时间:2024-04-08 14:48:32
序论:在您撰写风险评价与风险评估的区别时,参考他人的优秀作品可以开阔视野,小编为您整理的7篇范文,希望这些建议能够激发您的创作热情,引导您走向新的创作高度。
【关键词】风险管理审计;风险导向审计;联系
一、风险管理审计
(一)风险管理概述
风险管理是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理的目的是为了将风险控制在可接受的范围内(风险的可接受范围取决于组织对风险的态度)。
风险管理分为以下几个阶段:1、风险规划阶段。项目风险管理计划或策略确定控制目标:可以接受水平。2、风险识别阶段。主要确定风险来自何方?有哪几类风险?(我国国资委将国有企业风险分为以下几类:战略风险、财务风险、市场风险、运营风险以及法律风险。)3、风险估计阶段。确定事件后果有多大?发生的可能性有多大?4、风险评价阶段。确定风险的严重顺序;确定项目整体风险水平。5、风险应对阶段。设计控制风险的措施策略。6、风险控制阶段。检查控制措施是否充分有效?自我评估和内部审计。
(二)风险管理审计概念及目的
风险管理审计是内部审计以风险为考虑核心,采用系统
化、规范化的方法,通过对企业全面风险管理活动进行监督和评价,提出改进意见,来改善企业风险管理、增进企业价值的一种审计。
通过内部审计机构和人员对企业风险管理过程的了解,审查并评价其适当性和有效性,提出改进建议,促进企业目标的实现。
(三)内容
企业建立内部风险管理部门,内部审计人员实施必要的审计程序,对风险评估过程进行审查与评价,并重点关注风险发生的可能性和风险对组织目标的实现产生影响的严重程度两个要素。同时,内部审计人员应当充分了解风险评估的方法,并对管理层所采用的风险评估方法的适当性和有效性进行审查。审计人员应当实施必要的审计程序,对风险识别过程进行审查与评价,重点关注被审计单位面临的内、外部风险是否已得到充分、适当的确认。
最终对内部风险管理组织的健全性、风险管理程序的合理性以及风险预警系统的存在及有效性进行审查评价,最终出具风险管理审计报告。
二、风险导向审计
(一)概念及特征
风险导向审计立足于对审计风险进行系统的分析和评价,并以此作为出发点,制定审计战略,制定与企业状况相适应的多样化审计计划,以达到审计工作的效率性和效果性。审计期望差距的存在和审计目标的改变是风险基础审计产生的社会因素。审计组织的经济压力是风险基础审计产生的经济原因。制度基础审计的内在缺陷及解决方法是风险基础审计产生的技术原因
(二)内容
首先,通过对被审计单位控制环境的评价,鉴别其财务报表重要组成项目的各项认定,考虑财务报表重大错误表述的风险。其次,建立审计目标。审计目标以风险评价为基础,通过风险评估分析,制订审计计划,确定如何收集、收集多少和收集何种性质的证据的决策,为更有效地控制和提高审计效果及审计效率,提供了一个完整的结构。再次,根据审计目标确定拟实施的审计程序的性质、时间及范围。最终将审计风险控制在可以接受的范围内,并以此出具审计报告。
理论基础:经营风险驱动审计风险。简单地说,就是任
何影响客户实现其经营目标的潜在风险,都是审计风险的来源。企业的经营风险来自两个层面:战略风险和运营风险。基本逻辑是:财务报表是否存在重大错报与经营活动的顺利与否相关;经营活动的顺利与否与企业的经营战略目标是否正确相关;企业经营战略的风险会逐步转化为财务报表的重大错报风险;重大错报风险是审计风险的直接来源。
三、两者区别与内在联系
(一)区别
产生背景及性质不同:风险导向审计是由于审计期望差距而产生的,同时也是对账项导向审计、制度导向审计的改进,是审计模式的创新发展,同时也是一种新型的审计模式。风险管理审计是为了满足企业加强自身内部风险管理的需要及内部审计自身发展的需要而产生的,是一种全新的审计业务类型。
审计目的不同:风险导向审计是通过评估审计风险,合理分配审计资源,并设计一系列高效率低成本的审计程序,并最终将审计风险降低至可接受水平,从而出具审计报告。风险管理审计则是为了审查和评价企业风险管理的适当性和有效性,并最终服务于内部审计,降低企业经营管理风险,提高企业内部控制水平。
“风险”含义及审计主体不同:风险导向审计中的“风险”指的是审计风险,包括重大错报风险和检查风险,其审计主体是审计机构和审计人员。风险管理审计中的“风险”主要指的是经营风险,主体是企业及管理人员,包括风险识别、评估及应对三个阶段。
审计思路不同:风险导向审计首先评估企业经营风险,从而确定重大错报风险,从而计算出可接受的检查风险水平。风险管理审计主要审查评价企业风险识别是否充分,风险评估是否恰当,所采取的风险应对措施是否合理有效。
(二)内在联系
关键词:风险评估 HRN参数 机械式压力机
1、前言
压力机作为常见的金属加工机械,在汽车,造船,航空,机加工等非常多的行业有着非常广泛的应用。同时,压力机是一个非常危险的机械。冲压作业伤指事故较多。该行业曾流行一句话:十个冲工九个残。客观原因是冲压机械滑块垂直下冲速度极快。
以一般100吨液压冲床为例,滑块每分钟往复次数为75次,即单程一次只约需0.4秒。采用行程为100毫米进行拉伸作业,若手在模内,冲床滑块下冲伤指的时间约为0.1秒。而当操作者发现或感觉到滑块下冲时,反应到大脑,再由大脑指挥手缩回的时间约为0.2-0.3秒,显然手是来不及收回的。因此常造成伤指事故。
因此如何对于一台冲压机械中所存的风险进行分析得出结论,并对其实施改造,以达到机械安全与人员保护的目的。
2、风险评估原理
根据ISO 12100的要求,应依照一系列合理步骤进行风险评估,以便对机械相关危险进行系统地检查。对于ISO 12100:2010第6条中所述的任何风险降低措施,风险评估过程均应遵守。为最大限度消除危险并实施安全措施,这一过程重复进行时,应给出一个迭代过程。
风险评估方法包括:
风险估计。确定限制条件;危险确认;风险估计。
风险评价。风险估计提供了风险评估所需的信息,而风险评估反过来又有助于对机械安全进行判定。
3、第三 针对一台400T机械式压力机所进行的风险评估
在本文中,我们将主要针对一台400T闭点式机械压力机进行风险评估,以识别其中所存在的风险。依据前文所述,我们执行了以下步骤:
预定的使用环境为一般工业环境。机器针对操作人员,维护人员和技术人员使用而设计。人员已接受机器相关的常规培训。HNKJ-400吨压机上的维护作业由受过培训的人员进行。机器的清洁由操作人员进行;若存在堵塞,则由操作人员进行修复。机器的预计使用寿命为20年。
在一台压力机中,最显著的危险源自于合模区中固定在压机滑块的上模与工作台中固定的下模之间的挤压危险,但是由于触及的频率及方式各不相同,对于各个风险点我们进行了如下的识别与评估:
3.3 从正面进入模具区域
3.4 从侧面进入模具区域
从上述的风险评估举例中,可以看出,即使是同一个机械动作所引起的危险,在不同的作业情况下,不同的接近路径下,其风险区别极大。因此,在考虑设计控制系统时,不同的接近路径下,不同的控制系统元素的可靠性和冗余性应当也有所区别。尽管选取最高的系统可靠性显然能够满足系统的安全要求,但是也会造成系统的构建成本过高,设计过于复杂。因此,根据风险评估的结果,来选取相应的控制系统等级来设计控制系统,是非常有必要的。
4、结语
通过对于HRN风险评估参数法的阐述,以及对于压机最主要风险进行的分析,我们可以看到,如果在没有任何保护措施的情况下,操作这样高风险的机器时是非常危险的。我们必须采取安全保护措施,构建安全防护及相对应的安全控制系统来保护操作人员的安全。而在设计控制系统时,根据不同的HRN参数,来选择合适的控制系统等级也是非常重要的。这样可以针对性地提高系统安全性,并有效地控制项目成本。
参考文献
采用滑坡风险评估三要素的方法,即:风险区划(R3)、风险概率(RP)、风险损失(Rh),对汶川大地震极震区10个县市26000km2面积区的震后滑坡风险进行了评估。结果显示,区内高风险区仅占9.03%面积,但承担42%的滑坡发生概率和滑坡损失风险贡献;较高风险区占14.61%面积,承担25%的风险贡献;中风险区占22.28.%面积,承担19%的风险贡献;低风险区占37.93%面积,承担11%的风险贡献;无风险区占16.15%面积,承担3%的风险贡献。震后由于采取了有效的避险措施,滑坡风险明显降低的结果。
关键词:
汶川8.0级地震;极震区;滑坡;风险评估
地震滑坡风险评估与常规滑坡风险评估相比多了“地震”因素条件,在评估的结构和方法上两者的不同之处何在?对于这一问题,国内外可供参考的文献极少[1-3]。笔者认为地震滑坡风险评估与常规滑坡风险评估两者的区别主要应该体现在风险评估结构模型(即:风险区划=危险度评估×易损度评估)中的危险度评估。评价地震滑坡风险只能通过滑坡危险性评估指标因子与地震相关因子的结合,才可能反映地震因素的影响作用。地震滑坡是在地震瞬间被地震动诱发的,地震动能量通过震源和发震断层释放,一次地震过程中距震中或断层不同距离上分布的滑坡数量和规模差异性很大。因此在危险度评估中,可以通过增加地震滑坡震中距和发震断层距等与地震相关的作用因子,来提高地震滑坡危险度评估中地震与滑坡的关联度。而在风险评估中,地震因素的直接作用不能被直接反映。如汶川地震发生后,地震灾区的建筑物基本都提高了抗震结构设计标准,区域空间的建筑承灾体的易损性都明显降低。随着灾区建筑物的易损性普遍降低,统计指标中也难以体现出与常规易损性指标的差别。只要在危险度评估中增加了地震因子作用,建立在滑坡危险度和易损度区划基础之上的地震滑坡风险评估,就可以反映出地震因素的作用了。因此,地震滑坡风险评估与常规滑坡风险评估的主要差别应该体现在危险度评估中滑坡与震源相关性因子选取上。本文选择汶川地震极震区(I0≥ⅩⅠ)10县市(面积26175.77km2)为研究区域,探索了地震滑坡风险评估方法。
1地震滑坡风险分布(Rs)
根据文献[4]中的滑坡风险分类方法,不同类型滑坡风险的研究深度不同,应用范围也不一样。因此滑坡风险研究应该具有不同的目标性和实用性,可以针对不同层次需要,采用不同阶段的风险研究目标和方法解决需求。不同阶段的风险评价方法也不相同。按照文献[4]中的风险层次链实施阶段划分,笔者在完成汶川地震极震区滑坡风险区划的基础上[5],根据滑坡风险综合评估三要素的原则。式中:RS为风险分布;RP为风险概率;Rh为风险损失。对汶川地震极震灾区(I0≥Ⅹ)的汶川、都江堰、彭州、茂县、什邡、绵竹、安县、北川、平武、青川10县市(面积26175.77km2)进行了地震滑坡风险综合评估。其中,地震滑坡风险分布是采用地震滑坡风险区划方法确定;地震滑坡风险概率,通过对震后降雨滑坡发生概率统计方法确定;地震滑坡风险损失,根据滑坡受灾面积的损失率方法确定。地震滑坡风险评估与常规滑坡风险评估的差别主要体现在滑坡风险区划的要素中,而其它要素中是难以反映出地震因素的作用。汶川地震极震区的滑坡风险分布可通过全区滑坡风险区划获得。采用GIS技术在研究区1:5万DEM、DRG、20万地质图、1:5万土地利用图的基础上,分别对滑坡危险度的10项因子指标、承载体易损度的5项因子指标进行权重叠加,按照5级划分标准经过区划划分,获得地震滑坡风险的分布结果。
2地震滑坡风险概率(RP)
地震滑坡风险概率与滑坡发生概率成正相关关系,滑坡随机发生的次数越多,存在的风险概率越大。从宏观区域滑坡发育规律分析,大地震诱发的滑坡后期复活主要受降雨因素的控制。因为再次发生大地震或余震具有不确定性,作为诱发因素参加滑坡事件概率统计的难度太大。震区降雨型滑坡后期活动是转化泥石流并造成大面积受损的主要致灾因素。所以,地震灾区的滑坡风险概率应该由震后降雨滑坡的时间及空间分布概率所决定。
2.1滑坡时间概率采用文献[6]中的降雨滑坡概率计算方法,可以分别得到降雨滑坡的时间和空间分布概率。时间概率表示在给定降雨临界值和时间的情况下,发生滑坡的时间概率。
2.2滑坡空间概率空间概率表示按风险区面积为单元的滑坡分布概率。式中:P'为空间概率;x为降雨滑坡分布密度系数(x=md/s、其中m为不同危险度区降雨滑坡数;d为样本分区区间;s为不同危险度区总面积。采用式(5),对极震灾区10县市震后的降雨滑坡与地震滑坡进行统计计算,获得空间概率。
3地震滑坡损失评价(Rh)
在地震滑坡风险区划的基础上,可以通过对各风险区滑坡受损面积与滑坡风险区面积之比,评估滑坡灾害可能造成的受损率。受损率不是经济指标的评价关系,仅仅代表滑坡破坏范围的概率。受损率预测对灾区人员伤亡情况是难以准确评估的[7-13],因为这与人们防灾意识和政府防灾管理程度密切相关。根据文献[3]中的滑坡受灾面积统计模型,可以对滑坡风险分布区内每一处滑坡受灾面积与滑坡风险区面积进行受损率统计。在实际滑坡风险损失评估中,由于在获取当地经济产量和固定资产资料信息的限制,如,经济总量、建筑物、基础建设、农业、林业、工业、水利等等,所以得出的经济损失评估结果往往可信度较低。之前采用各种方法作出的经济损失评估与实际情况一般差距较大。所以对区域滑坡灾害发生前的损失预测评估,可以采用滑坡直接受损面积与风险区面积的比率Rh评估可能造成的损失范围。根据式(6),可以统计汶川地震极震区全区滑坡风险区的滑坡受损情况(表7)。以上统计结果,无论对极震灾区全区的滑坡风险受损率,还是极震灾区各县市滑坡风险受损率,都可以看出未来滑坡风险的受损率一般不是太高。全区的高风险区受损率仅可能达到11%,其他风险区的损失率更低。
险综合评估(R珔)
在完成以上准备之后,可以对汶川地震极震区滑坡风险进行综合评估。根据表1、图1表示的汶川地震极震区滑坡风险分布,表2、表3表示的汶川地震极震区滑坡概率,表4表示的汶川地震极震区滑坡风险受损率的统计结果,评价5类滑坡风险区可能分别承担的风险损失概率。式(8)表示风险综合评估(珔R)是评价5类滑坡风险区域面积中(Rs),将可能(概率Rp)分别对应承担滑坡风险损失(受损率Rh)的贡献率(γ)。采用式(8),可得到表10、图3所示的综合评估结论。式(9)说明,随着滑坡风险区的等级变化,综合风险贡献与风险等级呈线性函数发展关系,并且相关性好。采用以上方法,对汶川地震极震区各县市滑坡风险进行综合评估,也可获得各自的评估说明和规律曲线模型。
5结论
地震滑坡风险评估包括三方面的内容,即风险分布评价、风险概率评价、风险损失评价。而单一的风险评价不能真正代表风险评估的内容。本文根据评估的原则对汶川地震极震区10个县市的滑坡风险进行了综合评估。地震发生后,由于政府采取了滑坡危险地带主动搬迁避让的恢复重建措施,极震灾区的滑坡风险明显降低。滑坡风险主要由全区9.03%面积的高风险区承担。其余区域的滑坡风险很小,所以极震灾区大部分区域是安全的。风险评估中,滑坡风险损失评价是一项比较难以确定的指标。目前的统计方法还达到不到包括人员在内的损失评价,只能满足固有资产的统计。因此可能使滑坡综合风险评估内容有所不足。
参考文献:
[1]王启亮,孟朝霞.地震滑坡风险分析研究[J].中国地质灾害与防治学报,2010,21(3):14-16.
[2]韩金良,燕军军,吴树仁.四川汶川M8级地震触发的典型滑坡的风险指标反演[J].地质通报,2009,28(8):1146-1155.
[3]乔建平.第10章汶川大地震滑坡风险评估[M]//大地震诱发滑坡分布规律及危险性评价方法.北京:科学出版社,2014:324-374.
[4]乔建平,王萌.滑坡风险的类型与层次链[J].工程地质学报,2010,18(1):84-90.
[5]乔建平,王萌吴彩燕.汶川大地震滑坡风险区划研究[J].工程地质学报,2015.23(2):1-7.
[6]乔建平,杨宗佶.滑坡风险评估的三要素[J].工程地质学报,2012,20(1):1-6.6
[7]许飞琼.灾害损失评估及系统结构[J].灾害学,1998,13(3):80-83.
[8]常胜,曾克峰.恩思州地质灾害损失评估方法研究[J].湖北民族学院学报,2005,23(4):402-404.
[9]谢全敏,李道明.翟鹏程.滑坡次生灾害损失评估方法研究[J].岩土力学,2007,28(5):961-970.
[10]吴红华.灾害损失评估的灰色模糊综合方法[J].自然灾害学报,2005,14(2):115-118
[11]潘晓红,贾铁飞,温家洪,等.多灾害损失评估模型与应用评述[J].防灾科学学院学报,2009,14(2):77-88
[12]赵红蕊,王涛,石丽梅.芦山7.0级地震震后道路损毁风险评估方法研究[J].灾害学,2014,29(2):33-37.
关键词:网络审计 历史财务报表审计 信息安全管理 风险评估
一、引言
从审计的角度,风险评估是现代风险导向审计的核心理念。无论是在历史财务报表审计还是在网络审计中,现代风险导向审计均要求审计师在执行审计工作过程中应以风险评估为中心,通过对被审计单位及其环境的了解,评估确定被审计单位的高风险领域,从而确定审计的范围和重点,进一步决定如何收集、收集多少和收集何种性质的证据,以便更有效地控制和提高审计效果及审计效率。从企业管理的角度,企业风险管理将风险评估作为其基本的要素之一进行规范,要求企业在识别和评估风险可能对企业产生影响的基础上,采取积极的措施来控制风险,降低风险为企业带来损失的概率或缩小损失程度来达到控制目的。信息安全风险评估作为企业风险管理的一部分,是企业信息安全管理的基础和关键环节。尽管如此,风险评估在网络审计、历史财务报表审计和企业信息安全管理等工作中的运用却不尽相同,本文在分析计算机信息系统环境下所有特定风险和网络审计风险基本要素的基础上,从风险评估中应关注的风险范围、风险评估的目的、内容、程序及实施流程等内容展开,将网络审计与历史财务报表审计和信息安全管理的风险评估进行对比分析,以期深化对网络审计风险评估的理解。
二、网络审计与历史财务报表审计的风险评估比较
(一)审计风险要素根据美国注册会计师协会的第47号审计标准说明中的审计风险模型,审计风险又由固有风险、控制风险和检查风险构成。其中,固有风险是指不考虑被审计单位相关的内部控制政策或程序的情况下,其财务报表某项认定产生重大错报的可能性;控制风险是被审计单位内部控制未能及时防止或发现财务报表上某项错报或漏报的可能性;检查风险是审计人员通过预定的审计程序未能发现被审计单位财务报表上存在重大错报或漏报的可能性。在网络审计中,审计风险仍然包括固有风险、控制风险和检查风险要素,但其具体内容直接受计算机网络环境下信息系统特定风险的影响。计算机及网络技术的应用能提高企业经营活动的效率,为企业的经营管理带来很大的优越性,但同时也为企业带来了一些新的风险。这些新的风险主要表现为:(1)数据与职责过于集中化。由于手工系统中的职责分工、互相牵制等控制措施都被归并到计算机系统自动处理过程中去了,这些集中的数据库技术无疑会增加数据纵和破坏的风险。(2)系统程序易于被非法调用甚至遭到篡改。由于计算机系统有较高的技术要求,非专业人员难以察觉计算机舞弊的线索,这加大了数据被非法使用的可能性。如经过批准的系统使用人员滥用系统,或者说,企业对接近信息缺乏控制使得重要的数据或程序被盗窃等。(3)错误程序的风险,例如程序中的差错反复和差错级联、数据处理不合逻辑、甚至是程序本身存在错误等。(4)信息系统缺乏应用的审计接口,使得审计人员在审计工作中难以有效地采集或获取企业信息系统中的数据,从而无法正常开展审计工作。(5)网络系统在技术和商业上的风险,如计算机信息系统所依赖的硬件设备可能出现一些不可预料的故障,或者信息系统所依赖的物理工作环境可能对整个信息系统的运行效能带来影响等。相对应地,网络审计的固有风险主要是指系统环境风险,即财务电算化系统本身所处的环境引起的风险,它可分为硬件环境风险和软件环境风险。控制风险包括系统控制风险和财务数据风险,其中,系统控制风险是指会计电算化系统的内部控制不严密造成的风险,财务数据风险是指电磁性财务数据被篡改的可能性。检查风险包括审计软件风险和人员操作风险,审计软件风险是指计算机审计软件本身缺陷原因造成的风险,人员操作风险是指计算机审计系统的操作人员、技术人员和开发人员等在工作中由于主观或客观原因造成的风险。
(二)风险评估目的无论在网络审计还是历史财务报表审计中,风险评估只是审计的一项重要程序,贯穿于审计的整个过程。与其他审计程序紧密联系而不是一项独立的活动。尽管如此,两者所关注的风险范围则有所不同。历史财务报表审计的风险评估要求审计人员主要关注的是被审计单位的重大错报风险――财务报表在审计前存在重大错报的可能性。由于网络审计的审计对象包括被审计单位基于网络的财务信息和网络财务信息系统两类,因此审计人员关注的风险应是被审计单位经营过程中与该两类审计对象相关的风险。(1)对于与企业网络财务信息系统相关的风险,审计人员应该从信息系统生命周期的各个阶段和信息系统的各组成部分及运行环境两方面出发进行评估。信息系统生命周期是指该信息系统从产生到完成乃至进入维护的各个阶段及其活动,无论是在早期的线性开发模型中还是在更为复杂的螺旋式等模型中,一个信息系统的生命周期大都包括规划和启动、设计开发或采购、集成实现、运行和维护、废弃等五个基本阶段。由于信息系统在不同阶段的活动内容不同,企业在不同阶段的控制目标和控制行为也会有所不同,因此,审计人员的风险评估应该贯穿于信息系统的整个生命周期。信息系统的组成部分是指构成该信息系统的硬件、软件及数据等,信息系统的运行环境是指信息系统正常运行使用所依托的物理和管理平台。具体可将其分为五个层面:物理层,即信息系统运行所必备的机房、设备、办公场所、系统线路及相关环境;网络层,即信息系统所需的网络架构的安全情况、网络设备的漏洞情况、网络设备配置的缺陷情况等;系统层,即信息系统本身的漏洞情况、配置的缺陷情况;应用层,即信息系统所使用的应用软件的漏洞情况、安全功能缺陷情况;管理层,即被审计单位在该信息系统的运行使用过程中的组织、策略、技术管理等方面的情况。(2)对于与企业基于网络的财务信息相关的风险,审计人员应着重关注财务信息的重大错报风险和信息的安全风险。重大错报风险主要指被审计单位基于网络的相关财务信息存在重大错报的可能性,它是针对企业借助于网络信息系统或网络技术对有关账户、交易或事项进行确认、计量或披露而言。网络审计中关注的重大错报风险与传统审CtT的内涵基本上是一致的,审计人员在审计时应当考虑被审计单位的行业状况、经营性质、法律及监管环境、会计政策和会计方法的选用、财务业绩的衡量和评价等方面的情况对财务信息错报可能的影响。信息安全风险涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的风险,主要针对企业利用信息系统或一定的网络平台来存储、传输、披露相关财务信息而言。在审计过程中,审eta员应当主要关注相关财务信息被盗用、非法攻击或篡改及非法使用的可能性。当然,这两类风险并非完全分离的,评估时审计人员应将两者结合起来考虑。
(三)风险评估内容 广泛意义的风险评估是指考虑潜在事件对目标实现的影响程度。由于网络审计与历史财务报表审计风险评估的目的并不完全相同,因此两者在风险评估的内容上也是存在区别的。总的来说,网络审计的风险评估内容比历史财务报表审计的风险评估内容更广泛和深入。根据《中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风
险》,在历史财务报表审计中,审计人员的风险评估应以了解被审计单位及其环境为内容。为识别和评价重大错报风险,审计人员了解的具体内容包括被审计单位所在行业状况、法律环境与监管环境以及其他外部因素、被审计单位的性质、被审计单位对会计政策的选择和运用、被审计单位的目标、战略以及相关经营风险、被审计单位财务业绩的衡量和评价及被审it@位的内部控制等。在网络审计中。为了识别和评估上文所述的两类风险,审计人员除了从以上方面了解被审计单位及其环境外,还应该关注其他相关的潜在事件及其影响,尤其是企业的财务信息系统及基于网络的财务信息可能面l临的威胁或存在的脆弱点。其中,威胁是指对信息系统及财务信息构成潜在破坏的可能性因素或者事件,它可能是一些如工作人员缺乏责任心、专业技能不足或恶意篡改等人为因素,也可能是一些如灰尘、火灾或通讯线路故障等环境因素。脆弱点是指信息系统及基于网络的财务信息所存在的薄弱环节,它是系统或网络财务信息本身固有的,包括物理环境、组织、过程、人员、管理、配置、硬软件及信息等各方面的弱点。一般来说,脆弱点本身不会带来损失或信息错报,威胁却总是要利用网络、系统的弱点来成功地引起破坏。因此,我们认为网络审计申风险评估的内容应包括以下几方面:(1)识别被审计单位财务信息系统及其基于网络的财务信息可能面临的威胁,并分析威胁发生的可能性;(2)识别被审计单位财务信息系统及其基于网络的财务信息可能存在的脆弱点,并分析脆弱点的严重程度;(3)根据威胁发生的可能性和脆弱点发生的严重程度,判断风险发生的可能性;(4)根据风险发生的可能性,评价风险对财务信息系统和基于网络的财务信息可能带来的影响;(5)若被审计单位存在风险防范或化解措施,审计人员在进行风险评估时还应该考虑相应措施的可行性及有效性。
(四)风险评估程序《中国注册会计师审计准则第1211-----了解被审计单位及其环境并评估重大错报风险》中要求,审计人员应当实施询问、分析程序、观察和检查等程序,以获取被审计单位的信息,进而评估被审计单位的重大错报风险。这些程序同样适用于网络审计中的风险评估。但在具体运用时网络审计中更加注重了解和分析被审计单位与信息系统及网络技术使用相关的事项。在实施询问程序时,审计人员的询问对象围绕信息系统和基于网络的财务信息可大致分为管理人员、系统开发和维护人员(或信息编制人员)、系统使用人员(或信息的内部使用人员)、系统或网络技术顾问及其他外部相关人员(如律师)等五类,分别从不同角度了解信息系统和基于网络的财务信息可能存在的威胁和脆弱点。在实施分析程序时,除了研究财务数据及与财务信息相关的非财务数据可能的异常趋势外,审计人员应格外关注对信息系统及网络的特性情况,被审计单位对信息系统的使用情况等内容的分析比较。实施观察和检查时,除执行常规程序外,审计人员应注意观察信息系统的操作使用和检查信息系统文档。除此之外,针对特定系统或网络技术风险的评估,审计人员还需要实施一些特定的程序。技术方面如IOS取样分析、渗透测试、工具扫描、安全策略分析等;管理方面如风险问卷调查、风险顾问访谈、风险策略分析、文档审核等。其中,IDS取样分析是指通过在核心网络采样监听通信数据方式,获取网络中存在的攻击和蠕虫行为,并对通信流量进行分析;渗透测试是指在获取用户授权后,通过真实模拟黑客使用的工具、方法来进行实际漏洞发现和利用的安全测试方法;工具扫描是指通过评估工具软件或专用安全评估系统自动获取评估对象的脆弱性信息,包括主机扫描、网络扫描、数据库扫描等,用于分析系统、应用、网络设备存在的常见漏洞。风险问卷调查与风险顾问访谈要求审计人员分别采用问卷和面谈的方式向有关主体了解被审计单位的风险状况,使用时关键是要明确问卷或访谈的对象情况风险策略分析要求审计人员对企业所设定的风险管理和应对策略的有效性进行分析,进而评价企业相关风险发生的概率以及可能带来的损失;文档审核是一种事前评价方法,属于前置软件测试的一部分,主要包括需求文档测试和设计文档测试。这些特定程序主要是针对被审计单位信息系统和基于网络的财务信息在网络安全风险方面进行评价,审计人员在具体使用时应结合被审计单位的业务性质选择合适的程序。
三、网络审计与信息安全管理的风险评估比较
(一)风险评估的目的信息安全管理中的风险评估(即信息安全风险评估)是指根据国家有关信息安全技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程。作为信息安全保障体系建立过程中的重要的评价方法和决策机制,信息安全风险评估是企业管理的组成部分,它具有规划、组织、协调和控制等管理的基本特征,其主要目的在于从企业内部风险管理的角度,在系统分析和评估风险发生的可能性及带来的损失的基础上,提出有针对性的防护和整改措施,将企业面临或遭遇的风险控制在可接受水平,最大限度地保证组织的信息安全。而网络审计是由独立审计人员向企业提供的一项鉴证服务,其风险评估的目的在于识别和评价潜在事件对被审计单位基于网络的财务信息的合法性、公允性以及网络财务信息系统的合规性、可靠性和有效性的影响程度,从而指导进一步审计程序。因此,两者风险评估的目的是不一样。从评估所应关注的风险范围来看,两者具有一致性,即都需要考虑与信息系统和信息相关的风险。但是,具体的关注边界则是不一样的。信息安全风险评估要评估企业资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响,它要求评估人员关注与企业整个信息系统和所有的信息相关的风险,包括实体安全风险、数据安全风险、软件安全风险、运行安全风险等。网络审计中,审计人员是对被审计单位的网络财务信息系统和基于网络的财务信息发表意见,因此,风险评估时审计人员主要关注的是与企业财务信息系统和基于网络的财务信息相关的风险,而不是与企业的整个信息系统和所有的信息相关的风险。根据评估实施者的不同,信息安全风险评估形式包括自评估和他评估。自评估是由组织自身对所拥有的信息系统进行的风险评估活动;他评估通常是由组织的上级主管机关或业务主管机关发起的,旨在依据已经颁布的法规或标准进行的具有强制意味的检查。自评估和他评估都可以通过风险评估服务机构进行咨询、服务、培训以及风险评估有关工具的提供。因此。对审计人员而言,受托执行的信息安全风险评估应当归属于管理咨询类,即属于非鉴证业务,与网络审计严格区分开来。
(二)风险评估的内容在我国国家质量监督检验检疫总局的《信息安全风险评估指南》(征求意见稿)国家标准中,它将信息安全风险评估的内容分为两部分:基本要素和相关属性,提出信息安全风险评估应围绕其基本要素展开,并充分考虑与这些基本要素相关的其他属性。其中,风险评估的基本要素包括资产、脆弱性、威胁、风险和安全措施;相关属性包括业务战略、资产价值、安全需求、安全事件、残余风险等。在此基础上的风险计算过程是:(1)对信息资产进行识别,并对资产赋值;(2)对威胁进行分析,并对威
胁发生的可能性赋值;(3)识别信息资产的脆弱性,并对弱点的严重程度赋值;(4)根据威胁和脆弱性计算安全事件发生的可能性;(5)根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失;(6)根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即风险值。结合上文网络审计风险评估五个方面的内容可以看出,网络审计和信息安全风险评估在内容上有相近之处,即都需要针对信息系统和信息可能面临的威胁和存在的脆弱点进行识别。但是,信息安全管理作为企业的一项内部管理,其风险评估工作需要从两个层次展开:一是评估风险发生的可能性及其影响;二是提出防护或整改措施以控制风险。第一个层次的工作实质上是为第二层次工作服务的,其重点在第二层次。《信息安全风险评估指南》(征求意见稿)提出,企业在确定出风险水平后,应对不可接受的风险选择适当的处理方式及控制措施,并形成风险处理计划。其中,风险处理的方式包括回避风险、降低风险、转移风险、接受风险,而控制措施的选择应兼顾管理和技术,考虑企业发展战略、企业文化、人员素质,并特别关注成本与风险的平衡。网络审计的风险评估工作主要集中在第一个层次,即审计人员通过风险评估,为进一步审计中做出合理的职业判断、有效地实施网络审计程序和实现网络审计目标提供重要基础。因此,两者的评估内容是存在区别的。
风险研究最早运用于项目工程管理领域,在其发展过程中主要应用于管理学、金融学、心理学等学科的研究中。
(一)风险管理理论
风险管理理论始于20世纪30年代,至20世纪60年代中期逐步发展成为一门学科。“1963年梅尔和赫奇斯的《企业的风险管理》、1964年威廉姆斯和汉斯的《风险管理与保险》出版,标志着风险管理理论正式登上了历史的舞台。”[1]风险管理理论经历了从传统风险管理理论到金融风险管理理论再到全面风险管理理论的不同时期。传统风险管理理论主要对风险管理的对象进行界定和区分,将纯粹意义上的风险作为研究对象,也就是将不利风险纳入企业风险管理的重要范畴。企业风险管理的主要任务是减少不利风险的发生,降低不利风险对企业的可能损害。管理的基本手段是采用保险的方式转移和减少风险所带来的损失。20世纪60年代末至70年代初,一些学者对市政管理中的风险问题进行研究。托德(Todd,1969)和沃恩(Vaughan,1971)通过对美国九个州市政管理现状的调查研究,提出市政官员应加强市政风险管理的主张。风险管理理论逐步与管理学、经济学等学科融合与发展,风险管理研究对象逐步拓展,不再局限于传统风险管理理论对纯粹风险的管控,金融风险管理兴起。金融风险管理不仅是为了克服纯粹风险,更不是仅仅利用保险的方式转移风险,而是注重保险的收益功能。金融风险管理标志着风险管理理论向纵深度发展。20世纪80年代,接踵而至的金融危机推动了风险管理理论的蓬勃发展,迫使金融界进一步思考风险管理问题,全面风险管理时代来临。全面风险管理主张从系统的角度对所有风险集合整体上加以管理和控制。全面风险管理理论已经成为企业决策和金融业决策的重要指导,作为一种系统和科学的管理模式被广泛应用。
(二)风险社会研究的兴起与发展
20世纪以来,特别是20世纪后半期,人类社会在经济领域、社会领域取得非凡成就,但也潜藏着各种危机,生态环境急剧恶化,经济危机和金融风险频繁发生,社会贫富分化现象日趋严峻;与此同时,化学污染、核威胁、各种电磁辐射、转基因产品危害等现代性的负效应正威胁人类,使社会面临严重风险。出于对工业社会和现代性的反思,1986年德国学者乌尔里希•贝克(UlrichBeck)在其德文版著作《风险社会》中,首次提出“风险社会”的概念。但是在当时风险社会理论并未引起过多关注,直至1992年其英文版著作《风险社会》出版,风险社会理念才备受瞩目。伴随着对风险社会形成原因的不断追问,贝克进一步指出工业社会所面临的风险与以往社会所面临的风险存在区别,如果将人类社会早期所发生的自然灾害、社会危机归结为自然规律所导致的,那么工业社会发生的危机则与人类社会的重大决策紧密相关。贝克认为:“工业化以前人类社会所遭遇的各种自然灾害与工业化以后人类社会所面临的各种风险大不一样。”[2]安东尼•吉登斯则从人类社会历史发展的角度,对社会发展的现代性、社会发展的全球化趋势与社会风险关系进行探讨,提出全球风险社会理论。吉登斯认为,人类社会面临的风险,如果是来自自然界的外在风险,那么是自然风险;如果是由人类社会内部对自然的改造和控制等“人力制造出来的风险”,那么是“人造风险”。人造风险与人类工业化发展、对社会现代性的追求相伴生。吉登斯对风险社会的研究系统而深入,对由现代性引发的社会风险类型进行了阐释,认为现代性蕴含着经济增长、生态环境破坏、极权主义、军事冲突、核危机等社会风险。从风险管理理论和风险社会研究可以看出,风险并不必然伴随科技发展和社会进步而消失或减少;相反,可能由于人类的某种选择和决策的失误而被强化。因此,从全球的视野来分析社会风险,反思人类社会的管理与决策,加强决策与管理的科学性,有助于探寻社会风险的化解方法。
二、欧美重大事件风险管理的实践经验
近年来,欧美发达国家的社会发展水平逐步提高,社会发展能力被彰显出来。与此同时,社会面临的风险与不确定因素也越来越多,风险转化成危害,严重威胁着社会稳定与持续发展。为此,欧美等发达国家和地区积极强化风险社会管理手段与方法。其依靠重大事件的科学决策有效化解风险、促进社会稳定的经验,值得中国借鉴。
(一)美国环境风险管理制度
美国一直以来重视环境保护,20世纪80年代以来,更是将环境管理问题上升到与国家安全、国家利益、社会稳定同等重要的高度。美国政府十分重视环境管理,对于环境管理中存在的风险进行有效控制。美国对于环境管理及风险防控的基本做法主要体现在:一是高度重视环境保护问题,将其确定为与国家安全、国家利益紧密相关的重大事件。1977年,美国学者莱斯特•布朗(LesterBrown)在其研究报告《重新定义国家的安全》中,首次提出将环境问题与国家安全问题紧密相连。布朗的观点引起广泛关注,关于环境安全的研究逐步增多。1987年里根政府的《国家安全报告》明确指出,自然资源的损耗与污染成为国家繁荣和国家安全的潜在威胁与风险,环境安全、环境管理被列入涉及国家安全、国家利益的重要领域,成为政府决策管理的重要范畴。二是进行深入系统的环境风险评价科学研究,为环境决策提供理论基础和技术路线。美国是较早开展环境风险评价研究的国家,20世纪70年代至80年代初,环境风险评价开始萌芽,但关于风险评价的内涵尚不清晰。20世纪80年代以来,风险评价的框架基本形成。美国国家科学院提出环境风险评价包含危害鉴别、剂量—效应关系评价、暴露评价和风险表征四个阶段[3]。20世纪80年代后期,环境风险评价运用于决策的相关研究逐步增加,特别是比较风险评价理论的提出与发展,大大推动了美国环境决策发展。艾扎斯(Ijjasz)和特雷耶(Tlayie)认为,“在宏观上,比较风险评价是在掌握大量正确数据的基础上对决策中的风险进行排序比较,并以风险的大小作为决策方案的选择依据,从而形成一个包含有科学家、决策者与利益相关者的开放、公平的相互交流的环境。”[4]三是建立生态风险评价的政策依据,为风险评价提供行动指南。“1998年美国国家环保局正式颁布了《生态风险评价指南》,提出生态评价三步法:问题形成、分析和风险表征,同时要求在正式的科学评价之前,首先制定一个总体规划,以明确评价目的。”[5]这也是世界上最早的生态风险评价方面的指导文件。美国国家环境保护局将比较风险评价应用于环境决策,确定了将当前环境决策未解决的问题具体化、在对数据分析的基础上提出新的决策方案、决策者依据环境因素与潜在风险等因素对方案进行评估、方案选择决策确定、校验决策等基本环节。四是建立完备的风险管理与环境应急机制。对于环境存在的风险及可能发生的突发事件,美国建立比较完善的环境风险管理与应急机制。环境风险管理与应急机制主要包括环境风险的宣传与教育机制、风险预测预警机制、风险管理机制,针对潜在的环境风险进行识别、宣传与防范,为降低风险和科学决策提供保障。
(二)欧盟食品风险评估制度
自20世纪60年代开始,为确保食品安全,促进食品在成员国自由流通,欧盟就制定了食品安全政策。目前欧盟已建立相对完备的食品安全风险评估制度体系,能够有效防控食品安全危机。一是构建食品安全风险评估的法律框架,为风险评估工作提供法律依据。欧盟委员会分别于1997年和2000年《食品安全绿皮书》、《食品安全白皮书》,明确了食品安全管理的总体思路,特别是提出了食品安全风险评估的重要性,提出成立欧盟食品安监局作为食品安全风险评估的实施机构,初步奠定了开展食品安全风险评估的制度基础。2002年颁布了EC178/2002条例,明确提出食品安全法应建立在风险评估的基础上,明确提出成立食品安全局(EFSA)进行食品安全风险评估的相关工作。二是建立食品安全的快速预警系统。欧盟在食品安全法的框架下,建立了食品与饮料快速预警系统(RASFF)[6]。根据危急程度不同,预警系统分为预警通报和信息通报两大类。当食品安全出现问题,可能危及人类健康时,成员国可以借助预警系统互通消息,从而减少风险。三是成立专门的食品安全风险评估组织机构,以保证评估工作的科学性与独立性。欧盟食品安全局作为食品安全风险评估和风险交流的专门机构,开展相对独立、科学、公开、透明的风险评估工作。食品安全局组织机构完备,下设管理委员会、执行主任和成员、咨询论坛、科学委员会和科学小组[7]。管理委员会主要负责下年度工作计划和上年度工作总结报告等职责。执行主任公开招聘产生,主要负责日常管理工作。咨询论坛协助执行主任开展工作,负责与各成员国主管机构合作,加强信息交流,充分了解和把握潜在的风险。科学委员会和科学小组负责为决策提供科学建议。科学小组由食品安全领域专家组成,可以组织听证会,加强与公众交流,搜集公众意见。科学委员会则由各小组的主席以及来自科学小组以外的六名专家组成,开展全面协调工作,确保科学建议的准确性与一致性。欧盟食品安全局自动发起或者是应欧盟委员会或其成员国的科学建议请求,必须在规定期限内为欧盟成员国和欧盟委员会提供科学技术支持,尽可能地搜集决策相关信息,在对其进行风险评估的基础上,将评估结果、风险信息等因素一并提供给欧盟委员会及其成员国。
(三)英国国家安全风险评估与城市风险评估体系
英国建立了相对完善的国家安全风险评估和城市安全风险评估机制,能够对国家层面和城市中可能发生的危害国家和社会安全的风险进行有效的防范与控制。英国建立了完备的国家安全风险评估与预测机制,建构了《国家安全风险评估》、《国家安全任务与指导方针》等风险评估与风险应对的防范政策体系。国家安全委员会在广泛了解和分析潜在的国家安全风险的基础上,根据相关的可能性及其影响,促进和协助政府联合其他部门共同面对和化解风险。以英国伦敦为例,其“一案三制”意义上的城市风险管理机制十分完备,堪称城市风险管理的典范,可以为区域内重大事件决策的风险防范提供参考。通常情况下,风险管理分为风险评估与防范、风险控制、风险处置与恢复等环节。在伦敦的城市风险管理中,风险评估程序非常完善。伦敦城市风险评估的基本经验主要体现在以下三个方面:一是依法确立风险评估主体。英国2005年4月正式实施的《国内应急法》明确规定各级政府是风险评估的责任主体,在风险评估与应急规划中担负重要责任。二是建立风险评估的协调机构。美国“9•11”恐怖袭击事件发生以后,伦敦出于对危机事件有效防范的考量,着手建立跨区域、跨部门的风险评估协调机构。伦敦区域应急论坛下设伦敦应急团队,每个论坛的主要职责是对区域内的风险进行识别与评估,使伦敦能有效应对危机事件。三是完善风险评估的基本流程系统。伦敦的城市风险评估工作流程主要分为“选择风险事项、挑选评估者、风险分析、风险评价、风险应对、监控与审查等六大步骤”[8]。选择风险事项阶段,主要由风险评估工作组和各应急论坛的组成部门协同合作,确定风险事项,识别重要的利益相关者,结合区域环境因素确定风险评估的原则与标准。挑选评估者阶段,主要是确定风险评估者及地方应急论坛相关人员在工作中的分工与职责,确定主任评审员的人选,为后续工作奠定组织基础。风险评价阶段,主要由主任评审员负责,对未来五年内可能发生的风险进行分析与建议。风险分析阶段,主要是由主任评审员对风险进行预测、分析,并提出相对详尽的风险分析报告。风险应对、监督与评审已经成为制度化、稳定化的工作,地方应急论坛每四年就要对所有风险提出正式的评审报告。
三、国外经验对我国重大决策社会稳定风险评估的启示
国外关于风险研究的理论与重大事件风险管理的实践都取得了长足进展,而我国重大事件社会稳定风险评估工作尚处于起步阶段,还存在诸多需要完善之处。汲取欧美发达国家重大事件风险管理的有益经验,建立健全我国重大决策社会稳定风险评估机制。
(一)加强重大决策社会稳定风险评估的理论研究
中国重大决策社会稳定风险评估工作已经进入实践阶段,实践中形成了四川“遂宁模式”和江苏的“淮安模式”,但是中国关于重大决策社会稳定风险评估的理论研究还十分匮乏。分析美国环境风险管理的成功经验,美国国家科学院等环境保护的科研机构及专家学者关于环境风险的相关理论研究为政府决策提供了有效的理论依据和方法指引,对保障决策科学性和化解决策风险起到重要作用。中国学者关于风险社会理论的研究集中于风险社会意识形成和风险社会危害等研究领域。这些研究虽然奠定了重大决策社会稳定风险分析的理论基础,能够为风险评估提供理论支撑,但是结合中国社会转型期社会稳定风险的分析不够深入,对于重大决策可能引起的风险认识还不够清晰。中国对于重大决策社会稳定风险评估价值的探讨较多,但是对于如何推进实践的可操作性研究明显不足。风险评估作为一种技术已经在国内外政治社会生活中广泛应用,在国家、部门,特别是企业管理中广泛应用,但是目前中国在重大决策中应用较少,学者提供了风险评估的框架体系,但是缺少细节设计,还有待于对重大决策风险评估的技术方法和实践机制等领域进行深入系统的理论研究。
(二)增强重大决策社会稳定风险评估意识
目前,从中国相关政府部门到社会公众,整体上风险意识淡薄,对于风险管理认识不深入、不够重视,特别是对于重大事件决策与社会稳定风险之间的相关性认识不清,缺乏管控风险的意识。因此,强化对重大决策社会稳定风险评估的意识,为各级政府决策提供软环境。发达国家的风险意识十分强烈,美国20世纪80年代就将环境保护问题上升到与国家安全、国家利益息息相关的重大事件进行管理,对重大事件风险评估与决策十分重视。英国对于国家未来可能发生的重大风险进行识别与防控,也是缘于其高度的风险意识。
(三)完善重大决策社会稳定风险评估的法律制度
欧盟在食品安全管理中,有关食品风险评估的法律制度提前建立起来,为食品风险评估提供法律保障。英国国家安全以及城市风险管理的相关法律制度较早地完备起来,为风险评估工作奠定了制度基础,使风险评估可以按照法律和制度要求系统化、经常化、稳定化地开展。中国对于重大决策风险评估的法律依据尚不充分,所以需要建立健全重大决策风险评估的相关法律政策,为开展重大决策风险评估提供政策依据,保障风险评估工作有序进行。
(四)建立健全重大决策社会稳定风险评估的管理机制
【关键词】 雷电灾害 风险评估 标准 防雷
1 引言
从标准角度看,目前国内外有多个关于雷电灾害风险评估的标准,本文主要就雷电灾害风险评估的各种标准进行对比,并分析其优缺点。
2 雷电灾害风险评估的标准介绍
我国各个省市所应用风险评估的方法和规范并不相同,例如江苏省评估工作基于IEC62305和GB21714,重庆、西安则基于QX/T85-2007,但总体来说,有关雷电灾害风险评估的标准主要有以下几种:(1)《气象信息系统雷击电磁脉冲防护规范》(QX3-2000),适用范围是由雷击电磁脉冲(LEMP)对气象信息系统造成损失的风险的评估,所用的方法基于早期国外防雷标准中的因子分析法,评估的重点是确定年平均直击雷次数和年平均允许雷击次数;(2)《通信局站雷电损坏危险的评估》(ITU-T K.39),适用于通信局站雷电过电压(过电流)造成的设备危害和人员安全危害的风险的评估;(3)《建筑物电子信息体统防雷技术规范》(GB 50343―2004),按建筑物电子信息系统所处环境进行雷电灾害风险评估,确定雷电防护等级;(4)《雷击损害风险评估》(IEC6166),主要阐述了建筑物与服务设施的分类、雷灾风险、防护措施的选择过程以及建筑物与服务设施防护的基本标准等问题;(5)《雷电防护》(IEC 62305),共分5个部分,IEC 62305-1清楚地说明了在防雷电保护结构中遵循的一般原则;IEC 62305-2表述了保护的需要、安装保护措施的经济利益和适当的保护措施的选择程序,以及风险管理的方法;IEC 62305-3涉及减少对建筑物的物理损害和威胁生命安全的方法;IEC 62305-4阐述了减少建筑物内电器和电子系统故障的方法;IEC 62305-5涉及减少与建筑物有关的服务(主要是电力和电信)的物理损害和出现故障的方法;(6)《雷电灾害风险评估技术规范》(QX/T85―2007),此规范将雷电灾害风险评估分为预评估、方案评估与现状评估,主要包括大气雷电环境评价、雷击损害风险评估、雷电灾害易损性评估、雷电灾害环境影响评价等内容。
3 雷电灾害风险评估方法
目前,雷电灾害风险评估的方法大致有两种,一种是定性评估,一种是定量评估。GB50057-2010中规定建筑物应根据其重要性、使用性、发生雷电事故的可能性和后果,按防雷要求分为三类,这属于定性评估。而IEC62305-2以及由此衍生出的GB/T21714、 QX/T85-2007则通过对损失量的影响因子的选择,然后进行计算,得出雷击风险的各种损失的数值,这属于定量评估。
综合来看,我国的雷电灾害风险评估采用了定性与定量相结的方法,有的地方用定性,有的地方用定量,还没有统一。在该方法的基础上,结合中国国情,在个别参数的选取上细化或有少许变动。
4 雷电灾害风险评估标准的分析
4.1 评估标准的局限性
任何方法都是有其适用的范围的,同样,评估中经常用到的标准也是有其适用范围的,下面对常用的雷电灾害风险评估标准的范围进行简单的分析:
IEC62305-1适用于建筑物包括其中的装备和设备,也包括人身以及进入建筑物的公共设施。不适用于铁路设施,车辆、船只、飞行器、海岸设施以及地下高压管道。
IEC62305-2适用于由雷击导致的建筑物内或公共设施内的风险评估。
GB/T21714.2适用于建筑物和服务设施的雷击风险评估。
QX/T85-2007适用于新建、改建、扩建项目的雷电灾害风险评估。
以上三个规范,均不适用于铁路设施,车辆、船只、飞行器、海岸设施以及地下高压管道。因此,当评估对象出现特殊化时,雷击风险评估需要加入新的技术标准。
4.2 评估标准的比较
4.2.1 评估标准的相似性
(1)各评估标准都把重点放在雷电灾害损害次数这个参数上,而决定损害次数的子参数的选取大多以经验为主。
(2)各评估标准都需要计算出实际损害次数(实际风险)和允许损害次数(允许风险),然后给出风险级别并提供适当的防护措施。
(3)各评估标准在处理雷电灾害损失和雷电灾害风险时,都使用相对值,且大部分参数都以表格等形式给出一定的典型值,取值不连续而且很难达到比较高的精度。
(4)各评估标准都要求精确得到评估对象(建筑物或服务设施)的雷击有效面积,乘上当地的雷击密度而计算其可能雷击次数,然后需要求得允许雷灾水平(可承受雷灾水平)。
4.2.2 评估标准的区别
虽然个标准之间有一定的相似性,但同时也存在着许多区别:(1)从评估结果考虑,通过对各个标准之间做比较,可以发现ITU-T k.39和IEC61662都是以公式R=N×P×δ基本计算公式,两个标准都考虑了人身损失和财产损失等,都是通过计算防雷装置的拦截效率E来最终确定评估对象的雷电防护必要性和防护等级(防护级别)。而IEC62305、GB/T21714.2和QX/T85-2007都是以公式Rx=Nx×Px×Lx基本公式,三个标准都考率了人身伤亡损失风险、公众服务损失风险、文化遗产损失风险及经济损失风险,都是通过确定风险分量并计算风险分量值,将其分量值与其分量最大允许值相比较最终确定该建筑物是否在风险允许范围内
(2)IEC61662、IEC62305标准包括尤其衍生出来的GB/T21714.2和QX/T85-2007是最复杂、准确度及可信度最高的,也是我国目前气象行业开展雷击灾害风险评估的主要技术规范,综合了建筑物所在区域预计年遭受雷击次数N、在建筑物区域内遭受到雷击后可能发生雷电灾害损失的概率P及建筑物在遭受雷击后可能发生的后果及损失程度L三个因素,而每个因素的计算都是通过一系列的相关限制因子来确定的。但是GB/T21714.2里面的分量、因子、概率、损失率等数据是德国人根据欧洲的雷电特性、雷电环境、年平均雷暴日、土壤电阻率等统计、计算出的,适合欧洲情况。而中国在雷电特性、雷电环境、年平均雷暴日、土壤电阻率等各方面是截然不同的。因此,还需要将GB/T21714.2的分量、因子、概率、损失率等统计、计算出适合中国国情的数据(3)QX3-2000与GB50343―2004标准的评估重点是确定年平均允许雷击次数Nc,但其所采用的公式不同,QX3-2000计算Nc的公式为Nc=5.8*10-3/C或Nc=5.8*10-4/C,其中C=C1+C2+C3+C4+C5,因此其评估精度主要取决于建筑材料因子、信息系统重要程度因子、设备耐冲击类型因子、设备的LPZ因子和雷击后果因子。而GB50343―2004计算Nc的公式为Nc=5.8*10-1.5/C,其中C=C1+C2+C3+C4+C5+C6,C1~C5同QX3-2000中规定的,C6为区域雷暴等级因子。两种标准虽然计算公式类似,但所用的指数不同,同时GB50343―2004也比QX3-2000多了一个因子(4)QX3-2000和GB50343―2004与IEC61662标准在计算雷击大地的平局密度Ng的计算公式上也是不同的,QX3-2000和GB50343―2004计算Ng的公式为Ng=0.024Td1.3,而IEC61662中为Ng=0.04Td1.25(5)ITU-Tk.39标准的评估重点是确定雷电损害次数F,F=Fd +Fn +Fs+Fa,其中Fd=Ng*Ad*Pd,Fn=Ng*An*Pn,Fs =Ng*As*Ps,Fa=Ng*Aa*Pa,一般情况下以Fs为主;而面积Ad,An,As和Aa,在评估时要注意各类面积可能重叠,概率因子P的确定方法基本上来自于经验,其大小与设备自身性质和特定的保护措施有关。
由以上分析可以看出,这些常用雷电灾害风险评估标准中包含了三个评估评估重点,即确定雷击风险R,确定年平均雷击次数Nc以及确定雷电损害次数F,并且各标准所采用的公式及所需因子等也不尽相同,采用的方法也不相同,但各有其优缺点,应当根据评估对象的特点进行选取。
5 结语
通过对雷电灾害风险评估常用标准的分析,各标准都对雷击损害风险评估的方法、流程及各因子的选取等方面进行了详细的介绍,但是对大气雷电环境的评价都是简单介绍,而进行大气雷电环境评价的基础是拥有数量足够、信息可靠的闪电资料,对目标地点周边一定距离内雷电环境分析,区别于以往一贯的基于雷暴日进行大气雷电环境分析的粗略计算;即使是同一地区相距较近的两地,也有可能得到不同的雷电环境分析结论。
参考文献:
[1]QX3-2000气象信息系统雷击电磁脉冲防护规范.
[2]ITU-T K.39《通信局站雷电损坏危险的评估》.
[3]GB 50343―2004《建筑物电子信息体统防雷技术规范》.
[4]IEC6166《雷击损害风险评估》.
[5]IEC 62305《雷电防护》.
[6]QX/T85―2007《雷电灾害风险评估技术规范》.
[7]GB/T21714.2-2008《雷电防护 第2部分 风险管理》.
[8]钟万强,肖稳安.建筑物雷电灾害风险评估的标准、体系和方法,http://qxbzjk.cma,/servlet/News?Node=15611.
一、传统风险导向审计模型
传统风险导向审计也称为控制风险导向审计,是指审计人员在审计过程中将风险分析、评价与控制融入传统审计方法之中,进而获取审计证据,形成审计结论的一种审计取证模式。
模型(审计风险=固有风险×控制风险×检查风险)可以解决交易类别、账户余额、披露和其他具体认定层次的错报,发现经济交易和事项本身的性质和复杂程度发生的错报,发现企业管理当局由于本身的认知和技术水平造成的错报,以及企业管理当局局部和个别人员舞弊和造假造成的错报,从而将审计风险控制在比较满意的水平。
二、现代风险导向审计模型
风险导向审计也称为经营风险导向审计,是指以被审计单位的战略经营风险为导向,通过“战略分析――流程分析――经营业绩评价――财务报表剩余风险分析”的基本思路,将会计报表重大错报风险和经营风险联系起来,从而提出了审计师从源头分析和发现会计报表错报的观念。
2003年10月国际审计和保证准则委员会(IAASB)了国际审计准则第315号(ISA315): “了解被审计单位及其环境并评估重大错报风险”,将传统风险导向审计下的审计风险模型修改为:审计风险=重大错报风险×检查风险,明确规定了审计工作以评估财务报表重大错报风险作为新的起点和导向。
三、两个模型的比较
传统风险导向审计模式与现代风险导向审计模式的本质区别在于审计理念和审计技术方法的不同,后者是对前者的改进,其主要区别如下:
(一)审计起点不同。传统风险导向审计方法通过综合评估固有风险和控制风险以确定实质性测试的范围、时间和程序,由于固有风险难以评估,审计的起点往往为企业的内部控制。
现代风险导向审计方法通过综合评估经营控制风险以确定实质性测试的范围、时间和程序,其审计起点为企业的战略系统及其业务流程。假如企业的业务流程不重要或风险控制很有效,则将实质性测试集中在例外事项上。这种新模式的优点是将审计的重心前移到风险评估,这将有利于充分识别和评估会计报表重大错报的风险,因此主要针对风险设计、实施控制测试和实质性测试程序。此外,注册会计师轻易全面把握企业可能存在的重大风险,有利于节省审计成本,克服因缺乏全面性观点而导致的审计风险。
(二)风险评估识别以分析性复核程序为中心。现代风险导向审计注重运用分析性复核程序,以识别可能存在的重大错报风险;而传统风险导向审计对于信息的再加工程度不高,分析性程序主要用在报表分析上。分析性复核程序已成为现代风险审计方法最重要的程序,为适应分析性程序功能扩大的要求,分析性程序开始走向多样化:在数据分析上,不但对财务数据进行分析,也要对非财务数据进行分析;在分析工具上,借鉴现代治理方法,把战略分析、绩效分析、财务分析以及前景分析等分析工具运用到风险评估之中,使风险因素不再唯一,变一元风险评估为多元风险评估,使得出的风险评估结果更加可靠。
(三)风险评估方式由直接评估转变为间接评估。传统风险导向审计的风险评估是一种直接的方式,即直接评估重大错报的概率。现代风险导向审计模式是从经营风险评估入手,间接地对审计风险进行评估,因为经营风险越高,审计风险也越大,也就是治理舞弊的可能性越大;并且从经营风险中能更有效地发现财务报表潜在的重大错报,因为财务报表是经营的反映,假如经营风险未能在报表中得到体现,则财务报表很可能失真。此外,会计政策、会计估计的合理性评估也只有从经营风险入手,才能进行正确的评估。
(四)审计程序实施具有个性化。传统风险导向审计模式的审计程序是标准化形式,对不同的被审计单位都使用标准相同的审计程序,其缺陷是没有充分贯彻风险导向审计思想,使注册会计师无法突破客户预先设置或防范的措施,难以做出正确的审计结论。现代风险导向审计方法要求注册会计师将评估及识别的审计风险与实施的审计程序相结合,针对不同客户以及客户不同的风险领域实施个性化的审计程序。
(五)审计证据的内涵扩大。在现代风险导向审计方式下,审计重心向风险评估转移,审计证据也由内部向外部转移。因此,注册会计师必须充分了解企业整体经营环境,由此评估客户的经营及审计风险,同时必须从外部取得大量的外部证据来证实风险评估的恰当性。风险导向审计模式下,注册会计师形成审计结论所依据的审计证据不仅包括实施控制测试和实质性测试获取的证据,还包括了解企业及其环境获取的证据。
(六)扩充了内部控制要素。传统风险导向审计方法下的内部控制是指被审计单位为了保证业务活动的有效进行,保护资产的安全和完整,发现、纠正错误与防止舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。内部控制要素包括控制环境、会计系统和控制程序。现代风险导向审计方法下的内部控制是指被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵循,由治理当局和其他人员设计和执行的政策和程序。内部控制的三要素扩充为五要素,即控制环境、被审计单位的风险评估过程、与财务报告相关的信息系统和沟通、控制活动和对控制的监督。
(七)对注册会计师的专业知识提出了更高要求。现代风险导向审计下审计结果主要依靠风险评估,要求把握现代治理知识和行业知识(包括市场、研发、生产等方面),这对注册会计师提出了更高的要求。注册会计师应该是复合型人才,不但要把握一般常用分析工具,还要接受现代治理知识和行业专业知识培训。
