序論:速發(fā)表網(wǎng)結合其深厚的文秘經驗,特別為您篩選了11篇工程風險評估的核心問題范文��。如果您需要更多原創(chuàng)資料�����,歡迎隨時與我們的客服老師聯(lián)系,希望您能從中汲取靈感和知識�����!
篇1
一�����、引言
利用現(xiàn)代計算機軟件技術�����,可以提高建設工程項目風險管理的信息化程度���,實現(xiàn)風險管理體系的集成化、動態(tài)化��、高效率和實用性��。工程風險管理中的一個重要理念�����,就是充分利用工程中得到的各類風險管理信息,并對這類信息進行收集�、整理、分析��、記錄���、歸檔等登記工作����,在此基礎上��,一是對已建工程中的風險事件���、風險原因�����、風險因素���、風險應對措施進行分析,二是對擬建工程的風險辨識�����、風險評估、風險決策�、項目實施過程進行風險監(jiān)控,這對于工程公司各職能部門和項目管理團隊相互傳遞信息�����、有效控制風險非常有效���。
關于風險數(shù)據(jù)庫系統(tǒng),國內外很多學者進行了相關研究�����。sJ Simister(1992)在風險管理技術及其應用的著名調查中表明����,目前工程風險管理技術眾多,核查表�、MC、PERT����、敏感性分析等,許多技術均有相應的軟件支持����,使得這些技術在工程上的廣泛應用成為可能���。為了實現(xiàn)動態(tài)風險管理流程以及各類風險管理技術的集成和綜合應用,工程風險數(shù)據(jù)庫的研發(fā)受到了重視��。Barry LJ(1995)和Ward s(1999)提出了風險庫的構建�����,williams(1994)��,Carter R(1995)和Ward s(1999)研究了風險庫應該包括的內容���,V���,Carr(2002)和Fiona D,Pa~emon(2002)設計了PRR(ProJ‘ect Risk Registers)風險登記管理系統(tǒng)��,該軟件將風險管理分成risk plan和risk proce~兩個模塊��,通過風險辨識員��、項目經理和風險管理委員會三層風險管理機制對風險進行管理�。國內風險庫的研發(fā)正處于起步階段����,主要集中在隧道����、地鐵等地下工程建設領域,如黃宏偉等人(2006)著手盾構隧道施工動態(tài)風險庫的開發(fā)��,陳潔金(2009)進行了下穿既有設施城市隧道施工風險管理與系統(tǒng)開發(fā)的研究�。
二、工程風險數(shù)據(jù)庫的構建
1�、工程風險數(shù)據(jù)庫的基本流程(見圖1、2)
2�、工程風險數(shù)據(jù)庫的基本功能
(1)為工程項目風險辨識提供信息參考�����。工程項目的風險環(huán)境和出險規(guī)律具有相似性和個性化的特點��,因而項目風險管理中存在很多成功的經驗和失敗的教訓�,通過廣泛調研、收集資料��、文獻研究�、專家研討等方法����,對工程建設過程中存在的風險事件��、風險因素或原因���、應對措施進行歸納�、總結�����,形成風險信息庫的基礎資料�。結合擬建項目的建設環(huán)境、項目特點��、建設管理現(xiàn)狀等���,在風險信息庫中進行逐項對比分析�,辨識可能出現(xiàn)的風險因素����,形成風險辨識清單。
(2)對工程項目進行風險估計和評價����。大型工程項目的風險環(huán)境繁復多變�,對擬建項目各個階段風險因素發(fā)生的可能性大小�����、可能造成的損害程度����、風險因素的共同作用和綜合后果,以及這些風險對項目實施的影響����,項目主體能否接受等問題進行評估是風險管理的核心問題。風險管理庫可以實現(xiàn)風險評價相關數(shù)據(jù)的收集�����,包括主觀判斷數(shù)據(jù)�、客觀統(tǒng)計數(shù)據(jù)���、理論模型等��,結合當前項目的風險特點�,建立風險評估模型,對風險發(fā)生的概率和后果進行估計��,對風險量進行評價���,最終形成風險評價報告�。
(3)為工程項目風險決策提供信息參考��。在對工程項目風險分析的基礎上�����,利用風險管理庫對風險應對提出建議��,使風險管理主體在規(guī)避���、轉移�、減輕�����、自留等眾多對策中����,結合風險決策者的風險態(tài)度�����,迅速做出科學合理的風險決策�����,力圖使風險轉化為機會或使風險造成的負面效應降低到最小程度����,形成風險處置報告�����。
(4)對工程項目進行風險控制���。在工程實施過程中��,利用風險信息庫和風險管理庫對風險進行實時監(jiān)控����,進行風險預警和風險應急管理�,對風險事故進行統(tǒng)計和分析,形成風險監(jiān)控報告�。對產生的新風險因素和應對措施,及時補充完善到風險信息庫中��,實現(xiàn)動態(tài)管理�。
三、工程項目風險數(shù)據(jù)庫實現(xiàn)方法
1���、基于風險數(shù)據(jù)庫的風險辨識
基于風險信息數(shù)據(jù)庫的風險識別模塊的工作原理是:首先輸入當前項目的相關特征信息�����,然后運用WBS方法對擬建工程項目工作進行分解和編碼�。其次調用風險因素分類子系統(tǒng)����,運用WBS-RBS方法,對風險進行多方法���、多角度的識別��。最后����,輸出初步識別的項目風險清單,并進行初步的定量分析�,在項目資源約束、風險管理目標計劃(造價�、工期、性能�����、安全���、健康�、環(huán)境)的制約下����,探討風險事件發(fā)生的條件,預測風險發(fā)生的概率大小���、損失大小���、風險量大小,并提出風險應對方案�,直到確認沒有新風險為止。
風險辨識系統(tǒng)總體分析模型如圖3所示�,可以看出�����,工程項目風險信息數(shù)據(jù)庫的風險識別模塊從資料準備開始,經過項目調研�、風險識別、風險審核三個階段�����,最后才落實到風險清單��。這一過程在項目風險管理全過程當中反復進行��,其實質就是在不斷發(fā)現(xiàn)問題解決問題����,推動項目風險管理向更高的層次發(fā)展;同時識別過程的四個階段運用了PDCA的原理�����,構成了連續(xù)有機循環(huán)的系統(tǒng)��,更加重視項目管理知識的積累應用�����,從而不斷充實與完善風險信息數(shù)據(jù)庫,使得工程項目的風險辨識變得更加科學��,更具有可操作性���。
2���、基于風險數(shù)據(jù)庫的風險評估
工程建設項目因其自身存在大量的風險因素特點,建立風險評估模塊并保存項目風險評估數(shù)據(jù)十分有必要����,有了龐大的數(shù)據(jù)作為支持,風險評估的客觀性���、可信f生就有了保障��。其次��,風險評估模塊中包含的各種理論模型有助于對風險的評估����,調用過程十分簡單���、快捷�����,專家系統(tǒng)可以發(fā)揮其自身經驗���,輔助風險評估過程的順利完成。最后�����,風險評估中包含的運算相當復雜�����,風險評估系統(tǒng)基于計算機的運算能力��,可快速地完成評估所需的所有運算過程���。
本文設計的風險評估模塊是建立在經過風險辨識的風險清單和風險評估智能系統(tǒng)兩大部分基礎之上的�����,系統(tǒng)的建立可以基于商業(yè)風險評估軟件��,也可以自行設計��、開發(fā)風險評估程序�。總而言之�����,數(shù)據(jù)基礎越客觀�����、完整��、有效���、統(tǒng)一�,智能評估系統(tǒng)越便捷���、適用�����,風險評估過程就會開展得越順利�。風險評估模塊的數(shù)據(jù)流由四個過程組成,依次為數(shù)據(jù)準備���、數(shù)據(jù)來源�、評估系統(tǒng)���、結果顯示���,如圖4所示���。
數(shù)據(jù)準備:將經過風險辨識后的項目主要風險因素作為數(shù)據(jù)準備����,并選擇評估標準�。
數(shù)據(jù)來源:根據(jù)歷史評估數(shù)據(jù)、理論模型����、專家經驗以及待評估內容,判斷選用何種數(shù)據(jù)來源�。
評估系統(tǒng):根據(jù)數(shù)據(jù)判斷,選取風險評估方法,從軟件(方法)系統(tǒng)中選取相應商業(yè)軟件或自建程序���,進行風險評估���。 結果顯示系統(tǒng):將評估結果轉化成圖表或各種易于查看的形式,進行顯示��。評估系統(tǒng)部分由三個部分組成�����,依次為用戶需求����、專家系統(tǒng)、軟件(程序)系統(tǒng)����。
用戶需求:用戶以其評估需求填寫指定需求表,生成需求程序�。
專家系統(tǒng):在已有風險評估模型的基礎上,結合該領域專家處理問題的知識�、經驗,借助信息技術和人工智能方法構建而成���。該系統(tǒng)的重要性在于使得系統(tǒng)從此擁有專家的能力�����,以促進風險的定性和定量分析�����,并能提供較正確的計劃�����、建議����、決策等����。該系統(tǒng)一是利用專家經驗分析風險適用的評估方法,二是選取合適的風險評估工具���,三是一些評估過程中的數(shù)據(jù)需要通過專家調查法得以完成����,四是對評估結果進行修正。
軟件(程序)系統(tǒng):構建方法一:將商業(yè)風臉評估軟件(@Risk��、Permmster���、Crystal Ball等)嵌入軟件系統(tǒng)���,現(xiàn)有的風險評估軟件因其較為完善的設計和實踐驗證的實用性、穩(wěn)定性���,嵌入后即可立即開始運行�����,但商業(yè)風險評估軟件同時存在費用高��、難以和系統(tǒng)中其余部分協(xié)調統(tǒng)一��、不同軟件兼容性差等問題��。構建方法二:自行謝十�、開發(fā)風險評估程序��,優(yōu)點是將多種風險評估方法收錄進同一軟件�,與本風險評估系統(tǒng)的兼容性好��,缺點是技術含量高����,同時需要較高的開發(fā)成本���。此外���,自行開發(fā)的程序應含有評估工具系統(tǒng),例如:層次分析法中的標度法�����、平均隨機一致性指標���、模糊數(shù)學法中的隸屬函數(shù)���、蒙特卡羅法中的概率分布等。所要評估的風險按照軟件中預定的程序進行風險評估��,并得出評估結果��。
四�、實證研究
篇2
中圖分類號:F284 文獻標識碼:A 文章編號:1006-8937(2016)33-0183-02
改革開放以來我國國民經濟取得了長足的進步,各行各業(yè)都得到了快速的發(fā)展��。在此背景下�����,電力企業(yè)的壓力也越來越大��。為了滿足當前社會發(fā)展的需要����,供電單位大量的建立供電網(wǎng)絡和供電項目。但由于擴張的密度較大�����、頻率較高����,因此針對建設項目的安全管理問題,也引起了較多人群的關注����。筆者針對此類現(xiàn)狀進行簡要的剖析,以盼能為我國電力企業(yè)的發(fā)展提供參考�����。
1 供電局
我國電力系統(tǒng)于2002年進行企業(yè)制改革,2002年之前由國家電力工業(yè)部直接管理的供電企業(yè)都稱為供電局��。其中省一級別的電力工業(yè)局具備行政職能�����,省一級別之下的電力企業(yè)不具備行政職能[1]�����。2002年我國針對電力系統(tǒng)進行企業(yè)制改革�����,電力工業(yè)部被撤銷���。之后國家電力公司被劃分為五大發(fā)電集團和兩大電網(wǎng)公司�����,之后供電局名稱為更替為供電公司�。
2 供電局建設項目
隨著經濟的發(fā)展�����,人們對于電力的需求逐漸增大�����。供電局為了滿足經濟發(fā)展的需求����,通過不斷擴建電網(wǎng),進行電力的供應�。當前供電局在發(fā)展的過程中,主要的建設項目為:發(fā)電廠建設���、變電站建設�����、配電站建設��、輸電線路建設����、配電線路建設���,以及電網(wǎng)建立過程中的基建項目�。
3 當前供電局電網(wǎng)建設項目的發(fā)展現(xiàn)狀
隨著當前經濟的發(fā)展,電力作為經濟發(fā)展的基礎支持之一��,其重要性越來越大�����。電力部門企業(yè)制改革之后���,其發(fā)展較為迅猛�。進入市場化的電力企業(yè)得到了二次的發(fā)展�,企業(yè)盈利以及企業(yè)規(guī)模方面都得到了較大的改觀。當前關于供電局電網(wǎng)建設項目���,整體的發(fā)展現(xiàn)狀較為良好���,為我國當前經濟的發(fā)展提供了較大的助力。
4 當前供電局電網(wǎng)建設項目發(fā)展中存在的安全問題
當前供電局電網(wǎng)建設項目���,整體的發(fā)展狀況較為良好���。但在其細節(jié)方面還存在了一些問題���,針對此類問題��,筆者分析案例總結如下��。例如:成本管理帶來的安全問題����、施工人員專業(yè)技能、現(xiàn)場管理及施工監(jiān)理問題��、設備質量問題���、風險預估評測問題����、其他因素�����。針對此類安全問題�,筆者進行簡要的分析研究。
4.1 成本管理帶來的安全問題
任何工程在進行之前,都會進行工程的預算����,其上一級別稱為成本管理。成本管理在進行的過程中���,針對人員薪資�、工程物料���、日常耗材等費用進行整體的預算管理�����。之后按照成本預算進行工程的成本管理��,當前供電局電網(wǎng)建設項目發(fā)展中�,存在的問題之一即為:成本管理帶來的安全問題[2]���。由于缺乏對整體工程的全面了解��,成本管理預算較少�,或者存在后期轉包等問題�。最終因成本問題導致工程在建設的過程中��,出現(xiàn)了較多的安全隱患���。
4.2 施工人員專業(yè)技能問題
當前在供電局電網(wǎng)建設項目發(fā)展的過程中,轉包的現(xiàn)象較為嚴重�。轉包現(xiàn)象導致后期的工程進度無法進行預控,并且工程質量無法得到保障���。其中主要的核心問題為:施工人員的專業(yè)技能問題。由于施工人員專業(yè)技能較低�����,針對部分專業(yè)工程的技術處理不達標����,最終在后期驗收或使用的過程中,出現(xiàn)了較為嚴重的電力事故����。
4.3 現(xiàn)場管理及施工監(jiān)理問題
供電局電網(wǎng)建設項目安全管理中,出現(xiàn)安全問題較多的項目為:現(xiàn)場管理及施工監(jiān)理方面的問題��。供電局電網(wǎng)建設項目現(xiàn)場管理��,包括工地現(xiàn)場管理、施工進度管理�、施工人員安全管理、施工事故處理等項目[3]���。施工監(jiān)理則是針對整體工程的全局監(jiān)管����,當前出現(xiàn)安全問題較多的為工地現(xiàn)場管理和施工進度管理��,以及施工人員安全管理三項�。此三項在當前工程推進的過程中,出現(xiàn)了較多的問題�。其中施工監(jiān)理落實不到位,管理制度不完善為引發(fā)問題的主要原因���。
4.4 設備質量問題
供電局電網(wǎng)建設項目安全管理中����,其重要的核心安全管理為:設備質量管理���。其中在工程施工中����,主要涉及的重要設備為:發(fā)電機組、變壓器��、繼電器�、各類開關設備、設備機箱��、各類型號的輸配電線路����,以及工程施工中的施工機械。此類安全管理中����,主要出現(xiàn)的問題為設備的質量問題�����。設備的質量問題���,對整體工程的影響重大�,主要的影響體現(xiàn)在工程竣工之后的驗收期和試用期��。
4.5 風險預估評測問題
風險評估為供電局電網(wǎng)建設項目安全管理中的重要過程之一�����,此類問題嚴重時甚至影響整體工程的推進。當前在供電局電網(wǎng)建設項目中����,針對此類問題主要突顯的現(xiàn)狀為:風險評估缺失或風險處理資金未落實。此類現(xiàn)狀導致在工程進行的過程中���,一旦出現(xiàn)意外事件��。由于風險評估的缺失或風險處理資金未落實���,導致事故不能及時處理。最終造成嚴重的后果��,影響整體工程的進度�。
5 針對供電局電網(wǎng)建設項目中引起安全問題的改善 措施
當前供電局電網(wǎng)建設項目整體的發(fā)展較為良好,但細節(jié)方面還存在一些問題���。針對此類問題�,筆者分析案例提出了以下的改善措施�。例如:進行成本預算審核制、提升施工人員專業(yè)技能�����、加強科學化管理,設立獎懲制度��、采用質量合格的設備機械��、設立風險基金���、加強施工人員安全意識�����,落實施工監(jiān)理職能�。針對此類改善措施��,筆者進行簡要的分析介紹����。
5.1 進行成本預算審核制
為了改善供電局電網(wǎng)建設項目安全管理現(xiàn)狀�,并有效促進整體工程的推進。施工之前供電局應成立成本預算小組�����,此小組的成員應由工程人員、財務人員����、管理人員、領導層四類人員組成���。以此全面的進行成本的預算�,并針對預算結果上報領導層進行審批�����。之后在工程的實施過程中��,針對施工項目逐次進行成本管理的推進�。以此保證成本管理的有效和合理,并加強工程的安全管理�����。
5.2 提升施工人員專業(yè)技能
供電局電網(wǎng)建設項目安全管理的核心內容為工程進度管理���,而推動工程進度的主要目標為全體施工人員[4]����。因此為了有效的提高工程進度,并提升工程質量����。供電局在進行電網(wǎng)建設項目的推進過程中,應加強施工人員專業(yè)技能的提升�����。必要情況下進行的轉包項目���,也應選擇經驗較為豐富�,有較好工程經驗的隊伍�����。以此提升整體的工程質量��,加強安全管理的發(fā)展��。
5.3 加強科學化管理��,設立獎懲制度
供電局電網(wǎng)建設項目安全管理中現(xiàn)場管理�����,為影響安全管理較為重要的一個因素���。為了有效的改善現(xiàn)場管理現(xiàn)狀�����,供電局在進行工程項目時�����。應針對整體的施工人員進行分組�,并成立安全責任小組���。以科學化的管理方式�,推進工程的進度����。針對施工項目以及施工人員,定時進行監(jiān)管和巡查�。并在施工檢查的過程中,針對施工的現(xiàn)狀進行相應的獎懲行為��,以責任制推進整體施工工程的進行。
5.4 采用質量合格的設備機械
當前在供電局電網(wǎng)建設項目安全管理的過程中��,設備機械問題為影響安全管理的重要因素�����,不合格機械設備成為施工過程中巨大的安全隱患���。為了有效避免此類因素帶來的影響���,供電局在進行電網(wǎng)施工的過程中,必須注重機械設備的合格性����。設備采購時也需參照設備商以往的供貨經歷,以此保證應用采購設備的合格性����,并且提升整體工程的安全管理。
5.5 設立風險基金
供電局電網(wǎng)建設項目在推進的過程中�����,為了保證整體工程的安全性���。針對工程施工中����,有可能出現(xiàn)的故障問題�����。進行整體的風險預估評測����,并形成報告性文件。文件中針對各類有可能出現(xiàn)的問題作出風險評估��,并針對出現(xiàn)問題的賠償或處理結果作出計劃��。為了有效的改善此類現(xiàn)狀����,供電局在施工初期應設立風險基金。以此保證在后續(xù)出現(xiàn)風險事故時����,能夠及時的進行事故的處理,降低事故帶來的影響�����。
5.6 加強施工人員安全意識,落實施工監(jiān)理職能
電網(wǎng)項目施工工程在進行的過程中�,施工人員的安全問題為工程安全問題的核心問題。為了保證施工人員的人身安全�,并提升施工人員的工作效率。施工方應加強對施工人員的安全意識培訓��,具體的操作方式為:嚴格要求施工人員按照安全操作標準�,進行機械設備的操作和施工。并邀請專業(yè)人員進行各類機械設備的安全操作演示�����,以此提升工人的安全意識���。并在施工的過程中���,落實施工監(jiān)理人員的是職責。針對施工工程按照施工監(jiān)理標準���,進行抽查和巡檢��。以此保證整體的工程質量��,并針對施工中出現(xiàn)的問題及時的進行改善����。
6 結 語
當前供電局電網(wǎng)建設項目安全管理,整體的發(fā)展現(xiàn)狀較為良好����。但細節(jié)方面還存在了一些問題�,筆者分析案例將此類問題總結如下:成本管理帶來的安全問題、施工人員專業(yè)技能����、現(xiàn)場管理及施工監(jiān)理問題、設備質量問題���、風險預估評測問題�����、其他因素��。
針對此類影響因素�����,筆者提出了以下的改善措施例如:行成本預算審核制�����、提升施工人員專業(yè)技能�����、加強科學化管理�����,設立獎懲制度�����、采用質量合格的設備機械�、設立風險基金、加強施工人員安全意識���,落實施工監(jiān)理職能�。以此提升整體工程的安全性��,并推動了工程的安全管理發(fā)展��。
參考文獻:
[1] 李志遠,于成濤���,張同義等.淺析電力工程建設的質量與安全管理[J].商 品與質量����,2015�,(25):35-35.
[2] 黃藝鵬.電網(wǎng)建設項目土建工程安全措施工程化管理的探討[J].城市 建設理論研究(電子版),2013���,(2).
篇3
檔案信息安全風險評估總體方法
檔案信息安全風險評估的核心問題之一是風險評估方法的選擇,風險評估方法包括總體方法和具體方法�����?���?傮w方法是從宏觀的角度確定檔案信息安全風險評估大致方法,包括:風險評價標準確定方法�;風險評估中資產、威脅和脆弱性的識別方法�;風險評估輔助工具使用方法及風險評估管理方法等。事實上���,信息安全風險評估方法經歷了一個不斷發(fā)展的過程���,“經歷了從手動評估到工具輔助評估的階段���,目前正在由技術評估到整體評估發(fā)展,由定性評估向定性和定量相結合的方向發(fā)展��,由基于知識(或經驗)的評估向基于模型(或標準)的評估方法發(fā)展����。”��。隨著信息安全技術與安全管理的不斷發(fā)展�����,目前信息安全風險評估方法已發(fā)展到基于標準的����、定性與定量相結合的、借用工具輔助評估的整體評估方法�。檔案信息安全風險評估總體方法應采用目前最先進方法,即采用依據(jù)合適風險評估標準、定性與定量結合�、借助評估工具或軟件來實現(xiàn)不僅進行檔案信息安全技術評估,而且進行檔案信息安全管理評估的整體評估方法���。
1 檔案信息安全風險評估標準的確定
信息安全風險評估標準主要分為國際國外標準和國家標準����。國際國外標準有:《ISO/IEC 13335 信息技術 IT安全管理指南》����、《ISO/IEC 17799:2005信息安全管理實施指南》、《ISO/IEC27001:2005信息安全管理體系要求》����、《NIST SP 800-30信息技術系統(tǒng)的風險管理指南》系列標準等���,這些標準在國外已得到廣泛使用�,而我國信息安全風險評估起步較晚�����,在吸取國外標準且根據(jù)我國國情的基礎上于2007年制定了國家標準((GB/T 20984-2007信息安全技術信息安全風險評估規(guī)范》��,并在全國范圍內推廣���。國家發(fā)展改革委員會����、公安部、國家保密局于2008年了“關于加強國家電子政務工程建設項目信息安全風險評估工作的通知(發(fā)改高技[2008]2071號)”��,該文件要求國家電子政務工程建設項目(以下簡稱電子政務項目)��,應開展信息安全風險評估工作���,且規(guī)定采用《GB/T 20984-2007信息安全技術信息安全風險評估規(guī)范》����。檔案信息系統(tǒng)屬于電子政務系統(tǒng)���,檔案信息安全風險評估也應該采取OB/T 20984-2007標準����。
2 檔案信息安全風險評估需定性與定量相結合
定性分析方法是目前廣泛采用的方法����,需要憑借評估者的知識、經驗和直覺,為風險的各個要素定級�。定性分析法操作相對容易,但也可能因為分析結果過于主觀性�,很難完全反映安全現(xiàn)實情況。定量分析則對構成風險的各個要素和潛在損失水平賦予數(shù)值或貨幣金額����,最后得出系統(tǒng)安全風險的量化評估結果。
定量分析方法準確��,但由于信息系統(tǒng)風險評估是一個復雜的過程�,整個信息系統(tǒng)又是一個龐大的系統(tǒng)工程,需要考慮的安全因素眾多���,而完全量化這些因素是不切實際的����,因此完全量化評估是很難實現(xiàn)的��。
定性與定量結合分析方法就是將風險要素的賦值和計算����,根據(jù)需要分別采取定性和定量的方法���,將定性分析方法和定量分析方法有機結合起來�,共同完成信息安全風險評估。檔案信息安全風險評估應采取定性與定量相結合的方法�����,在檔案信息系統(tǒng)資產重要度��、威脅分析和脆弱性分析可用定性方法�,但給予賦值可采用定量方法。具體脆弱性測試軟件可得出定量的數(shù)據(jù)����,最后得出風險值,并判斷哪些風險可接受和不可接受等���。
3 檔案信息安全風險評估需借用輔助評估工具
目前信息安全風險評估輔助工具的出現(xiàn)����,改變了以往一切工作都只能手工進行的狀況�,這些工作包括識別重要資產、威脅和弱點發(fā)現(xiàn)����、安全需求分析����、當前安全實踐分析���、基于資產的風險分析和評估等�。其工作量巨大�����,容易出現(xiàn)疏漏�,而且有些工作如系統(tǒng)軟硬件漏洞檢測等無法用手工完成,因此目前國內外均使用相應的評估輔助工具�����,如漏洞檢測軟件和風險評估輔助軟件等���。檔案信息安全風險評估也需借助相應的輔助工具�����,直接可用的是各種系統(tǒng)軟硬件漏洞測試軟件或我國依據(jù)《GB/T 20984-2007信息安全技術信息安全風險評估規(guī)范》開發(fā)的風險評估輔助軟件�����,將來可開發(fā)專門的檔案信息安全風險評估輔助工具軟件���。
4 檔案信息安全風險評估需整體評估
信息安全風險評估不僅需進行安全技術評估,更重要的需進行安全管理等評估��,我國已將信息系統(tǒng)等級保護作為一項安全制度�,對不同等級的信息系統(tǒng)根據(jù)國家相關標準確定安全等級并采取該等級對應的基本安全措施,其中包括安全技術措施和安全管理措施��,因此評估風險時同樣需進行安全技術和安全管理的整體風險評估�,檔案信息安全風險評估同樣如此。
檔案信息安全風險評估具體方法
根據(jù)檔案信息安全風險評估原理�。從資產識別到風險計算,都需根據(jù)信息系統(tǒng)自身情況和風險評估要求選擇合適的具體方法�,包括:資產識別方法、威脅識別方法�、脆弱性識別方法、現(xiàn)有措施識別法和風險計算方法等����。
1 資產識別方法
檔案信息資產識別是對信息資產的分類和判定其價值,因此資產識別方法包括資產分類方法和資產賦值方法��。
(1)資產分類方法
在風險評估中資產分類沒有嚴格的標準��,但一般需滿足:所有的資產都能找到相應的類;任何資產只能有唯一的類相對應����。常用的資產分類方法有:按資產表現(xiàn)形式分類、按資產安全級別分類和按資產的功能分類等����。
在《GB/T 20984-2007信息安全技術信息安全風險評估規(guī)范》中,對資產按其表現(xiàn)形式進行分類���,即分為數(shù)據(jù)�、軟件���、硬件�、服務���、人員及其他(主要指組織的無形資產)��。這種分類方法的優(yōu)點為:資產分類清晰���、資產分類詳細,其缺點為:資產分類與其安全屬性無關��、資產分類過細造成評估極其復雜,因為目前大部分風險評估
都以資產識別作為起點��,一項資產面臨多項威脅�����,—項威脅又與多項脆弱性有關���,最后造成針對某一項資產的風險評估就十分復雜,缺乏實際可操作性���。這種分類方法比較適合于初次風險評估單位對所有信息資產進行摸底和統(tǒng)計����。
風險評估中資產的價值不是以資產的經濟價值來衡量���,所以信息資產分類應與信息資產安全要求有關�����,即依據(jù)信息資產對安全要求的高低進行分類�,這種方法同時也滿足下一環(huán)節(jié)即信息資產重要度賦值需求��。任何一個檔案信息資產無論是硬件、軟件還是其他���,其均有安全屬性��,在《GB/T 20984-2007信息安全技術信息安全風險評估規(guī)范》中要求:“資產價值應依據(jù)資產在保密性���、完整性和可用性上的賦值等級,經過綜合評定得出”�。可選擇每個資產在上述三個安全屬性中最重要的安全屬性等級作為其最后重要等級�。但檔案信息安全屬性應該更多,除上述屬性外還包括:真實性����、不可否認性(抗抵賴)、可控性和可追溯性���,所以可以根據(jù)檔案信息的七個安全屬性中最重要屬性的等級作為該資產等級���。
目前信息資產安全屬性等級如保密性等級可分為:很高、高��、中等、低���、很低����,因此信息資產按安全等級也可分為:很高�、高����、中等、低����、很低,即如果此信息資產保密性等級為“中”��,完整性等級為“中”�����,可用性等級為“低”���,則取此信息資產安全等級最高的“中”級�。
按信息資產安全級別分類法符合風險評估要求,因為體現(xiàn)了安全要求越高其資產價值越高的宗旨���,在統(tǒng)計資產時也可按表現(xiàn)形式和安全等級結合的方法進行���,如下表1所示?��!邦悇e”為按第一種分類方法中的類別�����,重要度為第二種方法中的五個等級�。
但如果風險評估時按表1進行資產分類時����,每個檔案信息系統(tǒng)將具有很多資產,這樣針對每一項資產進行評估的時間和精力對于評估方都難以接受��。因此�����,在《信息安全風險評估——概念�、方法和實踐》一書中提出:“最好的解決辦法應該是面對系統(tǒng)的評估”,信息資產安全等級分類的起點可以認為是系統(tǒng)(或子系統(tǒng)),這樣可以在資產統(tǒng)計時用資產表現(xiàn)形式進行分類���,在資產安全等級分類時按系統(tǒng)或子系統(tǒng)進行大致分類���,即同一個系統(tǒng)或子系統(tǒng)中的資產的安全等級相同,這樣滿足了組織進行風險評估時“用最少的時間找到主要風險”的思想�。
(2)資產賦值方法
由于信息資產價值與安全等級有關,因此對資產賦值應與“很高���、高�����、中等、低�、很低”相關,但這是定性的方法�����,結合定量方法為對應“5���、4����、3、2����、1”五個值,同時將此值稱為“資產等級重要度”�����。
2 威脅識別方法
(1)威脅分類方法
對檔案信息系統(tǒng)的威脅可從表現(xiàn)形式����、來源、動機���、途徑等多角度進行分類�����,而常用的為按來源和表現(xiàn)形式分類����。按來源可分為:環(huán)境因素和人為因素���,人為因素又分為惡意和無意兩種����。基于表現(xiàn)形式可分為:物理環(huán)境影響�����、軟硬件故障�、無作為或操作失誤、管理不到位���、惡意代碼�、越權或濫用�、網(wǎng)絡攻擊��、物理攻擊��、泄密��、篡改和抵賴等�。由于威脅對信息系統(tǒng)的破壞性極大,所以應以分類詳細為宗旨����,按表現(xiàn)形式方法分類較為合適����。
(2)威脅賦值方法
威脅賦值是以威脅出現(xiàn)的頻率為依據(jù)的���,評估者應根據(jù)經驗或相關統(tǒng)計數(shù)據(jù)進行判斷���,綜合考慮三個方面:“以往安全事件中出現(xiàn)威脅頻率及其頻率統(tǒng)計,實踐中檢測到的威脅頻率統(tǒng)計�、近期國內外相關組織的威脅預警”。�。可以對威脅出現(xiàn)的頻率進行等級化賦值�����,即為:“很高�����、高�����、中等、低��、很低”����,相應的值為:“5、4���、3���、2、1”���。
3 脆弱性識別方法
脆弱性的識別可以以資產為核心���,針對每一項需要保護的資產,識別可能被威脅利用的弱點��,同時結合已有安全控制措施���,對脆弱性的嚴重程度進行評估。脆弱性識別時來自于信息資產的所有者���、使用者���,以及相關業(yè)務領域和軟硬件方面的專業(yè)人員等���,并對脆弱性識別途徑主要有:問卷調查、工具檢測����、人工核查、文檔查閱���、滲透性測試等���。
(1)脆弱性分類方法
脆弱性一般可以分為兩大類:信息資產本身脆弱性和安全控制措施不足帶來的脆弱性。資產本身的脆弱性可以通過測試或漏洞掃描等途徑得到�,屬于技術脆弱性。而安全控制措施不足的脆弱性包括技術脆弱性和管理脆弱性�����,管理脆弱性更容易被威脅所利用��,最后造成安全事故�。檔案信息系統(tǒng)脆弱性分類最好按技術脆弱性和管理脆弱性進行�。技術脆弱性涉及物理層��、網(wǎng)絡層����、系統(tǒng)層、應用層等各個層面的安全問題�,管理脆弱性又可分為技術管理脆弱性和組織管理脆弱性兩方面。
(2)脆弱性賦值方法
根據(jù)脆弱性對資產的暴露程度(指被威脅利用后資產的損失程度)��,采用等級方式可對已經分類并識別的脆弱性進行賦值��。如果脆弱性被威脅利用將對資產造成完全損害�����,則為最高等級�����,共分五級:“很高����、高、中等����、低、很低”���,相應的值為:“5����、4��、3����、2、1”�。
脆弱性值(已有控制措施仍存在的脆弱性)也可稱為暴露等級,將暴露等級“5�、4、3����、2、1”可轉化為對應的暴露系數(shù):100%�����、80%、60%��、40%�、20%,再將“脆弱性”與“資產重要度等級”聯(lián)系���,計算出如果脆弱性被威脅利用后發(fā)生安全事故的影響等級����。
影響等級=暴露系數(shù)×資產等級重要度
4 已有控制措施識別方法
(1)識別方法
在識別脆弱性的同時應對已經采取的安全措施進行確認�����,然后確定安全事件發(fā)生的容易度��。容易度描述的是在采取安全控制措施后威脅利用脆弱性仍可能發(fā)生安全事故的容易情況�,也就是威脅的五個等級:“很高、高����、中等、低����、很低”�,相應的取值為:“5���、4、3�、2、1”�,“5”為最容易發(fā)生安全事故。
同時安全事件發(fā)生的可能性與已有控制措施有關��,評估人員可以根據(jù)對系統(tǒng)的調查分析直接給在用控制措施的有效性進行賦值�,賦值等級可分為0-5級,
“0”為控制措施基本有效��,“5”為控制措施基本無效���。
(2)安全事件可能性賦值
安全事件發(fā)生的可能性可用以下公式計算:
發(fā)生可能性=發(fā)生容易度(即威脅賦值)+控制措施
5 風險計算方法
風險計算方法有很多種�,但其必須與資產安全等級�����、面臨威脅值�、脆弱性值、暴露等級值、容易度值����、已有控制措施值等有關,計算出風險評估原理圖中的影響等級和發(fā)生可能性值�。目前一般而言風險計算公式如下:
風險=影響等級×發(fā)生可能性
綜上所述,可將信息資產�����、面臨威脅����、可利用脆弱性、暴露�、容易度、控制措施����、影響、可能性�����、風險值構成表2���,最終計算出風險值�����。下表以某數(shù)字檔案館為例���,其主要分為館內檔案管理系統(tǒng)和電子文件中心��,評估資產以子系統(tǒng)作為分類和賦值為起點,并只以部分威脅����、脆弱性列出并計算風險。
上表中暴露等級值體現(xiàn)了脆弱性����,容易度體現(xiàn)了威脅,以表2第一行為例計算檔案管理系統(tǒng)數(shù)據(jù)泄密的風險值����,過程如下:
影響等級=暴露系數(shù)×資產等級重要度=(3/5)*5=3
可能性=容易度(威脅值)+控制措施值=3+3=6
篇4
中圖分類號:TV61 文獻標識碼:A 文章編號:1672-3791(2012)07(a)-0157-01
1 廣東水利工程BT模式的特點
廣東水利工程BT模式是廣東省水利廳為了解決地方政府水利項目配套資金不到位的老大難問題,在現(xiàn)有公共項目BT模式的基礎上發(fā)展創(chuàng)新,提出的一種符合廣東水利項目特點的水利工程投融資建設(BT)模式。與通常意義上的BT模式相比,廣東水利工程BT模式主要有以下特點���。
1.1 由地方政府提供投融資方項目貸款的抵押物
通常意義上的BT模式是由投融資方負責籌集建設資金和項目建設,項目建成后移交給業(yè)主,業(yè)主按合同約定在回購期向投融資方支付回購款的過程�����。在投融資方的融資過程中項目業(yè)主不參與,業(yè)主只需要按照合同的約定在規(guī)定的回購時間內(通常在3~5年內)向投融資方支付回購款�。為了防范回購風險,業(yè)主需向投融資方提供回購擔保。
廣東水利工程BT模式中,投融資方以項目貸款方式向銀行貸款,但貸款的抵押物由項目所在地方政府負責提供,這樣就將項目法人提供的回購擔保與貸款抵押物合二為一,減少了BT模式中資產的占用,簡化了回購擔保資產評估的工作量,也大大減少了投融資方的風險��。
1.2 通過銀行的專業(yè)服務有效控制投融資風險
廣東水利工程BT模式中,銀行作為金融服務的專業(yè)機構,在資產評估���、風險評估等方面具有豐富的經驗,這些經驗是一般的投融資單位不具備的�。融資銀行通常在項目正式啟動前就介入,通過對地方政府提供的貸款抵押物價值評估和地方政府還款來源的風險評估,彌補了投融資單位在風險評估方面的不足,有效地控制了BT項目的回購風險����。
1.3 是一種適合續(xù)建工程的BT模式
針對廣東省城鄉(xiāng)水利防災減災工程項目實施的實際情況,廣東水利工程BT模式有效地解決了續(xù)建工程采用BT模式的問題。主要表現(xiàn)在以下幾點����。
(1)合同價格。水利工程建設試行BT模式,原則上采用設計概算總承包方式�����。但考慮到水利工程試行BT項目大部分屬于續(xù)建工程,項目法人也可靈活采用綜合單價或定額單價承包,工程量按實結算��。
(2)續(xù)建項目采用BT模式的融資額確認�。試行BT模式建設的項目大多立項時間早,存在項目超概算現(xiàn)象,同時大部分為續(xù)建項目���。為加快建設進度,由項目法人委托具有資質的單位編制項目BT建設涉及范圍內的概算,由上一級水行政主管部門核準,作為項目融資額的依據(jù)。
2 廣東水利工程BT試點項目的招標的重點��、難點及對策
2.1 廣東水利工程BT試點項目招標模式選擇
由于廣東省水利項目的建設工期很緊,按廣東省委省政府的要求,防災減災項目必須在2010年底前完工�。為了有效地縮短項目準備階段的時間,在水利工程BT試點項目的招標模式選擇上采用了投融資方和施工單位捆綁招標的方式。
由于招標方案中涉及到項目投融資和施工建設兩部分內容,如果面面俱到來設計投標條件,勢必造成招標文件的內容十分繁雜,重點不突出,也不符合目前招標評標的實際情況����。考慮到本次試點項目基本上是堤防工程,施工的技術難度不大,因此招標方案以潛在投標人的投融資能力為重點,著重考察潛在投標人的財務狀況����、投融資能力�、承擔風險的能力和企業(yè)信譽。
為了確保招標過程的順利實施,我們全面分析了經常在廣東投標的滿足項目施工資質要求的潛在投標人的基本情況,針對施工單位投融資能力和承擔風險能力均有限的實際情況,確定投標人可以采用聯(lián)合體方式,并合理的確定了投標人的資格條件���。這樣就確保有足夠的潛在投標人參與競爭,有利于招標的一次成功�����。
2.2 招標文件的合同架構
由于廣東水利工程BT試點項目要同時解決招項目投融資方和施工建設方兩個不同層面的主體,招標文件的合同架構以及相關方在BT項目中的法律地位的確定成為招標過程的核心問題�。
廣東水利工程BT試點項目的投融資是要解決地方政府配套資金不到位的問題���。地方政府作為項目投資的主體,在水利工程BT試點項目作為借款人,項目的投融資方負責籌集資金用于項目建設,是債權人,地方政府根據(jù)約定以其財政收入(包括水利規(guī)費等收入)償還該債務�����。
廣東水利工程BT試點項目的施工建設的實施主體是項目法人����。在BT試點項目中,項目法人只負責施工合同的履行,根據(jù)合同約定及時支付項目進度款(而不需要理會項目資金的來源)。
為了在招標文件中將上述兩個層面的內容有機結合起來,在合同架構中采用將項目的投融資建設和回購作為主合同(簡稱BT協(xié)議),將施工合同作為附合同的做法��。在BT協(xié)議中明確雙方在BT項目中的權利和義務,突出描述項目投融資資金的籌集和回購事項,對施工合同中的合同價格�、風險承擔、材料價格調差等核心問題只進行原則性的表述���。
2.3 招標中相關方法律地位的確定
由于水利工程BT試點項目涉及到地方政府和項目法人兩個不同的主體,部分BT項目采用多項目捆綁招標的方式,存在多個不同的項目法人,如何合理確定招標人成為招標過程首先需要明確的問題����。在實際操作中,考慮到地方水利部門是地方政府的職能部門,同時也是項目法人的主管部門,因此在水利工程BT試點項目招標中選擇地方水利部門作為招標人,或者由水利部門與項目法人共同作為招標人,受地方政府的委托負責招投標工作以及項目法人之間的協(xié)調工作����。
2.4 為業(yè)主做好參謀,積極穩(wěn)妥的推進BT項目招標工作
由于水利系統(tǒng)推行BT模式是一個新事物,地方水利部門在試點項目推進過程中最大的問題是不了解BT模式。作為招標機構首先要做的工作是向地方水利部門解釋和說明水利工程BT模式的內容和特點,讓他們了解采用BT模式的優(yōu)點�����、缺點以及存在的風險。
篇5
中圖分類號:TP393.08
信息是現(xiàn)代社會中不可缺少的一項重要元素���,尤其是在商業(yè)活動中��,信息已經成為市場競爭的重要手段���,因此對信息安全的管理在商業(yè)活動中顯得尤為重要。信息安全管理體系(Information Security Management System���,簡稱為ISMS)����,是建立和維持信息安全管理體系的標準�,標準要求組織通過確定信息安全管理體系范圍、制定信息安全方針�����、明確管理職責���、以風險評估為基礎選擇控制目標與控制方式等活動建立信息安全管理體系;體系一旦建立組織應按體系規(guī)定的要求進行運作����,保持體系運作的有效性���;信息安全管理體系應形成一定的文件,即組織應建立并保持一個文件化的信息安全管理體系���,其中應闡述被保護的資產�����、組織風險管理的方法�、控制目標及控制方式和需要的保證程度�。
1 信息安全的風險評估與策略
1.1 信息安全的風險評估
信息安全管理屬于風險管理,即如何在一個確定有風險的環(huán)境里把風險減至最低的管理過程��。因此���,管理的核心要素就是對風險進行準確識別和有效的評估�,通過對信息安全進行風險評估可以獲得安全管理的需求���,幫助組織制定出最佳的信息安全管理策略�����,并且將風險控制在可承受的范圍之內��。一個科學��、合理的信息安全風險評估策略應該具有形影的標準體系��、技術措施����、組織框架以及法律法規(guī)。
1.2 信息安全策略
信息安全策略(Information Security Policy)是一個組織機構中解決信息安全問題的重要組成部分��。在一個組織內部����,通常是由技術管理者指定信息安全策略,如果是一個較為龐大的組織��,制定信息安全策略的則可能是一個技術團隊��。信息安全策略是基于風險評估結果以保護組織的信息資產�。信息安全策略對訪問組織的不同資產進行權限設定��,它是組織管理人員在建立、使用和審計信息系統(tǒng)時的信息來源���。
信息安全策略具有非常廣泛的應用范圍��,在其基礎上做出的安全決定需要提供一個較高層次的原則性觀點���。一個組織的信息安全策略能夠反映出一個組織對現(xiàn)實和未來安全風險的認識水平,對于組織內部業(yè)務人員和技術人員安全風險的處理����。信息俺去那策略的制定同時還需要參考相關標準文本和安全管理的經驗。
1.3 信息安全管理措施
信息加密技術是網(wǎng)絡安全管理的核心問題�����,通過對網(wǎng)絡傳輸?shù)男畔①Y源進行加密�,以確保傳遞過程中的安全性和可靠性。用戶通過互聯(lián)網(wǎng)進行網(wǎng)絡訪問時���,應該能夠控制訪問屬于自己的數(shù)據(jù)的訪問者身份���,并且可以對訪問者的訪問情況進行審核。這種訪問權限的控制����,需要開發(fā)相應的權限控制程度�,以作為安全防范措施使用�����。
用戶在對云計算網(wǎng)絡的數(shù)據(jù)進行存儲時��,其他用戶及云服務提供商在未被所有者允許的情況下不得對數(shù)據(jù)進行查看及更改����。這需要將數(shù)據(jù)在網(wǎng)絡存儲時,對其他用戶實行存儲隔離措施�,同時對服務提供商實行存儲加密和文件系統(tǒng)的加密措施。鑒于云平臺的搭建多數(shù)基于商業(yè)方面�,因此用戶的數(shù)據(jù)在基于云計算的網(wǎng)絡上進行傳輸時要具有極高的保密性,包括在計算中心的內部網(wǎng)絡和開放互聯(lián)網(wǎng)絡上�。所以,應該對所傳輸?shù)臄?shù)據(jù)信息在傳輸層進行加密(HTTPS����、VPN和SSL等),對服務提供商進行網(wǎng)絡加密��。由于基于云計算的網(wǎng)絡的數(shù)據(jù)重要性�,為了防止各種數(shù)據(jù)毀滅性災難和突發(fā)性事件����,進行按期定時的數(shù)據(jù)備份��,使用數(shù)據(jù)庫鏡像策略和分布式存儲策略等���,是確保網(wǎng)絡信息安全的一系列防范措施。
病毒對互聯(lián)網(wǎng)的安全威脅最為嚴重�,主要可以通過病毒防御技術提升信息管理安全性。病毒是利用計算機軟硬件系統(tǒng)的缺陷�,在原本正常運行的程序中插入的一段能夠破壞計算機或數(shù)據(jù)的指令或代碼段,從而在執(zhí)行時影響計算機系統(tǒng)的正常運作而不易被人察覺����,對計算機及信息安全的威脅最大。針對日益猖獗的計算機病毒�����,選擇一款適合系統(tǒng)使用環(huán)境的反病毒軟件顯得尤為重要��,發(fā)現(xiàn)病毒侵入應該及時查殺���,同時要注意按時地更新病毒庫��,并升級反病毒軟件版本�����。在殺毒的同時做好預防工作是最為行之有效的措施���。防火墻是設置在不同類型網(wǎng)絡間的一系列硬件和軟件的集合��,旨在控制不同網(wǎng)絡間的訪問�、拒絕外部網(wǎng)絡對內部網(wǎng)絡或網(wǎng)絡資源的非法訪問�,保證通過防火墻的數(shù)據(jù)包符合預設的安全策略,從而確保了網(wǎng)絡信息的服務安全�。
入侵檢測作為防火墻技術的補充手段,是對成功繞過防火墻限制而入侵內部網(wǎng)絡系統(tǒng)的行為進行技術攻防的策略�����。其實質是在不損耗網(wǎng)絡性能的前提下進行監(jiān)聽分析用戶系統(tǒng)活動和違反安全策略的行為���,對已威脅網(wǎng)絡安全的入侵行為識別并發(fā)出警報�����,同時生成異常行為分析�,評估入侵行為帶來的損害程度。
目前��,利用防火墻和入侵檢測相結合的方式�����,是防護網(wǎng)絡��、拒絕外部網(wǎng)絡攻擊的最有效手段之一�。任何一個系統(tǒng)都會存在安全漏洞�����,這包含已知的和未知的在應用軟件和操作系統(tǒng)兩方面上的安全漏洞���。在進行漏洞掃描時���,可以及時系統(tǒng)和網(wǎng)絡存在的安全漏洞,并打上漏洞補丁�,進行主動防御。在使用時可以將漏洞掃描與防火墻技術����、入侵檢測技術三者相結合�����,形成網(wǎng)絡安全防范和防御的“黃金三角”�。數(shù)據(jù)加密分為對稱性和非對稱性加密兩種�,是在發(fā)送端以某種算法將數(shù)據(jù)明文轉換成密文,在接收端以密鑰進行解密�,從而保證信息在網(wǎng)絡存儲和傳輸?shù)倪^程中都是保密的,并且對網(wǎng)絡環(huán)境沒有任何特別的要求和限制���。數(shù)據(jù)加密技術與防火墻技術相比較�,對于信息安全的防護作用是全局性的����,也是最后一道防線。
系統(tǒng)備份和數(shù)據(jù)恢復����,是指對系統(tǒng)的重要核心數(shù)據(jù)和資料進行備份,當切防范和防御技術都失效并且計算機網(wǎng)絡遭到黑客攻擊時���,能夠對系統(tǒng)實施立即恢復的手段�,這也是保證信息安全的挽救措施。除了以上所提及的技術性手段之外��,大力開展信息安全教育和完善相關法律法規(guī)作為人為防范措施也不容被忽視�。近年來,信息安全威脅之一的網(wǎng)絡欺騙就是因為當事人的信息安全意識淡薄和相關的調查取證困難造成的����。因此,有必要做出改善措施�,與技術手段相結合對信息安全發(fā)揮行之有效的影響。
2 結束語
綜上所述���,隨著計算機技術、網(wǎng)絡通信技術和高密度存儲技術的發(fā)展�����,電子信息化進程在各個領域中得到了廣泛推廣和不斷深入研究���。結合當今社會的信息量爆炸式的增長情況���,以及現(xiàn)階段的研究成果得出結論,當今電子信息工程的安全問題和信息的有效利用問題仍將為研究的重點�����。本文重點研究了信息安全管理體系,根據(jù)信息安全管理的標準以及信息安全風險的特征�,提出了一些具有針對性的信息安全管理措施,以實現(xiàn)對信息安全風險的有效評估和準確預測��,危險性安全管理體系的實施提供重要保證��。
參考文獻:
[1]張健.電子文件信息安全管理評估體系研究[J].檔案學通訊��,2011�,4.
[2]馬曉珺,趙哲.電子商務信息安全管理體系研究[J].安陽市師范學院學報����,2008,2.
[3]劉曉紅.信息安全管理體系認證及認可[J].認證技術�,2011,5.
[4]喬甜.基于全員參與的信息安全管理體系研究[J].科技致富向導��,2013���,6.
篇6
信息化技術標準委員會副主任委員崔書昆認為�����,在基礎信息網(wǎng)絡和重要信息系統(tǒng)的安全嚴重關系到國家安全��、社會穩(wěn)定以及人民群眾切身利益的今天����,信息安全問題已然成為事關全局的戰(zhàn)略性問題。近年來���,有關部門圍繞信息安全保障體系建設��,在信息安全等級保護�����、風險評估、標準制定����、產品開發(fā)及打擊各種網(wǎng)絡違法犯罪活動等方面取得了積極進展。在這種情勢下�����,將信息安全等級保護確定為提高國家信息安全保障能力�,維護國家安全、社會穩(wěn)定和公共利益的一項基本制度,是非常必要的�����。
可以這樣理解��,我國信息安全各項工作快速推進����,信息安全風險評估工作和保障體系建設、信息安全管理工作����、信息安全法制化和規(guī)范化建設、信息化基礎設施和體系建設取得了重要的成效�。特別是從2007年7月20號開始,全國重要信息系統(tǒng)定級工作已經開始���,并在各行業(yè)�、各部門�、各單位的支持下,取得了豐碩的成果����。
從2008年開始����,公安部會同國家保密局等部門����,在重要信息系統(tǒng)定級工作的基礎之上,部署和開展深入推進信息安全等級保護工作�����,它主要分為三個方面:
第一�����,依據(jù)國家行業(yè)標準�,從管理和技術兩個方面,開展信息系統(tǒng)安全建設整改�����,建立并落實安全管理制度��,落實安全責任制�。
第二���,根據(jù)等級保護標準開展風險評估�、災難備份、應急處置���、安全檢查等工作�����。
第三��,對信息系統(tǒng)應用的一些重要單位��,開展等級保護工作檢查���。
公安部網(wǎng)絡安全保衛(wèi)局郭啟全處長說:“目前全國范圍內,大規(guī)模的重要系統(tǒng)定級工作已經基本完成�����,相關資料目前集中到公安部進行管理�。定級工作的主要成效是了解重要信息系統(tǒng)的底數(shù),掌握國家信息安全的基本情況���,為全面貫徹落實信息安全等級保護制度���,推動國家信息安全保障等工作的深入發(fā)展奠定堅實的基礎����。同時��,某些地方����、企業(yè)或者單位沒有完成定級工作,但會納入到我們下一階段的檢查工作當中完成���。另外�����,有些企業(yè)會隨后逐步執(zhí)行該工作����,不會影響國家等級保護制度的大規(guī)模推動����?����!?/p>
實施等級保護,充分體現(xiàn)了“適度安全��、保護重點”的目的�,可以把國家的重要網(wǎng)絡、重要系統(tǒng)挑出來�����,把國家有限的精力���、財力投入到信息保護當中去����,提高國家基礎網(wǎng)絡和重要信息系統(tǒng)的安全保護水平���,同時提高信息安全保障工作的整體水平��。
奧運留下的財富
“2008年北京奧運會的信息網(wǎng)絡安全工作給我們留下了很多財富��?��!惫鶈⑷浾f過���,奧運會對我們國家的信息網(wǎng)絡安全工作進行了一次大考。它既考驗了我們國家信息網(wǎng)絡安全的工作�,同時也考驗了等級保護主管部門、公安部和很多部委的行業(yè)主管部門的信息安全工作�。在這次大考中,各部門均表現(xiàn)得很優(yōu)秀��。在北京奧運會期間�,無論是核心網(wǎng)絡還是信息系統(tǒng),都遭受了大規(guī)模的攻擊和入侵��,卻沒有出現(xiàn)相關安全事故���,支撐北京奧運會順利舉辦���,這是我國信息網(wǎng)絡安全領域經歷的考驗。
實際上���,奧運會取得的經驗和公安部下一步等級保護工作之間存在密切的相關性���。公安部和有關部委會借鑒奧運會信息安全網(wǎng)絡經驗,充分利用好奧運留下的財富,進一步開展今后的工作����。
記者了解到��,在北京奧運會之前�,成立了以公安部牽頭的包括海關、銀行����、廣電等14個部委參加的信息網(wǎng)絡安全指揮部。由于有了這樣的指揮部�,使得各項工作的落實有了一個組織保障。如果沒有這個指揮部�����,大家各干各的���,在北京奧運會期間便無法保證重要系統(tǒng)和網(wǎng)絡的安全�。
在2008年���,國家安全的核心問題便是保障奧運的安全���,奧運安全采取的第一個措施就是等級保護����。郭啟全介紹說:“公安部把奧運核心網(wǎng)絡和涉及奧運會的系統(tǒng)都定級�、備案,針對風險和重要性搞等級測評和風險評估���,反復查找問題��、漏洞����、脆弱性和安全風險��。從歷史經驗來看�,總會有一些黑客試圖攻擊奧運系統(tǒng)。所以���,在這些黑客攻擊之前����,我們就需要開始做嚴格的攻擊性自測��。找到問題后進行系統(tǒng)加固,并且是有針對性地進行加固��。這種安全建設����、整改、加固還有等級測評�����,提升了我們的系統(tǒng)防范能力��?��!?/p>
郭啟全強調:“我們當時還專門針對北京奧運會提出了風險評估的指南。北京奧運會期間最大的風險是什么�����?其實就是來自黑客的攻擊破壞�����,所以搞風險評估要針對最大的風險去做����。舉個例子�,我到國家體育總局去了三次�,就是研究他們的網(wǎng)絡安全問題、網(wǎng)站安全問題����,這就有針對性,搞等級保護�、風險評估非常有針對性。這使得我們的風險找得準�����,漏洞找得準���,問題找得準���,因此相關措施就有針對性?�!?/p>
2009年的新工作
中國工程院院士沈昌祥指出��,目前我國信息與網(wǎng)絡安全的防護能力還處于發(fā)展的初級階段�,有些應用系統(tǒng)處于不設防狀態(tài)���。國防科技大學的一項研究表明,我國與互聯(lián)網(wǎng)相連的網(wǎng)絡管理中心有95%都遭到過境內外黑客的攻擊或侵入��,其中銀行����、金融和證券機構是攻擊重點。
由于奧運網(wǎng)絡和信息系統(tǒng)開展了等級保護工作����,并對等級保護工作的政策標準�、工作環(huán)節(jié)進行了檢驗,所以等級保護下一步的工作部署將充分借鑒北京奧運會的經驗����,健全完善等級保護領導體制和協(xié)調配合機制,例如等級保護原來有些領導體制可能還要進行補充���,明確重點工作對象�,比如說拿三級系統(tǒng)作為重點工作對象����。
郭啟全說:“我們會嚴格落實責任制��,認真抓好三點工作��,計劃三年內完成安全系統(tǒng)的整改工作����,總的目標就是:能力提高��,事故降低����,等級保護制度得到落實,國家信息網(wǎng)絡安全基本得到保障�。”
篇7
中圖分類號:U45 文獻標識碼:A
盾構法施工技術在一些經濟發(fā)達的國家運用已經相當成熟了����,由于可以在較大范圍的工程地質和水文地質條件下使用,機械化程度高、施工速度快��、安全���、無噪音���,在我國城市地鐵建設中得到了廣泛應用����,成為我國城市地鐵建設中的主要施工方法�。因此,對盾構隧道施工當中所出現(xiàn)的問題作分析統(tǒng)計是很有必要的�。雖然盾構隧道施工用于地鐵建設的情況很多,然而由于盾構法施工在我國應用時間不長����,加上盾構技術復雜,施工工序多�����,使得盾構在施工中暴露出不少的問題�����,各種事故頻繁發(fā)生(圖1)���。工程事故的發(fā)生不僅造成經濟損失,影響整個工程的工期���,產生一定的社會影響�����。施工質量和不必要的人員傷亡�����,還會對城市地鐵隧道施工進度和城市形象產生一定的影響��。因此����,隨著城市地鐵的蓬勃發(fā)展和盾構隧道施工工藝的不斷改進, 必須要強化對盾構隧道施工風險的認識����,分析事故發(fā)生的原因,加強盾構隧道施工的安全管理����,規(guī)避盾構施工風險,不斷地完善和提高盾構隧道施工的安全性����。
1. 施工中常見的安全事故
1.1盾構施工中常見事故:
1)地面塌陷 2)房屋開裂或倒塌 3)隧道范圍內管線斷裂或損壞
4)周邊構(建)物結構損壞
圖1 地鐵盾構施工中常見工程事故
1.2安全事故統(tǒng)計
盾構施工本身是一項技術含量高、受影響因素多��、施工難度大的技術工作。雖然政府加強管理��、建設單位嚴格要求����、施工單位科學施工,但地鐵施工事故還是屢屢發(fā)生�,并且層出不窮,不僅造成了大量人員傷亡和財產損失�����,而且還造成了很惡劣的社會影響����。通過對北京、上海����、杭州�����、廣州����、深圳���、成都、西安等地有重大傷亡的地鐵施工事故進行統(tǒng)計���,發(fā)現(xiàn)近幾年各地地鐵事故頻發(fā)且呈逐年增加的趨勢����。
1.3安全事故頻發(fā)原因分析
地鐵工程在施工階段出現(xiàn)的安全事故一般是由多方面因素引起的�,不確定性因素很多。對一些工程項目安全事故的分析統(tǒng)計�����,概括起來主要包括以下方面:
1)工程地質及水文地質的復雜性:工程所在區(qū)域的工程地質�、水文地質條件復雜,表現(xiàn)出很大的隨機變異性;同時地層中還存在大量水的活動與作用�。在地質勘察過程中,受到各種因素���、施工條件的限制���,勘察結果不可避免地與現(xiàn)場情況有一定的差距���。
2)工程建設周邊環(huán)境(建筑物、道路和地下管線等)的復雜性:地鐵一般修建于城市中心���,地鐵工程周邊的地面建(構)筑物和環(huán)境設施十分復雜�����。各種建筑物資料及管線資料勘測不全����、調查不詳或是因有關部門無法提供準確資料���,使施工的危險性和不確定性增加����。
3)工程前期準備不充分����,工期偏緊:許多地鐵項目前期工作不充分,技術準備不足�����,地鐵工期緊�����,往往要用3-4年建成20km的地鐵線���,盲目追趕工期�,使安全機制變形���,最終導致安全事故的發(fā)生�����。
正是由于以上及其他方面的原因, 使近幾年城市地鐵隧道工程事故頻頻發(fā)生,而且事故造成的危害也越來越大�,產生了一些不好的社會影響��。
2. 盾構隧道施工風險研究的必要性
隧道與地下工程與其他工程項目相比����,由于具有隱蔽性、復雜和不確定性等突出的特點�,投資風險大����,無論是設計����、施工、決策都會遇到很多困難和障礙��。尤其是在城市繁華或周圍環(huán)境復雜的地帶����,隧道與地下工程的施工及運營要涉及到過多的拆遷、對周圍環(huán)境及管線的影響����,如果決策考慮不周,在其規(guī)劃�����、設計施工和運營中均會對社會和國家造成不必要的重大的損失和不可估量的社會負面影響�。例如在上海地鐵四號線2003年7月1日發(fā)生的重大工程事故已給我們敲響了警鐘。因此規(guī)避盾構施工風險已經成為了亟待解決的核心問題��。為解決這一問題���,就必然要借助風險評估和決策理論���。風險評估可以對這些不確定因素進行分析����,將不可預見的風險因素轉化為定量的指標�����,并通過計算風險效益來選擇風險控制措施��,降低各種施工風險�����,以達到安全���、經濟、高效的施工目標����。
風險評估研究的最終目的是為決策提供依據(jù),從決策者的角度來說��,其價值可以體現(xiàn)在決策者決策時信心地增強、對工程進展情況的掌控以及對資金流向的有效控制上����。而工程風險研究的最高境界應該是實現(xiàn)“工程精算”,也即所有的風險子項均可由費用損失來表示���。因此����,對決策者來說��,風險評估能夠把決策變得簡單化�。如何對工程風險進行控制,在盡可能安全的情況下獲取最大利益���,這也需要對風險控制措施的風險效益進行評估����。
3. 盾構隧道施工常見事故的規(guī)避措施
3.1盾構進出洞施工風險的規(guī)避措施
國內盾構施工經驗表明����,盾構進出洞過程中,最大的風險為洞口土體的穩(wěn)定�����,目前國內多起盾構法隧道施工事故均發(fā)生在盾構進出洞上。端頭加固效果不好���,會造成洞口面流水�,甚至導致盾構出洞時工作面出現(xiàn)大面積塌方���,更嚴重可能引起地面沉降,危及周邊建筑物的安全���。為此,應制定有效措施�,保證盾構順利地通過進出口地段����。
1)認真研究盾構進出洞端頭的地層條件,保證盾機進出洞端頭地層加固長度不小于盾構的長度�,對土體開挖面穩(wěn)定性不是很好的地段�����,還要采取降水的措施進行加固。
2)洞口打開前�����,必須對地層的加固效果進行檢驗,保證符合規(guī)定后方可打開��。如果檢驗不通過的情況下�,要采取措施直到符合了項目標準后才能夠繼續(xù)施工。
3)在始發(fā)階段��,由于盾構機推力較小����、地層較軟,要注意防止盾構機叩頭�。
3.2開挖面失穩(wěn)風險的規(guī)避措施
在有微承壓水的地段,一旦土壓力設置不合理��,容易引起開挖面失穩(wěn)����、流砂現(xiàn)象,更嚴重會直接危害到地面安全�����,為此應采取有效措施,防止開挖面失穩(wěn)��。
1)可在正式掘進之前�����,采集區(qū)間地層碴土進行改良實驗��,以取得第一手較為合理的參數(shù)�,使開挖下來的渣土具有塑性流動性、止水性���,并使渣土充滿壓力艙��。
2)控制好土倉壓力,防止開挖面失穩(wěn)及其他問題的出現(xiàn)��。
3)控制推進速度和渣土排土量, 維持排土量和開挖量的平衡�����,使得工程項目能夠有序的進行��。
3.3地表發(fā)生過大沉降風險的規(guī)避措施
地鐵隧道施工不可避免地對土體產生擾動���,引起隧道周圍地表發(fā)生位移和變形���,如果發(fā)生過大的沉降��,就會危及周圍地面建筑設施����、道路和地下管線的安全��,因此盾構施工過程中要加強地表的監(jiān)測��,并制定相應的措施防止進一步的沉降����。
1)在盾構掘進過程中,應加強對周圍道路�、管線和臨近建(構)筑物的監(jiān)測,并對監(jiān)測數(shù)據(jù)及時分析處理并反饋����,不斷調整和優(yōu)化盾構推進參數(shù),做到信息化施工����,科學化管理。
2)在盾構掘進過程中,若發(fā)生沉降或沉陷,應派專人巡視�����,嚴密觀察周圍建筑物的沉降變化�����,根據(jù)沉降的實際情況采取相應的措施�����,不能有一絲的失誤�����。
3)通過同步注漿以及二次注漿及時充填盾尾建筑空隙和因原有漿液固結收縮所生產的空隙���,注漿時應嚴格控制注漿量和注漿壓力,減少施工過程土體變形�����,使得工程項目能夠順利的完成�����。
4.結束語
1)盾構隧道建設規(guī)模大,施工時影響因素多����,施工安全和施工風險更具有挑戰(zhàn)性,作為地鐵建設者有責任由義務在各個環(huán)節(jié)重視安全工作�,提前做好認真細節(jié)的評估和預測,依靠科學規(guī)范管理不斷提高地鐵建設安全水平����,確保城市軌道交通建設健康發(fā)展。
2)在地鐵隧道工程施工前應制定好各項應急預案���,編制切實可行的應急程序��,成立應急組織��,備好應急物資�,出現(xiàn)事故及時搶救��。
3)盾構掘進過程中要根據(jù)水文地質情況的變化�,密切注視掘進參數(shù)的變化并認真分析,在盾構推進時根據(jù)實際情況及時調整和優(yōu)化盾構掘進參數(shù)��。
4)應該對已有的成功或失敗的盾構法隧道施工案例進行分析統(tǒng)計,成功的案例應該要學習其中一些好的方法�����,失敗的案例也要從中吸取教訓���,避免重復問題的出現(xiàn)����。
5)對盾構法施工的工程項目需要采取科學的方法進行管理����。對于項目的前期要做好相關的準備工作,統(tǒng)籌好整個工程項目的方方面面����,不要盲目要趕工期,要循序漸進的推進�。尤其是當新問題出現(xiàn)的時候,有及時的討論����,采取相應的措施解決�����。
參考文獻:
[1]劉仁鵬,劉萬京.土壓平衡盾構技術淺談[J].工程機械��,2000
篇8
中圖分類號:TV文獻標識碼: A
引言
隨著社會經濟的不斷發(fā)展�,企業(yè)與企業(yè)之間的競爭越來越激烈,如何在激烈的競爭中求得生存并長遠發(fā)展���,是每一個企業(yè)都關心的話題����。水利水電工程行業(yè)是我國承擔風險較大的行業(yè)之一����,對于水利水電施工企業(yè)的風險,只有對企業(yè)實施有效地風險管理�����,對企業(yè)可能存在的風險進行控制盒防范�����,才能促進工程的順利進行�,并實現(xiàn)巨大的經濟效益����。
一�����、水利水電工程風險特點分析
水利水電工程風險特點主要是有水利水電工程其特有的特點決定的�����,導致水利水電工程風險具有明顯的不確定想和隨機性�。一般來說,水利水電工程風險存在于水利水電工程的各個環(huán)節(jié)��,而且風險問題存在與整個工程建設施工的全過程����,甚至會對水利水電工程的后續(xù)事宜產生一定的影響。水利水電工程的就愛難舍規(guī)模相對較大���,建設周期較長�����,需要的施工建設工藝復雜多變�,而且建設施工環(huán)境更具復雜性���,這些水利水電工程特有的施工環(huán)境導致水利水電工程風險更加難以預防和控制��。水利水電工程的風險性質和數(shù)量���,在很大程度上會隨著工程的發(fā)展而不斷變化,也就是說新的風險在工程施工的新階段會隨著出現(xiàn)����,導致水利水電風險的多樣性和復雜性。
二���、加強水利水電工程風險控制與管理的現(xiàn)實重要性
水利事業(yè)作為一個國家社會經濟發(fā)展的基礎性事業(yè)��,對于人們的生產生活都有著重要的影響�,也是一直以來國家政府關注的核心問題之一�����。在社會經濟迅速發(fā)展的當今時代�,水利事業(yè)的發(fā)展明顯滯后于經濟發(fā)展速度,因此我國政府加大了對水利水電工程的投資力度���,我國的水利事業(yè)迎來了高速發(fā)展時期�����。水利水電建設項目自身具有的復雜性�,決定了水利水電風險控制工作具有較大的難度,因此必須要加強對水利水電工程的風險管理��,不斷改進風險管理模式和管理方法����,最大限度的減少因風險而造成的水利水電工程項目的損失?����?傮w來說����,加強水利水電工程的風險管理與風險控制是保障水利水電工程得以順利實現(xiàn)的基礎和前提。
三���、水利水電施工企業(yè)風險的種類
1�、合同風險
水利水電建筑市場存在著的一些問題,如工程質量��、工程款拖欠���、原材料價格上漲����、工期拖延等問題�����,都與合同履行不良有密切關系����。建設合同的重要原則之一就是平等性����,但是鑒于當前國內工程承包多呈現(xiàn)出買方市場的特點,建設單位常常居于對已有利的優(yōu)勢����,對承包商在簽訂合同時常常強加種種不平等條款,例如合同中只有處罰條款沒有獎勵條款���,對承包商只強調義務����,而不提其應有的權利,對于工期延誤罰款的條款�����,在合同中都有詳細的規(guī)定�,而且罰則極嚴,而對業(yè)主因設計圖紙延誤�����、因拆遷延誤等條款都一帶而過�。合同是施工企業(yè)一切風險的源頭,承包商如果在擬訂合同條款時不堅持合理要求�,則勢必給企業(yè)埋下風險隱患。
2���、自然風險
工程項目所在地區(qū)客觀存在的惡劣自然條件�����,如嚴寒地區(qū)冬季無法施工��,水利工程因洪水沖毀以及地震多發(fā)帶����、海嘯、泥石流多發(fā)區(qū)都潛伏著威脅工程的嚴重自然災害�����。另外�,惡劣的氣候或環(huán)境也會導致施工企業(yè)的利益受損,水利工程因長時間的暴雨����、臺風�����、酷暑等都給工程實施帶來不便��,從而增加工程成本��。再次�,惡劣的現(xiàn)場條件如地質條件差等原因同樣會給施工企業(yè)帶來重大損失。
3�����、材料價格風險
正常情況下,材料成本占建設工程項目成本的70%�����,有的工程屬于長線工程���,投資大��,回收期長����,施工企業(yè)必須采取一切措施嚴防材料漲價的風險�。然而,在市場經濟的情況下�,通貨膨脹是難免的,一定幅度的通脹是可以理解和接受的�,但超過警戒線了,則企業(yè)將難以承受�,因此,要求企業(yè)材料管理人員不斷掌握準確的價格信息和可靠的貨源���,盡量減少因材料價格大幅波動而給企業(yè)帶來巨大的影響�。
4、工程管理風險
建設工程項目管理首先是公司領導層選派項目經理作為項目上的第一責任人���,項目經理和項目管理組織是建設工程項目風險的主體���,在項目風險管理中,項目經理在認識和處理各種錯綜復雜的風險時應統(tǒng)觀全局抓主要矛盾����,化不利為有利,將威脅轉化為機會����。另外,由于科技的不斷進步��,工程管理方法也應該與時俱進���,企業(yè)管理者必須采用現(xiàn)代化手段來管理工程,才能使企業(yè)不斷地發(fā)展和壯大�。
四、水利水電工程項目的風險管理
具體來說��,水利水電工程項目的風險管理分為項目風險識別���、項目風險評估���、項目風險應對��、項目風險監(jiān)控�。
1����、水利水電工程項目風險識別
風險識別是風險管理的首要環(huán)節(jié),但由于水利水電工程項目風險的特點是多樣的���、多變�����、多層次的��。因此必須將風險識別貫穿于項目工程的每一個階段����。一般來說�,水利水電工程中能被識別的風險包括因設計、施工等因素引發(fā)的技術風險�����,工期安排不合理以及工期滯后引發(fā)的工期風險,國家政策變動和經濟發(fā)展引發(fā)的風險��,自然環(huán)境改變引發(fā)的風險����,工程項目組織內部的風險,資金�����、材料����、設備等引發(fā)的風險等。要想識別這些風險��,就必須依照項目風險管理計劃�����、項目計劃等各類相關的信息進行詳細了解和進行不確定性分析����,以充分發(fā)覺可能的影響因素以及預測這些影響因素給工程項目造成的后果。對這些影響因素和后果進行整理分析�����,進而編制出風險識別報告�,對影響因素及其來源和后果進行詳細的說明。
2����、水利水電工程項目風險評估
緊接著風險識別,工程項目風險評估就是對識別的各類風險進行度量����,將各類風險進行比較,劃分層級�,確定風險的相對重要程度。對水利水電工程項目風險評估的關鍵主要有兩個��,一是風險導致?lián)p失的發(fā)生率��,二是確定這些風險導致?lián)p失結果的嚴重程度�����。其中����,第二個關鍵要素比第一個關鍵要素重要���。因為有的工程項目完全損毀發(fā)生的頻率只為1,但是這唯一的一次發(fā)生甚至會導致致命的損失�����。對水利水電項目工程風險進行評價時�,應該綜合各方面信息和數(shù)據(jù)以確定風險嚴重程度、發(fā)生概率���、影響范圍���、發(fā)生時間等。這些方面的信息和數(shù)據(jù)來自風險識別報告書�、工程項目假設、工程項目進程���、同類風險的歷史信息等����。進行風險評估的方法主要有兩類:一是定性評估���,如主觀估計法�����、故障分析樹法等�����;二是定量評估�,如敏感性分析法����、貝葉斯推斷原理法等。
3�����、水利水電工程項目風險應對
如果風險評估的結果顯示工程項目的風險數(shù)量很大�,則可以采取風險回避的策略,以防止風險的形成和發(fā)生���。實踐中常用的方法有工程法��、程序法等����。如果評估結果顯示風險數(shù)量不多,而且可以通過人為干預降低風險發(fā)生的概率和減少風險發(fā)生導致的損失�����,則可以采取風險緩解的策略�。如果風險評估結果顯示,風險量不大�����,項目可以轉交給第三方實施���,則可以采取風險轉移的策略��。將風險發(fā)生的后果和責任全部轉移給第三方�����。實踐中可以通過將合同轉移或者參加工程保險的方式來實現(xiàn)風險的轉移�。如果風險評估結果顯示���,項目風險發(fā)生的后果不嚴重�,并且風險發(fā)生的概率較小的情況下,或者該項項目風險無法轉移或者進行控制的成本太高����,則可以采取風險自留的策略�。采取這樣的策略導致的損失一般用企業(yè)的內部資金來彌補。
4�、水利水電工程項目風險監(jiān)控
對潛在的以及發(fā)生了的項目風險,應該積極采取相應的措施進行監(jiān)控����,尤其要對各項風險應對措施的執(zhí)行情況進行全程跟蹤監(jiān)督。具體的在風險監(jiān)控過程中要注意監(jiān)察風險的狀態(tài)��,確定其是否已經真的存在�����,是否已經發(fā)生�����,是否已經得到控制����,是否已經消失等���。其次,還應該在風險監(jiān)控過程中對應對風險的策略進行監(jiān)控��,判斷應對策略是否起作用��,是否有偏差�,是否需要調整等。再次�����,應當在持續(xù)的風險監(jiān)控中積極分析是否有新的風險產生����,并進行分析識別、評價��、控制等��。進行風險監(jiān)控采取的方式主要有:風險審計法和偏差分析法��。
五���、水利水電工程施工風險的規(guī)避策略
1�、增強風險管理意識
在水利工程領域,首先�����,管理者要有風險管理意識���,要改變原來注重上級要求和關系協(xié)調而淡化風險管理的觀念。其次�����,應把水利工程風險管理作為項目管理的一種常態(tài)���,進而把風險管理塑造為一種常態(tài)文化�。在水利工程風險管理框架構建的過程中�,“擯棄重應急輕風險的思想意識,注重全局����,強調整個流程,即關注全面的風險管理范圍�����、完整的風險管理體系、全程的風險管理過程�、全員的風險管理文化”。
2����、完善風險管理組織結構
(1)由市場選擇項目法人
現(xiàn)在很多地方水利工程法人選擇采用的往往是非市場行為,具體說即項目法人在水利系統(tǒng)內部是市場競爭�,兄弟單位之間的競爭,但是在整個社會市場中�,系統(tǒng)之外的單位極難有資格競標。從這一點可以看出����,項目法人選擇實際上是內部產生,而在系統(tǒng)內部�����,基本上運行的是一種市場競爭�����,即競標是一種有限的市場行為�����。這種內部產生項目法人的非市場行為實際上是一種壟斷行為。
(2)內部審計獨立性
為保障內審的獨立性���,理應從制度設計上予以完善����。首先����,內審人員的地位問題��。只向最高管理層負責���,使他們脫離利益相關者�����,以公開公正地展開工作�;其次��,組織內部理應以正式溝通的手段向所有公司的人員宣布內審人員的任命�����,內審人員的責任和權利用制度來明確,用相應制度予以保障和規(guī)范���,從而保障內部審計的獨立性��,逐步走向內部審計職業(yè)化之路���。
(3)信息共享
在水利工程部門,用制度形式保證信息標準化和規(guī)范化��,以落實信息公開��、提高信息資源利用率�����,避免在信息采集���、存貯和管理上重復浪費��,使不同層次�、不同部門信息系統(tǒng)間理應做到信息和信息產品的交流與共用�,以便更加合理地達到資源配置����,節(jié)約社會成本��,創(chuàng)造更多的財富之目的��。
3���、通過工程索賠將風險轉化為利潤
工程索賠是承包商經常使用的手段��,貫穿于項目實施的全過程�����,重點在施工階段,涉及范圍相當廣泛����。比如工程量變化、設計更改��、業(yè)主要求將工期提前���、不利自然條件或非乙方原因引起的施工條件的變化等�����,這些都屬于可計量風險的范疇��。FIDIC關于工程索賠的條款已由第三版的1個分條款增加為5個分條款���,形成了獨立的主題��。我國《建設工程施工合同示范文本》關于工程索賠也作了相應的明確規(guī)定���。這些索賠條款可以作為處理工程索賠的原則和法律依據(jù)。盡管工程索賠的解不是唯一的���,但卻是可以計量的���。利用合同條歇進行索賠不僅是減少工程風險的基本手段,也反映項目合同管理的水平����。實踐證明,如果善于進行施工索賠��,其索賠金額往往大予投標報價中的利潤部分。因此����,樹立合同意識、風險意識和索賠意識對降低工程風險是非常重要的�����。
4���、非計量風險的防范措施
非計量風險指政治��、經濟及不可抗力風險��。政治風險包括:戰(zhàn)爭���、、動亂�、法律制度的變化等;經濟風險包括:通貨膨脹���、外匯風險、保護主義及稅收歧視等����。這些風險在國際工程中經常遇到���。政治風險發(fā)生的概率較小,但一旦發(fā)生將導致災難性的后果�����。對于政治風險���,只能作定性分析與預測��,承包商應在投標決策階段加強調查研究����。經濟風險一般難以避免�����,應成立專門機構研究施工過程的索賠及其它防范風險發(fā)生的措施���,盡量降低風險發(fā)生的可能性及風險的危害�����。最好是進行定性與定量相結合的分析��,比較各風險產生的可能后果對項目目標的影響程度��,即對項目進行敏感性分析后�����,再作決策�。
5、加強施工承包合同的風險管理
合同既是項目管理的法律文件�����,也是合同主體各方應承擔風險的一種界定���。項目管理者必須具有極強的風險意識�,并能從風險分析與風險管理的角度分析出合同中每個條款的有利與不利因素����,對項目可能遇到的風險因素有全面深刻的了解。否則����,風險將給項目帶來巨大的損失。風險管理是一個不斷檢查和更新的過程����。隨著工程項目的進展,各種風險事件將發(fā)生或消除���,各種響應措施也將被采用或過時����。風險管理人員將不定期或定期地根據(jù)最新的情況進行風險分析���,確定新的風險事件和響應措施���,并分析評價以前階段風險管理的成敗。只有不斷地從風險中總結經驗和教訓����,提高控制和應對風險的能力,才能使企業(yè)立于不敗之地����。
六、結束語
由于受自然環(huán)境�、社會環(huán)境和人為因素的影響��,在水利水電項目的開發(fā)過程中����,存在著許多不確定因素���。項目管理者作為水利工程項目建設的實施主體��,處于整個工程建設管理的核心和主導地位�����,應提高項目風險管理意識���,掌握風險識別技術,開展風險評估與分析�����,及時防范和化解風險����,水利水電工程作為一項利國利民的大事,各級承包商和施工部門均應切實履行自身責任,在做好工程基礎上,對工程風險予以充分重視,確保整個水利水電工程的有序進行����。
參考文獻
篇9
全面風險管理是從戰(zhàn)略目標制定到目標實現(xiàn)的全過程風險管理���,隨著現(xiàn)代商業(yè)銀行所承擔風險的增加�����,商業(yè)銀行內部審計關注的重點也逐漸轉移到風險管理上來���,當今風險審計作為一種新的審計理念��,成為備受人們關注的熱點�。與其說銀行是在經營貨幣的企業(yè)��,不如說銀行是經營風險��,從風險管理中獲取收益的企業(yè)�。商業(yè)銀行一直在利潤與風險之間做著謹慎和僥幸的選擇,防范和控制經營中的風險�,實施全面風險管理戰(zhàn)略,是商業(yè)銀行面臨的現(xiàn)實而緊迫的任務���。作為現(xiàn)代商業(yè)銀行的審計部門�,如何由傳統(tǒng)的合規(guī)性審計向風險預警和防范為目標的風險審計轉變,合理配置有限的審計資源���,提高審計效率與效益��,有效發(fā)揮審計監(jiān)督在防范和控制風險中的積極作用�,已成為現(xiàn)代商業(yè)銀行內部審計面臨的焦點課題����。
風險審計的涵義
風險審計,也稱風險基礎審計或者風險導向審計���,它是在傳統(tǒng)的賬項基礎和內部控制制度基礎審計上發(fā)展起來的一種審計模式��,是指審計人員在對被審單位的內部控制充分了解和評價的基礎上�,綜合分析�����、判斷被審計單位的風險狀況及其風險程度�����,從而把有限的審計資源集中到高風險的審計領域,針對不同風險程度采取相應的審計對策�,重點對高風險點進行實質性測試,從而伎內部審計的剩余風險降至可接受的最低水平���。與賬項基礎審計����、內部控制制度基礎審計相比��,風險審計關注點在于對被審單位的風險評估�����,其審計重心向風險評估轉移�����,更加關注的是企業(yè)的風險管理活動一一是否建立清晰的風險管理戰(zhàn)略�、完善的管理架構�、全面的風險管理過程和良好的風險管理文化,最終實現(xiàn)風險管理效率和價值的最大化����,不但可以保證充分的審計覆蓋面,而且對每一個領域都會根據(jù)其風險評價結果有不同的審計頻率與深度,增強了對風險的預防控制作用�,風險審計方法的重點是識另q、預防與控制風險�����。因此�����,風險審計理論的核心是從分析審計風險入手��,通過建立科學的審計風險分析模型��,采取定性定量分析方法����,量化確定固有保證程度系數(shù),并控制保證程度系數(shù)�,確定可接受的檢查風險水平,以確保審計質量��。
商業(yè)銀行實施風險審計方法的壩實重要牲格林斯潘曾經說過:“銀行的基本職能是預測�、承擔和管理風險?���!憋L險審計的本質和根本目標是促進和保障商業(yè)銀行業(yè)務的穩(wěn)健發(fā)展�,促進商業(yè)銀行樹立全面的風險管理理念�,堅持發(fā)展與防范風險并重;適應市場和業(yè)務需要�����,不斷完善風險管理手段�����,健全風險管理體制��,培育風險管理文化���,提高風險管理水平,促進業(yè)務發(fā)展�����,目標是優(yōu)化資源配置����,將風險控制在商業(yè)銀行可以承擔的范圍內,實現(xiàn)風險調整后的收益最大化。
(一)風險審計的理念和方法是商業(yè)銀行實施全面風險管理的現(xiàn)實選擇���,進一步提升了內部審計的增值服務?風險是商業(yè)銀行與生俱來的產物����,存在于商業(yè)銀行業(yè)務的每一個環(huán)節(jié)當中�,商業(yè)銀行提供金融服務的過程也是承擔和控制風險的過程,因此����,風險管理是商業(yè)銀行永恒的主題。在現(xiàn)代金融領域中��,能建立良好的風險管理架構和體系����,對風險進行全面有效的管理,并以良好的風險定價策略實現(xiàn)價值增長��,是影響商業(yè)銀行核心競爭力的重要因素����,也是實施風險審計的必然要求。國有商業(yè)銀行上市后��,要在提高全面風險管理能力的前提下保持持續(xù)的價值創(chuàng)造能力。
巴塞爾新資本協(xié)議和美國反舞弊財務報告委員會的發(fā)起組織委員會fCOSO)的《企業(yè)全面風險管理框架》將全面風險管理概括為對商業(yè)銀行各個層次的業(yè)務單位和各種類型的風險進行統(tǒng)籌管理��,這種管理要求將包含信用風險��、市場風險����、操作風險和其他風險的各種金融資產與資產組合,承擔這些風險的各個業(yè)務單位納入到統(tǒng)一的管理體系中����,對各類風險依據(jù)統(tǒng)一的標準進行測量并加總,依據(jù)全部業(yè)務的相關性對風險進行全程的控制和管理�。風險審計正是以全面評估風險為基礎,從重要風險點上人手�,在深入分析判斷不同層面和業(yè)務單位風險狀況的基礎上,確定審計重點�����,對風險高的業(yè)務集中資源重點審計����,通過評估銀行風險識別的充分性���、風險衡量的恰當性及風險防范的有效性����,并在此基礎上提出相應的改進措施和建議,直接影響商業(yè)銀行經營戰(zhàn)略的制定����,確保商業(yè)銀行實現(xiàn)業(yè)務發(fā)展、風險控制和效益增長的有機統(tǒng)一.
(二)采用風險審計的理論和技術����、是現(xiàn)代商業(yè)銀行審計發(fā)展的目標和方向,實現(xiàn)增值型審計轉型需要:當前國際內審發(fā)展已進入一個以風險管理和公司治理為標志的新的發(fā)展階段����,西方的絕大部分商業(yè)銀行在內部審計均采用了風險審計的理論和技術。國際審計師協(xié)會主席捷奎林?瓦格娜曾提出:“環(huán)境的變化給內部審計師帶來增加價值的機會最多的領域是風險管理的公司治理��?!?003年國際內部審計協(xié)會對2001年新的《內部審計實務標準》(以下簡稱《標準》)修改后,在內容上也自始至終都貫穿著風險審計的主導思想���。
一是在對內部審計的定義中要求內部審計采用一種系統(tǒng)化�、規(guī)范化的方法來對機構的風險管理����、控制及監(jiān)管過程進行評價進而提高它的效率����,幫助機構實現(xiàn)它的目標����。二是內部審計的目標要求內部審計參與風險管理。三是內部審計的工作重點要求內部審計參與風險管理�。四是標準對審計計劃、審計測試�、審計結果、后續(xù)審計各個方面都作了和風險相關的明確規(guī)范�����。五是關于剩余風險��,《標準》做出了在審計執(zhí)行主管認為高級管理層接受的剩余風險水平對于機構來說是無法接受時就報告董事會加以解決的規(guī)定���。這些規(guī)定和要求將內部審計的范圍延伸到風險管理和公司治理��,所以風險管理已經成為內部審計的主要工作。隨著風險管理導向內部控制時代的來臨���,內部審計的工作重點也發(fā)行了變化�����,現(xiàn)代內部審計突破了傳統(tǒng)的監(jiān)督����、鑒證、評價職能的范圍����,更多地介入商業(yè)銀行有效的風險管理機制和健全的公司治理結構領域。
風瞼審計在項代商業(yè)銀行風瞼管理中的作用
(一)風險審計有利于提高商業(yè)銀行風險管理水平�����,促進風險文化建設���。風險基礎審計主動發(fā)現(xiàn)和控制各項風險�����,通過對商業(yè)銀行業(yè)務部門進行風險評估����,并按照次序排列風險,集中高風險的項目優(yōu)先審計�����。前者試圖阻止不期望的行為發(fā)生��,這種事先的控制有助于阻止損失的發(fā)生����;后者試圖檢查出不期望發(fā)生的行為,檢查性的控帶l目的是提供損失發(fā)生的證據(jù)��。這兩種類型的控制都是必要的內部控制系統(tǒng)��,使商業(yè)銀行的內控機制完善�、管用。同時���,風險審計關注的重點是業(yè)務過程中的每一個風險點����,涉及所有員工和管理者��,這樣有助于形成商業(yè)銀行風險文化,從而提高商業(yè)銀行全面風險管理水平�。
(二)風險審計有利于對風險事件的識別風險審計采用通用風險分析模板及方法�����,識別商業(yè)銀行業(yè)務過程的風險和外部環(huán)境風險����。風險審計人員運用某些分析方法,創(chuàng)造性地進行分析����,判斷管理層是否完全識別了企業(yè)的所有風險,若有遺漏的風險要提醒管理層加以考慮��。
(三)風險審計有利于對風險的反應和控制��。在風險反應活動中���,商業(yè)銀行要根據(jù)不同的風險決定要采取的策略和方法�,決定是避免風險����、接受風險、還是降低風險。如對有相對的風險回報的風險�,商業(yè)銀行可以考慮接受,但要采取控制措施����,才能將風險降低到可以接受的水平,獲得希望的回報���。對于這部分風險�,商業(yè)銀行會采取減少風險�����、轉移風險或分擔風險的辦法以降低商業(yè)銀行承受的風險��。風險審計人員的主要工作在于分析�、評價風險回報的合理性、減少風險的措施的有效性�����、以及接受風險轉移和風險分擔的那一方的風險��。
(四)風險審計有利于對風險信息溝通和風險管理系統(tǒng)的監(jiān)控��。在風險信息溝通活動中,商業(yè)銀行的風險管理要將風險及時有效地傳遞給內部相關人員�����,以便及時采取相應的控制措施�。風險審計人員可以通過評價報告系統(tǒng)證明風險信息被準確��、及時地傳遞到相關人員�,內部審計報告可以向董事會和審計委員會傳遞風險是否得到有效管理的信息。在監(jiān)控活動中�,商業(yè)銀行要對風險管理進行持續(xù)監(jiān)控,通過對內部控制系統(tǒng)的運行的監(jiān)控和對定期檢查結果及意外事項的處理結果的評價�,保證商業(yè)銀行對風險管理是一直有效的。風險審計人員可以通過分析環(huán)境和風險變化�,檢查內部控制系統(tǒng)是否已更新,是否能控制新的風險�����。還可以通過后續(xù)審計管理層對審計中發(fā)現(xiàn)的問題及對意外事項的處理情況���,檢查新的控制措施是否有效���,將分析結果和建議提供給管理層以便改進控制措施。
風險審計在捕國商業(yè)銀行規(guī)劃與存在問題
(一)風險基礎審計的法制化、制度化規(guī)范化建設的道路還很漫長��。一是商業(yè)銀行內部制度調整工作量大����,相關業(yè)務制度和操作流程也要進行相應調整;二是支持系統(tǒng)建設難度大��,因長期需要具備相應功能的電子化系統(tǒng)作支持���,要求商業(yè)銀行改進現(xiàn)有業(yè)務系統(tǒng)���,并開發(fā)建設風險評估系統(tǒng),風險評估系統(tǒng)的建設包括業(yè)務流程�����、歷史數(shù)據(jù)收集�����、參數(shù)選擇等需要大量投資和時間準備��。三是短期內風險審計人員素質難以提高�����。風險審計人員需要精通包括審計、會計財務���、法律��、邏輯學�、信息學�、系統(tǒng)論、管理學等專業(yè)知識����,懂得運用經濟���、數(shù)理����、計算機等專用分析手段來預知和減少風險����,每位風險審計人員達到運用自如的水準尚需時日。
(二)審計證據(jù)的較高要求增加風險審計取證的難度風險基礎審計必須獲取充足的��、可靠的相關的證據(jù)以判斷,而目前我國商業(yè)銀行風險基礎審計缺少可供遵循的標準和程序�����,且審計取證的渠道和方式多樣�����,因此���,審計人員一般都需要提高調查樣本代表性和增大調查樣本的方法��,以增強對總體風險推斷的準確性����。
(三)風險審計技術手段落后�,難以適應工作需要。計算機會計信息系統(tǒng)��、信貸管理系統(tǒng)的廣泛應用和發(fā)展����,大大增強了審計的及時性,事后審計����;逐步被實時審計所代替�����,這與針對經營全過程的風險基礎審計不謀而合���。在我國,商業(yè)銀行審計人員大多數(shù)對計算機輔助審計不太熟悉����,許多還停留在傳統(tǒng)手工查賬的基礎上,在新技術面前還有些無所適從.審計手段落后���,不但增加了審計難度,而且效率低��、準確差�,嚴重影響了審計作用的發(fā)揮,無法滿足商業(yè)銀行風險基礎審計工作的需要
(四)協(xié)調配臺欠缺�,降低了審計結果的運用日常審計中很少利用紀檢、人事及其他部門掌握的信息�����,審計結束后,除個別項目外一般也不與這些部門交換��,致使審計成果在干部考核�����、任用����、獎懲等方面沒有發(fā)揮應有的作用,相應削弱了審計的威懾力�����。
我國商業(yè)銀行發(fā)展和完善風險審計的對策
(一)正確認識風險基礎審計在銀行公司治理結構的重要作用�����,為風險審計的發(fā)展刨造良好的環(huán)境商業(yè)銀行公司治理的核心問題是委托人(股東��、投資者�����、管理者)如何激勵和約束人(經理層)��、積極有效地完成受托經營管理責任,以確保股東或投資者財富最大化���。顯然僅僅通過財務審計�����,委托人難以全面了解人是否有效履行其受托責任���,而風險基礎審計有利于減少信息不對稱性,較為全面地提供委托人所需要的有關經營管理活動方面信息��,大大遏制了“道德風險”的發(fā)生���,增強了經營管理的透明度�����,從而達到控制和抑制“內部人控制”的目的,同時��,通過風險審計可以有效地判斷人的業(yè)績和能力���,評價人對受托人責任履行情況��,促進人提高經營管理效率因此��,風險審計是商業(yè)銀行公司治理結構的重要組成部分�����,是完善公司治理結構的“四大基石”之一��。
(二)抓緊制定風瞼基蒯{計�;,立則盡快完善評價標:停體系要吸收借鑒美國���、英國�、典等發(fā)達國家的先進經驗�,抓緊研究制定我國的風險基礎審計準則,這是開展風險審計的當務之急����。風險基礎審計準則的制定要遵循“銜接”、“配套”�、“務實”的原則,注意解決好前瞻與現(xiàn)實的矛盾��,接軌與國情的矛盾。逐步探索和完善風險審計的評價標準體系��,量化評價指標��,為不同項目之間的比較提供依據(jù).
篇10
全面風險管理是從戰(zhàn)略目標制定到目標實現(xiàn)的全過程風險管理���,隨著現(xiàn)代商業(yè)銀行所承擔風險的增加���,商業(yè)銀行內部審計關注的重點也逐漸轉移到風險管理上來,當今風險審計作為一種新的審計理念�����,成為備受人們關注的熱點���。與其說銀行是在經營貨幣的企業(yè)����,不如說銀行是經營風險��,從風險管理中獲取收益的企業(yè)�。商業(yè)銀行一直在利潤與風險之間做著謹慎和僥幸的選擇,防范和控制經營中的風險�,實施全面風險管理戰(zhàn)略,是商業(yè)銀行面臨的現(xiàn)實而緊迫的任務�。作為現(xiàn)代商業(yè)銀行的審計部門,如何由傳統(tǒng)的合規(guī)性審計向風險預警和防范為目標的風險審計轉變�����,合理配置有限的審計資源���,提高審計效率與效益�����,有效發(fā)揮審計監(jiān)督在防范和控制風險中的積極作用��,已成為現(xiàn)代商業(yè)銀行內部審計面臨的焦點課題���。
風險審計的涵義
風險審計,也稱風險基礎審計或者風險導向審計���,它是在傳統(tǒng)的賬項基礎和內部控制制度基礎審計上發(fā)展起來的一種審計模式�����,是指審計人員在對被審單位的內部控制充分了解和評價的基礎上�����,綜合分析��、判斷被審計單位的風險狀況及其風險程度�,從而把有限的審計資源集中到高風險的審計領域,針對不同風險程度采取相應的審計對策����,重點對高風險點進行實質性測試,從而伎內部審計的剩余風險降至可接受的最低水平�����。與賬項基礎審計���、內部控制制度基礎審計相比����,風險審計關注點在于對被審單位的風險評估�,其審計重心向風險評估轉移,更加關注的是企業(yè)的風險管理活動一一是否建立清晰的風險管理戰(zhàn)略��、完善的管理架構�、全面的風險管理過程和良好的風險管理文化����,最終實現(xiàn)風險管理效率和價值的最大化�����,不但可以保證充分的審計覆蓋面����,而且對每一個領域都會根據(jù)其風險評價結果有不同的審計頻率與深度�,增強了對風險的預防控制作用,風險審計方法的重點是識另q��、預防與控制風險���。因此���,風險審計理論的核心是從分析審計風險入手,通過建立科學的審計風險分析模型����,采取定性定量分析方法,量化確定固有保證程度系數(shù)��,并控制保證程度系數(shù),確定可接受的檢查風險水平����,以確保審計質量。
商業(yè)銀行實施風險審計方法的壩實重要牲
格林斯潘曾經說過:“銀行的基本職能是預測���、承擔和管理風險���。”風險審計的本質和根本目標是促進和保障商業(yè)銀行業(yè)務的穩(wěn)健發(fā)展���,促進商業(yè)銀行樹立全面的風險管理理念�����,堅持發(fā)展與防范風險并重�����;適應市場和業(yè)務需要����,不斷完善風險管理手段�,健全風險管理體制�,培育風險管理文化�,提高風險管理水平,促進業(yè)務發(fā)展����,目標是優(yōu)化資源配置,將風險控制在商業(yè)銀行可以承擔的范圍內�����,實現(xiàn)風險調整后的收益最大化���。
(一)風險審計的理念和方法是商業(yè)銀行實施全面風險管理的現(xiàn)實選擇,進一步提升了內部審計的增值服務?風險是商業(yè)銀行與生俱來的產物����,存在于商業(yè)銀行業(yè)務的每一個環(huán)節(jié)當中,商業(yè)銀行提供金融服務的過程也是承擔和控制風險的過程���,因此��,風險管理是商業(yè)銀行永恒的主題���。在現(xiàn)代金融領域中���,能建立良好的風險管理架構和體系,對風險進行全面有效的管理���,并以良好的風險定價策略實現(xiàn)價值增長���,是影響商業(yè)銀行核心競爭力的重要因素,也是實施風險審計的必然要求�����。國有商業(yè)銀行上市后�����,要在提高全面風險管理能力的前提下保持持續(xù)的價值創(chuàng)造能力����。
巴塞爾新資本協(xié)議和美國反舞弊財務報告委員會的發(fā)起組織委員會fCOSO)的《企業(yè)全面風險管理框架》將全面風險管理概括為對商業(yè)銀行各個層次的業(yè)務單位和各種類型的風險進行統(tǒng)籌管理,這種管理要求將包含信用風險���、市場風險��、操作風險和其他風險的各種金融資產與資產組合����,承擔這些風險的各個業(yè)務單位納入到統(tǒng)一的管理體系中,對各類風險依據(jù)統(tǒng)一的標準進行測量并加總��,依據(jù)全部業(yè)務的相關性對風險進行全程的控制和管理�����。風險審計正是以全面評估風險為基礎����,從重要風險點上人手��,在深入分析判斷不同層面和業(yè)務單位風險狀況的基礎上���,確定審計重點���,對風險高的業(yè)務集中資源重點審計,通過評估銀行風險識別的充分性��、風險衡量的恰當性及風險防范的有效性�����,并在此基礎上提出相應的改進措施和建議,直接影響商業(yè)銀行經營戰(zhàn)略的制定���,確保商業(yè)銀行實現(xiàn)業(yè)務發(fā)展�����、風險控制和效益增長的有機統(tǒng)一
(二)采用風險審計的理論和技術���、是現(xiàn)代商業(yè)銀行審計發(fā)展的目標和方向,實現(xiàn)增值型審計轉型需要:當前國際內審發(fā)展已進入一個以風險管理和公司治理為標志的新的發(fā)展階段����,西方的絕大部分商業(yè)銀行在內部審計均采用了風險審計的理論和技術。國際審計師協(xié)會主席捷奎林?瓦格娜曾提出:“環(huán)境的變化給內部審計師帶來增加價值的機會最多的領域是風險管理的公司治理���?��!?003年國際內部審計協(xié)會對2001年新的《內部審計實務標準》(以下簡稱《標準》)修改后,在內容上也自始至終都貫穿著風險審計的主導思想�����。
一是在對內部審計的定義中要求內部審計采用一種系統(tǒng)化、規(guī)范化的方法來對機構的風險管理���、控制及監(jiān)管過程進行評價進而提高它的效率���,幫助機構實現(xiàn)它的目標。二是內部審計的目標要求內部審計參與風險管理����。三是內部審計的工作重點要求內部審計參與風險管理。四是標準對審計計劃�����、審計測試����、審計結果�����、后續(xù)審計各個方面都作了和風險相關的明確規(guī)范����。五是關于剩余風險,《標準》做出了在審計執(zhí)行主管認為高級管理層接受的剩余風險水平對于機構來說是無法接受時就報告董事會加以解決的規(guī)定。這些規(guī)定和要求將內部審計的范圍延伸到風險管理和公司治理���,所以風險管理已經成為內部審計的主要工作��。隨著風險管理導向內部控制時代的來臨�����,內部審計的工作重點也發(fā)行了變化����,現(xiàn)代內部審計突破了傳統(tǒng)的監(jiān)督����、鑒證、評價職能的范圍���,更多地介入商業(yè)銀行有效的風險管理機制和健全的公司治理結構領域�。
風瞼審計在項代商業(yè)銀行風瞼管理中的作用
(一)風險審計有利于提高商業(yè)銀行風險管理水平�,促進風險文化建設。風險基礎審計主動發(fā)現(xiàn)和控制各項風險���,通過對商業(yè)銀行業(yè)務部門進行風險評估���,并按照次序排列風險����,集中高風險的項目優(yōu)先審計�。前者試圖阻止不期望的行為發(fā)生,這種事先的控制有助于阻止損失的發(fā)生�����;后者試圖檢查出不期望發(fā)生的行為����,檢查性的控帶l目的是提供損失發(fā)生的證據(jù)。這兩種類型的控制都是必要的內部控制系統(tǒng)���,使商業(yè)銀行的內控機制完善��、管用�。同時�,風險審計關注的重點是業(yè)務過程中的每一個風險點���,涉及所有員工和管理者���,這樣有助于形成商業(yè)銀行風險文化�,從而提高商業(yè)銀行全面風險管理水平�。
(二)風險審計有利于對風險事件的識別風險審計采用通用風險分析模板及方法,識別商業(yè)銀行業(yè)務過程的風險和外部環(huán)境風險����。風險審計人員運用某些分析方法,創(chuàng)造性地進行分析����,判斷管理層是否完全識別了企業(yè)的所有風險,
若有遺漏的風險要提醒管理層加以考慮��。
(三)風險審計有利于對風險的反應和控制����。在風險反應活動中,商業(yè)銀行要根據(jù)不同的風險決定要采取的策略和方法��,決定是避免風險��、接受風險��、還是降低風險�����。如對有相對的風險回報的風險,商業(yè)銀行可以考慮接受�,但要采取控制措施,才能將風險降低到可以接受的水平��,獲得希望的回報��。對于這部分風險���,商業(yè)銀行會采取減少風險�����、轉移風險或分擔風險的辦法以降低商業(yè)銀行承受的風險�。風險審計人員的主要工作在于分析����、評價風險回報的合理性、減少風險的措施的有效性����、以及接受風險轉移和風險分擔的那一方的風險。
(四)風險審計有利于對風險信息溝通和風險管理系統(tǒng)的監(jiān)控����。在風險信息溝通活動中,商業(yè)銀行的風險管理要將風險及時有效地傳遞給內部相關人員�����,以便及時采取相應的控制措施�。風險審計人員可以通過評價報告系統(tǒng)證明風險信息被準確、及時地傳遞到相關人員���,內部審計報告可以向董事會和審計委員會傳遞風險是否得到有效管理的信息����。在監(jiān)控活動中���,商業(yè)銀行要對風險管理進行持續(xù)監(jiān)控���,通過對內部控制系統(tǒng)的運行的監(jiān)控和對定期檢查結果及意外事項的處理結果的評價,保證商業(yè)銀行對風險管理是一直有效的�����。風險審計人員可以通過分析環(huán)境和風險變化�����,檢查內部控制系統(tǒng)是否已更新,是否能控制新的風險���。還可以通過后續(xù)審計管理層對審計中發(fā)現(xiàn)的問題及對意外事項的處理情況�����,檢查新的控制措施是否有效�����,將分析結果和建議提供給管理層以便改進控制措施��。
風險審計在捕國商業(yè)銀行規(guī)劃與存在問題
(一)風險基礎審計的法制化����、制度化規(guī)范化建設的道路還很漫長�。一是商業(yè)銀行內部制度調整工作量大,相關業(yè)務制度和操作流程也要進行相應調整����;二是支持系統(tǒng)建設難度大,因長期需要具備相應功能的電子化系統(tǒng)作支持,要求商業(yè)銀行改進現(xiàn)有業(yè)務系統(tǒng)��,并開發(fā)建設風險評估系統(tǒng)����,風險評估系統(tǒng)的建設包括業(yè)務流程�����、歷史數(shù)據(jù)收集����、參數(shù)選擇等需要大量投資和時間準備。三是短期內風險審計人員素質難以提高��。風險審計人員需要精通包括審計��、會計財務��、法律��、邏輯學�����、信息學、系統(tǒng)論���、管理學等專業(yè)知識����,懂得運用經濟����、數(shù)理、計算機等專用分析手段來預知和減少風險����,每位風險審計人員達到運用自如的水準尚需時日。
(二)審計證據(jù)的較高要求增加風險審計取證的難度風險基礎審計必須獲取充足的�����、可靠的相關的證據(jù)以判斷�,而目前我國商業(yè)銀行風險基礎審計缺少可供遵循的標準和程序,且審計取證的渠道和方式多樣��,因此�����,審計人員一般都需要提高調查樣本代表性和增大調查樣本的方法,以增強對總體風險推斷的準確性���。
(三)風險審計技術手段落后��,難以適應工作需要�。計算機會計信息系統(tǒng)�、信貸管理系統(tǒng)的廣泛應用和發(fā)展,大大增強了審計的及時性�����,事后審計�;逐步被實時審計所代替��,這與針對經營全過程的風險基礎審計不謀而合��。在我國�,商業(yè)銀行審計人員大多數(shù)對計算機輔助審計不太熟悉,許多還停留在傳統(tǒng)手工查賬的基礎上���,在新技術面前還有些無所適從.審計手段落后�,不但增加了審計難度����,而且效率低����、準確差���,嚴重影響了審計作用的發(fā)揮����,無法滿足商業(yè)銀行風險基礎審計工作的需要
(四)協(xié)調配臺欠缺����,降低了審計結果的運用日常審計中很少利用紀檢、人事及其他部門掌握的信息����,審計結束后,除個別項目外一般也不與這些部門交換�����,致使審計成果在干部考核�����、任用、獎懲等方面沒有發(fā)揮應有的作用��,相應削弱了審計的威懾力�����。
我國商業(yè)銀行發(fā)展和完善風險審計的對策
(一)正確認識風險基礎審計在銀行公司治理結構的重要作用����,為風險審計的發(fā)展刨造良好的環(huán)境商業(yè)銀行公司治理的核心問題是委托人(股東、投資者����、管理者)如何激勵和約束人(經理層)�、積極有效地完成受托經營管理責任,以確保股東或投資者財富最大化�。顯然僅僅通過財務審計,委托人難以全面了解人是否有效履行其受托責任���,而風險基礎審計有利于減少信息不對稱性���,較為全面地提供委托人所需要的有關經營管理活動方面信息,大大遏制了“道德風險”的發(fā)生�����,增強了經營管理的透明度,從而達到控制和抑制“內部人控制”的目的�����,同時����,通過風險審計可以有效地判斷人的業(yè)績和能力,評價人對受托人責任履行情況�,促進人提高經營管理效率因此,風險審計是商業(yè)銀行公司治理結構的重要組成部分�����,是完善公司治理結構的“四大基石”之一�����。
(二)抓緊制定風瞼基蒯{計��;����,立則盡快完善評價標:停體系要吸收借鑒美國��、英國�、典等發(fā)達國家的先進經驗���,抓緊研究制定我國的風險基礎審計準則����,這是開展風險審計的當務之急����。風險基礎審計準則的制定要遵循“銜接”、“配套”�����、“務實”的原則�����,注意解決好前瞻與現(xiàn)實的矛盾�����,接軌與國情的矛盾���。逐步探索和完善風險審計的評價標準體系�,量化評價指標�,為不同項目之間的比較提供依據(jù)
篇11
全面風險管理是從戰(zhàn)略目標制定到目標實現(xiàn)的全過程風險管理,隨著現(xiàn)代商業(yè)銀行所承擔風險的增加��,商業(yè)銀行內部審計關注的重點也逐漸轉移到風險管理上來�����,當今風險審計作為一種新的審計理念��,成為備受人們關注的熱點�。與其說銀行是在經營貨幣的企業(yè),不如說銀行是經營風險���,從風險管理中獲取收益的企業(yè)��。商業(yè)銀行一直在利潤與風險之間做著謹慎和僥幸的選擇�����,防范和控制經營中的風險����,實施全面風險管理戰(zhàn)略,是商業(yè)銀行面臨的現(xiàn)實而緊迫的任務��。作為現(xiàn)代商業(yè)銀行的審計部門��,如何由傳統(tǒng)的合規(guī)性審計向風險預警和防范為目標的風險審計轉變�,合理配置有限的審計資源,提高審計效率與效益����,有效發(fā)揮審計監(jiān)督在防范和控制風險中的積極作用,已成為現(xiàn)代商業(yè)銀行內部審計面臨的焦點課題�����。
風險審計的涵義
風險審計����,也稱風險基礎審計或者風險導向審計,它是在傳統(tǒng)的賬項基礎和內部控制制度基礎審計上發(fā)展起來的一種審計模式�����,是指審計人員在對被審單位的內部控制充分了解和評價的基礎上�����,綜合分析�、判斷被審計單位的風險狀況及其風險程度,從而把有限的審計資源集中到高風險的審計領域�,針對不同風險程度采取相應的審計對策,重點對高風險點進行實質性測試��,從而伎內部審計的剩余風險降至可接受的最低水平����。與賬項基礎審計、內部控制制度基礎審計相比��,風險審計關注點在于對被審單位的風險評估���,其審計重心向風險評估轉移�����,更加關注的是企業(yè)的風險管理活動一一是否建立清晰的風險管理戰(zhàn)略�����、完善的管理架構�����、全面的風險管理過程和良好的風險管理文化��,最終實現(xiàn)風險管理效率和價值的最大化����,不但可以保證充分的審計覆蓋面,而且對每一個領域都會根據(jù)其風險評價結果有不同的審計頻率與深度���,增強了對風險的預防控制作用�,風險審計方法的重點是識另q����、預防與控制風險。因此�,風險審計理論的核心是從分析審計風險入手,通過建立科學的審計風險分析模型��,采取定性定量分析方法����,量化確定固有保證程度系數(shù),并控制保證程度系數(shù)��,確定可接受的檢查風險水平,以確保審計質量�。
商業(yè)銀行實施風險審計方法的壩實重要牲
格林斯潘曾經說過:“銀行的基本職能是預測��、承擔和管理風險�����?��!憋L險審計的本質和根本目標是促進和保障商業(yè)銀行業(yè)務的穩(wěn)健發(fā)展����,促進商業(yè)銀行樹立全面的風險管理理念�����,堅持發(fā)展與防范風險并重���;適應市場和業(yè)務需要��,不斷完善風險管理手段�,健全風險管理體制�����,培育風險管理文化,提高風險管理水平����,促進業(yè)務發(fā)展,目標是優(yōu)化資源配置�,將風險控制在商業(yè)銀行可以承擔的范圍內,實現(xiàn)風險調整后的收益最大化�����。
(一)風險審計的理念和方法是商業(yè)銀行實施全面風險管理的現(xiàn)實選擇���,進一步提升了內部審計的增值服務?風險是商業(yè)銀行與生俱來的產物�����,存在于商業(yè)銀行業(yè)務的每一個環(huán)節(jié)當中�,商業(yè)銀行提供金融服務的過程也是承擔和控制風險的過程�����,因此���,風險管理是商業(yè)銀行永恒的主題����。在現(xiàn)代金融領域中,能建立良好的風險管理架構和體系�����,對風險進行全面有效的管理���,并以良好的風險定價策略實現(xiàn)價值增長,是影響商業(yè)銀行核心競爭力的重要因素���,也是實施風險審計的必然要求��。國有商業(yè)銀行上市后���,要在提高全面風險管理能力的前提下保持持續(xù)的價值創(chuàng)造能力。
巴塞爾新資本協(xié)議和美國反舞弊財務報告委員會的發(fā)起組織委員會fcoso)的《企業(yè)全面風險管理框架》將全面風險管理概括為對商業(yè)銀行各個層次的業(yè)務單位和各種類型的風險進行統(tǒng)籌管理���,這種管理要求將包含信用風險�、市場風險�����、操作風險和其他風險的各種金融資產與資產組合,承擔這些風險的各個業(yè)務單位納入到統(tǒng)一的管理體系中��,對各類風險依據(jù)統(tǒng)一的標準進行測量并加總�,依據(jù)全部業(yè)務的相關性對風險進行全程的控制和管理。風險審計正是以全面評估風險為基礎����,從重要風險點上人手,在深入分析判斷不同層面和業(yè)務單位風險狀況的基礎上�,確定審計重點,對風險高的業(yè)務集中資源重點審計����,通過評估銀行風險識別的充分性、風險衡量的恰當性及風險防范的有效性����,并在此基礎上提出相應的改進措施和建議,直接影響商業(yè)銀行經營戰(zhàn)略的制定�,確保商業(yè)銀行實現(xiàn)業(yè)務發(fā)展、風險控制和效益增長的有機統(tǒng)一
(二)采用風險審計的理論和技術��、是現(xiàn)代商業(yè)銀行審計發(fā)展的目標和方向����,實現(xiàn)增值型審計轉型需要:當前國際內審發(fā)展已進入一個以風險管理和公司治理
為標志的新的發(fā)展階段�����,西方的絕大部分商業(yè)銀行在內部審計均采用了風險審計的理論和技術���。國際審計師協(xié)會主席捷奎林?瓦格娜曾提出:“環(huán)境的變化給內部審計師帶來增加價值的機會最多的領域是風險管理的公司治理?���!?003年國際內部審計協(xié)會對2001年新的《內部審計實務標準》(以下簡稱《標準》)修改后�����,在內容上也自始至終都貫穿著風險審計的主導思想���。
一是在對內部審計的定義中要求內部審計采用一種系統(tǒng)化��、規(guī)范化的方法來對機構的風險管理�����、控制及監(jiān)管過程進行評價進而提高它的效率�,幫助機構實現(xiàn)它的目標。二是內部審計的目標要求內部審計參與風險管理�����。三是內部審計的工作重點要求內部審計參與風險管理�。四是標準對審計計劃、審計測試���、審計結果�、后續(xù)審計各個方面都作了和風險相關的明確規(guī)范����。五是關于剩余風險,《標準》做出了在審計執(zhí)行主管認為高級管理層接受的剩余風險水平對于機構來說是無法接受時就報告董事會加以解決的規(guī)定����。這些規(guī)定和要求將內部審計的范圍延伸到風險管理和公司治理,所以風險管理已經成為內部審計的主要工作�。隨著風險管理導向內部控制時代的來臨,內部審計的工作重點也發(fā)行了變化����,現(xiàn)代內部審計突破了傳統(tǒng)的監(jiān)督、鑒證�、評價職能的范圍�,更多地介入商業(yè)銀行有效的風險管理機制和健全的公司治理結構領域�����。
風瞼審計在項代商業(yè)銀行風瞼管理中的作用
(一)風險審計有利于提高商業(yè)銀行風險管理水平�����,促進風險文化建設�。風險基礎審計主動發(fā)現(xiàn)和控制各項風險,通過對商業(yè)銀行業(yè)務部門進行風險評估��,并按照次序排列風險�����,集中高風險的項目優(yōu)先審計���。前者試圖阻止不期望的行為發(fā)生,這種事先的控制有助于阻止損失的發(fā)生���;后者試圖檢查出不期望發(fā)生的行為����,檢查性的控帶l目的是提供損失發(fā)生的證據(jù)。這兩種類型的控制都是必要的內部控制系統(tǒng)��,使商業(yè)銀行的內控機制完善����、管用。同時���,風險審計關注的重點是業(yè)務過程中的每一個風險點��,涉及所有員工和管理者���,這樣有助于形成商業(yè)銀行風險文化,從而提高商業(yè)銀行全面風險管理水平�����。
(二)風險審計有利于對風險事件的識別風險審計采用通用風險分析模板及方法�����,識別商業(yè)銀行業(yè)務過程的風險和外部環(huán)境風險���。風險審計人員運用某些分析方法�����,創(chuàng)造性地進行分析�����,判斷管理層是否完全識別了企業(yè)的所有風險���,若有遺漏的風險要提醒管理層加以考慮���。
(三)風險審計有利于對風險的反應和控制。在風險反應活動中��,商業(yè)銀行要根據(jù)不同的風險決定要采取的策略和方法�����,決定是避免風險����、接受風險�、還是降低風險。如對有相對的風險回報的風險,商業(yè)銀行可以考慮接受�����,但要采取控制措施���,才能將風險降低到可以接受的水平�,獲得希望的回報���。對于這部分風險����,商業(yè)銀行會采取減少風險���、轉移風險或分擔風險的辦法以降低商業(yè)銀行承受的風險����。風險審計人員的主要工作在于分析���、評價風險回報的合理性��、減少風險的措施的有效性����、以及接受風險轉移和風險分擔的那一方的風險。
(四)風險審計有利于對風險信息溝通和風險管理系統(tǒng)的監(jiān)控���。在風險信息溝通活動中��,商業(yè)銀行的風險管理要將風險及時有效地傳遞給內部相關人員��,以便及時采取相應的控制措施�����。風險審計人員可以通過評價報告系統(tǒng)證明風險信息被準確����、及時地傳遞到相關人員�����,內部審計報告可以向董事會和審計委員會傳遞風險是否得到有效管理的信息�����。在監(jiān)控活動中��,商業(yè)銀行要對風險管理進行持續(xù)監(jiān)控����,通過對內部控制系統(tǒng)的運行的監(jiān)控和對定期檢查結果及意外事項的處理結果的評價,保證商業(yè)銀行對風險管理是一直有效的��。風險審計人員可以通過分析環(huán)境和風險變化�,檢查內部控制系統(tǒng)是否已更新,是否能控制新的風險�����。還可以通過后續(xù)審計管理層對審計中發(fā)現(xiàn)的問題及對意外事項的處理情況���,檢查新的控制措施是否有效����,將分析結果和建議提供給管理層以便改進控制措施�����。
風險審計在捕國商業(yè)銀行規(guī)劃與存在問題
(一)風險基礎審計的法制化��、制度化規(guī)范化建設的道路還很漫長����。一是商業(yè)銀行內部制度調整工作量大�����,相關業(yè)務制度和操作流程也要進行相應調整�;二是支持系統(tǒng)建設難度大��,因長期需要具備相應功能的電子化系統(tǒng)作支持���,要求商業(yè)銀行改進現(xiàn)有業(yè)務系統(tǒng)�����,并開發(fā)建設風險評估系統(tǒng)�,風險評估系統(tǒng)的建設包括業(yè)務流程��、歷史數(shù)據(jù)收集�����、參數(shù)選擇等需要大量投資和時間準備����。三是短期內風險審計人員素質難以提高�。風險審計人員需要精通包括審計���、會計財務、法律��、邏輯學�、信息學、系統(tǒng)論�����、管理學等專業(yè)知識�����,懂得運用經濟��、數(shù)理���、計算機等專用分析手段來預知和減少風險�����,每位風險審計人員達到運用自如的水準尚需時日�����。
(二)審計證據(jù)的較高要求增加風險審計取證的難度風險基礎審計必須獲取充足的��、可靠的相關的證據(jù)以判斷��,而目前我國商業(yè)銀行風險基礎審計缺少可供遵循的標準和程序����,且審計取證的渠道和方式多樣,因此����,審計人員一般都需要提高調查樣本代表性和增大調查樣本
的方法,以增強對總體風險推斷的準確性�����。
(三)風險審計技術手段落后��,難以適應工作需要��。計算機會計信息系統(tǒng)����、信貸管理系統(tǒng)的廣泛應用和發(fā)展���,大大增強了審計的及時性,事后審計�����;逐步被實時審計所代替�,這與針對經營全過程的風險基礎審計不謀而合���。在我國�,商業(yè)銀行審計人員大多數(shù)對計算機輔助審計不太熟悉��,許多還停留在傳統(tǒng)手工查賬的基礎上��,在新技術面前還有些無所適從.審計手段落后���,不但增加了審計難度���,而且效率低、準確差����,嚴重影響了審計作用的發(fā)揮���,無法滿足商業(yè)銀行風險基礎審計工作的需要
(四)協(xié)調配臺欠缺,降低了審計結果的運用日常審計中很少利用紀檢�、人事及其他部門掌握的信息,審計結束后����,除個別項目外一般也不與這些部門交換,致使審計成果在干部考核���、任用����、獎懲等方面沒有發(fā)揮應有的作用��,相應削弱了審計的威懾力���。
我國商業(yè)銀行發(fā)展和完善風險審計的對策
(一)正確認識風險基礎審計在銀行公司治理結構的重要作用�,為風險審計的發(fā)展刨造良好的環(huán)境商業(yè)銀行公司治理的核心問題是委托人(股東�����、投資者、管理者)如何激勵和約束人(經理層)��、積極有效地完成受托經營管理責任����,以確保股東或投資者財富最大化。顯然僅僅通過財務審計����,委托人難以全面了解人是否有效履行其受托責任,而風險基礎審計有利于減少信息不對稱性�,較為全面地提供委托人所需要的有關經營管理活動方面信息,大大遏制了“道德風險”的發(fā)生��,增強了經營管理的透明度�,從而達到控制和抑制“內部人控制”的目的�,同時,通過風險審計可以有效地判斷人的業(yè)績和能力���,評價人對受托人責任履行情況�����,促進人提高經營管理效率因此�,風險審計是商業(yè)銀行公司治理結構的重要組成部分,是完善公司治理結構的“四大基石”之一����。
(二)抓緊制定風瞼基蒯{計;�����,立則盡快完善評價標:停體系要吸收借鑒美國��、英國���、典等發(fā)達國家的先進經驗����,抓緊研究制定我國的風險基礎審計準則����,這是開展風險審計的當務之急。風險基礎審計準則的制定要遵循“銜接”���、“配套”����、“務實”的原則,注意解決好前瞻與現(xiàn)實的矛盾�,接軌與國情的矛盾。逐步探索和完善風險審計的評價標準體系�,量化評價指標,為不同項目之間的比較提供依據(jù)
