风险评估管理范文1
关键词科技评估风险投资风险管理
1科技评估
1.1科技评估的概念
2000年12月28日科技部颁发的《科技评估管理暂行办法》将科技评估定义为“是指由科技评估机构根据委托方明确的目的,遵循一定的原则、程序和标准,运用科学、可行的方法对科技政策、科技计划、科技项目、科技成果、科技发展领域、科技机构、科技人员以及与科技活动有关的行为所进行的专业化咨询和评判活动”。从更广泛的意义上来讲,科技评估是对与科学技术活动有关的行为,根据委托者的明确目的,由专门的机构和人员依据大量的客观事实和数据,按照专门的规范、程序,遵循适用的原则和标准,运用科学的方法所进行的专业化判断活动。其结果要归结为能够回答委托者特定目的评估结论和评估分析。
1.2科技评估的范畴
科技评估的范畴主要是职能性评估和经营性评估两大方面,职能性评估是指对政府科技活动有关行为进行的客观的、科学的评价和判断,为政府有关部门发挥决策、监督职能提供服务。经营性评估是指对企业或其他社会组织与科技活动有关行为进行的客观的、科学的评价和判断,为他们对被评事物的决策、判断提供参考依据。在市场经济条件下,科技评估作为一种咨询活动,不应仅仅只为政府决策服务,还应深入到市场中的各类科技活动之中,接受非政府机构委托的评估任务,如企业投资项目的科技评估、风险投资机构投资的科技评估、企业产权交易中的科技评估等。
1.3科技评估的分类
科技评估可从不同角度分类。从评估时间上,可分为事先评估、事中评估、事后评估和跟踪评估四类。事先评估是在某项科技活动实施前所进行的评估,主要包括实施该项活动必要性和可行性两方面内容。它常常带有预测的性质,但不同于一般的预测分析;事中评估是在科技活动实施过程中进行的监督性评估,着重检验是否按照预定的目标、计划执行,对前面工作的进展与预期效果进行比较,并对未来进行预估,以发现问题,调整或修正目标与策略;事后评估是科技活动完成后进行的评估。另外,从评估空间上,可分为国家评估和地方评估;从评估规模上,可分为宏观评估、中观评估和微观评估;从评估方法上分,可分为定性评估、定量评估及定性与定量相结合的评估;从评估形式上,可分为通信评估、会议评估、调查评估、专访评估和组合评估等。
1.4科技评估的方法
评估方法有广义和狭义两种概念,广义概念包括评估准备、评估设计、信息获取、评估分析与综合、撰写评估报告等评估活动全过程的方法,狭义概念特指评估分析与综合的方法。
科技评估可选用的方法多种多样,关键是要依据不同对象,有针对性地选择评估方法。常用的分析评价方法有定性和定量结合的方法、多指标综合评价方法、指数法及经济分析法和基于计算机技术的评估方法等。
2风险投资的风险管理
风险管理是通过对风险的识别、衡量和控制,以最少的成本将风险导致的各种不利后果减少到最低限度的科学管理方法。风险投资的风险管理的出发点和归宿,都是企图运用系统的、综合的现代科学管理方法,有效地扩大投资活动的有利因素,控制和抑制不利因素,达到以最小的成本,安全、可靠地实现风险投资利益的最大化。
2.1风险识别
风险识别是风险管理的第一步,是指对企业面临的,以及潜在的风险加以判断、归类和鉴定风险性质的过程。存在于企业自身周围的风险多种多样、错综复杂,无论是潜在的,还是实际存在的,是静态的,还是动态的,是企业内部的,还是与企业相关联的外部的,所有这些风险在一定时期和某一特定条件下是否客观存在,存在的条件是什么,以及损害发生的可能性等,都是在风险识别阶段应予以回答的问题。在风险投资中,风险一般可以分为两类:系统风险和非系统风险。系统风险是由公司之外的各种因素引起的,如战争、经济衰退、通货膨胀、高利率等与政治、经济和社会相联系的风险,是不能通过多角化投资而分散的,因此又称作不可分散风险或市场风险。重要的系统风险有政治风险、法律法规风险和政策风险等。非系统风险也被称作可分散风险,它是由公司本身的商业活动和财务活动带来的,如企业的管理水平、研究与开发、消费者需求的改变、市场营销风险以及法律诉讼等,其可以通过多角化投资组合而分散,是公司特有的风险。重要的非系统风险有决策风险、财务风险、信用风险、完工风险和市场风险。作为风险投资者,其关心的往往只是项目的系统风险,因非系统风险完全可以通过合理的投资组合而得到分散。
2.2风险衡量
风险衡量对已经识别的风险进行分析评估,以确定其损害程度的过程。风险衡量的方法分为定性风险评价方法和定量风险评价方法两大类,定性风险评价方法又可分为主观评价法和客观评价法,传统的主观评价法主要有观察法、资产负债表透视法和事件推测法等。现代的主观风险评价方法致力于将传统主观方法涉及到的因素综合在一起,并且设法将传统上的主观方法的定性分析特征转向定量分析上,由此而将主观分析扩展到能够同时完成综合评价风险因素与测量风险临界值的双重任务。现代客观风险评价法中,最具代表性的是“Z记分”方法。作为一种综合评价风险企业风险的方法,“Z记分”方法首先挑选出一组决定企业风险大小的最重要的财务和非财务的数据比率,然后根据这些比率在预先显示或预测风险企业经营失败方面的能力大小给予不同的加权,最后将这些加权数值进行加总,就得到一个风险企业的综合风险分数值,将其对比临界值就可知企业风险的危急程度。定量风险评价方法主要有风险图法、决策树法等。
2.3风险控制
风险控制是指在对风险进行全面的分析之后,实施各种风险控制工具,力图在风险发生之前消除各种隐患,减少损失产生的原因及实质性因素,将损失的后果减少到最低限度。实施风险控制的步骤是风险预测——风险决策——实施决策方案——方案的成果评价。风险控制的主要方法有风险规避、风险预防、风险分散、风险转嫁、风险补偿、风险抑制等。
3科技评估与风险投资的风险管理
科技评估与风险管理既有联系也有区别,科技评估作为一种专业化判断活动,在介入风险投资的风险管理后,其任务便是对风险进行识别和衡量,其结果作为风险投资机构投资决策和制定风险控制实施方案的依据。可见,在风险投资的风险管理中,科技评估实质是风险的识别和衡量的过程,而风险管理还包括了风险控制的实施过程,这样科技评估就可以作为风险管理一个组成部分,实现两者的有机结合,促进共同发展。科技评估与风险投资的风险管理的关系如附图所示:
3.1科技评估是提高风险投资管理效率的重要手段
科技评估经过近十年的发展,已有一整套较为完备的评估规范和技术方法,在评估设计、评估信息采集、综合分析、评估质量控制等方面的研究已较为成熟,同时,由于科技评估机构长期致力于国家和地方各类科技计划、科技项目、科研机构等方面的评估,对于科技产业、科技政策等方面的研究也是其他咨询机构无法比拟的。而我国风险投资业尚处于起步阶段,国家还未出台较为完备的有关风险投资事业的行政法规,风险投资机构的风险管理机制还很不健全,对风险管理人才培训的投入和重视程度还远远不够,因此,将科技评估运用到风险投资的风险管理中将能充分发挥其作用,提高管理效率。
3.2科技评估方法是衡量风险投资风险的有效工具
定量和定性方法相结合是科技评估方法应用的基本思路,这与现代风险评价所采取的方法既有相近又有其独到之处,科技评估中最常用的方法是多指标综合评估方法,它是在对多个影响因素进行分析研究之后,设计一套相应的评估指标体系,并对每一个评估指标都制定具体的标准和统一的计算方法,使其能对金额、人数等可计量的指标进行定量评估,同时对社会影响等因素亦可做定性评估的描述。这与上面介绍的“Z记分”方法仅依靠可计量的数据作为评价基础相比较更为有效。采取科技评估方法衡量投资风险也更为准确、可信。
3.3科技评估是推动风险投资管理创新的动力
引入评估机制,使风险投资机构的投资选择与投资决策相分离,使得风险投资管理更为透明化,也遏止了内部人员的“暗箱操作”等种种不良现象。通过独立的、专业化的评估中介组织的运作,将能使风险投资机构的管理层能更客观地认识到投资风险,从而可集中精力于投资决策,通过管理体制的创新,保证投资的科学性和安全性,也提高了投资成功率。
3.4科技评估参与风险投资管理是其自身发展的需要
科技评估工作现阶段主要是为各级科技行政管理部门,主要是国家和省、市科技管理部门服务,而且大部分科技评估机构是由科技管理部门所属的有关单位,如软科学研究机构、科技咨询机构、科技情报机构等部门产生,但由科技管理部门所属的单位评估科技管理部门的科技项目、科技计划等等,在一定程度和一定范围内不可避免的受到科技管理部门的影响。因而,评估水平难以提高。因此,科技评估机构作为一种社会中介服务机构,和各类资产评估机构一样,应逐步社会化和多元化,如参与到风险投资管理的咨询工作中,只有社会化、多元化,才能充分引进竞争机制,优胜劣汰,提高评估水平,促进科技评估事业的发展。
3.5科技评估促进风险投资实现动态管理
风险投资从进入到退出的全过程中,无时无处不存在着风险,实施某项投资决策前需要进行深入分析以确定各种存在风险的影响程度;进行投资后,还应深入到所投资的企业进行跟踪调查分析,对企业生产经营、财务状况,市场竞争状况,企业的发展趋势与步骤等,经常进行科学的、系统的分析与判断,发现潜在的风险,及时采取有效措施,杜绝它的发生或降低它的危害;风险投资退出后,还要对风险投资的效果进行测评,总结经验与教训,作为今后投资决策的参考。可见,风险投资的风险管理是一个动态的过程,实现管理目标需要实施一系列的评估,科技评估的事前、事中和事后评估能够满足这一要求,促进风险管理动态管理。
参考文献
1国家科技评估中心编.科技评估规范,科技评估概论[M].北京:中国物价出版社,2001
2杜沔.关于风险投资中的风险控制工具的探讨[J].中国科技产业,2001(7)
风险评估管理范文2
预防性维护是指在设备服役期间,为了减少设备故障率,在设备故障发生之前就采取的对设备的维护保养工作。包括:设备的检查、检测和性能测试、基于风险的检查间期以及常规护理等内容。设备的检查流程应该基于以下需求:设备的维护要求、风险分类、设备的功能和故障的发生历史[1-2]。预防性维护并不能预防随机故障,特别是与电子装备和低风险设备(不像高风险设备一样需要相同频率或密集度的性能验证)相关的随机故障。医疗设备应进行风险评估,以决定测试的频率。如果1台设备的测试频率过长,它可能会在下次定期维护之前出现故障或产生错误结果。反之测试过于频繁,本来可以更好地用于维护其他设备的时间就被浪费了[3]。临床医学工程师的工作,是要在定期功能性测试和医疗设备安全使用所需要投入的时间和精力两者之间找到平衡点。
2基于风险评估的预防性维护周期
为了建立有效的维护方案,必须先决定检查频率[4]。应该将重点放在对医疗仪器持续安全运转产生影响的设备上。Vermont大学已经开发了一套风险评估系统用来决定维护的频率[5]。该系统认为预防性维护周期是根据风险、要求、后勤保障和设备历史4项因素综合确定的,这些风险包括设备的功能、与设备使用相关的有形风险、与患者安全相关的设备历史、对生命支持设备还需要进行特别的确认[6-7]。Vermont大学的基于风险的检查评分系统。
3维护周期确定的运作实例
为了说明基于风险的检查评分系统的具体应用,列举脉搏血氧饱和度仪和高频电刀2个实例。应用表1得到的评分结果。血氧饱和度仪是非介入监测血氧浓度水平的设备。因它是对患者进行直接监护的,其临床功能评分为3分;设备故障可能会导致不适宜的治疗方案,如患者血氧浓度不够,或者失去对血氧浓度的监控,其有形风险为3分;从故障历史上讲,血氧饱和度仪的故障难以预料,而且突发的问题通常在定期测试时不易被发现,因此问题避免概率应该评2分;历史资料没有记录与血氧饱和度仪相关的事故,对该设备并没有任何具体的设备维护的要求,故事故历史和制造商/管理部门的要求的分数都是1分。最终血氧饱和度仪的总分为10分[9],据此该设备定为年度检验。高频电刀是利用高频电流切割或破坏组织的设备[10]。因该装置是用于直接治疗病人的,其临床功能类别评4分;该设备故障可能造成病人的严重伤害,有形风险评4分;从故障历史上讲,电刀出现的故障难以预料,而突发的问题通常在定期测试时不易发现,问题避免概率评2分;历史资料显示,存在电刀故障导致病人事故的历史,事故历史评2分;由于对这些设备维护没有具体规定,制造商/管理部门规定评1分。高频电刀的总分为13分[11],据此该设备定为半年检验1次。应注意设备仅仅是按照通用设备类型进行评分。并没有具体到某种设备型号。风险评分准则仅仅是用来确定预防性维护周期的一个工具。如果对某个特定型号的设备。有不同于相同类型的其他型号设备的特殊测试或维修要求时,则针对个别情况维修时间应作调整[12]。
4维护方案有效性的评沽
对预防性维护方案有效性的评估应从以下几点出发:(1)预防性维护周期应每年进行审查,审查工作主要是对维护历史中产生的数据进行分析,以便根据具体情况或新的规定或准则进行相应的调整[13]。(2)在定期性能检测时经常发现问题或有较高故障率的设备,可能需要更频繁的检查。同时,随着医疗器械的可靠性不断提高,在功能性测试中发现的问题也会越来越少。此外,随着电子控制器件逐渐取代机械系统,较新的技术往往对预订零备件的需求越来越少。例如现在的全身麻醉机采用电子流量控制元件,与采用的机械式针阀组件的设备相比,不但准确度更高,而且零件磨损较轻,可以不再频繁检查。(3)除了在功能测试中发现的问题,其他类型的设备问题也应被追踪。不能重现的设备问题和使用操作不正确产生的问题,都表明临床人员需要在如何正确使用设备方面接受更多的培训。若出现设备的摆放或清洁及使用不当的情况,则表明需要更多的员工教育或改变临床应用方案,例如当呼吸机出现需要更换管道和过滤器的问题时,则该设备在维修周期应该进行重新评估,或需要进行更多的技术培训。(4)性能标准应该是明确和合理的,而且要确保满足地方性法规。
5结语
风险评估管理范文3
随着经济的发展,公共政策的风险问题一直是大家所关注的,高风险的公共政策让大家对公共政策有了新的认识,以前对于公共政策大家看中的是成本和收益之比,就目前现状来看,大家更多的看重的是收益和风险的比。因此,公共政策从拟定到审核到出台前的风险评估就显得尤为重要,政府的风险管理部门也应该将此作为工作的重点,只有做好了公共政策的风险评估,才能制定出规范、科学、合理的公共政策。本文基于风险管理的视角,研究了公共政策的风险评估的界定标准、评估流程、评估重要性、以及应对风险方法。
一、公共政策风险评估的界定标准
(一)公共政策的含义
公共政策是影响我国社会进程中体制改革、经济增长、国家转型的重要途径和工具,有研究学者提出,公共政策是用来调整和确定社会关系的一种行为规范,在当代社会中,公共政策是体现公众和社会以及公共机构多形式、多层面、多途径互动关系的一种过程,这种互动关系可以通过意见诉求和信息交换来表达。有西方学者认为公共政策的分界线是政府的所为和所不为 [1]。这种说法的研究范畴与国内有所不同,国内限定于公共机构及社会,而西方的则将公共政策限定在了政府的范围内。对于我国目前的政治结构下,国家的政府部门、司法部门、立法部门通过不同的方法来实施和制定公共政策。新的公共政策的风险是造成社会不稳定的一个重要的因素,在其利益再分配的同时引发社会矛盾从而影响社会的稳定,引起公众的强烈不满。
(二)公共政策风险的含义
2011年,我国出台了一些相关的法律法规来规范化社会的风险评估机制,这表明政策风险评估已经引起了政府的重视,公共政策的风险是指政策在制定和和实施的过程中,由于政策的内部原因或者外部环境的因素,导致了这项公共政策的没有达到预期的目标或者政策的失败。由于公共政策决策上的失误所导致的反面影响,国际上很多国家都通过一些机制来降低风险,这就在很大程度上反映了大家对于公共政策风险的应对达成了共识。
(三)政策风险评估的含义
政策风险评估是指为了顺应社会发展和涉及群众切身利益所制定和出台的一些相关政策,在政策出台前对政策进行前期分析,找出可能存在的风险和带来的后果进行合理合法的评估,并对风险的危害程度进行评估,从而找到科学合理的应对措施,为风险的可操控性能提供理论依据。公共政策的风险评估是对政府出台的政策进行一个前期的预测,将评估的结果作为重要的依据来制定和推行此项政策[2]。由此可见政策风险评估的重要性。
二、实行公共政策风险评估的重要性
公共政策的风险评估是十分必要的,并具有很好的现实意义,主要体现在以下的三个方面:
第一,降低利益损失,促使政策顺利执行。每一个公共政策的出台都预示着利益的重新分配,并关系到社会各界的切身利益,政策风险评估通过对政策的分析研究,总结政策对各个群体的影响,分析受影响的群体数量、影响力度的大小、利益损失的多少。比较对群体影响的比例大小来调整相关的条款,最终决策出可以使利益最大化的新政策,加大政策的实施可行性。
第二,加大公共政策的可行性,首先公共政策风险评估对政策条款逐条分析,评估出政策条款对于社会群体的收益风险比例,如果收益大于风险,则证明此项条款可行,如果收益小于风险,但是风险是可控制的,则此项条款仍然是可实施的,若该风险的可控性比较低,或者风险后果难以预测,则该项条款不可实施。其次风险评估也应该注重群众的呼声和满意程度,在政策的决策阶段加强群众的参与性,顺应民意,使政策更符合民众的意义,促进政策的可行性。
第三,提高政府公信力,巩固群众信任度,新政策的出台必定会调整利益的受益者,从而引起部分群众的不满,若是过于频繁的调整政策,一定会影响政府在群众心中的信任度,然而政府可以通过政策的风险评估来对即将的政策进行分析和评估,依靠分析结果来调整政策,使政策能够最大化的被群众所接受,促进提升政府的公信力[3]。
三、公共政策风险评估的流程
通过分析政策风险评估的实践经验,总结了我国公共政策风险评估的流程大致为通过分析政策的风险清单来评定政策的风险等级,然后进行风险自评,最后总结出政策的风险容忍度和评估结果。
(一)公共政策的风险清单
公共政策的风险清单是指政策实施的风险涉及的诸多要素,即每条政策条款所涉及的内在风险及外在环境风险,风险清单能够较为清楚地记录政策的隐形风险和显性风险。
(二)公共政策的风险等级
1、等级评定。公共政策的风险等级是指政策实施过程中风险发生率的高低和后果的严重性,大概可分为非常严重、严重、轻微三个等级。非常严重等级属于高危风险,是指该政策的风险发生率高以及后果严重,并且能够造成很严重的人员伤亡和经济损失,并能引起较坏的负面影响。中低危风险是指风险的发生概率较低,成圣的后果较轻,未造成严重的人员伤亡和经济损失,社会的影响力较弱。
2、预测政策风险后果。根据新政策不同的风险点,可以根据具体的风险点对政策进行后果预测,针对群众抗议和反对的政策后果,主要可以分为现场和虚拟空间两个方面:第一虚拟空间的抗议主要是指群众通过论坛、微博等网络途径抗议,以此来表达对政策真实的感想,在网络上获取同情和关注,或组织和号召利于群体统一对政策的负面信息热议,并发表不满情绪;第二现场抗议是指个人的极端行为和群体性事件的发生,利益的受损个人和群体会采取一些极端或影响力较大的方式来吸引政府和公众的关注,逼迫有关部门解决问题或更改政策的相关条款,这将会加大政策的风险。
(三)公共政策的风险自评
公共政策风险自评就是政策的制定者根据政策的风险等级和风险清单对政策本身进行自我评估,因为政策的制定者熟悉政策的所有条款以及政策涉及的相关规定及前因后果。所以为了能够快速精准的得出风险评估结论,政策风险自评的环节必不可少。政策的风险评估主要包括对法律、经济、社会、利益群体的评估,通过风险自评,有关部门可以更清晰的了解各个条款的风险及政策带来的后果,从而根据不同自评结果来修改政策的相关条款,最终减少政策风险[4]。
(四)政策的风险容忍度和评估结果
经过以上的一系列工作流程,最终得出政策的风险容忍度及评估结论。政策的容忍度包括不能容忍的风险项、可容忍可控制项。风险项可以根据政策后果来分,后果造成严重的经济损失,人员伤亡则是不可容忍项。若结果没有造成重大经济损失,人员伤亡的则视为可容忍项。得出评估结果后政策的制定者可根据评估结果制定相应的应对方法。
四、公共政策风险的应对方法
(一)做好公共政策风险评估
要想更好的应对公共政策的风险,必须在政策出台前做好公共政策的风险评估。首先通过政策制定者的风险自评来避免高危风险的出现,其次将风险评估问责划分,保证每一条款都实行了真正的评估,确保政策评估得到了真实有效分析。另外根据政策的不同特性,可以需求第三方风险评估机构的帮助做好第三方评估,第三方评估机构要求独立于政府机关,使公共政策评估能够更准确更客观。
(二)加大公众参与度,注重民意
当前公共政策的出台一定要让公众参与进来,让关系到切身利益的群众来对政策进行讨论研究,以保证政策风险评估有民众的参与,使评估结果能够客观真实。可以通过多种形式让民众参与进来,例如政策实行前让群众填写调查问卷、听证会、走访调查等方式,将民意真实的反映在评估的结论上[5]。
(三)加强管理,减少政策风险
加强管理是指对政策的制定人员及部门进行管理培训,加强人员对政策的理解,提高操作熟练度,降低政策制定的失误。
江西省“新农保”政策的实行就进行了一系列的风险评估以及制订了一系列的风险的应对方法。首先对新农保政策进行风险评估,评估结果显示新农保政策可能存在的风险包括山洪、地震、海啸等自然风险,基金安全问题的经济风险等。并研究得出新农保的政策风险存在突发性、不确定性、不可根除性等特性。并根据对政策的风险评估制订了一系列防范措施,例如多渠道宣传新农保政策、增强管理部门的风险意识、学习商业风险管理理念,对于一些不可防范的风险江西省政府也制订了相应的处理办法,如组建“新农保”政策风险处理机构,成立“新农保”基金管理公司等。此政策的实行严格遵照了风险评估的流程,并制订了科学合理的解决方案,并用事实证明了“新农保”政策的成功。
五、结语
伴随着社会的发展和公共政策的规范化、科学化、民主化,公共政策的风险也越来越被所重视,本文是基于风险管理视角对公共政策进行了风险评估,为更客观、更科学、更合理的避免公共政策风险提供了基础理论依据。对于不可避免的风险提出了相应的应对措施,并根据公共政策风险评估的工作流程及方法,努力做好公共政策风险评估工作,利用风险评估的应对方法解决风险评估的后果,做好风险突发情况预案,同时提高政府的公信度,加强民众的参与度,注重民意,根据民意来重新制定公共政策的评判标准。最后加强政策制定过程的管理,以此来减少公共政策的风险,尽最大的力量来减小政策的风险。
参考文献:
[1]祁毓,秦小莉,田丹.我国地方政府应对公共风险的财政支出绩效评价及影响 [J].制度经济学研究,2011,01(12):232-253.
[2]邓大松,刘远风. 养老保险中的政府责任——基于风险管理的视角[J]. 公共管理高层论坛,2010,02(10):127-139.
风险评估管理范文4
关键词:信息安全;风险评估;系统设计
中图分类号:G647 文献标志码:A 文章编号:1674-9324(2016)23-0249-02
一、引言
信息时代为国家和个人提供了全新的发展机遇和生活空间,但也带来了新的安全威胁。信息安全的威胁可能来自内部的破坏、外部的攻击、内外勾结的破坏和信息系统自身的意外事故等,因此我们应按照风险管理的思想,对可能的威胁和需要保护的信息资源进行风险分析,以便采取安全措施,妥善应对可能发生的安全风险。信息安全风险评估是依据国家信息安全风险评估有关管理要求和技术标准,对信息系统及由其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。根据ISO27001的管理思想,信息安全风险评估在信息安全管理的PDCA环中是一个很重要的过程,如何处理信息安全风险评估所产生的数据,是每一个信息安全管理者都非常迫切需要解决的一个问题。最好的解决方法是开发出一套实用性强、可操作性高的系统安全风险评估管理工具。
二、风险评估过程
信息安全风险评估系统的设计是针对组织开展信息安全风险评估的过程。这个过程包括对信息系统中的安全风险识别、信息收集、评估和报告等。风险评估的实施过程如下页图1。
1.评估前准备。在风险评估实施前,需要对以下工作进行确定:确定风险评估的目标、确定风险评估的范围、组建风险评估团队、进行系统调研、确定评估依据和方法、制定评估计划和评估方案、获得最高管理者对工作的支持。
2.资产识别。资产识别过程分为资产分类和资产评价两个阶段。资产分类是将单位的信息资产分为实物资产、软件资产、数据资产、人员资产、服务资产和无形资产六类资产进行识别;资产评价是对资产的三个安全属性保密性、可用性及完整性分别等级评价及赋值,经综合评定后,得出资产的价值。
3.威胁识别。威胁识别主要工作是评估者需要从每项识别出的资产出发,找到可能遭受的威胁。识别威胁之后,还需要确定威胁发生的可能性。
4.脆弱性识别。评估者需要从每项识别出的资产和对应的威胁出发,找到可能被利用的脆弱性。识别脆弱性之后,还需要确定弱点可被利用的严重性。
5.已有安全措施确认。在识别脆弱性的同时,评估人员将对已采取的安全措施的有效性进行确认,评估其是否真正地降低了系统的脆弱性,抵御了威胁。
6.风险分析。风险评估中完成资产赋值、威胁评估、脆弱性评估后,在考虑已有安全措施的情况下,利用恰当的方法与工具确定威胁利用资产脆弱性发生安全事件的可能性,并结合资产的安全属性受到破坏后的影响得出信息资产的风险。
三、系统设计
1.用角色设计。系统角色分为三种类型,各用户在登录后自动转入各自的操作页面。A.超级管理员:拥有系统所有权限;B.评估项目管理员:可以对所负责的评估项目进行管理,对评估人员进行分工和权限管理;C.评估人员:负责由项目管理员分配的测评工作,将评估数据导入系统。
2.系统模型。根据信息安全风险评估管理的业务需求,我们构建了以安全知识库为支撑,以风险评估流程为系统主要业务流,以受测业务系统及其相关信息资产的风险评估要素为对象的信息安全风险评估综合管理系统模型,系统模型如图2所示。
3.系统功能设计。信息安全风险评估综合管理系统的功能模块包括:①风险评估项目管理:评估项目管理模块包括评估项目的建立、项目列表、项目设置等功能。主要输入项:项目名称、评估时间、评估对象等;主要输出项:项目计划书。②信息安全需求调研管理:该模块用于用户填写安全调研问卷,为安全评估提供数据支持。主要输入项:用户ID、调查答案;主要输出项:问卷标题、调查题内容。③资产识别。系统提供的资产识别,包括:硬件、软件、数据等,根据业务系统对组织战略的影响程度,对相关资产的重要性进行评价;主要输入项:评估对象(信息资产)、赋值规则;主要输出项:资产识别汇总表、资产识别报告。④威胁识别。威胁识别:系统提供多种网络环境的威胁模板,支持和帮助用户进行威胁识别和分析,并提供资产、脆弱性、威胁自动关联功能:主要输入项:评估对象、赋值规则;主要输出项:威胁识别汇总表、威胁识别报告。⑤脆弱性识别。脆弱性识别:系统可提供多种系统的脆弱性识别功能,包括:主机、数据库、网络设备等对象的脆弱性识别。系统支持常用漏洞扫描软件扫描结果的导入,目前支持的扫描系统有:Nessus、NMap等,主机系统支持:Windows、Linux、Unix等,数据库支持:MSSQL、Oracle等:主要输入项:评估对象、漏洞扫描结果、赋值规则;主要输出项:漏洞扫描报告、脆弱性识别汇总表、脆弱性识别报告。⑥安全措施识别。安全措施识别:系统提供基于技术、管理等方面的安全措施检查功能,帮助用户了解目前的安全状况,找到安全管理问题,确定安全措施的有效性:主要输出项:安全措施识别汇总表、安全措施识别报告。⑦风险分析。系统通过资产评价、脆弱性评价、威胁评价、安全措施有效性评价、风险分析等工作,可自动生成安全风险评估分析报告。主要输入项:评估对象、资产值、脆弱性值、威胁值、安全措施值、计算规则;主要输出项:风险计算汇总表、风险分析报告。⑧评估结果管理。主要功能是对历史记录查询与分析。汇总所有的安全评估结果进行综合分析,并生成各阶段风险评估工作报告,主要包括如下:《资产识别报告》、《漏洞扫描报告》、《威胁识别报告》、《脆弱性识别报告》、《控制措施识别报告》、《风险分析报告》。并可对当期风险评估结果和原始数据进行转存或备份。在有需要时能调出评估历史数据进行查询及风险趋势分析。⑨信息安全知识库更新维护。信息安全知识库的更新维护主要对象有:系统漏洞库、安全威胁库、安全脆弱点库、控制措施库。为避免造成数据的冗余,系统将在各评估项目中需要反复使用的数据归入基础数据库进行管理,在进行评估活动时再从基础库提取有关数据,这样也能减少重复的输入工作。⑩数据接口。导入数据接口:资产库、脆弱点库、威胁库、控制措施库。支持以下常用的格式:如EXCEL文件等;常用的漏洞扫描工具:如绿盟、启明星辰、NESSUS、NMAP等。
四、结束语
该系统设计是以信息安全风险评估工作流程为基础,进行信息安全评估项目管理、风险要素数据收集与辅助风险分析的系统,在实际风险管理过程中,可引入了质量管理理念――PDCA循环,即通过监控每一阶段的信息系统风险情况,及时发现问题,不断调整风险控制工作计划,从而实现信息安全风险管理的工作目标。
参考文献
风险评估管理范文5
关键词:资产评估;风险管理;对策
中图分类号:F123.7 文献标识码:A 文章编号:1001-828X(2014)03-0-01
一、资产评估风险
资产评估风险就是评估人员因为主客观原因在资产评估时对资产的价值区间和它的实际价值没有进行科学评估,由此产生较大的偏离。外部风险、内部风险是形成资产评估风险的两个主要方面。风险识别、风险预测、风险评价等风险管理流程是资产评估的基本要素,用不同的方式来控制资产评估活动中的风险,并把资产评估风险控制在可接受范围,这就是资产评估风险管理。评估机构在开展业务的时候会认真识别可能遇到的各种风险因素,以便于评估者能够认识到资产评估所处的风险环境。评估者的专业判断能力是风险预测和评价的主要影响因素。
二、资产评估风险的产生的原因
(一)主观性的评估执业造成的风险
进行评估业务的评估师是专家职业,有着很浓厚的主观判断色彩。不过,要真正独立而客观地进行主观评估对于评估师来说,这和评估的客观要求是有一定的冲突的。要是我们对这个矛盾的认识不清楚,评估师的业务工作和评估机构就会出现管理风险。我们可以将资产评估看做是智力性的中介服务行业。评估师执业既要符合国家的法律政策,又要遵循评估行业的评估准则,评估师的主观判断是相当重要的。每个评估师在对相同的资产进行评估的时候所得出的结论都是不尽相同的。评估师的评估判断会受到他的专业知识、工作经历、社会关键等因素的影响。评估师的个人喜好和情绪等心理调节也会对评估对象的专业判断产生影响。
(二)独立性的资产评估造成的风险
独立性的资产评估要求不应该干扰评估报告的发表,资产评估的独立性的影响因素并不是单一的。当前,评估机构和客户间往往会因为委托收费制度而出现利益关系,评估师的独立性就会受到这种利益关系的影响。从当前的体制来看,委托单位通过能够决定评估机构的聘用和解聘,委托单位支付评估费用。因此处于较为弱势地位的评估师和评估机构。评估师往往会根据客户的喜好来发表评估意见,这种待遇利益目的的冬季使得评估机构经过会向客户妥协,尤其是当评估机构觉得可以化解风险的时候。评估行业存在着激烈的竞争,这种竞争程度和资产评估失误出现的惩罚程度都会使得评估师的公正立场受到影响。
(三)滞后的评估规则效力造成的风险
要想谨慎地进行资产评估就应该根据资产评估准则来严格实施,做到评估师的义务和责任的统一。不过因为社会在不断地发展,评估准则的制定通常比较滞后,由此给资产评估师的工作带来了一定的困难。因为当前的资产评估准则和社会发展要求并不总是同步,所以就算按照审计准则来进行评估,也不一定能做到尽善尽美,故而资产评估在卷入法律诉讼案件时其处境还是比较被动的。原因在于法院的判案经常会根据当下的社会发展要求来决定,而资产评估准则又之后与社会的发展,风险也就由此产生。
三、资产评估风险的管理对策
(一)科学构建资产评估准则体系
当前,由于资产评估行业还缺乏完善的资产评估准则体系,使得评估工作没有同意的规范作为依据。因此,我们应该多学习和借鉴国外评估行业的好的评估方法和理论,并根据我国的实际情况来制定适应的资产评估准则体系。在这个体系制定中,应该考虑到四个方面:技术、职业道德、质量控制、继续教育。全面规范评估机构和评估师的行业行为。资产评估准则体系的建立要具有实用性和科学性,要符合经济发展的要求。另外,还应该考虑到灵活性、普遍性、稳定性、针对性,这个体系不但要能够对整个评估活动适用,还能够具体解决某个方面的问题,帮助评估师在准则范围内科学进行专业判断,让他们尽量少受主观评估的影响。
(二)增强资产评估独立性
资产评估的独立性主要受两方面因素的影响:一是利用关系方的诱惑程度,二是评估机构因缺乏独立性而受到的惩罚程度。因而可以通过建立资产评估协会来加强资产评估的独立性,赋予其权威性,并做好行业监督。评估机构和客户的利益关系因为档期的委托收费制度而超过了评估机构和资产评估方的关系。评估协会要改变这种不平衡的三方关系,首先就要对当前的委托收费制度进行改变,构建资产评估需求方、资产评估委托人共同付费聘用评估机构的新机制。另外,要进一步监督低价揽客行为,抵制消极竞争。对于那些违反规定的评估机构,评估协会应该加大惩罚力度,以此来避免对资产独立性的损害。
(三)加强评估人员整体综合素质教育
评估结果的质量会都到评估师的综合素质的影响。要提高评估师的综合素质就应该采取切实可行的措施。具体来说,一是要规范评估师的执业行为。建立更为科学而规范的技术准则,提高评估结果的质量,且要对评估师灌输执业风险意识和质量意识。评估师不应该接受超出自己能力范围的项目,不能不经过实地勘察和分析就给出项目评估报告。要认真根据评估准则来评估具体项目,评估报告撰写需仔细,对风险进行有效规避。二是要对评估师进行道德素质教育,通过职业道德教育宣传来规范资产评估师的职业道德行为,制定相关的法律法规,对违法犯罪行为要进行严格的处罚。三是加强继续教育。要想提高评估师的整体水平,就应该构建科学的资产评估职业教育培训机制,用科学有效的培训方案来加强评估师的继续教育,并将之法律化和制度化。继续教育应该要有系统性和科学性,让评估师能够长期接受良好的教育,从而提高资产评估结果的质量。
四、结语
我国的资产评估工作发展较晚,风险管理经验还不成熟。相关的资产评估法律法规建设也比较滞后。当前,我国还没有完善的资产评估准则和资产评估师法律。评估风险因为法律环境的不完善而增大了。所以,评估机构和评估师要特别注意增强风险防范意识,有效地规避风险管理可降低风险发生的概率和程度。所以,评估机构建立执业风险保障制度是评估机构抵御风险,保障其可持续发展的有效方式。
参考文献:
[1]谭,尉京红.资产评估行业发展及展望[J].集团经济研究,2007(01).
风险评估管理范文6
关键词 雷击风险评估;管理系统;系统开发;雷击风险评估工具
中图分类号P429 文献标识码A 文章编号 1674-6708(2011)41-0053-02
0 引言
国外已逐渐形成一套完整的雷击风险评估体系,制定了多项防雷技术标准和评估方法。在美、英、德等多国也都开发出了相应的雷击风险评估系统。但这些风险评估系统参考的标准技术方法比较复杂,结构庞大,而且大都建立在国外防雷工作经验基础上,没有能考虑到中国广袤大地的情况差异以及中国的国情,因此其体系和相应的评估系统只能被我们借鉴参考、学习,不适宜完全照抄照搬或全盘引用。目前在国内符合国家标准和评估规范的评估系统相对缺少尚且不够成熟。
《雷击风险评估管理系统》遵循最新颁布的雷击风险评估规范――《雷电防护第2部分:风险管理》GB/T 21714.2-2008 ,采用C#语言,结合国家气象局已组建的闪电监测预警网、谷歌GPS卫星定位地图等系统,建立起一套完善的雷击风险评估管理系统。该系统能实现雷击风险评估过程科学化、计算过程自动化、计算结果客观化。界面简洁、操作简单的系统,统一化的评估技术报告不仅提高了雷击风险评估工作的效率,还利于在各地区开展雷电风险评估工作。雷电风险评估系统的先进性和技术报告的严密科学性可以在全国范围内推广。
1 雷击风险评估管理系统功能模块和主要功能说明
《雷击风险评估管理系统》遵循规范的基础,结合实际风险评估工作的业务流程和特点设计,整个系统划分为方案管理、系统工具、文档管理、用户管理4个主要模块。
1.1 方案管理
1)原始评估记录:用户将要进行风险评估的对象的具体勘测数据如实记录入系统。对评估对象建立相应存储空间,并在需要时调出这些数据作为评估、对比等用途;
2)方案设计:对一个项目进行多种类型的风险评估,如单独对人身伤亡损失风险R1、公众服务损失风险R2、文化遗产损失风险R3、经济损失风险R4 进行评估,也可以对其任何一种组合进行风险评估;
3)效益分析:自动化生成的风险分量百分比的表格,各种风险所占总风险的百分比一目了然;提供了多种(最多3种)防雷整改方案的评估,并与原始评估结果对比,智能经济损失风险评估,自动判断采取的防雷整改方案是否合理。
1.2 系统工具
1)GPS定位地图:连接Internet,轻松找到被评估对象经纬度;
2)中国雷电监测预警网:多种方式实时查询全国各地雷电状态,显示详细的雷电资料和密度分布图;
3)中国防雷资料网:评估过程中随时查到所需技术资料;
4)雷电资料导入:将国家雷电监测预警网实时雷电资料数据导入系统;
5)字典维护:对风险评估过程涉及参数进行维护;
6)数据库维护:对当前系统所连接的数据进行备份或恢复操作。
1.3 文档管理
1)雷击风险评估报告模板:雷击风险评估报告模板;
2)雷击风险评估协议书 :雷击风险评估协议书。
1.4 用户管理
1)系统登录模块:负责验证各种用户身份,根据不同的用户权限决定其管理内容;
2)权限设置模块:此模块只有管理员才有权限,管理员可以根据情况对各栏目的属性进行基本的设置。
2 雷击风险评估管理系统的的实现技术
2.1 Client/Server 模式
C/S模式又称为客户机/服务器模式,是90 年展起来的一种主/从结构的分布式处理环境,它的特点是将应用分解为两部分:客户进程(Client Process)和服务进程(Server Process),即前台和后台。客户进程与用户打交道,一般运行在Microsoft Windows提供的GUI (Graphic Unit Interface)下;服务进程与数据库打交道,一般通过SQL(Structured Query Language)查询语言实现,前端是对用户的界面,后端是对数据库的处理。这种对信息分布式处理的模式大大减少了网间数据的传输量,处理速度快,并能高效实现资源共享。其结构如下:采用Client/Server 结构,Client 端只要将请求发给Server 端,而Server端在处理完请求之后,只是把结果返回给Client 端。实际上在网络传输的只有SQL 语句和结果数据。同时,Client 负责友好的界面与用户交互。而Server 专门负责数据库的操作、维护,提高了整个系统的吞吐量和响应时间。
2.2 数据管理系统SQL Server2005
Microsoft SQL Server2005 是由一系列相互协作的组件构成,能满足最大的Web 站点和企业数据处理系统存储和分析数据的需要。SQL Server2005 的客户/服务器提供了许多传统主机数据库所没有的先进功能。数据访问并局限于某些已有的主机数据应用程序。SQLServer2005 的一个主要优点就是与主流客户服务器开发工具和桌面应用程序紧密集成。可以使用许多方法访问SQL Server2005 数据库。
SQL Server数据库体系结构的核心是服务器,即数据库引擎。SQL Server 数据库引擎负责处理到达的数据库请求,并把相应的结果反馈给客户端系统。SQL Server 充分利用了可设置优先权的多任务、虚拟内存和异步I/O 功能。SQL Server 数据库引擎可在多线程内核上创建,这样在处理多个事务的时候可获得较高的性能。它包括的支持开发的引擎、标准的SQL语言、扩展的特性(如复制、OLAP、分析)等功能,以及像存储过程、触发器等特性。
SQL Server2005 数据库系统的服务器负责创建和维护表和索引等数据库对象,确保数据完整性和安全性,能够在出现各种错误时恢复数据。SQL Server2005 的客户端可完成所有的用户交互操作,将数据从服务器检索出来后生成副本,以便在本地保留,也可以进行操作。
由于SQL Server200_5 的强大功能,特别是其全文检索功能,支持从纯文本到二进制数据的检索,如 WORD 文档、EXCEL 电子表格等等,其文本性数据类型支持量相当庞大,因此系统中主要利用SQL Server 进行文本保存,方便查询和检索,同时为进一步扩展其功能奠定基础。
2.3 面向对象系统开发方法
面向对象(OO,Object Oriented)的系统开发方法,是近年来受到关注的一种系统开发方法。面向对象的系统开发方法的基本思想是将客观世界抽象地看成是若干相互联系的对象,然后根据对象和方法的特性研制出一套软件工具使之能够映射为计算机软件系统结构模型和进程,从而实现信息系统的开发。
3 结论
《雷击风险评估管理系统》的设计遵循最新颁布的雷击风险评估规范,结合评估工作的业务流程和特点,依据被评估对象的数据自动计算出评测结果,并提供多种措施方案对比可对其进行经济效益评估,以表格和柱形等多种形式图表的形式辅助用户做出最符合实际的方案决策。本系统操作简单、界面友好。系统实现雷击风险评估过程科学化、计算过程自动化、计算结果客观化。界面简洁、操作简单的系统,具有较强的实用性与通用性。
统一化的评估技术报告不仅提高了雷击风险评估工作的效率,还利于在各地区开展雷电风险评估工作。本系统的开发拓展了雷电防护应用技术的领域,项目完成并推广以后会提高本地区防雷中心科技服务水平,并对提高经济效益起到很大的推动作用。
参考文献
[1]GB 50057-94 建筑物防雷设计规范[S].
[2]GB 50343-2004 建筑物电子信息系统防雷技术规范[S].
[3]DB50/214-2006 雷电灾害风险评佑技术规范[S].
[4][美]Greg Riccardi.数据库系统原理[M].清华大学出版社,2002,11.
[5]李岩,张瑞雪.SQL Server 2005实用教程[M].清华大学出版社,2008,9.
[6]古乐,史九林.软件测试案例与实践教程[M].清华大学出版社,2007,2.
[7]刘波.信息管理系统中数据库安全实现方法[J].计算机应用,2005(10):77-78.
[8]刘志成.SQL Server 2005实例教程[M].电子工业出版社,2008,2.
