序論:在您撰寫風險評估與管理時���,參考他人的優(yōu)秀作品可以開闊視野,小編為您整理的7篇范文�����,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導您走向新的創(chuàng)作高度���。
第1篇
關鍵詞:注冊會計師 風險評估 風險管理 內部控制
一�、引言
2010年美國公眾公司會計監(jiān)督委員會(Public Company Accounting Oversight Board�,PCAOB)通過了新的審計準則(審計準則第8號至第15號),以規(guī)范審計師對審計風險的評估和反應�����。目的是監(jiān)督公眾公司的審計師編制信息量大�、公允和獨立的審計報告��,以保護投資者利益并增進公眾利益���。在PCAOB此次行動之前�,不斷有人發(fā)出強烈的信息�����,讓審計職業(yè)人員在風險管理中扮演更積極的角色���。而且PCAOB早在兩年前就已經提出了實施具體風險評估準則的信息�����,這些準則旨在解決從最初計劃到結果評估的審計過程問題�����。這些新準則是在審計促進成熟風險評估中非常重要的一步�,可以把審計師未能發(fā)現(xiàn)的重大錯報事故風險降到最小。PCAOB執(zhí)行主席丹尼爾?格爾澤爾說一旦這些標準被采用�,在審計財務申明中發(fā)現(xiàn),適當計劃以及實施審計以解決這些風險問題以增強投資者的信息是非常重要的��。這些審計標準包括:審計風險��、審計計劃�����、審計參與監(jiān)督�、計劃執(zhí)行審計中的思考、重大錯報事故的確認與評估��、審計師對重大錯報事故的回應�����、評估審計結果以及審計證據。它們貫穿了從初始計劃階段到審計結果評估的整個審計流程���。PCAOB主席丹尼爾?高澤(DanielL�,Goelzer)說:這些新準則的出臺意味著在促進精密的審計風險評估與將審計人員未能發(fā)現(xiàn)重大誤報的風險降至最低方面邁出了重要一步���。識別風險��,并通過正確地審計計劃和開展審計活動來應對風險�,對于提升投資者對經審計財務報表的信心是至關重要的�。
二、風險評估����、企業(yè)風險管理與審計風險
(一)注冊會計師風險評估 風險導向審計的核心是審計風險�,任何審計業(yè)務都必須將審計風險控制在可接受的風險水平內。因此風險導向審計要求注冊會計師加強對被審計單位及其環(huán)境的了解����,在審計的所有階段都要實施風險評估程序,并將識別和的評估的風險與實施的審計程序掛鉤����,而且要求針對重大的各類交易�����、賬戶余額和列報實施實質性程序�,可以說風險評估程序是風險導向審計模式落實到審計工作的核心環(huán)節(jié)�����,風險導向審計下審計風險模型如下:審計風險=重大錯報風險×檢查風險�。審計風險是指財務報表存在重大錯報而注冊會計師發(fā)表不恰當審計意見的可能性。重大錯報風險是指財務報表在審計錢存在重大錯報的可能性�,檢查風險是指某一認定存在錯報,該錯報單獨或連同其他錯報是重大的�����,但注冊會計師未能發(fā)現(xiàn)這種錯報的可能性�����。注冊會計師合理設計審計程序的性質��、時間和范圍����,并有效執(zhí)行審計程序�,以控制檢查風險����。注冊會計師采取以下方法展開審計工作:(1)注冊會計師應當針對財務報表層次的重大錯報風險置頂總體應對措施;(2)注冊會計師應當針對認定層次的重大錯報風險設計和實施進一步審計程序��,包括測試控制的執(zhí)行有效性以及實施實質性程序��;(3)注冊會計師應當評價風險評估的結果是否適當�����,并確定是否已經獲取充分��、適當的審計證據�;(4)注冊會計師應當將實施關鍵的程序形成審計工作記錄。我們發(fā)現(xiàn)�,注冊會計師以針對評估的財務報表層次重大錯報風險為起點,確定總體應對措施�����,并有針對評估的認定層次重大錯報風險設計和實施進一步審計程序���,以將審計風險控制在可接受的低水平����。風險導向的核心是審計風險��,控制審計風險的關鍵是風險評估程序�����,另一方面��,企業(yè)必須準確地評價和有效地管理各項與企業(yè)成功息息相關的風險����。管理層不但需要準確地了解各項業(yè)務風險以及不良控制的后果,并且能夠根據所確認風險的殘余影響的輕重程度分配資源和關注程度����。所以注冊會計師的風險評估將有利于企業(yè)的風險管理。
(二)企業(yè)的風險管理 每個企業(yè)在經營中存在各種風險�����,而我們這里討論的企業(yè)風險管理中的風險概念與金融市場的風險概念有所不同�����,當然金融風險也是企業(yè)(特別是金融類企業(yè))面臨的風險之一,企業(yè)風險就是企業(yè)面臨的可能導致企業(yè)虧損的各種不確定性事件��,降低企業(yè)的價值��。所以風險管理需要做的就是盡量避免這種不確定性事件的發(fā)生���,或者是降低不確定性事件發(fā)生后對企業(yè)造成的損失����。企業(yè)風險管理包括四個環(huán)節(jié):風險識別����、風險評估、風險應對���、風險監(jiān)察�����。第一����,風險識別是指盡力識別可能對企業(yè)取得成功產生影響的風險��,包括整個業(yè)務面臨的較大的風險����,以及與每個項目或較小的業(yè)務單位關系的風險,識別潛在風險可以認識到企業(yè)面臨的各種風險類型���,而且風險識別程序應該在企業(yè)內的多個層級得以執(zhí)行���,這與注冊會計師的風險評估貫徹于整個審計過程一樣。第二���,風險評估是在識別了各種風險后�,對風險的的性質�����、風險的類型�����、風險的發(fā)生頻率等進行評價�,這種評價最主要分為兩方面,一個是影響,另一個是可能性��,企業(yè)可能還會采用敏感性分析或者決策樹等方法對風險的性質進行全面的認識���。這與注冊會計師的風險評估相似���,不過更加具體、全面��。第三�,風險應對是指對上述評估的風險采取相應的措施,以避免該風險對企業(yè)產生的損失�����,風險應對的策略包括風險降低(如分散投資�����,就是一種降低風險的措施)�,風險消除(使得該風險事件發(fā)生的概率降低為零),風險轉移(將風險的后果采用保險����、合同等方式轉移出企業(yè)),風險保留(定期風險復核、控制風險情境)�����。第四���,風險監(jiān)察是指企業(yè)監(jiān)測目標的實現(xiàn)過程,關注新的風險和相關損失�����,企業(yè)需要對風險進行監(jiān)察��,并在需要時不斷作出調整�����。風險檢查者定期檢查正在發(fā)生的虧損�,以了解他們的控制建議得以實施,并設計過程來改善風險管理的過程�����,制定一項戰(zhàn)略來應對出現(xiàn)的新風險��。
(三)風險評估與經營風險、審計風險 企業(yè)的風險識別是風險管理的第一步,是指對企業(yè)面臨的,以及潛在的風險加以判斷��、歸類和鑒定風險性質的過程�。企業(yè)的風險一般可以分為兩類:系統(tǒng)風險和非系統(tǒng)風險。系統(tǒng)風險是由公司之外的各種因素引起的����,如戰(zhàn)爭���、經濟衰退�、通貨膨脹���、高利率等與政治����、經濟和社會相聯(lián)系的風險�,是不能通過多元化投資而分散的,因此又稱作不可分散風險或市場風險�。非系統(tǒng)風險也被稱作可分散風險,它是由公司本身的商業(yè)活動和財務活動帶來的����,如企業(yè)的管理水平����、研究與開發(fā)��、消費者需求的改變���、市場營銷風險以及法律訴訟等,其可以通過多元化投資組合而分散�,是公司特有的風險。而現(xiàn)代風險導向審計將風險評估����、風險應對與審計程序聯(lián)系起來,這就使得注冊會計師審計不僅僅是出具審計報告的鑒證業(yè)務���,也可以起到促進企業(yè)風險管理的作用��,注冊會計師審計過程中必須進行風險評估���,風險評估的過程是為了能夠獲得盡可能準確的財務報表重大錯報風險信息,以控制審計風險����,企業(yè)風險管理的過程是為了控制企業(yè)經營風險����,從審計風險與企業(yè)經營風險的關系����,我們發(fā)現(xiàn):其一,風險評估是指評估被審計單位風險�,評估的過程是企業(yè)風險管理中的一個環(huán)節(jié),所以在性質上他們具有相似性��。其二�����,風險評估的程序包括:了
解被審計單位及其環(huán)境��、了解被審計單位的內部控制等���,而風險管理也需要進行這些工作���,方法包括:觀察、檢查���、分析程序�����,穿行測試等���。風險評估���。其三,風險評估的目的相同:對于注冊會計師而言�,風險評估的目的是為了了解被評估的財務報表重大錯報風險,并且制定風險應對措施���,有效地實施審計程序;對于企業(yè)而言�,風險評估的目的是為了控制企業(yè)的風險點,防止企業(yè)出現(xiàn)虧損的不利情況而實現(xiàn)企業(yè)價值增值�����。風險評估使企業(yè)考慮潛在事項如何影響目標的實現(xiàn)�。管理當局應從兩個角度對事項進行評估:可能性和嚴重程度,并且通常采用定性和定量相結合的方法����。在不要求定量化的地方��,或者在定量評估所需的可靠數據無法取得或獲取和分析數據不具有成本效益時����,管理者通常采用定性評估技術���。定量技術精確度更高�,通常應用在更加復雜的活動中�����,以對定性技術進行補充����。評估風險時既要考慮固有風險,也要考慮剩余風險����。固有風險是管理當局沒有采取任何措施來改變風險的可能性或影響的情況下,一個企業(yè)所面臨的風險����。剩余風險是在管理當局應對風險后所殘余的風險。審計中注冊會計師更多關注的是審計風險以及企業(yè)的經營風險�����,但是對于企業(yè)其他風險管理(如制度風險管理、法律風險管理)考慮不足�����,當然這是注冊會計師收益成本分析后的結果���,但是注冊會計師必須區(qū)分企業(yè)經營風險與審計風險�����,經營風險是指實現(xiàn)不了經營目標和戰(zhàn)略的可能性����,經營失敗是經營風險的擴大化���,指企業(yè)由于經濟或經濟條件的變化而無法滿足投資者的預期,經營失敗的極端情況是申請破產���。誠然企業(yè)經營失敗可能使得注冊會計師面臨審計訴訟��,經營風險與審計風險有一定的相關性�,但風險導向的核心是審計風險,而不是企業(yè)的經營風險���。
三����、注冊會計師風險評估與企業(yè)風險管理關系
(一)二者時間發(fā)展順序 環(huán)境變化促使越來越多的企業(yè)實施全面風險管理��,也促進了風險導向審計的發(fā)展:從20世紀90年代開始�,隨著新的科技技術和經濟全球化帶來企業(yè)組織結構虛擬化、集約化����、專業(yè)化及扁平化等新的商業(yè)特征,許多跨國公司開始實施全面風險管理方法�,一些國際咨詢公司和會計師事務所也開始運用這一概念并將其同咨詢或審計業(yè)務相結合。全面風險管理體系正在隨著企業(yè)治理的完善而越發(fā)受到重視�,風險管理的概念逐步引入到我國的企業(yè)中,使得我國企業(yè)的風險管理工作納入了公司治理的范圍��。2004年9月���,COSO了《企業(yè)風險管理框架》��。該框架是在《內部控制――整體框架》報告的基礎上����,結合《薩班斯――奧克斯法案》在報告方面的要求,明確提出企業(yè)風險管理是由企業(yè)董事會�����、管理層和其他員工共同參與����,應用于企業(yè)戰(zhàn)略制定,以及企業(yè)內部各層次和部門�,用于識別可能對企業(yè)造成影響的事項,管理風險為企業(yè)目標的實現(xiàn)提供合理保證�。同時該框架還指出:企業(yè)風險管理框架由內部環(huán)境、目標制定���、事項識別�、風險評估���、風險反應、控制活動�����、信息和溝通、監(jiān)控八個相互關聯(lián)的要素構成����。這也奠定了企業(yè)風險管理系統(tǒng)的組織模式。風險導向審計的發(fā)展也與全面的風險管理系統(tǒng)構建同步��,2003年10月�,國際會計師聯(lián)合會下屬的國際審計準則委員會了三個新的國際審計風險準則,并從2004年12月15日或之后開始的期間財務報表審計起執(zhí)行這三個新準則�。2004年10月,中國注冊會計師協(xié)會根據國際審計準則的最新發(fā)展���,對已修訂的四個新審計風險準則在全國范圍內征求意見���,并且于2007年1月1日開始實施。風險導向審計已經深入了我國審計的實際工作�,為審計業(yè)務的展開提供了指引。
(二)二者業(yè)務性質相互影響 全面風險管理為現(xiàn)代風險導向審計風險評估提供了更好的基礎為了評估客戶是否有效地監(jiān)督和控制了其戰(zhàn)略風險及其他經營風險��,注冊會計師必須識別���、收集和處理大量與客戶經營活動相關的證據���。當企業(yè)沒有實施全面風險管理時����,收集這些證據即使在理論上是可行的����,但為此付出的成本對注冊會計師而言也常常是不經濟的。注冊會計師的風險評估程序對企業(yè)風險管理有以下益處:(1)了解企業(yè)的外部環(huán)境風險以及內部控制成為風險評估的重要組成部分���,注冊會計師也將公司內部控制的有效性作為風險應對的考慮因素����。所以注冊會計師關于企業(yè)內部控制的評價將為企業(yè)的風險管理提供建議�����。(2)注冊會計師在實施控制測試與實質性測試時����,會將交易的內部控制目標與關鍵內部控制聯(lián)系起來,然后將測試的結果與風險評估的結果進行對比�,這將有助于公司相關交易所涉及人員在業(yè)務流程中履行好自己的職責,注冊會計師審計可以起到監(jiān)督作用�����,發(fā)現(xiàn)企業(yè)內部控制的風險點��。企業(yè)風險管理對注冊會計師的風險評估有以下益處:第一���,企業(yè)風險管理的完善性與企業(yè)內部控制系統(tǒng)有著很強的相關性���,所以如果企業(yè)建立了一整套風險管理的體系,那么注冊會計師的風險評估程序就會減少程序����,因為風險評估在整個審計過程中的驗證過程都是可靠的。第二�����,企業(yè)風險管理的方式與注冊會計師風險評估��。企業(yè)全員參與風險管理����,從整個企業(yè)組合的角度實施風險管理,增強了企業(yè)風險管理的有效性�����,注冊會計師能夠在更大程度上信賴企業(yè)的全面風險管理,實施風險評估����。第三,企業(yè)風險管理系統(tǒng)的完善性越不好�����,注冊會計師所涉及的這部分程序設計需要越謹慎�����,而風險評估程序后提出建議的邊際貢獻越高��,這二者之間的交互作用就在于風險評估程序是對風險管理的一種再監(jiān)察���。
(三)二者存在的不同 當然二者存在著以下區(qū)別:注冊會計師風險評估更多是對內部控制有效性的評估����,這種評估是因為審計的效率所決定的�,而企業(yè)的風險管理需要覆蓋企業(yè)的整體層面和各個業(yè)務流程,所以我們注冊會計師的風險評估結果對于企業(yè)而言是一種參考��,注冊會計師的風險評估只是對內部控制水平高低的一個評價,這并不能完全說明企業(yè)風險管理的有效性�。注冊會計師可以通過對企業(yè)內部控制系統(tǒng)有效性評價來評估客戶監(jiān)督和控制其戰(zhàn)略風險及其他經營風險的情況,如果僅僅是審計過程�����,注冊會計師不需要提出風險管理改進建議����,他們評估的財務報表重大錯報風險只是為了控制檢查風險�����,進而控制審計風險����。所以注冊會計師審計過程的風險評估與企業(yè)風險管理過程中的風險評估目的相似,但企業(yè)風險管理的目的和注冊會計師的風險評估還是存在不同�。
四、企業(yè)風險管理及風險評估路徑
(一)風險評估報告與企業(yè)風險管理 (圖1)呈現(xiàn)了風險導向審計的框架���,風險導向審計最大的要點就在于實施基本審計程序前的風險評估���。而且后來的審計程序結果會不斷檢驗風險評估的結果�����,不斷地修正與調險估計水平�����,在整個審計過程中都需要進行風險評估過程�����,所以注冊會計師可以在審計完成后形成風險評估的最終結果�,形成風險評估報告�,以評價內部控制的有效性及風險管理控制的水平。該報告可能涉及內部環(huán)境���、企業(yè)風險評估���、風險反應、控制活動��、信息和溝通���、監(jiān)控等要素��,對企業(yè)內部控制的測試結果進行一個總結性陳述����,形成風險評估報告。風險評估報告作為風險導向審計階段性成果在審計完成后反饋給被審計客戶�,以幫助被審計客戶進一步完善內部控制水平,但我們必須意識到:風險評估報告不是審計報告的子報告����,風險評估報告僅僅為被審計單位進一步提高內部控制水平而用���,而非鑒證報告�,注冊會計師不需要提供保證����。
(二)風險評估報告與信息系統(tǒng)風險管理 注冊會計師評價內部控制有效性的要求里就包括了評價信息系統(tǒng)的有效性,所以注
第2篇
一����、企業(yè)風險管理概述
企業(yè)風險管理有八個組成要素:目標設定、風險識別�、風險評估、風險對策��、控制活動、信息與溝通���、監(jiān)督,內部環(huán)境.下面對其前四個方面的因素著重進行闡述:
[1]目標設定�,即是在1960年之際����,有國外的代洛克發(fā)現(xiàn)并且提出了相應的理論,它的內容是敘述具有一個向前的目標是完成某個事情的源泉和動力�����,所以可知�����,倘若確定了目標����,就會增加靠近成功的幾率,當一個具有挑戰(zhàn)性的目標被大眾認可并完成以后���,取得的價值是非?����?捎^的��。
[2]風險識別是指在企業(yè)發(fā)生虧損�,出現(xiàn)差錯之前,企業(yè)的管理人員根據自己以往的經驗以及相應的設備等辨識出對企業(yè)的威脅的因素以此來協(xié)助和維護企業(yè)達到既定目標的安全����。這主要包括感知以及分析風險兩個方面。
[3]風險評估
從企業(yè)的相關資源的安全角度來分析可知���,風險評估主要是對企業(yè)內部的資料進行相應的分析,評估風險的來源和對企業(yè)的危害度����,企業(yè)進行風險管理的前提,風險評估是企業(yè)保證其內部資源具有高的安全系數的主要措施�����,它將歸類于資源的安全管理這一企業(yè)經營體系中����。
二、企業(yè)開展風險評估的過程分析
國家政府部門在2006年之際就已經出版了《企業(yè)全中央面風險管理指引》這一條款,其中的一條項目《指引》里面的主要內容就指出了�����,每個企業(yè)或者公司都應該對保存關于風險管理方面的一些相關資料以及企業(yè)不同的項目管理業(yè)務過程開展一些針對實際情況的風險評估��。對于這些方面的風險評估����,企業(yè)就采取了三個方面的階段和內容,首先是風險辨識�����,其內容主要是包含了和辨清企業(yè)開展什么項目或者進行什么措施會嚴重阻礙企業(yè)的發(fā)展��,從而產生風險����。話句話說的就是對于企業(yè)的各個生產流程,部門管理流程和相關的業(yè)務流程以及公司的一些日常事務活動進行認真地檢查和評估�,辨別其中是否具有風險性以及具有的這些風險內容的癥狀在哪里,其次��,對企業(yè)進行風險分析����,這主要就是為了確定企業(yè)能否產生風險以及分清風險的特點�����。換句話說就是根據相關的風險具有的特征對這些風險進行分門別類的定義����,并且辨別其相關的風險度和產生這些風險的原因和條件�����。最后���,對企業(yè)進行風險評價��,風險評價也是極其重要的一個方面�����,即是預測企業(yè)的某個流程產生了風險之后會對企業(yè)造成什么樣的影響,換句話說就是風險評價對企業(yè)來講起著相當重要的作用�,可能會了解到風險在企業(yè)實現(xiàn)其自身的目標方案中的影響程度等。
三�����、企業(yè)進行風險評估的重要性
任何企業(yè)都具有一定的風險性,并且企業(yè)的風險性也是不可避免的����,風險評估是事實內部控制的重要環(huán)節(jié),所以就要加強企業(yè)的風險評估,讓企業(yè)的損失降到最低化�,另外,在企業(yè)內進行風險評估還可以加強企業(yè)的管理人員與上級領導和企業(yè)員工之間的警惕風險的意識����,而且還能夠讓全體員工能夠懂得各司其職,加強企業(yè)的風險評估能夠對企業(yè)的生產經營過程中出現(xiàn)的問題及時解決����,防止其影響企業(yè)的既定目標,造成企業(yè)的正常營運處于癱瘓狀態(tài)����,由此企業(yè)加強風險評估是最有效也是最直接的提高企業(yè)的經濟的途徑。
四���、企業(yè)進行風險評估的策略
3.1控制活動策略
在企業(yè)的相關管理部門在察覺這種風險�,并且將這種風險的影響程度進行了了解和清晰的分析之后���,就可以對企業(yè)存在的這種風險著手加派人手研究相應的解決措施��。這里的控制活動主要是針對管理階層而言��,主要就是為了讓相關的管理人員在發(fā)現(xiàn)企業(yè)有了某些風險之后能夠及時的發(fā)出響應的指令�,防止一些人員不停派遣和調崗的情況出現(xiàn),相當于是授予管理人員的某種權利����,這就包括了“核準、授權����、驗證、調節(jié)”等等一系列的過程���,控制活動的最大的作用就在于保障企業(yè)的既定目標能夠不夠風險的影響����,并且能夠順利的完成或者達到企業(yè)的既定目標�。
3.2完險管理體系
全面風險管理是對整個機構內各個層次,各個種類風險的通盤管理����。對企業(yè)實施全方位的整體風險管理不僅可以使企業(yè)的整體員工合作協(xié)調起來���,讓企業(yè)內部數據之間deep收集、測量����、處理三者有機的站在一條水平線上,能夠更好的協(xié)助企業(yè)的內部的審計以及監(jiān)督��。并且企業(yè)的相關上級領導以及相關的管理人員務必分清從整個企業(yè)的發(fā)展出發(fā)����,分清其中的利與弊,使得各部門的領導安排的相關程序都能夠及時的落到實處�,其次有效、及時�����、準確的報告制度對于企業(yè)來講也是非常重要的�����,這就需要盡快恢復其現(xiàn)有的報告缺陷�,保證企業(yè)的內部信息暢通,即當企業(yè)的內部環(huán)境方面出現(xiàn)了某一方面的風險和錯誤時���,就應該及時的上級領導揮或者部門報告����,以便讓其能夠盡快得到解決,恢復正常的運營秩序�。
3.3建立健全財務危機預警系統(tǒng)
企業(yè)財務預警機制系統(tǒng)是為防止企業(yè)偏離正常經營軌道而建立的報警和控制系統(tǒng),它以企業(yè)信息化為基礎�����,利用數據化管理方式�����,通過對各種財務數據資料的分析�����,對企業(yè)經營管理活動中存在的財務危機及早警示�,對潛在財務風險進行實時監(jiān)控,為經營決策提供可靠依據�。
建立財務危機預警系統(tǒng),可對財務運營過程進行監(jiān)控���、預測���,及早發(fā)現(xiàn)財務危機信號,在其萌芽階段采取有效措施進行預防和控制��,避免情況惡化造成更大的損失����。
3.4設計一套科學的內部控制行動指南
1、在機構內部廣泛開展“深化內控理念��,落實內控措施”的創(chuàng)建活動���,結合自身情況及上級單位的要求�����,通過確定風險控制環(huán)節(jié)�����,分解��、落實機構內各部門�、各崗位管理職責���,并對控制狀況進行檢查��、評價和考核�,強化風險管理責任,提高全員風險防范的意識和能力���,從而全面有效地控制經營風險�。設立一套科學的內部控制行動指南����,為管理者進行內部控制有效性評價提供指引也是當前急切需要解決的問題。并且要在內部相應的部門實施相應的個人評估策略��,即在企業(yè)實施的長時間的監(jiān)督過程中�����,在一般情況下�����,企業(yè)最好是聘請相應的專業(yè)人員對其進行評估�����,以此來監(jiān)督企業(yè)內部控制的實施有效性,這些是對長效監(jiān)督控制的一系列評估
第3篇
關鍵詞 雷擊風險評估�����;管理系統(tǒng)����;系統(tǒng)開發(fā)��;雷擊風險評估工具
中圖分類號P429 文獻標識碼A 文章編號 1674-6708(2011)41-0053-02
0 引言
國外已逐漸形成一套完整的雷擊風險評估體系�����,制定了多項防雷技術標準和評估方法�。在美、英����、德等多國也都開發(fā)出了相應的雷擊風險評估系統(tǒng)。但這些風險評估系統(tǒng)參考的標準技術方法比較復雜���,結構龐大��,而且大都建立在國外防雷工作經驗基礎上��,沒有能考慮到中國廣袤大地的情況差異以及中國的國情�����,因此其體系和相應的評估系統(tǒng)只能被我們借鑒參考��、學習���,不適宜完全照抄照搬或全盤引用��。目前在國內符合國家標準和評估規(guī)范的評估系統(tǒng)相對缺少尚且不夠成熟�。
《雷擊風險評估管理系統(tǒng)》遵循最新頒布的雷擊風險評估規(guī)范――《雷電防護第2部分:風險管理》GB/T 21714.2-2008 ���,采用C#語言�,結合國家氣象局已組建的閃電監(jiān)測預警網����、谷歌GPS衛(wèi)星定位地圖等系統(tǒng),建立起一套完善的雷擊風險評估管理系統(tǒng)�。該系統(tǒng)能實現(xiàn)雷擊風險評估過程科學化、計算過程自動化��、計算結果客觀化。界面簡潔�����、操作簡單的系統(tǒng)�,統(tǒng)一化的評估技術報告不僅提高了雷擊風險評估工作的效率,還利于在各地區(qū)開展雷電風險評估工作����。雷電風險評估系統(tǒng)的先進性和技術報告的嚴密科學性可以在全國范圍內推廣����。
1 雷擊風險評估管理系統(tǒng)功能模塊和主要功能說明
《雷擊風險評估管理系統(tǒng)》遵循規(guī)范的基礎,結合實際風險評估工作的業(yè)務流程和特點設計���,整個系統(tǒng)劃分為方案管理�����、系統(tǒng)工具���、文檔管理、用戶管理4個主要模塊�。
1.1 方案管理
1)原始評估記錄:用戶將要進行風險評估的對象的具體勘測數據如實記錄入系統(tǒng)����。對評估對象建立相應存儲空間���,并在需要時調出這些數據作為評估�、對比等用途�;
2)方案設計:對一個項目進行多種類型的風險評估,如單獨對人身傷亡損失風險R1��、公眾服務損失風險R2�、文化遺產損失風險R3、經濟損失風險R4 進行評估��,也可以對其任何一種組合進行風險評估���;
3)效益分析:自動化生成的風險分量百分比的表格����,各種風險所占總風險的百分比一目了然�����;提供了多種(最多3種)防雷整改方案的評估����,并與原始評估結果對比��,智能經濟損失風險評估���,自動判斷采取的防雷整改方案是否合理。
1.2 系統(tǒng)工具
1)GPS定位地圖:連接Internet���,輕松找到被評估對象經緯度�����;
2)中國雷電監(jiān)測預警網:多種方式實時查詢全國各地雷電狀態(tài)����,顯示詳細的雷電資料和密度分布圖����;
3)中國防雷資料網:評估過程中隨時查到所需技術資料�;
4)雷電資料導入:將國家雷電監(jiān)測預警網實時雷電資料數據導入系統(tǒng);
5)字典維護:對風險評估過程涉及參數進行維護����;
6)數據庫維護:對當前系統(tǒng)所連接的數據進行備份或恢復操作���。
1.3 文檔管理
1)雷擊風險評估報告模板:雷擊風險評估報告模板;
2)雷擊風險評估協(xié)議書 :雷擊風險評估協(xié)議書�����。
1.4 用戶管理
1)系統(tǒng)登錄模塊:負責驗證各種用戶身份��,根據不同的用戶權限決定其管理內容���;
2)權限設置模塊:此模塊只有管理員才有權限��,管理員可以根據情況對各欄目的屬性進行基本的設置�����。
2 雷擊風險評估管理系統(tǒng)的的實現(xiàn)技術
2.1 Client/Server 模式
C/S模式又稱為客戶機/服務器模式�����,是90 年展起來的一種主/從結構的分布式處理環(huán)境�,它的特點是將應用分解為兩部分:客戶進程(Client Process)和服務進程(Server Process)�����,即前臺和后臺?�?蛻暨M程與用戶打交道����,一般運行在Microsoft Windows提供的GUI (Graphic Unit Interface)下;服務進程與數據庫打交道�����,一般通過SQL(Structured Query Language)查詢語言實現(xiàn)�,前端是對用戶的界面,后端是對數據庫的處理����。這種對信息分布式處理的模式大大減少了網間數據的傳輸量,處理速度快��,并能高效實現(xiàn)資源共享����。其結構如下:采用Client/Server 結構��,Client 端只要將請求發(fā)給Server 端��,而Server端在處理完請求之后,只是把結果返回給Client 端��。實際上在網絡傳輸的只有SQL 語句和結果數據�����。同時�����,Client 負責友好的界面與用戶交互�����。而Server 專門負責數據庫的操作��、維護�,提高了整個系統(tǒng)的吞吐量和響應時間。
2.2 數據管理系統(tǒng)SQL Server2005
Microsoft SQL Server2005 是由一系列相互協(xié)作的組件構成��,能滿足最大的Web 站點和企業(yè)數據處理系統(tǒng)存儲和分析數據的需要��。SQL Server2005 的客戶/服務器提供了許多傳統(tǒng)主機數據庫所沒有的先進功能��。數據訪問并局限于某些已有的主機數據應用程序。SQLServer2005 的一個主要優(yōu)點就是與主流客戶服務器開發(fā)工具和桌面應用程序緊密集成�����?���?梢允褂迷S多方法訪問SQL Server2005 數據庫。
SQL Server數據庫體系結構的核心是服務器�,即數據庫引擎。SQL Server 數據庫引擎負責處理到達的數據庫請求����,并把相應的結果反饋給客戶端系統(tǒng)。SQL Server 充分利用了可設置優(yōu)先權的多任務���、虛擬內存和異步I/O 功能��。SQL Server 數據庫引擎可在多線程內核上創(chuàng)建��,這樣在處理多個事務的時候可獲得較高的性能�����。它包括的支持開發(fā)的引擎、標準的SQL語言�、擴展的特性(如復制���、OLAP、分析)等功能�,以及像存儲過程、觸發(fā)器等特性�。
SQL Server2005 數據庫系統(tǒng)的服務器負責創(chuàng)建和維護表和索引等數據庫對象,確保數據完整性和安全性�,能夠在出現(xiàn)各種錯誤時恢復數據。SQL Server2005 的客戶端可完成所有的用戶交互操作���,將數據從服務器檢索出來后生成副本�,以便在本地保留�,也可以進行操作。
由于SQL Server200_5 的強大功能�,特別是其全文檢索功能,支持從純文本到二進制數據的檢索�����,如 WORD 文檔��、EXCEL 電子表格等等���,其文本性數據類型支持量相當龐大�,因此系統(tǒng)中主要利用SQL Server 進行文本保存,方便查詢和檢索�,同時為進一步擴展其功能奠定基礎。
2.3 面向對象系統(tǒng)開發(fā)方法
面向對象(OO����,Object Oriented)的系統(tǒng)開發(fā)方法,是近年來受到關注的一種系統(tǒng)開發(fā)方法�。面向對象的系統(tǒng)開發(fā)方法的基本思想是將客觀世界抽象地看成是若干相互聯(lián)系的對象,然后根據對象和方法的特性研制出一套軟件工具使之能夠映射為計算機軟件系統(tǒng)結構模型和進程���,從而實現(xiàn)信息系統(tǒng)的開發(fā)����。
3 結論
《雷擊風險評估管理系統(tǒng)》的設計遵循最新頒布的雷擊風險評估規(guī)范���,結合評估工作的業(yè)務流程和特點���,依據被評估對象的數據自動計算出評測結果,并提供多種措施方案對比可對其進行經濟效益評估���,以表格和柱形等多種形式圖表的形式輔助用戶做出最符合實際的方案決策�。本系統(tǒng)操作簡單、界面友好��。系統(tǒng)實現(xiàn)雷擊風險評估過程科學化�����、計算過程自動化�����、計算結果客觀化����。界面簡潔��、操作簡單的系統(tǒng)���,具有較強的實用性與通用性���。
統(tǒng)一化的評估技術報告不僅提高了雷擊風險評估工作的效率,還利于在各地區(qū)開展雷電風險評估工作�。本系統(tǒng)的開發(fā)拓展了雷電防護應用技術的領域,項目完成并推廣以后會提高本地區(qū)防雷中心科技服務水平����,并對提高經濟效益起到很大的推動作用����。
參考文獻
[1]GB 50057-94 建筑物防雷設計規(guī)范[S].
[2]GB 50343-2004 建筑物電子信息系統(tǒng)防雷技術規(guī)范[S].
[3]DB50/214-2006 雷電災害風險評佑技術規(guī)范[S].
[4][美]Greg Riccardi.數據庫系統(tǒng)原理[M].清華大學出版社�,2002,11.
[5]李巖���,張瑞雪.SQL Server 2005實用教程[M].清華大學出版社�����,2008���,9.
[6]古樂,史九林.軟件測試案例與實踐教程[M].清華大學出版社�����,2007��,2.
[7]劉波.信息管理系統(tǒng)中數據庫安全實現(xiàn)方法[J].計算機應用���,2005(10):77-78.
[8]劉志成.SQL Server 2005實例教程[M].電子工業(yè)出版社�����,2008����,2.
第4篇
一、總則
為及時識別����、監(jiān)控公司保密潛在風險及其發(fā)生概率�,確定公司保密風險承受能力及限度,認定該等風險所可能帶來的損失��,根據《上海市涉密信息系統(tǒng)集成資質單位保密風險評估工作細則》和《涉密信息系統(tǒng)集成資質保密標準》結合公司實際���,特制定本管理辦法��。
二�、職責分工
1�、公司保密風險評估與管理主管部門為風險管理部。
2���、各部門���、各經營單元協(xié)助風險管理部實施本管理辦法�����。
3����、公司各涉密經營單元是保密風險管理的第一道防線�,負責本經營單元和公司內縱向歸口管理事項的保密風險管理工作。
4�����、公司保密風險評估工作小組(以下簡稱工作小組)是保密風險管理的第二道防線��,接受保密管理辦公室的監(jiān)督(以下簡稱保密辦)����,負責指導和檢查保密風險評估工作的開展。
5��、公司保密工作領導小組(以下簡稱領導小組)是保密風險管理的第三道防線�。作為保密風險管理的決策機構,負責監(jiān)督保密風險評估工作的開展����,負責組織建立完善保密管理的持續(xù)改進機制���。
三、工作內容及流程���。
1�、領導小組授權風險管理部組織成立工作小組�����。工作小組組長由分管保密工作的公司領導擔任���,成員由保密辦、風險管理部等部門負責人組成����。領導小組應組織對評估過程中出現(xiàn)的問題和結果做分析和研究,查找出在保密管理的制度��、流程和執(zhí)行等方面的問題���,組織對制度和流程進行修訂和完善�����。
2����、工作小組至少每半年開展一次保密風險評估,使用“上海市涉密信息系統(tǒng)集成資質保密風險評估及自查自評系統(tǒng)”開展保密風險評估工作�,按照業(yè)務流程對保密風險進行識別、分析和評估���,評估的范圍包括項目��、人員��、資產��、場所等主要管理活動在保密方面所面臨的威脅����、存在的弱點�����、造成的影響,以及三者綜合作用所帶來風險的可能性的評估���。
3����、工作小組至少每年對《保密管理風險點識別及防控措施》評估一次��,從人員風險����、涉密載體風險、涉密計算機����、涉密場所、投標�����、項目實施等�����,對每個風險點進行低���、中�、高等級識別�����,制定相應的防范措施�����。
4����、工作小組在評估過程中如發(fā)現(xiàn)問題,及時向領導小組匯報�����,《保密風險評估報告》形成后�����,應向領導小組報告評估情況�����。向相關涉密經營單元和人員通報評估情況,監(jiān)督防控措施的落實��。
5�、工作小組不定期組織開展評估業(yè)務培訓,使相關人員了解掌握保密風險形式��、評估方法��、評估工具�、防控措施等知識。保密風險管理納入保密教育培訓����,以增強涉密人員防控保密風險的意識。
6��、《公司保密風險評估報告》以及《公司保密管理風險點識別及防控措施》由風險管理部保存����,作為年度審查申請的附件材料報市國家保密局資質管理委員會辦公室。
四���、獎懲機制
將評估工作履職情況納入部門和員工的年度績效考核評價體系。由領導小組對工作小組成員的保密工作進行考核評價�����;由工作小組負責對相關部門和人員的保密工作進行考核評價。對發(fā)現(xiàn)并上報重大保密風險的部門和人員給予獎勵���。對瞞報或未發(fā)現(xiàn)明顯保密風險而導致發(fā)生泄密事件及嚴重違規(guī)行為的部門�����、人員給予重罰��。
五�、附則
第5篇
關鍵詞:風險評估�;管理工具;分類����;選擇;設計
中圖分類號:TP311文獻標識碼:A文章編號:1009-3044(2011)30-7388-02
Research on Risk Assessment and Management Tools
WANG Fu-hua,YAO Jie
(Chongqing Communication Institute, Chongqing 400035, China)
Abstract: This article has carried on the detailed introduction to the risk assessment management tools, and introduced how to choose and design risk assessment management tools.Finally,it offers some ideas for information security assessment practice.
Key words: risk assessment; management tools; classification; choice; design
目前���,網絡安全問題已成為影響社會經濟發(fā)展和國家發(fā)展戰(zhàn)略的重要因素��,信息安全評估工作的重要性不言而喻����。信息安全風險評估工作是個極復雜又具有挑戰(zhàn)性的工作,需要細致的工作�����,大量的支持性的專業(yè)知識的支撐���,項目管理也比較復雜����,因此如果要更好的完成信息安全風險評估工作就必須有一套非常實用的信息安全風險評估管理工具���。一套使用的風險評估管理工具將極大地提高信息安全風險評估工作的效率和結果的正確性��。
1 風險評估與管理工具分類
風險評估與管理工具是根據系統(tǒng)關鍵信息資產����、資產面臨的威脅以及威脅所利用的脆弱點來確定所面臨的威脅�、對風險情況進行全面考慮,估算出信息系統(tǒng)的風險情況����,且在風險評估的同時根據面臨的風險提供相應的控制措施和解決方法。
1.1 基于國家�����、政府頒布的信息安全管理標準或指南
目前世界上存在多種不同的風險分析指南和方法�,不同的風險分析方法其側重點和關注點各不相同。如:
NIST(National Institute of standard and Technology)的FIPS 65�;
DOJ(Department of Justice)的SRAG;
GAO(Government Accounting Office)的信息安全管理的實施指南��。
1.2 基于專家系統(tǒng)的風險評估工具
基于專家系統(tǒng)的風險評估工具主要通過建立專家系統(tǒng)和外部知識庫��,以調查問卷的方式收集組織內部信息安全的狀態(tài)�����。對重要資產的威脅和脆弱點進行評估�,產生專家推薦的安全控制措施。
基于專家系統(tǒng)的風險評估工具通?�?梢宰詣有纬娠L險評估報告�,根據風險的嚴重程度提供風險指數,同時分析可能存在的問題�����,并提供相應的處理方法�����。
COBRA(Consultative Objective and Bi-functional Risk Analysis)是一個著名的基于專家系統(tǒng)的風險評估工具,它是一個問卷調查式的風險分析工具�,由三個部分組成:調查問卷生成、風險測量和結果分析生成�����。
基于專家系統(tǒng)的風險評估工具除COBRA之外����,比較知名的還有@RISK、BDSS(The Bayesian Decision Support System)等工具����。
1.3 基于定性或定量算法的風險分析工具
風險分析作為重要的信息安全保障措施,是信息安全體系不可或缺的一部分�����。而信息安全風險評估的算法作為風險評估的重要手段����,很久以前就被提出并了大量的研究工作,其中一些算法已經成為正式的信息安全標準的一部分。早期的風險評估算法大部分僅僅作定性的分析�����,對風險產生的可能性和風險產生的后果只能按照高�����、中�����、低來區(qū)分�����,這種定性的方式無法準確地估算出風險產生的可能性和損失量����。隨著人們對信息安全風險了解的不斷深入����,獲得了更多的經驗數據,因此人們越來越希望用定量的風險分析方法反映事故發(fā)生的可能性��。定量的信息安全風險管理標準包括美國聯(lián)邦標準FIPS31和FIPS191�����,提供定量風險分析技術的手冊包括GAO和新版的NISTRMG。
由于數據收集的困難��,目前還沒有完全定量的風險評估工具���,現(xiàn)有的風險評估工具要么在定性方面有所側重�,要么在定量方面有所側重���。如CONTROL-IT�����、Definitive Scenario�、JANBER都是定性的風險評估工具�,而@RISK、Risk-CALC����、CORA是半定量的風險評估工具。
2 常見的風險評估管理工具比較
CRAMM:CRAMM是1985年由英國CCTA開發(fā)的風險評估系統(tǒng)�。CRAMM包括全面的風險評估工具,并且完全遵循BS7799規(guī)范,包括依靠資產的建模���、商業(yè)影響評估����、識別和評估威脅和弱點�、評估風險等級、識別需求和基于風險評估調整控制等�。CRAMM評估風險依靠資產價值��、威脅和脆弱點�����,這些參數值是通過CRAMM評估者與資產所有者��、系統(tǒng)使用者��、技術支持人員和安全部門人員一起的交互活動得到�,最后給出一套解決方案。
COBRA:COBRA是1991年由C&A System Security公司推出另外一個風險評估工具����,用來進行信息安全風險管理方法,提供了一個完整的風險分析服務,并且兼容許多風險評估方法學(如定性分析和定量分析等)���。它可以看做一個基于專家系統(tǒng)和擴展知識庫的問卷系統(tǒng)��,對所有的威脅和脆弱點評估其相對重要性�,并且給出合適的建議和解決方案�����。此外���,它還對每個風險類別提供風險分析報告和風險值�����。
@RISK是美國Palisade公司的一款軟件產品��,在世界范圍內廣泛使用����,是構架在微軟Excel之上的一套風險分析工具���。在@RISK中�����,提供了一套完整的風險分析工具����,包括可以自行修訂的統(tǒng)計分配模型、蒙特卡羅檢測�����、敏感性分析��、環(huán)境分析�����、極限值測試等常用的風險評估模型����。@RISK建立的流程包括:
1) 在Excel上建立需要分析的問題模型�����;
2) 確定需要輸入模型的不確定值����;
3) 通過模擬程序�����,對可能的參數范圍進行分析�,以@RISK內置的概率分布函數表示����,然后確定模型的輸出結果;
4) 產生需要的資料圖表進行分析�����。
表1是對一些主要風險評估工具的比較����。
表1
3 選擇風險評估工具的原則
1) 根據實際環(huán)境和企業(yè)的需求選擇
2) 風險評估工具應當能夠精確地映射網絡、應用以及進行攻擊測試
怎樣了解一個工具的實際功效����?最有效的辦法是搜索Web,查看媒體的評論����,要求廠商提供其他客戶的使用情況說明�����。正式購買之前最好測試一下工具的性能��。大多數廠商都提供限制了功能的試用版本�����,通常是限制IP地址的范圍����。
3) 不僅要注意風險評估工具為目標平臺提供的攻擊腳本數量�,而且要留意它們的更新速度。
純粹的數量有時不能說明問題�����,因為有些廠商可能把許多相關的漏洞看成一個���,有的廠商則把它們算作多個漏洞。一些較為優(yōu)秀的風險評估工具�����,如CVE,把每一種測試都鏈接到了一個標準的漏洞案例ID�。留意風險評估工具的更新頻率,看看它是自動更新還是需要手工執(zhí)行更新����,還有,新的安全威脅發(fā)現(xiàn)之后它要多長的時間才能推出相應的更新��?
4) 報告數量的多少�����,內容翔實程度���,是否允許導出報表
只能內部使用的掃描結果報表也許能夠滿足最初的需要�����,但如果經常對系統(tǒng)進行風險評估�,最好能夠將生成的報表導出到外部數據庫�����,以便執(zhí)行對比和分析���。
5) 是否支持不同級別的入侵測試以避免系統(tǒng)掛起
所有風險評估工具都有這樣的警告:入侵測試過程可能產生DoS攻擊����,或者導致被測試的系統(tǒng)掛起。通常���,在高訪問量期間對擔負關鍵任務的系統(tǒng)不應該運行風險評估工具�,風險評估工具本身可能帶來問題���,引起服務中斷或系統(tǒng)被鎖死�����。大多數高質量的風險評估工具允許執(zhí)行侵害程度較小的入侵測試����,避免造成系統(tǒng)運行中斷���。
6) 是否需要在線服務���?
有些風險評估工具以在線服務的形式提供�。這種形式的優(yōu)點是不占用硬件資源�,可以從任何地方運行和獲取報表����,自動執(zhí)行更新,一般而言總擁有成本也較低��。缺點是服務的運行速度一般較慢���,不象客戶端產品那樣容易定制�。最后還有一點是�����,如果采用在線服務���,則掃描出來的網絡漏洞清單還將落入第三方的手中����。
4 信息安全風險評估管理工具設計
信息安全風險評估管理工具的設計必須考慮到參考模型可能存在的變化�,或者計算方法發(fā)生變化而導致的工具適應性的問題,還應該具有項目管理功能��,統(tǒng)計分析,報表�����,輔助評估專家系統(tǒng)�����,查詢����,資產管理,更應該加入風險管理與控制模塊��,如果能提供與其他資產管理軟件的接口就更好了��。
為了適應評估工作模式�,信息安全風險評估工具的架構應該選擇B/S結構,評估小組和評估人是最終用戶���,系統(tǒng)管理員對信息安全風險評估工具進行維護和管理�。系統(tǒng)架構如圖1��。
信息安全風險評估工具中應該包含威脅參考庫�����、脆弱性參考庫��、資產分類庫�、可能性定義庫,后果定義庫����、控制措施庫等評估輔助專家系統(tǒng)庫。這些庫都可以自己定義����,便于使用。評估小組可以在評估的各個時期都能夠得到幫助���。
資產管理模塊應該包含資產的各種基本信息�,包括位置���、責任人�����、所屬系統(tǒng)以及各種相關信息�����。根據不同資產的分類�,相關信息也不同,這些相關信息都是有助于系統(tǒng)安全的相關信息��。如資產的生命周期���、系統(tǒng)補丁信息等���。
信息安全風險評估工具需要實際使用的檢驗,將在不斷滿足客戶的需要的同時逐漸發(fā)展�����、成熟���。通過不斷的改進和發(fā)展����,相信信息安全風險評估工具將極大地推動信息安全風險評估工作的進行���。
參考文獻:
[1] 陳友初.信息安全風險評估的探討與實踐[J].廣西科學院學報,2006,22(4):367-369.
[2] 杜輝,劉霞,汪厚祥.信息安全風險評估方法研究[J].艦船電子工廠,2006,26(4):65-69.
[3] 張建軍,孟亞平.信息安全風險評估探索與實踐[M].北京:中國標準出版社,2005.
[4] 趙戰(zhàn)生,謝宗曉.信息安全風險評估[M].北京:中國標準出版社,2007,8.
[5] 馮登國,張陽,張玉清. 信息安全風險評估綜述[J].北京:通信學報,2004,25(7):10-18.
[6] 關義章,戴宗坤.羅萬伯,等.信息系統(tǒng)安全工程學[M].北京:電子工業(yè)出版社,2002,12.
第6篇
Abstract: In the process of urbanization in China�����, the population density is getting higher and higher�, which causes the travel difficult of people. In order to ensure the convenience of urban transport, many cities use the way to build the subway to alleviate the traffic pressure and ensure smooth traffic. However��, in the operation of the subway��, with the increase in the number of passengers�, there will be some security risks��, which have a serious threat to people's lives and property����, so we need to make assessment and management of the safety risk in subway operations to avoid the security threats faced during subway operations. This paper analyzes the risk assessment and management of subway operational safety.
關鍵詞: 地鐵運營安全;風險評估��;風險管理
Key words: subway operation safety����;risk assessment;risk management
中圖分類號:F572 文獻標識碼:A 文章編號:1006-4311(2017)23-0054-03
0 引言
城市規(guī)模不斷擴大以及城市人口數量的增加����,導致巨大的交通壓力成為困擾城市發(fā)展的主要因素����。所以�����,在許多城市的規(guī)劃與建設中�����,都將地鐵建設作為重點內容�����。近幾年��,我國地鐵事故發(fā)生率逐漸升高���,這些事故不僅為地鐵運營部門帶來重大經濟損失�����,而且嚴重威脅了人們的生命財產安全�����。因此��,在地鐵運營過程中���,必須對存在的安全風險進行評估與管理�,提高地鐵運行的穩(wěn)定性與安全性��,確保地鐵的作用能夠得以發(fā)揮�����。
1 地鐵運營風險管理的基本流程與方法
運營風險管理是研究風險發(fā)生規(guī)律及風控技術的一門科學�,具有前瞻性��、目標性��、計劃性����、經濟性和管理性等特點。一般來說�,地鐵運營風險管理過程不外乎風險識別、風險評估�����、風險等級劃分和風險控制四個關鍵環(huán)節(jié):
1.1 風險識別
地鐵運營風險識別就是找出地鐵運營過程中影響安全的主要因素,是風險管理流程中的第一個步驟��。在風險識別的過程中���,必須確定地鐵運營系統(tǒng)的組成�、特點以及各組成部分的關系����,并全面檢查這些環(huán)節(jié)中的不確定性。與此同時�,還要分析不同種類風險對地鐵正常運營造成的威脅,并確定風險作用范圍���,以便針對不同的風險采取不同的措施�。
1.2 風險分析
地鐵運營風險分析就是對地鐵運營風險可能造成的后果進行全面分析�。風險分析需要對個別的風險元素進行分析,并量化這些元素���,形成一個風險清單����,以便針對這些風險制定相應的行動計劃。在科學技術不斷進步的同時����,對地鐵運營分析的難度越來越高,只有不斷提高風險分析水平��,才能夠采取有效的措施降低風險����。
1.3 風險評估
地鐵運營風險評估就是對地鐵運營風險能夠導致的后果進行評價,并根據這些后果的嚴重程度進行排序�,同時考慮與其對應的處理措施,去頂風險�、成本與效益三者之間的關系�,其關鍵在于考慮風險對整體目標的影響。綜合評估地鐵運營風險時����,首先應該充分預測管理決策在實施期間所伴生的后果及其可能產生的危害、后果是否可以被接受等等�。風險的嚴重程度不同,就會造成優(yōu)先處理的順序不同�����。
1.4 風險決策
地鐵運營風險決策就是以風險分析與風險評估的結果為基礎,針對風險制定相應的措施���,降低風險對地鐵運營的影響���。一般來講,風險策略主要有以下兩種:第一��,采取合理的措施�,最大限度地降低風險帶來的影與危害,對其進行有效的控制��。第二��,采取適當的措施轉移風險�,降低風險對運營主體的危害,但是����,不是所有風險都能夠被轉移。在風險決策的過程中�,必須考慮成本與效益之間的關系,確保風險決策成為最佳效益方案��。
此外,在地鐵運營風險中���,一些風險并不是一成不變的����,只有對這些風險進行跟蹤�,才能夠根據不同的情況進行風險決策。
第7篇
評估國庫資金操作的風險就是鑒別在國庫業(yè)務辦理過程中出現(xiàn)的各種損失的可能性與嚴重性����,一般可以采取定性評估方法、定量評估方法��、定性與定量相結合的評估方法����。
(一)定性評估方法
定性評估方法是一種多目標決策方法,它突破了傳統(tǒng)的數量分析限制��,為更合理地制定決策開闊了思路�����。德爾菲法是定性評估方法中最具代表性的方法�,這種方法具有廣泛的代表性,能夠可靠進行有目標的風險評估與防范�����,但由于選擇合適的專家比較困難也可能得出比較草率的風險評估結論���。
(二)定量評估方法
定量分析是對各個風險要素及損失的水平賦予一定數值��,當度量風險的所有因素都被賦值��,風險評估的過程和結果都可以被量化了���。常用的定量評估方法主要有基本指標法、標準法��、內部評級法等��。
(三)定性與定量相結合評估方法
定性或定量的方法并不能有效且準確地對風險進行評估��,定量的方法通常過于嚴格�,而定性的方法又過于模糊。因此�,需要在定量和定性的基礎上結合兩種方法進行風險評估,常用的定性與定量相結合的方法為層次分析法與模糊綜合評價法�����。層次分析法首先根據多目標決策的性質和總的目標對所考慮的概念,分析其相互關聯(lián)����、邏輯屬性及重要性級別進行分層排列,構造成一個由上而下的遞階層次結構��;其次在層次結構模型中�,決策人根據具體情況及實際要求通過兩兩因素的比較,用表1的標度打分�,得到判斷矩陣;最后在得到判斷矩陣后按照以下公式進行排序及一致性檢驗����。
二、國庫資金操作風險識別
(一)操作性風險
人民銀行總行《國庫會計管理規(guī)定》中規(guī)定����,國庫業(yè)務操作人員應嚴格控制資料交接、外來憑證審核��、資料傳遞�����、記賬復核��、退匯轉匯�����、編押核押��、查詢查復�、手工填制憑證等環(huán)節(jié)中的風險。其風險主要分以下三種:(1)操作失誤風險�����。隨著財稅體制改革的深化���,國庫業(yè)務發(fā)生了巨大變化�����,國庫單一賬戶體系的形成���、資金匯劃渠道的驟增、預算收支核算方式的變化加快了國庫核算電子化的發(fā)展進程���,國庫操作人員需要全面掌握涉及面廣��、科技含量高���、操作復雜的電子核算業(yè)務����,期間難免會出現(xiàn)操作風險���,如在掛賬或解掛方面存在的風險�、查詢復查操作手續(xù)出現(xiàn)錯誤���、執(zhí)行流程時隨意簡化��、替代或逆程序操作等差錯��。(2)審查失誤風險�。國庫操作人員對外來的收支憑證審查出現(xiàn)偏差�,造成一些憑證要素內容缺失不全,不符合收支憑證的辦理要求��,從而給國庫資金帶來風險�����。(3)對賬風險��。對賬是國庫資金業(yè)務中的基礎環(huán)節(jié)�����,國庫操作人員不能及時與征收機關��、財政部門�、銀行對賬或者上下級對賬不符合規(guī)范,出現(xiàn)賬證不符���、賬表不符等差錯��。
(二)管理性風險
(1)崗位設置風險�。隨著國庫業(yè)務的快速發(fā)展���,現(xiàn)有國庫人員設置已經不能夠滿足其要求����。受人民銀行當前進入���、用人制度的限制����,各地國庫人員配備嚴重不足,一人身兼數職的現(xiàn)象普遍存在���,相互制約機制的缺乏導致內控制約出現(xiàn)“真空”地帶�����,國庫業(yè)務操作的質量和風險防范大打折扣���。另外,國庫人員結構不合理���,表現(xiàn)為人員嚴重老化�、人員變動頻繁等問題��,這將對國庫操作工作帶來風險�����。(2)日常管理風險����。在日常國庫業(yè)務操作過程中���,由于沒有建立健全的管理制度,往往會出現(xiàn)小的失誤或差錯���,如對操作員密鑰密碼沒有明確嚴格的更換時間,對系統(tǒng)的簽退程序沒有嚴格的管理規(guī)定等�。(3)制度管理風險。由于國庫電子化進程的推進����,在國庫資金操作業(yè)務中,現(xiàn)行的國庫管理制度與實際國庫資金操作工作脫節(jié)�,進而給國庫資金帶來了一系列風險。
(三)系統(tǒng)性風險
1.系統(tǒng)網絡風險國庫會計數據集中系統(tǒng)(TCBS)的保密性���、不可篡改性都將直接影響國庫業(yè)務的正常賬務�����,因此在國庫操作業(yè)務中�����,倘若國庫集中支付系統(tǒng)自身參數設置出現(xiàn)錯誤或者系統(tǒng)網絡數據丟失會給國庫資金帶來不可避免的風險�。
2.外部事件風險由于外部網絡運行環(huán)境出現(xiàn)異常導致感染病毒或非法入侵,致使國庫電子化流程癱瘓或無法正常運行�����,數據集中處理不能順利傳輸����,給國庫資金帶來風險。
3.功能缺陷性風險國庫會計數據集中系統(tǒng)(TCBS)運行過程中�,由于系統(tǒng)本身不能夠及時有效更正稅務部門錯誤的稅款科目、稅款級次等信息����,從而影響正常入庫;一方在使用國庫集中支付系統(tǒng)內劃轉資金時�,接收方在系統(tǒng)中無法打印來賬信息,這樣給國庫日常核對和檢查帶來一定困難���,給國庫資金帶來風險隱患����。
三、國庫資金操作風險評估
(一)評估計算
由于國庫資金業(yè)務損失數據不全�,至今也沒有健全的風險管理框架。為了取得更好的風險分析效果���,構建合理風險評估模型����。結合定性與定量分析方法個各自特點����,現(xiàn)選用層次分析法和模糊綜合評價法相結合的方法,構建國庫資金操作的風險評估模型���。
1.建立國庫資金風險根據本文第二部分的分析,為簡便起見�,將影響國庫操作資金風險的目標層分為系統(tǒng)性風險、操作性風險��、管理性風險三個層次�����。
2.建立風險評估判斷矩陣構造國庫風險評估判斷矩陣��,需要用層次分析法對一定數量的專家進行問卷調查,這樣在調查評分的基礎上確定判斷矩陣����。限于條件,本風險模型在路勇���、徐麗紅在《基層人民銀行國庫TCBS系統(tǒng)風險導向審計模式的確立及成效》一文中所做的調查基礎上建立判斷矩陣�����,可按各風險因素的強度及頻率將其分為以下四個等級����。
(二)評估結果分析
從人民銀行A市國庫處現(xiàn)狀分析��,2012年之前�����,該處國庫工作人員配備基本能夠滿足崗位需要�����,但仍存在少許記賬與復合崗位交叉作業(yè)情況��、兼崗、替崗現(xiàn)象���,在對賬及審查工作中�����,由于缺少專門的國庫會計核算專業(yè)人員���,給國庫操作風險帶來隱患。同時��,在日常管理��、制度管理方面��,人民銀行A市國庫處推行目標管理責任制取得了一系列成效���,但仍存在“重事后管理,輕事前防范”的問題�����,另外現(xiàn)行的制度不能涵蓋整個國庫核算業(yè)務的全過程��,存在國庫信息業(yè)務的制度“盲區(qū)”,這些都是造成國庫風險的重要因素����。除此之外,由于國庫業(yè)務電子化業(yè)務的推廣��,人民銀行A市國庫處通過推行國庫會計數據集中系統(tǒng)(TCBS)以來���,積極修改崗位設置和完善橫向聯(lián)網系統(tǒng)�,網絡整體運行正常����,系統(tǒng)升級能夠滿足業(yè)務流程需要,大大減少了風險的可能����。基于風險評估結果�,操作性風險因素與管理性風險因素風險等級為中等風險,系統(tǒng)性風險因素為低風險���,基本與人民銀行A市國庫處實際情況吻合��?�?傊?���,國庫資金操作風險的綜合評估結果與國庫管理人員及業(yè)務人員對風險因素的主觀認識有很大關系,權重的選擇往往會直接影響風險評價的最終結果�����。
四�、國庫資金操作風險管理對策
(一)探索新的用人機制,建設專業(yè)化國庫隊伍
穩(wěn)定的國庫人員隊伍是保證國庫正常工作進行的前提�����,是降低風險最重要的一環(huán)�����。由于受人民銀行人員編制的原因�����,國庫部門會計核算專業(yè)人才較少�����,傳統(tǒng)解決人員緊缺的方式采用的是從其他部門借調人員��,沒有形成穩(wěn)定的國庫人員隊伍�����。人民銀行總行結合國庫業(yè)務的實際情況���,對國庫處部分人員逐步開始實行聘用制��,這樣一方面能夠有選擇性招聘部分專業(yè)性較強的人才補充到國庫處��,另外也能夠培養(yǎng)一批專業(yè)技能扎實��、崗位持續(xù)穩(wěn)定的國庫操作人員���,對于風險的防控與降低有深遠影響。
(二)完善風險管理制度��,提高風險防控意識
在日常的國庫業(yè)務中��,要針對具體的國庫業(yè)務環(huán)節(jié)����,制定具體的實施方案和操作細則����,逐步完善國庫資金風險管理的制度�����,建立完整有效的風險組織管理體系��。同時���,國庫事后監(jiān)督應嚴格執(zhí)行《國庫會計事后監(jiān)督辦法》����,并結合本辦法提出的國庫資金風險控制要求�����,對國庫會計核算業(yè)務進行全面監(jiān)督���,提高國庫整體風險防控意識����。
(三)強化國庫監(jiān)督規(guī)范,建立網絡系統(tǒng)監(jiān)控
