序論:在您撰寫風(fēng)險(xiǎn)評(píng)估與管理時(shí)�����,參考他人的優(yōu)秀作品可以開闊視野���,小編為您整理的7篇范文�����,希望這些建議能夠激發(fā)您的創(chuàng)作熱情���,引導(dǎo)您走向新的創(chuàng)作高度。
第1篇
關(guān)鍵詞:注冊(cè)會(huì)計(jì)師 風(fēng)險(xiǎn)評(píng)估 風(fēng)險(xiǎn)管理 內(nèi)部控制
一�、引言
2010年美國(guó)公眾公司會(huì)計(jì)監(jiān)督委員會(huì)(Public Company Accounting Oversight Board����,PCAOB)通過了新的審計(jì)準(zhǔn)則(審計(jì)準(zhǔn)則第8號(hào)至第15號(hào))�,以規(guī)范審計(jì)師對(duì)審計(jì)風(fēng)險(xiǎn)的評(píng)估和反應(yīng)��。目的是監(jiān)督公眾公司的審計(jì)師編制信息量大����、公允和獨(dú)立的審計(jì)報(bào)告����,以保護(hù)投資者利益并增進(jìn)公眾利益。在PCAOB此次行動(dòng)之前���,不斷有人發(fā)出強(qiáng)烈的信息��,讓審計(jì)職業(yè)人員在風(fēng)險(xiǎn)管理中扮演更積極的角色。而且PCAOB早在兩年前就已經(jīng)提出了實(shí)施具體風(fēng)險(xiǎn)評(píng)估準(zhǔn)則的信息�����,這些準(zhǔn)則旨在解決從最初計(jì)劃到結(jié)果評(píng)估的審計(jì)過程問題���。這些新準(zhǔn)則是在審計(jì)促進(jìn)成熟風(fēng)險(xiǎn)評(píng)估中非常重要的一步,可以把審計(jì)師未能發(fā)現(xiàn)的重大錯(cuò)報(bào)事故風(fēng)險(xiǎn)降到最小����。PCAOB執(zhí)行主席丹尼爾?格爾澤爾說一旦這些標(biāo)準(zhǔn)被采用,在審計(jì)財(cái)務(wù)申明中發(fā)現(xiàn),適當(dāng)計(jì)劃以及實(shí)施審計(jì)以解決這些風(fēng)險(xiǎn)問題以增強(qiáng)投資者的信息是非常重要的����。這些審計(jì)標(biāo)準(zhǔn)包括:審計(jì)風(fēng)險(xiǎn)、審計(jì)計(jì)劃�����、審計(jì)參與監(jiān)督��、計(jì)劃執(zhí)行審計(jì)中的思考�����、重大錯(cuò)報(bào)事故的確認(rèn)與評(píng)估�����、審計(jì)師對(duì)重大錯(cuò)報(bào)事故的回應(yīng)�����、評(píng)估審計(jì)結(jié)果以及審計(jì)證據(jù)����。它們貫穿了從初始計(jì)劃階段到審計(jì)結(jié)果評(píng)估的整個(gè)審計(jì)流程��。PCAOB主席丹尼爾?高澤(DanielL��,Goelzer)說:這些新準(zhǔn)則的出臺(tái)意味著在促進(jìn)精密的審計(jì)風(fēng)險(xiǎn)評(píng)估與將審計(jì)人員未能發(fā)現(xiàn)重大誤報(bào)的風(fēng)險(xiǎn)降至最低方面邁出了重要一步����。識(shí)別風(fēng)險(xiǎn)�����,并通過正確地審計(jì)計(jì)劃和開展審計(jì)活動(dòng)來應(yīng)對(duì)風(fēng)險(xiǎn)���,對(duì)于提升投資者對(duì)經(jīng)審計(jì)財(cái)務(wù)報(bào)表的信心是至關(guān)重要的���。
二、風(fēng)險(xiǎn)評(píng)估���、企業(yè)風(fēng)險(xiǎn)管理與審計(jì)風(fēng)險(xiǎn)
(一)注冊(cè)會(huì)計(jì)師風(fēng)險(xiǎn)評(píng)估 風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的核心是審計(jì)風(fēng)險(xiǎn)�����,任何審計(jì)業(yè)務(wù)都必須將審計(jì)風(fēng)險(xiǎn)控制在可接受的風(fēng)險(xiǎn)水平內(nèi)�。因此風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)要求注冊(cè)會(huì)計(jì)師加強(qiáng)對(duì)被審計(jì)單位及其環(huán)境的了解����,在審計(jì)的所有階段都要實(shí)施風(fēng)險(xiǎn)評(píng)估程序,并將識(shí)別和的評(píng)估的風(fēng)險(xiǎn)與實(shí)施的審計(jì)程序掛鉤��,而且要求針對(duì)重大的各類交易����、賬戶余額和列報(bào)實(shí)施實(shí)質(zhì)性程序,可以說風(fēng)險(xiǎn)評(píng)估程序是風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)模式落實(shí)到審計(jì)工作的核心環(huán)節(jié)���,風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)下審計(jì)風(fēng)險(xiǎn)模型如下:審計(jì)風(fēng)險(xiǎn)=重大錯(cuò)報(bào)風(fēng)險(xiǎn)×檢查風(fēng)險(xiǎn)�。審計(jì)風(fēng)險(xiǎn)是指財(cái)務(wù)報(bào)表存在重大錯(cuò)報(bào)而注冊(cè)會(huì)計(jì)師發(fā)表不恰當(dāng)審計(jì)意見的可能性��。重大錯(cuò)報(bào)風(fēng)險(xiǎn)是指財(cái)務(wù)報(bào)表在審計(jì)錢存在重大錯(cuò)報(bào)的可能性�,檢查風(fēng)險(xiǎn)是指某一認(rèn)定存在錯(cuò)報(bào),該錯(cuò)報(bào)單獨(dú)或連同其他錯(cuò)報(bào)是重大的�����,但注冊(cè)會(huì)計(jì)師未能發(fā)現(xiàn)這種錯(cuò)報(bào)的可能性����。注冊(cè)會(huì)計(jì)師合理設(shè)計(jì)審計(jì)程序的性質(zhì)、時(shí)間和范圍���,并有效執(zhí)行審計(jì)程序�,以控制檢查風(fēng)險(xiǎn)。注冊(cè)會(huì)計(jì)師采取以下方法展開審計(jì)工作:(1)注冊(cè)會(huì)計(jì)師應(yīng)當(dāng)針對(duì)財(cái)務(wù)報(bào)表層次的重大錯(cuò)報(bào)風(fēng)險(xiǎn)置頂總體應(yīng)對(duì)措施�;(2)注冊(cè)會(huì)計(jì)師應(yīng)當(dāng)針對(duì)認(rèn)定層次的重大錯(cuò)報(bào)風(fēng)險(xiǎn)設(shè)計(jì)和實(shí)施進(jìn)一步審計(jì)程序,包括測(cè)試控制的執(zhí)行有效性以及實(shí)施實(shí)質(zhì)性程序�;(3)注冊(cè)會(huì)計(jì)師應(yīng)當(dāng)評(píng)價(jià)風(fēng)險(xiǎn)評(píng)估的結(jié)果是否適當(dāng),并確定是否已經(jīng)獲取充分�、適當(dāng)?shù)膶徲?jì)證據(jù);(4)注冊(cè)會(huì)計(jì)師應(yīng)當(dāng)將實(shí)施關(guān)鍵的程序形成審計(jì)工作記錄��。我們發(fā)現(xiàn)����,注冊(cè)會(huì)計(jì)師以針對(duì)評(píng)估的財(cái)務(wù)報(bào)表層次重大錯(cuò)報(bào)風(fēng)險(xiǎn)為起點(diǎn),確定總體應(yīng)對(duì)措施����,并有針對(duì)評(píng)估的認(rèn)定層次重大錯(cuò)報(bào)風(fēng)險(xiǎn)設(shè)計(jì)和實(shí)施進(jìn)一步審計(jì)程序,以將審計(jì)風(fēng)險(xiǎn)控制在可接受的低水平��。風(fēng)險(xiǎn)導(dǎo)向的核心是審計(jì)風(fēng)險(xiǎn)���,控制審計(jì)風(fēng)險(xiǎn)的關(guān)鍵是風(fēng)險(xiǎn)評(píng)估程序����,另一方面,企業(yè)必須準(zhǔn)確地評(píng)價(jià)和有效地管理各項(xiàng)與企業(yè)成功息息相關(guān)的風(fēng)險(xiǎn)��。管理層不但需要準(zhǔn)確地了解各項(xiàng)業(yè)務(wù)風(fēng)險(xiǎn)以及不良控制的后果��,并且能夠根據(jù)所確認(rèn)風(fēng)險(xiǎn)的殘余影響的輕重程度分配資源和關(guān)注程度�。所以注冊(cè)會(huì)計(jì)師的風(fēng)險(xiǎn)評(píng)估將有利于企業(yè)的風(fēng)險(xiǎn)管理��。
(二)企業(yè)的風(fēng)險(xiǎn)管理 每個(gè)企業(yè)在經(jīng)營(yíng)中存在各種風(fēng)險(xiǎn)����,而我們這里討論的企業(yè)風(fēng)險(xiǎn)管理中的風(fēng)險(xiǎn)概念與金融市場(chǎng)的風(fēng)險(xiǎn)概念有所不同,當(dāng)然金融風(fēng)險(xiǎn)也是企業(yè)(特別是金融類企業(yè))面臨的風(fēng)險(xiǎn)之一���,企業(yè)風(fēng)險(xiǎn)就是企業(yè)面臨的可能導(dǎo)致企業(yè)虧損的各種不確定性事件�����,降低企業(yè)的價(jià)值����。所以風(fēng)險(xiǎn)管理需要做的就是盡量避免這種不確定性事件的發(fā)生�,或者是降低不確定性事件發(fā)生后對(duì)企業(yè)造成的損失。企業(yè)風(fēng)險(xiǎn)管理包括四個(gè)環(huán)節(jié):風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估�����、風(fēng)險(xiǎn)應(yīng)對(duì)���、風(fēng)險(xiǎn)監(jiān)察���。第一,風(fēng)險(xiǎn)識(shí)別是指盡力識(shí)別可能對(duì)企業(yè)取得成功產(chǎn)生影響的風(fēng)險(xiǎn)��,包括整個(gè)業(yè)務(wù)面臨的較大的風(fēng)險(xiǎn)����,以及與每個(gè)項(xiàng)目或較小的業(yè)務(wù)單位關(guān)系的風(fēng)險(xiǎn),識(shí)別潛在風(fēng)險(xiǎn)可以認(rèn)識(shí)到企業(yè)面臨的各種風(fēng)險(xiǎn)類型���,而且風(fēng)險(xiǎn)識(shí)別程序應(yīng)該在企業(yè)內(nèi)的多個(gè)層級(jí)得以執(zhí)行����,這與注冊(cè)會(huì)計(jì)師的風(fēng)險(xiǎn)評(píng)估貫徹于整個(gè)審計(jì)過程一樣���。第二���,風(fēng)險(xiǎn)評(píng)估是在識(shí)別了各種風(fēng)險(xiǎn)后��,對(duì)風(fēng)險(xiǎn)的的性質(zhì)�����、風(fēng)險(xiǎn)的類型、風(fēng)險(xiǎn)的發(fā)生頻率等進(jìn)行評(píng)價(jià)�,這種評(píng)價(jià)最主要分為兩方面,一個(gè)是影響�,另一個(gè)是可能性,企業(yè)可能還會(huì)采用敏感性分析或者決策樹等方法對(duì)風(fēng)險(xiǎn)的性質(zhì)進(jìn)行全面的認(rèn)識(shí)��。這與注冊(cè)會(huì)計(jì)師的風(fēng)險(xiǎn)評(píng)估相似��,不過更加具體����、全面。第三�,風(fēng)險(xiǎn)應(yīng)對(duì)是指對(duì)上述評(píng)估的風(fēng)險(xiǎn)采取相應(yīng)的措施,以避免該風(fēng)險(xiǎn)對(duì)企業(yè)產(chǎn)生的損失���,風(fēng)險(xiǎn)應(yīng)對(duì)的策略包括風(fēng)險(xiǎn)降低(如分散投資���,就是一種降低風(fēng)險(xiǎn)的措施)���,風(fēng)險(xiǎn)消除(使得該風(fēng)險(xiǎn)事件發(fā)生的概率降低為零),風(fēng)險(xiǎn)轉(zhuǎn)移(將風(fēng)險(xiǎn)的后果采用保險(xiǎn)��、合同等方式轉(zhuǎn)移出企業(yè))��,風(fēng)險(xiǎn)保留(定期風(fēng)險(xiǎn)復(fù)核�����、控制風(fēng)險(xiǎn)情境)����。第四,風(fēng)險(xiǎn)監(jiān)察是指企業(yè)監(jiān)測(cè)目標(biāo)的實(shí)現(xiàn)過程�����,關(guān)注新的風(fēng)險(xiǎn)和相關(guān)損失���,企業(yè)需要對(duì)風(fēng)險(xiǎn)進(jìn)行監(jiān)察�����,并在需要時(shí)不斷作出調(diào)整�����。風(fēng)險(xiǎn)檢查者定期檢查正在發(fā)生的虧損�����,以了解他們的控制建議得以實(shí)施�,并設(shè)計(jì)過程來改善風(fēng)險(xiǎn)管理的過程,制定一項(xiàng)戰(zhàn)略來應(yīng)對(duì)出現(xiàn)的新風(fēng)險(xiǎn)���。
(三)風(fēng)險(xiǎn)評(píng)估與經(jīng)營(yíng)風(fēng)險(xiǎn)、審計(jì)風(fēng)險(xiǎn) 企業(yè)的風(fēng)險(xiǎn)識(shí)別是風(fēng)險(xiǎn)管理的第一步�����,是指對(duì)企業(yè)面臨的���,以及潛在的風(fēng)險(xiǎn)加以判斷���、歸類和鑒定風(fēng)險(xiǎn)性質(zhì)的過程。企業(yè)的風(fēng)險(xiǎn)一般可以分為兩類:系統(tǒng)風(fēng)險(xiǎn)和非系統(tǒng)風(fēng)險(xiǎn)���。系統(tǒng)風(fēng)險(xiǎn)是由公司之外的各種因素引起的�,如戰(zhàn)爭(zhēng)、經(jīng)濟(jì)衰退���、通貨膨脹���、高利率等與政治、經(jīng)濟(jì)和社會(huì)相聯(lián)系的風(fēng)險(xiǎn)��,是不能通過多元化投資而分散的��,因此又稱作不可分散風(fēng)險(xiǎn)或市場(chǎng)風(fēng)險(xiǎn)�。非系統(tǒng)風(fēng)險(xiǎn)也被稱作可分散風(fēng)險(xiǎn),它是由公司本身的商業(yè)活動(dòng)和財(cái)務(wù)活動(dòng)帶來的�,如企業(yè)的管理水平、研究與開發(fā)���、消費(fèi)者需求的改變�、市場(chǎng)營(yíng)銷風(fēng)險(xiǎn)以及法律訴訟等���,其可以通過多元化投資組合而分散�����,是公司特有的風(fēng)險(xiǎn)��。而現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)將風(fēng)險(xiǎn)評(píng)估���、風(fēng)險(xiǎn)應(yīng)對(duì)與審計(jì)程序聯(lián)系起來����,這就使得注冊(cè)會(huì)計(jì)師審計(jì)不僅僅是出具審計(jì)報(bào)告的鑒證業(yè)務(wù)���,也可以起到促進(jìn)企業(yè)風(fēng)險(xiǎn)管理的作用�,注冊(cè)會(huì)計(jì)師審計(jì)過程中必須進(jìn)行風(fēng)險(xiǎn)評(píng)估�����,風(fēng)險(xiǎn)評(píng)估的過程是為了能夠獲得盡可能準(zhǔn)確的財(cái)務(wù)報(bào)表重大錯(cuò)報(bào)風(fēng)險(xiǎn)信息�����,以控制審計(jì)風(fēng)險(xiǎn)�,企業(yè)風(fēng)險(xiǎn)管理的過程是為了控制企業(yè)經(jīng)營(yíng)風(fēng)險(xiǎn)���,從審計(jì)風(fēng)險(xiǎn)與企業(yè)經(jīng)營(yíng)風(fēng)險(xiǎn)的關(guān)系�,我們發(fā)現(xiàn):其一�,風(fēng)險(xiǎn)評(píng)估是指評(píng)估被審計(jì)單位風(fēng)險(xiǎn)���,評(píng)估的過程是企業(yè)風(fēng)險(xiǎn)管理中的一個(gè)環(huán)節(jié)�,所以在性質(zhì)上他們具有相似性���。其二���,風(fēng)險(xiǎn)評(píng)估的程序包括:了
解被審計(jì)單位及其環(huán)境����、了解被審計(jì)單位的內(nèi)部控制等���,而風(fēng)險(xiǎn)管理也需要進(jìn)行這些工作�,方法包括:觀察����、檢查、分析程序���,穿行測(cè)試等�。風(fēng)險(xiǎn)評(píng)估�。其三,風(fēng)險(xiǎn)評(píng)估的目的相同:對(duì)于注冊(cè)會(huì)計(jì)師而言,風(fēng)險(xiǎn)評(píng)估的目的是為了了解被評(píng)估的財(cái)務(wù)報(bào)表重大錯(cuò)報(bào)風(fēng)險(xiǎn),并且制定風(fēng)險(xiǎn)應(yīng)對(duì)措施,有效地實(shí)施審計(jì)程序;對(duì)于企業(yè)而言,風(fēng)險(xiǎn)評(píng)估的目的是為了控制企業(yè)的風(fēng)險(xiǎn)點(diǎn),防止企業(yè)出現(xiàn)虧損的不利情況而實(shí)現(xiàn)企業(yè)價(jià)值增值�。風(fēng)險(xiǎn)評(píng)估使企業(yè)考慮潛在事項(xiàng)如何影響目標(biāo)的實(shí)現(xiàn)�。管理當(dāng)局應(yīng)從兩個(gè)角度對(duì)事項(xiàng)進(jìn)行評(píng)估:可能性和嚴(yán)重程度����,并且通常采用定性和定量相結(jié)合的方法。在不要求定量化的地方��,或者在定量評(píng)估所需的可靠數(shù)據(jù)無法取得或獲取和分析數(shù)據(jù)不具有成本效益時(shí)����,管理者通常采用定性評(píng)估技術(shù)����。定量技術(shù)精確度更高��,通常應(yīng)用在更加復(fù)雜的活動(dòng)中,以對(duì)定性技術(shù)進(jìn)行補(bǔ)充�。評(píng)估風(fēng)險(xiǎn)時(shí)既要考慮固有風(fēng)險(xiǎn),也要考慮剩余風(fēng)險(xiǎn)。固有風(fēng)險(xiǎn)是管理當(dāng)局沒有采取任何措施來改變風(fēng)險(xiǎn)的可能性或影響的情況下,一個(gè)企業(yè)所面臨的風(fēng)險(xiǎn)。剩余風(fēng)險(xiǎn)是在管理當(dāng)局應(yīng)對(duì)風(fēng)險(xiǎn)后所殘余的風(fēng)險(xiǎn)。審計(jì)中注冊(cè)會(huì)計(jì)師更多關(guān)注的是審計(jì)風(fēng)險(xiǎn)以及企業(yè)的經(jīng)營(yíng)風(fēng)險(xiǎn)�����,但是對(duì)于企業(yè)其他風(fēng)險(xiǎn)管理(如制度風(fēng)險(xiǎn)管理�����、法律風(fēng)險(xiǎn)管理)考慮不足����,當(dāng)然這是注冊(cè)會(huì)計(jì)師收益成本分析后的結(jié)果����,但是注冊(cè)會(huì)計(jì)師必須區(qū)分企業(yè)經(jīng)營(yíng)風(fēng)險(xiǎn)與審計(jì)風(fēng)險(xiǎn),經(jīng)營(yíng)風(fēng)險(xiǎn)是指實(shí)現(xiàn)不了經(jīng)營(yíng)目標(biāo)和戰(zhàn)略的可能性,經(jīng)營(yíng)失敗是經(jīng)營(yíng)風(fēng)險(xiǎn)的擴(kuò)大化,指企業(yè)由于經(jīng)濟(jì)或經(jīng)濟(jì)條件的變化而無法滿足投資者的預(yù)期���,經(jīng)營(yíng)失敗的極端情況是申請(qǐng)破產(chǎn)�����。誠(chéng)然企業(yè)經(jīng)營(yíng)失敗可能使得注冊(cè)會(huì)計(jì)師面臨審計(jì)訴訟,經(jīng)營(yíng)風(fēng)險(xiǎn)與審計(jì)風(fēng)險(xiǎn)有一定的相關(guān)性�����,但風(fēng)險(xiǎn)導(dǎo)向的核心是審計(jì)風(fēng)險(xiǎn)��,而不是企業(yè)的經(jīng)營(yíng)風(fēng)險(xiǎn)���。
三�、注冊(cè)會(huì)計(jì)師風(fēng)險(xiǎn)評(píng)估與企業(yè)風(fēng)險(xiǎn)管理關(guān)系
(一)二者時(shí)間發(fā)展順序 環(huán)境變化促使越來越多的企業(yè)實(shí)施全面風(fēng)險(xiǎn)管理�,也促進(jìn)了風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的發(fā)展:從20世紀(jì)90年代開始�����,隨著新的科技技術(shù)和經(jīng)濟(jì)全球化帶來企業(yè)組織結(jié)構(gòu)虛擬化���、集約化���、專業(yè)化及扁平化等新的商業(yè)特征,許多跨國(guó)公司開始實(shí)施全面風(fēng)險(xiǎn)管理方法�,一些國(guó)際咨詢公司和會(huì)計(jì)師事務(wù)所也開始運(yùn)用這一概念并將其同咨詢或?qū)徲?jì)業(yè)務(wù)相結(jié)合。全面風(fēng)險(xiǎn)管理體系正在隨著企業(yè)治理的完善而越發(fā)受到重視,風(fēng)險(xiǎn)管理的概念逐步引入到我國(guó)的企業(yè)中,使得我國(guó)企業(yè)的風(fēng)險(xiǎn)管理工作納入了公司治理的范圍。2004年9月,COSO了《企業(yè)風(fēng)險(xiǎn)管理框架》�����。該框架是在《內(nèi)部控制――整體框架》報(bào)告的基礎(chǔ)上�,結(jié)合《薩班斯――奧克斯法案》在報(bào)告方面的要求����,明確提出企業(yè)風(fēng)險(xiǎn)管理是由企業(yè)董事會(huì)、管理層和其他員工共同參與���,應(yīng)用于企業(yè)戰(zhàn)略制定����,以及企業(yè)內(nèi)部各層次和部門,用于識(shí)別可能對(duì)企業(yè)造成影響的事項(xiàng)��,管理風(fēng)險(xiǎn)為企業(yè)目標(biāo)的實(shí)現(xiàn)提供合理保證�。同時(shí)該框架還指出:企業(yè)風(fēng)險(xiǎn)管理框架由內(nèi)部環(huán)境、目標(biāo)制定�����、事項(xiàng)識(shí)別����、風(fēng)險(xiǎn)評(píng)估�����、風(fēng)險(xiǎn)反應(yīng)��、控制活動(dòng)�����、信息和溝通、監(jiān)控八個(gè)相互關(guān)聯(lián)的要素構(gòu)成���。這也奠定了企業(yè)風(fēng)險(xiǎn)管理系統(tǒng)的組織模式��。風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的發(fā)展也與全面的風(fēng)險(xiǎn)管理系統(tǒng)構(gòu)建同步����,2003年10月�����,國(guó)際會(huì)計(jì)師聯(lián)合會(huì)下屬的國(guó)際審計(jì)準(zhǔn)則委員會(huì)了三個(gè)新的國(guó)際審計(jì)風(fēng)險(xiǎn)準(zhǔn)則�����,并從2004年12月15日或之后開始的期間財(cái)務(wù)報(bào)表審計(jì)起執(zhí)行這三個(gè)新準(zhǔn)則��。2004年10月�,中國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)根據(jù)國(guó)際審計(jì)準(zhǔn)則的最新發(fā)展,對(duì)已修訂的四個(gè)新審計(jì)風(fēng)險(xiǎn)準(zhǔn)則在全國(guó)范圍內(nèi)征求意見�,并且于2007年1月1日開始實(shí)施。風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)已經(jīng)深入了我國(guó)審計(jì)的實(shí)際工作��,為審計(jì)業(yè)務(wù)的展開提供了指引。
(二)二者業(yè)務(wù)性質(zhì)相互影響 全面風(fēng)險(xiǎn)管理為現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)風(fēng)險(xiǎn)評(píng)估提供了更好的基礎(chǔ)為了評(píng)估客戶是否有效地監(jiān)督和控制了其戰(zhàn)略風(fēng)險(xiǎn)及其他經(jīng)營(yíng)風(fēng)險(xiǎn)����,注冊(cè)會(huì)計(jì)師必須識(shí)別、收集和處理大量與客戶經(jīng)營(yíng)活動(dòng)相關(guān)的證據(jù)�����。當(dāng)企業(yè)沒有實(shí)施全面風(fēng)險(xiǎn)管理時(shí)�,收集這些證據(jù)即使在理論上是可行的,但為此付出的成本對(duì)注冊(cè)會(huì)計(jì)師而言也常常是不經(jīng)濟(jì)的�。注冊(cè)會(huì)計(jì)師的風(fēng)險(xiǎn)評(píng)估程序?qū)ζ髽I(yè)風(fēng)險(xiǎn)管理有以下益處:(1)了解企業(yè)的外部環(huán)境風(fēng)險(xiǎn)以及內(nèi)部控制成為風(fēng)險(xiǎn)評(píng)估的重要組成部分,注冊(cè)會(huì)計(jì)師也將公司內(nèi)部控制的有效性作為風(fēng)險(xiǎn)應(yīng)對(duì)的考慮因素�����。所以注冊(cè)會(huì)計(jì)師關(guān)于企業(yè)內(nèi)部控制的評(píng)價(jià)將為企業(yè)的風(fēng)險(xiǎn)管理提供建議�����。(2)注冊(cè)會(huì)計(jì)師在實(shí)施控制測(cè)試與實(shí)質(zhì)性測(cè)試時(shí)�����,會(huì)將交易的內(nèi)部控制目標(biāo)與關(guān)鍵內(nèi)部控制聯(lián)系起來��,然后將測(cè)試的結(jié)果與風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行對(duì)比�����,這將有助于公司相關(guān)交易所涉及人員在業(yè)務(wù)流程中履行好自己的職責(zé)��,注冊(cè)會(huì)計(jì)師審計(jì)可以起到監(jiān)督作用����,發(fā)現(xiàn)企業(yè)內(nèi)部控制的風(fēng)險(xiǎn)點(diǎn)。企業(yè)風(fēng)險(xiǎn)管理對(duì)注冊(cè)會(huì)計(jì)師的風(fēng)險(xiǎn)評(píng)估有以下益處:第一��,企業(yè)風(fēng)險(xiǎn)管理的完善性與企業(yè)內(nèi)部控制系統(tǒng)有著很強(qiáng)的相關(guān)性�����,所以如果企業(yè)建立了一整套風(fēng)險(xiǎn)管理的體系�,那么注冊(cè)會(huì)計(jì)師的風(fēng)險(xiǎn)評(píng)估程序就會(huì)減少程序,因?yàn)轱L(fēng)險(xiǎn)評(píng)估在整個(gè)審計(jì)過程中的驗(yàn)證過程都是可靠的�。第二,企業(yè)風(fēng)險(xiǎn)管理的方式與注冊(cè)會(huì)計(jì)師風(fēng)險(xiǎn)評(píng)估��。企業(yè)全員參與風(fēng)險(xiǎn)管理����,從整個(gè)企業(yè)組合的角度實(shí)施風(fēng)險(xiǎn)管理����,增強(qiáng)了企業(yè)風(fēng)險(xiǎn)管理的有效性���,注冊(cè)會(huì)計(jì)師能夠在更大程度上信賴企業(yè)的全面風(fēng)險(xiǎn)管理��,實(shí)施風(fēng)險(xiǎn)評(píng)估���。第三,企業(yè)風(fēng)險(xiǎn)管理系統(tǒng)的完善性越不好�,注冊(cè)會(huì)計(jì)師所涉及的這部分程序設(shè)計(jì)需要越謹(jǐn)慎,而風(fēng)險(xiǎn)評(píng)估程序后提出建議的邊際貢獻(xiàn)越高�,這二者之間的交互作用就在于風(fēng)險(xiǎn)評(píng)估程序是對(duì)風(fēng)險(xiǎn)管理的一種再監(jiān)察。
(三)二者存在的不同 當(dāng)然二者存在著以下區(qū)別:注冊(cè)會(huì)計(jì)師風(fēng)險(xiǎn)評(píng)估更多是對(duì)內(nèi)部控制有效性的評(píng)估��,這種評(píng)估是因?yàn)閷徲?jì)的效率所決定的��,而企業(yè)的風(fēng)險(xiǎn)管理需要覆蓋企業(yè)的整體層面和各個(gè)業(yè)務(wù)流程�,所以我們注冊(cè)會(huì)計(jì)師的風(fēng)險(xiǎn)評(píng)估結(jié)果對(duì)于企業(yè)而言是一種參考,注冊(cè)會(huì)計(jì)師的風(fēng)險(xiǎn)評(píng)估只是對(duì)內(nèi)部控制水平高低的一個(gè)評(píng)價(jià)���,這并不能完全說明企業(yè)風(fēng)險(xiǎn)管理的有效性。注冊(cè)會(huì)計(jì)師可以通過對(duì)企業(yè)內(nèi)部控制系統(tǒng)有效性評(píng)價(jià)來評(píng)估客戶監(jiān)督和控制其戰(zhàn)略風(fēng)險(xiǎn)及其他經(jīng)營(yíng)風(fēng)險(xiǎn)的情況��,如果僅僅是審計(jì)過程,注冊(cè)會(huì)計(jì)師不需要提出風(fēng)險(xiǎn)管理改進(jìn)建議�����,他們?cè)u(píng)估的財(cái)務(wù)報(bào)表重大錯(cuò)報(bào)風(fēng)險(xiǎn)只是為了控制檢查風(fēng)險(xiǎn)��,進(jìn)而控制審計(jì)風(fēng)險(xiǎn)����。所以注冊(cè)會(huì)計(jì)師審計(jì)過程的風(fēng)險(xiǎn)評(píng)估與企業(yè)風(fēng)險(xiǎn)管理過程中的風(fēng)險(xiǎn)評(píng)估目的相似,但企業(yè)風(fēng)險(xiǎn)管理的目的和注冊(cè)會(huì)計(jì)師的風(fēng)險(xiǎn)評(píng)估還是存在不同��。
四�����、企業(yè)風(fēng)險(xiǎn)管理及風(fēng)險(xiǎn)評(píng)估路徑
(一)風(fēng)險(xiǎn)評(píng)估報(bào)告與企業(yè)風(fēng)險(xiǎn)管理 (圖1)呈現(xiàn)了風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的框架��,風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)最大的要點(diǎn)就在于實(shí)施基本審計(jì)程序前的風(fēng)險(xiǎn)評(píng)估�����。而且后來的審計(jì)程序結(jié)果會(huì)不斷檢驗(yàn)風(fēng)險(xiǎn)評(píng)估的結(jié)果�,不斷地修正與調(diào)險(xiǎn)估計(jì)水平,在整個(gè)審計(jì)過程中都需要進(jìn)行風(fēng)險(xiǎn)評(píng)估過程�����,所以注冊(cè)會(huì)計(jì)師可以在審計(jì)完成后形成風(fēng)險(xiǎn)評(píng)估的最終結(jié)果,形成風(fēng)險(xiǎn)評(píng)估報(bào)告��,以評(píng)價(jià)內(nèi)部控制的有效性及風(fēng)險(xiǎn)管理控制的水平���。該報(bào)告可能涉及內(nèi)部環(huán)境�����、企業(yè)風(fēng)險(xiǎn)評(píng)估����、風(fēng)險(xiǎn)反應(yīng)��、控制活動(dòng)����、信息和溝通、監(jiān)控等要素����,對(duì)企業(yè)內(nèi)部控制的測(cè)試結(jié)果進(jìn)行一個(gè)總結(jié)性陳述,形成風(fēng)險(xiǎn)評(píng)估報(bào)告���。風(fēng)險(xiǎn)評(píng)估報(bào)告作為風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)階段性成果在審計(jì)完成后反饋給被審計(jì)客戶��,以幫助被審計(jì)客戶進(jìn)一步完善內(nèi)部控制水平����,但我們必須意識(shí)到:風(fēng)險(xiǎn)評(píng)估報(bào)告不是審計(jì)報(bào)告的子報(bào)告�,風(fēng)險(xiǎn)評(píng)估報(bào)告僅僅為被審計(jì)單位進(jìn)一步提高內(nèi)部控制水平而用,而非鑒證報(bào)告���,注冊(cè)會(huì)計(jì)師不需要提供保證�。
(二)風(fēng)險(xiǎn)評(píng)估報(bào)告與信息系統(tǒng)風(fēng)險(xiǎn)管理 注冊(cè)會(huì)計(jì)師評(píng)價(jià)內(nèi)部控制有效性的要求里就包括了評(píng)價(jià)信息系統(tǒng)的有效性�����,所以注
第2篇
一����、企業(yè)風(fēng)險(xiǎn)管理概述
企業(yè)風(fēng)險(xiǎn)管理有八個(gè)組成要素:目標(biāo)設(shè)定、風(fēng)險(xiǎn)識(shí)別��、風(fēng)險(xiǎn)評(píng)估���、風(fēng)險(xiǎn)對(duì)策����、控制活動(dòng)、信息與溝通��、監(jiān)督,內(nèi)部環(huán)境.下面對(duì)其前四個(gè)方面的因素著重進(jìn)行闡述:
[1]目標(biāo)設(shè)定��,即是在1960年之際��,有國(guó)外的代洛克發(fā)現(xiàn)并且提出了相應(yīng)的理論�,它的內(nèi)容是敘述具有一個(gè)向前的目標(biāo)是完成某個(gè)事情的源泉和動(dòng)力,所以可知���,倘若確定了目標(biāo)�,就會(huì)增加靠近成功的幾率�,當(dāng)一個(gè)具有挑戰(zhàn)性的目標(biāo)被大眾認(rèn)可并完成以后,取得的價(jià)值是非?���?捎^的。
[2]風(fēng)險(xiǎn)識(shí)別是指在企業(yè)發(fā)生虧損�����,出現(xiàn)差錯(cuò)之前,企業(yè)的管理人員根據(jù)自己以往的經(jīng)驗(yàn)以及相應(yīng)的設(shè)備等辨識(shí)出對(duì)企業(yè)的威脅的因素以此來協(xié)助和維護(hù)企業(yè)達(dá)到既定目標(biāo)的安全��。這主要包括感知以及分析風(fēng)險(xiǎn)兩個(gè)方面�����。
[3]風(fēng)險(xiǎn)評(píng)估
從企業(yè)的相關(guān)資源的安全角度來分析可知�,風(fēng)險(xiǎn)評(píng)估主要是對(duì)企業(yè)內(nèi)部的資料進(jìn)行相應(yīng)的分析�,評(píng)估風(fēng)險(xiǎn)的來源和對(duì)企業(yè)的危害度,企業(yè)進(jìn)行風(fēng)險(xiǎn)管理的前提���,風(fēng)險(xiǎn)評(píng)估是企業(yè)保證其內(nèi)部資源具有高的安全系數(shù)的主要措施��,它將歸類于資源的安全管理這一企業(yè)經(jīng)營(yíng)體系中�。
二��、企業(yè)開展風(fēng)險(xiǎn)評(píng)估的過程分析
國(guó)家政府部門在2006年之際就已經(jīng)出版了《企業(yè)全中央面風(fēng)險(xiǎn)管理指引》這一條款���,其中的一條項(xiàng)目《指引》里面的主要內(nèi)容就指出了���,每個(gè)企業(yè)或者公司都應(yīng)該對(duì)保存關(guān)于風(fēng)險(xiǎn)管理方面的一些相關(guān)資料以及企業(yè)不同的項(xiàng)目管理業(yè)務(wù)過程開展一些針對(duì)實(shí)際情況的風(fēng)險(xiǎn)評(píng)估。對(duì)于這些方面的風(fēng)險(xiǎn)評(píng)估�,企業(yè)就采取了三個(gè)方面的階段和內(nèi)容,首先是風(fēng)險(xiǎn)辨識(shí)�����,其內(nèi)容主要是包含了和辨清企業(yè)開展什么項(xiàng)目或者進(jìn)行什么措施會(huì)嚴(yán)重阻礙企業(yè)的發(fā)展,從而產(chǎn)生風(fēng)險(xiǎn)���。話句話說的就是對(duì)于企業(yè)的各個(gè)生產(chǎn)流程��,部門管理流程和相關(guān)的業(yè)務(wù)流程以及公司的一些日常事務(wù)活動(dòng)進(jìn)行認(rèn)真地檢查和評(píng)估�,辨別其中是否具有風(fēng)險(xiǎn)性以及具有的這些風(fēng)險(xiǎn)內(nèi)容的癥狀在哪里����,其次,對(duì)企業(yè)進(jìn)行風(fēng)險(xiǎn)分析�����,這主要就是為了確定企業(yè)能否產(chǎn)生風(fēng)險(xiǎn)以及分清風(fēng)險(xiǎn)的特點(diǎn)�。換句話說就是根據(jù)相關(guān)的風(fēng)險(xiǎn)具有的特征對(duì)這些風(fēng)險(xiǎn)進(jìn)行分門別類的定義,并且辨別其相關(guān)的風(fēng)險(xiǎn)度和產(chǎn)生這些風(fēng)險(xiǎn)的原因和條件���。最后��,對(duì)企業(yè)進(jìn)行風(fēng)險(xiǎn)評(píng)價(jià)�����,風(fēng)險(xiǎn)評(píng)價(jià)也是極其重要的一個(gè)方面�,即是預(yù)測(cè)企業(yè)的某個(gè)流程產(chǎn)生了風(fēng)險(xiǎn)之后會(huì)對(duì)企業(yè)造成什么樣的影響,換句話說就是風(fēng)險(xiǎn)評(píng)價(jià)對(duì)企業(yè)來講起著相當(dāng)重要的作用��,可能會(huì)了解到風(fēng)險(xiǎn)在企業(yè)實(shí)現(xiàn)其自身的目標(biāo)方案中的影響程度等�����。
三���、企業(yè)進(jìn)行風(fēng)險(xiǎn)評(píng)估的重要性
任何企業(yè)都具有一定的風(fēng)險(xiǎn)性,并且企業(yè)的風(fēng)險(xiǎn)性也是不可避免的��,風(fēng)險(xiǎn)評(píng)估是事實(shí)內(nèi)部控制的重要環(huán)節(jié),所以就要加強(qiáng)企業(yè)的風(fēng)險(xiǎn)評(píng)估���,讓企業(yè)的損失降到最低化�,另外�,在企業(yè)內(nèi)進(jìn)行風(fēng)險(xiǎn)評(píng)估還可以加強(qiáng)企業(yè)的管理人員與上級(jí)領(lǐng)導(dǎo)和企業(yè)員工之間的警惕風(fēng)險(xiǎn)的意識(shí),而且還能夠讓全體員工能夠懂得各司其職�����,加強(qiáng)企業(yè)的風(fēng)險(xiǎn)評(píng)估能夠?qū)ζ髽I(yè)的生產(chǎn)經(jīng)營(yíng)過程中出現(xiàn)的問題及時(shí)解決,防止其影響企業(yè)的既定目標(biāo)�,造成企業(yè)的正常營(yíng)運(yùn)處于癱瘓狀態(tài),由此企業(yè)加強(qiáng)風(fēng)險(xiǎn)評(píng)估是最有效也是最直接的提高企業(yè)的經(jīng)濟(jì)的途徑���。
四�、企業(yè)進(jìn)行風(fēng)險(xiǎn)評(píng)估的策略
3.1控制活動(dòng)策略
在企業(yè)的相關(guān)管理部門在察覺這種風(fēng)險(xiǎn)�,并且將這種風(fēng)險(xiǎn)的影響程度進(jìn)行了了解和清晰的分析之后,就可以對(duì)企業(yè)存在的這種風(fēng)險(xiǎn)著手加派人手研究相應(yīng)的解決措施�����。這里的控制活動(dòng)主要是針對(duì)管理階層而言�����,主要就是為了讓相關(guān)的管理人員在發(fā)現(xiàn)企業(yè)有了某些風(fēng)險(xiǎn)之后能夠及時(shí)的發(fā)出響應(yīng)的指令�,防止一些人員不停派遣和調(diào)崗的情況出現(xiàn),相當(dāng)于是授予管理人員的某種權(quán)利����,這就包括了“核準(zhǔn)、授權(quán)�、驗(yàn)證、調(diào)節(jié)”等等一系列的過程�,控制活動(dòng)的最大的作用就在于保障企業(yè)的既定目標(biāo)能夠不夠風(fēng)險(xiǎn)的影響�����,并且能夠順利的完成或者達(dá)到企業(yè)的既定目標(biāo)�����。
3.2完險(xiǎn)管理體系
全面風(fēng)險(xiǎn)管理是對(duì)整個(gè)機(jī)構(gòu)內(nèi)各個(gè)層次,各個(gè)種類風(fēng)險(xiǎn)的通盤管理���。對(duì)企業(yè)實(shí)施全方位的整體風(fēng)險(xiǎn)管理不僅可以使企業(yè)的整體員工合作協(xié)調(diào)起來,讓企業(yè)內(nèi)部數(shù)據(jù)之間deep收集���、測(cè)量��、處理三者有機(jī)的站在一條水平線上,能夠更好的協(xié)助企業(yè)的內(nèi)部的審計(jì)以及監(jiān)督���。并且企業(yè)的相關(guān)上級(jí)領(lǐng)導(dǎo)以及相關(guān)的管理人員務(wù)必分清從整個(gè)企業(yè)的發(fā)展出發(fā)�,分清其中的利與弊�����,使得各部門的領(lǐng)導(dǎo)安排的相關(guān)程序都能夠及時(shí)的落到實(shí)處��,其次有效、及時(shí)�、準(zhǔn)確的報(bào)告制度對(duì)于企業(yè)來講也是非常重要的,這就需要盡快恢復(fù)其現(xiàn)有的報(bào)告缺陷�,保證企業(yè)的內(nèi)部信息暢通,即當(dāng)企業(yè)的內(nèi)部環(huán)境方面出現(xiàn)了某一方面的風(fēng)險(xiǎn)和錯(cuò)誤時(shí)����,就應(yīng)該及時(shí)的上級(jí)領(lǐng)導(dǎo)揮或者部門報(bào)告,以便讓其能夠盡快得到解決�,恢復(fù)正常的運(yùn)營(yíng)秩序。
3.3建立健全財(cái)務(wù)危機(jī)預(yù)警系統(tǒng)
企業(yè)財(cái)務(wù)預(yù)警機(jī)制系統(tǒng)是為防止企業(yè)偏離正常經(jīng)營(yíng)軌道而建立的報(bào)警和控制系統(tǒng)���,它以企業(yè)信息化為基礎(chǔ)��,利用數(shù)據(jù)化管理方式��,通過對(duì)各種財(cái)務(wù)數(shù)據(jù)資料的分析��,對(duì)企業(yè)經(jīng)營(yíng)管理活動(dòng)中存在的財(cái)務(wù)危機(jī)及早警示�����,對(duì)潛在財(cái)務(wù)風(fēng)險(xiǎn)進(jìn)行實(shí)時(shí)監(jiān)控���,為經(jīng)營(yíng)決策提供可靠依據(jù)�����。
建立財(cái)務(wù)危機(jī)預(yù)警系統(tǒng)�����,可對(duì)財(cái)務(wù)運(yùn)營(yíng)過程進(jìn)行監(jiān)控���、預(yù)測(cè),及早發(fā)現(xiàn)財(cái)務(wù)危機(jī)信號(hào)����,在其萌芽階段采取有效措施進(jìn)行預(yù)防和控制,避免情況惡化造成更大的損失�。
3.4設(shè)計(jì)一套科學(xué)的內(nèi)部控制行動(dòng)指南
1、在機(jī)構(gòu)內(nèi)部廣泛開展“深化內(nèi)控理念����,落實(shí)內(nèi)控措施”的創(chuàng)建活動(dòng)��,結(jié)合自身情況及上級(jí)單位的要求���,通過確定風(fēng)險(xiǎn)控制環(huán)節(jié)��,分解�����、落實(shí)機(jī)構(gòu)內(nèi)各部門����、各崗位管理職責(zé),并對(duì)控制狀況進(jìn)行檢查��、評(píng)價(jià)和考核�����,強(qiáng)化風(fēng)險(xiǎn)管理責(zé)任�,提高全員風(fēng)險(xiǎn)防范的意識(shí)和能力,從而全面有效地控制經(jīng)營(yíng)風(fēng)險(xiǎn)��。設(shè)立一套科學(xué)的內(nèi)部控制行動(dòng)指南����,為管理者進(jìn)行內(nèi)部控制有效性評(píng)價(jià)提供指引也是當(dāng)前急切需要解決的問題。并且要在內(nèi)部相應(yīng)的部門實(shí)施相應(yīng)的個(gè)人評(píng)估策略�,即在企業(yè)實(shí)施的長(zhǎng)時(shí)間的監(jiān)督過程中,在一般情況下�����,企業(yè)最好是聘請(qǐng)相應(yīng)的專業(yè)人員對(duì)其進(jìn)行評(píng)估,以此來監(jiān)督企業(yè)內(nèi)部控制的實(shí)施有效性�,這些是對(duì)長(zhǎng)效監(jiān)督控制的一系列評(píng)估
第3篇
關(guān)鍵詞 雷擊風(fēng)險(xiǎn)評(píng)估;管理系統(tǒng)���;系統(tǒng)開發(fā)�����;雷擊風(fēng)險(xiǎn)評(píng)估工具
中圖分類號(hào)P429 文獻(xiàn)標(biāo)識(shí)碼A 文章編號(hào) 1674-6708(2011)41-0053-02
0 引言
國(guó)外已逐漸形成一套完整的雷擊風(fēng)險(xiǎn)評(píng)估體系�����,制定了多項(xiàng)防雷技術(shù)標(biāo)準(zhǔn)和評(píng)估方法��。在美���、英、德等多國(guó)也都開發(fā)出了相應(yīng)的雷擊風(fēng)險(xiǎn)評(píng)估系統(tǒng)���。但這些風(fēng)險(xiǎn)評(píng)估系統(tǒng)參考的標(biāo)準(zhǔn)技術(shù)方法比較復(fù)雜,結(jié)構(gòu)龐大����,而且大都建立在國(guó)外防雷工作經(jīng)驗(yàn)基礎(chǔ)上��,沒有能考慮到中國(guó)廣袤大地的情況差異以及中國(guó)的國(guó)情���,因此其體系和相應(yīng)的評(píng)估系統(tǒng)只能被我們借鑒參考、學(xué)習(xí)�,不適宜完全照抄照搬或全盤引用。目前在國(guó)內(nèi)符合國(guó)家標(biāo)準(zhǔn)和評(píng)估規(guī)范的評(píng)估系統(tǒng)相對(duì)缺少尚且不夠成熟��。
《雷擊風(fēng)險(xiǎn)評(píng)估管理系統(tǒng)》遵循最新頒布的雷擊風(fēng)險(xiǎn)評(píng)估規(guī)范――《雷電防護(hù)第2部分:風(fēng)險(xiǎn)管理》GB/T 21714.2-2008 ���,采用C#語(yǔ)言��,結(jié)合國(guó)家氣象局已組建的閃電監(jiān)測(cè)預(yù)警網(wǎng)����、谷歌GPS衛(wèi)星定位地圖等系統(tǒng)�����,建立起一套完善的雷擊風(fēng)險(xiǎn)評(píng)估管理系統(tǒng)��。該系統(tǒng)能實(shí)現(xiàn)雷擊風(fēng)險(xiǎn)評(píng)估過程科學(xué)化、計(jì)算過程自動(dòng)化���、計(jì)算結(jié)果客觀化����。界面簡(jiǎn)潔�����、操作簡(jiǎn)單的系統(tǒng)�����,統(tǒng)一化的評(píng)估技術(shù)報(bào)告不僅提高了雷擊風(fēng)險(xiǎn)評(píng)估工作的效率�����,還利于在各地區(qū)開展雷電風(fēng)險(xiǎn)評(píng)估工作�����。雷電風(fēng)險(xiǎn)評(píng)估系統(tǒng)的先進(jìn)性和技術(shù)報(bào)告的嚴(yán)密科學(xué)性可以在全國(guó)范圍內(nèi)推廣�����。
1 雷擊風(fēng)險(xiǎn)評(píng)估管理系統(tǒng)功能模塊和主要功能說明
《雷擊風(fēng)險(xiǎn)評(píng)估管理系統(tǒng)》遵循規(guī)范的基礎(chǔ),結(jié)合實(shí)際風(fēng)險(xiǎn)評(píng)估工作的業(yè)務(wù)流程和特點(diǎn)設(shè)計(jì)����,整個(gè)系統(tǒng)劃分為方案管理�、系統(tǒng)工具、文檔管理���、用戶管理4個(gè)主要模塊��。
1.1 方案管理
1)原始評(píng)估記錄:用戶將要進(jìn)行風(fēng)險(xiǎn)評(píng)估的對(duì)象的具體勘測(cè)數(shù)據(jù)如實(shí)記錄入系統(tǒng)�。對(duì)評(píng)估對(duì)象建立相應(yīng)存儲(chǔ)空間��,并在需要時(shí)調(diào)出這些數(shù)據(jù)作為評(píng)估�����、對(duì)比等用途����;
2)方案設(shè)計(jì):對(duì)一個(gè)項(xiàng)目進(jìn)行多種類型的風(fēng)險(xiǎn)評(píng)估,如單獨(dú)對(duì)人身傷亡損失風(fēng)險(xiǎn)R1��、公眾服務(wù)損失風(fēng)險(xiǎn)R2�����、文化遺產(chǎn)損失風(fēng)險(xiǎn)R3、經(jīng)濟(jì)損失風(fēng)險(xiǎn)R4 進(jìn)行評(píng)估��,也可以對(duì)其任何一種組合進(jìn)行風(fēng)險(xiǎn)評(píng)估����;
3)效益分析:自動(dòng)化生成的風(fēng)險(xiǎn)分量百分比的表格,各種風(fēng)險(xiǎn)所占總風(fēng)險(xiǎn)的百分比一目了然�;提供了多種(最多3種)防雷整改方案的評(píng)估,并與原始評(píng)估結(jié)果對(duì)比���,智能經(jīng)濟(jì)損失風(fēng)險(xiǎn)評(píng)估���,自動(dòng)判斷采取的防雷整改方案是否合理。
1.2 系統(tǒng)工具
1)GPS定位地圖:連接Internet���,輕松找到被評(píng)估對(duì)象經(jīng)緯度����;
2)中國(guó)雷電監(jiān)測(cè)預(yù)警網(wǎng):多種方式實(shí)時(shí)查詢?nèi)珖?guó)各地雷電狀態(tài)����,顯示詳細(xì)的雷電資料和密度分布圖����;
3)中國(guó)防雷資料網(wǎng):評(píng)估過程中隨時(shí)查到所需技術(shù)資料�����;
4)雷電資料導(dǎo)入:將國(guó)家雷電監(jiān)測(cè)預(yù)警網(wǎng)實(shí)時(shí)雷電資料數(shù)據(jù)導(dǎo)入系統(tǒng)�;
5)字典維護(hù):對(duì)風(fēng)險(xiǎn)評(píng)估過程涉及參數(shù)進(jìn)行維護(hù)����;
6)數(shù)據(jù)庫(kù)維護(hù):對(duì)當(dāng)前系統(tǒng)所連接的數(shù)據(jù)進(jìn)行備份或恢復(fù)操作。
1.3 文檔管理
1)雷擊風(fēng)險(xiǎn)評(píng)估報(bào)告模板:雷擊風(fēng)險(xiǎn)評(píng)估報(bào)告模板�����;
2)雷擊風(fēng)險(xiǎn)評(píng)估協(xié)議書 :雷擊風(fēng)險(xiǎn)評(píng)估協(xié)議書��。
1.4 用戶管理
1)系統(tǒng)登錄模塊:負(fù)責(zé)驗(yàn)證各種用戶身份��,根據(jù)不同的用戶權(quán)限決定其管理內(nèi)容���;
2)權(quán)限設(shè)置模塊:此模塊只有管理員才有權(quán)限�����,管理員可以根據(jù)情況對(duì)各欄目的屬性進(jìn)行基本的設(shè)置�。
2 雷擊風(fēng)險(xiǎn)評(píng)估管理系統(tǒng)的的實(shí)現(xiàn)技術(shù)
2.1 Client/Server 模式
C/S模式又稱為客戶機(jī)/服務(wù)器模式,是90 年展起來的一種主/從結(jié)構(gòu)的分布式處理環(huán)境���,它的特點(diǎn)是將應(yīng)用分解為兩部分:客戶進(jìn)程(Client Process)和服務(wù)進(jìn)程(Server Process)��,即前臺(tái)和后臺(tái)��??蛻暨M(jìn)程與用戶打交道����,一般運(yùn)行在Microsoft Windows提供的GUI (Graphic Unit Interface)下;服務(wù)進(jìn)程與數(shù)據(jù)庫(kù)打交道�����,一般通過SQL(Structured Query Language)查詢語(yǔ)言實(shí)現(xiàn)�����,前端是對(duì)用戶的界面�����,后端是對(duì)數(shù)據(jù)庫(kù)的處理。這種對(duì)信息分布式處理的模式大大減少了網(wǎng)間數(shù)據(jù)的傳輸量����,處理速度快,并能高效實(shí)現(xiàn)資源共享����。其結(jié)構(gòu)如下:采用Client/Server 結(jié)構(gòu),Client 端只要將請(qǐng)求發(fā)給Server 端�,而Server端在處理完請(qǐng)求之后,只是把結(jié)果返回給Client 端�����。實(shí)際上在網(wǎng)絡(luò)傳輸?shù)闹挥蠸QL 語(yǔ)句和結(jié)果數(shù)據(jù)�����。同時(shí)�����,Client 負(fù)責(zé)友好的界面與用戶交互��。而Server 專門負(fù)責(zé)數(shù)據(jù)庫(kù)的操作�����、維護(hù)�����,提高了整個(gè)系統(tǒng)的吞吐量和響應(yīng)時(shí)間�����。
2.2 數(shù)據(jù)管理系統(tǒng)SQL Server2005
Microsoft SQL Server2005 是由一系列相互協(xié)作的組件構(gòu)成���,能滿足最大的Web 站點(diǎn)和企業(yè)數(shù)據(jù)處理系統(tǒng)存儲(chǔ)和分析數(shù)據(jù)的需要��。SQL Server2005 的客戶/服務(wù)器提供了許多傳統(tǒng)主機(jī)數(shù)據(jù)庫(kù)所沒有的先進(jìn)功能�����。數(shù)據(jù)訪問并局限于某些已有的主機(jī)數(shù)據(jù)應(yīng)用程序��。SQLServer2005 的一個(gè)主要優(yōu)點(diǎn)就是與主流客戶服務(wù)器開發(fā)工具和桌面應(yīng)用程序緊密集成���。可以使用許多方法訪問SQL Server2005 數(shù)據(jù)庫(kù)�。
SQL Server數(shù)據(jù)庫(kù)體系結(jié)構(gòu)的核心是服務(wù)器���,即數(shù)據(jù)庫(kù)引擎。SQL Server 數(shù)據(jù)庫(kù)引擎負(fù)責(zé)處理到達(dá)的數(shù)據(jù)庫(kù)請(qǐng)求�����,并把相應(yīng)的結(jié)果反饋給客戶端系統(tǒng)���。SQL Server 充分利用了可設(shè)置優(yōu)先權(quán)的多任務(wù)�����、虛擬內(nèi)存和異步I/O 功能�。SQL Server 數(shù)據(jù)庫(kù)引擎可在多線程內(nèi)核上創(chuàng)建��,這樣在處理多個(gè)事務(wù)的時(shí)候可獲得較高的性能��。它包括的支持開發(fā)的引擎����、標(biāo)準(zhǔn)的SQL語(yǔ)言��、擴(kuò)展的特性(如復(fù)制����、OLAP�、分析)等功能����,以及像存儲(chǔ)過程、觸發(fā)器等特性�����。
SQL Server2005 數(shù)據(jù)庫(kù)系統(tǒng)的服務(wù)器負(fù)責(zé)創(chuàng)建和維護(hù)表和索引等數(shù)據(jù)庫(kù)對(duì)象�,確保數(shù)據(jù)完整性和安全性,能夠在出現(xiàn)各種錯(cuò)誤時(shí)恢復(fù)數(shù)據(jù)�����。SQL Server2005 的客戶端可完成所有的用戶交互操作�,將數(shù)據(jù)從服務(wù)器檢索出來后生成副本,以便在本地保留�����,也可以進(jìn)行操作��。
由于SQL Server200_5 的強(qiáng)大功能,特別是其全文檢索功能�����,支持從純文本到二進(jìn)制數(shù)據(jù)的檢索�����,如 WORD 文檔�、EXCEL 電子表格等等,其文本性數(shù)據(jù)類型支持量相當(dāng)龐大����,因此系統(tǒng)中主要利用SQL Server 進(jìn)行文本保存,方便查詢和檢索����,同時(shí)為進(jìn)一步擴(kuò)展其功能奠定基礎(chǔ)。
2.3 面向?qū)ο笙到y(tǒng)開發(fā)方法
面向?qū)ο螅∣O���,Object Oriented)的系統(tǒng)開發(fā)方法�,是近年來受到關(guān)注的一種系統(tǒng)開發(fā)方法�。面向?qū)ο蟮南到y(tǒng)開發(fā)方法的基本思想是將客觀世界抽象地看成是若干相互聯(lián)系的對(duì)象�,然后根據(jù)對(duì)象和方法的特性研制出一套軟件工具使之能夠映射為計(jì)算機(jī)軟件系統(tǒng)結(jié)構(gòu)模型和進(jìn)程,從而實(shí)現(xiàn)信息系統(tǒng)的開發(fā)。
3 結(jié)論
《雷擊風(fēng)險(xiǎn)評(píng)估管理系統(tǒng)》的設(shè)計(jì)遵循最新頒布的雷擊風(fēng)險(xiǎn)評(píng)估規(guī)范��,結(jié)合評(píng)估工作的業(yè)務(wù)流程和特點(diǎn)��,依據(jù)被評(píng)估對(duì)象的數(shù)據(jù)自動(dòng)計(jì)算出評(píng)測(cè)結(jié)果�,并提供多種措施方案對(duì)比可對(duì)其進(jìn)行經(jīng)濟(jì)效益評(píng)估,以表格和柱形等多種形式圖表的形式輔助用戶做出最符合實(shí)際的方案決策�。本系統(tǒng)操作簡(jiǎn)單、界面友好�����。系統(tǒng)實(shí)現(xiàn)雷擊風(fēng)險(xiǎn)評(píng)估過程科學(xué)化����、計(jì)算過程自動(dòng)化、計(jì)算結(jié)果客觀化����。界面簡(jiǎn)潔、操作簡(jiǎn)單的系統(tǒng)�,具有較強(qiáng)的實(shí)用性與通用性。
統(tǒng)一化的評(píng)估技術(shù)報(bào)告不僅提高了雷擊風(fēng)險(xiǎn)評(píng)估工作的效率����,還利于在各地區(qū)開展雷電風(fēng)險(xiǎn)評(píng)估工作。本系統(tǒng)的開發(fā)拓展了雷電防護(hù)應(yīng)用技術(shù)的領(lǐng)域,項(xiàng)目完成并推廣以后會(huì)提高本地區(qū)防雷中心科技服務(wù)水平�,并對(duì)提高經(jīng)濟(jì)效益起到很大的推動(dòng)作用。
參考文獻(xiàn)
[1]GB 50057-94 建筑物防雷設(shè)計(jì)規(guī)范[S].
[2]GB 50343-2004 建筑物電子信息系統(tǒng)防雷技術(shù)規(guī)范[S].
[3]DB50/214-2006 雷電災(zāi)害風(fēng)險(xiǎn)評(píng)佑技術(shù)規(guī)范[S].
[4][美]Greg Riccardi.數(shù)據(jù)庫(kù)系統(tǒng)原理[M].清華大學(xué)出版社�����,2002���,11.
[5]李巖���,張瑞雪.SQL Server 2005實(shí)用教程[M].清華大學(xué)出版社,2008����,9.
[6]古樂,史九林.軟件測(cè)試案例與實(shí)踐教程[M].清華大學(xué)出版社���,2007�����,2.
[7]劉波.信息管理系統(tǒng)中數(shù)據(jù)庫(kù)安全實(shí)現(xiàn)方法[J].計(jì)算機(jī)應(yīng)用�����,2005(10):77-78.
[8]劉志成.SQL Server 2005實(shí)例教程[M].電子工業(yè)出版社����,2008��,2.
第4篇
一����、總則
為及時(shí)識(shí)別、監(jiān)控公司保密潛在風(fēng)險(xiǎn)及其發(fā)生概率���,確定公司保密風(fēng)險(xiǎn)承受能力及限度��,認(rèn)定該等風(fēng)險(xiǎn)所可能帶來的損失��,根據(jù)《上海市涉密信息系統(tǒng)集成資質(zhì)單位保密風(fēng)險(xiǎn)評(píng)估工作細(xì)則》和《涉密信息系統(tǒng)集成資質(zhì)保密標(biāo)準(zhǔn)》結(jié)合公司實(shí)際�,特制定本管理辦法����。
二、職責(zé)分工
1��、公司保密風(fēng)險(xiǎn)評(píng)估與管理主管部門為風(fēng)險(xiǎn)管理部�。
2�����、各部門�����、各經(jīng)營(yíng)單元協(xié)助風(fēng)險(xiǎn)管理部實(shí)施本管理辦法�����。
3���、公司各涉密經(jīng)營(yíng)單元是保密風(fēng)險(xiǎn)管理的第一道防線,負(fù)責(zé)本經(jīng)營(yíng)單元和公司內(nèi)縱向歸口管理事項(xiàng)的保密風(fēng)險(xiǎn)管理工作�����。
4���、公司保密風(fēng)險(xiǎn)評(píng)估工作小組(以下簡(jiǎn)稱工作小組)是保密風(fēng)險(xiǎn)管理的第二道防線�,接受保密管理辦公室的監(jiān)督(以下簡(jiǎn)稱保密辦)��,負(fù)責(zé)指導(dǎo)和檢查保密風(fēng)險(xiǎn)評(píng)估工作的開展����。
5�����、公司保密工作領(lǐng)導(dǎo)小組(以下簡(jiǎn)稱領(lǐng)導(dǎo)小組)是保密風(fēng)險(xiǎn)管理的第三道防線。作為保密風(fēng)險(xiǎn)管理的決策機(jī)構(gòu)�����,負(fù)責(zé)監(jiān)督保密風(fēng)險(xiǎn)評(píng)估工作的開展���,負(fù)責(zé)組織建立完善保密管理的持續(xù)改進(jìn)機(jī)制�����。
三����、工作內(nèi)容及流程�。
1、領(lǐng)導(dǎo)小組授權(quán)風(fēng)險(xiǎn)管理部組織成立工作小組��。工作小組組長(zhǎng)由分管保密工作的公司領(lǐng)導(dǎo)擔(dān)任��,成員由保密辦、風(fēng)險(xiǎn)管理部等部門負(fù)責(zé)人組成���。領(lǐng)導(dǎo)小組應(yīng)組織對(duì)評(píng)估過程中出現(xiàn)的問題和結(jié)果做分析和研究���,查找出在保密管理的制度、流程和執(zhí)行等方面的問題����,組織對(duì)制度和流程進(jìn)行修訂和完善。
2�����、工作小組至少每半年開展一次保密風(fēng)險(xiǎn)評(píng)估�����,使用“上海市涉密信息系統(tǒng)集成資質(zhì)保密風(fēng)險(xiǎn)評(píng)估及自查自評(píng)系統(tǒng)”開展保密風(fēng)險(xiǎn)評(píng)估工作��,按照業(yè)務(wù)流程對(duì)保密風(fēng)險(xiǎn)進(jìn)行識(shí)別�、分析和評(píng)估,評(píng)估的范圍包括項(xiàng)目�����、人員、資產(chǎn)���、場(chǎng)所等主要管理活動(dòng)在保密方面所面臨的威脅����、存在的弱點(diǎn)����、造成的影響���,以及三者綜合作用所帶來風(fēng)險(xiǎn)的可能性的評(píng)估����。
3����、工作小組至少每年對(duì)《保密管理風(fēng)險(xiǎn)點(diǎn)識(shí)別及防控措施》評(píng)估一次,從人員風(fēng)險(xiǎn)����、涉密載體風(fēng)險(xiǎn)、涉密計(jì)算機(jī)����、涉密場(chǎng)所���、投標(biāo)、項(xiàng)目實(shí)施等�,對(duì)每個(gè)風(fēng)險(xiǎn)點(diǎn)進(jìn)行低、中��、高等級(jí)識(shí)別���,制定相應(yīng)的防范措施�。
4�����、工作小組在評(píng)估過程中如發(fā)現(xiàn)問題����,及時(shí)向領(lǐng)導(dǎo)小組匯報(bào),《保密風(fēng)險(xiǎn)評(píng)估報(bào)告》形成后����,應(yīng)向領(lǐng)導(dǎo)小組報(bào)告評(píng)估情況。向相關(guān)涉密經(jīng)營(yíng)單元和人員通報(bào)評(píng)估情況,監(jiān)督防控措施的落實(shí)���。
5��、工作小組不定期組織開展評(píng)估業(yè)務(wù)培訓(xùn)�����,使相關(guān)人員了解掌握保密風(fēng)險(xiǎn)形式����、評(píng)估方法�、評(píng)估工具��、防控措施等知識(shí)��。保密風(fēng)險(xiǎn)管理納入保密教育培訓(xùn)��,以增強(qiáng)涉密人員防控保密風(fēng)險(xiǎn)的意識(shí)��。
6�、《公司保密風(fēng)險(xiǎn)評(píng)估報(bào)告》以及《公司保密管理風(fēng)險(xiǎn)點(diǎn)識(shí)別及防控措施》由風(fēng)險(xiǎn)管理部保存,作為年度審查申請(qǐng)的附件材料報(bào)市國(guó)家保密局資質(zhì)管理委員會(huì)辦公室����。
四�����、獎(jiǎng)懲機(jī)制
將評(píng)估工作履職情況納入部門和員工的年度績(jī)效考核評(píng)價(jià)體系�����。由領(lǐng)導(dǎo)小組對(duì)工作小組成員的保密工作進(jìn)行考核評(píng)價(jià)�;由工作小組負(fù)責(zé)對(duì)相關(guān)部門和人員的保密工作進(jìn)行考核評(píng)價(jià)�����。對(duì)發(fā)現(xiàn)并上報(bào)重大保密風(fēng)險(xiǎn)的部門和人員給予獎(jiǎng)勵(lì)�。對(duì)瞞報(bào)或未發(fā)現(xiàn)明顯保密風(fēng)險(xiǎn)而導(dǎo)致發(fā)生泄密事件及嚴(yán)重違規(guī)行為的部門、人員給予重罰���。
五�����、附則
第5篇
關(guān)鍵詞:風(fēng)險(xiǎn)評(píng)估���;管理工具����;分類�;選擇;設(shè)計(jì)
中圖分類號(hào):TP311文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2011)30-7388-02
Research on Risk Assessment and Management Tools
WANG Fu-hua,YAO Jie
(Chongqing Communication Institute, Chongqing 400035, China)
Abstract: This article has carried on the detailed introduction to the risk assessment management tools, and introduced how to choose and design risk assessment management tools.Finally,it offers some ideas for information security assessment practice.
Key words: risk assessment; management tools; classification; choice; design
目前���,網(wǎng)絡(luò)安全問題已成為影響社會(huì)經(jīng)濟(jì)發(fā)展和國(guó)家發(fā)展戰(zhàn)略的重要因素�,信息安全評(píng)估工作的重要性不言而喻�����。信息安全風(fēng)險(xiǎn)評(píng)估工作是個(gè)極復(fù)雜又具有挑戰(zhàn)性的工作�����,需要細(xì)致的工作�����,大量的支持性的專業(yè)知識(shí)的支撐���,項(xiàng)目管理也比較復(fù)雜,因此如果要更好的完成信息安全風(fēng)險(xiǎn)評(píng)估工作就必須有一套非常實(shí)用的信息安全風(fēng)險(xiǎn)評(píng)估管理工具����。一套使用的風(fēng)險(xiǎn)評(píng)估管理工具將極大地提高信息安全風(fēng)險(xiǎn)評(píng)估工作的效率和結(jié)果的正確性����。
1 風(fēng)險(xiǎn)評(píng)估與管理工具分類
風(fēng)險(xiǎn)評(píng)估與管理工具是根據(jù)系統(tǒng)關(guān)鍵信息資產(chǎn)���、資產(chǎn)面臨的威脅以及威脅所利用的脆弱點(diǎn)來確定所面臨的威脅����、對(duì)風(fēng)險(xiǎn)情況進(jìn)行全面考慮�,估算出信息系統(tǒng)的風(fēng)險(xiǎn)情況,且在風(fēng)險(xiǎn)評(píng)估的同時(shí)根據(jù)面臨的風(fēng)險(xiǎn)提供相應(yīng)的控制措施和解決方法�����。
1.1 基于國(guó)家�����、政府頒布的信息安全管理標(biāo)準(zhǔn)或指南
目前世界上存在多種不同的風(fēng)險(xiǎn)分析指南和方法��,不同的風(fēng)險(xiǎn)分析方法其側(cè)重點(diǎn)和關(guān)注點(diǎn)各不相同��。如:
NIST(National Institute of standard and Technology)的FIPS 65�����;
DOJ(Department of Justice)的SRAG;
GAO(Government Accounting Office)的信息安全管理的實(shí)施指南��。
1.2 基于專家系統(tǒng)的風(fēng)險(xiǎn)評(píng)估工具
基于專家系統(tǒng)的風(fēng)險(xiǎn)評(píng)估工具主要通過建立專家系統(tǒng)和外部知識(shí)庫(kù)�����,以調(diào)查問卷的方式收集組織內(nèi)部信息安全的狀態(tài)�����。對(duì)重要資產(chǎn)的威脅和脆弱點(diǎn)進(jìn)行評(píng)估����,產(chǎn)生專家推薦的安全控制措施。
基于專家系統(tǒng)的風(fēng)險(xiǎn)評(píng)估工具通?�?梢宰詣?dòng)形成風(fēng)險(xiǎn)評(píng)估報(bào)告��,根據(jù)風(fēng)險(xiǎn)的嚴(yán)重程度提供風(fēng)險(xiǎn)指數(shù)����,同時(shí)分析可能存在的問題�����,并提供相應(yīng)的處理方法。
COBRA(Consultative Objective and Bi-functional Risk Analysis)是一個(gè)著名的基于專家系統(tǒng)的風(fēng)險(xiǎn)評(píng)估工具�����,它是一個(gè)問卷調(diào)查式的風(fēng)險(xiǎn)分析工具����,由三個(gè)部分組成:調(diào)查問卷生成、風(fēng)險(xiǎn)測(cè)量和結(jié)果分析生成�����。
基于專家系統(tǒng)的風(fēng)險(xiǎn)評(píng)估工具除COBRA之外����,比較知名的還有@RISK、BDSS(The Bayesian Decision Support System)等工具�����。
1.3 基于定性或定量算法的風(fēng)險(xiǎn)分析工具
風(fēng)險(xiǎn)分析作為重要的信息安全保障措施����,是信息安全體系不可或缺的一部分���。而信息安全風(fēng)險(xiǎn)評(píng)估的算法作為風(fēng)險(xiǎn)評(píng)估的重要手段,很久以前就被提出并了大量的研究工作��,其中一些算法已經(jīng)成為正式的信息安全標(biāo)準(zhǔn)的一部分����。早期的風(fēng)險(xiǎn)評(píng)估算法大部分僅僅作定性的分析,對(duì)風(fēng)險(xiǎn)產(chǎn)生的可能性和風(fēng)險(xiǎn)產(chǎn)生的后果只能按照高�����、中���、低來區(qū)分����,這種定性的方式無法準(zhǔn)確地估算出風(fēng)險(xiǎn)產(chǎn)生的可能性和損失量���。隨著人們對(duì)信息安全風(fēng)險(xiǎn)了解的不斷深入�����,獲得了更多的經(jīng)驗(yàn)數(shù)據(jù)��,因此人們?cè)絹碓较M枚康娘L(fēng)險(xiǎn)分析方法反映事故發(fā)生的可能性��。定量的信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)包括美國(guó)聯(lián)邦標(biāo)準(zhǔn)FIPS31和FIPS191��,提供定量風(fēng)險(xiǎn)分析技術(shù)的手冊(cè)包括GAO和新版的NISTRMG����。
由于數(shù)據(jù)收集的困難�����,目前還沒有完全定量的風(fēng)險(xiǎn)評(píng)估工具���,現(xiàn)有的風(fēng)險(xiǎn)評(píng)估工具要么在定性方面有所側(cè)重����,要么在定量方面有所側(cè)重�。如CONTROL-IT、Definitive Scenario�、JANBER都是定性的風(fēng)險(xiǎn)評(píng)估工具,而@RISK�����、Risk-CALC、CORA是半定量的風(fēng)險(xiǎn)評(píng)估工具���。
2 常見的風(fēng)險(xiǎn)評(píng)估管理工具比較
CRAMM:CRAMM是1985年由英國(guó)CCTA開發(fā)的風(fēng)險(xiǎn)評(píng)估系統(tǒng)����。CRAMM包括全面的風(fēng)險(xiǎn)評(píng)估工具���,并且完全遵循BS7799規(guī)范�����,包括依靠資產(chǎn)的建模�、商業(yè)影響評(píng)估���、識(shí)別和評(píng)估威脅和弱點(diǎn)����、評(píng)估風(fēng)險(xiǎn)等級(jí)�����、識(shí)別需求和基于風(fēng)險(xiǎn)評(píng)估調(diào)整控制等。CRAMM評(píng)估風(fēng)險(xiǎn)依靠資產(chǎn)價(jià)值����、威脅和脆弱點(diǎn),這些參數(shù)值是通過CRAMM評(píng)估者與資產(chǎn)所有者�、系統(tǒng)使用者、技術(shù)支持人員和安全部門人員一起的交互活動(dòng)得到��,最后給出一套解決方案��。
COBRA:COBRA是1991年由C&A System Security公司推出另外一個(gè)風(fēng)險(xiǎn)評(píng)估工具��,用來進(jìn)行信息安全風(fēng)險(xiǎn)管理方法�,提供了一個(gè)完整的風(fēng)險(xiǎn)分析服務(wù)�����,并且兼容許多風(fēng)險(xiǎn)評(píng)估方法學(xué)(如定性分析和定量分析等)�����。它可以看做一個(gè)基于專家系統(tǒng)和擴(kuò)展知識(shí)庫(kù)的問卷系統(tǒng)�,對(duì)所有的威脅和脆弱點(diǎn)評(píng)估其相對(duì)重要性,并且給出合適的建議和解決方案��。此外,它還對(duì)每個(gè)風(fēng)險(xiǎn)類別提供風(fēng)險(xiǎn)分析報(bào)告和風(fēng)險(xiǎn)值�����。
@RISK是美國(guó)Palisade公司的一款軟件產(chǎn)品����,在世界范圍內(nèi)廣泛使用,是構(gòu)架在微軟Excel之上的一套風(fēng)險(xiǎn)分析工具����。在@RISK中,提供了一套完整的風(fēng)險(xiǎn)分析工具�,包括可以自行修訂的統(tǒng)計(jì)分配模型、蒙特卡羅檢測(cè)�、敏感性分析、環(huán)境分析���、極限值測(cè)試等常用的風(fēng)險(xiǎn)評(píng)估模型��。@RISK建立的流程包括:
1) 在Excel上建立需要分析的問題模型��;
2) 確定需要輸入模型的不確定值����;
3) 通過模擬程序,對(duì)可能的參數(shù)范圍進(jìn)行分析�,以@RISK內(nèi)置的概率分布函數(shù)表示,然后確定模型的輸出結(jié)果��;
4) 產(chǎn)生需要的資料圖表進(jìn)行分析�����。
表1是對(duì)一些主要風(fēng)險(xiǎn)評(píng)估工具的比較���。
表1
3 選擇風(fēng)險(xiǎn)評(píng)估工具的原則
1) 根據(jù)實(shí)際環(huán)境和企業(yè)的需求選擇
2) 風(fēng)險(xiǎn)評(píng)估工具應(yīng)當(dāng)能夠精確地映射網(wǎng)絡(luò)、應(yīng)用以及進(jìn)行攻擊測(cè)試
怎樣了解一個(gè)工具的實(shí)際功效���?最有效的辦法是搜索Web����,查看媒體的評(píng)論��,要求廠商提供其他客戶的使用情況說明�。正式購(gòu)買之前最好測(cè)試一下工具的性能。大多數(shù)廠商都提供限制了功能的試用版本�����,通常是限制IP地址的范圍。
3) 不僅要注意風(fēng)險(xiǎn)評(píng)估工具為目標(biāo)平臺(tái)提供的攻擊腳本數(shù)量�,而且要留意它們的更新速度。
純粹的數(shù)量有時(shí)不能說明問題���,因?yàn)橛行S商可能把許多相關(guān)的漏洞看成一個(gè)�,有的廠商則把它們算作多個(gè)漏洞�。一些較為優(yōu)秀的風(fēng)險(xiǎn)評(píng)估工具,如CVE��,把每一種測(cè)試都鏈接到了一個(gè)標(biāo)準(zhǔn)的漏洞案例ID�。留意風(fēng)險(xiǎn)評(píng)估工具的更新頻率,看看它是自動(dòng)更新還是需要手工執(zhí)行更新�,還有,新的安全威脅發(fā)現(xiàn)之后它要多長(zhǎng)的時(shí)間才能推出相應(yīng)的更新�����?
4) 報(bào)告數(shù)量的多少�,內(nèi)容翔實(shí)程度,是否允許導(dǎo)出報(bào)表
只能內(nèi)部使用的掃描結(jié)果報(bào)表也許能夠滿足最初的需要��,但如果經(jīng)常對(duì)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估�,最好能夠?qū)⑸傻膱?bào)表導(dǎo)出到外部數(shù)據(jù)庫(kù),以便執(zhí)行對(duì)比和分析��。
5) 是否支持不同級(jí)別的入侵測(cè)試以避免系統(tǒng)掛起
所有風(fēng)險(xiǎn)評(píng)估工具都有這樣的警告:入侵測(cè)試過程可能產(chǎn)生DoS攻擊,或者導(dǎo)致被測(cè)試的系統(tǒng)掛起���。通常�,在高訪問量期間對(duì)擔(dān)負(fù)關(guān)鍵任務(wù)的系統(tǒng)不應(yīng)該運(yùn)行風(fēng)險(xiǎn)評(píng)估工具���,風(fēng)險(xiǎn)評(píng)估工具本身可能帶來問題����,引起服務(wù)中斷或系統(tǒng)被鎖死�。大多數(shù)高質(zhì)量的風(fēng)險(xiǎn)評(píng)估工具允許執(zhí)行侵害程度較小的入侵測(cè)試,避免造成系統(tǒng)運(yùn)行中斷���。
6) 是否需要在線服務(wù)?
有些風(fēng)險(xiǎn)評(píng)估工具以在線服務(wù)的形式提供��。這種形式的優(yōu)點(diǎn)是不占用硬件資源�,可以從任何地方運(yùn)行和獲取報(bào)表,自動(dòng)執(zhí)行更新���,一般而言總擁有成本也較低�。缺點(diǎn)是服務(wù)的運(yùn)行速度一般較慢�,不象客戶端產(chǎn)品那樣容易定制��。最后還有一點(diǎn)是���,如果采用在線服務(wù),則掃描出來的網(wǎng)絡(luò)漏洞清單還將落入第三方的手中����。
4 信息安全風(fēng)險(xiǎn)評(píng)估管理工具設(shè)計(jì)
信息安全風(fēng)險(xiǎn)評(píng)估管理工具的設(shè)計(jì)必須考慮到參考模型可能存在的變化,或者計(jì)算方法發(fā)生變化而導(dǎo)致的工具適應(yīng)性的問題�����,還應(yīng)該具有項(xiàng)目管理功能�����,統(tǒng)計(jì)分析��,報(bào)表���,輔助評(píng)估專家系統(tǒng)���,查詢,資產(chǎn)管理��,更應(yīng)該加入風(fēng)險(xiǎn)管理與控制模塊,如果能提供與其他資產(chǎn)管理軟件的接口就更好了����。
為了適應(yīng)評(píng)估工作模式,信息安全風(fēng)險(xiǎn)評(píng)估工具的架構(gòu)應(yīng)該選擇B/S結(jié)構(gòu)�����,評(píng)估小組和評(píng)估人是最終用戶��,系統(tǒng)管理員對(duì)信息安全風(fēng)險(xiǎn)評(píng)估工具進(jìn)行維護(hù)和管理����。系統(tǒng)架構(gòu)如圖1。
信息安全風(fēng)險(xiǎn)評(píng)估工具中應(yīng)該包含威脅參考庫(kù)�����、脆弱性參考庫(kù)��、資產(chǎn)分類庫(kù)���、可能性定義庫(kù),后果定義庫(kù)�����、控制措施庫(kù)等評(píng)估輔助專家系統(tǒng)庫(kù)。這些庫(kù)都可以自己定義�����,便于使用�����。評(píng)估小組可以在評(píng)估的各個(gè)時(shí)期都能夠得到幫助�。
資產(chǎn)管理模塊應(yīng)該包含資產(chǎn)的各種基本信息,包括位置���、責(zé)任人��、所屬系統(tǒng)以及各種相關(guān)信息��。根據(jù)不同資產(chǎn)的分類��,相關(guān)信息也不同��,這些相關(guān)信息都是有助于系統(tǒng)安全的相關(guān)信息����。如資產(chǎn)的生命周期、系統(tǒng)補(bǔ)丁信息等���。
信息安全風(fēng)險(xiǎn)評(píng)估工具需要實(shí)際使用的檢驗(yàn)����,將在不斷滿足客戶的需要的同時(shí)逐漸發(fā)展�����、成熟����。通過不斷的改進(jìn)和發(fā)展,相信信息安全風(fēng)險(xiǎn)評(píng)估工具將極大地推動(dòng)信息安全風(fēng)險(xiǎn)評(píng)估工作的進(jìn)行�����。
參考文獻(xiàn):
[1] 陳友初.信息安全風(fēng)險(xiǎn)評(píng)估的探討與實(shí)踐[J].廣西科學(xué)院學(xué)報(bào),2006,22(4):367-369.
[2] 杜輝,劉霞,汪厚祥.信息安全風(fēng)險(xiǎn)評(píng)估方法研究[J].艦船電子工廠,2006,26(4):65-69.
[3] 張建軍,孟亞平.信息安全風(fēng)險(xiǎn)評(píng)估探索與實(shí)踐[M].北京:中國(guó)標(biāo)準(zhǔn)出版社,2005.
[4] 趙戰(zhàn)生,謝宗曉.信息安全風(fēng)險(xiǎn)評(píng)估[M].北京:中國(guó)標(biāo)準(zhǔn)出版社,2007,8.
[5] 馮登國(guó),張陽(yáng),張玉清. 信息安全風(fēng)險(xiǎn)評(píng)估綜述[J].北京:通信學(xué)報(bào),2004,25(7):10-18.
[6] 關(guān)義章,戴宗坤.羅萬伯,等.信息系統(tǒng)安全工程學(xué)[M].北京:電子工業(yè)出版社,2002,12.
第6篇
Abstract: In the process of urbanization in China�, the population density is getting higher and higher, which causes the travel difficult of people. In order to ensure the convenience of urban transport�����, many cities use the way to build the subway to alleviate the traffic pressure and ensure smooth traffic. However���, in the operation of the subway��, with the increase in the number of passengers����, there will be some security risks�, which have a serious threat to people's lives and property, so we need to make assessment and management of the safety risk in subway operations to avoid the security threats faced during subway operations. This paper analyzes the risk assessment and management of subway operational safety.
關(guān)鍵詞: 地鐵運(yùn)營(yíng)安全���;風(fēng)險(xiǎn)評(píng)估�;風(fēng)險(xiǎn)管理
Key words: subway operation safety�����;risk assessment�;risk management
中圖分類號(hào):F572 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1006-4311(2017)23-0054-03
0 引言
城市規(guī)模不斷擴(kuò)大以及城市人口數(shù)量的增加,導(dǎo)致巨大的交通壓力成為困擾城市發(fā)展的主要因素����。所以,在許多城市的規(guī)劃與建設(shè)中���,都將地鐵建設(shè)作為重點(diǎn)內(nèi)容�。近幾年,我國(guó)地鐵事故發(fā)生率逐漸升高�����,這些事故不僅為地鐵運(yùn)營(yíng)部門帶來重大經(jīng)濟(jì)損失�����,而且嚴(yán)重威脅了人們的生命財(cái)產(chǎn)安全���。因此����,在地鐵運(yùn)營(yíng)過程中�����,必須對(duì)存在的安全風(fēng)險(xiǎn)進(jìn)行評(píng)估與管理����,提高地鐵運(yùn)行的穩(wěn)定性與安全性,確保地鐵的作用能夠得以發(fā)揮���。
1 地鐵運(yùn)營(yíng)風(fēng)險(xiǎn)管理的基本流程與方法
運(yùn)營(yíng)風(fēng)險(xiǎn)管理是研究風(fēng)險(xiǎn)發(fā)生規(guī)律及風(fēng)控技術(shù)的一門科學(xué)����,具有前瞻性����、目標(biāo)性、計(jì)劃性�、經(jīng)濟(jì)性和管理性等特點(diǎn)。一般來說��,地鐵運(yùn)營(yíng)風(fēng)險(xiǎn)管理過程不外乎風(fēng)險(xiǎn)識(shí)別�、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)等級(jí)劃分和風(fēng)險(xiǎn)控制四個(gè)關(guān)鍵環(huán)節(jié):
1.1 風(fēng)險(xiǎn)識(shí)別
地鐵運(yùn)營(yíng)風(fēng)險(xiǎn)識(shí)別就是找出地鐵運(yùn)營(yíng)過程中影響安全的主要因素�,是風(fēng)險(xiǎn)管理流程中的第一個(gè)步驟。在風(fēng)險(xiǎn)識(shí)別的過程中����,必須確定地鐵運(yùn)營(yíng)系統(tǒng)的組成、特點(diǎn)以及各組成部分的關(guān)系�����,并全面檢查這些環(huán)節(jié)中的不確定性�����。與此同時(shí),還要分析不同種類風(fēng)險(xiǎn)對(duì)地鐵正常運(yùn)營(yíng)造成的威脅�,并確定風(fēng)險(xiǎn)作用范圍,以便針對(duì)不同的風(fēng)險(xiǎn)采取不同的措施��。
1.2 風(fēng)險(xiǎn)分析
地鐵運(yùn)營(yíng)風(fēng)險(xiǎn)分析就是對(duì)地鐵運(yùn)營(yíng)風(fēng)險(xiǎn)可能造成的后果進(jìn)行全面分析��。風(fēng)險(xiǎn)分析需要對(duì)個(gè)別的風(fēng)險(xiǎn)元素進(jìn)行分析����,并量化這些元素,形成一個(gè)風(fēng)險(xiǎn)清單�����,以便針對(duì)這些風(fēng)險(xiǎn)制定相應(yīng)的行動(dòng)計(jì)劃��。在科學(xué)技術(shù)不斷進(jìn)步的同時(shí)���,對(duì)地鐵運(yùn)營(yíng)分析的難度越來越高�����,只有不斷提高風(fēng)險(xiǎn)分析水平����,才能夠采取有效的措施降低風(fēng)險(xiǎn)。
1.3 風(fēng)險(xiǎn)評(píng)估
地鐵運(yùn)營(yíng)風(fēng)險(xiǎn)評(píng)估就是對(duì)地鐵運(yùn)營(yíng)風(fēng)險(xiǎn)能夠?qū)е碌暮蠊M(jìn)行評(píng)價(jià)�,并根據(jù)這些后果的嚴(yán)重程度進(jìn)行排序,同時(shí)考慮與其對(duì)應(yīng)的處理措施����,去頂風(fēng)險(xiǎn)�、成本與效益三者之間的關(guān)系,其關(guān)鍵在于考慮風(fēng)險(xiǎn)對(duì)整體目標(biāo)的影響���。綜合評(píng)估地鐵運(yùn)營(yíng)風(fēng)險(xiǎn)時(shí)����,首先應(yīng)該充分預(yù)測(cè)管理決策在實(shí)施期間所伴生的后果及其可能產(chǎn)生的危害�����、后果是否可以被接受等等�。風(fēng)險(xiǎn)的嚴(yán)重程度不同,就會(huì)造成優(yōu)先處理的順序不同�����。
1.4 風(fēng)險(xiǎn)決策
地鐵運(yùn)營(yíng)風(fēng)險(xiǎn)決策就是以風(fēng)險(xiǎn)分析與風(fēng)險(xiǎn)評(píng)估的結(jié)果為基礎(chǔ),針對(duì)風(fēng)險(xiǎn)制定相應(yīng)的措施���,降低風(fēng)險(xiǎn)對(duì)地鐵運(yùn)營(yíng)的影響�。一般來講���,風(fēng)險(xiǎn)策略主要有以下兩種:第一����,采取合理的措施���,最大限度地降低風(fēng)險(xiǎn)帶來的影與危害�,對(duì)其進(jìn)行有效的控制�����。第二�����,采取適當(dāng)?shù)拇胧┺D(zhuǎn)移風(fēng)險(xiǎn)���,降低風(fēng)險(xiǎn)對(duì)運(yùn)營(yíng)主體的危害���,但是��,不是所有風(fēng)險(xiǎn)都能夠被轉(zhuǎn)移��。在風(fēng)險(xiǎn)決策的過程中����,必須考慮成本與效益之間的關(guān)系����,確保風(fēng)險(xiǎn)決策成為最佳效益方案�����。
此外���,在地鐵運(yùn)營(yíng)風(fēng)險(xiǎn)中��,一些風(fēng)險(xiǎn)并不是一成不變的���,只有對(duì)這些風(fēng)險(xiǎn)進(jìn)行跟蹤,才能夠根據(jù)不同的情況進(jìn)行風(fēng)險(xiǎn)決策�。
第7篇
評(píng)估國(guó)庫(kù)資金操作的風(fēng)險(xiǎn)就是鑒別在國(guó)庫(kù)業(yè)務(wù)辦理過程中出現(xiàn)的各種損失的可能性與嚴(yán)重性��,一般可以采取定性評(píng)估方法�����、定量評(píng)估方法�����、定性與定量相結(jié)合的評(píng)估方法����。
(一)定性評(píng)估方法
定性評(píng)估方法是一種多目標(biāo)決策方法��,它突破了傳統(tǒng)的數(shù)量分析限制���,為更合理地制定決策開闊了思路�。德爾菲法是定性評(píng)估方法中最具代表性的方法����,這種方法具有廣泛的代表性,能夠可靠進(jìn)行有目標(biāo)的風(fēng)險(xiǎn)評(píng)估與防范����,但由于選擇合適的專家比較困難也可能得出比較草率的風(fēng)險(xiǎn)評(píng)估結(jié)論���。
(二)定量評(píng)估方法
定量分析是對(duì)各個(gè)風(fēng)險(xiǎn)要素及損失的水平賦予一定數(shù)值,當(dāng)度量風(fēng)險(xiǎn)的所有因素都被賦值����,風(fēng)險(xiǎn)評(píng)估的過程和結(jié)果都可以被量化了。常用的定量評(píng)估方法主要有基本指標(biāo)法����、標(biāo)準(zhǔn)法、內(nèi)部評(píng)級(jí)法等���。
(三)定性與定量相結(jié)合評(píng)估方法
定性或定量的方法并不能有效且準(zhǔn)確地對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)估���,定量的方法通常過于嚴(yán)格��,而定性的方法又過于模糊�����。因此����,需要在定量和定性的基礎(chǔ)上結(jié)合兩種方法進(jìn)行風(fēng)險(xiǎn)評(píng)估��,常用的定性與定量相結(jié)合的方法為層次分析法與模糊綜合評(píng)價(jià)法���。層次分析法首先根據(jù)多目標(biāo)決策的性質(zhì)和總的目標(biāo)對(duì)所考慮的概念,分析其相互關(guān)聯(lián)���、邏輯屬性及重要性級(jí)別進(jìn)行分層排列����,構(gòu)造成一個(gè)由上而下的遞階層次結(jié)構(gòu)��;其次在層次結(jié)構(gòu)模型中��,決策人根據(jù)具體情況及實(shí)際要求通過兩兩因素的比較�,用表1的標(biāo)度打分,得到判斷矩陣��;最后在得到判斷矩陣后按照以下公式進(jìn)行排序及一致性檢驗(yàn)�����。
二����、國(guó)庫(kù)資金操作風(fēng)險(xiǎn)識(shí)別
(一)操作性風(fēng)險(xiǎn)
人民銀行總行《國(guó)庫(kù)會(huì)計(jì)管理規(guī)定》中規(guī)定�����,國(guó)庫(kù)業(yè)務(wù)操作人員應(yīng)嚴(yán)格控制資料交接�、外來憑證審核�����、資料傳遞�����、記賬復(fù)核�����、退匯轉(zhuǎn)匯����、編押核押��、查詢查復(fù)����、手工填制憑證等環(huán)節(jié)中的風(fēng)險(xiǎn)�。其風(fēng)險(xiǎn)主要分以下三種:(1)操作失誤風(fēng)險(xiǎn)��。隨著財(cái)稅體制改革的深化��,國(guó)庫(kù)業(yè)務(wù)發(fā)生了巨大變化����,國(guó)庫(kù)單一賬戶體系的形成、資金匯劃渠道的驟增���、預(yù)算收支核算方式的變化加快了國(guó)庫(kù)核算電子化的發(fā)展進(jìn)程�,國(guó)庫(kù)操作人員需要全面掌握涉及面廣��、科技含量高�����、操作復(fù)雜的電子核算業(yè)務(wù)���,期間難免會(huì)出現(xiàn)操作風(fēng)險(xiǎn)����,如在掛賬或解掛方面存在的風(fēng)險(xiǎn)、查詢復(fù)查操作手續(xù)出現(xiàn)錯(cuò)誤���、執(zhí)行流程時(shí)隨意簡(jiǎn)化���、替代或逆程序操作等差錯(cuò)。(2)審查失誤風(fēng)險(xiǎn)���。國(guó)庫(kù)操作人員對(duì)外來的收支憑證審查出現(xiàn)偏差�,造成一些憑證要素內(nèi)容缺失不全���,不符合收支憑證的辦理要求�����,從而給國(guó)庫(kù)資金帶來風(fēng)險(xiǎn)�����。(3)對(duì)賬風(fēng)險(xiǎn)�。對(duì)賬是國(guó)庫(kù)資金業(yè)務(wù)中的基礎(chǔ)環(huán)節(jié)����,國(guó)庫(kù)操作人員不能及時(shí)與征收機(jī)關(guān)、財(cái)政部門�����、銀行對(duì)賬或者上下級(jí)對(duì)賬不符合規(guī)范�����,出現(xiàn)賬證不符��、賬表不符等差錯(cuò)��。
(二)管理性風(fēng)險(xiǎn)
(1)崗位設(shè)置風(fēng)險(xiǎn)�。隨著國(guó)庫(kù)業(yè)務(wù)的快速發(fā)展,現(xiàn)有國(guó)庫(kù)人員設(shè)置已經(jīng)不能夠滿足其要求�����。受人民銀行當(dāng)前進(jìn)入�����、用人制度的限制�,各地國(guó)庫(kù)人員配備嚴(yán)重不足,一人身兼數(shù)職的現(xiàn)象普遍存在���,相互制約機(jī)制的缺乏導(dǎo)致內(nèi)控制約出現(xiàn)“真空”地帶���,國(guó)庫(kù)業(yè)務(wù)操作的質(zhì)量和風(fēng)險(xiǎn)防范大打折扣����。另外����,國(guó)庫(kù)人員結(jié)構(gòu)不合理,表現(xiàn)為人員嚴(yán)重老化�、人員變動(dòng)頻繁等問題,這將對(duì)國(guó)庫(kù)操作工作帶來風(fēng)險(xiǎn)�。(2)日常管理風(fēng)險(xiǎn)。在日常國(guó)庫(kù)業(yè)務(wù)操作過程中�����,由于沒有建立健全的管理制度����,往往會(huì)出現(xiàn)小的失誤或差錯(cuò),如對(duì)操作員密鑰密碼沒有明確嚴(yán)格的更換時(shí)間�,對(duì)系統(tǒng)的簽退程序沒有嚴(yán)格的管理規(guī)定等。(3)制度管理風(fēng)險(xiǎn)。由于國(guó)庫(kù)電子化進(jìn)程的推進(jìn)���,在國(guó)庫(kù)資金操作業(yè)務(wù)中���,現(xiàn)行的國(guó)庫(kù)管理制度與實(shí)際國(guó)庫(kù)資金操作工作脫節(jié)�,進(jìn)而給國(guó)庫(kù)資金帶來了一系列風(fēng)險(xiǎn)。
(三)系統(tǒng)性風(fēng)險(xiǎn)
1.系統(tǒng)網(wǎng)絡(luò)風(fēng)險(xiǎn)國(guó)庫(kù)會(huì)計(jì)數(shù)據(jù)集中系統(tǒng)(TCBS)的保密性���、不可篡改性都將直接影響國(guó)庫(kù)業(yè)務(wù)的正常賬務(wù)��,因此在國(guó)庫(kù)操作業(yè)務(wù)中��,倘若國(guó)庫(kù)集中支付系統(tǒng)自身參數(shù)設(shè)置出現(xiàn)錯(cuò)誤或者系統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)丟失會(huì)給國(guó)庫(kù)資金帶來不可避免的風(fēng)險(xiǎn)�����。
2.外部事件風(fēng)險(xiǎn)由于外部網(wǎng)絡(luò)運(yùn)行環(huán)境出現(xiàn)異常導(dǎo)致感染病毒或非法入侵�����,致使國(guó)庫(kù)電子化流程癱瘓或無法正常運(yùn)行�����,數(shù)據(jù)集中處理不能順利傳輸�,給國(guó)庫(kù)資金帶來風(fēng)險(xiǎn)。
3.功能缺陷性風(fēng)險(xiǎn)國(guó)庫(kù)會(huì)計(jì)數(shù)據(jù)集中系統(tǒng)(TCBS)運(yùn)行過程中�,由于系統(tǒng)本身不能夠及時(shí)有效更正稅務(wù)部門錯(cuò)誤的稅款科目、稅款級(jí)次等信息��,從而影響正常入庫(kù)����;一方在使用國(guó)庫(kù)集中支付系統(tǒng)內(nèi)劃轉(zhuǎn)資金時(shí),接收方在系統(tǒng)中無法打印來賬信息�����,這樣給國(guó)庫(kù)日常核對(duì)和檢查帶來一定困難�,給國(guó)庫(kù)資金帶來風(fēng)險(xiǎn)隱患。
三�����、國(guó)庫(kù)資金操作風(fēng)險(xiǎn)評(píng)估
(一)評(píng)估計(jì)算
由于國(guó)庫(kù)資金業(yè)務(wù)損失數(shù)據(jù)不全��,至今也沒有健全的風(fēng)險(xiǎn)管理框架�����。為了取得更好的風(fēng)險(xiǎn)分析效果,構(gòu)建合理風(fēng)險(xiǎn)評(píng)估模型���。結(jié)合定性與定量分析方法個(gè)各自特點(diǎn)�����,現(xiàn)選用層次分析法和模糊綜合評(píng)價(jià)法相結(jié)合的方法����,構(gòu)建國(guó)庫(kù)資金操作的風(fēng)險(xiǎn)評(píng)估模型���。
1.建立國(guó)庫(kù)資金風(fēng)險(xiǎn)根據(jù)本文第二部分的分析,為簡(jiǎn)便起見�����,將影響國(guó)庫(kù)操作資金風(fēng)險(xiǎn)的目標(biāo)層分為系統(tǒng)性風(fēng)險(xiǎn)�、操作性風(fēng)險(xiǎn)、管理性風(fēng)險(xiǎn)三個(gè)層次���。
2.建立風(fēng)險(xiǎn)評(píng)估判斷矩陣構(gòu)造國(guó)庫(kù)風(fēng)險(xiǎn)評(píng)估判斷矩陣�,需要用層次分析法對(duì)一定數(shù)量的專家進(jìn)行問卷調(diào)查�,這樣在調(diào)查評(píng)分的基礎(chǔ)上確定判斷矩陣。限于條件,本風(fēng)險(xiǎn)模型在路勇����、徐麗紅在《基層人民銀行國(guó)庫(kù)TCBS系統(tǒng)風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)模式的確立及成效》一文中所做的調(diào)查基礎(chǔ)上建立判斷矩陣,可按各風(fēng)險(xiǎn)因素的強(qiáng)度及頻率將其分為以下四個(gè)等級(jí)���。
(二)評(píng)估結(jié)果分析
從人民銀行A市國(guó)庫(kù)處現(xiàn)狀分析���,2012年之前,該處國(guó)庫(kù)工作人員配備基本能夠滿足崗位需要����,但仍存在少許記賬與復(fù)合崗位交叉作業(yè)情況、兼崗����、替崗現(xiàn)象,在對(duì)賬及審查工作中��,由于缺少專門的國(guó)庫(kù)會(huì)計(jì)核算專業(yè)人員��,給國(guó)庫(kù)操作風(fēng)險(xiǎn)帶來隱患��。同時(shí)�����,在日常管理、制度管理方面���,人民銀行A市國(guó)庫(kù)處推行目標(biāo)管理責(zé)任制取得了一系列成效���,但仍存在“重事后管理,輕事前防范”的問題����,另外現(xiàn)行的制度不能涵蓋整個(gè)國(guó)庫(kù)核算業(yè)務(wù)的全過程,存在國(guó)庫(kù)信息業(yè)務(wù)的制度“盲區(qū)”����,這些都是造成國(guó)庫(kù)風(fēng)險(xiǎn)的重要因素�。除此之外,由于國(guó)庫(kù)業(yè)務(wù)電子化業(yè)務(wù)的推廣����,人民銀行A市國(guó)庫(kù)處通過推行國(guó)庫(kù)會(huì)計(jì)數(shù)據(jù)集中系統(tǒng)(TCBS)以來,積極修改崗位設(shè)置和完善橫向聯(lián)網(wǎng)系統(tǒng)��,網(wǎng)絡(luò)整體運(yùn)行正常���,系統(tǒng)升級(jí)能夠滿足業(yè)務(wù)流程需要����,大大減少了風(fēng)險(xiǎn)的可能?�;陲L(fēng)險(xiǎn)評(píng)估結(jié)果���,操作性風(fēng)險(xiǎn)因素與管理性風(fēng)險(xiǎn)因素風(fēng)險(xiǎn)等級(jí)為中等風(fēng)險(xiǎn)���,系統(tǒng)性風(fēng)險(xiǎn)因素為低風(fēng)險(xiǎn),基本與人民銀行A市國(guó)庫(kù)處實(shí)際情況吻合�。總之�,國(guó)庫(kù)資金操作風(fēng)險(xiǎn)的綜合評(píng)估結(jié)果與國(guó)庫(kù)管理人員及業(yè)務(wù)人員對(duì)風(fēng)險(xiǎn)因素的主觀認(rèn)識(shí)有很大關(guān)系,權(quán)重的選擇往往會(huì)直接影響風(fēng)險(xiǎn)評(píng)價(jià)的最終結(jié)果�。
四、國(guó)庫(kù)資金操作風(fēng)險(xiǎn)管理對(duì)策
(一)探索新的用人機(jī)制���,建設(shè)專業(yè)化國(guó)庫(kù)隊(duì)伍
穩(wěn)定的國(guó)庫(kù)人員隊(duì)伍是保證國(guó)庫(kù)正常工作進(jìn)行的前提����,是降低風(fēng)險(xiǎn)最重要的一環(huán)���。由于受人民銀行人員編制的原因����,國(guó)庫(kù)部門會(huì)計(jì)核算專業(yè)人才較少,傳統(tǒng)解決人員緊缺的方式采用的是從其他部門借調(diào)人員�����,沒有形成穩(wěn)定的國(guó)庫(kù)人員隊(duì)伍��。人民銀行總行結(jié)合國(guó)庫(kù)業(yè)務(wù)的實(shí)際情況�����,對(duì)國(guó)庫(kù)處部分人員逐步開始實(shí)行聘用制��,這樣一方面能夠有選擇性招聘部分專業(yè)性較強(qiáng)的人才補(bǔ)充到國(guó)庫(kù)處�,另外也能夠培養(yǎng)一批專業(yè)技能扎實(shí)��、崗位持續(xù)穩(wěn)定的國(guó)庫(kù)操作人員����,對(duì)于風(fēng)險(xiǎn)的防控與降低有深遠(yuǎn)影響。
(二)完善風(fēng)險(xiǎn)管理制度��,提高風(fēng)險(xiǎn)防控意識(shí)
在日常的國(guó)庫(kù)業(yè)務(wù)中,要針對(duì)具體的國(guó)庫(kù)業(yè)務(wù)環(huán)節(jié)��,制定具體的實(shí)施方案和操作細(xì)則�,逐步完善國(guó)庫(kù)資金風(fēng)險(xiǎn)管理的制度,建立完整有效的風(fēng)險(xiǎn)組織管理體系��。同時(shí)�����,國(guó)庫(kù)事后監(jiān)督應(yīng)嚴(yán)格執(zhí)行《國(guó)庫(kù)會(huì)計(jì)事后監(jiān)督辦法》�,并結(jié)合本辦法提出的國(guó)庫(kù)資金風(fēng)險(xiǎn)控制要求,對(duì)國(guó)庫(kù)會(huì)計(jì)核算業(yè)務(wù)進(jìn)行全面監(jiān)督���,提高國(guó)庫(kù)整體風(fēng)險(xiǎn)防控意識(shí)��。
(三)強(qiáng)化國(guó)庫(kù)監(jiān)督規(guī)范�,建立網(wǎng)絡(luò)系統(tǒng)監(jiān)控
