时间:2023-06-11 09:32:10
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇风险评估风险点,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
一、城市公共安全风险评估的实践探索
(一)探索意义
我国城市公共安全风险评估作为风险评估中国化的一个具体实践范畴,具有世界城市公共安全风险评估的一般性特征,同时又是一种有着特定内涵背景与现实要求的举措。
开展公共安全风险评估,是我国城市对接世界先进城市公共安全管理大趋势的主动作为。随着经济全球化和互联网时代的到来,人类社会已进入了高风险时期。城市更是处于“风险胶囊”之中,人口高度密集、快速流动,经济要素高度积聚,政治、文化及国际交往活动频繁,往往成为公共安全风险的重灾区。世界先进城市是一个全面且本质安全的城市,虽然它们的公共安全管理措施各有千秋,但将风险评估纳入政府管理职能体系,把风险评估作为风险管理的第一道防线和核心分析框架[1]却是共同选择。英国伦敦、日本东京、美国纽约等国际化大都市结合各自的市情,建立了各具特色的城市风险评估体系,[2]其常态运作效用显著。我国城市正在朝着“安全发展示范城市”这一目标努力,然而,城市公共安全领域仍存在着诸多不安全的因素,屡屡发生重大安全事件。这些事件暴露了在公共安全风险评估上存在的诸多问题。开展公共安全风险评估,正是基于对风险评估发展趋势的前瞻预判,因势而谋,顺势而为。
开展公共安全风险评估,是城市政府落实国家法律规定,履行政府社会管理和公共服务职能的根本要求。中央从国家长治久安的高度,强调开展风险评估的重要性及迫切性,对风险评估作了明确部署。2007年11月施行的《中华人民共和国突发事件应对法》第5条规定“国家建立重大突发事件风险评估体系,对可能发生的突发事件进行综合性评估,减少重大突发事件的发生,最大限度地减轻重大突发事件的影响”。第20条要求“省级和设区的市级人民政府应当对本行政区域内容易引发特别重大、重大突发事件的危险源、危险区域进行调查、登记、风险评估”。这就需要城市政府对照中央的新要求,找出城市政府职能存在的短板,拿出有效举措,力争有所突破。
(二)探索概貌
一些城市对风险评估进行了积极实践并取得了一定经验,探索主要从五个方面展开。
一是专项风险评估。一些城市早在上个世纪90年代就组织专业团队或第三方机构对城市安全进行专项风险评估(如火灾风险)。近年来主要集中在两个领域。其一是社区灾害风险评估。2009~2011年,上海市民政局探索建立上海市社区综合风险评估模型,包括社区风险评估模型的开发以及社区风险地图的绘制两部分。社区风险评估模型的开发主要包括社区脆弱性评估、社区致灾因子评估以及社区减灾能力评价三部分。社区风险地图包括五类内容:危险源、重要区域、脆弱性区域、安全场所以及应对措施。[3]其二是安全生产领域。天津港“8・12”爆炸事故后,2015年11月滨海新区启动城市安全风险评估。2016年8月完成全区城市安全风险评估,形成滨海新区《城市安全风险评估报告》《城市安全风险电子地图》以及多套方案。《城市安全风险评估报告》主要对滨海新区的危险化学品工业风险单元、危险品运输风险单元、人员密集场所风险单元、其他风险单元等4大类35小类的城市安全风险源进行了定性定量分析,在风险评估的基础上对各类风险源进行了分级,评估了各区域中各类安全风险的安全分布。根据评估结果,制作形成了《滨海新区城市安全风险电子地图》,将各类、各级别的风险源绘制在一张电子地图上。广州市安监局历时1年时间于2016年6月完成《广州城市安全风险评估》,这是全国范围内首次针对城市级别安全生产全领域开展的风险评估工作。评估将广州市的城市安全单元分解为工业风险单元、城市人员密集场所单元、城市公共设施单元等3类风险单元,34种风险源进行了风险评估和分级,辨识出各种风险源中的一级特别高风险单元和二级高风险单元,并采用科学的方法评估了广州市城市整体和各区的安全风险水平,明晰了重大事故风险构成,并绘制了广州市城市安全风险地图。
二是大型公共活动风险评估。风险评估作为一种有效的管理手段,在最近几年我国大型公共活动中得到了广泛运用。2008年北京奥运会首次引入了风险评估,形成了73份风险评估报告。[4]北京奥组会依据这些风险评估报告,构成了多层次、全方位的“五个一”(一个根本、一个原则、一个机制、一个保障、一个关键)的奥运风险管理体系。2010年上海世博会的风险评估[5]也卓有成效。评估分为自然灾害、事故灾害、公共卫生、社会安全和新闻管理五大类,每一大类都内含若干小类。专业管理部门根据自身的职责范围,开展专项的风险识别和评估。例如,上海气象局完成了《上海世博会气象灾害风险初始评估报告》《上海世博会恶劣天气风险评估报告》《世博轴阳光谷气象灾害安全评估报告》《上海世博会开幕式恶劣天气风险评估报告》等风险评估报告,为相关部门及时整改提供依据。
2011年第26届世界大学生夏季运动会在深圳市举办。按照统一部署,各区、各部门和单位针对辖区和工作领域范围内各类风险进行全面排查,分析评估。深圳市气象部门全面开展气象灾害风险评估。大运会主赛区龙岗赛区委员会组织专门的科研学术机构对赛区内各类风险和重大危险源(点)进行了全面调查和深入分析,对可能发生的30种风险进行评估,完成了《龙岗赛区突发事件风险评估报告》。医疗卫生指挥部形成《大运会突发公共卫生事件风险评估技术报告》。其他专项指挥部和赛区均开展了风险分析和评估工作,为总指挥部的决策提供了有力支持。[6]
三是重大工程、重大决策和重大事项风险评估。2004年汉源事件发生后,四川省遂宁市于次年在全国率先探索率先建立重大工程建设项目稳定风险评估制度。2007年4月,中央维护稳定工作领导小组决定在全国推广遂宁经验。随后,很多城市把重大事项社会稳定风险评估制度建设引入维稳工作中,在组织领导体制、评估内容和流程等方面具有不同的特色,形成了不同特点的评估模式。
四是中德灾害风险管理合作项目试点风险评估。国家行政学院和有关地方政府通过项目试点,引入了德国等发达国家在风险评估工作中的先进做法,并且将国外经验本土化,从风险评估参数体系、各参数临界值设定、风险发生可能性判定到风险矩阵图标绘,形成了一整套适应试点地的风险评估体系。公共风险治理与预案优化子项目于2010年12月在重庆市九龙坡区启动,九龙坡区对辖区内自然灾害类、事故灾害难的风险点、危险源进行全面排查、识别和登记。[7]另一个子项目于2011年10月在深圳市宝安区启动,形成了宝安区的风险评估模型。该模型将整个风险管理流程有机串联起来,而且在风险损害计量中充分考虑各类影响,创新提出风险值和风险图谱概念。[8]
五是城市全区域全类别的风险评估。2012年10月,深圳启动全市公共安全评估,成为我国最早开展城市公共安全评估的地区。市应急办组织四家专业机构,对全市自然灾害、公共卫生、事故灾难、社会安全等公共安全领域进行评估,于2013年4月完成了各类别评估报告、《城市公共安全白皮书》的编制工作。[9]对识别出的每一项风险,综合分析风险发生的可能性和后果严重性,对照风险矩阵图,评定风险等级,确定风险大小。风险发生的可能性,由低到高分为低等级、中等级、高等级、极高等级4个等级。评估结果是共识别公共安全风险源138项,其中,中低等级风险87项,高等级风险46项,极高等级风险5项,全市公共安全总体风险为中等偏高水平,在洪涝灾害、地质灾害、火灾事故、交通事故、生产安全事故、等方面,面临较高风险。
二、城市公共安全风险评估的现实难题
(一)风险评估缺少顶层设计,准备工作不到位
由于我国城市公共安全管理的重点在于应急管理,导致对风险评估的重要性认识不足、重视不够,仅将风险评估作为应急管理的一种手段,没有从城市公共安全管理战略高度对风险评估进行统一谋划和系统化设计。
一是基础理论研究供给不足。我国学术界对城市公共安全风险评估的研究还在探索阶段,没有提出一套成熟的理论框架,尤其是通过经验研究的方式展现评估机制在理论和实践两方面存在问题的研究还比较少,缺少能够进入政府决策的应用性、实战性的成果。开展风险评估的城市很少组织专门的课题研究,评估缺乏科学系统的理论支撑和指导,评估原则、评估指标体系、评估模型、评估依据、评估技术与方法、评估程序等没有规范化、标准化。
二是制度供给不足。我国还没有出台一部公共安全风险评估的法律法规,只是在《突发事件应对法》《安全生产法》等法律的个别条文中有所涉及。城市风险评估只是政府系统内部的工作指导类的规则制度,并非由立法机关等部门制定的正式法律法规。
三是人才供给不足。政府部门自身力量并不足以开展风险评估工作,从事风险评估的人员大多数是临时抽调的,不具有专业背景。风险评估业务培训少方式单一,政府部门工作人员对风险评估业务了解不深、流程不熟,难以满足评估需求。特别是培训内容主要讲评估怎么操作、风险等级分数怎么划定等技术性问题,评估的理论依据很少涉及,很多评估工作者对风险评估的内在逻辑与学理基础缺乏必要的认识,在实际评估中“知其然而不知其所以然”,容易造成评估的盲目性。
(二)风险评估主体单一,落实“政府主导、专业评估、公众参与”原则不严
一是出现了评估的决策者与实施者合二为一的现象。安全评估工作领导小组、市应急办、相关职能部门和各区政府主导和掌控整个评估,既负责提出评估动议,也负责召集专家学者和基层代表参与评估,难免会将自己的倾向性意见渗透其中,使评估陷入“既当运动员又当裁判员”窘境,必然影响风险评估的客观性、中立性。
二是专业团队和专业机构的独立性和客观性不够。牵头开展专项风险评估工作的是由市应急委、安委会各成员单位的各类专家、专业人员为骨干组成评估队伍,他们来自体制内,存在着附和政府决策的可能性。通过政府采购的方式,引入了专业机构,但它们的评估经费来源于政府,主要利用相关部门和各区的各类风险评估的结果,只是对存在空白和模糊的领域和区域进行补充调研和评估。
三是公众的角色只是被动的意见的收集对象,而不是主动的评估参与者。政府部门通过政府网站和新闻媒体,公开征集深圳市公共安全评估和公共安全体系的建设意见和建议。然而这种方式过于简单,没有多途径、多渠道广泛征求意见,公众对评估结果的影响力极为有限。评估报告没有公开供公众和媒体查询,公众只能从报纸电视等媒介了解到的评估结果信息往往是零星的、不及时的、不完整的、不连续的。政府对评估结果运用情况的公开就更少了。
(三)评估体系不完善,影响了风险评估的科学性
一是评估方法的局限性。中华人民共和国国家标准《风险管理风险评估技术》(标准编号:GB/T27921-2011)中列出的风险评估技术共有31种,有定量的、半定量的、定性的及其组合。城市公共安全风险评估所采用的方法以宏观定性为主,具体有比较分析法、专家打分法、风险矩阵法。专家打分法依靠专家的主观判断,会因专家专业背景、工作经验的不同以及对自己研究领域内容特别的关注,导致风险判断的偏移和评估结果的偏倚。风险矩阵法虽通过对风险因素发生的概率和影响程度进行量化评分,使得风险评估从定性分析转向半定量分析,但对事件发生可能性及影响因素的定量分级仍为经验性判断,分级缺少量化指标。这些方法与定量分析相比虽然简单且易于操作,但却影响到评估结果的精确度。
二是没有建立统一的风险评估指标体系。由于影响城市公共安全因素的不确定性和复杂性,对城市公共安全风险评估指标选取与设置、评估指标的权重衡量确实有难度,但这并不意味着不需要建立统一的风险评估指标体系。一些城市虽然统一了风险评估的技术路线、风险确定的基本方法,但没有建立统一的评估指标体系和评估模型,这势必影响对风险的评价精度,使评估结果难以具有可预测性与权威性。
(四)评估有空白
一是城市的重大风险源没有纳入评估范围。最大的风险就是不知道风险,深圳光明“12・20”滑坡事故印证了这句话。深圳的淤泥渣土临时受纳场成了风险评估的“漏网之鱼”,说明没有做到“应评尽评”,导致在决策方案中没有考虑采取有效措施予以防控。
二是忽视风险变化。每年由于内外部环境的变化,城市风险是流动的,旧风险消失了,新风险却出现了。因此,风险评估并不是一个线性的过程,而是根据情形不断改变,不可以一评了之。但很多城市政府由于缺乏风险动态捕获机制,对新出现的风险变化,忽视了动态监测与跟踪评估。
(五)把控评估的“结果导向”不牢,评估结果的应用“虚化空转”
风险评估只是一种管理手段,其目的和价值不仅要发现风险,而且要建立机制,制定风险减缓的决策和措施,[12]有效控制、化解风险。城市公共安全风险评估在这方面存在的缺陷有:评估中落实防范、化解和处置措施的牵头部门和配合部门仍不明确,容易造成评估后的防范化解和动态跟踪等工作难以有效落实;风险评估是制定应急预案的基础和依据,然而,应急预案并没有按照评估结果进行修订;分析和开发利用不够,评估的功能作用难以发挥。
三、完善城市公共安全风险评估的对策建议
为解决城市公共安全风险评估中出现的上述问题,我们提出以下几点对策性建议。
(一)深化认识,筑牢城市公共安全风险评估的“地基”
城市政府要从落实“安全第一,预防为主”原则的高度来认识城市公共安全风险评估的战略地位,增强打牢城市公共安全风险评估“地基”的内生动力。
一是加强学术研究,为城市公共安全风险评估持续、健康发展提供理论保障。加快对国外先进评估理论、方法的吸收和消化。在借鉴国外先进理论、方法的基础上,构建中国城市特色的公共安全风险评估理论体系。城市政府应该通过政策扶持、课题扶持等手段引导城市的学术力量进入风险评估领域,对发表的基础理论和方法研究成果给予奖励。
二是完善法律法规体系,为城市公共安全风险评估持续、健康发展提供制度保障。城市政府要依据国家公共安全法制的要求,针对风险源的特点,适时把风险评估这一行政行为逐步上升为法规,同时颁布风险评估配套文件,规范评估事项、主体、指标内容、流程、结果运用及责任认定等具体的环节与内容,形成完整的制度框架。
三是尽快健全教育和培训体系,为城市公共安全风险评估持续、健康发展提供人才保障。在城市高校设立专门的“城市公共安全风险科技评估”专业,鼓励高校、科研院所培养城市公共安全风险评估方面的高层次人才。城市党校和行政学院把城市公共安全风险评估作为一门主要课程来建设,加强对各级领导干部的培训,让干部自觉把风险评估作为一种重要的工作方法和工作技能。
(二)实行“开放透明”评估,将一元主导的行政化评估转型升级为多元化评估
一是建立一个良好的协同评估模式。建立决策与评估职能相分离制度,保证评估的独立性、客观性。城市政府要破除“一元评估”思维,改善评估的开放性,通过制定相应的政策措施,引导公众和专业机构有序参与风险评估和提供评估服务,让更多的社会主体进入评估体系。
二是提高专业评估机构的公信力。一方面,专业机构要坚持公共利益最大化的价值取向,加强行业自律,增强评估的责任心和使命感,使评估不受自身利益和政府利益的驱使。另一方面,政府要加强对专业机构的监管,建立针对专业机构的“黑名单制度”,对评估机构进行跟踪监测,将不能胜任的评估机构纳入黑名单,通过淘汰机制净化第三方评估环境。
三是以完善的法律制度提高风险评估的透明度,避免吸纳公众参与风险评估的随意性与主观选择性。从评估的目标规划、指标设计、实际评估,到结果反馈等环节和过程中的公众参与,都要科学规范一系列制度化的程序,最大限度地让公众真正参与评估,充分保障公众的知情权、表达权和监督权。遵循“公开是原则、不公开是例外”的原则,开展精细化风险沟通,除不宜公开的敏感信息外,将风险评估报告通过本区域内的主流电视台、报社和广播电台配合政府门户网站消息,并且在公示日期范围内多时段、多频率地重复,以达到公众充分知晓的目的,确保在“阳光”下防范和纠正评估中可能出现的偏见或错误。
(三)完善评估体系,提高风险评估的科学性
一是积极探索风险评估方法。城市公共安全风险强调空间异质性、综合性,注重多重风险的分析。因此,风险评估方法应坚持定量分析与定性分析相结合的原则,综合运用风险矩阵分析、分析流程图、数学建型、情景构建等方法,对城市可能承受的各种风险进行分析和计算。充分运用无线通讯技术(GPRS)、地理信息技术(GIS)、数据库技术等信息技术,开发风险评估工具,将可规范化的内容如评估表格、评估要素、评估流程、评估模型等,开发形成辅助评估框架或评估工具,不断提高风险评估质量。
二是构建“双维度”指标体系。目前在国际上有三种主要的公共安全评价框架:单纯能力评价、单纯脆弱性评价、能力与脆弱性综合评价。[10]城市公共安全风险评估涉及到多种类型的事件事故,同时还体现了城市系统对突发状况做出的反应。所以在构建城市公共安全风险评估指标体系时,需要从公共安全涉及领域与影响两个维度综合考虑。领域维度方面采用公共安全突发事件的分类方法,将其分为自然灾害、事故灾害、公共卫生、社会安全,每一类又分若干种。影响维度细分脆弱性与能力两个方面。脆弱性评估是针对人类社会经济系统对致灾因子的敏感(反映)程度。能力评估指可能受到危害的城市系统,通过抵御或变革,从而在职能和结构上达到或保持可接受水平的适应水平。分别从上述两个维度上对城市公共安全指标进行筛选,得到一套有可操作性、针对性强的城市公共安全风险评估指标体系。
(四)动态化精准化追踪风险,切实做到“应评尽评”
一是开展详细的风险调查,确保风险评估的全面性。全面开展城市风险点、危险源的普查工作,对所有可能影响城市公共安全的风险源、风险类型、可能危害、发生概率、影响范围等做到“情况清、底数明”,防止“想不到”的问题引发的安全风险。整合各类信息资源,完善城市隐患、风险数据库,编制城市安全风险清单,绘制城市安全风险分布电子地图,为城市安全决策提供可靠的信息支持。
二是追踪识别风险,确保评估的前瞻性。风险评估不仅是对已知风险的分析,更重要的是要前瞻性地考察风险的变化趋势以及可能出现的新的风险类别和性质。[11]要根据城市最新形势发展变化,不断查找公共安全风险评估的空白,组织专业机构定期、不定期开展风险评估工作,并使之成为政府的常规管理职能,每年编制和公布《风险登记册》,及时反馈风险变化的信息,持续优化改进风险评估。
(五)建立健全评估结果应用机制,避免评估报告“束之高阁”
一是将风险评估机制擢升为一种城市公共安全管理治道变革的重要工具。这就需要我们以风险评估为契机,着眼于政府治理方式创新,围绕政府职能转变,助推一种以风险防范为核心的新的治理范式的形成。[12]这种新的治理范式,化过程控制为结果导向,将风险评估融入城市公共安全管理乃至政府决策科学化、民主化、法治化建设的各项举措中,使风险评估机制真正成为政府自我纠错的倒逼机制。
二是选择适当的技术处置风险。根据薄弱评估结果,选择风险处置的办法。风险处置的4T策略主要包括风险保留、风险转移、风险降低、风险规避。[13]根据风险等级,采取不同的策略,“一风险一策”或多措并举,实现风险的标本兼治。
三是风险评估与应急预案要紧密衔接联动。应急预案的编制应与风险源辨识和风险评价形成前后对应的逻辑关系,要根据风险评价确定哪些是不可接受的风险,针对筛选出的不可接受的风险,再根据风险源的大小及城市的现实条件,建立起点、线、面相结合的预案体系,提高应急预案的针对性和操作性。
参考文献:
[美]保罗・布莱肯,等.突发事件战略管理:风险管理与风险评估[M].北京:中央编译出版社,2014.2.
钟开斌.国际化大都市风险管理:挑战与经验[J].中国应急管理,2011(4).
上海市民政局.加强社区风险评估工作[J].中国减灾,2013(3).
闪淳昌.应急管理:中国特色的运行模式与实践[M].北京:北京师范大学出版社,2011.244.
容志.风险防控视阈下的城市公共安全管理体系构建――基于上海世博会的实证分析[J].理论月刊,2012(4).
潘俊杰.大力提升安全发展质量为建设现代化国际化先进城市筑牢安全保障[J].中国应急管理,2014(10).
邹积亮.政府突发事件风险评估研究与实践[M].北京:国家行政学院出版社,2013.123.
孙玉卫,等.风险评估模型在深圳市宝安区中德灾害风险管理试点项目中的应用研究[J].中国应急管理,2012(4).
深圳市应急管理办公室.强化风险管理夯实安全基础――深圳市开展城市公共安全风险评估并公共安全白皮书[J].中国应急管理,2014(10).
朱正威,等.中国区域公共安全评价及其相关因素分析[J].中国行政管理,2006(1).
张树才.风险评估和事故调查改进探讨[J].安全健康和环境,2015(12).
一、引言
在日益激烈的市场竞争中,企业的生产经营过程面临着各种各样的风险,因对风险认识不足、控制不当不断导致一些企业陷入困境甚至倒闭。如何识别、度量和应对风险就成为企业最难解决的问题。企业要识别出其所面临的风险,就必须进行风险评估。
以股票市场为主体的多层次资本市场体系,经过20多年的发展,已成为我国经济发展的重要动力。随着股票市场的发展,上市公司数量不断增加,目前已达到2 500多家,其在经济中的领导地位也不容忽视。股票市场是高风险市场,为了加强上市公司的风险防范意识,规范上市公司的经营管理活动,2008年以来财政部等五部委联合了《企业内部控制基本规范》及其配套指引,作为上市公司建立内部控制体系的指导性文件框架。我国的内部控制体系是以风险评估为核心导向,其中包含风险识别、风险评估、风险防范和风险控制,并且风险评估是整个内控体系的关键。上市公司实施内部控制首先面临的问题就是风险评估,这也是上市公司实施内部控制工作的切入点和起点。
风险评估是上市公司对筛选出的主要风险组织公司的管理层、各职能部门负责人以及业务骨干进行风险识别、系统分析,确定相应的风险应对策略;也是上市公司实施内部控制工作、构建内部控制体系的关键和基础。这就要求上市公司在进行内部控制的风险评估时,既要识别、分析和关注阻碍实现内部控制目标的风险(纯粹风险),更要善于发现对实现内部控制目标具有促进作用的风险(机会风险),结合公司经营管理状况科学分析风险、制定切合公司经营管理实际的风险应对策略,达到分散、弱化以至化解风险的目标,实现上市公司整体价值的提升。
由于风险的不确定性以及风险评估过程复杂且不易操作,风险评估就成为上市公司内部控制实施成功与否的关键,如何进行风险评估就成为一个难点。本文结合上市公司实施内部控制的实践,对风险评估操作过程中的难点进行探讨,以期对上市公司的风险评估工作提供参考。
二、上市公司内部控制风险评估的操作解析
在实施、建立内部控制体系的工作实践中,上市公司的风险评估应重点围绕公司经营管理的主要环节进行,通常应将销售、采购、生产和财务等经营管理活动的主要环节作为开展风险评估工作的重点和总纲,在重点和总纲的统领下,抓住各个环节的关键控制点,即实施内部控制工作过程中的风险点。尤为重要的是,在初始风险评估时,对风险环节和关键控制点的把握宜粗不宜细。若开始时对风险环节和关键控制点要求的过细、过于完美,风险评估工作可能会陷于繁琐细微的事务性工作而难以进行下去,甚至导致上市公司风险评估工作的整体失败。因此,进行风险评估时,首先需要建立上市公司内部控制风险评估工作的总体框架,确立风险评估工作的整体思路;其次,充实和完善风险评估内容:一方面结合内部控制工作的深入不断补充、丰富,另一方面应随着上市公司业务发展和外部环境的变化定期、持续改进、完善,为实施内部控制、构建内部控制体系工作创造有利的条件。
由于上市公司所处行业不同、发展阶段及经营环境的差异,加之风险不易识别、量化,所以上市公司在进行内部控制风险评估时应特别注意与本公司经营管理活动的有机结合,切忌为了风险评估而进行评估的形式主义。具体进行风险评估时,主要从以下方面来进行:
(一)设定风险评估和风险控制目标的难点
进行风险评估前,上市公司应先设定风险评估和风险控制的目标,这是进行风险评估的必备条件,也是风险评估的标准。只有明确了风险评估和风险控制目标,才能有针对性、有标准的搜集、整理和取舍相关的风险信息和数据,才能对已显现的和潜在的风险进行识别、筛选、整理和归纳。
风险评估和风险控制的目标设定,主要根据证监会的监管要求来进行。依据《企业内部控制基本规范》及配套指引的要求,设定风险评估目标通常从公司经营战略、经营目标、报告目标、资产安全目标和经营合规目标等方面来考虑。首先,经营战略比较宏观,在风险评估中不宜定性操作和定量把握。由于大多数员工只是把经营战略作为公司发展的美好愿景和长远奋斗目标,只有公司的高层管理核心人员对其有比较深入的理解和领悟,因此,上市公司的经营战略在风险评估目标中所占比例通常不能太大。其次,经营目标和报告目标是公司日常经营管理活动的指导,最容易被公司经营管理层和广大员工理解和感知,也比较具体且易于量化和识别,因此,风险评估目标和风险控制目标多从这两方面来考虑和提炼。最后,上市公司只要依法经营,按照规章制度和流程去运作和管理,即可保证经营合规目标和资产安全目标的实现,因而对上市公司风险评估和控制目标的设定,就转化为对公司规章制度和运作流程风险控制目标和风险评估目标的设定,实务中更易把握和操作。
(二)收集风险信息的难点和途径
风险信息收集的主要是与上市公司相关的内外部风险信息。风险信息收集的质量关系到整个风险评估的结果。
从收集影响公司经营外围环境信息的实践来看,上市公司通常对这方面的信息比较困惑:一方面是公司经营外部环境信息的涵盖范围比较广,不易确定应由哪些部门牵头组织和具体实施,并且各部门在收集信息过程中很难把握相关信息对公司经营管理有无影响及影响大小,结果导致收集信息时无所适从,最终难以确定应该收集哪些信息。另一方面,由于日常经营活动多限于具体的事务性工作,上市公司很难准确把握和获得与经营管理活动相匹配的外部环境信息。在收集风险信息时,上市公司应注重外部经营环境与实际经营管理工作的结合、与内部控制关键点和风险点的结合,并在这些交集中寻找切入点和信息点。
上市公司收集影响经营的内部环境信息时,应主要考虑经营战略、经营目标、报告目标、资产安全目标和经营合规目标,并结合各部门的工作职责、制度和工作流程、业务流程,立足于日常的经营管理工作,考虑可能影响经营管理目标实现的内部信息和条件,来收集相关的内部风险信息。
(三)识别经营风险
风险识别是风险评估的重要环节,识别风险更多的是凭借识别者的判断能力、经验积累和识别方法。风险识别是把收集到的风险信息通过对公司高层管理人员、中层管理骨干和基层业务骨干的问卷调查、测试、访谈等方式,经过比较、归类、提炼、组合等方法,并充分考虑国家各部委对内部控制风险评估的具体要求来进行的。风险有多种表现形式,经营风险是风险识别的重点,主要包括核心风险、业务风险和工作风险。
核心风险的识别,主要应从公司的经营目标出发,围绕战略核心,从公司整体及其职能部门层面、经营管理现状层面等方面进行综合考虑,主要通过对公司高层管理人员的问卷调查、访谈等方式,整理出公司的核心风险,这是上市公司高层管理者最关注的风险。
业务风险的识别,主要应从销售、采购、生产、财务等主要业务环节的风险入手,通过对制度、流程的穿行测试及中层管理骨干和基层业务骨干的问卷调查、测试,识别出最主要的业务风险环节和关键控制点,然后再通过穿行测试来检验主要风险环节和关键控制点的收集和查找是否全面,并对测试过程中发现疏漏的风险点和控制点予以补充和完善。
工作风险的识别,主要是通过适用性测试来进行,在适用性测试过程中,识别出主要的风险环节和关键控制点,并予以补充和完善。
从上市公司识别经营风险的实践来看,主板上市公司至少应梳理出100种以上的风险,才可能比较全面的涵盖上市公司面临的风险。
(四)进行风险评估
风险评估是对上市公司经营管理活动中可能存在的各种风险进行分析和估量,其结果关系到风险应对策略的制定。由于风险的错综复杂,要比较客观和全面地反映和衡量上市公司的整体风险,需将各种风险评估方法综合使用。
具体来讲,风险评估主要通过多次循环问卷调查的形式开展,并且应经过至少两轮多次的循环验证,同时要求时间间隔在两周以上,最终使管理层对风险的认知和理解逐步趋于一致。在风险评估过程中,上市公司应根据自身的经营特点,考虑公司所处的发展阶段,采用定性与定量相结合的方法构建其风险评估体系。
1.确定风险评估的范围及参与主体
由于风险存在于上市公司经营管理活动的各个环节,因而,上市公司风险评估应涵盖其主要的生产经营管理活动,各主要职能部门和业务部门就成为参与主体,上市公司高层管理人员、职能部门负责人、主要业务部门负责人和业务骨干人员是主要参与者。
2.确定风险评估的评分标准
风险评估的评分标准是风险评估过程中定性与定量方法衔接的纽带和桥梁,也是风险评估的难点和重点。实务中,风险评估指标体系应结合上市公司的实际情况来设定。具体来讲,主要应结合公司的发展阶段、业务特点、风险发生频率及对公司经营管理活动的影响程度等来确定。
通常,把风险发生的可能性和影响程度划分为5个等级。表1和表2分别从定性、定量两方面描述了风险发生的可能性及影响程度,并把风险的定性标准定量化,从而实现了定性标准与定量标准的衔接和转换。从表中可以看出,风险的影响程度随着风险发生概率的逐级加大也越来越严重。
3.调查问卷的设计
问卷调查是比较常用和有效的风险评估方法之一。科学、合理的问卷设计关系到风险评估的准确度,调查问卷设计一般从风险发生的可能性和风险影响程度两个维度去考虑和设计,一般需要设计200―500个风险事项,力求全面客观地反映上市公司当前面临的主要风险。
4.问卷调查数据的整理
问卷调查结束后,需要对问卷调查的结果进行分类、汇总及处理。理论上,风险评估至少应进行两次问卷调查,要求参与问卷调查的人员基本不变,并且两次问卷调查的时间间隔至少在两周以上,然后再测算两次问卷调查统计结果的离散度。若离散度较低(通常以标准差小于1来认定),则取两次调查问卷的平均值作为问卷调查结果;若离散度较高(通常以标准差大于等于1来认定)时,则公司管理层应组织参与风险评估的人员进行探讨、沟通与交流,努力使大家对风险的认识趋于一致,然后再进行第三次问卷调查,并将这次问卷调查结果作为最终问卷调查结果。
需要注意的是,实务中,在统计问卷时,需将调查问卷分成高层领导、中层干部和基层骨干三个小组,分别进行统计汇总取各组的平均值。对于公司战略层面等较为宏观的风险,运用三组平均值时适当加大高层领导小组数据的权重;对于管理职能类、重要业务类风险,运用三组平均值时适当加大中层干部小组数据的权重;对于具体业务、操作类风险,运用三组平均值时适当加大基层骨干小组数据的权重。权重的调整幅度需要通过开会沟通、讨论,由参与风险评估的主要人员共同做出决定。
5.绘制风险地图
为了比较直观地反映风险分类,根据数据统计汇总调整结果,从风险发生的可能性及影响程度两个维度绘制风险地图,如图1所示。处于黑色区域的为重大风险,处在白色区域的为重要风险,处在灰色区域的为一般风险。通过图1,可以直观地识别出重大风险、重要风险和一般风险。需要注意的是,风险的认定就高不就低,即处在重大风险和重要风险临界点上的风险,划为重大风险,处在重要风险和一般风险临界点上的风险,划为重要风险,充分体现风险评估中风险就高不就低的原则和理念。
风险往往是相互交织、相互转化的,上市公司不但要进行风险评估,还需要进行风险管理。通常,对重大风险应予以高度关注,还应制定出重大风险预案,确保风险被有效管理,当重大风险发生时,立即启动预案,应对风险,降低损失。对重要风险要加强监控,防止其进一步发展为重大风险。对一般风险要予以适度关注。
关键词:项目融资;风险评估;方法
项目融资中的风险评估存在不确定性,这些不确定性就是风险评估的难点。只有对这些不确定性因素进行风险分析,并对这些风险进行综合分析,进而达到最后对项目融资中的风险有科学的处理方法,进而使项目顺利完成。
1 项目融资中风险评估的定义概念
项目融资中的风险评估就是对项目融资过程中的不确定因素和风险因素进行分析整合后,得出的综合性的风险评估。项目融资中的风险评估既能对整个项目进行前对所要涉及的风险因素给出不同的影响评价,又能为如何规避和处置这些预计到的风险提出相应的对策。从整体上来说,项目融资中的风险评估就是为了保证项目的顺利进行,同时对于后期所要发生的风险进行评估并提出解决方案。
2 项目融资中风险评估的基本步骤
在项目融资中的风险评估经验从一定程度上可以降低项目风险的概率,应用正确的风险评估步骤,可以提升提升项目融资中风险评估的成功率。作者将项目融资中风险评估的基本步骤总结如下:
(1)评估所有方法。在评估的过程中,每个影响因素和方法都要考虑到。只有这样才能保证,在评估中不会有因素影响项目融资中风险评估的准确度。
(2)考虑风险态度。对于每个风险都要有慎重考虑的态度,态度会影响整个风险评估。由于人为的原因,每个人进行风险评估时所考虑的都不太一样,主要是对影响因素的不同考虑,对不同的数据的重视程度也不一样,这就使得考虑风险的态度成为影响整个项目融资中风险评估的重要方面。
(3)考虑风险的特征。对于每个发现的风险都要进行详细深入的剖析,以求达到对每个识别风险的控制。
(4)建立测量系统。对于风险的评估要有相应的测量系统与之配合,建立测量系统从一定程度上可以根据以往的经验进行系统性预测。在对已经认识的风险可以做到依据经验进行定量或定性的测量评估。
(5)解释结果。对于项目融资中的风险评估,在进行测量分析后要对测量的结果进行解释。解释不单单是为了对数据有更深刻的了解,更要对数据进行定性或定量的处理。通过解释结果,不但能让评估人员对测量数据有深入的了解,更能在解释数据时,对未来要发生的风险进行推断。
(6)做决策。做决策可以说是整个风险评估中的最后阶段,对前面进行分析估计的风险进行对比做出决策,很大程度上取决以实际的情况。但我们不能排除每个决策者所独有的见解,对于风险评估的决策,决策者的个人见解对决策也有影响。最终的决策对风险的留去,有着十分重要的影响。
3 项目融资中风险评估可采用的方法
(一)定性风险评估
(1)历史资料法
所谓历史资料法,就是根据在以往项目融资中风险评估的历史记录,通过把现在项目融资中风险评估数据与历史资料中的数据对比,进而的出相应的风险评估数值。从一定程度上来说,历史资料法就是依靠以往的风险评估经验进行现在的风险评估。这种方法有一定的作用,但有时受到历史资料的拘束,如果没有相应的历史资料,这种方法就无法运用。一味的使用历史资料法也会导致很多问题,毕竟很多历史资料都不是十分的准确,必然会导致结果又一定的偏差。
(2)理论概率分布法
通过对以往项目的风险评估,可以综合得出一定的理论概率,这种理论概率就相当于不同项目风险的比例。如果决策者没有十分充足的项目管理经验,又对历史资料法运用的不是十分得心应手,就要对风险评估进行理论的概率分布修正。通过运用概论修正,达到风险评估理论上精确的目标。
(3)风险事件后果的估计
对于项目融资风险评估,不能仅仅进行风险评估后就结束了。对于项目融资后的风险事件估计也不能缺少,从一定程度上来说,甚至比风险评估更为重要。风险事件后的估计不但能衡量风险的各方面要素,更能确定风险评估的正确性和有效性。通过数据记录,为以后更好的使用历史资料法奠定基础。
(二)定量风险评估
定量风险评估包括访谈法、盈亏平衡分析、敏感性分析、决策树分析和非肯定型决策分析。定量风险评估主要是从各种方面进行分析,通过分析得出盈亏决策的关键因素,进而得出风险评估的作用与效果。
4 结语
项目融资中的风险评估是整个项目风险评估中的一部分,但对于整个项目风险评估来说,确实十分重要的。项目融资就是为项目提供充足的资金,是整个项目的资金保证。但相应的资金的风险评估对每个投资者来说都是十分重要的,只有风险投资达到自己的预期目标,投资者才会进行投资。笔者通过对项目融资中风险评估方法的分析总计,总结出风险评估的基本步骤和方法。希望这些方法和步骤能对从事项目融资风险评估的工作的人员给与参考和帮助。
参考文献:
[1]彭鹏.浅析项目融资中风险评估的方法[J].经营管理者,2012(18).
[2]王静红.以“项目融资”方式促进房地产企业的发展[J].环渤海经济t望,2012(10).
[3]期海明.商业银行参与BT项目融资法律风险分析――以经济适用住房建设为例[J].广西金融研究,2013(10).
关键词:网络审计 历史财务报表审计 信息安全管理 风险评估
一、引言
从审计的角度,风险评估是现代风险导向审计的核心理念。无论是在历史财务报表审计还是在网络审计中,现代风险导向审计均要求审计师在执行审计工作过程中应以风险评估为中心,通过对被审计单位及其环境的了解,评估确定被审计单位的高风险领域,从而确定审计的范围和重点,进一步决定如何收集、收集多少和收集何种性质的证据,以便更有效地控制和提高审计效果及审计效率。从企业管理的角度,企业风险管理将风险评估作为其基本的要素之一进行规范,要求企业在识别和评估风险可能对企业产生影响的基础上,采取积极的措施来控制风险,降低风险为企业带来损失的概率或缩小损失程度来达到控制目的。信息安全风险评估作为企业风险管理的一部分,是企业信息安全管理的基础和关键环节。尽管如此,风险评估在网络审计、历史财务报表审计和企业信息安全管理等工作中的运用却不尽相同,本文在分析计算机信息系统环境下所有特定风险和网络审计风险基本要素的基础上,从风险评估中应关注的风险范围、风险评估的目的、内容、程序及实施流程等内容展开,将网络审计与历史财务报表审计和信息安全管理的风险评估进行对比分析,以期深化对网络审计风险评估的理解。
二、网络审计与历史财务报表审计的风险评估比较
(一)审计风险要素根据美国注册会计师协会的第47号审计标准说明中的审计风险模型,审计风险又由固有风险、控制风险和检查风险构成。其中,固有风险是指不考虑被审计单位相关的内部控制政策或程序的情况下,其财务报表某项认定产生重大错报的可能性;控制风险是被审计单位内部控制未能及时防止或发现财务报表上某项错报或漏报的可能性;检查风险是审计人员通过预定的审计程序未能发现被审计单位财务报表上存在重大错报或漏报的可能性。在网络审计中,审计风险仍然包括固有风险、控制风险和检查风险要素,但其具体内容直接受计算机网络环境下信息系统特定风险的影响。计算机及网络技术的应用能提高企业经营活动的效率,为企业的经营管理带来很大的优越性,但同时也为企业带来了一些新的风险。这些新的风险主要表现为:(1)数据与职责过于集中化。由于手工系统中的职责分工、互相牵制等控制措施都被归并到计算机系统自动处理过程中去了,这些集中的数据库技术无疑会增加数据纵和破坏的风险。(2)系统程序易于被非法调用甚至遭到篡改。由于计算机系统有较高的技术要求,非专业人员难以察觉计算机舞弊的线索,这加大了数据被非法使用的可能性。如经过批准的系统使用人员滥用系统,或者说,企业对接近信息缺乏控制使得重要的数据或程序被盗窃等。(3)错误程序的风险,例如程序中的差错反复和差错级联、数据处理不合逻辑、甚至是程序本身存在错误等。(4)信息系统缺乏应用的审计接口,使得审计人员在审计工作中难以有效地采集或获取企业信息系统中的数据,从而无法正常开展审计工作。(5)网络系统在技术和商业上的风险,如计算机信息系统所依赖的硬件设备可能出现一些不可预料的故障,或者信息系统所依赖的物理工作环境可能对整个信息系统的运行效能带来影响等。相对应地,网络审计的固有风险主要是指系统环境风险,即财务电算化系统本身所处的环境引起的风险,它可分为硬件环境风险和软件环境风险。控制风险包括系统控制风险和财务数据风险,其中,系统控制风险是指会计电算化系统的内部控制不严密造成的风险,财务数据风险是指电磁性财务数据被篡改的可能性。检查风险包括审计软件风险和人员操作风险,审计软件风险是指计算机审计软件本身缺陷原因造成的风险,人员操作风险是指计算机审计系统的操作人员、技术人员和开发人员等在工作中由于主观或客观原因造成的风险。
(二)风险评估目的无论在网络审计还是历史财务报表审计中,风险评估只是审计的一项重要程序,贯穿于审计的整个过程。与其他审计程序紧密联系而不是一项独立的活动。尽管如此,两者所关注的风险范围则有所不同。历史财务报表审计的风险评估要求审计人员主要关注的是被审计单位的重大错报风险――财务报表在审计前存在重大错报的可能性。由于网络审计的审计对象包括被审计单位基于网络的财务信息和网络财务信息系统两类,因此审计人员关注的风险应是被审计单位经营过程中与该两类审计对象相关的风险。(1)对于与企业网络财务信息系统相关的风险,审计人员应该从信息系统生命周期的各个阶段和信息系统的各组成部分及运行环境两方面出发进行评估。信息系统生命周期是指该信息系统从产生到完成乃至进入维护的各个阶段及其活动,无论是在早期的线性开发模型中还是在更为复杂的螺旋式等模型中,一个信息系统的生命周期大都包括规划和启动、设计开发或采购、集成实现、运行和维护、废弃等五个基本阶段。由于信息系统在不同阶段的活动内容不同,企业在不同阶段的控制目标和控制行为也会有所不同,因此,审计人员的风险评估应该贯穿于信息系统的整个生命周期。信息系统的组成部分是指构成该信息系统的硬件、软件及数据等,信息系统的运行环境是指信息系统正常运行使用所依托的物理和管理平台。具体可将其分为五个层面:物理层,即信息系统运行所必备的机房、设备、办公场所、系统线路及相关环境;网络层,即信息系统所需的网络架构的安全情况、网络设备的漏洞情况、网络设备配置的缺陷情况等;系统层,即信息系统本身的漏洞情况、配置的缺陷情况;应用层,即信息系统所使用的应用软件的漏洞情况、安全功能缺陷情况;管理层,即被审计单位在该信息系统的运行使用过程中的组织、策略、技术管理等方面的情况。(2)对于与企业基于网络的财务信息相关的风险,审计人员应着重关注财务信息的重大错报风险和信息的安全风险。重大错报风险主要指被审计单位基于网络的相关财务信息存在重大错报的可能性,它是针对企业借助于网络信息系统或网络技术对有关账户、交易或事项进行确认、计量或披露而言。网络审计中关注的重大错报风险与传统审CtT的内涵基本上是一致的,审计人员在审计时应当考虑被审计单位的行业状况、经营性质、法律及监管环境、会计政策和会计方法的选用、财务业绩的衡量和评价等方面的情况对财务信息错报可能的影响。信息安全风险涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的风险,主要针对企业利用信息系统或一定的网络平台来存储、传输、披露相关财务信息而言。在审计过程中,审eta员应当主要关注相关财务信息被盗用、非法攻击或篡改及非法使用的可能性。当然,这两类风险并非完全分离的,评估时审计人员应将两者结合起来考虑。
(三)风险评估内容 广泛意义的风险评估是指考虑潜在事件对目标实现的影响程度。由于网络审计与历史财务报表审计风险评估的目的并不完全相同,因此两者在风险评估的内容上也是存在区别的。总的来说,网络审计的风险评估内容比历史财务报表审计的风险评估内容更广泛和深入。根据《中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风
险》,在历史财务报表审计中,审计人员的风险评估应以了解被审计单位及其环境为内容。为识别和评价重大错报风险,审计人员了解的具体内容包括被审计单位所在行业状况、法律环境与监管环境以及其他外部因素、被审计单位的性质、被审计单位对会计政策的选择和运用、被审计单位的目标、战略以及相关经营风险、被审计单位财务业绩的衡量和评价及被审it@位的内部控制等。在网络审计中。为了识别和评估上文所述的两类风险,审计人员除了从以上方面了解被审计单位及其环境外,还应该关注其他相关的潜在事件及其影响,尤其是企业的财务信息系统及基于网络的财务信息可能面l临的威胁或存在的脆弱点。其中,威胁是指对信息系统及财务信息构成潜在破坏的可能性因素或者事件,它可能是一些如工作人员缺乏责任心、专业技能不足或恶意篡改等人为因素,也可能是一些如灰尘、火灾或通讯线路故障等环境因素。脆弱点是指信息系统及基于网络的财务信息所存在的薄弱环节,它是系统或网络财务信息本身固有的,包括物理环境、组织、过程、人员、管理、配置、硬软件及信息等各方面的弱点。一般来说,脆弱点本身不会带来损失或信息错报,威胁却总是要利用网络、系统的弱点来成功地引起破坏。因此,我们认为网络审计申风险评估的内容应包括以下几方面:(1)识别被审计单位财务信息系统及其基于网络的财务信息可能面临的威胁,并分析威胁发生的可能性;(2)识别被审计单位财务信息系统及其基于网络的财务信息可能存在的脆弱点,并分析脆弱点的严重程度;(3)根据威胁发生的可能性和脆弱点发生的严重程度,判断风险发生的可能性;(4)根据风险发生的可能性,评价风险对财务信息系统和基于网络的财务信息可能带来的影响;(5)若被审计单位存在风险防范或化解措施,审计人员在进行风险评估时还应该考虑相应措施的可行性及有效性。
(四)风险评估程序《中国注册会计师审计准则第1211-----了解被审计单位及其环境并评估重大错报风险》中要求,审计人员应当实施询问、分析程序、观察和检查等程序,以获取被审计单位的信息,进而评估被审计单位的重大错报风险。这些程序同样适用于网络审计中的风险评估。但在具体运用时网络审计中更加注重了解和分析被审计单位与信息系统及网络技术使用相关的事项。在实施询问程序时,审计人员的询问对象围绕信息系统和基于网络的财务信息可大致分为管理人员、系统开发和维护人员(或信息编制人员)、系统使用人员(或信息的内部使用人员)、系统或网络技术顾问及其他外部相关人员(如律师)等五类,分别从不同角度了解信息系统和基于网络的财务信息可能存在的威胁和脆弱点。在实施分析程序时,除了研究财务数据及与财务信息相关的非财务数据可能的异常趋势外,审计人员应格外关注对信息系统及网络的特性情况,被审计单位对信息系统的使用情况等内容的分析比较。实施观察和检查时,除执行常规程序外,审计人员应注意观察信息系统的操作使用和检查信息系统文档。除此之外,针对特定系统或网络技术风险的评估,审计人员还需要实施一些特定的程序。技术方面如IOS取样分析、渗透测试、工具扫描、安全策略分析等;管理方面如风险问卷调查、风险顾问访谈、风险策略分析、文档审核等。其中,IDS取样分析是指通过在核心网络采样监听通信数据方式,获取网络中存在的攻击和蠕虫行为,并对通信流量进行分析;渗透测试是指在获取用户授权后,通过真实模拟黑客使用的工具、方法来进行实际漏洞发现和利用的安全测试方法;工具扫描是指通过评估工具软件或专用安全评估系统自动获取评估对象的脆弱性信息,包括主机扫描、网络扫描、数据库扫描等,用于分析系统、应用、网络设备存在的常见漏洞。风险问卷调查与风险顾问访谈要求审计人员分别采用问卷和面谈的方式向有关主体了解被审计单位的风险状况,使用时关键是要明确问卷或访谈的对象情况风险策略分析要求审计人员对企业所设定的风险管理和应对策略的有效性进行分析,进而评价企业相关风险发生的概率以及可能带来的损失;文档审核是一种事前评价方法,属于前置软件测试的一部分,主要包括需求文档测试和设计文档测试。这些特定程序主要是针对被审计单位信息系统和基于网络的财务信息在网络安全风险方面进行评价,审计人员在具体使用时应结合被审计单位的业务性质选择合适的程序。
三、网络审计与信息安全管理的风险评估比较
(一)风险评估的目的信息安全管理中的风险评估(即信息安全风险评估)是指根据国家有关信息安全技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程。作为信息安全保障体系建立过程中的重要的评价方法和决策机制,信息安全风险评估是企业管理的组成部分,它具有规划、组织、协调和控制等管理的基本特征,其主要目的在于从企业内部风险管理的角度,在系统分析和评估风险发生的可能性及带来的损失的基础上,提出有针对性的防护和整改措施,将企业面临或遭遇的风险控制在可接受水平,最大限度地保证组织的信息安全。而网络审计是由独立审计人员向企业提供的一项鉴证服务,其风险评估的目的在于识别和评价潜在事件对被审计单位基于网络的财务信息的合法性、公允性以及网络财务信息系统的合规性、可靠性和有效性的影响程度,从而指导进一步审计程序。因此,两者风险评估的目的是不一样。从评估所应关注的风险范围来看,两者具有一致性,即都需要考虑与信息系统和信息相关的风险。但是,具体的关注边界则是不一样的。信息安全风险评估要评估企业资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响,它要求评估人员关注与企业整个信息系统和所有的信息相关的风险,包括实体安全风险、数据安全风险、软件安全风险、运行安全风险等。网络审计中,审计人员是对被审计单位的网络财务信息系统和基于网络的财务信息发表意见,因此,风险评估时审计人员主要关注的是与企业财务信息系统和基于网络的财务信息相关的风险,而不是与企业的整个信息系统和所有的信息相关的风险。根据评估实施者的不同,信息安全风险评估形式包括自评估和他评估。自评估是由组织自身对所拥有的信息系统进行的风险评估活动;他评估通常是由组织的上级主管机关或业务主管机关发起的,旨在依据已经颁布的法规或标准进行的具有强制意味的检查。自评估和他评估都可以通过风险评估服务机构进行咨询、服务、培训以及风险评估有关工具的提供。因此。对审计人员而言,受托执行的信息安全风险评估应当归属于管理咨询类,即属于非鉴证业务,与网络审计严格区分开来。
(二)风险评估的内容在我国国家质量监督检验检疫总局的《信息安全风险评估指南》(征求意见稿)国家标准中,它将信息安全风险评估的内容分为两部分:基本要素和相关属性,提出信息安全风险评估应围绕其基本要素展开,并充分考虑与这些基本要素相关的其他属性。其中,风险评估的基本要素包括资产、脆弱性、威胁、风险和安全措施;相关属性包括业务战略、资产价值、安全需求、安全事件、残余风险等。在此基础上的风险计算过程是:(1)对信息资产进行识别,并对资产赋值;(2)对威胁进行分析,并对威
胁发生的可能性赋值;(3)识别信息资产的脆弱性,并对弱点的严重程度赋值;(4)根据威胁和脆弱性计算安全事件发生的可能性;(5)根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失;(6)根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即风险值。结合上文网络审计风险评估五个方面的内容可以看出,网络审计和信息安全风险评估在内容上有相近之处,即都需要针对信息系统和信息可能面临的威胁和存在的脆弱点进行识别。但是,信息安全管理作为企业的一项内部管理,其风险评估工作需要从两个层次展开:一是评估风险发生的可能性及其影响;二是提出防护或整改措施以控制风险。第一个层次的工作实质上是为第二层次工作服务的,其重点在第二层次。《信息安全风险评估指南》(征求意见稿)提出,企业在确定出风险水平后,应对不可接受的风险选择适当的处理方式及控制措施,并形成风险处理计划。其中,风险处理的方式包括回避风险、降低风险、转移风险、接受风险,而控制措施的选择应兼顾管理和技术,考虑企业发展战略、企业文化、人员素质,并特别关注成本与风险的平衡。网络审计的风险评估工作主要集中在第一个层次,即审计人员通过风险评估,为进一步审计中做出合理的职业判断、有效地实施网络审计程序和实现网络审计目标提供重要基础。因此,两者的评估内容是存在区别的。
关键词:信息安全;信息资产;风险评估;层次分析法
中图分类号:TP309文献标识码:A 文章编号:1009-3044(2010)19-5129-03
The Research for Information Security Risk Assessment Based on AHP Method
ZENG Li-mei, JIANG Wen-hao
(School of Computer Science and Technology , Chongqing University of Posts and Telecommunications, Chongqing 400065, China)
Abstract: The risk assessment of information security evolves four fundamental elements included information capital, the fragility of information capital, the encountering threats and the possible risk in information capital. The key problem for risk assessment relies on the weight among risk factors. This issue takes an enterprise as an example, introduced a method called Analytic Hierarchy Process (AHP) to evaluate the risk of systems. The results show that this method can be applied well to information security risk assessment.
Key words: information security; information capital; risk assessment; Analytic Hierarchy Process (AHP)
计算机网络技术在当今社会迅猛发展并且得到广泛应用,使得各行各业对信息系统的依赖日益加深,信息技术几乎渗透到了社会生活的方方面面。信息系统及其所承载信息的安全问题日益突出,为了在安全风险的预防、减少、转移、补偿和分散等之间做出决策,需要对网络系统进行信息安全风险评估。
信息安全风险评估,是指依据国家有关信息安全技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程[1]。风险评估是提高系统安全性的关键环节,通过风险评估,了解系统的安全状况,将信息系统的风险控制在可接受的范围内。
1信息系统安全风险评估要素
1.1 风险评估的各要素
信息系统安全风险评估要素及其各要素间的关系如图l所示。
图1中,整个模型的核心是风险,资产、脆弱性和威胁是风险评估的基本要素。风险评估的工作围绕其基本要素展开 。
1.2 风险评估各要素之间的关系
风险评估基本要素之间存在以下关系:
资产是信息系统中需要保护的对象,资产完成业务战略。单位的业务战略越重要,对资产的依赖度越高,资产的价值就越大,资产的价值越大风险则越大。
风险是由威胁引起的,威胁越大风险就越大,并很有可能演变成安全事件。
脆弱性是资产中的弱点。威胁利用脆弱性,脆弱性越大风险就越大。
安全需求由资产的重要性和对风险的意识导出。安全措施可以抗击威胁,降低风险,减弱安全事件的不良影响。
风险不可能也没有必要降为零,在实施了安全措施后还会有残留下来的风险,称为残余风险。残余风险可以接受,但应受到密切监视,因为它可能会在将来诱发新的安全事件[2]。
2 风险评估方法
目前国内外存在很多风险评估的方法,还没有统一的信息安全风险分析的方法。在风险评估过程中根据系统的实际情况,选择合适的风险评估方法。风险评估的方法概括起来可分为三大类:定性分析方法、定量分析方法、定性和定量相结合的分析方法。[3]
2.1定性分析方法
定性分析方法是一种典型的模糊分析方法,可以快捷的对资源、威胁、脆弱性进行系统评估。典型的定性分析方法有逻辑分析法、因素分析法、德尔斐法、历史比较法[4] 。
定性评估方法的优点是全面、深入,缺点是主观性太强,对评估者要求高。
2.2 定量分析方法
定量分析方法是在定性分析的逻辑基础上,通过对风险评估各要素的分析,为信息系统提供系统的分析手段。典型的定量分析方法有决策树法、回归模型、因子分析法。
定量分析方法的优点是直观、明显、客观、对比性强,缺点是简单化、模糊化、会造成误解和曲解。
2.3 定性和定量结合的综合评估方法
定量分析是定性分析的基础和前提,定性分析应该建立在定量分析的基础上才能揭示客观事物的内在规律。不能将定性分析方法与定量分析方割裂,而是将这两种方法融合起来,发挥各自的优势,采用综合分析评估方法。主要的综合分析方法有模糊综合评价方法、层次分析法、概率风险评估等。[5]
3 AHP方法
3.1 层次分析法简介
层次分析法(AHP)是美国运筹学家萨蒂(T.L.Saaty)于20世纪70年代初提出的一种定性与定量分析相结合的多准则决策分析方法,该方法简便、灵活又实用。
层次分析法的基本思想是在决策目标的要求下,将决策对象相对于决策标准的优劣状况进行两两比较,最终获得各个对象的总体优劣状况,从而为决策者提供定量形式的决策依据 [6] 。
3.2 系统分解,建立层次结构模型
层次模型的构造是运用分解法的思想,进行对象的系统分解。它的基本层次包括目标层、准则层、方案层三类。目的是建立系统的评估指标体系。层次结构如图2所示。
3.3 构造判断矩阵
判断矩阵的作用是同层次的两两元素之间的相对重要性进行比较。层次分析法采用1~9标度方法,对不同情况的评比给出数量标度,如表1所示。[7]
构造判断矩阵,判断矩阵A=(aij)n×n有如下性质:①aij>0;②当i≠j时,aji=1/aij;③当i=j时,aij=1。aij为i与j两因素相对权值的比值。
3.4 层次排序
步骤一:将A的每一列向量归一化。
步骤二:对按列归一化的判断矩阵,再按行求和。
步骤三:将向量归一化。
3.5 一致性检验
步骤一:计算判断矩阵的最大特征根。
式中(AW)i表示AW的第i个元素。
步骤二:计算一致性指标。
式中,λmax 表示比较判断矩阵的最大特征根,n表示比较判断矩阵阶数。
步骤三:计算一致性比率。
当 CR
平均随机一致性标度如表2所示。
4.评估方法实际应用
4.1 建立信息安全风险评估模型
为了突出风险评估的重点,对信息系统风险的评价指标进行适当的简化,建立某企业信息安全风险评估层次结构模型,如图3所示。
4.2 风险评估结果
根据图3各评估因素及其相互关系,建立两两比较判断矩阵,如表3、表4、表5、表6所示,用AHP方法求解一致性比率CR,判断矩阵是否具有满意一致性。
表3G-C的判断矩阵
表4C1-P的判断矩阵 表5C2-P的判断矩阵 表6C3-P的判断矩阵
以上结果CR均小于0.1,表明比较判断矩阵都满足一致性检验标准。由以上结果求的最终的总层次排序结果如表7所示。
5 结束语
在信息系统风险评估中,风险评估方法一直都是研究的关键点。本文采用层次分析法对风险评估的指标进行了分析,通过分析研究可得,层次分析法在风险评估和等级划分的实际应用中是一种行之有效、可操作性强的方法,可以很好的应用于信息安全风险评估。
参考文献:
[1] GB/T 20984-2007,信息安全技术信息安全风险评估规[S].中华人民共和国国家标准,2007.
[2] 向宏,傅鹏,詹榜华.信息安全测评与风险评估[M].北京:电子工业出版社,2009:319.
[3] 王伟,李春平,李建彬.信息系统风险评估方法的研究[J].计算机工程与设计,2007,28(14):3473-3474.
[4] 范红,冯登国,吴亚非.信息安全风险评估方法与应用[M].北京:清华大学出版社,2006:49-50.
[5] 吴亚非,李友新,禄凯.信息安全风险评估[M].北京:清华大学出版社,2007:101-109.
关键词 雷击安全 风险评估 快捷方法 操作实践
中图分类号:P429 文献标识码:A
雷电灾害是“联合国国际减灾十年”公布最严重十种自然灾害之一,我国每年因雷电灾害造成的经济损失高达50―100亿人民币,并有逐年递增的趋势,防雷减灾工作越来越受到各级政府和全社会的高度关注。雷击风险评估就是为安全、合理、经济的选择雷电防护措施提供依据,是科学防雷和全面防雷的重要工作,目前我国已有了一套雷击风险评估体系,我所正是在多年从事雷击风险评估工作经验的基础上,按照安全可靠、技术先进、经济合理的原则总结出此方法。
1风险评估概述
风险评估就是对构成风险的各个要素和潜在损失的水平赋予数值或货币金额,当量度风险的所有要素(资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等)都被赋值,风险评估的整个过程都可以被量化了。简单地说,定量分析就是试图从数字上对安全风险进行分析评估的一种方法。
2雷击风险评估的理论基础
2.1雷击风险评估的基准法(IT Baseline)
适用范围:使用广泛的基准法(IT Baseline)。对保密性、完整性及可用性为一般要求。在基础设施、组织、人员、技术及权宜安排方面可采取标准安全措施。包括建筑物的深度鉴定和估价,对这些建筑物的威胁评估和设施脆弱性评估。结果用于评估风险及选择合理的安全设施。
2.2非正式的雷击风险评估方法(FRAP,OCTAVE-S)
详细雷击风险评估分析的简化方法。评估前期的预备工作,协议讨论,风险分析报告撰写,总结结论。建立基于评估的技术档案,识别技术设施脆弱性;开发安全策略和计划。
3雷击风险评估的操作和优点
3.1操作
(1)工具:雷击风险评估操作中必须的设备和设施;(2)雷击风险趋势调查分析;(3)题库:雷击风险评估中必须运用的计算公式输入;(4)涉及内容:包括项目、设施的系统设计、环境、气候条件等;(5)雷击风险概况:包括国际、国内的评估方法、标准等;(6)项目所涉及的基础设施安全;(7)应用程序安全:包括商业运作的保密措施等;(8)操作安全:包括项目进行中的雷击保护措施等;(9)人员安全:主要涉及项目在进行中和竣工的雷击防护措施。
3.2优点
本雷击风险评估的操作优点主要是具有:标准化;权威性。
4雷击风险评估实践(典型事例)
4.1操作
(1)已知项目的雷击安全调查,对现场进行取证;(2)雷击风险威胁的监控;(3)潜在的雷击风险分析。
4.2从目标看评估量度
(1)确定最基本的防雷安全基线,确保当前不存在高雷击风险;(2)为建立动态雷击安全防护和纵深防御提出思路;(3)为配置防雷安全管理和人员管理提出思路;(4)指导未来五至十年内的防雷安全发展。
5信息系统风险评估
5.1确认阶段
(1)召开项目启动会、甲方介绍信息系统业务要求;(2)雷击风险评估方法确认、评估详细的实施计划;(3)签订雷击风险评估协议;(4)绘制文档。
5.2雷击风险评估现场操作
(1)雷击风险趋势调查、投资额、业务流程;(2)事件调查访谈、监控;(3)甲方的业务要求取证;(4)现场测试数据。
5.3报告阶段
(1)雷击安全风险现状报告整理汇总;(2)雷击安全风险分析;(3)信息系统技术风险综合分析、业务风险关联分析;(4)雷击安全风险解决方案、阶段总结;(5)正式提交雷击安全风险评估报告。
雷击风险评估是个综合、复杂的工程,它以大量繁杂的数据资料为基础,既包括项目原始数据,也包括相当数量现场检测、勘察、核实的数据来编制雷击安全风险解决方案,因此,对于其中的结论、观点,欢迎各方面专家指正,并进行研究、讨论。
在此应当声明的是,考虑到经济与技术结合的最大效益,国际标准和国内标准规定了防雷项目允许落闪频率和可接受的最大危险度,以上雷击安全风险评估操作方案和典型实例就是为了避免或减少雷击所造成的损失,评估中超出规范规定值的雷击损坏是可能存在的。
参考文献
[1] IEC61024-1.建筑物防雷[S].
[2] IEC61662.雷击损害风险的评估[S].
论文关键词:信息安全 风险评估 风险分析
论文摘要:本文设计的信息安全风险评估辅助系统是一个多专家评估系统,主要模块分为风险评估管理端、系统评估端、信息库管理端和知识库管理端,严格按照《指南》的风险评估流程进行评估,使评估结果更全面更客观。
一、前言
电力系统越来越依赖电力信息网络来保障其安全、可靠、高效的运行,该数据信息网络出现的任何信息安全方面的问题都可能波及电力系统的安全、稳定、经济运行,因此电力信息网络的安全保障工作刻不容缓[1,2]。风险评估具体的评估方法从早期简单的纯技术操作,逐渐过渡到目前普遍采用BS7799、OCTAVE、ISO13335、NIST SP800-30等相关标准的方法,充分体现以资产为出发点,以威胁为触发,以技术、管理、运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型[3]。
二、信息安全风险评估
在我国,风险评估工作已经完成了调查研究阶段、标准草案编制阶段和全国试点工作阶段,国信办制定的标准草案《信息安全风险评估指南》[4](简称《指南》)得到了较好地实践。本文设计的工具是基于《指南》的,涉及内容包括:
(一)风险要素关系。围绕着资产、威胁、脆弱性和安全措施这些基本要素展开,在对基本要素的评估过程中,需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与基本要素相关的各类属性。
(二)风险分析原理。资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。
(三)风险评估流程。包括风险评估准备、资产识别、威胁识别、脆弱性识别、已有安全措施确认、风险分析、风险消减[5]。
三、电力信息网风险评估辅助系统设计与实现
本文设计的信息安全风险评估辅助系统是基于《指南》的标准,设计阶段参考了Nipc-RiskAssessTool-V2.0,Microsoft Security Risk Self-Assessment Tool等风险评估工具。系统采用C/S结构,是一个多专家共同评估的风险评估工具。分为知识库管理端、信息库管理端、系统评估端、评估管理端。其中前两个工具用于更新知识库和信息库。后两个工具是风险评估的主体。下面对系统各部分的功能模块进行详细介绍:
(一)评估管理端。评估管理端控制风险评估的进度,综合管理系统评估端的评估结果。具体表现在:开启评估任务;分配风险评估专家;对准备阶段、资产识别阶段、威胁识别阶段、脆弱性识别阶段、已有控制措施识别阶段、风险分析阶段、选择控制措施阶段这七个阶段多个专家的评估进行确认,对多个专家的评估数据进行综合,得到综合评估结果。
(二)系统评估端。系统评估端由多个专家操作,同时开展评估。系统评估端要经历如下阶段:a.准备阶段:评估系统中CIA的相对重要性;b.资产识别阶段;c.威胁识别阶段;d.脆弱性识别阶段;e.已有控制措施识别阶段;f.风险分析阶段;g.控制措施选择阶段。在完成了风险评估的所有阶段之后,和评估管理端一样,可以浏览、导出、打印评估的结果—风险评估报表系列。
(三)信息库管理端。信息库管理端由资产管理,威胁管理,脆弱点管理,控制措施管理四部分组成。具体功能是:对资产大类、小类进行管理;对威胁列表进行管理;对脆弱点大类、列表进行管理;对控制措施列表进行管理。
(四)知识库管理端。知识库的管理分为系统CIA问卷管理,脆弱点问卷管理,威胁问卷管理,资产属性问卷管理,控制措施问卷管理,控制措施损益问卷管理六部分。
四、总结
信息安全风险评估是一个新兴的领域,本文在介绍了信息安全风险评估研究意义的基础之上,详细阐述了信息安全风险评估辅助工具的结构设计和系统主要部分的功能描述。测试结果表明系统能对已有的控制措施进行识别,分析出已有控制措施的实施效果,为风险处理计划提供依据。
参考文献
[1]Huisheng Gao,Yiqun Sun,Research on Indices System of Security Risk Evaluation for Electric Power.Optical Fiber Communication Network,IEEE,2007.
[2]Masami Hasegawa,Toshiki Ogawa,Security Measures for the Manufacture and Control System,SICE Annual Conference 2007.
[3]左晓栋等.对信息安全风险评估中几个重要问题的认识[J].计算机安全,2004,7:64-66
关键词:农业气象灾害;风险评估;研究现状;存在问题;发展方向
中图分类号S165+.25文献标识码A文章编号1007-5739(2009)14-0269-02
风险分析在近20~30年来得到迅速发展,并已广泛应用于生物、医学、环境、技术应用和工程等领域。但针对某种农业气象灾害风险评估的研究较少,现有的成果也不很完善。今后农业气象灾害的风险评估,应该向哪个方面发展,是从事这一方面研究的工作者所要考虑的问题。因此,笔者对前人研究的成果进行总结和分析,找出其优缺点,以便在今后的工作中,扬长避短,少走弯路,更好地服务于农业生产。
1风险评估研究现状
1.1国内研究现状
农业气象灾害风险评估的国内研究,有李世奎、霍治国、王道龙等[1]主编的《中国农业灾害风险评价与对策》一书,此书以风险分析技术为核心,探讨了农业自然灾害分析的理论、概念、方法和模型。但是,有关农业气象灾害风险评估理论的基础研究仍相当薄弱。邓国等[2]提出用解析概率密度曲线法估计粮食产量序列的风险概率,对中国粮食产量不同风险类型进行了分区研究。薛昌颖等[3]利用河北及京津地区1949~2001年的冬小麦实际产量资料,选取历年减产率的变异系数、历年平均减产率和减产率风险概率作为评价指标,估算了干旱气候条件下河北及京津地区历年冬小麦产量灾损的风险水平。黄崇福等[4]针对湖南省各县市1979~1993年的灾情资料时间序列短、数量少的情况,引入模糊数学方法,对干旱等农业自然灾害进行了风险估算,并通过专题图直观地展示了风险的分布及其空间变化趋势。经文献检索,在风险评估方面,农业气象灾害风险评价标准还缺乏统一的认识和实践检验,实用性和可操作性强的风险评价模型甚少。
朱自玺等[5]做了小麦干旱风险评估技术和方法的研究,他们从降水资料出发,先按降水负距平绝对值的大小不同划分为不同的干旱等级,再求出不同干旱等级发生的概率,以此为基础建立了小麦气候干旱风险指数模型Ic=α1Is+α2Ie,式中Is为全生育期风险指数,Ie为小麦拔节期风险指数,α1、α2分别为其权重系数。然后又从作物需水量和供水量出发,按作物缺水程度不同划分为不同的干旱等级,算出不同干旱等级出现的概率,以此为基础建立了作物干旱风险指数模型Id=α1Is+α2Ie+α3Im,其中Is、Ie和Im分别为小麦全生育期、拔节期和灌浆期的作物干旱风险指数,α1、α2和α3分别为其权重系数。最后在气候干旱模型和作物干旱模型的基础上,建立了综合干旱风险指数模型I=(Ic+Id)/2,其中Ic为气候干旱风险指数,Id为作物干旱风险指数,并在此基础上对华北平原冬小麦干旱风险进行了评估和区划。中国农业大学的王素艳[6]做了北方冬小麦干旱风险评估及风险区划研究,对北方冬小麦干旱特征进行了详细分析,以此为基础对北方地区的光温和气候生产力进行了评估,建立了风险评估指标体系,并进一步做了北方冬小麦干旱灾损风险区划,这是对小麦干旱风险评估和区划的一次系统和详细的研究。
1.2国外研究现状
在国外的风险评估研究中,往往根据研究的侧重点将模型分为社会风险、经济风险、环境风险、潜在风险及综合风险等类型,各个类型内部又包含应用于不同领域的多个估算模型。以社会风险为例,所谓社会风险是指相对于某一给定的区域,或某一给定的人群,由某种灾害所引起的受损害的人数与其发生频率之间的关系。这种关系常用FN伤亡频率图表示。至于其评估模型,有Piers提出的AWR模型[7],Carter提出的SRI模型[8]及HSE提出的COMAH模型[9]等,其中COMAH模型主要应用于土地利用与规划方面。美英等国是国际上最先提出风险理论和应用的国家。美国学者WilliamJ.Petak和ArthurA.Atkisson在《自然灾害风险评价与减灾对策》一书中对美国主要自然灾害的风险分析进行了详细的论述。该书总结了美国主要自然灾害的风险与损失期望值,并在风险决策,特别是灾害管理政策的制定和减灾效益分析方面进行了详细的论述,但针对农业灾害的风险评估技术基本没有涉及[10]。日本继美英之后也比较注重风险评估和区划的研究,其针对强,注重实效,取得了令人瞩目的成就。日本于1998年建立了风险分析协会,其研究重点在环境和环境恶化方面。他们认识到,由于使用了现代科学技术,使原本脆弱的环境更加恶化,原本复杂的世界带来更多不确定性[10]。总体上,国外学者在风险分析研究方面多侧重于经济领域,对具体的某一种农业灾害风险分析的研究还不多见。
2风险评估中存在的问题
2.1风险评估指标中存在的问题
经文献检索,在国内农业气象灾害风险评估方面,一般有干旱风险评估、涝洪风险评估、冻害风险评估等。但在风险评估指标上,尤其是在干旱风险评估指标方面,虽然指标很多,但在评估中实用的指标很少,几乎所有关于干旱灾害风险评估文献中,都用降水负距平作为干旱灾害风险评估指标,即从某地某一时段(作物一个生长周期、某一生长段、年、季、月、旬、周或规定的天数内)的降雨量(观测值或预报值)与该地区该时段内的多年平均降雨量相比较而确定作物干旱程度,并在此基础上进行作物产量灾损程度、作物干旱灾害风险综合评估和区划等一系列工作。用降水负距平作为作物干旱评估指标,有一定的局限性。因为作物干旱灾害受多种因素的影响,其中包括作物田地土壤墒情的好坏、土壤性质、当地地下水位的高低、某一时期大气降水量的多少、人为水分补给量的多少、作物当时的表现症状等。其中跟作物干旱有最直接、最大关系的就是土壤墒情是否适宜,即土壤含水量的多少。在短期内,某一时段降水偏少,如果前期降水量偏多,则土壤墒情也会较好,作物并不一定发生干旱;或者地下水位较高,或者人为进行了灌溉,作物地块土壤墒情也不会差,作物也不会发生干旱。长时期的干旱,是由于大气环流的影响,导致降水量偏少所致,才有可能导致土壤干旱。因此用降水负距平作为作物干旱灾害评估指标,干旱时期越长,评估结果才会越准确。而对于短期干旱或干旱期间采取了灌溉措施,用降水负距平作为作物干旱评估指标评估的结果准确性较低,缺乏科学性。特别是近些年,随着农业生产条件的提高,灌溉面积的增大,再单纯的用降水负距平来评估作物干旱发生的风险情况,则不但短期干旱评估不准确,恐怕连长期干旱评估的结果都不可靠了。用土壤墒情作为作物干旱评估指标,因为作物根系直接生活在土壤中,是从土壤中而不是从大气中吸收生长发育所需的水分,土壤墒情的好坏直接影响到作物的生长状况。土壤墒情良好,作物生长顺利,表现较好;土壤墒情较差,作物生长不良,表现出干旱症状,并进而影响产量。不管用何种方式补充土壤水分,只要土壤墒情较好,作物就不受干旱影响。因此,用土壤墒情作为作物干旱灾害评估指标,既克服了用降水负距平作为干旱评估指标的缺点,又克服了农业生产水平的影响,无论是对短期干旱或长期干旱评估都会较为准确。
2.2风险评估及区划中存在的问题
在农业气象灾害风险评估方面,通过查阅文献发现:人们进行风险评估的内容大多集中在较大的方面,如对中国的粮食产量风险进行评估和区划,对总的农业气象灾害风险进行估算,对华南南部的热带果树的农业气象灾害进行风险评估等。这些风险评估的对象都是针对整体农作物和果树,单一的对某一种农业气象灾害,或某一种农作物的农业气象灾害,或某一种果树的气象灾害进行系统化风险评估和区划的成果少之又少;且在对总的农业气象灾害进行风险评估时,所用的评估资料基本上都只是建立在粮食作物产量的基础上,对影响粮食作物产量的气象要素考虑较少。在农业气象灾害风险评估和区划的研究成果方面,所用的评估指标有待改进,现有的成果也不很完善。
1.1静态风险评估
静态风险评估是根据传统风险评估的具体方法对较短时间内系统存在的各种风险进行科学的评估,评估的整个过程并不连续,评估的对象主要选择相对静止的系统。
1.2动态风险评估
动态风险评估是对网络进行安全风险的评估,并研究系统变化的过程和趋势,将安全风险与具体的环境相互联系,从宏观的角度了解整个系统存在的安全风险,把握风险的动态变化,风险评估的过程是动态变化的过程。对于电信网络而言,客观准确的进行安全风险的评估是整个电信安全管理的重要前提。风险评估是风险管理的初级阶段,目前,我国的电信网络仍然采用传统静态评估的方式,最终对安全风险的评估只是针对特定的时间点。但是,静态风险评估不能有效的体现评估风险各种变化的趋势,评估结果相对比较滞后。动态风险评估加强了静态风险评估的效果,能够反映较长时间安全风险具体的变化情况。在动态风险进行评估的过程中,如果系统出现安全问题,可以及时的进行处理,展现了整个风险评估的变化过程,保证了网络的安全。对电信网络实施动态风险评估,具有非常复杂的过程,评估的结果具有参考价值。电信网络安全风险评估的研究文/向宗旭随着电信技术的不断发展和深入,电信网络与现代的互联网存在较为紧密的联系,这也为电信网络带来巨大的安全风险。电信网络属于我国通信网络中的重要内容,直接关系到我国社会的稳定。本文主要探讨了电信网络的安全风险评估。
2电信网络安全风险评估具体的实施过程
对电信网络进行安全风险评估的工作,其对象可以针对电信网络的某一部门也可以是整个电信网络。风险评估的内容包含技术的安全问题以及网络管理的安全问题。技术安全主要包括网络安全以及物理安全等,管理安全主要包括管理制度以及人员管理等。对电信网络实施安全风险的评估主要按照以下几个步骤。
2.1风险评估前的准备工作
在进行安全风险评估之前,首先需要获得各个方面对安全风险评估的支持,相互配合,确定需要评估的具体内容,组织负责进行安全风险评估的专业团队,做好市场的调查工作,制定评估使用的方法,只有做好一系列的准备工作才能为接下来的安全风险评估奠定基础。
2.2对资产的识别工作
在电信网络中的资产主要包括具有一定使用价值的资源,电信网络的资产也是进行安全风险评估的主要对象。资产存在多种形式,有无形资产和有形资产,还可以分为硬件和软件。例如,一些网络的布局以及用户的数据等。做好资产识别的工作能够确定资产具体的安全情况。对资产进行安全风险的评估可以综合分析资产的价值以及安全状况,还可以考虑资产具有的社会影响力。社会影响力是指资产一旦失去安全的保障会对整个社会带来影响。
2.3威胁识别工作
威胁的识别是指对电信网络内部资产存在破坏的各种因素,这种潜在的破坏因素客观存在。对资产产生威胁的主要原因包括技术、环境以及人为。技术因素是指网络自身存在的设备故障或者是网络的设计存在疏漏。环境因素是指环境中的物理因素。人为因素是指人为造成的威胁,包括恶意和非恶意。通过对威胁的动机以及发生几率描述网络存在的各种威胁,威胁识别工作的重要任务就是判断出现威胁的可能性。
2.4脆弱性识别工作
网络资产本身具有脆弱性的特点,包括网络存在的各种缺陷。只有网络存在各种缺陷和弱点才有可能出现各种威胁的因素,如果没有威胁的产生,网络具有的脆弱性并不会损害资产。但是只有系统较少自身的脆弱性才会较少资产被威胁的可能性,使系统的资产更加安全,从而有效的较少损失。对电信网络进行脆弱性识别工作可以从技术和管理上展开,主要以资产的安全作为核心内容,针对资产的不同特征,进行脆弱性的识别工作。
2.5确认具体的安全措施
对电信网络进行的安全风险评估需要做好安全措施的确认工作,保持有明显效果的安全措施,对失去效果的安全措施予以改正,避免内部资产的浪费,杜绝重复使用安全措施。一旦发现不合理的安全措施需要及时检查安全措施能否被取消,并制定更合理的安全措施。确认安全措施的工作主要分为预防性和保护性两种。预防性措施主要负责减少威胁性因素产生的可能性,保护性措施是为了减少资产的损失。
2.6风险分析工作
风险分析工作主要对电信网络的资产识别、脆弱性识别、威胁识别以及存在风险对资产造成的损失进行综合性的分析,最终得出准确的风险值,结合制定的安全措施。分析资产承受风险的最大范围。如果出现的安全风险在资产承受的范围之内,需要继续采取安全保护措施,如果安全风险超出了资产承受的范围,这就需要对风险进行控制,制定更可靠的安全措施。
2.7整理风险评估记录
对电信网络实施安全风险评估工作的整个过程,需要进行风险评估的准确记录,包括评估的过程以及评估的最终结果,制定系统的安全风险评估报告。为安全风险评估的工作提供可靠的科学依据。
3结束语
第二条本办法所称雷电灾害风险评估是指以实现系统防雷为目的,运用科学的原理和方法,对系统可能遭受雷击概率及雷击产生后果的严重程度进行分析计算,提出相应技术防范措施。
雷电灾害风险评估可分为预评估、方案评估与现状评估三种。
第三条市气象主管机构负责全市雷电灾害风险评估的监督管理工作。市、县气象主管机构负责本辖区内雷电灾害风险评估的监督管理工作。未设气象主管机构的县(区),由上一级气象主管机构负责雷电灾害风险评估的监督管理工作。市、县气象主管机构的主要职责是:
(一)负责编制本行政区域内的雷电灾害防御规划并监督实施;
(二)负责对承担雷电灾害风险评估工作机构的监督;
(三)负责对各建设工程项目单位及设计单位执行雷电灾害风险评估情况的检查、监督;
(四)负责对违反雷电灾害风险评估法律法规的单位和个人进行依法查处。
第四条各级发展改革、住房和城乡建设、城乡规划、安全监管、城市管理等行政主管部门应当按照各自的职责,协同气象主管机构做好雷电灾害风险评估监督管理工作。
第五条以下新建、扩建和改建工程项目应进行雷电灾害风险评估:
(一)重点建设项目、大型工程建设项目;
(二)各类化工厂、易燃仓储、输送贮存油(气)、炸药、火药、起爆药等生产、储存、经营的易燃易爆场所;
(三)供水、供气、供电、供热等民生工程。
(四)各类体育场馆、影剧院、大型商场超市、宾馆、医院、学校、汽车站、火车站等人员集中公共场所。
(五)各类发射塔、高耸观光塔、高层建筑、国家级和省级重点文物保护建筑、图书馆、博物馆、文物库房、通讯枢纽、码头泊位等特殊工程。
(六)法律、法规、规章规定应当进行雷电灾害风险评估的其他场所和设施。
第六条凡属本办法第五条所列举的建设工程项目,建设单位(项目业主)在项目可行性研究阶段,应同步做好雷电灾害风险评估;设计单位应当把《雷电灾害风险评估报告》列入施工图的设计依据,同时,根据报告要求、防雷技术规范和标准进行防雷装置设计。
第七条对于已投入使用的易燃易爆场所及化工等企业,在按照有关法律、法规要求定期进行安全评价时,需将雷电灾害风险评估作为一项重要参考依据。
第八条凡属本办法第五条所列建设工程项目,建设单位(项目业主)在项目可行性研究阶段或初步设计时应同步做好雷电灾害风险评估工作。办理程序如下:
(一)气象主管机构接受建设单位(项目业主)填报的“建设工程项目雷电灾害风险评估表”。
(二)市、县气象主管机构根据建设工程项目类型、类别在3个工作日内作出该项目是否需要进行雷电灾害风险评估的书面意见。
(三)需要进行雷电灾害风险评估的项目,由建设单位(项目业主)与雷电灾害风险评估工作承担机构签订有关合同。
(四)雷电灾害风险评估结果由建设单位(项目业主)报市、县气象主管机构备案。
第九条雷电灾害风险评估应由法律法规规定的法定技术机构实施;承担项目工程雷电灾害风险评估工作的机构,应依法取得市级以上气象主管机构的许可。
第十条雷电灾害风险评估人员必须具备相应的专业技术知识和能力,并具有防雷专业技术人员资格证。
第十一条承担雷电灾害风险评估工作的机构,应严格执行建设工程雷电灾害风险评估技术规范等相关标准,并对评估结论负责。
第十二条经防雷主管部门审查和认可后的雷电灾害风险评估方案作为防雷工程设计和施工的依据之一,不得任意更改;施工过程中如发现实际情况与评估时所提交的资料不符,应补充必要的资料,重新评估。
第十三条各建设和设计单位应主动配合气象主管机构做好雷电灾害风险评估工作,自觉接受气象主管机构的监督、检查。
第十四条有下列行为之一的,由市、县气象主管机构依法进行处罚;构成犯罪的,依法追究刑事责任;给他人造成损失的,依法承担赔偿责任:
(一)建设项目未使用雷电灾害风险评估结论擅自设计、施工的;
(二)涂改、伪造建设项目雷电灾害风险评估报告的;
关键词:商业银行;信息系统;风险评估
中图分类号:TP311
文献标识码:A
1引言
商业银行作为现代经济的核心,在加快实现银行信息化建设的过程中,越来越关注信息化项目的合理性、有效性、经济性、可用性和安全性。在这种需求的推动下,银行信息系统风险评估走上了银行风险控制的前台,成为商业银行信息化项目治理的重要组成部分。运用先进的评估方法,逐步完善信息系统风险评估的流程,建立适合商业银行风险特征的评估的模型,并通过信息系统风险评估的手段,保障信息资产的安全、数据的完整、提高信息系统的效率,可以使商业银行不断加强信息系统风险管理和内部控制,以适应风险环境日益复杂化的需要,以确保信息系统安全、稳定、有效运行。
2商业银行信息系统风险分析
2.1商业银行信息系统基本特征
随着我国经济的飞速发展及加入WTO后和世界经济一体化进程的加快,企业以及个人相互之间的资金往来需要一个安全高效的资金划拨、支付结算手段及环境,银行不断完善信息管理系统,实现信息系统的电子化、网络化,使商业银行的信息系统具有了新的特点。
1)商业银行的业务系统的特点
网点虚拟化,将帐户的核算与管辖分开,会计核算由总行统一处理,各行处负责具体业务的经办,使业务处理打破了分支机构界限。通过帐务与业务的结合,使得会计系统和银行业务的联系更加紧密,客户的数据在各系统内可以共享,并通过流程的控制使业务操作更加安全、可靠。
面向业务设计银行业务处理,所有功能都由交易来驱动,记帐部分位于业务的底层,业务层通过调用统一的记帐核心来完成帐务处理。通过实施业务流程再造,实现银行业务的重组,更好地配置现有的资源。
2)商业银行信息系统的业务结构分析商业银行主要业务包括存款、贷款、信用卡、中间业务、国际业务、结算、代收代付、ATM、POS、网上银行等。商业银行信息系统为银行业务提供一个支撑平台,结构如图1所示。图1商业银行信息系统业务结构
3)商业银行信息系统结构分析商业银行信息系统构架为三个层次,第一层核心业务系统,主要提供帐务记录、主要业务支撑和业务报表;第二层中间业务平台,是核心数据与外部接口的交换平台,提供数据接口的转换功能;第三层系统,提供外部数据的接口,如图2所示。图2商业银行信息系统层次结构
2.2商业银行信息系统风险的特点
银行业务处理中对及时性和可靠性的特殊需求,使得商业银行信息系统风险体现出明显的行业特征。
1)商用银行信息系统风险的业务特点
网络和安全技术的飞速发展,使得商业银行已成为商品交易的电子平台和电子金库。因此商业银行对数据完整性要求极高,对业务和数据的可用性、安全性,以及对业务中断和数据丢失等事故的防范和处理要求十分严格。
2)商业银行信息系统风险的技术特点
银行开展信息化的时间较长,其应用系统较为普及,但长期来,银行信息系统相对较为封闭。近年来,随着网银、中间业务等银行新型业务和金融产品的出现,对开放信息系统的要求越来越高,银行的信息系统均开始不同程度向外界开放。
由于各商业银行实行数据大集中,导致单笔交易所跨越的网络环节越来越多,银行信息系统 对网络依赖程度越来越高。
3)商业银行信息系统风险的现状
信息系统本身固有的风险在加大。银行业是信息化技术与产品相对密集的行业,由于信息化规模的不断扩大,信息技术迅速发展,银行信息系统所采用信息技术与信息系统软硬件本身存在着很大的脆弱性,如果这些脆弱性被特定的威胁所利用,就会产生风险,从而对银行信息系统的机密性、完整性及可用性产生损害。
银行数据集中后使信息系统风险不易分解。目前各家商业银行已陆续完成数据大集中,实现银行账务数据与营业机构的分离,使银行从以账务和产品为中心转变为以客户为中心。但是,数据集中后信息系统风险增大,系统一旦出现问题,将影响到整个银行的正常运营。
电子金融服务的发展,使商业银行随时面对来自公共网络的威胁。近年来,网上银行、移动银行、电子商务等银行新业务,在成为商业银行利润增长点的同时,使商业银行的网络风险日益凸现。
人员的风险成为最大的风险。统计结果表明,在商业银行信息安全事故中,只有20%~30%是由于黑客入侵或其他外部原因造成的,70%~80%是由于内部员工的疏忽或有意泄密造成的。
3商业银行信息系统风险评估模型设计
3.1商业银行信息系统风险评估的现状与趋势
信息系统风险评估已得到国际社会的普遍重视,风险评估的重点也从操作系统、网络环境发展到整个管理体系。西方国家在实践中不断发现,风险评估作为保证信息安全的重要基石发挥着关键作用。在信息安全、安全技术的相关标准中,风险评估均作为关键步骤进行阐述,如ISO13335、COBIT、BS7799-3等。
我国的信息系统风险评估工作目前还处于起步阶段,还没有形成一套成形的专业规范,缺少一支能够全面开展信息系统风险评估的人才队伍。无论是国际上大型的跨国公司还是国内一些规模较大的企业都在不断地扩大信息技术在其经营活动的应用范围,运用传统的信息技术和风险评估知识已经不能实现真正意义上的"风险基础模式"的风险评估,这些都影响到我国IT治理和信息系统风险控制的实施。
随着商业银行经营管理活动对信息技术的高度依存,信息科技风险控制已成为商业银行风险管理的重要内容,并需要从战略的角度将信息系统与实现公司治理的总体目标紧密联系在一起。因此,解析国内银行信息系统风险评估的现状及存在的问题,并根据国际经验与我国实际情况进行差异性分析,最后,找到我国银行业信息系统风险评估的有效方法,由此,实现信息系统风险评估在国内银行业质的飞跃。
3.2商业银行信息系统风险评估模型的设计
在目前所应用的风险控制与评估模型中,基本区分为两类,一类是基于业务风险控制的风险评估模型,这类模型的基础是传统的风险评估理论,因此更加注重于业务流程的控制和业务的风险管理;另一类是关注于技术控制的风险评估模型,这类模型建立在相关的信息安全标准之上,主要考虑的是技术的实现架构和实现方式,评估系统的技术风险。
银行在面对实际的信息风险时,需要建立定位于信息全面管理的风险评估模型。因此,必须结合业务风险模型和技术风险模型的相关方法,通过分析系统自身内部控制机制中存在的薄弱环节和危险因素,发现系统与外界环境交互中不正常和有害的行为,完成系统弱点和安全威胁的定性分析,在银行信息系统内部风险各要素之间建立风险评估模型,如图3所示。
商业银行信息系统风险评估模型信息系统的风险评估模型由三个基本元素组成,分别是银行核心业务系统、银行信息系统风险管理和风险评估的方法和技术。
银行核心业务系统是业务运转的基础,是商业银行固有风险的体现,它通过硬件平台的支撑、应用软件的设计、数据资源的管理,实现银行业务职能。
银行信息系统风险管理,是商业银行控制剩余风险的能力。它主要包括系统建设风险控制、系统数据完备性、系统功能实现、业务流程风险控制、数据迁移等6个方面。
风险评估的方法和技术,是风险评估和控制的手段。它针对信息系统风险管理的需求和特点,采用不同的风险评估方法和技术,识别固有风险和剩余风险,对银行信息系统进行整体风险的评估。
4商业银行信息系统风险评估模型的实现
4.1风险评估的实现框架
商业银行随时面对遭遇伤害和损失的可能性,而这些风险由关键信息资产、资产所面临的威胁以及威胁所利用的脆弱点来确定。实现信息系统风险评估模型,需对信息资产的识别,进行威胁分析和弱点分析,实现框架如图4所示。
信息资产不仅包括硬件设备,还包括应用软件和信息系统的相关人员。信息资产的识别与赋值可以通过普查和调查的方式实现。
信息系统的威胁来源于内部风险的管理和外部风险环境的变化,通常使用的手段包括:用户访谈、异常行为检测、日志分析等方法进行分析。
弱点来源于信息系统的安全与业务安全需求的不匹配,弱点分析的方法有:应用软件评估、网络构架评估、人工评估、工具扫描、安全管理审计、策略评估等。
图险评估模型实现框架
4.2风险评估的实施步骤
商业银行信息系统风险评估的实施主要有如下步骤:
1)对信息系统风险战略进行分析
商业银行首先应建立信息系统风险战略,并在内部和维护,以对信息安全的支持与承诺,使其与银行的业务发展相一致。
信息系统风险评估必须对信息系统业务支持的可行性进行分析,了解技术发展的内外部状况和管理层对信息技术的支持度等情况,评价信息系统风险战略是否与业务发展战略相一致。如图5所示,首先需要确定总风险和剩余风险;其次把确认的风险进行排序,建立战略风险和流程风险项目;最后确定流程执行的效力。
2)对风险评估内容进行详细定义。
建立信息系统风险评估范围的表格,如该项评估所包含的系统、人员、资源等。对信息系统的运行进行评估,如主机系统、硬件设备、人员管理、灾难备份、权限管理等。建立信息系统流程评估表格,如主流程、次流程、流程所对应的操作;流程中的主要固有风险、风险的控制手段等。
3)明确审计的技术和步骤。
确定信息系统审计需要使用的技术和技术使用的步骤,常用的测试技术有现场观察、访谈、审阅、再执行、知识评估等。
4)出具审计报告。
对信息系统进行测试后,出具评估报告。评估报告应包括信息系统的基本情况、面临的内外部风险、评估所发现的问题、对评估发现事项提出的建议。
5)风险问题的跟踪和跟进。
评估完成后,对发现的问题需根据问题的重要性和对象,提出报告并跟踪解决。图5 信息系统风险战略及流程分析
5结束
信息系统的风险性可以分为人为性风险和非人为性风险,非人为性风险主要包括环境和系统风险。信息系统的脆弱性主要包括硬件、软件、管理以及运行环境等四个方向,从硬件方向讲,指硬件设备存在的漏洞和缺陷。从软件方向讲,在信息系统的研发过程中所产生的错误信息,进而导致系统出现漏洞,对安全造成严重危害。从管理方面讲,是指在日常管理和应急预案管理的过程中存在问题。从运行环境方面讲,指的是办公室、计算机房、温度、湿度以及照明条件等情况导致的系统漏洞。
2信息系统管理中信息安全风险评估方法
2.1信息安全风险评估内容
信息安全风险评估的主要内容包括评估资产的威胁性和脆弱性,对已有安全措施进行风险评估分析。信息资产是指对信息资源产生一定利用价值的总称,是信息安全评估中的重点保护对象,主要分为人员、数据、软件和硬件等资源,根据各种资源的完整性、保密性以及可用性进行等级划分,评估组织系统中资产的威胁性,包括直接威胁和间接威胁等,根本目的在于对安全风险需求的分析,建立风险防范措施,有效降低信息安全的威胁性因素。
2.2风险评估方法
信息系统管理中的信息安全风险评估方法较多,本文主要从人工评估法和定性评估法两方面进行分析。人工评估法。又称为手工评估法,是指在整个风险评估的过程中,运用人工作业的形式进行信息安全风险评估,通过对资产、投资成本的风险的安全需求、威胁性、脆弱性以及安全措施等,进行有效评估,根据其风险效益制定出与之相对应的决策。定性评估法。定性评估法是根据专业机构以及专家等对风险的判断分析,属于一种相对主观的评估方法,该评估方法偏向于关注风险带来的损失,忽略了风险的发生频率。其他评估方法包括工具辅助评估和定量评估等方法。
2.3层次分析方法
通过运用层次分析法对信息安全的评价体系进行构建,进而对风险进行综合性评价。通过运用层次分析法对信息安全的风险作出评估,评价信息安全风险所涉及到的各个要素间的相对重要的权数,根据各个要素的排序,作出横向比较分析,为信息安全的风险评估提供可靠依据。对信息安全的风险评估中,通过运用层次分析法进行有效评估,进而增强风险评估的有效性。通过分析资产、威胁性、脆弱性以及安全措施的四个评价指标体系,对安全风险进行合理性的分析评估,降低安全风险系数。
3结语
