关键词:风险分析;定性分析;半定量分析;定量分析;文献计量分析
突发事件是一类突然发生的、可能对公众的健康造成严重影响的一类事件。此外,突发事件还因其成因多样性、影响广泛性等特点,还会严重影响到社会稳定与经济发展。据WHO报道,近年来世界各地突发事件频发,严重影响各国各地区公共卫生安全、民众健康与地区经济发展。因此,对突发事件的风险分析在突发事件的应急处置与管理中显得尤为重要。风险评估是突发事件应急管理中的重要内容,是对突发事件的危害所产生或将产生不良效应的可能性和严重性的客观判断与分析,有助于及早识别公共卫生危害,提供卫生应急决策依据。风险评估包括三个步骤:风险识别、风险分析和风险评价[1]。其中,风险分析是风险评估中的关键一环和核心内容。
本文以中国知网(CNKI)为核心数据源,分析各类风险分析方法在我国突发事件领域的研究和应用情况,为下一步研究提供参考。本次研究共涉及定性、半定量和定量三大类总计36种风险分析方法。其中,定性分析方法包括:①头脑风暴法;②德尔菲法;③情景分析;④检查表法;⑤失效模式与效应分析;⑥危险分析与关键控制点;⑦危险与可操作性分析;⑧SWOT。半定量分析方法包括:①风险矩阵;②层次分析法;③风险指数;④事件树分析;⑤故障树/事故树分析;⑥决策树;⑦人因可靠性分析;⑧保护层分析法;⑨FN曲线;⑩模糊神经网络;11Bow-tie法;12在险值法;13因果分析;14投影寻踪。定量分析方法包括:①BP神经网络;②多米诺效应;③突发事件链;④蒙特卡罗模拟法;⑤贝叶斯网络;⑥马尔可夫分析法;⑦灰色预测模型;⑧时间序列分析;⑨向量自回归模型;⑩信息扩散理论;11极值理论;12通径分析;13地理信息系统技术;14遥感技术。
1资料与方法
以中国知网为数据源,采用基本检索方式,年限不限,检索字段为关键词、篇名和摘要,以36种风险分析方法名称为关键词。共检索得到184375篇文献(检索日期为2014年12月21日;检索数据库包括中国学术期刊网络出版总社和中国学术期刊全文数据库),其中定性分析方法27066篇,半定量分析方法62098篇,定量分析方法95211篇。
2结果
2.1年代分布 根据文献计量学理论,对某一主题的论文在时间的统计分析,可以在一定程度上反映了该领域学术研究的理论水平和发展速度[2]。定性、半定量和定量分析方法的年度发表情况见图1~图3。
2.1.1定性分析方法 从年度发表数量的变化趋势来看,SWOT分析文献数量从2001年起呈现一个明显的上升趋势,虽然在2014年有一个较小的回落,但仍然高于其他7种方法的发表数量。德尔菲法文献数量自1996年起开始缓慢上升,在2002年达到顶峰后,发表数量无较大波动情况,2014年也同样呈现出一个较小的回落。危险分析与关键控制点文献数量自1998年起出现明细的上升,高峰出现于2003年,但此后即出现数量上的下滑。其他方法的文献数量变化趋势类似,逐年略有增加。但总体而言数量不多,见图1。
图1 定性分析方法文献年度发表情况
2.1.2半定量分析方法 由图2可见,层次分析法文献数量从1980年起即保持了逐年缓慢增高的趋势,自2002年起增长趋势更加明显;至2013年达到顶峰,2014年出现一个小的回落,但其绝对水平仍远高于其他13种半定量分析方法。模糊神经网络文献自1996起出现一个明显的增长趋势,自2006年达到顶峰,其后每年的发表数量出现缓慢回落。故障树分析、决策树分析、因果分析、在险值法和投影寻踪文献的发展趋势较为相似,自有文献发表起便一直处于缓慢增长态势,该增长趋势自2003年起变得更加明显,但均于近两年发生回落。其他几种方法文献发表数量均较低,变化趋势不明显。
图2 半定量分析方法文献年度发表情况
2.1.3定量分析方法 此类分析方法中,增长幅度和趋势最明显的是BP神经网络、蒙特卡罗模拟法和马尔可夫分析法。其中,BP神经网络文献的年发表数量在2009年达到顶峰,其后出现小的回落,但发表数量仍居首位。蒙特卡罗模拟法文献的发表高峰出现在2013年,以后有一个小的回落。马尔可夫分析法文献自2009年达到高峰后,其后几年波动不大。其次是遥感技术、向量自回归模型、时间序列分析、通径分析、灰色预测模型、贝叶斯网络、GIS技术、信息扩散理论,自有文献发表以来一直处于缓慢上升趋势,近几年增长趋势较为明显,虽然几种方法文献在发表数量上存在绝对水平的高低差别。极值理论和多米诺文献自有文献发表以来一直缓慢上升,但近几年出现较明显的下降,见图3。
图3 定量分析方法文献年度发表情况
2.2领域分布 除检查表法共计在30个领域有文献发表外,其余各定性分析方法的发表领域数量均达39~43。半定量分析方法中,应用最少的是FN曲线,共计在7个领域有文献发表;其次是保护层分析法,共计在26个领域有文献发表;其余半定量分析方法的发表领域数量均在36~40。定量分析方法中,应用最少的是突发事件链,共计在8个领域有文献发表;其余方法的发表领域数量均在9~40。
3讨论
3.1发展趋势 由年度分析可知,目前我国三大类风险分析方法的发展趋势各不相同。定性分析方法方面,SWOT分析虽然在量上占据绝对优势,但近几年发表的量有所减少。提示该方法在技术层面应已成熟,没有太大的发展空间,更多的应是和其他方法在突发事件风险分析中的综合应用。德尔菲法和危险分析与关键控制点方法也呈现出相似的趋势。而其他的方法,如情景分析、检查表法等虽然发表量上不大,但逐年略有增加,说明近些年越来越得到重视,并不断得到研究和应用[3,4]。
半定量分析方法和定性分析方法的发展趋势类似。虽然层次分析法在发表总量上占据首位,但近些年在发表数量上出现回落,提示该方法在技术层面的发展可能也已趋向成熟。此外,半定量类的其他方法的发展趋势均较相似,整体幅度不大,但发展较为平稳。
定量分析方法方面整体呈现出蓬勃的发展趋势,并非少数一种或几种方法独占鳌头。虽然在近几年的发表量上略有波动,但总体上可以将这一类的14种分析方法分为三大梯队。第一梯队的是BP神经网络、蒙特卡罗模拟法和马尔可夫分析法,自1999年以来发展趋势明显。属于第二梯队的是遥感技术、向量自回归模型、时间序列分析、通径分析。发展幅度不如第一梯队。发展幅度和速度最小的是第三梯队的灰色预测模型、贝叶斯网络、GIS技术、信息扩散理论、极值理论和多米诺效应。其中,突发事件链文献自2009年起每年仅有1~3篇的发表量,且大部分围绕技术理论研究[5-7],实际应用类研究较少,说明该方法仍属于一个较新的方法,有较大发展潜力和空间。
3.2研究重点 SWOT、层次分析法和BP神经网络分别是定性、半定量和定量分析方法中发表总量占据首位的方法。提示目前这三种方法是风险分析方法的研究重点。这可能与这几种方法的使用相对灵活,适用领域广有关。其中,SWOT分析是一类通过对待评价对象的优势(strength)、劣势(weakness)、机遇(opportunity)、威胁(threat)进行分析,从而全面把握内部优劣势与外部环境的机会和威胁,制定发展战略和措施的一类方法[8-10]。其主要优点即简单易行,使用范围广。层次分析法是一种定性与定量分析相结合的方法,适合于多目标、多层次、多因素的复杂系统的决策。分析问题更有系统性、实用性强、分析过程简洁明了是该方法的主要优点[11-13]。而BP神经网络作为一类定量分析方法,因具有自学习、自适应和较好的容错性等特点,和可以较好地提高风险分析的准确性和可靠性的优点,也获得了广泛研究和应用[14-17]。
4结论
我国有关三大类36种风险分析方法的研究文献数量总量居多,但各种方法的发展速度不一。此外,在总量上占据首位的几种风险分析方法近些年的发展趋势均出现小幅回落。建议加强对新方法的研究和应用。而对于这些技术研究相对较成熟的方法,建议开展更多的综合应用研究,以提高我国风险分析领域的研究水平和质量。
参考文献:
[1]邓瑛,王琦琦,松凯,等.突发公共卫生事件风险评估研究进展[J].中国预防医学杂志,2011,12(3):292-294.
[2]张玉双.我国高校图书馆知识管理研究的文献统计分析[J].晋图学刊,2008(5):45-48.
[3]赵思健,黄崇福,郭树军.情景驱动的区域自然灾害风险分析[J].自然灾害学报,2012(01):9-17.
[4]郑琪,沈斐敏.中小企业安全风险评价方法研究[J].安全与环境工程,2012(03):93-95,104.
[5]李藐,陈建国,陈涛,等.突发事件的事件链概率模型[J].清华大学学报:自然科学版,2010(8):1173-1177.
[6]庞国楹,李梅英,刘俊峰,等.基于集对分析理论的非常规突发事件链的综合风险研究[J].军事交通学院学报,2012,14(9):77-81.
[7]曲毅,仲秋雁,马骁霏,等.基于情景的突发事件演变概率规则推理方法[J].系统工程学报,2014,29(4):571-578.
[8]张沁园.SWOT分析法在战略管理中的应用[J].企业改革与管理,2006(2):62-63.
[9]张静,刘晓丹,吴世菊,等.我国社区居民电子健康档案应用的SWOT分析[J].中国全科医学,2010(22):2438-2440.
[10]J F,C P,D L,J V-R.Mathematical modelling methodologies in predictive food microbiology:a SWOT analysis[J].International journal of food microbiology,2009,134(1-2):2-8.
[11]扈海波,王迎春,熊亚军.基于层次分析模型的北京雷电灾害风险评估[J].自然灾害学报,2010(01):104-109.
[12]许树柏.层次分析法原理[M].天津:天津大学出版社,1988.
[13]A P,I S,F C,H O,HI OB,A T,MT LE,PM FSJ,D S-M,M J,et al.TDS exposure project:Application of the analytic hierarchy process for the prioritization of substances to be analyzed in a total diet study[J].Food and chemical toxicology:an international journal published for the British Industrial Biological Research Association,2014,76(C):46-53.
[14]张云龙,刘茂,杨洋.基于BP神经网络的苯职业暴露预测及其MATLAB实现[J].中国公共安全(学术版),2009(04):131-134.
[15]焦李成.神经网络系统理论[M].西安:西安电子科技大学出版社,1992.
[16]F Z,Z S,X C,L C.Detection of foreign matter in transfusion solution based on Gaussian background modeling and an optimized BP neural network[J].Sensors(Basel),2014,14(11):19945-19962.
关键词:信息安全;信息资产;风险评估;层次分析法
中图分类号:TP309文献标识码:A 文章编号:1009-3044(2010)19-5129-03
The Research for Information Security Risk Assessment Based on AHP Method
ZENG Li-mei, JIANG Wen-hao
(School of Computer Science and Technology , Chongqing University of Posts and Telecommunications, Chongqing 400065, China)
Abstract: The risk assessment of information security evolves four fundamental elements included information capital, the fragility of information capital, the encountering threats and the possible risk in information capital. The key problem for risk assessment relies on the weight among risk factors. This issue takes an enterprise as an example, introduced a method called Analytic Hierarchy Process (AHP) to evaluate the risk of systems. The results show that this method can be applied well to information security risk assessment.
Key words: information security; information capital; risk assessment; Analytic Hierarchy Process (AHP)
计算机网络技术在当今社会迅猛发展并且得到广泛应用,使得各行各业对信息系统的依赖日益加深,信息技术几乎渗透到了社会生活的方方面面。信息系统及其所承载信息的安全问题日益突出,为了在安全风险的预防、减少、转移、补偿和分散等之间做出决策,需要对网络系统进行信息安全风险评估。
信息安全风险评估,是指依据国家有关信息安全技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程[1]。风险评估是提高系统安全性的关键环节,通过风险评估,了解系统的安全状况,将信息系统的风险控制在可接受的范围内。
1信息系统安全风险评估要素
1.1 风险评估的各要素
信息系统安全风险评估要素及其各要素间的关系如图l所示。
图1中,整个模型的核心是风险,资产、脆弱性和威胁是风险评估的基本要素。风险评估的工作围绕其基本要素展开 。
1.2 风险评估各要素之间的关系
风险评估基本要素之间存在以下关系:
资产是信息系统中需要保护的对象,资产完成业务战略。单位的业务战略越重要,对资产的依赖度越高,资产的价值就越大,资产的价值越大风险则越大。
风险是由威胁引起的,威胁越大风险就越大,并很有可能演变成安全事件。
脆弱性是资产中的弱点。威胁利用脆弱性,脆弱性越大风险就越大。
安全需求由资产的重要性和对风险的意识导出。安全措施可以抗击威胁,降低风险,减弱安全事件的不良影响。
风险不可能也没有必要降为零,在实施了安全措施后还会有残留下来的风险,称为残余风险。残余风险可以接受,但应受到密切监视,因为它可能会在将来诱发新的安全事件[2]。
2 风险评估方法
目前国内外存在很多风险评估的方法,还没有统一的信息安全风险分析的方法。在风险评估过程中根据系统的实际情况,选择合适的风险评估方法。风险评估的方法概括起来可分为三大类:定性分析方法、定量分析方法、定性和定量相结合的分析方法。[3]
2.1定性分析方法
定性分析方法是一种典型的模糊分析方法,可以快捷的对资源、威胁、脆弱性进行系统评估。典型的定性分析方法有逻辑分析法、因素分析法、德尔斐法、历史比较法[4] 。
定性评估方法的优点是全面、深入,缺点是主观性太强,对评估者要求高。
2.2 定量分析方法
定量分析方法是在定性分析的逻辑基础上,通过对风险评估各要素的分析,为信息系统提供系统的分析手段。典型的定量分析方法有决策树法、回归模型、因子分析法。
定量分析方法的优点是直观、明显、客观、对比性强,缺点是简单化、模糊化、会造成误解和曲解。
2.3 定性和定量结合的综合评估方法
定量分析是定性分析的基础和前提,定性分析应该建立在定量分析的基础上才能揭示客观事物的内在规律。不能将定性分析方法与定量分析方割裂,而是将这两种方法融合起来,发挥各自的优势,采用综合分析评估方法。主要的综合分析方法有模糊综合评价方法、层次分析法、概率风险评估等。[5]
3 AHP方法
3.1 层次分析法简介
层次分析法(AHP)是美国运筹学家萨蒂(T.L.Saaty)于20世纪70年代初提出的一种定性与定量分析相结合的多准则决策分析方法,该方法简便、灵活又实用。
层次分析法的基本思想是在决策目标的要求下,将决策对象相对于决策标准的优劣状况进行两两比较,最终获得各个对象的总体优劣状况,从而为决策者提供定量形式的决策依据 [6] 。
3.2 系统分解,建立层次结构模型
层次模型的构造是运用分解法的思想,进行对象的系统分解。它的基本层次包括目标层、准则层、方案层三类。目的是建立系统的评估指标体系。层次结构如图2所示。
3.3 构造判断矩阵
判断矩阵的作用是同层次的两两元素之间的相对重要性进行比较。层次分析法采用1~9标度方法,对不同情况的评比给出数量标度,如表1所示。[7]
构造判断矩阵,判断矩阵A=(aij)n×n有如下性质:①aij>0;②当i≠j时,aji=1/aij;③当i=j时,aij=1。aij为i与j两因素相对权值的比值。
3.4 层次排序
步骤一:将A的每一列向量归一化。
步骤二:对按列归一化的判断矩阵,再按行求和。
步骤三:将向量归一化。
3.5 一致性检验
步骤一:计算判断矩阵的最大特征根。
式中(AW)i表示AW的第i个元素。
步骤二:计算一致性指标。
式中,λmax 表示比较判断矩阵的最大特征根,n表示比较判断矩阵阶数。
步骤三:计算一致性比率。
当 CR
平均随机一致性标度如表2所示。
4.评估方法实际应用
4.1 建立信息安全风险评估模型
为了突出风险评估的重点,对信息系统风险的评价指标进行适当的简化,建立某企业信息安全风险评估层次结构模型,如图3所示。
4.2 风险评估结果
根据图3各评估因素及其相互关系,建立两两比较判断矩阵,如表3、表4、表5、表6所示,用AHP方法求解一致性比率CR,判断矩阵是否具有满意一致性。
表3G-C的判断矩阵
表4C1-P的判断矩阵 表5C2-P的判断矩阵 表6C3-P的判断矩阵
以上结果CR均小于0.1,表明比较判断矩阵都满足一致性检验标准。由以上结果求的最终的总层次排序结果如表7所示。
5 结束语
在信息系统风险评估中,风险评估方法一直都是研究的关键点。本文采用层次分析法对风险评估的指标进行了分析,通过分析研究可得,层次分析法在风险评估和等级划分的实际应用中是一种行之有效、可操作性强的方法,可以很好的应用于信息安全风险评估。
参考文献:
[1] GB/T 20984-2007,信息安全技术信息安全风险评估规[S].中华人民共和国国家标准,2007.
[2] 向宏,傅鹏,詹榜华.信息安全测评与风险评估[M].北京:电子工业出版社,2009:319.
[3] 王伟,李春平,李建彬.信息系统风险评估方法的研究[J].计算机工程与设计,2007,28(14):3473-3474.
[4] 范红,冯登国,吴亚非.信息安全风险评估方法与应用[M].北京:清华大学出版社,2006:49-50.
[5] 吴亚非,李友新,禄凯.信息安全风险评估[M].北京:清华大学出版社,2007:101-109.
[6] 梁梁,王建平.专家判断矩阵的一致性调整 [J].微电子学与计算机,1994,2:40-41.
Abstract: Quantitative analysis of the impact of risks on project objectives, quantitative assessment of the possibility to achieve the project objectives is important means to make effective risk response planning and control risk effectively. Paper from the perspective of risk control, based on comparison of several commonly used methods in the quantitative analysis, we choose the Monte-Carlo method to implement quantitative risk analysis. Monte-Carlo method based on repeated sampling test, to obtain sufficiently accurate approximation results for effective prediction the project objectives. This example describes the same method to research the actual quantitative risk analysis in the specific application.
关键词: 项目管理;风险管理;定量分析;蒙特卡罗
Key words: project management;risk management;quantitative risk analysis;Monte-Carlo
中图分类号:F830 文献标识码:A 文章编号:1006-4311(2012)24-0074-03
0 引言
风险是一种不确定的事件或条件,一旦发生,会对至少一个项目目标造成影响,如范围、进度、成本和质量。[1]为了保证项目目标的达成,项目管理团队和组织内全员应致力于在整个项目期间积极、持续地开展风险管理。完善的风险管理需要定义风险管理策略,在事件或问题发生之前就识别出潜在的问题,通过对风险进行分析策划风险处理措施,在项目或产品生命周期全过程中一旦需要就启动风险处理措施以缓解对目标实现的不利影响。如果不积极进行风险管理,实际发生的风险就可能给项目造成严重影响,甚至导致项目失败。
科研项目的成果多为知识产品,较其他生产建造项目具有更大的不确定性,这就意味着更多的风险。同时科研项目往往有着更严格的经费限制,在项目风险管理和应急储备方面的可支配成本也有限。这使得科研项目必须更加重视项目的风险管理,且需要尽可能精确的分析风险的影响程度,这样才能将精力和资源都投入到风险清单中优先级最高的风险,进而提高项目管理的有效性。
国内对风险管理的理论研究和实践运用起步较晚,风险管理的整体水平与欧美发达国家有较大差距,尤其缺少灵活运用定量风险分析方法的能力。本文介绍几种常见的定量风险分析的方法,并以Monte-Carlo方法为例在实际项目中进行风险定量分析。
1 科研项目中的定量风险分析
1.1 科研项目中的风险管理[1] 业界通用的风险管理模型很多,相比较而言美国项目管理协会(PMI)所提出的项目管理知识体系(PMBOK)中的风险管理知识领域最为系统和全面。基于该理论的风险管理通常采取以下步骤(图1)。
作为风险管理流程的重要组成部分,图1中各个活动的主要目的如下:
①规划风险管理:在这个阶段制定项目风险管理计划,定义如何实施项目风险管理活动,为各个活动安排充足的资源和时间,为风险管理奠定一个共同认可的基础。②识别风险:在项目的全生命周期中识别潜在风险,分析引起风险的主要因素以及风险可能引起的后果,并采用统一的格式将这些的特征记录下来。③实施定性风险分析:评估已识别的风险的发生概率和影响程度,对风险进行优先级排序。④实施定量风险分析:针对定性风险分析中发现的对项目目标存在重大影响的风险进行定量分析,通过量化的方法评估出每个风险对项目目标的影响。⑤规划风险应对:根据风险的定性分析和定量分析结果来制定风险应对措施,并为风险应对措施分配责任人和所需资源。⑥监控风险:执行风险应对措施,并持续跟踪已经识别的风险以判断监测风险处理措施是否有效,并识别衍生风险和次生风险。
1.2 定量风险分析 通过定性风险分析得到了风险对项目目标影响的级别,但是仍需要定量的分析风险对项目目标的影响。这是因为只有量化风险的影响程度才能达到以下目标:[2]
①根据影响的大小重新排列风险,识别出最需要关注的风险;②提供足够的信息以决定需要提供多少资源用于风险应对;③根据风险的影响值计算达到特定项目目标的概率;④根据风险值合理的调整项目的范围、成本预算或进度安排;⑤在遇到多方案选择时,也能够计算出风险的收益,以帮助进行正确的决策。
[关键词]信息系统;风险评估;基于知识的定性分析;风险管理
中图分类号:F062.5 文献标识码:A 文章编号:1009-914X(2013)06-0100-02
随着计算机信息系统在各军工企业的科研、生产和管理的过程中发挥巨大作用,部分单位提出了军工数字化设计、数字化制造、异地协同设计与制造等概念,并开展了ERP、MES2~PDM等系统的应用与研究。这些信息系统涉及大量的国家秘密和企业的商业秘密,是军工企业最重要的工作环境。因此各单位在信息系统规划与设计、工程施工、运行和维护、系统报废的过程中如何有效的开展信息系统的风险评估是极为重要的。
一、风险评估在信息安全管理体系中的作用
信息安全风险评估是指依据国家风险评估有关管理要求和技术标准,对信息系统及由其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。风险评估是组织内开展基于风险管理的基础,它贯穿信息系统的整个生命周期,是安全策略制定的依据,也是ISMS(Information Security Management System,信息安全管理体系)中的一部分。风险管理是一个建立在计划(Plan)、实施(D0)、检查(Check)、改进(Action)的过程中持续改进和完善的过程。风险评估是对信息系统进行分析,判断其存在的脆弱性以及利用脆弱性可能发生的威胁,评价是否根据威胁采取了适当、有效的安全措施,鉴别存在的风险及风险发生的可能性和影响。
二、信息系统安全风险评估常用方法
风险评估过程中有多种方法,包括基于知识(Knowledge based)的分析方法、基于模型(Model based)的分析方法、定性(Qualitative)分析和定量(Quantitative)分析,各种方法的目标都是找出组织信息资产面临的风险及其影响,以及目前安全水平与组织安全需求之间的差距。
1、基于知识的分析方法
在基线风险评估时采用基于知识的分析方法来找出目前安全状况和基线安全标准之间的差距。基于知识的分析涉及到对国家标准和要求的把握,另外评估信息的采集也极其重要,可采用一些辅助性的自动化工具,包括扫描工具和入侵检测系统等,这些工具可以帮助组织拟订符合特定标准要求的问卷,然后对解答结果进行综合分析,在与特定标准比较之后给出最终的报告。
2、定量分析方法
定量分析方法是对构成风险的各个要素和潜在损失的水平赋予数值或货币金额,当度量风险的所有要素(资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等)都被赋值,风险评估的整个过程和结果就都可以被量化。定量分析就是从数字上对安全风险进行分析评估的一种方法。定量分析两个关键的指标是事件发生的可能性和威胁事件可能引起的损失。
3、定性分析方法
定性分析方法是目前采用较为广泛的一种方法,它具有很强的主观性,需要凭借分析者的经验和直觉,或国家的标准和惯例,为风险管理诸要素的大小或高低程度定性分级。定性分析的操作方法可以多种多样,包括讨论、检查列表、问卷、调查等。
4、几种评估方法的比较
采用基于知识的分析方法,组织不需要付出很多精力、时间和资源,只要通过多种途径采集相关信息,识别组织的风险所在和当前的安全措施,与特定的标准或最佳惯例进行比较,从中找出不符合的地方,最终达到消减和控制风险的目的。
理论上定量分析能对安全风险进行准确的分级,但前提是可供参考的数据指标是准确的,事实上随着信息系统日益复杂多变,定量分析所依据的数据的可靠性也很难保证,且数据统计缺乏长期性,计算过程又极易出错,给分析带来了很大困难,因此目前采用定量分析或者纯定量分析方法的比较少。
定性分析操作起来相对容易,但也存在因操作者经验和直觉的偏差而使分析结果失准。定性分析没有定量分析那样繁多的计算负担,但却要求分析者具备一定的经验和能力。定量分析依赖大量的统计数据,而定性分析没有这方面的要求,定量分析方法也不方便于后期系统改进与提高。
本文结合以上几种分析方法的特点和不足,在确定评估对象的基础上建立了一种基于知识的定性分析方法,并且本方法在风险评估结束后给系统的持续改进与提高提供了明确的方法和措施。
三、全生命周期的信息系统安全风险评估
由于信息系统生命周期的各阶段的安全防范目的不同,同时不同信息系统所依据的国家标准和要求不一样,使风险评估的目的和方法也不相同,因此每个阶段进行的风险评估的作用也不同。
信息系统按照整个生命周期分为规划与设计、工程实施、运行和维护、系统报废这四个主要阶段,每个阶段进行相应的信息系统安全风险评估的内容、特征以及主要作用如下:
第一阶段为规划与设计阶段,本阶段提出信息系统的目的、需求、规模和安全要求,如信息系统是否涉密以及涉密等级等。信息系统安全风险评估可以起到了解目前系统到底需要什么样的安全防范措施,帮助制定有效的安全防范策略,确定安全防范的投入最佳成本,说服机构领导同意安全策略的完全实施等作用。在本阶段标识的风险可以用来为信息系统的安全分析提供支持,这可能会影响到信息系统在开发过程中要对体系结构和设计方案进行权衡。
第二阶段是工程实施阶段,本阶段的特征是信息系统的安全特征应该被配、激活、测试并得到验证。风险评估可支持对系统实现效果的评价,考察其是否满足要求,并考察系统运行的环境是否是预期设计,有关风险的一系列决策必须在系统运行之前做出。
第三阶段是运行和维护阶段,本阶段的特征是信息系统开始执行其功能,一般情况下系统要不断修改,添加硬件和软件,或改变机构的运行规则、策略和流程等。当定期对系统进行重新评估时,或者信息系统在其运行性生产环境中做出重大变更时,要对其进行风险评估活动,了解各种安全设备实际的安全防范效果是否有满足安全目标的要求;了解安全防范策略是否切合实际,是否被全面执行;当信息系统因某种原因做出硬件或软件调整后,分析原本的安全措施是否依然有效。
第四阶段是系统报废阶段,可以使用信息系统安全风险评估来检验应当完全销毁的数据或设备,确实已经不能被任何方式所恢复。当要报废或者替换系统组件时,要对其进行风险评估,以确保硬件和软件得到了适当的报废处置,且残留信息也恰当地进行了处理,并且要确保信息系统的更新换代能以一个安全和系统化的方式完成。对于是涉密信息系统的报废处理时,应按照国家相关保密要求进行处理和报废。
四、基于评估对象,知识定性分析的风险评估方法
1、评估方法的总体描述
在信息系统的生命周期中存在四个不同阶段的风险评估过程,其中运行和维护阶段的信息系统风险评估是持续时间最长、评估次数最多的阶段,在本阶段进行安全风险评估,首先应确定评估的具体对象,也就是限制评估的具体物理和技术范围。在信息系统当中,评估对象是与信息系统中的软硬件组成部分相对应的。例如,信息系统中包括各种服务器、服务器上运行的操作系统及各种服务程序、各种网络连接设备、各种安全防范设备和产品或应用程序、物理安全保障设备、以及维护管理和使用信息系统的人,这些都构成独立的评估对象,在评估的过程中按照对象依次进行检查、分析和评估。通常将整个计算机信息系统分为七个主要的评估对象:(1)信息安全风险评估;(2)业务流程安全风险评估;(3)网络安全风险评估;(4)通信安全风险评估;(5)无线安全风险评估;(6)物理安全风险评估;(7)使用和管理人员的风险评估。
在对每个对象进行评估时,采用基于知识分析的方法,针对互联网采用等级保护的标准进行合理分析,对于军工企业存在大量的涉密信息系统,采用依据国家相关保密标准进行基线分析,同时在分析的过程中结合定性分析的原则,按照“安全两难定律”、“木桶原理”、“2/8法则”进行定性分析,同时在分析的过程中,设置一些“一票否决项”。对不同的评估对象,按照信息存储的重要程度和数量将对象划分为“高”、“中”、“低”三级,集中处理已知的和最有可能的威胁比花费精力处理未知的和不大可能的威胁更有用,保障系统在关键防护要求上得到落实,提高信息系统的鲁棒性。
2、基于知识的定性分析
军工企业大多数信息系统为涉密信息系统,在信息系统基于知识分析时,重点从以下方面进行分析:物理隔离、边界控制、身份鉴别、信息流向、违规接入、电磁泄漏、动态变更管理、重点人员的管理等。由于重要的信息大多在应用系统中存在,因此针对服务器和用户终端的风险分析时采用2/8法则进行分析,着重保障服务器和应用系统的安全。在风险评估中以信息系统中的应用系统为关注焦点,分析组织内的纵深防御策略和持续改进的能力,判别技术和管理结合的程度和有效性并且风险评估的思想贯穿于应用的整个生命周期,对信息系统进行全面有效的系统评估。在评估过程中根据运行环境和使用人群,判别技术措施和管理措施互补性,及时调整技术和管理措施的合理性。在技术上无法实现的环节,应特别加强分析管理措施的制定和落实是否到位和存在隐患。
3、注重纵深防御和持续改进
纵深防御的关键是覆盖信息系统的所有环节,包括信息系统的每一个对象和每一个过程。系统中最薄弱的环节往往成为攻击者的对象。在评估前对信息系统保密方案、配套保密体系、建设方案、软件开发方案、参与人员的审查,需要根据不同的基础平台、网络性质、运行环境和使用人群对网络基础平台、操作系统、数据库、应用系统和整体全策略制订不同的分析和评估策略,分类设计测试,才能达到全面检测和系统评估的目的。由于信息安全体系的动态发展,组织内持续改进的能力应作为风险评估的重要因素,在基于知识分析的基础上结合定性分析的方法,给系统后续的改进与风险规避提供了清晰的方向和目标。
【关键词】:海洋工程;风险评估;方法;现状
中图分类号:K826.16 文献标识码:A 文章编号:
引言
随着我国不断发展国家海洋事业,越来越多的海洋项目与工程被立项并实施。其中,风险因素成为海洋项目成败与得失越来越突出的重要因素之一。海洋工程是属于高风险、高回报的朝阳工程,所以很有必要进行系统的风险评估与风险管理,以实现将风险有效地控制在决策者预定的范围之内。
一、风险评估的概念
风险评估也称危险度评价或安全评价,它以实际系统安全为目的,应用安全系统工程和工程技术方法,对系统中固有的或潜在的危险源进行定性和定量分析,掌握系统发生危险的可能性及其危害程度,从而制定出防灾措施和管理决策的一项工程。
二、海洋风险评估方法
1、定量分析方法
定量分析就是对风险的程度用直观的数据表示出来。其主要思路是对构成风险的各个要素以及潜在损失的程度赋予货币金额或数值,度量风险的所有要素(脆弱性级别、资产价值、弱点级别等)都被赋值,计算资产控制成本、暴露程度以及在风险管理过程中确定的其它值时,尽量具有相同的客观性,因此风险分析的整个过程及分析结果都能被量化了。
在理论上,通过定量分析能对安全风险进行准确的分级和定义,但这种方法有一些明显的难以克服的缺点:通过定量分析得到的各种数据的缺乏准确性,没有严格且正式的方法来有效的计算控制措施和资产的价值,许多数据的带有个人主观性较强;实施复杂,且工期很长。
其次,用定量分析方法要求同单位的相关人员交流来熟悉和掌握其业务的流程,但这要耗费大量的成本和大量的时间和人力资源来完成其全部周期,这过程中时常出现员工对怎样计算具体数值发生争执的情况,从而影响项目的顺利进行。
2、定性分析方法
风险的定性分析方法是当前使用最广泛的一种方法,其与定量分析法的区别是不需要对资产和各有关要素赋予确定的数值,而是分配一个相对值。一般通过研讨会、问卷及面谈的形式进行风险分析和数据收集,对相关业务部门的人员,它具有一定的主观性,通常需要借助专业咨询人员的直觉和经验,或者业界的惯例和标准,对风险各相关要素(脆弱性,资产价值,威胁等)的高低或大小程度进行定性分级,例如“低”、“中”、“高”三级等。用这样的方法,对风险的各要素分析赋值后,就可以对这些风险的严重等级进行定性的区分了,既避免了赋值过程的复杂性,且又简单易于操作。相对于定量分析而言,定性分析的准确性要好但其精确度不够;定性分析消除了繁杂而且容易起争议的赋值,使得实施流程和工期大大的降低,但它对相关咨询人员的能力和经验提出了更高的要求;定量分析基于客观,定性分析过程相对为较直观;另外,定量分析的结果相对直观,且易于理解,但定性分析出来的结果就很难有统一的解释。
目前运用最多的分析方法是定性和定量的混合方法,对一些能够明确赋数值的要素直接赋数值,对难以对其赋值的要素运用定性分析方法,这种措施不仅更为清晰的分析单位资产的风险,而且简化了分析的繁杂过程,同时也加快了分析进度。
选择风险分析的判断标准和方法,应考虑行业自身特点,对它们各自的关注点加以区别,灵活制定风险分析方法和分析过程。例如:对金融业来说,丢失数据风险带来的损失远比因短时间业务停顿的风险带来的损失更大;对通讯业来讲,业务停顿风险的损失要比少量数据丢失的风险的损失更大。
三、海洋工程的质量风险的分析与控制
在当前的海洋工程的建造中,对建造中的每道工序都要求必须进行有效的质量控制,否则将难以维持正常的生产过程以及整体的各项技术的性能。对此,通过公司质量管理部有经验的工作者进行全面的质量风险分析,在质量管理中用动态的、系统的方法进行风险控制,来减少项目进行过程中的不合格品。提高各层次的质量管理者的风险意识,让管理者重视风险问题,且防范于未然,而且在各个方面、各个阶段实施有效的风险控制,使得前后管理过程能连贯起来,达到预期的质量目标。质量风险贯穿于整个项目的生命周期,对此建立良好的质量管理机制与风险分析是项目成功的重要保证。同时,质量风险管理作为项目风险管理的重要组成部分,必须明确风险管理岗位与职责和制定风险管理规则,这是做好风险管理工作的基本保障。与此同时,要不断更新风险识别检查列表,不断丰富质量风险数据库。
1、海洋工程建造前的预防预报
目前在海洋工程建造过程中,要不断地收集分析各种动态和信息,捕捉风险的前奏信号,以便更好地准备和采取有效的对策,预防和避免可能发生的质量风险。预防措施的好坏,直接关系到质量风险发生的机率和风险损失的大小。预防方式一般分为以下几种:当有基设图纸时,对现有的大的节点做好风险辨识,以使整体在可控范围之内;当质量工程师在看到详设技术规格书时就要对要求尖、难、精的控制点做好详细的风险辨识,并做好预测跟踪记录;当拿到加工设计图纸时,对每个报检点及NDT控制点做出详细的风险辨识;最直接也是最关键的就是环境(包括大风、温度、季节、湿度等)对工程质量的影响要做出风险辨识,保证随时跟踪。
2、海洋工程建造中的防范控制
无论预防措施做得有多么到位,在钢结构项目的建造过程中总存在着质量风险。在风险发生时必须及时进行有效控制,减小风险损失范围和降低程度进一步的扩大。加强工程材料与施工设备的质量管理,保证项目建造质量的物质基础。在质量风险状态下,必须及时采取有效措施,以保证产品的质量,避免风险的再次发生。
3、海洋工程建造后的风险补救
在风险发生后,要及时迅速地采取有效措施来控制风险的影响,应尽量降低质量风险造成的风险损失,及时弥补风险损失,以及及时跟踪风险的关闭情况。
四、海洋工程安全风险评估在国内研究现状
天津大学的余建星,黄海燕,胡云昌,在海洋平台的安全风险评估中引入概率影响图方法,将风险分析中的FMEA方法和概率影响图的目标定向相结合,构造出了系统分析模型。并通过数据结构的定义和关系矩阵的建立,完成了对模型结构的动态描述,并通过程序算法,完成了分析推理的全过程。
在哈尔滨工业大学的欧进萍等人,阐述了海洋平台结构实时计算模型的建立和修正方法,确定了在海洋环境监测的基础上海洋平台结构实时环境荷载,提出了海洋平台结构实时安全评估的方法,并采用Delphi开发工具,开发出了“海洋平台结构实时安全监测系统”。
上海交通大学的张圣坤和秦炳军,对海洋工程安全风险评估理论进行了探讨,涉及了人因可靠性分析技术和动态系统风险评估,并给出了TLP风险评估的实例,对其进一步发的展提出了方向。
结束语
风险管理理论和技术在IT、建筑等领域中发展的相对成熟,相关技术和方法值得海洋工程风险管理借鉴与参考。尽管海洋工程领域的风险管理研究相对较晚,但其研究的理论意义和实际应用价值很快得到了广泛认可,得到了国家的大力支持。同时,我们也要看到,海洋环境复杂多变,其安全风险监控与管理面临困难和挑战,如何处理系统中的不确定性问题以及研究数据的缺乏是始终面临的两个难题。但是,尽管如此,国内外海洋工程项目领域风险评估与管理研究正蓬勃开展,新的理论方法与技术正逐步发展并得到应用,海洋工程事业的发展正面临着前所未有的发展机遇。
参考文献:
【1】李玉刚.海洋平台安全评估的发展历史和现状[].中国海洋平台.2003
【2】吕斌.海洋工程项目的风险管理研究[].中小企业管理与科技.2010
一、税务诊断原则及内容
为使税务诊断达到预期的效果,诊断时必须遵守以下原则:(1)合法性原则。税务诊断必须依照税法及相关经济法规进行。如果税务诊断中应用的筹划方法和风险防范措施与税法相违背,不仅不能提高效益、控制风险,反而增加了企业的税务风险。因此,合法性是首要原则。(2)成本效益原则。一方面,税务诊断必须尽量以较低的成本进行;另一方面,诊断的改进方案必须按照实施成本小于获得收益的原则进行取舍,这是保障诊断效益的必要原则。(3)客观性和科学性原则。税务诊断的客观性和科学性是诊断措施有效性的保证。因此,税务诊断必须有一套严格、客观且科学的诊断程序与方法。在诊断过程中也必须始终按照这套科学程序和方法进行,以保证税务诊断过程和结果的客观性和科学性。(4)独立性原则。进行企业税务诊断的人员,无论是外聘的诊断专家,还是内部人员,都不应受企业行政的制约和干预,而应该处于独立地位,以便正确、客观地行使诊断职能。只有保持税务诊断的独立性,才能保证诊断结果和改进措施的客观、可靠。(5)针对性原则。企业税务诊断没有固定的标准可供参照。同样的“病症”,其治疗措施和方案却可能不同。税务诊断人员必须根据企业具体情况和问题的特征来选择合适的诊断程序和治疗措施,这样才能使税务诊断更加深入、有效。
税务诊断作为对企业涉税业务及其处理进行诊断的系统,主要句括税备风除诊断和税各筹划两大功能模块,如图1所示: 税务风险诊断模块按照现状、成因诊断及应对这一思路设计,具体包括税务风险的现状诊断、成因诊断及应对措施设计三大子模块。其中,税务风险的现状诊断通过对企业的涉税业务、纳税情况等方面的分析,诊断出企业涉税处理出现异常的地方。税务风险的成因诊断则通过对企业内、外部税务影响因素进行分析,找出产生税务风险的根源。具体来说,外部因素分析主要是对企业外部税收法律环境变化引致的风险进行分析,如税收实体法、征管法的变革对企业税务风险程度的影响分析等;而内部因素分析则从企业管理人员的风险意识、企业税务工作制度和程序,以及税务筹划方案的实施等方面进行分析。最后,企业税务风险应对措施设计将根据前两个子模块的分析结果,设计具体的风险应对和规避措施,将税务风险控制在可承受的范围内。而税务筹划模块则具体包括了税务筹划空间诊断、筹划方案与措施设计以及绩效评估三个子模块。首先,税务筹划空间诊断主要通过对企业的涉税业务、纳税情况及相关的税收政策等方面的分析,挖掘出可获取企业税收利益的空间。然后,筹划方案与措施设计子模块利用筹划空间分析的结果,针对企业的具体情况,设计出提高企业税收利益的具体税务筹划措施。税务筹划绩效评估子模块可对企业原有的和新设计的筹划方案的实施效果进行分析与评价,从而进一步完善税务筹划实施方案,发挥税务筹划作用。上述税务诊断系统中的两大模块并不孤立,二者之间有着密切的联系。一方面税务筹划存在风险,因此涉税风险的评估与控制有利于降低因进行税务筹划而增加的税务风险,从而保证税务筹划的可行性。另一方面,企业过重的税务负担也是导致税务风险的重要原因之一,因此税务筹划在减轻企业税负的同时,也在一定程度上降低了企业的风险。
二、税务诊断步骤及方法
由于税务诊断具有一定的复杂性,因此必须按照合理的步骤,采用科学的方法进行诊断。一项完整的税务诊断工作应包括以下具体步骤:(1)诊断准备阶段。即在税务诊断实施前对企业进行初步了解,做一些必要的组织筹备工作,包括明确税务诊断目的,初步了解企业的基本情况,确定诊断工作日程和计划等。(2)诊断资料收集阶段。在税务诊断实施前,诊断小组应尽可能收集企业生产经营活动的税务资料(如材料采购、产品生产、市场营销、财务管理等方面的资料),并对所收集的资料进行归纳、整理、分析等加工处理,以形成完整的税务诊断基础数据资料。由于税务诊断在很大程度上是依靠所收集的税务资料进行分析,因此该步骤在整个诊断过程中起着十分重要的作用。(3)正式诊断阶段。这一环节是税务诊断的实施阶段。诊断人员需要在获取各种完备资料的基础上,运用科学、客观、定性和定量相结合的诊断技术,对所获取的、经过鉴别的资料和统计数据进行分析,揭示税务活动内部存在的问题,并初步提出评价方案以及改进税务管理工作的途径、措施。通过广泛征求包括企业人员在内的各方意见以及成本效益评估,优选出可行性强、经济效果好的方案,提交诊断报告。(4)实施指导阶段。这一阶段是达到税务诊断最终目的重要环节之一。首先向企业决策人员及相关管理人员介绍诊断过程中所发现的问题及其相应对策;其次帮助企业制定实施方案的具体计划和措施;再次是有针对性地培训企业管理人员和涉税人员;最后对整个实施过程进行跟踪,适时对方案进行合理的调整、补充,使诊断方案更加有效。(5)诊断考核阶段。这是对税务诊断的效果进行检验的阶段。该阶段应重点收集诊断过程中相关人员的反馈意见,并据此对诊断的效果进行评价,以便不断提高税务诊断人员的服务质量及水平。
采用科学的税务诊断方法是实现税务诊断目标的关键。税务诊断主要采用以下方法:
(一)定性分析法 税务诊断的定性分析主要是指税务诊断人员通过利用调查、询问等手段对企业的经营、纳税情况进行定性描述后,根据自身经验判断及相关法规的比对,找出企业涉税处理上存在的问题。常用的定性分析方法是问卷调查法,即通过专门设计的调查问卷来进行诊断。它将各个诊断项目具体化为相应的问题,通过查阅资料和访谈寻找出问题的答案并填入问卷中,然后再对这些问题和答案进行分析、总结和归纳,从中找出企业税务管理中存在的问题和有待改进的地方。具体的税务诊断调查问卷示意表如表1所示:
定性分析方法的主要优点是执行简单、易操作,而缺点是对问题的探究不够深入,主观性强,对问题产生原因的推测可能存在较大的主观性。
(二)定量分析法 定量分析法是指通过利用指标体系、量化模型等客观的数量分析方法,对企业税务状况进行分析,以求找出其中存在的异常情况的方法,其常用的分析方法是指标分析法。指标分析法是指诊断人员在税务诊断过程中,通过对比同一纳税人
不同历史时期相同的涉税指标和不同纳税人同一历史时期相同涉税指标的数据变化,诊断纳税人纳税行为的一种方法。指标分析法要真正在税务诊断中起到作用,必须按照一定的原则建立起科学的税务诊断指标体系。(1)目标性原则。在税务诊断有一个明确的诊断目标的前提下,指标的选择应有利于实现税务诊断的期望目标和效果,它要求指标体系紧扣诊断目标而建立。如果融入脱离税务诊断目标的指标,将对评价的效果和针对性产生极大影响。(2)针对性原则。指标的选择与构建应以企业的具体业务情况为基础,并能够针对其经营性质和涉及的税种的特点、范围来建立合理的评价体系。(3)层次性原则。指标体系的建立要有明确的逻辑层次关系,即指标体系中的各个指标之间的相互关系要明确,上级指标和下级指标之间的层次关系要分明。(4)客观可量性原则。所选取与构建的指标要能够客观地反映所需的诊断信息,并且该指标应是可量化的,其量化依据应来源于企业客观的经营资料和数据,如企业的财务报表、纳税申报表等。鉴于不同行业或不同规模的企业其涉税业务情况和特点存在较大的差异,笔者认为税务诊断难以像财务诊断那样建立一种通用的诊断指标体系,因此,对于不同企业在其不同的发展阶段,税务诊断人员应依照其具体的税务诊断目标,建立有针对性的、有效的指标体系。图2是针对诊断企业税负是否存在异常变化和是否有足够的纳税支付能力设计的一个初步的税务诊断指标体系示意图。
注:①税负差异率=(企业税收负担率-行业税收负担率)÷行业税收负担率×100%
②综合税负率=(主营业务税金+所得税)÷销售收入
③总应交税金=应交税金期初余额+应交税金本期发生额
指标体系建立后,要对各指标的数值进行合理的标准化,再根据各部分的重要性,由诊断人员选择合理的方法研究确定相应的权重,最后将各部分指标加权综合,得到企业税负率和纳税支付能力方面的总体风险水平。而对于部分出现异常的指标,应该利用杜邦分析法的思想对其进一步分解和研究,以找出深层的原因,为税务诊断人员挖掘企业税务存在的真正问题提供“突破口”,同时为提出相应的改进建议及措施提供可靠具体的依据。图3为利用杜邦分析法对综合税负率进行分析。
综合税负率=(主营业务税金+所得税)÷销售收入=主营业务税金÷销售收入+所得税÷销售收入=(本期消费税金额+本期营业税金额+其他税种金额)÷销售收入+(收入项目金额-扣除项目金额)×所得税率÷销售收入
定量分析方法的优点在于对问题研究深入,分析手段较客观。但是,该方法需要收集大量的资料,对其所运用的分析工具的科学性和适用性要求高,执行难度较大。
定性分析法和定量分析法都有着各自的优点,因此,在税务诊断中应综合运用定性分析法和定量分析法。首先,在税务诊断选案(诊断对象)上,应先定性分析后定量分析。因为定性分析的易操作性可以帮助税务诊断人员较快地掌握企业的经营情况和税务状况,并通过访问调查手段使诊断人员进一步明确和缩小诊断范围,有利于定量分析中有针对性地建立诊断指标体系,从而找出异常的指标,使问题进一步具体化。其次,对定性分析和定量分析的结果进行综合分析和利用。综合分析并不孤立地看待定性分析和定量分析。定性分析中发现的问题也许是导致定量分析中指标异常的主要原因;在定量分析中,出现的异常指标难以分解时,往往可以利用定性分析的方法对其进行跟踪和深入分析,发现问题的潜在根源。最后,在税务诊断的两大功能分析中,税务筹划应以定性分析为主,因为税务筹划部分往往比较难以量化,需要分析企业的业务情况和税务特点,结合相应的税务政策提出筹划的措施和建议,因此,一般采用定性分析的方法。而税务风险分析应以定量分析为主,由于需要考察企业本期税务的变化状况,就要将所需的税务信息进行量化后作出一个客观的比较,因此,一般以定量分析为主。
由于税务诊断是一项复杂且关系企业整体利益和风险的工作,因此,在诊断过程中还应注意以下问题:
第一,在诊断人员选择方面,要挑选既精通税收法规,又熟练掌握风险管理和财务管理方法的人员。因为企业税务诊断是以税务工作为诊断对象,缺乏对税收法规方面的了解将难以胜任该项工作。同时该工作又要对税务风险进行控制,所以对风险管理和财务管理知识的掌握也十分重要。
第二,在税务诊断的宣传方面,应该加大税务诊断必要性和诊断受益的宣传,引起企业管理人员的重视。同时,这样也可以使得诊断人员在工作中得到相关工作人员的支持和配合。
[关键词]现金流 高校 内部控制 风险控制策略
一、高校现金流的概念和作用
高校现金流是指高校在经济活动过程中产生的现金流入、现金流出以及现金流入与现金流出之间的差额形成的现金净流量,也可理解为在运动状态中的现金,更准确地说是现金的变动结果。现金流的重要作用主要表现在:第一,现金流是高校保持正常运转的润滑剂。一旦缺乏润滑剂的润滑,高校就会出现财务困难,乃至发生瘫痪。第二,现金流是高校财务状况的报警器。如财务结构失衡,资产负债比率过高,固定资产占总资产比例过高,流动比例过低等都可能造成现金流量问题。现金流信息是评价高校资产的流动性、财务弹性、抵御风险能力以及决定高校能否可持续发展的重要依据。
二、高校现金流内部控制及风险控制策略的重要性
随着高等学校事业法人地位的确立和高等教育体制改革的不断深化,高校已由原来的计划经济条件下的高度集中式管理逐步转化为“政府宏观管理,学校面向社会自主办学”的新模式。高校在办学结构调整、规模发展、资金筹集、经费使用等方面都有了一定的自主权,而这种自主权,也使得高校财务管理由原来的计划经济条件下的无风险管理转变为市场经济条件下的风险管理。教育部、财政部《关于“十一五”期间进一步加强高等院校财务管理工作的若干意见》中明确“高等院校应切实强化风险防范意识,完善内部控制制度,建立风险预警系统,改善学校财务状况,有效防范财务风险”。所以内部控制体系构建是高校财务管理的必然要求,也是财务管理水平的重要标志。然而高校现金流内部控制及风险控制策略不适应现代社会日新月异的变化,不能满足高校可持续发展的需要。部分高校因扩张而大量贷款,导致学校现金流运转困难,有的学校甚至到了发不出工资无法支付日常开支的地步,严重影响了教学科研的日常运行和高校的可持续发展。因此,加强高校现金流内部控制,建立健全风险控制策略显得尤其重要。
三、当前高校现金流内部控制存在的问题
1、对现金流内部控制制度的健全与完善缺乏足够的重视
高校管理者对现金流内部控制的重要性认识不足,制度执行不得力。对现金流内部控制的理论缺乏必要的追踪,对现金内部控制在高校财务管理中的作用缺乏足够的重视。现金流的导向作用还很弱,实践中对现金流的管理存在着严重滞后性和被动性特征。一些高校只有在发不出工资、无法偿还债务、无法支付日常开支的时候才关注现金流管理。要系统提升高校的运营质量,提高高校可持续发展的能力,就要从观念上确实重视现金流管理,充分认识现金流量管理的重要作用,并采取措施,构建现金流管理控制体系。
2、缺乏科学合理而又行之有效的内部控制体系
依据《会计法》第2条有关内部控制制度建设的规定出台的《内部会计控制规范――基本规范》、《内部会计控制规范――货币资金》,并未引起有些高校足够的重视,没有依此对相关制度的建设与执行情况进行审视,并不断完善内部控制制度,没有建立起科学合理而又行之有效的内部控制体系。
3、现金流内部控制的手段有待改进
现金流内部控制的手段比较侧重于事后分析,而缺乏事中的控制,特别是事前的预测和安排。在控制手段的运用上也比较单一。
4、没有建立相应风险预警系统
对财务风险的判断仅仅停留在传统的依靠财务负责人或财务人员的经验估计基础之上。管理者的风险意识淡薄,没有成立专门的风险管理部门或成立专门的风险管理机构对所面临的各种风险进行监控和管理。同时高校也未建立风险分析和风险评估的制度,确定相应的风险分析评价指标。
5、现金流内部控制制度不完善或者还不健全
由于高校对现金流缺乏足够的认识,现金流管理的研究仅停留在运营层面,并没有被提高到战略高度。现金流管理的内容仅仅涉及现金预算、日常流量控制等战术性管理,没有同高校的发展战略有效地结合起来。对整个现金流的流入、流出及其现金净流量分析、控制工作尚未开展。
6、缺乏一套对整个现金流控制过程的监控
包括缺乏相应的内部控制人才和缺乏相应部门的监控活动。健全、有效的内部控制不仅需要涉及现金流整个流程的控制活动,也需要+对这些活动进行监督与评价的监控系统。
四、建立健全高校现金流的风险控制策略
1、成立独立的风险管理机构
成立独立的风险管理部门为高校的风险管理提供组织保障。可以是高校的一个职能部门,也可以是具有相当独立程度的由各部门的专业人才组成的风险管理委员会,必要时还应当聘请有关风险评估和风险管理专家的参与。
2、建立现金流预警系统
为有效地化解现金流风险对高校财务状况的影响,应当建立现金流风险预警体系。当现金流偏离正常状态时,对可能造成损失的条件进行分析和判断,估计风险事件的概率和后果,了解高校可能面临的现金流危机,通过现金流预警系统来动态追踪和识别高校在运营过程中忽视或没有觉察出的现金流风险并及时做出预警。把仅注重发现险清的消极预警变为分析根源、改进管理的积极预警,变静态预警为动态预警。
3、重视现金流预算管理
应重视现金流预算管理,以现金流入、流出控制为核心的高校财务管理,离开了现金流预算管理,也就失去了管理的依据和管理重心。现金流预算是高校全面预算管理的主要内容,是确定一定时期内全部货币流入和流出数额并加以平衡的预测。高校应以全面预算为基础,将现金流量预算充分细化,对未来现金收支状况进行预测,以周、旬、月、季、半年、一年为期限,建立滚动式现金流量预算,确保现金流预算的准确性,提高现金流量预算的执行力度和精度,以便及时做出筹资方案、资金调度和使用方案。通过现金预算的编制对本单位面临的风险进行全面审视,从而全面促进财务管理水平的提高。
4、完善现金收支控制制度
制定现金收支控制的组织结构和程序,以明确个人和部门在现金收支控制中的权限和责任,一方面,对现金流动性进行控制,即控制现金流量发生的时间和额度,以维护良性的现金循环流动;另一方面,对现金的安全性进行控制,保证现金的安全及完整。
5、现金流视角下风险的定量分析
高校财务风险的发生通常经历一个从量变到质变的渐进过程,这种渐进发展情况必然会通过一些财务指标的变化表现出来。要准确预测高校财务风险,从大量的财务因子中选好财务指标是关键,尤其是现金流指标更是财务指标中的风向标。定量分析法是在完整掌握各种财务指标资料的基础上,运用现
代数学方法,据以建立能够反映有关变量之间规律性联系的各类预测模型的方法体系。定量分析分为单变模式和多变量模型,单变模式就是运用单一的财务指标或财务比率来对风险、危机进行评估。单变模式的分析方法通常采用趋势分析法和横向比较法。趋势分析法是通过观察连续数期的财务报告,比较各期的有关项目金额,分析某些指标的增减变动情况,并在此基础上判断其变化趋势,从而对未来可能出现的结果作出预测的一种分析方法。运用趋势分析法,可以了解有关现金流变动的基本趋势,判断这种变动是有利还是不利,并对现金流未来发展作出预测。趋势分析法通常采用编制历年会计报表方法,将连续多年的报表,至少是最近3―5年的会计报表并列在一起加以分析、以观察变化趋势。这样分析比单看一个报告期的会计报表,能了解更多的情况和信息,有利于分析变化的趋势。横向比较法则侧重于高校与同规模其他高校的比较,横向比较法通常分析高校在某一方面的优劣,进而针对面临的问题采取措施。
单变模式对现金流的定量分析指标,依据需要了解和分析的问题不同而有所侧重,对于高校来说现金流定量分析指标通常包括以下几种:其一,现金流的结构分析。现金流结构是反映财务状况是否正常的一个重要方面,包括现金流入结构比率、现金流出结构比率、流入流出比率及其内部结构比率等。其二。流动性分析。现金到期债务比、现金流动负债比、现金债务总额比。其三,获取现金能力分析。事业收入现金比率、全部资产现金回收率。其四,发展潜力指标。现金净额增长率。现金净额增长率=(年末现金净额一年初现金净额)÷年初现金净额。
多变量模型是通过两个以上的指标组合来对企业可能面临的风险进行监测和分析的模式。比较多的是运用爱德华・阿尔曼提出的“Z计分模型”判断高校财务危机的大小。
6、现金流视角下风险的定性分析
在财务风险预警中,由于一些难以量化的非财务信息也影响着高校持续发展的能力,因此,除进行定量分析外,还应结合一些相关的非财务因素进行定性分析,才能得出较为合理的结果。现金流定性分析法是根据专业经验知识,结合预测对象的特点进行分析,对高校现金流的发展趋势和未来状况做出理性推测的方法。一般可以从宏观经济环境、行业特征、竞争状况、管理模式及水平等几个方面来分析对现金流的正负影响度。
进行现金流的定性分析有助于把握问题的实质,对于找到潜在的联系和趋势是十分有效的方法。现金流定性分析的方法包括调查分析法、专家分析法等。
7、进行风险评估,提出分析报告
风险评估就是预测潜在的事件对目标实现的影响程度从而做出相应的预警报告。财务管理者应从两个角度来评估事件:一是发生的可能性;二是影响程度。应采取定量分析和定性分析相结合的预测方法。在实际应用中,定量分析和定性分析常常是相辅相成、结合使用,定量分析定性化,定性分析定量化,以提高预测准确性和可信性。事实上,有时定性分析比定量分析更为有效。一方面,定量分析会受到高校在不同时期各项因素的变化、对所选择的评价指标等各种因素的影响,无法满足财务预警的全面需要;另一方面,由专家靠经验作出判断的定性分析,其结论比较灵活,可以随着高校的发展变化作出修正,从而对定量分析的不足加以弥补。因此,风险评估分析中不可单纯强调定量指标的权威性,还应结合定性分析进行判断和预测,以补充定量分析的不足,把握高校的发展趋势,从而对风险作出综合评估,提出专门的风险分析报告,供决策者参考。
[参考文献]
[1]熊敏:基于现金流的财务危机预警[J],职业圈,2007(22)
[2]彭钢、胡德春、王和林:试论新时期高校财务内部控制体系构建[J],消费导刊,2009(7)
[3]刘凤娥:不可忽视的现金流量管理[J]会计之友(上旬刊),2008(11)
[4]张雪峰:现金流内部控制的弱点及风险控制策略研究[J],中国总会计师,2010(9)
[5]杨娟:中小企业现金流量财务预警系统的构建[J],科技创业月刊,2008(10)
关键词 国际总承包项目进度风险量化风险管理蒙特卡洛模拟技术
一、国际总承包项目风险与风险管理
2006年7月,中国石化工程建设公司(Sinopec EngineeringIncorporation,以下简称SEI)和伊朗当地两家工程公司组成的承包商联合体(SEI/SAZEH/ODCC)竞得伊朗SHAZAND ARAK炼厂扩能和产品升级项目EPC总承包工程(以下简称Arak项目),合同总价22亿欧元,项目总工期42个月。承包商联合体负责项目基础设计的完善、详细设计、设备和材料采购、施工安装、预试车和试车服务。
2006年9月16日,Arak项目EPC总承包合同正式生效,该项目是中国石化工程建设公司目前在国际市场上承担的合同额最大的EPC总承包项目,也是首次参与以联合体的方式承揽国际工程。
面对来自业主以及主合同的严格要求,变幻莫测的国际政治、经济形势,以及联合体承包工程带来的不确定性,承包商联合体决定在Arak项目上实施风险管理,希望通过系统的风险管控,为项目进度、费用等目标的实现提供保障并增加价值。
(一)项目的风险分析
EPC总承包项目由工程总承包企业按照合同约定,承担工程项目的设计、采购、施工、试运行服务等工作,并对承包工程的质量、安全、工期、造价全面负责,专业性强、技术含量高、结构、工艺较为复杂、建设规模大、系统繁杂、参与项目建设的利益相关方较多并且关系复杂。与国内承包项目相比,国际工程承包更是涉及到工程所在国的政治和经济形势、国际关系,货币金融市场状况、该国有关进口政策,资金和劳务的政策法规、外汇管制办法等诸多方面,而且还可能存在文化沟通方面的差异、不同的技术标准、不同的地理与气候条件,存在更大风险。
为规避独立承包域外市场面临的风险,目前国际知名工程公司的海外项目大都通过与其他公司组成联合体或者项目合营的形式共同执行,以实现优势互补。但联合体的运作也存在较大的不确定性,由于社会、体制、文化和经营风格等方面的差异,加上复杂的组织管理和分工协调,使得联合体承包工程不可避免的要面临各种各样的内部风险。
按Arak项目业主招标文件要求,承包商联合体成员必须对业主承担共同的和连带的责任,风险共担、利益共享。根据Arak项目联合体三方内部协议,项目设计按生产装置和配套系统单元进行工作分工,价格固定,SEI/SAZEH/ODCC分别开展各自的设计工作。对于采购,联合体三方共同负责项目所有设备、材料的采购、清关、运输等工作。项目设北京、德黑兰和欧洲三个采购中心,把不同类型的设备材料进行分类合并,由不同的中心进行具体操作。对工程施工,联合体三方共同参与,统一管理。根据项目组织机构、设计分工以及现场平面布置等原则,项目共划分成10个施工管理区域以及8个职能支持部门,在施工主任的统一领导下开展具体工作。相比独立执行项目模式,Arak项目的组织机构和职责分工要复杂的多,内部组织、沟通、协调风险也要高得多。
Arak项目不但具有EPC工程总承包项目的上述特点,而且还面临着更为复杂的国际形势。在项目执行过程中,联合国安理会分别通过了四次制裁伊朗的决议,包括冻结资产、禁运敏感物资等措施。受国际形势的制约,项目遇到了供货商不足、支付渠道受阻、制造厂因拿不到对伊朗出口许可延误工期等种种困难和风险。
由于EPC总承包项目的风险客观存在,以及Arak项目规模大、组织结构复杂、项目所在地特殊的地缘政治经济环境等因素,系统的风险管理成为必要和必然。
(二)项目风险管理
项目风险管理是对项目风险进行识别、分析、应对、监控的系统过程,包括鼓励对项目目标有正面影响的风险(机会)发生并加强其影响,减少对项目目标有负面影响的风险(威胁)发生并减弱其影响。未经管理和减轻的风险往往是项目失败的主要原因,而系统的风险管理能够提高项目绩效,是项目管理的必要组成部分和延伸。
项目风险管理可划分为风险管理规划、风险识别、定性分析、定量分析、风险应对规划和风险监控六个相互作用的过程。
风险管理规划――决定如何进行与规划项目的风险管理活动。
风险识别――判断哪些风险会影响项目,并以文字记录其特点。
风险定性分析――对风险及其条件进行定性分析,以便按其对项目目标影响进行排序。
风险定量分析――评估风险的概率与后果,估计其对项目目标造成的影响。
风险应对规划――制订为项目目标增加机会、减轻威胁的程序与技术。
风险监控――在项目整个生命期间监测残余风险、识别新风险,执行减轻风险计划,并对这些计划的有效性进行评估。
定量风险分析作为风险管理的过程之一,并不是每个项目都必须。由于其对输入数据要求较高,规模较小、时间较短以及定义不是很明确的项目,一般在定性分析之后直接制定风险应对措施。还由于定量分析需要通过专业软件来实现,实施定量分析的对象往往是在定性分析过程中被认为对项目的目标存在潜在重大影响的风险。实施定量风险分析的过程就是对这些重大风险事件的影响进行概率分析的过程。定量风险分析虽然耗时耗力,但却具有以下优势:
1.通过识别、评估风险影响的工作分解结构(Work Break―down Structure,简称WBS),避免风险被重复识别、评估甚至重复制定应对计划,提高风险数据的质量和风险管理的效率;
2.可以为每个风险单独量化,也可以分析某类或者所有风险对项目局部或者项目总体的影响;
3.在规划风险应对之后,再次实施定量分析,从而确定项目总体风险及其降低程度是否达到既定目标或者可接受的水平;
4.对于进度风险分析,以进度计划为基础,通过风险与WBS的映射,避免活动/任务浮时所造成的定性分析结果的偏差,并通过敏感性分析,筛选出影响项目目标的关键风险和关键活动,有助于实施有重点的风险管理。
二、进度风险量化分析与管理实践
项目阶段不同,风险管理的任务和手段不同。项目执行阶段
风险管理的主要任务是风险监控,包括实施风险应对计划、跟踪已识别风险、监测残余风险、识别新风险和评估风险过程的有效性。监控风险的工具和技术主要包括风险再评估、偏差和趋势分析、储备分析、风险审计、状态审查等。
Arak项目执行阶段的进度风险量化分析和管理,首先通过定期风险再评估,初筛中高风险,并持续评估其对项目进度目标的影响;其次,通过定量分析,精确筛选影响项目进度目标的关键风险和关键活动,以便集中项目资源进行重点管理和监控。
(一)定期风险再评估
每季度对历史风险清单进行全面审查,对现有风险重新评估其属性,包括所属类别、影响的WBS、紧迫性、发生概率、影响区间、风险排序、应对策略及其责任人,识别新风险,关闭过时风险。
1.风险分类
按照项目阶段以及受影响的项目区域,对项目风险进行分类,以明确受不确定性最大的项目区域(WBS)。首先按照设计、采购、施工、商务/财务、项目管理界面划分,其中的设计、采购、施工也是项目WBS第一层结构(phase);其次通过识别风险影响的项目WBS第二层级(sub-phase),对风险进一步细分,同时也有助于后续风险事件映射到具体活动/任务的量化评估和分析。
按照项目WBS第二层级,设计类风险分为详细设计、采购服务、设计文档,采购分为大宗材料、带位号设备,施工类风险分为施工、预试车、协助试车。按照界面和范围,商务/财务类风险分为商务和财务,项目管理类风险分为项目计划、项目控制、组织管理、HSE管理、人力等资源以及外部风险。
根据上述风险分类,对新识别风险进行归类,并判断风险类型是威胁风险还是机会风险。同时,审查清单中所有风险的状态,判断风险处于开启还是关闭状态。如果风险被关闭,将不再进入下一步定量分析的范畴;如果属于机会风险,对项目目标的影响则是积极的、正面的,应该采取措施加大其发生概率、提高其影响。
2.风险紧迫性评估
按照风险发生距离评估当前时间远近程度分为远期风险、近期风险以及过期风险,从而进一步明确风险应对的时间要求。由于风险影响的活动持续、先后进行,某些风险虽然曾经发生过,但还会对未进展的WBS任务/活动造成影响,此类风险被界定为过期风险,需要引起项目组特别关注,否则将会变成未经管理的项目事件或者项目存在问题。
3.定性分析
定性分析是评估并综合分析风险发生的概率和影响,对风险进行优先排序,从而为后续定量分析或应对规划、风险监控提供基础的过程。
概率和影响是风险的两个量纲,概率即风险发生的可能性,影响是风险一旦发生对项目目标产生的后果。风险概率一影响矩阵将概率与影响两个标度结合起来,以此为依据建立对具体风险事件进行评定的等级(低、中、高)标准,评估每项风险的重要性及紧迫程度。定性评估为高等级的风险作进一步分析,包括量化以及积极的风险应对。
表1为Arak项目的P-I矩阵,高风险、中风险、以及低风险由项目决策层根据概率与影响结果组合后确定。
已识别的每条风险都要进行概率和影响评估,判定该风险处于概率一影响矩阵的哪个区域,并且随项目进展、外部环境变化定期更新。一般通过与经验丰富的项目主任、项目经理,熟悉相应分类的设计经理、采购经理、施工经理、商务经理、控制经理等召开会议的方式进行评估。定性分析为中高程度的风险,继续下一步定量评估和模拟分析。
4.风险应对策略及责任人
针对项目目标,制定提高机会、降低威胁的方案和措施,包括确定和分配风险应对责任人来实施已获得同意和资金支持的风险应对措施。
(二)量化风险分析
1.定量评估
前述的定性评估过程已经对风险影响的项目WBS前两个层级进行了界定,并且评估了风险发生的概率和对项目进度目标的影响区间。由于进度风险定量分析基于进度网络图和持续时间估算进行模拟,因此,需要把风险事件的影响映射到相应WBS具有前后序逻辑关系的活动/任务层级,亦即首先要识别被该风险影响的所有活动/任务,其次,根据活动/任务之间的关系及风险特性,分配并调整具体影响的概率分布和参数。
通过Pertmaster风险分析软件(以下简称Pertmaster,该软件先后与Primavera、ORACLE公司合并,目前已经更名为PRA-Primavera Risk Analysis)提供的以下功能,实现定量评估的赋值与调整:
(1)按照定性评估结果直接赋值
定性评估的风险概率和影响区间直接赋予每一项被该风险影响的活动/任务,一般适用于平行活动/任务。
(2)按照定性评估结果平均赋值
对定性评估的风险概率不作调整,但定性评估的影响区间平均分配到每一项被该风险影响的活动/任务,一般适用于前后续接的活动/任务。
(3)对定性评估结果进行调整
根据具体情况,对定性评估的风险概率和影响区间进行调整。
(4)无法判断风险影响的具体活动/任务
当难以对风险影响的具体活动/任务作出判断时,可以把风险影响加载到更高层级的WBS上,模拟运算时,Pertmaster视风险影响该WBS项下最后结束的一项活动/任务。该功能虽然为使用者提供了便捷和灵活的处理方式,但容易造成分析结果的偏差,因此,一般要求识别出所有被影响的活动/任务。
2.蒙特卡洛(Monte Carlo)模拟分析
采用蒙特卡洛(Monte Car-l0)模拟技术进行定量风险分析,将各项不确定性和风险换算为对整个项目费用、进度目标产生的潜在影响。模拟时,根据每项变量的概率分布函数(如最小值、最可能值、最大值的三角/点连续分布),任意选取随机数,经过多次叠加,计算费用/工期目标的实现概率,以及既定置信度下的项目费用/工期。
(1)项目工期的概率分布
图1中的横轴代表项目完工日期;左纵轴是以次数表示的概率分布;右纵轴代表累计概率分布(置信度)及相应累计概率分布下的完工日期。每个柱状图表示在选定次数(本例为1000次)的模拟计算结果中,有多少次(概率,对应左纵轴)落在横轴的完工日期区间。柱状图累加即得到累计概率分布曲线,从中可以看出不同置信度下的完工日期以及既定完工日期的实现概率,既定置信度下的工期与既定工期之间的差值即为预计的延期。
以采取应对措施后的分析结果为例,加载7条风险事件后,80%置信度下,Arak项目12单元(石脑油制氢装置)预计2010年9月25日完工,比原计划的2010年7月29日推迟两个月左右。
(2)敏感性分析
对风险以及风险影响的活动进行敏感性排序,确定需要优先考虑的风险和活动,帮助决策者有重点的采取应对措施。
量化分析的敏感性排序与定性分析风险排序不同之处在于:一方面,对于进度风险,定量分析能够排除浮时对项目总工期的影响,筛选出影响项目最终目标的关键风险,从而确保对关键风险的重点管理;另一方面,定量分析能够结合风险和被影响的活动,并考虑其关键性,对影响项目进度目标的活动进行筛选、排序,确保对关键活动的重点管理。
通过敏感性分析,可以确定需要特别关注的风险和活动,以集中项目资源对这些风险和活动采取应对措施,降低风险发生的可能性和(或)对项目目标的影响,从而达到以最少资源获得对未来不确定事件管理最大化收益的目的。
(三)风险应对监控
对定量风险分析筛选出的关键活动和关键风险,制定较为详细的风险应对计划,定期监控其实施状态,确保风险应对计划的落实。
三、对定量风险分析涉及的相关性问题的研究
当一个风险影响多个项目活动/任务时,对多个项目活动/任务的影响取值一般具有相关性。以“钢材价格波动风险”为例,假定其影响在±10%范围内波动,如果某次模拟时,对管道的影响取的是中间值±O%,对钢结构的影响也大致影响在±0%附近。
如果忽略上述相关性,其分析结果会受到“中心极限定理”的影响,亦即当多个风险的影响独立、同分布,由于模拟时不考虑相关性,可任意取值,高值和低值相互交错,导致部分“灰色区域”几乎没有被抽中的可能,造成风险影响范围被压缩,多次模拟的结果趋于收敛,如图3中的较陡的(红色)累计概率分布曲线。
因此,当一个风险影响多个项目活动/任务时,要注意选择Pertmaster软件提供的“影响相关”选项,以免分析结果失真。
四、结语
与国内工程相比,国际EPC总承包项目面临更大风险,因此系统的风险管理成为必然。然而,并非每个项目都有必要和有条件去实施量化风险分析,但对于大型的、定义明确的项目,通过专业软件对定性风险分析筛选出的中高风险实施定量分析,有助于对影响项目进度目标的潜在关键活动和关键风险进行重点管理。本文以Arak项目执行阶段为对象,定期对进度风险进行再评估,初筛中高风险;进一步通过定量风险分析,精确筛选影响项目进度目标的关键风险和关键活动,从而集中项目资源对关键活动和关键风险进行重点管理与监控。最后,通过我们的实践,对定量风险分析涉及的相关性问题,研究提出可用于实际操作的解决方案。
参考文献:
美国项目管理协会(PMI):《项目管理知识体系指南(PMBOK Guide)》,2008版。
上一篇:电力工程施工监理规范范文 下一篇:乡镇抗旱工作情况汇报范文