信用风险管理措施范文

信用风险管理措施篇1

关建词 风险管理 风险审计应用模型

一 、引言

随着当今技术经济的飞速发展，企业面临的经营环境日趋复杂，其面临的风险也日趋多样化，风险对企业持续经营及发展的影响也日趋严重。与之相对应，企业管理层对于企业的风险管理也越来越重视，建立风险管理系统（ ERM）应对经营过程中的各类风险，已经成为国际上大型企业的普遍管理行为。内部审计作为公司治理的基石之一，将促进企业的风险管理作为自身的主要职责。但是，如何在风险管理流程中履行监控和评价的控制职能，通过评估运营风险管理，提示运营风险，大多数企业的内部审计人员仍然处于摸索阶段。

二 、风险审计与企业风险管理的关系

21世纪以来，随着企业战略管理的实施，风险战略决策的启用，风险审计成为决定内部审计发展的方向。理论与实践已经证明，经营战略、风险管理和内部审计三者之间协调一致，对企业经营目标的实现有着至关重要的影响。因此，为了内部审计这一职业的成长，内部审计的主要职责应该与企业的战略目标、风险管理措施结合起来。

三、 内部审计在风险管理中的作用及流程简述

风险管理是企业的决策层及经营层的职责，制定什么样的内部规章及程序来识别风险、评估风险、应对风险，是企业管理当局在业务流程中应该予以事前明确规范。具体来说，内部审计在风险管理中的作用表现在三个方面，一是鉴别风险；二是区别可控制的风险；三是指出缺乏控制或过度控制的区域并提出建议。

四、 风险管理审计的具体应用

1、建立内部审计信息平台，广泛收集风险因素

要确定风险管理审计的重点及要点，掌握丰富的信息资源是必须的前提条件。具体的做法是针对公司及下属分、子公司、以审计对象为单元，建立审计信息平台，按季度定期收集相关风险信息。信息平台由四部分构成：

（1）基本信息栏

（2）历史审计信息栏

（3）当前信息栏

（4）风险管理信息栏

2、确定风险管理审计重点和要点

在掌握被审计对象的大量风险信息的前提下，我们通过因素分析，确定权重，逐一评分，按重要性原则确定公司风险审计的重点及要点。

（1）根据风险因素企业整体风险的重要性程度，确定每一个风险因素的权重，并对每一个风险因素确定具体的评分标准。

（2）给各种分析因素评分。在对各种风险因素评分时，主要是利用审计人员的专业判断，参考标准，确定该风险因素处于评分标准的哪一个区间，给出相应的分值。

（3）风险排序。将每个审计对象包含的各项风险因素的分值与相应的风险权重相乘并加总，得出每一审计对象所得风险分值。按所得分值从高到低进行风险排序，以确定风险审计对象的重点及要点。

3、风险管理审计的测试

对被审计单位风险管理的测试共分六大模块，旨在明确需要测试的内容，建立相应的测试标准。

六大测试模块分别为：

（1）全面风险管理体系的建立情况模块：主要包括风险管理组织体系的建立情况，职责的落实情况，具体的措施情况。

（2）战略风险识别、分析、评估及应对模块：主要包括战略、计划、目标的制定依据测试，被审计单位对外部环境的分析程序测试，被审计单位对自身的优劣势的分析情况。

（3）市场风险识别分析评估及应对模块：主要有被审计单位产品分析程序的测试，竞争对手分析程序的测试，客户及供应商的分析程序测试

（4）财务风险的识别分析评估及应对模块：主要包括对财务预警体系的建立情况的测试，预警作用的实际发挥情况的测试。

（5）运营风险的识别分析评估及应对模块：主要包括公司治理的测试，组织机构职能及其履行的测试，产品结构及技术能力等风险管理程序的测试，各项资源管理中得风险识别评估应对能力的测试

（6）法律风险的识别分析评估及应对模块：主要包括测试被审计单位对法律风险的分析、研究及把握能力，测试应对法律风险的措施执行效果。

4、风险管理的审计评估

（1）评价被审计对象风险管理范围的合理性

对于被审计对象在风险管理范围的确定方面是否全面和合理，通常是利用以下几种方法：PEOW分析、SWOT分析、KSF分析、核心竞争力分析、财务收益分析、会计比率分析等方法。

（2）评价被审计对象风险评估标准的合理性

被审计单位应该根据风险管理对象的不同，建立相应的风险因素评价标准。若被审计对象没有相应的风险评价标准，则应认为是一种缺陷。

（3）评价被审计单位的风险识别、风险分析、风险评价功能

结合企业的经营战略，通过对审计单位的识别、分析、评价的职能分工、机构设置和具体业务流程进行检查，测试风险控制流程，评价被审计单位是否能完成风险管理的使命与目标。

（4）被审计单位的风险管理措施

现代企业应对各种风险的措施一般有五种，分别是：规避、控制、保留、转移和利用。每种措施的应用对应于一定的条件，否则就可以认定为不恰当。

①规避措施的评价。被审计单位采用规避措施，应该具备如下条件：风险的发生不可避免或虽可避免但将产生另一新的更大风险；采用规避措施最经济。

②控制措施的评价。如果被审计单位采用控制措施，审计人员应该对控制措施的健全性和有效性进行测试，并评价措施是否能将风险控制在审计单位可以接受或承担的范围内。

③风险保留措施的评价。当被审计单位采用风险保留措施时，审计人员应审核该风险是否是不可转移与不可避免，审核处理风险的成本是否大于承担风险所付出的代价，风险可能发生的损失单位是否可以承担的范围内。

④转移措施的评价。如果被审计单位采用保险或财务性非保险等风险转移措施，审计人员应审核其保险条款及保险范围与风险的适应性，财务性非保险转移措施是否存在的法律风险。

⑤风险应用措施的评价。如果被审计单位采用利用措施，审计人员应该对利用风险可以带来的收益与承担风险所付出的成本是否匹配进行，对风险利用措施的系统性及未来效果进行预测并作出评价。

5、评价被审计单位风险监管系统的功能

一个完整的风险监管系统，一般有四个基本要求，即风险管理政策、风险管理的支持结构和资源、实施的方案、持续的评估和审核。

6评价被审计单位风险预警功能

风险评价指标与风险临界点构成风险预警系统的两大支柱。内部审计人员应该审核被审计单位是否根据不同的风险类型建立了标准的风险临界点，主要根据风险的性质（最好是能够定量）、发生的概率、发生的频率，计算出风险数值（风险度），与风险管理的经验层制定的临界点进行对比，以判断被审计单位的风险预警系统的合理性与有效性。

五、结语

信用风险管理措施篇2

关键词：电子信息；档案管理；风险；有效控制；方法

目前，人们生活中一个非常重要的，必须的工具的就是电子计算机，其具有多种多样的功能，这为单位办公带来了巨大的变革，使办公变得更加方便快捷。而在信息技术时代，最新的档案方式就是电子信息档案，它对高科技方面的创新发展意义重大。但是根据具体情况来看，电子信息档案并不全是优化，它也有自己的不足，比如与传统的纸张档案相比，具有更大的风险性，如果没有积极制定防范风险的措施，那么很容易导致数据被盗，所以，我们在使用信息档案时一定要注意信息的安全性，积极主动的制定一些避免风险的措施，以使信息资源更加安全。

一、避免电子信息档案风险的措施

提前预防，在风险还没有出现的时候就进行遏制是规避风险最有效的方式，也是最经济的方式，对于电子档案来说，应该以其自身的潜在缺陷为根据来实施控制管理，来保证内部信息的安全可靠，主要措施有：

1、积极引进最新技术。

计算机在工作过程中要同时结合多种措施，而规避风险的最好的办法就是引进新的技术，新技术对可以使电子信息档案更加安全可靠。其中一个很重要的方法就是设置密码，这是现代操作系统最常运用的方式，在对电子信息档案实施密码设置后，要积极的训练一些计算机技术人员来实施管理控制，避免信息资源被一些外界因素干扰。

2、制定一些制度。

为了保证信息资源的安全性，那么必要的管理制度是必不可少的，所以我们要主动制定一些有针对性的制度来进行预防，例如：可以规定只有管理人员才能进行相关的系统操控，而无关的人员没有权利操作系统等。

3、及时消除风险。

为了确保信息档案数据的安全性，及时消除潜在的风险是非常重要的，在计算机维修期内，我们尤其要注意随时可能存在的风险，主动采取应对措施。因为计算机网络的的复杂性，使得控制风险工作也极其的不容易，不过，只要及时且做到全面看待问题，那么就可以把问题解决掉。比如，对于那种对计算机激进主义异常敏感的机构来说，为了应对潜在的危险，那么采取一定的措施是非常必要的。

4、及时进行预防和保护。

为了消除危险电子信息档案的因素，其中一个很重要的措施就是安全防护，其可以有效的避免信息数据受到外界因素的破坏，保证信息的安全可靠。

二、缓解电子信息档案风险的措施

电子信息档案在遭到外界的干扰后，为了把危险降到最小，就需要管理人员尽最大的努力把危险掌控在一定的范围内，那么管理人员应该怎么做才能使风险得到缓解？目前，很多单位开始利用风险转移的策略进行缓解，电子信息档案管理的风险缓解就是通过制定实施应变计划、灾难恢复计划、电子信息档案相关资产重新布置等手段来减小电子信息档案及相关资产价值本身或风险的后果或影响。常见的风险缓解方法包括：事前措施、事后措施。前者是指在损失发生前为减少损失程度执行的方案；后者是在损失发生后为减少损失执行的方法。需要强调的是，在进行电子信息档案的管理时如果发生危险，那么不管是什么情况，我们都要积极主动的进行及时的处理，这才是最为关键的。

三、分散电子信息档案风险的措施

在电子信息档案管理中，还有一种经常使用的规避风险的措施就是转移策略，所谓转移策略实质上是一种风险的分散，即把风险转到其他的地方，以此来把已经存在的风险降到最低，一般而言，能够从多个角度对风险转移的方法实施修正，如：修改配置模式、与提供商签署服务合同等等。经过这样的处理之后，我们可以把复杂的风险问题进行简化，再对原先实施的电子信息档案管理策略优化改进，创造更加先进的电子信息档案管理系统。此外，还可以与网络供应商互相协调，让供应商的安全服务符合电子信息档案的使用需要。另外，还要强调的是，外包同样隐含着风险，如果外包人员不符合合同的标准，那么后果会很严重。所以为了预防人为因素给我们档案管理造成损失，那么那些使用电子信息n案的人员要做的就是一定要严格遵守操作标准。

四、评估电子信息档案风险的措施

当风险来临后，我们最需要做的就是积极采取措施进行处理，为了把风险造成的影响控制在最小的范围内，还要积极与其他措施相结合使用。风险评估的目的是为了能够使预防计划更加科学合理，在对电子信息档案实施全面分析的基础上，探究引起风险的因素以及其带来的后果。需要实施分析评估的基本内容是：发生危险的概率，危险带来的后果有多大，危险的成本探析，有哪些合适的控制防范办法等等。此外，我们档案管理者要树立风险观念，积极主动的制定一套体系完善的针对多种风险的预防计划。需要强调一点，如果机构中每个已被识别的弱点通过承认得以控制，这说明我们在安全防范工作中未能给予足够的重视。防范风险的最大弊端在于，许多经营管理者错误地认为电子信息档案无危险性，在使用档案资料时未采取针对性的安全管理方案，这对于电子信息档案带来了诸多不便。而对于档案管理人员来说，其在管理期间要控制好各个环节的工作，这对于档案管理是极为重点的。在进行评估中，为了确保档案信息的安全性，档案管理人员就必须要非常警觉，对于潜在的风险能够及时发现，并把其扼杀在萌芽状态，对于已经发生的风险要积极采取措施，力求使风险造成的损失最小。

信用风险管理措施篇3

关键词：信息安全；风险评估；系统设计

中图分类号：G647 文献标志码：A 文章编号：1674-9324（2016）23-0249-02

一、引言

信息时代为国家和个人提供了全新的发展机遇和生活空间，但也带来了新的安全威胁。信息安全的威胁可能来自内部的破坏、外部的攻击、内外勾结的破坏和信息系统自身的意外事故等，因此我们应按照风险管理的思想，对可能的威胁和需要保护的信息资源进行风险分析，以便采取安全措施，妥善应对可能发生的安全风险。信息安全风险评估是依据国家信息安全风险评估有关管理要求和技术标准，对信息系统及由其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。根据ISO27001的管理思想，信息安全风险评估在信息安全管理的PDCA环中是一个很重要的过程，如何处理信息安全风险评估所产生的数据，是每一个信息安全管理者都非常迫切需要解决的一个问题。最好的解决方法是开发出一套实用性强、可操作性高的系统安全风险评估管理工具。

二、风险评估过程

信息安全风险评估系统的设计是针对组织开展信息安全风险评估的过程。这个过程包括对信息系统中的安全风险识别、信息收集、评估和报告等。风险评估的实施过程如下页图1。

1.评估前准备。在风险评估实施前，需要对以下工作进行确定：确定风险评估的目标、确定风险评估的范围、组建风险评估团队、进行系统调研、确定评估依据和方法、制定评估计划和评估方案、获得最高管理者对工作的支持。

2.资产识别。资产识别过程分为资产分类和资产评价两个阶段。资产分类是将单位的信息资产分为实物资产、软件资产、数据资产、人员资产、服务资产和无形资产六类资产进行识别；资产评价是对资产的三个安全属性保密性、可用性及完整性分别等级评价及赋值，经综合评定后，得出资产的价值。

3.威胁识别。威胁识别主要工作是评估者需要从每项识别出的资产出发，找到可能遭受的威胁。识别威胁之后，还需要确定威胁发生的可能性。

4.脆弱性识别。评估者需要从每项识别出的资产和对应的威胁出发，找到可能被利用的脆弱性。识别脆弱性之后，还需要确定弱点可被利用的严重性。

5.已有安全措施确认。在识别脆弱性的同时，评估人员将对已采取的安全措施的有效性进行确认，评估其是否真正地降低了系统的脆弱性，抵御了威胁。

6.风险分析。风险评估中完成资产赋值、威胁评估、脆弱性评估后，在考虑已有安全措施的情况下，利用恰当的方法与工具确定威胁利用资产脆弱性发生安全事件的可能性，并结合资产的安全属性受到破坏后的影响得出信息资产的风险。

三、系统设计

1.用角色设计。系统角色分为三种类型，各用户在登录后自动转入各自的操作页面。A.超级管理员：拥有系统所有权限；B.评估项目管理员：可以对所负责的评估项目进行管理，对评估人员进行分工和权限管理；C.评估人员：负责由项目管理员分配的测评工作，将评估数据导入系统。

2.系统模型。根据信息安全风险评估管理的业务需求，我们构建了以安全知识库为支撑，以风险评估流程为系统主要业务流，以受测业务系统及其相关信息资产的风险评估要素为对象的信息安全风险评估综合管理系统模型，系统模型如图2所示。

3.系统功能设计。信息安全风险评估综合管理系统的功能模块包括：①风险评估项目管理：评估项目管理模块包括评估项目的建立、项目列表、项目设置等功能。主要输入项：项目名称、评估时间、评估对象等；主要输出项：项目计划书。②信息安全需求调研管理：该模块用于用户填写安全调研问卷，为安全评估提供数据支持。主要输入项：用户ID、调查答案；主要输出项：问卷标题、调查题内容。③资产识别。系统提供的资产识别，包括：硬件、软件、数据等，根据业务系统对组织战略的影响程度，对相关资产的重要性进行评价；主要输入项：评估对象（信息资产）、赋值规则；主要输出项：资产识别汇总表、资产识别报告。④威胁识别。威胁识别：系统提供多种网络环境的威胁模板，支持和帮助用户进行威胁识别和分析，并提供资产、脆弱性、威胁自动关联功能：主要输入项：评估对象、赋值规则；主要输出项：威胁识别汇总表、威胁识别报告。⑤脆弱性识别。脆弱性识别：系统可提供多种系统的脆弱性识别功能，包括：主机、数据库、网络设备等对象的脆弱性识别。系统支持常用漏洞扫描软件扫描结果的导入，目前支持的扫描系统有：Nessus、NMap等，主机系统支持：Windows、Linux、Unix等，数据库支持：MSSQL、Oracle等：主要输入项：评估对象、漏洞扫描结果、赋值规则；主要输出项：漏洞扫描报告、脆弱性识别汇总表、脆弱性识别报告。⑥安全措施识别。安全措施识别：系统提供基于技术、管理等方面的安全措施检查功能，帮助用户了解目前的安全状况，找到安全管理问题，确定安全措施的有效性：主要输出项：安全措施识别汇总表、安全措施识别报告。⑦风险分析。系统通过资产评价、脆弱性评价、威胁评价、安全措施有效性评价、风险分析等工作，可自动生成安全风险评估分析报告。主要输入项：评估对象、资产值、脆弱性值、威胁值、安全措施值、计算规则；主要输出项：风险计算汇总表、风险分析报告。⑧评估结果管理。主要功能是对历史记录查询与分析。汇总所有的安全评估结果进行综合分析，并生成各阶段风险评估工作报告，主要包括如下：《资产识别报告》、《漏洞扫描报告》、《威胁识别报告》、《脆弱性识别报告》、《控制措施识别报告》、《风险分析报告》。并可对当期风险评估结果和原始数据进行转存或备份。在有需要时能调出评估历史数据进行查询及风险趋势分析。⑨信息安全知识库更新维护。信息安全知识库的更新维护主要对象有：系统漏洞库、安全威胁库、安全脆弱点库、控制措施库。为避免造成数据的冗余，系统将在各评估项目中需要反复使用的数据归入基础数据库进行管理，在进行评估活动时再从基础库提取有关数据，这样也能减少重复的输入工作。⑩数据接口。导入数据接口：资产库、脆弱点库、威胁库、控制措施库。支持以下常用的格式：如EXCEL文件等；常用的漏洞扫描工具：如绿盟、启明星辰、NESSUS、NMAP等。

四、结束语

该系统设计是以信息安全风险评估工作流程为基础，进行信息安全评估项目管理、风险要素数据收集与辅助风险分析的系统，在实际风险管理过程中，可引入了质量管理理念――PDCA循环，即通过监控每一阶段的信息系统风险情况，及时发现问题，不断调整风险控制工作计划，从而实现信息安全风险管理的工作目标。

参考文献

[1]GB/T 20984-2007，信息安全风险评估规范[S].信息安全技术.

信用风险管理措施篇4

【关键词】总承包模式；风险管理；风险备忘；应对措施

风险管理是项目管理中的重要组成部分，尤其对大中型工程项目迫切需求加强风险管理。项目风险管理包括风险管理计划、风险识别、风险分析、风险应对规划和风险监控等各个过程。根据风险可能给项目目标带来积极或消极影响，风险可分为积极风险和消极风险，本文所说的风险是指消极风险。对于项目风险管理，在EPC总承包模式下显得更为重要，尤其是海外工程的总承包项目。在工程实施阶段适用于定性风险分析。定性风险分析是评估已识别风险的影响和可能性的过程。这一过程用来确定风险对项目目标可能的影响，对风险进行排序。它在明确特定风险和指导风险应对方面十分重要。 定性风险分析的目的是利用已识别风险的发生概率、风险发生对项目目标的相应影响，以及其他因素，例如项目费用、进度、范围和质量等制约条件的承受度，对已识别风险的优先级别进行评价。

1、风险管理计划

在项目开始前，项目风险管理人员就应制订项目风险管理计划，并在项目进行的过程中，实行目标管理，进行有效的指挥和协调。项目风险管理实质上是整个组织全体成员的共同任务，没有全体人员的参与，是无法实现目标的，因此，实行风险目标管理要求自上而下层层展开，又要求自下而上层层保证风险管理目标的实现。

2、风险识别

本文推荐“检查核对表法”按以下分类进行风险识别。

（1）费用风险，包括成本超支、投资追加、收入减少、收款不到位、超付工程款等。

（2）工期风险，即造成局部的或整个工程的工期延长，不能及时投入使用。

（3）质量风险，包括材料、工艺、工程不能通过验收、工程试生产不合格等。

（4）安全风险，还包括环境风险及职业健康安全风险。

（5）考核风险，是指根据总承包合同条款约定下达产达标考核不能按要求通过的风险。

（6）信誉风险，即造成对企业形象、职业责任、企业信誉的损害。本文之所以把信誉风险作为项目管理目标风险之一，是因为建筑企业的业绩和信誉是由每个项目成功建设构成的，也应是项目团队追求的项目管理目标。

按本公司风险清单或以往的项目经验积累，在新项目的风险管理计划中编制“初始风险清单”。初始风险清单可参考“风险备忘录”风险因素的内容。

3、风险评估分析

安全风险及环境风险评估分析依据环境因素识别与评价控制程序，用已有数据（主要是类似项目有关风险的历史资料）和相关专业方法分析安全风险因素发生的概率；分析各类风险的损失量，包括不可抗力因素等方面的影响；据各种风险发生的概率和损失量，确定各种风险的风险量和风险等级。

其它风险评估按经验参考以下某项目的定性分析方法。

4、风险应对措施

拟定的风险应对措施必须与风险的重要性相匹配，能经济有效地、及时地应对挑战，在当前项目背景下现实可行，能获得全体相关方的同意，并由一名责任人具体负责。经常需要从几个备选方案中选择一项最佳的风险应对措施。

选择最佳风险应对措施对风险予以处理，以保证以较低的成本投入，最大限度的减少风险损失，获得较高安全保障，可按以下原则选择风险应对措施。

（1）风险可以回避而又不损害根本利益，采取风险回避；

（2）风险不能回避，则采取措施，如措施费用大于风险自身可能造成的损失，采取自留；

（3）如措施费用较小，采取预防或减轻；

（4）如有些风险不能预防或减轻，采取转移。转移风险包括工程保险和工程分包。

5、实施过程中风险管理

“检查核对表法”结合“头脑风暴法”，对于初始风险清单不包含的项目采用“头脑风暴法”进行补充增加。项目实施过程中采用风险备忘录的定期项目评估方法，一般工程中分四次进行，具体是项目实施计划阶段；合同签订后正式开工前；项目进展一半后；试车前。各部门对各风险因素可分解到设计、采购、施工、开车各个环节。

设计、采购、施工、开车等部门按照“风险备忘录”的格式和要求报送至主管部门，主管部门根据各部门报送情况进行汇总分析，完成综合风险备忘录报送总承包项目部。

在编制风险备忘录时，可随时添加风险列表中未列的风险，并对其进行评估及采取应对措施。综合风险备忘录应根据风险的严重性对初始风险清单进行优先级排序。项目实施过程中，充分将风险的应对措施融入到项目管理各个环节。

参考文献：

[1]美国国家标准《项目管理知识体系指南》ANSI/PMI 99-001-2008（第4版）电子工业出版社

[2]中国勘察设计协会建设项目管理和总承包工作委员会《工程项目风险与保险管理》全国化工设计现代化管理中心站2003年

信用风险管理措施篇5

一、空管设备运行的危险源识别

空管设备运行的危险源是指根源、状态、行为，或其组合，如果不加以控制可能导致空管不安全事件发生。对空管设备运行进行危险源识别是实施风险管理的基础。

（一）实现步骤。

空管设备运行的危险源识别分为两步。一是确定是否影响安全运行。当发生空管责任原因的不安全事件或者影响空管安全运行的事件，必须启动风险管理进行危险源识别。当安全运行发生重大变更时，要进行安全评估，如果评估结果是影响安全运行，也必须启动风险管理进行危险源识别。二是甄别危险源。通过运行值班人员报告法、安全检查识别法、安全信息分析对比法、工作任务分析法、情景假设预测法、事件调查识别法和座谈讨论分析法等方法，辨析出危险源。

（二）实现途径。

主要有以下七种。一是运行值班人员报告法。现场值班人员掌握设备运行的现状，一旦安全运行发生变化，值班人员在第一时间发现并应急处置，识别出危险源并形成安全自愿报告。案例1：航班结束当晚，机场有关申请进入下滑台保护区割草，为避免人员车辆在保护区作业导致设备告警关机，导航值班员提前向管制申请关闭下滑设备。但是到了第二天航前，导航值班员仍未接到退出保护区的报告，如果这时没有打开下滑设备，将影响进场着陆的航班安全，导航值班员马上联系机场，确认割草车辆已退出，立即开启下滑设备。这是一起典型的危险源识别案例，其关键风险点在于机场割草作业结束后忘记报告退出，而导航值班员提前识别出危险源为“机场在下滑保护区割草作业”，航前及时处置，避免了一起不安全事件的发生，事后整理形成安全自愿报告上报。二是安全检查识别法。通过运行质量监督检查、“四不两直”检查、现场音频视频监控回放、现场抽查、法定自查等方式，发现设备运行和管理过程中可能存在的危险源，发现岗位运行存在的违规违纪行为。案例2：根据安全持续改进计划和质量管理工作的要求，每周都要检查值班现场音频视频的监控回放。在例行检查终端管制室值班现场的监控回放时，检查人员把重点放在交接班这个时间段，逐条对照管制部门反映的问题，发现交接班时遗漏了“昨天23∶00区调主用频率受干扰”这项内容，而且在ATS运行管理系统上也未发现相关记录，这是典型的工作“错漏忘”。通过定期的现场音频视频监控回放检查出危险源“交接班漏项”，可以进一步督促现场交接班的整改，跟踪完善信息通报流程。三是安全信息分析对比法。结合本单位本部门设备运行的实际情况，对不安全事件信息、设备维修维护案例、安全风险通告等安全信息的分析挖掘，举一反三，查找设备运行存在的危险源。案例3：学习《安全风险通告》中No.4032018.12AirTransportBusiness的“关于部分型号UPS并机系统故障且未跳转至旁路供电的风险通告”内容，知悉该型号UPS自身并机功能存在局限性可能导致安全隐患，立即对照检查本单位同型号UPS并机运行情况，实施“并机运行的UPS出现故障应急演练”，演练时发现两台UPS并机失败后过载，同时UPS系统立即自我保护直接关机，无法切换至旁路，造成供电输出中断。根据应急演练发现的“UPS并机系统故障”这个危险源，及时制定优化保障方案和应急处置措施，避免影响设备的正常供电。四是工作任务分析法。将整个工作任务分解成若干个具体的工作子项，对每一个工作子项，列出可能潜在的危险源。案例4：航管甚高频通信系统投产。空管设备运行保障部门将航管甚高频通信系统投产工作任务分解成若干个工作子项。如制定《终端运行室航管甚高频通信系统投产实施方案及应急处置预案》、检查测试航管甚高频通信系统设备以及现有在用甚高频通信系统设备、甚高频通信系统设备投产飞行校验、甚高频通信系统设备开放报批、人员业务技能培训、甚高频通信系统设备投产安全评估等。针对每个工作子项，逐一查找可能存在的危险源。如在人员业务技能培训方面，发现危险源为“维护人员对信号引接线路不熟”；甚高频通信系统设备投产安全评估方面，发现危险源为“航管甚高频及龙岩红尖山甚高频通信系统设备出现故障”，从而有针对性地加以风险防控。五是情景假设预测法。在完成一项任务之前，情景假设任务进行过程中可能出现的问题，考虑到最坏的方面，预测出可能出现的危险源。案例5：不停航施工。机场α9滑行道不停航施工15天的通告，技术保障部分析不停航施工给设备运行保障带来的风险。先进行情景假设，尽量往最坏的方面考虑，如下滑台的导航设备巡检线路是否因α9滑行道不停航施工发生变更？如果发生变更，就存在向塔台和机场相关通报的问题。另外，空管设备的遥控线路的走向与α9滑行道有交叉，不停航施工会不会影响到空管设备的遥控线路？α9滑行道靠近下滑台保护区，施工车辆频繁进出会不会影响到设备信号的准确完好？针对这些情景假设，预测潜在的危险源，最后识别出危险源为“α9滑行道不停航施工挖断空管设备遥控线路”。六是事件调查识别法。按照不安全事件调查程序，深入调查事件发生的致因，识别与事件致因相关的危险源。案例6：人为责任原因导致关键空管设备供电中断，影响管制工作。11月29日14∶30，外部施工人员在航管楼安装配电柜，未经许可进入设备间擅自分/合配电柜总开关，导致区域管制室主/备自动化席位主机SDD和协调席主机FDD、区域管制室主/备内话系统席位主机、区域管制室甚高频遥控盒、二楼机房ATM/DDN雷达信号传输节点路由器、交换机等设施设备供电断电。受影响的区域01扇区内个别航班由区管中心高扇临时指挥，4个航班在01扇区外等待，3个航班在02扇区外等待，6个航班地面等待。深入调查事件发生的原因：发现安全责任意识薄弱、风险管控意识不强，施工现场监管缺失，继续查找事件致因，识别出危险源“相关电闸未悬挂‘禁止合闸’警示标牌”、“配电柜未上锁”、“供配电方式缺陷”。七是座谈讨论分析法。定期召集运行一线值班人员、安全管理人员座谈讨论，通过头脑风暴，集思广益，找出潜在的危险源。案例7：航管扩容工程暨航管楼辅楼搬迁。航管楼辅楼建成，区域管制大厅、进近管制室和飞行报告室面临整体搬迁，加上主备用自动化系统席位扩容、主用内话系统席位扩容、备用内话系统席位和甚高频通信系统更新、配套的供电和网络传输设施更新、技术主任席位新设等等。技术保障部召集科主管和相关值班人员，对搬迁工程中所辖设备进行安全评估，群策群力，找出各种潜在的危险源，如“管制员和值班员对更新后的备用内话系统操作不熟悉”、“搬迁过程中管制席位设备故障”、“搬迁过程中区域管制大厅断电”，并有针对性地提出风险缓控措施。（三）注意事项。一是重点识别跑道侵入、军民航防相撞、人为因素、管制带新等空管“四大危险源”，侧重识别《空管系统不安全事件标准》中界定的不安全事件发生可能的根源或状态。二是地区空管局每年至少组织一次危险源识别活动，空管分局（站）安全管理部门每半年至少组织一次危险源识别活动，技术保障部至少每季度开展一次危险源识别活动。三是判定一个危险源是否属于安全隐患，既要检查其是否客观存在、违反有关法规标准，又要检查是否采取过措施进行整改和控制、由于资源或手段局限无法有效管控缓解。重大危险源均属于安全隐患。

二、空管设备运行的风险评价

空管设备运行的风险评价是指评估预测危险源影响设备安全运行的严重度和可能性的综合风险后果。对空管设备运行进行风险评价是实施风险管理的关键。

（一）实现步骤。

空管设备运行的风险评价分成三步。一是评估现有的控制措施。列出现有的控制措施，评估在这些控制措施和环境条件下，危险源对空管设备运行产生的预期影响后果。二是确定严重度和确定可能性。严重度是危险源影响或后果在损失或损害方面的程度。可能性是危险源造成后果的预计发生次数除以设备运行总小时数。三是确定风险等级。将严重度和可能性的评估结果组成风险矩阵，就生成安全风险指数，并确定风险等级。

（二）实现途径。

主要有以下两种。一是风险矩阵法。（1）确定严重度。严重度等级分类为“可忽略不计的、较小的、重大的、危险的、灾难性的”5级。（2）确定可能性。可能性定量分为“极不可能的、罕见的、偶然的、经常的、频繁的”5类。（3）确定风险值。风险评估矩阵将风险划分为可接受的、可容忍的和不可接受的三个等级。风险指数表示可能性和严重度评估的综合结果。其中，红色区域代表高风险，风险不可接受，应立即停止或减少操作或运行，或实施额外或增强的控制措施，使风险指数降至中度或低度的范围。黄色区域代表中度风险，风险可容忍，应及时采取缓控措施，尽可能使风险指数降低至低度范围。绿色区域代表低风险，风险可接受，无需进一步采取风险缓解措施。案例8：主用28所自动化系统RFP（雷达数据处理前置机）设备老化。主用28所自动化系统共有3台RFP设备，现有的控制措施是合理分配二次雷达信号接入，防止单台设备故障影响系统数据融合，设备巡检时要及时发现故障，做好设备切换。先分析确定严重度，一旦主用28所自动化系统RFP设备故障，将造成管制工作负荷大幅度增加、安全裕度明显较少的，属于3级即重大的。再分析确定可能性，主用28所自动化系统RFP设备从投产运行至今已有8年，3台RFP设备中只发生1次故障的概率至少是1/（24*365*8*3），预计后果发生概率约等于1/（2*105），显然：1/105＞预计后果发生概率≥1/107的，属于3类即偶然的；对照风险矩阵，风险指数为3×3=9，位于黄色区域，风险等级确认为可容忍的。二是模糊综合评价法。模糊综合评价法以模糊数学理论和层次分析法为基础，采用定性评价和定量计算相结合的方法分别计算风险发生的可能性和后果的严重性，然后计算风险的等级。相对风险矩阵法而言，由于步骤繁琐，空管设备风险评价中较少运用模糊综合评价法。

（三）注意事项。

一是评估与空管设备保障相关的危险源时，要使用设备运行小时数用于确定危险源发生后果可能性。二是评估现有的控制措施，要立足于设备安全运行实际，做最坏的打算。三是对空管设备运行的风险评估并非只进行一次，必要时，对安全风险可重新评估，根据评估结果重新修改风险缓控措施。

三、空管设备运行的风险缓控

空管设备运行的风险缓控是指采取科学合理有效的方式缓解和控制安全风险，以期将风险降低到可接受的安全水平。对空管设备运行进行风险缓控是实施风险管理的根本。

（一）实现步骤。

空管设备运行的风险缓控分成三步。一是制定合理的风险缓解措施。对不可接受的风险，应立即制定详细的风险控制计划，明确责任以及所需资源。必要时，对风险重新评估，修改风险缓控计划。二是确定预测剩余风险。预测剩余风险是基于缓控措施得到有效实施的一种假设。如果在尝试所有可能的缓控措施后，风险仍不能降低到可容忍或可接受的水平，需要放弃相应的变更。三是实施持续监控。持续监控主要包含监控的频次或时间、负责人、风险控制措施的执行情况和效果。

（二）实现途径。

一是风险控制。风险控制策略是通过制定相应的缓控措施，能够减低风险等级（可能性或严重度）。案例9：对危险源“甚高频RS8信道设备老化且容量不足”进行风险评价，由于甚高频RS8服役年限长，设备老化、性能下降、故障率高，加上管制业务增长导致需求增加，信道容量明显不足，部分主用频率无法满足双重覆盖的需求，依靠应急DTR单机弥补备份，现有的防控措施是加强维护维修，做好备件储备。经风险评价，可能性为偶然的、严重度为严重的，风险等级为3×3=9，属于可容忍的范围。对这个危险源进行风险缓控的有效措施是通过加强维护维修、备件储备和其他VHF设备的调配，基本满足现有容量配置需求；该危险源风险等级降为2×1=2，属于可接受的范围。后期将在空管设施扩容工作中完成8信道VHF设备更新，关闭该危险源。目前已完成设备调试，并接入内话系统试用，有效控制了设备运行风险。二是风险规避。风险规避策略是通过选择不同的方法或不实施相应的方案，避免潜在危险源的发生。案例10：雷达站选址。对雷达站的运行需求进行分析，对预选台址进行电磁环境测试，地理测绘与环境评价，分析预选台址的设备信号覆盖、建台条件包括供电、通信等方面。重点审查电磁环境及场地保护区是否满足要求和技术分析是否满足运行需求，一般可选择两个甚至多个台址，根据不同的选址方案列出潜在的危险源，对危险源进行分析评价，通过排除法规避安全风险。三是风险转移。风险转移策略是将风险所有权转移给另一方，接收方可能更有能力在运营或组织层面减轻风险。接收方应该是最有能力管理相关风险的组织或单位，必须记录风险转移过程。案例11：签订盲降保护区割草协议书。盲降保护区的割草作业由机场负责，经风险评价，以往发生类似不安全事件的致因均为信息通报不畅，机场有关和导航值班人员的责任界面不清晰。因此对危险源“机场在保护区割草作业”进行风险缓控的措施是定期与机场有关签订盲降保护区割草协议书，进一步规范固化信息通报的流程，谁的责任谁承担，以签订协议的形式，将风险转移到应当承担风险的责任方。四是风险承担。风险承担策略意味着接收风险，风险接受者应负承担风险的责任。风险承担策略不能用来对待高风险，必须在中等或以下才能被接受。案例12：内场航向台Ⅰ回路供电突发故障中断，ATS自动切换到Ⅱ回路供电正常，当前航向台UPS工作也正常。经风险评价，Ⅱ回路供电突发故障和航向台UPS同时发生故障是极不可能的，风险等级属于可接受的范围，我们在承担这个安全风险的同时，也要积极联系机场供电部门，督促抓紧检修恢复航向台Ⅰ回路供电，同时提前准备移动发电机，随时做好进场应急供电的准备。

（三）注意事项。

信用风险管理措施篇6

关键词：地理信息系统；风险评估

2006年1月国家网络与信息安全协调小组发表了“关于开展信息安全风险评估工作的意见”，意见中指出：随着国民经济和社会信息化进程的加快，网络与信息系统的基础性、全局性作用日益增强，国民经济和社会发展对网络和信息系统的依赖性也越来越大。

1 什么是gis

地理信息系统（geographic information system,简称gis）是在计算机软硬件支持下，管理和研究空间数据的技术系统，它可以对空间数据按地理坐标或空间位置进行各种处理、对数据的有效管理、研究各种空间实体及相互关系，并能以地图、图形或数据的形式表示处理的结果。

2 风险评估简介

风险评估是在综合考虑成本效益的前提下，针对确立的风险管理对象所面临的风险进行识别、分析和评价，即根据资产的实际环境对资产的脆弱性、威胁进行识别，对脆弱性被威胁利用的可能性和所产生的影响进行评估，从而确认该资产的安全风险及其大小，并通过安全措施控制风险，使残余风险降低到可以控制的程度。

3 地理信息系统面临的威胁

评估开始之前首先要确立评估范围和对象，地理信息系统需要保护的资产包括物理资产和信息资产两部分。

3.1 物理资产

包括系统中的各种硬件、软件和物理设施。硬件资产包括计算机、交换机、集线器、网关设备等网络设备。软件资产包括计算机操作系统、网络操作系统、通用应用软件、网络管理软件、数据库管理软件和业务应用软件等。物理设施包括场地、机房、电力供给以及防水、防火、地震、雷击等的灾难应急等设施。

3.2 信息资产

包括系统数据信息、系统维护管理信息。系统数据信息主要包括地图数据。系统维护管理信息包括系统运行、审计日志、系统监督日志、入侵检测记录、系统口令、系统权限设置、数据存储分配、ip地址分配信息等。

从应用的角度，地理信息系统由硬件、软件、数据、人员和方法五部分组成:硬件和软件为地理信息系统建设提供环境；数据是gis的重要内容；方法为gis建设提供解决方案；人员是系统建设中的关键和能动性因素，直接影响和协调其它几个组成部分。

4 风险评估工作流程

地理信息系统安全风险评估工作一般应遵循如下工作流程。

4.1 确定资产列表及信息资产价值

这一步需要对能够收集、建立、整理出来的、涉及到所有环节的信息资产进行统计。将它们按类型、作用、所属进行分类，并估算其价值，计算各类信息资产的数量、总量及增长速度，明确它们需要存在的期限或有效期。同时，还应考虑到今后的发展规划，预算今后的信息资产增长。这里所说的信息资产包括:物理资产(计算机硬件、通讯设备及建筑物等)信息/数据资产(文档、数据库等)、软件资产、制造产品和提供服务能力、人力资源以及无形资产(良好形象等)，这些都是确定的对象。

4.2 识别威胁

地理信息系统安全威胁是指可以导致安全事件发生和信息资产损失的活动。在实际评估时，威胁来源应主要考虑这几个方面，并分析这些威胁直接的损失和潜在的影响、数据破坏、丧失数据的完整性、资源不可用等：

（1）系统本身的安全威胁。

非法设备接入、终端病毒感染、软件跨平台出错、操作系统缺陷、有缺陷的地理信息系统体系结构的设计和维护出错。

（2）人员的安全威胁。

由于内部人员原因导致的信息系统资源不可用、内部人员篡改数据、越权使用或伪装成授权用户的操作、未授权外部人员访问系统资源、内部用户越权执行未获准访问权限的操作。

（3）外部环境的安全威胁。

包括电力系统故障可能导致系统的暂停或服务中断。

（4）自然界的安全威胁。

包括洪水、飓风、地震等自然灾害可能引起系统的暂停或服务中断。

4.3 识别脆弱性

地理信息系统存在的脆弱性(安全漏洞)是地理信息系统自身的一种缺陷，本身并不对地理信息系统构成危害，在一定的条件得以满足时，就可能被利用并对地理信息系统造成危害。

4.4 分析现有的安全措施

对于已采取控制措施的有效性，需要进行确认，继续保持有效的控制措施，以避免不必要的工作和费用，对于那些确认为不适当的控制，应取消或采用更合适的控制替代。

4.5 确定风险

风险是资产所受到的威胁、存在的脆弱点及威胁利用脆弱点所造成的潜在影响三方面共同作用的结果。风险是威胁发生的可能性、脆弱点被威胁利用的可能性和威胁的潜在影响的函数，记为：

rc= (pt, pv, i)

式中：rc为资产受到威胁的风险系数；pt为威胁发生的可能性；pv为脆弱点被威胁利用的可能性；i为威胁的潜在影响(可用资产的相对价值v代替)。为了便于计算，通常将三者相乘或相加，得到风险系数。

4.6 评估结果的处置措施

在确定了地理信息系统安全风险后，就应设计一定的策略来处置评估得到的信息系统安全风险。根据风险计算得出风险值，确定风险等级，对不可接受的风险选择适当的处理方式及控制措施，并形成风险处理计划。风险处理的方式包括：回避风险、降低风险(降低发生的可能性或减小后果)、转移风险和接受风险。

究竟采取何种风险处置措施，需要对地理信息系统进行安全需求分析，但采取了上述风险处置措施，仍然不是十全十美，绝对不存在风险的信息系统，人们追求的所谓安全的地理信息系统，实际是指地理信息系统在风险评估并做出风险控制后，仍然存在的残余风险可被接受的地理信息系统。所谓安全的地理信息系统是相对的。

4.7 残余风险的评价

对于不可接受范围内的风险，应在选择了适当的控制措施后，对残余风险进行评价，判定风险是否已经降低到可接受的水平，为风险管理提供输入。残余风险的评价可以依据组织风险评估的准则进行，考虑选择的控制措施和已有的控制措施对于威胁发生可能性的降低。某些风险可能在选择了适当的控制措施后仍处于不可接受的风险范围内，应通过管理层依据风险接受的原则，考虑是否接受此类风险或增加控制措施。

参考文献

信用风险管理措施篇7

关键词：地理信息系统；风险评估

2006年1月国家网络与信息安全协调小组发表了“关于开展信息安全风险评估工作的意见”，意见中指出：随着国民经济和社会信息化进程的加快，网络与信息系统的基础性、全局性作用日益增强，国民经济和社会发展对网络和信息系统的依赖性也越来越大。

1什么是GIS

地理信息系统（GeographicInformationSystem,简称GIS）是在计算机软硬件支持下，管理和研究空间数据的技术系统，它可以对空间数据按地理坐标或空间位置进行各种处理、对数据的有效管理、研究各种空间实体及相互关系，并能以地图、图形或数据的形式表示处理的结果。

2风险评估简介

风险评估是在综合考虑成本效益的前提下，针对确立的风险管理对象所面临的风险进行识别、分析和评价，即根据资产的实际环境对资产的脆弱性、威胁进行识别，对脆弱性被威胁利用的可能性和所产生的影响进行评估，从而确认该资产的安全风险及其大小，并通过安全措施控制风险，使残余风险降低到可以控制的程度。

3地理信息系统面临的威胁

评估开始之前首先要确立评估范围和对象，地理信息系统需要保护的资产包括物理资产和信息资产两部分。

3.1物理资产

包括系统中的各种硬件、软件和物理设施。硬件资产包括计算机、交换机、集线器、网关设备等网络设备。软件资产包括计算机操作系统、网络操作系统、通用应用软件、网络管理软件、数据库管理软件和业务应用软件等。物理设施包括场地、机房、电力供给以及防水、防火、地震、雷击等的灾难应急等设施。

3.2信息资产

包括系统数据信息、系统维护管理信息。系统数据信息主要包括地图数据。系统维护管理信息包括系统运行、审计日志、系统监督日志、入侵检测记录、系统口令、系统权限设置、数据存储分配、IP地址分配信息等。

从应用的角度，地理信息系统由硬件、软件、数据、人员和方法五部分组成:硬件和软件为地理信息系统建设提供环境；数据是GIS的重要内容；方法为GIS建设提供解决方案；人员是系统建设中的关键和能动性因素，直接影响和协调其它几个组成部分。

险评估工作流程

地理信息系统安全风险评估工作一般应遵循如下工作流程。

4.1确定资产列表及信息资产价值

这一步需要对能够收集、建立、整理出来的、涉及到所有环节的信息资产进行统计。将它们按类型、作用、所属进行分类，并估算其价值，计算各类信息资产的数量、总量及增长速度，明确它们需要存在的期限或有效期。同时，还应考虑到今后的发展规划，预算今后的信息资产增长。这里所说的信息资产包括:物理资产(计算机硬件、通讯设备及建筑物等)信息/数据资产(文档、数据库等)、软件资产、制造产品和提供服务能力、人力资源以及无形资产(良好形象等)，这些都是确定的对象。4.2识别威胁

地理信息系统安全威胁是指可以导致安全事件发生和信息资产损失的活动。在实际评估时，威胁来源应主要考虑这几个方面，并分析这些威胁直接的损失和潜在的影响、数据破坏、丧失数据的完整性、资源不可用等：

（1）系统本身的安全威胁。

非法设备接入、终端病毒感染、软件跨平台出错、操作系统缺陷、有缺陷的地理信息系统体系结构的设计和维护出错。

（2）人员的安全威胁。

由于内部人员原因导致的信息系统资源不可用、内部人员篡改数据、越权使用或伪装成授权用户的操作、未授权外部人员访问系统资源、内部用户越权执行未获准访问权限的操作。

（3）外部环境的安全威胁。

包括电力系统故障可能导致系统的暂停或服务中断。

（4）自然界的安全威胁。

包括洪水、飓风、地震等自然灾害可能引起系统的暂停或服务中断。

4.3识别脆弱性

地理信息系统存在的脆弱性(安全漏洞)是地理信息系统自身的一种缺陷，本身并不对地理信息系统构成危害，在一定的条件得以满足时，就可能被利用并对地理信息系统造成危害。

4.4分析现有的安全措施

对于已采取控制措施的有效性，需要进行确认，继续保持有效的控制措施，以避免不必要的工作和费用，对于那些确认为不适当的控制，应取消或采用更合适的控制替代。

4.5确定风险

风险是资产所受到的威胁、存在的脆弱点及威胁利用脆弱点所造成的潜在影响三方面共同作用的结果。风险是威胁发生的可能性、脆弱点被威胁利用的可能性和威胁的潜在影响的函数，记为：

Rc=(Pt,Pv,I)

式中：Rc为资产受到威胁的风险系数；Pt为威胁发生的可能性；Pv为脆弱点被威胁利用的可能性；I为威胁的潜在影响(可用资产的相对价值V代替)。为了便于计算，通常将三者相乘或相加，得到风险系数。

4.6评估结果的处置措施

在确定了地理信息系统安全风险后，就应设计一定的策略来处置评估得到的信息系统安全风险。根据风险计算得出风险值，确定风险等级，对不可接受的风险选择适当的处理方式及控制措施，并形成风险处理计划。风险处理的方式包括：回避风险、降低风险(降低发生的可能性或减小后果)、转移风险和接受风险。

究竟采取何种风险处置措施，需要对地理信息系统进行安全需求分析，但采取了上述风险处置措施，仍然不是十全十美，绝对不存在风险的信息系统，人们追求的所谓安全的地理信息系统，实际是指地理信息系统在风险评估并做出风险控制后，仍然存在的残余风险可被接受的地理信息系统。所谓安全的地理信息系统是相对的。

4.7残余风险的评价

对于不可接受范围内的风险，应在选择了适当的控制措施后，对残余风险进行评价，判定风险是否已经降低到可接受的水平，为风险管理提供输入。残余风险的评价可以依据组织风险评估的准则进行，考虑选择的控制措施和已有的控制措施对于威胁发生可能性的降低。某些风险可能在选择了适当的控制措施后仍处于不可接受的风险范围内，应通过管理层依据风险接受的原则，考虑是否接受此类风险或增加控制措施。

参考文献

信用风险管理措施篇8

关键词：通信工程；项目风险；管理

引言

通信工程项目本身所具备的一些特点和缺陷，例如通信工程建设周期长、规模大、覆盖面广，项目参与人员多，设计面广，致使目前行业不确定的风险因素正在逐渐增多，其带来的隐患以及损失也是难以估量的，风险控制有一定难度，在竞争如此积累的市场大环境中，要想提高抗风险能力，只能不断提升自身的管理水平。

一、通信工程项目风险管理概述

通信工程的项目风险管理定义为：对通信工程中的所有风险元素进行甄别、评估、评价，并在其基础上优化风险管理的措施，实现对风险因素的有效管理，并对其风险带来的结果进行合理的处理，以达到使用最低的成本使项目达到最安全的状态的过程。目前行业不确定的风险因素正在逐渐增多，其带来的隐患以及损失也是难以估量的，在竞争如此积累的市场大环境中，要想提高抗风险能力，只能不断提升自身的管理水平，通讯工程的项目风险管理主要包含以下几个方面的内容：风险因素的甄别、风险分析、风险评估以及处理措施等。

二、通信工程项目风险管理的意义

1、利于运行成本的控制

对某项工程而言，运行成本的控制以及资金的正常流动都是关乎项目是否成功的关键，因此怎样对项目资金进行科学有效的管理，将其中的风险控制在有效的范围之内是一个很重要的问题，几乎影响了整个项目的正常运营。而在实际施工过程中，往往会存在成本过高、超支等情况。而制定行之有效的风险管理策略，对于项目成本进行评估、预算、检测，随时对项目资金加以控制，能够很好的解决通信工程的资金项目成本问题。

2、提高用户满意度

相对于其他工程而言，通信工程有着其独特的特征，比如说资金成本投入大、工期较长、项目风险因素多、不确定因素多等特征。如果没有及时采取对应的策略来防范其中的风险，将会拖慢工期，资金回笼困难，同时严重损害客户的利益。因此，工程项目的管理有助于控制项目风险，规避所产生的后果，保障通信工程的顺利完工，提升用户的满意度。

3、保障通信工程项目的顺利实施

通信工程的顺利进行及开展需要极高的技术含量，同时对于从业人员的身体素质以及技术水平也有着极高的要求，通信工程中存在着很多技术风险和不确定因素，利用风险管理及时将其甄别并采取有效的应对措施，可以有效的规避风险，保证通信工程顺利的展开。

三、通信工程项目风险管理的风险管理

1、风险甄别阶段

风险的甄别指的是确认某种风险对正常运行项目所造成的负面影响，同时将这些风险产生的过程，以及可能造成的后果进行预测，形成书面文件并及时记录。风险甄别的过程不是一蹴而就的，而是一个循序渐进的阶段，风险因素会随着项目的推进而逐渐显现，一般来说，通信工程中的风险甄别者包含项目参与的所有工作人员的所有行为。在风险甄别过程中，一旦风险因素显现，理论上应该立即甄别出来，并结合事前的预测做好应急措施，将风险控制在最低影响水平。

2、建立风险管理机构

要想有效的控制通信工程中的风险，企业需要设置内部逐级风险管理部门，保障风险控制管理措施能够严格执行。逐级风险管理部门的主要工作职责与构成如下所示：（1）风险管理部门的职能风险管理部门的主要工作职能包含:根据企业部门或者其他相关部门对项目的需求进行项目评估，组织开展风险研究会议，上报企业董事会，进行协同检测整体工程风险。同时该部门也负责甄别目前工程现有的风险以及未来可预料到的风险，并根据这些风险的特征制定详细风险控制目标以及风险控制措施，依据分析与评估结果，形成风险评估报告，提交公司管理层。（2）风险管理部门的组织机构及人员构成风险管理部门由公司全体管理层构成，主任1名，副主任1名。在必要的情况下，风险管理部门要求配置经验丰富的通信风险管理专家，协助风险管理部门工作。风险管理部门全面管理公司的风险管理工作和风险管理部门的日常事务，同时对风险管理的会议的记录以及相关文件进行管理工作。

3、分析项目风险因素

通信工程的建设过程中，所遇到的风险大概可以分为如下几类：因为政府宏观背景政策变化所导致的风险；国内经济大环境的风险；项目中技术方法的更新与仪器设备所导致的风险；项目负责人管理水平和企业发展的风险；施工合作方之间的经济效益分割及责任所导致的风险；其他意外因素所导致的风险（自然灾害，天气因素导致的工期问题等），风险控制部门在认识到相关的风险之后，应当仔细分析风险的类别，并根据风险的特征制定控制方案，保证项目的正常运转。

4、制定项目风险应对策略

经过风险控制部门的风险甄别、风险分析之后，就需要科学的组织、协调并控制风险应对策略的实施过程，在这一过程中，最不可缺少的就是流畅的信息沟通。通信工程的风险管理涉及面较广而且较为琐碎，而风险问题不管有多严重，总会有相应的解决方案，如何解决人员沟通上的隔阂，让意见达成一致是项目经理必须要面对的问题。除此之外，分包商也是容易出现问题的重点环节，加强分包商的管理，制定完善的分包商考核制度，做到奖惩分明。最后在制定项目风险控制措施的时候要综合考虑项目该风险因素所到来的所有损失与后果，将其融入项目的动态进展中加以不断的更新，保证项目能够顺利进行。

5、强化风险评估

加强风险评估首先应对发生的各种风险因素进行科学的判断，但在实践中，由于操作项目风险和通信工程的不确定性，增加了风险评估的难度。在进行风险评估的过程中，只能估计大概率风险事件的发生。结语由于在通信企业面临的风险因素管理手段不足，通信企业对风险管理人才队伍建设的缺失，对提高风险管理水平的识别和分析能力没有重视，降低风险管理的实践性，只有大力建设风险管理团队，降低风险发生的概率，才能树立良好的企业形象。

参考文献：

[1]刘永平.通信工程项目管理初探[J].中国新通信,2015(23).

[2]刘古洞，杨志汛．通信工程施工项目的管理措施分析[J]．通讯世界，2016(02).