时间:2023-08-29 16:43:36
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇风险管理的主要步骤,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
【关键词】项目风险管理;实施;方法
工程项目风险管理是一个动态的、循环的、系统的、完整的过程,是一种运用多方面知识综合管理的活动。工程项目的风险成因、风险发生、风险波及范围、风险破坏力等等交错复杂,因此运用单一的工程管理知识和技术手段是远远不够的,必须要综合运用多种方法、手段和措施,对工程项目风险从识别到分析乃至采取应对措施等一系列过程进行管理研究,从而将风险事件加以控制,将风险产生的损失降到最低。
一、工程项目风险的特征
(一)风险在工程项目建设中不仅客观存在,而且必然存在。工程项目风险无论是来自项目内部还是来自项目外部,都是客观存在,不会被人们的主观意识所掌控。然而这些风险的发生同时也具有必然性,因为任何项目的实施都不可能做到滴水不漏,这也是人类社会的普遍规律,我们能做的只有控制风险的发生,降低风险带来的损失,却不可能做到完全排避风险。
(二)风险在工程项目建设中表现为多种类型。也就是说在某个工程项目建设的每个不同的阶段都会出现许多不同种类的风险,每种类型的风险又是许多不同风险因素所构成的,并且每个风险因素之间都或多或少的存在着复杂而客观的联系。
(三)风险在工程项目建设中的出现通常是不确定的。风险具体会发生在何时何地,会在项目进程中的哪个过程中发生,都是无法确定的,我们唯一能预测的是风险发生的可能。同时风险所导致的后果和产生的损失在事先也无法确定,我们所能做的仅仅凭借多年的实践经验在事件后果产生前进行合理的推测等。
二、工程项目风险管理的作用
随着社会经济的高速发展,工程项目建设所面临的内外部环境也复杂多变,在项目实施的过程中存在许多不确定因素,因此工程项目风险管理就成为工程项目进程中的一个既重要又必然的环节,它有着许多积极的意义,主要作用表现在:
现代工程项目风险管理都普遍使用全面的系统的科学管理方法和手段来积极处理项目在实施过程中所遇到的各类风险,将风险所带来的一系列不利后果降到最低,同时也降低风险管理的成本。
工程项目风险管理能够维持项目运行的稳定。通过项目风险管理可以加强项目方案的执行,还可以协调好项目组织内外关系,进而使得整个工程项目得以保质保量的顺利完成。
工程项目风险管理的合理进行可以帮助整个项目避免物资和人力的浪费,从而为项目建设节省开支,提高项目的经济效益。
三、工程项目风险管理的原则
(一)把握整体原则
工程项目的整个实施过程充满了许多不确定因素,并且每个风险因素之间都存在着错综复杂的联系,因此项目管理者应从项目全局的角度来分析项目可能面临的各种风险,并进行综合系统的处理,及时采取积极的应对措施。
(二)事前防范原则
工程项目风险管理应该在风险事件发生之前进行合理的预测,并及时地采取积极的防范措施,而不是等待风险的来临再进行风险补救。防患于未然就是我们项目风险管理者最基本、最重要的风险管理理念。
四、工程项目风险管理的实施过程
目前,工程项目风险管理的实施过程有许多不同的认识,本文基于对工程项目风险管理的基本步骤的认识,归纳出工程项目风险管理的基本过程,主要可以分为风险识别、风险评价、风险应对和风险监督四个阶段。
(一)风险识别
风险识别是风险管理的第一步,也是风险管理的基础。风险识别是指在风险事故发生之前,人们运用各种方法系统地、连续地认识所面临的各种风险以及分析风险事故发生的潜在原因。风险识别过程包含感知风险和分析风险两个环节。
(二)风险评价
在风险识别和分析的基础上,结合其他因素对风险发生的概率、损失程度进行全面考虑,评估发生风险的可能性及危害程度,并与公认的安全指标相比较,以衡量风险的程度,并决定是否需要采取相应措施的过程。
五、工程项目风险管理的方法
(一)风险识别方法
工程项目风险识别是风险管理中最重要的步骤,即通过某种途径辨别出影响工程项目目标实现的风险事件存在的可能性,并予以分类。一般来说风险识别方法主要有:生产流程分析法、风险专家调查法、资产财务状况分析法、WBS分解法等等。本文主要采用WBS分解法进行风险识别,因此主要介绍一下WBS分解法的具体步骤:1.组建风险管理小组,收集相关资料,为风险识别准备资料;2.召集项目经理、相关技术人员以及风险管理小组成员进行项目分解讨论会;3.进行分解项目工作,同时风险管理小组成员提出风险因素集并在WBS向下分解过程中添加风险因素;4.绘出WBS层次结构图,建立初步风险因素集;5.确定WBS结构中的监控点,明确每个工作单元分配的资源、交付成果、责任人,同时完善风险因素集;6.检查分解过程,验证分解的正确性,更新完善的分解报告,提交项目风险识别报告。
(二)风险评价方法
风险分析与评价是对建设工程项目风险事件发生的可能性和损失后果进行量化的过程。它是建设工程项目风险识别与风险管理之间联系的纽带,是科学合理地进行风险决策的基础。风险分析与评价的后果主要在于确定各种风险事件发生的概率及其对建设工程项目目标影响的严重程度。风险评价的方法一般有主观评分法、决策树法、网络计划技术、模糊综合评价法、层次分析法等等。经过对这些方法的优劣势分析,并结合本项目的实际情况,层次分析法显得更系统、灵活、简便。
参考文献:
[1]耿海.工程项目风险管理策略探析[J].现代商贸工业,2008(03).
在经济全球化的大背景下,银行业已全面实现对外开放,面对激烈的竞争,信贷项目风险管理是永恒的主体。银行信贷项目风险管理受到很多因素的影响,如何系统、全面地阐释信贷项目风险,是银行信贷项目全面风险管理的难点,也是关键。
一、银行信贷项目全面风险管理的概述
银行信贷项目全面风险管理是对风险管理采用一体化,在一致的测量标准下形成的风险,它不是一种风险管理技术方法,被一致认为是一种理论、理念或思想。
银行信贷项目全面风险管理的内涵可以从以下几个方面来理解:
(1)它不是一种具体的方法,而是贯穿银行业信贷管理的全过程
银行信贷项目全面风险管理不是结果,也不是一次事件,而是一种方法,它渗透在整个银行业管理的过程中,并与银行日常的经营活动紧密结合在一起,当它成为银行经营中的一部分时,信贷项目风险管理才能说是有效地。
(2)信贷项目全面风险管理应该被应用在整个银行体系中
银行信贷项目全面风险管理贯穿于银行的各个管理范围和层次,是从资源分配和战略规划的整体的活动到人力资源、市场资源以及客户的信贷管理等整体活动。银行管理层要综合地看待银行内部的各个层次,从而确认其整体风险,并最终为银行信贷项目全面风险管理提供基础与保障。
(3)人的因素也会对信贷项目全面风险管理产生影响
由于项目风险管理是由人所制定并进行落实的,因此,整个的银行信贷项目全面风险管理工作会受到人为因素的影响。反过来,信贷项目全面风险管理也会对人的行为产生影响。
二、银行信贷项目全面风险管理的框架建立
银行信贷项目全面风险管理是一个涉及多方面的系统工程,要想对其进行全面的分析,必须建立有效的框架体系。
(一)三维结构体系
霍尔提出的“三维结构体系”可以对我们建立信贷项目风险管理这一复杂工程提供框架构建。“三维结构体系”由逻辑维、时间维以及知识维组成,是霍尔于1969年基于大型的复杂工程提出的,这一理论将系统工程分为紧密联系的七个步骤和七个阶段,并且还将提供专业的知识,为复杂工程的建立提供统一的思想。全面风险管理的框架体系包括三个维度:层次维、要素维和过程维。
(二)实证分析
信贷项目风险管理的三维结构的构建主要是从银行内部出发,本文运用实证分析方法,提出以下假设:
假设一:信贷项目全面风险管理受贷款企业的影响
信贷项目的主体主要是贷款企业,因此,贷款企业的情况必然会影响信贷项目风险。很多关于这一方面的评估模型论证了这一假设。
假设二:外部的金融环境以及社会的诚信体系对银行信贷项目全面风险有影响
往往,外部的金融环境以及社会的诚信体系对银行信贷项目全面风险有很大的影响,很多人认为,信贷风险主要是由于法制的不健全以及监管的不力等等,与这些因素比较,金融环境以及诚信体系却是很难控制的。因此,本文认为金融环境以及诚信体系对信贷风险有影响,但却不是关键的影响。
假设三:银行信贷项目全面风险管理也受银行内部控制的显著影响
本文认为,银行内控对信贷项目全面风险的影响也很关键,不能仅仅将影响因素局限于借贷企业、金融环境等方面。
三、银行信贷项目全面风险管理评估
(一)银行信贷项目全面风险管理贷前的评估
贷前评估具有不确定性,并且涉及的因素较多,因此,对贷前评估的合理性探讨是信贷风险管理的关键环节。
贷前评估的方法主要有:
第一,指标识别
贷前评估的指标主要包括财务指标和非财务指标,财务指标是最常用的指标,也比较为人们所熟悉。非财务指标的含义比较广泛,主要是指企业的内部管理、还款意愿以及企业的发展前景等等诸多方面,由于其难以评估性以及不确定性,因此对评估人的要求很高。
第二,量化方法
选取评价指标后,根据行业分类建立模型,并运用典型指标建立风险评估公式。可以采用聚类分析法,一般采用三个步骤:数据变换、计算聚类统计量和选择聚类方法。
(二)银行信贷项目全面风险管理贷中的监控
对所有的信贷资产全面控制是信贷风险管理的目标,银行信贷项目全面风险管理就要求实行动态的监控,因此,贷中监控对项目风险管理也很重要。
监控模式主要有:
第一,监控道德风险的模式
银行进行放贷后,主要是依靠企业的信用来还款,再有就是依靠信贷合同,这种方式实施起来却比较困难,因此,对风险要进行有效的控制与管理,这种情况下,银行可通过监控道德风险来达到降低风险的目标。
第二,和谐博弈机制模式
这种模式主要是通过协调企业与银行的利益,使双方达到帕累托最优,主要涉及激励兼容和信息效率两个问题。
3.银行信贷项目全面风险管理贷后的评价
贷后评价已被很多国家所接受,但是在我国方法仍然处于探索中,因此,我们可以借鉴国外的经验,以更好地完善风险管理。主要可以从评价指标以及贷后评价的学习模型等方面进行有效的探索,在此不做赘述。
结语:
我国银行也在经济全球化的大背景下,面对金融危机的冲击,外部竞争激烈,因此,如何有效的进行银行信贷项目全面风险管理是面临的一个很重要的问题。目前,我国在这方面的研究虽取得了一定的进展,却仍存在不足,因此,需要进一步的研究与不懈的努力,从而保证银行业更稳健的发展。
参考文献
1.1 持续改进思想的发展
风险管理是项目管理的主要部分,其目的是追求积极活动的最大化和不利活动的最小化。自上个世纪 90 年代中期以来,持续改进思想被引入到项目风险管理,这离不开国际标准化组织的 ISO9000 标准和美国 Carnegie Mellon 大学软件工程研究所(SEI)的能力成熟度模型(CMM)的贡献。这二者对于项目管理不仅体现在标准方面,更体现管理思想和原则方面的意义,比如 ISO9000 提出管理的八项原则,CMM 提出 5 个层次的持续改进。它们都着眼于质量和过程管理。但是它们的基础各不相同,前者是确定一个质量体系的最低要求,而 CMM 强调持续的过程改进。尽管 ISO/DIS9000:2000 版也增加了持续改进原则,但仍属于单一层次的标准,而 CMM 模型分成 5 个等级,适用范围也更加广泛。CMM把管理内容定义为若干关键过程任务,并设立了初始化、可重复性管理工作、识别组织基本能力的管理工作、确立企业竞争力管理工作、通过持续改进方法提高企业竞争力和管理能力。目前来看,引入持续改进的项目风险管理的基本原则,在 ISO/DIS9000:2000 的基础上,充分利用 CMM 持续改进方面的优势,建立起一套规范化并且能够持续改进的过程和质量管理循环,不断提高风险管理的质量和效率。
1.2 面向持续改进的项目风险管理的优点
持续风险管理流程主要是来源于卡耐基梅隆大学软件工程研究所的“持续风险管理指南”(CRM),在项目风险管理领域被称为项目风险能力成熟度模型(RMMM),这个框架基于成熟程度、文化和组织的其他相关属性,由一系列与项目有关风险的流程、方法和工具组成,并为风险管理提供了一个主动管理的合理环境。它主要针对:一是对可能会出现错误(风险)的部分持续评估。二是决定哪类风险最主要,并且进行重要程度描述。三是实施处理风险的战略。
这种基于过程的方法与传统的基于事件风险管理方法显著不同。后者所要实施的策略要等到风险事件发生,然后再有所反应,接下来再采取措施来阻止它再次发生。相反,持续改进的风险管理具有以下优点:一是能够在问题发生前预防。二是改进产品质量。三是使得资源更好地被利用。四是增进团队合作。五是为投资决策设立预期目标,并且提供解决方案。
2、基于持续改进的风险管理能力成熟度模型
2.1 风险管理能力成熟度模型
与项目管理的其他知识域不同,风险管理贯穿于项目管理的始终,风险管理程序属于与项目管理程序相互交叉的双维度结构。同时,项目生命周期阶段形成了项目风险管理的第 3 个维度,这 3 个维度构成了项目风险管理成熟度模型(RMMM)。RMMM 是项目管理成熟度模型(PMMM)的子集, RMMM 在 SEI 中也被称作 CRM.尽管 PMMM 的研究起源于欧洲,但是其核心仍然是 CMM.CMM 模型主要通过项目生命周期,设置可以持续改进的关键管理流程域(KPA)来进行项目管理。CMM 目前已应用到多个研究和实践领域,比如面向系统开发的 SD—CMM,面向系统工程的 SE—CMM,面向项目团队的 P—CMM 等等。但是不可否认,国际项目管理协会(IPMA)和 PMI 对 PMMM 开发作了很多研究工作并取得了很大成果,并且已经得到了产业界的认可。
2.2 项目风险管理成熟度模型的层次
PMMM 的主要优点在于可以为不同的项目或者公司定制用以测评成熟度各层次的方法。同样,RMMM(CRM)也为项目定义测评风险管理成熟度提供了高效的方法,其特征是可定制的,其核心是围绕项目生命周期阶段所进行的持续改进,即风险流程改进(RPI)。应该注意到,流程改进是过程,而不是目标。RMMM(CRM),采用 CMM 的1至5级来描述项目风险及相关流程,因为CMM 是一切成熟度模型的基础和根本,可以说是元模型。RMMM(CRM)包括5个层次:
第1层次为通用术语。组织第一次认识到风险管理的重要性,并且学习风险管理知识、语言和术语。第2层次为通用过程。组织运用风险管理,开发相应的可重复利用的通用风险管理过程和方法。第3层次为方法集成。把所有风险管理方法集成为单一方法,可以最好地实现风险管理协同效应和过程控制。第4层次为基准比较。确定风险管理基准点与比较的指标和内容,基准比较必须连续进行,改进风险管理构成及执行方法,并增强竞争优势。第5层次为持续改进。组织评估通过风险管理基准比较获得的信息,然后决定是否能改进单一方法。
2.3 持续风险改进通用风险域
RMMM(CRM)根据项目生命周期,利用工作分解结构图(WBS)设立不同的可用于持续改进的通用风险域。比如考虑到建设项目为系统运营就绪的基础设施、硬件和软件、建造、进度和成本、每个项目的合同样本等等。一般说来,大型工程项目可用一个3层的风险识别流程描述出来:
(1)全局风险域(这些潜在风险影响项目整体并且会导致全程项目成本/进度全部策略的改变或者再评估)。
(2)项目风险域(这些潜在风险影响每一个基本项目并且对实现项目目标有潜在影响或者要求项目范围或者个别合同水平上变化以及它与其他项目界面关系上)。
(3)个别合同风险域(这些风险对个别合同中的域有潜在影响,而且具体到特别合同上,直接影响成本、进度和具体合同的效率)。
3、项目风险管理持续改进的功能与步骤
3.1 项目风险管理持续改进的功能
尽管RMMM(CRM)有5个层次,但是所有工作不是必须被依次鱼贯地完成,而是可以重叠进行的,这主要取决于项目组愿意承担的风险大小。从这个意义上来说,RMMM 是柔性的,适应性很强,能够与传统风险管理程序、风险管理知识域紧密结合。在实施中风险应该用重要程度来计划,这依赖于项目、管理者和个体的目标和限制条件。这意味着,虽然一个风险管理模型不能适用于所有情况,但是可以通过 RMMM 的持续改进与风险管理程序、风险知识域的适应性组合、动态调整,就能够适应各种复杂情况,并提供合理的风险管理程序与功能。通常,项目风险管理持续改进的功能主要有:
(1)识别。在风险成为问题前,搜寻并定位风险。
(2)分析。通过系统化分类、估计和理解以降低不确定性并提供计划和行动框架的流程,把风险转换成决策信息。
(3)计划。把风险信息转化为决策和适当的消减行动(现在与未来)以及实施。
(4)跟踪。通过项目生命周期来监控风险指标和风险消减计划。
(5)控制。纠正与计划执行的偏差。
(6)沟通。贯穿所有以上提供信息和反馈的功能给所有项目相关利益人。
关于风险活动以及当前和新产生风险在这些功能实现的过程中,要考虑到不同的相关利益人和管理层次的差异,特别是相关利益人应该理解风险管理是如何适应整体项目管理流程的。这些流程之间以及与其他项目管理知识域之间交互作用,并要求不同阶段不同项目团队成员参与到持续改进的项目风险管理中来。所以说,面向持续改进的风险管理必须因项目管理阶段不同、主体间差异而有所不同,贯穿于项目管理始终。持续改进的风险管理,应该通过相关利益人和项目组在不同层次上的不同的职责、指标和风险的分配来实施,具体如下:一是风险经理。检查、批准和提供与风险计划和行动有关的资金。二是用户识别风险。三是项目经理。识别风险并设计风险管理和行动计划,跟踪、沟通与风险管理计划对应的项目绩效。四是项目经理。识别风险并且设计消减风险选择方法。五是项目组成员识别风险。
3.2 持续风险管理的步骤
持续改进过程的步骤是一种基于 PDCA 循环的系统化问题解决方法,改进通常是阶段性的,要观察每个阶段各个过程的整体效果,而不是分散进行。不然的话,分散优化会降低整个项目的效率。具体的步骤如下:
(1)识别项目风险流程改进机会。这一阶段的目标是选择适当的项目风险流程用于改进。例如,工程实施中土地使用权获取、建筑设计、融资分析的关键环节和过程,对整个项目前期工作的效果和目标影响重大,因此作为关键的风险流程用于改进。
(2)评价需改进的风险流程。这一阶段目标是选择有挑战性的问题及确定改进的指标。重点就是把需改进的项目风险流程的具体指标细化,并确定改进的具体目标。
(3)分析项目实施中存在的问题。这一阶段目标是识别目前风险管理中存在的原因,充分利用有关工具和方法找出原因。
(4)采取措施。计划并采取适当措施改正不规范的做法,针对风险管理工作流程进行改正,以达到目的,消除存在的问题。
(5)确认改进的结果。评价采取的风险管理措施是否达到了目标。
(6)改进方法标准化。这一阶段主要目标就是确保项目风险管理的水平得到维持,要确保已经改进的工作效果通过制定的管理流程图、程序、制度、标准等已成为日常工作的一部分,并可以把这一阶段的规范化管理成果推广到其他过程或部门。
(7)为下一阶段或未来项目进行计划。主要针对遗留问题制定计划并评价其效果,通过学习其他部门的经验为下阶段工作和未来项目提供规范化管理的知识。
4、项目风险管理流程改进的价值
4.1 风险管理流程改进的目标
持续改进是 RMMM(CRM)的核心,因此,风险流程改进业务(RPI)是降低项目风险和成本的基础。一般的项目经理只是相信看得见的投资收益,而不是采纳 RPI 及所能带来的非显而易见的收益。传统的风险流程改进计划目标是通过很高的风险管理成本,从而取得项目高绩效和高可靠性。现行的风险资源型管理方法,是把风险当作获取收益的资源,通过风险预算的低成本,取得项目的中等绩效和中等可靠性。但是利用风险预算,来弥补流程环境的不足是不能获得期望收益的。相反,虽然 RPI没有较明显的满意投资收益,但是用定量方法仍然是能够度量成本和收益。这是由于 RPI 能够形成良好的风险流程,可以降低与不良流程相关的风险。RPI 是可以用 CMM 第2层次的工作来实施,并且最终能够实现低成本、高绩效、高可靠性的目标。
4.2风险管理流程改进的成本
RPI 的成本是决定项目成本和收益的重要方面。RPI 成本模型主要包括:风险流程基础设施成本,风险流程改进实施成本,风险流程改进技术路线成本和风险流程评估成本。
这些直接和间接的成本和收益均包括定性和定量两个方面。定性成本被归因于与生产低劣产品相关的现存不合理流程的成本。这可能导致客户不满意或者丧失未来商机,这些成本如客户满意度下降、瑕疵纠正成本、返工成本,以及由于违约而导致的业务损失成本等。利用有效的风险评估方法能够把定性因素转换为定量成本,这可以通过评估不同因素相关风险,然后为每一项分配风险预算来实现。风险预算是规避风险的成本乘以风险发生概率。要建立 RPI 投资的成本收益模型的一种方法是,定义关键指标以期能够跟踪和度量项目。这些关键指标以关键质量指标(KQI)形式出现,与 TQM 项目所定义的部分指标相一致。还可以体现为关键性能指标(KPI),与项目经理和职员的设想一致。其他指标能够体现为项目健康指标(PHI),与项目规划阶段的相一致,而且易于在项目跟踪活动中被定期检查。
4.3项目风险管理流程改进的价值
风险流程改进价值包括建立合理风险流程的直接结果以及改进产品质量和客户满意度的结果。有关可定量化价值包括:增加生产力、降低产品周期、降低开发与维护成本等。不可定量化价值包括:改进客户服务水平、适应需求,以及降低维护的努力。这些定性化价值可以通过特定方法来转换成定量价值。在实施 RPI 过程中,应当建立统一的成本价值模型。利用可以为不同组织所使用的统一模型,可以很方便用于结果和价值比较,也可以为企业建立一个可能的标杆或基准(Benchmark)。这个模型的另外一个价值是提供一个度量 RPI 努力的基准。通常,流程改进要至少经历一个完整的 RPI 周期,平均需要18~36个月。但是目前没有通用或标准模型来进行 RPI 的收益成本验证,因为处理定量化的部分较容易,但处理RPI定性化成本和收益方面很难。为了证明RPI的成本收益,对项目风险域改进的潜在收益需要利用风险评估方法定性并定量化,如利用项目风险分析管理模(PRAM)。
PRAM 现在已经被很多欧洲公司用于识别、分析和减低与系统集成项目有关的风险。PRAM 风险管理模型可以应用于对关键流程持续的风险识别和叠代工作,该方法核心概念是风险预算,它通过把预算价值加在潜在的 RPI 收益上,来度量 RMMM(CRM)的风险管理的价值和效果。
总之,随ISO9000:2000 和CMM 的大规模应用,以及工程项目复杂性的增加,对 RMMM 或者 CRM的需求也将逐渐增加。因此,要想提高项目运转效率和可靠性,有效地降低风险,应通过持续改进的方法对项目风险进行管理。
参考文献:
[1] 凯西。施瓦贝尔。 IT 项目管理[M]. 北京:机械工业出版社,2002:390.
[2] Stephen Grey. Comparison of Three Approaches to Project Risk Management[R]. PMI Melbourne Chapter. Broadleaf Capital International Pty Ltd, 2000.
[3] An international guide to best business practice: Risk Management[S]. Standards Austrlia,1999.
[4] AS/NZS4360(1999)[R]——Risk Management.
[5] Zahran Sami .Business and cost justification of software process improvement. Quality and Process Consultancy “QPC”[J], UK SP96,Software Process, Brighton, Dec, 1996: 2-6 .
[6] 哈罗德。科兹纳。 项目管理的战略规划[M]. 北京:机械工业出版社,2002:55.
关键词:企业年金;风险管理;IS031000;受托管理风险
JEL分类号:G23 中图分类号:F832.39 文献标识码:A 文章编号:1006-1428(2011)11-0112-04
一、企业年金风险管理分析
企业年金是指企业在参加国家基本养老保险的基础上依据国家政策和自身经济状况建立的对基本养老保险进行补充的养老保险形式,是养老保障体系“三支柱”中的“第二支柱”。2005年以来,我国先后评审认定了来自银行、保险、证券、基金、信托行业的两批企业年金管理机构。截至2010年底,我国已有3.7万家企业建立了企业年金计划,涉及员工1300余万,资金规模逾2800亿。
风险是指不确定性对目标的影响,风险管理可以定义为一个组织对风险所采取的指挥和控制的协调活动。风险管理是与金融业发展相伴的永恒课题,关系到退休人员补充养老金问题的企业年金也不例外。
企业年金的风险管理主要关注受益人从参与年金计划直至取得最终收益全过程中所面临的风险。主要包括企业年金各管理机构间信托、委托合同关系执行中违约产生的信用风险,企业年金资产保值增值过程中投资所面临的市场风险,因为制度缺陷、人员因素、科技因素导致的操作风险等。中国市场上的企业年金风险具有多行业多机构联合运营使风险复杂化,业务导向型市场影响企业年金健康发展,信息透明度低于公募基金等特点。
企业年金是退休人员的“养命钱”,具有强烈的低风险偏好,追求在相对安全的前提下实现保值增值.所以加强其风险管理研究和实践的意义重大,影响到国家养老保障体系的建设和企业年金自身的发展。本文首次将风险管理标准ISO31000引入中国企业年金研究领域,结合我国金融市场和社会保障特点,对该标准在企业年金风险管理中的应用策略展开研究。
二、ISO31000及其引入企业年金管理的论证
(一)ISO31000标准及其应用价值
ISO31000:2009《风险管理――原则与指南》是国际标准化组织ISO于2009年11月15日的国际标准。该标准的制定起步于2004年,ISO技术管理局组建了由澳大利亚专家任主席、28国专家组成的风险管理工作组(RMWG),历经WG稿、CD稿、DIS稿、FDIS稿等版本最终定稿。标准正文包括范围、术语与定义、原则、框架、过程共五部分。我国国家标准GB/T 24353参考了ISO31000的DIS稿。
因为全球第一个企业层面的风险管理标准AS/NZS 4360是ISO31000的起草基础和重要参考文本。所以ISO31000在企业有很高的应用价值。虽然正式的时间不长,但ISO31000已经被中国企业关注.部分实施SOX法案404测试的企业对该标准展开了学习,某金融机构的博士后工作站也将如何应用该标准列为正式研究方向。
(二)将ISO31000引入企业年金管理的论证
在中国企业年金风险管理的研究与实践中.有关学者和机构已经借鉴COSO、Basel、CAS、Towers Perrin展开了很多有益的工作,但ISO31000在中国企业年金管理领域尚未被引入。
第一,必要性论证。我国企业年金风险管理的标准化工作尚未启动,在借鉴国外风险管理的协议、框架等经验的同时,应该适时引入风险管理的标准。中国企业年金管理机构归属于不同行业,仅参考行业属性强的风险管理制度(如银行业的Basel)不利于化解行业差异,需要一套更有通用性的标准指导管理工作。
第二,可行性论证。ISO31000是第一个面向企业风险、个人风险、公共风险等各类风险的通用性风险管理的国际标准,综合了30多个国家/地区的风险管理标准编制经验,淡化了行业属性和国别色彩,能够涵盖企业年金管理中面对的信用、市场、操作等各类风险。
第三,应用意义。按照ISO31000的制定方针.企业年金风险管理中应用ISO31000可以使企业年金利益各方“提高实现其目标的可能性”,“鼓励主动管理”,“提高各方识别、应对风险的意识”,“改进对机会和威胁的识别”,“符合相关法律法规和国际规范”.“改进信心和信任”,“为风险应对有效地配置和使用资源”,“改进运营的有效性和效率”。
三、企业年金管理应用ISO31000的原则研究
(一)标准的性质与定位
在企业年金管理中应用ISO31000中要首先明确标准的性质。首先,1SO31000是风险管理的指南,但不具有管理要求和管理体系的性质。其次,本标准在ISO系列标准中突破性地强化原则的重要性.指出了风险管理的11项原则。再次,本标准可以用于组织内部和合同关联方的审核或评价,但不是一个认证标准。
(二)标准的执行主体
企业年金风险管理的执行主体是年金管理机构(受托人、账户管理人、投资管理人、托管人),同时也需要企业客户(委托人)和监管机构的监督。监管部门设置四类管理机构,在职责隔离、相互制衡以控制风险的同时,机构间信息流、资金流的复杂走向也为风险管理增加了难度。其中,受托人作为最终责任人.承担着风险管理标准落实核心的角色。
(三)标准实施的难点
第一,一个年金计划往往要涉及多家机构,存在大量信息与资金交互,还存在合同到期后机构间转移的可能,这些为ISO31000的实施增加了复杂度。第二,销售导向型市场现状下,年金管理机构盈利困难.实施一套完整的国际风险管理标准却需要大量成本。第三,年金管理机构间短期内难以实现完全的数字化信息交互,系统性的信息不通畅会影响风险管理标准的具体落实。
(四)标准实施的重点
第一,年金管理机构所在的不同行业已实行风险管理的程度不同,银行、证券、保险、基金、信托机构间风险管理成熟程度不同,行业管理标准不同.ISO31000是统一标准的好契机,但同时也需要在不同类型机构应用时因地制宜。第二,ISO31000因其通用性。相对抽象与笼统,需要企业年金管理机构结合业务实务进行大量研究探索。第三,标准实施中要从四种管理资格、多类型风险、计划执行生命周期多个阶段三个维度综合考虑。
四、基于ISO31000的企业年金风险模型设计
(一)风险模型设计
本文结合ISO31000中风险管理过程一章的思想和中国年金管理机构的管理实务,将企业年金风险管
理模型设计如图l。建立环境、风险识别、风险分析、风险评价、风险应对、监测与评审,构成年金风险管理的完整闭环,循环于计划建立、计划运营、计划终止转移等各个阶段,面向信用、市场、操作三类风险。
在建立环境环节,年金管理机构需要清楚地表达工作目标,确定内外部参数,这是管理风险和为维持风险管理过程而制定范围、风险准则时必须考虑的。在风险识别环节,年金管理机构需要通过历史数据、理论分析、专家意见和利益相关方需求对风险源、风险事件、风险原因和它们的潜在结果进行分析。在风险分析环节,风险管理部门应考虑分析的详细程度及变化、与风险本身的依赖性等,可以定性、半定量、定量或采用它们的组合。在风险评价环节,以基于风险分析结果的决策为目的,根据风险需要应对和实施应对的优先顺序进行决策。在风险应对环节,选择一个或多个改变风险的方式,评估采取应对措施后残余风险的等级是否可以容忍,如果不容忍则应提出新的风险应对。沟通与咨询工作存在于上述各个环节。监测与评审工作可以是定期或临时的。
(二)机构风险管理差异
除了模型中通用性管理外,根据四种管理资格间的信息流与资金流,对于不同管理资格风险管理的差异和涉及的风险管理工具总结如图2,图中实线为资金流,虚线为信息流。
五、企业年金管理中实施ISO31000的步骤规划
图3表示了年金管理机构将风险管理整合入企业年金现有管理体系和不同职能阶段的过程步骤。
第一,授权与承诺。该阶段对应企业年金合同管理。为确保企业年金风险管理的有效性,需要与委托人形成有效的约束合同,明确风险管理的终极目标,即以保值增值为基础,追求年金给付时的较高收益水平.提高受益人退休后的养老金替代率。而机构管理层需要提供强有力和持续性的承诺,将风险管理提升到公司层面而非停留在风险管理部门层面。
第二,管理风险框架设计。该阶段对应企业年金计划建立。管理风险框架的设计中,首先要考虑年金管理机构所属的行业,根据银行、证券、保险等不同行业的环境特点研究风险框架;年金管理机构应依据组织的目标、方针,建立风险管理方针,明确管理风险的责任、职责及处理年金计划各方利益冲突的方式,对风险管理部分提供必要资源,确定测量和报告风险管理绩效的方式:机构明确风险管理责任与责任人;将风险管理以关联的、有效的、高效率的方式嵌入机构的年金计划管理全过程:机构为风险管理配置适当的人力物力财力资源:建立内部各管理单元的沟通机制和对管理层的报告机制;建立对客户和监管机构等外部单位的报告机制。
第三,实施风险管理。该阶段对应企业年金运营管理。年金管理机构需制定风险管理框架实施的时间计划,加强与各方面的沟通、咨询,掌握全面信息.加强培训,确保风险管理框架的实施结果与计划目标的一致。
第四,框架的监测与评审。该阶段对应企业年金基金监督。年金管理机构应按照确定的指标测量风险管理绩效和风险管理计划的进展,定期评审风险框架的合理性和有效性。
第五,框架的持续改进。该阶段对应企业年金的系统改进、客服管理。以监测和评审的结果为基础.结合客服渠道获得的反馈,年金管理机构对风险管理的框架、方针、计划和信息系统进行改进。
针对企业年金管理中应用ISO31000的难点与重点,需要年金机构高度重视并从长久健康发展的角度努力研究并积极克服,主要手段包括:第一。加强不同资格年金机构间的信息沟通、数据交换标准实施、信息系统对接。第二,充分考虑我国多行业共同运营与监管企业年金的现状,加强对各行业管理标准、发展现状的调研与分析。第三,结合中国企业年金用户的管理现状、工作习惯、职工心理,加强产品设计、投资、运营的实务研究与总结。
六、受托运营风险管理的实例分析
受托人是企业年金风险管理中最重要的角色.本文选取受托运营及其面临的操作风险为例,运用上述模型进行对其计划建立、计划运营、计划终止转移三个阶段的风险管理注意事项进行具体讨论。
计划建立阶段:(1)年金计划的设计在符合法规要求的前提下,要尽量贴近客户需求,防止偏离需求导致的服务风险隐患,从需求源头遏制不合理要求。(2)方案设计的参数化。(3)加快处理速度,减少客户等待时间。(4)保证计划与合同细节的准确性。
计划运营阶段:(1)加强多个管理人间及管理人和委托人间的信息交互管理,防止信息传递失误。(2)积累人工经验,并编人计算机系统,提高业务管理系统错误检查的能力。(3)加强运营差错控制流程的监督,确保制度落实。
计划转移阶段:(1)准确快速执行新旧管理人间的交接工作,以满足人社部2011年11号令[8]对45日工作时限的要求。(2)客户信息转移的准确性、完整性和保密性。(3)新旧管理人对客户服务的持续性,确保无缝对接。
对于运营差错导致的操作风险,风险应对的主要手段包括:(1)查找差错根源,及时按流程更改错误。(2)弥补客户因服务问题蒙受的直接损失。(3)惩戒导致差错的人员,对导致差错的信息系统及时升级改进。(4)改进工作流程,加强复核和异常数据的检查。
关键词:第三方物流企业 风险管理模型 策略
由于中国物流起步较晚,物流技术和方法比较落后,导致第三方物流企业在快速发展的同时面临着很高的风险。我国第三方物流本身对风险的控制能力较弱,激烈的市场变动对其发展提出了巨大的挑战,因此研究第三方物流企业的风险管理迫在眉睫。
1.第三方物流企业面临的主要风险
第三方物流企业面临的主要风险包括外部风险和内部风险,其中外部风险是由于外部环境的不稳定性而造成的,其又可以分为需求弹性风险、供应链企业之间信息传递引起的风险、市场竞争风险、法律法规政策性风险、环境污染风险;内部风险是由于企业内部不稳定因素而造成的,其又可以分为金融风险、管理风险、人力资源风险。
2. 第三方物流企业风险管理模型的构建
2.1风险管理的基本原则
首先,分类管理原则。第三方物流企业要想获得经营活动的成功,就必须牢固树立风险意识,对不同的风险类型进行系统的分析,从而采取不同的措施来加以防范;其次,风险转移原则。对于某些特定的风险,发生的责任是第三方物流公司无法独自承担的,因此需要跟保险公司进行合作,通过签订合同来分摊、降低或避免风险;最后,法律防范原则。目前国内还没有形成完善的物流法规,因此加快我国物流立法十分必要,这将有利于加强第三方物流公司的监督管理。
2.2风险管理模型的构建
第三方物流企业要进行风险管理,必须遵循一定的步骤。根据风险管理的基本原则和我国第三方物流企业面临的各种风险,本文构建了如下的物流管理模型:
第一步,分析第三方物流企业目前的风险状况。要收集尽可能全的企业基础资料,然后对其在风险管理过程中出现的风险进行调查分析,内容包括风险的种类、导致风险发生的原因、以及风险给企业造成的损失等。
第二步,识别第三方物流企业面临的关键风险。在对第三方物流企业风险状况进行分析的基础上,总结出企业面临的关键风险,因为这些风险会对企业的生存起着至关重要的作用,倘若处理不慎,将会给企业带来严重后果。
第三步,确定风险管理的目标。风险管理目标是企业通过实施风险管理策略所期望达到的目标,由于第三方物流企业各自的经营策略不同,因此对目标的追求程度也各不相同。
第四步,制定并实施风险管理方案。为了控制第三方物流企业所面临的关键风险,需要采取风险预警机制、风险控制策略和风险规避策略。
第五步,建立风险管理效果评估机制。为了理清企业风险管理的效果并保障企业风险管理的成果,需要建立风险管理效果评估机制,通过对已实施的风险管理策略进行评估,促进后续的改进。
2.3风险管理模型的应用
2.3.1现状评估分析
(1)资料收集。要进行风险管理,必须明确第三方物流企业目前的风险状况,因此需要收集企业自成立以来遇到的各种内外部风险、每一次风险的性质、给企业带来的损失等资料,并对这些资料进行归纳整理,分析其中的趋势和走向;(2)风险诊断。在对第三方物流企业风险管理现状分析的基础上,要找出造成这些风险或潜在风险的原因,目前造成企业风险的因素主要有外部环境、管理制度和员工素质;(3)整体评估。第三方物流企业的整体评估要从风险损失评估、评估企业的风险控制能力这两个方面着手。
2.3.2识别企业面临的关键风险
在整个风险管理模型中,一个关键问题在于确定了企业面临的风险后,如何确定各个风险指标对企业的影响程度,然后对风险管理办法进行改进,因此需要一种科学的方法来确定风险指标的权重。就目前而言,AHP层次分析法时一种比较实用的多方案或者多目标的系统化、层次化决策方法,它充分利用人的经验和判断把决策过程层次化,采取相对标度形式测度决策因素的相对重要性,实现决策问题的定量化。
2.3.3确定风险管理的目标
没有目标就无法确定工作的完成情况,无法衡量绩效的实施结果,也很难得知绩效有没有得到改进,因此必须为风险管理设定目标。通过分析,结合第三方物流企业的关键风险,本文确定了如下三个风险管理的目标:平均回款时间、货物差错率和物流损失风险减少率。
2.3.4制定并实施风险管理策略
(1)建立风险预警机制。在进行风险评估时,可以采取关键指标法,结合建立的风险预警系统,在关键成因数值达到关键风险指标时,发出风险预警信息,然后据此对不同的风险采取不同的措施;(2)制定风险管理策略。制定风险管理策略,核心工作内容是根据风险的具体类型制定相应的事前、事中和事后控制并严格执行;(3)风险转移策略。一些风险的出现是有一定的概率的,物流公司也是无法单独承担,因此应该在短时间内将风险降低到最小范围、最低程度,应将风险转移到保险公司,从而提高企业化解和抵御风险的能力。
2.3.5建立风险管理效果评价机制
建立风险管理效果评价机制的主要步骤为:汇总能体现企业风险控制能力的关键指标,明确目前的风险控制指数;为一级指标信用风险控制和其下的二级指标分别设定权重;根据企业目前的风险控制业绩水平,结合企业自身实力、市场定位、行业现状、相关组织服务能力以及国家经济政策,总结制定各指标的绩效标准;设计部门或员工的实际风险控制评价考核表格,并将有关实际测评分数填至表上。
参考文献:
关键词:纳税筹划;风险管理;监控
纳税筹划风险管理的流程包括:第一,纳税筹划风险管理的准备。具体包括,确定纳税筹划风险管理目标、成立纳税筹划风险管理小组、收集纳税筹划风险管理信息、制定纳税筹划风险管理计划。第二,纳税筹划风险管理的实施。具体包括,纳税筹划风险识别、纳税筹划风险评估、纳税筹划风险应对。第三,纳税筹划风险管理的监控。具体包括,纳税筹划风险管理的监督与评价、纳税筹划风险管理的总结与改进。
一、纳税筹划风险管理的监督与评价
(一)纳税筹划风险管理的监督与评价的含义
纳税筹划风险管理的监督与评价,是对纳税筹划风险管理的健全性、合理性及有效性进行监督、检查和评价,以保证纳税筹划风险管理的实施效果,并通过监督与评价活动对纳税筹划风险管理的薄弱环节提出修正意见,为纳税筹划风险管理的总结与改进提供依据。
(二)纳税筹划风险管理的监督与评价的内容
第一,纳税筹划风险管理的持续监督与评价。它是对企业纳税筹划风险管理的整体情况所进行的连续的、全面的、系统的监督、检查与评价。第二,纳税筹划风险管理的个别监督与评价。它是对企业纳税筹划风险管理的某一方面或者某些方面的情况所进行的不定期的、专门的、有针对性的监督、检查与评价。
(三)纳税筹划风险管理的监督与评价的途径
第一,各部门自查。企业各有关部门应定期对本部门的纳税筹划风险管理工作进行自查,其自查报告应及时报送纳税筹划风险管理小组。第二,纳税筹划风险管理小组的监督与评价。纳税筹划风险管理小组应定期或不定期地对各部门的纳税筹划风险管理工作实施情况和有效性进行检查和检验,并对单个部门及跨部门的纳税筹划风险管理工作进行评估,提出调整或改进建议,出具监督与评价报告,及时报送高层管理人员或纳税筹划风险管理小组负责人。第三,审计机构的监督与评价。纳税筹划风险管理审计是指审计机构采用一种系统化、规范化的方法来进行以测试风险管理信息系统、各业务循环以及相关部门的纳税筹划风险识别、评估、应对等为基础的一系列审核活动。审计机构对相关部门的纳税筹划风险管理工作进行监督与评价,有利于提高过程效率,帮助企业实现目标。第四,外部评价和改进建议。企业可聘请有资质、信誉好、风险管理专业能力强的中介机构或顾问对企业纳税筹划风险管理工作进行评价,出具纳税筹划风险管理评估和建议专项报告。
(四)纳税筹划风险管理结果的评价
纳税筹划风险管理成本是指纳税人因对纳税筹划风险进行管理所付出的所有成本,包括显性成本、隐性成本和风险成本。显性成本是企业在纳税筹划风险管理过程中所发生的人力、财力、物力的耗费。隐性成本是指由于进行纳税筹划风险管理而放弃的潜在利益。风险成本主要是指企业因风险应对策略制定失误或执行不当而造成纳税筹划风险管理目标落空的经济损失。在纳税筹划风险管理中,显性成本、风险成本是较容易确定的,而隐性成本却是一个不容易量化的因素,但在效果评价时又必须加以考虑。
纳税筹划风险管理收益是指纳税人因对纳税筹划风险进行管理所获取的所有收益,包括直接收益和间接收益。前者主要是指因纳税筹划风险管理而使企业减少的纳税方面的成本或损失等;后者是指由于进行纳税筹划风险管理而为企业带来的良好的纳税信誉,企业因顺应税收政策导向,优化了资源配置,为企业长期发展提供的良好外部环境有利因素等。
根据“成本与收益分析法”,只有纳税筹划风险管理成本小于纳税筹划风险管理收益时,该纳税筹划风险管理方案才是可行的;反之,不可行。
根据监督和评价情况,企业要总结经验教训,及时调整纳税筹划风险管理计划。企业必须定期对纳税筹划风险管理结果进行评价及反馈,重新检查和审视纳税筹划风险管理的目标和实际效果,为纳税筹划风险管理的总结和改进打下基础。
二、纳税筹划风险管理的总结与改进
(一)纳税筹划风险管理的总结与改进的含义
纳税筹划风险管理的总结与改进,是根据在纳税筹划风险管理监督与评价过程中发现的问题、不足与缺陷进行持续不断总结与改进的动态过程,是一次纳税筹划风险管理的结束,又是下一次纳税筹划风险管理的开始。
(二)纳税筹划风险管理的总结与改进的内容
第一,解决纳税筹划风险管理中出现的问题。从纳税筹划风险管理的流程看,包括纳税筹划风险管理的各个流程中出现的问题。从纳税筹划风险管理中出现问题的原因看,包括纳税筹划人员的素质不高、各部门沟通协调不利、领导不重视等。第二,应对纳税筹划风险管理中出现的变化。这主要包括应对税收政策的变化、企业自身经营活动的变化、企业其他环境条件的变化等。第三,纳税筹划风险管理总结与改进的途径。这主要包括:加强主管领导对纳税筹划风险管理的重视程度;加强对纳税筹划人员乃至全体工作人员的教育培训,提高其工作人员的相关素质;加强各部门沟通、协作与协调;改进纳税筹划风险管理方法与手段等。
总之,纳税筹划风险管理的监控也是非常重要的,它可以提升纳税筹划风险管理的实施效果,同时通过发现风险管理过程中的薄弱环节,来不断改进纳税筹划风险管理。
参考文献:
1、3C框架课题组.全面风险管理理论与实务[M].中国时代经济出版社,2008.
关键词:电力市场;发电企业;风险管理
风险管理是指如何在一个肯定有风险的环境里把风险减至最低的管理过程。当中包括了对风险的量度、评估和应变策略。理想的风险管理,是一连串排好优先次序的过程,使当中的可以引致最大损失及最可能发生的事情优先处理、而相对风险较低的事情则押后处理。
一、发电企业风险管理的内容
1.企业战略目标的风险管理
要对企业的外部宏观环境,包括国家制定的相关政策,企业所处的市场,以及企业的内部环境进行分析,对企业的战略目标中存在的风险进行识别,并对产生风险的因素进行分析,使风险发生的概率与风险对企业产生的影响以及影响的大小进行分析评价,将风险分门别类,以便找出主要风险和风险的主要方面,帮助企业对风险进行控制。
2.部门目标的风险管理
在企业的各个部门中,各部门也要对其部门的外部环境与内部环境进行分析,对部门目标中存在的风险进行识别,分析风险产生的原因,以及引起风险的因素,使风险发生的概率与风险对企业产生的影响以及影响的大小进行分析评价,将风险分门别类,以便找出主要风险和风险的主要方面,帮助企业的部门对其已经产生的风险或即将产生的风险进行控制。
3.业务活动与控制流程目标
在进行业务活动时,业务负责人必须分析业务活动的内容、范围、关注点以及相关责任人中存在的风险,对风险产生的原因进行调查研究,对风险发生的概率以及风险的影响程度进行评价,在最快的时间内得到风险的相关信息,保证风险控制措施能够得到贯彻执行。
二、在电力市场的环境下,发电企业风险呈现的特点
1.风险具有综合性
发电企业所面临的风险是错综复杂的。以火电厂为例,从建造开始到安装调试、从投入生产到正式发电的全过程中,可能遭受的风险包括自然风险、人为风险、责任风险和财务风险等。其中自然风险包括地震、台风、洪水、雷电等;人为风险包括由于疏忽造成的火灾、盗窃或恶意破坏以及因设计、制造或安装错误造成设备的损失;责任风险包括自然灾害或意外事故引起的对第三者以及雇员的人身与财产的损害赔偿责任,如果企业为上市公司,董事或高级管理人员的决策与管理失误可能还会带来职业责任方面的风险;财务风险包括汇率风险、价格风险、利率风险以及投资回报风险等。
2.风险的产生具有客观性和必然性
客观性是指电能供需矛盾的改变、电价行情的涨跌、参与者的倒闭与破产等事件的发生,均是独立于市场参与者的主观意识的一种客观存在。如果从一个较长的时期来分析考察电价的变动轨迹及有关参与者的经营管理状况,就必然会得出上述结论,这就是电力市场的必然性。例如电能供大于求这一事件的发生并不是人为的,而是由于一定的原因而客观存在的,可能是发电能力的大幅度提高引起的,也可能是市场的萧条造成的。市场的萧条必将引起电能需求的减少,从而供大于求又是必然的。
3.尽管电力市场风险的产生具有客观性和必然性,但我们并不能确切地知道风险出现的时间、地点、形式、危害程度及范围,这是因为风险所引起的损失后果往往是以偶然和不确定的形式呈现在人们面前,也就是说,风险的产生完全是一种偶然的、不确定的组合结果。电力市场中发电企业的风险是作为具有发生和不发生两种可能的随机现象而存在的,在一定条件下,人们可以根据经验数据的统计发现某一风险存在或发生的可能性具有较规则的变化趋势,这就为人们预测电力市场中的风险提供了可能。
三、在电力市场环境下,发电企业进行风险管理的步骤
1.识别风险
由于在发电企业的建设、运营和发展过程中,影响其目标实现的风险因素很多,关系错综复杂,有直接的,也有间接的,有明显的,也有隐含的。风险辨识就是从系统的观点出发,考察发电企业建设、运营和发展过程中所涉及的各个方面,将引起风险的极其复杂的事物分解成比较简单的、容易被认识的基本单元,并对这些风险进行分类。
2.分析风险来源
其目的是深入探索潜在的威胁与机遇的根源。比如发电机组的上网风险就来源于竞争对手的报价高低、天气情况、机组维修计划等各种外部或内部因素的影响。一旦了解了某种风险或机遇的各种来源,就可以确定最有条件监督这一风险的人作为“风险责任人”。
3.度量风险
从这一步开始,重点研究风险对发电企业的影响程度。度量风险主要是利用制作风险图的技术来全面描述风险。由于人员、资金和时间限制,我们不可能对所有识别出来的风险都进行精确的量化分析,而只需对那些重要风险进行深入的评价。所以有必要用一些比较笼统和模糊的语言对识别出来的风险按其重要性或发生可能性的大小进行定性的描述。
4.评价风险
评价风险与度量风险的区别主要在于后者侧重于风险大小及重要性的定性分析,而评价风险则是采用各种风险评价技术和方法进行量化分析。
5.控制风险
前面的步骤已使我们对企业所面临的各种风险有了一个明确的认识,从这一步开始,企业会将分析的结果变为实际行动,将企业的资源集中到最需要的风险管理领域。控制风险主要包括风险转移、风险自留、风险回避、风险减少、风险利用等等。
参考文献:
[1] 刘尊贤:发电企业的风险管理分析及对策研究 [D] 华北电力大学(河北),2007 .
[2] 王壬:电力市场风险管理理论及应用 [D] 华中科技大学,2006
关键词:医院 医疗器械 风险管理 应用
中图分类号:R197 文献标识码:A 文章编号:1672-3791(2013)04(b)-0165-01
近年来,医院的医疗器械的风险管理迅速发展,关于医疗器械风险管理的相关文献层出不穷,医疗器械的风险管理方面势态发展良好。但另一方面,我国医院医疗器械的风险管理在某种程度上也存在着弊端,对医疗器械的风险管理还不够深入。因此,在医疗器械管理中加强对医疗器械的风险管理具有重要意义。
1 我国医院医疗器械的风险管理现状
医院医疗器械的风险管理贯穿于医疗器械寿命周期的全过程,是一个需要不断持续跟踪和循环往复的管理工作,在我国,医疗器械的风险管理虽有一定的发展,但风险管理并不深入,医疗器械风险管理问题突出:医疗器械管理人员风险管理意识薄弱,风险管理的专业水平不达标,风险管理的方法仅停留在经验层面,没有从实际出发,以科学系统的风险管理方法预防和控制风险;另外,医院的医疗器械管理人员并未意识到医疗器械生命周期全过程风险管理的重要性,对其风险管理仅停留在概念性层面上。医院医疗器械的风险管理在我国起步较晚,发展还比较缓慢,医疗器械管理各责任主体的风险管理意识不强,基于此,加大对我国医院医疗器械的风险管理力度,具有重要意义。
2 医疗器械风险管理的重要性
风险无处不在,在医院中,风险是指因医疗技术的使用不当而造成对病人或者使用人员的伤害。造成医疗风险的原因主要有三种:一是由医疗器械损伤或电击造成损伤的物理风险;二是医疗技术应用不当,医疗机械操作不合理引起的临床风险;三是医疗器械性能指标下降或测量错误等而造成的技术风险。医疗器械存在的风险不仅仅因为本身存在质量问题,还体现在医疗器械在使用过程中造成的风险。
医疗器械随着科技的发展被大量运用于医院的诊疗过程中,但由于其管理不当就会给病人以及使用人员造成各种风险。医疗器械在医院诊疗过程中是否安全可靠关系着病人的生命健康与安全,同时对医院的信誉以及医疗质量都有重要的影响。加强医疗器械的风险管理,定期进行安全检测,风险分析、评估预建档,并制定切实可靠的风险管理措施,保障医疗设备安全可靠,降低医疗器械在使用过程中的风险,是保障病人生命安全与医院的医疗质量的有效手段,同时也是医疗器械管理的基础。
3 风险管理在医院医疗器械管理中的应用
结合某三等甲级医院的医疗器械风险管理的应用实际,风险管理应贯穿于医疗器械生命周期的全过程,即在其使用、维修维护以及回收报废的整个环节都要加强风险管理;同时要加强医疗器械管理人员的风险意识,提高其风险管理水平;此外还要定期对医疗设备进行风险分析、检测、评估与防范,加强对医疗器械在使用过程中的信息反馈,制定相应的风险管理措施,才能保障医疗器械安全可靠。
3.1 强化风险意识,健全风险管理机构
医疗器械的风险管理不仅仅依赖于医疗器械的治疗保证,或使用人员在使用过程中降低风险,它是一个系统的管理工作,需要对其风险问题引起足够的重视,强化风险意识,并建立风险管理机构,对风险管理进行分工协作。该三等甲级医院从各个部门中组织人员,成立医疗器械风险管理委员会,对委员会的职责进行完善与分工,在原有的医疗器械购置论证的职能上,增加了医疗器械质量控制、风险评估与检测等职能,强化委员会的风险管理意识。
3.2 加强医疗器械风险评估与分析
该医院将医疗器械的风险管理划分为三个板块:风险分析、风险评估与风险监控。风险监控对风险分析与评估进行反馈,根据反馈信息进行及时调整。同时,该医院对医疗器械的风险分析与评估主要在医疗仪器使用前和在不同的使用环境条件下进行风险分析评估。
(1)医疗仪器使用前的风险分析与评估。在医疗设备投入使用前,根据仪器的各种警示内容,如防护设施、安装设备以及配套条件等,对可能存在的风险因素如高频电离辐射或多台设备联合使用可能对病人造成的危害干扰等各种风险因素进行风险分析与评估。
(2)医疗仪器在不同使用环境下进行风险分析与评估。医疗器械的使用环境如温度、湿度以及有害或有毒气体对医疗器械的危害等,或者由于使用者的错误使用,以及医疗仪器存在故障的环境下使用等,进行风险分析评估。
3.3 加强医疗器械预防性维修及日常维护
对医疗器械进行预防性维修是该院在风险管理中的一个重要环节,同时与日常维护相结合,消除医疗器械的潜在风险以达到防范于未然的目的。在这一过程中风险管理人员主要对医疗器械的工作状态、使用环境及情况、医疗器械的电源系统、软件测试系统、光学系统、随机附件等进行风险评估与检测,根据评估情况进行医疗器械的日常维护与维修,并做好归档工作。
3.4 加强医疗器械的质量检测与管理
医院医疗器械的质量检测往往容易被忽视,尤其是在对医疗设备进行较大的维修之后,风险管理人员的质量观念不强,不会进行进一步质量检测,风险意识薄弱,造成医疗器械的使用性能极不稳定,给病人带来极大的危害。因此,严格把关医疗器械的质量问题,加强维修后的质量检测与管理,使医疗器械的质量具有可靠性及稳定性,是医疗器械风险管理的重要步骤。
本文在分析我国医院的医疗器械风险管理的现状的基础之上,阐述了风险管理对于医疗器械管理的重要性,并结合具体医院风险管理实例,介绍风险管理在医疗器械管理中的运用。经分析,加强对医疗器械生命周期的风险管理,提高风险管理人员的风险意识,以及做好医疗设备风险分析、评估、监控是医疗器械风险管理的重要手段。将风险管理运用于医院医疗器械的各环节之中,不但提高了医疗设备的安全性,提高了病人的满意度,还能使医疗器械的风险降到最低,提高医院的医疗质量与信誉。
参考文献
[1] 李伟,王澜.医疗器械风险管理中风险分析的方法[J].现代医院,2012(7):6-8.
[2] 王帆.关于我国医疗器械在管理中存在问题的研究[D].黑龙江中医药大学,2012.
关键词:博物馆;藏品;风险管理
处在市场经济和知识经济时代,在信息化条件下,随着博物馆社会交流的频繁,博物馆面临的风险随着增多。例如,2011年埃及国家博物馆在动乱中遭到抢劫,损失惨重;同年5月以来,故宫博物院发生的失窃、文物损坏等一连串危机事件,引起社会舆论的持续关注,使故宫身陷窘境。在这两次危机事件中,前者是由埃及国内政治危机间接引发的博物馆的风险,后者是由故宫博物院内部原因导致的博物馆的风险。这两起都属于藏品风险,此外,博物馆的风险还来自人员的风险、馆舍及设备的风险等,它们是紧密相联、相辅相成,组成了一个有机整体。由此可见,现代博物馆引进"风险管理"这门管理科学,使博物馆对于各类风险有所准备、进而进行有效的管理和预防具有积极意义。
一、博物馆藏品风险管理的定位及其含义
风险是指遭受损失、伤害、不利或毁灭的可能性,主要表现为不确定性。博物馆同其它组织一样,在经营管理中会面临不同层面的风险因素,需要控制其风险。根据国家相关规定,国家级或省级博物馆为一级风险单位,拥有1万件以上和5万件以下的博物馆为二级风险单位;而拥有1万件藏品以下的博物馆为三级风险单位。近年来,博物馆藏品风险的问题在我国博物馆界是关注之热点。风险管理作为现代博物馆管理学中的重要内容之一,对博物馆藏品风险管理具有重要意义。对博物馆藏品进行风险管理是一个管理过程,包括风险评估、风险管理决策与方式选择、风险管理效果评价等工作,目的是避免或降低由不确定的危险因素导致藏品损毁的可能,以获得博物馆正常运作和管理的安全保障。
目前为止,国内学术界对于博物馆藏品风险的释义是"藏品遭受损害的可能性",北京故宫博物院的刘舜强指出,藏品风险就是在藏品保管、保护、修复、展示、运输、研究及相关情况下,由不确定的危险因素导致藏品损毁或受到伤害的可能。他认为这些风险因素,一方面来自藏品本身,另一方面则来自藏品所处的外部环境及与藏品发生关系的人。因此,对藏品进行风险管理是对藏品活动的过程控制,是对藏品本身及外部环境和对与藏品发生关系的人进行管理。如在展示字画、丝织品等藏品时,不仅应有防弹玻璃制作的框架或装有报警装置的展柜对其进行防护,而且要考虑到藏品可允许的光照量、运输面临的风险,以及展厅面临的种种不确定因素的威胁--带脚轮的转椅、带酒精挥发物质的饮料、工作人员、清洁工人、以及展厅的防盗防火设备等。
对于现代博物馆来说,藏品的风险管理就是通过风险评估、风险管理决策、风险管理效果评价等环节以尽可能降低成本,有计划地处理风险。这就要求博物馆在管理过程中,采取各项应对措施,可能发生的风险进行识别,预测各种风险发生后对藏品造成的消极影响。
二、博物馆藏品的风险评估方法
藏品的风险评估主要有两种,包括藏品风险识别和风险估测。
藏品风险识别主要是识别其内在风险及外在风险,是风险管理的基础环节。只有全面了解各种风险,才能够预测风险发生的概率和损害程度,从而选择应对风险的有效策略。博物馆业务工作涉及范围广,专业性强,难度相对较大,博物馆的风险识别是藏品风险管理中难度最大的一部分,主要由调查人员通过系统性工作,寻找藏品的所有潜在风险,根据每个风险的特点,分析藏品风险的不确定性,进而转变为明确的风险评估。识别的方法是通过收集和观察有关藏品的包装过程、运输过程、展览过程、修复过程的资料和数据,根据每个过程的特点,查找和分析各个环节潜在风险的规律性,分析藏品风险的不确定性,从藏品本身和外部环境找出藏品潜在的风险敏感因素,确定其敏感程度。
风险估测是在风险识别的基础上,分析博物馆藏品风险发生的概率和风险事故发生后可能造成的损失的严重程度。藏品风险估测一般包括两个方面:一是预测风险的事故发生概率,二是预测风险的损失程度。预测风险的概率是指运用定性与定量的方法分析资料,观察造成藏品损失的规律性,估计和预测风险事故的发生概率,可以使博物馆在一定程度上减少损失的不确定性。预测风险的损失程度,也就是预测博物馆藏品可能损坏的程度,进而可以对损坏概率高和损坏程度大的风险进行重点防范。
三、博物馆藏品风险管理决策与方式选择
博物馆藏品风险管理决策是以藏品风险估测为基础的。风险估测为风险管理决策提供信息资料和决策依据,科学的风险管理决策是实现风险管理的前提和核心内容。风险管理过程是根据藏品风险评估的结果,对每一个风险进行次序排列,采取措施减少这些风险,编制风险防范计划,将藏品风险转变为风险应对。
首先,制定藏品风险防范策略。藏品风险防范策略可以分为规避、接受、保护、降低、转移几种方式。"规避"是指排除特定威胁,特别是排除特定威胁的起源。特定的风险事件是可以排除的,让藏品回避已知风险,从而保障藏品安全,是藏品风险管理的最高目标。"接受"是不采取任何行动,将风险保持在现有水平。这样的风险是可控或者危害极小的,对于藏品而言是可以接受的。"保护"是通过对藏品的材质、构造的考察、研究藏品的保存、展示环境,以及修复工作,为藏品量身制定风险保护措施,使藏品安全得到保障。"降低"是借助相应的手段将藏品风险发生的可能性降低到可接受程度,以降低遭受灾难性损失的风险。"转移"则是指将藏品风险全部或部分转移给独立机构,使藏品安全而得到保障。比如,在明确的风险战略的指导下,与资金雄厚的独立机构签订保险合同,将藏品转移给从事风险合并事务的专业保险公司或其他风险投资机构,这是一种符合市场经济规则且公平的转移手段。但由于可保风险必须是符合一定的条件的纯风险,所以风险转移不是藏品管理的主要风险应对策略。
在制定了风险防范策略后,就要制定相应的风险行动计划。制定风险行动方式主要考虑五个方面的因素:可规避性、可接受性、可降低性、可保护性、可转移性。例如关于水彩画藏品的问题,风险管理小组就需要考虑多方面因素:从光照对颜料的危害程度,到物理损害的起源,到展厅的酒水饮料对藏品的影响,到运输过程遭受持械抢劫的可能性,到人为破坏、火灾和被盗的危险。在执行风险应对的过程中,制定以上任何一种风险的防范策略已经是很困难了,要平衡各种风险需要将多重标准应用于所有方面,综合考虑该风险是否可规避、可接受、可降低、可保护还是可转移。制定风险行动计划应该对突发事件快速作出反应,按照预先制定好的风险行动计划进行。此外,还要对照防范计划,定期向管理小组报告藏品风险应对工作进展。风险行动步骤可以是顺序性的,也可以同时进行。例如,针对藏品被盗风险,博物馆可以根据情况使用"人防、物防、技防"三防并举的措施,三种方式同时进行,特别是加强现代技术防范措施,加强人员安保,降低藏品被盗风险,以确保藏品安全。
四、博物馆藏品风险管理效果评价
中小股份制商业银行内部控制风险管理
一、内部控制和全面风险管理概念的界定
(一)内部控制的内涵
COSO于1992年《内部控制――整合框架》中将内部控制定义为由一个企业的董事会、管理层和其他人员实现的过程,旨在为下列目标提供合理保证:财务报告的可靠性;经营的效果和效率;法律法规的遵循性。内部控制应具备的五个要素:内部控制环境;风险识别与评估;内部控制措施;信息交流与反馈;监督、评价与纠正。
(二)全面风险管理的内涵
COSO《全面风险管理框架》(2004)中的定义是:全面风险管理(ERM)是一个过程。这个过程受董事会、管理层和其他人员的影响。这个过程从企业战略制定一直贯穿到企业的各项活动中,用于识别那些可能影响企业的潜在事件并管理风险,从而确保企业取得既定的目标。
(三)内部控制与风险管理的内在联系
1.内部控制与全面风险管理存在一定的差异:两者的范畴不一致;两者的活动不一致;两者对风险的对策不一致。
2.内部控制与全面风险管理紧密相关:内部控制是全面风险管理的必要环节,内部控制的动力来自企业对风险的认识和管理;全面风险管理涵盖了内部控制。从COSO委员会的全面风险管理框架和内部控制框架可以看出,全面风险管理除包括内部控制的3个目标之外,还增加了战略目标,全面风险管理的8个要素除了包括内部控制的全部5个要素之外,还增加了目标设定、事件识别和风险对策3个要素;内部控制与全面风险管理工作应当由企业同一套组织机构和人员来完成,企业不能为之设置两套工作小组。为此,企业在组织机构设置、人员权责分配中,应充分考试专业管理、内部控制、以及风险管理这三大类职责相辅相成,它们应当是每个关键岗位职责的有机组成部分。
二、我国中小商业银行实施全面风险管理的必要性和重要性
(一)金融机构面临的风险因素多样化
金融机构面临的风险因素多样化,主要包括信用风险、市场风险、操作风险、流动性风险、声誉风险、法律风险、战略风险和国家风险。各银行都会因风险控制措施不当而发生损失,有的案例损失金额巨大,中小商业银行相对而言其抗风险能力不足,更易由损失引发系统性风险。
(二)中小商业银行内部控制体系存在较多弊端
各级负责人横向权力过大,为操作风险的发生提供了空间;大部分银行未设立独立的专业化部门承担操作风险管理和分配资本职责;操作风险管理现行的管理方法和手段落后,难以反映本行操作风险的总体水平和分布结构,与国际上要求以资本约束为核心的操作风险管理差距不小。
三、国内银行业全面风险管理实施现状
(一)工商银行、中国银行等一些大型商业银行建立了全面风险管理治理结构
如工商银行2004年引入COSOERM框架的理念,按照现代金融企业的治理标准,建立了由股东大会、董事会、监事会和高级管理层组成的全面风险管理治理架构,制定相关授权方案,形成权力机构、决策机构、监督机构和高级管理层之间各司其职、相互协调、有效制衡的运作机制。重新调险管理委员会,并于2006年7月设立了首席风险官职位,为全面风险管理工作开展提供了制度保障。
(二)部分银行全面风险管理的实施规划已经形成并在逐步推进
农业银行在制定新资本协议实施规划的基础上,制定实施新资本协议的时间表、步骤和措施,在2009年底前建成内部评级初级法体系,2013年底前建成内部评级高级法体系。工商银行全面推进风险计量技术的研发,加大数据集中与系统建设力度,从公司治理、方法论、基础数据、制度政策、IT系统等方面不断深化新资本协议的实施工作,风险治理结构日益完善,风险计量水平逐步与国际接轨,风险管理的前瞻性、科学性得以显著提高。
四、构建中小商业银行全面风险管理组织架构建议
结合国内外商业银行全面风险管理组织架构建设经验,以中小股份制商业银行普遍实行总分行制的行政制度为基础,笔者提出要按照“集中管控、矩阵分布、全面覆盖、全员参与”的目标要求,建立总分支三级联动风险管理机制,以集中职能的风险管理部为特点,以风险总监为纽带,以分布于各业务条线的风险经理为基础的架构与职能分工。
在董事会下设风险政策委员会,该委员会主要确定风险偏好指标和提供政策建议;在高级管理层下设风险管理委员会,主任委员由行长担任,副主任委员由分管行长担任,其他行级领导担任常务委员;设置风险管理委员会的常设机构――风险管理部,作为风险管理的具体执行部门,该部门集中所有各类风险的管理职能,可以设置包括信用风险、市场风险和操作风险各团队,任命各类风险经理,也可以根据需要设置战略风险和声誉风险管理团队;设置风险管理总监,对风险管理事务进行综合协调,风险管理总监与首席财务官紧密合作,直接向董事会和高级管理层汇报工作;在各业务条线设置风险经理岗,一方面配合业务条线负责人进行风险控制,另一方面是为风险管理部在业务条线上的派出单位,负责风险据的收集、风险状况的实时监控;建立支行风险经理派驻制,派驻风险经理是支行层面风险管理的主力军,对各支行的信用风险、市场风险和操作风险进行管理,定期向上一级的风险管理部进行风险管理情况汇报,提供风险资料和数据。
中小股份制商业银行在现有内控管理水平的基础之上,借鉴西方银行的先进经验,尽快建立起全面风险管理的架构与职能,将有利于推进中小商业银行与国际接轨,在未来激烈的竞争中真正实现稳健经营和可持续发展。参考文献:
[1]姚树洁,姜春霞,冯根福.中国银行业的改革与效率:1995―2008[J].经济研究,2011(08).
关键词:防汛抗旱水旱灾害风险管理
中图分类号:C93文献标识码: A
防汛抗旱是我国政府每年都十分关注的民生问题,这种自然灾害由于其不可避免性,使得人们很是头疼。近些年来的防汛抗旱问题更是严重,因为人们肆无忌惮的对环境进行着破坏,使得生态系统变得不在平衡,致使水旱灾害频率上升,其造成的影响也是越来越严重。虽然,近些年来,我国相关部门一直在努力减弱水旱灾害的影响,也取得了相应的成果,但是却不足以改善全国的整体水旱灾害现状。因此,防汛抗旱与水旱灾害风险管理工作还需要不断的完善,努力的改进。争取把灾害的影响降到最低点。
一、关于防汛抗旱能力与基本问题
1.防灾减灾基础体系与保障我国经济社会发展和人民生命财产安全的要求不相适应,目前我国大江大河部分干流没有得到有效治理,中小河流治理严重滞后,山洪灾害防御能力低,全国还有相当数量的耕地缺少灌溉设施,城乡供水保证率不高,还有2 亿多农村人口存在饮用水不安全问题。
2.预测预报预警能力与有效应对极端灾害性天气事件的要求不相适应,我国洪涝灾害监测站点不足,预测预报能力偏低,预警不够及时。此外,旱情监测体系还处于起步阶段,旱情监测评估和预测分析能力比较滞后。
3.防汛抗旱保障能力与社会化防灾减灾的要求不相适应,目前,我国防汛抗旱经费投入渠道单一,水旱灾害救助主要依靠政府投入,社会化投入机制尚未完全建立,洪水干旱保险还停留在研究层面。防汛抗旱社会管理相对薄弱,防汛抗旱专业队伍偏弱偏少,抢险和抗旱服务能力普遍不强。
4.防汛抗旱技术水平与现代化防灾减灾的要求不相适应,目前防汛抗旱新技术、新产品的推广应用程度不高,防汛抗旱工程设备与装备的现代化程度较低,制约了防汛抗旱工作的效率。
二、关于防汛抗旱与水旱灾害风险管理的发展
防汛抗旱与水旱灾害风险管理工作从很久以前就开始出现了,只不过那时候的人们不这么叫罢了,这个概念的提出是近些年的事情。下面我们来回顾一下其发展历程。
1.古代人适应水的阶段,最开始的时候就是古代的人们适应水的时候,那个时候的人们属于冷兵器时代,没有先进的生产力,不能构建坚固的水利设施,致使当汛期和旱期来临的时候没有任何办法。对于这个阶段人与水的关系,我国古人有许多论述,大多数的论述内容都是,水是一种变化无常的事物,我们无法控制它,我们只有了解它的习性,然后去适应它生存,因为我们离不开它。在古代也有著名的水旱灾害风险管理案例,那就是大禹治水。总而言之这一阶段,实际上是人类主动并力图将其暴露程度降低为零,回避水旱灾害,从而减小风险。
2.近现代人逐渐控制水的阶段,随着科技的不断进步,等到了近现代的时候,人们就已经拥有了一些较为先进的大型机械,可以建设一些水利工程,来防治水旱灾害了。同时,人类改造自然的意愿和能力在增强,特别是人口增加后,人类对土地的需求不断增长,迫切需要对水进行控制,通过建设水利工程来改造河川、调蓄洪水、发展灌溉和供水等。技术的不断进步,需求的不断增多,使得人们的野心开始不断变大。人类在这个阶段认为大自然是可以战胜的,人类的力量是无穷的,可以无限度地改造自然,向大自然索取。从水旱灾害风险管理的角度看,此时是人类在降低自己易损性的同时,试图通过各种强有力的工程措施,将水旱灾害的危害性减小到零,从而减小水旱灾害风险。
3.现代人和水和谐共存的阶段,人们经过上一个阶段与水的接触,人们开始发现水是不能够征服的,真正的生存之道就是与水共存,一起和谐发展。在这个阶段里,人们已经深刻认识到不可能将水旱灾害风险“危害性”、“暴露程度”、“易损性”的任何一个风险因素减小到零。相反地,应当采取综合措施,以期最大限度地减小水旱灾害风险,实现水早灾害管理的最大效益。于是我国人们开始从各国学习先进的水旱灾害风险管理工作经验,结合自身实际情况,进行工作,争取早日走上,人水和谐、水旱灾害综合管理的道路。
三、关于防汛抗旱与水旱灾害风险管理流程
所有工作都有自己固定的流程,水旱灾害风险管理工作也是如此。目前主流的防汛抗旱与水旱灾害风险管理流程主要是以下几个步骤。
1.风险识别,水旱风险管理就是风险识别工作,该工作主要是对潜在的各种威胁进行系统的认真的归纳整理,并分析产生不利事件原因的过程。该步骤的主要目的就是分析出风险的来源、范围以及特性,然后形成文档报告,以便后面工作的开展。
2.风险评估,这里所谓的风险评估,指的就是根据某种灾害所导致的损失的历史资料的记载,然后再根据上一步的风险文档资料进行综合的分析,这一工作中,主要利用的工具有概率统计、洪水风险图、资产评估法、水文水力学法、历史洪水类比法、地貌学法、专家调查法等。
3.风险评价,风险评价是整个风险管理工作的中间步骤,其重要性不言而喻,因为它起到一个承上启下的作用,在工作期间,会对上面的俩个工作内容进行综合的分析整理,然后把各种风险因素发生的概率、损失程度及其他因素的风险指标值,综合成单指标值,以表示该地区发生风险的可能性及其损失的程度,并与根据该地区经济发展水平确定的、可接受的风险标准进行比较,进而确定该地区的风险等级,由此确定是否应该采取相应的风险处理。
4.风险处理,风险处理顾名思义,就是指对某种不利事件进行科学的预防,尽力把损失降到最低的一个过程,可以说该步骤是整个风险管理工作的核心。风险处理的主要任务是以最低的代价获得最佳效益的总目标。当面临风险时,主要思路为采取转移、接受、化解、规避和分担等各种风险处理手段,从这些手段中,选择适当内容,形成最优处理方案。
5.风险管理结果评价,风险管理结果评价是整个风险管理工作的最后一步,该过程的主要工作是对以上每个步骤产生的效果进行分析,然后找出每一步骤的可行性和需要改进的地方,进行档案记录,以便于以后的风险管理工作的开展。一般地说,对于某一地区或流域的水旱灾害风险管理,以上工作流程是逐步进行的,但每一步工作之间又是彼此联系的,不是截然分开的。
随着社会经济的发展,国家和社会对防汛抗旱、水旱灾害的要求越来越高,防洪和抗旱面临一系列新情况、新问题,需要我们认真研究和解决,不断完善对策和措施。
参考文献:
[1] 刘宁.唐家山堰塞湖应急处置与水旱灾害管理工程[J].中国工程科学,2008,10(12)。
[2] 刘宁. 进一步提高科学防御水旱灾害的能力[J]. 求是,2010(08)。
[3] 刘宁.堰塞湖应急处置实践与认识[J].水科学进展,2010,21(04)。
[4] 刘宁.舟曲白龙江堰塞排险与应急疏通减灾工程管理认知[J].中国工程科学,2011,13(01)。
[5] 刘宁.唐家山堰塞湖应急处置与水旱灾害管理工程[J].中国工程科学,2008,10(12)。
随着信息化的不断推进,信息设备的使用也变得越来越广泛,越来越多单位的主营业务系统开始基于信息设备来构建,鉴于此,信息设备及信息系统是否能持续稳定的运行以及承载在这些信息设备之上的数据是否安全成为关注的热点问题。目前信息数据的主要载体便是各种类型的信息设备,所以对信息设备的信息安全防护即是对其包含的信息数据的安全防护。随着信息设备所面临的越来越严峻的信息安全威胁,如何做好信息设备的风险管理工作是一个值得深入探讨的课题。
2信息设备风险管理
2.1信息设备的风险概述
参照信息安全风险评估规范等标准来说,信息设备信息安全风险包含三个要素,即脆弱性、威胁和资产,每个要素有各自的属性,资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。信息设备所面临的信息安全风险并非某种单一来源的安全威胁,而是三种要素互相影响、互相关联的某种动态的平衡关系,而信息设备的风险管理本质上讲是对这三种要素造成的安全风险程度的可控管理。
2.2信息设备全生命周期风险管理
信息设备全生命周期风险管理包括信息设备规划设计阶段、部署阶段、测试阶段、运行阶段和废弃阶段。规划设计阶段应能够描述信息系统建成后对现有模式的作用,包括技术、管理等方面,并根据其作用确定系统建设应达到的目标。这个阶段,风险威胁应根据未来系统的应用对象、应用环境、业务状况、操作要求等方面进行分析。部署阶段是根据规划设计阶段分析的威胁和制定的安全措施,在设备部署阶段应进行质量控制。测试阶段是对已经部署完成的信息设备结合前期规划设计方案的要求对采购来的信息设备进行全面的测试,包括基础测试、功能性测试及安全性测试等。运行阶段让信息设备稳定运行并起到其应有的功能。该阶段应做好设备监控、脆弱性发现、设备异常报警、信息设备日志搜集和分析等工作。废弃阶段存在的风险包括未对残留信息进行适当处理、未对系统组件进行合理的丢弃或更换或未关闭相关连接,对于变更的系统,还可能存在新的信息安全风险,因为其可能替换了新的系统组件等。
2.3信息设备风险管理体系
传统的信息安全管理体系主要依据ISO27001相关标准搭建,ISO27001标准采用基于风险评估的信息安全风险管理,具体采用了PDCA模型过程方法来全面、系统、持续的改进组织的信息安全管理。ISO27001采用的PDCA模型不仅适用于传统信息安全管理,同时也适用于信息设备的安全风险管理。
2.3.1总体思路
信息设备风险管理总体借鉴PDCA管理模型的相关理念,将信息安全设计方案制定、各阶段的信息安全风险管理实施、各阶段信息安全管理检查、信息安全管理改进,形成一套有效的安全风险管理防护方法,对信息设备进行不同时间阶段、不同维度、不同重点的管理,有效防范和控制信息安全风险,增强信息安全体系的检测能力、保护能力,为用户开展风险管理提供全方位的管理思路。
2.3.2风险管理模型
融合传统风险管理的PDCA模型,将传统风险管理中动态模型的思路加以延续,增强信息设备状态的动态特性,主要分为四部分:管理规划、管理实施、管理检查、管理改进。管理规划:决策层要明确政策、目标、策略、计划,形成具体的管理规划,明确组织风险管理的整体目标和方向,确定对信息设备进行风险管理所要达到的目的和状态,从而防止后续制定的风险管理规范和组织与已有的战略决策、制度、规范等相违背而导致不可执行的问题。管理实施:管理层在深入领会和遵照管理规划的指示后深入研究信息设备各阶段所面临的信息安全风险,对信息设备各环节制定详细的风险管理实施规范和标准,以便具体的业务部门、人员等能严格按照管理规划的计划和要求来实施风险管理规范。管理检查:管理检查作为监督信息风险管理实施效果的主要手段之一,需要确保管理检查手段的全面性、科学性、客观性,需要覆盖各个管理阶段,客观而高效的评价风险管理实施效果。管理改进:通过归纳总结前阶段管理检查的工作成果,结合信息设备各阶段在实施信息风险管理中碰到的各类问题,从管理规划、管理实施、管理检查等各阶段提出信息风险管理改进意见,从而持续的改进信息设备各阶段的安全风险管理体系。
2.3.3风险管理体系的构建
根据安全风险的特点、信息安全三个关键要素以及信息设备各阶段的特点,我们应明确安全风险的几个控制手段,然后有计划的加强整个信息设备安全风险管理体系的建设,才有可能最终有效控制信息安全设备风险。首先,根据企业所处的环境,全面准确的评估安全风险,并根据安全风险的状况结合系统、网络层面的安全防御手段有效抵御各种威胁,最终主动降低安全风险。要实现对安全风险的管理和控制,需要实现完整的风险管理流程,具体为发现安全风险,即通过有效的手段确定安全风险的资产和区域、定位安全风险存在的区域、评估安全风险,准确高效的评估安全风险,了解安全风险的大小和实质、强制措施降低风险,通过管理或强制等安全手段,主动降低安全风险、安全防御通过各类系统、网络安全设备、防御各类安全威胁、安全问题修补,主动修补存在的各类安全漏洞,全面降低安全风险。以上是完整的信息设备安全风险管理流程,对整个信息设备安全风险的管理和控制,这些步骤缺一不可,同时,风险管理流程还应根据企业的具体情况,有不同的实现方式。其次,实现信息设备风险管理的详细步骤包括:确定信息安全标准和方针、统计信息设备资产,进行资产识别、检测信息设备资产存在的安全漏洞、了解潜在的威胁、分析存在的安全风险、通过各种手段如安全防护产品来降低已有的安全风险、对信息设备评估安全效果和影响、对已有信息设备安全策略进行对比及改进。最后,实现完善的信息设备安全风险管理,还需要有计划的完善自身的安全风险管理体系,制定相应的整体安全策略。建立全面的资产管理和风险管理体系,整合现有的安全设备和手段,形成信息设备成熟完备的动态安全风险管理体系。
3结束语
