前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的變更管理風險評估主題范文,僅供參考,歡迎閱讀并收藏。
【關(guān)鍵詞】房地產(chǎn)開發(fā);專家打分法;風險評估;風險控制
一、引言
近幾年來,D市積極實施以政府為主導的大旅游發(fā)展戰(zhàn)略,將旅游業(yè)作為市域經(jīng)濟的主導產(chǎn)業(yè)大力扶植。然而,在大力發(fā)展旅游業(yè)的今天,僅有的觀光旅游是遠遠不能滿足市場的需要,如何延長游客滯留時間,如何提高游客滯留率,成為深化旅游業(yè)發(fā)展的一個新課題。
在這一背景下,侏羅紀房地產(chǎn)開發(fā)有限公司經(jīng)過五年的艱苦努力,成功地在靈巖山下鉆探出了達到國家醫(yī)療標準的熱溫泉,提出了溫泉花園房地產(chǎn)開發(fā)項目,該項目將成為復式休閑旅游鏈條中的重要項目,從而為“打造國際休閑度假第一城”加上一個厚重的砝碼。因此,該項目的建設(shè)是十分有必要的。
房地產(chǎn)開發(fā)項目風險評估是指利用定性分析、定量分析等方法,對房地產(chǎn)開發(fā)項目的風險進行評估,從而計算出房地產(chǎn)項目風險發(fā)生的概率及其后果的危害程度,據(jù)此對風險進行高、中、低的劃分,以加強風險管理[1]。其主要方法有:客觀估計概率法、盈虧平衡分析法、專家調(diào)查法及敏感性分析法等[2]。
本文擬將項目風險評估的相關(guān)理論及方法與溫泉花園房地產(chǎn)開發(fā)項目實際密切結(jié)合,對本項目施工建設(shè)階段的主要風險進行了全面深入的風險評估研究,以切實加強項目施工建設(shè)階段的風險管理,減少投資損失,提高項目經(jīng)濟效益。
二、項目概況
本項目地處四川省西區(qū),坐落在二王廟后山下,山清水秀,風光秀麗,園內(nèi)庭臺樓閣,小橋流水,古木參天,珍奇花木,西蜀院子,典雅豪華,是的高擋消費場所。同時,距經(jīng)濟發(fā)達的成都市區(qū)僅半小時路程,周邊交通便利,是成都居民假日休閑的首選和外地游客的必游之地。
本項目規(guī)劃總占地面積78931.8平方米(約118畝),容積率1.14,建筑密度28.0%,綠化率38.7%,建筑總面積為109289.86平方米,其中,地上建筑面積 89757.86平方米,地下建筑面積19532平方米,地下停車位512個,地上停車位290個。
本項目建設(shè)內(nèi)容包括:洋房住宅(6+1)33003.46平方米,底層商鋪1141.1平方米,低層洋房(疊拼)23222.97平方米,商務(wù)樓4137平方米,酒店18598平方米,地下車位15492.7平方米。
三、項目施工建設(shè)階段風險因素分析
在溫泉花園房地產(chǎn)開發(fā)項目施工建設(shè)階段所存在的主要風險有質(zhì)量風險、工期風險、技術(shù)風險和成本風險四類,各類風險因素具體分解情況詳見圖1[3]~[4]。
圖1 項目施工建設(shè)階段風險分解圖
四、項目施工建設(shè)階段風險評估
本文對本項目施工建設(shè)階段的風險評估主要采用專家調(diào)查法,為此,分別從侏羅紀房地產(chǎn)開發(fā)有限公司發(fā)展計劃部、工程部、成本控制部、設(shè)計院等一些相關(guān)部門調(diào)派業(yè)務(wù)骨干,成立了專家小組[5]。按照專家的意見,對該項目施工建設(shè)階段的主要風險進行了集中評分,確定了各個風險的權(quán)重,結(jié)果詳見表1、表2、表3、表4、表5。
表1 項目建設(shè)階段各子風險因素判斷矩陣和權(quán)重
項目風險 技術(shù)風險 工期風險 成本風險 質(zhì)量風險 權(quán)重
技術(shù)風險 1 1/2 1/4 1/3 0.096
工期風險 2 1 1/3 1/2 0.160
成本風險 3 3 1 2 0.467
質(zhì)量風險 4 2 1/2 1 0.277
注:入(最大值)=4.03 C.I=0.01 R.I=0 C.R=0.0<0.1
表2 項目工期風險與各子風險因素的判斷矩陣和權(quán)重
工期風險 自然災害 承包商原因 組織不協(xié)調(diào) 權(quán)重
自然災害 1 1/2 1/4 0.143
承包商原因 2 1 1/2 0.285
組織不協(xié)調(diào) 4 2 1 0.572
注:入(最大值)=3 C.I=0.0 R.I=0 C.R=0.0<0.1
表3 項目成本風險與各子風險因素的判斷矩陣和權(quán)重
成本風險 施工條件變更 世界變更 材料價格上漲 施工索賠 權(quán)重
施工條件變更 1 1/3 1/2 1/2 0.122
設(shè)計變更 3 1 2 2 0.424
材料價格上漲 2 1/2 1 1 0.227
施工索賠 2 1/2 1 1 0.227
注:入(最大值)=4.01 C.I=0.003 R.I=0.58 C.R=0.004<0.1
表4 項目質(zhì)量風險與各子風險因素的判斷矩陣和權(quán)重
質(zhì)量風險 人員素質(zhì)低 材料不合格 技術(shù)方案不合理 設(shè)備故障 權(quán)重
人員素質(zhì)低 1 1/3 1/5 1/3 0.078
材料不合格 3 1 1/3 1 0.290
技術(shù)方案不合格 5 3 1 3 0.432
設(shè)備故障 3 1 1/3 1 0.200
注:入(最大值)=4.04 C.I=0.01 R.I=0.90 C.R=0.016<0.1
表5 項目技術(shù)風險與各子風險因素的判斷矩陣和權(quán)重
技術(shù)風險 建筑材料更新 建筑材料升級 安全事故 生產(chǎn)力短缺 權(quán)重
建筑材料更新 1 1/2 1 1/3 0.141
建筑材料升級 2 1 2 1/2 0.263
安全事故 1 1/2 1 1/3 0.141
生產(chǎn)力短缺 3 2 3 0.455
注:入(最大值)=4.01 C.I=0.03 R.I=1.12 C.R=0.004<0.1
按照上述各類風險因素的權(quán)重,將各位專家的打分進行加權(quán)匯總,就可以得到個來風險因素的總得分,并確定它們由高到低的風險程度排序,以此來進一步確定項目施工建設(shè)階段的高風險、中風險和低風險。排序情況詳見表6。
表6 項目子風險因素總權(quán)重排序
評價因素 權(quán)重 子因素 權(quán)值 總權(quán)重 排序
工期風險 0.16 組織不協(xié)調(diào) 0.573 0.092 5
承包商原因 0.285 0.046 9
自然災害 0.143 0.023
成本風險 0.467 設(shè)計變更 0.424 0.198 1
施工條件變更 0.122 0.057 7
材料價格上漲 0.227 0.106 3
施工索賠 0.227 0.106 3
質(zhì)量風險 0.277 人員素質(zhì)低 0.078 0.022
材料不合格 0.29 0.08 6
技術(shù)方案不合理 0.432 0.12 2
設(shè)備故障 0.2 0.055 8
技術(shù)風險 0.096 建筑材料更新 0.141 0.014
建筑材料升級 0.263 0.025
安全事故 0.141 0.014
生產(chǎn)力短缺 0.455 0.044 10
從表6中可以看出溫泉花園房地產(chǎn)開發(fā)項目在施工建設(shè)階段的高風險因素包括設(shè)計變更、不合理的技術(shù)方案、施工索賠和材料價格的上漲;中風險因素包括材料的價格不合格、組織的不協(xié)調(diào)和相關(guān)設(shè)備故障;其他為低風險因素。根據(jù)此排序可以比較有針對性地制定應對風險的計劃,采取有效的防范風險措施。
五、項目施工建設(shè)階段的風險控制對策分析
(1)加強設(shè)計交底和圖紙會審
設(shè)計交底是指在施工圖完成并經(jīng)審查合格后,設(shè)計單位在設(shè)計文件交付施工時,按法律規(guī)定的義務(wù)就施工圖設(shè)計文件向施工單位和監(jiān)理單位做出詳細的說明。其目的是對施工單位和監(jiān)理單位正確貫徹設(shè)計意圖,使其加深對設(shè)計文件特點、難點、疑點的理解,掌握關(guān)鍵工程部位的質(zhì)量要求,確保工程質(zhì)量[6]。
圖紙會審是指工程各參建單位(建設(shè)單位、監(jiān)理單位、施工單位)在收到設(shè)計院施工圖設(shè)計文件后,對圖紙進行全面細致的熟悉,審查出施工圖中存在的問題及不合理情況,并提交設(shè)計方進行處理的一項重要活動。通過圖紙會審可以使各參建單位特別是施工單位熟悉設(shè)計圖紙,領(lǐng)會設(shè)計意圖,掌握工程特點及難點,找出需要解決的技術(shù)難題并擬定解決方案,從而將因設(shè)計缺陷而存在的問題消滅在施工之前[7]。
(2)加強監(jiān)理制度
對于房地產(chǎn)開發(fā)項目而言,施工建設(shè)階段實行有效的工程監(jiān)理,能夠提高施工建設(shè)的質(zhì)量和效率,及時解決施工過程中出現(xiàn)的各種問題。同時,還能對設(shè)計交底和圖紙會審的執(zhí)行情況進行監(jiān)督,顯著提高設(shè)計質(zhì)量,減小設(shè)計變更和不合理的可能性。
(3)嚴格設(shè)計變更審查制度
任何單位提出的設(shè)計變更必須經(jīng)過業(yè)主的許可,在詳細評估替代方案的成本與收益后,由原設(shè)計單位認可,方可進行設(shè)計變更。
六、結(jié)語
房地產(chǎn)業(yè)是我國國民經(jīng)濟發(fā)展的重要組成部分,隨著房地產(chǎn)業(yè)競爭的日益激烈,開發(fā)商在施工建設(shè)階段必須對各種風險因素進行識別及評估,以制定風險防范對策,加強風險管理。本文研究雖然有助于提高開發(fā)商的風險管理水平,加強風險損失的防范與控制,但僅僅是提供了一種分析和解決問題的方法,在量化評估風險及處置風險方面都有待進一步深入探討。
參考文獻:
[1]劉彬.淺析房地產(chǎn)開發(fā)項目風險管理[J].科技創(chuàng)新導報,2010(8):183-184.
[2]唐燕.房地產(chǎn)開發(fā)投資項目風險管理探究[J].現(xiàn)代商貿(mào)工業(yè),2010(1):45-46.
[3]馮耀新.淺談房地產(chǎn)項目風險因素的分析[J].廣東科技,2007(1):103-104.
[4]張小芳,栗衛(wèi)東.房地產(chǎn)項目風險影響因素分析[J].山西建筑,2007(1):12.
[5]劉光富,陳曉莉.基于德爾菲法與層次分析法的項目風險評估[J].項目管理技術(shù),2008(1):23-26.
[6]胡煜.淺談房地產(chǎn)開發(fā)項目的風險管理及防范[J].現(xiàn)代商業(yè),2009(12):4-45.
本文運用項目管理和風險管理理論的研究成果,從房地產(chǎn)項目管理者的角度講述了房地產(chǎn)項目工程變更的風險管理。并提出了對房地產(chǎn)項目工程變更風險進行識別、評估及分析的方法和風險應對措施。并且依據(jù)理論,對房地產(chǎn)項目工程變更的風險管理進行了研究。
關(guān)鍵詞:房地產(chǎn)工程;工程變更;風險管理;
近年來,隨著房地產(chǎn)市場的高速發(fā)展,房地產(chǎn)項目管理水平的不斷提高。因房地產(chǎn)項目實施過程中因工程變更帶來的影響逐漸顯現(xiàn),如工程變更可能帶來工程造價提高,延誤工期導致交房拖延等后果,工程變更的風險管理逐漸受到廣大房地產(chǎn)項目管理人員的重視。
一、房地產(chǎn)項目工程變更分類及形式。工程變更是指在工程項目實施過程中,對部分或全部工程在材料、工藝、功能、構(gòu)造、尺寸、技術(shù)指標、工程數(shù)量及施工方法等方面做出的改變。根據(jù)房地產(chǎn)項目實施過程中各個部門的分工,將工程變更劃分為四類: 1、建設(shè)單位提出的變更:建設(shè)單位根據(jù)現(xiàn)場實際情況,為提高質(zhì)量標準、使用功能、工期改變、節(jié)約造價等因素綜合考慮而提出的工程變更;上級主管部門部門變更:指上級規(guī)劃、城建、消防、建筑節(jié)能等主管部門提出的政策性變更。(因現(xiàn)行廣泛存在的房地產(chǎn)項目管理模式,將上級主管部門部門變更歸于建設(shè)單位范疇。)2、設(shè)計單位變更:指設(shè)計單位在工程實施中發(fā)現(xiàn)工程設(shè)計中存在的設(shè)計錯漏、設(shè)計調(diào)整或因自然因素及其它因素等提出工程變更。如各種管道因?qū)嵤┻^程中標高沖突而提出的工程變更。4、監(jiān)理單位變更:監(jiān)理工程師根據(jù)現(xiàn)場實際情況出于協(xié)調(diào)、控制有利的角度提出的施工工藝、施工順序等工程變更等。5、施工單位變更:施工單位因質(zhì)量、安全、進度等原因提出變更施工方法、施工工藝、施工順序等工程變更或指施工單位在施工過程中發(fā)現(xiàn)的設(shè)計與施工現(xiàn)場的實際情況不一致而提出來的工程變更等幾方面。
一般來說工程變更具體表現(xiàn)形式有以下幾個方面:1、更改工程有關(guān)部分的標高、基線、位置和尺寸; 2、增減合同中約定的工程量;3、增減合同中約定的工程內(nèi)容;4、改變工程質(zhì)量、性質(zhì)或工程類型;5、改變有關(guān)工程的施工順序和時間安排;6、為使工程交付使用而必需實施的任何種類的附加工作。
綜上所述房地產(chǎn)項目工程變更存在提出單位較多、變更原因復雜、不確定性較大等一系列風險因素。
二、針對以上對工程變更所做分析并結(jié)合在房地產(chǎn)項目工程變更風險管理的體會,摸索出一套工程變更風險管理的流程,具體如表1所示:
運用風險管理理論結(jié)合實際操作流程對風險管理各個環(huán)節(jié)分析如下:
1、風險管理的第一步就是將那些可能把工程變更風險帶到實施過程中的因素識別出來(簡稱風險識別)。一般來說風險識別的方法有德爾菲法、核查表法、圖解法、工作分解結(jié)構(gòu)法和風險調(diào)查法等。在現(xiàn)實中很難識別出所有的風險因素,最重要的是一旦風險被識別,就要誠實的對待風險。影響工程變更的風險因素主要包括以下幾個方面:(1)自然條件風險 ;是指房地產(chǎn)項目在實施的過程中由于自然現(xiàn)象、物理現(xiàn)象等風險因素所造成的風險。比如嚴寒、暴雨、臺風、地質(zhì)構(gòu)造、雷暴等因素都有可能帶來對工程不利的影響和損失。比如曾有一別墅項目正常雨水情況下,其排煙道不漏水,但臺風過后出現(xiàn)漏水情況。經(jīng)分析確定臺風將雨水從通風口處打入造成漏水。最終對排煙道蓋帽的形式做出工程變更,解決了漏水問題。(2)技術(shù)風險;是指在房地產(chǎn)項目實施的過程中的技術(shù)條件不確定性而引起工程變更的風險。技術(shù)風險主要在可行性研究、工程勘察、工程方案選擇、工程設(shè)計等過程中,在技術(shù)標準選擇、安全系數(shù)的選取、計算模型的采用以及深度、設(shè)計質(zhì)量等問題上出現(xiàn)的偏差而形成的風險。比如在一房地產(chǎn)項目懸臂擋土墻的設(shè)計中,因為不同設(shè)計人員選取的計算模型不同,造成設(shè)計圖紙的不同,不該錨固的鋼筋設(shè)計成了錨固鋼筋,增加了工程造價,最終在實施過程中優(yōu)化設(shè)計,進行了工程變更。(3)經(jīng)濟風險;是指房地產(chǎn)項目實施過程中因為經(jīng)濟的因素導致的風險。主要表現(xiàn)在原材料價格(如鋼材、水泥、鋁合金等)上漲及某種材料缺貨,為降低工程成本或保證工期而采取的工程變更。比如因某種鋼筋的型號缺貨,采取鋼筋代換而采取的變更。在北京奧運會期間因嚴格限制炸藥的使用,造成大理石缺貨、價格上漲,采用鋁塑板替換而造成的工程變更。(4)政策法規(guī)風險 ;是指房地產(chǎn)項目實施過程中由于政府對建筑業(yè)產(chǎn)業(yè)政策及技術(shù)政策的強制性調(diào)整所帶來的工程變更風險。例如山東省2011年3月份實施的《山東省消防條例》就規(guī)定:“新建高層住宅應當分戶設(shè)置獨立式火災探測報警器?!痹谛陆ǜ邔幼≌瑢嵤┻^程中就有可能造成工程變更。(5)人員素質(zhì)風險;是指房地產(chǎn)項目實施過程中由于工程參與各方主要從業(yè)人員技術(shù)水平、職業(yè)道德的欠缺給工程帶來不利影響的可能性。如設(shè)計人員素質(zhì)低下,出現(xiàn)設(shè)計錯誤和遺漏;如施工管理人員素質(zhì)低下,使工程出現(xiàn)大面積的返工,影響工期,造成工期變更;如建設(shè)管理人員能力一般,導致工程管理失控,協(xié)調(diào)不暢,造成各個參建單位銜接不好,致使工期延長和成本上升等。
將上述所有風險因素的具體形式,收集起來,將風險信息分門別類,進行編號,建立專門風險庫,設(shè)立專門的風險管理員進行管理,對工程變更的重點風險事件進行跟蹤和監(jiān)測,對風險庫進行全面的動態(tài)管理。
2、第二步進行風險因素的評估,就是量化測評某一事件或事物帶來的影響或損失的可能程度(簡稱風險評估)。風險評估的重點應該放在發(fā)生概率最大和潛在影響最大的風險因素上。一般來說現(xiàn)行的風險評估也主要側(cè)重于發(fā)生概率和潛在影響兩個維度上,但依據(jù)筆者多年的經(jīng)驗認為應該加上及時發(fā)現(xiàn)風險的困難程度。在綜合以上三個維度進行綜合風險評價。如表2所示:
將第一步中識別出來的風險因素按照上述方法進行評估,掌握風險分布的整體情況。
3、風險對策,是指采用風險控制措施降低項目的潛在影響或使這種影響更具有可測性。風險控制措施具體包括規(guī)避風險、轉(zhuǎn)移風險、減輕風險、自留風險等方法。 按流程圖所示,風險控制包括風險預防、風險應對兩個方面。風險預防是指盡量采取措施避免風險的發(fā)生(側(cè)重于預防),風險應對是指風險因素引起的事件發(fā)生后,采取的處理措施(側(cè)重于應對)。應該結(jié)合風險識別、風險評估兩個方面的信息,將所有風險因素編制專門的預防措施和應對措施。在實際操作過程中,一般將兩種措施整合在一起,如表3所示:
采用表格的形式一目了然,簡潔清晰,便于在實際中應用。
4、任何的的管理形式,都應該進行考核評價,以便進行總結(jié)提高,進一步完善。在風險管理實施過程中和結(jié)束后應進行風險管理考評。工程變更的風險管理的考核評價可參考KPI(關(guān)鍵績效指標)、GS(工作目標指標)考核評價體系。KPI指標側(cè)重于工程變更的次數(shù),GS指標側(cè)重于在風險管理各項工作的實施。關(guān)于KPI(關(guān)鍵績效指標)、GS(工作目標指標)考核評價體系論述較多,在此就不贅述了。
關(guān)鍵詞:石油 工程項目 風險管理
一、工程風險因素的辯識與分類
建設(shè)工程項目是復雜的開放系統(tǒng),長期以來,工程風險的研究一直沿用分析方法和模擬方法。由于項目的內(nèi)部結(jié)構(gòu)、項目本身的動態(tài)性及外界干擾的復雜性,在構(gòu)造問題的結(jié)構(gòu)與變量的相互關(guān)系時,分析方法與模擬方法均起不到預期的指導作用,風險因素間的影響關(guān)系及所引起的后果均得不到確切表示。工程項目的風險因素錯綜復雜,可以從項目環(huán)境、項目結(jié)構(gòu)及項目主體等不同側(cè)面進行分類。為了便于風險分析和風險的防范處理,筆者從工程風險是否可以計量的角度對風險進行分類,以確定哪些風險可以作定量分析,哪些只能作定性分析,哪些可以作定性與定量相結(jié)合的分析,以便為不同風險的防范采取相應的對策。
工程風險的分類主要基于風險防范和風險處理,是定性的相對的。從性質(zhì)上分析,可計量風險屬于技術(shù)性風險,是常規(guī)性的不可避免的風險,包括地質(zhì)地基條件、材料供應、設(shè)備供應、工程變更、技術(shù)規(guī)范、設(shè)計與施工等造成的風險;非計量風險屬于非技術(shù)性風險,發(fā)生的概率較小,是非常規(guī)性風險,包括經(jīng)濟風險、政治風險、不可抗力風險、組織協(xié)調(diào)風險等。工程合同包含著多種難以界定的變量因素,這些因素都能構(gòu)成項目的風險。從性質(zhì)上分析,合同風險屬于非技術(shù)性風險,但工程合同中包含了大量的技術(shù)性條款&因此,對工程合同的風險分析既有定量分析又有定性分析。
二、風險管理方案
1.風險管理方案的基本概念。完整的項目風險管理方案應該旨在解決所有的項目風險以及風險對項目的技術(shù)性能、項目成本、項目方案、項目執(zhí)行、安全、健康、項目所在社區(qū)和環(huán)境造成的影響。風險評估應該是全方位的,包括項目涉及的各個合作方、項目的各個階段、項目所處的環(huán)境以及可能遇到的各種不確定性,只有進行全方位的風險評估才能充分預測風險可能帶來的影響。風險管理方案應該使公司能夠采取必要的措施完成合同的要求,并不斷將與不確定性有關(guān)的風險評估和防范方案的結(jié)果融入到公司的管理中,從而可以對風險進行更好的認識和分析。
2.主要內(nèi)容。所有的石油工程服務(wù)公司或EPC承包商,都應該建立一套系統(tǒng)綜合的風險管理方案。作為項目的業(yè)主或投資人,油氣勘探開發(fā)公司除了應具有一套要求各承包商的風險管理方案達到某一目標和要求的管理程序外,還應建立一套自己的風險管理體系。業(yè)主應該在招投標過程中就其風險管理方案與承包商進行很好的交流。為了滿足業(yè)主的要求,石油工程服務(wù)公司和EPC承包商也應該建立自己的一套綜合風險管理程序,并與業(yè)主的風險管理程序相一致。
特殊設(shè)備的操作風險是石油工程項目的主要風險之一,對于這類風險,如防噴器的壓力級別、前線基地位置的選擇、井場位置的地貌狀況以及設(shè)備搬遷與安裝程序等,應該通過風險危害分析并結(jié)合設(shè)備及操作水平進行詳細的風險評估。在項目風險管理方案中應專門列出專有設(shè)備風險的詳細情況,并與生產(chǎn)廠商結(jié)合,以有效降低設(shè)備的操作風險。風險管理方案中應包含具體的方法、過程、計劃和措施,這些方面都是為了在項目的實施過程中進行風險評估和管理而制定的。另外,風險管理方案應該是專門的方案,應有具體可操作的風險評估方案,說明進行風險評估的時機以及項目相關(guān)各方應擔負的角色和責任。項目所需的風險管理具有不同的等級,風險管理方案中的具體措施應該明確其所處的等級并對其在整個項目中能夠發(fā)揮的作用進行分析。
三、石油工程項目風險及其控制對策
1.投資風險及其控制。投資風險管理是項目風險管理的重要組成部分,投資目標的確定應分階段確定,可行性研究階段的投資估算是初步設(shè)計階段的控制目標;初步設(shè)計階段的概算是施工圖設(shè)計階段的控制目標;施工圖預算是使施工階段控制目標。對于建設(shè)單位來講它貫穿于建設(shè)項目的全過程,即從項目決策開始至整個項目竣工驗收完成為止,就項目建設(shè)全過程來講,投資控制的重點應在前期階段,特別是加強方案設(shè)計階段的管理工作,設(shè)計階段對工程總投資的影響度占75%以上,設(shè)計的優(yōu)劣直接影響建設(shè)費用的多少,直接決定著投入人力、物力、財力的多少。
2.進度風險及其控制。進度風險控制就是指在項目的工程建設(shè)過程中預測、識別各種風險后,制定、審核進度計劃,在實施過程中采用適當?shù)姆椒ǘㄆ诟?、檢查工程實際進展情況,與計劃進度對照、比較找出兩者之間的偏差,組織、指導、協(xié)調(diào)、監(jiān)督監(jiān)理單位、承包商及相關(guān)單位對產(chǎn)生偏差的各種風險因素進行分析與評估,及時采取有效措施調(diào)整或修改工程進度計劃。進度風險控制是一個不斷循環(huán)往復的過程,直至按計劃的工期目標既合同約定的工期如期完成。建設(shè)進度受諸多風險因素影響,主要包括來自然風險、人員風險、工程變更風險。
3.質(zhì)量風險及其控制。由于石油化工裝置生產(chǎn)過程具有高溫、高壓、低溫、真空的特點,所用的原料、介質(zhì)或產(chǎn)品本身多為易燃、易爆、有毒、有害、有腐蝕性的物質(zhì),因此,對輸送、盛裝、生產(chǎn)這些原料和產(chǎn)品的管道、閥門、設(shè)備的材料、制造及施工的要求較多,如果稍有疏漏或不慎將會造成不可想象的嚴重后果。質(zhì)量風險控制措施必須充分滿足工程需要。石油化工行業(yè)及其生產(chǎn)裝置一旦發(fā)生事故造成的影響極大,因此,相比投資和進度而言,質(zhì)量控制特別是施工階段質(zhì)量控制更為重要。
無論采取何種風險管理方式,實現(xiàn)投入產(chǎn)出的效益最大化是一切減災決策和行動的出發(fā)點和最終歸宿。目前在我國的石油企業(yè)管理中,除采取承擔和保險兩種風險管理方式外,在施工過程中亦因完善各項制度,在各項制度的制定和完善中要針對施工中不同風險的特點制定并實施風險處里計劃,盡可能準確合理地分散風險。把工程風險管理降低到最小程度,對工程項目管理和生產(chǎn)安全起到積極的促進作用。
參考文獻:
[1]余建星,李成,王廣東.基于過程分析的工程系統(tǒng)風險分析方法[J].船舶工程,2003,(05).
[2]張興才,宋立崧,申仲翰.海上油氣生產(chǎn)安全風險分析[J].中國海上油氣(工程),2005,(03).
[3]王富軍,于軍泉,喬大軍.石油工程項目中的風險管理[J].項目管理技術(shù),2009,(5).
[關(guān)鍵詞]非同調(diào) 風險評估 潮流計算
0 引言
電力系統(tǒng)控制中心編制運行規(guī)劃的根本目的,是針對各種運行工況選擇安全、可靠而又經(jīng)濟的運行方式。多年以來,運行中的技術(shù)分析通常是基于確定性分析的原則。輸電運行規(guī)劃與輸電發(fā)展規(guī)劃相比,其中一個差別是,還需要研究一些關(guān)鍵設(shè)備所涉及的兩重甚至三重故障停運事件。其部分原因是系統(tǒng)運行必須處理在一些設(shè)備因維修退出運行的期間內(nèi),另一些設(shè)備可能發(fā)生失效的情況。此外,在實際系統(tǒng)中多個設(shè)備同時發(fā)生失效的情況也時有發(fā)生。
輸電運行方式的概率風險評估應該作為運行規(guī)劃工作的一部分,其原因如下:
(1)任何系統(tǒng),即使?jié)M足單元件故障準則的要求,也仍然存在更高階失效事件的運行風險。許多電力中斷和大面積停電都是由多重設(shè)備同時失效所引起。
(2)通常存在多種滿足確定性運行準則的運行方式。這就需要識別其中的最低風險運行方式以保證整個系統(tǒng)的可靠性。這對在放松管理后處于競爭環(huán)境下的電力工業(yè)尤其重要。
(3)確定性運行準則是以包括計及峰荷和極端運行工況在內(nèi)的最嚴重情況作為分析基礎(chǔ),使用確定性方法來覆蓋大量多重元件失效事件在計算上是不現(xiàn)實的。風險評估給出由所有可能的失效事件及其發(fā)生概率相結(jié)合的風險指標,這顯然是對確定性運行分析方法的一個有價值的補充。
輸電系統(tǒng)的風險評估在一些電力公司的系統(tǒng)發(fā)展規(guī)劃中已有所考慮,但是到目前為止,還很少在運行規(guī)劃中進行風險評估的應用研究。系統(tǒng)發(fā)展規(guī)劃和運行規(guī)劃的基本差別是,前者涉及較長時期的系統(tǒng)增強規(guī)劃(幾年至10年以上),而后者則是涉及短期的運行措施(1年以內(nèi))。修改運行規(guī)程可能是系統(tǒng)發(fā)展規(guī)劃過程中可考慮的一個預選方案。然而,選擇這種方案通常需要永久改變運行規(guī)程而不是一種短期的運行措施,在運行規(guī)劃中不考慮增加設(shè)備。運行措施包括負荷轉(zhuǎn)移、發(fā)電運行方式變更、臨時的網(wǎng)絡(luò)重構(gòu)以及切換措施等。
1 運行規(guī)劃中的風險評估
輸電系統(tǒng)運行規(guī)劃的風險評估即需要對伴隨有多重元件停運的高階失效事件,包括它們的后果及其發(fā)生概率進行評估。另一方面,運行風險評估的特殊要求是,需要對諸如負荷轉(zhuǎn)移、發(fā)電運行方式變更、網(wǎng)絡(luò)重構(gòu)以及設(shè)備切換等運行措施進行模擬。每一項措施都會引起系統(tǒng)風險的變化(增加或降低)。運行措施屬于短期行為,在系統(tǒng)發(fā)展規(guī)劃風險評估中通常不予考慮。
負荷轉(zhuǎn)移僅僅改變負荷位置,而不會改變系統(tǒng)的總負荷水平。負荷轉(zhuǎn)移的同時也可能將一部分風險從一個地區(qū)轉(zhuǎn)移到另一個地區(qū)。值得注意的是,負荷移出區(qū)域的風險減少量并不等于負荷移入?yún)^(qū)域的風險增加量。在某些情況下,通過負荷轉(zhuǎn)移可以減少整個系統(tǒng)的運行風險。在系統(tǒng)發(fā)展規(guī)劃的風險評估中,通常假設(shè)每年每一母線的峰荷和負荷曲線都保持不變。雖然在發(fā)展規(guī)劃中也考慮年度峰荷會逐年增加,但這與運行中所考慮的負荷轉(zhuǎn)移是完全不同的概念。
在系統(tǒng)運行中更改發(fā)電運行方式是一個常用的措施。改變發(fā)電方式往往是由于系統(tǒng)運行安全性方面的考慮,例如在某些系統(tǒng)狀態(tài)下必須切機以降低發(fā)電出力,或者由于水庫調(diào)度使時間相關(guān)的電源出力受限,以及設(shè)備維修需要等。一般來說,因為總負荷不變,系統(tǒng)穩(wěn)態(tài)運行的發(fā)電總出力因而也保持不變。更改發(fā)電運行方式只是在各個發(fā)電機組輸出容量之間進行調(diào)節(jié)。而系統(tǒng)發(fā)展規(guī)劃的風險評估中,則總是假設(shè)每一發(fā)電機的額定發(fā)電容量(最大出力限值)是恒定的。應當注意,風險評估中發(fā)電機的降額狀態(tài)和發(fā)電運行方式更改是完全不同的兩個概念。
運行中的網(wǎng)絡(luò)重構(gòu)和設(shè)備切換,涉及到通過斷路器投切操作進行的網(wǎng)絡(luò)拓撲短期改變。顯然,這些運行上的操作將會改變潮流分布因而也會改變系統(tǒng)運行風險。網(wǎng)絡(luò)重構(gòu)通常時間較長(幾天甚至可能幾個月),而切換操作則與系統(tǒng)狀態(tài)相關(guān),它只持續(xù)到失效元件被修復或者系統(tǒng)進人另一個運行工況為止。在系統(tǒng)發(fā)展規(guī)劃的風險評估中不考慮切換操作。網(wǎng)絡(luò)重構(gòu)和設(shè)備切換的主要作用是,有可能通過將一部分風險從一個區(qū)域轉(zhuǎn)移到另一個區(qū)域,或者從一個電壓等級轉(zhuǎn)移到另一個電壓等級來減少系統(tǒng)總風險。
2 非同調(diào)在輸電系統(tǒng)中的風險評估
與網(wǎng)絡(luò)重構(gòu)和設(shè)備切換相關(guān)的一個重要現(xiàn)象,是在輸電系統(tǒng)可靠性研究中所謂的非同調(diào)問題。非同調(diào)是指,如果增加一個退出運行的元件,系統(tǒng)可靠性至少不會惡化或者甚至可能變得更好。這個現(xiàn)象不會在發(fā)電系統(tǒng)風險評估中出現(xiàn),但是卻可能在輸電系統(tǒng)風險評估中發(fā)生。
非同調(diào)現(xiàn)象可以用圖1所示的4母線系統(tǒng)來進行解釋。在母線1和4的兩臺發(fā)電機向母線2和3的兩個負荷供電。每一負荷是50MW+15Mvar。線路1和3的阻抗是0.008+/0.034標幺值,線路2的阻抗是0.001+0.003標幺值,線路4的阻抗是0,005+/0.015標幺值。所有線路的額定容量是55MVA。潮流計算結(jié)果表明,在正常系統(tǒng)狀態(tài)下沒有過載。
當線路4失效時,來自發(fā)電機G2的功率被中斷,兩處負荷都由發(fā)電機G1提供(參見圖2)。在這個故障停運狀態(tài)下,由于必須要滿足基爾霍夫定律而發(fā)生的潮流重新分布使線路2出現(xiàn)過載。
為了消除這條線路上的過載,需要在兩個母線之間選擇削減負荷。然而,如果我們?nèi)藶閿嚅_線路3(參見圖3),線路2上的過載將消失。
上述三種情況下,從“起始母線”流入線路的潮流如表1所示。應當注意,線路上有損耗,因此每一線路
(一)上市公司盈余管理現(xiàn)狀 當前,上市公司運用盈余管理的主要是為了不斷粉飾財務(wù)報表,美化企業(yè)的財務(wù)狀況和經(jīng)營成果,以便獲得更多的資金,同時塑造良好的企業(yè)形象。為了詳細了解上市公司盈余管理的現(xiàn)狀,筆者選取了2008-2011年代表著上市公司的總體情況的深交所主板上市公司的相關(guān)數(shù)據(jù)進行分析。
從表1可以看出2009-2011年主板上市公司的平均銷售毛利率相對平穩(wěn)下滑,2011年受到整體經(jīng)濟形勢不景氣等因素的影響,深市主板上市公司平均營業(yè)收入增長率和平均凈利潤增長率都有所下降,當然其中也有盈余管理現(xiàn)象有所遏制的作用。
從表2中顯示,2008年至2010年銷售費用和管理費用支出都是小幅升高,財務(wù)費用有一定波動,可以看出這三年的“三費”支出得到合理控制,再加上資產(chǎn)減值損失大幅度下降,所以營業(yè)收入穩(wěn)定增長使利潤率穩(wěn)步提高。
根據(jù)表3的數(shù)據(jù)顯示,2010年非經(jīng)營性損益占凈利潤的比重下降了8.22個百分點,下降幅度較大,這說明主板上市公司在操縱盈余管理中對非經(jīng)營性損益依賴可能有所下降。
從表4數(shù)據(jù)可知,2010年公允價值計量影響程度下降迅速,因此2010年在公允價值變動損益和投資收益上盈余管理的空間有所下降。
從上述各表中可總結(jié):2010年度,各項資產(chǎn)價值回升使減值準備大幅減少,公允價值變動產(chǎn)生收益,主板公司總體盈利能力同比大幅提升。上市公司業(yè)績提升與“三費”合理控制、投資收益、營業(yè)外收入以及非經(jīng)常性損益有著密切關(guān)系。雖然現(xiàn)行會計準則制約了上市公司利用資產(chǎn)減值進行盈余管理的行為,但上市公司仍可以通過操縱債務(wù)重組收益、證券投資的確認時間、公允價值的計量來進行盈余管理。
(二)上市公司盈余管理方式 (1)頻繁使用資產(chǎn)重組。為了使當期財務(wù)報告顯示的經(jīng)營成果更美觀,在會計準則允許的條件下,企業(yè)管理層和會計人員會利用一次性業(yè)務(wù),在當期將相關(guān)損失和費用全部沖銷,這有利于以后的會計期間實現(xiàn)較高的會計利潤。如ST寰島(000691)于2007年通過一系列的收購兼并、資產(chǎn)剝離、資產(chǎn)出售和股權(quán)轉(zhuǎn)讓等各種資產(chǎn)重組方法來虛增利潤,在2007年中出現(xiàn)了凈利潤3 725.05萬元的大跨度轉(zhuǎn)虧,成功實現(xiàn)“摘星”。 (2)變更會計政策和會計估計。由于企業(yè)及其所處的經(jīng)濟環(huán)境各不相同,并且現(xiàn)行會計準則并未給會計政策變更設(shè)置過高的“門檻”,因此管理層擁有較大的利潤操作空間。如金融街控股股份有限公司自2008年1月1日起對投資性房地產(chǎn)采用公允價值模式進行后續(xù)計量,這一會計政策變更使公司2007年的所有者權(quán)益增加了13.22億元,使得每股凈資產(chǎn)顯著提高,資產(chǎn)負債率明顯得到改善,與仍采用成本模式的同行業(yè)的上市公司相比有明顯優(yōu)勢。(3)管理應計項目。以權(quán)責發(fā)生制為基礎(chǔ)的會計核算制度,雖能處理好收人與相應費用配比的問題,但仍然有較多待攤項目和應計項目存在,因此,被審計單位管理層仍有較大空間調(diào)增利潤。隨著企業(yè)經(jīng)營環(huán)境復雜化,應計項目的確認具有更大的操作彈性,從而給盈余管理提供了利用空間。如華夏建通的控股子公司世信科技發(fā)展有限公司,在未向北京越洋互動文化傳播有限公司交付構(gòu)成社區(qū)大屏幕系統(tǒng)組成部分的液晶顯示屏及大屏幕框架的情況下,已將1225萬元軟件收入計入2007年上半年營業(yè)收入。(4)利用與關(guān)聯(lián)方的交易。 關(guān)聯(lián)方之間的交易大多是以偏離市場的不公允價格進行,其目的是調(diào)節(jié)企業(yè)的收入水平。據(jù)五糧液年報顯示,2008年五糧液與進出口公司之間的關(guān)聯(lián)購銷額達到 41.33億元,占其當年營業(yè)收入總額的52%。2009年五糧液此項關(guān)聯(lián)交易將達44.79億元左右。有多家券商測算,此項關(guān)聯(lián)交易潛在利潤額在10億元左右。在巨額關(guān)聯(lián)交易的背后,卻是上市公司利潤與股東回報的“雙低”。
二、上市公司盈余管理對CPA行業(yè)的影響
(一)增加審計風險 (1)違約風險。當前注冊會計師行業(yè)基本上都是風險導向?qū)徲?,因此審計自身存在的固有限制會影響CPA發(fā)現(xiàn)重大錯報風險的能力,所以假如企業(yè)管理層掩蓋盈余管理現(xiàn)象,審計人員即使按照審計準則的要求,有時也無法發(fā)現(xiàn)重大錯報現(xiàn)象,因此增加了注冊會計師的違約風險。(2)違法風險。隨著市場經(jīng)濟體制的不斷建設(shè)和完善,審計師在社會經(jīng)濟生活中的地位逐漸突出,作用也越來越大。如果審計人員工作失誤或具有欺詐行為,將會給利益相關(guān)者造成重大損失,甚至會導致經(jīng)濟秩序的混亂。如果審計人員與上市公司管理層惡意串通合謀從事盈余管理,或?qū)ι鲜泄敬嬖谟喙芾硇袨樾闹敲鞫挥柚刚龝r,其將承擔相應的違法風險。(3)違反職業(yè)道德的風險。根據(jù)審計準則的要求,注冊會計師應遵守誠信、獨立性、客觀和公正、專業(yè)勝任能力和應有關(guān)注、保密、良好執(zhí)業(yè)行為等一系列原則。但由于上市公司有內(nèi)部或外部的盈余管理動機,上市公司很可能會賄賂審計人員,這時一些審計人員可能會經(jīng)不起利益誘惑,與上市公司合謀操縱盈余管理,從而違反職業(yè)道德的基本原則。
(二)考驗注冊會計師行業(yè)的職業(yè)能力 注冊會計師應當持續(xù)了解并掌握當前法律、技術(shù)和實務(wù)的發(fā)展變化,將專業(yè)知識和技能始終保持在應有的水平上,確保為客戶提供具有專業(yè)水準的服務(wù)。但在審計業(yè)務(wù)的實際操作中,由于注冊會計師行業(yè)整體水平有限,并不是項目組所有成員都能達到應有的專業(yè)勝任能力和執(zhí)業(yè)能力,并且注冊會計師是基于風險導向?qū)徲嫞陨鲜泄据^為隱蔽的盈余管理行為很難發(fā)現(xiàn)。
(三)影響注冊會計師的社會公信力 審計人員在向公眾傳遞相關(guān)信息時,應當客觀、公正、得體,避免損害職業(yè)形象,這才能保證“經(jīng)濟警察”的形象。如果審計人員因盈余管理致使審計失敗,社會公眾及其利益相關(guān)者將會對審計行業(yè)失去信心,另外還會追究審計人員和會計師事務(wù)所相應的違法責任。即使審計人員沒有導致審計失敗,但由于上市公司的經(jīng)營失敗也會使社會公眾對審計師甚至整個審計行業(yè)失去信心。
三、外部審計應對盈余管理的對策
(一)接受審計項目階段 會計師事務(wù)所及各個項目經(jīng)理應該根據(jù)相關(guān)審計執(zhí)業(yè)準則的規(guī)定,慎重決定是否接受新的審計項目或繼續(xù)保持與被審計單位業(yè)務(wù)往來,對具有盈余管理行為的客戶保持高度的敏感性。在接受新客戶的業(yè)務(wù)前或決定是否保持現(xiàn)有業(yè)務(wù)或考慮接受現(xiàn)有客戶的新業(yè)務(wù)時,會計師事務(wù)所應通過執(zhí)行相關(guān)程序,來識別和評估會計師事務(wù)所所面臨的風險,以便了解客戶的誠信問題、評估自身是否具備執(zhí)行審計業(yè)務(wù)所必須的素質(zhì)、專業(yè)勝任能力、時間和資源以及是否能遵守相關(guān)職業(yè)道德的要求。審計人員應該與客戶進行會談,了解客戶業(yè)務(wù)構(gòu)成、人力財力物力、經(jīng)營戰(zhàn)略、企業(yè)文化以及所處行業(yè)的總體發(fā)展水平、行業(yè)與宏觀經(jīng)濟等信息,有助于注冊會計師初步判斷客戶是否存在盈余管理的動機。在初步了解業(yè)務(wù)環(huán)境后,考慮承接業(yè)務(wù)是否符合獨立性和專業(yè)勝任能力。認真擬定并保管好業(yè)務(wù)約定書,并向被審計單位管理層索取管理層聲明書。
(二)審計計劃階段 在執(zhí)行具體審計程序前,注冊會計師應先分析被審計單位的具體情況來制定恰當?shù)膶徲嬘媱?,防止無法獲取充分、適當?shù)膶徲嬜C據(jù),影響審計目標的實現(xiàn),使審計質(zhì)量不能得到合理保證,影響審計人員的工作效率。審計人員應提高自身對盈余管理現(xiàn)象的謹慎性和敏感度。審計項目組應結(jié)合被審計客戶的經(jīng)營狀況和行業(yè)背景等特征,并通過與企業(yè)管理層、內(nèi)部審計人員和各級員工加強溝通所獲取的證據(jù)、被審計客戶的財務(wù)與非財務(wù)狀況、以前各個年度和本期中期財務(wù)報告的審計報告來分析判斷被審計客戶當前是否存在盈余管理行為。如果被審計客戶存在企業(yè)治理結(jié)構(gòu)和管理體系不完善,董事會或股東大會召開不符合相關(guān)規(guī)定,會計凈利潤與現(xiàn)金流量狀況不匹配,財務(wù)指標在臨界點附近,非正常交易(關(guān)聯(lián)方交易和非經(jīng)常易)的利潤占會計利潤的重大等現(xiàn)象,就可以推斷被審計單位可能存在盈余管理行為。
(三)風險評估階段 審計人員應當實施風險評估程序,并將其獲取的風險評估結(jié)果作為評估重大錯報風險的依據(jù)。風險評估程序是無法省略的環(huán)節(jié),因為其為審計人員在許多重要環(huán)節(jié)做出正確的專業(yè)判斷提供重要線索,因此注冊會計師應重視風險評估階段相關(guān)工作。注冊會計師在實施風險評估程序階段的主要工作有:一是全面了解被審計單位及其內(nèi)、外部環(huán)境,并深入了解客戶的性質(zhì)、目標、戰(zhàn)略、內(nèi)部控制及其經(jīng)營情況,根據(jù)被審計單位的經(jīng)營狀況和相關(guān)行業(yè)狀況、法律環(huán)境和監(jiān)管環(huán)境等外部環(huán)境;二是要識別和評估報表層次和各類交易、賬戶余額和披露認定層次的重大錯報風險,重點有識別和評估特別風險以及僅實施實質(zhì)性程序?qū)o法應對的重大錯報風險。
(四)進一步審計階段 注冊會計師應當根據(jù)風險評估結(jié)果制定相應的總體應對措施,并確定和實施進一步審計程序(控制測試和實質(zhì)性程序),確保審計風險降低到可接受的水平范圍。針對財務(wù)報表層次重大錯報風險應采取以下措施:向項目組全體成員強調(diào)保持職業(yè)懷疑態(tài)度的重要性;將審計經(jīng)驗豐富的審計人員或具有相關(guān)特殊技術(shù)的專業(yè)人士用于應對特殊的盈余管理行為。在具體實施進一步審計程序時,應該從著重把握以下幾個要點:一是分析債務(wù)重組的類型、意圖及其方式,并判斷對被審計單位影響的重要程度,對于影響重大的經(jīng)濟事項應要求被審計單位在財務(wù)報告中給予充分披露;二是根據(jù)獲得的被審計單位高級管理人員及股東大會的相關(guān)會議記錄來判斷其是否有非貨幣性資產(chǎn)交換現(xiàn)象,并關(guān)注資產(chǎn)的確認是否恰當、計量是否公允、相關(guān)信息披露是否充分;三是關(guān)注與關(guān)聯(lián)方金額較大的經(jīng)濟交易事項,判斷是否存在被審計單位與關(guān)聯(lián)方串通虛構(gòu)交易或?qū)崿F(xiàn)不公平交易實現(xiàn)粉飾財務(wù)狀況和經(jīng)營成果的效果;四是關(guān)注大額的非經(jīng)常損益項目,發(fā)現(xiàn)是否存在利用非經(jīng)常性損益項目的特殊性實現(xiàn)盈余管理;五是關(guān)注被審計單位會計政策和會計估計是否改變,如果其改變相關(guān)會計處理方法,再考慮這一改變是否存在相關(guān)會計法律、準則、制度等法律、法規(guī)的變更,或者是外部經(jīng)濟環(huán)境以及其他相關(guān)客觀情況發(fā)生變化等正當理由支持會計政策和會計估計變更。
(五)審計項目完成階段 在完成了對財務(wù)報告具體審計程序之后,注冊會計師還必須根據(jù)相關(guān)審計準則的要求確保有效實施審計完成階段的工作,結(jié)合前幾階段獲取的審計證據(jù),發(fā)揮自身的專業(yè)判斷能力,出具恰當?shù)膶徲嬕庖妶蟾?。注冊會計師應根?jù)自身獲取的審計證據(jù),評價被審計單位是否符合持續(xù)經(jīng)營假設(shè),是否存在利用或有事項操作利潤現(xiàn)象。在復核審計工作底稿時,可分為:項目組內(nèi)部復核(項目經(jīng)理現(xiàn)場復核和項目負責合伙人復核)和項目質(zhì)量控制復核。重視三級復核的落實,使風險降低到可以接受的水平范圍,保證審計質(zhì)量。
參考文獻:
一、當前企業(yè)內(nèi)控評價體系中的現(xiàn)狀及所存在的問題
1.無經(jīng)常性自我報告制度。多數(shù)企業(yè)沒有定期對內(nèi)部控制的有效性進行自我評價并出具內(nèi)部控制自我評價報告,這可能導致無法對企業(yè)內(nèi)部控制的風險、控制的適當性及有效性、重大缺陷及問題、業(yè)務(wù)運作效率等方面進行整體評價,發(fā)現(xiàn)其中的問題,更無法對現(xiàn)有內(nèi)部控制工作提出改進建議。
2.尚未建立風險分析、預警、應對機制。某些企業(yè)只有當風險發(fā)生時才采取措施加以補救,偏重于事后控制而忽視事前的預防控制,對突發(fā)性及臨時性事件沒有充分的考量,而按照以往的規(guī)律經(jīng)驗辦事。具體表現(xiàn)在內(nèi)部控制的相應條款上沒有考慮到一些事項的變更情況及相應的處理情況,很可能在未來會因此而受到經(jīng)濟損失。
3.風險評估不及時。風險評估是及時識別、科學分析和評價影響內(nèi)部控制目標實現(xiàn)的各種不確定因素,并采取應對策略的過程,是實施內(nèi)部控制的重要環(huán)節(jié)。風險評估必須是動態(tài)的跟蹤評估,有些風險因素是短時的甚至是瞬間的,需要立刻做出化解風險的決策,因此其時效性是至關(guān)重要的。目前有些企業(yè)仍處于階段性的定期評估狀態(tài),有失對風險的及時主動控制,而滯后控制往往成效甚微。
二、加強風險導向內(nèi)控評價體系的建立及完善措施
1.建立全面的內(nèi)控評價體系
企業(yè)應定期對整個企業(yè)內(nèi)控有效性進行評價,對內(nèi)控評價報告中列示的問題,應當采取適當?shù)拇胧┻M行改進,并追究相關(guān)人員的責任,管理層和董事會應當根據(jù)評價結(jié)論對相關(guān)單位、部門或人員實施適當?shù)莫剟詈蛻徒?。通過內(nèi)控體系要素評分、內(nèi)控審計并結(jié)合持續(xù)自我評估和專項評價的結(jié)果,對企業(yè)內(nèi)部控制整體有效性進行評價。企業(yè)應指導風險管理部門的內(nèi)控體系整體評價工作,審議內(nèi)控體系有效性整體評價報告。
2.建立經(jīng)常性自我報告制度
為了檢查企業(yè)內(nèi)部控制和風險管理體系的實施情況和有效性,本文建議企業(yè)應對管理和業(yè)務(wù)流程進行持續(xù)監(jiān)控與分析、評價并匯報管控缺陷,并制定自身適用的內(nèi)部控制評價辦法,分析評價內(nèi)部控制發(fā)現(xiàn)的缺陷,組織調(diào)查內(nèi)部控制缺陷責任,制訂內(nèi)部控制缺陷整改措施并監(jiān)督落實。
每一年度終了,監(jiān)察審計部結(jié)合對企業(yè)內(nèi)部控制的日常監(jiān)督和專項監(jiān)督的檢查結(jié)果,對該年來內(nèi)部控制體系的建立與運行的有效性進行全面總結(jié)和評價,出具企業(yè)內(nèi)部控制年度評價報告,并上報審計委員會。審計委員會通過進一步的調(diào)查了解,形成《內(nèi)部控制自我評價報告》,提請企業(yè)董事會審議批準。董事會和經(jīng)營管理層針對評價報告中所發(fā)現(xiàn)的問題提出完善方案,監(jiān)察審計部在審計委員會的領(lǐng)導下,對內(nèi)部控制的完善情況進行跟蹤檢查。
3.建立風險評估機制
風險評估是及時識別、科學分析和評價影響內(nèi)部控制目標實現(xiàn)的各種不確定因素,并采取應對策略的過程,是實施內(nèi)部控制的重要環(huán)節(jié),具體包括了目標設(shè)定、風險識別和風險應對,應該將風險評估上升到風險管理的高度,將風險作為控制的核心理念,而且以目標位導向能使控制方向更明確,從而控制企業(yè)的整體發(fā)展。所以風險評估必須是動態(tài)的跟蹤評估。
并且,控制環(huán)境中包括的要素很多,但考慮成本效益原則,并不是所有的要素都有控制的價值。因此需要通對企業(yè)主要業(yè)務(wù)的特點進行分析,結(jié)合先前的管理經(jīng)驗,參照同行業(yè)先進內(nèi)部控制管理企業(yè)的做法,對那些會影響有關(guān)控制目標實現(xiàn)的要素的風險程度進行合理的評估,對那些風險水平較高的可控因素實施控制,按以下流程進行評估:工作目標風險評估控制風險的措施。以工作目標為風險評估的起點,找出控制環(huán)境諸要素中可能導致工作目標不能如期實現(xiàn)的關(guān)鍵控制點,通過對其風險程度的評估,并采取科學控制風險的措施,積極有效地加以控制,從而保證其工作目標的實現(xiàn)。
4.健全風險管理機構(gòu)
【關(guān)鍵詞】 ITIL 補丁管理
ITIL即(Information Technology Infrastructure Library) 由英國政府部門CCTA(Central Computing and Telecommunications Agency)在20世紀80年代末制訂,現(xiàn)由英國商務(wù)部OGC(Office of Government Commerce)負責管理,主要適用于IT服務(wù)管理(ITSM)。
ITIL為服務(wù)管理實踐提供了一個客觀、嚴謹、可量化的標準和規(guī)范,用戶可以根據(jù)自己的能力和需求定義自己所要求的不同服務(wù)水平,參考ITIL來規(guī)劃和制定其IT基礎(chǔ)架構(gòu)及服務(wù)管理,從而確保IT服務(wù)管理能為業(yè)務(wù)運作提供更好的支持。ITIL主要包括六個模塊,即業(yè)務(wù)管理、服務(wù)管理、ICT基礎(chǔ)架構(gòu)管理、IT服務(wù)管理規(guī)劃與實施、應用管理和安全管理。
隨著信息技術(shù)在廣播行業(yè)的不斷深入,音頻工作站、大型存儲設(shè)備、服務(wù)器等一系列設(shè)備成為廣播工作的標準配置;操作系統(tǒng)、音頻軟件、管理軟件等第三方軟件產(chǎn)品應用于廣播工作的方方面面。信息技術(shù)的標準化管理也成為了廣播行業(yè)的標準操作守則。
ITIL并不能直接指導日常維護和補丁升級操作,但ITIL涵蓋了范圍更為寬廣的變更、分發(fā)和配置管理,從而使利用ITIL的思想和原則對補丁管理流程進行規(guī)范成為可能。電臺在實施補丁管理的過程中,會遇到相當多的問題。冗余低效的補丁分發(fā)方案、補丁記錄缺失、高風險的補丁實施和沒有制定有效的補丁撤銷策略等是其中影響最大的問題。這些問題的存在,不但明顯降低了工作效率,還嚴重影響廣播電臺安全播出工作。
補丁管理是一個系統(tǒng)化的工作,它實施的好壞將直接影響廣播電臺的安全播出工作。因此廣播電臺所制定得補丁管理策略,首先就要明確實施目的,在了解目的之后,下一步需要做的就是,制定一個符合自己業(yè)務(wù)和IT環(huán)境現(xiàn)狀的理想補丁管理策略。
一.管理目的
作為廣播電臺系統(tǒng)管理人員,一個安全的網(wǎng)絡(luò)環(huán)境、穩(wěn)定的系統(tǒng)環(huán)境、功能強大且貼近用戶的音頻軟件是我們職責所在。作為這個目標的一部分,我們必須及時系統(tǒng)為安裝最新的系統(tǒng)補丁和安全補丁,為音頻軟件及時安裝更新包。
二.現(xiàn)狀分析
要在廣播電臺中做好補丁管理工作,首先需要了解系統(tǒng)環(huán)境、網(wǎng)絡(luò)環(huán)境和各類軟件等運行情況,以便下一步有針對性地跟蹤所需要的補丁和要采取的措施。
三.風險評估
在進行補丁升級操作之前,我們需要獲得當前最新的補丁程序信息,同時還要知道哪里需要進行補丁升級操作的。因此,在風險評估這一階段對存在漏洞進行調(diào)查,并獲取補丁程序的信息。
風險評估的一般步驟如下:1、獲取漏洞信息和廠商的補丁信息;2、評估漏洞和補丁對現(xiàn)有系統(tǒng)及應用程序的影響;3、查找并記錄現(xiàn)有系統(tǒng)和應用程序中存在的漏洞,并記錄所有的處置決定;4、將漏洞情況通知部門領(lǐng)導并提交變更請求。
對于操作系統(tǒng)而言,廣播電臺可以很方便地從相關(guān)廠商或各大安全站點上獲取最新的漏洞和補丁信息。這些漏洞信息中通常包括受影響系統(tǒng)、漏洞描述和威脅等。廣播電臺工作人員需要將這些信息記錄下來,并作為補丁程序使用決定的依據(jù)之一。
對于音頻軟件等產(chǎn)品,廣播電臺可以從廠商獲取最近漏洞和補丁信息,并且將自己所遭遇的BUG及功能改進需求及時通知廠商。廣播電臺系統(tǒng)管理人員需要將這些信息記錄下來,作為補丁程序使用的依據(jù)之一。
四.補丁請求管理
在收到補丁請求后,系統(tǒng)管理員人就需要對補丁請求進行審核和批準。這個階段通常包括對補丁請求的審核,評估變更可能帶來的影響和成本,批準已經(jīng)評估的補丁以及跟蹤補丁的實施效果等步驟。
對于自動化播出系統(tǒng)而言,補丁一般分為兩類。一類是廠商定期的補丁程序,另一類是廠商的緊急補丁升級程序。
無論是哪一類補丁程序中,系統(tǒng)管理員都必須根據(jù)補丁請求,仔細評估補丁可能帶來的影響和風險,批準已經(jīng)評估的補丁,并跟蹤補丁的實施效果。
在部署之前,廣播電畢所有的補丁之后,系統(tǒng)管理人員將確認補丁是否成功安裝,以及沒有產(chǎn)生副作用。人員要對一個補丁在自動化播出系統(tǒng)里所產(chǎn)生的效果進行評估。同時,還要要評估與該補丁相關(guān)的各平臺可能會受到的影響。在運行一段時間后,根據(jù)運行情況,出具測試報告,并將報告提交上級領(lǐng)導。
此外,齊全的文檔記錄非常重要,這對實施緊補丁流程尤其重要。只有這樣,系統(tǒng)管理員才能跟蹤補丁更新的實施效果。同時,系統(tǒng)管理員應該做好軟件、數(shù)據(jù)的備份工作。在補丁更新出現(xiàn)問題時也能夠及時按照文檔的記錄進行修正。
五.補丁部署
在獲得上級領(lǐng)導批復后,同時做好安全應急方案后,就可以開始部署打補丁工作了。每一步操作都須嚴格遵守事先規(guī)定的進程,確保所有設(shè)備安裝了所有最新的補丁。
面對中央臺錯綜復雜的使用環(huán)境,如何保證每臺設(shè)備都迅速快捷的安裝了補丁程序?
自動化極其重要,變更記錄、確保補丁不干擾其他應用程序的測試以及避免堵塞網(wǎng)絡(luò)的部署策略也極其重要。
對于Windows系統(tǒng)而言,微軟就致力于能夠自動給Windows服務(wù)器和桌面機打補丁。Windows服務(wù)器更新服務(wù)(WSUS)提供了本地管理的軟件更新服務(wù),這是除本地微軟更新系統(tǒng)之外的一種選擇。系統(tǒng)管理員可以使用WSUS,就可以從中心服務(wù)器,自動分發(fā)補丁和更新程序給客戶機。
對于制作系統(tǒng)而言,英孚美迪公司開發(fā)了一套自己的軟件UPDATE更新服務(wù)。系統(tǒng)管理員可以通過它從服務(wù)器自動分發(fā)補丁給客戶端。編播人員在登錄時就可以自動更新制作軟件。
對于播出系統(tǒng)而言,中央電臺各套播出站雖然有著統(tǒng)一的基本配置,但是各套頻率對播出又有不同的要求。因此手工打補丁這項工作極其重要。手工打補丁要列一份詳細的清單,列出補丁流程的每一個步驟,包括收集補丁信息、確定嚴重性和優(yōu)先級、進行詳細測試以便發(fā)現(xiàn)補丁會不會影響其他系統(tǒng),以及確定哪些端點設(shè)備需要更新。
六.審核,評估以及驗證
完畢所有的補丁之后,系統(tǒng)管理人員將確認補丁是否成功安裝,以及沒有產(chǎn)生副作用,并根據(jù)風險評估時所記錄的信息一一比對,確認問題已經(jīng)解決。
制定并實施基于ITIL的補丁管理策略,可以保證中央臺能夠以標準化的流程評估、和應用補丁程序,并及時解決在進行補丁升級時可能遇到的問題,保障中央臺安全播出。同時,大大降低補丁程序可能對中央臺安全播出造成的影響。
總之要比較好的進行補丁管理,需要:
1.良好、規(guī)范的流程,有效的運營機制;
2.具有一定技術(shù)水平的系統(tǒng)管理人員、網(wǎng)絡(luò)管理員,并且大家相互之間需要良好的溝通與合作;
3.具有方便高效的管理工具和技術(shù)。B&P
參考文獻:
1.《中型企業(yè)補丁管理解決方案》
【關(guān)鍵詞】工程造價風險管理;體系評估;防范對策
中圖分類號:TU723.3 文獻標識碼:A 文章編號:
1.工程造價的風險評估體系具體含義
1.1工程造價的特殊職能作用
除了普通商品價格應有的職能作用以外.工程造價還有自身特殊的職能作用。如預測作用,即因為工程項目投資大,變化多.所以投資單位和承包單位在工程投建之前都會作出一個科學實際的預測.不但為投資單位進行項目選擇、資金預備和成本控制等工作形成依據(jù).也給承包單位的招投標決策、評估報價和管理工作提供參考:控制作用,工程造價具有有力的控制職能.即對投資主體在工程建設(shè)中的全部投資活動及承包單位建設(shè)成本起到控制作有:評估職能。工程造價是評估項目總投資、各建設(shè)單元投資效能、生產(chǎn)效益和項目還貸的參考依據(jù),在建設(shè)過程中發(fā)揮著非常重要的作用 最后.工程造價還有調(diào)控的職能作用,工程建設(shè)與社會經(jīng)濟、社會資源和分配利益流向有著直接關(guān)系。對經(jīng)濟發(fā)展有很大的影響和促進.是國家經(jīng)濟建設(shè)和經(jīng)濟結(jié)構(gòu)宏觀調(diào)控的重要內(nèi)容。
1.2工程造價的實質(zhì)
顧名思義,工程造價就是建設(shè)工程價格成本,從管理學角度可從兩方面來理解:即投資方在工程某個項目建設(shè)中所需要的全部費用。以工程投資活動與管理形式為主.將構(gòu)成工程造價的所有投資總額轉(zhuǎn)變成相對固定產(chǎn)業(yè)和無形資產(chǎn).換句話說.建設(shè)工程項目固定資產(chǎn)所用的投資額即為工程造價:還有一方面,就是在社會主義寵觀經(jīng)濟環(huán)境下,圓滿完成工程建設(shè)所需的土地、技術(shù)、設(shè)備、勞動力和承包等市場費用.以及市場經(jīng)營活動中投入到建筑和安裝工程上的費用總和由于建設(shè)施工承包企業(yè)和投資主體市場角度不同.前者追求最高利潤,必然會提高工程造價.而后者則控制建設(shè)價格。追求成本最低化。所以說.不同利益主體需要實現(xiàn)的目標不同.解決這一矛盾的最有效方式就是將市場供給作為主體管理目標.并不斷建全和完善管理活動中工程造價的管理內(nèi)容與管理方式。
1.3工程造價風險管理要素
工程造價風險管理是施工單位根據(jù)自身的經(jīng)濟條件.采用相應有效的管理形式控制和盡量避免資源損失.分析不同管理形式、投資成本和建設(shè)結(jié)果得出最合理有效的方法.實現(xiàn)風險安全管理的最終目標。工程造價風險管理的主要內(nèi)容包括風險判斷.就是產(chǎn)生風險的誘因,風險預計和評估.是指判斷風險出現(xiàn)的可能性和風險出現(xiàn)的后果.還有風險應對。即風險發(fā)生后,經(jīng)過分析采取有效措施解除風險,或?qū)L險影響降到最低.以保證工程建設(shè)順利進行。
2.工程造價風險的判斷和評價
風險判斷和評估是工程造價風險管理活動中的重點工作.對施工企業(yè)有效控制建設(shè)成本.提高管理質(zhì)量具有極期重要的意義。
2.1風險判斷的內(nèi)容
工程造價風險判斷應貫穿整個項目施工過程始終.具有階段性.即以不同工作階段實現(xiàn)目標為基礎(chǔ).對各階段工作有可能發(fā)生的風險作出判斷。首先是招投標工作期間的風險預測。以分析資訊信信風險、墊付投資風險、勘察設(shè)計的不確保因素、施工形式和技術(shù)處理有可能造成的風險、招投標價格和決策等潛在風險為途徑.為各主體實施有效的針對防止措施建立科學依據(jù)。其次。進入施工期后,對投資業(yè)主、管理主體,以及社會經(jīng)濟環(huán)境、外界因素和相應的法規(guī)所帶來的風險進行識別判斷。包括由施工單位自己導致的風險識別。最后是竣工驗收期間的風險識別,包括投資方和工程造價單位壓價空間、由資金問題產(chǎn)生的核算風險.施工和設(shè)計變化等方面造成的工程造價不確定因素。同時,對工程財務(wù)評價的規(guī)定和條件變更使得項目利潤低于預期效果的風險進行分析和識別。
2.2工程造價的風險評估形式
隨著計算機電子信息技術(shù)的普遍應用.項目工程風險管理技術(shù)得到了充分的發(fā)展和豐富。工程造價風險評估的形式和方法多種多樣,由于其本身的特點和影響因素,結(jié)合具體實踐,現(xiàn)階段通常采取的評估方法有模糊層次探析方式、概率評價方式等形式進行評估。并對影響整體工程的各種因素建立相應數(shù)據(jù)模.以分析和判斷影響因素的程度,使風險管理能夠明確目標和方向。
3.防范工程造價風險的對策
3.1制定完善合理的應對工程造價風險計劃
施工主體在自身經(jīng)濟允許的基本上,采用多種相應控制手段防范風險,以提高風險管理質(zhì)量。因此,必需要分析每一個策略投入成本和導致的后果,從中總結(jié)出最優(yōu)方案,為實現(xiàn)利潤最大化而制定的全面且不斷完善的一系列計劃和策略
3.2提高風險意識,認真對待工程建設(shè)過程中的重要工作環(huán)節(jié)
首先,在招投標期間要慎重應對,因為工程招投標工作是整個工程造價的基本前提,建設(shè)承包主體要盡可能地提供施工必須的條件和參考依據(jù),如工程清單、施工圖、招標條件和法律合同等,促進招投標工作成功實現(xiàn)。在施工單位完全理解招投標文件內(nèi)容的前提下.對一些可能導致風險的條件提出改進.將風險防范作為工程清單報價的重要內(nèi)容。結(jié)合市場規(guī)律和企業(yè)實力,以工程總價不變?yōu)樵瓌t,對不平穩(wěn)報價和風險因素進行分析和變更,這就要求招投標報價必須合理實際,并能游刃有余地及時采取有效措施應對發(fā)生的風險。在制訂合同時,必須嚴密、規(guī)范和謹慎。確定各方職責和利益,將合同帶來的風險限制在合理、最低的范圍內(nèi)。同時。要加強施工期間的管理工作,這是實現(xiàn)風險控制的重要階段.施工承包單位在整個施工過程中應加強對工程質(zhì)量、資金支付、損失索賠和驗收工作的管理,減少風險發(fā)生。
3.3實行項目經(jīng)理責任制.規(guī)范主要設(shè)備和材料管理
以項目經(jīng)理為中心建立統(tǒng)一的崗位責任制,給予項目經(jīng)理管理權(quán)、人事選擇權(quán)和業(yè)績考核權(quán)。使其可以充分發(fā)揮主觀能動性。同時,對工程所需的主要設(shè)備和材料,從采購到購回后驗收都要進行嚴格把關(guān),制定合格報告。在使用過程中要加強維護和管理,將消耗控制到最低程度,節(jié)省使用成本。
3.4強化工程施工安全管理
工程建設(shè)是一個易發(fā)風險的過程,安全隱患比較多。因此,必須建立完善的、科學的項目安全管理體制.以合同和文件的形式將安全責任落實到人,實現(xiàn)人人有責,保證安全管理實現(xiàn)。預防隱患是施工安全管理的基本原則,所在,在施工之前還要制定一系列的風險應對和事故救援預案,以應對威脅安全的隱患,將事故影響最小化,實現(xiàn)順利安全作業(yè)的目標。
4.結(jié)語
建筑工程項目是一個變化的不穩(wěn)定的漫長過程,參與單位較多,各單位間的關(guān)系也錯綜復雜,同時,又受外界環(huán)境的影響。使工程造價的風險評估時常面臨風險。而構(gòu)成工程造風險管理評估的所有要素,在整個工程建設(shè)中處于不穩(wěn)定狀態(tài),必然會對風險評估造成影響。所以,構(gòu)建工程造價風險管理體系,對研究和建立良好解決防止風險對策有著重要的作用。
總之,工程造價的風險評估對整個項目工程意義重大。因為影響工程順利建設(shè)的因素不但多樣而且復雜.做好工程造價的風險管理和評估.可以有效地控制工程建設(shè)成本和實施風險防范對策.有利于工程的進展的后期結(jié)算.是項目工程商品化并與市場接軌實現(xiàn)效益的重要舉措。
【參考文獻】
[1]佚名.建設(shè)工程風險管理,土木工程[M].2008—02—07.
關(guān)鍵詞:安全運維;技術(shù)支撐;信息安全
中圖分類號:TP3 文獻標識碼:A
1 引言(Introduction)
為進一步規(guī)范信息安全管理,提高信息安全管理水平,建設(shè)一套集“監(jiān)、管、控”功能為一體的安全運維管理平臺勢在必行[1,2],通過對IT基礎(chǔ)設(shè)施與應用系統(tǒng)的集中監(jiān)控,實時反映IT資源的運行狀況,對事件、問題、變更、配置等運維服務(wù)進行集中處理,最終實現(xiàn)信息資產(chǎn)可知、運行狀態(tài)可視、服務(wù)流程可管、運維操作可控,全面提升信息安全保障能力,有效支撐業(yè)務(wù)系統(tǒng)的穩(wěn)定運行,為運維工作提供有效技術(shù)支撐。
2 IT運維中存在的問題(Problems in the operation
management)
隨著IT業(yè)務(wù)和規(guī)模不斷在擴展,給信息中心人員的管理帶來了一定程度上的難度,主要體現(xiàn)在以下幾個方面:
一是隨著網(wǎng)絡(luò)環(huán)境的日趨復雜,傳統(tǒng)的“來電響應式”的IT運維管理模式無法及時發(fā)現(xiàn)潛在的網(wǎng)絡(luò)異常及隱患,如何實現(xiàn)網(wǎng)絡(luò)的事前管理和透明化監(jiān)控是保障應用系統(tǒng)穩(wěn)定運行、核心業(yè)務(wù)正常運轉(zhuǎn)的關(guān)鍵。
二是業(yè)務(wù)系統(tǒng)的數(shù)量不斷增多,往往是業(yè)務(wù)部門向信息中心反映系統(tǒng)出現(xiàn)問題后,運維人員才發(fā)現(xiàn)系統(tǒng)出現(xiàn)了故障,具有滯后性。同時無法從業(yè)務(wù)角度來審視系統(tǒng)的健康度,導致故障無法快速定位業(yè)務(wù)故障點,也無法通過資源的故障判斷它所影響到的業(yè)務(wù)系統(tǒng)等。
三是缺少有效技術(shù)手段,對網(wǎng)絡(luò)邊界完整性進行監(jiān)控與管理,不能及時發(fā)現(xiàn)私自內(nèi)聯(lián)與非法外聯(lián)等高風險行為。對業(yè)務(wù)訪問、后臺運維等操作行為缺少必要的監(jiān)控與審計管理技術(shù)手段。
3 建設(shè)內(nèi)容(The content of the construction)
信息系統(tǒng)安全運維管理平臺應該包括以下內(nèi)容:
3.1 綜合監(jiān)控管理子系統(tǒng)
綜合監(jiān)控管理子系統(tǒng)實現(xiàn)對IT基礎(chǔ)層的路由交換設(shè)備、安全設(shè)備、服務(wù)器、數(shù)據(jù)庫、中間件、服務(wù)等以及資源關(guān)聯(lián)的應用進程、端口、日志等的全面監(jiān)管,幫助管理人員及時了解IT架構(gòu)(各類IT資源)的運行情況,形成安全事件關(guān)聯(lián)分析,支持策略管理,能自動或手工設(shè)定啟動相關(guān)事件處理流程。
3.2 安全運維服務(wù)管理子系統(tǒng)
運維服務(wù)管理子系統(tǒng)是安全管理、日常工作和服務(wù)管理的有機結(jié)合。運維服務(wù)管理子系統(tǒng)應基于ITIL(運維管理最佳實踐等)和實際管理需求,提供服務(wù)流程管理、業(yè)務(wù)資源管理、安全管理為主的綜合性管理,以保障運維管理的規(guī)范化和標準化,提升日常運維管理效能。
3.2.1 安全信息采集與分析
采集各種廠商、各種類型的日志信息,針對采集的各類安全要素信息,實現(xiàn)性能與可用性分析、配置符合性分析、安全事件分析、脆弱性分析、風險分析和宏觀態(tài)勢分析。其中,風險分析包括了資產(chǎn)價值分析、影響性分析、弱點分析、威脅分析等;宏觀態(tài)勢分析包括了地址熵分析、熱點分析、關(guān)鍵安全指標分析、業(yè)務(wù)健康度分析、關(guān)鍵管理指標分析??杉傻谌桨踩芾碇行能浖?。
(1)安全事件采集
根據(jù)前期從各種網(wǎng)絡(luò)設(shè)備、服務(wù)器、存儲、應用等對象收集的各種安全資源、對象的安全事件、安全配置、安全漏洞、資產(chǎn)信息等數(shù)據(jù),進行范式化處理,把各種不同表達方式的日志轉(zhuǎn)換成的統(tǒng)一的描述形式。
(2)安全事件分析
透過智能化的安全事件關(guān)聯(lián)分析,提供基于規(guī)則的關(guān)聯(lián)分析、基于情境的關(guān)聯(lián)分析和基于行為的關(guān)聯(lián)分析技術(shù)。
管理對象的日志量和告警事件量應在應用系統(tǒng)拓撲圖顯示;用戶點擊拓撲節(jié)點可以查詢事件和告警信息詳情;可以對一段時間內(nèi)的安全事件進行行為分析,形象化地展示海量安全事件之間的關(guān)聯(lián)關(guān)系,從宏觀的角度來協(xié)助定位安全問題。
安全事件以可視化視圖展示,具備多種展現(xiàn)手段,至少包括事件拓撲圖、IP全球定位圖、動態(tài)事件移動圖、事件多維分析圖、資產(chǎn)拓撲圖等。
3.2.2 安全隱患預警與處置
采用主動管理方式,能夠在威脅發(fā)生之前進行事前安全管理。主要提供安全威脅預警管理、主動漏洞掃描管理、主動攻擊測試等方式配合進行安全核查。
安全威脅預警管理,用戶可以通過預警管理功能內(nèi)部及外部的早期預警信息,并與資產(chǎn)進行關(guān)聯(lián),分析出可能受影響的資產(chǎn),提前讓用戶了解業(yè)務(wù)系統(tǒng)可能遭受的攻擊和潛在的安全隱患。
主動漏洞掃描管理,能夠主動地、定期自動化地發(fā)起漏洞掃描、攻擊測試等,并將掃描結(jié)果與資產(chǎn)進行匹配,進行資產(chǎn)和業(yè)務(wù)的脆弱性管理。
配合安全檢查管理,夠協(xié)助運維管理人員建立安全配置基線管理體系,實現(xiàn)資產(chǎn)安全配置檢查工作的標準化、自動化,并將其納入全網(wǎng)業(yè)務(wù)脆弱性和風險管控體系。
3.2.3 告警管理
為了全面的收集各類事件告警,系統(tǒng)應提供所有事件告警的統(tǒng)一管理。
(1)告警內(nèi)容
告警內(nèi)容包含事件的節(jié)點、類型、級別、位置、相關(guān)業(yè)務(wù)等,幫助運維人員在收到故障報警時能夠迅速了解故障相關(guān)的資源、人員、業(yè)務(wù)等信息,快速作出反應。
(2)告警處理
系統(tǒng)需要針對各業(yè)務(wù)系統(tǒng)涉及IT資源環(huán)境進行實時故障處理。它能從主機和業(yè)務(wù)系統(tǒng)的各個環(huán)節(jié)收集事件信息,通過對這些信息的過濾、處理、關(guān)聯(lián),分遞給相關(guān)人員,使得最重要的故障能夠優(yōu)先地被關(guān)注及處理。
告警消息能按照應用類別、消息種類、消息級別和處理崗位進行分類處理。消息種類可分為:操作系統(tǒng)、數(shù)據(jù)庫、中間件、存儲、硬件、應用、安全和網(wǎng)絡(luò)等。
(3)告警
能對告警級別進行自定義,根據(jù)級別確定電話告警,短信告警,郵件告警的方式進行報警。
3.2.4 風險管理
信息安全風險管理工作是在安全信息分析與處理功能的基礎(chǔ)上進行信息安全風險評估、信息安全整改任務(wù)等工作。
信息安全風險評估,根據(jù)安全信息分析結(jié)果開展風險評估流程,將風險評估結(jié)果形成豐富而詳細的圖形及報表。
信息安全整改,將信息安全風險評估信息匯總,歸并各個部門需處置的信息安全風險,進行集中處置工作并進行整改落實情況分析。
4 結(jié)論(Conclusion)
建立以資產(chǎn)管理為基礎(chǔ),項目管理為紐帶,以信息系統(tǒng)為核心,建立對IT業(yè)務(wù)的全生命周期的完整管理,從狀態(tài)監(jiān)控、行為審計、風險評估、服務(wù)管理四個維度建立起來的一套適合安全運維工作需求的統(tǒng)一業(yè)務(wù)支撐平臺,使得各類用戶能夠?qū)ο到y(tǒng)的關(guān)聯(lián)性、健康性、可用性、風險性、連續(xù)性、安全性等多維度進行精確度量、分析評估,實現(xiàn)事后運維向事中運維以至向事前防范的轉(zhuǎn)變,最終實現(xiàn)信息系統(tǒng)的持續(xù)安全運營。
參考文獻(References)
[1] 景義瓊.基于ITIL的網(wǎng)絡(luò)運維管理系統(tǒng)的設(shè)計與實現(xiàn)[D].復
旦大學,2010:15-18.
[2] 李榮華.基于ITIL的IT運維管理系統(tǒng)的設(shè)計與實現(xiàn)[D].北京
郵電大學,2010:13-15.
[3] 李.電子政務(wù)運維管理的關(guān)注因素[J].信息化建設(shè),2009
(02):1-2.