序論:好文章的創(chuàng)作是一個(gè)不斷探索和完善的過(guò)程����,我們?yōu)槟扑]十篇風(fēng)險(xiǎn)評(píng)估方法論范例�����,希望它們能助您一臂之力��,提升您的閱讀品質(zhì)��,帶來(lái)更深刻的閱讀感受��。
篇(1)
1.1對(duì)社會(huì)穩(wěn)定風(fēng)險(xiǎn)的認(rèn)識(shí)亟待宏觀化
造成轉(zhuǎn)型期的我國(guó)社會(huì)紛爭(zhēng)頻發(fā)����、重大多發(fā)的重要原因之一是:“維穩(wěn)”觀念落后、風(fēng)險(xiǎn)意識(shí)淡薄���、對(duì)社會(huì)穩(wěn)定風(fēng)險(xiǎn)機(jī)理的認(rèn)識(shí)不夠全面��,政府決策與公共管理中的宏觀性��、戰(zhàn)略性問(wèn)題沒(méi)有系統(tǒng)加以認(rèn)識(shí)和解決���,全局意識(shí)和戰(zhàn)略思想匾乏���,系統(tǒng)化、綜合性評(píng)估相對(duì)缺乏等等?��,F(xiàn)有社會(huì)穩(wěn)定風(fēng)險(xiǎn)研究主要將社會(huì)穩(wěn)定風(fēng)險(xiǎn)視為客觀存在�,即存在于“那里”�、獨(dú)立于人們頭腦和文化之外等待被測(cè)量的東西,強(qiáng)調(diào)風(fēng)險(xiǎn)的可計(jì)算性和可控性���,努力解決對(duì)社會(huì)穩(wěn)定風(fēng)險(xiǎn)進(jìn)行準(zhǔn)確評(píng)估計(jì)算的可行性問(wèn)題���,根據(jù)一個(gè)可度量的風(fēng)險(xiǎn)水平或?qū)︼L(fēng)險(xiǎn)的客觀評(píng)估,實(shí)現(xiàn)按照風(fēng)險(xiǎn)對(duì)社會(huì)系統(tǒng)預(yù)期或建模的損害有效降低風(fēng)險(xiǎn)的目的���。這種認(rèn)識(shí)路徑無(wú)法給人們認(rèn)識(shí)轉(zhuǎn)型期的社會(huì)穩(wěn)定風(fēng)險(xiǎn)提供一個(gè)更宏觀����、更綜合的框架���。貝克認(rèn)為����,風(fēng)險(xiǎn)是一種應(yīng)對(duì)現(xiàn)代化本身誘發(fā)并帶來(lái)的災(zāi)難與不安全的系統(tǒng)方法�����。維爾達(dá)沃斯基把風(fēng)險(xiǎn)定義為一個(gè)群體對(duì)危險(xiǎn)的認(rèn)知�。因此,風(fēng)險(xiǎn)在本質(zhì)上有其客觀依據(jù)�����,但必然是通過(guò)社會(huì)過(guò)程形成的��,總處于建構(gòu)的過(guò)程中����。社會(huì)穩(wěn)定風(fēng)險(xiǎn)是經(jīng)濟(jì)社會(huì)現(xiàn)代化轉(zhuǎn)型的產(chǎn)物,是一個(gè)多維度的社會(huì)現(xiàn)象����,是基于孕育在社會(huì)組織特定形式中的原則而被定義、被感知�����、被管理的。不同文化和社會(huì)背景下�,每一種社會(huì)生活形態(tài)都有自身特有的風(fēng)險(xiǎn)結(jié)構(gòu)。面向涉及經(jīng)濟(jì)��、政治�、技術(shù)、心理�、管理、社會(huì)等方面諸多要素集成的宏觀性��、整體性的社會(huì)穩(wěn)定風(fēng)險(xiǎn)研究尚處于起步階段����,社會(huì)學(xué)、政治學(xué)或公共管理學(xué)視角下的社會(huì)穩(wěn)定風(fēng)險(xiǎn)研究的宏觀理論和方法更是處在空白狀態(tài)�����。而且�,現(xiàn)有社會(huì)穩(wěn)定風(fēng)險(xiǎn)研究,要么偏重于“維穩(wěn)”工作的具體需要���,存在理論研究受制于業(yè)務(wù)需要的問(wèn)題����;要么社會(huì)穩(wěn)定風(fēng)險(xiǎn)研究成果難以獲得處在一線的政府工作部門的理解和應(yīng)用,被束之高閣���。以上問(wèn)題的解決需要我們?cè)诮梃b國(guó)內(nèi)外研究成果的基礎(chǔ)上�,加強(qiáng)對(duì)我國(guó)市場(chǎng)化��、工業(yè)化和城市化建設(shè)與社會(huì)穩(wěn)定風(fēng)險(xiǎn)關(guān)系的理解�,加強(qiáng)經(jīng)濟(jì)增長(zhǎng)和社會(huì)發(fā)展與社會(huì)穩(wěn)定風(fēng)險(xiǎn)管理的關(guān)系的理解��,努力揭示社會(huì)穩(wěn)定風(fēng)險(xiǎn)與社會(huì)經(jīng)濟(jì)轉(zhuǎn)型的緊密聯(lián)系��,堅(jiān)持可持續(xù)發(fā)展目標(biāo)和科學(xué)發(fā)展思想�����,積極提出和構(gòu)建社會(huì)穩(wěn)定風(fēng)險(xiǎn)研究的宏觀理論和方法��,宏觀地把握轉(zhuǎn)型期我國(guó)社會(huì)穩(wěn)定風(fēng)險(xiǎn)管理工作所面臨的主要矛盾和科研需求�����。
1.2對(duì)社會(huì)穩(wěn)定風(fēng)險(xiǎn)的評(píng)估亟待系統(tǒng)化
目前����,社會(huì)穩(wěn)定風(fēng)險(xiǎn)評(píng)估還不夠系統(tǒng)和規(guī)范�����,經(jīng)驗(yàn)性的粗放式的風(fēng)險(xiǎn)評(píng)估在實(shí)踐中較為普遍��。在理論研究領(lǐng)域�����,由于技術(shù)風(fēng)險(xiǎn)分析已經(jīng)發(fā)展了很多風(fēng)險(xiǎn)分析和評(píng)估的定性定量方法�,并在金融��、企業(yè)管理等微觀管理領(lǐng)域得到了廣泛的應(yīng)用�����,也確實(shí)可以提供與行動(dòng)的每種可能在邏輯上的或經(jīng)驗(yàn)上的知識(shí)�,幫助決策者估計(jì)預(yù)期的危害。因此�,許多研究者試圖將這一方法論體系運(yùn)用于社會(huì)穩(wěn)定風(fēng)險(xiǎn)的研究與應(yīng)用之中。但是這些研究忽視了社會(huì)穩(wěn)定風(fēng)險(xiǎn)系統(tǒng)與技術(shù)風(fēng)險(xiǎn)系統(tǒng)屬性��、基本結(jié)構(gòu)和功能等方面的本質(zhì)區(qū)別����,必然會(huì)引起諸多批評(píng)和質(zhì)疑��。這突出地表現(xiàn):(1)在風(fēng)險(xiǎn)后果認(rèn)定方面���,社會(huì)活動(dòng)活動(dòng)和后果間的相互影響是非常復(fù)雜的,取決于風(fēng)險(xiǎn)的特征����、個(gè)人、價(jià)值�����、社會(huì)以及文化等方面的因素����,忽視社會(huì)過(guò)程中個(gè)人價(jià)值和偏好以及利益博弈���,將帶來(lái)關(guān)于風(fēng)險(xiǎn)的爭(zhēng)論��,導(dǎo)致對(duì)風(fēng)險(xiǎn)的認(rèn)知偏差�,從而加重風(fēng)險(xiǎn)的嚴(yán)重性.(2)主要反映的是現(xiàn)有的社會(huì)經(jīng)濟(jì)管理的觀念�、政策和體制下的社會(huì)穩(wěn)定風(fēng)險(xiǎn)狀況和水平�����,不僅缺乏以社會(huì)經(jīng)濟(jì)現(xiàn)代化轉(zhuǎn)型為背景的宏觀認(rèn)知基礎(chǔ)�����,也缺乏對(duì)社會(huì)穩(wěn)定風(fēng)險(xiǎn)結(jié)構(gòu)躍遷的全面分析和整體把握�����。(3)系統(tǒng)工程方法在社會(huì)穩(wěn)定風(fēng)險(xiǎn)研究領(lǐng)域的運(yùn)用不夠合理��,例如����,社會(huì)穩(wěn)定風(fēng)險(xiǎn)的認(rèn)知不夠宏觀����,缺乏結(jié)構(gòu)性的認(rèn)識(shí);風(fēng)險(xiǎn)評(píng)估缺乏系統(tǒng)性�、綜合性;風(fēng)險(xiǎn)的防范與調(diào)控缺乏系統(tǒng)性的思考和建設(shè)���。更嚴(yán)重的是����,有的研究還出現(xiàn)了一些知識(shí)性錯(cuò)誤,比如,指標(biāo)的相關(guān)性缺乏必要分析���;指標(biāo)權(quán)重求解方法�����,如判斷矩陣和特征值法等缺乏邏輯和心理學(xué)基礎(chǔ)的方法���,仍然得到照搬照用。(4)簡(jiǎn)單用概率和后果來(lái)衡量風(fēng)險(xiǎn)在損害認(rèn)定方面排除了價(jià)值分歧和偏好��,實(shí)際上是虛構(gòu)的精確��,因而也就失去了實(shí)質(zhì)意義�,社會(huì)穩(wěn)定風(fēng)險(xiǎn)評(píng)估還應(yīng)考慮包括公正��、公平��、靈活性或可恢復(fù)性等互補(bǔ)目標(biāo)���。因此���,運(yùn)用系統(tǒng)科學(xué)和風(fēng)險(xiǎn)管理等現(xiàn)代科學(xué)理論�����,系統(tǒng)全面地認(rèn)識(shí)和把握社會(huì)穩(wěn)定風(fēng)險(xiǎn)活動(dòng)�����,不能停留在粗放的經(jīng)驗(yàn)性認(rèn)識(shí)水平上��,必須努力揭示轉(zhuǎn)型期的社會(huì)穩(wěn)定風(fēng)險(xiǎn)系統(tǒng)的基本結(jié)構(gòu)����、要素和功能,以便選擇系統(tǒng)合理的評(píng)估指標(biāo),建立起系統(tǒng)合理的風(fēng)險(xiǎn)評(píng)估指標(biāo)體系���。
1.3對(duì)社會(huì)穩(wěn)定風(fēng)險(xiǎn)的防范亟待戰(zhàn)略化
著名社會(huì)學(xué)家袁方指出:簡(jiǎn)單化地理解社會(huì)穩(wěn)定無(wú)疑也與社會(huì)穩(wěn)定的地位十分不相稱��,改革有具體的戰(zhàn)略體系和實(shí)施綱要���,發(fā)展也有五年計(jì)劃,而穩(wěn)定卻只停留在救火式的應(yīng)急控制上�����,顯然是不適宜的。我們應(yīng)當(dāng)從整體戰(zhàn)略的高度提出帶有整體性和全局性的社會(huì)穩(wěn)定思想���,使社會(huì)各階層不僅在穩(wěn)定壓倒一切下達(dá)成共識(shí),而且在如何實(shí)現(xiàn)穩(wěn)定的具體操作上通力合作����。我國(guó)社會(huì)經(jīng)濟(jì)轉(zhuǎn)型期的社會(huì)穩(wěn)定風(fēng)險(xiǎn)防范問(wèn)題首先是一個(gè)宏觀的戰(zhàn)略命題�,并在經(jīng)濟(jì)學(xué)本質(zhì)上是屬于資源利用的問(wèn)題,而絕非僅僅是一個(gè)資源配置的問(wèn)題��。所以�,我們的確應(yīng)當(dāng)從整體戰(zhàn)略的高度相應(yīng)提出一些帶有整體性和全局性的思考,從社會(huì)穩(wěn)定風(fēng)險(xiǎn)系統(tǒng)的不穩(wěn)定因子和時(shí)間屬性這一層面分析����,防范社會(huì)轉(zhuǎn)型時(shí)期的宏觀危險(xiǎn)性有必要轉(zhuǎn)變發(fā)展模式、利益格局和政府模式�,優(yōu)化社會(huì)穩(wěn)定的結(jié)構(gòu)性水平。為此���,需要在思想、行動(dòng)����、組織���、體制、機(jī)制���、法制�����、政策等方面采用一系列宏觀風(fēng)險(xiǎn)管理的系統(tǒng)性措施和宏觀風(fēng)險(xiǎn)治理的整體性方略��,對(duì)轉(zhuǎn)型期的社會(huì)穩(wěn)定風(fēng)險(xiǎn)防范工作缺乏戰(zhàn)略思考�����,建立起適合轉(zhuǎn)型時(shí)期特點(diǎn)的社會(huì)穩(wěn)定風(fēng)險(xiǎn)防范工作的基本思想和戰(zhàn)略管理體系��,減少社會(huì)轉(zhuǎn)型過(guò)程的隨意性����、盲目性��、短缺性與不確定性����,消除社會(huì)穩(wěn)定與社會(huì)經(jīng)濟(jì)發(fā)展要求之間不相協(xié)調(diào)的狀況和難以為繼的局面��。因此���,有必要探索并依據(jù)穩(wěn)定風(fēng)險(xiǎn)宏觀認(rèn)知和綜合評(píng)估的前沿研究,運(yùn)用系統(tǒng)科學(xué)���、風(fēng)險(xiǎn)管理和戰(zhàn)略管理理論���,努力探索轉(zhuǎn)型期的社會(huì)穩(wěn)定風(fēng)險(xiǎn)的基本防范策略,逐步形成適合轉(zhuǎn)型期特點(diǎn)的社會(huì)穩(wěn)定風(fēng)險(xiǎn)防范的基本思想和戰(zhàn)略管理體系�。另外,社會(huì)穩(wěn)定風(fēng)險(xiǎn)研究的前沿需求是將風(fēng)險(xiǎn)的認(rèn)知�����、評(píng)估和防范工作與現(xiàn)代化轉(zhuǎn)型這一基本現(xiàn)實(shí)緊密聯(lián)系起來(lái)����,進(jìn)而要求社會(huì)穩(wěn)定風(fēng)險(xiǎn)研究的系統(tǒng)化、宏觀化和戰(zhàn)略化���。這本質(zhì)上是學(xué)術(shù)研究工作在不斷貼近現(xiàn)實(shí)的同時(shí)進(jìn)一步科學(xué)化的過(guò)程���,而科學(xué)技術(shù)的迅猛發(fā)展,比如,系統(tǒng)科學(xué)的興起�����,也為風(fēng)險(xiǎn)研究的科學(xué)化提供了現(xiàn)實(shí)可能��。
2社會(huì)穩(wěn)定風(fēng)險(xiǎn)評(píng)估理論基礎(chǔ)與方法的核心內(nèi)容
研究社會(huì)穩(wěn)定風(fēng)險(xiǎn)評(píng)估的方向性把握��,梳理了穩(wěn)定風(fēng)險(xiǎn)研究的基本線索��、現(xiàn)實(shí)背景和科研需求���,據(jù)此本文提出和確立社會(huì)穩(wěn)定風(fēng)險(xiǎn)研究的宏觀化�����、系統(tǒng)化和戰(zhàn)略化的結(jié)構(gòu)主義路線����,其核心內(nèi)容包括將社會(huì)穩(wěn)定風(fēng)險(xiǎn)與現(xiàn)代化轉(zhuǎn)型緊密聯(lián)系起來(lái)��,揭示系宏觀認(rèn)知社會(huì)穩(wěn)定風(fēng)險(xiǎn)的宏觀結(jié)構(gòu)�����、基本要素、成因機(jī)理和躍遷方式�;以社會(huì)穩(wěn)定風(fēng)險(xiǎn)的宏觀認(rèn)知,引入系統(tǒng)科學(xué)理論與方法��,提出評(píng)估內(nèi)容�、體系和方法;從戰(zhàn)略層面上提出了防范策略����,為提高我國(guó)維護(hù)社會(huì)穩(wěn)定的綜合能力和整體水平提供科學(xué)依據(jù)。
2.1社會(huì)穩(wěn)定風(fēng)險(xiǎn)的宏觀認(rèn)知
在學(xué)術(shù)探索和業(yè)務(wù)實(shí)踐中,人們對(duì)社會(huì)穩(wěn)定風(fēng)險(xiǎn)的研究工作還處在起步階段��,難免存在一定的局限性����。這主要表現(xiàn)在以下幾個(gè)方面:(1)對(duì)社會(huì)穩(wěn)定風(fēng)險(xiǎn)系統(tǒng)的形成和存在機(jī)理缺乏認(rèn)識(shí),對(duì)轉(zhuǎn)型期的社會(huì)穩(wěn)定風(fēng)險(xiǎn)系統(tǒng)的客觀存在缺乏認(rèn)識(shí)����,不能符合系統(tǒng)科學(xué)的目的性原則,缺乏客觀存在與主觀能動(dòng)辨證統(tǒng)一的觀點(diǎn)����。同時(shí)����,對(duì)社會(huì)穩(wěn)定風(fēng)險(xiǎn)系統(tǒng)的發(fā)展演變?nèi)狈φJ(rèn)識(shí)��,對(duì)轉(zhuǎn)型期的社會(huì)穩(wěn)定風(fēng)險(xiǎn)系統(tǒng)的基本活動(dòng)及其原因缺乏認(rèn)識(shí)和預(yù)防�,對(duì)風(fēng)險(xiǎn)的系統(tǒng)����、要素及其環(huán)境的整體關(guān)系缺乏認(rèn)識(shí)。(2)對(duì)轉(zhuǎn)型期的社會(huì)穩(wěn)定風(fēng)險(xiǎn)系統(tǒng)的基本構(gòu)成和作用缺乏認(rèn)識(shí),不能符合系統(tǒng)科學(xué)的結(jié)構(gòu)功能原則��,比如����,在不穩(wěn)定因子方面,忽視現(xiàn)代化轉(zhuǎn)型對(duì)穩(wěn)定風(fēng)險(xiǎn)的宏觀影響的分析���;忽視社會(huì)經(jīng)濟(jì)統(tǒng)計(jì)數(shù)據(jù)的有效運(yùn)用在風(fēng)險(xiǎn)系統(tǒng)的孕育環(huán)境方面���,不少學(xué)者在關(guān)注“維穩(wěn)”力量這一主觀能動(dòng)的因素的同時(shí),卻忽視了從客觀層面上對(duì)社會(huì)系統(tǒng)的易損性進(jìn)行分析研究�,值得注意的是,許多研究者還經(jīng)常將風(fēng)險(xiǎn)系統(tǒng)中不同子系統(tǒng)范疇的因素混在一起��,模糊了社會(huì)穩(wěn)定風(fēng)險(xiǎn)系統(tǒng)的基本結(jié)構(gòu)和功能。(3)對(duì)風(fēng)險(xiǎn)的認(rèn)知�����、評(píng)估和防范相互脫節(jié)��,各自為營(yíng)���,不能符合系統(tǒng)科學(xué)的開(kāi)放性和集成性原則�??傊\(yùn)用現(xiàn)代系統(tǒng)科學(xué),對(duì)社會(huì)穩(wěn)定風(fēng)險(xiǎn)進(jìn)行科學(xué)的系統(tǒng)分析�,是社會(huì)穩(wěn)定風(fēng)險(xiǎn)評(píng)估的基本內(nèi)容,也為社會(huì)穩(wěn)定風(fēng)險(xiǎn)管理提供科學(xué)的決策依據(jù)�����。
2.2社會(huì)穩(wěn)定風(fēng)險(xiǎn)的系統(tǒng)化評(píng)估
系統(tǒng)化評(píng)估社會(huì)穩(wěn)定風(fēng)險(xiǎn)�,必須避免評(píng)估的形式化、庸俗化��、片面化傾向���,堅(jiān)持以下幾個(gè)方面的宏觀要求和實(shí)踐準(zhǔn)則,以符合社會(huì)穩(wěn)定風(fēng)險(xiǎn)的戰(zhàn)略化防范的要求��。(1)以社會(huì)穩(wěn)定的戰(zhàn)略規(guī)劃為目標(biāo)�����。評(píng)估風(fēng)險(xiǎn)是為經(jīng)濟(jì)社會(huì)發(fā)展�����、風(fēng)險(xiǎn)戰(zhàn)略化防范服務(wù)的�����,不僅要服務(wù)于有形規(guī)劃����,更要服務(wù)于概念規(guī)劃�����。社會(huì)穩(wěn)定風(fēng)險(xiǎn)在根本上是一個(gè)可持續(xù)發(fā)展問(wèn)題�����,是社會(huì)穩(wěn)定領(lǐng)域的資源利用失衡的問(wèn)題,不應(yīng)該被局限于微觀的資源配置范疇����。因此,以維護(hù)社會(huì)穩(wěn)定為目標(biāo)進(jìn)行社會(huì)穩(wěn)定風(fēng)險(xiǎn)的綜合評(píng)估,正是社會(huì)管理模式的探索和創(chuàng)新����。(2)以轉(zhuǎn)型期的社會(huì)經(jīng)濟(jì)現(xiàn)代化重構(gòu)活動(dòng)為起點(diǎn)。社會(huì)穩(wěn)定風(fēng)險(xiǎn)的形成和變化正是社會(huì)經(jīng)濟(jì)重構(gòu)活動(dòng)及其過(guò)程的直接反映����。把城社會(huì)穩(wěn)定風(fēng)險(xiǎn)的形成和演變過(guò)程與社會(huì)經(jīng)濟(jì)重構(gòu)活動(dòng)有機(jī)地聯(lián)系起來(lái),有助于強(qiáng)化社會(huì)穩(wěn)定風(fēng)險(xiǎn)和現(xiàn)代化轉(zhuǎn)型之間的內(nèi)在聯(lián)系�,不僅是深入理解社會(huì)穩(wěn)定風(fēng)險(xiǎn)的系統(tǒng)機(jī)制的一個(gè)新的起點(diǎn),也是建立和實(shí)施社會(huì)穩(wěn)定風(fēng)險(xiǎn)評(píng)估指標(biāo)體系的新起點(diǎn)。(3)與時(shí)俱進(jìn)����,反映社會(huì)穩(wěn)定風(fēng)險(xiǎn)的時(shí)代淵源和形勢(shì)特征。當(dāng)前��,中國(guó)進(jìn)入了城市化的加速時(shí)期��,工業(yè)化進(jìn)程事實(shí)上進(jìn)入了重化工業(yè)階段,市場(chǎng)化進(jìn)入了社會(huì)主義市場(chǎng)經(jīng)濟(jì)體制建設(shè)的攻堅(jiān)和完善階段����。人們?cè)诳吹焦I(yè)化、市場(chǎng)化和城市化的輝煌成就時(shí),并不意識(shí)到這一切同時(shí)也是構(gòu)成當(dāng)前我國(guó)社會(huì)失穩(wěn)的重要原因�����。正是以城市化�����、工業(yè)化和市場(chǎng)化為主流和動(dòng)力的城市社會(huì)經(jīng)濟(jì)領(lǐng)域的重大變革���,促成了我國(guó)內(nèi)部社會(huì)經(jīng)濟(jì)的重構(gòu)活動(dòng),并代表了轉(zhuǎn)型期的社會(huì)穩(wěn)定風(fēng)險(xiǎn)的時(shí)代特征�����。這同樣需要在評(píng)估體系中加以揭示和反映。
2.3社會(huì)穩(wěn)定風(fēng)險(xiǎn)的戰(zhàn)略化防范
當(dāng)前�����,轉(zhuǎn)型期的我國(guó)社會(huì)穩(wěn)定既有社會(huì)穩(wěn)定有效需求不足的問(wèn)題����,也有社會(huì)穩(wěn)定有效供給不足的問(wèn)題,這需要結(jié)合具體領(lǐng)域的現(xiàn)代化建設(shè)水平加以具體分析����。我國(guó)社會(huì)的生產(chǎn)力總體水平不高�,現(xiàn)代化建設(shè)的宏偉目標(biāo)尚待實(shí)現(xiàn)����,進(jìn)入后現(xiàn)代社會(huì)還需要一個(gè)相對(duì)漫長(zhǎng)的建設(shè)過(guò)程。因此��,當(dāng)前許多社會(huì)穩(wěn)定的宏觀工作主要面臨有效供給不足的問(wèn)題��,需要加以認(rèn)知�����、評(píng)估和防范����。
篇(2)
行政事業(yè)單位于2014年1月1日起全面實(shí)施《行政事業(yè)單位內(nèi)部控制規(guī)范》,在今后的一段時(shí)間里�,將是行政事業(yè)單位相關(guān)領(lǐng)導(dǎo)、部門��、財(cái)會(huì)���、審計(jì)的一個(gè)核心工作���。風(fēng)險(xiǎn)評(píng)估在《規(guī)范》中第二章�����,是行政事業(yè)單位及時(shí)識(shí)別在管理服務(wù)活動(dòng)中實(shí)現(xiàn)內(nèi)部控制目標(biāo)相關(guān)的風(fēng)險(xiǎn)����,系統(tǒng)分析風(fēng)險(xiǎn)的影響程度和損失可能性��,并合理確定風(fēng)險(xiǎn)的應(yīng)對(duì)策略�����,用通俗的話解釋����,就是梳理單位在工作流程中時(shí)容易出現(xiàn)問(wèn)題的點(diǎn)���,然后針對(duì)這些點(diǎn)制定相關(guān)制度�,進(jìn)行管理�。
一、風(fēng)險(xiǎn)評(píng)估的重要性
目前我國(guó)行政事業(yè)單位對(duì)風(fēng)險(xiǎn)評(píng)估的重視還不充分�,風(fēng)險(xiǎn)意識(shí)還不強(qiáng)���。行政事業(yè)單位是掌握公共權(quán)利的重要機(jī)構(gòu),當(dāng)行政事業(yè)單位行使公共權(quán)力不受制衡或監(jiān)督時(shí)�,一旦日常工作出現(xiàn)失誤或者違法,就會(huì)造成極大地?fù)p害��。比如說(shuō)前幾年在我國(guó)東南部某省份發(fā)生的貧困縣財(cái)政巨款轉(zhuǎn)澳門豪賭案件����,就是一個(gè)典型案件。在當(dāng)今媒體言論日益自由��、網(wǎng)絡(luò)傳播迅速的大環(huán)境下��,一旦出現(xiàn)內(nèi)部控制案件���,對(duì)政府的形象會(huì)造成極大地影響����,甚至引發(fā)各種社會(huì)和政治風(fēng)險(xiǎn)�。如果說(shuō),發(fā)生在企業(yè)的內(nèi)部控制案件造成的最主要損失是經(jīng)濟(jì)損失�����,那么行政事業(yè)單位內(nèi)部控制風(fēng)險(xiǎn)案件在經(jīng)濟(jì)損失之外還造成了巨大的社會(huì)和政治損失,因此我們必須對(duì)行政事業(yè)單位的風(fēng)險(xiǎn)評(píng)估加以重視�。
二、風(fēng)險(xiǎn)評(píng)估程序
前面介紹風(fēng)險(xiǎn)評(píng)估的定義����,比較抽象,不太容易理解��,以下結(jié)合行政事業(yè)單位實(shí)際��,具體分析風(fēng)險(xiǎn)評(píng)估程序在行政事業(yè)單位的運(yùn)用及特點(diǎn)�。風(fēng)險(xiǎn)評(píng)估程序一共包括四個(gè)部分,設(shè)定目標(biāo)�����、找出實(shí)現(xiàn)目標(biāo)的風(fēng)險(xiǎn)�����、評(píng)估風(fēng)險(xiǎn)�����、最后管理風(fēng)險(xiǎn)����。
(一)設(shè)定內(nèi)部控制目標(biāo)
設(shè)定內(nèi)部控制目標(biāo),先要進(jìn)行工作流程的梳理��,以某縣財(cái)政局的經(jīng)濟(jì)建設(shè)股為例���,這個(gè)股的工作內(nèi)容是分管上級(jí)撥付用于病險(xiǎn)水庫(kù)��、農(nóng)田改造等支農(nóng)項(xiàng)目的專項(xiàng)資金��。在這個(gè)工作內(nèi)容中��,主要涉及兩個(gè)工作流程�����,項(xiàng)目資金管理和項(xiàng)目資金會(huì)計(jì)核算�����,其中項(xiàng)目資金管理這一流程中�,有項(xiàng)目申報(bào)��、資金批復(fù)��、項(xiàng)目前期管理、撥付啟動(dòng)資金�、撥付進(jìn)度資金和項(xiàng)目竣工管理等業(yè)務(wù)節(jié)點(diǎn)。在撥付進(jìn)度資金這一環(huán)節(jié)�����,確保項(xiàng)目進(jìn)度資金按照真實(shí)的項(xiàng)目進(jìn)度撥付�,就是項(xiàng)目資金管理這個(gè)流程中的一個(gè)目標(biāo)。 不同行政事業(yè)單位的內(nèi)部控制目標(biāo)是不一樣的��。在實(shí)際工作中要認(rèn)真進(jìn)行目標(biāo)識(shí)別�����,把風(fēng)險(xiǎn)評(píng)估的第一步做好����,才能繼續(xù)后面的找出實(shí)現(xiàn)目標(biāo)的風(fēng)險(xiǎn)、分析風(fēng)險(xiǎn)和管理風(fēng)險(xiǎn)�。
(二)找出實(shí)現(xiàn)目標(biāo)的風(fēng)險(xiǎn)
風(fēng)險(xiǎn)評(píng)估的第一步做好后,接下來(lái)思考哪些事情可能會(huì)對(duì)內(nèi)部控制的目標(biāo)實(shí)現(xiàn)產(chǎn)生影響����?這些事情,把它稱為風(fēng)險(xiǎn)事項(xiàng)。以某縣財(cái)政局經(jīng)濟(jì)建設(shè)股為例來(lái)分析如何找出實(shí)現(xiàn)目標(biāo)的風(fēng)險(xiǎn)�。該股室涉及的工作流程�,即項(xiàng)目資金管理和項(xiàng)目資金會(huì)計(jì)核算。在項(xiàng)目資金會(huì)計(jì)核算這個(gè)工作流程中�,有整理原始憑證、審核原始憑證����、編制記賬憑證、審核記賬憑證����、登記賬簿、對(duì)賬�����、編制財(cái)務(wù)報(bào)告���、整理歸擋等業(yè)務(wù)節(jié)點(diǎn)��。其中一個(gè)業(yè)務(wù)節(jié)點(diǎn)是對(duì)賬���,這個(gè)業(yè)務(wù)節(jié)點(diǎn)的目標(biāo)是確保賬證相符、帳帳相符、帳表相符�。這個(gè)內(nèi)部控制目標(biāo)的實(shí)現(xiàn),面臨哪些風(fēng)險(xiǎn)事項(xiàng)呢����?第一個(gè)風(fēng)險(xiǎn)事項(xiàng):是否及時(shí)查出和更正對(duì)賬過(guò)程中發(fā)現(xiàn)的未達(dá)賬項(xiàng);第二個(gè)風(fēng)險(xiǎn)事項(xiàng):專戶之間資金撥付是否串戶����。這樣就識(shí)別出了關(guān)于“確保賬證相符、張張相符����、帳表相符”這個(gè)控制目標(biāo)的風(fēng)險(xiǎn)事項(xiàng)。
(三)評(píng)估風(fēng)險(xiǎn)
評(píng)估風(fēng)險(xiǎn)是在風(fēng)險(xiǎn)識(shí)別的基礎(chǔ)上對(duì)風(fēng)險(xiǎn)發(fā)生的可能性及其影響程度等進(jìn)行分析判斷����,以確定風(fēng)險(xiǎn)重要性水平的過(guò)程。方法采用定性與定量相結(jié)合����,按照風(fēng)險(xiǎn)發(fā)生的可能性及其影響程度等,對(duì)識(shí)別的風(fēng)險(xiǎn)進(jìn)行分析和排序�,確定關(guān)注重點(diǎn)和優(yōu)先控制的風(fēng)險(xiǎn)。應(yīng)當(dāng)充分吸收專業(yè)人員�,組成風(fēng)險(xiǎn)分析團(tuán)隊(duì)���,按照嚴(yán)格規(guī)范的程序開(kāi)展工作,確保風(fēng)險(xiǎn)分析結(jié)果的準(zhǔn)確性�。行政事業(yè)單位的工作內(nèi)容和特點(diǎn)決定了,在進(jìn)行風(fēng)險(xiǎn)評(píng)價(jià)時(shí)�����,很難把業(yè)務(wù)完全交給第三方中介機(jī)構(gòu)���。
(四)管理風(fēng)險(xiǎn)
管理風(fēng)險(xiǎn)也稱風(fēng)險(xiǎn)應(yīng)對(duì)策略,風(fēng)險(xiǎn)應(yīng)對(duì)策略有四種����。舉例說(shuō)明,某人辦了個(gè)農(nóng)場(chǎng)���,租一千畝地��。那么這個(gè)人面臨什么風(fēng)險(xiǎn)呢�����,首先是天氣�����,如果天氣不太好��,就要陪錢��。第二種風(fēng)險(xiǎn)���,農(nóng)場(chǎng)雇了許多工人���,但這些工人突然家里有事、辭職�、身體不好等各種原因,在農(nóng)忙的時(shí)候都不能上班�,農(nóng)作物就會(huì)壞在地里。這個(gè)人為了降低這些風(fēng)險(xiǎn)���,想了幾個(gè)辦法�����。首先�,他到期貨市場(chǎng)買了個(gè)對(duì)沖天氣的期貨合約����。然后到保險(xiǎn)公司為員工的盡職敬業(yè)投了一個(gè)保險(xiǎn)��。最后制定了個(gè)制度�����,工資分為績(jī)效和基本工資�,平時(shí)每個(gè)月只發(fā)基本工資�����,等農(nóng)忙結(jié)束����,農(nóng)作物全部賣出去了�����,才把一年的績(jī)效工資發(fā)給工人�。這三件事就是風(fēng)險(xiǎn)管理的方法,對(duì)沖和投保叫做風(fēng)險(xiǎn)轉(zhuǎn)移��。工資改革叫做降低風(fēng)險(xiǎn)�����。當(dāng)然,他還有另外兩種方法�,一種是不種地了,這叫風(fēng)險(xiǎn)規(guī)避�����。還有一種就是隨他去吧�����,能怎么樣就怎么樣吧��,這叫接受風(fēng)險(xiǎn)�。企業(yè)在風(fēng)險(xiǎn)應(yīng)對(duì)策略上任選一種都可以,行政事業(yè)單位由于本身的工作特點(diǎn)和控制目標(biāo)的不同�����,在風(fēng)險(xiǎn)應(yīng)對(duì)策略上具有特殊性及限制性�,比如:財(cái)政部門在管理國(guó)家專項(xiàng)資金時(shí),認(rèn)為風(fēng)險(xiǎn)高����,干脆不做這件事情�,可能嗎�?在評(píng)估關(guān)系到公共服務(wù)與民生項(xiàng)目時(shí),行政事業(yè)單位不能因?yàn)轱L(fēng)險(xiǎn)高就規(guī)避風(fēng)險(xiǎn)而拒絕實(shí)施��。所以在風(fēng)險(xiǎn)對(duì)策上����,行政事業(yè)單位的選擇比一般組織難度更高。
三���、完善與強(qiáng)化控制方法
在《規(guī)范》中���,無(wú)論是單位層面還是業(yè)務(wù)層面的風(fēng)險(xiǎn)評(píng)估,都要根據(jù)內(nèi)部控制風(fēng)險(xiǎn)評(píng)估的結(jié)果����,依據(jù)風(fēng)險(xiǎn)應(yīng)對(duì)的策略采取各種控制方法實(shí)施內(nèi)部控制���。具體控制方法的選擇應(yīng)當(dāng)根據(jù)實(shí)施內(nèi)部控制的組織特點(diǎn)決定����。
(一)不相容崗位分離控制
建立不相容崗位控制�,就是在合理設(shè)置業(yè)務(wù)流程�,明確崗位職責(zé)權(quán)限的基礎(chǔ)上����,對(duì)不相容職務(wù)實(shí)行崗位分離。比如負(fù)責(zé)支付審批的崗位是財(cái)務(wù)科科長(zhǎng)�,負(fù)責(zé)完成支付的可能是出納,這兩個(gè)崗位就是不相容崗位����。不相容崗位分離制度建立的基本原則是:授權(quán)批準(zhǔn)職務(wù)與業(yè)務(wù)經(jīng)辦職務(wù)分離;業(yè)務(wù)經(jīng)辦職務(wù)與稽核檢查職務(wù)分離���;業(yè)務(wù)經(jīng)辦職務(wù)與會(huì)計(jì)記錄職務(wù)分離���;稽核檢查與會(huì)計(jì)記錄職務(wù)分離;業(yè)務(wù)經(jīng)辦職務(wù)與財(cái)產(chǎn)保管職務(wù)分離�����。
(二)內(nèi)部授權(quán)審批控制
行政事業(yè)單位的組織結(jié)構(gòu)一般是層級(jí)制�����,權(quán)力一般是從高級(jí)到低級(jí)��,比如市一級(jí)的交通運(yùn)輸局,權(quán)利一般是局長(zhǎng)總把關(guān)各項(xiàng)業(yè)務(wù)���,各副局長(zhǎng)分管各個(gè)專業(yè)科室�,科長(zhǎng)負(fù)責(zé)本科室的工作����,權(quán)利的分配呈現(xiàn)出“金子塔”型的特征,權(quán)力分配產(chǎn)生了授權(quán)�����,各崗位在處理經(jīng)濟(jì)業(yè)務(wù)時(shí)必須經(jīng)過(guò)授權(quán)批準(zhǔn)�����,以便進(jìn)行內(nèi)部控制�����。
(三)預(yù)算控制
預(yù)算控制是經(jīng)濟(jì)活動(dòng)內(nèi)部控制的重要手段����。近年來(lái)��,行政事業(yè)單位的預(yù)算控制也得到了極大地提高。例如國(guó)庫(kù)集中收付制度改革�,通過(guò)十多年的推行,國(guó)庫(kù)集中收付制度已經(jīng)成為我國(guó)預(yù)算管理的基本制度�����,國(guó)庫(kù)集中支付則加強(qiáng)了預(yù)算控制����,極大地提高了經(jīng)濟(jì)活動(dòng)控制能力。現(xiàn)實(shí)中�����,行政事業(yè)單位的預(yù)算控制往往存在漏洞�,特別是在編制和執(zhí)行階段,往往存在預(yù)算編制時(shí)超出政府投資能力和執(zhí)行超預(yù)算的現(xiàn)象��,這種由預(yù)算約束弱化造成的經(jīng)濟(jì)責(zé)任風(fēng)險(xiǎn)�����,已成為當(dāng)前財(cái)務(wù)風(fēng)險(xiǎn)防范中的重中之重�����。
(四)財(cái)產(chǎn)保護(hù)控制
資產(chǎn)實(shí)物控制的目的是保證資產(chǎn)實(shí)物安全與完整。部分行政事業(yè)單位存在不同程度的對(duì)財(cái)產(chǎn)保護(hù)控制的不重視�����,例如某個(gè)縣級(jí)單位的一臺(tái)新車價(jià)值十幾萬(wàn)元��,此車使用不到一年����,因車發(fā)生交通事故大修了,大修后感覺(jué)不太好用���,僅作價(jià)幾萬(wàn)元就處置了�����。建立定期財(cái)產(chǎn)清查制度�����;根據(jù)經(jīng)濟(jì)活動(dòng)規(guī)模和性質(zhì)的變化作出投保決策�;建立監(jiān)控控制���;對(duì)資產(chǎn)增加變動(dòng)進(jìn)行及時(shí)記錄��;建立定期對(duì)賬制度和應(yīng)收賬款催收制度�,進(jìn)行賬齡分析����,采取催款措施,盡快縮短回收賬款時(shí)間�����。
(五)會(huì)計(jì)系統(tǒng)控制
根據(jù)財(cái)政部的要求�,行政事業(yè)單位應(yīng)當(dāng)依法設(shè)置會(huì)計(jì)機(jī)構(gòu),配備會(huì)計(jì)從業(yè)人員����,加強(qiáng)會(huì)計(jì)基礎(chǔ)工作。大中型行政事業(yè)單位應(yīng)當(dāng)設(shè)置總會(huì)計(jì)師��,設(shè)置總會(huì)計(jì)師的單位不得設(shè)置與其職權(quán)重疊的副職�。
(六)單據(jù)控制
單據(jù)控制的要點(diǎn)在于確定經(jīng)濟(jì)活動(dòng)涉及哪些表單和票據(jù),再對(duì)這些單據(jù)進(jìn)行控制�。內(nèi)部控制不健全的單位往往存在單據(jù)控制問(wèn)題,比如����,入庫(kù)以后才發(fā)現(xiàn)沒(méi)有入庫(kù)單等�����,支出以后找發(fā)票甚至買假發(fā)票來(lái)做賬��。單據(jù)控制的要點(diǎn)就是找出需要哪些單據(jù)����,然后嚴(yán)格按照規(guī)定填制����、審核、歸檔��、報(bào)關(guān)單據(jù)���。
(七)歸口管理
行政事業(yè)單位以職能管理為主���,業(yè)務(wù)條塊分割明顯,經(jīng)濟(jì)活動(dòng)散布在各個(gè)業(yè)務(wù)條塊中��,歸口����,就是歸屬于哪個(gè)部門或是哪個(gè)體系管理���,與教育相關(guān)的部委就說(shuō)成是教育口���,因此����,該管的一定要按責(zé)任劃分管好��,不要缺位��;不該管的不要亂插手���、亂干預(yù)�����,不要錯(cuò)位����;超出責(zé)任權(quán)限范圍的���,不能亂審批��、不要越位���。
(八)信息內(nèi)部公開(kāi)
信息內(nèi)部公開(kāi)也是健全經(jīng)濟(jì)活動(dòng)內(nèi)部控制的重要手段���。應(yīng)根據(jù)單位的實(shí)際情況,確定什么可以公開(kāi)以及怎么公開(kāi)��。
總之���,完善行政事業(yè)單位內(nèi)部控制建設(shè)�,進(jìn)一步增強(qiáng)風(fēng)險(xiǎn)評(píng)估意識(shí)���,強(qiáng)化各種控制方法�,有利于打造廉潔高效的政府��,促進(jìn)社會(huì)各項(xiàng)事業(yè)健康快速地發(fā)展��。
篇(3)
關(guān)鍵詞:風(fēng)險(xiǎn) 共振 集合
風(fēng)險(xiǎn)評(píng)估概述
(一)風(fēng)險(xiǎn)概述
風(fēng)險(xiǎn)的定義���。一些學(xué)者把風(fēng)險(xiǎn)定義為損害發(fā)生的可能性�。與上述意見(jiàn)不同,另外一些經(jīng)濟(jì)學(xué)家把風(fēng)險(xiǎn)定義為損失發(fā)生的不確定性,還有一種意見(jiàn),把風(fēng)險(xiǎn)定義為預(yù)期與實(shí)際結(jié)果的偏離。在本文中,將風(fēng)險(xiǎn)定義為對(duì)企業(yè)的生存���、發(fā)展造成損害的可能性,對(duì)其控制不當(dāng)?shù)慕Y(jié)果是預(yù)期與實(shí)際結(jié)果的偏離����。
風(fēng)險(xiǎn)的分類���。風(fēng)險(xiǎn)按其來(lái)源分類,可以分為來(lái)自企業(yè)內(nèi)部的風(fēng)險(xiǎn)和來(lái)自企業(yè)外部的風(fēng)險(xiǎn),簡(jiǎn)稱為內(nèi)部風(fēng)險(xiǎn)和外部風(fēng)險(xiǎn)。內(nèi)部與外部的劃分,是以企業(yè)為界限的���。
內(nèi)部風(fēng)險(xiǎn)���。內(nèi)部風(fēng)險(xiǎn)是指來(lái)源于企業(yè)系統(tǒng)內(nèi)部的會(huì)對(duì)企業(yè)的生存、發(fā)展造成損害的可能性,如果對(duì)內(nèi)部風(fēng)險(xiǎn)控制不當(dāng),會(huì)造成企業(yè)運(yùn)行結(jié)果與預(yù)期目標(biāo)的偏離��。
外部風(fēng)險(xiǎn)��。外部風(fēng)險(xiǎn)是指來(lái)源于企業(yè)系統(tǒng)之外的宏觀市場(chǎng)環(huán)境中會(huì)對(duì)企業(yè)的生存��、發(fā)展造成損害的可能性,即宏觀環(huán)境風(fēng)險(xiǎn)�����。雖然這些風(fēng)險(xiǎn)發(fā)生于企業(yè)系統(tǒng)之外,但仍然會(huì)對(duì)企業(yè)產(chǎn)生影響,如果沒(méi)有及時(shí)地發(fā)現(xiàn)和應(yīng)對(duì)這些風(fēng)險(xiǎn),仍然會(huì)造成企業(yè)目標(biāo)的偏離。
(二)風(fēng)險(xiǎn)評(píng)估
風(fēng)險(xiǎn)評(píng)估是對(duì)影響企業(yè)目標(biāo)實(shí)現(xiàn)的現(xiàn)有的和潛在的風(fēng)險(xiǎn)進(jìn)行識(shí)別和度量并進(jìn)行評(píng)價(jià)的過(guò)程��。廣義的風(fēng)險(xiǎn)評(píng)估涵蓋風(fēng)險(xiǎn)管理的各個(gè)要素,而狹義的風(fēng)險(xiǎn)評(píng)估僅指對(duì)風(fēng)險(xiǎn)的識(shí)別和度量�����。本文所指的風(fēng)險(xiǎn)評(píng)估是指狹義的風(fēng)險(xiǎn)評(píng)估,即僅包括風(fēng)險(xiǎn)識(shí)別�����、風(fēng)險(xiǎn)衡量和風(fēng)險(xiǎn)評(píng)價(jià),重點(diǎn)關(guān)注導(dǎo)致風(fēng)險(xiǎn)發(fā)生的潛在風(fēng)險(xiǎn)因素��、風(fēng)險(xiǎn)發(fā)生的可能性大小和風(fēng)險(xiǎn)發(fā)生后對(duì)企業(yè)的影響程度�����。
基于共振理論的風(fēng)險(xiǎn)評(píng)估方法的提出
(一)共振理論的啟示
共振理論概述����。共振理論是指兩個(gè)或兩個(gè)以上的物體具有相同的振動(dòng)頻率,一個(gè)物體振動(dòng)會(huì)引起另一個(gè)物體的振動(dòng),并且在共振情況下的振幅要比單個(gè)物體自己振動(dòng)的振幅要大。由此可見(jiàn),共振發(fā)生的條件是頻率相同�。共振具有傳遞性,一個(gè)本來(lái)靜止的物體,可以由另一個(gè)物體的振動(dòng)引起自己的振動(dòng)。而共振的結(jié)果很重要,它的振幅要比單個(gè)物體自己振動(dòng)的振幅要大,具有更強(qiáng)的破壞性����。
用共振理論解釋企業(yè)風(fēng)險(xiǎn)的爆發(fā)���。本文把企業(yè)內(nèi)、外部的各種風(fēng)險(xiǎn)都進(jìn)行細(xì)分為單個(gè)的風(fēng)險(xiǎn)因素,對(duì)于各風(fēng)險(xiǎn)因素來(lái)講,其頻率就是導(dǎo)致風(fēng)險(xiǎn)因素爆發(fā)的根本原因,那么包含了所有內(nèi)部風(fēng)險(xiǎn)因素頻率的集合將其定義為內(nèi)部風(fēng)險(xiǎn)頻率集��。同理,將包含了所有宏觀環(huán)境風(fēng)險(xiǎn)因素的頻率的集合稱為宏觀環(huán)境風(fēng)險(xiǎn)頻率集����。再對(duì)這兩個(gè)集合求交集,即得出風(fēng)險(xiǎn)頻率交集,在這個(gè)集合中的頻率就是將會(huì)發(fā)生共振的頻率。
基于共振理論的定義,在這個(gè)交集中的頻率是內(nèi)�、外部風(fēng)險(xiǎn)共有振動(dòng)頻率,滿足共振的基本條件。而共振具有傳遞性,本來(lái)在企業(yè)中處于靜止?fàn)顟B(tài)的內(nèi)部風(fēng)險(xiǎn)因素,可能由于宏觀環(huán)境中風(fēng)險(xiǎn)的振動(dòng)而隨之振動(dòng)起來(lái),使企業(yè)的風(fēng)險(xiǎn)加劇��。特別值得關(guān)注的是,內(nèi)��、外部風(fēng)險(xiǎn)因素共振造成的破壞力要遠(yuǎn)大于其單個(gè)振動(dòng)時(shí)的破壞力,所以具有這樣頻率的風(fēng)險(xiǎn)因素是需要重點(diǎn)關(guān)注的���。
這就可以解釋為什么市場(chǎng)環(huán)境不好時(shí),失敗的企業(yè)數(shù)量大幅上升,就是因?yàn)楹暧^環(huán)境風(fēng)險(xiǎn)頻率集變大,與內(nèi)部風(fēng)險(xiǎn)頻率集發(fā)生共振的機(jī)會(huì)就大,而共振產(chǎn)生的破壞力強(qiáng),一旦超過(guò)了企業(yè)的承受能力,企業(yè)便會(huì)走向失敗。通過(guò)這一理論也可以解釋企業(yè)的成敗是內(nèi)外部共同作用的結(jié)果,如果內(nèi)部控制系統(tǒng)完美,宏觀環(huán)境風(fēng)險(xiǎn)沒(méi)有作用的切入點(diǎn),那么再壞的環(huán)境也不會(huì)影響企業(yè)��。但是,企業(yè)沒(méi)有靜止的,只要運(yùn)動(dòng)就會(huì)伴隨著風(fēng)險(xiǎn)��。為了更好地應(yīng)對(duì)風(fēng)險(xiǎn),就要求企業(yè)做好風(fēng)險(xiǎn)評(píng)估工作�。
(二)基于共振理論的風(fēng)險(xiǎn)評(píng)估方法概述
1.現(xiàn)有的風(fēng)險(xiǎn)評(píng)估方法的缺陷,表現(xiàn)為:
沒(méi)有系統(tǒng)的評(píng)估方法。目前,風(fēng)險(xiǎn)評(píng)估的方法雖然多種多樣,但其著眼點(diǎn)僅是風(fēng)險(xiǎn)評(píng)估中的某一個(gè)具體環(huán)節(jié),并沒(méi)有形成完整����、系統(tǒng)的評(píng)估體系,各個(gè)環(huán)節(jié)各自為戰(zhàn)嚴(yán)重地削弱了評(píng)估方法的系統(tǒng)性�。
忽視外部因素的影響?���,F(xiàn)在的評(píng)估方法,幾乎將全部評(píng)估重點(diǎn)都放在企業(yè)內(nèi)部因素上,即使有涉及到外部環(huán)境因素的,也只是賦予少部分的權(quán)重,沒(méi)有考慮內(nèi)外因的相互關(guān)系。外因是通過(guò)內(nèi)因起作用的,所以不僅要考慮到外部環(huán)境因素的作用,也要研究它和內(nèi)部因素的相互作用關(guān)系�����。
2.基于共振理論的風(fēng)險(xiǎn)評(píng)估方法�。針對(duì)現(xiàn)有風(fēng)險(xiǎn)評(píng)估方法的不足之處,本文提出基于共振理論的風(fēng)險(xiǎn)評(píng)估方法,力求形成一套貫穿風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)衡量和風(fēng)險(xiǎn)評(píng)價(jià)的完整的風(fēng)險(xiǎn)評(píng)估體系,并在重視內(nèi)部因素的同時(shí),考慮外部環(huán)境因素的影響��。通過(guò)分析外部環(huán)境因素與內(nèi)部因素的相互作用關(guān)系,對(duì)內(nèi)部風(fēng)險(xiǎn)因素進(jìn)行修正�����。通過(guò)共振矩陣系統(tǒng)的反映風(fēng)險(xiǎn)評(píng)估的各個(gè)環(huán)節(jié)�。在重視內(nèi)部風(fēng)險(xiǎn)的同時(shí),通過(guò)共振系數(shù)和相關(guān)系數(shù)顯示出環(huán)境對(duì)于企業(yè)的影響作用,力求使評(píng)估結(jié)果更加準(zhǔn)確和切合實(shí)際。
基于共振理論的評(píng)估方法的具體操作
(一)識(shí)別內(nèi)���、外部風(fēng)險(xiǎn)
企業(yè)內(nèi)部風(fēng)險(xiǎn)及其識(shí)別��。企業(yè)內(nèi)部風(fēng)險(xiǎn)是指來(lái)自于企業(yè)內(nèi)部的,由于經(jīng)營(yíng)不善或者管理疏漏而形成的風(fēng)險(xiǎn)����。它是企業(yè)風(fēng)險(xiǎn)的直接來(lái)源。企業(yè)內(nèi)部風(fēng)險(xiǎn)由于產(chǎn)生于企業(yè)內(nèi)部,所以企業(yè)具有主動(dòng)權(quán),能夠?qū)@類風(fēng)險(xiǎn)施加控制和影響���。主要包括營(yíng)運(yùn)風(fēng)險(xiǎn)���、組織風(fēng)險(xiǎn)、財(cái)務(wù)風(fēng)險(xiǎn)�、人事風(fēng)險(xiǎn)、信息系統(tǒng)風(fēng)險(xiǎn)等��。
企業(yè)可以以現(xiàn)有的風(fēng)險(xiǎn)清單為基礎(chǔ),從中找出企業(yè)中存在的風(fēng)險(xiǎn)因素,但這只有標(biāo)準(zhǔn)化的風(fēng)險(xiǎn)因素��。而每個(gè)企業(yè)都有自己特定的內(nèi)部環(huán)境,許多特有風(fēng)險(xiǎn)因素沒(méi)有出現(xiàn)在風(fēng)險(xiǎn)清單里�。針對(duì)這些特有風(fēng)險(xiǎn),可以運(yùn)用控制自我評(píng)估的方法將其識(shí)別出來(lái),以使企業(yè)的風(fēng)險(xiǎn)識(shí)別工作更加全面�。
宏觀環(huán)境風(fēng)險(xiǎn)及其識(shí)別。企業(yè)宏觀環(huán)境,是指那些會(huì)給企業(yè)帶來(lái)市場(chǎng)機(jī)會(huì)或環(huán)境威脅的主要社會(huì)力量,直接或間接地影響企業(yè)的管理���。主要包括政治和法律環(huán)境���、經(jīng)濟(jì)環(huán)境、科技環(huán)境、社會(huì)文化環(huán)境及自然環(huán)境等���。宏觀環(huán)境風(fēng)險(xiǎn)就是在這些環(huán)境中存在的對(duì)企業(yè)構(gòu)成威協(xié)的風(fēng)險(xiǎn)���。
在對(duì)宏觀環(huán)境風(fēng)險(xiǎn)進(jìn)行識(shí)別時(shí),可以借鑒戰(zhàn)略管理中的PETS分析法并結(jié)合企業(yè)實(shí)際按照政治和法律環(huán)境風(fēng)險(xiǎn)、經(jīng)濟(jì)環(huán)境風(fēng)險(xiǎn)�、科技環(huán)境風(fēng)險(xiǎn)、社會(huì)文化環(huán)境風(fēng)險(xiǎn)和其他環(huán)境風(fēng)險(xiǎn)進(jìn)行識(shí)別���。
(二)構(gòu)建共振矩陣
首先將整個(gè)風(fēng)險(xiǎn)系統(tǒng)分為內(nèi)部風(fēng)險(xiǎn)系統(tǒng)和宏觀環(huán)境風(fēng)險(xiǎn)系統(tǒng),將內(nèi)部風(fēng)險(xiǎn)系統(tǒng)再向下細(xì)分為若干個(gè)風(fēng)險(xiǎn)子系統(tǒng),如營(yíng)運(yùn)風(fēng)險(xiǎn)子系統(tǒng)�����、信息風(fēng)險(xiǎn)子系統(tǒng)���、銷售風(fēng)險(xiǎn)子系統(tǒng)等。進(jìn)一步把風(fēng)險(xiǎn)子系統(tǒng)再細(xì)分為具體的內(nèi)部風(fēng)險(xiǎn)因素,記作Ii(i=1,2,3…)���。同理,讓宏觀環(huán)境風(fēng)險(xiǎn)系統(tǒng)細(xì)分為若干個(gè)風(fēng)險(xiǎn)子系統(tǒng),如政治環(huán)境風(fēng)險(xiǎn)子系統(tǒng)��、經(jīng)濟(jì)環(huán)境風(fēng)險(xiǎn)子系統(tǒng)��、科技環(huán)境風(fēng)險(xiǎn)子系統(tǒng)等,再將各風(fēng)險(xiǎn)子系統(tǒng)中的宏觀環(huán)境風(fēng)險(xiǎn)因素識(shí)別出來(lái),記作Oj(j=1,2,3…)���。在此基礎(chǔ)之上,構(gòu)建共振矩陣(如圖1)��。
共振矩陣是用于列示企業(yè)的所有內(nèi)��、外部風(fēng)險(xiǎn)因素的矩陣,其橫坐標(biāo)為內(nèi)部風(fēng)險(xiǎn)因素,縱坐標(biāo)為宏觀環(huán)境風(fēng)險(xiǎn)因素����。這樣矩陣中各交叉點(diǎn)顯示的都是內(nèi)外部風(fēng)險(xiǎn)的相互作用系數(shù),即后述的共振系數(shù)和相關(guān)系數(shù)����。風(fēng)險(xiǎn)矩陣的最大優(yōu)點(diǎn)在于可以把任何一對(duì)內(nèi)外部風(fēng)險(xiǎn)因素結(jié)合起來(lái),評(píng)估其相互作用關(guān)系,也就是將內(nèi)外部風(fēng)險(xiǎn)統(tǒng)籌考慮。
(三)進(jìn)行風(fēng)險(xiǎn)衡量
衡量風(fēng)險(xiǎn)因素的變異程度�。本文使用變異程度測(cè)定的方法,用變異系數(shù)衡量指標(biāo)的偏離程度。值得注意的是,有一些風(fēng)險(xiǎn)因素是指標(biāo)形式的,便于量化考核���。但有一些指標(biāo)是定性的,難于量化,這時(shí)可以使用專家打分的方法,將這些風(fēng)險(xiǎn)因素量化��。變異系數(shù)的計(jì)算公式為:
其中,V是風(fēng)險(xiǎn)因素的變異系數(shù),用于衡量風(fēng)險(xiǎn)因素與預(yù)期指標(biāo)的偏離程度;S是該風(fēng)險(xiǎn)因素的標(biāo)準(zhǔn)差;X是期望值,在這里可以使用企業(yè)的理想指標(biāo)作為期望,這樣計(jì)算出的變異系數(shù)即是實(shí)際與預(yù)期的偏離程度,也是風(fēng)險(xiǎn)爆發(fā)后的結(jié)果�。
計(jì)算共振系數(shù)�。如前文所述,那些具有出現(xiàn)在風(fēng)險(xiǎn)頻率交集中的頻率的風(fēng)險(xiǎn)因素是重點(diǎn)要關(guān)注的風(fēng)險(xiǎn)因素��。由于共振的破壞力遠(yuǎn)大于單個(gè)風(fēng)險(xiǎn)因素振動(dòng)時(shí)造成的影響,所以那些內(nèi)外部共振的風(fēng)險(xiǎn)因素的變異系數(shù)要以乘數(shù)倍增加,這個(gè)乘數(shù)稱之為“共振系數(shù)”,記作Gij�。但是,在物理學(xué)上尚沒(méi)有計(jì)算共振產(chǎn)生的振幅的計(jì)算方法,通常都是通過(guò)測(cè)量得出�����。之于風(fēng)險(xiǎn)評(píng)估工作來(lái)說(shuō)就要依據(jù)行業(yè)和企業(yè)歷史數(shù)據(jù),利用風(fēng)險(xiǎn)評(píng)估人員的經(jīng)驗(yàn)和個(gè)人素質(zhì)進(jìn)行評(píng)估,估算出一個(gè)共振系數(shù),但可以肯定的是共振系數(shù)一定大于1��。
計(jì)算相關(guān)系數(shù)�。相關(guān)系數(shù)是用于說(shuō)明兩個(gè)風(fēng)險(xiǎn)因素間相互作用關(guān)系的系數(shù),它的取值范圍為[-1,1]���。取值為正說(shuō)明內(nèi)外部風(fēng)險(xiǎn)正相關(guān),即宏觀環(huán)境對(duì)內(nèi)部風(fēng)險(xiǎn)因素有放大作用;反之,取值為負(fù),說(shuō)明內(nèi)外部風(fēng)險(xiǎn)負(fù)相關(guān),即宏觀環(huán)境對(duì)內(nèi)部風(fēng)險(xiǎn)因素有抵銷作用����。
(四)風(fēng)險(xiǎn)評(píng)價(jià)
在進(jìn)行風(fēng)險(xiǎn)評(píng)價(jià)環(huán)節(jié),首先將所權(quán)重分配給各風(fēng)險(xiǎn)子系統(tǒng),即Wi使之和為1,再在各風(fēng)險(xiǎn)子系統(tǒng)內(nèi)進(jìn)行分配權(quán)重,分配至各風(fēng)險(xiǎn)因素,即wi,風(fēng)險(xiǎn)子系統(tǒng)內(nèi)的權(quán)重之和也為1,并在風(fēng)險(xiǎn)矩陣中注明�����。之后,將在風(fēng)險(xiǎn)衡量環(huán)節(jié)得出的變異系數(shù)Vi填入風(fēng)險(xiǎn)矩陣,wi與Vi的乘積即為沒(méi)有進(jìn)行修正時(shí)的評(píng)價(jià)結(jié)果��。但這是不準(zhǔn)確的,接下來(lái)對(duì)這一結(jié)果進(jìn)行修正��。所有的相關(guān)系數(shù)有正有負(fù),其取值范圍為[-1,1]����。若計(jì)算出的相關(guān)系數(shù)為負(fù)數(shù),即表明宏觀環(huán)境對(duì)內(nèi)部風(fēng)險(xiǎn)因素有彌補(bǔ)作用,則用變異系數(shù)Vi乘上(1+相關(guān)系數(shù));反之,如果相關(guān)系數(shù)為正且不為1時(shí),說(shuō)明宏觀環(huán)境對(duì)內(nèi)部風(fēng)險(xiǎn)因素有擴(kuò)大作用,也用變異系數(shù)Vi乘以(1+變異系數(shù));而當(dāng)相關(guān)系數(shù)為1時(shí),即產(chǎn)生了共振效應(yīng),為了與之區(qū)別,用共振系數(shù)Gij表示。而Gij的取值大于2,其具體數(shù)值由評(píng)估人員估計(jì)產(chǎn)生�����。由此,可以推出Vi'=[∑(1+Rij)+∑Gij]Vi。最后,得到最終評(píng)價(jià)結(jié)果∑wiVi'�����。這個(gè)結(jié)果數(shù)值越大,說(shuō)明與預(yù)期偏離越遠(yuǎn),說(shuō)明企業(yè)的風(fēng)險(xiǎn)越大;反之,數(shù)值越小,說(shuō)明越與預(yù)期值相符,企業(yè)面臨的風(fēng)險(xiǎn)越小��。
參考文獻(xiàn):
1.劉鈞.風(fēng)險(xiǎn)管理概論.清華大學(xué)出版社,2008
2.James Roth,Ph.D. 鄭桓圭譯.最佳內(nèi)部控制評(píng)估實(shí)務(wù)―自我評(píng)估與風(fēng)險(xiǎn)評(píng)估.中國(guó)內(nèi)部審計(jì)協(xié)會(huì),1999
3.徐二明.企業(yè)戰(zhàn)略管理.中國(guó)經(jīng)濟(jì)出版社,2006
篇(4)
0�����、引言 簡(jiǎn)歷大全 /html/jianli/
電力作為高風(fēng)險(xiǎn)產(chǎn)業(yè)�,不僅源于其公用事業(yè)屬性,以及技術(shù)資金密集���、供求瞬時(shí)平衡��、生產(chǎn)運(yùn)行連續(xù)等特征�,同時(shí)電力項(xiàng)目投資額巨大��、建設(shè)周期長(zhǎng)�、沉沒(méi)成本高,而且����,隨著電力體制改革和電力市場(chǎng)建設(shè)進(jìn)程的深入,市場(chǎng)主體越來(lái)越多�����,電力交易關(guān)系復(fù)雜�,不同主體之間協(xié)調(diào)困難,電力行業(yè)規(guī)劃建設(shè)�、生產(chǎn)經(jīng)營(yíng)的不確定性加大、電力市場(chǎng)風(fēng)險(xiǎn)增加���。根據(jù)“十一五”期間電力體制改革的任務(wù)����,面對(duì)我國(guó)電力市場(chǎng)化發(fā)展的現(xiàn)狀��,增強(qiáng)風(fēng)險(xiǎn)意識(shí)����,樹(shù)立風(fēng)險(xiǎn)觀念,加強(qiáng)風(fēng)險(xiǎn)管理將是電力企業(yè)的重要任務(wù)���。本文在闡述了企業(yè)風(fēng)險(xiǎn)管理基本框架流程及其主要內(nèi)容的基礎(chǔ)上�����,提出電力企業(yè)定量風(fēng)險(xiǎn)評(píng)估的主要內(nèi)容及方法���,以期推動(dòng)電力系統(tǒng)風(fēng)險(xiǎn)管理工作的開(kāi)展�。/
1���、風(fēng)險(xiǎn)管理的主要內(nèi)容 作文 /zuowen/
風(fēng)險(xiǎn)作為客觀存在�,要求人們考察研究風(fēng)險(xiǎn)時(shí)��,要從決策角度認(rèn)識(shí)到風(fēng)險(xiǎn)與人們有目的活動(dòng)��、行動(dòng)方案選擇及事物的未來(lái)變化有關(guān)���。風(fēng)險(xiǎn)的形成過(guò)程和風(fēng)險(xiǎn)的客觀性�����、損失性���、不確定性特征共同構(gòu)成風(fēng)險(xiǎn)形成機(jī)制分析和風(fēng)險(xiǎn)管理的基礎(chǔ)。//zuowen/
人們一般對(duì)風(fēng)險(xiǎn)持厭惡態(tài)度,都想減小風(fēng)險(xiǎn)損失�����,追求風(fēng)險(xiǎn)與收益的均衡優(yōu)化���。風(fēng)險(xiǎn)管理的提出與發(fā)展與企業(yè)發(fā)展?fàn)顩r、社會(huì)背景密不可分���。風(fēng)險(xiǎn)管理作為一門管理學(xué)科�����,首先在美國(guó)應(yīng)運(yùn)而生�����,之后傳到西歐����、亞洲���、拉丁美洲����。美國(guó)大多數(shù)企業(yè)都設(shè)置專職部門進(jìn)行風(fēng)險(xiǎn)管理,許多大學(xué)的工商管理學(xué)院都開(kāi)設(shè)風(fēng)險(xiǎn)管理課程�����。風(fēng)險(xiǎn)管理作為一門科學(xué)與藝術(shù)�����,既需要定性分析�,又需要定量估計(jì);既要求理性,又要求人性;不但需要多學(xué)科理論指導(dǎo)����,還需要多種方法支持。/
源于風(fēng)險(xiǎn)意識(shí)的風(fēng)險(xiǎn)管理主要包括風(fēng)險(xiǎn)分析�����、風(fēng)險(xiǎn)評(píng)價(jià)與風(fēng)險(xiǎn)控制三大部份���。根據(jù)風(fēng)險(xiǎn)形成的過(guò)程���,風(fēng)險(xiǎn)分析需要進(jìn)行風(fēng)險(xiǎn)辨識(shí)�����、風(fēng)險(xiǎn)估計(jì)�����。風(fēng)險(xiǎn)估計(jì)需要進(jìn)行頻率分析與后果分析�,而后果分析又包括情景分析與損失分析���。通過(guò)風(fēng)險(xiǎn)分析,可得到特定系統(tǒng)所有風(fēng)險(xiǎn)的風(fēng)險(xiǎn)估計(jì)�����,對(duì)此再參照相應(yīng)的風(fēng)險(xiǎn)標(biāo)準(zhǔn)及可接受性�����,判斷系統(tǒng)的風(fēng)險(xiǎn)是否可接受��,是否采取安全措施����,這就是風(fēng)險(xiǎn)評(píng)價(jià)。風(fēng)險(xiǎn)分析與風(fēng)險(xiǎn)評(píng)價(jià)總稱為風(fēng)險(xiǎn)評(píng)估。為進(jìn)行風(fēng)險(xiǎn)定量化估算���,要進(jìn)行定量風(fēng)險(xiǎn)評(píng)估(quantitative risk assessment—qra)���。在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上,針對(duì)風(fēng)險(xiǎn)狀況采取相應(yīng)的措施與對(duì)策方案�,以控制、抑制�����、降低風(fēng)險(xiǎn)�����,即風(fēng)險(xiǎn)控制�。風(fēng)險(xiǎn)管理不僅要定性分析風(fēng)險(xiǎn)因素、風(fēng)險(xiǎn)事故及損失狀況�����,而且要盡可能基于風(fēng)險(xiǎn)標(biāo)準(zhǔn)及可接受性對(duì)風(fēng)險(xiǎn)進(jìn)行定量評(píng)價(jià)���。對(duì)于以盈利為目的的工業(yè)企業(yè)也希望將風(fēng)險(xiǎn)損失價(jià)值化并給出貨幣衡量標(biāo)準(zhǔn)�����。風(fēng)險(xiǎn)管理就是風(fēng)險(xiǎn)分析���、風(fēng)險(xiǎn)評(píng)價(jià)��、風(fēng)險(xiǎn)控制三者密切相聯(lián)的動(dòng)態(tài)過(guò)程�����,見(jiàn)圖1�。/
2����、風(fēng)險(xiǎn)管理的組織實(shí)施與基本流程 畢業(yè)論文
為有效實(shí)施風(fēng)險(xiǎn)管理��,企業(yè)應(yīng)由專門的組織及相關(guān)人員按一定程序組織實(shí)施風(fēng)險(xiǎn)管理工作��。據(jù)《幸?!冯s志對(duì)美國(guó)500多家大公司的調(diào)查知,84%的公司由中層以上的經(jīng)理人員負(fù)責(zé)風(fēng)險(xiǎn)管理����。風(fēng)險(xiǎn)管理的趨勢(shì)是董事會(huì)下屬設(shè)立風(fēng)險(xiǎn)管理委員會(huì)全面負(fù)責(zé)公司風(fēng)險(xiǎn)管理����,組織實(shí)施的流程是:①制定風(fēng)險(xiǎn)管理規(guī)劃;②風(fēng)險(xiǎn)辯識(shí);③風(fēng)險(xiǎn)評(píng)估;④風(fēng)險(xiǎn)管理策略方案選擇;⑤風(fēng)險(xiǎn)管理策略實(shí)施;⑥風(fēng)險(xiǎn)管理策略實(shí)施評(píng)價(jià)����。//html/jianli/
3、電力企業(yè)定量風(fēng)險(xiǎn)評(píng)估(qra) 開(kāi)題報(bào)告 /html/lunwenzhidao/kaitibaogao/
電力企業(yè)qra的建立與發(fā)展從內(nèi)部來(lái)看�����,不僅已有可靠性分析��、安全分析����、質(zhì)量管理、項(xiàng)目管理等各專業(yè)分析作基礎(chǔ)����,從外部而言有電力用戶、政府與社會(huì)公眾�����、咨詢機(jī)構(gòu)等眾多相關(guān)主體的關(guān)注�。電力企業(yè)qra對(duì)企業(yè)的作用主要體現(xiàn)在:通過(guò)qra有利于企業(yè)將風(fēng)險(xiǎn)水平控制在規(guī)定標(biāo)準(zhǔn)的風(fēng)險(xiǎn)水平之內(nèi)����,并符合最低合理可行原則;通過(guò)開(kāi)展qra可幫助企業(yè)全面識(shí)別風(fēng)險(xiǎn)���,并按輕重緩急排序�����,以有助于管理者將精力�����、財(cái)力��、物力集中于風(fēng)險(xiǎn)控制的重要緊急領(lǐng)域���,使風(fēng)險(xiǎn)管理決策更為合理���、效果更好�、成本最小;通過(guò)對(duì)各種風(fēng)險(xiǎn)控制方案或安全改進(jìn)措施進(jìn)行qra�,使決策者對(duì)方案措施進(jìn)行優(yōu)劣選擇,為公司提出決策支持����。電力企業(yè)的風(fēng)險(xiǎn)將對(duì)其它企業(yè)和主體帶來(lái)連帶影響���,并產(chǎn)生放大效應(yīng),電力系統(tǒng)安全�、可靠、高效���、優(yōu)質(zhì)是各行各業(yè)和政府管理部門共同的愿望�����。電力企業(yè)實(shí)施qra具有現(xiàn)實(shí)意義��。//sixianghuibao/
3.1 電力企業(yè)qha的基本框架模式
電力企業(yè)qra是指在工業(yè)系統(tǒng)qra的基礎(chǔ)上����,考慮電力系統(tǒng)的技術(shù)經(jīng)濟(jì)特點(diǎn)及運(yùn)行規(guī)律�����,結(jié)合電力體制改革及電力市場(chǎng)化進(jìn)程而以概率模型表征的全面風(fēng)險(xiǎn)管理理論方法����。為便于實(shí)施風(fēng)險(xiǎn)管理�,保證風(fēng)險(xiǎn)評(píng)估質(zhì)量���,滿足風(fēng)險(xiǎn)評(píng)估過(guò)程各階段的不同要求�,構(gòu)建如圖3所示的適用于電力企業(yè)qra的基本框架模式����。在具體實(shí)施時(shí),允許依實(shí)際情況而有所改變��。//zuowen/
3.2 電力企業(yè)qra的主要工作內(nèi)容 簡(jiǎn)歷大全 /html/jianli/
(1)確定目標(biāo)及范圍�。包括風(fēng)險(xiǎn)管理的目的與意義,待分析系統(tǒng)的設(shè)備配置����、工作流程、資金����、人員、管理�、信息����、地區(qū)��、人文環(huán)境等�����,即確定qra實(shí)現(xiàn)目標(biāo)和實(shí)施條件等���。//sixianghuibao/
(2)風(fēng)險(xiǎn)辨識(shí)。即找出待評(píng)價(jià)系統(tǒng)中所有潛在的風(fēng)險(xiǎn)因素�,并進(jìn)行初步分析,通過(guò)安全檢查看系統(tǒng)是否達(dá)到規(guī)范要求���。風(fēng)險(xiǎn)辯識(shí)的基本途徑有歷史事故統(tǒng)計(jì)分析��、安全檢查表分析��、風(fēng)險(xiǎn)與可操作性研究(hzops)�、故障模式與影響分析(fmea)�����、故障模式影響及危急分析(fmeca)�、故障樹(shù)分析(eta)、事故樹(shù)分析(eta)、風(fēng)險(xiǎn)分析調(diào)查表�����、保單檢視表����、資產(chǎn)風(fēng)險(xiǎn)暴露分析表、財(cái)務(wù)報(bào)表�、流程圖、現(xiàn)場(chǎng)檢查表����、風(fēng)險(xiǎn)趨勢(shì)估計(jì)表等。為配合保險(xiǎn)公司對(duì)出險(xiǎn)事項(xiàng)的處理����,可采用從下至上的歸納法、從上至下的演繹法及兩者綜合運(yùn)用�。針對(duì)特定風(fēng)險(xiǎn),可選用基于系統(tǒng)平面布置的區(qū)域分析���、隱含事件分析���、德?tīng)柗品盎谑鹿蕵?shù)分析的風(fēng)險(xiǎn)事故網(wǎng)絡(luò)法等�。風(fēng)險(xiǎn)辯識(shí)不只局限于系統(tǒng)硬件�,還應(yīng)考慮人為因素�、組織制度等系統(tǒng)軟件。
風(fēng)險(xiǎn)綜合集成是指對(duì)所有風(fēng)險(xiǎn)按其特性類型分門別類加以匯總因電力工業(yè)特點(diǎn)及電力市場(chǎng)化改革特點(diǎn)����,把電力系統(tǒng)風(fēng)險(xiǎn)按廠網(wǎng)分開(kāi)的行業(yè)結(jié)構(gòu)進(jìn)行分類。/
對(duì)于發(fā)電企業(yè)而言���,主要有電源規(guī)劃風(fēng)險(xiǎn)�����、報(bào)價(jià)競(jìng)價(jià)上網(wǎng)風(fēng)險(xiǎn)�����、供求平衡風(fēng)險(xiǎn)��、市場(chǎng)力抑制風(fēng)險(xiǎn)�、備用容量風(fēng)險(xiǎn)��、信用風(fēng)險(xiǎn)����、法律風(fēng)險(xiǎn)�、項(xiàng)目風(fēng)險(xiǎn)��、中介機(jī)構(gòu)風(fēng)險(xiǎn)等�。對(duì)于電網(wǎng)企業(yè)而言,主要有電網(wǎng)規(guī)劃風(fēng)險(xiǎn)����、電網(wǎng)融資風(fēng)險(xiǎn)、購(gòu)電電價(jià)風(fēng)險(xiǎn)���、電力交易轉(zhuǎn)移風(fēng)險(xiǎn)����、輔助服務(wù)風(fēng)險(xiǎn)�����、成本分?jǐn)傦L(fēng)險(xiǎn)����、輸電阻塞風(fēng)險(xiǎn)、輸電能力風(fēng)險(xiǎn)���、備用率風(fēng)險(xiǎn)��、電力監(jiān)管風(fēng)險(xiǎn)等��。另外�����,電力企業(yè)還將面臨電力可靠性��、安全性����、穩(wěn)定性風(fēng)險(xiǎn)及電能質(zhì)量風(fēng)險(xiǎn)等��。/
風(fēng)險(xiǎn)綜合集成后的初步風(fēng)險(xiǎn)分析是對(duì)已辯識(shí)出的風(fēng)險(xiǎn)進(jìn)行初步分析評(píng)估�,確定風(fēng)險(xiǎn)的等級(jí)或水平。風(fēng)險(xiǎn)水平低的可忽略不計(jì)或僅作定性評(píng)估���,風(fēng)險(xiǎn)水平高的要在定性分析基礎(chǔ)上����,進(jìn)行定量評(píng)估����。/
(3)頻率分析����。即確定風(fēng)險(xiǎn)可能發(fā)生的頻率�����,其方法主要有歷史數(shù)據(jù)統(tǒng)計(jì)分析�����、故障樹(shù)分析與失效理論模型分析�。歷史數(shù)據(jù)統(tǒng)計(jì)分析是根據(jù)有關(guān)事故的歷史數(shù)據(jù)預(yù)測(cè)今后可能發(fā)生的頻率。因此要建立
風(fēng)險(xiǎn)數(shù)據(jù)庫(kù)�,既作為qra的基礎(chǔ),又作為風(fēng)險(xiǎn)決策的依據(jù)���。故障樹(shù)分析作為一種自上而下的邏輯分析法����,把可能發(fā)生的事故或系統(tǒng)失效(頂事件)與基本部件的失效聯(lián)系起來(lái)����,根據(jù)基本部件的失效概率計(jì)算出頂事件的發(fā)生概率���。失效理論模型分析是在歷史數(shù)據(jù)與專家經(jīng)驗(yàn)的基礎(chǔ)上,采用某種失效理論模型來(lái)計(jì)算風(fēng)險(xiǎn)發(fā)生頻率�。/
(4)風(fēng)險(xiǎn)測(cè)定估計(jì)。根據(jù)風(fēng)險(xiǎn)特性及類型�����,運(yùn)用一定的數(shù)學(xué)工具測(cè)定或估計(jì)風(fēng)險(xiǎn)大小����。常用方法主要有主觀估計(jì)法�����、客觀估計(jì)法�����、期望值法�����、數(shù)學(xué)模型法�、隨機(jī)模擬法和馬爾可夫模型法等��。//html/lunwenzhidao/kaitibaogao/
(5)后果分析����。即分析特定風(fēng)險(xiǎn)在某種環(huán)境作用下可能導(dǎo)致的各種事故后果及損失���。其方法主要有情景分析與損失分析����。情景分析通過(guò)事件樹(shù)模型分析特定風(fēng)險(xiǎn)在環(huán)境作用下可能導(dǎo)致的各種事故后果����。損失分析是分析特定后果對(duì)其它事物的影響及利益損失并歸結(jié)為某種風(fēng)險(xiǎn)指標(biāo)。/
(6)風(fēng)險(xiǎn)標(biāo)準(zhǔn)及可接受性��。風(fēng)險(xiǎn)標(biāo)準(zhǔn)及可接受性應(yīng)遵循最低合理可行(alarp)原則���。alarp原則是指任何系統(tǒng)都存在風(fēng)險(xiǎn)�,而且風(fēng)險(xiǎn)水平越低�,即風(fēng)險(xiǎn)程度越小要進(jìn)一步減少風(fēng)險(xiǎn)越困難,其成本會(huì)呈指數(shù)曲線上升��。也就是說(shuō),風(fēng)險(xiǎn)改進(jìn)措施投資的邊際效益遞減�����,最終趨于零���,甚至為負(fù)值�����。因此����,必須在風(fēng)險(xiǎn)水平與成本間折衷考慮�。如果電力企業(yè)定量風(fēng)險(xiǎn)評(píng)估所得風(fēng)險(xiǎn)水平在不可接受線之上��,則該風(fēng)險(xiǎn)被拒絕��,如果風(fēng)險(xiǎn)水平在可接受線之下�����,則該風(fēng)險(xiǎn)可接受����,無(wú)需采取風(fēng)險(xiǎn)改進(jìn)措施;如風(fēng)險(xiǎn)水平在不可接受線與可接受線之間���,即落人alarp區(qū)(可容忍區(qū)),這時(shí)要進(jìn)行風(fēng)險(xiǎn)改進(jìn)措施投資成本風(fēng)險(xiǎn)分析或風(fēng)險(xiǎn)成本收益分析��。/
分析結(jié)果如果證明進(jìn)一步增加風(fēng)險(xiǎn)改進(jìn)投資對(duì)電力企業(yè)的風(fēng)險(xiǎn)水平減小貢獻(xiàn)不大���,則該風(fēng)險(xiǎn)是可接受的����,即允許該風(fēng)險(xiǎn)存在���,以節(jié)省投資成本��。alarp原則的經(jīng)濟(jì)學(xué)解釋類似投入要素的邊際收益遞減規(guī)律一樣�����,風(fēng)險(xiǎn)與風(fēng)險(xiǎn)措施投入間的風(fēng)險(xiǎn)曲線也呈邊際收益遞減規(guī)律�。//sixianghuibao/
3.3 電力企業(yè)qra常用方法 作文 /zuowen/
篇(5)
關(guān)鍵詞:電力企業(yè)����,風(fēng)險(xiǎn)管理,定量風(fēng)險(xiǎn)評(píng)估
0、引言
電力作為高風(fēng)險(xiǎn)產(chǎn)業(yè)�����,不僅源于其公用事業(yè)屬性���,以及技術(shù)資金密集�����、供求瞬時(shí)平衡��、生產(chǎn)運(yùn)行連續(xù)等特征���,同時(shí)電力項(xiàng)目投資額巨大、建設(shè)周期長(zhǎng)��、沉沒(méi)成本高��,而且����,隨著電力體制改革和電力市場(chǎng)建設(shè)進(jìn)程的深入���,市場(chǎng)主體越來(lái)越多�,電力交易關(guān)系復(fù)雜,不同主體之間協(xié)調(diào)困難���,電力行業(yè)規(guī)劃建設(shè)�、生產(chǎn)經(jīng)營(yíng)的不確定性加大�����、電力市場(chǎng)風(fēng)險(xiǎn)增加���。根據(jù)“十一五”期間電力體制改革的任務(wù)�����,面對(duì)我國(guó)電力市場(chǎng)化發(fā)展的現(xiàn)狀��,增強(qiáng)風(fēng)險(xiǎn)意識(shí)�,樹(shù)立風(fēng)險(xiǎn)觀念���,加強(qiáng)風(fēng)險(xiǎn)管理將是電力企業(yè)的重要任務(wù)���。本文在闡述了企業(yè)風(fēng)險(xiǎn)管理基本框架流程及其主要內(nèi)容的基礎(chǔ)上���,提出電力企業(yè)定量風(fēng)險(xiǎn)評(píng)估的主要內(nèi)容及方法,以期推動(dòng)電力系統(tǒng)風(fēng)險(xiǎn)管理工作的開(kāi)展�����。
1���、風(fēng)險(xiǎn)管理的主要內(nèi)容
風(fēng)險(xiǎn)作為客觀存在����,要求人們考察研究風(fēng)險(xiǎn)時(shí)�����,要從決策角度認(rèn)識(shí)到風(fēng)險(xiǎn)與人們有目的活動(dòng)����、行動(dòng)方案選擇及事物的未來(lái)變化有關(guān)。風(fēng)險(xiǎn)的形成過(guò)程和風(fēng)險(xiǎn)的客觀性����、損失性、不確定性特征共同構(gòu)成風(fēng)險(xiǎn)形成機(jī)制分析和風(fēng)險(xiǎn)管理的基礎(chǔ)���。
人們一般對(duì)風(fēng)險(xiǎn)持厭惡態(tài)度�����,都想減小風(fēng)險(xiǎn)損失�,追求風(fēng)險(xiǎn)與收益的均衡優(yōu)化���。風(fēng)險(xiǎn)管理的提出與發(fā)展與企業(yè)發(fā)展?fàn)顩r����、社會(huì)背景密不可分�。風(fēng)險(xiǎn)管理作為一門管理學(xué)科,首先在美國(guó)應(yīng)運(yùn)而生�����,之后傳到西歐���、亞洲���、拉丁美洲。美國(guó)大多數(shù)企業(yè)都設(shè)置專職部門進(jìn)行風(fēng)險(xiǎn)管理�,許多大學(xué)的工商管理學(xué)院都開(kāi)設(shè)風(fēng)險(xiǎn)管理課程�����。風(fēng)險(xiǎn)管理作為一門科學(xué)與藝術(shù)�,既需要定性分析����,又需要定量估計(jì);既要求理性���,又要求人性���;不但需要多學(xué)科理論指導(dǎo),還需要多種方法支持�����。
源于風(fēng)險(xiǎn)意識(shí)的風(fēng)險(xiǎn)管理主要包括風(fēng)險(xiǎn)分析�、風(fēng)險(xiǎn)評(píng)價(jià)與風(fēng)險(xiǎn)控制三大部份。根據(jù)風(fēng)險(xiǎn)形成的過(guò)程��,風(fēng)險(xiǎn)分析需要進(jìn)行風(fēng)險(xiǎn)辨識(shí)����、風(fēng)險(xiǎn)估計(jì)�����。風(fēng)險(xiǎn)估計(jì)需要進(jìn)行頻率分析與后果分析,而后果分析又包括情景分析與損失分析���。通過(guò)風(fēng)險(xiǎn)分析����,可得到特定系統(tǒng)所有風(fēng)險(xiǎn)的風(fēng)險(xiǎn)估計(jì)��,對(duì)此再參照相應(yīng)的風(fēng)險(xiǎn)標(biāo)準(zhǔn)及可接受性�����,判斷系統(tǒng)的風(fēng)險(xiǎn)是否可接受���,是否采取安全措施���,這就是風(fēng)險(xiǎn)評(píng)價(jià)。風(fēng)險(xiǎn)分析與風(fēng)險(xiǎn)評(píng)價(jià)總稱為風(fēng)險(xiǎn)評(píng)估����。為進(jìn)行風(fēng)險(xiǎn)定量化估算�,要進(jìn)行定量風(fēng)險(xiǎn)評(píng)估(Quantitative Risk Assessment—QRA)�。在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上,針對(duì)風(fēng)險(xiǎn)狀況采取相應(yīng)的措施與對(duì)策方案�����,以控制�����、抑制����、降低風(fēng)險(xiǎn),即風(fēng)險(xiǎn)控制��。風(fēng)險(xiǎn)管理不僅要定性分析風(fēng)險(xiǎn)因素����、風(fēng)險(xiǎn)事故及損失狀況,而且要盡可能基于風(fēng)險(xiǎn)標(biāo)準(zhǔn)及可接受性對(duì)風(fēng)險(xiǎn)進(jìn)行定量評(píng)價(jià)�。對(duì)于以盈利為目的的工業(yè)企業(yè)也希望將風(fēng)險(xiǎn)損失價(jià)值化并給出貨幣衡量標(biāo)準(zhǔn)。風(fēng)險(xiǎn)管理就是風(fēng)險(xiǎn)分析��、風(fēng)險(xiǎn)評(píng)價(jià)、風(fēng)險(xiǎn)控制三者密切相聯(lián)的動(dòng)態(tài)過(guò)程����,見(jiàn)圖1。
2�、風(fēng)險(xiǎn)管理的組織實(shí)施與基本流程
為有效實(shí)施風(fēng)險(xiǎn)管理,企業(yè)應(yīng)由專門的組織及相關(guān)人員按一定程序組織實(shí)施風(fēng)險(xiǎn)管理工作���。據(jù)《幸福》雜志對(duì)美國(guó)500多家大公司的調(diào)查知���,84%的公司由中層以上的經(jīng)理人員負(fù)責(zé)風(fēng)險(xiǎn)管理�。風(fēng)險(xiǎn)管理的趨勢(shì)是董事會(huì)下屬設(shè)立風(fēng)險(xiǎn)管理委員會(huì)全面負(fù)責(zé)公司風(fēng)險(xiǎn)管理��,組織實(shí)施的流程是:①制定風(fēng)險(xiǎn)管理規(guī)劃����;②風(fēng)險(xiǎn)辯識(shí);③風(fēng)險(xiǎn)評(píng)估����;④風(fēng)險(xiǎn)管理策略方案選擇;⑤風(fēng)險(xiǎn)管理策略實(shí)施�����;⑥風(fēng)險(xiǎn)管理策略實(shí)施評(píng)價(jià)。
3�����、電力企業(yè)定量風(fēng)險(xiǎn)評(píng)估(QRA)
電力企業(yè)QRA的建立與發(fā)展從內(nèi)部來(lái)看��,不僅已有可靠性分析�、安全分析、質(zhì)量管理����、項(xiàng)目管理等各專業(yè)分析作基礎(chǔ),從外部而言有電力用戶�、政府與社會(huì)公眾、咨詢機(jī)構(gòu)等眾多相關(guān)主體的關(guān)注�����。電力企業(yè)QRA對(duì)企業(yè)的作用主要體現(xiàn)在:通過(guò)QRA有利于企業(yè)將風(fēng)險(xiǎn)水平控制在規(guī)定標(biāo)準(zhǔn)的風(fēng)險(xiǎn)水平之內(nèi)���,并符合最低合理可行原則���;通過(guò)開(kāi)展QRA可幫助企業(yè)全面識(shí)別風(fēng)險(xiǎn),并按輕重緩急排序,以有助于管理者將精力����、財(cái)力、物力集中于風(fēng)險(xiǎn)控制的重要緊急領(lǐng)域�,使風(fēng)險(xiǎn)管理決策更為合理、效果更好���、成本最??�;通過(guò)對(duì)各種風(fēng)險(xiǎn)控制方案或安全改進(jìn)措施進(jìn)行QRA��,使決策者對(duì)方案措施進(jìn)行優(yōu)劣選擇����,為公司提出決策支持�。電力企業(yè)的風(fēng)險(xiǎn)將對(duì)其它企業(yè)和主體帶來(lái)連帶影響,并產(chǎn)生放大效應(yīng)��,電力系統(tǒng)安全�����、可靠、高效��、優(yōu)質(zhì)是各行各業(yè)和政府管理部門共同的愿望����。電力企業(yè)實(shí)施QRA具有現(xiàn)實(shí)意義。
3.1 電力企業(yè)QHA的基本框架模式
電力企業(yè)QRA是指在工業(yè)系統(tǒng)QRA的基礎(chǔ)上���,考慮電力系統(tǒng)的技術(shù)經(jīng)濟(jì)特點(diǎn)及運(yùn)行規(guī)律�����,結(jié)合電力體制改革及電力市場(chǎng)化進(jìn)程而以概率模型表征的全面風(fēng)險(xiǎn)管理理論方法��。為便于實(shí)施風(fēng)險(xiǎn)管理�����,保證風(fēng)險(xiǎn)評(píng)估質(zhì)量��,滿足風(fēng)險(xiǎn)評(píng)估過(guò)程各階段的不同要求��,構(gòu)建如圖3所示的適用于電力企業(yè)QRA的基本框架模式���。在具體實(shí)施時(shí)��,允許依實(shí)際情況而有所改變���。
3.2 電力企業(yè)QRA的主要工作內(nèi)容
(1)確定目標(biāo)及范圍。包括風(fēng)險(xiǎn)管理的目的與意義�,待分析系統(tǒng)的設(shè)備配置、工作流程���、資金�、人員���、管理��、信息�、地區(qū)���、人文環(huán)境等,即確定QRA實(shí)現(xiàn)目標(biāo)和實(shí)施條件等���。
(2)風(fēng)險(xiǎn)辨識(shí)����。即找出待評(píng)價(jià)系統(tǒng)中所有潛在的風(fēng)險(xiǎn)因素,并進(jìn)行初步分析�,通過(guò)安全檢查看系統(tǒng)是否達(dá)到規(guī)范要求。風(fēng)險(xiǎn)辯識(shí)的基本途徑有歷史事故統(tǒng)計(jì)分析����、安全檢查表分析、風(fēng)險(xiǎn)與可操作性研究(HZOPS)�、故障模式與影響分析(FMEA)、故障模式影響及危急分析(FMECA)�����、故障樹(shù)分析(ETA)��、事故樹(shù)分析(ETA)��、風(fēng)險(xiǎn)分析調(diào)查表�、保單檢視表、資產(chǎn)風(fēng)險(xiǎn)暴露分析表�����、財(cái)務(wù)報(bào)表���、流程圖���、現(xiàn)場(chǎng)檢查表�����、風(fēng)險(xiǎn)趨勢(shì)估計(jì)表等���。為配合保險(xiǎn)公司對(duì)出險(xiǎn)事項(xiàng)的處理,可采用從下至上的歸納法��、從上至下的演繹法及兩者綜合運(yùn)用�����。針對(duì)特定風(fēng)險(xiǎn)���,可選用基于系統(tǒng)平面布置的區(qū)域分析�����、隱含事件分析、德?tīng)柗品盎谑鹿蕵?shù)分析的風(fēng)險(xiǎn)事故網(wǎng)絡(luò)法等���。風(fēng)險(xiǎn)辯識(shí)不只局限于系統(tǒng)硬件�����,還應(yīng)考慮人為因素���、組織制度等系統(tǒng)軟件���。
轉(zhuǎn)貼于
風(fēng)險(xiǎn)綜合集成是指對(duì)所有風(fēng)險(xiǎn)按其特性類型分門別類加以匯總整理。因電力工業(yè)特點(diǎn)及電力市場(chǎng)化改革特點(diǎn)�����,把電力系統(tǒng)風(fēng)險(xiǎn)按廠網(wǎng)分開(kāi)的行業(yè)結(jié)構(gòu)進(jìn)行分類�。
對(duì)于發(fā)電企業(yè)而言,主要有電源規(guī)劃風(fēng)險(xiǎn)���、報(bào)價(jià)競(jìng)價(jià)上網(wǎng)風(fēng)險(xiǎn)��、供求平衡風(fēng)險(xiǎn)�、市場(chǎng)力抑制風(fēng)險(xiǎn)��、備用容量風(fēng)險(xiǎn)�����、信用風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)��、項(xiàng)目風(fēng)險(xiǎn)�����、中介機(jī)構(gòu)風(fēng)險(xiǎn)等��。對(duì)于電網(wǎng)企業(yè)而言�����,主要有電網(wǎng)規(guī)劃風(fēng)險(xiǎn)����、電網(wǎng)融資風(fēng)險(xiǎn)、購(gòu)電電價(jià)風(fēng)險(xiǎn)���、電力交易轉(zhuǎn)移風(fēng)險(xiǎn)���、輔助服務(wù)風(fēng)險(xiǎn)、成本分?jǐn)傦L(fēng)險(xiǎn)����、輸電阻塞風(fēng)險(xiǎn)、輸電能力風(fēng)險(xiǎn)���、備用率風(fēng)險(xiǎn)��、電力監(jiān)管風(fēng)險(xiǎn)等�。另外���,電力企業(yè)還將面臨電力可靠性�、安全性�、穩(wěn)定性風(fēng)險(xiǎn)及電能質(zhì)量風(fēng)險(xiǎn)等。
風(fēng)險(xiǎn)綜合集成后的初步風(fēng)險(xiǎn)分析是對(duì)已辯識(shí)出的風(fēng)險(xiǎn)進(jìn)行初步分析評(píng)估�����,確定風(fēng)險(xiǎn)的等級(jí)或水平��。風(fēng)險(xiǎn)水平低的可忽略不計(jì)或僅作定性評(píng)估�����,風(fēng)險(xiǎn)水平高的要在定性分析基礎(chǔ)上�����,進(jìn)行定量評(píng)估。
(3)頻率分析����。即確定風(fēng)險(xiǎn)可能發(fā)生的頻率,其方法主要有歷史數(shù)據(jù)統(tǒng)計(jì)分析�、故障樹(shù)分析與失效理論模型分析。歷史數(shù)據(jù)統(tǒng)計(jì)分析是根據(jù)有關(guān)事故的歷史數(shù)據(jù)預(yù)測(cè)今后可能發(fā)生的頻率�。因此要建立
風(fēng)險(xiǎn)數(shù)據(jù)庫(kù),既作為QRA的基礎(chǔ)���,又作為風(fēng)險(xiǎn)決策的依據(jù)�����。故障樹(shù)分析作為一種自上而下的邏輯分析法��,把可能發(fā)生的事故或系統(tǒng)失效(頂事件)與基本部件的失效聯(lián)系起來(lái)����,根據(jù)基本部件的失效概率計(jì)算出頂事件的發(fā)生概率��。失效理論模型分析是在歷史數(shù)據(jù)與專家經(jīng)驗(yàn)的基礎(chǔ)上�,采用某種失效理論模型來(lái)計(jì)算風(fēng)險(xiǎn)發(fā)生頻率��。
(4)風(fēng)險(xiǎn)測(cè)定估計(jì)�����。根據(jù)風(fēng)險(xiǎn)特性及類型,運(yùn)用一定的數(shù)學(xué)工具測(cè)定或估計(jì)風(fēng)險(xiǎn)大小���。常用方法主要有主觀估計(jì)法�、客觀估計(jì)法�、期望值法、數(shù)學(xué)模型法����、隨機(jī)模擬法和馬爾可夫模型法等。
(5)后果分析��。即分析特定風(fēng)險(xiǎn)在某種環(huán)境作用下可能導(dǎo)致的各種事故后果及損失�����。其方法主要有情景分析與損失分析��。情景分析通過(guò)事件樹(shù)模型分析特定風(fēng)險(xiǎn)在環(huán)境作用下可能導(dǎo)致的各種事故后果����。損失分析是分析特定后果對(duì)其它事物的影響及利益損失并歸結(jié)為某種風(fēng)險(xiǎn)指標(biāo)�。
(6)風(fēng)險(xiǎn)標(biāo)準(zhǔn)及可接受性����。風(fēng)險(xiǎn)標(biāo)準(zhǔn)及可接受性應(yīng)遵循最低合理可行(ALARP)原則。ALARP原則是指任何系統(tǒng)都存在風(fēng)險(xiǎn)�,而且風(fēng)險(xiǎn)水平越低,即風(fēng)險(xiǎn)程度越小要進(jìn)一步減少風(fēng)險(xiǎn)越困難���,其成本會(huì)呈指數(shù)曲線上升�。也就是說(shuō)����,風(fēng)險(xiǎn)改進(jìn)措施投資的邊際效益遞減,最終趨于零���,甚至為負(fù)值���。因此,必須在風(fēng)險(xiǎn)水平與成本間折衷考慮�����。如果電力企業(yè)定量風(fēng)險(xiǎn)評(píng)估所得風(fēng)險(xiǎn)水平在不可接受線之上,則該風(fēng)險(xiǎn)被拒絕�����,如果風(fēng)險(xiǎn)水平在可接受線之下�,則該風(fēng)險(xiǎn)可接受,無(wú)需采取風(fēng)險(xiǎn)改進(jìn)措施���;如風(fēng)險(xiǎn)水平在不可接受線與可接受線之間,即落人ALARP區(qū)(可容忍區(qū))����,這時(shí)要進(jìn)行風(fēng)險(xiǎn)改進(jìn)措施投資成本風(fēng)險(xiǎn)分析或風(fēng)險(xiǎn)成本收益分析。轉(zhuǎn)載于范文中國(guó)網(wǎng) ���。
分析結(jié)果如果證明進(jìn)一步增加風(fēng)險(xiǎn)改進(jìn)投資對(duì)電力企業(yè)的風(fēng)險(xiǎn)水平減小貢獻(xiàn)不大�����,則該風(fēng)險(xiǎn)是可接受的�����,即允許該風(fēng)險(xiǎn)存在���,以節(jié)省投資成本����。ALARP原則的經(jīng)濟(jì)學(xué)解釋類似投入要素的邊際收益遞減規(guī)律一樣��,風(fēng)險(xiǎn)與風(fēng)險(xiǎn)措施投入間的風(fēng)險(xiǎn)曲線也呈邊際收益遞減規(guī)律��。
3.3 電力企業(yè)QRA常用方法
篇(6)
〔摘 要〕針對(duì)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的準(zhǔn)確性問(wèn)題�,提出一種熵權(quán)理論與模糊集理論相結(jié)合的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估方法。該方法通過(guò)模糊集理論對(duì)信息系統(tǒng)所涉及的風(fēng)險(xiǎn)因素進(jìn)行分析�����,構(gòu)造各因素所對(duì)應(yīng)評(píng)判集的隸屬度矩陣��;然后采用熵權(quán)系數(shù)法確定風(fēng)險(xiǎn)因素權(quán)重以減少主觀偏差并輸出信息系統(tǒng)安全風(fēng)險(xiǎn)等級(jí)���。通過(guò)實(shí)例分析��,證明該方法能較準(zhǔn)確地量化評(píng)估信息系統(tǒng)風(fēng)險(xiǎn)��,是一種有效�����、可行的評(píng)估方法�����。
〔關(guān)鍵詞〕熵權(quán)�;信息系統(tǒng);風(fēng)險(xiǎn)評(píng)估�����;模糊集合���;指標(biāo)權(quán)重
信息系統(tǒng)作為國(guó)家信息化建設(shè)的重要組成部分,其安全問(wèn)題涉及國(guó)家和信息系統(tǒng)用戶的根本利益���,然而就在整個(gè)信息化程度日益加深����、技術(shù)進(jìn)步為大家?guī)?lái)驚喜的同時(shí)�����,信息系統(tǒng)所面臨的安全風(fēng)險(xiǎn)和威脅亦日趨嚴(yán)重�����。為保障信息系統(tǒng)安全與正常運(yùn)行,則須找出可能導(dǎo)致其癱瘓的重大缺陷�,而解決該問(wèn)題的有效途徑之一則是對(duì)其進(jìn)行安全風(fēng)險(xiǎn)評(píng)估。綜合國(guó)內(nèi)外研究文獻(xiàn)來(lái)看�����,信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估主要依靠層次分析法��、模糊綜合評(píng)判法�、BP神經(jīng)網(wǎng)絡(luò)法、灰色綜合評(píng)價(jià)法和矩陣分析法等多種方法��,目前已取得了一些研究成果[1-4]�。信息系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估涉及資產(chǎn)識(shí)別、威脅識(shí)別���、脆弱性識(shí)別�、風(fēng)險(xiǎn)識(shí)別和風(fēng)險(xiǎn)大小的量化等����,工作極富艱巨性。其中�,風(fēng)險(xiǎn)的量化是非常重要的環(huán)節(jié)�����,直接關(guān)系到對(duì)風(fēng)險(xiǎn)狀況的正確認(rèn)識(shí)���、安全投入的多少和安全措施部署的優(yōu)先順序[5]。由于信息系統(tǒng)風(fēng)險(xiǎn)包含大量模糊的�、不確定性的影響因素且相互關(guān)聯(lián),相應(yīng)信息不完全����,使得運(yùn)用傳統(tǒng)方法評(píng)估其安全風(fēng)險(xiǎn)存在很大困難,極易降低評(píng)估的準(zhǔn)確性���。因此��,針對(duì)該問(wèn)題,在已有的多種評(píng)估方法基礎(chǔ)上結(jié)合信息論中的熵權(quán)理論來(lái)對(duì)信息系統(tǒng)安全問(wèn)題進(jìn)行新視角的定量分析[6]���。
1 信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估基礎(chǔ)信息系統(tǒng)的安全風(fēng)險(xiǎn)是客觀存在的���,其源自自然或人為的威脅利用信息系統(tǒng)存在的脆弱性造成安全事件的發(fā)生。風(fēng)險(xiǎn)評(píng)估的目的是運(yùn)用科學(xué)的方法和手段系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性�,評(píng)估安全事件一旦發(fā)生可能造成的危害程度�����,提供有針對(duì)性的���、有效的防護(hù)對(duì)策和整改措施[7]。根據(jù)BS7799標(biāo)準(zhǔn)[8]定義�����,風(fēng)險(xiǎn)是指威脅主體利用資產(chǎn)的脆弱性對(duì)其造成損失或破壞的可能性��。信息安全風(fēng)險(xiǎn)R被表示為資產(chǎn)���、威脅和脆弱性的函數(shù)�,即R=g(a�����,t�����,v),其中:a為資產(chǎn)影響�����;t為對(duì)系統(tǒng)的威脅頻度����;v為脆弱性嚴(yán)重程度。GB/T20984-2007將資產(chǎn)影響���、威脅頻度����、脆弱性嚴(yán)重程度均定義為5個(gè)等級(jí)[9]��,具體表述為:很高��、高�、中、低�����、很低�。
篇(7)
1基于層次結(jié)構(gòu)的風(fēng)險(xiǎn)評(píng)估模型
1.1 基于層次結(jié)構(gòu)的風(fēng)險(xiǎn)評(píng)估基本概念
基于層次結(jié)構(gòu)的風(fēng)險(xiǎn)評(píng)估模型,評(píng)估方法為層次分析法�����。層次分析方法是一種定性和定量分析相結(jié)合的評(píng)估方法����。層次分析法的關(guān)鍵是:將一些定性但不易量化的因素進(jìn)行量化,從在評(píng)判與決策過(guò)程中有量化的參考依據(jù)����。層次分析法對(duì)信息系統(tǒng)進(jìn)行分層次、擬定量���、規(guī)范化處理�����。主要步驟如下:
①建立層次結(jié)構(gòu)模型���。
②構(gòu)造判斷矩陣。
③數(shù)學(xué)計(jì)算���。
④層次總排序����。
1.2建立層次結(jié)構(gòu)風(fēng)險(xiǎn)評(píng)估模型
本文采用ISO17799國(guó)際標(biāo)準(zhǔn)作為風(fēng)險(xiǎn)的分類標(biāo)準(zhǔn)。ISO17799規(guī)定了用于組織實(shí)施信息安全的管理體制�,以信息管理體制為指導(dǎo)依據(jù)對(duì)信息系統(tǒng)對(duì)象進(jìn)行分解,找出主要因素����。ISO17799由10個(gè)控制主題組成,每個(gè)主題又由幾個(gè)子類組成����,子類中又規(guī)定了安全要素,以下給出了10個(gè)控制主題[4]����。
①信息安全方針。
②企業(yè)組織安全�����。
③資產(chǎn)的分類和控制�。
④人為因素的安全防范。
⑤實(shí)體和環(huán)境安全����。
⑥通訊和操作管理�����。
⑦訪問(wèn)控制。
⑧系統(tǒng)開(kāi)發(fā)和維護(hù)��。
⑨商業(yè)連續(xù)性管理�����。
⑩符合性���。
1.3基于層次結(jié)構(gòu)的風(fēng)險(xiǎn)評(píng)估模型在制造業(yè)企業(yè)中的基本運(yùn)用
制造業(yè)企業(yè)通常組織機(jī)構(gòu)龐大�,流程較為復(fù)雜���。并且所涉及的風(fēng)險(xiǎn)的種類較也為復(fù)雜�。有效的識(shí)別風(fēng)險(xiǎn)�,歸類風(fēng)險(xiǎn),評(píng)估風(fēng)險(xiǎn)對(duì)于制造業(yè)企業(yè)的風(fēng)險(xiǎn)管理有著至關(guān)重要的作用����。而層次結(jié)構(gòu)的風(fēng)險(xiǎn)評(píng)估模型由于采用層次結(jié)構(gòu)設(shè)計(jì),并非簡(jiǎn)單地將信息系統(tǒng)分解成各個(gè)層次��,層次間存在著緊密的聯(lián)系,且每個(gè)層次的評(píng)估結(jié)果也直接影響到上下層次的評(píng)估��。同時(shí)在風(fēng)險(xiǎn)評(píng)估的過(guò)程中考慮了人為因素在內(nèi)的安全評(píng)估綜合方法����,采用了ISO17799國(guó)際標(biāo)準(zhǔn)作為風(fēng)險(xiǎn)的分類標(biāo)準(zhǔn),并充分考慮各個(gè)安全因素之間的相互影響����,引入關(guān)系矩陣,以多層分析的模糊邏輯為模型�����,實(shí)現(xiàn)了風(fēng)險(xiǎn)評(píng)估綜合決策���。采用三層結(jié)構(gòu)將復(fù)雜的關(guān)系分解為由局部簡(jiǎn)單關(guān)系構(gòu)成的遞增層次結(jié)構(gòu)關(guān)系��。
基于層次結(jié)構(gòu)的風(fēng)險(xiǎn)評(píng)估的一般步驟:
①確定評(píng)估因素集���。
根據(jù)ISO17799的規(guī)定,將因素集U分為子集���,再將每個(gè)子集Ui 根據(jù)安全風(fēng)險(xiǎn)評(píng)估的要求分成若干子集Ui.j即{Ui.0��,Ui.1��,…Ui..m}�����,再將每個(gè)子集Ui.j�,分成若干因素�,Ui.j.k,���。
②判斷矩陣及權(quán)重����。
采用了3級(jí)層次評(píng)估的方式����,并將前一級(jí)的評(píng)估結(jié)果作為下一級(jí)的評(píng)估輸入。
③評(píng)價(jià)集�。
設(shè)V(v0,v1���,v2���,v3��,v4)為評(píng)價(jià)集����,它們分別代表“很低”��、“較低”���、“中等”����、“較高”��、“很高”�����,它們由低到高表示了要素5系統(tǒng)的安全程度��。 并對(duì)這7種準(zhǔn)則按取0或1分別打分再求和得到評(píng)價(jià)分值��。
④模糊判斷。
采用3級(jí)模糊評(píng)估方式��,運(yùn)用關(guān)系矩陣��,確定隸屬度�,最后選取隸屬度最大者所對(duì)應(yīng)得評(píng)價(jià)集元素作為對(duì)系統(tǒng)得綜合評(píng)估結(jié)果,其結(jié)果是“很低”�、“較低”、“中等”���、“較高”����、“很高”中的任何一個(gè)��。
2COSO的ERM框架模型
2.1COSO的ERM概況介紹
COSO(Committee of Sponsoring Organization)的ERM(Enterprise Risk management)框架模式越來(lái)越廣泛應(yīng)用于美國(guó)及加拿大企業(yè)�����,但是該框架不具有實(shí)踐性����,沒(méi)有基于企業(yè)流程�����,并且在執(zhí)行中富有挑戰(zhàn)性。許多公司基于現(xiàn)有的COSO以及一個(gè)被稱為澳大利亞/新西蘭的標(biāo)準(zhǔn)來(lái)建立自己的ERM構(gòu)架���。澳大利亞/新西蘭標(biāo)準(zhǔn)為建立和執(zhí)行風(fēng)險(xiǎn)管理程序提供了一般指引.模型代表一種邏輯和系統(tǒng)方法論�����,應(yīng)用于建立風(fēng)險(xiǎn)定義�、分析�、評(píng)估、應(yīng)對(duì)����、溝通和實(shí)時(shí)監(jiān)控環(huán)節(jié).該模型是可重復(fù)進(jìn)行的,能應(yīng)用于公司����、業(yè)務(wù)單元、服務(wù)機(jī)構(gòu)及項(xiàng)目層面的風(fēng)險(xiǎn)管理活動(dòng)��。重復(fù)管理程序的時(shí)間可根據(jù)進(jìn)度表決定 (如每年進(jìn)行戰(zhàn)略風(fēng)險(xiǎn)評(píng)估)�,或者根據(jù)事件來(lái)決定(如外部事件、標(biāo)明超過(guò)風(fēng)險(xiǎn)門檻水平的報(bào)告�����、或被提議的項(xiàng)目)。
2.2COSO的ERM模型在制造業(yè)企業(yè)中的運(yùn)用
2.2.1 ERM模型介紹
①ERM 模型: 建立風(fēng)險(xiǎn)評(píng)估基礎(chǔ)
②ERM模型:識(shí)別風(fēng)險(xiǎn)和風(fēng)險(xiǎn)因素
③ERM模型:分析風(fēng)險(xiǎn)
④ERM模型:整合風(fēng)險(xiǎn)
⑤ERM 模型:評(píng)估風(fēng)險(xiǎn)
⑥ERM 模型:應(yīng)對(duì)風(fēng)險(xiǎn)
2.2.2ERM模型在制造業(yè)中的運(yùn)用
中國(guó)某鋼鐵公司是我國(guó)勘察計(jì)行業(yè)的龍頭企業(yè)�,擁有巨額的注冊(cè)資本,公司經(jīng)營(yíng)范圍廣泛涉及冶金��、建筑���、房地產(chǎn)�����、市政��、環(huán)境等領(lǐng)域的技術(shù)咨詢����、工程設(shè)計(jì)�����、工程總承包����、工程監(jiān)理以及相關(guān)設(shè)備成套。
對(duì)于鋼鐵企業(yè)來(lái)說(shuō)���,保守商業(yè)秘密就是一個(gè)必須重視的重要環(huán)節(jié)�。從最基本的層次來(lái)說(shuō)�,諸如企業(yè)成本核算與控制、核心設(shè)計(jì)圖紙�����、報(bào)價(jià)體系���、集成商和商的利潤(rùn)激勵(lì)體制��、新的投資和擴(kuò)張計(jì)劃等等���,都制約和決定著企業(yè)的競(jìng)爭(zhēng)優(yōu)勢(shì)。正是高瞻遠(yuǎn)矚地意識(shí)到了企業(yè)關(guān)鍵數(shù)據(jù)的重要意義���,這家鋼鐵公司開(kāi)始加強(qiáng)對(duì)這些核心數(shù)據(jù)的管理和科學(xué)保護(hù)�。這家公司選擇的是ERM體系�。該公司對(duì)國(guó)內(nèi)外的多家信息安全產(chǎn)品進(jìn)行了全方位的嚴(yán)格測(cè)試,廣泛涉及復(fù)雜網(wǎng)絡(luò)環(huán)境應(yīng)用測(cè)試����、業(yè)務(wù)系統(tǒng)的兼容性評(píng)估�����、系統(tǒng)穩(wěn)定性以及易用性考察�����,最終選擇ERM整體解決方案因?yàn)镋RM系統(tǒng)的高加密強(qiáng)度����、穩(wěn)定性�、易用性以及可靠的系統(tǒng)平臺(tái)能夠降低信息安全管理風(fēng)險(xiǎn),深化了企業(yè)的執(zhí)行和管理力度����。
ERM系統(tǒng)通過(guò)精準(zhǔn)細(xì)致的數(shù)據(jù)應(yīng)用權(quán)限控制、人員級(jí)別管理以及內(nèi)部信息共享行為的合法性控制�����,有效防止了機(jī)密數(shù)據(jù)信息被竊取���、外泄和破壞,同時(shí),ERM系統(tǒng)的革命性擴(kuò)展能力也幫助企業(yè)極大地降低了安全體系的成本花費(fèi)�。
2.3制造業(yè)中ERM安全備份模塊
為了幫助企業(yè)保護(hù)其內(nèi)部核心數(shù)據(jù)信息的完整性和安全性,提升企業(yè)重要文檔的抗破壞能力�, ERM安全備份模塊顯得尤為重要。
2.3.1 ERM安全備份模塊主要功能
安全備份模塊主要功能
1 任意格式電子文檔(CAD���、Office�、PDF�、JPG等)在編輯保存后均自動(dòng)備份到備份服務(wù)器中;
2 所有備份文檔在傳輸����、存儲(chǔ)和恢復(fù)過(guò)程中均以加密形式存在,有效杜絕了泄密和竊密的發(fā)生��;
3 管理員通過(guò)策略可以任意指定所有機(jī)密文檔的備份路徑和備份模式(按版本備份�、備份最后的版本),方便企業(yè)文檔管理��;
4 用戶在離線工作模式下生成的文檔���,將首先自動(dòng)備份在本地硬盤中���,有效避免了由于各種原因造成的企業(yè)機(jī)密數(shù)據(jù)信息的破壞���;
5 數(shù)據(jù)恢復(fù)過(guò)程簡(jiǎn)單、快捷��。
2.3.2 ERM安全備份模塊主要優(yōu)勢(shì)
①安全性����。ERM安全備份模塊以高強(qiáng)度的數(shù)據(jù)加密技術(shù)為依托,對(duì)企業(yè)的核心數(shù)據(jù)信息進(jìn)行實(shí)時(shí)備份�。任意格式電子文檔(CAD、Office�����、PDF�、JPG等)在新建后均自動(dòng)備份到備份服務(wù)器中。并且所有備份文檔在傳輸�����、存儲(chǔ)和恢復(fù)過(guò)程中均以加密形式存在����,有效杜絕了竊密、泄密和破壞事件的發(fā)生���,充分確保了企業(yè)核心數(shù)據(jù)信息的完整性和安全性�����。
②穩(wěn)定性��。機(jī)密文件安全備份是整個(gè)信息安全管理過(guò)程中的重要一環(huán)����,也是企業(yè)在面臨數(shù)據(jù)毀壞這種致命安全風(fēng)險(xiǎn)時(shí)的有力保護(hù)手段�����。為了幫助企業(yè)保證業(yè)務(wù)流程的連續(xù)性�����。
③靈活性��。ERM安全備份模塊充分利用企業(yè)現(xiàn)有網(wǎng)絡(luò)和設(shè)備���,為用戶定制了能夠全面滿足各種企業(yè)安全管理需求的備份模塊���。對(duì)于需要實(shí)施文件備份的企業(yè)用戶�,管理員可以通過(guò)策略靈活指定需要備份的文件源和文件類型�����。
3結(jié)語(yǔ)
文章提出了信息安全風(fēng)險(xiǎn)評(píng)估的兩種模型��,基于層次結(jié)構(gòu)的風(fēng)險(xiǎn)評(píng)估模型是建立在一種定量與定性結(jié)合的風(fēng)險(xiǎn)評(píng)估方法上����,通過(guò)層次的模糊綜合評(píng)估來(lái)計(jì)算一個(gè)值,定義了值得范圍對(duì)應(yīng)的"很低"�����、"較低"�����、"中等"��、"較高"�����、"很高"來(lái)進(jìn)行風(fēng)險(xiǎn)評(píng)估。針對(duì)相應(yīng)的風(fēng)險(xiǎn)程度���,寫改進(jìn)的意見(jiàn)���、如何改善完成整個(gè)風(fēng)險(xiǎn)評(píng)估的流程��,制定風(fēng)險(xiǎn)防范措施��,加強(qiáng)內(nèi)部控制���,提供解除風(fēng)險(xiǎn)的方法�,減少因?yàn)橄嚓P(guān)的風(fēng)險(xiǎn)而面臨的問(wèn)題����。ERM法是針對(duì)企業(yè)的具體情況,設(shè)定單體風(fēng)險(xiǎn)檔案�,通過(guò)對(duì)減值點(diǎn)相對(duì)應(yīng)的相關(guān)風(fēng)險(xiǎn)進(jìn)行描述,以問(wèn)卷的形式請(qǐng)相關(guān)負(fù)責(zé)人員對(duì)其評(píng)分�����,來(lái)確定是"很高""高""中""低""很低"�,來(lái)確定風(fēng)險(xiǎn)。填寫一些緩解措施,來(lái)相應(yīng)地采取措施���,應(yīng)對(duì)風(fēng)險(xiǎn)�����、解除風(fēng)險(xiǎn)���。兩種模型都在制造業(yè)企業(yè)信息資產(chǎn)的風(fēng)險(xiǎn)評(píng)估中得到廣泛運(yùn)用。
參考文獻(xiàn):
[1]中國(guó)信息安全組織論壇[DB/OL].infosecurity.org.cn/forum/��,2009-07-20.
[2]孫強(qiáng)���,陳偉���,王東紅.信息安全管理——全球最佳實(shí)務(wù)與實(shí)施指南[M].北京:清華大學(xué)出版社,2004.
[3]潘宏偉.基于模糊層次分析法的信息安全風(fēng)險(xiǎn)評(píng)估研究[D].南京:南京師范大學(xué)����,2007.
[4] 朱巖,楊永田���,張玉清�,等.基于層次結(jié)構(gòu)的信息安全評(píng)估模型研究[J].計(jì)算機(jī)工程與應(yīng)用,2006��,(6):40-43.
[5] 黃勤��,張?jiān)虑?��,劉益?信息安全風(fēng)險(xiǎn)模塊化層次評(píng)估方法研究[J].計(jì)算機(jī)科學(xué)�����,2007,(10):309-311.
[6] 楊繼華�,許春香.信息安全多層次綜合量化評(píng)價(jià)模型研究[J].情報(bào),2006���,(9):64-66.
[7] 劉楠.信息系統(tǒng)規(guī)劃階段風(fēng)險(xiǎn)評(píng)估模型[D].哈爾濱:哈爾濱工業(yè)大學(xué)�����,2006.
篇(8)
中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-2374(2011)30-0034-02
一���、項(xiàng)目背景
電力工業(yè)是國(guó)民經(jīng)濟(jì)的支柱產(chǎn)業(yè),電力工業(yè)的安全問(wèn)題直接關(guān)系到各行各業(yè)的發(fā)展和人民的生活水平��,關(guān)系到國(guó)家安全和社會(huì)穩(wěn)定。當(dāng)前流行的信息技術(shù)的廣泛應(yīng)用大大改變了電力企業(yè)傳統(tǒng)的經(jīng)營(yíng)管理模式和手段���,支撐著電力生產(chǎn)��、營(yíng)銷和管理的全過(guò)程�。如何有效保障信息安全�����,從而保證整個(gè)電力企業(yè)的生產(chǎn)安全���,成為電力行業(yè)目前積極探索的新課題�����。
在這個(gè)大環(huán)境下��,玉溪供電局作為云南電網(wǎng)的改革試點(diǎn)單位����,大力進(jìn)行改革創(chuàng)新����,引入國(guó)際信息安全管理標(biāo)準(zhǔn)ISO/IEC 27001�,建立了完整的信息安全管理體系�,有效的保證了信息安全,取得了很好的收效�����。
二�����、ISO/IEC 27001簡(jiǎn)介
ISO/IEC 27001是有關(guān)信息安全管理的國(guó)際標(biāo)準(zhǔn)�。最初源于英國(guó)標(biāo)準(zhǔn)BS7799,經(jīng)過(guò)十年的不斷改版�����,終于在2005年被國(guó)際標(biāo)準(zhǔn)化組織(ISO)轉(zhuǎn)化為正式的國(guó)際標(biāo)準(zhǔn)�����,于2005年10月15日為ISO/IEC 27001:2005��。該標(biāo)準(zhǔn)可用于組織的信息安全管理體系的建立和實(shí)施�����,保障組織的信息安全���。標(biāo)準(zhǔn)的要求主要包括11個(gè)安全控制域�、39個(gè)安全控制目標(biāo)和133項(xiàng)安全控制措施�。標(biāo)準(zhǔn)采用PDCA過(guò)程方法,基于風(fēng)險(xiǎn)評(píng)估的風(fēng)險(xiǎn)管理理念���,全面系統(tǒng)地持續(xù)改進(jìn)組織的安全管理��。其正式名稱為:《ISO/IEC 27001:2005 信息技術(shù)―安全技術(shù)―信息安全管理體系―要求》�。
三�����、項(xiàng)目實(shí)施方法論
玉溪供電局在整個(gè)信息安全體系建設(shè)過(guò)程中����,根據(jù)安全風(fēng)險(xiǎn)是相對(duì)的和動(dòng)態(tài)的基本概念,遵循P(Plan 計(jì)劃)-D(Do 實(shí)施)-C(Check 檢查)-A(Act 持續(xù)改進(jìn))的方法論���,見(jiàn)下圖:
四�、項(xiàng)目實(shí)施中若干重要環(huán)節(jié)
標(biāo)準(zhǔn)中只是提出了一些原則性的建議和要求���,但是如何按照這些要求建立一套符合局實(shí)際情況���,能夠順利推行和實(shí)施的信息安全管理體系是非常具有挑戰(zhàn)性的�。局項(xiàng)目組成員與上海天帷公司的同事一起積極探索�����,緊密結(jié)合局信息安全建設(shè)的現(xiàn)狀和要求���,認(rèn)為資產(chǎn)識(shí)別����、風(fēng)險(xiǎn)評(píng)估����、文件編制���、運(yùn)行實(shí)施����、審核等是整個(gè)過(guò)程的重要環(huán)節(jié)���。
(一)資產(chǎn)識(shí)別
資產(chǎn)識(shí)別是信息安全管理工作的重要步驟和基礎(chǔ)�����,信息安全就是要保證信息和資產(chǎn)的安全�。所謂資產(chǎn)識(shí)別就是要識(shí)別ISMS管理范圍內(nèi)的信息資產(chǎn)以及這些資產(chǎn)的所有者,形成資產(chǎn)清單��。玉溪供電局在資產(chǎn)識(shí)別中把資產(chǎn)分為5類:文檔和數(shù)據(jù)���、軟件和系統(tǒng)�����、硬件和設(shè)施�����、人力資源�、其他等���。
(二)風(fēng)險(xiǎn)評(píng)估
風(fēng)險(xiǎn)評(píng)估是信息安全工作的一個(gè)重要步驟�����,通過(guò)風(fēng)險(xiǎn)評(píng)估���,找到組織在信息安全方面的差距�,才能有針對(duì)性的制定相應(yīng)的策略和改進(jìn)措施��。
通過(guò)風(fēng)險(xiǎn)評(píng)估��,形成《風(fēng)險(xiǎn)評(píng)估表》����、《風(fēng)險(xiǎn)評(píng)估報(bào)告》、《風(fēng)險(xiǎn)處置計(jì)劃》等����。為了保證風(fēng)險(xiǎn)評(píng)估結(jié)果的客觀性和可操作性,建立了一個(gè)定量的風(fēng)險(xiǎn)評(píng)估方法論��。
風(fēng)險(xiǎn)值=威脅發(fā)生可能性×影響程度等級(jí)×現(xiàn)有控制措施有效性賦值���。通過(guò)制定風(fēng)險(xiǎn)等級(jí)劃分標(biāo)準(zhǔn)來(lái)確定風(fēng)險(xiǎn)等級(jí)。將等級(jí)劃分為五級(jí)���,等級(jí)越高��,風(fēng)險(xiǎn)越高���。
對(duì)于不可接受風(fēng)險(xiǎn)的確定和處理要慎重���,不要一味的將所有的風(fēng)險(xiǎn)都?xì)w為不可接受風(fēng)險(xiǎn),要時(shí)刻牢記風(fēng)險(xiǎn)的處理是要付出成本的��,所以需要綜合考慮風(fēng)險(xiǎn)控制成本與風(fēng)險(xiǎn)造成的影響來(lái)制定風(fēng)險(xiǎn)的可接受準(zhǔn)則��。風(fēng)險(xiǎn)的處置有4種方式:規(guī)避風(fēng)險(xiǎn)�、降低風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)�����、接受風(fēng)險(xiǎn)��。對(duì)于不可接受風(fēng)險(xiǎn)應(yīng)根據(jù)選擇的風(fēng)險(xiǎn)處理方式控制殘余風(fēng)險(xiǎn)����。
(三)文件編制
為了響應(yīng)云南電網(wǎng)公司的一體化管理制度,在信息安全建設(shè)中將針對(duì)信息安全標(biāo)準(zhǔn)ISO/IEC 27001要求的文件進(jìn)行統(tǒng)一整理���,對(duì)原有《信息安全管理辦法》的修編�����。形成了新版的《信息安全管理辦法》�����,覆蓋了27001的11個(gè)安全領(lǐng)域的要求���。
另外�����,為了使新版的《信息安全管理辦法》能夠更好的落地執(zhí)行��,在信息安全體系建設(shè)過(guò)程中�����,制定了60多個(gè)操作性很強(qiáng)的記錄表格表單��,以輔助各部門能夠更好的執(zhí)行信息安全體系的要求��,比如:《機(jī)房巡檢記錄表》�����、《防范病毒管理表》���、《重要應(yīng)用系統(tǒng)權(quán)限評(píng)審表》等。
(四)運(yùn)行實(shí)施
我局在信息安全體系運(yùn)行實(shí)施的過(guò)程中采取了多種措施來(lái)促進(jìn)體系的落地工作���,比如進(jìn)行信息安全意識(shí)和知識(shí)培訓(xùn)�����,張貼宣傳海報(bào)�,在電梯口液晶電視和LED大屏上播放信息安全宣傳視頻���,進(jìn)行模擬審核和安全工作檢查等�,真正做到了全員參與�����。
同時(shí)我局還建立了暢通的意見(jiàn)反饋機(jī)制����,任何人對(duì)當(dāng)前的信息安全體系有意見(jiàn)和建議�����,都可以通過(guò)局OA系統(tǒng)提交�����。信息運(yùn)營(yíng)中心會(huì)對(duì)所有提交的建議進(jìn)行整理和歸納��,以發(fā)現(xiàn)改進(jìn)的機(jī)會(huì)�����,真正實(shí)現(xiàn)了PDCA循環(huán)�����,使局的信息安全管理工作持續(xù)改進(jìn)和螺旋式上升����。
五�、項(xiàng)目實(shí)施經(jīng)驗(yàn)和注意事項(xiàng)
玉溪供電局按照ISO/IEC 27001的要求建立了符合本局實(shí)際情況的信息安全管理體系,經(jīng)歷了資產(chǎn)識(shí)別��、風(fēng)險(xiǎn)評(píng)估���、體系建設(shè)和實(shí)施����、內(nèi)審和審核,最后取得了認(rèn)證證書�。在這個(gè)過(guò)程當(dāng)中��,總結(jié)了一些實(shí)施的經(jīng)驗(yàn)和注意事項(xiàng)����。
(一)領(lǐng)導(dǎo)重視
信息安全管理工作是一項(xiàng)牽扯到局各部門的工作,需要投入相應(yīng)的人力���、物力和財(cái)力�,所以必須有局領(lǐng)導(dǎo)的大力支持��,才能順利的進(jìn)行和更好的實(shí)施�����。
(二)全員參與
安全不是某一個(gè)部門或者某一個(gè)人的事情��,而是關(guān)乎全局所有部門�。需要各個(gè)部門的共同努力和協(xié)調(diào)一致的工作�,才能保證真正意義上的信息安全���,任何一個(gè)部門出了問(wèn)題都將對(duì)局信息安全構(gòu)成威脅��。
(三)持續(xù)改進(jìn)
信息安全工作不是一朝一夕的事情����,需要持續(xù)改進(jìn)和不斷完善�。而且風(fēng)險(xiǎn)也是動(dòng)態(tài)的,為了保證信息安全和控制風(fēng)險(xiǎn)始終在可接受的范圍內(nèi)�����,信息安全工作應(yīng)當(dāng)是一件長(zhǎng)期的工作��。
(四)平衡原則
安全只是相對(duì)的����,沒(méi)有絕對(duì)的安全,而且任何降低風(fēng)險(xiǎn)的措施都是需要一定的投資�����,可能是金錢的����,也可能是人力資源的����。所以一定要平衡投資和風(fēng)險(xiǎn)降低之間的關(guān)系�����,不要一味的為了降低風(fēng)險(xiǎn)而作一些不適當(dāng)?shù)耐度搿?/p>
六���、結(jié)語(yǔ)
玉溪供電局通過(guò)ISO 27001的認(rèn)證并獲得證書,不僅是對(duì)前期信息安全體系建設(shè)工作的充分肯定�,而且對(duì)后續(xù)信息安全管理體系運(yùn)行工作提出了新的更高的要求和目標(biāo)。局信息運(yùn)營(yíng)中心要在局領(lǐng)導(dǎo)的正確領(lǐng)導(dǎo)和大力支持下��,在以后局信息安全工作中�,對(duì)現(xiàn)有體系進(jìn)行持續(xù)改進(jìn),使本體系更加符合玉溪供電局的實(shí)際情況���,為玉溪供電局的信息安全工作保駕
護(hù)航����。
篇(9)
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 01. 038
[中圖分類號(hào)] F270.7��; TP309 [文獻(xiàn)標(biāo)識(shí)碼] A [文章編號(hào)] 1673 - 0194(2014)01- 0074- 03
1 信息安全體系的重要性
隨著信息技術(shù)不斷發(fā)展,信息系統(tǒng)已經(jīng)成為一種不可缺少的信息交換工具�,企業(yè)對(duì)于信息資源的依賴程度也越來(lái)越大。然而����,由于計(jì)算機(jī)網(wǎng)絡(luò)具有開(kāi)放性、互聯(lián)性���、連接方式的多樣性及終端分布的不均勻性等特點(diǎn)���,再加上本身存在技術(shù)弱點(diǎn)和人為的疏忽,導(dǎo)致信息系統(tǒng)容易受到計(jì)算機(jī)病毒�����、黑客或惡意軟件的入侵�,致使信息被破壞或竊取,使得信息系統(tǒng)比傳統(tǒng)的實(shí)物資產(chǎn)顯得更加脆弱����。在這種大環(huán)境下,企業(yè)必須加強(qiáng)信息安全管理能力�。但企業(yè)不單面臨著信息安全方面問(wèn)題,同時(shí)還面臨經(jīng)營(yíng)合規(guī)方面的問(wèn)題、系統(tǒng)可用性問(wèn)題以及業(yè)務(wù)可持續(xù)問(wèn)題等越來(lái)越多的問(wèn)題����。因此,要求我們探索建立一套完善的體系���,來(lái)有效地保障信息系統(tǒng)的全面安全�。
2 信息安全體系建設(shè)理論依據(jù)
信息安全管理體系(Information Security Management System���, ISMS)是企業(yè)整體管理體系的一個(gè)部分���,是企業(yè)在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo),以及完成這些目標(biāo)所用方法的體系�����?����;趯?duì)業(yè)務(wù)風(fēng)險(xiǎn)的認(rèn)識(shí)����,ISMS包括建立��、實(shí)施、操作����、監(jiān)視、復(fù)查�、維護(hù)和改進(jìn)信息安全等一系列的管理活動(dòng),并且表現(xiàn)為組織結(jié)構(gòu)�、策略方針、計(jì)劃活動(dòng)�、目標(biāo)與原則、人員與責(zé)任�����、過(guò)程與方法���、資源等諸多要素的集合���。
在建設(shè)信息安全管理體系的方法上,ISO 27001標(biāo)準(zhǔn)為我們提供了指導(dǎo)性建議����,即基于PDCA 的持續(xù)改進(jìn)的管理模式。PDCA是一種通用的管理模式,適用于任何管理活動(dòng)�,體現(xiàn)了一種持續(xù)改進(jìn)、維持平衡的思想���,但具體到ISMS建立及認(rèn)證項(xiàng)目上�����,就顯得不夠明確和細(xì)致���,組織必須還要有一套切實(shí)可行的方法論,以符合項(xiàng)目過(guò)程實(shí)施的要求�����。在這方面���,ISMS 實(shí)施及認(rèn)證項(xiàng)目可以借鑒很多成熟的管理體系實(shí)施方法,比如IS0 9001����,ISO/IEC 2700l, ISO/TS 16949 等�����,大致上說(shuō),這些管理體系都遵循所謂的PROC過(guò)程方法����。
PROC 過(guò)程模型 (Preparation-Realization-Operation-Certification)是對(duì)PDCA 管理模式的一種細(xì)化,它更富有針對(duì)性和實(shí)效性���,并且更貼近認(rèn)證審核自身的特點(diǎn)�����。PROC模型如圖1所示���。
3 信息安全體系建設(shè)過(guò)程
根據(jù)以往經(jīng)驗(yàn),整個(gè)信息安全管理體系建設(shè)項(xiàng)目可劃分成5個(gè)階段��,如果每項(xiàng)內(nèi)容的活動(dòng)都能很好地完成����,最終就能建立起有效的ISMS,實(shí)現(xiàn)信息安全建設(shè)總體目標(biāo)����,最終通過(guò)ISO/IEC 27001認(rèn)證��。
調(diào)研階段: 對(duì)業(yè)務(wù)范圍內(nèi)所有制度包括內(nèi)部的管理規(guī)定或內(nèi)控相關(guān)規(guī)定����,對(duì)公司目前的管理狀況進(jìn)行系統(tǒng)����、全面的了解和分析。通過(guò)技術(shù)人員人工檢查和軟件檢測(cè)等方式對(duì)組織內(nèi)部分關(guān)鍵網(wǎng)絡(luò)�����、服務(wù)器等設(shè)備進(jìn)行抽樣漏洞掃描����,并形成《漏洞掃描風(fēng)險(xiǎn)評(píng)估報(bào)告》。
資產(chǎn)識(shí)別與風(fēng)險(xiǎn)評(píng)估階段: 針對(duì)組織內(nèi)部人員的實(shí)際情況�,進(jìn)行信息安全基礎(chǔ)知識(shí)的普及和培訓(xùn)工作,讓每位員工對(duì)信息安全體系建設(shè)活動(dòng)有充分的理解和認(rèn)識(shí)�。對(duì)內(nèi)部所有相關(guān)信息安全資產(chǎn)進(jìn)行全面梳理,并且按照ISO/IEC 27001相關(guān)的信息資產(chǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估的要求��,完成《信息資產(chǎn)清單》����、《信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估表》和《風(fēng)險(xiǎn)評(píng)估報(bào)告》。
設(shè)計(jì)策劃階段:通過(guò)分組現(xiàn)場(chǎng)討論����、領(lǐng)導(dǎo)訪談等多種方式對(duì)各業(yè)務(wù)部門涉及的信息安全相關(guān)內(nèi)容進(jìn)行細(xì)致研究和討論。針對(duì)現(xiàn)有信息安全問(wèn)題和潛在信息安全風(fēng)險(xiǎn)建立有效的防范和檢查機(jī)制��,并且形成有持續(xù)改進(jìn)功能的信息安全監(jiān)督審核管理制度�����,最終形成嚴(yán)格遵守ISO/IEC 27001認(rèn)證審核標(biāo)準(zhǔn)的�、符合組織業(yè)務(wù)發(fā)展需要的《信息安全管理體系文件》。體系對(duì)文件控制��、記錄控制�、內(nèi)部審核管理、管理評(píng)審���、糾正預(yù)防措施控制�����、信息安全交流管理��、信息資產(chǎn)管理��、人力資源安全管理�����、物理環(huán)境安全�����、通信與操作管理(包括:筆記本電腦管理����、變更管理、補(bǔ)丁管理���、第三方服務(wù)管理�����、防范病毒及惡意軟件管理�����、機(jī)房管理規(guī)定�、介質(zhì)管理規(guī)定�、軟件管理規(guī)定����、數(shù)據(jù)備份管理�����、系統(tǒng)監(jiān)控管理規(guī)定�����、電子郵件管理規(guī)定�、設(shè)備管理規(guī)定)�、訪問(wèn)控制、信息系統(tǒng)獲取開(kāi)發(fā)和維護(hù)�、信息安全事件管理、業(yè)務(wù)持續(xù)性控制���、符合性相關(guān)程序進(jìn)行全面界定和要求����。
實(shí)施階段:項(xiàng)目小組要組織相關(guān)資源����,依據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果選擇控制措施��,為實(shí)施有效的風(fēng)險(xiǎn)處理做好計(jì)劃���,管理者需要正式ISMS 體系并要求開(kāi)始實(shí)施,通過(guò)普遍的培訓(xùn)活動(dòng)來(lái)推廣執(zhí)行����。 ISMS 建立起來(lái)(體系文件正式實(shí)施) 之后,要通過(guò)一定時(shí)間的試運(yùn)行來(lái)檢驗(yàn)其有效性和穩(wěn)定性��。在此階段�,應(yīng)該培訓(xùn)專門人員,建立起內(nèi)部審查機(jī)制�,通過(guò)內(nèi)部審計(jì)、管理評(píng)審和模擬認(rèn)證����,來(lái)檢查己建立的ISMS是否符合ISO/IEC 27001標(biāo)準(zhǔn)以及企業(yè)規(guī)范的要求。
認(rèn)證階段:經(jīng)過(guò)一定時(shí)間運(yùn)行����,ISMS 達(dá)到一個(gè)穩(wěn)定的狀態(tài),各項(xiàng)文檔和記錄已經(jīng)建立完備���,此時(shí)����,可以提請(qǐng)進(jìn)行認(rèn)證。
4 信息安全體系建立的意義
通過(guò)建立信息安全管理體系��,我們對(duì)信息安全事件及風(fēng)險(xiǎn)有了較為清楚的認(rèn)識(shí)�,同時(shí)掌握了一些規(guī)避和處理信息安全風(fēng)險(xiǎn)的方法���,更重要的是我們重新梳理了組織內(nèi)信息安全體系范圍�����,明確了信息安全系統(tǒng)中人員相關(guān)職責(zé)����,對(duì)維護(hù)范圍內(nèi)的各信息系統(tǒng)進(jìn)行了全面的風(fēng)險(xiǎn)評(píng)估���,并且通過(guò)風(fēng)險(xiǎn)評(píng)估涉及的內(nèi)容確定了具體的控制目標(biāo)和控制方式�����,引入了持續(xù)改進(jìn)的戴明環(huán)管理思想�����,保證了體系運(yùn)轉(zhuǎn)的有效性�����。具體效果如下:
(1) 制定了信息安全方針和多層次的安全策略��,為各項(xiàng)信息安全管理活動(dòng)提供指引和支持��。
(2) 通過(guò)信息風(fēng)險(xiǎn)評(píng)估挖掘了組織真實(shí)的信息安全需求�����。
加強(qiáng)了人員安全意識(shí)����,建立了以預(yù)防為主的信息安全理念。
(3) 根據(jù)信息安全發(fā)展趨勢(shì)�,建立了動(dòng)態(tài)管理和持續(xù)改進(jìn)的思想。
5 決定體系建立的重要因素
5.1 加強(qiáng)人員安全意識(shí)是推動(dòng)體系實(shí)施的重要保障
信息安全體系在一個(gè)企業(yè)的成功建立并運(yùn)行���,需要整個(gè)企業(yè)從上到下的全體成員都有安全意識(shí)��,并具備信息安全體系相關(guān)理論基礎(chǔ)���,才能保障信息安全體系各項(xiàng)活動(dòng)內(nèi)容順利開(kāi)展���。為保證信息安全體系相關(guān)任務(wù)的執(zhí)行人員能夠盡職盡責(zé),組織要確定體系內(nèi)人員的職責(zé)����;給予相關(guān)人員適當(dāng)?shù)呐嘤?xùn),必要時(shí)����,需要為特定任務(wù)招聘有經(jīng)驗(yàn)的人員�;評(píng)估培訓(xùn)效果。組織必須確保相關(guān)人員能夠意識(shí)到其所進(jìn)行的信息安全活動(dòng)的重要性����,并且清楚各自在實(shí)現(xiàn)ISMS 目標(biāo)過(guò)程中參與的方式。
ISMS 培訓(xùn)工作應(yīng)該分層次����、分階段、循序漸進(jìn)地進(jìn)行����。借助培訓(xùn),組織一方面可以向一般員工宣貫安全策略、提升其安全意識(shí)�����;另一方面����,也可以向特定人員傳遞專業(yè)技能(例如風(fēng)險(xiǎn)評(píng)估方法、策略制定方法�、安全操作技術(shù)等)。此外���,面向管理人員的培訓(xùn)�����,能夠提升組織整體的信息安全管理水平�。通常來(lái)講�����,組織應(yīng)該考慮實(shí)施的培訓(xùn)內(nèi)容包括:
(1) 信息安全意識(shí)培訓(xùn)��。在ISMS實(shí)施伊始或最終運(yùn)行階段��,組織可以為所有人員提供信息安全意識(shí)培訓(xùn),目的在于讓所有與ISMS 相關(guān)的人員都了解信息安全管理基本要領(lǐng)����,理解信息安全策略,知道信息安全問(wèn)題所在�,掌握應(yīng)對(duì)和解決問(wèn)題的方法和途徑。
(2) 信息安全管理基礎(chǔ)培訓(xùn)����。在ISMS準(zhǔn)備階段,組織可以向ISMS項(xiàng)目實(shí)施相關(guān)人員 (例如風(fēng)險(xiǎn)評(píng)估小組人員���、各部門代表等)提供1SO/IEC 27001基礎(chǔ)培訓(xùn)��,通過(guò)短期學(xué)習(xí)����,幫助大家掌握ISO/IEC 27001標(biāo)準(zhǔn)的精髓����,理解自身角色和責(zé)任�����,從而在ISMS項(xiàng)目實(shí)施過(guò)程中起到應(yīng)有的作用。
(3) ISMS實(shí)施培訓(xùn)�。組織可以向ISMS項(xiàng)目的核心人員提供ISMS實(shí)施方法的培訓(xùn),包括風(fēng)險(xiǎn)評(píng)估方法��、策略制定方法等�,目的在于協(xié)作配合,共同推動(dòng)ISMS項(xiàng)目有序且順利地進(jìn)行���。
(4) 信息安全綜合技能培訓(xùn)�。為了讓ISMS能夠長(zhǎng)期穩(wěn)定地運(yùn)行下去�����,組織可以為相關(guān)人員提供信息安全操作技能的培訓(xùn)����,目的在于提高其運(yùn)營(yíng)ISMS的技術(shù)能力,掌握處理問(wèn)題的思路和方法�。
5.2 建立符合企業(yè)需求的ISMS,保障體系順利落地
(1) 根據(jù)業(yè)務(wù)需求明確ISMS范圍���。范圍的界定要從組織的業(yè)務(wù)出發(fā)��,通過(guò)分析業(yè)務(wù)流程(尤其是核心業(yè)務(wù))�����,找到與此相關(guān)的人員��、部門和職能�����,然后確定業(yè)務(wù)流程所依賴的信息系統(tǒng)和場(chǎng)所環(huán)境��,最終從邏輯上和物理上對(duì)ISMS 的范圍予以明確�。需要注意的是,組織確定的ISMS 范圍����,必須是適合內(nèi)外部客戶所需的,且包含了與所有對(duì)信息安全具有影響的合作伙伴�����、供貨商和客戶的接觸關(guān)系�。為此�����,組織應(yīng)該通過(guò)合同、服務(wù)水平協(xié)議 (SLA)���、諒解備忘錄等方式來(lái)說(shuō)明其在與合作伙伴��、供貨商以及客戶接觸時(shí)實(shí)施了信息安全管理���。
(2) 利用客觀風(fēng)險(xiǎn)評(píng)估工具。風(fēng)險(xiǎn)評(píng)估應(yīng)盡可能采用客觀的風(fēng)險(xiǎn)評(píng)估工具���,保證評(píng)估的準(zhǔn)確���、翔實(shí)。有效利用各種工具���,可以幫助評(píng)估者更準(zhǔn)確更全面地采集和分析數(shù)據(jù)�����,提升工作的自動(dòng)化水平��,并且最大程度上減少人為失誤�。當(dāng)然��,風(fēng)險(xiǎn)評(píng)估工具并不局限于完全技術(shù)性的產(chǎn)品,事實(shí)上很多評(píng)估工具都是評(píng)估者經(jīng)驗(yàn)積累的成果����,如調(diào)查問(wèn)卷、掃描工具�、風(fēng)險(xiǎn)評(píng)估軟件等。
(3) 構(gòu)建合理的ISMS文件體系����。文件首先應(yīng)該符合業(yè)務(wù)運(yùn)作和安全控制的實(shí)際情況,應(yīng)該具有可操作性����;不同層次的文件之間應(yīng)該保持緊密關(guān)系并且協(xié)調(diào)一致,不能存在相互矛盾的地方��;編寫ISMS文件時(shí)�,除了依據(jù)標(biāo)準(zhǔn)和相關(guān)法律法規(guī)之外,組織還應(yīng)該充分考慮現(xiàn)行的策略���、程序����、制度和規(guī)范�,有所繼承,有所修正���。
6 結(jié) 論
企業(yè)的生存和發(fā)展�,有賴于企業(yè)各項(xiàng)業(yè)務(wù)�、管理活動(dòng)的健康有序的進(jìn)行,而信息化是企業(yè)一切業(yè)務(wù)�����、管理活動(dòng)所依賴的基礎(chǔ)����。信息系統(tǒng)是否能夠穩(wěn)定、可靠�����、有效運(yùn)作��,直接關(guān)系到企業(yè)各項(xiàng)業(yè)務(wù)活動(dòng)是否能夠持續(xù)����。因此,我們要對(duì)信息系統(tǒng)的保密性、完整性���、可控性����、可用性等提出全面具體的要求���,建立持續(xù)改進(jìn)的信息安全體系運(yùn)行機(jī)制����。在信息安全體系的全面應(yīng)用過(guò)程中��,必須重點(diǎn)關(guān)注以下重要事項(xiàng):安全策略����、目標(biāo)和活動(dòng)應(yīng)該反映業(yè)務(wù)目標(biāo);實(shí)施信息安全的方法應(yīng)該與組織的文化保持一致����;來(lái)自高級(jí)管理層的明確的支持和承諾;向所有管理者和員工有效地推廣安全意識(shí)�;提供適當(dāng)?shù)呐嘤?xùn)和教育。
主要參考文獻(xiàn)
篇(10)
CISP的核心在于將保障貫穿于整個(gè)知識(shí)體系���。保障應(yīng)覆蓋整個(gè)信息系統(tǒng)生命周期���,通過(guò)技術(shù)���、管理���、工程過(guò)程和人員��,確保每個(gè)階段的安全屬性(保密性�����、完整性和可用性)得到有效控制���,使組織業(yè)務(wù)持續(xù)運(yùn)行。IT作為保障業(yè)務(wù)的重要手段和工具成為傳統(tǒng)保障目的的核心�����。由于風(fēng)險(xiǎn)會(huì)影響業(yè)務(wù)的正常運(yùn)行��,因此��,降低風(fēng)險(xiǎn)對(duì)業(yè)務(wù)的影響是保障的主要目標(biāo)(如圖)。在建立保障論據(jù)的過(guò)程中�����,首先應(yīng)該考慮的是組織業(yè)務(wù)對(duì)IT的依賴程度�����;其次要考慮風(fēng)險(xiǎn)的客觀性�����;第三要考慮風(fēng)險(xiǎn)消減手段的可執(zhí)行度���。CISP從體系結(jié)構(gòu)上提供了信息安全規(guī)劃設(shè)計(jì)的良好思路和方法論���,在整個(gè)課程體系中涵蓋了從政策(戰(zhàn)略層)到模型、標(biāo)準(zhǔn)����、基線(戰(zhàn)術(shù)層)的縱向線條,同時(shí)在兼顧中國(guó)國(guó)情的情況下�,系統(tǒng)介紹國(guó)際常用評(píng)估標(biāo)準(zhǔn)、管理標(biāo)準(zhǔn)和國(guó)家相關(guān)信息安全標(biāo)準(zhǔn)與政策�����。
根據(jù)CISP知識(shí)體系建立安全規(guī)劃設(shè)計(jì)
安全規(guī)劃是信息安全生命周期管理的起點(diǎn)和基礎(chǔ),良好的規(guī)劃設(shè)計(jì)可以為組織帶來(lái)正確的指導(dǎo)和方向�。根據(jù)國(guó)家《網(wǎng)絡(luò)安全法》“第三十三條建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)確保其具有支持業(yè)務(wù)穩(wěn)定、持續(xù)運(yùn)行的性能�����,并保證安全技術(shù)措施同步規(guī)劃�����、同步建設(shè)���、同步使用?����!?/p>
1.通過(guò)保障的思想建立安全規(guī)劃背景
信息安全規(guī)劃設(shè)計(jì)可以根據(jù)美國(guó)信息保障技術(shù)框架(IATF)ISSE過(guò)程建立需求�����,本階段可對(duì)應(yīng)ISSE中發(fā)掘信息保護(hù)需求階段�����。根據(jù)“信息安全保障基本內(nèi)容”確定安全需求,安全需求源于業(yè)務(wù)需求�,通過(guò)風(fēng)險(xiǎn)評(píng)估,在符合現(xiàn)有政策法規(guī)的情況下�����,建立基于風(fēng)險(xiǎn)與策略的基本方針���。因此�,安全規(guī)劃首先要熟悉并了解組織的業(yè)務(wù)特性�����,在信息安全規(guī)劃背景設(shè)計(jì)中�,應(yīng)描述規(guī)劃對(duì)象的業(yè)務(wù)特性、業(yè)務(wù)類型���、業(yè)務(wù)范圍以及業(yè)務(wù)狀態(tài)等相關(guān)信息�,并根據(jù)組織結(jié)構(gòu)選擇適用的安全標(biāo)準(zhǔn)�,例如國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的信息安全需要建立在信息安全等級(jí)保護(hù)基礎(chǔ)之上、第三方支付機(jī)構(gòu)可選CISP知識(shí)域簡(jiǎn)圖擇PCI-DSS作為可依據(jù)的準(zhǔn)則等�����。信息系統(tǒng)保護(hù)輪廓(ISPP)是根據(jù)組織機(jī)構(gòu)使命和所處的運(yùn)行環(huán)境,從組織機(jī)構(gòu)的策略和風(fēng)險(xiǎn)的實(shí)際情況出發(fā)�,對(duì)具體信息系統(tǒng)安全保障需求和能力進(jìn)行具體描述。傳統(tǒng)的風(fēng)險(xiǎn)評(píng)估可以基于GB/T20984《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》執(zhí)行具體的評(píng)估��,評(píng)估分為技術(shù)評(píng)估與管理評(píng)估兩部分�。從可遵循的標(biāo)準(zhǔn)來(lái)看,技術(shù)評(píng)估通過(guò)GB/T22240—2008《信息安全等級(jí)保護(hù)技術(shù)要求》中物理安全���、網(wǎng)絡(luò)安全�、系統(tǒng)安全�����、應(yīng)用安全及數(shù)據(jù)安全五個(gè)層面進(jìn)行評(píng)估�;管理安全可以選擇ISO/IEC27001:2013《信息技術(shù)信息安全管理體系要求》進(jìn)行�,該標(biāo)準(zhǔn)所包含的14個(gè)控制類113個(gè)控制點(diǎn)充分體現(xiàn)組織所涉及的管理風(fēng)險(xiǎn)。在工作中�,可以根據(jù)信息系統(tǒng)安全目標(biāo)來(lái)規(guī)范制定安全方案。信息系統(tǒng)安全目標(biāo)是根據(jù)信息系統(tǒng)保護(hù)輪廓編制���、從信息系統(tǒng)安全保障的建設(shè)方(廠商)角度制定的信息系統(tǒng)安全保障方案���。根據(jù)組織的安全目標(biāo)設(shè)計(jì)建設(shè)目標(biāo)�,由于信息技術(shù)的飛速發(fā)展以及組織業(yè)務(wù)的高速變化����,一般建議建設(shè)目標(biāo)以1-3年為宜,充分體現(xiàn)信息安全規(guī)劃設(shè)計(jì)的可實(shí)施性��,包括可接受的成本��、合理的進(jìn)度�、技術(shù)可實(shí)現(xiàn)性,以及組織管理和文化的可接受性等因素����。
2.信息系統(tǒng)安全保障評(píng)估框架下的概要設(shè)計(jì)
概要設(shè)計(jì)的主要任務(wù)是把背景建立階段中所獲得的需求通過(guò)頂層設(shè)計(jì)進(jìn)行描述。本階段可對(duì)應(yīng)ISSE中定義信息保護(hù)系統(tǒng)���,通過(guò)概要設(shè)計(jì)將安全規(guī)劃設(shè)計(jì)基于GB/T20274-1:2006《信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第一部分:簡(jiǎn)介和一般模型》進(jìn)行模塊化劃分��,并且描述安全規(guī)劃設(shè)計(jì)的組織高層愿景與設(shè)計(jì)內(nèi)涵�;在概要設(shè)計(jì)中��,還應(yīng)該描述每個(gè)模塊的概要描述與設(shè)計(jì)原則�����。設(shè)計(jì)思路是從宏觀上描述信息安全規(guī)劃設(shè)計(jì)的目的、意義以及最終目標(biāo)并選擇適用的模型建立設(shè)計(jì)原則���。本部分主要體現(xiàn)信息安全保障中信息系統(tǒng)安全概念和關(guān)系����。根據(jù)《網(wǎng)絡(luò)安全法》相關(guān)規(guī)定�����,頂層設(shè)計(jì)可以建立在信息安全等級(jí)保護(hù)的基礎(chǔ)上����,綜合考慮諸如建立安全管理組織、完善預(yù)警與應(yīng)急響應(yīng)機(jī)制���、確保業(yè)務(wù)連續(xù)性計(jì)劃等方面GB/T20274-1:2006《信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第一部分:簡(jiǎn)介和一般模型》提供了一個(gè)優(yōu)秀的保障體系框架。該標(biāo)準(zhǔn)給出了信息系統(tǒng)安全保障的基本概念和模型����,并建立了信息系統(tǒng)安全保障框架。該標(biāo)準(zhǔn)詳細(xì)給出了信息系統(tǒng)安全保障的一般模型��,包括安全保障上下文、信息系統(tǒng)安全保障評(píng)估���、信息系統(tǒng)保護(hù)輪廓和信息系統(tǒng)安全目標(biāo)的生成�����、信息系統(tǒng)安全保障描述材料���;信息系統(tǒng)安全保障評(píng)估和評(píng)估結(jié)果,包括信息系統(tǒng)保護(hù)輪廓和信息系統(tǒng)安全目標(biāo)的要求�����、評(píng)估對(duì)象的要求�����、評(píng)估結(jié)果的聲明等��。信息系統(tǒng)安全保障是在信息系統(tǒng)的整個(gè)生命周期中��,通過(guò)對(duì)信息系統(tǒng)的風(fēng)險(xiǎn)分析�,制定并執(zhí)行相應(yīng)的安全保障策略,從技術(shù)、管理����、工程和人員等方面提出安全保障要求,確保信息系統(tǒng)的保密性�����、完整性和可用性���,降低安全風(fēng)險(xiǎn)到可接受的程度���,從而保障系統(tǒng)實(shí)現(xiàn)組織機(jī)構(gòu)的使命。策略體現(xiàn)的是組織的高層意旨���,模型與措施作為戰(zhàn)術(shù)指標(biāo)分別為中層和執(zhí)行層提供具體的工作思路和方法��,以完成設(shè)計(jì)的具體實(shí)現(xiàn)��。當(dāng)信息安全滿足所定義的基本要素后���,為每個(gè)層面的設(shè)計(jì)提出概要目標(biāo)���,并在具體的設(shè)計(jì)中將其覆蓋整個(gè)安全規(guī)劃中�����。
3.實(shí)現(xiàn)建立在宏觀角度的合規(guī)性通用設(shè)計(jì)
通用設(shè)計(jì)可對(duì)應(yīng)ISSE中設(shè)計(jì)系統(tǒng)體系結(jié)構(gòu)����,本階段是整個(gè)安全規(guī)劃設(shè)計(jì)的核心部分,本階段必須全面覆蓋背景建立階段所獲得的安全需求���,滿足概要設(shè)計(jì)階段所選擇的模型與方法論�,全面�、系統(tǒng)的描述安全目標(biāo)的具體實(shí)現(xiàn)。通用安全設(shè)計(jì)是建立在宏觀角度上的綜合性設(shè)計(jì)��,設(shè)計(jì)首先將各個(gè)系統(tǒng)所產(chǎn)生的共同問(wèn)題及宏觀問(wèn)題統(tǒng)一解決�����,有效降低在安全建設(shè)中的重復(fù)建設(shè)和管理真空問(wèn)題���。在通用設(shè)計(jì)中����,重點(diǎn)針對(duì)組織信息安全管理體系和風(fēng)險(xiǎn)管理過(guò)程的控制元素,從系統(tǒng)生命周期考慮信息安全問(wèn)題�����。(1)管理設(shè)計(jì)在信息安全管理體系ISMS過(guò)程方法論中���,可遵循的過(guò)程方法是PDCA四個(gè)階段:首先���,需要在P階段解決信息系統(tǒng)安全的目標(biāo)、范圍的確認(rèn)����,并且獲得高層的支持與承諾。安全管理的實(shí)質(zhì)就是風(fēng)險(xiǎn)管理��,管理設(shè)計(jì)應(yīng)緊緊圍繞風(fēng)險(xiǎn)建立���,所以����,本階段首要的任務(wù)是為組織建立適用的風(fēng)險(xiǎn)評(píng)估方法論��。其次��,管理評(píng)估中所識(shí)別的不可接受風(fēng)險(xiǎn)是本階段主要設(shè)計(jì)依據(jù)���。通過(guò)D環(huán)節(jié)����,需要解決風(fēng)險(xiǎn)評(píng)估的具體實(shí)施以及風(fēng)險(xiǎn)控制措施落實(shí)����,風(fēng)險(xiǎn)評(píng)估僅能解決當(dāng)前狀態(tài)下的安全風(fēng)險(xiǎn)問(wèn)題,因此���,必須建立風(fēng)險(xiǎn)管理實(shí)施規(guī)范���,當(dāng)組織在一定周期(例如1年)或者組織發(fā)生重大變更時(shí)重新執(zhí)行風(fēng)險(xiǎn)評(píng)估,風(fēng)險(xiǎn)評(píng)估可以是自評(píng)估���,也可以委托第三方進(jìn)行����。本環(huán)節(jié)的設(shè)計(jì)必須涵蓋管理風(fēng)險(xiǎn)中所有不可接受風(fēng)險(xiǎn)的具體處置����,從實(shí)現(xiàn)而言�����,重點(diǎn)關(guān)注管理機(jī)構(gòu)的設(shè)置與體系文件的建立和落實(shí)��。第三個(gè)環(huán)節(jié)是建立有效的內(nèi)審機(jī)制和監(jiān)測(cè)機(jī)制��,沒(méi)有檢測(cè)就沒(méi)有改進(jìn)����,通過(guò)設(shè)計(jì)審計(jì)體系完成對(duì)信息安全管理體系的動(dòng)態(tài)運(yùn)行�����。第四個(gè)環(huán)節(jié)�����,即A環(huán)節(jié)���,是在完成審計(jì)之后針對(duì)組織是否有效執(zhí)行糾正措施的落實(shí)設(shè)計(jì)審計(jì)跟蹤和風(fēng)險(xiǎn)再評(píng)估過(guò)程�。A環(huán)節(jié)既是信息安全管理體系的最后一個(gè)環(huán)節(jié)�����,也是新的PDCA過(guò)程的推動(dòng)力。(2)技術(shù)設(shè)計(jì)技術(shù)設(shè)計(jì)主要是建立在組織平均安全水平基礎(chǔ)上���,應(yīng)可適用于組織所有的系統(tǒng)和通用的技術(shù)風(fēng)險(xiǎn)�。設(shè)計(jì)可遵循多種技術(shù)標(biāo)準(zhǔn)體系���,首先建立基于信息安全等級(jí)保護(hù)的五個(gè)層面技術(shù)設(shè)計(jì)要求。通過(guò)美國(guó)信息保障技術(shù)框架建立“縱深防御”原則�����,其具體涉及在訪問(wèn)控制技術(shù)和密碼學(xué)技術(shù)支撐下的物理安全��、網(wǎng)絡(luò)安全���、系統(tǒng)安全��、應(yīng)用安全和數(shù)據(jù)安全��。技術(shù)設(shè)計(jì)可在原有的技術(shù)框架下建立云安全�、大數(shù)據(jù)安全等專項(xiàng)技術(shù)安全設(shè)計(jì)��,也可在網(wǎng)絡(luò)安全中增加虛擬網(wǎng)絡(luò)安全設(shè)計(jì)等方式�,應(yīng)對(duì)新技術(shù)領(lǐng)域的安全設(shè)計(jì)�����。技術(shù)設(shè)計(jì)可以包括兩個(gè)主要手段:第一���,技術(shù)配置。技術(shù)配置是在現(xiàn)有的技術(shù)能力下通過(guò)基于業(yè)務(wù)的安全策略和合規(guī)性基線進(jìn)行安全配置��。常見(jiàn)的手段包括補(bǔ)丁的修訂���、安全域的劃分與ACL的設(shè)計(jì)����、基于基線的系統(tǒng)配置等手段��;第二����,技術(shù)產(chǎn)品。技術(shù)產(chǎn)品是在現(xiàn)有產(chǎn)品不能滿足控制能力時(shí)通過(guò)添加新的安全產(chǎn)品結(jié)合原有的控制措施和產(chǎn)品統(tǒng)一部署��、統(tǒng)一管理����。在技術(shù)設(shè)計(jì)中����,必須明確的原則是產(chǎn)品不是安全的唯一���,產(chǎn)品也不是解決安全問(wèn)題的靈丹妙藥����,有效的安全控制是通過(guò)對(duì)產(chǎn)品的綜合使用和與管理��、流程���、人員能力相互結(jié)合,最終形成最佳的使用效果�����。(3)工程過(guò)程設(shè)計(jì)工程過(guò)程設(shè)計(jì)重點(diǎn)考慮基于生命周期每個(gè)階段的基于安全工程考慮的流程問(wèn)題�����,在信息系統(tǒng)生命周期的五個(gè)層面���。信息安全問(wèn)題應(yīng)該從計(jì)劃組織階段開(kāi)始重視�,在信息系統(tǒng)生命周期每個(gè)階段建立有效的安全控制和管理。工程過(guò)程包括計(jì)劃組織�、開(kāi)發(fā)采購(gòu)、實(shí)施交付��、運(yùn)行維護(hù)和廢棄五個(gè)階段���,本階段的設(shè)計(jì)主要通過(guò)在每個(gè)階段建立相應(yīng)的流程�����,通過(guò)流程設(shè)計(jì)控制生命周期各個(gè)階段的安全風(fēng)險(xiǎn)��。在計(jì)劃組織(需求分析)階段��,體現(xiàn)信息安全工程中明確指出的系統(tǒng)建設(shè)與安全建設(shè)應(yīng)“同步規(guī)劃����、同步實(shí)施”��,體現(xiàn)《網(wǎng)絡(luò)安全法》中“三同步”的要求�����。在開(kāi)發(fā)采購(gòu)階段,通過(guò)流程設(shè)計(jì)實(shí)現(xiàn)軟件安全開(kāi)發(fā)的實(shí)現(xiàn)和實(shí)現(xiàn)供應(yīng)鏈管理���。實(shí)施交付階段��,關(guān)注安全交付問(wèn)題�����,應(yīng)設(shè)計(jì)安全交付流程和安全驗(yàn)收流程�。運(yùn)行維護(hù)階段要體現(xiàn)安全運(yùn)維與傳統(tǒng)運(yùn)維差異化�����,安全運(yùn)維起于風(fēng)險(xiǎn)評(píng)估����,應(yīng)更多關(guān)注預(yù)防事件的發(fā)生�,事前安全檢查的基線設(shè)計(jì)、檢查手段及工具的選擇和使用根據(jù)設(shè)備的不同重要程度建立不同的檢查周期��;當(dāng)系統(tǒng)產(chǎn)生缺陷或者漏洞時(shí)��,設(shè)計(jì)合理的配置管理�、變更管理及補(bǔ)丁管理等流程解決事中問(wèn)題;當(dāng)事件已經(jīng)產(chǎn)生影響時(shí),可以通過(guò)預(yù)定義的應(yīng)急響應(yīng)機(jī)制抑制事件并處置事件�����;當(dāng)事件造成系統(tǒng)中斷��、數(shù)據(jù)丟失以及其他影響業(yè)務(wù)連續(xù)性后果時(shí)�,能夠通過(guò)規(guī)劃中的災(zāi)難恢復(fù)及時(shí)恢復(fù)業(yè)務(wù)。廢棄階段通過(guò)流程控制用戶系統(tǒng)在下線�、遷移、更新過(guò)程中對(duì)包含有組織敏感信息的存儲(chǔ)介質(zhì)建立保護(hù)流程和方法����,明確廢棄過(guò)程中形成的信息保護(hù)責(zé)任制,并根據(jù)不同的敏感采取不同的管理手段和技術(shù)手段對(duì)剩余信息進(jìn)行有效處置����。(4)人員設(shè)計(jì)人員安全是信息安全領(lǐng)域不可或缺的層面,長(zhǎng)期以來(lái)��,過(guò)于關(guān)注IT技術(shù)的規(guī)劃設(shè)計(jì)而忽略了人的安全問(wèn)題����,內(nèi)部人員安全問(wèn)題構(gòu)成了組織安全的重要隱患,人為的無(wú)意失誤造成的損害往往遠(yuǎn)大于人為的惡意行為��。人員設(shè)計(jì)重點(diǎn)關(guān)注人員崗位、技術(shù)要求����、背景以及培訓(xùn)與教育,充分體現(xiàn)最小特權(quán)�����、職責(zé)分離及問(wèn)責(zé)制等原則���。根據(jù)《網(wǎng)絡(luò)安全法》第四章要求����,關(guān)鍵基礎(chǔ)設(shè)施應(yīng)建立信息安全管理機(jī)構(gòu)���,并設(shè)置信息安全專職人員���。在人員設(shè)計(jì)中還應(yīng)充分考慮到第三方代維人員的管理及供應(yīng)商管理等新問(wèn)題的產(chǎn)生�����。
