关键风险

关键风险（共12篇）

关键风险 篇1

摘要：石油工业在国民经济发展中发挥着重要的作用。石油炼化是石油生产的重要环节, 石油炼化作业规模大, 易燃易爆危险物和危险设备多, 导致石油炼化行业具有较高的风险。石油炼化关键设备是关系到石油炼化工作能否顺利进行的关键。文章通过调研分析, 研究了石油炼化关键装置风险的研究现状, 分析了一些典型的风险评价方法。通过研究对于提高石油炼化企业装置运行安全性, 保证石油炼化企业正常生产运行具有积极的作用。

关键词：石油,炼化,风险,分析,评价

引言

石油炼化行业是我国重要产业, 对于经济和社会的发展具有非常重要的作用。现阶段我国炼化行业的安全性能还需要进一步的提高。由于石油炼化行业的特殊性, 石油炼化行业的运行流程复杂, 设备多, 规模大, 易燃易爆的设备和物质多, 石油炼化企业的运行风险较大, 许多炼化企业新旧设备同时混用, 设备运行强度大, 高温高压设备多等, 都给石油炼化企业的运行增加了较大风险。石油炼化企业如果没有做好相应的安全管理和监督, 企业一旦发生事故, 将会造成巨大的人员和财产损失。文章首先分析了石油炼化企业装置风险的现状, 提出了装置的风险评价的方法。

一、石油炼化企业装置风险研究现状

随着石油行业风险管理模式和方法的不断发展, 我国石油行业风险管理水平也得到了有效的提高, 石油行业的风险管理具有较强的针对性和实效性。石油行业风险管理的预警机制也得到了较大的发展。但是针对某一个具体企业和生产技术装置的风险管理研究起步较晚, 没有形成一个成熟系统的体系, 而且应用的范围也具有较大的局限性。在国际范围内工业风险管理的研究发展迅速, 国内在该方面的管理水平还需要进一步的提高, 特别是能够基于风险管理基本理论的具体工业技术风险管理, 以及相对应的风险管理机制的研究需要进一步的完善。不断的完善具体企业和工艺的风险评价方法, 及风险评级和预防规范, 有效的提高石油炼化企业的风险管理水平。利用风险管理理论, 形成全面的风险预警体制是当代安全管理的重要发展方向, 通过高效的风险管理, 可以为石油炼化企业增加经济效益, 同时有效的减少石油炼化企业安全事故发生的概率, 保证石油炼化企业稳定发展。

公司炼化装置拥有50万吨/年高等级道路沥青加工装置两套, 一次原料油加工能力300万吨/年, 100万吨/年延迟焦化装置一套, 60万吨/年油品改质及12000Nm3/h制氢联合装置一套, 3万吨/年硫磺回收装置一套, 40万吨/年石脑油改质装置一套, 配套43万立方米罐区。公司炼化设备规模大、易燃易爆物品多, 安全风险管理的形式严峻。因此需要针对公司企业特点, 开展能够应用到我国石油炼化企业具体的风险管理方法, 形成高效的风险预警机制, 不断地的提升我国石油炼化企业的安全管理水平。

二、石油炼化企业关键装置的风险评价

炼化企业关键装置的风险是指石油炼化企业装置在运行过程中可能存在的风险, 主要有装置的泄露风险、爆炸火灾风险以及装置工作过程中出现故障导致的风险。通过对石油炼企业关键装置风险影响因素的分析, 利用风险评价的数学处理程序, 对石油炼化企业的关键装置的风险进行分级评价。

石油炼化装置的泄露风险中, 由于泄露可能存在的部位不同, 泄露造成影响也不同, 如果发生在石油炼化装置的关键部分, 可能泄露的量很少, 但是也会造成严重的事故。如果泄露发生在石油炼化装置经常滴漏的位置, 造成的影响较小, 因此可以认为是较低风险。为此针对石油炼化装置的具体情况, 设计了两种不同的泄露风险等级评价方法。一是利用危险分级组合方法, 该方法主要适用于影响装置泄露风险的因子较多, 而且各个因子不好定量表述情况下, 具体的可以用到设备管线的泄露、以及部分存储装置的泄露。石油炼化装置的风险等级应用的数学模型为, 风险发生概率和风险造成后果严重程度的乘积, 在实际应过程中, 将系风险发生的概率取值标准确定, 进而进行风险等级的确定。相应的风险评价步骤为首先找出事故风险发生的概率, 根据相应的指标标准, 确定每一项发生的概率。然后依据危险严重程度标准表, 寻找相应的风险后果严重程度, 将得到的风险发生概率和风险后果严重程度相乘, 相乘得到的数值和风险对照表上的数值对比, 最终确定石油炼化企业泄露风险评价等级。二是石油炼化装置泄露的危险指数累加法, 主要适用于密封、焊接等处的泄露风险评价。该风险评价的数学模型是将每一个可能泄露位置的危险系数累加。具体的使用方法是将系统中每一部分可能发生泄露位置的危险系数, 对着危险系数表查出, 然后就每个安全系数相加, 这样就可以得到整个装置的泄露安全系数, 进而对着相应的风险等级表, 确定具体的风险等级。爆炸火灾风险的影响因素较多, 而且每个影响因素的值难以定量, 因此采用危险分级组合方法, 具体方法和石油炼化装置的泄露风险的评价方法基本相同。石油炼化装置的故障风险评价主要应用关键部分风险评价法, 采用的数学模型为为危险分值法。具体应用过程为, 分别对照设备故障影响因数表, 找出装置关键部分对应的数值, 利用公式计算出装置运行过程中出现故障的分值, 利用计算出来的分值, 对照设备的故障等级表, 最终确定设备的风险等级。

结束语

石油炼化是我国石油化工产业的重要部分, 在推动经济和社会进步方面发挥着非常重要的作用, 现阶段石油炼化企业的行业安全性还需要进一步的提高, 需要进一步加强石油企业炼化装置的风险管理。石油炼化企业的焦化装置、制氢装置、气体分馏装置、催化裂化装置等关键装置, 具有高温高压、易燃易爆、腐蚀性强等危险。需要针对我国石油炼化企业特点, 开展应用到我国石油炼化企业具体风险管理方法, 形成高效风险预警机制, 不断地提升我国石油炼化企业安全管理水平。通过研究对于提高石油炼化装置的安全性, 降低公司的运行风险, 提升公司经济效益具有重要的作用。

关键风险 篇2

建立廉政风险防控机制，是一项增强预防腐败实效的制度创新，有必要对风险防控机制的基本架构、功能作用及其实现途径进行认真思考。笔者认为，廉政风险防控机制应当具备风险排查、防控措施、运行机制三个基本要素。

一、风险排查。廉政风险，是指党员干部在公务活动和日常生活中发生腐败行为的可能性以及腐败行为带来的严重后果。风险排查，是构成防控机制的最基本要素，也是下一步采取防控措施的重要前提，其目的主要在于明确风险范围和风险点。

划分风险类型。廉政风险防控涉及面广，划分风险类型的目的在于明确风险防控的主要方向。由于风险因素复杂，如果从内容和性质上分类，显然难以做到，也不便把握。为了使防控方向指向明确，划分简易，尽可能地顾及全面，宜着重从工作的外延上进行分类查找。一是查找单位风险。结合部门职能和行业特点，重点查找领导班子“三重一大”议事决策，以及业务工作流程中容易产生腐败行为的风险因素、风险点及主要表现形式。重点对象为各级党委、政府及其工作部门、检察机关、审判机关。二是查找岗位（个人）风险。结合岗位职责，重点查找个人在行使行政审批权、行政执法权、自由裁量权和现场即决权、内部管理权等履职过

程中存在的风险因素、风险点及主要表现形式。重点对象为各级领导干部、基层单位负责人、重点岗位工作人员。三是查找专项风险。重点查找在某个方面容易导致违纪违法行为发生的风险因素。

评定风险等级。根据风险发生的几率大小和一旦发生可能造成的危害程度高低，将单位风险和岗位（个人）风险划分等级，搞好风险等级的评定和划分，一方面增强风险意识，一方面便于在防控工作中集中力量抓主要矛盾。

建立风险档案。将排查到的风险分门别类，汇总造册，并填写单位和岗位（个人）风险识别防控表，以及重点领域风险项目登记表，按单位、岗位（个人）、专项廉政风险建立台账，形成各级各部门（单位）廉政风险信息档案库。

二、防控措施。防控措施，是廉政风险防控机制的核心环节和关键要素。从事物发展的逻辑顺序上看，风险防控包括“防”和“控”两个不同概念，是同一个工作方向上的两个阶段。“防”是立足把工作做在风险未发生之前，类似“扎篱笆”，“防”的工作做好了，是风险防控的理想境界。“控”是把工作做在风险尚未转化为腐败之前，把问题解决在萌芽状态，消除腐败隐患。总之，要通过采取防控措施，使风险防控机制充分发挥事前防范、有效监控、及时化解的功能作用。根据风险因素的共同属性、风险类别的差异以及

风险形成过程，可分别采取基础防控、分类防控、预警防控的办法，形成基础、分类、预警“三位一体”的防控体系。基础防控。基础防控注重“防”。主要内容是加强惩治和预防腐败体系建设，抓好教育、制度、监督等常规工作，整合反腐倡廉各要素资源，切实打牢防控廉政风险的坚实基础。

分类防控。围绕排查确定的各类风险和重要风险点，有针对性地采取防控措施，提高防控效果。针对单位风险，主要监控领导班子议事决策过程，同时针对单位主管业务的特点，抓住工作流程中权力行使的关键环节，采取严密的防控措施；针对岗位（个人）风险，重点研究加强各级各部门主要领导岗位廉政风险防控措施，细化“三重一大”等重要问题的决策权和执行权制度，用制度制约自由裁量权过大、暗箱操作的问题；针对专项风险，认真研究一个领域或系统存在的共性问题，结合工作实际，制定全过程全方位防控措施，对所涉及单位明确防控责任，形成防控合力。

预警防控。预警防控重在“控”，是廉政风险防控过程中一项贯穿始终的动态监测防控措施。预警防控的特点是注重时效性，必须建立一套廉政风险及时发现和处理工作机制。首先，建立廉政风险信息系统，广泛收集预警信息，对廉政风险实施动态监控。其次，一旦发现风险苗头、倾向性

问题，及时发出风险预警，运用相关处置措施，认真纠正存在问题，及时化解廉政风险。

三、运行机制。运行机制，是廉政风险防控工作的保障要素。在廉政风险防控过程中，必须形成科学规范的长效机制。

领导体制和工作机制。廉政风险防控机制建设应与落实党风廉政建设责任制结合起来，成立专项工作领导小组，纪检监察部门负责组织协调和督促检查，部门和单位各负其责，群众积极参与，形成内外监控、多方联动、上下协同的领导体制和工作机制。

检查考核机制。建立和完善廉政风险防控机制建设检查考核制度，通过信息监测、定期自查、上级检查、社会评议等方式，对廉政风险防控情况进行检查考核。考核工作与领导班子和党员干部考核、工作目标考核结合进行。考核结果纳入党委、政府及其工作部门领导班子党风廉政建设责任制考核评价系统。

责任追究机制。对制度不落实、防范措施不到位的，及时指出，责成整改，保证廉政风险防控机制的有效运行；对不认真开展工作，不积极防控廉政风险，导致单位和岗位人员发生违纪违法案件的，按照党风廉政建设责任制有关规定追究相关责任人的责任。

关键风险 篇3

过去的一年，伴随着垒球化金融危机的蔓延，风险管理对一个企业乃至一个行业健康发展的作用显得愈加重要。近年来中国保监会—直致力于制定和推动保险行业全面风险管理体系和制度，保持行业健康稳定发展；各家保险公司也在关注保费利润的同时，大抓风险防范，摸索出了一套经验和方法。

风险管理体系(主要包含信用风险、市场风险和操作风险)是一个内涵和外延都非常广大和复杂的体系，而保险行业的风险管理体系相对于银行风险管理体系而言还有许多探讨和完善的空间。本文旨在介绍关键风险指标在操作风险中的工作原理、建立原则和如何应用于寿险公司操作风险管理实践，希望它能成为寿险公司具体量化操作风险的参考工具和方法。

二工作原理

在操作风险管理中，管理部门希望将抽象、复杂的操作风险转变为直观、简单的数字，对操作风险进行量化。通过量化的手段和方法，可以直观的反映操作风险现状，便于观察操作风险变动情况。关键风险指标就是一种操作风险定量分析方法。

关键风险指标(KRI--Key Risk Indicators)是用于风险评估和监测的重要工具。风险指标是在一定风险管理框架中，对业务活动和控制环境进行监控的指标体系。有代表性的控制评估活动只能定期进行，而关键风险指标则可日常监控，这有助于进行动态化的操作风险管理。这些指标包括：交易的失误次数、职员流动比率、错误和遗漏的频率以及严重程度等。当这些关键性操作风险指标参数值发生变化，达到或是突破一定限额时，保险公司就需要对该参数所反映或是代表的操作风险潜在领域实施预警管理，并分别按反映的问题程度不同向风险管理者、管理层和董事会报告，以及时制定和实施风险控制／缓解措施，最终使该指标参数恢复到原定的控制水平之内。

关键操作风险监测指标的建立基础是假设操作风险大小与某些数量指标具有内在的紧密联系，通过这些数量指标的变化可以反映出某些操作风险水平的变化，指标依附于某—产品线或实体中已识别的操作风险，具有可计量性和一定的预警功能，并能通过定义触发水平，来引起管理层对指标参数值超过安全区间的操作风险的重视。也就是说指标具有风险敏感性，能深入洞察风险组合的变动情况。KRI是实现对操作风险识别、评估、监测十分有用的工具，保险公司内部一般由专门指定人员或风险管理者定义指标项目及其执行的程序。(International Associationof Insurance Supervisors 2003：：“Insurance Core Principles andMethodology”)

三关键凤险指标体系建立原则

在选择指标和构建整体指标体系时主要遵循以下四个原则；

重要性原则。指标的选择要覆盖当前整体范围内的操作风险重点环节，可能不是面面俱到，但必须抓良操作风险易发的区域或者风险严重的区域

开放性原则。KRI体系是一个动态的、开放的架构，随着保险公司业务的发展和风险偏好的转移，指标的选择也应不断地作出相应的调整和完善

事前预警和事后计量相结合的原则。指标体系中的部分指标要对操作风险有预先警示的作用，部分指标要在事后对操作风险事件的损失情况有所计量，从而为保险公司达到高级计量法要求不断积累操作风险损失数据

风险容忍原则。指标体系的建立并非要覆盖保险公司业务线的所有操作风险点。根据成本效益原则，对部分操作风险可以不进行监测，但其损失必须进行计量

四关键风险指标的主要结构和应用

目前国际金融界对操作风险的分类并没有统一的规定，世界各大保险公司的研究实践中也从各个不同角度诠释了对操作风险的理解。在此，以由RMA牵头开发的KRI体系为例，简要介绍KRI的主要结构和分类特征。RMA(Risk Management Associatiion)专业性风险咨询企业与风险管理协会是金融业KRI体系研发行动的发起人。

借鉴巴塞尔委员会对银行操作风险的分类方法，KRI包括：8个标准的业务线，细分成40个产品和服务组l 15个风险类别，46个业务功能单位、按产品特征和组织属性功能分类(巴曙松，2003，《巴塞尔新资本协议框架下的操作风险衡量与资本合约束》；巴塞尔银行监管委员会，2004，《巴塞尔新资本协议》)。KRI实质上是一个三维模型 业务产品／服务线、风险分类和业务功能单位，三维模型中的每一个组合(产品／服务线、风险分类、业务功能单位)决定一个操作风险点，每一个风险都对应一个KRI，对该风险点风险水平进行度量，反映风险发生的频率或损失强度或兼而有之。

根据指标的时滞性，KRI体系中的指标可以分为预警指标(1eadingindicator)、同步指标cconcurrent indicator)和滞后指标(1aggingindicator)(周光友、罗素梅，2005，《金融风险的度量与指标选择》)。

预警指标。预警指标值的变化先于实际风险状况的变化，参考这种指标可以发现“预先警示标志”，分析未来风险状况及其对今后保险公司经营效益的影响，是对未来产生影响的操作风险监测指标

同步指标。同步指标值的变化同步于风险状况的变化，它的变化时间与风险情况基本一致，用于定义“正在发生的风险”，其中潜在损失事件可能导致一家或者另一家机构产生风险

滞后指标。滞后指标用于反映或查找“历史事件”，其值的变动时间往往落后于实际风险状况的变动。同步指标和滞后指标可以显示风险变动的总趋势，并确定或否定预警指标预示的风险变动趋势，而且通过它们还可以看出风险变化的深度

根据所监测操作风险的影响面和重要程度，KRI还可以分为核心指标、重要指标和普通指标三个层次。核心指标是代表涉及保险公司核心业务的主要风险的指标，重要指标是代表保险公司核心业务具体细分之下的业务风险的指标，普通指标是代表除核心业务之外的其他业务具体细分之下的业务风险的指标。某寿险公司采用了这种风险指标分类方法，将KRl分为核心KRI、具体的核心务KRI和具体的其他业务KRI三类。如下表所示(样例)：

KRI实质上是一个三维模型，三维模型中的每一个组合(产品／服务线、风险分类、业务功能单位)决定一个操作风险点，每一个风险点都对应一个KRI。KRI体系中的每一个风险点均标明了其功效、内部可比性、外部可比性、简易度和属性，并根据业务性质对每一个风险点进行简单描述，下表是RMA指标体系的一个简单示例。

以寿险个人业务为例，KRI体系的风险点如下表(样俪)：

同时，KRI体系对每一个风险指标进行编号、命名、分类，定性和描述，并将其与有关的已经有了明确定义的风险点相联系，产生如下的KRI表格，每一个三维模型中的KRI均通过这种表格来进行定义。一个KRI可以对应多个风险点。

KRI的定义表格(样例)：

五结论

综上所述，关键风险指标是一种操作风险定量分析的方法，它有助于风险管理部门将抽象、复杂的操作风险转变为直观、简单的数字，对操作风险进行量化。考虑到不同公司在业务发展阶段、管理水平和技术基础方面的差异，关键风险指标在定义和实践过程中需要结合企业具体实际情况具体分析，不能照搬照用。

关键风险 篇4

关键词：风险管理,金融产品创新,风险研究,关键风险因素

金融产品创新的主要目的就是通过技术创新、金融理论和市场制度减少或转嫁由利率、汇率以及通货膨胀等因素而带来的风险, 简而言之就是规避风险。自二十世纪七十年代以来, 伴随世界经济的快速发展, 互换、期货、期权等金融衍生品应运而生, 而NASDAQ、OTC等金融创新市场的建立, 使得信用卡、电子货币、网上银行等金融创新产品频繁出现在人们生活中, 增强了金融产品在人们经济生活中影响。但值得注意的是金融产品的创新是一把双刃剑, 它既可以推动金融业的发展, 也可能为我国的金融发展带来巨大的风险。

一、全面风险管理的分析框架

1. 分析框架的重要性。

我国金融产品创新起步较晚, 开始于20世纪80年代, 发展速度较缓慢, 并且由于我国政府逐步放松了对金融企业的行政管理, 从而引发了我国金融产品创新的浪潮。但是由于我国金融业受经济体制的制约, 金融改革长期处于滞后的状况, 存在企业结构不合理、市场竞争不充分以及技术水平不足的问题, 因此如何促进我国的金融产品创新, 对我国的经济发展意义重大。

建立全面风险管理的分析框架, 有利于对金融创新产品的风险特征进行系统性分析, 从而达到对风险有针对性的提出解决措施的目的。同时通过建立全面风险管理的分析框架, 能对影响金融产品创新业绩的风险因素进行深入讨论, 通过理论研究与实例分析相结合的办法, 对潜在风险因素进行合理假设, 进而找出正确的应对办法。此外, 还能对关键风险因素之间以及风险因素对风险验证结果之间的相互关系、影响效果、作用方法作出合理的探索, 从而更好地设定出风险调控的最佳实践路线, 达到为金融企业的产品创新所面临的风险提供参考依据的目的。

2. 分析框架的构建。

金融全面风险管理的分析框架是按照提出问题、分析问题、解决问题的思路进行的, 即首先提出如今我国金融产品创新所面临的问题及风险, 再从全面风险管理的视角, 提出指导性框架, 最后根据框架讨论应对风险的解决措施。

在此模型中可以看出, 对金融产品的风险管理创新主要包括四个阶段, 即集合风险、风险识别、分险评估和风险监控。从全面风险管理的视角, 构建出了一个环境、组织与流程之间相辅相成的组成部分, 并作为风险评估的基础, 为我国的金融产品创新做出了合理的推论。

二、多关键风险因素的识别

1. 信度分析。

对我国的金融产品创新中存在的多关键风险因素的问题, 需要参考微观经济学中的数学模型。按照微观经济学的观点, 金融产品的创新是不会提供一个全新的产品, 而只是在原有基础上进行加工或改变一些特性, 进而分解金融产品的风险给愿意承担风险的投资者, 基于这个观点, Van Horne提出一个关于金融产品创新的模型, 同时认为金融产品的创新面临着诸多不可预测的风险, 因此要通过将金融产品调整为不同特征的组合, 分化其应有的风险。通过金融产品的两个显著特征, 即收益和流动性, 由顾客根据不同的消费者偏好进行投资选择, 达到金融产品创新的目的。

2. 效度分析。

通过一般均衡模型对多关键风险分析进行识别, 是从金融创新者的利益最大化为出发进行假设, 也就是在考虑保留现金流效用下, 使得自己出售的金融创新产品能得到最大效益, 将金融创新的动力视为由创新者的利润决定, 而忽视了经济变动对金融创新的影响。

3. 因素分析。

基于金融产品创新的动因理论, 将金融产品创新的促进因素归纳为由规避金融管制、减少市场风险、减少交易成本、市场竞争程度、科技进步等, 并由Sinkey提出的金融产品创新模型, 指出这些因素都是相互影响的。提出模型为:

金融产品创新=TRICK+理性的自利

其中TRICK由技术、监管调整、利率风险、消费者和资本组成, 并且该因素是相互影响的。基于该理论研发出新的整体创新模型, 代表性创新模型主要包括下图所示三种。

三、对风险因素的分类讨论

1. 产品的特性。

风险能够给投资者带来预期的收益, 但也有可能给投资者带来意外的损失, 它是由潜在损失、潜在损失发生的可能性大小以及潜在损失发生的概率组成的。其可分为技术创新风险、金融风险、金融产品创新风险, 但都具有以下产品特征:客观性, 风险是由客观存在的风险因素构成, 存在于金融产品的每个角落, 切不受人为控制;危险性, 风险可能将给投资者带来巨大的损失, 且这种损失是不可预计的;可测性, 风险可以通过对之前的资料、所处的环境进行分析, 预测未来的风险发生可能;相关性, 风险是由一系列事件构成, 同一行为主体可能带来不一样的经济后果;变化性, 风险会随着环境的变化而变化。

2. 开发过程。

由于技术创新也存在着巨大的风险, 因此在开始之前, 应首先对所处的环境有一个具体的分析和了解。要想减少技术创新的风险性, 应至少包含三个主体, 即技术创新主体、技术创新的客体以及技术创新的研究过程, 通过培养一批高技术人才, 加强其创新能力和创新欲望, 正如美国著名管理学家德鲁克所说“不创新, 就死亡”。为此, 首先应充分发挥市场规律的作用, 保证技术创新的主体。其次通过选好创新的项目以及创新的手段, 减少在创新过程中失误和浪费, 进而达到节约资源和节约时间的目的。最后通过创新新产品的商业活动、管理、制造、设计, 提高金融创新产品的核心竞争力。

3. 营销支持。

高品质的产品不一定就意味着有高的经济收益。在如今计算机互联网高速发展的时代下, 人们的生活也演变为快节奏, “酒香不怕巷子深”的箴言已经早不适用了, 任何产品都需要一个精美的包装和商业营销。未来是电商和微商的经济时代, 因此金融创新产品也需要得到大力的宣传。金融企业加大宣传力度, 需要对来往进行投资理财的客户进行产品宣传, 同时加大新闻媒体的宣传力度, 搞一些促销活动或者适用活动, 让顾客的好处落到实处。最后工作人员要树立“顾客至上”的服务理念, 微笑服务, 尽力解决顾客的难题疑问。

4. 组织环境。

一个人的力量始终是有限的, 只有发挥团队的作用, 才能将金融产品的创新工作做好, 21世纪不再是一个仅凭自己努力就能取得成功的时代, 在这个时代生活就必须懂得“借力”。此外保持一个和谐融洽、健康向上的工作环境能促进金融产品的创新。金融产品创新所面临的风险既包括外部风险也包括内部风险, 内部风险为操作风险、策略风险、交易风险等, 因此搞好组织环境就是从内部降低了金融产品创新的风险。

5. 风险管理的流程。

风险管理的流程简单来说, 就是通过对金融创新产品加强监测, 对风险进行合理的控制, 并通过对存在的风险情况、风险问题进行有效分析, 进而提出合理、准确的解决办法和措施, 达到减少损失, 降低风险的目的。监测包括对创新主体的监测与控制, 也包括对创新客体以及创新过程的监测。其目的是为了使创新工作符合我国的相关的法律法规, 同时让创新主体的利益最大化, 进而带动顾客的利益最大化, 达到双赢的局面。

四、关键风险因素的风险调控分析

1. 创新绩效与创新风险。

金融产品创新存在着很大的风险, 而这种风险表现在很多方面, 如商业、技术、交易等风险, 以及高级管理部门的效率。此外新产品的目标市场规模太小或没有发展潜力会导致达不到预期的创新绩效, 而且如果公司的营销网络和客户资源不足也会导致达不到预期的创新绩效。总的来说创新风险制约着创新业绩的发展。

2. 风险管理方法的风险调控。

要对风险管理的方法做好风险调控, 首先应做好项目组风险管理的风险调控。企业的风险管理需要全体员工的参与, 因此在做风险调控时也应该加强内部工作人员的风险意识。其次还需要做好风险规划的风险调控, 对可能发生的意外情况、经济损失进行合理的预测估计。同时还应做好风险识别的风险调控, 要对创新风险的隐匿性、复杂性和多变性有着准确的把握。最后做好风险应对的风险调控, 要对可能发生的风险, 制定出相应的解决措施, 规避风险。

3. 人力资源的风险调控。

这部分内容主要是要做好技术专家和理解市场、客户的专业人才以及员工与客户培训等三个风险变量的工作。在金融创新产品的各个环节安排具有专业知识的创新人才, 这样才有利于企业实现创新产品的发展策略。

4. 项目管理的风险调控。

进行项目管理的风险控制主要是需要处理好项目组的组织管理、资源配置、激励办法、跨部门合作以及管理层等5个风险变量的关系。运用全面、成熟的新产品开发过程有益于产品创新的实现, 协调好内部关系, 设计好组织活动, 努力实现新产品的创新。

5. 营销方法的风险调控。

这主要是针对产品优势和营销手段2个风险变量。在此环节可以努力发挥创新产品的优势, 以其特有的质量、收益和风险吸引消费者。同时通过加强对该产品的宣传力度, 增强其与同类金融产品的竞争力, 达到降低损失的目的。

6. 营销网络的风险调控。

该部分是对营销网络和客户资源、客户服务网2个风险变量的分析。通过发挥网络营销和微商的力量, 树立创新产品的品牌形象和声誉, 从而达到积累客户资源的目的。企业员工在与客户的交流过程中, 为客户提供高品质的服务, 带给客户切身体验, 用以增强该产品的市场竞争力。

五、结束语

金融业改革对我国的经济发展意义重大, 本文通过对如今金融产品创新中存在的问题进行分析, 提出了全面风险管理的框架以及创新金融产品的关键风险管理模型, 为我国的金融业改革提出了一些具体的措施。

参考文献

[1]符浩东.构建风险应急机制稳健推进金融创新——次级贷危机对中国资本市场的启示[J].证券市场导报, 2008.

[2]雍灏, 陈劲, 郑才林等.金融产品创新绩效之风险作用路径的结构方程模型分析[J].研究与发展管理, 2008.

[3]金舸.商业银行金融产品创新风险研究[J].商情, 2012.

[4]魏章友.常德农村金融产品创新的思考[J].科技信息, 2012.

[5]黄林坤.关于加强金融产品创新内控管理的研究[J].商品与质量·学术观察, 2014.

关键风险 篇5

宋伟民

[摘要]重点领域和关键环节是腐败问题易发多发的区域，抓好重点领域和关键环节的廉政风险防控工作，是加强国有企业反腐倡廉建设的重中之重，如何抓好重点领域和关键环节的廉政风险防控工作，主要是做好风险梳理、制度建设、监督、考核和廉政教育五个方面的工作。

[关键词]重点领域 关键环节 风险防控

重点领域和关键环节有两层含义，其一是指企业核心业务和权力运行，其二就是廉政风险防控的重点。在政府部门，重点领域和关键环节一般是指工程建设、土地管理、资金管理、行政审批、干部任用等方面；在电网企业，重点领域和关键环节是指电费收缴、电费管理、工程建设、各类电网改造、物资采购等方面；在学校，重点领域和关键环节是指教育收费、招生就业、评先评优、学术活动、物资招标采购、工程建设、废旧物资处理等方面。各行各业重点领域和关键环节大同小异，其特点是掌握着行政审批权、经营管理权、财政计划权、项目分配权、资金调配权、人事升迁权等等。这些领域之所以属于重点监督对象，原因就在于“权力”。“权力”是不会产生腐败的，腐败的主体是某些掌握“权力”的人，对权力的滥施滥用，导致了腐败的发生。

从近年来电力系统发生了一些违法违纪案件也可得到印证，这些案件引起了社会的极大关注，群众反映强烈。有的是单位的一把手，有的是部门主任，有的是班组长，都属于从事“核心业务”人员。他们的行为在电力系统具有极坏的影响，严重损害了电网企业的良好形象，因此要紧紧抓住腐败现象易发多发的重点

领域和关键环节，采取有效的防范和监控对策，以预防腐败行为的发生。笔者结合工作实际，认为可以从五个方面入手，推进重点领域和关键环节廉政风险防控工作。

一、科学梳理排查廉政风险点，推进廉政风险防控机制建设

胡锦涛总书记在十七届中纪委第五次全会上指出，要推进廉政风险防控机制建设，从重点领域、重点部门、重点环节入手，排查廉政风险，健全内控机制，构筑制度防线，形成以积极防范为核心、以强化管理为手段的科学防控机制。国网公司在构建“三化三有”特色惩防体系时提出以风险防控为切入点推进惩防体系“业务化”，要求“围绕核心业务和重点领域，健全制度，优化流程，运用信息化手段加强易发腐败关键环节的动态监控，从源头上防范和控制核心业务流程运转过程中的腐败行为。”2009年，我们针对三种重要人员、抓好三个关键环节、围绕六个重点领域，科学梳理排查廉政风险点，推进廉政风险防控机制建设。三种重要岗位及人员即全体中层及以上干部、掌管人、财、物、事分配处置权和审核把关权的有关部门工作人员以及学工人员。三个关键环节即决策部署、过程控制和结果评估环节。六个重点领域即思想作风、干部人事、财务资产、教育教学、基本建设和物资采购和招投标领域。

按照风险识别、风险评估、风险控制、风险报告和监督改进等五个步骤科学排查廉政风险点。在风险识别过程中，重点把握廉政风险依存于业务风险、又具有自身规律的特点，找准廉政风险与业务风险的结合点。在风险评估过程中，对识别出的廉政风险按照发生的概率、造成的后果两个维度进行评估，划分风险等 2

级。在风险控制时，对识别评估出的廉政风险，按级别制定风险管理策略，提出和实施风险管理解决方案。实行风险报告制度，将重大廉政风险防控情况作为向学校廉政风险管理领导小组和监督工作委员会报告的重要内容。职能部门按照职责分工对每一项廉政风险的防控流程特别是风险管理策略、解决方案实施情况及其有效性进行监督、检验，确保防控有效。通过自查，我们共查找“风险点”83个，经过分析和梳理，最后确认6个学校层面的“风险点”。通过廉政风险排查，明确了重点领域和关键环节存在的廉政“风险点”，增强了干部员工的风险防范意识。

二、强化制度建设，规范权力运行。

无规矩不成方圆。只有制定权力运行的“既定轨道”，才能保证权力的规范化运行。要将制度建设贯穿于重要领域和关键环节的方方面面，建立全方位预防腐败制度体系，努力形成用制度管权、按制度办事、靠制度管人的体制机制，不断铲除滋生腐败的土壤。在制定规范权力运行的制度设计中，要注重制度的严密性、可操作性、前瞻性，从逻辑上和有利于落实的层面上做到严谨，能量化的要尽量量化，尽量减少自由裁量和自由“发挥”的空间。

我们针对排查出的风险控制点，按照现代ERP流程，制定了行之有效的预防制度和工作流程，修改完善了学校《维修工程管理实施细则》、《招标采购活动管理办法》、《工程项目管理手册》、《培训项目质量管理手册》、《非基建类资本性支出项目财务管理制度》和《国家骨干高职院校建设专项资金管理办法》等一系列规章制度，强化了制度的可操作性，使可能发生腐败的领域、环节等明示出来，便于警醒，也便于监督，有助于权力行使者的自律和他律紧密结合，大大降低权力腐败的 3

风险。

三、强化监督制约机制，保障权力规范运行。

权力的正确行使离不开有效的监督制约，不受监督的权力必然产生腐败，这是被无数事实证明了的真理。

（一）实行企（校）务公开，阳光监督。一些重点领域和关键环节的权力在运行过程中不公开、不透明，得不到有效制约与监督，是导致腐败问题易发多发的重要原因。通过实行企（校）务公开可以有效改变由“少数人”监督“多数人”的格局，实现由大多数人来监督少数人。重点领域和关键环节用权要公开透明，对“谁有权，有哪些权”进行公开，对掌管人、财、物等关键资源的重点岗位人员的工作内容和廉政情况要实施全方位的了解、监督和把握，进行风险监控，有效预警。

（二）建立协同监督机制，合力监督。对重点领域和关键环节的监督，仅仅依靠单方面的监督，即便是职能部门的监督，由于受组织力、专业性和技术性的局限，便显得势单力薄，其监督的效力常常不如人意，这种监督往往也是失败的。因此，要建立协同监督机制，统一协调监督力量，强化职能部门监督作用，构建协调配合、信息互通、形成合力、监督到位的纵向贯通、横向协同、覆盖全面的监督工作机制，充分发挥各职能部门对重点领域和关键环节的监督主体作用。

(三)注重全面和全过程监督。监督应对腐败现象易发多发的重点领域和关键环节进行全方位、多层面、不间断的监督，确保监督不留死角。针对每个项目的监督，它不是一时的走过场，也不是有始无终或有终无始，顾此失彼，而是一个全部的程序，它涉及一个事物发展的方方面面、点点滴滴和细枝末梢，否则其监 4

督是不全面的、无效的，甚至是失败的。只有进行全面的和全过程的监督，才能有效防止腐败行为的发生，使反腐倡廉建设得到有序发展。以工程建设领域为例，我们对工程建设项目实行全过程管理，参与招标过程监督、施工过程监督、竣工验收监督和决算审计监督，维护了单位的利益。

(四)注重多手段和多形式监督。有效的监督不能单单依靠各职能部门的监督，应该是专兼职监督检查队伍相结合，既要充分发挥纪检监察机关和审计、财务等职能部门的监督作用，又要重视发挥社会各界、网络信息等方面的监督作用；既要发挥各级组织、工会等的监督作用，又要重视和引导社会人士、职工群众参与监督。我们今年将一线教师、学工人员充实到党风廉政监督员队伍中，组织他们参加建设工程、物资采购的招议标等群众比较关注的热点问题的监督活动，发挥了监督网络的作用。有了各方的广泛监督，真正让腐败现象没有任何落脚之地。

四、建立考核评价机制，着力完善责任体系

工作布置不检查考核，等于没有布置，考核结果不运用，等于不考核。因此在重点领域和关键环节推行廉政风险防控机制建设，重要环节就是加强考核，完善责任体系，实行责任追究。要及时建立考核评价机制，加强对廉政风险防控机制建设的考核力度，将重大廉政风险防控纳入各部门负责人业绩考核，并根据风险评估结果，丰富内容、细化要求，层层落实防控责任；同时，将廉政风险防控体系建设及防控成效纳入党风廉政建设责任制考核，建立评价、检查、督导机制，保证廉政风险防控工作常态运转；将廉政风险防控工作开展情况纳入各部门工作评价和关键岗位员工绩效考核，立足业务流程和重点岗位形成“上一 5

环节对下一环节负责、下一环节对上一环节监督”的责任机制，为廉政风险防控工作注入持久动力。

对考核检查中发现的问题，要及时进行处理，对制度执行与落实不力的进行批评教育，对违反制度规定的进行责任追究，对该给予党纪政纪处分的给予党纪政纪处分，对该作出组织处理的作出组织处理，坚决防止一般的不廉行为逐渐演变成为大的腐败案件。

五、强化廉政教育，继续大力倡导弘扬“干事干净”廉洁文化理念

首先是要重视廉政教育。廉政教育是预防腐败的基础工作。只有认识了廉政教育的重要性，才能增强抓廉政教育的自觉性。要重点抓好形势任务教育、党纪国法教育、廉洁从政教育，时刻警醒和约束自己的行为。

其次是倡导廉政文化。“干事干净”的廉洁文化理念从2007年提出至今，已成为电网员工共同的从业理念，廉洁自律已成为员工的自觉行为，公司的反腐倡廉工作成效得到广大员工和社会各界的广泛肯定和好评。因此我们要巩固取得的成果，倡导弘扬“干事干净”的廉洁文化理念，积极引导和升化各级领导干部的内心境界，让一心为公、感恩企业、奉献社会的价值观指导个人工作行为，营造知荣辱、重品行、讲奉献的良好氛围。

三是要探索创新有效的廉政教育方法途径，针对不同层次、不同群体，分类要求、分层施教。紧密结合干部的思想实际，把自律与他律、教育与管理、示范教育与警示教育有机地结合起来，使教育真正入脑人心，不断提高广大干部职工的廉政风险防范意识，增强其廉政风险防范能力，筑起坚固的廉政风险防范堤防。

胡锦涛总书记在“七一”重要讲话中深刻指出了我们党面临的“四种考验”和“四种危险”，强调全党必须警钟长鸣，充分认识反腐败斗争的长期性、复杂性、艰巨性，把反腐倡廉建设摆在更加突出的位置，以更加坚定的信心、更加坚决的态度、更加有力的举措推进惩治和预防腐败体系建设，坚定不移把反腐败斗争进行到底。这对我们推进惩治和预防腐败体系建设指明了前进方向，提出了新的更高要求。加强对重点领域和关键环节的廉政风险防控，是一项长期的、艰巨的任务，需要我们不懈努力，从思想上铲除违法犯罪的土壤，从源头堵塞违法犯罪的机会，有效地预防违法犯罪的发生。

参考文献：

[1] 喻林平，贾江涛，饶雪梅，董爽，高职院校建立关键岗位职务风险防范机制的实践与思考--以江西现代职业技术学院为例，高教高职研究，2011（1）

关键风险 篇6

关键词：供电企业 廉洁 防范 关键

近年来，我党越来越注重廉洁风险防控机制的建设完善工作。这是在社会主义建设新时期的背景下，我党对防范腐败问题所采用的新的尝试。在我国的社会主义市场经济体系中，国有企业占有者非常重要的地位。在国有企业中，其领导阶层都握有相当一部分资源和权力，因此也容易受到来自各方面的种种诱惑，是滋生腐败的重要源头。在国有企业开展廉洁风险防范的措施是对国家资源负责、对人民负责的重要表现。我们要运用科学的管理理念，采取有效地监督机制、对可能发生腐败的重要环节进行管理，实现扼杀腐败苗头在摇篮中的目的。

一、供电企业做好廉洁风险防控的重要意义

当前阶段，我国处在社会经济高速发展的时期，人们经受着各种各样的诱惑，国有企业内领导阶层更是受到了来自各方面的诱惑，因此，腐败现象可能会随时出现。供电企业是一个资金聚集很密的企业类型，我国目前对电网改造和投资力度逐渐加大，资金的流动额度更加巨大，企业的领导阶层和普通员工都有可能触及廉洁问题。因此在供电企业加强廉洁风险防范是目前阶段供电企业管理的必然要求。另一方面，廉洁风险防范运用更加现代科学的管理手段，加强企业内外监督力度，优化监督机制，截断腐败现象发生的必经之路，通过完善的廉洁风险防范机制可以使供电企业的廉洁防范取得更好的效果，有利于企业的又好又快发展。国有企业所进行的廉洁风险防范是与党风廉政建设紧密呼应的，是对党风廉政建设的发展的继承，通过规范企业内所有员工的行为，对党风廉政建设起到支持的作用，也有利于供电企业的廉洁防范工作的展开。

二、供电企业廉洁风险防范的重要环节

2.1 深入学习，充分了解廉洁风险防控的科学内涵

廉洁风险防范是我党党风建设过程中运用风险管理论、木桶理论等科学管理理论所进行的有意义的实验，廉洁防范工作是企业管理的一个重要方面，要通过深入学习，对廉洁風险防范的科学内涵进行透彻的分析，首先就要对企业的员工进行思想工作，做好廉洁风险防范管理的宣传工作。要做好廉洁风险防范管理的宣传首先要在领导阶层达成共识，真正认识到廉洁风险防范管理的重要性，充分了解廉洁风范防控的科学内涵：是我国社会发展的必然要求，也是我党廉政建设的发展和补充。廉洁风险防范管理的宣传要由领导到员工，逐级的进行思想教育，在领导认同廉洁风险防范的基础上向广大干部职工宣传，可以通过印发宣传读物、组织专题讲座等方式进行讲解，确保全体职工能够真正的了解廉洁风险防控工作的科学内涵和重要性。

2.2 有的放矢，找准找全廉洁风险防控的重要部分

在供电企业进行廉洁风险防范管理的首要任务是要找出容易产生廉洁风险的重要工作部分，通过对企业内的风险部分进行排查，找出风险部分后采取措施加强对风险部分的防控管理。为了能够找准找全廉洁风险防控的重要风险部分，要结合供电企业的实际情况进行排查。第一、领导干部在排查风险部分时要起到带头作用，起到领导班子的模范作用，为全体员工树立廉洁风险防范管理的决心。在排查的过程中，要向特别容易产生廉洁风险的人事任用、重大投资项目运作等风险部分开刀，对这些风险部分进行彻底的排查，坚定企业廉洁风险防范的信心、决心。同时，对于员工的工作职责、业务质量也要进行排查，全面排查企业运行中所存在的风险部分，在排查的过程中党员要起到带头作用。第二、重要的风险部分要起到示范作用，企业中重要的项目投资都是企业员工目光聚焦的地方，在廉洁风险防范管理工作进行时，要首先对这些部分进行排查，起到带头示范作用。第三、实现全体企业员工的共同参与，做到企业管理的真正突破。通过全体企业员工的参与可以形成廉洁风险防范的良好氛围，养成人人自觉对风险部分进行监督、查找的习惯，促进企业的廉洁风险防范的风险部分的无一遗漏。

2.3 防控结合，落实到位廉洁风险防控的各项措施

廉洁风险防控的落实到位需要各项措施的具体实行，首先我们要加强企业员工的思想教育，我党一直强调党员思想工作的建设，把思想建设放在巩固党的地位的首要位置，同样的，要实现廉洁风险防控的落实也要把对员工的思想教育放在首位，使员工形成反腐倡廉的思想。其次，加强监督力度，创新监督制度。目前供电企业的电网改造、建设以及资金的投资都处于上升的趋势，大额的资金流动中潜伏着腐败发生的风险，因此，监督机构的监督力度关系着供电企业是否能够廉洁健康的发展，同时，监督机构要不间断的创新监督机制，对原有的监督机制中所存在的漏洞进行修补，充分发挥监督机构的作用。再次，要加强供电企业电网建设等主要工作面的管理，电网建设的质量关系着整个电网运行的好坏，所以在实际的操作中往往会出现以次充好的现象，我们要通过加强管理来杜绝此类事情的发生。最后，企业内要形成民主的管理氛围，使企业的每个员工都能感受到自身所拥有的权利和责任，促使员工在享受权利的同时也不忘自己的责任。民主管理也使得权力集中现象得到遏制，员工建议的通道更加顺畅。这些措施的切实实行，供电企业廉洁风险防控管理才能得到加强。

三、总结

综上，我们在供电企业中进行廉洁风险防范管理必须要认真学习廉洁风险防范所蕴含的科学内涵，通过总结工作中的实践经验，准确找出企业运行过程中存在的风险部分，采取各种措施，对风险部分进行有效的监督管理，防止腐败现象的发生。供电企业的廉洁风险防范管理的顺利进行对企业的良好发展有着重大的作用，也保障了群众用电的安全，符合我党所倡导的和谐发展的要求。

参考文献：

[1] 周金华.浅谈如何防范基层供电企业廉洁从业风险[J].世界家苑，2011，11（6）：72-74.

[2] 秦维.关于基层供电营业所廉洁从业风险防控管理的思考与实践[J].大江周刊：论坛，2012，13（4）：63-65.

[3] 王喜全.供电企业廉洁风险防控研究[J].管理学家，2012，19（22）：32-34.

大型原油码头关键部位的风险分析 篇7

某30万吨原油码头为开敞式码头, 码头周围船只较多, 非常靠近码头作业区域;且该海域冬天盛行偏西北季风, “突风”现象多发, 常出现7级以上大风, 最大风速可达11级。查询该海域的气象资料, 发现该海域雾日天气较多, 在每年的11月至第二年的2月份, 有超过50天出现能见度小于1千米的大雾, 油轮航行和锚泊的安全风险很大。

1.1 海上作业安全风险

原油码头的海上作业, 受自然环境、通航环境、操作设备和人员沟通、操作规范和交通管制等方面因素的影响, 存在船舶碰撞、火灾爆炸、设备事故、人员意外伤害、溢油污染等方面的安全风险。

1.2 陆域作业安全风险

油轮靠泊后, 码头作业人员必须规范进行系缆作业, 系缆工作完成后, 边防检查人员对进入码头和油轮的商检检验检疫、计量人员、货物等进行检查, 严防可疑人员携带易燃易爆品进入危险区。

在卸油流动过程中, 会产生大量静电, 在一定条件下会自燃或爆炸。特别是在雷电条件下, 更易点燃油蒸气引起燃烧爆炸。

1.3 消防稳高压系统风险

该码头地处渤海湾, 冬季气温可达-15℃以下, 从码头投产后冬季试运行的情况看, 消防稳高压系统无保温伴热设施, 冬季投用困难, 如果发生紧急情况, 存在应急时间延误风险。

1.4 设备管线腐蚀风险

该原油码头地处沿海, 海风大、气候潮湿, 极易产生化学或电化学腐蚀, 因此对设备管线选材、防腐工艺、施工方法、维护保养提出了更高的要求。

2 码头重大危险源辨识

根据《重大危险源辨识》 (GB18218-2000) , 单元内任一种危险物品的贮存量达到或超过其对应的临界量, 可把生产储存场所视为重大危险因素。根据重大危险源辨识标准可知, 原油属于易燃液体, 闪点在28℃和60℃之间时, 储存场所临界量为100吨, 显然, 几万或几十万吨的原油船舶的数量远远大于临界量, 码头管线原油计算后为900吨, 超过临界量。因此, 原油船舶和码头储存场所为重大危险源, 需要重点防范。

3 火灾爆炸事故事故树分析

导致原油码头火灾、爆炸事故发生的两个关键因素是可燃物料的泄漏和点火源或引火源的存在。

1) 原油泄漏:可能发生的泄漏部位或工序:船上货舱或附属设施发生泄漏;卸船作业过程中软管或输油臂处发生泄漏;卸船泵及输送管线发生泄漏;原油输送管道上阀门、输油管焊缝、法兰及丝扣等发生泄漏;管道上的补偿器发生泄漏;设备设施检修过程中发生的泄漏事故等;码头地基不均匀沉降, 导致管道破裂发生泄漏等。

2) 存在点火源:焊接、切割动火作业;作业现场吸烟;船上明火;机动车辆排烟喷火;电火花和电弧;雷击及杂散电流;机械摩擦和撞击火花;其它点火源等。另外在卸船作业时, 原油流经泵、管道、阀门等设备时, 由于管内原油流速过高, 易产生并积聚静电。如果管道的防静电措施不到位, 就会发生静电放电。

3) 环境危险分析:码头平台区域面积较小, 通过784米的引桥与海岸相连, 一旦出现火灾和爆炸, 人员的疏散将很困难, 极有可能带来严重的人员伤亡。

结合以上分析, 绘出火灾爆炸事件的事故树 (图1) 。

4 碰船事故树分析

1) 油轮靠泊分析:油船靠岸时若操作控制不当, 对护舷的撞击力会很大;系泊时如波浪过大, 油轮对护舷讲产生很大的挤压。所以船舶在码头靠泊条件不满足, 通讯出现不畅情况, 油船纵轴线与泊位轴线夹角不合理, 靠泊速度过快, 系缆操作失误等均可能会造成碰船事故发生。

2) 作业及环境因素:风、浪、流、能见度及拖轮配备达不到规范标准, 均会威胁到油轮作业安全。该码头多发7级以上大风较多, 码头区域来往船只多, 如果违反交通规则, 存在碰撞的可能。

3) 沟通协调:油轮码头靠泊作业要与海事、港航、引航和边检等多家单位进行必要的沟通协调, 如协调沟通不通畅, 则可能发生意外事故。

结合以上分析, 绘出碰撞事故事故树 (图2) 。

5 重大事故防范措施

油轮碰撞、原油泄漏和火灾爆炸是原油码头必需预防的三个重大事故, 防范重大事故的发生, 是原油码头安全管理工作的重中之重。

5.1 防范油轮碰撞

加强内外单位协调, 及时检查修复靠泊监控系统、系缆系统;油轮拖轮功率必须能满足匹配要求, 油轮船只动力系统和控制系统完好, 拖轮、油轮协调作业保证畅通;加强与海事部门的沟通, 对周边来往机动船只实行交通管制, 保证码头周边区域的交通安全;加强操作技能培训, 防止操作失误和协调指挥失误;加强对码头气候气象信息的收集, 针对可能发生的恶劣天气, 及早制定应急方案;严格遵守靠泊作业标准, 严禁在不具备作业条件时进行作业。

5.2 防范溢油事故

加强防腐保养, 30万吨原油码头都地处沿海, 海风大、气候潮湿, 极易产生电化学腐蚀。为了保证设备的使用寿命, 对防腐设计应提出严格的要求, 防止腐蚀泄露;加强对输油臂紧急脱离装置的检查, 保证该装置完好备用;风浪过大和能见度过低时停止作业, 尤其是在卸油作业时遇到6及以上的风浪, 要立即停止作业, 并将输油臂脱离;加强运行检查, 尤其是各连接部位的检查;控制卸油流量, 及时根据要求调整缆绳的松紧, 注意防止各种碰撞导致船体和管线的损坏。

5.3 防范火灾爆炸

严格执行焊接、切割动火作业安全制度, 禁止在作业现场吸烟, 进入码头的机动车辆戴防护罩并控制车速, 码头作业区使用防爆工具和灯具, 检查电缆绝缘完好。

对输油管路系统和进入港区作业人员做好防静电的措施, 所有措施均符合国家安全法规及标准, 移动消防设备和固定消防设备保证备用状态, 消防值班人员保证24小时监控到位, 坚持按照规定进行安全风险教育和实战预案演练, 确保应急处置及时准确。

6 结语

通过对该码头关键部位风险进行了危害分析, 按规范要求采取了相应的安全防范措施, 实现了连续4年无环境污染、火灾爆炸、碰船事故和无人员伤害事故。

参考文献

[1]龙海成等.曹妃甸30万吨原油码头溢油风险分析与防控[J].中国海事, 2009.

[2]曹鑫.油港储运安全评价和预警系统研究[D].武汉理工大学硕士论文.2008.

[3]郭志伟, 于顺安.油气生产危险源的评价方法研究[J].中国安全科学学报, 2006.

[4]姚安林, 刘艳华, 李又绿, 蒋宏业.国内外油气管道完整性管理技术比对研究[J].石油工业技术监督, 2008.

货币资金审计风险关键控制点分析 篇8

货币资金是企业进行生产经营必不可少的流动性最强的资产, 它具有支付和流通手段等职能, 涉及到整个经济业务循环, 频繁发生收付, 必然体现了对其控制的复杂性。主要表现有四个方面。一是货币资金犹如企业“生命体”中的血液。货币资金是现金流的主要表现形式, 它好比“生命体”中的血液, 若资金流中断, 则企业“生命体”特征就会结束, 因而, 货币资金是企业的生命;二是货币资金本身的支付和流通职能极易造成舞弊。在货币资金运动过程中, 货币资金作为金钱所拥有的“魅力”是最吸引人的, 人们往往对其具有强烈的占有欲望, 这是造成舞弊的最根本原因;三是增加了对货币资金完整性、存在性和真实性认定的难度。由于货币资金的收付较频繁, 容易出现错、漏等情况, 比其他资产更容易被盗窃、挪用和贪污, 它往往成为不法分子进行舞弊的首选对象。企业发生的各种舞弊现象也主要涉及到货币资金, 这就大大增加了对货币资金控制难度, 增加了审计风险;四是货币资金项目与其他项目的相关性。这主要体现在货币资金和筹资与投资循环、购货与付款循环、生产循环、销售与收款循环等都有着密不可分的资金循环对应关系。因此, 审计人员必须加强对货币资金的风险测试和控制, 在复杂的控制体系中, 探寻货币资金关键控制点, 对降低审计风险具有十分重要的意义。

二、货币资金关键控制点应实现的目标

关键控制点是指能够控制并使某一货币资金业务受某一因素的危害得到预防、消除或降低到可接受水平的某一点、某一步骤或程序。如果没有这些关键控制点, 业务处理过程很可能出现错弊, 达不到既定的控制目标。对货币资金关键控制点而言, 应达到以下控制目标。

(一) 保证货币资金收付业务的正确性

货币资金收付业务的正确性是指与交易和事项有关的金额已恰当记录。正确性是关键控制点所达到的最基本的要求, 具体主要包括两个方面。一方面, 按照货币资金管理要求办理货币资金收付业务, 正确计算和准确收支货币资金金额, 做到如数收付。另一方面, 企业不得提前或推迟入账, 或不按货币资金收付顺序记账, 使货币资金反映不正确的情况。同时, 账薄同凭证内容、金额要一致, 账务处理要正确。

(二) 保证货币资金的安全性和完整性

企业为确保其安全, 应建立和实施严密的保管措施, 严格执行库存限额制度和票据、章印的保管制度, 做到日日盘点现金, 超过限额的部分及时送存银行, 防止遭受丢失、盗窃和挪用等不安全情况, 保证货币资金所有的事项均已记录, 不存在任何遗漏, 主要包括各种收支及欠款回收业务是否均已按规定计入有关账户。同时, 通过检查销售、采购业务或应收账款、应付账款的收回和归还情况, 或余额截止日后入账的收入和支出, 查找未入账的货币资金。因此, 企业通过对关键控制点的把握, 达到对企业货币资金安全性和完整性的认定。

(三) 保证货币资金记录的真实性和可靠性

货币资金往往是舞弊者最终所要得到的财产, 舞弊者可以通过伪造、编造货币资金业务套取资金。真实性是指企业应当以实际发生交易或事项为依据进行会计计量、确计、记录和报告, 如实反映符合确计和计量要求的各项会计要素和其他相关会计信息。可靠性是指信息使用者在利用货币资金信息进行决策时完全可以信赖所提供的信息。只有当货币资金信息能够真实的反映它所反映的内容, 不偏不倚地表现货币资金实际情况, 才能认为是具有可靠性的。一个良好的关键控制点能够控制货币资金业务的真实发生, 并能控制与其发生是否相关, 从而达到货币资金真实性和可靠性的认定。

(四) 保证货币资金的合法性和及时性

合法性在于控制企业对货币资金取得、使用是否符合国家财经法规, 手续是否齐备。企业货币资金的保管和收付必须符合相关的法律法规规定。如:妥善保管结算票据, 专用印鉴和支票, 及时办理支票挂失, 严禁出租出借银行账户和转账支票, 严格按不同结算方式的使用范围和结算程序, 及时办理结算手续, 避免逾期、误期拒付、透支存款以及结算方式不当等, 从而保证货币资金业务的及时处理和合法性。因此, 企业通过对货币资金关键控制点的控制, 可以达到对货币资金合法性和及时性的认定。

三、货币资金关键控制点探寻方法

审计人员探寻货币资金关键控制点的方法主要采用符合性和实质性测试相结合的方法, 在测试过程中应注重科学性和合理性。

(一) 货币资金符合性测试

为防范货币资金的审计风险, 审计人员应首先对货币资金进行符合性测试, 主要是对货币资金业务内部控制制度的健全性和有效性进行测试。结合货币资金的特点, 审计人员进行符合性测试主要包括两个方面。一方面是了解货币资金内部控制是否建立健全。审计人员可以通过询问、观察、检查和重新执行等手段收集必要的资料, 主要包括:货币资金的收支是否按规定的程序和权限办理;是否存在出租、出借银行账户的情况;是否存在与被审计单位经营无关的款项收支情况;出纳与会计的职责是否严格分离;库存现金、空白支票是否妥善保管;是否定期盘点、核对;是否定期取得银行对账单并编制银行存款余额调节表;是否建立库存限额制度, 超过限额的资金是否及时送存银行等;另一方面是了解货币资金内部控制是否有效执行。被审计单位内部控制建立健全了并不等于就起到应有的相互牵制、相互制约, 防止舞弊的作用。如果内部控制建立健全, 但没有有效执行, 内部控制就如同虚设。只有建立健全并有效执行才能起到应有的制约和促进作用。对于货币资金来讲, 有效执行内部控制制度更为重要, 审计人员应选择适当类型的审计程序以获取有关控制运行有效性的保证, 尤其是仅实施实质性程序无法或不能获取充分、适当的审计证据时, 审计人员应当获取有关控制运行有效的更高保证水平的审计证据。如:检查收付业务凭证中是否有经办人的签字;是否盖有收付讫字样;是否有复核人员签字;是否有领导的批准和签字;是否有出纳和会计人员的签字, 出纳和会计是否为同一人等。当审计人员通过询问和观察程序不足以测试此类运行控制的有效性时, 还需要检查能够证明此类控制有效运行的文件和其他会计资料, 以获取更充分、适当的审计证据。

(二) 货币资金初步评价

初步评价货币资金的内部控制测试结果, 为实质性测试奠定基础。审计人员在完成上述程序之后, 即可对货币资金的内部控制进行初步评价。通过对被评价单位内部控制的调查和描述, 来测试其控制环节和措施是否符合理想的控制模式, 并以此作为对内部控制初评的依据, 以便据以确定是否进一步需要进行符合性测试以及如何恰当确定实质性测试的内容和范围。初评的内容主要包括健全性和合理性两个方面。健全性主要是评价应有的控制环节是否设置齐全;关键点是否都设立了强有力的内部控制;控制系统中是否存在薄弱环节。合理性主要分析内部控制的布局是否合理, 有无多余的和不必要的控制;有无把一般控制点误作为关键控制部位;控制职能是否划分清楚;人员间的分工和牵制是否恰当。评价时, 审计人员应首先确定货币资金内部控制可信赖的程度以及存在的薄弱环节和缺点, 然后据以确定在货币资金实质性程序中对哪些环节可以适当减少审计程序, 对哪些环节应增加审计程序并作重点检查, 以有效提高审计效率。同时, 通过上述审查, 审计人员初步判定被审计单位的固有风险和控制风险, 从而控制检查风险至可接受水平, 防范和降低审计风险。

(三) 货币资金实质性测试

实质性测试是指用于发现认定层次重大错报的审计程序, 是在符合性测试的基础上, 运用盘点、函证、观察、查询及计算、分析性复核等方法, 对会计报表货币资金项目金额进行的实证性测试。包括对各类交易、账户余额和披露的细节测试以及实质性分析程序。无论对被审计单位风险评估的重大错报风险结果如何, 审计人员都应当针对所有重大的各类交易、账户余额和披露的细节实施实质性测试。针对货币资金, 审计人员主要进行如下实质性测试:一是采用统计抽样法进行抽样。审计人员应选取适当的收付款凭证作为样本量, 并运用查阅法、复算法和核对法等进行审查。审查的重点应包括以下内容:核对现金和银行存款日记账的收入金额是否正确;核对收款凭证与应收款明细账的有关记录是否相符;核对实收金额与销货发票是否一致;检查付款的授权批准手续是否符合规定;核对现金和银行存款日记账的付出金额是否正确;核对付款凭证与应付账款明细账的记录是否一致;核对实付金额与购货发票是否相符。二是对货币资金进行核对。核对主要包括账证核对、账账核对、账表核对和账实核对。审计人员应抽取一定期间的现金和银行存款日记账, 检查其有无计算错误, 并与其总分类账核对。三是进行复核。为认定银行存款记录的正确性, 审计人员必须抽取一定期间的银行存款余额调节表, 将其同银行对账单、银行存款日记账及总账进行核对, 确定被审计单位是否按月正确编制并复核银行存款余额调节表。四是检查外币银行存款的折算方法是否符合有关规定, 选择采用的汇率方法前后各期是否一致。银行存款中外币存款的增减变动是否按一定的汇率标准折算为记账本位币, 折算差额的会计处理是否正确。

四、把握关键控制点, 降低审计风险

在货币资金控制群中, 审计人员运用科学合理的审计方法, 通过对关键控制点应达到的控制目标, 把握起着重要控制作用的关键控制点, 从而降低审计风险至可接受水平。

(一) 不相容职务分离控制

不相容职务相互分离控制是货币资金控制群中的关键控制点之一。财政部发布的《内部会计控制规范》中, 提出了“不相容职务分离”的问题。所谓不相容职务是指那些如果由一个人担任, 既可能发生错误和舞弊行为, 又可能掩盖其错误和弊端行为的职务, 它的核心是“内部牵制”, 其目的在于避免或减少发生差错和防止舞弊而要求控制的关键控制点。被审计单位应针对货币资金业务的岗位职责、业务量、财务人员的构成情况以及企业财务管理的需要, 合理制定财务组织机构和工作人员分配方案。在现有的财务人员中, 企业安排岗位必须考虑不相容职务的相互分离, 主要有:货币资金业务的授权者、审核者、记录者与执行者相互分离;货币资金的保管者与同一资产或有关交易的记录者和报告者相互分离, 保管者还必须与相关交易的批准者分离, 交易的批准者必须又与同一交易或相关资产的记录者和报告者相分离;总分类账与明细分类账和日记账的记录者应当分离;印鉴和钱、账应分管;确保办理货币资金业务的不相容岗位相互分离、制约和监督。因此, 审计人员在货币资金审计过程中, 重点检查是否存在货币资金业务不相容岗位混岗的现象, 防范货币资金业务不相容职务没有得到控制所带来的风险。

(二) 授权批准控制

授权批准控制是货币资金关键控制点的基本控制点。在授权批准关键控制点上, 被审计单位首先应对货币资金业务建立严格的授权批准制度, 明确审批人对货币资金业务的授权批准方式、权限、程序、责任和相关控制措施;第二, 规定经办人办理货币资金业务的职责范围和工作要求;第三, 审批人应当根据货币资金授权批准制度的规定, 在授权范围内进行审批, 不得超越审批权限;第四, 经办人应当在职责范围内, 按照审批人的批准意见办理货币资金业务;第五, 对于重要货币资金业务, 被审计单位应当实行集体决策和审批, 并建立责任追究制度;第六, 严禁未经授权的机构或人员办理货币资金业务或直接接触货币资金;第七, 被审计单位审批控制点是否与经办、审核岗位相互分离。被审计单位应通过审批权限、限额制度与控制流程及岗位相互牵制作用的控制点相配合, 形成一个较为严密的货币资金控制体系。因此, 审计人员在审查货币资金业务核算和监督管理过程中, 必须认真审查货币资金的收付款凭证, 以及货币资金授权批准制度的执行情况, 检查重大货币资金支出的授权批准手续是否健全、是否存在越权审批行为, 防范潜在审计风险。

(三) 保管控制

保管控制是货币资金的关键控制点之一, 审计人员应重点关注货币资金的保管控制情况。一是企业的库存现金的保管, 有无建立库存限额制度, 库存限额的建立是否符合《会计基础工作规范》的规定, 超过库存限额的现金是否及时送存银行, 是否专门设保险柜进行保管;二是使用现金的用途是否符合库存现金使用范围的规定;三是票据管理。被审计单位应明确各种票据的购买、保管、领用、背书、转让、注销等环节的职责权限和程序, 并专设登记簿进行记录, 防止空白票据的遗失和被盗;四是对银行预留印鉴和印章的管理。财务专用章应由专人保管, 个人印章必须由本人或其授权人员保管, 严禁一人保管支付款项所需的全部印章。在现实工作中, 有的单位图一时使用印章方便, 把票据和印章都交由一人保管, 埋下隐患;五是银行账户的保管。企业是否严格按照《银行账户管理办法》设立开户账号, 有无外借单位银行账户的情况, 有无私自利用单位印鉴章在其他银行开设存款账户, 同时要求付款单位将欠款或销售收入款转至私设的户头上, 从而达到截留公款的目的, 埋下因保管控制不当产生的审计风险。

(四) 盘点清查控制

货币资金是流动性最强的资产, 这一特点是滋生违法行为的直接诱因。审计人员对其盘点主要目的在于检查货币资金账实是否相符, 也可以审验被审计单位是否非法占有和挪用货币资金。因此, 盘点清查控制也是关键控制点之一。对货币资金的盘点清查控制主要包括以下几个方面, 一是盘点前必须保证相关业务已完整记录;二是每笔货币资金的收付都必须经会计人员认真审核, 审查其手续是否完备、数字是否准确、内容是否合理合法, 有无坐支情况;三是对货币资金定期进行盘点清查, 做到帐实相符。对库存现金主要采用实地盘存制进行盘点, 在盘点中注意有无白条抵库的情况。盘点后编制库存现金盘点表, 并作为调整账面余额的依据;四是谨防票据套现, 严格按照《票据管理办法》规定的开支范围界定其开支的合理性, 尤其注意一笔开支是否有化整为零和连号发票的情况。还应对各种票据的实存数与账面数进行核对, 注意各种票据的保管以及有无开空头支票的行为;五是查看保险柜, 看是否存在违规存放现金的现象, 确保现金存放安全和保险柜的正确使用;六是对清查结果的处理是否已查明原因, 是否已经得到领导审批后才作相应的账务处理。因此, 盘点清查关键控制点能使货币资金达到安全、完整的控制目标。

(五) 核对控制

银行存款核对控制主要是通过企业的银行存款账面余额与银行对账单进行核对。核对是货币资金审计中必要的实质性测试程序, 最终编制银行存款余额调节表, 其直接目的也在于检查账实是否相符。但应注意的是它与现金的盘点方法不一致, 而且银行存款余额调节表只是起到调平的作用, 不能作为企业调整银行存款账面余额的依据。在审计过程中, 审计人员往往直接对银行存款及银行对账单进行核对, 然而, 针对目前财务造假呈现的新动向, 审计人员应该首先对银行对账单真伪进行辨别, 这是核对银行存款真实性的基础, 这项工作可以通过到银行获取银行对账单, 或者通过函证的方式加以解决。在鉴别银行对账单真伪后, 具体核对过程中还应注意以下几点:一是有无银行长期未达账项, 可能存在隐瞒收入, 挪用资金等问题;二是有无资金收付不记账, 即所谓的“空中飞”转移资金;三是关注大额现金收付记录。检查现金管理规定中除了发放工资、奖金、福利、津贴和劳务报酬、领取备用金等几种情况外的大额提取现金和收取现金的记录, 检查企业是否有意隐瞒现金的真实来源或者去向, 有无利用现金结算方式进行舞弊;四是关注相近时间, 一笔大额资金转入, 随后分若干笔转出或提取现金的交易;五是按照《会计基础工作规范》的要求, 被审计单位是否每月一次对银行存款和资金往来业务进行核对。被审计单位应通过与银行、客户进行核对, 及时发现挪用、贪污货币资金等违法行为, 以评价清欠货币资金是否及时入账或货币资金还欠收付业务是否真实, 从而达到关键控制点所应达到的真实性、合法性和及时性的控制目标。

(六) 轮岗制度控制

轮岗制度控制也是十分重要的关键控制点之一。因为企业在良好的货币资金内部控制下, 如果两个或两个以上不相容职务上的财务人员出现相互勾结、共同舞弊, 就可能使内部控制机制失效。因此, 无论企业是否已建立健全货币资金内部控制, 还得必须实行定期轮换岗位。实行定期轮岗, 可以使财务人员接触新业务、掌握新知识, 并使其经验更全面, 阅历更丰富, 综合能力得到进一步提升。同时在防范货币资金风险上还有利于以下几个方面:第一, 使常年不“挪窝”易滋生的懒散习气和小团体势力得以克服和抑制, 还可能使一些长期隐蔽的违法犯罪活动因人事变动、新人接手而暴露或揭示出来;第二, 轮岗能控制企业风险。长期在一个岗位工作, 员工能够积累很多资源, 不仅容易受人情、关系的束缚, 更有可能滋生贪污腐败的苗头。而实行轮岗制度, 则可以防微杜渐, 不但可以预防腐败而且可以规避因资源被个人垄断而对企业利益形成的潜在威胁;第三, 能在一定程度上铲除滋生腐败现象的温床, 有利于抑制不正之风, 遏制贪污。实行轮岗不仅给个别掌权人妄图贪污设置了障碍, 也强化了相互监督、相互制约的力度, 使国家在财务管理方面的法律、法规、制度得到更好地落实;第四, 可最大限度地防止单位行政领导与会计人员串通弄虚作假、乱挤乱摊成本、虚增利润等违法行为的发生, 增强会计监督效能, 降低风险。因此, 轮岗控制能起到相互牵制、相互制约, 实现关键控制点所能达到的合法性、真实性和可靠性目标。

(七) 职业道德控制

职业道德控制是货币资金关键控制点中的最高控制点, 它往往被企业所忽略。职业道德不仅调整会计人员的外在行为和结果的合法性, 还调整财务人员内在的精神世界。它源于财务人员的职业生活和职业实践, 存在于人们的意识和信念之中, 并依靠社会舆论、道德教育、传统习俗和道德评价来实现。在职业道德关键控制点上, 首先, 企业如何把住财务人员的任用至关重要。企业在引进财务人员和聘用岗位时, 不但要注重其专业技能素质, 还要考察其职业道德素质。在具备一定的专业技能素质条件下, 只有把政治思想好、道德素质高、诚实守信、恪守准则、廉洁自律的财务人员选拔到货币资金关键控制岗位上, 才能保证货币资金管理与控制的有效性。其次, 要不断提高财务人员特别是货币资金管理人员的后续职业道德教育和职业道德修养。因为我国经济体制正处于转型时期, 先进与落后的道德思想并存, 企业必须通过教育、灌输和培养, 使先进的道德思想发扬光大。再次, 通过自我教育、自我约束实现潜在控制。对货币资金管理而言, 企业必须培养财务人员的道德觉悟, 这一过程的形成是要经过一个非常复杂的自我磨炼的过程。同时, 还可以通过强化财务人员自身修养、自我改造, 提升财务人员的道德认知、道德情感、道德信念、道德行为等内在作用, 从财务人员身心上防范货币资金风险。

参考文献

[1]翟立文:《货币资金内部会计控制方法》, 《经济研究导刊》2012年第21期。

[2]周冉冉:《浅析企业货币资金控制问题及对策》, 《财会通讯》 (综合·上) 2012年第8期。

网络安全风险评估关键技术研究 篇9

网络的实时性、便捷性极大了满足了信息时代人们对于信息处理与接收的需求, 许多日常生活中的活动被转移到网络上来进行, 不仅能够收到很好的效果, 而且大大的降低了活动运作所需的成本。网络的高度开放是网络的最大特点, 无论是谁, 都能能很方便的参与到其中, 任何个体或者团体能够更加便捷获得所需要的信息, 与此同时其双刃性也表露无疑。在普遍创造财富和为社会贡献的同时, 也有一部分人利用网络的这一特点窃取信息数据, 进行非法活动, 不仅造成巨大的经济损失, 而且带来的极为不好的社会影响。随着网络技术的发展, 网络安全也日益成为人们关注的焦点, 网络安全所涉及的已经不仅仅是个人利益的得失, 它更加关系到集体乃至国家社会的安全与稳定。近年来, 黑客攻击事件频频发生, 加之人们网络安全意识淡薄, 更加没有安全漏洞防范意识, 由于网络风险带来损失的时间比比皆是。

2 网络安全风险评估技术

2.1 网络安全和风险评估

网络安全的具体定义是有一定的指向性的, 对于不同的个体其意义有所不同。针对一些个体而言, 网络安全就意味着信息的完整性和机密性, 以及其传输过程中的安全等等, 避免被冒用信息以及一些访问权限的破坏。而对于一些管理及安全部门, 应当尽量避免一些重要的信息的泄漏以及一些重大缺陷的产生, 尽量减少对其所涉及全体的伤害和损失。从整个社会的意识形态角度出发, 其涉及的内容主要是网络上传播的内容以及其对整个社会氛围的影响。网络安全归根结底就是其所涉及到的信息的安全, 以及其所提供的信息的可靠性。网络信息能够在既定的时间完成其使命直接关系到网络信息的可靠性。虽然整个网络具有极大的开放性, 但其所涉及的部分信息的保密性也是十分重要的, 在信息的整个寿命过程中, 应保证其安全且未泄漏给其他未经过授权的个体。网络上的信息必须应该保证在可控范围之内, 一旦发生失误, 应当保证能够对其进行及时的控制。

网络面临威胁时, 应当及时做出处理, 避免出现更大的损失。在整个运行过程中, 应该尽量避免人为的失误带来的安全风险, 应当尽量加强个体的安全保护意识。建立防控机制及实时监测机制, 对外界的恶意攻击做出最及时的反应, 将危害降到最低。还应定期对网络的安全漏洞进行监测, 一经发现应及时进行修复和处理。

安全风险评估主要是对既有信息价值的评估、脆弱性判别以及对潜在威胁的判断, 对安全措施的测试, 建立风险预测机制以及等级评定标准, 以便对风险的大小做出评价。安全风险不仅存在于网络信息中, 网络设备中也可能存在安全风险。对于自己的网络资产应首先做出合理的评估, 真对其价值的大小对其可能受到的威胁做出评估, 真对自身的脆弱性即网络漏洞做出合理的风险评估, 在避免资源浪费的情况下最大限度的提高安全性。

2.2 关键技术

网络技术飞速发展的同时, 相应的网络安全技术也得到了相应的提高, 许多企业已经形成一套有效的网络安全防护体系, 通过防火墙来完成内外网络之间的信息利通检测, 对内部网络实施实时监测和防护体系。防火墙不能对因自身漏洞而绕过的攻击进行防护清理。此防护体系虽然较为成熟, 但是有防火墙自身的局限性, 以及整个防护系统由内而外的防护特性, 致使网络安全依然无法得到保证, 所以应当加入安全风险评估系统作为其不足的一种补充, 及时对内部潜在的隐患做出相应的调整。

网络扫描技术是安全风险评估中最常用的技术手段, 能够对网络动态进行实时监控并且收集相关信息。网络安全扫描技术是一门新兴起的技术, 较原有的方法更为主动, 能够有效的提高网络安全系数, 降低网络安全风险。与原有的防护机制相比, 网络扫描技术是一种主动出击手段, 能主动的对网络安全隐患做出预判, 及时做出反应, 提前对外界的恶意攻击行为进行防范。

网络安全扫面技术可以针对不同的对象, 一般包括主机、端口和一些潜在的网络漏洞。

对主机进行扫描是信息采集整合的最初阶段, 其完成效果直接影响到以后需要进行的步骤。主机扫描主要是通过ICMP协议 (网络控制信息协议) 来对信息记性判断, 由于系统自身的防护体制经常将其设置为不可用, 所以可以通过此协议所提供的被禁用信息来判断。可以通过Ping功能向需要扫描的目标发送一定数量的信息, 通过是否得到回复来判断目标是否可达或者发送的信息被目标屏蔽。还可以向目标发送IP数据包, 提供错误包头, 通过目标反馈的信息并集合其他技术手段来对目标的网络访问控制列表进行初始判断。对于被防火墙等防护系统保护的目标, 不能从外部直接进行触探, 可利用反响映射探测技术对其进行有效的监测。当某个位置目标的内部结构需要被探测时, 可以向未知目标发送信息数据包, 通过目标做出的反应来进行判断, 如未收到相应的信息报告, 则判断此IP地址在该网络区域内, 由于相应设备的影响, 此方法的成功率也受到影响。

端口为潜在的信息通道, 也可称为外界对系统进行攻击的通道, 通过对端口进行扫描能能够收到有利的分析信息, 了解目标内部与外部进行交互的内容, 从而发现潜在的漏洞, 能够有效的提高安全风险防范等级。通过向目标发送相应的探测信息包, 对目标做出的反应进行整理分析, 从而判断所探测的端口是否开放或关闭, 并能整合端口提供的信息。一般的端口扫面方式有全连接, 半连接或FIN扫描。也可进行第三方扫描, 来判断目标是否被控制。

网络漏洞扫描也是一种常用的网络安全扫描技术。网络漏洞扫描的手段主要有两种:通过对端口进行扫描得到的相应信息, 来和已有的网络安全漏洞数据库进行比对, 从而判断网络漏洞的存在与否;还可已通过直接测试来获得网络漏洞的信息, 即直接运用黑客的方法对目标实时网络攻击, 如果攻击有效则可获得目标的网络安全漏洞信息。通过以上方法获得安全漏洞信息后, 应及时做出处理, 关闭相应端口或者进行相应的维护, 保证端口的安全。部分安全工具虽然能够解决个别有针对性的安全问题, 但是缺乏全面性, 不能提供有效的安全服务, 应加强大众安全风险防护意识, 加强网络安全评估系统建设已解决网络安全问题。

摘要：随着社会的进步和生产力的发展, 新型技术都得到了突飞猛进的发展, 在这个信息化时代, 人与人之间的联系显得尤为重要, 网络的产生于发展大大提高了沟通的效率, 为人们提够了极大的便利。但与此同时, 网络安全风险问题也越来越成为人们关注的焦点, 因为他之间关系到人们的切身利益。基于网络安全风险的科学技术研究能够为普通用户及企业提供更可靠的安全保障, 减少由于风险带来的损失。

关键词：网络安全,风险评估,关键技术

参考文献

[1]刘雪娇.网络脆弱性评估及入侵报警分析技术研究[D].华中师范大学2011.

[2]钟尚勤.基于主机攻击图的网络安全性研究[D].北京邮电大学2012.

[3]马杰.网络安全威胁态势评估与分析方法研究[D].华中科技大学2010.

[4]刘毕升.车用自组织网络的安全与隐私的关键技术研究[D].复旦大学2011.

[5]苘大鹏.网络系统安全性评估技术研究[D].哈尔滨工程大学2009.

[6]叶云.基于攻击图的网络安全风险计算研究[D].国防科学技术大学2012.

关键信息基础设施风险管理研究 篇10

网络安全工作按照网络安全事件发生的时间顺序可以分为事前、事中、事后三个阶段,针对于事前的工作内容是以预防性工作为主,主要包括以网络安全等级保护为代表的合规性工作和风险评估,事中的工作内容主要包括应急处置,事后工作的主要内容为灾难恢复。合规性工作主要侧重于信息系统是否符合最基本的网络安全要求,但在网络空间的双盲对抗过程中,如果一方知道对方的攻击或防护策略,将总有办法实现在对抗过程中的胜利。由此可知,合规性的工作仅仅是网络安全事前工作的一个主要方面,仅能实现一个基本性的安全。只有将网络安全风险管理的思想运用到关键信息基础设施保护工作中,积极开展风险评估,并不断依据评估结果调整网络安全防护策略,才能有效规避风险,实现网络空间对抗中的优势。

2 美国关键基础设施风险管理体系

美国自2009年《国家关键基础设施保护计划》(NIPP)发布以来,一直将风险管理作为保护关键基础设施安全和可恢复性的基础,尤其是在2013年修订时,提出更新关键基础设施风险管理框架,专门提供了一个补充说明,描述了关键基础设施管理的实现方法。图1中描述了风险管理框架,包括设定目标和目的、识别关键基础设施、评估和分析风险、实施风险管理活动、评价等五个方面的循环。

此外这个风险管理的框架支持区域、州和城市地区在其司法管辖区域内进行威胁和风险识别和风险评估(THIRA)。THIRA包括根据当前的能力和所需资源识别威胁和风险以及它们将如何影响公众,并确定如何最好地减轻这些威胁和风险。以下对这五个方面进行分析。

2.1 设定目标和目的

在这一方面,定义具体的成果、条件、终止点或总体描述预期效果和所需的风险管理状况的性能指标。目标和目的一般会根据外部风险环境、操作环境、特定行业、关键基础设施类型等因素的不同而不同。国家级关键基础设施风险管理的总体目标是通过各部门和各级政府对风险管理活动的集中实施来实现国家级关键信息基础设施的安全性和可恢复性。在NIPP包括以下目标和目的:

(1)评估和分析关键基础设施面对的威胁、脆弱性,以及可能产生的后果,向风险管理活动提供信息;

(2)通过可持续的努力,保护关键基础设施免受人为、物理和网络空间的威胁,同时估算安全投资的成本和收益;

(3)通过预先规划和缓解措施,尽量减少事件的不良后果,同时采取有效应对措施以确保生命安全以及基本服务的迅速恢复,增强关键基础设施可恢复性;

(4)在关键基础设施所有者间共享有效和相关的信息,建立意识并做出基于已知风险的决定;

(5)在事件发生期间和之后加强学习和适应。

2.2 识别关键基础设施

出于各行业独特的情况,以及运营者运营模式和风险的不同,各方对于关键基础设施的关键性看法是不同的。一些部门会识别出政府和行业合作伙伴联合运营的区域、州和本地的重要基础设施。私营业主和运营商可能会识别出保持业务正常运行、为客户提供产品和服务的基础设施。同样,州、地方等政府可能识别出对确保公共健康和安全、基本服务提供的基础设施。故关键基础设施分为国家级、行业级、地方级等。国土安全部国家关键基础设施优先项目(NCIPP)识别对于国家至关重要的基础设施,以支持联邦政府及其关键基础设施合作伙伴做出风险决策。通过这一过程识别的关键资产、系统和网络一旦破坏或中断,可能会导致一系列重大伤亡、重大经济损失或对国家的福祉和治理能力普遍和长期的影响。NCIPP从州、关键基础设施所在部门和其他国土安全伙伴提供的信息中标识、收集并对关键基础设施设定优先级。

2.3 评估和分析风险

国土安全风险可以根据其可能性和潜在的后果来评估。一般性定义、场景、假设、指标和过程可以确保风险评估有助于关键基础设施伙伴之间相互理解。风险管理方法支持可靠的评估策略、基于场景的后果和脆弱性评估,以及假定威胁或风险发生可能性的评估等。如补充说明的介绍中所述,重要的是考虑风险被威胁或危险的性质和程度所影响、面临威胁或危险时的脆弱性,以及有可能导致的后果。关键基础设施的风险评估可以明确地考虑所有这些因素,但不量化地去做。在开展评估时,分析人员谨慎地处理风险,以表达威胁和脆弱性之间的相互依赖性和关联性是如何计算的,以确保结果的可靠和有效。对于所有资产、系统或网络,都使用最复杂的风险评估模型和模拟所达到的详细级别和特殊程度不现实也不必要。在这种情况下,一个简化的、基于专家判断的依赖性和相互依赖性分析对于及时做出合理的风险管理决策已经足够。

2.4 实施风险管理活动

关键基础设施所有者和经营者将使用关键基础设施风险评估的结果,建立风险管理重点。比较和排序不同实体所面临的风险,有助于识别最需要降低的风险,确定最具成本效益的风险管理选择,支持资源分配决策(例如,哪儿应该制定风险管理计划),指导投资这些项目,并突显提供最大投资回报的措施。

关键基础设施合作伙伴根据他们特定的权力范围、部门需求、风险环境、安全方法和商业环境,在选择风险管理活动时采用不同的方法,例如:所有者和经营者、联邦机构、国家和地方政府都有不同的选择来减少风险。关注物理资产优先可能适合风险显著集中在设施、当地环境和物理攻击方面,特别是那些可被利用作为武器的关键基础设施。关注功能优先对于那些需要在事件发生时和发生后确保业务的连续性的部门可能更有效,这些关键基础设施的复原力远比物理保护和关键基础设施的加固更重要。为减少关键基础设施风险的项目,将优先考虑投资安全的实物资产或者确保虚拟系统的复原力,这取决于哪种选择能使关键基础设施风险管理最具成本效益。

2.5 评价措施有效性

使用性能指标是关键基础设施风险管理过程中一个重要的步骤,以评估关键基础设施安全性和可恢复性的改进。性能指标允许合作伙伴依据他们的目的目标跟踪重点进度。关键基础设施指标是关键基础设施社区建立问责制、记录实际表现、促进有效管理、提供反馈机制制定决策的基础。

国家的目标专注于风险管理、共享态势感知和国家灾备,将有效评估进展作为核心,提供一个对所需自愿合作的“最终状态”的共同理解,是共同努力实现的目标。通过开发一个涉及广泛关键基础设施合作伙伴的参与式过程,一套补充的国家重点将说明广泛行动路线对于实现国家目标是必须的。

3 日本关键信息基础设施风险管理体系

3.1 认同风险管理的基本观点

日本希望关键信息基础设施运营者能够认同国际通用的风险管理过程框架,如图2所示。

3.2 风险管理的支撑

对于每个关键信息基础设施运营者分别开展的风险评估无法全面把握的活动。跨部门的研究分析和信息交流由内阁秘书处负责,以支持关键信息基础设施运营者实施风险管理。

内阁秘书处分析在关键信息基础设施部门所处环境发生变化的情况下,主要设施和技术的状况和趋势,以及主要设施和技术固有的风险源、来自风险源的新风险,同时考虑各项研究分析的有效性、与其他政策的相互作用,以及向关键信息基础设施运营者提供的研究分析的效果。

同时,内阁秘书处还负责关键信息基础设施保护利益相关者之间、有利于跨部门信息和意见交流的风险沟通和协商。

3.3 明确各利益相关者工作

日本在其《关键信息基础设施保护基本政策》(第三版)中,以矩阵形式明确了各利益相关者的工作,包括内阁秘书处、关键信息基础设施保护责任部门、关键信息基础设施运营者和CEPTOAR(保护设计、技术操作、分析和响应能力,以及为关键信息基础设施运营者提供信息共享和分析功能的组织)在政策制定、保护实施、信息共享、应急处置等各项措施中的具体工作。

4 我国网络安全风险管理现状

我国风险管理工作起步较早,先后发布了一系列的标准和政策。具体风险管理标准见表1。

政策方面包括:《关于开展信息安全风险评估工作的意见》、《国家电子政务工程建设项目管理暂行办法》、《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》等。

这些技术标准、政策的颁布,初步建立起了我国风险管理工作的基本框架。

5 我国关键信息基础设施风险管理体系构想

5.1 建立关键信息基础设施风险管理框架

在国家层面,应当制定风险管理框架,给出通用方法,指导标准的制修订。宣贯风险管理框架,使关键信息基础设施运营者、行业主管部门及其他相关方对风险管理有充分和一致的认识,为风险管理的逐渐深入和广泛实施奠定基础。

在行业层面,应依据风险管理框架,增加适用的行业标准和最佳实践,得出符合本行业实际、细化、可操作的行业风险评估和分析方法,供本行业关键信息基础设施运营者参考。

5.2 设定安全保护目标

国家关键信息基础设施安全保护的目标可以包括对关键信息基础设施面临的威胁、脆弱性和后果有全面感知和综合分析;为各层次风险管理提供有效信息和知识,建立广泛、高效和准确的共享机制;建立关键信息基础设施及相关方之间的有效沟通和协调;提供验证有效的风险管理方法和可持续的资源选项;促进事件发生期间和之后的学习和安全措施的改进等。

同时,各行业根据国家目标细化生成本行业目标,考虑本行业业务特点、网络和信息技术应用实际状况、所处环境、已有工作基础等因素,有针对性地制定安全保护目标,反映行业内关键信息基础设施及相关方单独或集体力求达到的保护目的,并将国家目标进行明确、可衡量的目标项分解,便于行业内关键基础设施运营者采用或依据目标进行定制裁剪,对国家安全保护目标有所贡献。

5.3 识别关键信息基础设施

国家层面编制关键信息基础设施识别认定指南,建立关键信息基础设施目录动态管理制度,授权专门机构负责关键信息基础设施目录的维护和更新,并以恰当的方式和范围使运营者和必要的相关方知悉目录。

在国家指导下,行业根据识别认定指南,确定适用本行业的识别方法和必要的业务功能、性能域值,关注跨行业、跨区域的设施间的相互依赖和影响,关注可能会包括涉及多个部门的设施,按照设施或设施群所提供的服务对于国家重要性,确定设施优先级,确保清单数据结构准确、及时。

5.4 评估和分析风险

国家可充分利用已有工作机制和工作成果,包括等级保护等各职能部门的监督检查结果,综合分析行业年度风险评估报告,判断威胁和风险变化趋势,形成年度威胁和风险报告。安全风险评估和分析应充分依靠专家委员会的力量,指定专门队伍参与和实施,关注设施间和行业间风险的相互影响分析。对于国家层面或普遍适用性的风险及其可能的后果,如环境变化、新技术新应用带来的新的威胁等,进行专门研究并及时分享研究成果,用以指导行业和设施运营者的评估和分析。国家层面可以为行业和设施运营者风险评估和分析提供技术队伍、评估工具和培训课程等资源列表。

行业应定期开展行业级的风险评估,形成年度行业威胁和风险分析报告。在进行风险评估和分析时,应开展关联性分析,尽可能充分地沟通和咨询有依赖性和互依赖性的行业和其他相关方。在分析后果时,需要同时考虑直接和间接的影响,特别是由于相互依赖性造成影响的两面性。

5.5 确定优先保护措施并实施

应用国家关键信息基础设施风险评估的结果,国家可以确定安全保护措施的优先级,选择成本效益高的措施作为实施重点,调动国家资源,实施优先保护措施。

同时,行业也可以避免简单地减少系统漏洞,而是选择最大投资回报的预防、保护、缓解、响应和恢复活动。行业主管部门应更关注能够改善整个行业安全状况的体系化措施的实施,如软件开发过程的控制、重大项目上线前的安全风险评估、安全可控产品和服务的推广、统筹规划的灾备中心等,并将通用性措施形成最佳实践进行推广。

5.6 评价措施有效性

关键信息基础设施保护措施不是一成不变的,国家可以每年对关键信息基础设施保护工作进展情况进行检查评估,重点检查各项保护工作的实施情况和保护效果,对国家关键信息基础设施保护总体能力提升的作用、国家目标的实现程度等,设定量化指标,跟踪重点工作的进展情况,记录实际效果,以评估的结果更新或补充国家目标,调整措施优先级。

行业也可以评估行业保护措施实施情况和实施效果,安全性改进程度。对于与国家目标重点相关的措施,应以便于国家量化评价的方式提供评估报告。沟通和评估有依赖性和互依赖性的其他行业和相关方的网络安全保护目标实施情况对本行业的影响,根据国家目标和措施的调整和各项评估结果,指导本行业政策和措施的调整。

6 结语

关键信息基础设施保护是一个系统工程,美国、日本等发达国家通过长期的探索和实践,已经取得了一定效果。我国《网络安全法》将自2017年6月1日起施行。《网络安全法》不仅奠定了关键信息基础设施的法律地位,也明确关键信息基础设施保护中运营者、政府部门、网信部门应采取的措施。对于建立风险管理框架、建立广泛、高效的共享机制、调动国家资源实施优先保护,全面实施管理关键信息基础设施,必将发挥巨大作用。

参考文献

[1]THE WHITE HOUSE.Cyberspace Policy Review[EB/OL].[2016-09-01].https://www.dhs.gov/publication/2009-cyberspace-policy-review.

[2]Department of Homeland Security.2010Quadrennial Homeland Security Review[EB/OL].[2016-09-15].https://www.dhs.gov/sites/default/files/publications/2010-qhsr-report.pdf.

[3]日本政府网络安全战略总部.关键信息基础设施保护基本政策[EB/OL].第三版.[2016-09-16].www.nisc.go.jp/eng/pdf/actionplan_ci_eng_v3.pdf.

关键风险 篇11

摘要：文章着重分析了我国PP?(Public Private Partnorship)项目的风险识别问题。文章通过对PPP模式相关的专家进行的问卷调查得到了我国PPP项目的20个关键风险。在问卷调查的数据分析的基础上，文章运用多元统计因子分析方法，将20个关键风险归纳为五个主因子，针对这五个主因子所包含的信息，提出了我国PPP项目风险管理的五个重要目标。

关键词：PPP；风险管理；风险识别：风险分解结构(RBS)；因子分析

一、简介

风险识别可定义为“系统地、持续地鉴别、归类和评估建设项目风险重要性的过程”。其主要内容是对影响项目进展的风险因素、性质以及风险产生的条件和风险可能引起的后果进行识别，据此衡量风险的大小。在PPP项目中，高效的风险管理是项目成功的关键因素，许多相关研究和案例已经对此达成共识。在我国。PPP模式的应用超过20年。由于缺乏有效的风险管理，关键风险不能被识别。导致了许多项目的不成功。为了在PPP模式中有效实施风险管理，关键风险的识别是风险管理体系的重要基石。

本文将通过系统化的方法识别出国内PPP项目的风险。在识别风险的基础上，通过问卷调查得到各风险的相对重要性，从而得到最关键的风险。同时，本文在问卷数据的基础上对关键风险进行了因子分析，从而得到了国内PPP项目风险的主要成分。并据此提出了有效风险管理的对策。

二、基于问卷调查的我国PPP项目关键风险识别

为了识别我国PPP项目最关键的风险因素，东南大学建设与房地产研究所组织了针对PPP模式研究领域的专家学者的问卷调查，时间自2007年3月～2007年8月。接受调查的专家被要求通过1打分～5打分的方法选择各个风险的重要性，1分代表不重要，2分代表或许重要，3分代表重要，4分代表很重要，5分代表非常重要。调查中，总计发出205份问卷。回收50份有效问卷，有效回收率为24.38％，高于国外PPP模式相关的研究调查，因而回收的问卷可以满足相应的研究和数据分析。

如表1所示，列出了各风险的重要性指数平均值和样本方差。在所有41个风险中，最高得分4.52(不稳定的公共部门合作者)，最低得分2.24(PPP项目移交时的残值风险)，只有一个风险得分高于4.5分(非常重要)，没有风险得分低于1.5分(不重要)。最终通过筛选，均值高于3.5分的风险被列为我国PPP项目的关键风险。分别是F1、F2、F14、F7、F5、F8、F19、F32、F4、F40、F23、F31、F20、F39、F6、F25、F30、F18和F17。

三、基于因子分析的我国PPP项目的有效风险管理对策

通过问卷调查得到的20个关键风险对于我国PPP项目的风险管理非常重要。然而，这些关键风险并非相互独立的，他们包含风险管理的各个方面的相关信息。这些信息体现了目前我国PPP项目风险管理中的弱点与优势。也就是说，我国PPP项目风险管理中哪些方面需要得到提高，可以从关键风险提供的信息中得到，从而为有效风险管理提供建议，以达到风险管理的目标。这一目标就是，通过风险管理促使PPP项目的运营达到最佳价值。因而，对于关键风险的问卷数据分析将有助于确立体现最佳价值的风险管理目标，促进高效率的风险管理的实施。

如前所述，列于表1中的风险与不同的风险组存在因果关系。虽然这些风险组并无联系，但是与风险组相关的关键风险共同包含风险组的信息，因而各个关键风险之间存在密切联系。因子分析法是可以将具有错综复杂关系的变量综合为数量较少的几个因子的多元统计分析方法。其基本思想是通过分析变量间的相关系数矩阵内部结构，将原变量进行重新组合，利用数学工具将众多的原变量组成少数独立的新变量，这种新变量称为因子。因子分析就是找出这些影响系统的最少独立变量的因子，用较少具有代表性的因子来概括多变量所提供的信息，找出影响观测数据的主要因素，反映变量间的内在关系。因而，通过分析关键风险之间的相关系数矩阵，发现关键风险之间的相关性，利用因子分析来简化降维，以较少的但又包含大部分原始信息的综合因子来代替原有的20个关键风险，由于提取出的综合因子并不相关，故而可以根据新维度下的综合因子包含的信息对实施有效风险管理提出积极的建议。

通过对问卷数据的KMO测度和Bartlett球形检验，KMO系数略微偏低(0.673)，但是Bartlett球体检验的Chi-square统计值的显著性概率是0.000，小于0.1。说明数据具有相关性。综合来看，能够做因子分析。本文运用SPSSl5，0完成了数据分析，其中采用了主成分分析法提取了5个综合因子，得到公共因子的特征值和贡献率，贡献率表示该综合因子反映原有关键风险总信息量的百分比，积累贡献率表示5个综合因子一起反映总信息量的百分比，从表2可以看到所示5个综合因子的积累贡献率为78.054％，即这5个综合因子总共可以反映原有关键风险78.054％的信息量。可以认为原来的20个关键风险可以综合成5个主因子，并得到因子载荷矩阵。由于初始载荷矩阵结构不够简单，各因子的典型代表量不很突出。容易使因子含糊不清难以解释和命名，为了简化结构。选择方差最大正交旋转得到因子载荷矩阵如表3。

基于关键链的项目风险管理 篇12

1 关键链技术介绍

1997年, Goldratt出版了《关键链》一书, 将约束集理论 (Theory of Constraints, TOC) 应用于项目管理领域, 提出了项目管理的全新方法。Goldratt定义关键链是既考虑工作间的依赖关系又考虑资源间依赖关系的最长的工作序列。

关键链项目管理方法自提出以来, 就引起了广泛的反响, 被认为是项目管理领域自发明关键路线法 (CPM) 和计划评审技术 (PERT) 以来最重要的进展之一[1]。关键链方法在实际应用中已取得了巨大成功, 许多国际知名公司纷纷采用关键链方法提高项目管理绩效。例如, 希捷科技公司减少一半的新产品开发时间;埃尔比特系统公司能够在两小时内完成全部40件高层管理团队的项目检查;洛德公司的IT团队从100%的项目延迟完成率, 变成85%提早或准时完成;美国海军陆战队军舰补给站使用同样的资源, 却可完成比原来多出3倍的工作量;宇航系统公司的部门减少2~4个月的项目时间 (节约20~40%) , 项目收入增加3700万美元。[2]

2 关键链的确定

不管项目进度如何完善或者在项目进度中各种资源如何很好地在任务执行中发挥作用, 但是, 如果与项目有关的各关键依赖因素没有被考虑在内, 那么这些因素将会对项目的交付造成很大风险。采用关键链进行项目风险管理的第一步是被称为网络建设的过程, 即项目的依赖网络的建设过程。这个过程通过一种多途径的方式, 可以确保项目所依赖的所有关键因素都不会被遗漏。关键链环境下的依赖网络的建设重点在识别支持项目可交付成果所需的输入上, 正如所有有效的项目管理计划过程一样, 在项目开始时我们就已知道它的终点在哪里。这种逆向的网络建设方法能够确保在定义项目输入之前就已对项目输出有了良好的理解。任何依赖网络的建设过程都是关于对必要的传递工作的识别和纳入。而这些传递工作将任务链接在一起, 形成了关键链。项目计划, 即项目的依赖网络, 就是将即将发生的项目传递工作的简单汇总, 以便在实现项目目标的过程中克服障碍, 并在这一过程中将潜在的负面影响减少到最低。这种对项目依赖因素的关注实际上就是对风险的关注, 因为在项目计划和进度安排中, 对某些依赖因素的忽略将成为未来项目实施中风险的重要来源。

网络建设的最后一步是开发对于任务工期和反复的范围评估。关键链法避免了追求““精精确确评评估估””这这一一矛矛盾盾的的想想法法, , 而而是是将将每每个个项项目目投入的变化和不确定都明确地接受并加以考虑。

针对软件项目的特点和进度风险管理的任务, 我们在本文中考虑软件项目中人力资源的约束。在风险分析的基础上, 设置项目缓冲区和输入缓冲区, 以应对项目过程中的不确定性因素, 控制进度风险, 确保项目整体的按时完工。首先对项目进行工作分解, 估计理想工作条件下各工作的执行时间以及人力资源分配, 建立工作节点网络图 (Active on Node, AON) ;然后考虑人力资源的约束, 确定工作节点网络图中的关键链;接着采用风险量=风险概率×风险时间这样的技术风险评估技术, 对每项工作进行风险分析, 在此基础上, 为关键链配置项目缓冲, 为非关键链配置输入缓冲;最后, 在项目进行过程中, 通过对缓冲区的监控, 进行计划风险的管理。对项目进行工作分解之后, 我们以工作在理想工作条件下的完成时间来估计该工作的执行时间。所谓理想工作条件是指既不考虑风险因素, 也不考虑资源约束的“理想”状况。这样的理想工作条件实际是不存在的, 就如同物理学研究中经常用到的理想气体一样。之所以采用理想工作条件下的完成时间 (简称为理想工作时间) , 而不是Goldratt的50%完成的时间, 是由于在50%的时间内肯定是不能完成工作的, 太过紧张的计划时间会给工作执行人员造成不必要的压力, 从而加大了项目的系统功能风险。而理想工作时间既不会因为有大量安全时间的存在而出现所谓学生综合症、帕金森症等工作积压现象, 又因为其存在按时完成的可能性而对工作执行人员起到激励的作用。建立工作节点网络图。网络图中每个工作节点有一个三元组属性 (a/b/c) , 其中a为理想工作条件下的工作执行时间估计, b是该项工作需要的资源, c是所需资源的数量。与CPM不同的是, 关键链技术不是单纯以时间最长的路径为关键路径, 而是在考虑了工作所需资源之后, 根据资源约束, 对网络图中工作的紧前关系进行必要的调整, 然后再由工作时间, 找出此时的关键路径, 也就是关键链。我们以一个简单的软件开发项目为例来说明方法的应用。该项目开发所需要的人力资源有:R1系统设计人员, R2程序开发人员, R3数据库开发人员, R4系统测试人员。工作节点网络图见图1。其中工作时间a是考虑到不确定因素的非理想工作条件下的工作执行时间。图中粗线标识的路线是时间关键路径。

由于考虑到人力资源约束, 从图1中可以看出, 工作3和工作4资源冲突, 工作2、5和工作6也存在资源冲突, 我们将它们之间的并行执行关系转化为串行执行, 如图1中虚线所示。同时重新按理想工作条件估计每项工作的执行时间, 从而得到图2。图2中的工作时间是理想工作时间, 粗线标识的是考虑了人力资源约束之后的项目关键链。

3 基于关键链的风险管理

为了保护关键链上的工作而不影响到整个项目的计划进度, 关键链技术要求为关键链设置项目缓冲区;同时为了防止非关键链上的工作影响到关键链上工作的进度, 在非关键链与关键链的汇合处设置输入缓冲。那些不是基于关键链的项目往往依赖于任务和任务终止日期 (里程碑进程表) 所内含的安全性来控制项目进程。而这种方式的风险在于, 将使项目遭受共同资源行为的影响, 降低提前完成进度的能力。基于关键链的项目采用接力赛式的管理方法, 它鼓励一旦获得所需要的资源就立即交接进入下一阶段的任务输入, 一旦完成本阶段的任务就立即交接该阶段的项目输出。团队成员开始及完成任务的方式是, 尽快执行并将工作传递给下一个资源, 尽其所能尽早传下去。基于关键链技术的软件项目风险管理是通过对缓冲区的监控进行的。在关键链管理方式下, 任何任务都可以消耗项目缓冲或汇入缓冲。当一项任务实际耗时超过估计时间时, 它将占用相关缓冲。通过对缓冲区的监控, 即缓冲区消耗的程度与关键链完成的程度进行比较, 可以部分的判断出项目执行状态。因此, 我们为缓冲区设置了安全底线, 在项目进行过程中, 定时观测缓冲区的大小, 若缓冲区处于安全底线以上, 认为工作情况正常, 低于安全底线, 则有必要采取风险措施。

4 结语

本文讨论了基于关键链的软件项目风险管理方法。以理想工作条件下各个工作的执行时间建立工作节点网络图, 考虑人力资源的冲突, 确定关键链。在对各个工作进行风险分析的基础上, 配置项目缓冲区和输入缓冲区, 以消除不确定定性, 保证整个项目的按时完工。项目过程中, 通过对缓冲区的监控和管理, 实现对软件项目的风险管理

参考文献

[1]Newbold R C.Project Management in the Fast Lane-Applying the of Constraints[M].Boca Raton:St.Lucie Press, 1998.