便,试图摆脱过多的内部控制,形式上的控制过度和事实上的控制不足并存。由于内部控制管理机构的缺位,造成专业部门在风险管理上的本位主义思想盛行,一味强调本部门业务工作的重要性、风险防范的必要性,而不顾基层行的人力资源状况[1]。
(二)风险评估人员专业素质匮乏
目前,基层央行内审人员知识结构老化,部分人员长期不从事具体业务操作,对业务部门业务的新变化、新要求和新特点不熟悉,难以全面深入分析各业务部门的风险情况,从而对内控风险评估量化管理结果产生一定影响。从各业务部门风险评估人员配备而言,目前基层央行开展风险评估的人员层次相对较低,一般都是兼职的业务人员,未配置专业的风险评估人才。评估人员由于缺乏系统的风险管理知识培训和教育,分析评价能力受限,风险识别不够全面,风险分析结果较为粗糙,难以满足日常风险管理工作的需要。部分风险评估人员业务知识的更新跟不上人民银行业务发展的速度,工作理念的转换跟不上内审工作转型与发展的要求,制约了风险评估质量的提升。同时,部分风险评估人员查错纠弊的能力较强,但分析问题和解决问题的能力往往不足,使风险评估的服务与咨询价值难以实现。
(三)风险识别和分析方法单一
目前人民银行风险评估涉及到金融管理、货币信贷、外汇管理、财务管理、会计结算管理、国库业务、货币发行管理、反洗钱管理、征信管理等十多个方面,而《指引》只提供了框架性意向指导,并未对相关业务提供专门的内部控制风险评价办法。因此,每项业务具体的风险无法定量、定性评价。当前,基层央行风险评估人员在对风险进行鉴别、估测和分析过程中,往往更多地依赖于个人经验,甚至凭主观臆断,习惯运用传统理念和方法,仍停留在以定性分析评估为主的阶段,缺少严密有效的计量和定量分析评价。较少运用矩阵分析、COSO例举法、Courtney方法等分析评估方法,科学性、客观性与说服力不强,据此得出的风险评估结果往往可信度不高,或者说不够准确,模糊不清。日常开展风险评估程序不够合理,风险评估环节的职责不够明确,评价手段不够先进和科学,风险评估时间较长,效率较低,质量不高。作为一线操作者,业务部门人员很容易只关注业务流程是否方便、适用,而忽略风险点。与此同时,监督部门对风险判断的客观性不足,缺乏实践检验和说服力。从基层央行现状看,监督部门主要指内审、事后监督和纪检监察,在来自一线业务部门的原始信息很少,同时被有效传递而是有选择性地传递以至在传递过程中信息层层。“失真”或“过滤”的情况下,监督部门凭借已经公认的风险、对照制度进行检查的主观认识来做出对业务部门风险的基本判断。业务部门对公认的风险没有异议,但对监督部门主观认为的风险部分质疑,怀疑监督部门人员没有具体操作业务系统,情况不明,阻碍了内部控制机制的发展。
(四)风险评估制度和预警机制滞后
目前,基层央行开展风险评估工作没有独立规范的制度要求,仅包含在内部控制建设的相关文件中,风险评估规定不够全面,执行起来比较困难。因为风险评估制度滞后,多数管理者将风险评估甚至风险管理的责任转嫁给内部审计部门,认为这是内部审计部门的职责,让内部审计部门承担很多风险评估,造成监督者与管理者职责界定不清。风险评估制度不健全,日常风险评估工作缺少统一的评估标准和尺度,对被评估单位风险控制状况的优劣没有客观公正的评估依据,各单位和职能部门对风险识别和分析的结果往往无法衡量和比较,风险评估作用难以充分发挥。2006年以来,部分基层央行由内审部门为主先后组织开发了内部控制评价系统、业务控制系统,旨在实现有效内部控制、风险预警和风险评价。但由于这两套系统均独立于业务部门操作系统之外,不仅需要一线操作人员重复操作,增加了操作人员负荷,还不能实现风险的适时预警[2]。加上各风险指标衡量标准不可量化或量化不足,使得评价结果欠权威,可信度低,仍然无法实现开发系统的目标。
(五)风险评估长效机制和风险防范流程缺失
一是风险评估长效机制缺失。风险评估工作应该是一个连续的循环往复的过程。有的单位和职能部门将风险评估工作作为阶段性工作来抓,没有把风险评估当作一项长期性、系统化工程来推进,时紧时松、时断时续。一些单位和部门思想上存在一劳永逸的观念,排查出的风险点时间较长。对于已经识别的风险点未及时更新,对于隐匿的新风险点未能认真重新梳理。在风险应对效果评价方面未能结合具体实际情况进行再分析、再评价。已经制定的风险应对措施未能随着人员、流程、系统和外部环境的变化而变化,风险控制方案所起的作用逐渐弱化一些单位和部门的风险评估报告,主体为对发现问题的罗列,对一些问题的表述过于详细,而缺乏对问题性质严重程度的分析提示,对评估发现的重大问题难以引起足够的重视,对改进内部控制和风险防控的价值不高。
二是风险防范流程缺失。从业务风险的表现形式来分析,当前基层央行风险防范缺乏系统的流程。首先是缺源头防范,新制度、新系统软件推广前,多数选择操作部门测试,未与风险挂钩、未进行风险信息和技术的处理。其次是缺乏风险运行状态监测,在操作和重要业务流程运转中仅关注完成每笔业务,没有实现对风险和剩余风险的辨识、分析和持续监测。再次是缺后续防控措施,各类检查中发现了问题往往就事论事落实整改,没有随机开展风险预测,进而促进事前防范,导致制度修订不及时。同时,也没有对风险防范成效定期检查,风险处置得当与否关注较少。缺乏风险评估长效机制和系统的风险防范流程,其实是组织内隐含的最大风险。
二、基层央行风险评估框架的再构路径
(一)建立健全基层央行风险分析与评估框架,整合归口风险防范职能
一个健全有效的风险评估体系是基层央行赖以生存和发展的生命线,是防范和化解各种风险的重要手段和有效途径。建立健全中国人民银行风险分析和评估框架(见图1),使其切实可行,是基层央行有效开展风险评估工作的重要基础。人民银行总行和分支行应成立高规格的风险管理委员会以及按业务条线划分的专业风险评估小组,由单位内具有丰富管理经验的人员担任,定期对整体风险状况进行仔细评估,筛选出较高风险及以上风险点。进行风险监测和风险控制管理,要充分支持风险评估工作的开展,保证风险评估工作具备足够的人力、物力以及信息技术水平,及时了解风险评估工作的开展情况,成立独立于审计、监察部门以外的风险管理部门,主要职责是组织日常风险识别、风险监测和风险分析,负责建立各业务条线的风险评估模型,收集整理风险评估资料,及时评估分析风险状况,为领导决策提供依据。相关职能部门在风险评估过程中要各司其职,既要明确分工,又要通力合作,积极发挥作用。如财务部门要及时向风险评估部门提供准确的财务信息数据,内部审计部门要定期对风险评估体系的准确性、可靠性、充分性和有效性进行独立审计和评价,风险评估部门要向审计部门提供直接的第一手资料和记录,法律部门应当能够有效识别、评估潜在的法律风险[2]。整合监督资源,将内审、事后监督、行政监察等部门进行合并,设立一个直接隶属于行长领导的、集独立行政检查监督及业务审计和内部控制于一身的内部控制管理委员会。负责制定全行的风险管理策略制定、风险评估与确认、预警与控制。在目前基层央行成立独立于审计、监察部门以外的风险管理部门或整合监督资源之前,建议实行风险事务相对集中管理,可将基层央行的六类基本风险的风险评估职能整合归口到各综合管理部门。即:法律和声誉风险评估由办公室负责;资产和操作风险评估由会计、事后监督部门负责;信息技术风险评估由科技部门负责;效率风险评估和跨职能部门的重大决策风险评估由内审部门负责。
(二)加强风险评估队伍建设,开展内部控制自我评估
一是加强风险评估队伍建设。目前,要通过制定风险管理人才培养计划、加大教育培训力度、引进专业风险评估人才、建立风险评估人才库等手段,不断提升风险评估人员的整体素质。支持和鼓励风险评估人员参加中国银行业从业人员风险管理师资格考试,掌握风险评估理论、风险识别以及风险评估方法,提高实际风险评估综合工作能力。同时,风险评估人员应加强自我学习,包括中西方内部控制理论的学习,风险管理理论与实务、央行业务知识与技能,经典案例分析的培训,还可聘请学者专家来现场授课,了解国际、国内风险评估工作的先进方式、方法以及发展趋势,及时掌握金融形势和动态,学会运用数理统计方法和信息技术手段分析监测风险,不断增强风险识别、分析、监测的专业技能,力争成为复合型的风险评估人才。二是开展内部控制自我评估。控制自我评估(Control self-assessment,简称CSA)是国际内部审计师协会大力推荐的组织监督和评估内部控制的重要工具,它体现了内部控制系统评价的崭新观念,是内部控制系统评价方法的新突破。人民银行应顺应内部控制评价发展的新趋势,学习和借鉴CSA的合理方法,适时开展控制自我评估,使业务人员了解哪些控制环节存在缺陷和可能引起的风险,并主动予以改进。而不是在审计人员指出问题后被动采取措施,从而促进职能部门加强管理、改进业务流程和完善风险控制。并适时引入外部独立审计,可以弥补内部评价主体在独立性方面的缺陷,增强内部控制评价的约束力。
(三)严格计量和划分基层央行风险水平和等级,科学设定风险评估标准
一是风险水平计量。将基层央行面临的固有风险分类(如决策风险、信用风险、操作风险、管理风险、法律风险等),分别给予一定的权重,并结合组织的主要流程以计分的方式,评诂固有风险的大小。其次,评估各流程的控制水平。再次,将固有风险减去控制水平得到剩余风险,根据剩余风险分配审计资源,制定审计计划,确保对最关键的领域进行审计,对审计项目本身的投入产出比进行评估,力求每一项审计都能实实在在地发挥作用。
二是风险等级划分。基层央行对潜在的内部风险和外部风险,按发生频率、产生危害、波动范围等指标,分别评定风险等级,将风险级别按一定的序号或代码进行标注,以便对风险进行分类控制,便于在实现风险最小化的同时降低风险控制成本。基层央行进行风险分析时,应充分考虑外部和内部因素,可采用定性或定量的方法进行风险分析。风险等级应该在现有高、中、低三个等级的基础上进一步细分,可划分为高风险、较高风险、中风险、较低风险和低风险五个不同的风险等级。按照风险程度和风险级别分别赋予风险等级不同的分值,如高风险值为0.9,较高风险值为0.8,中风险值为0.7,较低风险值为0.6,低风险值为0.5[3]。
三是评估标准设定。不同地区、不同单位的岗位风险具体情况千差万别,要对其进行评价比较,就必须要有一个可以用来衡量的评估标准。具体分为正常、基本正常、关注、重点关注和风控失效五级标准。一级为“正常”:指被评估部门各项规章制度健全,在各个环节均能有效执行风险防范,能对所有风险进行主动有效识别和控制,无任何风险控制盲点,防范措施适宜,管理效果显著,但在执行中存在个别不规范行为。二级为“基本正常”:指被评估部门各项规章制度基本健全,在各个环节能够较好执行风险防范,能对风险进行识别和控制,防范措施基本适宜,管理效果较好,但在执行中出现少数不规范之处和少数一般性违规问题。三级为“关注”:指被评估部门各项规章制度基本健全,但缺乏系统性和连续性,在岗位风险防范措施执行方面缺乏一贯的合理性,存在风险隐患,管理效果一般,在执行中还存在有章不循、执行制度不到位的情况,出现了一些一般性违规问题。四级为“重点关注”:指被评估部门各项规章制度不够健全,重要部门、环节的风险防范措施没有真正落实,执行制度不严,管理机制较为混乱,业务开展安全性差,出现了严重的违规问题,存在较大的风险隐患。或被评估部门岗位风险防范制度存在严重缺失或岗位风险防范制度明显无效,存在明显的管理漏洞,管理失控,存在重大安全隐患。五级为“风控失效”:指被评估部门各项规章制度严重缺失,重要部门、环节的风险防范措施流于形式,执行制度松懈,管理机制混乱,业务开展安全性很差,风险控制失效,存在很大的风险隐患和明显的管理漏洞,发生了重大责任事故或案件。风险评估结论为“正常”的分值为90(含)~100分,“基本正常”的分值为80(含)~90分,“关注”的分值为70(含)~80分,“重点关注”的分值为60(含)~70分,“风控失效”的分值为60分以下。
(四)在COSO框架下对内部控制“五要素”进行分别评估并加权计算,构建基于内部控制框架下的中央银行风险评估模式
我们认为,中央银行的相关风险在现有的内部控制框架内是可以有效管理和控制的。中央银行的风险管理模式是在内部控制框架的风险管理,其主要特点是将风险管理内容嵌入内部控制的各个因素(环节),从这些要素(环节)入手,强调风险的识别、评估和积极应对,防范和控制风险。风险管理以内部控制目标为目标,是为内部控制服务的。本文直接对被评估对象的风险进行计量、划分和设定,也可以在COSO框架下对内部控制“五要素”进行分别评估并加权计算,并以此确定被评估对象的风险等级和风险评价结果。此方法主要是对内部控制环境、风险评估、控制活动、信息与沟通、监控等这五大类指标分层分级设定评价内容、评价标准、分值等。评估采用百分制,评估结果和五大类指标标准分均为100分,对五大类指标设定不同的权数,其中内部控制环境15%,风险评估20%,控制活动50%,信息与沟通5%,监控10%。其公式为:基层央行内部控制评价综合评估得分=内部控制环境得分×15%+风险评估得分×20%+控制活动得分×50%+信息与沟通得分×5%+监控得分×10%。然后,根据内部控制评价指标体系中的各项指标打分并加权计算后,依据内部控制评价综合得分确定被评估对象的内部控制评价和风险等级及风险评价结果(见表1)。
(五)建立风险评估预警机制和控制系统,强化风险评估组织实施和应对策略
1.建立基层央行风险评估预警机制。基层央行应建立健全岗位风险防范评估预警机制。预警机制包括预警人员、预警机构、职责和权限,以及应急处置方案。预警人员由评估组织在各部门聘请(部门内有事后监督人员的可由其兼任),预警人员要求素质高、责任心强、业务精通,负责发现部门内岗位风险,并向预警机构发出预警信息。预警机构应下设在评估组织内,可由评估组织人员兼任组成,负责在收到预警信息、收到发生重大责任事故或案件信息、收到“关注”标准以下(含关注标准)岗位风险评估结果时,启动应急预案,并组织实施。当发生重大岗位风险时,应急处置方案要明确预警机构、预警人员各自的职责和义务,以及应采取的措施。评估组织在组织开展日常岗位风险评估的同时,还应对突发性的岗位和岗位风险评估结果不理想的评估对象进行关联风险评估。
2.建立基层央行风险预警控制系统。基层央行风险控制系统应涵盖风险管理基本流程和内部控制各环节,包括信息的采集、加工、分析预警、测试、传递、披露等。系统的主要功能是:对各种风险能够计量和定量分析、测试。运用风险矩阵实时反映重大风险涉及的各管理及业务流程的监控状态;利用数据抓包等技术,对重大风险业务适时监测报警。满足风险信息相关知识的管理和共享。该系统应由风险管理部门和各风险涉及的管理及业务流程部门共同集成,并根据实际需要不断进行改进、完善和更新。
3.强化基层央行风险评估处置措施和应对策略。一是根据评估结果及评估报告所反映的情况,针对被评估单位或部门岗位风险防范中存在问题的性质及严重程度,可分别采取以下一项或多项管理措施。包括:约见被评估单位或部门第一负责人谈话;就评估对象岗位风险防范中存在问题可能引发的风险,向被评估单位或部门进行书面提示和警告;要求被评估单位或部门对岗位风险防范中存在的问题限期整改;加大现场检查力度及频率;建议调整管理层;建议调离有关人员。二是根据评级结果,建议对评定为“基本正常”和“正常”的部门,给予不同档次的奖励,并作为职务、职称、工资晋升以及评先评优的条件之一。三是根据评级结果,建议对评定为“关注”的部门给予一定处罚,并取消年终评先资格。四是被评估部门评估结果在“重点关注”及“风控失效”的,在执行前款处罚的同时,对部门负责人降级使用。五是对岗位风险防范评估中发现的严重违反行政法规的行为,追究行政法律责任;触犯法律的,根据有关规定,移交司法部门处理。
参考文献:
[1]田力.以内控薄弱环节研究为突破口,全面加强基层人民银行内控机制建设,中央银行内部控制理论与实践[M].武汉:湖北人民出版社,2008.
关键词:如何学习;行政事业;内部控制;风险评估
中图分类号:F239 文献标识码:A 文章编号:1001-828X(2013)04-0-01
2012年11月29日,财政部以财会〔2012〕21号 印发《行政事业单位内部控制规范(试行)》。该《规范》分总则、风险评估和控制方法、单位层面内部控制、业务层面内部控制、评价与监督、附则6章65条,自2014年1月1日起施行。笔者结合自身的工作经验,对行政事业单位内部控制的风险评估进行解析。
一、风险评估的概念
风险评估,是指及时识别、科学分析影响企业内部控制目标实现的各种不确定因素,同时采取应对策略的过程。要对识别的风险进行分析,形成风险管理的依据。风险与可能被影响的目标相关联。既要对固有风险进行评估,也要对剩余风险进行评估,评估要考虑到风险的可能性和影响。
单位应当建立经济活动风险定期评估机制,对经济活动 存在的风险进行全面、系统和客观评估。经济活动风险评估至少每年进行一次;外部环境、经济活动或管理要求等发生重大变化的,应及时对经济活动风险进行重估。单位开展经济活动风险评估应当成立风险评估工作小组,单位领导担任组长。经济活动风险评估结果应当形成书面报告并及时提交单位领导班子,作为完善内部控制的依据。
二、风险评估的程序
风险评估由目标设定、风险识别、风险分析和风险应对构成。风险评估是内部控制的重要环节,在单位经营过程中,只有进行科学的风险评估,自觉地将风险控制在可承受范围之内,才能实现单位的可持续发展。所以说单位总是在应对各类风险和挑战的过程中去赢得生存和发展。风险并不可怕,而可怕的是没有风险意识,不知晓风险,不能准确地识别风险,不能采取有效的风险应对策略。如果忽视风险盲目发展,必然导致单位处于不利地位。不做事不发展看似没有风险,然而逆水行舟不进则退,不发展本身也是一种风险。风险评估贯穿于单位经营过程的始终,也贯穿于内部控制的始终。
(一)目标设定。单位应当根据设定的控制目标,全面地、系统地、持续地收集相关信息,结合实际情况,及时进行风险评估。这里所指的设定的控制目标主要是指总则中规定的内部控制五目标。如前所述,单位实现了内部控制的五个方面的目标,就能够实现可持续发展,就能够转变发展方式,所以风险评估首先要设定目标。单位目标设定之后,要根据既定目标有计划地全面、系统、持续地收集内外部相关信息。单位可以利用信息化手段,加大信息收集量,提高信息的准确性和及时性,以便单位结合实际情况,及时进行风险评估。
(二)风险识别。风险识别是在目标设定的基础上,密切关注内外部主要风险因素。单位内外部各种风险因素,单位至少应当关注的主要风险,这些风险是在单位内部控制实施过程中,通过日常或定期的评估程序与方法加以识别。这些风险因素具体化为各项应用指引中的主要风险。在单位经营过程中,应将各类风险进行分类整理,形成单位的风险清单。
(三)风险分析。风险分析是指在风险识别的基础上,采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。单位进行风险分析,应当充分吸收专业人员,组成风险分析团队,按照严格规范的程序开展工作,确保风险分析结果的准确性。
风险的定性分析,是指通过观察与分析,借助于经验和判断对风险进行分析的方法。定性分析一般不需要运用大量的统计资料,使用起来简单易行。该方法主要是通过问卷、面谈及研讨会等形式进行风险分析,依靠专业人员的经验和直觉,或者行业标准及惯例等,对风险相关要素的大小或高低程度进行定性分析。在不需要进行量化时,或者进行定量分析需要的数据无法取得,以及出于成本效益原则考虑采用定量分析方法不经济时,一般应采用定性分析。
风险的定量分析,是指运用一些数据分析模型,将有关风险及其影响予以量化,在此基础上判断风险重要性程度的方法,如敏感度分析法和盈亏平衡分析法等。定量分析需要对构成的各个要素和潜在损失程度赋予数据或货币金额,使风险分析的整个过程和结果均被量化。定量分析的方法通常能够提供更高的精确度,往往应用在复杂的经济活动分析中,是对定性分析方法的补充。
(四)风险应对。风险应对是指风险应对政策的选择。单位应当根据风险分析的结果,结合风险承受度,确定风险应对策略。
风险应对策略包括风险规避、风险降低、风险分担和风险承受。风险规避是单位对超出风险承受度的风险,通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。风险降低指的是单位在权衡成本效益之后,准备采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度之内的策略。风险分担是单位准备借助他人的力量,采取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内的策略。风险承受是单位对风险承受度之内的风险,在权衡成本效益之后,不准备采取控制措施降低风险或者减轻损失的策略。
单位应当综合运用这些风险应对策略,实现对风险的有效控制。
以目标设定为基础,单位在进行风险识别、风险分析之后,通过风险应对策略,排除了风险规避、风险分担和风险承受,凸显了风险降低,需要采取相应的措施,将风险控制在可承受范围之内。配套指引中的系列应用指引明确单位至少应当关注的风险点,并经过风险识别、分析之后,结合应对策略,重点对风险降低作出了规定,即系列应用指导提出的各项控制措施。
三、单位在进行风险评估时,由于所面对的层面不同,因而重点关注的方面也不相同
关键词: 科技评估 风险投资 风险管理
1 科技评估
1.1 科技评估的概念
2000年12月28日科技部颁发的《科技评估管理暂行办法》将科技评估定义为“是指由科技评估机构根据委托方明确的目的,遵循一定的原则、程序和标准,运用科学、可行的方法对科技政策、科技计划、科技项目、科技成果、科技发展领域、科技机构、科技人员以及与科技活动有关的行为所进行的专业化咨询和评判活动”。从更广泛的意义上来讲,科技评估是对与科学技术活动有关的行为,根据委托者的明确目的,由专门的机构和人员依据大量的客观事实和数据,按照专门的规范、程序,遵循适用的原则和标准,运用科学的方法所进行的专业化判断活动。其结果要归结为能够回答委托者特定目的评估结论和评估分析。
1.2 科技评估的范畴
科技评估的范畴主要是职能性评估和经营性评估两大方面,职能性评估是指对政府科技活动有关行为进行的客观的、科学的评价和判断,为政府有关部门发挥决策、监督职能提供服务。经营性评估是指对企业或其他社会组织与科技活动有关行为进行的客观的、科学的评价和判断,为他们对被评事物的决策、判断提供参考依据。在市场经济条件下,科技评估作为一种咨询活动,不应仅仅只为政府决策服务,还应深入到市场中的各类科技活动之中,接受非政府机构委托的评估任务,如企业投资项目的科技评估、风险投资机构投资的科技评估、企业产权交易中的科技评估等。
1.3 科技评估的分类
科技评估可从不同角度分类。从评估时间上,可分为事先评估、事中评估、事后评估和跟踪评估四类。事先评估是在某项科技活动实施前所进行的评估,主要包括实施该项活动必要性和可行性两方面内容。它常常带有预测的性质,但不同于一般的预测分析;事中评估是在科技活动实施过程中进行的监督性评估,着重检验是否按照预定的目标、计划执行,对前面工作的进展与预期效果进行比较,并对未来进行预估,以发现问题,调整或修正目标与策略;事后评估是科技活动完成后进行的评估。另外,从评估空间上,可分为国家评估和地方评估;从评估规模上,可分为宏观评估、中观评估和微观评估;从评估方法上分,可分为定性评估、定量评估及定性与定量相结合的评估;从评估形式上,可分为通信评估、会议评估、调查评估、专访评估和组合评估等。
1.4 科技评估的方法
评估方法有广义和狭义两种概念,广义概念包括评估准备、评估设计、信息获取、评估分析与综合、撰写评估报告等评估活动全过程的方法,狭义概念特指评估分析与综合的方法。
科技评估可选用的方法多种多样,关键是要依据不同对象,有针对性地选择评估方法。常用的分析评价方法有定性和定量结合的方法、多指标综合评价方法、指数法及经济分析法和基于计算机技术的评估方法等。
2 风险投资的风险管理
风险管理是通过对风险的识别、衡量和控制,以最少的成本将风险导致的各种不利后果减少到最低限度的科学管理方法。风险投资的风险管理的出发点和归宿,都是企图运用系统的、综合的现代科学管理方法,有效地扩大投资活动的有利因素,控制和抑制不利因素,达到以最小的成本,安全、可靠地实现风险投资利益的最大化。
2.1 风险识别
风险识别是风险管理的第一步,是指对企业面临的,以及潜在的风险加以判断、归类和鉴定风险性质的过程。存在于企业自身周围的风险多种多样、错综复杂,无论是潜在的,还是实际存在的,是静态的,还是动态的,是企业内部的,还是与企业相关联的外部的,所有这些风险在一定时期和某一特定条件下是否客观存在,存在的条件是什么,以及损害发生的可能性等,都是在风险识别阶段应予以回答的问题。在风险投资中,风险一般可以分为两类:系统风险和非系统风险。系统风险是由公司之外的各种因素引起的,如战争、经济衰退、通货膨胀、高利率等与政治、经济和社会相联系的风险,是不能通过多角化投资而分散的,因此又称作不可分散风险或市场风险。重要的系统风险有政治风险、法律法规风险和政策风险等。非系统风险也被称作可分散风险,它是由公司本身的商业活动和财务活动带来的,如企业的管理水平、研究与开发、消费者需求的改变、市场营销风险以及法律诉讼等,其可以通过多角化投资组合而分散,是公司特有的风险。重要的非系统风险有决策风险、财务风险、信用风险、完工风险和市场风险。作为风险投资者,其关心的往往只是项目的系统风险,因非系统风险完全可以通过合理的投资组合而得到分散。
2.2 风险衡量
风险衡量对已经识别的风险进行分析评估,以确定其损害程度的过程。风险衡量的方法分为定性风险评价方法和定量风险评价方法两大类,定性风险评价方法又可分为主观评价法和客观评价法,传统的主观评价法主要有观察法、资产负债表透视法和事件推测法等。现代的主观风险评价方法致力于将传统主观方法涉及到的因素综合在一起,并且设法将传统上的主观方法的定性分析特征转向定量分析上,由此而将主观分析扩展到能够同时完成综合评价风险因素与测量风险临界值的双重任务。现代客观风险评价法中,最具代表性的是“Z记分”方法。作为一种综合评价风险企业风险的方法,“Z记分”方法首先挑选出一组决定企业风险大小的最重要的财务和非财务的数据比率,然后根据这些比率在预先显示或预测风险企业经营失败方面的能力大小给予不同的加权,最后将这些加权数值进行加总,就得到一个风险企业的综合风险分数值,将其对比临界值就可知企业风险的危急程度。定量风险评价方法主要有风险图法、决策树法等。2.3 风险控制
风险控制是指在对风险进行全面的分析之后,实施各种风险控制工具,力图在风险发生之前消除各种隐患,减少损失产生的原因及实质性因素,将损失的后果减少到最低限度。实施风险控制的步骤是风险预测——风险决策——实施决策方案——方案的成果评价。风险控制的主要方法有风险规避、风险预防、风险分散、风险转嫁、风险补偿、风险抑制等。
3 科技评估与风险投资的风险管理
科技评估与风险管理既有联系也有区别,科技评估作为一种专业化判断活动,在介入风险投资的风险管理后,其任务便是对风险进行识别和衡量,其结果作为风险投资机构投资决策和制定风险控制实施方案的依据。可见,在风险投资的风险管理中,科技评估实质是风险的识别和衡量的过程,而风险管理还包括了风险控制的实施过程,这样科技评估就可以作为风险管理一个组成部分,实现两者的有机结合,促进共同发展。科技评估与风险投资的风险管理的关系如附图所示:
3.1 科技评估是提高风险投资管理效率的重要手段
科技评估经过近十年的发展,已有一整套较为完备的评估规范和技术方法,在评估设计、评估信息采集、综合分析、评估质量控制等方面的研究已较为成熟,同时,由于科技评估机构长期致力于国家和地方各类科技计划、科技项目、科研机构等方面的评估,对于科技产业、科技政策等方面的研究也是其他咨询机构无法比拟的。而我国风险投资业尚处于起步阶段,国家还未出台较为完备的有关风险投资事业的行政法规,风险投资机构的风险管理机制还很不健全,对风险管理人才培训的投入和重视程度还远远不够,因此,将科技评估运用到风险投资的风险管理中将能充分发挥其作用,提高管理效率。
3.2 科技评估方法是衡量风险投资风险的有效工具
定量和定性方法相结合是科技评估方法应用的基本思路,这与现代风险评价所采取的方法既有相近又有其独到之处,科技评估中最常用的方法是多指标综合评估方法,它是在对多个影响因素进行分析研究之后,设计一套相应的评估指标体系,并对每一个评估指标都制定具体的标准和统一的计算方法,使其能对金额、人数等可计量的指标进行定量评估,同时对社会影响等因素亦可做定性评估的描述。这与上面介绍的“Z记分”方法仅依靠可计量的数据作为评价基础相比较更为有效。采取科技评估方法衡量投资风险也更为准确、可信。
3.3 科技评估是推动风险投资管理创新的动力
引入评估机制,使风险投资机构的投资选择与投资决策相分离,使得风险投资管理更为透明化,也遏止了内部人员的“暗箱操作”等种种不良现象。通过独立的、专业化的评估中介组织的运作,将能使风险投资机构的管理层能更客观地认识到投资风险,从而可集中精力于投资决策,通过管理体制的创新,保证投资的科学性和安全性,也提高了投资成功率。
3.4 科技评估参与风险投资管理是其自身发展的需要
科技评估工作现阶段主要是为各级科技行政管理部门,主要是国家和省、市科技管理部门服务,而且大部分科技评估机构是由科技管理部门所属的有关单位,如软科学研究机构、科技咨询机构、科技情报机构等部门产生,但由科技管理部门所属的单位评估科技管理部门的科技项目、科技计划等等,在一定程度和一定范围内不可避免的受到科技管理部门的影响。因而,评估水平难以提高。因此,科技评估机构作为一种社会中介服务机构,和各类资产评估机构一样,应逐步社会化和多元化,如参与到风险投资管理的咨询工作中,只有社会化、多元化,才能充分引进竞争机制,优胜劣汰,提高评估水平,促进科技评估事业的发展。
关键词:信息系统;风险评估;熵权系数法
中图分类号:TP393.02文献标识码:A文章编号:1005-3824(2014)03-0018-04
0引言
信息安全主要来源于通信和信息系统,随着广域安全防御体系的应用,对通信与信息系统的要求进一步提高,其潜在威胁无论从事故后果还是波及面都在逐步扩大。因此,运营商的信息安全已成为影响通信系统稳定运行的关键问题。对于运营商通信系统的安全如何进行评估和测量,一直很难找到一个标准的方法来进行概括。而风险评估作为信息系统安全分析不可或缺的方法和评估手段,在研究通信系统中可以给予一定的借鉴。对于通信系统中可能引起风险的因素以及信息系统风险的评估方法进行了总结,并利用熵权系数法的模糊评判方法对信息系统的风险进行了评估。
1通信系统风险因素
信息安全技术是保障通信系统稳定运行的重要方面,因此,通信系统的风险问题必须引起足够的重视。为了满足信息通信网络的需求,需全面建设高速、宽带、自愈、坚强的信息通信网络,支持多业务的灵活接入。信息系统安全建设的关键因素:一是增强安全策略;二是提高网络的防御能力,也就是提升抗攻击能力。而信息系统的攻击来源主要有2个方面:(1)来源于网络内部的攻击模式,内部局域网用户在工作过程中,修改部分重要数据或者随意更换访问权限,进入不正当网站或者一些明令禁止的言论等严重威胁通信系统安全的方式,会给相应的运营商带来非常严重的经济损失;(2)通过外部网络进行攻击的模式,比如,病毒入侵,窃取研究成果,破坏通信设施以及更改重要数据从而造成危害。通过实践经验总结可知,造成通信系统存在风险的因素主要有以下几方面原因。如图1所示。
通信系统存在的风险是不容忽视的,有必要对通信系统的风险进行有效的评定,以便对通信网的安全进行合理的评估。信息系统风险评估的指导作用是不可忽视的,同时,所采用的评价方法对评估的有效性也十分重要。评估方法的选择可以影响到评估中的各个环节,因此,根据信息系统的具体情况,选择合适的信息系统风险评估方法是相当必要的。一般情况下,风险评估方法可分为以下3种。
1)定量评估方法:就是指运用数量指标来对风险进行评估的方法。经典的定量评估分析法有聚类分析法、回归模型、因子分析法和时序模型等。定量评估分析法的优点就是通过数据来量化风险的大小以及严重程度,从而提高了与运行机制和各项规范、制度等紧密结合的可操作性,而且看起来比较直观。定量风险分析法的采用,可以大大提高研究结果科学性、严密性及专业性。通过一个简单的数据来量化一个具体事件,这样看起来便是一目了然;避免了通过对风险因素简单化、模糊化而带来的错识破判定。
2)定性评估方法:主要是依据一些非量化的信息对系统风险状态作出判断的一个过程,主要有前期的知识、经验教训总结、国家政策变动和特殊案例等。应用最广泛的风险分析方法是通过与被调查对象的深入了解所得到的个人基本资料,然后通过一个推导演绎算法对资料进行整理、编辑,并在此基础上做出对应的调查结论。这种方法忽略了事件所引起的概率,仅仅关注威胁事件所带来的损失。大部分定性风险分析方法是通过所面临的威胁、弱点以及所能控制的措施等组成部分来决定安全风险的等级。在定性评估的过程中,只是指定期望值,而不使用具体的数据,设定每种风险的概率值和影响值为“低”、“中”、“高”。典型的定性分析方法有因素分析法、逻辑分析法和德尔斐法。定性评估方法避免了定量方法的缺点,可以挖掘出一些蕴藏很深的思想,使评估的结论更全面、更深刻,但它的主观性很强,对评估者本身的要求很高。
3) 定性与定量相结合的综合评估方法:信息系统的风险评估不是一个简单的过程,需要考虑诸多因素,有些因素可以用量化的形式来表达,而有些因素的量化比较困难甚至不可能,因此,在风险评估过程中一味的追求量化是不可取的,而那种认为一切都是量化的风险评估过程也不是科学可靠的。定量分析是定性分析的前提和基础,定性分析只有以定量分析数据为基础才可以揭示客观事物内在发生的规律。定性分析是核心,是形成观点、概念,做出判断,最终得出结论所应该依靠的。综合评估法是将定量分析法和定性分析法这2种方法合理地结合在一起,做到彼此之间的优势互补,相辅相成,从而使评估结果更加客观、公正。在以后的评估过程中对结构化很强的问题,可以采取定量分析法;对于非结构化的问题,应采用定性分析法;对于兼有结构化特点和非结构化特点的问题,采用定性与定量相结合的评估方法。
3通信系统的风险评估模型
风险与风险事件发生概率和风险事件所带来的影响有关,因此,我们可以用风险度来评估通信系统风险的大小。风险度就是风险发生的概率P和风险事件所产生影响C的函数。对于风险事件发生的概率和所带来的影响的估计有一定的模糊性,在模糊综合评判法中,如果对每个风险事件的权值利用熵权系数法获得,这样就可以克服专家直接赋值的主观性。从而,使通信系统的风险评估更加科学和可靠。
3.1风险度的概念
文中提到风险不仅是风险事件发生概率P的函数,也是风险事件所产生影响C的函数。P,C的域值为[0,1]的区间,用下标f表示风险事件没有发生,用下标S表示风险事件发生。显然有Pf=1-Ps,Cf=1-Cs,那么风险度R就是系统中风险事件发生和风险事件后果的似然估计。
5总结
风险评估作为信息系统安全评价的一种有效方法,也是未来对通信信息系统存在的潜在风险进行评价的重要方法。文中对3种常见的风险评价方法进行了的总结和比较。并对通信系统中利用模糊风险评估其风险事件进行了评估,并对熵权系数法的评价方法进行阐述,从而可知利用熵权系数法进行评价这样可以得到更加公正客观的结果。参考文献:
[1]韩祯祥,曹一家.电力系统的安全性及防治措施[J].电网技术,2004,28(9):114.
[2]胡炎,谢小荣,韩英铎,等.电力信息系统安全体系设计方法综述[J].电网技术,2005,29(1):3539.
[3]冯登国,张阳,张玉清.信息安全风险评估综述[J].通信学报,2004,25(7):1018.
关键词:网络审计 历史财务报表审计 信息安全管理 风险评估
一、引言
从审计的角度,风险评估是现代风险导向审计的核心理念。无论是在历史财务报表审计还是在网络审计中,现代风险导向审计均要求审计师在执行审计工作过程中应以风险评估为中心,通过对被审计单位及其环境的了解,评估确定被审计单位的高风险领域,从而确定审计的范围和重点,进一步决定如何收集、收集多少和收集何种性质的证据,以便更有效地控制和提高审计效果及审计效率。从企业管理的角度,企业风险管理将风险评估作为其基本的要素之一进行规范,要求企业在识别和评估风险可能对企业产生影响的基础上,采取积极的措施来控制风险,降低风险为企业带来损失的概率或缩小损失程度来达到控制目的。信息安全风险评估作为企业风险管理的一部分,是企业信息安全管理的基础和关键环节。尽管如此,风险评估在网络审计、历史财务报表审计和企业信息安全管理等工作中的运用却不尽相同,本文在分析计算机信息系统环境下所有特定风险和网络审计风险基本要素的基础上,从风险评估中应关注的风险范围、风险评估的目的、内容、程序及实施流程等内容展开,将网络审计与历史财务报表审计和信息安全管理的风险评估进行对比分析,以期深化对网络审计风险评估的理解。
二、网络审计与历史财务报表审计的风险评估比较
(一)审计风险要素根据美国注册会计师协会的第47号审计标准说明中的审计风险模型,审计风险又由固有风险、控制风险和检查风险构成。其中,固有风险是指不考虑被审计单位相关的内部控制政策或程序的情况下,其财务报表某项认定产生重大错报的可能性;控制风险是被审计单位内部控制未能及时防止或发现财务报表上某项错报或漏报的可能性;检查风险是审计人员通过预定的审计程序未能发现被审计单位财务报表上存在重大错报或漏报的可能性。在网络审计中,审计风险仍然包括固有风险、控制风险和检查风险要素,但其具体内容直接受计算机网络环境下信息系统特定风险的影响。计算机及网络技术的应用能提高企业经营活动的效率,为企业的经营管理带来很大的优越性,但同时也为企业带来了一些新的风险。这些新的风险主要表现为:(1)数据与职责过于集中化。由于手工系统中的职责分工、互相牵制等控制措施都被归并到计算机系统自动处理过程中去了,这些集中的数据库技术无疑会增加数据纵和破坏的风险。(2)系统程序易于被非法调用甚至遭到篡改。由于计算机系统有较高的技术要求,非专业人员难以察觉计算机舞弊的线索,这加大了数据被非法使用的可能性。如经过批准的系统使用人员滥用系统,或者说,企业对接近信息缺乏控制使得重要的数据或程序被盗窃等。(3)错误程序的风险,例如程序中的差错反复和差错级联、数据处理不合逻辑、甚至是程序本身存在错误等。(4)信息系统缺乏应用的审计接口,使得审计人员在审计工作中难以有效地采集或获取企业信息系统中的数据,从而无法正常开展审计工作。(5)网络系统在技术和商业上的风险,如计算机信息系统所依赖的硬件设备可能出现一些不可预料的故障,或者信息系统所依赖的物理工作环境可能对整个信息系统的运行效能带来影响等。相对应地,网络审计的固有风险主要是指系统环境风险,即财务电算化系统本身所处的环境引起的风险,它可分为硬件环境风险和软件环境风险。控制风险包括系统控制风险和财务数据风险,其中,系统控制风险是指会计电算化系统的内部控制不严密造成的风险,财务数据风险是指电磁性财务数据被篡改的可能性。检查风险包括审计软件风险和人员操作风险,审计软件风险是指计算机审计软件本身缺陷原因造成的风险,人员操作风险是指计算机审计系统的操作人员、技术人员和开发人员等在工作中由于主观或客观原因造成的风险。
(二)风险评估目的无论在网络审计还是历史财务报表审计中,风险评估只是审计的一项重要程序,贯穿于审计的整个过程。与其他审计程序紧密联系而不是一项独立的活动。尽管如此,两者所关注的风险范围则有所不同。历史财务报表审计的风险评估要求审计人员主要关注的是被审计单位的重大错报风险――财务报表在审计前存在重大错报的可能性。由于网络审计的审计对象包括被审计单位基于网络的财务信息和网络财务信息系统两类,因此审计人员关注的风险应是被审计单位经营过程中与该两类审计对象相关的风险。(1)对于与企业网络财务信息系统相关的风险,审计人员应该从信息系统生命周期的各个阶段和信息系统的各组成部分及运行环境两方面出发进行评估。信息系统生命周期是指该信息系统从产生到完成乃至进入维护的各个阶段及其活动,无论是在早期的线性开发模型中还是在更为复杂的螺旋式等模型中,一个信息系统的生命周期大都包括规划和启动、设计开发或采购、集成实现、运行和维护、废弃等五个基本阶段。由于信息系统在不同阶段的活动内容不同,企业在不同阶段的控制目标和控制行为也会有所不同,因此,审计人员的风险评估应该贯穿于信息系统的整个生命周期。信息系统的组成部分是指构成该信息系统的硬件、软件及数据等,信息系统的运行环境是指信息系统正常运行使用所依托的物理和管理平台。具体可将其分为五个层面:物理层,即信息系统运行所必备的机房、设备、办公场所、系统线路及相关环境;网络层,即信息系统所需的网络架构的安全情况、网络设备的漏洞情况、网络设备配置的缺陷情况等;系统层,即信息系统本身的漏洞情况、配置的缺陷情况;应用层,即信息系统所使用的应用软件的漏洞情况、安全功能缺陷情况;管理层,即被审计单位在该信息系统的运行使用过程中的组织、策略、技术管理等方面的情况。(2)对于与企业基于网络的财务信息相关的风险,审计人员应着重关注财务信息的重大错报风险和信息的安全风险。重大错报风险主要指被审计单位基于网络的相关财务信息存在重大错报的可能性,它是针对企业借助于网络信息系统或网络技术对有关账户、交易或事项进行确认、计量或披露而言。网络审计中关注的重大错报风险与传统审CtT的内涵基本上是一致的,审计人员在审计时应当考虑被审计单位的行业状况、经营性质、法律及监管环境、会计政策和会计方法的选用、财务业绩的衡量和评价等方面的情况对财务信息错报可能的影响。信息安全风险涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的风险,主要针对企业利用信息系统或一定的网络平台来存储、传输、披露相关财务信息而言。在审计过程中,审eta员应当主要关注相关财务信息被盗用、非法攻击或篡改及非法使用的可能性。当然,这两类风险并非完全分离的,评估时审计人员应将两者结合起来考虑。
(三)风险评估内容 广泛意义的风险评估是指考虑潜在事件对目标实现的影响程度。由于网络审计与历史财务报表审计风险评估的目的并不完全相同,因此两者在风险评估的内容上也是存在区别的。总的来说,网络审计的风险评估内容比历史财务报表审计的风险评估内容更广泛和深入。根据《中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风
险》,在历史财务报表审计中,审计人员的风险评估应以了解被审计单位及其环境为内容。为识别和评价重大错报风险,审计人员了解的具体内容包括被审计单位所在行业状况、法律环境与监管环境以及其他外部因素、被审计单位的性质、被审计单位对会计政策的选择和运用、被审计单位的目标、战略以及相关经营风险、被审计单位财务业绩的衡量和评价及被审it@位的内部控制等。在网络审计中。为了识别和评估上文所述的两类风险,审计人员除了从以上方面了解被审计单位及其环境外,还应该关注其他相关的潜在事件及其影响,尤其是企业的财务信息系统及基于网络的财务信息可能面l临的威胁或存在的脆弱点。其中,威胁是指对信息系统及财务信息构成潜在破坏的可能性因素或者事件,它可能是一些如工作人员缺乏责任心、专业技能不足或恶意篡改等人为因素,也可能是一些如灰尘、火灾或通讯线路故障等环境因素。脆弱点是指信息系统及基于网络的财务信息所存在的薄弱环节,它是系统或网络财务信息本身固有的,包括物理环境、组织、过程、人员、管理、配置、硬软件及信息等各方面的弱点。一般来说,脆弱点本身不会带来损失或信息错报,威胁却总是要利用网络、系统的弱点来成功地引起破坏。因此,我们认为网络审计申风险评估的内容应包括以下几方面:(1)识别被审计单位财务信息系统及其基于网络的财务信息可能面临的威胁,并分析威胁发生的可能性;(2)识别被审计单位财务信息系统及其基于网络的财务信息可能存在的脆弱点,并分析脆弱点的严重程度;(3)根据威胁发生的可能性和脆弱点发生的严重程度,判断风险发生的可能性;(4)根据风险发生的可能性,评价风险对财务信息系统和基于网络的财务信息可能带来的影响;(5)若被审计单位存在风险防范或化解措施,审计人员在进行风险评估时还应该考虑相应措施的可行性及有效性。
(四)风险评估程序《中国注册会计师审计准则第1211-----了解被审计单位及其环境并评估重大错报风险》中要求,审计人员应当实施询问、分析程序、观察和检查等程序,以获取被审计单位的信息,进而评估被审计单位的重大错报风险。这些程序同样适用于网络审计中的风险评估。但在具体运用时网络审计中更加注重了解和分析被审计单位与信息系统及网络技术使用相关的事项。在实施询问程序时,审计人员的询问对象围绕信息系统和基于网络的财务信息可大致分为管理人员、系统开发和维护人员(或信息编制人员)、系统使用人员(或信息的内部使用人员)、系统或网络技术顾问及其他外部相关人员(如律师)等五类,分别从不同角度了解信息系统和基于网络的财务信息可能存在的威胁和脆弱点。在实施分析程序时,除了研究财务数据及与财务信息相关的非财务数据可能的异常趋势外,审计人员应格外关注对信息系统及网络的特性情况,被审计单位对信息系统的使用情况等内容的分析比较。实施观察和检查时,除执行常规程序外,审计人员应注意观察信息系统的操作使用和检查信息系统文档。除此之外,针对特定系统或网络技术风险的评估,审计人员还需要实施一些特定的程序。技术方面如IOS取样分析、渗透测试、工具扫描、安全策略分析等;管理方面如风险问卷调查、风险顾问访谈、风险策略分析、文档审核等。其中,IDS取样分析是指通过在核心网络采样监听通信数据方式,获取网络中存在的攻击和蠕虫行为,并对通信流量进行分析;渗透测试是指在获取用户授权后,通过真实模拟黑客使用的工具、方法来进行实际漏洞发现和利用的安全测试方法;工具扫描是指通过评估工具软件或专用安全评估系统自动获取评估对象的脆弱性信息,包括主机扫描、网络扫描、数据库扫描等,用于分析系统、应用、网络设备存在的常见漏洞。风险问卷调查与风险顾问访谈要求审计人员分别采用问卷和面谈的方式向有关主体了解被审计单位的风险状况,使用时关键是要明确问卷或访谈的对象情况风险策略分析要求审计人员对企业所设定的风险管理和应对策略的有效性进行分析,进而评价企业相关风险发生的概率以及可能带来的损失;文档审核是一种事前评价方法,属于前置软件测试的一部分,主要包括需求文档测试和设计文档测试。这些特定程序主要是针对被审计单位信息系统和基于网络的财务信息在网络安全风险方面进行评价,审计人员在具体使用时应结合被审计单位的业务性质选择合适的程序。
三、网络审计与信息安全管理的风险评估比较
(一)风险评估的目的信息安全管理中的风险评估(即信息安全风险评估)是指根据国家有关信息安全技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程。作为信息安全保障体系建立过程中的重要的评价方法和决策机制,信息安全风险评估是企业管理的组成部分,它具有规划、组织、协调和控制等管理的基本特征,其主要目的在于从企业内部风险管理的角度,在系统分析和评估风险发生的可能性及带来的损失的基础上,提出有针对性的防护和整改措施,将企业面临或遭遇的风险控制在可接受水平,最大限度地保证组织的信息安全。而网络审计是由独立审计人员向企业提供的一项鉴证服务,其风险评估的目的在于识别和评价潜在事件对被审计单位基于网络的财务信息的合法性、公允性以及网络财务信息系统的合规性、可靠性和有效性的影响程度,从而指导进一步审计程序。因此,两者风险评估的目的是不一样。从评估所应关注的风险范围来看,两者具有一致性,即都需要考虑与信息系统和信息相关的风险。但是,具体的关注边界则是不一样的。信息安全风险评估要评估企业资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响,它要求评估人员关注与企业整个信息系统和所有的信息相关的风险,包括实体安全风险、数据安全风险、软件安全风险、运行安全风险等。网络审计中,审计人员是对被审计单位的网络财务信息系统和基于网络的财务信息发表意见,因此,风险评估时审计人员主要关注的是与企业财务信息系统和基于网络的财务信息相关的风险,而不是与企业的整个信息系统和所有的信息相关的风险。根据评估实施者的不同,信息安全风险评估形式包括自评估和他评估。自评估是由组织自身对所拥有的信息系统进行的风险评估活动;他评估通常是由组织的上级主管机关或业务主管机关发起的,旨在依据已经颁布的法规或标准进行的具有强制意味的检查。自评估和他评估都可以通过风险评估服务机构进行咨询、服务、培训以及风险评估有关工具的提供。因此。对审计人员而言,受托执行的信息安全风险评估应当归属于管理咨询类,即属于非鉴证业务,与网络审计严格区分开来。
(二)风险评估的内容在我国国家质量监督检验检疫总局的《信息安全风险评估指南》(征求意见稿)国家标准中,它将信息安全风险评估的内容分为两部分:基本要素和相关属性,提出信息安全风险评估应围绕其基本要素展开,并充分考虑与这些基本要素相关的其他属性。其中,风险评估的基本要素包括资产、脆弱性、威胁、风险和安全措施;相关属性包括业务战略、资产价值、安全需求、安全事件、残余风险等。在此基础上的风险计算过程是:(1)对信息资产进行识别,并对资产赋值;(2)对威胁进行分析,并对威
胁发生的可能性赋值;(3)识别信息资产的脆弱性,并对弱点的严重程度赋值;(4)根据威胁和脆弱性计算安全事件发生的可能性;(5)根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失;(6)根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即风险值。结合上文网络审计风险评估五个方面的内容可以看出,网络审计和信息安全风险评估在内容上有相近之处,即都需要针对信息系统和信息可能面临的威胁和存在的脆弱点进行识别。但是,信息安全管理作为企业的一项内部管理,其风险评估工作需要从两个层次展开:一是评估风险发生的可能性及其影响;二是提出防护或整改措施以控制风险。第一个层次的工作实质上是为第二层次工作服务的,其重点在第二层次。《信息安全风险评估指南》(征求意见稿)提出,企业在确定出风险水平后,应对不可接受的风险选择适当的处理方式及控制措施,并形成风险处理计划。其中,风险处理的方式包括回避风险、降低风险、转移风险、接受风险,而控制措施的选择应兼顾管理和技术,考虑企业发展战略、企业文化、人员素质,并特别关注成本与风险的平衡。网络审计的风险评估工作主要集中在第一个层次,即审计人员通过风险评估,为进一步审计中做出合理的职业判断、有效地实施网络审计程序和实现网络审计目标提供重要基础。因此,两者的评估内容是存在区别的。
购物车(0)