时间:2023-06-08 10:57:04
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇风险评估方法论,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:BOT项目;业主风险;风险评估;风险控制
中图分类号:U412文献标识码: A
1.1 BOT项目风险评估的目的及方法
项目风险识别是项目风险管理中的第一步,是基础和重要组成部分。其任务是确定何种风险事件可能影响项目目标,并将这些风险的特性整理成文档。
风险评估就是在风险识别的基础上,分析和评价损失对项目的既定目标的影响程度,通过对由风险识别获得的资料和数据的处理,得到风险后果发生的概率、严重程度和大小,为选择应对措施,进行正确的风险管理决策提供依据。
风险评估的目的是:对项目中各种各样的风险分析、比较,找出主要风险和次要风险;挖掘项目风险间的内在联系;进行项目风险的量化研究,进一步量化已识别的风险发生概率和后果,减少风险发生概率和后果估计中的不确定性,为风险应对提供管理策略。
风险评估是为了确定风险的存在对项目本身造成的影响和后果,风险评估方法一般可以分为定性、定量、定性与定量相结合的三类,而有效的项目风险评估方法一般采用定性与定量相结合的系统方法。常用的项目风险评估方法有:层次分析法、决策树法、主观评分法、模糊风险综合评估法等。
在高速公路BOT项目运营中,可能遭遇的风险带有很大的模糊性,本文结合风险的这一特性,采用模糊数学中的模糊综合评判方法对高速公路BOT项目运营中业主风险进行量化分析评估。
1.2 BOT高速公路项目运营中业主风险评估指标体系
1.2.1 BOT高速公路项目运营中的业主风险因素
通过对高速公路BOT项目运营中业主的风险进行分析,作为业主高速公路BOT项目运营中的风险与其他阶段存在同样多的风险,通过一系列的资料收集和分析,依据广泛性、代表性、准确性相结合的原则,把高速公路BOT项目运营中存在的各种风险因素归纳如下表:
1.1 BOT高速公路项目运营中业主常见风险
环境风险
气候自然灾害风险
政策风险
法律风险
金融风险
外汇风险
利率风险
通货膨胀风险
市场风险
价格风险
交通量转移风险
管理维护风险
管理风险
维护风险
1.2 业主风险模糊综合评估模型的建立
在基于各参与方的高速公路BOT项目运营中业主风险评价指标体系中,由于各指标的影响因素各不相同,除少数可以通过统计方法获得,大量的指标则只能采用专家评分法。对于这样的评价问题,运用模糊数学的方法,即模糊综合评估法(Fuzzy Comprehensive Evaluation,简称FCE)可以得到较好的解决[1]。
模糊评估方法[2]是把模糊数学应用到判别事物和系统优劣领域的新方法,根据给出的评估标准和实测值,经过模糊变换后对事物或系统作出综合评价。
模糊评估方法的特点主要表现在:
(1)模糊评估方法可以不直接依赖于某一项指标,也不过分地依赖于绝对指标,而是采取比较的方法,这样可以避免一般数学评价方法中,由于标准选用不尽合理而导致的评价结果的偏差。
(2)评估指标的重要程度通过权数加以体现,但允许在权数选择上有一定的出入,而不至于改变最终的评估结果。另外,在技术处理上,有效地避免了累积误差的影响。
(3)模糊评估中算子的选择和隶属函数关系的确立,使各项参与评价的非量化指标间建立了有机联系,使评估结果能够更好地反映评估对象的整体特征和一般趋势[12]。
由于高速公路BOT项目运营中业主风险因素多,仅采用单级模糊综合评判,当因素众多时权重难以恰当分配,因素的层次也难以考虑,故本文采用二级模糊综合评判数学模型。
为了能够准确、有效、综合地评估高速公路BOT项目运营中业主风险,使评估结果能够为各项目参与方提供谈判、决策参考,根据本文对高速公路BOT项目运营中业主风险评估指标的划分,用模糊数学综合评判法对高速公路BOT项目运营中业主风险进行评估的内容步骤如下:
① 确定影响因素及其层次,建立评估因素集
本文将高速公路BOT项目运营中业主风险作为因素集,按其属性将风险分成4类,分别是环境、金融、市场和管理维护风险,记为U={U1,U2,U3 ,U4}。Ui中又含有n个子因素,记为Ui={Ui1,Ui2, …,Uin},(i=1,2, 3,4) 如图4-1所示
② 建立评估集
评估集是对评判对象可能作出的各种评估结果组成的集合,不论因素层次有多少,
评估集只有一个。这个评估集适用于全部BOT风险因素。通过评估集给定评价的基准,表示为
V={V1,V2,…,Vp}(4-1)
其中VK(K=1,2,…,P)为总评判的第K个可能的结果。
选择因素集和评估集的原则是:既要全面又要抓住主要矛盾。这样既可以更好的模拟人们的思维,又可以避免一些不必要的麻烦。
按照评估集的原则,把BOT的业主风险程度划分为5个等级:低风险V1;较低风险V2; 一般风险V3; 较高风险V4; 高风险V5 。
③ 建立评估因素的权重集,并修正指标的权重
在我国目前,采用BOT法对于风险评估中,应用专家评估居多,但若直接请专家给出各项指标的权值,结果可能受专家们的主观因素影响太大,从而影响科学性。权重是因素重要程度的定量表示,其合理性直接影响到评价结果的准确性,为了弱化主观因素的影响,本文采用层次分析法(AHP)确定专家给定的指标权重值。
层次分析法[3](Analytic Hierarchy Process,简称AHP)是美国运筹学家萨蒂(T.L.Saaty)于20世纪80年代提出的,是一种定性与定量分析相结合的多目标决策分析方法。它可以将无法量化的风险按照大小排出顺序,把它们彼此区别开来。其步骤为:构建递阶层次结构;按表4.2根据知识、经验和判断,从第一个准则层开始向下,逐步确定各层诸因素相对于上一层各因素的重要性权数,建立的两两比较矩阵:以表4.3所示为准,检验矩阵的一致性。
表2.1利用层次分析法进行业主风险比较的1-9级标度描述
标度 定义
1 i因素与j因素同样重要
3 i因素比j因素略重要
5 i因素比j因素较重要
7 i因素比j因素非常重要
9 i因素比j因素绝对重要
2、4、6、8 上述两判断级的中间值
倒数 若i因素与j因素比较,得到判断值为aji=1/aij, aii=1
表2.2一致性指标
N 1 2 3 4 5 6 7 8 9
RI 0.00 0.00 0.58 0.96 1.12 1.24 1.32 1.41 1.45
根据每1层次中各个影响因素的重要程度,分别赋予相应的权数。
第1层次评估指标的权重集W={W1,W2,W3,W4},且满足:
(4-2)
第2层次评估指标的权重集:Wi中n个子因素,记为A={ai1,ai2,…ain},{i=1,2,3,4},且满足:
(4-3)
为了使专家意见的筛选更为科学,从而使指权重确定的更为合理,对多个专家所分配的权重进行聚类分析与权重修订,过程如下:
用层次分析法处理得出来的权重矩阵如下,其中Wij指第i位专家对第j个指标判断后经层次分析法处理后得到的权重和重要程度.m表示专家的人数,n表示指标的个数.
W= (4-4)
为了判断矩阵中各专家所得权重的离散程度,故需计算各权重间的相似系数并由此组成相似系数矩阵。相似系数Rij和相似矩阵R如下:
(4-5)
(4-6)
其中Rij指专家i与专家j权重结果的相似程度:由式(4-4)可知,Rij越小,则相似程度越小。n表示指标权重的维数,亦即所评价指数的个数。m表示专家意见的总数,即参加权重评估的专家总人数;显然,Rij=1,Rij=Rji 。
在剔除离异点集中离异程度大的权重时,本文根据聚类分析的原理采用了一种简化的方法,它与现有的方法具有相同的精度,但计算简单、原理直观,更适合在实践领域内应用:
(4-7)
(4-8)
其中,Pi表示相似系数矩阵中每一行之和,它表示第i个专家判断所得出的权重意见与其他专家群体评估所得权重意见的偏离程度,相似系数之和越小,则此专家意见距离其他专家意见越“远”,偏离程度越大。P表示相似系数对行求和形成的一列。
通常来说,聚类分析所要解决的问题是把很多的元素按照相似原则划分为若干小集合,目的在于分类而不是淘汰某个集合[4]。本文的聚类分析则侧重于找出偏离专家群体综合意见程度最大的“离异”专家意见。
最后用偏离程度的量化指标来衡量各个专家意见,通过公式(4-8)确定偏离程度。也就是说,当Di大于某一阀值时,这个意见应该被排除掉。
%(4-9)
式中:Di―第i个专家的相似系数与最大相似系数的偏离程度。
Pmax―相似系数矩阵中的最大值。
在BOT项目风险评估的实践中,淘汰的专家太多,就失去了群体决策评估的作用。淘汰专家太少,则又使个别与群体评估权重偏离程度大的专家意见影响评价结果。根据经验,应用聚类分析淘汰专家的比例应在20%-30%为好[5]。
④ 确立隶属关系,获得模糊评判矩阵。
请专家或相关管理人员组成的风险评估小组,根据给定的评价基准对项目风险进行评价。这种评价是一种模糊映射,即使对同一个风险的评定,由于不同评价人员可以作出不同的评定,所以评价结果只能用对第i个因素做出第j评价尺度的可能程度的大小来表示。这种可能程度称为隶属度[6],记作rij。
由此得到模糊评估矩阵
(4-10)
Rij―对因素Ui中第i个评价子因素作出第j级评价Vp的隶属度,j=1,2,…,n;
P=1,2,…,m 。
⑤ 模糊综合评估
根据模糊评估矩阵,模糊综合评判集为:
(4-11)
B为U中所有因素的综合评判结果,它表示评判对象按所有因素评判时,对评判集中第K级的隶属度。再由最大隶属度原则或加权平均法定出最终结论。
⑥确定评估等级。按照已经制定的评估尺度,进行计算,这种评定是一种模糊映射。
将评估等级取成列矩阵V,风险评估结果最后数值结果为:
S=B×V (4-12)
参考文献
[1]傅鸿源. BOT项目风险评价方法的研究[J]. 系统工程理论与实践, 1995, (10): 55-58
[2]宋冬梅. 基于模糊理论的BOT项目风险评价[J]. 建筑管理现代化, 2005, (4): 54-56
Abstract: Mudslides risk assessment and warning research is the main research direction and frontier exploratory topic in disaster area at home and abroad. This paper made a brief review on mudslides risk assessment and warning research in recent decades, discussed some existing problems and the development trend at present in this field.
关键词: 风险;定性评价;定量评价;滑坡泥石流;小区域尺度
Key words: risk;qualitative evaluation;the quantitative evaluation;landslide debris flow;small regional scale
中图分类号:P694文献标识码:A文章编号:1006-4311(2010)20-0247-01
1风险性评估回顾
滑坡泥石流灾害在自然灾害中,是最重要灾害类型之一,具有分布地区广、发生频率高、运动速度快、灾害损失严重等特点。国外普遍重视城市滑坡泥石流灾害的评估研究,俄国、日本和美国等国的相关专家、学者、科研院所以及政府机构等均对滑坡、泥石流等地质灾害的风险评估、预测预报等进行了较为系统的研究。涉及各单项评估评价研究文献较多,主要集中于滑坡泥石流灾害的风险分析与制图。自二十世纪八十年代以来,几乎所有受滑坡泥石流影响严重的国家、地区的城市都开展了综合性地质灾害损失预防和管理,其共同特点是选择示范试验区或流域进行风险性评估,这种非工程性措施的减灾效果已普遍得到认可。
自1994年以来,对自然灾害承灾体易损性研究日益引起国际上的普遍关注,城市综合减灾研究成为跨世纪中国最值得关注的保障技术之一。二十世纪九十年代以来,GIS技术与地质灾害空间预测数学模型方法的结合成为地质灾害研究的热点领域。GIS 技术使泥石流风险评价的空间数据集成化更简便、分析速度更快、精度更高,促进了该领域快速发展,相关研究大量涌现,具有代表性的是意大利学者A. Carrara 系统总结了近年来滑坡(含泥石流) 风险制图的技术方法和存在的问题。目前泥石流风险评价工作关键在于GIS 专家、统计专家和地学工作者共同对相关空间数据获取、处理和分析,开发可靠性强的评价模型。我国开展泥石流风险评价研究起步较晚,例如刘希林讨论了泥石流风险区划的易损度计算方法。
滑坡泥石流经济损失评估日益引起各国政府部门和学术界的广泛关注。伦敦大学皇家学院地理系A.Hansen(1984)教授完成的滑坡危险性分析,成为滑坡泥石流风险评价的重要成果。近几年,许多学者对自然和经济易损性作了深入的研究并对多种灾害的易损性建立了分析体系和评价方法或模型,并将它们用于指导高风险地区的防灾救灾。
2预警研究发展
二十世纪七十年代,前苏联学者弗莱施曼[1]提出泥石流空间预报、时间预报和规模预报的概念,开展了天气气象学方法的泥石流发生预报的试验,编制出泥石流工程预测图等,并于1980年出版专著《泥石流形成规律和预报》。与此同时,日本[2]也于1981年出版《滑坡、崩塌、泥石流预测与对策》专著。
中国在二十世纪八十年代开展了区域泥石流的预测预报方法研究,很多学者和研究机构,基于不同的学科背景和不同的研究视角以及不同的问题领域,对中国的滑坡、泥石流等地质灾害调查评价与监测预警进行了探讨与实践,系统地总结了滑坡泥石流预测预报的基本理论与方法,阐述了新思维,积累了经验。在地质灾害中,滑坡、泥石流特别是降雨型滑坡、泥石流的风险评估及其预测预报,在地质灾害频发的后发达的山区省份中尤其具有特殊意义。针对后发达省区的滑坡、泥石流等地质灾害的风险评估及预警研究,已有学者开展了定性或半定量的研究,他们的研究工作和初步成果成为我们从事此项研究的重要基础。例如谭万沛(1994)出版专著《暴雨泥石流滑坡的区域预测与预报》,唐川(1995)出版《云南省滑坡泥石流重点区域预测预报与评价方法研究》。
此外,近十几年来,“3S”技术应用于滑坡泥石流预报测预等方面的研究成果也很多,如Hergarten et al. (1998),Nagra jan, R. et al.(1998),Aldo Clerici et al.(2000),Mandy LinebackGritzner et al. (2001)等。
3讨论
3.1 由于滑坡泥石流灾害损失评估问题的复杂性和评估对象的多样性,特别是涉及山区城市的特殊性,因此有很必要进一步探讨适合山区城市滑坡泥石流灾害特点的损失评估方法,并在实际应用中不断完善,逐步提高其评估水平和实用性,使这项工作更加规范化、科学化。
3.2 我国学者的研究主要集中在国家和大区一级尺度,对各地区的灾害防控具有一定的宏观指导意义。具体到小尺度区域时,由于地质和环境条件的复杂多样、社会经济的差异以及居民生产生活方式的不同等,造成理论成果与实践的脱节,理论服务实践的初衷无法实现,严重制约特定区域的灾害防治和社会经济的和谐可持续发展。针对小尺度区域的滑坡、泥石流等地质灾害的风险评估与预警研究亟待开拓和系统研究。
3.3 可借鉴钱学森院士创立的“从定性到定量的综合集成法”为方法论工具,关注安全、生态、经济、可持续的风险评价、管理与预警系统研发。在地理信息系统平台上,综合使用系统动力学等各个学科的基本研究方法,进行时间和空间对偶分析,更能准确把握问题的实质,找到问题的根源,从而进行跨多学科和多领域的系统分析和情景分析,提出更具针对性的对策建议。
3.4 滑坡泥石流易损性表示“潜在最大损失”,是时间和空间的复合函数,随时间变化和区域的不同而不同,因此易损性评价应该进一步强调易损性增长率的分析。对于处于经济欠发达阶段以及地质环境条件复杂的区域, 由于城镇人口和经济规模急剧上升,城镇范围不断扩大,地质灾害频发,易损度随着财产和人口的增加而快速增大。因此,滑坡泥石流潜在最大损失中,人员损失的比重很大,财产损失占国内生产总值的比重也很大。
参考文献:
[1](苏)C.M弗莱施曼著,姚德基译.泥石流形成规律和预报[M].科学出版社,1980.
一、现有软件项目风险管理模型分析
软件风险管理是一种软件工程实践,包括过程、方法和工具,并利用这些过程、方法和工具去完成持续评估风险、确定风险优先级、实施策略处理风险工作。现有软件项目风险管理模型包括:(1)BarryBoehm理论。20世纪80年代,软件风险管理之父Boehm认为,软件风险管理这门学科的出现就是试图将影响项目成功的风险形式化为一组易用的原则和实践的集合,目标是在风险成为软件项目返工的主要因素并由此威胁到项目的成功运作前,识别、描述并消除这些风险项。他将风险管理过程归纳成两个基本步骤,即风险评估和风险控制。其中风险评估包括风险识别、风险分析、风险排序;风险控制包括制定风险管理计划、解决风险、监控风险。(2)SEI(软件工程研究所)的CRM(持续风险管理)模型。SEI提出的CRM模型要求在项目生命周期的所有阶段都关注风险识别和管理,它将风险管理划分为识别、分析、计划、跟踪和控制5个步骤,并采取不同的策略。(3)Riskit方法。如果组织在项目早期采用系统化的风险管理过程和技术,那么组织就有能力避免很多问题。Riskit方法能提供这种系统化的风险管理过程和技术,它由Mary-land大学提出的,旨在对风险的起因、触发事件及其影响等进行完整的体现和管理,并使用合理的步骤评估风险。对于风险管理中的每个活动,Riskit都提供了详细的活动执行模板,包括活动描述、进入标准、输入、输出、采用的方法和工具、责任、资源、退出标准。Riskit风险管理过程在项目生命期内,这些活动可以重复多次。(4)SofiRisk风险管理模型。SoftRisk模型是由Keshlaf和Hashim提出的,它基于这样一种观念:记录并将注意力集中在高可能性和高破坏性的风险上是进行风险管理的有效途径。这样可以节省软件开发过程中的时间成本和人力成本,并可有效减轻风险的破坏性。此模型确保在软件项目进行中持续地进行风险管理。(5)IEEE风险管理标准。IEEE风险管理标准定义了软件开发生命周期中的风险管理过程。该风险管理过程是一个持续的过程,系统地描述和管理在产品或服务的生命周期中出现的风险,包括计划并实施风险管理、管理项目风险列表、分析风险、监控风险、处理风险、评估风险管理过程等。(6)CMMI(软件能力成熟度模型集成)的风险管理过程域。CMMI是由SEI在CMM基础上发展而来,并在全世界推广实施的一种软件能力成熟度评估标准,主要用于指导软件开发过程的改进和进行软件开发能力评估。风险管理过程域是在CMMI第三级一一已定义级中的一个关键过程域。CMMI认为风险管理是一种连续的前瞻性的过程。它要识别潜在的可能危及关键目标的因素,以便策划应对风险的活动并在必要时实施这些活动,缓解不利影响,最终实现组织目标。CMMI的风险管理被清晰地描述为实现三个目标,每个目标的实现又通过一系列的活动来完成。(7)Microsoft的MSF风险管理模型。MSF的风险管理认为,风险管理必须是主动的,它是正式的系统的过程,风险应被持续评估、监控、管理,直到被解决或问题被处理。
二、面向企业全面成本计算模型的风险管理策略
结合企业全面成本计算理论和软件项目的风险管理内容,笔者通过对国家科技攻关项目“模型驱动的异构系统集成框架与基于SOA的数据交换平台技术”进行分析,建立一种面向企业全面成本计算模型的风险管理策略。
(一)基于网格体系的企业全面成本计算模型ETCM以客户价值与企业利润最大化为目标,面向产品全生命周期,通过成本企画确定目标成本,并将成本筑人到产品的设计与制造过程;在广度上,面向企业整个供应链,通过作业成本管理确立成本计算模型,优化供应链中的增值作业;并通过层次分析(AHP)方法、企业资源计划(ERP)或系统预测确立EAD模型(费用与作业关联矩阵)和APD模型(作业与产品关联矩阵)等成本分配率模型。在计算过程中,ETCM计算模型涉及合作伙伴各种高度异构、动态分布的信息平台。以Web服务为运行平台,采用面向服务的体系架构,建立图1所示兼容硬件平台、遗留信息系统和知识资源的全面成本管理体系结构,实现对企业整个供应链资源的有效组织和管理,帮助企业在整个供应链范围内,准确计算产品成本信息,辅助决策。
ETCM模型的体系结构由基础支撑平台层、集成化容器层、企业成本相关业务逻辑表示层、业务建模层、企业门户应用层、网格应用层构成。以硬件、系统软件和Internet为基础平台,在容器层建立支持业务运行的Java和功能组件、网格服务和Web服务组件,通过企业业务逻辑表示层实现网格高层应用功能的逻辑表达。企业业务逻辑表示层在企业业务过程编排与工作流技术的连接与管理下,将Legacy(遗留系统)、MTC(微软组件)、E-JB(企业Java组件)、Web服务和网格服务封装成不同领域内的商务应用(如企业物流、财务、人力资源、制造资源、全面成本管理、客户关系管理),并通过企业咨询与诊断、企业业务过程需求分析、业务流程建模、业务流程再造和业务流程持续改进等功能为企业提供实施网格应用的方法论指导。门户应用层为用户提供用户界面和一致的访问接口(如基于Web的服务门户)。应用层在Web服务和网格服务基础上提供网格制造系统高层应用,这些系统不局限于协同环境中的全面成本管理,还可应用于电子商务和电子市场、商务协同、制造协同与供应链协同等领域。容器层提供遗留系统容器、Web应用容器、Web容器以及网格服务容器等分别处理和封装来自合作伙伴或企业内部不同软硬件应用平台和操作系统的成本相关的业务应用。遗留系统容器集成与处理基于业务功能的商务应用,Web应用容器为EJB、Java Bean、MTC、CCM(CORBA组件)等企业级服务器组件提供安全运行环境与管理机制,Web容器为JSP(Java页面)、Servlets、ASP(Active页面)等
Web组件提供安全运行环境与管理机制,网格服务容器集成基于Microsoft,Net、J2EE(Java 2 Enterprise Edition)的Web容器和Web应用容器及Legacy容器,为网格服务与Web服务提供相应执行环境、服务组件执行周期、事务以及安全与服务质量的管理,并支撑Web服务组件的开发、部署、调试和运行,解决了协同环境中异构成本信息的共享与集成问题。
(二)面向ETCM计算模型的风险管理策略 通过对国家科技攻关项目 “模型驱动的异构系统集成框架与基于SOA的数据交换平台技术”的分析,结合上述企业全面成本计算理论的复杂性以及传统软件项目风险管理的主要内容和策略,笔者建立一种面向企业全面成本计算模型的风险管理策略模型,如图2所示:
在图2所示的风险策略管理模型中,理论基础是一个开放的概念,多受益于其他学科,包括风险和风险管理的定义、风险管理模型等体系结构。风险管理模型形成指导性的框架结构,核心风险管理步骤通过引入风险实体的概念和面向目标辨识、评估风险的思想,针对不同企业的计算环境提供不同的风险处理思路。技术基础包括风险定量计算、风险决策支持、风险预测及模拟等相关的风险决策和预测技术。决策树帮助大多数风险项确定相关的解决方案,例如,图形化的评审技术或随机型决策技术(GERT)是在计划评审技术(PERT)和关键路径法(CPM)之后发展起来的随机型网络技术,通过将不确定性引入计划,使系统状态不能全部列举出来,使得任何一种状态都不能完全代表系统的真正结果,增强了节点的逻辑判断功能,且数学模型可以使用计算机仿真来实现。在GER技术基础上,风险评审技术(VERT)从单纯考虑计划的时间因素发展到全面考虑计划中的时间、费用和效益因素,可以对计划进行更全面的分析和评价。
Abstract: Hierarchy complexity is proved be a source of project risk in order to recognize project risk objectively after the relationship between project risk and hierarchy complexity is discussed. A new risk evaluation model is proposed, in which the hierarchy complexity is used as the criterion and project scale is considered. To investigate risk diffusion mechanism of individual project in project portfolio, mutual effects among projects and classification of project portfolio is analyzed. A model for cooperative project portfolio that quantitatively depicts its risk diffusion mechanism with logistic mapping is proposed. Strategies for reducing complexity risk of cooperative project portfolio were put forward after a case study about the diffusion model.
关键词:项目;项目组合;复杂性;风险
Key words: project;project portfolio;complexity;risk
0引言
如何正确地认识项目的风险来源并对风险的大小做出合理的评估,使项目能有效抵御风险,是项目管理者们在项目运行之前面临的主要问题。面对于实际问题的需要,学者们在风险来源的识别和风险大小的评估方面做了大量的研究[1-6],研究的对象涉及建筑、软件开发、电子商务等众多行业,研究成果给出了不同行业的项目风险来源并建立了多种风险评估方法。这些研究的成果为不同行业的项目管理者的风险管理提供了较好的思路指引和方法指导。
从目前的研究来看仍然存在着有待进一步讨论的地方,其中较为突出的一点就是大部分研究中都认为技术和市场是风险的主要来源,并就这两个方面建立评估方法。技术风险主要是考虑项目所采用的技术与外界的成熟技术相比是否落后,如果项目拟采用的技术处于先进水平,成本是否过高,项目团队是否有能力完成;市场风险则是考虑项目产品的性能是否能满足市场的需求,项目产品的规模是否符合市场规模。所以市场和技术两方面的风险均来主要来自于项目外部环境。从哲学决定论的角度来看,外部因素对事物的发展具有很大的影响,但并不是决定性因素,内部因素才是事物发展决定性因素。对项目而言,外部的需求和技术状况影响着项目的运行,但项目是否能成功达到预期目的,项目内部的运行效率问题才是关键,项目内部的风险是不能忽略的风险。对于风险的评估,通常会建立一套指标体系,然后通过专家的意见获取风险的发生概率和后果影响。这种评估模式目前较为普遍,但笔者认为主观性太强而使得应用面不广,而且实际中不易操作。如果能以项目自身的某一客观表现来反映项目的风险并利用客观数据评估其大小,那么这种风险评估模式既能较为客观,也比较容易实施,对于项目内部风险,项目复杂性的研究为我们提供了思路。
Mohan.V.Tatikonda和Stephen.R.Rosenthal[7]将项目复杂性定义为“一个项目所包含的任务的性质、数量以及范围”,而且认为对于产品开发项目而言,项目的复杂性特征主要体现在所使用的技术的相互依赖程度、项目目标对于开发者而言的新颖程度以及项目目标的困难程度,这三个特征都与项目的不确定性相联系,而且项目的复杂程度与项目的成果成反比关系。Rajesh Kumar[8]等研究了能源开发项目的复杂性,认为能源项目由于项目开发人员、政府、金融机构、设备提供商、子项目承包商以及项目股东等多个利益相关者存在,所以具有结构上的复杂性,而这种结构的复杂性又导致了项目开发人员与各方人员之间相互协商的复杂性,如果项目各方之间的协调出现问题,则很可能会在项目各方的风险分担方面产生障碍从而使得项目失败。蒋国萍和陈英武[9]对软件项目的复杂性及其计算方法作了探讨,认为软件项目的复杂性有两大来源,一是环境的复杂性如用户组织结构的复杂,用户对软件项目的理解和支持以及应用环境的复杂性等。二是软件项目的产品-软件本身的复杂性,这种复杂性主要是软件结构的复杂性和算法的复杂性。Willams.T.M[10]认为项目的复杂性来源于项目的结构复杂和不确定性。这些研究表明,项目的复杂性不仅都是由于项目任务、组织结构以及项目相关利益者的众多而产生,更为重要的是这种复杂性都会影响到项目的实施而带来风险,而且项目组织结构的复杂性被认为是项目复杂性的组成部分之一。项目组织结构的复杂与否是项目本身的一种特征,是一种外在的表现,但这种外在表现的实质是一种风险。因为如果组织结构复杂或者臃肿,各部门的协调性差,那么项目运行就可能会显得无序,好的技术人员、充分的财务资源会被大量的无效行为所消耗,这种现象在实际中是较为普遍的现象,虽然这种情况与工作人员的素质有密切关系,但与组织结构不无关联。因此我们认为组织结构是项目内部产生风险的一个来源,这种风险可能并不像技术、资源等那样被项目管理者所认识、重视,但是客观存在的。因此,我们用组织结构的复杂性作为项目内部风险的衡量尺度并对其定量化。
当单个项目扩展为多个项目的项目组合时,每个项目的实施都涉及到人、财、物等多个方面,项目之间还可能在这些方面相互交叉影响[11],所以研究个体风险与组合风险之间的关系对于认识项目组合整体的风险是必要的。目前对于个体与组合的风险关系的研究成果主要集中于金融投资(如股票、证券)组合领域,由于金融投资的风险主要来自于市场的波动,服从一定的概率分布,所以金融投资组合风险的研究均以概率论作为方法基础,研究具有成熟的方法论指导而且成果也较多。对于实体项目的风险而言,除了市场风险,其它诸如技术、组织结构等风险不具备服从概率分布的条件,如何定量刻画项目个体风险与项目组合风险的关系就成为一个难点,关于这方面的研究目前也较少。鉴于此,本文以项目组织结构复杂性风险为对象,利用logistic映射刻画项目个体的组织结构复杂性风险在协作型项目组合中的扩散机制,以期能为项目个体与项目组合的风险关系的研究提供一个思路。
1基于组织结构复杂性的项目风险评估
由于复杂性在管理中的研究历史并不长,关于管理复杂性的计算也主要集中在企业管理系统度量这一层次,所以对于项目复杂性目前也仅仅是一些概念和定性的描述,具体的计算方法目前较少,能查到的相关文献也仅有文献[9]。
在对企业系统复杂性的度量中,等[12]认为作为复杂度的一个基本方面,复杂度在一定程度上可以不确定性的测度即熵(Entropy)来表示,同时指出复杂模型难以建模和求解,因此利用容易获取的宏观量的宏观综合方法来度量组织的复杂性更具普适性,而一个非常重要的宏观量就是熵,所以利用宏观信息熵来处理复杂系统具有广泛的适应性。在复杂性计算中,宋华岭等做了较多的研究。他们定义了管理熵,提出从管理信息、功能和结构三个维度来讨论企业管理系统的复杂性,以熵作为管理系统复杂性的度量,定义了管理力和管理功,并在此基础上建立了企业系统在三个维度上的复杂性的度量模型以及整体复杂度度量模型[13]。这些模型主要根据于力学和物理学中的“力”和“功”的内涵将管理系统的复杂性视为管理者的管理力和管理功的结果,并利用“力”和“功”计算方法来建立管理系统复杂性的计算模型。此外,他们将理论应用到了煤炭企业中,对煤矿生产工艺的复杂性以及煤矿生产系统的结构的复杂性建立了定量化计量模型[14,15]。从这些研究来看,对于企业复杂性度量主要是针对管理系统的复杂性,其度量方法主要是利用系统的熵来反映系统的有序程度,从而衡量管理系统的复杂程度。
组织结构的复杂性是管理系统复杂性的一个方面,对项目复杂性的研究也指出了项目组织结构的复杂性是项目复杂性的主要来源,所以对于项目的复杂性的计算,组织结构复杂性是一个必要的计算量。文献[15]建立管理系统组织结构复杂性的计算方法,这种方法是针对企业的组织结构而言,而且是就复杂性本身而言,没有将复杂性看作是风险源。对项目而言,规模(一般以投资额度衡量)与风险是密切相关的,相同的风险值,规模大的项目的风险往往也被视为高于规模小的项目。所以我们在文献[15]的计算方法的基础上加入规模因子,即将多个项目的规模加总,然后将各个项目的规模除以总规模,就得到各个项目的规模因子,以体现“大投资,高风险”这一逻辑。以Wi表示利用文献[11]计算出的项目i的组织结构复杂性熵值,以Fi表示项目i的投资规模,则基于组织结构复杂性的项目i的风险评估模型Ci为:
C■=W■×■(1)
2项目组织结构复杂性风险在协作型项目组合中的扩散机制
2.1 项目组合中项目间风险的相互影响对于项目组织结构的复杂性,每个项目都有相对独立的组织结构,所以单从组织结构本身而言项目的组织结构的复杂性是没有相互影响的。但是正如前文所述,组织结构的复杂性的实质是项目风险,而风险是会在项目间相互影响和传递的,所以由于组织结构的复杂性带来的风险会由于个体之间的相互影响而在组合中扩散、传播。但组合的风险与项目个体的风险的关系是怎样的呢,是项目个体的风险之和还是等于组合中项目风险的最大值,或者是其他的关系,这些问题都是值得进一步讨论的。
项目间的影响不同,对项目组合带来的风险也是不同的,所以要评估由于项目个体之间的相互影响而对项目组合带来的风险,首先就需要明确项目间可能存在的影响关系。郭鹏等借鉴生物种群的相互关系对项目间的相互影响作了分类,得到了一个较为完备的分类集[16]。这个分类集将项目间的相互影响分为三类:一项目间相互合作而得以完成,项目间具有上下游关系,称为协作型项目组合;二是项目间相互竞争相同资源、技术或者市场,称为竞争型项目组合;三是项目间不存在共同的资源、技术或者市场,基本上没有影响,称为无关型项目组合。下面分别探讨三类项目组合中项目个体的相互影响对项目组合整体的风险产生的影响。
2.1.1 协作型项目组合中项目的相互影响协作型项目组合中项目的在产品或者信息方面发生了直接作用,也就是一个项目的产品或信息是以其下游项目的产品和信息为基础,上游项目的产品数据、成本以及工期等方面都会直接影响下游项目的产品转换过程,因此,我们不能认为项目之间由复杂性带来的风险是相互独立的。从实际的角度考虑,如果项目的产品数据与下游项目的需要有一定但合乎规定的差距,下游项目将上游项目的产品作为输入的话,那么下游项目所受到的影响不会是上游项目产品数据本身的差距,而可能比这个差距更大,这样就可能造成下游项目产品合格但上游项目以此为输入的产品却不合格。当然如果两个项目之间具有较好的协调性的话,比如相互之间订立了一致的标准,相互建立了良好的对话机制,那么这种差距也会由于良好的协调性而被消除。由此我们认为,协作型项目组合的复杂性及其风险来源于两个方面:一是项目个体本身的复杂性;二是项目之间的协调性。项目个体的复杂性越大,那么会造成项目组合的复杂性越大;二项目之间的协调性越好,项目个体的复杂性也可能被抵消而使项目组合的复杂性降低。
2.1.2 竞争型项目组合中项目的相互影响竞争性项目之间的主要影响来自于对资源和市场的争夺,也就是对项目资源的输入和项目产品的输出的竞争,而在项目内部转化过程,即把项目资源转换为项目产品的过程中是没有相互影响。前文已说明,项目组合中项目个体的组织结构的复杂性是项目个体的外部特征,并不会直接在项目之间相互作用的,而是通过由此形成带来的风险而相互影响。这种风险带来的后果可能是产品数据的混乱,成本的增加,工期的延长,因此,风险的后果主要是在内部转换过程中形成的并影响内部转换过程。而从管理角度来讲,项目组合中项目的管理是相对独立的,只有当各项目在内部转换过程中存在相互影响时,项目的风险才会传递和扩散。竞争性项目组合的项目个体产品之间并没有相互连接,也就是说一个项目的产品转换过程与另一个项目没有直接联系,因此我们认为竞争性项目组合的项目个体的复杂性所产生的风险并不会在其他项目中传递或放大。但组合中项目的复杂性并不是没有影响的,项目组合中的每个项目的收益和风险都对整个项目组合的收益和风险产生贡献,而在竞争性项目组合中,项目之间在产品生产过程中没有上下游的关系,那么规模越大,收益越大的项目的收益的确保,风险的控制对于整个项目组合的收益和风险越重要。所以我们认为竞争性项目组合的复杂性主要取决于项目的规模,也就是说,识别项目组合中规模最大的项目的复杂性并采取措施降低其复杂性是控制项目组合整体复杂性的关键。
2.1.3 无关型项目组合中项目的相互影响由于无关型项目组合中项目之间在产品生产过程中也没有直接的关系,所以无关型项目组合的复杂性也类似于竞争型项目组合的复杂性。
2.2 基于Logistic映射的项目组织结构复杂性在协作型项目组合中的扩散机制协作型项目组合包含了具有上下游关系的多个项目,每一个项目既是下游项目的客户,也是上游项目的服务者,互为因果关系,因此风险会在项目之间传递甚至扩散。由于项目在产品、信息方面的相互传递,每个项目的产品都会被其下游产品的所影响并影响其上游产品,所以一个项目的复杂性小的改善或者恶化通过在组合中的传递可能会引起整个组合的复杂性的改善或者恶化,项目组合的输出对输入敏感,会产生蝴蝶效应。作为社会经济子系统,项目及其组合是开放的,项目的运行要与外界(包括项目组合的其他项目)进行物质和信息的交换,同时环境的变化所带来的经营机遇、经营目标和核心资源的变化也会给项目及项目组合产生不确定性,由于市场是不可逆的,所以项目变化也是不可逆的。由此可以看出,合作型项目组合具有多要素、多层次、不确定等特征,其复杂性必然会对项目及项目组合的实施产生深刻影响。
任佩瑜等[17]提出管理耗散和管理耗散结构的概念,并给出了管理耗散结构的前提条件。从这些前提条件来看,协作型项目组合是典型的管理耗散结构,耗散是与“开放”相对应的,开放系统之所以更为复杂,原因在于它既要考虑系统内部,又要考虑系统外部,因而这类系统中产生混沌往往更为容易。Logistic映射是一维非线性映射,这种映射在研究耗散结构中的传递和扩散作用具有普遍而且广泛的适应性。因此,本文采用Logistic映射描述协作型项目组合中项目个体由于组织结构的复杂性而产生的风险在其下游项目中的扩散作用,进而提出合作型项目组合的动态风险模型。
系统演化是驱动力与耗散力相互竞争的结果[18],所以影响项目组合组织结构复杂性的的不仅仅是各项目内部复杂性,项目之间的协调性也是形成整个组合复杂性的关键因素,每个项目的复杂性也不仅取决于其内部的复杂性还要受到上游项目的复杂性的影响。因此我们认为在合作型项目组合中,复杂性是按照信息、产品在各项目中的传递流程扩散的。
设协作型项目组合中有n个项目在产品或者信息存在相互传递,产品或信息顺序通过n个项目。第i个项目的组织结构的复杂度为ei,总复杂度为En,由Logistic映射:
xn+1=uxn(1-xn)(xn∈(0,1),u∈(0,4),n=1,2,3……)(2)
可得项目i的复杂性在第i+1个成员中的扩散量为:
di=uiEi(1-Ei)(3)
第i+1成员的复杂性为:
Ei+1=ei+1+di=ei+1+uiEi(1-Ei)(4)
由于项目个体的复杂性是逐级扩散的,所以协作型项目组合中项目组织结构复杂性风险的扩散为:
En=en+dn-1=en+un-1En-1(1-En-1) (n=2,3,4……)
E1=e1(5)
对(5)有:
①ei(i=1,2,3,……n)是大于零的实数并且可以利用文献本文第2节的方法计算。
②本文的主要目的是探讨项目的组织结构复杂性潜在的风险在项目组合的传递和扩散作用,因此只考虑组合中项目产品或者信息的传递过程顺序的上下游项目的复杂性之间的关系,处于同一层次的项目之间的复杂性的计算由于没有直接的相互影响,所以可以通过加和方式来完成,在此不做详细论述。
③u是一个具有现实意义的重要的参数,其含义和计算方法在下文中详细讨论。
u是描述上游项目组织结构的复杂性在下游项目中的扩散的参数。而这种扩散的存在是由于合作所产生的。项目组合中的项目个体是为了实现共同的目标和利益而进行合作,项目之间的关系是否协调对项目组合有着重要的意义。如果项目之间合作不协调,即使每个成员的复杂度都很低也可能提高项目组合整体的复杂度;相反,如果成员之间协调性好,那么项目内部的复杂度会在成员之间良好的协调中得以抵消。协调度是指系统之间或系统要素之间在发展过程中和谐一致的程度,描述了系统内部各要素或子系统间协调状况的好坏,体现系统由无序走向有序的趋势。从协同论的观点来看,系统走向有序的机理不在于系统现状的平衡或不平衡,也不在于系统距平衡态有多远,关键在于系统内部各子系统间相互关联的“相互作用”,它左右着系统相变特征和规律,协调度正是这种系统作用的量度。所以此处将u定义为项目组合内相互作用的项目间的协调度。
相互作用的成员构成了一个二元系统。二元系统协调度的计算是通过两者之间的输入、输出关系来界定的。如果成员A的输出是成员B的输入,则AB之间的协调度[11]为:
协调度=(6)
为避免协调度为无穷,规定二元系统的协调度在(0,1)内取值,即令当(6)中的分母为零时协调度为1,分母最大时为零。式(6)是一个概念性的公式,具体的计算方法可文献[19]。
从(4)看出,影响项目组合的复杂度En的因素包括ei和ui。由于实际中的项目的复杂度可能出现[0,1]内的任意值,所以讨论每个项目复杂度与En之间的关系是没有意义的,而探讨ei之间和ui之间的差异对En的影响则能对实际中项目组合的构建和复杂度的降低提供参考;另一方面,在处于项目组合的最下游成员对其下游项目的影响,其复杂度会在组合中的所有项目中传播并影响En,因此探讨最下游项目的复杂度大小与En的关系是有必要的。
2.3 仿真以包含10个项目的协作型项目组合为例
以向量:c1=[0.2,0.21,0.21,0.19,0.2,0.195,0.21,0.21,0.21]表示ui的差异较小,极差不超过0.01
以向量:c2=[0.1,0.002,0.9,0.8,0.03,0.5,0.001, 0.05,0.73]表示ui的差异较大,而且没有任何分布规律。
当ei差异较小,极差不超过0.02时时分两种情况:
(1)e1较大,以e1=0.7为例。以向量:v1=[0.7,0.71,0.72,0.715,
0.71,0.72,0.716,0.72,0.71,0.7]表示e;
(2) e1较小,以e1=0.002为例。以向量v2=[0.002,0.002,0.018,
0.0019,0.0021,0.0022,0.0018,0.0019,0.0017,0.0018]表示e。
当ei差异较大时同样分上述两种情况:
(1)e1较大,以向量v3=[0.7,0.001,0.03,0.051,0.15,0.08,0.007,
0.045,0.015,0.15]表示e
(2)e1较小,以向量v4=[0.002,0.001,0.03,0.051,0.15,0.08,
0.007,0.045,0.015,0.15]表示e
对上述的u、v两两组合,进行模拟得到表1的结果。
从表1可以得出:1)在各种组合下,协作型项目组合的风险普遍比组合内各项目的风险大。2)从组合(1)、(5)得出:如果协作型项目组合内每个项目的风险较大时,那么无论项目之间的协调度好坏与否,都会使项目组合的风险增大;3)从组合(3)、(4)、(7)、(8)得出:在各项目之间的协调度相同的情况下,协作型项目组合风险的演化会趋于定值,e1的大小对En没有影响;而在ei相同时,组合内各项目之间的协调度不一致时的En(0.3184)较成员的协调度一致时的En(0.1552)大。4)在所有的组合中,组合(2)即当项目内部风险较小,项目之间的协调性较好时项目组合的En最小;
此外,在仿真中还发现,改变前6个ei或者ui时,协作型项目组合的En均趋于定值,而以相同幅度改变第6个以后的某个ei或者ui时,组合的En都会发生变化而且变化的幅度愈来愈大。
ei是各项目的内部行为,作为协作型项目组合而言是无法控制的。而ui则是项目组合整体行为,是投资主体能够采取措施降低的。因此对整个项目组合而言ui是一个重要因子。在项目组合的风险最小的组合(2)中固定e,变化ui,测试En得到表2的结果。
从表2可以看出,当ui在区间(0,3.0)内取值时,En随ui增大而增大;当ui大于3.0时,En的变化不再具有规律性甚至出现负数。
由此可见协作型项目由于成员项目个体的复杂性在组合内部扩散使得项目组合的风险具有动态性,从而使得组合较单个项目更为复杂。
从仿真结果得知,要降低协作型项目组合整体的风险,需要降低各个项目的风险和提高项目之间的协调度,并且项目之间的协调度要一致。
对于项目个体的风险,项目组合虽然是一个投资主体,但各个项目的运行和管理是相对独立的,投资主体不会对各项目的风险直接控制,因此可以在构建项目组合时对各项目设计相近而且复杂性较小的组织结构。对于成员之间的协调度则是投资主体可以采取措施控制的。从协同论的观点来看,系统整体要得以存在和保持,就不能让其中的各个组成部分独立地各行其是,而要求它们相互配合,协同工作。一个好的系统必须包容和代表各个成员的利益,为他们提供所需要的东西和“保护”。而对于成员来说,只要还“生活”在这个系统之中,要得到系统的“保护”和其他成员的支持,就必须服从系统给与的约束,接受其他成员的作用。所以,要降低协作型项目组合的复杂度,则应当:
(1)首先就要为项目组合制定共同认可和遵守的“公约”,如果有谁违反就要受到相应的惩罚,这样使项目组合中的各项目的行动方向趋向一致,避免由于各项目之间的协调度不一致导致项目组合风险加大。
(2)各项目为实现投资主体的利益最大的目标而组合,项目之间并不是简单的供求关系而是利益共同体,相互间的信任、共同的信念是项目组合得以维系的根本。所以作为项目组合的投资主体应着力建设企业文化并使这些文化能在项目的实施过程中起到团结协调的作用。
(3)合作型项目组合中各项目之间会产生信息、物质甚至人员的交换和流动,因此如果各项目在地理上是分散的,那么就须要建立低成本,快速的物流系统,高效实用的物流方案,降低成本,提高效率。
(4)充分利用通讯和计算机技术建立通畅的信息交流平台,并将各项目的信息归结到投资主体所能掌握的一个平台上,这样就有利于各项目的信息交流的通畅,避免由于信息表达形式的不同而引起误解,同时也有利于主体及时了解各项目的运行情况。这也是目前企业中做得较多的信息化工作。
3结论
项目风险不仅仅包括技术、市场等外部影响因素,项目内部的运行效率是项目达到预期目的的决定性因素,因此对于来自不能忽略项目内部的风险。项目的组织结构的复杂性虽然是项目自身的一种外在表现,但这种外在表现会对项目的运行效率产生影响,因此将项目组织结构的复杂性作为项目的一个风险是有必要的,同时以组织结构的复杂性作为这种风险的度量方法也能使风险评估定量化。对于项目组合而言,项目间的相互影响不同,项目组合的风险也就不同,尤其是对协作型项目组合而言,组合中的项目个体的组织结构复杂性风险会在组合中传递、扩撒,项目组合具有耗散系统的性质,所以用Logistic映射反应协作型项目组合中项目组织结构复杂性风险的扩散机制是适当的,当然这种定量刻画是否精确还有待进一步研究。
参考文献:
[1]A.Fiordaliso, P.KunschA Decision Supported System Based On the Combination of Fuzzy Experts Estimates to Finacial Risk in High-level Radioactive Waste Projects[J] Progress in Nuclear EnergyVol.46, No.3-4,pp.374-387,2005.
[2]V.Carr, J.H.M.Tah A Fuzzy Approach to Construction Project Risk Assessment and Analysis:Construction Project System[J] Advance in Engineering Software 32 (2001):847-857.
[3]Ibrahim.A.Motawa, Chimay.J.Anumba,Ashraf.El-HamalawiA Fuzzy System for Evaluating the Risk of Changes in Construction Projects [J] Advance in Engineering Software 2006 (37):583-591.
[4]Wendy.L.CurreA Knowledge-based Risk Assessment Framework for Evaluating Web-enabled Application Outsource Projects[J] International Project Management 2003 (21):207-217.
[5]P.N.Sharrat, P.M.ChoongA Life-cycle Framework to Analyse Business Risk in Process Indurstry Projects[J] Journal of Clearner Production 2002 (10):479-493.
[6]Wen-Ming Han,Sun-Jen HuangAn Empirical Analysis of Risk Components and Performance on Software Projects[J] Journal of Systems and Software 2007 (80):42-50.
[7]Mohan.V.Tatikonda, Stephen.R.RosenthalTechnology Novelty,Project Complexity,and Product Development Project Execusion Success:A Deeper Look at Task Uncertainty in Product Inovation[J] IEEE Transactions on Engineering Management Vol.47, No.1, pp.74-87.
[8]Rajesh Kumar, U.Srinivasa Rangan, Carlos RufinNegotiating Complexity and Legitimacy in Independent Power Project Development[J] Journal of World Business, 2005 (40):302-320.
9]蒋国萍,陈英武.基于证据推理的软件项目复杂性评估[J] .计算机工程与应用 2005(2):4-7.
[10]Willams.T.MThe Need for New Paradigms for Complex Project[J] International Journal of Project Management 17(1999):269-273.
[11]刘亚旭,汪应洛.具有不对称性风险交互效应的R&D项目组合选择方法[J].系统工程,2007,25(2):18-21.
[12],盛华毅,现代系统科学学[M].上海:上海科学技术文献出版社,2005.
[13]宋华岭,刘全顺,刘丽娟等.管理熵理论-企业组织管理系统复杂性评价的新尺度[J].管理科学学报,2003,6(3):19-27.
[14]宋华岭,李金克,于红等 薄煤层煤矿生产车间特殊开采生产技术的复杂性评价[J].中国管理科学,2007,15(1):80-87.
[15]宋华岭,金智新,白希军等.矿井生产系统结构复杂性评价[J].煤炭学报,2005,30(3):403-408.
[16]郭鹏,曹朝喜,杨娅芳 基于种群生态学的竞争项目组合风险决策模型[J].工业工程,2006,9(6):70-75.
[17]任佩瑜,张莉,.基于复杂性科学的管理熵、管理耗散结构理论及其在企业组织与决策中的作用[J].管理世界,2001,(6):142-147.
【关键词】 大数据审计; 物联网; 云计算
物联网建设的本质不是“互联互通”,而是远程智能控制,而能够沟通感知层、网络层与应用层,实现远程智能控制的只有大数据。因此,确保大数据的真实、可信与安全便成为物联网建设的核心任务。大数据审计是实现这个任务的重要工作之一。基于这个背景,本文介绍了大数据审计的目标、审计的依据、审计内容、企业三层审计制度等内容。
一、大数据风险暴露:物联网建设数据风险规避的需要
物联网的发展使企业从“小数据时代”进入“大数据时代”,而这些巨量的非结构化为主的大数据的处理只有云计算技术(或平台)才能够实现。因此,当业务和数据从传统的信息系统环境转移到“云”上后,数据与业务的安全、操作合规、业务持续、数据真实、安全、可信等是企业信息化考虑过程中除了效率和成本之外的核心问题。虽然云服务提供商会考虑如何为用户提供安全、可信的云计算解决方案,但用户必须考虑如何确保自己的信息资源的可信与可控。大数据风险不仅具有传统网络环境下的风险,还具有云环境下的风险。
(一)传统网络环境下的大数据风险
1.大数据暴露在“第三只眼”的风险
由于网络的虚拟化、无边界、流动性等特征,数据及其系统面临较多的安全问题。黑客的入侵、恶意代码的攻击、拒绝服务攻击、网络钓鱼或敏感信息外泄等,如:网络中的病毒、木马、恶意软件对公司数据或系统的监测、攻击,导致公司的数据或系统不能够正常运转与应用;数据在网络、服务器、存储、平台到应用的过程经常遭到泄露和被第三方窃取的问题,特别是公司内部员工恶意利用实体的方式,接触备份敏感数据,或是利用在系统上的权限,存取第三数据,窃听重要会议机密,获取商业机密;系统内部自然、人为因素导致数据或系统不能够正常运作;由于火灾、地震等自然因素,或硬件与软件运行过程的正常与不正常因素,导致数据或系统不能够正常运作。
2.数据质量问题导致数据的误用
“与有形产品不同,垃圾的数据只能产生垃圾的信息。”由于在大数据过程中经常出现数据不准确、不完整、不及时等数据质量的问题,因此,在数据分析处理的过程中必须确保大数据的质量。
3.数据被人为操纵的风险
数据分析的目的是解决企业业务问题、提升业务决策。由于业务的理解因人而异,业务决策的目标也因人而异。数据分析所应用的数据和模型不同,分析的结果也将会不同。也就是说,数据分析如果不能够客观,将会产生被人为操纵的风险。因此,企业必须通过审计杜绝那种自私的操纵统计数据的做法,并增强注重客观性的企业文化。
(二)大数据暴露于云计算平台下的风险
1.大数据暴露于服务供应商的风险
在物联网、云计算环境下,企业的数据置于企业边界之外的公共共享网络上,并且数据的所有权、管理权及使用权发生了分离——企业用户失去了对数据资源的直接控制,直接面临着用户与服务提供商的安全 问题。
2.数据暴露于共享平台上租户的风险
在物联网、云计算环境下,企业数据经常处在与其他客户共享的情况中,许多数据加密也未能防止数据泄露,且必须进行资源隔离,特别是对数据休眠期间的安全隔离。由于企业数据的信任边界审计,许多数据虚拟化技术未能确知托管于什么地方,这些动态变化的信任边界要求逻辑层的访问控制和授权管理得到审计与信任。
3.数据暴露于企业业务变化的风险
企业数据会由于企业需求变化、投资变化、监管策略变化从一个云平台迁移到另外一个云平台,数据兼容性和互操作性、各个平台的统一合规标准等需要审计,确保数据的安全、可靠与可信。
二、大数据审计:物联网建设的制度保证
企业传统信息化系统存在于企业内部,是相对封闭的信息系统,只有少量的Web应用、邮件系统等需要的业务系统暴露在外,企业只需要在出口部署安全设备、设置高颗粒度安全访问控制策略、内部规范管理、提供操作性较强的安全防护措施就能够确保企业的信息安全问题。然而,在物联网、云计算时代,企业数据从业务分布处理向可快速分发、快速迁移的计算资源整合,对网络安全方案提出更高的要求,包括高性能要求、性能弹性扩展、全面的可靠性保障、虚拟化和可视化要求、立体式的安全防护等。
因此,物联网和云计算的技术特征和商业模式决定了用户在使用云计算服务时,难以控制数据和业务的风险,必然导致对数据安全、隐私保护、合规水平等问题的担忧。因此,更合理的方式应该基于持续性专业监控和专业分析,对云计算应用作出客观、公正、综合的评价。大数据审计正是扮演这样一个角色。
大数据审计是传统信息审计的发展,它仍然是“收集并评估证据以决定一个计算机系统是否有效做到保护资产、维护数据完整、完成目标,同时最经济地使用资源。”随着物联网的建设,大数据大审计是企业内部控制、信息系统治理、安全风险控制等不可或缺的关键手段。
大数据审计定位为物联网建设中大数据风险的综合治理,它保持独立性,以第三方客观的立场对物联网建设中大数据进行检查和评价,不仅保护建立在“云”上物联网业务和“云”中大数据安全,而且对大数据处理过程中的效果、效率、可靠以及合规等风险隐患提出审计意见。
三、大数据审计的标准规范
与会计审计遵循《审计准则》一样,大数据审计需要有一套共同遵循的审计规范。物联网、云计算快速发展带来大数据审计的需要,各国政府、协会或民间组织也积极关注并推行大数据审计的规范。一般说来,大数据审计主要存在于信息审计或云计算的审计规范之中,当前国外主要信息审计的相关标准如下:
信息系统审计与控制基金会在1996年制定的IT治理模型(COBIT),是国际公认的、权威的安全与信息技术管理和控制的标准,也是国际上通用的信息系统审计的标准之一。它的宗旨是跨越业务和IT控制之间的鸿沟,建立一个面向业务目标的IT控制框架。特别是最新的COBIT5.0版本中,被称为“一个治理和管理企业IT的业务框架”。它是IT技术人员、用户、企业管理人员和IT审计师之间的桥梁。
美国国家标准与技术学院(NIST)不仅了被广泛引用的《云计算定义》,还了《联邦信息系统和机构的信息安全持续监测》(ISCM)报告,通过持续监测,保持其对信息安全、漏洞和威胁的警觉。
美国云安全联盟CSA在2009年12月了《云安全指南》。它涵盖了“云计算重点13个区域的安全指导”,从云用户角度阐述了可能存在的商业隐患、安全威胁以及推荐采取的安全措施。
ISACA是国际信息系统审计协会在2010年推出的云计算管理审计、保证程序(Cloud Computing Management Audit/Assurance Program),规定审计过程中使用的工具、模板以及流程。同时,ISACA还在程序中规定了审计过程中应该关注的审查点以及遵循的标准,从而保证审计师能够完整、真实地记录有关数据。主要关注云计算治理的影响、服务供应商以及客户之间的合同履约、云计算控制的具体问题等。如数据审计的审计目标是:为云计算服务提供商的客户提供对服务提供商内部控制的有效性和安全性评估;识别客户组织其他与服务提供商的接口是否存在内部控制缺陷;评估客户的质量和能力情况与服务提供商的内部控制项相关的证明。
其他的信息审计标准还有欧洲网络与信息安全局的《云计算风险评估方法论》、ISO27001等等。
在我国,由于物联网与云计算等信息化发展相对落后,至今尚未有大数据审计的标准,可以参考的主要有2008年五部委共同颁布的《企业内部控制规范》和2009年银监会颁布的《商业企业信息科技风险管理指引》。
四、大数据审计的框架体系
大数据审计与会计审计一样,也包括制定审计目标、确定风险领域、制定审计计划、设计审计程序、执行审计计划以及出具审计结果和管理建议。由于篇幅的限制,本文提出的大数据审计框架体系是由大审计目标维、审计制度维、控制对象维等构成的三维立体体系。具体如图1。在下文中主要介绍大数据审计的目标、审计制度维、审计对象维等具体的内容。
(一)大数据审计的目标:大数据审计的目标维
1.对大数据的安全性发表意见
物联网及云计算的运用下,网络的虚拟化、无边界、流动性等特征,数据及其系统面临较多的安全问题。例如:商业机密被第三方所利用、商业机密或个人隐私的数据被公司内部别有用心地“恶意”利用、自然灾害等意外情况的发生等。因此,大数据安全是大数据可靠、有效使用的前提。为了有效保护系统和数据安全,做好灾害预警等,数据审计对于数据安全和物联网的建设有着至关重要的意义。因此,大数据审计首推对大数据的安全性发表意见。它不仅要对提供大数据服务供应商的安全可信性发表意见,同时也包括对服务提供商本身的可信性发表意见,对企业内部的大数据收集、处理等过程的数据安全性发表意见。
2.对大数据来源和数据质量的可靠性发表意见
大数据获取过程中对数据的处理,是为后续流程提供高质量数据的基础,因此,如何获取数据以及对数据如何处理,对后续高效高质量的数据分析起着至关重要的作用。
大数据审计的目标是确保大数据质量的准确性、完整性、一致性、时效性、可信性以及可解释性。具体而言,当采集的源数据存在数值缺失、空值、冗余、错误、格式不一致、含义不清等问题时,审计人员应当进行数据整理、加工,剔除错误或偏离期望的值,以提高审计分析的准确性和效率;保证数据不缺属性,确保数据完整性;使数据之间不存在差异,相互可内洽,达到数据的一致性;数据的“新鲜感”——及时送达数据确保数据的时效性;在整个数据整合过程中,统计出有多少数据是用户依赖的,以测数据的可信性;最后,也是最重要的,是保证数据容易被理解,以达到其可解释性。
3.对大数据分析的有效性发表意见
通过数据产生、数据获取、数据存储、数据分析、数据可视化,最后到达数据结果,是业务部门数据操作的整套流程,也是检验数据是否合理、有效性的最重要一步。大数据往往被深埋在非常大型的数据库中,且往往包含多年的历史数据,同时数据量和搜索工作量都非常大。数据分析的有效性不仅取决于数据质量,也取决于数据分析的合理性。数据审计必须对数据分析的合规性是否达到数据分析效果进行审计。大数据审计人员通过开展数据分析,科学高效地确定项目、编制方案、实施审计、出具报告,从而确保数据的准确性和有效性。
(二)数据分析过程:大数据审计的对象维
数据分析过程是数据审计架构的对象,是解决大数据审计的源头。根据大数据生命周期业务流程,大数据审计需要对如下大数据分析业务环节的数据安全性、可靠性、有效性进行审计:数据源分析、数据获取、数据存储、数据分析、数据共享、数据可视化等大数据分析过程。具体如图2。
1.数据源分析
物联网、云计算中的数据源头为企业外部数据和企业内部数据。为确保企业数据安全性、可靠性及数据分析的有效性,必须对数据源进行分析安全性等审计。如:审计数据存储的可信度,审计数据的完整性、数据的可靠性、数据的一致性等分析;数据格式分析;数据更新方式分析等等。
2.数据获取
数据获取过程是指物联网通过云计算平台获取数据的过程,主要包括数据整合、数据清洗、数据转换、数据加载等业务过程。由于云环境下数据平台上有多租户的出现,必须明确数据的权属。这个过程要确保数据安全、可靠,有效使用的制度主要有对数据分类并对数据进行标识、分配权限。同时,针对不同数据进行分级,制定数据加密等安全策略。
3.数据存储
物联网和云计算环境下的数据必须保证所有的数据包括所有副本和备份,存储在合同、服务级别协议和法规允许的地理位置。建立数据访问控制;进行数据加密,建立内容发现制度,确保数据安全审计工作有效进行;要求对数据进行数据等级区分,分开存放;如果存在数据共享,应该对访问权限进行严格精细化控制,并可以实时监控和提供审计措施。
4.数据分析
大数据分析实务中避免数据遭到任何哪怕是轻微的泄漏,以避免侵害到数据拥有者和数据相关者的利益。大数据审计要审核企业是否可以通过日志文件或基于的工具对数据分析活动进行有效监控;企业是否制定数据安全的应用逻辑;企业是否制定基于数据管理解决方案的对象级控制制度;企业是否进行多份、异地备份方式进行数据备份,防止数据丢失、意外的数据覆盖和破坏,必须保证数据可用。
5.数据可视化
数据可视化是指计算机图形学、图像处理技术和office办公软件,将数据或数据分析结果转换成图形、图像、表格、文件等形式,并可进行交互处理。数据可视化是为了洞察分析数据表述的问题,找出问题的答案,发现关系性规则,进而发现在其他情况下不易发觉的事情,弥补现有科学分析方法的不足。大数据可视化审计是审查数据可视化是否表达事情的原来面目,是否扭曲了事物实际情况;审查数据可视化是否泄露了信息,是否有利于事情的表达等。
6.数据共享
企业大数据主要通过云平台进行数据的共享。因此,大数据审计要审查企业是否设定安全的数据共享应用逻辑;是否制定数据分析解决方案的对象级控制制度;是否有基于数据内容的数据保护;涵盖如电子邮件、网络传输、数据库、文件和文件系统是否有加密解决方案。
(三)三层审计制度:大数据审计的制度维
目前审计按审计内容可分为企业管理层面审计、流程控制审计和面向运营环境整体的三层审计。其中:企业管理层面控制审计主要关注整体的IT治理,合规、云战略和规划;流程控制审计主要关注云运营流程中内嵌的相关安全控制,以保证数据或系统的完整性、准确性、有效性和访问控制;运营环境整体控制主要关注与数据中心运营相关的管理控制,包括基础设施和流程、信息安全、业务持续性管理和灾难恢复、事件响应等方面。
本文认为,按参与审计的主体分,大数据审计制度还应当建立业务人员自查、部门经理审查、审计部门审查的三级审查制度,步步推进,层层把关,确保大数据的安全、可靠、有效性。各个审计主体依据大数据审计标准,对大数据业务操作流程进行审计,确保大数据的安全性、可靠性与有效性。限于篇幅,不展开 讨论。
