发布时间:2023-09-28 10:30:49
导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的13篇风险评估研究范例,将为您的写作提供有力的支持和灵感!
doi:10.3969/j.issn.1673-0194.2009.18.017
[中图分类号] F239
[文献标识码] A
[文章编号] 1673-0194(2009)18-0050-03
一、战略风险与战略审计解析
战略风险是一种综合性风险,所有对企业价值或发展路径产生重大影响的事件或趋势,都可谓企业的战略风险。其影响因素可能来自于外部,如自然灾害和经济危机;也可能源自于内部,如企业转型和盲目并购。
基于风险控制的战略审计是将企业置于一个大的经济环境中,运用立体观察的理论来判断影响因素,从企业所处的经济环境、经营方式、管理机制等方面来评估企业战略制定、实施过程的科学合理性,并把被审计单位的战略风险评估纳入审计程序中去。
二、战略审计实施中的风险评估探索
在实施战略风险评估中,审计人员需要对初步识别出的风险点进行进一步的综合评估,从而对企业战略管理过程中的风险状况做出合理、准确的判断,并参考其他审计内容的有关因素和对战略风险的影响程度,对审计结果做出调整。
对战略风险的评估可采用单体风险评分法。其中,固有风险是假设企业没有对这一风险进行管控所面临的状态,固有风险越高说明这项工作的重要性越高。剩余风险是结合了企业的管控有效性之后所面临的风险,也就是企业实际的状况。固有风险和剩余风险的概念差体现的就是企业的管理水平。单一风险评分法分别对固有风险、剩余风险打分,以各自的评分维度作为打分标准。分为5个等级:很高(5分)、高(4分)、中(3分)、低(2分)、很低(1分)。固有风险、剩余风险内各个维度的评分结束后,将得分加权平均,可得固有风险及剩余风险的总评分。
(一) 固有风险及剩余风险的评分维度剖析
对于固有风险的个别维度不适用的情况,直接在“很低”一栏填写“不适用”即可;剩余风险不存在“不适用”的打分,若是个别维度体现不明显,则直接选择“很低”。评级尽可能先做定量判断;在很难定量的情况下,再进行定性判断。固有风险及剩余风险的评分维度如表1、表2所示。
对固有风险评分表的分析:
(1)财务影响。该维度是假设没有管控或管控不力的情况下,近一年该战略风险对公司净利润或现金流量的直接影响。财务影响的分级数据可利用公司年度税后净利润或现金流量乘以重要性水平得到。
(2)声誉。该维度是假设没有管控或管控不力的情况下,战略风险导致的后果所引发的社会责任以及对公司声誉的影响程度。其可从负面消息流传的范围及关注程度考虑,“很高”,是在世界范围流传;“很低”,是在企业内部流传;“中”是在全国流传。
(3)合法合规性。该维度是假设没有管控或管控不力的情况下,公司违反相关法规的程度或金额。可从两个方面考虑:一方面是违规的程度,反映在调查机关的级别高低上,“很高”是引起中央机关的调查,“中”是导致地方政府的调查,“很低”是轻微的违反法律法规;另一方面是引起诉讼和罚款的金额。
(4)客户。该维度是假设没有管控或管控不力的情况下,与公司的销售终端——客户的关系受影响的程度,可用客户的订单量为参考依据。“很高”是客户停止采购或取消80%以上订单;“高”是客户寻找其他供应商或取消部分订单;“中”是对客户订单基本无影响,但未来的业务发展受到限制;“低”是有部分投诉或发生补救费用;“很低”是对客户影响很小,仅发生最少的投诉及补救费用。
(5)员工的流失。该维度是假设在不对该风险进行管控的情况下公司全体员工的流失程度。可从两方面进行评价:一是关键员工的流失比率;二是普通员工的流失比率。员工流失的越多,级别越高。
(6)运营。该维度结合了对企业整体业务影响的时间、人力、成本等定量指标,即指挽回对运营造成的影响所需付出的成本、人力等。从“很高”到“很低”,对企业的业务的影响程度依次是:影响重大业务能力、影响部分业务能力、影响日常运作、有一定影响但不影响日常运作、影响微弱等,无法定量判断时就采用定性判断。
(7)其他利益相关者。这里是指除了客户和员工以外的利益相关者,如股东和社会机构。其反映为对企业股价的影响,可以用消息是否外传或公布来帮助理解。“很高”到“很低”依次对应:股价连续大幅震荡、股价数日大幅震荡、股价非正常震荡、股价单日涨(跌)停、不会实质性导致股票波动。
(8)发作速度。该维度假设在没有管控或管控不力的情况下,从隐性不利迹象到风险导致实质损失的时间、非常迅速到很少或没有预警时间。“很高”到“很低”依次对应:在一到几天以内就发作、经过数天到数周才发作、潜伏期已达数月、潜伏期在数月以上到数年。
对剩余风险评分表的分析:
(1)响应速度。该维度衡量风险事件发生以后企业采取补救措施的速度,响应速度越快风险越低。
(2)控制效果和效率:控制/整改。该维度衡量风险事件发生之后企业是否针对原有流程进行优化与整改:“很高”是没有整改计划,“高”是计划不完善,“中”是有计划但没有例行测试,“低”是有计划有定期测试,“很低”是将计划和测试嵌入企业的整个流程,作为部门的长效管理机制。
(3)控制效果和效率:监测和报告。该维度衡量有关风险的报告,“很高”和“高”的差别是有没有分析风险,有没有报告;“高”和“中”的差别是有没有识别风险源头,是口头报告还是正式报告;“中”和“低”的差别是有没有报告的时间表;“低”和“很低”的差别是有没有风险指标。
(4)近一年的风险数据:违规成本或造成的损失。该维度衡量近一年内该风险发生造成的实际损失的相关数据。
(5)风险管理能力:人/技能/知识。该维度考虑两个方面:一是员工本身的管理战略风险的意识和能力;二是员工获取外部资源的途径是否充分,即有助于战略风险管理的渠道、信息、管理方法、管理模型等。员工的风险管理能力越强、能够获取的外部资源越多风险越低。
(6)风险管理能力:第三方。该维度衡量企业在进行战略风险管理时与第三方的关系。对第三方的依赖程度越高,风险越高。第三方包括:客户、商、供应商。
(7)风险管理能力:流程。对流程的影响是指改变流程的走向。主要看对关键流程的影响:影响多个关键流程对应“很高”;影响一个关键流程对应“高”;对关键流程没有影响对应“中”。
(8)风险管理能力:系统/数据/信息系统/安全。该维度衡量对企业关键信息系统的依赖和影响程度。依赖和影响的程度越大,风险程度就越高。如果信息系统出现问题,考虑是否能够由手工替代,若完全无法替代,则剩余风险较高。
(9)扩张或收缩。该维度是指未来12个月或更长的时间内管理这个风险的业务、人员、流程和系统发生变革的程度。发生变革的程度越大,则剩余风险越高。
(二)战略风险分布图评估
通过对识别出的各个战略风险的评分,我们可以得到有关单体风险的一个分值(X,Y),固有风险一个分
数(X)、剩余风险一个分数(Y),据此可以得到四象限矩阵的战略风险分布图,如图1所示。
战略风险分布图清晰地展示了企业目前面临的战略风险的现状,固有风险展示的是战略风险原生态的状况,是该战略风险的重要性的体现;剩余风险展示的是管理层施加管理控制措施后的风险水平,其实质上反映了企业的管控水平及能力。战略风险分布图可以让管理层一目了然地了解到战略管理中存在的问题,即哪些程序、哪些环节仍需进一步的调整与控制。
战略风险分布图已成为审计人员提出审计意见及改进建议的依据。针对第一象限的战略风险(双高风险),审计人员应建议管理层改善现有的管理措施,提升业务流程及人员的管理水平,加强对该风险事件的监测与控制;针对第二象限内的战略风险(固有风险高,剩余风险低),表明企业针对重大风险事件所采取的管理措施是行之有效的,但仍需继续关注,建议管理层定期评审相关流程的内部控制执行效力;针对第三象限内的战略风险(双低风险),审计人员应建议管理层重新部署有限的管理资源,将人力、时间投入到需要管控的其他流程上;针对位于第四象限的战略风险(固有风险低,剩余风险高),因其剩余风险是风险事件长期积累的结果,审计人员应进一步测量该风险的累积影响。
三、结束语
本文将战略风险管理与企业战略审计有机地融合,通过对基于风险控制的战略审计评估技术的探讨,并融合企业环环相扣的战略管理活动,使其真正能够起到改善并控制企业战略风险的功效,以此促进我国审计事业的良性发展。同时,基于风险控制的战略审计评估能促使企业内部控制系统不断实施、执行、评价和完善,趋于持续动态改进。
一、Y市农村火灾风险评估基本方法
要准确判断一个地区火灾的风险程度和危险度就必须通过合理的方法对该地区的火灾状况进行评价,找出关键节点,才能为火灾风险的控制提供有力支撑。风险评估的方法很多,主要有风险坐标图、层次分析法、关联图法、事故树分析法、关键风险指标法、专家技术评估法等。本文主要在现有理论的基础上,以Y市农村为例,采用层次分析法与专家评价法,将定性与定量有机结合建立一个评估体系,对火灾的风险进行量化和评估[1.2],得出不同因素对于火灾风险的影响程度,找出不同工作举措对于减少农村火灾风险起到的具体作用,最终确定最合理火灾防控措施,做到以最有效方法、最低投入到达最安全的保护[3.4]。
二、Y市农村火灾风险评估结构模型的设计
Comparing on the Tactics of Risk Assessment of Traditional Risk-based Audit and Modern Risk-based Audit
Abstract: Traditional Risk-based Audit and Modern Risk-based Audit are the two phases that Risk-based Audit has evolved. tactics of risk assessment of Traditional Risk-based Audit and Modern Risk-based Audit differ from each other while they still have some similarities. This paper does the Comparion on the Tactics of Risk Assessment from the following four aspects: orientation of risk assessment, extent of risk assessment, procedures of risk assessment and methods of risk assessment.
Keywords: Traditional Risk-based Audit Modern Risk-based Audit
Tactics of Risk Assessment Audit risk
一、引言
传统风险导向审计和现代风险导向审计是风险导向审计模式发展的两个不同阶段。传统风险导向审计和现代风险导向审计均以风险评估为起点,同时都将风险与控制方法贯穿运用于审计全过程,使审计过程成为一个不断克服和降低审计风险的过程。因此传统风险导向审计和现代风险导向审计两种审计模式在风险评估策略上存在一定的相同之处,但同时更多地体现出了差异。鉴于两种审计模式的风险评估策略较易被混淆,本文拟对两种审计模式的风险评估策略作一比较,对两者差异加以初步探讨。 二、传统风险导向审计和现代风险导向审计涵义
(一)传统风险导向审计 传统风险导向审计也称为控制风险导向审计[1]。审计模式 发展到传统风险导向审计的标志性事件是AICPA在1983年了第47号《审计准则公告》(SAS No.47)——“审计业务中的审计风险和重要性”,首次提出了审计风险模型。传统风险导向审计是指审计人员在审计过程中将风险分析、评价与控制融入传统审计方法(账项导向审计和制度导向审计)之中,进而获取审计证据,形成审计结论的一种审计取证模式。传统风险导向审计的基本程序并没有脱离制度导向审计模式,但它在制度导向审计模式的基础上更加注重风险评估和风险管理。针对制度导向审计不直接处理审计风险,不能对审计风险进行量化的缺点,传统风险导向审计引入审计风险模型,通过该模型将从各种渠道所收集的证据联系了起来,并在此基础上对审计风险进行定量评估,将审计资源相对合理的分配到高风险领域。 (二)现代风险导向审计
现代风险导向审计也称为经营(商业)风险导向审计、风险基础战略系统审计。1997 年,Bell 和 Frank 发表了名为《通过战略系统的视角对组织进行审计》的研究报告,首次提出了毕马威的BMP 审计模式,这标志着现代风险导向审计的产生。现代风险导向审计是审计技术方法在系统和战略管理理论基础上的重大创新,它以被审计单位的战略经营风险为导向,通过“战略分析——流程分析——经营业绩评价——财务报表剩余风险分析”的基本思路,将报表重大错报风险和经营风险联系了起来,从而提出了审计师从源头分析和发现会计报表错报的观念[2]。现代风险导向审计针对传统风险导向审
计风险评估不到位,未能有效发现高风险审计领域,造成审计过量或审计不足的缺点,大大加强了风险评估程序,做到了以风险评估中心,真正体现了风险导向审计的理念。
2003年10月国际审计和保证准则委员会(IAASB)了国际审计准则第315号( ISA 315) “了解被审计单位及其环境并评估重大错报风险”,将传统风险导向审计下的审计风险模型修改为:审计风险=重大错报风险×检查风险,明确规定了审计工作以评估财务报表重大错报风险作为新的起点和导向。这就导致了实务中普遍运用的现代风险导向审计在审计风险模型和审计具体风险导向等上和准则规定产生了一定的差异。鉴于这一点,特别指出本文所称的现代风险导向审计是指国际会计师事务所在实务中运用的以战略经营风险为导向的现代风险导向审计。 二、传统风险导向审计和现代风险导向审计风险评估策略比较
风险评估是指对审计风险的评估。美国注册会计师协会(AICPA)认为审计风险是指审计人员对于存在重大错报的财务报表未能适当发表意见的风险[3]。风险评估的目标就是确定
高风险环节,从而确定审计的范围和重点,并进一步确定如何收集、收集多少和收集何种性质的证据,以便更有效地控制和提高审计效果及审计效率。策略,是根据形势发展而制定的行动方针和方法。借鉴中注协(1997)对审计策略的定义,笔者将风险评估策略定义为审计人员根据确定的风险评估范围,选择能够达到风险评估目标而应当实施的最有效风险评估程序的基本思路、组织方式和具体方法。在本文中,笔者从风险评估导向、风险评估范围、风险评估程序、以及风险评估具体方法四个方面来比较两种审计模式的风险评估策略。
(一)风险评估导向
虽然国际审计准则规定,在传统风险导向审计下审计人员首先应当对财务报表整体层次和交易类别、账户余额认定层次的固有风险进行评估,但由于固有风险和控制风险都受内外部环境的,两者很难区分,因此审计人员通常难以对固有风险单独做出准确评估。又鉴于稳健性原则的考虑,实务中审计人员往往将固有风险简单地确定为高水平,从而将风险评估重点锁定在控制风险上。因此在实务中,传统风险导向审计实际上是以对控制风险进行的评估为切入点的,所以传统风险导向审计是以控制风险为导向的。
现代风险导向审计强调:审计人员的审计风险[i]主要来源于企业财务报表的错报风险,而企业财务报表的错报风险则主要来源于整个企业的战略管理风险和经营活动风险[4]。所以要充
分理解审计风险,审计人员就必须从企业的战略分析入手,充分识别企业内、外部风险并理解内外部风险对财务报表认定的影响。因此,现代风险导向审计并不直接从对固有风险的评估入手,而是间接地以被审计单位的战略经营风险为导向,通过综合评估战略经营风险从而确定财务报表剩余风险,并进一步确定实质性测试的范围、时间和程序。因此,现代风险导向审计是以战略经营风险为导向的。 (二)风险评估范围
在实务中运用传统风险导向审计时,审计人员往往忽略对固有风险的准确评估,而将固有风险简单地确定为高水平。因此在传统风险导向审计下审计人员往往不注重从宏观层面上了解企业及其环境(如行业状况、监管环境;企业的性质;企业的目标、战略、以及可能导致会计报表重大错报的相关经营风险;对企业财务业绩的衡量和评价)[5],而只关注企业的内部
控制。因此,在传统风险导向审计方法下,审计人员实际上只仅仅依赖对控制风险所作的粗放型评估来直接、大致确定检查风险水平。
现代风险导向审计要比传统风险导向审计站得更高,看得更远,对企业了解得更透。它将被审计单位置于广泛的系统中,认为有效的审计需要对企业所处的宏观经济环境和行业环境、战略目标和措施、影响企业目标实现的主要业务活动和关键经营环节以及剩余风险进行深入的了解。在现代风险导向审计下审计风险仍然由固有风险、控制风险和检查风险三要素组成,审计人员也同样要对固有风险和控制风险进行评估。但是相比传统风险导向审计,现代风险导向审计下“固有风险”的内涵扩大了,除了包括会计报表项目本身的风险外,更多地考虑了企业的经营风险。而且在现代风险导向审计下,企业内部控制已经发展到内部控制框架阶段,并有被企业全面风险管理框架取代的趋势,相比传统风险导向审计下的内部控制结构概念,现代风险导向审计下对控制风险进行评估时考虑的因素则更加全面了。
(三)风险评估程序 传统风险导向审计风险评估的基本程序可表示为:固有风险评估了解被审计单位的内部控制结构控制风险初步评估控制测试(可选)控制风险综合评估确定检查风险。审计人员在对固有风险进行评估时主要考虑以下因素:管理人员的品行、能力、变动情况和遭受异常压力的情况;客户业务特征;关联方;非常规交易;以前审计结果等。但由于种种原因,实务中审计人员往往忽略对固有风险的准确评估,通常的做法是将固有风险简单地确定为高水平,而将风险评估的重点放在控制风险上。审计人员在对被审计单位的内部控制进行了解时,首先从控制环境入手,再对制度和控制程序进行分析。分析控制环境时主要考虑以下因素:管理和经营作风;组织机构;董事会及审计委员会职能;人事政策和程序;确定职权和责任的等。然后审计人员基于当前对内控的了解对控制风险水平进行初步评估(计划估计水平)。如果审计人员将某一控制的控制风险初步评估为最高值,则对该控制不需执行控制测试而直接进入实质性测试阶段;但如果审计人员将某一控制的控制风险评估为低于最高值时,则就需要对该控制执行控制测试,从而来获取证据以支持低于最高值的风险水平。控制测试完成以后,审计人员对被测试控制的控制风险进行再次评估(最终估计水平),并根据最终估计水平来决定相应的检查风险水平。 风险导向审计风险评估的基本程序可用下图表示。如图所示(由于不能粘贴,此处图略),审计人员首先需要对客户的战略进行分析,分析时需要对客户的内外部环境进行了解,包括客户行业状况、监管环境以及其他外部因素(宏观环境等);被审计单位的目标、战略以及面临的经营风险;对威胁企业战略的风险做出的反应等。对客户的战略进行分析后即可对战略风险做出评估。现代风险导向审计下内部控制被分为管理控制(战略控制、高层控制)和流程控制(一般控制、员工控制)[6],在对 客户的战略进行分析时同时要对战略控制进行了解并进行评价。然后审计人员对客户的流程进行分析,分析时可从流程目标、投入、作业、交易类型、威胁流程目标的风险等八个维度来了解流程情况[7]。通过流程分析可
以了解客户创造价值的方式、竞争优势及劣势、威胁,从而来评估流程经营风险。在对客户的流程进行分析时同时要对流程控制进行了解并进行评价。在对战略经营风险和流程经营风险进行评估时特别要注重对舞弊风险的评估。然后在此基础上来对固有风险进行初步评估,在评估时除了要重点考虑经营风险可能引起的重大错报之外,还要考虑其他可能引起重大错报的因素(管理当局遭受的异常压力等)。审计人员在对客户的战略和流程进行分析时已经从企业整体层次对内部控制进行了了解(战略控制和流程控制)并做了评价,在这个基础上还要对内部控制的其他方面进行了解并给予评价,特别是要关注有关交易重要类别的控制。基于对内部控制充分的了解,审计人员然后对控制风险进行初步评估。由于固有风险和控制风险都受企业内外部环境的,两者之间存在着紧密的联系,因此审计人员在单独对固有风险、控制风险进行初步评估的基础上还须对两者进行综合评估,即固有风险和控制风险的联合。对联合风险的评估是审计工作的核心,因为接下来其余的审计工作都要围绕联合风险来进行,联合风险的评估结果是审计人员决定实质性程序性质、时间以及范围的基础[8]。然后审计人员对 值得信赖的控制进一步执行控制测试,从而来获取支持其较低控制风险水平的证据。最后根据控制测试结果并结合联合风险评估水平,审计人员对会计报表重大错报风险进行综合评估,从而来确定会计报表剩余风险(即检查风险),并进一步决定实质性程序的性质、时间以及范围。 (四)风险评估具体方法 风险评估的方法主要有观察、检查、函证、询问、穿行测试、分析性程序等多种审计取证手法。虽然传统风险导向审计客观上要求大量使用分析性程序来进行风险评估,但由于实务中审计人员往往忽略对固有风险的准确评估,因此限制了分析性程序的运用范围。而且传统风险导向审计对于信急的再加工重视程度不够,分析性程序主要适用在报表分析上[9]。 而在现代风险导向审计下,风险评估以分析性程序为中心,分析性程序成为最重要的程序。而且随着分析性程序功能的不断扩大,分析性程序开始走向多样化,审计人员不仅对财务数据进行分析,同时也对非财务数据进行分析。由于分析性程序的多样化运用,大量的分析工具以及现代管理方法被运用到分析性程序中去。如在战略分析时审计人员运用了PSET分析和POPTER分析方法;在流程分析时运用到了价值链分析(VCA))和波士顿矩阵(BCG)以及SWOT分析方法;绩效分析时运用到了平衡积分卡(BSC)和标杆管理(Benchmarking)分析技术[10]。将分析工具运用到风险评估中 使得风险因素不再独立,而且风险评估不再是一元评估,而是多元评估,因此风险评估的结果将更加可靠。
三、结论
1. 风险评估导向不同:
虽然国际审计准则规定传统风险导向审计应以固有风险为切入点,但在实务中传统风险导向审计实际上是以控制风险为导向的;而现代风险导向审计则是以战略经营风险为导向的。
2. 风险评估范围不同:
审计人员在实务中运用传统风险导向审计时往往会忽略对固有风险的准确评估,只通过对控制风险所作的粗放型评估来决定实质性测试的性质、时间和范围;而现代风险导向审计下审计人员除了要对传统的固有风险,即会计报表项目本身的风险进行评估之外,更多地是要考虑企业的经营风险,特别是注重对舞弊风险的评估[11]。同时由于内部控制概念内涵的扩
大,审计人员在对控制风险进行评估时考虑的因素相比传统风险导向审计下更加全面了。
3. 风险评估程序不同: 相比传统风险导向审计,由于现代风险导向审计增加了对企业战略和经营流程的分析,以及对经营风险的评估,而且最后将固有风险和控制风险联合起来进行评估,因此在评估程序方面现代风险导向审计比传统风险导向审计更完善。由于现代风险导向审计对审计风险考虑的更全面了,所以在现代风险导向审计下能够更好的将会计报表剩余风险降低到可接受水平。 4. 风险评估具体方法重点不一样: 两种审计模式在风险评估时都运用了观察、检查、函证、询问、穿行测试等风险评估方法,但相比传统风险导向审计,现代风险导向审计更注重分析性程序的运用,做到了以分析性程序为中心。
________________________________________
[i]国际会计师事务所认为审计风险应该是广义的,即不仅包括审计过程的缺陷而导致审计结果与实际不相符而产生损失或责任风险,还包括客户经营失败而导致审计主体遭受损失或不利的可能性。
:
[1] 王泽霞.论风险导向审计创新[J].会计,2004(12): 49-54
[2] 谢荣,吴建友.现代风险导向审计研究与实务发展[J].会计研究,2004(14):47-51
[3] AICPA:professional Standards As of June 1,1992,AU.31
[4] 谢荣,吴建友.现代风险导向审计基本内涵分析[J].审计研究,2004(05):26-30
[5] 陈毓圭.对风险导向审计方法的由来及其发展的认识[J].会计研究,2004(14):58-63
[6] 郑朝晖.战略系统审计:财务数据之合理预期[J/OL].会计视野,2004 [2006-4-17] doc.esnai.com/showdoc.asp?docid=448&uchecked=true
[7] 王义华.BMP审计模式介绍[J].中国注册会计师,2005(06): 69-70
[8] Ernst&Young Global Audit Planning Toolkit 2004[M], 2004: 65-67
中图分类号S165+.25文献标识码A文章编号1007-5739(2009)14-0269-02
风险分析在近20~30年来得到迅速发展,并已广泛应用于生物、医学、环境、技术应用和工程等领域。但针对某种农业气象灾害风险评估的研究较少,现有的成果也不很完善。今后农业气象灾害的风险评估,应该向哪个方面发展,是从事这一方面研究的工作者所要考虑的问题。因此,笔者对前人研究的成果进行总结和分析,找出其优缺点,以便在今后的工作中,扬长避短,少走弯路,更好地服务于农业生产。
1风险评估研究现状
1.1国内研究现状
农业气象灾害风险评估的国内研究,有李世奎、霍治国、王道龙等[1]主编的《中国农业灾害风险评价与对策》一书,此书以风险分析技术为核心,探讨了农业自然灾害分析的理论、概念、方法和模型。但是,有关农业气象灾害风险评估理论的基础研究仍相当薄弱。邓国等[2]提出用解析概率密度曲线法估计粮食产量序列的风险概率,对中国粮食产量不同风险类型进行了分区研究。薛昌颖等[3]利用河北及京津地区1949~2001年的冬小麦实际产量资料,选取历年减产率的变异系数、历年平均减产率和减产率风险概率作为评价指标,估算了干旱气候条件下河北及京津地区历年冬小麦产量灾损的风险水平。黄崇福等[4]针对湖南省各县市1979~1993年的灾情资料时间序列短、数量少的情况,引入模糊数学方法,对干旱等农业自然灾害进行了风险估算,并通过专题图直观地展示了风险的分布及其空间变化趋势。经文献检索,在风险评估方面,农业气象灾害风险评价标准还缺乏统一的认识和实践检验,实用性和可操作性强的风险评价模型甚少。
朱自玺等[5]做了小麦干旱风险评估技术和方法的研究,他们从降水资料出发,先按降水负距平绝对值的大小不同划分为不同的干旱等级,再求出不同干旱等级发生的概率,以此为基础建立了小麦气候干旱风险指数模型Ic=α1Is+α2Ie,式中Is为全生育期风险指数,Ie为小麦拔节期风险指数,α1、α2分别为其权重系数。然后又从作物需水量和供水量出发,按作物缺水程度不同划分为不同的干旱等级,算出不同干旱等级出现的概率,以此为基础建立了作物干旱风险指数模型Id=α1Is+α2Ie+α3Im,其中Is、Ie和Im分别为小麦全生育期、拔节期和灌浆期的作物干旱风险指数,α1、α2和α3分别为其权重系数。最后在气候干旱模型和作物干旱模型的基础上,建立了综合干旱风险指数模型I=(Ic+Id)/2,其中Ic为气候干旱风险指数,Id为作物干旱风险指数,并在此基础上对华北平原冬小麦干旱风险进行了评估和区划。中国农业大学的王素艳[6]做了北方冬小麦干旱风险评估及风险区划研究,对北方冬小麦干旱特征进行了详细分析,以此为基础对北方地区的光温和气候生产力进行了评估,建立了风险评估指标体系,并进一步做了北方冬小麦干旱灾损风险区划,这是对小麦干旱风险评估和区划的一次系统和详细的研究。
1.2国外研究现状
在国外的风险评估研究中,往往根据研究的侧重点将模型分为社会风险、经济风险、环境风险、潜在风险及综合风险等类型,各个类型内部又包含应用于不同领域的多个估算模型。以社会风险为例,所谓社会风险是指相对于某一给定的区域,或某一给定的人群,由某种灾害所引起的受损害的人数与其发生频率之间的关系。这种关系常用FN伤亡频率图表示。至于其评估模型,有Piers提出的AWR模型[7],Carter提出的SRI模型[8]及HSE提出的COMAH模型[9]等,其中COMAH模型主要应用于土地利用与规划方面。美英等国是国际上最先提出风险理论和应用的国家。美国学者WilliamJ.Petak和ArthurA.Atkisson在《自然灾害风险评价与减灾对策》一书中对美国主要自然灾害的风险分析进行了详细的论述。该书总结了美国主要自然灾害的风险与损失期望值,并在风险决策,特别是灾害管理政策的制定和减灾效益分析方面进行了详细的论述,但针对农业灾害的风险评估技术基本没有涉及[10]。日本继美英之后也比较注重风险评估和区划的研究,其针对强,注重实效,取得了令人瞩目的成就。日本于1998年建立了风险分析协会,其研究重点在环境和环境恶化方面。他们认识到,由于使用了现代科学技术,使原本脆弱的环境更加恶化,原本复杂的世界带来更多不确定性[10]。总体上,国外学者在风险分析研究方面多侧重于经济领域,对具体的某一种农业灾害风险分析的研究还不多见。
2风险评估中存在的问题
2.1风险评估指标中存在的问题
经文献检索,在国内农业气象灾害风险评估方面,一般有干旱风险评估、涝洪风险评估、冻害风险评估等。但在风险评估指标上,尤其是在干旱风险评估指标方面,虽然指标很多,但在评估中实用的指标很少,几乎所有关于干旱灾害风险评估文献中,都用降水负距平作为干旱灾害风险评估指标,即从某地某一时段(作物一个生长周期、某一生长段、年、季、月、旬、周或规定的天数内)的降雨量(观测值或预报值)与该地区该时段内的多年平均降雨量相比较而确定作物干旱程度,并在此基础上进行作物产量灾损程度、作物干旱灾害风险综合评估和区划等一系列工作。用降水负距平作为作物干旱评估指标,有一定的局限性。因为作物干旱灾害受多种因素的影响,其中包括作物田地土壤墒情的好坏、土壤性质、当地地下水位的高低、某一时期大气降水量的多少、人为水分补给量的多少、作物当时的表现症状等。其中跟作物干旱有最直接、最大关系的就是土壤墒情是否适宜,即土壤含水量的多少。在短期内,某一时段降水偏少,如果前期降水量偏多,则土壤墒情也会较好,作物并不一定发生干旱;或者地下水位较高,或者人为进行了灌溉,作物地块土壤墒情也不会差,作物也不会发生干旱。长时期的干旱,是由于大气环流的影响,导致降水量偏少所致,才有可能导致土壤干旱。因此用降水负距平作为作物干旱灾害评估指标,干旱时期越长,评估结果才会越准确。而对于短期干旱或干旱期间采取了灌溉措施,用降水负距平作为作物干旱评估指标评估的结果准确性较低,缺乏科学性。特别是近些年,随着农业生产条件的提高,灌溉面积的增大,再单纯的用降水负距平来评估作物干旱发生的风险情况,则不但短期干旱评估不准确,恐怕连长期干旱评估的结果都不可靠了。用土壤墒情作为作物干旱评估指标,因为作物根系直接生活在土壤中,是从土壤中而不是从大气中吸收生长发育所需的水分,土壤墒情的好坏直接影响到作物的生长状况。土壤墒情良好,作物生长顺利,表现较好;土壤墒情较差,作物生长不良,表现出干旱症状,并进而影响产量。不管用何种方式补充土壤水分,只要土壤墒情较好,作物就不受干旱影响。因此,用土壤墒情作为作物干旱灾害评估指标,既克服了用降水负距平作为干旱评估指标的缺点,又克服了农业生产水平的影响,无论是对短期干旱或长期干旱评估都会较为准确。
2.2风险评估及区划中存在的问题
风险是一个矛盾体,既是绝对的,也是相对的,从企业管理的角度来讲,管控的是相对风险,所以风险评估技术方法的研究首先要确定应用的对象;机巡作业风险评估技术针对的是机巡作业管控,所以机巡作业风险评估技术方法就应基于机巡作业企业的管理需求即管控目标来进行设计;风险评估技术方法的研究主要基于后果考虑具体因子的设计,形成机巡作业风险评估技术标准。机巡作业风险评估流程设计如下。(1)评估范围的划分——根据企业安全生产目标,确定风险管控目标;(2)危害因素的辨识——选取风险后果对管控目标能够造成影响的危害因素作为风险评估的对象;(3)风险评估——针对线路风险后果及涉及的各种危害因素,对线路风险进行定性评估,确定危害因素风险等级;(4)制定风险控制措施——对各危害因素制定控制措施,必要时还要制定新的控制措施。
1持续风险评估标准设计
中心引用可量化风险管理理念,采取现场作业“三维度”科学评价取值法,即根据涉及电网风险、现场风险以及作业环境风险相结合的“三维度”量化风险值,制定机巡作业中心持续作业风险评估技术标准。1.1危害因素辨识对。机巡作业影响因素进行分析,有交叉跨越方式与数量、作业环境、作业性质、电网等级、电网风险、巡视区域、飞行地域、线路密集程度、巡视机型等九个因素。1.2制定评估标准。(1)交叉跨越方式与数量。跨越1个危险点至4个危险点,所有机型取值分别为1/1.5/2/2.5,穿越一个点危险指数为100。(2)作业环境性质区域特征等指标,如表1所示。(3)电压电网风险及机型等级指标,如表2所示。(4)线路密集程度指标。线路密集程度分为两种,相邻线行≥100m,所有机型取值1,相邻线行50~100m(山区为100~150m)之间,所有机型取值1.5。1.3风险量化评估。1.3.1量化计算。根据电网风险、现场风险、作业环境风险量化结果对应的取值,使用量化评估公式:量化值(M)=[交叉跨越方式及数量系数]*[作业环境系数]*[作业性质系数]*[电压等级系数]*[电网风险系数]*[巡视区域系数]*[飞行地域系数]*[线路密集程度系数]*]巡视机型系数]。1.3.2机巡作业风险定级。根据计算出的量化值,将机巡作业分为以下五级:(1)特高的风险:400≤风险值,考虑放弃、停止。(2)高风险机巡作业:200≤风险值<400,需要立即采取纠正措施。(3)中风险机巡作业:70≤风险值<200,需要采取措施进行纠正。(4)低风险机巡作业:20≤风险值<70,需要进行关注。(5)可接受风险机巡作业:风险值<20,容忍。1.4现有控制措施。根据确定的风险和涉及的人员、电网情况,查找目前已有的控制措施,包括:管理人员的现场督察、检查;改善飞行和控制技术等已经应用的工程技术;防止风险而使用的安全工器具和个人防护用品、安全标识;保证人员意识和技能而开展的常态化人员学习与教育培训;为降低风险损失而采取的应急措施等。
2应用实例
对500kV嘉上甲线N1-N216的线路进行实际风险评估,通过2.3.1公式进行计算,(油动固定翼/有人机/多旋翼)综合风险值分别为6.75/6.75/13.5,都在巡线的容忍范围内。
3结语
本文对机巡作业风险评估技术方法的研究更多的是一种指引,文中一些影响因素的选取与赋值参考了广东电网机巡作业中心的一些数据,但这不是一个绝对的标准,仍不能完全适用于所有的机巡企业,每个企业在应用时,要通过一定范围的试用,通过试用评估结果对一些因素与赋值进行修订与完善,这样才能形成适用于企业的风险评估技术方法。
参考文献
[1]中国南方电网有限责任公司,安全生产风险管理体系[M].北京:中国标准出版社,2012.
[2]中国南方电网有限责任公司,安全生产风险管理体系审核指南[M].北京:中国标准出版社,2012.
[作者简介]沈克慧(1972—),女,管理学博士,江西省社科院助理研究员,研究方向为公司战略、风险预警。(江西南昌 330077)
本文系江西省社会科学院2012年重点课题“构建重大政策社会稳定风险评估制度研究”(主持人:高玫,编号:1222)的阶段性成果。
社会稳定风险评估是政府在政策制定和社会管理过程中的一项重要机制,其意义在于对政策出台后可能出现的社会稳定风险进行先期评估,并将评估结果作为政府进行决策和实施政策的主要依据。通过将社会稳定风险评估作为政策实施的前置程序,做到重大政策出台前有风险评估、实施后有责任追究,以实现从被动求稳到主动维稳的转变。作为当前一个新的加强社会管理的载体,社会稳定风险评估机制还存在若干法律问题,这些都需要我们进一步研究和完善。本文借助于风险评估的基本理论试图对重大政策的社会稳定风险评估系统进行理论研究,期望能为政策决策者从一个全新的视角提供理论支持。
一、重大政策风险评估系统研究目的、意义和基本程序
(一)重大政策风险评估系统研究目的
当前,中国经济的高速增长,各地开发力度不断加强,中国的现代化建设被挤压在一个相对有限的时空背景下进行。现代风险已经彻底改变了现在、过去和未来的关系,不再是过去决定现在,而是未来的风险决定我们今天的选择[1]。政府必须不断出台新的政策与经济发展相适应,同时也加大了社会稳定的不确定性。因此重大政策出台,应对其所带来的社会稳定风险进行适当评估。同时,重大政策在制定过程中人为因素很多,具有难以估计的复杂性,因此在对重大政策研究过程中进行分类应当区分可控和不可控风险,本文研究所探讨的是可控的重大政策风险。
(二)重大政策风险评估系统研究意义
重大政策要加强社会稳定风险评估的研究,这就需要通过建立一整套科学有序的评估方法,从源头上规避、预防、降低以及控制和应对可能产生的不稳定因素,提高应对社会风险的防范能力。从而及时预警因考虑不周全而侵害部分公民或集团的合法权益,获得群众对重大政策的理解与支持,降低改革中的阻力,确保改革稳定发展。
本文试图运用风险评估模型,通过建立重大政策社会稳定风险评估指标体系建构,将定量分析与定性分析相结合,使得风险评估法更加直观、更易于操作。重大政策社会稳定风险评估通过事先对重大事项的社会稳定风险程度进行分析预测、研判以及评估,及时发现影响社会稳定的隐患问题,及早采取针对性措施予以防范化解,为确保重大政策顺利实施提供科学依据和安全保障,保证社会运行在稳定有序的轨道上,进而防止严重危及经济发展和社会稳定的局面出现。
(三)重大政策风险评估系统研究基本程序
重大政策风险评估系统研究程序是基于管理学中的风险管理理论,包括以下几个过程:
1.风险识别
风险识别是将对重大政策所面临的以及潜在的风险,进行分类、判断以及归类鉴定风险性质的过程。
2、制定风险评估方案
由评估责任主体(重大决策拟定部门、政策起草部门、项目申报部门、改革牵头部门以及工作实施部门)负责制定评估方案,包括具体组织形式、时间安排、工作方法以及具体措施。
3、广泛征求意见
评估主体按照评估方案,就拟定重大政策进行公告、公示或者发放征求意见表、召开听证会、论证会等多种形式来征求各方意见。并将意见进行归纳、整理作为进行风险评估的第一手资料。
4、风险估测
在风险识别的基础上,邀请主管理部门、执行部门、相关专家等组成风险评估小组,对所收集的风险资料加以分析。同时,根据风险成因、潜在威胁以及如何化解矛盾等问题,进行风险规避。经过严格的审查报批程序和周密的判断以及科学研究论证,运用概率论和数理统计的方法,估计和预测风险发生的概率和损失的大小,这是风险的定量过程。
5、风险评价
用党的政策和国家法律、法规去衡量风险的程度,以便确定风险是否需要处理和处理的程度。衡量是否适应大多数群众的利益需求,是否得到大多数群众的理解和支持;是否可能引发较大的不稳定事件,以及是否制定相应的应急处置预案。
二、重大政策社会稳定风险系统研究
风险研究最早运用于项目工程管理。受20世纪世界范围内对经济安全进行评估预警思潮的启发,社会稳定风险评估工作机制逐步形成。西方各主要发达国家推出了一系列预警系统侦测经济安全,比如美国的“美国商情指数”(哈佛指数)、法国的“景气政策信号制度”、日本的“日本景气警告指数”等。
国内学者对社会稳定风险指标的研究源于1988年中国社会科学院社会学所成立的社会指标预警课题组,对社会稳定风险评估提出包括经济指标、生活质量指标、社会问题指标、主观指标四大类,40多个主客观具体指标组成的指标体系。宋林飞(1989)对社会稳定风险评估分为包括收入稳定性、贫富分化、失业、通货膨胀、腐败、社会治安、突发事件等7大类40多个指标构成的“社会监测与报警指标体系”[2]。朱庆芳(1992)提出由40多个指标构成的“社会综合报警指标体系”。仇立平(2002)负责的上海课题组提出由17个方面7 0多个具体指标构成的“社会稳定指标体系”。阎耀军(2004)提出6大类55个指标构成的预警系统。陈远章(2008)设计了一套涵盖社会公平、社会秩序、社会安全和社会舆情四个方面的社会风险预警指标体系。
综合国内外社会稳定风险评估方面的研究得出几点结论。其一,目前在重大政策中有涉及社会稳定风险评估方面的研究,但其研究侧重于经济和社会效益、生态环境方面影响的研究,对重大政策引发民众冲突的社会风险因素研究方面不够深入和系统(童星,2010),重大政策拟定部门开展社会稳定风险评估,包括“政策执行偏差”、“合法利益受侵害”、“较大规模的失业”、“社区解体”、“弱势群体对社会问题的态度”四个方面[3]。其二,重大政策社会风险的发生往往是由于缺乏相应的管理(杨琳等,2010),包括“地方政府的执政能力和执政水平”、“应急制度不完善[4]”导致的社会风险发生后恶性循环,引发出更大的社会风险;“技术支撑体系”没有或者较少建立,导致缺乏理论指导和媒体监督,致使相关管理人员不够重视潜在社会风险的发生。其三,指标体系的建立具有广泛和全面的特点。但条目过多,却导致社会监测困难。评价指标体系适用性差,缺乏普遍性,操作实施困难,不具备常规性和抽样性的特点,不利于及时发现问题。归纳已有的研究,笔者认为可以从社会稳定风险因素和相应的管理状态来建立重大政策社会稳定风险评估指标体系(见图1)。
(一)建立社会稳定风险因素测量指标
为使社会稳定风险进行综合评估更加直观、更易于操作,应先通过建立社会稳定风险指标体系。这些指标体系“是建立在理论基础上甄选出来的敏感指标组成的一种测量社会危机现象及其运行过程的指标体系”。一般来说,指标通常是用该地区公众对政治形势、社会发展不平、经济发展速度、社会经济政策等影响和制约个体行为的因素的估计、推测和判断为基础综合编制而成的。社会稳定风险因素包含“政策执行偏差”、“合法利益受侵害”、“较大规模的失业”、“社区解体”、“弱势群体对社会问题的态度”。这五个定性指标之下,根据陈远章的“社会风险预警指标体系”又分别建立了18个社会稳定风险因素测量指标(见表1),着力于从全社会的宏观角度来考察重大政策的存在对社会带来的贡献与影响,从而降低社会风险,保障经济的可持续发展。通过探索重大政策前置评估,进行科学、系统地研究,使其具有有效的操作性,同时,也改变了以往的评估指标不够科学性和系统性,在事实上促进了社会的稳定与和谐。
(二)建立相应的管理状态测量指标
政府部门相应的管理状态构成,能够较大程度地提高各级部门维护社会稳定的自觉意识,并因为重视民意而及时化解矛盾。这部分内容包括地方政府的执政能力和水平、应急机制、技术支撑体系建设,为二级指标。根据陈伟珂等“执行过程风险指标”建立了6个三级管理状态测量指标(见表2)。
三、建立重大政策社会稳定风险评估模型
通过风险预警模型的建立,将上述的各级指标赋予权重值后起先无量纲化后得到社会稳定风险程度指标,并根据指标大小来进行适度控制。根据图1和表1,建立下列社会风险预警评估模型:
ESRij=X1W1+X2W2+……+XnWn (1)
ESDi=ESR1jW1j (2)
ESRij为二级指标评价值, ESDi为一级指标评价值,X代表无量纲值, W代表社会风险预期各级指标权重,n为各级指标序号。通过上述公式测量出各级指标权重,并予以社会风险评价,根据评价结果对比风险等级予以相对应的风险识别。
上述指标权重是信息化水平评价的重要指标。为了提高评价的客观性、全面性和准确性,权重采用既反映决策者主观意志的主观权重,又反映决策客观数据的客观权重的组合权重。各层次的评价指标确定后,采用了在专家咨询法(Delphi),请有关专家对每个定性指标打分,并对不同等级的得分系数求加权平均数。定性指标在不同等级上的分值系数分别为:强1.0、较强0.8、中0.6、较弱0.4、弱0.2。定性指标则是通过对熟悉重大政策对社会风险影响的专家、政府官员等的调查得到的统计结果。在此基础上的层次分析法(AHP),对不同层次的各个指标进行赋权。在建立判断矩阵时运用专家咨询法对进行两量指标进行比较并赋值,权重的确定采用了层次分析法的计算思路。通过对每一级指标下的二级指标单因素评价可以得到隶属关系矩阵,它反映了某一、二级指标在各个指标上对各等级模糊子集的隶属情况,某一级指标的隶属情况分析就需要对二级指标的单因素评价结果进行综合。
四、应用前景
重大政策社会稳定风险评估是建立在与之相类似的科学理论、方法及技术手段基础之上,通过事先对重大事项的社会稳定风险程度进行分析预测、研判评估,及时发现影响社会稳定的隐患问题,及早采取针对性措施予以防范化解,为确保重大事项顺利实施提供科学依据和安全保障,保证社会运行在稳定与秩序的轨道上,从而防止严重危及社会稳定的局面出现。盲目决策,制定出台的政策、措施不科学、不合理、不符合群众的期待等此类问题,给社会稳定带来了巨大的压力。通过建立社会稳定风险评估制度,为决策设置一道“刚性门槛”,有利于提高决策的科学性,尽可能减少因决策失误给社会稳定带来的冲击。
[参考文献]
[1] (英)安东尼·吉登斯,赵旭东、方文译.现代性与自我认同[M].北京:三联书店,1998 .
[2]宋林飞.中国社会风险预警系统设计[J].社会学(人大复印资料)2000,(1).
得益于美国食品安全组织机构和联合监管制度,因此其食品安全程度是世界上最高的。美国负责食品安全的主要监管机构有设置在卫生部下的食品药物管理局、设置在农业部下的食品安全检验署和动植物卫生检验署及环保署。2003年,由卫生部、农业部、环保署成立了一个跨机构的食品安全风险评估联盟(RAC)。
(一)RAC构成概况
RAC由来自卫生部、农业部、商务部、环保署、国防部以及食品安全与应用营养联合研究所的17个成员构成。卫生部食品药品管理局的食品安全与应用营养中心是风险评估联盟的领导机构,因此RAC的主席由食品安全与应用营养中心派员担任。RAC下设政策委员会和多个工作组,政策委员会负责对联盟进行指导监督。执行美联邦食品安全风险评估的各部门组织结构如图1所示:
(二)RAC基本任务
RAC通过确定风险评估的优先领域,提供实施风险评估的技术指导活动,促进管理机构提高食品安全风险管理水平,并为各机构提供一个得以共享风险评估方法、数据、研究成果、法规、政策、进展等信息,交换相关策略与观点的平台。具体来说,RAC的主要任务一是确定食品安全风险评估的欠缺数据和关键的研究需求;二是通过减少重复性研究和鼓励多学科参与来促进与风险评估相关的研究;三是审定风险评估报告、方法、模型、数据集并加以分类,向食品安全与应用营养联合研究所的食品安全风险分析信息总汇(Food Safety Risk Analysis Clearing House)提供信息;四是作为成员机构的技术资源,提供建议和服务。需要强调的是,RAC只是将涉及食品安全风险评估的机构有机联系在一起,但具体的食品安全风险评估工作仍由各机构执行,因此其功能重在协调与交流,农业部、卫生部、环保署作为美国最主要的3个食品安全机构,它们各自的食品安全职责清晰,不存在交叉重叠,在风险评估领域有侧重地开展工作。
图1 美国风险评估系统组织结构图
二、日本
食品安全是日本极为敏感的问题。起因于日本近年来频繁发生的食品安全事件。2001年日本发现疯牛病后,又出现全国农业协会恶意欺骗消费者、使用虚假标识、以进口肉类冒充国产肉等事件。由此导致日本国民对政府原有食品安全监管体制失去信心,要求改变以往片面强调生产者利益的做法,真正地把消费者权益放在首位。强调必须打破食品安全监管部门之间的条块分割,将安全风险评估与风险管理职能分开,由单独设立的上层监督机构统一负责风险评估。
2003年7月1日,日本全国食品安全委员会正式成立,由7名委员组成,是全日本食品安全最高权威和决策机构。委员全部来自民间专家,由首相任命,国会批准。该委员会每届任期3年。
该委员会下设专门调查委员会和事务局。专门调查委员会负责风险评估事宜,分为三个评估专家组:化学评估组主要负责评估食品添加剂、农药、动物用医药品、器具及容器包装、化学物质、污染物质等项安全事宜;生物评估组主要负责微生物、病毒、霉菌及自然毒素等项评估工作;新食品评估组主要负责转基因食品、饲料肥料、新开发食品风险的检查评估工作。事务局由农水省和厚生省改组建立,主要负责风险管理工作。
日本全国食品安全委员会的主要职责:
第一,做好食品安全风险评估工作。这是日本全国食品安全委员会的最主要职能。它要组织专家通过科学分析的方法,对食品安全实施风险评估和检查,确定安全风险的程度和等级。同时,它还要承担行政执法部门如农水省、厚生省等负责对食品安全风险进行具体监管部门的咨询,解答各种技术问题。
第二,监督和指导风险监管部门的业务活动。根据风险评估的结论,对于存在安全风险的企业,要求风险监管部门采取应对措施,并监督其实施情况,防止行政执法不作为、失职和行为不当。
第三,建立风险信息的公开、交流与沟通网络。信息的完全是食品安全的必要条件。为了保证信息的通畅,食品安全委员会负责建立起由相关政府机构、消费者、生产者等广泛参与的风险信息公开与交流、沟通网络,并对风险信息网络实行综合管理。
三、欧盟
为了确保欧盟各国"从农场到餐桌"的食品安全控制,欧盟各国不仅建立了自己的食品安全监管机构,而且还根据欧盟范围内统一食品法的基本原则与要求,成立了欧盟食品安全管理局。欧盟食品安全管理局是欧盟进行风险评估的主要机构,其评估结果直接影响欧盟成员国的食品安全政策、立法。目前欧盟食品安全管理局主要是应欧洲委员会的请求进行风险评估,同时根据新出现的食品安全问题开展一些项目研究。欧盟食品安全管理局由管理委员会、行政主任、咨询论坛、科学委员会和8个专家小组组成。
欧盟食品安全管理局与美国的食品与药物管理局不同。虽然欧盟是多国组织,不能行使国家,其食品安全管理局没有制定规章制度的权限,但可以对整个食品链进行监控,再根据科学的证据做出风险评估,为政治家制定政策和法规提供信息依据。欧盟食品安全管理局的职责范围很广,主要任务是提供政策建议,建立各成员国食品安全机构之间密切合作的信息网络,评估食品安全风险,向公众相关信息。具体说,一是根据欧盟理事会、欧盟议会和成员国的要求,为风险管理决策提供有关食品安全和其他相关事宜(如动物卫生、植物卫生、转基因生物、营养等)的政策建议;二是为制定有关食品链方面的政策与法规提供技术性建议;三是收集和分析食品安全潜在风险的信息,监控欧盟整个食品链的安全状况;确认和预报食品安全风险;四是在其权限范围之内向公众提供有关信息。
欧盟食品安全管理局还在风险管理方面向其成员国提供必要的支援。在食品安全危机发生时,欧盟理事会将成立一个危机处置小组,欧盟食品安全管理局将为该小组提供必要的科学技术和政策建议。危机处置小组会收集相关信息,提出防止和消除风险的办法。欧盟食品安全管理局还承担着快速报警的任务。各成员国的食品安全机构有责任将本国有关食品和饲料存在的安全风险及其限制措施的信息,迅速通报给欧盟快速报警体系。欧盟理事会将收到的通报信息转发给各成员国和欧盟食品安全管理局。
参考文献:
引言
地面钻井抽采采空区煤层气(简称GD)是采煤采气一体化的重要组成部分,若能在工程开发前对所选区块进行风险评估并确定其风险等级,从而决定是否要在该区块开展GD项目,将大大提高GD项目的成功率。但前人研究内容以工程技术及资源评估为主,风险评估也仅在原位煤层气开发领域有所研究,GD风险评估研究缺乏。本文在前人研究基础上,尝试得出一种GD风险评估模型。
1风险识别
(1)是否有气判断是否有气即是对煤层气资源的评估。原位煤层气地质资源的赋存受气体来源、保存条件、运移过程的控制,对于GD项目同样适用,其气体来源于残煤及邻近煤层,其运移动力和通道均与煤炭开采有关,保存条件则表现在地质构造、采空区人为封闭对资源空间的封闭效果、地下水流动性对煤层气的携带作用、采空区积水对资源空间的破坏等。(2)能否产气能否产气取决于工程质量。工程质量是工程施工技术和自然因素综合作用的结果,其中技术因素包括钻、完、固井技术及套管强度等,自然因素表现为松软层与基岩层厚度相对大小、地层岩性组合、水文地质条件、采空区发火可能性、地表施工条件等。(3)是否盈利是否盈利有能否盈利和能盈利多少两层含义。对于GD项目,目前其主要的红利是体现在社会和环保方面,经济效益实际并不明显,但煤层气理论产出与预估投资总成本不可差距过大。综上所述,GD项目是否有气、能否产气、是否盈利的判别可细化为地质资源风险、工程施工技术及自然风险、产出效益风险。其中,技术风险实际上属于可控风险,选择优秀的施工单位无疑可以将技术风险降至最低,本文要做的是找出已经存在的不可控风险,对其进行风险评估,根据其风险等级来判断是否要在该区开展GD项目,因此技术风险不作考虑。
2风险评估模型
2.1风险评估指标体系构建
结合上文风险识别,构建GD风险评估三级指标体系如图1所示。其中,地质构造含义为断层发育情况,地下水流动性可由地下水矿化度反映,采空区封闭技术由封闭材料及煤炭资源情况即采空区残煤及邻近煤层煤炭资源情况,采空区发火可能性由煤层自燃倾向等级指示,岩层厚度含义为松软层厚度与基岩层厚度的相对大小,地表情况指地表是否完好、是否利于施工.
2.2风险评估方法
GD风险评估指标体系为一递阶层次结构,对于递阶层次结构往往基于多层次分析法,采用构建指标体系各指标两两对比构建判断矩阵并确定权重计算结果并确定隶属度的基本步骤进行分析决策。但本文分析认为,对于不同区块的GD风险评估,各指标相对重要程度各不相同,无法统一判断矩阵构建标准,不同区块GD风险评估统一模型也就无法构建。受学分绩点算法-分段绩点法启发,本文提出一种判断矩阵并确定权重的方法,从而统一了判断矩阵的构建标准。该算法在北京大学等高校广泛使用,其科学性较高,本文只是要利用该公式来统一不同区块进行GD风险评估时判断矩阵的构建,因此可以套用该算法,将式(1)中k值作为指标之间对比依据。需要区分的是对于风险评估,评估区块某一指标得分越高(打分标准详见2.3),说明其对风险贡献越小,因此在借鉴分段绩点法思想构建判断矩阵时,应采用两数相除的反比值。例如,若地质构造得分为90,地下水流动性得分为80,代入式(1),两者k值分别为3.8125、3.25,则地质构造/地下水流动性取值应为3.25/3.8125。最后,各风险评估得分由各指标乘以权重并求和得出,总风险得分则采用对3种风险求平均值的方式得出。
2.3风险评估标准
优良好坏是我们对于事物的定性评价,将定性评价赋值量化有利于评价结果的明朗化,风险评价标准即是对各风险指标不同情况的评价进行打分量化。本文分别列出各指标典型情况及其定性评价,并采用百分制(只取整数)对各典型情况赋予打分区间赋值情况如表1所示,在进行风险评价工作时可通过对比实际情况与典型情况,在打分区间内酌情取值。
2.险评估结果与分级
风险等级与指标评价相反,指标评价越高,风险得分越高,则代表风险等级越低。因此结合上文风险评估标准,设定风险等级V={v1,v2,v3},其中,v1代表风险小,得分区间[100,85];v2代表风险一般,得分区间[84,65],v3代表风险大,得分区间[64,0]。
3风险评估实例
以鹤岗矿区新陆矿11煤某采空区区块为例,对其进行GD风险评估。该区11煤单层开采,区块面积98730m2,煤厚20m,采煤方法为滑放,采高2m,顶板管理方法为自然冒落法。该区风险评估体系各指标情况、打分及权重计算结果如表2所示.煤层气预估资源量采用资源构成法计算得出,限于篇幅,本文不再详细介绍。根据表1可得,该区块GD项目的地质资源风险得分为72.96,风险一般;工厂自然施工自然风险为75.29,风险一般;产出效益风险得分为90分,风险小;总风险得分为79.42,风险等级为一般。因此,在该区块开展GD项目风险等级为一般,但其产出效益的小风险性可能会成为项目开展的主要原因。
4结语
(1)GD项目风险包括地质资源风险、工程施工技术风险、工程施工自然风险、产出效益风险,但在进行风险评估时由于工程施工技术风险的可控性,仅考虑其余3个风险。(2)借鉴分段绩点法思想能有效解决不同区块GD风险评估判断矩阵构建标准不统一的问题。
参考文献:
[1]尹志胜,桑树勋,周效志煤炭资源枯竭矿井煤层气运移及富集规律研究[J].特种油气藏,2014,21(5):48-51,153.
中图分类号:C931 文献标识码:A
1 课题的研究背景与意义
风险管理是信息系统安全运行的必要保证,是运行维护体系中最重要的环节,而风险评估则是风险管理的基础。首先,风险评估是电子政务系统的安全需求。信息安全风险评估是电子政务系统安全保障体系建立过程中的重要评价和决策依据。信息系统安全是相对的,没有绝对的安全系统。因此,为了实现电子政务系统的安全、稳定运行这一目标,就必须采取一系列的安全制度和技术保障方法,对电子政务系统风险进行事先防患、事中控制、事后监督及纠正,以化解因电子政务系统的脆弱性所造成的风险。其次,电子政务系统的脆弱性需要风险评估。电子政务系统软硬件本身存在着很大的脆弱性,一方面表现在设备的自然损耗、制造缺陷和不可预测的自然环境因素,如火灾、水灾、地震、战争等不可抗拒的自然灾难;另一方面表现在由于技术发展的局限和人类的能力限制,在设计庞大的操作系统、复杂的应用程序之初人们不能认识所有的问题,失误和考虑不周在所难免。再次,安全技术保障手段的欠缺需要风险评估。当前我国电子政务系统信息安全建设,在整体安全系统、内部网络安全监控与防范、智能与主动性安全防范体系、全面集中安全管理策略平台定制等方面,都有很多不足之处,迫切需要进行信息系统风险评估来发现弱点弥补不足。
2 电子政务系统风险评估要素的提取原则和方法
电子政务系统安全的风险评估是一个复杂的过程,它涉及系统中物理环境、管理体系、主机安全、网络安全和应急体系等方面。要在这么广泛的范围内对一个复杂的系统进行全面的风险评估,就需要对系统有一个非常全面的了解,对系统构架和运行模式有一个清醒的认识。可见,要做到这一点就需要进行广泛的调研和实践调查,深入系统内部,运用多种科学手段来获得信息。
2.1评估要素的提取原则
评估要素提取是指通过各种方式获取风险评估所需要的信息。评估要素提取是保证风险评估得以正常运行的基础和前提。评估要素提取成功与否,直接关系到整个风险评估工作和安全信息管理工作的质量。为了保证所获取信息的质量,应坚持以下原则:
一是准确性原则。该原则要求所收集到的信息要真实、可靠,这是信息收集工作的最基本要求;二是全面性原则。该原则要求所搜集到的信息要广泛、全面完整;三是时效性原则。信息的利用价值取决于该信息是否能及时地提供,即具备时性。
2.2 评估要素提取的方法
信息系统风险评估中涉及到的多种因素包括资产、威胁、漏洞和安全措施。信息系统的资产包括数据资产、软件、人员、硬件和服务资产等。资产的价值由固有价值、它所受伤害的近期影响和长期结果所组成。目前使用的风险评估方法大多需要对多种形式资产进行综合评估,所获取的信息范围应包含全部的上述内容,只有这样,其结果才是有效全面的。同时,评估时还要考虑:考虑业务中的关键部分,将其重点考虑起来。第二,哪些关于资产的重要决定取决于信息的准确度、完整性或可用性,以及要对那些资产信息加以重点保护。第三必须要考虑安全时间会对业务或者组织的资产产生哪些影响,如信息资产的购买价值,信息资产的损毁对政府形象的负面影响程度,信息资产的损毁程度对政府长期规划和远景发展的影响等等。
2.3 电子政务系统安全风险评估的流程及实施
2.3.1电子政务系统安全的评估流程
电子政务系统安全的风险评估是组织机构确定信息安全需求的过程,包括环境特性评估、资产识别与评价、威胁和弱点评估、控制措施评估、风险认定等在内的一系列活动。
2.3.2 电子政务系统安全风险评估的实施
电子政务系统安全的风险评估是一项复杂的工程,除了应遵循一定的流程外,选择合理的方法也很重要。为了使风险评估全面、准确、真实地反映系统的安全状态,在实施风险评估过程中需要采用多种方法。评估流程实施过程如信息网络安全技术测评是电子政务系统安全测评的重要手段,许多安全控制项都必须借助于技术手段来实现,但是单独依靠技术测评还不能全面系统的分析电子政务系统的安全。实践经验证明,仅有安全技术防范,而无严格的安全管理体系是难以保障系统的安全的。因此在测评中我们必须对被测评方制订的一系列安全管理制度进行测评。信息安全管理的测评可以单独进行也可以穿插到技术测评当中。随着信息技术的发展,信息安全测评工程师面临越来越多的挑战,为提高测评能力和效率,应充分的发挥主观能动性,利用各种现有的各种安全测试工具,开发安全测试工具、报告生成工具等。信息安全测评机构以及电子政务系统的运行、维护方必须共同努力,为我国的信息化发展保驾护航。
第一,参与系统实践。系统实践是获得信息系统真实可靠信息的最重要手段。系统实践是指深入信息系统内部,亲自参与系统的运行,并运用观察、操作等方法直接从信息系统中了解情况,收集资料和数据的活动。第二,问卷调查。问卷调查表是通过问题表的形式,事先将需要了解的问题列举出来,通过让信息系统相关人员回答相关问题而获取信息的一种有效方式。现在的信息获取经常利用这种方式,它具有实施方便,操作方便,所需费用少,分析简洁、明快等特点,所以得到了广泛的应用。但是它的灵活性较少,得到的信息有时不太清楚,具有一定的模糊性,信息深度不够等;还需要其他的方式来配合和补充。第三,辅助工具的使用,在信息系统中,网络安全状况、主机安全状况等难以用眼睛观察出来,需要借助优秀的网络和系统检测工具来监测。辅助工具能够发现系统的某些内在的弱点,以及在配置上可能存在的威胁系统安全的错误,这些因素很可能就是破坏目标主机安全性的关键性因素。辅助工具能帮助发现系统中的安全隐患,但并不能完全代替人做所有的工作,而且扫描的结果往往是不全面的。
参考文献
1 概述
电力物资作为电网公司的一个重要组成部分,其面临的风险对电网安全、平稳高效运行起到重要的基础性作用。由于电力物资具有质量和安全性要求较高、专业性强、种类繁多等特点,对电力物资的管理要求更加严格。及时准确、保质保量的物资供应是确保电力物资有效性的前提。在电力物资供应链流程中,风险评估与应对是其中的基础性工作和重要环节,其目的是确定电力物资供应过程中所面临的威胁、存在的弱点、造成的影响,并对三者综合作用所带来风险的可能性进行评估,进而有针对性地提出应对策略,帮助企业建立应对预案。
2 电力物资风险管理现状
电网行业涉及物资种类多,管理难度大。在国家电网公司的物资分类标准中,涉及到输变电物资十三大类,两千多小类。与此同时,由于各省和自治区的自然条件、地理状况不一,电网企业不可避免地使用非国网标准的物料。如此种类繁多的物资供应基本都是由各电网企业的物资分公司负责。在物资供应的实际工作中,需要面对种类繁多的物资需求,资质各异的供应商,供应过程也采用不同的采购、配送、仓储等方式,不但容易导致各种风险的发生,也给电力物资供应链风险管理带来了极大的困难。
风险管理流程一般包含风险识别、风险评估、风险分析和风险应对几个环节。电力物资供应存在很多主要问题:管理流程方面,风险管理体系目前还不够完整;供应商管理方面,存在信息披露不足,缺乏对供应链上游的管理等问题;风险评估方面,研究多流于理论,缺乏切实可行的评估方法;风险提示方面,缺乏有效的风险预警机制。其中亟待解决的是风险评估与应对问题。进行风险评估的前提是风险识别。一般而言,电力物资供应风险可以分为五个方面,分别是:控制风险、供应风险、需求风险、信息风险和财务风险。文章在这一分类前提下,运用相应的方法对风险进行评估,并提出相应的应对策略。
3 风险评估方法研究
电力物资供应风险评估方法的优劣将直接会对评估过程中的每个环节产生影响,甚至可能改变最终评估效果。因此,在电力物资供应链运行过程中,应根据实际情况选择合适的风险评估方法。
3.1 定量评估方法
定量评估方法是指运用可以赋予具体量化值的某些指标,对风险进行量化评估。这种方法为人们提供了一个科学、客观的数量分析法,其评估结果直观、具体。常用的定量分析方法有聚类分析法、聚类分析法、多目标决策法、线性与非线性回归模型等。
3.2 定性评估方法
定性的评估方法是指对事物的特性描述和分析之后,制定出定性的评估标准。定性评估往往比较全面,但是由于主要依靠评估者的知识、技能等,主观性比较强,要求评估者有较高的技能和素质。定性评估方法一般包括:因素分析法、历史比较法等。
3.3 基于AHP的风险评估模型
单一的定性或定量评估方法有其自身不可消除的缺陷,在实际风险评估运作流程中,将定性、定量评估方法的优点融合,组成定性和定量相结合的风险评估方法,应用到电力物资供应风险管理中。
在定性定量组合的风险评估方法中较为常见的是层次分析法,这一方法广泛应用于多目标、多准则、多要素、多层次的非结构化的复杂决策问题,特别是战略决策问题。它的基本思路是将复杂问题中的各种因素分为若干个相互联系的组合因素,然后根据一定的主观判断把各种因素划分为有序的层次结构,将一层次各元素之间两两比较进行定量描述,从而确定出相对重要的因素,利用数学指标计算相应的权值。
在电力物资供应链流程中,做出风险识别之后,需要依据大量的风险识别信息,并运用数量化的方法,对风险发生的概率和风险发生后造成的损失进行评预测和估计,最终确定风险水平,为决策是否采取该措施提供一定的保障。
风险值的衡量可以用风险发生的可能性与风险造成的损失度的乘积大小来表示。这一理论得到了广泛的认可和应用,其常见表述为:R=P×L,其中,R表示对风险度量值,P表示风险发生的可能性,一般用风险发生的概率大小来表示,L表示风险造成的损失度,一般用经济损失来表示。由于供电业务的特殊性,仅用电网企业自身的经济损失来衡量电力物资供应风险是不够的,还应考虑人员可能违规、电网稳定等因素。综合国内外学者的观点以及各种因素的考虑,应从人员违规、电网稳定、经济损失和社会形象四个角度进行评估。在具体的评估过程中,对风险发生的可能性可以采用分级评价方法,即将其分为极低、低等、中等、高等、极高五个等级。同样,对风险造成的损失可以分为极小、较小、中等、较大、严重五个等级。
4 风险应对策略研究
在对电力物资供应风险进行识别、评估后,应当及时作出相应的风险应对策略来减少风险的发生。企业应当从自身实际出发,对其面临的供应风险选择相应的风险管理策略,实施不同的处理方式。从电力物资供应链运作流程角度分析,文章提出四种风险应对策略:(1)风险转移。电力物资供应风险转移,是针对在供应链流程中存在的不可避免或无法消除的风险,对于此类风险,一般采用保险、分散两种方式。风险分散是将供应链中的某一节点转移到另一节点的过程,而保险转移往往是讲风险转移到企业外部。由于供应链本身具有传递性,而电力物资的特殊性要求其风险必须转移到外部才能解决问题。当发生不可预见因素导致的损失,且风险造成损失较大、涉及面较小,采用保险转移的策略比较合适。(2)风险规避。风险规避是指企业发生损失之前采取一定措施避开风险的发生。一般情况下,物资供应风险具有涉及范围广、发生概率高、风险类型复杂的特点,只有规避风险产生的操作方法和操作流程,使风险隔离在供应链流程外,才能有效的规避风险。(3)风险控制。风险控制主要指企业内部的控制,内部因素除了有关企业生产经营和管理的有关的因素外,还包括企业内部人员导致的风险因素。在实际物资供应链流程中,企业采取一定措施,对内部的人员、设备、资金等的控制,从而达到减少风险的目的。当风险发生的可能性比较小、损失较小的情况下,在内部采取一定的措施和方法应对物资供应风险是相对较容易的。(4)风险自留。企业出现风险无法规避而又不好转移的情况下,企业直接承担风险时,就发生了风险自留。这种情况下,风险发生的可能性较小,并且对企业造成的损失很小,在电力物资供应链运作流程中涉及的范围较小,企业可以选择忽略。
5 结束语
强化和规范好电力物资供应风险管理,把握好物资采购和供应,直接关系到整个电力行业供电安全、电力工程建设的优质性以及高效的经济效益。因此,必须对电力物资供应风险加以科学分析和评估,并在此基础上采取相应的措施,建立风险预警机制,实现对电力物资供应过程的有效监管。文章关注于物资供应链的运作流程,通过风险评估与应对对电网物资供应链风险进行全面管理,从而为电网公司在对电力物资进行科学管理时提供了一种风险管理视角和实用的内部控制措施。
参考文献
[1]安姝羽.电力行业物资供应链风险管理研究[D].武汉.华中科技大学,2012.
【关键词】
铁路运输;安全;风险评估
0 引言
铁路运输安全既与车、机、工、电、等各个铁路单位联系紧密,同时也涉及到自然环境以及社会经济领域,这其中有不少因素是我们不容易对其进行控制的,其生产的特殊性和复杂性客观上造成了铁路运输安全的弊端,使其面临着各种安全生产风险。在铁路运输安全风险评估中,比较常用的两种方法就是定性和定量。由于前者受到人为主观因素的影响比较多,评估结果的准确度比较低,所以,本文选择定量的方式进行评估。
1 铁路运输安全风险评估指标体系
安全风险管理指的是为了降低风险可能造成的事故,避免可能事故的发生带来的各种损失,而进行的风险识别、危险源分析、隐患判别、风险评价,制定并实施相应风险对策与措施的全过程。
在当今社会中,国际国内范围有关铁路运输系统安全管理相关理论与知识普遍以欧盟的标准为主,比如EN50126,其风险评估中提到了两个关键性因素,一是危险的可能性或发生的频率,二是危害导致的后果的严重性。本文以此为基础,并结合层次分析法与模糊数学理论,进行铁路运输安全的风险评估,具体分析了影响运输事故发生的人员素质、生产设备、生产环境和安全管理四方面因素(图1)。
1.1人员素质
人员素质影响风险管理的因素包括文化水平的高低、工种工龄的长短,职业技能的优劣,受训时间的长短以及人员身心状态是否良好五个方面,具体情况见表1。
1.2生产设备
生产设备的可靠性就是依赖于其完好状态、养护维修状态和综合精度等方面因素的,其中,生产设备完好状态评估又可以从设备运转、设备能耗和安全防护 这三点来进行具体的评估。
1.3生产环境
生产环境影响风险管理的因素包括工作环境、气象环境、人员暴露的频繁度三方面来分析的,其中,工作环境中涵盖了厂区的噪声、尘埃以及各种有毒、有害物质的防控等方面,关于其评估分值共分为五个条件,10分为非常好,8分为好,6分为一般,4分为不太好,2分表示非常差。气象环境的评估主要是以其造成的危害程度为标准,同样分成五个等级,并用五种颜色标记,10分为没有影响,记为白色,8分为一般,记为蓝色,6分为较严重,记为黄色,4分为严重,记为橙色,2分为非常严重,记为红色。人员暴露的频繁程度主要反映了在相对危险的条件下工作对员工工作的影响程度,具体同样分为五项标准,10分为基本不暴露,8分为有时会暴露,6分为总工作时间内有1h是暴露的,4分为有一半的工作时间是暴露的,2分为全工作时间暴露。
1.4安全管理
安全管理部分的影响因素包括四部分,即风险监管体系、安全风险教育培训、安全风险投入和事故应急处置。对于这四项的评估,需要在站/段安全委员会领导,车间主任参与并组织,相关技术人员具体执行的条件下进行,对于评分结果,最终报由站/段安全委员会处理,结果中的分数越低,表明指标完成越差。
2 风险评估下的风险管理
关于风险评估下的风险管理,本文主要从两点进行阐述,一是风险的分级管理,二是动态安全风险报警。
首先,风险分级管理就是以风险评估的各项结果为依据对影响铁路运输安全的因素进行分级管理,本文根据风险的重要程度分成五个等级,即特高风险、高风险、中等风险、低风险以及可接受风险,五种风险等级需要管理者引起不同程度的重视,并采取不同程度风险控制措施。
第二,关于动态安全风险报警。根据车间对每个班组提供风险信息的统计,对风险指标数据库进行实时更新,通过计算机安全风险监控,实现站/段统一管理的动态安全风险报警显示信息。
3 结论
综上所述,本文构建了铁路安全运输的评估指标体系,结合层次分析法与模糊数学理论对其进行了具体分析,分别从人员素质、生产设备、生产环境以及安全管理四个方面加以阐述,科学合理的对影响铁路运输安全管理的各影响因子做了详细分析,有利于在未来铁路安全运输评估中,通过量化的评估方法实现铁路安全风险管理分级,并能够实时进行安全风险报警。
【参考文献】
[1]张伟.铁路运输安全风险管理研究.第三届铁路安全风险管理及技术装备研讨会论文集(下册).2012(05).
[2] 袁永强. 设备技术状态综合评价方法的探讨[J].科技信息,2010(3).
中图分类号:TP309文献标识码: A 文章编号:1007-9599 (2010) 11-0000-01
Information System Security Risk Assessment Methods StudyChen Liandong1,Lv Chunmei2
(1.Hebei Electric Power Research Institute,Shijiazhuang050000,China;2.North China Electric Power University,Baoding071003,China)
Abstract:The scientific risk assessment is essential to the protection of information systems security,the paper on information security risk management has been introduced,and the variety of risk assessment methods are analyzed and compared.
Keywords:Risk assessment;Information security;Assessment techniques
随着计算机技术的发展,网络攻击、病毒破坏、电脑黑客等信息窃取和破坏事件越来越多,信息安全问题日益突出,因此进行信息系统安全管理具有重要意义。风险评估是信息安全管理的依据,信息系统进行科学的风险分析和评估,发现系统存在问题,对于保护和管理信息系统至关重要。
一、信息安全技术风险管理
信息安全是保护信息系统抵御各种威胁的侵害,确保业务保密性和连续性,使系统遭受风险最小化[1]。信息系统安全包括安全管理技术、风险评估、策略标准以及实施控制等多方面的内容。信息安全管理体系(Information Security Management System,ISMS)是信息系统管理体系的一个部分,包括建立、实施、操作、监测、复查、维护和改进信息安全等一系列的管理活动,涉及策略准则、计划目标、人员责任、过程和方法等诸多因素[1]。ISO27001是英国标准协会的关于建立和维护信息安全管理体系的标准。ISO27001要求建立ISMS框架过程为:确定管理体系范围,制定安全策略,明确管理责任,通过风险评估确定信息安全控制目标和控制方式[2]。当信息管理体系建立起来,则可以循环实施、维护和持续改进ISMS,保持体系运作的有效性。
二、风险评估方法概述
风险评估能够检测系统面临的威胁、潜在的安全漏洞和脆弱性,针对性地提出防护和整改措施,保障系统安全。完整的风险评估过程包括:前期调研,了解需求;制定项目计划,明确范围,确定各项评估指标体系,成立评估小组;识别并评估信息资产;估算威胁发生的可能性;识别脆弱点及其严重成度;进行风险描述,计算风险值,划分风险等级,得出评估分析报告;制定风险控制方法,进行风险处理。
风险计算描述如下:Risk=R(A,T,V)
其中R是安全评估风险函数,A是资产,T是威胁,V是脆弱性。由此公式可以计算风险值,估计信息系统的安全等级,以及风险对系统的破坏程度或者可能造成的损失程度。下面从不同的角度分析风险评估,得到划分如下。
(一)基于技术评估和基于整体评估
基于技术评估是指对信息系统现有的技术水平进行评估,包括信息安全人员技术水平、网络防护技术、信息系统抗攻击能力等方面进行评估。基于整体评估是从信息系统整体分析,确定信息系统所属等级,参照等级保护划分规则,在对系统定级的基础上进行风险评估。
(二)基于知识分析和基于模型分析
基于知识分析的风险评估方法是依靠评估者经验进行,采用获取专家评估经验,对评估指标因素进行分析,评估信息系统安全。基于模型分析的评估方法采用建模的方法,分析系统内部以及和外部交互时可能产生的危险因素,从而完成资产、威胁和脆弱性的分析。
(三)定性评估、定量评估和综合评估
定性评估是指对评估对象各个因素进行相应价值的判断。需要评估者对评估对象进行定性描述,如只关注威胁事件带来的损失,忽略了威胁发生的概率,因此得出的评估结果主观性强,具有数量化水平低等特点。定量评估主要分析资产的价值,威胁发生概率和脆弱点存在的可能性,用量化的数据进行表示,但是量化数据具有不精确特点。综合评估方法采用定量和定性结合的方法,通常是先进行总体性质的确定,然后进行定量分析,在量化基础上再进行定性分析。
三、典型评估方法比较
下面列出几种典型风险评估方法,有故障树分析、事件树分析等,趋于定性分析,BP神经网络、风险评审技术方法趋于定量分析,还有一些综合评估方法,如层次分析法[3]。
(一)故障树分析:通过对可能造成系统危险的各种初始因素进行分析,画出故障树,计算整体风险发生概率。特点是简明形象,逻辑关系复杂,适用于找出各种实效事件之间的关系。
(二)事件树分析:是一种逻辑演绎法,它在给定的一个初因事件的前提下分析此事件可能导致的各种事件序列的结果,可用于找出一种实效引起的后果或各种不同的后果,提高业务影响分析的全面性和系统性。
(三)BP神经网络:是一种按误差逆向传播算法训练的多层前馈网络,具有自学习能力,能够实现输入和输出之间的复杂非线性关系。缺点是风险因素的权值确定较难,优点是有自学能力,问题抽象化,适用于事故预测和方案择优。
(四)风险评审技术方法:通过模拟实际系统研制时间、费用及性能分布,针对不同条件对信息系统的风险进行预测,需多次访问,数据准确性要求高。
(五)层次分析法:是一种多指标综合评价方法。首先将相互关联、相互制约的因素按它们之间的隶属关系排成若干层次,再利用数学方法,对各因素层排序,最后对排序结果进行分析。特点是减少了主观因素中的影响,需求解判断矩阵的最大特征根以及对应的特征向量。适用于为决策者提供定量形式的决策依据。
四、结束语
本文介绍了信息系统安全管理,分析风险评估的流程,对风险评估方法整体从不同角度的进行划分,其中对几种典型的评估方法进行了比较和分析。风险评估对于信息安全管理具有重要的意义,相信以后还会出现新的,更加科学的风险评估方法。
参考文献:
对于当代企业的发展过程之中,有效的运用金融投资风险评估技术,不仅可以加强企业对金融投资风险的认知,也可以确保企业投资人员可以合理运用该技术对金融风险进行评估,可以更好地实现金融风险评估目标,发挥积极影响。以下对此做具体分析。
一、企业中应用金融投资风险评估技术的意义
在现代化企业金融投资环境之中,由于受到较多方面因素的影响,使得企业金融投资往往会面临着一些风险。而且,若是金融投资的风险偏大,则会使企业的市场经济活动也将会受到影响。要知道,对于企业发展过程中进行金融经济活动的方式,不仅是将资金投入到市场经营中,通常一些企业也会将剩余的资金用于金融投资,这样可以发挥金融的最大利用度,借助金融投资,使得企业经济获得更多的投资利润。企业的金融投资风险评估技术中,就是能够采用定量方法,或者是应用定性的评估方法,实现风险评价、风险衡量的整合,形成对金融投资风险的综合评估。为了确保企业的正常运营,应用金融投资风险评估技术,可以保证金融企业收益的高效化,可以有效避免在企业进行金融投资过程中产生一些经济损失。因此,在当前开展的企业金融投资之中,可优化运用企业的金融投资风险评估技术,从而对金融投资的风险可以进行提前准确评估,有助于不断促进投资行业的整体发展,发挥积极应用意义。
二、金融投资风险评估技术分析
1.VaR金融投资风险评估技术。在金融投资风险评估中,VaR技术,就是根据在线价值与置信水平之间的正比关系,评估金融投资风险大小。实际中,运用VaR评估技术开支金融投资风险评估之时,需要选择恰当参数,然后才可运用VaR评估技术进行金融投资风险评估。2.β系数法金融投资风险评估技术。对于金融投资风险评估技术,其中的β系数法,主要就是可以对于整体性的金融投资风险进行评估,也可以在衡量金融投资风险过程之中,利用较为简单的方法,描述出企业金融投资资产整体收益和市场资产相关方关系进行描述,从而可以对金融投资过程中存在的特种风险,开展绝对性的评估,提升技术应用效益。3.基于均值-方差衡量的评估技术。在进行金融投资风险评估之中,由于不确定评估风险大小与风险相关因素,此时就能够应用“均值-方差衡量”的风险评估办法,对那些影响金融投资的风险因素开展定性方面的评价,然后能够运用标准方差、变异系数等指标模式,有效的确定出企业开展金融投资的风险大小。4.风险图金融投资风险评估方法。开展金融投资风险评估之中,关于风险图评估方法,就是可以依据风险发生的严重性以及风险概率的大小,以此来制定风险图,评估企业的金融投资风险。在该评估技术植株,严重性主要就是指金融投资风险对企业经济业务产生影响的程度,而可能性则是发生风险的概率,将影响程度与可能性作为统计中高的指标,绘制出金融投资风险评估图,以确保企业可以掌握合理的风险评估管理手段,使企业可以把握金融投资风险动向,知难而退,有利必图。
三、当前金融投资风险评估技术应用中存在的问题
1.风险评估的指标并不统一。在对于企业开展金融投资过程中,运用风险评估技术,为了可以有效杜绝出现的评估精准度不够、评估失误等问题,可以优化设置一个统一的评估指标,强化提高风险评估的精度。首先要做到,就是能够在评估金融投资风险中,对于多个风险评估指标之间并不具备统一性,指标间的可比性较差。因此,如果仅仅利用上、下、高、低、多、少的顺序模式,评估分析企业金融投资风险,使用方差衡量评估技术,或者是使用β系数法评估,就会发现这两种评估技术得出的风险评估结果是不一致的。其次,就是在对企业金融投资风险进行评估时,不能去精细的描述金融投资风险的程度,这样就不利于从风险的侧面,去分析风险对企业金融投资产生的风险危害大小,不利于金融投资人精准获知金融投资风险的大小。2.不能合理维护金融投资人的利益。在目前企业运用金融投资风险评估技术之中,还并不能为金融投资人提供全面的金融利益保障。就如,在实际企业开展金融投资活动之后,并不能事先对投资风险进行精准的表述,以至于投资不能合理设置今后的金融投资计划。同时,在评估金融投资风险中,在采取β系数法进行风险评估,或者是应用均值-方差衡量来评估金融投资的风险之时,由于在评估计算投资风险的过程中会用到一些数据,而这些数据均是一些投资经验数据,其得出的结果一以往投资中可能存在的风险损失,并不能对未来的风险进行评估预测。
四、企业应用金融投资风险评估技术的优化建议
1.综合定量分析与定性分析。在企业开展金融投资活动中,运用金融投资风险评估技术,为精确评估风险,可以将定量分析同定性分析的评估技术相互结合,能够综合评估分析企业的金融投资风险大小。运用金融风险评估技术,可以综合当前市场金融投资的前景,同时分析金融投资风险打下,根据评估结果引领投资人能做到审时度势,合理操作管理企业的金融投资活动,有效规避金融风险造成的损失与不利影响。优化运用金融风险评估技术,可以更好的为做好企业金融投资工作服务,推动企业更快获得利益。2.优化运用风险衡量模型。在进行金融投资风险评估中,能够使用风险衡量模型定量分析风险,同时,也应该运用有效的定性分析法,对企业的金融投资风险进行充分的评估。一方面要建立静态的,在某一时点处的分布模型。另一方面要建立动态的过程模型,对静态的分布模型。人们对风险的认识及定量要求不同、管理者所关心的侧重面不同,对风险度量的方法也就不同。另外从风险的传统定义说明风险既包括遭受一定损失的可能性,也包括在一定可能性下损失的大小。因此可以把风险看作是具有某种分布函数的随机变量。开展金融投资风险评估工作,确保可以通过运用风险评估技术,有效识别金融投资过程中的风险事件,然后可以针对潜在的金融投资风险,优化金融投资决策,降低企业金融投资风险,保障企业金融投资的效益,发挥积极影响。3.开展风险模型的测试工作。在实际进行金融投资风险评估中,为获得更好的VaR法评估效果,可以先对VaR聘雇计算模型开展后验测试以及压力测试之后,优化风险模型,从而同时风险评估结果的准确性。在实际中,能够通过完善建立金融投资的内部评级体系,优化建立数据模型,可以正确寻找出风险因子同测试目标存在的风险传导机制,然后可以按照一定的风险评估规则,评估金融风险投资的损失。可以在现有的金融投资风险数据情况下,遵循先易后难以及逐步完善的模型建立原则,先从基础的模块入手,然后再逐步的建立适合企业金融投资产业务状况的测试模型,开发出评估金融投资风险精准的压力测试模型,可以更加有效的评估预测风险损失。
五、结语
综上所述,对于当企业金融投资活动之中,能够有针对性的强化采取金融投资风险评估技术进行风险评估防范,这样不仅可优化管理企业的金融投资风险,也有助于开展投资审计、监管工作,有效防范金融风险,并给带来更大的经济利益,发挥积极应用价值。参考文献:
[1]郑浩.金融投资风险评估的技术与应用研究[J].中国商贸,2013,(31):132-133.
[2]孔飞.试论企业金融投资风险评估的重要性及其实践[J].科技资讯,2015,13(1):241,243.
[3]唐景备.关于金融投资风险评估技术及其应用分析[J].中国商贸,2014,(25):141-142.