風險識別及評估模板(10篇)
時間:2023-08-12 09:04:38
導言:作為寫作愛好者,不可錯過為您精心挑選的10篇風險識別及評估,它們將為您的寫作提供全新的視角,我們衷心期待您的閱讀,并希望這些內容能為您提供靈感和參考。
篇1
對項目評估中涉及的無形資產進行風險管理,首先要明確無形資產風險的影響因素有哪些,即都有哪些形成風險的原因。其次,要采用適當的風險識別方法對項目評估中涉及的無形資產進行有針對性的風險識別。
一、無形資產風險的影響因素
評估人員要通過密切結合企業(yè)內外部環(huán)境動態(tài)地分析無形資產的風險種類和風險影響力。通過對形成無形資產風險的主要原因的分析,可以明確無形資產風險的影響因素:
(一)沒有一個通用的定義,范圍的不確定性,對應的無形資產價值分配不確定性的風險。
(二)外界產業(yè)環(huán)境、行業(yè)行政性發(fā)展規(guī)劃及政策對無形資產使用的影響,對應的無形資產有效期限的不確定風險。
(三)無形資產市場的供求變化及競爭程度,部分無形資產的市場影響度和占有率,無形資產特許權使用費的標準,等等,對應的無形資產在未來所能獲取的現(xiàn)金流量的不確定性風險。
(四)資產的隱性成本、機會成本,資產的較低使用效率、操作不規(guī)范,管理上未形成完善的管理控制體系,對應的無形資產投入產出及利用效率不確定的風險。
(五)無形資產的使用和管理人員法制觀念、職業(yè)道德、工作經驗等方面的欠缺,對應的無形資產價值毀損甚至產生負收益的風險。
二、無形資產風險識別方法分析
無形資產的風險識別可以借鑒有形資產的風險識別方法,同時考慮無形資產的特殊性,從定性和定量相結合的角度全面剖析企業(yè)采用項目在經營活動中可能面臨的各種無形資產風險及其形成的根源。
(一)資產形成流程識別方法,即對項目所涉及的無形資產,從其形成流程中分析,對每一個過程、環(huán)節(jié)進行檢查,發(fā)現(xiàn)其中潛在的風險,挖掘產生風險的根源。例如,對于項目中涉及的品牌這一無形資產,研究品牌資產從創(chuàng)立之初到形成品牌影響力的過程中是否存在使品牌未來價值發(fā)生變動的風險因素,并預估如若風險發(fā)生可能給項目實施帶來的影響和為預防風險企業(yè)需要采取風險管理措施的成本費用。
(二)類比借鑒分析法,即分析企業(yè)實施某個項目所面臨的內外部環(huán)境及涉及的無形資產的種類,尋找相似環(huán)境中的同類無形資產,借鑒該同類無形資產已經識別或暴露出的風險對比分析項目中的無形資產的風險。比如專利權,該類無形資產已經為企業(yè)和社會所熟識,比較容易找到符合條件的相似資產,通過類比借鑒分析,可以對其風險進行識別。
(三)職能結構分析法,即充分利用企業(yè)的職能部門分別在不同的職能范圍內進行無形資產風險分析,財務部門針對無形資產財務狀況進行分析,風險管理職能部門就無形資產風險清單進行調查,企業(yè)管理層就無形資產事故組織專家調查等。比如商譽這種無形資產,在企業(yè)進行項目評估時,必須考慮項目的實施成功與否可能會給企業(yè)的整體商譽帶來的影響,就可以采用職能結構分析法,識別其各種風險,進行相應地風險管理。
三、無形資產的風險管理
對無形資產風險的影響因素分析是為了幫助識別鑒定無形資產的風險,而對無形資產風險的識別是對無形資產風險管理的基礎,無形資產特殊性以及不確定性,增加了項目評估中可行性決策的風險。企業(yè)必須要加強對無形資產風險的認識,踐行無形資產風險管理。
(一)無形資產風險評估。風險評估即對無形資產風險發(fā)生的可能性及其損失程度進行評估,為進一步的無形資產風險管理準備,對無形資產風險認識、評估與管理可以使企業(yè)的項目評估結果更具說服力。首先,采用定性的方法確定風險類別;其次,采用定量的方法計算預測風險的期望收益;然后選用適當的分析模型,采用定性定量相結合的方式對風險進一步分析。鑒于無形資產的高風險高收益高破壞力的特性,必須盡可能的對無形資產可能面對的各種情景加以分析,重點關注風險發(fā)生概率大的無形資產。
(二)無形資產風險控制。對無形資產進行風險控制,一是降低風險發(fā)生的可能性,二是減少風險帶來的損失。企業(yè)在項目評估過程中,要評估與相應的無形資產對應的風險控制方法以及動態(tài)管理無形資產風險的能力。應注意三個方面:一是風險發(fā)生之前能夠進行事前控制,控制的手段不應僅僅局限于風險管理計劃中的風險規(guī)避措施,還應能夠根據實際情況確定應變措施。二是風險發(fā)生時,能夠快速進行風險分析并制定應對措施。三是風險發(fā)生后,能夠形成反饋管理機制。
四、結語
在知識經濟時代,無形資產這一戰(zhàn)略性發(fā)展資源對企業(yè)的貢獻越來越大,企業(yè)擁有的無形資產體現(xiàn)了企業(yè)的科學技術能力和知識文化能力,無形資產成為企業(yè)利益來源的同時也提升了企業(yè)的綜合實力和競爭力。但是,無形資產所固有的風險及其特征也可能給企業(yè)帶來現(xiàn)實的或潛在的巨大損失。正是由于無形資產的地位日益凸顯,企業(yè)資產結構中無形資產比重迅速上升,項目評估中所涉及的無形資產也相應增多,在項目評估過程中,企業(yè)必須高度重視無形資產的風險識別及其風險管理,進一步提高無形資產的風險評估意識和風險管理水平。
參考文獻
[1] 戴洪健,邱展法.無形資產評估探討[J].南方論刊,2007 (02):42-43.
[2] 劉霞,傅國林.無形資產審計過程中的風險點及防范[J].會計師,2013(05):9-11.
篇2
[中圖分類號]F274 [文獻標識碼]A [文章編號]1005-6432(2010)49-0127-02
1 引 言
在供應鏈質量管理的研究方面,許多事件都說明供應鏈的某些風險因素對供應鏈的績效產生巨大的負面作用,供應鏈中的大多數風險因素都表現(xiàn)為產品質量大幅波動。Robinson和Malhotra給出的供應鏈質量管理的定義是:對供應鏈的合作組織商業(yè)流程的協(xié)調和整合,以此來度量、分析和持續(xù)改進產品、服務和流程,目的是創(chuàng)造客戶價值,提升客戶滿意度。而傳統(tǒng)制造模式下,質量管理的重點集中于企業(yè)內部,注重內部過程、要素、部門之間的管理與協(xié)調,而對于外部過程以及外部關系則較少關注,在供應商、制造商、分銷商乃至最終用戶之間尚未形成一條連續(xù)、暢通的質量鏈,而是被一系列相對封閉的質量“黑箱”所割裂。本文在將供應鏈質量風險管理的研究視角放在合作組織內部和合作組織之間的質量管理上,而在質量管理中質量風險的管理也至關重要,本文研究的主要問題是供應鏈質量風險的識別與評估。從文獻目前的研究中可以看出目前對供應鏈質量風險評估的研究主要集中在定性的分析上,并且注重風險產生后的管理和控制。質量風險的相對重要程度,以及動態(tài)的、預測各指標值的對于導致供應鏈質量風險事件發(fā)生因素的識別和評估的有效方法的研究目前還不成熟,缺乏定量的預測方法。從管理角度看,風險最重要的方面就是引發(fā)的原因,只有通過控制這些因素才能預警和管理風險。本文將研究重點放在識別供應鏈質量風險的關鍵誘因、確定描述供應鏈質量風險的關鍵風險指標、評估供應鏈總體質量風險以及供應鏈質量風險誘因對于供應鏈總體質變動等方面。
2 供應鏈質量風險的識別
通過風險識別的工具――關鍵風險指標和關鍵風險誘因分析,得出供應鏈質量風險的關鍵誘因和關鍵指標,它們是管理者對風險進行監(jiān)控和管理的基礎,同時也是針對供應鏈質量風險建立貝葉斯網絡的依據。
2.1 供應鏈質量管理關鍵風險指標的確定
關鍵風險指標是對某些特定業(yè)務活動和控制環(huán)境進行監(jiān)控的關鍵指標體系。Starbird S.提出了最佳合格質量的概念,認為質量可以用合格率表示。本文研究的主題是供應鏈質量風險,所以將產品的不合格率作為關鍵風險指標,當不合格率到一定的范圍時,必須識別出風險產生點并采取相應的風險控制措施。
2.2 供應鏈質量風險關鍵風險誘因的確定
關鍵風險誘因就是一些風險特質或風險特性,是引起特定風險的隨機因素。本文從供應鏈上各參與主體以及供應鏈總體的協(xié)作的角度分析了供應鏈質量風險,并提出導致供應鏈質量風險主要的誘因,即供應鏈的構成、企業(yè)間的協(xié)作、供應商的運作風險、核心企業(yè)運作風險、銷售企業(yè)運作風險和為整條供應鏈服務的物流服務提供商的運作風險及相應的二級指標。供應鏈結構的主要影響因素有供應鏈長度、數量、供應商選擇標準、與供應商的關系。供應鏈的運作風險的影響因素有:供應風險、需求風險、制造過程風險、信息風險信息技術的運用情況、設備的完備性、員工的結構與素質、先進質量管理技術的應用。
2.3 供應鏈質量風險的識別結果
由上一節(jié)的分析,并結合供應鏈各成員的特點得到供應鏈質量風險關鍵誘因與衡量風險程度的指標,即產品不合格率。如下頁表所示:
3 供應鏈質量風險評估模型的構建
3.1 貝葉斯網絡用于風險評估的可行性
貝葉斯網絡(Bayesian Network)實質上就是一種基于概率的不確定性推理網絡,其定義如下:B=,一個貝葉斯網絡主要由兩部分構成,分別對應問題領域的定性描述和定量描述,即貝葉斯網絡結構G和網絡參數θ。第一部分貝葉斯網絡結構(G),由一個節(jié)點集合和一個有向邊集合組成。有向邊表示變量之間的依賴或因果關系,有向邊的箭頭代表因果關系影響的方向性(由父節(jié)點指向子節(jié)點)。貝葉斯網絡的另一部分θ是反映變量之間關聯(lián)性的局部概率分布集即概率參數―條件概率表(CPT),該表列出了每個節(jié)點相對于其父節(jié)點所有可能的條件概率。本文所研究的是供應鏈質量風險的評估,供應鏈質量風險事件的發(fā)生需要各種風險誘因的累積和一定的風險發(fā)生條件,而貝葉斯網絡提供了一種自然地表示因果或者影響信息的方法,能夠建立一個表示風險誘因導致風險事件發(fā)生的貝葉斯網絡拓撲結構,并且能夠動態(tài)的預測供應鏈質量風險的大小,以及診斷影響供應鏈質量風險的因素。
3.2 風險評估模型的構建
(1)模型的基本假設
①假設忽略外部環(huán)境的影響(市場需求的變化、大的自然災害等),供應鏈質量管理的影響因素主要來自兩個方面,即各企業(yè)自身的運作以及與供應鏈其他成員的協(xié)作,所以將從這兩個方向分析供應鏈質量風險的關鍵誘因;②將研究對象設定為以制造企業(yè)為核心的三級供應鏈;③研究供應鏈上各參與主體對供應鏈的運作風險的作用時,將各節(jié)點假設為相互獨立的,即各節(jié)點對于供應鏈運作風險的影響不受其他節(jié)點的影響。
(2)網絡結構的確定
在構建的供應鏈質量風險評估模型中,供應鏈結構對供應鏈上協(xié)作風險影響比較大,因為供應鏈結構決定了企業(yè)間溝通和協(xié)作的難易程度以及供應鏈成員之間的關系。同樣地,各企業(yè)的運作風險影響供應鏈的運作,但供應鏈的運作風險并不一定會影響各企業(yè)的運作風險,所以,各企業(yè)的運作風險是供應鏈運作風險的父節(jié)點,是導致供應鏈運作風險的原因。根據上述的方法進行判斷,確定各指標之間的相互依賴關系,得到供應鏈質量風險評估的貝葉斯網絡拓撲結構,如圖1所示。
(3)參數θ的確定
θ代表用于量化網絡的一組參數。對于每一個Xi,存在如下一個參數θXi /Pa(Xi),它指明了在給定發(fā)生的情況下事件發(fā)生的條件概率。
即θXi /Pa(Xi)=P[Xi/Pa(Xi)],i=1,2,…,8(1)
其中,Pa(Xi)表示在圖G中Xi的雙親變量的集合,無雙親節(jié)點的變量概率分布用邊緣概率表示。參數θ的確定方法主要有兩種,即專家法和數據法。專家法是通過專家的經驗給出各變量的概率分布,而數據法是通過對數據的分析和學習得出變量的概率分布。
在圖1的基礎上加入各變量以及各節(jié)點的概率分布(CPT)后得到如圖2所示的供應鏈質量風險的貝葉斯網絡拓撲結構。
(4)目標函數的求解模型
本研究的主題是確定在各節(jié)點概率分布確定的條件下供應鏈綜合的質量風險以及各供應鏈質量風險誘因對于供應鏈綜合質量風險的相對重要程度,所以目標函數為確定除根節(jié)點之外其余節(jié)點各狀態(tài)下的邊緣概率,即P(Xi),i=1,2,…,8,下面針對確定條件下的概率分布和有信念更新的概率分別采用不同的算法。
①無信念更新的算法
各節(jié)點的聯(lián)合概率為
P[Pa(Xi)×Xi]=Pa(Xi)×P[Xi/Pa(Xi)],i=1,2,…,8(2)
任意的非證據節(jié)點X各狀態(tài)下的邊緣概率的計算
P(Xi)=Pa(Xi)P[Xi×Pa(Xi)],i=1,2,…,8(3)
由供應鏈質量風險的貝葉斯網絡拓撲結構圖知:
Pa(X8)={X6,X7},Pa(X6)={X1},Pa(X7)={X2,X3,X4,X5}
②有信念更新的算法
給定證據E后任意的非證據節(jié)點排他性X的后驗概率分布P(X/E)稱為該節(jié)點排他性的置信度Bel(X),根據貝葉斯網絡推理模式的特點,一個節(jié)點排他性的信度可以分解成兩個參數:診斷性參數λ(X)和因果性參數π(X),從而節(jié)點排他性的信度Bel(X)=aλ(X)π(X),(a為歸一化常數),診斷性參數λ(X)根據子節(jié)點排他性X的第j個子節(jié)點傳播的信息,π(X)根據子節(jié)點排他性和父節(jié)點排他性傳遞的消息進行計算。
λ(X)=λj(X)(4)
λj(X)為節(jié)點X的第j個子節(jié)點傳遞的信息。
π(X)=U1,U2,…,UiP(X/U1,U2,…,Un)πx(Ui)(5)
P(X/U1,U2,…,Un)是專家知識或數據學習后的概率化表示形式,πx(Ui)為節(jié)點排他性X的父節(jié)點傳遞給其的信息。
4 結論及研究展望
在供應鏈質量風險管理的過程中,關鍵風險指標是適用于風險評估和監(jiān)測的重要工具,所以供應鏈各企業(yè)往往設置一些關鍵的風險指標來評估和監(jiān)控供應鏈質量風險。本文利用關鍵風險誘因和關鍵風險指標分析法,得出供應鏈質量風險的關鍵誘因和關鍵指標,在此基礎上建立了貝葉斯網絡結構模型,通過模型的應用表明了:在風險管理中,一些風險標指值的變化影響其他指值的變化,企業(yè)可以依據過往的經驗設定各節(jié)點指標值的取值范圍,從而定位導致風險產生的首要因素。所以本方法的應用有利于供應鏈風險動態(tài)的監(jiān)控和管理。本文沒有考慮風險的另一個要素――風險產生的后果,僅從預測風險產生的概率入手,所以在貝葉斯網絡結構模型中加入風險產生的后果這一要素是未來的研究方向。
參考文獻:
[1]Robinson,C.J.and M.K.Malhotra,Defining the concept of supply chain quality management and its relevance to academic and industrial practice[J].International Journal of Production Economics,2005,96(3):315-337.
篇3
為了適應經濟全球化和審計準則國際趨同的形勢,提高CPA以應對審計風險的能力,財政部于2006年2月15日了新的CPA執(zhí)業(yè)準則體系,并于2007年1月1日起施行。執(zhí)業(yè)準則體系中的審計風險準則啟用了新的審計風險模型,即:審計風險=重大錯報風險×檢查風險。該模型引人了“重大錯報風險”概念,重大錯報風險包括兩個層次:財務報表層次和認定層次。其中財務報表層次重大錯報風險是指財務報表審計前存在重大錯報的可能性。認定層次重大錯報風險,是指各類交易、賬戶余額、列報與披露在審計前存在重大錯報的可能性。審計財務報表重大錯報風險是財務報表審計程序的重要環(huán)節(jié),CPA應注重對財務報表重大錯報風險的審計,并根據審計結果采取應對之策,以實現(xiàn)合理保證財務報表不存在重大錯報的審計目標。
一、財務報表重大錯報風險的識別
注冊會計師應根據審計風險準則的要求,識別和評估財務報表重大錯報風險,針對評估的認定層次重大錯報風險實施進一步審計程序,以將審計風險降至可接受的低水平。
(一)財務報表層次重大錯報風險的影響因素
1.經營風險因素。多數經營風險最終都會產生財務后果,從而影響財務報表。注冊會計師應當根據被審計單位的具體情況考慮經營風險是否可能導致財務報表發(fā)生重大錯報。它包括四個層面:一是宏觀經濟環(huán)境。在對審計對象的重大錯報風險進行分析的過程中,宏觀經濟狀況是不可或缺的重要風險因素。此外,政府宏觀經濟政策對那些政策敏感性企業(yè)影響較大。二是行業(yè)狀況。影響被審計單位重大錯報風險的行業(yè)因素有:(1)行業(yè)競爭程度。與充分競爭行業(yè)相比,在壟斷特征較明顯的行業(yè)中,被審計單位憑借其壟斷地位容易取得定價權并自主調節(jié)生產以實現(xiàn)利潤最大化,財務報表出現(xiàn)重大錯漏報特別是蓄意舞弊的可能性明顯要比那些充分競爭的行業(yè)低。(2)行業(yè)所處的生命周期。處于創(chuàng)立階段的公司具有粉飾財務報表的動機,因此其重大錯報風險較大;而處于成長或成熟階段的行業(yè),其財務報表出現(xiàn)重大錯誤或舞弊的可能性不大;至于衰退行業(yè),經營業(yè)績較差,粉飾財務報表的動機比較強烈。三是內部控制制度。審計對象是否建立了合理有效的內部控制制度,對會計信息的質量會產生較大影響。四是會計政策的選擇與運用。被審單位重要項目的會計政策、行業(yè)慣例和會計處理方法的恰當性,重大和異常交易事項的會計處理方法,重要項目及新領域使用的會計政策,會計政策變更和會計估計變更之處。這些地方如果處理不當就可能使報表有失公允、合法和真實,產生重大錯報。
2.戰(zhàn)略風險。戰(zhàn)略規(guī)劃在很大程度上決定被審計單位的發(fā)展方向、發(fā)展步驟和發(fā)展策略,甚至決定被審計單位的前途和命運,若不顧被審計單位自身資金、管理者能力等因素的制約而盲目擴大規(guī)模、盲目多元化,必然將導致經營失敗。
3.財務風險。同行業(yè)、同規(guī)模被審計單位的財務指標基本相似,因此在對財務報表的重大錯報風險進行分析的過程中,需要將被審計單位的財務指標與同行業(yè)、同規(guī)模的企業(yè)進行對比,如果相差懸殊而管理當局的聲明又不足以解釋這一差異,注冊會計師就需要保持合理的職業(yè)懷疑態(tài)度,提高被審計單位的重大錯報風險水平,擴大收集審計證據的數量與質量,以支持其審計結論。
(二)認定層次重大錯報風險的影響因素
新的審計風險準則及模型沒有單獨提到固有風險和控制風險,但指出認定層次的重大錯報風險仍由固有風險和控制風險構成。
1.固定風險因素。它主要分為五個方面:(1)較難審查的賬戶或交易。非常規(guī)交易、關聯(lián)方交易以及這些交易形成的賬戶存在的錯報的可能性較大,在審查這些賬戶或交易時,對于注冊會計師所需的經驗判斷和技術水平要求較高,應在項目開始前進行仔細審查。(2)重要交易或事項的復雜程度。需要利用專家工作結果予以佐證的重要交易或事項的復雜程度時,重大錯報風險通常較大。(3)遭受損失或被盜用的項目。如現(xiàn)金、有價證券、存貨等資產具有普遍的吸引力,若缺乏有效的內部控制,容易遭受損失或被挪用,重大錯報風險通常較大。(4)運用判斷的程度。如對無形資產和遞延資產攤銷、壞賬準備、存貨跌價損失、或有負債等的認定存在著大量的估計和判斷,出錯的概率較大,重大錯報風險也相應較大。(5)易漏記的交易和事項。如銷售退回及折讓、利息的計提、按權益法核算的長期投資及其投資損益等,在正常的會計處理程序中被漏記的可能性較大,重大錯報風險比較大。
2.內部控制的可信賴程度。內部控制是由企業(yè)治理層、管理層和其他人員設計和執(zhí)行的政策和程序,用以保證財務報告的可靠性、經營的效率和效果以及對法律法規(guī)的遵循。審計對象是否建立了合理有效的內部控制,對會計信息的質量會產生較大影響,影響財務報表重大錯報。
財務報表整體層次的重大錯報風險的影響因素常導致管理層的財務舞弊行為,為掩蓋該舞弊行為,財務報表整體層次的重大錯報將傳遞到認定層次。由于財務報表信息來源于認定層,財務報表認定層的重大錯報風險的影響因素導致的重大錯報也將傳遞到整體層。因而,以上兩類影響因素共同影響財務報表重大錯報風險。
二、財務報表重大錯報風險評估
對重大錯報風險的識別僅是風險分析的第一步,準確地對風險進行評估才能把握風險控制風險。重大錯報風險評估的實質就是找出風險發(fā)生的可能性并估計其產生的損失。從審計客體來看,被審計單位的一切經營活動成果和資產負債狀況最終都須通過財務報表予以反映。所以,財務報表本身的可靠不僅對是否公允地反映企業(yè)的財務狀況和經營成果有直接的影響,而且對審計風險也有直接的影響,即不公允可靠的財務報表本身的風險會導致審計失敗、審計責任和審計風險。
2)將20%作為臨界點的原因:根據審計經驗和人們普遍對風險的心理承受能力。
現(xiàn)金流量表中重大錯報風險的評估應結合資產負債表和損益表的重大錯報風險的評估進行,資產負債表和損益表中的重大錯報一般會在現(xiàn)金流量表上反映出來,審計人員可根據對上述兩個報表的風險評估大致估計現(xiàn)金流量表的風險水平。
三、設計認定層次重大錯報風險的進一步審計程序
CPA應針對認定層次重大錯報風險設計進一步審計程序,以將檢查風險降到可接受的水平。進一步審計程序是指審計各類交易、賬戶余額、列報與披露等認定層次重大錯報風險時實施的審計程序,包括控制測試和實質性程序。設計進一步審計程序,主要是確定進一步審計程序的性質、時間和范圍。
1.確定進一步審計程序的性質。進一步審計程序的性質是指進一步審計程序的目的和類型。CPA應根據認定層次錯報風險的大小,選擇進一步審計程序。風險越高,通過實質性程序獲取審計證據的可靠性的要求越高,從而影響審計程序類型。
2.確定進一步審計程序的時間。確定何時實施,應關注下列事項控制環(huán)境錯報風險的性質和重要性與審計證據相關的期間。一般地,當重大錯報風險較高時,CPA應當考慮在期末實施實質性程序。重大錯報風險并不高時,可考慮在期中實施進一步審計程序。期中實施會有助于CPA在審計工作初期,識別重大事項,及時加以解決。需要明確的是,如果在期中實施了進一步審計程序,CPA還應當針對剩余期間獲取審計證據。
3.確定進一步審計程序的范圍。進一步審計程序范圍是指實施某項審計程序的數量或規(guī)模。在確定審計程序的范圍時,CPA應當考慮下列因素審計重要性水平、評估的重大錯報風險、計劃取得的保證程度。當保證程度提高,重大錯報風險增加時,CPA應當擴大審計程序的范圍。
隨著審計理論和實務研究的不斷發(fā)展,風險導向審計將逐步為社會所接受并得以應用,如何降低審計風險,如何對重大錯報風險進行識別、評估、應對,需要我們不斷的研究探索。
參考文獻
[1]王成勇.淺談重大錯報風險的審計應對[J].會計之友,2009(09).
[2]汪初牧.財務報表重大錯報風險審計應注意的問題[J].商業(yè)經濟,2006(12).
[3]汪國平.審計重大錯報風險影響因素及其評價系統(tǒng)[J].財會通訊,2006(01).
篇4
[中圖分類號]F274 [文獻標識碼]A [文章編號]1005-6432(2011)2-0094-03
1 故障模式與影響分析(FMEA)
故障模式與影響分析(FMEA)是一項在產品出售給客戶之前,用于確定、識別和消除在系統(tǒng)設計、過程和服務中已知和潛在的失敗、問題、錯誤的工程技術。
一項FMEA工作包括:確定已知和潛在的失效模式;確定各失效模式的原因和影響;將已確定的失效模式依照其風險度(對嚴重度、頻度、監(jiān)測難度的綜合評定)進行排序;提供后續(xù)問題的糾正措施。
2 供應鏈運作流程分析
采用由供應鏈協(xié)會SCC(Supply-Chain Council)開發(fā)并授權的跨行業(yè)的供應鏈運營參考模型(SCOR)對供應鏈運作流程進行分析。
SCOR將供應鏈分解為5個流程:計劃、采購、制造、配送和退貨。計劃是指平衡需求和供應,制作一系列行動方案,以更好地為其他4個流程服務。采購是指按計劃或需求進行獲取物料和需要的服務。制造是指按庫存制造、按訂單制造、按訂單設計的生產實施。按配送制造是指為庫存生產、按訂單制造和按訂單定制的產品進行訂單、倉庫、配送和裝配的管理。退貨是指該流程與任何原因的退貨和交付后的客戶支持相聯(lián)系,包括將原材料返回給供應商和客戶的退貨。
供應鏈SCOR模型的層次如圖 1所示,第一層描述了5個基本流程:計劃、采購、制造、配送和退貨。定義了SCOR模型的范圍和內容,并確立了企業(yè)競爭性能目標。第二層是配置層,根據訂單狀況配置公司供應鏈。通過獨特的供應鏈配置,公司實施其運營策略。
第三層是流程分解層,把第二層每個流程進行細化、具體化。使流程更加具體,給出公司在選定市場中成功經營的競爭能力。在這一層面上對流程進行分析,識別失效模式、失效后果。
(1)計劃流程和失效分析(見圖2、表1)
供應鏈網絡因素:供應鏈成員戰(zhàn)略目標不一致,供應鏈績效管理不完善,供應鏈庫存管理不完善,供應鏈配送管理不完善,數據收集不完備
組織因素:戰(zhàn)略計劃不準確,風險意識薄弱,計劃流程的規(guī)則不健全,供應鏈計劃與財務計劃脫節(jié)
(2)采購流程和失效分析(見圖3、表2~表5)
(4)配送流程和失效分析
配送庫存產品和面向訂單生產的產品的過程包括處理詢問和開價、接收,登記和核實訂單、預留庫存和決定配送日期、合并訂單、包裝產品、裝載和產生配送記錄、運送產品、顧客接收和核實產品、安裝產品。
配送面向訂單定制的產品過程包括:獲得和回應建議要求書和報價要求書、談判和接受合約、登記訂單和發(fā)動項目、采購或制造材料、包裝產品、裝載和產生配送記錄、運送產品、顧客接收和核實產品、安裝產品。
配送零售產品過程包括:產生庫存安排、酒店接收產品、儲存貨架、填寫購物卡、校驗、發(fā)送、安裝。
影響因素:管理配送規(guī)則,評估配送績效,管理配送信息,管理成品庫存,管理配送資本資產,管理產品生命周期,進出口管制。
潛在失效模式:配送延誤,配送丟失,配送錯誤(見表8、表9)。
3 供應鏈風險評估
測量階段使用過程失效模式與影響分析(Failure Mode and Effect Analysis,FMEA)對每個潛在失效原因的風險度進行評估。首先運用頭腦風暴法分析在計劃、采購、制造、配送、退貨5個過程中的潛在失效模式、潛在失效后果。針對每個潛在失效后果,評估其嚴重度,然后分析造成這種后果的潛在失效原因。并評估每個潛在失效原因的頻度和探測難度,最后得到每個潛在失效原因的風險度。
3.1 潛在失效后果嚴重度(Severity)的模糊評估
潛在失效后果的嚴重度是指后果的影響程度,影響越大,嚴重度越高,相反,影響越小,嚴重度就越低。FMEA嚴重度是由相關人員根據主觀感受直接地判斷對總體績效的影響程度。筆者認為影響程度是很難評估的,FMEA用的方法過于簡單,在潛在失效原因和總體績效之間還有很多層次,很多中間因素是不能忽略直接衡量其對總體績效的影響的,而層次分析法(Analytic Hierarchy Process,AHP)則不存在這樣的缺點,而且結合了定量和定性的方法,比單純用德爾菲(Dephi)法更準確。根據FMEA的程序,以1-10為級別對失效原因的發(fā)生頻度和探測難度進行評估。
在對潛在失效后果嚴重度進行評估的時候運用了AHP法,得出的權數之和為1,數值比較少,為了不和頻度和探測難度發(fā)生數量級的問題,必須對這些權數進行調整。在測量和分析階段定義了12個潛在失效后果,對嚴重度進行轉換。把權數按照從小到大的順序排列,第一和第二個為等級1,第十一個和第十二個為等級10。中間的分別為等級2到等級9。這樣,嚴重度和頻度、探測難度的表示方法達到了一致。最后得到失效原因的風險度
RPN=OxSxD
參考文獻:
篇5
為此,銀監(jiān)會于2009年出臺了《商業(yè)銀行信息科技風險管理指引》,對信息科技風險管理目標提出了具體的指導性意見。
風險管理是識別風險、評價風險、控制風險的過程,最終目標是將風險控制在可接受范圍。而風險評估是對風險發(fā)生的可能性及可能造成的影響進行分析,是識別風險、評價風險的過程,是風險管理的基礎。
信息科技的風險管理也需要以風險評估為基礎。
整體和專項兩種評估
風險評估是風險管理過程中重要的一環(huán),在安全規(guī)劃、業(yè)務連續(xù)性管理和實施等級保護等方面也離不開風險評估。
信息科技風險評估可以分為整體風險評估和專項風險評估。
整體風險評估是指對信息科技的各個方面,如治理、信息安全、信息系統(tǒng)開發(fā)、測試與維護、信息科技運行、外包、業(yè)務連續(xù)性管理等,進行全面的風險評估。專項風險評估則是指針對信息科技的某一方面、某個系統(tǒng)或為某個目的而進行的評估。常見的專項風險評估還會根據評估對象分為網絡評估、系統(tǒng)風險評估等。
整體風險評估側重于反映宏觀層面的風險,即全面反映影響實現(xiàn)IT目標的風險,幫助銀行高級管理層把握信息科技的整體風險狀況,從而據此來進行戰(zhàn)略決策,最終提升風險管理能力。專項風險評估則側重于反映微觀層面的風險,即反映信息科技某一方面或者某個系統(tǒng)存在的風險,據此來決定采取相應的風險處理措施,降低相關系統(tǒng)所面臨的風險。
評估風險的七個步驟
風險有影響及可能性兩個屬性,而影響是由資產的價值與資產存在的弱點決定的,可能性是由資產面臨的威脅及資產存在的弱點決定的。因此,風險評估需要對資產、弱點及威脅進行綜合分析。
風險評估工作一般有以下七個步驟:描述分析評估對象,確定其目標或者價值;識別評估對象存在的弱點;識別評估對象面臨的威脅;通過分析弱點及威脅,確定風險發(fā)生的可能性;通過分析資產及弱點,預測風險如果發(fā)生可能帶來的影響;通過已經分析出的可能性和影響確定風險等級;根據風險等級提出風險處理建議。
這幾個步驟可劃分為風險識別、風險分析、風險定級三個階段。
風險識別是風險評估的基礎,只有完整地識別出被評估對象的風險才可能進行正確的風險分析、風險定級。風險識別要對評估對象存在的弱點及面臨的威脅進行識別,這是風險識別的關鍵。
整體風險評估覆蓋范圍廣,反映的是宏觀層面的風險,因此在進行整體風險評估時應該以調查方式為主,以檢查、安全測試方式為輔。
在做整體風險評估時,要先準備詳細的調查問卷,問卷內容涵蓋信息科技的各個方面。一般來講,銀行的IT目標是在滿足合規(guī)管理要求的前提下,支持業(yè)務創(chuàng)新和業(yè)務運營。為了實現(xiàn)這個目標,需要管理流程和基礎資源配備作為支撐。其中,管理流程可分為IT業(yè)務創(chuàng)新支持、IT業(yè)務運營支持、IT合規(guī)管理及IT治理等四類,基礎資源配備包括支撐IT運行的人、信息、應用系統(tǒng)及基礎設施。
篇6
橋梁工程施工是基礎設施建設的重要內容,隨著社會經濟及橋梁建筑施工技術的發(fā)展,橋梁的結構更加復雜,加上橋梁施工環(huán)境大多比較惡劣,都為工程施工帶來了更多的風險,對橋梁工程施工階段的風險進行識別評估是降低風險、減少施工事故的重要手段。本文主要就常見的橋梁工程施工風險識別及評估方法進行簡單介紹,結合實例分析風險識別評估的過程,僅為類似工作的開展提供參考。
1橋梁工程施工風險綜合識別法
橋梁工程施工風險評估的方法有故障樹分析法、德爾菲法、專家調查法等等,這些方法都存在著一定的不足,比如故障樹分析法的多余量較多、難度較大,對于分析人員的技術要求較高,分析人員必須要具備良好的邏輯運算能力,否則很容易出現(xiàn)錯誤,下文結合橋梁工程的具體施工特點,介紹一種綜合性的風險識別方法,該方法主要包括事故總結、結構分析、現(xiàn)場調研以及專家調查四部分內容,比較系統(tǒng)全面。目前來說,我國還沒有建立起完整的橋梁工程基礎數據庫,為了盡可能降低風險,實際的事故過程中相關工作人員要善于將類似橋梁工程發(fā)生的安全事故總結起來,并進行詳細分析,為本次的風險評估工作提供參考資料,這一內容即事故總結。橋梁工程多種多樣,結構形式各不相同,不同橋梁結構選擇的施工方法自然會存在較大的差異,產生的風險也各不一樣,因此風險識別過程中工作人員要能夠對整個橋梁結構進行詳細分析計算,及時發(fā)現(xiàn)結構設計中的薄弱環(huán)節(jié),并提出對應的控制措施,盡可能降低或者消除風險。現(xiàn)場調研對于風險識別至關重要,工作人員必須深入施工現(xiàn)場對當地的水文地質情況、自然氣候進行詳細了解,對現(xiàn)場的施工進度進行跟蹤調查,總結橋梁工程施工中可能存在的風險事件。專家調查對于風險識別工作而言十分重要,他們擁有豐富的理論知識及實踐經驗,能夠及時發(fā)現(xiàn)橋梁施工中各種潛在的風險。
2橋梁施工風險分級評估法
橋梁工程十分復雜,施工方法眾多,風險評估過程中僅僅依靠單一的方法進行評估往往不夠全面,下文簡單介紹一種分級評估方法,實際的評估過程中將風險源分為三個級別,具體的評估過程中首先通過專家調查法、專家評議法等簡單的評判方法對風險源進行評判,明顯較低的評判為低度風險,其余風險源進入二級評判,二級評判中通過LEC等精度較高的評判方法對進入二級評判的風險源進行評估,風險較低的定為中度風險,剩余風險源進入三級評判,三級評判主要通過風險矩陣法等高精度的評判方法對這些風險源再次進行評估,風險較低的定為高度風險,較高的則為極度風險,評估流程如圖1所示。這種分層分級的評估方法中能夠充分發(fā)揮各種評估方法的優(yōu)勢,保證了風險源評估的精準度,適用于各種橋梁結構及施工方法,實用性較強。
3橋梁施工風險評估實例
3.1工程概況
某高速公路大橋的主橋長度為308.04m,跨度為(80+145+80)m,采用預應力混凝土連續(xù)箱梁,箱梁使用掛籃懸臂進行澆筑,懸臂澆筑的流程如下所示:0號段澆筑拼裝掛籃1號段澆筑掛籃前移調整錨固,箱梁的每個“T”結構都分為18段,每一個梁段都采用這一步驟,全部澆筑完成之后將掛籃拆除,最后合龍。
3.2橋梁施工階段風險識別過程
3.2.1事故總結
為了能夠更好地識別施工階段的各種風險,本文針對連續(xù)梁橋懸臂澆筑施工的特點,搜集了許多連續(xù)梁橋施工有關的橋梁事故,共匯總了14個風險事件,其中包括鋼筋工程質量事故、預應力錨具破碎夾片錨彈出、墩梁臨時固結失效、施工支架失效、合龍段高差不合格、掛籃澆筑時坍塌事故、掛籃拆除時事故、通航船舶撞擊橋墩事故、立柱模板傾倒、施工現(xiàn)場觸電事故、施工現(xiàn)場機械傷害事故、施工人員高處墜落事故、風引起的事故、施工對周邊居民安全影響,匯總完成之后對事故的原因及發(fā)展的規(guī)律進行了詳細分析,統(tǒng)計了事故的損失,為后期的風險識別及評估提供了豐富的資料。
3.2.2結構分析
通過結構分析,相關工作人員能夠詳細了解橋梁結構的受力狀態(tài),然后才能夠針對結構設計中存在的一些問題提出針對性解決措施。本次風險識別及評估過程中相關工作人員對大橋施工過程進行有限元結構分析,詳細了解了施工過程中的結構受力情況,為后期的風險識別工作奠定了良好的基礎。
3.2.3現(xiàn)場調研
現(xiàn)場調研的主要內容包括施工地的自然氣候、地質地貌、水環(huán)境、施工現(xiàn)場的管理情況、技術條件等等,經過分析調查顯示,該橋梁所在區(qū)域屬于亞熱帶季風濕潤氣候,春季氣候溫暖、多雨,夏季干熱,秋冬季節(jié)比較寒冷,年平均氣溫為17.7℃,歷年最高氣溫為40℃,最低氣溫為-6.8℃,6~8月份降水較多,年平均降水量為1170mm,夏季暴雨比較集中,很容易出現(xiàn)洪澇災害。橋梁所在地屬于構造侵蝕丘陵地貌,整個河谷呈現(xiàn)“V”字形,地表水系發(fā)育,河道內水流量較大,且長期流水,最深可以達到31m,橋位區(qū)設計洪水位為210.37m,通航水位為205m,施工水位為188m,沒有發(fā)現(xiàn)斷層、巖溶等不良地質現(xiàn)象。本次施工過程中整個施工組織設計比較合理,涉及的施工機械裝備十分齊全,施工單位在橋梁施工方面擁有非常豐富的經驗,施工技術條件良好,施工現(xiàn)場管理也符合相關工程標準,沒有出現(xiàn)管理混亂等問題。實地調研之后發(fā)現(xiàn)本次施工可能存在著施工現(xiàn)場人員淹溺事故、暴雨引起的事故、連續(xù)陰雨引起的事故、雷暴引起的事故、大霧引起的事故、高溫引起的事故、橋梁施工對通行船舶安全的影響、施工對環(huán)境的影響、洪水引起的事故等風險事件。
3.2.4專家調查
本次風險識別評估邀請9位橋梁設計、施工、科研、管理方面的專家,結合大橋的勘察、設計、施工組織等等資料,共總結出18個風險事件,比如縱向預應力管道堵塞、預應力筋張拉伸長量偏差過大、錨固端混凝土開裂、混凝土澆筑時模板偏移、沿縱向預應力管道裂縫、懸臂澆筑時主梁標高異常波動、箱梁頂板澆筑質量不合格、鉆孔樁塌孔、鉆孔樁鋼筋籠偏斜等等。
3.3施工風險綜合評估
所有的施工風險識別完成之后,采用分層分級評判方法對各個施工階段可能存在的風險事件進行識別,最終得出各風險源,以懸臂梁澆筑施工為例,該階段的施工風險事件共有23項。使用LEC方法對風險事件評判,其中L指的是事故發(fā)生的可能性,E指的是人員暴露在危險環(huán)境中的頻繁程度,C指的是安全事故發(fā)生后可能引起的后果,風險分值以D表示,D值大小與風險高低呈正相關。二級評判顯示,D值小于70,表示風險可以接受,D值大于70,進入三級評判。三級評判中使用風險矩陣法對風險事件進行動態(tài)估測,評判結果顯示掛籃澆筑時坍塌事故為極高風險事件,具體施工中必須嚴格控制,施工人員高處墜落事故為高度風險事件,施工過程中要合理控制。
4結語
橋梁施工過程中可能會存在各種風險事件,為了確保現(xiàn)場施工人員的安全,保證橋梁質量,相關人員必須要加強風險識別及評估。本文結合工程實例就橋梁施工階段風險識別及評估過程進行了簡單介紹,僅為類似工程風險識別評估工作提供參考。
作者:崔文軒 單位:邢臺市路橋建設總公司
參考文獻:
[1]袁鵬飛.橋梁施工風險評估方法研究[J].科學與財富,2016,8(5):189-190.
[2]李金剛,孫新亮.橋梁工程施工階段的風險識別與評估研究[J].建筑工程技術與設計,2015(12).
[3]吳永鋒.淺析橋梁工程施工階段的安全風險識別與評估[J].城市建設理論研究(電子版):2015(6).
[4]霍東發(fā).公路橋梁工程安全風險識別的綜合法研究[J].城市建設理論研究(電子版):2014(13).
篇7
一、概述:中國太平洋保險公司風險評估相關狀況
太平洋保險公司建立了較為完善的風險管理組織架構,董事會是風險管理政策的最高決策機構,其下設的風險管理委員會負責幫助董事會對風險進行有效的管理和監(jiān)督;太平洋保險公司經營下設風險與合規(guī)工作委員會,協(xié)助經營層實施各項風險管理工作,公司指定一名副總裁分管風險管理工作;太平洋保險公司設立風險管理部,其他部門均設有風險評價工作聯(lián)絡人,協(xié)助所在部門開展風險自評,并協(xié)助風險管理部門開展有效的風險管理。公司指定了《風險管理政策》及其配套的市場風險、信用風險、保險風險、操作風險管理規(guī)范,開展了風險量化評估工具的研究探索工作,并初步建立了內部風險評估模型,設立風險監(jiān)控指標進行風險評估等,對整體風險和重點風險盡享了風險評估和風險預警。
2011――2012年度,太平洋保險公司進一步加強了對償付能力風險、資產負債管理風險、內控不到位風險以及境外風險傳遞等重點風險的監(jiān)控:不斷優(yōu)化風險信息管理平臺,并升級優(yōu)化了風險自查系統(tǒng)功能,提高了風險評估的有效性和科學性。
二、流程圖法進行風險識別的主要成果
太平洋保險公司的業(yè)務流程主要可以分為兩個主要階段:承保和理賠。下面就將從這兩部分對太平洋公司壽險業(yè)務的風險進行識別。
在圖1、圖2的基礎上,結合相關知識和職業(yè)判斷對每一個業(yè)務流程中的潛在風險進行了識別,初步識別出以下主要風險,形成了太平洋保險公司風險識別表。
1.經營決策風險指在公司經營過程中由于決策失誤所造成的風險。如拓展保險業(yè)務的三種業(yè)務途徑的調整、核保權限的分配、重大標的的承保和理賠的處理等等。對于這些決策,由于評審程序不規(guī)范、相應調查的缺失、決策過程的不公開、問責制度的缺乏等等都會導致其經營發(fā)展戰(zhàn)略實現(xiàn)的不確定性。
2.業(yè)務風險指保險公司在其業(yè)務管理中,由于缺乏風險管理和內部控制意識造成行為不合理、不規(guī)范或造成舞弊行為而導致的風險。主要包括:銷售風險、核保風險、單證管理風險等。
3.預算管理風險指由于預算管理制度不健全、編制的預算方案與太平洋保險公司戰(zhàn)略和預算目標不符,預算編制與實際脫節(jié),預算方案未得到嚴格執(zhí)行,預算考核制度不合理等原因,導致全面預算管理戰(zhàn)略實現(xiàn)的不確定性
4.會計核算風險指會計人員在從事會計核算工作時所面臨的風險。會計人員在對資金入賬的及時性、準確性上的缺失及在核對發(fā)票和業(yè)務系統(tǒng)的記錄,核對銀行回單及業(yè)務系統(tǒng)的資金到賬記錄上的失誤都將導致會計核算中的風險
5.資產管理風險指由于資產管理制度不健全、資產管理報批程序未得到嚴格執(zhí)行。資產的確認、購置、使用、維護、處置不當、資產會計處理和相關信息不合法、不真實、不完整等原因,導致資產使用效率低下、資產損失、資產賬實不符。
6.法律風險指因為自身行為超越法律規(guī)范或者監(jiān)管部分規(guī)定所形成的風險。一方面,保險人的經營可能擾亂了公平競爭的市場環(huán)境,損害了被保險人的合法權益,違反了相關法律法規(guī);另一方面,其提供的財務報告及數據不是真實合法的,這些都可能導致法律風險。
7.承保風險 在承保過程中,由于風險意識的缺乏,重業(yè)務發(fā)展輕業(yè)務質量,重規(guī)模輕效益的行為的存在,核保制度的不健全等等都可能使保險公司的經驗風險大大提高。
三、分析
(1)樹立風險識別的理念,加強風險評估。加強風險的識別和有效控制才能推動保險業(yè)的可持續(xù)發(fā)展,在構建保險公司的風險管理體系過程中,相關部門應圍繞風險這個核心,建立識別、評估、處理和監(jiān)控四個層次的風險監(jiān)管系統(tǒng),通過對各種信息進行定量和定性分析,準確、及時、系統(tǒng)地檢測保險公司的風險狀況。針對不同風險等級,實施不同層次的經營行為。
(2)建立風險管理框架,以更好地保證風險識別。一個良好的風險管理框架可以使保險公司的目標確定、風險事件識別、風險評估、風險處理、控制活動、信息與工頭和風險監(jiān)控成為一個體系,并最終幫助公司實現(xiàn)其戰(zhàn)略目標和使命。借鑒其思路,應首先做好的工作是建立良好的風險管理組織架構。而正如上文的概述中提到的,太平洋保險公司在這一點上做出了一定成果,接下來只需繼續(xù)完善,在組織架構、職責和分工更加明確的情況下,各盡其職,同時保持良好的溝通和協(xié)調,以促進風險識別的效率的提高。
(3)采取適當方法進行風險識別。即采用定性和定量的方法或設立風險評估模型的方式,對風險發(fā)生的概率,重要性和可能性進行分析、排序和分類,對重要風險予以密切關注。并且這是一個連續(xù)不斷的過程,許多復雜的和潛在的風險要經過多次識別才能獲得較為準確的答案。
(4)風險識別參與面“明確”,風險識別過程“細致”,風險識別內容“務實”。雖然不可能識別出企業(yè)面臨的所有風險,但也要抓住重點,使風險識別能覆蓋重大風險域。對于太平洋保險公司來說,從保險業(yè)務,投資業(yè)務到財務再到信息技術的管理都需要進行風險識別。再深入探究,產品開發(fā),核保理賠,再保險管理,客戶服務,投訴咨詢管理等等細致的方面無一不需要企業(yè)提高自身的風險識別能力。
篇8
中圖分類號:TP311 文獻標識碼:A 文章編號:1007-9599 (2011) 22-0000-01
Research and Design of Power Information Network Risk Assessment Auxiliary System
Yang Dawei1,2,Liu Yu2
(1.School of Control and Computer Engineering North China Electric Power University,Baoding 071003,China;2.Panjin Power Supply Company,Panjin 124000,China)
Abstract:This paper designed a multi-expert assessment system,which runs in strict accordance with the"Guide"to assess the risk assessment process,making assessment results more comprehensive and objective.
Keywords:Information Security;Risk Assessment;Risk Analysis
一、前言
電力系統(tǒng)越來越依賴電力信息網絡來保障其安全、可靠、高效的運行,該數據信息網絡出現(xiàn)的任何信息安全方面的問題都可能波及電力系統(tǒng)的安全、穩(wěn)定、經濟運行,因此電力信息網絡的安全保障工作刻不容緩[1,2]。風險評估具體的評估方法從早期簡單的純技術操作,逐漸過渡到目前普遍采用BS7799、OCTAVE、ISO13335、NIST SP800-30等相關標準的方法,充分體現(xiàn)以資產為出發(fā)點,以威脅為觸發(fā),以技術、管理、運行等方面存在的脆弱性為誘因的信息安全風險評估綜合方法及操作模型[3]。
二、信息安全風險評估
在我國,風險評估工作已經完成了調查研究階段、標準草案編制階段和全國試點工作階段,國信辦制定的標準草案《信息安全風險評估指南》[4](簡稱《指南》)得到了較好地實踐。本文設計的工具是基于《指南》的,涉及內容包括:
(一)風險要素關系。圍繞著資產、威脅、脆弱性和安全措施這些基本要素展開,在對基本要素的評估過程中,需要充分考慮業(yè)務戰(zhàn)略、資產價值、安全需求、安全事件、殘余風險等與基本要素相關的各類屬性。
(二)風險分析原理。資產的屬性是資產價值;威脅的屬性可以是威脅主體、影響對象、出現(xiàn)頻率、動機等;脆弱性的屬性是資產弱點的嚴重程度。
(三)風險評估流程。包括風險評估準備、資產識別、威脅識別、脆弱性識別、已有安全措施確認、風險分析、風險消減[5]。
三、電力信息網風險評估輔助系統(tǒng)設計與實現(xiàn)
本文設計的信息安全風險評估輔助系統(tǒng)是基于《指南》的標準,設計階段參考了Nipc-RiskAssessTool-V2.0,Microsoft Security Risk Self-Assessment Tool等風險評估工具。系統(tǒng)采用C/S結構,是一個多專家共同評估的風險評估工具。分為知識庫管理端、信息庫管理端、系統(tǒng)評估端、評估管理端。其中前兩個工具用于更新知識庫和信息庫。后兩個工具是風險評估的主體。下面對系統(tǒng)各部分的功能模塊進行詳細介紹:
(一)評估管理端。評估管理端控制風險評估的進度,綜合管理系統(tǒng)評估端的評估結果。具體表現(xiàn)在:開啟評估任務;分配風險評估專家;對準備階段、資產識別階段、威脅識別階段、脆弱性識別階段、已有控制措施識別階段、風險分析階段、選擇控制措施階段這七個階段多個專家的評估進行確認,對多個專家的評估數據進行綜合,得到綜合評估結果。
(二)系統(tǒng)評估端。系統(tǒng)評估端由多個專家操作,同時開展評估。系統(tǒng)評估端要經歷如下階段:a.準備階段:評估系統(tǒng)中CIA的相對重要性;b.資產識別階段;c.威脅識別階段;d.脆弱性識別階段;e.已有控制措施識別階段;f.風險分析階段;g.控制措施選擇階段。在完成了風險評估的所有階段之后,和評估管理端一樣,可以瀏覽、導出、打印評估的結果―風險評估報表系列。
(三)信息庫管理端。信息庫管理端由資產管理,威脅管理,脆弱點管理,控制措施管理四部分組成。具體功能是:對資產大類、小類進行管理;對威脅列表進行管理;對脆弱點大類、列表進行管理;對控制措施列表進行管理。
(四)知識庫管理端。知識庫的管理分為系統(tǒng)CIA問卷管理,脆弱點問卷管理,威脅問卷管理,資產屬性問卷管理,控制措施問卷管理,控制措施損益問卷管理六部分。
四、總結
信息安全風險評估是一個新興的領域,本文在介紹了信息安全風險評估研究意義的基礎之上,詳細闡述了信息安全風險評估輔助工具的結構設計和系統(tǒng)主要部分的功能描述。測試結果表明系統(tǒng)能對已有的控制措施進行識別,分析出已有控制措施的實施效果,為風險處理計劃提供依據。
參考文獻:
[1]Huisheng Gao,Yiqun Sun,Research on Indices System of Security Risk Evaluation for Electric Power.Optical Fiber Communication Network,IEEE,2007.
[2]Masami Hasegawa,Toshiki Ogawa,Security Measures for the Manufacture and Control System,SICE Annual Conference 2007.
篇9
1.引言
貴州屬于典型的喀斯特地區(qū),喀斯特地貌出露面積占全省面積的61.9%。近年來,隨著貴州經濟的快速增長,交通運輸業(yè)的發(fā)展,帶動了各個地區(qū)的公路建設。根據《建設項目環(huán)境影響技術評估導則》(HJ616—2011)(以下稱導則)的要求,在對建設項目進行環(huán)境影響評價時,需評估項目建設存在的環(huán)境風險制約因素進行,從環(huán)境敏感性角度評估建設環(huán)境風險可接受性;評估環(huán)境風險防范措施和污染事故處理應急方案的可靠性和合理性等1。在喀斯特地區(qū)進行基礎設施建設是比較艱巨的,在建設過程中,如何減小各種風險,并采取行之有效的措施避免風險的產生及應對各種風險后果,如何建立科學有效的風險評價體系是十分關鍵的。
本研究的風險評價即為導則中要求的環(huán)境風險的評估,首先需要對環(huán)境風險的制約因素即風險因子進行識別。分析高速公路建設項目的可行性研究報告等相關資料、及項目建設所涉及的區(qū)域的背景情況等,根據環(huán)境效應強度及其發(fā)生背景對建設工程施工期及營運期中可能產生的不確定的因素進行識別,進而加以分析,判斷、歸類、鑒定,并對其進行管理,從而減輕或降低風險帶來的危害。即根據風險識別過程(數據、資料、信息的獲取——資料及數據的分析及風險因子的識別——風險因子的鑒定、歸類——風險管理[1]可分為施工期、營運期兩個時期進行,并選用一定的項目風險評價方法進行風險評價。
2.風險識別
風險識別即風險源、特性、影響范圍等的識別。貴州喀斯特地區(qū)廣布的溶洞及落水洞、山地多、山谷切割深等特點加大了高速公路建設的難度。施工期的風險識別主要分為路基工程、橋梁工程及隧道工程等三個工程中的風險;營運期主要分為自然災害、運輸危險化學品的風險。
2.1施工期風險因子
2.1.1路基工程
(1)軟土路基工程
喀斯特地區(qū)的巖層主要為白云巖、石灰?guī)r等,在洼地地區(qū),流水沖擊物在此處沉積,沉積物極其脆弱,強度較低,易發(fā)生垮塌、沉降等風險。因此識別項目實施地段的軟土路基可能發(fā)生的風險主要包括路基土質狀況、材料運輸的可達性等。同時項目實施應盡量避開雨季,雨季容易造成水土流失,并修建排水溝、合理堆放料材等,避免造成水土流失,繼而造成河道淤塞。
(2)邊坡工程
包括路基邊坡及道路開辟形成的邊坡。高速公路通過較小的山體時,沒有采取避讓及隧道工程措施,而是對山體進行爆破,開辟出道路。而開辟之后形成的山體邊坡地形高差較大、坡度較陡、巖土體的物質及結構基礎屬于易發(fā)生滑坡的巖土體都存在路基不穩(wěn),容易滑坡、塌方等安全隱患。
2.1.2橋梁工程
橋梁工程的風險相對高速公路其他工程較大。由于喀斯特地區(qū)河谷切割深,橋梁的跨度較大,長度較長,海拔較高,橋墩高度較高。且各種形式的橋梁存在的風險因素各異,但總的看來,橋梁工程施工期的風險可歸納為以下幾個方面:河流水文情勢對橋墩、橋樁基礎的穩(wěn)定性的影響;橋梁承重與該高速公路的設計流量的關系;以及橋梁結構、附屬設施施工采取的施工組織設計及施工方案產生的風險等。
2.1.3隧道工程
貴州是云貴高原向東部沿海地區(qū)的過渡地帶,山地較多,因此隧道工程是不可避免的。根據隧道所在位置可分為山嶺隧道、水下隧道和城市隧道三大類。喀斯特地區(qū)的隧道以山嶺隧道為主,山嶺隧道是為縮短距離和避免大坡道而從山嶺或丘陵下穿越的隧道。在喀斯特地區(qū)修建隧道具有復雜性及不可預見性。施工期的風險主要包括正洞施工及輔助坑道施工過程引起的坍塌、突泥、突水、瓦斯燃燒等風險以及由地質水文條件引起的風險等。
2.2運營期風險
2.2.1自然災害
自然災害風險表現(xiàn)為自然災害對高速公路的破壞。主要有地震、暴風雪、嚴寒酷暑、洪澇災害引起的滑坡、水土流失等。
2.2.2運輸風險
高速公路營運期的運輸風險主要是運輸環(huán)境的風險評價。如危險化學品在運輸過程中,由于管理、工作人員的失誤、車輛、包裝、設施、路況及環(huán)境等原因,危險化學物品發(fā)生爆炸、泄露等事故從而產生風險。
橋梁工程運輸風險除自然災害對橋梁的破壞導致的風險外,還包括人為破壞等對橋梁的安全運營影響,橋梁工程耐久性等。
隧道工程運輸風險包括隧道結構穩(wěn)定性、防水可靠性、耐久性等。
3.評估方法的選取
風險評估方法是在建立風險評估體系的基礎上,采取一定的評估方法對各個風險要素進行評估的方法。并與預期的風險目標進行比較,進而確定項目的風險嚴重程度,從而采取相應的風險管理措施控制風險發(fā)生的概率,減輕風險發(fā)生的后果。
風險評估的方法包括:專家評分法、模糊綜合評價法、決策樹法、網絡計劃技術、蒙特卡羅模擬、層次分析法等;以及將以上方法加以綜合的評價方法:如模糊層次分析法、灰色層次法、模糊效用風險評價法等[2]。其中層次分析法、專家評分法應用較廣,理論也較成熟。層次分析法是將定量分析與定性分析相結合,將所識別的風險因子進行分層,通過比較、計算得到不同方案的風險水平。專家評分法是通過對參與大量工程建設的專家進行問卷調查,根據專家的實際工作經驗對風險進行打分,從而得到風險的發(fā)生概率等。風險評價的目的是選取風險水平小的方案,但風險較大的方案往往盈利的機會較大[3],因此平衡好風險水平與經濟盈利之間的關系是比較關鍵的。
4.風險管理
風險管理主要是為了減小風險發(fā)生的概率及減小風險可能發(fā)生后的損失大小。減小風險發(fā)生的概率就需要增大投資,提高企業(yè)風險管理素質及風險控制水平,并對項目實施地段進行充分的調查,對設計方案進行反復的論證,采取各種方法措施對各個風險要素可能發(fā)生的情況進行控制,防微杜漸,從而降低風險等級,達到風險管理的目的。
5.結論
日前,隨著經濟社會的發(fā)展,城市化進程的加快,高速公路的建設如雨后春筍般迅速崛起。在公路風險評價中,分為,根據施工期及運營期的風險因素建立風險評價體系,能夠全面科學系統(tǒng)地指導實踐。同時還應對企業(yè)管理水平、素質等進行風險識別,充分考慮各方面的因素可能引起的風險。
參考文獻:
篇10
1. 公司目標
風險評估的前提是設立目標.設定目標是公司管理過程的重要組織部分,而非內部控制的要素,但它卻是內部控制得以實施的先決條件。建立起目標體系,就能把各種力量、各類資源統(tǒng)一協(xié)調,按照目標的要求發(fā)揮作用,促使壽險公司切實的凝結為一個整體。只有先確立目標,公司才能針對目標確定風險并采取必要的行動來管理風險。目標設定是壽險公司對風險進行識別、評估和制定相關風險對策的基礎。
2. 風險識別與評估
公司面臨的風險是指發(fā)生對公司目標的實現(xiàn)可能產生影響的不確定性,并可以通過一系列防范措施予以規(guī)避和減小的損失的可能性。風險的識別需要比較客觀的進行,而且為了避免忽略相關的風險事件,識別風險的過程最好與評估風險的過程區(qū)分開來。
相對于壽險公司的經營管理來說,風險因素既存在于公司內部,也產生于公司外部。對于壽險公司,有可能引起風險發(fā)生的內部因素是:
(1)管理層對實現(xiàn)公司目標的理念意識和緊迫感。
(2)員工的勝任能力,以及完成工作的恰當性和完整性。
(3)公司資產的規(guī)模、流動性或業(yè)務總量。
(4)公司的財務狀況。
(5)信息系統(tǒng)電算化的程度。
(6)公司經營活動的地理分布。
(7)內部控制系統(tǒng)的恰當性和有效性等。
外部風險是指外部環(huán)境中對公司目標的實現(xiàn)產生影響的不確定性事件,有可能引起風險發(fā)生的外部因素是:
(1)國家法律、法規(guī)及政策的變化:如新的法律和法規(guī)可能要求經營政策和策略的改變。
(2)經濟環(huán)境的變化:經濟形勢的變化可能對有關融資、資本支出和擴張的決策產生影響。
(3)科技的快速發(fā)展:技術發(fā)展會影響研發(fā)的性質和時機,或帶來采購的變化。
(4)行業(yè)競爭及市場變化:競爭和不斷變化的客戶需求會改變公司營銷、產品開發(fā)、業(yè)務流程和客戶服務等活動。
(5)自然災害:自然災害可能導致經營或信息系統(tǒng)的改變以及強調對或有損失制定應急計劃的需要。
識別公司層面和操作層面風險后,公司需要進行風險評估。進行風險評估,必須保證風險評估人員具備相應知識和業(yè)務能力,并已經對公司的各項政策和程序有了比較深入的了解。在此基礎上,風險評估才可以順利進行。總體來說,風險評估的方法有兩種,一是定量方法評估,二是定性方法評估。
風險評估是全面、準確、及時地了解和把握壽險公司風險的內控基本要素,是識別及分析那些可能影響企業(yè)達到企業(yè)目標或事件的手段,是決定如何構建有效內控體系的基礎。目前,我國壽險公司在風險評估意識、方法、技術等方面還比較落后。主要表現(xiàn)為:一是風險評估的方法技術落后,人才缺乏。由于管理層長期以來不重視風險管理和高技術人才的缺乏,我國壽險公司的風險評估主要依靠定性的、人為控制的直接管理方法,如委托理財審查等方式,而未使用定性和定量相結合的客觀的科學方法。這導致了風險管理的專業(yè)化程度和效率較低。
3. 風險處理
在評估了風險的重要性和發(fā)生概率之后,管理層需要考慮如何管理風險。這涉及基于對風險假設的判斷,以及對降低風險水平所需成本的合理分析。降低重大的或可能發(fā)生的風險的措施包括管理層每日做出的無數決策,從確定其他供貨源或擴大產品線到獲取更具相關性的經營報告或改進培訓計劃等。合理恰當的措施會實實在在消除風險或抵銷其影響。根據風險評估結果做出的風險應對措施主要包括以下幾個方面:風險回避、風險控制、風險承擔、風險轉移。評價風險應對措施的適當性和有效性時,應當考慮以下因素:采取風險應對措施之后的剩余風險水平是否在組織可以接受的范圍之內、采取的風險應對措施是否適合本組織的經營、管理特點、成本效益的考慮。
目前,我國壽險公司普遍存在對風險管理的模糊認識、困惑甚至誤解,進而出現(xiàn)風險管理導向錯誤的現(xiàn)象。因此,一是要要強化經營風險既有損失的可能,也有盈利的可能的認識,注重風險和收益的平衡關系;二是建立廣泛適應的風險決策標準;三是針對各種風險確定風險應對措施的程序和方法。對降低風險水平所需成本進行合理分析,充分考慮現(xiàn)有程序對于控制已識別風險是否合適,以及完善流程以應對不斷變化中的風險等。
4. 風險監(jiān)控
制定了風險處理計劃后,并非一勞永逸,在公司的運行過程中風險還可能會增大或者衰退。因此,在公司的經營管理過程中,需要時刻監(jiān)督風險的發(fā)展與變化情況,并確定隨著某些風險的消失而帶來的新的風險。風險監(jiān)控就是要跟蹤識別的風險,識別剩余風險和新出現(xiàn)的風險,修改風險管理計劃,保證風險計劃的實施,并評估消減風險的效果。風險監(jiān)控是與控制活動密切結合在一起的,要使公司的風險監(jiān)控發(fā)揮積極作用,就必須在控制活動的各個環(huán)節(jié)確立不同的控制方式:預防性監(jiān)控、檢查性監(jiān)控、糾正性監(jiān)控、指導性監(jiān)控。除了以上一般的風險監(jiān)控形式外,還有針對某個環(huán)節(jié)不足或者缺陷而采取的補償性監(jiān)控,為加強計算機管理而實施的計算機監(jiān)控等等。這些風險監(jiān)控形式,合理保證了公司風險監(jiān)控的效率和效果,有助于公司管理風險。
