工程风险评估的核心问题范文

引言：寻求写作上的突破？我们特意为您精选了12篇工程风险评估的核心问题范文，希望这些范文能够成为您写作时的参考，帮助您的文章更加丰富和深入。

篇1

风险估计解决该风险有多大，就是要给出某一危险发生的概率及其后果的程度。通常采用概率的方法并以试验、统计资料和专家评判为基础，对不同危害或事故的发生概率进行估计。在进行风险评估的结果描述部分，往往采用统一的表达形式，便于衡量，比如：最终可以用费用、伤亡人数、社会效益损失等量值来衡量。定量风险评估主要用于工程结构的详细设计、施工和运营阶段，随着设计目标和各种地层条件、周围环境条件等参数的明确，借鉴己有的工程经验进行风险评估。

在地下工程行业以外已发展了大量的定量评估风险方法。主要有蒙特卡罗模拟法、风险乘数法、CEVP模型法及层次分析法等。

1蒙特卡罗方法

这是一种采用统计抽样理论近似地求解数学问题或物理问题的方法。先建立与所描述问题有相似性的概率模型，并利用这种相似性把这个概率模型的某些特征(如随机变量的均值、方差等)与数学计算问题的解答联系起来，然后对模型进行随机模拟或统计抽样，最终利用所得结果求出这些特征的统计估计值作为原来的数学计算问题的近似解。

2风险乘数法

这是一种半定量的归纳方法。它以失效模式和失效后果为基础，对某具体的风险链求得风险乘数，再进行评估。风险乘数法在失效模式和后果分析时先编制相应的表格，列出各失效的频率、后果严重程度以及失效可能被检查出的程度，按以往统计经验规定相关的分值，然后将各个指标定值的乘积作为风险乘数，再以风险乘数的大小来表示不同失效模式的相对重要程度。

3 CEVP模型法

这是一种基于风险的估计和管理复杂的地下工程成本的CEVP (Cost Estin ate V a lidation Process)模型，该模型是采用风险和不确定性的方法来构建一个工程的成本估计，获得可能的成本范围。它的分析过程就可以分为以下3个步骤:详细检查工程估计并确定工程的基本成本;识别潜在的风险和机会，并估计他们的发生概率和影响程度;综合基本成本、风险和机会事件，形成可能的成本和工期范围。

4 层次分析法

美国风险管理专家A. L Saaty在20世纪70年代提出了层次分析法风险评价模型。通过建立的工程项目层次分析风险评价模型，将复杂的风险问题分解为几个层次和若干要素，并在同一层次的各要素之间简单地进行比较、判断和计算，从而对诸多风险源进行归纳、评价和风险相对重要性程度的排序，并做一致性检验。上述即为层次分析风险评价模型的基本思路。

其中,风险评价模型基本假定为:每一风险的分值为1～ 9共9个标度。其中，1表示相对重要性程度相同，9表示相对重要性程度差别最大。上述假定即为建立工程项目风险评估模型各层次之间两两判断矩阵的依据。

层次分析法风险评估计算流程如图1所示。

其中：

式中: n为判断矩阵阶数，aij为判断矩阵第i行、第j列元素，A为n×m维判断矩阵。

地下工程具有隐蔽性、复杂性和不确定性等突出特点，在工程建设期存在大量的风险因素，技术风险水平很高，迫切需要进行工程风险管理研究。工程风险管理实质上是风险水平与风险控制成本之间的一个博弈与动态平衡的过程，其面对的核心问题是：多安全才足够安全。针对所识别出的地下工程项目的不同风险，结合考虑各种风险估计方法的适用范围，除了选择必要的定量风险评估方法外，还需要一些定性的方法估计其大小。

篇2

中图分类号：TM774 文献标识码：A 文章编号：1671-2064（2017）01-0168-02

作为电网的第一道防线，继电保护装置的安全可靠性一直是生产中的重中之重，二次可靠性是避免事故发生或其他影响的重要保证，因而研究继电保护系统的可靠性对于整个系统来说就特别重要。失效率是L险评估的一项重要指标，但是失效率会随着时间而变化，使得风险评估变得十分困难，传统方法只能对数据进行定量静态分析，一旦系统出现扰动，其可靠性分析则无法进行。如何对继电保护系统运行中可能出现的变化和面临的暂稳态风险进行深入分析，从保护运行的实际情况进行全过程的系统评估显得尤为重要。

1 原理简介

失效或故障是指设备丧失原有功能，继电保护中用来描述设备其的指标称失效率函数，简称失效率，是可靠性评估的主要研究依据，记为，用于表征单位时间内的t时刻内未失效的保护装置概率。若将X记为保护无故障运行的时间，Pr为事件发生的概率，则失效率函数可由下式表示：

失效率的定义是可靠性分析中独有的概念，主要用于反映保护装置可靠性。根据相关定义，可靠度是用来表征在时刻t装置正常运行的概率，其与失效率的关系可表示为：

2 失效率函数计算

失效率函数广泛用于继电保护的可靠性计算与风险的评估，根据偶然失效率能够算出总失效率如图1所示，为隐患风险评价工作奠定了基础。若用f（t）和F（t）表示继电保护装置正常运行时间Z的密度和相应分布，则失效率为：

从上式可以看到失效率是和时间t相关的，因此继电装置失效率是一个遵循时变规律的图形。可靠性的模型大都是依赖于时刻的失效概率来确立的，然而在现实中，存在很多不确定因素，使曲线呈盆状。

正常来说能把继电保护装置失效的情况分为偶然失效和老化失效。其中的由于偶然情况造成的失效情况称为偶然失效，而把元件老化等造成的失效称为老化失效，因此必须从这两个方面进行计算。

设为装置的偶然失效率，为装置的老化失效率，为总的失效率，其估算流程如图2所示。

3 风险评估的可靠性分析

对于继电保护，除了对隐性风险评估外，还应考虑到相应的继电设备的运行可靠程度。继电设备的可靠性既是对继电装置的基础保障，同时保证电网动作的底层保障。相应的设备务必要做到灵活、可进行选择以及安全可靠性等要求，保证能够在故障发生后能够正确动作，将不正常运行的设备及时切掉，以避免其产生的不良反应，使得相关系统可以的稳定性可靠运行。

将继电可靠性进行提升，就能够减少相应设备的误动、拒动发生的次数，使得不可能由于局部故障的出现，对整个电网运行造成影响。对故障出现的范围进行控制，将由于其造成的损失努力降到最低，使得各部分运行可靠。要保证电网继电设备的可靠性时，不仅对继电设备的选择有着相应的要求，同时还需定期对保护装置进行检修与维护，及时更换超过工作年限的老化设备及存在异常工作状况的失效设备，保证整个继电系统可以正常稳定地运行。面对电力建设的复杂程度及自动化程度的不断提高，在对继电设备的可靠性进行分析时，可以采取更加高效的措施来提高对所有电网的保护。

4 结语

继电保护是对电网乃至全部用电体系可靠运行的重中之重，对于其过程中存在的一系列显性和非显性的风险，一定要结合其实际工作状态进行分析与评估，并选用有效的方法来增加继电设备可靠性，保证电网运行的安全性。

参考文献：

[1]解昌顺，邓影.电力自动化继电保护相关安全管理问题探析[J].工业c，2016（20）：217.

篇3

档案信息安全风险评估总体方法

档案信息安全风险评估的核心问题之一是风险评估方法的选择，风险评估方法包括总体方法和具体方法。总体方法是从宏观的角度确定档案信息安全风险评估大致方法，包括：风险评价标准确定方法；风险评估中资产、威胁和脆弱性的识别方法；风险评估辅助工具使用方法及风险评估管理方法等。事实上，信息安全风险评估方法经历了一个不断发展的过程，“经历了从手动评估到工具辅助评估的阶段，目前正在由技术评估到整体评估发展，由定性评估向定性和定量相结合的方向发展，由基于知识(或经验)的评估向基于模型(或标准)的评估方法发展。”。随着信息安全技术与安全管理的不断发展，目前信息安全风险评估方法已发展到基于标准的、定性与定量相结合的、借用工具辅助评估的整体评估方法。档案信息安全风险评估总体方法应采用目前最先进方法，即采用依据合适风险评估标准、定性与定量结合、借助评估工具或软件来实现不仅进行档案信息安全技术评估，而且进行档案信息安全管理评估的整体评估方法。

1　档案信息安全风险评估标准的确定

信息安全风险评估标准主要分为国际国外标准和国家标准。国际国外标准有：《ISO／IEC 13335　信息技术　IT安全管理指南》、《ISO／IEC 17799：2005信息安全管理实施指南》、《ISO／IEC27001：2005信息安全管理体系要求》、《NIST SP 800-30信息技术系统的风险管理指南》系列标准等，这些标准在国外已得到广泛使用，而我国信息安全风险评估起步较晚，在吸取国外标准且根据我国国情的基础上于2007年制定了国家标准((GB／T 20984-2007信息安全技术信息安全风险评估规范》，并在全国范围内推广。国家发展改革委员会、公安部、国家保密局于2008年了“关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技[2008]2071号)”，该文件要求国家电子政务工程建设项目(以下简称电子政务项目)，应开展信息安全风险评估工作，且规定采用《GB／T 20984-2007信息安全技术信息安全风险评估规范》。档案信息系统属于电子政务系统，档案信息安全风险评估也应该采取OB／T 20984-2007标准。

2　档案信息安全风险评估需定性与定量相结合

定性分析方法是目前广泛采用的方法，需要凭借评估者的知识、经验和直觉，为风险的各个要素定级。定性分析法操作相对容易，但也可能因为分析结果过于主观性，很难完全反映安全现实情况。定量分析则对构成风险的各个要素和潜在损失水平赋予数值或货币金额，最后得出系统安全风险的量化评估结果。

定量分析方法准确，但由于信息系统风险评估是一个复杂的过程，整个信息系统又是一个庞大的系统工程，需要考虑的安全因素众多，而完全量化这些因素是不切实际的，因此完全量化评估是很难实现的。

定性与定量结合分析方法就是将风险要素的赋值和计算，根据需要分别采取定性和定量的方法，将定性分析方法和定量分析方法有机结合起来，共同完成信息安全风险评估。档案信息安全风险评估应采取定性与定量相结合的方法，在档案信息系统资产重要度、威胁分析和脆弱性分析可用定性方法，但给予赋值可采用定量方法。具体脆弱性测试软件可得出定量的数据，最后得出风险值，并判断哪些风险可接受和不可接受等。

3　档案信息安全风险评估需借用辅助评估工具

目前信息安全风险评估辅助工具的出现，改变了以往一切工作都只能手工进行的状况，这些工作包括识别重要资产、威胁和弱点发现、安全需求分析、当前安全实践分析、基于资产的风险分析和评估等。其工作量巨大，容易出现疏漏，而且有些工作如系统软硬件漏洞检测等无法用手工完成，因此目前国内外均使用相应的评估辅助工具，如漏洞检测软件和风险评估辅助软件等。档案信息安全风险评估也需借助相应的辅助工具，直接可用的是各种系统软硬件漏洞测试软件或我国依据《GB／T 20984-2007信息安全技术信息安全风险评估规范》开发的风险评估辅助软件，将来可开发专门的档案信息安全风险评估辅助工具软件。

4　档案信息安全风险评估需整体评估

信息安全风险评估不仅需进行安全技术评估，更重要的需进行安全管理等评估，我国已将信息系统等级保护作为一项安全制度，对不同等级的信息系统根据国家相关标准确定安全等级并采取该等级对应的基本安全措施，其中包括安全技术措施和安全管理措施，因此评估风险时同样需进行安全技术和安全管理的整体风险评估，档案信息安全风险评估同样如此。

档案信息安全风险评估具体方法

根据档案信息安全风险评估原理。从资产识别到风险计算，都需根据信息系统自身情况和风险评估要求选择合适的具体方法，包括：资产识别方法、威胁识别方法、脆弱性识别方法、现有措施识别法和风险计算方法等。

1　资产识别方法

档案信息资产识别是对信息资产的分类和判定其价值，因此资产识别方法包括资产分类方法和资产赋值方法。

(1)资产分类方法

在风险评估中资产分类没有严格的标准，但一般需满足：所有的资产都能找到相应的类；任何资产只能有唯一的类相对应。常用的资产分类方法有：按资产表现形式分类、按资产安全级别分类和按资产的功能分类等。

在《GB／T 20984-2007信息安全技术信息安全风险评估规范》中，对资产按其表现形式进行分类，即分为数据、软件、硬件、服务、人员及其他(主要指组织的无形资产)。这种分类方法的优点为：资产分类清晰、资产分类详细，其缺点为：资产分类与其安全属性无关、资产分类过细造成评估极其复杂，因为目前大部分风险评估

都以资产识别作为起点，一项资产面临多项威胁，—项威胁又与多项脆弱性有关，最后造成针对某一项资产的风险评估就十分复杂，缺乏实际可操作性。这种分类方法比较适合于初次风险评估单位对所有信息资产进行摸底和统计。

风险评估中资产的价值不是以资产的经济价值来衡量，所以信息资产分类应与信息资产安全要求有关，即依据信息资产对安全要求的高低进行分类，这种方法同时也满足下一环节即信息资产重要度赋值需求。任何一个档案信息资产无论是硬件、软件还是其他，其均有安全属性，在《GB／T 20984-2007信息安全技术信息安全风险评估规范》中要求：“资产价值应依据资产在保密性、完整性和可用性上的赋值等级，经过综合评定得出”。可选择每个资产在上述三个安全属性中最重要的安全属性等级作为其最后重要等级。但档案信息安全属性应该更多，除上述属性外还包括：真实性、不可否认性(抗抵赖)、可控性和可追溯性，所以可以根据档案信息的七个安全属性中最重要属性的等级作为该资产等级。

目前信息资产安全属性等级如保密性等级可分为：很高、高、中等、低、很低，因此信息资产按安全等级也可分为：很高、高、中等、低、很低，即如果此信息资产保密性等级为“中”，完整性等级为“中”，可用性等级为“低”，则取此信息资产安全等级最高的“中”级。

按信息资产安全级别分类法符合风险评估要求，因为体现了安全要求越高其资产价值越高的宗旨，在统计资产时也可按表现形式和安全等级结合的方法进行，如下表1所示。“类别”为按第一种分类方法中的类别，重要度为第二种方法中的五个等级。

但如果风险评估时按表1进行资产分类时，每个档案信息系统将具有很多资产，这样针对每一项资产进行评估的时间和精力对于评估方都难以接受。因此，在《信息安全风险评估——概念、方法和实践》一书中提出：“最好的解决办法应该是面对系统的评估”，信息资产安全等级分类的起点可以认为是系统(或子系统)，这样可以在资产统计时用资产表现形式进行分类，在资产安全等级分类时按系统或子系统进行大致分类，即同一个系统或子系统中的资产的安全等级相同，这样满足了组织进行风险评估时“用最少的时间找到主要风险”的思想。

(2)资产赋值方法

由于信息资产价值与安全等级有关，因此对资产赋值应与“很高、高、中等、低、很低”相关，但这是定性的方法，结合定量方法为对应“5、4、3、2、1”五个值，同时将此值称为“资产等级重要度”。

2　威胁识别方法

(1)威胁分类方法

对档案信息系统的威胁可从表现形式、来源、动机、途径等多角度进行分类，而常用的为按来源和表现形式分类。按来源可分为：环境因素和人为因素，人为因素又分为恶意和无意两种。基于表现形式可分为：物理环境影响、软硬件故障、无作为或操作失误、管理不到位、恶意代码、越权或滥用、网络攻击、物理攻击、泄密、篡改和抵赖等。由于威胁对信息系统的破坏性极大，所以应以分类详细为宗旨，按表现形式方法分类较为合适。

(2)威胁赋值方法

威胁赋值是以威胁出现的频率为依据的，评估者应根据经验或相关统计数据进行判断，综合考虑三个方面：“以往安全事件中出现威胁频率及其频率统计，实践中检测到的威胁频率统计、近期国内外相关组织的威胁预警”。。可以对威胁出现的频率进行等级化赋值，即为：“很高、高、中等、低、很低”，相应的值为：“5、4、3、2、1”。

3　脆弱性识别方法

脆弱性的识别可以以资产为核心，针对每一项需要保护的资产，识别可能被威胁利用的弱点，同时结合已有安全控制措施，对脆弱性的严重程度进行评估。脆弱性识别时来自于信息资产的所有者、使用者，以及相关业务领域和软硬件方面的专业人员等，并对脆弱性识别途径主要有：问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。

(1)脆弱性分类方法

脆弱性一般可以分为两大类：信息资产本身脆弱性和安全控制措施不足带来的脆弱性。资产本身的脆弱性可以通过测试或漏洞扫描等途径得到，属于技术脆弱性。而安全控制措施不足的脆弱性包括技术脆弱性和管理脆弱性，管理脆弱性更容易被威胁所利用，最后造成安全事故。档案信息系统脆弱性分类最好按技术脆弱性和管理脆弱性进行。技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题，管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面。

(2)脆弱性赋值方法

根据脆弱性对资产的暴露程度(指被威胁利用后资产的损失程度)，采用等级方式可对已经分类并识别的脆弱性进行赋值。如果脆弱性被威胁利用将对资产造成完全损害，则为最高等级，共分五级：“很高、高、中等、低、很低”，相应的值为：“5、4、3、2、1”。

脆弱性值(已有控制措施仍存在的脆弱性)也可称为暴露等级，将暴露等级“5、4、3、2、1”可转化为对应的暴露系数：100％、80％、60％、40％、20％，再将“脆弱性”与“资产重要度等级”联系，计算出如果脆弱性被威胁利用后发生安全事故的影响等级。

影响等级=暴露系数×资产等级重要度

4　已有控制措施识别方法

(1)识别方法

在识别脆弱性的同时应对已经采取的安全措施进行确认，然后确定安全事件发生的容易度。容易度描述的是在采取安全控制措施后威胁利用脆弱性仍可能发生安全事故的容易情况，也就是威胁的五个等级：“很高、高、中等、低、很低”，相应的取值为：“5、4、3、2、1”，“5”为最容易发生安全事故。

同时安全事件发生的可能性与已有控制措施有关，评估人员可以根据对系统的调查分析直接给在用控制措施的有效性进行赋值，赋值等级可分为0-5级，

“0”为控制措施基本有效，“5”为控制措施基本无效。

(2)安全事件可能性赋值

安全事件发生的可能性可用以下公式计算：

发生可能性=发生容易度(即威胁赋值)+控制措施

5　风险计算方法

风险计算方法有很多种，但其必须与资产安全等级、面临威胁值、脆弱性值、暴露等级值、容易度值、已有控制措施值等有关，计算出风险评估原理图中的影响等级和发生可能性值。目前一般而言风险计算公式如下：

风险=影响等级×发生可能性

综上所述，可将信息资产、面临威胁、可利用脆弱性、暴露、容易度、控制措施、影响、可能性、风险值构成表2，最终计算出风险值。下表以某数字档案馆为例，其主要分为馆内档案管理系统和电子文件中心，评估资产以子系统作为分类和赋值为起点，并只以部分威胁、脆弱性列出并计算风险。

上表中暴露等级值体现了脆弱性，容易度体现了威胁，以表2第一行为例计算档案管理系统数据泄密的风险值，过程如下：

影响等级=暴露系数×资产等级重要度＝(3／5)*5＝3

可能性=容易度(威胁值)+控制措施值＝3+3＝6

篇4

中图分类号：TP309 文献标识码：A文章编号：1007-9599 (2011) 15-0000-01

Threat Analysis of Information Security Risk Assessment Methods Study

Huang Yue

(Naval Command College,Information Warfare Study Institute,Nanjing211800,China)

Abstract:A threat-based analysis of quantitative risk assessment methods,the use of multi-attribute decision theory,with examples,the security of information systems for quantitative risk analysis for the establishment of information systems security system to provide a scientific basis.

Keywords:Risk assessment;Threat analysis;Information security

随着信息技术的迅速发展和广泛应用，信息安全问题已备受人们瞩目，风险评估是安全建设的出发点，在信息安全中占有举足轻重的地位。信息安全风险评估，是指依据国家有关信息安全技术标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程[1]。信息安全风险评估方法主要有定性评估和定量评估。定性评估主要依赖专家的知识和经验，主观性较强，对评估者本身的要求很高；定量评估使用数学和统计学工具来描述风险，采用合理的定量分析方法可以使评估结果更科学。本文提出一种基于威胁分析的多属性定量风险评估方法，建立以威胁为核心的风险计算模型，通过威胁识别、威胁后果属性计算及威胁指数计算等步骤对信息系统的安全风险进行定量分析和评估。

一、风险评估要素分析

信息系统安全风险评估的基本要素包括资产、脆弱性和威胁，存在以下关系：a资产是信息系统中需要保护的对象，资产拥有价值。资产的价值越大则风险越大b风险是由威胁引起的，威胁越大则风险越大c脆弱性使资产暴露，是未被满足的安全需求，威胁通过利用脆弱性来危害资产，从而形成风险，脆弱性越大则风险越大[2]。

二、风险评估模型

威胁是风险评估模型关注的核心问题，威胁利用脆弱性对信息系统产生的危害称为威胁后果。威胁发生的概率以及威胁后果的值是经过量化的。风险按式计算R=f（A，V，T）=f（I，L（V，T）），R风险；A资产；V资产的脆弱性；T威胁；I威胁后果；L安全事件发生的可能性。风险评估模型通过计算威胁利用脆弱性而发生安全事件的概率及其对信息系统造成损害的程度来度量安全风险，从而确定安全风险大小及决策控制。评估过程主要包括威胁识别、威胁后果属性及威胁指数计算。（一）威胁识别。识别信息系统威胁主要有德尔菲法、故障树分析法、层次分析法等[3]。通过德尔菲法，结合对系统历史数据的分析，以及系统漏洞扫描等手段来确定信息系统中存在的威胁。其中，历史数据分析包括对信息系统中资产遭受威胁攻击的事件发生的概率等进行统计和计算。例如：近几年来全球范围内的计算机犯罪，病毒泛滥，黑客入侵等几大问题，使企业信息系统安全技术受到严重的威胁，企业对信息系统安全的依赖性达到了空前的程度，一旦遭到攻击遭遇瘫痪，整个企业就会陷入危机。某企业信息系统，面临的主要威胁有：1黑客蓄意攻击：出于不同目的对企业网络进行破坏与盗窃；网络敲诈2病毒木马破坏：病毒或木马传播复制迅猛3员工误操作：安全配置不当，安全意识薄弱4软硬件技术缺陷：硬件软件设计缺陷，网络软硬件等多数依靠进口5物理环境：断电、静电、电磁干扰、火灾等环境问题和自然灾害。（二）确定威胁后果属性。在评估威胁对信息系统的危害程度时，要充分考虑不同后果属性的权重，才能真正得到符合被评估对象实际情况的风险评价结果。最终确定的风险后果属性类型可表示为X{xj|j=1，2，…m}：其中，xj为第j种后果属性，权重W：{wj|j=1，2，…m}.列出企业信息系统的威胁后果属性及权重：收入损失RL，生产力损失PL，信誉损害PR。权重为0.3，0.5，0.2。（三）确定后果属性值。通过收集历史上发生的有关该类威胁事件的资料数据为风险评估提高可靠依据。最终确定威胁发生概率P：{pi|i=1，2，…n}及相应后果属性值集合V：{vij|i=1，2，…n；j=1，2，…m}，pi是第i种威胁ti的发生概率，vij为威胁ti在后果属性xj上可能造成的影响值。由于多种后果属性类型有不同的量纲，为度量方便，消除了不同量纲，得到后果影响的相对值V*：{vij*|i=1，2，…n；j=1，2，…m}，vij*表示威胁在后果属性方面造成的相对后果影响值。Vij*=vij/max{vkj}本例中，最终确定的结果见表1。

表1：风险概率与后果属性值

编号 概率 后果属性值

RL w=0.3 PL w=0.5 PR w=0.2

V1/万元 V1* V2/h V2* V3/级 V3*

1 0.45 1000 1 4 0.4 5 1

2 0.35 1000 1 10 1 4 0.8

3 0.1 500 0.5 4 0.4 2 0.4

4 0.08 250 0.25 6 0.6 2 0.4

5 0.02 100 0.1 2 0.2 1 0.2

（四）计算威胁指数。使用威胁指数来表示风险的大小和严重程度。对于威胁ti，定义相应的威胁指数：TIi=pi*∑（wjvij），pi-威胁ti发生的概率，∑（wjvij）-威胁ti可能造成的总的后果影响，wj-后果属性xj的权重，vij-威胁ti在后果属性xj上可能造成的影响值。如前所述，安全风险评价的主要目标是为了度量出各个威胁的相对严重程度，并对其进行排序，以利于进行安全决策。因此，为使评估结果更加清晰和便于比较，这里用相对威胁指数RTI来表示威胁的相对严重程度。归一化，得到各威胁的相对指数。RTIi=（TIi/max{TIk}）*100经计算，黑客蓄意攻击93，病毒木马破坏100，员工误操作13，软硬件缺陷11，物理环境1

三、结论及展望

结合企业信息系统实例，得出信息系统的相对威胁程度，使风险评估更易量化，使评估结果更加科学和客观。下一步工作是继续完善该评估模型，设计实现基于该方法的信息系统风险评估辅助系统，更好地促进信息系统安全管理的实施。

参考文献：

[1]GB/T20984-2007.信息安全技术信息安全风险评估规范[S].中华人民共和国国家标准,2007

[2]陈鑫,王晓晗,黄河.基于威胁分析的多属性信息安全风险评估方法研究[J].计算机工程与设计,2009,30(1):39

[3]sattyTL.How to make adecision:the analytichier archprocess[J].European journal of operation research,1990,48(1):9

（二）药品问题广告主要表现

在该段时间内，三大网站中存在问题的4个药品广告中，均为一个广告《打呼噜――当晚止鼾》在不同时段在不同的网站中投放。该广告存在诸多问题。首先，该广告含有不科学地表示功效的断言和保证，在广告中提到“当晚止鼾，一个月呼吸顺畅，二个月睡眠质量提高，三个月告别打呼噜”；电子生物『止鼾器治疗打呼噜，不手术、不吃药，不用电，纯物理疗法，安全可靠，被誉为“绿色疗法”；“安全无毒，对身体没有任何影响；舒适耐用”等等。其次，利用他人名义、形象作证明。“他人”具体是指：医药科研、学术机构，专家、医生、患者或者用户。在该广告中，有利用具体的患者照片以及一些具体患者做广告宣传，“上海的刘芳32岁，是一个患者的妻子……江苏的老人陈老板自述……”这些都是利用具体的患者或者用户的名义做广告宣传。再次，含有“最新技术”、“最先进制法”等绝对化用语和表示。在该广告中，多次提到“采用国际医学界推崇的绿色物理疗法”、“为国际第一个戴在手腕上的止鼾产品，美国原装产品，畅销欧美20年，2010年由北京盛大电子科技有限公司引进中国大陆”等等。

三、解决网络广告问题的对策

一般来说，只要是广告，就要遵守《广告法》，但有关在网络媒体上广告，《广告法》中未提及。对于管理部门而言，出来规定网络公司承接广告业务必须对其经营范围进行变更登记外，如何界定网络广告经营资格，检测和打击虚假违法广告，取证违法事实，规范通过电子邮件发送的商业信息，对域外网络广告行使管辖权等一系列新的课题，都尚待探讨。因此，针对以上网络中的特殊商品广告违法行为，笔者认为应该采取以下对策：（1）网络经营者，网络广告者要牢固树立为人民服务、为社会主义事业服务的宣传宗旨，加强行业自律和职业道德修养，在思想上筑起防范不良广告的“大堤”。网络广告相关从业人员需要认真学习广告法规，特别是特殊商品、服务广告标准，对于违反广告法规的广告应该予以拒绝，净化传播广告的空间，给消费者提供一个良好的信息平台。（2）对于违反广告法规的广告，在追寻广告商责任的同时，应对该网站实施一定的惩罚。网站特别是大型的有一定影响力的网站作为广告的载体，有责任正规广告，为消费者提供真实、准确的信息。对于违法广告的网站，相关部门应该追究其责任，并进行经济处罚。（3）普通消费者应该了解基本的广告法规内容，从而判断简单的广告信息真伪，了解该广告是否合法。普通消费者学习广告法规，能够提高他们的基本素质，帮助消费者辨别广告的真伪，帮助选择信息，从而保护自己的合法权利。

参考文献：

[1]吕蓉.广告法规管理[M].上海:复旦大学出版,2003,9

[2]刘林清.广告监督与自律[M].湖南:中南大学出版社,2003,7

[3]倪宁.广告学教程[M].北京:中国人民大学出版社,2004,8

[4]刘敏.强化媒体治理虚假广告的责任意识[J].现代广告,2010,3

篇5

中图分类号：F470.6 文献标识码：A

一．引言

安全生产是电力企业管理的核心内容，同时也是确保企业安全及优质用电的基本保障。随着社会快速发展，电网的安全管理压力逐步增大，电力企业要利用安全生产技术，建立风险管理体系，提升供电安全，控制或减少安全事故的发生。

二、风险管理的内涵以及在电力行业安全管理中的应用 

现代风险管理,是指如何在一个肯定有风险的环境里把风险减至最低的管理过程。其中包括了对风险的量度、评估和应变策略。理想的风险管理,是一连串排好优先次序的过程,使当中的可以引致最大损失及最可能发生的事情优先处理、而相对风险较低的事情则押后处理。但现实情况里,这优化的过程往往很难决定,因为风险和发生的可能性通常并不一致,所以要权衡两者的比重,以便作出最合适的决定。因此,随着风险管理这一理念的革命式的普及,其自然也被引入了电力企业的安全生产管理中,在电力企业中,通说观点是指通过识别、衡量、分析风险,并在此基础上有效地控制处置风险,用经济合理的方法来综合处理风险,实现最大安全保障的科学管理方法。 

纵览我国电力安全管理发展历程,不难发现,电力企业在“安全第一,预防为主,安全生产,人人有责”的原则指导下,逐步在总结事故经验和教训的基础上,形成了比较系统的安全管理制度和规定,比如,以行政正职为核心的安全生产责任制和三级安全网、建立、健全了安措与反措计划、两票管理、个人防护用品规定、动火作业安全管理制度、紧急救灾预案等一系列安全保证制度。同时,为保证制度的有效实施,建立了春秋两季安全大检查、事故调查、定期安全活动、隐患整改、事故演练、监察违章作业等落实、检查、监督和评价体系。采用现代风险管理后,将会进一步对固有的体系进行有效整合,传统管理系统中的合理成分不仅不会被丢弃,而且会在系统化的风险管理基础上得到继承和发展,使安全管理更加科学、系统。

三、电力安全生产管理中存在的问题

1. 电力安全生产管理观念陈旧

电力安全生产管理不仅仅要求技术进步，各项安全生产措施落实到位，更重要的是观念上的转变和重视。安全生产重于泰山，要做好安全生产管理工作，首先必须从思想上认识到电力安全生产的重要性，树立以人为本的责任观，安全生产的全局观。但是现在好多电力生产企业对电力安全生产管理不够重视，墨守成规，对于电力安全生产的管理常处于被动状态。

2.电力安全生产管理远未实现标准化、正规化

现在电力安全生产管理工作已经取得了很大的成绩，但是电力安全生产管理工作离正规化、标准化的目标还有很长的一段路要走。在我国的电力企业中，安全生产观念并不陌生，但是很少有哪一个企业能够切实建立一套全方位、多层次、全过程的奖惩制度相结合、培训教育相衔接的安全生产管理体系；其次，电力生产企业中还缺乏自上而下的总体规划和设计，也缺少自下而上的反馈，各级管理机构缺乏有效地协调和配合，各自为政，缺乏有效的管理。

3.安全生产意识薄弱

在市场化经济的发展过程中，很多企业不能有效处理安全和稳定、发展之间的关系，片面的追求业绩，忽视安全生产的重要性。在生产过程中，电力企业的工作人员的自我保护意识较差，缺乏对操作程序的重要性的认识，往往存在着严重的违章操作，检修的时候，监督人员和管理人员也没有引起足够的重视，这些都严重导致了安全生产事故的出现。

4.基层管理工作落实不到位

一些电力企业的管理层只重视对大型作业的管理工作重视，而忽视了企业的日常管理。据调查显示，近几年的安全生产事故多是出现在企业的小型作业和分散作业时发生的。这种现象的出现主要是因为企业的管理层管理观念存在偏差，平时的管理工作时紧时松、管理松懈；企业的监督检查不到位，尤其是在跟踪检查和指导帮助这方面做的不好；对于企业的检修记录和报告管理不妥当，操作人员不能真实了解情况，导致设备在存在隐患的时候违规运行；对于发生的事故处置不当，尤其是对那些安全生产责任人，在发生问题后，纵容姑息、处理不当，不能有效遏制安全生产事故的发生。

5.安全工具管理不当

性能良好的安全工具是安全生产的重要保障。但是在实际的安全生产过程中，一些安全工具质量不达标，尤其是一些小的电力生产企业，在基层供电时用的工具质量标准不高；此外，一些企业不重视对安全工具的检修，检修意识不强，往往是等到工具严重毁坏的时候才直接换掉，对于一些小的破损根本无视，往往导致这些工具负伤上岗，存在着很大的安全隐患。

四、电力企业安全生产基本技术

1.辨识风险。

辨识风险是实现风险管理的基础，建立有效的生产作业过程风险评估准则，实现有效的风险源辨识，逐步改善人机料法环，应用规范、动态、系统的方法去识别及评估企业安全生产过程中的风险，制定风险控制措施，实现风险的超前控制，把风险降低到可接受程度，进而形成行之有效的制度、流程、标准是提升安全风险管理水平的关键点。应开展作业风险辨识。以防控人身触电、高空坠落、物体打击、机械伤害和误操作等典型事故风险为重点，组织开展输电、变电、配电和调度等专业领域典型作业项目的危险因素边式，通过建立静态风险数据库、典型作业风险辨识范本库和编制标准化监督检查表，落实风险控制措施

2.风险源评估。

电力生产作业具有显著的多专业、多工种特点，决定了风险因子的多样性和复杂性，主要集中的不利因素也因此而来，如电气设备多、高温高压设备多、危化品及废料多、势能设备多、特种设备多等。 

 电力生产风险分类：(1) 通过对电力企业生产作业过程中接触的直接风险因子进行排列集合，危害类别包括物理危害、化学危害、机械危害、生物危害、人机工效危害、社会/心理危害、行为危害、环境危害、能源危害等九个类型。 (2) 电力企业生产作业对上述九个类型的风险接触，在特定条件下引起暴露就会触发安全生产事故或事件，依电力企业事故事件的分类可将风险源划分为电力企业的五类风险，分别为人身风险、电网风险、设备风险、环境与职业健康风险、社会影响风险，其中，前四类风险都会对社会造成负面影响产生社会影响风险。

五、建立电力企业风险管理体系的基本措施

安全事故的发生，归根结底是由于人的不安全行为、物的不安全状态、环境的不安全因素所致，这些因素的存在就是安全风险、就是事故隐患。安全管理的目的就是要分析、辨识和控制这些隐患和风险，最大限度地减少风险失控导致事故发生。实施安全风险管理，建立风险预控机制，是建立安全生产长效机制、规避和化解安全事故风险、提升企业安全工作水平的根本途径。

1.“安全第一，预防为主”。

电力行业的基本方针为“安全第一，预防为主”，一切生产工作的进行必须是要在保障生产安全的前提下，以人为本，围绕人的安全来开展工作。目前电力生产安全事故的原因主要是“人祸”，包括对安全生产的落实不够，预防工作没能够扎实的开展，安全措施没有真正的落实到位。因此我们必须要强化安全意识，树立“安全第一，预防为主”的观念，健全完善各级的安全措施，并且要强力执行遵守各项规章制度。同时加强安全思想工作的宣传力度，使“安全第一，预防为主”的观念能够在全体电力职工中得到进一步的强化。

2.建立风险评估体制保证安全管理制度。

结合已有的安全制度规定,经过风险评估后,逐步发现风险与防护制度之间的差距,对于发现的实际问题,如高风险低对策问题,需要根据风险评估情况采取替代、改进、或者利用修改技术规程、修订工艺标准等措施进行风险预防。根据风险评估对原安全保证制度进行评价,根据逐项评价结果,检查保证和防护制度更加系统、有效,以真正达到预防的目的,进一步丰富安全保证制度的内容。

3.安全风险管理责任。

现代企业管理的关键是执行,而执行的前提是有相关的责任制度,风险管理责任制就是按照风险评估后作出的,以风险项目为基础划分的项目责任制,同时辅以区域责任制内容,风险管理的项目责任制根据风险值的高低进行树状式分级管理,风险高的项目由企业安全管理核心负责。以此类推,分别由部门、班组、专责员工负责。发生危险状况后根据风险级别进行不同的处置,这种责任制的落实方式不仅提高了管理效能,而且体现了企业分工,实现真正意义上的人人有责。特别是将安全管理工作细节化,细致化,从而使所有危险源的管理都能落实到位,确保了各项保证制度和评估、监察制度的有效实施。

4. 完善落实岗位安全生产责任。

强化领导安全生产责任意识，落实安全生产责任制，各直属部门领导要遵循“谁主管，谁负责” 的原则，对照安全生产第一责任人的职责，以高度的责任感，做好本部门安全生产管理工作，健全本部门安全管理组织，同时要使安全生产责任制做到量化、细化、具体化，要明确规定班组成员在安全工作中的具体任务和责任，实现一岗一责，形成健全的安全管理责任体系。层层落实，把基层的工作现场当成抓安全工作的落脚点，并且要有计划的提高职工的安全生产知识和意识，使各岗位职工能够在生产实践中把安全生产的科学方法体现出来。可以制定切实可行的安全生产奖罚制度来提高全员的参与积极性。企业应根据各自实际情况，建立以安全生产责任制规定及安全生产工作会议制度、教育制度、检查制度、考核制度、监察制度、奖惩制度，以及职业健康监护、女工保护规定等，并定期检查。要用制度管人、流程管事，做到安全监管有章可循。同时，严格落实各级安全责任制，一是安全生产要进行全方位、全过程管理，不断完善和建立安全管理体系。坚持行政第一负责人就是安全第一责任人制度，制定安全生产目标和计划，将线路、设备划分区域，以线路及配变台区为单位，把安全责任层层分解落实到人，实行各级承包。二是做好事故通报汇编工作，事故通报汇编是血的教训，是经验和教训的积累必须组织全体员工认真学习，举一反三，以杜绝重复事故的发生。

5. 制定事故应急处理预案和快速反应机制

“安全第一，预防为主”是电力安全生产的基本方针。“预防为主”，即超前做好预防工作，发现问题、采取措施、消除隐患，避免事故发生。但在实际工作中事故仍不断发生，究其原因，一是各级人员的安全意识和技能水平不尽相同，有的还很低；二是电网设备的运行状况不一样，有的隐患还未被掌握；三是外力破坏和事故防不胜防。因此，电力企业应树立风险忧患意识，制定事故应急处理预案和快速机制，把问题设想得复杂些，后果设想得严重些，措施考虑得周全些。

6. 加强安全管理

变电站运行管理的重点就是安全运行。一定要落实班组安全生产责任制，坚持贯彻“安全第一，预防为主”的电力生产方针，大力开展反习惯性违章和安全生产的宣传与教育。明确管理思想。树立切合本所工作实际的变电管理思想。在职工中长久地坚持宣传贯彻，要使之成为全所职工的共识。结合不同的时期，提出阶段性目标，加强目标管理，制定切实可行的实施措施，认真实践这一思想。安全是生命。变电站运行管理的重点就是安全运行。认认真真落实班组安全生产责任制，坚持贯彻“安全第一，预防为主”的电力生产方针，大力开展反习惯性违章和安全生产的宣传与，严格执行“两票三制”。这些，都是电力系统长期经过实践检验行之有效的经验，在变电所必须认真贯彻。近些年来，由于变电所设备的不断增加和技术的更新，所以应及时修订变电所的现场运行规程，自查并完善各种记录，利用机自动化系统提高工作效率，把好自己的关口，以确保变电站的各项工作的顺利进行。针对性、可操作性强的规章制度，为管理的规范化提供制度基础。变电站规范化管理应该注意两点：首先要从运行值班记录抓起，要做到清晰完整、方便查询。其次要把加强技术管理作为运行管理水平升级的根本，为设备升级改造，技术改进提供依据。班组不但要强调熟悉安全规程，更应注重规程的掌握和正确运用。值班质量关键是认真监屏、巡视设备、交接班的检查、班上的检查、值班人员的精神状态等等。值班质量提高了，事故处理自然就能灵活快速，倒闸操作准确快捷。

六.结束语。

电力安全管理是一项系统工程，具有多层次、全方位等特点，通过风险识别、风险评估、风险管理，降低安全事故的发生，确保供电安全。

参考文献：

[1]蒯狄正.基于风险理念的电力技术管理[J].江苏电机工程,2003,22(6):13-15.

[2]唐群.供电企业安全生产风险管理的研究[D].华北电力大学(保定),2012.

篇6

信息化技术标准委员会副主任委员崔书昆认为，在基础信息网络和重要信息系统的安全严重关系到国家安全、社会稳定以及人民群众切身利益的今天，信息安全问题已然成为事关全局的战略性问题。近年来，有关部门围绕信息安全保障体系建设，在信息安全等级保护、风险评估、标准制定、产品开发及打击各种网络违法犯罪活动等方面取得了积极进展。在这种情势下，将信息安全等级保护确定为提高国家信息安全保障能力，维护国家安全、社会稳定和公共利益的一项基本制度，是非常必要的。

可以这样理解，我国信息安全各项工作快速推进，信息安全风险评估工作和保障体系建设、信息安全管理工作、信息安全法制化和规范化建设、信息化基础设施和体系建设取得了重要的成效。特别是从2007年7月20号开始，全国重要信息系统定级工作已经开始，并在各行业、各部门、各单位的支持下，取得了丰硕的成果。

从2008年开始，公安部会同国家保密局等部门，在重要信息系统定级工作的基础之上，部署和开展深入推进信息安全等级保护工作，它主要分为三个方面：

第一，依据国家行业标准，从管理和技术两个方面，开展信息系统安全建设整改，建立并落实安全管理制度，落实安全责任制。

第二，根据等级保护标准开展风险评估、灾难备份、应急处置、安全检查等工作。

第三，对信息系统应用的一些重要单位，开展等级保护工作检查。

公安部网络安全保卫局郭启全处长说：“目前全国范围内，大规模的重要系统定级工作已经基本完成，相关资料目前集中到公安部进行管理。定级工作的主要成效是了解重要信息系统的底数，掌握国家信息安全的基本情况，为全面贯彻落实信息安全等级保护制度，推动国家信息安全保障等工作的深入发展奠定坚实的基础。同时，某些地方、企业或者单位没有完成定级工作，但会纳入到我们下一阶段的检查工作当中完成。另外，有些企业会随后逐步执行该工作，不会影响国家等级保护制度的大规模推动。”

实施等级保护，充分体现了“适度安全、保护重点”的目的，可以把国家的重要网络、重要系统挑出来，把国家有限的精力、财力投入到信息保护当中去，提高国家基础网络和重要信息系统的安全保护水平，同时提高信息安全保障工作的整体水平。

奥运留下的财富

“2008年北京奥运会的信息网络安全工作给我们留下了很多财富。”郭启全曾经说过，奥运会对我们国家的信息网络安全工作进行了一次大考。它既考验了我们国家信息网络安全的工作，同时也考验了等级保护主管部门、公安部和很多部委的行业主管部门的信息安全工作。在这次大考中，各部门均表现得很优秀。在北京奥运会期间，无论是核心网络还是信息系统，都遭受了大规模的攻击和入侵，却没有出现相关安全事故，支撑北京奥运会顺利举办，这是我国信息网络安全领域经历的考验。

实际上，奥运会取得的经验和公安部下一步等级保护工作之间存在密切的相关性。公安部和有关部委会借鉴奥运会信息安全网络经验，充分利用好奥运留下的财富，进一步开展今后的工作。

记者了解到，在北京奥运会之前，成立了以公安部牵头的包括海关、银行、广电等14个部委参加的信息网络安全指挥部。由于有了这样的指挥部，使得各项工作的落实有了一个组织保障。如果没有这个指挥部，大家各干各的，在北京奥运会期间便无法保证重要系统和网络的安全。

在2008年，国家安全的核心问题便是保障奥运的安全，奥运安全采取的第一个措施就是等级保护。郭启全介绍说：“公安部把奥运核心网络和涉及奥运会的系统都定级、备案，针对风险和重要性搞等级测评和风险评估，反复查找问题、漏洞、脆弱性和安全风险。从历史经验来看，总会有一些黑客试图攻击奥运系统。所以，在这些黑客攻击之前，我们就需要开始做严格的攻击性自测。找到问题后进行系统加固，并且是有针对性地进行加固。这种安全建设、整改、加固还有等级测评，提升了我们的系统防范能力。”

郭启全强调：“我们当时还专门针对北京奥运会提出了风险评估的指南。北京奥运会期间最大的风险是什么？其实就是来自黑客的攻击破坏，所以搞风险评估要针对最大的风险去做。举个例子，我到国家体育总局去了三次，就是研究他们的网络安全问题、网站安全问题，这就有针对性，搞等级保护、风险评估非常有针对性。这使得我们的风险找得准，漏洞找得准，问题找得准，因此相关措施就有针对性。”

2009年的新工作

中国工程院院士沈昌祥指出，目前我国信息与网络安全的防护能力还处于发展的初级阶段，有些应用系统处于不设防状态。国防科技大学的一项研究表明，我国与互联网相连的网络管理中心有95%都遭到过境内外黑客的攻击或侵入，其中银行、金融和证券机构是攻击重点。

由于奥运网络和信息系统开展了等级保护工作，并对等级保护工作的政策标准、工作环节进行了检验，所以等级保护下一步的工作部署将充分借鉴北京奥运会的经验，健全完善等级保护领导体制和协调配合机制，例如等级保护原来有些领导体制可能还要进行补充，明确重点工作对象，比如说拿三级系统作为重点工作对象。

郭启全说：“我们会严格落实责任制，认真抓好三点工作，计划三年内完成安全系统的整改工作，总的目标就是：能力提高，事故降低，等级保护制度得到落实，国家信息网络安全基本得到保障。”

篇7

一、引言

1.1BOT的概念

BOT是英文Build-Operate-Transfer的缩写，翻译为“建设-运营-转让”。BOT实质上基础设施投资、建设和经营的一种方式，以政府和私人机构之间达成协议为前提，由政府向私人机构颁布特许，允许其在一定时期内筹集资金建设某一基础设施并管理和经营该设施及其相应的产品与服务。政府对该机构提供的公共产品或服务的数量和价格可以有所限制，但保证私人资本具有获取利润的机会。整个过程中的风险由政府和私人机构分担。当特许期限结束时，私人机构按约定将该设施移交给政府部门，转由政府指定部门经营和管理。

1.2BOT的特点

从BOT的概念中我们可以看出，BOT具有市场机制和政府干预相结合的特色，这表现在以下两个方面：。

一方面，BOT能够保持市场机制发挥作用。BOT项目的大部分经济行为都在市场上进行，政府以招标方式确定项目公司的做法本身也包含了竞争机制。作为可靠的市场主体的私人机构是BOT模式的行为主体，在特许期内对所建工程项目具有完备的产权。这样，承担BOT项目的私人机构在BOT项目的实施过程中的行为完全符合“经济人”假设。

另一方面，BOT为政府干预提供了有效的途径，这就是和私人机构达成的有关BOT的协议。尽管BOT协议的执行全部由项目公司负责，但政府自始至终都拥有对该项目的控制权。在立项、招标、谈判三个阶段，政府的意愿起着决定性的作用。在履约阶段，政府又具有监督检查的权力，项目经营中价格的制订也受到政府的约束，政府还可以通过通用的BOT法来约束BOT项目公司的行为。

1.3实施BOT的步骤

1.项目发起方成立项目专设公司（项目公司），专设公司同东道国政府或有关政府部门达成项目特许协议。

2.项目公司与建设承包商签署建设合同，并得到建筑商和设备供应商的保险公司的担保。专设公司与项目运营承包商签署项目经营协议。

3.项目公司与商业银行签订贷款协议或与出口信贷银行签订买方信贷协议。

4.进入经营阶段后，项目公司把项目收入转移给一个担保信托。担保信托再把这部分收入用于偿还银行贷款。

二、BOT风险

BOT项目中的风险是指在BOT项目中的特许、建设、运营、移交四个阶段里损失发生的不确定性，是一种潜在的危险因素；风险识别是指对在BOT项目融资中尚未发生的、潜在的各种风险进行系统地、连续地认识和归类，并分析产生风险事件的原因；风险管理是指BOT项目融资中的参与各方对风险进行识别、分析并在此基础上有效地处置风险，以最低成本实现最大安全保障的科学管理方法。

以项目发起人和项目公司对风险能否控制为标准，可将风险划分为系统外风险和系统风险，我们通过树型结构图可以看出项目所面对的风险是相当复杂的，见图1：

图1风险划分

从图1可以清晰地看出，一个企业在实施项目时所面对的风险之多，由此有必要建立一种全新的系统来对风险进行管理。

三、BOT风险管理

风险管理包括风险识别、风险分析、风险评估和风险控制等内容，任何BOT项目，万无一失的情况是不存在的，事实情况是风险无处不在、无时不有。对风险加以识别的目的，在于在风险识别的基础上，按一般的风险分担原则确定风险由最有能力承担的一方承担，并通过对此风险的管理，达到控制、预防风险的目标，从而使BOT项目顺利实施。可见，风险识别是前提，风险评估是重点，风险控制是目的和归宿，而风险管理是基础，贯穿于整个过程。它们之间的关系可以用图2进行说明。

图2关系图

四、风险系统的整体结构设计

现在我们从一个企业的角度出发，来搭建企业的BOT风险管理系统，首先就是要做系统的整体结构设计。风险系统的整体结构设计是由数据库模块、风险的识别与评价模块及风险控制模块三部分组成的，它们之间的结构关系可以用下图说明，见图3：

图3风险系统

4.1数据库模块

数据库模块由两部分组成：专家系统库和风险控制库。

4.1.1专家系统库

1.概念：专家系统是一个具有智能特点的计算机程序，它的智能化主要表现为能够在特定的领域内模仿人类专家思维来求解复杂问题。因此，专家系统必须包含领域专家的大量知识，拥有类似人类专家思维的推理能力，并能用这些知识来解决实际问题。专家系统的基本结构如图4所示，其中箭头方向为数据流动的方向。专家系统通常由人机交互界面、知识库、推理机、解释器、综合数据库、知识获取等6个部分构成。

图4专家系统结构图

知识库用来存放专家提供的知识。专家系统的问题求解过程是通过知识库中的知识来模拟专家的思维方式的，因此，知识库是专家系统质量是否优越的关键所在，即知识库中知识的质量和数量决定着专家系统的质量水平。一般来说，专家系统中的知识库与专家系统程序是相互独立的，用户可以通过改变、完善知识库中的知识内容来提高专家系统的性能。

推理机针对当前问题的条件或已知信息，反复匹配知识库中的规则，获得新的结论，以得到问题求解结果。

在这里，推理方式可以有正向和反向推理两种。正向推理是从前提条件匹配到结论，反向推理则先假设一个结论成立，看它的条件有没有得到满足。由此可见，推理机就如同专家解决问题的思维方式，知识库就是通过推理机来实现其价值的。

人机界面是系统与用户进行交流时的界面。通过该界面，用户输入基本信息、回答系统提出的相关问题，并输出推理结果及相关的解释等。

综合数据库专门用于存储推理过程中所需的原始数据、中间结果和最终结论，往往是作为暂时的存储区。

解释器能够根据用户的提问，对结论、求解过程做出说明，因而使专家系统更具有人情味。

知识获取是专家系统知识库是否优越的关键，也是专家系统设计的“瓶颈”问题，通过知识获取，可以扩充和修改知识库中的内容，也可以实现自动学习功能。

2.工作流程：用户通过人机界面回答系统的提问，推理机将用户输入的信息与知识库中各个规则的条件进行匹配，并把被匹配规则的结论存放到综合数据库中。最后，专家系统将得出最终结论呈现给用户。

4.1.2风险控制库

风险控制库包含两个子库：风险控制过程子库和风险控制结果子库，它们的结构如图5所示：

图5风险消减数据库结构

有效性与可行性分析表：分析控制措施的可行性与有效性。

成本分析表：对控制措施进行成本与收益分析。

人员责任分配表：安排适当的人员进行措施的落实。

维护需求表：监督措施的顺利实施。

控制措施评价表：对控制措施的结果进行评价。

控制结果表：描述采取控制措施以后的对企业造成的结果进行分析。

4.2风险的识别与评估模块

4.2.1风险的识别

风险识别是指对企业所面临的、以及潜在的风险加以判断、归类和鉴定风险性质的过程,换言之,就是要确定企业正在或将要面临哪些风险。

4.2.2风险评估

在风险评估之前，必须准确定义风险的主要元素及其相互关系。

资产：对组织有价值的任何东西。

威胁：对组织或系统产生危害的有害事件的潜在原因。

薄弱点：是一个资产或资产组能够被威胁利用的弱点。

风险评估：识别信息安全风险并确认其大小的过程。

风险评估的流程图如图6所示，

图6风险评估的流程图

图6中，风险的计算是按以下公式计算的，风险(R)是以资产(A)、威胁(T)、薄弱点(V)、和已有安全措施(C)为自变量的一个函数。即：

R=F(A，T，V，C).........................................................................................公式1

在实践过程中，一般通过

R=F(P，I)............................................................................................................公式2

来测量风险，其中P为威胁利用薄弱点对资产或资产组产生影响的潜在可能性，I为威胁利用薄弱点对资产或资产组可能造成的影响。公式中的P或I的值相对便于评估，而且在P和I的评估过程中都必须考虑资产、威胁、薄弱点和已有控制这四个因素，所以说公式2以便于测量的方式最大限度地体现了公式1的函数关系。

4.3风险的控制模块

风险控制涉及到确定风险控制策略、风险和安全控制措施的优先级选定、制定安全计划并实施控制措施等活动。要控制风险，就必须实施合理措施，忽略或容忍风险显然是不可接受的。在组织选择并实施风险评估结果中推荐的措施之前，首先要明确自己的风险控制策

略。

就应对风险的途径来说，有以下几种选择：

1）降低风险—实施有效控制，将风险降低到可接受的程度，实际上就是力图减小威胁发生的可能性和带来的影响。

2）规避风险—有时候，组织可以选择放弃某些可能引来风险的业务或资产，以此规避风险。

3）转嫁风险—将风险全部或者部分地转移到其他责任方。

4）接受风险—在实施了其他风险应对措施之后，对于残留的风险，组织可以选择接受。

所以，企业在面对风险时，可以选择以上措施来应对，但有一点需要明确，面对许多已识别的风险，组织很难对所有的风险一视同仁。风险大小、严重程度、紧迫性、所需资源总是有所区别的，故企业应该对所有风险设置优先级，如果是严重影响了企业生存的，应该放到最前面，同时，在资源提供和相关支持上也要优先给予。当然，因为各个企业的环境和现实状况不同，这就决定了在选择风险控制策略上的多样性。应对风险，最好的方法就是将合适的技术、恰当的风险控制策略，以及非技术性措施有机结合起来，这样才能达到较好的效果。风险控制的流程图如图7所示，

图7风险控制的流程图

七、总结

本文站在一个企业的角度来建立应对BOT风险的管理系统，从系统的整体结构设计到具体的功能实现，具有一定的现实意义，当然了，本文只是提供一个理论的框架，具体到一些功能算法的实现，比如数据库的逻辑设计及物理设计，以及运用算法（比如C或C++程序设计）来实现风险的评估，即优先级的确认等，没有给出相应的结构图和编程算法，但是本文却给出了这么一种整体的框架结构图，在当今BOT日益被广泛运用，却失败案例比比皆是的时代，无疑给带来一缕清新的阳光，应该说是对企业，特别是这些已建立信息系统平台的企业或是那些打算搭建自己的信息系统平台的企业无疑具有一定的指导意义。

当然了，因为BOT项目的实施设计到很多的利益相关方，还可以从政府的角度来考虑搭建适合政府部门的风险管理系统，抑或是适合其他相关方的风险管理系统，本文都具有一定的借鉴作用。回顾本文，依此类推，可能所有的风险管理系统基本流程都是一样的，如图8所示，但涉及到具体的细节可能不一样，总是因具体情况而异的。

图8风险管理流程

参考文献

1 沈建明.项目风险管理[M],北京:机械工业出版社,2003:71,80

2 马兰.基于BOT融资模式的工程项目风险管理研究[D],2005:10

3 李红亮.BOT项目融资的风险管理研究[D],长沙:湖南大学,2005:13

4 沈健明. 项目风险管理[M].北京:机械工业出版社,2004:11-15

5 璐顾. 项目融资风险管理研究[D].武汉:武汉大学,2005

6 郭捷.工程项目风险分析与BT模式风险管理实证研究[D].天津:天津大学,2004:54

7 张鹏.项目融资风险管理[D].武汉:武汉大学,2005:29

8 陶履彬,李永盛,冯紫良等.工程风险分析理论与实践[M].上海:同济大学出版社.2006:18

9 杨亚岐.BOT项目融资的风险管理研究[D].秦皇岛;燕山大学,2005:24

10 姚亮,周晶.BOT项目风险及来源分析[J].东南大学学报.2002(t0)

11 武涛.高速公路BOT项目投资风险研究[J].交通企业管理.2007(7)

12 郑永生,赵吉柱.公路BOT项目融资模式的风险分析及防范[J].集团经济研究.2007,(230):179.180

篇8

Abstract: with the development of information technology, the government e-government project as the transformation government function, improve the administrative efficiency of a project is at all levels of government in the daily work of rapidly advancing. The electronic government affairs relating to the political, economic, cultural and so on a series of social and economic problems of a large system. This paper analyzes the electronic government affairs key construction project, the paper introduces the characteristic of this kind of project management content, process, and so on, points out that the use of project management ideas and methods of project management practice problems to which attention should be paid to the project management in such project construction play a bigger role.

Keywords: management mode, change, the electronic government affairs

中图分类号： TU17文献标识码：A 文章编号：

一、项目管理的定义

项目是指一系列独特的、复杂的并相互关联的活动，这些活动有着一个明确的目标或目的，必须在特定的时间、预算、资源限定内依据规范完成。项目参数包括项目范围、质量、成本、时间、资源。而项目管理是基于被接受的管理原则的一套技术方法，这些技术或方法用于计划、评估、控制工作活动。以按时、按预算、依据规范达到理想的最终效果。它是“管理科学与工程”学科的一个分支。

加强电子政务建设中的项目管理，其意义在于通过对有限资源的有效计划、组织、控制，实现项目管理目的，保证项目目标实现。

二、电子政务工程项目管理模式

1、制度保证

制度保证是开展电子政务工程项目管理的基础。制度保证包括主体的项目管理办法，以及辅助的项目合同管理办法、采购管理办法、资金管理办法、验收管理办法、运行维护管理办法。主要采用以项目建设为主线，围绕项目成立项目组，实行项目组长负责制，同时明确项目组、主管领导、各职能处室在工程建设过程中的责任义务关系，不仅做到权责分明，而且实现了项目建设管理扁平化，有利于工作效率的提高。

2、项目立项可行性研究

项目立项可行性研究是贯彻统筹规划建设原则的一个重要步骤。在前几年电子政务工程建设开展初期，项目建设主要是需求推动型，也就是由业务部门提出建设意见，信息化部门做技术实现工作，经过若干年的实践，这种建设模式的弊端逐渐暴露出来，项目各自独立，互不管联，数据来源多样，违背了信息化建设实现互联互通的初衷； 因此，建议现在的项目立项可行性研究由信息化部门根据项目建设规划的需要主动发起，在立项可行性研究中要统筹考虑所有业务需求及进度实现要求，贯彻落实统筹规划统一建设的原则。

3、项目采购管理

电子政务建设项目招标是政府采购行为。严格按照政府采购管理办法开展电子政务工程项目的招标采购是项目建设的重要环节，也是保证公平公正原则有效执行的关键。在政府采购工作中，由专门负责组织招标采购的部门来组织，而项目组负责拟定招标书、建设方案、招标文件的技术文档等工作，两者相互独立，责任分工明确，共同保证项目采购工作的顺利完成。

4、项目实施过程管理

实施是项目建设的关键阶段，实施工作的好坏直接关系项目的成败。实施的核心问题是项目的进度和质量，转入实施阶段后，项目组的工作重点主要是切实发挥好组织、协调、监督和管理的作用。为项目的建设提供良好的外部环境和内部条件，保证项目严格按照制定的工程进度组织进行。特别是对同时并行的建设项目，要统筹协调、有条不紊，按照实施方案要求，将方案中包括的建设目标和主要任务落到实处。

三、如何加强电子政务建设中的项目管理

项目管理的内容主要包括项目的整体管理、范围管理、时间管理、成本管理、质量管理、沟通管理、人力资源管理、风险管理、采购管理等。项目管理的这几个方面内容是一个有机的整体，环环相扣。其中，项目沟通管理是项目成功的关键，如果项目沟通不好，项目需求和范围就无法明确，也无法取得领导和用户的支持；项目范围管理是项目成功的基础，只有明确需求，控制范围，才能防止需求和范围的蔓延，才能保证项目建设质量；项目时间管理是项目管理的重点，它将协调项目团队按时完成项目、合理分配资源、发挥最佳工作效率；项目质量管理是项目建设的目标，通过严格的质量管理将确保系统建设质量；项目人力资源管理是项目实现的载体；项目风险管理是预防和控制风险给项目带来不利影响的有力手段；而项目的整体管理是其中的连接纽带，是贯穿项目生命期全过程的一项综合性和全局性的管理工作。

一般来说，电子政务项目需经历3个阶段，项目规划和立项阶段、项目实施阶段、项目验收和正式运行阶段，每个阶段都有不同的项目管理重点。

3 .1 项目规划和立项阶段

在项目规划和立项阶段，主要是做好初步需求调研，评估项目的各类风险，完成项目的可行性报告和建设方案。在这一阶段，重点工作是要做好项目的沟通管理、 范围管理和风险管理。

3. 1.1 项目沟通管理

首先，就项目需求进行沟通，明确项目初步需求和所实现的功能。其次，明确项目干系人及其对项目的态度，就系统建设目标进行沟通，形成一致意见并取得其支持，方式有:座谈会、单独沟通、电话沟通、书面沟通等。

3. 1. 2 项目范围管理

篇9

全面风险管理是从战略目标制定到目标实现的全过程风险管理，随着现代商业银行所承担风险的增加，商业银行内部审计关注的重点也逐渐转移到风险管理上来，当今风险审计作为一种新的审计理念，成为备受人们关注的热点。与其说银行是在经营货币的企业，不如说银行是经营风险，从风险管理中获取收益的企业。商业银行一直在利润与风险之间做着谨慎和侥幸的选择，防范和控制经营中的风险，实施全面风险管理战略，是商业银行面临的现实而紧迫的任务。作为现代商业银行的审计部门，如何由传统的合规性审计向风险预警和防范为目标的风险审计转变，合理配置有限的审计资源，提高审计效率与效益，有效发挥审计监督在防范和控制风险中的积极作用，已成为现代商业银行内部审计面临的焦点课题。

风险审计的涵义

风险审计，也称风险基础审计或者风险导向审计，它是在传统的账项基础和内部控制制度基础审计上发展起来的一种审计模式，是指审计人员在对被审单位的内部控制充分了解和评价的基础上，综合分析、判断被审计单位的风险状况及其风险程度，从而把有限的审计资源集中到高风险的审计领域，针对不同风险程度采取相应的审计对策，重点对高风险点进行实质性测试，从而伎内部审计的剩余风险降至可接受的最低水平。与账项基础审计、内部控制制度基础审计相比，风险审计关注点在于对被审单位的风险评估，其审计重心向风险评估转移，更加关注的是企业的风险管理活动一一是否建立清晰的风险管理战略、完善的管理架构、全面的风险管理过程和良好的风险管理文化，最终实现风险管理效率和价值的最大化，不但可以保证充分的审计覆盖面，而且对每一个领域都会根据其风险评价结果有不同的审计频率与深度，增强了对风险的预防控制作用，风险审计方法的重点是识另q、预防与控制风险。因此，风险审计理论的核心是从分析审计风险入手，通过建立科学的审计风险分析模型，采取定性定量分析方法，量化确定固有保证程度系数，并控制保证程度系数，确定可接受的检查风险水平，以确保审计质量。

商业银行实施风险审计方法的坝实重要牲格林斯潘曾经说过：“银行的基本职能是预测、承担和管理风险。”风险审计的本质和根本目标是促进和保障商业银行业务的稳健发展，促进商业银行树立全面的风险管理理念，坚持发展与防范风险并重；适应市场和业务需要，不断完善风险管理手段，健全风险管理体制，培育风险管理文化，提高风险管理水平，促进业务发展，目标是优化资源配置，将风险控制在商业银行可以承担的范围内，实现风险调整后的收益最大化。

（一）风险审计的理念和方法是商业银行实施全面风险管理的现实选择，进一步提升了内部审计的增值服务?风险是商业银行与生俱来的产物，存在于商业银行业务的每一个环节当中，商业银行提供金融服务的过程也是承担和控制风险的过程，因此，风险管理是商业银行永恒的主题。在现代金融领域中，能建立良好的风险管理架构和体系，对风险进行全面有效的管理，并以良好的风险定价策略实现价值增长，是影响商业银行核心竞争力的重要因素，也是实施风险审计的必然要求。国有商业银行上市后，要在提高全面风险管理能力的前提下保持持续的价值创造能力。

巴塞尔新资本协议和美国反舞弊财务报告委员会的发起组织委员会fCOSO)的《企业全面风险管理框架》将全面风险管理概括为对商业银行各个层次的业务单位和各种类型的风险进行统筹管理，这种管理要求将包含信用风险、市场风险、操作风险和其他风险的各种金融资产与资产组合，承担这些风险的各个业务单位纳入到统一的管理体系中，对各类风险依据统一的标准进行测量并加总，依据全部业务的相关性对风险进行全程的控制和管理。风险审计正是以全面评估风险为基础，从重要风险点上人手，在深入分析判断不同层面和业务单位风险状况的基础上，确定审计重点，对风险高的业务集中资源重点审计，通过评估银行风险识别的充分性、风险衡量的恰当性及风险防范的有效性，并在此基础上提出相应的改进措施和建议，直接影响商业银行经营战略的制定，确保商业银行实现业务发展、风险控制和效益增长的有机统一.

（二)采用风险审计的理论和技术、是现代商业银行审计发展的目标和方向，实现增值型审计转型需要：当前国际内审发展已进入一个以风险管理和公司治理为标志的新的发展阶段，西方的绝大部分商业银行在内部审计均采用了风险审计的理论和技术。国际审计师协会主席捷奎林?瓦格娜曾提出：“环境的变化给内部审计师带来增加价值的机会最多的领域是风险管理的公司治理。”2003年国际内部审计协会对2001年新的《内部审计实务标准》(以下简称《标准》)修改后，在内容上也自始至终都贯穿着风险审计的主导思想。

一是在对内部审计的定义中要求内部审计采用一种系统化、规范化的方法来对机构的风险管理、控制及监管过程进行评价进而提高它的效率，帮助机构实现它的目标。二是内部审计的目标要求内部审计参与风险管理。三是内部审计的工作重点要求内部审计参与风险管理。四是标准对审计计划、审计测试、审计结果、后续审计各个方面都作了和风险相关的明确规范。五是关于剩余风险，《标准》做出了在审计执行主管认为高级管理层接受的剩余风险水平对于机构来说是无法接受时就报告董事会加以解决的规定。这些规定和要求将内部审计的范围延伸到风险管理和公司治理，所以风险管理已经成为内部审计的主要工作。随着风险管理导向内部控制时代的来临，内部审计的工作重点也发行了变化，现代内部审计突破了传统的监督、鉴证、评价职能的范围，更多地介入商业银行有效的风险管理机制和健全的公司治理结构领域。

风睑审计在项代商业银行风睑管理中的作用

(一)风险审计有利于提高商业银行风险管理水平，促进风险文化建设。风险基础审计主动发现和控制各项风险，通过对商业银行业务部门进行风险评估，并按照次序排列风险，集中高风险的项目优先审计。前者试图阻止不期望的行为发生，这种事先的控制有助于阻止损失的发生；后者试图检查出不期望发生的行为，检查性的控带l目的是提供损失发生的证据。这两种类型的控制都是必要的内部控制系统，使商业银行的内控机制完善、管用。同时，风险审计关注的重点是业务过程中的每一个风险点，涉及所有员工和管理者，这样有助于形成商业银行风险文化，从而提高商业银行全面风险管理水平。

(二)风险审计有利于对风险事件的识别风险审计采用通用风险分析模板及方法，识别商业银行业务过程的风险和外部环境风险。风险审计人员运用某些分析方法，创造性地进行分析，判断管理层是否完全识别了企业的所有风险，若有遗漏的风险要提醒管理层加以考虑。

(三)风险审计有利于对风险的反应和控制。在风险反应活动中，商业银行要根据不同的风险决定要采取的策略和方法，决定是避免风险、接受风险、还是降低风险。如对有相对的风险回报的风险，商业银行可以考虑接受，但要采取控制措施，才能将风险降低到可以接受的水平，获得希望的回报。对于这部分风险，商业银行会采取减少风险、转移风险或分担风险的办法以降低商业银行承受的风险。风险审计人员的主要工作在于分析、评价风险回报的合理性、减少风险的措施的有效性、以及接受风险转移和风险分担的那一方的风险。

(四)风险审计有利于对风险信息沟通和风险管理系统的监控。在风险信息沟通活动中，商业银行的风险管理要将风险及时有效地传递给内部相关人员，以便及时采取相应的控制措施。风险审计人员可以通过评价报告系统证明风险信息被准确、及时地传递到相关人员，内部审计报告可以向董事会和审计委员会传递风险是否得到有效管理的信息。在监控活动中，商业银行要对风险管理进行持续监控，通过对内部控制系统的运行的监控和对定期检查结果及意外事项的处理结果的评价，保证商业银行对风险管理是一直有效的。风险审计人员可以通过分析环境和风险变化，检查内部控制系统是否已更新，是否能控制新的风险。还可以通过后续审计管理层对审计中发现的问题及对意外事项的处理情况，检查新的控制措施是否有效，将分析结果和建议提供给管理层以便改进控制措施。

风险审计在捕国商业银行规划与存在问题

(一)风险基础审计的法制化、制度化规范化建设的道路还很漫长。一是商业银行内部制度调整工作量大，相关业务制度和操作流程也要进行相应调整；二是支持系统建设难度大，因长期需要具备相应功能的电子化系统作支持，要求商业银行改进现有业务系统，并开发建设风险评估系统，风险评估系统的建设包括业务流程、历史数据收集、参数选择等需要大量投资和时间准备。三是短期内风险审计人员素质难以提高。风险审计人员需要精通包括审计、会计财务、法律、逻辑学、信息学、系统论、管理学等专业知识，懂得运用经济、数理、计算机等专用分析手段来预知和减少风险，每位风险审计人员达到运用自如的水准尚需时日。

(二)审计证据的较高要求增加风险审计取证的难度风险基础审计必须获取充足的、可靠的相关的证据以判断，而目前我国商业银行风险基础审计缺少可供遵循的标准和程序，且审计取证的渠道和方式多样，因此，审计人员一般都需要提高调查样本代表性和增大调查样本的方法，以增强对总体风险推断的准确性。

(三)风险审计技术手段落后，难以适应工作需要。计算机会计信息系统、信贷管理系统的广泛应用和发展，大大增强了审计的及时性，事后审计；逐步被实时审计所代替，这与针对经营全过程的风险基础审计不谋而合。在我国，商业银行审计人员大多数对计算机辅助审计不太熟悉，许多还停留在传统手工查账的基础上，在新技术面前还有些无所适从．审计手段落后，不但增加了审计难度，而且效率低、准确差，严重影响了审计作用的发挥，无法满足商业银行风险基础审计工作的需要

(四)协调配台欠缺，降低了审计结果的运用日常审计中很少利用纪检、人事及其他部门掌握的信息，审计结束后，除个别项目外一般也不与这些部门交换，致使审计成果在干部考核、任用、奖惩等方面没有发挥应有的作用，相应削弱了审计的威慑力。

我国商业银行发展和完善风险审计的对策

(一)正确认识风险基础审计在银行公司治理结构的重要作用，为风险审计的发展刨造良好的环境商业银行公司治理的核心问题是委托人(股东、投资者、管理者)如何激励和约束人(经理层)、积极有效地完成受托经营管理责任，以确保股东或投资者财富最大化。显然仅仅通过财务审计，委托人难以全面了解人是否有效履行其受托责任，而风险基础审计有利于减少信息不对称性，较为全面地提供委托人所需要的有关经营管理活动方面信息，大大遏制了“道德风险”的发生，增强了经营管理的透明度，从而达到控制和抑制“内部人控制”的目的，同时，通过风险审计可以有效地判断人的业绩和能力，评价人对受托人责任履行情况，促进人提高经营管理效率因此，风险审计是商业银行公司治理结构的重要组成部分，是完善公司治理结构的“四大基石”之一。

（二)抓紧制定风睑基蒯{计；，立则尽快完善评价标：停体系要吸收借鉴美国、英国、典等发达国家的先进经验，抓紧研究制定我国的风险基础审计准则，这是开展风险审计的当务之急。风险基础审计准则的制定要遵循“衔接”、“配套”、“务实”的原则，注意解决好前瞻与现实的矛盾，接轨与国情的矛盾。逐步探索和完善风险审计的评价标准体系，量化评价指标，为不同项目之间的比较提供依据.

篇10

全面风险管理是从战略目标制定到目标实现的全过程风险管理，随着现代商业银行所承担风险的增加，商业银行内部审计关注的重点也逐渐转移到风险管理上来，当今风险审计作为一种新的审计理念，成为备受人们关注的热点。与其说银行是在经营货币的企业，不如说银行是经营风险，从风险管理中获取收益的企业。商业银行一直在利润与风险之间做着谨慎和侥幸的选择，防范和控制经营中的风险，实施全面风险管理战略，是商业银行面临的现实而紧迫的任务。作为现代商业银行的审计部门，如何由传统的合规性审计向风险预警和防范为目标的风险审计转变，合理配置有限的审计资源，提高审计效率与效益，有效发挥审计监督在防范和控制风险中的积极作用，已成为现代商业银行内部审计面临的焦点课题。

风险审计的涵义

风险审计，也称风险基础审计或者风险导向审计，它是在传统的账项基础和内部控制制度基础审计上发展起来的一种审计模式，是指审计人员在对被审单位的内部控制充分了解和评价的基础上，综合分析、判断被审计单位的风险状况及其风险程度，从而把有限的审计资源集中到高风险的审计领域，针对不同风险程度采取相应的审计对策，重点对高风险点进行实质性测试，从而伎内部审计的剩余风险降至可接受的最低水平。与账项基础审计、内部控制制度基础审计相比，风险审计关注点在于对被审单位的风险评估，其审计重心向风险评估转移，更加关注的是企业的风险管理活动一一是否建立清晰的风险管理战略、完善的管理架构、全面的风险管理过程和良好的风险管理文化，最终实现风险管理效率和价值的最大化，不但可以保证充分的审计覆盖面，而且对每一个领域都会根据其风险评价结果有不同的审计频率与深度，增强了对风险的预防控制作用，风险审计方法的重点是识另q、预防与控制风险。因此，风险审计理论的核心是从分析审计风险入手，通过建立科学的审计风险分析模型，采取定性定量分析方法，量化确定固有保证程度系数，并控制保证程度系数，确定可接受的检查风险水平，以确保审计质量。

商业银行实施风险审计方法的坝实重要牲

格林斯潘曾经说过：“银行的基本职能是预测、承担和管理风险。”风险审计的本质和根本目标是促进和保障商业银行业务的稳健发展，促进商业银行树立全面的风险管理理念，坚持发展与防范风险并重；适应市场和业务需要，不断完善风险管理手段，健全风险管理体制，培育风险管理文化，提高风险管理水平，促进业务发展，目标是优化资源配置，将风险控制在商业银行可以承担的范围内，实现风险调整后的收益最大化。

（一）风险审计的理念和方法是商业银行实施全面风险管理的现实选择，进一步提升了内部审计的增值服务?风险是商业银行与生俱来的产物，存在于商业银行业务的每一个环节当中，商业银行提供金融服务的过程也是承担和控制风险的过程，因此，风险管理是商业银行永恒的主题。在现代金融领域中，能建立良好的风险管理架构和体系，对风险进行全面有效的管理，并以良好的风险定价策略实现价值增长，是影响商业银行核心竞争力的重要因素，也是实施风险审计的必然要求。国有商业银行上市后，要在提高全面风险管理能力的前提下保持持续的价值创造能力。

巴塞尔新资本协议和美国反舞弊财务报告委员会的发起组织委员会fCOSO)的《企业全面风险管理框架》将全面风险管理概括为对商业银行各个层次的业务单位和各种类型的风险进行统筹管理，这种管理要求将包含信用风险、市场风险、操作风险和其他风险的各种金融资产与资产组合，承担这些风险的各个业务单位纳入到统一的管理体系中，对各类风险依据统一的标准进行测量并加总，依据全部业务的相关性对风险进行全程的控制和管理。风险审计正是以全面评估风险为基础，从重要风险点上人手，在深入分析判断不同层面和业务单位风险状况的基础上，确定审计重点，对风险高的业务集中资源重点审计，通过评估银行风险识别的充分性、风险衡量的恰当性及风险防范的有效性，并在此基础上提出相应的改进措施和建议，直接影响商业银行经营战略的制定，确保商业银行实现业务发展、风险控制和效益增长的有机统一

（二)采用风险审计的理论和技术、是现代商业银行审计发展的目标和方向，实现增值型审计转型需要：当前国际内审发展已进入一个以风险管理和公司治理为标志的新的发展阶段，西方的绝大部分商业银行在内部审计均采用了风险审计的理论和技术。国际审计师协会主席捷奎林?瓦格娜曾提出：“环境的变化给内部审计师带来增加价值的机会最多的领域是风险管理的公司治理。”2003年国际内部审计协会对2001年新的《内部审计实务标准》(以下简称《标准》)修改后，在内容上也自始至终都贯穿着风险审计的主导思想。

一是在对内部审计的定义中要求内部审计采用一种系统化、规范化的方法来对机构的风险管理、控制及监管过程进行评价进而提高它的效率，帮助机构实现它的目标。二是内部审计的目标要求内部审计参与风险管理。三是内部审计的工作重点要求内部审计参与风险管理。四是标准对审计计划、审计测试、审计结果、后续审计各个方面都作了和风险相关的明确规范。五是关于剩余风险，《标准》做出了在审计执行主管认为高级管理层接受的剩余风险水平对于机构来说是无法接受时就报告董事会加以解决的规定。这些规定和要求将内部审计的范围延伸到风险管理和公司治理，所以风险管理已经成为内部审计的主要工作。随着风险管理导向内部控制时代的来临，内部审计的工作重点也发行了变化，现代内部审计突破了传统的监督、鉴证、评价职能的范围，更多地介入商业银行有效的风险管理机制和健全的公司治理结构领域。

风睑审计在项代商业银行风睑管理中的作用

(一)风险审计有利于提高商业银行风险管理水平，促进风险文化建设。风险基础审计主动发现和控制各项风险，通过对商业银行业务部门进行风险评估，并按照次序排列风险，集中高风险的项目优先审计。前者试图阻止不期望的行为发生，这种事先的控制有助于阻止损失的发生；后者试图检查出不期望发生的行为，检查性的控带l目的是提供损失发生的证据。这两种类型的控制都是必要的内部控制系统，使商业银行的内控机制完善、管用。同时，风险审计关注的重点是业务过程中的每一个风险点，涉及所有员工和管理者，这样有助于形成商业银行风险文化，从而提高商业银行全面风险管理水平。

(二)风险审计有利于对风险事件的识别风险审计采用通用风险分析模板及方法，识别商业银行业务过程的风险和外部环境风险。风险审计人员运用某些分析方法，创造性地进行分析，判断管理层是否完全识别了企业的所有风险，若有遗漏

的风险要提醒管理层加以考虑。

(三)风险审计有利于对风险的反应和控制。在风险反应活动中，商业银行要根据不同的风险决定要采取的策略和方法，决定是避免风险、接受风险、还是降低风险。如对有相对的风险回报的风险，商业银行可以考虑接受，但要采取控制措施，才能将风险降低到可以接受的水平，获得希望的回报。对于这部分风险，商业银行会采取减少风险、转移风险或分担风险的办法以降低商业银行承受的风险。风险审计人员的主要工作在于分析、评价风险回报的合理性、减少风险的措施的有效性、以及接受风险转移和风险分担的那一方的风险。

(四)风险审计有利于对风险信息沟通和风险管理系统的监控。在风险信息沟通活动中，商业银行的风险管理要将风险及时有效地传递给内部相关人员，以便及时采取相应的控制措施。风险审计人员可以通过评价报告系统证明风险信息被准确、及时地传递到相关人员，内部审计报告可以向董事会和审计委员会传递风险是否得到有效管理的信息。在监控活动中，商业银行要对风险管理进行持续监控，通过对内部控制系统的运行的监控和对定期检查结果及意外事项的处理结果的评价，保证商业银行对风险管理是一直有效的。风险审计人员可以通过分析环境和风险变化，检查内部控制系统是否已更新，是否能控制新的风险。还可以通过后续审计管理层对审计中发现的问题及对意外事项的处理情况，检查新的控制措施是否有效，将分析结果和建议提供给管理层以便改进控制措施。

风险审计在捕国商业银行规划与存在问题

(一)风险基础审计的法制化、制度化规范化建设的道路还很漫长。一是商业银行内部制度调整工作量大，相关业务制度和操作流程也要进行相应调整；二是支持系统建设难度大，因长期需要具备相应功能的电子化系统作支持，要求商业银行改进现有业务系统，并开发建设风险评估系统，风险评估系统的建设包括业务流程、历史数据收集、参数选择等需要大量投资和时间准备。三是短期内风险审计人员素质难以提高。风险审计人员需要精通包括审计、会计财务、法律、逻辑学、信息学、系统论、管理学等专业知识，懂得运用经济、数理、计算机等专用分析手段来预知和减少风险，每位风险审计人员达到运用自如的水准尚需时日。

(二)审计证据的较高要求增加风险审计取证的难度风险基础审计必须获取充足的、可靠的相关的证据以判断，而目前我国商业银行风险基础审计缺少可供遵循的标准和程序，且审计取证的渠道和方式多样，因此，审计人员一般都需要提高调查样本代表性和增大调查样本的方法，以增强对总体风险推断的准确性。

(三)风险审计技术手段落后，难以适应工作需要。计算机会计信息系统、信贷管理系统的广泛应用和发展，大大增强了审计的及时性，事后审计；逐步被实时审计所代替，这与针对经营全过程的风险基础审计不谋而合。在我国，商业银行审计人员大多数对计算机辅助审计不太熟悉，许多还停留在传统手工查账的基础上，在新技术面前还有些无所适从．审计手段落后，不但增加了审计难度，而且效率低、准确差，严重影响了审计作用的发挥，无法满足商业银行风险基础审计工作的需要

(四)协调配台欠缺，降低了审计结果的运用日常审计中很少利用纪检、人事及其他部门掌握的信息，审计结束后，除个别项目外一般也不与这些部门交换，致使审计成果在干部考核、任用、奖惩等方面没有发挥应有的作用，相应削弱了审计的威慑力。

我国商业银行发展和完善风险审计的对策

(一)正确认识风险基础审计在银行公司治理结构的重要作用，为风险审计的发展刨造良好的环境商业银行公司治理的核心问题是委托人(股东、投资者、管理者)如何激励和约束人(经理层)、积极有效地完成受托经营管理责任，以确保股东或投资者财富最大化。显然仅仅通过财务审计，委托人难以全面了解人是否有效履行其受托责任，而风险基础审计有利于减少信息不对称性，较为全面地提供委托人所需要的有关经营管理活动方面信息，大大遏制了“道德风险”的发生，增强了经营管理的透明度，从而达到控制和抑制“内部人控制”的目的，同时，通过风险审计可以有效地判断人的业绩和能力，评价人对受托人责任履行情况，促进人提高经营管理效率因此，风险审计是商业银行公司治理结构的重要组成部分，是完善公司治理结构的“四大基石”之一。

（二)抓紧制定风睑基蒯{计；，立则尽快完善评价标：停体系要吸收借鉴美国、英国、典等发达国家的先进经验，抓紧研究制定我国的风险基础审计准则，这是开展风险审计的当务之急。风险基础审计准则的制定要遵循“衔接”、“配套”、“务实”的原则，注意解决好前瞻与现实的矛盾，接轨与国情的矛盾。逐步探索和完善风险审计的评价标准体系，量化评价指标，为不同项目之间的比较提供依据

篇11

引言

2008年全球金融危机对世界各国的经济都产生了一定的冲击，人们迫切希望金融改革来改善当前经济环境，在这样的经济背景下，巴塞尔协议Ⅲ应运而生。在2010年9月12日的会议上，巴塞尔银行监管委员会央行行长和监管当局负责人宣布要加强对现有资本金要求的持续监管。新巴塞尔协议的核心是资本充足率的要求，而风险度量模型正是计算资本充足率的基础。企业信用风险的度量一直是商业银行乃至我国金融行业的核心问题，而商业银行对信用风险的评估和管理能力是提高我国金融业竞争能力和盈利水平的决定性因素。信用风险模型是预测企业信用风险的有效工具，随着公司债券市场的迅猛发展、抵押品价值降低及其波动性增加，信用风险模型得到了更为广泛的关注。

目前主要的四个新兴风险度量模型为：KMV公司的KMV模型、J.P摩根的Credit Metrics模型、瑞士信贷银行的Credit Risk+模型和麦肯锡公司的Credit Portfolio View模型。本文对四种模型进行了比较研究，同时探讨了回收率和违约率之间的反向关系，并指出对回收率的具体分析对商业银行准确评估企业信用风险具有重要的现实意义，为我国商业银行增强信用风险管理、建立中国特色的信用风险模型提供了合理的借鉴。

四种模型的优势与不足

1 KMV公司的KMV模型

1993年， 全球闻名的美国穆迪KMV公司以Merton（1974年）开发的期权定价模型为基础，以公司资产为基本变量，将期权定价模型的原理应用到贷款和债券的估值，通过对上市公司股价波动进行分析来监控公司发生违约的可能。

KMV模型的优势在于：第一，在计算股票回报率的关联矩阵时，运用企业、国家和行业、全球三层经济指标建立多因子模型，综合考虑了企业微观发展、国家宏观环境和全球发展因素。同时，KMV模型将违约关联度和公司的股票价格联系起来，不仅能够全面地分析企业的目前的信用状况，还能合理地预期未来风险。第二，KMV模型在Merton期权定价模型的基础上考虑了红利支付、违约提前发生等可能性，对于企业负债变动的情况也能计算其违约率，扩大了Merton模型的适用范围。第三，KMV模型根据市场价值、到期时间、无风险利率等计算资产波动率和根据违约点计算违约价值的方法，适用于所有数据公开的上市公司，能广泛应用于公开交易的上市企业。KMV Corporate. Credit Monitor Overview. San Francisco California，1993：6066

但KMV模型也存在不足之处：KMV模型预测企业预期违约概率，是建立在资产回报服从正态分布的基础上的，而现实中，企业的资产回报很难满足正态分布的条件。其次，测算预期违约概率的数据包括股价信息、负债价值、到期时间等，增加了统计数据的难度，限制了KMV模型的应用。最后，该模型只考虑了一些简单的指标（股权价值、波动率等），忽略了企业资历、抵押品等反映企业复杂特征的指标，降低了预测结果的准确度。

2 J.P摩根的Credit Metrics模型

1997年，JP摩根与KMV公司合作开发了Credit Metrics模型，通过模拟信用资产组合信用质量的变化来估计资产组合价值的变化，进而以该资产组合价值大小来确定信用风险的大小。

Credit Metrics模型优势在于：该模型具有普遍适用性，计算方法简单易操作，也是最早应用于投资组合的信用风险管理的模型。Credit Metrics模型综合了国家各项经济指标和行业指标，根据企业在行业中市场份额赋权，能够高效地计算各个贷款企业之间的相关性。

但是，Credit Metrics模型也存在一些问题需要探讨：第一，模型中违约率的计算值是企业过去年份违约率的算术平均值，考虑到了宏观环境对于违约率的影响，但在不同的经济发展阶段，违约率应赋予不同的权重，这一点需要进一步研究。第二，Credit Metrics模型忽略了市场风险。模型假设无风险利率是固定值，因此市场风险对于投资组合的市场价值没有影响。而市场和宏观经济水平影响信用质量，从而改变企业的经营收益，改变企业的违约风险。第三，建立模型的基础是企业的资产价值服从正态分布，严格的数据要求和现实数据的实际分布有一定的区别，影响了Credit Metrics模型模拟结果的准确度。

3 瑞士信贷银行的Credit Risk+模型

篇12

中图分类号：TP393.08 文献标识码：A 文章编号：1007-9416（2013）09-0171-01

当前，网络安全问题比较严峻。人们开始注重关心自己网络的安全。随着用户对网络安全意识的提高，人们已经不再仅仅满足于低层次网络平台的搭建，人们开始把更多地把精力放在如何建立或者研发相关的软件来保证自己计算机网络安全、可靠。然而，什么是计算机网络呢？简单的说计算机网络就是一种网络能够识别的、以网络协议为基础的一些应用之间比较完整的组合，但是在这个里面协议的应用本身都可能会存在一定弊端，增加网络安全的风险。当然，它还包括了对网络锁的使用的一些协议的相关的设计的问题。

1 网络的安全技术概括

网络安全技术主要分为两种。一是加密技术，这种技术是EC中使用的主要措施，这种技术能够在贸易方进行信息交换时候使用。当前，加密技术主要有对称加密和非对称加密技术两种。第二种是防火墙的技术。通常我们所说的防火墙技术是一种应用性的安全技术，这种技术主要是建立在信息的安全技术以及通信技术基础之上，普遍应用于公用、专用网络的某些互联环境当中，接入一种Internet网络是最为流行的。

从逻辑上来看，防火墙是一个分离器，也可以叫做是分离器，它能够有效地保证和控制互联网和内部网络之间安全的进行交易。此外，根据防火墙的侧重点以及防范方式的不同，将防火墙技术分为很多种，其中具有代表性的为：（1）分组过滤：这种技术能够在传输层和网络层起作用，它根基端口号和目的地址、协议的类型、分组的包头源的地址等标志，来确定其是否让数据包在此通过。当数据包（过滤逻辑）得到满足后，这些数据包相应的转发到目标出口端，其余的数据包则丢弃，没用了。（2）应用：通常也叫做网关，网关主要在应用层发挥作用，它能够阻隔网络的通信，并根据不同的应用服务来编写其专门的程序，从而有效的控制和监视应用层通信的交流。

2 网络安全技术中主要存在的缺陷

目前，人们在日常及工作中使用的网络安全技术主要是针对某个或某种网络的安全问题而设计的。因此，在某种程度上，这些网络安全技术只能够相应解决某个或某种网络安全问题，但是这些网络安全技术没有办法解决其他与之有关的问题，更别说对整个的网络系统进行有效地保护。比如说，人们网络技术中使用的访问控制以及身份认证技术，只能解决网络用户身份的确认问题，但是却无法保证用户与用户之间信息传递的安全性。

当前，随着计算机技术的不断发展，现代防火墙技术也取得了一定的发展，也能够在现有技术基础上解决一些基本的网络安全问题。但是，防火墙这种技术主要在应用层发挥作用，但是防火墙技术仍然存在许多局限性。其中，防火墙技术组最大的局限性就是防火墙技术不能够本计算机内保存放数据的安全性。当然它也存在着很多弱点：（1）这种技术不能够防范一些恶意入侵的知情者；（2）这种技术不能防御一些来自计算机内部的攻击；（3）这种防火墙不能够防御一些能够绕过防火墙的攻击；（4）这种技术不能防御来自对数据的攻击。

当然，在新的、有效的网络安全产品研发出来之前，很多用户更会选择一些主流的安全技术与防火墙等技术联合起来使用，从而保障自己的网络安全。

3 网络安全技术发展趋势

网络安全是比较复杂的，从它的概念、内容、框架等。为了保证网络安全的有效性，对于网络安全的管理必须采用相应的管理才能管理员，这样才能够有效的保证网络安全控制，从而能够有效的保证预期资源的安全。因此，网络安全的主要核心问题是建立起组织的一些安全管理的体系。而这个安全管理体系又是由许多动态安全分析的相应的过程和静态安全控制相应的措施组成。

（1）安全需求的分析。客户只有真正了解自己所需要的安全需求，才能够根据自身的需要创建一些符合自己需要的安全结构，这样客户才能够有效地保证自己的网络系统安全。

（2）安全风险的管理。安全风险的管理主要是对在安全需求的分析结果中出现的一些业务需求和安全威胁进行适当的风险评估，通过一些企业或相应组织能够接受的一些投资，来最大程度地实现网络的安全。风险评估主要为构架一些部门和组织的安全体系的结构以及制定其安全性策略提供了很多直接的相应的依据。

（3）网络环境中制定一些安全措施。根据部门和组织的风险评估和安全需求的结论，制定部门和组织的一些计算机的网络安全的相关策略。

（4）定期进行安全审核。对于安全审核，其首要任务是审核其组织的那些安全性策略是否是被其有效执行。

综上所述，网络环境是一个复杂的、多变的、各种资源能够相互共享的虚拟环境，但是这个环境又是脆弱的，这些性质都决定了网络患者中的安全隐患。随着我国计算机技术的不断发展，网络对于一个国家、一个企业而言有着举足轻重的作用。因此，在信息化社会中，如果没有安全、稳定的信息化网络，整个国家就不可能有安全的屏障。

参考文献