时间:2023-06-26 16:13:48
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇风险识别及评估范例。如需获取更多原创内容,可随时联系我们的客服老师。
对项目评估中涉及的无形资产进行风险管理,首先要明确无形资产风险的影响因素有哪些,即都有哪些形成风险的原因。其次,要采用适当的风险识别方法对项目评估中涉及的无形资产进行有针对性的风险识别。
一、无形资产风险的影响因素
评估人员要通过密切结合企业内外部环境动态地分析无形资产的风险种类和风险影响力。通过对形成无形资产风险的主要原因的分析,可以明确无形资产风险的影响因素:
(一)没有一个通用的定义,范围的不确定性,对应的无形资产价值分配不确定性的风险。
(二)外界产业环境、行业行政性发展规划及政策对无形资产使用的影响,对应的无形资产有效期限的不确定风险。
(三)无形资产市场的供求变化及竞争程度,部分无形资产的市场影响度和占有率,无形资产特许权使用费的标准,等等,对应的无形资产在未来所能获取的现金流量的不确定性风险。
(四)资产的隐性成本、机会成本,资产的较低使用效率、操作不规范,管理上未形成完善的管理控制体系,对应的无形资产投入产出及利用效率不确定的风险。
(五)无形资产的使用和管理人员法制观念、职业道德、工作经验等方面的欠缺,对应的无形资产价值毁损甚至产生负收益的风险。
二、无形资产风险识别方法分析
无形资产的风险识别可以借鉴有形资产的风险识别方法,同时考虑无形资产的特殊性,从定性和定量相结合的角度全面剖析企业采用项目在经营活动中可能面临的各种无形资产风险及其形成的根源。
(一)资产形成流程识别方法,即对项目所涉及的无形资产,从其形成流程中分析,对每一个过程、环节进行检查,发现其中潜在的风险,挖掘产生风险的根源。例如,对于项目中涉及的品牌这一无形资产,研究品牌资产从创立之初到形成品牌影响力的过程中是否存在使品牌未来价值发生变动的风险因素,并预估如若风险发生可能给项目实施带来的影响和为预防风险企业需要采取风险管理措施的成本费用。
(二)类比借鉴分析法,即分析企业实施某个项目所面临的内外部环境及涉及的无形资产的种类,寻找相似环境中的同类无形资产,借鉴该同类无形资产已经识别或暴露出的风险对比分析项目中的无形资产的风险。比如专利权,该类无形资产已经为企业和社会所熟识,比较容易找到符合条件的相似资产,通过类比借鉴分析,可以对其风险进行识别。
(三)职能结构分析法,即充分利用企业的职能部门分别在不同的职能范围内进行无形资产风险分析,财务部门针对无形资产财务状况进行分析,风险管理职能部门就无形资产风险清单进行调查,企业管理层就无形资产事故组织专家调查等。比如商誉这种无形资产,在企业进行项目评估时,必须考虑项目的实施成功与否可能会给企业的整体商誉带来的影响,就可以采用职能结构分析法,识别其各种风险,进行相应地风险管理。
三、无形资产的风险管理
对无形资产风险的影响因素分析是为了帮助识别鉴定无形资产的风险,而对无形资产风险的识别是对无形资产风险管理的基础,无形资产特殊性以及不确定性,增加了项目评估中可行性决策的风险。企业必须要加强对无形资产风险的认识,践行无形资产风险管理。
(一)无形资产风险评估。风险评估即对无形资产风险发生的可能性及其损失程度进行评估,为进一步的无形资产风险管理准备,对无形资产风险认识、评估与管理可以使企业的项目评估结果更具说服力。首先,采用定性的方法确定风险类别;其次,采用定量的方法计算预测风险的期望收益;然后选用适当的分析模型,采用定性定量相结合的方式对风险进一步分析。鉴于无形资产的高风险高收益高破坏力的特性,必须尽可能的对无形资产可能面对的各种情景加以分析,重点关注风险发生概率大的无形资产。
(二)无形资产风险控制。对无形资产进行风险控制,一是降低风险发生的可能性,二是减少风险带来的损失。企业在项目评估过程中,要评估与相应的无形资产对应的风险控制方法以及动态管理无形资产风险的能力。应注意三个方面:一是风险发生之前能够进行事前控制,控制的手段不应仅仅局限于风险管理计划中的风险规避措施,还应能够根据实际情况确定应变措施。二是风险发生时,能够快速进行风险分析并制定应对措施。三是风险发生后,能够形成反馈管理机制。
四、结语
在知识经济时代,无形资产这一战略性发展资源对企业的贡献越来越大,企业拥有的无形资产体现了企业的科学技术能力和知识文化能力,无形资产成为企业利益来源的同时也提升了企业的综合实力和竞争力。但是,无形资产所固有的风险及其特征也可能给企业带来现实的或潜在的巨大损失。正是由于无形资产的地位日益凸显,企业资产结构中无形资产比重迅速上升,项目评估中所涉及的无形资产也相应增多,在项目评估过程中,企业必须高度重视无形资产的风险识别及其风险管理,进一步提高无形资产的风险评估意识和风险管理水平。
参考文献
[1] 戴洪健,邱展法.无形资产评估探讨[J].南方论刊,2007 (02):42-43.
[2] 刘霞,傅国林.无形资产审计过程中的风险点及防范[J].会计师,2013(05):9-11.
[3] 彭冰.基于期权定价模糊二叉树模型的无形资产评估研究[D].江西理工大学,2012.
【关键词】税收;风险;评估;系统设计
一、税收风险识别系统设计
税收风险识别是对资产当前或未来所面临的、潜在的风险加以判断、归类以及对风险性质进行鉴定的过程。(1)税收风险识别流程。首先由税收风险管理部门组成工作小组,制定检测分工与时间计划,确定检测方案,收集相关税收法律法规进行讨论;然后通过座谈会,实地调查询问,调阅账簿、凭证、财务报表等方式,将发现的税收风险制定识别报告。其中检测方案的选择是该部分工作的核心。(2)税收风险识别因素。根据我国《大企业税务风险管理指引(试行)》中的要求,企业应结合自身税收风险管理机制和实际经营情况,重点识别以下税收风险因素:董事会、监事会等企业管理层以及管理层的税收遵从意识和对待税收风险的态度、涉税员工的职业操守以及专业胜任能力;企业的组织机构、经营方式以及业务流程;技术投入和信息技术的运用情况;财务状况、经营成果以及现金流情况;相关内部控制制度的设计和执行情况;经济形势、产业政策、市场竞争及行业惯例;有关法律法规以及其他有关风险因素。(3)税收风险识别方法。税收风险识别的方法很多,常用的有财务状况分析法、流程图法、决策分析法、风险清单分析法等。税收风险的识别可以选择不同的方面、不同的角度进行,但在实际操作时,应视企业具体情况灵活运用。流程图法对企业管理要求低,可以将复杂的生产过程或业务流程简单化,易于发现企业税收风险。税收风险流程图是针对企业主要涉及的税种,从税法的构成要素角度,对纳税义务人、征税对象、税目、税率、应纳税额、税收优惠等环节逐一进行分析识别。通过建立一系列流程图,对企业纳税的所有环节进行逐一分析,并通过与现行税法规定的比较,发现潜在的税收风险,如图1。
二、税收风险评估系统设计
在风险识别的基础上,企业税收风险管理人员需进一步分析风险发生的可能性以及对目标实现的影响程度,从而对风险进行评估。风险评估的内容应包括风险发生的可能性和对企业目标的影响程度两个方面。(1)税收风险评估系统流程。首先由税收风险管理部门分析识别并汇总归类税收风险,然后测算税收风险大小以及给企业带来的损失,继而依据测算结果对税收风险进行警示排序并编写税收风险评估报告,最后建立企业税收风险数据库用来对未来风险进行纵向比对和参考。税务风险
图1税收风险识别流程图
评估可以由企业风险管理部门协同有关部门进行,也可以委托具有相关资质和专业能力的中介机构协助进行。(2)税收风险评估的方法。税收风险评估的方法主要有风险坐标图法、蒙塔卡罗法、风险指标管理法等,其中风险坐标图法最为实用,最为直观。风险坐标图法是把风险发生可能性的高低、风险发生后对目标的影响程度,作为两个维度绘制在同一个平面上,然后对业务的风险点进行测算,并得出每个风险点给企业带来的可能的经济损失。根据税收风险发生的可能性高低和税收风险对企业的影响程度绘制出企业风险坐标图。
三、税收风险应对系统设计
在风险评估的基础上,风险管理工作人员应及时确定应对风险的策略。企业可根据风险的可能性和影响程度,综合考虑企业风险偏好、企业风险承受能力、企业经济效益等各个方面,选择适合本企业的风险应对方案。企业在选择应对方案时应特别注意以下几各方面:其一,不同的风险应对方案会导致不同的结果,有时合理的方案组合可以产生最优的控制结果,企业在选择应对方案时应通盘考虑。其二,考虑风险应对方案时,不应仅限于降低已识别出的风险,还应考虑可能给企业带来的机会。其三,企业内部不同部门之间存在风险相互抵消的可能,有时候税收风险超出了企业某个部门风险承受能力,但其他部门风险收益远远大于此部门的损失。因此,企业在选择应对方案时应从企业角度通盘考虑,从而达到企业收益最大化的目标。(1)税收风险规避策略。税收风险规避策略就是指某企业对超出该企业风险承受能力的税收风险,选择放弃与该风险有关的业务活动从而达到避免或减轻该税收风险的策略。税收风险规避策略可以让企业避免不必要的风险损失。不过,这种行为也有一定的局限性:一方面当税收风险可能导致的损失较高,甚至超出企业可能获得的收益时,选择规避风险是正确的;另一方面当实施纳税风险避免措施付出的成本较高时,就无法采取风险避免措施,甚至有的税收风险是不可避免的。因此,税收风险规避策略虽然是简单可行的,但面对许多税收风险并不一定适用。(2)税收风险降低策略。税收风险降低策略的关键在于降低风险发生的可能性以及风险损失减轻的程度。税收风险降低策略要求企业从两个方面入手制定方案,一方面通过控制税收风险因素,降低税收风险发生的概率;另一方面通过控制税收风险发生的频率达到降低风险的损害程度。企业税收风险管理人员可以通过提高税收风险识别和度量的科学性,避免税收风险损失;也可以通过科学分析税收风险因素,降低税收风险事故的发生概率,到达减少和隔离已存在的税收风险因素。税收风险降低策略可适用于大多数企业。(3)税收风险转移策略。风险转移就是将风险转嫁给参与风险发生行为计划的其他主体上,可以通过合约的形式进行公证,借助其他行为主体的力量将自身的税收风险化解,比较常用的有选择购买保险和签订合同两种方式。购买保险的方式就是通过购买保险将企业不确定的损失转化为确定的费用。签订合同的方式就是把风险转移给其他行为主体,将自身的风险损失彻底消除。现实中,企业可以通过税务业务,将一定的税收风险转嫁给税务事务所。采用税收风险转移策略时,企业应聘请税务顾问,事先进行税收筹划,将税收风险合理、合法地转移给其他行为主体。(4)税收风险承担策略。税收风险承担策略就是企业在权衡成本效益的前提下,不准备采取任何控制措施降低风险或减轻损失的策略。风险承担策略符合成本效益原则,一般选择该策略的税收风险较低,同时化解该税收风险所需的成本费用相对更大,所以企业会选择承担策略。比如企业发生违规税收风险损失为100万元,采取聘请专家进行指导或跟税务部门沟通所需支出的数额远远大于这个该损失,因此企业会选择税收风险承担策略,自愿承担该损失。当然,企业在最终选择何种税收风险应对策略时,应通盘考虑税收风险分析结果,税收风险构成因素以及企业自身情况,从企业整体利益出发,综合选择不同的税收风险应对策略,最终实现企业利益最大化。
【关键词】 房地产业 台儿庄运河古城 项目建设 风险管理 风险识别 风险评估
房地产业,是一个盈利水平较高但因较高的不确定性而同样有着高风险的行业。房地产项目因投资额度高、投资周期长,涉及的风险既广泛且复杂,而且很容易受所在国家和地区社会经济情况的影响,难以预测未来市场走势而存在高度风险。国内房地产开发企业普遍缺少对其项目的系统管理,故而许多风险因素得不到有效控制的情形普遍存在于房地产项目中,这进一步导致了项目盈利能力的下降。另外,房地产投资本身也存在着一些固有的短板,如资金筹措难、交易纠纷多、变现能力低等。以上因素导致了房地产投资的成败存在不容忽视的不确定性。因此,在房地产项目管理中,管理者必须充分了解风险,根据主客观情况,估算自身的风险承受能力,以图最大限度把握和防范风险。本文将结合“台儿庄运河古城”这一文化产业型商用房地产项目的具体情况,应用风险管理学的相关理论,通过层次分析方法,对目标项目建设阶段进行定性定量的风险识别,风险评估,最后提出成本、质量、工期、技术方面的风险应对措施。
一、台儿庄运河古城项目概况
台儿庄运河古城项目属于产业型商用房地产项目。该项目位于山东省枣庄市台儿庄区台儿庄镇月河(古运河)上游古繁荣街、箭道街及周边区域,坐落于枣庄市台儿庄区。台儿庄古城既是民族精神的象征、历史的丰碑,也是中国运河文化的珍贵承载体,至今仍保留有相当存量的遗存,世界旅游组织誉之为“活着的运河”、“京杭运河仅存的遗产村庄”。重建后的台儿庄古城,是中国第一座二战纪念城市,世界上第四座重建古城、第三座二战城市,全国唯一海峡两岸交流基地,国家AAAA级景区。本项目风险集中阶段为项目建设阶段。
二、项目建设阶段的风险识别
为识别项目建设阶段的风险,必须填列项目初始风险清单,并从中找出影响本项目的关键风险因素。如表1所示,项目建设阶段主要风险可归结为成本风险、工期风险、质量风险和技术风险四类。项目建设阶段风险分解清单见表1。
三、项目建设阶段风险评估
为确定项目中存在的风险因素对项目有何种程度的影响,现将已识别的风险因素进行分类,并根据分类构建风险判断矩阵,对项目建设阶段的风险因素进行评分,即由公司从参与建设的各部门,依照适宜的比例抽调业务骨干,对所列风险进行评分。按照层次分析法的基本步骤,对已分类的风险因素与其对应因素作比较,根据该因素在项目中的重要程度来计分并在此基础上计算权重,结果详见表2、表3、表4、表5、表6。
从表7可见,本项目建设阶段主要风险因素从高到低依次是成本风险、工期风险、技术分险、质量风险。对各类风险因素对应的子因素进行排序,可确定项目建设阶段的高风险、中风险、低风险。
风险的影响因素从高到低依次为材料价波动、自然灾害、方案工艺、合同疏漏、承包商、生产力不足、新材料失败、设计原因、人员素质、组织不力、安全事故、材料问题、设备条件。其中,高风险包括材料价波动、自然灾害、方案工艺、合同疏漏;中风险包括承包商、生产力不足、新材料失败;低风险包括设计原因、人员素质、组织不力、安全事故、材料问题、设备条件。应根据此排序进行定性的风险应对计划制定工作,采取有力、有针对性的措施防范风险。
四、项目风险应对措施
通过前文的分析可知该项目的主要风险因素的分布和权重。下文将针对表7所示的风险因素的特点进行深入研究,并找出切实可行的初步风险应对措施。
1、成本风险控制措施
一是材料价格波动风险控制措施。由表7可见,材料价格波动因素在整个项目建设阶段占据了最高的权重。引起建工原材料价格上涨的因素有许多,作为开发商来讲该部分风险无法控制,但却可以规避,例如进行风险转移、选择施工的时期错开价格高峰、在价格低谷时期囤积原材料等。二是设计上存在的风险并不大,只需合格的设计者对设计方案保持谨慎的态度便可应对。三是控制合同风险的措施,主要是对投标人进行严格的资格预审,招标文件和相应的合同文件应认真编制。利用履约保函、质量保证金等适宜经济手段,对呈报承包商进行有效约束,确保其在履行合同过程中的行为合法合规。
2、质量风险控制措施
一是为施工过程中的质量、环境、职业健康制定安全综合管理方针。二是建立一体化管理体系,形成由管理手册、程序性文件、企业标准、操作(检验)规范、其他支持性文件和运行记录构成的整合型文件体系。质量管理体系应覆盖设计开发、材料、零部件、工艺、检验、计量、设备等过程,各专业质量控制系统由相应的专业技术人员担任责任工程师,对各生产环节的质量负责。在每个专业领域,公司均指派一名副总工程师担任负责人,协调和监督各专业质控系统责任工程师工作。三是对质量控制工作开展预先策划。对重大项目、高难度项目由专业的质量工程师会同有关设计、工艺、生产技术人员编制专题质量控制计划。质量控制计划规定了不同生产阶段材料、零部件、生产过程需要遵循的技术要求、质量检验和记录要求。通过质量计划的实施,有效降低了质量失控的可能性,提高了质量控制的可靠性和可信度。四是按照原材料、半成品的质量特性要求配备充分的专业检验检测设备,严格遵循相关的标准、规定、图纸要求,采用严格的检验检测手段,从前期设计、原料入库到成品完工进行全过程检测,保证产品符合规定要求。
3、工期风险控制措施
房地产开发项目投资规模大、开发周期长、涉及的环节多,项目干系人不仅多而且关系复杂,有投资商、开发商、承包商、供应商、银行、政府相关部门人员等。期间若某环节出现突发状况,将会不同程度上对项目的进度推进造成不同程度的负面影响,目标工期可能因此滞后延迟。所以,在协调项目利益相关方的关系时应采取适宜有效的措施来规避风险。一是与政府、银行等机构的相关职能部门和人员建立稳固的关系并进行良好的沟通,在项目推进过程中协同工作,保证信息流畅准确地共享和传递,最大限度削减项目面临的阻力,确保项目按计划进行。二是巩固并加强项目相关方之间以及项目管理团队内部的有效协调沟通。在项目运作过程中,项目相关方之间保持良好的沟通以预防和消除误会、保持伙伴关系,是项目按计划进行的保障和前提;协调调配项目相关方可调用的资源、集中优势是项目按计划进行的保障和必要手段。三是与承包商、供应商等上游企业建立稳固的战略伙伴关系。在项目实施过程中,不能只把承包商、供应商当作履行合同的一方主体,而且应与履约能力强、重合同守信用的承包商、供应商建立一种长期伙伴关系,充分调动相关企业的积极性,确保项目如期保质保量完成。
4、技术风险控制措施
本项目的技术风险为技术使用风险。房地产建设阶段,不可避免地会对施工人员及周边环境造成一定的不利影响,协调项目与当地居民的关系,尽可能避免建设时对当地居民的干扰,以及建设后对环境可能造成的长期损害,是项目组不可回避的难题。一是为降低建设时对施工人员和民众的影响,应预先调查当地居民的生活规律,选用环保的原料,设计合理的施工流程,运用充足的安保措施,减少施工噪音、粉尘和交通等方面对人和环境的损害;二是为避免对环境的长久破坏,应事先调查历史上自然形成的古镇格局,结合当地水文环境的变迁,根据项目的具体需要,合理安排古镇的建筑位置和风水格局。
五、结语
本文应用风险管理的理论和方法对“台儿庄运河古城”这一房地产开发项目进行了风险识别和评估,并且初步提出了具备可行性的风险应对措施。
由于房地产开发周期长,在项目实施过程中必然会存在许多无法预测的风险,必须在决策上注重风险防范和在项目实施过程中采取风险综合管理措施,才能有效地预防和控制风险。为最大可能降低风险因素的影响,应采用综合治理的原则,动员多方力量,合理分配风险责任,确立风险利益的共同体,建立全面风险管理控制体系,确保落实风险管理工作。
【参考文献】
[1] 邹吉林:房地产项目风险管理:以皇家公馆项目为例[D].西南交通大学,2009.
[2] 叶海涛:中油山东销售公司加油站开发项目风险管理研究[D].中国石油大学(华东),2010.
[3] 李健:基于市场风险考虑的房地产投资决策分析[J].中国房地产业,2011(9).
[4] 刘成和:铁路桥梁项目施工质量管理研究[D].西南交通大学,2009.
[5] 肖玉刚:混凝土工程项目质量控制研究[D].天津大学,2006.
[6] 李新远:工程施工质量管理的研究[D].西南交通大学,2008.
[7] 杨宛聪:张掖电力工程公司生产运营系统设计与再造[D].兰州大学,2008.
[8] 郭辉:山东华能辛店电厂机组扩建工程质量控制研究[D].南昌大学,2007.
[9] 杨昭:房地产企业财务风险分析与评估[D].天津大学,2009.
[10] 孙纪友:杭州市房地产周期波动及其影响因素分析[D].浙江理工大学,2009.
[11] 严锐:房地产投资风险管理[D].复旦大学,2004.
[12] 李扬:西安曲江・观山悦项目风险评价研究[D].北京工业大学,2009.
[13] 殷婷婷:资源枯竭型城市经济发展软环境建设研究――以枣庄市为例[D].山东师范大学,2012.
[14] 郭刚:房地产投资风险管理[J].新西部(下旬刊),2008(4).
[15] 朱敢平:天津地铁工程项目中的风险管理研究――以天津地铁2号线项目为例[D].南开大学,2009.
[16] 黄猛:房地产投资项目评估体系研究[D].西南财经大学,2007.
[17] 赵斌:聊高公路第三合同段施工质量控制研究[D].大连理工大学,2009.
[18] 区奇聪:浅谈住宅项目施工质量管理[J].中国科技纵横,2010(15).
[19] 张宁宁:房地产投资风险分析[D].鞍山科技大学辽宁科技大学,2006.
[20] 王文忠:论建筑工程施工中的质量管理[J].科技创新导报,2008(27).
[21] 许珍等:论房地产投资的风险与防范[J].科技经济市场,2008(12).
[22] 董宏伟:军队院校基建营房建设风险管理研究――以某军队院校为例[D].国防科学技术大学,2010.
[23] 卢汉伟等:浅析工程建设项目全面风险管理和风险控制[J].科技信息,2011(6).
[关键词]供应链风险;识别和评估;六西格玛;FMEA
[中图分类号]F274 [文献标识码]A [文章编号]1005-6432(2011)2-0094-03
1 故障模式与影响分析(FMEA)
故障模式与影响分析(FMEA)是一项在产品出售给客户之前,用于确定、识别和消除在系统设计、过程和服务中已知和潜在的失败、问题、错误的工程技术。
一项FMEA工作包括:确定已知和潜在的失效模式;确定各失效模式的原因和影响;将已确定的失效模式依照其风险度(对严重度、频度、监测难度的综合评定)进行排序;提供后续问题的纠正措施。
2 供应链运作流程分析
采用由供应链协会SCC(Supply-Chain Council)开发并授权的跨行业的供应链运营参考模型(SCOR)对供应链运作流程进行分析。
SCOR将供应链分解为5个流程:计划、采购、制造、配送和退货。计划是指平衡需求和供应,制作一系列行动方案,以更好地为其他4个流程服务。采购是指按计划或需求进行获取物料和需要的服务。制造是指按库存制造、按订单制造、按订单设计的生产实施。按配送制造是指为库存生产、按订单制造和按订单定制的产品进行订单、仓库、配送和装配的管理。退货是指该流程与任何原因的退货和交付后的客户支持相联系,包括将原材料返回给供应商和客户的退货。
供应链SCOR模型的层次如图 1所示,第一层描述了5个基本流程:计划、采购、制造、配送和退货。定义了SCOR模型的范围和内容,并确立了企业竞争性能目标。第二层是配置层,根据订单状况配置公司供应链。通过独特的供应链配置,公司实施其运营策略。
第三层是流程分解层,把第二层每个流程进行细化、具体化。使流程更加具体,给出公司在选定市场中成功经营的竞争能力。在这一层面上对流程进行分析,识别失效模式、失效后果。
(1)计划流程和失效分析(见图2、表1)
供应链网络因素:供应链成员战略目标不一致,供应链绩效管理不完善,供应链库存管理不完善,供应链配送管理不完善,数据收集不完备
组织因素:战略计划不准确,风险意识薄弱,计划流程的规则不健全,供应链计划与财务计划脱节
(2)采购流程和失效分析(见图3、表2~表5)
(4)配送流程和失效分析
配送库存产品和面向订单生产的产品的过程包括处理询问和开价、接收,登记和核实订单、预留库存和决定配送日期、合并订单、包装产品、装载和产生配送记录、运送产品、顾客接收和核实产品、安装产品。
配送面向订单定制的产品过程包括:获得和回应建议要求书和报价要求书、谈判和接受合约、登记订单和发动项目、采购或制造材料、包装产品、装载和产生配送记录、运送产品、顾客接收和核实产品、安装产品。
配送零售产品过程包括:产生库存安排、酒店接收产品、储存货架、填写购物卡、校验、发送、安装。
影响因素:管理配送规则,评估配送绩效,管理配送信息,管理成品库存,管理配送资本资产,管理产品生命周期,进出口管制。
潜在失效模式:配送延误,配送丢失,配送错误(见表8、表9)。
3 供应链风险评估
测量阶段使用过程失效模式与影响分析(Failure Mode and Effect Analysis,FMEA)对每个潜在失效原因的风险度进行评估。首先运用头脑风暴法分析在计划、采购、制造、配送、退货5个过程中的潜在失效模式、潜在失效后果。针对每个潜在失效后果,评估其严重度,然后分析造成这种后果的潜在失效原因。并评估每个潜在失效原因的频度和探测难度,最后得到每个潜在失效原因的风险度。
3.1 潜在失效后果严重度(Severity)的模糊评估
潜在失效后果的严重度是指后果的影响程度,影响越大,严重度越高,相反,影响越小,严重度就越低。FMEA严重度是由相关人员根据主观感受直接地判断对总体绩效的影响程度。笔者认为影响程度是很难评估的,FMEA用的方法过于简单,在潜在失效原因和总体绩效之间还有很多层次,很多中间因素是不能忽略直接衡量其对总体绩效的影响的,而层次分析法(Analytic Hierarchy Process,AHP)则不存在这样的缺点,而且结合了定量和定性的方法,比单纯用德尔菲(Dephi)法更准确。根据FMEA的程序,以1-10为级别对失效原因的发生频度和探测难度进行评估。
在对潜在失效后果严重度进行评估的时候运用了AHP法,得出的权数之和为1,数值比较少,为了不和频度和探测难度发生数量级的问题,必须对这些权数进行调整。在测量和分析阶段定义了12个潜在失效后果,对严重度进行转换。把权数按照从小到大的顺序排列,第一和第二个为等级1,第十一个和第十二个为等级10。中间的分别为等级2到等级9。这样,严重度和频度、探测难度的表示方法达到了一致。最后得到失效原因的风险度
RPN=OxSxD
参考文献:
[1]Supply-Chain Council,Supply Chain Operations Reference Version 8.0[DB/OL].省略,2009-05-10.
一、引言
信息时代为国家和个人提供了全新的发展机遇和生活空间,但也带来了新的安全威胁。信息安全的威胁可能来自内部的破坏、外部的攻击、内外勾结的破坏和信息系统自身的意外事故等,因此我们应按照风险管理的思想,对可能的威胁和需要保护的信息资源进行风险分析,以便采取安全措施,妥善应对可能发生的安全风险。信息安全风险评估是依据国家信息安全风险评估有关管理要求和技术标准,对信息系统及由其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。根据ISO27001的管理思想,信息安全风险评估在信息安全管理的PDCA环中是一个很重要的过程,如何处理信息安全风险评估所产生的数据,是每一个信息安全管理者都非常迫切需要解决的一个问题。最好的解决方法是开发出一套实用性强、可操作性高的系统安全风险评估管理工具。
二、风险评估过程
信息安全风险评估系统的设计是针对组织开展信息安全风险评估的过程。这个过程包括对信息系统中的安全风险识别、信息收集、评估和报告等。风险评估的实施过程如下页图1。
1.评估前准备。在风险评估实施前,需要对以下工作进行确定:确定风险评估的目标、确定风险评估的范围、组建风险评估团队、进行系统调研、确定评估依据和方法、制定评估计划和评估方案、获得最高管理者对工作的支持。
2.资产识别。资产识别过程分为资产分类和资产评价两个阶段。资产分类是将单位的信息资产分为实物资产、软件资产、数据资产、人员资产、服务资产和无形资产六类资产进行识别;资产评价是对资产的三个安全属性保密性、可用性及完整性分别等级评价及赋值,经综合评定后,得出资产的价值。
3.威胁识别。威胁识别主要工作是评估者需要从每项识别出的资产出发,找到可能遭受的威胁。识别威胁之后,还需要确定威胁发生的可能性。
4.脆弱性识别。评估者需要从每项识别出的资产和对应的威胁出发,找到可能被利用的脆弱性。识别脆弱性之后,还需要确定弱点可被利用的严重性。
5.已有安全措施确认。在识别脆弱性的同时,评估人员将对已采取的安全措施的有效性进行确认,评估其是否真正地降低了系统的脆弱性,抵御了威胁。
6.风险分析。风险评估中完成资产赋值、威胁评估、脆弱性评估后,在考虑已有安全措施的情况下,利用恰当的方法与工具确定威胁利用资产脆弱性发生安全事件的可能性,并结合资产的安全属性受到破坏后的影响得出信息资产的风险。
三、系统设计
1.用角色设计。系统角色分为三种类型,各用户在登录后自动转入各自的操作页面。A.超级管理员:拥有系统所有权限;B.评估项目管理员:可以对所负责的评估项目进行管理,对评估人员进行分工和权限管理;C.评估人员:负责由项目管理员分配的测评工作,将评估数据导入系统。
2.系统模型。根据信息安全风险评估管理的业务需求,我们构建了以安全知识库为支撑,以风险评估流程为系统主要业务流,以受测业务系统及其相关信息资产的风险评估要素为对象的信息安全风险评估综合管理系统模型,系统模型如图2所示。
3.系统功能设计。信息安全风险评估综合管理系统的功能模块包括:①风险评估项目管理:评估项目管理模块包括评估项目的建立、项目列表、项目设置等功能。主要输入项:项目名称、评估时间、评估对象等;主要输出项:项目计划书。②信息安全需求调研管理:该模块用于用户填写安全调研问卷,为安全评估提供数据支持。主要输入项:用户ID、调查答案;主要输出项:问卷标题、调查题内容。③资产识别。系统提供的资产识别,包括:硬件、软件、数据等,根据业务系统对组织战略的影响程度,对相关资产的重要性进行评价;主要输入项:评估对象(信息资产)、赋值规则;主要输出项:资产识别汇总表、资产识别报告。④威胁识别。威胁识别:系统提供多种网络环境的威胁模板,支持和帮助用户进行威胁识别和分析,并提供资产、脆弱性、威胁自动关联功能:主要输入项:评估对象、赋值规则;主要输出项:威胁识别汇总表、威胁识别报告。⑤脆弱性识别。脆弱性识别:系统可提供多种系统的脆弱性识别功能,包括:主机、数据库、网络设备等对象的脆弱性识别。系统支持常用漏洞扫描软件扫描结果的导入,目前支持的扫描系统有:Nessus、NMap等,主机系统支持:Windows、Linux、Unix等,数据库支持:MSSQL、Oracle等:主要输入项:评估对象、漏洞扫描结果、赋值规则;主要输出项:漏洞扫描报告、脆弱性识别汇总表、脆弱性识别报告。⑥安全措施识别。安全措施识别:系统提供基于技术、管理等方面的安全措施检查功能,帮助用户了解目前的安全状况,找到安全管理问题,确定安全措施的有效性:主要输出项:安全措施识别汇总表、安全措施识别报告。⑦风险分析。系统通过资产评价、脆弱性评价、威胁评价、安全措施有效性评价、风险分析等工作,可自动生成安全风险评估分析报告。主要输入项:评估对象、资产值、脆弱性值、威胁值、安全措施值、计算规则;主要输出项:风险计算汇总表、风险分析报告。⑧评估结果管理。主要功能是对历史记录查询与分析。汇总所有的安全评估结果进行综合分析,并生成各阶段风险评估工作报告,主要包括如下:《资产识别报告》、《漏洞扫描报告》、《威胁识别报告》、《脆弱性识别报告》、《控制措施识别报告》、《风险分析报告》。并可对当期风险评估结果和原始数据进行转存或备份。在有需要时能调出评估历史数据进行查询及风险趋势分析。⑨信息安全知识库更新维护。信息安全知识库的更新维护主要对象有:系统漏洞库、安全威胁库、安全脆弱点库、控制措施库。为避免造成数据的冗余,系统将在各评估项目中需要反复使用的数据归入基础数据库进行管理,在进行评估活动时再从基础库提取有关数据,这样也能减少重复的输入工作。⑩数据接口。导入数据接口:资产库、脆弱点库、威胁库、控制措施库。支持以下常用的格式:如EXCEL文件等;常用的漏洞扫描工具:如绿盟、启明星辰、NESSUS、NMAP等。
四、结束语
该系统设计是以信息安全风险评估工作流程为基础,进行信息安全评估项目管理、风险要素数据收集与辅助风险分析的系统,在实际风险管理过程中,可引入了质量管理理念——PDCA循环,即通过监控每一阶段的信息系统风险情况,及时发现问题,不断调险控制工作计划,从而实现信息安全风险管理的工作目标。
关键词:桥梁工程;风险识别;风险评估
引言
桥梁工程施工是基础设施建设的重要内容,随着社会经济及桥梁建筑施工技术的发展,桥梁的结构更加复杂,加上桥梁施工环境大多比较恶劣,都为工程施工带来了更多的风险,对桥梁工程施工阶段的风险进行识别评估是降低风险、减少施工事故的重要手段。本文主要就常见的桥梁工程施工风险识别及评估方法进行简单介绍,结合实例分析风险识别评估的过程,仅为类似工作的开展提供参考。
1桥梁工程施工风险综合识别法
桥梁工程施工风险评估的方法有故障树分析法、德尔菲法、专家调查法等等,这些方法都存在着一定的不足,比如故障树分析法的多余量较多、难度较大,对于分析人员的技术要求较高,分析人员必须要具备良好的逻辑运算能力,否则很容易出现错误,下文结合桥梁工程的具体施工特点,介绍一种综合性的风险识别方法,该方法主要包括事故总结、结构分析、现场调研以及专家调查四部分内容,比较系统全面。目前来说,我国还没有建立起完整的桥梁工程基础数据库,为了尽可能降低风险,实际的事故过程中相关工作人员要善于将类似桥梁工程发生的安全事故总结起来,并进行详细分析,为本次的风险评估工作提供参考资料,这一内容即事故总结。桥梁工程多种多样,结构形式各不相同,不同桥梁结构选择的施工方法自然会存在较大的差异,产生的风险也各不一样,因此风险识别过程中工作人员要能够对整个桥梁结构进行详细分析计算,及时发现结构设计中的薄弱环节,并提出对应的控制措施,尽可能降低或者消除风险。现场调研对于风险识别至关重要,工作人员必须深入施工现场对当地的水文地质情况、自然气候进行详细了解,对现场的施工进度进行跟踪调查,总结桥梁工程施工中可能存在的风险事件。专家调查对于风险识别工作而言十分重要,他们拥有丰富的理论知识及实践经验,能够及时发现桥梁施工中各种潜在的风险。
2桥梁施工风险分级评估法
桥梁工程十分复杂,施工方法众多,风险评估过程中仅仅依靠单一的方法进行评估往往不够全面,下文简单介绍一种分级评估方法,实际的评估过程中将风险源分为三个级别,具体的评估过程中首先通过专家调查法、专家评议法等简单的评判方法对风险源进行评判,明显较低的评判为低度风险,其余风险源进入二级评判,二级评判中通过LEC等精度较高的评判方法对进入二级评判的风险源进行评估,风险较低的定为中度风险,剩余风险源进入三级评判,三级评判主要通过风险矩阵法等高精度的评判方法对这些风险源再次进行评估,风险较低的定为高度风险,较高的则为极度风险,评估流程如图1所示。这种分层分级的评估方法中能够充分发挥各种评估方法的优势,保证了风险源评估的精准度,适用于各种桥梁结构及施工方法,实用性较强。
3桥梁施工风险评估实例
3.1工程概况
某高速公路大桥的主桥长度为308.04m,跨度为(80+145+80)m,采用预应力混凝土连续箱梁,箱梁使用挂篮悬臂进行浇筑,悬臂浇筑的流程如下所示:0号段浇筑拼装挂篮1号段浇筑挂篮前移调整锚固,箱梁的每个“T”结构都分为18段,每一个梁段都采用这一步骤,全部浇筑完成之后将挂篮拆除,最后合龙。
3.2桥梁施工阶段风险识别过程
3.2.1事故总结为了能够更好地识别施工阶段的各种风险,本文针对连续梁桥悬臂浇筑施工的特点,搜集了许多连续梁桥施工有关的桥梁事故,共汇总了14个风险事件,其中包括钢筋工程质量事故、预应力锚具破碎夹片锚弹出、墩梁临时固结失效、施工支架失效、合龙段高差不合格、挂篮浇筑时坍塌事故、挂篮拆除时事故、通航船舶撞击桥墩事故、立柱模板倾倒、施工现场触电事故、施工现场机械伤害事故、施工人员高处坠落事故、风引起的事故、施工对周边居民安全影响,汇总完成之后对事故的原因及发展的规律进行了详细分析,统计了事故的损失,为后期的风险识别及评估提供了丰富的资料。3.2.2结构分析通过结构分析,相关工作人员能够详细了解桥梁结构的受力状态,然后才能够针对结构设计中存在的一些问题提出针对性解决措施。本次风险识别及评估过程中相关工作人员对大桥施工过程进行有限元结构分析,详细了解了施工过程中的结构受力情况,为后期的风险识别工作奠定了良好的基础。3.2.3现场调研现场调研的主要内容包括施工地的自然气候、地质地貌、水环境、施工现场的管理情况、技术条件等等,经过分析调查显示,该桥梁所在区域属于亚热带季风湿润气候,春季气候温暖、多雨,夏季干热,秋冬季节比较寒冷,年平均气温为17.7℃,历年最高气温为40℃,最低气温为-6.8℃,6~8月份降水较多,年平均降水量为1170mm,夏季暴雨比较集中,很容易出现洪涝灾害。桥梁所在地属于构造侵蚀丘陵地貌,整个河谷呈现“V”字形,地表水系发育,河道内水流量较大,且长期流水,最深可以达到31m,桥位区设计洪水位为210.37m,通航水位为205m,施工水位为188m,没有发现断层、岩溶等不良地质现象。本次施工过程中整个施工组织设计比较合理,涉及的施工机械装备十分齐全,施工单位在桥梁施工方面拥有非常丰富的经验,施工技术条件良好,施工现场管理也符合相关工程标准,没有出现管理混乱等问题。实地调研之后发现本次施工可能存在着施工现场人员淹溺事故、暴雨引起的事故、连续阴雨引起的事故、雷暴引起的事故、大雾引起的事故、高温引起的事故、桥梁施工对通行船舶安全的影响、施工对环境的影响、洪水引起的事故等风险事件。3.2.4专家调查本次风险识别评估邀请9位桥梁设计、施工、科研、管理方面的专家,结合大桥的勘察、设计、施工组织等等资料,共总结出18个风险事件,比如纵向预应力管道堵塞、预应力筋张拉伸长量偏差过大、锚固端混凝土开裂、混凝土浇筑时模板偏移、沿纵向预应力管道裂缝、悬臂浇筑时主梁标高异常波动、箱梁顶板浇筑质量不合格、钻孔桩塌孔、钻孔桩钢筋笼偏斜等等。
3.3施工风险综合评估
所有的施工风险识别完成之后,采用分层分级评判方法对各个施工阶段可能存在的风险事件进行识别,最终得出各风险源,以悬臂梁浇筑施工为例,该阶段的施工风险事件共有23项。使用LEC方法对风险事件评判,其中L指的是事故发生的可能性,E指的是人员暴露在危险环境中的频繁程度,C指的是安全事故发生后可能引起的后果,风险分值以D表示,D值大小与风险高低呈正相关。二级评判显示,D值小于70,表示风险可以接受,D值大于70,进入三级评判。三级评判中使用风险矩阵法对风险事件进行动态估测,评判结果显示挂篮浇筑时坍塌事故为极高风险事件,具体施工中必须严格控制,施工人员高处坠落事故为高度风险事件,施工过程中要合理控制。
4结语
桥梁施工过程中可能会存在各种风险事件,为了确保现场施工人员的安全,保证桥梁质量,相关人员必须要加强风险识别及评估。本文结合工程实例就桥梁施工阶段风险识别及评估过程进行了简单介绍,仅为类似工程风险识别评估工作提供参考。
参考文献:
[1]袁鹏飞.桥梁施工风险评估方法研究[J].科学与财富,2016,8(5):189-190.
[2]李金刚,孙新亮.桥梁工程施工阶段的风险识别与评估研究[J].建筑工程技术与设计,2015(12).
[3]吴永锋.浅析桥梁工程施工阶段的安全风险识别与评估[J].城市建设理论研究(电子版):2015(6).
[4]霍东发.公路桥梁工程安全风险识别的综合法研究[J].城市建设理论研究(电子版):2014(13).
[5]段超.桥梁施工的风险评估与风险管理研究[J].建筑工程技术与设计,2014(16):219.
[6]欧阳心和,李志勇,郑祖恩,等.桥梁工程施工风险综合识别与评估方法[J].公路工程,2013,38(5):30-33.
关键词:风险评估;风险管理;风险识别
一、概述:中国太平洋保险公司风险评估相关状况
太平洋保险公司建立了较为完善的风险管理组织架构,董事会是风险管理政策的最高决策机构,其下设的风险管理委员会负责帮助董事会对风险进行有效的管理和监督;太平洋保险公司经营下设风险与合规工作委员会,协助经营层实施各项风险管理工作,公司指定一名副总裁分管风险管理工作;太平洋保险公司设立风险管理部,其他部门均设有风险评价工作联络人,协助所在部门开展风险自评,并协助风险管理部门开展有效的风险管理。公司指定了《风险管理政策》及其配套的市场风险、信用风险、保险风险、操作风险管理规范,开展了风险量化评估工具的研究探索工作,并初步建立了内部风险评估模型,设立风险监控指标进行风险评估等,对整体风险和重点风险尽享了风险评估和风险预警。
2011――2012年度,太平洋保险公司进一步加强了对偿付能力风险、资产负债管理风险、内控不到位风险以及境外风险传递等重点风险的监控:不断优化风险信息管理平台,并升级优化了风险自查系统功能,提高了风险评估的有效性和科学性。
二、流程图法进行风险识别的主要成果
太平洋保险公司的业务流程主要可以分为两个主要阶段:承保和理赔。下面就将从这两部分对太平洋公司寿险业务的风险进行识别。
在图1、图2的基础上,结合相关知识和职业判断对每一个业务流程中的潜在风险进行了识别,初步识别出以下主要风险,形成了太平洋保险公司风险识别表。
1.经营决策风险指在公司经营过程中由于决策失误所造成的风险。如拓展保险业务的三种业务途径的调整、核保权限的分配、重大标的的承保和理赔的处理等等。对于这些决策,由于评审程序不规范、相应调查的缺失、决策过程的不公开、问责制度的缺乏等等都会导致其经营发展战略实现的不确定性。
2.业务风险指保险公司在其业务管理中,由于缺乏风险管理和内部控制意识造成行为不合理、不规范或造成舞弊行为而导致的风险。主要包括:销售风险、核保风险、单证管理风险等。
3.预算管理风险指由于预算管理制度不健全、编制的预算方案与太平洋保险公司战略和预算目标不符,预算编制与实际脱节,预算方案未得到严格执行,预算考核制度不合理等原因,导致全面预算管理战略实现的不确定性
4.会计核算风险指会计人员在从事会计核算工作时所面临的风险。会计人员在对资金入账的及时性、准确性上的缺失及在核对发票和业务系统的记录,核对银行回单及业务系统的资金到账记录上的失误都将导致会计核算中的风险
5.资产管理风险指由于资产管理制度不健全、资产管理报批程序未得到严格执行。资产的确认、购置、使用、维护、处置不当、资产会计处理和相关信息不合法、不真实、不完整等原因,导致资产使用效率低下、资产损失、资产账实不符。
6.法律风险指因为自身行为超越法律规范或者监管部分规定所形成的风险。一方面,保险人的经营可能扰乱了公平竞争的市场环境,损害了被保险人的合法权益,违反了相关法律法规;另一方面,其提供的财务报告及数据不是真实合法的,这些都可能导致法律风险。
7.承保风险 在承保过程中,由于风险意识的缺乏,重业务发展轻业务质量,重规模轻效益的行为的存在,核保制度的不健全等等都可能使保险公司的经验风险大大提高。
三、分析
(1)树立风险识别的理念,加强风险评估。加强风险的识别和有效控制才能推动保险业的可持续发展,在构建保险公司的风险管理体系过程中,相关部门应围绕风险这个核心,建立识别、评估、处理和监控四个层次的风险监管系统,通过对各种信息进行定量和定性分析,准确、及时、系统地检测保险公司的风险状况。针对不同风险等级,实施不同层次的经营行为。
(2)建立风险管理框架,以更好地保证风险识别。一个良好的风险管理框架可以使保险公司的目标确定、风险事件识别、风险评估、风险处理、控制活动、信息与工头和风险监控成为一个体系,并最终帮助公司实现其战略目标和使命。借鉴其思路,应首先做好的工作是建立良好的风险管理组织架构。而正如上文的概述中提到的,太平洋保险公司在这一点上做出了一定成果,接下来只需继续完善,在组织架构、职责和分工更加明确的情况下,各尽其职,同时保持良好的沟通和协调,以促进风险识别的效率的提高。
(3)采取适当方法进行风险识别。即采用定性和定量的方法或设立风险评估模型的方式,对风险发生的概率,重要性和可能性进行分析、排序和分类,对重要风险予以密切关注。并且这是一个连续不断的过程,许多复杂的和潜在的风险要经过多次识别才能获得较为准确的答案。
(4)风险识别参与面“明确”,风险识别过程“细致”,风险识别内容“务实”。虽然不可能识别出企业面临的所有风险,但也要抓住重点,使风险识别能覆盖重大风险域。对于太平洋保险公司来说,从保险业务,投资业务到财务再到信息技术的管理都需要进行风险识别。再深入探究,产品开发,核保理赔,再保险管理,客户服务,投诉咨询管理等等细致的方面无一不需要企业提高自身的风险识别能力。
参考文献:
【论文摘要】 风险评估是指识别、分析相关风险以实现既定目标的过程,是完善公司内部控制的重要保证,这一过程受公司董事会、管理层及其他员工的影响,包括对内外部因素进行检查以识别相关风险,对这些风险的重大程度、发生的可能性进行分析,并考虑使公司所承担的风险处于自己管理的范围之内,以合理保证公司能够取得既定目标。作为寿险公司,其本身就是风险集合的中介,具有经营的高风险性,因此寿险公司的风险评估更为重要。
【关键词】 风险评估
一、公司目标
风险评估的前提是设立目标.设定目标是公司管理过程的重要组织部分,而非内部控制的要素,但它却是内部控制得以实施的先决条件。建立起目标体系,就能把各种力量、各类资源统一协调,按照目标的要求发挥作用,促使寿险公司切实的凝结为一个整体。只有先确立目标,公司才能针对目标确定风险并采取必要的行动来管理风险。目标设定是寿险公司对风险进行识别、评估和制定相关风险对策的基础。
二、风险识别与评估
公司面临的风险是指发生对公司目标的实现可能产生影响的不确定性,并可以通过一系列防范措施予以规避和减小的损失的可能性。风险的识别需要比较客观的进行,而且为了避免忽略相关的风险事件,识别风险的过程最好与评估风险的过程区分开来。
相对于寿险公司的经营管理来说,风险因素既存在于公司内部,也产生于公司外部。对于寿险公司,有可能引起风险发生的内部因素是:
(1)管理层对实现公司目标的理念意识和紧迫感。
(2)员工的胜任能力,以及完成工作的恰当性和完整性。
(3)公司资产的规模、流动性或业务总量。
(4)公司的财务状况。
(5)信息系统电算化的程度。
(6)公司经营活动的地理分布。
(7)内部控制系统的恰当性和有效性等。
外部风险是指外部环境中对公司目标的实现产生影响的不确定性事件,有可能引起风险发生的外部因素是:
(1)国家法律、法规及政策的变化:如新的法律和法规可能要求经营政策和策略的改变。
(2)经济环境的变化:经济形势的变化可能对有关融资、资本支出和扩张的决策产生影响。
(3)科技的快速发展:技术发展会影响研发的性质和时机,或带来采购的变化。
(4)行业竞争及市场变化:竞争和不断变化的客户需求会改变公司营销、产品开发、业务流程和客户服务等活动。
(5)自然灾害:自然灾害可能导致经营或信息系统的改变以及强调对或有损失制定应急计划的需要。
识别公司层面和操作层面风险后,公司需要进行风险评估。进行风险评估,必须保证风险评估人员具备相应知识和业务能力,并已经对公司的各项政策和程序有了比较深入的了解。在此基础上,风险评估才可以顺利进行。总体来说,风险评估的方法有两种,一是定量方法评估,二是定性方法评估。
风险评估是全面、准确、及时地了解和把握寿险公司风险的内控基本要素,是识别及分析那些可能影响企业达到企业目标或事件的手段,是决定如何构建有效内控体系的基础。目前,我国寿险公司在风险评估意识、方法、技术等方面还比较落后。主要表现为:一是风险评估的方法技术落后,人才缺乏。由于管理层长期以来不重视风险管理和高技术人才的缺乏,我国寿险公司的风险评估主要依靠定性的、人为控制的直接管理方法,如委托理财审查等方式,而未使用定性和定量相结合的客观的科学方法。这导致了风险管理的专业化程度和效率较低。
三、风险处理
在评估了风险的重要性和发生概率之后,管理层需要考虑如何管理风险。这涉及基于对风险假设的判断,以及对降低风险水平所需成本的合理分析。降低重大的或可能发生的风险的措施包括管理层每日做出的无数决策,从确定其他供货源或扩大产品线到获取更具相关性的经营报告或改进培训计划等。合理恰当的措施会实实在在消除风险或抵销其影响。根据风险评估结果做出的风险应对措施主要包括以下几个方面:风险回避、风险控制、风险承担、风险转移。评价风险应对措施的适当性和有效性时,应当考虑以下因素:采取风险应对措施之后的剩余风险水平是否在组织可以接受的范围之内、采取的风险应对措施是否适合本组织的经营、管理特点、成本效益的考虑。
目前,我国寿险公司普遍存在对风险管理的模糊认识、困惑甚至误解,进而出现风险管理导向错误的现象。因此,一是要要强化经营风险既有损失的可能,也有盈利的可能的认识,注重风险和收益的平衡关系;二是建立广泛适应的风险决策标准;三是针对各种风险确定风险应对措施的程序和方法。对降低风险水平所需成本进行合理分析,充分考虑现有程序对于控制已识别风险是否合适,以及完善流程以应对不断变化中的风险等。
四、风险监控
制定了风险处理计划后,并非一劳永逸,在公司的运行过程中风险还可能会增大或者衰退。因此,在公司的经营管理过程中,需要时刻监督风险的发展与变化情况,并确定随着某些风险的消失而带来的新的风险。风险监控就是要跟踪识别的风险,识别剩余风险和新出现的风险,修改风险管理计划,保证风险计划的实施,并评估消减风险的效果。风险监控是与控制活动密切结合在一起的,要使公司的风险监控发挥积极作用,就必须在控制活动的各个环节确立不同的控制方式:预防性监控、检查性监控、纠正性监控、指导性监控。除了以上一般的风险监控形式外,还有针对某个环节不足或者缺陷而采取的补偿性监控,为加强计算机管理而实施的计算机监控等等。这些风险监控形式,合理保证了公司风险监控的效率和效果,有助于公司管理风险。
要解决好风险识别、评估、处理与监控之间的关系,离不开公司内部每一位员工的共同努力。要使风险监控在整个风险评估流程中发挥重要作用,一是必须建立良好的风险管理组织架构;二是对影响已识别风险或事件因素进行定期核查。
关键词:信息安全风险评估风险分析
一、前言
电力系统越来越依赖电力信息网络来保障其安全、可靠、高效的运行,该数据信息网络出现的任何信息安全方面的问题都可能波及电力系统的安全、稳定、经济运行,因此电力信息网络的安全保障工作刻不容缓[1,2]。风险评估具体的评估方法从早期简单的纯技术操作,逐渐过渡到目前普遍采用BS7799、OCTAVE、ISO13335、NIST SP800-30等相关标准的方法,充分体现以资产为出发点,以威胁为触发,以技术、管理、运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型[3]。
二、信息安全风险评估
在我国,风险评估工作已经完成了调查研究阶段、标准草案编制阶段和全国试点工作阶段,国信办制定的标准草案《信息安全风险评估指南》[4](简称《指南》)得到了较好地实践。本文设计的工具是基于《指南》的,涉及内容包括:
(一)风险要素关系。围绕着资产、威胁、脆弱性和安全措施这些基本要素展开,在对基本要素的评估过程中,需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与基本要素相关的各类属性。
(二)风险分析原理。资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。
(三)风险评估流程。包括风险评估准备、资产识别、威胁识别、脆弱性识别、已有安全措施确认、风险分析、风险消减[5]。
三、电力信息网风险评估辅助系统设计与实现
本文设计的信息安全风险评估辅助系统是基于《指南》的标准,设计阶段参考了Nipc-RiskAssessTool-V2.0,Microsoft Security Risk Self-Assessment Tool等风险评估工具。系统采用C/S结构,是一个多专家共同评估的风险评估工具。分为知识库管理端、信息库管理端、系统评估端、评估管理端。其中前两个工具用于更新知识库和信息库。后两个工具是风险评估的主体。下面对系统各部分的功能模块进行详细介绍:
(一)评估管理端。评估管理端控制风险评估的进度,综合管理系统评估端的评估结果。具体表现在:开启评估任务;分配风险评估专家;对准备阶段、资产识别阶段、威胁识别阶段、脆弱性识别阶段、已有控制措施识别阶段、风险分析阶段、选择控制措施阶段这七个阶段多个专家的评估进行确认,对多个专家的评估数据进行综合,得到综合评估结果。
(二)系统评估端。系统评估端由多个专家操作,同时开展评估。系统评估端要经历如下阶段:a.准备阶段:评估系统中CIA的相对重要性;b.资产识别阶段;c.威胁识别阶段;d.脆弱性识别阶段;e.已有控制措施识别阶段;f.风险分析阶段;g.控制措施选择阶段。在完成了风险评估的所有阶段之后,和评估管理端一样,可以浏览、导出、打印评估的结果—风险评估报表系列。
(三)信息库管理端。信息库管理端由资产管理,威胁管理,脆弱点管理,控制措施管理四部分组成。具体功能是:对资产大类、小类进行管理;对威胁列表进行管理;对脆弱点大类、列表进行管理;对控制措施列表进行管理。
(四)知识库管理端。知识库的管理分为系统CIA问卷管理,脆弱点问卷管理,威胁问卷管理,资产属性问卷管理,控制措施问卷管理,控制措施损益问卷管理六部分。
四、总结
信息安全风险评估是一个新兴的领域,本文在介绍了信息安全风险评估研究意义的基础之上,详细阐述了信息安全风险评估辅助工具的结构设计和系统主要部分的功能描述。测试结果表明系统能对已有的控制措施进行识别,分析出已有控制措施的实施效果,为风险处理计划提供依据。
参考文献:
[1]Huisheng Gao,Yiqun Sun,Research on Indices System of Security Risk Evaluation for Electric Power.Optical Fiber Communication Network,IEEE,2007.
[2]Masami Hasegawa,Toshiki Ogawa,Security Measures for the Manufacture and Control System,SICE Annual Conference 2007.
[3]左晓栋等.对信息安全风险评估中几个重要问题的认识[J].计算机安全,2004,7:64-66