时间:2023-08-01 09:24:08
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇工程风险评估的核心问题范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
一、引言
利用现代计算机软件技术,可以提高建设工程项目风险管理的信息化程度,实现风险管理体系的集成化、动态化、高效率和实用性。工程风险管理中的一个重要理念,就是充分利用工程中得到的各类风险管理信息,并对这类信息进行收集、整理、分析、记录、归档等登记工作,在此基础上,一是对已建工程中的风险事件、风险原因、风险因素、风险应对措施进行分析,二是对拟建工程的风险辨识、风险评估、风险决策、项目实施过程进行风险监控,这对于工程公司各职能部门和项目管理团队相互传递信息、有效控制风险非常有效。
关于风险数据库系统,国内外很多学者进行了相关研究。sJ Simister(1992)在风险管理技术及其应用的著名调查中表明,目前工程风险管理技术众多,核查表、MC、PERT、敏感性分析等,许多技术均有相应的软件支持,使得这些技术在工程上的广泛应用成为可能。为了实现动态风险管理流程以及各类风险管理技术的集成和综合应用,工程风险数据库的研发受到了重视。Barry LJ(1995)和Ward s(1999)提出了风险库的构建,williams(1994),Carter R(1995)和Ward s(1999)研究了风险库应该包括的内容,V,Carr(2002)和Fiona D,Pa~emon(2002)设计了PRR(ProJ‘ect Risk Registers)风险登记管理系统,该软件将风险管理分成risk plan和risk proce~两个模块,通过风险辨识员、项目经理和风险管理委员会三层风险管理机制对风险进行管理。国内风险库的研发正处于起步阶段,主要集中在隧道、地铁等地下工程建设领域,如黄宏伟等人(2006)着手盾构隧道施工动态风险库的开发,陈洁金(2009)进行了下穿既有设施城市隧道施工风险管理与系统开发的研究。
二、工程风险数据库的构建
1、工程风险数据库的基本流程(见图1、2)
2、工程风险数据库的基本功能
(1)为工程项目风险辨识提供信息参考。工程项目的风险环境和出险规律具有相似性和个性化的特点,因而项目风险管理中存在很多成功的经验和失败的教训,通过广泛调研、收集资料、文献研究、专家研讨等方法,对工程建设过程中存在的风险事件、风险因素或原因、应对措施进行归纳、总结,形成风险信息库的基础资料。结合拟建项目的建设环境、项目特点、建设管理现状等,在风险信息库中进行逐项对比分析,辨识可能出现的风险因素,形成风险辨识清单。
(2)对工程项目进行风险估计和评价。大型工程项目的风险环境繁复多变,对拟建项目各个阶段风险因素发生的可能性大小、可能造成的损害程度、风险因素的共同作用和综合后果,以及这些风险对项目实施的影响,项目主体能否接受等问题进行评估是风险管理的核心问题。风险管理库可以实现风险评价相关数据的收集,包括主观判断数据、客观统计数据、理论模型等,结合当前项目的风险特点,建立风险评估模型,对风险发生的概率和后果进行估计,对风险量进行评价,最终形成风险评价报告。
(3)为工程项目风险决策提供信息参考。在对工程项目风险分析的基础上,利用风险管理库对风险应对提出建议,使风险管理主体在规避、转移、减轻、自留等众多对策中,结合风险决策者的风险态度,迅速做出科学合理的风险决策,力图使风险转化为机会或使风险造成的负面效应降低到最小程度,形成风险处置报告。
(4)对工程项目进行风险控制。在工程实施过程中,利用风险信息库和风险管理库对风险进行实时监控,进行风险预警和风险应急管理,对风险事故进行统计和分析,形成风险监控报告。对产生的新风险因素和应对措施,及时补充完善到风险信息库中,实现动态管理。
三、工程项目风险数据库实现方法
1、基于风险数据库的风险辨识
基于风险信息数据库的风险识别模块的工作原理是:首先输入当前项目的相关特征信息,然后运用WBS方法对拟建工程项目工作进行分解和编码。其次调用风险因素分类子系统,运用WBS-RBS方法,对风险进行多方法、多角度的识别。最后,输出初步识别的项目风险清单,并进行初步的定量分析,在项目资源约束、风险管理目标计划(造价、工期、性能、安全、健康、环境)的制约下,探讨风险事件发生的条件,预测风险发生的概率大小、损失大小、风险量大小,并提出风险应对方案,直到确认没有新风险为止。
风险辨识系统总体分析模型如图3所示,可以看出,工程项目风险信息数据库的风险识别模块从资料准备开始,经过项目调研、风险识别、风险审核三个阶段,最后才落实到风险清单。这一过程在项目风险管理全过程当中反复进行,其实质就是在不断发现问题解决问题,推动项目风险管理向更高的层次发展;同时识别过程的四个阶段运用了PDCA的原理,构成了连续有机循环的系统,更加重视项目管理知识的积累应用,从而不断充实与完善风险信息数据库,使得工程项目的风险辨识变得更加科学,更具有可操作性。
2、基于风险数据库的风险评估
工程建设项目因其自身存在大量的风险因素特点,建立风险评估模块并保存项目风险评估数据十分有必要,有了庞大的数据作为支持,风险评估的客观性、可信f生就有了保障。其次,风险评估模块中包含的各种理论模型有助于对风险的评估,调用过程十分简单、快捷,专家系统可以发挥其自身经验,辅助风险评估过程的顺利完成。最后,风险评估中包含的运算相当复杂,风险评估系统基于计算机的运算能力,可快速地完成评估所需的所有运算过程。
本文设计的风险评估模块是建立在经过风险辨识的风险清单和风险评估智能系统两大部分基础之上的,系统的建立可以基于商业风险评估软件,也可以自行设计、开发风险评估程序。总而言之,数据基础越客观、完整、有效、统一,智能评估系统越便捷、适用,风险评估过程就会开展得越顺利。风险评估模块的数据流由四个过程组成,依次为数据准备、数据来源、评估系统、结果显示,如图4所示。
数据准备:将经过风险辨识后的项目主要风险因素作为数据准备,并选择评估标准。
数据来源:根据历史评估数据、理论模型、专家经验以及待评估内容,判断选用何种数据来源。
评估系统:根据数据判断,选取风险评估方法,从软件(方法)系统中选取相应商业软件或自建程序,进行风险评估。 结果显示系统:将评估结果转化成图表或各种易于查看的形式,进行显示。评估系统部分由三个部分组成,依次为用户需求、专家系统、软件(程序)系统。
用户需求:用户以其评估需求填写指定需求表,生成需求程序。
专家系统:在已有风险评估模型的基础上,结合该领域专家处理问题的知识、经验,借助信息技术和人工智能方法构建而成。该系统的重要性在于使得系统从此拥有专家的能力,以促进风险的定性和定量分析,并能提供较正确的计划、建议、决策等。该系统一是利用专家经验分析风险适用的评估方法,二是选取合适的风险评估工具,三是一些评估过程中的数据需要通过专家调查法得以完成,四是对评估结果进行修正。
软件(程序)系统:构建方法一:将商业风脸评估软件(@Risk、Permmster、Crystal Ball等)嵌入软件系统,现有的风险评估软件因其较为完善的设计和实践验证的实用性、稳定性,嵌入后即可立即开始运行,但商业风险评估软件同时存在费用高、难以和系统中其余部分协调统一、不同软件兼容性差等问题。构建方法二:自行谢十、开发风险评估程序,优点是将多种风险评估方法收录进同一软件,与本风险评估系统的兼容性好,缺点是技术含量高,同时需要较高的开发成本。此外,自行开发的程序应含有评估工具系统,例如:层次分析法中的标度法、平均随机一致性指标、模糊数学法中的隶属函数、蒙特卡罗法中的概率分布等。所要评估的风险按照软件中预定的程序进行风险评估,并得出评估结果。
四、实证研究
中图分类号:F284 文献标识码:A 文章编号:1006-8937(2016)33-0183-02
改革开放以来我国国民经济取得了长足的进步,各行各业都得到了快速的发展。在此背景下,电力企业的压力也越来越大。为了满足当前社会发展的需要,供电单位大量的建立供电网络和供电项目。但由于扩张的密度较大、频率较高,因此针对建设项目的安全管理问题,也引起了较多人群的关注。笔者针对此类现状进行简要的剖析,以盼能为我国电力企业的发展提供参考。
1 供电局
我国电力系统于2002年进行企业制改革,2002年之前由国家电力工业部直接管理的供电企业都称为供电局。其中省一级别的电力工业局具备行政职能,省一级别之下的电力企业不具备行政职能[1]。2002年我国针对电力系统进行企业制改革,电力工业部被撤销。之后国家电力公司被划分为五大发电集团和两大电网公司,之后供电局名称为更替为供电公司。
2 供电局建设项目
随着经济的发展,人们对于电力的需求逐渐增大。供电局为了满足经济发展的需求,通过不断扩建电网,进行电力的供应。当前供电局在发展的过程中,主要的建设项目为:发电厂建设、变电站建设、配电站建设、输电线路建设、配电线路建设,以及电网建立过程中的基建项目。
3 当前供电局电网建设项目的发展现状
随着当前经济的发展,电力作为经济发展的基础支持之一,其重要性越来越大。电力部门企业制改革之后,其发展较为迅猛。进入市场化的电力企业得到了二次的发展,企业盈利以及企业规模方面都得到了较大的改观。当前关于供电局电网建设项目,整体的发展现状较为良好,为我国当前经济的发展提供了较大的助力。
4 当前供电局电网建设项目发展中存在的安全问题
当前供电局电网建设项目,整体的发展状况较为良好。但在其细节方面还存在了一些问题,针对此类问题,笔者分析案例总结如下。例如:成本管理带来的安全问题、施工人员专业技能、现场管理及施工监理问题、设备质量问题、风险预估评测问题、其他因素。针对此类安全问题,笔者进行简要的分析研究。
4.1 成本管理带来的安全问题
任何工程在进行之前,都会进行工程的预算,其上一级别称为成本管理。成本管理在进行的过程中,针对人员薪资、工程物料、日常耗材等费用进行整体的预算管理。之后按照成本预算进行工程的成本管理,当前供电局电网建设项目发展中,存在的问题之一即为:成本管理带来的安全问题[2]。由于缺乏对整体工程的全面了解,成本管理预算较少,或者存在后期转包等问题。最终因成本问题导致工程在建设的过程中,出现了较多的安全隐患。
4.2 施工人员专业技能问题
当前在供电局电网建设项目发展的过程中,转包的现象较为严重。转包现象导致后期的工程进度无法进行预控,并且工程质量无法得到保障。其中主要的核心问题为:施工人员的专业技能问题。由于施工人员专业技能较低,针对部分专业工程的技术处理不达标,最终在后期验收或使用的过程中,出现了较为严重的电力事故。
4.3 现场管理及施工监理问题
供电局电网建设项目安全管理中,出现安全问题较多的项目为:现场管理及施工监理方面的问题。供电局电网建设项目现场管理,包括工地现场管理、施工进度管理、施工人员安全管理、施工事故处理等项目[3]。施工监理则是针对整体工程的全局监管,当前出现安全问题较多的为工地现场管理和施工进度管理,以及施工人员安全管理三项。此三项在当前工程推进的过程中,出现了较多的问题。其中施工监理落实不到位,管理制度不完善为引发问题的主要原因。
4.4 设备质量问题
供电局电网建设项目安全管理中,其重要的核心安全管理为:设备质量管理。其中在工程施工中,主要涉及的重要设备为:发电机组、变压器、继电器、各类开关设备、设备机箱、各类型号的输配电线路,以及工程施工中的施工机械。此类安全管理中,主要出现的问题为设备的质量问题。设备的质量问题,对整体工程的影响重大,主要的影响体现在工程竣工之后的验收期和试用期。
4.5 风险预估评测问题
风险评估为供电局电网建设项目安全管理中的重要过程之一,此类问题严重时甚至影响整体工程的推进。当前在供电局电网建设项目中,针对此类问题主要突显的现状为:风险评估缺失或风险处理资金未落实。此类现状导致在工程进行的过程中,一旦出现意外事件。由于风险评估的缺失或风险处理资金未落实,导致事故不能及时处理。最终造成严重的后果,影响整体工程的进度。
5 针对供电局电网建设项目中引起安全问题的改善 措施
当前供电局电网建设项目整体的发展较为良好,但细节方面还存在一些问题。针对此类问题,笔者分析案例提出了以下的改善措施。例如:进行成本预算审核制、提升施工人员专业技能、加强科学化管理,设立奖惩制度、采用质量合格的设备机械、设立风险基金、加强施工人员安全意识,落实施工监理职能。针对此类改善措施,笔者进行简要的分析介绍。
5.1 进行成本预算审核制
为了改善供电局电网建设项目安全管理现状,并有效促进整体工程的推进。施工之前供电局应成立成本预算小组,此小组的成员应由工程人员、财务人员、管理人员、领导层四类人员组成。以此全面的进行成本的预算,并针对预算结果上报领导层进行审批。之后在工程的实施过程中,针对施工项目逐次进行成本管理的推进。以此保证成本管理的有效和合理,并加强工程的安全管理。
5.2 提升施工人员专业技能
供电局电网建设项目安全管理的核心内容为工程进度管理,而推动工程进度的主要目标为全体施工人员[4]。因此为了有效的提高工程进度,并提升工程质量。供电局在进行电网建设项目的推进过程中,应加强施工人员专业技能的提升。必要情况下进行的转包项目,也应选择经验较为丰富,有较好工程经验的队伍。以此提升整体的工程质量,加强安全管理的发展。
5.3 加强科学化管理,设立奖惩制度
供电局电网建设项目安全管理中现场管理,为影响安全管理较为重要的一个因素。为了有效的改善现场管理现状,供电局在进行工程项目时。应针对整体的施工人员进行分组,并成立安全责任小组。以科学化的管理方式,推进工程的进度。针对施工项目以及施工人员,定时进行监管和巡查。并在施工检查的过程中,针对施工的现状进行相应的奖惩行为,以责任制推进整体施工工程的进行。
5.4 采用质量合格的设备机械
当前在供电局电网建设项目安全管理的过程中,设备机械问题为影响安全管理的重要因素,不合格机械设备成为施工过程中巨大的安全隐患。为了有效避免此类因素带来的影响,供电局在进行电网施工的过程中,必须注重机械设备的合格性。设备采购时也需参照设备商以往的供货经历,以此保证应用采购设备的合格性,并且提升整体工程的安全管理。
5.5 设立风险基金
供电局电网建设项目在推进的过程中,为了保证整体工程的安全性。针对工程施工中,有可能出现的故障问题。进行整体的风险预估评测,并形成报告性文件。文件中针对各类有可能出现的问题作出风险评估,并针对出现问题的赔偿或处理结果作出计划。为了有效的改善此类现状,供电局在施工初期应设立风险基金。以此保证在后续出现风险事故时,能够及时的进行事故的处理,降低事故带来的影响。
5.6 加强施工人员安全意识,落实施工监理职能
电网项目施工工程在进行的过程中,施工人员的安全问题为工程安全问题的核心问题。为了保证施工人员的人身安全,并提升施工人员的工作效率。施工方应加强对施工人员的安全意识培训,具体的操作方式为:严格要求施工人员按照安全操作标准,进行机械设备的操作和施工。并邀请专业人员进行各类机械设备的安全操作演示,以此提升工人的安全意识。并在施工的过程中,落实施工监理人员的是职责。针对施工工程按照施工监理标准,进行抽查和巡检。以此保证整体的工程质量,并针对施工中出现的问题及时的进行改善。
6 结 语
当前供电局电网建设项目安全管理,整体的发展现状较为良好。但细节方面还存在了一些问题,笔者分析案例将此类问题总结如下:成本管理带来的安全问题、施工人员专业技能、现场管理及施工监理问题、设备质量问题、风险预估评测问题、其他因素。
针对此类影响因素,笔者提出了以下的改善措施例如:行成本预算审核制、提升施工人员专业技能、加强科学化管理,设立奖惩制度、采用质量合格的设备机械、设立风险基金、加强施工人员安全意识,落实施工监理职能。以此提升整体工程的安全性,并推动了工程的安全管理发展。
参考文献:
[1] 李志远,于成涛,张同义等.浅析电力工程建设的质量与安全管理[J].商 品与质量,2015,(25):35-35.
[2] 黄艺鹏.电网建设项目土建工程安全措施工程化管理的探讨[J].城市 建设理论研究(电子版),2013,(2).
档案信息安全风险评估总体方法
档案信息安全风险评估的核心问题之一是风险评估方法的选择,风险评估方法包括总体方法和具体方法。总体方法是从宏观的角度确定档案信息安全风险评估大致方法,包括:风险评价标准确定方法;风险评估中资产、威胁和脆弱性的识别方法;风险评估辅助工具使用方法及风险评估管理方法等。事实上,信息安全风险评估方法经历了一个不断发展的过程,“经历了从手动评估到工具辅助评估的阶段,目前正在由技术评估到整体评估发展,由定性评估向定性和定量相结合的方向发展,由基于知识(或经验)的评估向基于模型(或标准)的评估方法发展。”。随着信息安全技术与安全管理的不断发展,目前信息安全风险评估方法已发展到基于标准的、定性与定量相结合的、借用工具辅助评估的整体评估方法。档案信息安全风险评估总体方法应采用目前最先进方法,即采用依据合适风险评估标准、定性与定量结合、借助评估工具或软件来实现不仅进行档案信息安全技术评估,而且进行档案信息安全管理评估的整体评估方法。
1 档案信息安全风险评估标准的确定
信息安全风险评估标准主要分为国际国外标准和国家标准。国际国外标准有:《ISO/IEC 13335 信息技术 IT安全管理指南》、《ISO/IEC 17799:2005信息安全管理实施指南》、《ISO/IEC27001:2005信息安全管理体系要求》、《NIST SP 800-30信息技术系统的风险管理指南》系列标准等,这些标准在国外已得到广泛使用,而我国信息安全风险评估起步较晚,在吸取国外标准且根据我国国情的基础上于2007年制定了国家标准((GB/T 20984-2007信息安全技术信息安全风险评估规范》,并在全国范围内推广。国家发展改革委员会、公安部、国家保密局于2008年了“关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技[2008]2071号)”,该文件要求国家电子政务工程建设项目(以下简称电子政务项目),应开展信息安全风险评估工作,且规定采用《GB/T 20984-2007信息安全技术信息安全风险评估规范》。档案信息系统属于电子政务系统,档案信息安全风险评估也应该采取OB/T 20984-2007标准。
2 档案信息安全风险评估需定性与定量相结合
定性分析方法是目前广泛采用的方法,需要凭借评估者的知识、经验和直觉,为风险的各个要素定级。定性分析法操作相对容易,但也可能因为分析结果过于主观性,很难完全反映安全现实情况。定量分析则对构成风险的各个要素和潜在损失水平赋予数值或货币金额,最后得出系统安全风险的量化评估结果。
定量分析方法准确,但由于信息系统风险评估是一个复杂的过程,整个信息系统又是一个庞大的系统工程,需要考虑的安全因素众多,而完全量化这些因素是不切实际的,因此完全量化评估是很难实现的。
定性与定量结合分析方法就是将风险要素的赋值和计算,根据需要分别采取定性和定量的方法,将定性分析方法和定量分析方法有机结合起来,共同完成信息安全风险评估。档案信息安全风险评估应采取定性与定量相结合的方法,在档案信息系统资产重要度、威胁分析和脆弱性分析可用定性方法,但给予赋值可采用定量方法。具体脆弱性测试软件可得出定量的数据,最后得出风险值,并判断哪些风险可接受和不可接受等。
3 档案信息安全风险评估需借用辅助评估工具
目前信息安全风险评估辅助工具的出现,改变了以往一切工作都只能手工进行的状况,这些工作包括识别重要资产、威胁和弱点发现、安全需求分析、当前安全实践分析、基于资产的风险分析和评估等。其工作量巨大,容易出现疏漏,而且有些工作如系统软硬件漏洞检测等无法用手工完成,因此目前国内外均使用相应的评估辅助工具,如漏洞检测软件和风险评估辅助软件等。档案信息安全风险评估也需借助相应的辅助工具,直接可用的是各种系统软硬件漏洞测试软件或我国依据《GB/T 20984-2007信息安全技术信息安全风险评估规范》开发的风险评估辅助软件,将来可开发专门的档案信息安全风险评估辅助工具软件。
4 档案信息安全风险评估需整体评估
信息安全风险评估不仅需进行安全技术评估,更重要的需进行安全管理等评估,我国已将信息系统等级保护作为一项安全制度,对不同等级的信息系统根据国家相关标准确定安全等级并采取该等级对应的基本安全措施,其中包括安全技术措施和安全管理措施,因此评估风险时同样需进行安全技术和安全管理的整体风险评估,档案信息安全风险评估同样如此。
档案信息安全风险评估具体方法
根据档案信息安全风险评估原理。从资产识别到风险计算,都需根据信息系统自身情况和风险评估要求选择合适的具体方法,包括:资产识别方法、威胁识别方法、脆弱性识别方法、现有措施识别法和风险计算方法等。
1 资产识别方法
档案信息资产识别是对信息资产的分类和判定其价值,因此资产识别方法包括资产分类方法和资产赋值方法。
(1)资产分类方法
在风险评估中资产分类没有严格的标准,但一般需满足:所有的资产都能找到相应的类;任何资产只能有唯一的类相对应。常用的资产分类方法有:按资产表现形式分类、按资产安全级别分类和按资产的功能分类等。
在《GB/T 20984-2007信息安全技术信息安全风险评估规范》中,对资产按其表现形式进行分类,即分为数据、软件、硬件、服务、人员及其他(主要指组织的无形资产)。这种分类方法的优点为:资产分类清晰、资产分类详细,其缺点为:资产分类与其安全属性无关、资产分类过细造成评估极其复杂,因为目前大部分风险评估
都以资产识别作为起点,一项资产面临多项威胁,—项威胁又与多项脆弱性有关,最后造成针对某一项资产的风险评估就十分复杂,缺乏实际可操作性。这种分类方法比较适合于初次风险评估单位对所有信息资产进行摸底和统计。
风险评估中资产的价值不是以资产的经济价值来衡量,所以信息资产分类应与信息资产安全要求有关,即依据信息资产对安全要求的高低进行分类,这种方法同时也满足下一环节即信息资产重要度赋值需求。任何一个档案信息资产无论是硬件、软件还是其他,其均有安全属性,在《GB/T 20984-2007信息安全技术信息安全风险评估规范》中要求:“资产价值应依据资产在保密性、完整性和可用性上的赋值等级,经过综合评定得出”。可选择每个资产在上述三个安全属性中最重要的安全属性等级作为其最后重要等级。但档案信息安全属性应该更多,除上述属性外还包括:真实性、不可否认性(抗抵赖)、可控性和可追溯性,所以可以根据档案信息的七个安全属性中最重要属性的等级作为该资产等级。
目前信息资产安全属性等级如保密性等级可分为:很高、高、中等、低、很低,因此信息资产按安全等级也可分为:很高、高、中等、低、很低,即如果此信息资产保密性等级为“中”,完整性等级为“中”,可用性等级为“低”,则取此信息资产安全等级最高的“中”级。
按信息资产安全级别分类法符合风险评估要求,因为体现了安全要求越高其资产价值越高的宗旨,在统计资产时也可按表现形式和安全等级结合的方法进行,如下表1所示。“类别”为按第一种分类方法中的类别,重要度为第二种方法中的五个等级。
但如果风险评估时按表1进行资产分类时,每个档案信息系统将具有很多资产,这样针对每一项资产进行评估的时间和精力对于评估方都难以接受。因此,在《信息安全风险评估——概念、方法和实践》一书中提出:“最好的解决办法应该是面对系统的评估”,信息资产安全等级分类的起点可以认为是系统(或子系统),这样可以在资产统计时用资产表现形式进行分类,在资产安全等级分类时按系统或子系统进行大致分类,即同一个系统或子系统中的资产的安全等级相同,这样满足了组织进行风险评估时“用最少的时间找到主要风险”的思想。
(2)资产赋值方法
由于信息资产价值与安全等级有关,因此对资产赋值应与“很高、高、中等、低、很低”相关,但这是定性的方法,结合定量方法为对应“5、4、3、2、1”五个值,同时将此值称为“资产等级重要度”。
2 威胁识别方法
(1)威胁分类方法
对档案信息系统的威胁可从表现形式、来源、动机、途径等多角度进行分类,而常用的为按来源和表现形式分类。按来源可分为:环境因素和人为因素,人为因素又分为恶意和无意两种。基于表现形式可分为:物理环境影响、软硬件故障、无作为或操作失误、管理不到位、恶意代码、越权或滥用、网络攻击、物理攻击、泄密、篡改和抵赖等。由于威胁对信息系统的破坏性极大,所以应以分类详细为宗旨,按表现形式方法分类较为合适。
(2)威胁赋值方法
威胁赋值是以威胁出现的频率为依据的,评估者应根据经验或相关统计数据进行判断,综合考虑三个方面:“以往安全事件中出现威胁频率及其频率统计,实践中检测到的威胁频率统计、近期国内外相关组织的威胁预警”。。可以对威胁出现的频率进行等级化赋值,即为:“很高、高、中等、低、很低”,相应的值为:“5、4、3、2、1”。
3 脆弱性识别方法
脆弱性的识别可以以资产为核心,针对每一项需要保护的资产,识别可能被威胁利用的弱点,同时结合已有安全控制措施,对脆弱性的严重程度进行评估。脆弱性识别时来自于信息资产的所有者、使用者,以及相关业务领域和软硬件方面的专业人员等,并对脆弱性识别途径主要有:问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。
(1)脆弱性分类方法
脆弱性一般可以分为两大类:信息资产本身脆弱性和安全控制措施不足带来的脆弱性。资产本身的脆弱性可以通过测试或漏洞扫描等途径得到,属于技术脆弱性。而安全控制措施不足的脆弱性包括技术脆弱性和管理脆弱性,管理脆弱性更容易被威胁所利用,最后造成安全事故。档案信息系统脆弱性分类最好按技术脆弱性和管理脆弱性进行。技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题,管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面。
(2)脆弱性赋值方法
根据脆弱性对资产的暴露程度(指被威胁利用后资产的损失程度),采用等级方式可对已经分类并识别的脆弱性进行赋值。如果脆弱性被威胁利用将对资产造成完全损害,则为最高等级,共分五级:“很高、高、中等、低、很低”,相应的值为:“5、4、3、2、1”。
脆弱性值(已有控制措施仍存在的脆弱性)也可称为暴露等级,将暴露等级“5、4、3、2、1”可转化为对应的暴露系数:100%、80%、60%、40%、20%,再将“脆弱性”与“资产重要度等级”联系,计算出如果脆弱性被威胁利用后发生安全事故的影响等级。
影响等级=暴露系数×资产等级重要度
4 已有控制措施识别方法
(1)识别方法
在识别脆弱性的同时应对已经采取的安全措施进行确认,然后确定安全事件发生的容易度。容易度描述的是在采取安全控制措施后威胁利用脆弱性仍可能发生安全事故的容易情况,也就是威胁的五个等级:“很高、高、中等、低、很低”,相应的取值为:“5、4、3、2、1”,“5”为最容易发生安全事故。
同时安全事件发生的可能性与已有控制措施有关,评估人员可以根据对系统的调查分析直接给在用控制措施的有效性进行赋值,赋值等级可分为0-5级,
“0”为控制措施基本有效,“5”为控制措施基本无效。
(2)安全事件可能性赋值
安全事件发生的可能性可用以下公式计算:
发生可能性=发生容易度(即威胁赋值)+控制措施
5 风险计算方法
风险计算方法有很多种,但其必须与资产安全等级、面临威胁值、脆弱性值、暴露等级值、容易度值、已有控制措施值等有关,计算出风险评估原理图中的影响等级和发生可能性值。目前一般而言风险计算公式如下:
风险=影响等级×发生可能性
综上所述,可将信息资产、面临威胁、可利用脆弱性、暴露、容易度、控制措施、影响、可能性、风险值构成表2,最终计算出风险值。下表以某数字档案馆为例,其主要分为馆内档案管理系统和电子文件中心,评估资产以子系统作为分类和赋值为起点,并只以部分威胁、脆弱性列出并计算风险。
上表中暴露等级值体现了脆弱性,容易度体现了威胁,以表2第一行为例计算档案管理系统数据泄密的风险值,过程如下:
影响等级=暴露系数×资产等级重要度=(3/5)*5=3
可能性=容易度(威胁值)+控制措施值=3+3=6
中图分类号:TV61 文献标识码:A 文章编号:1672-3791(2012)07(a)-0157-01
1 广东水利工程BT模式的特点
广东水利工程BT模式是广东省水利厅为了解决地方政府水利项目配套资金不到位的老大难问题,在现有公共项目BT模式的基础上发展创新,提出的一种符合广东水利项目特点的水利工程投融资建设(BT)模式。与通常意义上的BT模式相比,广东水利工程BT模式主要有以下特点。
1.1 由地方政府提供投融资方项目贷款的抵押物
通常意义上的BT模式是由投融资方负责筹集建设资金和项目建设,项目建成后移交给业主,业主按合同约定在回购期向投融资方支付回购款的过程。在投融资方的融资过程中项目业主不参与,业主只需要按照合同的约定在规定的回购时间内(通常在3~5年内)向投融资方支付回购款。为了防范回购风险,业主需向投融资方提供回购担保。
广东水利工程BT模式中,投融资方以项目贷款方式向银行贷款,但贷款的抵押物由项目所在地方政府负责提供,这样就将项目法人提供的回购担保与贷款抵押物合二为一,减少了BT模式中资产的占用,简化了回购担保资产评估的工作量,也大大减少了投融资方的风险。
1.2 通过银行的专业服务有效控制投融资风险
广东水利工程BT模式中,银行作为金融服务的专业机构,在资产评估、风险评估等方面具有丰富的经验,这些经验是一般的投融资单位不具备的。融资银行通常在项目正式启动前就介入,通过对地方政府提供的贷款抵押物价值评估和地方政府还款来源的风险评估,弥补了投融资单位在风险评估方面的不足,有效地控制了BT项目的回购风险。
1.3 是一种适合续建工程的BT模式
针对广东省城乡水利防灾减灾工程项目实施的实际情况,广东水利工程BT模式有效地解决了续建工程采用BT模式的问题。主要表现在以下几点。
(1)合同价格。水利工程建设试行BT模式,原则上采用设计概算总承包方式。但考虑到水利工程试行BT项目大部分属于续建工程,项目法人也可灵活采用综合单价或定额单价承包,工程量按实结算。
(2)续建项目采用BT模式的融资额确认。试行BT模式建设的项目大多立项时间早,存在项目超概算现象,同时大部分为续建项目。为加快建设进度,由项目法人委托具有资质的单位编制项目BT建设涉及范围内的概算,由上一级水行政主管部门核准,作为项目融资额的依据。
2 广东水利工程BT试点项目的招标的重点、难点及对策
2.1 广东水利工程BT试点项目招标模式选择
由于广东省水利项目的建设工期很紧,按广东省委省政府的要求,防灾减灾项目必须在2010年底前完工。为了有效地缩短项目准备阶段的时间,在水利工程BT试点项目的招标模式选择上采用了投融资方和施工单位捆绑招标的方式。
由于招标方案中涉及到项目投融资和施工建设两部分内容,如果面面俱到来设计投标条件,势必造成招标文件的内容十分繁杂,重点不突出,也不符合目前招标评标的实际情况。考虑到本次试点项目基本上是堤防工程,施工的技术难度不大,因此招标方案以潜在投标人的投融资能力为重点,着重考察潜在投标人的财务状况、投融资能力、承担风险的能力和企业信誉。
为了确保招标过程的顺利实施,我们全面分析了经常在广东投标的满足项目施工资质要求的潜在投标人的基本情况,针对施工单位投融资能力和承担风险能力均有限的实际情况,确定投标人可以采用联合体方式,并合理的确定了投标人的资格条件。这样就确保有足够的潜在投标人参与竞争,有利于招标的一次成功。
2.2 招标文件的合同架构
由于广东水利工程BT试点项目要同时解决招项目投融资方和施工建设方两个不同层面的主体,招标文件的合同架构以及相关方在BT项目中的法律地位的确定成为招标过程的核心问题。
广东水利工程BT试点项目的投融资是要解决地方政府配套资金不到位的问题。地方政府作为项目投资的主体,在水利工程BT试点项目作为借款人,项目的投融资方负责筹集资金用于项目建设,是债权人,地方政府根据约定以其财政收入(包括水利规费等收入)偿还该债务。
广东水利工程BT试点项目的施工建设的实施主体是项目法人。在BT试点项目中,项目法人只负责施工合同的履行,根据合同约定及时支付项目进度款(而不需要理会项目资金的来源)。
为了在招标文件中将上述两个层面的内容有机结合起来,在合同架构中采用将项目的投融资建设和回购作为主合同(简称BT协议),将施工合同作为附合同的做法。在BT协议中明确双方在BT项目中的权利和义务,突出描述项目投融资资金的筹集和回购事项,对施工合同中的合同价格、风险承担、材料价格调差等核心问题只进行原则性的表述。
2.3 招标中相关方法律地位的确定
由于水利工程BT试点项目涉及到地方政府和项目法人两个不同的主体,部分BT项目采用多项目捆绑招标的方式,存在多个不同的项目法人,如何合理确定招标人成为招标过程首先需要明确的问题。在实际操作中,考虑到地方水利部门是地方政府的职能部门,同时也是项目法人的主管部门,因此在水利工程BT试点项目招标中选择地方水利部门作为招标人,或者由水利部门与项目法人共同作为招标人,受地方政府的委托负责招投标工作以及项目法人之间的协调工作。
2.4 为业主做好参谋,积极稳妥的推进BT项目招标工作
由于水利系统推行BT模式是一个新事物,地方水利部门在试点项目推进过程中最大的问题是不了解BT模式。作为招标机构首先要做的工作是向地方水利部门解释和说明水利工程BT模式的内容和特点,让他们了解采用BT模式的优点、缺点以及存在的风险。
中图分类号:TP393.08
信息是现代社会中不可缺少的一项重要元素,尤其是在商业活动中,信息已经成为市场竞争的重要手段,因此对信息安全的管理在商业活动中显得尤为重要。信息安全管理体系(Information Security Management System,简称为ISMS),是建立和维持信息安全管理体系的标准,标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系;体系一旦建立组织应按体系规定的要求进行运作,保持体系运作的有效性;信息安全管理体系应形成一定的文件,即组织应建立并保持一个文件化的信息安全管理体系,其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。
1 信息安全的风险评估与策略
1.1 信息安全的风险评估
信息安全管理属于风险管理,即如何在一个确定有风险的环境里把风险减至最低的管理过程。因此,管理的核心要素就是对风险进行准确识别和有效的评估,通过对信息安全进行风险评估可以获得安全管理的需求,帮助组织制定出最佳的信息安全管理策略,并且将风险控制在可承受的范围之内。一个科学、合理的信息安全风险评估策略应该具有形影的标准体系、技术措施、组织框架以及法律法规。
1.2 信息安全策略
信息安全策略(Information Security Policy)是一个组织机构中解决信息安全问题的重要组成部分。在一个组织内部,通常是由技术管理者指定信息安全策略,如果是一个较为庞大的组织,制定信息安全策略的则可能是一个技术团队。信息安全策略是基于风险评估结果以保护组织的信息资产。信息安全策略对访问组织的不同资产进行权限设定,它是组织管理人员在建立、使用和审计信息系统时的信息来源。
信息安全策略具有非常广泛的应用范围,在其基础上做出的安全决定需要提供一个较高层次的原则性观点。一个组织的信息安全策略能够反映出一个组织对现实和未来安全风险的认识水平,对于组织内部业务人员和技术人员安全风险的处理。信息俺去那策略的制定同时还需要参考相关标准文本和安全管理的经验。
1.3 信息安全管理措施
信息加密技术是网络安全管理的核心问题,通过对网络传输的信息资源进行加密,以确保传递过程中的安全性和可靠性。用户通过互联网进行网络访问时,应该能够控制访问属于自己的数据的访问者身份,并且可以对访问者的访问情况进行审核。这种访问权限的控制,需要开发相应的权限控制程度,以作为安全防范措施使用。
用户在对云计算网络的数据进行存储时,其他用户及云服务提供商在未被所有者允许的情况下不得对数据进行查看及更改。这需要将数据在网络存储时,对其他用户实行存储隔离措施,同时对服务提供商实行存储加密和文件系统的加密措施。鉴于云平台的搭建多数基于商业方面,因此用户的数据在基于云计算的网络上进行传输时要具有极高的保密性,包括在计算中心的内部网络和开放互联网络上。所以,应该对所传输的数据信息在传输层进行加密(HTTPS、VPN和SSL等),对服务提供商进行网络加密。由于基于云计算的网络的数据重要性,为了防止各种数据毁灭性灾难和突发性事件,进行按期定时的数据备份,使用数据库镜像策略和分布式存储策略等,是确保网络信息安全的一系列防范措施。
病毒对互联网的安全威胁最为严重,主要可以通过病毒防御技术提升信息管理安全性。病毒是利用计算机软硬件系统的缺陷,在原本正常运行的程序中插入的一段能够破坏计算机或数据的指令或代码段,从而在执行时影响计算机系统的正常运作而不易被人察觉,对计算机及信息安全的威胁最大。针对日益猖獗的计算机病毒,选择一款适合系统使用环境的反病毒软件显得尤为重要,发现病毒侵入应该及时查杀,同时要注意按时地更新病毒库,并升级反病毒软件版本。在杀毒的同时做好预防工作是最为行之有效的措施。防火墙是设置在不同类型网络间的一系列硬件和软件的集合,旨在控制不同网络间的访问、拒绝外部网络对内部网络或网络资源的非法访问,保证通过防火墙的数据包符合预设的安全策略,从而确保了网络信息的服务安全。
入侵检测作为防火墙技术的补充手段,是对成功绕过防火墙限制而入侵内部网络系统的行为进行技术攻防的策略。其实质是在不损耗网络性能的前提下进行监听分析用户系统活动和违反安全策略的行为,对已威胁网络安全的入侵行为识别并发出警报,同时生成异常行为分析,评估入侵行为带来的损害程度。
目前,利用防火墙和入侵检测相结合的方式,是防护网络、拒绝外部网络攻击的最有效手段之一。任何一个系统都会存在安全漏洞,这包含已知的和未知的在应用软件和操作系统两方面上的安全漏洞。在进行漏洞扫描时,可以及时系统和网络存在的安全漏洞,并打上漏洞补丁,进行主动防御。在使用时可以将漏洞扫描与防火墙技术、入侵检测技术三者相结合,形成网络安全防范和防御的“黄金三角”。数据加密分为对称性和非对称性加密两种,是在发送端以某种算法将数据明文转换成密文,在接收端以密钥进行解密,从而保证信息在网络存储和传输的过程中都是保密的,并且对网络环境没有任何特别的要求和限制。数据加密技术与防火墙技术相比较,对于信息安全的防护作用是全局性的,也是最后一道防线。
系统备份和数据恢复,是指对系统的重要核心数据和资料进行备份,当切防范和防御技术都失效并且计算机网络遭到黑客攻击时,能够对系统实施立即恢复的手段,这也是保证信息安全的挽救措施。除了以上所提及的技术性手段之外,大力开展信息安全教育和完善相关法律法规作为人为防范措施也不容被忽视。近年来,信息安全威胁之一的网络欺骗就是因为当事人的信息安全意识淡薄和相关的调查取证困难造成的。因此,有必要做出改善措施,与技术手段相结合对信息安全发挥行之有效的影响。
2 结束语
综上所述,随着计算机技术、网络通信技术和高密度存储技术的发展,电子信息化进程在各个领域中得到了广泛推广和不断深入研究。结合当今社会的信息量爆炸式的增长情况,以及现阶段的研究成果得出结论,当今电子信息工程的安全问题和信息的有效利用问题仍将为研究的重点。本文重点研究了信息安全管理体系,根据信息安全管理的标准以及信息安全风险的特征,提出了一些具有针对性的信息安全管理措施,以实现对信息安全风险的有效评估和准确预测,危险性安全管理体系的实施提供重要保证。
参考文献:
[1]张健.电子文件信息安全管理评估体系研究[J].档案学通讯,2011,4.
[2]马晓珺,赵哲.电子商务信息安全管理体系研究[J].安阳市师范学院学报,2008,2.
[3]刘晓红.信息安全管理体系认证及认可[J].认证技术,2011,5.
[4]乔甜.基于全员参与的信息安全管理体系研究[J].科技致富向导,2013,6.
信息化技术标准委员会副主任委员崔书昆认为,在基础信息网络和重要信息系统的安全严重关系到国家安全、社会稳定以及人民群众切身利益的今天,信息安全问题已然成为事关全局的战略性问题。近年来,有关部门围绕信息安全保障体系建设,在信息安全等级保护、风险评估、标准制定、产品开发及打击各种网络违法犯罪活动等方面取得了积极进展。在这种情势下,将信息安全等级保护确定为提高国家信息安全保障能力,维护国家安全、社会稳定和公共利益的一项基本制度,是非常必要的。
可以这样理解,我国信息安全各项工作快速推进,信息安全风险评估工作和保障体系建设、信息安全管理工作、信息安全法制化和规范化建设、信息化基础设施和体系建设取得了重要的成效。特别是从2007年7月20号开始,全国重要信息系统定级工作已经开始,并在各行业、各部门、各单位的支持下,取得了丰硕的成果。
从2008年开始,公安部会同国家保密局等部门,在重要信息系统定级工作的基础之上,部署和开展深入推进信息安全等级保护工作,它主要分为三个方面:
第一,依据国家行业标准,从管理和技术两个方面,开展信息系统安全建设整改,建立并落实安全管理制度,落实安全责任制。
第二,根据等级保护标准开展风险评估、灾难备份、应急处置、安全检查等工作。
第三,对信息系统应用的一些重要单位,开展等级保护工作检查。
公安部网络安全保卫局郭启全处长说:“目前全国范围内,大规模的重要系统定级工作已经基本完成,相关资料目前集中到公安部进行管理。定级工作的主要成效是了解重要信息系统的底数,掌握国家信息安全的基本情况,为全面贯彻落实信息安全等级保护制度,推动国家信息安全保障等工作的深入发展奠定坚实的基础。同时,某些地方、企业或者单位没有完成定级工作,但会纳入到我们下一阶段的检查工作当中完成。另外,有些企业会随后逐步执行该工作,不会影响国家等级保护制度的大规模推动。”
实施等级保护,充分体现了“适度安全、保护重点”的目的,可以把国家的重要网络、重要系统挑出来,把国家有限的精力、财力投入到信息保护当中去,提高国家基础网络和重要信息系统的安全保护水平,同时提高信息安全保障工作的整体水平。
奥运留下的财富
“2008年北京奥运会的信息网络安全工作给我们留下了很多财富。”郭启全曾经说过,奥运会对我们国家的信息网络安全工作进行了一次大考。它既考验了我们国家信息网络安全的工作,同时也考验了等级保护主管部门、公安部和很多部委的行业主管部门的信息安全工作。在这次大考中,各部门均表现得很优秀。在北京奥运会期间,无论是核心网络还是信息系统,都遭受了大规模的攻击和入侵,却没有出现相关安全事故,支撑北京奥运会顺利举办,这是我国信息网络安全领域经历的考验。
实际上,奥运会取得的经验和公安部下一步等级保护工作之间存在密切的相关性。公安部和有关部委会借鉴奥运会信息安全网络经验,充分利用好奥运留下的财富,进一步开展今后的工作。
记者了解到,在北京奥运会之前,成立了以公安部牵头的包括海关、银行、广电等14个部委参加的信息网络安全指挥部。由于有了这样的指挥部,使得各项工作的落实有了一个组织保障。如果没有这个指挥部,大家各干各的,在北京奥运会期间便无法保证重要系统和网络的安全。
在2008年,国家安全的核心问题便是保障奥运的安全,奥运安全采取的第一个措施就是等级保护。郭启全介绍说:“公安部把奥运核心网络和涉及奥运会的系统都定级、备案,针对风险和重要性搞等级测评和风险评估,反复查找问题、漏洞、脆弱性和安全风险。从历史经验来看,总会有一些黑客试图攻击奥运系统。所以,在这些黑客攻击之前,我们就需要开始做严格的攻击性自测。找到问题后进行系统加固,并且是有针对性地进行加固。这种安全建设、整改、加固还有等级测评,提升了我们的系统防范能力。”
郭启全强调:“我们当时还专门针对北京奥运会提出了风险评估的指南。北京奥运会期间最大的风险是什么?其实就是来自黑客的攻击破坏,所以搞风险评估要针对最大的风险去做。举个例子,我到国家体育总局去了三次,就是研究他们的网络安全问题、网站安全问题,这就有针对性,搞等级保护、风险评估非常有针对性。这使得我们的风险找得准,漏洞找得准,问题找得准,因此相关措施就有针对性。”
2009年的新工作
中国工程院院士沈昌祥指出,目前我国信息与网络安全的防护能力还处于发展的初级阶段,有些应用系统处于不设防状态。国防科技大学的一项研究表明,我国与互联网相连的网络管理中心有95%都遭到过境内外黑客的攻击或侵入,其中银行、金融和证券机构是攻击重点。
由于奥运网络和信息系统开展了等级保护工作,并对等级保护工作的政策标准、工作环节进行了检验,所以等级保护下一步的工作部署将充分借鉴北京奥运会的经验,健全完善等级保护领导体制和协调配合机制,例如等级保护原来有些领导体制可能还要进行补充,明确重点工作对象,比如说拿三级系统作为重点工作对象。
郭启全说:“我们会严格落实责任制,认真抓好三点工作,计划三年内完成安全系统的整改工作,总的目标就是:能力提高,事故降低,等级保护制度得到落实,国家信息网络安全基本得到保障。”
中图分类号:U45 文献标识码:A
盾构法施工技术在一些经济发达的国家运用已经相当成熟了,由于可以在较大范围的工程地质和水文地质条件下使用,机械化程度高、施工速度快、安全、无噪音,在我国城市地铁建设中得到了广泛应用,成为我国城市地铁建设中的主要施工方法。因此,对盾构隧道施工当中所出现的问题作分析统计是很有必要的。虽然盾构隧道施工用于地铁建设的情况很多,然而由于盾构法施工在我国应用时间不长,加上盾构技术复杂,施工工序多,使得盾构在施工中暴露出不少的问题,各种事故频繁发生(图1)。工程事故的发生不仅造成经济损失,影响整个工程的工期,产生一定的社会影响。施工质量和不必要的人员伤亡,还会对城市地铁隧道施工进度和城市形象产生一定的影响。因此,随着城市地铁的蓬勃发展和盾构隧道施工工艺的不断改进, 必须要强化对盾构隧道施工风险的认识,分析事故发生的原因,加强盾构隧道施工的安全管理,规避盾构施工风险,不断地完善和提高盾构隧道施工的安全性。
1. 施工中常见的安全事故
1.1盾构施工中常见事故:
1)地面塌陷 2)房屋开裂或倒塌 3)隧道范围内管线断裂或损坏
4)周边构(建)物结构损坏
图1 地铁盾构施工中常见工程事故
1.2安全事故统计
盾构施工本身是一项技术含量高、受影响因素多、施工难度大的技术工作。虽然政府加强管理、建设单位严格要求、施工单位科学施工,但地铁施工事故还是屡屡发生,并且层出不穷,不仅造成了大量人员伤亡和财产损失,而且还造成了很恶劣的社会影响。通过对北京、上海、杭州、广州、深圳、成都、西安等地有重大伤亡的地铁施工事故进行统计,发现近几年各地地铁事故频发且呈逐年增加的趋势。
1.3安全事故频发原因分析
地铁工程在施工阶段出现的安全事故一般是由多方面因素引起的,不确定性因素很多。对一些工程项目安全事故的分析统计,概括起来主要包括以下方面:
1)工程地质及水文地质的复杂性:工程所在区域的工程地质、水文地质条件复杂,表现出很大的随机变异性;同时地层中还存在大量水的活动与作用。在地质勘察过程中,受到各种因素、施工条件的限制,勘察结果不可避免地与现场情况有一定的差距。
2)工程建设周边环境(建筑物、道路和地下管线等)的复杂性:地铁一般修建于城市中心,地铁工程周边的地面建(构)筑物和环境设施十分复杂。各种建筑物资料及管线资料勘测不全、调查不详或是因有关部门无法提供准确资料,使施工的危险性和不确定性增加。
3)工程前期准备不充分,工期偏紧:许多地铁项目前期工作不充分,技术准备不足,地铁工期紧,往往要用3-4年建成20km的地铁线,盲目追赶工期,使安全机制变形,最终导致安全事故的发生。
正是由于以上及其他方面的原因, 使近几年城市地铁隧道工程事故频频发生,而且事故造成的危害也越来越大,产生了一些不好的社会影响。
2. 盾构隧道施工风险研究的必要性
隧道与地下工程与其他工程项目相比,由于具有隐蔽性、复杂和不确定性等突出的特点,投资风险大,无论是设计、施工、决策都会遇到很多困难和障碍。尤其是在城市繁华或周围环境复杂的地带,隧道与地下工程的施工及运营要涉及到过多的拆迁、对周围环境及管线的影响,如果决策考虑不周,在其规划、设计施工和运营中均会对社会和国家造成不必要的重大的损失和不可估量的社会负面影响。例如在上海地铁四号线2003年7月1日发生的重大工程事故已给我们敲响了警钟。因此规避盾构施工风险已经成为了亟待解决的核心问题。为解决这一问题,就必然要借助风险评估和决策理论。风险评估可以对这些不确定因素进行分析,将不可预见的风险因素转化为定量的指标,并通过计算风险效益来选择风险控制措施,降低各种施工风险,以达到安全、经济、高效的施工目标。
风险评估研究的最终目的是为决策提供依据,从决策者的角度来说,其价值可以体现在决策者决策时信心地增强、对工程进展情况的掌控以及对资金流向的有效控制上。而工程风险研究的最高境界应该是实现“工程精算”,也即所有的风险子项均可由费用损失来表示。因此,对决策者来说,风险评估能够把决策变得简单化。如何对工程风险进行控制,在尽可能安全的情况下获取最大利益,这也需要对风险控制措施的风险效益进行评估。
3. 盾构隧道施工常见事故的规避措施
3.1盾构进出洞施工风险的规避措施
国内盾构施工经验表明,盾构进出洞过程中,最大的风险为洞口土体的稳定,目前国内多起盾构法隧道施工事故均发生在盾构进出洞上。端头加固效果不好,会造成洞口面流水,甚至导致盾构出洞时工作面出现大面积塌方,更严重可能引起地面沉降,危及周边建筑物的安全。为此,应制定有效措施,保证盾构顺利地通过进出口地段。
1)认真研究盾构进出洞端头的地层条件,保证盾机进出洞端头地层加固长度不小于盾构的长度,对土体开挖面稳定性不是很好的地段,还要采取降水的措施进行加固。
2)洞口打开前,必须对地层的加固效果进行检验,保证符合规定后方可打开。如果检验不通过的情况下,要采取措施直到符合了项目标准后才能够继续施工。
3)在始发阶段,由于盾构机推力较小、地层较软,要注意防止盾构机叩头。
3.2开挖面失稳风险的规避措施
在有微承压水的地段,一旦土压力设置不合理,容易引起开挖面失稳、流砂现象,更严重会直接危害到地面安全,为此应采取有效措施,防止开挖面失稳。
1)可在正式掘进之前,采集区间地层碴土进行改良实验,以取得第一手较为合理的参数,使开挖下来的渣土具有塑性流动性、止水性,并使渣土充满压力舱。
2)控制好土仓压力,防止开挖面失稳及其他问题的出现。
3)控制推进速度和渣土排土量, 维持排土量和开挖量的平衡,使得工程项目能够有序的进行。
3.3地表发生过大沉降风险的规避措施
地铁隧道施工不可避免地对土体产生扰动,引起隧道周围地表发生位移和变形,如果发生过大的沉降,就会危及周围地面建筑设施、道路和地下管线的安全,因此盾构施工过程中要加强地表的监测,并制定相应的措施防止进一步的沉降。
1)在盾构掘进过程中,应加强对周围道路、管线和临近建(构)筑物的监测,并对监测数据及时分析处理并反馈,不断调整和优化盾构推进参数,做到信息化施工,科学化管理。
2)在盾构掘进过程中,若发生沉降或沉陷,应派专人巡视,严密观察周围建筑物的沉降变化,根据沉降的实际情况采取相应的措施,不能有一丝的失误。
3)通过同步注浆以及二次注浆及时充填盾尾建筑空隙和因原有浆液固结收缩所生产的空隙,注浆时应严格控制注浆量和注浆压力,减少施工过程土体变形,使得工程项目能够顺利的完成。
4.结束语
1)盾构隧道建设规模大,施工时影响因素多,施工安全和施工风险更具有挑战性,作为地铁建设者有责任由义务在各个环节重视安全工作,提前做好认真细节的评估和预测,依靠科学规范管理不断提高地铁建设安全水平,确保城市轨道交通建设健康发展。
2)在地铁隧道工程施工前应制定好各项应急预案,编制切实可行的应急程序,成立应急组织,备好应急物资,出现事故及时抢救。
3)盾构掘进过程中要根据水文地质情况的变化,密切注视掘进参数的变化并认真分析,在盾构推进时根据实际情况及时调整和优化盾构掘进参数。
4)应该对已有的成功或失败的盾构法隧道施工案例进行分析统计,成功的案例应该要学习其中一些好的方法,失败的案例也要从中吸取教训,避免重复问题的出现。
5)对盾构法施工的工程项目需要采取科学的方法进行管理。对于项目的前期要做好相关的准备工作,统筹好整个工程项目的方方面面,不要盲目要赶工期,要循序渐进的推进。尤其是当新问题出现的时候,有及时的讨论,采取相应的措施解决。
参考文献:
[1]刘仁鹏,刘万京.土压平衡盾构技术浅谈[J].工程机械,2000
中图分类号:TV文献标识码: A
引言
随着社会经济的不断发展,企业与企业之间的竞争越来越激烈,如何在激烈的竞争中求得生存并长远发展,是每一个企业都关心的话题。水利水电工程行业是我国承担风险较大的行业之一,对于水利水电施工企业的风险,只有对企业实施有效地风险管理,对企业可能存在的风险进行控制盒防范,才能促进工程的顺利进行,并实现巨大的经济效益。
一、水利水电工程风险特点分析
水利水电工程风险特点主要是有水利水电工程其特有的特点决定的,导致水利水电工程风险具有明显的不确定想和随机性。一般来说,水利水电工程风险存在于水利水电工程的各个环节,而且风险问题存在与整个工程建设施工的全过程,甚至会对水利水电工程的后续事宜产生一定的影响。水利水电工程的就爱难舍规模相对较大,建设周期较长,需要的施工建设工艺复杂多变,而且建设施工环境更具复杂性,这些水利水电工程特有的施工环境导致水利水电工程风险更加难以预防和控制。水利水电工程的风险性质和数量,在很大程度上会随着工程的发展而不断变化,也就是说新的风险在工程施工的新阶段会随着出现,导致水利水电风险的多样性和复杂性。
二、加强水利水电工程风险控制与管理的现实重要性
水利事业作为一个国家社会经济发展的基础性事业,对于人们的生产生活都有着重要的影响,也是一直以来国家政府关注的核心问题之一。在社会经济迅速发展的当今时代,水利事业的发展明显滞后于经济发展速度,因此我国政府加大了对水利水电工程的投资力度,我国的水利事业迎来了高速发展时期。水利水电建设项目自身具有的复杂性,决定了水利水电风险控制工作具有较大的难度,因此必须要加强对水利水电工程的风险管理,不断改进风险管理模式和管理方法,最大限度的减少因风险而造成的水利水电工程项目的损失。总体来说,加强水利水电工程的风险管理与风险控制是保障水利水电工程得以顺利实现的基础和前提。
三、水利水电施工企业风险的种类
1、合同风险
水利水电建筑市场存在着的一些问题,如工程质量、工程款拖欠、原材料价格上涨、工期拖延等问题,都与合同履行不良有密切关系。建设合同的重要原则之一就是平等性,但是鉴于当前国内工程承包多呈现出买方市场的特点,建设单位常常居于对已有利的优势,对承包商在签订合同时常常强加种种不平等条款,例如合同中只有处罚条款没有奖励条款,对承包商只强调义务,而不提其应有的权利,对于工期延误罚款的条款,在合同中都有详细的规定,而且罚则极严,而对业主因设计图纸延误、因拆迁延误等条款都一带而过。合同是施工企业一切风险的源头,承包商如果在拟订合同条款时不坚持合理要求,则势必给企业埋下风险隐患。
2、自然风险
工程项目所在地区客观存在的恶劣自然条件,如严寒地区冬季无法施工,水利工程因洪水冲毁以及地震多发带、海啸、泥石流多发区都潜伏着威胁工程的严重自然灾害。另外,恶劣的气候或环境也会导致施工企业的利益受损,水利工程因长时间的暴雨、台风、酷暑等都给工程实施带来不便,从而增加工程成本。再次,恶劣的现场条件如地质条件差等原因同样会给施工企业带来重大损失。
3、材料价格风险
正常情况下,材料成本占建设工程项目成本的70%,有的工程属于长线工程,投资大,回收期长,施工企业必须采取一切措施严防材料涨价的风险。然而,在市场经济的情况下,通货膨胀是难免的,一定幅度的通胀是可以理解和接受的,但超过警戒线了,则企业将难以承受,因此,要求企业材料管理人员不断掌握准确的价格信息和可靠的货源,尽量减少因材料价格大幅波动而给企业带来巨大的影响。
4、工程管理风险
建设工程项目管理首先是公司领导层选派项目经理作为项目上的第一责任人,项目经理和项目管理组织是建设工程项目风险的主体,在项目风险管理中,项目经理在认识和处理各种错综复杂的风险时应统观全局抓主要矛盾,化不利为有利,将威胁转化为机会。另外,由于科技的不断进步,工程管理方法也应该与时俱进,企业管理者必须采用现代化手段来管理工程,才能使企业不断地发展和壮大。
四、水利水电工程项目的风险管理
具体来说,水利水电工程项目的风险管理分为项目风险识别、项目风险评估、项目风险应对、项目风险监控。
1、水利水电工程项目风险识别
风险识别是风险管理的首要环节,但由于水利水电工程项目风险的特点是多样的、多变、多层次的。因此必须将风险识别贯穿于项目工程的每一个阶段。一般来说,水利水电工程中能被识别的风险包括因设计、施工等因素引发的技术风险,工期安排不合理以及工期滞后引发的工期风险,国家政策变动和经济发展引发的风险,自然环境改变引发的风险,工程项目组织内部的风险,资金、材料、设备等引发的风险等。要想识别这些风险,就必须依照项目风险管理计划、项目计划等各类相关的信息进行详细了解和进行不确定性分析,以充分发觉可能的影响因素以及预测这些影响因素给工程项目造成的后果。对这些影响因素和后果进行整理分析,进而编制出风险识别报告,对影响因素及其来源和后果进行详细的说明。
2、水利水电工程项目风险评估
紧接着风险识别,工程项目风险评估就是对识别的各类风险进行度量,将各类风险进行比较,划分层级,确定风险的相对重要程度。对水利水电工程项目风险评估的关键主要有两个,一是风险导致损失的发生率,二是确定这些风险导致损失结果的严重程度。其中,第二个关键要素比第一个关键要素重要。因为有的工程项目完全损毁发生的频率只为1,但是这唯一的一次发生甚至会导致致命的损失。对水利水电项目工程风险进行评价时,应该综合各方面信息和数据以确定风险严重程度、发生概率、影响范围、发生时间等。这些方面的信息和数据来自风险识别报告书、工程项目假设、工程项目进程、同类风险的历史信息等。进行风险评估的方法主要有两类:一是定性评估,如主观估计法、故障分析树法等;二是定量评估,如敏感性分析法、贝叶斯推断原理法等。
3、水利水电工程项目风险应对
如果风险评估的结果显示工程项目的风险数量很大,则可以采取风险回避的策略,以防止风险的形成和发生。实践中常用的方法有工程法、程序法等。如果评估结果显示风险数量不多,而且可以通过人为干预降低风险发生的概率和减少风险发生导致的损失,则可以采取风险缓解的策略。如果风险评估结果显示,风险量不大,项目可以转交给第三方实施,则可以采取风险转移的策略。将风险发生的后果和责任全部转移给第三方。实践中可以通过将合同转移或者参加工程保险的方式来实现风险的转移。如果风险评估结果显示,项目风险发生的后果不严重,并且风险发生的概率较小的情况下,或者该项项目风险无法转移或者进行控制的成本太高,则可以采取风险自留的策略。采取这样的策略导致的损失一般用企业的内部资金来弥补。
4、水利水电工程项目风险监控
对潜在的以及发生了的项目风险,应该积极采取相应的措施进行监控,尤其要对各项风险应对措施的执行情况进行全程跟踪监督。具体的在风险监控过程中要注意监察风险的状态,确定其是否已经真的存在,是否已经发生,是否已经得到控制,是否已经消失等。其次,还应该在风险监控过程中对应对风险的策略进行监控,判断应对策略是否起作用,是否有偏差,是否需要调整等。再次,应当在持续的风险监控中积极分析是否有新的风险产生,并进行分析识别、评价、控制等。进行风险监控采取的方式主要有:风险审计法和偏差分析法。
五、水利水电工程施工风险的规避策略
1、增强风险管理意识
在水利工程领域,首先,管理者要有风险管理意识,要改变原来注重上级要求和关系协调而淡化风险管理的观念。其次,应把水利工程风险管理作为项目管理的一种常态,进而把风险管理塑造为一种常态文化。在水利工程风险管理框架构建的过程中,“摈弃重应急轻风险的思想意识,注重全局,强调整个流程,即关注全面的风险管理范围、完整的风险管理体系、全程的风险管理过程、全员的风险管理文化”。
2、完善风险管理组织结构
(1)由市场选择项目法人
现在很多地方水利工程法人选择采用的往往是非市场行为,具体说即项目法人在水利系统内部是市场竞争,兄弟单位之间的竞争,但是在整个社会市场中,系统之外的单位极难有资格竞标。从这一点可以看出,项目法人选择实际上是内部产生,而在系统内部,基本上运行的是一种市场竞争,即竞标是一种有限的市场行为。这种内部产生项目法人的非市场行为实际上是一种垄断行为。
(2)内部审计独立性
为保障内审的独立性,理应从制度设计上予以完善。首先,内审人员的地位问题。只向最高管理层负责,使他们脱离利益相关者,以公开公正地展开工作;其次,组织内部理应以正式沟通的手段向所有公司的人员宣布内审人员的任命,内审人员的责任和权利用制度来明确,用相应制度予以保障和规范,从而保障内部审计的独立性,逐步走向内部审计职业化之路。
(3)信息共享
在水利工程部门,用制度形式保证信息标准化和规范化,以落实信息公开、提高信息资源利用率,避免在信息采集、存贮和管理上重复浪费,使不同层次、不同部门信息系统间理应做到信息和信息产品的交流与共用,以便更加合理地达到资源配置,节约社会成本,创造更多的财富之目的。
3、通过工程索赔将风险转化为利润
工程索赔是承包商经常使用的手段,贯穿于项目实施的全过程,重点在施工阶段,涉及范围相当广泛。比如工程量变化、设计更改、业主要求将工期提前、不利自然条件或非乙方原因引起的施工条件的变化等,这些都属于可计量风险的范畴。FIDIC关于工程索赔的条款已由第三版的1个分条款增加为5个分条款,形成了独立的主题。我国《建设工程施工合同示范文本》关于工程索赔也作了相应的明确规定。这些索赔条款可以作为处理工程索赔的原则和法律依据。尽管工程索赔的解不是唯一的,但却是可以计量的。利用合同条歇进行索赔不仅是减少工程风险的基本手段,也反映项目合同管理的水平。实践证明,如果善于进行施工索赔,其索赔金额往往大予投标报价中的利润部分。因此,树立合同意识、风险意识和索赔意识对降低工程风险是非常重要的。
4、非计量风险的防范措施
非计量风险指政治、经济及不可抗力风险。政治风险包括:战争、、动乱、法律制度的变化等;经济风险包括:通货膨胀、外汇风险、保护主义及税收歧视等。这些风险在国际工程中经常遇到。政治风险发生的概率较小,但一旦发生将导致灾难性的后果。对于政治风险,只能作定性分析与预测,承包商应在投标决策阶段加强调查研究。经济风险一般难以避免,应成立专门机构研究施工过程的索赔及其它防范风险发生的措施,尽量降低风险发生的可能性及风险的危害。最好是进行定性与定量相结合的分析,比较各风险产生的可能后果对项目目标的影响程度,即对项目进行敏感性分析后,再作决策。
5、加强施工承包合同的风险管理
合同既是项目管理的法律文件,也是合同主体各方应承担风险的一种界定。项目管理者必须具有极强的风险意识,并能从风险分析与风险管理的角度分析出合同中每个条款的有利与不利因素,对项目可能遇到的风险因素有全面深刻的了解。否则,风险将给项目带来巨大的损失。风险管理是一个不断检查和更新的过程。随着工程项目的进展,各种风险事件将发生或消除,各种响应措施也将被采用或过时。风险管理人员将不定期或定期地根据最新的情况进行风险分析,确定新的风险事件和响应措施,并分析评价以前阶段风险管理的成败。只有不断地从风险中总结经验和教训,提高控制和应对风险的能力,才能使企业立于不败之地。
六、结束语
由于受自然环境、社会环境和人为因素的影响,在水利水电项目的开发过程中,存在着许多不确定因素。项目管理者作为水利工程项目建设的实施主体,处于整个工程建设管理的核心和主导地位,应提高项目风险管理意识,掌握风险识别技术,开展风险评估与分析,及时防范和化解风险,水利水电工程作为一项利国利民的大事,各级承包商和施工部门均应切实履行自身责任,在做好工程基础上,对工程风险予以充分重视,确保整个水利水电工程的有序进行。
参考文献
全面风险管理是从战略目标制定到目标实现的全过程风险管理,随着现代商业银行所承担风险的增加,商业银行内部审计关注的重点也逐渐转移到风险管理上来,当今风险审计作为一种新的审计理念,成为备受人们关注的热点。与其说银行是在经营货币的企业,不如说银行是经营风险,从风险管理中获取收益的企业。商业银行一直在利润与风险之间做着谨慎和侥幸的选择,防范和控制经营中的风险,实施全面风险管理战略,是商业银行面临的现实而紧迫的任务。作为现代商业银行的审计部门,如何由传统的合规性审计向风险预警和防范为目标的风险审计转变,合理配置有限的审计资源,提高审计效率与效益,有效发挥审计监督在防范和控制风险中的积极作用,已成为现代商业银行内部审计面临的焦点课题。
风险审计的涵义
风险审计,也称风险基础审计或者风险导向审计,它是在传统的账项基础和内部控制制度基础审计上发展起来的一种审计模式,是指审计人员在对被审单位的内部控制充分了解和评价的基础上,综合分析、判断被审计单位的风险状况及其风险程度,从而把有限的审计资源集中到高风险的审计领域,针对不同风险程度采取相应的审计对策,重点对高风险点进行实质性测试,从而伎内部审计的剩余风险降至可接受的最低水平。与账项基础审计、内部控制制度基础审计相比,风险审计关注点在于对被审单位的风险评估,其审计重心向风险评估转移,更加关注的是企业的风险管理活动一一是否建立清晰的风险管理战略、完善的管理架构、全面的风险管理过程和良好的风险管理文化,最终实现风险管理效率和价值的最大化,不但可以保证充分的审计覆盖面,而且对每一个领域都会根据其风险评价结果有不同的审计频率与深度,增强了对风险的预防控制作用,风险审计方法的重点是识另q、预防与控制风险。因此,风险审计理论的核心是从分析审计风险入手,通过建立科学的审计风险分析模型,采取定性定量分析方法,量化确定固有保证程度系数,并控制保证程度系数,确定可接受的检查风险水平,以确保审计质量。
商业银行实施风险审计方法的坝实重要牲格林斯潘曾经说过:“银行的基本职能是预测、承担和管理风险。”风险审计的本质和根本目标是促进和保障商业银行业务的稳健发展,促进商业银行树立全面的风险管理理念,坚持发展与防范风险并重;适应市场和业务需要,不断完善风险管理手段,健全风险管理体制,培育风险管理文化,提高风险管理水平,促进业务发展,目标是优化资源配置,将风险控制在商业银行可以承担的范围内,实现风险调整后的收益最大化。
(一)风险审计的理念和方法是商业银行实施全面风险管理的现实选择,进一步提升了内部审计的增值服务?风险是商业银行与生俱来的产物,存在于商业银行业务的每一个环节当中,商业银行提供金融服务的过程也是承担和控制风险的过程,因此,风险管理是商业银行永恒的主题。在现代金融领域中,能建立良好的风险管理架构和体系,对风险进行全面有效的管理,并以良好的风险定价策略实现价值增长,是影响商业银行核心竞争力的重要因素,也是实施风险审计的必然要求。国有商业银行上市后,要在提高全面风险管理能力的前提下保持持续的价值创造能力。
巴塞尔新资本协议和美国反舞弊财务报告委员会的发起组织委员会fCOSO)的《企业全面风险管理框架》将全面风险管理概括为对商业银行各个层次的业务单位和各种类型的风险进行统筹管理,这种管理要求将包含信用风险、市场风险、操作风险和其他风险的各种金融资产与资产组合,承担这些风险的各个业务单位纳入到统一的管理体系中,对各类风险依据统一的标准进行测量并加总,依据全部业务的相关性对风险进行全程的控制和管理。风险审计正是以全面评估风险为基础,从重要风险点上人手,在深入分析判断不同层面和业务单位风险状况的基础上,确定审计重点,对风险高的业务集中资源重点审计,通过评估银行风险识别的充分性、风险衡量的恰当性及风险防范的有效性,并在此基础上提出相应的改进措施和建议,直接影响商业银行经营战略的制定,确保商业银行实现业务发展、风险控制和效益增长的有机统一.
(二)采用风险审计的理论和技术、是现代商业银行审计发展的目标和方向,实现增值型审计转型需要:当前国际内审发展已进入一个以风险管理和公司治理为标志的新的发展阶段,西方的绝大部分商业银行在内部审计均采用了风险审计的理论和技术。国际审计师协会主席捷奎林?瓦格娜曾提出:“环境的变化给内部审计师带来增加价值的机会最多的领域是风险管理的公司治理。”2003年国际内部审计协会对2001年新的《内部审计实务标准》(以下简称《标准》)修改后,在内容上也自始至终都贯穿着风险审计的主导思想。
一是在对内部审计的定义中要求内部审计采用一种系统化、规范化的方法来对机构的风险管理、控制及监管过程进行评价进而提高它的效率,帮助机构实现它的目标。二是内部审计的目标要求内部审计参与风险管理。三是内部审计的工作重点要求内部审计参与风险管理。四是标准对审计计划、审计测试、审计结果、后续审计各个方面都作了和风险相关的明确规范。五是关于剩余风险,《标准》做出了在审计执行主管认为高级管理层接受的剩余风险水平对于机构来说是无法接受时就报告董事会加以解决的规定。这些规定和要求将内部审计的范围延伸到风险管理和公司治理,所以风险管理已经成为内部审计的主要工作。随着风险管理导向内部控制时代的来临,内部审计的工作重点也发行了变化,现代内部审计突破了传统的监督、鉴证、评价职能的范围,更多地介入商业银行有效的风险管理机制和健全的公司治理结构领域。
风睑审计在项代商业银行风睑管理中的作用
(一)风险审计有利于提高商业银行风险管理水平,促进风险文化建设。风险基础审计主动发现和控制各项风险,通过对商业银行业务部门进行风险评估,并按照次序排列风险,集中高风险的项目优先审计。前者试图阻止不期望的行为发生,这种事先的控制有助于阻止损失的发生;后者试图检查出不期望发生的行为,检查性的控带l目的是提供损失发生的证据。这两种类型的控制都是必要的内部控制系统,使商业银行的内控机制完善、管用。同时,风险审计关注的重点是业务过程中的每一个风险点,涉及所有员工和管理者,这样有助于形成商业银行风险文化,从而提高商业银行全面风险管理水平。
(二)风险审计有利于对风险事件的识别风险审计采用通用风险分析模板及方法,识别商业银行业务过程的风险和外部环境风险。风险审计人员运用某些分析方法,创造性地进行分析,判断管理层是否完全识别了企业的所有风险,若有遗漏的风险要提醒管理层加以考虑。
(三)风险审计有利于对风险的反应和控制。在风险反应活动中,商业银行要根据不同的风险决定要采取的策略和方法,决定是避免风险、接受风险、还是降低风险。如对有相对的风险回报的风险,商业银行可以考虑接受,但要采取控制措施,才能将风险降低到可以接受的水平,获得希望的回报。对于这部分风险,商业银行会采取减少风险、转移风险或分担风险的办法以降低商业银行承受的风险。风险审计人员的主要工作在于分析、评价风险回报的合理性、减少风险的措施的有效性、以及接受风险转移和风险分担的那一方的风险。
(四)风险审计有利于对风险信息沟通和风险管理系统的监控。在风险信息沟通活动中,商业银行的风险管理要将风险及时有效地传递给内部相关人员,以便及时采取相应的控制措施。风险审计人员可以通过评价报告系统证明风险信息被准确、及时地传递到相关人员,内部审计报告可以向董事会和审计委员会传递风险是否得到有效管理的信息。在监控活动中,商业银行要对风险管理进行持续监控,通过对内部控制系统的运行的监控和对定期检查结果及意外事项的处理结果的评价,保证商业银行对风险管理是一直有效的。风险审计人员可以通过分析环境和风险变化,检查内部控制系统是否已更新,是否能控制新的风险。还可以通过后续审计管理层对审计中发现的问题及对意外事项的处理情况,检查新的控制措施是否有效,将分析结果和建议提供给管理层以便改进控制措施。
风险审计在捕国商业银行规划与存在问题
(一)风险基础审计的法制化、制度化规范化建设的道路还很漫长。一是商业银行内部制度调整工作量大,相关业务制度和操作流程也要进行相应调整;二是支持系统建设难度大,因长期需要具备相应功能的电子化系统作支持,要求商业银行改进现有业务系统,并开发建设风险评估系统,风险评估系统的建设包括业务流程、历史数据收集、参数选择等需要大量投资和时间准备。三是短期内风险审计人员素质难以提高。风险审计人员需要精通包括审计、会计财务、法律、逻辑学、信息学、系统论、管理学等专业知识,懂得运用经济、数理、计算机等专用分析手段来预知和减少风险,每位风险审计人员达到运用自如的水准尚需时日。
(二)审计证据的较高要求增加风险审计取证的难度风险基础审计必须获取充足的、可靠的相关的证据以判断,而目前我国商业银行风险基础审计缺少可供遵循的标准和程序,且审计取证的渠道和方式多样,因此,审计人员一般都需要提高调查样本代表性和增大调查样本的方法,以增强对总体风险推断的准确性。
(三)风险审计技术手段落后,难以适应工作需要。计算机会计信息系统、信贷管理系统的广泛应用和发展,大大增强了审计的及时性,事后审计;逐步被实时审计所代替,这与针对经营全过程的风险基础审计不谋而合。在我国,商业银行审计人员大多数对计算机辅助审计不太熟悉,许多还停留在传统手工查账的基础上,在新技术面前还有些无所适从.审计手段落后,不但增加了审计难度,而且效率低、准确差,严重影响了审计作用的发挥,无法满足商业银行风险基础审计工作的需要
(四)协调配台欠缺,降低了审计结果的运用日常审计中很少利用纪检、人事及其他部门掌握的信息,审计结束后,除个别项目外一般也不与这些部门交换,致使审计成果在干部考核、任用、奖惩等方面没有发挥应有的作用,相应削弱了审计的威慑力。
我国商业银行发展和完善风险审计的对策
(一)正确认识风险基础审计在银行公司治理结构的重要作用,为风险审计的发展刨造良好的环境商业银行公司治理的核心问题是委托人(股东、投资者、管理者)如何激励和约束人(经理层)、积极有效地完成受托经营管理责任,以确保股东或投资者财富最大化。显然仅仅通过财务审计,委托人难以全面了解人是否有效履行其受托责任,而风险基础审计有利于减少信息不对称性,较为全面地提供委托人所需要的有关经营管理活动方面信息,大大遏制了“道德风险”的发生,增强了经营管理的透明度,从而达到控制和抑制“内部人控制”的目的,同时,通过风险审计可以有效地判断人的业绩和能力,评价人对受托人责任履行情况,促进人提高经营管理效率因此,风险审计是商业银行公司治理结构的重要组成部分,是完善公司治理结构的“四大基石”之一。
(二)抓紧制定风睑基蒯{计;,立则尽快完善评价标:停体系要吸收借鉴美国、英国、典等发达国家的先进经验,抓紧研究制定我国的风险基础审计准则,这是开展风险审计的当务之急。风险基础审计准则的制定要遵循“衔接”、“配套”、“务实”的原则,注意解决好前瞻与现实的矛盾,接轨与国情的矛盾。逐步探索和完善风险审计的评价标准体系,量化评价指标,为不同项目之间的比较提供依据.
全面风险管理是从战略目标制定到目标实现的全过程风险管理,随着现代商业银行所承担风险的增加,商业银行内部审计关注的重点也逐渐转移到风险管理上来,当今风险审计作为一种新的审计理念,成为备受人们关注的热点。与其说银行是在经营货币的企业,不如说银行是经营风险,从风险管理中获取收益的企业。商业银行一直在利润与风险之间做着谨慎和侥幸的选择,防范和控制经营中的风险,实施全面风险管理战略,是商业银行面临的现实而紧迫的任务。作为现代商业银行的审计部门,如何由传统的合规性审计向风险预警和防范为目标的风险审计转变,合理配置有限的审计资源,提高审计效率与效益,有效发挥审计监督在防范和控制风险中的积极作用,已成为现代商业银行内部审计面临的焦点课题。
风险审计的涵义
风险审计,也称风险基础审计或者风险导向审计,它是在传统的账项基础和内部控制制度基础审计上发展起来的一种审计模式,是指审计人员在对被审单位的内部控制充分了解和评价的基础上,综合分析、判断被审计单位的风险状况及其风险程度,从而把有限的审计资源集中到高风险的审计领域,针对不同风险程度采取相应的审计对策,重点对高风险点进行实质性测试,从而伎内部审计的剩余风险降至可接受的最低水平。与账项基础审计、内部控制制度基础审计相比,风险审计关注点在于对被审单位的风险评估,其审计重心向风险评估转移,更加关注的是企业的风险管理活动一一是否建立清晰的风险管理战略、完善的管理架构、全面的风险管理过程和良好的风险管理文化,最终实现风险管理效率和价值的最大化,不但可以保证充分的审计覆盖面,而且对每一个领域都会根据其风险评价结果有不同的审计频率与深度,增强了对风险的预防控制作用,风险审计方法的重点是识另q、预防与控制风险。因此,风险审计理论的核心是从分析审计风险入手,通过建立科学的审计风险分析模型,采取定性定量分析方法,量化确定固有保证程度系数,并控制保证程度系数,确定可接受的检查风险水平,以确保审计质量。
商业银行实施风险审计方法的坝实重要牲
格林斯潘曾经说过:“银行的基本职能是预测、承担和管理风险。”风险审计的本质和根本目标是促进和保障商业银行业务的稳健发展,促进商业银行树立全面的风险管理理念,坚持发展与防范风险并重;适应市场和业务需要,不断完善风险管理手段,健全风险管理体制,培育风险管理文化,提高风险管理水平,促进业务发展,目标是优化资源配置,将风险控制在商业银行可以承担的范围内,实现风险调整后的收益最大化。
(一)风险审计的理念和方法是商业银行实施全面风险管理的现实选择,进一步提升了内部审计的增值服务?风险是商业银行与生俱来的产物,存在于商业银行业务的每一个环节当中,商业银行提供金融服务的过程也是承担和控制风险的过程,因此,风险管理是商业银行永恒的主题。在现代金融领域中,能建立良好的风险管理架构和体系,对风险进行全面有效的管理,并以良好的风险定价策略实现价值增长,是影响商业银行核心竞争力的重要因素,也是实施风险审计的必然要求。国有商业银行上市后,要在提高全面风险管理能力的前提下保持持续的价值创造能力。
巴塞尔新资本协议和美国反舞弊财务报告委员会的发起组织委员会fcoso)的《企业全面风险管理框架》将全面风险管理概括为对商业银行各个层次的业务单位和各种类型的风险进行统筹管理,这种管理要求将包含信用风险、市场风险、操作风险和其他风险的各种金融资产与资产组合,承担这些风险的各个业务单位纳入到统一的管理体系中,对各类风险依据统一的标准进行测量并加总,依据全部业务的相关性对风险进行全程的控制和管理。风险审计正是以全面评估风险为基础,从重要风险点上人手,在深入分析判断不同层面和业务单位风险状况的基础上,确定审计重点,对风险高的业务集中资源重点审计,通过评估银行风险识别的充分性、风险衡量的恰当性及风险防范的有效性,并在此基础上提出相应的改进措施和建议,直接影响商业银行经营战略的制定,确保商业银行实现业务发展、风险控制和效益增长的有机统一
(二)采用风险审计的理论和技术、是现代商业银行审计发展的目标和方向,实现增值型审计转型需要:当前国际内审发展已进入一个以风险管理和公司治理
为标志的新的发展阶段,西方的绝大部分商业银行在内部审计均采用了风险审计的理论和技术。国际审计师协会主席捷奎林?瓦格娜曾提出:“环境的变化给内部审计师带来增加价值的机会最多的领域是风险管理的公司治理。”2003年国际内部审计协会对2001年新的《内部审计实务标准》(以下简称《标准》)修改后,在内容上也自始至终都贯穿着风险审计的主导思想。
一是在对内部审计的定义中要求内部审计采用一种系统化、规范化的方法来对机构的风险管理、控制及监管过程进行评价进而提高它的效率,帮助机构实现它的目标。二是内部审计的目标要求内部审计参与风险管理。三是内部审计的工作重点要求内部审计参与风险管理。四是标准对审计计划、审计测试、审计结果、后续审计各个方面都作了和风险相关的明确规范。五是关于剩余风险,《标准》做出了在审计执行主管认为高级管理层接受的剩余风险水平对于机构来说是无法接受时就报告董事会加以解决的规定。这些规定和要求将内部审计的范围延伸到风险管理和公司治理,所以风险管理已经成为内部审计的主要工作。随着风险管理导向内部控制时代的来临,内部审计的工作重点也发行了变化,现代内部审计突破了传统的监督、鉴证、评价职能的范围,更多地介入商业银行有效的风险管理机制和健全的公司治理结构领域。
风睑审计在项代商业银行风睑管理中的作用
(一)风险审计有利于提高商业银行风险管理水平,促进风险文化建设。风险基础审计主动发现和控制各项风险,通过对商业银行业务部门进行风险评估,并按照次序排列风险,集中高风险的项目优先审计。前者试图阻止不期望的行为发生,这种事先的控制有助于阻止损失的发生;后者试图检查出不期望发生的行为,检查性的控带l目的是提供损失发生的证据。这两种类型的控制都是必要的内部控制系统,使商业银行的内控机制完善、管用。同时,风险审计关注的重点是业务过程中的每一个风险点,涉及所有员工和管理者,这样有助于形成商业银行风险文化,从而提高商业银行全面风险管理水平。
(二)风险审计有利于对风险事件的识别风险审计采用通用风险分析模板及方法,识别商业银行业务过程的风险和外部环境风险。风险审计人员运用某些分析方法,创造性地进行分析,判断管理层是否完全识别了企业的所有风险,若有遗漏的风险要提醒管理层加以考虑。
(三)风险审计有利于对风险的反应和控制。在风险反应活动中,商业银行要根据不同的风险决定要采取的策略和方法,决定是避免风险、接受风险、还是降低风险。如对有相对的风险回报的风险,商业银行可以考虑接受,但要采取控制措施,才能将风险降低到可以接受的水平,获得希望的回报。对于这部分风险,商业银行会采取减少风险、转移风险或分担风险的办法以降低商业银行承受的风险。风险审计人员的主要工作在于分析、评价风险回报的合理性、减少风险的措施的有效性、以及接受风险转移和风险分担的那一方的风险。
(四)风险审计有利于对风险信息沟通和风险管理系统的监控。在风险信息沟通活动中,商业银行的风险管理要将风险及时有效地传递给内部相关人员,以便及时采取相应的控制措施。风险审计人员可以通过评价报告系统证明风险信息被准确、及时地传递到相关人员,内部审计报告可以向董事会和审计委员会传递风险是否得到有效管理的信息。在监控活动中,商业银行要对风险管理进行持续监控,通过对内部控制系统的运行的监控和对定期检查结果及意外事项的处理结果的评价,保证商业银行对风险管理是一直有效的。风险审计人员可以通过分析环境和风险变化,检查内部控制系统是否已更新,是否能控制新的风险。还可以通过后续审计管理层对审计中发现的问题及对意外事项的处理情况,检查新的控制措施是否有效,将分析结果和建议提供给管理层以便改进控制措施。
风险审计在捕国商业银行规划与存在问题
(一)风险基础审计的法制化、制度化规范化建设的道路还很漫长。一是商业银行内部制度调整工作量大,相关业务制度和操作流程也要进行相应调整;二是支持系统建设难度大,因长期需要具备相应功能的电子化系统作支持,要求商业银行改进现有业务系统,并开发建设风险评估系统,风险评估系统的建设包括业务流程、历史数据收集、参数选择等需要大量投资和时间准备。三是短期内风险审计人员素质难以提高。风险审计人员需要精通包括审计、会计财务、法律、逻辑学、信息学、系统论、管理学等专业知识,懂得运用经济、数理、计算机等专用分析手段来预知和减少风险,每位风险审计人员达到运用自如的水准尚需时日。
(二)审计证据的较高要求增加风险审计取证的难度风险基础审计必须获取充足的、可靠的相关的证据以判断,而目前我国商业银行风险基础审计缺少可供遵循的标准和程序,且审计取证的渠道和方式多样,因此,审计人员一般都需要提高调查样本代表性和增大调查样本
的方法,以增强对总体风险推断的准确性。
(三)风险审计技术手段落后,难以适应工作需要。计算机会计信息系统、信贷管理系统的广泛应用和发展,大大增强了审计的及时性,事后审计;逐步被实时审计所代替,这与针对经营全过程的风险基础审计不谋而合。在我国,商业银行审计人员大多数对计算机辅助审计不太熟悉,许多还停留在传统手工查账的基础上,在新技术面前还有些无所适从.审计手段落后,不但增加了审计难度,而且效率低、准确差,严重影响了审计作用的发挥,无法满足商业银行风险基础审计工作的需要
(四)协调配台欠缺,降低了审计结果的运用日常审计中很少利用纪检、人事及其他部门掌握的信息,审计结束后,除个别项目外一般也不与这些部门交换,致使审计成果在干部考核、任用、奖惩等方面没有发挥应有的作用,相应削弱了审计的威慑力。
我国商业银行发展和完善风险审计的对策
(一)正确认识风险基础审计在银行公司治理结构的重要作用,为风险审计的发展刨造良好的环境商业银行公司治理的核心问题是委托人(股东、投资者、管理者)如何激励和约束人(经理层)、积极有效地完成受托经营管理责任,以确保股东或投资者财富最大化。显然仅仅通过财务审计,委托人难以全面了解人是否有效履行其受托责任,而风险基础审计有利于减少信息不对称性,较为全面地提供委托人所需要的有关经营管理活动方面信息,大大遏制了“道德风险”的发生,增强了经营管理的透明度,从而达到控制和抑制“内部人控制”的目的,同时,通过风险审计可以有效地判断人的业绩和能力,评价人对受托人责任履行情况,促进人提高经营管理效率因此,风险审计是商业银行公司治理结构的重要组成部分,是完善公司治理结构的“四大基石”之一。
(二)抓紧制定风睑基蒯{计;,立则尽快完善评价标:停体系要吸收借鉴美国、英国、典等发达国家的先进经验,抓紧研究制定我国的风险基础审计准则,这是开展风险审计的当务之急。风险基础审计准则的制定要遵循“衔接”、“配套”、“务实”的原则,注意解决好前瞻与现实的矛盾,接轨与国情的矛盾。逐步探索和完善风险审计的评价标准体系,量化评价指标,为不同项目之间的比较提供依据
全面风险管理是从战略目标制定到目标实现的全过程风险管理,随着现代商业银行所承担风险的增加,商业银行内部审计关注的重点也逐渐转移到风险管理上来,当今风险审计作为一种新的审计理念,成为备受人们关注的热点。与其说银行是在经营货币的企业,不如说银行是经营风险,从风险管理中获取收益的企业。商业银行一直在利润与风险之间做着谨慎和侥幸的选择,防范和控制经营中的风险,实施全面风险管理战略,是商业银行面临的现实而紧迫的任务。作为现代商业银行的审计部门,如何由传统的合规性审计向风险预警和防范为目标的风险审计转变,合理配置有限的审计资源,提高审计效率与效益,有效发挥审计监督在防范和控制风险中的积极作用,已成为现代商业银行内部审计面临的焦点课题。
风险审计的涵义
风险审计,也称风险基础审计或者风险导向审计,它是在传统的账项基础和内部控制制度基础审计上发展起来的一种审计模式,是指审计人员在对被审单位的内部控制充分了解和评价的基础上,综合分析、判断被审计单位的风险状况及其风险程度,从而把有限的审计资源集中到高风险的审计领域,针对不同风险程度采取相应的审计对策,重点对高风险点进行实质性测试,从而伎内部审计的剩余风险降至可接受的最低水平。与账项基础审计、内部控制制度基础审计相比,风险审计关注点在于对被审单位的风险评估,其审计重心向风险评估转移,更加关注的是企业的风险管理活动一一是否建立清晰的风险管理战略、完善的管理架构、全面的风险管理过程和良好的风险管理文化,最终实现风险管理效率和价值的最大化,不但可以保证充分的审计覆盖面,而且对每一个领域都会根据其风险评价结果有不同的审计频率与深度,增强了对风险的预防控制作用,风险审计方法的重点是识另q、预防与控制风险。因此,风险审计理论的核心是从分析审计风险入手,通过建立科学的审计风险分析模型,采取定性定量分析方法,量化确定固有保证程度系数,并控制保证程度系数,确定可接受的检查风险水平,以确保审计质量。
商业银行实施风险审计方法的坝实重要牲
格林斯潘曾经说过:“银行的基本职能是预测、承担和管理风险。”风险审计的本质和根本目标是促进和保障商业银行业务的稳健发展,促进商业银行树立全面的风险管理理念,坚持发展与防范风险并重;适应市场和业务需要,不断完善风险管理手段,健全风险管理体制,培育风险管理文化,提高风险管理水平,促进业务发展,目标是优化资源配置,将风险控制在商业银行可以承担的范围内,实现风险调整后的收益最大化。
(一)风险审计的理念和方法是商业银行实施全面风险管理的现实选择,进一步提升了内部审计的增值服务?风险是商业银行与生俱来的产物,存在于商业银行业务的每一个环节当中,商业银行提供金融服务的过程也是承担和控制风险的过程,因此,风险管理是商业银行永恒的主题。在现代金融领域中,能建立良好的风险管理架构和体系,对风险进行全面有效的管理,并以良好的风险定价策略实现价值增长,是影响商业银行核心竞争力的重要因素,也是实施风险审计的必然要求。国有商业银行上市后,要在提高全面风险管理能力的前提下保持持续的价值创造能力。
巴塞尔新资本协议和美国反舞弊财务报告委员会的发起组织委员会fCOSO)的《企业全面风险管理框架》将全面风险管理概括为对商业银行各个层次的业务单位和各种类型的风险进行统筹管理,这种管理要求将包含信用风险、市场风险、操作风险和其他风险的各种金融资产与资产组合,承担这些风险的各个业务单位纳入到统一的管理体系中,对各类风险依据统一的标准进行测量并加总,依据全部业务的相关性对风险进行全程的控制和管理。风险审计正是以全面评估风险为基础,从重要风险点上人手,在深入分析判断不同层面和业务单位风险状况的基础上,确定审计重点,对风险高的业务集中资源重点审计,通过评估银行风险识别的充分性、风险衡量的恰当性及风险防范的有效性,并在此基础上提出相应的改进措施和建议,直接影响商业银行经营战略的制定,确保商业银行实现业务发展、风险控制和效益增长的有机统一
(二)采用风险审计的理论和技术、是现代商业银行审计发展的目标和方向,实现增值型审计转型需要:当前国际内审发展已进入一个以风险管理和公司治理为标志的新的发展阶段,西方的绝大部分商业银行在内部审计均采用了风险审计的理论和技术。国际审计师协会主席捷奎林?瓦格娜曾提出:“环境的变化给内部审计师带来增加价值的机会最多的领域是风险管理的公司治理。”2003年国际内部审计协会对2001年新的《内部审计实务标准》(以下简称《标准》)修改后,在内容上也自始至终都贯穿着风险审计的主导思想。
一是在对内部审计的定义中要求内部审计采用一种系统化、规范化的方法来对机构的风险管理、控制及监管过程进行评价进而提高它的效率,帮助机构实现它的目标。二是内部审计的目标要求内部审计参与风险管理。三是内部审计的工作重点要求内部审计参与风险管理。四是标准对审计计划、审计测试、审计结果、后续审计各个方面都作了和风险相关的明确规范。五是关于剩余风险,《标准》做出了在审计执行主管认为高级管理层接受的剩余风险水平对于机构来说是无法接受时就报告董事会加以解决的规定。这些规定和要求将内部审计的范围延伸到风险管理和公司治理,所以风险管理已经成为内部审计的主要工作。随着风险管理导向内部控制时代的来临,内部审计的工作重点也发行了变化,现代内部审计突破了传统的监督、鉴证、评价职能的范围,更多地介入商业银行有效的风险管理机制和健全的公司治理结构领域。
风睑审计在项代商业银行风睑管理中的作用
(一)风险审计有利于提高商业银行风险管理水平,促进风险文化建设。风险基础审计主动发现和控制各项风险,通过对商业银行业务部门进行风险评估,并按照次序排列风险,集中高风险的项目优先审计。前者试图阻止不期望的行为发生,这种事先的控制有助于阻止损失的发生;后者试图检查出不期望发生的行为,检查性的控带l目的是提供损失发生的证据。这两种类型的控制都是必要的内部控制系统,使商业银行的内控机制完善、管用。同时,风险审计关注的重点是业务过程中的每一个风险点,涉及所有员工和管理者,这样有助于形成商业银行风险文化,从而提高商业银行全面风险管理水平。
(二)风险审计有利于对风险事件的识别风险审计采用通用风险分析模板及方法,识别商业银行业务过程的风险和外部环境风险。风险审计人员运用某些分析方法,创造性地进行分析,判断管理层是否完全识别了企业的所有风险,
若有遗漏的风险要提醒管理层加以考虑。
(三)风险审计有利于对风险的反应和控制。在风险反应活动中,商业银行要根据不同的风险决定要采取的策略和方法,决定是避免风险、接受风险、还是降低风险。如对有相对的风险回报的风险,商业银行可以考虑接受,但要采取控制措施,才能将风险降低到可以接受的水平,获得希望的回报。对于这部分风险,商业银行会采取减少风险、转移风险或分担风险的办法以降低商业银行承受的风险。风险审计人员的主要工作在于分析、评价风险回报的合理性、减少风险的措施的有效性、以及接受风险转移和风险分担的那一方的风险。
(四)风险审计有利于对风险信息沟通和风险管理系统的监控。在风险信息沟通活动中,商业银行的风险管理要将风险及时有效地传递给内部相关人员,以便及时采取相应的控制措施。风险审计人员可以通过评价报告系统证明风险信息被准确、及时地传递到相关人员,内部审计报告可以向董事会和审计委员会传递风险是否得到有效管理的信息。在监控活动中,商业银行要对风险管理进行持续监控,通过对内部控制系统的运行的监控和对定期检查结果及意外事项的处理结果的评价,保证商业银行对风险管理是一直有效的。风险审计人员可以通过分析环境和风险变化,检查内部控制系统是否已更新,是否能控制新的风险。还可以通过后续审计管理层对审计中发现的问题及对意外事项的处理情况,检查新的控制措施是否有效,将分析结果和建议提供给管理层以便改进控制措施。
风险审计在捕国商业银行规划与存在问题
(一)风险基础审计的法制化、制度化规范化建设的道路还很漫长。一是商业银行内部制度调整工作量大,相关业务制度和操作流程也要进行相应调整;二是支持系统建设难度大,因长期需要具备相应功能的电子化系统作支持,要求商业银行改进现有业务系统,并开发建设风险评估系统,风险评估系统的建设包括业务流程、历史数据收集、参数选择等需要大量投资和时间准备。三是短期内风险审计人员素质难以提高。风险审计人员需要精通包括审计、会计财务、法律、逻辑学、信息学、系统论、管理学等专业知识,懂得运用经济、数理、计算机等专用分析手段来预知和减少风险,每位风险审计人员达到运用自如的水准尚需时日。
(二)审计证据的较高要求增加风险审计取证的难度风险基础审计必须获取充足的、可靠的相关的证据以判断,而目前我国商业银行风险基础审计缺少可供遵循的标准和程序,且审计取证的渠道和方式多样,因此,审计人员一般都需要提高调查样本代表性和增大调查样本的方法,以增强对总体风险推断的准确性。
(三)风险审计技术手段落后,难以适应工作需要。计算机会计信息系统、信贷管理系统的广泛应用和发展,大大增强了审计的及时性,事后审计;逐步被实时审计所代替,这与针对经营全过程的风险基础审计不谋而合。在我国,商业银行审计人员大多数对计算机辅助审计不太熟悉,许多还停留在传统手工查账的基础上,在新技术面前还有些无所适从.审计手段落后,不但增加了审计难度,而且效率低、准确差,严重影响了审计作用的发挥,无法满足商业银行风险基础审计工作的需要
(四)协调配台欠缺,降低了审计结果的运用日常审计中很少利用纪检、人事及其他部门掌握的信息,审计结束后,除个别项目外一般也不与这些部门交换,致使审计成果在干部考核、任用、奖惩等方面没有发挥应有的作用,相应削弱了审计的威慑力。
我国商业银行发展和完善风险审计的对策
(一)正确认识风险基础审计在银行公司治理结构的重要作用,为风险审计的发展刨造良好的环境商业银行公司治理的核心问题是委托人(股东、投资者、管理者)如何激励和约束人(经理层)、积极有效地完成受托经营管理责任,以确保股东或投资者财富最大化。显然仅仅通过财务审计,委托人难以全面了解人是否有效履行其受托责任,而风险基础审计有利于减少信息不对称性,较为全面地提供委托人所需要的有关经营管理活动方面信息,大大遏制了“道德风险”的发生,增强了经营管理的透明度,从而达到控制和抑制“内部人控制”的目的,同时,通过风险审计可以有效地判断人的业绩和能力,评价人对受托人责任履行情况,促进人提高经营管理效率因此,风险审计是商业银行公司治理结构的重要组成部分,是完善公司治理结构的“四大基石”之一。
(二)抓紧制定风睑基蒯{计;,立则尽快完善评价标:停体系要吸收借鉴美国、英国、典等发达国家的先进经验,抓紧研究制定我国的风险基础审计准则,这是开展风险审计的当务之急。风险基础审计准则的制定要遵循“衔接”、“配套”、“务实”的原则,注意解决好前瞻与现实的矛盾,接轨与国情的矛盾。逐步探索和完善风险审计的评价标准体系,量化评价指标,为不同项目之间的比较提供依据
