期刊在线咨询服务,发表咨询:400-888-9411 订阅咨询:400-888-1571股权代码(211862)
购物车(0)
风险分析与评估模板(10篇)
风险分析与评估例1
一、房地产抵押存在风险的表现形式
1.1评估目的风险
评估的直接决定和制约着资产评估价值类型和方法选定,
以抵押为目的的评估价值类型是抵押价值。《规范》要求:房地产抵押价值的评估,可参照设定抵押权时的类此房地产的正常市长价格进行,但应在估价报告中说明未来市场变化风险和短期强制处分等因素对抵押价值的影响。以抵押为目的的房地产评估要注意以下风险:
1、1、1预测风险。因为房地产抵押评估价值是当时某一时点的价值,而抵押期间一般会在一年以上,一旦发生处分清偿,处置价值是在未来某一时点价值。因此,在评估时,对预期会降低评估价值的因素要充分考虑,而对预期不确定的收益或升值因素较少或不予考虑。
1、1、2市场变现能力风险。抵押权人实现抵押房地产回收时大多数是将抵押房地产变卖,而不是回收实物;并且由于宏观经济形势、产业政策、市场变化等因素影响,抵押价值也相应变动。尤其对有价无市的房地产要进行分析,降低因不能及时变现的市场风险。
1、2抵押评估方法选择带来的风险
抵押房地产评估方法根据房地产具体情况一般采取成本法、市场比较法、收益法或假设开发评估法进行评估。采取不同评估方法所评估的结果从本质上讲是一致的,均能反映房地产公开市场的公允价值,但由于各种评估方法在评估过程中所选定的参数和考虑的因素均不相同,也会造成抵押评估价值的高低风险。如:以收益法评估商业用途的房地产价值时,在测定收益率时,会因确定的收益率微小变化造成房地产评估价值结果很大的差异;以假设开发评估在建工程的价值时,建成的房地产价值、后续工程成本、销售税费等参数均需要进行科学的预测,预测结果的真实来自于要有一个完善透明的房地产市场才能实现,但由于房地产市场很不完善及行业内相关信息资料相互共享不够透明和有效,存在着采用不同评估结果高低风险。
1、3评估人员执业风险
在我国,房地产估价是一项新兴服务行业,也是对专业技术要求较高的行业。它要求评估师不仅要熟悉掌握评估专业知识,而且要求评估师要具备广泛的经济、法律、金融、建筑、财务及管理等方面知识。由于行业的规范和管理正在探寻阶段和估价人员执业水平的参差不齐,对评估原则、评估方法、技术参数及相关因素的选择、评估信息资料真实性的甄别、评估人员的执业能力和经验不足及价值含意的把握等都将影响评估结果的科学性和真实性,也都增加了执业风险。
1、4职业道德风险
房地产评估公司是公正性的中介服务机构,对所出具的评估报告承担法律责任。在房地产抵押评估过程中,评估机构和评估人员应恪守职业道德、遵循独立、公平、公正、公开的原则。但当前,个别房地产评估公司和评估人员出于自身私利目的或委托方需求,故意提高抵押房地产价值,提供虚假评估报告,导致评估结果失真,职业道德意识淡薄造成了抵押人员利益的潜在损失风险。
2、房地产抵押的风险
2、1认识误区。房地产抵押贷款是在借款人的偿还能力即第一还款来源之外,以房地产抵押物代偿为条件设置了第二还款来源。这种贷款方式从理论上讲比第一种多了一道风险屏障,当第一还款来源出现问题,借款人无法用正常经营活动所产生的现金流来归还贷款时,银行可通过处置抵押物获得补偿。因此,从这一意义出发,房地产抵押物在降低贷款风险、减少贷款损失方面发挥着重要作用。而不少信贷人员正是从这一认识出发,把借款人能否提供抵押物作为能否贷款的主要依据,而不注重对借款人的偿付能力进行分析。
2、2操作风险。银行操作上的缺陷也是引发房地产抵押贷款风险的重要原因。
2、2、1抵押物产权存在瑕疵造成的风险。抵押物虽然通过特殊方式取得了所有权证,但没有相应完善的程序和手续;抵押物存在产权纠纷或债权债务纠纷;占有形式不合规。如办理房产或地产抵押时,房产与地产分离,没有同时进行抵押登记,一旦所占用的土地用途发生变动时,抵押房产的价值将灭失;抵押权被悬空。如开发商以无定着物的土地使用权作抵押取得贷款,用于该地块上的房产开发,随着商品房的完工出售,开发商可以轻而易举地将售房款转移,最终使抵押权悬空;抵押权灭失。如《城市房地产管理法》对以出让方式取得土地使用权进行房地产开发的土地有动工期限限制,超过出让合同约定的时间可以加征土地闲置费甚至无偿收回土地使用权。依此规定,土地长期闲置不用超过一年的,无疑会增加处置成本,削弱还贷能力,更为严重的是,一旦闲置期届满两年,土地使用权被国家无偿收回,抵押物就不复存在;抵押权难以实现。根据《城市房地产管理法》规定,以出让方式取得土地使用权的,必须按照出让合同的约定进行投资开发,达不到法定转让条件的均不得转让。显然,面对这样的土地使用权,银行即使维权成功,也只能够以折价形式受偿,但问题还在于受偿以后抵债土地使用权如何处理。
2、2、3抵押物的价值风险。
(1)抵押物市场价值减值风险。抵押物市场价值减值主要分四种情况:一是远离城区的企业以土地、厂房设备抵押,抵押物重置价值与市场变现价值相差大;另一种是外部环境变化引起的抵押物减值。如用城区土地抵押,由于城市规划的调整或抵押物所处地区的功能环境的改变,也会使抵押物市场价值减值;第三是部分用专用性很强的抵押物如厂房、职工宿舍楼,交易市场狭窄,变现能力很差;第四种是功能性减值,如用机器设备抵押的,由于技术进步和设备的加速损耗,造成抵押物市场价值减值。
(2)现行抵押率计算方法已不能有效控制风险。一是当前的抵押物评估价值经常被高估,即使不被高估,反映的也是市场价值,而不是变现价值,变现价值往往与市场价值存在较大差距;二是确定抵押率时,未从评估价值中扣除实现抵押权所需发生的费用,如诉讼费、评估费、资产保全费、产权过户费、处置费等,而这些费用所占抵押物价值的比例甚大。
2、2、4社会经济环境不规范形成的风险。一是现有的法律、法规对咨询评估机构的评估失真责任追究不严,为虚假评估报告提供了生存空间;二是政府职能管理部门存在管理上的漏洞,不具备产权办理条件的,通过特殊关系可以办理产权C明。不符合抵押登记条件的,办理了抵押登记手续;三是地方保护主义的影响,银行在实现抵押权时,法院裁定用于抵偿债务的抵押物价值往往偏高,且未考虑偿债物处置变现的相关费用。
3、房地产抵押风险的防范及对策
3、1进一步完善抵押贷款管理办法。对抵押物件进行细分,明确规范不宜作抵押物的统一标准。房地产抵押物的选择,应牢牢把握"坚固耐用,不易毁损;通用性强,容易变现;价值稳定,不易贬值"二十四字原则。
3、2加强银行内部管理,规范业务操作程序。信贷人员要到现场核实抵押物真实状况,到有关职能部门核实产权档案情况;法规部门要严格审核抵押物权证的合规合法性;咨询部门要重新评估确认抵押物价值。
3、4建立与规划、城建、房管、国土、工商等职能部门的联系机制,及时了解抵押物是否存在缺陷,是否存在变动,是否存在重复抵押等情况。
3、5严格审查抵押人资格及抵押房地产的有效性。要审查抵押人是否是《担保法》、《房地产管理法》等规定的不得作为抵押人的几种情形,是否有法人资格或是否具有完全民事行为能力的自然人、是否是体制改革后可以作为抵押人的事业法人。
3、6严格完善房地产抵押登记手续。房地产抵押合同自登记之日起生效。在房地产抵押过程中,应严格核实抵押房地产的情况,在进行抵押房地产评估后,在县以上地方人民政府规定的房地产产权管理部门办理登记手续。抵押登记期限一般以评估报告的效期为限,但往往借款期限长于抵押登记期限,这就要求债权人在登记到期日前重新办理评估和登记手续,才能完善房地产抵押合同的法律延续性和有效性,保证债权人的合法利益和风险可控。
3、7加强法律、法规、政策的信息收集,及时了解各种有关抵押担保上的新的司法解释、抵押管理办法和政策。
3、8认真进行实地勘察、收集、整理和分析相关资料。实地勘察是依据抵押房地产产权证明和相关资料到实地验证和勘察,从而确定影响房地产价值的主要因素,主要包括:房地产所出位置和交通条件、周围环境质量及配套设施等区域因素;房地产的建筑结构类型、内外装修、设施设备、朝向楼层及完损程度等个别因素;了解当地房地产市场行情,掌握市场交易信息;实地拍照、收集资料等。
3、9 综合分析评估过程,慎重确定评估结果。明确了评估对象之后,应选定拟采用的评估方法。由于采用的评估方法不同,计算出的评估额不同是很自然的。无论采取何种评估方法都要对整个评估过程在基础数据是否准确、参数选择是否合理、公式选用是否恰当、影响因素是否齐全及是否符合评估原则等方面进行检查,在确定所选用的评估方法估算出的结果无误后,对市场行情和潜力进行综合分析,最终决定评估价格。
4.结语
综上所述,本文针对在房地产抵押评估过程中面临的一些风险进行了罗列,并提出了相应的防范措施,根据实际的房地产抵押评估的操作来从对于抵押人主体资格的审核等多个方面进行分析,以期能引起相关部门的思考。
参考文献:
风险分析与评估例2
论文摘要:针对网络中的各种应用服务的识别检测,采用应用层协议签名的流量识别技术和流量分组技术,实现网络应用流的分析和风险评估系统——ras,提出基于流量分组技术的应用流风险评估模型。该系统为网络资源分配和网络安全的预测提供有价值的依据。实验结果表明,taras系统具有良好的流量分析效率和风险评估准确性。
1概述
基于互联网的新技术、新应用模式及需求,为网络的管理带来了挑战:(1)关键应用得不到保障,oa, erp等关键业务与bt,qq等争夺有限的广域网资源;(2)网络中存在大量不安全因素,据cncert/cc获得的数据表明,2006年上半年约有14万台中国大陆主机感染过beagle和slammer蠕虫;(3)传统流量分析方法已无法有效地应对新的网络技术、动态端口和多会话等应用,使得传统的基于端口的流量监控方法失去了作用。
如何有效地掌握网络运行状态、合理分配网络资源,成为网络管理者们的当务之急。针对以上需求,作者设计并实现了一套网络应用流分析与风险评估系统(traffic analysis and risk assessment system, taras)。
当前,网络流量异常监测主要基于tcp/ip协议。文献[5]提出使用基于协议签名的方法识别应用层协议。本系统采用了应用层协议签名的流量分析技术,这是目前应用流分析最新技术。然而,简单的流量分析并不能确定网络运行状态是否安全。因此,在流量分析的基础上,本文提出了应用流风险评估模型。该模型使用流量分组技术从定量和定性两方面对应用流进行风险评估,使网络运行状态安全与杏这个不确定性问题得到定性评估,这是当前网络管理领域需要的。
2流量分析模型
目前应用流识别技术有很多,本文提出的流量识别方法是对subhabrata sen提出的应用协议特征方法的改进。针对种类繁多的应用层协议采用了两级匹配结构,提高效率。
应用识别模块在linux环境下使用libpcap开发库,通过旁路监听的方式实现。在设计的时候考虑到数据报文处理的效率,采用了类似于linux下的netfilter框架的设计方法,结构见图1。
采取上述流量识别框架的优点:(1)在对tcp报文头的查找中使用了哈希散列算法,提高了效率;(2)借鉴状态防火墙的技术,使用面向流(flow)的识别技术,对每个tcp连接的只分析识别前10个报文,对于该连接后续的数据报文则直接查找哈希表进行分类,这样避免了分析每个报文带来的效率瓶颈;(3)模式匹配模块的设计使得可扩展性较好。
在匹配模块设计过程中,笔者发现如果所有的协议都按照基于协议特征的方式匹配,那么随着协议数量的增大,效率又会成为一个需要解决的问题。
因此,在设计应用流识别模块时,笔者首先考虑到传输层端口与网络应用流之间的联系,虽然两者之间没有绝对固定的对应关系,但是它们之间存在着制约,比如:qq协议的服务器端口基本不会出现在80, 8000, 4000以外的端口;http协议基本不会出现在80, 443, 8080以外的端口等,因此,本文在流量分析过程中首先将一部分固定端口的协议使用端口散列判断进行预分类,提高匹配效率。
对于端口不固定的应用流识别,采用两级的结构。将最近经常检测到的业务流量放在常用流量识别子模块里面,这样可以提高查找的速度。另外,不同的网络环境所常用的网络应用流也不同,因此,也没有必要在协议特征库中大范围查找。两级查询匹配保证了模型对网络环境的自适应性,它能够随着网络环境的改变以及网络应用的变化而改变自己的查询策略,但不降低匹配效率。应用流识别子模块的设计具体结构见图2。
3风险评估模型
本文采用基于流量分组技术的风险评估方法。流量分组的目的是为流量的安全评估提供数据。
3.1应用流的分组
网络应用种类多、变化频度高,这给应用流的评估带来了麻烦,如果要综合考虑每一种应用流对网络带来的影响,显然工作量是难以完成的。因此,本文引入应用流分组的概念。应用流分组的目的是从网络环境和安全角度的考虑,将识别后的流量进行归类分组。笔者在长期实验过程中,根据应用的重要性、对网络的占用率、对网络的威胁性等因素得到一个较为合理的分组规则,即将网络流量分为:关键业务,传统流量,p2p及流媒体,攻击流,其他5类。应用流分组确定了流量评估的维度,这样有利于提高评估的效率。表1列举了部分应用流的分组。
应用流分组模块有2个功能。首先是将检测到的各种应用流量按照表1中的分组归类,并计算各分组应用流量的大小、连接数目、通信主机数目3个方面的信息,并以一定的时间周期向流量安全评估模块传送数据。另外一个是在安全事件出现时,向安全响应模块提供异常应用流名称和其他相关信息。应用流分组模块的输入是各应用流的流量大小,而输出有2个:
(1)整个网络的流量分布矩阵。
(2)异常主机流量分组中的成份。
笔者引入流量矩阵的概念。流量矩阵a的数学定义为
其中,aij表示第i台主机的第j组流量的大小,aij的单位为实际流量的单位大小。流量矩阵反映了网络中信息流动的整体情况。
由于tcp/ip协议的广泛应用,网络流量中的绝大部分使用基于tcp的传输层协议,因此传输层的网络连接数也在一定程度上反映了网络流量的情况。定义网络连接数矩阵为
其中,lij表示第i台主机第j组应用流的网络连接数。
在网络通信过程中,每个流量分组的通信主机数量具有参考价值,在此引入通信主机数量矩阵,数学描述为
其中,hij为表示某一分组流量的通信主机数目。
另外,流量分组模块在接收到安全响应模块的请求时,会向其发送该异常网络节点的应用流类别信息。
信息内容为:主机ip地址,主机应用流分组名,应用流名称列表。
3.2应用流的风险评估
网络流量的特征是网络安全性的重要表现。本节主要描述网络用户流量的安全评估过程和机制。流量的安全评估实际上是网络风险评估过程的一部分。风险评估的方法有定量评估、定性评估和定性与定量结合的评估方法。在此本文借鉴风险评估定性与定量结合的方法设计流量的安全评估子模型。
本节首先确定该模型的评估的对象、指标和目标,评估的具体方法如下:
(1)流量安全评估的对象是每个网络节点的应用流分组。
(2)评估对象的定量指标分别是网络流量大小、网络连接数和网络通信主机数。
(3)评价的目标是确定各应用流的安全性。
(4)评估方法是以先定量后定性的方法为原则,具体方法如下:
1)制定各分组流量的安全评估规则,为量化评估提供依据。
2)参照安全评估规则,根据3个量化指标评价网络用户流量的安全性,并得到安全评分。
3)根据安全性评价集,将量化后的安全评分指标定性化。另外,对于攻击流进行特别评估,并且当出现攻击流时,攻击流安全等级代表主机安全等级。
安全评估子模型的结构如图3所示。
3.2.1各分组流量的安全定量评价
对于不同分组的通信行为和流量特点,本模块采用分指标量化评估的方法进行安全评估。表2中各指标的安全性划分是根据实验得出的结论。
对于各流量安全评估节点,a各节点应用分组流量的集合;l为网络连接的集合;h是各节点通信主机数集合;sij是各节点量化评估的结果集合。定义安全评估函数f(a,l,h)=sij(1≤ i ≤ n, 1≤ j ≤ 5),用于表示目标节点流量安全评估的量化结果,从而实现对目标安全状况的定量分析。
将该评价方法设为f则该过程可用数学描述如下:
其中,sij为各网络节点中应用流分组的安全评分。
3.2.2流量安全定性评价
量化后的安全评分对与安全程度的描述仍然有很大的不确定性,因此,需要将安全评分定性化以确定其所在的安全级别。每个安全级别确定安全分数以及对于攻击流的安全等级划分如表3—表5所示。
以上5个安全等级对于流量的安全性的区分如下:
(1)安全状态表明该分组流量属于正常情况;
(2)可疑状态表明该分组流量中有可疑成分或流量大小超过正常情况;
(3)威胁状态表明该类流量威胁到网络的正常运行和使用;
(4)危险状态主要指该分组流量危害网络的正常运行;
(5)高危状态表明该类分组的流量成分已严重危害网络正常运行。
量化安全评分经过定性划分后可以得到一个定性的流量安全评估矩阵th,将该过程用运算h表示为
其中,tij为第i台主机第j组应用流的安全等级。
4实验结果
4.1应用流的识别率
由于taras系统能够识别多种应用流量,因此识别算法的准确性是一个重要的指标。网络环境重的各种因素以及网络应用协议特征不断变化等原因,taras系统对应用流的识别存在漏报和误报的间题。应用流的识别率见表6。由表6的统计数据可以看到,taras对各种协议的识别存在漏报和误报的情况。具体来看,emule应用由于大量使用udp传输数据,因此识别率不高。另外,http协议通常使用传输层80端口,但这个端口也被qq和msn 2个聊天软件使用,除此之外一些木马后门程序为了防止防火墙的封杀也往往使用该端口,因此,在识别过程中http协议会产生误报,即将非http协议数据也当作http协议计算。
4.2应用流的风险评估
为了测试taras系统风险评估的准确性,笔者在拥有8台主机的局域网中做相关测试,并以其中3台(主机17、主机77和主机177)进行实验。局域网内8台主机各应用分组流量状况如表7所示。关键业务和其他应用的分组流量为0。
主机17使用传统应用ftp执行下载任务,其他流量分组中无或只有极少流量,从表7可以看出,该主机的传统应用分组流量达到2 mb/s,此时传统应用流量分组应该达到威胁级别,而其他分组应该都是安全级别,主机的总体评价为安全。主机77不断受到nimda蠕虫病毒的攻击,从表7可以发现,该主机高危分组的流量为2 048 kb/s,此时该分组应该达到高危级别,而其他分组由于流量为0因此为安全,主机的总体评价为高危。主机177使用bt进行下载,并使其流量达到1 536 kb/s,根据风险评估策略,该主机的p2p及流媒体分组应该达到威胁级别,其他分组应该都是安全级别,主机的总体评价为安全。表8为tetras系统对表7所示流量状况进行评估所得的风险评估结果。
对比表7和表8可以发现,taras系统能够正确地对网络中各主机流量状况进行风险评估。同时该实验结果也证实:虽然taras系统对于应用流的识别存在一定误差,但是该误差没有严重影响网络运行状况和风险级别安全,误差在可接受范围内。
5结束语
风险分析与评估例3
当前的施工桥梁工程越发的意识到施工安全的重要性,并力求通过风险识别以及评估探析的作用,提升桥梁工程施工的安全性,提升桥梁施工的效率,基于这一问题,笔者进行了切实的探究。
一、对于桥梁施工风险管理浅析
施工风险管理手段是桥梁施工过程中非常重要的环节,它可以为桥梁施工提供切实的安全保障。我国的施工风险管理机制起步较晚,很多时候,对于实际的桥梁施工风险意识不足,直到二十世纪七十年代末,才将施工风险的管理手段逐渐的落实实践施工当中,这样的情况,导致我国的施工手段受到了较大的制约,除此之外,当时的中国属于计划经济体制,多数的施工工程都隶属于国家的管制,产生的风险也直接由国家自行承担,导致项目履行者无法意识到自身的所具备的职责,进而为工程施工的风险管理以及控制受到诸多的阻碍。自从改革开放以来我国的社会经济体制在不断地发生着转变和更新,这一发展形势,为我国的施工工程的发展提供了新的契机,风险管理以及风险控制已经成为当前工程施工管理的重要措施,尤其是在桥梁工程施工管理的过程中,已经越发的注重风险控制的作用,力求通过这一方式提升施工过程中的安全性,进而保障施工进度。虽说我国的施工风险管理起步较晚,管理水平也不成熟,但是,在实践发展中,我国的工程施工风险管理已经在不断的完善和健全[1]。
二、对于桥梁工程施工风险识别以及评估的内容以及关系分析
桥梁工程施工的风险识别以及评估是施工风险管理的重要内容,在落实桥梁工程施工风险管理措施的过程中,其具体的实施步骤如下,在施工之前,对施工中所面临的风险数据以及因素进行充分的考虑和分析,而后再将其以信息的形式进行反馈,在实施施工的过程中,则应当充分的考虑施工现场的实际情况,与施工负责人的多年施工经验完美的结合,再对现场的施工风险进行分析和识别和管理,最后再将其中所涵盖的风险因素进行系统的分析。在施工计划阶段也要考虑到其中的风险因素,让风险意识落实到施工的各个环节,进而保障施工的安全性。要想将风险评估的作用最大程度的发挥,还可以通过构建特定部门的方式,对当前的施工现场进行风险评估,而后安排专业的人员对其定时检查。如果检查之后发现其中存在纰漏,那么应当及时的对此问题上报,进而及时的解决,与此同时,还要将风险应对措施进行更新,制定出切合实际的风险应对方案,保障工程施工的进度和效率。如果在检查之后未发现影响工程实施的风险因素,那么则可应用此风险评估措施,对施工过程中的风险进行防范。风险识别是实现风险控制以及评估的重要内容,在进行风险管理的过程中,风险识别得是否全面以及准确,可以直接的影响到最终的风险评估水平,最终还会影响到工程施工的进度[2]。风险评估的内容可以归纳为:全面的分析桥梁工程施工过程中各个环节以及内容所存在的风险,而后找寻处切合实际的解决方式。
三、对于桥梁工程实施风险评估以及识别建议
在对工程施工进行风险识别之前,就应成立专门的工程风险识别小组和风险评估小组,而后有关的领导还要针对其中的人员的职责进行明确的划分,将风险识别以及风险评估的工作环节以及内容落实到个人头上,这样可以为桥梁工程施工的风识别以及风险评估更为科学、合理,使人员的安排更为合理,避免出现职责意识不清,以及躲避工作责任的情况,一旦风险识别以及风险评估的过程中,出现了较为严重的问题,那么就要将责任落实到负责这一部分工作内容的人员头上,这样的方式还会很大程度上提升风险识别以及风险评估的科学性,并保证施工过程中的安全性。在落实桥梁施工风险识别以及评估的过程中,还应当从不同的角度着手,比如,环境、人、制度、物以及工艺等方面,全面的对桥梁工程施工风险进行识别以及评估,保证施工风险管理的顺利进行[3]。像环境风险识别方面,涵盖着施工环境、办公施工生活、施工作业等等方面,在进行施工风险识别以及评估的过程中,一定要注重施工环境风险这一重点因素,充分的考虑桥梁施工中的环境因素所带来的危害和风险,进而在提升风险识别的能力的同时,提升施工风险评估水平,从环境风险角度,降低施工过程中风险因素所带来的危害。像人为风险评估方面,则更要对其全面的分析和探究,从总工、安全员、经理、班组长以及施工人工等等方面着手,进行系统的分析[4]。
结束语
综上所述,随着社会经济的井喷式发展,致使人们的生活理念也逐渐的在实现着变革,人们越发提升了对施工质量的要求,而相关的施工单位在进行工程施工时,也越发的重视施工安全的作用,并通过科学的、合理的方式对各类的施工安全问题予以解决,以桥梁施工为例,诸多的施工单位在进行桥梁施工时,都会通过风险识别以及风险评估的方式对施工过程中的各类风险问题进行高效的防范,为桥梁施工安全提供充足的保障,与此同时,也会保障施工进度以及施工效率。但是很多施工单位在落实风险管理时,都会出现概念模糊的现象,即便将风险识别和风险评估落实到实践中,仍旧会存在诸多的问题,究其根本,无外乎对桥梁工程施工的风险管理实施的不全面,致使风险管理过程中,出现诸多的管理漏洞,进而大大降低了风险管理效率,因此,在落实风险识别和评估的过程中,应当注重科学性和合理性,进而为桥梁施工正常进行提供充足的保障。
参考文献
[1]项贻强,张婷婷,孙筠等.国外桥梁工程项目风险及评估研究综述[J].中外公路,2010,30(2):153-158.
[2]卢春林.浅埋暗挖隧道穿越既有桥梁风险评估方法研究[J].铁道科学与工程学报,2016,13(6):1156-1164.
风险分析与评估例4
一、前言
随着信息技术的飞速发展,信息系统依赖程度日益增强,采用风险管理的理念去识别安全风险,解决信息安全问题得到了广泛的认识和应用。信息系统主要分析信息化业务和信息系统所面临的人为和自然的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,以防范和化解风险。
二、网络信息安全的内容和主要因素分析
“网络信息的安全”从狭义的字面上来讲就是网络上各种信息的安全,而从广义的角度考虑,还包括整个网络系统的硬件、软件、数据以及数据处理、存储、传输等使用过程的安全。网络信息安全具有如下5个特征:
1、保密性:即信息不泄露给非授权的个人或实体。
2、完整性:即信息未经授权不能被修改、破坏。
3、可用性:即能保证合法的用户正常访问相关的信息。
4、可控性:即信息的内容及传播过程能够被有效地合法控制。
5、可审查性:即信息的使用过程都有相关的记录可供事后查询核对。
网络信息安全的研究内容非常广泛,根据不同的分类方法可以有多种不同的分类。研究内容的广泛性决定了实现网络信息安全问题的复杂性。而通过有效的网络信息安全风险因素分析,就能够为此复杂问题的解决找到一个考虑问题的立足点,能够将复杂的问题量化,同时,也为能通过其他方法如人工智能网络方法解决问题提供依据和基础,网络信息安全的风险因素主要有以下6大类:
1、自然界因素,如地震、火灾、风灾、水灾、雷电等;
2、社会因素,主要是人类社会的各种活动,如暴力、战争、盗窃等;
3、网络硬件的因素,如机房包括交换机、路由器、服务器等受电力、温度、湿度、灰尘、电磁干扰等影响;
4、软件的因素,包括机房设备的管理软件、机房服务器与用户计算机的操作系统、各种服务器的数据库配置的合理性以及其他各种应用软件如杀毒软件、防火墙、工具软件等;
5、人为的因素,主要包括网络信息使用者和参与者的各种行为带来的影响因素,如操作失误、数据泄露、恶意代码、拒绝服务、骗取口令、木马攻击等;
6、其他因素,包括政府职能部门的监管因素、有关部门对相关法律法规立法因素、教育部门对相关知识的培训因素、宣传部门对相关安全内容的宣传因素等。这些因素对于网络信息安全均会产生直接或者间接的影响。
三、目前网络信息安全风险评估工作中急需解决的问题
信息系统涉及社会经济方方面面,在政务和商务领域发挥了重要作用,信息安全问题不单是一个局部性和技术性问题,而是一个跨领域、跨行业、跨部门的综合性安全问题。据统计,某省会城市各大机关、企事业单位中,有10%的单位出现过信息系统不稳定运行情况;有30%的单位出现过来自网络、非法入侵等方面的攻击;出现过信息安全问题的单位比例高达86%!缺少信息安全建设专项资金,信息安全专业人才缺乏,应急响应体系和信息安全测评机构尚未组建,存在着“重建设、轻管理,重应用、轻安全”的现象,已成为亟待解决的问题。
各部门对信息系统风险评估的重视程度与其信息化水平呈现正比,即信息化水平越高,对风险评估越重视。然而,由于地区差异和行业发展不平衡,各部门重视风险评估的一个重要原因是“安全事件驱动”,即“不出事不重视”,真正做到“未雨绸缪”的少之又少。目前我国信息安全体系还未健全和完善,真正意义上的信息系统风险评估尚待成熟。有的部门对信息系统风险评估还停留在传达一下文件、出具一个报告、安排一场测试,由于评估单位在评估资质、评估标准、评估方法等方面还不够规范和统一,甚至出现对同一个信息系统,不同评估单位得出不同评估结论的案例。
四、信息系统风险评估解决措施
1、确诊风险,对症下药
信息系统风险是客观存在的,也是可以被感知和认识从而进行科学管理的。信息系统面临的风险是什么、有多大,应该采取什么样的措施去减少、化解和规避风险?就像人的躯体有健康和疾病,设备状况有正常和故障,粮食质量有营养和变质,如何确认信息系统的状态和发现信息系统存在的风险和面临的威胁,就需要进行风险评估。
2、夯实安全根基,巩固信息大厦
信息系统建设之初就存在安全问题,好比高楼大厦建在流沙之上,地基不固,楼建的越高倒塌的风险就越大。风险评估是信息系统这座高楼大厦的安全根基,它可以帮助信息系统管理者了解潜在威胁,合理利用现有资源开展规划建设,让信息系统安全“赢在起跑线上”。风险评估还可以为信息系统建设者节省信息系统建设总体投资,达到“以最小成本获得最大安全保障”的效果。
3、寻求适度安全和建设成本的最佳平衡点
安全是相对的,成本是有限的。在市场经济高度发达的今天,信息系统建设要达到预期经济效益和社会效益,就不能脱离实际地追求“零风险”和绝对安全。风险评估为管理者算了一笔经济账,让我们认清信息系统面临的威胁和风险,在此基础上决定哪些风险必须规避,哪些风险可以容忍,以便在潜在风险损失与建设管理成本之间寻求一个最佳平衡点,力求达到预期效益的最大化。
4、既要借鉴先进经验,又要重视预警防范
没有网络安全就没有国家安全,没有信息化就没有现代化。建设网络强国,要有自己的技术,有过硬的技术。风险评估是信息化发达国家的重要经验。目前我们的信息化在某些关键技术、关键设备上还受制于人。“他山之石”可为我所用,亦须知其锋芒与瑕疵,加强预警防范与借鉴先进技术同样重要。
五、结束语
综上所述,本文主要对信息安全风险评估进行了分析和探究,在今天高速的信息化环境中,信息的安全性越发显示出其重要性,风险评估可以明确信息系统的安全状况和主要安全风险基础,通过风险评估及早发现安全隐患并采取相应的加固方案。所以要加强信息安全风险评估工作。
参考文献:
风险分析与评估例5
1引言
我国的洪涝灾害从出现频率、影响范围到造成的损失都是世界最为严重的国家之一。据统计,在过去的2000多年中,中国发生的有史料可查的重大洪水灾害就达1600余次。新中国成立以来,经过40多年的治理,全国江河流域的防洪形势有了重大改观。但是,由于洪水的影响因素众多和人类对自然界认知的局限性,目前尚无法从确定性的角度预知未来相当长时期内洪水发生的确切时间和真实过程,加之经济条件的限制和出于环境方面的考虑,洪水灾害目前还难以彻底防范或根本消除。近年来,随着人口的持续增长和经济的迅猛发展,我国洪涝损失具有逐年增大的趋势。在新形势下,建立洪水风险的概念,使人们经常认识到洪水发生的可能性和洪灾的后果,将有助于机构和个人更好地防范洪水灾害。
洪水风险是指未来可能引起灾害性后果洪水发生的概率或频率,洪水风险图则是对洪水风险及后果定量化和图形化的体现。一般,洪水风险图应该是三位一体的组合:
(1)流域洪水发生的频率;
(2)流域类洪水的淹水区域分布及有关说明;
(3)洪水灾害可能造成的各类损失。
洪水风险图可以使人们更直观地了解和认识到灾难性洪水发生后可能的水文后果和灾害损失概况,及时做好防御洪水的准备,以防患于未然。防洪决策人员可以对于流域重大的洪涝灾害发生的原因和可能后果做到胸中有数,在灾情即将发生或已经发生时,能够做到临危不乱,迅速制定合理的调度方案和采取正确抢险救灾措施,将洪灾损失减少到最小程度。
2 分析流域洪水淹没状况的方法
2.1 实际洪水法
实际洪水法的基本假定是流域自然地理特征保持基本不变条件下,洪水具有重现性。因此流域历史上已经发生过的大洪水实际淹没实况,可以作为现在和未来同类洪水重现时的淹没状态。分析历史洪水淹没实况主要有以下几种途径:
(1)对于近期发生的洪水,利用流域实测水文资料和灾情资料可以较为可靠地分析洪水特性及相应的淹没范围、淹没深度和淹没时间。
(2)对于缺乏资料或年代较为久远的洪水,可以通过调查考证的途径[1]分析洪水发生时的淹没情况。调查考证的内容包括对沿洪水路径洪痕调查,查阅有关洪涝灾情的历史文献记载,走访洪泛区居民等。
(3)洪水径流是塑造地貌的重要外力,洪流的侵蚀、搬运和堆积作用形成的洪水地貌包括废河道、天然冲积堤、冲积扇(洪积平原)、河漫滩(冲积平原)、沼泽地、三角洲等[2]。通过对洪水地貌分析,可以大致上分析出洪水径流的强度、范围和水深,作为分析淹没实况的依据。
(4)对于河流早已改道远古时生的大洪水,可以通过水文地质地貌分析并结合水力学方法估计古洪水的水位和流量,近似推算古洪水重现时的淹没情况。
实际洪水分析途径主要适合于天然流域,一般不能估计流域城市化、防洪工程和防洪措施的效应。
2.2 水文学和水力学方法
水文学和水力学方法是根据流域现状或规划条件下土地利用特征和工程条件,采用水文学和水力学方法分析推求流域洪水泛滥后的淹没状况。目前国内外流行的水文学和水力学方法和模型众多,采用何种方法和模型应该针对流域水文地理特征、工程调度方式、资料条件以及计算精度来选择应用。
(1)由设计暴雨推求设计洪峰或设计洪水过程线可以采用水文学方法,如推理方法、径流系数折算法、先损后损法、下渗曲线法、降雨径流相关图法、蓄满产流模型、超渗产流模型[5]等。
(2)由设计洪峰推求河道洪水位,可采用水面曲线法、回水曲线法、经验公式等。位于河道洪水位以下的区域可作为可能的洪水淹没区域作进一步分析。
(3)由设计洪水过程线推求水位过程线,常用的水文学方法包括单位线法、等流时线法、抵偿河长法、马斯京根法、调蓄演算法[3]等。
(4)对于河网汇流或坡面漫流计算采用水力学方法比较合适,如一维非恒定流和二维非恒定流方法[4],以及它们的简化形式等。采用水力学方法可以根据分析要求推求河道或流域水深、流量、蓄水量的时空分布。
水文学和水力学方法计算结果频率概念明确,可以分析和模拟土地利用、工程建设、调度方式、边界条件变化情况下的洪水状态,在洪水风险分析中应用较为广泛。 3洪灾损失统计评估
3.1流域社会和经济特征统计
对流域的社会和经济数据应分门别类进行统计或估算。各种资料来源应尽可能,可以采用当年或上年度本地区社会和经济统计年鉴。在有条件情况下,应该直接去当地收集最新和更详细的资料,以满足洪灾损失估算的要求。需统计的基本资料包括:
(1)城镇和村乡人口、土地利用情况、耕地面积;
(2)各工矿企业固定资产和工业产值;
(3)农、林、牧、副、渔业产值及固定资产;
(4)单位和居民固定资产;
(5)服务和社会性行业产值和固定资产;
(6)公路、铁路、通信、供水、供气等各类生命线的分布;
(7)参加洪水保险的企业、居民数和保险金额。
3.2洪灾损失评估
一般,洪灾损失评估内容包括这样几个方面:
(1)灾害影响的范围和强度。范围用面积或区域表示;灾害强度定性为若干级,如特大、重大、大、中、小等;
(2)造成的经济损失。按工业损失、农业损失、商业损失、居民损失、其它行业损失等分类统计,也可以分地区统计;
(3)生命线受害统计。所谓生命线系指交通系统、供电系统、供水系统、供气系统、邮电系统等,一般可按系统中断时间计;
(4)人员伤亡数目;
(5)环境污染及疾病传播情况;
(6)社会影响。
经济损失评估是灾情评估的主要内容,但人员伤亡、水源污染、疾病流行、社会不安定、生命线受损影响等是无法用货币表示的无形损失,在评估过程中须单列考虑。
洪水灾害所造成的经济损失包括直接损失和间接损失。直接损失主要是由于洪水直接淹没所造成的集体及个人财产损失;间接损失指由于洪水期交通、电力中断,厂房、设备受损等造成的产品成本增加及停产、误工损失,以及合同无法按期完成的违约损失等,还包括防洪抢险、灾民撤离、疾病防治、灾后恢复等费用。由于对间接损失的详细分析和精确估计是很困难的,一般是根据典型实例的调查结果或经验估计得出间接损失占直接损失的百分数来作为间接洪灾损失估算的依据。
对于不同灾区,由于地形地貌、经济状况、季节、淹没程度、抢救措施的差别,洪灾损失是不同的。但对于确定地区,洪灾损失的影响因素主要是淹没程度。如果资料充足,能够分区分类建立洪灾损失与淹没水深、淹没历时之间的相关系,则灾情损失评估结果更为方便和可靠。
4 洪水风险图绘制
针对某一风险的洪水,根据分析和计算洪水淹没的范围、深度及相应的经济损失,按一定的规格描绘和标明在流域地形图上,便得出洪水风险图。
洪水风险图采用大比例尺地形素图勾绘而成,比例尺大小可根据流域面积、洪水频率、淹没范围、资料条件以及精度要求而定。在勾绘洪水淹没范围的边界时,要考虑洪水的可能路径,结合地形情况,由比较熟悉当地地形且有经验的技术人员绘制,最好在实地查勘后进行。对可能淹没区域,应设置彩色编码区,其颜色及深浅可以表示淹没深度的变化。风险图上应标注重要部门和单位,如政府机关、大型厂矿企业、学校、医院、金融机构、居民区、村镇,以及重要设施,水利工程,交通枢纽,通讯线路等。另外,图上应明确标明紧急情况下人员转移、疏散的路线及地点。图的下方有专门说明框,简要说明洪水风险图的基本特性,包括暴雨洪水频率、淹没区域、淹没水深、淹没历时、流域社会经济主要特征值、淹没区经济损失评估结果等。另外还需说明风险图上各种标记、代号的含义。
洪水风险图绘制完成后,应出具一份编制说明,内容主要包括:
(1)流域水文、气象和地理特征,排水系统和水利工程概况,历史上典型洪涝灾害特点及后果;
(2)流域社会经济特征统计;
(3)分区域阐述风险图上洪水灾害的特点和性质,灾害后果和经济损失;
(4)洪水风险图的制作依据、方法和存在问题;
(5)洪水风险发生时的应急措施;
(6)洪水风险图的应用范畴;
(7)其它说明事项。
5 结语
流域洪水风险图可以定量和直观地描绘遭受洪水淹没风险的区域和洪灾造成的损失,属流域非工程防洪措施之一。通过洪水风险图提高了全民防洪意识,为各级政府指挥抗洪提供了决策依据,具有现实的社会效益和经济效益。
本文简要论述和分析了适合于流域洪水风险图编制的一些方法,侧重讨论了推求洪水淹没状态的若干途径以及洪灾损失统计评估的内容。虽然其中的一些理论和方法还不够成熟和完善,但出发点是希望有助于流域洪水风险图编制工作的深入开展。今后将在洪水风险分析领域作进一步的研究工作。 参考文献
[1 ]水利部东北勘测设计院.洪水调查.北京:水利电力出版社,1977.
[2] 孙桂华等编译.洪水风险分析制图实用手册.北京:水利电力出版社.1992.
风险分析与评估例6
1引言
我国的洪涝灾害从出现频率、影响范围到造成的损失都是世界最为严重的国家之一。据统计,在过去的2000多年中,中国发生的有史料可查的重大洪水灾害就达1600余次。新中国成立以来,经过40多年的治理,全国江河流域的防洪形势有了重大改观。但是,由于洪水的影响因素众多和人类对自然界认知的局限性,目前尚无法从确定性的角度预知未来相当长时期内洪水发生的确切时间和真实过程,加之经济条件的限制和出于环境方面的考虑,洪水灾害目前还难以彻底防范或根本消除。近年来,随着人口的持续增长和经济的迅猛发展,我国洪涝损失具有逐年增大的趋势。在新形势下,建立洪水风险的概念,使人们经常认识到洪水发生的可能性和洪灾的后果,将有助于机构和个人更好地防范洪水灾害。
洪水风险是指未来可能引起灾害性后果洪水发生的概率或频率,洪水风险图则是对洪水风险及后果定量化和图形化的体现。一般,洪水风险图应该是三位一体的组合:
(1)流域洪水发生的频率;
(2)流域类洪水的淹水区域分布及有关说明;
(3)洪水灾害可能造成的各类损失。
洪水风险图可以使人们更直观地了解和认识到灾难性洪水发生后可能的水文后果和灾害损失概况,及时做好防御洪水的准备,以防患于未然。防洪决策人员可以对于流域重大的洪涝灾害发生的原因和可能后果做到胸中有数,在灾情即将发生或已经发生时,能够做到临危不乱,迅速制定合理的调度方案和采取正确抢险救灾措施,将洪灾损失减少到最小程度。
2 分析流域洪水淹没状况的方法
2.1 实际洪水法
实际洪水法的基本假定是流域自然地理特征保持基本不变条件下,洪水具有重现性。因此流域历史上已经发生过的大洪水实际淹没实况,可以作为现在和未来同类洪水重现时的淹没状态。分析历史洪水淹没实况主要有以下几种途径:
(1)对于近期发生的洪水,利用流域实测水文资料和灾情资料可以较为可靠地分析洪水特性及相应的淹没范围、淹没深度和淹没时间。
(2)对于缺乏资料或年代较为久远的洪水,可以通过调查考证的途径[1]分析洪水发生时的淹没情况。调查考证的内容包括对沿洪水路径洪痕调查,查阅有关洪涝灾情的历史文献记载,走访洪泛区居民等。
(3)洪水径流是塑造地貌的重要外力,洪流的侵蚀、搬运和堆积作用形成的洪水地貌包括废河道、天然冲积堤、冲积扇(洪积平原)、河漫滩(冲积平原)、沼泽地、三角洲等[2]。通过对洪水地貌分析,可以大致上分析出洪水径流的强度、范围和水深,作为分析淹没实况的依据。
(4)对于河流早已改道远古时生的大洪水,可以通过水文地质地貌分析并结合水力学方法估计古洪水的水位和流量,近似推算古洪水重现时的淹没情况。
实际洪水分析途径主要适合于天然流域,一般不能估计流域城市化、防洪工程和防洪措施的效应。?
2.2 水文学和水力学方法
水文学和水力学方法是根据流域现状或规划条件下土地利用特征和工程条件,采用水文学和水力学方法分析推求流域洪水泛滥后的淹没状况。目前国内外流行的水文学和水力学方法和模型众多,采用何种方法和模型应该针对流域水文地理特征、工程调度方式、资料条件以及计算精度来选择应用。
(1)由设计暴雨推求设计洪峰或设计洪水过程线可以采用水文学方法,如推理方法、径流系数折算法、先损后损法、下渗曲线法、降雨径流相关图法、蓄满产流模型、超渗产流模型[5]等。
(2)由设计洪峰推求河道洪水位,可采用水面曲线法、回水曲线法、经验公式等。位于河道洪水位以下的区域可作为可能的洪水淹没区域作进一步分析。
(3)由设计洪水过程线推求水位过程线,常用的水文学方法包括单位线法、等流时线法、抵偿河长法、马斯京根法、调蓄演算法[3]等。
(4)对于河网汇流或坡面漫流计算采用水力学方法比较合适,如一维非恒定流和二维非恒定流方法[4],以及它们的简化形式等。采用水力学方法可以根据分析要求推求河道或流域水深、流量、蓄水量的时空分布。
水文学和水力学方法计算结果频率概念明确,可以分析和模拟土地利用、工程建设、调度方式、边界条件变化情况下的洪水状态,在洪水风险分析中应用较为广泛。
3洪灾损失统计评估
3.1流域社会和经济特征统计
对流域的社会和经济数据应分门别类进行统计或估算。各种资料来源应尽可能,可以采用当年或上年度本地区社会和经济统计年鉴。在有条件情况下,应该直接去当地收集最新和更详细的资料,以满足洪灾损失估算的要求。需统计的基本资料包括:
(1)城镇和村乡人口、土地利用情况、耕地面积;
(2)各工矿企业固定资产和工业产值;
(3)农、林、牧、副、渔业产值及固定资产;
(4)单位和居民固定资产;
(5)服务和社会性行业产值和固定资产;
(6)公路、铁路、通信、供水、供气等各类生命线的分布;
(7)参加洪水保险的企业、居民数和保险金额。
3.2洪灾损失评估
一般,洪灾损失评估内容包括这样几个方面:
(1)灾害影响的范围和强度。范围用面积或区域表示;灾害强度定性为若干级,如特大、重大、大、中、小等;?
(2)造成的经济损失。按工业损失、农业损失、商业损失、居民损失、其它行业损失等分类统计,也可以分地区统计;?
(3)生命线受害统计。所谓生命线系指交通系统、供电系统、供水系统、供气系统、邮电系统等,一般可按系统中断时间计;?
(4)人员伤亡数目;
(5)环境污染及疾病传播情况;?
(6)社会影响。?
经济损失评估是灾情评估的主要内容,但人员伤亡、水源污染、疾病流行、社会不安定、生命线受损影响等是无法用货币表示的无形损失,在评估过程中须单列考虑。?
洪水灾害所造成的经济损失包括直接损失和间接损失。直接损失主要是由于洪水直接淹没所造成的集体及个人财产损失;间接损失指由于洪水期交通、电力中断,厂房、设备受损等造成的产品成本增加及停产、误工损失,以及合同无法按期完成的违约损失等,还包括防洪抢险、灾民撤离、疾病防治、灾后恢复等费用。由于对间接损失的详细分析和精确估计是很困难的,一般是根据典型实例的调查结果或经验估计得出间接损失占直接损失的百分数来作为间接洪灾损失估算的依据。?
对于不同灾区,由于地形地貌、经济状况、季节、淹没程度、抢救措施的差别,洪灾损失是不同的。但对于确定地区,洪灾损失的影响因素主要是淹没程度。如果资料充足,能够分区分类建立洪灾损失与淹没水深、淹没历时之间的相关系,则灾情损失评估结果更为方便和可靠。
4 洪水风险图绘制
针对某一风险的洪水,根据分析和计算洪水淹没的范围、深度及相应的经济损失,按一定的规格描绘和标明在流域地形图上,便得出洪水风险图。
洪水风险图采用大比例尺地形素图勾绘而成,比例尺大小可根据流域面积、洪水频率、淹没范围、资料条件以及精度要求而定。在勾绘洪水淹没范围的边界时,要考虑洪水的可能路径,结合地形情况,由比较熟悉当地地形且有经验的技术人员绘制,最好在实地查勘后进行。对可能淹没区域,应设置彩色编码区,其颜色及深浅可以表示淹没深度的变化。风险图上应标注重要部门和单位,如政府机关、大型厂矿企业、学校、医院、金融机构、居民区、村镇,以及重要设施,水利工程,交通枢纽,通讯线路等。另外,图上应明确标明紧急情况下人员转移、疏散的路线及地点。图的下方有专门说明框,简要说明洪水风险图的基本特性,包括暴雨洪水频率、淹没区域、淹没水深、淹没历时、流域社会经济主要特征值、淹没区经济损失评估结果等。另外还需说明风险图上各种标记、代号的含义。
洪水风险图绘制完成后,应出具一份编制说明,内容主要包括:
(1)流域水文、气象和地理特征,排水系统和水利工程概况,历史上典型洪涝灾害特点及后果;
(2)流域社会经济特征统计;
(3)分区域阐述风险图上洪水灾害的特点和性质,灾害后果和经济损失;
(4)洪水风险图的制作依据、方法和存在问题;
(5)洪水风险发生时的应急措施;
(6)洪水风险图的应用范畴;
(7)其它说明事项。?
5 结语
流域洪水风险图可以定量和直观地描绘遭受洪水淹没风险的区域和洪灾造成的损失,属流域非工程防洪措施之一。通过洪水风险图提高了全民防洪意识,为各级政府指挥抗洪提供了决策依据,具有现实的社会效益和经济效益。
本文简要论述和分析了适合于流域洪水风险图编制的一些方法,侧重讨论了推求洪水淹没状态的若干途径以及洪灾损失统计评估的内容。虽然其中的一些理论和方法还不够成熟和完善,但出发点是希望有助于流域洪水风险图编制工作的深入开展。今后将在洪水风险分析领域作进一步的研究工作。
参考文献:
[1 ]水利部东北勘测设计院.洪水调查.北京:水利电力出版社,1977.
[2] 孙桂华等编译.洪水风险分析制图实用手册.北京:水利电力出版社.1992.
风险分析与评估例7
早在20世纪90年代,国际上一些跨国性金融公司就已经认识到,相继发生的重大操作风险案和洗钱案等风险丑闻,大多是由公司自身合规风险管理失控所致。自2008年7月14日中国证监会在《证券公司合规管理试行规定》中首次对境内证券公司正式提出了合规的要求,我国证券业合规风险系统建设脚步大大加快。然而“合规”并不是一个新生事物,任何企业包括一些政府部门在构架之初都要为所有职员制定一套规章制度、行为准则,使机构的所有的活动都要符合外部法律法规,以及甚至行业、道德方面的要求,随着现在证券公司业务的日益多元化、复杂化和国际化,加强证券公司合规风险管理机制建设更是日益重要。
一、我国证券公司合规风险管理现状分析
合规管理是所有金融机构健康发展的基本制度保障。合规经营是证券公司可持续发展必由之路。合规管理制度建设直接影响证券公司的安危、兴衰和成败,是公司核心竞争力的重要组成部分,是行业生存和发展的基本保障。
2007年4月,中国证监会启动了证券公司设立合规总监、建立合规管理制度的试点工作,并取得了较好效果。在此基础上,今年年初召开的全国证券期货监管工作会议明确提出,在2008年年底前,所有证券公司均应建立并实施合规管理制度;2008年4月23日公布、自6月1日起实施的《证券公司监督管理条例》更是从立法的角度,明确要求证券公司应设合规负责人对公司经营管理行为的合法合规性进行审查、监督或者检查。从做大做强证券公司,打造一流券商的目标看,加强券商合规管理,构建合规风险管理机制,特别是组建公司内部合规部门,将有助于确保在整个证券公司体系内有效落实依法合规经营的原则,填补以往合规风险控制的盲区。2009年后,证券公司开始着力于建设规范的合规风险管理制度。
二、我国证券公司合规风险评估工作中的问题分析
由于我国的证券经营机构不过刚刚十几年的经营历史,经验不足,对究竟如何开展好自身的合规建设在认识和实践中都存在一定的差距,综合分析我国证券公司在合规风险评估机制建设过程中要主要以下几个问题。
(1)合规风险评估人才匮乏
随着中国国加入WTO过渡期的结束,国内金融机构的经营活动日益综合化和国际化,业务和产品越来越复杂,合规失效的问题不断暴露,金融机构经营活动的合规性面临严峻挑战。国内证券行业合规管理建设刚刚起步,行业缺少必要的合规管理人员储备。证券公司合规试点期间,试点公司合规管理人员多由法律、稽核或风险控制部门抽调形成,这些人员虽然具备法律专业背景或多年从业经验,但与有效执行合规管理的工作要求仍存在较大差距。随着证券公司的创新发展,合规管理专业人员的知识结构应具备一定的复合性,除法律专业人员外,还需要配备熟悉业务、掌握信息技术的专业人员,合规管理人员需要在工作理念、专业素养和责任意识等多个方面进行提升。另一方面,高端合规管理人员的短缺更为明显,合规总监的工作经验、沟通技巧、人际关系、性格品质等都对履行合规管理职责有着重要影响,既能满足公司实际需要,又能完全符合监管规定的合规总监人选极少。
(2)合规风险评估技术手段不足
在金融市场开放步伐和金融工具创新步伐不断加快的背景下,合规风险表现形式越来越隐蔽。由于宏观经济变化引发的系统性风险、周期性风险逐步加大,表外业务和金融衍生产品导致的合规风险时有发生,这些新的风险对风险管理技术提出了更高的要求。但目前证券公司风险管理技术和工具还比较落后,国外很多先进的风险管理工具如风险评级、风险预控、资产组合分析和各类风险缓释技术至今尚未在我国的风险管理工作中得到广泛应用。特别是风险分析和风险评级的技术过于简单,对合规风险的识别和分析评价模型更加缺乏,几乎没有相关的模型方法可以应用,缺少有效的合规风险适时监测和控制手段,不能对有限的信息资源进行技术处理,难以对合规风险管理形成有效的支撑。通常是事后被动处理多,事前主动防范少;定性分析多,深度数理分析少;静态分析多,动态分析少;立足局部分析多,站在全局角度分析少。如何把先进的风险管理技术工具应用于合规风险管理体系的实施之中,合理有效地规避合规风险,实现合规风险防范和业务发展的平衡,这对合规风险管理体系实施来说既是一个全新要求,也是一个严峻考验。
(3)公司整体合规风险管理文化氛围不浓
我国证券公司实施合规风险管理将是一个长时间的过程。它涉及到一个金融机构考核基础、管理文化的改变。合规风险管理实施联系着公司企业文化、管理文化的重塑,涉及各个部门、各项业务、各种产品的全方位风险管理理念。然而目前我国证券公司没能形成一套具有强执行力的制度,最终以至于至今没有形成严格、有效执行内部管理制度的公司传统习惯或公司文化,使合规文化缺失。合规文化培育是合规风险管理体系能够顺利实施的内部环境基础,它必须通过改革旧有的制度范式,变革落后管理理念方法才能实现,而这个触及公司根本的改变涉及到公司的各个角落,各个业务,各责任人,这势必损害部分人原有的利益关系。同时也意味着合规文化的培育面临巨大障碍。方式的整体,包括观念形态与行为方式。因此,证券公司的合规文化为遵守法律、法规、监管规则或标准、道理以及业务流程的观念形态和行为方式。培育合规文化,就是倡导所有员工从合规做起、合规人人有责、合规创造价值的价值观。
三、我国证券公司加强合规风险评估工作的对策分析
针对在我国证券公司合规风险评估实践中存在的这些突出问题,在今后的合规管理建设应该采取以下对策来加以解决。
(1)着力打造高水平合规风险评估队伍
按照中国证监会的要求,各证券公司应当在2008年底建立合规管理体系,合规管理成为证券公司的热门话题。各公司纷纷制定合规管理实施方案,梳理公司管理架构,制定合规管理制度,招聘合规总监,组建合规管理部门,合规管理人员也成为各证券公司竞相争夺的稀缺人才。中国证券业协会在2008年5月份组织了第一次合规管理人员胜任能力测试,证券业协会与各大证券公司都努力营造各种吸引人、留住人的优惠政策、举措,吸引很多证券行业优秀人才积极学习合规管理知识,加入到中国证券行业合规管理队伍中。然而鉴于目前中国证券行业前台业务部门薪酬普遍高于后台管理部门的现状,因此各大证券公司在制定合规管理人员的薪酬待遇时不能仅仅只是与后台部门的平均水平比较,而应当是不低于公司整体平均水平,待遇是留住人才和吸引人才最直接和最有效的方法。
合规工作涉及证券公司不同层次、不同业务的经营管理,需要熟悉法规和立法意图、了解经营业务及客户的复合型人才。考虑到我国证券业目前已存在一支成形的法律工作队伍和一支风险管理工作队伍,加强对现有两支队伍的整合,无疑是建成一支高素质合规队伍的捷径。同时合规管理系统建设还应具备以懂合规管理又懂管理信息系统开发建设的人才。证券公司可考虑从现有信息技术人才中适当选拔、培养高端合规管理专业人士。证券公司应该从“高层呼吁”逐步变化成“行业自发”,将合规风险管理作为一门特殊的风险管理艺术提出,把合规评估人才树立为行业的顶尖人才之一,促进行业合规氛围的快速形成。
(2)加快合规风险评估数据库支持系统应用
合规风险评估软件系统的使用在发达国家己经比较普及。尤其是在美国,为扭转因安然、世通等公司的丑闻而给投资者信心造成严重打击的局面,美国国会出台了萨班斯法案。企业为满足该法案对公司财务报告和内部控制的严格要求,往往必须制定复杂的控制流程,并保留充分的证据以证明每个控制的有效性。因此,大量基于COBIT和ITIL的合规风险管理软件应运而生,成为在美上市公司日常经营管理中所依赖的重要工具,给合规风险管理体系的实施带来了便利和高效。运用先进手段和工具,实现合规管理工作的电子化随着IT技术的发展,合规管理的知识含量也在增大,内部互联网、信息库的采用等更加广泛,我国证券公司应为合规部门的合规风险监测创造必要的条件,尽早将IT技术应用于合规管理,设计合规风险的监测指标,并采取多种手段和技术从事合规管理。采取先进的技术可以使合规管理更有效地发现问题,随时向有关方面提供对问题的处理决定。同时,将公司内部每一个工作岗位的合规操作标准量化,当业务系统处理数据的同时,合规管理系统已经实时判断该项操作是否符合合规标准,并纳入合规报告。当系统支持发展到一定高度时,分支机构的合规管理资源可以得到节省,逐渐实现合规管理工作的电子化,并根据法律环境和业务需求的变化及时维护系统。
(3)加强公司合规风险文化建设
合规风险管理体系的实施落实到实处必须要人去执行,在执行过程中合规管理人员的合规理念就显得尤为重要。员工具备深入的合规理念,以合规去执行制度需要长时间的文化熏陶和培训。所以构建合规文化既是合规风险管理体系构建中的一个重要部分,也是合规风险管理体系实施过程中必须长期贯穿执行的。只有合规文化融入到公司文化中成为其中一部分,才能使合规成为公司员工的自觉行为,保障合规风险管理体系实施。培养合规文化合规文化的培养是合规管理能够切实发挥功效的基础。应该在制度上保持激励约束机制与企业倡导的合规文化和价值观的一致性,严格落实问责制。证券公司应在兼顾短期与长远考核、结果与执行过程、业务拓展与风险管理、绩效与安全上求得平衡,摆脱合规是外部束缚、合规牺牲商业机会、合规影响效率等不良文化的桎梏,强化法律法规、监管规定和内部管理制度及程序的执行力。
总而言之,证券公司合规风险评估工作是否能够有效运转,需要以健全的公司治理为支撑。因而在合规风险评估中,要坚持公司治理与合规制度建设并重。在证券公司制度建设上最终实现“公司治理”、“风险管理”和“合规”统一起来,实现“三位一体”的目标,那么这种结合能够帮助董事会和经营管理层应对日益复杂的挑战,可以更为有效地改善企业的经营表现,显著增加企业的价值,并能培育证券公司核心竞争优势,真正创造价值。
参考文献:
[1]卢文莹.金融风险管理[M].上海:复旦大学出版社,2006.
[2]刘阳在.在新COSO框架下完善内部控制[J].技术与市场.2007(02):71-73
[3]刘捷.对上市公司内部控制指引的解读与思考[J].财会月刊.2007(06):78-79
风险分析与评估例8
一、P2P信贷概述
所谓P2P(Peer to Peer)信贷,银监会官方翻译为“人人贷”,即有资金并且有理财投资需求的个人,通过中介机构牵线搭桥,使用信用贷款的方式将资金贷给其他有借款需求的个人,并获取利息的一种信贷方式。其中,中介机构负责对借款方资信状况的考察,并从中收取账户管理费和服务费等费用。
2005年3月,人人贷鼻祖Zopa成立,以“摈弃银行,每个人都有更好的交易”的旗号,为网站会员提供相互借贷的平台,借贷利率完全由会员自主商定,Zopa负责对借款人进行风险评估,这是最原始的P2P借贷平台。
此前在国外,P2P网贷已十分流行,它被看做是一种可以有效解决某些小额贷款人需求的金融补充模式。而在中国,一方面巨额的民间游资迫切寻找“出口”,另一方面众多小微企业和个人急需资金、却因种种原因无法通过银行或贷款公司取得贷款。在这样的背景下,P2P网络信贷模式应运而生。2013年,几乎可以视为中国互联网金融元年的一年。经过三年的爆炸式发展,现如今中国P2P网贷已经成为中小企业融资者的便利融资渠道和普通大众投资者的重要投资渠道。
二、对P2P信用风险的评估
(一)信用风险概念基本阐述
信用风险(Credit Risk)又称违约风险,是指交易对手未能履行约定契约中的义务而造成经济损失的风险,即受信人不能履行还本付息的责任而使授信人的预期收益与实际收益发生偏离的可能性,它是金融风险的主要类型。(来自维基百科:Credit Risk)在这里,为了进一步细化损失原因,从借贷双方角度出发,可以大致分为两点:一个是借款主体由于各种因素不能按期还贷造成违约而产生的损失;另一个是借款人信用水平和偿债能力的变化(如运营状况的变化)对放贷资本能否如期正常回收的影响。前者侧重于违约带来的风险,而后者强调放贷资本的回收成功率以及回收贷款的质量变化等。
(二)P2P借贷技术下的评定指标
关于P2P信用风险的具体影响因素,在这里我们将通过两方面进行探究:
由于技术与知识水平限制,下述模型将单另从个人融资者信用风险的角度进行建模,以国内最大的P2P借贷平台为数据来源。(选取的具体变量下文详述)
三、模型综述
本项目中,我们采用了LocoySpider数据采集软件,利用网络P2P借贷平台的贷款页面的URL规律进行数据采集。由于在P2P贷款中,每笔贷款交易的排列顺序是依据借款时间的,而网址URL的结束部分正好也是每笔贷款的编号,因此我们可以采用这种方法帮助我们的数据选取。我们将贷款编号列在excel软件的第一列,利用函数读取网页对应的编号,然后将网页转化成文本的格式,LocoySpider软件通过捕捉每个页面特定位置(由于数据都是在每个页面的固定位置的),将对应位置的变量数据采集至excel表格下面的其他列。
我们的数据来源是拍拍贷网站()。借助LocoySpider软件,我们总共采集了534组有效数据,其中有49组的用户存在信用风险,即有9.1%的违约率。我们的变量主要集中于以下4个方面,即信用、历史借贷记录(即借贷表现)、借贷信息以及借贷者个人情况,其中个人情况又细分为性别、年龄两项。
由统计数据可知,在样本中具有违约纪录(即存在信用风险)的用户,以男性为主,且26~45岁用户为使用P2P借贷平台的主要群体。
本文选择排序选择模型(ordered choice model)作为实证分析的方法,它通过可观测有序反应数据来反映潜在变量的规律,而这些规律恰恰一般是不可研究的。我们设解释变量为x,设目标变量为y,二者之间关系为线性。
模型假设:
由于该模型为概率模型,有多个等级,我们不妨设总共有M个等级,根据模型内容,我们采用极大似然估计法,其中c1,c2,c3…是M临界值,一同参加估计。其中观测到yi不同等级的概率表达式上述我们总共划定了6个变量,下面的表格对这些变量有具体说明以及赋值方法。
主要变量具体说明、取值方法
依托以上变量建立的待估计方程表达式如下:
通过SPSS运行模型,进行回归分析,具体结果如下:
拍拍贷P2P网络借贷风险变量回归分析
由上述回归分析可得:
信用认证等级p1:本次回归分析中,我们发现信用认证等级竟与风险呈现正相关的关系。按照常理,信用风险与信用等级应该是负相关的。这就不免促使我们去审视P2P平台对于信用的评定方式了,可能因为平台能力的限制而对评级并不能够给出准确有效的评定,因此平台上的信用评级并不能为用户借贷提供准确的信息,并未有效起到规避信息不对称风险的作用。
历史借贷记录p2:违约次数理论上应该是与风险成正相关的,而我们发现其系数并不高,可能也有其他用户看到该用户历史借贷记录而主动规避风险的因素。
还款利率p3:利率与风险是成正相关的,这也与我们惯常的认知“收益高,风险高”有关,其系数较大,说明其对信用风险的影响是较强的。
性别p4:我们可以发现,男性信用风险普遍是高于女性的,呈现出一定的性别差异,说明风险与用户人群的特定特征也是有关系的。
年龄p5:我们可以发现,年龄越高,信用风险越低,即成负相关关系。对此的一种解释为,年轻用户群体由于工作、资金来源等都不稳定,其借贷稳定性也较低。相应地,年龄较大的借贷者是有着一定稳定经济基础的,故借贷稳定性高。
由以上分析我们不难看出:首先,借贷风险是与用户的特定特征有着关系的,这对于借贷者的个人决策可能会有作用;其次,在历史借贷记录、还款利率两项中,其都与我们的惯常认知相符,用户在借贷时查看对方的历史记录对于决策也是有作用的;第三,也是最重要的一点,即我们发现信用认证评级对于规避风险的作用并不显著,甚至是反向的,这与我们的惯常认知是相悖的,这就提醒借贷者在决策时并不能依赖平台的审核与风险认证。在平台对风险预估不准确、保障缺位的情况下,这就要求有维权的部分机构在场,或是有政府建立的监管体系对借贷者权益进行保障。
四、政策建议
(一)从政府的角度
1.明确法律地位,完善法律法规。我国早在2008年,由央行起草的《放贷人条例》草案就已提交国务院法制办,旨在使民间借贷通过国家立法的形式获得规范。在此,建议尽早出台《放贷人条例》,明确P2P网络借贷的民间借贷性质,规范P2P网络借贷的发展。此外,还建议国家尽快出台《互联网个人信息保护法》,以规范互联网金融企业对个人信息的使用。
2.明确监管主体,加快监管制度建设。我国政府对第三方支付已经制定较为明确的监管机制,由中国人民银行负责监管。政府可以考虑以分业监管为出发点,充分发挥银监会、证监会和中国人民银行等监管机构的作用,各监管机构进行职责分工,分别监管互联网金融的某种业务模式和产品,其中P2P网络借贷交由银监会监管。另外,关于P2P网络借贷的监管制度,我国正在加紧制定。虽然政策还未出台,但监管思路基本明确。因此,期待监管制度能尽早颁布,同时希望将出台的监管政策能平衡好P2P网络借贷的创新和规范,从而促进其健康发展。
(二)从P2P网络借贷平台的角度
P2P网络借贷平台所扮演的角色应该是独立于贷款者与借款者交易关系的第三方,它不该像传统金融机构一样成为金融中介,而应该是单纯的信息中介。因此,P2P网络借贷平台应明确自身金融职责,加强自身道德建设,避免发生卷款跑路的情况。另外,P2P网络借贷平台应强化自身的操作流程,比如强化风险评价体系的设计、扩大相关信息的披露范围、积极落实资金托管政策等。P2P网络借贷行业协会、联盟等组织应切实发挥自律作用,要求平台在不涉及商业机密的条件下,对涉及用户资金安全的数据进行披露,并对投资风险作出相关的说明,以供贷款者作出理性的投资决策。针对P2P网贷平台自身可能出现的信用风险应建立惩罚机制,比如行业内通报、罚款、封杀等,加强行业内监督,完善黑名单公示机制。
(三)从借款者和贷款者角度
在借贷过程中,借款者与贷款者直接建立借贷关系,如何长期获得贷款者的信任,是借款者能够获得持续借款的前提。因此,这些借款者应努力建立市场信誉,降低信用风险。对小微企业来讲,可以从完善企业内部制度、提供符合企业真实情况的财务数据等方面入手。对个人来讲,可从提供真实的个人相关资料入手。对贷款者来说,P2P网络借贷平台上可选择的产品更多,投资回报率高,但多数贷款者可能在选择投资产品时盲目跟风,缺乏自己的主观判断。因此贷款者应增强网络投资的谨慎性,多学习投资的相关知识,提高自身的理财规划能力与投资判断力,作出理性的投资决策,从自我意识的角度降低来自互联网金融平台的信用风险。
参考文献
[1]Chaodong Han.A Comparative Study of online P2P Lending in the USA and China [J].Journal of Internet Banking and Commerce,August 2012,vol.17,no.2,1-3.
[2]肖曼君,欧缘媛,李颖.我国P2P网络借贷信用风险影响因素研究[J].2015年1月,财经理论与实践,第36卷,第193期,3-5.
风险分析与评估例9
1.1研究背景
2003年中共中央国务院做出《关于加快林业发展的决定》,要求加快推进森林、林木和林地使用权的合理流转,以调动经营者投资开发的积极性。2008年中共中央国务院出台《关于全面推进集体林权制度改革的意见》,在完善集体林权制度改革的政策措施中提出规范林地、林木流转,强调在依法、自愿、有偿的前提下,林地承包经营权人可采取多种方式流转林地经营权和林木所有权。在国家对森林资源流转的促进中,在部门办林业到全社会参与办林业的转变中,越来越多的社会力量参与到林业建设中,导致越来越多的森林资源流转及森林资源资产评估业务的发生。
1.2研究意义
森林资源资产评估是一种社会中介行为,评估机构和人员必须对评估结果负法律和经济责任,因此,森林资源资产评估的质量是森林资源资产评估机构的生命线,要严肃评估工作纪律,提高评估工作质量,维护评估工作形象。
森林资源资产评估成果不仅对森林资源资产评估业务有关当事人的利益具有直接影响,在一定的情形下对其他第三者的利益也会产生重大影响。资产评估机构和评估人员对评估报告的结论负有严格的责任。由于森林资源资产评估的结论是评估人员做出的估测,无论评估机构和从业人员如何重视评估质量,其得出的评估结果也只能是尽可能接近客观事实,两者之间总会有误差。评估机构和人员在开展评估业务过程中要对有误差的结论承担责任,风险不可避免,有时甚至可能碰上诉讼。因此研究提高森林资源资产评估质量,加强风险防范,力求降低业务风险,避免评估纠纷和诉讼等具有重要现实意义。
2影响森林资源资产评估质量的因素
影响森林资源资产评估质量因素是多方面的,既有客观因素,又有主观因素;既有体制与法制不健全等原因,又有操作不规范,行政因素干扰等原因。这些因素相互影响,共同对评估质量发生作用。
2.1评估人员影响
评估人员的专业素质高低,直接影响评估工作的质量。人员素质主要体现在业务素质、职业道德和法制观念上。多数评估人员不是懂评估但不了解林业和森林资源资产特性,就是只懂林业但不了解评估理论。一些从业人员对森林资源资产评估的责任性认识不足,职业道德观念不强,法制观念淡薄,没有按规定的程序和方法进行科学、公正、客观的评估,严重影响了评估的质量。
2.2森林资源资产评估法规和相应管理办法不健全
近年来,我国出台了一些森林资源资产评估和管理的一些规范规定,但这此些法规和管理办法尚不健全,有些条款不符合生产实际而难以操作执行,大部分条款是粗线条的原则规定,对具体的评估操作缺乏指导。
2.3森林资源调查难度大,资料残缺
森林资源由于其生长的动态性、结构的复杂性和管理的艰巨性,使森林资源调查困难,要达到较高的总体调查精度在实际操作中是不可能的。且林业经营单位历史资料经常残缺不齐,评估中常用的生长收获预测模型、出材率模型和林业投资收益率(折现率)等均未有明确规定,常用的评估参数体系没有建立。这些都将严重影响评估质量。
2.4行政对评估过程的不正常干预
林业系统内部的评估机构未脱钩改制,受林业行政领导制约。脱钩改制的评估机构因种种原因受制于地方行政领导。当干预难以抵制时,造成森林资源资产评估结果的偏高或偏低,难以体现真实的资产价值。
2.5森林资源资产评估机构间恶意竞争、机构内部管理松散
部分评估机构在利益驱动下,无视有关规定,采用迎合客户需要下调评估费用,或有意低估或高估森林资源资产的价值等手段进行恶性竞争。森林资源资产评估机构多为新成立的机构,尚未建立严格的评估质量监督、控制制度,人员少,操作随意,对报告书缺乏严格的审查。
3提高森林资源资产评估质量的对策
3.1完善森林资源资产的评估法规,加强管理
已颁布的森林资源资产评估法规较少,不能满足当前业务开展的需要。应加快制定有关森林资源资产评估办法、实施细则及森林资源资产评估管理的实施办法。要放开森林资源资产的评估市场,提倡合理竞争,强化对评估机构的管理、监督,促使评估机构严格按照法定的程序进行操作。
3.2保证评估机构的独立执业
要使森林资源资产评估机构脱离当地林业主管部门,推向社会,在经济上、人事上完全独立,消除行政干预,实行谁评估,谁负责。
3.3加强森林资源资产评估方法的研究
现有的《森林资源资产评估技术规范》仍很粗糙,许多问题尚未解决,要进一步加强森林资源资产评估的技术方法研究。有关单位和部门应加紧编制一系列可靠、系统的森林经营数表,以建立森林资源资产评估参数体系。
3.4加强森林资源资产评估队伍建设
对评估人员分期分批进行培训,不仅要进行森林资源资产评估理论培训,而且要进行职业道德和法制教育,并经过严格的理论考试和实践考核,培养一批能较好地掌握森林资源资产评估的有关专业知识,有较强动手操作能力,建设具备良好职业道德的评估执业人员队伍。
3.5建立和完善质量控制体系
加强机构内部管理,建立和完善信息收集处理、评估程序及人员安排、内部审核、工作底稿的编制和档案的归档管理等各项制度,以质量责任制为核心,明确机构内部各级人员的任务、职责,建立全方位的质量保证体系。
4森林资源资产评估的风险防范
4.1遵守职业道德、遵循有关法规
评估人员要严格执行《资产评估操作规范》和《森林资源资产评估技术规范》,遵守必要的职业道德,围绕规范要求来搜集资料,选择评估方法,形成评估结论,出具评估报告书。
4.2加强管理,完善制度
评估机构应当参照规范的有关要求,着重建立起以职业道德原则、专业胜任能力、工作委派、指导和监督、业务承接等为中心的规章制度,并把它落到实处,切实要求每个从业人员认真执行,对评估质量进行严格控制,避免评估结果出现重大差错。
4.3慎重选择委托方,认真签订业务约定书
在与委托方签订业务约定书之前,一定要对委托单位进行充分了解,看其品格是否正派,财务状况是否良好,要尽可能回避提供虚假资料,骗取评估结果的客户。业务约定书是具有法律效力的文书,是确定委托方与评估机构法律责任的重要依据,评估机构要与委托方认真协商、确定,以最大限度地摆脱诉讼。
4.4资产评估报告书应充分披露,并增设约束性条款
资产评估报告书要清晰易懂,避免容易产生误解的语句。对一些无法确定的事项提出声明并予以保留,以确保自身权益不受侵害。要增设使评估报告书有效的前提和条件等约束性条款。
4.5购买职业责任保险,聘请熟悉评估责任的律师
评估机构和人员应利用执业风险金购买责任保险,化解评估机构和人员在发生执业事故时的损失,避免机构和个人面临的破产威胁。评估机构应聘请熟悉评估责任的律师作为顾问,在签订业务约定书时可与之磋商,消除隐患,减少不必要的经济损失。在发生法律诉讼时发挥应有的作用。
风险分析与评估例10
一、前言
电力系统越来越依赖电力信息网络来保障其安全、可靠、高效的运行,该数据信息网络出现的任何信息安全方面的问题都可能波及电力系统的安全、稳定、经济运行,因此电力信息网络的安全保障工作刻不容缓[1,2]。风险评估具体的评估方法从早期简单的纯技术操作,逐渐过渡到目前普遍采用BS7799、OCTAVE、ISO13335、NIST SP800-30等相关标准的方法,充分体现以资产为出发点,以威胁为触发,以技术、管理、运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型[3]。
二、信息安全风险评估
在我国,风险评估工作已经完成了调查研究阶段、标准草案编制阶段和全国试点工作阶段,国信办制定的标准草案《信息安全风险评估指南》[4](简称《指南》)得到了较好地实践。本文设计的工具是基于《指南》的,涉及内容包括:
(一)风险要素关系。围绕着资产、威胁、脆弱性和安全措施这些基本要素展开,在对基本要素的评估过程中,需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与基本要素相关的各类属性。
(二)风险分析原理。资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。
(三)风险评估流程。包括风险评估准备、资产识别、威胁识别、脆弱性识别、已有安全措施确认、风险分析、风险消减[5]。
三、电力信息网风险评估辅助系统设计与实现
本文设计的信息安全风险评估辅助系统是基于《指南》的标准,设计阶段参考了Nipc-RiskAssessTool-V2.0,Microsoft Security Risk Self-Assessment Tool等风险评估工具。系统采用C/S结构,是一个多专家共同评估的风险评估工具。分为知识库管理端、信息库管理端、系统评估端、评估管理端。其中前两个工具用于更新知识库和信息库。后两个工具是风险评估的主体。下面对系统各部分的功能模块进行详细介绍:
(一)评估管理端。评估管理端控制风险评估的进度,综合管理系统评估端的评估结果。具体表现在:开启评估任务;分配风险评估专家;对准备阶段、资产识别阶段、威胁识别阶段、脆弱性识别阶段、已有控制措施识别阶段、风险分析阶段、选择控制措施阶段这七个阶段多个专家的评估进行确认,对多个专家的评估数据进行综合,得到综合评估结果。
(二)系统评估端。系统评估端由多个专家操作,同时开展评估。系统评估端要经历如下阶段:a.准备阶段:评估系统中CIA的相对重要性;b.资产识别阶段;c.威胁识别阶段;d.脆弱性识别阶段;e.已有控制措施识别阶段;f.风险分析阶段;g.控制措施选择阶段。在完成了风险评估的所有阶段之后,和评估管理端一样,可以浏览、导出、打印评估的结果—风险评估报表系列。
(三)信息库管理端。信息库管理端由资产管理,威胁管理,脆弱点管理,控制措施管理四部分组成。具体功能是:对资产大类、小类进行管理;对威胁列表进行管理;对脆弱点大类、列表进行管理;对控制措施列表进行管理。
(四)知识库管理端。知识库的管理分为系统CIA问卷管理,脆弱点问卷管理,威胁问卷管理,资产属性问卷管理,控制措施问卷管理,控制措施损益问卷管理六部分。
四、总结
信息安全风险评估是一个新兴的领域,本文在介绍了信息安全风险评估研究意义的基础之上,详细阐述了信息安全风险评估辅助工具的结构设计和系统主要部分的功能描述。测试结果表明系统能对已有的控制措施进行识别,分析出已有控制措施的实施效果,为风险处理计划提供依据。
参考文献:
[1]Huisheng Gao,Yiqun Sun,Research on Indices System of Security Risk Evaluation for Electric Power.Optical Fiber Communication Network,IEEE,2007.
[2]Masami Hasegawa,Toshiki Ogawa,Security Measures for the Manufacture and Control System,SICE Annual Conference 2007.
