序論：好文章的創(chuàng)作是一個不斷探索和完善的過程，我們?yōu)槟扑]十篇風險識別與風險評估的區(qū)別范例，希望它們能助您一臂之力，提升您的閱讀品質(zhì)，帶來更深刻的閱讀感受。

篇（1）

內(nèi)部審計作為重要的管理工具，一直是企業(yè)內(nèi)部監(jiān)督的重要組成部分。隨著經(jīng)濟全球化和市場競爭多元化的不斷深入，企業(yè)所面臨的風險日趨復(fù)雜。尤其是對于大型企業(yè)集團而言，風險規(guī)模已經(jīng)遠遠超出管理層能夠直接管控的范圍。為此，企業(yè)開始日益重視風險管理工作，積極建立內(nèi)部控制體系，提高企業(yè)風險管控能力。在此趨勢下，風險導(dǎo)向內(nèi)部審計應(yīng)運而生，并較好的適應(yīng)了管理層的風險管理需要。

一、風險導(dǎo)向內(nèi)部審計的概念與基本特點

按照國際內(nèi)部審計師協(xié)會（IIA）對內(nèi)部審計的定義，內(nèi)部審計是“一種獨立、客觀的保證和咨詢活動，其目的是在于為組織增加價值并提高組織的運作效率。它采取系統(tǒng)化和規(guī)范化的方法來對風險管理、控制和治理程序進行評估和改善，從而幫助組織實現(xiàn)目標”。根據(jù)這一定義，推行風險導(dǎo)向內(nèi)部審計就是要以對組織風險的評估與改善作為基本目標，以內(nèi)部控制為審計基礎(chǔ)，以公司治理為參與風險管理的前提。風險導(dǎo)向內(nèi)部審計作為內(nèi)部審計發(fā)展的一個階段，其本身具有區(qū)別于傳統(tǒng)內(nèi)部審計和注冊會計師外部審計的特點。筆者認為這些特點主要體現(xiàn)在如下方面：首先，風險導(dǎo)向內(nèi)部審計將風險評估和改善作為首要目標，并據(jù)此延伸其職能。具體來說，其職能主要有三個方面，一是利用其在內(nèi)部管理方面的專家地位和信息優(yōu)勢，根據(jù)企業(yè)目標評估、分析和管理風險，并將審計結(jié)果和管理建議向管理層報告。二是幫助管理層在制定重大決策事項時進行風險評估。三是為市場、采購、技術(shù)等其他專業(yè)領(lǐng)域的風險管理部門提供咨詢?？傊?，風險導(dǎo)向內(nèi)部審計不再是消極的查錯防弊，而應(yīng)以組織的整體風險評估作為首要工作。其次，風險導(dǎo)向內(nèi)部審計在方法上更加注重風險評估、缺陷評估和管理建議。區(qū)別于傳統(tǒng)內(nèi)部審計，風險導(dǎo)向內(nèi)部審計始終把風險管理作為審計工作的出發(fā)點和落腳點，強化審計工作的事前風險評估和事后缺陷評估環(huán)節(jié)，并基于這些評估得到審計結(jié)論和給出風險管理建議。第三，風險導(dǎo)向內(nèi)部審計以內(nèi)部控制為基礎(chǔ)。從理論上說，內(nèi)部審計是內(nèi)部控制的監(jiān)督環(huán)節(jié)，是對其他內(nèi)部控制環(huán)節(jié)的再控制。內(nèi)部審計無論從事是對風險的評估和改善，還是參與風險管理和治理程序，都需要依托對企業(yè)內(nèi)部控制狀況的了解。第四，采用風險導(dǎo)向使內(nèi)部審計工作融入企業(yè)全面風險管理體系。不同于外部審計師所實施的內(nèi)部控制審計，內(nèi)部審計是為了保證企業(yè)經(jīng)營目標的實現(xiàn)、保護資產(chǎn)安全、防止舞弊的發(fā)生而進行的全方位的內(nèi)部控制評價。也就是說，內(nèi)部審計、內(nèi)部控制以及管理層的風險治理活動都是以企業(yè)風險管理為目標。內(nèi)部審計通過采用風險導(dǎo)向而參與到企業(yè)全面風險管理中，成為整個風險管理體系的有機組成部分。

二、在內(nèi)部審計中采用風險導(dǎo)向的必要性與實踐意義

當前，內(nèi)部審計需要應(yīng)對的風險越來越復(fù)雜，對審計的要求也不斷提高。內(nèi)部審計需要更為全面、及時、準確的反映企業(yè)存在的風險，并提出有針對性的管理建議。傳統(tǒng)內(nèi)部審計雖然也針對企業(yè)風險進行監(jiān)督，但從根本上說仍然缺乏完整有效的風險識別和評估體系，審計工作高度依賴審計人員水平，其風險覆蓋的全面性、重要環(huán)節(jié)的審計充分性、以及審計質(zhì)量的穩(wěn)定性均難以保證。這不但無法滿足企業(yè)風險管理需求，而且難以體現(xiàn)內(nèi)部審計的管理價值，不利于內(nèi)部審計的長期發(fā)展。因此，在審計實踐中采用風險導(dǎo)向是內(nèi)部審計發(fā)展的必然選擇。

1、風險導(dǎo)向內(nèi)部審計以風險評估和改善為目標，可以更為系統(tǒng)的覆蓋企業(yè)重要風險，保證內(nèi)部審計的完整性傳統(tǒng)內(nèi)部審計對于內(nèi)部控制的關(guān)注一般集中在已有流程和已識別的運營風險，而缺乏對風險識別全面性和風險變動的評估。但對個體企業(yè)而言，無論是外部環(huán)境、業(yè)務(wù)特點，還是內(nèi)部管理和治理結(jié)構(gòu)都十分復(fù)雜，且始終處在不斷變化的過程中。COSO委員會在2004年頒布的《企業(yè)風險管理——整體框架》（ERM）中將企業(yè)全面風險要素概括為八個大類，而阿瑟.安德森公司的商務(wù)風險模型（BRM）則將企業(yè)風險概括為三大類75種，足見其范圍之廣。在此情況下，傳統(tǒng)內(nèi)部審計很難保證審計結(jié)果和管理建議不存在重大遺漏、誤判或者與企業(yè)實際狀況脫節(jié)的風險。而風險導(dǎo)向內(nèi)部審計通過有效的風險識別和風險評估，可以及時、全面的掌握這些情況，幫助內(nèi)部審計部門形成對被審企業(yè)的完整認識。

2、風險導(dǎo)向內(nèi)部審計對風險和缺陷的評估，能夠更為科學(xué)的確定審計事項的重要性水平，有助于合理調(diào)配審計資源，深入進行研究分析，保證內(nèi)部審計的充分性在目前的內(nèi)部審計實踐中，一個較為突出的問題是在標準化的審計程序上耗費大量審計資源，而缺乏對重要問題的深入研究和系統(tǒng)性分析。具體來說，一方面，審計過于追求程序的標準化，審計意見包含大量詳細的操作細節(jié)問題，但沒有區(qū)分重要性水平。特別是對于風險較小的環(huán)節(jié)給予過多關(guān)注，造成控制冗余，不但影響審計效率，也可能對后續(xù)審計產(chǎn)生誤導(dǎo)。另一方面，對于重要缺陷不能給出系統(tǒng)評估和全面的解決方案，例如評估缺陷在多大程度上增加了企業(yè)運營風險，缺陷產(chǎn)生的系統(tǒng)性原因和個體原因，以及如何進行整改和需要投入的管理資源是否符合成本效益原則。而風險導(dǎo)向內(nèi)部審計重視事前的風險評估，可以有效解決審計側(cè)重點問題，合理調(diào)配審計資源?？梢越Y(jié)合企業(yè)目標，有針對性的深入研究重要風險，評估缺陷程度。同時，還可以減少在次要風險上的審計資源投入，在總體資源有限的情況下發(fā)揮最大的審計效果。

三、實施風險導(dǎo)向內(nèi)部審計的實現(xiàn)途徑與展望

風險導(dǎo)向內(nèi)部審計從根本上改變了傳統(tǒng)審計的指導(dǎo)思想和工作模式，對內(nèi)審部門提出了很大的挑戰(zhàn)，其在實踐中的應(yīng)用還存在很大障礙。筆者認為，要想實施風險導(dǎo)向內(nèi)部審計，至少需要在如下幾個實現(xiàn)轉(zhuǎn)變。

1、內(nèi)部審計部門職能的轉(zhuǎn)變：由消極的查錯防弊向主動的風險管理轉(zhuǎn)變在所有阻礙風險導(dǎo)向?qū)徲媽嵤┑膯栴}中，最根本的是內(nèi)審部門自身定位的轉(zhuǎn)變。風險導(dǎo)向內(nèi)部審計要求內(nèi)審部門的定位要從消極的查錯防弊變?yōu)橹鲃拥娘L險管理，在風險評估、內(nèi)部控制乃至公司治理中發(fā)揮專業(yè)作用。這使內(nèi)審工作從監(jiān)督指導(dǎo)職能延伸到風險評估、缺陷分析和管理咨詢，幾乎顛覆了內(nèi)審部門的舊有工作范圍，無疑是對內(nèi)審部門從軟件到硬件的全面挑戰(zhàn)。盡管如此，這些轉(zhuǎn)變又是不可回避的，因為能否轉(zhuǎn)變思路并主動適應(yīng)新的角色，是內(nèi)部審計能否提升自身價值的關(guān)鍵所在，也是企業(yè)風險管理提升不可或缺的重要途徑。

2、審計方法的轉(zhuǎn)變：建立完善風險評估機制風險評估和改善作為內(nèi)部審計的首要目標，在實踐中也是能否真正實施風險導(dǎo)向內(nèi)部審計的關(guān)鍵問題。因為企業(yè)的風險千差萬別，風險評估也非常復(fù)雜繁瑣，但作為整個審計體系的基石，所有后續(xù)審計工作均需要以風險評估為基礎(chǔ)。筆者認為，企業(yè)應(yīng)通過建立成熟的風險識別模型和風險評估程序，通過流程化、標準化以節(jié)約審計資源。具體來說，一方面內(nèi)審部門應(yīng)結(jié)合COSO企業(yè)風險管理框架（ERM）、企業(yè)風險模型（BRM）以及其他風險分析工具，建立一套適合本企業(yè)特點的風險識別模型。然后根據(jù)企業(yè)目標，在模型框架內(nèi)識別具有重大影響的風險項目，建立企業(yè)風險數(shù)據(jù)庫。另一方面，在內(nèi)部審計中應(yīng)建立風險評估報告制度，強制要求內(nèi)審人員全面了解被審單位的風險狀況，以保證所有后續(xù)審計工作按風險導(dǎo)向執(zhí)行，最終幫助評價審計結(jié)果對企業(yè)整體風險的影響。

3、風險管理架構(gòu)的轉(zhuǎn)變：整合內(nèi)部控制資源，實施風險的全過程管理無論是內(nèi)部審計還是內(nèi)部控制和企業(yè)風險管理部門，乃至于各專業(yè)部門的風險管理人員，其根本任務(wù)歸根結(jié)底就是對風險進行管理。而受制于管理范圍和資源限制，內(nèi)部審計部門必須與其他風險管理部門共同開展風險管理工作。具體來說，一是需要加強部門協(xié)調(diào)，與相關(guān)部門共享風險數(shù)據(jù)庫，并在共同的風險識別框架下對風險形成共同認識，對控制措施和審計缺陷評估實施共同標準。二是對風險進行全過程管理。根據(jù)風險管理過程理論，風險管理是風險識別、風險度量和風險監(jiān)控三個環(huán)節(jié)構(gòu)成的循環(huán)，內(nèi)部審計對于風險的管理也必然是一個動態(tài)的過程，需要整合相關(guān)資源對風險全流程進行管理，及時進行重新評估和應(yīng)對。目前，外部審計機構(gòu)正在大力開展管理咨詢業(yè)務(wù)，憑借其專業(yè)優(yōu)勢和成本優(yōu)勢，越來越多的重復(fù)性內(nèi)部審計工作已呈現(xiàn)外包化趨勢。內(nèi)部審計如果仍在“查錯防弊”階段止步不前，將越來越難以為企業(yè)創(chuàng)造價值。因此，只有積極參與企業(yè)內(nèi)部風險管理，并在此基礎(chǔ)上與其他風險管理部門密切配合，形成強有力的風險管理體系，才能有效為企業(yè)保駕護航，這或許是內(nèi)部審計的長遠發(fā)展方向。

作者:姜傳志 胡增會 單位:青島中油巖土工程有限公司

參考文獻:

[1]曹偉,桂友泉.2002:內(nèi)部審計與內(nèi)部控制[J].審計研究(1),P27-30.

篇（2）

傳統(tǒng)風險導(dǎo)向?qū)徲嬕卜Q為控制風險導(dǎo)向?qū)徲嫞侵笇徲嬋藛T在審計過程中將風險分析、評價與控制融入傳統(tǒng)審計方法之中，進而獲取審計證據(jù)，形成審計結(jié)論的一種審計取證模式。

模型（審計風險=固有風險×控制風險×檢查風險）可以解決交易類別、賬戶余額、披露和其他具體認定層次的錯報，發(fā)現(xiàn)經(jīng)濟交易和事項本身的性質(zhì)和復(fù)雜程度發(fā)生的錯報，發(fā)現(xiàn)企業(yè)管理當局由于本身的認知和技術(shù)水平造成的錯報，以及企業(yè)管理當局局部和個別人員舞弊和造假造成的錯報，從而將審計風險控制在比較滿意的水平。

二、現(xiàn)代風險導(dǎo)向?qū)徲嬆Ｐ?/p>

風險導(dǎo)向?qū)徲嬕卜Q為經(jīng)營風險導(dǎo)向?qū)徲?，是指以被審計單位的?zhàn)略經(jīng)營風險為導(dǎo)向，通過“戰(zhàn)略分析――流程分析――經(jīng)營業(yè)績評價――財務(wù)報表剩余風險分析”的基本思路，將會計報表重大錯報風險和經(jīng)營風險聯(lián)系起來，從而提出了審計師從源頭分析和發(fā)現(xiàn)會計報表錯報的觀念。

2003年10月國際審計和保證準則委員會（IAASB）了國際審計準則第315號（ISA315）： “了解被審計單位及其環(huán)境并評估重大錯報風險”，將傳統(tǒng)風險導(dǎo)向?qū)徲嬒碌膶徲嬶L險模型修改為：審計風險＝重大錯報風險×檢查風險，明確規(guī)定了審計工作以評估財務(wù)報表重大錯報風險作為新的起點和導(dǎo)向。

三、兩個模型的比較

傳統(tǒng)風險導(dǎo)向?qū)徲嬆Ｊ脚c現(xiàn)代風險導(dǎo)向?qū)徲嬆Ｊ降谋举|(zhì)區(qū)別在于審計理念和審計技術(shù)方法的不同，后者是對前者的改進，其主要區(qū)別如下：

（一）審計起點不同。傳統(tǒng)風險導(dǎo)向?qū)徲嫹椒ㄍㄟ^綜合評估固有風險和控制風險以確定實質(zhì)性測試的范圍、時間和程序，由于固有風險難以評估，審計的起點往往為企業(yè)的內(nèi)部控制。

現(xiàn)代風險導(dǎo)向?qū)徲嫹椒ㄍㄟ^綜合評估經(jīng)營控制風險以確定實質(zhì)性測試的范圍、時間和程序，其審計起點為企業(yè)的戰(zhàn)略系統(tǒng)及其業(yè)務(wù)流程。假如企業(yè)的業(yè)務(wù)流程不重要或風險控制很有效，則將實質(zhì)性測試集中在例外事項上。這種新模式的優(yōu)點是將審計的重心前移到風險評估，這將有利于充分識別和評估會計報表重大錯報的風險，因此主要針對風險設(shè)計、實施控制測試和實質(zhì)性測試程序。此外，注冊會計師輕易全面把握企業(yè)可能存在的重大風險，有利于節(jié)省審計成本，克服因缺乏全面性觀點而導(dǎo)致的審計風險。

（二）風險評估識別以分析性復(fù)核程序為中心。現(xiàn)代風險導(dǎo)向?qū)徲嬜⒅剡\用分析性復(fù)核程序，以識別可能存在的重大錯報風險；而傳統(tǒng)風險導(dǎo)向?qū)徲媽τ谛畔⒌脑偌庸こ潭炔桓?，分析性程序主要用在報表分析上。分析性?fù)核程序已成為現(xiàn)代風險審計方法最重要的程序，為適應(yīng)分析性程序功能擴大的要求，分析性程序開始走向多樣化：在數(shù)據(jù)分析上，不但對財務(wù)數(shù)據(jù)進行分析，也要對非財務(wù)數(shù)據(jù)進行分析；在分析工具上，借鑒現(xiàn)代治理方法，把戰(zhàn)略分析、績效分析、財務(wù)分析以及前景分析等分析工具運用到風險評估之中，使風險因素不再唯一，變一元風險評估為多元風險評估，使得出的風險評估結(jié)果更加可靠。

（三）風險評估方式由直接評估轉(zhuǎn)變?yōu)殚g接評估。傳統(tǒng)風險導(dǎo)向?qū)徲嫷娘L險評估是一種直接的方式，即直接評估重大錯報的概率。現(xiàn)代風險導(dǎo)向?qū)徲嬆Ｊ绞菑慕?jīng)營風險評估入手，間接地對審計風險進行評估，因為經(jīng)營風險越高，審計風險也越大，也就是治理舞弊的可能性越大；并且從經(jīng)營風險中能更有效地發(fā)現(xiàn)財務(wù)報表潛在的重大錯報，因為財務(wù)報表是經(jīng)營的反映，假如經(jīng)營風險未能在報表中得到體現(xiàn)，則財務(wù)報表很可能失真。此外，會計政策、會計估計的合理性評估也只有從經(jīng)營風險入手，才能進行正確的評估。

（四）審計程序?qū)嵤┚哂袀€性化。傳統(tǒng)風險導(dǎo)向?qū)徲嬆Ｊ降膶徲嫵绦蚴菢藴驶问?，對不同的被審計單位都使用標準相同的審計程序，其缺陷是沒有充分貫徹風險導(dǎo)向?qū)徲嬎枷?，使注冊會計師無法突破客戶預(yù)先設(shè)置或防范的措施，難以做出正確的審計結(jié)論?，F(xiàn)代風險導(dǎo)向?qū)徲嫹椒ㄒ笞詴嫀煂⒃u估及識別的審計風險與實施的審計程序相結(jié)合，針對不同客戶以及客戶不同的風險領(lǐng)域?qū)嵤﹤€性化的審計程序。

（五）審計證據(jù)的內(nèi)涵擴大。在現(xiàn)代風險導(dǎo)向?qū)徲嫹绞较?，審計重心向風險評估轉(zhuǎn)移，審計證據(jù)也由內(nèi)部向外部轉(zhuǎn)移。因此，注冊會計師必須充分了解企業(yè)整體經(jīng)營環(huán)境，由此評估客戶的經(jīng)營及審計風險，同時必須從外部取得大量的外部證據(jù)來證實風險評估的恰當性。風險導(dǎo)向?qū)徲嬆Ｊ较?，注冊會計師形成審計結(jié)論所依據(jù)的審計證據(jù)不僅包括實施控制測試和實質(zhì)性測試獲取的證據(jù)，還包括了解企業(yè)及其環(huán)境獲取的證據(jù)。

（六）擴充了內(nèi)部控制要素。傳統(tǒng)風險導(dǎo)向?qū)徲嫹椒ㄏ碌膬?nèi)部控制是指被審計單位為了保證業(yè)務(wù)活動的有效進行，保護資產(chǎn)的安全和完整，發(fā)現(xiàn)、糾正錯誤與防止舞弊，保證會計資料的真實、合法、完整而制定和實施的政策與程序。內(nèi)部控制要素包括控制環(huán)境、會計系統(tǒng)和控制程序?，F(xiàn)代風險導(dǎo)向?qū)徲嫹椒ㄏ碌膬?nèi)部控制是指被審計單位為了合理保證財務(wù)報告的可靠性、經(jīng)營的效率和效果以及對法律法規(guī)的遵循，由治理當局和其他人員設(shè)計和執(zhí)行的政策和程序。內(nèi)部控制的三要素擴充為五要素，即控制環(huán)境、被審計單位的風險評估過程、與財務(wù)報告相關(guān)的信息系統(tǒng)和溝通、控制活動和對控制的監(jiān)督。

篇（3）

一、風險管理審計

（一）風險管理概述

風險管理是對影響組織目標實現(xiàn)的各種不確定性事件進行識別與評估，并采取應(yīng)對措施將其影響控制在可接受范圍內(nèi)的過程。風險管理的目的是為了將風險控制在可接受的范圍內(nèi)（風險的可接受范圍取決于組織對風險的態(tài)度）。

風險管理分為以下幾個階段：1、風險規(guī)劃階段。項目風險管理計劃或策略確定控制目標：可以接受水平。2、風險識別階段。主要確定風險來自何方？有哪幾類風險？（我國國資委將國有企業(yè)風險分為以下幾類：戰(zhàn)略風險、財務(wù)風險、市場風險、運營風險以及法律風險。）3、風險估計階段。確定事件后果有多大？發(fā)生的可能性有多大？4、風險評價階段。確定風險的嚴重順序；確定項目整體風險水平。5、風險應(yīng)對階段。設(shè)計控制風險的措施策略。6、風險控制階段。檢查控制措施是否充分有效？自我評估和內(nèi)部審計。

（二）風險管理審計概念及目的

風險管理審計是內(nèi)部審計以風險為考慮核心，采用系統(tǒng)

化、規(guī)范化的方法，通過對企業(yè)全面風險管理活動進行監(jiān)督和評價，提出改進意見，來改善企業(yè)風險管理、增進企業(yè)價值的一種審計。

通過內(nèi)部審計機構(gòu)和人員對企業(yè)風險管理過程的了解，審查并評價其適當性和有效性，提出改進建議，促進企業(yè)目標的實現(xiàn)。

（三）內(nèi)容

企業(yè)建立內(nèi)部風險管理部門，內(nèi)部審計人員實施必要的審計程序，對風險評估過程進行審查與評價，并重點關(guān)注風險發(fā)生的可能性和風險對組織目標的實現(xiàn)產(chǎn)生影響的嚴重程度兩個要素。同時，內(nèi)部審計人員應(yīng)當充分了解風險評估的方法，并對管理層所采用的風險評估方法的適當性和有效性進行審查。審計人員應(yīng)當實施必要的審計程序，對風險識別過程進行審查與評價，重點關(guān)注被審計單位面臨的內(nèi)、外部風險是否已得到充分、適當?shù)拇_認。

最終對內(nèi)部風險管理組織的健全性、風險管理程序的合理性以及風險預(yù)警系統(tǒng)的存在及有效性進行審查評價，最終出具風險管理審計報告。

二、風險導(dǎo)向?qū)徲?/p>

（一）概念及特征

風險導(dǎo)向?qū)徲嬃⒆阌趯徲嬶L險進行系統(tǒng)的分析和評價，并以此作為出發(fā)點，制定審計戰(zhàn)略，制定與企業(yè)狀況相適應(yīng)的多樣化審計計劃，以達到審計工作的效率性和效果性。審計期望差距的存在和審計目標的改變是風險基礎(chǔ)審計產(chǎn)生的社會因素。審計組織的經(jīng)濟壓力是風險基礎(chǔ)審計產(chǎn)生的經(jīng)濟原因。制度基礎(chǔ)審計的內(nèi)在缺陷及解決方法是風險基礎(chǔ)審計產(chǎn)生的技術(shù)原因

（二）內(nèi)容

首先，通過對被審計單位控制環(huán)境的評價，鑒別其財務(wù)報表重要組成項目的各項認定，考慮財務(wù)報表重大錯誤表述的風險。其次，建立審計目標。審計目標以風險評價為基礎(chǔ)，通過風險評估分析，制訂審計計劃，確定如何收集、收集多少和收集何種性質(zhì)的證據(jù)的決策，為更有效地控制和提高審計效果及審計效率，提供了一個完整的結(jié)構(gòu)。再次，根據(jù)審計目標確定擬實施的審計程序的性質(zhì)、時間及范圍。最終將審計風險控制在可以接受的范圍內(nèi)，并以此出具審計報告。

理論基礎(chǔ)：經(jīng)營風險驅(qū)動審計風險。簡單地說，就是任

何影響客戶實現(xiàn)其經(jīng)營目標的潛在風險，都是審計風險的來源。企業(yè)的經(jīng)營風險來自兩個層面：戰(zhàn)略風險和運營風險?；具壿嬍牵贺攧?wù)報表是否存在重大錯報與經(jīng)營活動的順利與否相關(guān)；經(jīng)營活動的順利與否與企業(yè)的經(jīng)營戰(zhàn)略目標是否正確相關(guān)；企業(yè)經(jīng)營戰(zhàn)略的風險會逐步轉(zhuǎn)化為財務(wù)報表的重大錯報風險；重大錯報風險是審計風險的直接來源。

三、兩者區(qū)別與內(nèi)在聯(lián)系

（一）區(qū)別

產(chǎn)生背景及性質(zhì)不同：風險導(dǎo)向?qū)徲嬍怯捎趯徲嬈谕罹喽a(chǎn)生的，同時也是對賬項導(dǎo)向?qū)徲嫛⒅贫葘?dǎo)向?qū)徲嫷母倪M，是審計模式的創(chuàng)新發(fā)展，同時也是一種新型的審計模式。風險管理審計是為了滿足企業(yè)加強自身內(nèi)部風險管理的需要及內(nèi)部審計自身發(fā)展的需要而產(chǎn)生的，是一種全新的審計業(yè)務(wù)類型。

審計目的不同：風險導(dǎo)向?qū)徲嬍峭ㄟ^評估審計風險，合理分配審計資源，并設(shè)計一系列高效率低成本的審計程序，并最終將審計風險降低至可接受水平，從而出具審計報告。風險管理審計則是為了審查和評價企業(yè)風險管理的適當性和有效性，并最終服務(wù)于內(nèi)部審計，降低企業(yè)經(jīng)營管理風險，提高企業(yè)內(nèi)部控制水平。

“風險”含義及審計主體不同：風險導(dǎo)向?qū)徲嬛械摹帮L險”指的是審計風險，包括重大錯報風險和檢查風險，其審計主體是審計機構(gòu)和審計人員。風險管理審計中的“風險”主要指的是經(jīng)營風險，主體是企業(yè)及管理人員，包括風險識別、評估及應(yīng)對三個階段。

審計思路不同：風險導(dǎo)向?qū)徲嬍紫仍u估企業(yè)經(jīng)營風險，從而確定重大錯報風險，從而計算出可接受的檢查風險水平。風險管理審計主要審查評價企業(yè)風險識別是否充分，風險評估是否恰當，所采取的風險應(yīng)對措施是否合理有效。

篇（4）

隨著國內(nèi)外重大審計失敗事件的不斷發(fā)生，風險導(dǎo)向?qū)徲嬜鳛橐环N重要的審計理念和方法，受到審計職業(yè)界和學(xué)者的關(guān)注。中國注冊會計師協(xié)會在2004年10月了新的審計風險準則征求意見稿，要求注冊會計師在審計中使用現(xiàn)代風險導(dǎo)向?qū)徲嫹椒?，實施風險評估程序，降低審計風險，提高審計質(zhì)量。如果審計風險準則一旦正式生效，將使我國的審計風險準則與國際接軌，并引導(dǎo)中國注冊會計師實務(wù)由傳統(tǒng)風險導(dǎo)向?qū)徲嬒颥F(xiàn)代風險導(dǎo)向?qū)徲嬣D(zhuǎn)變。因此，對現(xiàn)代風險導(dǎo)向?qū)徲嬆Ｊ降睦斫庖约霸谖覈倪m用性分析就顯得十分重要。

一、風險導(dǎo)向?qū)徲嫺攀?/p>

隨著社會經(jīng)濟的發(fā)展變化，審計方法適應(yīng)審計環(huán)境的變化經(jīng)歷了三個發(fā)展階段：一是審計發(fā)展的早期，由于企業(yè)組織結(jié)構(gòu)簡單、業(yè)務(wù)性質(zhì)單一，注冊會計師的審計工作目的是為了促使受托責任人在授權(quán)經(jīng)營過程中做出誠實、可靠的行為，審計方式是詳細審計。審計的重心在資產(chǎn)負債表，是對會計憑證和賬簿的詳細審計，旨在發(fā)現(xiàn)和防止錯誤與舞弊，這種審計方法就是賬項基礎(chǔ)審計方法（accountingnumber-basedauditapproach）。二是從1950年代起，以內(nèi)部控制測試為基礎(chǔ)的抽樣審計在西方國家得到廣泛應(yīng)用，這種審計方法重點在于注冊會計師了解、測試和評價內(nèi)部控制設(shè)計的合理性和執(zhí)行的有效性。對內(nèi)部控制存在缺陷的環(huán)節(jié)，注冊會計師通常將其涉及交易和賬戶余額作為審計的重點，甚至進行詳細審計；對于可以信賴的內(nèi)部控制環(huán)節(jié)，通常將其涉及的交易和賬戶余額進行抽樣審計，以提高審計效率和降低審計費用。從方法論的角度，這種審計方法被稱作制度基礎(chǔ)審計方法（system-basedauditapproach）。三是1970年代以后，由于制度基礎(chǔ)審計方法顯露缺陷，一種新的、以風險防范為基礎(chǔ)的風險導(dǎo)向?qū)徲嬆Ｊ街饾u興起，從方法論的角度，注冊會計師以審計風險模型為基礎(chǔ)進行的審計方法稱為風險導(dǎo)向?qū)徲嫹椒ǎ╮isk-orientedauditapproach）。

回顧審計方法的發(fā)展歷程，風險導(dǎo)向?qū)徲嬆Ｊ揭殉蔀閷徲嫹椒òl(fā)展的國際趨勢。風險導(dǎo)向?qū)徲嬆Ｊ胶侠淼負P棄了作為制度導(dǎo)向?qū)徲嬆Ｊ交A(chǔ)的“無利害關(guān)系假設(shè)”，把指導(dǎo)思想建立在“合理的職業(yè)懷疑假設(shè)”的基礎(chǔ)上，不只依賴對被審計單位管理層所設(shè)計和執(zhí)行內(nèi)部控制制度的檢查與評價，而且實事求是地對公司管理層是否誠信、是否有舞弊造假的驅(qū)動始終保持一種合理的職業(yè)警覺，將審計的視野擴大到被審計單位所處的經(jīng)營環(huán)境（微觀、中觀乃至宏觀），將風險評估貫穿于審計工作的全過程。與傳統(tǒng)的制度基礎(chǔ)審計相比較，主要有以下區(qū)別：

（一）審計模式不同

制度基礎(chǔ)審計模式以內(nèi)部控制為核心，對控制風險的評估僅通過確定內(nèi)部控制的可依賴程度來減少實質(zhì)性測試的工作量，而對固有風險的評估常流于形式；風險導(dǎo)向?qū)徲嬆Ｊ讲粌H通過內(nèi)部控制評估控制風險，還結(jié)合其他風險因素尤其是固有風險綜合考慮，通過對企業(yè)環(huán)境、發(fā)展戰(zhàn)略、公司治理結(jié)構(gòu)等方面的評估，發(fā)現(xiàn)其潛在的經(jīng)營風險及財務(wù)風險，并評估財務(wù)報表發(fā)生重大錯報的風險，以便使審計風險降至可接受水平。

（二）審計基礎(chǔ)不同

制度基礎(chǔ)審計以內(nèi)部控制制度為基礎(chǔ)，根據(jù)被審單位內(nèi)部控制制度的健全性及符合性評審結(jié)果，確定實質(zhì)性測試的范圍和重點；風險導(dǎo)向?qū)徲媱t以風險評估為基礎(chǔ)，對影響被審單位經(jīng)濟活動的多種內(nèi)外因素進行評估，確定審計范圍、重點和方法，其不僅重視與內(nèi)部控制系統(tǒng)直接相關(guān)的因素，而且重視各種環(huán)境因素。

（三）審計方法不同

兩種審計模式都采用抽樣技術(shù)，但風險導(dǎo)向?qū)徲嬍峭ㄟ^建立審計風險模型將風險量化。因此，相對于制度基礎(chǔ)審計來說，風險導(dǎo)向?qū)徲嫷某闃蛹夹g(shù)是更完全意義上的審計抽樣，更注重利用分析性測試方法，從而可以有效降低審計風險。

二、風險導(dǎo)向?qū)徲嫷膬煞N模式

風險導(dǎo)向?qū)徲嬜援a(chǎn)生以來經(jīng)歷了兩個階段，理論界把以傳統(tǒng)審計風險模型“審計風險=固有風險×控制風險×檢查風險”為基礎(chǔ)進行的審計稱為傳統(tǒng)風險導(dǎo)向?qū)徲嬆Ｊ?；而?990年代后期開始，在國際會計師事務(wù)所內(nèi)部推行并逐漸被審計理論與實務(wù)界接受的，以“審計風險=重大錯報風險×檢查風險”的模型為基礎(chǔ)，以被審計單位的經(jīng)營風險為導(dǎo)向的審計方法稱作現(xiàn)代風險導(dǎo)向?qū)徲嬆Ｊ健?/p>

傳統(tǒng)風險導(dǎo)向?qū)徲嬆Ｊ脚c現(xiàn)代風險導(dǎo)向?qū)徲嬆Ｊ降谋举|(zhì)區(qū)別在于審計理念和審計技術(shù)方法的不同，后者是對前者的改進，其主要區(qū)別如下：

（一）審計起點不同

傳統(tǒng)風險導(dǎo)向?qū)徲嬤\用的審計風險模型中，固有風險是指假定不存在相關(guān)內(nèi)部控制時，某一賬戶或交易類別單獨或連同其他賬戶、交易類別產(chǎn)生重大錯報或漏報的可能性?？刂骑L險是指某一賬戶或交易類別單獨或連同其他賬戶、交易類別產(chǎn)生錯報或漏報，而未能被內(nèi)部控制防止、發(fā)現(xiàn)或糾正的可能性。傳統(tǒng)風險導(dǎo)向?qū)徲嫹椒ㄍㄟ^綜合評估固有風險和控制風險以確定實質(zhì)性測試的范圍、時間和程序，由于固有風險難以評估，審計的起點往往為企業(yè)的內(nèi)部控制（如果沒有必要測試內(nèi)部控制，審計的起點則為會計報表項目）。

現(xiàn)代風險導(dǎo)向?qū)徲嫹椒ㄍㄟ^綜合評估經(jīng)營控制風險以確定實質(zhì)性測試的范圍、時間和程序，其審計起點為企業(yè)的戰(zhàn)略系統(tǒng)及其業(yè)務(wù)流程。如果企業(yè)的業(yè)務(wù)流程不重要或風險控制很有效，則將實質(zhì)性測試集中在例外事項上。這種新模式的優(yōu)點是將審計的重心前移到風險評估，這將有利于充分識別和評估會計報表重大錯報的風險，因此，主要針對風險設(shè)計、實施控制測試和實質(zhì)性測試程序。此外，注冊會計師容易全面掌握企業(yè)可能存在的重大風險，有利于節(jié)省審計成本，克服因缺乏全面性觀點而導(dǎo)致的審計風險。

（二）風險評估識別以分析性復(fù)核程序為中心

現(xiàn)代風險導(dǎo)向?qū)徲嬜⒅剡\用分析性復(fù)核程序，以識別可能存在的重大錯報風險；而傳統(tǒng)風險導(dǎo)向?qū)徲媽τ谛畔⒌脑偌庸こ潭炔粔颍浞治鲂猿绦蛑饕迷趫蟊矸治錾?。分析性?fù)核程序已成為現(xiàn)代風險審計方法最重要的程序，為了適應(yīng)分析性程序功能擴大的要求，分析性程序開始走向多樣化：在數(shù)據(jù)分析上不但要對財務(wù)數(shù)據(jù)進行分析，也要對非財務(wù)數(shù)據(jù)進行分析；在分析工具上借鑒現(xiàn)代管理方法，把戰(zhàn)略分析、績效分析、財務(wù)分析及前景分析等分析工具運用到風險評估之中，使風險因素不再惟一，變一元風險評估為多元風險評估，使得出的風險評估結(jié)果更加可靠。

（三）風險評估方式由直接評估轉(zhuǎn)變?yōu)殚g接評估

傳統(tǒng)風險導(dǎo)向?qū)徲嫷娘L險評估是一種直接的方式，即直接評估重大錯報的概率?，F(xiàn)代風險導(dǎo)向?qū)徲嬆Ｊ绞菑慕?jīng)營風險評估入手，間接地對審計風險進行評估，因為經(jīng)營風險越高，審計風險也越大，也就是管理舞弊的可能性越大；并且從經(jīng)營風險中能更有效地發(fā)現(xiàn)財務(wù)報表潛在的重大錯報，因為財務(wù)報表是經(jīng)營的反映，如果經(jīng)營風險未能在報表中得到體現(xiàn)，則財務(wù)報表很可能失真。此外，會計政策、會計估計的合理性評估也只有從經(jīng)營風險入手，才能進行正確的評估。

（四）審計程序?qū)嵤┚哂袀€性化

傳統(tǒng)風險導(dǎo)向?qū)徲嬆Ｊ綄徲嫵绦蚴菢藴驶问?，對不同的被審計單位都使用標準相同的審計程序，其缺陷是沒有足夠貫徹風險導(dǎo)向?qū)徲嬎枷?，使注冊會計師無法突破客戶預(yù)先設(shè)置或防范的措施，難以做出正確的審計結(jié)論?，F(xiàn)代風險導(dǎo)向?qū)徲嫹椒ㄒ笞詴嫀煂⒃u估及識別的審計風險與實施的審計程序相結(jié)合，針對不同客戶以及客戶不同的風險領(lǐng)域?qū)嵤﹤€性化的審計程序。

（五）審計證據(jù)的內(nèi)涵擴大

在現(xiàn)代風險導(dǎo)向?qū)徲嫹绞较?，審計重心向風險評估轉(zhuǎn)移，審計證據(jù)也由內(nèi)部向外部轉(zhuǎn)移。因此，注冊會計師必須充分了解企業(yè)整體經(jīng)營環(huán)境，由此評估客戶的經(jīng)營及審計風險，同時必須從外部取得大量的外部證據(jù)來證明風險評估的恰當性。風險導(dǎo)向?qū)徲嬆Ｊ较?，注冊會計師形成審計結(jié)論所依據(jù)的審計證據(jù)不僅包括實施控制測試和實質(zhì)性測試獲取的證據(jù)，還包括了解企業(yè)及其環(huán)境獲取的證據(jù)。

（六）擴充了內(nèi)部控制要素

傳統(tǒng)風險導(dǎo)向?qū)徲嫹椒ㄏ碌膬?nèi)部控制是指被審計單位為了保證業(yè)務(wù)活動的有效進行，保護資產(chǎn)的安全和完整，發(fā)現(xiàn)、糾正錯誤與防止舞弊，保證會計資料的真實、合法、完整而制定和實施的政策與程序。內(nèi)部控制要素包括控制環(huán)境、會計系統(tǒng)和控制程序?，F(xiàn)代風險導(dǎo)向?qū)徲嫹椒ㄏ碌膬?nèi)部控制是指被審計單位為了合理保證財務(wù)報告的可靠性、經(jīng)營的效率和效果以及對法律法規(guī)的遵循，由治理當局、管理當局和其他人員設(shè)計和執(zhí)行的政策和程序。內(nèi)部控制的三要素擴充為五要素，即控制環(huán)境、被審計單位的風險評估過程、與財務(wù)報告相關(guān)的信息系統(tǒng)和溝通、控制活動和對控制的監(jiān)督。

（七）對注冊會計師的專業(yè)知識提出了更高要求

現(xiàn)代風險導(dǎo)向?qū)徲媽ψ詴嫀煹膶I(yè)素質(zhì)提出更高要求，其重心從會計、審計知識轉(zhuǎn)向管理和行業(yè)知識?，F(xiàn)代風險導(dǎo)向?qū)徲嬒聦徲嫿Y(jié)果主要依賴風險評估，風險評估的各種分析方法要求掌握現(xiàn)代管理知識和行業(yè)知識（包括市場、研發(fā)、生產(chǎn)等方面），這對注冊會計師提出了更高的要求。注冊會計師應(yīng)該是復(fù)合性人才，不但要掌握一般常用分析工具，還要接受現(xiàn)代管理知識和行業(yè)專業(yè)知識訓(xùn)練。

三、現(xiàn)代風險導(dǎo)向?qū)徲嬆Ｊ皆谖覈倪m用性分析

基于上述分析，現(xiàn)代風險導(dǎo)向?qū)徲嬆Ｊ绞菍徲嫲l(fā)展的一種必然趨勢。2003年10月，國際審計與鑒證準則委員會（IAASB）通過了新的審計風險準則；中注協(xié)也在2004年10日了修訂后的審計風險準則征求意見稿，不僅將使我國的審計風險準則與國際接軌，同時也為提高審計質(zhì)量、降低審計風險提供了技術(shù)支持。審計風險準則一旦正式生效，將引導(dǎo)中國注冊會計師實務(wù)由傳統(tǒng)風險導(dǎo)向?qū)徲嬒颥F(xiàn)代風險導(dǎo)向?qū)徲嬣D(zhuǎn)變，會對我國的注冊會計師審計理念、審計程序及審計責任產(chǎn)生非常大的影響。

然而，目前要在我國推行風險導(dǎo)向?qū)徲嬆Ｊ竭€存在一定的制約條件和需要解決的問題：

（一）會計師事務(wù)所審計成本與效益問題

實施風險導(dǎo)向?qū)徲嬆Ｊ降那疤崾浅杀灸艿玫窖a償?，F(xiàn)代風險導(dǎo)向?qū)徲嬆Ｊ皆趯徲嬘媱濍A段和執(zhí)行控制測試階段，注冊會計師關(guān)注的范圍擴大，程度加深，導(dǎo)致工作時間和審計成本的增加，在市場競爭激烈的情況下，成本的增加往往不可能過渡到收費的同步增加。此外，還需要一定的投入來培訓(xùn)注冊會計師，使他們掌握業(yè)務(wù)流程和行業(yè)知識等有關(guān)方面的知識。如果這些成本得不到補償，就會使一部分中小會計師事務(wù)所在競爭中無法生存。

（二）信息系統(tǒng)的建設(shè)問題

現(xiàn)代風險導(dǎo)向?qū)徲嫷闹匾卣魇菍徲嬛匦那耙?，注冊會計師必須首先?zhí)行風險評估程序，充分了解客戶整體經(jīng)營環(huán)境，然后針對風險不同的客戶、客戶不同的風險領(lǐng)域，設(shè)計個性化的審計程序。因此，會計師事務(wù)所必須建立強大的信息系統(tǒng)，以便注冊會計師在風險評估時了解企業(yè)的戰(zhàn)略、流程風險管理、業(yè)績衡量等。而目前國內(nèi)很多事務(wù)所對行業(yè)風險和企業(yè)經(jīng)營風險缺乏了解，客戶的相關(guān)信息不夠充分，信息系統(tǒng)的建設(shè)還達不到現(xiàn)代風險導(dǎo)向?qū)徲嫷囊?，?dǎo)致風險評估不準確。因此，風險導(dǎo)向?qū)徲嫷倪\用僅限于老客戶，對新客戶還是將大量時間用于實質(zhì)性測試。

（三）審計從業(yè)人員素質(zhì)問題

現(xiàn)代風險導(dǎo)向?qū)徲媽徲嫃臉I(yè)人員的業(yè)務(wù)素質(zhì)提出了新要求，不僅要具備豐富的審計理論和實踐經(jīng)驗，還要具備必需的管理學(xué)知識和經(jīng)濟學(xué)知識，能夠運用系統(tǒng)的、戰(zhàn)略的觀點充分了解、分析企業(yè)所處的宏觀經(jīng)濟環(huán)境和行業(yè)發(fā)展狀況，對有可能導(dǎo)致企業(yè)會計報表錯報風險的內(nèi)外部因素進行客觀、系統(tǒng)的分析與評價，將審計視角擴展到內(nèi)部控制以外，從較高層面上評估風險，而不是僅僅注重企業(yè)會計處理的細節(jié)。

（四）輔助審計軟件的使用與完善問題

現(xiàn)代風險導(dǎo)向?qū)徲嫹椒ㄖ蟹治鲂猿绦蛘紦?jù)非常重要的地位，輔助審計軟件的使用在其中發(fā)揮著重要的作用。西方發(fā)達國家大量運用分析性程序的條件是輔助審計程序的開發(fā)和運用，它可以直接對數(shù)據(jù)庫進行加工分析，依據(jù)軟件模型自行處理數(shù)據(jù)，使運用分析性測試程序成為節(jié)約成本的重要手段。另外，采用審計軟件使統(tǒng)計抽樣的樣本更具代表性，審計抽樣風險可控，為風險導(dǎo)向?qū)徲嬏峁┝思夹g(shù)支持。目前，我國在審計軟件的開發(fā)和使用上不夠理想，還有待提高，而且大部分注冊會計師缺少相應(yīng)的技術(shù)準備，在現(xiàn)階段推行現(xiàn)代風險導(dǎo)向?qū)徲嫹椒ㄖ荒苁且环N愿望。

如上所述，目前在我國全面推行現(xiàn)代風險導(dǎo)向?qū)徲嬆Ｊ竭€受到許多制約，盡管它有很多優(yōu)越之處，但在我國還不能夠普遍推行。當前我國獨立審計準則主要是以制度基礎(chǔ)審計模式為基礎(chǔ)的，而且相當一部分從事小規(guī)模企業(yè)審計工作的會計師事務(wù)所和注冊會計師，基本上仍然在運用賬項基礎(chǔ)審計模式。但是，現(xiàn)代風險導(dǎo)向?qū)徲嫷膶嵭惺且环N理念的改變，我們可將制度基礎(chǔ)審計與風險導(dǎo)向?qū)徲嬘袡C結(jié)合。即使在現(xiàn)行審計準則仍然主要以制度基礎(chǔ)審計模式為基礎(chǔ)的情況下，吸取風險導(dǎo)向?qū)徲嬆Ｊ降幕居^點和做法，則是完全可行的。通過把風險導(dǎo)向?qū)徲嬛锌刂骑L險的理念和方法融合到制度基礎(chǔ)審計中，使其他審計模式忽略審計風險的缺陷得到彌補，將會為探索適合我國的現(xiàn)代風險導(dǎo)向?qū)徲嬆Ｊ椒e累有益的實踐經(jīng)驗。

參考文獻：

〔1〕陳毓圭。對風險導(dǎo)向?qū)徲嫹椒ǖ挠蓙砑捌浒l(fā)展的認識〔J〕。會計研究，2004，（2）。

篇（5）

隨著國內(nèi)外重大審計失敗事件的不斷發(fā)生，風險導(dǎo)向?qū)徲嬜鳛橐环N重要的審計理念和方法，受到審計職業(yè)界和學(xué)者的關(guān)注。中國注冊會計師協(xié)會在2004年10月了新的審計風險準則征求意見稿，要求注冊會計師在審計中使用現(xiàn)代風險導(dǎo)向?qū)徲嫹椒?，實施風險評估程序，降低審計風險，提高審計質(zhì)量。如果審計風險準則一旦正式生效，將使我國的審計風險準則與國際接軌，并引導(dǎo)中國注冊會計師實務(wù)由傳統(tǒng)風險導(dǎo)向?qū)徲嬒颥F(xiàn)代風險導(dǎo)向?qū)徲嬣D(zhuǎn)變。因此，對現(xiàn)代風險導(dǎo)向?qū)徲嬆Ｊ降睦斫庖约霸谖覈倪m用性分析就顯得十分重要。

一、風險導(dǎo)向?qū)徲嫺攀?/p>

隨著社會經(jīng)濟的發(fā)展變化，審計方法適應(yīng)審計環(huán)境的變化經(jīng)歷了三個發(fā)展階段：一是審計發(fā)展的早期，由于企業(yè)組織結(jié)構(gòu)簡單、業(yè)務(wù)性質(zhì)單一，注冊會計師的審計工作目的是為了促使受托責任人在授權(quán)經(jīng)營過程中做出誠實、可靠的行為，審計方式是詳細審計。審計的重心在資產(chǎn)負債表，是對會計憑證和賬簿的詳細審計，旨在發(fā)現(xiàn)和防止錯誤與舞弊，這種審計方法就是賬項基礎(chǔ)審計方法（accountingnumber-basedauditapproach）。二是從1950年代起，以內(nèi)部控制測試為基礎(chǔ)的抽樣審計在西方國家得到廣泛應(yīng)用，這種審計方法重點在于注冊會計師了解、測試和評價內(nèi)部控制設(shè)計的合理性和執(zhí)行的有效性。對內(nèi)部控制存在缺陷的環(huán)節(jié)，注冊會計師通常將其涉及交易和賬戶余額作為審計的重點，甚至進行詳細審計；對于可以信賴的內(nèi)部控制環(huán)節(jié)，通常將其涉及的交易和賬戶余額進行抽樣審計，以提高審計效率和降低審計費用。從方法論的角度，這種審計方法被稱作制度基礎(chǔ)審計方法（system-basedauditapproach）。三是1970年代以后，由于制度基礎(chǔ)審計方法顯露缺陷，一種新的、以風險防范為基礎(chǔ)的風險導(dǎo)向?qū)徲嬆Ｊ街饾u興起，從方法論的角度，注冊會計師以審計風險模型為基礎(chǔ)進行的審計方法稱為風險導(dǎo)向?qū)徲嫹椒ǎ╮isk-orientedauditapproach）。

回顧審計方法的發(fā)展歷程，風險導(dǎo)向?qū)徲嬆Ｊ揭殉蔀閷徲嫹椒òl(fā)展的國際趨勢。風險導(dǎo)向?qū)徲嬆Ｊ胶侠淼負P棄了作為制度導(dǎo)向?qū)徲嬆Ｊ交A(chǔ)的“無利害關(guān)系假設(shè)”，把指導(dǎo)思想建立在“合理的職業(yè)懷疑假設(shè)”的基礎(chǔ)上，不只依賴對被審計單位管理層所設(shè)計和執(zhí)行內(nèi)部控制制度的檢查與評價，而且實事求是地對公司管理層是否誠信、是否有舞弊造假的驅(qū)動始終保持一種合理的職業(yè)警覺，將審計的視野擴大到被審計單位所處的經(jīng)營環(huán)境（微觀、中觀乃至宏觀），將風險評估貫穿于審計工作的全過程。與傳統(tǒng)的制度基礎(chǔ)審計相比較，主要有以下區(qū)別：

（一）審計模式不同

制度基礎(chǔ)審計模式以內(nèi)部控制為核心，對控制風險的評估僅通過確定內(nèi)部控制的可依賴程度來減少實質(zhì)性測試的工作量，而對固有風險的評估常流于形式；風險導(dǎo)向?qū)徲嬆Ｊ讲粌H通過內(nèi)部控制評估控制風險，還結(jié)合其他風險因素尤其是固有風險綜合考慮，通過對企業(yè)環(huán)境、發(fā)展戰(zhàn)略、公司治理結(jié)構(gòu)等方面的評估，發(fā)現(xiàn)其潛在的經(jīng)營風險及財務(wù)風險，并評估財務(wù)報表發(fā)生重大錯報的風險，以便使審計風險降至可接受水平。

（二）審計基礎(chǔ)不同

制度基礎(chǔ)審計以內(nèi)部控制制度為基礎(chǔ)，根據(jù)被審單位內(nèi)部控制制度的健全性及符合性評審結(jié)果，確定實質(zhì)性測試的范圍和重點；風險導(dǎo)向?qū)徲媱t以風險評估為基礎(chǔ)，對影響被審單位經(jīng)濟活動的多種內(nèi)外因素進行評估，確定審計范圍、重點和方法，其不僅重視與內(nèi)部控制系統(tǒng)直接相關(guān)的因素，而且重視各種環(huán)境因素。

（三）審計方法不同

兩種審計模式都采用抽樣技術(shù)，但風險導(dǎo)向?qū)徲嬍峭ㄟ^建立審計風險模型將風險量化。因此，相對于制度基礎(chǔ)審計來說，風險導(dǎo)向?qū)徲嫷某闃蛹夹g(shù)是更完全意義上的審計抽樣，更注重利用分析性測試方法，從而可以有效降低審計風險。

二、風險導(dǎo)向?qū)徲嫷膬煞N模式

風險導(dǎo)向?qū)徲嬜援a(chǎn)生以來經(jīng)歷了兩個階段，理論界把以傳統(tǒng)審計風險模型“審計風險=固有風險×控制風險×檢查風險”為基礎(chǔ)進行的審計稱為傳統(tǒng)風險導(dǎo)向?qū)徲嬆Ｊ?；而?990年代后期開始，在國際會計師事務(wù)所內(nèi)部推行并逐漸被審計理論與實務(wù)界接受的，以“審計風險=重大錯報風險×檢查風險”的模型為基礎(chǔ)，以被審計單位的經(jīng)營風險為導(dǎo)向的審計方法稱作現(xiàn)代風險導(dǎo)向?qū)徲嬆Ｊ健?/p>

傳統(tǒng)風險導(dǎo)向?qū)徲嬆Ｊ脚c現(xiàn)代風險導(dǎo)向?qū)徲嬆Ｊ降谋举|(zhì)區(qū)別在于審計理念和審計技術(shù)方法的不同，后者是對前者的改進，其主要區(qū)別如下：

（一）審計起點不同

傳統(tǒng)風險導(dǎo)向?qū)徲嬤\用的審計風險模型中，固有風險是指假定不存在相關(guān)內(nèi)部控制時，某一賬戶或交易類別單獨或連同其他賬戶、交易類別產(chǎn)生重大錯報或漏報的可能性。控制風險是指某一賬戶或交易類別單獨或連同其他賬戶、交易類別產(chǎn)生錯報或漏報，而未能被內(nèi)部控制防止、發(fā)現(xiàn)或糾正的可能性。傳統(tǒng)風險導(dǎo)向?qū)徲嫹椒ㄍㄟ^綜合評估固有風險和控制風險以確定實質(zhì)性測試的范圍、時間和程序，由于固有風險難以評估，審計的起點往往為企業(yè)的內(nèi)部控制（如果沒有必要測試內(nèi)部控制，審計的起點則為會計報表項目）。

現(xiàn)代風險導(dǎo)向?qū)徲嫹椒ㄍㄟ^綜合評估經(jīng)營控制風險以確定實質(zhì)性測試的范圍、時間和程序，其審計起點為企業(yè)的戰(zhàn)略系統(tǒng)及其業(yè)務(wù)流程。如果企業(yè)的業(yè)務(wù)流程不重要或風險控制很有效，則將實質(zhì)性測試集中在例外事項上。這種新模式的優(yōu)點是將審計的重心前移到風險評估，這將有利于充分識別和評估會計報表重大錯報的風險，因此，主要針對風險設(shè)計、實施控制測試和實質(zhì)性測試程序。此外，注冊會計師容易全面掌握企業(yè)可能存在的重大風險，有利于節(jié)省審計成本，克服因缺乏全面性觀點而導(dǎo)致的審計風險。

（二）風險評估識別以分析性復(fù)核程序為中心

現(xiàn)代風險導(dǎo)向?qū)徲嬜⒅剡\用分析性復(fù)核程序，以識別可能存在的重大錯報風險；而傳統(tǒng)風險導(dǎo)向?qū)徲媽τ谛畔⒌脑偌庸こ潭炔粔?，其分析性程序主要用在報表分析上。分析性?fù)核程序已成為現(xiàn)代風險審計方法最重要的程序，為了適應(yīng)分析性程序功能擴大的要求，分析性程序開始走向多樣化：在數(shù)據(jù)分析上不但要對財務(wù)數(shù)據(jù)進行分析，也要對非財務(wù)數(shù)據(jù)進行分析；在分析工具上借鑒現(xiàn)代管理方法，把戰(zhàn)略分析、績效分析、財務(wù)分析及前景分析等分析工具運用到風險評估之中，使風險因素不再惟一，變一元風險評估為多元風險評估，使得出的風險評估結(jié)果更加可靠。

（三）風險評估方式由直接評估轉(zhuǎn)變?yōu)殚g接評估

傳統(tǒng)風險導(dǎo)向?qū)徲嫷娘L險評估是一種直接的方式，即直接評估重大錯報的概率?，F(xiàn)代風險導(dǎo)向?qū)徲嬆Ｊ绞菑慕?jīng)營風險評估入手，間接地對審計風險進行評估，因為經(jīng)營風險越高，審計風險也越大，也就是管理舞弊的可能性越大；并且從經(jīng)營風險中能更有效地發(fā)現(xiàn)財務(wù)報表潛在的重大錯報，因為財務(wù)報表是經(jīng)營的反映，如果經(jīng)營風險未能在報表中得到體現(xiàn)，則財務(wù)報表很可能失真。此外，會計政策、會計估計的合理性

評估也只有從經(jīng)營風險入手，才能進行正確的評估。

（四）審計程序?qū)嵤┚哂袀€性化

傳統(tǒng)風險導(dǎo)向?qū)徲嬆Ｊ綄徲嫵绦蚴菢藴驶问剑瑢Σ煌谋粚徲媶挝欢际褂脴藴氏嗤膶徲嫵绦?，其缺陷是沒有足夠貫徹風險導(dǎo)向?qū)徲嬎枷耄棺詴嫀煙o法突破客戶預(yù)先設(shè)置或防范的措施，難以做出正確的審計結(jié)論?，F(xiàn)代風險導(dǎo)向?qū)徲嫹椒ㄒ笞詴嫀煂⒃u估及識別的審計風險與實施的審計程序相結(jié)合，針對不同客戶以及客戶不同的風險領(lǐng)域?qū)嵤﹤€性化的審計程序。

（五）審計證據(jù)的內(nèi)涵擴大

在現(xiàn)代風險導(dǎo)向?qū)徲嫹绞较?，審計重心向風險評估轉(zhuǎn)移，審計證據(jù)也由內(nèi)部向外部轉(zhuǎn)移。因此，注冊會計師必須充分了解企業(yè)整體經(jīng)營環(huán)境，由此評估客戶的經(jīng)營及審計風險，同時必須從外部取得大量的外部證據(jù)來證明風險評估的恰當性。風險導(dǎo)向?qū)徲嬆Ｊ较拢詴嫀熜纬蓪徲嫿Y(jié)論所依據(jù)的審計證據(jù)不僅包括實施控制測試和實質(zhì)性測試獲取的證據(jù)，還包括了解企業(yè)及其環(huán)境獲取的證據(jù)。

（六）擴充了內(nèi)部控制要素

傳統(tǒng)風險導(dǎo)向?qū)徲嫹椒ㄏ碌膬?nèi)部控制是指被審計單位為了保證業(yè)務(wù)活動的有效進行，保護資產(chǎn)的安全和完整，發(fā)現(xiàn)、糾正錯誤與防止舞弊，保證會計資料的真實、合法、完整而制定和實施的政策與程序。內(nèi)部控制要素包括控制環(huán)境、會計系統(tǒng)和控制程序?，F(xiàn)代風險導(dǎo)向?qū)徲嫹椒ㄏ碌膬?nèi)部控制是指被審計單位為了合理保證財務(wù)報告的可靠性、經(jīng)營的效率和效果以及對法律法規(guī)的遵循，由治理當局、管理當局和其他人員設(shè)計和執(zhí)行的政策和程序。內(nèi)部控制的三要素擴充為五要素，即控制環(huán)境、被審計單位的風險評估過程、與財務(wù)報告相關(guān)的信息系統(tǒng)和溝通、控制活動和對控制的監(jiān)督。

（七）對注冊會計師的專業(yè)知識提出了更高要求

現(xiàn)代風險導(dǎo)向?qū)徲媽ψ詴嫀煹膶I(yè)素質(zhì)提出更高要求，其重心從會計、審計知識轉(zhuǎn)向管理和行業(yè)知識?，F(xiàn)代風險導(dǎo)向?qū)徲嬒聦徲嫿Y(jié)果主要依賴風險評估，風險評估的各種分析方法要求掌握現(xiàn)代管理知識和行業(yè)知識（包括市場、研發(fā)、生產(chǎn)等方面），這對注冊會計師提出了更高的要求。注冊會計師應(yīng)該是復(fù)合性人才，不但要掌握一般常用分析工具，還要接受現(xiàn)代管理知識和行業(yè)專業(yè)知識訓(xùn)練。

三、現(xiàn)代風險導(dǎo)向?qū)徲嬆Ｊ皆谖覈倪m用性分析

基于上述分析，現(xiàn)代風險導(dǎo)向?qū)徲嬆Ｊ绞菍徲嫲l(fā)展的一種必然趨勢。2003年10月，國際審計與鑒證準則委員會（IAASB）通過了新的審計風險準則；中注協(xié)也在2004年10日了修訂后的審計風險準則征求意見稿，不僅將使我國的審計風險準則與國際接軌，同時也為提高審計質(zhì)量、降低審計風險提供了技術(shù)支持。審計風險準則一旦正式生效，將引導(dǎo)中國注冊會計師實務(wù)由傳統(tǒng)風險導(dǎo)向?qū)徲嬒颥F(xiàn)代風險導(dǎo)向?qū)徲嬣D(zhuǎn)變，會對我國的注冊會計師審計理念、審計程序及審計責任產(chǎn)生非常大的影響。

然而，目前要在我國推行風險導(dǎo)向?qū)徲嬆Ｊ竭€存在一定的制約條件和需要解決的問題：

（一）會計師事務(wù)所審計成本與效益問題

實施風險導(dǎo)向?qū)徲嬆Ｊ降那疤崾浅杀灸艿玫窖a償?，F(xiàn)代風險導(dǎo)向?qū)徲嬆Ｊ皆趯徲嬘媱濍A段和執(zhí)行控制測試階段，注冊會計師關(guān)注的范圍擴大，程度加深，導(dǎo)致工作時間和審計成本的增加，在市場競爭激烈的情況下，成本的增加往往不可能過渡到收費的同步增加。此外，還需要一定的投入來培訓(xùn)注冊會計師，使他們掌握業(yè)務(wù)流程和行業(yè)知識等有關(guān)方面的知識。如果這些成本得不到補償，就會使一部分中小會計師事務(wù)所在競爭中無法生存。

（二）信息系統(tǒng)的建設(shè)問題

現(xiàn)代風險導(dǎo)向?qū)徲嫷闹匾卣魇菍徲嬛匦那耙?，注冊會計師必須首先?zhí)行風險評估程序，充分了解客戶整體經(jīng)營環(huán)境，然后針對風險不同的客戶、客戶不同的風險領(lǐng)域，設(shè)計個性化的審計程序。因此，會計師事務(wù)所必須建立強大的信息系統(tǒng)，以便注冊會計師在風險評估時了解企業(yè)的戰(zhàn)略、流程風險管理、業(yè)績衡量等。而目前國內(nèi)很多事務(wù)所對行業(yè)風險和企業(yè)經(jīng)營風險缺乏了解，客戶的相關(guān)信息不夠充分，信息系統(tǒng)的建設(shè)還達不到現(xiàn)代風險導(dǎo)向?qū)徲嫷囊螅瑢?dǎo)致風險評估不準確。因此，風險導(dǎo)向?qū)徲嫷倪\用僅限于老客戶，對新客戶還是將大量時間用于實質(zhì)性測試。

（三）審計從業(yè)人員素質(zhì)問題

現(xiàn)代風險導(dǎo)向?qū)徲媽徲嫃臉I(yè)人員的業(yè)務(wù)素質(zhì)提出了新要求，不僅要具備豐富的審計理論和實踐經(jīng)驗，還要具備必需的管理學(xué)知識和經(jīng)濟學(xué)知識，能夠運用系統(tǒng)的、戰(zhàn)略的觀點充分了解、分析企業(yè)所處的宏觀經(jīng)濟環(huán)境和行業(yè)發(fā)展狀況，對有可能導(dǎo)致企業(yè)會計報表錯報風險的內(nèi)外部因素進行客觀、系統(tǒng)的分析與評價，將審計視角擴展到內(nèi)部控制以外，從較高層面上評估風險，而不是僅僅注重企業(yè)會計處理的細節(jié)。

（四）輔助審計軟件的使用與完善問題

現(xiàn)代風險導(dǎo)向?qū)徲嫹椒ㄖ蟹治鲂猿绦蛘紦?jù)非常重要的地位，輔助審計軟件的使用在其中發(fā)揮著重要的作用。西方發(fā)達國家大量運用分析性程序的條件是輔助審計程序的開發(fā)和運用，它可以直接對數(shù)據(jù)庫進行加工分析，依據(jù)軟件模型自行處理數(shù)據(jù)，使運用分析性測試程序成為節(jié)約成本的重要手段。另外，采用審計軟件使統(tǒng)計抽樣的樣本更具代表性，審計抽樣風險可控，為風險導(dǎo)向?qū)徲嬏峁┝思夹g(shù)支持。目前，我國在審計軟件的開發(fā)和使用上不夠理想，還有待提高，而且大部分注冊會計師缺少相應(yīng)的技術(shù)準備，在現(xiàn)階段推行現(xiàn)代風險導(dǎo)向?qū)徲嫹椒ㄖ荒苁且环N愿望。

如上所述，目前在我國全面推行現(xiàn)代風險導(dǎo)向?qū)徲嬆Ｊ竭€受到許多制約，盡管它有很多優(yōu)越之處，但在我國還不能夠普遍推行。當前我國獨立審計準則主要是以制度基礎(chǔ)審計模式為基礎(chǔ)的，而且相當一部分從事小規(guī)模企業(yè)審計工作的會計師事務(wù)所和注冊會計師，基本上仍然在運用賬項基礎(chǔ)審計模式。但是，現(xiàn)代風險導(dǎo)向?qū)徲嫷膶嵭惺且环N理念的改變，我們可將制度基礎(chǔ)審計與風險導(dǎo)向?qū)徲嬘袡C結(jié)合。即使在現(xiàn)行審計準則仍然主要以制度基礎(chǔ)審計模式為基礎(chǔ)的情況下，吸取風險導(dǎo)向?qū)徲嬆Ｊ降幕居^點和做法，則是完全可行的。通過把風險導(dǎo)向?qū)徲嬛锌刂骑L險的理念和方法融合到制度基礎(chǔ)審計中，使其他審計模式忽略審計風險的缺陷得到彌補，將會為探索適合我國的現(xiàn)代風險導(dǎo)向?qū)徲嬆Ｊ椒e累有益的實踐經(jīng)驗。

參考文獻：

〔1〕陳毓圭。對風險導(dǎo)向?qū)徲嫹椒ǖ挠蓙砑捌浒l(fā)展的認識〔J〕。會計研究，2004，（2）。

篇（6）

風險評估是從風險管理的角度，分析被評估對象所面臨的威脅、存在的弱點，評估安全事件一旦發(fā)生可能造成的危害程度和影響。風險管理者可以在風險評估的基礎(chǔ)上合理地制定、恰當?shù)剡x擇風險管理手段和風險管理方案。

風險評估的主要內(nèi)容有：識別組織面臨的各種風險；評估風險概率和可能帶來的負面影響；設(shè)置風險等級與確定風險等級評判標準；控制與管理風險。具體到國庫會計風險評估，就是對國庫會計風險進行識別、分析和處置。主要包括以下三個方面：

（一）風險識別。指結(jié)合國庫會計工作的實際情況和特點，充分考慮內(nèi)部和外部因素，依據(jù)國庫會計業(yè)務(wù)流程，正確識別并界定風險點。

（二）風險估定。指針對國庫會計風險點，通過日常管理和現(xiàn)場檢查等方式整理評估資料，進行分析、甄別，判定風險的嚴重程度。

（三）風險管理。根據(jù)風險分析情況，針對風險點研究解決方案、控制方式以及防范化解措施，最后形成風險評估報告。

二、國庫會計風險評估指標的設(shè)置

（一）國庫會計風險評估指標的設(shè)置原則

1、客觀性原則。構(gòu)建國庫會計風險評估體系，應(yīng)當以真實、完整的評估資料為依據(jù)，從實際出發(fā)，實事求是、客觀公正，如實反映評估對象的風險管理和控制情況，盡可能減少或避免主觀判斷。

2、全面性原則。評估范圍應(yīng)覆蓋國庫會計業(yè)務(wù)處理的全過程，反映國庫會計風險的方方面面，包括國庫會計處理涉及的所有系統(tǒng)、部門、崗位與操作環(huán)節(jié)。在此基礎(chǔ)上，綜合有關(guān)信息對國庫會計當前的風險狀況或潛在的風險隱患進行較為全面的分析評價。

3、科學(xué)性原則。風險評估體系的設(shè)計應(yīng)充分考慮國庫業(yè)務(wù)的現(xiàn)實狀況，遵照定性分析與定量分析相結(jié)合的原則，既要全面又要突出重點，使國庫資金風險評估體系的資料收集、篩選、分析具有針對性，工作高效快捷，評價結(jié)論準確。

4、可操作性原則。風險評估指標的設(shè)計應(yīng)簡單可行，指標數(shù)目適中，易于獲取，既真實、全面反映國庫會計面臨的資金風險，又能抓住國庫會計風險的關(guān)鍵環(huán)節(jié)。

（二）國庫會計風險評估指標

根據(jù)國庫會計風險表現(xiàn)形態(tài)，建立國庫會計風險評價指標體系結(jié)構(gòu)如下圖：

三、國庫會計風險評估過程

風險評估的基本思路：以現(xiàn)場檢查和日常管理活動收集、整理的評估資料為基礎(chǔ)，對國庫會計工作中存在的風險進行識別，根據(jù)風險揭示因素的數(shù)量、性質(zhì)及其危害，對各類問題進行逐一分析、甄別后“嵌入”上述風險評估指標框架，評估確定每家國庫的風險類別和風險等級。根據(jù)評估結(jié)果提出風險管理對策，形成風險評估報告供領(lǐng)導(dǎo)決策參考，有針對性地加強國庫管理。

（一）國庫會計風險識別

國庫會計風險評估的首要階段，是對各類國庫會計風險進行識別。本文把國庫會計處理過程中可能存在的風險按其表現(xiàn)形式分為以下幾種類型：

1、道德風險。道德風險是指由于國庫會計人員違背會計職業(yè)道德規(guī)范或未能達到應(yīng)有的職業(yè)素養(yǎng)，引發(fā)業(yè)務(wù)運轉(zhuǎn)失?；蚬芾硇袨槲蓙y，導(dǎo)致會計工作責任事故或資金損失的可能性。例如，國庫工作人員的人生觀、價值觀、道德觀發(fā)生偏差，在國庫業(yè)務(wù)處理中人為導(dǎo)致國庫資金遭受損失。

2、制度風險。制度風險是指國庫制度存有缺陷導(dǎo)致國庫資金損失的可能性。這種缺陷表現(xiàn)為：現(xiàn)有制度及規(guī)定不能涵蓋國庫各類業(yè)務(wù)，制度規(guī)定滯后于業(yè)務(wù)發(fā)展、時效性不夠，或者不同時間、不同部門頒布的制度規(guī)定之間存有矛盾。例如，《商業(yè)銀行、信用社國庫業(yè)務(wù)管理辦法》為2001年頒布實施，對國庫集中支付、橫向聯(lián)網(wǎng)等國庫創(chuàng)新業(yè)務(wù)沒有進行有效規(guī)范。

3、管理風險。管理風險是指由于管理不到位、管理失當，導(dǎo)致國庫會計處理違規(guī)或資金損失的可能性。主要表現(xiàn)在管理人員對業(yè)務(wù)不熟悉而難于管理，因風險意識不強而疏于管理，或者管理手段不到位、監(jiān)督力度不夠等。

4、操作風險。操作風險是指因會計業(yè)務(wù)操作人員的業(yè)務(wù)素質(zhì)差異、過失等原因，導(dǎo)致會計業(yè)務(wù)操作不合規(guī)、發(fā)生資金損失的可能性。例如，個別人員缺乏風險防范意識，未執(zhí)行或未嚴格執(zhí)行制度規(guī)定，或者缺乏會計、財稅知識，對基本的國庫會計操作原則掌握不夠，對新業(yè)務(wù)的了解不透徹、操作不熟練，引發(fā)資金風險。

5、信息系統(tǒng)風險。信息系統(tǒng)風險是指因網(wǎng)絡(luò)和信息系統(tǒng)技術(shù)運用不合理、運行與維護不到位、失效等原因，導(dǎo)致業(yè)務(wù)運行受到不利影響的可能性。近年來，為適應(yīng)國庫服務(wù)范圍逐漸拓寬、國庫業(yè)務(wù)量快速增長的需要，各地結(jié)合當?shù)貙嶋H，相繼開發(fā)推廣了稅庫銀橫向聯(lián)網(wǎng)系統(tǒng)、財政集中支付系統(tǒng)等，由于對系統(tǒng)安全性認識不足，普遍存在“重使用，輕管理”的問題，如系統(tǒng)功能拓展不夠、安全運營維護不到位，影響國庫資金安全。

6、其他風險。如自然災(zāi)害等不可抗力造成國庫資金損失的可能性。

（二）國庫會計風險分析與評價

在進行風險識別后，應(yīng)進行風險分析與評價。首先賦予道德風險等六類風險基礎(chǔ)分值，對風險形成的各項因素逐項打分，然后根據(jù)風險發(fā)生可能性、頻率及造成的后果賦予每類風險合理的權(quán)重，采用加權(quán)平均法計算評估對象的最終得分。以管理風險為例，假設(shè)賦予管理風險100分，每個風險點的扣分標準見表1。

篇（7）

計算機技術(shù)的高速發(fā)展，隨之而來的是各種軟件的爆發(fā)式增長，軟件已經(jīng)成為了我們生活中不可或缺的一部分，在這種情況下軟件開發(fā)工作就顯得尤為重要。但是，軟件在開發(fā)以及最后使用過程中存在著一定的風險，這些風險的存在造成了使用者的不便，也產(chǎn)生了很多的額外成本，這與當今人們對軟件質(zhì)量日益提高的需求極為不符。傳統(tǒng)的軟件風險評估多是借助于計量模型，利用一定的數(shù)據(jù)來進行定量的計算，但是軟件使用中的風險存在著很多的額不確定性，各種各樣的因素都會影響到軟件效用的發(fā)揮，一些因素也不能轉(zhuǎn)化成數(shù)據(jù)而直接進行計算，這些缺點導(dǎo)致傳統(tǒng)的軟件開發(fā)的風險評估方式已經(jīng)不能滿足人們希望更精確地評估風險的要求了。證據(jù)理論是一種新興起的分析方法，它是一種基于不確定因素的定性的分析方法，這幾年在軟件風險評估方面得到了很大的應(yīng)用，它雖然不能給出精確的風險值，但是可以給出具體方案的一個可行的實施范圍，這對現(xiàn)代軟件開發(fā)風險評估方式來說是一大進步，它取代了傳統(tǒng)軟件風險評估要求在不確定因素中選擇確定性數(shù)據(jù)定量計量的不足。

一、傳統(tǒng)軟件開發(fā)風險評估的方式

軟件開發(fā)工作自身是一項智力投入高，具有創(chuàng)新性的研究性活動，而且其研究的也不是具有實物形態(tài)的產(chǎn)品，而是各種各樣的代碼與數(shù)據(jù)庫。軟件開發(fā)過程中存在著很多的風險，這與軟件開發(fā)自身所具有的特殊性質(zhì)有著密切的關(guān)系，軟件開發(fā)的客觀性和普通性、不確定性、行為的相關(guān)性、多樣性以及對稱性決定了軟件開發(fā)過程中風險的不確定性與來源廣泛性，如果根據(jù)風險的本質(zhì)來進行分類的話，大概分成三個種類：產(chǎn)品自身風險、項目特殊化風險以及開發(fā)環(huán)境的風險，對這各種各樣的風險有著很多的評估方式。中國對于軟件開發(fā)過程中的風險評估方式主要是源于西方的研究內(nèi)容。最早的軟件風險評估方法衍生于SEI對軟件風險管理的研究中，SEI運用分類法來對軟件開發(fā)過程的風險進行評估，分類法是一種簡單而且實踐性很強的風險識別方法。后來SEI又根據(jù)分類法設(shè)計了調(diào)查問卷進一步完善了分類法，而這種問卷的核心是根據(jù)分類法設(shè)置的屬性根。風險評估一般含有評估者的主觀性比較大，而且各個項目的特點不同，某些項目上經(jīng)驗豐富的專家很難找到，這就使得項目成本大大提升，因此，有人就將風險評估與成本分析一起作為研究對象，RayMadachy和KariKansala在這方面做出了很大的貢獻。Chittister則從功能性角度、時態(tài)角度、失效來源角度價格風險評估視為一個“整體”。

二、什么是證據(jù)理論

證據(jù)理論又稱D-S證據(jù)理論，是由Dempster和Shafer提出來的，它屬于人工智能系統(tǒng)，是一種不精確的推理方法，可以用在處理不明確，模糊的信息上，最早是應(yīng)用在專家系統(tǒng)之中，因為它能分析不確定因素的特點，現(xiàn)在被廣泛地應(yīng)用在軟件開發(fā)的風險評估、模式識別、信息融合中。證據(jù)理論雖然不需要定性的測量，但是也需要建立一定的理論框架，進而確定在一定風險區(qū)間內(nèi)的決策選擇情況。證據(jù)理論的框架以人們知道的信息和想要知道的信息為出發(fā)點，他們一起被稱為證據(jù)理論的辨識框架，證據(jù)理論通過辨識框架來區(qū)別“確定性”和“不確定性”進而得到人們想要的結(jié)果。在進行證據(jù)理論建模的時候首先要確定BBA（mass）生成問題，來將不確定的信息進行具體的表述，以便應(yīng)用到模型中去。而BBA生成問題的關(guān)鍵是關(guān)于隨機變量的分布與建模的難題，這恰恰與具體研究的問題有關(guān)，需要根據(jù)問題的不同而得到不同的BBA生成。

三、從證據(jù)理論的風險評估方式

風險是人人都不想看到的，所以對風險的評估以及管理就顯得極為需要。證據(jù)理論因為可以將影響風險發(fā)生的各種不確定因素作為模型變量而考慮到模型中，所以適用于對于不確定性風險的分析。實際上，現(xiàn)在的很多風險管理都是根據(jù)三個部分建立的：風險識別、風險決策、風險反饋，然后再用統(tǒng)計計量的相關(guān)方法進行分析，這與其他的風險管理沒有什么實質(zhì)的區(qū)分。本文運用證據(jù)理論的分析方法來將以前不能考慮到?jīng)]模型中的因素考慮進去，使得軟件開發(fā)的風險評估更為可行，更加具有應(yīng)用性。證據(jù)理論在使用中首先要進行賦值，即將不可測量的不完備、不精確或不易獲得的數(shù)據(jù)轉(zhuǎn)化成易衡量易獲得的指數(shù)而納入模型中，我們在分析的過程中涵蓋了系統(tǒng)分析、設(shè)計、實施等不同的階段以及進度、技術(shù)、費用的風險等具體的參數(shù)，具體如下圖基于分層然后無確定了各個指標的具體賦值的概率情況，我們認為概率賦值較高的指標為關(guān)鍵指標，而概率賦值教的指標則成為非關(guān)鍵指標。在進行具體的賦值與分類之前，我們需要將各項指標進行證據(jù)融合，以期望得到信任函數(shù)，在這個步驟中可以采用交叉列表法來進行具體的證據(jù)融合，之后我們就可以得到具體的指標賦值概率，然后利用信任函數(shù)經(jīng)過具體的計算就可以得到各個指標的風險值情況，然后將各個指標分配一定的權(quán)重就可以得到軟件開發(fā)過程中受各種不確定因素影響的風險范圍。

作者:于婕 單位:天津卓朗科技發(fā)展有限公司

參考文獻：

[1]韓德強,楊藝,韓崇昭.DS證據(jù)理論研究進展及相關(guān)問題探討[J].控制與決策,2014,29(1):1-11.

篇（8）

1.1基礎(chǔ)設(shè)施的可用性：運行于內(nèi)部專網(wǎng)的各主機、數(shù)據(jù)庫、應(yīng)用服務(wù)器系統(tǒng)的安全運行十分關(guān)鍵，網(wǎng)絡(luò)安全體系必須保證這些系統(tǒng)不會遭受來自網(wǎng)絡(luò)的非法訪問、惡意入侵和破壞。

1.2數(shù)據(jù)機密性：對于內(nèi)部網(wǎng)絡(luò)，保密數(shù)據(jù)的泄密將直接帶來政府機構(gòu)以及國家利益的損失。網(wǎng)絡(luò)安全系統(tǒng)應(yīng)保證內(nèi)網(wǎng)機密信息在存儲與傳輸時的保密性。

1.3網(wǎng)絡(luò)域的可控性:電子政務(wù)的網(wǎng)絡(luò)應(yīng)該處于嚴格的控制之下，只有經(jīng)過認證的設(shè)備可以訪問網(wǎng)絡(luò)，并且能明確地限定其訪問范圍，這對于電子政務(wù)的網(wǎng)絡(luò)安全十分重要。

1.4數(shù)據(jù)備份與容災(zāi):任何的安全措施都無法保證數(shù)據(jù)萬無一失，硬件故障、自然災(zāi)害以及未知病毒的感染都有可能導(dǎo)致政府重要數(shù)據(jù)的丟失。因此，在電子政務(wù)安全體系中必須包括數(shù)據(jù)的容災(zāi)與備份，并且最好是異地備份。

2電子政務(wù)信息安全體系模型設(shè)計

完整的電子政務(wù)安全保障體系從技術(shù)層面上來講，必須建立在一個強大的技術(shù)支撐平臺之上，同時具有完備的安全管理機制，并針對物理安全，數(shù)據(jù)存儲安全，數(shù)據(jù)傳輸安全和應(yīng)用安全制定完善的安全策略

在技術(shù)支撐平臺方面，核心是要解決好權(quán)限控制問題。為了解決授權(quán)訪問的問題，通常是將基于公鑰證書（PKC）的PKI（PublicKeyInfrastructure）與基于屬性證書（AC）的PMI（PrivilegeManagementInfrastructure)結(jié)合起來進行安全性設(shè)計，然而由于一個終端用戶可以有許多權(quán)限，許多用戶也可能有相同的權(quán)限集，這些權(quán)限都必須寫入屬性證書的屬性中，這樣就增加了屬性證書的復(fù)雜性和存儲空間，從而也增加了屬性證書的頒發(fā)和驗證的復(fù)雜度。為了解決這個問題，作者建議根據(jù)X.509標準建立基于角色PMI的電子政務(wù)安全模型。該模型由客戶端、驗證服務(wù)器、應(yīng)用服務(wù)器、資源數(shù)據(jù)庫和LDAP目錄服務(wù)器等實體組成，在該模型中：

2.1終端用戶：向驗證服務(wù)器發(fā)送請求和證書，并與服務(wù)器雙向驗證。

2.2驗證服務(wù)器：由身份認證模塊和授權(quán)驗證模塊組成提供身份認證和訪問控制，是安全模型的關(guān)鍵部分。

2.3應(yīng)用服務(wù)器：與資源數(shù)據(jù)庫連接，根據(jù)驗證通過的用戶請求，對資源數(shù)據(jù)庫的數(shù)據(jù)進行處理，并把處理結(jié)果通過驗證服務(wù)器返回給用戶以響應(yīng)用戶請求。

2.4LDAP目錄服務(wù)器：該模型中采用兩個LDAP目錄服務(wù)器，一個存放公鑰證書（PKC）和公鑰證書吊銷列表（CRL），另一個LDAP目錄服務(wù)器存放角色指派和角色規(guī)范屬性證書以及屬性吊銷列表ACRL。

安全管理策略也是電子政務(wù)安全體系的重要組成部分。安全的核心實際上是管理，安全技術(shù)實際上只是實現(xiàn)管理的一種手段，再好的技術(shù)手段都必須配合合理的制度才能發(fā)揮作用。需要制訂的制度包括安全行政管理和安全技術(shù)管理。安全行政管理應(yīng)包括組織機構(gòu)和責任制度等的制定和落實；安全技術(shù)管理的內(nèi)容包括對硬件實體和軟件系統(tǒng)、密鑰的管理。

轉(zhuǎn)貼于中國論文下載中心www

3電子政務(wù)信息安全管理體系中的風險評估

電子政務(wù)信息安全等級保護是根據(jù)電子政務(wù)系統(tǒng)在國家安全、經(jīng)濟安全、社會穩(wěn)定和保護公共利益等方面的重要程度。等級保護工作的要點是對電子政務(wù)系統(tǒng)進行風險分析，構(gòu)建電子政務(wù)系統(tǒng)的風險因素集。

3.1信息系統(tǒng)的安全定級信息系統(tǒng)的安全等級從低到高依次包括自主保護級、指導(dǎo)保護級、監(jiān)督保護級、強制保護級、?？乇Ｗo級五個安全等級。對電子政務(wù)的五個安全等級定義，結(jié)合系統(tǒng)面臨的風險、系統(tǒng)特定安全保護要求和成本開銷等因素，采取相應(yīng)的安全保護措施以保障信息和信息系統(tǒng)的安全。

3.2采用全面的風險評估辦法風險評估具有不同的方法。在ISO/IECTR13335-3《信息技術(shù)IT安全管理指南:IT安全管理技術(shù)》中描述了風險評估方法的例子，其他文獻，例如NISTSP800-30、AS/NZS4360等也介紹了風險評估的步驟及方法，另外，一些組織還提出了自己的風險評估工具，例如OCTAVE、CRAMM等。

電子政務(wù)信息安全建設(shè)中采用的風險評估方法可以參考ISO17799、OCTAVE、CSE、《信息安全風險評估指南》等標準和指南，從資產(chǎn)評估、威脅評估、脆弱性評估、安全措施有效性評估四個方面建立風險評估模型。其中，資產(chǎn)的評估主要是對資產(chǎn)進行相對估價，其估價準則依賴于對其影響的分析，主要從保密性、完整性、可用性三方面進行影響分析;威脅評估是對資產(chǎn)所受威脅發(fā)生可能性的評估，主要從威脅的能力和動機兩個方面進行分析;脆弱性評估是對資產(chǎn)脆弱程度的評估，主要從脆弱性被利用的難易程度、被成功利用后的嚴重性兩方面進行分析;安全措施有效性評估是對保障措施的有效性進行的評估活動，主要對安全措施防范威脅、減少脆弱性的有效狀況進行分析;安全風險評估就是通過綜合分析評估后的資產(chǎn)信息、威脅信息、脆弱性信息、安全措施信息，最終生成風險信息。

在確定風險評估方法后，還應(yīng)確定接受風險的準則，識別可接受的風險級別。

4結(jié)語

電子政務(wù)與傳統(tǒng)政務(wù)相比有顯著區(qū)別，包括:辦公手段不同，信息資源的數(shù)字化和信息交換的網(wǎng)絡(luò)化是電子政務(wù)與傳統(tǒng)政務(wù)的最顯著區(qū)別;行政業(yè)務(wù)流程不同，實現(xiàn)行政業(yè)務(wù)流程的集約化、標準化和高效化是電子政務(wù)的核心;與公眾溝通方式不同，直接與公眾溝通是實施電子政務(wù)的目的之一，也是與傳統(tǒng)政務(wù)的重要區(qū)別。在電子政務(wù)的信息安全管理中，要抓住其特點，從技術(shù)、管理、策略角度設(shè)計完整的信息安全模型并通過科學(xué)量化的風險評估方法識別風險和制定風險應(yīng)急預(yù)案，這樣才能達到全方位實施信息安全管理的目的。

參考文獻：

[1]范紅，馮國登，吳亞非.信息安全風險評估方法與應(yīng)用.清華大學(xué)出版社.2006.

篇（9）

一、風險

風險是指在一定的客觀情形下，在某一特定期間內(nèi)，那些可能發(fā)生的結(jié)果之間的差異。顯然，這種差異是實際結(jié)果與預(yù)期結(jié)果的變動程度。所謂風險大，就是指這種變動程度大；風險小，就是指這種變動程度小?；疽?guī)范涉及的風險是指對實現(xiàn)內(nèi)部控制目標可能產(chǎn)生負面影響的不確定因素。因此，在這個概念的界定上，需要明確內(nèi)部控制目標和不確定因素兩個關(guān)鍵詞。

1.內(nèi)部控制的目標

內(nèi)部控制有五大主要目標，即運營的效率和效果、財務(wù)報告的可靠性、資產(chǎn)的安全完整、法律法規(guī)的遵循性以及實現(xiàn)企業(yè)的戰(zhàn)略目標。內(nèi)部環(huán)境、風險評估、控制措施、信息與溝通以及監(jiān)督檢查均服務(wù)于五大目標。

對于經(jīng)營的效率和效果而言，這是一個公司基本的業(yè)務(wù)目標，包括業(yè)績和盈利目標以及資產(chǎn)的保護，它們因管理者對結(jié)構(gòu)和業(yè)績的選擇而異；可靠的財務(wù)報告與公認會計準則編制的財務(wù)報表以及相關(guān)陳述有關(guān)，所以會涉及賬務(wù)和非賬務(wù)信息；同時，遵循相關(guān)的法律法規(guī)，公司可以避免對其名譽造成損害或者遭受其他不利后果。

經(jīng)營的效率和效果及報告的目標更多地建立在偏好、判斷和管理風格的基礎(chǔ)上。它們在不同的主體之間存在著很大的區(qū)別，因為不同的主體可能會選擇不同的目標。所以對所有主體而言，都是最優(yōu)的目標模式是不存在的。

2.不確定性

風險是不確定的，否則，就不能稱之為風險。所謂不確定性，即當風險存在時，至少存在兩種可能的結(jié)果，只是我們面對風險時無法知道哪種結(jié)果將出現(xiàn)。不確定性分為主觀上的不確定和客觀上的不確定。

（1）主觀上的不確定

不確定性大多定義為基于對未來發(fā)生或不會發(fā)生什么事情的情況缺乏認識、產(chǎn)生懷疑的思維狀態(tài)。不確定性是一種對于未來將發(fā)生的事情的簡單心理反應(yīng)。當風險存在時，就產(chǎn)生了不確定性。而這種不確定性往往是主觀的，與實際情形不相符合。

（2）客觀上的不確定

客觀上的不確定的兩個層次的含義：

第一，不確定的客觀存在性。如果不確定性是由一些偶然因素導(dǎo)致的結(jié)果，那么其存在就具有了客觀性。第二，有些情況在客觀上是確定的，但是人們總體上認知能力不足，無法得到確定狀態(tài)所必要的信息。因此也可以認為由此導(dǎo)致的對未來的無法判斷是客觀的。

（3）風險的特征

風險具有三個明顯的特征：偶然性、可變性和客觀性。

風險具有偶然性。從全社會看，風險是具有必然性的。但是，對特定的個體而言，風險事故的發(fā)生是偶然的。這種偶然性其實是由事件的隨機性決定的。因為風險事故的發(fā)生與否不確定，風險事故何時發(fā)生也不能確定，風險事故將會怎樣發(fā)生，其損失有多大，也不能確定。

風險具有可變性。風險的可變性是指在一定條件下風險具有可轉(zhuǎn)化的特性。而世界上任何事物都是互相聯(lián)系、互相依存、互相制約的，世界萬物都處在運動變化的狀態(tài)之中，這些變化必然會引起風險的變化。新風險產(chǎn)生和舊風險的消亡，也有量的增減和質(zhì)的改變。風險的變化是由某些因素引起的，這些因素可以歸結(jié)為科技的進步、政治和社會結(jié)構(gòu)的改變、經(jīng)濟體制與結(jié)構(gòu)的轉(zhuǎn)變。

風險具有客觀性。風險是由客觀存在的自然現(xiàn)象和社會現(xiàn)象引起的。自然界的運動如洪水、泥石流、雷電、暴雨等形成自然災(zāi)害，對人類的生命和財產(chǎn)構(gòu)成威脅。戰(zhàn)爭、沖突等是受社會發(fā)展規(guī)律支配的，人們認識和掌握規(guī)律可以預(yù)防意外事故，但是不能完全消除風險的存在。因此，風險是客觀存在的，人們只能在一定的范圍內(nèi)改變風險發(fā)生和發(fā)展的條件，采取辦法降低其發(fā)生的概率，減少風險帶來的損失程度，但是卻不能徹底消除風險。

二、風險評估

不同的企業(yè)、同一企業(yè)的不同時期以及同一企業(yè)內(nèi)部不同的內(nèi)部環(huán)境、外部環(huán)境、業(yè)務(wù)層面和工作環(huán)節(jié)，都可能面臨不同的風險，企業(yè)應(yīng)當有針對性地開展風險評估。

風險評估，是指及時識別、科學(xué)分析影響企業(yè)內(nèi)部控制目標實現(xiàn)的各種不確定因素，同時采取應(yīng)對策略的過程。要對識別的風險進行分析，形成風險管理的依據(jù)。風險與可能被影響的目標相關(guān)聯(lián)。既要對固有風險進行評估，也要對剩余風險進行評估，評估要考慮到風險的可能性和影響。

通常來講，企業(yè)進行風險評估的目的主要有：了解和評價企業(yè)的經(jīng)營環(huán)境和經(jīng)營現(xiàn)狀；提出組織發(fā)展的安全需求；擇取最優(yōu)的風險控制措施；建立安全管理體系；制定有效的安全策略。

風險評估的主要任務(wù)有以下幾點：識別企業(yè)面臨的各種風險；評估風險概率和可能帶來的負面影響；確定組織承受風險的能力；確定風險消減和控制的優(yōu)先等級；推薦風險消減對策，適時調(diào)整應(yīng)對策略。

在風險評估過程中，有幾個關(guān)鍵的問題需要考慮：第一，確定評估對象或者資產(chǎn)，明確它的直接和間接價值；第二，分析資產(chǎn)面臨的潛在威脅和導(dǎo)致威脅的問題所在以及威脅發(fā)生的可能性；第三，資產(chǎn)中存在哪些弱點可能會被威脅所利用，利用的難易程度如何；第四，一旦威脅事件發(fā)生，企業(yè)會遭受怎樣的損失或者面臨怎樣的負面影響；第五，組織應(yīng)該采取怎樣的安全措施以便將風險帶來的損失降低到最低程度。解決以上問題的過程，就是風險評估的過程。另外，在進行風險評估時，有幾個對應(yīng)關(guān)系必須考慮：（1）每項資產(chǎn)可能面臨多種威脅，（2）威脅源（威脅）可能不止一個，（3）每種威脅可能利用一個或多個弱點。

風險評估要按照一定的程序來進行，有目標設(shè)定、風險識別、風險分析、風險應(yīng)對四個步驟。

篇（10）

(一)風險管理理論

風險管理理論始于20世紀30年代，至20世紀60年代中期逐步發(fā)展成為一門學(xué)科?！?963年梅爾和赫奇斯的《企業(yè)的風險管理》、1964年威廉姆斯和漢斯的《風險管理與保險》出版，標志著風險管理理論正式登上了歷史的舞臺?！保?］風險管理理論經(jīng)歷了從傳統(tǒng)風險管理理論到金融風險管理理論再到全面風險管理理論的不同時期。傳統(tǒng)風險管理理論主要對風險管理的對象進行界定和區(qū)分，將純粹意義上的風險作為研究對象，也就是將不利風險納入企業(yè)風險管理的重要范疇。企業(yè)風險管理的主要任務(wù)是減少不利風險的發(fā)生，降低不利風險對企業(yè)的可能損害。管理的基本手段是采用保險的方式轉(zhuǎn)移和減少風險所帶來的損失。20世紀60年代末至70年代初，一些學(xué)者對市政管理中的風險問題進行研究。托德(Todd，1969)和沃恩(Vaughan，1971)通過對美國九個州市政管理現(xiàn)狀的調(diào)查研究，提出市政官員應(yīng)加強市政風險管理的主張。風險管理理論逐步與管理學(xué)、經(jīng)濟學(xué)等學(xué)科融合與發(fā)展，風險管理研究對象逐步拓展，不再局限于傳統(tǒng)風險管理理論對純粹風險的管控，金融風險管理興起。金融風險管理不僅是為了克服純粹風險，更不是僅僅利用保險的方式轉(zhuǎn)移風險，而是注重保險的收益功能。金融風險管理標志著風險管理理論向縱深度發(fā)展。20世紀80年代，接踵而至的金融危機推動了風險管理理論的蓬勃發(fā)展，迫使金融界進一步思考風險管理問題，全面風險管理時代來臨。全面風險管理主張從系統(tǒng)的角度對所有風險集合整體上加以管理和控制。全面風險管理理論已經(jīng)成為企業(yè)決策和金融業(yè)決策的重要指導(dǎo)，作為一種系統(tǒng)和科學(xué)的管理模式被廣泛應(yīng)用。

(二)風險社會研究的興起與發(fā)展

20世紀以來，特別是20世紀后半期，人類社會在經(jīng)濟領(lǐng)域、社會領(lǐng)域取得非凡成就，但也潛藏著各種危機，生態(tài)環(huán)境急劇惡化，經(jīng)濟危機和金融風險頻繁發(fā)生，社會貧富分化現(xiàn)象日趨嚴峻;與此同時，化學(xué)污染、核威脅、各種電磁輻射、轉(zhuǎn)基因產(chǎn)品危害等現(xiàn)代性的負效應(yīng)正威脅人類，使社會面臨嚴重風險。出于對工業(yè)社會和現(xiàn)代性的反思，1986年德國學(xué)者烏爾里希•貝克(UlrichBeck)在其德文版著作《風險社會》中，首次提出“風險社會”的概念。但是在當時風險社會理論并未引起過多關(guān)注，直至1992年其英文版著作《風險社會》出版，風險社會理念才備受矚目。伴隨著對風險社會形成原因的不斷追問，貝克進一步指出工業(yè)社會所面臨的風險與以往社會所面臨的風險存在區(qū)別，如果將人類社會早期所發(fā)生的自然災(zāi)害、社會危機歸結(jié)為自然規(guī)律所導(dǎo)致的，那么工業(yè)社會發(fā)生的危機則與人類社會的重大決策緊密相關(guān)。貝克認為:“工業(yè)化以前人類社會所遭遇的各種自然災(zāi)害與工業(yè)化以后人類社會所面臨的各種風險大不一樣?！保?］安東尼•吉登斯則從人類社會歷史發(fā)展的角度，對社會發(fā)展的現(xiàn)代性、社會發(fā)展的全球化趨勢與社會風險關(guān)系進行探討，提出全球風險社會理論。吉登斯認為，人類社會面臨的風險，如果是來自自然界的外在風險，那么是自然風險;如果是由人類社會內(nèi)部對自然的改造和控制等“人力制造出來的風險”，那么是“人造風險”。人造風險與人類工業(yè)化發(fā)展、對社會現(xiàn)代性的追求相伴生。吉登斯對風險社會的研究系統(tǒng)而深入，對由現(xiàn)代性引發(fā)的社會風險類型進行了闡釋，認為現(xiàn)代性蘊含著經(jīng)濟增長、生態(tài)環(huán)境破壞、極權(quán)主義、軍事沖突、核危機等社會風險。從風險管理理論和風險社會研究可以看出，風險并不必然伴隨科技發(fā)展和社會進步而消失或減少;相反，可能由于人類的某種選擇和決策的失誤而被強化。因此，從全球的視野來分析社會風險，反思人類社會的管理與決策，加強決策與管理的科學(xué)性，有助于探尋社會風險的化解方法。

二、歐美重大事件風險管理的實踐經(jīng)驗

近年來，歐美發(fā)達國家的社會發(fā)展水平逐步提高，社會發(fā)展能力被彰顯出來。與此同時，社會面臨的風險與不確定因素也越來越多，風險轉(zhuǎn)化成危害，嚴重威脅著社會穩(wěn)定與持續(xù)發(fā)展。為此，歐美等發(fā)達國家和地區(qū)積極強化風險社會管理手段與方法。其依靠重大事件的科學(xué)決策有效化解風險、促進社會穩(wěn)定的經(jīng)驗，值得中國借鑒。

(一)美國環(huán)境風險管理制度

美國一直以來重視環(huán)境保護，20世紀80年代以來，更是將環(huán)境管理問題上升到與國家安全、國家利益、社會穩(wěn)定同等重要的高度。美國政府十分重視環(huán)境管理，對于環(huán)境管理中存在的風險進行有效控制。美國對于環(huán)境管理及風險防控的基本做法主要體現(xiàn)在:一是高度重視環(huán)境保護問題，將其確定為與國家安全、國家利益緊密相關(guān)的重大事件。1977年，美國學(xué)者萊斯特•布朗(LesterBrown)在其研究報告《重新定義國家的安全》中，首次提出將環(huán)境問題與國家安全問題緊密相連。布朗的觀點引起廣泛關(guān)注，關(guān)于環(huán)境安全的研究逐步增多。1987年里根政府的《國家安全報告》明確指出，自然資源的損耗與污染成為國家繁榮和國家安全的潛在威脅與風險，環(huán)境安全、環(huán)境管理被列入涉及國家安全、國家利益的重要領(lǐng)域，成為政府決策管理的重要范疇。二是進行深入系統(tǒng)的環(huán)境風險評價科學(xué)研究，為環(huán)境決策提供理論基礎(chǔ)和技術(shù)路線。美國是較早開展環(huán)境風險評價研究的國家，20世紀70年代至80年代初，環(huán)境風險評價開始萌芽，但關(guān)于風險評價的內(nèi)涵尚不清晰。20世紀80年代以來，風險評價的框架基本形成。美國國家科學(xué)院提出環(huán)境風險評價包含危害鑒別、劑量—效應(yīng)關(guān)系評價、暴露評價和風險表征四個階段［3］。20世紀80年代后期，環(huán)境風險評價運用于決策的相關(guān)研究逐步增加，特別是比較風險評價理論的提出與發(fā)展，大大推動了美國環(huán)境決策發(fā)展。艾扎斯(Ijjasz)和特雷耶(Tlayie)認為，“在宏觀上，比較風險評價是在掌握大量正確數(shù)據(jù)的基礎(chǔ)上對決策中的風險進行排序比較，并以風險的大小作為決策方案的選擇依據(jù)，從而形成一個包含有科學(xué)家、決策者與利益相關(guān)者的開放、公平的相互交流的環(huán)境?！保?］三是建立生態(tài)風險評價的政策依據(jù)，為風險評價提供行動指南?！?998年美國國家環(huán)保局正式頒布了《生態(tài)風險評價指南》，提出生態(tài)評價三步法:問題形成、分析和風險表征，同時要求在正式的科學(xué)評價之前，首先制定一個總體規(guī)劃，以明確評價目的。”［5］這也是世界上最早的生態(tài)風險評價方面的指導(dǎo)文件。美國國家環(huán)境保護局將比較風險評價應(yīng)用于環(huán)境決策，確定了將當前環(huán)境決策未解決的問題具體化、在對數(shù)據(jù)分析的基礎(chǔ)上提出新的決策方案、決策者依據(jù)環(huán)境因素與潛在風險等因素對方案進行評估、方案選擇決策確定、校驗決策等基本環(huán)節(jié)。四是建立完備的風險管理與環(huán)境應(yīng)急機制。對于環(huán)境存在的風險及可能發(fā)生的突發(fā)事件，美國建立比較完善的環(huán)境風險管理與應(yīng)急機制。環(huán)境風險管理與應(yīng)急機制主要包括環(huán)境風險的宣傳與教育機制、風險預(yù)測預(yù)警機制、風險管理機制，針對潛在的環(huán)境風險進行識別、宣傳與防范，為降低風險和科學(xué)決策提供保障。

(二)歐盟食品風險評估制度

自20世紀60年代開始，為確保食品安全，促進食品在成員國自由流通，歐盟就制定了食品安全政策。目前歐盟已建立相對完備的食品安全風險評估制度體系，能夠有效防控食品安全危機。一是構(gòu)建食品安全風險評估的法律框架，為風險評估工作提供法律依據(jù)。歐盟委員會分別于1997年和2000年《食品安全綠皮書》、《食品安全白皮書》，明確了食品安全管理的總體思路，特別是提出了食品安全風險評估的重要性，提出成立歐盟食品安監(jiān)局作為食品安全風險評估的實施機構(gòu)，初步奠定了開展食品安全風險評估的制度基礎(chǔ)。2002年頒布了EC178/2002條例，明確提出食品安全法應(yīng)建立在風險評估的基礎(chǔ)上，明確提出成立食品安全局(EFSA)進行食品安全風險評估的相關(guān)工作。二是建立食品安全的快速預(yù)警系統(tǒng)。歐盟在食品安全法的框架下，建立了食品與飲料快速預(yù)警系統(tǒng)(RASFF)［6］。根據(jù)危急程度不同，預(yù)警系統(tǒng)分為預(yù)警通報和信息通報兩大類。當食品安全出現(xiàn)問題，可能危及人類健康時，成員國可以借助預(yù)警系統(tǒng)互通消息，從而減少風險。三是成立專門的食品安全風險評估組織機構(gòu)，以保證評估工作的科學(xué)性與獨立性。歐盟食品安全局作為食品安全風險評估和風險交流的專門機構(gòu)，開展相對獨立、科學(xué)、公開、透明的風險評估工作。食品安全局組織機構(gòu)完備，下設(shè)管理委員會、執(zhí)行主任和成員、咨詢論壇、科學(xué)委員會和科學(xué)小組［7］。管理委員會主要負責下年度工作計劃和上年度工作總結(jié)報告等職責。執(zhí)行主任公開招聘產(chǎn)生，主要負責日常管理工作。咨詢論壇協(xié)助執(zhí)行主任開展工作，負責與各成員國主管機構(gòu)合作，加強信息交流，充分了解和把握潛在的風險?？茖W(xué)委員會和科學(xué)小組負責為決策提供科學(xué)建議?？茖W(xué)小組由食品安全領(lǐng)域?qū)＜医M成，可以組織聽證會，加強與公眾交流，搜集公眾意見?？茖W(xué)委員會則由各小組的主席以及來自科學(xué)小組以外的六名專家組成，開展全面協(xié)調(diào)工作，確?？茖W(xué)建議的準確性與一致性。歐盟食品安全局自動發(fā)起或者是應(yīng)歐盟委員會或其成員國的科學(xué)建議請求，必須在規(guī)定期限內(nèi)為歐盟成員國和歐盟委員會提供科學(xué)技術(shù)支持，盡可能地搜集決策相關(guān)信息，在對其進行風險評估的基礎(chǔ)上，將評估結(jié)果、風險信息等因素一并提供給歐盟委員會及其成員國。

(三)英國國家安全風險評估與城市風險評估體系

英國建立了相對完善的國家安全風險評估和城市安全風險評估機制，能夠?qū)覍用婧统鞘兄锌赡馨l(fā)生的危害國家和社會安全的風險進行有效的防范與控制。英國建立了完備的國家安全風險評估與預(yù)測機制，建構(gòu)了《國家安全風險評估》、《國家安全任務(wù)與指導(dǎo)方針》等風險評估與風險應(yīng)對的防范政策體系。國家安全委員會在廣泛了解和分析潛在的國家安全風險的基礎(chǔ)上，根據(jù)相關(guān)的可能性及其影響，促進和協(xié)助政府聯(lián)合其他部門共同面對和化解風險。以英國倫敦為例，其“一案三制”意義上的城市風險管理機制十分完備，堪稱城市風險管理的典范，可以為區(qū)域內(nèi)重大事件決策的風險防范提供參考。通常情況下，風險管理分為風險評估與防范、風險控制、風險處置與恢復(fù)等環(huán)節(jié)。在倫敦的城市風險管理中，風險評估程序非常完善。倫敦城市風險評估的基本經(jīng)驗主要體現(xiàn)在以下三個方面:一是依法確立風險評估主體。英國2005年4月正式實施的《國內(nèi)應(yīng)急法》明確規(guī)定各級政府是風險評估的責任主體，在風險評估與應(yīng)急規(guī)劃中擔負重要責任。二是建立風險評估的協(xié)調(diào)機構(gòu)。美國“9•11”恐怖襲擊事件發(fā)生以后，倫敦出于對危機事件有效防范的考量，著手建立跨區(qū)域、跨部門的風險評估協(xié)調(diào)機構(gòu)。倫敦區(qū)域應(yīng)急論壇下設(shè)倫敦應(yīng)急團隊，每個論壇的主要職責是對區(qū)域內(nèi)的風險進行識別與評估，使倫敦能有效應(yīng)對危機事件。三是完善風險評估的基本流程系統(tǒng)。倫敦的城市風險評估工作流程主要分為“選擇風險事項、挑選評估者、風險分析、風險評價、風險應(yīng)對、監(jiān)控與審查等六大步驟”［8］。選擇風險事項階段，主要由風險評估工作組和各應(yīng)急論壇的組成部門協(xié)同合作，確定風險事項，識別重要的利益相關(guān)者，結(jié)合區(qū)域環(huán)境因素確定風險評估的原則與標準。挑選評估者階段，主要是確定風險評估者及地方應(yīng)急論壇相關(guān)人員在工作中的分工與職責，確定主任評審員的人選，為后續(xù)工作奠定組織基礎(chǔ)。風險評價階段，主要由主任評審員負責，對未來五年內(nèi)可能發(fā)生的風險進行分析與建議。風險分析階段，主要是由主任評審員對風險進行預(yù)測、分析，并提出相對詳盡的風險分析報告。風險應(yīng)對、監(jiān)督與評審已經(jīng)成為制度化、穩(wěn)定化的工作，地方應(yīng)急論壇每四年就要對所有風險提出正式的評審報告。

三、國外經(jīng)驗對我國重大決策社會穩(wěn)定風險評估的啟示

國外關(guān)于風險研究的理論與重大事件風險管理的實踐都取得了長足進展，而我國重大事件社會穩(wěn)定風險評估工作尚處于起步階段，還存在諸多需要完善之處。汲取歐美發(fā)達國家重大事件風險管理的有益經(jīng)驗，建立健全我國重大決策社會穩(wěn)定風險評估機制。

(一)加強重大決策社會穩(wěn)定風險評估的理論研究

中國重大決策社會穩(wěn)定風險評估工作已經(jīng)進入實踐階段，實踐中形成了四川“遂寧模式”和江蘇的“淮安模式”，但是中國關(guān)于重大決策社會穩(wěn)定風險評估的理論研究還十分匱乏。分析美國環(huán)境風險管理的成功經(jīng)驗，美國國家科學(xué)院等環(huán)境保護的科研機構(gòu)及專家學(xué)者關(guān)于環(huán)境風險的相關(guān)理論研究為政府決策提供了有效的理論依據(jù)和方法指引，對保障決策科學(xué)性和化解決策風險起到重要作用。中國學(xué)者關(guān)于風險社會理論的研究集中于風險社會意識形成和風險社會危害等研究領(lǐng)域。這些研究雖然奠定了重大決策社會穩(wěn)定風險分析的理論基礎(chǔ)，能夠為風險評估提供理論支撐，但是結(jié)合中國社會轉(zhuǎn)型期社會穩(wěn)定風險的分析不夠深入，對于重大決策可能引起的風險認識還不夠清晰。中國對于重大決策社會穩(wěn)定風險評估價值的探討較多，但是對于如何推進實踐的可操作性研究明顯不足。風險評估作為一種技術(shù)已經(jīng)在國內(nèi)外政治社會生活中廣泛應(yīng)用，在國家、部門，特別是企業(yè)管理中廣泛應(yīng)用，但是目前中國在重大決策中應(yīng)用較少，學(xué)者提供了風險評估的框架體系，但是缺少細節(jié)設(shè)計，還有待于對重大決策風險評估的技術(shù)方法和實踐機制等領(lǐng)域進行深入系統(tǒng)的理論研究。

(二)增強重大決策社會穩(wěn)定風險評估意識

目前，從中國相關(guān)政府部門到社會公眾，整體上風險意識淡薄，對于風險管理認識不深入、不夠重視，特別是對于重大事件決策與社會穩(wěn)定風險之間的相關(guān)性認識不清，缺乏管控風險的意識。因此，強化對重大決策社會穩(wěn)定風險評估的意識，為各級政府決策提供軟環(huán)境。發(fā)達國家的風險意識十分強烈，美國20世紀80年代就將環(huán)境保護問題上升到與國家安全、國家利益息息相關(guān)的重大事件進行管理，對重大事件風險評估與決策十分重視。英國對于國家未來可能發(fā)生的重大風險進行識別與防控，也是緣于其高度的風險意識。

(三)完善重大決策社會穩(wěn)定風險評估的法律制度

歐盟在食品安全管理中，有關(guān)食品風險評估的法律制度提前建立起來，為食品風險評估提供法律保障。英國國家安全以及城市風險管理的相關(guān)法律制度較早地完備起來，為風險評估工作奠定了制度基礎(chǔ)，使風險評估可以按照法律和制度要求系統(tǒng)化、經(jīng)?；?、穩(wěn)定化地開展。中國對于重大決策風險評估的法律依據(jù)尚不充分，所以需要建立健全重大決策風險評估的相關(guān)法律政策，為開展重大決策風險評估提供政策依據(jù)，保障風險評估工作有序進行。