时间:2023-06-14 16:19:45
序论:好文章的创作是一个不断探索和完善的过程,我们为您推荐十篇风险识别及评估范例,希望它们能助您一臂之力,提升您的阅读品质,带来更深刻的阅读感受。
关键词科技评估风险投资风险管理
1科技评估
1.1科技评估的概念
2000年12月28日科技部颁发的《科技评估管理暂行办法》将科技评估定义为“是指由科技评估机构根据委托方明确的目的,遵循一定的原则、程序和标准,运用科学、可行的方法对科技政策、科技计划、科技项目、科技成果、科技发展领域、科技机构、科技人员以及与科技活动有关的行为所进行的专业化咨询和评判活动”。从更广泛的意义上来讲,科技评估是对与科学技术活动有关的行为,根据委托者的明确目的,由专门的机构和人员依据大量的客观事实和数据,按照专门的规范、程序,遵循适用的原则和标准,运用科学的方法所进行的专业化判断活动。其结果要归结为能够回答委托者特定目的评估结论和评估分析。
1.2科技评估的范畴
科技评估的范畴主要是职能性评估和经营性评估两大方面,职能性评估是指对政府科技活动有关行为进行的客观的、科学的评价和判断,为政府有关部门发挥决策、监督职能提供服务。经营性评估是指对企业或其他社会组织与科技活动有关行为进行的客观的、科学的评价和判断,为他们对被评事物的决策、判断提供参考依据。在市场经济条件下,科技评估作为一种咨询活动,不应仅仅只为政府决策服务,还应深入到市场中的各类科技活动之中,接受非政府机构委托的评估任务,如企业投资项目的科技评估、风险投资机构投资的科技评估、企业产权交易中的科技评估等。
1.3科技评估的分类
科技评估可从不同角度分类。从评估时间上,可分为事先评估、事中评估、事后评估和跟踪评估四类。事先评估是在某项科技活动实施前所进行的评估,主要包括实施该项活动必要性和可行性两方面内容。它常常带有预测的性质,但不同于一般的预测分析;事中评估是在科技活动实施过程中进行的监督性评估,着重检验是否按照预定的目标、计划执行,对前面工作的进展与预期效果进行比较,并对未来进行预估,以发现问题,调整或修正目标与策略;事后评估是科技活动完成后进行的评估。另外,从评估空间上,可分为国家评估和地方评估;从评估规模上,可分为宏观评估、中观评估和微观评估;从评估方法上分,可分为定性评估、定量评估及定性与定量相结合的评估;从评估形式上,可分为通信评估、会议评估、调查评估、专访评估和组合评估等。
1.4科技评估的方法
评估方法有广义和狭义两种概念,广义概念包括评估准备、评估设计、信息获取、评估分析与综合、撰写评估报告等评估活动全过程的方法,狭义概念特指评估分析与综合的方法。
科技评估可选用的方法多种多样,关键是要依据不同对象,有针对性地选择评估方法。常用的分析评价方法有定性和定量结合的方法、多指标综合评价方法、指数法及经济分析法和基于计算机技术的评估方法等。
2风险投资的风险管理
风险管理是通过对风险的识别、衡量和控制,以最少的成本将风险导致的各种不利后果减少到最低限度的科学管理方法。风险投资的风险管理的出发点和归宿,都是企图运用系统的、综合的现代科学管理方法,有效地扩大投资活动的有利因素,控制和抑制不利因素,达到以最小的成本,安全、可靠地实现风险投资利益的最大化。
2.1风险识别
风险识别是风险管理的第一步,是指对企业面临的,以及潜在的风险加以判断、归类和鉴定风险性质的过程。存在于企业自身周围的风险多种多样、错综复杂,无论是潜在的,还是实际存在的,是静态的,还是动态的,是企业内部的,还是与企业相关联的外部的,所有这些风险在一定时期和某一特定条件下是否客观存在,存在的条件是什么,以及损害发生的可能性等,都是在风险识别阶段应予以回答的问题。在风险投资中,风险一般可以分为两类:系统风险和非系统风险。系统风险是由公司之外的各种因素引起的,如战争、经济衰退、通货膨胀、高利率等与政治、经济和社会相联系的风险,是不能通过多角化投资而分散的,因此又称作不可分散风险或市场风险。重要的系统风险有政治风险、法律法规风险和政策风险等。非系统风险也被称作可分散风险,它是由公司本身的商业活动和财务活动带来的,如企业的管理水平、研究与开发、消费者需求的改变、市场营销风险以及法律诉讼等,其可以通过多角化投资组合而分散,是公司特有的风险。重要的非系统风险有决策风险、财务风险、信用风险、完工风险和市场风险。作为风险投资者,其关心的往往只是项目的系统风险,因非系统风险完全可以通过合理的投资组合而得到分散。
2.2风险衡量
风险衡量对已经识别的风险进行分析评估,以确定其损害程度的过程。风险衡量的方法分为定性风险评价方法和定量风险评价方法两大类,定性风险评价方法又可分为主观评价法和客观评价法,传统的主观评价法主要有观察法、资产负债表透视法和事件推测法等。现代的主观风险评价方法致力于将传统主观方法涉及到的因素综合在一起,并且设法将传统上的主观方法的定性分析特征转向定量分析上,由此而将主观分析扩展到能够同时完成综合评价风险因素与测量风险临界值的双重任务。现代客观风险评价法中,最具代表性的是“Z记分”方法。作为一种综合评价风险企业风险的方法,“Z记分”方法首先挑选出一组决定企业风险大小的最重要的财务和非财务的数据比率,然后根据这些比率在预先显示或预测风险企业经营失败方面的能力大小给予不同的加权,最后将这些加权数值进行加总,就得到一个风险企业的综合风险分数值,将其对比临界值就可知企业风险的危急程度。定量风险评价方法主要有风险图法、决策树法等。
2.3风险控制
风险控制是指在对风险进行全面的分析之后,实施各种风险控制工具,力图在风险发生之前消除各种隐患,减少损失产生的原因及实质性因素,将损失的后果减少到最低限度。实施风险控制的步骤是风险预测——风险决策——实施决策方案——方案的成果评价。风险控制的主要方法有风险规避、风险预防、风险分散、风险转嫁、风险补偿、风险抑制等。
3科技评估与风险投资的风险管理
科技评估与风险管理既有联系也有区别,科技评估作为一种专业化判断活动,在介入风险投资的风险管理后,其任务便是对风险进行识别和衡量,其结果作为风险投资机构投资决策和制定风险控制实施方案的依据。可见,在风险投资的风险管理中,科技评估实质是风险的识别和衡量的过程,而风险管理还包括了风险控制的实施过程,这样科技评估就可以作为风险管理一个组成部分,实现两者的有机结合,促进共同发展。科技评估与风险投资的风险管理的关系如附图所示:
3.1科技评估是提高风险投资管理效率的重要手段
科技评估经过近十年的发展,已有一整套较为完备的评估规范和技术方法,在评估设计、评估信息采集、综合分析、评估质量控制等方面的研究已较为成熟,同时,由于科技评估机构长期致力于国家和地方各类科技计划、科技项目、科研机构等方面的评估,对于科技产业、科技政策等方面的研究也是其他咨询机构无法比拟的。而我国风险投资业尚处于起步阶段,国家还未出台较为完备的有关风险投资事业的行政法规,风险投资机构的风险管理机制还很不健全,对风险管理人才培训的投入和重视程度还远远不够,因此,将科技评估运用到风险投资的风险管理中将能充分发挥其作用,提高管理效率。
3.2科技评估方法是衡量风险投资风险的有效工具
定量和定性方法相结合是科技评估方法应用的基本思路,这与现代风险评价所采取的方法既有相近又有其独到之处,科技评估中最常用的方法是多指标综合评估方法,它是在对多个影响因素进行分析研究之后,设计一套相应的评估指标体系,并对每一个评估指标都制定具体的标准和统一的计算方法,使其能对金额、人数等可计量的指标进行定量评估,同时对社会影响等因素亦可做定性评估的描述。这与上面介绍的“Z记分”方法仅依靠可计量的数据作为评价基础相比较更为有效。采取科技评估方法衡量投资风险也更为准确、可信。
3.3科技评估是推动风险投资管理创新的动力
引入评估机制,使风险投资机构的投资选择与投资决策相分离,使得风险投资管理更为透明化,也遏止了内部人员的“暗箱操作”等种种不良现象。通过独立的、专业化的评估中介组织的运作,将能使风险投资机构的管理层能更客观地认识到投资风险,从而可集中精力于投资决策,通过管理体制的创新,保证投资的科学性和安全性,也提高了投资成功率。
3.4科技评估参与风险投资管理是其自身发展的需要
科技评估工作现阶段主要是为各级科技行政管理部门,主要是国家和省、市科技管理部门服务,而且大部分科技评估机构是由科技管理部门所属的有关单位,如软科学研究机构、科技咨询机构、科技情报机构等部门产生,但由科技管理部门所属的单位评估科技管理部门的科技项目、科技计划等等,在一定程度和一定范围内不可避免的受到科技管理部门的影响。因而,评估水平难以提高。因此,科技评估机构作为一种社会中介服务机构,和各类资产评估机构一样,应逐步社会化和多元化,如参与到风险投资管理的咨询工作中,只有社会化、多元化,才能充分引进竞争机制,优胜劣汰,提高评估水平,促进科技评估事业的发展。
3.5科技评估促进风险投资实现动态管理
风险投资从进入到退出的全过程中,无时无处不存在着风险,实施某项投资决策前需要进行深入分析以确定各种存在风险的影响程度;进行投资后,还应深入到所投资的企业进行跟踪调查分析,对企业生产经营、财务状况,市场竞争状况,企业的发展趋势与步骤等,经常进行科学的、系统的分析与判断,发现潜在的风险,及时采取有效措施,杜绝它的发生或降低它的危害;风险投资退出后,还要对风险投资的效果进行测评,总结经验与教训,作为今后投资决策的参考。可见,风险投资的风险管理是一个动态的过程,实现管理目标需要实施一系列的评估,科技评估的事前、事中和事后评估能够满足这一要求,促进风险管理动态管理。
参考文献
一、税收风险识别系统设计
税收风险识别是对资产当前或未来所面临的、潜在的风险加以判断、归类以及对风险性质进行鉴定的过程。(1)税收风险识别流程。首先由税收风险管理部门组成工作小组,制定检测分工与时间计划,确定检测方案,收集相关税收法律法规进行讨论;然后通过座谈会,实地调查询问,调阅账簿、凭证、财务报表等方式,将发现的税收风险制定识别报告。其中检测方案的选择是该部分工作的核心。(2)税收风险识别因素。根据我国《大企业税务风险管理指引(试行)》中的要求,企业应结合自身税收风险管理机制和实际经营情况,重点识别以下税收风险因素:董事会、监事会等企业管理层以及管理层的税收遵从意识和对待税收风险的态度、涉税员工的职业操守以及专业胜任能力;企业的组织机构、经营方式以及业务流程;技术投入和信息技术的运用情况;财务状况、经营成果以及现金流情况;相关内部控制制度的设计和执行情况;经济形势、产业政策、市场竞争及行业惯例;有关法律法规以及其他有关风险因素。(3)税收风险识别方法。税收风险识别的方法很多,常用的有财务状况分析法、流程图法、决策分析法、风险清单分析法等。税收风险的识别可以选择不同的方面、不同的角度进行,但在实际操作时,应视企业具体情况灵活运用。流程图法对企业管理要求低,可以将复杂的生产过程或业务流程简单化,易于发现企业税收风险。税收风险流程图是针对企业主要涉及的税种,从税法的构成要素角度,对纳税义务人、征税对象、税目、税率、应纳税额、税收优惠等环节逐一进行分析识别。通过建立一系列流程图,对企业纳税的所有环节进行逐一分析,并通过与现行税法规定的比较,发现潜在的税收风险,如图1。
二、税收风险评估系统设计
在风险识别的基础上,企业税收风险管理人员需进一步分析风险发生的可能性以及对目标实现的影响程度,从而对风险进行评估。风险评估的内容应包括风险发生的可能性和对企业目标的影响程度两个方面。(1)税收风险评估系统流程。首先由税收风险管理部门分析识别并汇总归类税收风险,然后测算税收风险大小以及给企业带来的损失,继而依据测算结果对税收风险进行警示排序并编写税收风险评估报告,最后建立企业税收风险数据库用来对未来风险进行纵向比对和参考。税务风险
图1税收风险识别流程图
评估可以由企业风险管理部门协同有关部门进行,也可以委托具有相关资质和专业能力的中介机构协助进行。(2)税收风险评估的方法。税收风险评估的方法主要有风险坐标图法、蒙塔卡罗法、风险指标管理法等,其中风险坐标图法最为实用,最为直观。风险坐标图法是把风险发生可能性的高低、风险发生后对目标的影响程度,作为两个维度绘制在同一个平面上,然后对业务的风险点进行测算,并得出每个风险点给企业带来的可能的经济损失。根据税收风险发生的可能性高低和税收风险对企业的影响程度绘制出企业风险坐标图。
三、税收风险应对系统设计
为了适应经济全球化和审计准则国际趋同的形势,提高CPA以应对审计风险的能力,财政部于2006年2月15日了新的CPA执业准则体系,并于2007年1月1日起施行。执业准则体系中的审计风险准则启用了新的审计风险模型,即:审计风险=重大错报风险×检查风险。该模型引人了“重大错报风险”概念,重大错报风险包括两个层次:财务报表层次和认定层次。其中财务报表层次重大错报风险是指财务报表审计前存在重大错报的可能性。认定层次重大错报风险,是指各类交易、账户余额、列报与披露在审计前存在重大错报的可能性。审计财务报表重大错报风险是财务报表审计程序的重要环节,CPA应注重对财务报表重大错报风险的审计,并根据审计结果采取应对之策,以实现合理保证财务报表不存在重大错报的审计目标。
一、财务报表重大错报风险的识别
注册会计师应根据审计风险准则的要求,识别和评估财务报表重大错报风险,针对评估的认定层次重大错报风险实施进一步审计程序,以将审计风险降至可接受的低水平。
(一)财务报表层次重大错报风险的影响因素
1.经营风险因素。多数经营风险最终都会产生财务后果,从而影响财务报表。注册会计师应当根据被审计单位的具体情况考虑经营风险是否可能导致财务报表发生重大错报。它包括四个层面:一是宏观经济环境。在对审计对象的重大错报风险进行分析的过程中,宏观经济状况是不可或缺的重要风险因素。此外,政府宏观经济政策对那些政策敏感性企业影响较大。二是行业状况。影响被审计单位重大错报风险的行业因素有:(1)行业竞争程度。与充分竞争行业相比,在垄断特征较明显的行业中,被审计单位凭借其垄断地位容易取得定价权并自主调节生产以实现利润最大化,财务报表出现重大错漏报特别是蓄意舞弊的可能性明显要比那些充分竞争的行业低。(2)行业所处的生命周期。处于创立阶段的公司具有粉饰财务报表的动机,因此其重大错报风险较大;而处于成长或成熟阶段的行业,其财务报表出现重大错误或舞弊的可能性不大;至于衰退行业,经营业绩较差,粉饰财务报表的动机比较强烈。三是内部控制制度。审计对象是否建立了合理有效的内部控制制度,对会计信息的质量会产生较大影响。四是会计政策的选择与运用。被审单位重要项目的会计政策、行业惯例和会计处理方法的恰当性,重大和异常交易事项的会计处理方法,重要项目及新领域使用的会计政策,会计政策变更和会计估计变更之处。这些地方如果处理不当就可能使报表有失公允、合法和真实,产生重大错报。
2.战略风险。战略规划在很大程度上决定被审计单位的发展方向、发展步骤和发展策略,甚至决定被审计单位的前途和命运,若不顾被审计单位自身资金、管理者能力等因素的制约而盲目扩大规模、盲目多元化,必然将导致经营失败。
3.财务风险。同行业、同规模被审计单位的财务指标基本相似,因此在对财务报表的重大错报风险进行分析的过程中,需要将被审计单位的财务指标与同行业、同规模的企业进行对比,如果相差悬殊而管理当局的声明又不足以解释这一差异,注册会计师就需要保持合理的职业怀疑态度,提高被审计单位的重大错报风险水平,扩大收集审计证据的数量与质量,以支持其审计结论。
(二)认定层次重大错报风险的影响因素
新的审计风险准则及模型没有单独提到固有风险和控制风险,但指出认定层次的重大错报风险仍由固有风险和控制风险构成。
1.固定风险因素。它主要分为五个方面:(1)较难审查的账户或交易。非常规交易、关联方交易以及这些交易形成的账户存在的错报的可能性较大,在审查这些账户或交易时,对于注册会计师所需的经验判断和技术水平要求较高,应在项目开始前进行仔细审查。(2)重要交易或事项的复杂程度。需要利用专家工作结果予以佐证的重要交易或事项的复杂程度时,重大错报风险通常较大。(3)遭受损失或被盗用的项目。如现金、有价证券、存货等资产具有普遍的吸引力,若缺乏有效的内部控制,容易遭受损失或被挪用,重大错报风险通常较大。(4)运用判断的程度。如对无形资产和递延资产摊销、坏账准备、存货跌价损失、或有负债等的认定存在着大量的估计和判断,出错的概率较大,重大错报风险也相应较大。(5)易漏记的交易和事项。如销售退回及折让、利息的计提、按权益法核算的长期投资及其投资损益等,在正常的会计处理程序中被漏记的可能性较大,重大错报风险比较大。
2.内部控制的可信赖程度。内部控制是由企业治理层、管理层和其他人员设计和执行的政策和程序,用以保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵循。审计对象是否建立了合理有效的内部控制,对会计信息的质量会产生较大影响,影响财务报表重大错报。
财务报表整体层次的重大错报风险的影响因素常导致管理层的财务舞弊行为,为掩盖该舞弊行为,财务报表整体层次的重大错报将传递到认定层次。由于财务报表信息来源于认定层,财务报表认定层的重大错报风险的影响因素导致的重大错报也将传递到整体层。因而,以上两类影响因素共同影响财务报表重大错报风险。
二、财务报表重大错报风险评估
对重大错报风险的识别仅是风险分析的第一步,准确地对风险进行评估才能把握风险控制风险。重大错报风险评估的实质就是找出风险发生的可能性并估计其产生的损失。从审计客体来看,被审计单位的一切经营活动成果和资产负债状况最终都须通过财务报表予以反映。所以,财务报表本身的可靠不仅对是否公允地反映企业的财务状况和经营成果有直接的影响,而且对审计风险也有直接的影响,即不公允可靠的财务报表本身的风险会导致审计失败、审计责任和审计风险。
2)将20%作为临界点的原因:根据审计经验和人们普遍对风险的心理承受能力。
现金流量表中重大错报风险的评估应结合资产负债表和损益表的重大错报风险的评估进行,资产负债表和损益表中的重大错报一般会在现金流量表上反映出来,审计人员可根据对上述两个报表的风险评估大致估计现金流量表的风险水平。
三、设计认定层次重大错报风险的进一步审计程序
CPA应针对认定层次重大错报风险设计进一步审计程序,以将检查风险降到可接受的水平。进一步审计程序是指审计各类交易、账户余额、列报与披露等认定层次重大错报风险时实施的审计程序,包括控制测试和实质性程序。设计进一步审计程序,主要是确定进一步审计程序的性质、时间和范围。
1.确定进一步审计程序的性质。进一步审计程序的性质是指进一步审计程序的目的和类型。CPA应根据认定层次错报风险的大小,选择进一步审计程序。风险越高,通过实质性程序获取审计证据的可靠性的要求越高,从而影响审计程序类型。
2.确定进一步审计程序的时间。确定何时实施,应关注下列事项控制环境错报风险的性质和重要性与审计证据相关的期间。一般地,当重大错报风险较高时,CPA应当考虑在期末实施实质性程序。重大错报风险并不高时,可考虑在期中实施进一步审计程序。期中实施会有助于CPA在审计工作初期,识别重大事项,及时加以解决。需要明确的是,如果在期中实施了进一步审计程序,CPA还应当针对剩余期间获取审计证据。
3.确定进一步审计程序的范围。进一步审计程序范围是指实施某项审计程序的数量或规模。在确定审计程序的范围时,CPA应当考虑下列因素审计重要性水平、评估的重大错报风险、计划取得的保证程度。当保证程度提高,重大错报风险增加时,CPA应当扩大审计程序的范围。
随着审计理论和实务研究的不断发展,风险导向审计将逐步为社会所接受并得以应用,如何降低审计风险,如何对重大错报风险进行识别、评估、应对,需要我们不断的研究探索。
参考文献
[1]王成勇.浅谈重大错报风险的审计应对[J].会计之友,2009(09).
[2]汪初牧.财务报表重大错报风险审计应注意的问题[J].商业经济,2006(12).
[3]汪国平.审计重大错报风险影响因素及其评价系统[J].财会通讯,2006(01).
中图分类号:G4 文献标识码:A 文章编号:1008-925X(2012)O9-0131-01
近年来,随着风险分析研究的进一步深入,风险管理已经广泛应用在工业、金融、企业管理等领域。不仅如此,风险分析也开始应用在水电项目的方面。
我国从建国初期就开始水利水电工程的建设。这个过程中,我国在水利水电项目的建设的技术显著提高,很多技术水平处于世界先进水平之列。随着经济全球化进程加快,进行跨国水电项目投资,不仅有利于我国企业打开国际市场实现效益的增加,而且有利于企业积累丰富经验应对更严峻的挑战。可是,跨国水电项目面临的风险更多、更复杂。因此研究跨国水电项目建设中风险因素,提高企业应对跨国水电项目风险管理的能力,对企业保质保量完成跨国水电项目建设具有重要意义。
一、跨国水电项目风险识别的功能
水电项目风险管理的主要任务就是识别能够给企业、社会带了效益的项目,剔除那些难以实现、成本巨大的项目。通过这样的项目识别,有助于企业更好的安排资源、将精力集中在需要建设的水电项目中,重点分析有效项目的风险,减轻企业的犯错成本。
二、跨国水电项目关键风险点
(一)资金风险
水电项目是典型的资金密集型企业,投资一项水电项目需要一次性注入大量资金,并且在项目的后续建设阶段,还需要有资金的不断投入。缺少资金的支撑,很可能造成工人的流失、原材料的短缺、技术的不可达到、项目的延期等。这些风险都会影响项目的质量,造成企业受益的减少。
(二)设计风险
跨国水电项目是一个复杂的大型工程,涉及众多部门,只有对项目精心设计才能使项目决策者对项目在宏观上准确整体把握。水电项目前期的设计有很多,如厂房的设计、设备的采购、技术的选择、子项目的分配等等。有了准确的设计,之后的项目建设便有了依据。
(三)超时完工风险
水电项目施工前,一般都会与委托方签订合同,规定完工时间。同时也会规定,如果没有在规定时间内完成将采取何种惩罚方式。水电项目施工期限长,在这段时期中,可能出现对风险的误判而延期,人员的流失而暂停施工、资金供应不足延缓施工进程等情况等。这些情况都会造成完工时间的推迟。
(四)设备供应风险
大型水电项目建设过程中需要可以含量高、数量多、质量强的设备。这些设备不仅是工程进展程度的保障,也是工程质量的保证。但是有时可能设备的供应商由于种种原因无法提供设备,或者由于科技进步,原来的设备已经淘汰,新确定的设备在短期又无法提供等。
三、跨国水电项目前期风险识别流程
水电项目前期风险识别,就是通过对项目可能出现的风险进行预判,并将这些风险与企业实力进行对比,分析哪些风险是企业可以解决的,哪些风险是不可能实现的。前期识别风险的方法主要有以下四种:
1、成立风险分析机构,机构人员由企业的专业人才构成。必要时可以邀请其他成员加入。
2、识别主要风险。这个阶段的主要任务有描述项目的流程、项目设计、确定组织人员、确定资金的供给,分析项目所处的外部环境和企业本身的实力。
3、分析识别出的风险,得出应对策略。识别风险后,需要分析如何应对这些风险,评估企业应对风险的能力。这不仅有助于投资企业防患于未然,也有利于企业根据自己实际情况承担与实体匹配的项目。风险应对计划,通常3种方法。第一是单独决策法,这种方法是企业各个部门或风险分析小组成员每个人针对几个风险提出应对策略,交给风险分析机构总和;第二种是小组讨论法,这种方法通过召集项目主要负责人和技术人才来对风险进行分析;第三种就是集体讨论法,这种方法与小组讨论法非常相似,不同之处在于讨论的范围大,人员多。
4、编制风险应对办法。风险应对办法应该客观的评价项目可能面临的风险、应对风险的具体措施、企业掌握这些风险的能力大小、防范风险需要的资金等。编制风险应对办法的目的也是为了决策层能更清楚的认清项目的得与失,为决策者决定项目的开工、暂停、放弃提供参考。
四、跨国水电项目风险预防与应对策略
(一)购买投资保险,防范政治风险
购买跨国水电项目的投资保险,主要是为了应对因外汇变动、国家、战争等这类不可抗因素引致的风险。关注投资保险,合理利用这种保险政策,能帮助企业获得银行融资,有更多的勇气向国际市场进军。
(二)提高企业法律意识,降低因合同、谈判而引致的风险
每个国家都有自己的法律,并且国家不同,对同一件事情的法律就不同。投资国外水电项目的企业应该重视投资国的相关法律规定,避免因合同、谈判引致的法律风险。防范和应对这类风险,企业可以:第一,建立专门的国外法律研究组织,为企业的投资决策提供法律参考。第二,购买法律服务,求助于当地法律专业人才给予精准的法律支援。
(三)完善企业内部管理,降低企业管理风险
完善企业内部管理,是预防风险的重要手段。对于跨国水电项目生产的每个流程,包括原材料的采购和入库保管,设备的采购和调试,企业人才职位变动等制定合理运行措施。其中,针对事关建设安全、环境保护、资金运转的风险管理,要采取事前预防,事中控制,事后跟踪的办法。不仅如此,对跨国水电项目,也要根据当地的环境、法律、文化等情况变通,保证本土的管理制度在国外也能实施。
(四)提高管理公共安全的能力
公共安全事件不仅影响跨国水电项目的进程,并且影响企业的国际声誉,会影响企业的长期收入。处理公共安全事件,第一就要提高国外项目工作人员的公共安全防范意识,组建专门的检查公共安全隐患的机构;第二,与国外政府部门保持融洽的关系,平时注意收集该国政治、治安等方面的信息,对或有发生的事件提前做好应急预案。
一、引言
信息时代为国家和个人提供了全新的发展机遇和生活空间,但也带来了新的安全威胁。信息安全的威胁可能来自内部的破坏、外部的攻击、内外勾结的破坏和信息系统自身的意外事故等,因此我们应按照风险管理的思想,对可能的威胁和需要保护的信息资源进行风险分析,以便采取安全措施,妥善应对可能发生的安全风险。信息安全风险评估是依据国家信息安全风险评估有关管理要求和技术标准,对信息系统及由其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。根据ISO27001的管理思想,信息安全风险评估在信息安全管理的PDCA环中是一个很重要的过程,如何处理信息安全风险评估所产生的数据,是每一个信息安全管理者都非常迫切需要解决的一个问题。最好的解决方法是开发出一套实用性强、可操作性高的系统安全风险评估管理工具。
二、风险评估过程
信息安全风险评估系统的设计是针对组织开展信息安全风险评估的过程。这个过程包括对信息系统中的安全风险识别、信息收集、评估和报告等。风险评估的实施过程如下页图1。
1.评估前准备。在风险评估实施前,需要对以下工作进行确定:确定风险评估的目标、确定风险评估的范围、组建风险评估团队、进行系统调研、确定评估依据和方法、制定评估计划和评估方案、获得最高管理者对工作的支持。
2.资产识别。资产识别过程分为资产分类和资产评价两个阶段。资产分类是将单位的信息资产分为实物资产、软件资产、数据资产、人员资产、服务资产和无形资产六类资产进行识别;资产评价是对资产的三个安全属性保密性、可用性及完整性分别等级评价及赋值,经综合评定后,得出资产的价值。
3.威胁识别。威胁识别主要工作是评估者需要从每项识别出的资产出发,找到可能遭受的威胁。识别威胁之后,还需要确定威胁发生的可能性。
4.脆弱性识别。评估者需要从每项识别出的资产和对应的威胁出发,找到可能被利用的脆弱性。识别脆弱性之后,还需要确定弱点可被利用的严重性。
5.已有安全措施确认。在识别脆弱性的同时,评估人员将对已采取的安全措施的有效性进行确认,评估其是否真正地降低了系统的脆弱性,抵御了威胁。
6.风险分析。风险评估中完成资产赋值、威胁评估、脆弱性评估后,在考虑已有安全措施的情况下,利用恰当的方法与工具确定威胁利用资产脆弱性发生安全事件的可能性,并结合资产的安全属性受到破坏后的影响得出信息资产的风险。
三、系统设计
1.用角色设计。系统角色分为三种类型,各用户在登录后自动转入各自的操作页面。A.超级管理员:拥有系统所有权限;B.评估项目管理员:可以对所负责的评估项目进行管理,对评估人员进行分工和权限管理;C.评估人员:负责由项目管理员分配的测评工作,将评估数据导入系统。
2.系统模型。根据信息安全风险评估管理的业务需求,我们构建了以安全知识库为支撑,以风险评估流程为系统主要业务流,以受测业务系统及其相关信息资产的风险评估要素为对象的信息安全风险评估综合管理系统模型,系统模型如图2所示。
3.系统功能设计。信息安全风险评估综合管理系统的功能模块包括:①风险评估项目管理:评估项目管理模块包括评估项目的建立、项目列表、项目设置等功能。主要输入项:项目名称、评估时间、评估对象等;主要输出项:项目计划书。②信息安全需求调研管理:该模块用于用户填写安全调研问卷,为安全评估提供数据支持。主要输入项:用户ID、调查答案;主要输出项:问卷标题、调查题内容。③资产识别。系统提供的资产识别,包括:硬件、软件、数据等,根据业务系统对组织战略的影响程度,对相关资产的重要性进行评价;主要输入项:评估对象(信息资产)、赋值规则;主要输出项:资产识别汇总表、资产识别报告。④威胁识别。威胁识别:系统提供多种网络环境的威胁模板,支持和帮助用户进行威胁识别和分析,并提供资产、脆弱性、威胁自动关联功能:主要输入项:评估对象、赋值规则;主要输出项:威胁识别汇总表、威胁识别报告。⑤脆弱性识别。脆弱性识别:系统可提供多种系统的脆弱性识别功能,包括:主机、数据库、网络设备等对象的脆弱性识别。系统支持常用漏洞扫描软件扫描结果的导入,目前支持的扫描系统有:Nessus、NMap等,主机系统支持:Windows、Linux、Unix等,数据库支持:MSSQL、Oracle等:主要输入项:评估对象、漏洞扫描结果、赋值规则;主要输出项:漏洞扫描报告、脆弱性识别汇总表、脆弱性识别报告。⑥安全措施识别。安全措施识别:系统提供基于技术、管理等方面的安全措施检查功能,帮助用户了解目前的安全状况,找到安全管理问题,确定安全措施的有效性:主要输出项:安全措施识别汇总表、安全措施识别报告。⑦风险分析。系统通过资产评价、脆弱性评价、威胁评价、安全措施有效性评价、风险分析等工作,可自动生成安全风险评估分析报告。主要输入项:评估对象、资产值、脆弱性值、威胁值、安全措施值、计算规则;主要输出项:风险计算汇总表、风险分析报告。⑧评估结果管理。主要功能是对历史记录查询与分析。汇总所有的安全评估结果进行综合分析,并生成各阶段风险评估工作报告,主要包括如下:《资产识别报告》、《漏洞扫描报告》、《威胁识别报告》、《脆弱性识别报告》、《控制措施识别报告》、《风险分析报告》。并可对当期风险评估结果和原始数据进行转存或备份。在有需要时能调出评估历史数据进行查询及风险趋势分析。⑨信息安全知识库更新维护。信息安全知识库的更新维护主要对象有:系统漏洞库、安全威胁库、安全脆弱点库、控制措施库。为避免造成数据的冗余,系统将在各评估项目中需要反复使用的数据归入基础数据库进行管理,在进行评估活动时再从基础库提取有关数据,这样也能减少重复的输入工作。⑩数据接口。导入数据接口:资产库、脆弱点库、威胁库、控制措施库。支持以下常用的格式:如EXCEL文件等;常用的漏洞扫描工具:如绿盟、启明星辰、NESSUS、NMAP等。
四、结束语
桥梁工程施工是基础设施建设的重要内容,随着社会经济及桥梁建筑施工技术的发展,桥梁的结构更加复杂,加上桥梁施工环境大多比较恶劣,都为工程施工带来了更多的风险,对桥梁工程施工阶段的风险进行识别评估是降低风险、减少施工事故的重要手段。本文主要就常见的桥梁工程施工风险识别及评估方法进行简单介绍,结合实例分析风险识别评估的过程,仅为类似工作的开展提供参考。
1桥梁工程施工风险综合识别法
桥梁工程施工风险评估的方法有故障树分析法、德尔菲法、专家调查法等等,这些方法都存在着一定的不足,比如故障树分析法的多余量较多、难度较大,对于分析人员的技术要求较高,分析人员必须要具备良好的逻辑运算能力,否则很容易出现错误,下文结合桥梁工程的具体施工特点,介绍一种综合性的风险识别方法,该方法主要包括事故总结、结构分析、现场调研以及专家调查四部分内容,比较系统全面。目前来说,我国还没有建立起完整的桥梁工程基础数据库,为了尽可能降低风险,实际的事故过程中相关工作人员要善于将类似桥梁工程发生的安全事故总结起来,并进行详细分析,为本次的风险评估工作提供参考资料,这一内容即事故总结。桥梁工程多种多样,结构形式各不相同,不同桥梁结构选择的施工方法自然会存在较大的差异,产生的风险也各不一样,因此风险识别过程中工作人员要能够对整个桥梁结构进行详细分析计算,及时发现结构设计中的薄弱环节,并提出对应的控制措施,尽可能降低或者消除风险。现场调研对于风险识别至关重要,工作人员必须深入施工现场对当地的水文地质情况、自然气候进行详细了解,对现场的施工进度进行跟踪调查,总结桥梁工程施工中可能存在的风险事件。专家调查对于风险识别工作而言十分重要,他们拥有丰富的理论知识及实践经验,能够及时发现桥梁施工中各种潜在的风险。
2桥梁施工风险分级评估法
桥梁工程十分复杂,施工方法众多,风险评估过程中仅仅依靠单一的方法进行评估往往不够全面,下文简单介绍一种分级评估方法,实际的评估过程中将风险源分为三个级别,具体的评估过程中首先通过专家调查法、专家评议法等简单的评判方法对风险源进行评判,明显较低的评判为低度风险,其余风险源进入二级评判,二级评判中通过LEC等精度较高的评判方法对进入二级评判的风险源进行评估,风险较低的定为中度风险,剩余风险源进入三级评判,三级评判主要通过风险矩阵法等高精度的评判方法对这些风险源再次进行评估,风险较低的定为高度风险,较高的则为极度风险,评估流程如图1所示。这种分层分级的评估方法中能够充分发挥各种评估方法的优势,保证了风险源评估的精准度,适用于各种桥梁结构及施工方法,实用性较强。
3桥梁施工风险评估实例
3.1工程概况
某高速公路大桥的主桥长度为308.04m,跨度为(80+145+80)m,采用预应力混凝土连续箱梁,箱梁使用挂篮悬臂进行浇筑,悬臂浇筑的流程如下所示:0号段浇筑拼装挂篮1号段浇筑挂篮前移调整锚固,箱梁的每个“T”结构都分为18段,每一个梁段都采用这一步骤,全部浇筑完成之后将挂篮拆除,最后合龙。
3.2桥梁施工阶段风险识别过程
3.2.1事故总结
为了能够更好地识别施工阶段的各种风险,本文针对连续梁桥悬臂浇筑施工的特点,搜集了许多连续梁桥施工有关的桥梁事故,共汇总了14个风险事件,其中包括钢筋工程质量事故、预应力锚具破碎夹片锚弹出、墩梁临时固结失效、施工支架失效、合龙段高差不合格、挂篮浇筑时坍塌事故、挂篮拆除时事故、通航船舶撞击桥墩事故、立柱模板倾倒、施工现场触电事故、施工现场机械伤害事故、施工人员高处坠落事故、风引起的事故、施工对周边居民安全影响,汇总完成之后对事故的原因及发展的规律进行了详细分析,统计了事故的损失,为后期的风险识别及评估提供了丰富的资料。
3.2.2结构分析
通过结构分析,相关工作人员能够详细了解桥梁结构的受力状态,然后才能够针对结构设计中存在的一些问题提出针对性解决措施。本次风险识别及评估过程中相关工作人员对大桥施工过程进行有限元结构分析,详细了解了施工过程中的结构受力情况,为后期的风险识别工作奠定了良好的基础。
3.2.3现场调研
现场调研的主要内容包括施工地的自然气候、地质地貌、水环境、施工现场的管理情况、技术条件等等,经过分析调查显示,该桥梁所在区域属于亚热带季风湿润气候,春季气候温暖、多雨,夏季干热,秋冬季节比较寒冷,年平均气温为17.7℃,历年最高气温为40℃,最低气温为-6.8℃,6~8月份降水较多,年平均降水量为1170mm,夏季暴雨比较集中,很容易出现洪涝灾害。桥梁所在地属于构造侵蚀丘陵地貌,整个河谷呈现“V”字形,地表水系发育,河道内水流量较大,且长期流水,最深可以达到31m,桥位区设计洪水位为210.37m,通航水位为205m,施工水位为188m,没有发现断层、岩溶等不良地质现象。本次施工过程中整个施工组织设计比较合理,涉及的施工机械装备十分齐全,施工单位在桥梁施工方面拥有非常丰富的经验,施工技术条件良好,施工现场管理也符合相关工程标准,没有出现管理混乱等问题。实地调研之后发现本次施工可能存在着施工现场人员淹溺事故、暴雨引起的事故、连续阴雨引起的事故、雷暴引起的事故、大雾引起的事故、高温引起的事故、桥梁施工对通行船舶安全的影响、施工对环境的影响、洪水引起的事故等风险事件。
3.2.4专家调查
本次风险识别评估邀请9位桥梁设计、施工、科研、管理方面的专家,结合大桥的勘察、设计、施工组织等等资料,共总结出18个风险事件,比如纵向预应力管道堵塞、预应力筋张拉伸长量偏差过大、锚固端混凝土开裂、混凝土浇筑时模板偏移、沿纵向预应力管道裂缝、悬臂浇筑时主梁标高异常波动、箱梁顶板浇筑质量不合格、钻孔桩塌孔、钻孔桩钢筋笼偏斜等等。
3.3施工风险综合评估
所有的施工风险识别完成之后,采用分层分级评判方法对各个施工阶段可能存在的风险事件进行识别,最终得出各风险源,以悬臂梁浇筑施工为例,该阶段的施工风险事件共有23项。使用LEC方法对风险事件评判,其中L指的是事故发生的可能性,E指的是人员暴露在危险环境中的频繁程度,C指的是安全事故发生后可能引起的后果,风险分值以D表示,D值大小与风险高低呈正相关。二级评判显示,D值小于70,表示风险可以接受,D值大于70,进入三级评判。三级评判中使用风险矩阵法对风险事件进行动态估测,评判结果显示挂篮浇筑时坍塌事故为极高风险事件,具体施工中必须严格控制,施工人员高处坠落事故为高度风险事件,施工过程中要合理控制。
4结语
桥梁施工过程中可能会存在各种风险事件,为了确保现场施工人员的安全,保证桥梁质量,相关人员必须要加强风险识别及评估。本文结合工程实例就桥梁施工阶段风险识别及评估过程进行了简单介绍,仅为类似工程风险识别评估工作提供参考。
作者:崔文轩 单位:邢台市路桥建设总公司
参考文献:
[1]袁鹏飞.桥梁施工风险评估方法研究[J].科学与财富,2016,8(5):189-190.
[2]李金刚,孙新亮.桥梁工程施工阶段的风险识别与评估研究[J].建筑工程技术与设计,2015(12).
[3]吴永锋.浅析桥梁工程施工阶段的安全风险识别与评估[J].城市建设理论研究(电子版):2015(6).
[4]霍东发.公路桥梁工程安全风险识别的综合法研究[J].城市建设理论研究(电子版):2014(13).
当前的施工桥梁工程越发的意识到施工安全的重要性,并力求通过风险识别以及评估探析的作用,提升桥梁工程施工的安全性,提升桥梁施工的效率,基于这一问题,笔者进行了切实的探究。
一、对于桥梁施工风险管理浅析
施工风险管理手段是桥梁施工过程中非常重要的环节,它可以为桥梁施工提供切实的安全保障。我国的施工风险管理机制起步较晚,很多时候,对于实际的桥梁施工风险意识不足,直到二十世纪七十年代末,才将施工风险的管理手段逐渐的落实实践施工当中,这样的情况,导致我国的施工手段受到了较大的制约,除此之外,当时的中国属于计划经济体制,多数的施工工程都隶属于国家的管制,产生的风险也直接由国家自行承担,导致项目履行者无法意识到自身的所具备的职责,进而为工程施工的风险管理以及控制受到诸多的阻碍。自从改革开放以来我国的社会经济体制在不断地发生着转变和更新,这一发展形势,为我国的施工工程的发展提供了新的契机,风险管理以及风险控制已经成为当前工程施工管理的重要措施,尤其是在桥梁工程施工管理的过程中,已经越发的注重风险控制的作用,力求通过这一方式提升施工过程中的安全性,进而保障施工进度。虽说我国的施工风险管理起步较晚,管理水平也不成熟,但是,在实践发展中,我国的工程施工风险管理已经在不断的完善和健全[1]。
二、对于桥梁工程施工风险识别以及评估的内容以及关系分析
桥梁工程施工的风险识别以及评估是施工风险管理的重要内容,在落实桥梁工程施工风险管理措施的过程中,其具体的实施步骤如下,在施工之前,对施工中所面临的风险数据以及因素进行充分的考虑和分析,而后再将其以信息的形式进行反馈,在实施施工的过程中,则应当充分的考虑施工现场的实际情况,与施工负责人的多年施工经验完美的结合,再对现场的施工风险进行分析和识别和管理,最后再将其中所涵盖的风险因素进行系统的分析。在施工计划阶段也要考虑到其中的风险因素,让风险意识落实到施工的各个环节,进而保障施工的安全性。要想将风险评估的作用最大程度的发挥,还可以通过构建特定部门的方式,对当前的施工现场进行风险评估,而后安排专业的人员对其定时检查。如果检查之后发现其中存在纰漏,那么应当及时的对此问题上报,进而及时的解决,与此同时,还要将风险应对措施进行更新,制定出切合实际的风险应对方案,保障工程施工的进度和效率。如果在检查之后未发现影响工程实施的风险因素,那么则可应用此风险评估措施,对施工过程中的风险进行防范。风险识别是实现风险控制以及评估的重要内容,在进行风险管理的过程中,风险识别得是否全面以及准确,可以直接的影响到最终的风险评估水平,最终还会影响到工程施工的进度[2]。风险评估的内容可以归纳为:全面的分析桥梁工程施工过程中各个环节以及内容所存在的风险,而后找寻处切合实际的解决方式。
三、对于桥梁工程实施风险评估以及识别建议
在对工程施工进行风险识别之前,就应成立专门的工程风险识别小组和风险评估小组,而后有关的领导还要针对其中的人员的职责进行明确的划分,将风险识别以及风险评估的工作环节以及内容落实到个人头上,这样可以为桥梁工程施工的风识别以及风险评估更为科学、合理,使人员的安排更为合理,避免出现职责意识不清,以及躲避工作责任的情况,一旦风险识别以及风险评估的过程中,出现了较为严重的问题,那么就要将责任落实到负责这一部分工作内容的人员头上,这样的方式还会很大程度上提升风险识别以及风险评估的科学性,并保证施工过程中的安全性。在落实桥梁施工风险识别以及评估的过程中,还应当从不同的角度着手,比如,环境、人、制度、物以及工艺等方面,全面的对桥梁工程施工风险进行识别以及评估,保证施工风险管理的顺利进行[3]。像环境风险识别方面,涵盖着施工环境、办公施工生活、施工作业等等方面,在进行施工风险识别以及评估的过程中,一定要注重施工环境风险这一重点因素,充分的考虑桥梁施工中的环境因素所带来的危害和风险,进而在提升风险识别的能力的同时,提升施工风险评估水平,从环境风险角度,降低施工过程中风险因素所带来的危害。像人为风险评估方面,则更要对其全面的分析和探究,从总工、安全员、经理、班组长以及施工人工等等方面着手,进行系统的分析[4]。
结束语
综上所述,随着社会经济的井喷式发展,致使人们的生活理念也逐渐的在实现着变革,人们越发提升了对施工质量的要求,而相关的施工单位在进行工程施工时,也越发的重视施工安全的作用,并通过科学的、合理的方式对各类的施工安全问题予以解决,以桥梁施工为例,诸多的施工单位在进行桥梁施工时,都会通过风险识别以及风险评估的方式对施工过程中的各类风险问题进行高效的防范,为桥梁施工安全提供充足的保障,与此同时,也会保障施工进度以及施工效率。但是很多施工单位在落实风险管理时,都会出现概念模糊的现象,即便将风险识别和风险评估落实到实践中,仍旧会存在诸多的问题,究其根本,无外乎对桥梁工程施工的风险管理实施的不全面,致使风险管理过程中,出现诸多的管理漏洞,进而大大降低了风险管理效率,因此,在落实风险识别和评估的过程中,应当注重科学性和合理性,进而为桥梁施工正常进行提供充足的保障。
参考文献
[1]项贻强,张婷婷,孙筠等.国外桥梁工程项目风险及评估研究综述[J].中外公路,2010,30(2):153-158.
[2]卢春林.浅埋暗挖隧道穿越既有桥梁风险评估方法研究[J].铁道科学与工程学报,2016,13(6):1156-1164.
【关键词】 风险评估
一、公司目标
风险评估的前提是设立目标.设定目标是公司管理过程的重要组织部分,而非内部控制的要素,但它却是内部控制得以实施的先决条件。建立起目标体系,就能把各种力量、各类资源统一协调,按照目标的要求发挥作用,促使寿险公司切实的凝结为一个整体。只有先确立目标,公司才能针对目标确定风险并采取必要的行动来管理风险。目标设定是寿险公司对风险进行识别、评估和制定相关风险对策的基础。
二、风险识别与评估
公司面临的风险是指发生对公司目标的实现可能产生影响的不确定性,并可以通过一系列防范措施予以规避和减小的损失的可能性。风险的识别需要比较客观的进行,而且为了避免忽略相关的风险事件,识别风险的过程最好与评估风险的过程区分开来。
相对于寿险公司的经营管理来说,风险因素既存在于公司内部,也产生于公司外部。对于寿险公司,有可能引起风险发生的内部因素是:
(1)管理层对实现公司目标的理念意识和紧迫感。
(2)员工的胜任能力,以及完成工作的恰当性和完整性。
(3)公司资产的规模、流动性或业务总量。
(4)公司的财务状况。
(5)信息系统电算化的程度。
(6)公司经营活动的地理分布。
(7)内部控制系统的恰当性和有效性等。
外部风险是指外部环境中对公司目标的实现产生影响的不确定性事件,有可能引起风险发生的外部因素是:
(1)国家法律、法规及政策的变化:如新的法律和法规可能要求经营政策和策略的改变。
(2)经济环境的变化:经济形势的变化可能对有关融资、资本支出和扩张的决策产生影响。
(3)科技的快速发展:技术发展会影响研发的性质和时机,或带来采购的变化。
(4)行业竞争及市场变化:竞争和不断变化的客户需求会改变公司营销、产品开发、业务流程和客户服务等活动。
(5)自然灾害:自然灾害可能导致经营或信息系统的改变以及强调对或有损失制定应急计划的需要。
识别公司层面和操作层面风险后,公司需要进行风险评估。进行风险评估,必须保证风险评估人员具备相应知识和业务能力,并已经对公司的各项政策和程序有了比较深入的了解。在此基础上,风险评估才可以顺利进行。总体来说,风险评估的方法有两种,一是定量方法评估,二是定性方法评估。
风险评估是全面、准确、及时地了解和把握寿险公司风险的内控基本要素,是识别及分析那些可能影响企业达到企业目标或事件的手段,是决定如何构建有效内控体系的基础。目前,我国寿险公司在风险评估意识、方法、技术等方面还比较落后。主要表现为:一是风险评估的方法技术落后,人才缺乏。由于管理层长期以来不重视风险管理和高技术人才的缺乏,我国寿险公司的风险评估主要依靠定性的、人为控制的直接管理方法,如委托理财审查等方式,而未使用定性和定量相结合的客观的科学方法。这导致了风险管理的专业化程度和效率较低。
三、风险处理
在评估了风险的重要性和发生概率之后,管理层需要考虑如何管理风险。这涉及基于对风险假设的判断,以及对降低风险水平所需成本的合理分析。降低重大的或可能发生的风险的措施包括管理层每日做出的无数决策,从确定其他供货源或扩大产品线到获取更具相关性的经营报告或改进培训计划等。合理恰当的措施会实实在在消除风险或抵销其影响。根据风险评估结果做出的风险应对措施主要包括以下几个方面:风险回避、风险控制、风险承担、风险转移。评价风险应对措施的适当性和有效性时,应当考虑以下因素:采取风险应对措施之后的剩余风险水平是否在组织可以接受的范围之内、采取的风险应对措施是否适合本组织的经营、管理特点、成本效益的考虑。
目前,我国寿险公司普遍存在对风险管理的模糊认识、困惑甚至误解,进而出现风险管理导向错误的现象。因此,一是要要强化经营风险既有损失的可能,也有盈利的可能的认识,注重风险和收益的平衡关系;二是建立广泛适应的风险决策标准;三是针对各种风险确定风险应对措施的程序和方法。对降低风险水平所需成本进行合理分析,充分考虑现有程序对于控制已识别风险是否合适,以及完善流程以应对不断变化中的风险等。
四、风险监控
制定了风险处理计划后,并非一劳永逸,在公司的运行过程中风险还可能会增大或者衰退。因此,在公司的经营管理过程中,需要时刻监督风险的发展与变化情况,并确定随着某些风险的消失而带来的新的风险。风险监控就是要跟踪识别的风险,识别剩余风险和新出现的风险,修改风险管理计划,保证风险计划的实施,并评估消减风险的效果。风险监控是与控制活动密切结合在一起的,要使公司的风险监控发挥积极作用,就必须在控制活动的各个环节确立不同的控制方式:预防性监控、检查性监控、纠正性监控、指导性监控。除了以上一般的风险监控形式外,还有针对某个环节不足或者缺陷而采取的补偿性监控,为加强计算机管理而实施的计算机监控等等。这些风险监控形式,合理保证了公司风险监控的效率和效果,有助于公司管理风险。
1.引言
贵州属于典型的喀斯特地区,喀斯特地貌出露面积占全省面积的61.9%。近年来,随着贵州经济的快速增长,交通运输业的发展,带动了各个地区的公路建设。根据《建设项目环境影响技术评估导则》(HJ616—2011)(以下称导则)的要求,在对建设项目进行环境影响评价时,需评估项目建设存在的环境风险制约因素进行,从环境敏感性角度评估建设环境风险可接受性;评估环境风险防范措施和污染事故处理应急方案的可靠性和合理性等1。在喀斯特地区进行基础设施建设是比较艰巨的,在建设过程中,如何减小各种风险,并采取行之有效的措施避免风险的产生及应对各种风险后果,如何建立科学有效的风险评价体系是十分关键的。
本研究的风险评价即为导则中要求的环境风险的评估,首先需要对环境风险的制约因素即风险因子进行识别。分析高速公路建设项目的可行性研究报告等相关资料、及项目建设所涉及的区域的背景情况等,根据环境效应强度及其发生背景对建设工程施工期及营运期中可能产生的不确定的因素进行识别,进而加以分析,判断、归类、鉴定,并对其进行管理,从而减轻或降低风险带来的危害。即根据风险识别过程(数据、资料、信息的获取——资料及数据的分析及风险因子的识别——风险因子的鉴定、归类——风险管理[1]可分为施工期、营运期两个时期进行,并选用一定的项目风险评价方法进行风险评价。
2.风险识别
风险识别即风险源、特性、影响范围等的识别。贵州喀斯特地区广布的溶洞及落水洞、山地多、山谷切割深等特点加大了高速公路建设的难度。施工期的风险识别主要分为路基工程、桥梁工程及隧道工程等三个工程中的风险;营运期主要分为自然灾害、运输危险化学品的风险。
2.1施工期风险因子
2.1.1路基工程
(1)软土路基工程
喀斯特地区的岩层主要为白云岩、石灰岩等,在洼地地区,流水冲击物在此处沉积,沉积物极其脆弱,强度较低,易发生垮塌、沉降等风险。因此识别项目实施地段的软土路基可能发生的风险主要包括路基土质状况、材料运输的可达性等。同时项目实施应尽量避开雨季,雨季容易造成水土流失,并修建排水沟、合理堆放料材等,避免造成水土流失,继而造成河道淤塞。
(2)边坡工程
包括路基边坡及道路开辟形成的边坡。高速公路通过较小的山体时,没有采取避让及隧道工程措施,而是对山体进行爆破,开辟出道路。而开辟之后形成的山体边坡地形高差较大、坡度较陡、岩土体的物质及结构基础属于易发生滑坡的岩土体都存在路基不稳,容易滑坡、塌方等安全隐患。
2.1.2桥梁工程
桥梁工程的风险相对高速公路其他工程较大。由于喀斯特地区河谷切割深,桥梁的跨度较大,长度较长,海拔较高,桥墩高度较高。且各种形式的桥梁存在的风险因素各异,但总的看来,桥梁工程施工期的风险可归纳为以下几个方面:河流水文情势对桥墩、桥桩基础的稳定性的影响;桥梁承重与该高速公路的设计流量的关系;以及桥梁结构、附属设施施工采取的施工组织设计及施工方案产生的风险等。
2.1.3隧道工程
贵州是云贵高原向东部沿海地区的过渡地带,山地较多,因此隧道工程是不可避免的。根据隧道所在位置可分为山岭隧道、水下隧道和城市隧道三大类。喀斯特地区的隧道以山岭隧道为主,山岭隧道是为缩短距离和避免大坡道而从山岭或丘陵下穿越的隧道。在喀斯特地区修建隧道具有复杂性及不可预见性。施工期的风险主要包括正洞施工及辅助坑道施工过程引起的坍塌、突泥、突水、瓦斯燃烧等风险以及由地质水文条件引起的风险等。
2.2运营期风险
2.2.1自然灾害
自然灾害风险表现为自然灾害对高速公路的破坏。主要有地震、暴风雪、严寒酷暑、洪涝灾害引起的滑坡、水土流失等。
2.2.2运输风险
高速公路营运期的运输风险主要是运输环境的风险评价。如危险化学品在运输过程中,由于管理、工作人员的失误、车辆、包装、设施、路况及环境等原因,危险化学物品发生爆炸、泄露等事故从而产生风险。
桥梁工程运输风险除自然灾害对桥梁的破坏导致的风险外,还包括人为破坏等对桥梁的安全运营影响,桥梁工程耐久性等。
隧道工程运输风险包括隧道结构稳定性、防水可靠性、耐久性等。
3.评估方法的选取
风险评估方法是在建立风险评估体系的基础上,采取一定的评估方法对各个风险要素进行评估的方法。并与预期的风险目标进行比较,进而确定项目的风险严重程度,从而采取相应的风险管理措施控制风险发生的概率,减轻风险发生的后果。
风险评估的方法包括:专家评分法、模糊综合评价法、决策树法、网络计划技术、蒙特卡罗模拟、层次分析法等;以及将以上方法加以综合的评价方法:如模糊层次分析法、灰色层次法、模糊效用风险评价法等[2]。其中层次分析法、专家评分法应用较广,理论也较成熟。层次分析法是将定量分析与定性分析相结合,将所识别的风险因子进行分层,通过比较、计算得到不同方案的风险水平。专家评分法是通过对参与大量工程建设的专家进行问卷调查,根据专家的实际工作经验对风险进行打分,从而得到风险的发生概率等。风险评价的目的是选取风险水平小的方案,但风险较大的方案往往盈利的机会较大[3],因此平衡好风险水平与经济盈利之间的关系是比较关键的。
4.风险管理
风险管理主要是为了减小风险发生的概率及减小风险可能发生后的损失大小。减小风险发生的概率就需要增大投资,提高企业风险管理素质及风险控制水平,并对项目实施地段进行充分的调查,对设计方案进行反复的论证,采取各种方法措施对各个风险要素可能发生的情况进行控制,防微杜渐,从而降低风险等级,达到风险管理的目的。
5.结论
日前,随着经济社会的发展,城市化进程的加快,高速公路的建设如雨后春笋般迅速崛起。在公路风险评价中,分为,根据施工期及运营期的风险因素建立风险评价体系,能够全面科学系统地指导实践。同时还应对企业管理水平、素质等进行风险识别,充分考虑各方面的因素可能引起的风险。
参考文献:
论文摘要:本文设计的信息安全风险评估辅助系统是一个多专家评估系统,主要模块分为风险评估管理端、系统评估端、信息库管理端和知识库管理端,严格按照《指南》的风险评估流程进行评估,使评估结果更全面更客观。
一、前言
电力系统越来越依赖电力信息网络来保障其安全、可靠、高效的运行,该数据信息网络出现的任何信息安全方面的问题都可能波及电力系统的安全、稳定、经济运行,因此电力信息网络的安全保障工作刻不容缓[1,2]。风险评估具体的评估方法从早期简单的纯技术操作,逐渐过渡到目前普遍采用BS7799、OCTAVE、ISO13335、NIST SP800-30等相关标准的方法,充分体现以资产为出发点,以威胁为触发,以技术、管理、运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型[3]。
二、信息安全风险评估
在我国,风险评估工作已经完成了调查研究阶段、标准草案编制阶段和全国试点工作阶段,国信办制定的标准草案《信息安全风险评估指南》[4](简称《指南》)得到了较好地实践。本文设计的工具是基于《指南》的,涉及内容包括:
(一)风险要素关系。围绕着资产、威胁、脆弱性和安全措施这些基本要素展开,在对基本要素的评估过程中,需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与基本要素相关的各类属性。
(二)风险分析原理。资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。
(三)风险评估流程。包括风险评估准备、资产识别、威胁识别、脆弱性识别、已有安全措施确认、风险分析、风险消减[5]。
三、电力信息网风险评估辅助系统设计与实现
本文设计的信息安全风险评估辅助系统是基于《指南》的标准,设计阶段参考了Nipc-RiskAssessTool-V2.0,Microsoft Security Risk Self-Assessment Tool等风险评估工具。系统采用C/S结构,是一个多专家共同评估的风险评估工具。分为知识库管理端、信息库管理端、系统评估端、评估管理端。其中前两个工具用于更新知识库和信息库。后两个工具是风险评估的主体。下面对系统各部分的功能模块进行详细介绍:
(一)评估管理端。评估管理端控制风险评估的进度,综合管理系统评估端的评估结果。具体表现在:开启评估任务;分配风险评估专家;对准备阶段、资产识别阶段、威胁识别阶段、脆弱性识别阶段、已有控制措施识别阶段、风险分析阶段、选择控制措施阶段这七个阶段多个专家的评估进行确认,对多个专家的评估数据进行综合,得到综合评估结果。
(二)系统评估端。系统评估端由多个专家操作,同时开展评估。系统评估端要经历如下阶段:a.准备阶段:评估系统中CIA的相对重要性;b.资产识别阶段;c.威胁识别阶段;d.脆弱性识别阶段;e.已有控制措施识别阶段;f.风险分析阶段;g.控制措施选择阶段。在完成了风险评估的所有阶段之后,和评估管理端一样,可以浏览、导出、打印评估的结果—风险评估报表系列。
(三)信息库管理端。信息库管理端由资产管理,威胁管理,脆弱点管理,控制措施管理四部分组成。具体功能是:对资产大类、小类进行管理;对威胁列表进行管理;对脆弱点大类、列表进行管理;对控制措施列表进行管理。
(四)知识库管理端。知识库的管理分为系统CIA问卷管理,脆弱点问卷管理,威胁问卷管理,资产属性问卷管理,控制措施问卷管理,控制措施损益问卷管理六部分。
四、总结
信息安全风险评估是一个新兴的领域,本文在介绍了信息安全风险评估研究意义的基础之上,详细阐述了信息安全风险评估辅助工具的结构设计和系统主要部分的功能描述。测试结果表明系统能对已有的控制措施进行识别,分析出已有控制措施的实施效果,为风险处理计划提供依据。
参考文献
[1]Huisheng Gao,Yiqun Sun,Research on Indices System of Security Risk Evaluation for Electric Power.Optical Fiber Communication Network,IEEE,2007.
[2]Masami Hasegawa,Toshiki Ogawa,Security Measures for the Manufacture and Control System,SICE Annual Conference 2007.