审计的风险评估
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇审计的风险评估范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
审计的风险评估范文第1篇
doi:10.3969/j.issn.1673-0194.2009.18.017
[中图分类号] F239
[文献标识码] A
[文章编号] 1673-0194(2009)18-0050-03
一、战略风险与战略审计解析
战略风险是一种综合性风险,所有对企业价值或发展路径产生重大影响的事件或趋势,都可谓企业的战略风险。其影响因素可能来自于外部,如自然灾害和经济危机;也可能源自于内部,如企业转型和盲目并购。
基于风险控制的战略审计是将企业置于一个大的经济环境中,运用立体观察的理论来判断影响因素,从企业所处的经济环境、经营方式、管理机制等方面来评估企业战略制定、实施过程的科学合理性,并把被审计单位的战略风险评估纳入审计程序中去。
二、战略审计实施中的风险评估探索
在实施战略风险评估中,审计人员需要对初步识别出的风险点进行进一步的综合评估,从而对企业战略管理过程中的风险状况做出合理、准确的判断,并参考其他审计内容的有关因素和对战略风险的影响程度,对审计结果做出调整。
对战略风险的评估可采用单体风险评分法。其中,固有风险是假设企业没有对这一风险进行管控所面临的状态,固有风险越高说明这项工作的重要性越高。剩余风险是结合了企业的管控有效性之后所面临的风险,也就是企业实际的状况。固有风险和剩余风险的概念差体现的就是企业的管理水平。单一风险评分法分别对固有风险、剩余风险打分,以各自的评分维度作为打分标准。分为5个等级:很高(5分)、高(4分)、中(3分)、低(2分)、很低(1分)。固有风险、剩余风险内各个维度的评分结束后,将得分加权平均,可得固有风险及剩余风险的总评分。
(一) 固有风险及剩余风险的评分维度剖析
对于固有风险的个别维度不适用的情况,直接在“很低”一栏填写“不适用”即可;剩余风险不存在“不适用”的打分,若是个别维度体现不明显,则直接选择“很低”。评级尽可能先做定量判断;在很难定量的情况下,再进行定性判断。固有风险及剩余风险的评分维度如表1、表2所示。
对固有风险评分表的分析:
(1)财务影响。该维度是假设没有管控或管控不力的情况下,近一年该战略风险对公司净利润或现金流量的直接影响。财务影响的分级数据可利用公司年度税后净利润或现金流量乘以重要性水平得到。
(2)声誉。该维度是假设没有管控或管控不力的情况下,战略风险导致的后果所引发的社会责任以及对公司声誉的影响程度。其可从负面消息流传的范围及关注程度考虑,“很高”,是在世界范围流传;“很低”,是在企业内部流传;“中”是在全国流传。
(3)合法合规性。该维度是假设没有管控或管控不力的情况下,公司违反相关法规的程度或金额。可从两个方面考虑:一方面是违规的程度,反映在调查机关的级别高低上,“很高”是引起中央机关的调查,“中”是导致地方政府的调查,“很低”是轻微的违反法律法规;另一方面是引起诉讼和罚款的金额。
(4)客户。该维度是假设没有管控或管控不力的情况下,与公司的销售终端——客户的关系受影响的程度,可用客户的订单量为参考依据。“很高”是客户停止采购或取消80%以上订单;“高”是客户寻找其他供应商或取消部分订单;“中”是对客户订单基本无影响,但未来的业务发展受到限制;“低”是有部分投诉或发生补救费用;“很低”是对客户影响很小,仅发生最少的投诉及补救费用。
(5)员工的流失。该维度是假设在不对该风险进行管控的情况下公司全体员工的流失程度。可从两方面进行评价:一是关键员工的流失比率;二是普通员工的流失比率。员工流失的越多,级别越高。
(6)运营。该维度结合了对企业整体业务影响的时间、人力、成本等定量指标,即指挽回对运营造成的影响所需付出的成本、人力等。从“很高”到“很低”,对企业的业务的影响程度依次是:影响重大业务能力、影响部分业务能力、影响日常运作、有一定影响但不影响日常运作、影响微弱等,无法定量判断时就采用定性判断。
(7)其他利益相关者。这里是指除了客户和员工以外的利益相关者,如股东和社会机构。其反映为对企业股价的影响,可以用消息是否外传或公布来帮助理解。“很高”到“很低”依次对应:股价连续大幅震荡、股价数日大幅震荡、股价非正常震荡、股价单日涨(跌)停、不会实质性导致股票波动。
(8)发作速度。该维度假设在没有管控或管控不力的情况下,从隐性不利迹象到风险导致实质损失的时间、非常迅速到很少或没有预警时间。“很高”到“很低”依次对应:在一到几天以内就发作、经过数天到数周才发作、潜伏期已达数月、潜伏期在数月以上到数年。
对剩余风险评分表的分析:
(1)响应速度。该维度衡量风险事件发生以后企业采取补救措施的速度,响应速度越快风险越低。
(2)控制效果和效率:控制/整改。该维度衡量风险事件发生之后企业是否针对原有流程进行优化与整改:“很高”是没有整改计划,“高”是计划不完善,“中”是有计划但没有例行测试,“低”是有计划有定期测试,“很低”是将计划和测试嵌入企业的整个流程,作为部门的长效管理机制。
(3)控制效果和效率:监测和报告。该维度衡量有关风险的报告,“很高”和“高”的差别是有没有分析风险,有没有报告;“高”和“中”的差别是有没有识别风险源头,是口头报告还是正式报告;“中”和“低”的差别是有没有报告的时间表;“低”和“很低”的差别是有没有风险指标。
(4)近一年的风险数据:违规成本或造成的损失。该维度衡量近一年内该风险发生造成的实际损失的相关数据。
(5)风险管理能力:人/技能/知识。该维度考虑两个方面:一是员工本身的管理战略风险的意识和能力;二是员工获取外部资源的途径是否充分,即有助于战略风险管理的渠道、信息、管理方法、管理模型等。员工的风险管理能力越强、能够获取的外部资源越多风险越低。
(6)风险管理能力:第三方。该维度衡量企业在进行战略风险管理时与第三方的关系。对第三方的依赖程度越高,风险越高。第三方包括:客户、商、供应商。
(7)风险管理能力:流程。对流程的影响是指改变流程的走向。主要看对关键流程的影响:影响多个关键流程对应“很高”;影响一个关键流程对应“高”;对关键流程没有影响对应“中”。
(8)风险管理能力:系统/数据/信息系统/安全。该维度衡量对企业关键信息系统的依赖和影响程度。依赖和影响的程度越大,风险程度就越高。如果信息系统出现问题,考虑是否能够由手工替代,若完全无法替代,则剩余风险较高。
(9)扩张或收缩。该维度是指未来12个月或更长的时间内管理这个风险的业务、人员、流程和系统发生变革的程度。发生变革的程度越大,则剩余风险越高。
(二)战略风险分布图评估
通过对识别出的各个战略风险的评分,我们可以得到有关单体风险的一个分值(X,Y),固有风险一个分
数(X)、剩余风险一个分数(Y),据此可以得到四象限矩阵的战略风险分布图,如图1所示。
战略风险分布图清晰地展示了企业目前面临的战略风险的现状,固有风险展示的是战略风险原生态的状况,是该战略风险的重要性的体现;剩余风险展示的是管理层施加管理控制措施后的风险水平,其实质上反映了企业的管控水平及能力。战略风险分布图可以让管理层一目了然地了解到战略管理中存在的问题,即哪些程序、哪些环节仍需进一步的调整与控制。
战略风险分布图已成为审计人员提出审计意见及改进建议的依据。针对第一象限的战略风险(双高风险),审计人员应建议管理层改善现有的管理措施,提升业务流程及人员的管理水平,加强对该风险事件的监测与控制;针对第二象限内的战略风险(固有风险高,剩余风险低),表明企业针对重大风险事件所采取的管理措施是行之有效的,但仍需继续关注,建议管理层定期评审相关流程的内部控制执行效力;针对第三象限内的战略风险(双低风险),审计人员应建议管理层重新部署有限的管理资源,将人力、时间投入到需要管控的其他流程上;针对位于第四象限的战略风险(固有风险低,剩余风险高),因其剩余风险是风险事件长期积累的结果,审计人员应进一步测量该风险的累积影响。
三、结束语
本文将战略风险管理与企业战略审计有机地融合,通过对基于风险控制的战略审计评估技术的探讨,并融合企业环环相扣的战略管理活动,使其真正能够起到改善并控制企业战略风险的功效,以此促进我国审计事业的良性发展。同时,基于风险控制的战略审计评估能促使企业内部控制系统不断实施、执行、评价和完善,趋于持续动态改进。
主要参考文献
审计的风险评估范文第2篇
一、现代风险导向审计与洗钱风险评估
(一)现代风险导向审计 审计的目标是对财务报表不存在由于错误或舞弊导致的重大错报获得合理保证,其审计方法,即现代风险导向审计是当今主流的审计方法,要求审计人员从宏观上了解被审计单位及其环境,充分识别和评估财务报表重大错报风险,针对评估的重大错报风险设计和实施控制测试与实质性测试程序 ,并根据审计结果出具恰当的审计报告。现代风险导向审计基于战略层面和经营层面进行分析,可以克服因缺乏全局观而导致的审计失败风险,其不仅关注到上市公司经营风险对会计报表的影响,还把上市公司管理层对其影响因素考虑在内,同时相应减少了审计资源在实质性测试方面的分配,节省审计成本。
(二)金融机构洗钱风险评估 2012年2月,金融行动特别工作组的“40项建议”重点突出风险为本反洗钱工作方法,主要体现在根据洗钱、恐怖融资等非法活动的风险高低,合理配置相应的资源,采取相应的控制措施,既包括对洗钱风险的评估,还包括依据风险评估结果对高风险领域采取强化措施。洗钱风险评估主要体现在三个方面的运用:一是FATF及有关机构对国家整体洗钱风险进行评估;二是反洗钱监管部门对金融机构洗钱风险进行评估;三是金融机构对客户洗钱风险进行评估。须注意的是,金融机构洗钱风险评估与金融机构反洗钱工作评估不同,洗钱风险评估是指对金融机构被利用洗钱,即洗钱风险高低进行评价,侧重于预防洗钱风险能力方面;反洗钱工作评估是指对金融机构的反洗钱工作情况进行评价,是一种类似于绩效考核的评价模式。两者在评价指标设计及方法上有所不同,如被评估机构工作(调研)受到表彰、认可或表扬,协助破获了洗钱及上游犯罪案件,提供了有价值的可疑交易线索,在洗钱风险评估中只作为评估取证的来源之一,在反洗钱工作评估中则作为对工作认可的绩效评价指标之一。本文从监管角度探讨对金融机构洗钱风险的评估。
金融机构对客户的洗钱风险评估,是金融机构了解客户基本信息的基础上,分析客户资金交易的金额、频率和方式等特征,继而确定风险等级。监管部门对金融机构洗钱风险评估,是监管部门或受监管部门委托的有关机构,对金融机构的客户身份识别、交易记录保存、客户风险等级划分及可疑交易报告制度的有效性进行分析,确定金融机构在内控管理、业务流程、人员履职等方面对其洗钱风险的影响。
(三)现代风险导向与金融机构洗钱风险评估的异同 具体运用中,两者均采用抽样评价方法,取证手段也相同(如询问、查阅、检查等方式),评估流程也类同。财务报表审计流程大致分三个阶段,即承接业务阶段的内外部风险评估,分析被审计单位高管层压力、机会和借口等因素所引发的舞弊或错报风险;风险初步评估阶段,了解评价被审计单位环境、内控制度情况;进一步审计程序阶段,控制测试和实质性测试(对被审计单位各类交易、账户余额和披露的细节测试以及实质性分析程序)。后续审计程序根据前阶段的风险评估结果确定,当后续审计程序获取的审计证据与初始评估获取的审计证据相矛盾时,可以修正风险评估结果,并相应修改原计划实施的进一步审计程序。审计风险评估的目的是根据风险,确定进一步审计程序的性质、范围和时间安排,其目的在于内控风险较高时,更多的控制测试和实质性测试能推断被审计单位的错报或舞弊行为,继而获取被审计单位错报或舞弊对财务报表的影响程度。洗钱风险评估与此类似,一是了解金融机构固有风险阶段,与承接审计业务阶段内外部风险评估阶段相似,需了解金融机构所面临的宏观经济状况,所在行业的洗钱风险及经营状况对洗钱风险的影响。二是初步评估阶段,与审计风险初步评估阶段相似,对金融机构反洗钱工作的环境、内控制度执行情况进行评估。三是深入评估阶段,与进一步审计程序阶段相似,对金融机构的反洗钱内控制度有效性和可疑交易分析报告工作的及时性和有效性进行分析评价。洗钱风险评估过程中,可以在了解金融机构固有风险的基础上,确定初步评估的范围,再根据初步评估的结果,指导深入评估的时间、范围和方法,包括对金融机构进行一次初步评估和一次深入评估,也包括根据评估结果,采取现场检查、约见谈话、现场走访等后续监管措施。
不同之处在于:一是业务性质不同。风险导向审计是对财务报表不存在由于错误或舞弊导致的重大错报获得合理保证;金融机构洗钱风险评估是对金融机构洗钱风险的高低作出评价。二是评价内容不同。前者是对被审计单位的外部环境、内部环境、内控制度,特别是对会计报表及账务处理的准确性及真实性进行评价,具有经济评价性质,较为复杂;后者是对被评估单位反洗钱相关的环境、内控制度及可疑交易分析能力进行评价,具有单一性风险评价性质,较为简单。三是法律责任不同。审计主体对审计报告具有强制性报告义务,并对出具的审计报告承担法律责任;洗钱风险评估是对风险进行判断,不具有强制性报告义务,较少承担法律责任。四是委托责任不同。前者是注册会计师事务所接受有关信息使用者的委托,对被审计单位进行审计,信息使用者包括政府、股东及投资者等相关人员;后者主要是评估主体接受政府部门委托,根据最新风险状况对被评估机构洗钱风险进行评估。
二、审计风险评价体系对洗钱风险评价体系的借鉴
层次分析法是美国运筹学家T.L.Saaty于20世纪70年代初提出的一种决策分析方法,基本原理是:把一个复杂的决策问题视为一个系统,按总目标、子目标、评价因素的顺序进行逐步分解,构建层次结构,然后通过模糊量化确定各元素对于上层指标的重要性,以此递推到总目标层,从而为最终的决策问题提供较为科学的定量依据。目前的洗钱风险评估方法为层次分析评价方法,该方法将整体风险分解成一套评估指标体系,通过采用分级细化、确定指标分值权重、逐级加减汇总的方式,确定总体水平。如我国试行的金融机构反洗钱风险评估标准中,将风险指标划分为环境、产品/客户、控制、沟通和调整五类一级指标,通过对各类指标中的标准评价得分汇总得出整体风险。该方法优点在于,整体风险或工作情况受多个控制点、事项或交易的影响,各指标的汇总得分情况能较好反映整体水平,其在工作绩效考核运用中的优势尤其明显。
审计风险值的确定方法与上不同,是在确定各类风险值(或风险高低)的基础上,对各类风险值进行数值乘算(或选用“高”、“中”、“低”等文字的定性描述),并通过矩阵表的方式计算确定风险,本文将此方法描述为矩阵评价方法。审计风险值具体确定方法为,审计风险=重大错报风险×检查风险(实务中,注册会计师不一定用绝对数量表示风险水平,还可以选用“高”、“中”、“低”等文字描述,即审计风险值可通过数值乘算,也可以定性确定),其中,检查风险取决于审计程序设计的合理性和执行的有效性,可以通过职责分配、提供针对性审计计划等方式解决。重大错报风险包括固有风险和控制风险,评估时可以单独对固有风险和控制风险进行评估,也可以合并进行评估。国内有关学者采用矩阵方式评价风险,如对洗钱风险值的评价方法为,洗钱风险=固有风险×内控风险,其中,固有风险包括:国家/地域风险、产品/服务风险、客户风险;内控风险主要是指反洗钱内控制度及执行风险。如反洗钱风险管理的评估方法为:反洗钱风险=原本风险×管控风险×监管风险。与反洗钱风险管理的评估方法相似,金融机构洗钱风险水平受以下四个方面的因素影响:国家经济,所在行业、地域环境;反洗钱内控制度与内部环境;金融产品、服务及客户本身的洗钱风险水平;可疑交易报告的及时性和有效性。确定金融机构洗钱风险的方法为,金融机构洗钱风险=国家(地域、行业)风险×控制风险×产品(或客户)风险×交易监测风险(与审计风险评估相似,洗钱风险值可通过数值乘算,亦可定性确定)。
矩阵评价方法体现出风险与成本的一种均衡,避免将洗钱风险通过简单汇总各级指标分值的方式进行评价。主要体现在:一是控制成本。风险导向审计理论认为,机构内部行使控制职能的人员素质及控制成本影响控制效果,若实施某项控制成本大于控制效果而发生损失时,就没有必要设置该控制环节或控制措施。洗钱风险评估中,某金融产品被用于洗钱的风险较高,其相关控制风险也较高,但若金融机构的该类金融产品交易量很少,则其整体洗钱风险不能被认定为高风险,投入此部分的评估资源可以相对减少。二是风险项的交叉性影响。即各类风险相互之间的影响,如新客户“职业”登记为“其他或无业”的比例较高,则不能认定客户身份识别制度执行有效。三是不同类别风险对整体风险的影响程度。即当某类风险较高,而其他类风险较低时,须依据各类风险对整体风险的影响程度确定风险等级。金融机构的反洗钱义务在于预防,所有控制措施都是为做好可疑交易的监测、分析和报送服务,若客户身份识别制度和客户风险等级划分制度执行的很好,但监测分析人员的人数配置不够、分析能力不高,可疑交易分析系统的智能化不足,则应认定该单位的洗钱风险水平为高风险。
三、风险导向审计方法在洗钱风险评估方法中的运用
(一)运用抽样评价方法 审计抽样范围受所审计鉴定会计期间的影响,并针对该会计期间各类控制、事项或交易中的部分样本进行评价,通过样本推断总体,如年度财务报表审计,只有在审计报表期初余额,及评价期末、期后事项对报表的影响时,才会跨年度选取样本。洗钱风险评估相对灵活,可以对某一年度的洗钱风险进行抽样评估,也可以针对某类控制、事项或交易的样本扩大至若干个年度进行抽样评估。
(二)依据风险高低扩大或减少样本量 审计实务中,若认为被审计单位控制环境薄弱,则很难认定某一相关流程的控制有效,其实质性测试的样本量会大幅增加(实质性测试包括细节性测试和实质性分析程序,即对会计计量的真实性、准确性、合理性进行审查)。小型机构员工较少,限制了其职责分离的程度,虽然没有文件形式的控制要素,但了解管理层的态度、认识和措施及其控制环境非常重要,应该更多的采取实质性程序。洗钱风险评估可借鉴以上方法,若金融机构的内控风险很高,则其客户身份识别、交易记录保存及客户风险等级划分相关控制点就较难得到有效执行,继而影响异常交易分析识别的及时性和有效性,洗钱风险会加大,此时应扩大对异常交易分析及报告的样本量,确定洗钱风险的高低。
(三)整合取证手段 审计取证方法包括查阅、询问、观察、穿行测试、重新执行、实质性分析程序等方法,具体审计目的不同,取证手段和工作流程也不同。如对收入确认的完整性测试,由原始凭证追查至明细账(从发货部门的发运凭证追查至有关销售发票副本,再到收入明细账),而对收入确认真实性的审计流程与上述流程相反。洗钱风险评估中,如评价金融机构的可疑交易报告是否有遗漏,可以选取部分存量客户,从建立业务关系,到客户风险等级划分,再到可疑交易分析报告的整个流程进行取证;评价可疑交易报告是否合理,则与上述流程相反。在具体方法运用上,主要有以下几种可供借鉴。
一是询问。向金融机构有关员工进行询问,获取与内部控制运行情况相关的信息。如果某项控制要求某一员工(复核人)在文件上签字以证明他复核该份文件,那么应询问其复核的性质,即对什么进行复核,复核的要点是什么,签字复核的意义等等。如个人独资企业、家族企业、合伙企业、存在隐名股东或匿名股东公司的尽职调查难度通常会高于一般公司,应询问此类尽职调查的方法和措施。二是穿行测试。追踪交易报告在业务流程中发生、处理和记录的过程。业务流程中存在多个风险控制点,如客户身份识别措施―身份识别记录―风险等级划分―交易记录保存―可疑交易提取、分析―复核确认―分析报告结论,通过穿行测试,掌握内控薄弱环节,及对整体风险的影响程度。三是重新执行。审计实务中,检查复核人员是否认真执行核对时,不仅应检查是否在相关文件上签字,还应选取一部分凭证如销售发票进行核对。在风险评估中,可以选取部分可疑交易报告,评判可疑交易分析复核的合理性;在可疑交易分析系统及风险等级划分系统(或者是功能模块)中,评估人员从相关系统调取客户身份资料(一般是开户资料)和交易记录,以评价系统设计的合理性。四是实质性分析程序。通过研究数据间关系评价一段期间的交易情况。审计实务中,实质性测试包括对各类交易、账户余额和披露的细节测试以及实质性分析程序(如财务指标的横纵向比较)。在洗钱风险评估中,可以运用到实质性分析程序,如“可疑交易量/同类型交易量”的横纵向比较,“未登记客户职业信息数量/所有客户数量”的横纵向比较;如私人银行业务的投资理财品种和交易金额的变动情况。
四、审计成本控制对洗钱风险评估成本的借鉴
审计实务中,项目审计组基本为一年对一家上市公司财务报表年报进行审计,虽然企业所面临的经济环境和经营复杂程度的不断上升,注册会计师仍会在合理的时间内以合理的成本完成审计工作。风险为本的工作方法与此相同,需要以合理的成本完成洗钱风险评估工作。截至2012年底,我国具有反洗钱报告义务的金融机构共计1599家,以湖北省武汉市为例,该市具有反洗钱报告义务的金融机构共计201家,其中法人机构19家,在市内拥有下属机构的69家,无下属机构(如证券营业部、支付机构等)的113家。可以发现,监管机构与义务主体呈现一对多的现象,同时,洗钱风险评估只是反洗钱监管工作中的一部分。那么实现评估成本的节约和效果的提高,需要考虑评估的目的,继而在评估深度、时间安排及人员配置上作出具体调整。主要有以下三种模式可供综合或单独运用:一是动态风险评估。如每1至2年评估一次,其作用在于实时掌控金融机构的洗钱风险,由于被评估的反洗钱义务主体较多,则对每家机构评估的时间不宜过长。二是周期性评估。如3年及以上评估一次,该模式的假设前提是短期内金融机构的洗钱风险不会发生较大变化,当金融机构较多时,可以分配至各个年度,并采取“深入”评估的方式进行评估。三是法人监管模式的自主型评估与分支机构的配合型评估。即对法人金融机构进行全面、深入的评估,重点包括内控制度建设、管理体系及执行有效性上面;对于地方分支机构,应以配合上级部门为主,根据上级部门有关要求对金融机构分支机构采取针对性评估,重点在于评价分支机构内控执行有效性上面。
参考文献:
[1]沈征:《审计理论》,上海人民出版社2013年版。
审计的风险评估范文第3篇
关键词:期望审计风险评估;锚定与调整启发法;锚定效应
中图分类号:F830.5 文献标识码:B 文章编号:1674-0017-2013(2)-0023-07
一、引言
期望审计风险水平是指审计人员在对特定项目实施审计之前,预先确定的愿意承受的审计风险水平,是审计风险控制系统的控制目标和输出。审计人员在审计计划阶段,往往要预先确定一个可以接受的审计风险水平,然后以此为目标,制定具体的审计策略,并尽力地把审计风险控制在期望水平以下。
上世纪七十年代,Tversky和Kahneman(1974)根据大量的观察和实验发现了人们在不确定条件下进行的判断与传统经济理论所假定的那种理性判断之间会发生系统性偏差的机理,从而奠定了行为经济学的基础。近二十多年来,行为经济学的理论不断地被应用于金融与管理领域的研究中,取得了许多有意义的成果。特别是在审计研究上,行为经济学的应用受到了越来越多的重视(彭桃英,2010)。
在期望审计风险评估主体进行风险评估的判断与决策过程中,他们面对的同样是不确定性的环境。作为理性的经济人,评估主体(在本文中我们假定是审计人员自己评估审计风险)对期望审计风险评水平的确定不应受到以往有关期望审计风险评估结果的影响,而且应该根据新获得的信息,科学地进行评估。但实际情况是否如此,是一个有待检验且尚未见人尝试的重要问题。如果在这方面也的确存在锚定效应,即存在依赖以往评估结果的系统性认知偏差,那么,这一研究对于审计人员克服期望审计风险评估中的认知偏差,更加客观和科学地利用新信息,提高审计风险控制能力,就具有十分明显的实践意义。
二、文献回顾
在审计实务中,审计人员只有将实际审计风险水平控制到低于或等于期望审计风险水平时,才能结束审计工作。既然期望审计风险水平的确定对审计工作如此重要,那么哪些因素是评估时应该考虑到的或有哪些因素比较重要呢?刘峰、景东华(2002)认为确定合理的期望审计风险水平,必须综合考虑审计风险的影响力度、被审单位的经营风险,同时尽可能降低审计人员主观判断对期望审计风险水平的影响。员鸿琬等(2004)认为,对期望审计风险水平有影响的主要因素包括:一是审计结束后发生法律诉讼可能性的大小及败诉受到惩罚的严厉程度;二是审计市场的竞争性;三是审计人员对审计风险的偏好;四是审计人员自身的职业道德。同时还应关注以下三个因素对期望审计风险水平的影响:一是外部使用者对会计报表的信赖程度;二审计报告日后被审计单位陷入财务困境的可能性;三是管理部门的正直性。赵春萍、邵世文(2003)讲述了确定期望审计风险应考虑的一个重要因素是企业会计报表使用者对报表的依赖程度,该指标可以从客户规模、所有者的分布、负债的性质和数额这三个方面进行考核。
Kinney和Uecker(1982)以154名注册会计师为被试进行了两个实验,通过改变样本规模和样本误差数来检验注册会计师判断控制风险时的锚定效应,两个实验的结果均表明被试的判断明显存在锚定效应。Biggs S和Wild J (1985)以121名注册会计师为被试,实验结果再次证实了Kinney和Uecker(1982)的实验发现,被试发生了锚定效应,但是被试是否更加谨慎无法确定。Presutti(1995)以62名注册会计师为被试,发现以前年度审计抽样信息对被试的判断产生了显著影响,对本期的判断具有锚定效应;而且被试表现的更加谨慎,提供以前年度审计信息的被试大大高估实验任务中销售循环的控制风险。
我国关于锚定和启发法的研究刚刚起步,仅在审计判断研究领域有了一些初步的研究成果,如张继勋(2002)通过理论分析认为我国注册会计师存在锚定效应。此项研究对于理解注册会计师的判断过程,避免审计判断偏差和检验审计准则的有效性具有重要的意义。杨明增、张继勋(2007)以我国注册会计师审计为背景,以控制测试为实验任务,验证了我国注册会计师审计判断中的锚定效应:在有以前年度信息的情况下,注册会计师对本期控制风险的评价更加谨慎,控制风险的估计水平更高。李斌等(2008)认为,锚定效应是普遍存在的一种现象,只要是在不确定状态下的判断过程中,人们往往会出现这样的错误。
上述有关期望审计风险影响因素的文献对影响因素的总结大同小异,且没有比较全面地、分类别地、有层次地显示出来。在本文中,将通过编制一个包含了大量影响因素的问卷调查表,并对其进行数据分析,得出每个因素的权重大小;然后,将扩展审计判断中的锚定效应研究到期望审计风险评估过程中来,试图克服目前相关文献中这方面研究的不足。
三、问卷设计及数据分析
(一)问卷设计
除了对相关文献中关于期望审计风险评估的影响因素的借鉴之外,为了对影响期望审计风险水平及各因素的影响程度有更为全面的了解,也为了给实验部分的变量设计提供更多可靠及适当的选择,在设计调查问卷后,先进行了小规模的问卷调查。在调查过程中,向被测试者咨询、请教与讨论,不断改进问卷的因素设置与分类,最终得到了一份包含四个大因素、二十三个子因素的调查表。在正式的较大规模的问卷调查中,被测试者普遍反映这份调查表是适合我国审计实务环境的。包含了这二十三个因素的四大因素分别是审计失败的不良影响、被审计单位经营风险、被审计单位有无舞弊动机及审计人员或会计师事务所方面的因素。
问卷由两个必答问题与一个任答问题组成,其中,第一个必答问题是为了调查影响期望审计风险评估的上述四大因素依各自的影响程度所占的权重;第二个必答问题是将问题一中的四大因素分别细化为多个具体的影响因素,针对每个具体因素的影响程度分五个等级打出相应的分数(回答采用5点量表,“非常重要”、“比较重要”、“一般”、“不重要”到“无关”,分别记4-0分);问题三是属于一个附加的任答问题,针对部分审计人员认为除问题二中列举的因素外,还可能存在其他因素会对期望审计风险评估产生某种程度的影响,可以作出补充。
(二)问题一的结果分析
有效问卷中对第一个问题的结果描述与统计。其中,表1是将各个总体因素的权重分别取最大权重、最小权重以及求平均值后得出的结果;表2是对回答者中认为各因素权重最大的问卷数量所作的统计。
由上表可以看出,被审计单位的经营风险对审计人员期望审计风险水平评估的影响程度所占的权重最大,为38.72%;审计失败的不良影响权重次之,为25.69%;被审计单位的舞弊动机权重为19.93%;事务所或审计人员主观因素权重最小,为15.62%。
从上表可知,有57.86%的审计人员认为被审计单位经营风险对期望审计风险评估的影响程度最大,有17.36%的审计人员认为审计失败的不良影响对期望审计风险的影响最大,有15.28%的审计人员认为被审计单位有无舞弊动机对期望审计风险评估的影响最大,而只有11.11%的审计人员认为会计师事务所或审计人员主观因素对期望审计风险评估的影响最大。
(三)问题二的统计结果
表3是对问卷中问题二的结果统计,通过求平均分值描述四大总体因素的各子因素对重大错报风险评估的影响程度。
从上表可以看出,在审计实务中被审计人员重点考虑的前五个因素是:遭受法律诉讼的可能性大小、被审计单位盈利能力、事务所业务竞争程度、被审单位管理人员遭受的异常压力、审计人员职业胜任能力。这里的分析结果为本文实验变量的确定提供了重要依据。
四、研究假设
锚定与调整启发法理论及前景理论认为,人们在进行判断和决策时,为了提高决策效率,往往会利用最易获得的信息去建立参照点,此参考点即为锚。期望审计风险水平的评估过程中,过去的评估值就可能被认为是本年度的一个初始值。审计人员在审计之前要全面性地了解被审单位的有关重大经济活动、重大经济决策,认真查阅其上年接受审计的情况,在判断上年期望审计风险水平合理的情况下,审计人员可能将上年期望审计风险水平当作“锚”。由于本文是在被审计单位经营状况正常的情况下开展研究的,因此,我们提出以下假设:
假设1:在不确定性环境下,审计人员在进行期望审计风险评估时会产生锚定效应,即,以前年度的期望审计风险评估结果对本年度的期望审计风险评估结果产生显著影响。
锚定与调整启发法认为,在存在不确定性的情况下一旦确定了初始值,决策者就会在初始值的基础上,根据获得的新信息不断进行调整并得出最终的判断。根据这一理论,在期望审计风险评估过程中,审计人员在对其承接的审计业务进行期望审计风险评估时,会尽可能全面地搜集与期望审计风险评估相关的信息。由于这些信息对期望审计风险评估结果的影响程度不一,这时就需要审计人员凭以往的经验,对哪些信息是作出期望审计风险评估调整的重要依据进行主观判断,并不断在心中做出评估调整决策,形成最终评估结果。据此,我们提出假设:
假设2:在不确定性环境下,审计人员会根据所获得的新信息在初始评估的基础上重新调整其期望审计风险评估结果。
由问卷调查结果可见,在所有子因素中,客户的盈利能力、遭受法律诉讼可能性大小这两个子因素的影响排在前两位。因此,该两个因素是审计人员在进行期望审计风险评估时必须加以权衡的因素。问卷调查结果还显示,审计人员中57.86%的比例认为,被审单位的经营风险因素对期望审计风险水平的评估影响最大。据此,我们提出以下假设:
假设2a:在上年度期望审计风险评估水平一定的情况下,若被审单位盈利能力较上年有所提高,考虑这一新信息会导致审计人员在上年评估结果的基础上调高其期望审计风险评估水平。
假设2b:在上年度期望审计风险评估水平一定的情况下,若被审单位盈利能力较上年有所降低,考虑这一新信息会导致审计人员在上年评估结果的基础上调低其期望审计风险评估水平。
问卷调查结果显示,除了被审单位盈利能力这一影响因素占了很大权重外,发生法律诉讼可能性大小的评估得分也非常高,因此,我们把遭受法律诉讼大小这一子因素作为第二次调整信息,提出以下假设:
假设2c:在上年度期望审计风险评估水平及被审单位盈利能力一定的情况下,若会计师事务所或者审计人员遭受法律诉讼的可能性增大,则会导致审计人员在先前评估基础上调低其期望审计风险评估水平。
假设2d:在上年度期望审计风险评估水平及被审单位盈利能力一定的情况下,若会计师事务所或者审计人员遭受法律诉讼的可能性减少,则会导致审计人员在先前评估基础上调高其期望审计风险评估水平。
五、实验设计
(一)变量的选取与实验过程
从表1,本实验的三个操控自变量是:上年期望审计风险评估水平、被审单位盈利能力与会计师事务所审计工作结束后遭受法律诉讼的可能性大小。每个变量有两个水平,上年度期望审计风险评估结果为两个水平:上年期望审计风险评估水平有两个水平:高水平(L1)、低水平(L2);被审计单位盈利能力有两个水平:较高(P1)、较低(P2);会计师事务所遭受法律诉讼的可能性有两个水平:较大(S1)、较小(S2)。相应地,作者设计了一个2×2×2三因子的八种方案实验,作者采用随机的方式分发给参与实验的被试,这八个方案为:L1P2S2、L2P2S2、L1P1S2、L1P1S1、L2P1S2、L2P1S1、L1P2S1、L2P2S1。
本实验的被试是参加湖南省注协培训的多家会计师事务所的部分审计从业人员,共240人。实验首先要求被试阅读实验的背景信息,之后每阅读完一个资料信息后给出一个合理的评估结果。案例资料提供了三个重要的资料信息,一是上年度期望审计风险水平评估结果;二是被审单位的盈利能力大小;三是审计人员或会计师事务所遭受法律诉讼可能性的大小。因变量(AP)就是被试根据所给信息相应做出的每一次风险评估,评估结果按影响风险的程度分为无关、不重要、一般、比较重要、非常重要五个水平,分别给予分值0、1、2、3、4分。由于三个自变量的信息是要求被试者按先后顺序依次阅读的,每位被试都将依次做出三次评估。
为了保证实验的内部效度,选择一个对被试来说合适而且熟悉的审计判断任务是非常重要的。本文选择了最普遍的年报审计项目作为案例背景。同时,为保证实验设计的实际适用性,在正式实验前,我们先进行了小规模的问卷发放,并在问卷发放现场与被试审计人员探讨了实验问卷中存在的不足之处。最终经过对个别子因素和标度的级数调整,问卷设计在大规模发放时得到被试的普遍认可。
为了在一定程度上保证审计证据与审计判断选择和审计意见选择之间因果关系的明确程度,必须控制额外变量对实验效果的影响。本文主要通过审计人员的职位、学历、从事审计工作年限以及审计人员的年龄等方面来反映不同实验组的被试是否存在显著差异。虽然我们在实验开始前对被试的分组是随机进行的,但是为了消除未预期的混淆效应,本文对被试的随机分配进行了检验,检验的结果表明实验组之间在审计人员的职位、学历、从事审计工作年限以及审计人员的年龄等方面不存在显著差异。同时,为了测试证据操纵的效度,我们就被试对每个问题的回答进行操作性检验。检验结果表明,由于错误的判断在整个判断中所占的比例很小,因而,可以认为对证据判断的操作是有效的。
(二)实验结果及分析
实验完成后共收回165份问卷,剔除无效的21份,有效份数为144份。我们将实验结果数据用Excel加以整理后,用SPSS17.0软件进行了描述性统计分析、独立样本均值T检验。
1、描述性统计分析
从表4中各种信息状况下审计期望风险评估的均值可以看出:审计人员在进行重大错报风险评估时,上年度期望审计风险被评估为高水时评估当年的期望审计风险水平要高于上年度期望审计风险被评估为低水平时评估当年的期望审计风险水平(L1下的3.51远高于L2下的1.90),这体现了上年度的风险评估结果对当年风险评估的影响;审计人员在上年度风险评估水平相同的情况下,被审单位盈利能力较上年提高时做出的第二次评估均值远高于被审单位盈利能力较上年降低时的评估均值(L1P1下的4.25远大于L1P2下的3.08、L2P1下2.94大于L2P2下的1.47),说明若被审单位盈利能力较好时,期望审计风险的评估水平也会随之提高;被审单位上年度期望审计风险评估水平与被审计单位盈利能力相同时,审计人员在作出风险评估时,审计结束后发生法律诉讼可能性大小也会导致风险评估的差异,发生法律诉讼可能性大时的评估均值小于发生法律诉讼可能性小时的评估均值(L1P1S1下的3.33小于L1P1S2下的4.89、L2P1S1下的1.78小于L2P1S2下的4.28、L1P2S1下的2.06小于L1P2S2下的3.83、L2P2S1下的1.11远小于L2P2S2下的2.94),这是审计人员考虑了发生法律诉讼可能性大小之后的评估结果。
2、独立样本均值T检验分析
表5显示了审计人员在只获取上年度期望审计风险评估水平(高水平或低水平)的情况下做出的初始评估均值之间是否存在显著性差异。结果表明,这两组初始评估结果的方差有显著性差异(F=44.832,P=0.000
由理论分析可知,风险评估人员在获得一个新信息后,会将初始信息与新信息综合考虑形成一个新的风险评估结果,即在初始评估基础上适当地调整。表6是对考虑被审单位盈利能力的情况后第二次评估与未提供任何信息下的初始评估的均值是否存在显著性差异进行检验。从表中信息可知,当上年度期望审计风险被评估为高水平时,这两组评估结果的方差差异显著(F=22.577,P=0.0000.05),在接受方差相等假设的情况下,两组的风险评估结果均值存在显著差异(T=-7.567,P=0.000),说明若被单位盈利能力较低时,审计人员考虑这一新信息则有可能在初始评估的基础上调低其期望审计风险水平。
相比表6,表7则是对提供被审单位盈利能力的第二次评估与未提供该信息下的初始评估的均值是否存在显著性差异进行检验。从表中信息可知,当上年度的期望审计风险被评估为高水平时,两组评估结果的方差存在显著性差异(F=16.361,P=0.0000.05),在接受方差相等假设的情况下,两组评估结果的均值存在显著性差异(T=3.301,P=0.001)。实验结果充分说明,上年度期望审计风险评估结果一定时,若被审单位盈利能力较上年降低,审计人员考虑这一新信息则极有可能在初始评估的基础上降低其期望审计风险评估水平。假设2b成立。
表8与表9是检验风险评估人员在进一步得到有关审计结束后遭受法律诉讼可能性大小的信息后所做出的第三次评估,其是否在第二次评估的基础上加以调整,其中表8中进一步提供的是遭受法律诉讼的可能性大的新信息。从表8的检验结果可知,所有信息状况下的前后两组评估的均值均呈现调低的趋势。各组评估结果的方差有三组不存在显著性差异,在接受方差相等的假设下,这三组的评估水平均值存在显著性差异,验证了当上年度期望审计风险评估水平及被审计单位盈利能力相等时,若发生法律诉讼可能性大时,审计人员极有可能在先前评估基础上调低其期望审计风险评估水平。另外,有一组方差存在显著性差异,在接受方差不相等的假设下,这组的均值存在显著性差异,同样验证了当上年度期望审计风险评估水平及被审计单位盈利能力相等时,若发生法律诉讼可能性大时,审计极有可能在先前评估基础上调低其期望审计风险评估水平。假设2c成立。
表9中进一步提供的是审计结束后发生法律诉讼可能性小的新信息。实验结果表明,所有信息状况下的前后两组评估结果的均值均呈现调高的趋势,除L1P1S2与L1P1这组外,其他组的评估结果方差均存在显著性差异,说明在考虑到发生法律诉讼可能性较小后,审计人员在第二次评估的基础上可能会适当调高期望审计风险评估水平,验证了当上年度期望审计风险评估水平及被审计单位盈利能力相同时,若发生法律诉讼可能性小时,风险评估人员有可能在先前评估基础上调高其期望审计风险评估水平。假设2d成立。L1P1S2与L1P1这组方差存在显著性差异,在接受方差不相等的情况下,均值结果存在显著性差异。同样验证了假设2d。
假设2a、假设2b、假设2c及假设2d的成立充分验证了假设2的成立,即在不确定性环境下,审计人员运用锚定与调整启发法进行期望审计风险评估时,会根据所获得的新信息,在初始评估的基础上重新调整其期望审计风险评估水平。此外,我们对被审计单位盈利能力及审计结束后审计人员或会计师事务所遭受法律诉讼可能性大小是否对期望审计风险水平评估产生显著影响做的补充性T检验,也得到了肯定性结果。
六、结论
本文在问卷调查的基础上,将被审计单位的盈利能力和遭受法律诉讼可能性大小作为新的信息,根据被测试者在这两个信息基础上依次进行的调整,检验了审计过程中期望审计风险水平评估中的锚定效应。结果表明:第一,在进行期望审计风险评估时,审计人员会受到锚定与调整启发法的影响,上年度有关期望审计风险的评估结果会产生锚定效应,对初始评估产生显著影响;第二,在不确定性环境下,审计人员运用锚定与调整启发法进行期望审计风险水平评估时,会根据所获得的新信息,在初始评估的基础上重新调整其风险评估。例如,在上年度期望审计风险评估结果相同的情况下,若被审计单位本年较上年盈利能力有所提高,审计人员考虑这一新信息会导致他在初始评估的基础上调高其期望审计风险评估水平;若审计结束后遭受法律诉讼可能性较大,审计人员将在先前评估基础上调低其期望审计风险评估水平,等等。此外,被审计单位盈利能力及发生法律诉讼可能性大小等因素对审计人员在作出期望审计风险评估方面都有显著影响。
总之,期望审计风险评估中的锚定效应与调整是客观存在的。因此,提高业务素质,克服非理,是提高审计人员的审计风险评估能力和审计风险控制能力的一条重要途径。
参考文献
[1]Biggs S,Wild J. An Investigation of Auditor Judgment in Analytical Review[J].The Accounting Review, 1985(4):607-633。
[2]Kinney W R J,Uecker W. Mitigating the Consequences of Anchoring in Auditor Judgment[J].The Ac-counting Review,
1982(1):55-69。
[3]李斌,徐富明,王伟,龚梦园.锚定效应的研究范式、理论模型及应用启示[J].应用心理学,2008,(5):269-275。
[4]刘峰,景东华.期望审计风险水平探析[J].四川会计,2002,(2):41-42。
[5]彭桃英.行为经济学在独立审计中的应用研究[C].北京:财政部财政科学研究所,2010。
The Research on the Anchoring Effect of the Assessment of Expected Audit Risk Level
ZHU Bei
(China West Airport Group, Xi'an Shaanxi 710075)
审计的风险评估范文第4篇
固有风险是指在考虑相关的内部控制之前,某类交易、账户余额或披露的某一认定易于发生错报(该错报单独或连同其他错报可能是重大的)的可能性。虽然2006年新的审计准则引入重大错报风险,我国的审计方法逐渐转向风险导向审计,但是在实际操作中,对被审计单位固有风险的评估还是比较重要的,且是一个难点。在这期间,理论界对固有风险评估方法的研究也不断发展,由最初的定性分析方法到现在比较流行的定量和定性结合的分析方法。
一、现有固有风险评估方法的比较
现有的固有风险评估方法主要有:以定性分析为代表的风险因素分析法和特尔斐法;以定量分析为代表的模糊综合评价法、模糊熵法、模糊层次分析法。
(一)风险因素分析法和特尔斐法的对比分析
风险因素分析法是指对可能导致风险发生的因素进行评估分析,从而确定风险发生概率大小的风险评估方法;特尔斐法是指用书面形式广泛征询专家意见以预测某项专题或某个项目未来发展的方法。两者都不能够对固有风险的风险水平进行准确的评估,但是特尔斐法的准确度要高。固有风险的各个影响因素对其影响程度是不同的,在风险因素分析法中,审计人员通过以往的经验或专家的意见给不同的因素设置不同的权数,然后在其基础上确定总体的固有风险水平,这就使得固有风险的评估存在很大的主观随意性,比较依赖审计人员或专家的经验,审计的效果也不太好。特尔斐法较之风险因素分析法相对减少了固有风险评估的主观随意性,这种比较系统的方法并没有把固有风险评估的主观方法转变为客观方法,而是着眼于更好地利用审计人员或专家的经验,使审计人员对固有风险的评估规范化、统一化、标准化,减少了随意性,但前提还是要依赖审计人员或专家的经验。
(二)模糊综合评价法、模糊熵法、模糊层次分析法的对比分析
模糊综合评价法是根据模糊数学的隶属度理论把定性评价转化为定量评价,在专家对固有风险影响因素分析评价的基础上运用模糊数学的原理将固有风险水平确定为一个具体的数值或评价。模糊熵法是用“熵”来度量一个模糊集合所含有的模糊性的大小,运用模糊数学的原理将固有风险水平确定为一个具体的数值或评价。与模糊综合评价法相比,模糊熵法只是对影响固有风险的各影响因素的权重计算方法不一样。模糊综合评价法是利用相对比较法、层次分析法、特尔斐法、连环比率法等确定各影响因素的权重;模糊熵法是利用“熵”的计算方法确定各影响因素的权重,结果更为科学。模糊层次分析法是将模糊数学的理论方法与层次分析法结合起来,将固有风险的影响因素分解为各层次,在此基础上利用模糊数学原理确定固有风险水平的一种方法。与模糊综合评价法和模糊熵法相比:首先,模糊层次分析法运用层次分析原理将影响固有风险的因素划分得更为合理、具体;其次,模糊层次分析法根据三角模糊数的计算原理,用三角模糊数构成模糊判断矩阵,大大减少了模糊判断的主观性;最后,模糊层次法运用模糊综合评价原理计算出层次的单排序和总排序,从而确定最后的评价结果,使得计算的准确性大大提高。
(三)定性和定量分析方法的对比分析
与风险因素分析法和特尔斐法两种定性分析方法相比,模糊综合评价法、模糊熵法和模糊层次分析法三种定量分析方法在分析风险因素的影响程度时更全面、详细、具体,评估固有风险的水平时也更为客观、准确,受审计人员的主观影响程度更低,是一种适应性很强的决策方法。但是,这些方法操作起来比较麻烦,实际应用中会受到成本、客户的客观条件等因素的限制,如果所审计项目固有风险的影响因素比较稳定,规模较大的情况下,还是比较好的方法。
二、模糊数学在固有风险评估中的运用
(一)模糊综合评价法
1.模糊综合评价法的基本原理
设U={u1,u2,…,um}为刻画被评价对象的m种因素,V={v1,v2,…,vn}为刻画每一因素所处状态的n种决断。这里存在两类模糊集,以主管赋权为例,一类是标志因素集U中诸元在人们心中的重要程度,表现为因素集U上的模糊权重向量A=(a1,a2,…,an);另一类是U×V上的模糊关系,表现为m×n模糊矩阵R,这两类模糊集都是人们价值观念或偏好结构的反映。再对这两类集施加某种模糊运算,便得到V上的一个模糊子集B=(b1,b2,…,bn)。因此,模糊综合评价是寻找模糊权重向量A=(a1,a2,…,an)∈F(V),据此构造模糊矩阵R=[rij]m×n∈F(U×V),其中rij表示因素ui具有评语vj的程度,进而求出模糊综合评价B=(b1,b2,…,bn)∈F(V),其中bj表示被评价对象具有评语vj的程度,即vj对模糊集B的隶属度。由此可见,模糊综合评价的数学模型涉及三个要素:因素集U={u1,u2,…,um};决断集V={v1,v2,…,vn};单因素判断f:UF(V),uif(ui)=(ri1,ri2,…,rin)∈F(V)。由f可诱导模糊关系Rf∈F(U×V),其中Rf(ui,vj)=f(ui)(vj)=rij,而由Rf可构成模糊矩阵:
R=
2.模糊综合评价法在固有风险评估中的运用
第一步:确定固有风险的影响因素。
不论是在制度基础审计方法下,还是在风险导向审计方法下,固有风险的影响因素都相差不大。总的来说,固有风险的影响因素主要分为:被审计单位的行业环境(U1)、被审计单位的业务性质(U2)、被审计单位财会人员的品行和能力(U3)、被审计单位管理人员遭受的异常变动(U4)、被审计单位财会人员的变动情况(U5)、容易产生错漏报的财务报表项目(U6)、重要的业务或事项的复杂程度(U7)、需要运用估计和判断的财务报表项目(U8)、易遭受损失或被盗用的资产(U9)、会计期间特别是会计期末发生的异常复杂业务(U10)、难以审查的账户或交易(U11),这些影响因素组成了模糊综合评价的指标体系。
第二步:依据第一步中的影响因素构建因素集、评语集(即决断集)。
因素集:U={U1,U2,…,U11}
评语集:V={V1,V2,V3,V4,V5},可以分别代表{高,较高,中等,较低,低}
第三步:确定权重集。
在评价指标中,每个指标相对其上一级指标的重要程度即为权重。一般可以采用相对比较法、层次分析法、特尔斐法、连环比率法等确定指标权重。
各个因素对应的权重集为:A={a1,a2,…,a11},且ai=1
第四步:通过各因素模糊评价获得模糊综合评价矩阵。
各因素的模糊评价是从一个因素的角度出发进行评价,以确定评价对象对评价集V的隶属程度。
其中,rij(i=1,2,…,n;j=1,2,…,5)为隶属度,即第i个因素隶属于第j个评价等级的程度。
第五步:利用合适的模糊乘法算子①将R与A合成,得到最终的模糊综合评价结果B。
B=A?R
还要对B进行归一化处理,即令Bi=Bi÷(B1+B2+B3+B4+B5)
第六步:分析评价结果。
隶属向量(B1,B2,B3,B4,B5)即为模糊综合评价法确定的综合评价结果,它直接反映了各评级指标隶属的评语等级。根据最大隶属度法,若Vi=max(B1,B2,B3,B4,B5),则评价结果为Vi。
(二)模糊熵法
1.模糊熵的基本原理
1947年德拉卡把“熵”推广到模糊情形,即模糊集的熵。考虑一个系统的n个状态e1,e2,…,en,它们各自的概率分别为:p1,p2,…,pn,则把这个系统的熵定义为:H(p1,p2,…,pn)=- pilnpi
下面给定一个模糊集A,并用向量表示为:
A=(μA(x1),μA(x2),…,μA(xn))
命πA(xi)=μA(x1)/μA(Xi)
则定义:
H(πA(x1),πA(x2),…,πA(xn))=(-1/ln(n))×(Xi)ln(πA(xi))(i=1,2,…,n) (1)
2.模糊熵在固有风险评估中的运用
模糊熵在固有风险评估中的应用只是用来计算模糊集中每个元素的模糊熵,利用每个元素的模糊熵进行再计算得出来的数据就组成了模糊集的权数矩阵W。其基本步骤和模糊综合评价法一样,即根据评价要求构造模糊集、决断集,然后对各风险因素进行单独评价建立模糊综合评价矩阵R。模糊综合评价矩阵由各指标对各固有风险可能最终值的支持程度定量化的结果组成。不同的是模糊熵法是根据模糊综合评价矩阵R,使用模糊熵的计算公式确定各个指标的权数,最后和模糊综合评价法第五步一样,利用合适的模糊算子将模糊集的权数矩阵W与模糊综合评价矩阵R合成得出评价结果,所以本文只介绍利用模糊熵计算各指标权重这一步骤。
计算步骤:
根据模糊综合评价法第四步中建立的模糊综合评价矩阵R,利用公式(1),计算第i个指标的模糊熵ei。
再计算差异性系数gi,gi=1-ei
最后利用公式Wi=gi/gi(i=1,2,…,n)计算各个因素的权数Wi,各因素的权数Wi构成权数矩阵W。
(三)模糊层次分析法(简称Fuzzy AHP)
1.模糊层次分析法的基本原理
(1)三角模糊数的定义
记F(R)为R上的全体模糊集,设M∈F(R)。
M的隶属函数μM:R[0,1]定义如下:
μM (x )=x/(m-l)-l/(m-l),x∈[l,m]
x/(m-u)-u/(m-u),x∈[m,u]
0, 其他 (2)
式(2)中l≤m≤u,l和u分别表示M所支撑的下界和上界,m为M的中值,称M为三角模糊数。一般地,三角模糊数M可记为(l,m,u)。l,u表示了判断的模糊程度,(u-l)越大表示模糊程度越高。
如果M1=(l1,m1,u1),M2=(l2,m2,u2),则下列三角模糊数M的运算法则成立:
(l1,m1,u1) [+](l2,m2,u2)=(l1+l2,m1+m2,u1+u2) (3)
(l1,m1,u1) [×](l2,m2,u2)=(l1l2,m1m2,u1u2) (4)
λ∈R,λM=λ(l,m,u)=(λl,λm,λu) (5)
(l,m,u)-1≈
,
, (6)
(2)层次排序的定理
M1≥M2的可能性程度定义为:
V(M1≥M2)=1, m1≥m2
,m1
0, 其他
(7)
由三角模糊数组成的模糊判断矩阵A,记为A=(aij)m×n,aij=[lij,mij,uij]。
模糊矩阵A为正反矩阵,即aji=aij-1=
,
,
(3)计算模糊综合程度值
a=(l,m,u),其中:i,j=1,2,…,nk;t=1,2,…当有T位专家进行判断时,aij为综合三角模糊数,T为第t个专家给出的三角模糊数,据公式(8)求得第k层的综合三角模糊数,由此得到k层全体因素对第k-1层第h个因素的综合模糊矩阵。再据公式(9)求出模糊集s,s,…,s,它们分别刻画了第k层各个因素相对于第k-1层第h个因素的模糊综合程度。
M= [+](a+a+…+a) (8)
S=M [×](M)-1,i=1,2,…,nk (9)
利用公式(7)计算层次的单排序,经归一化处理后得:
P=(P,P,…,P)T (10)
表示第k层上各因素对第k-1层上第h个因素的单排序。
(4)层次总排序
如果k-1层对总目标的排序权重向量为:Wk-1=(W,W,…,W)T,那么第k层上全体元素对总目标的合成排序W由下式给出:
Wk=(W,W,…,W)=PkWk-1 (11)
(5)计算固有风险的综合评估值
Z=Wfiai (12)
其中,i为固有风险影响因素的个数,ai为固有风险在第i项指标上的三角模糊数,Wfi为第i项指标的层次总排序值,即权重。
2.模糊层次分析法在固有风险评估中的应用
第一步:根据问题的总目标,建立固有风险的指标评价体系(详见图1)。
第二步:建立模糊判断矩阵。
由专家对固有风险的指标评价体系中的元素进行两两比较,并采用三角模糊数定量表示,其中三角模糊数的打出可参考AHP的1-9标度打分原则。如果多名专家进行决策,则利用公式(8)计算评级指标的综合三角模糊数,从而得到三个模糊判断矩阵A,A1,A2。
第三步:计算模糊综合重要程度值。
根据模糊判断矩阵A,A1,A2,利用公式(9)计算出每层每个元素的模糊综合重要程度值。由矩阵A,A1,A2得出的模糊综合重要程度值分别为:S1,S2,S11,S12,S13,S14,S15,S21,S22,S23,S24,S25,S26。
第四步:进行层次单排序。
根据每个元素的模糊综合重要程度值,利用公式(7)分别求出每层各元素重于其他元素的可能程度P,再将由P组成的向量W'进行归一化处理,便得到权重向量W,即层次的单排序,分别为:V(U1),V(U2),V(U11),V(U12),V(U13),V(U14),V(U15),V(U21),V(U22),V(U23),V(U24),V(U25),V(U26)。得到各层的权重向量分别为:
W=(V(U1),V(U2))
W1=(V(U11),V(U12),V(U13),
V(U14),V(U15))
W2=(V(U21),V(U22),V(U23),
V(U24),V(U25),V(U26))
第五步:层次总排序。
根据已求出的层次单排序及其各自的权重向量,利用公式(11)求出层次的总排序,即Wfi(i=1,2,…,11)。
第六步:计算固有风险的综合评估值。
由专家对某一项审计项目的固有风险的各评价指标进行评估打分,给出每项因素的三角模糊数ai。根据层次的总排序向量Wfi和ai,利用公式(12)计算出固有风险的综合评估值Z。
审计的风险评估范文第5篇
【关键词】网络 安全风险 评估 关键技术
结合我国近年来的互联网应用经验可知,用户的互联网使用过程很容易受到恶意软件、病毒及黑客的干扰。这种干扰作用可能引发用户重要数据信息的丢失,为用户带来一定的经济损失。因此,利用综合评估技术、定性评估技术等开展网络安全风险评估具有一定的现实意义。
1 常见的网络攻击手段
目前较为常见的网络攻击手段主要包含以下几种:
1.1 IP欺骗攻击手段
这种攻击手段是指,不法分子利用伪装网络主机的方式,将主机的IP地址信息复制并记录下来,然后为用户提供虚假的网络认证,以获得返回报文,干扰用户使用计算机网络。这种攻击手段的危害性主要体现在:在不法分子获得返回报文之前,用户可能无法感知网络环境存在的危险性。
1.2 口令攻击手段
口令攻击手段是指,黑客实现选定攻击主机目标之后,通过字典开展测试,将攻击对象的网络口令破解出来。口令攻击手段能够成功应用的原因在于:黑客在利用错误口令测试用户UNIX系统网络的过程中,该系统网络不会对向用户发出提示信息。这种特点为黑客破解网络口令的过程提供了充裕的时间。当黑客成功破解出网络口令之后,可以利用Telnet等工具,将用户主机中处于加密状态的数据信息破解出来,进而实现自身的盗取或损坏数据信息目的。
1.3 数据劫持攻击手段
在网络运行过程中,不法分子会将数据劫持攻击方式应用在用户传输信息的过程中,获得用户密码信息,进而引发网络陷入瘫痪故障。与其他攻击手段相比,数据劫持攻击手段产生的危害相对较大。当出现这种问题之后,用户需要花费较长的时间才能恢复到正常的网络状态。
2 网络安全风险评估关键技术类型
网络安全风险评估关键技术主要包含以下几种:
2.1 综合评估技术
综合评估技术是指,在对网络安全风险进行定性评估的同时,结合定量评估的方式提升网络安全风险评估的准确性。
2.2 定性评估技术
定性评估技术向网络安全风险评估中渗透的原理为:通过推导演绎理论分析网络安全状态,借助德尔菲法判断网络中是否存在风险以及风险的类型。这种评估技术是我国当前网络安全评估中的常用技术之一。
2.3 定量评估技术
这种评估方式的评估作用是通过嫡权系数法产生的。定量评估技术的评估流程较为简单,但在实际的网络安全风险评估过程中,某些安全风险无法通过相关方式进行量化处理。
3 网络安全风险评估关键技术的渗透
这里分别从以下几方面入手,对网络安全风险评估关键技术的渗透进行分析和研究:
3.1 综合评估技术方面
结合我国目前的网络使用现状可知,多种因素都有可能引发网络出现安全风险。在这种情况下,网络使用过程中可能同时存在多种不同的风险。为了保证网络中存在的安全风险能够被全部识别出来,应该将综合评估技术应用在网络安全风险的评估过程中。在众多综合评估技术中,层次分析法的应用效果相对较好。评估人员可以将引发风险的因素及功能作为参照依据,将既有网络风险安全隐患分成不同的层次。当上述工作完成之后,需要在各个层次的网络安全风险之间建立出一个完善的多层次递接结构。以该结构为依据,对同一层次中处于相邻关系的风险因素全部进行排序。根据每个层次风险因素的顺序关系,依次计算网络安全风险的权值。同时,结合预设的网络安全风险评估目标合成权重参数,进而完成对网络安全风险评估的正确判断。
3.2 定性评估技术方面
定性评估技术的具体评估分析流程主要包含以下几个步骤:
3.2.1 数据查询步骤
该步骤是通过匿名方式完成的。
3.2.2 数据分析步骤
为了保证网络安全风险评估结果的准确性,定性评估技术在数据分析环节通过多次征询操作及反馈操作,分析并验证网络安全风险的相关数据。
3.2.3 可疑数据剔除步骤
网络安全风险具有不可预测性特点。在多种因素的影响下,通过背对背通信方式获得的网络安全风险数据中可能存在一些可疑数据。为了避免这类数据对最终的网络安全风险评估结果产生干扰作用,需要在合理分析网络安全现状的情况下,将可疑数据从待分析数据中剔除。
3.2.4 数据处理及取样步骤
通过背对背通信法获得的数据数量相对较多,当数据处理工作完成之后,可以通过随机取样等方法,从大量网络安全风险数据中选出一部分数据,供给后续评估分析环节应用。
3.2.5 累计比例计算及风险因素判断步骤
累计比例是风险因素判断的重要参考依据。因此,评估人员应该保证所计算累计比例的准确性。
3.2.6 安全系数评估步骤
在这个步骤中,评估人员需要根据前些步骤中的具体情况,将评估对象网络的安全风险系数确定出来。
与其他评估技术相比,定性评估技术的评估流程较为复杂。但所得评估结果相对较为准确。
3.3 定量评估技术方面
这种评估技术的评估原理为:通过嫡权系数法将评估对象网络的安全数据参数权重计算出来。这种评估方法的应用优势在于:能够度量网络系统中的不确定因素,将网络安全风险量化成具体数值的形式,为用户提供网络安全状态的判断。
4 结论
目前用户运用互联网的过程主要受到数据劫持攻击、口令攻击、IP欺骗攻击等手段的干扰。对于用户而言,网络安全风险的存在为其正常使用带来了一定的安全隐患。当隐患爆发时,用户可能会面临极大的经济损失。这种现象在企业用户中有着更为明显的体现。为了改善这种现象,促进互联网应用的正常发展,应该将定量评估技术、定性评估技术以及综合评估技术等,逐渐渗透在网络安全风险评估工作中。用户除了需要通过防火墙、病毒r截软件等工具改善网络环境之外,还应该加强对网络安全风险评估的重视。当获得网络安全风险评估结束之后,应该需要通过对评估资料的分析,有针对性地优化自身的网络系统,降低数据丢失或损坏等恶性事件的发生概率。
参考文献
[1]陈雷.网络安全态势评估与预测关键技术研究[D].郑州:信息工程大学,2015.
[2]李靖.网络安全风险评估关键技术研究[J].网络安全技术与应用,2014(05):82-84.
[3]覃宗炎.网络安全风险评估关键技术研究[J].网络安全技术与应用,2014(04):168-170.
[4]毛捍东.基于逻辑渗透图模型的网络安全风险评估方法研究[D].北京:国防科学技术大学,2008.
[5]宣蕾.网络安全定量风险评估及预测技术研究[D].北京:国防科学技术大学,2007.
