序論:在您撰寫風(fēng)險(xiǎn)評估與管理時(shí)��,參考他人的優(yōu)秀作品可以開闊視野��,小編為您整理的7篇范文����,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導(dǎo)您走向新的創(chuàng)作高度����。
第1篇
關(guān)鍵詞:注冊會計(jì)師 風(fēng)險(xiǎn)評估 風(fēng)險(xiǎn)管理 內(nèi)部控制
一、引言
2010年美國公眾公司會計(jì)監(jiān)督委員會(Public Company Accounting Oversight Board����,PCAOB)通過了新的審計(jì)準(zhǔn)則(審計(jì)準(zhǔn)則第8號至第15號),以規(guī)范審計(jì)師對審計(jì)風(fēng)險(xiǎn)的評估和反應(yīng)�����。目的是監(jiān)督公眾公司的審計(jì)師編制信息量大���、公允和獨(dú)立的審計(jì)報(bào)告����,以保護(hù)投資者利益并增進(jìn)公眾利益��。在PCAOB此次行動之前����,不斷有人發(fā)出強(qiáng)烈的信息,讓審計(jì)職業(yè)人員在風(fēng)險(xiǎn)管理中扮演更積極的角色�。而且PCAOB早在兩年前就已經(jīng)提出了實(shí)施具體風(fēng)險(xiǎn)評估準(zhǔn)則的信息���,這些準(zhǔn)則旨在解決從最初計(jì)劃到結(jié)果評估的審計(jì)過程問題。這些新準(zhǔn)則是在審計(jì)促進(jìn)成熟風(fēng)險(xiǎn)評估中非常重要的一步��,可以把審計(jì)師未能發(fā)現(xiàn)的重大錯報(bào)事故風(fēng)險(xiǎn)降到最小�。PCAOB執(zhí)行主席丹尼爾?格爾澤爾說一旦這些標(biāo)準(zhǔn)被采用,在審計(jì)財(cái)務(wù)申明中發(fā)現(xiàn)���,適當(dāng)計(jì)劃以及實(shí)施審計(jì)以解決這些風(fēng)險(xiǎn)問題以增強(qiáng)投資者的信息是非常重要的��。這些審計(jì)標(biāo)準(zhǔn)包括:審計(jì)風(fēng)險(xiǎn)��、審計(jì)計(jì)劃�����、審計(jì)參與監(jiān)督���、計(jì)劃執(zhí)行審計(jì)中的思考、重大錯報(bào)事故的確認(rèn)與評估���、審計(jì)師對重大錯報(bào)事故的回應(yīng)��、評估審計(jì)結(jié)果以及審計(jì)證據(jù)���。它們貫穿了從初始計(jì)劃階段到審計(jì)結(jié)果評估的整個(gè)審計(jì)流程�。PCAOB主席丹尼爾?高澤(DanielL��,Goelzer)說:這些新準(zhǔn)則的出臺意味著在促進(jìn)精密的審計(jì)風(fēng)險(xiǎn)評估與將審計(jì)人員未能發(fā)現(xiàn)重大誤報(bào)的風(fēng)險(xiǎn)降至最低方面邁出了重要一步����。識別風(fēng)險(xiǎn)����,并通過正確地審計(jì)計(jì)劃和開展審計(jì)活動來應(yīng)對風(fēng)險(xiǎn),對于提升投資者對經(jīng)審計(jì)財(cái)務(wù)報(bào)表的信心是至關(guān)重要的��。
二��、風(fēng)險(xiǎn)評估�、企業(yè)風(fēng)險(xiǎn)管理與審計(jì)風(fēng)險(xiǎn)
(一)注冊會計(jì)師風(fēng)險(xiǎn)評估 風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的核心是審計(jì)風(fēng)險(xiǎn),任何審計(jì)業(yè)務(wù)都必須將審計(jì)風(fēng)險(xiǎn)控制在可接受的風(fēng)險(xiǎn)水平內(nèi)���。因此風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)要求注冊會計(jì)師加強(qiáng)對被審計(jì)單位及其環(huán)境的了解�����,在審計(jì)的所有階段都要實(shí)施風(fēng)險(xiǎn)評估程序�,并將識別和的評估的風(fēng)險(xiǎn)與實(shí)施的審計(jì)程序掛鉤,而且要求針對重大的各類交易�����、賬戶余額和列報(bào)實(shí)施實(shí)質(zhì)性程序�,可以說風(fēng)險(xiǎn)評估程序是風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)模式落實(shí)到審計(jì)工作的核心環(huán)節(jié),風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)下審計(jì)風(fēng)險(xiǎn)模型如下:審計(jì)風(fēng)險(xiǎn)=重大錯報(bào)風(fēng)險(xiǎn)×檢查風(fēng)險(xiǎn)����。審計(jì)風(fēng)險(xiǎn)是指財(cái)務(wù)報(bào)表存在重大錯報(bào)而注冊會計(jì)師發(fā)表不恰當(dāng)審計(jì)意見的可能性。重大錯報(bào)風(fēng)險(xiǎn)是指財(cái)務(wù)報(bào)表在審計(jì)錢存在重大錯報(bào)的可能性��,檢查風(fēng)險(xiǎn)是指某一認(rèn)定存在錯報(bào)��,該錯報(bào)單獨(dú)或連同其他錯報(bào)是重大的�,但注冊會計(jì)師未能發(fā)現(xiàn)這種錯報(bào)的可能性。注冊會計(jì)師合理設(shè)計(jì)審計(jì)程序的性質(zhì)���、時(shí)間和范圍���,并有效執(zhí)行審計(jì)程序,以控制檢查風(fēng)險(xiǎn)����。注冊會計(jì)師采取以下方法展開審計(jì)工作:(1)注冊會計(jì)師應(yīng)當(dāng)針對財(cái)務(wù)報(bào)表層次的重大錯報(bào)風(fēng)險(xiǎn)置頂總體應(yīng)對措施��;(2)注冊會計(jì)師應(yīng)當(dāng)針對認(rèn)定層次的重大錯報(bào)風(fēng)險(xiǎn)設(shè)計(jì)和實(shí)施進(jìn)一步審計(jì)程序�,包括測試控制的執(zhí)行有效性以及實(shí)施實(shí)質(zhì)性程序�����;(3)注冊會計(jì)師應(yīng)當(dāng)評價(jià)風(fēng)險(xiǎn)評估的結(jié)果是否適當(dāng)�����,并確定是否已經(jīng)獲取充分���、適當(dāng)?shù)膶徲?jì)證據(jù);(4)注冊會計(jì)師應(yīng)當(dāng)將實(shí)施關(guān)鍵的程序形成審計(jì)工作記錄�。我們發(fā)現(xiàn),注冊會計(jì)師以針對評估的財(cái)務(wù)報(bào)表層次重大錯報(bào)風(fēng)險(xiǎn)為起點(diǎn)�����,確定總體應(yīng)對措施���,并有針對評估的認(rèn)定層次重大錯報(bào)風(fēng)險(xiǎn)設(shè)計(jì)和實(shí)施進(jìn)一步審計(jì)程序�,以將審計(jì)風(fēng)險(xiǎn)控制在可接受的低水平��。風(fēng)險(xiǎn)導(dǎo)向的核心是審計(jì)風(fēng)險(xiǎn),控制審計(jì)風(fēng)險(xiǎn)的關(guān)鍵是風(fēng)險(xiǎn)評估程序���,另一方面����,企業(yè)必須準(zhǔn)確地評價(jià)和有效地管理各項(xiàng)與企業(yè)成功息息相關(guān)的風(fēng)險(xiǎn)����。管理層不但需要準(zhǔn)確地了解各項(xiàng)業(yè)務(wù)風(fēng)險(xiǎn)以及不良控制的后果,并且能夠根據(jù)所確認(rèn)風(fēng)險(xiǎn)的殘余影響的輕重程度分配資源和關(guān)注程度���。所以注冊會計(jì)師的風(fēng)險(xiǎn)評估將有利于企業(yè)的風(fēng)險(xiǎn)管理���。
(二)企業(yè)的風(fēng)險(xiǎn)管理 每個(gè)企業(yè)在經(jīng)營中存在各種風(fēng)險(xiǎn),而我們這里討論的企業(yè)風(fēng)險(xiǎn)管理中的風(fēng)險(xiǎn)概念與金融市場的風(fēng)險(xiǎn)概念有所不同���,當(dāng)然金融風(fēng)險(xiǎn)也是企業(yè)(特別是金融類企業(yè))面臨的風(fēng)險(xiǎn)之一����,企業(yè)風(fēng)險(xiǎn)就是企業(yè)面臨的可能導(dǎo)致企業(yè)虧損的各種不確定性事件�����,降低企業(yè)的價(jià)值。所以風(fēng)險(xiǎn)管理需要做的就是盡量避免這種不確定性事件的發(fā)生�����,或者是降低不確定性事件發(fā)生后對企業(yè)造成的損失��。企業(yè)風(fēng)險(xiǎn)管理包括四個(gè)環(huán)節(jié):風(fēng)險(xiǎn)識別�、風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)應(yīng)對�����、風(fēng)險(xiǎn)監(jiān)察���。第一,風(fēng)險(xiǎn)識別是指盡力識別可能對企業(yè)取得成功產(chǎn)生影響的風(fēng)險(xiǎn)�����,包括整個(gè)業(yè)務(wù)面臨的較大的風(fēng)險(xiǎn)�,以及與每個(gè)項(xiàng)目或較小的業(yè)務(wù)單位關(guān)系的風(fēng)險(xiǎn),識別潛在風(fēng)險(xiǎn)可以認(rèn)識到企業(yè)面臨的各種風(fēng)險(xiǎn)類型����,而且風(fēng)險(xiǎn)識別程序應(yīng)該在企業(yè)內(nèi)的多個(gè)層級得以執(zhí)行���,這與注冊會計(jì)師的風(fēng)險(xiǎn)評估貫徹于整個(gè)審計(jì)過程一樣。第二�����,風(fēng)險(xiǎn)評估是在識別了各種風(fēng)險(xiǎn)后���,對風(fēng)險(xiǎn)的的性質(zhì)��、風(fēng)險(xiǎn)的類型����、風(fēng)險(xiǎn)的發(fā)生頻率等進(jìn)行評價(jià)�,這種評價(jià)最主要分為兩方面,一個(gè)是影響����,另一個(gè)是可能性,企業(yè)可能還會采用敏感性分析或者決策樹等方法對風(fēng)險(xiǎn)的性質(zhì)進(jìn)行全面的認(rèn)識���。這與注冊會計(jì)師的風(fēng)險(xiǎn)評估相似����,不過更加具體、全面���。第三�����,風(fēng)險(xiǎn)應(yīng)對是指對上述評估的風(fēng)險(xiǎn)采取相應(yīng)的措施�,以避免該風(fēng)險(xiǎn)對企業(yè)產(chǎn)生的損失��,風(fēng)險(xiǎn)應(yīng)對的策略包括風(fēng)險(xiǎn)降低(如分散投資�����,就是一種降低風(fēng)險(xiǎn)的措施)�����,風(fēng)險(xiǎn)消除(使得該風(fēng)險(xiǎn)事件發(fā)生的概率降低為零)�����,風(fēng)險(xiǎn)轉(zhuǎn)移(將風(fēng)險(xiǎn)的后果采用保險(xiǎn)����、合同等方式轉(zhuǎn)移出企業(yè)),風(fēng)險(xiǎn)保留(定期風(fēng)險(xiǎn)復(fù)核��、控制風(fēng)險(xiǎn)情境)��。第四��,風(fēng)險(xiǎn)監(jiān)察是指企業(yè)監(jiān)測目標(biāo)的實(shí)現(xiàn)過程��,關(guān)注新的風(fēng)險(xiǎn)和相關(guān)損失����,企業(yè)需要對風(fēng)險(xiǎn)進(jìn)行監(jiān)察,并在需要時(shí)不斷作出調(diào)整�。風(fēng)險(xiǎn)檢查者定期檢查正在發(fā)生的虧損,以了解他們的控制建議得以實(shí)施���,并設(shè)計(jì)過程來改善風(fēng)險(xiǎn)管理的過程�����,制定一項(xiàng)戰(zhàn)略來應(yīng)對出現(xiàn)的新風(fēng)險(xiǎn)�。
(三)風(fēng)險(xiǎn)評估與經(jīng)營風(fēng)險(xiǎn)���、審計(jì)風(fēng)險(xiǎn) 企業(yè)的風(fēng)險(xiǎn)識別是風(fēng)險(xiǎn)管理的第一步��,是指對企業(yè)面臨的�����,以及潛在的風(fēng)險(xiǎn)加以判斷�、歸類和鑒定風(fēng)險(xiǎn)性質(zhì)的過程。企業(yè)的風(fēng)險(xiǎn)一般可以分為兩類:系統(tǒng)風(fēng)險(xiǎn)和非系統(tǒng)風(fēng)險(xiǎn)����。系統(tǒng)風(fēng)險(xiǎn)是由公司之外的各種因素引起的,如戰(zhàn)爭����、經(jīng)濟(jì)衰退、通貨膨脹����、高利率等與政治、經(jīng)濟(jì)和社會相聯(lián)系的風(fēng)險(xiǎn)����,是不能通過多元化投資而分散的�,因此又稱作不可分散風(fēng)險(xiǎn)或市場風(fēng)險(xiǎn)�。非系統(tǒng)風(fēng)險(xiǎn)也被稱作可分散風(fēng)險(xiǎn)��,它是由公司本身的商業(yè)活動和財(cái)務(wù)活動帶來的�,如企業(yè)的管理水平、研究與開發(fā)��、消費(fèi)者需求的改變�、市場營銷風(fēng)險(xiǎn)以及法律訴訟等,其可以通過多元化投資組合而分散�����,是公司特有的風(fēng)險(xiǎn)��。而現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)將風(fēng)險(xiǎn)評估���、風(fēng)險(xiǎn)應(yīng)對與審計(jì)程序聯(lián)系起來�����,這就使得注冊會計(jì)師審計(jì)不僅僅是出具審計(jì)報(bào)告的鑒證業(yè)務(wù)����,也可以起到促進(jìn)企業(yè)風(fēng)險(xiǎn)管理的作用���,注冊會計(jì)師審計(jì)過程中必須進(jìn)行風(fēng)險(xiǎn)評估�����,風(fēng)險(xiǎn)評估的過程是為了能夠獲得盡可能準(zhǔn)確的財(cái)務(wù)報(bào)表重大錯報(bào)風(fēng)險(xiǎn)信息�,以控制審計(jì)風(fēng)險(xiǎn),企業(yè)風(fēng)險(xiǎn)管理的過程是為了控制企業(yè)經(jīng)營風(fēng)險(xiǎn)�����,從審計(jì)風(fēng)險(xiǎn)與企業(yè)經(jīng)營風(fēng)險(xiǎn)的關(guān)系�,我們發(fā)現(xiàn):其一,風(fēng)險(xiǎn)評估是指評估被審計(jì)單位風(fēng)險(xiǎn)�,評估的過程是企業(yè)風(fēng)險(xiǎn)管理中的一個(gè)環(huán)節(jié),所以在性質(zhì)上他們具有相似性�����。其二�,風(fēng)險(xiǎn)評估的程序包括:了
解被審計(jì)單位及其環(huán)境、了解被審計(jì)單位的內(nèi)部控制等�,而風(fēng)險(xiǎn)管理也需要進(jìn)行這些工作,方法包括:觀察���、檢查��、分析程序����,穿行測試等����。風(fēng)險(xiǎn)評估。其三����,風(fēng)險(xiǎn)評估的目的相同:對于注冊會計(jì)師而言,風(fēng)險(xiǎn)評估的目的是為了了解被評估的財(cái)務(wù)報(bào)表重大錯報(bào)風(fēng)險(xiǎn)�����,并且制定風(fēng)險(xiǎn)應(yīng)對措施�����,有效地實(shí)施審計(jì)程序�����;對于企業(yè)而言���,風(fēng)險(xiǎn)評估的目的是為了控制企業(yè)的風(fēng)險(xiǎn)點(diǎn)��,防止企業(yè)出現(xiàn)虧損的不利情況而實(shí)現(xiàn)企業(yè)價(jià)值增值����。風(fēng)險(xiǎn)評估使企業(yè)考慮潛在事項(xiàng)如何影響目標(biāo)的實(shí)現(xiàn)。管理當(dāng)局應(yīng)從兩個(gè)角度對事項(xiàng)進(jìn)行評估:可能性和嚴(yán)重程度��,并且通常采用定性和定量相結(jié)合的方法���。在不要求定量化的地方��,或者在定量評估所需的可靠數(shù)據(jù)無法取得或獲取和分析數(shù)據(jù)不具有成本效益時(shí)�����,管理者通常采用定性評估技術(shù)�。定量技術(shù)精確度更高���,通常應(yīng)用在更加復(fù)雜的活動中���,以對定性技術(shù)進(jìn)行補(bǔ)充。評估風(fēng)險(xiǎn)時(shí)既要考慮固有風(fēng)險(xiǎn),也要考慮剩余風(fēng)險(xiǎn)�����。固有風(fēng)險(xiǎn)是管理當(dāng)局沒有采取任何措施來改變風(fēng)險(xiǎn)的可能性或影響的情況下�,一個(gè)企業(yè)所面臨的風(fēng)險(xiǎn)。剩余風(fēng)險(xiǎn)是在管理當(dāng)局應(yīng)對風(fēng)險(xiǎn)后所殘余的風(fēng)險(xiǎn)��。審計(jì)中注冊會計(jì)師更多關(guān)注的是審計(jì)風(fēng)險(xiǎn)以及企業(yè)的經(jīng)營風(fēng)險(xiǎn)�����,但是對于企業(yè)其他風(fēng)險(xiǎn)管理(如制度風(fēng)險(xiǎn)管理�、法律風(fēng)險(xiǎn)管理)考慮不足�,當(dāng)然這是注冊會計(jì)師收益成本分析后的結(jié)果,但是注冊會計(jì)師必須區(qū)分企業(yè)經(jīng)營風(fēng)險(xiǎn)與審計(jì)風(fēng)險(xiǎn)�,經(jīng)營風(fēng)險(xiǎn)是指實(shí)現(xiàn)不了經(jīng)營目標(biāo)和戰(zhàn)略的可能性,經(jīng)營失敗是經(jīng)營風(fēng)險(xiǎn)的擴(kuò)大化�����,指企業(yè)由于經(jīng)濟(jì)或經(jīng)濟(jì)條件的變化而無法滿足投資者的預(yù)期����,經(jīng)營失敗的極端情況是申請破產(chǎn)。誠然企業(yè)經(jīng)營失敗可能使得注冊會計(jì)師面臨審計(jì)訴訟,經(jīng)營風(fēng)險(xiǎn)與審計(jì)風(fēng)險(xiǎn)有一定的相關(guān)性�����,但風(fēng)險(xiǎn)導(dǎo)向的核心是審計(jì)風(fēng)險(xiǎn)����,而不是企業(yè)的經(jīng)營風(fēng)險(xiǎn)。
三���、注冊會計(jì)師風(fēng)險(xiǎn)評估與企業(yè)風(fēng)險(xiǎn)管理關(guān)系
(一)二者時(shí)間發(fā)展順序 環(huán)境變化促使越來越多的企業(yè)實(shí)施全面風(fēng)險(xiǎn)管理�,也促進(jìn)了風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的發(fā)展:從20世紀(jì)90年代開始�,隨著新的科技技術(shù)和經(jīng)濟(jì)全球化帶來企業(yè)組織結(jié)構(gòu)虛擬化、集約化��、專業(yè)化及扁平化等新的商業(yè)特征��,許多跨國公司開始實(shí)施全面風(fēng)險(xiǎn)管理方法���,一些國際咨詢公司和會計(jì)師事務(wù)所也開始運(yùn)用這一概念并將其同咨詢或?qū)徲?jì)業(yè)務(wù)相結(jié)合�����。全面風(fēng)險(xiǎn)管理體系正在隨著企業(yè)治理的完善而越發(fā)受到重視���,風(fēng)險(xiǎn)管理的概念逐步引入到我國的企業(yè)中�����,使得我國企業(yè)的風(fēng)險(xiǎn)管理工作納入了公司治理的范圍�����。2004年9月���,COSO了《企業(yè)風(fēng)險(xiǎn)管理框架》����。該框架是在《內(nèi)部控制――整體框架》報(bào)告的基礎(chǔ)上,結(jié)合《薩班斯――奧克斯法案》在報(bào)告方面的要求����,明確提出企業(yè)風(fēng)險(xiǎn)管理是由企業(yè)董事會、管理層和其他員工共同參與��,應(yīng)用于企業(yè)戰(zhàn)略制定�����,以及企業(yè)內(nèi)部各層次和部門,用于識別可能對企業(yè)造成影響的事項(xiàng)����,管理風(fēng)險(xiǎn)為企業(yè)目標(biāo)的實(shí)現(xiàn)提供合理保證。同時(shí)該框架還指出:企業(yè)風(fēng)險(xiǎn)管理框架由內(nèi)部環(huán)境�����、目標(biāo)制定��、事項(xiàng)識別��、風(fēng)險(xiǎn)評估���、風(fēng)險(xiǎn)反應(yīng)�����、控制活動�、信息和溝通�、監(jiān)控八個(gè)相互關(guān)聯(lián)的要素構(gòu)成。這也奠定了企業(yè)風(fēng)險(xiǎn)管理系統(tǒng)的組織模式���。風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的發(fā)展也與全面的風(fēng)險(xiǎn)管理系統(tǒng)構(gòu)建同步�,2003年10月,國際會計(jì)師聯(lián)合會下屬的國際審計(jì)準(zhǔn)則委員會了三個(gè)新的國際審計(jì)風(fēng)險(xiǎn)準(zhǔn)則��,并從2004年12月15日或之后開始的期間財(cái)務(wù)報(bào)表審計(jì)起執(zhí)行這三個(gè)新準(zhǔn)則�。2004年10月,中國注冊會計(jì)師協(xié)會根據(jù)國際審計(jì)準(zhǔn)則的最新發(fā)展�����,對已修訂的四個(gè)新審計(jì)風(fēng)險(xiǎn)準(zhǔn)則在全國范圍內(nèi)征求意見����,并且于2007年1月1日開始實(shí)施。風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)已經(jīng)深入了我國審計(jì)的實(shí)際工作��,為審計(jì)業(yè)務(wù)的展開提供了指引���。
(二)二者業(yè)務(wù)性質(zhì)相互影響 全面風(fēng)險(xiǎn)管理為現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)風(fēng)險(xiǎn)評估提供了更好的基礎(chǔ)為了評估客戶是否有效地監(jiān)督和控制了其戰(zhàn)略風(fēng)險(xiǎn)及其他經(jīng)營風(fēng)險(xiǎn),注冊會計(jì)師必須識別����、收集和處理大量與客戶經(jīng)營活動相關(guān)的證據(jù)。當(dāng)企業(yè)沒有實(shí)施全面風(fēng)險(xiǎn)管理時(shí)�����,收集這些證據(jù)即使在理論上是可行的,但為此付出的成本對注冊會計(jì)師而言也常常是不經(jīng)濟(jì)的��。注冊會計(jì)師的風(fēng)險(xiǎn)評估程序?qū)ζ髽I(yè)風(fēng)險(xiǎn)管理有以下益處:(1)了解企業(yè)的外部環(huán)境風(fēng)險(xiǎn)以及內(nèi)部控制成為風(fēng)險(xiǎn)評估的重要組成部分�,注冊會計(jì)師也將公司內(nèi)部控制的有效性作為風(fēng)險(xiǎn)應(yīng)對的考慮因素。所以注冊會計(jì)師關(guān)于企業(yè)內(nèi)部控制的評價(jià)將為企業(yè)的風(fēng)險(xiǎn)管理提供建議��。(2)注冊會計(jì)師在實(shí)施控制測試與實(shí)質(zhì)性測試時(shí)��,會將交易的內(nèi)部控制目標(biāo)與關(guān)鍵內(nèi)部控制聯(lián)系起來�����,然后將測試的結(jié)果與風(fēng)險(xiǎn)評估的結(jié)果進(jìn)行對比�����,這將有助于公司相關(guān)交易所涉及人員在業(yè)務(wù)流程中履行好自己的職責(zé)���,注冊會計(jì)師審計(jì)可以起到監(jiān)督作用���,發(fā)現(xiàn)企業(yè)內(nèi)部控制的風(fēng)險(xiǎn)點(diǎn)。企業(yè)風(fēng)險(xiǎn)管理對注冊會計(jì)師的風(fēng)險(xiǎn)評估有以下益處:第一�����,企業(yè)風(fēng)險(xiǎn)管理的完善性與企業(yè)內(nèi)部控制系統(tǒng)有著很強(qiáng)的相關(guān)性,所以如果企業(yè)建立了一整套風(fēng)險(xiǎn)管理的體系�����,那么注冊會計(jì)師的風(fēng)險(xiǎn)評估程序就會減少程序�����,因?yàn)轱L(fēng)險(xiǎn)評估在整個(gè)審計(jì)過程中的驗(yàn)證過程都是可靠的�����。第二��,企業(yè)風(fēng)險(xiǎn)管理的方式與注冊會計(jì)師風(fēng)險(xiǎn)評估�。企業(yè)全員參與風(fēng)險(xiǎn)管理,從整個(gè)企業(yè)組合的角度實(shí)施風(fēng)險(xiǎn)管理�,增強(qiáng)了企業(yè)風(fēng)險(xiǎn)管理的有效性,注冊會計(jì)師能夠在更大程度上信賴企業(yè)的全面風(fēng)險(xiǎn)管理����,實(shí)施風(fēng)險(xiǎn)評估����。第三���,企業(yè)風(fēng)險(xiǎn)管理系統(tǒng)的完善性越不好,注冊會計(jì)師所涉及的這部分程序設(shè)計(jì)需要越謹(jǐn)慎�����,而風(fēng)險(xiǎn)評估程序后提出建議的邊際貢獻(xiàn)越高��,這二者之間的交互作用就在于風(fēng)險(xiǎn)評估程序是對風(fēng)險(xiǎn)管理的一種再監(jiān)察���。
(三)二者存在的不同 當(dāng)然二者存在著以下區(qū)別:注冊會計(jì)師風(fēng)險(xiǎn)評估更多是對內(nèi)部控制有效性的評估��,這種評估是因?yàn)閷徲?jì)的效率所決定的���,而企業(yè)的風(fēng)險(xiǎn)管理需要覆蓋企業(yè)的整體層面和各個(gè)業(yè)務(wù)流程,所以我們注冊會計(jì)師的風(fēng)險(xiǎn)評估結(jié)果對于企業(yè)而言是一種參考�����,注冊會計(jì)師的風(fēng)險(xiǎn)評估只是對內(nèi)部控制水平高低的一個(gè)評價(jià)����,這并不能完全說明企業(yè)風(fēng)險(xiǎn)管理的有效性。注冊會計(jì)師可以通過對企業(yè)內(nèi)部控制系統(tǒng)有效性評價(jià)來評估客戶監(jiān)督和控制其戰(zhàn)略風(fēng)險(xiǎn)及其他經(jīng)營風(fēng)險(xiǎn)的情況���,如果僅僅是審計(jì)過程���,注冊會計(jì)師不需要提出風(fēng)險(xiǎn)管理改進(jìn)建議�����,他們評估的財(cái)務(wù)報(bào)表重大錯報(bào)風(fēng)險(xiǎn)只是為了控制檢查風(fēng)險(xiǎn)��,進(jìn)而控制審計(jì)風(fēng)險(xiǎn)����。所以注冊會計(jì)師審計(jì)過程的風(fēng)險(xiǎn)評估與企業(yè)風(fēng)險(xiǎn)管理過程中的風(fēng)險(xiǎn)評估目的相似����,但企業(yè)風(fēng)險(xiǎn)管理的目的和注冊會計(jì)師的風(fēng)險(xiǎn)評估還是存在不同。
四����、企業(yè)風(fēng)險(xiǎn)管理及風(fēng)險(xiǎn)評估路徑
(一)風(fēng)險(xiǎn)評估報(bào)告與企業(yè)風(fēng)險(xiǎn)管理 (圖1)呈現(xiàn)了風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的框架,風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)最大的要點(diǎn)就在于實(shí)施基本審計(jì)程序前的風(fēng)險(xiǎn)評估���。而且后來的審計(jì)程序結(jié)果會不斷檢驗(yàn)風(fēng)險(xiǎn)評估的結(jié)果,不斷地修正與調(diào)險(xiǎn)估計(jì)水平�����,在整個(gè)審計(jì)過程中都需要進(jìn)行風(fēng)險(xiǎn)評估過程,所以注冊會計(jì)師可以在審計(jì)完成后形成風(fēng)險(xiǎn)評估的最終結(jié)果����,形成風(fēng)險(xiǎn)評估報(bào)告,以評價(jià)內(nèi)部控制的有效性及風(fēng)險(xiǎn)管理控制的水平�。該報(bào)告可能涉及內(nèi)部環(huán)境、企業(yè)風(fēng)險(xiǎn)評估���、風(fēng)險(xiǎn)反應(yīng)���、控制活動、信息和溝通��、監(jiān)控等要素�����,對企業(yè)內(nèi)部控制的測試結(jié)果進(jìn)行一個(gè)總結(jié)性陳述��,形成風(fēng)險(xiǎn)評估報(bào)告�����。風(fēng)險(xiǎn)評估報(bào)告作為風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)階段性成果在審計(jì)完成后反饋給被審計(jì)客戶,以幫助被審計(jì)客戶進(jìn)一步完善內(nèi)部控制水平�,但我們必須意識到:風(fēng)險(xiǎn)評估報(bào)告不是審計(jì)報(bào)告的子報(bào)告,風(fēng)險(xiǎn)評估報(bào)告僅僅為被審計(jì)單位進(jìn)一步提高內(nèi)部控制水平而用�����,而非鑒證報(bào)告�,注冊會計(jì)師不需要提供保證。
(二)風(fēng)險(xiǎn)評估報(bào)告與信息系統(tǒng)風(fēng)險(xiǎn)管理 注冊會計(jì)師評價(jià)內(nèi)部控制有效性的要求里就包括了評價(jià)信息系統(tǒng)的有效性����,所以注
第2篇
一、企業(yè)風(fēng)險(xiǎn)管理概述
企業(yè)風(fēng)險(xiǎn)管理有八個(gè)組成要素:目標(biāo)設(shè)定�、風(fēng)險(xiǎn)識別、風(fēng)險(xiǎn)評估����、風(fēng)險(xiǎn)對策、控制活動����、信息與溝通、監(jiān)督,內(nèi)部環(huán)境.下面對其前四個(gè)方面的因素著重進(jìn)行闡述:
[1]目標(biāo)設(shè)定��,即是在1960年之際,有國外的代洛克發(fā)現(xiàn)并且提出了相應(yīng)的理論�����,它的內(nèi)容是敘述具有一個(gè)向前的目標(biāo)是完成某個(gè)事情的源泉和動力�,所以可知��,倘若確定了目標(biāo)����,就會增加靠近成功的幾率,當(dāng)一個(gè)具有挑戰(zhàn)性的目標(biāo)被大眾認(rèn)可并完成以后�,取得的價(jià)值是非常可觀的��。
[2]風(fēng)險(xiǎn)識別是指在企業(yè)發(fā)生虧損����,出現(xiàn)差錯之前,企業(yè)的管理人員根據(jù)自己以往的經(jīng)驗(yàn)以及相應(yīng)的設(shè)備等辨識出對企業(yè)的威脅的因素以此來協(xié)助和維護(hù)企業(yè)達(dá)到既定目標(biāo)的安全��。這主要包括感知以及分析風(fēng)險(xiǎn)兩個(gè)方面����。
[3]風(fēng)險(xiǎn)評估
從企業(yè)的相關(guān)資源的安全角度來分析可知�����,風(fēng)險(xiǎn)評估主要是對企業(yè)內(nèi)部的資料進(jìn)行相應(yīng)的分析�,評估風(fēng)險(xiǎn)的來源和對企業(yè)的危害度�,企業(yè)進(jìn)行風(fēng)險(xiǎn)管理的前提,風(fēng)險(xiǎn)評估是企業(yè)保證其內(nèi)部資源具有高的安全系數(shù)的主要措施�,它將歸類于資源的安全管理這一企業(yè)經(jīng)營體系中。
二�����、企業(yè)開展風(fēng)險(xiǎn)評估的過程分析
國家政府部門在2006年之際就已經(jīng)出版了《企業(yè)全中央面風(fēng)險(xiǎn)管理指引》這一條款���,其中的一條項(xiàng)目《指引》里面的主要內(nèi)容就指出了��,每個(gè)企業(yè)或者公司都應(yīng)該對保存關(guān)于風(fēng)險(xiǎn)管理方面的一些相關(guān)資料以及企業(yè)不同的項(xiàng)目管理業(yè)務(wù)過程開展一些針對實(shí)際情況的風(fēng)險(xiǎn)評估�。對于這些方面的風(fēng)險(xiǎn)評估���,企業(yè)就采取了三個(gè)方面的階段和內(nèi)容���,首先是風(fēng)險(xiǎn)辨識,其內(nèi)容主要是包含了和辨清企業(yè)開展什么項(xiàng)目或者進(jìn)行什么措施會嚴(yán)重阻礙企業(yè)的發(fā)展���,從而產(chǎn)生風(fēng)險(xiǎn)��。話句話說的就是對于企業(yè)的各個(gè)生產(chǎn)流程����,部門管理流程和相關(guān)的業(yè)務(wù)流程以及公司的一些日常事務(wù)活動進(jìn)行認(rèn)真地檢查和評估,辨別其中是否具有風(fēng)險(xiǎn)性以及具有的這些風(fēng)險(xiǎn)內(nèi)容的癥狀在哪里����,其次�,對企業(yè)進(jìn)行風(fēng)險(xiǎn)分析,這主要就是為了確定企業(yè)能否產(chǎn)生風(fēng)險(xiǎn)以及分清風(fēng)險(xiǎn)的特點(diǎn)�。換句話說就是根據(jù)相關(guān)的風(fēng)險(xiǎn)具有的特征對這些風(fēng)險(xiǎn)進(jìn)行分門別類的定義,并且辨別其相關(guān)的風(fēng)險(xiǎn)度和產(chǎn)生這些風(fēng)險(xiǎn)的原因和條件����。最后,對企業(yè)進(jìn)行風(fēng)險(xiǎn)評價(jià)��,風(fēng)險(xiǎn)評價(jià)也是極其重要的一個(gè)方面�����,即是預(yù)測企業(yè)的某個(gè)流程產(chǎn)生了風(fēng)險(xiǎn)之后會對企業(yè)造成什么樣的影響�,換句話說就是風(fēng)險(xiǎn)評價(jià)對企業(yè)來講起著相當(dāng)重要的作用���,可能會了解到風(fēng)險(xiǎn)在企業(yè)實(shí)現(xiàn)其自身的目標(biāo)方案中的影響程度等。
三����、企業(yè)進(jìn)行風(fēng)險(xiǎn)評估的重要性
任何企業(yè)都具有一定的風(fēng)險(xiǎn)性,并且企業(yè)的風(fēng)險(xiǎn)性也是不可避免的����,風(fēng)險(xiǎn)評估是事實(shí)內(nèi)部控制的重要環(huán)節(jié),所以就要加強(qiáng)企業(yè)的風(fēng)險(xiǎn)評估,讓企業(yè)的損失降到最低化�,另外,在企業(yè)內(nèi)進(jìn)行風(fēng)險(xiǎn)評估還可以加強(qiáng)企業(yè)的管理人員與上級領(lǐng)導(dǎo)和企業(yè)員工之間的警惕風(fēng)險(xiǎn)的意識��,而且還能夠讓全體員工能夠懂得各司其職�����,加強(qiáng)企業(yè)的風(fēng)險(xiǎn)評估能夠?qū)ζ髽I(yè)的生產(chǎn)經(jīng)營過程中出現(xiàn)的問題及時(shí)解決�,防止其影響企業(yè)的既定目標(biāo),造成企業(yè)的正常營運(yùn)處于癱瘓狀態(tài)�����,由此企業(yè)加強(qiáng)風(fēng)險(xiǎn)評估是最有效也是最直接的提高企業(yè)的經(jīng)濟(jì)的途徑�����。
四、企業(yè)進(jìn)行風(fēng)險(xiǎn)評估的策略
3.1控制活動策略
在企業(yè)的相關(guān)管理部門在察覺這種風(fēng)險(xiǎn)�,并且將這種風(fēng)險(xiǎn)的影響程度進(jìn)行了了解和清晰的分析之后,就可以對企業(yè)存在的這種風(fēng)險(xiǎn)著手加派人手研究相應(yīng)的解決措施����。這里的控制活動主要是針對管理階層而言,主要就是為了讓相關(guān)的管理人員在發(fā)現(xiàn)企業(yè)有了某些風(fēng)險(xiǎn)之后能夠及時(shí)的發(fā)出響應(yīng)的指令���,防止一些人員不停派遣和調(diào)崗的情況出現(xiàn),相當(dāng)于是授予管理人員的某種權(quán)利�,這就包括了“核準(zhǔn)、授權(quán)��、驗(yàn)證�����、調(diào)節(jié)”等等一系列的過程�,控制活動的最大的作用就在于保障企業(yè)的既定目標(biāo)能夠不夠風(fēng)險(xiǎn)的影響,并且能夠順利的完成或者達(dá)到企業(yè)的既定目標(biāo)��。
3.2完險(xiǎn)管理體系
全面風(fēng)險(xiǎn)管理是對整個(gè)機(jī)構(gòu)內(nèi)各個(gè)層次,各個(gè)種類風(fēng)險(xiǎn)的通盤管理����。對企業(yè)實(shí)施全方位的整體風(fēng)險(xiǎn)管理不僅可以使企業(yè)的整體員工合作協(xié)調(diào)起來�,讓企業(yè)內(nèi)部數(shù)據(jù)之間deep收集��、測量��、處理三者有機(jī)的站在一條水平線上��,能夠更好的協(xié)助企業(yè)的內(nèi)部的審計(jì)以及監(jiān)督����。并且企業(yè)的相關(guān)上級領(lǐng)導(dǎo)以及相關(guān)的管理人員務(wù)必分清從整個(gè)企業(yè)的發(fā)展出發(fā),分清其中的利與弊���,使得各部門的領(lǐng)導(dǎo)安排的相關(guān)程序都能夠及時(shí)的落到實(shí)處�,其次有效�����、及時(shí)��、準(zhǔn)確的報(bào)告制度對于企業(yè)來講也是非常重要的����,這就需要盡快恢復(fù)其現(xiàn)有的報(bào)告缺陷����,保證企業(yè)的內(nèi)部信息暢通�,即當(dāng)企業(yè)的內(nèi)部環(huán)境方面出現(xiàn)了某一方面的風(fēng)險(xiǎn)和錯誤時(shí),就應(yīng)該及時(shí)的上級領(lǐng)導(dǎo)揮或者部門報(bào)告��,以便讓其能夠盡快得到解決�����,恢復(fù)正常的運(yùn)營秩序���。
3.3建立健全財(cái)務(wù)危機(jī)預(yù)警系統(tǒng)
企業(yè)財(cái)務(wù)預(yù)警機(jī)制系統(tǒng)是為防止企業(yè)偏離正常經(jīng)營軌道而建立的報(bào)警和控制系統(tǒng)�,它以企業(yè)信息化為基礎(chǔ)����,利用數(shù)據(jù)化管理方式����,通過對各種財(cái)務(wù)數(shù)據(jù)資料的分析,對企業(yè)經(jīng)營管理活動中存在的財(cái)務(wù)危機(jī)及早警示��,對潛在財(cái)務(wù)風(fēng)險(xiǎn)進(jìn)行實(shí)時(shí)監(jiān)控�,為經(jīng)營決策提供可靠依據(jù)�。
建立財(cái)務(wù)危機(jī)預(yù)警系統(tǒng)���,可對財(cái)務(wù)運(yùn)營過程進(jìn)行監(jiān)控���、預(yù)測,及早發(fā)現(xiàn)財(cái)務(wù)危機(jī)信號�,在其萌芽階段采取有效措施進(jìn)行預(yù)防和控制,避免情況惡化造成更大的損失��。
3.4設(shè)計(jì)一套科學(xué)的內(nèi)部控制行動指南
1���、在機(jī)構(gòu)內(nèi)部廣泛開展“深化內(nèi)控理念����,落實(shí)內(nèi)控措施”的創(chuàng)建活動�����,結(jié)合自身情況及上級單位的要求�����,通過確定風(fēng)險(xiǎn)控制環(huán)節(jié),分解�����、落實(shí)機(jī)構(gòu)內(nèi)各部門��、各崗位管理職責(zé)����,并對控制狀況進(jìn)行檢查、評價(jià)和考核����,強(qiáng)化風(fēng)險(xiǎn)管理責(zé)任,提高全員風(fēng)險(xiǎn)防范的意識和能力���,從而全面有效地控制經(jīng)營風(fēng)險(xiǎn)�。設(shè)立一套科學(xué)的內(nèi)部控制行動指南����,為管理者進(jìn)行內(nèi)部控制有效性評價(jià)提供指引也是當(dāng)前急切需要解決的問題���。并且要在內(nèi)部相應(yīng)的部門實(shí)施相應(yīng)的個(gè)人評估策略����,即在企業(yè)實(shí)施的長時(shí)間的監(jiān)督過程中,在一般情況下���,企業(yè)最好是聘請相應(yīng)的專業(yè)人員對其進(jìn)行評估��,以此來監(jiān)督企業(yè)內(nèi)部控制的實(shí)施有效性��,這些是對長效監(jiān)督控制的一系列評估
第3篇
關(guān)鍵詞 雷擊風(fēng)險(xiǎn)評估����;管理系統(tǒng)�;系統(tǒng)開發(fā);雷擊風(fēng)險(xiǎn)評估工具
中圖分類號P429 文獻(xiàn)標(biāo)識碼A 文章編號 1674-6708(2011)41-0053-02
0 引言
國外已逐漸形成一套完整的雷擊風(fēng)險(xiǎn)評估體系����,制定了多項(xiàng)防雷技術(shù)標(biāo)準(zhǔn)和評估方法。在美���、英����、德等多國也都開發(fā)出了相應(yīng)的雷擊風(fēng)險(xiǎn)評估系統(tǒng)����。但這些風(fēng)險(xiǎn)評估系統(tǒng)參考的標(biāo)準(zhǔn)技術(shù)方法比較復(fù)雜��,結(jié)構(gòu)龐大����,而且大都建立在國外防雷工作經(jīng)驗(yàn)基礎(chǔ)上�����,沒有能考慮到中國廣袤大地的情況差異以及中國的國情�����,因此其體系和相應(yīng)的評估系統(tǒng)只能被我們借鑒參考����、學(xué)習(xí),不適宜完全照抄照搬或全盤引用����。目前在國內(nèi)符合國家標(biāo)準(zhǔn)和評估規(guī)范的評估系統(tǒng)相對缺少尚且不夠成熟。
《雷擊風(fēng)險(xiǎn)評估管理系統(tǒng)》遵循最新頒布的雷擊風(fēng)險(xiǎn)評估規(guī)范――《雷電防護(hù)第2部分:風(fēng)險(xiǎn)管理》GB/T 21714.2-2008 ���,采用C#語言��,結(jié)合國家氣象局已組建的閃電監(jiān)測預(yù)警網(wǎng)�、谷歌GPS衛(wèi)星定位地圖等系統(tǒng)���,建立起一套完善的雷擊風(fēng)險(xiǎn)評估管理系統(tǒng)��。該系統(tǒng)能實(shí)現(xiàn)雷擊風(fēng)險(xiǎn)評估過程科學(xué)化�、計(jì)算過程自動化�����、計(jì)算結(jié)果客觀化�。界面簡潔、操作簡單的系統(tǒng)��,統(tǒng)一化的評估技術(shù)報(bào)告不僅提高了雷擊風(fēng)險(xiǎn)評估工作的效率��,還利于在各地區(qū)開展雷電風(fēng)險(xiǎn)評估工作�����。雷電風(fēng)險(xiǎn)評估系統(tǒng)的先進(jìn)性和技術(shù)報(bào)告的嚴(yán)密科學(xué)性可以在全國范圍內(nèi)推廣����。
1 雷擊風(fēng)險(xiǎn)評估管理系統(tǒng)功能模塊和主要功能說明
《雷擊風(fēng)險(xiǎn)評估管理系統(tǒng)》遵循規(guī)范的基礎(chǔ)��,結(jié)合實(shí)際風(fēng)險(xiǎn)評估工作的業(yè)務(wù)流程和特點(diǎn)設(shè)計(jì)�,整個(gè)系統(tǒng)劃分為方案管理����、系統(tǒng)工具、文檔管理�、用戶管理4個(gè)主要模塊。
1.1 方案管理
1)原始評估記錄:用戶將要進(jìn)行風(fēng)險(xiǎn)評估的對象的具體勘測數(shù)據(jù)如實(shí)記錄入系統(tǒng)���。對評估對象建立相應(yīng)存儲空間�����,并在需要時(shí)調(diào)出這些數(shù)據(jù)作為評估����、對比等用途��;
2)方案設(shè)計(jì):對一個(gè)項(xiàng)目進(jìn)行多種類型的風(fēng)險(xiǎn)評估�����,如單獨(dú)對人身傷亡損失風(fēng)險(xiǎn)R1��、公眾服務(wù)損失風(fēng)險(xiǎn)R2、文化遺產(chǎn)損失風(fēng)險(xiǎn)R3���、經(jīng)濟(jì)損失風(fēng)險(xiǎn)R4 進(jìn)行評估,也可以對其任何一種組合進(jìn)行風(fēng)險(xiǎn)評估��;
3)效益分析:自動化生成的風(fēng)險(xiǎn)分量百分比的表格�����,各種風(fēng)險(xiǎn)所占總風(fēng)險(xiǎn)的百分比一目了然���;提供了多種(最多3種)防雷整改方案的評估����,并與原始評估結(jié)果對比�����,智能經(jīng)濟(jì)損失風(fēng)險(xiǎn)評估��,自動判斷采取的防雷整改方案是否合理����。
1.2 系統(tǒng)工具
1)GPS定位地圖:連接Internet���,輕松找到被評估對象經(jīng)緯度;
2)中國雷電監(jiān)測預(yù)警網(wǎng):多種方式實(shí)時(shí)查詢?nèi)珖鞯乩纂姞顟B(tài)�����,顯示詳細(xì)的雷電資料和密度分布圖��;
3)中國防雷資料網(wǎng):評估過程中隨時(shí)查到所需技術(shù)資料���;
4)雷電資料導(dǎo)入:將國家雷電監(jiān)測預(yù)警網(wǎng)實(shí)時(shí)雷電資料數(shù)據(jù)導(dǎo)入系統(tǒng)�;
5)字典維護(hù):對風(fēng)險(xiǎn)評估過程涉及參數(shù)進(jìn)行維護(hù)��;
6)數(shù)據(jù)庫維護(hù):對當(dāng)前系統(tǒng)所連接的數(shù)據(jù)進(jìn)行備份或恢復(fù)操作��。
1.3 文檔管理
1)雷擊風(fēng)險(xiǎn)評估報(bào)告模板:雷擊風(fēng)險(xiǎn)評估報(bào)告模板�����;
2)雷擊風(fēng)險(xiǎn)評估協(xié)議書 :雷擊風(fēng)險(xiǎn)評估協(xié)議書��。
1.4 用戶管理
1)系統(tǒng)登錄模塊:負(fù)責(zé)驗(yàn)證各種用戶身份���,根據(jù)不同的用戶權(quán)限決定其管理內(nèi)容����;
2)權(quán)限設(shè)置模塊:此模塊只有管理員才有權(quán)限,管理員可以根據(jù)情況對各欄目的屬性進(jìn)行基本的設(shè)置��。
2 雷擊風(fēng)險(xiǎn)評估管理系統(tǒng)的的實(shí)現(xiàn)技術(shù)
2.1 Client/Server 模式
C/S模式又稱為客戶機(jī)/服務(wù)器模式��,是90 年展起來的一種主/從結(jié)構(gòu)的分布式處理環(huán)境��,它的特點(diǎn)是將應(yīng)用分解為兩部分:客戶進(jìn)程(Client Process)和服務(wù)進(jìn)程(Server Process)����,即前臺和后臺���?����?蛻暨M(jìn)程與用戶打交道���,一般運(yùn)行在Microsoft Windows提供的GUI (Graphic Unit Interface)下;服務(wù)進(jìn)程與數(shù)據(jù)庫打交道��,一般通過SQL(Structured Query Language)查詢語言實(shí)現(xiàn),前端是對用戶的界面���,后端是對數(shù)據(jù)庫的處理��。這種對信息分布式處理的模式大大減少了網(wǎng)間數(shù)據(jù)的傳輸量�����,處理速度快�,并能高效實(shí)現(xiàn)資源共享����。其結(jié)構(gòu)如下:采用Client/Server 結(jié)構(gòu),Client 端只要將請求發(fā)給Server 端����,而Server端在處理完請求之后,只是把結(jié)果返回給Client 端�����。實(shí)際上在網(wǎng)絡(luò)傳輸?shù)闹挥蠸QL 語句和結(jié)果數(shù)據(jù)�����。同時(shí),Client 負(fù)責(zé)友好的界面與用戶交互����。而Server 專門負(fù)責(zé)數(shù)據(jù)庫的操作、維護(hù)����,提高了整個(gè)系統(tǒng)的吞吐量和響應(yīng)時(shí)間。
2.2 數(shù)據(jù)管理系統(tǒng)SQL Server2005
Microsoft SQL Server2005 是由一系列相互協(xié)作的組件構(gòu)成�,能滿足最大的Web 站點(diǎn)和企業(yè)數(shù)據(jù)處理系統(tǒng)存儲和分析數(shù)據(jù)的需要。SQL Server2005 的客戶/服務(wù)器提供了許多傳統(tǒng)主機(jī)數(shù)據(jù)庫所沒有的先進(jìn)功能�。數(shù)據(jù)訪問并局限于某些已有的主機(jī)數(shù)據(jù)應(yīng)用程序。SQLServer2005 的一個(gè)主要優(yōu)點(diǎn)就是與主流客戶服務(wù)器開發(fā)工具和桌面應(yīng)用程序緊密集成�����?����?梢允褂迷S多方法訪問SQL Server2005 數(shù)據(jù)庫�����。
SQL Server數(shù)據(jù)庫體系結(jié)構(gòu)的核心是服務(wù)器�,即數(shù)據(jù)庫引擎。SQL Server 數(shù)據(jù)庫引擎負(fù)責(zé)處理到達(dá)的數(shù)據(jù)庫請求�����,并把相應(yīng)的結(jié)果反饋給客戶端系統(tǒng)����。SQL Server 充分利用了可設(shè)置優(yōu)先權(quán)的多任務(wù)、虛擬內(nèi)存和異步I/O 功能����。SQL Server 數(shù)據(jù)庫引擎可在多線程內(nèi)核上創(chuàng)建,這樣在處理多個(gè)事務(wù)的時(shí)候可獲得較高的性能���。它包括的支持開發(fā)的引擎�����、標(biāo)準(zhǔn)的SQL語言��、擴(kuò)展的特性(如復(fù)制���、OLAP、分析)等功能�����,以及像存儲過程、觸發(fā)器等特性���。
SQL Server2005 數(shù)據(jù)庫系統(tǒng)的服務(wù)器負(fù)責(zé)創(chuàng)建和維護(hù)表和索引等數(shù)據(jù)庫對象����,確保數(shù)據(jù)完整性和安全性�,能夠在出現(xiàn)各種錯誤時(shí)恢復(fù)數(shù)據(jù)。SQL Server2005 的客戶端可完成所有的用戶交互操作���,將數(shù)據(jù)從服務(wù)器檢索出來后生成副本��,以便在本地保留��,也可以進(jìn)行操作����。
由于SQL Server200_5 的強(qiáng)大功能����,特別是其全文檢索功能����,支持從純文本到二進(jìn)制數(shù)據(jù)的檢索����,如 WORD 文檔����、EXCEL 電子表格等等,其文本性數(shù)據(jù)類型支持量相當(dāng)龐大��,因此系統(tǒng)中主要利用SQL Server 進(jìn)行文本保存���,方便查詢和檢索�����,同時(shí)為進(jìn)一步擴(kuò)展其功能奠定基礎(chǔ)�����。
2.3 面向?qū)ο笙到y(tǒng)開發(fā)方法
面向?qū)ο螅∣O��,Object Oriented)的系統(tǒng)開發(fā)方法����,是近年來受到關(guān)注的一種系統(tǒng)開發(fā)方法。面向?qū)ο蟮南到y(tǒng)開發(fā)方法的基本思想是將客觀世界抽象地看成是若干相互聯(lián)系的對象���,然后根據(jù)對象和方法的特性研制出一套軟件工具使之能夠映射為計(jì)算機(jī)軟件系統(tǒng)結(jié)構(gòu)模型和進(jìn)程�,從而實(shí)現(xiàn)信息系統(tǒng)的開發(fā)�����。
3 結(jié)論
《雷擊風(fēng)險(xiǎn)評估管理系統(tǒng)》的設(shè)計(jì)遵循最新頒布的雷擊風(fēng)險(xiǎn)評估規(guī)范���,結(jié)合評估工作的業(yè)務(wù)流程和特點(diǎn)��,依據(jù)被評估對象的數(shù)據(jù)自動計(jì)算出評測結(jié)果��,并提供多種措施方案對比可對其進(jìn)行經(jīng)濟(jì)效益評估�,以表格和柱形等多種形式圖表的形式輔助用戶做出最符合實(shí)際的方案決策����。本系統(tǒng)操作簡單、界面友好��。系統(tǒng)實(shí)現(xiàn)雷擊風(fēng)險(xiǎn)評估過程科學(xué)化���、計(jì)算過程自動化�����、計(jì)算結(jié)果客觀化���。界面簡潔、操作簡單的系統(tǒng)���,具有較強(qiáng)的實(shí)用性與通用性����。
統(tǒng)一化的評估技術(shù)報(bào)告不僅提高了雷擊風(fēng)險(xiǎn)評估工作的效率����,還利于在各地區(qū)開展雷電風(fēng)險(xiǎn)評估工作。本系統(tǒng)的開發(fā)拓展了雷電防護(hù)應(yīng)用技術(shù)的領(lǐng)域���,項(xiàng)目完成并推廣以后會提高本地區(qū)防雷中心科技服務(wù)水平��,并對提高經(jīng)濟(jì)效益起到很大的推動作用�����。
參考文獻(xiàn)
[1]GB 50057-94 建筑物防雷設(shè)計(jì)規(guī)范[S].
[2]GB 50343-2004 建筑物電子信息系統(tǒng)防雷技術(shù)規(guī)范[S].
[3]DB50/214-2006 雷電災(zāi)害風(fēng)險(xiǎn)評佑技術(shù)規(guī)范[S].
[4][美]Greg Riccardi.數(shù)據(jù)庫系統(tǒng)原理[M].清華大學(xué)出版社���,2002���,11.
[5]李巖,張瑞雪.SQL Server 2005實(shí)用教程[M].清華大學(xué)出版社�,2008,9.
[6]古樂��,史九林.軟件測試案例與實(shí)踐教程[M].清華大學(xué)出版社����,2007,2.
[7]劉波.信息管理系統(tǒng)中數(shù)據(jù)庫安全實(shí)現(xiàn)方法[J].計(jì)算機(jī)應(yīng)用����,2005(10):77-78.
[8]劉志成.SQL Server 2005實(shí)例教程[M].電子工業(yè)出版社,2008���,2.
第4篇
一�、總則
為及時(shí)識別�、監(jiān)控公司保密潛在風(fēng)險(xiǎn)及其發(fā)生概率,確定公司保密風(fēng)險(xiǎn)承受能力及限度��,認(rèn)定該等風(fēng)險(xiǎn)所可能帶來的損失,根據(jù)《上海市涉密信息系統(tǒng)集成資質(zhì)單位保密風(fēng)險(xiǎn)評估工作細(xì)則》和《涉密信息系統(tǒng)集成資質(zhì)保密標(biāo)準(zhǔn)》結(jié)合公司實(shí)際�����,特制定本管理辦法��。
二�、職責(zé)分工
1���、公司保密風(fēng)險(xiǎn)評估與管理主管部門為風(fēng)險(xiǎn)管理部�。
2�、各部門、各經(jīng)營單元協(xié)助風(fēng)險(xiǎn)管理部實(shí)施本管理辦法����。
3、公司各涉密經(jīng)營單元是保密風(fēng)險(xiǎn)管理的第一道防線��,負(fù)責(zé)本經(jīng)營單元和公司內(nèi)縱向歸口管理事項(xiàng)的保密風(fēng)險(xiǎn)管理工作���。
4�����、公司保密風(fēng)險(xiǎn)評估工作小組(以下簡稱工作小組)是保密風(fēng)險(xiǎn)管理的第二道防線����,接受保密管理辦公室的監(jiān)督(以下簡稱保密辦),負(fù)責(zé)指導(dǎo)和檢查保密風(fēng)險(xiǎn)評估工作的開展���。
5���、公司保密工作領(lǐng)導(dǎo)小組(以下簡稱領(lǐng)導(dǎo)小組)是保密風(fēng)險(xiǎn)管理的第三道防線。作為保密風(fēng)險(xiǎn)管理的決策機(jī)構(gòu)�����,負(fù)責(zé)監(jiān)督保密風(fēng)險(xiǎn)評估工作的開展��,負(fù)責(zé)組織建立完善保密管理的持續(xù)改進(jìn)機(jī)制��。
三�����、工作內(nèi)容及流程���。
1���、領(lǐng)導(dǎo)小組授權(quán)風(fēng)險(xiǎn)管理部組織成立工作小組����。工作小組組長由分管保密工作的公司領(lǐng)導(dǎo)擔(dān)任����,成員由保密辦�、風(fēng)險(xiǎn)管理部等部門負(fù)責(zé)人組成。領(lǐng)導(dǎo)小組應(yīng)組織對評估過程中出現(xiàn)的問題和結(jié)果做分析和研究��,查找出在保密管理的制度����、流程和執(zhí)行等方面的問題,組織對制度和流程進(jìn)行修訂和完善�。
2、工作小組至少每半年開展一次保密風(fēng)險(xiǎn)評估���,使用“上海市涉密信息系統(tǒng)集成資質(zhì)保密風(fēng)險(xiǎn)評估及自查自評系統(tǒng)”開展保密風(fēng)險(xiǎn)評估工作��,按照業(yè)務(wù)流程對保密風(fēng)險(xiǎn)進(jìn)行識別��、分析和評估�����,評估的范圍包括項(xiàng)目�����、人員��、資產(chǎn)�、場所等主要管理活動在保密方面所面臨的威脅、存在的弱點(diǎn)�����、造成的影響�����,以及三者綜合作用所帶來風(fēng)險(xiǎn)的可能性的評估����。
3、工作小組至少每年對《保密管理風(fēng)險(xiǎn)點(diǎn)識別及防控措施》評估一次���,從人員風(fēng)險(xiǎn)�����、涉密載體風(fēng)險(xiǎn)�����、涉密計(jì)算機(jī)����、涉密場所、投標(biāo)�、項(xiàng)目實(shí)施等��,對每個(gè)風(fēng)險(xiǎn)點(diǎn)進(jìn)行低��、中�、高等級識別,制定相應(yīng)的防范措施�����。
4�、工作小組在評估過程中如發(fā)現(xiàn)問題,及時(shí)向領(lǐng)導(dǎo)小組匯報(bào)�,《保密風(fēng)險(xiǎn)評估報(bào)告》形成后�,應(yīng)向領(lǐng)導(dǎo)小組報(bào)告評估情況�。向相關(guān)涉密經(jīng)營單元和人員通報(bào)評估情況,監(jiān)督防控措施的落實(shí)���。
5��、工作小組不定期組織開展評估業(yè)務(wù)培訓(xùn)�����,使相關(guān)人員了解掌握保密風(fēng)險(xiǎn)形式����、評估方法����、評估工具、防控措施等知識�。保密風(fēng)險(xiǎn)管理納入保密教育培訓(xùn),以增強(qiáng)涉密人員防控保密風(fēng)險(xiǎn)的意識����。
6、《公司保密風(fēng)險(xiǎn)評估報(bào)告》以及《公司保密管理風(fēng)險(xiǎn)點(diǎn)識別及防控措施》由風(fēng)險(xiǎn)管理部保存��,作為年度審查申請的附件材料報(bào)市國家保密局資質(zhì)管理委員會辦公室。
四���、獎懲機(jī)制
將評估工作履職情況納入部門和員工的年度績效考核評價(jià)體系����。由領(lǐng)導(dǎo)小組對工作小組成員的保密工作進(jìn)行考核評價(jià)�;由工作小組負(fù)責(zé)對相關(guān)部門和人員的保密工作進(jìn)行考核評價(jià)。對發(fā)現(xiàn)并上報(bào)重大保密風(fēng)險(xiǎn)的部門和人員給予獎勵��。對瞞報(bào)或未發(fā)現(xiàn)明顯保密風(fēng)險(xiǎn)而導(dǎo)致發(fā)生泄密事件及嚴(yán)重違規(guī)行為的部門���、人員給予重罰�。
五���、附則
第5篇
關(guān)鍵詞:風(fēng)險(xiǎn)評估;管理工具��;分類�;選擇;設(shè)計(jì)
中圖分類號:TP311文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2011)30-7388-02
Research on Risk Assessment and Management Tools
WANG Fu-hua,YAO Jie
(Chongqing Communication Institute, Chongqing 400035, China)
Abstract: This article has carried on the detailed introduction to the risk assessment management tools, and introduced how to choose and design risk assessment management tools.Finally,it offers some ideas for information security assessment practice.
Key words: risk assessment; management tools; classification; choice; design
目前�,網(wǎng)絡(luò)安全問題已成為影響社會經(jīng)濟(jì)發(fā)展和國家發(fā)展戰(zhàn)略的重要因素,信息安全評估工作的重要性不言而喻��。信息安全風(fēng)險(xiǎn)評估工作是個(gè)極復(fù)雜又具有挑戰(zhàn)性的工作,需要細(xì)致的工作����,大量的支持性的專業(yè)知識的支撐,項(xiàng)目管理也比較復(fù)雜����,因此如果要更好的完成信息安全風(fēng)險(xiǎn)評估工作就必須有一套非常實(shí)用的信息安全風(fēng)險(xiǎn)評估管理工具。一套使用的風(fēng)險(xiǎn)評估管理工具將極大地提高信息安全風(fēng)險(xiǎn)評估工作的效率和結(jié)果的正確性��。
1 風(fēng)險(xiǎn)評估與管理工具分類
風(fēng)險(xiǎn)評估與管理工具是根據(jù)系統(tǒng)關(guān)鍵信息資產(chǎn)����、資產(chǎn)面臨的威脅以及威脅所利用的脆弱點(diǎn)來確定所面臨的威脅、對風(fēng)險(xiǎn)情況進(jìn)行全面考慮��,估算出信息系統(tǒng)的風(fēng)險(xiǎn)情況����,且在風(fēng)險(xiǎn)評估的同時(shí)根據(jù)面臨的風(fēng)險(xiǎn)提供相應(yīng)的控制措施和解決方法。
1.1 基于國家�、政府頒布的信息安全管理標(biāo)準(zhǔn)或指南
目前世界上存在多種不同的風(fēng)險(xiǎn)分析指南和方法,不同的風(fēng)險(xiǎn)分析方法其側(cè)重點(diǎn)和關(guān)注點(diǎn)各不相同�。如:
NIST(National Institute of standard and Technology)的FIPS 65;
DOJ(Department of Justice)的SRAG�����;
GAO(Government Accounting Office)的信息安全管理的實(shí)施指南。
1.2 基于專家系統(tǒng)的風(fēng)險(xiǎn)評估工具
基于專家系統(tǒng)的風(fēng)險(xiǎn)評估工具主要通過建立專家系統(tǒng)和外部知識庫��,以調(diào)查問卷的方式收集組織內(nèi)部信息安全的狀態(tài)���。對重要資產(chǎn)的威脅和脆弱點(diǎn)進(jìn)行評估���,產(chǎn)生專家推薦的安全控制措施。
基于專家系統(tǒng)的風(fēng)險(xiǎn)評估工具通?��?梢宰詣有纬娠L(fēng)險(xiǎn)評估報(bào)告���,根據(jù)風(fēng)險(xiǎn)的嚴(yán)重程度提供風(fēng)險(xiǎn)指數(shù),同時(shí)分析可能存在的問題���,并提供相應(yīng)的處理方法。
COBRA(Consultative Objective and Bi-functional Risk Analysis)是一個(gè)著名的基于專家系統(tǒng)的風(fēng)險(xiǎn)評估工具��,它是一個(gè)問卷調(diào)查式的風(fēng)險(xiǎn)分析工具��,由三個(gè)部分組成:調(diào)查問卷生成��、風(fēng)險(xiǎn)測量和結(jié)果分析生成。
基于專家系統(tǒng)的風(fēng)險(xiǎn)評估工具除COBRA之外���,比較知名的還有@RISK���、BDSS(The Bayesian Decision Support System)等工具。
1.3 基于定性或定量算法的風(fēng)險(xiǎn)分析工具
風(fēng)險(xiǎn)分析作為重要的信息安全保障措施���,是信息安全體系不可或缺的一部分�����。而信息安全風(fēng)險(xiǎn)評估的算法作為風(fēng)險(xiǎn)評估的重要手段����,很久以前就被提出并了大量的研究工作�����,其中一些算法已經(jīng)成為正式的信息安全標(biāo)準(zhǔn)的一部分����。早期的風(fēng)險(xiǎn)評估算法大部分僅僅作定性的分析,對風(fēng)險(xiǎn)產(chǎn)生的可能性和風(fēng)險(xiǎn)產(chǎn)生的后果只能按照高、中����、低來區(qū)分,這種定性的方式無法準(zhǔn)確地估算出風(fēng)險(xiǎn)產(chǎn)生的可能性和損失量�。隨著人們對信息安全風(fēng)險(xiǎn)了解的不斷深入,獲得了更多的經(jīng)驗(yàn)數(shù)據(jù)�,因此人們越來越希望用定量的風(fēng)險(xiǎn)分析方法反映事故發(fā)生的可能性。定量的信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)包括美國聯(lián)邦標(biāo)準(zhǔn)FIPS31和FIPS191���,提供定量風(fēng)險(xiǎn)分析技術(shù)的手冊包括GAO和新版的NISTRMG��。
由于數(shù)據(jù)收集的困難�,目前還沒有完全定量的風(fēng)險(xiǎn)評估工具�����,現(xiàn)有的風(fēng)險(xiǎn)評估工具要么在定性方面有所側(cè)重���,要么在定量方面有所側(cè)重�����。如CONTROL-IT、Definitive Scenario、JANBER都是定性的風(fēng)險(xiǎn)評估工具��,而@RISK�����、Risk-CALC����、CORA是半定量的風(fēng)險(xiǎn)評估工具。
2 常見的風(fēng)險(xiǎn)評估管理工具比較
CRAMM:CRAMM是1985年由英國CCTA開發(fā)的風(fēng)險(xiǎn)評估系統(tǒng)�。CRAMM包括全面的風(fēng)險(xiǎn)評估工具,并且完全遵循BS7799規(guī)范�����,包括依靠資產(chǎn)的建模����、商業(yè)影響評估、識別和評估威脅和弱點(diǎn)�����、評估風(fēng)險(xiǎn)等級���、識別需求和基于風(fēng)險(xiǎn)評估調(diào)整控制等���。CRAMM評估風(fēng)險(xiǎn)依靠資產(chǎn)價(jià)值�����、威脅和脆弱點(diǎn)����,這些參數(shù)值是通過CRAMM評估者與資產(chǎn)所有者��、系統(tǒng)使用者����、技術(shù)支持人員和安全部門人員一起的交互活動得到,最后給出一套解決方案��。
COBRA:COBRA是1991年由C&A System Security公司推出另外一個(gè)風(fēng)險(xiǎn)評估工具�����,用來進(jìn)行信息安全風(fēng)險(xiǎn)管理方法�,提供了一個(gè)完整的風(fēng)險(xiǎn)分析服務(wù),并且兼容許多風(fēng)險(xiǎn)評估方法學(xué)(如定性分析和定量分析等)��。它可以看做一個(gè)基于專家系統(tǒng)和擴(kuò)展知識庫的問卷系統(tǒng),對所有的威脅和脆弱點(diǎn)評估其相對重要性����,并且給出合適的建議和解決方案�����。此外��,它還對每個(gè)風(fēng)險(xiǎn)類別提供風(fēng)險(xiǎn)分析報(bào)告和風(fēng)險(xiǎn)值�����。
@RISK是美國Palisade公司的一款軟件產(chǎn)品����,在世界范圍內(nèi)廣泛使用,是構(gòu)架在微軟Excel之上的一套風(fēng)險(xiǎn)分析工具��。在@RISK中�,提供了一套完整的風(fēng)險(xiǎn)分析工具,包括可以自行修訂的統(tǒng)計(jì)分配模型��、蒙特卡羅檢測��、敏感性分析、環(huán)境分析�、極限值測試等常用的風(fēng)險(xiǎn)評估模型。@RISK建立的流程包括:
1) 在Excel上建立需要分析的問題模型��;
2) 確定需要輸入模型的不確定值�����;
3) 通過模擬程序�����,對可能的參數(shù)范圍進(jìn)行分析�,以@RISK內(nèi)置的概率分布函數(shù)表示,然后確定模型的輸出結(jié)果�����;
4) 產(chǎn)生需要的資料圖表進(jìn)行分析�。
表1是對一些主要風(fēng)險(xiǎn)評估工具的比較。
表1
3 選擇風(fēng)險(xiǎn)評估工具的原則
1) 根據(jù)實(shí)際環(huán)境和企業(yè)的需求選擇
2) 風(fēng)險(xiǎn)評估工具應(yīng)當(dāng)能夠精確地映射網(wǎng)絡(luò)��、應(yīng)用以及進(jìn)行攻擊測試
怎樣了解一個(gè)工具的實(shí)際功效����?最有效的辦法是搜索Web����,查看媒體的評論���,要求廠商提供其他客戶的使用情況說明��。正式購買之前最好測試一下工具的性能。大多數(shù)廠商都提供限制了功能的試用版本��,通常是限制IP地址的范圍���。
3) 不僅要注意風(fēng)險(xiǎn)評估工具為目標(biāo)平臺提供的攻擊腳本數(shù)量����,而且要留意它們的更新速度�。
純粹的數(shù)量有時(shí)不能說明問題,因?yàn)橛行S商可能把許多相關(guān)的漏洞看成一個(gè)��,有的廠商則把它們算作多個(gè)漏洞�。一些較為優(yōu)秀的風(fēng)險(xiǎn)評估工具,如CVE����,把每一種測試都鏈接到了一個(gè)標(biāo)準(zhǔn)的漏洞案例ID����。留意風(fēng)險(xiǎn)評估工具的更新頻率��,看看它是自動更新還是需要手工執(zhí)行更新���,還有�,新的安全威脅發(fā)現(xiàn)之后它要多長的時(shí)間才能推出相應(yīng)的更新�?
4) 報(bào)告數(shù)量的多少,內(nèi)容翔實(shí)程度����,是否允許導(dǎo)出報(bào)表
只能內(nèi)部使用的掃描結(jié)果報(bào)表也許能夠滿足最初的需要,但如果經(jīng)常對系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評估�����,最好能夠?qū)⑸傻膱?bào)表導(dǎo)出到外部數(shù)據(jù)庫����,以便執(zhí)行對比和分析。
5) 是否支持不同級別的入侵測試以避免系統(tǒng)掛起
所有風(fēng)險(xiǎn)評估工具都有這樣的警告:入侵測試過程可能產(chǎn)生DoS攻擊����,或者導(dǎo)致被測試的系統(tǒng)掛起���。通常,在高訪問量期間對擔(dān)負(fù)關(guān)鍵任務(wù)的系統(tǒng)不應(yīng)該運(yùn)行風(fēng)險(xiǎn)評估工具�,風(fēng)險(xiǎn)評估工具本身可能帶來問題,引起服務(wù)中斷或系統(tǒng)被鎖死����。大多數(shù)高質(zhì)量的風(fēng)險(xiǎn)評估工具允許執(zhí)行侵害程度較小的入侵測試,避免造成系統(tǒng)運(yùn)行中斷���。
6) 是否需要在線服務(wù)?
有些風(fēng)險(xiǎn)評估工具以在線服務(wù)的形式提供���。這種形式的優(yōu)點(diǎn)是不占用硬件資源��,可以從任何地方運(yùn)行和獲取報(bào)表�,自動執(zhí)行更新����,一般而言總擁有成本也較低。缺點(diǎn)是服務(wù)的運(yùn)行速度一般較慢�����,不象客戶端產(chǎn)品那樣容易定制。最后還有一點(diǎn)是�����,如果采用在線服務(wù)��,則掃描出來的網(wǎng)絡(luò)漏洞清單還將落入第三方的手中����。
4 信息安全風(fēng)險(xiǎn)評估管理工具設(shè)計(jì)
信息安全風(fēng)險(xiǎn)評估管理工具的設(shè)計(jì)必須考慮到參考模型可能存在的變化,或者計(jì)算方法發(fā)生變化而導(dǎo)致的工具適應(yīng)性的問題����,還應(yīng)該具有項(xiàng)目管理功能,統(tǒng)計(jì)分析��,報(bào)表�,輔助評估專家系統(tǒng),查詢���,資產(chǎn)管理��,更應(yīng)該加入風(fēng)險(xiǎn)管理與控制模塊���,如果能提供與其他資產(chǎn)管理軟件的接口就更好了��。
為了適應(yīng)評估工作模式���,信息安全風(fēng)險(xiǎn)評估工具的架構(gòu)應(yīng)該選擇B/S結(jié)構(gòu),評估小組和評估人是最終用戶�����,系統(tǒng)管理員對信息安全風(fēng)險(xiǎn)評估工具進(jìn)行維護(hù)和管理�����。系統(tǒng)架構(gòu)如圖1�����。
信息安全風(fēng)險(xiǎn)評估工具中應(yīng)該包含威脅參考庫�����、脆弱性參考庫����、資產(chǎn)分類庫、可能性定義庫��,后果定義庫�、控制措施庫等評估輔助專家系統(tǒng)庫。這些庫都可以自己定義��,便于使用����。評估小組可以在評估的各個(gè)時(shí)期都能夠得到幫助。
資產(chǎn)管理模塊應(yīng)該包含資產(chǎn)的各種基本信息�,包括位置、責(zé)任人���、所屬系統(tǒng)以及各種相關(guān)信息�。根據(jù)不同資產(chǎn)的分類�����,相關(guān)信息也不同���,這些相關(guān)信息都是有助于系統(tǒng)安全的相關(guān)信息��。如資產(chǎn)的生命周期��、系統(tǒng)補(bǔ)丁信息等�。
信息安全風(fēng)險(xiǎn)評估工具需要實(shí)際使用的檢驗(yàn),將在不斷滿足客戶的需要的同時(shí)逐漸發(fā)展�����、成熟���。通過不斷的改進(jìn)和發(fā)展�����,相信信息安全風(fēng)險(xiǎn)評估工具將極大地推動信息安全風(fēng)險(xiǎn)評估工作的進(jìn)行�。
參考文獻(xiàn):
[1] 陳友初.信息安全風(fēng)險(xiǎn)評估的探討與實(shí)踐[J].廣西科學(xué)院學(xué)報(bào),2006,22(4):367-369.
[2] 杜輝,劉霞,汪厚祥.信息安全風(fēng)險(xiǎn)評估方法研究[J].艦船電子工廠,2006,26(4):65-69.
[3] 張建軍,孟亞平.信息安全風(fēng)險(xiǎn)評估探索與實(shí)踐[M].北京:中國標(biāo)準(zhǔn)出版社,2005.
[4] 趙戰(zhàn)生,謝宗曉.信息安全風(fēng)險(xiǎn)評估[M].北京:中國標(biāo)準(zhǔn)出版社,2007,8.
[5] 馮登國,張陽,張玉清. 信息安全風(fēng)險(xiǎn)評估綜述[J].北京:通信學(xué)報(bào),2004,25(7):10-18.
[6] 關(guān)義章,戴宗坤.羅萬伯,等.信息系統(tǒng)安全工程學(xué)[M].北京:電子工業(yè)出版社,2002,12.
第6篇
Abstract: In the process of urbanization in China�����, the population density is getting higher and higher�, which causes the travel difficult of people. In order to ensure the convenience of urban transport, many cities use the way to build the subway to alleviate the traffic pressure and ensure smooth traffic. However����, in the operation of the subway��, with the increase in the number of passengers, there will be some security risks���, which have a serious threat to people's lives and property�, so we need to make assessment and management of the safety risk in subway operations to avoid the security threats faced during subway operations. This paper analyzes the risk assessment and management of subway operational safety.
關(guān)鍵詞: 地鐵運(yùn)營安全���;風(fēng)險(xiǎn)評估����;風(fēng)險(xiǎn)管理
Key words: subway operation safety��;risk assessment��;risk management
中圖分類號:F572 文獻(xiàn)標(biāo)識碼:A 文章編號:1006-4311(2017)23-0054-03
0 引言
城市規(guī)模不斷擴(kuò)大以及城市人口數(shù)量的增加�����,導(dǎo)致巨大的交通壓力成為困擾城市發(fā)展的主要因素����。所以,在許多城市的規(guī)劃與建設(shè)中����,都將地鐵建設(shè)作為重點(diǎn)內(nèi)容�����。近幾年���,我國地鐵事故發(fā)生率逐漸升高,這些事故不僅為地鐵運(yùn)營部門帶來重大經(jīng)濟(jì)損失����,而且嚴(yán)重威脅了人們的生命財(cái)產(chǎn)安全。因此�,在地鐵運(yùn)營過程中,必須對存在的安全風(fēng)險(xiǎn)進(jìn)行評估與管理���,提高地鐵運(yùn)行的穩(wěn)定性與安全性�����,確保地鐵的作用能夠得以發(fā)揮���。
1 地鐵運(yùn)營風(fēng)險(xiǎn)管理的基本流程與方法
運(yùn)營風(fēng)險(xiǎn)管理是研究風(fēng)險(xiǎn)發(fā)生規(guī)律及風(fēng)控技術(shù)的一門科學(xué),具有前瞻性���、目標(biāo)性����、計(jì)劃性�、經(jīng)濟(jì)性和管理性等特點(diǎn)。一般來說��,地鐵運(yùn)營風(fēng)險(xiǎn)管理過程不外乎風(fēng)險(xiǎn)識別��、風(fēng)險(xiǎn)評估��、風(fēng)險(xiǎn)等級劃分和風(fēng)險(xiǎn)控制四個(gè)關(guān)鍵環(huán)節(jié):
1.1 風(fēng)險(xiǎn)識別
地鐵運(yùn)營風(fēng)險(xiǎn)識別就是找出地鐵運(yùn)營過程中影響安全的主要因素���,是風(fēng)險(xiǎn)管理流程中的第一個(gè)步驟�。在風(fēng)險(xiǎn)識別的過程中��,必須確定地鐵運(yùn)營系統(tǒng)的組成��、特點(diǎn)以及各組成部分的關(guān)系���,并全面檢查這些環(huán)節(jié)中的不確定性����。與此同時(shí)��,還要分析不同種類風(fēng)險(xiǎn)對地鐵正常運(yùn)營造成的威脅,并確定風(fēng)險(xiǎn)作用范圍���,以便針對不同的風(fēng)險(xiǎn)采取不同的措施��。
1.2 風(fēng)險(xiǎn)分析
地鐵運(yùn)營風(fēng)險(xiǎn)分析就是對地鐵運(yùn)營風(fēng)險(xiǎn)可能造成的后果進(jìn)行全面分析�。風(fēng)險(xiǎn)分析需要對個(gè)別的風(fēng)險(xiǎn)元素進(jìn)行分析����,并量化這些元素,形成一個(gè)風(fēng)險(xiǎn)清單���,以便針對這些風(fēng)險(xiǎn)制定相應(yīng)的行動計(jì)劃��。在科學(xué)技術(shù)不斷進(jìn)步的同時(shí)���,對地鐵運(yùn)營分析的難度越來越高,只有不斷提高風(fēng)險(xiǎn)分析水平����,才能夠采取有效的措施降低風(fēng)險(xiǎn)。
1.3 風(fēng)險(xiǎn)評估
地鐵運(yùn)營風(fēng)險(xiǎn)評估就是對地鐵運(yùn)營風(fēng)險(xiǎn)能夠?qū)е碌暮蠊M(jìn)行評價(jià)��,并根據(jù)這些后果的嚴(yán)重程度進(jìn)行排序,同時(shí)考慮與其對應(yīng)的處理措施���,去頂風(fēng)險(xiǎn)����、成本與效益三者之間的關(guān)系���,其關(guān)鍵在于考慮風(fēng)險(xiǎn)對整體目標(biāo)的影響。綜合評估地鐵運(yùn)營風(fēng)險(xiǎn)時(shí)��,首先應(yīng)該充分預(yù)測管理決策在實(shí)施期間所伴生的后果及其可能產(chǎn)生的危害�����、后果是否可以被接受等等�����。風(fēng)險(xiǎn)的嚴(yán)重程度不同�����,就會造成優(yōu)先處理的順序不同�����。
1.4 風(fēng)險(xiǎn)決策
地鐵運(yùn)營風(fēng)險(xiǎn)決策就是以風(fēng)險(xiǎn)分析與風(fēng)險(xiǎn)評估的結(jié)果為基礎(chǔ),針對風(fēng)險(xiǎn)制定相應(yīng)的措施�����,降低風(fēng)險(xiǎn)對地鐵運(yùn)營的影響���。一般來講���,風(fēng)險(xiǎn)策略主要有以下兩種:第一,采取合理的措施�����,最大限度地降低風(fēng)險(xiǎn)帶來的影與危害���,對其進(jìn)行有效的控制����。第二�����,采取適當(dāng)?shù)拇胧┺D(zhuǎn)移風(fēng)險(xiǎn),降低風(fēng)險(xiǎn)對運(yùn)營主體的危害��,但是�,不是所有風(fēng)險(xiǎn)都能夠被轉(zhuǎn)移。在風(fēng)險(xiǎn)決策的過程中��,必須考慮成本與效益之間的關(guān)系���,確保風(fēng)險(xiǎn)決策成為最佳效益方案。
此外�,在地鐵運(yùn)營風(fēng)險(xiǎn)中,一些風(fēng)險(xiǎn)并不是一成不變的����,只有對這些風(fēng)險(xiǎn)進(jìn)行跟蹤,才能夠根據(jù)不同的情況進(jìn)行風(fēng)險(xiǎn)決策���。
第7篇
評估國庫資金操作的風(fēng)險(xiǎn)就是鑒別在國庫業(yè)務(wù)辦理過程中出現(xiàn)的各種損失的可能性與嚴(yán)重性�����,一般可以采取定性評估方法��、定量評估方法�、定性與定量相結(jié)合的評估方法。
(一)定性評估方法
定性評估方法是一種多目標(biāo)決策方法���,它突破了傳統(tǒng)的數(shù)量分析限制�,為更合理地制定決策開闊了思路�����。德爾菲法是定性評估方法中最具代表性的方法�����,這種方法具有廣泛的代表性����,能夠可靠進(jìn)行有目標(biāo)的風(fēng)險(xiǎn)評估與防范,但由于選擇合適的專家比較困難也可能得出比較草率的風(fēng)險(xiǎn)評估結(jié)論�����。
(二)定量評估方法
定量分析是對各個(gè)風(fēng)險(xiǎn)要素及損失的水平賦予一定數(shù)值���,當(dāng)度量風(fēng)險(xiǎn)的所有因素都被賦值���,風(fēng)險(xiǎn)評估的過程和結(jié)果都可以被量化了�����。常用的定量評估方法主要有基本指標(biāo)法�����、標(biāo)準(zhǔn)法���、內(nèi)部評級法等。
(三)定性與定量相結(jié)合評估方法
定性或定量的方法并不能有效且準(zhǔn)確地對風(fēng)險(xiǎn)進(jìn)行評估�����,定量的方法通常過于嚴(yán)格���,而定性的方法又過于模糊。因此�,需要在定量和定性的基礎(chǔ)上結(jié)合兩種方法進(jìn)行風(fēng)險(xiǎn)評估,常用的定性與定量相結(jié)合的方法為層次分析法與模糊綜合評價(jià)法����。層次分析法首先根據(jù)多目標(biāo)決策的性質(zhì)和總的目標(biāo)對所考慮的概念,分析其相互關(guān)聯(lián)�、邏輯屬性及重要性級別進(jìn)行分層排列���,構(gòu)造成一個(gè)由上而下的遞階層次結(jié)構(gòu);其次在層次結(jié)構(gòu)模型中��,決策人根據(jù)具體情況及實(shí)際要求通過兩兩因素的比較��,用表1的標(biāo)度打分���,得到判斷矩陣���;最后在得到判斷矩陣后按照以下公式進(jìn)行排序及一致性檢驗(yàn)。
二�、國庫資金操作風(fēng)險(xiǎn)識別
(一)操作性風(fēng)險(xiǎn)
人民銀行總行《國庫會計(jì)管理規(guī)定》中規(guī)定,國庫業(yè)務(wù)操作人員應(yīng)嚴(yán)格控制資料交接��、外來憑證審核��、資料傳遞���、記賬復(fù)核�����、退匯轉(zhuǎn)匯�、編押核押、查詢查復(fù)��、手工填制憑證等環(huán)節(jié)中的風(fēng)險(xiǎn)����。其風(fēng)險(xiǎn)主要分以下三種:(1)操作失誤風(fēng)險(xiǎn)。隨著財(cái)稅體制改革的深化��,國庫業(yè)務(wù)發(fā)生了巨大變化��,國庫單一賬戶體系的形成�����、資金匯劃渠道的驟增����、預(yù)算收支核算方式的變化加快了國庫核算電子化的發(fā)展進(jìn)程�����,國庫操作人員需要全面掌握涉及面廣��、科技含量高�、操作復(fù)雜的電子核算業(yè)務(wù)���,期間難免會出現(xiàn)操作風(fēng)險(xiǎn),如在掛賬或解掛方面存在的風(fēng)險(xiǎn)����、查詢復(fù)查操作手續(xù)出現(xiàn)錯誤、執(zhí)行流程時(shí)隨意簡化�、替代或逆程序操作等差錯。(2)審查失誤風(fēng)險(xiǎn)�����。國庫操作人員對外來的收支憑證審查出現(xiàn)偏差����,造成一些憑證要素內(nèi)容缺失不全,不符合收支憑證的辦理要求��,從而給國庫資金帶來風(fēng)險(xiǎn)����。(3)對賬風(fēng)險(xiǎn)。對賬是國庫資金業(yè)務(wù)中的基礎(chǔ)環(huán)節(jié)�����,國庫操作人員不能及時(shí)與征收機(jī)關(guān)、財(cái)政部門���、銀行對賬或者上下級對賬不符合規(guī)范�����,出現(xiàn)賬證不符���、賬表不符等差錯。
(二)管理性風(fēng)險(xiǎn)
(1)崗位設(shè)置風(fēng)險(xiǎn)����。隨著國庫業(yè)務(wù)的快速發(fā)展,現(xiàn)有國庫人員設(shè)置已經(jīng)不能夠滿足其要求�����。受人民銀行當(dāng)前進(jìn)入�����、用人制度的限制����,各地國庫人員配備嚴(yán)重不足,一人身兼數(shù)職的現(xiàn)象普遍存在�����,相互制約機(jī)制的缺乏導(dǎo)致內(nèi)控制約出現(xiàn)“真空”地帶�,國庫業(yè)務(wù)操作的質(zhì)量和風(fēng)險(xiǎn)防范大打折扣。另外����,國庫人員結(jié)構(gòu)不合理,表現(xiàn)為人員嚴(yán)重老化��、人員變動頻繁等問題�����,這將對國庫操作工作帶來風(fēng)險(xiǎn)�����。(2)日常管理風(fēng)險(xiǎn)��。在日常國庫業(yè)務(wù)操作過程中����,由于沒有建立健全的管理制度��,往往會出現(xiàn)小的失誤或差錯�����,如對操作員密鑰密碼沒有明確嚴(yán)格的更換時(shí)間�����,對系統(tǒng)的簽退程序沒有嚴(yán)格的管理規(guī)定等��。(3)制度管理風(fēng)險(xiǎn)�����。由于國庫電子化進(jìn)程的推進(jìn)�,在國庫資金操作業(yè)務(wù)中�,現(xiàn)行的國庫管理制度與實(shí)際國庫資金操作工作脫節(jié),進(jìn)而給國庫資金帶來了一系列風(fēng)險(xiǎn)��。
(三)系統(tǒng)性風(fēng)險(xiǎn)
1.系統(tǒng)網(wǎng)絡(luò)風(fēng)險(xiǎn)國庫會計(jì)數(shù)據(jù)集中系統(tǒng)(TCBS)的保密性����、不可篡改性都將直接影響國庫業(yè)務(wù)的正常賬務(wù)���,因此在國庫操作業(yè)務(wù)中��,倘若國庫集中支付系統(tǒng)自身參數(shù)設(shè)置出現(xiàn)錯誤或者系統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)丟失會給國庫資金帶來不可避免的風(fēng)險(xiǎn)��。
2.外部事件風(fēng)險(xiǎn)由于外部網(wǎng)絡(luò)運(yùn)行環(huán)境出現(xiàn)異常導(dǎo)致感染病毒或非法入侵��,致使國庫電子化流程癱瘓或無法正常運(yùn)行��,數(shù)據(jù)集中處理不能順利傳輸���,給國庫資金帶來風(fēng)險(xiǎn)����。
3.功能缺陷性風(fēng)險(xiǎn)國庫會計(jì)數(shù)據(jù)集中系統(tǒng)(TCBS)運(yùn)行過程中��,由于系統(tǒng)本身不能夠及時(shí)有效更正稅務(wù)部門錯誤的稅款科目���、稅款級次等信息��,從而影響正常入庫�;一方在使用國庫集中支付系統(tǒng)內(nèi)劃轉(zhuǎn)資金時(shí)����,接收方在系統(tǒng)中無法打印來賬信息�,這樣給國庫日常核對和檢查帶來一定困難�,給國庫資金帶來風(fēng)險(xiǎn)隱患。
三����、國庫資金操作風(fēng)險(xiǎn)評估
(一)評估計(jì)算
由于國庫資金業(yè)務(wù)損失數(shù)據(jù)不全,至今也沒有健全的風(fēng)險(xiǎn)管理框架����。為了取得更好的風(fēng)險(xiǎn)分析效果,構(gòu)建合理風(fēng)險(xiǎn)評估模型����。結(jié)合定性與定量分析方法個(gè)各自特點(diǎn),現(xiàn)選用層次分析法和模糊綜合評價(jià)法相結(jié)合的方法��,構(gòu)建國庫資金操作的風(fēng)險(xiǎn)評估模型�。
1.建立國庫資金風(fēng)險(xiǎn)根據(jù)本文第二部分的分析,為簡便起見�,將影響國庫操作資金風(fēng)險(xiǎn)的目標(biāo)層分為系統(tǒng)性風(fēng)險(xiǎn)、操作性風(fēng)險(xiǎn)���、管理性風(fēng)險(xiǎn)三個(gè)層次�。
2.建立風(fēng)險(xiǎn)評估判斷矩陣構(gòu)造國庫風(fēng)險(xiǎn)評估判斷矩陣,需要用層次分析法對一定數(shù)量的專家進(jìn)行問卷調(diào)查��,這樣在調(diào)查評分的基礎(chǔ)上確定判斷矩陣����。限于條件�,本風(fēng)險(xiǎn)模型在路勇、徐麗紅在《基層人民銀行國庫TCBS系統(tǒng)風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)模式的確立及成效》一文中所做的調(diào)查基礎(chǔ)上建立判斷矩陣���,可按各風(fēng)險(xiǎn)因素的強(qiáng)度及頻率將其分為以下四個(gè)等級�。
(二)評估結(jié)果分析
從人民銀行A市國庫處現(xiàn)狀分析����,2012年之前,該處國庫工作人員配備基本能夠滿足崗位需要��,但仍存在少許記賬與復(fù)合崗位交叉作業(yè)情況��、兼崗����、替崗現(xiàn)象,在對賬及審查工作中�,由于缺少專門的國庫會計(jì)核算專業(yè)人員�,給國庫操作風(fēng)險(xiǎn)帶來隱患��。同時(shí)��,在日常管理���、制度管理方面��,人民銀行A市國庫處推行目標(biāo)管理責(zé)任制取得了一系列成效�����,但仍存在“重事后管理�,輕事前防范”的問題�,另外現(xiàn)行的制度不能涵蓋整個(gè)國庫核算業(yè)務(wù)的全過程,存在國庫信息業(yè)務(wù)的制度“盲區(qū)”��,這些都是造成國庫風(fēng)險(xiǎn)的重要因素�����。除此之外����,由于國庫業(yè)務(wù)電子化業(yè)務(wù)的推廣��,人民銀行A市國庫處通過推行國庫會計(jì)數(shù)據(jù)集中系統(tǒng)(TCBS)以來��,積極修改崗位設(shè)置和完善橫向聯(lián)網(wǎng)系統(tǒng)��,網(wǎng)絡(luò)整體運(yùn)行正常��,系統(tǒng)升級能夠滿足業(yè)務(wù)流程需要�,大大減少了風(fēng)險(xiǎn)的可能��?;陲L(fēng)險(xiǎn)評估結(jié)果�,操作性風(fēng)險(xiǎn)因素與管理性風(fēng)險(xiǎn)因素風(fēng)險(xiǎn)等級為中等風(fēng)險(xiǎn),系統(tǒng)性風(fēng)險(xiǎn)因素為低風(fēng)險(xiǎn)���,基本與人民銀行A市國庫處實(shí)際情況吻合��?���?傊?��,國庫資金操作風(fēng)險(xiǎn)的綜合評估結(jié)果與國庫管理人員及業(yè)務(wù)人員對風(fēng)險(xiǎn)因素的主觀認(rèn)識有很大關(guān)系��,權(quán)重的選擇往往會直接影響風(fēng)險(xiǎn)評價(jià)的最終結(jié)果����。
四、國庫資金操作風(fēng)險(xiǎn)管理對策
(一)探索新的用人機(jī)制��,建設(shè)專業(yè)化國庫隊(duì)伍
穩(wěn)定的國庫人員隊(duì)伍是保證國庫正常工作進(jìn)行的前提�,是降低風(fēng)險(xiǎn)最重要的一環(huán)。由于受人民銀行人員編制的原因����,國庫部門會計(jì)核算專業(yè)人才較少,傳統(tǒng)解決人員緊缺的方式采用的是從其他部門借調(diào)人員�����,沒有形成穩(wěn)定的國庫人員隊(duì)伍����。人民銀行總行結(jié)合國庫業(yè)務(wù)的實(shí)際情況,對國庫處部分人員逐步開始實(shí)行聘用制����,這樣一方面能夠有選擇性招聘部分專業(yè)性較強(qiáng)的人才補(bǔ)充到國庫處,另外也能夠培養(yǎng)一批專業(yè)技能扎實(shí)、崗位持續(xù)穩(wěn)定的國庫操作人員����,對于風(fēng)險(xiǎn)的防控與降低有深遠(yuǎn)影響。
(二)完善風(fēng)險(xiǎn)管理制度���,提高風(fēng)險(xiǎn)防控意識
在日常的國庫業(yè)務(wù)中��,要針對具體的國庫業(yè)務(wù)環(huán)節(jié)����,制定具體的實(shí)施方案和操作細(xì)則���,逐步完善國庫資金風(fēng)險(xiǎn)管理的制度���,建立完整有效的風(fēng)險(xiǎn)組織管理體系����。同時(shí),國庫事后監(jiān)督應(yīng)嚴(yán)格執(zhí)行《國庫會計(jì)事后監(jiān)督辦法》�����,并結(jié)合本辦法提出的國庫資金風(fēng)險(xiǎn)控制要求�,對國庫會計(jì)核算業(yè)務(wù)進(jìn)行全面監(jiān)督��,提高國庫整體風(fēng)險(xiǎn)防控意識���。
(三)強(qiáng)化國庫監(jiān)督規(guī)范,建立網(wǎng)絡(luò)系統(tǒng)監(jiān)控
