時間:2023-06-26 16:13:48
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇風險識別及評估范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
對項目評估中涉及的無形資產進行風險管理,首先要明確無形資產風險的影響因素有哪些,即都有哪些形成風險的原因。其次,要采用適當的風險識別方法對項目評估中涉及的無形資產進行有針對性的風險識別。
一、無形資產風險的影響因素
評估人員要通過密切結合企業內外部環境動態地分析無形資產的風險種類和風險影響力。通過對形成無形資產風險的主要原因的分析,可以明確無形資產風險的影響因素:
(一)沒有一個通用的定義,范圍的不確定性,對應的無形資產價值分配不確定性的風險。
(二)外界產業環境、行業行政性發展規劃及政策對無形資產使用的影響,對應的無形資產有效期限的不確定風險。
(三)無形資產市場的供求變化及競爭程度,部分無形資產的市場影響度和占有率,無形資產特許權使用費的標準,等等,對應的無形資產在未來所能獲取的現金流量的不確定性風險。
(四)資產的隱性成本、機會成本,資產的較低使用效率、操作不規范,管理上未形成完善的管理控制體系,對應的無形資產投入產出及利用效率不確定的風險。
(五)無形資產的使用和管理人員法制觀念、職業道德、工作經驗等方面的欠缺,對應的無形資產價值毀損甚至產生負收益的風險。
二、無形資產風險識別方法分析
無形資產的風險識別可以借鑒有形資產的風險識別方法,同時考慮無形資產的特殊性,從定性和定量相結合的角度全面剖析企業采用項目在經營活動中可能面臨的各種無形資產風險及其形成的根源。
(一)資產形成流程識別方法,即對項目所涉及的無形資產,從其形成流程中分析,對每一個過程、環節進行檢查,發現其中潛在的風險,挖掘產生風險的根源。例如,對于項目中涉及的品牌這一無形資產,研究品牌資產從創立之初到形成品牌影響力的過程中是否存在使品牌未來價值發生變動的風險因素,并預估如若風險發生可能給項目實施帶來的影響和為預防風險企業需要采取風險管理措施的成本費用。
(二)類比借鑒分析法,即分析企業實施某個項目所面臨的內外部環境及涉及的無形資產的種類,尋找相似環境中的同類無形資產,借鑒該同類無形資產已經識別或暴露出的風險對比分析項目中的無形資產的風險。比如專利權,該類無形資產已經為企業和社會所熟識,比較容易找到符合條件的相似資產,通過類比借鑒分析,可以對其風險進行識別。
(三)職能結構分析法,即充分利用企業的職能部門分別在不同的職能范圍內進行無形資產風險分析,財務部門針對無形資產財務狀況進行分析,風險管理職能部門就無形資產風險清單進行調查,企業管理層就無形資產事故組織專家調查等。比如商譽這種無形資產,在企業進行項目評估時,必須考慮項目的實施成功與否可能會給企業的整體商譽帶來的影響,就可以采用職能結構分析法,識別其各種風險,進行相應地風險管理。
三、無形資產的風險管理
對無形資產風險的影響因素分析是為了幫助識別鑒定無形資產的風險,而對無形資產風險的識別是對無形資產風險管理的基礎,無形資產特殊性以及不確定性,增加了項目評估中可行性決策的風險。企業必須要加強對無形資產風險的認識,踐行無形資產風險管理。
(一)無形資產風險評估。風險評估即對無形資產風險發生的可能性及其損失程度進行評估,為進一步的無形資產風險管理準備,對無形資產風險認識、評估與管理可以使企業的項目評估結果更具說服力。首先,采用定性的方法確定風險類別;其次,采用定量的方法計算預測風險的期望收益;然后選用適當的分析模型,采用定性定量相結合的方式對風險進一步分析。鑒于無形資產的高風險高收益高破壞力的特性,必須盡可能的對無形資產可能面對的各種情景加以分析,重點關注風險發生概率大的無形資產。
(二)無形資產風險控制。對無形資產進行風險控制,一是降低風險發生的可能性,二是減少風險帶來的損失。企業在項目評估過程中,要評估與相應的無形資產對應的風險控制方法以及動態管理無形資產風險的能力。應注意三個方面:一是風險發生之前能夠進行事前控制,控制的手段不應僅僅局限于風險管理計劃中的風險規避措施,還應能夠根據實際情況確定應變措施。二是風險發生時,能夠快速進行風險分析并制定應對措施。三是風險發生后,能夠形成反饋管理機制。
四、結語
在知識經濟時代,無形資產這一戰略性發展資源對企業的貢獻越來越大,企業擁有的無形資產體現了企業的科學技術能力和知識文化能力,無形資產成為企業利益來源的同時也提升了企業的綜合實力和競爭力。但是,無形資產所固有的風險及其特征也可能給企業帶來現實的或潛在的巨大損失。正是由于無形資產的地位日益凸顯,企業資產結構中無形資產比重迅速上升,項目評估中所涉及的無形資產也相應增多,在項目評估過程中,企業必須高度重視無形資產的風險識別及其風險管理,進一步提高無形資產的風險評估意識和風險管理水平。
參考文獻
[1] 戴洪健,邱展法.無形資產評估探討[J].南方論刊,2007 (02):42-43.
[2] 劉霞,傅國林.無形資產審計過程中的風險點及防范[J].會計師,2013(05):9-11.
[3] 彭冰.基于期權定價模糊二叉樹模型的無形資產評估研究[D].江西理工大學,2012.
【關鍵詞】稅收;風險;評估;系統設計
一、稅收風險識別系統設計
稅收風險識別是對資產當前或未來所面臨的、潛在的風險加以判斷、歸類以及對風險性質進行鑒定的過程。(1)稅收風險識別流程。首先由稅收風險管理部門組成工作小組,制定檢測分工與時間計劃,確定檢測方案,收集相關稅收法律法規進行討論;然后通過座談會,實地調查詢問,調閱賬簿、憑證、財務報表等方式,將發現的稅收風險制定識別報告。其中檢測方案的選擇是該部分工作的核心。(2)稅收風險識別因素。根據我國《大企業稅務風險管理指引(試行)》中的要求,企業應結合自身稅收風險管理機制和實際經營情況,重點識別以下稅收風險因素:董事會、監事會等企業管理層以及管理層的稅收遵從意識和對待稅收風險的態度、涉稅員工的職業操守以及專業勝任能力;企業的組織機構、經營方式以及業務流程;技術投入和信息技術的運用情況;財務狀況、經營成果以及現金流情況;相關內部控制制度的設計和執行情況;經濟形勢、產業政策、市場競爭及行業慣例;有關法律法規以及其他有關風險因素。(3)稅收風險識別方法。稅收風險識別的方法很多,常用的有財務狀況分析法、流程圖法、決策分析法、風險清單分析法等。稅收風險的識別可以選擇不同的方面、不同的角度進行,但在實際操作時,應視企業具體情況靈活運用。流程圖法對企業管理要求低,可以將復雜的生產過程或業務流程簡單化,易于發現企業稅收風險。稅收風險流程圖是針對企業主要涉及的稅種,從稅法的構成要素角度,對納稅義務人、征稅對象、稅目、稅率、應納稅額、稅收優惠等環節逐一進行分析識別。通過建立一系列流程圖,對企業納稅的所有環節進行逐一分析,并通過與現行稅法規定的比較,發現潛在的稅收風險,如圖1。
二、稅收風險評估系統設計
在風險識別的基礎上,企業稅收風險管理人員需進一步分析風險發生的可能性以及對目標實現的影響程度,從而對風險進行評估。風險評估的內容應包括風險發生的可能性和對企業目標的影響程度兩個方面。(1)稅收風險評估系統流程。首先由稅收風險管理部門分析識別并匯總歸類稅收風險,然后測算稅收風險大小以及給企業帶來的損失,繼而依據測算結果對稅收風險進行警示排序并編寫稅收風險評估報告,最后建立企業稅收風險數據庫用來對未來風險進行縱向比對和參考。稅務風險
圖1稅收風險識別流程圖
評估可以由企業風險管理部門協同有關部門進行,也可以委托具有相關資質和專業能力的中介機構協助進行。(2)稅收風險評估的方法。稅收風險評估的方法主要有風險坐標圖法、蒙塔卡羅法、風險指標管理法等,其中風險坐標圖法最為實用,最為直觀。風險坐標圖法是把風險發生可能性的高低、風險發生后對目標的影響程度,作為兩個維度繪制在同一個平面上,然后對業務的風險點進行測算,并得出每個風險點給企業帶來的可能的經濟損失。根據稅收風險發生的可能性高低和稅收風險對企業的影響程度繪制出企業風險坐標圖。
三、稅收風險應對系統設計
在風險評估的基礎上,風險管理工作人員應及時確定應對風險的策略。企業可根據風險的可能性和影響程度,綜合考慮企業風險偏好、企業風險承受能力、企業經濟效益等各個方面,選擇適合本企業的風險應對方案。企業在選擇應對方案時應特別注意以下幾各方面:其一,不同的風險應對方案會導致不同的結果,有時合理的方案組合可以產生最優的控制結果,企業在選擇應對方案時應通盤考慮。其二,考慮風險應對方案時,不應僅限于降低已識別出的風險,還應考慮可能給企業帶來的機會。其三,企業內部不同部門之間存在風險相互抵消的可能,有時候稅收風險超出了企業某個部門風險承受能力,但其他部門風險收益遠遠大于此部門的損失。因此,企業在選擇應對方案時應從企業角度通盤考慮,從而達到企業收益最大化的目標。(1)稅收風險規避策略。稅收風險規避策略就是指某企業對超出該企業風險承受能力的稅收風險,選擇放棄與該風險有關的業務活動從而達到避免或減輕該稅收風險的策略。稅收風險規避策略可以讓企業避免不必要的風險損失。不過,這種行為也有一定的局限性:一方面當稅收風險可能導致的損失較高,甚至超出企業可能獲得的收益時,選擇規避風險是正確的;另一方面當實施納稅風險避免措施付出的成本較高時,就無法采取風險避免措施,甚至有的稅收風險是不可避免的。因此,稅收風險規避策略雖然是簡單可行的,但面對許多稅收風險并不一定適用。(2)稅收風險降低策略。稅收風險降低策略的關鍵在于降低風險發生的可能性以及風險損失減輕的程度。稅收風險降低策略要求企業從兩個方面入手制定方案,一方面通過控制稅收風險因素,降低稅收風險發生的概率;另一方面通過控制稅收風險發生的頻率達到降低風險的損害程度。企業稅收風險管理人員可以通過提高稅收風險識別和度量的科學性,避免稅收風險損失;也可以通過科學分析稅收風險因素,降低稅收風險事故的發生概率,到達減少和隔離已存在的稅收風險因素。稅收風險降低策略可適用于大多數企業。(3)稅收風險轉移策略。風險轉移就是將風險轉嫁給參與風險發生行為計劃的其他主體上,可以通過合約的形式進行公證,借助其他行為主體的力量將自身的稅收風險化解,比較常用的有選擇購買保險和簽訂合同兩種方式。購買保險的方式就是通過購買保險將企業不確定的損失轉化為確定的費用。簽訂合同的方式就是把風險轉移給其他行為主體,將自身的風險損失徹底消除。現實中,企業可以通過稅務業務,將一定的稅收風險轉嫁給稅務事務所。采用稅收風險轉移策略時,企業應聘請稅務顧問,事先進行稅收籌劃,將稅收風險合理、合法地轉移給其他行為主體。(4)稅收風險承擔策略。稅收風險承擔策略就是企業在權衡成本效益的前提下,不準備采取任何控制措施降低風險或減輕損失的策略。風險承擔策略符合成本效益原則,一般選擇該策略的稅收風險較低,同時化解該稅收風險所需的成本費用相對更大,所以企業會選擇承擔策略。比如企業發生違規稅收風險損失為100萬元,采取聘請專家進行指導或跟稅務部門溝通所需支出的數額遠遠大于這個該損失,因此企業會選擇稅收風險承擔策略,自愿承擔該損失。當然,企業在最終選擇何種稅收風險應對策略時,應通盤考慮稅收風險分析結果,稅收風險構成因素以及企業自身情況,從企業整體利益出發,綜合選擇不同的稅收風險應對策略,最終實現企業利益最大化。
【關鍵詞】 房地產業 臺兒莊運河古城 項目建設 風險管理 風險識別 風險評估
房地產業,是一個盈利水平較高但因較高的不確定性而同樣有著高風險的行業。房地產項目因投資額度高、投資周期長,涉及的風險既廣泛且復雜,而且很容易受所在國家和地區社會經濟情況的影響,難以預測未來市場走勢而存在高度風險。國內房地產開發企業普遍缺少對其項目的系統管理,故而許多風險因素得不到有效控制的情形普遍存在于房地產項目中,這進一步導致了項目盈利能力的下降。另外,房地產投資本身也存在著一些固有的短板,如資金籌措難、交易糾紛多、變現能力低等。以上因素導致了房地產投資的成敗存在不容忽視的不確定性。因此,在房地產項目管理中,管理者必須充分了解風險,根據主客觀情況,估算自身的風險承受能力,以圖最大限度把握和防范風險。本文將結合“臺兒莊運河古城”這一文化產業型商用房地產項目的具體情況,應用風險管理學的相關理論,通過層次分析方法,對目標項目建設階段進行定性定量的風險識別,風險評估,最后提出成本、質量、工期、技術方面的風險應對措施。
一、臺兒莊運河古城項目概況
臺兒莊運河古城項目屬于產業型商用房地產項目。該項目位于山東省棗莊市臺兒莊區臺兒莊鎮月河(古運河)上游古繁榮街、箭道街及周邊區域,坐落于棗莊市臺兒莊區。臺兒莊古城既是民族精神的象征、歷史的豐碑,也是中國運河文化的珍貴承載體,至今仍保留有相當存量的遺存,世界旅游組織譽之為“活著的運河”、“京杭運河僅存的遺產村莊”。重建后的臺兒莊古城,是中國第一座二戰紀念城市,世界上第四座重建古城、第三座二戰城市,全國唯一海峽兩岸交流基地,國家AAAA級景區。本項目風險集中階段為項目建設階段。
二、項目建設階段的風險識別
為識別項目建設階段的風險,必須填列項目初始風險清單,并從中找出影響本項目的關鍵風險因素。如表1所示,項目建設階段主要風險可歸結為成本風險、工期風險、質量風險和技術風險四類。項目建設階段風險分解清單見表1。
三、項目建設階段風險評估
為確定項目中存在的風險因素對項目有何種程度的影響,現將已識別的風險因素進行分類,并根據分類構建風險判斷矩陣,對項目建設階段的風險因素進行評分,即由公司從參與建設的各部門,依照適宜的比例抽調業務骨干,對所列風險進行評分。按照層次分析法的基本步驟,對已分類的風險因素與其對應因素作比較,根據該因素在項目中的重要程度來計分并在此基礎上計算權重,結果詳見表2、表3、表4、表5、表6。
從表7可見,本項目建設階段主要風險因素從高到低依次是成本風險、工期風險、技術分險、質量風險。對各類風險因素對應的子因素進行排序,可確定項目建設階段的高風險、中風險、低風險。
風險的影響因素從高到低依次為材料價波動、自然災害、方案工藝、合同疏漏、承包商、生產力不足、新材料失敗、設計原因、人員素質、組織不力、安全事故、材料問題、設備條件。其中,高風險包括材料價波動、自然災害、方案工藝、合同疏漏;中風險包括承包商、生產力不足、新材料失敗;低風險包括設計原因、人員素質、組織不力、安全事故、材料問題、設備條件。應根據此排序進行定性的風險應對計劃制定工作,采取有力、有針對性的措施防范風險。
四、項目風險應對措施
通過前文的分析可知該項目的主要風險因素的分布和權重。下文將針對表7所示的風險因素的特點進行深入研究,并找出切實可行的初步風險應對措施。
1、成本風險控制措施
一是材料價格波動風險控制措施。由表7可見,材料價格波動因素在整個項目建設階段占據了最高的權重。引起建工原材料價格上漲的因素有許多,作為開發商來講該部分風險無法控制,但卻可以規避,例如進行風險轉移、選擇施工的時期錯開價格高峰、在價格低谷時期囤積原材料等。二是設計上存在的風險并不大,只需合格的設計者對設計方案保持謹慎的態度便可應對。三是控制合同風險的措施,主要是對投標人進行嚴格的資格預審,招標文件和相應的合同文件應認真編制。利用履約保函、質量保證金等適宜經濟手段,對呈報承包商進行有效約束,確保其在履行合同過程中的行為合法合規。
2、質量風險控制措施
一是為施工過程中的質量、環境、職業健康制定安全綜合管理方針。二是建立一體化管理體系,形成由管理手冊、程序性文件、企業標準、操作(檢驗)規范、其他支持性文件和運行記錄構成的整合型文件體系。質量管理體系應覆蓋設計開發、材料、零部件、工藝、檢驗、計量、設備等過程,各專業質量控制系統由相應的專業技術人員擔任責任工程師,對各生產環節的質量負責。在每個專業領域,公司均指派一名副總工程師擔任負責人,協調和監督各專業質控系統責任工程師工作。三是對質量控制工作開展預先策劃。對重大項目、高難度項目由專業的質量工程師會同有關設計、工藝、生產技術人員編制專題質量控制計劃。質量控制計劃規定了不同生產階段材料、零部件、生產過程需要遵循的技術要求、質量檢驗和記錄要求。通過質量計劃的實施,有效降低了質量失控的可能性,提高了質量控制的可靠性和可信度。四是按照原材料、半成品的質量特性要求配備充分的專業檢驗檢測設備,嚴格遵循相關的標準、規定、圖紙要求,采用嚴格的檢驗檢測手段,從前期設計、原料入庫到成品完工進行全過程檢測,保證產品符合規定要求。
3、工期風險控制措施
房地產開發項目投資規模大、開發周期長、涉及的環節多,項目干系人不僅多而且關系復雜,有投資商、開發商、承包商、供應商、銀行、政府相關部門人員等。期間若某環節出現突發狀況,將會不同程度上對項目的進度推進造成不同程度的負面影響,目標工期可能因此滯后延遲。所以,在協調項目利益相關方的關系時應采取適宜有效的措施來規避風險。一是與政府、銀行等機構的相關職能部門和人員建立穩固的關系并進行良好的溝通,在項目推進過程中協同工作,保證信息流暢準確地共享和傳遞,最大限度削減項目面臨的阻力,確保項目按計劃進行。二是鞏固并加強項目相關方之間以及項目管理團隊內部的有效協調溝通。在項目運作過程中,項目相關方之間保持良好的溝通以預防和消除誤會、保持伙伴關系,是項目按計劃進行的保障和前提;協調調配項目相關方可調用的資源、集中優勢是項目按計劃進行的保障和必要手段。三是與承包商、供應商等上游企業建立穩固的戰略伙伴關系。在項目實施過程中,不能只把承包商、供應商當作履行合同的一方主體,而且應與履約能力強、重合同守信用的承包商、供應商建立一種長期伙伴關系,充分調動相關企業的積極性,確保項目如期保質保量完成。
4、技術風險控制措施
本項目的技術風險為技術使用風險。房地產建設階段,不可避免地會對施工人員及周邊環境造成一定的不利影響,協調項目與當地居民的關系,盡可能避免建設時對當地居民的干擾,以及建設后對環境可能造成的長期損害,是項目組不可回避的難題。一是為降低建設時對施工人員和民眾的影響,應預先調查當地居民的生活規律,選用環保的原料,設計合理的施工流程,運用充足的安保措施,減少施工噪音、粉塵和交通等方面對人和環境的損害;二是為避免對環境的長久破壞,應事先調查歷史上自然形成的古鎮格局,結合當地水文環境的變遷,根據項目的具體需要,合理安排古鎮的建筑位置和風水格局。
五、結語
本文應用風險管理的理論和方法對“臺兒莊運河古城”這一房地產開發項目進行了風險識別和評估,并且初步提出了具備可行性的風險應對措施。
由于房地產開發周期長,在項目實施過程中必然會存在許多無法預測的風險,必須在決策上注重風險防范和在項目實施過程中采取風險綜合管理措施,才能有效地預防和控制風險。為最大可能降低風險因素的影響,應采用綜合治理的原則,動員多方力量,合理分配風險責任,確立風險利益的共同體,建立全面風險管理控制體系,確保落實風險管理工作。
【參考文獻】
[1] 鄒吉林:房地產項目風險管理:以皇家公館項目為例[D].西南交通大學,2009.
[2] 葉海濤:中油山東銷售公司加油站開發項目風險管理研究[D].中國石油大學(華東),2010.
[3] 李健:基于市場風險考慮的房地產投資決策分析[J].中國房地產業,2011(9).
[4] 劉成和:鐵路橋梁項目施工質量管理研究[D].西南交通大學,2009.
[5] 肖玉剛:混凝土工程項目質量控制研究[D].天津大學,2006.
[6] 李新遠:工程施工質量管理的研究[D].西南交通大學,2008.
[7] 楊宛聰:張掖電力工程公司生產運營系統設計與再造[D].蘭州大學,2008.
[8] 郭輝:山東華能辛店電廠機組擴建工程質量控制研究[D].南昌大學,2007.
[9] 楊昭:房地產企業財務風險分析與評估[D].天津大學,2009.
[10] 孫紀友:杭州市房地產周期波動及其影響因素分析[D].浙江理工大學,2009.
[11] 嚴銳:房地產投資風險管理[D].復旦大學,2004.
[12] 李揚:西安曲江?觀山悅項目風險評價研究[D].北京工業大學,2009.
[13] 殷婷婷:資源枯竭型城市經濟發展軟環境建設研究――以棗莊市為例[D].山東師范大學,2012.
[14] 郭剛:房地產投資風險管理[J].新西部(下旬刊),2008(4).
[15] 朱敢平:天津地鐵工程項目中的風險管理研究――以天津地鐵2號線項目為例[D].南開大學,2009.
[16] 黃猛:房地產投資項目評估體系研究[D].西南財經大學,2007.
[17] 趙斌:聊高公路第三合同段施工質量控制研究[D].大連理工大學,2009.
[18] 區奇聰:淺談住宅項目施工質量管理[J].中國科技縱橫,2010(15).
[19] 張寧寧:房地產投資風險分析[D].鞍山科技大學遼寧科技大學,2006.
[20] 王文忠:論建筑工程施工中的質量管理[J].科技創新導報,2008(27).
[21] 許珍等:論房地產投資的風險與防范[J].科技經濟市場,2008(12).
[22] 董宏偉:軍隊院校基建營房建設風險管理研究――以某軍隊院校為例[D].國防科學技術大學,2010.
[23] 盧漢偉等:淺析工程建設項目全面風險管理和風險控制[J].科技信息,2011(6).
[關鍵詞]供應鏈風險;識別和評估;六西格瑪;FMEA
[中圖分類號]F274 [文獻標識碼]A [文章編號]1005-6432(2011)2-0094-03
1 故障模式與影響分析(FMEA)
故障模式與影響分析(FMEA)是一項在產品出售給客戶之前,用于確定、識別和消除在系統設計、過程和服務中已知和潛在的失敗、問題、錯誤的工程技術。
一項FMEA工作包括:確定已知和潛在的失效模式;確定各失效模式的原因和影響;將已確定的失效模式依照其風險度(對嚴重度、頻度、監測難度的綜合評定)進行排序;提供后續問題的糾正措施。
2 供應鏈運作流程分析
采用由供應鏈協會SCC(Supply-Chain Council)開發并授權的跨行業的供應鏈運營參考模型(SCOR)對供應鏈運作流程進行分析。
SCOR將供應鏈分解為5個流程:計劃、采購、制造、配送和退貨。計劃是指平衡需求和供應,制作一系列行動方案,以更好地為其他4個流程服務。采購是指按計劃或需求進行獲取物料和需要的服務。制造是指按庫存制造、按訂單制造、按訂單設計的生產實施。按配送制造是指為庫存生產、按訂單制造和按訂單定制的產品進行訂單、倉庫、配送和裝配的管理。退貨是指該流程與任何原因的退貨和交付后的客戶支持相聯系,包括將原材料返回給供應商和客戶的退貨。
供應鏈SCOR模型的層次如圖 1所示,第一層描述了5個基本流程:計劃、采購、制造、配送和退貨。定義了SCOR模型的范圍和內容,并確立了企業競爭性能目標。第二層是配置層,根據訂單狀況配置公司供應鏈。通過獨特的供應鏈配置,公司實施其運營策略。
第三層是流程分解層,把第二層每個流程進行細化、具體化。使流程更加具體,給出公司在選定市場中成功經營的競爭能力。在這一層面上對流程進行分析,識別失效模式、失效后果。
(1)計劃流程和失效分析(見圖2、表1)
供應鏈網絡因素:供應鏈成員戰略目標不一致,供應鏈績效管理不完善,供應鏈庫存管理不完善,供應鏈配送管理不完善,數據收集不完備
組織因素:戰略計劃不準確,風險意識薄弱,計劃流程的規則不健全,供應鏈計劃與財務計劃脫節
(2)采購流程和失效分析(見圖3、表2~表5)
(4)配送流程和失效分析
配送庫存產品和面向訂單生產的產品的過程包括處理詢問和開價、接收,登記和核實訂單、預留庫存和決定配送日期、合并訂單、包裝產品、裝載和產生配送記錄、運送產品、顧客接收和核實產品、安裝產品。
配送面向訂單定制的產品過程包括:獲得和回應建議要求書和報價要求書、談判和接受合約、登記訂單和發動項目、采購或制造材料、包裝產品、裝載和產生配送記錄、運送產品、顧客接收和核實產品、安裝產品。
配送零售產品過程包括:產生庫存安排、酒店接收產品、儲存貨架、填寫購物卡、校驗、發送、安裝。
影響因素:管理配送規則,評估配送績效,管理配送信息,管理成品庫存,管理配送資本資產,管理產品生命周期,進出口管制。
潛在失效模式:配送延誤,配送丟失,配送錯誤(見表8、表9)。
3 供應鏈風險評估
測量階段使用過程失效模式與影響分析(Failure Mode and Effect Analysis,FMEA)對每個潛在失效原因的風險度進行評估。首先運用頭腦風暴法分析在計劃、采購、制造、配送、退貨5個過程中的潛在失效模式、潛在失效后果。針對每個潛在失效后果,評估其嚴重度,然后分析造成這種后果的潛在失效原因。并評估每個潛在失效原因的頻度和探測難度,最后得到每個潛在失效原因的風險度。
3.1 潛在失效后果嚴重度(Severity)的模糊評估
潛在失效后果的嚴重度是指后果的影響程度,影響越大,嚴重度越高,相反,影響越小,嚴重度就越低。FMEA嚴重度是由相關人員根據主觀感受直接地判斷對總體績效的影響程度。筆者認為影響程度是很難評估的,FMEA用的方法過于簡單,在潛在失效原因和總體績效之間還有很多層次,很多中間因素是不能忽略直接衡量其對總體績效的影響的,而層次分析法(Analytic Hierarchy Process,AHP)則不存在這樣的缺點,而且結合了定量和定性的方法,比單純用德爾菲(Dephi)法更準確。根據FMEA的程序,以1-10為級別對失效原因的發生頻度和探測難度進行評估。
在對潛在失效后果嚴重度進行評估的時候運用了AHP法,得出的權數之和為1,數值比較少,為了不和頻度和探測難度發生數量級的問題,必須對這些權數進行調整。在測量和分析階段定義了12個潛在失效后果,對嚴重度進行轉換。把權數按照從小到大的順序排列,第一和第二個為等級1,第十一個和第十二個為等級10。中間的分別為等級2到等級9。這樣,嚴重度和頻度、探測難度的表示方法達到了一致。最后得到失效原因的風險度
RPN=OxSxD
參考文獻:
[1]Supply-Chain Council,Supply Chain Operations Reference Version 8.0[DB/OL].省略,2009-05-10.
一、引言
信息時代為國家和個人提供了全新的發展機遇和生活空間,但也帶來了新的安全威脅。信息安全的威脅可能來自內部的破壞、外部的攻擊、內外勾結的破壞和信息系統自身的意外事故等,因此我們應按照風險管理的思想,對可能的威脅和需要保護的信息資源進行風險分析,以便采取安全措施,妥善應對可能發生的安全風險。信息安全風險評估是依據國家信息安全風險評估有關管理要求和技術標準,對信息系統及由其存儲、處理和傳輸的信息的機密性、完整性和可用性等安全屬性進行科學、公正的綜合評價的過程。根據ISO27001的管理思想,信息安全風險評估在信息安全管理的PDCA環中是一個很重要的過程,如何處理信息安全風險評估所產生的數據,是每一個信息安全管理者都非常迫切需要解決的一個問題。最好的解決方法是開發出一套實用性強、可操作性高的系統安全風險評估管理工具。
二、風險評估過程
信息安全風險評估系統的設計是針對組織開展信息安全風險評估的過程。這個過程包括對信息系統中的安全風險識別、信息收集、評估和報告等。風險評估的實施過程如下頁圖1。
1.評估前準備。在風險評估實施前,需要對以下工作進行確定:確定風險評估的目標、確定風險評估的范圍、組建風險評估團隊、進行系統調研、確定評估依據和方法、制定評估計劃和評估方案、獲得最高管理者對工作的支持。
2.資產識別。資產識別過程分為資產分類和資產評價兩個階段。資產分類是將單位的信息資產分為實物資產、軟件資產、數據資產、人員資產、服務資產和無形資產六類資產進行識別;資產評價是對資產的三個安全屬性保密性、可用性及完整性分別等級評價及賦值,經綜合評定后,得出資產的價值。
3.威脅識別。威脅識別主要工作是評估者需要從每項識別出的資產出發,找到可能遭受的威脅。識別威脅之后,還需要確定威脅發生的可能性。
4.脆弱性識別。評估者需要從每項識別出的資產和對應的威脅出發,找到可能被利用的脆弱性。識別脆弱性之后,還需要確定弱點可被利用的嚴重性。
5.已有安全措施確認。在識別脆弱性的同時,評估人員將對已采取的安全措施的有效性進行確認,評估其是否真正地降低了系統的脆弱性,抵御了威脅。
6.風險分析。風險評估中完成資產賦值、威脅評估、脆弱性評估后,在考慮已有安全措施的情況下,利用恰當的方法與工具確定威脅利用資產脆弱性發生安全事件的可能性,并結合資產的安全屬性受到破壞后的影響得出信息資產的風險。
三、系統設計
1.用角色設計。系統角色分為三種類型,各用戶在登錄后自動轉入各自的操作頁面。A.超級管理員:擁有系統所有權限;B.評估項目管理員:可以對所負責的評估項目進行管理,對評估人員進行分工和權限管理;C.評估人員:負責由項目管理員分配的測評工作,將評估數據導入系統。
2.系統模型。根據信息安全風險評估管理的業務需求,我們構建了以安全知識庫為支撐,以風險評估流程為系統主要業務流,以受測業務系統及其相關信息資產的風險評估要素為對象的信息安全風險評估綜合管理系統模型,系統模型如圖2所示。
3.系統功能設計。信息安全風險評估綜合管理系統的功能模塊包括:①風險評估項目管理:評估項目管理模塊包括評估項目的建立、項目列表、項目設置等功能。主要輸入項:項目名稱、評估時間、評估對象等;主要輸出項:項目計劃書。②信息安全需求調研管理:該模塊用于用戶填寫安全調研問卷,為安全評估提供數據支持。主要輸入項:用戶ID、調查答案;主要輸出項:問卷標題、調查題內容。③資產識別。系統提供的資產識別,包括:硬件、軟件、數據等,根據業務系統對組織戰略的影響程度,對相關資產的重要性進行評價;主要輸入項:評估對象(信息資產)、賦值規則;主要輸出項:資產識別匯總表、資產識別報告。④威脅識別。威脅識別:系統提供多種網絡環境的威脅模板,支持和幫助用戶進行威脅識別和分析,并提供資產、脆弱性、威脅自動關聯功能:主要輸入項:評估對象、賦值規則;主要輸出項:威脅識別匯總表、威脅識別報告。⑤脆弱性識別。脆弱性識別:系統可提供多種系統的脆弱性識別功能,包括:主機、數據庫、網絡設備等對象的脆弱性識別。系統支持常用漏洞掃描軟件掃描結果的導入,目前支持的掃描系統有:Nessus、NMap等,主機系統支持:Windows、Linux、Unix等,數據庫支持:MSSQL、Oracle等:主要輸入項:評估對象、漏洞掃描結果、賦值規則;主要輸出項:漏洞掃描報告、脆弱性識別匯總表、脆弱性識別報告。⑥安全措施識別。安全措施識別:系統提供基于技術、管理等方面的安全措施檢查功能,幫助用戶了解目前的安全狀況,找到安全管理問題,確定安全措施的有效性:主要輸出項:安全措施識別匯總表、安全措施識別報告。⑦風險分析。系統通過資產評價、脆弱性評價、威脅評價、安全措施有效性評價、風險分析等工作,可自動生成安全風險評估分析報告。主要輸入項:評估對象、資產值、脆弱性值、威脅值、安全措施值、計算規則;主要輸出項:風險計算匯總表、風險分析報告。⑧評估結果管理。主要功能是對歷史記錄查詢與分析。匯總所有的安全評估結果進行綜合分析,并生成各階段風險評估工作報告,主要包括如下:《資產識別報告》、《漏洞掃描報告》、《威脅識別報告》、《脆弱性識別報告》、《控制措施識別報告》、《風險分析報告》。并可對當期風險評估結果和原始數據進行轉存或備份。在有需要時能調出評估歷史數據進行查詢及風險趨勢分析。⑨信息安全知識庫更新維護。信息安全知識庫的更新維護主要對象有:系統漏洞庫、安全威脅庫、安全脆弱點庫、控制措施庫。為避免造成數據的冗余,系統將在各評估項目中需要反復使用的數據歸入基礎數據庫進行管理,在進行評估活動時再從基礎庫提取有關數據,這樣也能減少重復的輸入工作。⑩數據接口。導入數據接口:資產庫、脆弱點庫、威脅庫、控制措施庫。支持以下常用的格式:如EXCEL文件等;常用的漏洞掃描工具:如綠盟、啟明星辰、NESSUS、NMAP等。
四、結束語
該系統設計是以信息安全風險評估工作流程為基礎,進行信息安全評估項目管理、風險要素數據收集與輔助風險分析的系統,在實際風險管理過程中,可引入了質量管理理念——PDCA循環,即通過監控每一階段的信息系統風險情況,及時發現問題,不斷調險控制工作計劃,從而實現信息安全風險管理的工作目標。
關鍵詞:橋梁工程;風險識別;風險評估
引言
橋梁工程施工是基礎設施建設的重要內容,隨著社會經濟及橋梁建筑施工技術的發展,橋梁的結構更加復雜,加上橋梁施工環境大多比較惡劣,都為工程施工帶來了更多的風險,對橋梁工程施工階段的風險進行識別評估是降低風險、減少施工事故的重要手段。本文主要就常見的橋梁工程施工風險識別及評估方法進行簡單介紹,結合實例分析風險識別評估的過程,僅為類似工作的開展提供參考。
1橋梁工程施工風險綜合識別法
橋梁工程施工風險評估的方法有故障樹分析法、德爾菲法、專家調查法等等,這些方法都存在著一定的不足,比如故障樹分析法的多余量較多、難度較大,對于分析人員的技術要求較高,分析人員必須要具備良好的邏輯運算能力,否則很容易出現錯誤,下文結合橋梁工程的具體施工特點,介紹一種綜合性的風險識別方法,該方法主要包括事故總結、結構分析、現場調研以及專家調查四部分內容,比較系統全面。目前來說,我國還沒有建立起完整的橋梁工程基礎數據庫,為了盡可能降低風險,實際的事故過程中相關工作人員要善于將類似橋梁工程發生的安全事故總結起來,并進行詳細分析,為本次的風險評估工作提供參考資料,這一內容即事故總結。橋梁工程多種多樣,結構形式各不相同,不同橋梁結構選擇的施工方法自然會存在較大的差異,產生的風險也各不一樣,因此風險識別過程中工作人員要能夠對整個橋梁結構進行詳細分析計算,及時發現結構設計中的薄弱環節,并提出對應的控制措施,盡可能降低或者消除風險。現場調研對于風險識別至關重要,工作人員必須深入施工現場對當地的水文地質情況、自然氣候進行詳細了解,對現場的施工進度進行跟蹤調查,總結橋梁工程施工中可能存在的風險事件。專家調查對于風險識別工作而言十分重要,他們擁有豐富的理論知識及實踐經驗,能夠及時發現橋梁施工中各種潛在的風險。
2橋梁施工風險分級評估法
橋梁工程十分復雜,施工方法眾多,風險評估過程中僅僅依靠單一的方法進行評估往往不夠全面,下文簡單介紹一種分級評估方法,實際的評估過程中將風險源分為三個級別,具體的評估過程中首先通過專家調查法、專家評議法等簡單的評判方法對風險源進行評判,明顯較低的評判為低度風險,其余風險源進入二級評判,二級評判中通過LEC等精度較高的評判方法對進入二級評判的風險源進行評估,風險較低的定為中度風險,剩余風險源進入三級評判,三級評判主要通過風險矩陣法等高精度的評判方法對這些風險源再次進行評估,風險較低的定為高度風險,較高的則為極度風險,評估流程如圖1所示。這種分層分級的評估方法中能夠充分發揮各種評估方法的優勢,保證了風險源評估的精準度,適用于各種橋梁結構及施工方法,實用性較強。
3橋梁施工風險評估實例
3.1工程概況
某高速公路大橋的主橋長度為308.04m,跨度為(80+145+80)m,采用預應力混凝土連續箱梁,箱梁使用掛籃懸臂進行澆筑,懸臂澆筑的流程如下所示:0號段澆筑拼裝掛籃1號段澆筑掛籃前移調整錨固,箱梁的每個“T”結構都分為18段,每一個梁段都采用這一步驟,全部澆筑完成之后將掛籃拆除,最后合龍。
3.2橋梁施工階段風險識別過程
3.2.1事故總結為了能夠更好地識別施工階段的各種風險,本文針對連續梁橋懸臂澆筑施工的特點,搜集了許多連續梁橋施工有關的橋梁事故,共匯總了14個風險事件,其中包括鋼筋工程質量事故、預應力錨具破碎夾片錨彈出、墩梁臨時固結失效、施工支架失效、合龍段高差不合格、掛籃澆筑時坍塌事故、掛籃拆除時事故、通航船舶撞擊橋墩事故、立柱模板傾倒、施工現場觸電事故、施工現場機械傷害事故、施工人員高處墜落事故、風引起的事故、施工對周邊居民安全影響,匯總完成之后對事故的原因及發展的規律進行了詳細分析,統計了事故的損失,為后期的風險識別及評估提供了豐富的資料。3.2.2結構分析通過結構分析,相關工作人員能夠詳細了解橋梁結構的受力狀態,然后才能夠針對結構設計中存在的一些問題提出針對性解決措施。本次風險識別及評估過程中相關工作人員對大橋施工過程進行有限元結構分析,詳細了解了施工過程中的結構受力情況,為后期的風險識別工作奠定了良好的基礎。3.2.3現場調研現場調研的主要內容包括施工地的自然氣候、地質地貌、水環境、施工現場的管理情況、技術條件等等,經過分析調查顯示,該橋梁所在區域屬于亞熱帶季風濕潤氣候,春季氣候溫暖、多雨,夏季干熱,秋冬季節比較寒冷,年平均氣溫為17.7℃,歷年最高氣溫為40℃,最低氣溫為-6.8℃,6~8月份降水較多,年平均降水量為1170mm,夏季暴雨比較集中,很容易出現洪澇災害。橋梁所在地屬于構造侵蝕丘陵地貌,整個河谷呈現“V”字形,地表水系發育,河道內水流量較大,且長期流水,最深可以達到31m,橋位區設計洪水位為210.37m,通航水位為205m,施工水位為188m,沒有發現斷層、巖溶等不良地質現象。本次施工過程中整個施工組織設計比較合理,涉及的施工機械裝備十分齊全,施工單位在橋梁施工方面擁有非常豐富的經驗,施工技術條件良好,施工現場管理也符合相關工程標準,沒有出現管理混亂等問題。實地調研之后發現本次施工可能存在著施工現場人員淹溺事故、暴雨引起的事故、連續陰雨引起的事故、雷暴引起的事故、大霧引起的事故、高溫引起的事故、橋梁施工對通行船舶安全的影響、施工對環境的影響、洪水引起的事故等風險事件。3.2.4專家調查本次風險識別評估邀請9位橋梁設計、施工、科研、管理方面的專家,結合大橋的勘察、設計、施工組織等等資料,共總結出18個風險事件,比如縱向預應力管道堵塞、預應力筋張拉伸長量偏差過大、錨固端混凝土開裂、混凝土澆筑時模板偏移、沿縱向預應力管道裂縫、懸臂澆筑時主梁標高異常波動、箱梁頂板澆筑質量不合格、鉆孔樁塌孔、鉆孔樁鋼筋籠偏斜等等。
3.3施工風險綜合評估
所有的施工風險識別完成之后,采用分層分級評判方法對各個施工階段可能存在的風險事件進行識別,最終得出各風險源,以懸臂梁澆筑施工為例,該階段的施工風險事件共有23項。使用LEC方法對風險事件評判,其中L指的是事故發生的可能性,E指的是人員暴露在危險環境中的頻繁程度,C指的是安全事故發生后可能引起的后果,風險分值以D表示,D值大小與風險高低呈正相關。二級評判顯示,D值小于70,表示風險可以接受,D值大于70,進入三級評判。三級評判中使用風險矩陣法對風險事件進行動態估測,評判結果顯示掛籃澆筑時坍塌事故為極高風險事件,具體施工中必須嚴格控制,施工人員高處墜落事故為高度風險事件,施工過程中要合理控制。
4結語
橋梁施工過程中可能會存在各種風險事件,為了確保現場施工人員的安全,保證橋梁質量,相關人員必須要加強風險識別及評估。本文結合工程實例就橋梁施工階段風險識別及評估過程進行了簡單介紹,僅為類似工程風險識別評估工作提供參考。
參考文獻:
[1]袁鵬飛.橋梁施工風險評估方法研究[J].科學與財富,2016,8(5):189-190.
[2]李金剛,孫新亮.橋梁工程施工階段的風險識別與評估研究[J].建筑工程技術與設計,2015(12).
[3]吳永鋒.淺析橋梁工程施工階段的安全風險識別與評估[J].城市建設理論研究(電子版):2015(6).
[4]霍東發.公路橋梁工程安全風險識別的綜合法研究[J].城市建設理論研究(電子版):2014(13).
[5]段超.橋梁施工的風險評估與風險管理研究[J].建筑工程技術與設計,2014(16):219.
[6]歐陽心和,李志勇,鄭祖恩,等.橋梁工程施工風險綜合識別與評估方法[J].公路工程,2013,38(5):30-33.
關鍵詞:風險評估;風險管理;風險識別
一、概述:中國太平洋保險公司風險評估相關狀況
太平洋保險公司建立了較為完善的風險管理組織架構,董事會是風險管理政策的最高決策機構,其下設的風險管理委員會負責幫助董事會對風險進行有效的管理和監督;太平洋保險公司經營下設風險與合規工作委員會,協助經營層實施各項風險管理工作,公司指定一名副總裁分管風險管理工作;太平洋保險公司設立風險管理部,其他部門均設有風險評價工作聯絡人,協助所在部門開展風險自評,并協助風險管理部門開展有效的風險管理。公司指定了《風險管理政策》及其配套的市場風險、信用風險、保險風險、操作風險管理規范,開展了風險量化評估工具的研究探索工作,并初步建立了內部風險評估模型,設立風險監控指標進行風險評估等,對整體風險和重點風險盡享了風險評估和風險預警。
2011――2012年度,太平洋保險公司進一步加強了對償付能力風險、資產負債管理風險、內控不到位風險以及境外風險傳遞等重點風險的監控:不斷優化風險信息管理平臺,并升級優化了風險自查系統功能,提高了風險評估的有效性和科學性。
二、流程圖法進行風險識別的主要成果
太平洋保險公司的業務流程主要可以分為兩個主要階段:承保和理賠。下面就將從這兩部分對太平洋公司壽險業務的風險進行識別。
在圖1、圖2的基礎上,結合相關知識和職業判斷對每一個業務流程中的潛在風險進行了識別,初步識別出以下主要風險,形成了太平洋保險公司風險識別表。
1.經營決策風險指在公司經營過程中由于決策失誤所造成的風險。如拓展保險業務的三種業務途徑的調整、核保權限的分配、重大標的的承保和理賠的處理等等。對于這些決策,由于評審程序不規范、相應調查的缺失、決策過程的不公開、問責制度的缺乏等等都會導致其經營發展戰略實現的不確定性。
2.業務風險指保險公司在其業務管理中,由于缺乏風險管理和內部控制意識造成行為不合理、不規范或造成舞弊行為而導致的風險。主要包括:銷售風險、核保風險、單證管理風險等。
3.預算管理風險指由于預算管理制度不健全、編制的預算方案與太平洋保險公司戰略和預算目標不符,預算編制與實際脫節,預算方案未得到嚴格執行,預算考核制度不合理等原因,導致全面預算管理戰略實現的不確定性
4.會計核算風險指會計人員在從事會計核算工作時所面臨的風險。會計人員在對資金入賬的及時性、準確性上的缺失及在核對發票和業務系統的記錄,核對銀行回單及業務系統的資金到賬記錄上的失誤都將導致會計核算中的風險
5.資產管理風險指由于資產管理制度不健全、資產管理報批程序未得到嚴格執行。資產的確認、購置、使用、維護、處置不當、資產會計處理和相關信息不合法、不真實、不完整等原因,導致資產使用效率低下、資產損失、資產賬實不符。
6.法律風險指因為自身行為超越法律規范或者監管部分規定所形成的風險。一方面,保險人的經營可能擾亂了公平競爭的市場環境,損害了被保險人的合法權益,違反了相關法律法規;另一方面,其提供的財務報告及數據不是真實合法的,這些都可能導致法律風險。
7.承保風險 在承保過程中,由于風險意識的缺乏,重業務發展輕業務質量,重規模輕效益的行為的存在,核保制度的不健全等等都可能使保險公司的經驗風險大大提高。
三、分析
(1)樹立風險識別的理念,加強風險評估。加強風險的識別和有效控制才能推動保險業的可持續發展,在構建保險公司的風險管理體系過程中,相關部門應圍繞風險這個核心,建立識別、評估、處理和監控四個層次的風險監管系統,通過對各種信息進行定量和定性分析,準確、及時、系統地檢測保險公司的風險狀況。針對不同風險等級,實施不同層次的經營行為。
(2)建立風險管理框架,以更好地保證風險識別。一個良好的風險管理框架可以使保險公司的目標確定、風險事件識別、風險評估、風險處理、控制活動、信息與工頭和風險監控成為一個體系,并最終幫助公司實現其戰略目標和使命。借鑒其思路,應首先做好的工作是建立良好的風險管理組織架構。而正如上文的概述中提到的,太平洋保險公司在這一點上做出了一定成果,接下來只需繼續完善,在組織架構、職責和分工更加明確的情況下,各盡其職,同時保持良好的溝通和協調,以促進風險識別的效率的提高。
(3)采取適當方法進行風險識別。即采用定性和定量的方法或設立風險評估模型的方式,對風險發生的概率,重要性和可能性進行分析、排序和分類,對重要風險予以密切關注。并且這是一個連續不斷的過程,許多復雜的和潛在的風險要經過多次識別才能獲得較為準確的答案。
(4)風險識別參與面“明確”,風險識別過程“細致”,風險識別內容“務實”。雖然不可能識別出企業面臨的所有風險,但也要抓住重點,使風險識別能覆蓋重大風險域。對于太平洋保險公司來說,從保險業務,投資業務到財務再到信息技術的管理都需要進行風險識別。再深入探究,產品開發,核保理賠,再保險管理,客戶服務,投訴咨詢管理等等細致的方面無一不需要企業提高自身的風險識別能力。
參考文獻:
【論文摘要】 風險評估是指識別、分析相關風險以實現既定目標的過程,是完善公司內部控制的重要保證,這一過程受公司董事會、管理層及其他員工的影響,包括對內外部因素進行檢查以識別相關風險,對這些風險的重大程度、發生的可能性進行分析,并考慮使公司所承擔的風險處于自己管理的范圍之內,以合理保證公司能夠取得既定目標。作為壽險公司,其本身就是風險集合的中介,具有經營的高風險性,因此壽險公司的風險評估更為重要。
【關鍵詞】 風險評估
一、公司目標
風險評估的前提是設立目標.設定目標是公司管理過程的重要組織部分,而非內部控制的要素,但它卻是內部控制得以實施的先決條件。建立起目標體系,就能把各種力量、各類資源統一協調,按照目標的要求發揮作用,促使壽險公司切實的凝結為一個整體。只有先確立目標,公司才能針對目標確定風險并采取必要的行動來管理風險。目標設定是壽險公司對風險進行識別、評估和制定相關風險對策的基礎。
二、風險識別與評估
公司面臨的風險是指發生對公司目標的實現可能產生影響的不確定性,并可以通過一系列防范措施予以規避和減小的損失的可能性。風險的識別需要比較客觀的進行,而且為了避免忽略相關的風險事件,識別風險的過程最好與評估風險的過程區分開來。
相對于壽險公司的經營管理來說,風險因素既存在于公司內部,也產生于公司外部。對于壽險公司,有可能引起風險發生的內部因素是:
(1)管理層對實現公司目標的理念意識和緊迫感。
(2)員工的勝任能力,以及完成工作的恰當性和完整性。
(3)公司資產的規模、流動性或業務總量。
(4)公司的財務狀況。
(5)信息系統電算化的程度。
(6)公司經營活動的地理分布。
(7)內部控制系統的恰當性和有效性等。
外部風險是指外部環境中對公司目標的實現產生影響的不確定性事件,有可能引起風險發生的外部因素是:
(1)國家法律、法規及政策的變化:如新的法律和法規可能要求經營政策和策略的改變。
(2)經濟環境的變化:經濟形勢的變化可能對有關融資、資本支出和擴張的決策產生影響。
(3)科技的快速發展:技術發展會影響研發的性質和時機,或帶來采購的變化。
(4)行業競爭及市場變化:競爭和不斷變化的客戶需求會改變公司營銷、產品開發、業務流程和客戶服務等活動。
(5)自然災害:自然災害可能導致經營或信息系統的改變以及強調對或有損失制定應急計劃的需要。
識別公司層面和操作層面風險后,公司需要進行風險評估。進行風險評估,必須保證風險評估人員具備相應知識和業務能力,并已經對公司的各項政策和程序有了比較深入的了解。在此基礎上,風險評估才可以順利進行。總體來說,風險評估的方法有兩種,一是定量方法評估,二是定性方法評估。
風險評估是全面、準確、及時地了解和把握壽險公司風險的內控基本要素,是識別及分析那些可能影響企業達到企業目標或事件的手段,是決定如何構建有效內控體系的基礎。目前,我國壽險公司在風險評估意識、方法、技術等方面還比較落后。主要表現為:一是風險評估的方法技術落后,人才缺乏。由于管理層長期以來不重視風險管理和高技術人才的缺乏,我國壽險公司的風險評估主要依靠定性的、人為控制的直接管理方法,如委托理財審查等方式,而未使用定性和定量相結合的客觀的科學方法。這導致了風險管理的專業化程度和效率較低。
三、風險處理
在評估了風險的重要性和發生概率之后,管理層需要考慮如何管理風險。這涉及基于對風險假設的判斷,以及對降低風險水平所需成本的合理分析。降低重大的或可能發生的風險的措施包括管理層每日做出的無數決策,從確定其他供貨源或擴大產品線到獲取更具相關性的經營報告或改進培訓計劃等。合理恰當的措施會實實在在消除風險或抵銷其影響。根據風險評估結果做出的風險應對措施主要包括以下幾個方面:風險回避、風險控制、風險承擔、風險轉移。評價風險應對措施的適當性和有效性時,應當考慮以下因素:采取風險應對措施之后的剩余風險水平是否在組織可以接受的范圍之內、采取的風險應對措施是否適合本組織的經營、管理特點、成本效益的考慮。
目前,我國壽險公司普遍存在對風險管理的模糊認識、困惑甚至誤解,進而出現風險管理導向錯誤的現象。因此,一是要要強化經營風險既有損失的可能,也有盈利的可能的認識,注重風險和收益的平衡關系;二是建立廣泛適應的風險決策標準;三是針對各種風險確定風險應對措施的程序和方法。對降低風險水平所需成本進行合理分析,充分考慮現有程序對于控制已識別風險是否合適,以及完善流程以應對不斷變化中的風險等。
四、風險監控
制定了風險處理計劃后,并非一勞永逸,在公司的運行過程中風險還可能會增大或者衰退。因此,在公司的經營管理過程中,需要時刻監督風險的發展與變化情況,并確定隨著某些風險的消失而帶來的新的風險。風險監控就是要跟蹤識別的風險,識別剩余風險和新出現的風險,修改風險管理計劃,保證風險計劃的實施,并評估消減風險的效果。風險監控是與控制活動密切結合在一起的,要使公司的風險監控發揮積極作用,就必須在控制活動的各個環節確立不同的控制方式:預防性監控、檢查性監控、糾正性監控、指導性監控。除了以上一般的風險監控形式外,還有針對某個環節不足或者缺陷而采取的補償性監控,為加強計算機管理而實施的計算機監控等等。這些風險監控形式,合理保證了公司風險監控的效率和效果,有助于公司管理風險。
要解決好風險識別、評估、處理與監控之間的關系,離不開公司內部每一位員工的共同努力。要使風險監控在整個風險評估流程中發揮重要作用,一是必須建立良好的風險管理組織架構;二是對影響已識別風險或事件因素進行定期核查。
關鍵詞:信息安全風險評估風險分析
一、前言
電力系統越來越依賴電力信息網絡來保障其安全、可靠、高效的運行,該數據信息網絡出現的任何信息安全方面的問題都可能波及電力系統的安全、穩定、經濟運行,因此電力信息網絡的安全保障工作刻不容緩[1,2]。風險評估具體的評估方法從早期簡單的純技術操作,逐漸過渡到目前普遍采用BS7799、OCTAVE、ISO13335、NIST SP800-30等相關標準的方法,充分體現以資產為出發點,以威脅為觸發,以技術、管理、運行等方面存在的脆弱性為誘因的信息安全風險評估綜合方法及操作模型[3]。
二、信息安全風險評估
在我國,風險評估工作已經完成了調查研究階段、標準草案編制階段和全國試點工作階段,國信辦制定的標準草案《信息安全風險評估指南》[4](簡稱《指南》)得到了較好地實踐。本文設計的工具是基于《指南》的,涉及內容包括:
(一)風險要素關系。圍繞著資產、威脅、脆弱性和安全措施這些基本要素展開,在對基本要素的評估過程中,需要充分考慮業務戰略、資產價值、安全需求、安全事件、殘余風險等與基本要素相關的各類屬性。
(二)風險分析原理。資產的屬性是資產價值;威脅的屬性可以是威脅主體、影響對象、出現頻率、動機等;脆弱性的屬性是資產弱點的嚴重程度。
(三)風險評估流程。包括風險評估準備、資產識別、威脅識別、脆弱性識別、已有安全措施確認、風險分析、風險消減[5]。
三、電力信息網風險評估輔助系統設計與實現
本文設計的信息安全風險評估輔助系統是基于《指南》的標準,設計階段參考了Nipc-RiskAssessTool-V2.0,Microsoft Security Risk Self-Assessment Tool等風險評估工具。系統采用C/S結構,是一個多專家共同評估的風險評估工具。分為知識庫管理端、信息庫管理端、系統評估端、評估管理端。其中前兩個工具用于更新知識庫和信息庫。后兩個工具是風險評估的主體。下面對系統各部分的功能模塊進行詳細介紹:
(一)評估管理端。評估管理端控制風險評估的進度,綜合管理系統評估端的評估結果。具體表現在:開啟評估任務;分配風險評估專家;對準備階段、資產識別階段、威脅識別階段、脆弱性識別階段、已有控制措施識別階段、風險分析階段、選擇控制措施階段這七個階段多個專家的評估進行確認,對多個專家的評估數據進行綜合,得到綜合評估結果。
(二)系統評估端。系統評估端由多個專家操作,同時開展評估。系統評估端要經歷如下階段:a.準備階段:評估系統中CIA的相對重要性;b.資產識別階段;c.威脅識別階段;d.脆弱性識別階段;e.已有控制措施識別階段;f.風險分析階段;g.控制措施選擇階段。在完成了風險評估的所有階段之后,和評估管理端一樣,可以瀏覽、導出、打印評估的結果—風險評估報表系列。
(三)信息庫管理端。信息庫管理端由資產管理,威脅管理,脆弱點管理,控制措施管理四部分組成。具體功能是:對資產大類、小類進行管理;對威脅列表進行管理;對脆弱點大類、列表進行管理;對控制措施列表進行管理。
(四)知識庫管理端。知識庫的管理分為系統CIA問卷管理,脆弱點問卷管理,威脅問卷管理,資產屬性問卷管理,控制措施問卷管理,控制措施損益問卷管理六部分。
四、總結
信息安全風險評估是一個新興的領域,本文在介紹了信息安全風險評估研究意義的基礎之上,詳細闡述了信息安全風險評估輔助工具的結構設計和系統主要部分的功能描述。測試結果表明系統能對已有的控制措施進行識別,分析出已有控制措施的實施效果,為風險處理計劃提供依據。
參考文獻:
[1]Huisheng Gao,Yiqun Sun,Research on Indices System of Security Risk Evaluation for Electric Power.Optical Fiber Communication Network,IEEE,2007.
[2]Masami Hasegawa,Toshiki Ogawa,Security Measures for the Manufacture and Control System,SICE Annual Conference 2007.
[3]左曉棟等.對信息安全風險評估中幾個重要問題的認識[J].計算機安全,2004,7:64-66
