时间:2023-06-08 11:27:30
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇风险分析流程,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:合同;管理流程;风险;控制
关于企业经营活动、运营管理工作,其合同管理属于系统,结合有效地管理流程与方法,对企业合同管理风险问题进行合理防控。从本质上讲,合同管理属于企业日常经营管理的范畴,而企业运营期间所存在的风险、制因因素均会对合同管理工作产生制约,使企业内部控制工作呈现作用下降的趋势,同时更会使企业的发展受到严重阻碍。基于此,该文对建筑企业合同管理流程进行分析,结合其存在的潜在风险提出控制对策。
1企业合同管理流程
在企业建筑项目运行期间,可通过对合同管理的方式,对其施工质量进行严格控制。具体的合同管理流程为:起草和审批、洽谈、签订、存档与分发、交底以及工作履行,下文对合同管理各个流程进行重点阐述。
1.1起草和审批
合同起草一般由企业运营管理部门负责,根据建筑双方对合约的建议,编制与之相对应的合同模板;经过供应部门、人力资源部门以及财务部门对合同条款的全面审核,移交至上级管理部门,完成合同审批工作,并经过企业管理者签字、盖章后,合同各项内容方可执行。在此期间,合同管理工作主要从以下两点进行分析:首先,合同起草人员需对建筑项目中标情况、企业双方判断结果进行充分分析,并以此为依据,对合同内容进行编写。其次,在合同中所涉及的各类资料数据,均应由企业供应部门和财务部门、工程部门、人力资源部门与监督部门开展系统化审批与签字工作,同时在合同审批期间,还应按照规定的审批流程,切忌不可出现越级审批行为。
1.2洽谈、签订
合同管理中,洽谈工作属于重要流程环节,其应在建筑双方洽谈前,对洽谈目标进行确定,通过对自身与对方底线的判断,在必要的情况,做出相应的让步,从而才能在合同洽谈流程中占据主导性地位。同时合同条款应具备明确和完整、用词准确以及责任细化的特点。在洽谈工作结束后,依据企业双方的洽谈结果,由运营部门对合同条款进行适当调整,最终将合同矫治部门经理审核,再移交董事长对合同进行审批和签字,致使该项合同具有法律效益。另外在合同审批后,由企业双方代表完成合同签订工作,一般情况下,合同签订中应要求双方共同签字盖章,若在特殊情况下,不可同时完成合同签订工作,应避免一方先行签字盖章行为的出现。
1.3存档与分发、交底以及工作履行
存档:对建筑合同实施存档备案工作,其主要依据建筑类型、功能以及签订时间的差异,对其进行分类存档,以便于后期查阅。分发:在合同签订与存档工作后,合同所涉及的相关资料信息,应分发至企业各个部门中,在此过程中,还应关注资料清单的执行情况。交底:通过对合同条款细节化的阐述,使相关设计人员、施工人员以及项目负责人能够准确地对合同内容进行判断,并认识到自身职责的重要性,做好建筑工程施工质量、施工安全的强制化管理,其中,所涉及的部门由项目部门和工程部门、财务部门以及供应部门等。工作履行:工作履行情况,对合同管理质量有着直接影响。若要更好地确保合同履行效果,应通过对合同注意事项明确的方式,针对合同履行中存在的矛盾纠纷问题,进行全方位控制,确保建筑工程整体施工质量。
2合同管理风险
在企业建筑合同管理工作中,常见风险问题,主要由外部因素、对方因素以及自身因素所导致,其中外部因素是指:国家关于建筑行业建设方针、市场经济宏观调控政策、法律法规等外界制因;对方因素是指:对方蓄意违约、对方技术水平与生产能力较差、财务资金周转失衡等;自身因素是指:合同管理人员素质水平、管理能力与企业负责人经济决策能力、设计水平等。上述风险制因因素的存在,促使企业在进行建筑合同管理工作中,存在准备风险、签署风险、履行风险与管理风险4种。
2.1准备风险
合同准备阶段,存在管理风险为策划风险、调查风险和合同对象风险、谈判风险、文本风险与审核风险六种。策划风险为:合同内容设定不符合企业发展目标、合同内容与实际建筑项目之间出现严重偏差、对合同内容法律问题出现有意规避行为;调查风险:未按照客观公正原则、对调查对的信誉度与合同履行情况过于高估;合同对象风险:合同对象自身素质水平不足、将合同履行能力较强的合同对象排除;谈判风险:对施工材料、施工工艺以及机械设备等产品规格与性能考虑不周,使自身利益受损;文本风险:合同条款缺少完整性、精准性以及文字明晰性的特点,促使合同对象在合同履行期间出现误解的状况;审核风险:审核人员专业技能缺失、工作责任认识不足,使其无法发现合同内容与条款中存在的风险。
2.2签署风险
对于企业而言,在建筑合同签署期间,也易发生相应的风险,需引起企业管理者的高度重视,如超出规定签署时间、印章措施、未按规定流程存档与合同条款被恶意篡改等。对此,可采用企业部门职责细化、印章严格管理、程序化与专业化合同签署的方式,对合同签署风险进行有效控制,确保企业自身的经济利益。
2.3履行风险
合同违约风险、变更风险、转让风险与终止风险,是当前企业合同履行阶段中较为常见的管理风险类型。针对此,应事先做好合同对象的调查工作,结合准对象的历史合同履行状态,判断其是否会在项目建设期间,出现合同违约与转让的问题,若准合同对象不符合企业经营管理的需求,需在未开展项目建设前期,对其进行更换。同时针对合同变更与终止问题,可选用施工项目实际完成情况,实时报道原则,对项目合同进行标准化控制。
2.4管理风险
合同管理环节,存在的管理风险为:归档风险与执行效果评价风险,如合同所涉及的机密泄露、合同盗用或滥用状况频繁出现、执行评价管理体制不健全等。对此,应采用合同不定期检查或查阅的方式,加之对准合同对象调查和结果反馈,构建健全且完善地评价体制,针对准合同对象出现的风险遗失问题进行严格控制。
3有效地合同管理风险解决对策
3.1风险规避
风险规避是当前企业解决合同管理风险行之有效地手段,一般适用于风险承受能力相对较差的企业中。风险规避属于事前风险控制的方式,其主要分为试探风险承担和拒绝风险承担两种形式。首先,试探风险承担:在针对建筑工程项目合同风险防控工作中即为常见,其主要依据风险评估标准,对企业可能存在的风险进行判断,结合合同条款的设定,判断企业能够承担合同管理风险的范围。其次,拒绝风险承担:在针对合同管理风险评估工作中,若企业缺少风险降低的手段与能力,为了维持自身的稳定发展,可采用拒绝签订合同的方式,规避合同管理风险。
3.2风险承担
企业风险承担手段,主要依据外界的作用,将合同管理风险控制在标准的范围内,在此期间,风险承担的方式分为两种:一种是公司担保;另一种是风险分散。其中公司担保为:企业在已知的情况下,无法对预期合同管理风险进行控制,而采取的风险防控手段;风险分散:企业选用合同拆分的方式,对当前企业合同管理风险进行合理分配,从而实现管理风险降低的目的。在企业运营活动期间,公司担保、风险分散属于企业常见风险防控手段,不仅可降低合同管理风险,还能促进企业经济利益的提升。
4结语
综上所述,通过对企业合同管理工作的分析,可知在企业经济活动运营期间,合同管理属于日常工作管理的核心内容,同时也是企业实现各项工程建设的基础。结合合同管理风险,采取有效地风险防控措施,可有效地降低企业经营管理风险,实现企业经济效益的提升,同时还可强化企业合同管理工作的重要性,促进企业整体竞争力的提高。
参考文献
[1]程卫民.合同管理流程及其主要风险分析与控制研究[J].同行,2016(5):27-28.
[2]赵领宏.合同管理流程及其主要风险分析与控制研究[J].中国经贸,2015(17):101.
[3]冯戈利,秦现生.航空制造企业中合同管理风险分析及控制应用[J].生产力研究,2015(5):133-136.
[4]赵燕.浅析工程合同管理中的主要风险[J].中国科技投资,2014(A6):307.
[5]周菲,冯鹏洲,刘河东.浅析国际工程承包合同管理中的风险控制[J].知识经济,2014(18):86.
作者:纪剑锋 单位:广东公诚通信建设监理有限公司粤东分公司
风险识别只是由设计单位在设计勘察过程中根据以往工程经验结合项目具体情况进行简单的专家个人判断,风险分析则由设计单位根据LEC法评分准则进行评分,计算单个风险的风险值从而得到整个项目的风险值大小。虽然有设计会审对风险评估报告进行审核,但还是无法避免风险识别和评估过于主观和片面的缺点,经常会造成风险因素识别不全,风险值定义不准确等问题,风险识别和评估的准确性和针对性较差。
通信工程安全监理工作流程
通信工程安全监理工作流程与监理工作实施流程密切相关,按照建设工程生命期阶段划分,监理工作主要分为启动阶段、设计阶段、施工准备阶段、施工阶段、验收阶段、保修阶段等几个阶段。虻监理公司将通信工程监理单位安全管理工作职责按阶段进行了划分和明确,制定了通信工程安全监理工作流程。(一)项目启动阶段编制监理规划,安排具备资质的安全监理人员。(二)设计会审监理安全监督工作1)审查工程概预算是否按照有关规定列出安全生产费用;2)审查工程设计是否按照法律、法规和工程建设强制性标准进行设计,防止因设计不合理导致生产安全事故发生;3)审查工程设计是否注明涉及施工安全的重点部位和环节,并对防范生产安全事故提出指导意见;4)在《设计文件监理审核意见表》上填写监理审核意见。(三)施工准备阶段安全监督工作1)审查施工单位(分包单位)的安全生产资质情况。2)审查施工单位对工程项目是否合理配合安全管理人员。3)审查施工组织设计专项施工方案的安全技术措施是否符合工程建设强制性标准。4)工程开工前向施工单位签发“安全监理通知书”。5)审查施工单位安全技术交底情况。(四)施工阶段安全监督工作1)检查特殊工种作业人员是否具备特种作业证。2)监督施工单位按照施工组织设计的安全技术措施和专项施工方案施工,及时制止各种违章作业。3)加强施工作业现场的检查,发现存在生产安全隐患的,应当要求施工单位整改;对情况严重的,应当要求施工单位暂时停止施工,并及时向建设单位报告。施工单位拒不整改或者不停止施工的,应当向有关主管部门报告。4)督促施工单位做好安全自检工作,并抽查施工单位的自检情况。5)抽查施工单位安全生产费用的使用情况。6)参加建设单位组织的安全生产专项检查。7)定期召开项目部安全会议。(五)验收阶段安全监督工作按照有关规定和要求。做好工程项目安全监理文档的出版、移交和归档等工作。
监理安全管理的风险管理流程
在通信工程建设监理项目中,监理安全管理工作的效果直接影响到项目的客户满意度,监理在安全管理方面的风险控制水平则关系监理单位的市场得失。本论文研究的是通信工程监理单位在安全管理方面的风险管理,涉及通信工程监理全过程。监理在安全管理方面的风险管理的流程分为风险识别、风险分析、风险应对和风险监控四个动态循环的过程,每次的循环都不是简单的重复,而是不断改进的过程。(一)监理安全管理风险识别风险因素的识别是风险分析、应对和监控等工作的基础,其任务是找出项目中的风险,并对风险后果作定性或定量的估计。风险识别是贯穿项目实施全过程的风险管理工作,目标是识别、确定项目中的风险,确认这些风险会对项目的实施产生怎样的影响。监理单位在通信建设工程中的角色是建设单位委托的项目管理者,在实际工程监理工作中的安全管理成效,与建设单位重视程度、管理规范程度,施工单位安全设施的投入、安全管理人员的素质、各项措施的落实情况、参建各方的配合以及上级主管部门的监督方式等很多因素有关。监理安全管理风险识别涉及面广,进行全面的识别有较大困难,识别过程应紧紧围绕监理安全管理工作的职责,主要识别因监理工作不到位而造成的安全管理责任风险。(二)监理安全管理风险分析项目风险识别完成后,需要通过辩识、估计和评价对已识别的风险做出全面的、综合的分析,即进行风险分析,这是风险管理的一个重要环节。该阶段主要解决风险的辩识和量化的问题,为下一步选择对应的风险应对措施、实施风险对策和风险监控提供依据。风险量化主要是估计各种风险发生的概率、分析风险发生时的影响度,计算风险值的大小。风险分析的目的是识别对项目影响较大的风险并进行重点管理,帮助确定必须进行应对的风险,制定降低风险可采取的措施。(三)监理安全管理风险应对项目风险应对是针对项目的风险分析结果,为降低项目风险的负面效应制定风险应对措施和应对活动的过程。项目风险应对计划应考虑风险的严重性排序、风险认知、应对成本和应对措施的有效性等。风险应对可以从改变风险发生的概率或风险后果大小两个方面提出多种应对策略。应对的主要方法有风险回避、风险减轻、风险转移、风险接受等,应对方法通常不是单独使用,对于各种不同的具体的风险,要综合运用各种措施进行控制。(四)监理安全管理风险监控风险监控就是跟踪已经识别的风险,识别、分析和应对新产生的风险,重新分析现有的风险,监测残余风险,在风险事件发生时实施风险应对措施并评估其效果,风险监控贯穿项目整个实施过程。监理公司安全管理风险的监控主要采用风险警示和风险核对表的形式进行。监理公司的风险监控工作以项目经理为核心,全体项目组成员共同参与。以项目生命期各阶段为时间主线,项目团队根据风险清单核对风险状况,对于已采取措施回避的风险则从风险清单中清除。结合通信项目安全风险管控体系,监理人员在进行施工操作风险警示时,同时通报监理安全管理风险,高级风险需知会项目总监,风险解除时发送风险解除信息。介绍了通信工程安全方面的风险管理现状,监理公司安全监理工作流程,同时阐述了通信工程监理安全管理的风险分析与管控体系运转流程,对于今后通信监理公司发展具有一定帮助。
【关键词】GMP;认证;建议
一、质量风险管理现状
我国GMP经历了1998年版、2010年版。其中2010年版GMP为与世界接轨,加快合规的步伐,新增了质量风险管理这一概念。对于国内中小企业是新有名词,比较陌生。因此,药监局也投入了大量人力、物力加强培训工作。随着2012年5月毒胶囊事件以来,翟洁等加强了质量风险管理的研究,康恺也提到风险管理实施要点,显得质量风险管理工作尤为重要。
二、质量风险管理流程
风险识别风险分析风险评估风险降低风险接受风险回顾。
三、质量风险分析工具
1.基本的风险管理促进方法:帕累托图、因果图(鱼骨图)、直方图、检查表、控制图、流程图、过程图;
2.失败模式与影响分析(FMEA);
3.危害操作分析(HAZOP);
4.危害分析和关键控制点(HACCP);
5.失败模式、影响及关键点分析(FMECA);
6.过失树状分析(FTA);
7.初步危害源分析(PHA);
8.风险分级和筛选(RRF);
9.辅助的数理统计工具。
四、质量体系中风险分析推荐使用的工具
制药企业的质量体系是个庞大的体系,涉及产品质量的方方面面。某一具体方面应用何种工具比较,这一问题往往使工作人员感到困惑,以下进行举例说明:
五、质量风险评估应用含义及示例
制药企业的质量工作人员在实施具体的风险评估分析时,往往苦于不知道如何着手,以下针对分析工具进行了举例说明:
六、结语
风险管理无形似有形,每一个生产和质量管理的文件都可以用质量风险评估来确定其有效性,风险评估的对象应该是复杂的系统、工艺或设备,贯穿于整个质量管理体系,是药品生命周期的灵魂。使制药企业合规化,生产出合规药,放心药。
参 考 文 献
[1]朱世斌.《药品生产质量管理工程》.2008
[2]翟洁,梁毅.《质量风险干礼制度在制药企业的建立》.2012
[3]朱玮.质量管理问题的研究[J].企业导报.2009(10)
风险评估是指,在风险事件发生之前或之后(但还没有结束),该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作。即,风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。
风险评估包括风险辨识、风险分析、风险评价三个步骤:
1、风险辨识:
风险辨识是指查找企业各业务单元、各项重要经营活动及其重要业务流程中有无风险,有哪些风险。
2、风险分析:
风险分析是对辨识出的风险及其特征进行明确的定义描述,分析和描述风险发生可能性的高低、风险发生的条件。
3、风险评价:
风险评价是评估风险对企业实现目标的影响程度、风险的价值等。
(来源:文章屋网 )
关键词:电力企业,风险管理,定量风险评估
0、引言
电力作为高风险产业,不仅源于其公用事业属性,以及技术资金密集、供求瞬时平衡、生产运行连续等特征,同时电力项目投资额巨大、建设周期长、沉没成本高,而且,随着电力体制改革和电力市场建设进程的深入,市场主体越来越多,电力交易关系复杂,不同主体之间协调困难,电力行业规划建设、生产经营的不确定性加大、电力市场风险增加。根据“十一五”期间电力体制改革的任务,面对我国电力市场化发展的现状,增强风险意识,树立风险观念,加强风险管理将是电力企业的重要任务。本文在阐述了企业风险管理基本框架流程及其主要内容的基础上,提出电力企业定量风险评估的主要内容及方法,以期推动电力系统风险管理工作的开展。
1、风险管理的主要内容
风险作为客观存在,要求人们考察研究风险时,要从决策角度认识到风险与人们有目的活动、行动方案选择及事物的未来变化有关。风险的形成过程和风险的客观性、损失性、不确定性特征共同构成风险形成机制分析和风险管理的基础。
人们一般对风险持厌恶态度,都想减小风险损失,追求风险与收益的均衡优化。风险管理的提出与发展与企业发展状况、社会背景密不可分。风险管理作为一门管理学科,首先在美国应运而生,之后传到西欧、亚洲、拉丁美洲。美国大多数企业都设置专职部门进行风险管理,许多大学的工商管理学院都开设风险管理课程。风险管理作为一门科学与艺术,既需要定性分析,又需要定量估计;既要求理性,又要求人性;不但需要多学科理论指导,还需要多种方法支持。
源于风险意识的风险管理主要包括风险分析、风险评价与风险控制三大部份。根据风险形成的过程,风险分析需要进行风险辨识、风险估计。风险估计需要进行频率分析与后果分析,而后果分析又包括情景分析与损失分析。通过风险分析,可得到特定系统所有风险的风险估计,对此再参照相应的风险标准及可接受性,判断系统的风险是否可接受,是否采取安全措施,这就是风险评价。风险分析与风险评价总称为风险评估。为进行风险定量化估算,要进行定量风险评估(QuantitativeRiskAssessment—QRA)。在风险评估的基础上,针对风险状况采取相应的措施与对策方案,以控制、抑制、降低风险,即风险控制。风险管理不仅要定性分析风险因素、风险事故及损失状况,而且要尽可能基于风险标准及可接受性对风险进行定量评价。对于以盈利为目的的工业企业也希望将风险损失价值化并给出货币衡量标准。风险管理就是风险分析、风险评价、风险控制三者密切相联的动态过程,见图1。
2、风险管理的组织实施与基本流程
为有效实施风险管理,企业应由专门的组织及相关人员按一定程序组织实施风险管理工作。据《幸福》杂志对美国500多家大公司的调查知,84%的公司由中层以上的经理人员负责风险管理。风险管理的趋势是董事会下属设立风险管理委员会全面负责公司风险管理,组织实施的流程是:①制定风险管理规划;②风险辩识;③风险评估;④风险管理策略方案选择;⑤风险管理策略实施;⑥风险管理策略实施评价。
3、电力企业定量风险评估(QRA)
电力企业QRA的建立与发展从内部来看,不仅已有可靠性分析、安全分析、质量管理、项目管理等各专业分析作基础,从外部而言有电力用户、政府与社会公众、咨询机构等众多相关主体的关注。电力企业QRA对企业的作用主要体现在:通过QRA有利于企业将风险水平控制在规定标准的风险水平之内,并符合最低合理可行原则;通过开展QRA可帮助企业全面识别风险,并按轻重缓急排序,以有助于管理者将精力、财力、物力集中于风险控制的重要紧急领域,使风险管理决策更为合理、效果更好、成本最小;通过对各种风险控制方案或安全改进措施进行QRA,使决策者对方案措施进行优劣选择,为公司提出决策支持。电力企业的风险将对其它企业和主体带来连带影响,并产生放大效应,电力系统安全、可靠、高效、优质是各行各业和政府管理部门共同的愿望。电力企业实施QRA具有现实意义。
3.1电力企业QHA的基本框架模式
电力企业QRA是指在工业系统QRA的基础上,考虑电力系统的技术经济特点及运行规律,结合电力体制改革及电力市场化进程而以概率模型表征的全面风险管理理论方法。为便于实施风险管理,保证风险评估质量,满足风险评估过程各阶段的不同要求,构建如图3所示的适用于电力企业QRA的基本框架模式。在具体实施时,允许依实际情况而有所改变。
3.2电力企业QRA的主要工作内容
(1)确定目标及范围。包括风险管理的目的与意义,待分析系统的设备配置、工作流程、资金、人员、管理、信息、地区、人文环境等,即确定QRA实现目标和实施条件等。
(2)风险辨识。即找出待评价系统中所有潜在的风险因素,并进行初步分析,通过安全检查看系统是否达到规范要求。风险辩识的基本途径有历史事故统计分析、安全检查表分析、风险与可操作性研究(HZOPS)、故障模式与影响分析(FMEA)、故障模式影响及危急分析(FMECA)、故障树分析(ETA)、事故树分析(ETA)、风险分析调查表、保单检视表、资产风险暴露分析表、财务报表、流程图、现场检查表、风险趋势估计表等。为配合保险公司对出险事项的处理,可采用从下至上的归纳法、从上至下的演绎法及两者综合运用。针对特定风险,可选用基于系统平面布置的区域分析、隐含事件分析、德尔菲法及基于事故树分析的风险事故网络法等。风险辩识不只局限于系统硬件,还应考虑人为因素、组织制度等系统软件。
风险综合集成是指对所有风险按其特性类型分门别类加以汇总整理。因电力工业特点及电力市场化改革特点,把电力系统风险按厂网分开的行业结构进行分类。
对于发电企业而言,主要有电源规划风险、报价竞价上网风险、供求平衡风险、市场力抑制风险、备用容量风险、信用风险、法律风险、项目风险、中介机构风险等。对于电网企业而言,主要有电网规划风险、电网融资风险、购电电价风险、电力交易转移风险、辅助服务风险、成本分摊风险、输电阻塞风险、输电能力风险、备用率风险、电力监管风险等。另外,电力企业还将面临电力可靠性、安全性、稳定性风险及电能质量风险等。
风险综合集成后的初步风险分析是对已辩识出的风险进行初步分析评估,确定风险的等级或水平。风险水平低的可忽略不计或仅作定性评估,风险水平高的要在定性分析基础上,进行定量评估。
(3)频率分析。即确定风险可能发生的频率,其方法主要有历史数据统计分析、故障树分析与失效理论模型分析。历史数据统计分析是根据有关事故的历史数据预测今后可能发生的频率。因此要建立
风险数据库,既作为QRA的基础,又作为风险决策的依据。故障树分析作为一种自上而下的逻辑分析法,把可能发生的事故或系统失效(顶事件)与基本部件的失效联系起来,根据基本部件的失效概率计算出顶事件的发生概率。失效理论模型分析是在历史数据与专家经验的基础上,采用某种失效理论模型来计算风险发生频率。
(4)风险测定估计。根据风险特性及类型,运用一定的数学工具测定或估计风险大小。常用方法主要有主观估计法、客观估计法、期望值法、数学模型法、随机模拟法和马尔可夫模型法等。
(5)后果分析。即分析特定风险在某种环境作用下可能导致的各种事故后果及损失。其方法主要有情景分析与损失分析。情景分析通过事件树模型分析特定风险在环境作用下可能导致的各种事故后果。损失分析是分析特定后果对其它事物的影响及利益损失并归结为某种风险指标。
(6)风险标准及可接受性。风险标准及可接受性应遵循最低合理可行(ALARP)原则。ALARP原则是指任何系统都存在风险,而且风险水平越低,即风险程度越小要进一步减少风险越困难,其成本会呈指数曲线上升。也就是说,风险改进措施投资的边际效益递减,最终趋于零,甚至为负值。因此,必须在风险水平与成本间折衷考虑。如果电力企业定量风险评估所得风险水平在不可接受线之上,则该风险被拒绝,如果风险水平在可接受线之下,则该风险可接受,无需采取风险改进措施;如风险水平在不可接受线与可接受线之间,即落人ALARP区(可容忍区),这时要进行风险改进措施投资成本风险分析或风险成本收益分析。
分析结果如果证明进一步增加风险改进投资对电力企业的风险水平减小贡献不大,则该风险是可接受的,即允许该风险存在,以节省投资成本。ALARP原则的经济学解释类似投入要素的边际收益递减规律一样,风险与风险措施投入间的风险曲线也呈边际收益递减规律。
3.3电力企业QRA常用方法
根据电力企业QRA的工作内容和实现要求,结合电力企业本身特点,电力企业QRA常用的方法主要有:安全检查表即实施安全检查的项目明细表;故障模式与影响分析技术和故障模式影响分析与致命度分析(FMEACA)技术;风险与可操作性研究技术;事件树分析技术;基于概率影响图技术、人工智能、专家系统、可靠性工程技术期望值法、风险主观、客观估计法、模糊评估法等。
关键词:工程项目;风险管理;识别;分析;评价
中图分类号:F27 文献标识码:A
收录日期:2014年4月16日
近年来,我国工程建设产业快速发展,有力地促进了国民经济的发展。但是风险事件导致的重大损失工程比比皆是,风险管理显得尤为重要。研究工程项目的风险管理有利于提高人们对风险的防范意识,创造和谐稳定的社会环境。
一、工程项目风险与风险管理
风险与决策相关,是客观因素变化的结果,是结果与期望偏离的总和,是客观存在的,具有偶然性、随意性、可变性、可测性和相关性。风险因素、风险事故和风险损失构成了风险的三大要素。
工程项目的风险是在工程实施过程中,各种自然灾害和意外事故导致企业遭受损失的风险,是所有妨碍工程项目目标实现的不确定性的集合。工程项目风险具有阶段性、全局性和多样性。风险的阶段性是指在工程项目的各个阶段,风险无处不在;风险的全局性是指风险对局部产生的影响会随着项目的进展和时间的推移而扩大,进而影响全局;风险的多样性是指风险内部错综复杂,各种政治风险、建设风险、经济风险、法律风险、自然风险等风险因素随时存在。
工程项目的风险管理是指通过风险识别、风险分析和风险评价认识工程项目的风险,并使用各种风险应对措施、管理方法、技术手段有效地控制项目的风险,妥善处理风险造成的不利后果,以最少的成本保证项目总体目标实现的管理工作。工程项目的风险识别包括识别风险、明确风险、收集资料、估计项目的风险形势;工程项目的风险分析包括定性和定量分析;工程项目的风险评价包括确定风险评价基准、确定项目整体风险水平、做出项目风险的综合评价等。最终需要制定风险管理的方案。
工程项目风险管理的最终目标是实现项目的最终目标,是项目管理过程中的重要组成部分,在某种程度上决定了项目的顺利实施。风险管理和工程项目管理两者密不可分,贯穿工程项目管理的全过程。
二、工程项目的风险识别
风险识别是工程项目风险管理首要步骤,它通过对项目存在的潜在风险的分析与归类,找出对项目顺利实施有巨大影响的潜在风险因素。
(一)工程项目风险识别的主要依据有工程项目规划、工程项目风险管理计划、历史资料、风险种类、假设条件与制约因素。
(二)工程项目风险识别的过程包括收集资料、不确定性分析、建立初步风险清单、风险分类和建立项目风险清单。风险清单列示风险编码、因素、事件、后果,风险发生的估计事件、风险事件预期发生次数、可能的损失等。
(三)工程项目风险识别的方法有专家调查法、核对表法、流程图法和情景分析法等。专家调查法是以专家作为索取信息的对象,依靠专家的知识和经验,由专家通过调查研究对问题做出判断、评估和预测的方法;核对表按照风险来源列示经历过的风险事件及其来源,形成该项目的基本风险结构体系;流程图是按照阶段顺序将工程项目的实施过程以模块的形式组成流程图,在每个模块中标注出潜在的风险因素,给人以清晰的印象;情景分析法适用于可变因素较多的项目,关注于某些因素对项目造成的影响,识别引起风险的关键因素及影响程度。
(四)工程项目识别的风险因素包括政治风险、金融风险、建设风险、运营风险、市场风险及自然风险等,其中运营风险又包含运营成本风险和运营收入风险,市场风险又包含行业竞争风险和市场消费需求风险。
三、工程项目的风险分析
风险分析是通过调查研究提高对不确定性影响项目的认识,以减少不确定性的发生。工程项目的风险分析包括定性分析与定量分析。
(一)定性分析。使用特定的定性分析方法和工具,评估风险发生的可能性,风险事件的发生对工程项目目标实现的影响程度。通常对已识别的风险进行排序,确定风险,从而制定有效的风险应对计划。当出现偏差时,及时修正,同时为风险的定量分析指明方向。广泛使用的定性风险分析方法有过程风险分析、故障模式、影响和危害性分析、故障树分析、事件数分析、原因――后果分析和SWOT分析等。对工程项目风险的定性分析之后,企业需要出具风险综合评定报告、定性风险分析结果的趋势、风险优先次序清单以及需重点进行控制的风险清单。
(二)定量分析。定性分析之后一般进行定量风险分析。定量分析是通过建立数学模型、数理统计等方法,量化风险,并将其可能对项目造成的影响量化,从而识别最需要关注的风险,以数据说明项目的总体风险程度,从而制定成本、进度计划表和风险管理的目标。常用的定量分析的方法有敏感性分析法、矩阵分析法和决策树分析法等。敏感性分析法是从众多不确定性因素中找出对投资项目经济效益指标有重要影响的敏感性因素,并分析、测算其对项目经济效益指标的影响程度和敏感性程度,为项目决策提供依据;矩阵分析法需要建立量化风险矩阵,也就是风险概率――风险影响排序矩阵,对于每个具体的风险都采用一个风险矩阵和风险衡量尺度,定量的对风险进项排序,针对发生的可能性高、后果严重的风险进行有效的风险管理;决策树分析法是将备选的决策或方案通过“树”的形象描述出来,并显示方案执行的后果及可能发生的概率,形象直观、脉络清晰。
四、工程项目的风险评价
工程项目的风险评价是在风险识别和风险分析的基础上,构建风险评价模型,运用数学推理,对风险的概率及其后果的影响程度进行估算,找出关键的风险因素并为将要采取的应对措施提供支持依据的过程。
(一)风险评价的目的。评估风险产生的原因及其发生的后果,为风险控制决策服务。需要注意的是,由于风险因素会随着工程项目进度而不断变化,因而要随条件的变化不断调整量化风险的影响程度,分析风险发生的概率及后果。
(二)风险评价的过程。首先,确定工程项目风险评价的标准,可以选择工期、成本、利润等可以量化的目标作为标准,也可以选择企业威信、员工满意度等目标作为标准;其次,确定工程项目的整体风险,应该向所有的单个风险进行综合,进而确定项目的整体风险,当然,这也是整个风险评价环节最繁琐的情况,因为单个风险的发生概率及其影响后果本来就不遵循一定的规律,再将其自由组合后进行评估其难度可想而知;最后,将工程项目的整体风险水平与风险评价的标准进行比较,以决定是继续按照原计划执行工程项目还是重新拟定新的方案,或是放弃工程项目。
(三)风险评价的方法。在进行工程项目的风险评价时,可以选择的方法有调查打分法、故障树分析法、蒙特卡洛分析法、概率法、风险图法、层次分析法等。
五、工程项目的风险应对
工程项目的风险应对是针对项目风险制定的措施以应对风险,风险应对的策略有预防风险、缓解风险、转移风险、自留风险和利用风险等。
(一)预防风险。首先,对工程项目的管理人员和技术、施工人员进行风险管理教育,提高其风险意识,是一种行之有效的预防风险的方法;其次,在工程项目开始前,采取技术措施,消除物质性风险对工程项目的威胁,防止不利风险因素的出现,以减少损失;最后,企业通过制定标准化、规范化的作业流程,制定各种规章制度等避开不必要的风险。
(二)缓解风险。风险缓解是在承认风险的客观存在性的前提下,采取适当的措施,降低风险对工程项目目标、进度、质量等的影响,将风险发生的概率降低到企业可承受的范围之内。一方面人为分隔可以分开的风险;另一方面寻找共担风险的风险承担者,缓解独自承担风险的压力。
(三)转移风险。风险转移,不是风险转嫁,而是通过发包和分包、工程的保险与担保等方式将风险转移给愿意承担风险的一方来承担,并不能减少风险的危害程度。
(四)自留风险。自留风险,是指项目主体独立承担风险,不予以转移的行为。事实上,不是所有的风险都可以自留,因而在采用风险自留之前必须掌握完备的风险信息,可以采取防止或减少损失与自我保险的措施。
(五)利用风险。利用风险主要是针对投机风险而言,因为风险与收益并存,通过衡量风险的成本代价与收益价值,制定相应的措施,化不利为有力,使风险成为盈利的来源。
主要参考文献:
[1]董芳芳.建筑工程项目风险分析与控制[J].山西建筑,2014.3.
[2]陆鹏.工程项目风险管理研究[J].科技信息,2013.17.
【关键词】高校后勤;项目管理;风险浅析
一、浅析综述
高校后勤项目管理风险分析在实际的财务核算、成本控制、业务分解、流程管控等多方面应用中发挥着作用。风险控制系统的建设重点在于在实际应用的范围内建设起一套规范、健全的风险管理体系,从而为项目管理体系的建设打下坚实的基础。
(一) 财务系统管理
财务系统涉及到财务方面数据与核心业务的融合。财务数据发生后首先在财务系统记账,在财务系统形成详细的总账明细账,然后通过实体系统进行汇总报表等,使财务工作协调化应用水平迅速提升,并反应核心业务系统关键部分的财务情况。
(二) 业务系统管理
业务系统按照项目实施流程进行分层次管理。项目组织结构的形式直接影响项目的实际进程及效率,高水平的项目组织构成是系统实施的基础。首先,确定项目的目标和范围,建立项目组织人员, 评估不同层次人员相关技能知识并进行相应的选择,制订一个清晰、简明、完整的项目实施计划。其次,结合具体情况,采用切实的实施策略。再次,项目组织应采用适当的项目控制方法和阶段性量化指标体系,并特别要做好数据准备和业务流程优化重组。
高度集成应用实现了财务管理系统与实体业务系统的无缝连接,达到财务管理系统与实体业务系统的一体化应用,从而为进行更完善的成本管理、财务分析、风险分析、流程控制等奠定基础。
二、财务系统风险分析
财务系统的风险贯穿于该系统构建的各个方面,其建设中重点把握以下部分的风险防控。首先,实现集中式的财务管理。财务数据统一管理整合,实现财务数据大集中。一方面实现充分体现统管机构的整体控制地位。另一方面,按照各级单位自身管理及核算方面的要求,在保持基本核算体系一致的情况下,允许各级单位在项目管理方法上的个性化。同时,可以根据需要实现业务资金与自身资金相互一致统筹处理,体现业务系统对应的业务资金账务,同时财务系统兼具处理非业务资金,以加强内部控制。其次,建立科学合理的财务管理体系。完善财务控制制度,实现行业领先的运作模式,提高运行效率。再次,集中式固定资产管理。对各分支机构的固定资产实现统一管理,实现固定资产的账务集中核算、折旧费用自动计提以及固定资产的增减变动、价值变动、状态变动等统一、集中、全面的管理功能,并为费用分摊及成本核算提供依据,对固定资产的相关信息提供全面灵活的查询统计和报表生成。固定资产管理是可以采取固定资产卡片的形式以控制风险。固定资产卡片样式根据资产类别的不同而有所区别。如在房屋建筑类固定资产卡片中增减房屋面积等项目、在运输设备类固定资产中增加车辆排照号等项目。对于各种在建工程,资金的拨付和付款通过报账中心进行处理,反映在项目管理的资金台账上。在工程完工后,对项目建设过程中的各种支出进行汇总,一次性转入固定资产,登记卡片账并逐月计提折旧。
后勤组织的认知程度对财务系统的实施起到重要的影响。财务系统管理具有牵涉范围广、风险高等特征,这就要需要后勤组织对其效益与实施难度有所了解。财务系统的实施不单纯是的技术问题,更关系到全局发展,只有全员整体的充分理解、持续支持、参与才可能成功。财务基础数据是否完整 、准确也对业务系统的实施有着重要影响。由于其高度集成性,不准确的基础数据经过处理后会使它们的影响范围更广,危害更大,最后还会导致业务系统的数据模糊。良好财务系统是高校后勤项目风险控制的动力源泉,也是突破实施障碍的关键。
三、业务系统风险分析
明确业务系统,个人和组织对业务的影响需要显现而明确。以此达到控制业务系统风险,提升其运作效率的作用,包括对管理者决策效率的促进,决策准确性的提高,员工工作效率的提高,财务信息获得和理解能力的加强,以及财务指标的改善,以上林林总总均能够体现在业务系统的运作上。业务流程设置等专业性问题上应以具体参与者意见为主,由于涉及广泛,还需要考虑如何平衡各种流程关系,避免产生阻力。高校后勤业务信息管理中,共享是项目实施的一个重要环节,可以提高项目风险的控制力。通过信息共享可以让所关联的人员了解财务系统和业务系统流程及作用,使其认识到信息共享所产生的效益。也可以使关联人员对自身的工作任务更加了解,清楚了解个体工作对整个的作用,明确各个阶段、内容、层次的要求。有效链接业务信息与财务系统运行模式,熟悉工作规范,清楚明了整个过程。理解基础数据在系统中的来源和用途,深刻理解运行原理和各模块间的关系,根据对应的业务和权限,为整体项目的开展提供有力支撑。
四、成果与作用
1.1安全风险评估应用模型三阶段。
在电子政务系统设的实施过程,主要分为规划与设计阶段、建设与实施阶段、运行与管理阶段等三个阶段。其中,安全风险分析主要作用于规划与设计阶段,安全等级评估主要作用于建设与施工阶段,安全检查评估主要作用于运行与管理阶段。安全风险分析,主要是利用风险评估工具对系统的安全问题进行分析。对于信息资产的风险等级的确定,以及其风险的优先控制顺序,可以通过根据电子政务系统的需求,采用定性和定量的方法,制定相关的安全保障方案。安全等级评估,主要由自评估和他评估两种评估方式构成。被评估电子政务系统的拥有者,通过结合其自身的力量和相关的等级保护标准,进行安全等级评估的方式,称为自评估。而他评估则是指通过第三方权威专业评估机构,依据已颁布的标准或法规进行评估。通过定期或随机的安全等级评估,掌握系统动态、业务调整、网络威胁等动向,能够及时预防和处理系统中存在的安全漏洞、隐患,提高系统的防御能力,并给予合理的安全防范措施等。若电子政务网络系统需要进行较大程度上的更新或变革,则需要重新对系统进行安全等级评估工作。安全检查评估,主要是在对漏洞扫描、模拟攻击,以及对安全隐患的检查等方面,对电子政务网络系统的运行状态进行监测,并给予解决问题的安全防范措施。
1.2安全风险分析的应用模型。
在政府网络安全风险评估工作中,主要是借助安全风险评测工具和第三方权威机构,对安全风险分析、安全等级评估和安全检查评估等三方面进行评估工作。在此,本文重点要讲述的是安全风险分析的应用模型。在安全风险分析的应用模型中,着重需要考虑到的是其主要因素、基本流程和专家评判法。
(1)主要因素。
在资产上,政府的信息资源不但具有经济价值,还拥有者重要的政治因素。因此,要从关键和敏感度出发,确定信息资产。在不足上,政府电子政务网络系统,存在一定的脆弱性和被利用的潜在性。在威胁上,政府电子政务网络系统受到来自内、外部的威胁。在影响上,可能致使信息资源泄露,严重时造成重大的资源损失。
(2)基本流程。
根据安全需求,确定政府电子政务网络系统的安全风险等级和目标。根据政府电子政务网络系统的结构和应用需求,实行区域和安全边界的划分。识别并估价安全区域内的信息资产。识别与评价安全区域内的环境对资产的威胁。识别与分析安全区域内的威胁所对应的资产或组织存在的薄弱点。建立政府电子政务网络系统的安全风险评估方法和安全风险等级评价原则,并确定其大小与等级。结合相关的系统安全需求和等级保护,以及费用应当与风险相平衡的原则,对风险控制方法加以探究,从而制定出有效的安全风险控制措施和解决方案。
(3)专家评判法。
在建设政府电子政务网络系统的前期决策中,由于缺少相关的数据和资料,因此,可以通过专家评判的方法,为政府电子政务网络系统提供一个大概的参考数值和结果,作为决策前期的基础。在安全区域内,根据网络拓扑结构(即物理层、网络层、系统层、应用层、数据层、用户层),应用需求和安全需求划分的安全边界和安全区域,建立起风险值计算模型。通过列出从物理层到用户层之间结构所存在的薄弱点,分析其可能为资产所带来的影响,以及这些薄弱点对系统薄弱环节外部可能产生的威胁程度大小,进而通过安全风险评估专家进行评判,得到系统的风险值及排序。在不同的安全层次中,每个薄弱环节都存在着不同程度的潜在威胁。若是采用多嵌套的计算方法,能够帮助计算出特定安全区域下的资产在这些薄弱环节中的风险值。
2结语
关键词:政府;招标采购;风险分析及防范
一、政府招标采购风险管理流程分析
政府招标采购风险管理是指对政府招标采购活动中可能发生的不确定性意外进行识别、分析、评价,并据此做好后期防范工作,实现控制或减少意外经济损失,最终实现政府招标采购预期的目标[1]。在政府招标采购过程中,需要深入的分析政府招标采购过程中的风险问题,严格按照政府招标采购风险管理的基本过程进行分析,包括政府招标采购风险识别、分析与评价、计划以及应对等等。通过对政府招标采购风险的识别、分析与评价,并在此基础之上优化组合各种风险管理技术,提升风险实施的有效监控与妥善处理,期望以最小的成本获取最大安全保障的目标。
二、政府招标采购风险识别与评价
政府招标采购风险识别与评价包括政府招标采购风险识别和政府招标采购风险分析与评价两个方面的内容[2]。其中,政府招标采购风险识别是首要步骤,是整个政府招标采购风险管理系统的基础。缺少风险识别,政府招标采购风险管理就会成为空中楼阁,没有实现的可能性。政府招标采购风险识别主要包括对未来可能风险事件来源以及结果的调查、识别风险的持续性以及严格分类风险等级程度等等方面。政府招标采购风险是指在政府采购的过程中,由于种种以外情况的发生,违背了政府采购制度及原则的行为,从而造成政府招标采购的实际结果与预期目标相偏离的可能性。政府招标采购风险识别首先需要通过对可能性的风险进行分类,加强对风险的了解[3]。另外,在对风险归类的基础之上,辨清风险的属性,从而制定政府招标采购风险管理的目标。最后,按照政府招标采购的目标,将目标风险划分为内部风险及外部风险。内部风险是政府招标采购实施行为中本身所带来的风险,而外部风险是政府招标采购过程中由于外部因素造成的风险。并且将内外部潜在风险因素进行仔细的甄别,从而针对性的制定防范风险发生的紧急应对措施[4]。
政府招标采购风险分析与评价是在风险识别的基础之上,将政府招标采购风险发生的概率、损失程度结合起来综合考虑,得出系统发生风险的程度及可能性。政府招标采购风险分析与评价需要运用科学的方式,包括活动网络方法、模糊数学方法、影像图及控制区间及记忆模型方法等等[5]。考虑到政府招标采购风险具有层次性、因素多的特点,可以通过建立政府招标采购风险综合评价体系,然后基于模糊理论,结合层次分析方法以及综合评价FAHP模型对政府招标采购风险进行分析。基本实现途径包括建立政府招标采购风险综合指标体系、应用基于FAHP的政府招标采购风险评价模型。后者又可以细分为建立政府招标采购风险因素集合、风险因素权重集合、风险因素评价集合、最末层风险因素概率分布确定、基于模糊综合评价模型下的各级风险因素概率分布计算以及基于各级风险因素权重下的政府招标采购总风险概率分布实现。
三、加强政府招标采购风险防范与控制的基本策略
加强政府招标采购风险防范与控制的基本策略主要包括政府招标采购风险回避、损失控制、风险分离、风险转移以及风险自留几种方式。具体而言,政府招标采购风险回避是中断风险源,从而使其不再发生或者遏制其发生的有效手段。采取风险回避手段有时候不得不做出一些不必要的牺牲,但是与承担的可能性风险损失而言,这些牺牲在很多时候可能是微不足道的,有时候是异常巨大的。为此,对于是否采取风险回避的手段来实现对政府招标采购风险防范与控制,还需要结合具体的情况进行决策。
政府招标采购风险损失控制包括两个方面的内容。一是减少损失发生的概率,也就是将损失预防。二是降低损失的严重程度,也就是遏制损失的加剧,设法促使损失降低到最低。预防损失是采取各种各样的防范措施杜绝损失发生的可能性。减少损失是在风险损失已经不可避免的情况下,通过有效的措施限制和降低损失扩展的范围,从而减轻后期损失的程度问题。
风险分离、风险转移以及风险自留也是政府招标采购风险防范与控制的有效手段。风险分离是将各种风险单位分离间隔,从而避免发生连锁反应、相互牵连。风险转移是通过寻求外援及补偿的方式降低风险损失,包括了保险转移以及非保险转移两种方式。风险自留是指将风险给自己承担,不予转移。风险自留在许多时候是一种必要的、最好的选择,也是政府招标采购主体承担风险的必要选择。
四、结语
近年来各级政府部门在加强支出管理方面进行了不懈的探索,但是采取的方法大都具有临时性与局部性,根本没有形成一套较为完整的,并且不符合经济市场运行要求的制度,从而导致政府招标采购在实际落实中遭受到了各种各样的风险。作为一种优化财政支出、调控国家经济的重要方法,政府招标采购不仅成为了当前必须要解决的一项重大问题。为此,本文从政府招标采购风险管理流程分析出发,然后就政府招标采购风险识别与评价进行了深入的探讨。最后对实现加强政府招标采购风险防范与控制的基本策略提出了几点建议。希望为今后加强政府招标采购风险防范与控制的实践工作奠定一个具有参考价值的文献基础。(作者单位:陕西省采购招标有限责任公司)
参考文献:
[1] 缪昊轩.浅析政府招标采购中的风险分析及防范[J].现代经济信息,2013,24:81-83.
[2] 赵春.招标采购中的风险分析与控制――以高校为例[J].中国集体经济,2013,36:13-14.
[3] 谢哲明.招标采购中的风险与分析[J].中华民居(下旬刊),2014,07:141-143.
(一)评估内容。工信部与三大运营商对互联网新技术新业务信息安全评估的要求主要包括:与业务相关的网络架构安全、设备安全、平台安全、业务流程安全、内容安全、业务数据安全、系统运维及人员管理安全等方面。
(二)“传统”安全评估的主要内容。虽然目前的评估都来自于ISO13335-2信息安全风险管理中(如图1),但主要的内容为:管理脆弱性识别包括组织架构管理、人员安全管理、运维安全管理、审计安全管理等方面的评估技术脆弱性识别漏洞扫描:对网络安全、网站安全、操作系统安全、数据库安全等方面的脆弱性进行识别。基线安全:对各种类型操作系统(HP-UX、AIX、SOLARIS、LINUX、Windows等)、WEB应用(IIS、Tomcat等)、网络设备等网元的安全配置进行检查和评估。渗透测试:渗透测试是站在攻击者的角度,对目标进行深入的技术脆弱性的挖掘。
(三)业务信息安全评估与“传统”安全评估的对比。虽然安全风险评估基本都按照了ISO13335-2中的方法来操作,但是通过对业务信息安全评估的内容和“传统”安全评估内容对比不难看出,“传统”安全评估主要集中在网络、系统和应用软件层,且每层的评估比较孤立,很难全面反映业务的主要风险。“以业务为中心、风险为导向”的业务系统安全评估能够与客户的业务密切结合,风险评估结果和安全建议能够与客户的业务发展战略相一致,最终做到促进和保障业务战略的实现。
二、互联网新技术新业务信息安全评估的主要方法
“业务为中心、风险为导向”的信息安全评估思路互联网新技术新业务信息安全评估是开展其他信息安全服务的基础,而以“业务为中心、风险为导向”的信息安全评估思路,是切实落实信息安全风险评估的根本保证。
(一)主要流程。对互联网新技术新业务信息安全评估来说,分为三大基本步骤:一是深入业务,分析流程;二是业务威胁分析、业务脆弱性识别和人工渗透分析;三是风险分析和处置建议。
(二)深入业务,分析流程。目标是了解业务信息系统承载的业务使命、业务功能、业务流程等;客观准确把握业务信息系统的体系特征。管理层面调研和分析围绕“业务”,管理调研的内容主要为组织架构、部门职责、岗位设置、人员能力、管理流程、审计流程等等,其调研核心是一系列的管理流程。通常,组织中有多种类型的管理流程,管理调研的重点是与信息安全有关的流程、制度及其落实、执行和效果情况。管理措施通常贯穿于整个管理流程之中,目的是保证管理流程的有效流传或者不出现意外的纰漏。管控措施的设计一般都遵循一定的原则,如工作相关、职责分析、最小授权等等。业务系统层面调研和分析业务系统提供的功能一般是指被外界(例如客户、用户)所感知的服务项目或内容,是IT系统承载、支持的若干个业务流程所提供功能的总汇。一个具体的业务功能常常与多个业务流程相关,一种(个)业务功能,常常需要若干个业务流程来实现。例如数据的录入流程、数据的修改流程、数据的处理流程等等。对于一个具体的信息系统来说,可以通过其提供的业务功能,对业务流程进行全面梳理、归纳,并验证业务流程分析的完备性、系统性。一个具体的业务流程也常常跨越多个系统,某个具体的IT系统可能仅完成整个IT流程中的某一个活动。例如在短信增值服务中,SP与用户手机短信收发就涉及到了短信中心、短信网关、智能网SCP等多个系统;另外,还涉及到了计费、BOSS等业务支撑系统以及网管等运维管理系统等。因此,业务功能通常是对业务系统进行调研的最佳切入点,并将业务流程简化成为单纯的数据处理过程,将各个应用软件之间的数据传输简化成为点对点的流。然后基于数据流分析,建立信息视图,明确信息的流转、分布、出入口,把业务系统简化成为数据流的形式,可以更好地分析数据在各个阶段所面临的风险。
(三)脆弱性识别。
1.系统和应用软件层脆弱性识别。对评估范围内的主机操作系统及其上运行的数据库/Web服务器/中间件等系统软件的安全技术脆弱性,得到主机设备的安全现状,包含当前安全模块的性能、安全功能、稳定性以及在基础设施中的功能状态。
2.网络层脆弱性识别。明确被评估系统和其他业务系统的接口逻辑关系、和其他业务系统的访问关系、得出清晰的基础设施拓扑图;从网络的稳定性、安全性、扩展性、(易于)管理性、冗余性几个方面综合评定网络的安全状况。
3.现有安全措施脆弱性识别。识别并分析现有安全措施的部署位置、安全策略,确定其是否发挥了应用的作用。
4.管理层脆弱性识别。识别和分析安全组织、安全管理制度、流程以及执行中存在的安全弱点。
(四)业务威胁分析。对于业务系统来说,安全威胁及安全需求分析的最小单位是数据处理活动。可以通过安全威胁列表来识别威胁,构建安全威胁场景来进行威胁、风险分析。
1.列出评估的业务系统的全部安全威胁。如何能将安全威胁很好的列出来呢?可以借助一些现有的安全威胁分析模型,例如微软Stride模型(假冒、篡改、否认、信息泄漏、拒绝服务、提升权限)都提供了一些安全威胁的分类方法。
2.识别和构造威胁路径。依据自身(企业或部门级)的业务特点进行细化,识别和列出安全威胁来,如拒绝服务、业务滥用、业务欺诈、恶意订购、用户假冒、隐蔽、非法数据流、恶意代码等。
3.业务渗透测试和攻击路径分析。因为业务的特性是“个性化”,那么就很难用一个或多个工具发现所有问题;且业务的个性化,在业务逻辑、接口等安全测评中,必须要有人工参与。利用业务流程分析、威胁分析和脆弱性分析的相关数据,实现渗透测试。
【关键词】法律风险;风险管理;风险评估
风险管理是企业经营管理的一部分。企业时时处处面临各种风险,法律风险无疑是其最终表现形式。因此,企业风险的管理说到底是法律风险的管理。国网河南省电力公司濮阳供电公司(以下简称濮阳公司)实行全方位全过程法律风险管理,该模式具体由“三大模块”“六大要素”构成。“三大模块”是指法律风险环境信息辨析、法律风险评估和法律风险应对;“六大要素”是指组织、职能、制度、流程、文化和信息系统。
一、实施法律风险项目化管理
对法律风险分析、控制和评估工作实施项目化管理,根据项目管理原理和方法,成立项目组织机构,包括领导小组、项目组和联合工作组。项目领导组主要负责推进、指导项目开展,调配项目资源,协调解决重大事项,由公司领导任组长,各部门负责人任成员。项目工作组主要负责整个项目的组织管理和具体实施,由公司法律顾问、外聘律师和咨询顾问人员组成。联合工作组负责开展过程中部门间的信息传递、沟通工作,由各专业骨干和法务联络员组成。
二、明确法律风险环境信息
首先,按照国网公司、省公司对法律工作的要求,制定法律风险评价准则,用以衡量法律风险严重程度,充分反映上级单位、“三全五依”法律目标、经营战略、资源分布和工作计划执行情况。其次,从内部和外部两个维度明确法律风险环境信息,外部法律风险环境因素主要包括法律法规的出台和修订,监管机构、用电客户、利益相关方等法律主体对企业的法律行为等因素,内部法律风险环境因素主要包括企业的组织职能、制度流程、风险文化、企业领导者、员工的风险偏好、法律素质与风险意识等。再次,采用管理学上的SWOT分析法(又称动态分析法)进行企业法律风险环境分析,从优势(Strength)、劣势(Weakness)、机会(Opportunity)和威胁(Threat)四个维度把研究对象调查列举出来,并依照矩阵形式排列,从中得出结论,最终形成企业法律风险环境分析报告,作为评估法律风险的环境参照。
三、开展法律风险评估
第一,首先要做的是进行法律风险辨析。制定法律风险识别指南,构建起完整的企业法律风险识别框架,梳理出各部门的主要管理和业务活动,搜集相关的法律、法规、诉讼案件、投诉材料等,运用法规梳理法、德尔菲法、案例分析法和头脑风暴法等方法逐一判断每项业务或管理活动中存在的法律风险,并确定风险名称及风险行为,征求部门意见并集中会审后,形成企业法律风险清单。
第二,进行法律风险分析。从资源配置、奖惩机制、职责权限、过程监控、部门内法律审查、执行者能力要求、法律风险意识、专业法律审查八个分析维度,对每个风险行为进行分析,制作企业法律风险分析表,并内置相关计算公式,实现风险的可能性、风险水平数值及损失度的自动计算;组织项目组专家团队对企业法律风险分析表中各种风险行为的相关分析维度逐一评估;根据部门和专家意见调整分析结果。
第三,进行法律风险评价。利用K-MEAN聚类法功能软件(SPSS),对全部企业法律风险水平评价数值进行聚类分析,确定法律风险分级标准,划分为五个风险等级;统计风险类型、风险数量、风险等级等基础数据,绘制相关表格;分别从部门维度、外部主体维度、部门和外部主体交叉维度以及经营管理流程维度,利用风险叠加图法、风险等级图法、风险坐标图法等,从风险分布特点、风险趋势、风险成因进行风险评价;进一步对相关风险及风险行为从法律专业角度开展分析,提出法律上的意见建议,纳入公司法律风险清单。
四、进行法律风险应对
首先,选择风险应对策略,根据法律风险类型、风险承受度和风险偏好,选择规避风险、转移风险、降低风险、接受风险之一或组合。其次,对法律风险应对现状开展评估,筛选风险行为及法律风险,制作评估表,由各相关部门对企业法律风险应对现状开展自评,形成最终企业法律风险应对现状评估表,撰写完成企业法律风险应对现状评估报告。再次,制定实施法律风险应对计划,从制度、流程、活动等角度提出控制措施,包括制度流程类、资源配置类、标准规范类、培训类、技术手段类、活动类、信息类等。最后,在风险应对措施的内容调整完成后,确定各项风险应对措施的责任部门、完成标志、配合部门、完成进度等内容,并最终形成整体企业法律风险应对计划。实施过程中把握“用尽可能少的措施控制尽可能多的风险”原则。
五、实行监督检查
1地质灾害风险分析中GIS技术的应用
1.1地质灾害风险分析系统中GIS的应用GIS技术以自身智能化的特征构建集成性、专业性、综合性且可应用于实际工作中的地学分析模型,改变了传统完全依靠专家进行分析总结才可解决问题的现状。特别对形成机理不相同的地质灾害或地质灾害中的个体,都可利用GIS技术管理相关信息,并分析地质灾害发生与其影响因素在不同空间尺度或不同时间尺度上的统计关系,以此为依据将灾害发生的概率与可能造成的后果做出合理的评价。以图1为例,其为地质灾害风险分析系统工作的主要流程,基于GIS技术下的数字高程分析、属性管理以及空间分析等对地质灾害风险中分析过程中的不确定性与模糊性降至最低程度,解决传统分析方法中的难题[2]。
1.2地质灾害危险性区划系统中GIS的应用区划模型系统主要指基于GIS技术下能够评价地质灾害危险程度或发育程度的应用系统,是研究地质灾害区划以及政府部门制定减灾决策的主要工具,在获取、储存与处理空间数据信息方面具有极大的优势。在地质灾害区划方面,GIS基础下的应用系统主要由许多个体如危险程度的预测或评价、发展趋势的预测、危险性评价等模型所组成,利用前文所提到的等级概念获取能够反映地质灾害发生规律的预测结果。以图2为例,其为地质灾害危险性区划流程图。从中可分析GIS地质灾害预测分区的主要利用一定的数学模型,并对从其中所获取的相关参数进行分析,具体植入到每个分区模型中,这样就可将地质灾害灾情指数计算出来,最后通过GIS形成地质灾害等级的分区图[3]。
1.3地质灾害区域评价预测与预警中GIS的应用分析基于GIS技术下的地质灾害系统具有监测及预警的功能。在监测信息系统方面,其主要集图像、管理、应用以及数据管理等四个系统于一体,实现对监测信息的存储与管理等。在预警系统方面,其以坡体破坏外力如工程累积、雨水影响等为依据,将区域中地质灾害的爆发做出分析,这样便实现区域性的预警预报[4]。如图3所示为预警系统框架图。
2以国内滑坡灾害风险为例分析
1)分析滑坡灾害危险性。根据以往学者研究及近年来国内滑坡灾害的发生情况可分析,我国的滑坡灾害活动规模、活动频次等规律决定其历史危险性,而且在分布特征上主要体现在无活动区、低密度区、中等密度区、高密度区以及特高密度区等五个等级区域。而从滑坡灾害影响因素角度,主要受自然属性如地震烈度等级、降水分布、地形地貌以及地质断裂构造等方面影响,同时也包括人类生产生活活动的因素。在分析地质灾害历史危险性以及影响因素后,通过GIS空间分析功能可形成评价区划分布图,根据其中的信息量可推出滑坡灾害的危险性等级,常见的等级划分主要体现在低危险性、中等危险性、高危险性以及极高危险性等四个等级。2)从社会经济易损性角度。由前文可知,对地质灾害风险分析评价过程中既需考虑到自然属性,也需分析其对社会经济活动产生的影响。但相比之下,对社会经济易损性的分析往往具有很大的困难,其原因在于不同地域与不同时间所产生的变化各不相同。因此实际分析过程中,需将以往滑坡灾害对社会经济活动以及人类生命财产安全的影响作为基础,并对区域中人口结构或建筑结构以及社会经济活动等分布情况与抗灾能力综合考虑,从而形成以区域土地易损性与人口易损性为根据的等级分布图,具体可将其划分为低易损性、中等易损性、高易损性以及极高易损性四个等级。3)从滑坡灾害风险角度。对滑坡灾害风险进行分析时,若从整体上计算滑坡灾害风险将无法得出合理的结果,因此需按前文所提及的等级概念对风险进行分级。对滑坡灾害风险区划时可利用以往的数据信息以及现有的GIS技术下产生的数据信息为标准,并通过区域滑坡灾害易损性以及危险性的等级,具体划分为极低风险区、低风险区、中等风险区以及高风险区等四个等级[5]。
3结语
地质灾害风险分析过程中GIS技术的应用是未来分析与评价地质灾害风险的必然手段。实际应用过程中应注意对其原理进行分析,并综合考虑不同区域地质灾害发生的特点及历史危害性与潜在危害性等。同时还需充分发挥GIS技术在风险分析、风险区划以及风险监测预警方面的优势,以此减少地质灾害对人类生产活动的影响。
作者:张云涛周美珍单位:江西省核工业地质局二六六大队
