你好,欢迎访问云杂志! 关于我们 企业资质 权益保障 投稿策略
当前位置: 首页 精选范文 工程风险评估的核心问题

工程风险评估的核心问题范文

发布时间:2023-09-27 15:04:13

导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的13篇工程风险评估的核心问题范例,将为您的写作提供有力的支持和灵感!

工程风险评估的核心问题

篇1

玉山县气象局在其部门职能中就有明确的写出:管理本行政区域内人工影响天气工作,指导和组织人工影响天气作业;组织管理雷电灾害防御工作,会同有关部门指导对可能遭受袭击的建筑物、构筑物和其他设施安装的雷电灾害防护装置的检测工作。雷击风险评估是根据项目所在地雷电活动时空分布特征及其灾害特征,结合现场情况进行分析,对雷电可能导致的人员伤亡、财产损失程度与危害范围等方面的综合风险计算,从而为项目选址、功能分区布局、防雷类别(等级)与防雷措施确定、雷灾事故应急方案等提出建设性意见的一种评价方法。

1 雷击风险评估现状

1.1 依据法律法规开展雷击风险评估

《气象灾害防御条例》;(2)中国气象局第20号令《防雷减灾管理办法》;(3)中国气象局第21号令《 防雷装置设计审核和竣工验收规定》,以及地方的气象和物价部门的法律、法规。依法办事,有法可依,对开展雷击风险评估的发展起到一定的促进作用。但是各个省份差异较大,有的省份法规和文件还不完善,细则还不明确,收费模糊,这对评估有很大的影响。

1.2 雷电风险评估的工作形式以及项目内容

1.2.1 工作形式 根据气象管理部门的要求以及许可,指定雷电风险评估单位,通过国内外的一系列的标准进行评估。

1.2.2 雷电灾害风险评估分为项目的预评估、方案评估及现状评估 由于雷电风险评估,国内属于摸索前行阶段,因此现在主要做的评估是建设项目的方案评估工作。主要针对大型厂房、商场、高层建筑等等雷电危险系数大的建筑物,进行环境评估,雷电灾害分析,防雷设计的指导以及其他安全的建议。1.3 防雷评估的推广问题

1.3.1 宣传、认识不足 在宣传工作上,由于分管的内容不尽相同,因此在宣传上有很大的欠缺,很多人不懂得、不了解防雷评估的重大意义。

1.3.2 在建设施工方面 绝大多数存在到气象窗口报批施工图防雷设计审核前施工图已经出了,这时才补办雷击风险评估。评估的最终目标是为建筑防雷提供科学的依据,这样无法真正的落实雷电风险评估工作对其设计的指导作用。1.4 设备落后、人员缺乏

1.4.1 由于对雷击风险评估重视不足 导致设备缺乏或者是设备更新缓慢,各个地方闪电定位材料的缺乏,造成整体技术水平偏低,最终导致质量难以保证。

1.4.2 关于人员问题 由于开展雷击风险评估的时间较短,技术水平有限,实践经验缺乏,没有专业的技术人员,专业技术培训严重不足,外界不乏有质疑评估质量的问题。

2 对开展雷击风险评估的思考

核心问题出发,从根本上解决,只有先保证了雷击风险评估的技术质量和水平,才会有更多的人关注、相信雷击评估的重大意义。

2.1 关于仪器设备以及人员管理

2.1.1 关于仪器设备 政府加大扶植力度,关注雷击风险评估,加大资金投入,先进的设备是技术的前期保证。特别是基层设备的更新换代,基层是提供基础数据的重要来源,保证准确性、时效性必须有精良的设备。

2.1.2 关于人员 引进熟悉雷击风险评估的技术人人才,加强技术培训工作,国家制定统一的工作流程,提高工作效率,避免不同的评估报告,内容相似,结论相同的现象出现,提高工作人员的工作认真程度,办事效率,保证每个评估报告都有质量的完成。各地加强技术服务的交流,提高创新服务力度,深化评估质量,细化评估项目。树立技术服务带头兵,通过模范作用,提高整体人员素质。

2.1.3 完善制度 由于雷击风险评估发展时间并不长,制度并不完善,建立有效的准入制度,可以大大提高评估的质量和水平。保证每个从业人员必须经过准入的从业考试,并取得相应的从业资格。定期考核工作人员的业务水平,提高雷击风险评估的水平和服务质量。

2.2 关于制度的完善

2.2.1 雷击风险评估制度的完善 个别地方的法律法规不完善,收费制度不合理的现象出现,责任划分不清楚,工作范围不明确。政府部门要提高重视,对不合理的制度进行补充完善,细节制度清楚。进而促进雷击风险评估工作的顺利开展。并对雷击风险评估机构的准入资质,设立制度,并划定其业务范围。

2.2.2 雷击风险评估机构制度 机构内部制度的完善,工作流程制度、用人制度、考核制度的完善工作。

2.3 推广宣传工作 需要各个部门的协调配合,利用宣传材料、网络以及其他的媒介进行宣传工作,使更多的人了解、认识雷电的风险评估的重大意义。从而提高对评估的全面认识。全社会重视起来了,实施落实起来就相对容易多了。

2.4 雷电监测网的建立 处于初级阶段,监测网点少,而且设备落后,监测项目不足,数据误差大等问题。完善网点建设,建立好雷电监测预警平台。才能为评估提供科学准确的数据,使评估更为客观、科学。

3 结语

雷电风险评估在初级阶段,会出现各种各样的问题,从产业体系到制度规范上都需要进行完善,在业务开展中也存在诸多问题,需要我们一一解决,在解决问题的同时,一点点的进步。雷电风险评估需要较高的科技含量,要避免盲目性,保证数据的科学准确,评估报告具有权威性。

篇2

中图分类号:F284 文献标识码:A 文章编号:1006-8937(2016)33-0183-02

改革开放以来我国国民经济取得了长足的进步,各行各业都得到了快速的发展。在此背景下,电力企业的压力也越来越大。为了满足当前社会发展的需要,供电单位大量的建立供电网络和供电项目。但由于扩张的密度较大、频率较高,因此针对建设项目的安全管理问题,也引起了较多人群的关注。笔者针对此类现状进行简要的剖析,以盼能为我国电力企业的发展提供参考。

1 供电局

我国电力系统于2002年进行企业制改革,2002年之前由国家电力工业部直接管理的供电企业都称为供电局。其中省一级别的电力工业局具备行政职能,省一级别之下的电力企业不具备行政职能[1]。2002年我国针对电力系统进行企业制改革,电力工业部被撤销。之后国家电力公司被划分为五大发电集团和两大电网公司,之后供电局名称为更替为供电公司。

2 供电局建设项目

随着经济的发展,人们对于电力的需求逐渐增大。供电局为了满足经济发展的需求,通过不断扩建电网,进行电力的供应。当前供电局在发展的过程中,主要的建设项目为:发电厂建设、变电站建设、配电站建设、输电线路建设、配电线路建设,以及电网建立过程中的基建项目。

3 当前供电局电网建设项目的发展现状

随着当前经济的发展,电力作为经济发展的基础支持之一,其重要性越来越大。电力部门企业制改革之后,其发展较为迅猛。进入市场化的电力企业得到了二次的发展,企业盈利以及企业规模方面都得到了较大的改观。当前关于供电局电网建设项目,整体的发展现状较为良好,为我国当前经济的发展提供了较大的助力。

4 当前供电局电网建设项目发展中存在的安全问题

当前供电局电网建设项目,整体的发展状况较为良好。但在其细节方面还存在了一些问题,针对此类问题,笔者分析案例总结如下。例如:成本管理带来的安全问题、施工人员专业技能、现场管理及施工监理问题、设备质量问题、风险预估评测问题、其他因素。针对此类安全问题,笔者进行简要的分析研究。

4.1 成本管理带来的安全问题

任何工程在进行之前,都会进行工程的预算,其上一级别称为成本管理。成本管理在进行的过程中,针对人员薪资、工程物料、日常耗材等费用进行整体的预算管理。之后按照成本预算进行工程的成本管理,当前供电局电网建设项目发展中,存在的问题之一即为:成本管理带来的安全问题[2]。由于缺乏对整体工程的全面了解,成本管理预算较少,或者存在后期转包等问题。最终因成本问题导致工程在建设的过程中,出现了较多的安全隐患。

4.2 施工人员专业技能问题

当前在供电局电网建设项目发展的过程中,转包的现象较为严重。转包现象导致后期的工程进度无法进行预控,并且工程质量无法得到保障。其中主要的核心问题为:施工人员的专业技能问题。由于施工人员专业技能较低,针对部分专业工程的技术处理不达标,最终在后期验收或使用的过程中,出现了较为严重的电力事故。

4.3 现场管理及施工监理问题

供电局电网建设项目安全管理中,出现安全问题较多的项目为:现场管理及施工监理方面的问题。供电局电网建设项目现场管理,包括工地现场管理、施工进度管理、施工人员安全管理、施工事故处理等项目[3]。施工监理则是针对整体工程的全局监管,当前出现安全问题较多的为工地现场管理和施工进度管理,以及施工人员安全管理三项。此三项在当前工程推进的过程中,出现了较多的问题。其中施工监理落实不到位,管理制度不完善为引发问题的主要原因。

4.4 设备质量问题

供电局电网建设项目安全管理中,其重要的核心安全管理为:设备质量管理。其中在工程施工中,主要涉及的重要设备为:发电机组、变压器、继电器、各类开关设备、设备机箱、各类型号的输配电线路,以及工程施工中的施工机械。此类安全管理中,主要出现的问题为设备的质量问题。设备的质量问题,对整体工程的影响重大,主要的影响体现在工程竣工之后的验收期和试用期。

4.5 风险预估评测问题

风险评估为供电局电网建设项目安全管理中的重要过程之一,此类问题严重时甚至影响整体工程的推进。当前在供电局电网建设项目中,针对此类问题主要突显的现状为:风险评估缺失或风险处理资金未落实。此类现状导致在工程进行的过程中,一旦出现意外事件。由于风险评估的缺失或风险处理资金未落实,导致事故不能及时处理。最终造成严重的后果,影响整体工程的进度。

5 针对供电局电网建设项目中引起安全问题的改善 措施

当前供电局电网建设项目整体的发展较为良好,但细节方面还存在一些问题。针对此类问题,笔者分析案例提出了以下的改善措施。例如:进行成本预算审核制、提升施工人员专业技能、加强科学化管理,设立奖惩制度、采用质量合格的设备机械、设立风险基金、加强施工人员安全意识,落实施工监理职能。针对此类改善措施,笔者进行简要的分析介绍。

5.1 进行成本预算审核制

为了改善供电局电网建设项目安全管理现状,并有效促进整体工程的推进。施工之前供电局应成立成本预算小组,此小组的成员应由工程人员、财务人员、管理人员、领导层四类人员组成。以此全面的进行成本的预算,并针对预算结果上报领导层进行审批。之后在工程的实施过程中,针对施工项目逐次进行成本管理的推进。以此保证成本管理的有效和合理,并加强工程的安全管理。

5.2 提升施工人员专业技能

供电局电网建设项目安全管理的核心内容为工程进度管理,而推动工程进度的主要目标为全体施工人员[4]。因此为了有效的提高工程进度,并提升工程质量。供电局在进行电网建设项目的推进过程中,应加强施工人员专业技能的提升。必要情况下进行的转包项目,也应选择经验较为丰富,有较好工程经验的队伍。以此提升整体的工程质量,加强安全管理的发展。

5.3 加强科学化管理,设立奖惩制度

供电局电网建设项目安全管理中现场管理,为影响安全管理较为重要的一个因素。为了有效的改善现场管理现状,供电局在进行工程项目时。应针对整体的施工人员进行分组,并成立安全责任小组。以科学化的管理方式,推进工程的进度。针对施工项目以及施工人员,定时进行监管和巡查。并在施工检查的过程中,针对施工的现状进行相应的奖惩行为,以责任制推进整体施工工程的进行。

5.4 采用质量合格的设备机械

当前在供电局电网建设项目安全管理的过程中,设备机械问题为影响安全管理的重要因素,不合格机械设备成为施工过程中巨大的安全隐患。为了有效避免此类因素带来的影响,供电局在进行电网施工的过程中,必须注重机械设备的合格性。设备采购时也需参照设备商以往的供货经历,以此保证应用采购设备的合格性,并且提升整体工程的安全管理。

5.5 设立风险基金

供电局电网建设项目在推进的过程中,为了保证整体工程的安全性。针对工程施工中,有可能出现的故障问题。进行整体的风险预估评测,并形成报告性文件。文件中针对各类有可能出现的问题作出风险评估,并针对出现问题的赔偿或处理结果作出计划。为了有效的改善此类现状,供电局在施工初期应设立风险基金。以此保证在后续出现风险事故时,能够及时的进行事故的处理,降低事故带来的影响。

5.6 加强施工人员安全意识,落实施工监理职能

电网项目施工工程在进行的过程中,施工人员的安全问题为工程安全问题的核心问题。为了保证施工人员的人身安全,并提升施工人员的工作效率。施工方应加强对施工人员的安全意识培训,具体的操作方式为:严格要求施工人员按照安全操作标准,进行机械设备的操作和施工。并邀请专业人员进行各类机械设备的安全操作演示,以此提升工人的安全意识。并在施工的过程中,落实施工监理人员的是职责。针对施工工程按照施工监理标准,进行抽查和巡检。以此保证整体的工程质量,并针对施工中出现的问题及时的进行改善。

6 结 语

当前供电局电网建设项目安全管理,整体的发展现状较为良好。但细节方面还存在了一些问题,笔者分析案例将此类问题总结如下:成本管理带来的安全问题、施工人员专业技能、现场管理及施工监理问题、设备质量问题、风险预估评测问题、其他因素。

针对此类影响因素,笔者提出了以下的改善措施例如:行成本预算审核制、提升施工人员专业技能、加强科学化管理,设立奖惩制度、采用质量合格的设备机械、设立风险基金、加强施工人员安全意识,落实施工监理职能。以此提升整体工程的安全性,并推动了工程的安全管理发展。

参考文献:

[1] 李志远,于成涛,张同义等.浅析电力工程建设的质量与安全管理[J].商 品与质量,2015,(25):35-35.

[2] 黄艺鹏.电网建设项目土建工程安全措施工程化管理的探讨[J].城市 建设理论研究(电子版),2013,(2).

篇3

一、施工企业财务风险管理的内容及意义

施工企业财务风险管理包括财务风险的识别、测量与评估和风险的控制。识别主要是对企业可能遇到的风险进行系统分类,在分析的基础上准确判断各类风险引发的财务风险程度。测量与评估则是通过科学的方法将风险量化处理,对各财务风险因素数据准确分析与评估。风险控制是对施工企业生产、经营等各环节实施监督和控制,达到防范和化解财务风险的目的。加强财务风险管理,一是使企业密切关注可能引发财务风险的事项,提前做好防范措施,尽可能减少各种不利因素造成的财务风险。二是通过提前筹集快到期债务资金、有效利用分散的闲置资金等方式,使企业资金得到更合理的配置,为企业的可持续发展奠定基础。三是科学、有效的风险管理能够减少生产经营、投资过程中的财务风险,减少损失、增加收益,实现股东价值的不断提升。

二、施工企业财务风险的成因分析

(一)施工企业内部管理机制不健全

缺乏完善的内部管理机制是施工企业的一大弊病。一方面相关制度的制定不够科学,可操作性有待提高。内部管理制度的制定多流于形式,虽形成书面文件,但制度本身缺乏合理性,实际管理中未能有效执行。另一方面缺乏风险评估机制。施工企业生产经营特点决定了其具有较高的风险性,尤其是财务风险。实际工作中,对投标报价、项目分析、工程款结算以及资金配置等没有充分考虑,风险评估不到位,易引发财务风险。

(二)未能有效发挥财务的监督和服务职能

多数施工企业财务部门对经营业务的监督、控制仅体现在会计核算上,未能充分发挥财务管理应有职能,直接影响了财务风险管理效果。通常情况下,财务部门将监管重点放在企业的资产方面,对财务监督和服务职能的落实情况没有给予重视,尤其是财务风险管理工作。此外,施工企业管理层对财务监督与服务职能认识不够,使得财务风险得不到事前、事中的有效控制,面对风险只能事后处理,难以发挥财务在内控中的重要作用。

(三)行业恶性竞争引发财务风险

由于我国建筑业市场竞争激烈,加上国家宏观调控政策对房地产业的影响,使得施工企业在承揽项目工程时,不顾成本、竞相压价,严重扰乱了市场秩序。业主方招标时,在满足合同条款、工程质量要求等的基础上,一般选择报价最低的投标企业,而施工企业为了中标,不得不接受相对苛刻的条件,使得施工企业既要付出较高的施工成本,又要在可能亏损的情况下确保工程质量,给施工企业长期经营带来困难,存在巨大的财务风险。

(四)施工企业面临巨大的回款风险

施工企业在应收账款回收上存在巨大风险,究其原因主要有以下几点:一是施工企业因工程质量等因素不能按合同履约,导致施工项目竣工后不能及时办理竣工验收,造成施工项目资金结算滞后,无法及时收回款项。二是因业主方资金紧张等的影响,使得工程竣工验收后不能足额支付合同款项,易变为呆账、坏账。三是施工企业管理者对应收账款管理不重视,未配置专人进行账款催收,而企业仍需负担承重的财务费用,增大财务风险。

三、加强施工企业财务风险管理的对策

(一)建立健全内控管理机制,加强风险管理

首先要进行充分地调研与分析,把握以财务管理为核心的各流程环节的关键问题,在此基础上建立内控管理制度,包括预算管理机制、合同管理机制、财务风险预警与评估机制等。健全预算管理机制的核心问题是要确保预算的合理性及执行力;合同管理方面则要提高合同履约率,严格按合同条款施工,保证施工质量;在财务风险预警与评估上,设定财务风险的可接受范围,通过信息系统、财务指标等进行预警和防控,以减少财务风险。

(二)提高认识,增强财务的监督与服务职能

一是要提高管理层思想认识,增强财务人员风险管理意识,加强对财务人员专业技能等方面的培养;二是要将财务监督与服务重心前移,在开展各项业务之前做好事前分析工作,对可能存在的财务风险进行科学、合理的评估。财务人员应熟练掌握、运用财务风险测量工具,对业务进行跟踪监督,及时解决财务风险;三是要增强执行力,在财务监督与服务职能上要严格按照相关制度执行,做到有章可循,真正落实财务风险管理职能。

(三)规范行业竞争,从源头上控制财务风险

施工企业在承揽工程项目时,要对招标文件进行全面研究和分析,准确理解文件内容,核实招标单位相关许可证件是否齐全。有关部门应加强对建筑行业的监管,规范行业竞争,从源头上降低财务风险。监管部门可以介入招标环节,针对招标单位与竞标企业的报价,结合工程项目成本等因素予以综合评价,对于恶意压价或在亏损情况下承揽工程的施工企业要严厉惩处,对于选择中标价低于项目实际成本的招标单位也应给予相应的处罚。

(四)加强应收账款管理,降低财务风险

防范财务风险要做好事前控制,掌握招标单位的社会信誉情况、财务状况等,在合同中明确收款时间和方式,以及违约赔偿等问题。要将应收账款回收情况纳入相关责任人的考核中,合理利用激励机制,对一定期间内收回款项的予以奖励,否则予以处罚。此外,要规范应收账款日常管理工作,由专人负责建立应收账款台账,按拖欠时间和清收难度划分等级,并采取相应的清收策略,对恶意拖欠款项的要借助法律手段维护自身合法权益。

参考文献

篇4

Abstract: the construction unit is the main body of responsibility for the safety of tunnel construction, therefore it is necessary to strengthen the process of tunnel construction risk prevention and risk management, implement measures to prevent risks. This paper introduces the high iron tunnel construction is the necessity of the study on the risk, the risk in the construction, and puts forward the risk control measures.

Keywords: tunnel construction; Risk control

中图分类号:U455文献标识码:A 文章编号:2095-2104(2013)

一、隧道施工风险研究的必要性

隧道与其他工程项目相比,由于具有隐蔽性、复杂性和不确定性等突出的特点,风险大,无论是设计、施工、决策都会遇到很多困难和障碍。尤其是在城市繁华地段或周围环境复杂的地带,隧道与地下工程的施工和运营要涉及到过多的拆迁、对周围环境及管线的影响,如果决策考虑不周,在其规划、设汁施工和运营中均会对社会和国家造成不必要的重大的损失和不可估量的社会负面影响。

例如:2007年3月28号早晨,北京苏州街附近的地铁10号线工程发生塌方事故,6名施工者被埋身亡。2008年1月17号下午,广州地铁5号线在施工中突然涌水,发生塌方,导致珠江大桥引桥下的双桥路旁地面突然下陷,出现一个面积大约100平方米的大窟窿,深约5米,事故没有造成人员伤亡。2008年4月1号,深圳龙岗区的地铁3号线工地进行桥墩浇铸混凝土施工时,母板突然发生坍塌,混凝土倾泄而下,5人被埋,最终三死两伤。多发的隧道施工事故使施工风险已经成为亟待解决的核心问题。为解决这一问题,就必然要借助风险评估和决策理论。风险评估可以对这些不确定因素进行系统全面地分析,将不可预见的风险因素转化为定量的指标,并通过计算风险效益来选择风险控制措施,降低各种工程风险.以达到安全、经济、高效的建设目标风险。

风险评估研究的最终目的是为工程建设领导层的决策提供依据,从领导层的角度来说,其价值可以体现在领导层决策时信心的增强、对工程进展情况的掌控以及对资金流向的有效控制上。而工程风险研究的最高境界应该是实现“工程精算”,即所有的风险子项均可由费用损失来表示。因此,对领导层来说,风险评估能够把决策变得简单化、准确化以及专业化,进而对风险实行有效地化解、转移或规避。如何对工程风险进行控制,在尽可能安全的情况下获取最大的利益,这也需要对风险控制措施的风险效益进行评估。

二、风险管理

风险管理是指通过识别生产经营活动中存在的危险、有害因素,并运用定性或定量的统计分析方法确定其风险严重程度,进而确定风险控制的优先顺序和风险控制措施,以达到改善安全生产环境、减少和杜绝安全生产事故的目标。

风险管理基本程序包括风险识别、风险衡量、风险评价、选择风险管理技术、贯彻执行风险管理决策和风险管理效果评价六个阶段。同时,风险管理是一个循环管理的过程,根据风险管理效果重新回到风险识别,开始新的风险识别。

风险控制根据风险评价的结果及经营运行情况等,确定优先控制的顺序,采取措施消减风险,将风险控制在可以接受的程度,预防事故的发生。

三、高铁隧道施工中存在的安全风险

(一)塌方危险

隧道施工最常发生的事故是塌方,每次塌方,轻则造成财产缺失,重则导致数人甚至数十人死亡,并伴随巨大财产损失,尤其是复杂地质条件下的隧道施工,是隧道施工的重大危险源。

(二)涌水危险

隧道施工的另一大危险源是涌水,特别是水底隧道和岩溶隧道,事故可以造成较多人员伤亡和巨大财产缺失,有的还会对所在地区的生态造成破坏,属于重大危险源。

(三)爆破风险

多数隧道需要实施爆破作业,洞内施工场地狭小,作业面分散,人员、车辆多,极易发生爆破伤害事故,属于较大危险源。

(四)施工临时用电

高压供电进洞,隧道内作业面有水,电动机械、设备、机具多,容易发生触电和火灾伤害事故,属于较大危险源。

(五)属地自然灾害

有的隧道所在地区有泥石流,有的有山体滑坡,有的地区有台风,如果防范不力,这些自然灾害也会给隧道施工造成较大缺失,属于较大危险源。

四、施工中安全风险控制措施

(一)组建风险管理制度,做好风险防范准备。

为了确保铁路隧道施工的安全,铁路建设部门要加强风险管理意识,确立风险管理目标,以“安全施工”为根本出发点,切实做好铁路隧道安全风险管理工作。首先要具体落实工程管理部门安全管理的主体职责,实行具体有效的实施方案。如,施工部门可以以条文的形式列出风险防范的多种办法,并定期检查执行状况,确保风险管理工作的正常运行。施工部门是隧道施工安全的主要承担者,关注隧道施工过程的风险防范和风险管理,实施各种风险防范方案,是施工部门义不容辞的责任。施工部门要加强对险风险源头的控制,注重隐性调查,加大隐患处理力度,同时对呈现出来的安全隐患要立刻组织整改,有效防范、防止施工安全事故的发生。对于较难施工的地质、岩土等隧道施工中可能出现的难题,必须开展专项风险评估计划,选择科学有效的施工技术,组建风险防范及突发安全事故应对措施,并督促实施。

加大安全投入。

加大安全生产投入,夯实安全生产工作的基础,是安全生产的重要保障。通过加大安全投入,淘汰危及安全的设施设备,抓好隐患整治,逐步完善安全生产设施,从源头上杜绝隐患的产生。认真落实安全生产经济政策,有关部门要全面落实安全费用提取和风险抵押金政策,做到应提尽提、应缴尽缴、专款专用。对不按规定提取使用安全费用的,要依法予以严肃查处。

危险源的辨识。

建筑工程中的危险源是导致安全事故的根本原因。危险源的辨识是安全风险管理的基础性工作,重大安全事故防范的首要任务即是危险源的辨认。按照我国《建筑工程安全生产管理条例》以及《重大危险源辨识》的相关规定,对建筑工程项目中的危险源进行辨识。结合施工项目的实际情况,从施工过程中诸如施工工艺、工序、材料以及机械设备等相互关联的因素入手,逐项观察、分析并研究施工过程中的潜在安全隐患,并适时掌握不同隐患导致危险事故的可能性。对施工过程中的危险性因素进行系统性分析最终得到施工现场安全等级及危害程度识别重大危险源。

施工现场的危险源事故风险评估。

在对建筑施工项目的危险源进行识别并确认之后,需要对各危险源可能招致的事故进行风险评估,并系统性的收集相关资料及信息。一般来讲对建筑工程施工项目的风险评价包括以下几个方面的内容:风险因素及其存在原因分析、风险因素导致的危险事故概率分析、安全事故的影响范围分析、事故风险的综合评价分析。在这一阶段需要对事故风险评价的结果及安全目标进行比较、分析并判断当前危险源的风险值是否在可接受的风险水平之内,在此基础上决定是否采取进一步措施控制风险水平。

危险源的安全管理控制。

危险源的安全管理是在对其进行辨识和评价基础上进行的。按照工程施工安全管理规范的基本内容,结合工程的实际,制定现场施工安全的危险源管理标准,并构筑现场施工危险源管理制度及应急反应制度。针对不同危险源制定相应的安全控制措施。针对不同项目所涉及的地域、施工条件的差别,施工单位应该首先确定施工过程的重大危险源及事故安全隐患,并对施工安全隐患的性质、关联性、后果等进行系统性的分析,最终提出切实有效地安全风险的预防与控制措施。

结束语

为保证隧道施工安全,施工企业应树立风险管理理念,组建风险管理制度,做好风险防范准备,加大安全生产投入。要加强对危险源的监控,加强隐患的排查,特别要加大隐患排查治理力度。加强施工现场的危险源事故风险评估,对查出的安全隐患必须立即组织整改,有效防范、遏制施工安全事故的发生。

参考文献

[1] 王家远、刘春乐.建设项目风险管理[M].北京:中国水利水电出版社,2004.(08).

[2] 俞富桥.工程风险及应对策略的探讨[J].工程造价管理,2005(01).

[3] 刘登新,张先员.浅谈建筑工程安全生产监理工作[J].山西建筑,2008(33).

[4] 陈言来.浅谈安全生产管理[J].山西建筑,2007,33(25).

篇5

中图分类号:TP393.08

信息是现代社会中不可缺少的一项重要元素,尤其是在商业活动中,信息已经成为市场竞争的重要手段,因此对信息安全的管理在商业活动中显得尤为重要。信息安全管理体系(Information Security Management System,简称为ISMS),是建立和维持信息安全管理体系的标准,标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系;体系一旦建立组织应按体系规定的要求进行运作,保持体系运作的有效性;信息安全管理体系应形成一定的文件,即组织应建立并保持一个文件化的信息安全管理体系,其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。

1 信息安全的风险评估与策略

1.1 信息安全的风险评估

信息安全管理属于风险管理,即如何在一个确定有风险的环境里把风险减至最低的管理过程。因此,管理的核心要素就是对风险进行准确识别和有效的评估,通过对信息安全进行风险评估可以获得安全管理的需求,帮助组织制定出最佳的信息安全管理策略,并且将风险控制在可承受的范围之内。一个科学、合理的信息安全风险评估策略应该具有形影的标准体系、技术措施、组织框架以及法律法规。

1.2 信息安全策略

信息安全策略(Information Security Policy)是一个组织机构中解决信息安全问题的重要组成部分。在一个组织内部,通常是由技术管理者指定信息安全策略,如果是一个较为庞大的组织,制定信息安全策略的则可能是一个技术团队。信息安全策略是基于风险评估结果以保护组织的信息资产。信息安全策略对访问组织的不同资产进行权限设定,它是组织管理人员在建立、使用和审计信息系统时的信息来源。

信息安全策略具有非常广泛的应用范围,在其基础上做出的安全决定需要提供一个较高层次的原则性观点。一个组织的信息安全策略能够反映出一个组织对现实和未来安全风险的认识水平,对于组织内部业务人员和技术人员安全风险的处理。信息俺去那策略的制定同时还需要参考相关标准文本和安全管理的经验。

1.3 信息安全管理措施

信息加密技术是网络安全管理的核心问题,通过对网络传输的信息资源进行加密,以确保传递过程中的安全性和可靠性。用户通过互联网进行网络访问时,应该能够控制访问属于自己的数据的访问者身份,并且可以对访问者的访问情况进行审核。这种访问权限的控制,需要开发相应的权限控制程度,以作为安全防范措施使用。

用户在对云计算网络的数据进行存储时,其他用户及云服务提供商在未被所有者允许的情况下不得对数据进行查看及更改。这需要将数据在网络存储时,对其他用户实行存储隔离措施,同时对服务提供商实行存储加密和文件系统的加密措施。鉴于云平台的搭建多数基于商业方面,因此用户的数据在基于云计算的网络上进行传输时要具有极高的保密性,包括在计算中心的内部网络和开放互联网络上。所以,应该对所传输的数据信息在传输层进行加密(HTTPS、VPN和SSL等),对服务提供商进行网络加密。由于基于云计算的网络的数据重要性,为了防止各种数据毁灭性灾难和突发性事件,进行按期定时的数据备份,使用数据库镜像策略和分布式存储策略等,是确保网络信息安全的一系列防范措施。

病毒对互联网的安全威胁最为严重,主要可以通过病毒防御技术提升信息管理安全性。病毒是利用计算机软硬件系统的缺陷,在原本正常运行的程序中插入的一段能够破坏计算机或数据的指令或代码段,从而在执行时影响计算机系统的正常运作而不易被人察觉,对计算机及信息安全的威胁最大。针对日益猖獗的计算机病毒,选择一款适合系统使用环境的反病毒软件显得尤为重要,发现病毒侵入应该及时查杀,同时要注意按时地更新病毒库,并升级反病毒软件版本。在杀毒的同时做好预防工作是最为行之有效的措施。防火墙是设置在不同类型网络间的一系列硬件和软件的集合,旨在控制不同网络间的访问、拒绝外部网络对内部网络或网络资源的非法访问,保证通过防火墙的数据包符合预设的安全策略,从而确保了网络信息的服务安全。

入侵检测作为防火墙技术的补充手段,是对成功绕过防火墙限制而入侵内部网络系统的行为进行技术攻防的策略。其实质是在不损耗网络性能的前提下进行监听分析用户系统活动和违反安全策略的行为,对已威胁网络安全的入侵行为识别并发出警报,同时生成异常行为分析,评估入侵行为带来的损害程度。

目前,利用防火墙和入侵检测相结合的方式,是防护网络、拒绝外部网络攻击的最有效手段之一。任何一个系统都会存在安全漏洞,这包含已知的和未知的在应用软件和操作系统两方面上的安全漏洞。在进行漏洞扫描时,可以及时系统和网络存在的安全漏洞,并打上漏洞补丁,进行主动防御。在使用时可以将漏洞扫描与防火墙技术、入侵检测技术三者相结合,形成网络安全防范和防御的“黄金三角”。数据加密分为对称性和非对称性加密两种,是在发送端以某种算法将数据明文转换成密文,在接收端以密钥进行解密,从而保证信息在网络存储和传输的过程中都是保密的,并且对网络环境没有任何特别的要求和限制。数据加密技术与防火墙技术相比较,对于信息安全的防护作用是全局性的,也是最后一道防线。

系统备份和数据恢复,是指对系统的重要核心数据和资料进行备份,当切防范和防御技术都失效并且计算机网络遭到黑客攻击时,能够对系统实施立即恢复的手段,这也是保证信息安全的挽救措施。除了以上所提及的技术性手段之外,大力开展信息安全教育和完善相关法律法规作为人为防范措施也不容被忽视。近年来,信息安全威胁之一的网络欺骗就是因为当事人的信息安全意识淡薄和相关的调查取证困难造成的。因此,有必要做出改善措施,与技术手段相结合对信息安全发挥行之有效的影响。

2 结束语

综上所述,随着计算机技术、网络通信技术和高密度存储技术的发展,电子信息化进程在各个领域中得到了广泛推广和不断深入研究。结合当今社会的信息量爆炸式的增长情况,以及现阶段的研究成果得出结论,当今电子信息工程的安全问题和信息的有效利用问题仍将为研究的重点。本文重点研究了信息安全管理体系,根据信息安全管理的标准以及信息安全风险的特征,提出了一些具有针对性的信息安全管理措施,以实现对信息安全风险的有效评估和准确预测,危险性安全管理体系的实施提供重要保证。

参考文献:

[1]张健.电子文件信息安全管理评估体系研究[J].档案学通讯,2011,4.

[2]马晓珺,赵哲.电子商务信息安全管理体系研究[J].安阳市师范学院学报,2008,2.

[3]刘晓红.信息安全管理体系认证及认可[J].认证技术,2011,5.

[4]乔甜.基于全员参与的信息安全管理体系研究[J].科技致富向导,2013,6.

篇6

1.1研究区概况

太湖流域上游区域包括无锡、常州、湖州三市,水系包括洮滆水系、苕溪水系、南河水系、沿江水系,面积14820km2.该区域属亚热带季风气候,四季分明,雨水丰沛.区域内工农业发达,产业密集,城镇化程度高,人口密集.随着经济的快速发展,生态环境逐渐恶化,水体污染较为严重,22条入湖河流中水质劣于GB3838—2002《地表水环境质量标准》Ⅴ类的河流有7条,水质为Ⅱ~Ⅲ类的河流只占15%,尤其以北部、西北部地区河流污染较为严重.结合河流水系、行政区划将研究区分为5个区域(见图1).

1.2模型构建

基于生态系统层面的湖泊流域生态风险评估模型如图2所示,主要包括压力源分析、生态系统刻画、评估终点选择及其关联分析.压力源直接作用于生态系统,并通过生态系统状态指标间的相互作用,对生态系统各指标产生间接影响,最终影响生态系统服务产出.模型构建主要包括评估终点、压力源及生态系统等风险组分指标体系的构建,风险组分量化,风险组分间关系的量化及风险表征三部分内容.1.2.1生态风险评估指标体系的构建生态风险评估指标体系包括压力源指标、风险受体和评估终点三部分.系统压力源包括风险源和胁迫因子,结合相关研究和流域特征[21-23],共选取自然源和社会源指标共计11项,污染物类和生境改变类胁迫因子10项,具体如表1所示.将整个生态系统作为风险受体,从生态学理论出发可从结构、过程、功能和服务四方面描述生态系统的本质属性,生态系统状态从结构和过程两方面进行刻画[24],其中,结构指生物组分、生境组成要素及其间相互作用方式,过程即以生态结构为基础的物质和能量迁移转化的现象,共选取20项指标(见表1);以生态系统服务作为评估终点[25],针对湖泊流域生态系统特征,结合Costanza等[26]以及联合国千年生态系统评估(millenniumecosystemassessment,MEA)的分类标准,选取供给服务、文化服务、调节服务和支持服务这4类9项指标表征生态系统评估终点,具体如表1所示.生态系统与生态系统服务之间以生态系统功能作为桥梁进行关联[27],生态系统功能即生态系统为人类直接或间接提供服务的能力,生态系统通过其不断输出生态系统服务.根据Groot等[28]的研究,流域生态系统功能可分为调节功能、生产功能、生境功能和信息功能,具体包括流量调节、水储存、污染物降解、水灾调节、种群调节、营养元素储存和循环、初级原料生产、生物资源生产、生境调节和娱乐美学等.1.2.2矩阵的构建及量化依据生态风险评估模型(见图2)和表2所示指标体系,建立风险组分矩阵及传递关系矩阵,将不同风险评估子流域内的风险源进行等级排序,对风险源强度和生态系统状态进行量化处理,进而构建风险源强度矩阵(A)和生态系统状态矩阵(B)〔见式(1)(2)〕.依据生态系统弹性与其状态的关系,构建生态系统弹性矩阵(C)和中间矩阵(M)(与生态系统状态矩阵同行同列)〔见式(3)〕,系统状态越好,弹性就越强,抗干扰能力也就越强.风险强度分为强、中、弱3个状态,按照相对风险模型赋值方法[7]分别赋值为6、4、2;生态系统状态分为好、中、差3个状态,分别赋值6、4、2;A和B分别根据各风险源实际统计数据和生态系统状态监测数据进行赋值,其中风险源统计数据通过min-max标准化进行处理,生态系统监测数据结合GB3838—2002进行判断,同理,构建风险源与胁迫因子之间的关联矩阵(S)、胁迫因子与生态系统状态指标的关联矩阵(E)、生态系统状态指标之间的关联矩阵(I)以及生态系统状态指标与生态系统服务之间的关联矩阵(D),D通过生态系统状态指标-生态系统功能关联矩阵(F)和生态系统功能-生态系统服务关联矩阵(H)计算得出〔见式(4)〕.传递关系矩阵的量化过程采用层次分析法,赋值方法如图3所示,分析所得数值(0、1、2、3)即为相应矩阵元素值.1.2.3风险表征在对风险组分及其相互关系进行量化后,风险源对子流域i内生态服务的影响可用相对应矩阵运算得到.子流域i内所有压力源对生态服务的影响计算过程如式(5)~(7)所示.1.3数据来源以太湖流域上游区域为例,2012年为基准年,收集所需数据(见图2).风险源数据主要来自2012年江苏省、浙江省统计年鉴,无锡市、常州市、湖州市统计年鉴及水利普查公报;生态系统状态数据主要来自《2012年太湖健康状况报告》《太湖流域概况》《中国水资源公报2012》等,风险组分间关系分析数据主要来自文献[29-32].太湖流域上游各区域风险源统计数据和生态系统状态数据如表2、3所示.

2结果与讨论

2.1区域风险分析

根据流域水生态风险评估模型,太湖流域上游各区域内风险源带来的总体生态影响如图4所示.由图4可见,无锡-江阴区域相对风险值最高,长兴-安吉区域最低,常州-金坛、湖州-德清、溧阳-宜兴和长兴-安吉区域相对风险值分别占无锡-江阴区域的73.2%、78.8%、74.4%和59.9%.工业、种植业、水产养殖、生活和水利设施等风险源对生态系统造成的影响较严重,由图5可见,不同区域内主要风险来源差异较大,其中,无锡-江阴区域内各生态系统服务主要受到工业、种植业、水产养殖、生活和畜禽养殖的综合影响,其风险贡献率分别为18%~19%、16%~20%、14%~15%、12%~13%和9%~11%;湖州-德清区域主要受到水利设施和工业的影响,其风险贡献率分别为16%~21%和13%~15%;长兴-安吉区域则各风险源贡献率较为均衡,除畜禽养殖和旅游影响较低外,其他风险源贡献率均为7%~12%.从另一角度分析,洪涝、干旱、水土流失、旅游和航运在整个区域内形成的风险均较低,而工业、种植业、水产养殖和生活产生的风险普遍较高,可见,人类活动引起的社会源是区域生态系统的主要风险源,而自然源影响不大.

2.2生态系统服务风险分析

各区域内各项生态系统服务相对风险值如图6所示.由图6可见,水产品、水调节、水质净化和生物多样性维持等生态系统服务面临的风险较大,所受风险分别占该区域总风险的17.63%、20.04%、22.88%和24.21%,水供给、航运、气候调节服务面临的风险均处于较低水平.由图7可见,同一区域内各生态系统服务所受影响大体相同,但又各有差别,其中,航运和水供给服务主要受到水利设施的影响,水质净化和水产品服务主要受到工农业及生活源的影响,各风险源对生物多样性维持的影响都相对较大,工业、种植业的影响尤为显著.评估结果表明,太湖流域上游北部—西北部—西部—西南部的生态风险水平逐次降低,南部略高于西南部.在太湖流域北部—西北部,应注意工业发展及生活污水排放对流域生态所带来的影响,进行合理减排、循环利用以控制污水排放的量和质;太湖流域西部主要受农业发展的影响,围湖养殖、种植业化肥农药的流失等是引起生态风险的主要原因,应在种植及养殖方式、施肥方式方面进行改进,提高利用效率,减少流失;太湖流域南部面临的风险则主要由水利设施的建设及生活源引起,应注重生态的补偿和修复.与其他生态风险评估研究相较,基于系统水平的生态风险评估模型更适用于大范围的湖泊流域,究其原因:①它综合分析了多种风险源与生态系统的复杂作用关系,而并非单一风险源或单一受体的风险水平[8,33],能够反映流域内多风险源综合作用下的整体风险水平[12-13,34];②该模型将经济-社会系统与生态系统进行了有机结合,能够识别出区域内生态风险的核心问题,进而找到对应的解决方案,为流域管理决策的制订提供支持.

篇7

一、引言

1.1BOT的概念

BOT是英文Build-Operate-Transfer的缩写,翻译为“建设-运营-转让”。BOT实质上基础设施投资、建设和经营的一种方式,以政府和私人机构之间达成协议为前提,由政府向私人机构颁布特许,允许其在一定时期内筹集资金建设某一基础设施并管理和经营该设施及其相应的产品与服务。政府对该机构提供的公共产品或服务的数量和价格可以有所限制,但保证私人资本具有获取利润的机会。整个过程中的风险由政府和私人机构分担。当特许期限结束时,私人机构按约定将该设施移交给政府部门,转由政府指定部门经营和管理。

1.2BOT的特点

从BOT的概念中我们可以看出,BOT具有市场机制和政府干预相结合的特色,这表现在以下两个方面:。

一方面,BOT能够保持市场机制发挥作用。BOT项目的大部分经济行为都在市场上进行,政府以招标方式确定项目公司的做法本身也包含了竞争机制。作为可靠的市场主体的私人机构是BOT模式的行为主体,在特许期内对所建工程项目具有完备的产权。这样,承担BOT项目的私人机构在BOT项目的实施过程中的行为完全符合“经济人”假设。

另一方面,BOT为政府干预提供了有效的途径,这就是和私人机构达成的有关BOT的协议。尽管BOT协议的执行全部由项目公司负责,但政府自始至终都拥有对该项目的控制权。在立项、招标、谈判三个阶段,政府的意愿起着决定性的作用。在履约阶段,政府又具有监督检查的权力,项目经营中价格的制订也受到政府的约束,政府还可以通过通用的BOT法来约束BOT项目公司的行为。

1.3实施BOT的步骤

1.项目发起方成立项目专设公司(项目公司),专设公司同东道国政府或有关政府部门达成项目特许协议。

2.项目公司与建设承包商签署建设合同,并得到建筑商和设备供应商的保险公司的担保。专设公司与项目运营承包商签署项目经营协议。

3.项目公司与商业银行签订贷款协议或与出口信贷银行签订买方信贷协议。

4.进入经营阶段后,项目公司把项目收入转移给一个担保信托。担保信托再把这部分收入用于偿还银行贷款。

二、BOT风险

BOT项目中的风险是指在BOT项目中的特许、建设、运营、移交四个阶段里损失发生的不确定性,是一种潜在的危险因素;风险识别是指对在BOT项目融资中尚未发生的、潜在的各种风险进行系统地、连续地认识和归类,并分析产生风险事件的原因;风险管理是指BOT项目融资中的参与各方对风险进行识别、分析并在此基础上有效地处置风险,以最低成本实现最大安全保障的科学管理方法。

以项目发起人和项目公司对风险能否控制为标准,可将风险划分为系统外风险和系统风险,我们通过树型结构图可以看出项目所面对的风险是相当复杂的,见图1:

图1风险划分

从图1可以清晰地看出,一个企业在实施项目时所面对的风险之多,由此有必要建立一种全新的系统来对风险进行管理。

三、BOT风险管理

风险管理包括风险识别、风险分析、风险评估和风险控制等内容,任何BOT项目,万无一失的情况是不存在的,事实情况是风险无处不在、无时不有。对风险加以识别的目的,在于在风险识别的基础上,按一般的风险分担原则确定风险由最有能力承担的一方承担,并通过对此风险的管理,达到控制、预防风险的目标,从而使BOT项目顺利实施。可见,风险识别是前提,风险评估是重点,风险控制是目的和归宿,而风险管理是基础,贯穿于整个过程。它们之间的关系可以用图2进行说明。

图2关系图

四、风险系统的整体结构设计

现在我们从一个企业的角度出发,来搭建企业的BOT风险管理系统,首先就是要做系统的整体结构设计。风险系统的整体结构设计是由数据库模块、风险的识别与评价模块及风险控制模块三部分组成的,它们之间的结构关系可以用下图说明,见图3:

图3风险系统

4.1数据库模块

数据库模块由两部分组成:专家系统库和风险控制库。

4.1.1专家系统库

1.概念:专家系统是一个具有智能特点的计算机程序,它的智能化主要表现为能够在特定的领域内模仿人类专家思维来求解复杂问题。因此,专家系统必须包含领域专家的大量知识,拥有类似人类专家思维的推理能力,并能用这些知识来解决实际问题。专家系统的基本结构如图4所示,其中箭头方向为数据流动的方向。专家系统通常由人机交互界面、知识库、推理机、解释器、综合数据库、知识获取等6个部分构成。

图4专家系统结构图

知识库用来存放专家提供的知识。专家系统的问题求解过程是通过知识库中的知识来模拟专家的思维方式的,因此,知识库是专家系统质量是否优越的关键所在,即知识库中知识的质量和数量决定着专家系统的质量水平。一般来说,专家系统中的知识库与专家系统程序是相互独立的,用户可以通过改变、完善知识库中的知识内容来提高专家系统的性能。

推理机针对当前问题的条件或已知信息,反复匹配知识库中的规则,获得新的结论,以得到问题求解结果。

在这里,推理方式可以有正向和反向推理两种。正向推理是从前提条件匹配到结论,反向推理则先假设一个结论成立,看它的条件有没有得到满足。由此可见,推理机就如同专家解决问题的思维方式,知识库就是通过推理机来实现其价值的。

人机界面是系统与用户进行交流时的界面。通过该界面,用户输入基本信息、回答系统提出的相关问题,并输出推理结果及相关的解释等。

综合数据库专门用于存储推理过程中所需的原始数据、中间结果和最终结论,往往是作为暂时的存储区。

解释器能够根据用户的提问,对结论、求解过程做出说明,因而使专家系统更具有人情味。

知识获取是专家系统知识库是否优越的关键,也是专家系统设计的“瓶颈”问题,通过知识获取,可以扩充和修改知识库中的内容,也可以实现自动学习功能。

2.工作流程:用户通过人机界面回答系统的提问,推理机将用户输入的信息与知识库中各个规则的条件进行匹配,并把被匹配规则的结论存放到综合数据库中。最后,专家系统将得出最终结论呈现给用户。

4.1.2风险控制库

风险控制库包含两个子库:风险控制过程子库和风险控制结果子库,它们的结构如图5所示:

图5风险消减数据库结构

有效性与可行性分析表:分析控制措施的可行性与有效性。

成本分析表:对控制措施进行成本与收益分析。

人员责任分配表:安排适当的人员进行措施的落实。

维护需求表:监督措施的顺利实施。

控制措施评价表:对控制措施的结果进行评价。

控制结果表:描述采取控制措施以后的对企业造成的结果进行分析。

4.2风险的识别与评估模块

4.2.1风险的识别

风险识别是指对企业所面临的、以及潜在的风险加以判断、归类和鉴定风险性质的过程,换言之,就是要确定企业正在或将要面临哪些风险。

4.2.2风险评估

在风险评估之前,必须准确定义风险的主要元素及其相互关系。

资产:对组织有价值的任何东西。

威胁:对组织或系统产生危害的有害事件的潜在原因。

薄弱点:是一个资产或资产组能够被威胁利用的弱点。

风险评估:识别信息安全风险并确认其大小的过程。

风险评估的流程图如图6所示,

图6风险评估的流程图

图6中,风险的计算是按以下公式计算的,风险(R)是以资产(A)、威胁(T)、薄弱点(V)、和已有安全措施(C)为自变量的一个函数。即:

R=F(A,T,V,C).........................................................................................公式1

在实践过程中,一般通过

R=F(P,I)............................................................................................................公式2

来测量风险,其中P为威胁利用薄弱点对资产或资产组产生影响的潜在可能性,I为威胁利用薄弱点对资产或资产组可能造成的影响。公式中的P或I的值相对便于评估,而且在P和I的评估过程中都必须考虑资产、威胁、薄弱点和已有控制这四个因素,所以说公式2以便于测量的方式最大限度地体现了公式1的函数关系。

4.3风险的控制模块

风险控制涉及到确定风险控制策略、风险和安全控制措施的优先级选定、制定安全计划并实施控制措施等活动。要控制风险,就必须实施合理措施,忽略或容忍风险显然是不可接受的。在组织选择并实施风险评估结果中推荐的措施之前,首先要明确自己的风险控制策

略。

就应对风险的途径来说,有以下几种选择:

1)降低风险—实施有效控制,将风险降低到可接受的程度,实际上就是力图减小威胁发生的可能性和带来的影响。

2)规避风险—有时候,组织可以选择放弃某些可能引来风险的业务或资产,以此规避风险。

3)转嫁风险—将风险全部或者部分地转移到其他责任方。

4)接受风险—在实施了其他风险应对措施之后,对于残留的风险,组织可以选择接受。

所以,企业在面对风险时,可以选择以上措施来应对,但有一点需要明确,面对许多已识别的风险,组织很难对所有的风险一视同仁。风险大小、严重程度、紧迫性、所需资源总是有所区别的,故企业应该对所有风险设置优先级,如果是严重影响了企业生存的,应该放到最前面,同时,在资源提供和相关支持上也要优先给予。当然,因为各个企业的环境和现实状况不同,这就决定了在选择风险控制策略上的多样性。应对风险,最好的方法就是将合适的技术、恰当的风险控制策略,以及非技术性措施有机结合起来,这样才能达到较好的效果。风险控制的流程图如图7所示,

图7风险控制的流程图

七、总结

本文站在一个企业的角度来建立应对BOT风险的管理系统,从系统的整体结构设计到具体的功能实现,具有一定的现实意义,当然了,本文只是提供一个理论的框架,具体到一些功能算法的实现,比如数据库的逻辑设计及物理设计,以及运用算法(比如C或C++程序设计)来实现风险的评估,即优先级的确认等,没有给出相应的结构图和编程算法,但是本文却给出了这么一种整体的框架结构图,在当今BOT日益被广泛运用,却失败案例比比皆是的时代,无疑给带来一缕清新的阳光,应该说是对企业,特别是这些已建立信息系统平台的企业或是那些打算搭建自己的信息系统平台的企业无疑具有一定的指导意义。

当然了,因为BOT项目的实施设计到很多的利益相关方,还可以从政府的角度来考虑搭建适合政府部门的风险管理系统,抑或是适合其他相关方的风险管理系统,本文都具有一定的借鉴作用。回顾本文,依此类推,可能所有的风险管理系统基本流程都是一样的,如图8所示,但涉及到具体的细节可能不一样,总是因具体情况而异的。

图8风险管理流程

参考文献

1 沈建明.项目风险管理[M],北京:机械工业出版社,2003:71,80

2 马兰.基于BOT融资模式的工程项目风险管理研究[D],2005:10

3 李红亮.BOT项目融资的风险管理研究[D],长沙:湖南大学,2005:13

4 沈健明. 项目风险管理[M].北京:机械工业出版社,2004:11-15

5 璐顾. 项目融资风险管理研究[D].武汉:武汉大学,2005

6 郭捷.工程项目风险分析与BT模式风险管理实证研究[D].天津:天津大学,2004:54

7 张鹏.项目融资风险管理[D].武汉:武汉大学,2005:29

8 陶履彬,李永盛,冯紫良等.工程风险分析理论与实践[M].上海:同济大学出版社.2006:18

9 杨亚岐.BOT项目融资的风险管理研究[D].秦皇岛;燕山大学,2005:24

10 姚亮,周晶.BOT项目风险及来源分析[J].东南大学学报.2002(t0)

11 武涛.高速公路BOT项目投资风险研究[J].交通企业管理.2007(7)

12 郑永生,赵吉柱.公路BOT项目融资模式的风险分析及防范[J].集团经济研究.2007,(230):179.180

篇8

中图分类号:TV文献标识码: A

引言

随着社会经济的不断发展,企业与企业之间的竞争越来越激烈,如何在激烈的竞争中求得生存并长远发展,是每一个企业都关心的话题。水利水电工程行业是我国承担风险较大的行业之一,对于水利水电施工企业的风险,只有对企业实施有效地风险管理,对企业可能存在的风险进行控制盒防范,才能促进工程的顺利进行,并实现巨大的经济效益。

一、水利水电工程风险特点分析

水利水电工程风险特点主要是有水利水电工程其特有的特点决定的,导致水利水电工程风险具有明显的不确定想和随机性。一般来说,水利水电工程风险存在于水利水电工程的各个环节,而且风险问题存在与整个工程建设施工的全过程,甚至会对水利水电工程的后续事宜产生一定的影响。水利水电工程的就爱难舍规模相对较大,建设周期较长,需要的施工建设工艺复杂多变,而且建设施工环境更具复杂性,这些水利水电工程特有的施工环境导致水利水电工程风险更加难以预防和控制。水利水电工程的风险性质和数量,在很大程度上会随着工程的发展而不断变化,也就是说新的风险在工程施工的新阶段会随着出现,导致水利水电风险的多样性和复杂性。

二、加强水利水电工程风险控制与管理的现实重要性

水利事业作为一个国家社会经济发展的基础性事业,对于人们的生产生活都有着重要的影响,也是一直以来国家政府关注的核心问题之一。在社会经济迅速发展的当今时代,水利事业的发展明显滞后于经济发展速度,因此我国政府加大了对水利水电工程的投资力度,我国的水利事业迎来了高速发展时期。水利水电建设项目自身具有的复杂性,决定了水利水电风险控制工作具有较大的难度,因此必须要加强对水利水电工程的风险管理,不断改进风险管理模式和管理方法,最大限度的减少因风险而造成的水利水电工程项目的损失。总体来说,加强水利水电工程的风险管理与风险控制是保障水利水电工程得以顺利实现的基础和前提。

三、水利水电施工企业风险的种类

1、合同风险

水利水电建筑市场存在着的一些问题,如工程质量、工程款拖欠、原材料价格上涨、工期拖延等问题,都与合同履行不良有密切关系。建设合同的重要原则之一就是平等性,但是鉴于当前国内工程承包多呈现出买方市场的特点,建设单位常常居于对已有利的优势,对承包商在签订合同时常常强加种种不平等条款,例如合同中只有处罚条款没有奖励条款,对承包商只强调义务,而不提其应有的权利,对于工期延误罚款的条款,在合同中都有详细的规定,而且罚则极严,而对业主因设计图纸延误、因拆迁延误等条款都一带而过。合同是施工企业一切风险的源头,承包商如果在拟订合同条款时不坚持合理要求,则势必给企业埋下风险隐患。

2、自然风险

工程项目所在地区客观存在的恶劣自然条件,如严寒地区冬季无法施工,水利工程因洪水冲毁以及地震多发带、海啸、泥石流多发区都潜伏着威胁工程的严重自然灾害。另外,恶劣的气候或环境也会导致施工企业的利益受损,水利工程因长时间的暴雨、台风、酷暑等都给工程实施带来不便,从而增加工程成本。再次,恶劣的现场条件如地质条件差等原因同样会给施工企业带来重大损失。

3、材料价格风险

正常情况下,材料成本占建设工程项目成本的70%,有的工程属于长线工程,投资大,回收期长,施工企业必须采取一切措施严防材料涨价的风险。然而,在市场经济的情况下,通货膨胀是难免的,一定幅度的通胀是可以理解和接受的,但超过警戒线了,则企业将难以承受,因此,要求企业材料管理人员不断掌握准确的价格信息和可靠的货源,尽量减少因材料价格大幅波动而给企业带来巨大的影响。

4、工程管理风险

建设工程项目管理首先是公司领导层选派项目经理作为项目上的第一责任人,项目经理和项目管理组织是建设工程项目风险的主体,在项目风险管理中,项目经理在认识和处理各种错综复杂的风险时应统观全局抓主要矛盾,化不利为有利,将威胁转化为机会。另外,由于科技的不断进步,工程管理方法也应该与时俱进,企业管理者必须采用现代化手段来管理工程,才能使企业不断地发展和壮大。

四、水利水电工程项目的风险管理

具体来说,水利水电工程项目的风险管理分为项目风险识别、项目风险评估、项目风险应对、项目风险监控。

1、水利水电工程项目风险识别

风险识别是风险管理的首要环节,但由于水利水电工程项目风险的特点是多样的、多变、多层次的。因此必须将风险识别贯穿于项目工程的每一个阶段。一般来说,水利水电工程中能被识别的风险包括因设计、施工等因素引发的技术风险,工期安排不合理以及工期滞后引发的工期风险,国家政策变动和经济发展引发的风险,自然环境改变引发的风险,工程项目组织内部的风险,资金、材料、设备等引发的风险等。要想识别这些风险,就必须依照项目风险管理计划、项目计划等各类相关的信息进行详细了解和进行不确定性分析,以充分发觉可能的影响因素以及预测这些影响因素给工程项目造成的后果。对这些影响因素和后果进行整理分析,进而编制出风险识别报告,对影响因素及其来源和后果进行详细的说明。

2、水利水电工程项目风险评估

紧接着风险识别,工程项目风险评估就是对识别的各类风险进行度量,将各类风险进行比较,划分层级,确定风险的相对重要程度。对水利水电工程项目风险评估的关键主要有两个,一是风险导致损失的发生率,二是确定这些风险导致损失结果的严重程度。其中,第二个关键要素比第一个关键要素重要。因为有的工程项目完全损毁发生的频率只为1,但是这唯一的一次发生甚至会导致致命的损失。对水利水电项目工程风险进行评价时,应该综合各方面信息和数据以确定风险严重程度、发生概率、影响范围、发生时间等。这些方面的信息和数据来自风险识别报告书、工程项目假设、工程项目进程、同类风险的历史信息等。进行风险评估的方法主要有两类:一是定性评估,如主观估计法、故障分析树法等;二是定量评估,如敏感性分析法、贝叶斯推断原理法等。

3、水利水电工程项目风险应对

如果风险评估的结果显示工程项目的风险数量很大,则可以采取风险回避的策略,以防止风险的形成和发生。实践中常用的方法有工程法、程序法等。如果评估结果显示风险数量不多,而且可以通过人为干预降低风险发生的概率和减少风险发生导致的损失,则可以采取风险缓解的策略。如果风险评估结果显示,风险量不大,项目可以转交给第三方实施,则可以采取风险转移的策略。将风险发生的后果和责任全部转移给第三方。实践中可以通过将合同转移或者参加工程保险的方式来实现风险的转移。如果风险评估结果显示,项目风险发生的后果不严重,并且风险发生的概率较小的情况下,或者该项项目风险无法转移或者进行控制的成本太高,则可以采取风险自留的策略。采取这样的策略导致的损失一般用企业的内部资金来弥补。

4、水利水电工程项目风险监控

对潜在的以及发生了的项目风险,应该积极采取相应的措施进行监控,尤其要对各项风险应对措施的执行情况进行全程跟踪监督。具体的在风险监控过程中要注意监察风险的状态,确定其是否已经真的存在,是否已经发生,是否已经得到控制,是否已经消失等。其次,还应该在风险监控过程中对应对风险的策略进行监控,判断应对策略是否起作用,是否有偏差,是否需要调整等。再次,应当在持续的风险监控中积极分析是否有新的风险产生,并进行分析识别、评价、控制等。进行风险监控采取的方式主要有:风险审计法和偏差分析法。

五、水利水电工程施工风险的规避策略

1、增强风险管理意识

在水利工程领域,首先,管理者要有风险管理意识,要改变原来注重上级要求和关系协调而淡化风险管理的观念。其次,应把水利工程风险管理作为项目管理的一种常态,进而把风险管理塑造为一种常态文化。在水利工程风险管理框架构建的过程中,“摈弃重应急轻风险的思想意识,注重全局,强调整个流程,即关注全面的风险管理范围、完整的风险管理体系、全程的风险管理过程、全员的风险管理文化”。

2、完善风险管理组织结构

(1)由市场选择项目法人

现在很多地方水利工程法人选择采用的往往是非市场行为,具体说即项目法人在水利系统内部是市场竞争,兄弟单位之间的竞争,但是在整个社会市场中,系统之外的单位极难有资格竞标。从这一点可以看出,项目法人选择实际上是内部产生,而在系统内部,基本上运行的是一种市场竞争,即竞标是一种有限的市场行为。这种内部产生项目法人的非市场行为实际上是一种垄断行为。

(2)内部审计独立性

为保障内审的独立性,理应从制度设计上予以完善。首先,内审人员的地位问题。只向最高管理层负责,使他们脱离利益相关者,以公开公正地展开工作;其次,组织内部理应以正式沟通的手段向所有公司的人员宣布内审人员的任命,内审人员的责任和权利用制度来明确,用相应制度予以保障和规范,从而保障内部审计的独立性,逐步走向内部审计职业化之路。

(3)信息共享

在水利工程部门,用制度形式保证信息标准化和规范化,以落实信息公开、提高信息资源利用率,避免在信息采集、存贮和管理上重复浪费,使不同层次、不同部门信息系统间理应做到信息和信息产品的交流与共用,以便更加合理地达到资源配置,节约社会成本,创造更多的财富之目的。

3、通过工程索赔将风险转化为利润

工程索赔是承包商经常使用的手段,贯穿于项目实施的全过程,重点在施工阶段,涉及范围相当广泛。比如工程量变化、设计更改、业主要求将工期提前、不利自然条件或非乙方原因引起的施工条件的变化等,这些都属于可计量风险的范畴。FIDIC关于工程索赔的条款已由第三版的1个分条款增加为5个分条款,形成了独立的主题。我国《建设工程施工合同示范文本》关于工程索赔也作了相应的明确规定。这些索赔条款可以作为处理工程索赔的原则和法律依据。尽管工程索赔的解不是唯一的,但却是可以计量的。利用合同条歇进行索赔不仅是减少工程风险的基本手段,也反映项目合同管理的水平。实践证明,如果善于进行施工索赔,其索赔金额往往大予投标报价中的利润部分。因此,树立合同意识、风险意识和索赔意识对降低工程风险是非常重要的。

4、非计量风险的防范措施

非计量风险指政治、经济及不可抗力风险。政治风险包括:战争、、动乱、法律制度的变化等;经济风险包括:通货膨胀、外汇风险、保护主义及税收歧视等。这些风险在国际工程中经常遇到。政治风险发生的概率较小,但一旦发生将导致灾难性的后果。对于政治风险,只能作定性分析与预测,承包商应在投标决策阶段加强调查研究。经济风险一般难以避免,应成立专门机构研究施工过程的索赔及其它防范风险发生的措施,尽量降低风险发生的可能性及风险的危害。最好是进行定性与定量相结合的分析,比较各风险产生的可能后果对项目目标的影响程度,即对项目进行敏感性分析后,再作决策。

5、加强施工承包合同的风险管理

合同既是项目管理的法律文件,也是合同主体各方应承担风险的一种界定。项目管理者必须具有极强的风险意识,并能从风险分析与风险管理的角度分析出合同中每个条款的有利与不利因素,对项目可能遇到的风险因素有全面深刻的了解。否则,风险将给项目带来巨大的损失。风险管理是一个不断检查和更新的过程。随着工程项目的进展,各种风险事件将发生或消除,各种响应措施也将被采用或过时。风险管理人员将不定期或定期地根据最新的情况进行风险分析,确定新的风险事件和响应措施,并分析评价以前阶段风险管理的成败。只有不断地从风险中总结经验和教训,提高控制和应对风险的能力,才能使企业立于不败之地。

六、结束语

由于受自然环境、社会环境和人为因素的影响,在水利水电项目的开发过程中,存在着许多不确定因素。项目管理者作为水利工程项目建设的实施主体,处于整个工程建设管理的核心和主导地位,应提高项目风险管理意识,掌握风险识别技术,开展风险评估与分析,及时防范和化解风险,水利水电工程作为一项利国利民的大事,各级承包商和施工部门均应切实履行自身责任,在做好工程基础上,对工程风险予以充分重视,确保整个水利水电工程的有序进行。

参考文献

篇9

全面风险管理是从战略目标制定到目标实现的全过程风险管理,随着现代商业银行所承担风险的增加,商业银行内部审计关注的重点也逐渐转移到风险管理上来,当今风险审计作为一种新的审计理念,成为备受人们关注的热点。与其说银行是在经营货币的企业,不如说银行是经营风险,从风险管理中获取收益的企业。商业银行一直在利润与风险之间做着谨慎和侥幸的选择,防范和控制经营中的风险,实施全面风险管理战略,是商业银行面临的现实而紧迫的任务。作为现代商业银行的审计部门,如何由传统的合规性审计向风险预警和防范为目标的风险审计转变,合理配置有限的审计资源,提高审计效率与效益,有效发挥审计监督在防范和控制风险中的积极作用,已成为现代商业银行内部审计面临的焦点课题。

风险审计的涵义

风险审计,也称风险基础审计或者风险导向审计,它是在传统的账项基础和内部控制制度基础审计上发展起来的一种审计模式,是指审计人员在对被审单位的内部控制充分了解和评价的基础上,综合分析、判断被审计单位的风险状况及其风险程度,从而把有限的审计资源集中到高风险的审计领域,针对不同风险程度采取相应的审计对策,重点对高风险点进行实质性测试,从而伎内部审计的剩余风险降至可接受的最低水平。与账项基础审计、内部控制制度基础审计相比,风险审计关注点在于对被审单位的风险评估,其审计重心向风险评估转移,更加关注的是企业的风险管理活动一一是否建立清晰的风险管理战略、完善的管理架构、全面的风险管理过程和良好的风险管理文化,最终实现风险管理效率和价值的最大化,不但可以保证充分的审计覆盖面,而且对每一个领域都会根据其风险评价结果有不同的审计频率与深度,增强了对风险的预防控制作用,风险审计方法的重点是识另q、预防与控制风险。因此,风险审计理论的核心是从分析审计风险入手,通过建立科学的审计风险分析模型,采取定性定量分析方法,量化确定固有保证程度系数,并控制保证程度系数,确定可接受的检查风险水平,以确保审计质量。

商业银行实施风险审计方法的坝实重要牲

格林斯潘曾经说过:“银行的基本职能是预测、承担和管理风险。”风险审计的本质和根本目标是促进和保障商业银行业务的稳健发展,促进商业银行树立全面的风险管理理念,坚持发展与防范风险并重;适应市场和业务需要,不断完善风险管理手段,健全风险管理体制,培育风险管理文化,提高风险管理水平,促进业务发展,目标是优化资源配置,将风险控制在商业银行可以承担的范围内,实现风险调整后的收益最大化。

(一)风险审计的理念和方法是商业银行实施全面风险管理的现实选择,进一步提升了内部审计的增值服务?风险是商业银行与生俱来的产物,存在于商业银行业务的每一个环节当中,商业银行提供金融服务的过程也是承担和控制风险的过程,因此,风险管理是商业银行永恒的主题。在现代金融领域中,能建立良好的风险管理架构和体系,对风险进行全面有效的管理,并以良好的风险定价策略实现价值增长,是影响商业银行核心竞争力的重要因素,也是实施风险审计的必然要求。国有商业银行上市后,要在提高全面风险管理能力的前提下保持持续的价值创造能力。

巴塞尔新资本协议和美国反舞弊财务报告委员会的发起组织委员会fCOSO)的《企业全面风险管理框架》将全面风险管理概括为对商业银行各个层次的业务单位和各种类型的风险进行统筹管理,这种管理要求将包含信用风险、市场风险、操作风险和其他风险的各种金融资产与资产组合,承担这些风险的各个业务单位纳入到统一的管理体系中,对各类风险依据统一的标准进行测量并加总,依据全部业务的相关性对风险进行全程的控制和管理。风险审计正是以全面评估风险为基础,从重要风险点上人手,在深入分析判断不同层面和业务单位风险状况的基础上,确定审计重点,对风险高的业务集中资源重点审计,通过评估银行风险识别的充分性、风险衡量的恰当性及风险防范的有效性,并在此基础上提出相应的改进措施和建议,直接影响商业银行经营战略的制定,确保商业银行实现业务发展、风险控制和效益增长的有机统一

(二)采用风险审计的理论和技术、是现代商业银行审计发展的目标和方向,实现增值型审计转型需要:当前国际内审发展已进入一个以风险管理和公司治理为标志的新的发展阶段,西方的绝大部分商业银行在内部审计均采用了风险审计的理论和技术。国际审计师协会主席捷奎林?瓦格娜曾提出:“环境的变化给内部审计师带来增加价值的机会最多的领域是风险管理的公司治理。”2003年国际内部审计协会对2001年新的《内部审计实务标准》(以下简称《标准》)修改后,在内容上也自始至终都贯穿着风险审计的主导思想。

一是在对内部审计的定义中要求内部审计采用一种系统化、规范化的方法来对机构的风险管理、控制及监管过程进行评价进而提高它的效率,帮助机构实现它的目标。二是内部审计的目标要求内部审计参与风险管理。三是内部审计的工作重点要求内部审计参与风险管理。四是标准对审计计划、审计测试、审计结果、后续审计各个方面都作了和风险相关的明确规范。五是关于剩余风险,《标准》做出了在审计执行主管认为高级管理层接受的剩余风险水平对于机构来说是无法接受时就报告董事会加以解决的规定。这些规定和要求将内部审计的范围延伸到风险管理和公司治理,所以风险管理已经成为内部审计的主要工作。随着风险管理导向内部控制时代的来临,内部审计的工作重点也发行了变化,现代内部审计突破了传统的监督、鉴证、评价职能的范围,更多地介入商业银行有效的风险管理机制和健全的公司治理结构领域。

风睑审计在项代商业银行风睑管理中的作用

(一)风险审计有利于提高商业银行风险管理水平,促进风险文化建设。风险基础审计主动发现和控制各项风险,通过对商业银行业务部门进行风险评估,并按照次序排列风险,集中高风险的项目优先审计。前者试图阻止不期望的行为发生,这种事先的控制有助于阻止损失的发生;后者试图检查出不期望发生的行为,检查性的控带l目的是提供损失发生的证据。这两种类型的控制都是必要的内部控制系统,使商业银行的内控机制完善、管用。同时,风险审计关注的重点是业务过程中的每一个风险点,涉及所有员工和管理者,这样有助于形成商业银行风险文化,从而提高商业银行全面风险管理水平。

(二)风险审计有利于对风险事件的识别风险审计采用通用风险分析模板及方法,识别商业银行业务过程的风险和外部环境风险。风险审计人员运用某些分析方法,创造性地进行分析,判断管理层是否完全识别了企业的所有风险,

若有遗漏的风险要提醒管理层加以考虑。

(三)风险审计有利于对风险的反应和控制。在风险反应活动中,商业银行要根据不同的风险决定要采取的策略和方法,决定是避免风险、接受风险、还是降低风险。如对有相对的风险回报的风险,商业银行可以考虑接受,但要采取控制措施,才能将风险降低到可以接受的水平,获得希望的回报。对于这部分风险,商业银行会采取减少风险、转移风险或分担风险的办法以降低商业银行承受的风险。风险审计人员的主要工作在于分析、评价风险回报的合理性、减少风险的措施的有效性、以及接受风险转移和风险分担的那一方的风险。

(四)风险审计有利于对风险信息沟通和风险管理系统的监控。在风险信息沟通活动中,商业银行的风险管理要将风险及时有效地传递给内部相关人员,以便及时采取相应的控制措施。风险审计人员可以通过评价报告系统证明风险信息被准确、及时地传递到相关人员,内部审计报告可以向董事会和审计委员会传递风险是否得到有效管理的信息。在监控活动中,商业银行要对风险管理进行持续监控,通过对内部控制系统的运行的监控和对定期检查结果及意外事项的处理结果的评价,保证商业银行对风险管理是一直有效的。风险审计人员可以通过分析环境和风险变化,检查内部控制系统是否已更新,是否能控制新的风险。还可以通过后续审计管理层对审计中发现的问题及对意外事项的处理情况,检查新的控制措施是否有效,将分析结果和建议提供给管理层以便改进控制措施。

风险审计在捕国商业银行规划与存在问题

(一)风险基础审计的法制化、制度化规范化建设的道路还很漫长。一是商业银行内部制度调整工作量大,相关业务制度和操作流程也要进行相应调整;二是支持系统建设难度大,因长期需要具备相应功能的电子化系统作支持,要求商业银行改进现有业务系统,并开发建设风险评估系统,风险评估系统的建设包括业务流程、历史数据收集、参数选择等需要大量投资和时间准备。三是短期内风险审计人员素质难以提高。风险审计人员需要精通包括审计、会计财务、法律、逻辑学、信息学、系统论、管理学等专业知识,懂得运用经济、数理、计算机等专用分析手段来预知和减少风险,每位风险审计人员达到运用自如的水准尚需时日。

(二)审计证据的较高要求增加风险审计取证的难度风险基础审计必须获取充足的、可靠的相关的证据以判断,而目前我国商业银行风险基础审计缺少可供遵循的标准和程序,且审计取证的渠道和方式多样,因此,审计人员一般都需要提高调查样本代表性和增大调查样本的方法,以增强对总体风险推断的准确性。

(三)风险审计技术手段落后,难以适应工作需要。计算机会计信息系统、信贷管理系统的广泛应用和发展,大大增强了审计的及时性,事后审计;逐步被实时审计所代替,这与针对经营全过程的风险基础审计不谋而合。在我国,商业银行审计人员大多数对计算机辅助审计不太熟悉,许多还停留在传统手工查账的基础上,在新技术面前还有些无所适从.审计手段落后,不但增加了审计难度,而且效率低、准确差,严重影响了审计作用的发挥,无法满足商业银行风险基础审计工作的需要

(四)协调配台欠缺,降低了审计结果的运用日常审计中很少利用纪检、人事及其他部门掌握的信息,审计结束后,除个别项目外一般也不与这些部门交换,致使审计成果在干部考核、任用、奖惩等方面没有发挥应有的作用,相应削弱了审计的威慑力。

我国商业银行发展和完善风险审计的对策

(一)正确认识风险基础审计在银行公司治理结构的重要作用,为风险审计的发展刨造良好的环境商业银行公司治理的核心问题是委托人(股东、投资者、管理者)如何激励和约束人(经理层)、积极有效地完成受托经营管理责任,以确保股东或投资者财富最大化。显然仅仅通过财务审计,委托人难以全面了解人是否有效履行其受托责任,而风险基础审计有利于减少信息不对称性,较为全面地提供委托人所需要的有关经营管理活动方面信息,大大遏制了“道德风险”的发生,增强了经营管理的透明度,从而达到控制和抑制“内部人控制”的目的,同时,通过风险审计可以有效地判断人的业绩和能力,评价人对受托人责任履行情况,促进人提高经营管理效率因此,风险审计是商业银行公司治理结构的重要组成部分,是完善公司治理结构的“四大基石”之一。

(二)抓紧制定风睑基蒯{计;,立则尽快完善评价标:停体系要吸收借鉴美国、英国、典等发达国家的先进经验,抓紧研究制定我国的风险基础审计准则,这是开展风险审计的当务之急。风险基础审计准则的制定要遵循“衔接”、“配套”、“务实”的原则,注意解决好前瞻与现实的矛盾,接轨与国情的矛盾。逐步探索和完善风险审计的评价标准体系,量化评价指标,为不同项目之间的比较提供依据

篇10

全面风险管理是从战略目标制定到目标实现的全过程风险管理,随着现代商业银行所承担风险的增加,商业银行内部审计关注的重点也逐渐转移到风险管理上来,当今风险审计作为一种新的审计理念,成为备受人们关注的热点。与其说银行是在经营货币的企业,不如说银行是经营风险,从风险管理中获取收益的企业。商业银行一直在利润与风险之间做着谨慎和侥幸的选择,防范和控制经营中的风险,实施全面风险管理战略,是商业银行面临的现实而紧迫的任务。作为现代商业银行的审计部门,如何由传统的合规性审计向风险预警和防范为目标的风险审计转变,合理配置有限的审计资源,提高审计效率与效益,有效发挥审计监督在防范和控制风险中的积极作用,已成为现代商业银行内部审计面临的焦点课题。

风险审计的涵义

风险审计,也称风险基础审计或者风险导向审计,它是在传统的账项基础和内部控制制度基础审计上发展起来的一种审计模式,是指审计人员在对被审单位的内部控制充分了解和评价的基础上,综合分析、判断被审计单位的风险状况及其风险程度,从而把有限的审计资源集中到高风险的审计领域,针对不同风险程度采取相应的审计对策,重点对高风险点进行实质性测试,从而伎内部审计的剩余风险降至可接受的最低水平。与账项基础审计、内部控制制度基础审计相比,风险审计关注点在于对被审单位的风险评估,其审计重心向风险评估转移,更加关注的是企业的风险管理活动一一是否建立清晰的风险管理战略、完善的管理架构、全面的风险管理过程和良好的风险管理文化,最终实现风险管理效率和价值的最大化,不但可以保证充分的审计覆盖面,而且对每一个领域都会根据其风险评价结果有不同的审计频率与深度,增强了对风险的预防控制作用,风险审计方法的重点是识另q、预防与控制风险。因此,风险审计理论的核心是从分析审计风险入手,通过建立科学的审计风险分析模型,采取定性定量分析方法,量化确定固有保证程度系数,并控制保证程度系数,确定可接受的检查风险水平,以确保审计质量。

商业银行实施风险审计方法的坝实重要牲

格林斯潘曾经说过:“银行的基本职能是预测、承担和管理风险。”风险审计的本质和根本目标是促进和保障商业银行业务的稳健发展,促进商业银行树立全面的风险管理理念,坚持发展与防范风险并重;适应市场和业务需要,不断完善风险管理手段,健全风险管理体制,培育风险管理文化,提高风险管理水平,促进业务发展,目标是优化资源配置,将风险控制在商业银行可以承担的范围内,实现风险调整后的收益最大化。

(一)风险审计的理念和方法是商业银行实施全面风险管理的现实选择,进一步提升了内部审计的增值服务?风险是商业银行与生俱来的产物,存在于商业银行业务的每一个环节当中,商业银行提供金融服务的过程也是承担和控制风险的过程,因此,风险管理是商业银行永恒的主题。在现代金融领域中,能建立良好的风险管理架构和体系,对风险进行全面有效的管理,并以良好的风险定价策略实现价值增长,是影响商业银行核心竞争力的重要因素,也是实施风险审计的必然要求。国有商业银行上市后,要在提高全面风险管理能力的前提下保持持续的价值创造能力。

巴塞尔新资本协议和美国反舞弊财务报告委员会的发起组织委员会fcoso)的《企业全面风险管理框架》将全面风险管理概括为对商业银行各个层次的业务单位和各种类型的风险进行统筹管理,这种管理要求将包含信用风险、市场风险、操作风险和其他风险的各种金融资产与资产组合,承担这些风险的各个业务单位纳入到统一的管理体系中,对各类风险依据统一的标准进行测量并加总,依据全部业务的相关性对风险进行全程的控制和管理。风险审计正是以全面评估风险为基础,从重要风险点上人手,在深入分析判断不同层面和业务单位风险状况的基础上,确定审计重点,对风险高的业务集中资源重点审计,通过评估银行风险识别的充分性、风险衡量的恰当性及风险防范的有效性,并在此基础上提出相应的改进措施和建议,直接影响商业银行经营战略的制定,确保商业银行实现业务发展、风险控制和效益增长的有机统一

(二)采用风险审计的理论和技术、是现代商业银行审计发展的目标和方向,实现增值型审计转型需要:当前国际内审发展已进入一个以风险管理和公司治理

为标志的新的发展阶段,西方的绝大部分商业银行在内部审计均采用了风险审计的理论和技术。国际审计师协会主席捷奎林?瓦格娜曾提出:“环境的变化给内部审计师带来增加价值的机会最多的领域是风险管理的公司治理。”2003年国际内部审计协会对2001年新的《内部审计实务标准》(以下简称《标准》)修改后,在内容上也自始至终都贯穿着风险审计的主导思想。

一是在对内部审计的定义中要求内部审计采用一种系统化、规范化的方法来对机构的风险管理、控制及监管过程进行评价进而提高它的效率,帮助机构实现它的目标。二是内部审计的目标要求内部审计参与风险管理。三是内部审计的工作重点要求内部审计参与风险管理。四是标准对审计计划、审计测试、审计结果、后续审计各个方面都作了和风险相关的明确规范。五是关于剩余风险,《标准》做出了在审计执行主管认为高级管理层接受的剩余风险水平对于机构来说是无法接受时就报告董事会加以解决的规定。这些规定和要求将内部审计的范围延伸到风险管理和公司治理,所以风险管理已经成为内部审计的主要工作。随着风险管理导向内部控制时代的来临,内部审计的工作重点也发行了变化,现代内部审计突破了传统的监督、鉴证、评价职能的范围,更多地介入商业银行有效的风险管理机制和健全的公司治理结构领域。

风睑审计在项代商业银行风睑管理中的作用

(一)风险审计有利于提高商业银行风险管理水平,促进风险文化建设。风险基础审计主动发现和控制各项风险,通过对商业银行业务部门进行风险评估,并按照次序排列风险,集中高风险的项目优先审计。前者试图阻止不期望的行为发生,这种事先的控制有助于阻止损失的发生;后者试图检查出不期望发生的行为,检查性的控带l目的是提供损失发生的证据。这两种类型的控制都是必要的内部控制系统,使商业银行的内控机制完善、管用。同时,风险审计关注的重点是业务过程中的每一个风险点,涉及所有员工和管理者,这样有助于形成商业银行风险文化,从而提高商业银行全面风险管理水平。

(二)风险审计有利于对风险事件的识别风险审计采用通用风险分析模板及方法,识别商业银行业务过程的风险和外部环境风险。风险审计人员运用某些分析方法,创造性地进行分析,判断管理层是否完全识别了企业的所有风险,若有遗漏的风险要提醒管理层加以考虑。

(三)风险审计有利于对风险的反应和控制。在风险反应活动中,商业银行要根据不同的风险决定要采取的策略和方法,决定是避免风险、接受风险、还是降低风险。如对有相对的风险回报的风险,商业银行可以考虑接受,但要采取控制措施,才能将风险降低到可以接受的水平,获得希望的回报。对于这部分风险,商业银行会采取减少风险、转移风险或分担风险的办法以降低商业银行承受的风险。风险审计人员的主要工作在于分析、评价风险回报的合理性、减少风险的措施的有效性、以及接受风险转移和风险分担的那一方的风险。

(四)风险审计有利于对风险信息沟通和风险管理系统的监控。在风险信息沟通活动中,商业银行的风险管理要将风险及时有效地传递给内部相关人员,以便及时采取相应的控制措施。风险审计人员可以通过评价报告系统证明风险信息被准确、及时地传递到相关人员,内部审计报告可以向董事会和审计委员会传递风险是否得到有效管理的信息。在监控活动中,商业银行要对风险管理进行持续监控,通过对内部控制系统的运行的监控和对定期检查结果及意外事项的处理结果的评价,保证商业银行对风险管理是一直有效的。风险审计人员可以通过分析环境和风险变化,检查内部控制系统是否已更新,是否能控制新的风险。还可以通过后续审计管理层对审计中发现的问题及对意外事项的处理情况,检查新的控制措施是否有效,将分析结果和建议提供给管理层以便改进控制措施。

风险审计在捕国商业银行规划与存在问题

(一)风险基础审计的法制化、制度化规范化建设的道路还很漫长。一是商业银行内部制度调整工作量大,相关业务制度和操作流程也要进行相应调整;二是支持系统建设难度大,因长期需要具备相应功能的电子化系统作支持,要求商业银行改进现有业务系统,并开发建设风险评估系统,风险评估系统的建设包括业务流程、历史数据收集、参数选择等需要大量投资和时间准备。三是短期内风险审计人员素质难以提高。风险审计人员需要精通包括审计、会计财务、法律、逻辑学、信息学、系统论、管理学等专业知识,懂得运用经济、数理、计算机等专用分析手段来预知和减少风险,每位风险审计人员达到运用自如的水准尚需时日。

(二)审计证据的较高要求增加风险审计取证的难度风险基础审计必须获取充足的、可靠的相关的证据以判断,而目前我国商业银行风险基础审计缺少可供遵循的标准和程序,且审计取证的渠道和方式多样,因此,审计人员一般都需要提高调查样本代表性和增大调查样本

的方法,以增强对总体风险推断的准确性。

(三)风险审计技术手段落后,难以适应工作需要。计算机会计信息系统、信贷管理系统的广泛应用和发展,大大增强了审计的及时性,事后审计;逐步被实时审计所代替,这与针对经营全过程的风险基础审计不谋而合。在我国,商业银行审计人员大多数对计算机辅助审计不太熟悉,许多还停留在传统手工查账的基础上,在新技术面前还有些无所适从.审计手段落后,不但增加了审计难度,而且效率低、准确差,严重影响了审计作用的发挥,无法满足商业银行风险基础审计工作的需要

(四)协调配台欠缺,降低了审计结果的运用日常审计中很少利用纪检、人事及其他部门掌握的信息,审计结束后,除个别项目外一般也不与这些部门交换,致使审计成果在干部考核、任用、奖惩等方面没有发挥应有的作用,相应削弱了审计的威慑力。

我国商业银行发展和完善风险审计的对策

(一)正确认识风险基础审计在银行公司治理结构的重要作用,为风险审计的发展刨造良好的环境商业银行公司治理的核心问题是委托人(股东、投资者、管理者)如何激励和约束人(经理层)、积极有效地完成受托经营管理责任,以确保股东或投资者财富最大化。显然仅仅通过财务审计,委托人难以全面了解人是否有效履行其受托责任,而风险基础审计有利于减少信息不对称性,较为全面地提供委托人所需要的有关经营管理活动方面信息,大大遏制了“道德风险”的发生,增强了经营管理的透明度,从而达到控制和抑制“内部人控制”的目的,同时,通过风险审计可以有效地判断人的业绩和能力,评价人对受托人责任履行情况,促进人提高经营管理效率因此,风险审计是商业银行公司治理结构的重要组成部分,是完善公司治理结构的“四大基石”之一。

(二)抓紧制定风睑基蒯{计;,立则尽快完善评价标:停体系要吸收借鉴美国、英国、典等发达国家的先进经验,抓紧研究制定我国的风险基础审计准则,这是开展风险审计的当务之急。风险基础审计准则的制定要遵循“衔接”、“配套”、“务实”的原则,注意解决好前瞻与现实的矛盾,接轨与国情的矛盾。逐步探索和完善风险审计的评价标准体系,量化评价指标,为不同项目之间的比较提供依据

篇11

全面风险管理是从战略目标制定到目标实现的全过程风险管理,随着现代商业银行所承担风险的增加,商业银行内部审计关注的重点也逐渐转移到风险管理上来,当今风险审计作为一种新的审计理念,成为备受人们关注的热点。与其说银行是在经营货币的企业,不如说银行是经营风险,从风险管理中获取收益的企业。商业银行一直在利润与风险之间做着谨慎和侥幸的选择,防范和控制经营中的风险,实施全面风险管理战略,是商业银行面临的现实而紧迫的任务。作为现代商业银行的审计部门,如何由传统的合规性审计向风险预警和防范为目标的风险审计转变,合理配置有限的审计资源,提高审计效率与效益,有效发挥审计监督在防范和控制风险中的积极作用,已成为现代商业银行内部审计面临的焦点课题。

风险审计的涵义

风险审计,也称风险基础审计或者风险导向审计,它是在传统的账项基础和内部控制制度基础审计上发展起来的一种审计模式,是指审计人员在对被审单位的内部控制充分了解和评价的基础上,综合分析、判断被审计单位的风险状况及其风险程度,从而把有限的审计资源集中到高风险的审计领域,针对不同风险程度采取相应的审计对策,重点对高风险点进行实质性测试,从而伎内部审计的剩余风险降至可接受的最低水平。与账项基础审计、内部控制制度基础审计相比,风险审计关注点在于对被审单位的风险评估,其审计重心向风险评估转移,更加关注的是企业的风险管理活动一一是否建立清晰的风险管理战略、完善的管理架构、全面的风险管理过程和良好的风险管理文化,最终实现风险管理效率和价值的最大化,不但可以保证充分的审计覆盖面,而且对每一个领域都会根据其风险评价结果有不同的审计频率与深度,增强了对风险的预防控制作用,风险审计方法的重点是识另q、预防与控制风险。因此,风险审计理论的核心是从分析审计风险入手,通过建立科学的审计风险分析模型,采取定性定量分析方法,量化确定固有保证程度系数,并控制保证程度系数,确定可接受的检查风险水平,以确保审计质量。

商业银行实施风险审计方法的坝实重要牲

格林斯潘曾经说过:“银行的基本职能是预测、承担和管理风险。”风险审计的本质和根本目标是促进和保障商业银行业务的稳健发展,促进商业银行树立全面的风险管理理念,坚持发展与防范风险并重;适应市场和业务需要,不断完善风险管理手段,健全风险管理体制,培育风险管理文化,提高风险管理水平,促进业务发展,目标是优化资源配置,将风险控制在商业银行可以承担的范围内,实现风险调整后的收益最大化。

(一)风险审计的理念和方法是商业银行实施全面风险管理的现实选择,进一步提升了内部审计的增值服务?风险是商业银行与生俱来的产物,存在于商业银行业务的每一个环节当中,商业银行提供金融服务的过程也是承担和控制风险的过程,因此,风险管理是商业银行永恒的主题。在现代金融领域中,能建立良好的风险管理架构和体系,对风险进行全面有效的管理,并以良好的风险定价策略实现价值增长,是影响商业银行核心竞争力的重要因素,也是实施风险审计的必然要求。国有商业银行上市后,要在提高全面风险管理能力的前提下保持持续的价值创造能力。

巴塞尔新资本协议和美国反舞弊财务报告委员会的发起组织委员会fCOSO)的《企业全面风险管理框架》将全面风险管理概括为对商业银行各个层次的业务单位和各种类型的风险进行统筹管理,这种管理要求将包含信用风险、市场风险、操作风险和其他风险的各种金融资产与资产组合,承担这些风险的各个业务单位纳入到统一的管理体系中,对各类风险依据统一的标准进行测量并加总,依据全部业务的相关性对风险进行全程的控制和管理。风险审计正是以全面评估风险为基础,从重要风险点上人手,在深入分析判断不同层面和业务单位风险状况的基础上,确定审计重点,对风险高的业务集中资源重点审计,通过评估银行风险识别的充分性、风险衡量的恰当性及风险防范的有效性,并在此基础上提出相应的改进措施和建议,直接影响商业银行经营战略的制定,确保商业银行实现业务发展、风险控制和效益增长的有机统一

(二)采用风险审计的理论和技术、是现代商业银行审计发展的目标和方向,实现增值型审计转型需要:当前国际内审发展已进入一个以风险管理和公司治理为标志的新的发展阶段,西方的绝大部分商业银行在内部审计均采用了风险审计的理论和技术。国际审计师协会主席捷奎林?瓦格娜曾提出:“环境的变化给内部审计师带来增加价值的机会最多的领域是风险管理的公司治理。”2003年国际内部审计协会对2001年新的《内部审计实务标准》(以下简称《标准》)修改后,在内容上也自始至终都贯穿着风险审计的主导思想。

一是在对内部审计的定义中要求内部审计采用一种系统化、规范化的方法来对机构的风险管理、控制及监管过程进行评价进而提高它的效率,帮助机构实现它的目标。二是内部审计的目标要求内部审计参与风险管理。三是内部审计的工作重点要求内部审计参与风险管理。四是标准对审计计划、审计测试、审计结果、后续审计各个方面都作了和风险相关的明确规范。五是关于剩余风险,《标准》做出了在审计执行主管认为高级管理层接受的剩余风险水平对于机构来说是无法接受时就报告董事会加以解决的规定。这些规定和要求将内部审计的范围延伸到风险管理和公司治理,所以风险管理已经成为内部审计的主要工作。随着风险管理导向内部控制时代的来临,内部审计的工作重点也发行了变化,现代内部审计突破了传统的监督、鉴证、评价职能的范围,更多地介入商业银行有效的风险管理机制和健全的公司治理结构领域。

风睑审计在项代商业银行风睑管理中的作用

(一)风险审计有利于提高商业银行风险管理水平,促进风险文化建设。风险基础审计主动发现和控制各项风险,通过对商业银行业务部门进行风险评估,并按照次序排列风险,集中高风险的项目优先审计。前者试图阻止不期望的行为发生,这种事先的控制有助于阻止损失的发生;后者试图检查出不期望发生的行为,检查性的控带l目的是提供损失发生的证据。这两种类型的控制都是必要的内部控制系统,使商业银行的内控机制完善、管用。同时,风险审计关注的重点是业务过程中的每一个风险点,涉及所有员工和管理者,这样有助于形成商业银行风险文化,从而提高商业银行全面风险管理水平。

(二)风险审计有利于对风险事件的识别风险审计采用通用风险分析模板及方法,识别商业银行业务过程的风险和外部环境风险。风险审计人员运用某些分析方法,创造性地进行分析,判断管理层是否完全识别了企业的所有风险,

若有遗漏的风险要提醒管理层加以考虑。

(三)风险审计有利于对风险的反应和控制。在风险反应活动中,商业银行要根据不同的风险决定要采取的策略和方法,决定是避免风险、接受风险、还是降低风险。如对有相对的风险回报的风险,商业银行可以考虑接受,但要采取控制措施,才能将风险降低到可以接受的水平,获得希望的回报。对于这部分风险,商业银行会采取减少风险、转移风险或分担风险的办法以降低商业银行承受的风险。风险审计人员的主要工作在于分析、评价风险回报的合理性、减少风险的措施的有效性、以及接受风险转移和风险分担的那一方的风险。

(四)风险审计有利于对风险信息沟通和风险管理系统的监控。在风险信息沟通活动中,商业银行的风险管理要将风险及时有效地传递给内部相关人员,以便及时采取相应的控制措施。风险审计人员可以通过评价报告系统证明风险信息被准确、及时地传递到相关人员,内部审计报告可以向董事会和审计委员会传递风险是否得到有效管理的信息。在监控活动中,商业银行要对风险管理进行持续监控,通过对内部控制系统的运行的监控和对定期检查结果及意外事项的处理结果的评价,保证商业银行对风险管理是一直有效的。风险审计人员可以通过分析环境和风险变化,检查内部控制系统是否已更新,是否能控制新的风险。还可以通过后续审计管理层对审计中发现的问题及对意外事项的处理情况,检查新的控制措施是否有效,将分析结果和建议提供给管理层以便改进控制措施。

风险审计在捕国商业银行规划与存在问题

(一)风险基础审计的法制化、制度化规范化建设的道路还很漫长。一是商业银行内部制度调整工作量大,相关业务制度和操作流程也要进行相应调整;二是支持系统建设难度大,因长期需要具备相应功能的电子化系统作支持,要求商业银行改进现有业务系统,并开发建设风险评估系统,风险评估系统的建设包括业务流程、历史数据收集、参数选择等需要大量投资和时间准备。三是短期内风险审计人员素质难以提高。风险审计人员需要精通包括审计、会计财务、法律、逻辑学、信息学、系统论、管理学等专业知识,懂得运用经济、数理、计算机等专用分析手段来预知和减少风险,每位风险审计人员达到运用自如的水准尚需时日。

(二)审计证据的较高要求增加风险审计取证的难度风险基础审计必须获取充足的、可靠的相关的证据以判断,而目前我国商业银行风险基础审计缺少可供遵循的标准和程序,且审计取证的渠道和方式多样,因此,审计人员一般都需要提高调查样本代表性和增大调查样本的方法,以增强对总体风险推断的准确性。

(三)风险审计技术手段落后,难以适应工作需要。计算机会计信息系统、信贷管理系统的广泛应用和发展,大大增强了审计的及时性,事后审计;逐步被实时审计所代替,这与针对经营全过程的风险基础审计不谋而合。在我国,商业银行审计人员大多数对计算机辅助审计不太熟悉,许多还停留在传统手工查账的基础上,在新技术面前还有些无所适从.审计手段落后,不但增加了审计难度,而且效率低、准确差,严重影响了审计作用的发挥,无法满足商业银行风险基础审计工作的需要

(四)协调配台欠缺,降低了审计结果的运用日常审计中很少利用纪检、人事及其他部门掌握的信息,审计结束后,除个别项目外一般也不与这些部门交换,致使审计成果在干部考核、任用、奖惩等方面没有发挥应有的作用,相应削弱了审计的威慑力。

我国商业银行发展和完善风险审计的对策

(一)正确认识风险基础审计在银行公司治理结构的重要作用,为风险审计的发展刨造良好的环境商业银行公司治理的核心问题是委托人(股东、投资者、管理者)如何激励和约束人(经理层)、积极有效地完成受托经营管理责任,以确保股东或投资者财富最大化。显然仅仅通过财务审计,委托人难以全面了解人是否有效履行其受托责任,而风险基础审计有利于减少信息不对称性,较为全面地提供委托人所需要的有关经营管理活动方面信息,大大遏制了“道德风险”的发生,增强了经营管理的透明度,从而达到控制和抑制“内部人控制”的目的,同时,通过风险审计可以有效地判断人的业绩和能力,评价人对受托人责任履行情况,促进人提高经营管理效率因此,风险审计是商业银行公司治理结构的重要组成部分,是完善公司治理结构的“四大基石”之一。

(二)抓紧制定风睑基蒯{计;,立则尽快完善评价标:停体系要吸收借鉴美国、英国、典等发达国家的先进经验,抓紧研究制定我国的风险基础审计准则,这是开展风险审计的当务之急。风险基础审计准则的制定要遵循“衔接”、“配套”、“务实”的原则,注意解决好前瞻与现实的矛盾,接轨与国情的矛盾。逐步探索和完善风险审计的评价标准体系,量化评价指标,为不同项目之间的比较提供依据

篇12

【 中图分类号 】 TN918

Research on Security Test and Check Method of IoT System

Li Hai-tao Li Cheng-yuan Fan Hong

(The First Research Institute of the Ministry of Public Security Beijing 100048)

【 Abstract 】 With the wide application on the internet of things (IoTs) technology, the IoT systems are confronted with various security threats. There are eager demands on Security test and check of IoT System. In this paper, we have researched on Security test and check method of IoT System from system security test, risk assessment and integration security management.

【 Keywords 】 internet of things system; security test; risk assessment; security check

1 引言

目前在全球市场的数据统计分析上看,物联网成为未来10年发展迅猛的行业。据美国市场研究公司Forester预测,到2020年,世界上“物物互连”的应用业务,跟人与人之间通信的业务相比,前者是后者的30倍,仅在智能电网和机场入侵检测系统方面的市场就有上千亿美元。因此“物联网”必将成为下一个万亿美元级的信息技术产业。

从经济发展角度看,各国齐头并进,相继推出物联网区域战略规划。当前,世界各国的物联网基本都处于技术研究与试验阶段,美、日、韩、欧盟等都正投入巨资深入研究探索物联网关键技术。

物联网是互联网在现实世界的延伸。随着应用的不断扩展,物联网一旦发生安全问题,极有可能在现实世界造成电力中断、金融瘫痪、社会混乱等严重危害公共安全的事件,甚至将危及国家安全。由于物联网感知节点和传输设备具有能量低、计算能力差、运行环境恶劣、通信协议庞杂等特点,使得传统安全技术无法直接应用于物联网,由此引发众物联网特有的安全问题。

物联网安全问题如果得不到有效解决,将严重阻碍物联网产业发展。目前物联网安全技术和安全状况缺乏有效的检测和评价手段,已有的物联网应用急需对其安全性能的检测和技术支持。所以,对物联网安全检测与检查方法的研究是解决物联网安全问题必不可少的关键工作。

2 物联网系统面临的安全威胁

从安全测评的角度来看,物联网系统的结构可以分为三层,即智能感知层、接入传输层和业务应用层。物联网面临的安全威胁也来自这三个层次。

由于网络环境的不确定性,感知节点面临着多方面的威胁,感知节点本身就是用于监测和控制各种感知设备。节点对各种检测对象进行监测,从而提供感知设备传输的数据信息来监控网络系统的运行情况。这些智能传感器节点是暴露在攻击者面前的,最容易被攻击。因此,与传统的IP网络比较,所有的监控措施、安全防范策略不仅面临着更复杂的网络环境,而且还有更高的实时性要求。物联网系统面临的主要威胁有几个方面。

(1)安全隐私 射频识别技术被广泛用于物联网系统中,RFID标签可能被嵌入到任何物体中,例如人们的生活和生产用品。但是这些物品的拥有者不一定能够了解相关情况,会导致该对象的拥有者被随意地扫描、定位和追踪。

(2)伪造攻击 与传统IP网络相比,传感设备和电子标签都是在攻击者面前的。与此同时,接入传输网络中有一部分是无线网络,窜扰问题在传感网络和无线网络中是普遍存在的,而无线安全研究方面也显得非常棘手。因此,在网络中这些方面面临的伪造节点攻击很大程度上威胁着传感器节点的安全,从而影响整个物联网安全。

(3)恶意代码攻击 恶意代码在接入传输层和传感层中都可以找到很多可以攻击的突破口。对攻击者而言只要进入到网络,通过传输网络进行病毒传播就变得轻车熟路,而且具有较强的隐蔽性,这一点与有线网络相比就更加难以防御。例如类似蠕虫这样的恶意代码,本身又不需要寄生文件,在这种环境中检测发现和清除恶意代码的难度是非常大的。

(4)拒绝服务攻击 这种被熟悉的攻击方式,一般发生在感知层与接入传输层衔接位置的概率是非常大的。由于物联网中感知节点数量庞大,而且多数是以集群的方式存在,因此信息在网络中传输时,海量的感知节点信息传递转发请求会导致网络拥塞,产生拒绝服务攻击的效果。

(5)信息安全 感知节点一般都具有功能单一、信息处理能力低的特点。因此,感知节点不可能具有高强度的安全防范措施。同时因为感知层节点的多样化,采集的数据、传输的信息也就不会有统一的格式,所以提供统一的安全防范策略和安全体系架构是很难做到的。

(6)接入传输层和业务应用层的安全隐患 在物联网系统的接入传输层和业务应用层除了面临传统有线网络的所有安全威胁的同时,还因为物联网在感知层所采集数据格式的不统一,来自不同类型感知节点的数据信息是无法想象的、并且是多源异构数据,所以接入层和业务应用层的安全问题也就更加繁杂。

通过对各行业物联网建设方面的调查发现,当前已有的物联网应用对其安全性能的检测和技术支持需求十分迫切,例如移动系统与行业网的接入安全性评估和检测、社会公共安全的视频采集系统的接入安全检测、基于RFID和车牌识别的智能车辆管控系统安全性评估等检测业务都是亟待解决的问题。由此看出,物联网安全检测和检查方法研究需求迫切。

为了把物联网系统安全风险降到最低,应该做到系统建设与检测检查同步进行,且检测检查过程中要技术与管理并重。本文将从物联网系统安全检测、物联网系统风险评估和物联网集成化安全管理三个方面进行检测、检查的方法研究。

3 物联网系统安全检测

安全检测是以系统检测方式对物联网系统三层架构的各个层面进行安全符合性和有效性检测。

(1)智能感知层应该对访问控制策略配置、身份认证策略配置、数据完整性保护策略配置、数据保密性保护策略配置、感知节点抗攻击性、安全审计策略配置和物理安全进行符合性测试。

(2)接入传输层检测应该对AKA机制的一致性或兼容性、跨域认证和跨网络认证、视频传输协议转换前后的安全性;传统认证和数据交换安全、无线认证网关安全、无线传输协议、身份认证安全等进行符合性和有效性检测。

(3)业务应用层应该对数据库安全、应用系统和网站安全、应用系统稳定性、业务连续性以及应用模拟等进行符合性和有效性检测。

下面从物联网系统检测规则和检测工具两个方面研究物联网系统安全检测方法。

物联网系统检测规则由三个部分组成分别是智能感知层规则、接入传输层规则和业务应用层规则。

(1)智能感知层规则主要包括访问控制、身份认证、数据完整性保护、数据保密性保护、抗攻击、安全审计以及物理安全等安全规则。

(2)接入传输层规则包括数字接入系统中接入业务可管理性、可控性、信息保密性、完整性和可用性的规则要求,视频接入系统实现外部视频资源单向传输至内网,视频控制信令和数据的会话终止于应用服务区,包含对视频信令格式进行检查及内容过滤、合法的协议和数据通过、视频数据和视频控制信令安全传输等方面的规则,无线接入系统接入内网,需要与内网的各种信息系统交互信息,包含敏感信息、数据完整性保护、数据保密性保护、抗攻击、安全审计以及物理安全等方面的规则。

(3)业务应用层规则一般包括访问控制、用户身份鉴别、资源控制、安全漏洞、安全审计以及数据备份等安全规则。

检测工具是包含物联网系统安全检测中所有测试工具、测试样本数据的集合。检测工具根据其应用范围可以划分为三类。

(1)智能感知层检测工具:主要包括对感知操作安全项目进行检测所用到的软硬件工具和测试样本数据;感知数据处理安全检测工具包括对感知数据处理安全项目进行检测所用到的工具;感知数据存储安全检测工具主要包括感知数据存储安全项目进行检测所用到的工具和测试样本数据;感知节点设备安全检测工具主要包括漏洞扫描工具、自动化攻击工具以及自身所建立的漏洞补丁知识库,根据被测设备的操作系统、功能组件,查询漏洞补丁知识库,可以发现漏洞扫描类工具无法直接探测的隐藏漏洞。

(2)接入传输层检测工具:主要包括脆弱性扫描与管理工具、网络协议分析工具、主机配置检测工具、网络边界检测工具等。

(3)业务应用层检测工具:主要包括Web应用系统及网站安全检测工具、数据库脆弱性检测工具和网络终端安全检测工具等。

4 物联网系统风险评估

物联网系统风险评估主要针对物联网智能感知层、接入传输层和业务应用层中所包含的各个组成部分。开展物联网系统风险评估工作,需要构建物联网系统风险评估平台,对物联网可能遭受到的威胁和脆弱性进行安全分析,然后根据安全事件的可能性以及安全事件造成的损失计算出风险值、对安全事件进行风险等级定级,最后结合安全事件所涉及的资产价值来判断安全事件一旦发生对物联网系统造成的影响。

下面从物联网系统风险评估知识库和风险评估工具两方面来研究物联网系统风险评估方法。

风险评估知识库应该包含威胁库、脆弱性库、风险分析方法和评估案例等。物联网系统风险评估服务威胁库包括智能感知层威胁库、接入传输层威胁库和业务应用层威胁库:智能感知层威胁有RFID安全隐私、RFID标签复制、传感网安全路由、感知节点逐跳加密安全等;接入传输层威胁有海量数据融合信息窃取、海量数据传输安全、三网融合面临的新威胁等;业务应用层威胁有位置信息泄露、数据融合后机密信息泄露、应用系统漏洞等。脆弱性库,脆弱性识别时的数据应来自于资产的所有者、使用者,以及相关业务领域和软硬件方面的专业人员等。风险分析方法主要包括系统层次分析方法、基于概率论和数理统计的方法、模糊数学方法,这些方法或是在识别风险的基础上,进一步分析已识别风险,提高风险结果可信度,或是融入风险评估过程中,使评估过程更科学、更合理。

如果物联网系统风险评估案例库建立实际风险评估案例,能够给出风险分析方法、风险分析过程。系统整体风险评估结果就能一目了然,也为物联网系统风险评估工作提供参考案例。

根据在风险评估过程中的主要任务和作用原理的不同,风险评估工具可以分成风险评估与管理工具、系统基础平台风险评估工具和风险评估辅助工具三类。

(1)风险评估与管理工具应该是一套集成风险评估各类知识和判定依据的管理信息系统,以规范风险评估的过程和操作方法,或者用于收集评估所需要的数据和资料,基于专家总结的经验,对输人输出进行自动化的模型分析。

(2)系统基础平台风险评估工具主要用于对信息系统的主要部件(如操作系统、数据库系统、网络设备等)的脆弱性进行分析,或实施基于脆弱性的攻击。

(3)风险评估辅助工具则实现对数据的采集、现状分析和趋势分析等单项功能,为风险评估各要素的赋值、定级提供依据。

5 物联网集成化安全管理检查

目前监管体系对不同的物联网系统的防护管理要求存在没有差异和缺乏针对性等问题。因此,物联网集成化安全管理势在必行。根据物联网的技术特点,针对物联网面临的安全威胁,应该构建和完善物联网的监管体系,从防范阻止、检测发现、应急处置、审计追查和集中管控五个方面,对物联网系统感知层、接入传输层和业务应用层进行安全防护管理。

(1)防范阻止主要指物联网系统应该具有安全防护和阻止信息安全威胁影响的措施,从而有效防范本文中提到的安全威胁。从物联网的体系结构而言,物联网除了面对TCP/IP网络、无线网络和移动通信网络等传统网络安全问题之外,还存在着大量自身的特殊安全问题。因此数据完整性和保密性保护、身份认证、访问控制、安全审计等方面的安全措施必不可少。

(2)检测发现主要是指物联网系统应该能够检测发现物联网系统存在安全隐患,其中包括感知层检测、接入传输层检测和业务应用层检测,在感知层应能检测发现感知设备伪造攻击。由于感知设备是“”在攻击者面前的,那么攻击者就可以轻易地接触到这些设备,从而对它们造成破坏,甚至通过本地操作更换机器的软硬件。接入传输层应包括边界接入系统、视频接入系统和无线接入系统三类接入传输系统的安全管理要求。业务应用层应能检测发现业务应用中的安全隐患,因为TCP/IP网络的所有安全隐患都同样适用于物联网。同时应能针对物联网感知层、接入传输层、业务应用层三个层次进行风险威胁分析,形成反映物联网系统安全态势的总体视图。因为安全系统从隐患到影响是一个态势变化的过程,因此对物联网系统态势的分析与威胁防范同样重要。

(3)应急处置主要是指应该能够具有高效指导系统维护人员开展应急处置工作的措施,应制定物联网信息安全应急预案,并结合实际工作情况,对物联网信息安全应急预案做出相应修订。应明确现场总指挥、副总指挥、应急指挥中心以及各应急行动小组在应急救援整个过程中所担负的职责。应明确完成应急救援任务应该包含的所有应急程序,以及对各应急程序能否安全可靠地完成对应的某项应急救援任务进行确认。应急预案应具备实用性、可操作性、完整性和可读性的特点。

(4)审计追查主要是指应该能够为安全管理人员提供物联网系统安全事件倒查的措施,包括日志采集、查询、分析和追查。其中采集应能对分布在感知层、接入传输层和业务应用层各个部分的用户和管理员操作日志进行采集。查询应能对物联网信息系统日志进行查询,包括常规查询、条件查询和权限控制查询。分析应能根据统计需求,对物联网信息系统日志进行统计分析。追查应能根据追查安全事件需求,为安全管理人员提供安全事(案)件的倒查手段。

(5)集中管控主要是指应该能够为物联网系统自身安全管理和控制提供技术手段。它们包括集中监控、策略管理、运行监控、异常和用户监控,其中集中监控应能通过监控中心对物联网系统进行集中管控,包括系统安全管理和监控。策略管理应能对感知层、接入传输层和业务应用层的安全策略进行集中管理,支持管理感知节点的备份与恢复。运行管控应能对感知层终端运行情况进行监控,对物联网系统运行情况进行监控。异常和用户监控应能对业务应用层异常进行监控,能对系统用户的操作进行监控。

6 结束语

随着物联网产业的迅猛发展,信息安全问题也面临着新的挑战,所以安全作为物联网领域的核心问题,没有完善的安全保护和测评措施,物联网就无法被广泛地应用,这就会对物联网优势的发挥产生严重的影响。

本文在分析了物联网系统面临安全威胁的基础上。根据物联网技术特点,针对面临的安全威胁,从物联网系统安全检测、物联网系统风险评估和物联网集成化安全管理三个方面进行检测和检查的研究。从而进一步明确在物联网的建设中,物联网应用不仅要投入巨资深入研究系统构建技术,还需要做到安全保障与物联网建设齐头并进,避免先应用后安全的被动局面,增强物联网主动保障能力,提高物联网安全检测能力,扩大安全检测和检查应用范围,为推进我国物联网安全检测标准化进程提供保障,使得物联网安全检测工作更加专业化、规范化和常态化。

参考文献

[1] 丁超, 杨立君, 吴蒙. IoT/CPS的安全体系结构及关键技术.中兴通讯技术,2011,01(17).

[2] 李向军.物联网安全及解决措施.农业网络信息,2010,12.

[3] 戴铁君.物联网安全问题与其解决措施.科技风, 2011,02.

[4] 汪金鹏,胡国华.物联网安全性能分析与应用.科技信息, 2010,33.

[5] 姚远.基于中间件的物联网安全模型.电脑知识与技术, 2011,01(07).

[6] 肖毅.物联网安全管理技术研究.通信技术. 2011, 01(44).

[7] 蒲石,陈周国祝世雄.震网病毒分析与防范[J].信息网络安全,2012,(02):40-43.

[8] 武鸿浩.CUDA并行计算技术在情报信息研判中的应用[J].信息网络安全,2012,(02):58-59.

[9] 王勇.随机函数及其在密码学中的应用研究[J].信息网络安全,2012,(03):17-18.

篇13

改革开放以来,我国的桥梁建设事业经历了一个辉煌的发展时期,特别是进入20世纪90年代,中国桥梁工程界在自主创新的旗帜下出现了全国范围内建造大跨度桥梁的,并以空前的规模和速度为五纵七横的国家高等级公路网建造了数以百计的大跨度悬索桥、斜拉桥、拱桥和梁式桥,以跨越大江大河、海湾和深谷,大大改变了中国的交通面貌,取得了令世人瞩目的成就。

一、大跨径桥梁的关键技术问题

1.1随着世界经济的快速发展,大跨径桥梁的建设在20世纪末进入了一个时期。苏通大桥位于长江下游,是国家高速公路网中跨越长江口的咽喉工程,是国家科技支撑计划支持的首个重大公路交通工程,是我国自主设计和建造的世界首座突破千米跨径的斜拉桥。苏通大桥主孔跨径1088米,水文条件复杂、地质条件差、气象环境恶劣、航运密度大,千米级斜拉桥其技术要求超越了国内外现行标准、规范规定,工程建设面临着极大的挑战。

1.2通过长达18年的研究与实践,建设者自主创新,开展了100多项科研专题攻关,研究了结构抗风、抗震、防船撞、防冲刷等技术,攻克了千米级斜拉桥结构体系、深水急流中施工平台搭设及群桩基础施工、基础冲刷防护和高塔、长索、大跨结构施工控制等十余项世界级关键技术难题,发展了基于寿命周期和性能设计的桥梁设计理论与方法,创新了静力限位和动力阻尼组合的桥梁结构体系,研发了具有自主知识产权的设计软件,编制了千米级斜拉桥设计指南,形成了千米级斜拉桥设计核心技术,创造了1088米的最大跨径、300.4米的最高桥塔、131根直径2.8米120米深的最大群桩基础、577米的最长拉索等四项世界纪录。

1.3从世界桥梁的发展来看,桥梁在向跨度更长、规模更大,向跨越海峡工程、外海海洋工程的方向发展。目前世界范围内规划或在建或建成的大型跨海通道有意大利墨西拿海峡通道工程、日本津轻海峡通道工程、土耳其伊兹米特海湾通道工程、印尼苏门答腊海湾通道工程、直布罗陀海峡通道工程、白令海峡通道工程等;国内目前规划或在建或建成的大型跨海通道有港珠澳大桥、琼州海峡跨海通道工程、渤海湾跨海通道工程、台湾海峡跨海通道工程等。随着桥梁建设环境越来越复杂,技术难度越来越高,需要解决的技术问题非常多,为了保证桥梁的可靠性、耐久性、行车舒适性和施工简易性,有大量的工作要做,需要研究者继续努力,博采众长,共同攻克这些技术难题。

1.4总的来说,现代桥梁面临的挑战主要有:一、超深水基础的结构形式和施工技术研究;二、超大跨径桥梁的结构体系和特殊力学问题;三、轻质、高强、耐腐蚀、高性能材料的研究,材料的进步决定了桥梁技术发展的水平;四、超大跨径桥梁的施工控制,如们保证建成后的设计线形、受力状态能够达到设计的要求;五、超大跨径桥梁的经济性问题。

二、中小跨径桥梁的技术发展

中小桥梁的数量非常巨大,今后的技术趋势上要体现在集成设计方面,集成设计就是充分考虑桥位处建设条件的要求,把设计和施工紧密结合起来,转变设计理念。进行标准化设计,采用工厂加工制作和现场大型机械施工,在施工过程或者建成以后通过自动化技术进行检测,从而形成运营过程中一种系统化的管养技术,在我国对预制节段拼装预应力混凝土桥梁的研究应用始于60年代。

在国内,60年代就开始研究预制节段拼装预应力混凝土桥梁,并且投入使用,比如19 6 6 年的成昆铁路旧庄河一号桥、孙水河4号桥等,都是采用的预制节段逐跨拼装施工法;19 9 7年建成通车的石长线湘江铁路大桥,也是应用的节段悬臂拼装施工法。之后再闽江大桥、夷 陵长江大桥等都是采用此方法,以及体内束和单键胶接缝。在2001年建成通车的嘉浏高 速公路新浏河大桥也是采用的移动支架预制节段逐跨拼装法进行施 工。

三、桥梁防灾减灾技术和风险决策

3.1现代桥梁防灾减灾技术的热点问题主要有桥梁抗风设计数值化和精细化、基于性能的桥梁抗震设计、跨海桥梁抗台风浪耦合、桥梁防船撞等4个方面。

3.1.1桥梁抗风设计数值化和精细化,主要通过理论分析、CFD数值模拟手段,对桥梁风振机理及流体-同体耦合作用进行更深的研究,进一步提高和完善CFD技术,建立“数值风洞”和“桥梁抗风虚拟现实”技术,实现“全物理、全系统、三维、高分辨率、高逼真”的桥梁结构气动弹性数值模拟。

3.1.2基于性能的抗震设计思想综合考虑了各种影响因素并采用“投资-效益”分析的多级抗震设防思想,体现结构目标性能的“个性化”,即要求在不同地震设防水准作用下,所设计结构满足各种预定的性能目标要求,从而在最经济条件下,确保人员伤亡和经济损失均在预期可接受的范围内。

3.1.3跨海桥梁跨径大,桥位处水深浪高,气候、水文、地质、地震等海洋环境因素异常复杂。在传统设计中,将瞬态的强风和波浪激励看作等效静力作用。但对于跨海桥梁,台风以及台风掀起的巨浪动态特性显著,具有强烈的耦合效应。因此,考虑台风以及巨浪这种破坏性环境荷载的实际动力特征、随机性和耦合性,将显著提高跨海桥梁的设计水平,而与之相应的结构抵抗台风浪耦合作用的结构构造措施及振动控制技术将成为跨海桥梁建设面临的一项关键技术挑战。

3.1.4目前我国桥梁的防船撞研究和设计还缺乏系统化、规范化及标准化。为了满足我国桥梁设计和建造的需要,开展桥梁船舶撞击理论和设计规范的研究是项迫切的工作,对于指导我国桥梁的防船撞设计以及对旧桥、危桥进行防船撞加固都具有重要意义。

3.2公路桥梁建设及运营阶段存在着诸多的不确定性因素,其设计、施工和运营过程中的任一环节的错误或疏忽,都会大大降低结构的安全性,以至于导致各类工程事故的发生。面对越来越多的桥梁事故和趋于增长的生命财产损失,需要结合我国实际情况,完善桥梁建设和运营管理体制,同时制定应对桥梁安全风险的有效措施,以达到提高桥梁安全性的目的。针对我国国内实际情况,应通过分析安全风险评估标准、流程、方法、工程应用情况等,深入研究和讨论基础理论和评估方法中若干关键问题,优化补充评估体系,从而形成新的可操作性强的工程应用方法,对桥隧工程中常见的风险问题形成相对稳定、合理的评估流程,完善基本的评估模型,以提高具体问题的风险评估的效率和水平。安全风险评估是公路桥梁工程建设和运营过程中的一个重要环节,全面、客观、科学、准确的评估体系对于实现工程安全建设和运营目标至关重要。。

四、桥梁结构健康监测及养护

桥梁是一种有寿命期的工程结构物,由于先天的缺陷、外部环境的影响、荷载的长期作用、自身材料的老化以及不恰当的养护维修,其健康安全不可避免地发生衰退。这种衰退会直接威胁到结构的安全和正常营运,如果没有一种科学、经济、高效的方法来管理结构衰退带来的危险,必然会影响结构物的正常服务水平和结构的长期安全性,造成巨大的经济开销,并可能造成巨大的负而社会影响。

桥梁结构安全监测系统并不是传统的桥梁检测技术的简单改进,而是运用现代传感技术、电子工程技术、网络通讯技术、信号分析与处理技术、数据管理方法、计算机软件、系统模式识别、预测技术、结构分析理论和决策理论等多个领域的知识,极大地延拓了桥梁检测领域,实时地监测桥梁运营阶段在各种条件下的结构响应,获取反映结构状况和环境因素的各种信息,并由此分析结构的健康状况、评估结构的运营情况。

五、结语

桥梁是生命线工程,桥梁结构的合理性、安全性、耐久性一直是桥梁设计中的核心问题。在世界经济全球化的推动下,我国交通事业得到了快速的发展,是一个发展的机遇,也是一个挑战,惟有充分发掘现代桥梁技术理念和技术创新的优势,大力加强技术储备,才能抓住机遇,应对挑战。

友情链接