时间:2023-06-12 14:44:38
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇风险识别及评估,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
IT在银行业扮演着越来越重要的角色。随着银行业电子化程度的不断提高,加强IT的风险管理势在必行。
为此,银监会于2009年出台了《商业银行信息科技风险管理指引》,对信息科技风险管理目标提出了具体的指导性意见。
风险管理是识别风险、评价风险、控制风险的过程,最终目标是将风险控制在可接受范围。而风险评估是对风险发生的可能性及可能造成的影响进行分析,是识别风险、评价风险的过程,是风险管理的基础。
信息科技的风险管理也需要以风险评估为基础。
整体和专项两种评估
风险评估是风险管理过程中重要的一环,在安全规划、业务连续性管理和实施等级保护等方面也离不开风险评估。
信息科技风险评估可以分为整体风险评估和专项风险评估。
整体风险评估是指对信息科技的各个方面,如治理、信息安全、信息系统开发、测试与维护、信息科技运行、外包、业务连续性管理等,进行全面的风险评估。专项风险评估则是指针对信息科技的某一方面、某个系统或为某个目的而进行的评估。常见的专项风险评估还会根据评估对象分为网络评估、系统风险评估等。
整体风险评估侧重于反映宏观层面的风险,即全面反映影响实现IT目标的风险,帮助银行高级管理层把握信息科技的整体风险状况,从而据此来进行战略决策,最终提升风险管理能力。专项风险评估则侧重于反映微观层面的风险,即反映信息科技某一方面或者某个系统存在的风险,据此来决定采取相应的风险处理措施,降低相关系统所面临的风险。
评估风险的七个步骤
风险有影响及可能性两个属性,而影响是由资产的价值与资产存在的弱点决定的,可能性是由资产面临的威胁及资产存在的弱点决定的。因此,风险评估需要对资产、弱点及威胁进行综合分析。
风险评估工作一般有以下七个步骤:描述分析评估对象,确定其目标或者价值;识别评估对象存在的弱点;识别评估对象面临的威胁;通过分析弱点及威胁,确定风险发生的可能性;通过分析资产及弱点,预测风险如果发生可能带来的影响;通过已经分析出的可能性和影响确定风险等级;根据风险等级提出风险处理建议。
这几个步骤可划分为风险识别、风险分析、风险定级三个阶段。
风险识别是风险评估的基础,只有完整地识别出被评估对象的风险才可能进行正确的风险分析、风险定级。风险识别要对评估对象存在的弱点及面临的威胁进行识别,这是风险识别的关键。
整体风险评估覆盖范围广,反映的是宏观层面的风险,因此在进行整体风险评估时应该以调查方式为主,以检查、安全测试方式为辅。
在做整体风险评估时,要先准备详细的调查问卷,问卷内容涵盖信息科技的各个方面。一般来讲,银行的IT目标是在满足合规管理要求的前提下,支持业务创新和业务运营。为了实现这个目标,需要管理流程和基础资源配备作为支撑。其中,管理流程可分为IT业务创新支持、IT业务运营支持、IT合规管理及IT治理等四类,基础资源配备包括支撑IT运行的人、信息、应用系统及基础设施。
专项风险评估反映的是微观层面的风险,要深入查找评估对象存在的风险。因此,专项风险评估应该采取以检查与安全测试为主,以调查为辅的方法。
关键词:信息安全;风险评估;风险分析
中图分类号:TP311 文献标识码:A 文章编号:1007-9599 (2011) 22-0000-01
Research and Design of Power Information Network Risk Assessment Auxiliary System
Yang Dawei1,2,Liu Yu2
(1.School of Control and Computer Engineering North China Electric Power University,Baoding 071003,China;2.Panjin Power Supply Company,Panjin 124000,China)
Abstract:This paper designed a multi-expert assessment system,which runs in strict accordance with the"Guide"to assess the risk assessment process,making assessment results more comprehensive and objective.
Keywords:Information Security;Risk Assessment;Risk Analysis
一、前言
电力系统越来越依赖电力信息网络来保障其安全、可靠、高效的运行,该数据信息网络出现的任何信息安全方面的问题都可能波及电力系统的安全、稳定、经济运行,因此电力信息网络的安全保障工作刻不容缓[1,2]。风险评估具体的评估方法从早期简单的纯技术操作,逐渐过渡到目前普遍采用BS7799、OCTAVE、ISO13335、NIST SP800-30等相关标准的方法,充分体现以资产为出发点,以威胁为触发,以技术、管理、运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型[3]。
二、信息安全风险评估
在我国,风险评估工作已经完成了调查研究阶段、标准草案编制阶段和全国试点工作阶段,国信办制定的标准草案《信息安全风险评估指南》[4](简称《指南》)得到了较好地实践。本文设计的工具是基于《指南》的,涉及内容包括:
(一)风险要素关系。围绕着资产、威胁、脆弱性和安全措施这些基本要素展开,在对基本要素的评估过程中,需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与基本要素相关的各类属性。
(二)风险分析原理。资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。
(三)风险评估流程。包括风险评估准备、资产识别、威胁识别、脆弱性识别、已有安全措施确认、风险分析、风险消减[5]。
三、电力信息网风险评估辅助系统设计与实现
本文设计的信息安全风险评估辅助系统是基于《指南》的标准,设计阶段参考了Nipc-RiskAssessTool-V2.0,Microsoft Security Risk Self-Assessment Tool等风险评估工具。系统采用C/S结构,是一个多专家共同评估的风险评估工具。分为知识库管理端、信息库管理端、系统评估端、评估管理端。其中前两个工具用于更新知识库和信息库。后两个工具是风险评估的主体。下面对系统各部分的功能模块进行详细介绍:
(一)评估管理端。评估管理端控制风险评估的进度,综合管理系统评估端的评估结果。具体表现在:开启评估任务;分配风险评估专家;对准备阶段、资产识别阶段、威胁识别阶段、脆弱性识别阶段、已有控制措施识别阶段、风险分析阶段、选择控制措施阶段这七个阶段多个专家的评估进行确认,对多个专家的评估数据进行综合,得到综合评估结果。
(二)系统评估端。系统评估端由多个专家操作,同时开展评估。系统评估端要经历如下阶段:a.准备阶段:评估系统中CIA的相对重要性;b.资产识别阶段;c.威胁识别阶段;d.脆弱性识别阶段;e.已有控制措施识别阶段;f.风险分析阶段;g.控制措施选择阶段。在完成了风险评估的所有阶段之后,和评估管理端一样,可以浏览、导出、打印评估的结果―风险评估报表系列。
(三)信息库管理端。信息库管理端由资产管理,威胁管理,脆弱点管理,控制措施管理四部分组成。具体功能是:对资产大类、小类进行管理;对威胁列表进行管理;对脆弱点大类、列表进行管理;对控制措施列表进行管理。
(四)知识库管理端。知识库的管理分为系统CIA问卷管理,脆弱点问卷管理,威胁问卷管理,资产属性问卷管理,控制措施问卷管理,控制措施损益问卷管理六部分。
四、总结
信息安全风险评估是一个新兴的领域,本文在介绍了信息安全风险评估研究意义的基础之上,详细阐述了信息安全风险评估辅助工具的结构设计和系统主要部分的功能描述。测试结果表明系统能对已有的控制措施进行识别,分析出已有控制措施的实施效果,为风险处理计划提供依据。
参考文献:
[1]Huisheng Gao,Yiqun Sun,Research on Indices System of Security Risk Evaluation for Electric Power.Optical Fiber Communication Network,IEEE,2007.
[2]Masami Hasegawa,Toshiki Ogawa,Security Measures for the Manufacture and Control System,SICE Annual Conference 2007.
[3]左晓栋等.对信息安全风险评估中几个重要问题的认识[J].计算机安全,2004,7:64-66
农业机械安全风险评价是采用科学的方法和程序识别、分析农业机械安全事故发生的原因,针对原因采取措施以消除或减少农业机械在安装、使用、维修等环节存在的各种安全隐患,预防安全事故,提高农业机械的使用安全。其过程包括风险分析(产品限制的确定、危险识别、安全风险评估)、安全风险评定和风险减少。安全风险评价为迭代过程。通过安全风险评定,对不可接受的安全风险,应采取消除或减少风险的措施,并重新进行风险(包括再生风险)分析和评定,直至安全风险降到可接受的程度。
2农业机械危险识别
在对危险识别前,首先应确定机械的限制。即描述产品作业功能、预定使用范围、可预期的误用、使用和维修环境,以确定危险识别范围。一般可根据产品功能及使用操作来描述。如拖拉机加油、加水、上车、启动、前进、转向、倒退、制动、停车、驻车、下车、悬挂、牵引、提升、维修等。危险是指潜在的伤害源。农业机械产品存在的主要危险包括:机械危险(如挤压、剪切、冲击、缠绕、吸入或卷入、切割、高压流体喷射等)、电气危险(如与带电部件接触)、热危险(如与高温物体接触、热辐射等)、噪声危险、振动危险(如座椅、手把振动)、材料和物质产生的危险(如人体与农药接触)及滑落、绊倒及跌落危险。不同农业机械产品,可能产生危险的形式及多少各异。危险识别目的是在机械限制范围内确定并形成危险、危险状态和危险事件的清单。危险识别应在农业机械的寿命期间内系统地识别所有阶段(如运输、安装、使用、停用、维修等)的全部相关任务中可预见的危险。危险识别一般采用至上而下及至下而上两种方法。至上而下法是以潜在的后果(如挤压、烧伤)清单为起点,确定造成伤害的危险。至下而上法是以检查所有的危险为起点,考虑确定的危险状态下所有可能出错的途径(如制动功能失效、人为差错)及其导致伤害的方式。相比而言,至下而上法更为全面彻底,但过程较复杂。
3农业机械安全风险评估
安全风险为伤害发生的概率及伤害造成严重程度的综合。农业机械安全风险评估是依据农业机械产品的危险识别结果,确定各种伤害发生概率及伤害造成严重程度的过程。目的是确定每个危险状态或事故的最高安全风险。通常用等级、指数、或分数表示安全风险的大小。评估伤害发生概率应在考虑暴露危险区人员、危险事件发生可能性(产品特征、产品成熟度、生产企业规模、生产方式)、避免或限制伤害等因素后确定。伤害造成严重程度可在考虑伤害或影响健康的程度(如轻微、严重、死亡)及伤害的范围(如人数)后确定。安全风险评估方法分为定性评估法和定量评估法两类。常见方法有风险矩阵法、风险图法、数值评分法、定量风险评估法和综合评估法。其中风险矩阵法和风险图法较简单,也较常用。
3.1风险矩阵法
风险矩阵法是针对每一识别的危险,将决定危险事件风险的两个因素即伤害严重程度和引起伤害的概率划分为相应等级,形成风险矩阵,用交叉单元来定性地衡量风险大小的方法。该方法包括风险矩阵选择、伤害严重程度评价、伤害发生的概率评价和得出风险等级四个步骤。
3.2风险图法
风险图以决策树为基础发展而来,其特点是使所评价的危险形象化,便于分析比较。风险图中,每个节点代表一个风险参数(严重程度、暴露度、危险事件发生概率、避免可能性),每个节点的分支分别代表相应风险参数的等级(如轻微的、严重的)。风险评估时,从起点开始,在每个节点处沿着所确定等级的分支向前,末端指向就是风险等级。
4农业机械安全风险的减少
安全风险评价目的是减少或消除不可接受的安全风险。安全风险由安全风险因素构成,减少或消除安全风险就要减少或消除影响风险等级的风险因素(危险源、发生的概率或伤害程度)。而减少或消除影响风险等级的风险因素可通过在产品设计阶段及在使用阶段采用相应措施来实现。
4.1在产品设计制造阶段采取消除或减少安全风险的措施
1)本质安全设计制造。即通过产品设计制造消除或减少危险。如去除收割机、拖拉机等农机覆盖件上存在的锐角,加大拖拉机操作手柄与相邻部件的间隙可以消除其带来的划伤或挤压危险。不是所有的危险可以通过产品设计制造完全消除,当存在设计不能消除的危险时,应通过设计制造减少风险。如降低高地隙自走式喷药机的行驶速度和质心高度来提高稳定性;采用减震机构减少拖拉机座椅振动等。本质安全设计制造是减少安全风险最有效的措施,应优先采用。2)安全防护措施。当不能通过产品设计制造消除或充分地减少安全风险时,应采用限制暴露于危险、减少危险事件发生概率或消除或降低伤害可能性的安全措施。如对收割机、拖拉机外露旋转件加装防护罩,对动力喷药机安装安全阀限制压力。3)使用信息。使用信息是对采取本质安全设计和防护措施后的遗留安全风险提出使用警告,以降低伤害发生的可能性。如在农业机械危险部位粘贴安全警告标志、标签;安装喇叭、后视镜等信号装置;在产品使用说明书中说明安全使用规则;限制使用范围等。
一、相关概述
进入新世纪,世界经济一体化和经济知识化、信息化趋势日趋明显,在这种情况下,企业的发展环境有了较大变动,面临的不确定性因素及财务风险因素日益增多。同时随着金融危机对全球经济造成的持续深刻影响和我国经济社会发展之间协调性的不断增强,我国企业所面临的机会和挑战并存。
财务风险是指对未来发展结果的不确定性、未来损失的不确定性、未来所发生的损失的概率以及大小的不确定性。
对于企业财务风险管理的识别机制来讲,识别主要是针对于企业管理微观经济领域,就是将信息检测过程中所获取到的财务风险信息、实际检测结果跟相关的标准进行对比分析,在此基础上判断企业财务风险偏离正常轨道的偏离值,并根据结果分级发出识别信息。对于财务风险识别管理来讲,包含了财务风险分析、财务风险识别以及财务风险的评价等相关环节。
二、企业建立财务风险识别管理机制的主要内容分析
现代财务风险识别管理模式的实施需要包含两个要素,一是财务风险识别管理模式改进的内容,二是财务风险识别管理模式改进的步骤,这样就可以有效提升财务风险识别的整个管理过程。
针对企业财务风险管理能力及财务风险管理水平的测量评估,企业管理人员需要有效结合财务风险管理成熟度理论,诊断并发现单位财务风险管理的问题和差距,并及时制定相应的措施加以改进。企业实施全面财务风险管理成熟度理论可以认为是企业如何通过成熟度模型来提升自身财务风险管理能力的过程的相关框架。财务风险管理成熟度模型最初只是应用在财务风险导向管理的执行阶段,后来随着成熟度模型的不断成熟,逐步在财务风险导向识别制度建设、过程监管以及人员培养等各个方面强化了运用,实现了财务风险导向识别管理所能达到的管理要求。
在进行财务风险导向识别管理时,应当围绕单位日常经营财务风险的分析和评估环节,将开发和计量相关的分析模型作为主要手段,同时还应当明确现代财务风险导向识别管理模式在实际运用中的主要障碍不是技术手段问题,而是相应的企业经济关系及管理机制、管理组织问题。因此,要实现现代财务风险导向识别管理模式的有效运用,还应当将识别管理过程放置在良好的政策环境之下,得到相关政府机构的政策支持;同时合理设置相关的财务风险管理部门或者机构来合理确定和明确财务风险管理责任机制,确定明晰的财务风险报告线,进一步提升和强化财务风险管理意识,并将企业管理者的领导能力、沟通能力及全体职工的财务风险管理参与水平都纳入到财务风险识别管理的实施范围之中。
三、企业建立财务风险识别管理机制的方法分析
建立和完善财务风险评估机制,准确确定财务风险产生的主要来源。对于企业来讲,财务风险主要来自于筹资、投资、资金收付以及资金运作等,因此要确定这些经济活动的财务风险性大小,对内部经营活动进行科学准确的评估。在进行评估时依据企业所处的宏观经济形势,把握宏观环境对于企业的影响。并对企业的投资人以及合伙人进行评估,及时了解和把握对方的经营风格、管理理念以及社会认可度等相关信息。评估客户的信用等级,以及信用等级的高低,评估其偿债能力,对可能出现的财务风险进行准确预测。查找财务风险产生的主要来源,这里面既有内部来源,也有外部来源,如外部经营环境的变动所引发的财务风险,企业内部管理运行机制不够协调所引发的财务风险等,这些都有可能引发企业经营财务风险。
及时构建企业危机识别的相关指标体系。在建立和完善企业财务风险相关识别指标体系时,主要围绕以下几个方面:科学构建财务风险识别指标体系,模糊处理相关指标,合理确定各个指标的权重,计算出财务风险的评估值,依据财务风险的大小和相关标准,及时识别信息。在确定财务风险指标时,可以围绕企业盈利能力、企业偿债能力等进行指标设计。利用现金流量法来进行财务风险表示,如比较分析法、趋势分析法、因素分析法、财务比率分析法等,计算企业的债务保障率、现金到期债务比、现金流动负债比、现金债务总额比以及现金利息保障倍数等。
档案信息资产是与档案信息系统有关的所有资产,包括档案信息系统的硬件、软件、数据、人员、服务及组织形象等,是有形和无形资产的总和。脆弱性是档案信息系统自身存在的技术和管理漏洞,可能被外部威胁利用,造成安全事故;威胁是外部存在的、可能导致档案信息系统发生安全事故的潜在因素。威胁、脆弱性及档案信息资产的相互影响造成档案信息系统面临安全风险,最后计算出风险值。
档案信息安全风险评估总体方法
档案信息安全风险评估的核心问题之一是风险评估方法的选择,风险评估方法包括总体方法和具体方法。总体方法是从宏观的角度确定档案信息安全风险评估大致方法,包括:风险评价标准确定方法;风险评估中资产、威胁和脆弱性的识别方法;风险评估辅助工具使用方法及风险评估管理方法等。事实上,信息安全风险评估方法经历了一个不断发展的过程,“经历了从手动评估到工具辅助评估的阶段,目前正在由技术评估到整体评估发展,由定性评估向定性和定量相结合的方向发展,由基于知识(或经验)的评估向基于模型(或标准)的评估方法发展。”。随着信息安全技术与安全管理的不断发展,目前信息安全风险评估方法已发展到基于标准的、定性与定量相结合的、借用工具辅助评估的整体评估方法。档案信息安全风险评估总体方法应采用目前最先进方法,即采用依据合适风险评估标准、定性与定量结合、借助评估工具或软件来实现不仅进行档案信息安全技术评估,而且进行档案信息安全管理评估的整体评估方法。
1 档案信息安全风险评估标准的确定
信息安全风险评估标准主要分为国际国外标准和国家标准。国际国外标准有:《ISO/IEC 13335 信息技术 IT安全管理指南》、《ISO/IEC 17799:2005信息安全管理实施指南》、《ISO/IEC27001:2005信息安全管理体系要求》、《NIST SP 800-30信息技术系统的风险管理指南》系列标准等,这些标准在国外已得到广泛使用,而我国信息安全风险评估起步较晚,在吸取国外标准且根据我国国情的基础上于2007年制定了国家标准((GB/T 20984-2007信息安全技术信息安全风险评估规范》,并在全国范围内推广。国家发展改革委员会、公安部、国家保密局于2008年了“关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技[2008]2071号)”,该文件要求国家电子政务工程建设项目(以下简称电子政务项目),应开展信息安全风险评估工作,且规定采用《GB/T 20984-2007信息安全技术信息安全风险评估规范》。档案信息系统属于电子政务系统,档案信息安全风险评估也应该采取OB/T 20984-2007标准。
2 档案信息安全风险评估需定性与定量相结合
定性分析方法是目前广泛采用的方法,需要凭借评估者的知识、经验和直觉,为风险的各个要素定级。定性分析法操作相对容易,但也可能因为分析结果过于主观性,很难完全反映安全现实情况。定量分析则对构成风险的各个要素和潜在损失水平赋予数值或货币金额,最后得出系统安全风险的量化评估结果。
定量分析方法准确,但由于信息系统风险评估是一个复杂的过程,整个信息系统又是一个庞大的系统工程,需要考虑的安全因素众多,而完全量化这些因素是不切实际的,因此完全量化评估是很难实现的。
定性与定量结合分析方法就是将风险要素的赋值和计算,根据需要分别采取定性和定量的方法,将定性分析方法和定量分析方法有机结合起来,共同完成信息安全风险评估。档案信息安全风险评估应采取定性与定量相结合的方法,在档案信息系统资产重要度、威胁分析和脆弱性分析可用定性方法,但给予赋值可采用定量方法。具体脆弱性测试软件可得出定量的数据,最后得出风险值,并判断哪些风险可接受和不可接受等。
3 档案信息安全风险评估需借用辅助评估工具
目前信息安全风险评估辅助工具的出现,改变了以往一切工作都只能手工进行的状况,这些工作包括识别重要资产、威胁和弱点发现、安全需求分析、当前安全实践分析、基于资产的风险分析和评估等。其工作量巨大,容易出现疏漏,而且有些工作如系统软硬件漏洞检测等无法用手工完成,因此目前国内外均使用相应的评估辅助工具,如漏洞检测软件和风险评估辅助软件等。档案信息安全风险评估也需借助相应的辅助工具,直接可用的是各种系统软硬件漏洞测试软件或我国依据《GB/T 20984-2007信息安全技术信息安全风险评估规范》开发的风险评估辅助软件,将来可开发专门的档案信息安全风险评估辅助工具软件。
4 档案信息安全风险评估需整体评估
信息安全风险评估不仅需进行安全技术评估,更重要的需进行安全管理等评估,我国已将信息系统等级保护作为一项安全制度,对不同等级的信息系统根据国家相关标准确定安全等级并采取该等级对应的基本安全措施,其中包括安全技术措施和安全管理措施,因此评估风险时同样需进行安全技术和安全管理的整体风险评估,档案信息安全风险评估同样如此。
档案信息安全风险评估具体方法
根据档案信息安全风险评估原理。从资产识别到风险计算,都需根据信息系统自身情况和风险评估要求选择合适的具体方法,包括:资产识别方法、威胁识别方法、脆弱性识别方法、现有措施识别法和风险计算方法等。
1 资产识别方法
档案信息资产识别是对信息资产的分类和判定其价值,因此资产识别方法包括资产分类方法和资产赋值方法。
(1)资产分类方法
在风险评估中资产分类没有严格的标准,但一般需满足:所有的资产都能找到相应的类;任何资产只能有唯一的类相对应。常用的资产分类方法有:按资产表现形式分类、按资产安全级别分类和按资产的功能分类等。
在《GB/T 20984-2007信息安全技术信息安全风险评估规范》中,对资产按其表现形式进行分类,即分为数据、软件、硬件、服务、人员及其他(主要指组织的无形资产)。这种分类方法的优点为:资产分类清晰、资产分类详细,其缺点为:资产分类与其安全属性无关、资产分类过细造成评估极其复杂,因为目前大部分风险评估
都以资产识别作为起点,一项资产面临多项威胁,—项威胁又与多项脆弱性有关,最后造成针对某一项资产的风险评估就十分复杂,缺乏实际可操作性。这种分类方法比较适合于初次风险评估单位对所有信息资产进行摸底和统计。
风险评估中资产的价值不是以资产的经济价值来衡量,所以信息资产分类应与信息资产安全要求有关,即依据信息资产对安全要求的高低进行分类,这种方法同时也满足下一环节即信息资产重要度赋值需求。任何一个档案信息资产无论是硬件、软件还是其他,其均有安全属性,在《GB/T 20984-2007信息安全技术信息安全风险评估规范》中要求:“资产价值应依据资产在保密性、完整性和可用性上的赋值等级,经过综合评定得出”。可选择每个资产在上述三个安全属性中最重要的安全属性等级作为其最后重要等级。但档案信息安全属性应该更多,除上述属性外还包括:真实性、不可否认性(抗抵赖)、可控性和可追溯性,所以可以根据档案信息的七个安全属性中最重要属性的等级作为该资产等级。
目前信息资产安全属性等级如保密性等级可分为:很高、高、中等、低、很低,因此信息资产按安全等级也可分为:很高、高、中等、低、很低,即如果此信息资产保密性等级为“中”,完整性等级为“中”,可用性等级为“低”,则取此信息资产安全等级最高的“中”级。
按信息资产安全级别分类法符合风险评估要求,因为体现了安全要求越高其资产价值越高的宗旨,在统计资产时也可按表现形式和安全等级结合的方法进行,如下表1所示。“类别”为按第一种分类方法中的类别,重要度为第二种方法中的五个等级。
但如果风险评估时按表1进行资产分类时,每个档案信息系统将具有很多资产,这样针对每一项资产进行评估的时间和精力对于评估方都难以接受。因此,在《信息安全风险评估——概念、方法和实践》一书中提出:“最好的解决办法应该是面对系统的评估”,信息资产安全等级分类的起点可以认为是系统(或子系统),这样可以在资产统计时用资产表现形式进行分类,在资产安全等级分类时按系统或子系统进行大致分类,即同一个系统或子系统中的资产的安全等级相同,这样满足了组织进行风险评估时“用最少的时间找到主要风险”的思想。
(2)资产赋值方法
由于信息资产价值与安全等级有关,因此对资产赋值应与“很高、高、中等、低、很低”相关,但这是定性的方法,结合定量方法为对应“5、4、3、2、1”五个值,同时将此值称为“资产等级重要度”。
2 威胁识别方法
(1)威胁分类方法
对档案信息系统的威胁可从表现形式、来源、动机、途径等多角度进行分类,而常用的为按来源和表现形式分类。按来源可分为:环境因素和人为因素,人为因素又分为恶意和无意两种。基于表现形式可分为:物理环境影响、软硬件故障、无作为或操作失误、管理不到位、恶意代码、越权或滥用、网络攻击、物理攻击、泄密、篡改和抵赖等。由于威胁对信息系统的破坏性极大,所以应以分类详细为宗旨,按表现形式方法分类较为合适。
(2)威胁赋值方法
威胁赋值是以威胁出现的频率为依据的,评估者应根据经验或相关统计数据进行判断,综合考虑三个方面:“以往安全事件中出现威胁频率及其频率统计,实践中检测到的威胁频率统计、近期国内外相关组织的威胁预警”。。可以对威胁出现的频率进行等级化赋值,即为:“很高、高、中等、低、很低”,相应的值为:“5、4、3、2、1”。
3 脆弱性识别方法
脆弱性的识别可以以资产为核心,针对每一项需要保护的资产,识别可能被威胁利用的弱点,同时结合已有安全控制措施,对脆弱性的严重程度进行评估。脆弱性识别时来自于信息资产的所有者、使用者,以及相关业务领域和软硬件方面的专业人员等,并对脆弱性识别途径主要有:问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。
(1)脆弱性分类方法
脆弱性一般可以分为两大类:信息资产本身脆弱性和安全控制措施不足带来的脆弱性。资产本身的脆弱性可以通过测试或漏洞扫描等途径得到,属于技术脆弱性。而安全控制措施不足的脆弱性包括技术脆弱性和管理脆弱性,管理脆弱性更容易被威胁所利用,最后造成安全事故。档案信息系统脆弱性分类最好按技术脆弱性和管理脆弱性进行。技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题,管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面。
(2)脆弱性赋值方法
根据脆弱性对资产的暴露程度(指被威胁利用后资产的损失程度),采用等级方式可对已经分类并识别的脆弱性进行赋值。如果脆弱性被威胁利用将对资产造成完全损害,则为最高等级,共分五级:“很高、高、中等、低、很低”,相应的值为:“5、4、3、2、1”。
脆弱性值(已有控制措施仍存在的脆弱性)也可称为暴露等级,将暴露等级“5、4、3、2、1”可转化为对应的暴露系数:100%、80%、60%、40%、20%,再将“脆弱性”与“资产重要度等级”联系,计算出如果脆弱性被威胁利用后发生安全事故的影响等级。
影响等级=暴露系数×资产等级重要度
4 已有控制措施识别方法
(1)识别方法
在识别脆弱性的同时应对已经采取的安全措施进行确认,然后确定安全事件发生的容易度。容易度描述的是在采取安全控制措施后威胁利用脆弱性仍可能发生安全事故的容易情况,也就是威胁的五个等级:“很高、高、中等、低、很低”,相应的取值为:“5、4、3、2、1”,“5”为最容易发生安全事故。
同时安全事件发生的可能性与已有控制措施有关,评估人员可以根据对系统的调查分析直接给在用控制措施的有效性进行赋值,赋值等级可分为0-5级,
“0”为控制措施基本有效,“5”为控制措施基本无效。
(2)安全事件可能性赋值
安全事件发生的可能性可用以下公式计算:
发生可能性=发生容易度(即威胁赋值)+控制措施
5 风险计算方法
风险计算方法有很多种,但其必须与资产安全等级、面临威胁值、脆弱性值、暴露等级值、容易度值、已有控制措施值等有关,计算出风险评估原理图中的影响等级和发生可能性值。目前一般而言风险计算公式如下:
风险=影响等级×发生可能性
综上所述,可将信息资产、面临威胁、可利用脆弱性、暴露、容易度、控制措施、影响、可能性、风险值构成表2,最终计算出风险值。下表以某数字档案馆为例,其主要分为馆内档案管理系统和电子文件中心,评估资产以子系统作为分类和赋值为起点,并只以部分威胁、脆弱性列出并计算风险。
上表中暴露等级值体现了脆弱性,容易度体现了威胁,以表2第一行为例计算档案管理系统数据泄密的风险值,过程如下:
影响等级=暴露系数×资产等级重要度=(3/5)*5=3
可能性=容易度(威胁值)+控制措施值=3+3=6
风险=影响等级×可能性=3×6=18
关键要:海洋石油工程;作业危险评估法;安全;风险管理
本文主要从风险管理为切入点,结合海洋工程企业中的项目为依托,对项目在施工过程中的风险进行分析并提出风险规避方法从而有效的避免风险的发生。
一、海洋工程项目风险的识别
(一)工程项目风险的定义及特点
海洋工程项目风险则是指在项目的策划、设计、建造、安装、调试以及后期投入使用各个阶段可能面对的损失。项目的风险在任何项目的任何过程中都会存在。如果不能有效的对项目的风险进行控制,可能会造成项目在实施的过程中出现失控现象,从而导致延长工期、增加成本、甚至项目失败影响企业声誉。任何海洋工程项目都有一次性、独特性和创新性的特点,项目风险也具有随机性、相对可预测性、渐进性、阶段性、突发性等特点。
(二)工程项目风险的分类
根据海洋石油项目的整体特点,基本可以分为可控风险和不可控风险两大类。可控风险指的是以人的主观能力可以控制住的风险,这些风险都可以有效的避免或者可以提前采取一定的措施进行预防,比如施工风险、安全风险、技术风险等等;不可控风险指的是客观存在的,不以人的意志为转移的风险,一般不能有效的规避或者采取预防的措施,例如政治风险、经济风险、自然灾害等等。
(三)海洋工程项目风险的识别
海洋工程的项目与传统的土建项目有着明显的区别,海洋工程的项目交叉作业多、涉及专业多、作业环境复杂、参与人员及设备较多等特点,那么在项目的运行过程中,如何对风险进行有效的控制,首先要对项目的风险进行识别,分析出属于哪类风险,这就要求首先做好风险的识别。以海上组块的安装为例,根据海上安装的施工方案,将该组块的海上安装过程分为“作业船就位、抛锚”、“组块挂扣”、“固定切割”、“组块起吊”、“组块就位”及“组块固定”这几个过程,通过对每个过程中参与作业的设备、人员及外部环境的研究,识别出了每个过程中的安全风险因素。如作业船就位、抛锚过程,参与的机具船舶有:发电机、绞车、锚机、通讯设备、两条辅助船舶及相关设施。参与人员有:作业船及辅助船船员、定位人员、指挥员。因此这个过程中可能的风险有:发电机及绞车故障、通讯设备故障、人员误操作、未按方案布锚、走锚等风险。同理可以得到其他几个作业过程的风险因素。因此有效的识别风险,是为了风险评估、风险应对和风险监控提供强有力的基础。
二、海洋工程项目风险的评估
在项目风险识别之后马上要对项目的风险进行评估,对项目所有的不确定的风险因素进行全面的分析识别后进行综合评价,区分出可控风险和不可控风险。如果有必要需要建立风险模型,通过专家分析进行风险评估并制定有效的方法进行应对。
(一)项目风险的评估的方法
项目的评估方法有很多种,例如作业危险评估法、期望值法、事故树分析法、敏感性分析法、模糊数学法等,而海洋工程项目中一般采用的评估方法是作业危险评估法(LEC法)。
(二)海洋项目风险评估
以海上平台安装为例,在海上平台的安装过程中,相关人员识别出在施工的过程中存在某种突发安全风险后,应该立即组织专家组对该风险进行评估,通过对“事故的不可预测性”、“措施的无效状态”、“人员暴露在危险环境下的频度”、“事故可能损失后果”的等等各个方面进行有效的评估,得到了风险因素的危险程度值及危险等级,为下一步风险的应对提供基础。
三、海洋工程项目风险的应对
(一)海洋工程项目风险的应对的方法
在风险评估完成后,为了保证项目的顺利进行,就需要专家组提出应对风险的措施和方法,应对风险的方式多种多样,但笼统的归纳后有以下两种:1、控制方法,及发现风险后提出有效的手段进行控制从而降低风险,主要以风险回避、风险遏制和风险转移等手段。一般情况下对于海洋工程中的可控风险,一般都会采用这种手段进行控制。2、利用财务手段。在海洋工程领域,大多数情况下业主都会要求分包商进行购买海事保险的方式进行风险分摊,尤其是在重大设备设施的运输、吊装等作业行为前,都需购买保险釆用财务的手段将项目风险进行转嫁。
(二)海洋工程项目风险的应对的原则
1、风险应对有针对性原则。在项目进行中,所采取的每一项措施都必须有针对性,否则势必会浪费企业资源。2、风险应对可操作原则。在发现风险后在经过专家组的论证后制定的每一项应对措施中都必须可操作性,不应仅仅停留在纸面上,否则对防范风险没有任何意义。3、风险应对最大执行力原则。在经过专家组的论证后制定的每一项应对措施后,应引起项目经理的足够重视,从项目高层着手保证这些控制措施发挥其应有的效用。4、风险应对全面原则。一般海洋工程项目的风险具有多样性,复杂化等特点,必须全面的指定有效的措施,需要采取多样的方法从不同角度对其予以全面控制。5、风险应对措施与经济成本相协调原则。在选择风险控制措施时,在相同效果的前提下采取成本较低方案。6、风险应对能力导向原则。控制安全风险时,主要以预防为主,在能力范围内可消除的必须进行处理,无法消除的最大化的削弱风险。
四、海洋工程项目风险的监控
(一)项目风险监控的概念
项目风险的监控是在对项目风险管理指定相关措施后对风险管理过程中的监视和控制。
(二)项目风险监控的目标
在项目风险监控措施的实施的过程中,都应该达到一些目标,这些目标包括:及早识别是否还有新的风险,避免已经发现的风险发生、减少风险发生后带来的损失、总结经验教训在本文中项目风险监控虽然处于项目风险管理的最末端,但是风险监控是贯穿于项目整个过程中的,因此建立一套可行的项目风险监控系统是必不可少的措施,也是风险监控的关键所在。
结语
本文在综合考虑海洋石油工程项目特点及各类分析方法适应性的基础上,对组块的海上吊装安装过程进行风险管理研究,依此建立了风险源及风险识别、评估表,并基于尽早的识别风险,尽可能避免项目进行中事故的发生以及降低项目风险发生以后所产生的不利后果的目的,建立了兼具科学性和可操作性的项目安全风险监控系统。海洋工程项目的安全风险管理与对组块海上安装过程的安全风险管理类似,需要对全过程的作业信息进行收集并处理,识别出项目进行过程中的安全风险,并针对性的进行应对,然后评估每个风险因素的危险性及风险等级。若应对后的风险等级仍然较高,那就需要采取整改措施进行整改,若风险等级较低,则代表风险受到控制,可以继续作业。对风险识别、风险评估及风险应对的全过程实施风险监控,确保识别出所有的安全,且风险的应对措施能够被有效的实施,或对应对措施效果不好的风险进行整改。从而保证项目内每个风险因素都能受到有效控制。
参考文献
[1]刘洪浩.浅议项目风险管理理论[J].抚顺市中医院学理论.2011.
[2]彭俊好,徐国爱,杨义先,汤永利.基于效用的安全风险度量模型[J].北京邮电大学学报.2006.
[3]张俊.浅析项目风险管理与项目管理[J].黑龙江科技信息.2007.
[4]葛治江.国际石油工程EPC总承包项目安全风险因素分析[J].石油化工建设.2009.
[5]章萍,盛君录,王力强.关于LEC风险评价法局限性的探讨[C].第六届宁夏青年科学家论坛.2010.
风险评估是保险风险管理的重要职能,也是保险公司在经营过程中极易被忽略的领域之一。近年来,重大自然灾害及意外事故频发,单一事故造成的损失巨大,虽然事故发生后保险公司根据保单约定进行了积极的赔付,但事前的风险管理与评估工作仍未能引起足够的重视。笔者在与各保险公司人员进行交流过程中了解到,从认识上各保险公司都能够意识到风险评估工作的重要性,但在具体开展工作的过程中,除了风控经费不足之外,更重要的是对风险管理的思路、流程以及方法认识不清,尤其是面对各种风险时,把握不住重点,存在畏难情绪,所开展的风控工作也仅限于现场识别风险,缺乏统一的风险评估思路,所取得的成效不大。通过对保险承保风险特征的分析,保险风险存在大量风险与同质风险的特征。因此,在风险管理过程中引入标准化的思路,将保险的风险评估过程标准化,按照标准化的要求对风险进行识别、分析和评价,对于有效提升我国保险公司的风险管理水平,降低风险事故的发生的概率具有积极的借鉴意义。
二、保险风险及标准化的概念特征
(一)保险风险的特征
保险是分散风险、消化损失的一种经济补偿制度。从风险管理的角度看,保险是风险管理的一种方法,或风险转移的一种机制。通过保险,将众多的单位和个人结合起来,变个体对付风险为大家共同对付风险,从而提高风险损失的承受能力。保险的经济补偿制度,既是风险的集合过程,又是风险的分散过程。保险公司通过保险将众多投保人所面临的分散性风险集合起来,当发生保险责任范围内的损失时,又将少数人遭受的风险损失分摊给全体投保人,通过保险的补偿或给付行为分摊损失或保证经营稳定。保险风险的集合和分散应具备两个前提条件:一是大量风险的集合体。保险在于集合多数人的保费,补偿少数人的损失。大量风险的集合,是基于风险分散的技术要求,也是概率论和大数法则原则在保险经营中得以运用的前提。二是同质风险的集合体。所谓同质风险,指风险单位在种类、品质、性能和价值等方面大体相近,如果风险不同质,那么风险损失发生的概率就不相同,风险也就无法进行统一集合与分散。此外,不同质风险损失发生的频度、幅度也不同,若对不同质的风险进行集合与分散,极容易导致保险公司财务的不稳定。
(二)标准化的基本概念
根据标准化法条文解释,标准化是“在经济、技术、科学、及管理等社会实践中,对重复性事物和概念通过制定、实施标准,达到统一,以获得最佳秩序和社会效益的过程”。因此,凡具有多次重复使用和需要制定标准的具体产品,以及各种定额、规划、要求、方法、概念等,都可作为标准化的对象。标准化的对象一般可分为两类:一类是标准化的具体对象,即需要制定标准的具体事物;另一类是标准化的总体对象,即各种具体对象的总和所构成的整体,通过它可以研究各种具体对象的共同属性、本质和普遍规律。标准化的基本原理包括统一原理、简化原理、协调原理和最优化原理。统一原理就是为了保证事物发展所必须的秩序和效率,对事物的形成、功能或其他特性,确定适合于一定时期和一定条件的一致规范,并且这种一致规范与被取代的对象在功能上达到等效。简化原理是为了经济有效地满足需要,对标准化对象的结构、型式、规格或其他性能进行筛选提炼,剔除其中多余的、低效能的、可替换的环节,精炼并确定出满足全面需要所必要的高效能的环节,保持整体构成精简合理,使之功能效率最高。协调原理是为了使标准的整体功能达到最佳,并产生实际效果,必须通过有效的方式协调好系统内外相关因素之间的关系,确定为建立和保持相互一致,适应或平衡关系所必须具备的条件。最优化原理是按照特定的目标,在一定的限制条件下,对标准系统的构成因素及其关系进行选择、设计或调整,使之达到最理想的效果。标准化是实现科学管理和现代化管理的基础,是合理发展产品品种、组织专业化生产的前提条件,是提高产品质量保证安全、卫生的技术保障,也是资源合理利用、节约能源和节约原材料的有效途径。实施标准化的重要意义是改进产品、过程和服务的适应性,防止贸易壁垒,促进技术合作。
三、保险风险评估标准化的必要性
标准化的目的是为了在一定范围内获得最佳秩序和社会效益,通过制定和实施标准,使标准化对象的有序化程度达到最佳状态。对于保险中的风险评估,不同的主体,甚至同一主体如保险公司内部的不同层级和部门,对其有着不同的理解,关注的焦点也存在差异,造成了各相关方之间的不配合,难于开展对风险管理效果的客观评价,也就难于达到最佳秩序和最佳社会效益。通过将风险评估活动标准化,为风险管理活动提供一种共同的语言和公式,有了统一的标准,实施风险评估的各相关方就可以使用相同的风险管理过程,有了相同的决策、处理基础,对风险评估活动持有共同的认识,有利于规范保险的风险管理活动。保险所面对的风险具有“大量、同质风险”的特征,风险评估标准化的过程,也就是针对各类大量同质风险进行科学分析研究的基础上,结合技术进步的新成果以及实践中累计的先进经验,使之相互结合,加以消化、融会贯通、提炼和概括的过程。人们在生产实践中为了规避风险或减少损失,已经积累了一定的经验,也取得了大量的科学技术成果,这些成果和经验如果以标准的形式来表达,对于保险公司在实施风险评估过程中提高效率具有重要意义。
四、风险评估过程的标准化分析
保险风险评估标准化体系的构建,要基于标准化的统一、简化、协调和最优化原理,根据保险风险因素的特征,将风险识别、风险分析和风险评价过程中的共性的、重复性的可能导致风险发生的因素识别出来,使决策者及有关各方可以更深刻地理解各类承保风险,以及现有风险控制措施的充分性和有效性,为确定最合适的风险应对方法奠定基础。根据《风险管理风险评估技术》(GB/T27921-2011),结合保险风险评估的特征,将风险识别、风险分析和风险评价环节中的标准化重点进行逐一解析,分析各环节中需要重点关注的因素和方法,实现风险评估过程的标准化。
(一)风险识别标准化
风险识别是发现、列举和描述风险要素的过程,也是风险评估过程中的基础环节。风险识别的目的是确定可能影响保险事故发生的事件或情况,一旦风险得以识别,保险公司应立即对现有的控制措施进行识别。风险识别的范围包括对风险源、风险事件及其原因和潜在后果的识别,识别的方法包括:1)基于证据的方法,例如检查表法以及对历史数据的评审;2)系统性的团队方法,例如专家团队遵循系统化的过程,通过一套结构化的提示或问题来识别风险;3)归纳推理技术,例如危险与可操作性分析方法等。此外,也可利用各种支持性技术来提高风险识别的准确性和完整性,例如头脑风暴法和德尔菲法等,但无论采用哪种技术,其关键是在整个风险识别的过程中要认识到人的不安全行为、物的不安全状态以及组织管理制度的有效性。
(二)风险分析标准化
在风险分析过程中,重点应当考虑导致保险风险发生的原因和风险源、风险事件的正面和负面的后果及其发生的可能性、影响后果和可能的因素、不同风险及其风险源的相互关系以及风险的其他特性,还要考虑控制措施是否存在及其有效性。为确定风险等级,风险分析通常包括对风险的潜在后果范围和发生可能性的估计,该后果可能源于一个时间、情景或状况。在某些情况下,风险可能是一系列事件迭加的结果,或者由一些难以识别待定事件所诱发,在这种情况下,风险评估的重点是分析系统各组成部分的重要性和薄弱环节,检查并确定相应的防护措施。风险分析的方法可以是定性的、半定量的、定量的或以上方法的组合。定性的风险分析可通过重要性等级来确定风险后果、可能性和风险等级,如“高”、“中”、“低”3个重要性程度。半定量法可利用数字评级量表来测度风险的后果和发生的可能性,并运用公式将二者结合起来,确定风险等级。定量分析可估计出风险后果及其发生可能性的实际数值,并产生风险等级的数值。
(三)风险评价标准化
风险评价将包括风险分析的结果与预先设定的风险准则相比较,或者在各种风险分析结果之间进行比较,确定风险的等级。风险评价利用风险分析过程中所获得的对风险的认识,对外来的行动进行决策,包括:1)某个风险是否需要应对;2)风险的对应优先次序;3)是否应开展某项应对活动;4)应该采取哪些途径。依据风险的可容许程度,将风险划分为如下三个区域:不可接受区域、中间区域和广泛可接受区域。不可接受区域内无论相关活动可带来何种收益,风险等级都是无法承受的,必须不惜代价进行风险应对;中间区域内的风险应考虑实施应对措施的成本与收益,并权衡机遇与潜在后果;广泛可接受区域中的风险等级微不足道,或者风险很小,无需采取任何风险应对措施。
五、结语
关键词:供应链风险;风险识别;风险评估
中图分类号:F273.7 文献标识码:A
随着经济全球化的发展,企业面临的竞争压力不断增加。为了取得竞争优势,企业管理者一直致力于提高供应链效率,高效的供应链为企业带来利益的同时,也增加了供应链的复杂性和脆弱性,潜在地增加了供应链的风险。供应链风险管理是供应链管理的一个重要方面,通过风险管理,充分考虑供应链管理过程中的各种不利因素,提高供应链的可靠性,避免风险发生给企业带来损失。
1 供应链风险管理
1.1 供应链风险的定义
供应链风险是一个比较新的概念,它是风险在供应链领域应用的一个特例。关于供应链风险的定义,不同的专家、学者从不同角度出发对供应链风险进行定义。Cranfield把供应链风险定义为供应链的脆弱性,认为供应链风险不仅产生于供应链内部,而且是外部风险严重混乱的表现[1]。Christopher将供应链风险定义为从最初供应商到最终产品的传递过程中产生的信息、物料和产品流上的任何风险[2]。国内学者马士华从供应链外在环境和内在结构的不确定性出发,认为在供应链企业之间的协调和合作过程中,存在着各种产生内生不确定性和外生不确定性的因素,并认为只要存在不确定性,就存在一定的风险[3]。
总结众多学者的观点,供应链风险就是指可能对供应链中的节点或整个供应链产生不利影响的各种不确定性,是一种潜在的损失,它存在于供应链的各个环节。
1.2 供应链风险管理的含义
供应链风险管理是指通过识别、度量供应链风险,并在此基础上有效控制供应链风险,采用经济合理的方法来综合处理供应链风险,最大限度地降低风险,并对供应链风险的处理建立监控和反馈机制的一套系统而科学的管理方法。
2 供应链风险识别
供应链风险识别是供应链风险管理的第一步,首先把供应链风险识别做好,才能在此基础上做好风险评估和风险控制。供应链风险识别是指供应链风险管理者在各类风险事件发生之前运用各种方法系统地认识所面临的各种风险以及分析风险事件发生的潜在原因。目前来看,供应链风险识别常用的方法有以下几种。
(1)德尔菲法
德尔菲法又称专家意见法,是一种简单、容易操作又实用的方法,该方法广泛应用到各种预测和决策过程中。在进行风险识别时,对一些影响较大而又无法用分析的方法加以识别的风险时,德尔菲法是一种有效的风险识别方法。
(2)财务报表法
财务报表法就是根据企业的财务资料来识别和分析企业每项经营活动可能遭遇到的风险。财务报表法是企业使用最普遍,也是最为有效的风险识别与分析方法。企业的资产负债表、损益表、财务状况变动表和各种详细附录就可以成为识别各种风险的工具。
(3)故障树法
故障树法是利用图解的方式将大的故障分解成若干小的故障,并且对引起故障的各种原因进行分解。由于原因分解后的图形呈树枝状,因而称故障树法。在对供应链风险识别时,该方法可以将风险发生的原因层层分解,排除无关因素,从而找到产生影响较大的风险及原因。
(4)风险问卷法
风险问卷法是以系统论的观点和方法来设计问卷,并发给供应链各节点企业内部各类员工去填写,让他们回答本企业所面临的风险和风险因素。可以为风险管理者提供更多有价值的信息,帮助风险管理者来系统地识别风险。
用于供应链风险识别的方法有多种,但是应该注意到每种识别方法都有其优势和劣势。任何一种方法都不可能完全识别出全部的风险,在选择供应链风险识别的方法时,不但要考虑供应链的类型、规模的大小,还要考虑识别方法的特点,两方面结合起来选择合适的方法进行风险识别。
3 基于模糊综合评价的供应链内生风险评估
3.1 供应链风险评估
供应链风险评估是指对风险发生的可能性或损失的范围与程度进行估计与度量。风险识别只是风险管理进行的第一步,还必须对可能出现的损失结果、损失的严重程度予以充分的估计和衡量。在进行供应链风险评估时不仅要考虑风险对供应链节点上某个企业的影响,还要考虑风险对整条供应链的影响。从风险造成的损失方面来看,不仅要考虑风险发生带来的经济损失,还要考虑风险发生带来的其他损失,如信任危机、客户的流失、企业名誉下降等一些无形的损失。
一般来说,根据供应链风险产生的来源进行分类,可以将供应链风险分为内生风险和外生风险。供应链内生风险是指由供应链内部因素造成的风险,一般表现为供应链管理风险、信息风险、合作伙伴关系风险等。供应链外生风险主要指由外界的不确定性导致风险发生,一般指自然灾害、社会环境、经济环境等。
本文主要对供应链内生风险建立模型进行量化评估,从风险发生的频率来说,内生风险发生的频率远远高于外生风险。进行风险评估时,选择内生风险中具有代表性的管理风险、合作风险和信息风险作为一级指标建立模型。
3.2 模糊综合评估模型的建立
最后根据最大隶属原则,可以评估供应链内部风险的级别,一般可以分为风险性高、中等和低3个级别。
3.3 算例分析
对某供应链进行内生风险评估,根据历史数据及专家打分,可以得到对管理风险、合作风险和信息风险3个一级指标对供应链内部风险的权重,以及3种内部风险的5个二级指标权重,见表1。
为了评估该供应链内生风险的大小,运用模糊综合评价模型进行计算。
(1)因素集的确定:一级指标有管理风险、合作风险和信息风险3个因素,一级指标的3个因素分别包括5个二级指标。
按照最大隶属原则,该供应链内生风险高。并且内生风险的3个一级指标的风险性也可以根据最大隶属原则得出,从数据中可以看出管理因素风险性一般,合作因素风险性高,信息因素风险性较高。如果要有效地防范该供应链的内生风险,重点要控制信息因素产生的风险。
4 结束语
供应链风险管理是供应链管理的重要组成部分,是确保供应链健康、持续、稳定发展的前提条件。供应链风险管理是一个复杂的过程,系统地认识供应链风险,深入研究供应链风险管理,使企业管理者对供应链可能发生的风险有一个明确的认识,对风险的预防以及规避都有积极的意义。
参考文献:
[1] Cranfield School of Management. Supply chain vulnerability[R]. Cranfield University, Report on behalf of DTLR, 2002.
[2] Christopher M, Lee H. Mitigating supply chain risk through improved confidence[J]. International Journal of Physical Distribution & Logistics Management, 2004,34(5):388-396.
[3] 马士华. 如何防范供应链风险[J]. 中国计算机用户,2003(3):21.
[4] 丁伟东,刘凯,贺国先. 供应链风险研究[J]. 中国安全科学学报,2003(4):64-66.
铁路建设和运营中相关的安全风险
以英国安全风险模型为例,分析铁路运营中一些典型的风险。英国铁路风险数据见图1。英国铁路的整体风险水平约为140.9人死亡及加权伤亡(FWI)/年(不包括自杀死亡)。FWI综合估计了死亡和受伤,是安全危害总额的加权组合。1个FWI相当于以下6种情况任取其一:(1)1人死亡;(2)10个重大伤害;(3)200个上报的受伤、疾病或危险事件的报告轻伤;(4)200个一类休克/创伤事件;(5)1000个非RIDDOR报告轻伤;(6)1000个二类休克/创伤事件。图1的英国安全风险模型针对整个英国铁路网开发了风险事件频率和事件结果模型,进行风险分析。此方法也可广泛应用于其他领域。新建项目中,往往会存在各种各样的风险,有些与施工有关(如落物、机械设备的使用、接触有害物质等),有些风险来源于系统设计和安装(如新的信号系统等)或来源于改变现有铁路设施带来的影响。
铁路安全风险识别方法
风险识别首先需要确定风险来源,评估确定风险程度,分析哪里需要采取行动以降低风险。风险识别时需要检查危害、探索可能发生的后果,需要分析可以采取哪些行动以减少事故发生的可能性,或减少事故发生后的影响。对待风险必须采取积极主动的态度。危害是可能导致事故的一种状况。危害是潜在的可能导致安全后果或损害(即事故或意外事件)的情况。危害起源于在一定或特定条件下触发的、可能导致事故的事件或一系列事件。危害识别时,既可以集思广益,也可以采用更有条理的方法(如故障模式和影响分析)。一般来说,需要进行系统化分析,以确定危害的类型及呈现方式。这项工作通常是由对系统具有丰富知识和经验,并了解可能发生的灾害/意外的团队完成。这样就可确定可能出现的错误及在什么情况下会出现这种错误,从而确定有害后果的类型和范围。同时也可确定可能导致重大事故的事件发生序列(如原因、事件触发器)。危害严重度的初步评估即风险的确定也可考虑到现有或拟定的保障措施。领结模型是综合考虑危害原因和后果并与风险控制措施相结合的评估方式,是评估风险及其控制措施是否足够恰当的一种强有力的评估方式。全面的危害识别至关重要。因此在项目的生命周期中,应尽早在设计中进行危害辨识,以确保后续工作采取恰当措施减轻高风险的发生。图2为钢轨伤损的危害及其产生原因、造成后果。危险源是钢轨裂缝,原因是腐蚀和/或疲劳。可以把腐蚀当作一种危害,追溯并确定其发生的根源。
铁路安全风险管理方法
风险管理就是干预和控制风险的一系列活动。仅量化或识别风险是不够的,需要在项目建设或运营阶段控制和管理风险。如随着影响风险因素的变化导致当前风险控制措施不够并需要进行调整,或当事件发生后调查结果可用来更新风险评估。应在项目建设或运营阶段主动采取行动控制和管理风险,而非仅仅在事件发生后消极应对。图3给出了优秀的风险管理流程(ISO31000)。风险管理的关键原则是能够为项目创造和带来价值。这不仅是指流程、文件存档或证书签发,而是实实在在地对风险的控制及对业绩的改善。有效的风险管理是完整组织流程和日常决策的一部分。因此,风险管理需要根据项目状态或运营环境时时更新控制措施。风险评估及控制流程见图4。风险评估及控制流程得到的成果是风险登记册(通常用于铁路运营)或危害记录(更多用于项目),记录了通过评估流程识别到的风险和控制方法的状态,这些都需要及时更新并采取积极的风险管理措施,行动计划应落实到部门或个人,以执行和监督具体的风险控制,最好建立详细的风险配置文件,从而能够从各方面反映出风险的状态。
铁路安全风险管理相关国际标准
目前,欧洲广泛采用的风险管理标准是ISO31000:风险管理——原则与指导方针,及其辅助文件ISO31010:风险评估方法。二者已经成为国际标准,给出了风险管理总体框架和一些优秀实践经验。但是,由于该标准级别较高,对于在铁路项目建设和运营中如何管理流程或控制风险缺乏具体指导。在欧洲,安全指令的一些相关规章为欧洲铁路运营商提供了更具体的指导,如通用安全方法。虽然目前这些都仅应用于欧洲,但对寻求更多优秀实践及具体指导的人员更有意义。欧洲标准EN50126(被采纳为国际电工委员会标准IEC62278)涵盖了铁路系统的可靠性、可用性、可维护性和安全性(RAMS),并贯穿了系统的生命周期,因此也很有意义。由于系统设计和研发阶段对系统风险的识别与控制具有决定性作用,因此EN50126更多地关注系统设计和研发阶段。
中国铁路实施风险管理方法的探讨
目前,中国铁路在项目建设和运营中已准备开展风险管理。(1)确立风险存在的范围或界面。风险存在的范围界定了风险因素是否来源于外部,如供应商、其他系统或维护商。如果已经明确定义了界面,下一步就需要检查是否存在缺失及接口是否明确定义。(2)需要建立安全基准,如界定目前范围内的风险水平,并应检查其完整性,即危害是否已被全面识别,是否采取了合理手段,且是否已进行深度分析等。(3)定义可接受的风险水平底线及其判定标准。这需要由项目合同或铁路运营管理者定义。(4)进行风险控制方法的评估,即是否有足够的风险控制措施,是否需要更多或不同的控制措施,哪些需要进行重点控制等。(5)确保风险管理流程及时反映了目前的状况,是否时时更新,所需跟进行动是否到位并有效实施,全体员工是否充分了解当前风险和目前采取的控制措施的重要性等。(6)在决策者层面,应全面了解铁路行业风险及其主要来源,以便采取恰当措施和方法。可考虑在全行业范围内推广优秀的安全计划流程,建立一个更加全面、可持续的中国铁路风险管理方法。
关键词:网络审计 历史财务报表审计 信息安全管理 风险评估
一、引言
从审计的角度,风险评估是现代风险导向审计的核心理念。无论是在历史财务报表审计还是在网络审计中,现代风险导向审计均要求审计师在执行审计工作过程中应以风险评估为中心,通过对被审计单位及其环境的了解,评估确定被审计单位的高风险领域,从而确定审计的范围和重点,进一步决定如何收集、收集多少和收集何种性质的证据,以便更有效地控制和提高审计效果及审计效率。从企业管理的角度,企业风险管理将风险评估作为其基本的要素之一进行规范,要求企业在识别和评估风险可能对企业产生影响的基础上,采取积极的措施来控制风险,降低风险为企业带来损失的概率或缩小损失程度来达到控制目的。信息安全风险评估作为企业风险管理的一部分,是企业信息安全管理的基础和关键环节。尽管如此,风险评估在网络审计、历史财务报表审计和企业信息安全管理等工作中的运用却不尽相同,本文在分析计算机信息系统环境下所有特定风险和网络审计风险基本要素的基础上,从风险评估中应关注的风险范围、风险评估的目的、内容、程序及实施流程等内容展开,将网络审计与历史财务报表审计和信息安全管理的风险评估进行对比分析,以期深化对网络审计风险评估的理解。
二、网络审计与历史财务报表审计的风险评估比较
(一)审计风险要素根据美国注册会计师协会的第47号审计标准说明中的审计风险模型,审计风险又由固有风险、控制风险和检查风险构成。其中,固有风险是指不考虑被审计单位相关的内部控制政策或程序的情况下,其财务报表某项认定产生重大错报的可能性;控制风险是被审计单位内部控制未能及时防止或发现财务报表上某项错报或漏报的可能性;检查风险是审计人员通过预定的审计程序未能发现被审计单位财务报表上存在重大错报或漏报的可能性。在网络审计中,审计风险仍然包括固有风险、控制风险和检查风险要素,但其具体内容直接受计算机网络环境下信息系统特定风险的影响。计算机及网络技术的应用能提高企业经营活动的效率,为企业的经营管理带来很大的优越性,但同时也为企业带来了一些新的风险。这些新的风险主要表现为:(1)数据与职责过于集中化。由于手工系统中的职责分工、互相牵制等控制措施都被归并到计算机系统自动处理过程中去了,这些集中的数据库技术无疑会增加数据纵和破坏的风险。(2)系统程序易于被非法调用甚至遭到篡改。由于计算机系统有较高的技术要求,非专业人员难以察觉计算机舞弊的线索,这加大了数据被非法使用的可能性。如经过批准的系统使用人员滥用系统,或者说,企业对接近信息缺乏控制使得重要的数据或程序被盗窃等。(3)错误程序的风险,例如程序中的差错反复和差错级联、数据处理不合逻辑、甚至是程序本身存在错误等。(4)信息系统缺乏应用的审计接口,使得审计人员在审计工作中难以有效地采集或获取企业信息系统中的数据,从而无法正常开展审计工作。(5)网络系统在技术和商业上的风险,如计算机信息系统所依赖的硬件设备可能出现一些不可预料的故障,或者信息系统所依赖的物理工作环境可能对整个信息系统的运行效能带来影响等。相对应地,网络审计的固有风险主要是指系统环境风险,即财务电算化系统本身所处的环境引起的风险,它可分为硬件环境风险和软件环境风险。控制风险包括系统控制风险和财务数据风险,其中,系统控制风险是指会计电算化系统的内部控制不严密造成的风险,财务数据风险是指电磁性财务数据被篡改的可能性。检查风险包括审计软件风险和人员操作风险,审计软件风险是指计算机审计软件本身缺陷原因造成的风险,人员操作风险是指计算机审计系统的操作人员、技术人员和开发人员等在工作中由于主观或客观原因造成的风险。
(二)风险评估目的无论在网络审计还是历史财务报表审计中,风险评估只是审计的一项重要程序,贯穿于审计的整个过程。与其他审计程序紧密联系而不是一项独立的活动。尽管如此,两者所关注的风险范围则有所不同。历史财务报表审计的风险评估要求审计人员主要关注的是被审计单位的重大错报风险――财务报表在审计前存在重大错报的可能性。由于网络审计的审计对象包括被审计单位基于网络的财务信息和网络财务信息系统两类,因此审计人员关注的风险应是被审计单位经营过程中与该两类审计对象相关的风险。(1)对于与企业网络财务信息系统相关的风险,审计人员应该从信息系统生命周期的各个阶段和信息系统的各组成部分及运行环境两方面出发进行评估。信息系统生命周期是指该信息系统从产生到完成乃至进入维护的各个阶段及其活动,无论是在早期的线性开发模型中还是在更为复杂的螺旋式等模型中,一个信息系统的生命周期大都包括规划和启动、设计开发或采购、集成实现、运行和维护、废弃等五个基本阶段。由于信息系统在不同阶段的活动内容不同,企业在不同阶段的控制目标和控制行为也会有所不同,因此,审计人员的风险评估应该贯穿于信息系统的整个生命周期。信息系统的组成部分是指构成该信息系统的硬件、软件及数据等,信息系统的运行环境是指信息系统正常运行使用所依托的物理和管理平台。具体可将其分为五个层面:物理层,即信息系统运行所必备的机房、设备、办公场所、系统线路及相关环境;网络层,即信息系统所需的网络架构的安全情况、网络设备的漏洞情况、网络设备配置的缺陷情况等;系统层,即信息系统本身的漏洞情况、配置的缺陷情况;应用层,即信息系统所使用的应用软件的漏洞情况、安全功能缺陷情况;管理层,即被审计单位在该信息系统的运行使用过程中的组织、策略、技术管理等方面的情况。(2)对于与企业基于网络的财务信息相关的风险,审计人员应着重关注财务信息的重大错报风险和信息的安全风险。重大错报风险主要指被审计单位基于网络的相关财务信息存在重大错报的可能性,它是针对企业借助于网络信息系统或网络技术对有关账户、交易或事项进行确认、计量或披露而言。网络审计中关注的重大错报风险与传统审CtT的内涵基本上是一致的,审计人员在审计时应当考虑被审计单位的行业状况、经营性质、法律及监管环境、会计政策和会计方法的选用、财务业绩的衡量和评价等方面的情况对财务信息错报可能的影响。信息安全风险涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的风险,主要针对企业利用信息系统或一定的网络平台来存储、传输、披露相关财务信息而言。在审计过程中,审eta员应当主要关注相关财务信息被盗用、非法攻击或篡改及非法使用的可能性。当然,这两类风险并非完全分离的,评估时审计人员应将两者结合起来考虑。
(三)风险评估内容 广泛意义的风险评估是指考虑潜在事件对目标实现的影响程度。由于网络审计与历史财务报表审计风险评估的目的并不完全相同,因此两者在风险评估的内容上也是存在区别的。总的来说,网络审计的风险评估内容比历史财务报表审计的风险评估内容更广泛和深入。根据《中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风
险》,在历史财务报表审计中,审计人员的风险评估应以了解被审计单位及其环境为内容。为识别和评价重大错报风险,审计人员了解的具体内容包括被审计单位所在行业状况、法律环境与监管环境以及其他外部因素、被审计单位的性质、被审计单位对会计政策的选择和运用、被审计单位的目标、战略以及相关经营风险、被审计单位财务业绩的衡量和评价及被审it@位的内部控制等。在网络审计中。为了识别和评估上文所述的两类风险,审计人员除了从以上方面了解被审计单位及其环境外,还应该关注其他相关的潜在事件及其影响,尤其是企业的财务信息系统及基于网络的财务信息可能面l临的威胁或存在的脆弱点。其中,威胁是指对信息系统及财务信息构成潜在破坏的可能性因素或者事件,它可能是一些如工作人员缺乏责任心、专业技能不足或恶意篡改等人为因素,也可能是一些如灰尘、火灾或通讯线路故障等环境因素。脆弱点是指信息系统及基于网络的财务信息所存在的薄弱环节,它是系统或网络财务信息本身固有的,包括物理环境、组织、过程、人员、管理、配置、硬软件及信息等各方面的弱点。一般来说,脆弱点本身不会带来损失或信息错报,威胁却总是要利用网络、系统的弱点来成功地引起破坏。因此,我们认为网络审计申风险评估的内容应包括以下几方面:(1)识别被审计单位财务信息系统及其基于网络的财务信息可能面临的威胁,并分析威胁发生的可能性;(2)识别被审计单位财务信息系统及其基于网络的财务信息可能存在的脆弱点,并分析脆弱点的严重程度;(3)根据威胁发生的可能性和脆弱点发生的严重程度,判断风险发生的可能性;(4)根据风险发生的可能性,评价风险对财务信息系统和基于网络的财务信息可能带来的影响;(5)若被审计单位存在风险防范或化解措施,审计人员在进行风险评估时还应该考虑相应措施的可行性及有效性。
(四)风险评估程序《中国注册会计师审计准则第1211-----了解被审计单位及其环境并评估重大错报风险》中要求,审计人员应当实施询问、分析程序、观察和检查等程序,以获取被审计单位的信息,进而评估被审计单位的重大错报风险。这些程序同样适用于网络审计中的风险评估。但在具体运用时网络审计中更加注重了解和分析被审计单位与信息系统及网络技术使用相关的事项。在实施询问程序时,审计人员的询问对象围绕信息系统和基于网络的财务信息可大致分为管理人员、系统开发和维护人员(或信息编制人员)、系统使用人员(或信息的内部使用人员)、系统或网络技术顾问及其他外部相关人员(如律师)等五类,分别从不同角度了解信息系统和基于网络的财务信息可能存在的威胁和脆弱点。在实施分析程序时,除了研究财务数据及与财务信息相关的非财务数据可能的异常趋势外,审计人员应格外关注对信息系统及网络的特性情况,被审计单位对信息系统的使用情况等内容的分析比较。实施观察和检查时,除执行常规程序外,审计人员应注意观察信息系统的操作使用和检查信息系统文档。除此之外,针对特定系统或网络技术风险的评估,审计人员还需要实施一些特定的程序。技术方面如IOS取样分析、渗透测试、工具扫描、安全策略分析等;管理方面如风险问卷调查、风险顾问访谈、风险策略分析、文档审核等。其中,IDS取样分析是指通过在核心网络采样监听通信数据方式,获取网络中存在的攻击和蠕虫行为,并对通信流量进行分析;渗透测试是指在获取用户授权后,通过真实模拟黑客使用的工具、方法来进行实际漏洞发现和利用的安全测试方法;工具扫描是指通过评估工具软件或专用安全评估系统自动获取评估对象的脆弱性信息,包括主机扫描、网络扫描、数据库扫描等,用于分析系统、应用、网络设备存在的常见漏洞。风险问卷调查与风险顾问访谈要求审计人员分别采用问卷和面谈的方式向有关主体了解被审计单位的风险状况,使用时关键是要明确问卷或访谈的对象情况风险策略分析要求审计人员对企业所设定的风险管理和应对策略的有效性进行分析,进而评价企业相关风险发生的概率以及可能带来的损失;文档审核是一种事前评价方法,属于前置软件测试的一部分,主要包括需求文档测试和设计文档测试。这些特定程序主要是针对被审计单位信息系统和基于网络的财务信息在网络安全风险方面进行评价,审计人员在具体使用时应结合被审计单位的业务性质选择合适的程序。
三、网络审计与信息安全管理的风险评估比较
(一)风险评估的目的信息安全管理中的风险评估(即信息安全风险评估)是指根据国家有关信息安全技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程。作为信息安全保障体系建立过程中的重要的评价方法和决策机制,信息安全风险评估是企业管理的组成部分,它具有规划、组织、协调和控制等管理的基本特征,其主要目的在于从企业内部风险管理的角度,在系统分析和评估风险发生的可能性及带来的损失的基础上,提出有针对性的防护和整改措施,将企业面临或遭遇的风险控制在可接受水平,最大限度地保证组织的信息安全。而网络审计是由独立审计人员向企业提供的一项鉴证服务,其风险评估的目的在于识别和评价潜在事件对被审计单位基于网络的财务信息的合法性、公允性以及网络财务信息系统的合规性、可靠性和有效性的影响程度,从而指导进一步审计程序。因此,两者风险评估的目的是不一样。从评估所应关注的风险范围来看,两者具有一致性,即都需要考虑与信息系统和信息相关的风险。但是,具体的关注边界则是不一样的。信息安全风险评估要评估企业资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响,它要求评估人员关注与企业整个信息系统和所有的信息相关的风险,包括实体安全风险、数据安全风险、软件安全风险、运行安全风险等。网络审计中,审计人员是对被审计单位的网络财务信息系统和基于网络的财务信息发表意见,因此,风险评估时审计人员主要关注的是与企业财务信息系统和基于网络的财务信息相关的风险,而不是与企业的整个信息系统和所有的信息相关的风险。根据评估实施者的不同,信息安全风险评估形式包括自评估和他评估。自评估是由组织自身对所拥有的信息系统进行的风险评估活动;他评估通常是由组织的上级主管机关或业务主管机关发起的,旨在依据已经颁布的法规或标准进行的具有强制意味的检查。自评估和他评估都可以通过风险评估服务机构进行咨询、服务、培训以及风险评估有关工具的提供。因此。对审计人员而言,受托执行的信息安全风险评估应当归属于管理咨询类,即属于非鉴证业务,与网络审计严格区分开来。
(二)风险评估的内容在我国国家质量监督检验检疫总局的《信息安全风险评估指南》(征求意见稿)国家标准中,它将信息安全风险评估的内容分为两部分:基本要素和相关属性,提出信息安全风险评估应围绕其基本要素展开,并充分考虑与这些基本要素相关的其他属性。其中,风险评估的基本要素包括资产、脆弱性、威胁、风险和安全措施;相关属性包括业务战略、资产价值、安全需求、安全事件、残余风险等。在此基础上的风险计算过程是:(1)对信息资产进行识别,并对资产赋值;(2)对威胁进行分析,并对威
胁发生的可能性赋值;(3)识别信息资产的脆弱性,并对弱点的严重程度赋值;(4)根据威胁和脆弱性计算安全事件发生的可能性;(5)根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失;(6)根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即风险值。结合上文网络审计风险评估五个方面的内容可以看出,网络审计和信息安全风险评估在内容上有相近之处,即都需要针对信息系统和信息可能面临的威胁和存在的脆弱点进行识别。但是,信息安全管理作为企业的一项内部管理,其风险评估工作需要从两个层次展开:一是评估风险发生的可能性及其影响;二是提出防护或整改措施以控制风险。第一个层次的工作实质上是为第二层次工作服务的,其重点在第二层次。《信息安全风险评估指南》(征求意见稿)提出,企业在确定出风险水平后,应对不可接受的风险选择适当的处理方式及控制措施,并形成风险处理计划。其中,风险处理的方式包括回避风险、降低风险、转移风险、接受风险,而控制措施的选择应兼顾管理和技术,考虑企业发展战略、企业文化、人员素质,并特别关注成本与风险的平衡。网络审计的风险评估工作主要集中在第一个层次,即审计人员通过风险评估,为进一步审计中做出合理的职业判断、有效地实施网络审计程序和实现网络审计目标提供重要基础。因此,两者的评估内容是存在区别的。
一、企业税务风险管理体系构建依据的理论问题
理论是行动的指南,没有理论指导的实践是盲目的实践。企业要构建一个科学、合理、操作可行的税务风险管理体系,首先就得掌握税务风险管理的相关理论。这些相关理论分别是:
1.全面风险管理理论
全面风险管理是一种站在整个企业的角度进行的整体化风险管理。其核心思想为,企业风险来源于多方面,因而最终能够对企业产生影响为一系列风险共同作用所产生的结果。因此,从整体角度对企业所面临风险进行全面管理方可对其进行最为有效的风险管理。当前应用最为普遍的全面风险管理理论与方法包括以下两大类:其一为TRM,即全面风险管理理论,该理论以风险决策因素为基础,将风险管理策略的概率、偏好及价格此三因素概念引入,并提出实现此三要素的最佳平衡是风险管理的最终目标。但该理论当前缺乏实践;其二为ERM,即以组织结构体系为基础的全面风险标准化度量的风险管理。该方法基于企业整体系统这一角度对结构内部各个层次业务单位及业务环节进行通盘管理,从而实现对企业风险的全面有效管理。它与TRM理论相比,可操作性更强,得到了业界多数人的认可和采纳。该方法包括了内部环境、目标识定、事项识别、风险评估、风险应付、控制策略、信息与沟通、监察等八个方面的具体内容。
2.危机管理理论
美国学者史蒂芬•芬克(StevenFink)早在1986年就提出危机管理就是规避风险的艺术的观点。罗伯特•希斯(RobertHeath,2004)在其专著《危机管理》(第二版)一书中,认为危机管理包括对危机事前、事中及事后的管理,这也是目前学术界普遍认同的观点。具本来说,危机的事前管理又包括风险规避、危机管理员预案、信号侦测及危机预警等步骤、内容,事中管理又包括危机情境、沟通与协作及危机决策与行动等步骤、内容,事后管理又包括评价学习与变革发展等步骤、内容。同时罗伯特•希斯还提出了危机管理的“4R”模型,即将危机管理过程分为缩减(Reduction)、预备(Readiness)、反应(Response)、恢复(Recovery)四个环节,该模型以预备、反应及恢复三个环节为核心。具体来说,缩减环节主要是进行风险评估,预备环节主要包括危机预警系统、危机管理计划和培训与演习等内容,反应环节又包括确认危机、隔离危机、处理危机及消除危机等步骤、内容,恢复环节又包括危机影响分析、危机恢复计划、危机恢复行动等步骤、内容。风险与危机既有区别又有联系,而且风险可能转换为危机。风险不等于危机,但风险的存在是危机发生的前提,只有对风险进行有效的识别、评估和控制管理,才能防范危机的发生。如果对各种危机熟视无睹,或对已识别到的各项风险未采取有效的应对措施,那么风险就转换成危机。
二、企业税务风险管理的识别与评估体系构建问题
1.企业税务风险识别方法体系
所谓企业税务风险识别指的是企业税务风险管理工作人员在对相关知识与方法加以利用的基础上对企业可能发生的税务风险加以辨认的过程。风险识别是企业进行税务风险评估与应对的基础。只有对企业可能存在风险加以识别方能够针对性地进行相应的风险管理。因此,在企业的税务风险管理中,我们必须掌握以下税务风险识别的方法:
(1)基本方法:税务风险清单法该方法是运用类似于备忘录的方式,将可能面临的各类风险一一列举出来,并联系企业自身运营情况对这些风险进行综合分析考察。企业的决策者和风险管理者依据所列举的风险清单,对风险及其可能产生的后果作出合理的评估,并探究防止风险的发生和蔓延的对策。但应注意的是,通常情况下企业税务风险清单是基于传统风险管理方式而设计,因而其仅对纯粹风险进行了考虑,而未对投机风险等加以考虑。因此。为避免忽略相关风险事项,企业还可以根据自身情况或聘请税务顾问编制出更为全面、具体的税务风险一览表,对照该表企业就能够比较简单地识别税务风险。
(2)辅助方法:财务报表分析法、因果分析法、流程图法①财务报表分析法此方法主要以企业财务报表如利润表、资产负债表以及现金流量表等为依据,对企业收入、负债、利润及资产等多方面情况实行风险分析,基于财务角度来对企业将面临的潜在纳税风险进行识别。因企业财务报表中包括了投机风险相关信息,因而可将此方法应用于企业投机税务风险的识别。通过资产负债表则可获取损失暴露相关信息;而通过对利润表的分析则可对企业盈亏风险来源以及应缴纳税别加以识别;通过对企业现金流量表进行分析可对企业现金流量风险加以识别。与此同时,通过对企业财务报表相关数据的分析,来对企业税收负担率指标及利润指标等计算出来,而后对计算结果进行横向比较,对本企业相应财务指标同本行业及企业的相应指标加以对比分析。若某项指标差异过大,则表明该企业存在着税务风险。此外,还可进行纵向比较,通过将本企业当前变动指标同之前年度平均水平加以对比,对其发展与变化趋势进行分析,通过对分析项目是否正常的确定来对该企业税务风险的存在与否加以识别。②因果分析法该方法是日本东京大学石川馨教授于1953年在日本川缔公司分析影响产品质量因素时提出来的,且取得非常好的效果,进而被推广。企业在税务风险管理实践中,引发税务风险的因素很多,而这些因素往往又错综复杂地交织在一起,若想要从根本上应对税务风险,就必须准确无误地找出产生问题的根源。而因果分析法,就是通过描绘因果图,从导致税务风险的原因出发,推导出可能发生结果的一种识别税务风险的方法。这种方法能够使得税务风险管理者清楚、有效地整出税务风险和各个因素之间的关系,并对其进行分析。③流程图法此方法是通过生产过程或管理流程来对企业税务风险加以识别的一种方法。首先,该方法对企业生产运营过程根据各个阶段顺序将其绘制成相应的流程图,而后对其进行动态分析合动态分析。其中,静态分析指的是对流程图中各个环节按照顺序加以调查,在找出潜在的税务风险后对其可能产生的后果进行分析;动态分析则指的是对流程图各环节间的关系进行分析并找出主要纳税环节。企业税务风险管理工作人员使用动态分析基本上可对企业生产运营各环节可能存在的税务风险成功识别,并且此方法对企业营业中段以及连带营业中段相关税务风险识别尤为有效。然而流程图方仅强调事故结果,对损失原因则并不关注。
2.企业税务风险评估方法体系
所谓税务风险评估指的是基于税务风险识别运用数理统计与概率论的方法对损失发生概率及大小进行测算,并根据该企业应对风险的态度以及风险承受能力来对税务风险的重要性及其影响程度加以评价的过程。它主要包括评估风险发生的可能性与评估风险产生的影响后果两个方面的内容。税务风险发生的可能性越大,税务风险就越高。评估的方法既有定性评估法,也有定量评估法。
(1)定性评估方法这种评估方法适用于税务风险本身无法进行量比,或不能获得进行定量分析的足量可靠数据,或对数据进行分析与呈效益相关原则不符合的情况。定性评估的方法比较多,但本文只介绍SWOT分析法。SWOT[Strenth(内部优势)、Weakness(内部劣势)、Opportunity(外部机会)、Threat(外部威胁)]分析法是将企业的内部环境的优劣和外部环境的机会、威胁加以对照,对企业目前的内部和外部环境进行初步评估,明确本企业在市场中的地位,从而制定最优战略,实现企业的目标。此方法相关理念在近些年才逐渐被用于对企业税务风险进行评估,其主要应用于对企业所处内部税务环境与外部税务环境加以分析,将不可量化风险对整个企业的影响程度加以判断。若企业内外部税务环境均处于良好状态时,该企业所面临的税务风险相对较小;而当企业内外部税务环境处于不理想状态时,企业所面临的税务风险则相对较大;当企业内、外部税务环境两者中一个较好、一个较差时,则就需要结合企业的实际情况来分析。
(2)定量评估方法①风险预警值测算法该方法是根据企业的财务指标设定风险预警值,测算税务风险大小的一种方法。指标预警值可依据评估对象规模大小、所处环境、资金流向、所面临风险以及企业产品类型等具体因素按照不同区域、不同行业及不同规模加以测算,采用数学方法将加权平均值、算数平均值以及合理变动范围计算出来。在对其预警值进行测算时,应对地区、类型、规划、税种以及生产经营季节等诸多因素,将同一行业、同一规模以及同一纳税人各种相关指标若干年度平均水平纳入考虑范围,以确保预警值更为准确、真实及具有可比性。②综合风险指数模型评估法此方法是以税务风险对各类指数或因素变动敏感度的假设为基础。作为损失额生成过程,多因素模型试图将对所有税务产生系统影响的重要经济力量提取出来,并将其量化,而后将之代入相应数学模型从而实现数据化,根据此进行评估。企业税务风险评估应以多因素、多项目综合评估为出发点。因此,可建立下述模型来进行综合风险评估:V(t)=∑Vit=P1it×S1it+P2it×S2it+……+Pnit×Snit+Eit在上述模型中i=0,1,…,n。我们假设各风险因素其发生概率P与敏感系数S为可知的。其中,V(t)表示的是t时间内综合风险指数;而Pnit则表示的是t时间内第i个项目的第n个风险因素的发生概率;上述模型中Snit表示的是t时间内第i个项目的第n个风险因素其发生变化对预期收益率的敏感系数;E则表示的是随机误差项;i则表示的是风险项目数;式中t表示的是时间,最好以月或半月来算。该指数模型由于加入了时间因素t,因而其为动态风险评估模型。企业税务风险管理人员可根据预期回报率、其自身风险承受能力以及外部环境变化等相关因素来对当前及未来的一段时间内的风险状况进行综合判断,进而制定出统观全局的税务风险管理策略。
三、构建问题分析
所谓企业税务风险管理绩效评价指的是将企业税务风险管理方案实施后实际结果作为依据,在此基础上对该企业税务风险管理手段与方法的适用性、科学性、实际收益等诸多方面加以分析与评价的过程。该评价结果则可作为企业制定新税务风险管理规划制定的一项参考。因而,企业要构建科学适用的税务风险管理绩效评价体系税务风险管理评价人员必须把握以下两个大的问题:
1.评价步骤
首先应制定相应的绩效评价计划。企业相关机构应以本企业具体特点为基础来确定评价范围、对象、目标及评价方法,进而制定出相应的计划,这也是企业税务风险管理绩效评价极为关键的一步。其次是搜集、整理与税务风险管理有关的资料。在这一阶段需要搜集的资料主要包括税务风险管理措施实施后相关资料、当前国家相关税收法律及法规资料、国家相关部门所制定的企业税务风险管理措施评价方法及其它税务风险管理相关资料等。这是必不可少的一步。再次是编制企业税务风险管理绩效评价报告。相关工作人员应根据国家相关评价格式对本企业税务风险管理效果相应的分析结果在汇总的基础上编制出相应的评价报告,并将评价报告提交至相关委托单位与被评价单位。因评价报告是最终成果,故这一步是非常重要的一步。
2.企业税务风险管理绩效评价的方法体系
企业税务风险管理绩效评价的方法体系主要由定量评价的方法与定性评价的方法两大部分组成。这两类方法可以有机地结合使用。
(1)定量评价法企业在固定时段内可通过百分比、金额、罚款或损失次数等对该企业税务风险管理绩效进行定量评价,评价的指标主要有税务风险发生率、损失程度以及管理成本与收益等。在评价时我们不能孤立地使用这些指标数据,需要采用“指标对比法”,将税务风险管理措施实施后的实际数据或实际情况与实施以前的实际情况或实际数据加以对比,找出其中差异。比如,某企业将2013年其实施税务风险管理措施后税务风险事故发生所造成的实际损失与2012年进行相应的比较,就可得出其税务风险管理效果,并可为以后的税务风险管理提供一些参考。
(2)定性评价法企业进行税务风险管理在基于定量评价法的基础上,还可采取“专题调查法”、“专家评议法”等方法,对企业税务风险的管理绩效进行定性评价。如调查税务风险管理效果的评价报告,企业可以通过召开有关人员参加的会议,广泛吸取他们对评价报告的不同意见,必将有利于克服税务风险管理决策中的片面性;对一定时期内企业的税务风险管理方案、管理决策的执行情况、管理制度的创新以及税务损失控制等项目进行定性分析与综合评判时,企业可以通过听取有经验、有能力的税务专家的意见来分析、评估税务风险管理绩效,得出企业税务风险管理水平的等级(优、良、中、低、差)。
四、结束语
随着金融体制改革的日益深化,建立科学的公司治理结构和风险管理体制成为摆在每个商业银行面前的重要课题,而内部审计作为一项独立、客观、公正的约束与评价机制,在现代企业风险管理中正发挥着越来越重要的作用,履行和发挥内部审计在风险管理中的职责与作用是现代商业银行转化经营机制、建立现代企业制度的客观需要,也是内部审计充分发挥和提升审计价值实现增值服务的重要途径。本文就内部审计与企业风险管理的关系及内部审计如何参与企业风险管理进行了思考,并提出一些建议。
一、内部审计与企业风险管理的关系
风险是指发生对目标的实现可能产生的事件的不确定性。风险的衡量标准是后果与可能性。风险管理是指对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理主要包括风险识别、风险评估、风险应对三个阶段。可见,风险管理是现代企业管理的一项主要,为了实现企业的工作目标,企业管理层应当确保企业中存在良好的风险管理过程并使其发挥作用。
内审协会对内部审计的定义是:“内部审计是指组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现”,而“风险管理是组织内部控制的基本组成部分,内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一”,也就是说风险管理是内部审计的重要内容。
国际注册内审师协会对内部审计的描述是:“内部审计是一种独立、客观的保证工作与咨询活动,它的目的是为机构增加价值并提高机构的运作效率。它采取系统化、规范化的来对风险管理、控制及治理程序进行评价,提高它们的效率,从而帮助实现机构目标。”并且指出“内部审计应该就管理层的风险管理过程的充分性和有效性进行检查、评估、报告,并提出改进意见”。可见,国际先进内审理念已明确将风险管理作为内部审计的重要内容,现代内部审计的范围已从传统的财务审计扩大到风险管理和公司治理层次上,有效的风险管理机制和健全的公司治理结构已成为现代内部审计关注的重点。
在现代内部审计工作中,内部审计与风险管理有了明确的结合点——风险管理审计。风险管理审计是在帐项基础审计和制度基础审计基础上起来的一种审计模式,是指审计人员在对被审单位的内部控制充分了解和评价的基础上,运用一定的审计手段,、判断被审单位的风险所在及其风险程度,针对不同风险因素状况、程度采取相应的审计策略,加强对高风险点的实质性测试,将内部审计的剩余风险降低到可接受水平。2005年5月1日中国内审协会颁布了“内部审计具体准则第16号——风险管理审计”,风险管理审计作为先进的审计理念和审计内容正式步入我国内审领域。
因此,作为现代企业管理的重要内容,内部审计与风险管理的联系日趋紧密。内部审计本身就是企业管理的一种手段和方式,是内部管理的延伸;风险管理是企业管理的重要内容,同时也是现代内部审计的重要内容之一,内部审计负有识别和评估风险的责任。风险管理作为管理层一项关键责任,企业管理层对其负有不可推卸的责任;内部审计师则有职责定期评价并协助其他部门进行风险管理,在改善管理层的风险管理流程效果和效率方面进行检查、评价、报告和提出审计建议,帮助识别、评价和实施风险管理方法和控制。内部审计和风险管理在企业中的目标是一致的,都是为了实现企业的组织目标。
二、内部审计在现代企业风险管理中的作用
在风险管理审计中,风险管理成为组织中的关键流程,分析、确认、揭示关键性的风险,成为内部审计的主要职责。
(一)内部审计将风险管理纳入审计范畴,有助于实现企业全面工作和总体目标的实现。
现代企业面临的经营环境日趋复杂,风险日益增大,减少面临的风险是企业实现价值最大化目标的关键。内部审计采取系统化、规范化的方法促进建立风险管理过程,通过内控制度的评价,对公司经营活动进行风险识别和评价,改进风险管理与控制体系,提请管理层关注风险,从而完善企业管理,转化负面风险,提升企业竞争能力和应变能力,最终实现企业目标。
对企业而言,对风险识别、防范和控制需要从全局考虑,而企业本身是多个部门的集合,各业务部门很难做到这一点。内部审计在企业中具有相对独立的地位,决定其能站在全局的高度相对超脱地获得企业内部控制、经营管理活动及风险管理等方面的信息,向管理层提供创造性思维,提出科学合理的建议,避免风险带来的损失。
所以无论是从全局工作还是实现总体目标的角度来看,内部审计都有职责融入风险管理。内部审计将风险管理纳入审计范畴,对实现企业全面工作和总体目标将发挥及大的作用。
(二)内部审计的相对独立和与企业一体性的独特地位,决定了其对企业风险的揭示更准确更有效。
从企业内部看,现代企业建立了各级风险管理组织层次,包括风险控制委员会、内部审计部门、专职风险监管部门。但风险监管部门往往做为一个职能部门隶属于各级管理层,不具有独立性,其意见有时会屈服于管理当局的压力,这使得风险管理部门的作用受到限制。在现代企业中,内部审计部门独立于管理部门,在现代企业公司治理构架中,内部审计往往隶属于董事会或审计委员会,直接向董事会负责,其风险评估的意见可以直接报送给董事会,提出的意见与建议更具权威性。
从企业外部看,外部审计从独立、客观的角度对企业的财务报表进行审计和对企业的内部控制进行复核,经常能提供一些有用的信息影响到企业风险管理。但他们更多地围绕企业报表的合法、公允、一贯性开展工作,对企业管理环境和运作过程不十分熟悉,决定其提供的风险管理服务不能做到贴近内部管理,不能对企业风险管理的有效性负责。而内部审计部门对企业面临的风险更了解,在风险管理方面拥有外部审计师无可比拟的优势。他们以风险发生可能性大小为依据,深入经营管理过程和行为,在业务经营、财务管理、费用控制等各方面查找并防范风险,通过内部视角,敏锐观察经营过程中不断变化的风险因素,快速传递管理中存在的缺陷或失败,促使董事会和高级管理层做出快速反应,及时采取措施,防范和纠正不当行为。
(三)风险因素始终贯穿于内部审计的整个审计程序,使内部审计成为风险控制程序的重要补充。
内部审计人员风险导向审计模式,从整体上把握审计风险因素,合理整合审计资源,警惕可能目标、运营和资源的重大风险,最大限度地减少审计风险。在审计计划、审计实施、审计报告阶段,将风险作为重要考虑因素,在整个审计过程贯穿对风险的关注,充分考虑风险管理的充分性和有效性。具体讲,在审计计划阶段,内部审计应该考虑活动存在的风险,在评估风险优先次序的基础上安排审计工作,按照风险大小分配审计资源;在审计实施阶段中,审计通过检查、评价风险管理过程的充分性和有效性,发现风险控制的漏洞和薄弱环节;在审计报告阶段,对风险管理状况进行评价,对风险管理中存在的漏洞和不足提出改进建议,协助确定、评价并实施针对风险管理的和控制措施。
三、内部审计如何参与现代企业风险管理
内部审计可以从风险识别、风险评估、风险应对三个阶段参与企业风险管理,通过审查和评价企业风险识别、风险评估、风险应对的充分性、适当性、有效性,来识别、报告潜在重大风险,提出应对措施,同时通过落实审计建议督促企业采取有效的风险控制措施。
(一)审查和评价企业风险识别的充分性和适当性。
风险识别是管理层的职责,主要是根据企业的组织目标、战略规划等识别企业所面临的各类内、外部风险。是对企业所面临的、以及潜在的各类内、外部风险加以判断、归类和鉴定风险性质的过程,实质上就是对风险进行定性。
内部审计人员通过实施必要的审计程序,对企业风险识别过程进行审查与评价,重点关注企业面临的内、外部风险是否已得到充分、适当的确认。外部风险是指外部环境中对组织目标的实现产生影响的不确定性,其主要来源于国家法规及政策的变化、环境的变化、的快速、行业竞争、资源及市场变化、灾害及意外损失等。内部风险是指内部环境中对组织目标的实现产生影响的不确定性,其主要来源于组织治理结构的缺陷、组织经营活动的特点、组织资产的性质以及资产管理的局限性、组织信息系统的故障或中断、组织人员的道德品质、业务素质未达到要求等。内部审计部门要关注企业已识别风险的完整性,即企业所面临的主要风险是否均已被识别出来,并找出未被识别的主要风险。这就需要内部审计人员也要对企业的风险进行有效识别,从而审查和评价企业对风险识别的充分性和适当性。内部审计熟悉公司的经营管理过程,以风险敏感性为起点开展工作,有效识别风险,从潜在的事件及其产生的原因和后果来检查风险,收集、整理可能的风险,并充分征求各方意见以形成风险列表。内部审计通常要关注的主要风险有:财务和经营信息不足而导致决策错误;资产流失,资源浪费和无效使用;顾客不满意,企业信誉受损等。
(二)审查和评价企业风险评估的适当性和有效性。
风险评估是对已识别的风险,评估其发生的可能性及影响程度。风险评估主要应用各种管理技术,采用定性与定量相结合的方式,找出主要的风险源,并评价风险的可能影响,最终定量估计风险大小。风险评估的目的是确定每个风险要素的影响大小,一般是对已经识别出来的风险进行量化估计,从风险发生的可能性和影响两方面对风险进行评估,通过公式:风险值=风险概率×风险影响,出风险值。
内部审计部门在审查和评价企业风险评估时要重点关注风险发生的可能性及风险对组织目标的实现产生影响的严重程度。为了更好地审查和评估企业的风险评估,内部审计人员应当充分了解和掌握风险评估的方法,风险评估可以采用定性或定量的方法进行:定性方法,是指运用定性术语评估并描述风险发生的可能性及其影响程度;定量方法,是指运用数量方法评估并描述风险发生的可能性及其影响程度。内部审计部门和内部审计师要对已有的风险的评估结果进行再检验,以确定其是否恰当,对不恰当的评估予以更正。风险分析中,审计师不仅要关注风险的数量方面,还要关注风险的属性方面或其承载价值的后果。同时,内部审计人员应当对管理层所采用的风险评估方法进行审查,以评价风险评估方法的适当性和有效性,审查时重点考虑以下因素:已识别的风险的特征、相关数据的充分性与可靠性、管理层进行风险评估的技术能力、成本效益的考核与衡量及其他因素。内部审计人员在评价风险评估方法的适当性和有效性时,应当遵循以下原则:定性方法的采用需要充分考虑相关部门或人员的意见,以提高评估结果的客观性;在风险难以量化、定量评价所需数据难以获取时,一般应采用定性方法;定量方法一般情况下会比定性方法提供更为客观的评估结果。
(三)审查和评估风险应对措施的适当性和有效性。
风险应对是采取应对措施,将风险控制在组织可接受的范围内。完成了风险评估后,确定存在的风险以及它们发生的可能性,排列出风险的优先级,就可以根据风险性质和承受能力制定相应的防范措施。根据风险评估结果作出的风险应对措施主要包括以下几个方面:一是回避,是指采取措施避免进行可产生风险的活动;二是接受,是指由于风险已在组织可接受的范围内,因而可以不采取任何措施;三是降低,是指采取适当措施将风险降低到组织可接受的范围内;四是分担,是指采取措施将风险转移给其他组织或保险机构。
内部审计人员在评价风险应对措施的适当性和有效性时,应当考虑以下因素:一是采取风险应对措施之后的剩余风险水平是否在组织可以接受的范围之内;二是采取的风险应对措施是否适合本组织的经营、管理特点;三是成本效益的考核与衡量。内部审计人员对有关部门针对风险所采取的防范措施进行审查,对于风险缺乏充分的控制措施的情况,内部审计部门和内部审计人员应提出改进措施和建议,协助完善风险反应方案,以强化企业的风险防范管理,降低风险损失。
