風險識別與風險評估的區別范文

前言：我們精心挑選了數篇優質風險識別與風險評估的區別文章，供您閱讀參考。期待這些文章能為您帶來啟發，助您在寫作的道路上更上一層樓。

第1篇

關鍵詞：電子政務外網；等級保護測評；風險評估；風險評估模型

中圖分類號：TP311 文獻標識碼：A 文章編號：1009-3044（2014）34-8337-02

1 等級保護背景下的電子政務外網風險評估

電子政務外網提供非的社會公共服務業務，全國從中央各部委、到省、市、縣，已經形成了一張大龐大的網絡系統，有的地方甚至覆蓋到了鄉鎮、社區村委會，有效提高了政府從事行政管理和社會公共服務效率。今后凡屬社會管理和公共服務范疇及不需在國家電子政務內網上部署的業務應用，原則上應納入國家政務外網運行，它按照國家政務外網統一規劃，建立網絡安全防護體系、統一的網絡信任體系和信息安全等級保護措施。

隨著政務外網的網絡覆蓋的擴大及接入的政務單位越來越多、政務外網應用的不斷增加，各級政務移動接入政務外網的需求也在增加，對政務外網的要求和期望越大，網絡安全和運維的壓力也越大，責任也更大。由于政務外網與互聯網邏輯隔離，主要滿足各級政務部門社會管理、公共服務、市場監管和經濟調節等業務應用及公務人員移動辦公、現場執法等各類的需要，網絡和電子政務應用也成為境外敵對勢力、黑客等攻擊目標。隨著新技術的不斷涌現和大量使用，也對電子政務外網網絡的安全防護、監控、管理等帶來新的挑戰。按照國家政務外網統一規劃，建立網絡安全防護體系、統一的網絡信任體系和信息安全等級保護措施是必須的。

為保障電子政務外網的安全有效運行，我們應以風險管理理念來統籌建設網絡和信息安全保障體系。在國家信息系統安全等級保護的大背景下，2011年國家信息中心下發了《關于加快推進國家電子政務外網安全等級保護工作的通知》，強化了電子政務外網的等級保護制度以及等級測評要求，要求對政務外網開展等級測評，全面了解和掌握安全問題、安全保護狀況及與國家安全等級保護制度相關要求存在的差距，分析其中存在的安全風險，并根據風險進行整改[1]。

系統安全測評、風險評估、等級測評都是信息系統安全的評判方法[2，3]，其實它們本沒有本質的區別，目標都是一樣的，系統安全測評從系統整體來對系統的安全進行判斷，風險評估從風險管理的角度來對系統的安全狀況進行評判，而等級測評則是從等級保護的角度對系統的安全進行評判。不管是系統安全測評[1]、風險評估、等級測評，風險的風險與計算都是三者必不可少的部分。

2 電子政務主要風險評估方法簡介

電子政務外網風險評估有自評估、檢查評估、第三方評估（認證）評估模式，都需利用一定的風險評估方法來進行相關風險的評估。從總體上來講，主要有定量評估、定性評估兩類。在進行電子政務系統信息安全風險評估過程中，采用的主要風險評估方法有：OCTAVE、SSE-CMM、FAT（故障樹方法）、AHP （層次分析）以及因素分析法、邏輯分析法、德爾菲法、聚類分析法、決策樹法、時許模型、回歸模型等方法。研究風險評估模型的方法可以運用馬爾可夫法、神經網絡、模糊數學、決策樹、小波分析等[4-6]。OCTAVE 方法是一個系統的方法，它從系統的高度來進行信息安全的安全防護工作，評估系統的安全管理風險、安全技術風險，它提高了利用自評估的方式制定安全防范措施的能力。它通過分析重要資產的安全價值、脆弱性、威脅的情況，制定起風險削減計劃，降低重要資產的安全風險。電子政務外網需要從實際出發，不能照搬其它評估方法，根據電子政務外網實際，本設計基于OCTAVE 評估模型，設計了一個電子政務外網風險分析計算模型。

3 基于OCTAVE模型的一個電子政務外網風險計算模型設計

3.1 風險評估中的資產、威脅、脆弱性賦值的設計

保密性、完整性和可用性是評價資產的三個安全屬性。風險評估中的資產價值不是以資產的經濟價值來衡量，而是由資產在這三個安全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的。

資產價值應依據資產在保密性、完整性和可用性上的賦值等級，經過綜合評定得出。綜合評定方法可以根據自身的特點，選擇對資產保密性、完整性和可用性最為重要的一個屬性的賦值等級作為資產的最終賦值結果；也可以根據資產保密性、完整性和可用性的不同等級對其賦值進行加權計算得到資產的最終賦值結果。本設計模型根據電子政務外網的業務特點，依據資產在保密性、完整性和可用性上的賦值等級進行加權計算（保密性α+完整性β+和可用性γ），α、β、γ為權重系數，權重系數的確定可以采用專家咨詢法、信息商權法、獨立性權數等。本設計方案采用專家咨詢法。資產、威脅、脆弱性的賦值可以從0-10，賦值越高，等級越高。

脆弱性識別是風險評估中最重要的一個環節。脆弱性是資產本身存在的，如果沒有被相應的威脅利用，單純的脆弱性本身不會對資產造成損害。脆弱性識別的依據可以是國際或國家安全標準，也可以是行業規范等，如國家信息安全漏洞共享平臺（CNVD）漏洞通報、CVE漏洞、微軟漏洞通報等。

資產、威脅、脆弱性的識別與賦值依賴于專家對三者的理解，不同的人員對三者的賦值可能不同，甚至差別很大，可能會不能真實的反映實際情況。為了識別與賦值能準確反映實際情況，可以采用一定的方法來進行修正。本設計采用頭腦風暴法、德爾菲法去獲取資產、威脅、脆弱性并賦值、最后采用群體決策方法確定資產、威脅、脆弱性的識別與賦值。這樣發揮了三個方法的特點，得到的賦值準確性大大提高。

判斷威脅出現的頻率是威脅賦值的重要內容，評估者應根據經驗和（或）有關的統計數據來進行判斷[7]。判斷威脅出現的頻率是可能性分析的重要內容，如果僅僅從近一兩年來各種國內、國際組織的對于整個社會或特定行業的威脅及其頻率統計，以及的威脅預警等來判斷是不太準確的，因為它沒有與具體的電子政務外網應用實際聯系起來，實際環境中通過檢測工具（如IPS等）以及各種日志發現的威脅及其頻率的統計也應該考慮進去。

本設計模型采用綜根據經驗和（或）有關的統計數據來進行判斷，并結合具體電子政務外網實際，從歷史生產系統的IPS等獲取各種威脅及其頻率的統計，并采用馬兒可夫方法計算出某個時段內某個威脅發生的概率。馬爾可夫方法是一種定量的方法，具有無后效性的特點，適用于計算實時的動態信息系統威脅發生概率。它利用IPS等統計某一時段的發生了哪些威脅，構建出各種威脅之間的狀態轉移圖，使用馬爾可夫方法計算出該時段內某個威脅發生的概率。計算出的威脅發生概率結果可以進行適當的微調，該方法要求記錄的樣本具有代表性。

3.2 風險計算模型設計

通常風險值計算涉及的風險要素為資產、威脅、和脆弱性。 在完成了資產識別、威脅識別、脆弱性識別，以及已有安全措施確認后，將采用適當的方法與工具確定威脅利用脆弱性導致安全事件發生的可能性，并綜合安全事件所作用的資產價值及脆弱性的嚴重程度，判斷安全事件造成的損失對組織的影響，即安全風險計算。

風險值=R（資產，威脅，脆弱性）= R（可能性（威脅，脆弱性），損失（資產價值，脆弱性嚴重程度））。可根據自身電子政務外網實際情況選擇相應的風險計算方法計算風險值，如目前最常用的矩陣法或相乘法等。矩陣法主要用于兩個要素值確定一個要素值的情形，相乘法主要用于兩個或多個要素值確定一個要素值的情形。

本設計模型采用風險計算矩陣方法。矩陣法通過構造一個二維矩陣，形成安全事件的可能性與安全事件造成的損失之間的二維關系；相乘法通過構造經驗函數，將安全事件的可能性與安全事件造成的損失進行運算得到風險值。

在使用矩陣法分別計算出某個資產對應某個威脅i，某個脆弱性j的風險系數[Ri，j]，還應對某個資產的總體安全威脅風險值進行計算，某個資產總體風險威脅風險=Max（[Ri，j]），i，j=1，2，3…。組織所有資產的威脅風險值為所有資產的風險值之和。

3.3 對風險計算模型的改進

在風險值=R（A，T，V）的計算模型中，由資產賦值、危險、脆弱性三元組計算出風險值， 并沒有把安全防護措施因素對風險計算的影響考慮在內，該文把風險值=R（A，T，V）改進為風險值=R（A，T，V，P），其中P為安全防護措施因素。P因素不僅影響安全事件的可能性，也影響安全事件造成的損失，把上面的公式改進為風險值=R（L（T，V，P），F（Ia，Va，P ））。對于L（T，V，P），F（Ia，Va，P ）的計算可以采用相乘法等。如果采用矩陣法，對L（T，V，P）的可以拆分計算L（T，V，P）=L（L（T，V），L（V，P））。

在計算出單個資產對應某個脆弱性、某個威脅、某個防護措施后的風險值后，還應總體上計算組織內整體資產面臨的整體風險。單個風險（一組風險）對其它風險（一組風險）的影響是必須考慮的，風險之間的影響有風險之間的疊加、消減等。有必要對風險的疊加效應、疊加原理、疊加模型進行研究。

3.4 風險結果判定

為實現對風險的控制與管理，可以對風險評估的結果進行等級化處理?？蓪L險劃分為10，等級越高，風險越高。

風險等級處理的目的是為風險管理過程中對不同風險的直觀比較，以確定組織安全策略。組織應當綜合考慮風險控制成本與風險造成的影響，提出一個可接受的風險范圍。對某些資產面臨的安全風險，如果風險計算值在可接受的范圍內，則該風險是可接受的，應保持已有的安全措施；如果風險計算值高于可接受范圍的上限值，則該風險是不可接受的，需要采取安全措施以降低、控制或轉移風險。另一種確定不可接受的風險的辦法是根據等級化處理的結果，不設定可接受風險值的基準，對達到相應等級的風險都進行處理。

參考文獻：

[1] 國家電子政務外網管理中心.關于加快推進國家電子政務外網安全等級保護工作的通知[政務外網[2011]15號][Z].2011.

[2] 等級保護、風險評估和安全測評三者之間的區別與聯系[EB/OL].http：///faq/faq.php？lang=cn&itemid=23.

[3] 趙瑞穎.等級保護、風險評估、安全測評三者的內在聯系及實施建議[C].第二十次全國計算機安全學術交流會論文集，2005.

[4] 李煜川.電子政務系統信息安全風險評估研究――以數字檔案館為例[D].蘇州：蘇州大學，2011.

[5] 陳濤，馮平，朱多剛.基于威脅分析的電子政務信息安全風險評估模型研究[J].情報雜志，2011（8）：94-99.

第2篇

關鍵詞：內部審計；風險導向內部審計；風險管理

內部審計作為重要的管理工具，一直是企業內部監督的重要組成部分。隨著經濟全球化和市場競爭多元化的不斷深入，企業所面臨的風險日趨復雜。尤其是對于大型企業集團而言，風險規模已經遠遠超出管理層能夠直接管控的范圍。為此，企業開始日益重視風險管理工作，積極建立內部控制體系，提高企業風險管控能力。在此趨勢下，風險導向內部審計應運而生，并較好的適應了管理層的風險管理需要。

一、風險導向內部審計的概念與基本特點

按照國際內部審計師協會（IIA）對內部審計的定義，內部審計是“一種獨立、客觀的保證和咨詢活動，其目的是在于為組織增加價值并提高組織的運作效率。它采取系統化和規范化的方法來對風險管理、控制和治理程序進行評估和改善，從而幫助組織實現目標”。根據這一定義，推行風險導向內部審計就是要以對組織風險的評估與改善作為基本目標，以內部控制為審計基礎，以公司治理為參與風險管理的前提。風險導向內部審計作為內部審計發展的一個階段，其本身具有區別于傳統內部審計和注冊會計師外部審計的特點。筆者認為這些特點主要體現在如下方面：首先，風險導向內部審計將風險評估和改善作為首要目標，并據此延伸其職能。具體來說，其職能主要有三個方面，一是利用其在內部管理方面的專家地位和信息優勢，根據企業目標評估、分析和管理風險，并將審計結果和管理建議向管理層報告。二是幫助管理層在制定重大決策事項時進行風險評估。三是為市場、采購、技術等其他專業領域的風險管理部門提供咨詢。總之，風險導向內部審計不再是消極的查錯防弊，而應以組織的整體風險評估作為首要工作。其次，風險導向內部審計在方法上更加注重風險評估、缺陷評估和管理建議。區別于傳統內部審計，風險導向內部審計始終把風險管理作為審計工作的出發點和落腳點，強化審計工作的事前風險評估和事后缺陷評估環節，并基于這些評估得到審計結論和給出風險管理建議。第三，風險導向內部審計以內部控制為基礎。從理論上說，內部審計是內部控制的監督環節，是對其他內部控制環節的再控制。內部審計無論從事是對風險的評估和改善，還是參與風險管理和治理程序，都需要依托對企業內部控制狀況的了解。第四，采用風險導向使內部審計工作融入企業全面風險管理體系。不同于外部審計師所實施的內部控制審計，內部審計是為了保證企業經營目標的實現、保護資產安全、防止舞弊的發生而進行的全方位的內部控制評價。也就是說，內部審計、內部控制以及管理層的風險治理活動都是以企業風險管理為目標。內部審計通過采用風險導向而參與到企業全面風險管理中，成為整個風險管理體系的有機組成部分。

二、在內部審計中采用風險導向的必要性與實踐意義

當前，內部審計需要應對的風險越來越復雜，對審計的要求也不斷提高。內部審計需要更為全面、及時、準確的反映企業存在的風險，并提出有針對性的管理建議。傳統內部審計雖然也針對企業風險進行監督，但從根本上說仍然缺乏完整有效的風險識別和評估體系，審計工作高度依賴審計人員水平，其風險覆蓋的全面性、重要環節的審計充分性、以及審計質量的穩定性均難以保證。這不但無法滿足企業風險管理需求，而且難以體現內部審計的管理價值，不利于內部審計的長期發展。因此，在審計實踐中采用風險導向是內部審計發展的必然選擇。

1、風險導向內部審計以風險評估和改善為目標，可以更為系統的覆蓋企業重要風險，保證內部審計的完整性傳統內部審計對于內部控制的關注一般集中在已有流程和已識別的運營風險，而缺乏對風險識別全面性和風險變動的評估。但對個體企業而言，無論是外部環境、業務特點，還是內部管理和治理結構都十分復雜，且始終處在不斷變化的過程中。COSO委員會在2004年頒布的《企業風險管理——整體框架》（ERM）中將企業全面風險要素概括為八個大類，而阿瑟.安德森公司的商務風險模型（BRM）則將企業風險概括為三大類75種，足見其范圍之廣。在此情況下，傳統內部審計很難保證審計結果和管理建議不存在重大遺漏、誤判或者與企業實際狀況脫節的風險。而風險導向內部審計通過有效的風險識別和風險評估，可以及時、全面的掌握這些情況，幫助內部審計部門形成對被審企業的完整認識。

2、風險導向內部審計對風險和缺陷的評估，能夠更為科學的確定審計事項的重要性水平，有助于合理調配審計資源，深入進行研究分析，保證內部審計的充分性在目前的內部審計實踐中，一個較為突出的問題是在標準化的審計程序上耗費大量審計資源，而缺乏對重要問題的深入研究和系統性分析。具體來說，一方面，審計過于追求程序的標準化，審計意見包含大量詳細的操作細節問題，但沒有區分重要性水平。特別是對于風險較小的環節給予過多關注，造成控制冗余，不但影響審計效率，也可能對后續審計產生誤導。另一方面，對于重要缺陷不能給出系統評估和全面的解決方案，例如評估缺陷在多大程度上增加了企業運營風險，缺陷產生的系統性原因和個體原因，以及如何進行整改和需要投入的管理資源是否符合成本效益原則。而風險導向內部審計重視事前的風險評估，可以有效解決審計側重點問題，合理調配審計資源?？梢越Y合企業目標，有針對性的深入研究重要風險，評估缺陷程度。同時，還可以減少在次要風險上的審計資源投入，在總體資源有限的情況下發揮最大的審計效果。

三、實施風險導向內部審計的實現途徑與展望

風險導向內部審計從根本上改變了傳統審計的指導思想和工作模式，對內審部門提出了很大的挑戰，其在實踐中的應用還存在很大障礙。筆者認為，要想實施風險導向內部審計，至少需要在如下幾個實現轉變。

1、內部審計部門職能的轉變：由消極的查錯防弊向主動的風險管理轉變在所有阻礙風險導向審計實施的問題中，最根本的是內審部門自身定位的轉變。風險導向內部審計要求內審部門的定位要從消極的查錯防弊變為主動的風險管理，在風險評估、內部控制乃至公司治理中發揮專業作用。這使內審工作從監督指導職能延伸到風險評估、缺陷分析和管理咨詢，幾乎顛覆了內審部門的舊有工作范圍，無疑是對內審部門從軟件到硬件的全面挑戰。盡管如此，這些轉變又是不可回避的，因為能否轉變思路并主動適應新的角色，是內部審計能否提升自身價值的關鍵所在，也是企業風險管理提升不可或缺的重要途徑。

2、審計方法的轉變：建立完善風險評估機制風險評估和改善作為內部審計的首要目標，在實踐中也是能否真正實施風險導向內部審計的關鍵問題。因為企業的風險千差萬別，風險評估也非常復雜繁瑣，但作為整個審計體系的基石，所有后續審計工作均需要以風險評估為基礎。筆者認為，企業應通過建立成熟的風險識別模型和風險評估程序，通過流程化、標準化以節約審計資源。具體來說，一方面內審部門應結合COSO企業風險管理框架（ERM）、企業風險模型（BRM）以及其他風險分析工具，建立一套適合本企業特點的風險識別模型。然后根據企業目標，在模型框架內識別具有重大影響的風險項目，建立企業風險數據庫。另一方面，在內部審計中應建立風險評估報告制度，強制要求內審人員全面了解被審單位的風險狀況，以保證所有后續審計工作按風險導向執行，最終幫助評價審計結果對企業整體風險的影響。

3、風險管理架構的轉變：整合內部控制資源，實施風險的全過程管理無論是內部審計還是內部控制和企業風險管理部門，乃至于各專業部門的風險管理人員，其根本任務歸根結底就是對風險進行管理。而受制于管理范圍和資源限制，內部審計部門必須與其他風險管理部門共同開展風險管理工作。具體來說，一是需要加強部門協調，與相關部門共享風險數據庫，并在共同的風險識別框架下對風險形成共同認識，對控制措施和審計缺陷評估實施共同標準。二是對風險進行全過程管理。根據風險管理過程理論，風險管理是風險識別、風險度量和風險監控三個環節構成的循環，內部審計對于風險的管理也必然是一個動態的過程，需要整合相關資源對風險全流程進行管理，及時進行重新評估和應對。目前，外部審計機構正在大力開展管理咨詢業務，憑借其專業優勢和成本優勢，越來越多的重復性內部審計工作已呈現外包化趨勢。內部審計如果仍在“查錯防弊”階段止步不前，將越來越難以為企業創造價值。因此，只有積極參與企業內部風險管理，并在此基礎上與其他風險管理部門密切配合，形成強有力的風險管理體系，才能有效為企業保駕護航，這或許是內部審計的長遠發展方向。

作者:姜傳志 胡增會 單位:青島中油巖土工程有限公司

參考文獻:

[1]曹偉,桂友泉.2002:內部審計與內部控制[J].審計研究(1),P27-30.

[2]費朵,鄒家繼.2008:項目風險識別方法探討[J].物流科技(8),P139-141.

第3篇

在市場經濟條件下，每個企業都面臨著來自外部和內部的風險。企業內部控制就是通過對風險的控制以實現其目標的，風險評估是企業內部控制的重要內容之一。內部控制中的風險評估的概念有廣義和狹義之分。廣義的風險評估包括目標設定、風險識別、風險分析、風險應對等；狹義的風險評估僅僅是指風險分析，即通過采用定性分析和定量分析，按照企業風險發生的可能性及其影響程度等，對識別的風險進行分析和排序，確定關注重點和優先控制的風險。

一、《內部控制框架》中的風險評估

美國COSO委員會《內部控制框架》所使用的風險評估概念屬于廣義風險評估，《內部控制框架》將其作為內部控制的關鍵構成要素。

（一）設定目標

根據《內部控制框架》，風險評估首先要設定目標。設定目標是風險評估的前提條件。風險是與目標伴隨的，首先必須有目標，管理層才能對實現目標的風險進行識別。根據《內部控制框架》，目標設定不屬于內部控制的構成要素，但它是內部控制的前提條件，為此《內部控制框架》專門對目標設定進行了論述。目標包括企業層面的目標和業務層面的目標。管理層通過目標設定來明確業績衡量標準，目標具體分為經營目標、財務報告目標和合規目標。經營目標是管理層基于企業所處特定經營環境所設定的業績衡量標準；財務報告目標在于對外公布的財務報告的可靠性；合規性目標則要求企業的經營活動遵循適用的法律法規。這些目標是相互補充和相互關聯的。

（二）風險識別

1.風險識別必須與目標聯系，無論目標是明確的還是隱含的，企業的風險識別應當考慮到目標實現面臨的各種可能出現的風險。2.風險識別是一個持續性、反復的過程。3.進行風險識別時應當關注企業各個層面的風險，包括企業層面的風險和業務層面的風險。對主體層面的風險進行識別時，既要關注外部風險，也要關注內部風險。來自外部的風險主要有技術進步引起的風險、客戶需求變化風險、市場競爭風險、法律法規變動風險、自然災害風險以及經濟環境變化風險等;來自內部的風險包括信息系統故障風險、員工素質能力等方面的風險、管理層變動風險以及董事會或審計委員會不作為的風險等。對業務層面的風險進行識別時，應當將該層面的風險評估集中于主要業務流程和主要職能上，如銷售、生產、營銷、研究開發等。應當識別對企業有重大影響的較為明顯的風險。

（三）風險分析，即狹義的風險評估

企業在對企業層面的風險和業務層面的風險識別后，則需要進行風險分析。風險分析的方法多種多樣。風險分析的過程通常包括估計風險的嚴重性、評估風險發生的可能性、評估應采取的措施等三個步驟。應當注意的是，作為內部控制一部分的風險評估，與作為管理過程應對措施而采取的計劃、方案及其他措施存在著區別。

（四）建立識別環境變化的機制

風險評估本質上是一個識別變化并采取必要措施的過程。隨著經濟、行業和監管等外部環境的變化，企業的經營活動也將發生相應的調整，企業應當建立一套正式或非正式的程序，對可能影響企業目標實現的風險進行識別。管理層應當特別關注以下對環境影響的因素，這些因素包括已變化的經營環境、管理層人員更換及員工大規模更換、使用新的或調整后的信息系統、經營業務快速增長、采用新技術、開拓新的經營領域、進行公司重組等。企業應當建立一定的機制，對發生變化的外部環境進行識別。

二、《企業風險管理框架》中的風險評估

美國COSO委員會2004年的《企業風險管理框架》中將風險管理的要素劃分為內部環境、目標設定、事項識別、風險評估、風險應對、信息與溝通和監控等八要素。根據《企業風險管理框架》，風險評估就是要對識別的風險進行分析，以形成確定如何對其進行管理的依據。這實際就是《內部控制框架》中的風險分析，屬于狹義上的風險評估概念?！秲炔靠刂瓶蚣堋分械娘L險評估實際上包括事項識別、風險評估、風險應對三項內容，而目標設定則作為內部控制的前提條件，不屬于內部控制要素的范圍。

風險總是與特定目標的實現相聯系。如不出國旅游，則不會涉及到飛機失事的風險。根據《企業風險管理框架》，實施風險管理首先就涉及到設定目標。目標設定是事項識別、風險評估和風險應對的前提。《企業風險管理框架》正是出于風險管理的需要將目標設定作為風險管理的構成要素之一?！镀髽I風險管理框架》中的目標包括戰略目標和相關目標，戰略目標是最高層次的目標，而相關目標則是建立在戰略目標基礎上的企業層面等的目標，企業層面的目標與更為具體的目標相關聯,貫穿于整個企業，并具體為各項業務和各項職能的次級目標?！镀髽I風險管理框架》要求設定的目標應當是可計量的，并要求企業各個層次人員根據各自所影響的范圍了解企業設定的目標。設定的目標分為經營目標、報告目標、合規目標等三項。作為風險管理的一部分，企業在選擇目標時要確保其目標與企業的風險容量相協調。風險容量是企業管理當局在董事會的監督下確定的，反映著企業的風險管理理念，并影響企業的文化和經營風格，是制定戰略目標的風向標。戰略目標應當選擇與其風險容量一致的目標，并使風險反映于戰略目標之中。

《企業風險管理框架》中的事項識別要求管理當局對源于內部或外部的影響戰略實施或目標實現的事故或事件進行識別，對企業目標實現將帶來負面影響的確定為風險，并對其進行評估和應對；將存在正面影響的確定為機會，將其反饋到戰略或目標的制定過程之中。在對事項進行識別時，必須考慮企業整體范圍內可能帶來風險和機會的所有內部和外部因素。外部因素需要考慮的通常包括經濟因素、自然環境因素、政治因素、社會因素、技術因素等；而內部因素需要考慮的通常包括人員、流程、技術等因素。

《企業風險管理框架》中的風險評估（即風險分析）要求進行風險評估時，既要考慮預期事項也要考慮非預期事項，對可能對企業存在重大影響的非預期的潛在事項和預期事項的風險進行評估；既要考慮固有風險，也要考慮剩余風險。固有風險是指管理當局未采取任何措施的情況下企業所面臨的風險；而剩余風險則是在管理當局進行風險應對之后所殘余的風險。確定相應的風險應對后，則集中考慮剩余風險的管理。

《企業風險管理框架》中的風險應對要求企業管理當局評估風險的可能性和影響，并在成本效益比較的基礎上，選擇能夠使剩余風險處于期望的風險容限范圍之內的應對策略。風險應對策略包括風險回避、風險降低、風險分擔和風險承受。管理當局應當在企業范圍內識別風險并確定企業總體剩余風險處于企業風險容量之內。

三、我國《企業內部控制基本規范》中的風險評估

我國《企業內部控制基本規范》中的風險評估使用的是廣義上的風險評估概念，包括目標設定、風險識別、風險分析和風險應對?！痘疽幏丁芬笃髽I應當根據設定的控制目標，全面、系統、持續地收集相關信息，結合實際情況，及時進行風險評估。根據《基本規范》。風險評估的具體過程包括：

（一）控制目標的設定

設定控制目標是進行內部控制，特別是風險評估的前提。企業應當根據自身的實際情況，按照本身的發展規劃合理確定戰略目標。設定的目標應當盡可能量化，并細化為各業務活動和各職能部門的具體目標。內部控制目標的設定要切實可行，與內部控制發展的不同階段相適應，設定不同要求的內部控制目標，并隨著內部控制的發展，逐步提升內部控制目標。

（二）風險識別

《基本規范》要求企業進行風險評估時，應當準確識別與實現控制目標相關的內部風險和外部風險，確定相應的風險承受度。風險承受度即風險容量，是企業能夠承擔的風險限度，包括整體風險承受能力和業務層面的可接受風險水平。

企業在識別內部風險時，應當關注和考慮的因素包括：1.董事、監事、經理及其他高級管理人員的職業操守、員工專業勝任能力等人力資源因素；2.組織機構、經營方式、資產管理、業務流程等管理因素；3.研究開發、技術投入、信息技術運用等自主創新因素；4.財務狀況、經營成果、現金流量等財務因素；5.營運安全、員工健康、環境保護等安全環保因素；6.其他有關內部風險因素。上述因素的現狀往往是風險存在的基礎，上述因素的變動則往往會誘發新風險的產生。

企業識別外部風險，應當關注和考慮的因素包括：1.經濟形勢、產業政策、融資環境、市場競爭、資源供給等經濟因素；2.法律法規、監管要求等法律因素；3.安全穩定、文化傳統、社會信用、教育水平、消費者行為等社會因素；4.技術進步、工藝改進等科學技術因素；5.自然災害、環境狀況等自然環境因素；6.其他有關外部風險因素。上述因素實際上是企業經營活動所處的外部環境，外部環境的變動必然會影響到企業的經營活動，有可能給企業帶來新的風險，如一項新的技術被其他同行所采用，有可能導致企業所占有的市場份額發生變化而帶來風險。再如政府頒布實施較過去更為嚴格的監管法律，由此可能導致本企業傳統加工方法無法繼續使用，從而導致風險的產生。

（三）風險分析

《基本規范》要求企業采用定性與定量相結合的方法，按照風險發生的可能性及其影響程度等，對識別的風險進行分析和排序，確定關注重點和優先控制的風險。鑒于風險分析的專業性和復雜性，要求企業進行風險分析時充分吸收專業人員，組成風險分析團隊，按照嚴格規范的程序開展工作，確保風險分析結果的準確性。風險分析的目的在于為企業風險應對提供依據。由于企業董事、經理和其他高級管理人員在企業經營活動中的特殊地位，其個人風險偏好對經營活動等具有重大影響，企業應當合理分析、準確掌握董事、經理及其他高級管理人員、關鍵崗位員工的風險偏好，并予以特別關注，避免因個人風險偏好給企業經營帶來重大損失。

（四）風險應對