風險識別與風險評估的區(qū)別精選(五篇)

序言：作為思想的載體和知識的探索者，寫作是一種獨特的藝術(shù)，我們?yōu)槟鷾蕚淞瞬煌L格的5篇風險識別與風險評估的區(qū)別，期待它們能激發(fā)您的靈感。

篇1

關(guān)鍵詞：風險評估 HRN參數(shù) 機械式壓力機

1、前言

壓力機作為常見的金屬加工機械，在汽車，造船，航空，機加工等非常多的行業(yè)有著非常廣泛的應(yīng)用。同時，壓力機是一個非常危險的機械。沖壓作業(yè)傷指事故較多。該行業(yè)曾流行一句話：十個沖工九個殘?？陀^原因是沖壓機械滑塊垂直下沖速度極快。

以一般100噸液壓沖床為例，滑塊每分鐘往復次數(shù)為75次，即單程一次只約需0.4秒。采用行程為100毫米進行拉伸作業(yè)，若手在模內(nèi)，沖床滑塊下沖傷指的時間約為0.1秒。而當操作者發(fā)現(xiàn)或感覺到滑塊下沖時，反應(yīng)到大腦，再由大腦指揮手縮回的時間約為0.2-0.3秒，顯然手是來不及收回的。因此常造成傷指事故。

因此如何對于一臺沖壓機械中所存的風險進行分析得出結(jié)論，并對其實施改造，以達到機械安全與人員保護的目的。

2、風險評估原理

根據(jù)ISO 12100的要求，應(yīng)依照一系列合理步驟進行風險評估，以便對機械相關(guān)危險進行系統(tǒng)地檢查。對于ISO 12100：2010第6條中所述的任何風險降低措施，風險評估過程均應(yīng)遵守。為最大限度消除危險并實施安全措施，這一過程重復進行時，應(yīng)給出一個迭代過程。

風險評估方法包括：

風險估計。確定限制條件；危險確認；風險估計。

風險評價。風險估計提供了風險評估所需的信息，而風險評估反過來又有助于對機械安全進行判定。

3、第三 針對一臺400T機械式壓力機所進行的風險評估

在本文中，我們將主要針對一臺400T閉點式機械壓力機進行風險評估，以識別其中所存在的風險。依據(jù)前文所述，我們執(zhí)行了以下步驟：

預定的使用環(huán)境為一般工業(yè)環(huán)境。機器針對操作人員，維護人員和技術(shù)人員使用而設(shè)計。人員已接受機器相關(guān)的常規(guī)培訓。HNKJ-400噸壓機上的維護作業(yè)由受過培訓的人員進行。機器的清潔由操作人員進行；若存在堵塞，則由操作人員進行修復。機器的預計使用壽命為20年。

在一臺壓力機中，最顯著的危險源自于合模區(qū)中固定在壓機滑塊的上模與工作臺中固定的下模之間的擠壓危險，但是由于觸及的頻率及方式各不相同，對于各個風險點我們進行了如下的識別與評估：

3.3 從正面進入模具區(qū)域

3.4 從側(cè)面進入模具區(qū)域

從上述的風險評估舉例中，可以看出，即使是同一個機械動作所引起的危險，在不同的作業(yè)情況下，不同的接近路徑下，其風險區(qū)別極大。因此，在考慮設(shè)計控制系統(tǒng)時，不同的接近路徑下，不同的控制系統(tǒng)元素的可靠性和冗余性應(yīng)當也有所區(qū)別。盡管選取最高的系統(tǒng)可靠性顯然能夠滿足系統(tǒng)的安全要求，但是也會造成系統(tǒng)的構(gòu)建成本過高，設(shè)計過于復雜。因此，根據(jù)風險評估的結(jié)果，來選取相應(yīng)的控制系統(tǒng)等級來設(shè)計控制系統(tǒng)，是非常有必要的。

4、結(jié)語

通過對于HRN風險評估參數(shù)法的闡述，以及對于壓機最主要風險進行的分析，我們可以看到，如果在沒有任何保護措施的情況下，操作這樣高風險的機器時是非常危險的。我們必須采取安全保護措施，構(gòu)建安全防護及相對應(yīng)的安全控制系統(tǒng)來保護操作人員的安全。而在設(shè)計控制系統(tǒng)時，根據(jù)不同的HRN參數(shù)，來選擇合適的控制系統(tǒng)等級也是非常重要的。這樣可以針對性地提高系統(tǒng)安全性，并有效地控制項目成本。

參考文獻

篇2

關(guān)鍵詞：內(nèi)部審計；風險導向內(nèi)部審計；風險管理

內(nèi)部審計作為重要的管理工具，一直是企業(yè)內(nèi)部監(jiān)督的重要組成部分。隨著經(jīng)濟全球化和市場競爭多元化的不斷深入，企業(yè)所面臨的風險日趨復雜。尤其是對于大型企業(yè)集團而言，風險規(guī)模已經(jīng)遠遠超出管理層能夠直接管控的范圍。為此，企業(yè)開始日益重視風險管理工作，積極建立內(nèi)部控制體系，提高企業(yè)風險管控能力。在此趨勢下，風險導向內(nèi)部審計應(yīng)運而生，并較好的適應(yīng)了管理層的風險管理需要。

一、風險導向內(nèi)部審計的概念與基本特點

按照國際內(nèi)部審計師協(xié)會（IIA）對內(nèi)部審計的定義，內(nèi)部審計是“一種獨立、客觀的保證和咨詢活動，其目的是在于為組織增加價值并提高組織的運作效率。它采取系統(tǒng)化和規(guī)范化的方法來對風險管理、控制和治理程序進行評估和改善，從而幫助組織實現(xiàn)目標”。根據(jù)這一定義，推行風險導向內(nèi)部審計就是要以對組織風險的評估與改善作為基本目標，以內(nèi)部控制為審計基礎(chǔ)，以公司治理為參與風險管理的前提。風險導向內(nèi)部審計作為內(nèi)部審計發(fā)展的一個階段，其本身具有區(qū)別于傳統(tǒng)內(nèi)部審計和注冊會計師外部審計的特點。筆者認為這些特點主要體現(xiàn)在如下方面：首先，風險導向內(nèi)部審計將風險評估和改善作為首要目標，并據(jù)此延伸其職能。具體來說，其職能主要有三個方面，一是利用其在內(nèi)部管理方面的專家地位和信息優(yōu)勢，根據(jù)企業(yè)目標評估、分析和管理風險，并將審計結(jié)果和管理建議向管理層報告。二是幫助管理層在制定重大決策事項時進行風險評估。三是為市場、采購、技術(shù)等其他專業(yè)領(lǐng)域的風險管理部門提供咨詢?？傊L險導向內(nèi)部審計不再是消極的查錯防弊，而應(yīng)以組織的整體風險評估作為首要工作。其次，風險導向內(nèi)部審計在方法上更加注重風險評估、缺陷評估和管理建議。區(qū)別于傳統(tǒng)內(nèi)部審計，風險導向內(nèi)部審計始終把風險管理作為審計工作的出發(fā)點和落腳點，強化審計工作的事前風險評估和事后缺陷評估環(huán)節(jié)，并基于這些評估得到審計結(jié)論和給出風險管理建議。第三，風險導向內(nèi)部審計以內(nèi)部控制為基礎(chǔ)。從理論上說，內(nèi)部審計是內(nèi)部控制的監(jiān)督環(huán)節(jié)，是對其他內(nèi)部控制環(huán)節(jié)的再控制。內(nèi)部審計無論從事是對風險的評估和改善，還是參與風險管理和治理程序，都需要依托對企業(yè)內(nèi)部控制狀況的了解。第四，采用風險導向使內(nèi)部審計工作融入企業(yè)全面風險管理體系。不同于外部審計師所實施的內(nèi)部控制審計，內(nèi)部審計是為了保證企業(yè)經(jīng)營目標的實現(xiàn)、保護資產(chǎn)安全、防止舞弊的發(fā)生而進行的全方位的內(nèi)部控制評價。也就是說，內(nèi)部審計、內(nèi)部控制以及管理層的風險治理活動都是以企業(yè)風險管理為目標。內(nèi)部審計通過采用風險導向而參與到企業(yè)全面風險管理中，成為整個風險管理體系的有機組成部分。

二、在內(nèi)部審計中采用風險導向的必要性與實踐意義

當前，內(nèi)部審計需要應(yīng)對的風險越來越復雜，對審計的要求也不斷提高。內(nèi)部審計需要更為全面、及時、準確的反映企業(yè)存在的風險，并提出有針對性的管理建議。傳統(tǒng)內(nèi)部審計雖然也針對企業(yè)風險進行監(jiān)督，但從根本上說仍然缺乏完整有效的風險識別和評估體系，審計工作高度依賴審計人員水平，其風險覆蓋的全面性、重要環(huán)節(jié)的審計充分性、以及審計質(zhì)量的穩(wěn)定性均難以保證。這不但無法滿足企業(yè)風險管理需求，而且難以體現(xiàn)內(nèi)部審計的管理價值，不利于內(nèi)部審計的長期發(fā)展。因此，在審計實踐中采用風險導向是內(nèi)部審計發(fā)展的必然選擇。

1、風險導向內(nèi)部審計以風險評估和改善為目標，可以更為系統(tǒng)的覆蓋企業(yè)重要風險，保證內(nèi)部審計的完整性傳統(tǒng)內(nèi)部審計對于內(nèi)部控制的關(guān)注一般集中在已有流程和已識別的運營風險，而缺乏對風險識別全面性和風險變動的評估。但對個體企業(yè)而言，無論是外部環(huán)境、業(yè)務(wù)特點，還是內(nèi)部管理和治理結(jié)構(gòu)都十分復雜，且始終處在不斷變化的過程中。COSO委員會在2004年頒布的《企業(yè)風險管理——整體框架》（ERM）中將企業(yè)全面風險要素概括為八個大類，而阿瑟.安德森公司的商務(wù)風險模型（BRM）則將企業(yè)風險概括為三大類75種，足見其范圍之廣。在此情況下，傳統(tǒng)內(nèi)部審計很難保證審計結(jié)果和管理建議不存在重大遺漏、誤判或者與企業(yè)實際狀況脫節(jié)的風險。而風險導向內(nèi)部審計通過有效的風險識別和風險評估，可以及時、全面的掌握這些情況，幫助內(nèi)部審計部門形成對被審企業(yè)的完整認識。

2、風險導向內(nèi)部審計對風險和缺陷的評估，能夠更為科學的確定審計事項的重要性水平，有助于合理調(diào)配審計資源，深入進行研究分析，保證內(nèi)部審計的充分性在目前的內(nèi)部審計實踐中，一個較為突出的問題是在標準化的審計程序上耗費大量審計資源，而缺乏對重要問題的深入研究和系統(tǒng)性分析。具體來說，一方面，審計過于追求程序的標準化，審計意見包含大量詳細的操作細節(jié)問題，但沒有區(qū)分重要性水平。特別是對于風險較小的環(huán)節(jié)給予過多關(guān)注，造成控制冗余，不但影響審計效率，也可能對后續(xù)審計產(chǎn)生誤導。另一方面，對于重要缺陷不能給出系統(tǒng)評估和全面的解決方案，例如評估缺陷在多大程度上增加了企業(yè)運營風險，缺陷產(chǎn)生的系統(tǒng)性原因和個體原因，以及如何進行整改和需要投入的管理資源是否符合成本效益原則。而風險導向內(nèi)部審計重視事前的風險評估，可以有效解決審計側(cè)重點問題，合理調(diào)配審計資源。可以結(jié)合企業(yè)目標，有針對性的深入研究重要風險，評估缺陷程度。同時，還可以減少在次要風險上的審計資源投入，在總體資源有限的情況下發(fā)揮最大的審計效果。

三、實施風險導向內(nèi)部審計的實現(xiàn)途徑與展望

風險導向內(nèi)部審計從根本上改變了傳統(tǒng)審計的指導思想和工作模式，對內(nèi)審部門提出了很大的挑戰(zhàn)，其在實踐中的應(yīng)用還存在很大障礙。筆者認為，要想實施風險導向內(nèi)部審計，至少需要在如下幾個實現(xiàn)轉(zhuǎn)變。

1、內(nèi)部審計部門職能的轉(zhuǎn)變：由消極的查錯防弊向主動的風險管理轉(zhuǎn)變在所有阻礙風險導向?qū)徲媽嵤┑膯栴}中，最根本的是內(nèi)審部門自身定位的轉(zhuǎn)變。風險導向內(nèi)部審計要求內(nèi)審部門的定位要從消極的查錯防弊變?yōu)橹鲃拥娘L險管理，在風險評估、內(nèi)部控制乃至公司治理中發(fā)揮專業(yè)作用。這使內(nèi)審工作從監(jiān)督指導職能延伸到風險評估、缺陷分析和管理咨詢，幾乎顛覆了內(nèi)審部門的舊有工作范圍，無疑是對內(nèi)審部門從軟件到硬件的全面挑戰(zhàn)。盡管如此，這些轉(zhuǎn)變又是不可回避的，因為能否轉(zhuǎn)變思路并主動適應(yīng)新的角色，是內(nèi)部審計能否提升自身價值的關(guān)鍵所在，也是企業(yè)風險管理提升不可或缺的重要途徑。

2、審計方法的轉(zhuǎn)變：建立完善風險評估機制風險評估和改善作為內(nèi)部審計的首要目標，在實踐中也是能否真正實施風險導向內(nèi)部審計的關(guān)鍵問題。因為企業(yè)的風險千差萬別，風險評估也非常復雜繁瑣，但作為整個審計體系的基石，所有后續(xù)審計工作均需要以風險評估為基礎(chǔ)。筆者認為，企業(yè)應(yīng)通過建立成熟的風險識別模型和風險評估程序，通過流程化、標準化以節(jié)約審計資源。具體來說，一方面內(nèi)審部門應(yīng)結(jié)合COSO企業(yè)風險管理框架（ERM）、企業(yè)風險模型（BRM）以及其他風險分析工具，建立一套適合本企業(yè)特點的風險識別模型。然后根據(jù)企業(yè)目標，在模型框架內(nèi)識別具有重大影響的風險項目，建立企業(yè)風險數(shù)據(jù)庫。另一方面，在內(nèi)部審計中應(yīng)建立風險評估報告制度，強制要求內(nèi)審人員全面了解被審單位的風險狀況，以保證所有后續(xù)審計工作按風險導向執(zhí)行，最終幫助評價審計結(jié)果對企業(yè)整體風險的影響。

3、風險管理架構(gòu)的轉(zhuǎn)變：整合內(nèi)部控制資源，實施風險的全過程管理無論是內(nèi)部審計還是內(nèi)部控制和企業(yè)風險管理部門，乃至于各專業(yè)部門的風險管理人員，其根本任務(wù)歸根結(jié)底就是對風險進行管理。而受制于管理范圍和資源限制，內(nèi)部審計部門必須與其他風險管理部門共同開展風險管理工作。具體來說，一是需要加強部門協(xié)調(diào)，與相關(guān)部門共享風險數(shù)據(jù)庫，并在共同的風險識別框架下對風險形成共同認識，對控制措施和審計缺陷評估實施共同標準。二是對風險進行全過程管理。根據(jù)風險管理過程理論，風險管理是風險識別、風險度量和風險監(jiān)控三個環(huán)節(jié)構(gòu)成的循環(huán)，內(nèi)部審計對于風險的管理也必然是一個動態(tài)的過程，需要整合相關(guān)資源對風險全流程進行管理，及時進行重新評估和應(yīng)對。目前，外部審計機構(gòu)正在大力開展管理咨詢業(yè)務(wù)，憑借其專業(yè)優(yōu)勢和成本優(yōu)勢，越來越多的重復性內(nèi)部審計工作已呈現(xiàn)外包化趨勢。內(nèi)部審計如果仍在“查錯防弊”階段止步不前，將越來越難以為企業(yè)創(chuàng)造價值。因此，只有積極參與企業(yè)內(nèi)部風險管理，并在此基礎(chǔ)上與其他風險管理部門密切配合，形成強有力的風險管理體系，才能有效為企業(yè)保駕護航，這或許是內(nèi)部審計的長遠發(fā)展方向。

作者:姜傳志 胡增會 單位:青島中油巖土工程有限公司

參考文獻:

[1]曹偉,桂友泉.2002:內(nèi)部審計與內(nèi)部控制[J].審計研究(1),P27-30.

[2]費朵,鄒家繼.2008:項目風險識別方法探討[J].物流科技(8),P139-141.

篇3

關(guān)鍵詞：網(wǎng)絡(luò)審計　歷史財務(wù)報表審計　信息安全管理　風險評估

一、引言

從審計的角度，風險評估是現(xiàn)代風險導向?qū)徲嫷暮诵睦砟?。無論是在歷史財務(wù)報表審計還是在網(wǎng)絡(luò)審計中，現(xiàn)代風險導向?qū)徲嬀髮徲嫀熢趫?zhí)行審計工作過程中應(yīng)以風險評估為中心，通過對被審計單位及其環(huán)境的了解，評估確定被審計單位的高風險領(lǐng)域，從而確定審計的范圍和重點，進一步?jīng)Q定如何收集、收集多少和收集何種性質(zhì)的證據(jù)，以便更有效地控制和提高審計效果及審計效率。從企業(yè)管理的角度，企業(yè)風險管理將風險評估作為其基本的要素之一進行規(guī)范，要求企業(yè)在識別和評估風險可能對企業(yè)產(chǎn)生影響的基礎(chǔ)上，采取積極的措施來控制風險，降低風險為企業(yè)帶來損失的概率或縮小損失程度來達到控制目的。信息安全風險評估作為企業(yè)風險管理的一部分，是企業(yè)信息安全管理的基礎(chǔ)和關(guān)鍵環(huán)節(jié)。盡管如此，風險評估在網(wǎng)絡(luò)審計、歷史財務(wù)報表審計和企業(yè)信息安全管理等工作中的運用卻不盡相同，本文在分析計算機信息系統(tǒng)環(huán)境下所有特定風險和網(wǎng)絡(luò)審計風險基本要素的基礎(chǔ)上，從風險評估中應(yīng)關(guān)注的風險范圍、風險評估的目的、內(nèi)容、程序及實施流程等內(nèi)容展開，將網(wǎng)絡(luò)審計與歷史財務(wù)報表審計和信息安全管理的風險評估進行對比分析，以期深化對網(wǎng)絡(luò)審計風險評估的理解。

二、網(wǎng)絡(luò)審計與歷史財務(wù)報表審計的風險評估比較

(一)審計風險要素根據(jù)美國注冊會計師協(xié)會的第47號審計標準說明中的審計風險模型，審計風險又由固有風險、控制風險和檢查風險構(gòu)成。其中，固有風險是指不考慮被審計單位相關(guān)的內(nèi)部控制政策或程序的情況下，其財務(wù)報表某項認定產(chǎn)生重大錯報的可能性；控制風險是被審計單位內(nèi)部控制未能及時防止或發(fā)現(xiàn)財務(wù)報表上某項錯報或漏報的可能性；檢查風險是審計人員通過預定的審計程序未能發(fā)現(xiàn)被審計單位財務(wù)報表上存在重大錯報或漏報的可能性。在網(wǎng)絡(luò)審計中，審計風險仍然包括固有風險、控制風險和檢查風險要素，但其具體內(nèi)容直接受計算機網(wǎng)絡(luò)環(huán)境下信息系統(tǒng)特定風險的影響。計算機及網(wǎng)絡(luò)技術(shù)的應(yīng)用能提高企業(yè)經(jīng)營活動的效率，為企業(yè)的經(jīng)營管理帶來很大的優(yōu)越性，但同時也為企業(yè)帶來了一些新的風險。這些新的風險主要表現(xiàn)為：(1)數(shù)據(jù)與職責過于集中化。由于手工系統(tǒng)中的職責分工、互相牽制等控制措施都被歸并到計算機系統(tǒng)自動處理過程中去了，這些集中的數(shù)據(jù)庫技術(shù)無疑會增加數(shù)據(jù)縱和破壞的風險。(2)系統(tǒng)程序易于被非法調(diào)用甚至遭到篡改。由于計算機系統(tǒng)有較高的技術(shù)要求，非專業(yè)人員難以察覺計算機舞弊的線索，這加大了數(shù)據(jù)被非法使用的可能性。如經(jīng)過批準的系統(tǒng)使用人員濫用系統(tǒng)，或者說，企業(yè)對接近信息缺乏控制使得重要的數(shù)據(jù)或程序被盜竊等。(3)錯誤程序的風險，例如程序中的差錯反復和差錯級聯(lián)、數(shù)據(jù)處理不合邏輯、甚至是程序本身存在錯誤等。(4)信息系統(tǒng)缺乏應(yīng)用的審計接口，使得審計人員在審計工作中難以有效地采集或獲取企業(yè)信息系統(tǒng)中的數(shù)據(jù)，從而無法正常開展審計工作。(5)網(wǎng)絡(luò)系統(tǒng)在技術(shù)和商業(yè)上的風險，如計算機信息系統(tǒng)所依賴的硬件設(shè)備可能出現(xiàn)一些不可預料的故障，或者信息系統(tǒng)所依賴的物理工作環(huán)境可能對整個信息系統(tǒng)的運行效能帶來影響等。相對應(yīng)地，網(wǎng)絡(luò)審計的固有風險主要是指系統(tǒng)環(huán)境風險，即財務(wù)電算化系統(tǒng)本身所處的環(huán)境引起的風險，它可分為硬件環(huán)境風險和軟件環(huán)境風險?？刂骑L險包括系統(tǒng)控制風險和財務(wù)數(shù)據(jù)風險，其中，系統(tǒng)控制風險是指會計電算化系統(tǒng)的內(nèi)部控制不嚴密造成的風險，財務(wù)數(shù)據(jù)風險是指電磁性財務(wù)數(shù)據(jù)被篡改的可能性。檢查風險包括審計軟件風險和人員操作風險，審計軟件風險是指計算機審計軟件本身缺陷原因造成的風險，人員操作風險是指計算機審計系統(tǒng)的操作人員、技術(shù)人員和開發(fā)人員等在工作中由于主觀或客觀原因造成的風險。

(二)風險評估目的無論在網(wǎng)絡(luò)審計還是歷史財務(wù)報表審計中，風險評估只是審計的一項重要程序，貫穿于審計的整個過程。與其他審計程序緊密聯(lián)系而不是一項獨立的活動。盡管如此，兩者所關(guān)注的風險范圍則有所不同。歷史財務(wù)報表審計的風險評估要求審計人員主要關(guān)注的是被審計單位的重大錯報風險――財務(wù)報表在審計前存在重大錯報的可能性。由于網(wǎng)絡(luò)審計的審計對象包括被審計單位基于網(wǎng)絡(luò)的財務(wù)信息和網(wǎng)絡(luò)財務(wù)信息系統(tǒng)兩類，因此審計人員關(guān)注的風險應(yīng)是被審計單位經(jīng)營過程中與該兩類審計對象相關(guān)的風險。(1)對于與企業(yè)網(wǎng)絡(luò)財務(wù)信息系統(tǒng)相關(guān)的風險，審計人員應(yīng)該從信息系統(tǒng)生命周期的各個階段和信息系統(tǒng)的各組成部分及運行環(huán)境兩方面出發(fā)進行評估。信息系統(tǒng)生命周期是指該信息系統(tǒng)從產(chǎn)生到完成乃至進入維護的各個階段及其活動，無論是在早期的線性開發(fā)模型中還是在更為復雜的螺旋式等模型中，一個信息系統(tǒng)的生命周期大都包括規(guī)劃和啟動、設(shè)計開發(fā)或采購、集成實現(xiàn)、運行和維護、廢棄等五個基本階段。由于信息系統(tǒng)在不同階段的活動內(nèi)容不同，企業(yè)在不同階段的控制目標和控制行為也會有所不同，因此，審計人員的風險評估應(yīng)該貫穿于信息系統(tǒng)的整個生命周期。信息系統(tǒng)的組成部分是指構(gòu)成該信息系統(tǒng)的硬件、軟件及數(shù)據(jù)等，信息系統(tǒng)的運行環(huán)境是指信息系統(tǒng)正常運行使用所依托的物理和管理平臺。具體可將其分為五個層面：物理層，即信息系統(tǒng)運行所必備的機房、設(shè)備、辦公場所、系統(tǒng)線路及相關(guān)環(huán)境；網(wǎng)絡(luò)層，即信息系統(tǒng)所需的網(wǎng)絡(luò)架構(gòu)的安全情況、網(wǎng)絡(luò)設(shè)備的漏洞情況、網(wǎng)絡(luò)設(shè)備配置的缺陷情況等；系統(tǒng)層，即信息系統(tǒng)本身的漏洞情況、配置的缺陷情況；應(yīng)用層，即信息系統(tǒng)所使用的應(yīng)用軟件的漏洞情況、安全功能缺陷情況；管理層，即被審計單位在該信息系統(tǒng)的運行使用過程中的組織、策略、技術(shù)管理等方面的情況。(2)對于與企業(yè)基于網(wǎng)絡(luò)的財務(wù)信息相關(guān)的風險，審計人員應(yīng)著重關(guān)注財務(wù)信息的重大錯報風險和信息的安全風險。重大錯報風險主要指被審計單位基于網(wǎng)絡(luò)的相關(guān)財務(wù)信息存在重大錯報的可能性，它是針對企業(yè)借助于網(wǎng)絡(luò)信息系統(tǒng)或網(wǎng)絡(luò)技術(shù)對有關(guān)賬戶、交易或事項進行確認、計量或披露而言。網(wǎng)絡(luò)審計中關(guān)注的重大錯報風險與傳統(tǒng)審CtT的內(nèi)涵基本上是一致的，審計人員在審計時應(yīng)當考慮被審計單位的行業(yè)狀況、經(jīng)營性質(zhì)、法律及監(jiān)管環(huán)境、會計政策和會計方法的選用、財務(wù)業(yè)績的衡量和評價等方面的情況對財務(wù)信息錯報可能的影響。信息安全風險涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的風險，主要針對企業(yè)利用信息系統(tǒng)或一定的網(wǎng)絡(luò)平臺來存儲、傳輸、披露相關(guān)財務(wù)信息而言。在審計過程中，審eta員應(yīng)當主要關(guān)注相關(guān)財務(wù)信息被盜用、非法攻擊或篡改及非法使用的可能性。當然，這兩類風險并非完全分離的，評估時審計人員應(yīng)將兩者結(jié)合起來考慮。

(三)風險評估內(nèi)容　廣泛意義的風險評估是指考慮潛在事件對目標實現(xiàn)的影響程度。由于網(wǎng)絡(luò)審計與歷史財務(wù)報表審計風險評估的目的并不完全相同，因此兩者在風險評估的內(nèi)容上也是存在區(qū)別的?？偟膩碚f，網(wǎng)絡(luò)審計的風險評估內(nèi)容比歷史財務(wù)報表審計的風險評估內(nèi)容更廣泛和深入。根據(jù)《中國注冊會計師審計準則第1211號――了解被審計單位及其環(huán)境并評估重大錯報風

險》，在歷史財務(wù)報表審計中，審計人員的風險評估應(yīng)以了解被審計單位及其環(huán)境為內(nèi)容。為識別和評價重大錯報風險，審計人員了解的具體內(nèi)容包括被審計單位所在行業(yè)狀況、法律環(huán)境與監(jiān)管環(huán)境以及其他外部因素、被審計單位的性質(zhì)、被審計單位對會計政策的選擇和運用、被審計單位的目標、戰(zhàn)略以及相關(guān)經(jīng)營風險、被審計單位財務(wù)業(yè)績的衡量和評價及被審it@位的內(nèi)部控制等。在網(wǎng)絡(luò)審計中。為了識別和評估上文所述的兩類風險，審計人員除了從以上方面了解被審計單位及其環(huán)境外，還應(yīng)該關(guān)注其他相關(guān)的潛在事件及其影響，尤其是企業(yè)的財務(wù)信息系統(tǒng)及基于網(wǎng)絡(luò)的財務(wù)信息可能面l臨的威脅或存在的脆弱點。其中，威脅是指對信息系統(tǒng)及財務(wù)信息構(gòu)成潛在破壞的可能性因素或者事件，它可能是一些如工作人員缺乏責任心、專業(yè)技能不足或惡意篡改等人為因素，也可能是一些如灰塵、火災或通訊線路故障等環(huán)境因素。脆弱點是指信息系統(tǒng)及基于網(wǎng)絡(luò)的財務(wù)信息所存在的薄弱環(huán)節(jié)，它是系統(tǒng)或網(wǎng)絡(luò)財務(wù)信息本身固有的，包括物理環(huán)境、組織、過程、人員、管理、配置、硬軟件及信息等各方面的弱點。一般來說，脆弱點本身不會帶來損失或信息錯報，威脅卻總是要利用網(wǎng)絡(luò)、系統(tǒng)的弱點來成功地引起破壞。因此，我們認為網(wǎng)絡(luò)審計申風險評估的內(nèi)容應(yīng)包括以下幾方面：(1)識別被審計單位財務(wù)信息系統(tǒng)及其基于網(wǎng)絡(luò)的財務(wù)信息可能面臨的威脅，并分析威脅發(fā)生的可能性；(2)識別被審計單位財務(wù)信息系統(tǒng)及其基于網(wǎng)絡(luò)的財務(wù)信息可能存在的脆弱點，并分析脆弱點的嚴重程度；(3)根據(jù)威脅發(fā)生的可能性和脆弱點發(fā)生的嚴重程度，判斷風險發(fā)生的可能性；(4)根據(jù)風險發(fā)生的可能性，評價風險對財務(wù)信息系統(tǒng)和基于網(wǎng)絡(luò)的財務(wù)信息可能帶來的影響；(5)若被審計單位存在風險防范或化解措施，審計人員在進行風險評估時還應(yīng)該考慮相應(yīng)措施的可行性及有效性。

(四)風險評估程序《中國注冊會計師審計準則第1211-----了解被審計單位及其環(huán)境并評估重大錯報風險》中要求，審計人員應(yīng)當實施詢問、分析程序、觀察和檢查等程序，以獲取被審計單位的信息，進而評估被審計單位的重大錯報風險。這些程序同樣適用于網(wǎng)絡(luò)審計中的風險評估。但在具體運用時網(wǎng)絡(luò)審計中更加注重了解和分析被審計單位與信息系統(tǒng)及網(wǎng)絡(luò)技術(shù)使用相關(guān)的事項。在實施詢問程序時，審計人員的詢問對象圍繞信息系統(tǒng)和基于網(wǎng)絡(luò)的財務(wù)信息可大致分為管理人員、系統(tǒng)開發(fā)和維護人員(或信息編制人員)、系統(tǒng)使用人員(或信息的內(nèi)部使用人員)、系統(tǒng)或網(wǎng)絡(luò)技術(shù)顧問及其他外部相關(guān)人員(如律師)等五類，分別從不同角度了解信息系統(tǒng)和基于網(wǎng)絡(luò)的財務(wù)信息可能存在的威脅和脆弱點。在實施分析程序時，除了研究財務(wù)數(shù)據(jù)及與財務(wù)信息相關(guān)的非財務(wù)數(shù)據(jù)可能的異常趨勢外，審計人員應(yīng)格外關(guān)注對信息系統(tǒng)及網(wǎng)絡(luò)的特性情況，被審計單位對信息系統(tǒng)的使用情況等內(nèi)容的分析比較。實施觀察和檢查時，除執(zhí)行常規(guī)程序外，審計人員應(yīng)注意觀察信息系統(tǒng)的操作使用和檢查信息系統(tǒng)文檔。除此之外，針對特定系統(tǒng)或網(wǎng)絡(luò)技術(shù)風險的評估，審計人員還需要實施一些特定的程序。技術(shù)方面如IOS取樣分析、滲透測試、工具掃描、安全策略分析等；管理方面如風險問卷調(diào)查、風險顧問訪談、風險策略分析、文檔審核等。其中，IDS取樣分析是指通過在核心網(wǎng)絡(luò)采樣監(jiān)聽通信數(shù)據(jù)方式，獲取網(wǎng)絡(luò)中存在的攻擊和蠕蟲行為，并對通信流量進行分析；滲透測試是指在獲取用戶授權(quán)后，通過真實模擬黑客使用的工具、方法來進行實際漏洞發(fā)現(xiàn)和利用的安全測試方法；工具掃描是指通過評估工具軟件或?qū)Ｓ冒踩u估系統(tǒng)自動獲取評估對象的脆弱性信息，包括主機掃描、網(wǎng)絡(luò)掃描、數(shù)據(jù)庫掃描等，用于分析系統(tǒng)、應(yīng)用、網(wǎng)絡(luò)設(shè)備存在的常見漏洞。風險問卷調(diào)查與風險顧問訪談要求審計人員分別采用問卷和面談的方式向有關(guān)主體了解被審計單位的風險狀況，使用時關(guān)鍵是要明確問卷或訪談的對象情況風險策略分析要求審計人員對企業(yè)所設(shè)定的風險管理和應(yīng)對策略的有效性進行分析，進而評價企業(yè)相關(guān)風險發(fā)生的概率以及可能帶來的損失；文檔審核是一種事前評價方法，屬于前置軟件測試的一部分，主要包括需求文檔測試和設(shè)計文檔測試。這些特定程序主要是針對被審計單位信息系統(tǒng)和基于網(wǎng)絡(luò)的財務(wù)信息在網(wǎng)絡(luò)安全風險方面進行評價，審計人員在具體使用時應(yīng)結(jié)合被審計單位的業(yè)務(wù)性質(zhì)選擇合適的程序。

三、網(wǎng)絡(luò)審計與信息安全管理的風險評估比較

(一)風險評估的目的信息安全管理中的風險評估(即信息安全風險評估)是指根據(jù)國家有關(guān)信息安全技術(shù)標準，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學評價的過程。作為信息安全保障體系建立過程中的重要的評價方法和決策機制，信息安全風險評估是企業(yè)管理的組成部分，它具有規(guī)劃、組織、協(xié)調(diào)和控制等管理的基本特征，其主要目的在于從企業(yè)內(nèi)部風險管理的角度，在系統(tǒng)分析和評估風險發(fā)生的可能性及帶來的損失的基礎(chǔ)上，提出有針對性的防護和整改措施，將企業(yè)面臨或遭遇的風險控制在可接受水平，最大限度地保證組織的信息安全。而網(wǎng)絡(luò)審計是由獨立審計人員向企業(yè)提供的一項鑒證服務(wù)，其風險評估的目的在于識別和評價潛在事件對被審計單位基于網(wǎng)絡(luò)的財務(wù)信息的合法性、公允性以及網(wǎng)絡(luò)財務(wù)信息系統(tǒng)的合規(guī)性、可靠性和有效性的影響程度，從而指導進一步審計程序。因此，兩者風險評估的目的是不一樣。從評估所應(yīng)關(guān)注的風險范圍來看，兩者具有一致性，即都需要考慮與信息系統(tǒng)和信息相關(guān)的風險。但是，具體的關(guān)注邊界則是不一樣的。信息安全風險評估要評估企業(yè)資產(chǎn)面臨的威脅以及威脅利用脆弱性導致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響，它要求評估人員關(guān)注與企業(yè)整個信息系統(tǒng)和所有的信息相關(guān)的風險，包括實體安全風險、數(shù)據(jù)安全風險、軟件安全風險、運行安全風險等。網(wǎng)絡(luò)審計中，審計人員是對被審計單位的網(wǎng)絡(luò)財務(wù)信息系統(tǒng)和基于網(wǎng)絡(luò)的財務(wù)信息發(fā)表意見，因此，風險評估時審計人員主要關(guān)注的是與企業(yè)財務(wù)信息系統(tǒng)和基于網(wǎng)絡(luò)的財務(wù)信息相關(guān)的風險，而不是與企業(yè)的整個信息系統(tǒng)和所有的信息相關(guān)的風險。根據(jù)評估實施者的不同，信息安全風險評估形式包括自評估和他評估。自評估是由組織自身對所擁有的信息系統(tǒng)進行的風險評估活動；他評估通常是由組織的上級主管機關(guān)或業(yè)務(wù)主管機關(guān)發(fā)起的，旨在依據(jù)已經(jīng)頒布的法規(guī)或標準進行的具有強制意味的檢查。自評估和他評估都可以通過風險評估服務(wù)機構(gòu)進行咨詢、服務(wù)、培訓以及風險評估有關(guān)工具的提供。因此。對審計人員而言，受托執(zhí)行的信息安全風險評估應(yīng)當歸屬于管理咨詢類，即屬于非鑒證業(yè)務(wù)，與網(wǎng)絡(luò)審計嚴格區(qū)分開來。

(二)風險評估的內(nèi)容在我國國家質(zhì)量監(jiān)督檢驗檢疫總局的《信息安全風險評估指南》(征求意見稿)國家標準中，它將信息安全風險評估的內(nèi)容分為兩部分：基本要素和相關(guān)屬性，提出信息安全風險評估應(yīng)圍繞其基本要素展開，并充分考慮與這些基本要素相關(guān)的其他屬性。其中，風險評估的基本要素包括資產(chǎn)、脆弱性、威脅、風險和安全措施；相關(guān)屬性包括業(yè)務(wù)戰(zhàn)略、資產(chǎn)價值、安全需求、安全事件、殘余風險等。在此基礎(chǔ)上的風險計算過程是：(1)對信息資產(chǎn)進行識別，并對資產(chǎn)賦值；(2)對威脅進行分析，并對威

脅發(fā)生的可能性賦值；(3)識別信息資產(chǎn)的脆弱性，并對弱點的嚴重程度賦值；(4)根據(jù)威脅和脆弱性計算安全事件發(fā)生的可能性；(5)根據(jù)脆弱性的嚴重程度及安全事件所作用的資產(chǎn)的價值計算安全事件造成的損失；(6)根據(jù)安全事件發(fā)生的可能性以及安全事件出現(xiàn)后的損失，計算安全事件一旦發(fā)生對組織的影響，即風險值。結(jié)合上文網(wǎng)絡(luò)審計風險評估五個方面的內(nèi)容可以看出，網(wǎng)絡(luò)審計和信息安全風險評估在內(nèi)容上有相近之處，即都需要針對信息系統(tǒng)和信息可能面臨的威脅和存在的脆弱點進行識別。但是，信息安全管理作為企業(yè)的一項內(nèi)部管理，其風險評估工作需要從兩個層次展開：一是評估風險發(fā)生的可能性及其影響；二是提出防護或整改措施以控制風險。第一個層次的工作實質(zhì)上是為第二層次工作服務(wù)的，其重點在第二層次?！缎畔踩L險評估指南》(征求意見稿)提出，企業(yè)在確定出風險水平后，應(yīng)對不可接受的風險選擇適當?shù)奶幚矸绞郊翱刂拼胧?，并形成風險處理計劃。其中，風險處理的方式包括回避風險、降低風險、轉(zhuǎn)移風險、接受風險，而控制措施的選擇應(yīng)兼顧管理和技術(shù)，考慮企業(yè)發(fā)展戰(zhàn)略、企業(yè)文化、人員素質(zhì)，并特別關(guān)注成本與風險的平衡。網(wǎng)絡(luò)審計的風險評估工作主要集中在第一個層次，即審計人員通過風險評估，為進一步審計中做出合理的職業(yè)判斷、有效地實施網(wǎng)絡(luò)審計程序和實現(xiàn)網(wǎng)絡(luò)審計目標提供重要基礎(chǔ)。因此，兩者的評估內(nèi)容是存在區(qū)別的。

篇4

本文基于德爾菲法，通過整合風險評估理論分析了目前商貿(mào)流通業(yè)轉(zhuǎn)型中的風險，并提出了建立或完善商貿(mào)流通業(yè)風險評估體系的方法和措施，希望能夠為商貿(mào)流通業(yè)轉(zhuǎn)型期風險評估研究提供有益參考。

關(guān)鍵詞：

商貿(mào)流通業(yè)；風險評估；德爾菲法

一、轉(zhuǎn)型時期的商貿(mào)流通企業(yè)風險分析

（一）細分市場風險事實上，市場細分建立在三個基礎(chǔ)上。在市場上，消費者總是希望根據(jù)自己的獨特需求去購買產(chǎn)品，因此不同顧客間的需求是有差異性的；在同一地理條件下、具有相同背景和文化的人們有著相對類似的價值觀和人生觀，因此他們的需求又是具備相似性的；企業(yè)受限于自身實力，無法向市場提供滿足一切需求的產(chǎn)品。為了有效競爭，企業(yè)選擇市場細分，針對目標市場，集中企業(yè)優(yōu)勢資源，取得競爭優(yōu)勢。目前商貿(mào)流通企業(yè)在轉(zhuǎn)型中的確將很大一部分將精力投入到細分市場中，盡量滿足客戶多元化及個性化的需求，但這背后其實也隱藏了很大的風險。首先，細分市場可能導致其訂單碎片化和小量化，影響其市場占有率。其次，細分市場可能會增加企業(yè)運營成本。整個商貿(mào)流通業(yè)的利潤率并不高，如果缺乏銷量的支持，企業(yè)很有可能會虧損。最后，消費者需求變化快，細分市場不穩(wěn)定，增加了企業(yè)運營風險。

（二）互聯(lián)網(wǎng)運營風險在互聯(lián)網(wǎng)經(jīng)濟時代，電子商務(wù)的快速發(fā)展帶動了商貿(mào)流通業(yè)與互聯(lián)網(wǎng)的快速“聯(lián)姻”。應(yīng)用新技術(shù)和發(fā)展新模式成為商貿(mào)流通業(yè)改革創(chuàng)新的重要手段，其中大力發(fā)展電子商務(wù)，建立網(wǎng)絡(luò)化平臺就是當今的主流趨勢。傳統(tǒng)的商貿(mào)流通業(yè)存在著信息不對稱、資源配置效率低等弊端，而在以云計算、物聯(lián)網(wǎng)為代表的新一代信息技術(shù)沖擊下，電子商務(wù)平臺幫助傳統(tǒng)商貿(mào)流通業(yè)突破束縛其做大做強的瓶頸，成為組織配置資源和要素的中心，主動引導生產(chǎn)和影響消費，真正成為經(jīng)濟活動的主導者。對于眾多商貿(mào)流通企業(yè)來說，挑戰(zhàn)無處不在，其中最突出的問題即是線上與線下模式的沖突，線上模式由于減少中間渠道商環(huán)節(jié)，可以節(jié)省一定成本，因此線上商品價格普遍比線下有優(yōu)勢，這在一定程度上壓縮了線下模式的利潤率，在線上模式未達到盈利規(guī)模時，企業(yè)需要承擔很大的經(jīng)營風險和財務(wù)風險。

（三）供應(yīng)鏈整合風險供應(yīng)鏈整合風險與互聯(lián)網(wǎng)運營風險一脈相承，由于線上模式的成功很大程度上依賴于倉儲物流及供應(yīng)鏈管理，然而對于商貿(mào)流通企業(yè)來說，由于往往處于制造業(yè)的下游，對于供應(yīng)鏈的把控處于非支配地位，因此在經(jīng)營中往往被動，一旦供應(yīng)鏈出現(xiàn)環(huán)節(jié)失聯(lián)或溝通無效的情況，便會出現(xiàn)系統(tǒng)性業(yè)務(wù)失效，進而直接危及企業(yè)運營?；ヂ?lián)網(wǎng)與移動經(jīng)濟的發(fā)展使得商貿(mào)企業(yè)間的競爭不單純是產(chǎn)品的競爭，更是供應(yīng)鏈與供應(yīng)鏈的競爭。目前互聯(lián)網(wǎng)公司正致力于建設(shè)自己的產(chǎn)品生態(tài)圈，本質(zhì)上就是依托自身強大的營銷能力和供應(yīng)鏈管理能力，橫向擴充產(chǎn)品線，形成競爭優(yōu)勢。從整條商品供應(yīng)鏈上看，制造業(yè)創(chuàng)造的利潤是最低的，而最有價值的卻是流通服務(wù)和產(chǎn)品研發(fā)。因此對于一般商貿(mào)流通企業(yè)來說，整合供應(yīng)鏈有利于把控上下游產(chǎn)業(yè)鏈，降低交易成本，增加企業(yè)利潤。很明顯，要做到這點需要流通主體的市場占有率和盈利能力，對于中小流通企業(yè)來說，需要有更高層次的改革方向作為配合。

二、科學的企業(yè)風險評估體系要素與流程

企業(yè)層面的風險評估也稱危險度評價或安全評價，是指在風險事件發(fā)生之前或之后（但還沒有結(jié)束），對該事件給企業(yè)財產(chǎn)和正常生產(chǎn)、運營等方面造成影響和損失的可能性進行量化評估的工作。對于商貿(mào)流通業(yè)來說，產(chǎn)業(yè)轉(zhuǎn)型升級是企業(yè)可持續(xù)發(fā)展的必然選擇，而風險評估以保證轉(zhuǎn)型升級安全為目的，通過對固有或潛在風險進行定性和定量分析，有針對性地制定控制措施和管理決策。企業(yè)風險評估圍繞業(yè)務(wù)戰(zhàn)略、資產(chǎn)價值、安全需求、安全措施、脆弱性和安全事件等基本要素展開，在對基本要素評估的過程中，必須充分考慮到個要素間相互作用關(guān)系。企業(yè)風險評估中各要素的關(guān)系如圖1所示。

（一）評估準備與資產(chǎn)識別風險前的準備至關(guān)重要，關(guān)系到風險評估的準備性及實際效果。首先要確定風險評估的目的以及風險評估的范圍，接著組建適當?shù)脑u估管理與實施團隊。然后進行系統(tǒng)調(diào)研，可以采取問卷調(diào)查或現(xiàn)場詢問等方式，獲得相關(guān)數(shù)據(jù)后，制定方案，隨即進入資產(chǎn)識別階段，該階段是對系統(tǒng)中設(shè)計的重要資產(chǎn)進行識別，并對其等級進行評估。

（二）威脅識別與脆弱性識別威脅識別與脆弱性識別是企業(yè)風險評估流程的第二階段。威脅是一種對組織及其資產(chǎn)構(gòu)成潛在破壞的可能性因素，威脅識別就是要識別重要資產(chǎn)可能遇到的威脅，例如競爭對手可能采取的策略。脆弱性識別也稱弱點識別，每個企業(yè)都有優(yōu)勢資源，一個企業(yè)的優(yōu)勢對應(yīng)競爭對手就是弱點，因此要識別自身存在的相對于競爭對手的脆弱性，并提前評估定級，同時還要對目前采取的應(yīng)對策略進行評估，是否應(yīng)該沿襲或調(diào)整。

（三）綜合分析與制定風控預案綜合分析與制定風控預案是企業(yè)進行風險評估的第三階段，風險綜合分析是綜合企業(yè)資產(chǎn)識別、威脅識別、脆弱性識別的情況及數(shù)據(jù)，定性和定量地評估目前企業(yè)安全狀況及風險因素，確定企業(yè)可接受風險范圍；風險控制方案是針對風險綜合分析中的風險要素，特別是不可接受風險，制定風險控制和處理計劃，選擇有效的風險控制措施將殘余風險限制在可接受范圍內(nèi)。

三、商貿(mào)流通企業(yè)風險評估體系的完善

（一）方法選擇在目前的主流企業(yè)風險評估方法體系中，德爾菲法是應(yīng)用最為廣泛的。該方法是采用背對背的通信方式征詢專家小組的預測意見，經(jīng)過幾輪征詢，使專家小組的預測意見趨于集中，最后做出符合市場未來發(fā)展趨勢的預測結(jié)論，因此本質(zhì)上是一種反饋匿名函詢法。相較于其他技術(shù)預見法，德爾菲法重點在于把握事物發(fā)展趨勢，而非結(jié)果的精度。德爾菲法有三個明顯區(qū)別于其他專家預測方法的特點，即匿名性、多次反饋、小組的統(tǒng)計回答。匿名法是德爾菲法的突出特點，從事預測的專家彼此不知道有哪些人參加預測，這樣就可以減少權(quán)威、主觀思想或情緒等因素的干擾，獲得最接近事實的結(jié)論；反饋性是指該方法需要經(jīng)過很多輪的信息反饋，在每次反饋中調(diào)查組和專家組都需要進行深入研究，并對自己的想法和結(jié)論不斷改進調(diào)整，這樣可以避免一些疏忽或填補某些領(lǐng)域的知識空白，使得結(jié)果客觀、可信；統(tǒng)計性是指該方法依據(jù)集體決策遵循少數(shù)服從多數(shù)的原則，因此結(jié)果反映多數(shù)人的觀點。

（二）完善流程依據(jù)本文選取的德爾菲法企業(yè)風險控制預案制定思想，德爾菲法的實施一般有組建預測小組、選擇專家、設(shè)計問卷、實施調(diào)查和反饋匯總等步驟，其中調(diào)查和反饋是德爾菲法能否發(fā)揮作用最重要的環(huán)節(jié)。在整個實施過程中，組織者和專家組各有不同的任務(wù)。針對商貿(mào)流通企業(yè)的風險控制需求，考慮到每個企業(yè)由于所處的市場環(huán)境、市場地位不一樣，面臨的風險種類和程度也各有不同，形成具有代表性的標準化風險評估體系建立工作流程十分必要。微觀企業(yè)可以參照本文操作流程來有步驟、因地制宜的開展風險評估體系的完善工作，如圖2所示。1.組建預測工作組。對于流通企業(yè)由單一流通職能向多功能服務(wù)提供者的角色轉(zhuǎn)變趨勢，企業(yè)首先需要綜合評估未來轉(zhuǎn)型中面臨的大概率風險，將因此而可能涉及到的人事、市場、銷售、研發(fā)、生產(chǎn)、供應(yīng)鏈等環(huán)節(jié)的負責人都納入評估小組，負責“企業(yè)轉(zhuǎn)型風險評估”調(diào)查問卷的設(shè)計、專家選擇、調(diào)查統(tǒng)計等一系列工作，避免片面，此階段多屬于預測和評估研究性工作。2.選擇專家。進行企業(yè)風險評估的專家選擇應(yīng)來自內(nèi)部和外部兩個渠道，企業(yè)、行業(yè)協(xié)會和政府等均應(yīng)納入專家小組范圍，專家不僅要有豐富的研究經(jīng)驗，還要熟悉商貿(mào)流通業(yè)的發(fā)展歷史和具體的企業(yè)經(jīng)營概況，能夠站在企業(yè)、行業(yè)及國家三個層面對商貿(mào)流通業(yè)的未來發(fā)展趨勢給出戰(zhàn)略性意見并參與討論。3.設(shè)計專家調(diào)查表。專家調(diào)查表的設(shè)計一般來說應(yīng)根據(jù)商貿(mào)流通企業(yè)的實際情況，可以分為以下幾個部分：該企業(yè)目前的競爭優(yōu)勢有哪些；該企業(yè)的競爭對手在哪些方面的威脅最大；該企業(yè)最容易出現(xiàn)風險的地方是哪里；該企業(yè)進入細分市場的障礙是什么；該企業(yè)是否有能力發(fā)展電子商務(wù)平臺；該企業(yè)的供應(yīng)鏈管理能力如何。專家對每一項做出回答，并按照重要程度劃分：分為非常重要、重要、一般、不重要四個級別。4.組織調(diào)查實施。第一輪調(diào)查是開放式的，組織者提供背景材料和預測問題，請專家圍繞預測問題提出自己的看法。組織者匯總整理專家意見，歸并同類意見，并作為第二輪調(diào)查表分發(fā)給專家組；第二輪調(diào)研是評價式的，專家評價第一輪調(diào)研總結(jié)出的每個預測事件，說明事件可能發(fā)生的時間、方式、影響和理由，組織者統(tǒng)計這一輪專家意見，再整理出第三輪調(diào)查表；第三輪調(diào)研是重審式的，在這一輪中，專家會重新審視爭論的焦點，給出自己新的評價，如果修正自己的意見，應(yīng)敘述更改理由。組織者負責形成最終的風險評估報告和應(yīng)對預案。值得注意的是，并非所有預測都需要經(jīng)過這幾步，有些預測事件可能在第二步就達成統(tǒng)一意見，或者經(jīng)過三輪以上反饋仍然有較大分歧。事實上，定性研究不像定量研究那么精確，結(jié)果往往不很統(tǒng)一，只要如實記錄下來就可以盡量真實地反映事件的發(fā)展趨勢。運用德爾菲法時必須注意兩點，一是保證專家意見的獨立性，二是專家挑選必須基于對企業(yè)的了解，根據(jù)專家預測的風險排序，商貿(mào)流通企業(yè)需要針對每一個可能出現(xiàn)的風險，制定相應(yīng)的風險預防方案。如果缺乏相應(yīng)的預防措施，那么企業(yè)就應(yīng)該考慮放棄該轉(zhuǎn)型方向，選擇從風險系數(shù)更小或風險應(yīng)對措施更加充分的領(lǐng)域開始著手進行轉(zhuǎn)型變革工作，以便減少失敗概率，取得最大效益，也只有這樣，流通企業(yè)的風險預測才能得到更客觀、準確的結(jié)果，企業(yè)的風險預防和控制工作也才真正有意義。

參考文獻：

1.曲鐘陽.基于德爾菲法的技術(shù)預見[D].大連理工大學，2013

2.徐藹婷.德爾菲法的應(yīng)用及其難點[J].中國統(tǒng)計，2006（9）

3.夏網(wǎng)生，許黎明.加快江蘇商貿(mào)流通轉(zhuǎn)型升級[J].群眾，2014（12）

4.顧宇.傳統(tǒng)國有商貿(mào)流通企業(yè)轉(zhuǎn)型升級的路徑探討[J].中國商貿(mào)，2013（14）

篇5

關(guān)鍵詞：風險導向?qū)徲?；審計模式；適用性分析

隨著國內(nèi)外重大審計失敗事件的不斷發(fā)生，風險導向?qū)徲嬜鳛橐环N重要的審計理念和方法，受到審計職業(yè)界和學者的關(guān)注。中國注冊會計師協(xié)會在2004年10月了新的審計風險準則征求意見稿，要求注冊會計師在審計中使用現(xiàn)代風險導向?qū)徲嫹椒?，實施風險評估程序，降低審計風險，提高審計質(zhì)量。如果審計風險準則一旦正式生效，將使我國的審計風險準則與國際接軌，并引導中國注冊會計師實務(wù)由傳統(tǒng)風險導向?qū)徲嬒颥F(xiàn)代風險導向?qū)徲嬣D(zhuǎn)變。因此，對現(xiàn)代風險導向?qū)徲嬆Ｊ降睦斫庖约霸谖覈倪m用性分析就顯得十分重要。

一、風險導向?qū)徲嫺攀?/p>

隨著社會經(jīng)濟的發(fā)展變化，審計方法適應(yīng)審計環(huán)境的變化經(jīng)歷了三個發(fā)展階段：一是審計發(fā)展的早期，由于企業(yè)組織結(jié)構(gòu)簡單、業(yè)務(wù)性質(zhì)單一，注冊會計師的審計工作目的是為了促使受托責任人在授權(quán)經(jīng)營過程中做出誠實、可靠的行為，審計方式是詳細審計。審計的重心在資產(chǎn)負債表，是對會計憑證和賬簿的詳細審計，旨在發(fā)現(xiàn)和防止錯誤與舞弊，這種審計方法就是賬項基礎(chǔ)審計方法（accountingnumber-basedauditapproach）。二是從1950年代起，以內(nèi)部控制測試為基礎(chǔ)的抽樣審計在西方國家得到廣泛應(yīng)用，這種審計方法重點在于注冊會計師了解、測試和評價內(nèi)部控制設(shè)計的合理性和執(zhí)行的有效性。對內(nèi)部控制存在缺陷的環(huán)節(jié)，注冊會計師通常將其涉及交易和賬戶余額作為審計的重點，甚至進行詳細審計；對于可以信賴的內(nèi)部控制環(huán)節(jié)，通常將其涉及的交易和賬戶余額進行抽樣審計，以提高審計效率和降低審計費用。從方法論的角度，這種審計方法被稱作制度基礎(chǔ)審計方法（system-basedauditapproach）。三是1970年代以后，由于制度基礎(chǔ)審計方法顯露缺陷，一種新的、以風險防范為基礎(chǔ)的風險導向?qū)徲嬆Ｊ街饾u興起，從方法論的角度，注冊會計師以審計風險模型為基礎(chǔ)進行的審計方法稱為風險導向?qū)徲嫹椒ǎ╮isk-orientedauditapproach）。

回顧審計方法的發(fā)展歷程，風險導向?qū)徲嬆Ｊ揭殉蔀閷徲嫹椒òl(fā)展的國際趨勢。風險導向?qū)徲嬆Ｊ胶侠淼負P棄了作為制度導向?qū)徲嬆Ｊ交A(chǔ)的“無利害關(guān)系假設(shè)”，把指導思想建立在“合理的職業(yè)懷疑假設(shè)”的基礎(chǔ)上，不只依賴對被審計單位管理層所設(shè)計和執(zhí)行內(nèi)部控制制度的檢查與評價，而且實事求是地對公司管理層是否誠信、是否有舞弊造假的驅(qū)動始終保持一種合理的職業(yè)警覺，將審計的視野擴大到被審計單位所處的經(jīng)營環(huán)境（微觀、中觀乃至宏觀），將風險評估貫穿于審計工作的全過程。與傳統(tǒng)的制度基礎(chǔ)審計相比較，主要有以下區(qū)別：

（一）審計模式不同

制度基礎(chǔ)審計模式以內(nèi)部控制為核心，對控制風險的評估僅通過確定內(nèi)部控制的可依賴程度來減少實質(zhì)性測試的工作量，而對固有風險的評估常流于形式；風險導向?qū)徲嬆Ｊ讲粌H通過內(nèi)部控制評估控制風險，還結(jié)合其他風險因素尤其是固有風險綜合考慮，通過對企業(yè)環(huán)境、發(fā)展戰(zhàn)略、公司治理結(jié)構(gòu)等方面的評估，發(fā)現(xiàn)其潛在的經(jīng)營風險及財務(wù)風險，并評估財務(wù)報表發(fā)生重大錯報的風險，以便使審計風險降至可接受水平。

（二）審計基礎(chǔ)不同

制度基礎(chǔ)審計以內(nèi)部控制制度為基礎(chǔ)，根據(jù)被審單位內(nèi)部控制制度的健全性及符合性評審結(jié)果，確定實質(zhì)性測試的范圍和重點；風險導向?qū)徲媱t以風險評估為基礎(chǔ)，對影響被審單位經(jīng)濟活動的多種內(nèi)外因素進行評估，確定審計范圍、重點和方法，其不僅重視與內(nèi)部控制系統(tǒng)直接相關(guān)的因素，而且重視各種環(huán)境因素。

（三）審計方法不同

兩種審計模式都采用抽樣技術(shù)，但風險導向?qū)徲嬍峭ㄟ^建立審計風險模型將風險量化。因此，相對于制度基礎(chǔ)審計來說，風險導向?qū)徲嫷某闃蛹夹g(shù)是更完全意義上的審計抽樣，更注重利用分析性測試方法，從而可以有效降低審計風險。

二、風險導向?qū)徲嫷膬煞N模式

風險導向?qū)徲嬜援a(chǎn)生以來經(jīng)歷了兩個階段，理論界把以傳統(tǒng)審計風險模型“審計風險=固有風險×控制風險×檢查風險”為基礎(chǔ)進行的審計稱為傳統(tǒng)風險導向?qū)徲嬆Ｊ?；而?990年代后期開始，在國際會計師事務(wù)所內(nèi)部推行并逐漸被審計理論與實務(wù)界接受的，以“審計風險=重大錯報風險×檢查風險”的模型為基礎(chǔ)，以被審計單位的經(jīng)營風險為導向的審計方法稱作現(xiàn)代風險導向?qū)徲嬆Ｊ健?/p>

傳統(tǒng)風險導向?qū)徲嬆Ｊ脚c現(xiàn)代風險導向?qū)徲嬆Ｊ降谋举|(zhì)區(qū)別在于審計理念和審計技術(shù)方法的不同，后者是對前者的改進，其主要區(qū)別如下：

（一）審計起點不同

傳統(tǒng)風險導向?qū)徲嬤\用的審計風險模型中，固有風險是指假定不存在相關(guān)內(nèi)部控制時，某一賬戶或交易類別單獨或連同其他賬戶、交易類別產(chǎn)生重大錯報或漏報的可能性?？刂骑L險是指某一賬戶或交易類別單獨或連同其他賬戶、交易類別產(chǎn)生錯報或漏報，而未能被內(nèi)部控制防止、發(fā)現(xiàn)或糾正的可能性。傳統(tǒng)風險導向?qū)徲嫹椒ㄍㄟ^綜合評估固有風險和控制風險以確定實質(zhì)性測試的范圍、時間和程序，由于固有風險難以評估，審計的起點往往為企業(yè)的內(nèi)部控制（如果沒有必要測試內(nèi)部控制，審計的起點則為會計報表項目）。

現(xiàn)代風險導向?qū)徲嫹椒ㄍㄟ^綜合評估經(jīng)營控制風險以確定實質(zhì)性測試的范圍、時間和程序，其審計起點為企業(yè)的戰(zhàn)略系統(tǒng)及其業(yè)務(wù)流程。如果企業(yè)的業(yè)務(wù)流程不重要或風險控制很有效，則將實質(zhì)性測試集中在例外事項上。這種新模式的優(yōu)點是將審計的重心前移到風險評估，這將有利于充分識別和評估會計報表重大錯報的風險，因此，主要針對風險設(shè)計、實施控制測試和實質(zhì)性測試程序。此外，注冊會計師容易全面掌握企業(yè)可能存在的重大風險，有利于節(jié)省審計成本，克服因缺乏全面性觀點而導致的審計風險。

（二）風險評估識別以分析性復核程序為中心

現(xiàn)代風險導向?qū)徲嬜⒅剡\用分析性復核程序，以識別可能存在的重大錯報風險；而傳統(tǒng)風險導向?qū)徲媽τ谛畔⒌脑偌庸こ潭炔粔?，其分析性程序主要用在報表分析上。分析性復核程序已成為現(xiàn)代風險審計方法最重要的程序，為了適應(yīng)分析性程序功能擴大的要求，分析性程序開始走向多樣化：在數(shù)據(jù)分析上不但要對財務(wù)數(shù)據(jù)進行分析，也要對非財務(wù)數(shù)據(jù)進行分析；在分析工具上借鑒現(xiàn)代管理方法，把戰(zhàn)略分析、績效分析、財務(wù)分析及前景分析等分析工具運用到風險評估之中，使風險因素不再惟一，變一元風險評估為多元風險評估，使得出的風險評估結(jié)果更加可靠。

（三）風險評估方式由直接評估轉(zhuǎn)變?yōu)殚g接評估

傳統(tǒng)風險導向?qū)徲嫷娘L險評估是一種直接的方式，即直接評估重大錯報的概率。現(xiàn)代風險導向?qū)徲嬆Ｊ绞菑慕?jīng)營風險評估入手，間接地對審計風險進行評估，因為經(jīng)營風險越高，審計風險也越大，也就是管理舞弊的可能性越大；并且從經(jīng)營風險中能更有效地發(fā)現(xiàn)財務(wù)報表潛在的重大錯報，因為財務(wù)報表是經(jīng)營的反映，如果經(jīng)營風險未能在報表中得到體現(xiàn)，則財務(wù)報表很可能失真。此外，會計政策、會計估計的合理性評估也只有從經(jīng)營風險入手，才能進行正確的評估。

（四）審計程序?qū)嵤┚哂袀€性化

傳統(tǒng)風險導向?qū)徲嬆Ｊ綄徲嫵绦蚴菢藴驶问剑瑢Σ煌谋粚徲媶挝欢际褂脴藴氏嗤膶徲嫵绦颍淙毕菔菦]有足夠貫徹風險導向?qū)徲嬎枷?，使注冊會計師無法突破客戶預先設(shè)置或防范的措施，難以做出正確的審計結(jié)論?，F(xiàn)代風險導向?qū)徲嫹椒ㄒ笞詴嫀煂⒃u估及識別的審計風險與實施的審計程序相結(jié)合，針對不同客戶以及客戶不同的風險領(lǐng)域?qū)嵤﹤€性化的審計程序。

（五）審計證據(jù)的內(nèi)涵擴大

在現(xiàn)代風險導向?qū)徲嫹绞较?，審計重心向風險評估轉(zhuǎn)移，審計證據(jù)也由內(nèi)部向外部轉(zhuǎn)移。因此，注冊會計師必須充分了解企業(yè)整體經(jīng)營環(huán)境，由此評估客戶的經(jīng)營及審計風險，同時必須從外部取得大量的外部證據(jù)來證明風險評估的恰當性。風險導向?qū)徲嬆Ｊ较?，注冊會計師形成審計結(jié)論所依據(jù)的審計證據(jù)不僅包括實施控制測試和實質(zhì)性測試獲取的證據(jù)，還包括了解企業(yè)及其環(huán)境獲取的證據(jù)。

（六）擴充了內(nèi)部控制要素

傳統(tǒng)風險導向?qū)徲嫹椒ㄏ碌膬?nèi)部控制是指被審計單位為了保證業(yè)務(wù)活動的有效進行，保護資產(chǎn)的安全和完整，發(fā)現(xiàn)、糾正錯誤與防止舞弊，保證會計資料的真實、合法、完整而制定和實施的政策與程序。內(nèi)部控制要素包括控制環(huán)境、會計系統(tǒng)和控制程序?，F(xiàn)代風險導向?qū)徲嫹椒ㄏ碌膬?nèi)部控制是指被審計單位為了合理保證財務(wù)報告的可靠性、經(jīng)營的效率和效果以及對法律法規(guī)的遵循，由治理當局、管理當局和其他人員設(shè)計和執(zhí)行的政策和程序。內(nèi)部控制的三要素擴充為五要素，即控制環(huán)境、被審計單位的風險評估過程、與財務(wù)報告相關(guān)的信息系統(tǒng)和溝通、控制活動和對控制的監(jiān)督。

（七）對注冊會計師的專業(yè)知識提出了更高要求

現(xiàn)代風險導向?qū)徲媽ψ詴嫀煹膶I(yè)素質(zhì)提出更高要求，其重心從會計、審計知識轉(zhuǎn)向管理和行業(yè)知識。現(xiàn)代風險導向?qū)徲嬒聦徲嫿Y(jié)果主要依賴風險評估，風險評估的各種分析方法要求掌握現(xiàn)代管理知識和行業(yè)知識（包括市場、研發(fā)、生產(chǎn)等方面），這對注冊會計師提出了更高的要求。注冊會計師應(yīng)該是復合性人才，不但要掌握一般常用分析工具，還要接受現(xiàn)代管理知識和行業(yè)專業(yè)知識訓練。

三、現(xiàn)代風險導向?qū)徲嬆Ｊ皆谖覈倪m用性分析

基于上述分析，現(xiàn)代風險導向?qū)徲嬆Ｊ绞菍徲嫲l(fā)展的一種必然趨勢。2003年10月，國際審計與鑒證準則委員會（IAASB）通過了新的審計風險準則；中注協(xié)也在2004年10日了修訂后的審計風險準則征求意見稿，不僅將使我國的審計風險準則與國際接軌，同時也為提高審計質(zhì)量、降低審計風險提供了技術(shù)支持。審計風險準則一旦正式生效，將引導中國注冊會計師實務(wù)由傳統(tǒng)風險導向?qū)徲嬒颥F(xiàn)代風險導向?qū)徲嬣D(zhuǎn)變，會對我國的注冊會計師審計理念、審計程序及審計責任產(chǎn)生非常大的影響。

然而，目前要在我國推行風險導向?qū)徲嬆Ｊ竭€存在一定的制約條件和需要解決的問題：

（一）會計師事務(wù)所審計成本與效益問題

實施風險導向?qū)徲嬆Ｊ降那疤崾浅杀灸艿玫窖a償?，F(xiàn)代風險導向?qū)徲嬆Ｊ皆趯徲嬘媱濍A段和執(zhí)行控制測試階段，注冊會計師關(guān)注的范圍擴大，程度加深，導致工作時間和審計成本的增加，在市場競爭激烈的情況下，成本的增加往往不可能過渡到收費的同步增加。此外，還需要一定的投入來培訓注冊會計師，使他們掌握業(yè)務(wù)流程和行業(yè)知識等有關(guān)方面的知識。如果這些成本得不到補償，就會使一部分中小會計師事務(wù)所在競爭中無法生存。

（二）信息系統(tǒng)的建設(shè)問題

現(xiàn)代風險導向?qū)徲嫷闹匾卣魇菍徲嬛匦那耙?，注冊會計師必須首先?zhí)行風險評估程序，充分了解客戶整體經(jīng)營環(huán)境，然后針對風險不同的客戶、客戶不同的風險領(lǐng)域，設(shè)計個性化的審計程序。因此，會計師事務(wù)所必須建立強大的信息系統(tǒng)，以便注冊會計師在風險評估時了解企業(yè)的戰(zhàn)略、流程風險管理、業(yè)績衡量等。而目前國內(nèi)很多事務(wù)所對行業(yè)風險和企業(yè)經(jīng)營風險缺乏了解，客戶的相關(guān)信息不夠充分，信息系統(tǒng)的建設(shè)還達不到現(xiàn)代風險導向?qū)徲嫷囊螅瑢е嘛L險評估不準確。因此，風險導向?qū)徲嫷倪\用僅限于老客戶，對新客戶還是將大量時間用于實質(zhì)性測試。

（三）審計從業(yè)人員素質(zhì)問題

現(xiàn)代風險導向?qū)徲媽徲嫃臉I(yè)人員的業(yè)務(wù)素質(zhì)提出了新要求，不僅要具備豐富的審計理論和實踐經(jīng)驗，還要具備必需的管理學知識和經(jīng)濟學知識，能夠運用系統(tǒng)的、戰(zhàn)略的觀點充分了解、分析企業(yè)所處的宏觀經(jīng)濟環(huán)境和行業(yè)發(fā)展狀況，對有可能導致企業(yè)會計報表錯報風險的內(nèi)外部因素進行客觀、系統(tǒng)的分析與評價，將審計視角擴展到內(nèi)部控制以外，從較高層面上評估風險，而不是僅僅注重企業(yè)會計處理的細節(jié)。

（四）輔助審計軟件的使用與完善問題

現(xiàn)代風險導向?qū)徲嫹椒ㄖ蟹治鲂猿绦蛘紦?jù)非常重要的地位，輔助審計軟件的使用在其中發(fā)揮著重要的作用。西方發(fā)達國家大量運用分析性程序的條件是輔助審計程序的開發(fā)和運用，它可以直接對數(shù)據(jù)庫進行加工分析，依據(jù)軟件模型自行處理數(shù)據(jù)，使運用分析性測試程序成為節(jié)約成本的重要手段。另外，采用審計軟件使統(tǒng)計抽樣的樣本更具代表性，審計抽樣風險可控，為風險導向?qū)徲嬏峁┝思夹g(shù)支持。目前，我國在審計軟件的開發(fā)和使用上不夠理想，還有待提高，而且大部分注冊會計師缺少相應(yīng)的技術(shù)準備，在現(xiàn)階段推行現(xiàn)代風險導向?qū)徲嫹椒ㄖ荒苁且环N愿望。

如上所述，目前在我國全面推行現(xiàn)代風險導向?qū)徲嬆Ｊ竭€受到許多制約，盡管它有很多優(yōu)越之處，但在我國還不能夠普遍推行。當前我國獨立審計準則主要是以制度基礎(chǔ)審計模式為基礎(chǔ)的，而且相當一部分從事小規(guī)模企業(yè)審計工作的會計師事務(wù)所和注冊會計師，基本上仍然在運用賬項基礎(chǔ)審計模式。但是，現(xiàn)代風險導向?qū)徲嫷膶嵭惺且环N理念的改變，我們可將制度基礎(chǔ)審計與風險導向?qū)徲嬘袡C結(jié)合。即使在現(xiàn)行審計準則仍然主要以制度基礎(chǔ)審計模式為基礎(chǔ)的情況下，吸取風險導向?qū)徲嬆Ｊ降幕居^點和做法，則是完全可行的。通過把風險導向?qū)徲嬛锌刂骑L險的理念和方法融合到制度基礎(chǔ)審計中，使其他審計模式忽略審計風險的缺陷得到彌補，將會為探索適合我國的現(xiàn)代風險導向?qū)徲嬆Ｊ椒e累有益的實踐經(jīng)驗。

參考文獻：

〔1〕陳毓圭。對風險導向?qū)徲嫹椒ǖ挠蓙砑捌浒l(fā)展的認識〔J〕。會計研究，2004，（2）。

〔2〕常勛，黃京菁。從審計模式的演進看風險導向?qū)徲嫛睯〕。財會通訊，2004，（7）。