发布时间:2023-03-13 11:17:03
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的安全风险评估论文样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
1.1需求分析
通过德尔菲法、访谈法、SWOT分析等风险管理技术,向学院各职能部门和其它渠道收集风险信息,分类总结,然后列出风险系统开发的大功能模块,每个大功能模块有哪些小功能模块;描述实现具体模块所涉及到的主要算法、数据结构、类的层次结构及调用关系,需要说明软件系统各个层次中每个模块或子程序的设计考虑,以便进行编码测试。系统平台可以实现以下功能:自动输出风险评估报告和建议报告,有效监控预防风险;对风险进行定量分析,实现以图表直观形式输出显示,并展示相应的数据指标;用户以个人账户或部门账户,登录到风险评估输入列表,选择相应的职能部门、行业类型、风险级别指标、以问答的形式选择相应的内置风险条目,根据登陆权限,可自拟增加、删除风险条目;可实现日常工作重要环节和重点风险过程的时间提醒功能,通过手机短信或网页提示窗提示等手段,提醒重点工作的正常开展,防范工作疏忽引起的风险;风险级别指标制定,可参考相应的国家或行业标准,也可自拟;系统平台内有评估标准,根据评估标准设计评估模型,利用评估模型对风险评估报告进行评估,得出评估结果供风险决策者参考;校领导和各职能部门负责人可根据管理权限查询相应的风险数据;B/S架构,实现新闻即时,可及时更新各高校风险管理中的经验交流文章、理论知识。
1.2程序编码实现
开始具体的编写程序工作,分别实现各模块的功能,从而实现对目标系统的功能、性能、接口、界面等方面的要求;开发过程中,边开发边测试,系统完工后,通过内部外部测试、模块测试、整体联调等测试方法,验证系统的整体稳定性,不断完善。
1.3具体应用
软件开发完成,做成相关的技术文档,系统上线;在具体应用中发现问题及时登记到问题记录册,反馈到开发人员,为以后的系统平台升级提供依据。
2平台功能模块
信息安全风险评估平台的开发环境为/MSSQL,基于SOA软件系统架构解决学院各信息系统集成,通过PDCA循环模型具体实施。信息安全风险评估系统平台建设主要包括评估公告、用户管理、指标设置、综合评估、综合查询、报表系统,数据导出七大模块。
2.1评估公告模块
评估公告模块实现新闻即时,可及时更新各高校风险管理中的经验交流文章、理论知识;可实现日常工作重要环节和重点风险过程的时间提醒功能,提醒重点工作的正常开展,防范工作疏忽引起的信息系统风险。
2.2用户管理模块
用户管理模块的功能是管理用户信息,主要包括用户的用户名、密码和权限,同时支持显示所有注册用户信息和删除用户功能;模块可以添加系统管理员、评估人和评估单位,评估人员可以设置不同的权限,限制评估范围;用户以个人账户或部门账户,登录到风险评估输入列表,选择相应的职能部门、行业类型、风险级别指标、以问答的形式选择相应的内置风险条目;不同的用户登录系统显示的模块不一样,根据登陆权限,可自拟增加、删除风险条目。
3.3指标设置模块
指标设置模块主要是依据国家有关信息安全风险评估指标,实现信息系统风险评估的指标体系设置,划分两级指标细化评估体系,一级指标划分为信息资产、威胁性、脆弱性,二级指标从硬件、软件、风险识别等细化指标体系;实现指标库的设置,可以分配不同的被评估单位相应的评价指标。
2.4综合评估模块
综合评估模块包括评估列表、评估历史。评估列表显示所有被评估单位,某一单位用户登录以后,系统自动调用相应的指标库,回答相应的信息系统安全问题,系统自动给出指标分数;评估历史是不同的账户登录,显示的列表不同,管理员能查询所有的用户评估历史,单位用户只能查询本系部的评估历史。
2.5综合查询模块
综合查询模块实现不同单位评估次数、评估成绩、各评估对象不同时间段等的评估查询。
2.6报表系统模块
报表模块实现了不同单位评估次数、评估成绩、各评估对象的柱状图的形式直观展示。
2.7数据导出模块
数据导出模块实现了评估单位当前总成绩或历史评估成绩的数据导出功能,支持PDF、Word、Excel文档格式。
3系统评估操作流程
系统管理员首先在系统后台对不同的用户设置相应的评估指标库;用户通过用户名和密码登录系统后台;登录成功后系统会自动调用相应的评价指标,用户回答相应的问题;回答结束后,用户点击提交,系统自动给出相应的评估分值;用户打印或存储评估数据报告。
4平台应用效果
4.1为我国高校的信息系统风险预防和应急处理提供建设性的意见
目前关于我国高校风险评估研究的大多停留在某些具体领域,主要是对宏观风险管理和财务风险状况进行探讨,对信息系统安全的研究较少。信息安全风险评估系统平台对高校信息安全风险进行定量分析评估,为我国高校信息系统风险评估提供了一个重要平台,为高校的信息系统风险预防和应急处理提供一些建设性的意见。
4.2为高校各级信息系统管理者提供了处理信息系统
风险的决策依据系统实现各级信息系统管理者可实时查询部门风险评估,针对高校日常管理中可能面临的各类信息系统安全风险、建议应对措施、突发事件、应急预案、法律法规等相关风险管理文档查询,为科学决策提供依据。
4.3信息系统安全风险处理更迅速
信息系统安全风险评估平台与学院网络安全教育平台、运维网站数据整合,当网络遭受攻击、病毒肆虐时,能第一时间获得相关信息,为快速解决信息系统安全风险创造了条件。
4.4提高了全校师生网络安全防范和参与意识
通过信息系统安全风险评估平台,全院师生提高了网络安全防范和参与意识,为河南牧业经济学院网络信息化建设出谋划策,促进学校领导和有关职能部门制定和完善网络有关管理制度。
4.5规范了全校师生的上网行为,减少了网络攻击
全校师生通过平台了解学校网络管理相关制度和管理方式,认识到自己的上网行为在学校监督管理中,从而自觉规范自身的上网行为。平台为引导师生正确使用网络、规避风险,保障校园网网络良好正常运转起到了积极的作用。通过信息系统风险评估的漏洞查找,各系部加强了网络安全知识普及、全员参与、相关规章制度的约束,一直困扰我院网管人员的网络非法攻击,特别是破坏后果更难预测的内部网络攻击得到了有效的遏制。
5结束语
关键词:物流外包,人性假设,风险评估
1.引言
随着社会分工的进一步细化和第三方物流产业的逐渐成熟,物流外包逐步被市场认可。 而在经济全球化的今天,许多企业在面临残酷的市场环境时,也都纷纷采取了致力发展核心 业务,并将非核心业务外包给第三方物流企业的竞争策略。
所谓物流外包,即企业为集中有限资源、增强核心竞争力,将其物流业务以合同的方式 委托第三方物流公司执行。其主要任务是节约物流成本,提高服务水平。然而,由于合同双方信息不对称,物流外包在给企业带来利益的同时,也可能造成企业的损失。比如,凯玛特在与沃尔玛的竞争中败下阵来,一个重要的原因是因为物流外包后失去了对物流的控制。
目前企业界和学术界对物流外包风险的存在都有着清晰的认识,但是在物流外包风险评估方面的研究还很有限。1993 年,Muller 率先探讨了第三方物流的成因和特征[1];2003 年, Chuanxu WangAmelia c.Regan 提出物流外包风险分为四种:财务风险、冲突风险、市场风险和管理风险[2];宁云才等运用模糊评价方法对物流外包风险进行了评估[3]。论文参考,风险评估。在企业界,现 有的物流外包风险评估主要依靠企业管理人员的经验和物流外包提供者的信誉保证,主观因 素作用过大,缺乏客观的评估模型。
本文简要阐述了物流外包的作用,粗略分析了物流外包的风险种类,引入管理学中常用的人性假设,以减少由于主观评测而带来的误差,进而提出了评估物流外包风险的结构化模型,提高评估的精确度。
2.物流外包的作用
作为被市场认可的生产组织模式,物流外包对于物流服务的需求者来说,具有重要的作用,具体体现在以下几点:
2.1 着力发展核心业务,保持竞争优势
对于企业来说,资源的有限性往往是制约其发展的主要“瓶颈”。企业如果能将物流业 务外包给专业的第三方物流提供者,就能有足够的资源进行优化配置,将有限的人力、物力和财力集中于核心业务,减少用于物流业务方面的车辆、仓库和人力的投入,从而帮助企业保持竞争优势,获得长期的高额利润。
2.2 减少投资,降低运营成本
由于现在物流领域还处于发展和探索阶段,各种设施、设备及信息系统的投入非常大, 所以,企业通过物流外包可以减少在此类项目的上的巨额投资。此外,作为专门从事物流业务的企业,第三方物流提供者能够利用规模优势,通过提高各环节资源的利用率,实现运营
成本的降低,使企业能从中获益。据估计,通过专业物流进行市场配销,比自行设立配销的
网络节省 20%~30%的成本。论文参考,风险评估。
2.3 树立企业的品牌形象
第三方物流企业受物流外包需求者的委托,从客户的角度出发管理物流业务,利用其拥有的物流信息网络对客户的供应链进行有效的监控,为客户提供安全可靠的信息服务;利用广泛分布的物流配送网络缩短了客户的交货期,为客户提供便捷快速的运送服务;利用高水 准的专业知识和技术,为客户提供合理优化的物流方案设计。以上这些优质服务能够使企业 借助外包的物流业务提升自己的企业形象,在行业中脱颖而出。
2.4 提高企业组织结构的灵活性
通过将物流业务外包给第三方物流公司,企业可以对原有的管理内容进行分割剥离,缩 小管理范围,精简公司机构,以高度应变的扁平式组织结构代替高耸的金字塔状组织结构, 从而提高企业应对市场环境变化的能力,减轻由于规模庞大而带来的组织反应滞后、缺乏创 新性的问题。
3.物流外包的风险
物流外包作为一种新型的生产组织模式,带来的好处显而易见,但是由于合同双方 的企业文化、管理模式不尽相同,并且存在信息不对称的问题,物流外包中隐藏的风险也不容忽视。因此,物流外包企业需要有效地识别外包风险,加强对风险的管理控制,进而达到 尽可能地降低和规避风险。当前企业物流外包面临的风险主要来自以下几个方面[4]:
3.1 管理风险
当企业将物流外包给第三方物流企业后,物流服务提供商将介入企业的采购、生产、分销、售后服务等各个环节,成为企业的物流管理者,使得企业自身对物流部分的控制力下降。 如果双方在协调上出现问题,就可能会导致物流外包企业对第三方物流供应商失去控制,从 而使企业的生产经营活动特别是物流业务受到影响。
3.2 信息风险
企业要将物流外包出去,必须和合作方就从方案设计到货物运输的各项环节进行充分交流和沟通,这牵涉到信息共享的问题。如果外包企业和第三方物流供应商之间缺乏信息共享, 出现信息不对称的问题,则会导致信息失真、反应滞后;如果合作企业之间形成信息共享,则涉及到企业机密的信息可能会被泄露,成为危害企业安全的风险。
3.3 财务风险
企业选择物流外包的一个重要原因是希望降低运营成本,然而,如果长期将物流外包, 可能会使企业缺乏对市场行情的了解,无法精确测算物流成本。这时,即使第三方物流企业 借口成本增加而抬高物流服务的价格,抑或是直接虚报成本,物流外包企业也往往难以及时 察觉,造成成本超支。
3.4 市场风险
企业将物流外包后,减少了与顾客沟通和交流的机会,不能及时获取客户信息,把握市场需求变化,从而影响企业的产品改进或者创新工作。从长远来看,这也会阻碍企业核心业
务与物流活动之间的联系,可能造成客户满意度的降低,损失重要的客户资源,对企业的长
久发展不利。 以上物流外包风险分类仅为大致分类,在实际应用中会加以细分和调整,本文在此不做
赘述,并且假定按照企业实际情况,风险已被有效划分,作为下文论述的前提。
4. 物流外包风险评估模型介绍
本文提出的物流外包风险评估模型是建立在人性假设基础上的,引入了风险概率和风险 重要性的二维坐标系,着重阐述主观判断在风险概率评估上的失真,通过剔除误差部分,提 高衡量物流外包中各项风险的精确度,从而为随后的物流外包决策提供一定的支持。论文参考,风险评估。其基本 步骤如下:
4.1 风险重要性判断
依据各类风险对项目的影响程度,评估其重要性,分为四个等级(见表 1),记为 ki。
表 1 风险重要性等级评估
关键词:多属性群决策;熵权法;TOPSIS;信息安全;风险评估
一、 引言
从20世纪90年代后期起,我国信息化建设得到飞速发展,金融、电力、能源、交通等各种网络及信息系统成为了国家非常重要的基础设施。随着信息化应用的逐渐深入,越来越多领域的业务实施依赖于网络及相应信息系统的稳定而可靠的运行,因此,有效保障国家重要信息系统的安全,加强信息安全风险管理成为国家政治稳定、社会安定、经济有序运行的全局性问题。
信息安全风险评估方法主要分为定性评估方法、定量评估方法和定性与定量相结合的评估方法三大类。定性评估方法的优点是使评估的结论更全面、深刻;缺点是主观性很强,对评估者本身的要求高。典型的定性评估方法有:因素分析法、逻辑分析法、历史比较法、德尔斐法等。定量的评估方法是运用相应的数量指标来对风险进行评估。其优点是用直观数据来表述评估结果,非常清晰,缺点是量化过程中容易将本来复杂的事物简单化。典型的定量分析方法有:聚类分析法、时序模型、回归模型等。定性与定量相结合的评估方法就是将定性分析方法和定量分析方法这两种方法有机结合起来,做到彼此之间扬长避短,使评估结果更加客观、公正。
本文针对风险评估主观性强,要素众多,各因素较难量化等特殊性,将多属性群决策方法引入到风险评估当中。多属性决策方法能够较有效解决多属性问题中权重未知的难题,而群决策方法能较好地综合专家、评估方、被评估方以及其他相关人员的评估意见。该方法可解决风险评估中评估要素属性的权重赋值问题,同时群决策理论的引入可提高风险评估的准确性和客观性。本文用熵权法来确定属性权重,用TOPSIS作为评价模型,对风险集进行排序选择,并运用实例来进行验证分析。
二、 相关理论研究
1. 信息安全风险分析原理。信息安全风险评估是指依据信息安全相关的技术和管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性进行评价的过程。它要对组织资产面临的威胁进行评估以及确定威胁利用脆弱性导致安全事件的可能性,并结合相应安全事件所涉及的资产价值来判定当安全事件发生时对组织会造成的影响。文献中提出了一种改进的风险分析流程及原理,该模型对风险分析基本流程的属性进行了细分,如图1所示。
根据上述原理,总结出信息安全风险评估的基本步骤,可以描述如下: (1)首先调查组织的相关业务,分析识别出组织需要保护的重要资产,以及资产本身存在的脆弱性、面临的威胁,形成风险集。(2)组织各领域专家对风险集中各属性进行评估并赋权值,得到每个风险的属性值。(3)通过一定的算法对所有属性进行综合分析,得到最后的结果,进一步推算出组织面临的风险值。
2. 多属性群决策理论。多属性群决策,是指决策主体是群体的多属性决策。多属性决策是利用已有的决策信息,通过一定的方式对一组(这一组是有限个)备择方案进行排序并选择,群决策是多个决策者根据自己的专业水平、知识面、经验和综合能力等对方案的重要性程度进行评价。在多属性群决策过程中,需要事先确定各专家权重和属性权重,再通过不同集结算法计算各方案的综合属性值,从而对方案进行评价或择优。
3. 熵权法原理。香农在1948年将熵的概念应用到信息领域用来表示信源的不确定性,根据熵的思想,人们在决策中获取信息的数量和质量是提高决策精度和可靠性的重要因素。而熵在应用于不同决策过程的评价时是一个很理想的方法。熵权法是确定多属性决策问题中各属性权系数的一种有效方法。它是利用决策矩阵和各指标的输出熵来确定各指标的权系数。
试考虑一个评估问题,它有m个待评估方案,n个评估属性,(简称m,n评估问题)。先将评估对象的实际状况可以得到初始的决策矩阵R′=(′ij)m×n,′ij为第i个对象在第j个指标上的状态,对R′进行标准化处理,得到标准状态矩阵:R=(ij)m×n,用M={1,2,…,m}表示方案的下标集,用 N={1,2,…,n}表示属性的下标集,以下同。其中,当评估属性取值越大越好,即为效益型数据时:
ij=(1)
当评估属性取值越小越好,即为成本型数据时:
ij=(2)
(1)评估属性的熵:
Hj=-kij×lnij j∈N(3)
其中ij=ij/ij k=1/lnm,并假定,当ij=0时,ijlnij=0,Hj越大,事件的不确定性越大,Hj越小,事件的不确定性越小。
(2)评估属性的熵权:在(m,n)评估问题中,第j个评估属性的熵权j定义为:
j=(1-Hj)/(n-Hj),j∈N,显然0j1且j=1
3. TOPSIS方法。TOPSIS(Technique for Order Preference by Similarity to Ideal Solution)法是一种逼近理想解的排序方法,适用于多属性决策中方案的排序和优选问题,它的基本原理描述如下:(1)界定理想解和负理想解,(2)以各方案与“理想解”和“负理想解”的欧氏距离作为排序标准,寻找距“理想解”的欧氏距离最小,(3)距“负理想解”的欧氏距离最大的方案作为最优方案。理想解是一个方案集中虚拟的最佳方案,它的每个属性值都是决策矩阵中该属性的最好的值;而负理想解则是虚拟的最差方案,它的每个属性值都是决策矩阵中该属性的最差的值。最优方案是通过需要评估的方案与理想解和负理想解之间的欧氏距离构造的接近度指标来进行判断的。假设决策矩阵R=(ij)m×n已进行过标准化处理。具体步骤如下:
(1)构造加权标准状态矩阵X=(xij),其中:xij=j×ij,i∈M;j∈N,j为第j个属性的权重;xij为标准状态矩阵的元素。
(2)确定理想解x+和负理想解x-。设理想解x+的第j个属性值为x+j,负理想解x-的第j个属性值位x-j,则
x+j={xij|j∈J1)),xij|j∈J2)}
x-j={xij|j∈J1)),xij|j∈J2)}
J1为效益型指标,J2为成本型指标。
(3)计算各方案到理想解的Euclid距离di+与负理想解的距离di-
di+=;di-=;i∈M
(4)计算各方案的接近度C+i,并按照其大小排列方案的优劣次序。其中
C+i=,i∈M
三、 基于TOPSIS的多属性群决策信息安全风险评估模型
1. 方法的采用。本文将基于TOPSIS的多属性群决策方法应用于信息安全风险评估中,有以下几点考虑:
(1)组织成本问题。组织需要对分析出来的风险严重程度进行排序比较,从而利用有限的成本将风险控制到适当范围内。因此,组织可以将被评估方所面临的风险集,看作是决策问题中的方案集,决策目的就是要衡量各风险值的大小及其排序,从中找出最需要控制的风险。
(2)风险评估中的复杂性问题。风险评估的复杂性,适合用多属性群决策方法来解决。如图1所示,信息安全风险评估中涉及多个评估指标,通过评估指标u1,u2,…,u7的取值来计算风险值z。风险值z的计算适用于多属性决策的方法。而由于风险评估的复杂性和主观依赖性决定了风险评估需要综合多人的智慧,因此风险评估的决策者在各方面优势互补,实现群决策的优势。
2. 评估过程。
(1)构造决策矩阵,并将决策矩阵标准化为R=(ij)m×n,由于风险评估属性都是成本型属性,所以用公式(2)标准化。
(2)专家dk权重的确定。为确定专家权重,由风险评估负责人构造专家判断矩阵,假设共有r个专家,Eij表示第i位专家对第j专家的相对重要性,利用Saaty(1980)给出了属性间相对重要性等级表,计算判断矩阵的特征向量,即可得到专家的主观权重:=(1,2,3,…,r)。
(3)指标权重的确定。指标权重由熵权法确定,得到专家dk各指标权重(k)=(1(k),2(k),3(k),…,n(k))。
(4)利用属性权重对决策矩阵R(k)进行加权,得到属性加权规范化决策矩阵X(k)=(xij(k))m×n,其中,xij(k)=ij(k)·j(k),i∈M;j∈N。
(5)利用加权算术平均(WAA)算子将不同决策者的加权规范矩阵X(k)集结合成,得到综合加权规范化矩阵X=(xij)m×n,其中xij=xij(k)k。
(6)在综合加权规范化矩阵X=(xij)m×n中寻找理想解x+=(x1+,x2+,…,xn+) 和负理想解x-=(x1-,x2-,…,xn-), 因为风险评估属性类型为成本型,故x+j=xij,x-j=xij,j∈N。
(7)计算各风险集分别与正理想解的Euclid距离di+和di-。
(8)计算各风险集的接近度C+i,按照C+i的降序排列风险集的大小顺序。
四、 实例分析
1. 假设条件。为了计算上的方便,本文作以下假设:
(1)假设共有两个资产,资产A1,A2。
(2)资产A1面临2个主要威胁T1和T2,资产A2面临1个主要威胁T3。
(3)威胁T1可以利用资产A1存在的1个脆弱性V1,分别形成风险X1(A1,V1,T1);威胁T2可以利用资产A1存在的1个脆弱性V2,形成风险X2(A1,V2,T2);威胁T3可以利用资产A2存在的1个脆弱性V3,形成风险X3(A2,V3,T3)。以上假设条件参照文献“7”。
(4)参与风险评估的人员来自不同领域的专家3名,分别是行业专家d1,评估人员d2和组织管理者d3,系统所面临的风险已知,分别是X1,X2,X3。
2. 信息安全风险评估。
(1)构造决策矩阵。如表1,决策属性为u1,u2,…,u7,决策者d1,d2,d3依据这些指标对三个风险X1,X2,X3进行评估给出的风险值(范围从1~5)。
(2)决策矩阵规范化,由于上述数值属成本型,用公式(2)进行标准化。
(3)专家权重的确定,评估负责人给出3个专家的判断矩阵。
计算出各专家权重=(0.717,0.201,0.082),最大特征值为3.054 2,C.I=0.027,R.I=0.58,C.R=0.0470.1,判断矩阵满足一致性检验。
(3)指标权重的确定
w1=(0.193,0.090,0.152,0.028,0.255,0.090,0.193)
w2=(0.024,0.312,0.024,0.223,0.024,0.168,0.223)
w3=(0.024,0.024,0.312,0.168,0.168,0.223,0.079)
(4)得到综合加权规范矩阵X
X=0.072 0.017 0.084 0.023 0.146 0.101 0.1070.072 0.017 0.084 0.039 0.006 0.045 0.0710.072 0.080 0.063 0.013 0.047 0.047 0.026
(5)求出理想解x+=(0.002,0.017,0.063,0.013,0.006,0.045,0.026) 负理想解x-=(0.072,0.080,0.084,0.039,0.146,0.101,0.107)。
(6)计算d+i、d-i和C+i及对结果排序,见表5。
从排序结果可以看出,风险大小依次为X3X2X1,因此,组织要按此顺序根据企业的经济实力加强风险控制。与参考文献“8”中的风险计算方法比较,提高了风险计算的准确性。
五、 结论
通过对信息安全风险评估特点分析,将多属性群决策用于信息安全风险评估当中,多属性群决策中最重要的就是权重的确定,本文对专家权重采用两两成对比较矩阵来获得,对属性权重采用熵权法来确定,最后采用TOPSIS方法进行结果的排序和选择。这种方法可以从一定程度上消除专家主观因素的影响,提高信息安全风险评估的准确性,为信息系统安全风险评估提供一种研究新思路。
参考文献:
1.赵亮.信息系统安全评估理论及其群决策方法研究.上海交通大学博士论文,2011.
2.中国国家标准化管理委员会.GB/T20984-2007信息安全技术信息安全风险评估规范,2007.
3.陈晓军.多属性决策方法及其在供应商选择上的应用研究.合肥工业大学硕士论文,2008.
4.周辉仁,郑丕谔,秦万峰等.基于熵权与离差最大化的多属性群决策方法.软科学,2008,22(3).
5.管述学,庄宇.熵权TOPSIS模型在商业银行信用风险评估中的应用.情报杂志,2008,(12).
6.郭凯红,李文立.权重信息未知情况下的多属性群决策方法及其拓展.中国管理科学,2011,19(5).
7.唐作其,陈选文等.多属性群决策理论信息安全风险评估方法研究.计算机工程与应用,2011,47(15).
8. 中国国家标准化管理委员会.GB/T20984-2007信息安全技术信息安全风险评估规范.北京:中国标准出版社,2007.
基金项目:国家自然科学基金资助项目(项目号:60970143,70872120);教育部科学技术研究基金资助重点项目(项目号:109016)。
关键词:高校;体育教学;风险评估
1 前言
体育运动本身具有较强的竞争性和对抗性,学校体育教学活动所面对的体育教学风险,是在体育教学活动中出现的动作行为上、意识上、思想上的风险。由于其产生的事故责任、赔偿可能性和法律纠纷等问题,其管理目标限定在减少体育活动伤害事故以促进学生的全面发展方面。高校体育教学风险存在时间较久,近几年问题凸显,其根源一方面在于应试教育的重智轻体,导致近几年我国学生体质连续下降,再加上学校体育管理模式的落后,使大学生体育活动安全事故增多。由此,在高校中体育教学活动进行风险评估是十分有必要的。
2 体育教学风险评估理论的内涵
2.1体育教学风险评估理论的发展
许多学者的研究成果中对于风险评估理论的分析,存在着不同的见解,而对于评估的操作环节也持有不同的观点。这样使得风险评估没有一个完整的理论作为支撑,造成了理论与实践相脱节,也就导致了研究推进缓慢的结果。
通过查阅有关风险评估的文献,我们可以看出类似于这样研究的文章很多。但是,深入研究后发现,目前的研究只停留在表层的研究中,而高校体育教学中存在的风险,如何去正确评估的研究还很不完善。可以说高校体育教学中风险存在由来已久,认真地分析和定位才能够准确找出风险发生的缘由,进而加以预防,因此,此类研究还须进一步加强。
2.2高校体育教学过程中的风险
现在的高校体育教学工作仅仅局限于以风险危害安全为主要的任务,缺少追求学生全面发展的积极性和主动性。所以,我们要转变体育教学的思想观念,要对体育教学理论进行深入的研究,特别是要针对高校体育教学风险存在进行深刻认识,把运动伤害事故转化为风险的收益。通过这种认识将使高校体育教学质量得到很好的提高,还能为人类的身体健康、愉快的工作、提高身体素质、改进体育教学方法手段以及为体育教学的顺利进行提供理论保障。
2.3体育教学风险的评估
风险评估,即安全评估,通过综合考虑风险产生的概率和风险发生后的损失程度及其他相关因素来估算出风险发生的可能性和风险程度。基于发生的损失数据,运用概率论和数理统计的方法,对某一(或几个)特定风险事故发生的概率(或频数)和风险事故发生后可能造成损失的严重程度做定量分析。
3 高校体育教学过程中风险评估的实施策略
3.1高校体育教学风险评估的体系
高校体育教学风险评估是由上述主要因素形成的一套完整的风险评估体系。全国高校体育教学风险评估是为了评估出主要存在因素,根据评估出来的要素来研究如何评估,评估实施过程要合理,要有针对性。
3.1.1评估的目标
风险评估有了目标,才能选择评估什么内容,才能确定风险评估人选,决策评估的合理时间,并运用最好的评估方法和手段。高校体育教学风险评估目标是:提高高校体育教学风险评估水平,加强高校体育教学风险评估效益,使高校体育教学风险评估呈现良好的运行模式。
3.1.2风险评估的对象
风险评估的活动者即为风险评估的客体。要对风险评估的个体活动进行评估,也要看活动过程是否按照相关的要求进行,对课题评估的结果是否准确无误。一方面要考虑高校体育教学风险评估有法可依,另一方面要考虑评估的结果对教师、学生、学校等方面存在风险的程度大小,风险存在的影响是利是弊。
3.1.3评估权重的设置
评估权重设置要根据高校体育教学评估的侧重点不同,评估主体首先设置学校在风险评估中风险指标体系风险量的大小。评估主体预先设定的各单个指标分值占指标体系分值的比重。因为高校体育教学风险评估的主体构成的不同,高校体育教学风险评估的预先设置的目标大不一样,所以评估指标的方向也会有所变化。高校体育教学风险评估的主体不同,评估指标的设置也不能完全固定,由实际操作者对主体的不同进行预先的设置。
3.2高校体育教学风险评估模型
风险评估模型是对风险评估的重要环节,它的建构基础是在一定的评估层次和风险评估指标体系的前提下,结合相应的分析理论和统计学学科知识,逐步搭建的评估体育教学风险的模型。
3.2.1设定风险评估指标权重
本文选择层次分析法来确定高校体育教学风险评估指标的权重。本模型采用1至9标度法,请有关专家填写判断矩阵。假设建立的判断矩阵为B=(CKL)P×P,其中CKL表示对于上一层元素而言 BC对 BK的相对重要性指数。建立了判断矩阵以后,就要对判断矩阵分别单排序并进行一致性检验。
第一,明确单个排列的权重。评估体系里的多个指标权重,可以运用和积法进行换算。
第二,得出结果要对其是否一致进行检验。
第三,计算层次总排序。
3.2.2模糊综合评估过程的实施
在一定条件下,对于模糊综合评估过程,通常运用一些有关的高等数学理论和一些科学的分析方法进行研究分析。最后,根据得到的评估结果分析整个评估过程,具体操作如下:确立评估指标和要素,规范评估行为;明确有关于风险评估的定语;预设风险要素体系权重向量;确定风险要素的隶属度矩阵R;多层次模糊综合评判。
3.3高校体育教学风险评估的运行
3.3.1评估方法的确立
帕累托分析法是根据评估分析内容制定方针应使用帕累托分析法,针对不同形式、不同类别开展排列分组,根据内容标注出主要因素和次要因素,再根据主要因素和次要因素制定行动路线。
收集数据。按分析对象和分析内容,根据分析对象和分析的内容开展材料整理,最终以要点的要求进行整理。
数据处理。根据要点的要求、性质分别对资料分析处理,分析面广且包含内容多,如:累计数值到什么程度、数值所占比例。
根据数据处理的结果制表分析。
3.3.2评估过程
体育教学风险评估的过程包括:确定目标、收集信息、分析信息、得出结论。
确定目标:体育教学风险评估先制定最终预想结果,根据预想结果制定策略、方针、整体思路,合理有效地利用资源,选择合理路线。
资料整理:预想效果制定后,根据要求分析数据、取其精华,利用合理方法有针对性地进行整理。采用方法可用多元化的实地考察。
预期效果:数据进一步研究后,制定预期效果,并获取相关数据,并将相关结果对外告知他人。
3.3高校风险评估的要求
评估要求的立足点根据多元化的形式探讨风险评估,因需求不同采取方式就不同。多元化的因素取决于那个主体对象是制作者还是使用者;想要关注实施过程还是所要效果或是对其的力度面,都要仔细思考。
第一,应具有高风亮节的精神、严谨求实的作风,优良的团队,这几项是风险评估的重点要求;
第二,理论联系实际,从实践中更好地理解理论知识,提高自身素质,多与他人沟通交流,不断提升自己,使自己综合素质得到提升。
第三,选取的课本应适用现代教学目标,可选用多种类型的课本适合体育教学大纲等,使学生更好地获得知识,提升综合素质以适应社会发展。
最后,验证真理的唯一标准就是通过实践,首先要素是教育实施过程管理,风险评估效果最终是以管理效果来反映。因此,指标的设立要充分反应风险管理的力度。
4 结束语
通过对高校体育教学过程中风险评估理论的仔细梳理,把高校体育教学风险评估的基本理念、原理和方法进行科学的整合,形成高校体育教学风险评估新的模式。在新的模式下,根据高校体育教学风险评估的要素体系,以及形成的评估执行的准则,对体育教学中风险进行评估归类,最后得出相应的风险评价指标体系。建立评估体育教学的风险模型,对体育教学风险进行系统分析,依据得出的结果,说明高校体育教学风险评估的有效性。
参考文献:
[1]王苗,石岩.小学生体育活动的安全问题与风险防范理论研究[J].体育与科学,2006,(06).
[2]张左鸣.高校运动伤害的风险管理研究[J].西安建筑科技大学学报(社会科学版),2008,(03).
关键词:地理信息系统;风险评估
2006年1月国家网络与信息安全协调小组发表了“关于开展信息安全风险评估工作的意见”,意见中指出:随着国民经济和社会信息化进程的加快,网络与信息系统的基础性、全局性作用日益增强,国民经济和社会发展对网络和信息系统的依赖性也越来越大。
1什么是GIS
地理信息系统(GeographicInformationSystem,简称GIS)是在计算机软硬件支持下,管理和研究空间数据的技术系统,它可以对空间数据按地理坐标或空间位置进行各种处理、对数据的有效管理、研究各种空间实体及相互关系,并能以地图、图形或数据的形式表示处理的结果。
2风险评估简介
风险评估是在综合考虑成本效益的前提下,针对确立的风险管理对象所面临的风险进行识别、分析和评价,即根据资产的实际环境对资产的脆弱性、威胁进行识别,对脆弱性被威胁利用的可能性和所产生的影响进行评估,从而确认该资产的安全风险及其大小,并通过安全措施控制风险,使残余风险降低到可以控制的程度。
3地理信息系统面临的威胁
评估开始之前首先要确立评估范围和对象,地理信息系统需要保护的资产包括物理资产和信息资产两部分。
3.1物理资产
包括系统中的各种硬件、软件和物理设施。硬件资产包括计算机、交换机、集线器、网关设备等网络设备。软件资产包括计算机操作系统、网络操作系统、通用应用软件、网络管理软件、数据库管理软件和业务应用软件等。物理设施包括场地、机房、电力供给以及防水、防火、地震、雷击等的灾难应急等设施。
3.2信息资产
包括系统数据信息、系统维护管理信息。系统数据信息主要包括地图数据。系统维护管理信息包括系统运行、审计日志、系统监督日志、入侵检测记录、系统口令、系统权限设置、数据存储分配、IP地址分配信息等。
从应用的角度,地理信息系统由硬件、软件、数据、人员和方法五部分组成:硬件和软件为地理信息系统建设提供环境;数据是GIS的重要内容;方法为GIS建设提供解决方案;人员是系统建设中的关键和能动性因素,直接影响和协调其它几个组成部分。
险评估工作流程
地理信息系统安全风险评估工作一般应遵循如下工作流程。
4.1确定资产列表及信息资产价值
这一步需要对能够收集、建立、整理出来的、涉及到所有环节的信息资产进行统计。将它们按类型、作用、所属进行分类,并估算其价值,计算各类信息资产的数量、总量及增长速度,明确它们需要存在的期限或有效期。同时,还应考虑到今后的发展规划,预算今后的信息资产增长。这里所说的信息资产包括:物理资产(计算机硬件、通讯设备及建筑物等)信息/数据资产(文档、数据库等)、软件资产、制造产品和提供服务能力、人力资源以及无形资产(良好形象等),这些都是确定的对象。4.2识别威胁
地理信息系统安全威胁是指可以导致安全事件发生和信息资产损失的活动。在实际评估时,威胁来源应主要考虑这几个方面,并分析这些威胁直接的损失和潜在的影响、数据破坏、丧失数据的完整性、资源不可用等:
(1)系统本身的安全威胁。
非法设备接入、终端病毒感染、软件跨平台出错、操作系统缺陷、有缺陷的地理信息系统体系结构的设计和维护出错。
(2)人员的安全威胁。
由于内部人员原因导致的信息系统资源不可用、内部人员篡改数据、越权使用或伪装成授权用户的操作、未授权外部人员访问系统资源、内部用户越权执行未获准访问权限的操作。
(3)外部环境的安全威胁。
包括电力系统故障可能导致系统的暂停或服务中断。
(4)自然界的安全威胁。
包括洪水、飓风、地震等自然灾害可能引起系统的暂停或服务中断。
4.3识别脆弱性
地理信息系统存在的脆弱性(安全漏洞)是地理信息系统自身的一种缺陷,本身并不对地理信息系统构成危害,在一定的条件得以满足时,就可能被利用并对地理信息系统造成危害。
4.4分析现有的安全措施
对于已采取控制措施的有效性,需要进行确认,继续保持有效的控制措施,以避免不必要的工作和费用,对于那些确认为不适当的控制,应取消或采用更合适的控制替代。
4.5确定风险
风险是资产所受到的威胁、存在的脆弱点及威胁利用脆弱点所造成的潜在影响三方面共同作用的结果。风险是威胁发生的可能性、脆弱点被威胁利用的可能性和威胁的潜在影响的函数,记为:
Rc=(Pt,Pv,I)
式中:Rc为资产受到威胁的风险系数;Pt为威胁发生的可能性;Pv为脆弱点被威胁利用的可能性;I为威胁的潜在影响(可用资产的相对价值V代替)。为了便于计算,通常将三者相乘或相加,得到风险系数。
4.6评估结果的处置措施
在确定了地理信息系统安全风险后,就应设计一定的策略来处置评估得到的信息系统安全风险。根据风险计算得出风险值,确定风险等级,对不可接受的风险选择适当的处理方式及控制措施,并形成风险处理计划。风险处理的方式包括:回避风险、降低风险(降低发生的可能性或减小后果)、转移风险和接受风险。
究竟采取何种风险处置措施,需要对地理信息系统进行安全需求分析,但采取了上述风险处置措施,仍然不是十全十美,绝对不存在风险的信息系统,人们追求的所谓安全的地理信息系统,实际是指地理信息系统在风险评估并做出风险控制后,仍然存在的残余风险可被接受的地理信息系统。所谓安全的地理信息系统是相对的。
4.7残余风险的评价
对于不可接受范围内的风险,应在选择了适当的控制措施后,对残余风险进行评价,判定风险是否已经降低到可接受的水平,为风险管理提供输入。残余风险的评价可以依据组织风险评估的准则进行,考虑选择的控制措施和已有的控制措施对于威胁发生可能性的降低。某些风险可能在选择了适当的控制措施后仍处于不可接受的风险范围内,应通过管理层依据风险接受的原则,考虑是否接受此类风险或增加控制措施。
关键词:状态评价;风险评估;运维策略
中图分类号:TN949.6 文献标识码:A 文章编号:1674-7712 (2013) 12-0000-01
电网设备状态评价和风险评估是一个涵盖电网设备可靠性评估技术、电网设备在线监测技术、电网设备实时状态评价技术、电网实时运行风险评估与技术经济性评估技术等的综合决策过程。对电网设备实施科学合理的状态评价和风险评估,能够提高设备的综合分析和精细化管理水平,为合理安排设备运行及检修等生产工作、制定电网风险控制策略和调度计划提供强有力的决策支撑,从而保障系统安全性和供电可靠性,为电网创造更多的经济效益和社会效益。
本文拟在分析主流状态评价与风险评估模型和方法的基础上,以配网油浸式变压器为对象,探索合理科学的运维检修策略,达到规避风险发生、减少风险危害和降低经济损失的目的。
一、状态评价与风险评估体系
使用经验及试验结果表明,电力设备在整个服役期限,故障发生的次数和使用时间之间有着宏观统计规律,虽然对每一台设备来说,出现故障的次数和使用寿命各不相同,但其发展规律都是一致的,设备的故障率随时间的变化可划分为三个阶段:早期故障期、偶然故障区和耗损故障期,其表现如图1所示。
通过图1可以看出设备故障的发生、发展有其自身的规律,其整体性能在大多数情况下是连续变化的,因此通过对设备的某些典型参数的分析或者完全可以确定设备所处的健康状态,并预报其未来的发展趋势。根据状态监测体系的建立情况选取可以获取以及未来可能应用的状态量为设备状态评价所需的状态参量,并建立相应的状态量指标体系,应用状态评价模型计算得出设备健康度,是状态评价的一般思路和方法。以配网油浸式变压器为例,可按如下步骤完成设备的状态评价与风险评估。
(一)建立如图2所示的状态量参数体系:根据所建立的各类设备状态参量指标体系,可将设备运行状态划分为3个层次。第一层为目标层,即设备的整体健康状况;第二层为中间层,即各部件性能状况;第三层即底层,为各状态参量的取值。
(二)建立各层状态参量评价标准,依据状态参量评价标准对底层状态参量进行模糊赋值。建立模糊评判矩阵如表1所示。
(三)基于层次分析理念建立模糊综合状态评价模型,计算中间层及目标层状态评价结果取值。
(四)计算得出的目标层状态评价结果为设备整体的健康度取值,可以通过如下公式进一步得到设备的故障概率。式中:ISE为设备的状态评价分值;K为比例系数;C为曲率系数;为故障发生概率。
(五)依据现有设备状态评价与风险评估技术导则规定的设备风险评估的模型和计算方法,结合设备故障概率计算结果,计算得出设备风险值。风险评估以风险值为指标,综合考虑可能损失的资产及设备发生故障的概率二者的作用,风险值按公式 计算。式中:R为设备风险值;LE为可能损失的资产;P为设备平均故障率;t为某个时刻。风险评估的具体流程图4所示
(六)按风险值大小划分风险级别,可依据设备风险评估结果应用领域的不同划分级别个数:Ⅰ级、Ⅱ级、Ⅲ级、Ⅳ级、Ⅴ级、Ⅵ级,同类设备Ⅰ级为最高风险级别,Ⅵ级为最低风险级别。
二、状态评价与风险评估结果在配网设备运维中的应用
对设备的风险评估结果进行分析,配网设备的风险等级分别为高风险、中风险、低风险,在此基础上,根据风险评估结果,结合配电网的实际情况,在确保电网可靠性水平的基础上,制定相应的运行检修策略如表2所示:
对于正常运行和加强监视策略,采取状态检测以及状态巡视方案;对于立即检修和适时检修策略,则需要研究最优检修方案
三、结束语
本文从配电网设备状态评价与风险评估的流程出发,简要阐述了配网状态参量体系构建、模糊状态评价及风险评估的一般方法,进一步探索了状态评价与风险评估理念在配网设备运维中的应用,对电力生产运行部门制定运维检修计划有一定的指导意义。
参考文献:
[关键词] 吉林省;中小企业;内部控制;问题;对策
[中图分类号] F276.3 [文献标识码] A
Abstract: Internal control consists of five factors in terms of the control environment, risk assessment, control activities, information and communication, and monitoring. Internal control of SMEs in Jilin has the problems in terms of wake awareness, lower level of risk assessment, unscientific activities, and lack of follow-up monitoring. The government should take the measures to optimize the environment, strengthen risk prevention control, pay attention to the implementation of activities, maintain the smooth information systems and communication channels, and enhance the supervision, so as to promote the healthy development of SMEs in Jilin.
Key words: Jilin, SMEs, internal control, problems, countermeasures
一、引言
中小企业作为我国市场上的一支重要力量,在推动经济发展、丰富经营结构、活跃市场、吸收剩余劳动力和缓解就业压力等方面发挥着不可忽视的作用。在吉林省内,中小企业在其国民经济中占有重要地位,企业数量占99.5%,经济总量占47%以上,上交税金占全口径财政收入的比重接近1/3,就业人数占全省职工和城镇个体劳动者总数的70%以上,中小企业是全省经济社会发展的重要支撑,推动中小企业加快发展是实现富民强省的重大举措。在吉林省有关的政策扶持下,中小企业近几年的发展也取得了飞跃发展,并且发展态势良好,但是还存在不少的问题,这些问题成为制约吉林省中小企业发展的重要因素,其中一个非常重要的因素就是中小企业内部控制制度与机制的缺失。解决其内部控制的问题迫在眉睫,只有从理论和实践两个角度探索系统的解决对策,才能从根本上解决吉林省中小企业的难题,从而推动吉林省中小企业健康发展,推动吉林省的经济振兴。
二、内部控制的理论
所谓的内部控制,它是一个企业为了实现自己的经营目标,保护其资产安全完整,保证会计信息和资料的准确可靠,并能够保证企业经营方针得到有效的贯彻和执行,同时保障企业经营活动的经济性、效率性以及效果性,而在企业内部自我调整、约束、计划、控制和评价方法手段的一个通用的措施。COSO的内部控制报告中规定的内部控制五要素的框架结构是目前被较多人认可的经典框架,即由控制环境、风险评估、控制活动、信息与沟通、监督五个要素构成的。内部控制的要素基本覆盖了企业所有的业务环节和事项,特别是控制活动贯穿企业经营的各个环节。因此,若想了解和解决企业的内部控制问题,可以从这五个要素着手。
三、吉林省中小企业内部控制问题
(一)控制环境存在的问题
控制环境是一个企业内部控制制度能否有效执行的基础。目前吉林省中小企业控制环境存在的问题包括:经营者重经营轻控制,经营者主要把精力放在如何留住老客户,扩大企业业务方面上,无暇顾及内部的管理事项,对内部控制缺少关注;内部控制意识薄弱,从管理者到员工都没有形成系统的内部控制知识体系;组织结构设置不科学,职责不明,大多依靠血缘,亲情维系管理;人力资源管理不规范,没有运用科学的方法评估员工的能力,对于员工胜任能力没有足够的重视;不重视诚信和道德价值观念的沟通和落实,缺乏良好的控制环境。
(二)风险评估存在的问题
每个企业都面临来自内部和外部的不同风险,这些风险都必须加以评估。吉林省中小企业目前的风险评估意识已经逐步形成,并且采取一定的措施进行风险评估,但是整个风险评估的意识和水平还属于比较低下的水平;由于中小企业间的信用观念薄弱,信用缺失严重,进行风险评估困难重重,建立健全的风险评估体系难度较大,相应的风险控制机制也没有进行配套;没有建立整体的目标,缺乏具体业务流程层面的计划,当监管和经营环境突然发生变化时,缺乏应急措施;对于进入新的业务领域和发生新的交易可能带来的新的内部控制相关的风险,缺乏评估的规范机制。整体而言,吉林省中小企业大部分的风险评估工作还处于浅层阶段,缺乏科学的、深层次的探究。
(三)控制活动存在的问题
控制活动是企业管理阶层辩识风险,继之应针对这种风险发出必要的指令,是企业内部控制最实在的一个环节。吉林省中小企业也重视企业的控制活动,但是由于缺乏系统的内部控制知识体系,再加上中小企业裙带关系严重,采用以家庭利益为指导的管理方式,很多岗位都是家庭成员担任,造成控制活动缺乏科学性,存在漏洞。无论是授权、业绩评估、信息处理还是实物控制上都存在不少的纰漏。具体包括:采购缺乏质量标准,采购的材料质量参差不齐;生产环节更多的是注重生产的速度,对产品的质量验收缺乏控制;缺乏付款和收款管理制度,没有制定完善的付款计划和收款管理,付款环节严重的赖账现象影响企业的信誉,收款缺乏管理,对客户的信誉没有系统的评估,缺少坏账管理的意识。财会系统混乱,没有严格按照会计制度的要求进行处理。整体来看,吉林省中小企业的控制活动还不具备科学性。
(四)信息系统与沟通存在的问题
中小企业的一个主要特征就是规模小,所以在内部的沟通上主要向上级和几乎所有的员工进行直接的信息传递,吉林省中小企业在内部沟通上同样是这样,不存在太大的问题;集中的主要问题是财务会计不够专业,不少企业聘请兼职对企业的会计业务进行处理,质量参差不齐;管理层更多注重经营业绩的财务数据,而忽视资产负债的情况;缺少与外部的沟通,对于客户的反馈多是零散的,没有系统的整理和记录,主动联系客户进行沟通的情况更是少见;供应商和企业的关系不稳定,多数企业对每次采购选择的供应商有采购价格决定。
(五)监控存在的问题
管理的重要职责之一就是建立和维护控制并保证其持续有效运行,对于控制的监督可以实现这一目标。在吉林省中小企业中,监控这部分的问题尤为突出。吉林省中小企业由于管理者缺乏系统的内部控制理论知识,控制活动缺乏科学性,因此后续的评估控制监督活动也是杂乱无章的,没有独立于业务环节的类似内审委员会等监督审核部门,其经营过程也没有专人进行监督,往往都是经营者的突击检查,甚至存在知错难改,知错不改的现象。由于中小企业的主要精力集中在经营上,对于控制活动都缺乏投入,监控环节所引起的关注就更加少。
四、吉林省中小企业内部控制问题的解决对策
(一)优化内部控制环境
第一,加强管理层的内部控制意识,完善管理层的内部控制知识体系。要使吉林省中小企业的内部控制水平提高一个层次,最重要的就是要让管理者意识到内部控制的重要性,并且学习内部控制的相关理论知识,形成知识体系,具体措施可以是阅读相关的书籍,邀请专门机构的研究人员过来交流,政府或者相关行业组织通过举办内部控制知识讲座,学习指导等形式让管理者深刻了解内部控制体系的优点和作用。第二,书面和口头的形式结合,落实企业文化的营造。诚信和道德价值观念的沟通和落实,用人唯才等企业文化有助于提高企业竞争力,也是更好地完善整个企业内部控制体系所需要。这就需要管理者身体力行,起表率作用,同时以口头和书面的形式向员工进行传达,对违反有关行为规范的情况进行惩罚。
(二)加强风险防范控制
第一,提高风险意识。这需要从管理者的管理素质抓起,提高中小企业管理者的素质,加强风险知识的学习和培训很重要。第二,风险识别和分析能力的提高。要防范风险,首先要有风险意识,然后要有识别和分析的能力,我们在进行风险事件的识别时,可以从目标入手,把总的战略目标细分为小的目标,如经营目标、期末报告目标、资产管理目标等,再分别根据这些具体的二级目标确认相应的风险事件。而对于风险的分析,需要先调查和收集风险事件的资料,然后定性和定量进行分析,最后进行表述。第三,制定策略应对风险,需要结合控制活动进行风险的应对。中小企业自身资金并不雄厚,但是它们具备灵活性的特点,所以尽早识别和评估风险,尽早进行转变应对风险就至关重要。
(三)重视控制活动的落实
第一,需要对管理者进行内部控制理论知识的培训和学习;第二,要使控制活动科学合理并且有效率,必须结合中小企业的特点,在授权,业绩评估,信息处理,职权分离和实物控制等方面都要做好。具体的解决对策是:首先是要对主要的经营活动建立必要的控制政策和程序,采购和付款环节的控制、销售和首款环节的控制、生产环节的控制;其次,管理层在预算和经营业绩上需要有清晰的目标,以识别差异,并对差异进行调查;不同人员的职责在一定程度上相分离,特别是要完善内部会计控制,提高会计人员的素质、建立健全会计制度、建立不相容职务相分离制度,实行会计预算控制;建立授权保护措施,保护公司的资产和机密以及公司的安全经营。
(四)保持信息系统和沟通渠道的畅通
由于吉林省中小企业规模比较小,需要报告和传递信息的层次也比较少,要实现有效的沟通:首先,要有信息观和沟通的意识,对于财务信息,经营状况要及时的了解;其次,要及时了解财务信息,聘请专业的财务人员,运用专业的财务系统,使财务信息能够如实反映企业的状况,为识别风险,制定经营方向做准备;最后要使企业的沟通渠道畅通,透明。要使企业的内部控制得以完善,企业的经营状况得以真实的反映,来自各个层次的信息很重要,这对管理者的决策提供很大的帮助。
(五)加强对控制的监督
首要就是要加强全体员工对内部监督的理解以及管理层的监督意识,对于吉林省很多中小企业来说,培养或者聘请一个专业的监督人员难度很大,所以从原有的员工身上作出努力,加强其对内部监督的理解更加实际,而管理层的监督意识和能力提高则是最有效的方法。其次,如果条件允许,对于很多中型企业来说,增设内部审计机构很有必要,可以保证监督活动使其不受外界因素的干扰。还有很重要的一点就是要使企业的监督活动落实到日常化的工作中,监督活动要透明化,提高权威性。
[参 考 文 献]
[1]刘玉廷,朱海林,王宏.中国内部控制改革与发展[J].北京:经济科学出版社,2010-09:90-91
[2]刘明辉,张宜霞.内部控制的经济学思考[J].会计研究,2002(2):54-56
[3]李光辉,刘文曲.中小企业如何加强内部控制[J].内控与审计,2010(9):79-80
关键词:煤炭业;公司内部;风险控制;A煤业
随着市场经济的深入开展和不断发展,“风险”越来越成为企业和人们关注的焦点。企业的更新技术改造以及产业化的不断升级不断推进着煤炭企业的资源整合工作,这对于煤炭业而言,可以说既有很大的机遇也有挑战。但是,目前煤炭行业越来越向规模化、市场化、自主化靠拢,并且矿井采掘的难度加大以及深度加深,煤炭企业将面临越来越大的风险。尤其自2012年以来,煤炭行业始终呈现出持续低迷的状态,作为国家支柱产业的煤炭企业,它们面临的风险以及企业自身的组织管理备受人们关注。人们越来越关注企业如何能使自身更加有效地进行管理与风险。
一、A煤业概述
A集团作为一个老牌煤炭企业,是一个国有独资公司,成立于1995年10月。其以煤为基础,铁路、港口等与煤化工为一体,是目前我国规模最大的煤炭企业。主要经营国务院授权范围内的煤炭开发、国有资产等资源性产品,进行电力、港口、煤化工等行业领域的投资。
二、A煤业集团的风险预控管理体系的分析
(一)危险源辨识
危险源辨识的作用是为了明确管控对象。A集团开发了一套信息化软件,用来对现场查出的危险源及时录入系统并反馈给被检单位。
缺陷:危险源的产生有76%的原因来自于人员本身,A对于危险源的辨识是来自检查人的检查及录入系统。如果检查人没有正确意识到危险源或者没有及时在系统中录入危险源,则会导致后面流程的不正确性
(二)风险评估
风险评估的目的是为了明确管控重点。一般在煤矿企业中可能出现的风险包括管理人员因为急需相关信息而导致的差错、没有合理的估计相关人员对自身岗位的胜任能力等。评估风险的时候要合理量化风险评估。
缺点:风险评估是由风险发生的几率及风险导致的损失组成,在A的风险评估表中关于损失只提到了人员伤害程度及范围,这是关于安全风险的范畴,但没有涉及到比如对于环境的破坏程度这种环境风险的损失。
(三)制定风险控制标准和措施
目的是为了明确管控依据和落实管控责任。
缺点:对于管控责任的模糊,在通过与煤矿企业高中层管理者以及各部门相关业务人员的访谈中,我们可以了解到:煤炭企业的管理层中尤其是其中的中层管理者对于企业风险管理方面还不够深入,尤其在战略风险管理方面,极为缺乏。煤矿企业人员对战略风险管理体系的理解和风险管理理论所要求的“业务层是企业风险管理的第一道防线”相违背。
所以,在上述错误的理解下,一些业务部门在可行性分析报告、预测以及项目立项等方面,存在论证不足和理解不透彻,忽视或者隐匿一些可能存在的风险,给企业以及整个管理层的决策埋下了隐患。
(四)执行标准和措施
由于煤矿企业资源不共享,导致资源的配置不合理。当一个业务流程或一个战略风险事项涉及多个部门或者需要跨部门处理时,如何获取和充分利用现有的资源也存在一些问题。煤矿企业目前已有一些风险管理体系的子系统在发挥作用,在风险管理子w系分别运作,各自发挥作用,职责之间存在重叠、漏项,尚未全面、有效、共同发挥作用。
三、完善A风险预控管理系统
(一)煤矿企业风险管理系统的规划
对煤矿企业风险管理现状和存在的问题进行剖析,制定煤矿企业在4-6年内建立健全全面的风险管理系统计划,在遵循平稳过渡的原则下,努力开展煤炭企业的风险管理工作,从而最终实现企业的风险管理总目标。
煤矿企业在建设其风险管理系统时,必须遵循平稳过渡、科学性、系统性、针对性以及可操作性的原则,以保证其他各业务的正常运行并达到企业风险管理系统的总目标:
1.通过确保煤矿企业的总体经营活动能够遵循内外部相关规定,从而达到合规性目标。
2.创建煤矿企业风险管理的整体氛围和意识。
3.建立煤矿企业的战略风险管理系统时,在企业内培养一支知识水平高的、专业的风险管理团队。
(二)基于内控的煤矿企业风险管理系统的构建
由一个相对静态的专业人员、组织架构、风险管理文化以及组织制度系统等和一个相对动态的风险管理过程组成的煤矿企业的风险管理系统。主要由风险判断、标识风险、风险评定排序以及转移风险等组成。
(三)煤矿企业风险管理系统的成效
煤矿企业的风险管理系统应能在稳定规范运作的基础上,实现企业资产的安全管理以及降低企业的风险损失成本,从而为形成煤矿企业自身的核心竞争力提供保障,为煤矿企业的发展开辟道路。
1.减少企业的成本提高预期收益
煤矿企业的风险管理系统,可以为煤炭企业的中高层决策者提供依据,能让他们准确的认识到企业所面临的风险以及机会,从而做出正确的决策,防患于未然,转被动为主动,从事后改正到事前预测,促进整个煤炭行业的不断发展与进步。
2.不断促使煤矿企业合规发展
针对煤矿企业面临的不同风险,可以提出不同的解决方案。在煤矿企业面临一般的风险时,提出波及面小、针对性强、见效快的解决方案,既能够防止过多矫正,又能“药到病除”,最大限度的保证煤矿企业维持正常运转;在煤矿企业面临相对严重的风险时,根据煤矿企业的自身特点,找出符合企业风险能力的解决办法进而最大可能的降低企业的负面影响,促进煤矿企业的可持续发展。
3.明确基于内部控制的风险管理目标
明确煤矿企业的控制目标是完善基于内部控制的风险管理系统建设的基础,建立煤矿企业的内部控制制度是风险管理的核心。
4.提高风险评估的程度
很多企业发生的风险有时候并不能得到有效控制,但是作为企业的管理者,应尽自己所能预测出企业可以承受的风险水平,并识别出可以采取的相应的应对措施,进而把企业的风险损失降到最低。
5.成为煤矿企业发展的核心动力
风险管理系统的建立可以为煤矿企业的发展提供更加安全的、合规的以及收益机会更多的保障,从而降低煤矿企业风险的成本和损失。
四、结论
在风险管理制度逐步推行的现在,企业稳定持续发展的基础其实是建立一个良好的内部控制体系,所以企业应根据自身以及本行业的特点,结合企业内外部条件以及市场环境建立一个以风险为导向的内部控制系统,进而完善企业的管理制度。A煤业股份有限公司尚未建立一套完整的风险评估系统,公司员工的风险意识非常淡薄。一方面,人力因素在其中起着举足轻重的作用,企业的管理人员以及各部门人员缺乏基本的技能培训以及风险意识,所以企业在日常管理中,应加大对员工的专业能力的培训,提高人员风险意识,员工自身也应当定时对自我进行评估,及时发现自身业务中存在的风险。另一方面,煤炭企业应首要关注安全风险,市场及政策得变化对企业的经营影响较大。
参考文献:
[1]财政部.2012.财政部首提从价计征煤炭资源税渐行渐近[J].煤炭经济研究,9:32.
[2]财政部等五部委.企业内部控制配套指引.中国总会计师,2010.
[3]陈芳,徐良虎.2009.建立我国企业内部控制的风险评估体系[J].会计之友.10:71-73.
[4]冯淑文.煤炭行业内部控制研究[M].辽宁:东北财经大学硕士论文,2011.
[5]官峰.2007.内部控制理论若干问题的研究[D].成都:西南财经大学,04:38-45,
[6]郭琳.COSO框架下的风险评估研究[D].甘肃:兰州大学,2007.
[7]韩洪灵,郭燕敏,陈汉文.2009.内部控制监督要素之应用性发展一基于风险导向的理论模型及其借鉴[J].会计研究,8:73-81.
[8]何威风,朱莎莎.2008.内部控制与风险管理―来自国储铜的案例分析[J].财务与会计,2:24-25.
[9]胡为民.内部控制与企业风险管理[M].电了工业出版社,2008.
