风险评估风险点(精选8篇)

时间：2023-07-13

风险评估风险点篇1

关键词信息安全；风险评估；电子政务；实施；研探

中图分类号TP39 文献标识码A 文章编号 1674-6708（2014）114-0236-02

随着经济发展和社会信息化推进，网络和信息系统在电子政务领域的基础性作用日益凸显。网络和信息系统自身存在的风险和面临的威胁，给电子政务的持续健康发展埋下了安全隐患。2013年，美国中情局（CIA）前职员爱德华・斯诺登披露了美国绝密监控项目“棱镜计划”，全世界因此陷入一场“网络窃听风暴”。严峻的网络和信息安全威胁让电子政务面临前所未有的考验。

1 信息安全风险评估

信息系统风险评估是识别并判断信息系统面临风险的过程。风险评估是一个结合技术手段，为识别管理问题、制定管理策略服务的系统工程；是以威胁为出发点，结合系统脆弱性判断的评估过程；是周期性了解安全风险，采取相应安全控制措施的前提。它为降低网络风险、实施风险管理和控制提供了重要依据。风险评估是加强信息安全保障体系建设和管理的关键环节，是发现信息安全存在问题，找到解决方案的有效手段。

2 开展工作的重要意义

2006年，国家网络与信息安全协调小组审议通过了《关于开展信息安全风险评估工作的意见》。2014年，中央网络安全和信息化领导小组成立，体现了党中央全面深化改革的意志和保障网络安全、维护国家利益的决心。在3月份召开的全国“两会”上，人大代表和政协委员纷纷为网络和信息安全建言献策，网络和信息安全再一次提升到国家安全和社会稳定的政治高度。信息安全风险评估是信息系统安全建设的起点和基础，为防范和化解信息安全风险从而最大限度地保障网络和信息安全提供了科学依据。

3 应用和实施研探

围绕国家网络信息化建设和开展信息安全风险评估工作部署要求，以某副省级省会城市为例，对该市开展信息安全风险评估工作进行研究和探讨。

3、1 工作思路

该市风险评估工作宜采用“试点先行、逐步展开”的工作思路。首先选择1-3家系统建设完善、涉及社会安定的重要单位作为试点，如劳动保障、民政、商业银行等部门，摸清工作规律，建立工作机制，锻炼风险评估队伍。根据试点经验，逐步在全市建立定期开展风险评估的日常工作机制。

3、2 工作方式

宜采用自评估为主，检查评估督促为辅的工作方式。自评估即网络和信息系统的拥有、运营、使用单位按照发起的的风险评估。检查评估是指信息安全职能部门依法开展的信息安全风险评估。检查评估是对自评估结果进行的验证性评估，也是更专业更深入的信息安全风险评估。

3、3 工作机制

1）“市信息安全风险评估领导小组”，组织协调风险评估工作的部署和实施。组长由分管信息安全工作的市领导同志担任，成员由相关单位领导同志组成；

2）“市信息安全风险评估工作小组”，对风险评估工作进行统一安排和具体实施。组长由市信息化主管部门分管领导同志担任，成员由试点单位业务系统负责同志和技术支撑单位有关领导同志组成；

3）“市信息安全风险评估专家小组”，聘请信息安全领域专家负责对风险评估进行技术咨询和评审工作。

3、4 进度安排

该市信息安全风险评估工作可分为试点准备阶段、组织实施阶段、总结阶段和全面开展阶段。

3、4、1 试点准备阶段（约2个月）

深入调查研究并确定试点单位和评估形式，可联合第三方评估机构作为技术支撑单位。领导小组召集各成员单位宣传中央网络安全和信息化领导小组指示精神。工作小组指导试点单位建立业务信息系统风险评估实施方案，并邀请专家小组对方案进行评审。

3、4、2 组织实施阶段（约4个月）

各成员单位在全面准备的基础上进入具体评估，分别进行试点实施方案编写、信息资产分析、现场实施方案编写、现场核查测试等工作，以获取风险评估所必需的各项数据信息，完成系统脆弱性分析、系统资产分析、系统威胁和风险分析。

3、4、3 总结阶段（约2个月）

由相关各方以及专家小组对所有分析报告进行审核并提出相关建议，保证风险评估的科学性和合理性。同时对试点工作取得的经验、成果、认识、教训和风险评估过程中存在的问题进行深入总结。

3、4、4 全面开展阶段（长期）

根据试点的经验和教训，形成规范的评估指南和管理办法，建立健全信息安全风险评估长效机制，在全市开展信息安全评估工作。

4 思考和建议

4、1 信息安全是“一把手工程”

信息安全风险评估工作需要相关单位领导给予足够的重视，切实落实各部门的责任，加强资金、设备、人力等投入支持。信息安全无小事，不能片面地认为“信息安全是技术部门的事”，信息安全工作应该由“一把手”亲自抓，在风险评估中信息系统主管单位、建设单位、运行单位、使用单位应统筹协调，共同推进。

4、2 谁主管、谁负责，谁运营、谁负责

信息安全风险评估工作敏感性强，涉及系统的关键资产和核心信息，一旦处理不当，反而可能引入新的风险，因此必须高度重视信息安全风险评估的组织管理工作，要求信息系统拥有、运营或使用单位和有关管理部门明确责任，规避风险，在信息安全风险评估工作中切实负起组织领导的责任。

4、3 培养人才，锻炼队伍

面对信息安全专业人才缺乏、信息安全从业人员素质参差不齐的现状，信息化主管部门应该以风险评估工作为契机，促进信息安全人才培养和信息安全保障队伍建设。加强对各有关单位信息安全从业人员的政策宣贯、业务锻炼和专业技术培训，为信息安全保障体系建设和信息化发展提供政治合格、业务过硬的人才队伍。

4、4 投入有产出，安全即效益

在市场经济环境下，对经济活动应该进行理性的投入产出分析。风险评估的投入产出分析是以网络和信息系统的潜在风险为前提的，资金投入规避了可能产生的损失和不良影响，达到了预期安全目标，即是见到了效益。信息化主管部门应合理安排资金投入，争取政府支持一块、试点单位出一块、技术支撑单位减免一块，以确保信息安全风险评估工作顺利开展。

参考文献

[1]ISO/IEC 17799：2005信息安全管理实施指南、

风险评估风险点篇2

关键词决策；环境风险；评估；建议

中图分类号 X22 文献标识码 A 文章编号 1002-2104（2012）11-0040-05 doi：12、3969/j、issn、1002-2104、2012、11、007

环境风险评估是指对人类各种社会经济活动引发或面临的危害（包括自然灾害）对人体健康、社会经济、生态系统等所造成的可能损失进行评估，并据此进行管理和决策的过程[1-3]。国际上的环境风险评估兴起于20世纪70年代，最初的关注点是工业项目发生环境风险的概率及事故状态下有毒、有害化学物质对人体健康的影响程度。随后，其内涵和外延不断扩展，目前工作重点已从最初的健康风险评估转为生态风险评估，研究类型从化学物污染延伸到非化学因子污染，评价范围由局部扩大到区域乃至全球，评价对象则由建设项目扩展为包括规划、政策的所有决策类型[4-7]。2004年3月，国务院了《全面推进依法行政实施纲要》[8]，提出了建设法治政府的奋斗目标和依法治国的基本方略。2010年10月，国务院进一步了《国务院关于加强法治政府建设的意见》（国发〔2010〕33号）[9]，提出凡是有关经济社会发展和人民群众切身利益的重大政策、重大项目等决策事项，都要进行合法性、合理性、可行性和可控性评估，重点是进行社会稳定、环境、经济等方面的风险评估。要把风险评估结果作为决策的重要依据，未经风险评估的，一律不得做出决策。该行政法规第一次明确指出了环境风险评估在我国实现决策科学化、民主化进程中的重要作用，标志着环境保护在国家综合决策中的地位得到了进一步提升。然而，时至今日，我国环境管理中尚缺乏落实决策环境风险评估的制度设计和政策保障，客观上制约了环境保护参与国家综合决策能力的提升。为此，借鉴国际上决策环境风险评估的一般做法，并根据我国决策体系的特点提出环境风险评估的重点领域和实施方式，对于促进我国决策科学化、民主化具有重要意义。

1 国外防范决策环境风险的制度安排

1969年美国颁布了《国家环境政策法》（NEPA），在世界上首次确立了环境影响评价制度，并直接覆盖了从立法、政策、规划、计划直至建设项目的整个决策链条。随后，欧洲、日本等国家纷纷效仿，并在七十年代建立起了适合本国国情的环境影响评价制度。环境影响评价制度的建立，开创了人类历史上决策评价机制引入政府行政领域的先河。鉴于环境风险评价是环境影响评价的重要内容，因而环境影响评价制度也成为迄今为止防范决策环境风险的最有效制度安排。特别是针对高层次决策的战略环评，对于从决策源头防范重大环境问题发挥了重要作用[10-11]。

从上世纪末开始，为进一步适应公共决策科学化、民主化的要求，法国、日本、美国等西方发达国家逐步建立了独立于环境影响评价制度之外的公共政策评估制度。例如，从1996年开始，法国计划总署对原有职能进行了调整，开始承担了许多公共政策的评估工作，2002年进一步成立了全国评估委员会[12]。2001年6月，日本制定了《关于行政机关实施政策评价的法律》，要求各行政机关自行设立"政策评价委员会"，对预算较大的支出或对国民有重大影响的政策，在实施前、中、后期均需开展政策评价，以便及时掌握政策方向和效果，发现和改善政策存在的不足。在各行政机关自我评价的基础上，日本总务省行政评价局还会对其评价结果开展二次评价[13]。2003年9月，借政府预算绩效改革之机，美国政府颁布了《政策规定绩效分析》，规定政府部门在废除或修改已有政策或者指定新政策时都应进行政策绩效分析，具体评估内容包括政策制定的必要性、政策工具的选择及政策绩效[14]。除上述国家外，韩国、台湾等也已建立了较为完善的公共政策评估制度。尽管政策评估的重点是政策绩效，但一般都会涉及环境保护方面的内容，对于防范决策环境风险也发挥了积极作用。

2 我国开展决策环境风险评估的必要性分析

由于决策体制、机制不健全，我国尚缺乏保障决策科学化、民主化的有效制度安排，因而开展决策环境风险评估尤为必要，具体原因有以下几点。

2、1 现有决策模式难以适应决策科学化的要求

我国的决策模式属于管理主义模式，政治精英在决策中居于主导地位，其它社会主体参与不足，决策过程缺乏制衡机制。因此，与大多数西方国家相比，我国的决策更容易受到决策者个人偏好及利益集团的左右，从而偏离科学决策的路径[15]。从政策的制定和实施过程来看，产生决策风险的原因主要有以下几点：首先，公共决策的组织结构是自上而下金字塔式的官僚制，下级决策者以完成上级下达的刚性任务为首要目标，与决策者偏好不一致的意见往往得不到采纳，因而体制内部缺乏有效的决策纠错机制；其次，地方诉求与国家战略意图不完全一致，特别是现有财税体制下地方政府片面追求GDP总量扩张的诉求与国家强调的均衡增长、协调发展、环境保护等目标明显偏离；第三，政策目标之间往往并不完全相容，如西部大开发战略提出的大力推进基础设施建设、加大能矿资源开发力度就与加强生态环境保护的目标不协调；第四，政策执行过程中存在诸多的不确定因素，随时有可能使政策走偏，出现非预期的不良影响。

2、2 战略环评参与决策的广度和深度不足

战略环评涵盖了除建设项目之外的政策、规划和计划等多种决策形式，是目前国际上通用的防范决策环境风险的主要工具。我国虽然在2003年正式以立法的形式将“一地、三域、十个专项”规划纳入了法定的环境影响评价范围，但与欧美等发达国家相比，战略环评的广度和深度明显不足。首先，我国的战略环评并未涵盖在现行规划体系中居于核心地位的国民经济和社会发展规划，以及发展战略、经济政策、技术政策等对生态环境有更深远影响的决策形式；其次，西方国家的战略环评是决策过程的有机组成部分，普遍将方案比选作为评价重点，而我国目前大多只是评价给定方案的环境可行性，从而极大削弱了这项制度对于防范决策环境风险的能力；此外，从目前我国各重点领域规划环评的评价内容来看，与项目环评高度雷同，重点仍是规划实施对单个环境要素的影响，缺乏从区域和生态系统整体角度的有效分析[16]。

2、3 公共政策评估体制不健全

从目前来看，我国尚没有关于政策评估的法律法规，更没有规范的评估制度，类似职能一般通过以下三种方式来实现，一种是自上而下的评估，如政策制定部门对政策执行情况调研或到政策执行部门检查工作。中共中央办公厅、国务院办公厅及地方各级政府办公厅一般都具有这一职能；二是自下而上的评估，如政策执行部门进行经验总结或向政策制定部门汇报工作、反映情况；三是民间评估，具体方式有媒体报道和群众上访等。由于社会制度的原因，民间评估所能发挥的作用非常有限。官方自我评估则因评估程序、过程、方法等不规范，使得评估结果经常报喜不报忧，甚至沦为为领导部门歌功颂德的工具。由于缺乏规范的政策评估制度，政策实施可能产生的环境风险难以从决策源头避免。

3 开展决策环境风险评估的重点领域建议

我国的决策共包括法规、战略、规划和政策四种类型，其中法规主要是用以界定当事人权利和义务的社会规范，短期内尚不具备开展环境影响评价的条件，因而本文重点对目前正在实施的主要战略、规划和政策进行了梳理，初步筛选出了可能产生重大环境影响，需要优先开展决策环境风险评估的重点领域。

3、1 重大战略

重大战略是指事关我国发展方向和长远目标的决策，通过对国家领导人讲话及党中央、国务院的重要文件的梳理，发现我国正在实施的主要战略共有15项，分别是区域发展总体战略、主体功能区战略、培育和发展战略性新兴产业、公共交通优先发展战略、海洋发展战略、节约优先战略、科教兴国战略、人才强国战略、知识产权战略、就业优先战略、重大文化产业项目带动战略、开放战略、“走出去”战略、自由贸易区战略及可持续发展战略。其中与投资密切相关，最有可能产生重大环境风险的战略见表1，

区域发展总体战略

从“十一五”开始正式上升为国家战略，是我国促进区域协调发展、实现经济结构转型的基本战略。

“两高一剩”产能可能由东而西转移，再加上中、西部大规模的基础设施和能源、原材料基地建设，可能导致空间开发失序、产业结构趋同、生态功能区退化、环境污染加剧等严重问题。

培育发展战略新兴产业

从“十二五”开始正式上升为国家战略，是我国应对国际金融危机、转变发展方式的重要抓手。

我国的财税体制和条、块分割的管理体制，极有可能导致新兴产业一哄而上，重复建设，出现产能过剩、资源环境破坏等问题，目前多晶硅、风电等领域已经出现了上述问题。

海洋发展战略

从“十二五”开始正式上升为国家战略，是我国发展为世界政治、经济强国的必经之路。

目前已经出现了岸线资源的无序开发、大规模填海造地、沿海重化工业迅猛发展等对生态空间的挤占，以及对海洋资源和海洋环境的破坏，将来这些问题有可能进一步加剧。

开放战略

从“十一五”开始正式上升为国家战略，是我国利用全球资源、技术、资金，提高经济发展水平的重要举措。

在中西部地区承接国际产业转移的过程中，可能因政策工具运用不当或执行不力而导致落后产能向内陆转移，造成严重的资源环境问题。此外，一些严重消耗资源、破坏环境的产品的出口量可能会增加。

这些战略可作为开展决策环境风险评估的优先对象。

3、2 主要规划

我国实行“三级三类”的规划管理体制。各类规划按行政层级分为部级、省（区、市）级和市县级，按对象和功能类别分为总体规划、专项规划和区域规划，其中国民经济和社会发展规划属于总体规划。对照环评法中提出的“一地、三域、十个专项”范围可以发现，目前开展环评的规划主要对应于我国专项规划中的基础设施建设类和自然资源开发类。这些规划在环境影响评价文件中一般都有环境风险评价章节，因而已经具有防范决策环境风险的机制和程序。然而，在规划体系中居于核心地位的国民经济和社会发展规划，以及针对重点开发区域的区域规划尚未开展规划环评。对于专项规划中的重点产业规划，尽管根据环评法要求应该编制环境影响报告书，但事实上并没有开展起来。为此，从防范决策环境风险的角度出发，应开展针对上述规划的环境风险评估（见表2）。

需要特别指出的是，我国在“十一五”规划中提出了培育和发展战略性新兴产业的目标，大量新兴产业规划正 在等待批复。如何防止其“一哄而上”、重演历史悲剧，目前尚无有效的制度和体制约束，开展决策环境风险评估不失为一个投入少、时间短、效果好的手段。

3、3 公共政策

公共政策是以政府为主的公共机构对社会事务进行管理的工具，从层次和范围上，一般可分为元政策、总政策、基本政策和具体政策。由于元政策、总政策和基本政策主要涉及的是价值观、理念、原则、方针等抽象问题，其要求已经在意识形态、社会制度、法规、战略等顶层设计中有所体现，因而政策环评和政策环境风险评估应聚焦于具体政策。具体政策从类别上可分为政治政策、社会政策、经济政策、环境政策、技术政策等[17]。从我国的实际情况来看，主要表现为各级政府和部门的规范性文件，如公告、意见、通知等。这类文件数量多，涉及面广，直接关系到社会秩序、资源配置和公共利益，但现行法规对规范性文件的涵义、制定主体、制定程序、权限以及审查机制等尚无全面、统一的规定，因而这类文件在实施过程中最有可能出现重大资源环境问题。例如，进入二十一世纪以来，为拉动内需，我国曾出台了众多鼓励购买汽车和房地产的政策。其结果是，汽车保有量的迅猛增加直接导致了许多大城市的交通拥堵和复合型大气污染；房地产市场过热引发的投机则造成大量房屋空置和钢铁、水泥等关联产业产能过剩，最终都导致了严重的资源浪费、生态破坏和

环境污染。根据我国的实际情况，应重点加强针对直接涉及开发活动的政策的环境风险评估，如产业政策、投资政策、土地政策、财税政策等（见表3）。

4 重大决策环境风险评估的实施建议

决策环境风险评估是防范决策失误产生重大资源环境问题的决策辅助制度，是战略环评的有机组成部分，也可看作是政策评估中的专题评估。当前，贯彻落实科学发展观，建设资源节约型、环境友好型社会已经成为全国上下、社会各界的共同追求，环境保护工作也迎来了难得的发展机遇。鉴于政府决策模式的转变是一个长期过程，将重大决策作为法定环评对象仍然面临较大阻力，而规范的政策评估机制短期内又难以建立。因此，开展针对重大决策的环境风险评估就不失为当前推动决策科学化、民主化的可行方式。

4、1 决策环境风险评估的组织形式

“加强环境政策、规划和重大问题的统筹协调职责。

承担从源头上预防、控制环境污染和环境破坏的责任。受是各级政府部门进行项目审批、核准的重要依据。

一般由国家发改委制定并，数量较多。

该类政策往往直接对具体建设项目的规模、工艺、布局等提出鼓励和限制性规定，对产业发展具有重要影响，一旦失误，会导致系统性资源环境问题。

投资政策

是关于投资领域、投资方式、投资管理程序等的规定，也是政府部门安排财政投资的依据。

由国家发改委、商务部等投资主管部门制定，数量不多。

由于涉及鼓励和限制的投资领域、产业布局导向、相关主管部门的责、权划定等，一旦出现导向失误和管理混乱，会造成资源低效配置和严重的环境问题。

土地政策

是土地资源开发、利用、治理、保护和管理方面的行动准则。

一般由各级政府和国土资源管理部门制定。

对不同开发、建设活动用地审批的松紧程度不同，会直接影响到土地利用方式，进而影响资源配置和生态环境。

财税政策

是市场微观主体决定其生产和消费行为的重要依据。

一般由财政部门制定。

通过财政补贴、税收和政府直接投资等手段影响资源配置，进而对生态环境产生深刻影响。

国务院委托对重大经济和技术政策、发展规划以及重大经济开发计划进行环境影响评价”是国务院赋予环保部的一项重要职责。为此，环境保护部门应主动承担起组织、领导开展此项工作的责任。具体包括确定环境风险评估主管部门、制定相关规定等，具体工作则可以委托科研单位来完成。从长期来看，需要通过立法来建立决策筛选机制，明确决策环境风险评估的程序、标准、指标等问题，逐步使重大决策环境风险评估常态化。

4、2 决策环境风险评估的重点

考虑到大部分的决策为问题导向，从制定到时间较紧。与此相适应，环境风险评估应抓住主要问题，并体现出快速化和专业化的特点。为此，决策环境风险评估首先应追求有限目标，具体而言，应重点聚焦决策所涉及的区域和产业发展定位、规模、布局、结构等方面的重大问题和关键问题；其次，在评价内容上，应重点关注决策实施的长远影响、累积影响、人群健康影响、对生态安全的影响，以及与国家主要战略意图的协调性；最后，考虑到涉及的问题较为复杂，应加强专家咨询和公众参与，多采用定性和定量相结合的方法。

4、3 决策环境风险评估的开展方式

鉴于决策环境风险评估在我国属于新生事物，可以看作是政策环评纳入法律要求之前的过渡形式。为此，决策环境风险评估应采取循序渐进的推进方式，并尽量利用目前的环境影响评价资源。具体而言，首先，根据目前国家和地方实施的重大战略和决策，环境保护部门可主动立项，开展重大决策环境风险评估，向决策部门提出建议。

其次，从培育环境风险评估队伍的角度出发，承担单位可适当向国内的环评队伍倾斜，特别是成功开展过规划环评，具有宏观视野和复杂问题研究能力的单位。

参考文献（References）

[1]Gouldson A， Morton A， Pollard S J T、 Better Environmental Regulation：Contributions from Riskbased Decisionmaking [J]、 Science of the Total Environment， 2009 ，407：52835288、

[2]Finizio A， Villa S、 Environmental Risk Assessment for Pesticides：A Tool for Decision Making [J]、 Environmental Impact Assessment Review， 2002， 22：235-248、

[3]Slater D， Jones H、 Environmental Risk Assessment and the Environment Agency [J]、 Journal of Hazardous Materials， 1999， 65： 77-91、

[4]Eduljee G H、 Trends in Risk Assessment and Risk Management [J]、 The Science of the Total Environment， 2000， 249：13-23、

[5]Xu L Y， Liu G Y、 The Study of a Method of Regional Environmental Risk Assessment [J]、 Journal of Environmental Management， 2009， 90：3290-3296、

[6]Rosness R、 A Contingency Model of Decisionmaking Involving Risk of Accidental Loss [J]、 Safety Science， 2009， 47：807-812、

[7]Pollard S J T， Davies G J， Coley F， et al、 Better Environmental Decision Making：Recent Progress and Future Trends [J]、 Science of the Total Environment， 2008，400： 20-31、

[8]国务院办公厅、国务院关于印发全面推进依法行政实施纲要的通知（国发〔2004〕10号） [EB/OL]、（2006-08-31）[2012-01-15]、http：///ztzl/yfxz/content-374160、htm、[Office of the State Council、 State Council Notification for Boosting the Implementation of Outline of Administration According to Laws[EB/OL]、（2006-08-31）[2012-01-15]、http：///ztzl/yfxz/content-374160、htm、]

[9]国务院办公厅、国务院关于加强法治政府建设的意见（国发〔2004〕10号） [EB/OL]、（2010-11-08）[2012-01-15]、http：///zwgk/2010-11/08/content-1740765、htm、[Office of the State Council、 State Council Suggestions on Legal Government Construction[EB/OL]、（2010-11-08）[2012-01-15]、 http：///zwgk/2010-11/08/content-1740765、htm、]

[10]Chaker A， ElFadl K， Chamas L， et al、 A Review of Strategic Environmental Assessment in 12 Selected Countries [J]、 Environmental Impact Assessment Review， 2006，26： 15- 56、

[11]Fischer T B、 Strategic Environmental Assessment in Postmodern Times [J]、 Environmental Impact Assessment Review， 2003， 23：155-170、

[12]奚长兴、对法国公共政策评估的初步探讨[J]、国家行政学院学报，2005，6：85-87、[Xi Changxing、 A Preliminary Study on Public Policy Evaluation of France [J]、 Journal of China National School of Administration， 2005， 6：85-87、]

[13]汪全胜、日本的立法后评估制度及其对中国的启示[J]、中州学刊，2009，173（5）：89-92、[ Wang Quansheng、 The Followup Evaluation System for Legislation and Its Instruction to China [J]、 Academic Journal of Zhongzhou， 2009，173（5）：89-92、]

[14]潘毅，高岭、中美公共政策评估系统比较及启示[J]、甘肃行政学院学报，2008，5：95-99、[Pan Yi， Gao Ling、 Revelation on Comparison of Public Policy Evaluation System Between China and America [J]、 Journal of Gansu Institute of Public Administration， 2008， 5：95-99、]

[15]王锡锌、公众参与：参与式民主的理论想象及制度实践[J]、政治与法律，2008，6：8-14、 [Wang Xixin、 Public Participation： Theoretic Imagination and Institutional Practice of Participatory Democracy [J]、 Political Science and Law， 2008， 6：8-14、]

[16]耿海清、关于完善我国战略环境影响评价制度的探讨[J]、环境污染与防治，2009，31（7）：85-88、[ Geng Haiqing、 A Discussion about How to Improve China’s SEA System[J]、Environmental Pollution & Control，2009， 31（7）：85-88、]

[17]陈振明、公共政策分析[M]、北京：中国人民大学出版社，2002、[Chen Zhenming、 Public Policy Analysis [M]、Beijing： China Renmin University Press： 2002、]

Key Areas and Corresponding Proposals of Decisionmaking for EnvironmentalRisk Evaluation in Mainland China

GENG Haiqing REN Jingming

（Appraisal Center for Environment & Engineering， Ministry of Environmental Protection， Beijing 100012， China）

Abstract

风险评估风险点篇3

【关键词】高层建筑，雷击风险评估方法，应用研究

【中图分类号】TU856 【文献标识码】A 【文章编号】1672-5158（2013）04-0096-01

随着我国现在的建筑物趋于高层化，雷击事故出现的概率成逐年上升的趋势，建筑物的高度越高，遭到电击的概率就越大，建筑物越高，雷电就会被建筑物的顶端场强所吸引，然后发生雷击事故，而且如果高层建筑物里建有大量的垫子设备也更容易遭到雷击，酿成不可挽回的事故，所以现在高层建筑的雷击风险评估方法显得尤为重要。雷电灾害的防御是政府所管理的一项重要的内容，防雷工作作为涉及社会公共安全和人民生命财产安全的一项基本保障工作，如何做好防雷减灾工作是对公共安全气象的理念的事件，是构件健康和谐社会的重要基础。

一：高层建筑物雷击风险评估的现状

由于我国对于高层建筑的雷电灾害风险的评估处于刚起步不成熟的阶段所以在这方面还存在着大量的问题。目前雷击事故的频发导致在建筑物的施工时仍把如何防雷当做重点，仍然停留在如火更好的设计防雷装置上，从而忽略了对雷击灾害的风险评估，对于由于雷击事故而引起的灾害损失没有安装良好的预警系统，是雷电灾害带来的损失逐年上升，造成损失越来越大。虽然雷电灾害不可预测以及避免，但是还是可以有效的科学降低风险。雷击风险评估是指如何衡量由于雷击损害建筑物而造成的建筑物本身可能出现的损失，首先是缺少对雷电灾害风险评估的全面的认识，而且大多数对高层建筑的雷电灾害风险评估都只停留在某一层面，评估的不够细致完整范围也不够全面。然后对雷电灾害风险评估的办法也是老套陈旧，相关的风险评估方法以及管理体制都尚在探索中还未完善，不够成熟。我国对于雷电灾害的风险评估的流程和技术标准仍不准确，有待完善，风险评估是一个集管理与高标准的技术含量为一体的，需要制定科学的有效的关于雷电风险评估的工作流程以及技术标准。现在中国对于高层建筑的雷电风险评估的技术远远落后于西方先进国家，由于我国对雷电的风险评估不重视导致使雷电灾害的风险评估技术滞后，还有进行高层建筑风险评估的方法不实用，如果想要进行全面的雷击风险评估还是有一定的困难，还有待于近一步的摸索与研讨。

二：高层建筑雷击风险评估方法与应用研究

建立完整的高层建筑雷击风险评估体系可以在最大程度上减少雷电灾害对人类的影响，更好的促进社会的安全安定的发展。

风险评估体系应该具备以下三点。首先应该建立完整的系统的关于高层建筑物雷击评估风险的模型，然后建立基本的雷击风险评估的方法，最后是实际处理雷击风险的方法。

1、建立完整正确的风险评估体系

高层建筑的雷击风险评估体系的建立是雷电灾害风险评估体系的核心问题。在设计建立有关高层建筑物的雷击风险评估体系时应该注重科学性原则，全民性原则，评价指标可量化原则和实用性原则，高层建筑物雷击风险评估体系是一个多因素的多层次的复杂体系，体系内各个组成部分纷繁复杂，彼此间又相互关联。通过对高层建筑雷击风险的各种来源的可能分析建立完整的系统的高层建筑雷击风险评估体系。

2、正确对待高层建筑物的雷击风险评估

因为高层建筑高度突出，内部的电子设备也很多人员也比较集中所以导致高层建筑物的遭受雷击后产生的损失要远远大于普通建筑物，所以对于高层建筑进行雷击风险评估要用正确的态度认识到雷电风险评估的重要性，还要使用正确的雷击风险评估方法计算雷电风险，重要的是相应的做好防范措施，安装有效的防雷装置，争取把雷电可能带来的灾害降到最低，降低雷电灾害对人类的生产以及生活还有经济等方面带来的损失以及影响。关于高层建筑如何进行雷击风险评估就是要正确认识风险，合理的预测风险，采取合理的雷电风险评估，从而有效的实施雷电预测防护措施。雷击风险的评估是为建筑设计防雷工作的工程师们提供的一个评估由于雷电引起的对人类生产生活产生影响损失的方法，为建筑物的防护做出了重要的意见。

3，正确建立雷电风险的评估体系

对于如何设计高层建筑的雷电风险评估来说主要面临的问题是，准确的预测雷电灾害发生的可能性，如果一旦不可避免发生了雷电灾害，对建筑物本身及建筑物内的电子设备可能造成的破坏和伤害有多大，对于即将面临的风险可以能够采取什么措施。在定性分析的基础上雷击风险量化处理工作是整个风险评估过程的重点，依据IEC 62305-2中所提出的雷击风险评估公式来进行计算，从雷击风险，年雷击风险次数，雷击风险损失，三方面来定量计算各种损失的风险值。雷电防护的目的就是要降低雷击风险，使其小于或等于雷击风险允许值。在对高层建筑进行雷电风险评估的时候要根据结果选择恰当的保护措施减低雷电对建筑物以及建筑物内电子设备的损害，在进行防雷风险评估工作的过程中应该做到有法可依，所以加快我国雷电风险评估的管理体系的建立，结合国际标准对我国现有的规范进行修正。雷击风险评估是防雷工作的最新领域，要求非常的高，要求的技术含量也很高，但是我国现在的雷电风险评估的技术尚处于起步的阶段，所以开展雷击风险评估的科普宣传是一项重要的举措。

结束语：对于高层建筑的雷击风险评估是防雷工程走向安全化现代化的必然趋势，高层建筑的雷击风险评估问题也变成了防雷工作的重要组成部分。开展对于高层建筑的风险评估是有效防止和减少雷电灾害带给人们生活的损害的有效手段。如何利用合理有效的评估体系是现在建筑公司急需解决的一大难点，所以现如今，高层建筑的雷电风险评估已经成了焦点并亟待解决的重要问题。如何做好雷电风险评估工作已经变成了涉及社会公共安全和人民生命财产安全的一项基本保障工作，如何做好这项工作是构件健康和谐社会的重要基础。

参考文献：

[1]：黄金铁。电子信息系统的雷击风险评估计算[J]工程设计与研究2004

[2]高文俊基于IEC 62305雷击风险评估计算方法[J]建筑电气，2008

[3]《建筑物防雷设计规范》GB50057-2010

风险评估风险点篇4

在意大利上市的前100家大型企业运用风险导向审计的状况进行了调查，结果表明：有25%的企业未采用风险导向审计方法；有67%的企业只在年度审计计划编制过程中采用了风险导向审计方法；只有8%的企业在年度审计计划编制过程和具体审计项目的实施过程中都采用了风险导向审计方法。可见，风险导向审计并未在具体审计项目实施过程中得到广泛运用。而在理论研究方面，有关风险导向审计的研究也多停留在介绍基本概念、分析其必要性上，虽然提出了一些推广运用的设想，但多数较为笼统，缺少实践案例，对实际操作的借鉴性不强。鉴于此，我们以科技管理审计实施为切入点，将风险导向审计理念贯穿于整个审计过程的始终，为在具体审计项目中运用风险导向审计方法开展了积极探索。

二、风险导向审计实施过程风险导向审计过程主要分为审前准备、审计实施、审计报告三个阶段。

（一）审前准备。风险导向审计的一大特点是审计重心前移，在现场审计前需充分了解被审计对象的情况，分析、评估其面临的风险，这是风险导向审计的基础和关键环节，决定了审计的成败。

1、风险识别

为了识别被审计对象科技管理方面存在的风险，我们在审前采取询问被审计对象内部相关人员、咨询其上级主管部门、收集内外部相关资料、审计组内讨论等方式，收集了被审计对象科技管理和信息系统基本情况、内部控制和风险管理状况、被检查和考核资料等相关信息，为进行风险识别准备好了数据原料。对于科技管理的风险，可从风险源、风险影响和风险行为等多个角度来分类。由于考虑到审计的目的是为了完善风险控制，因此从风险控制措施的角度来看，同一风险源可能采取多种攻击方式，不同风险源也可能产生同样的危害，不便于提出控制措施；而从风险的影响来区分较为笼统，也不便于提出有针对性的控制措施。因此在审计中，我们从风险行为的角度，将科技管理风险主要分为操作失误、滥用授权、行为抵赖、身份假冒或密码分析、黑客攻击、恶意代码和病毒、泄露信息、篡改数据、破坏系统、系统意外故障、系统环境威胁、物理攻击和管理不到位等十多类。我们以以往开展的科技管理审计获取的数据和所收集到的被审计对象科技管理情况为基础，明确科技管理的目标，分析威胁目标实现的风险，依据风险分类方式，进行风险识别。由于风险不可能穷尽，为抓住主要矛盾，仅识别较重要的风险，共识别出7类、24个风险域、49个风险点，形成了科技管理风险清单。

2、风险评估

为对已识别风险进行评估，确定每个风险点的等级，采用了风险矩阵的方式（见图1），将风险分为4个等级：风险可忽略、风险较低、较高风险、重大风险。对于风险发生的可能性和影响程度，由于目前还未能建立完备的风险监测数据库，无法准确的量化风险的发生频率和影响，因此采取的是主观估计法，在审计组内部实施头脑风暴法，由审计人员根据以往科技管理审计的实际情况和经验，对风险的可能性和影响作出判断，在风险矩阵中得出对应的风险等级。对风险影响程度的判断，主要是从风险发生后影响的范围、损失金额大小、系统重要性和业务量、系统数据安全性和保密性要求、系统持续运行要求、系统操作难度等因素来考虑。需要注意的是，这里评估的是固有风险，非剩余风险，使用固有风险是因为审计的目的就是通过检查，评估已有控制措施的效力，进而确定剩余风险，因此，审计前的风险评估应评价的是固有风险的发生可能性和影响程度。在评估固有风险后，还可根据被审计对象的控制风险进行调整。调整因素包括：距上次审计或检查的时间、上次审计或检查的结果、上次审计或检查后的整改情况。调整原则是，如果被审计对象在近2年被审计或检查过，且未发现严重问题，整改情况良好，则被审计或检查过的那部分风险点全部降一个等级。

3、建立科技管理风险评估指标体系

为更好的指导审计实施，量化风险评估结果，提高科技管理风险评估的可比性，我们还研究建立了科技管理风险评估指标体系，制作了《对××单位科技管理审计风险评估表》。在风险评估表中，围绕科技管理内控机制建设、机房与设施管理、网络管理、安全保密管理、业务应用系统运行维护管理、采购和外包服务管理、应急备份和文档管理情况等7部分科技管理主要工作，确定了每部分的工作目标，列出每部分的风险域和风险域中存在的风险点，并针对每个风险点提示了相应的控制措施，便于审计人员根据控制措施的提示对风险点进行脆弱性检测。对于指标体系中权重的设置，由于存在分类、风险域、风险点3个层次，分2种方法进行处理。对于分类和风险域这两种较为抽象的指标，运用了层次分析法。向科技人员和审计骨干们发放调查问卷，请专家们按照1－9标度法对指标的重要性作两两比较，填写判断矩阵；将结果进行汇总平均后，得到最终的判断矩阵（见表2），计算各矩阵的特征根和特征向量，并检验其一致性，再对特征向量进行归一处理后，计算得出各分类和风险域的权重。对于风险点的权重，则利用之前已确定好的风险点等级进行相应赋值，对风险可忽略、风险较低、较高风险、重大风险这4个等级的风险点分别赋值1、2、4、8，在风险域范围内进行归一后获得各风险点的基础权重，再与其对应的风险域、分类的权重相乘后，得到风险点的最终权重。为了更好的评价被审计对象的风险管理情况，我们还编写了审计方案，不仅检查科技管理内控制度的充分性，机房、网络和业务应用系统的安全性，运维、采购和安全管理的规范性，还重点关注科技风险管理的情况，检测科技风险管理的环境建设、风险评估、风险控制和监督等情况，扩展了审计范围，综合评估被审计单位科技风险管理整体状况。审计中，将《对××单位科技管理审计风险评估表》作为审计方案的重要组成部分，要求审计人员在评估表的指导下，根据各风险点的高低实施相应的检查，根据审计结果填写对风险点的控制得分。

（二）审计实施。在审计实施阶段，我们针对不同的风险点，指派特定的审计人员花费一定的审计时间，采取适当的审计程序获取一定范围内具有说服力的审计证据，检测被审计对象的风险控制情况，评价其剩余风险。由于科技管理审计中，机房、网络和业务系统等部分审计内容是高风险点集中的区域，且具有专业技术要求高的特点，因此分派具有相应技能和丰富经验的审计人员负责。审计人员根据所负责部分的风险点高低来确定其审计重点，分配工作量，以风险为导向，采取多种方法检测被审计对象对风险点的控制情况。风险导向审计的审计程序主要分为控制测试和实质性程序两类。控制测试指的是测试控制运行的有效性，包括询问、观察、检查、重新执行和穿行测试等方法。实质性程序是指针对重大、特别风险实施的更深层次的审计方法，包括细节测试和实质性分析程序。由于实质性程序多用于财务性审计，因此，主要应用了控制测试的审计程序。审计人员运用了询问、观察、问卷调查、现场检查、重新执行等方法，多角度测试被审计对象的科技风险控制运行的有效性。对于审计中检查样本抽取数量，根据风险点等级和业务频率来判断（见表3）。高风险点按上限抽取，低风险点按下限抽取。

（三）审计报告。报告阶段的主要工作是评估所获取的审计证据，编写审计报告，提出审计建议，并持续跟踪、落实审计整改情况。现场审计结束后，审计组与被审计对象就事实确认书和风险评估的最终情况进行了沟通和确认，根据反馈情况编写了审计报告。审计报告以风险为中心，全面评价被审计对象的科技风险管理情况，指出了存在的问题和风险隐患，提出改进和完善的意见建议。为了突出审计发现的高风险管理情况和问题，引起关注，我们在审计报告的开始就对被审计对象的风险管理和控制执行情况进行简短的总体评价；将发现问题按照严重程度划分为严重、较严重、一般和轻微4类，依次列出。被审计对象的风险评估最终得分直接根据审计查出问题来赋值。对严重、较严重、一般和轻微问题分别赋值100、40、20、10分，每个风险点原始分值为100，统计每个风险点发现的问题数，单个风险点的最终得分V＝100－严重问题数×100-较严重问题数×40-一般问题数×20-轻微问题数×10，得分V最低为0分。风险评估最终得分为所有风险点得分的加权总和。在审计中，我们共发现11个问题，分别为7个一般问题、4个轻微问题。根据评分规则打分后，风险评估最终的得分为95、13分。为了将定量评估转换为定性评价，还建立了风险评估定级标准（见表4）。根据标准，审计组对被审计对象的科技管理情况给出了风险管理状况良好的评价。改情况，特别是要对所发现的严重、较严重问题做重点关注，注意这些重要问题是否得到了有效的控制和消除，并评估是否有新的风险和问题产生。根据被审计对象提交的整改报告和其他途径获取信息，判断是否需要开展后续审计或检查，以确认审计发现的纠正情况。

三、风险导向审计流程框架

基于此次风险导向审计实践，我们总结经验做法，提出了风险导向审计流程框架，以期对今后开展风险导向审计提供帮助。要在具体审计项目中应用风险导向审计，就应该将风险导向审计理念运用至审计计划编制到现场实施，直至审计后续的整个审计过程。在审计过程中，必须重视项目的审前调查和审计方案的编制工作，重点开展对审计对象的风险评估。审计方案的编制应与审前调查结果紧密结合，以风险评估得出的高风险领域作为审计重点，作为选择审计程序、确定审计抽样比例的依据，以提高审计工作的效率和质量。审计方案中应详细列示每一个审计要点对应的目标、风险、控制措施。同时应编制标准化检查表以规范、细化审计步骤，详细列示需要采取什么方法、访谈哪些人员、需要抽取哪些样本等，避免因审计人员经验不足或懈怠等原因而影响审计质量。在现场实施过程中，应根据新增信息不断调整风险评估结果，优化审计步骤，以修正审前调查中由于信息量不足而作出的不当估计和判断。对审计中发现的问题，也应以风险为导向，充分揭示存在的风险隐患，与被审计对象就发现问题和风险评估结果做充分的沟通确认。在审计报告中也以风险作为评价的重点，反映被审计对象的风险管理整体情况，提示风险，提出强化风险防范的建议。

四、结束语

风险评估风险点篇5

一、指导思想

以科学发展观为指导，坚持“安全第一、预防为主、综合治理”方针，通过开展风险评估，摸清底数、明确责任、强化措施、精准防治，有效控制事故风险，及时消除安全隐患，规范基层风险管理，落实“一案三制”，提升全市事故灾难应急处置能力，为建设宜居幸福的现代化国际城市营造良好的安全环境。

二、工作目标

镇街的风险评估完成率达到90%以上；各有关部门对本行业（领域）进行风险评估，重点行业（领域）完成率达到80%以上。重点风险目标得到有效防控，安全隐患及时进行整治，基层应急管理进一步规范，应急处置能力得到提升。

三、工作内容

各级各部门要结合本地区、本行业（领域）的安全生产实际，按照《基层安全生产风险评估导则》（见附件1）要求，做好风险评估和风险控制。

（一）前期准备

各级各部门应制定风险评估工作方案，分区域、分行业落实责任单位和人员，明确评估对象与范围，确定方法程序和时限要求，组建评估组；收集相关法规、标准和事故案例等资料。

（二）风险评估

各级各部门按照确定的评估程序开展风险评估，认真梳理地区、行业（领域）的风险类型和级别，明确防控目标，核查应急资源。

识别风险类型。在合理划分评估单元的基础上，梳理危险有害因素，明确危险点，识别风险类型。上级网格要以镇街、行业、主要生产经营单位等下一级网格为基础，结合评估对象所在地理位置、自然条件、行业特点、危险有害因素分布及状况等划分评估单元；从厂址、总平面布置、建构筑物、物质、生产工艺与设备、公用工程及其辅助设施、作业环境、安全管理等方面进行危险有害因素辨识。

分析风险程度。加强事故隐患较多单位、危险源较集中区域、高危行业的风险分析，重点做好风险承受能力与控制能力的分析。依据同类（或相近）企业发生的事故案例进行类比分析，对高危行业采用重大事故模拟分析，并结合危险、有害因素及周边情况进行定性、定量分析，根据分析结果，确定可能受影响的周边单位和人员。风险承受能力的分析可从风险影响范围内人群的心理素质、防灾应急知识、经济能力，设施的承受能力等方面进行，可采用情况报告、专家分析和专项调研等方法。风险控制能力的分析可从预警预测能力、应急预案、应急组织体系、应急处置能力、应急资源保障水平等方面进行。可选择安全检查表法、预先危险性分析、作业条件危险性评价法、事故后果模拟分析法等定性、定量评价方法。

评定风险等级。评估风险因素导致事故发生的可能性及其严重程度，可利用LSR等方法判定风险级别。

形成评估结论。提出危险有害因素引发各类事故的可能性及其严重程度的预测性结论，给出评估对象在评估条件下是否与国家有关法律法规、标准、规章、规范的符合性结论。明确评估对象可能存在的主要事故类型和危害程度，确定重点防控目标。

（三）风险控制

各级各部门针对评估中梳理出的隐患风险，要加强整改防控并积极落实相关应对措施。

加强防控，及时预警。各级各部门要指导督促企业结合安全隐患自查自纠和风险监控点上报，明确风险目标并加强防控；对于新发现的重大危险源，要按规定程序立即报区市安全监管等部门；对于重大隐患，要立即采取必要的预警防控措施，并在第一时间报至上级有关部门核实。

落实责任，及时整改。各级各部门要对评估分析出的安全隐患和风险实施分级管理，落实属地安全管理责任、部门监管责任以及安全隐患和风险点单位的主体责任，各级领导要加强对基层定点单位的监督检查。针对安全隐患和风险，要及时制定整改防控措施并积极落实。

完善预案，核实资源。针对评估中核实的隐患和风险，制定科学应对措施，调整完善有关应急预案；依据应急能力与风险相适应的原则，落实各类应急资源；规范基层应急管理，提升应急处置能力。

（四）评审总结

各级各部门按期完成评估报告的编制并报至上级主管部门。上级主管部门要组织专家对评估报告进行评审。各级各部门完成评估后，要及时在网格化监管平台提报评估报告及工作总结。

四、工作步骤

结合我市安全生产工作安排，年风险评估工作按“准备、评估、评审、总结”四个阶段进行：

（一）准备阶段（时间：4月30日前）

各级各部门制定风险评估工作方案，落实责任人员，明确评估对象与范围，确定方法程序和时限要求，组建评估组；收集相关法规、标准等资料和相关事故案例等内容。

（二）评估阶段（5月1日至6月10日）

各镇街应在5月15日前完成本辖区风险评估，并将风险评估报告提报至市政府安委会办公室；各有关部门于5月25之前完成本行业（领域）的风险分析；在6月10日之前完成本网格的风险评估，形成风险评估报告，并上报市政府安委会办公室。

（三）评审阶段（6月11日到6月30日）

市政府安委会将于6月底前组织有关部门及专家完成对各镇街及各有关部门的风险评估报告的评审工作。

（四）总结阶段（7月1日到7月10日）

各镇街及各有关部门要结合评审意见对风险评估报告进行修改完善。各级各部门须于7月3日前通过网格化系统提报本网格的风险评估报告和工作总结。

五、保障措施

（一）加强领导，落实责任。各镇街及各有关部门要高度重视，成立风险评估工作领导小组。在组织领导本级网格风险评估工作的同时，指导督促下一级网格落实风险评估责任，鼓励引导社区级网格开展风险评估。

（二）统一部署，分级实施。各级各部门要制定工作方案，统一部署风险评估工作。根据本地区、本行业（领域）的特点、企业类型、危险有害因素分布及状况等情况，做好分级实施的工作安排，合理分配任务，逐级负责落实，有计划、有组织、有步骤地开展评估工作。

（三）完善机制，巩固提升。各镇街及各有关部门要从实际情况出发，切实推进评估工作长效机制建设，总结制定适合本地区、本行业的评估实施方案，确定每年年底前完成基层安全生产风险评估，为制定下一年度的安全生产工作计划提供支撑，推动安全生产重点工作的深入开展，消除隐患，防范风险，落实应急措施，促进安全生产应急能力大幅提升。

风险评估风险点篇6

以下，笔者结合自身工作经验，及企业构建廉政风险防控体系的相关过程，就如何在国有企业内部基于风险控制理论来构建廉政风险防控体系浅谈如下：

一、风险控制理论及廉政风险的简要介绍

风险控制理论是研究风险发生规律和风险控制技术的一门新兴管理科学，是指风险管理单位通过风险识别、风险衡量、风险评估和风险决策管理等方式，对风险实施有效控制和妥善处理损失的过程。

廉政风险主要有五种风险类型，即思想道德风险、岗位职责风险、业务流程风险、制度机制风险、外部环境风险等。在国有企业中，廉政风险防控体系的建设重点也是围绕这五种风险，对各级管理人员用权履职中容易使廉政风险转变为腐败问题的重点领域和关键岗位，通过风险点排查、评估定级、完善制度、加强监督等一系列应对措施预防腐败的发生。

二、构建廉政风险防控体系的相关尝试

在认真学习了风险控制理论和廉政风险防控的相关知识后，结合企业实际，笔者在各位领导及各部门的大力支持下，以形成长效机制为基本导向，在企业内部严格按照风险管理程序，构建动态的廉政风险防控系统，推进企业廉政文化的建设，开始了对构建廉政风险防控体系的相关尝试工作。

（一）制订方案，做好组织动员工作

要初步构建廉政风险防控体系，前期的方案制定工作和组织动员不可忽视。实施方案的制订应根据上级有关文件精神和要求，结合企业生产经营实际，制定廉政风险防控工作实施方案，明确工作要求、工作安排和工作措施。搞好组织动员工作是后续各部门及相关人员提高重视程度和办事效率的关键。可参照以下三步走，做好相关工作：一是召开动员大会，全面部署廉政风险防控工作；二是组织有关人员认真学习上级关于反腐倡廉建设、党纪政纪等规定和开展廉政风险防控工作有关材料及廉政风险防控业务知识培训，统一思想认识，提高工作的主动性和积极性；三是举办廉政风险防控知识专题讲座，提高干部职工认清廉政风险存在的客观性和开展廉政风险防控工作的重要意义。

（二）突出重点环节，深入查找风险点

根据风险控制理论，要对风险进行管理，第一步就是要对风险进行识别。只有明确了风险点，才能有的放矢，进而感知风险、分析风险，对风险进行评估和控制。对风险进行识别就是要对面临的和潜在的风险加以判断、归类和对风险性质进行鉴定，即对尚未发生的、潜在的和客观存在的各种风险，系统地连续地进行识别和归类，并分析产生风险事故的原因。

为做好廉政风险点的识别工作，相关人员按照职责范围，采取岗位自查、不同岗位互查、领导帮助查找和集体排查等方法，认真梳理每个岗位存在或潜在的廉政风险点，通过分析和排序，确定关注重点和优先控制的风险。通过对制度、工作流程的梳理，形成各部门廉政风险点清单，为下一步确定风险评估等级打好基础。

在风险点的排查过程中，各部门对本部门各项规章制度、业务工作流程、岗位职责进行一次梳理，识别出具有业务处置权的岗位，形成相应的《部门制度目录》、《部门具有业务处置权岗位名称及对应人员名单》、《公共流程廉政风险点识别表》等表单。

（三）评估风险点，确定风险等级，明确防控措施

在风险识别、风险点得到确定的基础上，接下来的工作主要是对各风险点进行评估。通过对所收集的资料进行分析，估计和预测风险发生的概率和损失程度，对风险按照风险影响进行优先排序，划分等级，使风险分析定量化，为制定风险应对策略奠定基础。要做好对廉政风险点的评估工作，首先要制定《廉政风险点评估办法》，明确廉政风险的评估内容、评估标准及评估程序。

廉政风险的评估内容应涵盖风险所处岗位、部门的业务审批权限，风险所处岗位、部门在公司工作中的重要性，风险发生的几率，发生风险后造成的损失程度等四个维度。可根据查找的风险点，对廉政风险评估涉及的岗位（部门）重要性、审批权限自由度大小、风险发生几率、风险危害程度等内容将风险点分为低、中、高确定三个风险等级，一级为易发廉政风险，二级为有风险苗头的风险点，三级可能转化为风险苗头的风险点。

对廉政风险评估涉及的岗位（部门）重要性、审批权限自由度大小、风险发生几率、风险危害程度四类内容分别分为低、中、高三个级别，赋值1、2、3分。对每项廉政风险的四类内容得分相乘，所得分数为该项廉政风险的评估得分，即岗位（部门）重要程度评估分值*审批权限自由度大小评估分值*风险可能发生几率评估分值*（风险危害程度中的组织日常运行损失评估分值+风险危害程度中的组织财务损失评估分值+风险危害程度中的组织声誉影响评估分值），评估得分在1分至243分之间，进一步形成《廉政风险点评估维度和评级表》，同时明确风险的监管责任人和监管责任。

针对廉政风险的评估程序，按照《廉政风险点评估打分表》由各相关部门负责人召集本部门从事与廉政风险有关岗位的人员对照岗位的工作流程图对风险进行初步评估，部门负责人对岗位风险进行复核。对于涉及两个以上部门的廉政风险（如企业层面的业务流程或制度机制风险），由监察部门召集相关部门负责人集体研究后进行初步评估。监察部门可召集审计、法务、企管及相关业务部门负责人共同依据廉政风险点评估维度和评级表以及廉政风险等级评估表等相关标准，集体研究后确定风险等级。风险等级确定后，由纪检监察部门汇总后提交公司纪委审批。

评估风险点，确定风险等级，明确防控措施是整个廉防体系建设的核心工作，需要花费较多的时间精力，企业内各部门须通力合作。防控措施的制定??随着风险点的排查、评估、定级等相关工作逐步推进。廉政风险点、风险等级和防控措施应在企务公开系统或公开栏上予以公示，征求职工意见，广泛接受监督。

（四）技术防控，加强考核，持续改进

技术防控是廉政风险防控工作落地的有力保障。企业可充分利用信息系统平台，建立完善网上公开运行的电子监控系统，将业务流程、制度规定、廉政风险等情况纳入监控范围，实现网上动态管理，加强廉政风险防控工作。加强考核机制的构建是廉防体系持续运作的动力来源。监察部门要加强廉政风险防控考核办法的制定并组织考核，考核工作可与党风廉政建设责任制考核、绩效考核、满意度测评等考核结合进行，评定结果可与干部绩效考核以及晋升相挂钩。

做好持续改进工作，是廉政风险防控体系持续发挥作用、不断完善的推进剂。廉防体系的的建设是个滚动向前的动态过程，企业应根据考核中发现的问题及收集的意见建议，运用PDCA管理方法，进一步完善工作程序，调整风险内容和防控措施。

（五）监督管理

要求“把权力关进制度的笼子里”，不受监督的权力是危险的，极易产生廉政风险。要加强对廉政风险的监督，首要任务就是根据权力运行的风险内容和不同等级，实行分层与分级相结合的方式进行监督管理；分层管理侧重于按照企业内部各职能部门的分工、各岗位的具体职能进行分层。廉政风险防控工作领导小组负责廉政风险防控全面工作，公司法人代表（总经理）是企业廉政风险防控第一责任人；公司领导对所分管部门的廉政风险防控工作负责；各部门负责人对各自的廉政风险防控工作负直接责任。

实行分级管理是针对廉政风险的不同级别，有针对性的进行管理。对1级廉政风险，由风险所在部门的分管领导直接管理的基础上，公司主要领导负责；对2级廉政风险，由风险所在部门负责人直接管理的基础上，分管领导负责；对3级廉政风险，由风险所在部门负责人直接管理和负责。只有对不同级别的廉政风险，制定相应的风险防控措施才能有的放矢，取得更好的监督效果。

除分层、分级监督相结合外，加强内外监督也是很重要的。各部门在年度工作报告中要体现廉政风险防控工作改进情况；组织中层干部考核时，要将对廉政风险防控工作落实情况进行民主测评，并在一定范围内对检查和民主测评情况进行通报，对开展廉政风险防控工作不到位的部门及人员进行批评教育，造成严重后果的要进行责任追究。由此，构建各层级相结合，内外相互依托的监督管理体系可初步建立。

三、其他完善廉政风险防控体系建设的思考

在廉防体系建设的过程中，随着工作的推进和体系的实施，体系中的大小问题和薄弱环节会逐渐暴露出来，为进一步做好体系的实施落地工作，笔者还就体系构建和完善的相关工作进行了初步探索：

一是各项规章制度的建设应以风险点为导向。在对廉政风险点进行查找前，应以风险点为导向，建立与风险点相对应的规章制度。一方面，要认真制定并执行领导干部有关制度规定，如严格执行领导干部报告个人有关事项制度、礼品礼金登记制度以及职务消费制度、信访处理及案件调查制度、诫勉谈话制度、党风廉政信息员管理办法等；另一方面，要完善纪检监察教育、信访举报受理、案件调查、廉政谈话、效能监察等基础制度的建设并抓好制度的贯彻落实，时刻警示和教育各级领导干部廉政风险“警钟长鸣”。

二是要持续推进廉政文化建设，建立长效机制。廉政文化的建设只有真正落地才能起到良好的效果，而企业高层领导的重视则是该项工作能否取得成效的重中之重。企业各级党组织要按照中纪委、上级党委、纪委关于企业廉政文化建设的总体部署，紧密结合各单位具体实际，形成一个“上下一致，协同共进”的廉政文化建设工作格局。

尽管廉政制度的建设也是廉政文化建设的重要组成部分是廉政文化的规范化表现形式，但仅有制度是不够的。廉政文化是企业文化的一部分，文化的传播是需要媒介的，要易于被受众所接收，才能起到较好的宣贯效果。廉政文化的宣传可以借助各种文化形式去表现，充分利用企业内刊、微信、网络等各种媒体，努力营造廉政文化舆论氛围；也可以通过廉政书法展、演讲比赛、悬挂警示标语等各类创新教育形式使廉政理念、廉政意识更好的为企业各层职工干部接收，入脑人心。

风险评估风险点篇7

内容摘要:宏观环境风险因素通过与企业内部风险因素的的共振影响企业的生产经营。形成这种内外共振的必要条件就是内、外两个风险因素具有相同的频率。共振的振幅巨大对企业的破坏力企业难以承受。为了避免共振现象的发生,企业要不断完善自己的风险评估方法。基于共振理论的风险评估方法弥补了现有评估方法各个环节衔接不当的缺陷,统筹考虑内外部风险因素,使风险评估工作更加准确。

关键词:风险共振集合

风险评估概述

(一)风险概述

风险的定义。一些学者把风险定义为损害发生的可能性。与上述意见不同,另外一些经济学家把风险定义为损失发生的不确定性,还有一种意见,把风险定义为预期与实际结果的偏离。在本文中,将风险定义为对企业的生存、发展造成损害的可能性,对其控制不当的结果是预期与实际结果的偏离。

风险的分类。风险按其来源分类,可以分为来自企业内部的风险和来自企业外部的风险,简称为内部风险和外部风险。内部与外部的划分,是以企业为界限的。

内部风险。内部风险是指来源于企业系统内部的会对企业的生存、发展造成损害的可能性,如果对内部风险控制不当,会造成企业运行结果与预期目标的偏离。

外部风险。外部风险是指来源于企业系统之外的宏观市场环境中会对企业的生存、发展造成损害的可能性,即宏观环境风险。虽然这些风险发生于企业系统之外,但仍然会对企业产生影响,如果没有及时地发现和应对这些风险,仍然会造成企业目标的偏离。

(二)风险评估

风险评估是对影响企业目标实现的现有的和潜在的风险进行识别和度量并进行评价的过程。广义的风险评估涵盖风险管理的各个要素,而狭义的风险评估仅指对风险的识别和度量。本文所指的风险评估是指狭义的风险评估,即仅包括风险识别、风险衡量和风险评价,重点关注导致风险发生的潜在风险因素、风险发生的可能性大小和风险发生后对企业的影响程度。

基于共振理论的风险评估方法的提出

(一)共振理论的启示

共振理论概述。共振理论是指两个或两个以上的物体具有相同的振动频率,一个物体振动会引起另一个物体的振动,并且在共振情况下的振幅要比单个物体自己振动的振幅要大。由此可见,共振发生的条件是频率相同。共振具有传递性,一个本来静止的物体,可以由另一个物体的振动引起自己的振动。而共振的结果很重要,它的振幅要比单个物体自己振动的振幅要大,具有更强的破坏性。

用共振理论解释企业风险的爆发。本文把企业内、外部的各种风险都进行细分为单个的风险因素,对于各风险因素来讲,其频率就是导致风险因素爆发的根本原因,那么包含了所有内部风险因素频率的集合将其定义为内部风险频率集。同理,将包含了所有宏观环境风险因素的频率的集合称为宏观环境风险频率集。再对这两个集合求交集,即得出风险频率交集,在这个集合中的频率就是将会发生共振的频率。

基于共振理论的定义,在这个交集中的频率是内、外部风险共有振动频率,满足共振的基本条件。而共振具有传递性,本来在企业中处于静止状态的内部风险因素,可能由于宏观环境中风险的振动而随之振动起来,使企业的风险加剧。特别值得关注的是,内、外部风险因素共振造成的破坏力要远大于其单个振动时的破坏力,所以具有这样频率的风险因素是需要重点关注的。

这就可以解释为什么市场环境不好时,失败的企业数量大幅上升,就是因为宏观环境风险频率集变大,与内部风险频率集发生共振的机会就大,而共振产生的破坏力强,一旦超过了企业的承受能力,企业便会走向失败。通过这一理论也可以解释企业的成败是内外部共同作用的结果,如果内部控制系统完美,宏观环境风险没有作用的切入点,那么再坏的环境也不会影响企业。但是,企业没有静止的,只要运动就会伴随着风险。为了更好地应对风险,就要求企业做好风险评估工作。

(二)基于共振理论的风险评估方法概述

1、现有的风险评估方法的缺陷,表现为:

没有系统的评估方法。目前,风险评估的方法虽然多种多样,但其着眼点仅是风险评估中的某一个具体环节,并没有形成完整、系统的评估体系,各个环节各自为战严重地削弱了评估方法的系统性。

忽视外部因素的影响。现在的评估方法,几乎将全部评估重点都放在企业内部因素上,即使有涉及到外部环境因素的,也只是赋予少部分的权重,没有考虑内外因的相互关系。外因是通过内因起作用的,所以不仅要考虑到外部环境因素的作用,也要研究它和内部因素的相互作用关系。

2、基于共振理论的风险评估方法。针对现有风险评估方法的不足之处,本文提出基于共振理论的风险评估方法,力求形成一套贯穿风险识别、风险衡量和风险评价的完整的风险评估体系,并在重视内部因素的同时,考虑外部环境因素的影响。通过分析外部环境因素与内部因素的相互作用关系,对内部风险因素进行修正。通过共振矩阵系统的反映风险评估的各个环节。在重视内部风险的同时,通过共振系数和相关系数显示出环境对于企业的影响作用,力求使评估结果更加准确和切合实际。

基于共振理论的评估方法的具体操作

(一)识别内、外部风险

企业内部风险及其识别。企业内部风险是指来自于企业内部的,由于经营不善或者管理疏漏而形成的风险。它是企业风险的直接来源。企业内部风险由于产生于企业内部,所以企业具有主动权,能够对这类风险施加控制和影响。主要包括营运风险、组织风险、财务风险、人事风险、信息系统风险等。

企业可以以现有的风险清单为基础,从中找出企业中存在的风险因素,但这只有标准化的风险因素。而每个企业都有自己特定的内部环境,许多特有风险因素没有出现在风险清单里。针对这些特有风险,可以运用控制自我评估的方法将其识别出来,以使企业的风险识别工作更加全面。

宏观环境风险及其识别。企业宏观环境,是指那些会给企业带来市场机会或环境威胁的主要社会力量,直接或间接地影响企业的管理。主要包括政治和法律环境、经济环境、科技环境、社会文化环境及自然环境等。宏观环境风险就是在这些环境中存在的对企业构成威协的风险。

在对宏观环境风险进行识别时,可以借鉴战略管理中的PETS分析法并结合企业实际按照政治和法律环境风险、经济环境风险、科技环境风险、社会文化环境风险和其他环境风险进行识别。

(二)构建共振矩阵

首先将整个风险系统分为内部风险系统和宏观环境风险系统,将内部风险系统再向下细分为若干个风险子系统,如营运风险子系统、信息风险子系统、销售风险子系统等。进一步把风险子系统再细分为具体的内部风险因素,记作Ii(i=1,2,3…)。同理,让宏观环境风险系统细分为若干个风险子系统,如政治环境风险子系统、经济环境风险子系统、科技环境风险子系统等,再将各风险子系统中的宏观环境风险因素识别出来,记作Oj(j=1,2,3…)。在此基础之上,构建共振矩阵(如图1)。

共振矩阵是用于列示企业的所有内、外部风险因素的矩阵,其横坐标为内部风险因素,纵坐标为宏观环境风险因素。这样矩阵中各交叉点显示的都是内外部风险的相互作用系数,即后述的共振系数和相关系数。风险矩阵的最大优点在于可以把任何一对内外部风险因素结合起来,评估其相互作用关系,也就是将内外部风险统筹考虑。

(三)进行风险衡量

衡量风险因素的变异程度。本文使用变异程度测定的方法,用变异系数衡量指标的偏离程度。值得注意的是,有一些风险因素是指标形式的,便于量化考核。但有一些指标是定性的,难于量化,这时可以使用专家打分的方法,将这些风险因素量化。变异系数的计算公式为:

其中,V是风险因素的变异系数,用于衡量风险因素与预期指标的偏离程度;S是该风险因素的标准差;X是期望值,在这里可以使用企业的理想指标作为期望,这样计算出的变异系数即是实际与预期的偏离程度,也是风险爆发后的结果。

计算共振系数。如前文所述,那些具有出现在风险频率交集中的频率的风险因素是重点要关注的风险因素。由于共振的破坏力远大于单个风险因素振动时造成的影响,所以那些内外部共振的风险因素的变异系数要以乘数倍增加,这个乘数称之为“共振系数”,记作Gij。但是,在物理学上尚没有计算共振产生的振幅的计算方法,通常都是通过测量得出。之于风险评估工作来说就要依据行业和企业历史数据,利用风险评估人员的经验和个人素质进行评估,估算出一个共振系数,但可以肯定的是共振系数一定大于1。

计算相关系数。相关系数是用于说明两个风险因素间相互作用关系的系数,它的取值范围为[-1,1]。取值为正说明内外部风险正相关,即宏观环境对内部风险因素有放大作用;反之,取值为负,说明内外部风险负相关,即宏观环境对内部风险因素有抵销作用。

(四)风险评价

在进行风险评价环节,首先将所权重分配给各风险子系统,即Wi使之和为1,再在各风险子系统内进行分配权重,分配至各风险因素,即wi,风险子系统内的权重之和也为1,并在风险矩阵中注明。之后,将在风险衡量环节得出的变异系数Vi填入风险矩阵,wi与Vi的乘积即为没有进行修正时的评价结果。但这是不准确的,接下来对这一结果进行修正。所有的相关系数有正有负,其取值范围为[-1,1]。若计算出的相关系数为负数,即表明宏观环境对内部风险因素有弥补作用,则用变异系数Vi乘上(1+相关系数);反之,如果相关系数为正且不为1时,说明宏观环境对内部风险因素有扩大作用,也用变异系数Vi乘以(1+变异系数);而当相关系数为1时,即产生了共振效应,为了与之区别,用共振系数Gij表示。而Gij的取值大于2,其具体数值由评估人员估计产生。由此,可以推出Vi'=[∑(1+Rij)+∑Gij]Vi。最后,得到最终评价结果∑wiVi'。这个结果数值越大,说明与预期偏离越远,说明企业的风险越大;反之,数值越小,说明越与预期值相符,企业面临的风险越小。

参考文献:

1、刘钧、风险管理概论、清华大学出版社,2008

2、James Roth,Ph、D、郑桓圭译、最佳内部控制评估实务―自我评估与风险评估、中国内部审计协会,1999

3、徐二明、企业战略管理、中国经济出版社,2006

4、杜莹芬、企业风险管理、经济管理出版社,2008

风险评估风险点篇8

关键词：企业；风险导向；内部审计

中图分类号：F239、45 文献标志码：A 文章编号：1673-291X（2014）02-0193-03

风险导向内部审计是企业进行风险管理的一种有效工具，其目标是在全面评估企业风险的基础上，通过对风险进行事前评估与控制，对风险处于何种状态做出准确判断，为控制风险提供依据。与传统的审计模式相比，现代风险导向内部审计更注重从宏观上把握审计风险，审计工作重心从实施阶段前移到计划阶段，关注的核心从内部控制转向风险，在审计的全过程自始至终都关注风险，依据风险选择项目，识别风险，测试管理者降低风险的方法，并以风险为中心出具审计报告，协助企业进行风险管理。审计方法从以审计测试为中心转移到以系统化的风险评估为中心，即计划阶段对风险进行评估，实施阶段对相关风险进行持续监控和报告，报告阶段提出风险管理建议。2007年新审计准则要求全面实施风险导向审计，故本文对我国企业如何实施风险导向内部审计提出几点建议，与大家探讨。

一、建立全流程风险管控机制

建立审计战略计划、审计项目计划和具体审计项目实施的全流程风险管控机制。

一是年度风险导向战略计划的制订。年度风险导向战略计划要与企业目标相契合，建立在对公司重要领域的认定、风险自我评估的基础上，以重大风险和重要风险为导向，明确审计重点，确定年度审计项目。在充分调研的基础上，组织相关部门进行风险自我评估，识别各自存在的风险，排列风险次序，出具风险自我评估结果，以此为依据，确定本年度审计关注点，编制年度审计计划。风险导向内部审计中，风险评估贯穿于年度审计计划、项目计划、执行审计、总结发现和报告的各个阶段，企业要根据风险评估结果和以前年度审计情况，合理分配审计资源，将审计资源重点放在高风险领域。

二是建立风险管控标准，有效识别风险。就是按统一的标准梳理各业务环节的流程，审计部门牵头，各业务单元的内控负责人统一对采购与应付、生产循环、销售与应收、存货与仓储、营销管理等业务循环的流程图和业务流程的风险点进行全面梳理，对应将风险点、控制措施嵌入到流程中，建立清晰的业务流程图、明确的岗位控制标准和风险防范控制措施。

三是业务流程测试和风险评估。风险评估通过实施不同的测试程序识别审计风险，包括企业整体层面控制评估、信息系统一般控制评估、流程层面控制评估、控制测试以及实质性测试等。建立业务循环各个节点的穿行测试标准，指导各单位业务人员开展业务流程的穿行测试，通过全流程的穿行测试验证各业务层面风险受控情况，运用自审、互审和复审相结合的方法，推进全员、全流程的风险自我审计。

四是出具风险评估报告及风险地图。审计部出具企业各业务单元的风险评估报告和完整的风险地图，建立企业审计风险资源库，为相关部门提供风险关注和控制优化的依据。

风险管控机制将风险管理流程与审计基本程序有机融合，更多地从全流程的角度对企业进行全面风险评估。企业要根据自身的具体情况设计风险管理流程、风险评估项目和评估标准，并根据风险环境的不断变化及时调整风险评价标准，以适应管理需要。而且，风险管控是一个持续、循环的管理过程，不能将风险管理审计作为一次性的专项审计项目，在风险管控执行过程中，要不断地关注风险，针对问题制定有效的控制措施。

二、以风险为导向，优化具体审计项目实施程序

以固定资产投资风险导向内部审计为例。固定资产投资项目投资额大、建设周期长，管理环节复杂，管理风险和审计风险都较高，采用风险导向固定资产投资审计，识别和评估重大管理风险和关键控制节点，全面审计，突出重点，可以有效提高审计效率，降低审计风险。其审计程序如下：

一是制订固定资产投资风险导向项目审计计划。风险导向项目审计计划是对具体审计项目实施全过程审计所作的综合安排，需要明确审计目的、审计范围、审计方法和审计程序、项目风险评估、关键风险点、项目组人员分工、时间安排以及其他事项等。固定资产投资审计目标要与企业固定资产投资目标相联系，审计范围包括选定经营单位、选定业务及流程、相关信息系统测试范围、测试时间范围等。

二是业务经营单位初步评估和关键风险识别。审计人员要掌握固定资产投资项目整体情况，注重从宏观层面了解固定资产投资项目的基本情况，获取背景信息，包括行业状况、监管环境、建设模式、建设目标等信息，对固定资产投资项目面临的风险进行分析，识别和评估固定资产投资项目系统风险和关键风险。

三是业务流程分析。在全面评估固定资产投资风险基础上，从投资项目风险入手，进一步了解流程，更新识别的风险，对高风险项目和资金重点监控，从整体上把握审计重点。

四是评估流程有效性和流程重大风险。在了解固定资产投资项目业务流程的基础上，运用分析性程序，分析关键流程，评估固定资产投资项目重大风险，分析对目标产生影响的风险以及风险控制，测试实际的控制能否切实管理这些风险，这是风险导向审计关注的重点。

五是根据风险评估结果，确定项目审计范围和审计重点，制定相应的审计策略。具体是设计审计步骤，根据审计步骤进行审计抽样并对样本进行监督，实施实质性测试等审计程序。在审计实施过程中，要根据审计实施情况对项目方案进行重新评估，扩大审计范围或增加审计程序，实施进一步测试以修订审计方案，保证审计质量。

杜邦“沸腾壶”审计抽样模型就是一种常用的审计抽样方法。它以审计项目风险为对象，建立风险识别模型，对每一类风险进行排序，将其划分为不同的级别，即高风险、敏感风险、适中风险、低风险，直观地反映风险与审计面的关系。杜邦“沸腾壶”模型说明，在风险因素中，风险结构一般是高风险占10%，敏感风险占30%，适中风险占40%，低风险占20%。风险审计规划在审计资源配置时，要依据风险水平高低配置审计资源，对不同级别的风险因素需实行差异化审计。高风险因素要进行详细审计，对于处于敏感风险性质的风险因素一般抽样50%进行重点审计，对于适中风险因素一般抽样 25%，而对于低风险的风险因素只需要抽样10%进行一般审计。风险级别越高，配置的审计资源越多，根据风险评估结果，将主要的审计资源分配在高风险领域，有的放矢，提高审计效率。

六是根据对流程设计有效性测试结果得出审计结论，出具审计报告，提出管理建议。

三、建立以审计调查法为基础的风险评估机制

风险评估机制包括风险识别、风险评估、风险模型的建立及风险评估结果分析等。对确定的审计项目进行风险评估，主要是通过对业务流程的梳理，找出流程关键控制点，并选择科学的风险评估方法对控制点进行风险分析，以准确识别和正确评价风险。以审计调查法为基础的风险评估方法，能清晰揭示风险的高发区域和风险变化趋势，操作性强，评估结果具有很强的说服力。即选取一定比例的被审单位实施风险典型调查，采用审计调查法对风险发生频率和严重程度进行分析和预测，对风险进行分级分类管理，根据风险水平确定审计重点。步骤如下：一是确定评估范围。评估范围与审计范围相关，对风险评估结果的运用有直接影响。二是风险评估数据的采集。采集近几年的相关风险数据，这些数据可以是以往风险管理审计、综合性审计及专项审计的相关资料和数据等。三是对风险评估基础数据进行整理和加工。内部审计人员依据原始资料和专业判断对一些定性资料进行量化处理，确定各组风险数据的影响程度级别，据此对项目风险进行评估。四是进行风险评估和预测。根据事先界定的评估范围，分别对审计项目各类风险、各类子风险的概率和影响程度进行评估，对所采集的一定期间的风险数据，采用审计调查法分析历史数据，寻找各风险的变化趋势和集中趋势，建立能描述各风险变量未来变化态势的模型，运用数学方法对各类风险的主要变量——风险概率和影响程度进行风险变动趋势分析及预测，求出风险预估值，并运用政策分析法，整理和分析可能影响各类风险变量的政策因素，对固定资产投资风险预测值进行修正和完善，确定风险估测值浮动区间。五是风险评估结果的分析和利用。根据风险分布情况，布局安排审计资源，对风险多发区域进行重点审计。风险评估结果可以应用于企业的风险管理，包括：将风险评估结果与企业事先确定的风险管理策略（如各类风险的承受度等）进行对比，并分别采取不同的风险应对措施；协助企业建立风险预警机制，对达到风险预警线的风险发出预警信号，采取相应的风险控制措施；对风险发展趋势进行预测，帮助企业规避和防范风险。

四、建立风险自我评估和预警机制

建立风险预警机制，对风险进行实时监控，可以有效管理和预防重大风险。风险预警机制前移风险管理关口，使风险管理重点由事后监督向事前预防、事中控制转移，防患于未然。企业可以根据风险评估结果，针对风险高发区域建立预警机制，完善风险预警指标体系，如利用DCCS法、盈亏临界点法及财务比率法等有效捕捉企业风险征兆，对异常情况提前发出预警，帮助管理层完善风险管理程序，控制风险。在风险导向内部审计中，使用风险自我评估（RSA）法，可以有效提升风险预警效率。风险自我评估是指内部审计要监督：（1）风险环境分析的恰当性。主要是对企业固有风险和控制风险进行评估，分析风险性质和影响程度的变化以及控制措施是否能与环境变化相符，并在审计报告中反映分析结果。（2）风险事件识别的充分性。（3）风险评估的恰当性。风险评估要从风险发生的可能性和影响性两方面对已识别的风险事件进行定量分析和定性分析。（4）风险度以及风险预报合理性。主要是审核风险度的计算方法是否科学合理，是否反映企业实际风险水平。综合分析企业的内外部环境，审核风险预报的根据及预报的级别是否合理。（5）风险控制措施的有效性。主要是对业务控制程序进行测试，检查是否有效，是否能够控制风险，并对检查发现的问题提出改进措施和建议，帮助企业管理风险，降低风险损失。（6）风险信息沟通的有效性。内部审计人员要从风险识别、评估信息的获得，风险警报的及时发出等方面评估风险信息是否被准确及时地传达给所有相关人员，让管理层了解风险是否被有效管理。风险信息沟通评估也可以提高外界对企业风险管理的信任度。

此外，企业应建立风险审计信息系统，完善审计资源数据库，积极推进审计手段创新，加强内部审计队伍建设，合理配备审计项目组成员，有效提高内部审计效率和质量，提升风险导向审计的价值增值功能。