時(shí)間:2023-06-11 09:33:45
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇風(fēng)險(xiǎn)評(píng)估的定義,希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進(jìn)步。
關(guān)鍵詞:SPS協(xié)定;風(fēng)險(xiǎn)評(píng)估;科學(xué)證據(jù)
中圖分類號(hào):F7文獻(xiàn)標(biāo)識(shí)碼:A
一、風(fēng)險(xiǎn)評(píng)估制度概述
(一)風(fēng)險(xiǎn)評(píng)估的含義。《SPS協(xié)議》即WTO《實(shí)施衛(wèi)生與植物衛(wèi)生措施協(xié)議》的簡(jiǎn)稱,該協(xié)議是根據(jù)《農(nóng)產(chǎn)品協(xié)議》第八部分而制定的,也是對(duì)關(guān)貿(mào)總協(xié)定第20條第2款的具體化。根據(jù)《SPS協(xié)議》的定義,“風(fēng)險(xiǎn)評(píng)估”的概念分為兩種:對(duì)于來自于食品的風(fēng)險(xiǎn),風(fēng)險(xiǎn)評(píng)估的定義是,評(píng)價(jià)食品、飲料或飼料中存在添加劑、污染物、毒素或致病有機(jī)體對(duì)人類或動(dòng)物的健康產(chǎn)生潛在的不利影響。對(duì)于病蟲害,風(fēng)險(xiǎn)評(píng)估的定義是,根據(jù)可能適用的衛(wèi)生和檢疫措施評(píng)價(jià)蟲害或病害在進(jìn)口成員領(lǐng)土內(nèi)傳入、定居或傳播的可能性,及評(píng)價(jià)相關(guān)潛在的生物學(xué)后果和經(jīng)濟(jì)后果。具體來說,對(duì)來自食品的風(fēng)險(xiǎn)評(píng)估只要求對(duì)人類或動(dòng)物健康的潛在負(fù)面影響進(jìn)行評(píng)估,而對(duì)病蟲害的評(píng)估要求則要高得多,它要求對(duì)疾病的進(jìn)入、定居或傳播的可能性以及相應(yīng)的潛在的生物和經(jīng)濟(jì)后果進(jìn)行評(píng)估。
(二)風(fēng)險(xiǎn)評(píng)估的特點(diǎn)。《SPS協(xié)定》中的風(fēng)險(xiǎn)評(píng)估體現(xiàn)出以下特點(diǎn):
1、根據(jù)風(fēng)險(xiǎn)評(píng)估的定義,字面上可以將風(fēng)險(xiǎn)評(píng)估的過程看作是一個(gè)科學(xué)的、價(jià)值中立的過程。但實(shí)際上,風(fēng)險(xiǎn)評(píng)估由于其過程的復(fù)雜性、科學(xué)知識(shí)的不確定性以及方法技術(shù)的差異性,導(dǎo)致了這一過程在很多情況下并不完全是一個(gè)科學(xué)中立的過程。
2、在進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí),必須要考慮所有的風(fēng)險(xiǎn)。
3、風(fēng)險(xiǎn)評(píng)估常常是根據(jù)個(gè)案的具體情況而進(jìn)行的。由于各國(guó)差異,《SPS協(xié)定》并沒有規(guī)定對(duì)于來自不同成員的動(dòng)植物產(chǎn)品采用統(tǒng)一的檢驗(yàn)檢疫標(biāo)準(zhǔn)。因此,進(jìn)口方對(duì)于不同成員方出口產(chǎn)品所要求的標(biāo)準(zhǔn)是不同的,在具體采取風(fēng)險(xiǎn)評(píng)估時(shí)所要考慮的因素也是有差異的。
4、風(fēng)險(xiǎn)評(píng)估必須是具體的,不僅對(duì)類別或項(xiàng)目,而是對(duì)某一具體類型進(jìn)行評(píng)估。同時(shí),“風(fēng)險(xiǎn)評(píng)估既可以是對(duì)風(fēng)險(xiǎn)進(jìn)行量化的評(píng)估,也可以是對(duì)風(fēng)險(xiǎn)的性質(zhì)進(jìn)行評(píng)估”。
二、《SPS協(xié)定》風(fēng)險(xiǎn)評(píng)估規(guī)則的動(dòng)態(tài)效應(yīng)
(一)風(fēng)險(xiǎn)評(píng)估應(yīng)當(dāng)考察的各項(xiàng)要素
1、科學(xué)證據(jù)要素是評(píng)估的核心。《SPS協(xié)定》第2條第2款要求SPS措施必須以科學(xué)原理為依據(jù),如果沒有充分的科學(xué)依據(jù)則不再實(shí)施。在風(fēng)險(xiǎn)評(píng)估中,最為重要的是“科學(xué)”原則,而科學(xué)原則具體化地體現(xiàn)為科學(xué)證據(jù)原則。科學(xué)證據(jù)原則構(gòu)成了《SPS協(xié)定》最核心的義務(wù),也是所有SPS爭(zhēng)端共同關(guān)注的焦點(diǎn)。科學(xué)證據(jù)須滿足某些限定性條件,以使其符合《SPS協(xié)定》在風(fēng)險(xiǎn)評(píng)估方面的規(guī)定及精神。主要的條件可以表述為以下特點(diǎn):
(1)充分性。WTO成員方要實(shí)行植物檢疫措施,應(yīng)當(dāng)有“充分的科學(xué)依據(jù)”,并且要“以科學(xué)原則為基礎(chǔ)”。“充分”是一個(gè)關(guān)聯(lián)概念,如它要求在植物檢疫措施與科學(xué)之間存在足夠的關(guān)聯(lián),即品種測(cè)試方法與科學(xué)證據(jù)之間存在“合理的或客觀的聯(lián)系”,否則則認(rèn)為沒有充分的科學(xué)依據(jù)。
(2)比例性。科學(xué)證據(jù)與SPS措施之間必須存在著一種客觀的、合理的關(guān)聯(lián),是否存在這種關(guān)聯(lián)必須依據(jù)個(gè)案的具體情況確定,包括此項(xiàng)措施的特征和科學(xué)證據(jù)的質(zhì)量和數(shù)量,并且要求所采取的措施與能夠提出的科學(xué)證據(jù)之間要有適當(dāng)?shù)谋壤粦?yīng)該根據(jù)較少的,或不甚重要的科學(xué)證據(jù)而采取較為嚴(yán)重的措施。
(3)具體性。作為風(fēng)險(xiǎn)評(píng)估所依據(jù)的科學(xué)證據(jù)要有具體性,證據(jù)要確實(shí)針對(duì)所存在的風(fēng)險(xiǎn)。必須對(duì)爭(zhēng)議措施所涉特定風(fēng)險(xiǎn)進(jìn)行評(píng)估,否則就表明其風(fēng)險(xiǎn)評(píng)估對(duì)所涉情況不是“十分明確的”。
(4)時(shí)間性。在判斷一項(xiàng)風(fēng)險(xiǎn)評(píng)估是否符合第5.1條規(guī)定時(shí),只應(yīng)當(dāng)根據(jù)風(fēng)險(xiǎn)評(píng)估做出時(shí)刻獲得的證據(jù)來進(jìn)行,而不應(yīng)考慮風(fēng)險(xiǎn)評(píng)估做出后出現(xiàn)的科學(xué)證據(jù)。
2、科學(xué)證據(jù)以外的其他因素也具有相當(dāng)?shù)闹匾浴!禨PS協(xié)議》第5條第2款列舉了WTO成員國(guó)在風(fēng)險(xiǎn)評(píng)估中應(yīng)當(dāng)考慮的具體因素,包括可獲得的科學(xué)證據(jù);有關(guān)工序和生產(chǎn)方法;有關(guān)檢查、抽樣檢驗(yàn)方法;特定病害或蟲害的流行等等。在實(shí)踐中,引起的問題主要是:在SPS協(xié)議中沒有明確提及的因素,即所謂的“科學(xué)以外”的因素,如消費(fèi)者關(guān)注、文化或道德偏好以及社會(huì)價(jià)值判斷等,能否在WTO成員國(guó)確定一項(xiàng)風(fēng)險(xiǎn)是否存在時(shí)予以考慮。目前,根據(jù)案例分析的結(jié)論是肯定的。如在“荷爾蒙牛肉案”中,專家組認(rèn)為,一項(xiàng)風(fēng)險(xiǎn)評(píng)估,是對(duì)資料和事實(shí)研究的科學(xué)審查,不是一項(xiàng)涉及由政治機(jī)構(gòu)作出的社會(huì)價(jià)值判斷的政策實(shí)踐。其結(jié)論是:科學(xué)以外的因素不應(yīng)在風(fēng)險(xiǎn)評(píng)估中予以考慮,而是應(yīng)該在風(fēng)險(xiǎn)管理中予以考慮,即對(duì)風(fēng)險(xiǎn)可接受的水平和選擇滿足該水平的SPS措施而作出的決定。但是,上訴機(jī)構(gòu)了專家組的這一結(jié)論,它認(rèn)為《SPS協(xié)議》第5條第2款中列舉了WTO成員在進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)應(yīng)當(dāng)考慮的因素,但這一列舉不是一個(gè)“窮盡的”列舉。在WTO成員國(guó)進(jìn)行一項(xiàng)風(fēng)險(xiǎn)評(píng)估時(shí),可以考慮該條款中未列舉的因素。就條文來說,只規(guī)定了“應(yīng)當(dāng)”在風(fēng)險(xiǎn)評(píng)估中予以考慮的因素,而沒有明確規(guī)定是否也能考慮其他因素,從“荷爾蒙牛肉案”上訴機(jī)構(gòu)的這一結(jié)論可以看出,上訴機(jī)構(gòu)對(duì)《SPS協(xié)定》第5條第2款作了擴(kuò)大解釋,即可以考慮其他的諸如消費(fèi)者關(guān)注、社會(huì)價(jià)值判斷等因素。但是,上訴機(jī)構(gòu)的這一結(jié)論會(huì)不會(huì)沖擊風(fēng)險(xiǎn)評(píng)估的科學(xué)性要求,會(huì)不會(huì)導(dǎo)致WTO成員尤其是發(fā)達(dá)國(guó)家對(duì)SPS措施的濫用,進(jìn)而損及SPS協(xié)議的規(guī)范性和可預(yù)見性,這些問題仍有待反思與商榷,也值得發(fā)展中國(guó)家引起足夠的警惕與注意。
(二)SPS措施與風(fēng)險(xiǎn)評(píng)估的關(guān)系。SPS措施是指《SPS協(xié)定》中規(guī)定的衛(wèi)生與植物衛(wèi)生措施。《SPS協(xié)定》第2條第1款規(guī)定,各成員有權(quán)采取為保護(hù)人類、動(dòng)物或植物的生命或健康所必需的衛(wèi)生與植物衛(wèi)生措施,只要此類措施與本協(xié)定的規(guī)定不相抵觸。該條規(guī)定了成員方采用SPS措施的目的,還規(guī)定了SPS措施所可以采取的表現(xiàn)形式,其范圍很廣,包括所有相關(guān)的法律、法令、法規(guī)、要求和程序,也特別指出了一些標(biāo)準(zhǔn)、方法、程序和要求等。成員方在制定SPS措施時(shí)經(jīng)常必須要考慮進(jìn)行風(fēng)險(xiǎn)評(píng)估,這一點(diǎn)在《SPS協(xié)定》中也有所體現(xiàn)。協(xié)定第3條第1款規(guī)定:“為在盡可能廣泛的基礎(chǔ)上協(xié)調(diào)衛(wèi)生與植物衛(wèi)生措施,各成員的衛(wèi)生與植物衛(wèi)生措施應(yīng)根據(jù)現(xiàn)有的國(guó)際標(biāo)準(zhǔn)、指南或建議制定,除非本協(xié)定、特別是第3款中另有規(guī)定。”該條第3款是一個(gè)特殊的規(guī)定,指出了在符合一定的條件下,成員方可以采取更高水平的保護(hù)措施。同時(shí),協(xié)定本身也對(duì)該條款中的“科學(xué)理由”做出了進(jìn)一步的說明,且第3款中存在科學(xué)理由的情況下需要對(duì)有關(guān)風(fēng)險(xiǎn)的科學(xué)信息進(jìn)行評(píng)估。“依照第5條第1款至第8款的有關(guān)規(guī)定確定衛(wèi)生與植物衛(wèi)生的保護(hù)水平”明確涉及到了風(fēng)險(xiǎn)評(píng)估的相關(guān)具體規(guī)則,更加是問題的核心。從協(xié)定中涉及風(fēng)險(xiǎn)評(píng)估進(jìn)行的條款中可以看出,風(fēng)險(xiǎn)評(píng)估與SPS措施有著很密切的聯(lián)系,《SPS協(xié)定》要求WTO成員方不僅要進(jìn)行風(fēng)險(xiǎn)評(píng)估,而且WTO成員方必須將其最終采取的SPS措施基于該風(fēng)險(xiǎn)評(píng)估做出。
三、風(fēng)險(xiǎn)評(píng)估制度價(jià)值分析
(一)風(fēng)險(xiǎn)評(píng)估適用的缺陷及問題
1、風(fēng)險(xiǎn)評(píng)估的認(rèn)定缺乏科學(xué)性。《SPS協(xié)定》第5.2條規(guī)定“在進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí),各成員應(yīng)考慮可獲得的科學(xué)證據(jù)”等,第2.2條要求SPS措施的實(shí)施必須具備充分的科學(xué)證據(jù)。然而,實(shí)踐中對(duì)何為科學(xué)證據(jù)卻不甚明了,對(duì)風(fēng)險(xiǎn)評(píng)估方法的科學(xué)性探討也不明確,容易導(dǎo)致風(fēng)險(xiǎn)評(píng)估的認(rèn)定缺乏科學(xué)性。
2、對(duì)風(fēng)險(xiǎn)評(píng)估應(yīng)考慮的其他因素規(guī)定不嚴(yán)密。《SPS協(xié)定》以列舉的方式在第5.2條和第5.3條中規(guī)定了風(fēng)險(xiǎn)評(píng)估應(yīng)考慮的科學(xué)因素和經(jīng)濟(jì)因素,而對(duì)科學(xué)之外的因素尤其是社會(huì)因素是否應(yīng)加以考慮并未明確,規(guī)定不夠嚴(yán)密。風(fēng)險(xiǎn)評(píng)估若想達(dá)到真正科學(xué)的程度,就要綜合考慮各方面因素。社會(huì)因素作為日益重要的一類因素,同樣會(huì)影響到風(fēng)險(xiǎn)評(píng)估的科學(xué)性。僅評(píng)估理想條件下的風(fēng)險(xiǎn)顯然對(duì)現(xiàn)實(shí)的指導(dǎo)是不充分的,應(yīng)考慮在存在諸多影響因素的現(xiàn)實(shí)社會(huì)中風(fēng)險(xiǎn)存在的可能性。
3、風(fēng)險(xiǎn)評(píng)估認(rèn)定的標(biāo)準(zhǔn)不統(tǒng)一。《SPS協(xié)定》第5.1條規(guī)定:“各成員應(yīng)保證其衛(wèi)生與植物衛(wèi)生措施的制定以對(duì)人類、動(dòng)物或植物的生命或健康所進(jìn)行的、適合有關(guān)情況的風(fēng)險(xiǎn)評(píng)估為基礎(chǔ),同時(shí)考慮有關(guān)國(guó)際組織制定的風(fēng)險(xiǎn)評(píng)估技術(shù)。”該條文在規(guī)定風(fēng)險(xiǎn)評(píng)估義務(wù)時(shí)不甚明了,導(dǎo)致適用時(shí)產(chǎn)生了問題。依其規(guī)定,各成員有保證其SPS措施的制定以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)的義務(wù),但如何保證并未做具體的程序性要求。實(shí)踐中出現(xiàn)了履行最低程序性義務(wù)的做法,即成員在證明其已經(jīng)履行了規(guī)定義務(wù)時(shí),可提交在該SPS措施制定前或制定時(shí)已獲得的證據(jù)。然而,由于第5.1條并未對(duì)此有明確規(guī)定,故導(dǎo)致在歐共體牛肉案中專家組和上訴機(jī)構(gòu)對(duì)這一問題的結(jié)論大相徑庭。專家組肯定了最低程序性義務(wù),而上訴機(jī)構(gòu)卻認(rèn)為只要成員的SPS措施與風(fēng)險(xiǎn)評(píng)估間存在實(shí)體上的合理及客觀的關(guān)聯(lián)即可,對(duì)程序性義務(wù)不做要求。在實(shí)體義務(wù)上,第5.1條的程序性義務(wù)不甚明了,實(shí)體性義務(wù)也存在認(rèn)定標(biāo)準(zhǔn)上的不統(tǒng)一。各成員不親自進(jìn)行風(fēng)險(xiǎn)評(píng)估,如果其他成員或國(guó)際組織的風(fēng)險(xiǎn)評(píng)估也與其SPS措施存在合理及客觀的聯(lián)系,則該措施也被視為合法。
(二)《SPS協(xié)定》下風(fēng)險(xiǎn)評(píng)估制度的完善
1、確保風(fēng)險(xiǎn)評(píng)估認(rèn)定的科學(xué)性。對(duì)于風(fēng)險(xiǎn)評(píng)估認(rèn)定的非主流科學(xué)觀點(diǎn),只要是基于特定時(shí)期由有資格的受尊重的渠道提供,其本身是對(duì)人類及動(dòng)植物生命健康所做的負(fù)責(zé)任的科學(xué)觀點(diǎn),則采納此種觀點(diǎn)并無不可。另外,對(duì)于定量風(fēng)險(xiǎn)評(píng)估與定性風(fēng)險(xiǎn)評(píng)估,從實(shí)踐來看,兩種風(fēng)險(xiǎn)評(píng)估方法均具有科學(xué)性,可以分別適用或兩者結(jié)合適用。
2、明確風(fēng)險(xiǎn)評(píng)估考慮的因素。對(duì)于在進(jìn)行風(fēng)險(xiǎn)評(píng)估的過程中應(yīng)考慮的因素,歐共體牛肉案的上訴機(jī)構(gòu)的報(bào)告中指出第5.2條的列舉并非一個(gè)窮盡性的清單。從《SPS協(xié)定》的性質(zhì)來看,它是約束各成員政府行為的多邊國(guó)際條約,其實(shí)質(zhì)是對(duì)政府的授權(quán)和限權(quán)的規(guī)定,所以應(yīng)嚴(yán)格將政府行為限制在法律明文規(guī)定的范圍之內(nèi)。因此,在WTO框架下對(duì)風(fēng)險(xiǎn)評(píng)估應(yīng)考慮的因素應(yīng)做出明確的解釋或進(jìn)一步規(guī)定,將非科學(xué)性因素加以排除,保障風(fēng)險(xiǎn)評(píng)估本身的科學(xué)性。
3、明確風(fēng)險(xiǎn)評(píng)估義務(wù)。明確風(fēng)險(xiǎn)評(píng)估義務(wù),首先應(yīng)明確風(fēng)險(xiǎn)評(píng)估的實(shí)體性義務(wù),明確SPS措施與風(fēng)險(xiǎn)評(píng)估間的關(guān)系。明確風(fēng)險(xiǎn)評(píng)估義務(wù),還應(yīng)明確風(fēng)險(xiǎn)評(píng)估的最低程序性義務(wù)。最低程序性義務(wù)實(shí)際上保證了風(fēng)險(xiǎn)評(píng)估是在SPS措施制定和實(shí)施時(shí)做出。由最低程序性義務(wù)導(dǎo)致的成員方的舉證責(zé)任制度也應(yīng)加強(qiáng)。無論是實(shí)體性義務(wù)還是程序性義務(wù),都應(yīng)明確風(fēng)險(xiǎn)評(píng)估是制定SPS措施時(shí)必須依據(jù)的基礎(chǔ),一項(xiàng)措施要成為正當(dāng)?shù)腟PS措施,必須以科學(xué)的風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)做出。
(作者單位:河北經(jīng)貿(mào)大學(xué)研究生學(xué)院)
主要參考文獻(xiàn):
[1]葉佐林.WTO《SPS協(xié)議》中的風(fēng)險(xiǎn)評(píng)估問題.南方農(nóng)村,2004.3.
Abstract: In order to divide the rank of flight safety risk scientifically,utility theory is introduced into flight safety risk area to establish evaluation model for flight safety risk by using utility function.Based on analysis to the flight safety risk,we choose a proper utility function to measure the flight safety risk by defining the loss effect of accidents or dangerous events.The model can distinguish the difference of risk between the event such as flight accident with high loss but low probability and the event such as flight incident with low loss but high probability,it can also overcome the limitation of expectancy method.Finally,the scientificity and efficiency of the model is verified by a practical example.
關(guān)鍵詞:效用理論;飛行安全風(fēng)險(xiǎn);損失效應(yīng);期望值法
Key words: utility theory;flight safety risk;loss effect;expectancy method
中圖分類號(hào):F274 文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1006-4311(2010)23-0107-02
0引言
在組織飛行訓(xùn)練的過程中,航空兵部隊(duì)時(shí)常會(huì)面臨飛行事故、飛行事故征候等不期望發(fā)生事件的發(fā)生,事故的發(fā)生不但會(huì)造成財(cái)產(chǎn)損失、人員傷亡,而且會(huì)影響部隊(duì)?wèi)?zhàn)斗力的生成[1]。因此,預(yù)防事故發(fā)生,進(jìn)而確保飛行安全是部隊(duì)一項(xiàng)重要工作。飛行安全風(fēng)險(xiǎn)評(píng)估作為一種有效提高飛行安全的手段,是指通過采取一定的風(fēng)險(xiǎn)度量方法,計(jì)算不期望發(fā)生事件發(fā)生的可能性大小及其造成損失的綜合[1,3]。在飛行安全風(fēng)險(xiǎn)評(píng)估過程中,最關(guān)鍵的問題就是如何建立有效的風(fēng)險(xiǎn)度量模型。關(guān)于風(fēng)險(xiǎn)度量方法方面,多采用定性與定量相結(jié)合的方法,最常用的是通過期望值法來度量風(fēng)險(xiǎn)的大小。期望值法是通過不期望發(fā)生事件發(fā)生可能性大小及其造成損失的乘積來量化風(fēng)險(xiǎn)大小的[3]。用期望值法求解得到的風(fēng)險(xiǎn)是系統(tǒng)的平均益損值。通常,飛行安全風(fēng)險(xiǎn)可以由飛行事故、飛行事故征候以及重大危險(xiǎn)故障等不期望發(fā)生的事件表示,若用期望值法進(jìn)行飛行安全風(fēng)險(xiǎn)評(píng)估,是難以有效區(qū)分類似飛行事故這樣高損失、低概率事件與飛行事故征候這樣低損失、高概率事件風(fēng)險(xiǎn)之間差異的。例如某飛行團(tuán)發(fā)生一等飛行事故的可能性為0.05,造成的損失是100;發(fā)生飛行事故征候的可能性為0.5,造成的損失是10,能否說兩事件的風(fēng)險(xiǎn)大小是相同的,這顯然是不合理的。因此,期望值法存在局限性。
本文針對(duì)期望值法的局限性,利用效用函數(shù),提出了一種新的飛行安全風(fēng)險(xiǎn)度量方法。在實(shí)際分析過程中,人們對(duì)事故或危險(xiǎn)事件造成的損失往往會(huì)產(chǎn)生厭惡,表現(xiàn)出不滿意,并且隨著損失的增加,其不滿意程度在增加,增加的速度也在加快。文章通過定義事故或危險(xiǎn)事件損失效應(yīng)反映人們對(duì)損失的不滿意程度,然后再選取滿足損失效應(yīng)條件的效用函數(shù),確定不期望發(fā)生事件的損失效應(yīng),并最終建立基于效用理論的飛行安全風(fēng)險(xiǎn)評(píng)估模型。該模型有效解決了期望值法的局限性,并通過實(shí)例得到了驗(yàn)證。
1效用理論
效用理論(Utility Theory)最早是由伯努利于1738年在著名的圣•彼得堡悖論中提出的,其核心內(nèi)容是效用和效用函數(shù)[6,7]。效用反映了人們對(duì)獲得財(cái)富的滿意程度,也可以反映對(duì)產(chǎn)生損失的不滿意程度,在飛行安全風(fēng)險(xiǎn)領(lǐng)域,主要考慮事故或危險(xiǎn)事件造成的損失帶來的不滿意程度。效用函數(shù)是對(duì)效用的一種數(shù)學(xué)度量。
效用及效用函數(shù)的定義如下:
定義1[4,5]效用是指人們?cè)讷@得財(cái)富時(shí)所受到的滿足程度,也指在產(chǎn)生損失時(shí)所受到的不滿足程度。
定義2[4,8]設(shè)G={能給人們帶來滿足的財(cái)富或帶來不滿足的損失},集合M上的實(shí)值函數(shù)u(x):G|R表示數(shù)量為x的財(cái)富或損失給人們帶來的滿足程度或不滿足程度,且u(x)滿足條件u(x)?叟u(y)?圳x?叟y,則稱u(x)為集合M上的效用函數(shù)。
效用函數(shù)u(x)具有一下性質(zhì):
性質(zhì)1 u(x)是x的單調(diào)遞增函數(shù)。表示隨著財(cái)富的增加,滿意程度在增加;損失增加,不滿意程度增加。
性質(zhì)2 (邊際效用遞減規(guī)律)
Δu=u(x+Δx)-u(x)是x的單調(diào)減函數(shù),表示滿意程度隨著財(cái)富x的增加其增加速度減慢,這一性質(zhì)稱為邊際效用遞減規(guī)律。
性質(zhì)3(邊際效用遞增規(guī)律)
Δu=u(x+Δx)-u(x)是x的單調(diào)增函數(shù),表示不滿意程度隨著損失x的增加其增加速度加快,這一性質(zhì)稱為邊際效用遞增規(guī)律。
2基于效用理論的飛行安全風(fēng)險(xiǎn)評(píng)估模型
2.1飛行安全風(fēng)險(xiǎn)分析根據(jù)風(fēng)險(xiǎn)的定義,飛行安全風(fēng)險(xiǎn)可以理解為:在特定條件下,飛行事故或危險(xiǎn)事件等不期望發(fā)生事件發(fā)生的概率與造成損失的組合[1,3]。其中,不期望發(fā)生事件及其發(fā)生概率大小和造成的損失是構(gòu)成飛行安全風(fēng)險(xiǎn)的3要素。
飛行安全風(fēng)險(xiǎn)評(píng)估是通過采用一定的風(fēng)險(xiǎn)度量方法,計(jì)算不期望發(fā)生事件發(fā)生的可能性大小及其造成損失的綜合。在飛行訓(xùn)練過程中,可能面臨的不期望發(fā)生事件主要有一等飛行事故、二等飛行事故、三等飛行事故、飛行事故征候以及重大危險(xiǎn)故障等,可由下列有序?qū)Ρ硎?即:
R{(E1,P1),…,(Ei,Pi),…,(En,Pi)}
其中,Ei(i=1,2,…,n)表示不期望發(fā)生事件;Pi(i=1,2,…,n)表示Ei發(fā)生的可能性值。
確定不期望發(fā)生事件發(fā)生的可能性及其造成的損失是度量飛行安全風(fēng)險(xiǎn)的前提。本文依據(jù)作業(yè)條件危險(xiǎn)性評(píng)價(jià)法中關(guān)于事故或危險(xiǎn)事件發(fā)生可能性值和造成的損失值[3],結(jié)合飛行事故或危險(xiǎn)事件發(fā)生的具體特點(diǎn),依靠專家經(jīng)驗(yàn),運(yùn)用模糊數(shù)學(xué)的方法,確定了飛行訓(xùn)練過程中面臨的不期望發(fā)生事件發(fā)生的可能性值和損失值,如表1和表2所示。
依據(jù)期望值法,飛行安全風(fēng)險(xiǎn)為:
Rem=DP(1)
式中:D表示不期望發(fā)生事件造成的損失值,P表示不期望發(fā)生事件發(fā)生的可能性值。
2.2 事故或危險(xiǎn)事件損失效應(yīng)人們對(duì)事故或危險(xiǎn)事件造成的損失往往會(huì)產(chǎn)生不滿意,為了便于對(duì)其進(jìn)行量化,本文將這種損失帶來的不滿意程度定義為損失效應(yīng),并利用效用函數(shù)度量損失效應(yīng)。設(shè)x為事故或危險(xiǎn)事件造成的損失,v(x)為x所帶來的損失效應(yīng),根據(jù)邊際效用遞增規(guī)律,v(x)應(yīng)滿足:v′(x)>0,v″(x)>0
其中,v′(x)>0表示損失x增加損失效應(yīng)增加,v″(x)>0表示損失效應(yīng)隨著損失x的增加其增加速度加快,這體現(xiàn)了人們對(duì)損失的厭惡程度。
2.3 建立基于效用理論的飛行安全風(fēng)險(xiǎn)評(píng)估模型針對(duì)飛行安全,不期望發(fā)生事件Ei造成的損失效應(yīng)為:
U=v(Di)(2)
因此,初步建立的評(píng)估模型如式(3)所示。
Rut=v(D)P(3)
上述評(píng)估模型中,是利用效用函數(shù)進(jìn)行損失效應(yīng)度量的,因此,如何選取合適的效用函數(shù)是模型的關(guān)鍵。考慮到指數(shù)效用函數(shù)有著廣泛的應(yīng)用,其表達(dá)方式為:
u(x)=(1-e-ax)(a>0為常數(shù)) (4)
式中:a表示對(duì)損失的厭惡程度。由于該效用函數(shù)u′(x)>0,u″(x)0,v″(x)>0,滿足損失效應(yīng)條件。
其反函數(shù)為:v(x)=-ln(1-ax)(5)
因此,建立的基于效用理論的飛行安全風(fēng)險(xiǎn)評(píng)估模型為:
Rut=[-ln(1-aD)]Pi(6)
3實(shí)例驗(yàn)證
用所建立的基于效用理論的飛行安全風(fēng)險(xiǎn)評(píng)估模型對(duì)某飛行團(tuán)進(jìn)行飛行安全風(fēng)險(xiǎn)評(píng)估,利用表1與表2,并結(jié)合專家評(píng)判的結(jié)果,確定該飛行團(tuán)不期望發(fā)生事件發(fā)生的可能性值和損失值,將其代入式(1)與式(6),得出期望值法和效用值法下,該飛行團(tuán)飛行安全風(fēng)險(xiǎn)評(píng)估結(jié)果以及各不期望發(fā)生事件的風(fēng)險(xiǎn)評(píng)估結(jié)果如表3所示。
結(jié)果顯示:根據(jù)期望值法,該飛行團(tuán)一等飛行事故、三等飛行事故以及飛行事故征候的風(fēng)險(xiǎn)大小相同,均為3,但依據(jù)效用值法,參數(shù)a=0.005時(shí),一等飛行事故風(fēng)險(xiǎn)大小為4.16,三等飛行事故的風(fēng)險(xiǎn)大小為3.20,飛行事故征候的風(fēng)險(xiǎn)大小為3.08,是符合邊際效用遞增規(guī)律的。并且隨著反映風(fēng)險(xiǎn)厭惡程度的參數(shù)a增大,各不期望發(fā)生事件的風(fēng)險(xiǎn)值之間的差距會(huì)隨著事故嚴(yán)重程度逐漸增大。從中可以看出,評(píng)估結(jié)果很好地區(qū)分了類似飛行事故這樣高損失、低概率事件與飛行事故征候這樣低損失、高概率事件風(fēng)險(xiǎn)之間的差異,驗(yàn)證了所建模型是合理、可行的。
4結(jié)論
本文在分析飛行安全風(fēng)險(xiǎn)的基礎(chǔ)上,通過定義事故或危險(xiǎn)事件損失效應(yīng)反映人們對(duì)飛行事故等不安全事件造成損失的不滿意程度,然后再選取滿足損失效應(yīng)條件的效用函數(shù),確定部隊(duì)面臨的不期望發(fā)生事件的損失效應(yīng),并最終建立基于效用理論的飛行安全風(fēng)險(xiǎn)評(píng)估模型。該模型有效解決了期望值法的局限性,并通過實(shí)例得到了驗(yàn)證。
參考文獻(xiàn):
[1]徐邦年.飛行安全評(píng)估概論[M].北京:藍(lán)天出版社,2005.
[2]Yacov Y.Haimes,(譯).風(fēng)險(xiǎn)建模、評(píng)估與管理[M].西安:西安交通大學(xué)出版社,2007.
[3]蔣軍成,郭振龍.安全系統(tǒng)工程[M].北京:化學(xué)工業(yè)出版社,2003.
[4]汪應(yīng)洛.系統(tǒng)工程(第四版)[M].北京:機(jī)械工業(yè)出版社,2008.
[5]彭俊好,徐國(guó)愛,楊義先,湯永利.基于效用的安全風(fēng)險(xiǎn)度量模型[J].北京郵電大學(xué)學(xué)報(bào).2006,29(2):59-62.
[6]周林,張文,婁壽春,趙杰.效用函數(shù)在防空C3I系統(tǒng)效能評(píng)估中的應(yīng)用[J].系統(tǒng)工程與電子技術(shù),2000,24(1):14-17.
[7]陳焱.效用理論在保險(xiǎn)中的應(yīng)用[J].科學(xué)技術(shù)與工程,2009:3194-3198.
[8]何凱浩.基于信息修正的非期望效用模型和保險(xiǎn)市場(chǎng)均衡問題研究[D].廈門大學(xué),2008.
ISMS的范圍在哪?
對(duì)ISMS范圍的正確確定是整個(gè)實(shí)施的基礎(chǔ)和成敗關(guān)鍵。它涵蓋了業(yè)務(wù)流程、信息流和相關(guān)資產(chǎn),因而也確定了BS7799信息安全管理體系的邊界和目標(biāo),這對(duì)于實(shí)施周期、實(shí)施受益的信息管理環(huán)節(jié)都將產(chǎn)生影響。
僅就認(rèn)證目的而言,企業(yè)可以選擇任何部門和系統(tǒng),但顯然只有與業(yè)務(wù)目標(biāo)一致的范圍定義才有助于體現(xiàn)安全管理對(duì)于核心業(yè)務(wù)的促進(jìn)作用。
在本項(xiàng)目中,最終選擇了企業(yè)的核心業(yè)務(wù)系統(tǒng)作為此次認(rèn)證的范圍,其ISMS邊界包括數(shù)據(jù)安全實(shí)驗(yàn)室及所有與“數(shù)據(jù)銷毀和數(shù)據(jù)恢復(fù)服務(wù)”相關(guān)的信息資產(chǎn),從而確保了BS 7799實(shí)施與預(yù)期目標(biāo)的一致性。
評(píng)估風(fēng)險(xiǎn)
風(fēng)險(xiǎn)評(píng)估被公認(rèn)為是ISMS實(shí)施過程最關(guān)鍵和難以操作環(huán)節(jié)。因此,BS7799實(shí)施并不限定客戶使用風(fēng)險(xiǎn)評(píng)估的方法。
風(fēng)險(xiǎn)評(píng)估成功與否關(guān)鍵不在于技術(shù)問題,而在于良好的客戶溝通和會(huì)議組織技巧,包括讓管理層和業(yè)務(wù)人員理解風(fēng)險(xiǎn)評(píng)估的重要性和方法,提供必要的配合和支持,并通過高效的會(huì)議組織獲得較全面的和客觀的調(diào)查反饋信息。
應(yīng)避免風(fēng)險(xiǎn)評(píng)估僅限于IT部門和安全專家的參與。風(fēng)險(xiǎn)評(píng)估既然服務(wù)于企業(yè)的業(yè)務(wù)目標(biāo),就應(yīng)當(dāng)?shù)玫綐I(yè)務(wù)部門的支持。事實(shí)上,只有他們最理解需要保護(hù)什么、保護(hù)的程度如何,哪些是安全問題,發(fā)生過什么安全事件,是否值得以特定成本實(shí)施安全控制而降低某項(xiàng)風(fēng)險(xiǎn)。
因此,在一開始就應(yīng)把業(yè)務(wù)骨干納入到風(fēng)險(xiǎn)評(píng)估小組,通過培訓(xùn)讓所有成員理解風(fēng)險(xiǎn)評(píng)估的目的、流程和方法。
風(fēng)險(xiǎn)評(píng)估應(yīng)始終圍繞企業(yè)的目標(biāo)和方針進(jìn)行。比如說,在評(píng)估資產(chǎn)和威脅的影響時(shí),都要做BIA(業(yè)務(wù)影響分析),其中制定的參考指標(biāo)就應(yīng)當(dāng)依據(jù)企業(yè)安全目標(biāo)。當(dāng)發(fā)生各成員評(píng)估結(jié)果不一致的情況時(shí),項(xiàng)目經(jīng)理也應(yīng)參照安全目標(biāo)的定義進(jìn)行裁決。
成功的風(fēng)險(xiǎn)評(píng)估應(yīng)避免片面性、主觀性,避免與漏洞掃描或穿透測(cè)試混為一談。客戶可能認(rèn)為只有后者才是值得尊重的專業(yè)服務(wù),但事實(shí)上風(fēng)險(xiǎn)不僅來自技術(shù)弱點(diǎn),還包括組織弱點(diǎn),如業(yè)務(wù)流程、人員和資產(chǎn)管理等。
此外,完整的風(fēng)險(xiǎn)評(píng)估應(yīng)涵蓋物理和邏輯兩方面的因素,我們這個(gè)案例就很明顯地體現(xiàn)了這點(diǎn)。
由于既定的范圍不包括復(fù)雜的網(wǎng)絡(luò)和IT資產(chǎn),因此在進(jìn)行弱點(diǎn)分析時(shí)主要考慮組織和物理方面的技術(shù)弱點(diǎn),例如客戶介質(zhì)在交遞、保管、處理、返還等環(huán)節(jié)的安全隱患,以及安全實(shí)驗(yàn)室的實(shí)物與環(huán)境安全等。
企業(yè)應(yīng)和客戶詳細(xì)討論各種細(xì)微的業(yè)務(wù)流程隱患,甚至以用戶身份參觀公司,以了解這項(xiàng)服務(wù)存在的外部隱患,例如客戶交來介質(zhì)時(shí)如何接待,對(duì)包裝如何檢查、標(biāo)記、存放,當(dāng)實(shí)驗(yàn)室工作人員暫時(shí)離開,如何確保環(huán)境和客戶介質(zhì)的安全等。
我們還檢查了實(shí)驗(yàn)室的裝修環(huán)境,與其他區(qū)域的分隔,以及門禁、監(jiān)控等措施的有效性。弱點(diǎn)識(shí)別往往包括內(nèi)、外兩方面不同的觀點(diǎn),但在資產(chǎn)和威脅分析時(shí),顧問公司只是教給客戶標(biāo)準(zhǔn)和方法,讓客戶自己分析、判斷、紀(jì)錄和整理最終的結(jié)果。
評(píng)斷風(fēng)險(xiǎn)評(píng)估的好壞不局限于采用定性或定量的風(fēng)險(xiǎn)評(píng)估方法,還在于能否為安全控制決策提供足夠的參考依據(jù)。
如果將資產(chǎn)價(jià)值、安全威脅和弱點(diǎn)對(duì)企業(yè)業(yè)務(wù)的影響等評(píng)估活動(dòng)結(jié)果嚴(yán)格數(shù)字化,不僅可能導(dǎo)致實(shí)施進(jìn)度的失控,而且可能因?yàn)槿狈ψ銐虻膮⒖紭?biāo)準(zhǔn)和過于繁復(fù)的過程導(dǎo)致不可操作。在此情況下,基于特定的指標(biāo)進(jìn)行范圍分級(jí)往往是值得推薦的評(píng)估方法。
此外,為了提高評(píng)估的效率,還可以采用專業(yè)化評(píng)估軟件以減少評(píng)估的人為失誤和文檔編制時(shí)間。
人是安全管理體系的靈魂
安全管理體系的良好運(yùn)作依賴于制度和組織機(jī)制,更依賴于各種角色的安全意識(shí)和對(duì)安全方針的理解與遵守程度。所有這些,需要有有效的培訓(xùn)和管理層的支持。
辦好培訓(xùn)最好的方式是案例分析,其次是高層動(dòng)員。如果在安全手冊(cè)的扉頁(yè)有CEO對(duì)安全的評(píng)論和簽名,顯然會(huì)增加該文檔的權(quán)威性。
關(guān)鍵詞:風(fēng)險(xiǎn)識(shí)別 事故總結(jié) 專家調(diào)查 分級(jí)評(píng)判 風(fēng)險(xiǎn)評(píng)估
一、橋梁工程施工階段的風(fēng)險(xiǎn)特點(diǎn)
橋梁工程一般具有投資大、結(jié)構(gòu)設(shè)計(jì)復(fù)雜多變、工期長(zhǎng)、規(guī)模大、施工環(huán)境復(fù)雜、建設(shè)工序多、影響因素眾多、營(yíng)運(yùn)期承重大且期限長(zhǎng)等特點(diǎn)。因此,橋梁工程除了具有風(fēng)險(xiǎn)的客觀性、多樣性、影響全局性和規(guī)律性的普遍特點(diǎn)外,還有其自身的特點(diǎn):
1.橋梁工程作為土木工程中的大型工程,其建設(shè)風(fēng)險(xiǎn)更大。由于所處地理環(huán)境的復(fù)雜和不完全明了性,自然災(zāi)害不確定性大,工期較長(zhǎng),造成橋梁基礎(chǔ)施工風(fēng)險(xiǎn)的難預(yù)測(cè)性。橋梁建設(shè)中所涉及的風(fēng)險(xiǎn)因素多,包括政治、社會(huì)、經(jīng)濟(jì)、自然、技術(shù)等因素,這些因素都會(huì)不同程度地作用于橋梁工程建設(shè)中,產(chǎn)生錯(cuò)綜復(fù)雜的影響。
2.橋梁工程建設(shè)參與的人員較多,而且各參與方均有風(fēng)險(xiǎn),各自風(fēng)險(xiǎn)不盡相同。比如,同樣通貨膨脹事件,在可調(diào)價(jià)格合同下,對(duì)業(yè)主來說是相當(dāng)大的風(fēng)險(xiǎn),而對(duì)承包商來說則風(fēng)險(xiǎn)很小;但對(duì)于固定總價(jià)合同條件下,對(duì)業(yè)主來說就不是風(fēng)險(xiǎn),而對(duì)承包商來說就是相當(dāng)大的風(fēng)險(xiǎn)。
3.上部結(jié)構(gòu)的施工的風(fēng)險(xiǎn)有明顯的規(guī)律性。盡管上部結(jié)構(gòu)施工程序復(fù)雜,施工難度大,但是由于施工方法和程序的相對(duì)固定性,使得上部結(jié)構(gòu)施工風(fēng)險(xiǎn)有很強(qiáng)的可預(yù)見性和可防范性。
4.施工階段的各個(gè)風(fēng)險(xiǎn)因素的相關(guān)性較強(qiáng)。由于橋梁的施工期安排緊湊,工序的銜接非常緊密,一個(gè)風(fēng)險(xiǎn)發(fā)生會(huì)導(dǎo)致相關(guān)的很多風(fēng)險(xiǎn)指標(biāo)發(fā)生變化,有時(shí)因?yàn)橐粋€(gè)風(fēng)險(xiǎn)因素的出現(xiàn)就會(huì)導(dǎo)致整個(gè)項(xiàng)目停工。
5.橋梁工程風(fēng)險(xiǎn)管理需要專業(yè)知識(shí)。只有具備扎實(shí)的專業(yè)知識(shí)和豐富的專業(yè)經(jīng)驗(yàn)才能盡早識(shí)別、衡量風(fēng)險(xiǎn),解決施工技術(shù)問題,降低風(fēng)險(xiǎn),減少損失。
6.橋梁工程風(fēng)險(xiǎn)發(fā)生頻率高。由于橋梁建設(shè)工程周期長(zhǎng),不確定因素多,認(rèn)為和自然原因造成的工程風(fēng)險(xiǎn)交集,從而導(dǎo)致工程風(fēng)險(xiǎn)損失頻發(fā)。
二、橋梁工程施工階段風(fēng)險(xiǎn)識(shí)別法
風(fēng)險(xiǎn)識(shí)別方法多種多樣,如專家調(diào)查法、德爾菲法、事故樹分析法、故障樹分析法等,但都存在各自的優(yōu)缺點(diǎn)。根據(jù)橋梁工程施工特點(diǎn),本文綜合運(yùn)用多種方法,提出事故總結(jié)、結(jié)構(gòu)分析、現(xiàn)場(chǎng)調(diào)研和專家調(diào)查四種方法相結(jié)合的橋梁施工風(fēng)險(xiǎn)綜合識(shí)別方法,可以比較系統(tǒng)全面地識(shí)別橋梁工程施工風(fēng)險(xiǎn)。
1.事故總結(jié)
類似橋梁工程發(fā)生的事故是風(fēng)險(xiǎn)識(shí)別過程中重要的參考資料,也是進(jìn)行風(fēng)險(xiǎn)分析和評(píng)估的基礎(chǔ)。風(fēng)險(xiǎn)評(píng)估應(yīng)用比較深入的領(lǐng)域往往有比較完善的數(shù)據(jù)庫(kù)支持,而橋梁工程方面的基礎(chǔ)數(shù)據(jù)尚未建立起來,可用的事故資料不多。因此,在風(fēng)險(xiǎn)評(píng)估時(shí),盡可能多收集橋梁相關(guān)風(fēng)險(xiǎn)事故資料,并進(jìn)行分析研究,是一項(xiàng)十分重要的工作。
2.結(jié)構(gòu)分析
橋梁結(jié)構(gòu)形式不同,施工方法不同,其在施工過程中的結(jié)構(gòu)狀態(tài)大不相同。對(duì)橋梁結(jié)構(gòu)進(jìn)行分析計(jì)算,可以發(fā)現(xiàn)結(jié)構(gòu)施工過程中的薄弱環(huán)節(jié),可全面識(shí)別施工風(fēng)險(xiǎn)并針對(duì)性的提出風(fēng)險(xiǎn)控制措施。
3.現(xiàn)場(chǎng)調(diào)研
對(duì)橋梁工程施工現(xiàn)場(chǎng)周邊環(huán)境#施工區(qū)域氣候條件以及施工單位現(xiàn)場(chǎng)施工情況等進(jìn)行現(xiàn)場(chǎng)實(shí)地勘察,總結(jié)風(fēng)險(xiǎn)事件。并隨時(shí)了解施工現(xiàn)場(chǎng)工程進(jìn)度等情況變化,同時(shí),通過對(duì)施工現(xiàn)場(chǎng)進(jìn)行跟蹤調(diào)查,隨時(shí)發(fā)現(xiàn)新的風(fēng)險(xiǎn)事件。
4.專家調(diào)查
專家調(diào)查法是風(fēng)險(xiǎn)識(shí)別的主要方法,各領(lǐng)域的專家在專業(yè)方面具有豐富的理論知識(shí)和實(shí)踐經(jīng)驗(yàn),是獲取相關(guān)信息的重要對(duì)象,可較全面地識(shí)別出各類潛在的風(fēng)險(xiǎn)。
三、橋梁工程施工階段風(fēng)險(xiǎn)評(píng)估法
橋梁工程包含多種橋型的多種施工方法,是個(gè)非常復(fù)雜的系統(tǒng)工程,采用單一的評(píng)估方法對(duì)橋梁工程施工過程進(jìn)行評(píng)估往往不夠精確。為此本文提出了基于分級(jí)評(píng)判的橋梁施工風(fēng)險(xiǎn)綜合評(píng)估方法,流程見圖1
一級(jí)評(píng)判
采用簡(jiǎn)便的評(píng)判方法( 如專家調(diào)查法、專家評(píng)議法等) 對(duì)風(fēng)險(xiǎn)源進(jìn)行評(píng)估,將風(fēng)險(xiǎn)明顯較低的風(fēng)險(xiǎn)源定義為低度風(fēng)險(xiǎn),其余風(fēng)險(xiǎn)源進(jìn)入二級(jí)評(píng)判。
二級(jí)評(píng)判
采用較高精度的評(píng)判方法( 如LEC等) 對(duì)風(fēng)險(xiǎn)源進(jìn)行評(píng)估,將風(fēng)險(xiǎn)較低的風(fēng)險(xiǎn)源定義為中度風(fēng)險(xiǎn)其余風(fēng)險(xiǎn)源進(jìn)入三級(jí)評(píng)判。
三級(jí)評(píng)判
采用高精度的評(píng)判方法( 如風(fēng)險(xiǎn)矩陣法等) 對(duì)風(fēng)險(xiǎn)源進(jìn)行評(píng)估,將風(fēng)險(xiǎn)較低的風(fēng)險(xiǎn)源定義為高度風(fēng)險(xiǎn),風(fēng)險(xiǎn)較高的風(fēng)險(xiǎn)源定義為極度風(fēng)險(xiǎn)。
這種分級(jí)綜合評(píng)估方法能夠充分發(fā)揮各種評(píng)估方法的優(yōu)勢(shì),在簡(jiǎn)化評(píng)估繁瑣度的同時(shí)又能保證較高風(fēng)險(xiǎn)源的評(píng)價(jià)精確度。這種方法的適用范圍包括各種橋型的各種施工方法,是一種實(shí)用性較強(qiáng)的風(fēng)險(xiǎn)評(píng)估方法。
四、橋梁工程施工階段的風(fēng)險(xiǎn)應(yīng)對(duì)
橋梁工程風(fēng)險(xiǎn)分析評(píng)估
風(fēng)險(xiǎn)辨識(shí)是風(fēng)險(xiǎn)評(píng)估與控制的基礎(chǔ),風(fēng)險(xiǎn)因素辨識(shí)是否全面、辨識(shí)的結(jié)果是否準(zhǔn)確將影響整個(gè)風(fēng)險(xiǎn)評(píng)估和控制過程。風(fēng)險(xiǎn)評(píng)估的主要內(nèi)容有:考慮在橋梁工程施工中各個(gè)階段存在的風(fēng)險(xiǎn)因素;尋找出形成這些風(fēng)險(xiǎn)因素的原因所在。我們根據(jù)一個(gè)具體的現(xiàn)場(chǎng)勘查資料和一些給定的設(shè)計(jì)圖紙,對(duì)我國(guó)的幾座大橋進(jìn)行風(fēng)險(xiǎn)分析。1、五岔河大橋以為所在位置地勢(shì)陡峭,基樁和承臺(tái)施工過程中需要挖開原山體,形成三面高坡邊,存在高坡邊失穩(wěn)的滑坡的安全隱患,在雨季危險(xiǎn)更大。2、馬家灣大橋,在建設(shè)的時(shí)候需要跨縣道,一旦橋上施工發(fā)生危險(xiǎn),就虧造成縣道交通堵塞,嚴(yán)重時(shí)會(huì)發(fā)生生命危險(xiǎn)。3、橋梁的上部比較高,在高空危險(xiǎn)位置,存在人員或者高空墜物等危險(xiǎn)因素。4、起重機(jī)具等特種設(shè)備存在使用過程中的故障風(fēng)險(xiǎn),嚴(yán)重就會(huì)導(dǎo)致遭到人員。5、下雨天比較滑,存在人員跌落等危險(xiǎn)因素。最后將我們這些風(fēng)險(xiǎn)分析建立一個(gè)橋梁施工風(fēng)險(xiǎn)因素識(shí)別核對(duì)表,參照橋梁工程風(fēng)險(xiǎn)分級(jí)和接受準(zhǔn)則來對(duì)橋梁工程施工階段進(jìn)行風(fēng)險(xiǎn)評(píng)估,得出具體的風(fēng)險(xiǎn)評(píng)估報(bào)告。
成立工程風(fēng)險(xiǎn)評(píng)估與管理小組
對(duì)小組里面的人員進(jìn)行具體的分工,明確到個(gè)人,最后開始完成自己的工作,對(duì)工程施工風(fēng)險(xiǎn)隨時(shí)監(jiān)督檢查,出現(xiàn)狀況及時(shí)上報(bào)管理人員,并采取一定措施。只有每個(gè)人做好自己分內(nèi)的事情,不忽略細(xì)節(jié),才能保證橋梁施工的質(zhì)量,讓橋梁使用者能夠很舒坦的使用。風(fēng)險(xiǎn)評(píng)估與管理小組的成立是勢(shì)在必行的,若只是有想法,卻還是無動(dòng)于衷,我國(guó)橋梁發(fā)展的事業(yè)岌岌可危。
五、結(jié)束語(yǔ)
根據(jù)動(dòng)態(tài)工程風(fēng)險(xiǎn)管理的思路和要求對(duì)橋梁工程風(fēng)險(xiǎn)評(píng)估進(jìn)行不斷的調(diào)整和完善,使風(fēng)險(xiǎn)評(píng)估更加的準(zhǔn)確可靠。通過綜合運(yùn)用多種施工風(fēng)險(xiǎn)評(píng)估方法,提出了事故總結(jié)、結(jié)構(gòu)分析、現(xiàn)場(chǎng)調(diào)研和專家調(diào)查四種方法相結(jié)合的橋梁施工風(fēng)險(xiǎn)綜合識(shí)別方法,提出了基于分級(jí)評(píng)判的橋梁施工風(fēng)險(xiǎn)分級(jí)綜合評(píng)估方法。我們應(yīng)該將風(fēng)險(xiǎn)管理的計(jì)劃和實(shí)際相結(jié)合,兩者相協(xié)調(diào)發(fā)展,創(chuàng)建一個(gè)合理、科學(xué)的風(fēng)險(xiǎn)評(píng)估策略。同時(shí),我國(guó)風(fēng)險(xiǎn)管理應(yīng)該借助于西方國(guó)家的一些管理經(jīng)驗(yàn)、教學(xué)經(jīng)驗(yàn),將其與我國(guó)的風(fēng)險(xiǎn)管理相結(jié)合,促進(jìn)我國(guó)風(fēng)險(xiǎn)管理的發(fā)展。
參考文獻(xiàn):
[1].任旭. 工程風(fēng)險(xiǎn)管理[M].背景清華大學(xué)出版社.2010.
Abstract: Supply chain risk assessment is an important part of the supply chain risk management. This paper has established a supply chain risk assessment index system and used FMEA approach for supply chain risk assessment. This method was used in order to find out the high risk factors in a manufacturing company and provide a solution to prevent the supply chain risk. It is proved that FMEA is feasible for supply chain risk assessment.
關(guān)鍵詞: 失效模式與影響分析;供應(yīng)鏈風(fēng)險(xiǎn);評(píng)估
Key words: FMEA;supply chain risk;assessment
中圖分類號(hào):F274 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1006-4311(2015)35-0066-02
0 引言
世界各國(guó)的公司把進(jìn)軍全球市場(chǎng)作為其最突出的企業(yè)發(fā)展戰(zhàn)略。全球化能夠使企業(yè)獲得廉價(jià)勞動(dòng)力和原材料,更好的融資機(jī)會(huì),更大的產(chǎn)品市場(chǎng),東道國(guó)政府提供的吸引外資的優(yōu)惠條件等。然而全球化為企業(yè)帶來利潤(rùn)的同時(shí),也使得企業(yè)暴漏在各種不確定情況下,增加了供應(yīng)鏈風(fēng)險(xiǎn)出現(xiàn)的可能性。由于對(duì)供應(yīng)鏈風(fēng)險(xiǎn)的重視程度不夠以及風(fēng)險(xiǎn)防范不足等給企業(yè)帶來了負(fù)面的影響。因此有必要對(duì)供應(yīng)鏈風(fēng)險(xiǎn)評(píng)估進(jìn)行研究,制定企業(yè)防范供應(yīng)鏈風(fēng)險(xiǎn)的措施。
從目前的研究情況來看,國(guó)內(nèi)外對(duì)供應(yīng)鏈風(fēng)險(xiǎn)管理的研究都取得了一定程度的研究成果,但是大部分停留在定性的研究上。主要的研究方法有問卷調(diào)查法、情景分析法、流程圖法、事故樹法等。定量化的研究也取得一些成果,基于CVAR的供應(yīng)鏈風(fēng)險(xiǎn)分析方法,基于支持向量機(jī)[1]和基于OWA算子的供應(yīng)鏈風(fēng)險(xiǎn)評(píng)估方法等。每個(gè)方法各自有優(yōu)缺點(diǎn),就目前復(fù)雜的供應(yīng)鏈風(fēng)險(xiǎn)體系來說,應(yīng)該著重于企業(yè)的實(shí)際情況,采用符合企業(yè)實(shí)際運(yùn)作情況的供應(yīng)鏈風(fēng)險(xiǎn)分析方法,從而識(shí)別出企業(yè)最大的風(fēng)險(xiǎn)因素。
1 供應(yīng)鏈風(fēng)險(xiǎn)
1.1 供應(yīng)鏈管理
D. Simchi-Levi[2]把供應(yīng)鏈管理(SCM)定義為一組用于連接的供應(yīng)商,制造商,分銷商和客戶的方法。通過供應(yīng)鏈管理能使商品以正確的數(shù)量,及時(shí)的時(shí)間,在合適的地點(diǎn)進(jìn)行生產(chǎn)和分配,同時(shí)最小化全球系統(tǒng)成本和提高客戶服務(wù)水平。風(fēng)險(xiǎn)管理一直備受全球組織的關(guān)注,每個(gè)組織的風(fēng)險(xiǎn)管理實(shí)踐都受到風(fēng)險(xiǎn)等級(jí)的影響。供應(yīng)鏈風(fēng)險(xiǎn)管理的框架如圖1所示。
1.2 供應(yīng)鏈風(fēng)險(xiǎn)的定義
風(fēng)險(xiǎn)是事件發(fā)生的不確定性。Christopher[3]把供應(yīng)鏈風(fēng)險(xiǎn)定義為:從最初的供應(yīng)商到最終的產(chǎn)品交付過程中所有的信息流,原材料流,產(chǎn)品流等所產(chǎn)生的任何風(fēng)險(xiǎn)。Chopra and Meindl指出,全球供應(yīng)網(wǎng)絡(luò)暴露在各種風(fēng)險(xiǎn)中,包括供應(yīng)中斷,供應(yīng)延誤,需求的波動(dòng),價(jià)格波動(dòng)和匯率波動(dòng)。Jiang[4]中描述的供應(yīng)商的勞工問題產(chǎn)生了三種類型的業(yè)務(wù)風(fēng)險(xiǎn):成本風(fēng)險(xiǎn),操作風(fēng)險(xiǎn)和聲譽(yù)風(fēng)險(xiǎn)。在這個(gè)意義上說,供應(yīng)鏈風(fēng)險(xiǎn)管理的目標(biāo)(SCRM)是“快速反應(yīng),以確保連續(xù)性的能力。”
1.3 供應(yīng)鏈風(fēng)險(xiǎn)的識(shí)別
本文基于一家中等規(guī)模的電子制造企業(yè),建立了如圖2所示的企業(yè)供應(yīng)鏈系統(tǒng)。
根據(jù)企業(yè)的供應(yīng)鏈實(shí)際運(yùn)作狀況以及科學(xué)性、可操作性等原則,本文建立供應(yīng)鏈風(fēng)險(xiǎn)評(píng)價(jià)指標(biāo)體系如表1。
2 供應(yīng)鏈風(fēng)險(xiǎn)評(píng)估方法FMEA
失效模式及后果分析(FMEA:Failure mode and effect analysis)是質(zhì)量管理中連續(xù)改進(jìn)產(chǎn)品或工藝的設(shè)計(jì)通用的技術(shù)之一。FMEA是一種利用人們的技術(shù)和經(jīng)驗(yàn)識(shí)別產(chǎn)品或過程的可預(yù)見的故障模式,并計(jì)劃予以消除這些故障分析技術(shù)。它被廣泛用于在產(chǎn)品生命周期的不同階段的制造業(yè),現(xiàn)在越來越多地發(fā)現(xiàn)在服務(wù)行業(yè)中使用。通過運(yùn)用FMEA方法,確定風(fēng)險(xiǎn)優(yōu)先級(jí)的數(shù)字,這表明潛在問題的風(fēng)險(xiǎn)水平,是對(duì)應(yīng)用的成功至關(guān)重要。這些數(shù)字通常是從過去的經(jīng)驗(yàn)和工程判斷實(shí)現(xiàn)。
FMEA[5]利用風(fēng)險(xiǎn)優(yōu)先數(shù)(RPN)評(píng)價(jià)一個(gè)部件或過程的風(fēng)險(xiǎn)水平。RPN由三個(gè)因素組成,分別是:O故障發(fā)生的概率/可能性,S故障發(fā)生影響的嚴(yán)重程度,D故障不能被檢測(cè)的出來的概率,由三者的乘積得到風(fēng)險(xiǎn)優(yōu)先數(shù)。數(shù)學(xué)公式為:RPN=O×S×D。
FMEA使用五個(gè)規(guī)模R、L、M、H、VH分別表示風(fēng)險(xiǎn)發(fā)生的極低、低、中等、高、很高。其分值是1-10(見表2)來衡量故障或者風(fēng)險(xiǎn)的發(fā)生的可能性,嚴(yán)重程度,以及不能檢測(cè)到的概率。
3 FMEA在供應(yīng)鏈風(fēng)險(xiǎn)評(píng)估中的應(yīng)用
本文通過企業(yè)專家打分法,獲得了企業(yè)供應(yīng)鏈風(fēng)險(xiǎn)的評(píng)估的數(shù)據(jù),如表3所示。
分析:
①供應(yīng)商方面:風(fēng)險(xiǎn)優(yōu)先數(shù)(RPN)最高的是160,供應(yīng)商的產(chǎn)品質(zhì)量不高,從中可以看出供應(yīng)商提供的產(chǎn)品質(zhì)量不高對(duì)企業(yè)的影響最大,因?yàn)橘|(zhì)量低劣容易造成企業(yè)顧客的流失以及產(chǎn)品制造成本的增加,因此企業(yè)有必要注重這方面的風(fēng)險(xiǎn),做好風(fēng)險(xiǎn)防范措施。
②出廠和入廠物流方面:風(fēng)險(xiǎn)優(yōu)先數(shù)(RPN)得分都比較低,對(duì)于企業(yè)來說風(fēng)險(xiǎn)不是很重要。
③制造商方面:技術(shù)、機(jī)器問題的風(fēng)險(xiǎn)優(yōu)先數(shù)(RPN)140比較高,因此企業(yè)要重視自身的制造技術(shù)以及制造機(jī)器的發(fā)生故障的風(fēng)險(xiǎn),緊跟時(shí)展的需要,創(chuàng)新制造技術(shù),制造機(jī)械的更新維護(hù)要到位。
④顧客方面:顧客需求變化的風(fēng)險(xiǎn)優(yōu)先數(shù)(RPN)96比較高,這類風(fēng)險(xiǎn)應(yīng)該引起企業(yè)的重視,制造的產(chǎn)品要符合顧客的需求,否則,企業(yè)會(huì)流失市場(chǎng)份額,失去競(jìng)爭(zhēng)優(yōu)勢(shì)。
4 結(jié)論
供應(yīng)鏈風(fēng)險(xiǎn)評(píng)估是供應(yīng)鏈風(fēng)險(xiǎn)管理中非常重要的一部分。本文基于一家中型制造企業(yè),通過對(duì)企業(yè)資深的專家調(diào)研,獲得了企業(yè)存在的各種供應(yīng)鏈風(fēng)險(xiǎn)因素。通過運(yùn)用FMEA找出企業(yè)運(yùn)作中風(fēng)險(xiǎn)比較高的因素,從而對(duì)高風(fēng)險(xiǎn)因素提出風(fēng)險(xiǎn)防范的建議。本文的創(chuàng)新點(diǎn)在于將質(zhì)量管理中的失效模式及影響分析(FMEA)的方法運(yùn)用到供應(yīng)鏈風(fēng)險(xiǎn)評(píng)估當(dāng)中,為FMEA方法的應(yīng)用開拓了思路。本文的不足是關(guān)于風(fēng)險(xiǎn)因素的識(shí)別要因企業(yè)而異,專家對(duì)風(fēng)險(xiǎn)的評(píng)價(jià)主觀性較大,有待后續(xù)的研究。
參考文獻(xiàn):
[1]舒彤,葛佳麗,陳收.基于支持向量機(jī)的供應(yīng)鏈風(fēng)險(xiǎn)評(píng)估研究[J].經(jīng)濟(jì)經(jīng)緯,2014(1):130-135.
[2]Simchi-Levi D, Kaminsky P, Simchi-Levi E. Designing and Managing the Supply Chain, McGraw-Hill[J]. Diesel & Gas Turbine Worldwide, 2000(36):10-18.
[3]Christopher M, Peck H. Building the Resilient Supply Chain[J]. International Journal of Logistics Management, 2004, volume 15(2):1-13.
論文關(guān)鍵詞 食品安全 風(fēng)險(xiǎn)分析 比較行政法
近期,中央電視臺(tái)推出“舌尖上的安全”系列報(bào)道,對(duì)食品安全亂象進(jìn)行跟蹤報(bào)道,食品安全問題又引起廣泛關(guān)注。據(jù)中國(guó)新聞網(wǎng)2013年6月17日?qǐng)?bào)道,實(shí)施四年的我國(guó)首部《食品安全法》即將啟動(dòng)修改,治亂用重典,加大食品違法行為懲處力度,建立最嚴(yán)格的食品安全監(jiān)管制度,成為此次修法過程中公眾關(guān)注的焦點(diǎn)。 與我國(guó)食品安全事件頻發(fā)形成鮮明對(duì)比的是,鄰國(guó)日本長(zhǎng)期擁有“食品安全的神話”,鑒于中日文化的相似性和法制的傳承性,日本的成功經(jīng)驗(yàn)或許可以為完善我國(guó)食品安全法律制度提供借鑒。
縱觀各國(guó)的食品安全風(fēng)險(xiǎn)分析制度,都是在規(guī)定食品安全風(fēng)險(xiǎn)分析機(jī)構(gòu)的組成和職責(zé)、進(jìn)行風(fēng)險(xiǎn)分析的情形、風(fēng)險(xiǎn)分析的具體程序等等,這些內(nèi)容主要屬于行政法的范疇。因此,本文在行政法的視野下,比較研究中日食品安全風(fēng)險(xiǎn)分析制度,最后提出完善我國(guó)食品安全風(fēng)險(xiǎn)分析制度的建議。
一、食品安全風(fēng)險(xiǎn)分析制度概述
食品安全風(fēng)險(xiǎn)分析是指通過對(duì)影響食品安全質(zhì)量的各種生物、物理和化學(xué)危害進(jìn)行評(píng)估,定性或定量描述風(fēng)險(xiǎn)特征,并在參考了各種相關(guān)因素后,提出和實(shí)施風(fēng)險(xiǎn)管理措施,并對(duì)有關(guān)情況進(jìn)行交流的過程。 根據(jù)國(guó)際食品法典委員會(huì)對(duì)食品安全風(fēng)險(xiǎn)分析制度的定義,食品安全風(fēng)險(xiǎn)分析制度是由風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)交流三部分構(gòu)成的完整體系。
食品安全風(fēng)險(xiǎn)分析制度作為風(fēng)險(xiǎn)分析方法在食品安全領(lǐng)域的應(yīng)用,具有以下幾個(gè)方面的顯著特征:
第一,食品安全風(fēng)險(xiǎn)分析制度具有科學(xué)性和客觀性。食品安全風(fēng)險(xiǎn)是客觀存在的,因此,食品安全風(fēng)險(xiǎn)分析制度應(yīng)當(dāng)遵循客觀規(guī)律,運(yùn)用科學(xué)方法,通過大量的科學(xué)研究得出風(fēng)險(xiǎn)評(píng)估結(jié)果,并以此為依據(jù)制定風(fēng)險(xiǎn)管理措施。它以科學(xué)為基礎(chǔ),每一環(huán)節(jié)都是依據(jù)科學(xué)研究結(jié)論,而不是某個(gè)人的主觀臆斷,具有顯著的科學(xué)性和客觀性。
第二,食品安全風(fēng)險(xiǎn)分析制度具有專業(yè)性和獨(dú)立性。食品安全風(fēng)險(xiǎn)評(píng)估由醫(yī)學(xué)、農(nóng)業(yè)、食品等領(lǐng)域的專家組成的食品安全風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu)進(jìn)行,具有極強(qiáng)的專業(yè)性。為了確保風(fēng)險(xiǎn)評(píng)估結(jié)果科學(xué)客觀,很多國(guó)家都實(shí)行風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理相分離,提高風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu)的獨(dú)立性。風(fēng)險(xiǎn)管理則由專門的食品安全監(jiān)管部門負(fù)責(zé),從而使風(fēng)險(xiǎn)分析制度具有了較強(qiáng)的專業(yè)性和獨(dú)立性。
第三,食品安全風(fēng)險(xiǎn)分析制度具有公開性和透明性。食品安全風(fēng)險(xiǎn)分析制度是在嚴(yán)峻的食品安全形勢(shì)下誕生的,很多國(guó)家也是在嚴(yán)重的食品安全危機(jī)下建立食品安全風(fēng)險(xiǎn)分析制度的,這就要求它不僅要從客觀上保障食品的安全,還要從心理上重建公眾對(duì)食品安全的信心。因此,食品安全風(fēng)險(xiǎn)分析制度非常強(qiáng)調(diào)分析過程的公開和透明,通過多種方式積極與社會(huì)公眾加強(qiáng)風(fēng)險(xiǎn)交流。
二、我國(guó)食品安全風(fēng)險(xiǎn)分析制度的現(xiàn)狀和問題
食品安全風(fēng)險(xiǎn)分析制度是保障食品安全的必然要求,是國(guó)際社會(huì)普遍遵循的原則,但是我國(guó)目前的食品安全風(fēng)險(xiǎn)分析制度尚不完善,與發(fā)達(dá)國(guó)家還有一定差距。
(一)我國(guó)食品安全風(fēng)險(xiǎn)分析制度的現(xiàn)狀
在風(fēng)險(xiǎn)評(píng)估方面,農(nóng)業(yè)部成立了國(guó)家農(nóng)產(chǎn)品質(zhì)量安全風(fēng)險(xiǎn)評(píng)估專家委員會(huì),是對(duì)農(nóng)產(chǎn)品質(zhì)量進(jìn)行風(fēng)險(xiǎn)評(píng)估的最高學(xué)術(shù)和咨詢機(jī)構(gòu)。衛(wèi)生部組建了國(guó)家食品安全風(fēng)險(xiǎn)評(píng)估專家委員會(huì),承擔(dān)國(guó)家食品安全風(fēng)險(xiǎn)評(píng)估工作,并開展食品安全風(fēng)險(xiǎn)交流。2011年10月13日,籌備三年之久的國(guó)家食品安全風(fēng)險(xiǎn)評(píng)估中心在北京成立,該中心是我國(guó)第一家國(guó)家級(jí)食品安全風(fēng)險(xiǎn)評(píng)估專業(yè)技術(shù)機(jī)構(gòu)。
在風(fēng)險(xiǎn)管理方面,我國(guó)實(shí)行的是分段監(jiān)管體制:衛(wèi)生行政部門負(fù)責(zé)組織食品安全風(fēng)險(xiǎn)評(píng)估工作,承擔(dān)綜合協(xié)調(diào)職責(zé);國(guó)家質(zhì)量監(jiān)督、工商行政管理和食品藥品監(jiān)督管理部門分別對(duì)食品生產(chǎn)、食品流通、餐飲服務(wù)活動(dòng)實(shí)施監(jiān)督管理。
在風(fēng)險(xiǎn)交流方面,我國(guó)對(duì)其重視不夠,相關(guān)法律規(guī)定多為原則性的,如《食品安全法》第六條規(guī)定縣級(jí)以上衛(wèi)生行政、農(nóng)業(yè)行政、質(zhì)量監(jiān)督、工商行政管理、食品藥品監(jiān)督管理部門應(yīng)當(dāng)加強(qiáng)溝通、密切配合,按照各自職責(zé)分工,依法行使職權(quán),承擔(dān)責(zé)任。
(二)我國(guó)食品安全風(fēng)險(xiǎn)分析制度存在的問題
1.食品安全風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu)過于分散。根據(jù)現(xiàn)行法律,農(nóng)業(yè)部成立了農(nóng)產(chǎn)品質(zhì)量安全風(fēng)險(xiǎn)評(píng)估專家委員會(huì),衛(wèi)生部成立了食品安全風(fēng)險(xiǎn)評(píng)估專家委員會(huì),并舉辦了國(guó)家食品安全風(fēng)險(xiǎn)評(píng)估中心。三個(gè)機(jī)構(gòu)性質(zhì)和職責(zé)相似,人員結(jié)構(gòu)基本一致,但卻屬于不同的部門。造成食品安全風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu)過于分散,影響了食品安全風(fēng)險(xiǎn)評(píng)估的進(jìn)行。
2.風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)管理機(jī)構(gòu)合一受到質(zhì)疑。我國(guó)現(xiàn)在承擔(dān)食品安全風(fēng)險(xiǎn)評(píng)估工作的機(jī)構(gòu)大多由風(fēng)險(xiǎn)管理部門組織,使得其提交的風(fēng)險(xiǎn)數(shù)據(jù)或決策建議有受到行政管理者意向影響的嫌疑,加之風(fēng)險(xiǎn)交流工作滯后,使公眾對(duì)風(fēng)險(xiǎn)評(píng)估結(jié)論的真實(shí)可靠性產(chǎn)生了質(zhì)疑,從而缺少了公信力。
3.食品安全風(fēng)險(xiǎn)管理部門協(xié)調(diào)性差。由于我國(guó)實(shí)行分段監(jiān)管模式,由衛(wèi)生部、農(nóng)業(yè)部、質(zhì)量監(jiān)督、工商行政管理、食品藥品監(jiān)督管理等部門共同承擔(dān)。但是現(xiàn)實(shí)中各部門溝通協(xié)調(diào)性較差,互相推諉扯皮現(xiàn)象時(shí)有發(fā)生,甚至出現(xiàn)了“十幾個(gè)部門管不了一桌菜”的尷尬局面。
4.食品安全風(fēng)險(xiǎn)交流工作落后。盡管我國(guó)新制定的食品安全法律法規(guī)都要求加強(qiáng)風(fēng)險(xiǎn)交流,但我國(guó)食品安全風(fēng)險(xiǎn)交流工作依然落后,此前關(guān)于乳品安全標(biāo)準(zhǔn)的爭(zhēng)論更證明了這一點(diǎn)。衛(wèi)生部2010年3月頒布的乳品安全標(biāo)準(zhǔn)要求每百克的蛋白質(zhì)含量大于等于2.80克,生鮮乳菌落總數(shù)允許每毫升200萬(wàn)個(gè),而此前的1986年標(biāo)準(zhǔn)分別是不低于2.95克和不超過50萬(wàn)個(gè)。難怪媒體驚呼“一夜倒退了25年”,更有人認(rèn)為乳品新標(biāo)準(zhǔn)是以保護(hù)奶農(nóng)為借口,被個(gè)別大企業(yè)綁架的標(biāo)準(zhǔn)。面對(duì)公眾的強(qiáng)烈質(zhì)疑,衛(wèi)生部只解釋道:標(biāo)準(zhǔn)符合中國(guó)國(guó)情和產(chǎn)業(yè)實(shí)際,引發(fā)人們強(qiáng)烈不滿,更突顯出我國(guó)食品安全風(fēng)險(xiǎn)交流工作的落后。
三、日本食品安全風(fēng)險(xiǎn)分析制度的考察
為應(yīng)對(duì)食品安全事件,保障食品安全,日本政府引進(jìn)食品安全風(fēng)險(xiǎn)分析制度,修改食品安全相關(guān)法律,對(duì)食品安全監(jiān)管機(jī)構(gòu)也進(jìn)行了改革。
(一)日本食品安全風(fēng)險(xiǎn)分析的法律制度
日本政府根據(jù)國(guó)內(nèi)外食品安全形勢(shì)發(fā)展需求,在2003年頒布了《食品安全基本法》,明確了制定與實(shí)施食品安全政策的基本方針是采用風(fēng)險(xiǎn)分析手段:第一,風(fēng)險(xiǎn)評(píng)估。在制定食品安全政策時(shí),應(yīng)當(dāng)對(duì)食品本身含有或加入到食品中影響人體健康的生物、化學(xué)、物理上的因素,進(jìn)行影響人體健康的評(píng)估。第二,風(fēng)險(xiǎn)管理。為了防止、抑制攝取食品對(duì)人身健康產(chǎn)生的不良影響,應(yīng)考慮國(guó)民飲食習(xí)慣等因素,根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果,制定食品安全政策。第三,風(fēng)險(xiǎn)溝通。為了將國(guó)民的意見反映到制定的政策中,政府在制定食品安全政策時(shí),應(yīng)采取必要措施,向國(guó)民提供相關(guān)政策信息,為其提供陳述意見的機(jī)會(huì),并促進(jìn)相關(guān)單位、人員相互之間交換信息和意見。
為了適應(yīng)新的食品安全形勢(shì),制定于1947年的《食品衛(wèi)生法》也于2006年進(jìn)行了修改。該法是日本控制食品質(zhì)量安全與衛(wèi)生的重要法典,對(duì)幾乎所有食品都有詳細(xì)的規(guī)定,包括制定食品、添加劑、器具和食品包裝的標(biāo)準(zhǔn)和規(guī)格等。此外,日本政府還對(duì)《農(nóng)林水產(chǎn)省設(shè)置法》進(jìn)行部分修改,把風(fēng)險(xiǎn)管理部門從產(chǎn)業(yè)振興部門分離出來,并予以強(qiáng)化,成立產(chǎn)業(yè)·消費(fèi)局。
(二)日本食品安全風(fēng)險(xiǎn)分析的管理機(jī)構(gòu)
為加強(qiáng)政府對(duì)食品安全的管理,日本于2003年在內(nèi)閣府增設(shè)食品安全委員會(huì),與農(nóng)林水產(chǎn)省和厚生勞動(dòng)省共同對(duì)食品安全進(jìn)行監(jiān)管。
日本食品安全委員會(huì)隸屬于內(nèi)閣府,是專門負(fù)責(zé)食品安全風(fēng)險(xiǎn)評(píng)估的機(jī)構(gòu),主要職能是進(jìn)行科學(xué)的風(fēng)險(xiǎn)評(píng)估,并根據(jù)評(píng)估結(jié)果對(duì)厚生勞動(dòng)省、農(nóng)林水產(chǎn)省等風(fēng)險(xiǎn)管理機(jī)構(gòu)進(jìn)行勸告和監(jiān)督。厚生勞動(dòng)省作為真正行使食品安全監(jiān)管的部門,主要對(duì)進(jìn)出口及國(guó)內(nèi)市場(chǎng)的食品衛(wèi)生實(shí)施監(jiān)管。另外,隨著食品安全委員會(huì)的建立,厚生勞動(dòng)省的職能已由風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)管理并舉轉(zhuǎn)變?yōu)閱渭兊娘L(fēng)險(xiǎn)管理。農(nóng)林水產(chǎn)省主要負(fù)責(zé)對(duì)生鮮農(nóng)產(chǎn)品的監(jiān)管,它與厚生勞動(dòng)省的區(qū)別在于側(cè)重對(duì)農(nóng)產(chǎn)品生產(chǎn)和加工階段進(jìn)行風(fēng)險(xiǎn)管理。
四、完善我國(guó)食品安全風(fēng)險(xiǎn)分析制度的建議
通過對(duì)我國(guó)食品安全風(fēng)險(xiǎn)分析現(xiàn)狀的分析,對(duì)比鄰國(guó)日本食品安全風(fēng)險(xiǎn)分析制度的經(jīng)驗(yàn),我們應(yīng)當(dāng)從以下幾個(gè)方面完善我國(guó)食品安全風(fēng)險(xiǎn)分析制度:
(一)整合現(xiàn)有的食品安全風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu)
我國(guó)現(xiàn)有的食品安全風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu)過于分散,不利于食品安全風(fēng)險(xiǎn)評(píng)估工作的開展。因此,有必要對(duì)其進(jìn)行整合,把農(nóng)產(chǎn)品質(zhì)量安全風(fēng)險(xiǎn)評(píng)估專家委員會(huì)和食品安全風(fēng)險(xiǎn)評(píng)估專家委員會(huì)整合成新的食品安全風(fēng)險(xiǎn)評(píng)估專家委員會(huì),由醫(yī)學(xué)、農(nóng)業(yè)、食品、營(yíng)養(yǎng)、衛(wèi)生等方面的專家組成,專門負(fù)責(zé)監(jiān)督、審核食品安全風(fēng)險(xiǎn)評(píng)估工作。
(二)實(shí)現(xiàn)風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)管理的分離
在借鑒日本等發(fā)達(dá)國(guó)家的實(shí)踐經(jīng)驗(yàn)基礎(chǔ)上,我國(guó)應(yīng)當(dāng)對(duì)食品安全風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu)進(jìn)行改革,實(shí)現(xiàn)食品安全風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu)與食品安全風(fēng)險(xiǎn)管理機(jī)構(gòu)的分離。由新成立的國(guó)家食品安全風(fēng)險(xiǎn)評(píng)估中心專門負(fù)責(zé)食品安全風(fēng)險(xiǎn)評(píng)估技術(shù)工作,把風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu)從風(fēng)險(xiǎn)管理部門分離出來,直屬于國(guó)務(wù)院,以提高其地位和獨(dú)立性。
(三)強(qiáng)化各風(fēng)險(xiǎn)管理部門的協(xié)作
由于我國(guó)實(shí)行分段監(jiān)管的食品安全監(jiān)督管理體制,因此,必須加強(qiáng)部門之間的密切協(xié)作,以免出現(xiàn)監(jiān)管漏洞或交叉重復(fù)。首先,我們應(yīng)當(dāng)明確各部門的職責(zé),完善責(zé)任追究制度,確保各監(jiān)管部門按照自己的職責(zé)分工,切實(shí)履行職責(zé)。其次,在各部門設(shè)立專門溝通窗口,建立相互間暢通的溝通渠道,及時(shí)互通信息,實(shí)現(xiàn)信息共享。
關(guān)鍵詞:網(wǎng)絡(luò) 風(fēng)險(xiǎn)評(píng)估 模糊層次分析 網(wǎng)絡(luò)安全
中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1674-098X(2015)10(b)-0163-03
隨著日益增長(zhǎng)的網(wǎng)絡(luò)需求,風(fēng)險(xiǎn)評(píng)估在網(wǎng)絡(luò)防護(hù)中顯示了越來越重要的作用。通過風(fēng)險(xiǎn)評(píng)估,可以了解己方網(wǎng)絡(luò)的安全威脅及其影響程度,為制定相應(yīng)的安全策略提供依據(jù)。由于缺乏有效的風(fēng)險(xiǎn)評(píng)估將會(huì)造成網(wǎng)絡(luò)需求與網(wǎng)絡(luò)解決方案之間的嚴(yán)重脫節(jié),國(guó)際上各主流網(wǎng)絡(luò)通信公司和網(wǎng)絡(luò)安全公司已開始著手開展相關(guān)技術(shù)的研究,并給出了一些解決方案。
作為一種處理不易定量化變量的多準(zhǔn)則決策方法,層次分析法(analytic hierarchy process,簡(jiǎn)稱AHP)[1]具有多個(gè)優(yōu)點(diǎn)。但層次分析法也有一些不可避免的問題,比如在分析過程中使用不同的判斷矩陣會(huì)對(duì)分析結(jié)果有不同的影響,所以分析結(jié)果的一致性檢驗(yàn)比較困難。此外,模糊評(píng)價(jià)法基于模糊數(shù)學(xué)[2]提出了將應(yīng)用模糊關(guān)系進(jìn)行合成的方法。但是模糊評(píng)價(jià)法對(duì)于過于復(fù)雜的情況擴(kuò)展性不強(qiáng),無法適應(yīng)大規(guī)模網(wǎng)絡(luò)的分析。很多學(xué)者對(duì)上述方法進(jìn)行了改進(jìn)[3-6],但這些方法都不適合用于復(fù)雜的網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估且具體評(píng)估效果還有待驗(yàn)證。
為了有效的對(duì)網(wǎng)絡(luò)進(jìn)行風(fēng)險(xiǎn)評(píng)估,該文提出了一種基于模糊層次分析法的網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估技術(shù),此項(xiàng)技術(shù)將層次分析法和模糊評(píng)價(jià)法相結(jié)合,把主觀判斷和客觀因素結(jié)合起來反映實(shí)際網(wǎng)絡(luò)的風(fēng)險(xiǎn)情況。
1 基于模糊層次分析的網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估
1.1 層次結(jié)構(gòu)
在層次結(jié)構(gòu)中,最上層為網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估目標(biāo)的焦點(diǎn),我們將其定義為風(fēng)險(xiǎn)要素重要度。在網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估中,各風(fēng)險(xiǎn)要素的風(fēng)險(xiǎn)計(jì)算是由風(fēng)險(xiǎn)發(fā)生的概率和風(fēng)險(xiǎn)的影響來決定的。同時(shí)在網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估中還需要考慮到風(fēng)險(xiǎn)是否可控的因素。所以,層次結(jié)構(gòu)中的第二層準(zhǔn)則定義為“風(fēng)險(xiǎn)概率、風(fēng)險(xiǎn)影響”和“不可控制性”。在層次結(jié)構(gòu)的第三層中,需要根據(jù)實(shí)際網(wǎng)絡(luò)系統(tǒng)的威脅和脆弱性進(jìn)行分析,導(dǎo)出整體網(wǎng)絡(luò)面臨的各種風(fēng)險(xiǎn)要素。
1.2 相對(duì)權(quán)重
建立了層次結(jié)構(gòu)之后,需要計(jì)算層次結(jié)構(gòu)中第二層和第三層的相對(duì)權(quán)重。
第二層相對(duì)權(quán)重:
在第二層中,由于準(zhǔn)則的重要性比較清晰,所以我們?cè)诘诙又胁捎肁HP方法對(duì)不同要素的相對(duì)權(quán)重進(jìn)行計(jì)算。
首先我們以第一層要素為判斷依據(jù),將層次結(jié)構(gòu)模型中的第二層要素進(jìn)行兩兩之間的比較,依據(jù)比較結(jié)果確定第二層要素的相對(duì)重要度,病構(gòu)建判斷矩陣,記為B:
其中,n2為第二層要素的數(shù)量,bij為從某種判斷方式得出的要素Bi相對(duì)于要素Bj來說的相對(duì)重要程度,即相對(duì)重要度。B的取值范圍為1≤B≤9,其中9表示相對(duì)重要度最大。且B中元素滿足:
bii=1
bij=1/bji (i,j=1,2,…,n2)
bij=bik/bjk (i,j,k=1,2,…,n2)
在上述計(jì)算得到的判斷矩陣B的基礎(chǔ)上,我們使用n次方根計(jì)算推斷各個(gè)要素的的相對(duì)權(quán)重。然后,可以計(jì)算特征向量V=(v1,v2,…vn2)T,,i=1,2,…,n2,再對(duì)V進(jìn)行歸一化處理,得到歸一權(quán)向量WU2={W1a,W2a,…,Wn2a}T,,i=1,2,…,n2,并對(duì)B進(jìn)行一致性檢驗(yàn)[10]。表1為Satty給出的平均隨機(jī)一致性指標(biāo)RI[10]。
第三層相對(duì)權(quán)重:
為了克服傳統(tǒng)AHP法中對(duì)各風(fēng)險(xiǎn)要素進(jìn)行兩兩比較時(shí)經(jīng)常導(dǎo)致較大誤差的主觀性缺陷,該方法利用模糊評(píng)判方法對(duì)分析過程中的各風(fēng)險(xiǎn)要素進(jìn)行量化,并在此基礎(chǔ)上進(jìn)行定量評(píng)定。
第一步構(gòu)造評(píng)判集Vi={vi1,vi2,…,viki},i=1~n2,即相對(duì)于上一層的不同準(zhǔn)則,將各個(gè)指標(biāo)的評(píng)判分為ki個(gè)等級(jí),對(duì)各風(fēng)險(xiǎn)要素逐個(gè)給出風(fēng)險(xiǎn)程度,以衡量在該指標(biāo)上各風(fēng)險(xiǎn)要素的表現(xiàn)及由此而來的相關(guān)風(fēng)險(xiǎn)的大小。
第二步依據(jù)上層設(shè)定的不同評(píng)判準(zhǔn)則給出各風(fēng)險(xiǎn)要素的評(píng)判。假設(shè)風(fēng)險(xiǎn)要素集為U={u1,u2,…,un3},構(gòu)造從評(píng)判集到模糊集的映射h:UH(Vi),H(Vi)是Vi上可能導(dǎo)致模糊化判決的全體集合。在其中,ujh(ui)=(hi1,hi2,…,hiki)∈H(V),映射h即可以代表風(fēng)險(xiǎn)要uj對(duì)分析評(píng)判集合中各數(shù)值的可信支持程度。將風(fēng)險(xiǎn)要素ul對(duì)分析評(píng)判集Vi的隸屬度向量記為Rl=(ril1,ril2,…,rilki),l=1,2,…,n3。可以計(jì)算得到隸屬矩陣Ri,不同的風(fēng)險(xiǎn)要素相對(duì)不同的準(zhǔn)則可以得到不同的隸屬度矩陣R1,…,Rn2。
由于評(píng)判分析集合中各評(píng)判指標(biāo)會(huì)對(duì)風(fēng)險(xiǎn)要素的分析產(chǎn)生直接影響,因此我們需要針對(duì)分析評(píng)判集中的每個(gè)指標(biāo)進(jìn)行權(quán)重賦值。假設(shè)指標(biāo)權(quán)重的分配集合WIi={wI1, wI2,…,wImi}。可以得到在某評(píng)判準(zhǔn)則下各個(gè)風(fēng)險(xiǎn)要素之間的相對(duì)權(quán)重Wi。
進(jìn)行歸一化處理后,可以得到對(duì)各因素的歸一化權(quán)重向量Wib={Wib1,Wib2,…,Wibn3}。
其中,Wib表示第i個(gè)準(zhǔn)則相對(duì)于所有第二層因素的歸一化權(quán)向量,Wibj表示第j個(gè)因素在第二層中的第i個(gè)評(píng)判準(zhǔn)則下相對(duì)于其他所有因素的重要性權(quán)值。
不斷重復(fù)上述過程,我們可以得到在整體的評(píng)判準(zhǔn)則集下,各個(gè)風(fēng)險(xiǎn)要素的歸一化權(quán)重矩陣,記為WU3={W1b, W2b,…,Wn2b}。
各風(fēng)險(xiǎn)要素的綜合重要度
得到各風(fēng)險(xiǎn)要素相對(duì)于上一層的相對(duì)權(quán)重向量之后,對(duì)其進(jìn)行排序,可以得到各個(gè)風(fēng)險(xiǎn)要素對(duì)于整體網(wǎng)絡(luò)風(fēng)險(xiǎn)的綜合性重要度。各個(gè)風(fēng)險(xiǎn)要素的綜合重要度如下:
,j=1,2,…,n3。
比較各個(gè)風(fēng)險(xiǎn)要素的綜合性重要程度,我們?cè)谶M(jìn)行風(fēng)險(xiǎn)控制時(shí)就可以選擇比較重要的風(fēng)險(xiǎn)要素,集中采取措施進(jìn)行風(fēng)險(xiǎn)管控。
2 分析用例
構(gòu)建圖1所示的網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估模型。判斷矩陣為:
計(jì)算一致性比率:CR=CI/RI=0.058
然后依據(jù)Wi=WIi?RiT求得歸一化權(quán)重向量(0.187、0.209、0.203、0.198、0.202)。根據(jù)以上分析,最后得到風(fēng)險(xiǎn)要素“非法訪問、數(shù)據(jù)泄漏、惡意代碼、拒絕服務(wù)、身份欺騙”中風(fēng)險(xiǎn)較大的為“數(shù)據(jù)泄漏”和“惡意代碼”。網(wǎng)絡(luò)管理者可以根據(jù)以上信息進(jìn)行進(jìn)一步的改進(jìn)。
3 結(jié)語(yǔ)
該文針對(duì)網(wǎng)絡(luò)設(shè)計(jì)中面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估問題,提出了一種基于模糊層次分析法的網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估技術(shù),此技術(shù)綜合考慮了風(fēng)險(xiǎn)要素的層次性、和易變多變性,結(jié)合層次分析法和模糊評(píng)價(jià)法,分別從層次結(jié)構(gòu)、相對(duì)權(quán)重、綜合重要度等方面進(jìn)行風(fēng)險(xiǎn)要素評(píng)判。最后的例子說明通過將定性分析與定量分析相結(jié)合,該方法具有實(shí)際可操作性。
參考文獻(xiàn)
[1] Satty,T.L.The Analytic Hierarchy Process[M].NewYork: McGraw-Hill,1980.
[2] Zadeh,L.A.Fuzzy Sets[J].Information and Control,1965,8:338-356.
[3] Jacob Jen-Gwo,Zesheng He.Using analytic hierarchy process and fuzzy set theory to rate and rank the disability[M].Elsevier North-Holland,Inc,1997:1-22.
[4] 劉健,趙剛,鄭運(yùn)鵬.基于AHP-貝葉斯網(wǎng)絡(luò)的信息安全風(fēng)險(xiǎn)態(tài)勢(shì)分析模型[J].北京信息科技大學(xué)學(xué)報(bào):自然科學(xué)版,2015,30(3):68-74.
[5] 蔡永勇,桑笑楠,張周磊,等.資源多約束進(jìn)度網(wǎng)絡(luò)的風(fēng)險(xiǎn)評(píng)估[J].軟件,2015,36(7):36-41.
[關(guān)鍵詞] SPS協(xié)定 風(fēng)險(xiǎn)評(píng)估 科學(xué)證據(jù)
隨著食品安全成為農(nóng)產(chǎn)品貿(mào)易的焦點(diǎn)問題,各國(guó)紛紛制定大量針對(duì)食品和動(dòng)植物產(chǎn)品進(jìn)口的嚴(yán)格的檢驗(yàn)和檢疫規(guī)則,以保護(hù)本國(guó)人類、動(dòng)植物的生命健康,即所謂的SPS措施。然而,一項(xiàng)SPS措施也可能盜科學(xué)之名,行貿(mào)易保護(hù)主義之實(shí)。WTO爭(zhēng)端解決機(jī)構(gòu)(DSB)處理農(nóng)產(chǎn)品貿(mào)易糾紛適用的主要法律是WTO《實(shí)施衛(wèi)生與植物衛(wèi)生措施協(xié)定》(SPS協(xié)定),其中的關(guān)鍵問題集中在如何理解和在實(shí)踐中把握“風(fēng)險(xiǎn)評(píng)估”。DSB專家組和上訴庭的相關(guān)解釋已構(gòu)成了事實(shí)上的判例法。加強(qiáng)對(duì)風(fēng)險(xiǎn)評(píng)估的研究是深刻理解協(xié)定,積累經(jīng)驗(yàn)的有效途徑,有助于充分了解WTO成員合法維持SPS措施必須符合的條件和應(yīng)采取的實(shí)施流程,以及如何合理利用規(guī)則,在貿(mào)易爭(zhēng)端中正確地援引SPS協(xié)定。
一 、 SPS協(xié)定對(duì)風(fēng)險(xiǎn)評(píng)估的規(guī)定
風(fēng)險(xiǎn)評(píng)估在SPS協(xié)定附件A中被定義為:根據(jù)可能適用的衛(wèi)生與植物衛(wèi)生措施評(píng)價(jià)蟲害或病害在進(jìn)口成員領(lǐng)土內(nèi)傳入、定居或傳播的可能性,及評(píng)價(jià)相關(guān)潛在的生物學(xué)后果和經(jīng)濟(jì)后果;或評(píng)價(jià)食品、飲料或飼料中存在的添加劑、污染物、毒素或致病有機(jī)體對(duì)人類或動(dòng)物的健康所產(chǎn)生的潛在不利影響。
SPS協(xié)定第2條和第5條也專門針對(duì)風(fēng)險(xiǎn)評(píng)估施加了嚴(yán)格的紀(jì)律。協(xié)定允許WTO成員在貿(mào)易方面給予食品安全和動(dòng)植物健康以優(yōu)先權(quán),每個(gè)成員有權(quán)確定其認(rèn)為適當(dāng)?shù)氖称钒踩蛣?dòng)植物健康水平,并在對(duì)真實(shí)存在的有關(guān)風(fēng)險(xiǎn)進(jìn)行適當(dāng)評(píng)估的基礎(chǔ)上確立SPS措施,而且還應(yīng)將其所考慮的因素、所使用的評(píng)估程序和所確認(rèn)的可接受的風(fēng)險(xiǎn)水平應(yīng)要求公之于眾。第5條第2款列舉了進(jìn)行風(fēng)險(xiǎn)評(píng)估應(yīng)考慮的因素,包括:有關(guān)國(guó)際組織制定的風(fēng)險(xiǎn)評(píng)估技術(shù);可獲得的科學(xué)證據(jù)和方法;病蟲害非疫區(qū)的存在;相關(guān)的生態(tài)和環(huán)境條件;相關(guān)的經(jīng)濟(jì)因素,比如有害物質(zhì)傳入的潛在經(jīng)濟(jì)影響、包含和消滅規(guī)避所選SPS措施的有害物質(zhì)的成本和采用替代方法控制風(fēng)險(xiǎn)的相對(duì)成本效益。
二、 DSB對(duì)風(fēng)險(xiǎn)評(píng)估的相關(guān)闡釋
DSB專家組和上訴庭在相關(guān)案例中對(duì)有關(guān)風(fēng)險(xiǎn)評(píng)估的一系列法律問題作了大量闡釋,正逐步演變成為該領(lǐng)域的判例法,下面分別結(jié)合相關(guān)案例加以分析。
1.風(fēng)險(xiǎn)評(píng)估和SPS措施之間的關(guān)系
歐盟荷爾蒙牛肉案上訴庭將SPS措施必須基于風(fēng)險(xiǎn)評(píng)估解釋為在二者之間必須存在合理關(guān)系,即一種持續(xù)的客觀情況且能在SPS措施和風(fēng)險(xiǎn)評(píng)估之間被觀察到,一成員也可以將其措施基于另一成員或國(guó)際組織開展的風(fēng)險(xiǎn)評(píng)估,只要在訴訟中能用風(fēng)險(xiǎn)評(píng)估證明措施合理足矣。確定風(fēng)險(xiǎn)評(píng)估和SPS措施之間關(guān)系是否存在也只能個(gè)案分析。只要措施的結(jié)論和風(fēng)險(xiǎn)評(píng)估的結(jié)論可比較,就符合第5條第1款。因?yàn)槿绻摮蓡T在措施引起爭(zhēng)議時(shí)能找到科學(xué)證據(jù),就可以假定在措施制定時(shí)證據(jù)同樣得到了考慮。因此,風(fēng)險(xiǎn)評(píng)估的缺失將被理解為存在對(duì)國(guó)際貿(mào)易變相限制的一個(gè)警示信號(hào)。日本水果檢疫措施案專家組還論證了“充分科學(xué)證據(jù)”的含義,認(rèn)為“充分”通常指無論“其數(shù)量、程度和范圍都表明足以實(shí)現(xiàn)一定的目標(biāo)”,要求SPS措施和科學(xué)證據(jù)之間存在足夠的關(guān)系,包括措施的性質(zhì)和科學(xué)證據(jù)的數(shù)量、質(zhì)量。
2.風(fēng)險(xiǎn)評(píng)估的科學(xué)性問題
歐盟荷爾蒙牛肉案上訴庭認(rèn)為風(fēng)險(xiǎn)評(píng)估必須是對(duì)數(shù)據(jù)的“科學(xué)”考察和事實(shí)性研究,而不包括社會(huì)價(jià)值判斷在內(nèi)的“政策”, “SPS協(xié)定第5條第2款對(duì)風(fēng)險(xiǎn)評(píng)估所考慮的因素的列舉不是一個(gè)可‘窮盡’的列舉……依照第5條第1款所評(píng)估的風(fēng)險(xiǎn)不僅僅是在嚴(yán)格控制的條件下在科學(xué)實(shí)驗(yàn)室中可探知的,而且還是在人類社會(huì)中真實(shí)存在的”。因此,成員國(guó)通常會(huì)把其措施基于主流的科學(xué)證據(jù),當(dāng)然一項(xiàng)措施也可以基于“來自有資格的和受尊敬來源的不同觀點(diǎn),特別是當(dāng)有關(guān)風(fēng)險(xiǎn)具有威脅生命的特征并被覺察出對(duì)公共健康安全構(gòu)成明顯和逼近的威脅時(shí)”。澳大利亞鮭魚案上訴庭也認(rèn)為在風(fēng)險(xiǎn)評(píng)估中對(duì)污染和損害的可能性的適當(dāng)評(píng)價(jià)必須達(dá)到某種水平的客觀程度,即必須是對(duì)所認(rèn)定的風(fēng)險(xiǎn)水平能夠讓人合理地相信的水平。SPS協(xié)定的紀(jì)律在此得到了最嚴(yán)格地執(zhí)行,第5條第1款和第2款通過要求成員在進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)考慮可獲得的科學(xué)證據(jù)、國(guó)際組織制定的風(fēng)險(xiǎn)評(píng)估技術(shù)和參考科學(xué)原理而強(qiáng)調(diào)了客觀性。
3.風(fēng)險(xiǎn)評(píng)估的步驟
澳大利亞鮭魚案上訴庭認(rèn)為一項(xiàng)有效的風(fēng)險(xiǎn)評(píng)估必須包括以下步驟:a、確認(rèn)措施所針對(duì)的疾病,以及導(dǎo)致其對(duì)當(dāng)?shù)貏?dòng)植物污染事件的潛在生物學(xué)和經(jīng)濟(jì)影響;b、對(duì)疾病傳入、定居或傳播以及隨之而來的生物學(xué)和經(jīng)濟(jì)損害可能性的評(píng)估;c、對(duì)在擬采取的SPS措施條件下疾病傳入、定居或傳播的可能性的評(píng)估。
三 、關(guān)于風(fēng)險(xiǎn)評(píng)估制度的思考及我國(guó)的法律對(duì)策
1.建立風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理機(jī)制
“風(fēng)險(xiǎn)評(píng)估”最重要的啟示就是必須建立科學(xué)的風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理機(jī)制。風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理在SPS協(xié)定中具有舉足輕重的地位。一般而言,DSB專家組往往首先考察是否存在風(fēng)險(xiǎn)評(píng)估。如果沒有,僅憑這一點(diǎn)就可能導(dǎo)致敗訴。因此,我國(guó)應(yīng)當(dāng)盡快建立科學(xué)的風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理機(jī)制,首要任務(wù)是設(shè)立專門機(jī)構(gòu)來負(fù)責(zé)這一工作。在鮭魚案敗訴后,澳大利亞就在農(nóng)林漁業(yè)部?jī)?nèi)設(shè)立了一個(gè)澳大利亞生物安全局( Biosecurity Australia)的新機(jī)構(gòu),專門負(fù)責(zé)提供進(jìn)口風(fēng)險(xiǎn)分析。
2.風(fēng)險(xiǎn)評(píng)估必須具體且包括所有風(fēng)險(xiǎn)
目前,DSB在抽象意義上對(duì)風(fēng)險(xiǎn)評(píng)估的要求已經(jīng)作出了合理、清楚的陳述,產(chǎn)生于可能的未知因素而不能用數(shù)量表示的風(fēng)險(xiǎn)或理論上的風(fēng)險(xiǎn)量是遠(yuǎn)遠(yuǎn)不夠。風(fēng)險(xiǎn)評(píng)估必須是具體的,而且可能比 SPS協(xié)定字面要求更嚴(yán)格。在荷爾蒙案中,上訴庭認(rèn)為SPS協(xié)定并不要求一項(xiàng)風(fēng)險(xiǎn)評(píng)估必須識(shí)別最小程度的風(fēng)險(xiǎn),而僅僅是可確定的風(fēng)險(xiǎn),歐盟的研究應(yīng)當(dāng)鎖定于特定的荷爾蒙,而非荷爾蒙的類別。此外,所有的風(fēng)險(xiǎn)必須包括在風(fēng)險(xiǎn)評(píng)估之中,甚至那些不能通過實(shí)驗(yàn)方法進(jìn)行數(shù)量分析的對(duì)人類健康的所有威脅。歐盟當(dāng)初敗訴也由于沒有提供這一階段風(fēng)險(xiǎn)的證據(jù)。因此,我國(guó)在提供風(fēng)險(xiǎn)評(píng)估報(bào)告時(shí)應(yīng)盡可能詳盡具體,包括所能確知和考慮到的幾乎所有風(fēng)險(xiǎn)。同時(shí),還應(yīng)密切跟蹤WTO有關(guān)風(fēng)險(xiǎn)評(píng)估書面形式的裁定等指南。
3.突出風(fēng)險(xiǎn)評(píng)估的科學(xué)性
毫無疑問,不管所完成的風(fēng)險(xiǎn)評(píng)估如何,WTO必然會(huì)在SPS措施基于充分的科學(xué)證據(jù)這一點(diǎn)上持強(qiáng)硬立場(chǎng)。具體地說,我國(guó)未來開展風(fēng)險(xiǎn)評(píng)估一定要遵循澳大利亞鮭魚案中的三步法,并考慮SPS協(xié)定第5條第2、3款所列舉的因素,對(duì)數(shù)據(jù)進(jìn)行“科學(xué)”考察和事實(shí)性研究,而不能是包括社會(huì)價(jià)值判斷在內(nèi)的“政策”。同時(shí),注意風(fēng)險(xiǎn)評(píng)估的客觀程度水平。鮭魚案專家組認(rèn)為雖然在風(fēng)險(xiǎn)評(píng)估定義的文本中并無門檻要求,但在參考了一系列客觀因素后要求達(dá)到“對(duì)所作的評(píng)估和所認(rèn)定的風(fēng)險(xiǎn)水平能夠讓人合理地相信” 的水平。這很可能意味著要求在風(fēng)險(xiǎn)評(píng)估中科學(xué)分析的力度必須是能夠經(jīng)得起懷疑的,哪怕不是太嚴(yán)格。
4.慎用非主流科學(xué)觀點(diǎn)
雖然DSB承認(rèn)非主流科學(xué)可以被用來支持風(fēng)險(xiǎn)評(píng)估,但其是否足以支持一項(xiàng)風(fēng)險(xiǎn)評(píng)估只能個(gè)案分析。應(yīng)該說,SPS協(xié)定下的數(shù)量程序要求在全球范圍內(nèi)的運(yùn)作都是極其近似,“伽利略現(xiàn)象”是十分罕見的。即便這種現(xiàn)象真的發(fā)生,專家組也仍然有能力去評(píng)估所謂“科學(xué)”的可信度,并得出結(jié)論。因此,我們應(yīng)當(dāng)慎用非主流科學(xué)觀點(diǎn),最好盡量把風(fēng)險(xiǎn)評(píng)估建立在主流科學(xué)觀點(diǎn)之上。
加入WTO之后,我國(guó)一些勞動(dòng)密集型和具有地域優(yōu)勢(shì)的農(nóng)產(chǎn)品的出口屢遭進(jìn)口國(guó)SPS措施暗箭。這說明我國(guó)作為WTO的新成員, 應(yīng)對(duì)SPS問題的相關(guān)經(jīng)驗(yàn)還需要一個(gè)積累的過程。我們?nèi)狈?yīng)對(duì)SPS措施引起貿(mào)易糾紛的訴訟經(jīng)驗(yàn),缺乏參與制定國(guó)際標(biāo)準(zhǔn)和跟蹤國(guó)際SPS措施變化的經(jīng)驗(yàn)。對(duì)風(fēng)險(xiǎn)評(píng)估的研究無疑是在經(jīng)驗(yàn)積累和學(xué)會(huì)利用SPS協(xié)定方面邁出的第一步。吸取別國(guó)在風(fēng)險(xiǎn)評(píng)估等問題上的經(jīng)驗(yàn)教訓(xùn),既保護(hù)國(guó)內(nèi)公共健康又保護(hù)國(guó)內(nèi)相關(guān)產(chǎn)業(yè),對(duì)于我國(guó)在遵循WTO義務(wù)的同時(shí),有效地抵御外來SPS壁壘,充分運(yùn)用多邊貿(mào)易機(jī)制所賦予的權(quán)利并在爭(zhēng)端中掌握主動(dòng)都是十分必要的。
參考文獻(xiàn):
[1]《實(shí)施衛(wèi)生與植物衛(wèi)生措施協(xié)定》,附件A
[2]《實(shí)施衛(wèi)生與植物衛(wèi)生措施協(xié)定》第5條第2款
[3]歐共體荷爾蒙牛肉案上訴庭報(bào)告,第193-194段
[4]日本水果檢疫措施案專家組報(bào)告,第8段;上訴庭報(bào)告,第73段、84~85段
[5]歐共體荷爾蒙牛肉案上訴庭報(bào)告,第187段
[6]歐共體荷爾蒙牛肉案上訴庭報(bào)告,第194段
[7]澳大利亞鮭魚案上訴庭報(bào)告,第121段
關(guān)鍵詞:網(wǎng)絡(luò)審計(jì) 歷史財(cái)務(wù)報(bào)表審計(jì) 信息安全管理 風(fēng)險(xiǎn)評(píng)估
一、引言
從審計(jì)的角度,風(fēng)險(xiǎn)評(píng)估是現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的核心理念。無論是在歷史財(cái)務(wù)報(bào)表審計(jì)還是在網(wǎng)絡(luò)審計(jì)中,現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)均要求審計(jì)師在執(zhí)行審計(jì)工作過程中應(yīng)以風(fēng)險(xiǎn)評(píng)估為中心,通過對(duì)被審計(jì)單位及其環(huán)境的了解,評(píng)估確定被審計(jì)單位的高風(fēng)險(xiǎn)領(lǐng)域,從而確定審計(jì)的范圍和重點(diǎn),進(jìn)一步?jīng)Q定如何收集、收集多少和收集何種性質(zhì)的證據(jù),以便更有效地控制和提高審計(jì)效果及審計(jì)效率。從企業(yè)管理的角度,企業(yè)風(fēng)險(xiǎn)管理將風(fēng)險(xiǎn)評(píng)估作為其基本的要素之一進(jìn)行規(guī)范,要求企業(yè)在識(shí)別和評(píng)估風(fēng)險(xiǎn)可能對(duì)企業(yè)產(chǎn)生影響的基礎(chǔ)上,采取積極的措施來控制風(fēng)險(xiǎn),降低風(fēng)險(xiǎn)為企業(yè)帶來?yè)p失的概率或縮小損失程度來達(dá)到控制目的。信息安全風(fēng)險(xiǎn)評(píng)估作為企業(yè)風(fēng)險(xiǎn)管理的一部分,是企業(yè)信息安全管理的基礎(chǔ)和關(guān)鍵環(huán)節(jié)。盡管如此,風(fēng)險(xiǎn)評(píng)估在網(wǎng)絡(luò)審計(jì)、歷史財(cái)務(wù)報(bào)表審計(jì)和企業(yè)信息安全管理等工作中的運(yùn)用卻不盡相同,本文在分析計(jì)算機(jī)信息系統(tǒng)環(huán)境下所有特定風(fēng)險(xiǎn)和網(wǎng)絡(luò)審計(jì)風(fēng)險(xiǎn)基本要素的基礎(chǔ)上,從風(fēng)險(xiǎn)評(píng)估中應(yīng)關(guān)注的風(fēng)險(xiǎn)范圍、風(fēng)險(xiǎn)評(píng)估的目的、內(nèi)容、程序及實(shí)施流程等內(nèi)容展開,將網(wǎng)絡(luò)審計(jì)與歷史財(cái)務(wù)報(bào)表審計(jì)和信息安全管理的風(fēng)險(xiǎn)評(píng)估進(jìn)行對(duì)比分析,以期深化對(duì)網(wǎng)絡(luò)審計(jì)風(fēng)險(xiǎn)評(píng)估的理解。
二、網(wǎng)絡(luò)審計(jì)與歷史財(cái)務(wù)報(bào)表審計(jì)的風(fēng)險(xiǎn)評(píng)估比較
(一)審計(jì)風(fēng)險(xiǎn)要素根據(jù)美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)的第47號(hào)審計(jì)標(biāo)準(zhǔn)說明中的審計(jì)風(fēng)險(xiǎn)模型,審計(jì)風(fēng)險(xiǎn)又由固有風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)和檢查風(fēng)險(xiǎn)構(gòu)成。其中,固有風(fēng)險(xiǎn)是指不考慮被審計(jì)單位相關(guān)的內(nèi)部控制政策或程序的情況下,其財(cái)務(wù)報(bào)表某項(xiàng)認(rèn)定產(chǎn)生重大錯(cuò)報(bào)的可能性;控制風(fēng)險(xiǎn)是被審計(jì)單位內(nèi)部控制未能及時(shí)防止或發(fā)現(xiàn)財(cái)務(wù)報(bào)表上某項(xiàng)錯(cuò)報(bào)或漏報(bào)的可能性;檢查風(fēng)險(xiǎn)是審計(jì)人員通過預(yù)定的審計(jì)程序未能發(fā)現(xiàn)被審計(jì)單位財(cái)務(wù)報(bào)表上存在重大錯(cuò)報(bào)或漏報(bào)的可能性。在網(wǎng)絡(luò)審計(jì)中,審計(jì)風(fēng)險(xiǎn)仍然包括固有風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)和檢查風(fēng)險(xiǎn)要素,但其具體內(nèi)容直接受計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境下信息系統(tǒng)特定風(fēng)險(xiǎn)的影響。計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的應(yīng)用能提高企業(yè)經(jīng)營(yíng)活動(dòng)的效率,為企業(yè)的經(jīng)營(yíng)管理帶來很大的優(yōu)越性,但同時(shí)也為企業(yè)帶來了一些新的風(fēng)險(xiǎn)。這些新的風(fēng)險(xiǎn)主要表現(xiàn)為:(1)數(shù)據(jù)與職責(zé)過于集中化。由于手工系統(tǒng)中的職責(zé)分工、互相牽制等控制措施都被歸并到計(jì)算機(jī)系統(tǒng)自動(dòng)處理過程中去了,這些集中的數(shù)據(jù)庫(kù)技術(shù)無疑會(huì)增加數(shù)據(jù)縱和破壞的風(fēng)險(xiǎn)。(2)系統(tǒng)程序易于被非法調(diào)用甚至遭到篡改。由于計(jì)算機(jī)系統(tǒng)有較高的技術(shù)要求,非專業(yè)人員難以察覺計(jì)算機(jī)舞弊的線索,這加大了數(shù)據(jù)被非法使用的可能性。如經(jīng)過批準(zhǔn)的系統(tǒng)使用人員濫用系統(tǒng),或者說,企業(yè)對(duì)接近信息缺乏控制使得重要的數(shù)據(jù)或程序被盜竊等。(3)錯(cuò)誤程序的風(fēng)險(xiǎn),例如程序中的差錯(cuò)反復(fù)和差錯(cuò)級(jí)聯(lián)、數(shù)據(jù)處理不合邏輯、甚至是程序本身存在錯(cuò)誤等。(4)信息系統(tǒng)缺乏應(yīng)用的審計(jì)接口,使得審計(jì)人員在審計(jì)工作中難以有效地采集或獲取企業(yè)信息系統(tǒng)中的數(shù)據(jù),從而無法正常開展審計(jì)工作。(5)網(wǎng)絡(luò)系統(tǒng)在技術(shù)和商業(yè)上的風(fēng)險(xiǎn),如計(jì)算機(jī)信息系統(tǒng)所依賴的硬件設(shè)備可能出現(xiàn)一些不可預(yù)料的故障,或者信息系統(tǒng)所依賴的物理工作環(huán)境可能對(duì)整個(gè)信息系統(tǒng)的運(yùn)行效能帶來影響等。相對(duì)應(yīng)地,網(wǎng)絡(luò)審計(jì)的固有風(fēng)險(xiǎn)主要是指系統(tǒng)環(huán)境風(fēng)險(xiǎn),即財(cái)務(wù)電算化系統(tǒng)本身所處的環(huán)境引起的風(fēng)險(xiǎn),它可分為硬件環(huán)境風(fēng)險(xiǎn)和軟件環(huán)境風(fēng)險(xiǎn)。控制風(fēng)險(xiǎn)包括系統(tǒng)控制風(fēng)險(xiǎn)和財(cái)務(wù)數(shù)據(jù)風(fēng)險(xiǎn),其中,系統(tǒng)控制風(fēng)險(xiǎn)是指會(huì)計(jì)電算化系統(tǒng)的內(nèi)部控制不嚴(yán)密造成的風(fēng)險(xiǎn),財(cái)務(wù)數(shù)據(jù)風(fēng)險(xiǎn)是指電磁性財(cái)務(wù)數(shù)據(jù)被篡改的可能性。檢查風(fēng)險(xiǎn)包括審計(jì)軟件風(fēng)險(xiǎn)和人員操作風(fēng)險(xiǎn),審計(jì)軟件風(fēng)險(xiǎn)是指計(jì)算機(jī)審計(jì)軟件本身缺陷原因造成的風(fēng)險(xiǎn),人員操作風(fēng)險(xiǎn)是指計(jì)算機(jī)審計(jì)系統(tǒng)的操作人員、技術(shù)人員和開發(fā)人員等在工作中由于主觀或客觀原因造成的風(fēng)險(xiǎn)。
(二)風(fēng)險(xiǎn)評(píng)估目的無論在網(wǎng)絡(luò)審計(jì)還是歷史財(cái)務(wù)報(bào)表審計(jì)中,風(fēng)險(xiǎn)評(píng)估只是審計(jì)的一項(xiàng)重要程序,貫穿于審計(jì)的整個(gè)過程。與其他審計(jì)程序緊密聯(lián)系而不是一項(xiàng)獨(dú)立的活動(dòng)。盡管如此,兩者所關(guān)注的風(fēng)險(xiǎn)范圍則有所不同。歷史財(cái)務(wù)報(bào)表審計(jì)的風(fēng)險(xiǎn)評(píng)估要求審計(jì)人員主要關(guān)注的是被審計(jì)單位的重大錯(cuò)報(bào)風(fēng)險(xiǎn)――財(cái)務(wù)報(bào)表在審計(jì)前存在重大錯(cuò)報(bào)的可能性。由于網(wǎng)絡(luò)審計(jì)的審計(jì)對(duì)象包括被審計(jì)單位基于網(wǎng)絡(luò)的財(cái)務(wù)信息和網(wǎng)絡(luò)財(cái)務(wù)信息系統(tǒng)兩類,因此審計(jì)人員關(guān)注的風(fēng)險(xiǎn)應(yīng)是被審計(jì)單位經(jīng)營(yíng)過程中與該兩類審計(jì)對(duì)象相關(guān)的風(fēng)險(xiǎn)。(1)對(duì)于與企業(yè)網(wǎng)絡(luò)財(cái)務(wù)信息系統(tǒng)相關(guān)的風(fēng)險(xiǎn),審計(jì)人員應(yīng)該從信息系統(tǒng)生命周期的各個(gè)階段和信息系統(tǒng)的各組成部分及運(yùn)行環(huán)境兩方面出發(fā)進(jìn)行評(píng)估。信息系統(tǒng)生命周期是指該信息系統(tǒng)從產(chǎn)生到完成乃至進(jìn)入維護(hù)的各個(gè)階段及其活動(dòng),無論是在早期的線性開發(fā)模型中還是在更為復(fù)雜的螺旋式等模型中,一個(gè)信息系統(tǒng)的生命周期大都包括規(guī)劃和啟動(dòng)、設(shè)計(jì)開發(fā)或采購(gòu)、集成實(shí)現(xiàn)、運(yùn)行和維護(hù)、廢棄等五個(gè)基本階段。由于信息系統(tǒng)在不同階段的活動(dòng)內(nèi)容不同,企業(yè)在不同階段的控制目標(biāo)和控制行為也會(huì)有所不同,因此,審計(jì)人員的風(fēng)險(xiǎn)評(píng)估應(yīng)該貫穿于信息系統(tǒng)的整個(gè)生命周期。信息系統(tǒng)的組成部分是指構(gòu)成該信息系統(tǒng)的硬件、軟件及數(shù)據(jù)等,信息系統(tǒng)的運(yùn)行環(huán)境是指信息系統(tǒng)正常運(yùn)行使用所依托的物理和管理平臺(tái)。具體可將其分為五個(gè)層面:物理層,即信息系統(tǒng)運(yùn)行所必備的機(jī)房、設(shè)備、辦公場(chǎng)所、系統(tǒng)線路及相關(guān)環(huán)境;網(wǎng)絡(luò)層,即信息系統(tǒng)所需的網(wǎng)絡(luò)架構(gòu)的安全情況、網(wǎng)絡(luò)設(shè)備的漏洞情況、網(wǎng)絡(luò)設(shè)備配置的缺陷情況等;系統(tǒng)層,即信息系統(tǒng)本身的漏洞情況、配置的缺陷情況;應(yīng)用層,即信息系統(tǒng)所使用的應(yīng)用軟件的漏洞情況、安全功能缺陷情況;管理層,即被審計(jì)單位在該信息系統(tǒng)的運(yùn)行使用過程中的組織、策略、技術(shù)管理等方面的情況。(2)對(duì)于與企業(yè)基于網(wǎng)絡(luò)的財(cái)務(wù)信息相關(guān)的風(fēng)險(xiǎn),審計(jì)人員應(yīng)著重關(guān)注財(cái)務(wù)信息的重大錯(cuò)報(bào)風(fēng)險(xiǎn)和信息的安全風(fēng)險(xiǎn)。重大錯(cuò)報(bào)風(fēng)險(xiǎn)主要指被審計(jì)單位基于網(wǎng)絡(luò)的相關(guān)財(cái)務(wù)信息存在重大錯(cuò)報(bào)的可能性,它是針對(duì)企業(yè)借助于網(wǎng)絡(luò)信息系統(tǒng)或網(wǎng)絡(luò)技術(shù)對(duì)有關(guān)賬戶、交易或事項(xiàng)進(jìn)行確認(rèn)、計(jì)量或披露而言。網(wǎng)絡(luò)審計(jì)中關(guān)注的重大錯(cuò)報(bào)風(fēng)險(xiǎn)與傳統(tǒng)審CtT的內(nèi)涵基本上是一致的,審計(jì)人員在審計(jì)時(shí)應(yīng)當(dāng)考慮被審計(jì)單位的行業(yè)狀況、經(jīng)營(yíng)性質(zhì)、法律及監(jiān)管環(huán)境、會(huì)計(jì)政策和會(huì)計(jì)方法的選用、財(cái)務(wù)業(yè)績(jī)的衡量和評(píng)價(jià)等方面的情況對(duì)財(cái)務(wù)信息錯(cuò)報(bào)可能的影響。信息安全風(fēng)險(xiǎn)涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的風(fēng)險(xiǎn),主要針對(duì)企業(yè)利用信息系統(tǒng)或一定的網(wǎng)絡(luò)平臺(tái)來存儲(chǔ)、傳輸、披露相關(guān)財(cái)務(wù)信息而言。在審計(jì)過程中,審eta員應(yīng)當(dāng)主要關(guān)注相關(guān)財(cái)務(wù)信息被盜用、非法攻擊或篡改及非法使用的可能性。當(dāng)然,這兩類風(fēng)險(xiǎn)并非完全分離的,評(píng)估時(shí)審計(jì)人員應(yīng)將兩者結(jié)合起來考慮。
(三)風(fēng)險(xiǎn)評(píng)估內(nèi)容 廣泛意義的風(fēng)險(xiǎn)評(píng)估是指考慮潛在事件對(duì)目標(biāo)實(shí)現(xiàn)的影響程度。由于網(wǎng)絡(luò)審計(jì)與歷史財(cái)務(wù)報(bào)表審計(jì)風(fēng)險(xiǎn)評(píng)估的目的并不完全相同,因此兩者在風(fēng)險(xiǎn)評(píng)估的內(nèi)容上也是存在區(qū)別的。總的來說,網(wǎng)絡(luò)審計(jì)的風(fēng)險(xiǎn)評(píng)估內(nèi)容比歷史財(cái)務(wù)報(bào)表審計(jì)的風(fēng)險(xiǎn)評(píng)估內(nèi)容更廣泛和深入。根據(jù)《中國(guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則第1211號(hào)――了解被審計(jì)單位及其環(huán)境并評(píng)估重大錯(cuò)報(bào)風(fēng)
險(xiǎn)》,在歷史財(cái)務(wù)報(bào)表審計(jì)中,審計(jì)人員的風(fēng)險(xiǎn)評(píng)估應(yīng)以了解被審計(jì)單位及其環(huán)境為內(nèi)容。為識(shí)別和評(píng)價(jià)重大錯(cuò)報(bào)風(fēng)險(xiǎn),審計(jì)人員了解的具體內(nèi)容包括被審計(jì)單位所在行業(yè)狀況、法律環(huán)境與監(jiān)管環(huán)境以及其他外部因素、被審計(jì)單位的性質(zhì)、被審計(jì)單位對(duì)會(huì)計(jì)政策的選擇和運(yùn)用、被審計(jì)單位的目標(biāo)、戰(zhàn)略以及相關(guān)經(jīng)營(yíng)風(fēng)險(xiǎn)、被審計(jì)單位財(cái)務(wù)業(yè)績(jī)的衡量和評(píng)價(jià)及被審it@位的內(nèi)部控制等。在網(wǎng)絡(luò)審計(jì)中。為了識(shí)別和評(píng)估上文所述的兩類風(fēng)險(xiǎn),審計(jì)人員除了從以上方面了解被審計(jì)單位及其環(huán)境外,還應(yīng)該關(guān)注其他相關(guān)的潛在事件及其影響,尤其是企業(yè)的財(cái)務(wù)信息系統(tǒng)及基于網(wǎng)絡(luò)的財(cái)務(wù)信息可能面l臨的威脅或存在的脆弱點(diǎn)。其中,威脅是指對(duì)信息系統(tǒng)及財(cái)務(wù)信息構(gòu)成潛在破壞的可能性因素或者事件,它可能是一些如工作人員缺乏責(zé)任心、專業(yè)技能不足或惡意篡改等人為因素,也可能是一些如灰塵、火災(zāi)或通訊線路故障等環(huán)境因素。脆弱點(diǎn)是指信息系統(tǒng)及基于網(wǎng)絡(luò)的財(cái)務(wù)信息所存在的薄弱環(huán)節(jié),它是系統(tǒng)或網(wǎng)絡(luò)財(cái)務(wù)信息本身固有的,包括物理環(huán)境、組織、過程、人員、管理、配置、硬軟件及信息等各方面的弱點(diǎn)。一般來說,脆弱點(diǎn)本身不會(huì)帶來?yè)p失或信息錯(cuò)報(bào),威脅卻總是要利用網(wǎng)絡(luò)、系統(tǒng)的弱點(diǎn)來成功地引起破壞。因此,我們認(rèn)為網(wǎng)絡(luò)審計(jì)申風(fēng)險(xiǎn)評(píng)估的內(nèi)容應(yīng)包括以下幾方面:(1)識(shí)別被審計(jì)單位財(cái)務(wù)信息系統(tǒng)及其基于網(wǎng)絡(luò)的財(cái)務(wù)信息可能面臨的威脅,并分析威脅發(fā)生的可能性;(2)識(shí)別被審計(jì)單位財(cái)務(wù)信息系統(tǒng)及其基于網(wǎng)絡(luò)的財(cái)務(wù)信息可能存在的脆弱點(diǎn),并分析脆弱點(diǎn)的嚴(yán)重程度;(3)根據(jù)威脅發(fā)生的可能性和脆弱點(diǎn)發(fā)生的嚴(yán)重程度,判斷風(fēng)險(xiǎn)發(fā)生的可能性;(4)根據(jù)風(fēng)險(xiǎn)發(fā)生的可能性,評(píng)價(jià)風(fēng)險(xiǎn)對(duì)財(cái)務(wù)信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息可能帶來的影響;(5)若被審計(jì)單位存在風(fēng)險(xiǎn)防范或化解措施,審計(jì)人員在進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)還應(yīng)該考慮相應(yīng)措施的可行性及有效性。
(四)風(fēng)險(xiǎn)評(píng)估程序《中國(guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則第1211-----了解被審計(jì)單位及其環(huán)境并評(píng)估重大錯(cuò)報(bào)風(fēng)險(xiǎn)》中要求,審計(jì)人員應(yīng)當(dāng)實(shí)施詢問、分析程序、觀察和檢查等程序,以獲取被審計(jì)單位的信息,進(jìn)而評(píng)估被審計(jì)單位的重大錯(cuò)報(bào)風(fēng)險(xiǎn)。這些程序同樣適用于網(wǎng)絡(luò)審計(jì)中的風(fēng)險(xiǎn)評(píng)估。但在具體運(yùn)用時(shí)網(wǎng)絡(luò)審計(jì)中更加注重了解和分析被審計(jì)單位與信息系統(tǒng)及網(wǎng)絡(luò)技術(shù)使用相關(guān)的事項(xiàng)。在實(shí)施詢問程序時(shí),審計(jì)人員的詢問對(duì)象圍繞信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息可大致分為管理人員、系統(tǒng)開發(fā)和維護(hù)人員(或信息編制人員)、系統(tǒng)使用人員(或信息的內(nèi)部使用人員)、系統(tǒng)或網(wǎng)絡(luò)技術(shù)顧問及其他外部相關(guān)人員(如律師)等五類,分別從不同角度了解信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息可能存在的威脅和脆弱點(diǎn)。在實(shí)施分析程序時(shí),除了研究財(cái)務(wù)數(shù)據(jù)及與財(cái)務(wù)信息相關(guān)的非財(cái)務(wù)數(shù)據(jù)可能的異常趨勢(shì)外,審計(jì)人員應(yīng)格外關(guān)注對(duì)信息系統(tǒng)及網(wǎng)絡(luò)的特性情況,被審計(jì)單位對(duì)信息系統(tǒng)的使用情況等內(nèi)容的分析比較。實(shí)施觀察和檢查時(shí),除執(zhí)行常規(guī)程序外,審計(jì)人員應(yīng)注意觀察信息系統(tǒng)的操作使用和檢查信息系統(tǒng)文檔。除此之外,針對(duì)特定系統(tǒng)或網(wǎng)絡(luò)技術(shù)風(fēng)險(xiǎn)的評(píng)估,審計(jì)人員還需要實(shí)施一些特定的程序。技術(shù)方面如IOS取樣分析、滲透測(cè)試、工具掃描、安全策略分析等;管理方面如風(fēng)險(xiǎn)問卷調(diào)查、風(fēng)險(xiǎn)顧問訪談、風(fēng)險(xiǎn)策略分析、文檔審核等。其中,IDS取樣分析是指通過在核心網(wǎng)絡(luò)采樣監(jiān)聽通信數(shù)據(jù)方式,獲取網(wǎng)絡(luò)中存在的攻擊和蠕蟲行為,并對(duì)通信流量進(jìn)行分析;滲透測(cè)試是指在獲取用戶授權(quán)后,通過真實(shí)模擬黑客使用的工具、方法來進(jìn)行實(shí)際漏洞發(fā)現(xiàn)和利用的安全測(cè)試方法;工具掃描是指通過評(píng)估工具軟件或?qū)S冒踩u(píng)估系統(tǒng)自動(dòng)獲取評(píng)估對(duì)象的脆弱性信息,包括主機(jī)掃描、網(wǎng)絡(luò)掃描、數(shù)據(jù)庫(kù)掃描等,用于分析系統(tǒng)、應(yīng)用、網(wǎng)絡(luò)設(shè)備存在的常見漏洞。風(fēng)險(xiǎn)問卷調(diào)查與風(fēng)險(xiǎn)顧問訪談要求審計(jì)人員分別采用問卷和面談的方式向有關(guān)主體了解被審計(jì)單位的風(fēng)險(xiǎn)狀況,使用時(shí)關(guān)鍵是要明確問卷或訪談的對(duì)象情況風(fēng)險(xiǎn)策略分析要求審計(jì)人員對(duì)企業(yè)所設(shè)定的風(fēng)險(xiǎn)管理和應(yīng)對(duì)策略的有效性進(jìn)行分析,進(jìn)而評(píng)價(jià)企業(yè)相關(guān)風(fēng)險(xiǎn)發(fā)生的概率以及可能帶來的損失;文檔審核是一種事前評(píng)價(jià)方法,屬于前置軟件測(cè)試的一部分,主要包括需求文檔測(cè)試和設(shè)計(jì)文檔測(cè)試。這些特定程序主要是針對(duì)被審計(jì)單位信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)方面進(jìn)行評(píng)價(jià),審計(jì)人員在具體使用時(shí)應(yīng)結(jié)合被審計(jì)單位的業(yè)務(wù)性質(zhì)選擇合適的程序。
三、網(wǎng)絡(luò)審計(jì)與信息安全管理的風(fēng)險(xiǎn)評(píng)估比較
(一)風(fēng)險(xiǎn)評(píng)估的目的信息安全管理中的風(fēng)險(xiǎn)評(píng)估(即信息安全風(fēng)險(xiǎn)評(píng)估)是指根據(jù)國(guó)家有關(guān)信息安全技術(shù)標(biāo)準(zhǔn),對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等安全屬性進(jìn)行科學(xué)評(píng)價(jià)的過程。作為信息安全保障體系建立過程中的重要的評(píng)價(jià)方法和決策機(jī)制,信息安全風(fēng)險(xiǎn)評(píng)估是企業(yè)管理的組成部分,它具有規(guī)劃、組織、協(xié)調(diào)和控制等管理的基本特征,其主要目的在于從企業(yè)內(nèi)部風(fēng)險(xiǎn)管理的角度,在系統(tǒng)分析和評(píng)估風(fēng)險(xiǎn)發(fā)生的可能性及帶來的損失的基礎(chǔ)上,提出有針對(duì)性的防護(hù)和整改措施,將企業(yè)面臨或遭遇的風(fēng)險(xiǎn)控制在可接受水平,最大限度地保證組織的信息安全。而網(wǎng)絡(luò)審計(jì)是由獨(dú)立審計(jì)人員向企業(yè)提供的一項(xiàng)鑒證服務(wù),其風(fēng)險(xiǎn)評(píng)估的目的在于識(shí)別和評(píng)價(jià)潛在事件對(duì)被審計(jì)單位基于網(wǎng)絡(luò)的財(cái)務(wù)信息的合法性、公允性以及網(wǎng)絡(luò)財(cái)務(wù)信息系統(tǒng)的合規(guī)性、可靠性和有效性的影響程度,從而指導(dǎo)進(jìn)一步審計(jì)程序。因此,兩者風(fēng)險(xiǎn)評(píng)估的目的是不一樣。從評(píng)估所應(yīng)關(guān)注的風(fēng)險(xiǎn)范圍來看,兩者具有一致性,即都需要考慮與信息系統(tǒng)和信息相關(guān)的風(fēng)險(xiǎn)。但是,具體的關(guān)注邊界則是不一樣的。信息安全風(fēng)險(xiǎn)評(píng)估要評(píng)估企業(yè)資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性,并結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來判斷安全事件一旦發(fā)生對(duì)組織造成的影響,它要求評(píng)估人員關(guān)注與企業(yè)整個(gè)信息系統(tǒng)和所有的信息相關(guān)的風(fēng)險(xiǎn),包括實(shí)體安全風(fēng)險(xiǎn)、數(shù)據(jù)安全風(fēng)險(xiǎn)、軟件安全風(fēng)險(xiǎn)、運(yùn)行安全風(fēng)險(xiǎn)等。網(wǎng)絡(luò)審計(jì)中,審計(jì)人員是對(duì)被審計(jì)單位的網(wǎng)絡(luò)財(cái)務(wù)信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息發(fā)表意見,因此,風(fēng)險(xiǎn)評(píng)估時(shí)審計(jì)人員主要關(guān)注的是與企業(yè)財(cái)務(wù)信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息相關(guān)的風(fēng)險(xiǎn),而不是與企業(yè)的整個(gè)信息系統(tǒng)和所有的信息相關(guān)的風(fēng)險(xiǎn)。根據(jù)評(píng)估實(shí)施者的不同,信息安全風(fēng)險(xiǎn)評(píng)估形式包括自評(píng)估和他評(píng)估。自評(píng)估是由組織自身對(duì)所擁有的信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估活動(dòng);他評(píng)估通常是由組織的上級(jí)主管機(jī)關(guān)或業(yè)務(wù)主管機(jī)關(guān)發(fā)起的,旨在依據(jù)已經(jīng)頒布的法規(guī)或標(biāo)準(zhǔn)進(jìn)行的具有強(qiáng)制意味的檢查。自評(píng)估和他評(píng)估都可以通過風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)進(jìn)行咨詢、服務(wù)、培訓(xùn)以及風(fēng)險(xiǎn)評(píng)估有關(guān)工具的提供。因此。對(duì)審計(jì)人員而言,受托執(zhí)行的信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)當(dāng)歸屬于管理咨詢類,即屬于非鑒證業(yè)務(wù),與網(wǎng)絡(luò)審計(jì)嚴(yán)格區(qū)分開來。
(二)風(fēng)險(xiǎn)評(píng)估的內(nèi)容在我國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局的《信息安全風(fēng)險(xiǎn)評(píng)估指南》(征求意見稿)國(guó)家標(biāo)準(zhǔn)中,它將信息安全風(fēng)險(xiǎn)評(píng)估的內(nèi)容分為兩部分:基本要素和相關(guān)屬性,提出信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)圍繞其基本要素展開,并充分考慮與這些基本要素相關(guān)的其他屬性。其中,風(fēng)險(xiǎn)評(píng)估的基本要素包括資產(chǎn)、脆弱性、威脅、風(fēng)險(xiǎn)和安全措施;相關(guān)屬性包括業(yè)務(wù)戰(zhàn)略、資產(chǎn)價(jià)值、安全需求、安全事件、殘余風(fēng)險(xiǎn)等。在此基礎(chǔ)上的風(fēng)險(xiǎn)計(jì)算過程是:(1)對(duì)信息資產(chǎn)進(jìn)行識(shí)別,并對(duì)資產(chǎn)賦值;(2)對(duì)威脅進(jìn)行分析,并對(duì)威
脅發(fā)生的可能性賦值;(3)識(shí)別信息資產(chǎn)的脆弱性,并對(duì)弱點(diǎn)的嚴(yán)重程度賦值;(4)根據(jù)威脅和脆弱性計(jì)算安全事件發(fā)生的可能性;(5)根據(jù)脆弱性的嚴(yán)重程度及安全事件所作用的資產(chǎn)的價(jià)值計(jì)算安全事件造成的損失;(6)根據(jù)安全事件發(fā)生的可能性以及安全事件出現(xiàn)后的損失,計(jì)算安全事件一旦發(fā)生對(duì)組織的影響,即風(fēng)險(xiǎn)值。結(jié)合上文網(wǎng)絡(luò)審計(jì)風(fēng)險(xiǎn)評(píng)估五個(gè)方面的內(nèi)容可以看出,網(wǎng)絡(luò)審計(jì)和信息安全風(fēng)險(xiǎn)評(píng)估在內(nèi)容上有相近之處,即都需要針對(duì)信息系統(tǒng)和信息可能面臨的威脅和存在的脆弱點(diǎn)進(jìn)行識(shí)別。但是,信息安全管理作為企業(yè)的一項(xiàng)內(nèi)部管理,其風(fēng)險(xiǎn)評(píng)估工作需要從兩個(gè)層次展開:一是評(píng)估風(fēng)險(xiǎn)發(fā)生的可能性及其影響;二是提出防護(hù)或整改措施以控制風(fēng)險(xiǎn)。第一個(gè)層次的工作實(shí)質(zhì)上是為第二層次工作服務(wù)的,其重點(diǎn)在第二層次。《信息安全風(fēng)險(xiǎn)評(píng)估指南》(征求意見稿)提出,企業(yè)在確定出風(fēng)險(xiǎn)水平后,應(yīng)對(duì)不可接受的風(fēng)險(xiǎn)選擇適當(dāng)?shù)奶幚矸绞郊翱刂拼胧⑿纬娠L(fēng)險(xiǎn)處理計(jì)劃。其中,風(fēng)險(xiǎn)處理的方式包括回避風(fēng)險(xiǎn)、降低風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)、接受風(fēng)險(xiǎn),而控制措施的選擇應(yīng)兼顧管理和技術(shù),考慮企業(yè)發(fā)展戰(zhàn)略、企業(yè)文化、人員素質(zhì),并特別關(guān)注成本與風(fēng)險(xiǎn)的平衡。網(wǎng)絡(luò)審計(jì)的風(fēng)險(xiǎn)評(píng)估工作主要集中在第一個(gè)層次,即審計(jì)人員通過風(fēng)險(xiǎn)評(píng)估,為進(jìn)一步審計(jì)中做出合理的職業(yè)判斷、有效地實(shí)施網(wǎng)絡(luò)審計(jì)程序和實(shí)現(xiàn)網(wǎng)絡(luò)審計(jì)目標(biāo)提供重要基礎(chǔ)。因此,兩者的評(píng)估內(nèi)容是存在區(qū)別的。
關(guān)鍵詞:銀行間市場(chǎng);信用風(fēng)險(xiǎn);風(fēng)險(xiǎn)管理
全球金融危機(jī)對(duì)金融機(jī)構(gòu)風(fēng)險(xiǎn)管理理念的最大影響之一就是對(duì)交易對(duì)手信用風(fēng)險(xiǎn)的重視。金融機(jī)構(gòu)評(píng)估對(duì)手方信用風(fēng)險(xiǎn)的方法、模型合理與否,關(guān)系到評(píng)估結(jié)果的優(yōu)劣。本文概要闡述了銀行信用風(fēng)險(xiǎn)計(jì)量方面的相關(guān)理論依據(jù)和基本做法。并對(duì)銀行間市場(chǎng)完善授信管理提出了具體建議。
一、信用風(fēng)險(xiǎn)評(píng)估理論
銀行等金融機(jī)構(gòu)信用風(fēng)險(xiǎn)評(píng)估方法大致有統(tǒng)計(jì)模型、CAMEL模型和專家判斷模型等三種理論依據(jù):
(一)統(tǒng)計(jì)模型
利用統(tǒng)計(jì)模型進(jìn)行信用評(píng)估的前提條件是有足夠的數(shù)據(jù)積累,一般至少需要連續(xù)3年的相關(guān)數(shù)據(jù)。
1.違約概率(ProbabilityofDefauh,PD)理論
違約概率是預(yù)計(jì)債務(wù)人不能償還到期債務(wù)(違約)的可能性。評(píng)估結(jié)果與違約率的對(duì)應(yīng)關(guān)系是國(guó)際公認(rèn)的事后檢驗(yàn)評(píng)級(jí)機(jī)構(gòu)評(píng)估質(zhì)量標(biāo)準(zhǔn)的一項(xiàng)最重要的標(biāo)尺。在商業(yè)銀行信用風(fēng)險(xiǎn)管理中,違約概率是指借款人在未來一定時(shí)期內(nèi)不能按合同要求償還銀行貸款本息或履行相關(guān)義務(wù)的可能性。如何準(zhǔn)確、有效地計(jì)算違約概率對(duì)商業(yè)銀行信用風(fēng)險(xiǎn)管理十分重要。不同評(píng)級(jí)機(jī)構(gòu)所設(shè)定的違約定義可能不同,所反映同一等級(jí)的質(zhì)量也因此而不同。只有違約定義相同的評(píng)級(jí)機(jī)構(gòu),其評(píng)級(jí)結(jié)果才可以進(jìn)行比較。有了對(duì)應(yīng)違約率的資信等級(jí)才能真正成為決策的依據(jù)。商業(yè)銀行違約概率常用的測(cè)度方法主要有兩種:基于內(nèi)部信用評(píng)級(jí)歷史資料的測(cè)度方法;基于期權(quán)定價(jià)理論的測(cè)度方法。
2.違約損失率(LossGivenDefault,LGD)理論
違約損失率是指?jìng)鶆?wù)人一旦違約將給債權(quán)人造成的損失數(shù)額占風(fēng)險(xiǎn)暴露(債權(quán))的百分比,即損失的嚴(yán)重程度。在競(jìng)爭(zhēng)日益激烈、風(fēng)險(xiǎn)日益加大和創(chuàng)新日新月異的市場(chǎng)環(huán)境中,銀行對(duì)資產(chǎn)風(fēng)險(xiǎn)的量化和管理顯得越來越重要。傳統(tǒng)的信用風(fēng)險(xiǎn)評(píng)估方法因過于簡(jiǎn)單、缺乏現(xiàn)代金融理論基礎(chǔ)等原因已經(jīng)不能適應(yīng)金融市場(chǎng)和銀行監(jiān)管的需要。以獨(dú)立身份服務(wù)于全社會(huì)公眾投資者、以公開上市債券為主的外部信用評(píng)級(jí)對(duì)銀行內(nèi)部以信貸資產(chǎn)為主、與銀行自身有著特定聯(lián)系的資產(chǎn)組合的適用性也越來越小。因此,銀行開始開發(fā)類似外部信用評(píng)級(jí)但又反映內(nèi)部管理需要的內(nèi)部信用評(píng)級(jí)系統(tǒng),以適應(yīng)上述市場(chǎng)和內(nèi)部管理發(fā)展的需要。隨著銀行內(nèi)部評(píng)級(jí)體系的發(fā)展,越來越多的銀行認(rèn)識(shí)到LGD在全面衡量信用風(fēng)險(xiǎn)方面的重要作用,評(píng)級(jí)體系的結(jié)構(gòu)開始由只注重評(píng)估違約率的單維評(píng)級(jí)體系向既重違約率又重違約損失率的多維評(píng)級(jí)體系發(fā)展。歷史數(shù)據(jù)平均值法是目前銀行業(yè)應(yīng)用最廣泛最傳統(tǒng)的方法,新巴塞爾資本協(xié)定的許多規(guī)定也采用這種方法,這種方法以其簡(jiǎn)單易操作而獲得歡迎。
(二)CAMEL模型
CAMEL評(píng)級(jí)體系是目前美國(guó)金融管理當(dāng)局對(duì)商業(yè)銀行及其他金融機(jī)構(gòu)的業(yè)務(wù)經(jīng)營(yíng)、信用狀況等進(jìn)行的一整套規(guī)范化、制度化和指標(biāo)化的綜合等級(jí)評(píng)定制度。其有五項(xiàng)考核指標(biāo),即資本充足性(CapitalAde.quacy)、資產(chǎn)質(zhì)量(AssetQuality)、管理水平(Manage—ment)、盈利水平(Earnings)和流動(dòng)性(Liquidity)。當(dāng)前國(guó)際上對(duì)商業(yè)銀行評(píng)級(jí)考察的主要內(nèi)容基本上未跳出美國(guó)“駱駝”評(píng)級(jí)的框架。“駱駝”評(píng)級(jí)體系的特點(diǎn)是單項(xiàng)評(píng)分與整體評(píng)分相結(jié)合、定性分析與定量分析相結(jié)合,以評(píng)級(jí)風(fēng)險(xiǎn)管理能力為導(dǎo)向.充分考慮到銀行的規(guī)模、復(fù)雜程度和風(fēng)險(xiǎn)層次,是分析銀行運(yùn)作是否健康的最有效的基礎(chǔ)分析模型。在具體CAMEL模型的指標(biāo)及其權(quán)重選取及校驗(yàn)過程中,大多采用了回歸分析、主成分分析等統(tǒng)計(jì)方法。
(三)專家判斷模型
銀行信用評(píng)估的起點(diǎn)是對(duì)其財(cái)務(wù)實(shí)力的綜合判斷。應(yīng)從定量定性兩個(gè)角度綜合評(píng)估。經(jīng)營(yíng)戰(zhàn)略、管理能力、經(jīng)營(yíng)范圍、公司治理、監(jiān)管情況、經(jīng)營(yíng)環(huán)境、行業(yè)前景等要素,無法通過確切數(shù)量加以計(jì)算,而專家打分卡是一種更加偏向于定性的模型。在缺乏外在基準(zhǔn)值,如信用等級(jí)、違約和損失數(shù)據(jù)等的情況下,開發(fā)專家判斷模型是一種較好的選擇。專家判斷模型的特點(diǎn)是:符合Basel要求.具有透明度和一致性:專家打分卡建模時(shí)間短,所需數(shù)據(jù)不需要特別的多:專家打分卡可充分利用評(píng)估人員的經(jīng)驗(yàn)。
二、信用風(fēng)險(xiǎn)評(píng)估的通常做法
(一)信用風(fēng)險(xiǎn)評(píng)估的基本思路
評(píng)估方法應(yīng)充分考慮風(fēng)險(xiǎn)元素的定量和定性兩個(gè)方面,引入大量的精確分析法,并盡可能地運(yùn)用統(tǒng)計(jì)技術(shù)。另一方面,不浪費(fèi)定性參數(shù)的判別能力,并用以優(yōu)化計(jì)量模型的預(yù)測(cè)效能。除CAMEL要素外,還需考慮更多更深入的風(fēng)險(xiǎn)因素。評(píng)估要素主要包括品牌價(jià)值、風(fēng)險(xiǎn)定位、監(jiān)管環(huán)境、營(yíng)運(yùn)環(huán)境、財(cái)務(wù)基本面。
(二)信用風(fēng)險(xiǎn)評(píng)估模型的構(gòu)造
數(shù)據(jù)準(zhǔn)備是模型開發(fā)和驗(yàn)證的基礎(chǔ),建模數(shù)據(jù)應(yīng)正確反映交易對(duì)手的風(fēng)險(xiǎn)特征以及評(píng)級(jí)框架。定義數(shù)據(jù)采集模板。收集、清洗和分析模型開發(fā)和驗(yàn)證所需要的樣本數(shù)據(jù)集。影響交易對(duì)手違約風(fēng)險(xiǎn)要素主要有非系統(tǒng)性因素和系統(tǒng)性因素。非系統(tǒng)性因素是指與單個(gè)交易對(duì)手相關(guān)的特定風(fēng)險(xiǎn)因素,包括財(cái)務(wù)風(fēng)險(xiǎn)、資本充足率、資產(chǎn)質(zhì)量、管理能力、基本信息等。系統(tǒng)性因素是指與所有交易對(duì)手相關(guān)的共同風(fēng)險(xiǎn)因素.如宏觀經(jīng)濟(jì)政策、貨幣政策、商業(yè)周期等。既要考慮交易對(duì)手目前的風(fēng)險(xiǎn)特征,又要考慮經(jīng)濟(jì)衰退、行業(yè)發(fā)生不利變化對(duì)交易對(duì)手還款能力和還款意愿的影響.并通過壓力測(cè)試反映交易對(duì)手的風(fēng)險(xiǎn)敏感性
(三)變量選擇方法
1.層次分析法
層次分析法(Theanlaytichierarchyprocess)簡(jiǎn)稱AHP:它是一種定性和定量相結(jié)合、系統(tǒng)化、層次化的分析方法。層次分析法不僅適用于存在不確定性和主觀信息的情況,還允許以合乎邏輯的方式運(yùn)用經(jīng)驗(yàn)、洞察力和直覺。層次分析法的內(nèi)容包括:指標(biāo)體系構(gòu)建及層次劃分;構(gòu)造成對(duì)比較矩陣;相對(duì)優(yōu)勢(shì)排序;比較矩陣一致性檢驗(yàn)。
2.主成分分析法
主成分分析法也稱主分量分析,旨在利用降維的思想,通過原始變量的線性組合把多指標(biāo)轉(zhuǎn)化為少數(shù)幾個(gè)綜合指標(biāo)。在保留原始變量主要信息的前提下起到降維與簡(jiǎn)化問題的作用,使得在研究復(fù)雜問題時(shí)更容易抓住主要矛盾。通過主成分分析可以從多個(gè)原始指標(biāo)的復(fù)雜關(guān)系中找出一些主要成分,揭示原始變量的內(nèi)在聯(lián)系,得出關(guān)鍵指標(biāo)(即主成分)。
3.專家判斷
關(guān)鍵指標(biāo)權(quán)重和取值標(biāo)準(zhǔn)設(shè)定是通過專家在定量分析的基礎(chǔ)上共同討論確定,取值標(biāo)準(zhǔn)是建立指標(biāo)業(yè)績(jī)表現(xiàn)同分?jǐn)?shù)之間的映射關(guān)系。取值標(biāo)準(zhǔn)的設(shè)定應(yīng)能夠正確區(qū)分風(fēng)險(xiǎn),取值標(biāo)準(zhǔn)應(yīng)根據(jù)宏觀經(jīng)濟(jì)周期、行業(yè)特點(diǎn)和周期定期調(diào)整,從而反映風(fēng)險(xiǎn)的變化。
關(guān)鍵詞:網(wǎng)絡(luò)安全;威脅評(píng)估;漏洞
中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2010)18-4910-02
Threat Assessment of the Research Based on Simulation Vulnerability Attack
XIE Chun-mei
(School of Information Science and Technology Jiujiang University, Jiujiang 332000, China)
Abstract: The purpose of network security risk assessment is comprehensive and accurate assessment of the current situation of network security, threat assessment evaluate of network security incidents and lead to the possibility of loss assets, complement of simulated Vulnerability attack to it, modify and improve on the extracted threat information. After verification testing of experimental data to some extent reflect more accurately the status of the network security risks.
Key words: network security; threat assessment; vulnerability
1 概述
中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心第二十二次統(tǒng)計(jì)數(shù)字表明,截至2008年6月底,中國(guó)網(wǎng)民數(shù)量已達(dá)到2.53億人。針對(duì)這么龐大的網(wǎng)民數(shù)量,網(wǎng)絡(luò)安全問題變得愈發(fā)突出,據(jù)統(tǒng)計(jì),全球平均每20s就發(fā)生1次網(wǎng)上入侵事件[2],系統(tǒng)漏洞一旦被黑客發(fā)現(xiàn),用戶數(shù)據(jù)將受到嚴(yán)重?fù)p失,有時(shí)甚至是整個(gè)系統(tǒng)的崩潰,安全問題防不勝防,僅僅靠法律手段已不能滿足實(shí)際需求,只有事先對(duì)系統(tǒng)做好風(fēng)險(xiǎn)評(píng)估,認(rèn)識(shí)所處的實(shí)際安全狀況,提前進(jìn)行有針對(duì)性的防范才是解決問題的重要途徑。
2 威脅評(píng)估
威脅即可能對(duì)資產(chǎn)或組織造成損害的意外事件的潛在的原因,即某種威脅源(Threat Source)或威脅(Threat Agent)成功利用特定弱點(diǎn)對(duì)資產(chǎn)造成負(fù)面影響的潛在可能性
目前的風(fēng)險(xiǎn)評(píng)估重點(diǎn)放在漏洞的分析上,對(duì)威脅評(píng)估考慮較少,而威脅在風(fēng)險(xiǎn)評(píng)估中占據(jù)著舉足輕重的地位。如在初期對(duì)威脅進(jìn)行評(píng)估后就直接給出風(fēng)險(xiǎn)狀況,會(huì)使結(jié)果缺乏精確性,本文增加的模擬漏洞攻擊不但對(duì)前期評(píng)估進(jìn)行驗(yàn)證,而且所測(cè)試的結(jié)果也記入到結(jié)果分析庫(kù)中,對(duì)最后的評(píng)估結(jié)果起到修正作用。
3 威脅評(píng)估計(jì)算
復(fù)雜的風(fēng)險(xiǎn)問題使用層次分析被分解成不同層次,同一層次的系統(tǒng)作為準(zhǔn)則對(duì)下一層次的某些系統(tǒng)起支配作用,同時(shí)它又受上一層次系統(tǒng)的支配。這樣就把各個(gè)層次相互隔離的系統(tǒng)結(jié)合起來,各層次系統(tǒng)在文中預(yù)先根據(jù)管理員和網(wǎng)絡(luò)專家所給定的權(quán)重值進(jìn)行標(biāo)定。本文定義權(quán)重值為W,其取值也在[0 1]之間。根據(jù)所截取的IDS的原始數(shù)據(jù)所檢測(cè)到的某一時(shí)間段某一主機(jī)所受的攻擊次數(shù),某一主機(jī)的某些服務(wù)所受的攻擊次數(shù),所受攻擊的危害嚴(yán)重度,在同一時(shí)間段內(nèi)的模擬漏洞攻擊的測(cè)試結(jié)果,綜合考慮這些因素最終給出合理的評(píng)估。模擬漏洞攻擊在此起到實(shí)時(shí)修正作用。
不同層次安全狀況均使用改進(jìn)后的風(fēng)險(xiǎn)指數(shù)來進(jìn)行風(fēng)險(xiǎn)級(jí)別的標(biāo)定,下面這個(gè)公式是服務(wù)的風(fēng)險(xiǎn)指數(shù)公式:
Fsj=wh(10pjiCi)(1)
首先說明公式中各個(gè)變量的含義:
Wk 為評(píng)估對(duì)象的權(quán)重值;
h為評(píng)估單元所劃分的段數(shù);
K為某一時(shí)間段服務(wù)所受的攻擊種類數(shù);
Ci為某一時(shí)間段所受的攻擊次數(shù);
Pij為某一時(shí)間段受攻擊的嚴(yán)重程度。
下面是主機(jī)的風(fēng)險(xiǎn)指數(shù)公式:
FHk=ViF(Si) (2)
公式中各個(gè)變量的含義:
m為主機(jī)所開通的服務(wù)數(shù)量值;
Vi為服務(wù)比重值;
Si為主機(jī)所開通的某種服務(wù);
F(Si)是用公式(1)計(jì)算的服務(wù)風(fēng)險(xiǎn)級(jí)別。
本文對(duì)其計(jì)算方法進(jìn)行了以下改進(jìn):
1) 公式中的權(quán)重Wk是用時(shí)間段來進(jìn)行劃分給出的,不同的時(shí)間段有不同的權(quán)重值,改進(jìn)后的權(quán)重是根據(jù)服務(wù)種類來進(jìn)行權(quán)重標(biāo)定的定義為Wn。
2) 公式中的n為評(píng)估單元所劃分的時(shí)間段數(shù),論文中用來表示服務(wù)的類別數(shù)。在文中定義為n。
改進(jìn)后的公式為:
Fsj=wn(10pjiCi) (3)
FHk=ViF(Si)(4)
下面給出其的實(shí)現(xiàn)算法:
第一步:對(duì)截取的某一時(shí)間段的IDS日志數(shù)據(jù)進(jìn)行分析,選取具有報(bào)警編號(hào)的數(shù)據(jù);
If(報(bào)警編號(hào)不為空)
CString str="select * from 威脅信息表where 報(bào)警編號(hào)is not null";
第二步:用此條件進(jìn)行數(shù)據(jù)的過濾;
第三步:對(duì)同時(shí)間段模擬漏洞攻擊測(cè)試結(jié)果進(jìn)行數(shù)據(jù)提取;
If(攻擊成功標(biāo)志不為空)
CString str="select * from 測(cè)試結(jié)果表where 標(biāo)志is not null";
第四步:在以上所提取的數(shù)據(jù)中提取不同服務(wù)的名稱;
第五部:在資產(chǎn)信息庫(kù)中找出對(duì)應(yīng)服務(wù)的權(quán)重值Wn;
第六步:由公式Fsj=wn(10pjiCi)和FHk=ViF(Si)計(jì)算服務(wù)與主機(jī)的風(fēng)險(xiǎn)指數(shù)、漏洞模擬攻擊測(cè)試結(jié)果計(jì)算的風(fēng)險(xiǎn)指數(shù)、日志數(shù)據(jù)計(jì)算的風(fēng)險(xiǎn)指數(shù);
第七步:兩者進(jìn)行加權(quán)求平均得出這個(gè)時(shí)間段的風(fēng)險(xiǎn)級(jí)別。
4 模擬漏洞攻擊
在威脅評(píng)估中,使用漏洞模擬攻擊對(duì)IDS漏報(bào)的威脅進(jìn)行補(bǔ)充與修正,這個(gè)本質(zhì)來講是一個(gè)數(shù)據(jù)補(bǔ)充與結(jié)果修正。在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估中,前期的威脅評(píng)估不管是使用IDS取樣分析還是Scan漏洞掃描器掃描,都會(huì)有一定的誤報(bào)率,如果不經(jīng)過漏洞模擬攻擊就不能全面地發(fā)現(xiàn)系統(tǒng)中存在的安全風(fēng)險(xiǎn)。模擬攻擊并不會(huì)對(duì)系統(tǒng)造成損失與破壞,只是采取一定的手段對(duì)系統(tǒng)進(jìn)行攻擊看是否能達(dá)到一定的目的,攻擊結(jié)果寫入結(jié)果分析庫(kù)中,這個(gè)信息在結(jié)果分析中起到修正與檢驗(yàn)的效果。目前大多數(shù)國(guó)內(nèi)的模擬漏洞攻擊只是對(duì)所得到的測(cè)評(píng)信息進(jìn)行記錄,用于對(duì)所發(fā)現(xiàn)的誤報(bào)數(shù)據(jù)進(jìn)行補(bǔ)充,本文中模擬攻擊所得信息是會(huì)對(duì)最終的風(fēng)險(xiǎn)評(píng)估結(jié)果產(chǎn)生影響,從而使評(píng)估結(jié)果更為準(zhǔn)確。
下面給出模擬漏洞攻擊的實(shí)現(xiàn)算法。
第一步:初始化模擬漏洞數(shù)據(jù)庫(kù);
Init(Attack_list)
第二步:使用攻擊庫(kù)中的攻擊信息對(duì)同等條件下的對(duì)象進(jìn)行攻擊;
Attack(192.168.0.11-192.168.0.230)
第三步:把攻擊結(jié)果存入測(cè)試結(jié)果庫(kù)中;
Save(Attresult_list)
第四步:調(diào)用威脅評(píng)估的服務(wù)函數(shù);
Serv_relay()
第五部:根據(jù)攻擊測(cè)試結(jié)果庫(kù)查詢威脅信息庫(kù)、Scan掃描漏洞信息庫(kù)數(shù)據(jù);
Select * from 威脅信息庫(kù) where Attresult_list. 服務(wù)名稱is Threat_info.服務(wù)
Select * from 漏洞信息庫(kù) where Attresult_list. 漏洞名稱is Flaw_list.漏洞名
稱
第六步:剔除調(diào)在前期已經(jīng)發(fā)現(xiàn)的威脅信息以及漏洞;
Delete(以前已經(jīng)發(fā)現(xiàn)的信息)
第七步:使用公式Fsj=wn(10pjiCi)和FHk=ViF(Si) 分別計(jì)算風(fēng)險(xiǎn)級(jí)別;
第八步:結(jié)果寫入結(jié)果分析庫(kù)中。
模擬漏洞攻擊的檢驗(yàn)測(cè)試是否能夠發(fā)現(xiàn)系統(tǒng)潛在的不安全因素,關(guān)鍵就是模擬攻擊庫(kù)的信息量以及攻擊信息的客觀、公平性了,大量的攻擊信息目前來講主要還是依靠手工進(jìn)行整理,雖然Honeynet組織[3]提供了大量的攻擊信息,但對(duì)所評(píng)估的對(duì)象還是要在其中進(jìn)行數(shù)據(jù)的分析整理,攻擊信息量越大、越公平與客觀,模擬漏洞攻擊發(fā)揮的作用就越明顯,最后所提交給用戶的評(píng)估結(jié)果也就越能反應(yīng)系統(tǒng)的真實(shí)情況。
5 實(shí)驗(yàn)數(shù)據(jù)測(cè)試
1) 測(cè)試的環(huán)境為所測(cè)試的對(duì)象系統(tǒng)為Windows xp sp2;
2) 所測(cè)試的范圍為IP段192.168.1.10-192.168.1.234;
3) 測(cè)試的時(shí)間以一周為準(zhǔn);
4) 測(cè)試的方法為使用模擬漏洞攻擊庫(kù)中的大量攻擊信息以及從Honeynet組織所提供的攻擊信息。
模擬漏洞攻擊庫(kù)構(gòu)建了大量的攻擊信息,這些攻擊信息主要來自于網(wǎng)上的信息,經(jīng)過分析手工進(jìn)行整理而得來的,可以作為一部分實(shí)驗(yàn)數(shù)據(jù)來對(duì)網(wǎng)絡(luò)安全評(píng)估系統(tǒng)進(jìn)行測(cè)試,另外Honeynet組織提供大量公平客觀的攻擊信息,對(duì)其網(wǎng)站上的數(shù)據(jù)進(jìn)行手工分析選取,把其數(shù)據(jù)導(dǎo)入到漏洞模擬攻擊庫(kù)中,對(duì)所選取的評(píng)估對(duì)象進(jìn)行模擬攻擊。
6 結(jié)論
計(jì)算結(jié)果表明在晚上23點(diǎn)以后和周末這個(gè)時(shí)間段系統(tǒng)所受的攻擊次數(shù)明顯增多,建議用戶在這個(gè)時(shí)間段加強(qiáng)防護(hù)措施,采取必要的安全監(jiān)管方法,盡可能的避免損失的發(fā)生,這個(gè)結(jié)果與實(shí)際情況也比較符合。結(jié)合實(shí)際系統(tǒng)所處的實(shí)際情況,評(píng)估系統(tǒng)的運(yùn)行效率還是比較令人滿意的。
參考文獻(xiàn):
關(guān)鍵詞:內(nèi)部審計(jì);風(fēng)險(xiǎn)導(dǎo)向內(nèi)部審計(jì);風(fēng)險(xiǎn)管理
內(nèi)部審計(jì)作為重要的管理工具,一直是企業(yè)內(nèi)部監(jiān)督的重要組成部分。隨著經(jīng)濟(jì)全球化和市場(chǎng)競(jìng)爭(zhēng)多元化的不斷深入,企業(yè)所面臨的風(fēng)險(xiǎn)日趨復(fù)雜。尤其是對(duì)于大型企業(yè)集團(tuán)而言,風(fēng)險(xiǎn)規(guī)模已經(jīng)遠(yuǎn)遠(yuǎn)超出管理層能夠直接管控的范圍。為此,企業(yè)開始日益重視風(fēng)險(xiǎn)管理工作,積極建立內(nèi)部控制體系,提高企業(yè)風(fēng)險(xiǎn)管控能力。在此趨勢(shì)下,風(fēng)險(xiǎn)導(dǎo)向內(nèi)部審計(jì)應(yīng)運(yùn)而生,并較好的適應(yīng)了管理層的風(fēng)險(xiǎn)管理需要。
一、風(fēng)險(xiǎn)導(dǎo)向內(nèi)部審計(jì)的概念與基本特點(diǎn)
按照國(guó)際內(nèi)部審計(jì)師協(xié)會(huì)(IIA)對(duì)內(nèi)部審計(jì)的定義,內(nèi)部審計(jì)是“一種獨(dú)立、客觀的保證和咨詢活動(dòng),其目的是在于為組織增加價(jià)值并提高組織的運(yùn)作效率。它采取系統(tǒng)化和規(guī)范化的方法來對(duì)風(fēng)險(xiǎn)管理、控制和治理程序進(jìn)行評(píng)估和改善,從而幫助組織實(shí)現(xiàn)目標(biāo)”。根據(jù)這一定義,推行風(fēng)險(xiǎn)導(dǎo)向內(nèi)部審計(jì)就是要以對(duì)組織風(fēng)險(xiǎn)的評(píng)估與改善作為基本目標(biāo),以內(nèi)部控制為審計(jì)基礎(chǔ),以公司治理為參與風(fēng)險(xiǎn)管理的前提。風(fēng)險(xiǎn)導(dǎo)向內(nèi)部審計(jì)作為內(nèi)部審計(jì)發(fā)展的一個(gè)階段,其本身具有區(qū)別于傳統(tǒng)內(nèi)部審計(jì)和注冊(cè)會(huì)計(jì)師外部審計(jì)的特點(diǎn)。筆者認(rèn)為這些特點(diǎn)主要體現(xiàn)在如下方面:首先,風(fēng)險(xiǎn)導(dǎo)向內(nèi)部審計(jì)將風(fēng)險(xiǎn)評(píng)估和改善作為首要目標(biāo),并據(jù)此延伸其職能。具體來說,其職能主要有三個(gè)方面,一是利用其在內(nèi)部管理方面的專家地位和信息優(yōu)勢(shì),根據(jù)企業(yè)目標(biāo)評(píng)估、分析和管理風(fēng)險(xiǎn),并將審計(jì)結(jié)果和管理建議向管理層報(bào)告。二是幫助管理層在制定重大決策事項(xiàng)時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估。三是為市場(chǎng)、采購(gòu)、技術(shù)等其他專業(yè)領(lǐng)域的風(fēng)險(xiǎn)管理部門提供咨詢。總之,風(fēng)險(xiǎn)導(dǎo)向內(nèi)部審計(jì)不再是消極的查錯(cuò)防弊,而應(yīng)以組織的整體風(fēng)險(xiǎn)評(píng)估作為首要工作。其次,風(fēng)險(xiǎn)導(dǎo)向內(nèi)部審計(jì)在方法上更加注重風(fēng)險(xiǎn)評(píng)估、缺陷評(píng)估和管理建議。區(qū)別于傳統(tǒng)內(nèi)部審計(jì),風(fēng)險(xiǎn)導(dǎo)向內(nèi)部審計(jì)始終把風(fēng)險(xiǎn)管理作為審計(jì)工作的出發(fā)點(diǎn)和落腳點(diǎn),強(qiáng)化審計(jì)工作的事前風(fēng)險(xiǎn)評(píng)估和事后缺陷評(píng)估環(huán)節(jié),并基于這些評(píng)估得到審計(jì)結(jié)論和給出風(fēng)險(xiǎn)管理建議。第三,風(fēng)險(xiǎn)導(dǎo)向內(nèi)部審計(jì)以內(nèi)部控制為基礎(chǔ)。從理論上說,內(nèi)部審計(jì)是內(nèi)部控制的監(jiān)督環(huán)節(jié),是對(duì)其他內(nèi)部控制環(huán)節(jié)的再控制。內(nèi)部審計(jì)無論從事是對(duì)風(fēng)險(xiǎn)的評(píng)估和改善,還是參與風(fēng)險(xiǎn)管理和治理程序,都需要依托對(duì)企業(yè)內(nèi)部控制狀況的了解。第四,采用風(fēng)險(xiǎn)導(dǎo)向使內(nèi)部審計(jì)工作融入企業(yè)全面風(fēng)險(xiǎn)管理體系。不同于外部審計(jì)師所實(shí)施的內(nèi)部控制審計(jì),內(nèi)部審計(jì)是為了保證企業(yè)經(jīng)營(yíng)目標(biāo)的實(shí)現(xiàn)、保護(hù)資產(chǎn)安全、防止舞弊的發(fā)生而進(jìn)行的全方位的內(nèi)部控制評(píng)價(jià)。也就是說,內(nèi)部審計(jì)、內(nèi)部控制以及管理層的風(fēng)險(xiǎn)治理活動(dòng)都是以企業(yè)風(fēng)險(xiǎn)管理為目標(biāo)。內(nèi)部審計(jì)通過采用風(fēng)險(xiǎn)導(dǎo)向而參與到企業(yè)全面風(fēng)險(xiǎn)管理中,成為整個(gè)風(fēng)險(xiǎn)管理體系的有機(jī)組成部分。
二、在內(nèi)部審計(jì)中采用風(fēng)險(xiǎn)導(dǎo)向的必要性與實(shí)踐意義
當(dāng)前,內(nèi)部審計(jì)需要應(yīng)對(duì)的風(fēng)險(xiǎn)越來越復(fù)雜,對(duì)審計(jì)的要求也不斷提高。內(nèi)部審計(jì)需要更為全面、及時(shí)、準(zhǔn)確的反映企業(yè)存在的風(fēng)險(xiǎn),并提出有針對(duì)性的管理建議。傳統(tǒng)內(nèi)部審計(jì)雖然也針對(duì)企業(yè)風(fēng)險(xiǎn)進(jìn)行監(jiān)督,但從根本上說仍然缺乏完整有效的風(fēng)險(xiǎn)識(shí)別和評(píng)估體系,審計(jì)工作高度依賴審計(jì)人員水平,其風(fēng)險(xiǎn)覆蓋的全面性、重要環(huán)節(jié)的審計(jì)充分性、以及審計(jì)質(zhì)量的穩(wěn)定性均難以保證。這不但無法滿足企業(yè)風(fēng)險(xiǎn)管理需求,而且難以體現(xiàn)內(nèi)部審計(jì)的管理價(jià)值,不利于內(nèi)部審計(jì)的長(zhǎng)期發(fā)展。因此,在審計(jì)實(shí)踐中采用風(fēng)險(xiǎn)導(dǎo)向是內(nèi)部審計(jì)發(fā)展的必然選擇。
1、風(fēng)險(xiǎn)導(dǎo)向內(nèi)部審計(jì)以風(fēng)險(xiǎn)評(píng)估和改善為目標(biāo),可以更為系統(tǒng)的覆蓋企業(yè)重要風(fēng)險(xiǎn),保證內(nèi)部審計(jì)的完整性傳統(tǒng)內(nèi)部審計(jì)對(duì)于內(nèi)部控制的關(guān)注一般集中在已有流程和已識(shí)別的運(yùn)營(yíng)風(fēng)險(xiǎn),而缺乏對(duì)風(fēng)險(xiǎn)識(shí)別全面性和風(fēng)險(xiǎn)變動(dòng)的評(píng)估。但對(duì)個(gè)體企業(yè)而言,無論是外部環(huán)境、業(yè)務(wù)特點(diǎn),還是內(nèi)部管理和治理結(jié)構(gòu)都十分復(fù)雜,且始終處在不斷變化的過程中。COSO委員會(huì)在2004年頒布的《企業(yè)風(fēng)險(xiǎn)管理——整體框架》(ERM)中將企業(yè)全面風(fēng)險(xiǎn)要素概括為八個(gè)大類,而阿瑟.安德森公司的商務(wù)風(fēng)險(xiǎn)模型(BRM)則將企業(yè)風(fēng)險(xiǎn)概括為三大類75種,足見其范圍之廣。在此情況下,傳統(tǒng)內(nèi)部審計(jì)很難保證審計(jì)結(jié)果和管理建議不存在重大遺漏、誤判或者與企業(yè)實(shí)際狀況脫節(jié)的風(fēng)險(xiǎn)。而風(fēng)險(xiǎn)導(dǎo)向內(nèi)部審計(jì)通過有效的風(fēng)險(xiǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估,可以及時(shí)、全面的掌握這些情況,幫助內(nèi)部審計(jì)部門形成對(duì)被審企業(yè)的完整認(rèn)識(shí)。
2、風(fēng)險(xiǎn)導(dǎo)向內(nèi)部審計(jì)對(duì)風(fēng)險(xiǎn)和缺陷的評(píng)估,能夠更為科學(xué)的確定審計(jì)事項(xiàng)的重要性水平,有助于合理調(diào)配審計(jì)資源,深入進(jìn)行研究分析,保證內(nèi)部審計(jì)的充分性在目前的內(nèi)部審計(jì)實(shí)踐中,一個(gè)較為突出的問題是在標(biāo)準(zhǔn)化的審計(jì)程序上耗費(fèi)大量審計(jì)資源,而缺乏對(duì)重要問題的深入研究和系統(tǒng)性分析。具體來說,一方面,審計(jì)過于追求程序的標(biāo)準(zhǔn)化,審計(jì)意見包含大量詳細(xì)的操作細(xì)節(jié)問題,但沒有區(qū)分重要性水平。特別是對(duì)于風(fēng)險(xiǎn)較小的環(huán)節(jié)給予過多關(guān)注,造成控制冗余,不但影響審計(jì)效率,也可能對(duì)后續(xù)審計(jì)產(chǎn)生誤導(dǎo)。另一方面,對(duì)于重要缺陷不能給出系統(tǒng)評(píng)估和全面的解決方案,例如評(píng)估缺陷在多大程度上增加了企業(yè)運(yùn)營(yíng)風(fēng)險(xiǎn),缺陷產(chǎn)生的系統(tǒng)性原因和個(gè)體原因,以及如何進(jìn)行整改和需要投入的管理資源是否符合成本效益原則。而風(fēng)險(xiǎn)導(dǎo)向內(nèi)部審計(jì)重視事前的風(fēng)險(xiǎn)評(píng)估,可以有效解決審計(jì)側(cè)重點(diǎn)問題,合理調(diào)配審計(jì)資源。可以結(jié)合企業(yè)目標(biāo),有針對(duì)性的深入研究重要風(fēng)險(xiǎn),評(píng)估缺陷程度。同時(shí),還可以減少在次要風(fēng)險(xiǎn)上的審計(jì)資源投入,在總體資源有限的情況下發(fā)揮最大的審計(jì)效果。
三、實(shí)施風(fēng)險(xiǎn)導(dǎo)向內(nèi)部審計(jì)的實(shí)現(xiàn)途徑與展望
風(fēng)險(xiǎn)導(dǎo)向內(nèi)部審計(jì)從根本上改變了傳統(tǒng)審計(jì)的指導(dǎo)思想和工作模式,對(duì)內(nèi)審部門提出了很大的挑戰(zhàn),其在實(shí)踐中的應(yīng)用還存在很大障礙。筆者認(rèn)為,要想實(shí)施風(fēng)險(xiǎn)導(dǎo)向內(nèi)部審計(jì),至少需要在如下幾個(gè)實(shí)現(xiàn)轉(zhuǎn)變。
1、內(nèi)部審計(jì)部門職能的轉(zhuǎn)變:由消極的查錯(cuò)防弊向主動(dòng)的風(fēng)險(xiǎn)管理轉(zhuǎn)變?cè)谒凶璧K風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)實(shí)施的問題中,最根本的是內(nèi)審部門自身定位的轉(zhuǎn)變。風(fēng)險(xiǎn)導(dǎo)向內(nèi)部審計(jì)要求內(nèi)審部門的定位要從消極的查錯(cuò)防弊變?yōu)橹鲃?dòng)的風(fēng)險(xiǎn)管理,在風(fēng)險(xiǎn)評(píng)估、內(nèi)部控制乃至公司治理中發(fā)揮專業(yè)作用。這使內(nèi)審工作從監(jiān)督指導(dǎo)職能延伸到風(fēng)險(xiǎn)評(píng)估、缺陷分析和管理咨詢,幾乎顛覆了內(nèi)審部門的舊有工作范圍,無疑是對(duì)內(nèi)審部門從軟件到硬件的全面挑戰(zhàn)。盡管如此,這些轉(zhuǎn)變又是不可回避的,因?yàn)槟芊褶D(zhuǎn)變思路并主動(dòng)適應(yīng)新的角色,是內(nèi)部審計(jì)能否提升自身價(jià)值的關(guān)鍵所在,也是企業(yè)風(fēng)險(xiǎn)管理提升不可或缺的重要途徑。
2、審計(jì)方法的轉(zhuǎn)變:建立完善風(fēng)險(xiǎn)評(píng)估機(jī)制風(fēng)險(xiǎn)評(píng)估和改善作為內(nèi)部審計(jì)的首要目標(biāo),在實(shí)踐中也是能否真正實(shí)施風(fēng)險(xiǎn)導(dǎo)向內(nèi)部審計(jì)的關(guān)鍵問題。因?yàn)槠髽I(yè)的風(fēng)險(xiǎn)千差萬(wàn)別,風(fēng)險(xiǎn)評(píng)估也非常復(fù)雜繁瑣,但作為整個(gè)審計(jì)體系的基石,所有后續(xù)審計(jì)工作均需要以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)。筆者認(rèn)為,企業(yè)應(yīng)通過建立成熟的風(fēng)險(xiǎn)識(shí)別模型和風(fēng)險(xiǎn)評(píng)估程序,通過流程化、標(biāo)準(zhǔn)化以節(jié)約審計(jì)資源。具體來說,一方面內(nèi)審部門應(yīng)結(jié)合COSO企業(yè)風(fēng)險(xiǎn)管理框架(ERM)、企業(yè)風(fēng)險(xiǎn)模型(BRM)以及其他風(fēng)險(xiǎn)分析工具,建立一套適合本企業(yè)特點(diǎn)的風(fēng)險(xiǎn)識(shí)別模型。然后根據(jù)企業(yè)目標(biāo),在模型框架內(nèi)識(shí)別具有重大影響的風(fēng)險(xiǎn)項(xiàng)目,建立企業(yè)風(fēng)險(xiǎn)數(shù)據(jù)庫(kù)。另一方面,在內(nèi)部審計(jì)中應(yīng)建立風(fēng)險(xiǎn)評(píng)估報(bào)告制度,強(qiáng)制要求內(nèi)審人員全面了解被審單位的風(fēng)險(xiǎn)狀況,以保證所有后續(xù)審計(jì)工作按風(fēng)險(xiǎn)導(dǎo)向執(zhí)行,最終幫助評(píng)價(jià)審計(jì)結(jié)果對(duì)企業(yè)整體風(fēng)險(xiǎn)的影響。
3、風(fēng)險(xiǎn)管理架構(gòu)的轉(zhuǎn)變:整合內(nèi)部控制資源,實(shí)施風(fēng)險(xiǎn)的全過程管理無論是內(nèi)部審計(jì)還是內(nèi)部控制和企業(yè)風(fēng)險(xiǎn)管理部門,乃至于各專業(yè)部門的風(fēng)險(xiǎn)管理人員,其根本任務(wù)歸根結(jié)底就是對(duì)風(fēng)險(xiǎn)進(jìn)行管理。而受制于管理范圍和資源限制,內(nèi)部審計(jì)部門必須與其他風(fēng)險(xiǎn)管理部門共同開展風(fēng)險(xiǎn)管理工作。具體來說,一是需要加強(qiáng)部門協(xié)調(diào),與相關(guān)部門共享風(fēng)險(xiǎn)數(shù)據(jù)庫(kù),并在共同的風(fēng)險(xiǎn)識(shí)別框架下對(duì)風(fēng)險(xiǎn)形成共同認(rèn)識(shí),對(duì)控制措施和審計(jì)缺陷評(píng)估實(shí)施共同標(biāo)準(zhǔn)。二是對(duì)風(fēng)險(xiǎn)進(jìn)行全過程管理。根據(jù)風(fēng)險(xiǎn)管理過程理論,風(fēng)險(xiǎn)管理是風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)度量和風(fēng)險(xiǎn)監(jiān)控三個(gè)環(huán)節(jié)構(gòu)成的循環(huán),內(nèi)部審計(jì)對(duì)于風(fēng)險(xiǎn)的管理也必然是一個(gè)動(dòng)態(tài)的過程,需要整合相關(guān)資源對(duì)風(fēng)險(xiǎn)全流程進(jìn)行管理,及時(shí)進(jìn)行重新評(píng)估和應(yīng)對(duì)。目前,外部審計(jì)機(jī)構(gòu)正在大力開展管理咨詢業(yè)務(wù),憑借其專業(yè)優(yōu)勢(shì)和成本優(yōu)勢(shì),越來越多的重復(fù)性內(nèi)部審計(jì)工作已呈現(xiàn)外包化趨勢(shì)。內(nèi)部審計(jì)如果仍在“查錯(cuò)防弊”階段止步不前,將越來越難以為企業(yè)創(chuàng)造價(jià)值。因此,只有積極參與企業(yè)內(nèi)部風(fēng)險(xiǎn)管理,并在此基礎(chǔ)上與其他風(fēng)險(xiǎn)管理部門密切配合,形成強(qiáng)有力的風(fēng)險(xiǎn)管理體系,才能有效為企業(yè)保駕護(hù)航,這或許是內(nèi)部審計(jì)的長(zhǎng)遠(yuǎn)發(fā)展方向。
作者:姜傳志 胡增會(huì) 單位:青島中油巖土工程有限公司
參考文獻(xiàn):
[1]曹偉,桂友泉.2002:內(nèi)部審計(jì)與內(nèi)部控制[J].審計(jì)研究(1),P27-30.
[2]費(fèi)朵,鄒家繼.2008:項(xiàng)目風(fēng)險(xiǎn)識(shí)別方法探討[J].物流科技(8),P139-141.
