前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇審計的風險評估范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

審計的風險評估范文第1篇

[關(guān)鍵詞] 戰(zhàn)略審計;風險評估;評分維度;戰(zhàn)略風險分布圖

doi:10.3969/j.issn.1673-0194.2009.18.017

[中圖分類號] F239

[文獻標識碼] A

[文章編號] 1673-0194(2009)18-0050-03

一、戰(zhàn)略風險與戰(zhàn)略審計解析

戰(zhàn)略風險是一種綜合性風險，所有對企業(yè)價值或發(fā)展路徑產(chǎn)生重大影響的事件或趨勢，都可謂企業(yè)的戰(zhàn)略風險。其影響因素可能來自于外部，如自然災(zāi)害和經(jīng)濟危機;也可能源自于內(nèi)部，如企業(yè)轉(zhuǎn)型和盲目并購。

基于風險控制的戰(zhàn)略審計是將企業(yè)置于一個大的經(jīng)濟環(huán)境中，運用立體觀察的理論來判斷影響因素，從企業(yè)所處的經(jīng)濟環(huán)境、經(jīng)營方式、管理機制等方面來評估企業(yè)戰(zhàn)略制定、實施過程的科學(xué)合理性，并把被審計單位的戰(zhàn)略風險評估納入審計程序中去。

二、戰(zhàn)略審計實施中的風險評估探索

在實施戰(zhàn)略風險評估中，審計人員需要對初步識別出的風險點進行進一步的綜合評估，從而對企業(yè)戰(zhàn)略管理過程中的風險狀況做出合理、準確的判斷，并參考其他審計內(nèi)容的有關(guān)因素和對戰(zhàn)略風險的影響程度，對審計結(jié)果做出調(diào)整。

對戰(zhàn)略風險的評估可采用單體風險評分法。其中，固有風險是假設(shè)企業(yè)沒有對這一風險進行管控所面臨的狀態(tài)，固有風險越高說明這項工作的重要性越高。剩余風險是結(jié)合了企業(yè)的管控有效性之后所面臨的風險，也就是企業(yè)實際的狀況。固有風險和剩余風險的概念差體現(xiàn)的就是企業(yè)的管理水平。單一風險評分法分別對固有風險、剩余風險打分，以各自的評分維度作為打分標準。分為5個等級:很高(5分)、高(4分)、中(3分)、低(2分)、很低(1分)。固有風險、剩余風險內(nèi)各個維度的評分結(jié)束后，將得分加權(quán)平均，可得固有風險及剩余風險的總評分。

(一) 固有風險及剩余風險的評分維度剖析

對于固有風險的個別維度不適用的情況，直接在“很低”一欄填寫“不適用”即可;剩余風險不存在“不適用”的打分，若是個別維度體現(xiàn)不明顯，則直接選擇“很低”。評級盡可能先做定量判斷;在很難定量的情況下，再進行定性判斷。固有風險及剩余風險的評分維度如表1、表2所示。

對固有風險評分表的分析:

(1)財務(wù)影響。該維度是假設(shè)沒有管控或管控不力的情況下，近一年該戰(zhàn)略風險對公司凈利潤或現(xiàn)金流量的直接影響。財務(wù)影響的分級數(shù)據(jù)可利用公司年度稅后凈利潤或現(xiàn)金流量乘以重要性水平得到。

(2)聲譽。該維度是假設(shè)沒有管控或管控不力的情況下，戰(zhàn)略風險導(dǎo)致的后果所引發(fā)的社會責任以及對公司聲譽的影響程度。其可從負面消息流傳的范圍及關(guān)注程度考慮，“很高”，是在世界范圍流傳;“很低”，是在企業(yè)內(nèi)部流傳;“中”是在全國流傳。

(3)合法合規(guī)性。該維度是假設(shè)沒有管控或管控不力的情況下，公司違反相關(guān)法規(guī)的程度或金額?？蓮膬蓚€方面考慮:一方面是違規(guī)的程度，反映在調(diào)查機關(guān)的級別高低上，“很高”是引起中央機關(guān)的調(diào)查，“中”是導(dǎo)致地方政府的調(diào)查，“很低”是輕微的違反法律法規(guī);另一方面是引起訴訟和罰款的金額。

(4)客戶。該維度是假設(shè)沒有管控或管控不力的情況下，與公司的銷售終端——客戶的關(guān)系受影響的程度，可用客戶的訂單量為參考依據(jù)?！昂芨摺笔强蛻敉Ｖ共少徎蛉∠?0%以上訂單;“高”是客戶尋找其他供應(yīng)商或取消部分訂單;“中”是對客戶訂單基本無影響，但未來的業(yè)務(wù)發(fā)展受到限制;“低”是有部分投訴或發(fā)生補救費用;“很低”是對客戶影響很小，僅發(fā)生最少的投訴及補救費用。

(5)員工的流失。該維度是假設(shè)在不對該風險進行管控的情況下公司全體員工的流失程度?？蓮膬煞矫孢M行評價:一是關(guān)鍵員工的流失比率;二是普通員工的流失比率。員工流失的越多，級別越高。

(6)運營。該維度結(jié)合了對企業(yè)整體業(yè)務(wù)影響的時間、人力、成本等定量指標，即指挽回對運營造成的影響所需付出的成本、人力等。從“很高”到“很低”，對企業(yè)的業(yè)務(wù)的影響程度依次是:影響重大業(yè)務(wù)能力、影響部分業(yè)務(wù)能力、影響日常運作、有一定影響但不影響日常運作、影響微弱等，無法定量判斷時就采用定性判斷。

(7)其他利益相關(guān)者。這里是指除了客戶和員工以外的利益相關(guān)者，如股東和社會機構(gòu)。其反映為對企業(yè)股價的影響，可以用消息是否外傳或公布來幫助理解?！昂芨摺钡健昂艿汀币来螌?yīng):股價連續(xù)大幅震蕩、股價數(shù)日大幅震蕩、股價非正常震蕩、股價單日漲(跌)停、不會實質(zhì)性導(dǎo)致股票波動。

(8)發(fā)作速度。該維度假設(shè)在沒有管控或管控不力的情況下，從隱性不利跡象到風險導(dǎo)致實質(zhì)損失的時間、非常迅速到很少或沒有預(yù)警時間?！昂芨摺钡健昂艿汀币来螌?yīng):在一到幾天以內(nèi)就發(fā)作、經(jīng)過數(shù)天到數(shù)周才發(fā)作、潛伏期已達數(shù)月、潛伏期在數(shù)月以上到數(shù)年。

對剩余風險評分表的分析:

(1)響應(yīng)速度。該維度衡量風險事件發(fā)生以后企業(yè)采取補救措施的速度，響應(yīng)速度越快風險越低。

(2)控制效果和效率:控制/整改。該維度衡量風險事件發(fā)生之后企業(yè)是否針對原有流程進行優(yōu)化與整改:“很高”是沒有整改計劃，“高”是計劃不完善，“中”是有計劃但沒有例行測試，“低”是有計劃有定期測試，“很低”是將計劃和測試嵌入企業(yè)的整個流程，作為部門的長效管理機制。

(3)控制效果和效率:監(jiān)測和報告。該維度衡量有關(guān)風險的報告，“很高”和“高”的差別是有沒有分析風險，有沒有報告;“高”和“中”的差別是有沒有識別風險源頭，是口頭報告還是正式報告;“中”和“低”的差別是有沒有報告的時間表;“低”和“很低”的差別是有沒有風險指標。

(4)近一年的風險數(shù)據(jù):違規(guī)成本或造成的損失。該維度衡量近一年內(nèi)該風險發(fā)生造成的實際損失的相關(guān)數(shù)據(jù)。

(5)風險管理能力:人/技能/知識。該維度考慮兩個方面:一是員工本身的管理戰(zhàn)略風險的意識和能力;二是員工獲取外部資源的途徑是否充分，即有助于戰(zhàn)略風險管理的渠道、信息、管理方法、管理模型等。員工的風險管理能力越強、能夠獲取的外部資源越多風險越低。

(6)風險管理能力:第三方。該維度衡量企業(yè)在進行戰(zhàn)略風險管理時與第三方的關(guān)系。對第三方的依賴程度越高，風險越高。第三方包括:客戶、商、供應(yīng)商。

(7)風險管理能力:流程。對流程的影響是指改變流程的走向。主要看對關(guān)鍵流程的影響:影響多個關(guān)鍵流程對應(yīng)“很高”;影響一個關(guān)鍵流程對應(yīng)“高”;對關(guān)鍵流程沒有影響對應(yīng)“中”。

(8)風險管理能力:系統(tǒng)/數(shù)據(jù)/信息系統(tǒng)/安全。該維度衡量對企業(yè)關(guān)鍵信息系統(tǒng)的依賴和影響程度。依賴和影響的程度越大，風險程度就越高。如果信息系統(tǒng)出現(xiàn)問題，考慮是否能夠由手工替代，若完全無法替代，則剩余風險較高。

(9)擴張或收縮。該維度是指未來12個月或更長的時間內(nèi)管理這個風險的業(yè)務(wù)、人員、流程和系統(tǒng)發(fā)生變革的程度。發(fā)生變革的程度越大，則剩余風險越高。

(二)戰(zhàn)略風險分布圖評估

通過對識別出的各個戰(zhàn)略風險的評分，我們可以得到有關(guān)單體風險的一個分值(X，Y)，固有風險一個分

數(shù)(X)、剩余風險一個分數(shù)(Y)，據(jù)此可以得到四象限矩陣的戰(zhàn)略風險分布圖，如圖1所示。

戰(zhàn)略風險分布圖清晰地展示了企業(yè)目前面臨的戰(zhàn)略風險的現(xiàn)狀，固有風險展示的是戰(zhàn)略風險原生態(tài)的狀況，是該戰(zhàn)略風險的重要性的體現(xiàn);剩余風險展示的是管理層施加管理控制措施后的風險水平，其實質(zhì)上反映了企業(yè)的管控水平及能力。戰(zhàn)略風險分布圖可以讓管理層一目了然地了解到戰(zhàn)略管理中存在的問題，即哪些程序、哪些環(huán)節(jié)仍需進一步的調(diào)整與控制。

戰(zhàn)略風險分布圖已成為審計人員提出審計意見及改進建議的依據(jù)。針對第一象限的戰(zhàn)略風險(雙高風險)，審計人員應(yīng)建議管理層改善現(xiàn)有的管理措施，提升業(yè)務(wù)流程及人員的管理水平，加強對該風險事件的監(jiān)測與控制;針對第二象限內(nèi)的戰(zhàn)略風險(固有風險高，剩余風險低)，表明企業(yè)針對重大風險事件所采取的管理措施是行之有效的，但仍需繼續(xù)關(guān)注，建議管理層定期評審相關(guān)流程的內(nèi)部控制執(zhí)行效力;針對第三象限內(nèi)的戰(zhàn)略風險(雙低風險)，審計人員應(yīng)建議管理層重新部署有限的管理資源，將人力、時間投入到需要管控的其他流程上;針對位于第四象限的戰(zhàn)略風險(固有風險低，剩余風險高)，因其剩余風險是風險事件長期積累的結(jié)果，審計人員應(yīng)進一步測量該風險的累積影響。

三、結(jié)束語

本文將戰(zhàn)略風險管理與企業(yè)戰(zhàn)略審計有機地融合，通過對基于風險控制的戰(zhàn)略審計評估技術(shù)的探討，并融合企業(yè)環(huán)環(huán)相扣的戰(zhàn)略管理活動，使其真正能夠起到改善并控制企業(yè)戰(zhàn)略風險的功效，以此促進我國審計事業(yè)的良性發(fā)展。同時，基于風險控制的戰(zhàn)略審計評估能促使企業(yè)內(nèi)部控制系統(tǒng)不斷實施、執(zhí)行、評價和完善，趨于持續(xù)動態(tài)改進。

主要參考文獻

審計的風險評估范文第2篇

一、現(xiàn)代風險導(dǎo)向?qū)徲嬇c洗錢風險評估

（一）現(xiàn)代風險導(dǎo)向?qū)徲?審計的目標是對財務(wù)報表不存在由于錯誤或舞弊導(dǎo)致的重大錯報獲得合理保證，其審計方法，即現(xiàn)代風險導(dǎo)向?qū)徲嬍钱斀裰髁鞯膶徲嫹椒ǎ髮徲嬋藛T從宏觀上了解被審計單位及其環(huán)境，充分識別和評估財務(wù)報表重大錯報風險，針對評估的重大錯報風險設(shè)計和實施控制測試與實質(zhì)性測試程序 ，并根據(jù)審計結(jié)果出具恰當?shù)膶徲媹蟾妗，F(xiàn)代風險導(dǎo)向?qū)徲嫽趹?zhàn)略層面和經(jīng)營層面進行分析，可以克服因缺乏全局觀而導(dǎo)致的審計失敗風險，其不僅關(guān)注到上市公司經(jīng)營風險對會計報表的影響，還把上市公司管理層對其影響因素考慮在內(nèi)，同時相應(yīng)減少了審計資源在實質(zhì)性測試方面的分配，節(jié)省審計成本。

（二）金融機構(gòu)洗錢風險評估 2012年2月，金融行動特別工作組的“40項建議”重點突出風險為本反洗錢工作方法，主要體現(xiàn)在根據(jù)洗錢、恐怖融資等非法活動的風險高低，合理配置相應(yīng)的資源，采取相應(yīng)的控制措施，既包括對洗錢風險的評估，還包括依據(jù)風險評估結(jié)果對高風險領(lǐng)域采取強化措施。洗錢風險評估主要體現(xiàn)在三個方面的運用：一是FATF及有關(guān)機構(gòu)對國家整體洗錢風險進行評估；二是反洗錢監(jiān)管部門對金融機構(gòu)洗錢風險進行評估；三是金融機構(gòu)對客戶洗錢風險進行評估。須注意的是，金融機構(gòu)洗錢風險評估與金融機構(gòu)反洗錢工作評估不同，洗錢風險評估是指對金融機構(gòu)被利用洗錢，即洗錢風險高低進行評價，側(cè)重于預(yù)防洗錢風險能力方面；反洗錢工作評估是指對金融機構(gòu)的反洗錢工作情況進行評價，是一種類似于績效考核的評價模式。兩者在評價指標設(shè)計及方法上有所不同，如被評估機構(gòu)工作（調(diào)研）受到表彰、認可或表揚，協(xié)助破獲了洗錢及上游犯罪案件，提供了有價值的可疑交易線索，在洗錢風險評估中只作為評估取證的來源之一，在反洗錢工作評估中則作為對工作認可的績效評價指標之一。本文從監(jiān)管角度探討對金融機構(gòu)洗錢風險的評估。

金融機構(gòu)對客戶的洗錢風險評估，是金融機構(gòu)了解客戶基本信息的基礎(chǔ)上，分析客戶資金交易的金額、頻率和方式等特征，繼而確定風險等級。監(jiān)管部門對金融機構(gòu)洗錢風險評估，是監(jiān)管部門或受監(jiān)管部門委托的有關(guān)機構(gòu)，對金融機構(gòu)的客戶身份識別、交易記錄保存、客戶風險等級劃分及可疑交易報告制度的有效性進行分析，確定金融機構(gòu)在內(nèi)控管理、業(yè)務(wù)流程、人員履職等方面對其洗錢風險的影響。

（三）現(xiàn)代風險導(dǎo)向與金融機構(gòu)洗錢風險評估的異同 具體運用中，兩者均采用抽樣評價方法，取證手段也相同（如詢問、查閱、檢查等方式），評估流程也類同。財務(wù)報表審計流程大致分三個階段，即承接業(yè)務(wù)階段的內(nèi)外部風險評估，分析被審計單位高管層壓力、機會和借口等因素所引發(fā)的舞弊或錯報風險；風險初步評估階段，了解評價被審計單位環(huán)境、內(nèi)控制度情況；進一步審計程序階段，控制測試和實質(zhì)性測試（對被審計單位各類交易、賬戶余額和披露的細節(jié)測試以及實質(zhì)性分析程序）。后續(xù)審計程序根據(jù)前階段的風險評估結(jié)果確定，當后續(xù)審計程序獲取的審計證據(jù)與初始評估獲取的審計證據(jù)相矛盾時，可以修正風險評估結(jié)果，并相應(yīng)修改原計劃實施的進一步審計程序。審計風險評估的目的是根據(jù)風險，確定進一步審計程序的性質(zhì)、范圍和時間安排，其目的在于內(nèi)控風險較高時，更多的控制測試和實質(zhì)性測試能推斷被審計單位的錯報或舞弊行為，繼而獲取被審計單位錯報或舞弊對財務(wù)報表的影響程度。洗錢風險評估與此類似，一是了解金融機構(gòu)固有風險階段，與承接審計業(yè)務(wù)階段內(nèi)外部風險評估階段相似，需了解金融機構(gòu)所面臨的宏觀經(jīng)濟狀況，所在行業(yè)的洗錢風險及經(jīng)營狀況對洗錢風險的影響。二是初步評估階段，與審計風險初步評估階段相似，對金融機構(gòu)反洗錢工作的環(huán)境、內(nèi)控制度執(zhí)行情況進行評估。三是深入評估階段，與進一步審計程序階段相似，對金融機構(gòu)的反洗錢內(nèi)控制度有效性和可疑交易分析報告工作的及時性和有效性進行分析評價。洗錢風險評估過程中，可以在了解金融機構(gòu)固有風險的基礎(chǔ)上，確定初步評估的范圍，再根據(jù)初步評估的結(jié)果，指導(dǎo)深入評估的時間、范圍和方法，包括對金融機構(gòu)進行一次初步評估和一次深入評估，也包括根據(jù)評估結(jié)果，采取現(xiàn)場檢查、約見談話、現(xiàn)場走訪等后續(xù)監(jiān)管措施。

不同之處在于：一是業(yè)務(wù)性質(zhì)不同。風險導(dǎo)向?qū)徲嬍菍ω攧?wù)報表不存在由于錯誤或舞弊導(dǎo)致的重大錯報獲得合理保證；金融機構(gòu)洗錢風險評估是對金融機構(gòu)洗錢風險的高低作出評價。二是評價內(nèi)容不同。前者是對被審計單位的外部環(huán)境、內(nèi)部環(huán)境、內(nèi)控制度，特別是對會計報表及賬務(wù)處理的準確性及真實性進行評價，具有經(jīng)濟評價性質(zhì)，較為復(fù)雜；后者是對被評估單位反洗錢相關(guān)的環(huán)境、內(nèi)控制度及可疑交易分析能力進行評價，具有單一性風險評價性質(zhì)，較為簡單。三是法律責任不同。審計主體對審計報告具有強制性報告義務(wù)，并對出具的審計報告承擔法律責任；洗錢風險評估是對風險進行判斷，不具有強制性報告義務(wù)，較少承擔法律責任。四是委托責任不同。前者是注冊會計師事務(wù)所接受有關(guān)信息使用者的委托，對被審計單位進行審計，信息使用者包括政府、股東及投資者等相關(guān)人員；后者主要是評估主體接受政府部門委托，根據(jù)最新風險狀況對被評估機構(gòu)洗錢風險進行評估。

二、審計風險評價體系對洗錢風險評價體系的借鑒

層次分析法是美國運籌學(xué)家T.L.Saaty于20世紀70年代初提出的一種決策分析方法，基本原理是：把一個復(fù)雜的決策問題視為一個系統(tǒng)，按總目標、子目標、評價因素的順序進行逐步分解，構(gòu)建層次結(jié)構(gòu)，然后通過模糊量化確定各元素對于上層指標的重要性，以此遞推到總目標層，從而為最終的決策問題提供較為科學(xué)的定量依據(jù)。目前的洗錢風險評估方法為層次分析評價方法，該方法將整體風險分解成一套評估指標體系，通過采用分級細化、確定指標分值權(quán)重、逐級加減匯總的方式，確定總體水平。如我國試行的金融機構(gòu)反洗錢風險評估標準中，將風險指標劃分為環(huán)境、產(chǎn)品/客戶、控制、溝通和調(diào)整五類一級指標，通過對各類指標中的標準評價得分匯總得出整體風險。該方法優(yōu)點在于，整體風險或工作情況受多個控制點、事項或交易的影響，各指標的匯總得分情況能較好反映整體水平，其在工作績效考核運用中的優(yōu)勢尤其明顯。

審計風險值的確定方法與上不同，是在確定各類風險值（或風險高低）的基礎(chǔ)上，對各類風險值進行數(shù)值乘算（或選用“高”、“中”、“低”等文字的定性描述），并通過矩陣表的方式計算確定風險，本文將此方法描述為矩陣評價方法。審計風險值具體確定方法為，審計風險=重大錯報風險×檢查風險（實務(wù)中，注冊會計師不一定用絕對數(shù)量表示風險水平，還可以選用“高”、“中”、“低”等文字描述，即審計風險值可通過數(shù)值乘算，也可以定性確定），其中，檢查風險取決于審計程序設(shè)計的合理性和執(zhí)行的有效性，可以通過職責分配、提供針對性審計計劃等方式解決。重大錯報風險包括固有風險和控制風險，評估時可以單獨對固有風險和控制風險進行評估，也可以合并進行評估。國內(nèi)有關(guān)學(xué)者采用矩陣方式評價風險，如對洗錢風險值的評價方法為，洗錢風險=固有風險×內(nèi)控風險，其中，固有風險包括：國家/地域風險、產(chǎn)品/服務(wù)風險、客戶風險；內(nèi)控風險主要是指反洗錢內(nèi)控制度及執(zhí)行風險。如反洗錢風險管理的評估方法為：反洗錢風險=原本風險×管控風險×監(jiān)管風險。與反洗錢風險管理的評估方法相似，金融機構(gòu)洗錢風險水平受以下四個方面的因素影響：國家經(jīng)濟，所在行業(yè)、地域環(huán)境；反洗錢內(nèi)控制度與內(nèi)部環(huán)境；金融產(chǎn)品、服務(wù)及客戶本身的洗錢風險水平；可疑交易報告的及時性和有效性。確定金融機構(gòu)洗錢風險的方法為，金融機構(gòu)洗錢風險=國家（地域、行業(yè)）風險×控制風險×產(chǎn)品（或客戶）風險×交易監(jiān)測風險（與審計風險評估相似，洗錢風險值可通過數(shù)值乘算，亦可定性確定）。

矩陣評價方法體現(xiàn)出風險與成本的一種均衡，避免將洗錢風險通過簡單匯總各級指標分值的方式進行評價。主要體現(xiàn)在：一是控制成本。風險導(dǎo)向?qū)徲嬂碚撜J為，機構(gòu)內(nèi)部行使控制職能的人員素質(zhì)及控制成本影響控制效果，若實施某項控制成本大于控制效果而發(fā)生損失時，就沒有必要設(shè)置該控制環(huán)節(jié)或控制措施。洗錢風險評估中，某金融產(chǎn)品被用于洗錢的風險較高，其相關(guān)控制風險也較高，但若金融機構(gòu)的該類金融產(chǎn)品交易量很少，則其整體洗錢風險不能被認定為高風險，投入此部分的評估資源可以相對減少。二是風險項的交叉性影響。即各類風險相互之間的影響，如新客戶“職業(yè)”登記為“其他或無業(yè)”的比例較高，則不能認定客戶身份識別制度執(zhí)行有效。三是不同類別風險對整體風險的影響程度。即當某類風險較高，而其他類風險較低時，須依據(jù)各類風險對整體風險的影響程度確定風險等級。金融機構(gòu)的反洗錢義務(wù)在于預(yù)防，所有控制措施都是為做好可疑交易的監(jiān)測、分析和報送服務(wù)，若客戶身份識別制度和客戶風險等級劃分制度執(zhí)行的很好，但監(jiān)測分析人員的人數(shù)配置不夠、分析能力不高，可疑交易分析系統(tǒng)的智能化不足，則應(yīng)認定該單位的洗錢風險水平為高風險。

三、風險導(dǎo)向?qū)徲嫹椒ㄔ谙村X風險評估方法中的運用

（一）運用抽樣評價方法 審計抽樣范圍受所審計鑒定會計期間的影響，并針對該會計期間各類控制、事項或交易中的部分樣本進行評價，通過樣本推斷總體，如年度財務(wù)報表審計，只有在審計報表期初余額，及評價期末、期后事項對報表的影響時，才會跨年度選取樣本。洗錢風險評估相對靈活，可以對某一年度的洗錢風險進行抽樣評估，也可以針對某類控制、事項或交易的樣本擴大至若干個年度進行抽樣評估。

（二）依據(jù)風險高低擴大或減少樣本量 審計實務(wù)中，若認為被審計單位控制環(huán)境薄弱，則很難認定某一相關(guān)流程的控制有效，其實質(zhì)性測試的樣本量會大幅增加（實質(zhì)性測試包括細節(jié)性測試和實質(zhì)性分析程序，即對會計計量的真實性、準確性、合理性進行審查）。小型機構(gòu)員工較少，限制了其職責分離的程度，雖然沒有文件形式的控制要素，但了解管理層的態(tài)度、認識和措施及其控制環(huán)境非常重要，應(yīng)該更多的采取實質(zhì)性程序。洗錢風險評估可借鑒以上方法，若金融機構(gòu)的內(nèi)控風險很高，則其客戶身份識別、交易記錄保存及客戶風險等級劃分相關(guān)控制點就較難得到有效執(zhí)行，繼而影響異常交易分析識別的及時性和有效性，洗錢風險會加大，此時應(yīng)擴大對異常交易分析及報告的樣本量，確定洗錢風險的高低。

（三）整合取證手段 審計取證方法包括查閱、詢問、觀察、穿行測試、重新執(zhí)行、實質(zhì)性分析程序等方法，具體審計目的不同，取證手段和工作流程也不同。如對收入確認的完整性測試，由原始憑證追查至明細賬（從發(fā)貨部門的發(fā)運憑證追查至有關(guān)銷售發(fā)票副本，再到收入明細賬），而對收入確認真實性的審計流程與上述流程相反。洗錢風險評估中，如評價金融機構(gòu)的可疑交易報告是否有遺漏，可以選取部分存量客戶，從建立業(yè)務(wù)關(guān)系，到客戶風險等級劃分，再到可疑交易分析報告的整個流程進行取證；評價可疑交易報告是否合理，則與上述流程相反。在具體方法運用上，主要有以下幾種可供借鑒。

一是詢問。向金融機構(gòu)有關(guān)員工進行詢問，獲取與內(nèi)部控制運行情況相關(guān)的信息。如果某項控制要求某一員工（復(fù)核人）在文件上簽字以證明他復(fù)核該份文件，那么應(yīng)詢問其復(fù)核的性質(zhì)，即對什么進行復(fù)核，復(fù)核的要點是什么，簽字復(fù)核的意義等等。如個人獨資企業(yè)、家族企業(yè)、合伙企業(yè)、存在隱名股東或匿名股東公司的盡職調(diào)查難度通常會高于一般公司，應(yīng)詢問此類盡職調(diào)查的方法和措施。二是穿行測試。追蹤交易報告在業(yè)務(wù)流程中發(fā)生、處理和記錄的過程。業(yè)務(wù)流程中存在多個風險控制點，如客戶身份識別措施―身份識別記錄―風險等級劃分―交易記錄保存―可疑交易提取、分析―復(fù)核確認―分析報告結(jié)論，通過穿行測試，掌握內(nèi)控薄弱環(huán)節(jié)，及對整體風險的影響程度。三是重新執(zhí)行。審計實務(wù)中，檢查復(fù)核人員是否認真執(zhí)行核對時，不僅應(yīng)檢查是否在相關(guān)文件上簽字，還應(yīng)選取一部分憑證如銷售發(fā)票進行核對。在風險評估中，可以選取部分可疑交易報告，評判可疑交易分析復(fù)核的合理性；在可疑交易分析系統(tǒng)及風險等級劃分系統(tǒng)（或者是功能模塊）中，評估人員從相關(guān)系統(tǒng)調(diào)取客戶身份資料（一般是開戶資料）和交易記錄，以評價系統(tǒng)設(shè)計的合理性。四是實質(zhì)性分析程序。通過研究數(shù)據(jù)間關(guān)系評價一段期間的交易情況。審計實務(wù)中，實質(zhì)性測試包括對各類交易、賬戶余額和披露的細節(jié)測試以及實質(zhì)性分析程序（如財務(wù)指標的橫縱向比較）。在洗錢風險評估中，可以運用到實質(zhì)性分析程序，如“可疑交易量/同類型交易量”的橫縱向比較，“未登記客戶職業(yè)信息數(shù)量/所有客戶數(shù)量”的橫縱向比較；如私人銀行業(yè)務(wù)的投資理財品種和交易金額的變動情況。

四、審計成本控制對洗錢風險評估成本的借鑒

審計實務(wù)中，項目審計組基本為一年對一家上市公司財務(wù)報表年報進行審計，雖然企業(yè)所面臨的經(jīng)濟環(huán)境和經(jīng)營復(fù)雜程度的不斷上升，注冊會計師仍會在合理的時間內(nèi)以合理的成本完成審計工作。風險為本的工作方法與此相同，需要以合理的成本完成洗錢風險評估工作。截至2012年底，我國具有反洗錢報告義務(wù)的金融機構(gòu)共計1599家，以湖北省武漢市為例，該市具有反洗錢報告義務(wù)的金融機構(gòu)共計201家，其中法人機構(gòu)19家，在市內(nèi)擁有下屬機構(gòu)的69家，無下屬機構(gòu)（如證券營業(yè)部、支付機構(gòu)等）的113家。可以發(fā)現(xiàn)，監(jiān)管機構(gòu)與義務(wù)主體呈現(xiàn)一對多的現(xiàn)象，同時，洗錢風險評估只是反洗錢監(jiān)管工作中的一部分。那么實現(xiàn)評估成本的節(jié)約和效果的提高，需要考慮評估的目的，繼而在評估深度、時間安排及人員配置上作出具體調(diào)整。主要有以下三種模式可供綜合或單獨運用：一是動態(tài)風險評估。如每1至2年評估一次，其作用在于實時掌控金融機構(gòu)的洗錢風險，由于被評估的反洗錢義務(wù)主體較多，則對每家機構(gòu)評估的時間不宜過長。二是周期性評估。如3年及以上評估一次，該模式的假設(shè)前提是短期內(nèi)金融機構(gòu)的洗錢風險不會發(fā)生較大變化，當金融機構(gòu)較多時，可以分配至各個年度，并采取“深入”評估的方式進行評估。三是法人監(jiān)管模式的自主型評估與分支機構(gòu)的配合型評估。即對法人金融機構(gòu)進行全面、深入的評估，重點包括內(nèi)控制度建設(shè)、管理體系及執(zhí)行有效性上面；對于地方分支機構(gòu)，應(yīng)以配合上級部門為主，根據(jù)上級部門有關(guān)要求對金融機構(gòu)分支機構(gòu)采取針對性評估，重點在于評價分支機構(gòu)內(nèi)控執(zhí)行有效性上面。

參考文獻：

[1]沈征：《審計理論》，上海人民出版社2013年版。

審計的風險評估范文第3篇

關(guān)鍵詞：期望審計風險評估；錨定與調(diào)整啟發(fā)法；錨定效應(yīng)

中圖分類號：F830.5 文獻標識碼：B 文章編號：1674-0017-2013（2）-0023-07

一、引言

期望審計風險水平是指審計人員在對特定項目實施審計之前，預(yù)先確定的愿意承受的審計風險水平，是審計風險控制系統(tǒng)的控制目標和輸出。審計人員在審計計劃階段，往往要預(yù)先確定一個可以接受的審計風險水平，然后以此為目標，制定具體的審計策略，并盡力地把審計風險控制在期望水平以下。

上世紀七十年代，Tversky和Kahneman（1974）根據(jù)大量的觀察和實驗發(fā)現(xiàn)了人們在不確定條件下進行的判斷與傳統(tǒng)經(jīng)濟理論所假定的那種理性判斷之間會發(fā)生系統(tǒng)性偏差的機理，從而奠定了行為經(jīng)濟學(xué)的基礎(chǔ)。近二十多年來，行為經(jīng)濟學(xué)的理論不斷地被應(yīng)用于金融與管理領(lǐng)域的研究中，取得了許多有意義的成果。特別是在審計研究上，行為經(jīng)濟學(xué)的應(yīng)用受到了越來越多的重視（彭桃英，2010）。

在期望審計風險評估主體進行風險評估的判斷與決策過程中，他們面對的同樣是不確定性的環(huán)境。作為理性的經(jīng)濟人，評估主體（在本文中我們假定是審計人員自己評估審計風險）對期望審計風險評水平的確定不應(yīng)受到以往有關(guān)期望審計風險評估結(jié)果的影響，而且應(yīng)該根據(jù)新獲得的信息，科學(xué)地進行評估。但實際情況是否如此，是一個有待檢驗且尚未見人嘗試的重要問題。如果在這方面也的確存在錨定效應(yīng)，即存在依賴以往評估結(jié)果的系統(tǒng)性認知偏差，那么，這一研究對于審計人員克服期望審計風險評估中的認知偏差，更加客觀和科學(xué)地利用新信息，提高審計風險控制能力，就具有十分明顯的實踐意義。

二、文獻回顧

在審計實務(wù)中，審計人員只有將實際審計風險水平控制到低于或等于期望審計風險水平時，才能結(jié)束審計工作。既然期望審計風險水平的確定對審計工作如此重要，那么哪些因素是評估時應(yīng)該考慮到的或有哪些因素比較重要呢？劉峰、景東華（2002）認為確定合理的期望審計風險水平，必須綜合考慮審計風險的影響力度、被審單位的經(jīng)營風險，同時盡可能降低審計人員主觀判斷對期望審計風險水平的影響。員鴻琬等（2004）認為，對期望審計風險水平有影響的主要因素包括：一是審計結(jié)束后發(fā)生法律訴訟可能性的大小及敗訴受到懲罰的嚴厲程度；二是審計市場的競爭性；三是審計人員對審計風險的偏好；四是審計人員自身的職業(yè)道德。同時還應(yīng)關(guān)注以下三個因素對期望審計風險水平的影響：一是外部使用者對會計報表的信賴程度；二審計報告日后被審計單位陷入財務(wù)困境的可能性；三是管理部門的正直性。趙春萍、邵世文（2003）講述了確定期望審計風險應(yīng)考慮的一個重要因素是企業(yè)會計報表使用者對報表的依賴程度，該指標可以從客戶規(guī)模、所有者的分布、負債的性質(zhì)和數(shù)額這三個方面進行考核。

Kinney和Uecker（1982）以154名注冊會計師為被試進行了兩個實驗，通過改變樣本規(guī)模和樣本誤差數(shù)來檢驗注冊會計師判斷控制風險時的錨定效應(yīng)，兩個實驗的結(jié)果均表明被試的判斷明顯存在錨定效應(yīng)。Biggs S和Wild J （1985）以121名注冊會計師為被試，實驗結(jié)果再次證實了Kinney和Uecker（1982）的實驗發(fā)現(xiàn)，被試發(fā)生了錨定效應(yīng)，但是被試是否更加謹慎無法確定。Presutti（1995）以62名注冊會計師為被試，發(fā)現(xiàn)以前年度審計抽樣信息對被試的判斷產(chǎn)生了顯著影響，對本期的判斷具有錨定效應(yīng)；而且被試表現(xiàn)的更加謹慎，提供以前年度審計信息的被試大大高估實驗任務(wù)中銷售循環(huán)的控制風險。

我國關(guān)于錨定和啟發(fā)法的研究剛剛起步，僅在審計判斷研究領(lǐng)域有了一些初步的研究成果，如張繼勛（2002）通過理論分析認為我國注冊會計師存在錨定效應(yīng)。此項研究對于理解注冊會計師的判斷過程，避免審計判斷偏差和檢驗審計準則的有效性具有重要的意義。楊明增、張繼勛（2007）以我國注冊會計師審計為背景，以控制測試為實驗任務(wù)，驗證了我國注冊會計師審計判斷中的錨定效應(yīng)：在有以前年度信息的情況下，注冊會計師對本期控制風險的評價更加謹慎，控制風險的估計水平更高。李斌等（2008）認為，錨定效應(yīng)是普遍存在的一種現(xiàn)象，只要是在不確定狀態(tài)下的判斷過程中，人們往往會出現(xiàn)這樣的錯誤。

上述有關(guān)期望審計風險影響因素的文獻對影響因素的總結(jié)大同小異，且沒有比較全面地、分類別地、有層次地顯示出來。在本文中，將通過編制一個包含了大量影響因素的問卷調(diào)查表，并對其進行數(shù)據(jù)分析，得出每個因素的權(quán)重大??；然后，將擴展審計判斷中的錨定效應(yīng)研究到期望審計風險評估過程中來，試圖克服目前相關(guān)文獻中這方面研究的不足。

三、問卷設(shè)計及數(shù)據(jù)分析

（一）問卷設(shè)計

除了對相關(guān)文獻中關(guān)于期望審計風險評估的影響因素的借鑒之外，為了對影響期望審計風險水平及各因素的影響程度有更為全面的了解，也為了給實驗部分的變量設(shè)計提供更多可靠及適當?shù)倪x擇，在設(shè)計調(diào)查問卷后，先進行了小規(guī)模的問卷調(diào)查。在調(diào)查過程中，向被測試者咨詢、請教與討論，不斷改進問卷的因素設(shè)置與分類，最終得到了一份包含四個大因素、二十三個子因素的調(diào)查表。在正式的較大規(guī)模的問卷調(diào)查中，被測試者普遍反映這份調(diào)查表是適合我國審計實務(wù)環(huán)境的。包含了這二十三個因素的四大因素分別是審計失敗的不良影響、被審計單位經(jīng)營風險、被審計單位有無舞弊動機及審計人員或會計師事務(wù)所方面的因素。

問卷由兩個必答問題與一個任答問題組成，其中，第一個必答問題是為了調(diào)查影響期望審計風險評估的上述四大因素依各自的影響程度所占的權(quán)重；第二個必答問題是將問題一中的四大因素分別細化為多個具體的影響因素，針對每個具體因素的影響程度分五個等級打出相應(yīng)的分數(shù)（回答采用5點量表，“非常重要”、“比較重要”、“一般”、“不重要”到“無關(guān)”，分別記4-0分）；問題三是屬于一個附加的任答問題，針對部分審計人員認為除問題二中列舉的因素外，還可能存在其他因素會對期望審計風險評估產(chǎn)生某種程度的影響，可以作出補充。

（二）問題一的結(jié)果分析

有效問卷中對第一個問題的結(jié)果描述與統(tǒng)計。其中，表1是將各個總體因素的權(quán)重分別取最大權(quán)重、最小權(quán)重以及求平均值后得出的結(jié)果；表2是對回答者中認為各因素權(quán)重最大的問卷數(shù)量所作的統(tǒng)計。

由上表可以看出，被審計單位的經(jīng)營風險對審計人員期望審計風險水平評估的影響程度所占的權(quán)重最大，為38.72%；審計失敗的不良影響權(quán)重次之，為25.69%；被審計單位的舞弊動機權(quán)重為19.93%；事務(wù)所或?qū)徲嬋藛T主觀因素權(quán)重最小，為15.62%。

從上表可知，有57.86%的審計人員認為被審計單位經(jīng)營風險對期望審計風險評估的影響程度最大，有17.36%的審計人員認為審計失敗的不良影響對期望審計風險的影響最大，有15.28%的審計人員認為被審計單位有無舞弊動機對期望審計風險評估的影響最大，而只有11.11%的審計人員認為會計師事務(wù)所或?qū)徲嬋藛T主觀因素對期望審計風險評估的影響最大。

（三）問題二的統(tǒng)計結(jié)果

表3是對問卷中問題二的結(jié)果統(tǒng)計，通過求平均分值描述四大總體因素的各子因素對重大錯報風險評估的影響程度。

從上表可以看出，在審計實務(wù)中被審計人員重點考慮的前五個因素是：遭受法律訴訟的可能性大小、被審計單位盈利能力、事務(wù)所業(yè)務(wù)競爭程度、被審單位管理人員遭受的異常壓力、審計人員職業(yè)勝任能力。這里的分析結(jié)果為本文實驗變量的確定提供了重要依據(jù)。

四、研究假設(shè)

錨定與調(diào)整啟發(fā)法理論及前景理論認為，人們在進行判斷和決策時，為了提高決策效率，往往會利用最易獲得的信息去建立參照點，此參考點即為錨。期望審計風險水平的評估過程中，過去的評估值就可能被認為是本年度的一個初始值。審計人員在審計之前要全面性地了解被審單位的有關(guān)重大經(jīng)濟活動、重大經(jīng)濟決策，認真查閱其上年接受審計的情況，在判斷上年期望審計風險水平合理的情況下，審計人員可能將上年期望審計風險水平當作“錨”。由于本文是在被審計單位經(jīng)營狀況正常的情況下開展研究的，因此，我們提出以下假設(shè)：

假設(shè)1：在不確定性環(huán)境下，審計人員在進行期望審計風險評估時會產(chǎn)生錨定效應(yīng)，即，以前年度的期望審計風險評估結(jié)果對本年度的期望審計風險評估結(jié)果產(chǎn)生顯著影響。

錨定與調(diào)整啟發(fā)法認為，在存在不確定性的情況下一旦確定了初始值，決策者就會在初始值的基礎(chǔ)上，根據(jù)獲得的新信息不斷進行調(diào)整并得出最終的判斷。根據(jù)這一理論，在期望審計風險評估過程中，審計人員在對其承接的審計業(yè)務(wù)進行期望審計風險評估時，會盡可能全面地搜集與期望審計風險評估相關(guān)的信息。由于這些信息對期望審計風險評估結(jié)果的影響程度不一，這時就需要審計人員憑以往的經(jīng)驗，對哪些信息是作出期望審計風險評估調(diào)整的重要依據(jù)進行主觀判斷，并不斷在心中做出評估調(diào)整決策，形成最終評估結(jié)果。據(jù)此，我們提出假設(shè)：

假設(shè)2：在不確定性環(huán)境下，審計人員會根據(jù)所獲得的新信息在初始評估的基礎(chǔ)上重新調(diào)整其期望審計風險評估結(jié)果。

由問卷調(diào)查結(jié)果可見，在所有子因素中，客戶的盈利能力、遭受法律訴訟可能性大小這兩個子因素的影響排在前兩位。因此，該兩個因素是審計人員在進行期望審計風險評估時必須加以權(quán)衡的因素。問卷調(diào)查結(jié)果還顯示，審計人員中57.86%的比例認為，被審單位的經(jīng)營風險因素對期望審計風險水平的評估影響最大。據(jù)此，我們提出以下假設(shè)：

假設(shè)2a：在上年度期望審計風險評估水平一定的情況下，若被審單位盈利能力較上年有所提高，考慮這一新信息會導(dǎo)致審計人員在上年評估結(jié)果的基礎(chǔ)上調(diào)高其期望審計風險評估水平。

假設(shè)2b：在上年度期望審計風險評估水平一定的情況下，若被審單位盈利能力較上年有所降低，考慮這一新信息會導(dǎo)致審計人員在上年評估結(jié)果的基礎(chǔ)上調(diào)低其期望審計風險評估水平。

問卷調(diào)查結(jié)果顯示，除了被審單位盈利能力這一影響因素占了很大權(quán)重外，發(fā)生法律訴訟可能性大小的評估得分也非常高，因此，我們把遭受法律訴訟大小這一子因素作為第二次調(diào)整信息，提出以下假設(shè)：

假設(shè)2c：在上年度期望審計風險評估水平及被審單位盈利能力一定的情況下，若會計師事務(wù)所或者審計人員遭受法律訴訟的可能性增大，則會導(dǎo)致審計人員在先前評估基礎(chǔ)上調(diào)低其期望審計風險評估水平。

假設(shè)2d：在上年度期望審計風險評估水平及被審單位盈利能力一定的情況下，若會計師事務(wù)所或者審計人員遭受法律訴訟的可能性減少，則會導(dǎo)致審計人員在先前評估基礎(chǔ)上調(diào)高其期望審計風險評估水平。

五、實驗設(shè)計

（一）變量的選取與實驗過程

從表1，本實驗的三個操控自變量是：上年期望審計風險評估水平、被審單位盈利能力與會計師事務(wù)所審計工作結(jié)束后遭受法律訴訟的可能性大小。每個變量有兩個水平，上年度期望審計風險評估結(jié)果為兩個水平：上年期望審計風險評估水平有兩個水平：高水平（L1）、低水平（L2）；被審計單位盈利能力有兩個水平：較高（P1）、較低（P2）；會計師事務(wù)所遭受法律訴訟的可能性有兩個水平：較大（S1）、較?。⊿2）。相應(yīng)地，作者設(shè)計了一個2×2×2三因子的八種方案實驗，作者采用隨機的方式分發(fā)給參與實驗的被試，這八個方案為：L1P2S2、L2P2S2、L1P1S2、L1P1S1、L2P1S2、L2P1S1、L1P2S1、L2P2S1。

本實驗的被試是參加湖南省注協(xié)培訓(xùn)的多家會計師事務(wù)所的部分審計從業(yè)人員，共240人。實驗首先要求被試閱讀實驗的背景信息，之后每閱讀完一個資料信息后給出一個合理的評估結(jié)果。案例資料提供了三個重要的資料信息，一是上年度期望審計風險水平評估結(jié)果；二是被審單位的盈利能力大?。蝗菍徲嬋藛T或會計師事務(wù)所遭受法律訴訟可能性的大小。因變量（AP）就是被試根據(jù)所給信息相應(yīng)做出的每一次風險評估，評估結(jié)果按影響風險的程度分為無關(guān)、不重要、一般、比較重要、非常重要五個水平，分別給予分值0、1、2、3、4分。由于三個自變量的信息是要求被試者按先后順序依次閱讀的，每位被試都將依次做出三次評估。

為了保證實驗的內(nèi)部效度，選擇一個對被試來說合適而且熟悉的審計判斷任務(wù)是非常重要的。本文選擇了最普遍的年報審計項目作為案例背景。同時，為保證實驗設(shè)計的實際適用性，在正式實驗前，我們先進行了小規(guī)模的問卷發(fā)放，并在問卷發(fā)放現(xiàn)場與被試審計人員探討了實驗問卷中存在的不足之處。最終經(jīng)過對個別子因素和標度的級數(shù)調(diào)整，問卷設(shè)計在大規(guī)模發(fā)放時得到被試的普遍認可。

為了在一定程度上保證審計證據(jù)與審計判斷選擇和審計意見選擇之間因果關(guān)系的明確程度，必須控制額外變量對實驗效果的影響。本文主要通過審計人員的職位、學(xué)歷、從事審計工作年限以及審計人員的年齡等方面來反映不同實驗組的被試是否存在顯著差異。雖然我們在實驗開始前對被試的分組是隨機進行的，但是為了消除未預(yù)期的混淆效應(yīng)，本文對被試的隨機分配進行了檢驗，檢驗的結(jié)果表明實驗組之間在審計人員的職位、學(xué)歷、從事審計工作年限以及審計人員的年齡等方面不存在顯著差異。同時，為了測試證據(jù)操縱的效度，我們就被試對每個問題的回答進行操作性檢驗。檢驗結(jié)果表明，由于錯誤的判斷在整個判斷中所占的比例很小，因而，可以認為對證據(jù)判斷的操作是有效的。

（二）實驗結(jié)果及分析

實驗完成后共收回165份問卷，剔除無效的21份，有效份數(shù)為144份。我們將實驗結(jié)果數(shù)據(jù)用Excel加以整理后，用SPSS17.0軟件進行了描述性統(tǒng)計分析、獨立樣本均值T檢驗。

1、描述性統(tǒng)計分析

從表4中各種信息狀況下審計期望風險評估的均值可以看出：審計人員在進行重大錯報風險評估時，上年度期望審計風險被評估為高水時評估當年的期望審計風險水平要高于上年度期望審計風險被評估為低水平時評估當年的期望審計風險水平（L1下的3.51遠高于L2下的1.90），這體現(xiàn)了上年度的風險評估結(jié)果對當年風險評估的影響；審計人員在上年度風險評估水平相同的情況下，被審單位盈利能力較上年提高時做出的第二次評估均值遠高于被審單位盈利能力較上年降低時的評估均值（L1P1下的4.25遠大于L1P2下的3.08、L2P1下2.94大于L2P2下的1.47），說明若被審單位盈利能力較好時，期望審計風險的評估水平也會隨之提高；被審單位上年度期望審計風險評估水平與被審計單位盈利能力相同時，審計人員在作出風險評估時，審計結(jié)束后發(fā)生法律訴訟可能性大小也會導(dǎo)致風險評估的差異，發(fā)生法律訴訟可能性大時的評估均值小于發(fā)生法律訴訟可能性小時的評估均值（L1P1S1下的3.33小于L1P1S2下的4.89、L2P1S1下的1.78小于L2P1S2下的4.28、L1P2S1下的2.06小于L1P2S2下的3.83、L2P2S1下的1.11遠小于L2P2S2下的2.94），這是審計人員考慮了發(fā)生法律訴訟可能性大小之后的評估結(jié)果。

2、獨立樣本均值T檢驗分析

表5顯示了審計人員在只獲取上年度期望審計風險評估水平（高水平或低水平）的情況下做出的初始評估均值之間是否存在顯著性差異。結(jié)果表明，這兩組初始評估結(jié)果的方差有顯著性差異（F=44.832，P=0.000

由理論分析可知，風險評估人員在獲得一個新信息后，會將初始信息與新信息綜合考慮形成一個新的風險評估結(jié)果，即在初始評估基礎(chǔ)上適當?shù)卣{(diào)整。表6是對考慮被審單位盈利能力的情況后第二次評估與未提供任何信息下的初始評估的均值是否存在顯著性差異進行檢驗。從表中信息可知，當上年度期望審計風險被評估為高水平時，這兩組評估結(jié)果的方差差異顯著（F=22.577，P=0.0000.05），在接受方差相等假設(shè)的情況下，兩組的風險評估結(jié)果均值存在顯著差異（T=-7.567，P=0.000），說明若被單位盈利能力較低時，審計人員考慮這一新信息則有可能在初始評估的基礎(chǔ)上調(diào)低其期望審計風險水平。

相比表6，表7則是對提供被審單位盈利能力的第二次評估與未提供該信息下的初始評估的均值是否存在顯著性差異進行檢驗。從表中信息可知，當上年度的期望審計風險被評估為高水平時，兩組評估結(jié)果的方差存在顯著性差異（F=16.361，P=0.0000.05），在接受方差相等假設(shè)的情況下，兩組評估結(jié)果的均值存在顯著性差異（T=3.301，P=0.001）。實驗結(jié)果充分說明，上年度期望審計風險評估結(jié)果一定時，若被審單位盈利能力較上年降低，審計人員考慮這一新信息則極有可能在初始評估的基礎(chǔ)上降低其期望審計風險評估水平。假設(shè)2b成立。

表8與表9是檢驗風險評估人員在進一步得到有關(guān)審計結(jié)束后遭受法律訴訟可能性大小的信息后所做出的第三次評估，其是否在第二次評估的基礎(chǔ)上加以調(diào)整，其中表8中進一步提供的是遭受法律訴訟的可能性大的新信息。從表8的檢驗結(jié)果可知，所有信息狀況下的前后兩組評估的均值均呈現(xiàn)調(diào)低的趨勢。各組評估結(jié)果的方差有三組不存在顯著性差異，在接受方差相等的假設(shè)下，這三組的評估水平均值存在顯著性差異，驗證了當上年度期望審計風險評估水平及被審計單位盈利能力相等時，若發(fā)生法律訴訟可能性大時，審計人員極有可能在先前評估基礎(chǔ)上調(diào)低其期望審計風險評估水平。另外，有一組方差存在顯著性差異，在接受方差不相等的假設(shè)下，這組的均值存在顯著性差異，同樣驗證了當上年度期望審計風險評估水平及被審計單位盈利能力相等時，若發(fā)生法律訴訟可能性大時，審計極有可能在先前評估基礎(chǔ)上調(diào)低其期望審計風險評估水平。假設(shè)2c成立。

表9中進一步提供的是審計結(jié)束后發(fā)生法律訴訟可能性小的新信息。實驗結(jié)果表明，所有信息狀況下的前后兩組評估結(jié)果的均值均呈現(xiàn)調(diào)高的趨勢，除L1P1S2與L1P1這組外，其他組的評估結(jié)果方差均存在顯著性差異，說明在考慮到發(fā)生法律訴訟可能性較小后，審計人員在第二次評估的基礎(chǔ)上可能會適當調(diào)高期望審計風險評估水平，驗證了當上年度期望審計風險評估水平及被審計單位盈利能力相同時，若發(fā)生法律訴訟可能性小時，風險評估人員有可能在先前評估基礎(chǔ)上調(diào)高其期望審計風險評估水平。假設(shè)2d成立。L1P1S2與L1P1這組方差存在顯著性差異，在接受方差不相等的情況下，均值結(jié)果存在顯著性差異。同樣驗證了假設(shè)2d。

假設(shè)2a、假設(shè)2b、假設(shè)2c及假設(shè)2d的成立充分驗證了假設(shè)2的成立，即在不確定性環(huán)境下，審計人員運用錨定與調(diào)整啟發(fā)法進行期望審計風險評估時，會根據(jù)所獲得的新信息，在初始評估的基礎(chǔ)上重新調(diào)整其期望審計風險評估水平。此外，我們對被審計單位盈利能力及審計結(jié)束后審計人員或會計師事務(wù)所遭受法律訴訟可能性大小是否對期望審計風險水平評估產(chǎn)生顯著影響做的補充性T檢驗，也得到了肯定性結(jié)果。

六、結(jié)論

本文在問卷調(diào)查的基礎(chǔ)上，將被審計單位的盈利能力和遭受法律訴訟可能性大小作為新的信息，根據(jù)被測試者在這兩個信息基礎(chǔ)上依次進行的調(diào)整，檢驗了審計過程中期望審計風險水平評估中的錨定效應(yīng)。結(jié)果表明：第一，在進行期望審計風險評估時，審計人員會受到錨定與調(diào)整啟發(fā)法的影響，上年度有關(guān)期望審計風險的評估結(jié)果會產(chǎn)生錨定效應(yīng)，對初始評估產(chǎn)生顯著影響；第二，在不確定性環(huán)境下，審計人員運用錨定與調(diào)整啟發(fā)法進行期望審計風險水平評估時，會根據(jù)所獲得的新信息，在初始評估的基礎(chǔ)上重新調(diào)整其風險評估。例如，在上年度期望審計風險評估結(jié)果相同的情況下，若被審計單位本年較上年盈利能力有所提高，審計人員考慮這一新信息會導(dǎo)致他在初始評估的基礎(chǔ)上調(diào)高其期望審計風險評估水平；若審計結(jié)束后遭受法律訴訟可能性較大，審計人員將在先前評估基礎(chǔ)上調(diào)低其期望審計風險評估水平，等等。此外，被審計單位盈利能力及發(fā)生法律訴訟可能性大小等因素對審計人員在作出期望審計風險評估方面都有顯著影響。

總之，期望審計風險評估中的錨定效應(yīng)與調(diào)整是客觀存在的。因此，提高業(yè)務(wù)素質(zhì)，克服非理，是提高審計人員的審計風險評估能力和審計風險控制能力的一條重要途徑。

參考文獻

[1]Biggs S，Wild J. An Investigation of Auditor Judgment in Analytical Review[J].The Accounting Review， 1985（4）：607-633。

[2]Kinney W R J，Uecker W. Mitigating the Consequences of Anchoring in Auditor Judgment[J].The Ac-counting Review，

1982（1）：55-69。

[3]李斌，徐富明，王偉，龔夢園.錨定效應(yīng)的研究范式、理論模型及應(yīng)用啟示[J].應(yīng)用心理學(xué)，2008，（5）：269-275。

[4]劉峰，景東華.期望審計風險水平探析[J].四川會計，2002，（2）：41-42。

[5]彭桃英.行為經(jīng)濟學(xué)在獨立審計中的應(yīng)用研究[C].北京：財政部財政科學(xué)研究所，2010。

The Research on the Anchoring Effect of the Assessment of Expected Audit Risk Level

ZHU Bei

（China West Airport Group， Xi'an Shaanxi 710075）

審計的風險評估范文第4篇

固有風險是指在考慮相關(guān)的內(nèi)部控制之前，某類交易、賬戶余額或披露的某一認定易于發(fā)生錯報（該錯報單獨或連同其他錯報可能是重大的）的可能性。雖然2006年新的審計準則引入重大錯報風險，我國的審計方法逐漸轉(zhuǎn)向風險導(dǎo)向?qū)徲嫞窃趯嶋H操作中，對被審計單位固有風險的評估還是比較重要的，且是一個難點。在這期間，理論界對固有風險評估方法的研究也不斷發(fā)展，由最初的定性分析方法到現(xiàn)在比較流行的定量和定性結(jié)合的分析方法。

一、現(xiàn)有固有風險評估方法的比較

現(xiàn)有的固有風險評估方法主要有：以定性分析為代表的風險因素分析法和特爾斐法；以定量分析為代表的模糊綜合評價法、模糊熵法、模糊層次分析法。

（一）風險因素分析法和特爾斐法的對比分析

風險因素分析法是指對可能導(dǎo)致風險發(fā)生的因素進行評估分析，從而確定風險發(fā)生概率大小的風險評估方法；特爾斐法是指用書面形式廣泛征詢專家意見以預(yù)測某項專題或某個項目未來發(fā)展的方法。兩者都不能夠?qū)逃酗L險的風險水平進行準確的評估，但是特爾斐法的準確度要高。固有風險的各個影響因素對其影響程度是不同的，在風險因素分析法中，審計人員通過以往的經(jīng)驗或?qū)＜业囊庖娊o不同的因素設(shè)置不同的權(quán)數(shù)，然后在其基礎(chǔ)上確定總體的固有風險水平，這就使得固有風險的評估存在很大的主觀隨意性，比較依賴審計人員或?qū)＜业慕?jīng)驗，審計的效果也不太好。特爾斐法較之風險因素分析法相對減少了固有風險評估的主觀隨意性，這種比較系統(tǒng)的方法并沒有把固有風險評估的主觀方法轉(zhuǎn)變?yōu)榭陀^方法，而是著眼于更好地利用審計人員或?qū)＜业慕?jīng)驗，使審計人員對固有風險的評估規(guī)范化、統(tǒng)一化、標準化，減少了隨意性，但前提還是要依賴審計人員或?qū)＜业慕?jīng)驗。

（二）模糊綜合評價法、模糊熵法、模糊層次分析法的對比分析

模糊綜合評價法是根據(jù)模糊數(shù)學(xué)的隸屬度理論把定性評價轉(zhuǎn)化為定量評價，在專家對固有風險影響因素分析評價的基礎(chǔ)上運用模糊數(shù)學(xué)的原理將固有風險水平確定為一個具體的數(shù)值或評價。模糊熵法是用“熵”來度量一個模糊集合所含有的模糊性的大小，運用模糊數(shù)學(xué)的原理將固有風險水平確定為一個具體的數(shù)值或評價。與模糊綜合評價法相比，模糊熵法只是對影響固有風險的各影響因素的權(quán)重計算方法不一樣。模糊綜合評價法是利用相對比較法、層次分析法、特爾斐法、連環(huán)比率法等確定各影響因素的權(quán)重；模糊熵法是利用“熵”的計算方法確定各影響因素的權(quán)重，結(jié)果更為科學(xué)。模糊層次分析法是將模糊數(shù)學(xué)的理論方法與層次分析法結(jié)合起來，將固有風險的影響因素分解為各層次，在此基礎(chǔ)上利用模糊數(shù)學(xué)原理確定固有風險水平的一種方法。與模糊綜合評價法和模糊熵法相比：首先，模糊層次分析法運用層次分析原理將影響固有風險的因素劃分得更為合理、具體；其次，模糊層次分析法根據(jù)三角模糊數(shù)的計算原理，用三角模糊數(shù)構(gòu)成模糊判斷矩陣，大大減少了模糊判斷的主觀性；最后，模糊層次法運用模糊綜合評價原理計算出層次的單排序和總排序，從而確定最后的評價結(jié)果，使得計算的準確性大大提高。

（三）定性和定量分析方法的對比分析

與風險因素分析法和特爾斐法兩種定性分析方法相比，模糊綜合評價法、模糊熵法和模糊層次分析法三種定量分析方法在分析風險因素的影響程度時更全面、詳細、具體，評估固有風險的水平時也更為客觀、準確，受審計人員的主觀影響程度更低，是一種適應(yīng)性很強的決策方法。但是，這些方法操作起來比較麻煩，實際應(yīng)用中會受到成本、客戶的客觀條件等因素的限制，如果所審計項目固有風險的影響因素比較穩(wěn)定，規(guī)模較大的情況下，還是比較好的方法。

二、模糊數(shù)學(xué)在固有風險評估中的運用

（一）模糊綜合評價法

1.模糊綜合評價法的基本原理

設(shè)U={u1，u2，…，um}為刻畫被評價對象的m種因素，V={v1，v2，…，vn}為刻畫每一因素所處狀態(tài)的n種決斷。這里存在兩類模糊集，以主管賦權(quán)為例，一類是標志因素集U中諸元在人們心中的重要程度，表現(xiàn)為因素集U上的模糊權(quán)重向量A=（a1，a2，…，an）；另一類是U×V上的模糊關(guān)系，表現(xiàn)為m×n模糊矩陣R，這兩類模糊集都是人們價值觀念或偏好結(jié)構(gòu)的反映。再對這兩類集施加某種模糊運算，便得到V上的一個模糊子集B=（b1，b2，…，bn）。因此，模糊綜合評價是尋找模糊權(quán)重向量A=（a1，a2，…，an）∈F（V），據(jù)此構(gòu)造模糊矩陣R=[rij]m×n∈F（U×V），其中rij表示因素ui具有評語vj的程度，進而求出模糊綜合評價B=（b1，b2，…，bn）∈F（V），其中bj表示被評價對象具有評語vj的程度，即vj對模糊集B的隸屬度。由此可見，模糊綜合評價的數(shù)學(xué)模型涉及三個要素：因素集U={u1，u2，…，um}；決斷集V={v1，v2，…，vn}；單因素判斷f：UF（V），uif（ui）=（ri1，ri2，…，rin）∈F（V）。由f可誘導(dǎo)模糊關(guān)系Rf∈F（U×V），其中Rf（ui，vj）=f（ui）（vj）=rij，而由Rf可構(gòu)成模糊矩陣：

R=

2.模糊綜合評價法在固有風險評估中的運用

第一步：確定固有風險的影響因素。

不論是在制度基礎(chǔ)審計方法下，還是在風險導(dǎo)向?qū)徲嫹椒ㄏ?，固有風險的影響因素都相差不大?？偟膩碚f，固有風險的影響因素主要分為：被審計單位的行業(yè)環(huán)境（U1）、被審計單位的業(yè)務(wù)性質(zhì)（U2）、被審計單位財會人員的品行和能力（U3）、被審計單位管理人員遭受的異常變動（U4）、被審計單位財會人員的變動情況（U5）、容易產(chǎn)生錯漏報的財務(wù)報表項目（U6）、重要的業(yè)務(wù)或事項的復(fù)雜程度（U7）、需要運用估計和判斷的財務(wù)報表項目（U8）、易遭受損失或被盜用的資產(chǎn)（U9）、會計期間特別是會計期末發(fā)生的異常復(fù)雜業(yè)務(wù)（U10）、難以審查的賬戶或交易（U11），這些影響因素組成了模糊綜合評價的指標體系。

第二步：依據(jù)第一步中的影響因素構(gòu)建因素集、評語集（即決斷集）。

因素集：U={U1，U2，…，U11}

評語集：V={V1，V2，V3，V4，V5}，可以分別代表{高，較高，中等，較低，低}

第三步：確定權(quán)重集。

在評價指標中，每個指標相對其上一級指標的重要程度即為權(quán)重。一般可以采用相對比較法、層次分析法、特爾斐法、連環(huán)比率法等確定指標權(quán)重。

各個因素對應(yīng)的權(quán)重集為：A={a1，a2，…，a11}，且ai=1

第四步：通過各因素模糊評價獲得模糊綜合評價矩陣。

各因素的模糊評價是從一個因素的角度出發(fā)進行評價，以確定評價對象對評價集V的隸屬程度。

其中，rij（i=1，2，…，n；j=1，2，…，5）為隸屬度，即第i個因素隸屬于第j個評價等級的程度。

第五步：利用合適的模糊乘法算子①將R與A合成，得到最終的模糊綜合評價結(jié)果B。

B=A?R

還要對B進行歸一化處理，即令Bi=Bi÷（B1+B2+B3+B4+B5）

第六步：分析評價結(jié)果。

隸屬向量（B1，B2，B3，B4，B5）即為模糊綜合評價法確定的綜合評價結(jié)果，它直接反映了各評級指標隸屬的評語等級。根據(jù)最大隸屬度法，若Vi=max（B1，B2，B3，B4，B5），則評價結(jié)果為Vi。

（二）模糊熵法

1.模糊熵的基本原理

1947年德拉卡把“熵”推廣到模糊情形，即模糊集的熵?？紤]一個系統(tǒng)的n個狀態(tài)e1，e2，…，en，它們各自的概率分別為：p1，p2，…，pn，則把這個系統(tǒng)的熵定義為：H（p1，p2，…，pn）=- pilnpi

下面給定一個模糊集A，并用向量表示為：

A=（μA（x1），μA（x2），…，μA（xn））

命πA（xi）=μA（x1）/μA（Xi）

則定義：

H（πA（x1），πA（x2），…，πA（xn））=（-1/ln（n））×（Xi）ln（πA（xi））（i=1，2，…，n） （1）

2.模糊熵在固有風險評估中的運用

模糊熵在固有風險評估中的應(yīng)用只是用來計算模糊集中每個元素的模糊熵，利用每個元素的模糊熵進行再計算得出來的數(shù)據(jù)就組成了模糊集的權(quán)數(shù)矩陣W。其基本步驟和模糊綜合評價法一樣，即根據(jù)評價要求構(gòu)造模糊集、決斷集，然后對各風險因素進行單獨評價建立模糊綜合評價矩陣R。模糊綜合評價矩陣由各指標對各固有風險可能最終值的支持程度定量化的結(jié)果組成。不同的是模糊熵法是根據(jù)模糊綜合評價矩陣R，使用模糊熵的計算公式確定各個指標的權(quán)數(shù)，最后和模糊綜合評價法第五步一樣，利用合適的模糊算子將模糊集的權(quán)數(shù)矩陣W與模糊綜合評價矩陣R合成得出評價結(jié)果，所以本文只介紹利用模糊熵計算各指標權(quán)重這一步驟。

計算步驟：

根據(jù)模糊綜合評價法第四步中建立的模糊綜合評價矩陣R，利用公式（1），計算第i個指標的模糊熵ei。

再計算差異性系數(shù)gi，gi=1-ei

最后利用公式Wi=gi/gi（i=1，2，…，n）計算各個因素的權(quán)數(shù)Wi，各因素的權(quán)數(shù)Wi構(gòu)成權(quán)數(shù)矩陣W。

（三）模糊層次分析法（簡稱Fuzzy AHP）

1.模糊層次分析法的基本原理

（1）三角模糊數(shù)的定義

記F（R）為R上的全體模糊集，設(shè)M∈F（R）。

M的隸屬函數(shù)μM：R[0，1]定義如下：

μM （x ）=x/（m-l）-l/（m-l），x∈[l，m]

x/（m-u）-u/（m-u），x∈[m，u]

0， 其他 （2）

式（2）中l(wèi)≤m≤u，l和u分別表示M所支撐的下界和上界，m為M的中值，稱M為三角模糊數(shù)。一般地，三角模糊數(shù)M可記為（l，m，u）。l，u表示了判斷的模糊程度，（u-l）越大表示模糊程度越高。

如果M1=（l1，m1，u1），M2=（l2，m2，u2），則下列三角模糊數(shù)M的運算法則成立：

（l1，m1，u1） [+]（l2，m2，u2）=（l1+l2，m1+m2，u1+u2） （3）

（l1，m1，u1） [×]（l2，m2，u2）=（l1l2，m1m2，u1u2） （4）

λ∈R，λM=λ（l，m，u）=（λl，λm，λu） （5）

（l，m，u）-1≈

，

， （6）

（2）層次排序的定理

M1≥M2的可能性程度定義為：

V（M1≥M2）=1， m1≥m2

，m1

0， 其他

（7）

由三角模糊數(shù)組成的模糊判斷矩陣A，記為A=（aij）m×n，aij=[lij，mij，uij]。

模糊矩陣A為正反矩陣，即aji=aij-1=

，

，

（3）計算模糊綜合程度值

a=（l，m，u），其中：i，j=1，2，…，nk；t=1，2，…當有T位專家進行判斷時，aij為綜合三角模糊數(shù)，T為第t個專家給出的三角模糊數(shù)，據(jù)公式（8）求得第k層的綜合三角模糊數(shù)，由此得到k層全體因素對第k-1層第h個因素的綜合模糊矩陣。再據(jù)公式（9）求出模糊集s，s，…，s，它們分別刻畫了第k層各個因素相對于第k-1層第h個因素的模糊綜合程度。

M= [+]（a+a+…+a） （8）

S=M [×]（M）-1，i=1，2，…，nk （9）

利用公式（7）計算層次的單排序，經(jīng)歸一化處理后得：

P=（P，P，…，P）T （10）

表示第k層上各因素對第k-1層上第h個因素的單排序。

（4）層次總排序

如果k-1層對總目標的排序權(quán)重向量為：Wk-1=（W，W，…，W）T，那么第k層上全體元素對總目標的合成排序W由下式給出：

Wk=（W，W，…，W）=PkWk-1 （11）

（5）計算固有風險的綜合評估值

Z=Wfiai （12）

其中，i為固有風險影響因素的個數(shù)，ai為固有風險在第i項指標上的三角模糊數(shù)，Wfi為第i項指標的層次總排序值，即權(quán)重。

2.模糊層次分析法在固有風險評估中的應(yīng)用

第一步：根據(jù)問題的總目標，建立固有風險的指標評價體系（詳見圖1）。

第二步：建立模糊判斷矩陣。

由專家對固有風險的指標評價體系中的元素進行兩兩比較，并采用三角模糊數(shù)定量表示，其中三角模糊數(shù)的打出可參考AHP的1-9標度打分原則。如果多名專家進行決策，則利用公式（8）計算評級指標的綜合三角模糊數(shù)，從而得到三個模糊判斷矩陣A，A1，A2。

第三步：計算模糊綜合重要程度值。

根據(jù)模糊判斷矩陣A，A1，A2，利用公式（9）計算出每層每個元素的模糊綜合重要程度值。由矩陣A，A1，A2得出的模糊綜合重要程度值分別為：S1，S2，S11，S12，S13，S14，S15，S21，S22，S23，S24，S25，S26。

第四步：進行層次單排序。

根據(jù)每個元素的模糊綜合重要程度值，利用公式（7）分別求出每層各元素重于其他元素的可能程度P，再將由P組成的向量W'進行歸一化處理，便得到權(quán)重向量W，即層次的單排序，分別為：V（U1），V（U2），V（U11），V（U12），V（U13），V（U14），V（U15），V（U21），V（U22），V（U23），V（U24），V（U25），V（U26）。得到各層的權(quán)重向量分別為：

W=（V（U1），V（U2））

W1=（V（U11），V（U12），V（U13），

V（U14），V（U15））

W2=（V（U21），V（U22），V（U23），

V（U24），V（U25），V（U26））

第五步：層次總排序。

根據(jù)已求出的層次單排序及其各自的權(quán)重向量，利用公式（11）求出層次的總排序，即Wfi（i=1，2，…，11）。

第六步：計算固有風險的綜合評估值。

由專家對某一項審計項目的固有風險的各評價指標進行評估打分，給出每項因素的三角模糊數(shù)ai。根據(jù)層次的總排序向量Wfi和ai，利用公式（12）計算出固有風險的綜合評估值Z。

審計的風險評估范文第5篇

【關(guān)鍵詞】網(wǎng)絡(luò) 安全風險 評估 關(guān)鍵技術(shù)

結(jié)合我國近年來的互聯(lián)網(wǎng)應(yīng)用經(jīng)驗可知，用戶的互聯(lián)網(wǎng)使用過程很容易受到惡意軟件、病毒及黑客的干擾。這種干擾作用可能引發(fā)用戶重要數(shù)據(jù)信息的丟失，為用戶帶來一定的經(jīng)濟損失。因此，利用綜合評估技術(shù)、定性評估技術(shù)等開展網(wǎng)絡(luò)安全風險評估具有一定的現(xiàn)實意義。

1 常見的網(wǎng)絡(luò)攻擊手段

目前較為常見的網(wǎng)絡(luò)攻擊手段主要包含以下幾種：

1.1 IP欺騙攻擊手段

這種攻擊手段是指，不法分子利用偽裝網(wǎng)絡(luò)主機的方式，將主機的IP地址信息復(fù)制并記錄下來，然后為用戶提供虛假的網(wǎng)絡(luò)認證，以獲得返回報文，干擾用戶使用計算機網(wǎng)絡(luò)。這種攻擊手段的危害性主要體現(xiàn)在：在不法分子獲得返回報文之前，用戶可能無法感知網(wǎng)絡(luò)環(huán)境存在的危險性。

1.2 口令攻擊手段

口令攻擊手段是指，黑客實現(xiàn)選定攻擊主機目標之后，通過字典開展測試，將攻擊對象的網(wǎng)絡(luò)口令破解出來?？诹罟羰侄文軌虺晒?yīng)用的原因在于：黑客在利用錯誤口令測試用戶UNIX系統(tǒng)網(wǎng)絡(luò)的過程中，該系統(tǒng)網(wǎng)絡(luò)不會對向用戶發(fā)出提示信息。這種特點為黑客破解網(wǎng)絡(luò)口令的過程提供了充裕的時間。當黑客成功破解出網(wǎng)絡(luò)口令之后，可以利用Telnet等工具，將用戶主機中處于加密狀態(tài)的數(shù)據(jù)信息破解出來，進而實現(xiàn)自身的盜取或損壞數(shù)據(jù)信息目的。

1.3 數(shù)據(jù)劫持攻擊手段

在網(wǎng)絡(luò)運行過程中，不法分子會將數(shù)據(jù)劫持攻擊方式應(yīng)用在用戶傳輸信息的過程中，獲得用戶密碼信息，進而引發(fā)網(wǎng)絡(luò)陷入癱瘓故障。與其他攻擊手段相比，數(shù)據(jù)劫持攻擊手段產(chǎn)生的危害相對較大。當出現(xiàn)這種問題之后，用戶需要花費較長的時間才能恢復(fù)到正常的網(wǎng)絡(luò)狀態(tài)。

2 網(wǎng)絡(luò)安全風險評估關(guān)鍵技術(shù)類型

網(wǎng)絡(luò)安全風險評估關(guān)鍵技術(shù)主要包含以下幾種：

2.1 綜合評估技術(shù)

綜合評估技術(shù)是指，在對網(wǎng)絡(luò)安全風險進行定性評估的同時，結(jié)合定量評估的方式提升網(wǎng)絡(luò)安全風險評估的準確性。

2.2 定性評估技術(shù)

定性評估技術(shù)向網(wǎng)絡(luò)安全風險評估中滲透的原理為：通過推導(dǎo)演繹理論分析網(wǎng)絡(luò)安全狀態(tài)，借助德爾菲法判斷網(wǎng)絡(luò)中是否存在風險以及風險的類型。這種評估技術(shù)是我國當前網(wǎng)絡(luò)安全評估中的常用技術(shù)之一。

2.3 定量評估技術(shù)

這種評估方式的評估作用是通過嫡權(quán)系數(shù)法產(chǎn)生的。定量評估技術(shù)的評估流程較為簡單，但在實際的網(wǎng)絡(luò)安全風險評估過程中，某些安全風險無法通過相關(guān)方式進行量化處理。

3 網(wǎng)絡(luò)安全風險評估關(guān)鍵技術(shù)的滲透

這里分別從以下幾方面入手，對網(wǎng)絡(luò)安全風險評估關(guān)鍵技術(shù)的滲透進行分析和研究：

3.1 綜合評估技術(shù)方面

結(jié)合我國目前的網(wǎng)絡(luò)使用現(xiàn)狀可知，多種因素都有可能引發(fā)網(wǎng)絡(luò)出現(xiàn)安全風險。在這種情況下，網(wǎng)絡(luò)使用過程中可能同時存在多種不同的風險。為了保證網(wǎng)絡(luò)中存在的安全風險能夠被全部識別出來，應(yīng)該將綜合評估技術(shù)應(yīng)用在網(wǎng)絡(luò)安全風險的評估過程中。在眾多綜合評估技術(shù)中，層次分析法的應(yīng)用效果相對較好。評估人員可以將引發(fā)風險的因素及功能作為參照依據(jù)，將既有網(wǎng)絡(luò)風險安全隱患分成不同的層次。當上述工作完成之后，需要在各個層次的網(wǎng)絡(luò)安全風險之間建立出一個完善的多層次遞接結(jié)構(gòu)。以該結(jié)構(gòu)為依據(jù)，對同一層次中處于相鄰關(guān)系的風險因素全部進行排序。根據(jù)每個層次風險因素的順序關(guān)系，依次計算網(wǎng)絡(luò)安全風險的權(quán)值。同時，結(jié)合預(yù)設(shè)的網(wǎng)絡(luò)安全風險評估目標合成權(quán)重參數(shù)，進而完成對網(wǎng)絡(luò)安全風險評估的正確判斷。

3.2 定性評估技術(shù)方面

定性評估技術(shù)的具體評估分析流程主要包含以下幾個步驟：

3.2.1 數(shù)據(jù)查詢步驟

該步驟是通過匿名方式完成的。

3.2.2 數(shù)據(jù)分析步驟

為了保證網(wǎng)絡(luò)安全風險評估結(jié)果的準確性，定性評估技術(shù)在數(shù)據(jù)分析環(huán)節(jié)通過多次征詢操作及反饋操作，分析并驗證網(wǎng)絡(luò)安全風險的相關(guān)數(shù)據(jù)。

3.2.3 可疑數(shù)據(jù)剔除步驟

網(wǎng)絡(luò)安全風險具有不可預(yù)測性特點。在多種因素的影響下，通過背對背通信方式獲得的網(wǎng)絡(luò)安全風險數(shù)據(jù)中可能存在一些可疑數(shù)據(jù)。為了避免這類數(shù)據(jù)對最終的網(wǎng)絡(luò)安全風險評估結(jié)果產(chǎn)生干擾作用，需要在合理分析網(wǎng)絡(luò)安全現(xiàn)狀的情況下，將可疑數(shù)據(jù)從待分析數(shù)據(jù)中剔除。

3.2.4 數(shù)據(jù)處理及取樣步驟

通過背對背通信法獲得的數(shù)據(jù)數(shù)量相對較多，當數(shù)據(jù)處理工作完成之后，可以通過隨機取樣等方法，從大量網(wǎng)絡(luò)安全風險數(shù)據(jù)中選出一部分數(shù)據(jù)，供給后續(xù)評估分析環(huán)節(jié)應(yīng)用。

3.2.5 累計比例計算及風險因素判斷步驟

累計比例是風險因素判斷的重要參考依據(jù)。因此，評估人員應(yīng)該保證所計算累計比例的準確性。

3.2.6 安全系數(shù)評估步驟

在這個步驟中，評估人員需要根據(jù)前些步驟中的具體情況，將評估對象網(wǎng)絡(luò)的安全風險系數(shù)確定出來。

與其他評估技術(shù)相比，定性評估技術(shù)的評估流程較為復(fù)雜。但所得評估結(jié)果相對較為準確。

3.3 定量評估技術(shù)方面

這種評估技術(shù)的評估原理為：通過嫡權(quán)系數(shù)法將評估對象網(wǎng)絡(luò)的安全數(shù)據(jù)參數(shù)權(quán)重計算出來。這種評估方法的應(yīng)用優(yōu)勢在于：能夠度量網(wǎng)絡(luò)系統(tǒng)中的不確定因素，將網(wǎng)絡(luò)安全風險量化成具體數(shù)值的形式，為用戶提供網(wǎng)絡(luò)安全狀態(tài)的判斷。

4 結(jié)論

目前用戶運用互聯(lián)網(wǎng)的過程主要受到數(shù)據(jù)劫持攻擊、口令攻擊、IP欺騙攻擊等手段的干擾。對于用戶而言，網(wǎng)絡(luò)安全風險的存在為其正常使用帶來了一定的安全隱患。當隱患爆發(fā)時，用戶可能會面臨極大的經(jīng)濟損失。這種現(xiàn)象在企業(yè)用戶中有著更為明顯的體現(xiàn)。為了改善這種現(xiàn)象，促進互聯(lián)網(wǎng)應(yīng)用的正常發(fā)展，應(yīng)該將定量評估技術(shù)、定性評估技術(shù)以及綜合評估技術(shù)等，逐漸滲透在網(wǎng)絡(luò)安全風險評估工作中。用戶除了需要通過防火墻、病毒r截軟件等工具改善網(wǎng)絡(luò)環(huán)境之外，還應(yīng)該加強對網(wǎng)絡(luò)安全風險評估的重視。當獲得網(wǎng)絡(luò)安全風險評估結(jié)束之后，應(yīng)該需要通過對評估資料的分析，有針對性地優(yōu)化自身的網(wǎng)絡(luò)系統(tǒng)，降低數(shù)據(jù)丟失或損壞等惡性事件的發(fā)生概率。

參考文獻

[1]陳雷.網(wǎng)絡(luò)安全態(tài)勢評估與預(yù)測關(guān)鍵技術(shù)研究[D].鄭州：信息工程大學(xué)，2015.

[2]李靖.網(wǎng)絡(luò)安全風險評估關(guān)鍵技術(shù)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014（05）：82-84.

[3]覃宗炎.網(wǎng)絡(luò)安全風險評估關(guān)鍵技術(shù)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014（04）：168-170.

[4]毛捍東.基于邏輯滲透圖模型的網(wǎng)絡(luò)安全風險評估方法研究[D].北京：國防科學(xué)技術(shù)大學(xué)，2008.

[5]宣蕾.網(wǎng)絡(luò)安全定量風險評估及預(yù)測技術(shù)研究[D].北京：國防科學(xué)技術(shù)大學(xué)，2007.