風險評價與風險評估的區別范文

序論：在您撰寫風險評價與風險評估的區別時，參考他人的優秀作品可以開闊視野，小編為您整理的7篇范文，希望這些建議能夠激發您的創作熱情，引導您走向新的創作高度。

第1篇

【關鍵詞】風險管理審計；風險導向審計；聯系

一、風險管理審計

（一）風險管理概述

風險管理是對影響組織目標實現的各種不確定性事件進行識別與評估，并采取應對措施將其影響控制在可接受范圍內的過程。風險管理的目的是為了將風險控制在可接受的范圍內（風險的可接受范圍取決于組織對風險的態度）。

風險管理分為以下幾個階段：1、風險規劃階段。項目風險管理計劃或策略確定控制目標：可以接受水平。2、風險識別階段。主要確定風險來自何方？有哪幾類風險？（我國國資委將國有企業風險分為以下幾類：戰略風險、財務風險、市場風險、運營風險以及法律風險。）3、風險估計階段。確定事件后果有多大？發生的可能性有多大？4、風險評價階段。確定風險的嚴重順序；確定項目整體風險水平。5、風險應對階段。設計控制風險的措施策略。6、風險控制階段。檢查控制措施是否充分有效？自我評估和內部審計。

（二）風險管理審計概念及目的

風險管理審計是內部審計以風險為考慮核心，采用系統

化、規范化的方法，通過對企業全面風險管理活動進行監督和評價，提出改進意見，來改善企業風險管理、增進企業價值的一種審計。

通過內部審計機構和人員對企業風險管理過程的了解，審查并評價其適當性和有效性，提出改進建議，促進企業目標的實現。

（三）內容

企業建立內部風險管理部門，內部審計人員實施必要的審計程序，對風險評估過程進行審查與評價，并重點關注風險發生的可能性和風險對組織目標的實現產生影響的嚴重程度兩個要素。同時，內部審計人員應當充分了解風險評估的方法，并對管理層所采用的風險評估方法的適當性和有效性進行審查。審計人員應當實施必要的審計程序，對風險識別過程進行審查與評價，重點關注被審計單位面臨的內、外部風險是否已得到充分、適當的確認。

最終對內部風險管理組織的健全性、風險管理程序的合理性以及風險預警系統的存在及有效性進行審查評價，最終出具風險管理審計報告。

二、風險導向審計

（一）概念及特征

風險導向審計立足于對審計風險進行系統的分析和評價，并以此作為出發點，制定審計戰略，制定與企業狀況相適應的多樣化審計計劃，以達到審計工作的效率性和效果性。審計期望差距的存在和審計目標的改變是風險基礎審計產生的社會因素。審計組織的經濟壓力是風險基礎審計產生的經濟原因。制度基礎審計的內在缺陷及解決方法是風險基礎審計產生的技術原因

（二）內容

首先，通過對被審計單位控制環境的評價，鑒別其財務報表重要組成項目的各項認定，考慮財務報表重大錯誤表述的風險。其次，建立審計目標。審計目標以風險評價為基礎，通過風險評估分析，制訂審計計劃，確定如何收集、收集多少和收集何種性質的證據的決策，為更有效地控制和提高審計效果及審計效率，提供了一個完整的結構。再次，根據審計目標確定擬實施的審計程序的性質、時間及范圍。最終將審計風險控制在可以接受的范圍內，并以此出具審計報告。

理論基礎：經營風險驅動審計風險。簡單地說，就是任

何影響客戶實現其經營目標的潛在風險，都是審計風險的來源。企業的經營風險來自兩個層面：戰略風險和運營風險?；具壿嬍牵贺攧請蟊硎欠翊嬖谥卮箦e報與經營活動的順利與否相關；經營活動的順利與否與企業的經營戰略目標是否正確相關；企業經營戰略的風險會逐步轉化為財務報表的重大錯報風險；重大錯報風險是審計風險的直接來源。

三、兩者區別與內在聯系

（一）區別

產生背景及性質不同：風險導向審計是由于審計期望差距而產生的，同時也是對賬項導向審計、制度導向審計的改進，是審計模式的創新發展，同時也是一種新型的審計模式。風險管理審計是為了滿足企業加強自身內部風險管理的需要及內部審計自身發展的需要而產生的，是一種全新的審計業務類型。

審計目的不同：風險導向審計是通過評估審計風險，合理分配審計資源，并設計一系列高效率低成本的審計程序，并最終將審計風險降低至可接受水平，從而出具審計報告。風險管理審計則是為了審查和評價企業風險管理的適當性和有效性，并最終服務于內部審計，降低企業經營管理風險，提高企業內部控制水平。

“風險”含義及審計主體不同：風險導向審計中的“風險”指的是審計風險，包括重大錯報風險和檢查風險，其審計主體是審計機構和審計人員。風險管理審計中的“風險”主要指的是經營風險，主體是企業及管理人員，包括風險識別、評估及應對三個階段。

審計思路不同：風險導向審計首先評估企業經營風險，從而確定重大錯報風險，從而計算出可接受的檢查風險水平。風險管理審計主要審查評價企業風險識別是否充分，風險評估是否恰當，所采取的風險應對措施是否合理有效。

（二）內在聯系

第2篇

關鍵詞：風險評估 HRN參數 機械式壓力機

1、前言

壓力機作為常見的金屬加工機械，在汽車，造船，航空，機加工等非常多的行業有著非常廣泛的應用。同時，壓力機是一個非常危險的機械。沖壓作業傷指事故較多。該行業曾流行一句話：十個沖工九個殘。客觀原因是沖壓機械滑塊垂直下沖速度極快。

以一般100噸液壓沖床為例，滑塊每分鐘往復次數為75次，即單程一次只約需0.4秒。采用行程為100毫米進行拉伸作業，若手在模內，沖床滑塊下沖傷指的時間約為0.1秒。而當操作者發現或感覺到滑塊下沖時，反應到大腦，再由大腦指揮手縮回的時間約為0.2-0.3秒，顯然手是來不及收回的。因此常造成傷指事故。

因此如何對于一臺沖壓機械中所存的風險進行分析得出結論，并對其實施改造，以達到機械安全與人員保護的目的。

2、風險評估原理

根據ISO 12100的要求，應依照一系列合理步驟進行風險評估，以便對機械相關危險進行系統地檢查。對于ISO 12100：2010第6條中所述的任何風險降低措施，風險評估過程均應遵守。為最大限度消除危險并實施安全措施，這一過程重復進行時，應給出一個迭代過程。

風險評估方法包括：

風險估計。確定限制條件；危險確認；風險估計。

風險評價。風險估計提供了風險評估所需的信息，而風險評估反過來又有助于對機械安全進行判定。

3、第三 針對一臺400T機械式壓力機所進行的風險評估

在本文中，我們將主要針對一臺400T閉點式機械壓力機進行風險評估，以識別其中所存在的風險。依據前文所述，我們執行了以下步驟：

預定的使用環境為一般工業環境。機器針對操作人員，維護人員和技術人員使用而設計。人員已接受機器相關的常規培訓。HNKJ-400噸壓機上的維護作業由受過培訓的人員進行。機器的清潔由操作人員進行；若存在堵塞，則由操作人員進行修復。機器的預計使用壽命為20年。

在一臺壓力機中，最顯著的危險源自于合模區中固定在壓機滑塊的上模與工作臺中固定的下模之間的擠壓危險，但是由于觸及的頻率及方式各不相同，對于各個風險點我們進行了如下的識別與評估：

3.3 從正面進入模具區域

3.4 從側面進入模具區域

從上述的風險評估舉例中，可以看出，即使是同一個機械動作所引起的危險，在不同的作業情況下，不同的接近路徑下，其風險區別極大。因此，在考慮設計控制系統時，不同的接近路徑下，不同的控制系統元素的可靠性和冗余性應當也有所區別。盡管選取最高的系統可靠性顯然能夠滿足系統的安全要求，但是也會造成系統的構建成本過高，設計過于復雜。因此，根據風險評估的結果，來選取相應的控制系統等級來設計控制系統，是非常有必要的。

4、結語

通過對于HRN風險評估參數法的闡述，以及對于壓機最主要風險進行的分析，我們可以看到，如果在沒有任何保護措施的情況下，操作這樣高風險的機器時是非常危險的。我們必須采取安全保護措施，構建安全防護及相對應的安全控制系統來保護操作人員的安全。而在設計控制系統時，根據不同的HRN參數，來選擇合適的控制系統等級也是非常重要的。這樣可以針對性地提高系統安全性，并有效地控制項目成本。

參考文獻

第3篇

采用滑坡風險評估三要素的方法，即:風險區劃(R3)、風險概率(RP)、風險損失(Rh)，對汶川大地震極震區10個縣市26000km2面積區的震后滑坡風險進行了評估。結果顯示，區內高風險區僅占9.03%面積，但承擔42%的滑坡發生概率和滑坡損失風險貢獻;較高風險區占14.61%面積，承擔25%的風險貢獻;中風險區占22.28.%面積，承擔19%的風險貢獻;低風險區占37.93%面積，承擔11%的風險貢獻;無風險區占16.15%面積，承擔3%的風險貢獻。震后由于采取了有效的避險措施，滑坡風險明顯降低的結果。

關鍵詞:

汶川8.0級地震;極震區;滑坡;風險評估

地震滑坡風險評估與常規滑坡風險評估相比多了“地震”因素條件，在評估的結構和方法上兩者的不同之處何在?對于這一問題，國內外可供參考的文獻極少［1－3］。筆者認為地震滑坡風險評估與常規滑坡風險評估兩者的區別主要應該體現在風險評估結構模型(即:風險區劃=危險度評估×易損度評估)中的危險度評估。評價地震滑坡風險只能通過滑坡危險性評估指標因子與地震相關因子的結合，才可能反映地震因素的影響作用。地震滑坡是在地震瞬間被地震動誘發的，地震動能量通過震源和發震斷層釋放，一次地震過程中距震中或斷層不同距離上分布的滑坡數量和規模差異性很大。因此在危險度評估中，可以通過增加地震滑坡震中距和發震斷層距等與地震相關的作用因子，來提高地震滑坡危險度評估中地震與滑坡的關聯度。而在風險評估中，地震因素的直接作用不能被直接反映。如汶川地震發生后，地震災區的建筑物基本都提高了抗震結構設計標準，區域空間的建筑承災體的易損性都明顯降低。隨著災區建筑物的易損性普遍降低，統計指標中也難以體現出與常規易損性指標的差別。只要在危險度評估中增加了地震因子作用，建立在滑坡危險度和易損度區劃基礎之上的地震滑坡風險評估，就可以反映出地震因素的作用了。因此，地震滑坡風險評估與常規滑坡風險評估的主要差別應該體現在危險度評估中滑坡與震源相關性因子選取上。本文選擇汶川地震極震區(I0≥ⅩⅠ)10縣市(面積26175.77km2)為研究區域，探索了地震滑坡風險評估方法。

1地震滑坡風險分布(Rs)

根據文獻［4］中的滑坡風險分類方法，不同類型滑坡風險的研究深度不同，應用范圍也不一樣。因此滑坡風險研究應該具有不同的目標性和實用性，可以針對不同層次需要，采用不同階段的風險研究目標和方法解決需求。不同階段的風險評價方法也不相同。按照文獻［4］中的風險層次鏈實施階段劃分，筆者在完成汶川地震極震區滑坡風險區劃的基礎上［5］，根據滑坡風險綜合評估三要素的原則。式中:RS為風險分布;RP為風險概率;Rh為風險損失。對汶川地震極震災區(I0≥Ⅹ)的汶川、都江堰、彭州、茂縣、什邡、綿竹、安縣、北川、平武、青川10縣市(面積26175.77km2)進行了地震滑坡風險綜合評估。其中，地震滑坡風險分布是采用地震滑坡風險區劃方法確定;地震滑坡風險概率，通過對震后降雨滑坡發生概率統計方法確定;地震滑坡風險損失，根據滑坡受災面積的損失率方法確定。地震滑坡風險評估與常規滑坡風險評估的差別主要體現在滑坡風險區劃的要素中，而其它要素中是難以反映出地震因素的作用。汶川地震極震區的滑坡風險分布可通過全區滑坡風險區劃獲得。采用GIS技術在研究區1:5萬DEM、DRG、20萬地質圖、1:5萬土地利用圖的基礎上，分別對滑坡危險度的10項因子指標、承載體易損度的5項因子指標進行權重疊加，按照5級劃分標準經過區劃劃分，獲得地震滑坡風險的分布結果。

2地震滑坡風險概率(RP)

地震滑坡風險概率與滑坡發生概率成正相關關系，滑坡隨機發生的次數越多，存在的風險概率越大。從宏觀區域滑坡發育規律分析，大地震誘發的滑坡后期復活主要受降雨因素的控制。因為再次發生大地震或余震具有不確定性，作為誘發因素參加滑坡事件概率統計的難度太大。震區降雨型滑坡后期活動是轉化泥石流并造成大面積受損的主要致災因素。所以，地震災區的滑坡風險概率應該由震后降雨滑坡的時間及空間分布概率所決定。

2.1滑坡時間概率采用文獻［6］中的降雨滑坡概率計算方法，可以分別得到降雨滑坡的時間和空間分布概率。時間概率表示在給定降雨臨界值和時間的情況下，發生滑坡的時間概率。

2.2滑坡空間概率空間概率表示按風險區面積為單元的滑坡分布概率。式中:P'為空間概率;x為降雨滑坡分布密度系數(x=md/s、其中m為不同危險度區降雨滑坡數;d為樣本分區區間;s為不同危險度區總面積。采用式(5)，對極震災區10縣市震后的降雨滑坡與地震滑坡進行統計計算，獲得空間概率。

3地震滑坡損失評價(Rh)

在地震滑坡風險區劃的基礎上，可以通過對各風險區滑坡受損面積與滑坡風險區面積之比，評估滑坡災害可能造成的受損率。受損率不是經濟指標的評價關系，僅僅代表滑坡破壞范圍的概率。受損率預測對災區人員傷亡情況是難以準確評估的［7－13］，因為這與人們防災意識和政府防災管理程度密切相關。根據文獻［3］中的滑坡受災面積統計模型，可以對滑坡風險分布區內每一處滑坡受災面積與滑坡風險區面積進行受損率統計。在實際滑坡風險損失評估中，由于在獲取當地經濟產量和固定資產資料信息的限制，如，經濟總量、建筑物、基礎建設、農業、林業、工業、水利等等，所以得出的經濟損失評估結果往往可信度較低。之前采用各種方法作出的經濟損失評估與實際情況一般差距較大。所以對區域滑坡災害發生前的損失預測評估，可以采用滑坡直接受損面積與風險區面積的比率Rh評估可能造成的損失范圍。根據式(6)，可以統計汶川地震極震區全區滑坡風險區的滑坡受損情況(表7)。以上統計結果，無論對極震災區全區的滑坡風險受損率，還是極震災區各縣市滑坡風險受損率，都可以看出未來滑坡風險的受損率一般不是太高。全區的高風險區受損率僅可能達到11%，其他風險區的損失率更低。

險綜合評估(R珔)

在完成以上準備之后，可以對汶川地震極震區滑坡風險進行綜合評估。根據表1、圖1表示的汶川地震極震區滑坡風險分布，表2、表3表示的汶川地震極震區滑坡概率，表4表示的汶川地震極震區滑坡風險受損率的統計結果，評價5類滑坡風險區可能分別承擔的風險損失概率。式(8)表示風險綜合評估(珔R)是評價5類滑坡風險區域面積中(Rs)，將可能(概率Rp)分別對應承擔滑坡風險損失(受損率Rh)的貢獻率(γ)。采用式(8)，可得到表10、圖3所示的綜合評估結論。式(9)說明，隨著滑坡風險區的等級變化，綜合風險貢獻與風險等級呈線性函數發展關系，并且相關性好。采用以上方法，對汶川地震極震區各縣市滑坡風險進行綜合評估，也可獲得各自的評估說明和規律曲線模型。

5結論

地震滑坡風險評估包括三方面的內容，即風險分布評價、風險概率評價、風險損失評價。而單一的風險評價不能真正代表風險評估的內容。本文根據評估的原則對汶川地震極震區10個縣市的滑坡風險進行了綜合評估。地震發生后，由于政府采取了滑坡危險地帶主動搬遷避讓的恢復重建措施，極震災區的滑坡風險明顯降低?；嘛L險主要由全區9.03%面積的高風險區承擔。其余區域的滑坡風險很小，所以極震災區大部分區域是安全的。風險評估中，滑坡風險損失評價是一項比較難以確定的指標。目前的統計方法還達到不到包括人員在內的損失評價，只能滿足固有資產的統計。因此可能使滑坡綜合風險評估內容有所不足。

參考文獻:

［1］王啟亮，孟朝霞．地震滑坡風險分析研究［J］．中國地質災害與防治學報，2010，21(3):14－16．

［2］韓金良，燕軍軍，吳樹仁．四川汶川M8級地震觸發的典型滑坡的風險指標反演［J］．地質通報，2009，28(8):1146－1155．

［3］喬建平．第10章汶川大地震滑坡風險評估［M］//大地震誘發滑坡分布規律及危險性評價方法．北京:科學出版社，2014:324－374．

［4］喬建平，王萌．滑坡風險的類型與層次鏈［J］．工程地質學報，2010，18(1):84－90．

［5］喬建平，王萌吳彩燕．汶川大地震滑坡風險區劃研究［J］．工程地質學報，2015．23(2):1－7．

［6］喬建平，楊宗佶．滑坡風險評估的三要素［J］．工程地質學報，2012，20(1):1－6．6

［7］許飛瓊．災害損失評估及系統結構［J］．災害學，1998，13(3):80－83．

［8］常勝，曾克峰．恩思州地質災害損失評估方法研究［J］．湖北民族學院學報，2005，23(4):402－404．

［9］謝全敏，李道明．翟鵬程．滑坡次生災害損失評估方法研究［J］．巖土力學，2007，28(5):961－970．

［10］吳紅華．災害損失評估的灰色模糊綜合方法［J］．自然災害學報，2005，14(2):115－118

［11］潘曉紅，賈鐵飛，溫家洪，等．多災害損失評估模型與應用評述［J］．防災科學學院學報，2009，14(2):77－88

［12］趙紅蕊，王濤，石麗梅．蘆山7.0級地震震后道路損毀風險評估方法研究［J］．災害學，2014，29(2):33－37．

第4篇

關鍵詞：網絡審計　歷史財務報表審計　信息安全管理　風險評估

一、引言

從審計的角度，風險評估是現代風險導向審計的核心理念。無論是在歷史財務報表審計還是在網絡審計中，現代風險導向審計均要求審計師在執行審計工作過程中應以風險評估為中心，通過對被審計單位及其環境的了解，評估確定被審計單位的高風險領域，從而確定審計的范圍和重點，進一步決定如何收集、收集多少和收集何種性質的證據，以便更有效地控制和提高審計效果及審計效率。從企業管理的角度，企業風險管理將風險評估作為其基本的要素之一進行規范，要求企業在識別和評估風險可能對企業產生影響的基礎上，采取積極的措施來控制風險，降低風險為企業帶來損失的概率或縮小損失程度來達到控制目的。信息安全風險評估作為企業風險管理的一部分，是企業信息安全管理的基礎和關鍵環節。盡管如此，風險評估在網絡審計、歷史財務報表審計和企業信息安全管理等工作中的運用卻不盡相同，本文在分析計算機信息系統環境下所有特定風險和網絡審計風險基本要素的基礎上，從風險評估中應關注的風險范圍、風險評估的目的、內容、程序及實施流程等內容展開，將網絡審計與歷史財務報表審計和信息安全管理的風險評估進行對比分析，以期深化對網絡審計風險評估的理解。

二、網絡審計與歷史財務報表審計的風險評估比較

(一)審計風險要素根據美國注冊會計師協會的第47號審計標準說明中的審計風險模型，審計風險又由固有風險、控制風險和檢查風險構成。其中，固有風險是指不考慮被審計單位相關的內部控制政策或程序的情況下，其財務報表某項認定產生重大錯報的可能性；控制風險是被審計單位內部控制未能及時防止或發現財務報表上某項錯報或漏報的可能性；檢查風險是審計人員通過預定的審計程序未能發現被審計單位財務報表上存在重大錯報或漏報的可能性。在網絡審計中，審計風險仍然包括固有風險、控制風險和檢查風險要素，但其具體內容直接受計算機網絡環境下信息系統特定風險的影響。計算機及網絡技術的應用能提高企業經營活動的效率，為企業的經營管理帶來很大的優越性，但同時也為企業帶來了一些新的風險。這些新的風險主要表現為：(1)數據與職責過于集中化。由于手工系統中的職責分工、互相牽制等控制措施都被歸并到計算機系統自動處理過程中去了，這些集中的數據庫技術無疑會增加數據縱和破壞的風險。(2)系統程序易于被非法調用甚至遭到篡改。由于計算機系統有較高的技術要求，非專業人員難以察覺計算機舞弊的線索，這加大了數據被非法使用的可能性。如經過批準的系統使用人員濫用系統，或者說，企業對接近信息缺乏控制使得重要的數據或程序被盜竊等。(3)錯誤程序的風險，例如程序中的差錯反復和差錯級聯、數據處理不合邏輯、甚至是程序本身存在錯誤等。(4)信息系統缺乏應用的審計接口，使得審計人員在審計工作中難以有效地采集或獲取企業信息系統中的數據，從而無法正常開展審計工作。(5)網絡系統在技術和商業上的風險，如計算機信息系統所依賴的硬件設備可能出現一些不可預料的故障，或者信息系統所依賴的物理工作環境可能對整個信息系統的運行效能帶來影響等。相對應地，網絡審計的固有風險主要是指系統環境風險，即財務電算化系統本身所處的環境引起的風險，它可分為硬件環境風險和軟件環境風險?？刂骑L險包括系統控制風險和財務數據風險，其中，系統控制風險是指會計電算化系統的內部控制不嚴密造成的風險，財務數據風險是指電磁性財務數據被篡改的可能性。檢查風險包括審計軟件風險和人員操作風險，審計軟件風險是指計算機審計軟件本身缺陷原因造成的風險，人員操作風險是指計算機審計系統的操作人員、技術人員和開發人員等在工作中由于主觀或客觀原因造成的風險。

(二)風險評估目的無論在網絡審計還是歷史財務報表審計中，風險評估只是審計的一項重要程序，貫穿于審計的整個過程。與其他審計程序緊密聯系而不是一項獨立的活動。盡管如此，兩者所關注的風險范圍則有所不同。歷史財務報表審計的風險評估要求審計人員主要關注的是被審計單位的重大錯報風險――財務報表在審計前存在重大錯報的可能性。由于網絡審計的審計對象包括被審計單位基于網絡的財務信息和網絡財務信息系統兩類，因此審計人員關注的風險應是被審計單位經營過程中與該兩類審計對象相關的風險。(1)對于與企業網絡財務信息系統相關的風險，審計人員應該從信息系統生命周期的各個階段和信息系統的各組成部分及運行環境兩方面出發進行評估。信息系統生命周期是指該信息系統從產生到完成乃至進入維護的各個階段及其活動，無論是在早期的線性開發模型中還是在更為復雜的螺旋式等模型中，一個信息系統的生命周期大都包括規劃和啟動、設計開發或采購、集成實現、運行和維護、廢棄等五個基本階段。由于信息系統在不同階段的活動內容不同，企業在不同階段的控制目標和控制行為也會有所不同，因此，審計人員的風險評估應該貫穿于信息系統的整個生命周期。信息系統的組成部分是指構成該信息系統的硬件、軟件及數據等，信息系統的運行環境是指信息系統正常運行使用所依托的物理和管理平臺。具體可將其分為五個層面：物理層，即信息系統運行所必備的機房、設備、辦公場所、系統線路及相關環境；網絡層，即信息系統所需的網絡架構的安全情況、網絡設備的漏洞情況、網絡設備配置的缺陷情況等；系統層，即信息系統本身的漏洞情況、配置的缺陷情況；應用層，即信息系統所使用的應用軟件的漏洞情況、安全功能缺陷情況；管理層，即被審計單位在該信息系統的運行使用過程中的組織、策略、技術管理等方面的情況。(2)對于與企業基于網絡的財務信息相關的風險，審計人員應著重關注財務信息的重大錯報風險和信息的安全風險。重大錯報風險主要指被審計單位基于網絡的相關財務信息存在重大錯報的可能性，它是針對企業借助于網絡信息系統或網絡技術對有關賬戶、交易或事項進行確認、計量或披露而言。網絡審計中關注的重大錯報風險與傳統審CtT的內涵基本上是一致的，審計人員在審計時應當考慮被審計單位的行業狀況、經營性質、法律及監管環境、會計政策和會計方法的選用、財務業績的衡量和評價等方面的情況對財務信息錯報可能的影響。信息安全風險涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的風險，主要針對企業利用信息系統或一定的網絡平臺來存儲、傳輸、披露相關財務信息而言。在審計過程中，審eta員應當主要關注相關財務信息被盜用、非法攻擊或篡改及非法使用的可能性。當然，這兩類風險并非完全分離的，評估時審計人員應將兩者結合起來考慮。

(三)風險評估內容　廣泛意義的風險評估是指考慮潛在事件對目標實現的影響程度。由于網絡審計與歷史財務報表審計風險評估的目的并不完全相同，因此兩者在風險評估的內容上也是存在區別的?？偟膩碚f，網絡審計的風險評估內容比歷史財務報表審計的風險評估內容更廣泛和深入。根據《中國注冊會計師審計準則第1211號――了解被審計單位及其環境并評估重大錯報風

險》，在歷史財務報表審計中，審計人員的風險評估應以了解被審計單位及其環境為內容。為識別和評價重大錯報風險，審計人員了解的具體內容包括被審計單位所在行業狀況、法律環境與監管環境以及其他外部因素、被審計單位的性質、被審計單位對會計政策的選擇和運用、被審計單位的目標、戰略以及相關經營風險、被審計單位財務業績的衡量和評價及被審it@位的內部控制等。在網絡審計中。為了識別和評估上文所述的兩類風險，審計人員除了從以上方面了解被審計單位及其環境外，還應該關注其他相關的潛在事件及其影響，尤其是企業的財務信息系統及基于網絡的財務信息可能面l臨的威脅或存在的脆弱點。其中，威脅是指對信息系統及財務信息構成潛在破壞的可能性因素或者事件，它可能是一些如工作人員缺乏責任心、專業技能不足或惡意篡改等人為因素，也可能是一些如灰塵、火災或通訊線路故障等環境因素。脆弱點是指信息系統及基于網絡的財務信息所存在的薄弱環節，它是系統或網絡財務信息本身固有的，包括物理環境、組織、過程、人員、管理、配置、硬軟件及信息等各方面的弱點。一般來說，脆弱點本身不會帶來損失或信息錯報，威脅卻總是要利用網絡、系統的弱點來成功地引起破壞。因此，我們認為網絡審計申風險評估的內容應包括以下幾方面：(1)識別被審計單位財務信息系統及其基于網絡的財務信息可能面臨的威脅，并分析威脅發生的可能性；(2)識別被審計單位財務信息系統及其基于網絡的財務信息可能存在的脆弱點，并分析脆弱點的嚴重程度；(3)根據威脅發生的可能性和脆弱點發生的嚴重程度，判斷風險發生的可能性；(4)根據風險發生的可能性，評價風險對財務信息系統和基于網絡的財務信息可能帶來的影響；(5)若被審計單位存在風險防范或化解措施，審計人員在進行風險評估時還應該考慮相應措施的可行性及有效性。

(四)風險評估程序《中國注冊會計師審計準則第1211-----了解被審計單位及其環境并評估重大錯報風險》中要求，審計人員應當實施詢問、分析程序、觀察和檢查等程序，以獲取被審計單位的信息，進而評估被審計單位的重大錯報風險。這些程序同樣適用于網絡審計中的風險評估。但在具體運用時網絡審計中更加注重了解和分析被審計單位與信息系統及網絡技術使用相關的事項。在實施詢問程序時，審計人員的詢問對象圍繞信息系統和基于網絡的財務信息可大致分為管理人員、系統開發和維護人員(或信息編制人員)、系統使用人員(或信息的內部使用人員)、系統或網絡技術顧問及其他外部相關人員(如律師)等五類，分別從不同角度了解信息系統和基于網絡的財務信息可能存在的威脅和脆弱點。在實施分析程序時，除了研究財務數據及與財務信息相關的非財務數據可能的異常趨勢外，審計人員應格外關注對信息系統及網絡的特性情況，被審計單位對信息系統的使用情況等內容的分析比較。實施觀察和檢查時，除執行常規程序外，審計人員應注意觀察信息系統的操作使用和檢查信息系統文檔。除此之外，針對特定系統或網絡技術風險的評估，審計人員還需要實施一些特定的程序。技術方面如IOS取樣分析、滲透測試、工具掃描、安全策略分析等；管理方面如風險問卷調查、風險顧問訪談、風險策略分析、文檔審核等。其中，IDS取樣分析是指通過在核心網絡采樣監聽通信數據方式，獲取網絡中存在的攻擊和蠕蟲行為，并對通信流量進行分析；滲透測試是指在獲取用戶授權后，通過真實模擬黑客使用的工具、方法來進行實際漏洞發現和利用的安全測試方法；工具掃描是指通過評估工具軟件或專用安全評估系統自動獲取評估對象的脆弱性信息，包括主機掃描、網絡掃描、數據庫掃描等，用于分析系統、應用、網絡設備存在的常見漏洞。風險問卷調查與風險顧問訪談要求審計人員分別采用問卷和面談的方式向有關主體了解被審計單位的風險狀況，使用時關鍵是要明確問卷或訪談的對象情況風險策略分析要求審計人員對企業所設定的風險管理和應對策略的有效性進行分析，進而評價企業相關風險發生的概率以及可能帶來的損失；文檔審核是一種事前評價方法，屬于前置軟件測試的一部分，主要包括需求文檔測試和設計文檔測試。這些特定程序主要是針對被審計單位信息系統和基于網絡的財務信息在網絡安全風險方面進行評價，審計人員在具體使用時應結合被審計單位的業務性質選擇合適的程序。

三、網絡審計與信息安全管理的風險評估比較

(一)風險評估的目的信息安全管理中的風險評估(即信息安全風險評估)是指根據國家有關信息安全技術標準，對信息系統及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學評價的過程。作為信息安全保障體系建立過程中的重要的評價方法和決策機制，信息安全風險評估是企業管理的組成部分，它具有規劃、組織、協調和控制等管理的基本特征，其主要目的在于從企業內部風險管理的角度，在系統分析和評估風險發生的可能性及帶來的損失的基礎上，提出有針對性的防護和整改措施，將企業面臨或遭遇的風險控制在可接受水平，最大限度地保證組織的信息安全。而網絡審計是由獨立審計人員向企業提供的一項鑒證服務，其風險評估的目的在于識別和評價潛在事件對被審計單位基于網絡的財務信息的合法性、公允性以及網絡財務信息系統的合規性、可靠性和有效性的影響程度，從而指導進一步審計程序。因此，兩者風險評估的目的是不一樣。從評估所應關注的風險范圍來看，兩者具有一致性，即都需要考慮與信息系統和信息相關的風險。但是，具體的關注邊界則是不一樣的。信息安全風險評估要評估企業資產面臨的威脅以及威脅利用脆弱性導致安全事件的可能性，并結合安全事件所涉及的資產價值來判斷安全事件一旦發生對組織造成的影響，它要求評估人員關注與企業整個信息系統和所有的信息相關的風險，包括實體安全風險、數據安全風險、軟件安全風險、運行安全風險等。網絡審計中，審計人員是對被審計單位的網絡財務信息系統和基于網絡的財務信息發表意見，因此，風險評估時審計人員主要關注的是與企業財務信息系統和基于網絡的財務信息相關的風險，而不是與企業的整個信息系統和所有的信息相關的風險。根據評估實施者的不同，信息安全風險評估形式包括自評估和他評估。自評估是由組織自身對所擁有的信息系統進行的風險評估活動；他評估通常是由組織的上級主管機關或業務主管機關發起的，旨在依據已經頒布的法規或標準進行的具有強制意味的檢查。自評估和他評估都可以通過風險評估服務機構進行咨詢、服務、培訓以及風險評估有關工具的提供。因此。對審計人員而言，受托執行的信息安全風險評估應當歸屬于管理咨詢類，即屬于非鑒證業務，與網絡審計嚴格區分開來。

(二)風險評估的內容在我國國家質量監督檢驗檢疫總局的《信息安全風險評估指南》(征求意見稿)國家標準中，它將信息安全風險評估的內容分為兩部分：基本要素和相關屬性，提出信息安全風險評估應圍繞其基本要素展開，并充分考慮與這些基本要素相關的其他屬性。其中，風險評估的基本要素包括資產、脆弱性、威脅、風險和安全措施；相關屬性包括業務戰略、資產價值、安全需求、安全事件、殘余風險等。在此基礎上的風險計算過程是：(1)對信息資產進行識別，并對資產賦值；(2)對威脅進行分析，并對威

脅發生的可能性賦值；(3)識別信息資產的脆弱性，并對弱點的嚴重程度賦值；(4)根據威脅和脆弱性計算安全事件發生的可能性；(5)根據脆弱性的嚴重程度及安全事件所作用的資產的價值計算安全事件造成的損失；(6)根據安全事件發生的可能性以及安全事件出現后的損失，計算安全事件一旦發生對組織的影響，即風險值。結合上文網絡審計風險評估五個方面的內容可以看出，網絡審計和信息安全風險評估在內容上有相近之處，即都需要針對信息系統和信息可能面臨的威脅和存在的脆弱點進行識別。但是，信息安全管理作為企業的一項內部管理，其風險評估工作需要從兩個層次展開：一是評估風險發生的可能性及其影響；二是提出防護或整改措施以控制風險。第一個層次的工作實質上是為第二層次工作服務的，其重點在第二層次?！缎畔踩L險評估指南》(征求意見稿)提出，企業在確定出風險水平后，應對不可接受的風險選擇適當的處理方式及控制措施，并形成風險處理計劃。其中，風險處理的方式包括回避風險、降低風險、轉移風險、接受風險，而控制措施的選擇應兼顧管理和技術，考慮企業發展戰略、企業文化、人員素質，并特別關注成本與風險的平衡。網絡審計的風險評估工作主要集中在第一個層次，即審計人員通過風險評估，為進一步審計中做出合理的職業判斷、有效地實施網絡審計程序和實現網絡審計目標提供重要基礎。因此，兩者的評估內容是存在區別的。

第5篇

風險研究最早運用于項目工程管理領域，在其發展過程中主要應用于管理學、金融學、心理學等學科的研究中。

(一)風險管理理論

風險管理理論始于20世紀30年代，至20世紀60年代中期逐步發展成為一門學科?！?963年梅爾和赫奇斯的《企業的風險管理》、1964年威廉姆斯和漢斯的《風險管理與保險》出版，標志著風險管理理論正式登上了歷史的舞臺?！保?］風險管理理論經歷了從傳統風險管理理論到金融風險管理理論再到全面風險管理理論的不同時期。傳統風險管理理論主要對風險管理的對象進行界定和區分，將純粹意義上的風險作為研究對象，也就是將不利風險納入企業風險管理的重要范疇。企業風險管理的主要任務是減少不利風險的發生，降低不利風險對企業的可能損害。管理的基本手段是采用保險的方式轉移和減少風險所帶來的損失。20世紀60年代末至70年代初，一些學者對市政管理中的風險問題進行研究。托德(Todd，1969)和沃恩(Vaughan，1971)通過對美國九個州市政管理現狀的調查研究，提出市政官員應加強市政風險管理的主張。風險管理理論逐步與管理學、經濟學等學科融合與發展，風險管理研究對象逐步拓展，不再局限于傳統風險管理理論對純粹風險的管控，金融風險管理興起。金融風險管理不僅是為了克服純粹風險，更不是僅僅利用保險的方式轉移風險，而是注重保險的收益功能。金融風險管理標志著風險管理理論向縱深度發展。20世紀80年代，接踵而至的金融危機推動了風險管理理論的蓬勃發展，迫使金融界進一步思考風險管理問題，全面風險管理時代來臨。全面風險管理主張從系統的角度對所有風險集合整體上加以管理和控制。全面風險管理理論已經成為企業決策和金融業決策的重要指導，作為一種系統和科學的管理模式被廣泛應用。

(二)風險社會研究的興起與發展

20世紀以來，特別是20世紀后半期，人類社會在經濟領域、社會領域取得非凡成就，但也潛藏著各種危機，生態環境急劇惡化，經濟危機和金融風險頻繁發生，社會貧富分化現象日趨嚴峻;與此同時，化學污染、核威脅、各種電磁輻射、轉基因產品危害等現代性的負效應正威脅人類，使社會面臨嚴重風險。出于對工業社會和現代性的反思，1986年德國學者烏爾里希•貝克(UlrichBeck)在其德文版著作《風險社會》中，首次提出“風險社會”的概念。但是在當時風險社會理論并未引起過多關注，直至1992年其英文版著作《風險社會》出版，風險社會理念才備受矚目。伴隨著對風險社會形成原因的不斷追問，貝克進一步指出工業社會所面臨的風險與以往社會所面臨的風險存在區別，如果將人類社會早期所發生的自然災害、社會危機歸結為自然規律所導致的，那么工業社會發生的危機則與人類社會的重大決策緊密相關。貝克認為:“工業化以前人類社會所遭遇的各種自然災害與工業化以后人類社會所面臨的各種風險大不一樣?！保?］安東尼•吉登斯則從人類社會歷史發展的角度，對社會發展的現代性、社會發展的全球化趨勢與社會風險關系進行探討，提出全球風險社會理論。吉登斯認為，人類社會面臨的風險，如果是來自自然界的外在風險，那么是自然風險;如果是由人類社會內部對自然的改造和控制等“人力制造出來的風險”，那么是“人造風險”。人造風險與人類工業化發展、對社會現代性的追求相伴生。吉登斯對風險社會的研究系統而深入，對由現代性引發的社會風險類型進行了闡釋，認為現代性蘊含著經濟增長、生態環境破壞、極權主義、軍事沖突、核危機等社會風險。從風險管理理論和風險社會研究可以看出，風險并不必然伴隨科技發展和社會進步而消失或減少;相反，可能由于人類的某種選擇和決策的失誤而被強化。因此，從全球的視野來分析社會風險，反思人類社會的管理與決策，加強決策與管理的科學性，有助于探尋社會風險的化解方法。

二、歐美重大事件風險管理的實踐經驗

近年來，歐美發達國家的社會發展水平逐步提高，社會發展能力被彰顯出來。與此同時，社會面臨的風險與不確定因素也越來越多，風險轉化成危害，嚴重威脅著社會穩定與持續發展。為此，歐美等發達國家和地區積極強化風險社會管理手段與方法。其依靠重大事件的科學決策有效化解風險、促進社會穩定的經驗，值得中國借鑒。

(一)美國環境風險管理制度

美國一直以來重視環境保護，20世紀80年代以來，更是將環境管理問題上升到與國家安全、國家利益、社會穩定同等重要的高度。美國政府十分重視環境管理，對于環境管理中存在的風險進行有效控制。美國對于環境管理及風險防控的基本做法主要體現在:一是高度重視環境保護問題，將其確定為與國家安全、國家利益緊密相關的重大事件。1977年，美國學者萊斯特•布朗(LesterBrown)在其研究報告《重新定義國家的安全》中，首次提出將環境問題與國家安全問題緊密相連。布朗的觀點引起廣泛關注，關于環境安全的研究逐步增多。1987年里根政府的《國家安全報告》明確指出，自然資源的損耗與污染成為國家繁榮和國家安全的潛在威脅與風險，環境安全、環境管理被列入涉及國家安全、國家利益的重要領域，成為政府決策管理的重要范疇。二是進行深入系統的環境風險評價科學研究，為環境決策提供理論基礎和技術路線。美國是較早開展環境風險評價研究的國家，20世紀70年代至80年代初，環境風險評價開始萌芽，但關于風險評價的內涵尚不清晰。20世紀80年代以來，風險評價的框架基本形成。美國國家科學院提出環境風險評價包含危害鑒別、劑量—效應關系評價、暴露評價和風險表征四個階段［3］。20世紀80年代后期，環境風險評價運用于決策的相關研究逐步增加，特別是比較風險評價理論的提出與發展，大大推動了美國環境決策發展。艾扎斯(Ijjasz)和特雷耶(Tlayie)認為，“在宏觀上，比較風險評價是在掌握大量正確數據的基礎上對決策中的風險進行排序比較，并以風險的大小作為決策方案的選擇依據，從而形成一個包含有科學家、決策者與利益相關者的開放、公平的相互交流的環境?！保?］三是建立生態風險評價的政策依據，為風險評價提供行動指南?！?998年美國國家環保局正式頒布了《生態風險評價指南》，提出生態評價三步法:問題形成、分析和風險表征，同時要求在正式的科學評價之前，首先制定一個總體規劃，以明確評價目的。”［5］這也是世界上最早的生態風險評價方面的指導文件。美國國家環境保護局將比較風險評價應用于環境決策，確定了將當前環境決策未解決的問題具體化、在對數據分析的基礎上提出新的決策方案、決策者依據環境因素與潛在風險等因素對方案進行評估、方案選擇決策確定、校驗決策等基本環節。四是建立完備的風險管理與環境應急機制。對于環境存在的風險及可能發生的突發事件，美國建立比較完善的環境風險管理與應急機制。環境風險管理與應急機制主要包括環境風險的宣傳與教育機制、風險預測預警機制、風險管理機制，針對潛在的環境風險進行識別、宣傳與防范，為降低風險和科學決策提供保障。

(二)歐盟食品風險評估制度

自20世紀60年代開始，為確保食品安全，促進食品在成員國自由流通，歐盟就制定了食品安全政策。目前歐盟已建立相對完備的食品安全風險評估制度體系，能夠有效防控食品安全危機。一是構建食品安全風險評估的法律框架，為風險評估工作提供法律依據。歐盟委員會分別于1997年和2000年《食品安全綠皮書》、《食品安全白皮書》，明確了食品安全管理的總體思路，特別是提出了食品安全風險評估的重要性，提出成立歐盟食品安監局作為食品安全風險評估的實施機構，初步奠定了開展食品安全風險評估的制度基礎。2002年頒布了EC178/2002條例，明確提出食品安全法應建立在風險評估的基礎上，明確提出成立食品安全局(EFSA)進行食品安全風險評估的相關工作。二是建立食品安全的快速預警系統。歐盟在食品安全法的框架下，建立了食品與飲料快速預警系統(RASFF)［6］。根據危急程度不同，預警系統分為預警通報和信息通報兩大類。當食品安全出現問題，可能危及人類健康時，成員國可以借助預警系統互通消息，從而減少風險。三是成立專門的食品安全風險評估組織機構，以保證評估工作的科學性與獨立性。歐盟食品安全局作為食品安全風險評估和風險交流的專門機構，開展相對獨立、科學、公開、透明的風險評估工作。食品安全局組織機構完備，下設管理委員會、執行主任和成員、咨詢論壇、科學委員會和科學小組［7］。管理委員會主要負責下年度工作計劃和上年度工作總結報告等職責。執行主任公開招聘產生，主要負責日常管理工作。咨詢論壇協助執行主任開展工作，負責與各成員國主管機構合作，加強信息交流，充分了解和把握潛在的風險。科學委員會和科學小組負責為決策提供科學建議。科學小組由食品安全領域專家組成，可以組織聽證會，加強與公眾交流，搜集公眾意見?？茖W委員會則由各小組的主席以及來自科學小組以外的六名專家組成，開展全面協調工作，確?？茖W建議的準確性與一致性。歐盟食品安全局自動發起或者是應歐盟委員會或其成員國的科學建議請求，必須在規定期限內為歐盟成員國和歐盟委員會提供科學技術支持，盡可能地搜集決策相關信息，在對其進行風險評估的基礎上，將評估結果、風險信息等因素一并提供給歐盟委員會及其成員國。

(三)英國國家安全風險評估與城市風險評估體系

英國建立了相對完善的國家安全風險評估和城市安全風險評估機制，能夠對國家層面和城市中可能發生的危害國家和社會安全的風險進行有效的防范與控制。英國建立了完備的國家安全風險評估與預測機制，建構了《國家安全風險評估》、《國家安全任務與指導方針》等風險評估與風險應對的防范政策體系。國家安全委員會在廣泛了解和分析潛在的國家安全風險的基礎上，根據相關的可能性及其影響，促進和協助政府聯合其他部門共同面對和化解風險。以英國倫敦為例，其“一案三制”意義上的城市風險管理機制十分完備，堪稱城市風險管理的典范，可以為區域內重大事件決策的風險防范提供參考。通常情況下，風險管理分為風險評估與防范、風險控制、風險處置與恢復等環節。在倫敦的城市風險管理中，風險評估程序非常完善。倫敦城市風險評估的基本經驗主要體現在以下三個方面:一是依法確立風險評估主體。英國2005年4月正式實施的《國內應急法》明確規定各級政府是風險評估的責任主體，在風險評估與應急規劃中擔負重要責任。二是建立風險評估的協調機構。美國“9•11”恐怖襲擊事件發生以后，倫敦出于對危機事件有效防范的考量，著手建立跨區域、跨部門的風險評估協調機構。倫敦區域應急論壇下設倫敦應急團隊，每個論壇的主要職責是對區域內的風險進行識別與評估，使倫敦能有效應對危機事件。三是完善風險評估的基本流程系統。倫敦的城市風險評估工作流程主要分為“選擇風險事項、挑選評估者、風險分析、風險評價、風險應對、監控與審查等六大步驟”［8］。選擇風險事項階段，主要由風險評估工作組和各應急論壇的組成部門協同合作，確定風險事項，識別重要的利益相關者，結合區域環境因素確定風險評估的原則與標準。挑選評估者階段，主要是確定風險評估者及地方應急論壇相關人員在工作中的分工與職責，確定主任評審員的人選，為后續工作奠定組織基礎。風險評價階段，主要由主任評審員負責，對未來五年內可能發生的風險進行分析與建議。風險分析階段，主要是由主任評審員對風險進行預測、分析，并提出相對詳盡的風險分析報告。風險應對、監督與評審已經成為制度化、穩定化的工作，地方應急論壇每四年就要對所有風險提出正式的評審報告。

三、國外經驗對我國重大決策社會穩定風險評估的啟示

國外關于風險研究的理論與重大事件風險管理的實踐都取得了長足進展，而我國重大事件社會穩定風險評估工作尚處于起步階段，還存在諸多需要完善之處。汲取歐美發達國家重大事件風險管理的有益經驗，建立健全我國重大決策社會穩定風險評估機制。

(一)加強重大決策社會穩定風險評估的理論研究

中國重大決策社會穩定風險評估工作已經進入實踐階段，實踐中形成了四川“遂寧模式”和江蘇的“淮安模式”，但是中國關于重大決策社會穩定風險評估的理論研究還十分匱乏。分析美國環境風險管理的成功經驗，美國國家科學院等環境保護的科研機構及專家學者關于環境風險的相關理論研究為政府決策提供了有效的理論依據和方法指引，對保障決策科學性和化解決策風險起到重要作用。中國學者關于風險社會理論的研究集中于風險社會意識形成和風險社會危害等研究領域。這些研究雖然奠定了重大決策社會穩定風險分析的理論基礎，能夠為風險評估提供理論支撐，但是結合中國社會轉型期社會穩定風險的分析不夠深入，對于重大決策可能引起的風險認識還不夠清晰。中國對于重大決策社會穩定風險評估價值的探討較多，但是對于如何推進實踐的可操作性研究明顯不足。風險評估作為一種技術已經在國內外政治社會生活中廣泛應用，在國家、部門，特別是企業管理中廣泛應用，但是目前中國在重大決策中應用較少，學者提供了風險評估的框架體系，但是缺少細節設計，還有待于對重大決策風險評估的技術方法和實踐機制等領域進行深入系統的理論研究。

(二)增強重大決策社會穩定風險評估意識

目前，從中國相關政府部門到社會公眾，整體上風險意識淡薄，對于風險管理認識不深入、不夠重視，特別是對于重大事件決策與社會穩定風險之間的相關性認識不清，缺乏管控風險的意識。因此，強化對重大決策社會穩定風險評估的意識，為各級政府決策提供軟環境。發達國家的風險意識十分強烈，美國20世紀80年代就將環境保護問題上升到與國家安全、國家利益息息相關的重大事件進行管理，對重大事件風險評估與決策十分重視。英國對于國家未來可能發生的重大風險進行識別與防控，也是緣于其高度的風險意識。

(三)完善重大決策社會穩定風險評估的法律制度

歐盟在食品安全管理中，有關食品風險評估的法律制度提前建立起來，為食品風險評估提供法律保障。英國國家安全以及城市風險管理的相關法律制度較早地完備起來，為風險評估工作奠定了制度基礎，使風險評估可以按照法律和制度要求系統化、經?；⒎€定化地開展。中國對于重大決策風險評估的法律依據尚不充分，所以需要建立健全重大決策風險評估的相關法律政策，為開展重大決策風險評估提供政策依據，保障風險評估工作有序進行。

(四)建立健全重大決策社會穩定風險評估的管理機制

第6篇

【關鍵詞】 雷電災害 風險評估 標準 防雷

1 引言

從標準角度看，目前國內外有多個關于雷電災害風險評估的標準，本文主要就雷電災害風險評估的各種標準進行對比，并分析其優缺點。

2 雷電災害風險評估的標準介紹

我國各個省市所應用風險評估的方法和規范并不相同，例如江蘇省評估工作基于IEC62305和GB21714，重慶、西安則基于QX/T85-2007，但總體來說，有關雷電災害風險評估的標準主要有以下幾種：（1）《氣象信息系統雷擊電磁脈沖防護規范》（QX3-2000），適用范圍是由雷擊電磁脈沖（LEMP）對氣象信息系統造成損失的風險的評估，所用的方法基于早期國外防雷標準中的因子分析法，評估的重點是確定年平均直擊雷次數和年平均允許雷擊次數；（2）《通信局站雷電損壞危險的評估》（ITU-T K.39），適用于通信局站雷電過電壓（過電流）造成的設備危害和人員安全危害的風險的評估；（3）《建筑物電子信息體統防雷技術規范》（GB 50343―2004），按建筑物電子信息系統所處環境進行雷電災害風險評估，確定雷電防護等級；（4）《雷擊損害風險評估》（IEC6166），主要闡述了建筑物與服務設施的分類、雷災風險、防護措施的選擇過程以及建筑物與服務設施防護的基本標準等問題；（5）《雷電防護》（IEC 62305），共分5個部分，IEC 62305-1清楚地說明了在防雷電保護結構中遵循的一般原則；IEC 62305-2表述了保護的需要、安裝保護措施的經濟利益和適當的保護措施的選擇程序，以及風險管理的方法；IEC 62305-3涉及減少對建筑物的物理損害和威脅生命安全的方法；IEC 62305-4闡述了減少建筑物內電器和電子系統故障的方法；IEC 62305-5涉及減少與建筑物有關的服務（主要是電力和電信）的物理損害和出現故障的方法；（6）《雷電災害風險評估技術規范》（QX/T85―2007），此規范將雷電災害風險評估分為預評估、方案評估與現狀評估，主要包括大氣雷電環境評價、雷擊損害風險評估、雷電災害易損性評估、雷電災害環境影響評價等內容。

3 雷電災害風險評估方法

目前，雷電災害風險評估的方法大致有兩種，一種是定性評估，一種是定量評估。GB50057-2010中規定建筑物應根據其重要性、使用性、發生雷電事故的可能性和后果，按防雷要求分為三類，這屬于定性評估。而IEC62305-2以及由此衍生出的GB/T21714、 QX/T85-2007則通過對損失量的影響因子的選擇，然后進行計算，得出雷擊風險的各種損失的數值，這屬于定量評估。

綜合來看，我國的雷電災害風險評估采用了定性與定量相結的方法，有的地方用定性，有的地方用定量，還沒有統一。在該方法的基礎上，結合中國國情，在個別參數的選取上細化或有少許變動。

4 雷電災害風險評估標準的分析

4.1 評估標準的局限性

任何方法都是有其適用的范圍的，同樣，評估中經常用到的標準也是有其適用范圍的，下面對常用的雷電災害風險評估標準的范圍進行簡單的分析：

IEC62305-1適用于建筑物包括其中的裝備和設備，也包括人身以及進入建筑物的公共設施。不適用于鐵路設施，車輛、船只、飛行器、海岸設施以及地下高壓管道。

IEC62305-2適用于由雷擊導致的建筑物內或公共設施內的風險評估。

GB/T21714.2適用于建筑物和服務設施的雷擊風險評估。

QX/T85-2007適用于新建、改建、擴建項目的雷電災害風險評估。

以上三個規范，均不適用于鐵路設施，車輛、船只、飛行器、海岸設施以及地下高壓管道。因此，當評估對象出現特殊化時，雷擊風險評估需要加入新的技術標準。

4.2 評估標準的比較

4.2.1 評估標準的相似性

（1）各評估標準都把重點放在雷電災害損害次數這個參數上，而決定損害次數的子參數的選取大多以經驗為主。

（2）各評估標準都需要計算出實際損害次數（實際風險）和允許損害次數（允許風險），然后給出風險級別并提供適當的防護措施。

（3）各評估標準在處理雷電災害損失和雷電災害風險時，都使用相對值，且大部分參數都以表格等形式給出一定的典型值，取值不連續而且很難達到比較高的精度。

（4）各評估標準都要求精確得到評估對象（建筑物或服務設施）的雷擊有效面積，乘上當地的雷擊密度而計算其可能雷擊次數，然后需要求得允許雷災水平（可承受雷災水平）。

4.2.2 評估標準的區別

雖然個標準之間有一定的相似性，但同時也存在著許多區別：（1）從評估結果考慮，通過對各個標準之間做比較，可以發現ITU-T k.39和IEC61662都是以公式R=N×P×δ基本計算公式，兩個標準都考慮了人身損失和財產損失等，都是通過計算防雷裝置的攔截效率E來最終確定評估對象的雷電防護必要性和防護等級（防護級別）。而IEC62305、GB/T21714.2和QX/T85-2007都是以公式Rx=Nx×Px×Lx基本公式，三個標準都考率了人身傷亡損失風險、公眾服務損失風險、文化遺產損失風險及經濟損失風險，都是通過確定風險分量并計算風險分量值，將其分量值與其分量最大允許值相比較最終確定該建筑物是否在風險允許范圍內

（2）IEC61662、IEC62305標準包括尤其衍生出來的GB/T21714.2和QX/T85-2007是最復雜、準確度及可信度最高的，也是我國目前氣象行業開展雷擊災害風險評估的主要技術規范，綜合了建筑物所在區域預計年遭受雷擊次數N、在建筑物區域內遭受到雷擊后可能發生雷電災害損失的概率P及建筑物在遭受雷擊后可能發生的后果及損失程度L三個因素，而每個因素的計算都是通過一系列的相關限制因子來確定的。但是GB/T21714.2里面的分量、因子、概率、損失率等數據是德國人根據歐洲的雷電特性、雷電環境、年平均雷暴日、土壤電阻率等統計、計算出的，適合歐洲情況。而中國在雷電特性、雷電環境、年平均雷暴日、土壤電阻率等各方面是截然不同的。因此，還需要將GB/T21714.2的分量、因子、概率、損失率等統計、計算出適合中國國情的數據（3）QX3-2000與GB50343―2004標準的評估重點是確定年平均允許雷擊次數Nc，但其所采用的公式不同，QX3-2000計算Nc的公式為Nc=5.8*10-3/C或Nc=5.8*10-4/C，其中C=C1+C2+C3+C4+C5，因此其評估精度主要取決于建筑材料因子、信息系統重要程度因子、設備耐沖擊類型因子、設備的LPZ因子和雷擊后果因子。而GB50343―2004計算Nc的公式為Nc=5.8*10-1.5/C，其中C=C1+C2+C3+C4+C5+C6，C1～C5同QX3-2000中規定的，C6為區域雷暴等級因子。兩種標準雖然計算公式類似，但所用的指數不同，同時GB50343―2004也比QX3-2000多了一個因子（4）QX3-2000和GB50343―2004與IEC61662標準在計算雷擊大地的平局密度Ng的計算公式上也是不同的，QX3-2000和GB50343―2004計算Ng的公式為Ng=0.024Td1.3，而IEC61662中為Ng=0.04Td1.25（5）ITU-Tk.39標準的評估重點是確定雷電損害次數F，F=Fd +Fn +Fs+Fa，其中Fd=Ng*Ad*Pd，Fn=Ng*An*Pn，Fs =Ng*As*Ps，Fa=Ng*Aa*Pa，一般情況下以Fs為主；而面積Ad，An，As和Aa，在評估時要注意各類面積可能重疊，概率因子P的確定方法基本上來自于經驗，其大小與設備自身性質和特定的保護措施有關。

由以上分析可以看出，這些常用雷電災害風險評估標準中包含了三個評估評估重點，即確定雷擊風險R，確定年平均雷擊次數Nc以及確定雷電損害次數F，并且各標準所采用的公式及所需因子等也不盡相同，采用的方法也不相同，但各有其優缺點，應當根據評估對象的特點進行選取。

5 結語

通過對雷電災害風險評估常用標準的分析，各標準都對雷擊損害風險評估的方法、流程及各因子的選取等方面進行了詳細的介紹，但是對大氣雷電環境的評價都是簡單介紹，而進行大氣雷電環境評價的基礎是擁有數量足夠、信息可靠的閃電資料，對目標地點周邊一定距離內雷電環境分析，區別于以往一貫的基于雷暴日進行大氣雷電環境分析的粗略計算；即使是同一地區相距較近的兩地，也有可能得到不同的雷電環境分析結論。

參考文獻：

[1]QX3-2000氣象信息系統雷擊電磁脈沖防護規范.

[2]ITU-T K.39《通信局站雷電損壞危險的評估》.

[3]GB 50343―2004《建筑物電子信息體統防雷技術規范》.

[4]IEC6166《雷擊損害風險評估》.

[5]IEC 62305《雷電防護》.

[6]QX/T85―2007《雷電災害風險評估技術規范》.

[7]GB/T21714.2-2008《雷電防護 第2部分 風險管理》.

[8]鐘萬強，肖穩安.建筑物雷電災害風險評估的標準、體系和方法，http：//qxbzjk.cma，/servlet/News？Node=15611.

第7篇

一、傳統風險導向審計模型

傳統風險導向審計也稱為控制風險導向審計，是指審計人員在審計過程中將風險分析、評價與控制融入傳統審計方法之中，進而獲取審計證據，形成審計結論的一種審計取證模式。

模型（審計風險=固有風險×控制風險×檢查風險）可以解決交易類別、賬戶余額、披露和其他具體認定層次的錯報，發現經濟交易和事項本身的性質和復雜程度發生的錯報，發現企業管理當局由于本身的認知和技術水平造成的錯報，以及企業管理當局局部和個別人員舞弊和造假造成的錯報，從而將審計風險控制在比較滿意的水平。

二、現代風險導向審計模型

風險導向審計也稱為經營風險導向審計，是指以被審計單位的戰略經營風險為導向，通過“戰略分析――流程分析――經營業績評價――財務報表剩余風險分析”的基本思路，將會計報表重大錯報風險和經營風險聯系起來，從而提出了審計師從源頭分析和發現會計報表錯報的觀念。

2003年10月國際審計和保證準則委員會（IAASB）了國際審計準則第315號（ISA315）： “了解被審計單位及其環境并評估重大錯報風險”，將傳統風險導向審計下的審計風險模型修改為：審計風險＝重大錯報風險×檢查風險，明確規定了審計工作以評估財務報表重大錯報風險作為新的起點和導向。

三、兩個模型的比較

傳統風險導向審計模式與現代風險導向審計模式的本質區別在于審計理念和審計技術方法的不同，后者是對前者的改進，其主要區別如下：

（一）審計起點不同。傳統風險導向審計方法通過綜合評估固有風險和控制風險以確定實質性測試的范圍、時間和程序，由于固有風險難以評估，審計的起點往往為企業的內部控制。

現代風險導向審計方法通過綜合評估經營控制風險以確定實質性測試的范圍、時間和程序，其審計起點為企業的戰略系統及其業務流程。假如企業的業務流程不重要或風險控制很有效，則將實質性測試集中在例外事項上。這種新模式的優點是將審計的重心前移到風險評估，這將有利于充分識別和評估會計報表重大錯報的風險，因此主要針對風險設計、實施控制測試和實質性測試程序。此外，注冊會計師輕易全面把握企業可能存在的重大風險，有利于節省審計成本，克服因缺乏全面性觀點而導致的審計風險。

（二）風險評估識別以分析性復核程序為中心?，F代風險導向審計注重運用分析性復核程序，以識別可能存在的重大錯報風險；而傳統風險導向審計對于信息的再加工程度不高，分析性程序主要用在報表分析上。分析性復核程序已成為現代風險審計方法最重要的程序，為適應分析性程序功能擴大的要求，分析性程序開始走向多樣化：在數據分析上，不但對財務數據進行分析，也要對非財務數據進行分析；在分析工具上，借鑒現代治理方法，把戰略分析、績效分析、財務分析以及前景分析等分析工具運用到風險評估之中，使風險因素不再唯一，變一元風險評估為多元風險評估，使得出的風險評估結果更加可靠。

（三）風險評估方式由直接評估轉變為間接評估。傳統風險導向審計的風險評估是一種直接的方式，即直接評估重大錯報的概率。現代風險導向審計模式是從經營風險評估入手，間接地對審計風險進行評估，因為經營風險越高，審計風險也越大，也就是治理舞弊的可能性越大；并且從經營風險中能更有效地發現財務報表潛在的重大錯報，因為財務報表是經營的反映，假如經營風險未能在報表中得到體現，則財務報表很可能失真。此外，會計政策、會計估計的合理性評估也只有從經營風險入手，才能進行正確的評估。

（四）審計程序實施具有個性化。傳統風險導向審計模式的審計程序是標準化形式，對不同的被審計單位都使用標準相同的審計程序，其缺陷是沒有充分貫徹風險導向審計思想，使注冊會計師無法突破客戶預先設置或防范的措施，難以做出正確的審計結論。現代風險導向審計方法要求注冊會計師將評估及識別的審計風險與實施的審計程序相結合，針對不同客戶以及客戶不同的風險領域實施個性化的審計程序。

（五）審計證據的內涵擴大。在現代風險導向審計方式下，審計重心向風險評估轉移，審計證據也由內部向外部轉移。因此，注冊會計師必須充分了解企業整體經營環境，由此評估客戶的經營及審計風險，同時必須從外部取得大量的外部證據來證實風險評估的恰當性。風險導向審計模式下，注冊會計師形成審計結論所依據的審計證據不僅包括實施控制測試和實質性測試獲取的證據，還包括了解企業及其環境獲取的證據。

（六）擴充了內部控制要素。傳統風險導向審計方法下的內部控制是指被審計單位為了保證業務活動的有效進行，保護資產的安全和完整，發現、糾正錯誤與防止舞弊，保證會計資料的真實、合法、完整而制定和實施的政策與程序。內部控制要素包括控制環境、會計系統和控制程序?，F代風險導向審計方法下的內部控制是指被審計單位為了合理保證財務報告的可靠性、經營的效率和效果以及對法律法規的遵循，由治理當局和其他人員設計和執行的政策和程序。內部控制的三要素擴充為五要素，即控制環境、被審計單位的風險評估過程、與財務報告相關的信息系統和溝通、控制活動和對控制的監督。

（七）對注冊會計師的專業知識提出了更高要求?，F代風險導向審計下審計結果主要依靠風險評估，要求把握現代治理知識和行業知識（包括市場、研發、生產等方面），這對注冊會計師提出了更高的要求。注冊會計師應該是復合型人才，不但要把握一般常用分析工具，還要接受現代治理知識和行業專業知識培訓。