外包风险管理评估细则范文
时间:2023-11-10 08:25:48
外包风险管理评估细则篇1
一、风险导向审计概述
(一)审计方法发展的回顾
随着社会经济的发展,与审计目标的变化相适应,审计模式的发展大敛可分为三个阶段:
1.账项基础审计阶段
由于早期获取审计证据的方法比较简单,审计人员所关注的是查错防弊,CPA将大部分精力投向会计凭证和账簿的详细检查,这种审计方法就是账项基础审计方法。
2.制度基础审计阶段
随着公司制企业出现,被审计单位的规模扩大,组织结构、业务日趋复杂,逐笔详细审计已不再可能;同时,报表使用者从单纯关注资产负债表转向资产负债表和利润表并重。从20世纪50年代起,以内部控制测试为基础的抽样审计在西方国家得到广泛应用,该种方法被称作制度基础审计方法。
3.风险导向审计阶段
在制度基础审计的实施当中,往往使审计人员的注意力过于集中在被审计单位内部控制制度方面,却忽视了审计风险产生的其他环节,同时由于企业竞争的激化以及企业不稳定性的增加,审计人员需要应对的风险因素也大幅增多,以“审计风险=固有风险×控制风险×检查风险”模型为核心的风险导向审计方法应运而生。
(二)风险导向审计方法的改进
CPA在运用传统风险导向审计方法时,通常因难以对固有风险做出准确评估直接将其设定为高水平(100%),而从较低层面上评估风险,依照检查风险来决定实质性测试的实施。但企业所处行业状况、经济环境、经营目标以及战略风险最终对会计报表产生重大影响。而且当企业管理当局舞弊时,内部控制是失效的,CPA不能把审计视角扩展到内部控制以外,很容易犯“只见树木,不见森林”的错误。因此,随着企业财务欺诈案件的不断出现,国外一些会计师事务所在上世纪90年代对传统风险导向审计方法进行改进。
首先,注重对被审计单位行业状况和经营计划进行分析,从宏观上把握审计面临的风险,重视大量风险基础审计工作;其次,注重运用分析性程序,以识别可能存在的重大错报风险,减少对接近预期值的各种交易、账户余额的测试。将趋势分析、结构比例分析等发现波动较大的项目作为重点审计领域,注重对例外项目进行详细审计;再次,CPA形成审计结论所依据的证据不仅包括实施控制测试和实质性测试获取的证据,还包括了解企业及其环境获取的证据。
职业界对传统风险导向审计方法的改进,引起了审计准则制定机构的关注。2003年10月,国际审计与鉴证准则理事会决定于2004年底正式施行审计风险准则。
二、我国新审计准则体系中的审计风险准则
(一)我国审计风险准则实施的必然性
首先,CPA面临的审计环境发生了重大变化。目前,企业的经营环境正在发生巨大变化,企业组织机构及其经营活动的方式日益复杂,全球化和科学技术的影响日益加深,会计准则要求的判断和估计日益增加,企业管理当局进行财务舞弊的动机和压力日益增大,从而给CPA带来审计风险。
另外,实践中对风险导向审计方法认识存在误差。一些会计师事务所实际审计业务过程中仍存在许多局限,从而隐藏大量审计风险。有的事务所注重对企业的经营战略及其业务流程的了解,忽视对重要的各类交易、账户余额、列报和披露的实质性测试;有的注重对企业及其环境的了解,认为内部控制测试已经过时而忽视对内部控制的了解和测试,审计质量难以保证。
近几年,国内外爆发了一系列上市公司会计舞弊案件,促使我国的准则制定机构对独立审计准则涉及审计风险的项目进行了认真研究,结论为传统的审计风险模型已经不能满足CPA执行审计业务的需要,进行修改迫在眉睫。
(二)我国审计风险准则
1.《财务报告审计的目标和一般原则》准则
引进会计报表审计的基本目标、一般原则、职业怀疑态度和合理保证等概念,修改审计模型,确立以审计风险为导向的审计方法,以合理保证会计报表不存在重大错报。将固有风险和控制风险合并为重大错报风险,审计模型修改为“审计风险=重大错报风险×检查风险”,CPA应当评估重大错报风险,并根据评估结果设计和实施进一步审计程序,以控制检查风险,从而利于CPA执行风险评估程序,使之更加符合审计的实际情况。
2.《审计证据》准则
进一步明确CPA审计证据的内容、数量、质量,以及为获取审计证据所实施的审计程序。修改“审计证据”的定义,不仅仅是有关交易、账户余额、列报与披露方面的证据,而且扩大到所有形成审计结论、发表审计意见所依据的信息,包括从企业内部、外部获取的会计记录以外的信息,通过询问、检查和观察程序所获得的信息和通过自行编制计算表进行分析推断所获取的信息等。同时取证方法从6种扩充为8种。
3.《了解被审计单位及其环境并评估重大错报风险》准则
涉及识别和评估重大错报风险问题,主要有:(1)风险评估程序与信息来源以及项目组内部讨论,包括项目组在计划、实施和报告出具等各阶段讨论出现重大错报的可能性;(2)不仅了解被审计单位内部6个方面的内部控制,而且要了解被审计单位所处行业状况、法律环境及监管环境等外部因素;(3)了解被审计单位内部控制以及控制环境,考虑导致重大错报风险的因素,了解战略、目标、经营风险、内部业绩衡量和评价等方面,分析可能存在重大错报的领域;(4)评估重大错报风险,包括会计报表整体交易与账户余额两个层次,不得越过风险评估程序直接进行实质性测试。
4.《针对评估的重大错报风险实施的程序》准则
现代风险导向审计方法并不过分减少实质性测试,对各类重大交易、账户余额、列报与披露仍应作细节测试。主要内容为财务报告整体的重大错报风险、总体应对措施、职业怀疑态度、分派更有经验的CPA、利用专家协助工作、加强对项目的质量控制和督导人员的复核等。
(三)审计风险准则的积极作用
笔者认为,审计风险准则的不仅是我国审计理论的一次突破和创新,而且对于在审计实践中提高审计质量,降低审计风险具有深远的意义和作用。
首先,原模型对审计工作记录的规定比较笼统,一些CPA在执业过程中并没有完全按照相关的要求去实施审计程序,或虽实施审计程序却没有形成有效的审计工作记录,而CPA出具审计报告的最重要依据就是审计工作记录,因此对审计质量控制和日后检查
造成不利影响。在审计风险准则中,既增加了CPA对风险评估程序的关键环节形成审计工作记录的要求,也增加了CPA对风险应对情况形成审计工作记录的要求,这一规定对明确CPA责任,加强CPA审计质量的控制具有重要作用。
其次,原模型只要求CPA通过综合评估固有风险和控制风险来控制检查风险,由于固有风险一般被认为难以评估而直接将其设定为高水平,其审计过程为:符合性测试――实质性测试。在审计风险准则中,要求CPA在审计过程中应始终保持对重大错报风险的识别、评估与应对;CPA必须了解被审计单位及其环境,包括内部控制,以评估重大错报风险,不得未经过风险评估,直接将风险设定为高水平,审计过程为:风险评估――符合性测试――实质性测试。此外,为了实现审计目标,要求CPA在计划和实施审计工作时,应当保持职业怀疑态度,充分考虑可能导致会计报表发生重大错报的情形。
总之,正是因为审计风险准则以风险评估为审计起点,并要求CPA在审计过程中应始终保持对重大错报风险的识别、评估,从而使得CPA将审计视野从内部控制扩展到企业的战略目标和经营环境,所以有效地遏制了CPA在审计过程中所面临的重大错报风险。
三、我国实施审计风险准则的影响
(一)审计风险准则对CPA的影响
1.对CPA审计理念的影响
首先,CPA审计的主线始终是对重大错报风险的识别、评估与应对。为了实现审计目标,在计划和实施审计工作时,应当保持职业怀疑态度,充分考虑可能导致会计报表发生重大错报的情形。
其次,CPA必须对会计报表重大错报风险进行评估。新的审计风险模型要求的审计起点为风险评估程序,CPA必须了解被审计单位及其环境,包括内部控制,以评估重大错报风险。另外,无论评估的重大错报风险结果如何,CPA必须针对重大的各类交易、账户余额、列报与披露实施实质性程序,不得只将实质性测试集中在例外事项上。
再次,CPA必须做到有的放矢的实施审计程序。CPA将识别和评估的风险与审计程序相联系,在设计和实施进一步审计程序(控制测试和实质性测试)时,应当将审计程序的性质、时间和范围与识别和评估的风险相联系,而非仅从形式上迎合独立审计准则对审计程序的要求。
2.对CPA审计责任的影响
在制定审计风险准则时,增加了对CPA形成审计工作记录的具体要求,工作底稿要求细化、具体化和针对化,以保证重要程序的履行和审计质量的控制,对明确CPA责任具有重要作用。
首先,要求CPA对风险评估程序的关键环节形成审计工作记录,具体包括:审计项目组对因舞弊或错误导致的会计报表存在重大错报风险的讨论以及决策;对被审计单位及其环境各个方面的了解,包括对内部控制每个要素了解的要点、信息来源以及风险评估程序;在会计报表层次、认定层次识别和评估出的重大错报风险识别出的特别重大风险和仅通过实质性程序无法应对的重大错报风险,以及相关控制的评估。
其次,要求CPA就实施的关键程序形成审计工作记录,具体包括:对评估的会计报表层次重大错报风险采取的总体应对措施;实施进一步审计程序(控制测试和实质性测试)的性质、时间和范围;实施的进一步审计程序与评估的认定层次重大错报风险的联系实施进一步审计程序的结果。
(二)审计风险准则对会计师事务所的影响
1.对技术瓶颈的争议
审计风险准则一个最突出的要点就是了解被审计单位及其环境,不仅包括被审计单位内部控制,而且要了解被审计单位所处行业状况、法律环境及监管环境等外部因素。因此,对事务所和CPA的专业技术知识要求更加宽泛和提升。
笔者认为,若使每个CPA对各行各业都精通诚然是不可能的,但是应当做到基本了解行业知识,并且能够有效利用其他专业人员为审计工作服务。同时,事务所应当细化项目小组,专门培养对某一行业熟知的专业审计队伍。在事务所内部管理工作中,对项目和相应人员的配备以及培养计划应当提高重视。另外,风险评估的关键是CPA科学地对风险进行专业分析和判断,因此大量实践经验的总结必不可少。我们应当尝试建立客户数据库,在积累的基础上建立行业数据库,以坚实的基本数据作为分析判断的支撑,保证审计结论的正确性。
2.对成本问题的争议
一种观点认为,审计风险准则要求CPA在审计之前对企业各个方面进行调查了解,并且需要更多有经验的合伙人及高级审计人员参与,人员成本会上升。另外,准则要求在审计的所有阶段都实施风险评估程序,一旦在审计过程中发现了问题,就要对既定的程序进行重新评估,如果企业经营管理不善,必然加大审计成本。
但从另一个角度来看,用绝对值来衡量成本的高低是片面的,如果企业的经营状况良好,审计风险准则的使用也会给他们带来很多的增值服务,比如可以为企业提供经营战略或内部控制建议等。因此,当市场接受这种审计方式时,所增加的成本相应有了更多的弥补。
笔者认为,我们应当持辩证的态度面对这一问题。对企业来说,他们首先考虑的是是否会加大其成本,然后才会考虑增值服务效应。而对会计师事务所来说,他们首先考虑的是审计的价值。这种矛盾是必然的。我们应该根据企业不同的情况灵活把握审计风险准则的具体应用,以期在成本和风险中找到一个最佳平衡点。
3.对事务所体制改革的建议
审计风险准则以风险评估为审计起点,并要求CPA在审计过程应始终保持对重大错报风险的识别、评估,对CPA更好地评估重大错报风险、降低审计风险起到重大作用。笔者认为,可以相应的对会计师事务所体制进行改革从而更有效的控制审计风险。有限责任会计师事务所的缺点是由于股东以其认缴的出资额对公司承担有限责任,所以造成了有些事务所无视风险,出具虚假的审计报告。而合伙制会计师事务所是合伙人以各自的财产对事务所的债务承担无限连带责任,任何一个合伙人执业中的错误和舞弊行为都可能给整个会计师事务所带来严重的后果,这种组织形式不利于CPA行业的发展。
外包风险管理评估细则篇2
摘要:文章首先分析了信息安全外包存在的风险,根据风险提出信息安全外包的管理框架,并以此框架为基础详细探讨了信息安全外包风险与管理的具体实施。文章以期时信息安全外包的风险进行控制,并获得与外包商合作的最大收益。
1信息安全外包的风险
1.1信任风险
企业是否能与信息安全服务的外包商建立良好的工作和信任关系,仍是决定时候将安全服务外包的一个重要因素。因为信息安全的外包商可以访问到企业的敏感信息,并全面了解其企业和系统的安全状况,而这些重要的信息如果被有意或无意地对公众散播出去,则会对企业造成巨大的损害。并且,如若企业无法信任外包商,不对外包商提供一些关键信息的话,则会造成外包商在运作过程中的信息不完全,从而导致某些环节的失效,这也会对服务质量造成影响。因此,信任是双方合作的基础,也是很大程度上风险规避的重点内容。
1.2依赖风险
企业很容易对某个信息安全服务的外包商产生依赖性,并受其商业变化、商业伙伴和其他企业的影响,恰当的风险缓释方法是将安全服务外包给多个服务外包商,但相应地会加大支出并造成管理上的困难,企业将失去三种灵活性:第一种是短期灵活性,即企业重组资源的能力以及在经营环境发生变化时的应变能力;第二种是适应能力,即在短期到中期的事件范围内所需的灵活性,这是一种以新的方式处理变革而再造业务流程和战略的能力,再造能力即包括了信息技术;第三种灵活性就是进化性,其本质是中期到长期的灵活性,它产生于企业改造技术基本设施以利用新技术的时期。进化性的获得需要对技术趋势、商业趋势的准确预测和确保双方建立最佳联盟的能力。
1.3所有权风险
不管外包商提供服务的范围如何,企业都对基础设施的安全操作和关键资产的保护持有所有权和责任。企业必须确定服务外包商有足够的能力承担职责,并且其服务级别协议条款支持这一职责的履行。正确的风险缓释方法是让包括员工和管理的各个级别的相关人员意识到,应该将信息安全作为其首要责任,并进行安全培训课程,增强常规企业的安全意识。
1.4共享环境风脸
信息安全服务的外包商使用的向多个企业提供服务的操作环境要比单独的机构内部环境将包含更多的风险,因为共享的操作环境将支持在多企业之间共享数据传输(如公共网络)或处理(如通用服务器),这将会增加一个企业访问另一企业敏感信息的可能性。这对企业而言也是一种风险。
1.5实施过程风险
启动一个可管理的安全服务关系可能引起企业到服务外包商,或者一个服务外包商到另一个外包商之间的人员、过程、硬件、软件或其他资产的复杂过渡,这一切都可能引起新的风险。企业应该要求外包商说明其高级实施计划,并注明完成日期和所用时间。这样在某种程度上就对实施过程中风险的时间期限做出了限制。
1.6合作关系失败将导致的风险
如果企业和服务商的合作关系失败,企业将面临极大的风险。合作关系失败带来的经济损失、时间损失都是不言而喻的,而这种合作关系的失败归根究底来自于企业和服务外包商之间的服务计划不够充分完善以及沟通与交流不够频繁。这种合作关系在任何阶段都有可能失败,如同其他商业关系一样,它需要给予足够的重视、关注,同时还需要合作关系双方进行频繁的沟通。
2信息安全外包的管理框架
要进行成功的信息安全外包活动,就要建立起一个完善的管理框架,这对于企业实施和管理外包活动,协调与外包商的关系,最大可能降低外包风险,从而达到外包的目的是十分重要的。信息安全外包的管理框架的内容分为几个主体部分,分别包括企业协同信息安全的外包商确定企业的信息安全的方针以及信息安全外包的安全标准,然后是对企业遭受的风险进行系统的评估.并根据方针和风险程度.决定风险管理的内容并确定信息安全外包的流程。之后,双方共同制定适合企业的信息安全外包的控制方法,协调优化企业的信息安全相关部门的企业结构,同时加强管理与外包商的关系。
3信息安全外包风险管理的实施
3.1制定信息安全方针
信息安全方针在很多时候又称为信息安全策略,信息安全方针指的是在一个企业内,指导如何对资产,包括敏感性信息进行管理、保护和分配的指导或者指示。信息安全的方针定义应该包括:
(1)信息安全的定义,定义的内容包括信息安全的总体目标、信息安全具体包括的范围以及信息安全对信息共享的重要性;
(2)管理层的目的的相关阐述;
(3)信息安全的原则和标准的简要说明,以及遵守这些原则和标准对企业的重要性;
(4)信息安全管理的总体性责任的定义。在信息安全方针的部分只需要对企业的各个部门的安全职能给出概括性的定义,而具体的信息安全保护的责任细节将留至服务标准的部分来阐明。
3.2选择信息安全管理的标准
信息安全管理体系标准BS7799与信息安全管理标准IS013335是目前通用的信息安全管理的标准:
(1)BS7799:BS7799标准是由英国标准协会指定的信息安全管理标准,是国际上具有代表性的信息安全管理体系标准,标准包括如下两部分:BS7799-1;1999《信息安全管理实施细则》;BS7799-2:1999((信息安全管理体系规范》。
(2)IS013335:IS013335《IT安全管理方针》主要是给出如何有效地实施IT安全管理的建议和指南。该标准目前分为5个部分,分别是信息技术安全的概念和模型部分;信息技术安全的管理和计划部分;信息技术安全的技术管理部分;防护和选择部分以及外部连接的防护部分。
3.3确定信息安全外包的流程
企业要根据企业的商业特性、地理位置、资产和技术来对信息安全外包的范围进行界定。界定的时候需要考虑如下两个方面:
(1)需要保护的信息系统、资产、技术;
(2)实物场所(地理位置、部门等)。
信息安全的外包商应该根据企业的信息安全方针和所要求的安全程度,识别所有需要管理和控制的风险的内容。企业需要协同信息安全的外包商选择一个适合其安全要求的风险评估和风险管理方案,然后进行合乎规范的评估,识别目前面临的风险。企业可以定期的选择对服务外包商的站点和服务进行独立评估,或者在年度检查中进行评估。选择和使用的独立评估的方案要双方都要能够接受。在达成书面一致后,外包商授予企业独立评估方评估权限,并具体指出评估者不能泄露外包商或客户的任何敏感信息。给外包商提供关于检查范围的进一步消息和细节,以减少任何对可用性,服务程度,客户满意度等的影响。在评估执行后的一段特殊时间内,与外包商共享结果二互相讨论并决定是否需要解决方案和/或开发计划程序以应对由评估显示的任何变化。评估所需要的相关材料和文档在控制过程中都应该予以建立和保存,企业将这些文档作为评估的重要工具,对外包商的服务绩效进行考核。评估结束后,对事件解决方案和优先级的检查都将记录在相应的文件中,以便今后双方在服务和信息安全管理上进行改进。
3.4制定信息安全外包服务的控制规则
依照信息安全外包服务的控制规则,主要分为三部分内容:第一部分定义了服务规则的框架,主要阐明信息安全服务要如何执行,执行的通用标准和量度,服务外包商以及各方的任务和职责;第二部分是信息安全服务的相关要求,这个部分具体分为高层服务需求;服务可用性;服务体系结构;服务硬件和服务软件;服务度量;服务级别;报告要求,服务范围等方面的内容;第三部分是安全要求,包括安全策略、程序和规章制度;连续计划;可操作性和灾难恢复;物理安全;数据控制;鉴定和认证;访问控制;软件完整性;安全资产配置;备份;监控和审计;事故管理等内容。
3.5信息安全外包的企业结构管理具体的优化方案如下:
(1)首席安全官:CSO是公司的高层安全执行者,他需要直接向高层执行者进行工作汇报,主要包括:首席执行官、首席运营官、首席财务官、主要管理部门的领导、首席法律顾问。CSO需要监督和协调各项安全措施在公司的执行情况,并确定安全工作的标准和主动性,包括信息技术、人力资源、通信、法律、设备管理等部门。
(2)安全小组:安全小组的人员组成包括信息安全外包商的专业人员以及客户企业的内部IT人员和信息安全专员。这个小组的任务主要是依照信息安全服务的外包商与企业签订的服务控制规则来进行信息安全的技术。
(3)管理委员会:这是信息安全服务外包商和客户双方高层解决问题的机构。组成人员包括双方的首席执行官,客户企业的CIO和CSO,外包商的项目经理等相关的高层决策人员。这个委员会每年召开一次会议,负责审核年度的服务水平、企业的适应性、评估结果、关系变化等内容。
(4)咨询委员会:咨询委员会的会议主要解决计划性问题。如服务水平的变更,新的技术手段的应用,服务优先等级的更换以及服务的财政问题等,咨询委员会的成员包括企业内部的TI’人员和安全专员,还有财务部门、人力资源部门、业务部门的相关人员,以及外包商的具体项目的负责人。
(5)安全工作组:安全工作组的人员主要负责解决信息安全中某些特定的问题,工作组的人员组成也是来自服务外包商和企业双方。工作组与服务交换中心密切联系,将突出的问题组建成项目进行解决,并将无法解决的问题提交给咨询委员会。
(6)服务交换中心:服务交换中心由双方人员组成,其中主要人员是企业内部的各个业务部门中与信息安全相关的人员。他们负责联络各个业务部门,发掘出企业中潜在的信息安全的问题和漏洞,并将这些问题报告给安全工作组。
(7)指令问题管理小组:这个小组的人员组成全部为企业内部人员,包括信息安全专员以及各个业务部门的负责人。在安全小组的技术人员解决了企业中的安全性技术问题之后,或者,是当CSO了关于信息安全的企业改进方案之后,这些解决方案都将传送给指令问题管理小组,这个小组的人员经过学习讨论后,继而将其到各个业务部门。
(8)监督委员会:这个委员会全部由企业内部人员组成。负责对外包商的服务过程的监督。
3.6管理与外包商的关系
外包风险管理评估细则篇3
关键词:物流外包;人性假设;风险评估
1.引言
随着社会分工的进一步细化和第三方物流产业的逐渐成熟,物流外包逐步被市场认可。
而在经济全球化的今天,许多企业在面临残酷的市场环境时,也都纷纷采取了致力发展核心业务,并将非核心业务外包给第三方物流企业的竞争策略。
所谓物流外包,即企业为集中有限资源、增强核心竞争力,将其物流业务以合同的方式委托第三方物流公司执行。其主要任务是节约物流成本,提高服务水平。然而,由于合同双方信息不对称,物流外包在给企业带来利益的同时,也可能造成企业的损失。比如,凯玛特在与沃尔玛的竞争中败下阵来,一个重要的原因是因为物流外包后失去了对物流的控制。
目前企业界和学术界对物流外包风险的存在都有着清晰的认识,但是在物流外包风险评估方面的研究还很有限。1993年,Muller率先探讨了第三方物流的成因和特征[1];2003年,ChuanxuWangAmeliac.Regan提出物流外包风险分为四种:财务风险、冲突风险、市场风险和管理风险[2];宁云才等运用模糊评价方法对物流外包风险进行了评估[3]。在企业界,现有的物流外包风险评估主要依靠企业管理人员的经验和物流外包提供者的信誉保证,主观因素作用过大,缺乏客观的评估模型。
本文简要阐述了物流外包的作用,粗略分析了物流外包的风险种类,引入管理学中常用的人性假设,以减少由于主观评测而带来的误差,进而提出了评估物流外包风险的结构化模型,提高评估的精确度。
2.物流外包的作用
作为被市场认可的生产组织模式,物流外包对于物流服务的需求者来说,具有重要的作用,具体体现在以下几点:
2.1着力发展核心业务,保持竞争优势对于企业来说,资源的有限性往往是制约其发展的主要“瓶颈”。企业如果能将物流业务外包给专业的第三方物流提供者,就能有足够的资源进行优化配置,将有限的人力、物力和财力集中于核心业务,减少用于物流业务方面的车辆、仓库和人力的投入,从而帮助企业保持竞争优势,获得长期的高额利润。
2.2减少投资,降低运营成本由于现在物流领域还处于发展和探索阶段,各种设施、设备及信息系统的投入非常大,所以,企业通过物流外包可以减少在此类项目的上的巨额投资。此外,作为专门从事物流业务的企业,第三方物流提供者能够利用规模优势,通过提高各环节资源的利用率,实现运营成本的降低,使企业能从中获益。据估计,通过专业物流进行市场配销,比自行设立配销的网络节省20%~30%的成本。
2.3树立企业的品牌形象第三方物流企业受物流外包需求者的委托,从客户的角度出发管理物流业务,利用其拥有的物流信息网络对客户的供应链进行有效的监控,为客户提供安全可靠的信息服务;利用广泛分布的物流配送网络缩短了客户的交货期,为客户提供便捷快速的运送服务;利用高水准的专业知识和技术,为客户提供合理优化的物流方案设计。以上这些优质服务能够使企业借助外包的物流业务提升自己的企业形象,在行业中脱颖而出。
2.4提高企业组织结构的灵活性通过将物流业务外包给第三方物流公司,企业可以对原有的管理内容进行分割剥离,缩小管理范围,精简公司机构,以高度应变的扁平式组织结构代替高耸的金字塔状组织结构,从而提高企业应对市场环境变化的能力,减轻由于规模庞大而带来的组织反应滞后、缺乏创新性的问题。
3.物流外包的风险物流外包
作为一种新型的生产组织模式,带来的好处显而易见,但是由于合同双方的企业文化、管理模式不尽相同,并且存在信息不对称的问题,物流外包中隐藏的风险也不容忽视。因此,物流外包企业需要有效地识别外包风险,加强对风险的管理控制,进而达到尽可能地降低和规避风险。当前企业物流外包面临的风险主要来自以下几个方面[4]:
3.1管理风险当企业将物流外包给第三方物流企业后,物流服务提供商将介入企业的采购、生产、分销、售后服务等各个环节,成为企业的物流管理者,使得企业自身对物流部分的控制力下降。
如果双方在协调上出现问题,就可能会导致物流外包企业对第三方物流供应商失去控制,从而使企业的生产经营活动特别是物流业务受到影响。
3.2信息风险企业要将物流外包出去,必须和合作方就从方案设计到货物运输的各项环节进行充分交流和沟通,这牵涉到信息共享的问题。如果外包企业和第三方物流供应商之间缺乏信息共享,出现信息不对称的问题,则会导致信息失真、反应滞后;如果合作企业之间形成信息共享,则涉及到企业机密的信息可能会被泄露,成为危害企业安全的风险。
3.3财务风险企业选择物流外包的一个重要原因是希望降低运营成本,然而,如果长期将物流外包,可能会使企业缺乏对市场行情的了解,无法精确测算物流成本。这时,即使第三方物流企业借口成本增加而抬高物流服务的价格,抑或是直接虚报成本,物流外包企业也往往难以及时察觉,造成成本超支。
3.4市场风险企业将物流外包后,减少了与顾客沟通和交流的机会,不能及时获取客户信息,把握市场需求变化,从而影响企业的产品改进或者创新工作。从长远来看,这也会阻碍企业核心业务与物流活动之间的联系,可能造成客户满意度的降低,损失重要的客户资源,对企业的长久发展不利。
以上物流外包风险分类仅为大致分类,在实际应用中会加以管理毕业细分和调整,本文在此不做赘述,并且假定按照企业实际情况,风险已被有效划分,作为下文论述的前提。
4.物流外包风险评估模型
介绍本文提出的物流外包风险评估模型是建立在人性假设基础上的,引入了风险概率和风险重要性的二维坐标系,着重阐述主观判断在风险概率评估上的失真,通过剔除误差部分,提高衡量物流外包中各项风险的精确度,从而为随后的物流外包决策提供一定的支持。其基本步骤如下:
4.1风险重要性判断依据各类风险对项目的影响程度,评估其重要性,分为四个等级(见表1),记为ki。
1.从代数角度考虑,在所有的各类风险中,若kili取得较大值,说明该风险重要性大或发生概率大或两者皆是,需要企业给予较大的关注;若kili取得较小值,说明该风险重要性小或发生概率小或两者皆是,企业可适当减少对其的关注度。
2.从几何角度考虑,可以将各类风险对应的ki和li直观标识在坐标系中,形成风险排序散点图。由定义范围可知,风险对应的点只会出现在第一象限、原点、x和y轴的正半轴上。将分布范围分割为四个部分,采取不同的对待策略(见图1)。
风险排序散点图的分割针对各类风险不同的重要性和发生概率,将其大致分为四类后,依次采取的策略如下:
A--重要性大、发生概率大,应重点关注,可以通过协议等降低风险的发生概率;B--重要性小、发生概率大,可以适当减少关注程度,考虑风险替换;C--重要性大、发生概率小,应予以关注,避免小概率事件发生造成的损失;D--重要性小、发生概率小,可以较少关注。
基于人性假设的物流外包风险修正依据表1,可以发现图1中的散点对应的是某一等级的风险重要性和风险发生概率。然而,同一等级的风险的重要性可能并不完全一样,同时,即使在图1中两类风险对应的发生概率相同,也只表示它们的实际发生概率处于同一区间。因此,仅仅利用二维坐标进行风险评估只能产生一些风险结,即处于同一等级的风险具有基本相同的属性,形成风险模块,但还可以继续细分。一个项目的风险众多,如此多的风险结,使得管理者无法精确了解各风险的缓急关系。
1.20世纪60年代末70年代初以后提出的对待人性的一种权变思想--复杂人假设,即认为现实组织中存在着各种各样的人,不同的人以及同一个人在不同的场合会有不同的动机和需要,从而导致不同的外在行为表示。根据这一假设,组织中的人都是趋利避害的,可以进行这样的人性假设:各类风险对应的各运营部分的负责人一方面会夸大本部门风险的重要性,以获得高层管理者的关注和企业整体的关注;另一方面会夸大本部门风险的发生概率,因为一旦风险发生而造成损失,可以风险大为理由减轻自己的责任。
2.针对部门负责人夸大风险重要性物流管理的情况,可以采取现在广泛使用的解决方法,即在部门自评的基础上,引入公司高层管理者和企业外无利害关系专家的评估意见,重复进行4.1和4.2的过程,以对物流外包初步评估的结果进行修正。其可行性在于,这部分是就风险对于企业的影响程度进行评测,是企业宏观层面的判断,所以从某种程度上说,公司高层管理者和专家的意见更加能够符合企业整体思维的要求。
100重要性5B发生概率(%)0DCA3.针对风险发生概率被夸大的情况,如果仍然按照现在常用的解决夸大风险重要性的方法来处理的话,则可行性较低,因为高层管理者和专家对各部门的实际情况不甚了解,做出的判断也许会脱离现实,因此需要采取全新的解决策略。超级秘书网
显而易见,各风险并不是完全割裂的,它们之间或多或少都有互相影响的成分,甚至会出现互为因果的情况。根据做出的人性假设,各部门负责人虚报的风险发生概率部分很可能是将不属于自己风险概率的部分归入了本部门对应的风险中,因此需要对这部分概率值进行调整。
由此,通过发生概率的调整,物流外包风险初步评估中存在的风险结得以化解,风险发生概率的精确度有所提高。结合对风险重要性的综合评测和风险发生概率的改进计算,基于人性假设的物流外包风险评估模型提出了一种对原有方案加以改善的评估方法。
5.总结
本文首先简要阐述了外包对物流外包需求者的积极作用,接着大致分析了物流外包的风险分类,最后,通过引入管理学中常用的人性假设,构建了评估物流外包风险的结构化模型,对提高评估的精确度具有一定的参考价值。
专业提供毕业论文写作服务,并提供大量工商管理毕业论文,如有业务需求请联系客服人员!
参考文献
[1]ReinganumJ.UncertainInnovationandthePersistenceofMonopoly[J].AmericanEconomicReview,1983,73(4):741-748.
[2]ChuangxuWang,AmeliaCRegan.RisksandReductionMeasuresinLogisticsOutsourcing[A].TRB2003AnnualMeetingCD-ROM[C].2003.
[3]宁云才,孟祥生,戴青松.物流外包的风险识别机器模糊评价[J].理论探索,2004,(12):28-29.
外包风险管理评估细则篇4
摘要无形资产评估风险是指由于各种不确定因素的影响使评估结果严重偏离资产真实价值或客观价值,乃至误导交易方而引发纠纷的可能性。无形资产评估风险主要分为评估对象风险、评估方法风险、评估机构和人员的执业风险、评估结果使用风险和评估管理风险等五类。防范无形资产评估风险,就要完善评估规范细则,选择科学评估方法,建立评估监督机制,同时还要对资产评估人员加强职业道德教育。
党的十一届三中全会以来,我国实行对外开放政策,大量引进外资和国外的先进技术设备,使国内的生产力水平迅速提高,促进了经济的发展和科技进步,缩小了我国与世界上科技先进国家的差距,为加速四个现代化建设的进程起到了积极的作用。但是,这些引进的项目中无形资产为主的项目不足20%,我们应当更新投资观念,改变引进技术的结构,形成以无形资产投资为主的局面。同时,无论是企业界、科技界还是政府部门,也应该加大对无形资产的开发研究力度,促进国民经济的快速发展。但是,无形资产提供未来收益的不确定性、垄断性、交易中所有权与使用权的可分离性等特点,决定了无形资产的投资与有形资产相比具有一定的复杂性,同时也存在着一定的风险,特别是在无形资产的评估方面存在一些风险。
一、无形资产的评估风险
无形资产评估风险指由于各种不确定因素的影响使评估结果严重偏离资产真实价值或客观价值,乃至误导交易方而引发纠纷的可能性。无形资产评估风险主要可分为评估对象风险、评估方法风险、评估机构和人员的执业风险、评估结果使用风险和评估管理风险等五类。(一)评估对象风险资产评估的首要工作是界定评估范围,明确评估对象。资产评估中的无形资产可分为不可确指的无形资产和可确指的无形资产。不可确指的无形资产是商誉,可确指的无形资产包含专利权、专有技术、生产许可证、特许经营权、租赁权、土地使用权、矿藏资源勘探权、开采权,商标权、版权、计算机软件、地质矿藏勘探成果资料等。近年来,随着我国市场经济的发展,出现了一些诸如期权价值、控股权价值、客户价值、营销网络、企业形象、企业文化、企业综合人力资源、企业管理水平、网址和域名权等新型资产,这些资产也都具有无形资产的特性。若以此类资产对外投资、转让或对企业整体资产进行评估时,不予考虑这些新型资产的价值,必然会使转让方的机会成本得不到补偿,从而使其蒙受损失。评估对象风险还表现在各类无形资产之间的交叉重复。如海尔商标是对海尔商品的质量、性能、服务等因素的标识,综合反映出海尔企业的生产经营水平,融合了海尔企业的商标权、专利权、专有技术、营销网络、客户价值、管理水平等多项无形资产。根据《资产评估操作规范意见(试行)》,采用收益法评估无形资产“不能将其他资产带来的收益估算到无形资产的收益中”。即在运用评估法评估海尔商标时,必须将上述多项无形资产所带来的超额收益进行分割,逐一确定单项无形资产价值。那么,如何进行组合无形资产的价值分割?目前尚无明确的评估参照依据和专业标准。各评估机构和评估师在实际操作中各行其是,导致无形资产评估水分极大。(二)评估方法风险评估方法是确定资产现时公允价值的手段和途径。资产评估的基本方法主要有三种:成本法、收益法和市场法。评估方法的选择一般与评估目的、评估对象的理化状态及市场上可资利用的资料等有关。从无形资产的评估目的看,无形资产评估主要以对外投资和转让为目的,这种对外投资和转让不同于一般实物资产;一般的实物资产转让的是实物,其所有权和使用权同时让渡,而无形资产转让的是收益能力,其使用权和所有权具论文格式有可分离性。因此无形资产的交易价格主要取决于它所创造的相对超额收益。从评估对象和市场条件看,无形资产的投入产出具有强弱对应性,账面成本具有不完整性和虚拟性,研制与开发耗费也具有非标准性,这些特征都限制了成本法和市场法在无形资产评估中的应用,而使收益法成为评估无形资产的首选方法。采用收益法评估无形资产必须确定三个基本指标:收益额、收益期限和抗现率。收益额是指由无形资产直接带来的未来超额收益,而非过去的收益,它是通过对无形资产未来效能的判断得出的现时价值。无论采用超额收益形式或利润分成方式获得的收益额都只是一种预测数据,难免带有主观偏差。无形资产还有一个很重要的功能特性:对应用环境的附着性。即同一项无形资产在不同环境与用途条件下,其发挥作用的大小及为企业创造效益的多少会有较大差别。因此无形资产实施的客观环境(如企业资产经营规模、质量、效益等)对无形资产收益预测有重大影响。同时,由于这种收益是无形资产带来的超额收益,分析企业所处的外界市场环境和行业竞争程度也是预测无形资产收益额时不容易忽视的环节。而目前我国企业面临的市场竞争环境极不规范,这无疑也会加大收益预测的风险。与收益预测密切相关的是收益期限的确定。无形资产收益期限实为无形资产具有超额收益能力的时间。确定无形资产收益期限的理论依据是无形资产的无形损耗,即功能性贬值和经济性贬值。在当今科学技术迅猛发展的时代,无论是参考法律保护期限,还是企业合同或申请书中规定的受益年限,都必须以无形资产能持续发挥作用为投资者带来超额收益能力的合理预测为基石,来确定无形资产的收益期限。显然这一预测过程也具有很大的风险。折现率是将来收益还原或转换成评估基准日现值的比率。折现率本质上是一种平均收益率,通常由三部分组成:无风险报酬率、通货膨胀率和风险报酬率。将这三部分累加确定折现率的方法理论上可行,但在实务运作中存在种种缺陷。首先从我国目前金融体制改革的情况看,无风险报酬率并不是一个定数,而是随经济发展的总体水平上下浮动;其次,我国金融统计数据还很不完善,缺乏国际资产评估中普遍采用的相关指标,特别是风险报酬率的确定多是由各评估机构主观判断,这就为准确量化收益风险及测算折现率带来较大困难。而折现率的微小变动,会带来评估结果十倍的差异。合理确定折现率是运用收益评估无形资产最棘手的问题之一。(三)评估机构和评估人员的执业风险执业风险主要指评估机构和评估人员在执业中业务素质未达到专业要求或严重违反职业道德、评估人员因此而承担诉讼或仲栽及赔偿责任等风险。无形资产,尤其是知识技术无形资产,本身具有很强的学科专业内容,不了解有关知识就无法进行评估。而且无形资产种类多,相互间可比性低,像非专利技术和商业秘密还是严格保密的,信息资料和技术经济参数的收集比较困难,加之各项无形资产发挥功能的环境制约因素不同,技术经济飞速发展也使相关信息需要不断更新。这些情况的客观存在,都增加了无形资产评估工作的复杂性和困难性,也要求从事无形资产评估的执业机构和人员具备较高的专业水平和综合素质,否则就有可能发生执业风险。我国目前正处于从计划经济向市场经济的转轨阶段,各种统计数据对无形资产评估工作并无多大参考价值,且缺乏行业统计资料,评估中所需的数据都来自于委托方提供的资料,使评估结果的真实性大打折扣,严重影响了评估行业的社会形象和声望。(四)评估结果使用风险评估结果使用风险是指因无形资产评估结果使用不当造成损失的可能性。此类风险一般是评估工作结束后,外界各种相关因素出现并发生变化而引致,具有滞后性和潜伏性。无形资产未来收益的预测主观性较大,市场因素则变数更多,但其实价值是由市场供求关系决定的。因此无形资产评估值是在较严格的技术性能鉴别基础上,在较多评估假设条件下,借助于某些数学模型测算出一种模拟价值,而且是以评估基准日为时间参照,按照无形资产实际状况对其进行的评定估算。正是基于无形资产评估的时效性和现实性特点,评估报告书都约定了评估结果有效期。按照《资产评估报告基本内容与格式的暂行规定》,评估结果有效期为一年,即评估目的在评估基准日后的一年内实现时,要以评估结果作为底价或作价依据。如果评估报告书的使用人未按约定范围使用或使用了超过有效期的评估的评估结论,均会引起评估结果使用风险的发生。(五)评估管理风险评估管理风险是指国家授权的职能部门在实施对无形资产评估的组织、指导、协调、监督、审查等职能时承担的风险。在市场经济条件下,资产业务活动频繁,评估工作多、面广、量大,政策性、时效性强,评估动机、具体行为复杂,关系着当事各方的切身利益,而评估机构和评估人员的水平、素质又参差不齐。如果缺乏正确的组织指导和有效的协调、监督与审查,对问题与纠纷不能及时公正地处理,就不能建立正常的评估工作秩序,不能保证评估的质量,导致评估管理风险的发生。当前我国还没有统一的无形资产评估管理法规和无形资产评估专业标准,加上无形资产的“无形性”,使对无形资产评估很难达到客观、公正。虽然近几年在全国开展可资产评估业的清理整顿和脱钩改制工作,但行业和地方垄断仍较普遍,仍有一些机构明脱暗不脱或挂靠行政权力垄断业务,以不正当手段承揽业务,扰乱了评估市场的正常秩序,违背了资产评估的独立、客观、公正原则,损害可资产业务有关当事方的合法权益。由此涉及到评估管理部门,就会形成评估管理风险。新晨
二、无形资产评估风险防范措施
外包风险管理评估细则篇5
[关键词]准备金评估,偿付能力,个案准备金,在途准备金
自2002年新版《保险法》规定“保险公司必须聘用经保险监督机构认可的精算专业人员、建立精算报告制度”之后,中国保监会相继颁布《保险公司非寿险业务准备金管理办法(试行)》(以下简称《办法》)和相配套的实施细则。该《办法》首次提出采用精算方法评估准备金,并建立非寿险业务准备金制度,其实施对保险公司稳健经营、监管机构准确评估非寿险公司负债、防范承保风险、保证充足偿付能力有重要的意义。然而该《办法》在指导公司实践中,在数据质量要求、准备金分类认识、评估方法等方面仍存在一些问题。
一、评估原则
在美国,《财产/意外险赔款和理赔费用准备金原则的声明》中提出准备金评估四原则:1.准确、可靠的赔款准备金估计基于合理的假设和精算方法。2.准确、可靠的理赔费用准备金基于合理的假设和精算方法。3.赔款及理赔费用准备金具有内在不确定性,准备金估计范围更为准确合理。4.在准确合理的准备金范围内,最合适的准备金值既依赖于各估计值出现的相对概率,又依赖于财务报告目的。
在我国,准备金管理办法尚未明确提出评估应遵循的原则,但强调谨慎性原则,如“采用至少两种方法进行谨慎评估,并根据评估结果的最大值确定最佳估计值”。
通过比较可看出,准备金管理办法出于监管的目的,要求根据评估结果最大值确定最佳估计的做法非常谨慎保守,但最大估计值可能远远偏离最终实际赔付值,无法真实反映公司实际负债。而在美国实务中,精算师运用精算方法给出准备金估计范围,管理层根据财务报告的目的以及各种值出现的相对概率,在评估范周中选择最佳估计作为公司报告值。美国监管会计(sap)也曾偏好于产生最高负债值的方法,并要求机动车辆责任险、产品责任险、医疗事故责任险、劳工补偿险、信用事故险责任准备金必须达到用特定公式得出的最小值(根据保费的一定比例),否则提取超额法定准备金,但最终遭到许多公司反对,认为其不能反映负债真实水平,并于2001年取消了这些规定。
二、准备金分类
根据准备金管理规定,非寿险业务准备金分为未到期责任准备金和未决赔款准备金。其中,未到期责任准备金包括长期责任准备金和短期险业务的未到期责任准备金。未决赔款准备金包括已发生已报案未决赔款准备金、已发生未报案未决赔款准备金和理赔费用准备金。
在美国,根据险种类别、保单期限,对长期和短期保单计提未赚保费准备金。《财产/意外险赔款和理赔费用准备金原则的声明》将赔款准备金分为个案准备金(或称已报案未决赔款准备金)、已报告赔案未来进展准备金、重立赔案准备金、已发生未报告ibnr准备金、在途准备金(或称已报案未立案准备金)共五类。已发生未报告准备金为纯ibnb准备金,在途准备金是由于保险人记录过程消耗时间所导致,实务中两者通常无法区分。声明中还指出,广义ibnb准备金还应包括对未决赔案未来进展的资金准备和重立赔案准备金(在某些情况下,结案后支付赔款实际并不重新开案,而是作为已知赔款的未来进展)。
理赔费用发生于赔案报告和理算、赔付的整个过程,已报告赔案和未报告赔案都包含理赔费用。在美国,理赔费用准备金应与赔款准备金并列,而不是赔款准备金的子类。我国却把理赔费用准备金当作未决赔款准备金的子类,同已发生已报案未决赔款准备金和未决赔款准备金并列。
我国理赔费用包括直接理赔费用和间接理赔费用。直接理赔费用包括专家费、律师费、损失检验费等发生于具体赔案的费用,之外费用属于间接理赔费用。在美国,理赔费用包括可分配和不可分配理赔费用准备金。1998年之前,关于独立理算师的费用,不同公司有不同的界定方式。直到1998年,联邦保险监督官协会(naic)为了各公司报告的理赔费用一致,规定直接理赔费用仅指与辩护、诉讼和遏制医疗成本相关的费用,所有理算师(内部理算师和独立理算人)费用均被认为是不可分配理赔费用。
三、准备金评估方法
(一)未到期责任准备金评估方法
根据准备金管理办法,未到期责任准备金评估采用1/24法或者1/365法提取未到期责任准备金。以前《保险公司财务制度》规定的1/2法,要求一年内保费收入均匀流人,假定平均起保日在年中,如果保费收入集中于上半年,必然高估未到期负债,低估当年利润,使部分利润推迟至下一年反映。反之,会导致准备金提取不足,危及偿付能力。相比之下,1/365法假设条件更为宽松,对现实背离的可能性较低,评估的准确性较高。
对长期保单未到期责任准备金评估,准备金管理办法中没有单独规定。根据比例法原理,主要采用1/365n(n表示保单期限),是对1/365法的一种扩展。该方法沿用了1/365法“保单期限内,风险均匀分布”的重要假设,而这一点对于长期保单通常不满足,如消费信贷保险风险递减,建筑工程保险风险递增,保证保险风险集中程度较高。因此,采用1/365n法不能准确反映长期保单风险分布不均匀的特点。另外,采用日比例法计算的未到期责任准备金不得低于预期未来赔款与费用扣除相关投资收入的余额或者评估日假设所有保单退保的退保金额,否则提取保费不足准备金。
在美国,未赚保费准备金按险种类别、保单期限,采用不同的评估方法。短期合同采用1/365法逐单评估,主要由会计部门负责。长期保单合同,考虑到风险分布的不均匀,最初采用78法则或逆78法则。然而在实际中,风险的分布不可能服从严格的等差递增或递减。因此,1995年美国保险监督官协会naic规定了长期保单未赚保费准备金评估的3个测试规则,未赚保费准备金不得低于3个测试的最大值。1997年9月,该规则被重新修订并首次要求在1998年财务报表中,精算声明必须包含对长期未赚保费准备金的精算意见。
美国监管会计计提长期保费准备金的财产/意外险包括:职业责任险中,涉及被保险人死亡、伤残和退休而附加延长期保险保障的职业责任险;质量担保保险;其它趸缴保费或固定保费的保险期超过十三个月的保单。但不包含财务担保保险、抵押贷款保证保险及担保保险。测试1考虑退保因素,未赚保费准备金必须足以应对退保。测试2估计赔付和费用进展及分布,根据未来赔付和费用占总赔付和费用的比例乘以签单保费估计未赚保费准备金。测试2消除了比例法计算内在的“增长惩罚”。如果10%的总赔付和费用发生在保单签发时,那么年末最后一天签发的保单,未赚保费准备金为90%的签单保费。如果采用日比例法,则将所有的保费都转为未赚保费准备金。这样,如果保险人保费增长速度很快,使用监管会计规则,不允许保单获得成本递延摊消,盈余会因为保单获得成本而流失,导致“增长惩罚”。测试3为保费充足性测试,未来期望赔付及理赔费用从发生折现到评估日的现值扣减未来保费从收取折现到评估日的现值。测试3允许保险人用评估日到赔案及费用发生日之间的预计投资收益来冲抵未来赔付支出。由于允许贴现,需要确定风险边际,因而贴现率选取净投资收益率扣减1.5%和5年期债券收益率中的较小值。测试3实际上忽略了签单保费(前两个测试以签单保费为基础),完全根据保单未来风险计算期望净现金的流出。如果保单定价明显低估,那么未赚保费准备金可能会超过签单保费。
比较可看出,我国保险公司数据信息系统还不完善,对于短期保单,并非所有公司都有能力采用1/365法,部分公司采用1/24更符合公司实际。长期保单未到期责任准备,简单比例法(1/365n法)同美国监管会计3个测试相比,准确和谨慎程度还有所差距,主要体现为:1.不能准确反映长期保单损失不均匀分布的特点。2.我国公司处于快速增长阶段,会带来“增长惩罚”。3.对于偿付能力存在问题的公司,更容易通过低价销售保单“圈钱”来掩饰公司的流动性压力,此时未来负债可能会高于签单保费,而根据我国保费不足测试,未赚保费永远低于签单保费,从而无法真实反映公司的实际偿付能力。
(二)未决赔款准备金评估方法
已报告赔案的理赔涉及到案件受理、现场勘查、责任审核理赔、残值和追偿款收入估计。在我国,已发生已报案未决赔款准备金主要采用逐案估计和案均赔款法。在美国,已报案未决赔款准备金是由理赔人员的负责,由理赔部门完成,采用的方法主要有逐案评估、公式法或平均赔付成本系统。
长期以来,我国财产险公司精算没有得到重视,财产保险主要为短尾业务,ibnb准备金比重相对较小,采用不高于当年实际赔款4%提取,强调已报案未决赔款准备金的准确性。但随着职业责任险、医疗事故责任险、雇主责任险等长尾险种的开发,全民保险意识、法律意识增强,已报告赔案最初赔款估计必然无法完全准确,因此采用逐案评估法、公式法和各种赔付成本系统估计已报告赔案,而将已报案赔款的未来进展归人广义ibnr准备金,强调已报案未决赔款准备金的一致性,广义ibnr准备金的准确性,会成为必然趋势。
对ibnr准备金估计,准备金管理规定,根据险种风险性质、分布、经验数据等因素,采用链梯法、案均赔款法、准备金进展法和b-f法,至少同时用两种方法进行谨慎评估。
在美国保险实务中,准备金评估方法主要分为三类:损失进展法(包括链梯法、案均赔款法、准备金进展法)、损失率法、两种方法的综合(b-f方法和s-b方法)。采用链梯法,准备金评估结果对流量三角型左下角数据极为敏感,进展因子较小的变动就会导致评估结果巨大的波动。而损失率法过于重视近期赔付经验,忽略赔付进展规律,很难符合实际。s-b方法(又称cape-cod方法)同b-f方法类似,都综合运用赔付延迟模式规律和基于风险的期望赔付率,其最大创新之处在于使用历史经验数据来估计最终期望损失率,而不依赖于赔付经验判断最终损失率。因而在再保险业务中,再保险人因缺乏最终损失率,或者当定价精算师的期望损失率与实际经验不一致时,该方法更为有效。
(三)理赔费用准备金
在美国,可分配理赔费用可直接分配到具体赔案,因而可分配理赔费用被分为已报告和ibnr部分,所有对赔款数据的分析也同样适用于直接理赔费用。当可分配理赔费用与赔付模式一致时,可分配理赔费用与赔款相加以评估未决赔款准备金,否则单独评估可分配理赔费用准备金。不可分配理赔费用准备金评估,目前美国运用最为普遍,最合理的方法是基于操作过程的johnson方法。
考虑到我国保险公司数据库信息不够完善,直接理赔费用数据严重缺失,根本无法采用流量三角形方法进行评估,只能对已报告赔案的理赔费用采取逐案评估法。由于数据积累有限,间接理赔费用的数据达不到johnson方法的要求,因而只能采用比率分摊法。
四、考虑因素
准备金评估过程中需要考虑多种因素,如数据质量、保·单条款、外部环境等。准备金管理办法规定“保险公司提取的各项准备金不得贴现”,要求在准备金报告中对数据的完备性、准确性及存在的问题进行说明,但并未对衡量数据质量的标准详细解释,其他考虑因素都不曾提及。
美国《财产/意外险赔款和理赔费用准备金原则的声明》,指出,数据的趋势、承保、理赔处理、数据处理过程及法律和社会环境的变化,对准确解释和评价已观察数据,选择评估方法非常必要。另外,了解保险公司业务特征,熟悉保单条款、免赔额、残值迫偿款、保单限额和再保险安排对准备金评估也很重要。因而在准备金评估中,精算师需要考虑以下因素:
(一)数据因素
在《财产/意外险赔款和理赔费用准备金原则的声明》中,对数据分类的五个重要日期(事故日、报告日、记录日、会计日、评估日)、数据的组织形式(事故期、报告期、保单期数据组织形式)、数据的同质性和可信性、进行了明确的界定和详细的说明。数据分组需要考虑同质性和可信度,按照承保风险性质、风险类别、赔案进展模式等特征进行数据细分,可增强同质性,提高评估准确性。但对同质性的要求不能过于严格,数据分的越细,风险的同质性越强,但同时会导致每一类别数据量的减少,从而影响数据可信度。因而可信度与同质性不能同时兼顾,在进行数据组织和整理时,精算人员必须在两者之间寻找合适的平衡点。
实际操作中,精算师不可能在任何时候都获得完全准确、合适、充足的数据,因而只能根据可获得数据进行分析。但在1991年asop(精算实务标准)no.9中规定,“如果精算师清楚所获得数据受限,必须进行披露”。在评估之前,精算师还需要识别可疑的数据,确保精算数据同其他财务报表数据的一致性。
在1993年asopno.23中对数据的选择、依赖于其他数据提供者、数据的评论、数据的使用、数据质量的披露等方面给出指引,适用于定价、准备金和价值评估等领域。其中指出,判断数据充足性,若不足以进行分析,精算师应要求获得充足的数据或拒绝任务;评论内外部数据是否一致;描述数据是否存在缺陷;如果依赖于其他人提供的数据,应进行披露;精算师应考虑目前数据与过去数据的一致性;任何对数据的调整和修正都必须进行披露。
(二)折现问题
赔款和理赔费用准备金折现的合适性一直存在争议。1992年asopno.20指出,在并构或转移未到期责任风险时,赔款准备金会被折现。折现率可根据市场利率、投资组合收益率选择,有时会作调整以反映风险、投资费用或税收。a.sopno.9中指出,如果财务报表采用折现值,精算师需要考虑由于折现带来的不确定性,并披露现值、折现利率、折现数额。
(三)报告模式、进展模式。理赔模式
财产保险赔案报告较快,而责任险赔案报告延迟时间较长。保险人的赔案程序会影响个案准备金的进展模式,理赔实务会影响历史进展模式的一致性。理赔处理较快的财产险,赔案准备金估计不确定性较小。相反,理赔处理较慢的人身伤害责任险赔案,最终赔款通常较大偏离最初估计额,它依赖于伤害类型和损失程度,通常还会涉及司法诉讼过程。
除上述因素外,准备金评估还需考虑:
1.损失频数和强度,相同总赔款可能来自于少数大赔案或许多小赔案,但前者的准确性远远低于后者。2.保单条件,如保单限额、免赔额(超赔起赔点)、索赔发生制和累计限额等都会影响评估。3.残值、追偿款和担保物,即使在监管会计下,也可以从赔款准备金中扣减。4.再保险计划改变、净自留额变化、未满期责任转移、结构性赔付都会影响准备金评估。5.公司运营的改变、新的计算机系统的引入、会计的改变、理赔实务和承保政策的改变,都会影响损失经验的连续性、一致性,准备金的计算应反映这些变化的影响。
6.外部影响。诸如诉讼环境、监管和法规的改变、市场机制和经济环境的改变都需要考虑。
外包风险管理评估细则篇6
(上海格林曼环境技术有限公司,上海 210000)
摘要:随着我国污染场地环境管理水平的不断提升,风险评估已成为场地环境调查和修复中间必不可少的一个环节,国家和地方层面也相继颁布了一系列技术规范文件以指导污染场地风险评估工作的开展。以场地风险评估的工作程序为主线,依次对国家和地方技术规范文件确定的技术路线和主要工作内容的异同点进行了比较分析,并对完善我国污染场地风险评估技术方法体系提出了相关建议。
关键词 :污染场地;风险评估;技术方法
中图分类号:X82 文献标识码:A 文章编号:1008-9500(2015)07-0047-06
收稿日期:2015-06-09
作者简介:李春平(1988-),女,辽宁阜新人,硕士研究生,主要从事污染场地风险评估与场地修复方面的研究。
近年来,随着城市化进程的加快及产业结构的快速调整,我国大中城市多种行业企业的关闭和搬迁一直在持续进行,由此遗留的潜在污染场地的环境管理工作正受到国家和地方层面越来越多的关注和重视。
早在2009年10月,北京市就开始实施《场地环境评价导则》(DB11/T 656-2009)[1](北京导则),以规范北京市污染场地的环境评价和风险评估流程,防止潜在污染场地的开发利用危害群众健康。2010年1月,重庆市颁布《重庆场地环境风险评估技术指南》[2](重庆指南),从场地环境调查、风险评估及修复方案3方面规定了重庆市污染场地环境风险评估和修复工作要求。2011年8月,北京市《场地土壤环境风险评价筛选值》(DB11/T 811-2011)[3](北京筛选值),作为潜在污染场地开发利用时是否需要开展环境风险评价的判定依据。2013年6月,浙江省颁布《污染场地风险评估技术导则》(DB33/T 892-2013)[4](浙江导则),详细规范风险评估的整个流程,并提出浙江省适用的部分关注污染物的土壤风险评估筛选值。2014年2月,国家环境保护部《污染场地风险评估技术导则》(HJ25.3-2014)[5](国家导则),从国家层面规范了污染场地人体健康风险评估工作。2014年10月,上海市制定《上海市污染场地风险评估技术规范》(试行)[6](上海规范),以规范上海市污染场地人体健康风险评估的原则、内容、程序、方法和技术要求。
人体健康的定量风险评估已成为我国污染场地管理体系中必不可少的技术手段[7]。本文以污染场地风险评估的工作程序为主线,依次对国家导则和各个地方技术规范文件确定的技术路线和主要工作内容的异同点进行了全面的比较分析,并对完善我国污染场地风险评估技术方法体系提出了相关建设。
1风险评估的工作内容和程序
国家导则按照污染场地风险评估的工作流程将其划分为5部分:危害识别、暴露评估、毒性评估、风险表征和控制值计算。地方导则中,浙江导则和上海规范中风险评估的工作程序与国家导则保持一致。北京导则中,风险评估作为场地环境评价中污染识别和现场采样分析后的第三阶段,主要内容为建立场地概念模型、进行风险计算、确定修复目标并划定修复范围。重庆指南中,首先要求对第一阶段场地污染调查进行了工作回顾,在补充污染调查的基础上,提出了暴露分析、毒性分析和风险评估的要求,并要求在污染土壤修复方案中提出土壤的修复标准,重庆指南中同样未涉及地下水的修复标准。
国家导则和地方导则中关于风险评估工作内容的规定比较见表1。
由表1可见,国家导则和地方导则中风险评估的主要工作程序基本保持一致,只有北京导则在工作程序中未明确提及毒性评估,仅在附件中列举了一些常见污染物的毒性参数,作为污染物毒性评估的参考依据。
2危害识别与筛选值
2.1危害识别
危害识别为污染场地风险评估的第一阶段。国家导则中,此阶段需获取如下场地信息:详尽的场地相关资料及历史信息、场地土壤和地下水样品中污染物的浓度数据、场地土壤的理化性质分析数据以及场地气候、水文及地质特征信息数据等,并要求明确场地及周边地块的土地利用方式,在此基础上来确定场地的敏感受体,并结合相应筛选值通过一定的技术方法来确定场地的关注污染物。
北京导则中虽未明确提出危害识别这一阶段,但在场地环境评价的第一阶段污染识别及第二阶段现场勘查与采样分析中分别提及资料收集及污染识别等相关内容,并在第三阶段风险评价的“建立场地概念模型”中,明确在此过程中需要确定污染源、未来用地方式并确定污染场地受影响的人群。重庆指南中场地环境风险评估程序中提及了污染源分析阶段,但其资料调查分析及采样分析分别在场地环境调查及污染调查工作回顾中进行,土地利用方式、敏感受体及关注污染物则在暴露分析中进行详细阐述。浙江导则和上海规范中危害识别阶段的内容与国家导则保持一致。
需要指出的是,在确定场地敏感受体时,除考虑居住人群等敏感人群外,国家导则、浙江导则和上海规范均考虑了土壤污染对地下水的影响,将地下水同样列为敏感受体之一。北京导则在此阶段提及的敏感受体仅涉及受影响的人群,而重庆指南在风险暴露评估分析中提及的敏感受体包括居民和临时活动人员,但均未考虑地下水体等其他可能的受体。
部分地方导则将危害识别阶段与场地环境调查或其他相关工作阶段一同进行阐述,而国家导则对此的技术要求则相对清晰完整。
2.2筛选值
在进行关注污染物的初筛时,一般应用筛选值作为判定是否开展土壤或地下水环境风险评价的启动值。
国家导则中虽暂未制定污染物的土壤和地下水筛选值,然而环境保护部已《建设用地土壤污染风险筛选指导值》(征求意见稿),待正式后可作为国家层面筛选土壤中关注污染物的参考。北京市有一套完整的土壤筛选值[3],共制定了88种污染物的土壤筛选值,可以作为北京市场地土壤环境风险评价的参考启动值。重庆指南中,对于未来用地性质没有明确规定时,要求应用《展览会用地土壤环境质量评价标准(暂行)》(HJ 350-2007)[8](展览会用地标准)A级标准对污染物进行筛选。浙江导则中同样列举了88种污染物的土壤风险评估筛选值,作为当地土壤关注污染物筛选的参考依据。上海目前要求分别应用展览会用地标准A级标准和《地下水质量标准》(GB/T 14848-93)[9](地下水国标)Ⅲ类标准及其他相关的环境质量标准对土壤和地下水中的污染物进行筛选。目前看来,除上海参考地下水国标进行地下水中污染物的筛选外,国家和其他各地方均暂未制定地下水中污染物的筛选值。
对比北京和浙江的土壤筛选值,污染物的种类及筛选值均相同。北京筛选值中单独制定了公园与绿地用地方式的土壤筛选值,与住宅用地相比,公园与绿地用地方式的土壤筛选值相对宽松;浙江则将住宅用地、公园与绿地用地方式统称为住宅及公共用地。对比北京/浙江住宅用地土壤筛选值和展览会用地标准A级标准,仅少数污染物如砷、镍、多氯联苯及滴滴涕等的住宅用地土壤筛选值与展览会用地标准A级标准相同,大部分污染物均存在差异性。
3 暴露评估
暴露评估是在危害识别的基础上确定场地土壤和地下水污染物的暴露情景、主要暴露途径和暴露评估模型,确定评估模型参数取值,计算敏感人群对土壤和地下水中污染物的暴露量。
3.1暴露情景
暴露情景是指在特定土地利用方式下场地污染物经由不同暴露途径迁移和达到受体人群的情况,其对后续暴露量计算公式的选择起着重要的指导作用。国家导则、重庆指南和上海规范均对暴露情景进行了明确的分类,基本可分为以住宅用地为代表的敏感用地和以工业用地为代表的非敏感用地;浙江导则中对暴露情景的分类则以敏感人群中是否涉及儿童来定;北京导则中暂未明确提及暴露情景这一说法,但在北京筛选值中分别提及住宅用地、公园与绿地和工业/商服用地的土壤污染物筛选值。
3.2暴露途径
暴露途径是场地污染物迁移到达和暴露于人体的方式。对比分析各导则的暴露途径,国家导则和上海规范对暴露途径的考虑比较全面,在综合考虑保护人体健康各途径的基础上,还考虑了对地下水的保护即土壤淋溶至地下水的暴露途径。重庆指南对各暴露途径尚未进行详细的划分,如未区分土壤呼吸吸入途径的室内外颗粒物及蒸气,未考虑土壤淋溶至地下水及地下水室外蒸气途径等,但增加了其他导则中没有的土壤果蔬种植摄入及地下水皮肤接触暴露途径。
风险评估技术的暴露途径比较见表2。
3.3暴露量计算及暴露参数
在进行暴露量的计算时,国家及各地方导则应用的模型基本保持一致。其中,北京导则和重庆指南直接将污染物的浓度带入暴露量的计算中,计算得到各暴露途径土壤或地下水中污染物的暴露量,其他导则仅计算得到各暴露途径下土壤或地下水的暴露量。此外,重庆指南在计算呼吸吸入途径污染物的暴露量时,未区分污染物室内外颗粒物及蒸气。
国家及各地方导则均按照敏感受体及暴露情景的不同,对风险评估中需要的暴露参数进行了统计。国家导则、浙江导则和上海规范中统计的暴露参数相对较为详细,考虑了住宅和工业用地两种暴露情景;北京导则中统计了包括体重、皮肤表面积、暴露频率在内的7种暴露参数,考虑了居住、公园、商业和工业用地4种暴露情景;重庆指南在统计暴露参数时,考虑的暴露情景更加详细,综合考虑了居住、工业、商业/娱乐/市政用地、开挖施工及农业用地。
风险评估技术暴露参数的比较(以住宅类敏感用地为例)见表3。
表3以住宅类敏感用地为例,选取了部分代表性暴露参数进行了比较,与国家导则相比,上海规范的参数取值与其基本保持一致,其他导则中部分参数取值与其保持一致,取值不同的各参数与国家导则相比差别不大。
4毒性评估
毒性评估即在危害识别的基础上,分析关注污染物对人体健康的危害效应,包括致癌效应和非致癌效应,确定与关注污染物相关的毒理学及理化等参数。
4.1污染物毒性分级及参数
美国国家环保局(United States Environmental Protection Agency,USEPA)对污染物进行了如下毒性分级。A:人类致癌污染物;B2:很可能的人类致癌污染物;C:可能的人类致癌污染物;NA:暂时未对其致癌性进行划分[10] 。我国目前参考USEPA对污染物进行毒性分级。
污染物致癌效应的毒性参数包括呼吸吸入单位致癌因子(IUR)、呼吸吸入致癌斜率因子(SFi)、经口摄入致癌斜率因子(SFo)和皮肤接触致癌斜率因子(SFd)。污染物非致癌效应的毒性参数包括呼吸吸入参考浓度(RfC)、呼吸吸入参考剂量(RfDi)、经口摄入参考剂量(RfDo)和皮肤接触参考剂量(RfDd)。
国家导则中,呼吸吸入途径的SFi和RfDi可分别通过IUR和RfC外推得到,皮肤接触途径的SFd和RfDd则可分别通过SFo和RfDo外推计算得到,并列出了外推计算公式。北京导则中,呼吸吸入途径的SFi和RfDi及皮肤接触途径的SFd和RfDd直接为文献参数值,未进行外推计算。重庆指南中暂未列举污染物的毒性参数。浙江导则中直接列举了部分污染物的毒性参数,对于未收录的污染物毒性参数,规定可参考国外毒性数据库或可根据相关外推模型进行计算。上海规范与国家导则保持一致,在毒性参数取值时应用了具体的外推模型进行计算。
对比国家及各地方导则中污染物的毒性参数,由于参考不同的文献,污染物的毒性参数各有不同,污染物毒性参数的差异会导致后续污染物风险的不同,在风险评估中需根据地方政府的要求合理选择污染物的毒性参数。
4.2污染物理化性质及其他参数
风险评估中还涉及到一些污染物的理化性质参数及其他一些和暴露途径相关的吸收因子参数。
国家导则、浙江导则和上海规范中分别列表给出了部分污染物的理化参数,而北京导则和重庆指南中暂无污染物的理化性质参数。具有代表性的理化性质参数即无量纲亨利常数(H’)、水中扩散系数(Dw)、空气中扩散系数(Da)、土壤-有机碳分配系数(Koc)和水溶解度(S)等,浙江导则中未给出溶解度的参考取值。由于参考不同的文献,各导则中污染物的部分理化性质参数取值也存在不同。以四氯化碳为例,对比国家导则和上海规范,其H’和S的取值相同,而Dw、Da和Koc存在轻微差异;对比浙江导则和上海规范,其Dw和Da的取值相同,而H’、Koc和S存在轻微差异。
四氯化碳理化性质参数的比较见表4。
污染物的吸收因子参数主要包括消化道吸收因子ABSgi、皮肤吸收因子ABSd和经口摄入吸收因子ABSo,分别用于计算皮肤接触致癌斜率因子及参考剂量、皮肤接触土壤途径的土壤暴露量和经口摄入土壤途径的土壤暴露量。国家导则、浙江导则和上海规范对吸收因子参数考虑的较为全面,北京导则中仅考虑了ABSd,重庆指南中考虑了ABSd和ABSo。参数取值方面,各导则中污染物的ABSgi和ABSo的取值均相同,由于参考不同的文献,各导则中污染物的ABSd不完全相同。
5风险表征
风险表征是在暴露评估和毒性评估的基础上采用风险评估模型计算土壤和地下水污染物的致癌风险和危害商。
在进行污染物的风险表征时,国家导则和地方导则的相同之处在于,均分别考虑了致癌污染物的致癌风险和非致癌污染物的非致癌危害商,并首先分别计算土壤或地下水中单一污染物经单一途径的致癌风险和非致癌危害商,再计算单一污染物的总致癌风险和非致癌危害指数,计算方法也保持一致。此外,国家导则和地方导则均选择相对保守的10~6作为单一污染物的可接受致癌风险水平,选择1作为单一污染物可接受非致癌危害商。
国家和地方导则的不同之处在于,首先,在进行单一污染物非致癌危害商的计算时,是否考虑暴露于土壤和地下水的参考剂量分配系数SAF和WAF。上海规范同国家导则应用的推荐模型保持一致,在进行非致癌危害商的计算时,均考虑了暴露于土壤和地下水的参考剂量分配系数,而北京导则、重庆指南和浙江导则未对其进行考虑。此外,在完成污染物总致癌风险和非致癌危害指数的计算后,应进行不确定性分析,以分析污染场地风险评估结果不确定性的主要来源,国家导则、重庆指南和上海规范中分别对该部分内容进行了详细分析,而北京导则和浙江导则中未涉及该部分内容。
6风险控制值的计算及修复目标值的确定
污染物的风险控制值是基于健康风险评估模型的计算值,是确定污染场地修复目标值的重要参考值。而污染物的修复目标值是根据不同修复方式(原位/异位)和不同修复技术(污染物总量削减/风险途径控制)而确定的,修复目标值不完全等同于风险控制值。
6.1风险控制值的计算
当风险评估结果表明场地土壤或地下水中污染物浓度超过可接受风险水平时,需要计算土壤和地下水中关注污染物的风险控制值。国家导则、浙江导则和上海规范中计算污染物风险控制值应用的模型基本一致,不同之处在于在进行非致癌污染物的风险控制值计算时,国家导则考虑了暴露于土壤和地下水的参考剂量分配系数SAF和WAF,而地方导则中未对其进行考虑。北京导则和重庆指南中均仅提及计算方法,未给出计算模型。
此外,国家导则和上海规范中考虑了对地下水环境的保护,主要考虑土壤污染物淋溶至地下水后对地下水造成的危害,制定了保护地下水的土壤风险控制值的确定方法。其他导则中暂未考虑对地下水环境的保护。
6.2修复目标值的确定
国家和各地方导则中对污染物修复目标值有不同的确定方法。我国《污染场地土壤修复技术导则》(HJ25.4-2014)[11]中指出,在分析比较风险评估计算获得的风险控制值、场地所在区域土壤中目标污染物的背景含量及国家有关标准中规定的限值后,合理提出土壤目标污染物的修复目标值。北京导则中,在确定污染物的修复目标值时,还应参考该污染物的检出限、评价地区的土壤和地下水中污染物的背景值、当地的法律法规和修复技术的可行性。重庆指南中,需综合考虑技术、经济等,执行相对严格的修复目标值。浙江导则中指出,应根据污染物的风险控制值以及场地的实际情况和用途确定修复目标值。上海规范中明确区分了污染物的风险控制值及修复目标值,当选择原位修复技术时,修复目标值可引用风险控制值;选择异位修复技术时,修复目标值应根据不同的修复策略和处置方式制定。
需要指出的是,对于地下水的修复目标值,浙江导则还有一特殊规定,要求在比较经过风险评估计算得到的地下水修复限值及《地下水质量标准》(GB/T 14848-93)中规定的地下水污染物浓度最大限值的基础上,选择最小值作为污染场地地下水修复建议目标。
7 其他
铅污染场地的风险评估在国家和地方导则中均有提及但各有不同。与其他化学物质的非致癌性危害相比,铅的主要特点即在很低的浓度下依然可能对儿童或胎儿造成非致癌危害。
国家导则和上海规范的适用范围中均指出其不适用于铅、放射性物质、致病性生物污染及农用地土壤污染的风险评估。而北京导则和浙江导则的适用范围中则未提及不适用于铅污染场地的风险评估,也未给出铅的毒性参数,但均提出了铅的土壤参考筛选值。重庆指南中,对于住宅用地及公共用地,铅污染场地风险评估采用儿童血铅评估方式,要求经各种暴露途径导致的儿童体内血铅水平高于0.1 mg/L的概率小于5%,其具体方法参照USEPA公布的方法;而对于商服及工业用地,铅污染场地采用单因子评价方法,评估标准为展览会用地标准中的B级标准。
8结论与建议
8.1结论
从以上综合比较分析可以得出以下结论。
(1)我国污染场地风险评估相关的国家导则和地方导则中有关风险评估的工作内容和程序要求基本相同,各工作程序的内容综合比较也无很大差异。
(2)在进行污染场地风险评估时,各导则考虑的污染物暴露途径各有不同,而暴露途径的选择不同,将导致风险评估的结果存在差异。
(3)各导则对于包括暴露参数、毒性参数及理化参数等在内的数据库的选择各有不同,这也将导致计算得到的污染物风险控制值或修复目标值存在差异。
(4)在进行非致癌污染物的风险评估时,计算危害商及风险控制值时,模型中是否考虑暴露于土壤和地下水的参考剂量分配系数,将对非致癌污染物风险评估的结果存在影响。
8.2建议
我国污染场地风险评估技术方法有关的国家和地方导则各有优势和不足,国家导则在评估程序、各程序的工作内容、风险评估各计算模型的选择等方面相对完善。通过对比分析,对完善我国污染场地风险评估技术方法提出了如下相关思考和建议。
(1)国内有关场地土壤及地下水污染物的筛选标准尚不完善,且大多仅有污染物的土壤筛选值,基于此,建议从国家和地方层面分别完善各自的土壤筛选值并制定地下水筛选值。
(2)暴露评估阶段,各地应以国家导则作为参考依据,并根据本地区的实际情况,完善地方特定的暴露参数数据库。
(3)毒性评估阶段,国家和地方导则中污染物的毒性参数取值各有不同,且均参考国外的污染物毒性参数数据库,建议从国家层面整体规范污染物的毒性参数。
(4)建议在制定非致癌危害商及非致癌污染物的风险控制值时,统一考虑暴露于土壤和地下水的参考剂量分配系数。
(5)污染场地风险评估应从健康与环境两个方面来进行,应考虑对地下水环境的保护。
参考文献
1DB11/T 656-2009.场地环境评价导则[S].
2重庆市环境保护局.重庆场地环境风险评估技术指南[EB/OL].重庆:重庆市环境保护局,2010[2010-01].pan.baidu.com/s/1bnjB7yv
3DB 11/T 811-2011.场地土壤环境风险评价筛选值[S].
4DB 33/T 892-2013.污染场地风险评估技术导则[S].
5HJ 25.3-2014.污染场地风险评估技术导则[S].
6上海市环境保护局.上海市污染场地风险评估技术规范[EB/OL].上海:上海市环境保护局,2014[2014-10-10].
sepb.gov.cn/fa/cms/shhj//shhj2103/shhj2104/2014/10/87719.htm
7陈梦舫,骆永明,宋静,等.中、英、美污染场地风险评估导则异同与启示[J].环境监测管理与技术,2011,23(3):14-
18.
8HJ 350-2007.展览会用地土壤环境质量评价标准(暂行)[S].
9GB/T 14848-93.地下水质量标准[S].
10United State Environmental Protection Agency.Guidelines for Carcinogen Risk Assessment[EB/OL].United State:United State Environmental Protection Agency,2005-03[201304-10].www2.epa.gov/sites/production/files/2013-09/documents/cancer_guidelines_final_3-25-05.pdf
11HJ 25.4-2014.污染场地土壤修复技术导则[S].
外包风险管理评估细则篇7
关键词:韩国投资公司;主权财富基金;投资模式
亚洲金融危机后,韩国意识到外汇储备在应对金融危机中能发挥保险的功能,一改过去偏重“高借贷、低储备”的金融政策,开始注重外汇储备的积累。2000年8月,在全部偿还了国际货币基金组织提供的195亿美元贷款后,外汇储备快速增长。2001年,韩国外汇储备首次突破1 000亿美元,2005年超过了2 000亿美元。2005年7月,韩国决定成立韩国投资公司。其首要任务是通过有效管理国家公共基金,增加主权财富基金的长期购买力;随着委托资产增加,把韩国投资公司发展成为位居韩国之首的全球投资管理公司;促进韩国金融业的发展,使其成为主要金融中心;培养锻炼在国际金融市场运作的专业人才队伍,以加强韩国在国际金融中心中的地位。作为韩国的主权财富基金,韩国投资公司成立时间虽然不长,但其已经发展了一套较完整的投资运作模式。
一、建立了投资管理组织架构
韩国投资公司下设管理委员会、董事会、投资管理部、公司管理部、风险管理部。
管理委员会是韩国投资公司的最高决策机构,负责建立基本管理政策和把握公司发展方向。授权解决以下问题:确定韩国投资公司中长期投资政策;修改金融法,如增减资本;将资产委托给韩国投资公司;决定公司官员的任免;批准韩国投资公司的预算与会计结算;评估公司管理绩效;监督公司业务。
管理委员会成员不超过12人,包括一位主席。目前由9人构成,6位专家中有学术界、法律界、投资运营专家各两人,其他成员为战略与财政部部长、韩国银行行长和韩国投资公司总裁。
管理委员会应解决与投资有关的问题,如制定韩国投资公司中长期投资政策,把资产委托给韩国投资公司,编制公司年度投资计划,确定公司风险管理政策,选择公司外部基金经理等。
管理委员会建立了投资管理委员会分会和风险管理委员会分会,两者职责是对管理委员会委派事项进行审议。投资管理委员会分会负责审议如下事项并将结果报告给管理委员会:如形成并修订投资政策;制定年度投资计划;提交管理委员会审议和解决的其他有关投资事项。风险管理委员会分会负责审议并报告给管理委员会的事项诸如:形成并修订风险管理政策;提交年度投资绩效和风险管理的现状报告;提交管理委员会审议和解决的其他有关风险管理事项。
董事会由总裁及董事组成,主要负责提交到管理委员会审议并决策的事务。总裁代表韩国投资公司负责公司的日常运营。
投资总监主要负责总体的投资经营活动,向董事会及管理委员会报告重要的投资事项及执行管理委员会的决议。投资总监主要职责是:(1)建立投资策略和资产配置计划;(2)制定年度投资计划;(3)管理投资组合的再平衡;(4)审核修改投资政策;(5)监督外部经理人选拔委员会;(6)监督投资绩效。审查其他与投资相关的问题。
运营总监负责全面的计划管理工作,其主要职责是起草中长期管理策略和年度业务规划,保证系统能够支持投资业务正常运转,监测投资信息系统。
风险总监负责全面的风险管理工作。包括制定风险管理政策和计划,进行风险管理,监督投资绩效,各种相关的风险因素,从管理角度考察内部控制程序,检查在管理受托资产及进行其他业务活动中可能出现的各种风险。
二、细化了有关投资政策
在投资政策中规定了投资目标,即在适当风险水平内,获取超过基准的持续稳定的回报。并提出应掌握的两个投资原则:一是通过资产组合多样化将单个资产或市场的风险最小化,二是在审慎负责的资产管理政策指导之下,追求回报的持续增长,当出现投资机会时,适当发挥灵活性,积极抓住机遇。对于资产类别的选择,规定可以包括各种证券(在《韩国投资公司法》下定义的股票和债券)、外国货币及衍生品等。在2005年的投资策略中,考虑到委任给韩国投资公司的资产大部分是外汇储备的一部分,因此禁止韩国投资公司投资于房地产和私募股权。2008年扩大了投资范围,允许投资于备选资产。此外,还要求对每种资产类别的管理应遵循委托人提供的投资指引。在间接投资的情况下,根据委托人的投资政策和指引,投资公司应向外部基金经理提供独立的投资指引。外部基金经理投资指引主要包括投资目标、投资基准、合格的资产分类、投资限制、绩效评估的标准与方法和报告方法。
投资政策中还有其他考虑。首先是投资衍生品的前提条件。为达到韩国投资公司的长期目标,可以使用互换、期权、期货及远期作为策略性投资工具,但在委托人的指引中必须同意进行此类投资,否则韩国投资公司不得投资衍生品。其次是允许韩国投资公司借出证券赚取收益,但要经管理委员会的同意,而且要求韩国投资公司能管理好借出证券的相关风险。此外,赋予韩国投资公司行使同资产投资相关的投票权及由委托人委托的共同诉讼或其他诉讼相关的权利。在间接投资的情况下,按投资管理协议中的规定,投票权可以委托给外部基金经理。韩国投资公司应定期监测并向董事会和管理委员会报告投票权的行使现状。
三、规定了全球资产配置的种类和技术处理方法
韩国投资公司专注于海外投资。由管理委员会主要审议及处理由投资总监制定的全球资产配置计划,此资产配置应该说明韩国投资公司管理的资产投资于不同资产类别的比例,及每种资产的子资产类别。资产配置可分为策略性资产配置(SAA)和战术性资产配置(TAA)。前者由委托人提供的投资指引决定,后者在投资指引下,利用短期市场条件取得超额回报。成立初期,资产配置中70%为固定收益投资,30%为股权投资。投资基准为雷曼全球加总债券指数(Lehman Global Aggregate Index(FI))和摩根士丹利国际资本世界股票指数(MSCI world index(Eq))。2009年债券组合由56个国家的21种货币组成,基准为巴克莱资本全球总和债券指数。股票组合由38个国家的27种货币组成,仍以摩根士丹利国际资本(MSCI)世界指数为基准。在初期受托的200亿美元资产中,35%由国内管理,65%转委托给外部基金经理。计划未来逐步提高国内管理资产能力,以增加国内管理资产的比例。
2008年1月,战略与财政部决定再委托给韩国投资公司20亿美元,投资于备选资产,备选资产范围很广,包括私募股权基金、房地产、风险资本、对冲基金和商品等。
对资产配置技术处理可以采用组合再平衡方法。在资产价值、现金流或突发的市场波动导致偏离了资产配置目标允许范围时,根据投资指引,投资总监应采取及时有效的方式对资产组合进行再平衡。
韩国投资公司以外币计价管理韩国外的委托资产。只有在临时性、不可避免的情况下,才可按韩元本币计价。
四、允许使用外部服务提供者
外部服务提供者包括外部基金经理、外部顾问和托管人。韩国投资公司受托的资产可以重新委托给外部基金经理。为确保投资公司招聘高水平的外部基金经理,投资基金经理的挑选过程是客观的并具有竞争性。要求每位选中的外部基金经理都有经验和能力管理与韩国投资公司投资目标相匹配的投资。
外部基金经理的选择是由韩国投资公司建议外部基金经理人数,将第一轮评估中选中的外部基金经理提交研究委员会批准或作为推荐,再由投资总监主持的研究委员会向管理委员会提交推荐,最后由管理委员会审议研究委员会的推荐,并投票表明拒绝或接受。
外部基金经理的选择过程应按管理委员会批准的外部基金经理选择指引进行。韩国投资公司应保持对外部基金经理的监管,当出现影响外部基金经理投资能力和投资组合价值事件时,外部基金经理应立即通知韩国投资公司。这些事件包括:管理发生的变化、融资头寸有重大变化、经营方向发生变化、主要官员发生变动、负责投资管理的主要人员发生变动、违背了法律和规则、提供给韩国投资公司错误、遗漏和虚假的信息。
董事会可利用外部顾问服务,外部顾问应:(1)提供投资咨询,如资产配置、投资组合构建、外部基金经理选择、资产类别评估和分析;(2)提供与受托资产投资相关的法律建议;(3)提供与受托资产投资有关的税收建议。
外部顾问的选择应该透明、客观、具有竞争性,选择结果应上报管理委员会。外部顾问的选择标准应注重考察在服务咨询方面的专长和经验;外部咨询顾问工作的稳定性和持续性;提供服务的范围和质量以及服务收费情况等。
托管人的选择由董事会指定,对委托资产进行有效的、健全的管理,委托资产要进行交易结算、会计和报告。
托管机构的选择也应透明、客观、具有竞争性,选择的结果应报告管理委员会。
委托机构的选择标准应侧重委托服务方面表现是否出色;是否有适当的风险管理系统;在委托服务方面有无经验;服务范围的大小和质量好坏;财务是否稳健以及服务费用的高低。
五、规范了风险管理的内容
韩国投资公司对受托资产投资中风险类别进行划分,提出了风险管理的原则、程序和报告内容。
将主要风险划分为市场风险、信用风险、衍生产品风险和操作风险。
韩国投资公司根据量化模型确定跟踪误差来管理市场风险。量化模型以每日各类资产变动为基础。在为单个组合建立事前跟踪误差限额时,为确保有效分散市场风险,会考虑每种组合的投资策略、目标回报和风险水平。韩国投资公司还规定了合规的投资币种、投资的国家和投资渠道,以避免高风险产品的风险集聚。另外,对单个组合进行监视,使其回报不过低于基准回报。为应对金融市场的不确定性,还设定了一个期间,分不同情景进行压力测试。此外从证券发行人、发行国和市场多个角度分析评估市场风险也是一种行之有效的方法。
信用风险主要源于投资组合中持有的债券及在场外交易中交易对手的信用风险。管理信用风险是根据国际信用评级机构标准普尔、穆迪和惠誉的评级,设定信用评级中的最低投资级别。针对衍生产品风险,韩国投资公司选择了适合投资的衍生产品,规定了投资头寸限额,限制过度杠杆交易。操作风险侧重在对人员风险、程序风险和技术风险的控制上。此外合规部通过要求员工遵守《合规手册》、《道德准则》和《行为准则》,降低业务风险、声誉风险和法律风险。
风险管理原则是韩国投资公司可以通过预防性和系统性风险管理来减少过度的风险和损失,在风险和期望收益之间能够达到平衡。韩国投资公司的风险管理政策由风险管理小组准备,受风险管理委员会分会审查,最后由管理委员会批准。在委托人已编有投资指引情况下,风险管理小组应准备单独的风险管理指引,此指引将结合委托人的指引并取得管理委员会的批准。风险管理程序是根据管理委员会批准的风险管理政策和指引作出的,风险管理小组根据以下程序管理风险:(1)根据风险类型识别风险;(2)根据客观的数据和科学方法测算和评估风险;(3)根据风险类型设定限制;(4)监测和报告。检查风险限定的遵守情况,有违背时,根据预定程序采取行动并上报合规官员、运营总监、投资总监、董事会及管理委员会;(5)审查和反馈。维持和持续改进风险管理系统。
风险管理小组测量和监督实际投资细节和风险,根据韩国投资公司的法律和规则,保留相关的文件并报告给董事会和管理委员会。
风险管理报告的内容有:持有的投资组合和交易细节;风险测量方法,是否采用VaR和跟踪误差等;有无敏感性分析指标,如久期、贝塔、期权德尔塔;信贷风险暴露情况;压力测试情况;有无违反投资指引或相关规定;资产价值是否有重大变化;投资组合信用评级有否改变;其他风险管理的重大事项。
六、提出了绩效评估、监测的原则和方法
绩效评估目标是通过绩效评估和投资组合归因分析来提高委托资产管理的效率和透明度。韩国投资公司的绩效首先由独立于投资小组的风险管理小组进行评估。如必要,可由包括外部专家的绩效评估委员会进行第二轮评估。根据韩国投资公司法律和规则中规定的方法和程序,将评估结果上报董事会和管理委员会。
绩效评估的主要原则是:制定精确、一致的评估标准;建立合理、公正的绩效评估程序;采用已调整的风险回报。
各投资组合绩效应当用超额回报来估测,它是根据有关基准和风险调整回报得到的。
绩效评估应对组合的投资回报和风险进行分析,根据协定的基准作出,如果有相近者,在相近者内进行评估。
绩效监测和评估要定期并按要求进行:按月度对总体及单个投资回报进行评价;按季度对金融市场趋势和表现进行评价;按年度对单个投资组合、总体投资组合和所有经理的表现进行综合的评估。
在间接投资的情况下,投资小组接受来自外部基金经理的月、季、年度报告,用来监测和评价每个外部基金经理。风险管理小组应结合托管银行提供的信息报告来实行独立和综合的监测与评估。
根据相关法律和法规中的方法、频率和程序,风险管理小组准备绩效评估和分析报告,将其报告董事会及管理委员会。报告内容涉及市场最新情况、展望及基准分析,组合头寸与绩效分析,组合绩效归因分析。
七、建立健全了相应的法律法规
2005年3月,韩国颁布了《韩国投资公司法》,并于7月1日韩国投资公司成立时生效,目的是使韩国投资公司有效管理政府、韩国银行委托的资产。为了防止腐败,韩国总统在2006年3月为韩国投资公司颁布了《行为准则》。同日还颁布了《道德准则》,为韩国投资公司的员工提供正确决策和伦理道德判断的标准。2006年7月韩国投资公司推出了《投资政策陈述》,以说明当韩国投资公司管理来自韩国政府、韩国银行和在基金管理法框架下的其他公共基金委托的资产时,必须坚持的投资政策、程序和标准。
中国主权财富基金中投公司自2007年成立后,建立了组织架构。最初的组织结构并不完善,后按资产配置类别对有关部门重新调整,结构日趋合理。投资政策方面,中投公司在2009年年报中,公布了投资战略继续秉承的四项原则和投资组合的资产类别构成,但仍未明确给出各种资产配置的比例基准以及配置的国家和行业。透明度虽有提高,但与韩国投资公司相比,仍有可改进之处。在聘用外部基金管理人方面,中投公司建立了一套严格的评选机制,以保证吸收优秀人才加入团队。中投公司还成立了风险管理委员会,建立了风险管理框架。但在相应的投资行为和道德伦理立法方面,还有待完善。
总之,韩国投资公司在成立后很短的时间内就建立了投资管理组织架构,细化了投资政策,明确了全球资产配置的种类和技术处理方法,允许使用外部服务提供者,规范了风险管理原则、程序和报告,提出了绩效评估、监测的原则和方法以及建立健全了相应的法律法规。韩国投资公司的投资模式与经验,值得中国中投公司借鉴。
参考文献
[1]Korea Investment Corporation Code of Ethics,2006.
[2]The bank of korea,Annual Report,2005 to 2008.
[3]Korea Investment Corporation,Annual Report,2005 to 2009.
[4]韩国投资公司网站,kic.go.kr.
外包风险管理评估细则篇8
关键词:风险评估;管理工具;分类;选择;设计
中图分类号:TP311文献标识码:A文章编号:1009-3044(2011)30-7388-02
Research on Risk Assessment and Management Tools
WANG Fu-hua,YAO Jie
(Chongqing Communication Institute, Chongqing 400035, China)
Abstract: This article has carried on the detailed introduction to the risk assessment management tools, and introduced how to choose and design risk assessment management tools.Finally,it offers some ideas for information security assessment practice.
Key words: risk assessment; management tools; classification; choice; design
目前,网络安全问题已成为影响社会经济发展和国家发展战略的重要因素,信息安全评估工作的重要性不言而喻。信息安全风险评估工作是个极复杂又具有挑战性的工作,需要细致的工作,大量的支持性的专业知识的支撑,项目管理也比较复杂,因此如果要更好的完成信息安全风险评估工作就必须有一套非常实用的信息安全风险评估管理工具。一套使用的风险评估管理工具将极大地提高信息安全风险评估工作的效率和结果的正确性。
1 风险评估与管理工具分类
风险评估与管理工具是根据系统关键信息资产、资产面临的威胁以及威胁所利用的脆弱点来确定所面临的威胁、对风险情况进行全面考虑,估算出信息系统的风险情况,且在风险评估的同时根据面临的风险提供相应的控制措施和解决方法。
1.1 基于国家、政府颁布的信息安全管理标准或指南
目前世界上存在多种不同的风险分析指南和方法,不同的风险分析方法其侧重点和关注点各不相同。如:
NIST(National Institute of standard and Technology)的FIPS 65;
DOJ(Department of Justice)的SRAG;
GAO(Government Accounting Office)的信息安全管理的实施指南。
1.2 基于专家系统的风险评估工具
基于专家系统的风险评估工具主要通过建立专家系统和外部知识库,以调查问卷的方式收集组织内部信息安全的状态。对重要资产的威胁和脆弱点进行评估,产生专家推荐的安全控制措施。
基于专家系统的风险评估工具通常可以自动形成风险评估报告,根据风险的严重程度提供风险指数,同时分析可能存在的问题,并提供相应的处理方法。
COBRA(Consultative Objective and Bi-functional Risk Analysis)是一个著名的基于专家系统的风险评估工具,它是一个问卷调查式的风险分析工具,由三个部分组成:调查问卷生成、风险测量和结果分析生成。
基于专家系统的风险评估工具除COBRA之外,比较知名的还有@RISK、BDSS(The Bayesian Decision Support System)等工具。
1.3 基于定性或定量算法的风险分析工具
风险分析作为重要的信息安全保障措施,是信息安全体系不可或缺的一部分。而信息安全风险评估的算法作为风险评估的重要手段,很久以前就被提出并了大量的研究工作,其中一些算法已经成为正式的信息安全标准的一部分。早期的风险评估算法大部分仅仅作定性的分析,对风险产生的可能性和风险产生的后果只能按照高、中、低来区分,这种定性的方式无法准确地估算出风险产生的可能性和损失量。随着人们对信息安全风险了解的不断深入,获得了更多的经验数据,因此人们越来越希望用定量的风险分析方法反映事故发生的可能性。定量的信息安全风险管理标准包括美国联邦标准FIPS31和FIPS191,提供定量风险分析技术的手册包括GAO和新版的NISTRMG。
由于数据收集的困难,目前还没有完全定量的风险评估工具,现有的风险评估工具要么在定性方面有所侧重,要么在定量方面有所侧重。如CONTROL-IT、Definitive Scenario、JANBER都是定性的风险评估工具,而@RISK、Risk-CALC、CORA是半定量的风险评估工具。
2 常见的风险评估管理工具比较
CRAMM:CRAMM是1985年由英国CCTA开发的风险评估系统。CRAMM包括全面的风险评估工具,并且完全遵循BS7799规范,包括依靠资产的建模、商业影响评估、识别和评估威胁和弱点、评估风险等级、识别需求和基于风险评估调整控制等。CRAMM评估风险依靠资产价值、威胁和脆弱点,这些参数值是通过CRAMM评估者与资产所有者、系统使用者、技术支持人员和安全部门人员一起的交互活动得到,最后给出一套解决方案。
COBRA:COBRA是1991年由C&A System Security公司推出另外一个风险评估工具,用来进行信息安全风险管理方法,提供了一个完整的风险分析服务,并且兼容许多风险评估方法学(如定性分析和定量分析等)。它可以看做一个基于专家系统和扩展知识库的问卷系统,对所有的威胁和脆弱点评估其相对重要性,并且给出合适的建议和解决方案。此外,它还对每个风险类别提供风险分析报告和风险值。
@RISK是美国Palisade公司的一款软件产品,在世界范围内广泛使用,是构架在微软Excel之上的一套风险分析工具。在@RISK中,提供了一套完整的风险分析工具,包括可以自行修订的统计分配模型、蒙特卡罗检测、敏感性分析、环境分析、极限值测试等常用的风险评估模型。@RISK建立的流程包括:
1) 在Excel上建立需要分析的问题模型;
2) 确定需要输入模型的不确定值;
3) 通过模拟程序,对可能的参数范围进行分析,以@RISK内置的概率分布函数表示,然后确定模型的输出结果;
4) 产生需要的资料图表进行分析。
表1是对一些主要风险评估工具的比较。
表1
3 选择风险评估工具的原则
1) 根据实际环境和企业的需求选择
2) 风险评估工具应当能够精确地映射网络、应用以及进行攻击测试
怎样了解一个工具的实际功效?最有效的办法是搜索Web,查看媒体的评论,要求厂商提供其他客户的使用情况说明。正式购买之前最好测试一下工具的性能。大多数厂商都提供限制了功能的试用版本,通常是限制IP地址的范围。
3) 不仅要注意风险评估工具为目标平台提供的攻击脚本数量,而且要留意它们的更新速度。
纯粹的数量有时不能说明问题,因为有些厂商可能把许多相关的漏洞看成一个,有的厂商则把它们算作多个漏洞。一些较为优秀的风险评估工具,如CVE,把每一种测试都链接到了一个标准的漏洞案例ID。留意风险评估工具的更新频率,看看它是自动更新还是需要手工执行更新,还有,新的安全威胁发现之后它要多长的时间才能推出相应的更新?
4) 报告数量的多少,内容翔实程度,是否允许导出报表
只能内部使用的扫描结果报表也许能够满足最初的需要,但如果经常对系统进行风险评估,最好能够将生成的报表导出到外部数据库,以便执行对比和分析。
5) 是否支持不同级别的入侵测试以避免系统挂起
所有风险评估工具都有这样的警告:入侵测试过程可能产生DoS攻击,或者导致被测试的系统挂起。通常,在高访问量期间对担负关键任务的系统不应该运行风险评估工具,风险评估工具本身可能带来问题,引起服务中断或系统被锁死。大多数高质量的风险评估工具允许执行侵害程度较小的入侵测试,避免造成系统运行中断。
6) 是否需要在线服务?
有些风险评估工具以在线服务的形式提供。这种形式的优点是不占用硬件资源,可以从任何地方运行和获取报表,自动执行更新,一般而言总拥有成本也较低。缺点是服务的运行速度一般较慢,不象客户端产品那样容易定制。最后还有一点是,如果采用在线服务,则扫描出来的网络漏洞清单还将落入第三方的手中。
4 信息安全风险评估管理工具设计
信息安全风险评估管理工具的设计必须考虑到参考模型可能存在的变化,或者计算方法发生变化而导致的工具适应性的问题,还应该具有项目管理功能,统计分析,报表,辅助评估专家系统,查询,资产管理,更应该加入风险管理与控制模块,如果能提供与其他资产管理软件的接口就更好了。
为了适应评估工作模式,信息安全风险评估工具的架构应该选择B/S结构,评估小组和评估人是最终用户,系统管理员对信息安全风险评估工具进行维护和管理。系统架构如图1。
信息安全风险评估工具中应该包含威胁参考库、脆弱性参考库、资产分类库、可能性定义库,后果定义库、控制措施库等评估辅助专家系统库。这些库都可以自己定义,便于使用。评估小组可以在评估的各个时期都能够得到帮助。
资产管理模块应该包含资产的各种基本信息,包括位置、责任人、所属系统以及各种相关信息。根据不同资产的分类,相关信息也不同,这些相关信息都是有助于系统安全的相关信息。如资产的生命周期、系统补丁信息等。
信息安全风险评估工具需要实际使用的检验,将在不断满足客户的需要的同时逐渐发展、成熟。通过不断的改进和发展,相信信息安全风险评估工具将极大地推动信息安全风险评估工作的进行。
参考文献:
[1] 陈友初.信息安全风险评估的探讨与实践[J].广西科学院学报,2006,22(4):367-369.
[2] 杜辉,刘霞,汪厚祥.信息安全风险评估方法研究[J].舰船电子工厂,2006,26(4):65-69.
[3] 张建军,孟亚平.信息安全风险评估探索与实践[M].北京:中国标准出版社,2005.
[4] 赵战生,谢宗晓.信息安全风险评估[M].北京:中国标准出版社,2007,8.
[5] 冯登国,张阳,张玉清. 信息安全风险评估综述[J].北京:通信学报,2004,25(7):10-18.
[6] 关义章,戴宗坤.罗万伯,等.信息系统安全工程学[M].北京:电子工业出版社,2002,12.
[7] 沈浩.信息安全风险评估方法与技术研究[D].北京:中国人民公安大学,2009.