2000年12月28日科技部颁发的《科技评估管理暂行办法》将科技评估定义为“是指由科技评估机构根据委托方明确的目的,遵循一定的原则、程序和标准,运用科学、可行的方法对科技政策、科技计划、科技项目、科技成果、科技发展领域、科技机构、科技人员以及与科技活动有关的行为所进行的专业化咨询和评判活动”。从更广泛的意义上来讲,科技评估是对与科学技术活动有关的行为,根据委托者的明确目的,由专门的机构和人员依据大量的客观事实和数据,按照专门的规范、程序,遵循适用的原则和标准,运用科学的方法所进行的专业化判断活动。其结果要归结为能够回答委托者特定目的评估结论和评估分析。
1.2科技评估的范畴
科技评估的范畴主要是职能性评估和经营性评估两大方面,职能性评估是指对政府科技活动有关行为进行的客观的、科学的评价和判断,为政府有关部门发挥决策、监督职能提供服务。经营性评估是指对企业或其他社会组织与科技活动有关行为进行的客观的、科学的评价和判断,为他们对被评事物的决策、判断提供参考依据。在市场经济条件下,科技评估作为一种咨询活动,不应仅仅只为政府决策服务,还应深入到市场中的各类科技活动之中,接受非政府机构委托的评估任务,如企业投资项目的科技评估、风险投资机构投资的科技评估、企业产权交易中的科技评估等。
1.3科技评估的分类
1.4科技评估的方法
评估方法有广义和狭义两种概念,广义概念包括评估准备、评估设计、信息获取、评估分析与综合、撰写评估报告等评估活动全过程的方法,狭义概念特指评估分析与综合的方法。
科技评估可选用的方法多种多样,关键是要依据不同对象,有针对性地选择评估方法。常用的分析评价方法有定性和定量结合的方法、多指标综合评价方法、指数法及经济分析法和基于计算机技术的评估方法等。
2风险投资的风险管理
2.1风险识别
2.2风险衡量
2.3风险控制
风险控制是指在对风险进行全面的分析之后,实施各种风险控制工具,力图在风险发生之前消除各种隐患,减少损失产生的原因及实质性因素,将损失的后果减少到最低限度。实施风险控制的步骤是风险预测——风险决策——实施决策方案——方案的成果评价。风险控制的主要方法有风险规避、风险预防、风险分散、风险转嫁、风险补偿、风险抑制等。
3科技评估与风险投资的风险管理
科技评估与风险管理既有联系也有区别,科技评估作为一种专业化判断活动,在介入风险投资的风险管理后,其任务便是对风险进行识别和衡量,其结果作为风险投资机构投资决策和制定风险控制实施方案的依据。可见,在风险投资的风险管理中,科技评估实质是风险的识别和衡量的过程,而风险管理还包括了风险控制的实施过程,这样科技评估就可以作为风险管理一个组成部分,实现两者的有机结合,促进共同发展。科技评估与风险投资的风险管理的关系如附图所示:
3.1科技评估是提高风险投资管理效率的重要手段
科技评估经过近十年的发展,已有一整套较为完备的评估规范和技术方法,在评估设计、评估信息采集、综合分析、评估质量控制等方面的研究已较为成熟,同时,由于科技评估机构长期致力于国家和地方各类科技计划、科技项目、科研机构等方面的评估,对于科技产业、科技政策等方面的研究也是其他咨询机构无法比拟的。而我国风险投资业尚处于起步阶段,国家还未出台较为完备的有关风险投资事业的行政法规,风险投资机构的风险管理机制还很不健全,对风险管理人才培训的投入和重视程度还远远不够,因此,将科技评估运用到风险投资的风险管理中将能充分发挥其作用,提高管理效率。
3.2科技评估方法是衡量风险投资风险的有效工具
定量和定性方法相结合是科技评估方法应用的基本思路,这与现代风险评价所采取的方法既有相近又有其独到之处,科技评估中最常用的方法是多指标综合评估方法,它是在对多个影响因素进行分析研究之后,设计一套相应的评估指标体系,并对每一个评估指标都制定具体的标准和统一的计算方法,使其能对金额、人数等可计量的指标进行定量评估,同时对社会影响等因素亦可做定性评估的描述。这与上面介绍的“Z记分”方法仅依靠可计量的数据作为评价基础相比较更为有效。采取科技评估方法衡量投资风险也更为准确、可信。
3.3科技评估是推动风险投资管理创新的动力
引入评估机制,使风险投资机构的投资选择与投资决策相分离,使得风险投资管理更为透明化,也遏止了内部人员的“暗箱操作”等种种不良现象。通过独立的、专业化的评估中介组织的运作,将能使风险投资机构的管理层能更客观地认识到投资风险,从而可集中精力于投资决策,通过管理体制的创新,保证投资的科学性和安全性,也提高了投资成功率。
3.4科技评估参与风险投资管理是其自身发展的需要
科技评估工作现阶段主要是为各级科技行政管理部门,主要是国家和省、市科技管理部门服务,而且大部分科技评估机构是由科技管理部门所属的有关单位,如软科学研究机构、科技咨询机构、科技情报机构等部门产生,但由科技管理部门所属的单位评估科技管理部门的科技项目、科技计划等等,在一定程度和一定范围内不可避免的受到科技管理部门的影响。因而,评估水平难以提高。因此,科技评估机构作为一种社会中介服务机构,和各类资产评估机构一样,应逐步社会化和多元化,如参与到风险投资管理的咨询工作中,只有社会化、多元化,才能充分引进竞争机制,优胜劣汰,提高评估水平,促进科技评估事业的发展。
3.5科技评估促进风险投资实现动态管理
风险投资从进入到退出的全过程中,无时无处不存在着风险,实施某项投资决策前需要进行深入分析以确定各种存在风险的影响程度;进行投资后,还应深入到所投资的企业进行跟踪调查分析,对企业生产经营、财务状况,市场竞争状况,企业的发展趋势与步骤等,经常进行科学的、系统的分析与判断,发现潜在的风险,及时采取有效措施,杜绝它的发生或降低它的危害;风险投资退出后,还要对风险投资的效果进行测评,总结经验与教训,作为今后投资决策的参考。可见,风险投资的风险管理是一个动态的过程,实现管理目标需要实施一系列的评估,科技评估的事前、事中和事后评估能够满足这一要求,促进风险管理动态管理。
参考文献
一、税收风险识别系统设计
二、税收风险评估系统设计
在风险识别的基础上,企业税收风险管理人员需进一步分析风险发生的可能性以及对目标实现的影响程度,从而对风险进行评估。风险评估的内容应包括风险发生的可能性和对企业目标的影响程度两个方面。(1)税收风险评估系统流程。首先由税收风险管理部门分析识别并汇总归类税收风险,然后测算税收风险大小以及给企业带来的损失,继而依据测算结果对税收风险进行警示排序并编写税收风险评估报告,最后建立企业税收风险数据库用来对未来风险进行纵向比对和参考。税务风险
图1税收风险识别流程图
三、税收风险应对系统设计
为了适应经济全球化和审计准则国际趋同的形势,提高CPA以应对审计风险的能力,财政部于2006年2月15日了新的CPA执业准则体系,并于2007年1月1日起施行。执业准则体系中的审计风险准则启用了新的审计风险模型,即:审计风险=重大错报风险×检查风险。该模型引人了“重大错报风险”概念,重大错报风险包括两个层次:财务报表层次和认定层次。其中财务报表层次重大错报风险是指财务报表审计前存在重大错报的可能性。认定层次重大错报风险,是指各类交易、账户余额、列报与披露在审计前存在重大错报的可能性。审计财务报表重大错报风险是财务报表审计程序的重要环节,CPA应注重对财务报表重大错报风险的审计,并根据审计结果采取应对之策,以实现合理保证财务报表不存在重大错报的审计目标。
一、财务报表重大错报风险的识别
注册会计师应根据审计风险准则的要求,识别和评估财务报表重大错报风险,针对评估的认定层次重大错报风险实施进一步审计程序,以将审计风险降至可接受的低水平。
(一)财务报表层次重大错报风险的影响因素
2.战略风险。战略规划在很大程度上决定被审计单位的发展方向、发展步骤和发展策略,甚至决定被审计单位的前途和命运,若不顾被审计单位自身资金、管理者能力等因素的制约而盲目扩大规模、盲目多元化,必然将导致经营失败。
(二)认定层次重大错报风险的影响因素
新的审计风险准则及模型没有单独提到固有风险和控制风险,但指出认定层次的重大错报风险仍由固有风险和控制风险构成。
1.固定风险因素。它主要分为五个方面:(1)较难审查的账户或交易。非常规交易、关联方交易以及这些交易形成的账户存在的错报的可能性较大,在审查这些账户或交易时,对于注册会计师所需的经验判断和技术水平要求较高,应在项目开始前进行仔细审查。(2)重要交易或事项的复杂程度。需要利用专家工作结果予以佐证的重要交易或事项的复杂程度时,重大错报风险通常较大。(3)遭受损失或被盗用的项目。如现金、有价证券、存货等资产具有普遍的吸引力,若缺乏有效的内部控制,容易遭受损失或被挪用,重大错报风险通常较大。(4)运用判断的程度。如对无形资产和递延资产摊销、坏账准备、存货跌价损失、或有负债等的认定存在着大量的估计和判断,出错的概率较大,重大错报风险也相应较大。(5)易漏记的交易和事项。如销售退回及折让、利息的计提、按权益法核算的长期投资及其投资损益等,在正常的会计处理程序中被漏记的可能性较大,重大错报风险比较大。
2.内部控制的可信赖程度。内部控制是由企业治理层、管理层和其他人员设计和执行的政策和程序,用以保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵循。审计对象是否建立了合理有效的内部控制,对会计信息的质量会产生较大影响,影响财务报表重大错报。
二、财务报表重大错报风险评估
对重大错报风险的识别仅是风险分析的第一步,准确地对风险进行评估才能把握风险控制风险。重大错报风险评估的实质就是找出风险发生的可能性并估计其产生的损失。从审计客体来看,被审计单位的一切经营活动成果和资产负债状况最终都须通过财务报表予以反映。所以,财务报表本身的可靠不仅对是否公允地反映企业的财务状况和经营成果有直接的影响,而且对审计风险也有直接的影响,即不公允可靠的财务报表本身的风险会导致审计失败、审计责任和审计风险。
2)将20%作为临界点的原因:根据审计经验和人们普遍对风险的心理承受能力。
现金流量表中重大错报风险的评估应结合资产负债表和损益表的重大错报风险的评估进行,资产负债表和损益表中的重大错报一般会在现金流量表上反映出来,审计人员可根据对上述两个报表的风险评估大致估计现金流量表的风险水平。
三、设计认定层次重大错报风险的进一步审计程序
1.确定进一步审计程序的性质。进一步审计程序的性质是指进一步审计程序的目的和类型。CPA应根据认定层次错报风险的大小,选择进一步审计程序。风险越高,通过实质性程序获取审计证据的可靠性的要求越高,从而影响审计程序类型。
3.确定进一步审计程序的范围。进一步审计程序范围是指实施某项审计程序的数量或规模。在确定审计程序的范围时,CPA应当考虑下列因素审计重要性水平、评估的重大错报风险、计划取得的保证程度。当保证程度提高,重大错报风险增加时,CPA应当扩大审计程序的范围。
随着审计理论和实务研究的不断发展,风险导向审计将逐步为社会所接受并得以应用,如何降低审计风险,如何对重大错报风险进行识别、评估、应对,需要我们不断的研究探索。
[1]王成勇.浅谈重大错报风险的审计应对[J].会计之友,2009(09).
[2]汪初牧.财务报表重大错报风险审计应注意的问题[J].商业经济,2006(12).
[3]汪国平.审计重大错报风险影响因素及其评价系统[J].财会通讯,2006(01).
近年来,随着风险分析研究的进一步深入,风险管理已经广泛应用在工业、金融、企业管理等领域。不仅如此,风险分析也开始应用在水电项目的方面。
我国从建国初期就开始水利水电工程的建设。这个过程中,我国在水利水电项目的建设的技术显著提高,很多技术水平处于世界先进水平之列。随着经济全球化进程加快,进行跨国水电项目投资,不仅有利于我国企业打开国际市场实现效益的增加,而且有利于企业积累丰富经验应对更严峻的挑战。可是,跨国水电项目面临的风险更多、更复杂。因此研究跨国水电项目建设中风险因素,提高企业应对跨国水电项目风险管理的能力,对企业保质保量完成跨国水电项目建设具有重要意义。
一、跨国水电项目风险识别的功能
水电项目风险管理的主要任务就是识别能够给企业、社会带了效益的项目,剔除那些难以实现、成本巨大的项目。通过这样的项目识别,有助于企业更好的安排资源、将精力集中在需要建设的水电项目中,重点分析有效项目的风险,减轻企业的犯错成本。
二、跨国水电项目关键风险点
(一)资金风险
水电项目是典型的资金密集型企业,投资一项水电项目需要一次性注入大量资金,并且在项目的后续建设阶段,还需要有资金的不断投入。缺少资金的支撑,很可能造成工人的流失、原材料的短缺、技术的不可达到、项目的延期等。这些风险都会影响项目的质量,造成企业受益的减少。
(二)设计风险
跨国水电项目是一个复杂的大型工程,涉及众多部门,只有对项目精心设计才能使项目决策者对项目在宏观上准确整体把握。水电项目前期的设计有很多,如厂房的设计、设备的采购、技术的选择、子项目的分配等等。有了准确的设计,之后的项目建设便有了依据。
(三)超时完工风险
(四)设备供应风险
大型水电项目建设过程中需要可以含量高、数量多、质量强的设备。这些设备不仅是工程进展程度的保障,也是工程质量的保证。但是有时可能设备的供应商由于种种原因无法提供设备,或者由于科技进步,原来的设备已经淘汰,新确定的设备在短期又无法提供等。
三、跨国水电项目前期风险识别流程
水电项目前期风险识别,就是通过对项目可能出现的风险进行预判,并将这些风险与企业实力进行对比,分析哪些风险是企业可以解决的,哪些风险是不可能实现的。前期识别风险的方法主要有以下四种:
1、成立风险分析机构,机构人员由企业的专业人才构成。必要时可以邀请其他成员加入。
2、识别主要风险。这个阶段的主要任务有描述项目的流程、项目设计、确定组织人员、确定资金的供给,分析项目所处的外部环境和企业本身的实力。
3、分析识别出的风险,得出应对策略。识别风险后,需要分析如何应对这些风险,评估企业应对风险的能力。这不仅有助于投资企业防患于未然,也有利于企业根据自己实际情况承担与实体匹配的项目。风险应对计划,通常3种方法。第一是单独决策法,这种方法是企业各个部门或风险分析小组成员每个人针对几个风险提出应对策略,交给风险分析机构总和;第二种是小组讨论法,这种方法通过召集项目主要负责人和技术人才来对风险进行分析;第三种就是集体讨论法,这种方法与小组讨论法非常相似,不同之处在于讨论的范围大,人员多。
4、编制风险应对办法。风险应对办法应该客观的评价项目可能面临的风险、应对风险的具体措施、企业掌握这些风险的能力大小、防范风险需要的资金等。编制风险应对办法的目的也是为了决策层能更清楚的认清项目的得与失,为决策者决定项目的开工、暂停、放弃提供参考。
四、跨国水电项目风险预防与应对策略
(一)购买投资保险,防范政治风险
(二)提高企业法律意识,降低因合同、谈判而引致的风险
(三)完善企业内部管理,降低企业管理风险
完善企业内部管理,是预防风险的重要手段。对于跨国水电项目生产的每个流程,包括原材料的采购和入库保管,设备的采购和调试,企业人才职位变动等制定合理运行措施。其中,针对事关建设安全、环境保护、资金运转的风险管理,要采取事前预防,事中控制,事后跟踪的办法。不仅如此,对跨国水电项目,也要根据当地的环境、法律、文化等情况变通,保证本土的管理制度在国外也能实施。
(四)提高管理公共安全的能力
公共安全事件不仅影响跨国水电项目的进程,并且影响企业的国际声誉,会影响企业的长期收入。处理公共安全事件,第一就要提高国外项目工作人员的公共安全防范意识,组建专门的检查公共安全隐患的机构;第二,与国外政府部门保持融洽的关系,平时注意收集该国政治、治安等方面的信息,对或有发生的事件提前做好应急预案。
一、引言
信息时代为国家和个人提供了全新的发展机遇和生活空间,但也带来了新的安全威胁。信息安全的威胁可能来自内部的破坏、外部的攻击、内外勾结的破坏和信息系统自身的意外事故等,因此我们应按照风险管理的思想,对可能的威胁和需要保护的信息资源进行风险分析,以便采取安全措施,妥善应对可能发生的安全风险。信息安全风险评估是依据国家信息安全风险评估有关管理要求和技术标准,对信息系统及由其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。根据ISO27001的管理思想,信息安全风险评估在信息安全管理的PDCA环中是一个很重要的过程,如何处理信息安全风险评估所产生的数据,是每一个信息安全管理者都非常迫切需要解决的一个问题。最好的解决方法是开发出一套实用性强、可操作性高的系统安全风险评估管理工具。
二、风险评估过程
信息安全风险评估系统的设计是针对组织开展信息安全风险评估的过程。这个过程包括对信息系统中的安全风险识别、信息收集、评估和报告等。风险评估的实施过程如下页图1。
1.评估前准备。在风险评估实施前,需要对以下工作进行确定:确定风险评估的目标、确定风险评估的范围、组建风险评估团队、进行系统调研、确定评估依据和方法、制定评估计划和评估方案、获得最高管理者对工作的支持。
2.资产识别。资产识别过程分为资产分类和资产评价两个阶段。资产分类是将单位的信息资产分为实物资产、软件资产、数据资产、人员资产、服务资产和无形资产六类资产进行识别;资产评价是对资产的三个安全属性保密性、可用性及完整性分别等级评价及赋值,经综合评定后,得出资产的价值。
3.威胁识别。威胁识别主要工作是评估者需要从每项识别出的资产出发,找到可能遭受的威胁。识别威胁之后,还需要确定威胁发生的可能性。
4.脆弱性识别。评估者需要从每项识别出的资产和对应的威胁出发,找到可能被利用的脆弱性。识别脆弱性之后,还需要确定弱点可被利用的严重性。
5.已有安全措施确认。在识别脆弱性的同时,评估人员将对已采取的安全措施的有效性进行确认,评估其是否真正地降低了系统的脆弱性,抵御了威胁。
6.风险分析。风险评估中完成资产赋值、威胁评估、脆弱性评估后,在考虑已有安全措施的情况下,利用恰当的方法与工具确定威胁利用资产脆弱性发生安全事件的可能性,并结合资产的安全属性受到破坏后的影响得出信息资产的风险。
三、系统设计
四、结束语
桥梁工程施工是基础设施建设的重要内容,随着社会经济及桥梁建筑施工技术的发展,桥梁的结构更加复杂,加上桥梁施工环境大多比较恶劣,都为工程施工带来了更多的风险,对桥梁工程施工阶段的风险进行识别评估是降低风险、减少施工事故的重要手段。本文主要就常见的桥梁工程施工风险识别及评估方法进行简单介绍,结合实例分析风险识别评估的过程,仅为类似工作的开展提供参考。
1桥梁工程施工风险综合识别法
2桥梁施工风险分级评估法
桥梁工程十分复杂,施工方法众多,风险评估过程中仅仅依靠单一的方法进行评估往往不够全面,下文简单介绍一种分级评估方法,实际的评估过程中将风险源分为三个级别,具体的评估过程中首先通过专家调查法、专家评议法等简单的评判方法对风险源进行评判,明显较低的评判为低度风险,其余风险源进入二级评判,二级评判中通过LEC等精度较高的评判方法对进入二级评判的风险源进行评估,风险较低的定为中度风险,剩余风险源进入三级评判,三级评判主要通过风险矩阵法等高精度的评判方法对这些风险源再次进行评估,风险较低的定为高度风险,较高的则为极度风险,评估流程如图1所示。这种分层分级的评估方法中能够充分发挥各种评估方法的优势,保证了风险源评估的精准度,适用于各种桥梁结构及施工方法,实用性较强。
3桥梁施工风险评估实例
3.1工程概况
某高速公路大桥的主桥长度为308.04m,跨度为(80+145+80)m,采用预应力混凝土连续箱梁,箱梁使用挂篮悬臂进行浇筑,悬臂浇筑的流程如下所示:0号段浇筑拼装挂篮1号段浇筑挂篮前移调整锚固,箱梁的每个“T”结构都分为18段,每一个梁段都采用这一步骤,全部浇筑完成之后将挂篮拆除,最后合龙。
3.2桥梁施工阶段风险识别过程
3.2.1事故总结
为了能够更好地识别施工阶段的各种风险,本文针对连续梁桥悬臂浇筑施工的特点,搜集了许多连续梁桥施工有关的桥梁事故,共汇总了14个风险事件,其中包括钢筋工程质量事故、预应力锚具破碎夹片锚弹出、墩梁临时固结失效、施工支架失效、合龙段高差不合格、挂篮浇筑时坍塌事故、挂篮拆除时事故、通航船舶撞击桥墩事故、立柱模板倾倒、施工现场触电事故、施工现场机械伤害事故、施工人员高处坠落事故、风引起的事故、施工对周边居民安全影响,汇总完成之后对事故的原因及发展的规律进行了详细分析,统计了事故的损失,为后期的风险识别及评估提供了丰富的资料。
3.2.2结构分析
3.2.3现场调研
3.2.4专家调查
本次风险识别评估邀请9位桥梁设计、施工、科研、管理方面的专家,结合大桥的勘察、设计、施工组织等等资料,共总结出18个风险事件,比如纵向预应力管道堵塞、预应力筋张拉伸长量偏差过大、锚固端混凝土开裂、混凝土浇筑时模板偏移、沿纵向预应力管道裂缝、悬臂浇筑时主梁标高异常波动、箱梁顶板浇筑质量不合格、钻孔桩塌孔、钻孔桩钢筋笼偏斜等等。
3.3施工风险综合评估
4结语
作者:崔文轩单位:邢台市路桥建设总公司
参考文献:
[1]袁鹏飞.桥梁施工风险评估方法研究[J].科学与财富,2016,8(5):189-190.
[2]李金刚,孙新亮.桥梁工程施工阶段的风险识别与评估研究[J].建筑工程技术与设计,2015(12).
[3]吴永锋.浅析桥梁工程施工阶段的安全风险识别与评估[J].城市建设理论研究(电子版):2015(6).
[4]霍东发.公路桥梁工程安全风险识别的综合法研究[J].城市建设理论研究(电子版):2014(13).
当前的施工桥梁工程越发的意识到施工安全的重要性,并力求通过风险识别以及评估探析的作用,提升桥梁工程施工的安全性,提升桥梁施工的效率,基于这一问题,笔者进行了切实的探究。
一、对于桥梁施工风险管理浅析
施工风险管理手段是桥梁施工过程中非常重要的环节,它可以为桥梁施工提供切实的安全保障。我国的施工风险管理机制起步较晚,很多时候,对于实际的桥梁施工风险意识不足,直到二十世纪七十年代末,才将施工风险的管理手段逐渐的落实实践施工当中,这样的情况,导致我国的施工手段受到了较大的制约,除此之外,当时的中国属于计划经济体制,多数的施工工程都隶属于国家的管制,产生的风险也直接由国家自行承担,导致项目履行者无法意识到自身的所具备的职责,进而为工程施工的风险管理以及控制受到诸多的阻碍。自从改革开放以来我国的社会经济体制在不断地发生着转变和更新,这一发展形势,为我国的施工工程的发展提供了新的契机,风险管理以及风险控制已经成为当前工程施工管理的重要措施,尤其是在桥梁工程施工管理的过程中,已经越发的注重风险控制的作用,力求通过这一方式提升施工过程中的安全性,进而保障施工进度。虽说我国的施工风险管理起步较晚,管理水平也不成熟,但是,在实践发展中,我国的工程施工风险管理已经在不断的完善和健全[1]。
二、对于桥梁工程施工风险识别以及评估的内容以及关系分析
三、对于桥梁工程实施风险评估以及识别建议
结束语
[1]项贻强,张婷婷,孙筠等.国外桥梁工程项目风险及评估研究综述[J].中外公路,2010,30(2):153-158.
[2]卢春林.浅埋暗挖隧道穿越既有桥梁风险评估方法研究[J].铁道科学与工程学报,2016,13(6):1156-1164.
【关键词】风险评估
一、公司目标
二、风险识别与评估
相对于寿险公司的经营管理来说,风险因素既存在于公司内部,也产生于公司外部。对于寿险公司,有可能引起风险发生的内部因素是:
(1)管理层对实现公司目标的理念意识和紧迫感。
(2)员工的胜任能力,以及完成工作的恰当性和完整性。
(3)公司资产的规模、流动性或业务总量。
(4)公司的财务状况。
(5)信息系统电算化的程度。
(6)公司经营活动的地理分布。
(7)内部控制系统的恰当性和有效性等。
外部风险是指外部环境中对公司目标的实现产生影响的不确定性事件,有可能引起风险发生的外部因素是:
(1)国家法律、法规及政策的变化:如新的法律和法规可能要求经营政策和策略的改变。
(2)经济环境的变化:经济形势的变化可能对有关融资、资本支出和扩张的决策产生影响。
(3)科技的快速发展:技术发展会影响研发的性质和时机,或带来采购的变化。
(4)行业竞争及市场变化:竞争和不断变化的客户需求会改变公司营销、产品开发、业务流程和客户服务等活动。
(5)自然灾害:自然灾害可能导致经营或信息系统的改变以及强调对或有损失制定应急计划的需要。
识别公司层面和操作层面风险后,公司需要进行风险评估。进行风险评估,必须保证风险评估人员具备相应知识和业务能力,并已经对公司的各项政策和程序有了比较深入的了解。在此基础上,风险评估才可以顺利进行。总体来说,风险评估的方法有两种,一是定量方法评估,二是定性方法评估。
风险评估是全面、准确、及时地了解和把握寿险公司风险的内控基本要素,是识别及分析那些可能影响企业达到企业目标或事件的手段,是决定如何构建有效内控体系的基础。目前,我国寿险公司在风险评估意识、方法、技术等方面还比较落后。主要表现为:一是风险评估的方法技术落后,人才缺乏。由于管理层长期以来不重视风险管理和高技术人才的缺乏,我国寿险公司的风险评估主要依靠定性的、人为控制的直接管理方法,如委托理财审查等方式,而未使用定性和定量相结合的客观的科学方法。这导致了风险管理的专业化程度和效率较低。
三、风险处理
目前,我国寿险公司普遍存在对风险管理的模糊认识、困惑甚至误解,进而出现风险管理导向错误的现象。因此,一是要要强化经营风险既有损失的可能,也有盈利的可能的认识,注重风险和收益的平衡关系;二是建立广泛适应的风险决策标准;三是针对各种风险确定风险应对措施的程序和方法。对降低风险水平所需成本进行合理分析,充分考虑现有程序对于控制已识别风险是否合适,以及完善流程以应对不断变化中的风险等。
四、风险监控
制定了风险处理计划后,并非一劳永逸,在公司的运行过程中风险还可能会增大或者衰退。因此,在公司的经营管理过程中,需要时刻监督风险的发展与变化情况,并确定随着某些风险的消失而带来的新的风险。风险监控就是要跟踪识别的风险,识别剩余风险和新出现的风险,修改风险管理计划,保证风险计划的实施,并评估消减风险的效果。风险监控是与控制活动密切结合在一起的,要使公司的风险监控发挥积极作用,就必须在控制活动的各个环节确立不同的控制方式:预防性监控、检查性监控、纠正性监控、指导性监控。除了以上一般的风险监控形式外,还有针对某个环节不足或者缺陷而采取的补偿性监控,为加强计算机管理而实施的计算机监控等等。这些风险监控形式,合理保证了公司风险监控的效率和效果,有助于公司管理风险。
1.引言
贵州属于典型的喀斯特地区,喀斯特地貌出露面积占全省面积的61.9%。近年来,随着贵州经济的快速增长,交通运输业的发展,带动了各个地区的公路建设。根据《建设项目环境影响技术评估导则》(HJ616—2011)(以下称导则)的要求,在对建设项目进行环境影响评价时,需评估项目建设存在的环境风险制约因素进行,从环境敏感性角度评估建设环境风险可接受性;评估环境风险防范措施和污染事故处理应急方案的可靠性和合理性等1。在喀斯特地区进行基础设施建设是比较艰巨的,在建设过程中,如何减小各种风险,并采取行之有效的措施避免风险的产生及应对各种风险后果,如何建立科学有效的风险评价体系是十分关键的。
2.风险识别
风险识别即风险源、特性、影响范围等的识别。贵州喀斯特地区广布的溶洞及落水洞、山地多、山谷切割深等特点加大了高速公路建设的难度。施工期的风险识别主要分为路基工程、桥梁工程及隧道工程等三个工程中的风险;营运期主要分为自然灾害、运输危险化学品的风险。
2.1施工期风险因子
2.1.1路基工程
(1)软土路基工程
喀斯特地区的岩层主要为白云岩、石灰岩等,在洼地地区,流水冲击物在此处沉积,沉积物极其脆弱,强度较低,易发生垮塌、沉降等风险。因此识别项目实施地段的软土路基可能发生的风险主要包括路基土质状况、材料运输的可达性等。同时项目实施应尽量避开雨季,雨季容易造成水土流失,并修建排水沟、合理堆放料材等,避免造成水土流失,继而造成河道淤塞。
(2)边坡工程
包括路基边坡及道路开辟形成的边坡。高速公路通过较小的山体时,没有采取避让及隧道工程措施,而是对山体进行爆破,开辟出道路。而开辟之后形成的山体边坡地形高差较大、坡度较陡、岩土体的物质及结构基础属于易发生滑坡的岩土体都存在路基不稳,容易滑坡、塌方等安全隐患。
2.1.2桥梁工程
桥梁工程的风险相对高速公路其他工程较大。由于喀斯特地区河谷切割深,桥梁的跨度较大,长度较长,海拔较高,桥墩高度较高。且各种形式的桥梁存在的风险因素各异,但总的看来,桥梁工程施工期的风险可归纳为以下几个方面:河流水文情势对桥墩、桥桩基础的稳定性的影响;桥梁承重与该高速公路的设计流量的关系;以及桥梁结构、附属设施施工采取的施工组织设计及施工方案产生的风险等。
2.1.3隧道工程
贵州是云贵高原向东部沿海地区的过渡地带,山地较多,因此隧道工程是不可避免的。根据隧道所在位置可分为山岭隧道、水下隧道和城市隧道三大类。喀斯特地区的隧道以山岭隧道为主,山岭隧道是为缩短距离和避免大坡道而从山岭或丘陵下穿越的隧道。在喀斯特地区修建隧道具有复杂性及不可预见性。施工期的风险主要包括正洞施工及辅助坑道施工过程引起的坍塌、突泥、突水、瓦斯燃烧等风险以及由地质水文条件引起的风险等。
2.2运营期风险
2.2.1自然灾害
自然灾害风险表现为自然灾害对高速公路的破坏。主要有地震、暴风雪、严寒酷暑、洪涝灾害引起的滑坡、水土流失等。
2.2.2运输风险
高速公路营运期的运输风险主要是运输环境的风险评价。如危险化学品在运输过程中,由于管理、工作人员的失误、车辆、包装、设施、路况及环境等原因,危险化学物品发生爆炸、泄露等事故从而产生风险。
桥梁工程运输风险除自然灾害对桥梁的破坏导致的风险外,还包括人为破坏等对桥梁的安全运营影响,桥梁工程耐久性等。
隧道工程运输风险包括隧道结构稳定性、防水可靠性、耐久性等。
3.评估方法的选取
风险评估方法是在建立风险评估体系的基础上,采取一定的评估方法对各个风险要素进行评估的方法。并与预期的风险目标进行比较,进而确定项目的风险严重程度,从而采取相应的风险管理措施控制风险发生的概率,减轻风险发生的后果。
风险评估的方法包括:专家评分法、模糊综合评价法、决策树法、网络计划技术、蒙特卡罗模拟、层次分析法等;以及将以上方法加以综合的评价方法:如模糊层次分析法、灰色层次法、模糊效用风险评价法等[2]。其中层次分析法、专家评分法应用较广,理论也较成熟。层次分析法是将定量分析与定性分析相结合,将所识别的风险因子进行分层,通过比较、计算得到不同方案的风险水平。专家评分法是通过对参与大量工程建设的专家进行问卷调查,根据专家的实际工作经验对风险进行打分,从而得到风险的发生概率等。风险评价的目的是选取风险水平小的方案,但风险较大的方案往往盈利的机会较大[3],因此平衡好风险水平与经济盈利之间的关系是比较关键的。
4.风险管理
风险管理主要是为了减小风险发生的概率及减小风险可能发生后的损失大小。减小风险发生的概率就需要增大投资,提高企业风险管理素质及风险控制水平,并对项目实施地段进行充分的调查,对设计方案进行反复的论证,采取各种方法措施对各个风险要素可能发生的情况进行控制,防微杜渐,从而降低风险等级,达到风险管理的目的。
5.结论
日前,随着经济社会的发展,城市化进程的加快,高速公路的建设如雨后春笋般迅速崛起。在公路风险评价中,分为,根据施工期及运营期的风险因素建立风险评价体系,能够全面科学系统地指导实践。同时还应对企业管理水平、素质等进行风险识别,充分考虑各方面的因素可能引起的风险。
论文摘要:本文设计的信息安全风险评估辅助系统是一个多专家评估系统,主要模块分为风险评估管理端、系统评估端、信息库管理端和知识库管理端,严格按照《指南》的风险评估流程进行评估,使评估结果更全面更客观。
一、前言
二、信息安全风险评估
在我国,风险评估工作已经完成了调查研究阶段、标准草案编制阶段和全国试点工作阶段,国信办制定的标准草案《信息安全风险评估指南》[4](简称《指南》)得到了较好地实践。本文设计的工具是基于《指南》的,涉及内容包括:
(二)风险分析原理。资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。
(三)风险评估流程。包括风险评估准备、资产识别、威胁识别、脆弱性识别、已有安全措施确认、风险分析、风险消减[5]。
三、电力信息网风险评估辅助系统设计与实现
本文设计的信息安全风险评估辅助系统是基于《指南》的标准,设计阶段参考了Nipc-RiskAssessTool-V2.0,MicrosoftSecurityRiskSelf-AssessmentTool等风险评估工具。系统采用C/S结构,是一个多专家共同评估的风险评估工具。分为知识库管理端、信息库管理端、系统评估端、评估管理端。其中前两个工具用于更新知识库和信息库。后两个工具是风险评估的主体。下面对系统各部分的功能模块进行详细介绍:
(一)评估管理端。评估管理端控制风险评估的进度,综合管理系统评估端的评估结果。具体表现在:开启评估任务;分配风险评估专家;对准备阶段、资产识别阶段、威胁识别阶段、脆弱性识别阶段、已有控制措施识别阶段、风险分析阶段、选择控制措施阶段这七个阶段多个专家的评估进行确认,对多个专家的评估数据进行综合,得到综合评估结果。
(二)系统评估端。系统评估端由多个专家操作,同时开展评估。系统评估端要经历如下阶段:a.准备阶段:评估系统中CIA的相对重要性;b.资产识别阶段;c.威胁识别阶段;d.脆弱性识别阶段;e.已有控制措施识别阶段;f.风险分析阶段;g.控制措施选择阶段。在完成了风险评估的所有阶段之后,和评估管理端一样,可以浏览、导出、打印评估的结果—风险评估报表系列。
(三)信息库管理端。信息库管理端由资产管理,威胁管理,脆弱点管理,控制措施管理四部分组成。具体功能是:对资产大类、小类进行管理;对威胁列表进行管理;对脆弱点大类、列表进行管理;对控制措施列表进行管理。
(四)知识库管理端。知识库的管理分为系统CIA问卷管理,脆弱点问卷管理,威胁问卷管理,资产属性问卷管理,控制措施问卷管理,控制措施损益问卷管理六部分。
四、总结
信息安全风险评估是一个新兴的领域,本文在介绍了信息安全风险评估研究意义的基础之上,详细阐述了信息安全风险评估辅助工具的结构设计和系统主要部分的功能描述。测试结果表明系统能对已有的控制措施进行识别,分析出已有控制措施的实施效果,为风险处理计划提供依据。
[1]HuishengGao,YiqunSun,ResearchonIndicesSystemofSecurityRiskEvaluationforElectricPower.OpticalFiberCommunicationNetwork,IEEE,2007.
[2]MasamiHasegawa,ToshikiOgawa,SecurityMeasuresfortheManufactureandControlSystem,SICEAnnualConference2007.