時間:2023-06-11 09:33:45
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇風險評估的定義,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
關鍵詞:SPS協定;風險評估;科學證據
中圖分類號:F7文獻標識碼:A
一、風險評估制度概述
(一)風險評估的含義。《SPS協議》即WTO《實施衛生與植物衛生措施協議》的簡稱,該協議是根據《農產品協議》第八部分而制定的,也是對關貿總協定第20條第2款的具體化。根據《SPS協議》的定義,“風險評估”的概念分為兩種:對于來自于食品的風險,風險評估的定義是,評價食品、飲料或飼料中存在添加劑、污染物、毒素或致病有機體對人類或動物的健康產生潛在的不利影響。對于病蟲害,風險評估的定義是,根據可能適用的衛生和檢疫措施評價蟲害或病害在進口成員領土內傳入、定居或傳播的可能性,及評價相關潛在的生物學后果和經濟后果。具體來說,對來自食品的風險評估只要求對人類或動物健康的潛在負面影響進行評估,而對病蟲害的評估要求則要高得多,它要求對疾病的進入、定居或傳播的可能性以及相應的潛在的生物和經濟后果進行評估。
(二)風險評估的特點。《SPS協定》中的風險評估體現出以下特點:
1、根據風險評估的定義,字面上可以將風險評估的過程看作是一個科學的、價值中立的過程。但實際上,風險評估由于其過程的復雜性、科學知識的不確定性以及方法技術的差異性,導致了這一過程在很多情況下并不完全是一個科學中立的過程。
2、在進行風險評估時,必須要考慮所有的風險。
3、風險評估常常是根據個案的具體情況而進行的。由于各國差異,《SPS協定》并沒有規定對于來自不同成員的動植物產品采用統一的檢驗檢疫標準。因此,進口方對于不同成員方出口產品所要求的標準是不同的,在具體采取風險評估時所要考慮的因素也是有差異的。
4、風險評估必須是具體的,不僅對類別或項目,而是對某一具體類型進行評估。同時,“風險評估既可以是對風險進行量化的評估,也可以是對風險的性質進行評估”。
二、《SPS協定》風險評估規則的動態效應
(一)風險評估應當考察的各項要素
1、科學證據要素是評估的核心。《SPS協定》第2條第2款要求SPS措施必須以科學原理為依據,如果沒有充分的科學依據則不再實施。在風險評估中,最為重要的是“科學”原則,而科學原則具體化地體現為科學證據原則。科學證據原則構成了《SPS協定》最核心的義務,也是所有SPS爭端共同關注的焦點。科學證據須滿足某些限定性條件,以使其符合《SPS協定》在風險評估方面的規定及精神。主要的條件可以表述為以下特點:
(1)充分性。WTO成員方要實行植物檢疫措施,應當有“充分的科學依據”,并且要“以科學原則為基礎”。“充分”是一個關聯概念,如它要求在植物檢疫措施與科學之間存在足夠的關聯,即品種測試方法與科學證據之間存在“合理的或客觀的聯系”,否則則認為沒有充分的科學依據。
(2)比例性。科學證據與SPS措施之間必須存在著一種客觀的、合理的關聯,是否存在這種關聯必須依據個案的具體情況確定,包括此項措施的特征和科學證據的質量和數量,并且要求所采取的措施與能夠提出的科學證據之間要有適當的比例,不應該根據較少的,或不甚重要的科學證據而采取較為嚴重的措施。
(3)具體性。作為風險評估所依據的科學證據要有具體性,證據要確實針對所存在的風險。必須對爭議措施所涉特定風險進行評估,否則就表明其風險評估對所涉情況不是“十分明確的”。
(4)時間性。在判斷一項風險評估是否符合第5.1條規定時,只應當根據風險評估做出時刻獲得的證據來進行,而不應考慮風險評估做出后出現的科學證據。
2、科學證據以外的其他因素也具有相當的重要性。《SPS協議》第5條第2款列舉了WTO成員國在風險評估中應當考慮的具體因素,包括可獲得的科學證據;有關工序和生產方法;有關檢查、抽樣檢驗方法;特定病害或蟲害的流行等等。在實踐中,引起的問題主要是:在SPS協議中沒有明確提及的因素,即所謂的“科學以外”的因素,如消費者關注、文化或道德偏好以及社會價值判斷等,能否在WTO成員國確定一項風險是否存在時予以考慮。目前,根據案例分析的結論是肯定的。如在“荷爾蒙牛肉案”中,專家組認為,一項風險評估,是對資料和事實研究的科學審查,不是一項涉及由政治機構作出的社會價值判斷的政策實踐。其結論是:科學以外的因素不應在風險評估中予以考慮,而是應該在風險管理中予以考慮,即對風險可接受的水平和選擇滿足該水平的SPS措施而作出的決定。但是,上訴機構了專家組的這一結論,它認為《SPS協議》第5條第2款中列舉了WTO成員在進行風險評估時應當考慮的因素,但這一列舉不是一個“窮盡的”列舉。在WTO成員國進行一項風險評估時,可以考慮該條款中未列舉的因素。就條文來說,只規定了“應當”在風險評估中予以考慮的因素,而沒有明確規定是否也能考慮其他因素,從“荷爾蒙牛肉案”上訴機構的這一結論可以看出,上訴機構對《SPS協定》第5條第2款作了擴大解釋,即可以考慮其他的諸如消費者關注、社會價值判斷等因素。但是,上訴機構的這一結論會不會沖擊風險評估的科學性要求,會不會導致WTO成員尤其是發達國家對SPS措施的濫用,進而損及SPS協議的規范性和可預見性,這些問題仍有待反思與商榷,也值得發展中國家引起足夠的警惕與注意。
(二)SPS措施與風險評估的關系。SPS措施是指《SPS協定》中規定的衛生與植物衛生措施。《SPS協定》第2條第1款規定,各成員有權采取為保護人類、動物或植物的生命或健康所必需的衛生與植物衛生措施,只要此類措施與本協定的規定不相抵觸。該條規定了成員方采用SPS措施的目的,還規定了SPS措施所可以采取的表現形式,其范圍很廣,包括所有相關的法律、法令、法規、要求和程序,也特別指出了一些標準、方法、程序和要求等。成員方在制定SPS措施時經常必須要考慮進行風險評估,這一點在《SPS協定》中也有所體現。協定第3條第1款規定:“為在盡可能廣泛的基礎上協調衛生與植物衛生措施,各成員的衛生與植物衛生措施應根據現有的國際標準、指南或建議制定,除非本協定、特別是第3款中另有規定。”該條第3款是一個特殊的規定,指出了在符合一定的條件下,成員方可以采取更高水平的保護措施。同時,協定本身也對該條款中的“科學理由”做出了進一步的說明,且第3款中存在科學理由的情況下需要對有關風險的科學信息進行評估。“依照第5條第1款至第8款的有關規定確定衛生與植物衛生的保護水平”明確涉及到了風險評估的相關具體規則,更加是問題的核心。從協定中涉及風險評估進行的條款中可以看出,風險評估與SPS措施有著很密切的聯系,《SPS協定》要求WTO成員方不僅要進行風險評估,而且WTO成員方必須將其最終采取的SPS措施基于該風險評估做出。
三、風險評估制度價值分析
(一)風險評估適用的缺陷及問題
1、風險評估的認定缺乏科學性。《SPS協定》第5.2條規定“在進行風險評估時,各成員應考慮可獲得的科學證據”等,第2.2條要求SPS措施的實施必須具備充分的科學證據。然而,實踐中對何為科學證據卻不甚明了,對風險評估方法的科學性探討也不明確,容易導致風險評估的認定缺乏科學性。
2、對風險評估應考慮的其他因素規定不嚴密。《SPS協定》以列舉的方式在第5.2條和第5.3條中規定了風險評估應考慮的科學因素和經濟因素,而對科學之外的因素尤其是社會因素是否應加以考慮并未明確,規定不夠嚴密。風險評估若想達到真正科學的程度,就要綜合考慮各方面因素。社會因素作為日益重要的一類因素,同樣會影響到風險評估的科學性。僅評估理想條件下的風險顯然對現實的指導是不充分的,應考慮在存在諸多影響因素的現實社會中風險存在的可能性。
3、風險評估認定的標準不統一。《SPS協定》第5.1條規定:“各成員應保證其衛生與植物衛生措施的制定以對人類、動物或植物的生命或健康所進行的、適合有關情況的風險評估為基礎,同時考慮有關國際組織制定的風險評估技術。”該條文在規定風險評估義務時不甚明了,導致適用時產生了問題。依其規定,各成員有保證其SPS措施的制定以風險評估為基礎的義務,但如何保證并未做具體的程序性要求。實踐中出現了履行最低程序性義務的做法,即成員在證明其已經履行了規定義務時,可提交在該SPS措施制定前或制定時已獲得的證據。然而,由于第5.1條并未對此有明確規定,故導致在歐共體牛肉案中專家組和上訴機構對這一問題的結論大相徑庭。專家組肯定了最低程序性義務,而上訴機構卻認為只要成員的SPS措施與風險評估間存在實體上的合理及客觀的關聯即可,對程序性義務不做要求。在實體義務上,第5.1條的程序性義務不甚明了,實體性義務也存在認定標準上的不統一。各成員不親自進行風險評估,如果其他成員或國際組織的風險評估也與其SPS措施存在合理及客觀的聯系,則該措施也被視為合法。
(二)《SPS協定》下風險評估制度的完善
1、確保風險評估認定的科學性。對于風險評估認定的非主流科學觀點,只要是基于特定時期由有資格的受尊重的渠道提供,其本身是對人類及動植物生命健康所做的負責任的科學觀點,則采納此種觀點并無不可。另外,對于定量風險評估與定性風險評估,從實踐來看,兩種風險評估方法均具有科學性,可以分別適用或兩者結合適用。
2、明確風險評估考慮的因素。對于在進行風險評估的過程中應考慮的因素,歐共體牛肉案的上訴機構的報告中指出第5.2條的列舉并非一個窮盡性的清單。從《SPS協定》的性質來看,它是約束各成員政府行為的多邊國際條約,其實質是對政府的授權和限權的規定,所以應嚴格將政府行為限制在法律明文規定的范圍之內。因此,在WTO框架下對風險評估應考慮的因素應做出明確的解釋或進一步規定,將非科學性因素加以排除,保障風險評估本身的科學性。
3、明確風險評估義務。明確風險評估義務,首先應明確風險評估的實體性義務,明確SPS措施與風險評估間的關系。明確風險評估義務,還應明確風險評估的最低程序性義務。最低程序性義務實際上保證了風險評估是在SPS措施制定和實施時做出。由最低程序性義務導致的成員方的舉證責任制度也應加強。無論是實體性義務還是程序性義務,都應明確風險評估是制定SPS措施時必須依據的基礎,一項措施要成為正當的SPS措施,必須以科學的風險評估為基礎做出。
(作者單位:河北經貿大學研究生學院)
主要參考文獻:
[1]葉佐林.WTO《SPS協議》中的風險評估問題.南方農村,2004.3.
Abstract: In order to divide the rank of flight safety risk scientifically,utility theory is introduced into flight safety risk area to establish evaluation model for flight safety risk by using utility function.Based on analysis to the flight safety risk,we choose a proper utility function to measure the flight safety risk by defining the loss effect of accidents or dangerous events.The model can distinguish the difference of risk between the event such as flight accident with high loss but low probability and the event such as flight incident with low loss but high probability,it can also overcome the limitation of expectancy method.Finally,the scientificity and efficiency of the model is verified by a practical example.
關鍵詞:效用理論;飛行安全風險;損失效應;期望值法
Key words: utility theory;flight safety risk;loss effect;expectancy method
中圖分類號:F274 文獻標識碼:A文章編號:1006-4311(2010)23-0107-02
0引言
在組織飛行訓練的過程中,航空兵部隊時常會面臨飛行事故、飛行事故征候等不期望發生事件的發生,事故的發生不但會造成財產損失、人員傷亡,而且會影響部隊戰斗力的生成[1]。因此,預防事故發生,進而確保飛行安全是部隊一項重要工作。飛行安全風險評估作為一種有效提高飛行安全的手段,是指通過采取一定的風險度量方法,計算不期望發生事件發生的可能性大小及其造成損失的綜合[1,3]。在飛行安全風險評估過程中,最關鍵的問題就是如何建立有效的風險度量模型。關于風險度量方法方面,多采用定性與定量相結合的方法,最常用的是通過期望值法來度量風險的大小。期望值法是通過不期望發生事件發生可能性大小及其造成損失的乘積來量化風險大小的[3]。用期望值法求解得到的風險是系統的平均益損值。通常,飛行安全風險可以由飛行事故、飛行事故征候以及重大危險故障等不期望發生的事件表示,若用期望值法進行飛行安全風險評估,是難以有效區分類似飛行事故這樣高損失、低概率事件與飛行事故征候這樣低損失、高概率事件風險之間差異的。例如某飛行團發生一等飛行事故的可能性為0.05,造成的損失是100;發生飛行事故征候的可能性為0.5,造成的損失是10,能否說兩事件的風險大小是相同的,這顯然是不合理的。因此,期望值法存在局限性。
本文針對期望值法的局限性,利用效用函數,提出了一種新的飛行安全風險度量方法。在實際分析過程中,人們對事故或危險事件造成的損失往往會產生厭惡,表現出不滿意,并且隨著損失的增加,其不滿意程度在增加,增加的速度也在加快。文章通過定義事故或危險事件損失效應反映人們對損失的不滿意程度,然后再選取滿足損失效應條件的效用函數,確定不期望發生事件的損失效應,并最終建立基于效用理論的飛行安全風險評估模型。該模型有效解決了期望值法的局限性,并通過實例得到了驗證。
1效用理論
效用理論(Utility Theory)最早是由伯努利于1738年在著名的圣•彼得堡悖論中提出的,其核心內容是效用和效用函數[6,7]。效用反映了人們對獲得財富的滿意程度,也可以反映對產生損失的不滿意程度,在飛行安全風險領域,主要考慮事故或危險事件造成的損失帶來的不滿意程度。效用函數是對效用的一種數學度量。
效用及效用函數的定義如下:
定義1[4,5]效用是指人們在獲得財富時所受到的滿足程度,也指在產生損失時所受到的不滿足程度。
定義2[4,8]設G={能給人們帶來滿足的財富或帶來不滿足的損失},集合M上的實值函數u(x):G|R表示數量為x的財富或損失給人們帶來的滿足程度或不滿足程度,且u(x)滿足條件u(x)?叟u(y)?圳x?叟y,則稱u(x)為集合M上的效用函數。
效用函數u(x)具有一下性質:
性質1 u(x)是x的單調遞增函數。表示隨著財富的增加,滿意程度在增加;損失增加,不滿意程度增加。
性質2 (邊際效用遞減規律)
Δu=u(x+Δx)-u(x)是x的單調減函數,表示滿意程度隨著財富x的增加其增加速度減慢,這一性質稱為邊際效用遞減規律。
性質3(邊際效用遞增規律)
Δu=u(x+Δx)-u(x)是x的單調增函數,表示不滿意程度隨著損失x的增加其增加速度加快,這一性質稱為邊際效用遞增規律。
2基于效用理論的飛行安全風險評估模型
2.1飛行安全風險分析根據風險的定義,飛行安全風險可以理解為:在特定條件下,飛行事故或危險事件等不期望發生事件發生的概率與造成損失的組合[1,3]。其中,不期望發生事件及其發生概率大小和造成的損失是構成飛行安全風險的3要素。
飛行安全風險評估是通過采用一定的風險度量方法,計算不期望發生事件發生的可能性大小及其造成損失的綜合。在飛行訓練過程中,可能面臨的不期望發生事件主要有一等飛行事故、二等飛行事故、三等飛行事故、飛行事故征候以及重大危險故障等,可由下列有序對表示,即:
R{(E1,P1),…,(Ei,Pi),…,(En,Pi)}
其中,Ei(i=1,2,…,n)表示不期望發生事件;Pi(i=1,2,…,n)表示Ei發生的可能性值。
確定不期望發生事件發生的可能性及其造成的損失是度量飛行安全風險的前提。本文依據作業條件危險性評價法中關于事故或危險事件發生可能性值和造成的損失值[3],結合飛行事故或危險事件發生的具體特點,依靠專家經驗,運用模糊數學的方法,確定了飛行訓練過程中面臨的不期望發生事件發生的可能性值和損失值,如表1和表2所示。
依據期望值法,飛行安全風險為:
Rem=DP(1)
式中:D表示不期望發生事件造成的損失值,P表示不期望發生事件發生的可能性值。
2.2 事故或危險事件損失效應人們對事故或危險事件造成的損失往往會產生不滿意,為了便于對其進行量化,本文將這種損失帶來的不滿意程度定義為損失效應,并利用效用函數度量損失效應。設x為事故或危險事件造成的損失,v(x)為x所帶來的損失效應,根據邊際效用遞增規律,v(x)應滿足:v′(x)>0,v″(x)>0
其中,v′(x)>0表示損失x增加損失效應增加,v″(x)>0表示損失效應隨著損失x的增加其增加速度加快,這體現了人們對損失的厭惡程度。
2.3 建立基于效用理論的飛行安全風險評估模型針對飛行安全,不期望發生事件Ei造成的損失效應為:
U=v(Di)(2)
因此,初步建立的評估模型如式(3)所示。
Rut=v(D)P(3)
上述評估模型中,是利用效用函數進行損失效應度量的,因此,如何選取合適的效用函數是模型的關鍵。考慮到指數效用函數有著廣泛的應用,其表達方式為:
u(x)=(1-e-ax)(a>0為常數) (4)
式中:a表示對損失的厭惡程度。由于該效用函數u′(x)>0,u″(x)0,v″(x)>0,滿足損失效應條件。
其反函數為:v(x)=-ln(1-ax)(5)
因此,建立的基于效用理論的飛行安全風險評估模型為:
Rut=[-ln(1-aD)]Pi(6)
3實例驗證
用所建立的基于效用理論的飛行安全風險評估模型對某飛行團進行飛行安全風險評估,利用表1與表2,并結合專家評判的結果,確定該飛行團不期望發生事件發生的可能性值和損失值,將其代入式(1)與式(6),得出期望值法和效用值法下,該飛行團飛行安全風險評估結果以及各不期望發生事件的風險評估結果如表3所示。
結果顯示:根據期望值法,該飛行團一等飛行事故、三等飛行事故以及飛行事故征候的風險大小相同,均為3,但依據效用值法,參數a=0.005時,一等飛行事故風險大小為4.16,三等飛行事故的風險大小為3.20,飛行事故征候的風險大小為3.08,是符合邊際效用遞增規律的。并且隨著反映風險厭惡程度的參數a增大,各不期望發生事件的風險值之間的差距會隨著事故嚴重程度逐漸增大。從中可以看出,評估結果很好地區分了類似飛行事故這樣高損失、低概率事件與飛行事故征候這樣低損失、高概率事件風險之間的差異,驗證了所建模型是合理、可行的。
4結論
本文在分析飛行安全風險的基礎上,通過定義事故或危險事件損失效應反映人們對飛行事故等不安全事件造成損失的不滿意程度,然后再選取滿足損失效應條件的效用函數,確定部隊面臨的不期望發生事件的損失效應,并最終建立基于效用理論的飛行安全風險評估模型。該模型有效解決了期望值法的局限性,并通過實例得到了驗證。
參考文獻:
[1]徐邦年.飛行安全評估概論[M].北京:藍天出版社,2005.
[2]Yacov Y.Haimes,(譯).風險建模、評估與管理[M].西安:西安交通大學出版社,2007.
[3]蔣軍成,郭振龍.安全系統工程[M].北京:化學工業出版社,2003.
[4]汪應洛.系統工程(第四版)[M].北京:機械工業出版社,2008.
[5]彭俊好,徐國愛,楊義先,湯永利.基于效用的安全風險度量模型[J].北京郵電大學學報.2006,29(2):59-62.
[6]周林,張文,婁壽春,趙杰.效用函數在防空C3I系統效能評估中的應用[J].系統工程與電子技術,2000,24(1):14-17.
[7]陳焱.效用理論在保險中的應用[J].科學技術與工程,2009:3194-3198.
[8]何凱浩.基于信息修正的非期望效用模型和保險市場均衡問題研究[D].廈門大學,2008.
ISMS的范圍在哪?
對ISMS范圍的正確確定是整個實施的基礎和成敗關鍵。它涵蓋了業務流程、信息流和相關資產,因而也確定了BS7799信息安全管理體系的邊界和目標,這對于實施周期、實施受益的信息管理環節都將產生影響。
僅就認證目的而言,企業可以選擇任何部門和系統,但顯然只有與業務目標一致的范圍定義才有助于體現安全管理對于核心業務的促進作用。
在本項目中,最終選擇了企業的核心業務系統作為此次認證的范圍,其ISMS邊界包括數據安全實驗室及所有與“數據銷毀和數據恢復服務”相關的信息資產,從而確保了BS 7799實施與預期目標的一致性。
評估風險
風險評估被公認為是ISMS實施過程最關鍵和難以操作環節。因此,BS7799實施并不限定客戶使用風險評估的方法。
風險評估成功與否關鍵不在于技術問題,而在于良好的客戶溝通和會議組織技巧,包括讓管理層和業務人員理解風險評估的重要性和方法,提供必要的配合和支持,并通過高效的會議組織獲得較全面的和客觀的調查反饋信息。
應避免風險評估僅限于IT部門和安全專家的參與。風險評估既然服務于企業的業務目標,就應當得到業務部門的支持。事實上,只有他們最理解需要保護什么、保護的程度如何,哪些是安全問題,發生過什么安全事件,是否值得以特定成本實施安全控制而降低某項風險。
因此,在一開始就應把業務骨干納入到風險評估小組,通過培訓讓所有成員理解風險評估的目的、流程和方法。
風險評估應始終圍繞企業的目標和方針進行。比如說,在評估資產和威脅的影響時,都要做BIA(業務影響分析),其中制定的參考指標就應當依據企業安全目標。當發生各成員評估結果不一致的情況時,項目經理也應參照安全目標的定義進行裁決。
成功的風險評估應避免片面性、主觀性,避免與漏洞掃描或穿透測試混為一談。客戶可能認為只有后者才是值得尊重的專業服務,但事實上風險不僅來自技術弱點,還包括組織弱點,如業務流程、人員和資產管理等。
此外,完整的風險評估應涵蓋物理和邏輯兩方面的因素,我們這個案例就很明顯地體現了這點。
由于既定的范圍不包括復雜的網絡和IT資產,因此在進行弱點分析時主要考慮組織和物理方面的技術弱點,例如客戶介質在交遞、保管、處理、返還等環節的安全隱患,以及安全實驗室的實物與環境安全等。
企業應和客戶詳細討論各種細微的業務流程隱患,甚至以用戶身份參觀公司,以了解這項服務存在的外部隱患,例如客戶交來介質時如何接待,對包裝如何檢查、標記、存放,當實驗室工作人員暫時離開,如何確保環境和客戶介質的安全等。
我們還檢查了實驗室的裝修環境,與其他區域的分隔,以及門禁、監控等措施的有效性。弱點識別往往包括內、外兩方面不同的觀點,但在資產和威脅分析時,顧問公司只是教給客戶標準和方法,讓客戶自己分析、判斷、紀錄和整理最終的結果。
評斷風險評估的好壞不局限于采用定性或定量的風險評估方法,還在于能否為安全控制決策提供足夠的參考依據。
如果將資產價值、安全威脅和弱點對企業業務的影響等評估活動結果嚴格數字化,不僅可能導致實施進度的失控,而且可能因為缺乏足夠的參考標準和過于繁復的過程導致不可操作。在此情況下,基于特定的指標進行范圍分級往往是值得推薦的評估方法。
此外,為了提高評估的效率,還可以采用專業化評估軟件以減少評估的人為失誤和文檔編制時間。
人是安全管理體系的靈魂
安全管理體系的良好運作依賴于制度和組織機制,更依賴于各種角色的安全意識和對安全方針的理解與遵守程度。所有這些,需要有有效的培訓和管理層的支持。
辦好培訓最好的方式是案例分析,其次是高層動員。如果在安全手冊的扉頁有CEO對安全的評論和簽名,顯然會增加該文檔的權威性。
關鍵詞:風險識別 事故總結 專家調查 分級評判 風險評估
一、橋梁工程施工階段的風險特點
橋梁工程一般具有投資大、結構設計復雜多變、工期長、規模大、施工環境復雜、建設工序多、影響因素眾多、營運期承重大且期限長等特點。因此,橋梁工程除了具有風險的客觀性、多樣性、影響全局性和規律性的普遍特點外,還有其自身的特點:
1.橋梁工程作為土木工程中的大型工程,其建設風險更大。由于所處地理環境的復雜和不完全明了性,自然災害不確定性大,工期較長,造成橋梁基礎施工風險的難預測性。橋梁建設中所涉及的風險因素多,包括政治、社會、經濟、自然、技術等因素,這些因素都會不同程度地作用于橋梁工程建設中,產生錯綜復雜的影響。
2.橋梁工程建設參與的人員較多,而且各參與方均有風險,各自風險不盡相同。比如,同樣通貨膨脹事件,在可調價格合同下,對業主來說是相當大的風險,而對承包商來說則風險很小;但對于固定總價合同條件下,對業主來說就不是風險,而對承包商來說就是相當大的風險。
3.上部結構的施工的風險有明顯的規律性。盡管上部結構施工程序復雜,施工難度大,但是由于施工方法和程序的相對固定性,使得上部結構施工風險有很強的可預見性和可防范性。
4.施工階段的各個風險因素的相關性較強。由于橋梁的施工期安排緊湊,工序的銜接非常緊密,一個風險發生會導致相關的很多風險指標發生變化,有時因為一個風險因素的出現就會導致整個項目停工。
5.橋梁工程風險管理需要專業知識。只有具備扎實的專業知識和豐富的專業經驗才能盡早識別、衡量風險,解決施工技術問題,降低風險,減少損失。
6.橋梁工程風險發生頻率高。由于橋梁建設工程周期長,不確定因素多,認為和自然原因造成的工程風險交集,從而導致工程風險損失頻發。
二、橋梁工程施工階段風險識別法
風險識別方法多種多樣,如專家調查法、德爾菲法、事故樹分析法、故障樹分析法等,但都存在各自的優缺點。根據橋梁工程施工特點,本文綜合運用多種方法,提出事故總結、結構分析、現場調研和專家調查四種方法相結合的橋梁施工風險綜合識別方法,可以比較系統全面地識別橋梁工程施工風險。
1.事故總結
類似橋梁工程發生的事故是風險識別過程中重要的參考資料,也是進行風險分析和評估的基礎。風險評估應用比較深入的領域往往有比較完善的數據庫支持,而橋梁工程方面的基礎數據尚未建立起來,可用的事故資料不多。因此,在風險評估時,盡可能多收集橋梁相關風險事故資料,并進行分析研究,是一項十分重要的工作。
2.結構分析
橋梁結構形式不同,施工方法不同,其在施工過程中的結構狀態大不相同。對橋梁結構進行分析計算,可以發現結構施工過程中的薄弱環節,可全面識別施工風險并針對性的提出風險控制措施。
3.現場調研
對橋梁工程施工現場周邊環境#施工區域氣候條件以及施工單位現場施工情況等進行現場實地勘察,總結風險事件。并隨時了解施工現場工程進度等情況變化,同時,通過對施工現場進行跟蹤調查,隨時發現新的風險事件。
4.專家調查
專家調查法是風險識別的主要方法,各領域的專家在專業方面具有豐富的理論知識和實踐經驗,是獲取相關信息的重要對象,可較全面地識別出各類潛在的風險。
三、橋梁工程施工階段風險評估法
橋梁工程包含多種橋型的多種施工方法,是個非常復雜的系統工程,采用單一的評估方法對橋梁工程施工過程進行評估往往不夠精確。為此本文提出了基于分級評判的橋梁施工風險綜合評估方法,流程見圖1
一級評判
采用簡便的評判方法( 如專家調查法、專家評議法等) 對風險源進行評估,將風險明顯較低的風險源定義為低度風險,其余風險源進入二級評判。
二級評判
采用較高精度的評判方法( 如LEC等) 對風險源進行評估,將風險較低的風險源定義為中度風險其余風險源進入三級評判。
三級評判
采用高精度的評判方法( 如風險矩陣法等) 對風險源進行評估,將風險較低的風險源定義為高度風險,風險較高的風險源定義為極度風險。
這種分級綜合評估方法能夠充分發揮各種評估方法的優勢,在簡化評估繁瑣度的同時又能保證較高風險源的評價精確度。這種方法的適用范圍包括各種橋型的各種施工方法,是一種實用性較強的風險評估方法。
四、橋梁工程施工階段的風險應對
橋梁工程風險分析評估
風險辨識是風險評估與控制的基礎,風險因素辨識是否全面、辨識的結果是否準確將影響整個風險評估和控制過程。風險評估的主要內容有:考慮在橋梁工程施工中各個階段存在的風險因素;尋找出形成這些風險因素的原因所在。我們根據一個具體的現場勘查資料和一些給定的設計圖紙,對我國的幾座大橋進行風險分析。1、五岔河大橋以為所在位置地勢陡峭,基樁和承臺施工過程中需要挖開原山體,形成三面高坡邊,存在高坡邊失穩的滑坡的安全隱患,在雨季危險更大。2、馬家灣大橋,在建設的時候需要跨縣道,一旦橋上施工發生危險,就虧造成縣道交通堵塞,嚴重時會發生生命危險。3、橋梁的上部比較高,在高空危險位置,存在人員或者高空墜物等危險因素。4、起重機具等特種設備存在使用過程中的故障風險,嚴重就會導致遭到人員。5、下雨天比較滑,存在人員跌落等危險因素。最后將我們這些風險分析建立一個橋梁施工風險因素識別核對表,參照橋梁工程風險分級和接受準則來對橋梁工程施工階段進行風險評估,得出具體的風險評估報告。
成立工程風險評估與管理小組
對小組里面的人員進行具體的分工,明確到個人,最后開始完成自己的工作,對工程施工風險隨時監督檢查,出現狀況及時上報管理人員,并采取一定措施。只有每個人做好自己分內的事情,不忽略細節,才能保證橋梁施工的質量,讓橋梁使用者能夠很舒坦的使用。風險評估與管理小組的成立是勢在必行的,若只是有想法,卻還是無動于衷,我國橋梁發展的事業岌岌可危。
五、結束語
根據動態工程風險管理的思路和要求對橋梁工程風險評估進行不斷的調整和完善,使風險評估更加的準確可靠。通過綜合運用多種施工風險評估方法,提出了事故總結、結構分析、現場調研和專家調查四種方法相結合的橋梁施工風險綜合識別方法,提出了基于分級評判的橋梁施工風險分級綜合評估方法。我們應該將風險管理的計劃和實際相結合,兩者相協調發展,創建一個合理、科學的風險評估策略。同時,我國風險管理應該借助于西方國家的一些管理經驗、教學經驗,將其與我國的風險管理相結合,促進我國風險管理的發展。
參考文獻:
[1].任旭. 工程風險管理[M].背景清華大學出版社.2010.
Abstract: Supply chain risk assessment is an important part of the supply chain risk management. This paper has established a supply chain risk assessment index system and used FMEA approach for supply chain risk assessment. This method was used in order to find out the high risk factors in a manufacturing company and provide a solution to prevent the supply chain risk. It is proved that FMEA is feasible for supply chain risk assessment.
關鍵詞: 失效模式與影響分析;供應鏈風險;評估
Key words: FMEA;supply chain risk;assessment
中圖分類號:F274 文獻標識碼:A 文章編號:1006-4311(2015)35-0066-02
0 引言
世界各國的公司把進軍全球市場作為其最突出的企業發展戰略。全球化能夠使企業獲得廉價勞動力和原材料,更好的融資機會,更大的產品市場,東道國政府提供的吸引外資的優惠條件等。然而全球化為企業帶來利潤的同時,也使得企業暴漏在各種不確定情況下,增加了供應鏈風險出現的可能性。由于對供應鏈風險的重視程度不夠以及風險防范不足等給企業帶來了負面的影響。因此有必要對供應鏈風險評估進行研究,制定企業防范供應鏈風險的措施。
從目前的研究情況來看,國內外對供應鏈風險管理的研究都取得了一定程度的研究成果,但是大部分停留在定性的研究上。主要的研究方法有問卷調查法、情景分析法、流程圖法、事故樹法等。定量化的研究也取得一些成果,基于CVAR的供應鏈風險分析方法,基于支持向量機[1]和基于OWA算子的供應鏈風險評估方法等。每個方法各自有優缺點,就目前復雜的供應鏈風險體系來說,應該著重于企業的實際情況,采用符合企業實際運作情況的供應鏈風險分析方法,從而識別出企業最大的風險因素。
1 供應鏈風險
1.1 供應鏈管理
D. Simchi-Levi[2]把供應鏈管理(SCM)定義為一組用于連接的供應商,制造商,分銷商和客戶的方法。通過供應鏈管理能使商品以正確的數量,及時的時間,在合適的地點進行生產和分配,同時最小化全球系統成本和提高客戶服務水平。風險管理一直備受全球組織的關注,每個組織的風險管理實踐都受到風險等級的影響。供應鏈風險管理的框架如圖1所示。
1.2 供應鏈風險的定義
風險是事件發生的不確定性。Christopher[3]把供應鏈風險定義為:從最初的供應商到最終的產品交付過程中所有的信息流,原材料流,產品流等所產生的任何風險。Chopra and Meindl指出,全球供應網絡暴露在各種風險中,包括供應中斷,供應延誤,需求的波動,價格波動和匯率波動。Jiang[4]中描述的供應商的勞工問題產生了三種類型的業務風險:成本風險,操作風險和聲譽風險。在這個意義上說,供應鏈風險管理的目標(SCRM)是“快速反應,以確保連續性的能力。”
1.3 供應鏈風險的識別
本文基于一家中等規模的電子制造企業,建立了如圖2所示的企業供應鏈系統。
根據企業的供應鏈實際運作狀況以及科學性、可操作性等原則,本文建立供應鏈風險評價指標體系如表1。
2 供應鏈風險評估方法FMEA
失效模式及后果分析(FMEA:Failure mode and effect analysis)是質量管理中連續改進產品或工藝的設計通用的技術之一。FMEA是一種利用人們的技術和經驗識別產品或過程的可預見的故障模式,并計劃予以消除這些故障分析技術。它被廣泛用于在產品生命周期的不同階段的制造業,現在越來越多地發現在服務行業中使用。通過運用FMEA方法,確定風險優先級的數字,這表明潛在問題的風險水平,是對應用的成功至關重要。這些數字通常是從過去的經驗和工程判斷實現。
FMEA[5]利用風險優先數(RPN)評價一個部件或過程的風險水平。RPN由三個因素組成,分別是:O故障發生的概率/可能性,S故障發生影響的嚴重程度,D故障不能被檢測的出來的概率,由三者的乘積得到風險優先數。數學公式為:RPN=O×S×D。
FMEA使用五個規模R、L、M、H、VH分別表示風險發生的極低、低、中等、高、很高。其分值是1-10(見表2)來衡量故障或者風險的發生的可能性,嚴重程度,以及不能檢測到的概率。
3 FMEA在供應鏈風險評估中的應用
本文通過企業專家打分法,獲得了企業供應鏈風險的評估的數據,如表3所示。
分析:
①供應商方面:風險優先數(RPN)最高的是160,供應商的產品質量不高,從中可以看出供應商提供的產品質量不高對企業的影響最大,因為質量低劣容易造成企業顧客的流失以及產品制造成本的增加,因此企業有必要注重這方面的風險,做好風險防范措施。
②出廠和入廠物流方面:風險優先數(RPN)得分都比較低,對于企業來說風險不是很重要。
③制造商方面:技術、機器問題的風險優先數(RPN)140比較高,因此企業要重視自身的制造技術以及制造機器的發生故障的風險,緊跟時展的需要,創新制造技術,制造機械的更新維護要到位。
④顧客方面:顧客需求變化的風險優先數(RPN)96比較高,這類風險應該引起企業的重視,制造的產品要符合顧客的需求,否則,企業會流失市場份額,失去競爭優勢。
4 結論
供應鏈風險評估是供應鏈風險管理中非常重要的一部分。本文基于一家中型制造企業,通過對企業資深的專家調研,獲得了企業存在的各種供應鏈風險因素。通過運用FMEA找出企業運作中風險比較高的因素,從而對高風險因素提出風險防范的建議。本文的創新點在于將質量管理中的失效模式及影響分析(FMEA)的方法運用到供應鏈風險評估當中,為FMEA方法的應用開拓了思路。本文的不足是關于風險因素的識別要因企業而異,專家對風險的評價主觀性較大,有待后續的研究。
參考文獻:
[1]舒彤,葛佳麗,陳收.基于支持向量機的供應鏈風險評估研究[J].經濟經緯,2014(1):130-135.
[2]Simchi-Levi D, Kaminsky P, Simchi-Levi E. Designing and Managing the Supply Chain, McGraw-Hill[J]. Diesel & Gas Turbine Worldwide, 2000(36):10-18.
[3]Christopher M, Peck H. Building the Resilient Supply Chain[J]. International Journal of Logistics Management, 2004, volume 15(2):1-13.
論文關鍵詞 食品安全 風險分析 比較行政法
近期,中央電視臺推出“舌尖上的安全”系列報道,對食品安全亂象進行跟蹤報道,食品安全問題又引起廣泛關注。據中國新聞網2013年6月17日報道,實施四年的我國首部《食品安全法》即將啟動修改,治亂用重典,加大食品違法行為懲處力度,建立最嚴格的食品安全監管制度,成為此次修法過程中公眾關注的焦點。 與我國食品安全事件頻發形成鮮明對比的是,鄰國日本長期擁有“食品安全的神話”,鑒于中日文化的相似性和法制的傳承性,日本的成功經驗或許可以為完善我國食品安全法律制度提供借鑒。
縱觀各國的食品安全風險分析制度,都是在規定食品安全風險分析機構的組成和職責、進行風險分析的情形、風險分析的具體程序等等,這些內容主要屬于行政法的范疇。因此,本文在行政法的視野下,比較研究中日食品安全風險分析制度,最后提出完善我國食品安全風險分析制度的建議。
一、食品安全風險分析制度概述
食品安全風險分析是指通過對影響食品安全質量的各種生物、物理和化學危害進行評估,定性或定量描述風險特征,并在參考了各種相關因素后,提出和實施風險管理措施,并對有關情況進行交流的過程。 根據國際食品法典委員會對食品安全風險分析制度的定義,食品安全風險分析制度是由風險評估、風險管理和風險交流三部分構成的完整體系。
食品安全風險分析制度作為風險分析方法在食品安全領域的應用,具有以下幾個方面的顯著特征:
第一,食品安全風險分析制度具有科學性和客觀性。食品安全風險是客觀存在的,因此,食品安全風險分析制度應當遵循客觀規律,運用科學方法,通過大量的科學研究得出風險評估結果,并以此為依據制定風險管理措施。它以科學為基礎,每一環節都是依據科學研究結論,而不是某個人的主觀臆斷,具有顯著的科學性和客觀性。
第二,食品安全風險分析制度具有專業性和獨立性。食品安全風險評估由醫學、農業、食品等領域的專家組成的食品安全風險評估機構進行,具有極強的專業性。為了確保風險評估結果科學客觀,很多國家都實行風險評估和風險管理相分離,提高風險評估機構的獨立性。風險管理則由專門的食品安全監管部門負責,從而使風險分析制度具有了較強的專業性和獨立性。
第三,食品安全風險分析制度具有公開性和透明性。食品安全風險分析制度是在嚴峻的食品安全形勢下誕生的,很多國家也是在嚴重的食品安全危機下建立食品安全風險分析制度的,這就要求它不僅要從客觀上保障食品的安全,還要從心理上重建公眾對食品安全的信心。因此,食品安全風險分析制度非常強調分析過程的公開和透明,通過多種方式積極與社會公眾加強風險交流。
二、我國食品安全風險分析制度的現狀和問題
食品安全風險分析制度是保障食品安全的必然要求,是國際社會普遍遵循的原則,但是我國目前的食品安全風險分析制度尚不完善,與發達國家還有一定差距。
(一)我國食品安全風險分析制度的現狀
在風險評估方面,農業部成立了國家農產品質量安全風險評估專家委員會,是對農產品質量進行風險評估的最高學術和咨詢機構。衛生部組建了國家食品安全風險評估專家委員會,承擔國家食品安全風險評估工作,并開展食品安全風險交流。2011年10月13日,籌備三年之久的國家食品安全風險評估中心在北京成立,該中心是我國第一家國家級食品安全風險評估專業技術機構。
在風險管理方面,我國實行的是分段監管體制:衛生行政部門負責組織食品安全風險評估工作,承擔綜合協調職責;國家質量監督、工商行政管理和食品藥品監督管理部門分別對食品生產、食品流通、餐飲服務活動實施監督管理。
在風險交流方面,我國對其重視不夠,相關法律規定多為原則性的,如《食品安全法》第六條規定縣級以上衛生行政、農業行政、質量監督、工商行政管理、食品藥品監督管理部門應當加強溝通、密切配合,按照各自職責分工,依法行使職權,承擔責任。
(二)我國食品安全風險分析制度存在的問題
1.食品安全風險評估機構過于分散。根據現行法律,農業部成立了農產品質量安全風險評估專家委員會,衛生部成立了食品安全風險評估專家委員會,并舉辦了國家食品安全風險評估中心。三個機構性質和職責相似,人員結構基本一致,但卻屬于不同的部門。造成食品安全風險評估機構過于分散,影響了食品安全風險評估的進行。
2.風險評估與風險管理機構合一受到質疑。我國現在承擔食品安全風險評估工作的機構大多由風險管理部門組織,使得其提交的風險數據或決策建議有受到行政管理者意向影響的嫌疑,加之風險交流工作滯后,使公眾對風險評估結論的真實可靠性產生了質疑,從而缺少了公信力。
3.食品安全風險管理部門協調性差。由于我國實行分段監管模式,由衛生部、農業部、質量監督、工商行政管理、食品藥品監督管理等部門共同承擔。但是現實中各部門溝通協調性較差,互相推諉扯皮現象時有發生,甚至出現了“十幾個部門管不了一桌菜”的尷尬局面。
4.食品安全風險交流工作落后。盡管我國新制定的食品安全法律法規都要求加強風險交流,但我國食品安全風險交流工作依然落后,此前關于乳品安全標準的爭論更證明了這一點。衛生部2010年3月頒布的乳品安全標準要求每百克的蛋白質含量大于等于2.80克,生鮮乳菌落總數允許每毫升200萬個,而此前的1986年標準分別是不低于2.95克和不超過50萬個。難怪媒體驚呼“一夜倒退了25年”,更有人認為乳品新標準是以保護奶農為借口,被個別大企業綁架的標準。面對公眾的強烈質疑,衛生部只解釋道:標準符合中國國情和產業實際,引發人們強烈不滿,更突顯出我國食品安全風險交流工作的落后。
三、日本食品安全風險分析制度的考察
為應對食品安全事件,保障食品安全,日本政府引進食品安全風險分析制度,修改食品安全相關法律,對食品安全監管機構也進行了改革。
(一)日本食品安全風險分析的法律制度
日本政府根據國內外食品安全形勢發展需求,在2003年頒布了《食品安全基本法》,明確了制定與實施食品安全政策的基本方針是采用風險分析手段:第一,風險評估。在制定食品安全政策時,應當對食品本身含有或加入到食品中影響人體健康的生物、化學、物理上的因素,進行影響人體健康的評估。第二,風險管理。為了防止、抑制攝取食品對人身健康產生的不良影響,應考慮國民飲食習慣等因素,根據風險評估結果,制定食品安全政策。第三,風險溝通。為了將國民的意見反映到制定的政策中,政府在制定食品安全政策時,應采取必要措施,向國民提供相關政策信息,為其提供陳述意見的機會,并促進相關單位、人員相互之間交換信息和意見。
為了適應新的食品安全形勢,制定于1947年的《食品衛生法》也于2006年進行了修改。該法是日本控制食品質量安全與衛生的重要法典,對幾乎所有食品都有詳細的規定,包括制定食品、添加劑、器具和食品包裝的標準和規格等。此外,日本政府還對《農林水產省設置法》進行部分修改,把風險管理部門從產業振興部門分離出來,并予以強化,成立產業·消費局。
(二)日本食品安全風險分析的管理機構
為加強政府對食品安全的管理,日本于2003年在內閣府增設食品安全委員會,與農林水產省和厚生勞動省共同對食品安全進行監管。
日本食品安全委員會隸屬于內閣府,是專門負責食品安全風險評估的機構,主要職能是進行科學的風險評估,并根據評估結果對厚生勞動省、農林水產省等風險管理機構進行勸告和監督。厚生勞動省作為真正行使食品安全監管的部門,主要對進出口及國內市場的食品衛生實施監管。另外,隨著食品安全委員會的建立,厚生勞動省的職能已由風險評估與風險管理并舉轉變為單純的風險管理。農林水產省主要負責對生鮮農產品的監管,它與厚生勞動省的區別在于側重對農產品生產和加工階段進行風險管理。
四、完善我國食品安全風險分析制度的建議
通過對我國食品安全風險分析現狀的分析,對比鄰國日本食品安全風險分析制度的經驗,我們應當從以下幾個方面完善我國食品安全風險分析制度:
(一)整合現有的食品安全風險評估機構
我國現有的食品安全風險評估機構過于分散,不利于食品安全風險評估工作的開展。因此,有必要對其進行整合,把農產品質量安全風險評估專家委員會和食品安全風險評估專家委員會整合成新的食品安全風險評估專家委員會,由醫學、農業、食品、營養、衛生等方面的專家組成,專門負責監督、審核食品安全風險評估工作。
(二)實現風險評估與風險管理的分離
在借鑒日本等發達國家的實踐經驗基礎上,我國應當對食品安全風險評估機構進行改革,實現食品安全風險評估機構與食品安全風險管理機構的分離。由新成立的國家食品安全風險評估中心專門負責食品安全風險評估技術工作,把風險評估機構從風險管理部門分離出來,直屬于國務院,以提高其地位和獨立性。
(三)強化各風險管理部門的協作
由于我國實行分段監管的食品安全監督管理體制,因此,必須加強部門之間的密切協作,以免出現監管漏洞或交叉重復。首先,我們應當明確各部門的職責,完善責任追究制度,確保各監管部門按照自己的職責分工,切實履行職責。其次,在各部門設立專門溝通窗口,建立相互間暢通的溝通渠道,及時互通信息,實現信息共享。
關鍵詞:網絡 風險評估 模糊層次分析 網絡安全
中圖分類號:TP393 文獻標識碼:A 文章編號:1674-098X(2015)10(b)-0163-03
隨著日益增長的網絡需求,風險評估在網絡防護中顯示了越來越重要的作用。通過風險評估,可以了解己方網絡的安全威脅及其影響程度,為制定相應的安全策略提供依據。由于缺乏有效的風險評估將會造成網絡需求與網絡解決方案之間的嚴重脫節,國際上各主流網絡通信公司和網絡安全公司已開始著手開展相關技術的研究,并給出了一些解決方案。
作為一種處理不易定量化變量的多準則決策方法,層次分析法(analytic hierarchy process,簡稱AHP)[1]具有多個優點。但層次分析法也有一些不可避免的問題,比如在分析過程中使用不同的判斷矩陣會對分析結果有不同的影響,所以分析結果的一致性檢驗比較困難。此外,模糊評價法基于模糊數學[2]提出了將應用模糊關系進行合成的方法。但是模糊評價法對于過于復雜的情況擴展性不強,無法適應大規模網絡的分析。很多學者對上述方法進行了改進[3-6],但這些方法都不適合用于復雜的網絡風險評估且具體評估效果還有待驗證。
為了有效的對網絡進行風險評估,該文提出了一種基于模糊層次分析法的網絡風險評估技術,此項技術將層次分析法和模糊評價法相結合,把主觀判斷和客觀因素結合起來反映實際網絡的風險情況。
1 基于模糊層次分析的網絡風險評估
1.1 層次結構
在層次結構中,最上層為網絡風險評估目標的焦點,我們將其定義為風險要素重要度。在網絡風險評估中,各風險要素的風險計算是由風險發生的概率和風險的影響來決定的。同時在網絡風險評估中還需要考慮到風險是否可控的因素。所以,層次結構中的第二層準則定義為“風險概率、風險影響”和“不可控制性”。在層次結構的第三層中,需要根據實際網絡系統的威脅和脆弱性進行分析,導出整體網絡面臨的各種風險要素。
1.2 相對權重
建立了層次結構之后,需要計算層次結構中第二層和第三層的相對權重。
第二層相對權重:
在第二層中,由于準則的重要性比較清晰,所以我們在第二層中采用AHP方法對不同要素的相對權重進行計算。
首先我們以第一層要素為判斷依據,將層次結構模型中的第二層要素進行兩兩之間的比較,依據比較結果確定第二層要素的相對重要度,病構建判斷矩陣,記為B:
其中,n2為第二層要素的數量,bij為從某種判斷方式得出的要素Bi相對于要素Bj來說的相對重要程度,即相對重要度。B的取值范圍為1≤B≤9,其中9表示相對重要度最大。且B中元素滿足:
bii=1
bij=1/bji (i,j=1,2,…,n2)
bij=bik/bjk (i,j,k=1,2,…,n2)
在上述計算得到的判斷矩陣B的基礎上,我們使用n次方根計算推斷各個要素的的相對權重。然后,可以計算特征向量V=(v1,v2,…vn2)T,,i=1,2,…,n2,再對V進行歸一化處理,得到歸一權向量WU2={W1a,W2a,…,Wn2a}T,,i=1,2,…,n2,并對B進行一致性檢驗[10]。表1為Satty給出的平均隨機一致性指標RI[10]。
第三層相對權重:
為了克服傳統AHP法中對各風險要素進行兩兩比較時經常導致較大誤差的主觀性缺陷,該方法利用模糊評判方法對分析過程中的各風險要素進行量化,并在此基礎上進行定量評定。
第一步構造評判集Vi={vi1,vi2,…,viki},i=1~n2,即相對于上一層的不同準則,將各個指標的評判分為ki個等級,對各風險要素逐個給出風險程度,以衡量在該指標上各風險要素的表現及由此而來的相關風險的大小。
第二步依據上層設定的不同評判準則給出各風險要素的評判。假設風險要素集為U={u1,u2,…,un3},構造從評判集到模糊集的映射h:UH(Vi),H(Vi)是Vi上可能導致模糊化判決的全體集合。在其中,ujh(ui)=(hi1,hi2,…,hiki)∈H(V),映射h即可以代表風險要uj對分析評判集合中各數值的可信支持程度。將風險要素ul對分析評判集Vi的隸屬度向量記為Rl=(ril1,ril2,…,rilki),l=1,2,…,n3。可以計算得到隸屬矩陣Ri,不同的風險要素相對不同的準則可以得到不同的隸屬度矩陣R1,…,Rn2。
由于評判分析集合中各評判指標會對風險要素的分析產生直接影響,因此我們需要針對分析評判集中的每個指標進行權重賦值。假設指標權重的分配集合WIi={wI1, wI2,…,wImi}。可以得到在某評判準則下各個風險要素之間的相對權重Wi。
進行歸一化處理后,可以得到對各因素的歸一化權重向量Wib={Wib1,Wib2,…,Wibn3}。
其中,Wib表示第i個準則相對于所有第二層因素的歸一化權向量,Wibj表示第j個因素在第二層中的第i個評判準則下相對于其他所有因素的重要性權值。
不斷重復上述過程,我們可以得到在整體的評判準則集下,各個風險要素的歸一化權重矩陣,記為WU3={W1b, W2b,…,Wn2b}。
各風險要素的綜合重要度
得到各風險要素相對于上一層的相對權重向量之后,對其進行排序,可以得到各個風險要素對于整體網絡風險的綜合性重要度。各個風險要素的綜合重要度如下:
,j=1,2,…,n3。
比較各個風險要素的綜合性重要程度,我們在進行風險控制時就可以選擇比較重要的風險要素,集中采取措施進行風險管控。
2 分析用例
構建圖1所示的網絡風險評估模型。判斷矩陣為:
計算一致性比率:CR=CI/RI=0.058
然后依據Wi=WIi?RiT求得歸一化權重向量(0.187、0.209、0.203、0.198、0.202)。根據以上分析,最后得到風險要素“非法訪問、數據泄漏、惡意代碼、拒絕服務、身份欺騙”中風險較大的為“數據泄漏”和“惡意代碼”。網絡管理者可以根據以上信息進行進一步的改進。
3 結語
該文針對網絡設計中面臨的網絡風險評估問題,提出了一種基于模糊層次分析法的網絡風險評估技術,此技術綜合考慮了風險要素的層次性、和易變多變性,結合層次分析法和模糊評價法,分別從層次結構、相對權重、綜合重要度等方面進行風險要素評判。最后的例子說明通過將定性分析與定量分析相結合,該方法具有實際可操作性。
參考文獻
[1] Satty,T.L.The Analytic Hierarchy Process[M].NewYork: McGraw-Hill,1980.
[2] Zadeh,L.A.Fuzzy Sets[J].Information and Control,1965,8:338-356.
[3] Jacob Jen-Gwo,Zesheng He.Using analytic hierarchy process and fuzzy set theory to rate and rank the disability[M].Elsevier North-Holland,Inc,1997:1-22.
[4] 劉健,趙剛,鄭運鵬.基于AHP-貝葉斯網絡的信息安全風險態勢分析模型[J].北京信息科技大學學報:自然科學版,2015,30(3):68-74.
[5] 蔡永勇,桑笑楠,張周磊,等.資源多約束進度網絡的風險評估[J].軟件,2015,36(7):36-41.
[關鍵詞] SPS協定 風險評估 科學證據
隨著食品安全成為農產品貿易的焦點問題,各國紛紛制定大量針對食品和動植物產品進口的嚴格的檢驗和檢疫規則,以保護本國人類、動植物的生命健康,即所謂的SPS措施。然而,一項SPS措施也可能盜科學之名,行貿易保護主義之實。WTO爭端解決機構(DSB)處理農產品貿易糾紛適用的主要法律是WTO《實施衛生與植物衛生措施協定》(SPS協定),其中的關鍵問題集中在如何理解和在實踐中把握“風險評估”。DSB專家組和上訴庭的相關解釋已構成了事實上的判例法。加強對風險評估的研究是深刻理解協定,積累經驗的有效途徑,有助于充分了解WTO成員合法維持SPS措施必須符合的條件和應采取的實施流程,以及如何合理利用規則,在貿易爭端中正確地援引SPS協定。
一 、 SPS協定對風險評估的規定
風險評估在SPS協定附件A中被定義為:根據可能適用的衛生與植物衛生措施評價蟲害或病害在進口成員領土內傳入、定居或傳播的可能性,及評價相關潛在的生物學后果和經濟后果;或評價食品、飲料或飼料中存在的添加劑、污染物、毒素或致病有機體對人類或動物的健康所產生的潛在不利影響。
SPS協定第2條和第5條也專門針對風險評估施加了嚴格的紀律。協定允許WTO成員在貿易方面給予食品安全和動植物健康以優先權,每個成員有權確定其認為適當的食品安全和動植物健康水平,并在對真實存在的有關風險進行適當評估的基礎上確立SPS措施,而且還應將其所考慮的因素、所使用的評估程序和所確認的可接受的風險水平應要求公之于眾。第5條第2款列舉了進行風險評估應考慮的因素,包括:有關國際組織制定的風險評估技術;可獲得的科學證據和方法;病蟲害非疫區的存在;相關的生態和環境條件;相關的經濟因素,比如有害物質傳入的潛在經濟影響、包含和消滅規避所選SPS措施的有害物質的成本和采用替代方法控制風險的相對成本效益。
二、 DSB對風險評估的相關闡釋
DSB專家組和上訴庭在相關案例中對有關風險評估的一系列法律問題作了大量闡釋,正逐步演變成為該領域的判例法,下面分別結合相關案例加以分析。
1.風險評估和SPS措施之間的關系
歐盟荷爾蒙牛肉案上訴庭將SPS措施必須基于風險評估解釋為在二者之間必須存在合理關系,即一種持續的客觀情況且能在SPS措施和風險評估之間被觀察到,一成員也可以將其措施基于另一成員或國際組織開展的風險評估,只要在訴訟中能用風險評估證明措施合理足矣。確定風險評估和SPS措施之間關系是否存在也只能個案分析。只要措施的結論和風險評估的結論可比較,就符合第5條第1款。因為如果該成員在措施引起爭議時能找到科學證據,就可以假定在措施制定時證據同樣得到了考慮。因此,風險評估的缺失將被理解為存在對國際貿易變相限制的一個警示信號。日本水果檢疫措施案專家組還論證了“充分科學證據”的含義,認為“充分”通常指無論“其數量、程度和范圍都表明足以實現一定的目標”,要求SPS措施和科學證據之間存在足夠的關系,包括措施的性質和科學證據的數量、質量。
2.風險評估的科學性問題
歐盟荷爾蒙牛肉案上訴庭認為風險評估必須是對數據的“科學”考察和事實性研究,而不包括社會價值判斷在內的“政策”, “SPS協定第5條第2款對風險評估所考慮的因素的列舉不是一個可‘窮盡’的列舉……依照第5條第1款所評估的風險不僅僅是在嚴格控制的條件下在科學實驗室中可探知的,而且還是在人類社會中真實存在的”。因此,成員國通常會把其措施基于主流的科學證據,當然一項措施也可以基于“來自有資格的和受尊敬來源的不同觀點,特別是當有關風險具有威脅生命的特征并被覺察出對公共健康安全構成明顯和逼近的威脅時”。澳大利亞鮭魚案上訴庭也認為在風險評估中對污染和損害的可能性的適當評價必須達到某種水平的客觀程度,即必須是對所認定的風險水平能夠讓人合理地相信的水平。SPS協定的紀律在此得到了最嚴格地執行,第5條第1款和第2款通過要求成員在進行風險評估時考慮可獲得的科學證據、國際組織制定的風險評估技術和參考科學原理而強調了客觀性。
3.風險評估的步驟
澳大利亞鮭魚案上訴庭認為一項有效的風險評估必須包括以下步驟:a、確認措施所針對的疾病,以及導致其對當地動植物污染事件的潛在生物學和經濟影響;b、對疾病傳入、定居或傳播以及隨之而來的生物學和經濟損害可能性的評估;c、對在擬采取的SPS措施條件下疾病傳入、定居或傳播的可能性的評估。
三 、關于風險評估制度的思考及我國的法律對策
1.建立風險評估和風險管理機制
“風險評估”最重要的啟示就是必須建立科學的風險評估和風險管理機制。風險評估和風險管理在SPS協定中具有舉足輕重的地位。一般而言,DSB專家組往往首先考察是否存在風險評估。如果沒有,僅憑這一點就可能導致敗訴。因此,我國應當盡快建立科學的風險評估和風險管理機制,首要任務是設立專門機構來負責這一工作。在鮭魚案敗訴后,澳大利亞就在農林漁業部內設立了一個澳大利亞生物安全局( Biosecurity Australia)的新機構,專門負責提供進口風險分析。
2.風險評估必須具體且包括所有風險
目前,DSB在抽象意義上對風險評估的要求已經作出了合理、清楚的陳述,產生于可能的未知因素而不能用數量表示的風險或理論上的風險量是遠遠不夠。風險評估必須是具體的,而且可能比 SPS協定字面要求更嚴格。在荷爾蒙案中,上訴庭認為SPS協定并不要求一項風險評估必須識別最小程度的風險,而僅僅是可確定的風險,歐盟的研究應當鎖定于特定的荷爾蒙,而非荷爾蒙的類別。此外,所有的風險必須包括在風險評估之中,甚至那些不能通過實驗方法進行數量分析的對人類健康的所有威脅。歐盟當初敗訴也由于沒有提供這一階段風險的證據。因此,我國在提供風險評估報告時應盡可能詳盡具體,包括所能確知和考慮到的幾乎所有風險。同時,還應密切跟蹤WTO有關風險評估書面形式的裁定等指南。
3.突出風險評估的科學性
毫無疑問,不管所完成的風險評估如何,WTO必然會在SPS措施基于充分的科學證據這一點上持強硬立場。具體地說,我國未來開展風險評估一定要遵循澳大利亞鮭魚案中的三步法,并考慮SPS協定第5條第2、3款所列舉的因素,對數據進行“科學”考察和事實性研究,而不能是包括社會價值判斷在內的“政策”。同時,注意風險評估的客觀程度水平。鮭魚案專家組認為雖然在風險評估定義的文本中并無門檻要求,但在參考了一系列客觀因素后要求達到“對所作的評估和所認定的風險水平能夠讓人合理地相信” 的水平。這很可能意味著要求在風險評估中科學分析的力度必須是能夠經得起懷疑的,哪怕不是太嚴格。
4.慎用非主流科學觀點
雖然DSB承認非主流科學可以被用來支持風險評估,但其是否足以支持一項風險評估只能個案分析。應該說,SPS協定下的數量程序要求在全球范圍內的運作都是極其近似,“伽利略現象”是十分罕見的。即便這種現象真的發生,專家組也仍然有能力去評估所謂“科學”的可信度,并得出結論。因此,我們應當慎用非主流科學觀點,最好盡量把風險評估建立在主流科學觀點之上。
加入WTO之后,我國一些勞動密集型和具有地域優勢的農產品的出口屢遭進口國SPS措施暗箭。這說明我國作為WTO的新成員, 應對SPS問題的相關經驗還需要一個積累的過程。我們缺乏應對SPS措施引起貿易糾紛的訴訟經驗,缺乏參與制定國際標準和跟蹤國際SPS措施變化的經驗。對風險評估的研究無疑是在經驗積累和學會利用SPS協定方面邁出的第一步。吸取別國在風險評估等問題上的經驗教訓,既保護國內公共健康又保護國內相關產業,對于我國在遵循WTO義務的同時,有效地抵御外來SPS壁壘,充分運用多邊貿易機制所賦予的權利并在爭端中掌握主動都是十分必要的。
參考文獻:
[1]《實施衛生與植物衛生措施協定》,附件A
[2]《實施衛生與植物衛生措施協定》第5條第2款
[3]歐共體荷爾蒙牛肉案上訴庭報告,第193-194段
[4]日本水果檢疫措施案專家組報告,第8段;上訴庭報告,第73段、84~85段
[5]歐共體荷爾蒙牛肉案上訴庭報告,第187段
[6]歐共體荷爾蒙牛肉案上訴庭報告,第194段
[7]澳大利亞鮭魚案上訴庭報告,第121段
關鍵詞:網絡審計 歷史財務報表審計 信息安全管理 風險評估
一、引言
從審計的角度,風險評估是現代風險導向審計的核心理念。無論是在歷史財務報表審計還是在網絡審計中,現代風險導向審計均要求審計師在執行審計工作過程中應以風險評估為中心,通過對被審計單位及其環境的了解,評估確定被審計單位的高風險領域,從而確定審計的范圍和重點,進一步決定如何收集、收集多少和收集何種性質的證據,以便更有效地控制和提高審計效果及審計效率。從企業管理的角度,企業風險管理將風險評估作為其基本的要素之一進行規范,要求企業在識別和評估風險可能對企業產生影響的基礎上,采取積極的措施來控制風險,降低風險為企業帶來損失的概率或縮小損失程度來達到控制目的。信息安全風險評估作為企業風險管理的一部分,是企業信息安全管理的基礎和關鍵環節。盡管如此,風險評估在網絡審計、歷史財務報表審計和企業信息安全管理等工作中的運用卻不盡相同,本文在分析計算機信息系統環境下所有特定風險和網絡審計風險基本要素的基礎上,從風險評估中應關注的風險范圍、風險評估的目的、內容、程序及實施流程等內容展開,將網絡審計與歷史財務報表審計和信息安全管理的風險評估進行對比分析,以期深化對網絡審計風險評估的理解。
二、網絡審計與歷史財務報表審計的風險評估比較
(一)審計風險要素根據美國注冊會計師協會的第47號審計標準說明中的審計風險模型,審計風險又由固有風險、控制風險和檢查風險構成。其中,固有風險是指不考慮被審計單位相關的內部控制政策或程序的情況下,其財務報表某項認定產生重大錯報的可能性;控制風險是被審計單位內部控制未能及時防止或發現財務報表上某項錯報或漏報的可能性;檢查風險是審計人員通過預定的審計程序未能發現被審計單位財務報表上存在重大錯報或漏報的可能性。在網絡審計中,審計風險仍然包括固有風險、控制風險和檢查風險要素,但其具體內容直接受計算機網絡環境下信息系統特定風險的影響。計算機及網絡技術的應用能提高企業經營活動的效率,為企業的經營管理帶來很大的優越性,但同時也為企業帶來了一些新的風險。這些新的風險主要表現為:(1)數據與職責過于集中化。由于手工系統中的職責分工、互相牽制等控制措施都被歸并到計算機系統自動處理過程中去了,這些集中的數據庫技術無疑會增加數據縱和破壞的風險。(2)系統程序易于被非法調用甚至遭到篡改。由于計算機系統有較高的技術要求,非專業人員難以察覺計算機舞弊的線索,這加大了數據被非法使用的可能性。如經過批準的系統使用人員濫用系統,或者說,企業對接近信息缺乏控制使得重要的數據或程序被盜竊等。(3)錯誤程序的風險,例如程序中的差錯反復和差錯級聯、數據處理不合邏輯、甚至是程序本身存在錯誤等。(4)信息系統缺乏應用的審計接口,使得審計人員在審計工作中難以有效地采集或獲取企業信息系統中的數據,從而無法正常開展審計工作。(5)網絡系統在技術和商業上的風險,如計算機信息系統所依賴的硬件設備可能出現一些不可預料的故障,或者信息系統所依賴的物理工作環境可能對整個信息系統的運行效能帶來影響等。相對應地,網絡審計的固有風險主要是指系統環境風險,即財務電算化系統本身所處的環境引起的風險,它可分為硬件環境風險和軟件環境風險。控制風險包括系統控制風險和財務數據風險,其中,系統控制風險是指會計電算化系統的內部控制不嚴密造成的風險,財務數據風險是指電磁性財務數據被篡改的可能性。檢查風險包括審計軟件風險和人員操作風險,審計軟件風險是指計算機審計軟件本身缺陷原因造成的風險,人員操作風險是指計算機審計系統的操作人員、技術人員和開發人員等在工作中由于主觀或客觀原因造成的風險。
(二)風險評估目的無論在網絡審計還是歷史財務報表審計中,風險評估只是審計的一項重要程序,貫穿于審計的整個過程。與其他審計程序緊密聯系而不是一項獨立的活動。盡管如此,兩者所關注的風險范圍則有所不同。歷史財務報表審計的風險評估要求審計人員主要關注的是被審計單位的重大錯報風險――財務報表在審計前存在重大錯報的可能性。由于網絡審計的審計對象包括被審計單位基于網絡的財務信息和網絡財務信息系統兩類,因此審計人員關注的風險應是被審計單位經營過程中與該兩類審計對象相關的風險。(1)對于與企業網絡財務信息系統相關的風險,審計人員應該從信息系統生命周期的各個階段和信息系統的各組成部分及運行環境兩方面出發進行評估。信息系統生命周期是指該信息系統從產生到完成乃至進入維護的各個階段及其活動,無論是在早期的線性開發模型中還是在更為復雜的螺旋式等模型中,一個信息系統的生命周期大都包括規劃和啟動、設計開發或采購、集成實現、運行和維護、廢棄等五個基本階段。由于信息系統在不同階段的活動內容不同,企業在不同階段的控制目標和控制行為也會有所不同,因此,審計人員的風險評估應該貫穿于信息系統的整個生命周期。信息系統的組成部分是指構成該信息系統的硬件、軟件及數據等,信息系統的運行環境是指信息系統正常運行使用所依托的物理和管理平臺。具體可將其分為五個層面:物理層,即信息系統運行所必備的機房、設備、辦公場所、系統線路及相關環境;網絡層,即信息系統所需的網絡架構的安全情況、網絡設備的漏洞情況、網絡設備配置的缺陷情況等;系統層,即信息系統本身的漏洞情況、配置的缺陷情況;應用層,即信息系統所使用的應用軟件的漏洞情況、安全功能缺陷情況;管理層,即被審計單位在該信息系統的運行使用過程中的組織、策略、技術管理等方面的情況。(2)對于與企業基于網絡的財務信息相關的風險,審計人員應著重關注財務信息的重大錯報風險和信息的安全風險。重大錯報風險主要指被審計單位基于網絡的相關財務信息存在重大錯報的可能性,它是針對企業借助于網絡信息系統或網絡技術對有關賬戶、交易或事項進行確認、計量或披露而言。網絡審計中關注的重大錯報風險與傳統審CtT的內涵基本上是一致的,審計人員在審計時應當考慮被審計單位的行業狀況、經營性質、法律及監管環境、會計政策和會計方法的選用、財務業績的衡量和評價等方面的情況對財務信息錯報可能的影響。信息安全風險涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的風險,主要針對企業利用信息系統或一定的網絡平臺來存儲、傳輸、披露相關財務信息而言。在審計過程中,審eta員應當主要關注相關財務信息被盜用、非法攻擊或篡改及非法使用的可能性。當然,這兩類風險并非完全分離的,評估時審計人員應將兩者結合起來考慮。
(三)風險評估內容 廣泛意義的風險評估是指考慮潛在事件對目標實現的影響程度。由于網絡審計與歷史財務報表審計風險評估的目的并不完全相同,因此兩者在風險評估的內容上也是存在區別的。總的來說,網絡審計的風險評估內容比歷史財務報表審計的風險評估內容更廣泛和深入。根據《中國注冊會計師審計準則第1211號――了解被審計單位及其環境并評估重大錯報風
險》,在歷史財務報表審計中,審計人員的風險評估應以了解被審計單位及其環境為內容。為識別和評價重大錯報風險,審計人員了解的具體內容包括被審計單位所在行業狀況、法律環境與監管環境以及其他外部因素、被審計單位的性質、被審計單位對會計政策的選擇和運用、被審計單位的目標、戰略以及相關經營風險、被審計單位財務業績的衡量和評價及被審it@位的內部控制等。在網絡審計中。為了識別和評估上文所述的兩類風險,審計人員除了從以上方面了解被審計單位及其環境外,還應該關注其他相關的潛在事件及其影響,尤其是企業的財務信息系統及基于網絡的財務信息可能面l臨的威脅或存在的脆弱點。其中,威脅是指對信息系統及財務信息構成潛在破壞的可能性因素或者事件,它可能是一些如工作人員缺乏責任心、專業技能不足或惡意篡改等人為因素,也可能是一些如灰塵、火災或通訊線路故障等環境因素。脆弱點是指信息系統及基于網絡的財務信息所存在的薄弱環節,它是系統或網絡財務信息本身固有的,包括物理環境、組織、過程、人員、管理、配置、硬軟件及信息等各方面的弱點。一般來說,脆弱點本身不會帶來損失或信息錯報,威脅卻總是要利用網絡、系統的弱點來成功地引起破壞。因此,我們認為網絡審計申風險評估的內容應包括以下幾方面:(1)識別被審計單位財務信息系統及其基于網絡的財務信息可能面臨的威脅,并分析威脅發生的可能性;(2)識別被審計單位財務信息系統及其基于網絡的財務信息可能存在的脆弱點,并分析脆弱點的嚴重程度;(3)根據威脅發生的可能性和脆弱點發生的嚴重程度,判斷風險發生的可能性;(4)根據風險發生的可能性,評價風險對財務信息系統和基于網絡的財務信息可能帶來的影響;(5)若被審計單位存在風險防范或化解措施,審計人員在進行風險評估時還應該考慮相應措施的可行性及有效性。
(四)風險評估程序《中國注冊會計師審計準則第1211-----了解被審計單位及其環境并評估重大錯報風險》中要求,審計人員應當實施詢問、分析程序、觀察和檢查等程序,以獲取被審計單位的信息,進而評估被審計單位的重大錯報風險。這些程序同樣適用于網絡審計中的風險評估。但在具體運用時網絡審計中更加注重了解和分析被審計單位與信息系統及網絡技術使用相關的事項。在實施詢問程序時,審計人員的詢問對象圍繞信息系統和基于網絡的財務信息可大致分為管理人員、系統開發和維護人員(或信息編制人員)、系統使用人員(或信息的內部使用人員)、系統或網絡技術顧問及其他外部相關人員(如律師)等五類,分別從不同角度了解信息系統和基于網絡的財務信息可能存在的威脅和脆弱點。在實施分析程序時,除了研究財務數據及與財務信息相關的非財務數據可能的異常趨勢外,審計人員應格外關注對信息系統及網絡的特性情況,被審計單位對信息系統的使用情況等內容的分析比較。實施觀察和檢查時,除執行常規程序外,審計人員應注意觀察信息系統的操作使用和檢查信息系統文檔。除此之外,針對特定系統或網絡技術風險的評估,審計人員還需要實施一些特定的程序。技術方面如IOS取樣分析、滲透測試、工具掃描、安全策略分析等;管理方面如風險問卷調查、風險顧問訪談、風險策略分析、文檔審核等。其中,IDS取樣分析是指通過在核心網絡采樣監聽通信數據方式,獲取網絡中存在的攻擊和蠕蟲行為,并對通信流量進行分析;滲透測試是指在獲取用戶授權后,通過真實模擬黑客使用的工具、方法來進行實際漏洞發現和利用的安全測試方法;工具掃描是指通過評估工具軟件或專用安全評估系統自動獲取評估對象的脆弱性信息,包括主機掃描、網絡掃描、數據庫掃描等,用于分析系統、應用、網絡設備存在的常見漏洞。風險問卷調查與風險顧問訪談要求審計人員分別采用問卷和面談的方式向有關主體了解被審計單位的風險狀況,使用時關鍵是要明確問卷或訪談的對象情況風險策略分析要求審計人員對企業所設定的風險管理和應對策略的有效性進行分析,進而評價企業相關風險發生的概率以及可能帶來的損失;文檔審核是一種事前評價方法,屬于前置軟件測試的一部分,主要包括需求文檔測試和設計文檔測試。這些特定程序主要是針對被審計單位信息系統和基于網絡的財務信息在網絡安全風險方面進行評價,審計人員在具體使用時應結合被審計單位的業務性質選擇合適的程序。
三、網絡審計與信息安全管理的風險評估比較
(一)風險評估的目的信息安全管理中的風險評估(即信息安全風險評估)是指根據國家有關信息安全技術標準,對信息系統及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學評價的過程。作為信息安全保障體系建立過程中的重要的評價方法和決策機制,信息安全風險評估是企業管理的組成部分,它具有規劃、組織、協調和控制等管理的基本特征,其主要目的在于從企業內部風險管理的角度,在系統分析和評估風險發生的可能性及帶來的損失的基礎上,提出有針對性的防護和整改措施,將企業面臨或遭遇的風險控制在可接受水平,最大限度地保證組織的信息安全。而網絡審計是由獨立審計人員向企業提供的一項鑒證服務,其風險評估的目的在于識別和評價潛在事件對被審計單位基于網絡的財務信息的合法性、公允性以及網絡財務信息系統的合規性、可靠性和有效性的影響程度,從而指導進一步審計程序。因此,兩者風險評估的目的是不一樣。從評估所應關注的風險范圍來看,兩者具有一致性,即都需要考慮與信息系統和信息相關的風險。但是,具體的關注邊界則是不一樣的。信息安全風險評估要評估企業資產面臨的威脅以及威脅利用脆弱性導致安全事件的可能性,并結合安全事件所涉及的資產價值來判斷安全事件一旦發生對組織造成的影響,它要求評估人員關注與企業整個信息系統和所有的信息相關的風險,包括實體安全風險、數據安全風險、軟件安全風險、運行安全風險等。網絡審計中,審計人員是對被審計單位的網絡財務信息系統和基于網絡的財務信息發表意見,因此,風險評估時審計人員主要關注的是與企業財務信息系統和基于網絡的財務信息相關的風險,而不是與企業的整個信息系統和所有的信息相關的風險。根據評估實施者的不同,信息安全風險評估形式包括自評估和他評估。自評估是由組織自身對所擁有的信息系統進行的風險評估活動;他評估通常是由組織的上級主管機關或業務主管機關發起的,旨在依據已經頒布的法規或標準進行的具有強制意味的檢查。自評估和他評估都可以通過風險評估服務機構進行咨詢、服務、培訓以及風險評估有關工具的提供。因此。對審計人員而言,受托執行的信息安全風險評估應當歸屬于管理咨詢類,即屬于非鑒證業務,與網絡審計嚴格區分開來。
(二)風險評估的內容在我國國家質量監督檢驗檢疫總局的《信息安全風險評估指南》(征求意見稿)國家標準中,它將信息安全風險評估的內容分為兩部分:基本要素和相關屬性,提出信息安全風險評估應圍繞其基本要素展開,并充分考慮與這些基本要素相關的其他屬性。其中,風險評估的基本要素包括資產、脆弱性、威脅、風險和安全措施;相關屬性包括業務戰略、資產價值、安全需求、安全事件、殘余風險等。在此基礎上的風險計算過程是:(1)對信息資產進行識別,并對資產賦值;(2)對威脅進行分析,并對威
脅發生的可能性賦值;(3)識別信息資產的脆弱性,并對弱點的嚴重程度賦值;(4)根據威脅和脆弱性計算安全事件發生的可能性;(5)根據脆弱性的嚴重程度及安全事件所作用的資產的價值計算安全事件造成的損失;(6)根據安全事件發生的可能性以及安全事件出現后的損失,計算安全事件一旦發生對組織的影響,即風險值。結合上文網絡審計風險評估五個方面的內容可以看出,網絡審計和信息安全風險評估在內容上有相近之處,即都需要針對信息系統和信息可能面臨的威脅和存在的脆弱點進行識別。但是,信息安全管理作為企業的一項內部管理,其風險評估工作需要從兩個層次展開:一是評估風險發生的可能性及其影響;二是提出防護或整改措施以控制風險。第一個層次的工作實質上是為第二層次工作服務的,其重點在第二層次。《信息安全風險評估指南》(征求意見稿)提出,企業在確定出風險水平后,應對不可接受的風險選擇適當的處理方式及控制措施,并形成風險處理計劃。其中,風險處理的方式包括回避風險、降低風險、轉移風險、接受風險,而控制措施的選擇應兼顧管理和技術,考慮企業發展戰略、企業文化、人員素質,并特別關注成本與風險的平衡。網絡審計的風險評估工作主要集中在第一個層次,即審計人員通過風險評估,為進一步審計中做出合理的職業判斷、有效地實施網絡審計程序和實現網絡審計目標提供重要基礎。因此,兩者的評估內容是存在區別的。
關鍵詞:銀行間市場;信用風險;風險管理
全球金融危機對金融機構風險管理理念的最大影響之一就是對交易對手信用風險的重視。金融機構評估對手方信用風險的方法、模型合理與否,關系到評估結果的優劣。本文概要闡述了銀行信用風險計量方面的相關理論依據和基本做法。并對銀行間市場完善授信管理提出了具體建議。
一、信用風險評估理論
銀行等金融機構信用風險評估方法大致有統計模型、CAMEL模型和專家判斷模型等三種理論依據:
(一)統計模型
利用統計模型進行信用評估的前提條件是有足夠的數據積累,一般至少需要連續3年的相關數據。
1.違約概率(ProbabilityofDefauh,PD)理論
違約概率是預計債務人不能償還到期債務(違約)的可能性。評估結果與違約率的對應關系是國際公認的事后檢驗評級機構評估質量標準的一項最重要的標尺。在商業銀行信用風險管理中,違約概率是指借款人在未來一定時期內不能按合同要求償還銀行貸款本息或履行相關義務的可能性。如何準確、有效地計算違約概率對商業銀行信用風險管理十分重要。不同評級機構所設定的違約定義可能不同,所反映同一等級的質量也因此而不同。只有違約定義相同的評級機構,其評級結果才可以進行比較。有了對應違約率的資信等級才能真正成為決策的依據。商業銀行違約概率常用的測度方法主要有兩種:基于內部信用評級歷史資料的測度方法;基于期權定價理論的測度方法。
2.違約損失率(LossGivenDefault,LGD)理論
違約損失率是指債務人一旦違約將給債權人造成的損失數額占風險暴露(債權)的百分比,即損失的嚴重程度。在競爭日益激烈、風險日益加大和創新日新月異的市場環境中,銀行對資產風險的量化和管理顯得越來越重要。傳統的信用風險評估方法因過于簡單、缺乏現代金融理論基礎等原因已經不能適應金融市場和銀行監管的需要。以獨立身份服務于全社會公眾投資者、以公開上市債券為主的外部信用評級對銀行內部以信貸資產為主、與銀行自身有著特定聯系的資產組合的適用性也越來越小。因此,銀行開始開發類似外部信用評級但又反映內部管理需要的內部信用評級系統,以適應上述市場和內部管理發展的需要。隨著銀行內部評級體系的發展,越來越多的銀行認識到LGD在全面衡量信用風險方面的重要作用,評級體系的結構開始由只注重評估違約率的單維評級體系向既重違約率又重違約損失率的多維評級體系發展。歷史數據平均值法是目前銀行業應用最廣泛最傳統的方法,新巴塞爾資本協定的許多規定也采用這種方法,這種方法以其簡單易操作而獲得歡迎。
(二)CAMEL模型
CAMEL評級體系是目前美國金融管理當局對商業銀行及其他金融機構的業務經營、信用狀況等進行的一整套規范化、制度化和指標化的綜合等級評定制度。其有五項考核指標,即資本充足性(CapitalAde.quacy)、資產質量(AssetQuality)、管理水平(Manage—ment)、盈利水平(Earnings)和流動性(Liquidity)。當前國際上對商業銀行評級考察的主要內容基本上未跳出美國“駱駝”評級的框架。“駱駝”評級體系的特點是單項評分與整體評分相結合、定性分析與定量分析相結合,以評級風險管理能力為導向.充分考慮到銀行的規模、復雜程度和風險層次,是分析銀行運作是否健康的最有效的基礎分析模型。在具體CAMEL模型的指標及其權重選取及校驗過程中,大多采用了回歸分析、主成分分析等統計方法。
(三)專家判斷模型
銀行信用評估的起點是對其財務實力的綜合判斷。應從定量定性兩個角度綜合評估。經營戰略、管理能力、經營范圍、公司治理、監管情況、經營環境、行業前景等要素,無法通過確切數量加以計算,而專家打分卡是一種更加偏向于定性的模型。在缺乏外在基準值,如信用等級、違約和損失數據等的情況下,開發專家判斷模型是一種較好的選擇。專家判斷模型的特點是:符合Basel要求.具有透明度和一致性:專家打分卡建模時間短,所需數據不需要特別的多:專家打分卡可充分利用評估人員的經驗。
二、信用風險評估的通常做法
(一)信用風險評估的基本思路
評估方法應充分考慮風險元素的定量和定性兩個方面,引入大量的精確分析法,并盡可能地運用統計技術。另一方面,不浪費定性參數的判別能力,并用以優化計量模型的預測效能。除CAMEL要素外,還需考慮更多更深入的風險因素。評估要素主要包括品牌價值、風險定位、監管環境、營運環境、財務基本面。
(二)信用風險評估模型的構造
數據準備是模型開發和驗證的基礎,建模數據應正確反映交易對手的風險特征以及評級框架。定義數據采集模板。收集、清洗和分析模型開發和驗證所需要的樣本數據集。影響交易對手違約風險要素主要有非系統性因素和系統性因素。非系統性因素是指與單個交易對手相關的特定風險因素,包括財務風險、資本充足率、資產質量、管理能力、基本信息等。系統性因素是指與所有交易對手相關的共同風險因素.如宏觀經濟政策、貨幣政策、商業周期等。既要考慮交易對手目前的風險特征,又要考慮經濟衰退、行業發生不利變化對交易對手還款能力和還款意愿的影響.并通過壓力測試反映交易對手的風險敏感性
(三)變量選擇方法
1.層次分析法
層次分析法(Theanlaytichierarchyprocess)簡稱AHP:它是一種定性和定量相結合、系統化、層次化的分析方法。層次分析法不僅適用于存在不確定性和主觀信息的情況,還允許以合乎邏輯的方式運用經驗、洞察力和直覺。層次分析法的內容包括:指標體系構建及層次劃分;構造成對比較矩陣;相對優勢排序;比較矩陣一致性檢驗。
2.主成分分析法
主成分分析法也稱主分量分析,旨在利用降維的思想,通過原始變量的線性組合把多指標轉化為少數幾個綜合指標。在保留原始變量主要信息的前提下起到降維與簡化問題的作用,使得在研究復雜問題時更容易抓住主要矛盾。通過主成分分析可以從多個原始指標的復雜關系中找出一些主要成分,揭示原始變量的內在聯系,得出關鍵指標(即主成分)。
3.專家判斷
關鍵指標權重和取值標準設定是通過專家在定量分析的基礎上共同討論確定,取值標準是建立指標業績表現同分數之間的映射關系。取值標準的設定應能夠正確區分風險,取值標準應根據宏觀經濟周期、行業特點和周期定期調整,從而反映風險的變化。
關鍵詞:網絡安全;威脅評估;漏洞
中圖分類號:TP393文獻標識碼:A 文章編號:1009-3044(2010)18-4910-02
Threat Assessment of the Research Based on Simulation Vulnerability Attack
XIE Chun-mei
(School of Information Science and Technology Jiujiang University, Jiujiang 332000, China)
Abstract: The purpose of network security risk assessment is comprehensive and accurate assessment of the current situation of network security, threat assessment evaluate of network security incidents and lead to the possibility of loss assets, complement of simulated Vulnerability attack to it, modify and improve on the extracted threat information. After verification testing of experimental data to some extent reflect more accurately the status of the network security risks.
Key words: network security; threat assessment; vulnerability
1 概述
中國互聯網絡信息中心第二十二次統計數字表明,截至2008年6月底,中國網民數量已達到2.53億人。針對這么龐大的網民數量,網絡安全問題變得愈發突出,據統計,全球平均每20s就發生1次網上入侵事件[2],系統漏洞一旦被黑客發現,用戶數據將受到嚴重損失,有時甚至是整個系統的崩潰,安全問題防不勝防,僅僅靠法律手段已不能滿足實際需求,只有事先對系統做好風險評估,認識所處的實際安全狀況,提前進行有針對性的防范才是解決問題的重要途徑。
2 威脅評估
威脅即可能對資產或組織造成損害的意外事件的潛在的原因,即某種威脅源(Threat Source)或威脅(Threat Agent)成功利用特定弱點對資產造成負面影響的潛在可能性
目前的風險評估重點放在漏洞的分析上,對威脅評估考慮較少,而威脅在風險評估中占據著舉足輕重的地位。如在初期對威脅進行評估后就直接給出風險狀況,會使結果缺乏精確性,本文增加的模擬漏洞攻擊不但對前期評估進行驗證,而且所測試的結果也記入到結果分析庫中,對最后的評估結果起到修正作用。
3 威脅評估計算
復雜的風險問題使用層次分析被分解成不同層次,同一層次的系統作為準則對下一層次的某些系統起支配作用,同時它又受上一層次系統的支配。這樣就把各個層次相互隔離的系統結合起來,各層次系統在文中預先根據管理員和網絡專家所給定的權重值進行標定。本文定義權重值為W,其取值也在[0 1]之間。根據所截取的IDS的原始數據所檢測到的某一時間段某一主機所受的攻擊次數,某一主機的某些服務所受的攻擊次數,所受攻擊的危害嚴重度,在同一時間段內的模擬漏洞攻擊的測試結果,綜合考慮這些因素最終給出合理的評估。模擬漏洞攻擊在此起到實時修正作用。
不同層次安全狀況均使用改進后的風險指數來進行風險級別的標定,下面這個公式是服務的風險指數公式:
Fsj=wh(10pjiCi)(1)
首先說明公式中各個變量的含義:
Wk 為評估對象的權重值;
h為評估單元所劃分的段數;
K為某一時間段服務所受的攻擊種類數;
Ci為某一時間段所受的攻擊次數;
Pij為某一時間段受攻擊的嚴重程度。
下面是主機的風險指數公式:
FHk=ViF(Si) (2)
公式中各個變量的含義:
m為主機所開通的服務數量值;
Vi為服務比重值;
Si為主機所開通的某種服務;
F(Si)是用公式(1)計算的服務風險級別。
本文對其計算方法進行了以下改進:
1) 公式中的權重Wk是用時間段來進行劃分給出的,不同的時間段有不同的權重值,改進后的權重是根據服務種類來進行權重標定的定義為Wn。
2) 公式中的n為評估單元所劃分的時間段數,論文中用來表示服務的類別數。在文中定義為n。
改進后的公式為:
Fsj=wn(10pjiCi) (3)
FHk=ViF(Si)(4)
下面給出其的實現算法:
第一步:對截取的某一時間段的IDS日志數據進行分析,選取具有報警編號的數據;
If(報警編號不為空)
CString str="select * from 威脅信息表where 報警編號is not null";
第二步:用此條件進行數據的過濾;
第三步:對同時間段模擬漏洞攻擊測試結果進行數據提取;
If(攻擊成功標志不為空)
CString str="select * from 測試結果表where 標志is not null";
第四步:在以上所提取的數據中提取不同服務的名稱;
第五部:在資產信息庫中找出對應服務的權重值Wn;
第六步:由公式Fsj=wn(10pjiCi)和FHk=ViF(Si)計算服務與主機的風險指數、漏洞模擬攻擊測試結果計算的風險指數、日志數據計算的風險指數;
第七步:兩者進行加權求平均得出這個時間段的風險級別。
4 模擬漏洞攻擊
在威脅評估中,使用漏洞模擬攻擊對IDS漏報的威脅進行補充與修正,這個本質來講是一個數據補充與結果修正。在網絡安全風險評估中,前期的威脅評估不管是使用IDS取樣分析還是Scan漏洞掃描器掃描,都會有一定的誤報率,如果不經過漏洞模擬攻擊就不能全面地發現系統中存在的安全風險。模擬攻擊并不會對系統造成損失與破壞,只是采取一定的手段對系統進行攻擊看是否能達到一定的目的,攻擊結果寫入結果分析庫中,這個信息在結果分析中起到修正與檢驗的效果。目前大多數國內的模擬漏洞攻擊只是對所得到的測評信息進行記錄,用于對所發現的誤報數據進行補充,本文中模擬攻擊所得信息是會對最終的風險評估結果產生影響,從而使評估結果更為準確。
下面給出模擬漏洞攻擊的實現算法。
第一步:初始化模擬漏洞數據庫;
Init(Attack_list)
第二步:使用攻擊庫中的攻擊信息對同等條件下的對象進行攻擊;
Attack(192.168.0.11-192.168.0.230)
第三步:把攻擊結果存入測試結果庫中;
Save(Attresult_list)
第四步:調用威脅評估的服務函數;
Serv_relay()
第五部:根據攻擊測試結果庫查詢威脅信息庫、Scan掃描漏洞信息庫數據;
Select * from 威脅信息庫 where Attresult_list. 服務名稱is Threat_info.服務
Select * from 漏洞信息庫 where Attresult_list. 漏洞名稱is Flaw_list.漏洞名
稱
第六步:剔除調在前期已經發現的威脅信息以及漏洞;
Delete(以前已經發現的信息)
第七步:使用公式Fsj=wn(10pjiCi)和FHk=ViF(Si) 分別計算風險級別;
第八步:結果寫入結果分析庫中。
模擬漏洞攻擊的檢驗測試是否能夠發現系統潛在的不安全因素,關鍵就是模擬攻擊庫的信息量以及攻擊信息的客觀、公平性了,大量的攻擊信息目前來講主要還是依靠手工進行整理,雖然Honeynet組織[3]提供了大量的攻擊信息,但對所評估的對象還是要在其中進行數據的分析整理,攻擊信息量越大、越公平與客觀,模擬漏洞攻擊發揮的作用就越明顯,最后所提交給用戶的評估結果也就越能反應系統的真實情況。
5 實驗數據測試
1) 測試的環境為所測試的對象系統為Windows xp sp2;
2) 所測試的范圍為IP段192.168.1.10-192.168.1.234;
3) 測試的時間以一周為準;
4) 測試的方法為使用模擬漏洞攻擊庫中的大量攻擊信息以及從Honeynet組織所提供的攻擊信息。
模擬漏洞攻擊庫構建了大量的攻擊信息,這些攻擊信息主要來自于網上的信息,經過分析手工進行整理而得來的,可以作為一部分實驗數據來對網絡安全評估系統進行測試,另外Honeynet組織提供大量公平客觀的攻擊信息,對其網站上的數據進行手工分析選取,把其數據導入到漏洞模擬攻擊庫中,對所選取的評估對象進行模擬攻擊。
6 結論
計算結果表明在晚上23點以后和周末這個時間段系統所受的攻擊次數明顯增多,建議用戶在這個時間段加強防護措施,采取必要的安全監管方法,盡可能的避免損失的發生,這個結果與實際情況也比較符合。結合實際系統所處的實際情況,評估系統的運行效率還是比較令人滿意的。
參考文獻:
關鍵詞:內部審計;風險導向內部審計;風險管理
內部審計作為重要的管理工具,一直是企業內部監督的重要組成部分。隨著經濟全球化和市場競爭多元化的不斷深入,企業所面臨的風險日趨復雜。尤其是對于大型企業集團而言,風險規模已經遠遠超出管理層能夠直接管控的范圍。為此,企業開始日益重視風險管理工作,積極建立內部控制體系,提高企業風險管控能力。在此趨勢下,風險導向內部審計應運而生,并較好的適應了管理層的風險管理需要。
一、風險導向內部審計的概念與基本特點
按照國際內部審計師協會(IIA)對內部審計的定義,內部審計是“一種獨立、客觀的保證和咨詢活動,其目的是在于為組織增加價值并提高組織的運作效率。它采取系統化和規范化的方法來對風險管理、控制和治理程序進行評估和改善,從而幫助組織實現目標”。根據這一定義,推行風險導向內部審計就是要以對組織風險的評估與改善作為基本目標,以內部控制為審計基礎,以公司治理為參與風險管理的前提。風險導向內部審計作為內部審計發展的一個階段,其本身具有區別于傳統內部審計和注冊會計師外部審計的特點。筆者認為這些特點主要體現在如下方面:首先,風險導向內部審計將風險評估和改善作為首要目標,并據此延伸其職能。具體來說,其職能主要有三個方面,一是利用其在內部管理方面的專家地位和信息優勢,根據企業目標評估、分析和管理風險,并將審計結果和管理建議向管理層報告。二是幫助管理層在制定重大決策事項時進行風險評估。三是為市場、采購、技術等其他專業領域的風險管理部門提供咨詢。總之,風險導向內部審計不再是消極的查錯防弊,而應以組織的整體風險評估作為首要工作。其次,風險導向內部審計在方法上更加注重風險評估、缺陷評估和管理建議。區別于傳統內部審計,風險導向內部審計始終把風險管理作為審計工作的出發點和落腳點,強化審計工作的事前風險評估和事后缺陷評估環節,并基于這些評估得到審計結論和給出風險管理建議。第三,風險導向內部審計以內部控制為基礎。從理論上說,內部審計是內部控制的監督環節,是對其他內部控制環節的再控制。內部審計無論從事是對風險的評估和改善,還是參與風險管理和治理程序,都需要依托對企業內部控制狀況的了解。第四,采用風險導向使內部審計工作融入企業全面風險管理體系。不同于外部審計師所實施的內部控制審計,內部審計是為了保證企業經營目標的實現、保護資產安全、防止舞弊的發生而進行的全方位的內部控制評價。也就是說,內部審計、內部控制以及管理層的風險治理活動都是以企業風險管理為目標。內部審計通過采用風險導向而參與到企業全面風險管理中,成為整個風險管理體系的有機組成部分。
二、在內部審計中采用風險導向的必要性與實踐意義
當前,內部審計需要應對的風險越來越復雜,對審計的要求也不斷提高。內部審計需要更為全面、及時、準確的反映企業存在的風險,并提出有針對性的管理建議。傳統內部審計雖然也針對企業風險進行監督,但從根本上說仍然缺乏完整有效的風險識別和評估體系,審計工作高度依賴審計人員水平,其風險覆蓋的全面性、重要環節的審計充分性、以及審計質量的穩定性均難以保證。這不但無法滿足企業風險管理需求,而且難以體現內部審計的管理價值,不利于內部審計的長期發展。因此,在審計實踐中采用風險導向是內部審計發展的必然選擇。
1、風險導向內部審計以風險評估和改善為目標,可以更為系統的覆蓋企業重要風險,保證內部審計的完整性傳統內部審計對于內部控制的關注一般集中在已有流程和已識別的運營風險,而缺乏對風險識別全面性和風險變動的評估。但對個體企業而言,無論是外部環境、業務特點,還是內部管理和治理結構都十分復雜,且始終處在不斷變化的過程中。COSO委員會在2004年頒布的《企業風險管理——整體框架》(ERM)中將企業全面風險要素概括為八個大類,而阿瑟.安德森公司的商務風險模型(BRM)則將企業風險概括為三大類75種,足見其范圍之廣。在此情況下,傳統內部審計很難保證審計結果和管理建議不存在重大遺漏、誤判或者與企業實際狀況脫節的風險。而風險導向內部審計通過有效的風險識別和風險評估,可以及時、全面的掌握這些情況,幫助內部審計部門形成對被審企業的完整認識。
2、風險導向內部審計對風險和缺陷的評估,能夠更為科學的確定審計事項的重要性水平,有助于合理調配審計資源,深入進行研究分析,保證內部審計的充分性在目前的內部審計實踐中,一個較為突出的問題是在標準化的審計程序上耗費大量審計資源,而缺乏對重要問題的深入研究和系統性分析。具體來說,一方面,審計過于追求程序的標準化,審計意見包含大量詳細的操作細節問題,但沒有區分重要性水平。特別是對于風險較小的環節給予過多關注,造成控制冗余,不但影響審計效率,也可能對后續審計產生誤導。另一方面,對于重要缺陷不能給出系統評估和全面的解決方案,例如評估缺陷在多大程度上增加了企業運營風險,缺陷產生的系統性原因和個體原因,以及如何進行整改和需要投入的管理資源是否符合成本效益原則。而風險導向內部審計重視事前的風險評估,可以有效解決審計側重點問題,合理調配審計資源。可以結合企業目標,有針對性的深入研究重要風險,評估缺陷程度。同時,還可以減少在次要風險上的審計資源投入,在總體資源有限的情況下發揮最大的審計效果。
三、實施風險導向內部審計的實現途徑與展望
風險導向內部審計從根本上改變了傳統審計的指導思想和工作模式,對內審部門提出了很大的挑戰,其在實踐中的應用還存在很大障礙。筆者認為,要想實施風險導向內部審計,至少需要在如下幾個實現轉變。
1、內部審計部門職能的轉變:由消極的查錯防弊向主動的風險管理轉變在所有阻礙風險導向審計實施的問題中,最根本的是內審部門自身定位的轉變。風險導向內部審計要求內審部門的定位要從消極的查錯防弊變為主動的風險管理,在風險評估、內部控制乃至公司治理中發揮專業作用。這使內審工作從監督指導職能延伸到風險評估、缺陷分析和管理咨詢,幾乎顛覆了內審部門的舊有工作范圍,無疑是對內審部門從軟件到硬件的全面挑戰。盡管如此,這些轉變又是不可回避的,因為能否轉變思路并主動適應新的角色,是內部審計能否提升自身價值的關鍵所在,也是企業風險管理提升不可或缺的重要途徑。
2、審計方法的轉變:建立完善風險評估機制風險評估和改善作為內部審計的首要目標,在實踐中也是能否真正實施風險導向內部審計的關鍵問題。因為企業的風險千差萬別,風險評估也非常復雜繁瑣,但作為整個審計體系的基石,所有后續審計工作均需要以風險評估為基礎。筆者認為,企業應通過建立成熟的風險識別模型和風險評估程序,通過流程化、標準化以節約審計資源。具體來說,一方面內審部門應結合COSO企業風險管理框架(ERM)、企業風險模型(BRM)以及其他風險分析工具,建立一套適合本企業特點的風險識別模型。然后根據企業目標,在模型框架內識別具有重大影響的風險項目,建立企業風險數據庫。另一方面,在內部審計中應建立風險評估報告制度,強制要求內審人員全面了解被審單位的風險狀況,以保證所有后續審計工作按風險導向執行,最終幫助評價審計結果對企業整體風險的影響。
3、風險管理架構的轉變:整合內部控制資源,實施風險的全過程管理無論是內部審計還是內部控制和企業風險管理部門,乃至于各專業部門的風險管理人員,其根本任務歸根結底就是對風險進行管理。而受制于管理范圍和資源限制,內部審計部門必須與其他風險管理部門共同開展風險管理工作。具體來說,一是需要加強部門協調,與相關部門共享風險數據庫,并在共同的風險識別框架下對風險形成共同認識,對控制措施和審計缺陷評估實施共同標準。二是對風險進行全過程管理。根據風險管理過程理論,風險管理是風險識別、風險度量和風險監控三個環節構成的循環,內部審計對于風險的管理也必然是一個動態的過程,需要整合相關資源對風險全流程進行管理,及時進行重新評估和應對。目前,外部審計機構正在大力開展管理咨詢業務,憑借其專業優勢和成本優勢,越來越多的重復性內部審計工作已呈現外包化趨勢。內部審計如果仍在“查錯防弊”階段止步不前,將越來越難以為企業創造價值。因此,只有積極參與企業內部風險管理,并在此基礎上與其他風險管理部門密切配合,形成強有力的風險管理體系,才能有效為企業保駕護航,這或許是內部審計的長遠發展方向。
作者:姜傳志 胡增會 單位:青島中油巖土工程有限公司
參考文獻:
[1]曹偉,桂友泉.2002:內部審計與內部控制[J].審計研究(1),P27-30.
[2]費朵,鄒家繼.2008:項目風險識別方法探討[J].物流科技(8),P139-141.
