风险评估风险管理

风险评估风险管理（精选12篇）

风险评估风险管理 篇1

摘要：近年来我国各个行业发展迅速,并在很大程度上推动了我国经济的发展,但其中不乏一些高污染、高环境风险的行业,其发展会给环境带来极大的影响和威胁。所以相关责任部门还应当积极开展环境风险评估活,并对环境风险制度进行完善,进而有效避免企业环境污染的产生,最终实现保护环境、发展经济的目的。

关键词：环境风险,评估,风险管理

环境风险管理制度完善与否很大程度上决定了企业环境风险评估水平,对于企业的安全有序发展和环境保护具有非常重要的意义

1技术支撑层面的建议

(1)提升化学品环境管理基础研究水平企业风险识别核心是贮存、使用、生产过程中产生的有害、有毒化学品,根据不同管理目的,国内外相关部门已经提出重大危险源辨识、管理物质、危险物质、极危险物质等清单。所以危险化学品环境危险程度和环境危险性评估亟待进行,根据相关安全管理条例评估和鉴定使用量较大化学品和常用化学品,并开展环境风险物质和重点化学品控制名录,进而实现重点化学品工业检核标准和准入标准的构建。

(2)进一步研究重点企业风险等级评估方法我国以制造业为主并存在大量石化化工企业,相关部门对风险企业的监管活动需要分级进行,这样才能够优化环境风险管理效益和成本。由于企业开展风险分级管理是建立在风险分级和识别的基础之上,所以应当深入研究重点企业风险等级评估方法,进行企业风险等级评估标准的分类分行业构建,最终实现对重点企业风险源动态管理的规范。

2管理层面的建议

(1)完善立法,充分落实安全主体责任根据《意见》中“充分落实环境安全的责任主体”的要求,相关部门应当通过修改环境保护法的契机,进行安全主体责任意见的制定,并对环境安全责任主体内涵进行明确,通过一整套防范环境风险制度措施的构建,为企业进行环境安全管理工作提供依据。企业环境安全责任主体指的是在环境风险隐患治理和排查的定期开展中主动进行环境风险状况的申报,通过环境风险防范措施和制度的完善实现突发环境事件的应急预案的评审和制定,在条件允许的情况下应当建立应急救援队伍。

在应急状态下责任部门应当开展预先处置活动并将事故源头切断,进而达到对事故最初态势的控制,避免次生环境事件的发生。同时还应当将事故情况主动上报相关部门,通过处置和救援活动的积极参与,为调查事件责任和原因提供有效配合,并支付因环境污染、生态破坏造成的损失和产生的费用。

(2)通过风险申报登记制度实现对风险现状的掌握企业获得经营生产收益也就意味着承担申报企业风险防范措施和环境风险状况的义务。相关部门应当在环境保护法修改的过程中,对环境风险申报登记的法律依据进行明确,通过环境风险申报管理制度的制定实现企业申报贮存、使用、生产化学物质数量、种类、风险单元、防范措施的明确。申报制度建立后,企业主动申报就会代替传统责任部门上门检查,在常态化管理中纳入环境风险和化学品管理,进而为公众监督和环境部门监督提供便利。

(3)建立环境风险隐患的排查治理制度企业落实环境主体责任的重要内容之一就是对环境风险隐患的定期排查治理,相关部门应当对风险隐患的排查治理规定进行构建,进而实现环境风险隐患排查内容、分级、概念的明确。企业则应当对环境风险隐患的定期排查制度进行完善,在全过程管理中评估、治理、报告、等级环境风险隐患。各级环境保护部门则应当监督检查企业环境隐患的排查情况,在企业检查或企业上报中出现的较大隐患应当进行公示。同时责任部门还应当对风险隐患移交报告制度进行建立健全,对于涉及其他部门责权的隐患、非法行为应当通过书面形式进行告知。

(4)构建环境风险分级管理制度相关部门还应当积极推动环境风险评估活动的开展,通过环境风险分级管理措施的制定,实现环境风险的分级管理制度的构建。相关部门还应当对企业周边环境敏感区、风险防范措施、内部化学品进行了解,并根据了解情况进行企业环境风险级别的调整。相关部门还应当根部企业环境风险等级的不同,开展管理要求和模式的针对化实施,进而区别管理绿色信贷、上市环保核查、应急物资储备、环境风险申报、清洁生产、污染责任保险、应急演练、隐患排查。

3保证机制层面的建议

(1)强化合作,完善应急联动机制根据权威部门统计,六成到七成环境事件是由于化学品运输、安全生产直接事故造成或处置不当造成。所以,相关部门在突发事件应急处置和方法中应当进行有效配合,尤其是在安全事故处置和运输事故处理过程中,应当保证责任主体充分履行防范和避免环境风险的义务,对于次生环境污染也应当进行有效处置。在受到安全事故报告后,相关部门应当将事故情况及时告知环保部门,并充分考虑专家意见处置事故,避免进一步引发环境污染。(2)建立应急救援物资评估制度相关企业应当依据自身性质进行应急救援物资的配备,但关于应急物资数量、种类的规范还没有建立。相关部门应当进行环境应急救援评估制度的构建,并和安全生产部门、监管部门根据应急管理工作实际情况进行应急物资配备标准的分等级分行业制定,进而实现企业应对突发环境事件能力的提升。

4结语

当前环境风险管理制度中还存在很多问题,相关部门应当对风险管理制度进行完善,进而推动环境风险评估活动的有序开展,最终为我国经济发展和社会发展提供保障。本文对环境风险制度完善进行了分析,但仍存在一定局限希望相关部门能够强化重视,进而实现环境管理制度的不断完善。

参考文献

[1]张志敏.强化环境风险管理落实环境安全主体责任[J].环境保护,2012,13:14-17.

风险评估风险管理 篇2

風險的概念於19世紀末最早出現在西方經濟領域中，目前已廣泛應用於經濟學、社會學、工程科學、環境科學和災害學領域中。風險管理（Risk Management）是對風險進行識別、估計、評價和決策的過程。而營運風險管理是對企業在營運過程中對策略風險、運作風險、技術風險、地域風險、交易風險、出口管制風險、供應商風險、人事制度風險等進行科學的管理和有識別、評估以及決策，使企業在營運過程中盡可能減少外界帶來的風險，更卻確的讓企業正常運行，提高企業在營運過程對風險管理的水準和控制。

危機管理于50 年代起源於美國政界。美國以前多屆總統的任期內，都曾出現過重大危機，於是部分政界人士在50 年代初期發展出危機管理，企圖在最快的時間內處理突發性問題。60 年代工業盛行，同時也衍生了很多的工業意外事故，於是美國政府又開始將危機管理應用於商業領域，在商業機構中推行危機管理相關培訓。80 年代初，大部分的美國上市公司已有專人負責危機管理計畫。目前在歐美國家特別是美國、加拿大、英國等已形成了系統的學科和應用體系，許多大學（如美國的哈佛大學等）開設了危機管理課程，一些國家和地區還成立了專門的危機管理控制機構和專業協會，為各行各業提供專業的危機管理及危機公關增值服務。亞洲金融風暴、美國911 事件、SARS 以後，危機管理及危機公關越來越多地被人們提及，越來越多的企業也感覺到危機管理及危機公關在企業創新發展中的重要性並且已開始把是否建立完善的風險及危機控制系統作為選擇合格的貿易及投資合作夥伴的一個重要標準。

企業危機著重在預防而後才是管理。企業唯有在事先制定出危機管理的預防性措施，防患於未然，將危機爆發的可能性降到最低限度，將事故消滅在萌芽狀態，才有可能一旦危機爆發時胸有成竹，有條不紊地將危機化解，把損失控制在最小範圍。危機儘管可能隨時發生，但我們可以用科學的方法和手段來加以預防、控制和管理。作為專業人士，更應該率先加強對危機管理危機公關方面知識的瞭解、認識和學習，取得先機，贏得商機。

风险评估风险管理 篇3

关键字:风险导向审计;风险管理;风险管理审计

一、风险导向审计的相关概念及在工作中的初浅应用

笔者面对更多的审计任务为施工建设项目的审计，在实际工作中总结出了自己的一些审计思路与方法。随着企业规模的不断扩大和经营范围的不断拓宽，施工任务在逐年上升，这样被审项目就增加了。由于人力不足，每年不可能对所有的项目都进行审计。首先，将所有项目按业务板块分类，根据不同板块的行业特点、产业政策和单位在该板块的施工技术难度系数及管理经验，以板块为单位按重要性排序。其次，在每个板块中按照项目的投资性质和施工产值及利润空间大小进行排序，并结合企业所确定的战略规划，处于施工中前期的品牌项目、国家重点建设项目加大比重系数。最后，在重点系数排在前15位的项目中再按照项目经理的管理经验、能力、责任感及项目的人员配备并结合基层各方职工所反映的情况确定审计对象。

根据平时所掌握的一些情况，通过职业判断设计有针对性、技巧性的调查问卷，在进驻工作点开见面布置会时，按照职工花名册按业务性质随机抽取一部分职工以无记名形式填写调查问卷。后来为了缓解紧张情绪，获取职工个人邮箱名单后以邮件的形式发出，反馈的问卷真实性、全面性都有了很大提高，实践证明效果很好，为风险的确定及测评获得第一手证据提高了效率及准确度。

二、风险管理的概念及内部审计在风险管理中应发挥的作用及风险规避

IIA在其《内部审计实务标准》工作标准2100—工作性质中规定，内部审计活动评价并帮助改进组织的风险管理、控制和治理体系。具体而言，内部审计要监督、评价机构风险管理体系的有效性。内部审计师在开发和管理风险管理过程中所起的积极作用有别于在“风险归属”问题上起的作用。为了避免参与“风险归属”问题，内部审计师应该要求管理层证实其在确定、防范、监测风险及决定风险“归属”方面的责任。

总之，内部审计师可以促进风险管理过程的建立或使风险管理过程的建立成为可能，但是，不应该“拥有”已确认的风险或负责对这些风险的管理。

随着总公司的整体上市，对全系统的规范管理提出了更为严格的要求，机遇与挑战并存，企业的风险管理也将逐步提到议事日程上来，同时内部审计也面临风险审计的挑战。由于我们所在的企业为国有企业，在公司治理方面还存在很多没有解决的问题，这些都将加大对内部审计的风险。下面就现阶段国有企业风险审计的既有风险与本系统将面临的风险发表一下个人见解。

三、现阶段国有企业风险审计的既有风险与本系统所面临的风险

1.国有企业风险审计的既有风险。现阶段尽管国有企业的公司治理已经取得了一定的成绩，但我们必须清醒地看到，国有企业规范治理，特别是对经营者的有效制衡，还没有得到实质性的解决。（1）所有权“虚置”（2）国有股“一股独大”，对中小股东利益保护不足（3）内部人控制（4）监事会监督不力（5）公司接管市场的形成环境不理想（6）信息披露存在严重漏洞（7）经理人市场不健全（8）经营者的激励机制不足（9）经营者考核指标体系不健全。

2.基于以上国有企业的管理现状，市场化进程的加剧给企业的管理带来了机遇，同时也使企业更加的公开化、透明化，当然企业所面临的风险自然就增加了。像我们这样的大型国有企业经过上市后除了具有如上所说的既有风险外，其自身的一些个性特点在市场经济环境下所面临的风险更应该引起重视。

(1）由于施工企业自身所存在的地域广、人员多的特点，管理难度大，往往存在上面的制度执行不到位的现象，上面风声大、下面基层的雨点小，信息传递的结果不断弱化。这种信息化管理水平低下的后果就存在有令不行管理空缺的风险。

(2)从集团的角度即要遵循总公司一定的战略规划，从资源的整合、优化重组中要走总公司做大做强跨国大企业的路线，这样企业所面临的战略风险的弹性相对就小了。在市场经济中所遵循的竞争规则便是“弱肉强食”，使资源向“强者”中云集，实现资源的优化配置。所以有些集团在总公司的发展壮大过程中就有被“强食”的风险。

(3)从整个总公司系统的角度以纵向来看，即使要求实现扁平化管理，但现在至少还有四级管理，甚至有的地方还存在五级管理，尤其是四五级管理层认为大利益难以裨益于其自家的“小利益”，从而强调自己的小集团利益而不执行上层的指令，并且有些制度不具有强制约束力，从而“各自为政”，很难形成合力。这势必会出现管理执行的弱化，管理失控的风险。

(4)对风险理念的认识程度不足。由于历史的原因，在一些国有企业尤其是中央大型国有企业中长期形成的“瘦死的骆驼比马大”，再怎么着那也是国家的，不会让我们饿死。“春风”不渡“玉门关”，鞭长莫及，再大的风险有上层顶着呢。

(5)管理职责与权限不明晰，责任追究不到位。出了问题造成项目亏损资产流失后给点罚款、来个降职，转随其后换个地方或换个职位仍然大行其道或安然无事。

四、企业风险审计应注意的事项

1.制定审计计划时以被审计单位风险为导向

内部审计机构在制定长期审计规划、年度审计计划时，首先应该识别企业在长期、短期发展中面临的各种风险，包括主要、次要风险；经营风险；财务风险；法律风险等，在此基础上来实行未来审计的规划以及年度计划。

2.审计人员要从更高层次关注风险

内部审计在风险管理的过程中，要纵观全局，有的放矢。不仅要仔细审视企业经营过程中每个风险的节点，更要理清关键性的风险和风险的关键性环节，对风险的估计要有整体的把握，要考虑风险管理对组织的价值具有的前瞻性。

3.风险审计的直接服务对象是企业高级管理层和决策机构

作为市场经济最基本组织，现代企业都是风险自担的实体，风险管理水平将是关系企业成败的最重要的因素，尤其是我国企业今后要面对国内国外两个市场，竞争对手更多的是那些管理科学、机制相对健全的跨国公司，所以企业的风险管理事项一般都是企业最高管理层和决策层需要必须考虑的。

4.企业风险审计要与内审职责匹配

风险管理作为内部审计一个新的涉及领域，内部审计人员要想成为风险管理专家，不仅要懂得财务会计及相关法律法规，熟练地运用内部审计标准、程序和技术，还必须具备相应的风险管理素质和技能。在全球经济一体化，信息化技术飞速展的今天，内部审计人员除了要扎实专业技能外，更应丰富专业风险管理的知识和技能，精通现代管理信息技术和先进的管理技术手段。通过精湛娴熟的专业胜任能力来协助组织预防和减少的风险，改进管理和提高效率。

5.风险审计要求内部审计更多地发挥咨询职能

风险管理是一项事前性的预防工作，风险审计要真正发挥作用也必须走在前面，在监督、评价、咨询职能中，内部审计的咨询职能在风险审计中显得尤为重要。而要发挥好咨询功能，内部审计就需置身于风险管理之中，内部审计在风险管理中扮演的角色对组织机构整体成功至关重要。内部审计要作为风险管理过程的参与者、协调者、要真正融入到企业管理体系中，要真正置身于公司的治理和风险管理过程之中。

6.及时沟通至关重要

风险的不确定性，要求内部审计在风险管理过程中，加强沟通的力度，拓宽沟通的层面，丰富沟通的渠道，更新沟通的手段，加快沟通的进程。内部审计机构与被审计单位、组织管理层之间，应积极沟通彼此意见，充分体现参与式内部审计“以人为本”的理念。

8.分清组织可接受风险和个人可接受风险

内部审计在风险审计中必须关注一个问题是企业所能够接受的风险是否与职员个人风险喜好程度有明确的界限划分。对于那些风险偏好高的个人而言，当其可以控制的资产不是个人资产的时候，如果没有很有效的内部控制来约束，就很有可能其自身的风险投资行为导致企业的毁灭。如中航油巨亏陈久霖事件就是非常典型的，所以内审人员对此应该密切关注，对可疑或相关审计发现要及时向更高机构报告或者披露。

经过以上论理论与实际工作经验的论述得出三者之间的关系：

参考文献：

[1]中国内部审计协会编译《内部审计实务标准》（2001年修订本），中国时代经济出版社.

[2]尹维喆:《现代企业内部审计精要》，中信出版社.

[3]李金华:《审计理论研究》，中国时代经济出版社.

[4]李三喜:《内部审计规范精要与案例分析》，中国市场出版社.

[5]《审计文摘》2007年第八期、2008年第二期.

风险评估风险管理 篇4

1.1 人员活动引起的风险

检测人员从事检测工作的专业水平、资质高低；检测人员进行检测活动的熟练程度；检测人员在检测过程中的身体状况、情绪好坏。

1.2 仪器设备引起的风险

仪器是否进行了校准/检定，校准/检定的有效性判定范围是否符合检验活动标准方法中对范围的要求；仪器是否按要求进行了维护，维护方法是否得当有效，是否有监督机制；对于频繁使用和搬运的仪器是否定期核查；仪器的故障程度和仪器存在的隐性危害。

1.3 物料引起的风险

是否购买有资质供应商的物料；是否使用有证标准物质；检测活动所用试剂纯度；样品采集、运输、储存、处置是否规范合理；样品与委托协议中的信息是否符合。

1.4 标准方法引起的风险

标准方法选择不当的风险；标准方法偏离的风险；非标方法所带来的未知风险；检测方法不适用于检测样品的风险。

1.5 环境设施引起的风险

非固定场所检测环境，如水、电、气象条件是否合规的风险；固定场所检测环境条件对实验结果影响的风险；环境安全风险，如粉（烟）尘、噪音、易燃易爆易挥发载体等方面存在的风险。

1.6 报告引起的风险

报告审核的风险，包括原始记录的三级审核、流转轨迹的审核、报告涵盖信息的审核（能否发现潜在问题）；报告中数据真实有效性、及时完整性的风险（质控手段有效性考量）；报告中涵盖的信息安全和对客户信息保密的风险。

2 风险可能导致的伤害

准确评定风险，根据风险可能导致的伤害判别风险级别，才能有效建立防护措施，配备合适防护用品，做好善后处理。造成对人员身体的伤害，如化学烧伤和割伤，中毒，身体组织或呼吸系统的损伤等；检测场所易燃易爆因素的致害，如燃烧和爆炸；检测场所触电、淹水，及水电泄露造成的二次损害。

3 风险的管理

3.1 人员的管理

招收学习或从事相关专业的检测人员，并定期进行专业培训和专业考核；开展技术大练兵，提高对非常规监测项目的操作熟练度。

3.2 仪器设备的管理

通过建立各种计划（包括仪器设备台账、仪器检定/校准计划、期间核查计划）对仪器设备实行有效管理；通过建立各种记录（包括仪器设备使用记录、维护记录、校准记录、核查记录）对仪器设备管理计划实现有效运行；建立有效的仪器设备档案登记并进行动态管理，各种记录及时归档留存；保证仪器设备配套使用水、电、载气的安全性和规范性。

3.3“三废”处理

实验室产生废弃危险化学品，以《废弃危险化学品污染环境防治办法》为原则进行处理。（1）实验室废水处理：实验室废水的处理按其性质、成分等采取不同的方式，如回收利用、直接排放、处理后排放等。（2）实验室废气处理：实验室废气主要为两大类，酸雾和有机气体。产生两类污染的操作宜在不同的通风柜中进行，酸雾气体用碱性水溶液吸收处理。有机废气可用高效吸收装置进行处理。（3）实验室废渣、废物处理：对于高毒性的可溶性废渣废物，实验室必须设专门容器分别加以收集，严禁埋入地下污染地面水体。

3.4 实验室检测区域环境控制

试验区域场所要能满足检测活动的需要。实验室的总体布局一般包括实验室核心区域，辅助区域，公共设施区域，其中核心区域包括实验工作区、实验缓冲区、样品制备区、危险品贮存区、样品接收室、样品贮存室等；辅助区域包括业务接待室、资料档案室、设备配件室、办公室、会议室等；公共设施区域包括暖通、空调、给排水、特殊气体、特种水等用房。建立并实施《检验环境控制程序》《实验室安全、内务管理程序》，严格管理影响检验检测质量的区域的进入和使用，保持良好的实验室内务，从而实现实验室检测区域环境控制。

3.4.1实验室门口要有明显标识。合理布局实验室，对区域间的不相容活动进行有效隔离，以防止交叉污染，同时充分考虑实验室能源、采光、通风的要求。样品处理间与仪器分析间分开设置、有机前处理间与无机前处理间分开设置、测试区域（包括样品制备和存放区域）与办公场所分离。

3.4.2大型仪器间应避免阳光直射，需要供气的仪器在满足工作流程的情况下尽量集中摆放。用于滴定、比色等操作的化学分析间要求房屋的光线良好。气瓶间设在少人走动的阴凉角落位置，可燃气体和不可然气体分开放置，可燃气体与助燃气体分开放置。

3.4.3保持样品前处理实验室清洁、整齐，室内不得存放对样品可能造成污染的挥发性化学试剂。在试样处理、制备过程中尤其应注意避免样品污染和损失。

3.4.4对进入和使用特殊区域进行管控。药品库、样品管理间、大型仪器间、自动监测控制室等划为特殊区域，无关人员不得随便进入。

3.4.5实验室应保持整洁，经常打扫、整理实验室，保持地面、桌面、仪器设备表面的整洁和各种仪器、设备、器皿的有序放置。实验操作时，应着工作服。实验室内严禁吸烟，不准放置与实验无关的杂物，不得进行与实验无关的活动。

3.4.6外来人员不得擅自进入实验室，确因工作需要（如参观、复议等）应经负责人批准由内部人员陪同方可进入。

4 结语

在检测机构内，建立风险管理机制和长效管理制度，一定程度上能控制风险的发生、降低风险的级别、转移风险的危害，从而有助于检测机构的可持续性发展。

摘要：检测机构在进行检测活动时会存在不同程度的风险及风险隐患。对这些风险应当进行合理评估,做好潜在风险的管理工作,确保将风险防止、降低和转移。

关键词：检测机构,风险,管理,控制

参考文献

[1]罗朝阳,编.水质实验室基础知识目录.内部资料.1991.

[2]王雪芬,编.化验分析基本操作技术.内部资料.1991年.

保密风险评估与管理办法 篇5

为及时识别、监控公司保密潜在风险及其发生概率，确定公司保密风险承受能力及限度，认定该等风险所可能带来的损失，根据《上海市涉密信息系统集成资质单位保密风险评估工作细则》和《涉密信息系统集成资质保密标准》结合公司实际，特制定本管理办法。

二、职责分工

1、公司保密风险评估与管理主管部门为风险管理部。

2、各部门、各经营单元协助风险管理部实施本管理办法。

3、公司各涉密经营单元是保密风险管理的第一道防线，负责本经营单元和公司内纵向归口管理事项的保密风险管理工作。

4、公司保密风险评估工作小组（以下简称工作小组）是保密风险管理的第二道防线，接受保密管理办公室的监督（以下简称保密办），负责指导和检查保密风险评估工作的开展。

5、公司保密工作领导小组（以下简称领导小组）是保密风险管理的第三道防线。作为保密风险管理的决策机构，负责监督保密风险评估工作的开展，负责组织建立完善保密管理的持续改进机制。

三、工作内容及流程。

1、领导小组授权风险管理部组织成立工作小组。工作小组组长由分管保密工作的公司领导担任，成员由保密办、风险管理部等部门负责人组成。领导小组应组织对评估过程中出现的问题和结果做分析和研究，查找出在保密管理的制度、流程和执行等方面的问题，组织对制度和流程进行修订和完善。

2、工作小组至少每半年开展一次保密风险评估，使用“上海市涉密信息系统集成资质保密风险评估及自查自评系统”开展保密风险评估工作，按照业务流程对保密风险进行识别、分析和评估，评估的范围包括项目、人员、资产、场所等主要管理活动在保密方面所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风险的可能性的评估。

3、工作小组至少每年对《保密管理风险点识别及防控措施》评估一次，从人员风险、涉密载体风险、涉密计算机、涉密场所、投标、项目实施等，对每个风险点进行低、中、高等级识别，制定相应的防范措施。

4、工作小组在评估过程中如发现问题，及时向领导小组汇报，《保密风险评估报告》形成后，应向领导小组报告评估情况。向相关涉密经营单元和人员通报评估情况，监督防控措施的落实。

5、工作小组不定期组织开展评估业务培训，使相关人员了解掌握保密风险形式、评估方法、评估工具、防控措施等知识。保密风险管理纳入保密教育培训，以增强涉密人员防控保密风险的意识。

6、《公司保密风险评估报告》以及《公司保密管理风险点识别及防控措施》由风险管理部保存，作为年度审查申请的附件材料报市国家保密局资质管理委员会办公室。

四、奖惩机制

将评估工作履职情况纳入部门和员工的年度绩效考核评价体系。由领导小组对工作小组成员的保密工作进行考核评价；

由工作小组负责对相关部门和人员的保密工作进行考核评价。对发现并上报重大保密风险的部门和人员给予奖励。对瞒报或未发现明显保密风险而导致发生泄密事件及严重违规行为的部门、人员给予重罚。

五、附则

1、本管理办法由公司风险管理部负责解释和修订。

风险评估风险管理 篇6

1、重大错报风险。《审计准则第1101号——财务报表审计的目标和一般原则》指出：重大错报风险是指财务报表审计前存在重大错报的可能性。

解读上述定义：(1)重大错报风险是财务报表审计前其报表本身固有的风险；(2)错报(包括漏报，下同)的金额或性质应该是重大的，是其单独或连同其他错报一起足以影响报表使用者的判断或决策的错报，否则，则属于非重大错报；(3)重大错报的存在仅仅是一种可能，并不是已经肯定其存在；(4)错报，应包括财务报表金额的错误或舞弊，以及报表附注披露内容的错误或舞弊。

重大错报风险又分为报表层次和认定层次两类重大错报风险：(1)报表层次重大错报风险通常与控制环境有关，并与财务报表整体存在广泛联系，但以被难界定于某类交易、账户余额、列报的具体认定；(2)认定层次的重大错报风险。是指各类交易、账户余额、列报(包括披露)构成的重大错报风险，换上会计术语，即因对会计要素进行确认、计量和列报构成的重大错报风险。

2、审计风险。1101号审计准则指出：审计风险是指财务报表存在重大错报而注册会计师发表了不恰当审计意见的可能性。

解读以上定义，“审计风险”至少包括三层涵义：(1)财务报表存在重大错报，如果不存在错报，或者存在非重大错报，审计风险就不存在；(2)审计人员发表了不恰当的审计意见，如果审计人员发表了恰当的审计意见，或者不发表审计意见，审计风险就不存在；(3)是一种可能性。即因此导致审计失误是可能的，而不是现时的、肯定的。

3、检查风险。1101号审计准则指出：检查风险是指某一认定存在错报，该错报单独或连同其他错报是重大的，但审计人员未能发现这种错报的可能性。

解读以上规范：(1)检查风险与审计风险不同，审计风险界定的重大错报只是可能的，而检查风险界定的重大错报是实际存在的；(2)审计人员未能发现存在的重大错报。也只是一种可能性，通过实施审计程序，审计人员也可能发现存在的重大错报，也可能未能发现存在的重大错报。

4、重要性。新的审计准则和指南未见有直接对重要性所作的定义。《审计准则第1221号——重要性》以另一种形式界定了重要性的含义，指出：重要性取决于具体环境下对错报金额和性质的判断，如果一项错报单独或者连同其他错报可能影响财务报表使用者依据财务报表作出的经济决策，则该项错报是重大的。解读以上规范：

1、重要性由金额(数量)和性质两方面构成。当然，从金额上讲，同一项目错报金额大的比错报金额小的更重要；某些错报，从金额上看并不重要。但从性质即其对报表使用者的影响分析，则可能是重要的，对于某些错报，难以从金额上判断其是否重要时，应从其性质上考虑其是否重要。

2、重要性的认定取决于具体环境。这一具体环境又分为被审计单位的不同环境和报表使用者不同需求两个方面。比如对于上市公司，收入项目错报10万元也许不属于重要的，但对于一个小企业而言，收入项目错报10万元则可能是重要的，因此，两者重要性水平不同；再者，重要性概念是针对不同的报表使用者的信息需求而言的，同样一项错报，对一部分报表使用者说来是重要的，因为该项目错报足以影响这部分报表使用者的相关决策，但对另一部分报表使用者而言是不重要的，因为该项错报并不涉及这部分报表使用者的信息需求，因此尽管其使用了这一财务报表，但其中的错报不会影响他们的相关决策。

3、确定重要性水平时，不但应考虑某项错报单独对报表使用者的影响，还应当考虑该项错报连同其他错报一并对报表使用者的影响，以确定其是否属重大错报。

4、确定重要性水平时应运用职业判断。重要性水平是一个经验值，因此，确定重要性水平时，应更多地运用审计人员的职业判断。

二、重大错报风险、审计风险、检查风险与重要性的关系

(一)重大错报风险与重要性

1、两者关系：(1)审计程序实施时检查发现的错报，是否属于重要错报，或者是该项错报连同其他错报一起，是否构成重大错报，则应由重要性水平来界定。因此，按照1221号审计准则指南伪意见，从数量角度考虑，重要性水平是门槛或临界点，在该门槛或临界点以上的错报就重要的，是重大错报；反之，该错报则不重要，不属重大错报；(2)重大错报风险与重要性之间成反向关系，重大错报风险越高，应确定的重要性水平越低；重大错报风险越低，应确定的重要性水平越高。

2、重要性水平的认定。审计人员应当从金额(数量)和性质两方面，综合考虑报表层次和认定层次的重要性水平，并凭以识别和认定财务报表的重大错报，以减轻或排除审计风险：(1)审计人员应当根据被审计单位具体情况，运用职业判断，考虑是否能够合理预计有关项目的错报将影响报表使用者的决策，进而依据这些判断确定报表层次的重要性水平；(2)在认定层次，其重要性水平又称为“可容忍错报”。可容忍错报的确定，应以对报表层次重要水平的初步评估为基础，分析认定层次错报的可能性和认定层次的重要性水平与报表层次重要性水平的关系，合理确定可容忍错报；对于超过可容忍错报水平的，即认定为重大错报。

3、审计过程中重要性水平的修正。

财务报表审计，是一个累积和反复的过程，重大错报风险评估时尤为突出，而合理保证财务报表在整体上不存在重大错报，意味着审计过程中审计风险始终存在。随着审计程序的实施。如果按原确定的重要性水平获取的信息与风险评估时依据的信息有重大差异，审计人员应重新确认风险评估结果，并据以修正原确定的重要性水平和重新评估重大错报风险。

(二)重大错报风险、审计风险、检查风险

1101号审计准则及其指南指出：(1)审计风险取决于重大错报风险和检查风险。三者之间关系用数学模型表示：审计风险=重大错报风险×检查风险；(2)在既定的审计风险水平下，可接受的检查风险水平与认定层次的重大错报风险成反向关系。解读以上规范：

1、所谓审计风险取决于重大错报风险和检查风险。就是说，如果不存在重大错报风险，当然也不存在审计风险和检查风险，即审计风险=0×检查风险=0；如果尽管存在重大错报风险(包括该项错报单独或连同其他错报是重要的，下同)，审计检查时均已发现并按审计准则作了适当处理，当然也就排除了审计风险，这时检查风险为0，代人模型即审计风险=重大错报风险×0=0。

2、审计失败是重大错报风险与检查风险共同作用的结果，只有在财务报表整体上存在重大错报，而审计人员未发现或者虽已发现但未按规定作适当处理，才可能导致由审计风险转化为审计失败。这时重大错报风险和检查风险都是正数(存在)，代入模型：审计风险=正数×正数=正数。

3、检查风险水平与认定层次重大错报风险的评估结

果成反向关系，是指评估的重大错报风险越高，报表错报的可能性则越大，确定的检查风险水平就越低；反之，评估的重大错报风险越低。报表错报的可能性则越小，确定的检查风险水平应越高。比如对一个内部控制规范不存在或不完善、或者内控制度没有有效执行，且会计核算很不规范的A企业而言，其重大错报风险很高，因此其可接收的检查风险应很低，其他同类企业某项目可接收检查风险水平的绝对数假定为10万元，A企业该项目的可接收检查风险水平则应确定为5万元，甚至3万元、1万元；相反，如果经测试A企业控制规范完善，足以防止或发现并纠正财务报表重大错报，且该控制规范已得到有效执行，会计核算规范程度也较高，这时A企业的重大错报风险则低，可接收检查风险水平应适当提高，比如一般同类企业该项目可接受的检查风险确定为10万元，该企业则可适当提高到15万元或20万元。

(三)审计风险与重要性

1221审计准则指出，审计风险与重要性之间成反向关系，审计风险越高，重要性水平越低；审计风险越低，则重要性水平越高。这里所述的重要性水平高低，与以上所述检查风险水平高低涵义一致，指的都是金额的大小。重要性水平是审计人员从报表使用者的角度进行判断的结果，如果重要性水平是1万元，则意味着审计人员判断认为低于1万元的错报不会影响报表使用者的决策，此时应致力通过适当程序发现高于(或等于)1万元的错报。

应该说明，审计人员不可能通过人为调高重要性水平而降低审计风险。因为重要性水平是由客观存在的审计风险确定的，企望以人为调高重要性水平来降低审计风险，其结果一定会与其企望相反，审计风险会不降反升。

(四)审计风险与检查风险

审计风险与检查风险之间也成反向关系，审计风险越高，说明存在重大错报的可能性越大，可接受的检查风险水平也越低；审计风险越低，说明存在重大错报的可能性越小，可接受的检查风险水平则适当提高。

另外，审计风险与检查风险之间，还存在一定的因果关系，即只要检查风险排除，审计风险也就不复存在；如果检查风险不排除，除非不存在重大错报，否则审计风险就无法排除。

三、结论

1、审计准则所述各种风险，包括本文所述的重大错报风险、审计风险、检查风险，都只是一种可能性。它们既可能存在或发生，也可能不存在或不发生。

2、重大错报风险是其他风险存在的总根源，不存在重大错报风险，其他风险也均不会存在，重要性水平也无从说起。但对财务报表审计而言，不通过适当的审计程序，不能认为不存在重大错报风险。因此，审计人员应保持职业怀疑态度，充分考虑可能存在导致重大错报的各种因素。

风险评估风险管理 篇7

一、现代风险导向审计风险概述

现代风险导向审计也称为经营 (商业) 风险导向审计、风险基础战略系统审计。现代风险导向审计是审计技术方法在系统理论和战略管理理论基础上的重大创新, 它以被审计单位的战略经营风险为导向, 通过战略分析——流程分析——经营业绩评价——财务报表剩余风险分析的基本思路, 将会计报表重大错报风险和经营风险联系了起来, 从而提出了审计师从源头分析和发现会计报表错报的观念。现代风险导向审计针对传统风险导向审计风险评估不到位, 未能有效发现高风险审计领域造成审计过量或审计不足的缺点, 大大加强了风险评估程序, 实现以风险评估为中心。

国际审计和鉴证准则委员会发布了一系列新的审计准则, 风险模型也修改为:审计风险=重大错报风险×检查风险。重大错报风险评估是通过“了解被审计单位及其环境并评估重大错报风险”来实现的。这一思想将风险评估的范围拓展了, 要求将被审单位的各种风险, 包括控制风险、账户及交易层次风险及其他如企业的经营风险、行业风险、舞弊风险等都考虑进去。总体来说, 现代风险导向审计是一种新的审计基本方法, 它以被审计单位的经营风险分析为导向, 以审计理论、系统理论和战略管理理论为指导, 通过自上而下和自下而上相结合的审计思路完成审计工作。

现代风险导向审计模型改变了以往从局部到整体的审计思路, 为注册会计师从整体上把握和控制审计风险提供了基础。现代风险导向审计模型要求针对会计报表整体层次和认定层次来分别评估重大错报风险, 并采取不同的应对措施来克服原模型侧重于认定层次而忽视会计报表层次的缺陷。还要求注册会计师识别和评估会计报表整体层次和认定层次的重大错报风险, 将识别出的风险与认定层次可能发生的错报联系起来, 考虑风险的重大性和可能性。注册会计师应针对评估出的两个层次的重大错报风险, 合理运用职业判断分别确定总体应对措施和设计、实施进一步的审计程序, 以将审计风险降至可接受的水平。另外, 还要求注册会计师针对评估的会计报表整体层次的重大错报风险, 采取总体应对措施:向项目组强调在收集和评价审计证据过程中保持职业怀疑态度的必要性、分派更有经验的或具有特殊技能的注册会计师, 或利用专家的工作, 提供更多的督导, 在选择进一步的审计程序时, 应当注意某些程序不能被企业管理当局预见或事先了解, 对拟实施审计程序的性质、时间和范围做出总体修改。

二、现代风险导向审计风险评估基本程序

现代风险导向审计强调审计风险主要来源于企业财务报表的错报风险, 而企业财务报表的错报风险则主要来源于整个企业的战略管理风险和经营活动风险。它认为, 要充分理解审计风险, 审计人员就必须从企业的战略分析、流程分析入手, 充分识别企业内、外部风险, 并理解内、外部风险对财务报表认定的影响。因此, 现代风险导向审计并不直接从对固有风险的评估入手, 而是间接地以被审计单位的经营风险 (包括战略经营风险和流程经营风险) 为导向, 通过综合评估经营风险从而确定财务报表剩余风险, 并进一步确定实质性测试的范围、时间和程序。 (图1)

三、风险评估

规避审计风险, 必须从承接开始充分认识到风险的存在, 这也是控制风险的关键一步。因此, 根据独立审计准则要求, 在承接业务签署审计业务书前, 审计人员应对被审计单位的基本情况进行了解。如, 业务性质、经营情况、经营风险、以前年度的审计情况、财务机构及组织工作等。根据了解的情况, 审计人员运用专业判断评估审计风险, 决定有无能力胜任, 被审计单位的性质如何等, 进而决定是否接受委托、确定审计计划及审计程序。

(一) 战略经营风险评估。

企业接受委托前需对客户的行业状况、监管环境以及其他外部因素, 如被审计单位的性质及对会计政策的选择和运用、被审计单位的目标战略以及相关经营风险、对被审计单位财务业绩的衡量和评价相关内部控制, 在进行必要的了解后, 评估会计报表总体层次和认定层次的重大错报风险。

了解客户及其环境, 包括了解客户的目标、战略以及可能导致会计报表重大错报的相关经营风险, 而不是了解和评估全部的经营风险。这主要是因为不是客户所有的经营风险在任何情况下都最终具有财务后果且必然会导致会计报表重大错报风险;评估和控制所有经营风险、实现经营目标是企业管理当局的责任;而注册会计师的责任是评估被审计会计报表的所有重大错报风险, 以帮助其设计和实施有效的审计程序, 及时保证发现重大错报, 实现审计目标。

战略经营风险评估主要是对组织内部环境战略经营风险 (公司治理结构、内部组织文化、核心竞争力、内部信息沟通) 、本地外部环境战略经营风险 (直接竞争对手、本地劳动力市场、顾客/供应商关系) 、全球环境战略经营风险 (国外不确定的政治监管环境、自然资源、全球竞争、文化优势) 进行评估。

1、组织内部环境战略经营风险。

合理的公司治理结构可以保障组织系统的正常运转, 帮助组织实现战略经营目标;不合理的公司治理结构, 甚至是治理结构中的微弱不和谐因素都可能导致组织整体战略的失败。因此, 公司治理结构的合理与否是组织内部环境中的一个重要战略经营风险来源。

组织文化是组织成员内在化的、共同的行为指向, 也是企业解决如何在外部生存以及内部如何共同生活的一套哲学。员工诚信、员工士气、忠诚度、管理层的领导风格等都可能抑制员工的灵活性和学习能力。因此, 组织文化的功能是战略经营风险产生的主要来源。

组织中的信息不通畅、员工的情感或情绪问题得不到合理宣泄和回应, 天长日久就沉淀淤积, 导致组织有效运行障碍和日后组织病变, 故组织中的信息沟通情况也是组织战略目标实现的一个来源。

2、本地外部环境战略经营风险。

直接竞争主要包括直接竞争对手不断适应和改进其经营, 新竞争对手进入市场激化价格战。竞争对手的销售管理机制和市场政策对公司在既定市场上的销售能力和市场开发能力的影响导致公司业绩受到影响。如果公司采取有效的措施来提高销售管理机制的竞争力和政策应变能力, 则必然削弱市场开发能力, 导致销售业绩降低, 在失去竞争优势的同时, 增大公司的战略经营风险。

本地劳动力市场风险来源主要是指组织与直接竞争对手在争夺最优劳动力资源方面展开的竞争。人力资源满足公司发展的程度、人才资源的开发、管理机制和企业家资源是影响公司发展的重要战略风险因素。

3、全球环境战略经营风险。

国外不确定的政治、监管环境、自然资源的地理位置、全球市场竞争状况及一个国家或地区的语言、文化、风俗及宗教信仰都会深刻地影响企业的组织文化, 从而影响企业的战略经营风险。

与战略有关的审计程序会生成证据来帮助审计师提高对战略经营风险、重大错报风险评估的准确性, 有助于评估和控制检查风险。战略经营风险评估是一个循环递推过程, 需要反复评估和获得反馈, 直到审计师的目标实现, 即建立充分、合理的审计判断。

(二) 经营环节风险评估。

通过客户战略系统风险评估, 审计师已经识别出重要战略风险和重大交易类别, 从而可以推导出重大风险经营环节。通过客户战略系统分析, 审计人员应该考虑客户的战略和战略管理程序同财务报告的关系, 尤其是对于会计政策选择和财务报表披露, 客户的经营战略和经营风险对会计和审计意味着什么, 会计估计和计价是否反映了重大的经营风险, 客户的战略风险如何影响经营流程和交易流程的额外审计工作。

环节分析是为了使审计人员深入了解在初期审计中发现的关键经营环节, 了解客户是如何创造价值的。特别是研究每一项核心经营环节, 以发现重要的环节目标、与这些目标有关的经营风险, 以及这些风险和控制对财务报表的影响。环节风险包括:领导风险、监管风险、技术风险、财务计划风险、人力资源风险、运营风险、信息风险。

审计师对环节风险进行分析时需要结合环节目标、环节关键成功要素的理解, 审计师对重要环节风险进行分析、识别的原因是它们可能会导致会计报表的重大错报。同时, 重大交易类别也可能会导致会计报表的重大错报。另外, 审计师在进行环节风险分析的同时, 需要结合客户战略系统分析阶段识别出重大交易类别以及环节本身的业务活动, 并评估其对会计交易的影响, 帮助识别环节重大交易的类别及其对会计的影响。

(三) 剩余风险评估。

现代风险导向审计中的剩余风险就是没有控制在可接受范围水平内的重要经营与重大交易类别。在客户战略系统分析和环节分析完成后, 剩余风险也就代表了审计师认为没有被控制住, 并对会计报表有潜在重要影响的经营风险, 它们可能来源于战略分析, 也可能来源于环节分析。剩余风险成为审计师需要关注的重点。审计师根据剩余风险的结论实施追加实质性测试程序, 从而将会计报表重大错报的风险, 也就是审计风险控制在可接受的范围内。

剩余风险会对以下五个方面产生影响:业绩预期、信息质量、控制环境、生存能力、管理强化。对审计师来说, 则关心与信息质量相关的风险, 尤其是那些涉及财务报告的风险。剩余风险是在企业的控制措施失效时所产生的, 审计人员应该把在审计过程中发现的企业控制不足之处同企业进行沟通, 并向企业提出管理建议, 从而协助企业预防或检查将来可能出现的错误。不论是通过企业采取进一步措施, 还是由审计师直接进行数据重新整理或其他实质性测试, 审计师都要运用专业判断评价剩余风险是否在经过这些程序之后被降至可接受水平。如果剩余风险仍处在不可接受水平, 则审计师不能出具标准无保留的审计意见, 甚至要考虑是否应该从该审计客户辞职。

四、实质性测试

在完成企业战略经营风险评估、环节经营风险评估及剩余风险评估之后, 会形成两个结果:存在剩余风险或风险已经被降低到可接受水平。剩余风险的存在应该成为审计师在实质性测试阶段需要关注的重点。审计师根据剩余风险评估报表整体层次和认定层次的重大错报风险, 然后据以实施追加的实质性测试程序, 从而将会计报表重大错报的风险, 也就是审计风险控制在可接受的范围内。

数据库信息安全风险和风险评估 篇8

关键词：数据库,信息,安全风险,风险评估

数据库信息系统安全技术比较常用的有数据加密技术、病毒检测技术、入侵检测技术等,各种安全技术的应用目的是保证系统和信息不受外界干扰,提高组织的信息系统安全性。数据信息系统的安全性管理是一个整体性的概念,不是依靠单一的技术就能提高相应保障的,而是需要技术与管理相结合,这样才能为信息系统提供最大的安全保障。

一、数据库信息系统的安全风险分析

1. 安全攻击的多样化趋势。

大数据时代的到来意味着社会的信息化程度又提升了一个新的高度,作为大数据应用的支撑,数据库信息系统的安全问题显得更加重要。在大数据的应用过程中,云计算技术、分布式计算技术以及移动计算等技术发挥了至关重要的作用,然而这些技术在实现大数据资源应用的同时也带来了极大的潜在风险,为攻击者提供了攻击形式和攻击渠道多样化的条件。如今安全攻击形式不仅局限于黑客、木马、病毒,断网攻击形式和拒绝服务攻击形式也频繁发生,而且数据采集端口、邮件传输端口也成为安全攻击的重要渠道,对信息系统安全造成极大的威胁。

2. 系统漏洞快速增长化趋势。

数据库漏洞的种类繁多和危害性严重是数据库系统受到攻击的主要原因,据CVE的数据安全漏洞统计,Oracle、SQL Server、My SQL等主流数据库的漏洞逐年上升(如下图所示)。大数据时代环境下,为了满足人们对数据资源的有效利用,很多软件开发商根据人们的需求开发了各种应用程序,以便满足人们的数据存储和数据应用需求,多数情况下,各种软件产品的生产没有统一技术规格,其采用的系统架构、数据接入端口不同,数据的存储和数据提取模式也有不同,断点续传、离线存取等多种存取方式都会给信息系统带来更多风险,导致数据库信息系统出现更多的安全漏洞,严重威胁数据库信息系统的安全性。

3. 系统安全威胁智能化趋势。

计算机技术的快速发展同时也促进了安全攻击技术的迅速提升,安全攻击技术开发者正采用更加先进的思想和技巧提高安全攻击工具的性能,如今的攻击工具具有极强的变异特征,不仅具有智能化功能,还具备反侦察能力,其漏洞的发现和利用速度大幅度提升,对防火墙的渗透性越来越高,安全威胁的不对称性越来越强,对网络根基设施的破坏程度越来越严重,并能够在不被风险评估技术、安全防御技术发现的情况下长时间潜伏在系统中,其传播速度极快,可导致系统大范围感染,一旦爆发将会给信息系统带来极大的损失。

二、数据信息系统的风险评估探讨

目前,具有一定可行性的数据库信息系统安全风险评价技术主要有安全检查表法、专家评估法等,另外还有比较常用的事故树分析法,都在数据库信息安全风险评估中发挥了重要作用。不论是哪种风险评价技术,其应用价值的发挥关键在于系统安全评估人员的风险分析经验,需要评估人员在风险评估标准依据下结合类似安全风险案例进行风险等级划分,同时也能对风险评估结果提出主观性意见。

1. 安全检查表法在数据信息系统风险评估中的应用。

该方法的应用主要是制定详细的数据信息系统风险评估内容以及风险评估规范,完成制定后的安全检查还需要通过安全风险评估专家的逐项评估,然后应用于数据库信息系统中,并及时发现数据库信息系统存在的风险。

2. 专家评估法在数据信息系统风险评估中的应用。

数据库信息系统的风险评估在一定程度上可以是根据系统的运行状况来判断,在信息风险评价相关标准的依据下,通过对系统以往运行状况和当前运行状况的分析可以对数据库信息系统未来的安全趋势进行预测。在安全风险的专家评估过程中,通常采用的方法有质疑法和审议法,两种方法均具有较好的应用效果。

3. 事故树分析法在数据信息系统风险评估中的应用。

事故树是一种演绎的安全系统分析方法,广泛应用于安全系统工程中。该方法的特点是进行层层分析,对系统的软硬件资源进行层次划分,通过对风险概率的优化和组织找到最有可能发生风险的资源。事故树分析法从要分析的特定事故开始,然后通过层层分析找出故障原因。事故树分析法可以对系统的不安全因素进行准确预测,并对风险造成的可能后果进行评估。

数据库信息系统安全风险评估是发现系统漏洞和安全隐患的重要手段,在信息系统的安全防范中发挥着举足轻重的作用。所以,加强对信息系统安全风险评估技术的开发和应用是目前一个非常重要的问题。

参考文献

[1]李永,周冰心.数据库信息系统安全风险及防范措施分析[J].中国校外教育(下旬刊),2013(3):187.

风险评估风险管理 篇9

以往研究中对高新技术项目技术风险因素的分析主要从技术成熟性风险、技术更新周期风险、技术兼容性风险、技术复杂性风险、技术安全性风险以及技术政策风险等几个角度来分析[4 - 5], 但每项风险因素设定过于笼统, 未能展开、详化; 同时, 风险因素的评价一般采用专家打分的方法来确定其分值———这种风险因素的设定和评价方式人为主观性强, 不够科学、全面, 从而难以确保评估结果的客观性和有效性。

鉴于高新技术项目技术垄断性强、研发周期短、更新速度快、重视专利申请、注意构建技术壁垒和形成行业标准的特点, 本文根据风险因素的来源, 从 “技术环境风险要素系统、技术自身特征风险要素系统以及项目组织风险要素系统”三方面, 分析、识别高新技术项目的技术风险因素。

1高新技术项目技术风险三维模型构建的理论和方法

1. 1 高新技术项目风险管理理论

根据风险管理理论, 高新技术项目风险可以从不同的角度, 按照不同的标准进行分类, 例如影响范围的不同可划分为总体风险和局部风险[6]。本文根据研究需要, 按照风险引发或损失产生的原因可以将高新技术项目风险划分为技术风险、市场风险、管理风险、财务风险、环境风险等[7 - 9], 其中的技术风险即为本文的研究对象。

所谓技术风险, 是指由于外界环境的不确定性、项目的难度与复杂性以及项目承担者自身能力与实力的有限性, 而导致技术创新活动达不到预期目标的可能性及其后果[7]。例如: 新技术可能被模仿或被其他新技术替代———高新技术的发展日新月异, 如技术本身领先程度不高, 可能较容易地被竞争者模仿, 或被更新的技术替代甚至淘汰; 新技术要求的原材料可能不可得———新技术要求的原材料或新部件市场上无法取得, 供应商无法在一定时期内提供所要求的部件或原材料从而导致无法批量生产;技术前景不确定———如企业缺乏持续开发的能力, 新技术就无法得到进一步完善, 或企业没有能力开发周边产品或服务[8]。

由于高新技术项目自身特点, 决定了技术风险对其的严重影响, 有些技术风险会直接导致整个高新技术项目的失败。所以针对高新技术项目, 在项目立项阶段, 应对其技术风险进行重点识别、评估并加以规避。

1. 2 模型构建方法

依托我国 “863”计划信息通信领域中已完成的高新技术项目, 本文选取信息通信领域中自2003 年至2009 年97 个高新技术项目案例, 如表1 所示, 并以这97 个案例为基础进行高新技术项目技术风险模型的构建研究。首先, 利用访谈方法, 对97 个项目负责人进行深度访谈, 了解高新技术项目的基本情况以及在项目研发过程及风险管理过程中所遇到的主要问题; 其次, 通过研讨会的方式咨询信息通信领域的专家以及科技部门的管理人员, 分析高新技术项目管理过程中面临的问题及相应的注意事项———通过上述访谈、研讨会的形式, 构建高新技术项目技术风险三维模型, 重点确定模型的风险维度;最后, 结合对国内外大量文献研究成果的查阅, 提炼出各风险维度上的技术风险因素。其中, 高新技术项目技术风险评估模型构建流程如图1 所示。

1. 3 高新技术项目技术风险因素三维模型

以上述信息通信领域97 个高新技术项目案例为基础, 通过上述研究方法和研究过程, 获知高新技术项目技术风险主要来源于项目所处的技术环境, 拟采用技术的自身特征, 项目承担单位以及项目组织几个方面, 综合各方面因素构建高新技术项目技术风险因素模型, 其中包括 “技术环境”, “技术特征”以及 “项目组织”三个维度, 如图2 所示。

2 高新技术项目技术风险因素识别

根据上述构建的高新技术项目技术风险三维模型, 高新技术项目技术风险因素包括技术环境、技术特征和项目组织三个方面, 通过文献调研方法, 参考不同学者对项目风险属性的认识, 从系统性的角度, 结合高新技术项目自身的特点, 对高新技术项目各个维度的潜在技术风险因素的进行了初步假设。

2. 1 技术环境风险

技术环境维度主要是从高新技术项目所处的技术环境进行分析, 其中包括政策环境、社会伦理和道德因素、产业技术竞争强度以及产业标准化强度等等。

2. 1. 1 技术政策环境

国家的政策、法律、法规的变化, 行业发展规划的调整以及产业导向、政策倾向的转变等都会对项目的运作条件产生制约作用[10]。因此, 可建立如下假设:

R11: 政策、法律及法规的倾向支持将会降低高新技术项目的技术风险。

2. 1. 2 社会伦理和道德因素

任何技术的发展和应用都离不开社会环境。技术研发及应用的目的是为了更好地促进社会发展, 但并不是所有技术都能为社会带来积极的一面, 如果违背社会伦理和道德, 该技术的应用和研发必定会受到限制。例如, 如基因食品、克隆技术等。因此, 可建立如下假设:

R12: 违背社会伦理和道德会极大地增加项目的技术风险。

2. 1. 3 社会需求程度

项目实施对社会需要的满足程度如何, 对项目的技术风险有着直接的影响。社会需求程度越大, 则该项目技术价值越大, 面临的技术风险越小[11]。因此, 可建立如下假设:

R13: 社会需求程度越高, 则项目面临的技术风险越小。

2. 1. 4 自然环境破坏程度

项目实施对生态环境带来的破坏影响度, 比如人类生活环境污染、动植物栖息地的破坏等, 破坏度高, 则项目价值降低[11]。因此, 可建立如下假设:

R14: 自然环境破坏程度越大, 则项目面临的技术风险越大。

2. 1. 5 产业技术竞争强度

评估组织所处产业的技术竞争强度, 评估竞争情况时需要考虑的因素包括技术竞争对手数量、是否存在占绝对优势地位的竞争者, 是否存在技术垄断的情况[12]。因此, 可建立如下假设:

R15: 产业技术竞争强度越大, 则项目面临的技术风险越大。

2. 1. 6 产业技术标准化程度

评估产业技术的标准化状况, 技术标准化程度越高, 潜在的技术壁垒少, 技术威胁程度也就越低[12]。因此, 可建立如下假设:

R16: 产业技术标准化程度越高, 则项目面临的技术风险越小。

2. 1. 7 产业技术纠纷频度 ( 项目所处行业对知识产权的重视程度)

评估组织所处环境发生技术纠纷的频度, 产业不同, 技术含量不同, 发生技术纠纷的频率也会有所不同。技术纠纷频度越高的产业, 组织外部技术威胁也就越大, 项目面临的技术风险亦越大[12]。因此, 可建立如下假设:

R17: 产业技术纠纷频度越高, 则项目面临的技术风险越大。

2. 1. 8 产业技术体系结构

所处的产业技术体系发展整体情况如何, 如果整体情况发展很好, 配套技术齐全, 发展水平很高, 则风险相对较小。因此, 可建立如下假设:

R18: 产业技术体系结构越完善, 则项目面临的技术风险越小。

2. 1. 9 带动产业发展程度

项目实施对当地相关产业发展的带动程度, 如果带动产业发展的程度大, 该项目技术价值越大, 面临的技术风险越小[11]。因此, 可建立如下假设:

R19: 带动产业发展程度越高, 则项目面临的技术风险越小。

2. 2 技术特征风险

技术特征维度主要从技术自身角度进行分析, 分析其技术成熟度、技术复杂度、技术的循环周期等。

2. 2. 1 技术吸引力

技术吸引力 ( Technology attractiveness ) 是Ernst[13 - 14]所提出的专利组合指标, 技术吸引力主要是衡量特定技术领域的专利技术成长率。测量方法采用技术相对成长率 ( Relative Growth Rate, RGR) 与专利技术成长潜力 ( Relative Development ofGrowth Rate, RDGR) , 其中, RGR和RDGR计算方法分别如下:

RGR = 单一技术领域专利申请的平均成长率 ( 10 年内) /所有技术领域专利申请的平均成长率 ( 10 年内)

RDGR = 单一技术领域专利申请数平均成长率 ( 后5 年内) /单一技术领域专利申请数的平均成长率 ( 前5 年内)

RGR与RDGR分别从横向和纵向维度上对技术吸引力情况进行分析: RGR代表各技术领域的相对成长率, 若RGR值在全部技术领域中属高者, 则能表示该技术领域在所有技术领域中是高成长的, 即该技术领域的技术吸引力高, 反之, 则技术吸引力低; RDGR代表各技术领域的相对成长潜力, 若RDGR值在全部技术领域属于高者, 则能表示该技术领域在最近五年较前五年有迅猛发展, 反之, 则表示该技术领域呈现负成长或者停顿状态, 偏离于主流的技术领域。

因此, 可建立如下假设:

R21: 技术吸引力越大, 则项目面临的技术风险越小。

2. 2. 2 技术生命周期

通过对专利数量与专利申请人数量二者的时序变化分析, 专利技术生命周期在理论上被划分为5个阶段[15]: 技术起步期, 专利申请数量和申请人数都较少, 领域内研究者不多, 研究成果较少, 处于实验开发阶段, 面临的技术竞争少, 但相关技术设施配套较少, 有一定技术风险; 技术发展期, 申请数量和申请人数均大幅增长, 较多力量进入该技术市场, 多为产品导向型专利, 相关配套技术陆续研制, 竞争相对较弱, 该阶段风险最小; 技术成熟期, 专利数量继续增加, 申请人数量维持不变, 前期取得优势的有限几家公司掌握了主要技术并主导着该技术发展, 技术已趋于成熟, 以商品改良设计型专利为主, 但该阶段技术竞争加剧, 具有一定的技术风险; 技术衰退期, 申请数量下滑, 申请人数降低, 经市场淘汰仅少数优势厂商生存, 商品型态固定, 技术无进展, 以小幅改良型专利为主, 该阶段技术垄断局面已经形成, 技术风险相对较大; 此后, 技术是否能进入复活期, 主要取决于是否有突破性创新为技术市场注入活力。因此, 可建立如下假设:

R22: 技术处于技术发展期, 则项目面临的技术风险最小; 其次分别是技术起步期和成熟期; 次之, 是处于技术复活期的技术; 而风险最大的是采用处于技术衰退期的技术。

2. 2. 3 技术知识含量

技术知识含量越高, 技术越不易被模仿, 存活时间长, 且易占有市场份额。使用非专利文献 ( NPC) 方法来测度 “基础研究” 变量, 专利文献中引用的非专利参考文献的数量作为 “基础研究”与专利之间的科学链接的衡量标准, 该数值越高, 说明该专利与基础研究之间的链接关系越强, 知识含量越高, 技术模仿越困难[16]。因此, 可建立如下假设:

H23: 技术知识含量越高, 技术模仿越困难, 将会导致高新技术项目技术风险越小。

2. 2. 4 技术复杂度

本文使用技术耦合程度Ki来测度 “技术复杂程度”变量[16]。测度水平建立在技术子类水平上, 技术子类水平的确定以美国专利分类号为标准。在美国专利文献中标注有 “USClass Major” 和 “USClas-s Other” 两项信息, 前者说明了该专利发明中含有的技术组件所属的主要技术子领域, 后者为技术组件所属的其他技术子领域, 本文将这两项中技术组件所属的技术分类号视为该专利在发明时所涉及的不同技术子领域, 并以此来计算一项专利发明的技术耦合度Ki, 如果Ki值越高, 则说明该项发明的跨越的技术子领域越多, 技术复杂程度越高。

TECi含义为指定一个子类i ( i代表技术子类代码) 的所有样本专利中, 其他非i的子类和子类i共同出现的次数 ( 共同出现表示这两个不同技术子类具有耦合性) 。PCi含义为被分类到子类i中的所有专利的数量 ( 每项专利在授权时会给其指定一个子类i, 是惟一对应的值) 。Ei表示每个专利分类号所代表的技术组件和其他技术进行组合的难易程度。TKCj是专利j中包含的技术子类的数量 ( 在专利审查文件中, 会给出该专利涉及技术子类, 有相应代码显示, 专利文献中可查到) 。是对属于同一专利的不同技术子类的Ei值进行加总求和。因此, 可建立如下假设:

H24: 技术复杂度过大将会导致高新技术项目达不到预期效果和目标。

2. 2. 5 技术的适用度及匹配性

技术的适用程度表现了技术与项目中人力、物力、信息等相关资源的配合程度以及与项目过程中有关效率和质量要求的匹配程度。技术的适用度越高, 则与项目研发环境的匹配性越好, 越有助于项目的研发实施[17]。因此, 可建立如下假设:

H25: 技术的适用度越高, 则项目技术风险越小。

2. 2. 6 技术循环周期 ( technology cycle time)

技术循环周期是指一个技术的革新速度或多久的时间内被取代。通过观测专利引用时间, 可了解某个行业或某个企业技术革新的速度[18], 衡量指标使用专利引用的平均年数, 即技术循环周期, 循环周期越短, 则技术更新速度越快。因此, 可建立如下假设:

H26: 技术循环周期越短, 将会导致高新技术项目技术风险越大。

2. 2. 7 技术兼容度

技术的兼容度是指特定应用的技术具备与传统技术连接的良好界面。兼容度高的先进技术容易与传统技术融合, 可以方便的实施过渡, 同时使新技术直接替代成为可能。兼容度越高, 技术实施的成功率越高。因此, 可建立如下假设:

H27: 技术兼容度高将会降低高新技术项目的技术风险。

2. 2. 8 技术前景风险

技术前景风险是指即将开展的高新技术项目所采用或研发的技术是否具有研发的前景价值, 其包含两方面的含义, 第一, 项目采用的技术是否具有研发潜力; 第二, 是否会触及技术壁垒, 造成侵权的风险[19]。因此, 可建立如下假设:

H28: 技术前景风险越大, 则高新技术项目技术风险越大。

2. 3 项目组织风险

项目组织维度主要是从具体项目角度, 包括项目承担者的技术实力情况、项目设计方案的科学性等角度展开分析。

2. 3. 1项目承担单位技术竞争指数

该指标反映了公司i在j技术领域的发明专利申请量占j技术领域总发明专利申请量的比例。通过比较各公司的Cij, 可对各公司在整个j技术领域的技术创新竞争地位进行排序, 某公司的该指标越高, 则说明该公司在j技术领域的技术创新能力越强, 其竞争地位越高[20]。因此, 可建立如下假设:

H31: 项目承担单位技术竞争指数越大, 说明该公司在j技术领域的技术创新能力越强, 其竞争地位越高, 高新技术项目技术风险越小。

2. 3. 2 权力要求数 ( number of claims)

通过对专利权力要求数的统计, 可以分析发现申请专利的机构的技术创新能力。研究表明, 有价值的专利表现为专利权要求的数量多而且技术覆盖范围广[21]。因此, 可建立如下假设:

H32: 项目承担单位的权力要求数越多, 创新能力越强, 则项目技术风险会越小。

2. 3. 3专利授权率 ( Patent Authorization Rate, PAR)

由于只有获得授权的专利才具有新颖性、实用性、创造性, 因此授权量及授权率的大小能够更真实、有效地反映某个国家、地区、机构、领域的技术创新水平[22]。因此, 可建立如下假设:

H33: 项目承担单位的专利授权率越高, 技术创新水平越高, 则项目技术风险会越小。

2. 3. 4 项目承担单位的技术周期

该指标用来反映创新主体的创新速度。该指标使用创新主体在技术领域中专利申请数量与其申请时间跨度的比值, 即单位时间内的专利申请数量来表示, 单位时间内专利申请数量越多, 则表征创新速度越快, 技术创新能力越强。但该指标需要与技术循环周期结合起来应用, 根据所研究的项目所处的技术领域, 在应用中对其进行离散定级。因此, 可建立如下假设:

H34: 项目承担单位的技术周期越短, 创新速度越快, 则项目技术风险会越小。

2. 3. 5 项目承担单位相对技术位置

该指标用于反映项目承担单位与技术领域内的标杆研发机构之间的差距。相对专利位置 ( RelativePatent Position, RPP ) 是Ernst所提出的专利组合指标。

计算方法为单一研发机构在特定的技术领域所拥有专利数与该技术领域标杆研发机构的专利数的比值, 该技术领域的标杆研发机构是指专利拥有数最多的机构[13 - 14]。RPP值越接近1, 即表示该研发机构专利数量在该技术领域越领先; 数值越接近0, 表示其与该技术领域的标杆研发机构的差距大。因此, 可建立如下假设:

H35: 项目承担单位相对技术位置值越小, 则高新技术项目技术风险越大。

2. 3. 6 项目承担单位的技术独立性

技术独立性用以衡量项目研发单位技术对外依赖性, 衡量方法采用自我引用率, 即项目承担单位引用自己专利的次数除以其被引用的次数总和 ( 含自我引用次数和被别人引用次数) 。自我引用率高说明研发自主性强, 是衡量项目承担单位技术独立性的指标[23]。因此, 可建立如下假设:

H36: 技术独立性越强, 项目技术风险会越小。

2. 3. 7 技术实力风险

技术实力风险是指高新技术项目承担公司在其承担的项目所选用的技术方面在整个技术领域中的技术能力情况[24]。因此, 可建立如下假设:

H37: 技术实力风险越小, 说明项目承担单位在项目所选用的技术领域更为擅长, 则项目面临的技术风险会越小。

2. 3. 8 项目承担单位的合作开发密度

Dij = i公司在j技术领域与合作者联合申请的专利数量/i公司在j技术领域专利申请数量

该指标用来反映创新主体分享外部知识的能力。专利常常由多个申请者共同申请, 该指标可以看出项目承担单位分享外部知识的能力。因此, 可建立如下假设:

H38: 项目承担单位的合作开发密度其值越大, 则项目技术风险会越小。

2. 3. 9 项目承担单位的技术范围

该指标用来反映创新主体的知识涵盖能力[23]。该指标使用项目承担单位在技术领域F中申请专利所覆盖的IPC类别数量来表示, 其所覆盖的IPC类别数量越多, 表明其技术范围越广, 其知识涵盖能力越强, 则对应着其技术研发能力和问题处理能力相应的越强。因此, 可建立如下假设:

H39: 项目承担单位的技术范围越广, 则项目技术风险会越小。

2. 3. 10 设计方案的科学性

高新技术项目的整体设计方案以及技术设计将对项目的成败起到至关重要的影响作用[25]。设计方案成熟程度及科学合理性将在技术层面对整个项目的研发过程产生结构性的影响, 独特的软硬件要求和不能令人满意的设计结果可能会使计划产生变化。系统设计方案的成熟度越高, 越充分, 风险往往越低; 系统设计方案的成熟度越低, 合理性越差, 风险往往就越高。因此, 可建立如下假设:

H310: 设计方案不科学将会增加高新技术项目的技术风险。

2. 3. 11 项目人员中R&D人员比例

研发人员是项目最宝贵的财富, 高新技术项目的顺利进行及成果的产生都是研发人员努力的结果, 所以研究人员整体素质也会对目也会产生巨大影响。研发人员风险一般包括企业研发人员的数量, 研发人员的能力和水平, 研发人员的待遇, 研发人员的积极性, 研发人员的忠诚度等。鉴于可操作性, 本文选用项目人员中R&D人员比例作为评估指标。因此, 可建立如下假设:

H311: 项目人员中R&D人员比例越高, 则高新技术项目技术风险越小。

2. 3. 12 设施及原材料的可靠性

设施风险是指由于采用新技术而导致的研发设备、加工、组装、集成、试验、测试等设施达不到最终要求, 而形成的风险。原材料风险是指由于原料、试剂等的质量问题而造成的风险[25]。因此, 可建立如下假设:

H312: 设施及原材料不可靠将会增加高新技术项目的技术风险。

3 结论

通过上述研究, 构建了高新技术项目技术风险三维模型, 并识别了各维度包括的风险因素, 如表2 所示。

本文在参考大量文献研究成果的基础上, 通过对我国信息通讯领域中已完成的高新技术项目进行调研和专家座谈, 根据技术风险来源, 分别从技术环境、技术特征和项目组织三个维度分析了高新技术项目的技术风险因素, 提出了高新技术项目潜在技术风险因素的假设, 有效规避了前人风险指标选择过于空泛, 实际应用性差的问题, 从而为全面、系统地分析高新技术项目技术风险提供理论依据和数据基础, 具有理论意义和实用价值。

摘要：针对高新技术项目所面临最为复杂的一类风险——技术风险, 在项目立项阶段对其准确识别并有效规避对于高新技术项目顺利开展具有重要意义。利用案例分析、专家访谈和文献调研研究方法, 构建包含技术环境、技术特征和项目组织三个维度的高新技术项目技术风险模型, 识别出模型中各维度包括的风险因素。该技术风险模型维度的设定依托于大量项目案例的调研和分析, 从而有效确保技术风险模型的实用性;风险因素的选取以定量指标为主, 指标数据主要来源于专利数据的深入分析和应用, 易获取且具有权威性, 为后续高新技术项目技术风险评估的开展奠定了坚实基础。

风险评估风险管理 篇10

电力企业是较早实现生产经营信息化的企业, 伴随计算机网络广泛应用于电力企业的各个方面, 电力企业的生产经营对信息网络的依赖性也越来越强,信息资源不仅支撑着电力企业的正常运作,也成为电力企业生存发展的重要资产[1]。随着全球信息化的加速推进,信息安全问题也随之而来。电力企业的重要信息一旦外泄将造成无法估量的损失。 目前电力企业的信息安全建设常常忙于解决已经存在的安全问题,有一定的盲目性和短期效应。因此, 做好电力企业的信息安全工作也成为当前电力企业信息化工作的一项重要课题。

Thomas Finne将信息安全风险定义为: 威胁( 引发损害的事件) 、漏洞( 组织可被威胁利用的缺口) 和资产价值( 资产处于危险状态时对组织的重要性) 之间的相互作用[2],其中风险会随着信息资产拥有的价值、脆弱性被利用的危害、威胁攻击影响三个因素的增加而增大,随着安全防控措施有效性提高而减小。通过对电力企业信息安全风险评估可以掌握信息系统的安全状况和安全等级,明确信息系统面临主要的风险要素,采取措施维护改进加强信息的安全保障。目前研究信息安全风险的方法有很多,本文在对某电力公司信息安全管理实际考察下, 选定基于风险概率和风险影响两个方面的风险矩阵方法研究该电力公司信息安全风险。风险矩阵法是由美国空军电子系统中心提出的,是在项目管理过程中识别项目风险重要性的方法。运用风险矩阵来评估电力企业安全风险水平,可以将风险清晰明确地表现出来,简洁明了地识别主要的风险要素,从而方便电力企业采取相关的风险规避措施。风险矩阵与一般其他常用风险评估方法的显著区别在于风险矩阵是先通过对风险影响和风险概率确定等级划分,由专家通过较为直观的经验判断出风险影响和风险概率所处的量化等级,然后对各风险因素进行排序,实现风险评估。根据信息安全定义建立威胁、脆弱性、资产三个风险识别系统,由专家确定出风险影响和风险概率二维矩阵,确定出风险序值,利用Borda序值进行排序,用层级分析法确定风险要素的权重,最后综合测算信息安全的综合等级。

1基于风险矩阵的电力公司信息安全风险评估

1. 1构建风险矩阵评估模型

基于上述分析和定义,构建基于风险矩阵法的信息安全风险评估模型,如图1所示。

1. 2风险要素

本文通过专家调查问卷,向该电力公司20位专家发放信息安全风险要素调查问卷,结合ISO17799: 2006、NIST SP800 - 26为参考准则,确立了八项风险要素: 人事、物理环境、组织机构、信息机密性、网络设施、通信操作、系统、决策和风险评估[3 - 5]。风险要素具体内容如表1所示。

1. 3风险概率和风险影响

风险发生概率和风险影响是确定风险等级的基础,根据GB /T 20984 - 2007中的等级划分规则,将其各分为5个等级。在风险发生概率等级中,1级到5级依次表示发生概率越来越大。0 ~ 10% 概率说明极不可能发生; 11% ~ 30% 说明发生可能性很小; 31% ~ 70% 说明有可能发生; 71% ~ 90% 说明发生可能性很大; 91% ~ 100% 说明极有可能发生。

在风险影响等级中,1到5级则表示影响程度越来越严重,如表2所示。

威胁、脆弱性和资产的识别是群定风险概率值P和风险影响值I的基础,GB / T 20984 - 2007将威胁、脆弱性严重程度和资产等级均定义为5个等级, 并分别赋值为: 很高( 5) ,高( 4) ,中( 3) ,低( 2) ,很低( 1) 。风险发生概率值P由威胁出现频率T和脆弱性严重程度V来确定[6]:

风险影响值I由脆弱性严重程度V和资产价值A来确定:

文中,f1、f2表示构建专家二维矩阵。f1中,矩阵行均代表脆弱性严重程度,列代表威胁出现频率, f2中,矩阵行均代表脆弱性严重程度列代表资产重要性等级; 以此行、列建立矩阵,不同的脆弱性与不同的威胁或资产价值结合产生的风险概率或风险影响具有随机性,矩阵内的计算方法由专家确定。

1. 4风险等级栏

根据GB /T 20984 - 2007将风险概率和风险影响的值代入风险矩阵来确定风险等级。风险等级对照表把数字表示等级量化,文字表示等级描述[7]。 风险等级从1级到5级,可划分为很低、低、中、高、 很高,如表3所示。

1. 5风险要素的权重

评估该电力公司信息安全选取多指标评估系统,风险要素权重确定是重要步骤。应用Borda序值法消除存在处于同一风险等级的风险要素的风险结,对风险要素的重要性排序。Borda序值法: 设N为总的风险要素数,i为某个特定风险,其中k表示某个准则。若rik表示风险i在准则k下的风险等级,bi( i = 1,2,…,8) 来表示风险要素的Borda数由式( 3) 给出:

本文中风险要素有8个,N = 8,信息安全风险矩阵有两个准则,k = 1,ri1表示风险影响准则,k = 2, ri2表示风险概率准则。Borda序值从大到小表示风险的重要程度[9],利用层次分析法做出判断矩阵A。

其中,wi> 0,对矩阵A按行求积,然后将乘积开n次方,开方结果归一化得到权重向量。计算风险要素权重RWi。

1. 6风险等级综合评估

将各风险要素的风险等级量化值RRi与相对应的风险权重RWi相乘,然后将得到的结果累加,即可得到综合风险等级量化值RRT,如公式( 4) :

2实例应用

根据调研得到该电力公司专家的判断,对风险发生概率和风险发生影响做出评估。构建专家二维矩阵,即确定f1、f2的计算公式:

得到二维矩阵,矩阵的行代表脆弱性识别V从1级到5级,风险概率矩阵P列代表威胁识别T从1级到5级。风险影响矩阵I的列代表资产识别A从1级到5级。

依据二维矩阵,将风险概率和风险影响划分为5个等级[9],如表4 - 5所示。

由专家确定每个风险要素的脆弱性识别等级、 威胁识别等级和资产识别等级,根据风险概率矩阵和风险识别矩阵确定出要素的风险概率值和风险影响值。根据表和表确定要素风险概率等级和风险影响等级,代入表确定风险等级。并计算风险概率量化值。计算得到表6。

利用Borda数基本算法,计算八个风险的Borda数依次为: 11、8、4、15、7、12、9、10。取相对数得Bor- da序值为: 2、5、7、0、6、1、4、3。根据Borda序值数做出判断矩阵:

逐行相乘得:(120 0.0083 0.000025 403200.0004 2350 0.2 5)。开8次方:

(1.819 0.5497 0.266 3.764 0.3757 2.66180.8178 1.2223)。归一化求得权重:(0.159 0.0480.023 0.328 0.033 0.232 0.071 0.107)计算得到λmax=8.2883,

,查表得随机一致性指标n=8,RI=1.41。 说明矩阵通过了一致性检验。计算公司的信息安全风险等级:

3结束语

本文应用了二维风险矩阵法来评估信息安全风险,开展对风险要素的重点识别,系统评估信息安全风险,将定性的过程定量化,为实现信息安全风险管理提供系统化的工具。在该电力公司信息安全风险等级为中,信息机密性的量化值高于综合风险值,公司需要重视信息的机密性,并加强相关管理。通过风险矩阵法评估信息安全风险不仅考虑风险影响的程度和风险可能发生的概率还能降低主观的不确定性。计算结果为管理者改善管理提供方向,具有一定的理论意义和可操作的实用价值。

摘要：随着信息化的发展,电力企业信息安全风险管理日益凸显出其重要性。基于某电力公司八个信息安全风险要素分析,运用风险矩阵法对信息安全风险进行评估。建立了包含了专家二维矩阵、运用Borda序值法和层次分析法的评估模型。运用实例计算信息安全风险等级并找出主要安全风险要素,证明了模型的有效性和合理性。研究结果对电力公司加强信息安全风险管理有一定的参考价值。

风险投资公司的筹资风险管理研究 篇11

[关键词] 风险投资 筹资风险

风险投资公司是指具有一定特質的金融中介人，它们具有识别新创企业或早期成长企业的能力，通过对其投入高风险资本、提供必需的专家技术、实施项目管理等，帮助企业成长，并以此获取报酬。由于风险投资的最大特点就是高风险和高收益并存，风险投资公司要想获取高收益，增加风险项目的成功率，减少风险损失，必须加强对风险的控制。风险投资公司的筹资阶段是风险投资活动的起始阶段，对这一阶段进行风险管理就是要通过采用一系列风险管理技术，有效规避资金筹集过程中面临的各种风险，促进风险投资公司资金筹集工作的有序进行，最终建立适度的资金规模和合理的资金来源结构，为风险投资未来能够成功运作打下坚实的基础。本文仅对风险投资公司的筹资风险管理进行探讨。

一、基本概念及内涵

1.风险的涵义

所谓风险，简言之就是事物的不确定性。在现实的经济活动中，不确定性总是或多或少地伴随于人们的利益活动和经济行为之中，也即任何风险活动都是围绕利益进行的，风险就其本质而言是风险利益。风险无时不有，无处不在，已成为理论界和实务界普遍关注的焦点之一。

2.风险投资的涵义

风险投资也叫风险资本、创业投资等，是指对创业企业尤其是高科技创业企业提供资本支持，并通过资本经营服务对投资企业进行培育和辅导，在企业发育成长到相对成熟后即退出投资以实现自身资本增值的一种特定形态的金融资本。其涵义有广义和狭义之分。广义的风险投资是指投资者对任何有风险项目的投资；狭义的风险投资是指投资者对初创企业(主要是高科技企业)进行投资，参与被投资企业的经营管理，并为被投资企业提供服务，以期望获取高额收益的目的。本文的风险投资指的是狭义的风险投资。

3.财务风险的涵义

对财务风险的理解有狭义和广义之分:狭义的财务风险通常被称为举债筹资风险，是指企业由于举债而给企业财务成果(企业利润或股东收益)带来的不确定性；广义的财务风险是指在企业的各项财务活动中，由于内外部环境及各种难以预计或无法控制的因素影响，在一定时期内企业的实际财务收益与预期财务收益发生偏离，从而蒙受损失的可能性。

二、风险投资公司筹资风险管理问题

1.风险投资公司的特点

风险投资作为一种带动成长型高科技产业发展的新型投资方式，正以迅速发展的态势在我国出现。风险投资的具体运作是通过建立风险投资公司进行的。目前在我国虽然已出现了一批风险投资公司，但对于风险投资公司如何运作仍处于探索之中。风险投资公司是适应高科技产业的发展应运而生的，是在有利于提高比较优势的新的社会分工下出现的。由此决定了风险投资公司的投资方向是高科技产品。风险投资公司只有从事高新技术产品的开发，才能充分显示出它的比较优势，才能在比较优势下获得的高回报。高新技术产业之所以采取了风险投资这种新型方式，是因为高新技术产业的技术创新投资，资金需求量大，虽然回报率高，风险性也大，失败率也很高。在这样一个特殊的投资领域中有其特殊的投资规律和资本的运作方式，正是这种投资的特殊性，才决定了风险投资公司存在的必要性。

2.筹资风险的特点

筹资风险一般是指企业因借入资金而带来的无法偿付债务所遭受损失的可能性。但由于风险投资对象多为中小型高技术企业，规模小、资信差以及它的高风险性，难以从银行、企业及证券市场等传统渠道获得必要的创业资金。因此筹资风险不仅是客观存在的，也是无法逃避的。风险投资公司的筹资风险主要是指由于债务融资所导致的股东收益的可变性和偿债能力的不确定性。

（1)资金来源变化所造成的股东收益的可变性。根据资金成本等相关理论我们知道：在投资收益率高于负债利息率的前提下，企业的负债率越高，自有资金的收益率越高，股东的收益也越高；反之，在投资收益率低于负债利息率的情况下，企业的负债率越高，自有资金的收益率越低，股东收益不确定性越大。

（2)资金来源变化所造成的偿债能力的不确定性。这种不确定性是由于债务融资必须要按事先的约定支付固定的利息，企业的负债率越高，需要支付的利息费用数量越大，企业丧失现金偿付能力的可能性就越大。

3.筹资风险的影响因素

风险投资公司筹资的风险主要与资金的筹集规模、来源渠道及其资金的结构等直接相关。资金来源主要有：富有的个人和家庭、政府、大企业资金、养老基金、金融机构以及外国资本等。根据资金的来源并结合我国当前的现状，我国风险投资公司的筹资风险主要受以下几个方面的影响：

（1)资金来源渠道狭窄。主要体现在以下几方面：

第一,私人资本进入风险投资领域存在很多障碍。主要是大多认为中国人传统心理决定了银行储蓄仍是当前多数人的首选，且私人资本太过分散，因此不能期望私人资本成为可行的融资来源；而且风险投资业务的中介机构不完善，没有具有全面准确的科学知识、技术、信息、经验和技能作为支撑并有一定数量、为投资人提供智力服务并按市场机制独立运作的专业机构；当前的法律和政策环境存在问题、技术转化环境不良、信息指导不力等。

第二,政府过分参与投资模式不合理。对风险投资事业的发展，技术创新活动的不断深入，“官办官营”的投资模式也不可避免地暴露出政府作为风险资本主要来源的不合理性和不可行性。

第三,养老基金难以进入风险投资领域。世界各国养老基金都是风险资本的一个重要来源。然而，在目前的国内，由于政策法规的限制，社会保障基金还无法进入中国的风险投资领域。

第四,金融机构进入投资领域受到限制。发达国家的金融机构，包括银行和保险公司、投资银行、信托投资公司等非银行的金融机构，也提供了一定的风险资本。在国内，由于现行保险法的限制，保险公司的资金难以进入风险投资领域。同样，商业银行资金进入风险投资领域也受到了类似的限制。

第五,外资进入风险投资领域的政策不够完善。随着中国经济的发展，只要相关法律和政策的配套措施能跟上，进入中国的外国风险资本一定也将非常可观。

（2)资本结构不合理

资本结构是指公司中各个资本要素额占总资本额的比例，或者说，长期负债占总资本额的比例。确定最佳资本结构是公司一项重要的筹资决策，即为实现股票价值最大化而有效组合债务、优先股及普通股。企业的资本成本就是企业利用不同融资工具筹集资金的平均成本或总的代价。风险投资公司的资本结构面临着：长期资金与短期资金安排不合理；筹资期限与投资期限结构不匹配；债权筹资与股权筹资结构不合理等不合理因素。这必将影响到风险投资公司的筹资风险的发生。

4.筹资风险的控制措施

通过以上的分析，关于风险投资公司筹资风险控制的措施应包括以下几个方面的控制措施:

（1)选择筹资渠道，控制筹资风险

风险投资由于筹资渠道的狭窄，以及筹资渠道障碍的因素的影响，是风险投资公司筹资风险的关键所在。这样选择理想的筹资渠道就成了风险投资公司的首要任务。当前在我国拓宽筹资渠道，主要有：

第一,重点培育以上市公司为主导的风险资本供给机制。我国目前处于风险资本发展的初创阶段，大企业是我国现阶段风险资本第一供给主体。上市公司绝大多数是各行业的大型企业，资本实力雄厚，公司的治理能力和风险投资的参与意识也较非上市公司强。上市公司参与风险投资，不仅可以拓展风险资本的来源，改变我国目前风险资本供给规模小并由政府为主导的格局，而且能够通过参与风险投资调整其产业结构，培养新的增长点。

第二,鼓励证券公司通过直接或间接的方式参与风险投资。由于证券公司有着优秀的人才，具有参与风险投资的人才优势；证券公司作为直接投融资的中介，在长期的投融资过程中，与商业银行、大型企业集团以及上市公司等已经建立了密切合作的工作关系，具有参与风险投资的投融资优势。

第三，适当放宽对养老基金、保险公司和商业银行投资的法律限制。我国的《养老基金管理办法》、《保险法》和《商业银行法》等法律制度都对养老基金、保险公司和商业银行参与风险投资进行了限制。在这些法律制度的约束下，养老基金、保险公司和商业银行等资金还不能进入风险投资领域。因此，应对现行的法律制度进行合理的修订，放宽机构投资者的投资限制，允许它们参与风险投资，但为了防范金融风险，同时对他们参与风险投资进行一定的监管和监督。

第四，建立有效的信用保障體系。在信用普遍恶化和信用秩序严重混乱的条件下，无论采取何种方式，都很难将各路风险资本引导到风险投资领域。因此，建立有效的风险投资供给机制，当务之急是加快完善信用体系，强化社会信用秩序。

第五，对外资的运用要加强法律制度的建设。对于我国加入WTO以后，利用外资已经在我国现代化建设中发挥了极为重要的作用，因为境外资本不仅可以解决我国资金紧张的局面，还可以带来先进的技术和管理经验。在当前利用外资的光明前景下，更应该加强法律法规的健全和完善，保证我国风险投资的快速发展，同时也是保证我国经济持续健康发展的关键。

（2)优化资本结构，降低筹资风险

研究企业资本结构的出发点是企业在筹资过程中如何控制资本成本。企业可以通过不同的手段获得资本，从利用纯粹的债务融资到完全的股权融资。为了获得资源，就需要支付一定的代价。不同的融资手段需要支付的成本是不同的，比如债务融资需要固定偿付本金和利息，股权融资需要支付红利，或者使投资者获得资本增值。结合风险投资公司的自身特点，可以采取以下的方法优化资本结构:

第一，长短期筹资的比例要合理配置。风险投资公司应该根据长短期筹资本身的特点和风险性质来合理地配置长短期筹资，降低筹资风险。

第二，筹资期限与投资期限相结合。风险投资公司在筹集资金时必须对资金的使用时间进行合理预期，根据资金需求的具体情况，恰当地安排资金的筹集时间，适时获得所需资金。否则，容易出现或是由于过早筹资形成资金投放前的闲置增加利息支出；或是因资金到账时间滞后，错过资金投放的最佳时机，造成经营损失。

第三，优化债权/股权结构。风险投资公司本身的业务特点决定其资本流动性非常差，因此更需要一个稳健的债权/股权结构。相关的理论，我们以企业市场价值最大化作为评价风险投资公司债权/股权结构是否最优的评价标准，使公司资产价值达到最大的资本结构，同时也是使公司资本加权成本达到最小的资本结构。

三、结论

筹集风险资金是风险投资运作流程的起点，风险资本的筹集在风险资本的运作中占有重要地位。风险投资具有流动性差的特点，这就决定了它需要一个长期的、相对稳定的资金来源，以保证风险投资家不断对原有项目再投资和对新项目投资。本文通过对风险投资公司的筹资风险的来源及影响因素的分析，指出风险投资公司的筹资风险的控制措施，给我国的风险投资公司的筹资提供一定的指导和借鉴作用。

参考文献:

[1]金锡万:企业风险控制[M].东北财经大学出版社,2001

[2]彭韶兵:财务风险机理与控制分析[M].立信会计出版社,2001

[3]杨艳萍:风险投资的风险识别、评估与控制分析[J].经济师,2003

[4]李延波:风险投资公司财务风险管理研究[D].中国优秀硕博士学位论文全文数据库,2006

[5]党夏宁:风险投资业财务风险控制研究[D].中国优秀硕博士学位论文全文数据库,2004

病历档案风险因素及风险管理 篇12

一、病案风险因素

病案风险是决定病案风险后果(即损失)发生的频率、大小的各种主、客观条件。病案风险主要还表现在以下几个方面。

1.不可抗力。(1)自然因素。病案处于一定的自然物理环境中,自然的龙卷风、飓风、洪水、暴雨、暴风雪、地震、火灾、虫害等突发灾难必然对病案造成破坏,对病案安全造成威胁。2008年汶川大地震中受灾地区医疗机构的病案损失就是一个真实的案例。(2)人祸因素。人祸因素主要是指不可抵抗的人为灾难,包括战争、恐怖袭击、纵火和政治事件等。以北京协和医院为例[1]139,该院作为我国病案管理的楷模,从1921年建院起就注重病案意识,至今保存的病案约300万份。然而在抗战期间也没有能够幸免于日本侵略者之“人祸”。病案号为“9954”的孙中山先生病案现在只剩封面、首页、尸检病理报告以及图片等13页,其余部分都被日本人于1942年接管期间“借走”,至今未还,造成了“9954”号孙中山先生病案的丢失事实。

2.行政法规。国家颁布的有关档案的法律法规、卫生部(卫生计划委员会)一系列文件中关于病案的规定以及各级卫生行政管理部门制订的有关病案管理的规章、制度、规定都属于调整病案管理的法律、法规。病案安全问题的最高法律《中华人民共和国档案法》中只在第五条(档案工作实行统一领导、分级管理的原则,维护档案完整与安全,便于社会各方面的利用)提到档案工作涉及安全问题。笔者收集卫生行政管理部门以及部分医院制定的一些病案管理规章时发现,规章内容涉及病案安全较少。

3.管理理念。病案管理过程中对于病案安全的风险管理观念意识严重滞后。病案管理过程中时常发生病案被抢、被盗事件等管理理念不强的现象。如上海许先生长期患有心脏病,于2001年10月12日入住天津市某医院,手术医治无效死亡。次日上午,患者家属在处理纠纷过程中从医院抢走部分病案[2]。此案中,由于双方病案管理理念缺失,导致患者家属不够冷静抢夺病案,致使此份病案无法保全完整。管理理念不强还表现在病案管理过程中保管不力、病案处置不当。如,时年39岁的栗亚明作为郑州大学第一附属医院的一名工人,利用职务之便偷卖该院病案及单据共计11.9万公斤,致使该院30余万份的病案成为“废纸”[3]。因此病案管理员需要清楚病案管理过程已经从病案科室向临床业务科室前移,无论是临床业务科室还是病案科室,在病案生命周期中都要融入危机意识。

4.信息技术。病案安全风险新的关键因素信息技术在病案过程中的飞速发展,电子病案的大量产生,给病案管理工作带来了新的工作内容,同时也引发了新的病案安全风险。如2003年5月9日,北京海淀区“非典”防疫大队计算机系统中一台电脑因硬盘故障突然死机“,非典”疫情数据险被丢失。为确保电子病案的真实完整、安全可靠,并能永久读取利用,病案管理部门需要面对新型问题。病案生态系统面临很多的安全风险和威胁,都会给病案管理带来风险。因此,基于信息生态理论,建立电子病案安全屏障,需要在病案信息资源、病案人和病案信息技术等各信息生态因子方面进行综合研究,以防范医院管理信息系统与电子病案应用平台遭外来的攻击和入侵的风险。

二、病案风险管理

对病案风险管理进行规划与监控,识别与评估,能够有效地应对病案安全风险,有效消除或降低病案安全隐患。

1.规划。病案风险管理规划的任务包括明确病案风险管理规划的范围和程序。病案风险管理规划范围主要包括以下三个方面:一是利用头脑风暴法、德尔菲法、工作分解结构图法和案例分析法等确定病案安全风险;二是病案风险管理中涉及的领导者、支持者和病案管理员的角色定位、任务分工及各自责任和能力要求;三是明确病案风险管理时间周期、类型级别、预案、信息传递通道和反馈机制等。病案风险管理规划程序包括:确定关键风险及其量化指标和控制标准;制定病案风险备用方案和应急计划;确定病案风险管理模板和应对途径;建立病案风险数据库收集、分析和掌控病案风险管理活动信息。

2.监控。病案风险监控有广义与狭义两种。广义的病案风险监控是指对风险管理全过程的跟踪、评估和反馈。狭义的病案风险监控是指对风险管理结果的有效性的跟踪、评估和反馈。为了更好地对病案进行风险管理,本文采用广义的病案风险监控概念,具体包括对病案风险自身的监控,跟踪已经识别的风险发展变化情况,对风险管理活动进行监控。通过风险监控可以掌握病案风险因素的变化情况,及时发现病案管理过程中的问题,并通过纠偏管理使病案风险管理有效控制风险,提高风险管理的效益和效率。

3.识别。从风险管理的角度考虑病案管理有助于针对性地提出应对病案管理“损失”与“不确定性”的举措。病案风险是病案质量缺损以及医院、患者和社会遭受其他损失的可能性。由于蒙受损失的主体、损失的内容性质、损失的大小和损失发生的可能性不同,因此病案风险类别也呈现多样性。采用目标偏离法可以归纳并识别出可能存在的各类病案风险。在识别病案风险过程中,可以使用同源关系、因果关系、矛盾关系解释病案风险之间的关系[4]104。

4.评估。在管理风险分析和识别的基础之上,通过风险评估可以判定病案风险大小、等级和严重程度,确定病案风险应对和控制的优先级,可以对病案实施经济、有效的控制,使病案风险尽可能地被避免、转移或降至一个可被接受的水平,为病案风险管理目标服务。病案风险管理需要运用风险评估与管理工具与风险评估模型对威胁、影响病案及其环境的因素、病案脆弱性及三者发生的可能性进行评估。

三、病案风险管理的保障

为了有效地应对病案风险,需要构筑国家宏观层面、地方中观层面和医院微观层面的全方位的保障体系。

1. 国家宏观层面。作为全国医疗卫生行政管理部门的最高机构,卫生部应把握社会发展对病案风险应对的总体影响,唤起全社会的病案风险意识,并对病案风险管理工作进行总体设计。战略方针上为病案事业发展提供法律依据,界定法律边界,规划病案发展目标和策略方向;管理措施上通过制度建设促进病案安全与资源合理配置;技术保障上根据病案安全整体方案和功能需求,制订病案风险管理模式和方法。在此基础之上,明确病案的基础性风险与关键性风险,并将病案风险管理纳入到医院风险管理之中;为实现全过程管理病案之目标,将病案风险管理流程与医院业务流程重组、电子病历开发、电子健康档案建设等关键性办法整合。

2.地方中观层面。地方中观层面的病案风险应对也应把握社会发展对病案风险应对的总体影响,强化与唤起社会的病案风险意识,依据国家宏观层面制定的法律法规,制订合理的地方政策和规章,制订引导规范病案管理社会化、市场服务化的具体举措。对辖区内的病案实施统一管理,从病案元数据管理、备份到数据库安全等关键性业务纳入到统一管理的框架下。地方中观层面的卫生行政管理部门可以联合档案局(馆)、科技管理行政机构试点建设“病历科技档案馆”,对辖区内的病案管理进行统一规划与部署,分级分类集中存储与保护病案,并进行统一的开发利用。在医院信息化背景下,地方卫生行政管理部门明确医院职责,使医院从电子病案元数据著录、电子病案系统开发与维护、电子病案系统安全与监控、电子病案失密与利用等四个方面加强电子病案风险管理。

3.医院微观层面。医院微观层面可以根据病案管理中的静态风险与动态风险制定相关的病案风险管理制度。针对静态的病案风险可以制订病案回收操作制度、病案管理制度和奖惩制度等。针对动态的病案风险可以制订风险管理量表对病案风险因素进行监控。医院应将有关病案风险管理制度纳入到病案管理之中,促进病案风险管理制度实施,定期组织医院内外的专家、学者以及病案管理委员会成员对制度实施效果进行评价,修正不合理的部分。除此之外,医院还需要针对病案风险管理要求建立病案风险评价指标体系。