信息科技風險管理策略范文

時間:2024-03-28 16:38:38

導語:如何才能寫好一篇信息科技風險管理策略,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公文云整理的十篇范文,供你借鑒。

信息科技風險管理策略

篇1

關鍵詞:科技項目 風險管理 風險特點 風險評估

一、引言

新形勢下的科技項目對進一步促進科技的發展和自主創新的升級有著不可估量的作用,對推動技術轉移和科技成果產業化也是有積極的意義的。

在科技項目管理中,由于科技項目幾乎都是涉及科技的前沿領域,有很強的探索性,一些大型復雜科技項目大多是多學科、跨行業的聯合攻關,具有風險大、周期長、投入多、涉及面廣等特點,與一般項目相比,科技項目在不確定性、風險性方面表現的更加突出,從而使科技項目的管理、控制變得更加復雜,存在較大的風險。在科技項目的整個生命周期過程中不斷控制風險,從而達到減少或規避風險的目的。

二、項目風險管理的內容

項目風險管理屬于軟科學研究的范疇,是一門跨越自然科學和社會科學的系統化管理科學。它是一項根據項目環境和設定的目標,以一定的技術手段對可能影響項目的不確定性進行預測、識別、分析評估和有效管理,以增加規避風險的概率,降低風險影響的動態的綜合性管理活動。

對于項目風險管理的過程,國內外至今還沒有形成一個公認的、標準的意見。本文所涉及的項目風險管理過程主要包括項目風險識別、項目風險評估、項目風險應對、項目風險監控,下面將對這幾個階段進行詳細論述。

1.項目風險識別

項目風險識別是風險管理的基礎和重要組成部分,其主要任務是通過一定的方法、手段,盡可能找出各種潛在影響項目成功的不確定因素、風險來源、風險影響及其作用關系,并記錄項目風險特征。信息收集方法如德爾菲法、頭腦風暴法、訪談法等,以及提取風險信息的其他方法如風險核對表法、因果圖法、情景分析法和風險倒推法等,通常在具體應用過程中,需要結合多種方法和工具來提高風險識別結果的可靠性。

2.項目風險評估

項目風險評估是風險識別與決策之間聯系的紐帶,是風險管理決策的基礎,也是風險管理的關鍵過程。排列項目風險的優先次序,然后對排序在前的重大風險進行量化分析,以綜合評估項目風險的整體水平。

風險評估的方法一般可分為定性方法和定量方法兩大類,其中定性方法主要包括專家調查法、層次分析法等,定量方法主要包括敏感性分析、決策樹分析、模糊數學法等,在具體應用過程中,常常將定量方法和定性方法結合使用以確保評估結果的準確性。

3.項目風險應對

項目風險應對就是針對風險識別和評估的結果,為增加項目目標實現機會、減少失敗損失而制定風險應對措施、應對戰略和技術手段的過程,從而提高項目目標實現的可能性。風險應對策略可分為兩類:一類是消極風險應對策略包括風險回避、風險轉嫁、風險降低和風險接受等四種,另一類是積極風險應對策略包括風險利用、風險承擔和風險促進等三種。

4.項目風險監控

任何項目風險都有一個發生、發展過程,這就要求對項目管理全過程實施監控,項目風險監控是建立在項目風險的階段性、漸進性和可控性基礎上的一種項目管理工作。

風險監控目前還沒有一套公認的、單獨的技術可供使用,不過在實踐中也形成了一些比較實用的監控方法和工具,如定期項目風險報告,風險趨勢分析(掙值分析法),績效測量等。在具體應用過程中,需要結合這些方法識別分析新風險,審查風險應對策略的實施及其執行效果,從而實現真正意義上的風險管理。

三、科技項目風險特點

科技項目是指為探索自然界事物變化規律,或為解決一個比較復雜的綜合性科學技術問題而確定的一次性探索研究與試驗發展工作??萍柬椖渴琼椖康囊环N類型,它滿足和具備項目的一般特點,但它與其他類型的項目相比還具有特殊性,其區別主要體現在兩方面:一是創新性,二是不確定性和高風險性。其外部環境的變化、項目的難度和復雜度以及科技人員和項目管理者能力的有限性都有可能導致科技項目出現風險,且這種風險是客觀存在的,貫穿于科技項目的各個階段。

科技項目中的風險因素一般可以歸納為兩大類:管理風險和技術風險。

科技項目的管理風險主要是指在科技項目實施過程中,由于風險管理能力及管理活動中存在的不確定因素的影響而導致的風險。因此,控制科技項目管理風險的重要策略是加大信息量的搜集,以進行有效的決策。

科技項目的技術風險是指科技項目中的技術及技術內涵和外延中客觀存在的可能影響項目技術實現或技術實施,而給項目帶來危害的若干因素。由于科技項目風險具有上述特點,因此制定科學有效的風險管理策略,并根據科技項目的特性采用適合的風險管理技術方法在項目的生命周期中不斷控制風險就顯得非常重要。通過識別科技管理中的各種風險因素,分析、評價各種風險及其影響程度,從而實施相應的措施手段,從預防和減輕的角度去管理風險,這樣就能夠從源頭降低科技項目的風險,從而更好地為科技項目管理服務,有效提高科技項目管理的工作效率,以確??萍柬椖磕繕说挠行崿F。

四、項目風險管理在科技項目管理全過程中的應用

現代項目管理中項目的全過程包括項目啟動、項目規劃、項目實施、項目監控和項目收尾,而科技項目的全生命周期一般則表現為項目的申報、立項、項目啟動、實施到項目驗收結束。項目立項、項目實施和項目驗收階段,每個階段包括不同的管理內容,具體如圖1所示。

1.科技項目立項階段的風險管理

科技項目的立項管理是項目管理的關鍵,主要包括三個方面內容,即組織和評審項目建議書,進行項目可行性論證和簽訂項目合同。而風險定性分析主要任務是通過對各風險因素的判斷比較,排列出它們對項目目標的影響程度的順序,以使科技項目管理人員能有重點地加強對未來項目執行過程中風險因素的管理,保證項目各項計劃順利制定與執行。

在項目立項階段實施有效的風險管理還是比較有用的,風險管理的早期介入可以推進項目管理過程的連續性與系統性,為項目計劃中更多的項目改進留有余地,促進主動采取風險應對措施的活動,以探討成功實現項目目標的全新方式。

2.科技項目實施階段的風險管理

科技項目的實施管理是保證項目質量的重要環節,這一階段的工作內容主要包括制訂科技項目計劃、對科技項目進行跟蹤管理、對項目的實施過程實行進展評估。實施階段的風險管理活動主要是風險識別和風險評估,通過以上活動進一步確認風險發生概率與后果,盡量減少或降低風險發生可能性及其影響程度,在這一階段應制訂風險管理過程的戰術計劃,確定風險分析的目標,并向整個項目組織提供有用的信息,提高整個團隊的風險意識和風險控制能力。

3.科技項目驗收階段的風險管理

科技項目驗收管理包括檢查項目合同考核指標的達標情況、評估項目的組織與管理、確認和評價項目成果。這一階段的風險管理活動主要包括以下三個內容:

(1)對項目交付目標的風險管理,通過風險管理為已經出現的項目目標偏差如時間、費用等,找到最接近或可能超過的目標。

(2)對科技管理全過程風險管理的審查,通過對管理過程的審查,一方面處理項目過程中的風險承擔責任問題,另一方面建立風險數據資料庫,為未來項目的風險管理提供參考。

(3)對項目完成后可能出現的風險制定風險管理計劃,以便項目能持續、可靠地實現其最終目標。

五、結語

科技項目是一種探索性和創新性極強的活動,這就使得其管理過程存在很多的不確定因素,具有很大的風險性,給科技管理工作帶來了極大的挑戰。從而極大地提高科技項目的成功率以及項目管理的整體效益,使科技管理水平邁上一個新臺階,并為今后的科技項目風險管理研究提供一些參考。

參考文獻:

[1]張欣莉.項目風險管理[M].北京:機械工業出版社,2008.13,16-18.

[2]陳省平,李子和,劉濤.科技項目管理[M].廣州:中山大學出版社,2007.4.

篇2

【關鍵詞】商業銀行;信息系統;研發風險;組織體系

根據Gartner統計,互聯網75%攻擊行為已經由網絡層轉移到應用層,另據NIST報告,目前已經發現漏洞有92%源自系統應用軟件,加強信息系統研發風險管理,增強信息系統安全性,已成為商業銀行信息系統研發管理的重要內容之一。

隨著金融信息化的深入,科技自主創新價值日益凸顯,國內大中型商業銀行普遍建立了自己的信息科技部門或研發中心,以科技創新驅動業務、服務和管理創新。在研發風險管理方面,部分商業銀行建立了研發風險管理體系,從組織、管理、技術等各方面體系化提高和保障信息系統安全性。

商業銀行信息系統研發風險組織以安全知識探索和研發風險管理為主要活動,通過建立和實施研發風險管理工作流程,提供安全技術支持服務,在產品立項、安全需求轉化、安全編碼、安全測試等階段落實安全技術要求,提高信息系統安全性。因此,研發風險管理組織是商業銀行研發風險管理體系的重要組成部分,對于加強商業銀行信息系統研發風險管理具有重要的基礎性意義。

一、建立研發風險管理組織體系的必要性

1.完善全面風險管理組織體系的需要。

2004年的新《巴塞爾資本協議》強調商業銀行不僅要重視傳統的信用風險、市場風險和流動性風險,而且提出操作風險管理要求,并將信息科技風險劃歸操作風險管理范疇。信息科技風險已經成為商業銀行全面風險管理體系的組成部分之一,而信息系統研發風險又是信息科技風險的重要內容,因此,加強信息系統研發風險管理,建立健全研發風險管理組織體系,是對商業銀行全面風險管理組織體系的完善。

2.滿足監管要求的需要。

隨著信息技術的不斷進步與發展,信息系統的安全建設顯得尤為重要。2012年6月29日,人民銀行下發“銀發[2012]163號”文件,要求進一步落實《信息安全等級保護管理辦法》(公通字[2007]43號),加強銀行業信息安全等級保護工作。此外,銀監會、公安部、審計局等監管機構對信息系統風險管理和開展安全檢查都有明確要求。信息系統安全建設需要專門的工作組織來推動落實,因此,建立健全商業銀行信息系統研發風險管理組織體系,開展安全制度建設、安全標準建設、項目安全管理和信息系統安全達標評審等一攬子工作,成為防范信息系統研發風險管理的迫切需要。

3.提升研發風險管理水平的需要。

隨著商業銀行經營發展對信息系統的依賴性越來越大,信息系統故障所帶來的影響也越來越大。信息系統的健壯性和穩定性已經成為衡量商業銀行服務水平的重要方面。建立健全完善的研發風險管理組織體系,增強開發人員安全意識,指導開發人員安全設計和安全編碼,加強信息系統研發風險管理,成為全面提升研發風險管理水平的需要。

二、研發風險管理組織體系現狀與問題

商業銀行信息科技部門或研發中心普遍設立了風險管理委員會和安全管理部門,形成了信息科技風險管理組織,滿足了基本工作需要。但是,多數商業銀行的信息科技風險管理組織未能深入到研發風險管理領域,在一定程度上制約了研發風險管理工作的開展。主要問題包括:一是研發風險管理組織機構不完善,缺少專職部門推動研發風險管理工作開展;二是研發風險管理組織職能不完善,相關機構仍然以迎接上級檢查為主業,未能真正履行研發風險管理職責;三是研發風險管理角色不明確,未在項目組設立研發風險管理角色,研發風險管理組織與項目組之間缺乏溝通聯系,相關管理要求難以傳導和落地;四是研發風險管理人才隊伍不完整,研發人員缺乏安全技術、技能,整個組織層面缺少安全專家團隊對信息系統安全設計進行指導和把關。

三、研發風險管理組織體系建設思路

完善的信息系統研發風險管理組織體系的主要特點在于組織和運行機制的創新性,以及適應研發風險管理組織職能而形成的新管理制度。在組織和體制創新基礎上,研發風險管理組織必將在信息科技風險管理中嶄露頭角,并以強勁的勢頭向科技創新的各個環節滲透。

1.信息系統研發風險管理組織體系架構

信息系統研發風險管理組織以提升信息系統安全性,實現持續的高水平研發服務為目標,不僅需要進行信息系統架構設計和產品研發工作,還需要開展產品質量控制和安全標準研究等工作。因此必須在層級式研發風險管理組織體系總體框架下,加強架構設計、質量控制、安全指導和標準研究等的力量,同時增進各執行層級間的互動,構建和形成“層級+互動式”的信息系統研發風險管理組織體系。

圖1 信息系統研發風險管理組織體系

構建完善的信息系統研發風險管理組織體系,需從以下幾方面開展。

一要堅持風險管理委員會的頂層設計,貫徹安全與發展并重思想,將系統等級保護要求和監管要求等融入信息系統建設,努力從戰略層面建設安全穩定的信息系統。

二要加強安全管理部門的安全管理職能,大力開展安全標準研究和源代碼掃描等技術支持服務,推動信息系統事前定級工作,建立信息系統研發風險管理機制和統一的安全需求規范并嚴格落實,事中開展源代碼漏洞掃描等安全技術支持服務工作。改變原有的事后定級,安全措施與等級保護級別不一致,安全整改難度大等的被動局面。

三要加強應用開發部門、技術管理部門、質量管理部門、安全管理部門和安全專家組的安全人員建設,增強風險管理委員會與各部門或者各部門間的銜接,形成研發風險管理組織體系。通過安全人員的安全管理活動,構建安全穩定的信息系統,增強市場競爭力。

信息安全經理是項目組安全開發負責人,負責在研發過程中落實信息系統安全需求,提升開發人員的安全意識,降低因安全意識薄弱等導致的風險;信息安全督導團隊是各部門聯系的紐帶,督導信息安全經理落實安全需求,輔助開展源代碼漏洞掃描等安全技術支持服務,減少信息系統風險隱患;架構設計團隊承擔著信息系統架構分析設計職責,架構設計好壞決定了信息系統的成?。毁|量管理團隊是信息系統研發生命周期質量管理體系的制定實施者,負責制定研發過程規范及配套度量體系,加強信息系統研發生命周期源代碼、技術文檔等的質量管理;安全專家組參與信息系統研發風險管理各評審和審核等,切實提升信息系統的安全性。

四要加強測試管理部門信息系統安全測試工作,在業務功能測試基礎之上,強化信息系統安全功能測試和安全漏洞掃描測試,以進一步驗證信息系統安全功能的有效性,排查可能導致黑客攻擊的安全漏洞。

2.明確的職能定位是研發風險管理組織發展的根本保障

信息系統研發風險管理組織的興起和發展具有強烈的需求導向性,根據需求導向設計組織結構,明確信息系統研發風險管理任務,開展研發安全管理活動。加強信息系統研發風險管理,提升信息系統安全性為信息系統研發風險管理組織建立和發展提供了根本動力。

組織職能定位是研發風險管理組織生存和發展的關鍵。風險管理委員會是信息系統研發風險管理組織體系的決策機構,負責貫徹執行信息科技風險管理策略,制定研發過程安全管理整體策略,對研發過程安全管理工作進行監督和指導,體現了組織機構的發展方向。

應用開發部門、技術管理部門、質量管理部門、安全管理部門和測試管理部門在風險管理委員會統一領導下,開展信息系統研發安全保障工作。技術管理部門開展信息系統安全架構分析;質量管理部門保障信息系統研發生命周期質量安全;安全管理部門職能重塑,在原有應對監管部門監督檢查基礎之上,進行信息系統安全標準研究、制定維護安全技術規范、組織研發安全管理活動、督導開發人員落實安全需求和提供源代碼掃描技術支持服務等;測試管理部門開展信息系統投產前的安全功能測試和安全漏洞掃描測試;安全專家組是信息系統安全管理和研發領域的佼佼者,參與研發安全評審。明確的職能定位必將帶動信息系統研發風險管理組織的發展。

3.形成符合科技發展的可持續改進運行機制

在遵循科技發展規律基礎之上開展信息系統研發風險管理是研發風險管理組織保持活力的前提。研發風險管理組織的生命力在于按照科技發展規律來設計組織和運行機制。應用開發部門、技術管理部門、質量管理部門、安全管理部門、測試管理部門、安全專家組等緊密圍繞信息系統研發主線,并在風險管理委員會統一領導下進行協作,提升信息系統安全性。對具體信息系統來說,其研發風險管理的角色來源于不同的部門。他們同時接受項目組和所屬部門的管理,也充當著項目組和部門之間聯系的紐帶。這種矩陣式管理能夠充分發揮不同領域專業人員的優勢,取長補短,互通有無,使研發風險管理組織的整體運作效能達到最佳。

研發風險管理組織按照信息系統研發項目而組織產生,它加強了不同部門之間的配合和信息交流,同時由于對重要決策問題有發言權,增加了參與者的責任感和積極性,再通過相關組織的研究審核后經風險管理委員會,有利于形成研發風險管理決策的良性循環。在研發風險管理工作過程中,應根據商業銀行信息科技組織結構調整,以及外部監管要求的變化,定期對研發風險管理組織進行改進維護,以確保研發風險管理組織的持續有效運轉。

商業銀行信息系統研發風險管理組織體系是研發風險管理體系的重要組成部分,是信息系統研發風險經營風格和戰略思想的具體體現,是實現優良研發產品和保持長期競爭戰略的基本保障,是研發中心的安身立命之本。

參考文獻:

[1]信息安全技術,信息系統安全等級保護基本要求[Z].GB/T22239-2008.

[2]操龍燦.基于自主創新的大企業研發組織體系構建與界面管理[J].合肥工業大學學報(社會科學版),2007(02):99-100.

[3]陳寶明.我國新型研發組織發展現狀與政策建議[J].中國科技論壇,2013(03):27-31.

篇3

關鍵詞:風險管理;風險智能型企業;管理框架

對于企業風險管理,國內許多理論研究還缺乏系統的理論解釋和具有執行力的實踐指南。在西方發達國家中,企業風險管理的研究和應用已經比較普及,風險和風險管理已成為管理者關注的頭等大事,風險管理成為企業的一個重要職能。我國企業進行風險管理的時間很短,除金融企業外,多數企業主要停留在運營風險管理的層面。由于資本市場的不發達以及金融工具的缺乏,企業風險管理還沒有成為我國企業普遍關注的重點。因此,我國企業必須引入全面的風險管理意識,從多個層次上進行全面的風險管理,構建與實施企業風險管理智能框架,才能提高自身的抗風險能力,保持企業的穩定,合理保證公司戰略的實現。

一、我國企業風險管理存在的問題分析

1.風險管理意識淡薄。除金融保險企業以外,多數企業缺乏風險管理觀念,很多企業還停留在計劃經濟條件下賣方市場的水平上,或者說沒有形成風險意識,更缺乏有效的識別、評估和應對風險的機制,導致不少上市公司應變能力和抗風險能力較差。企業中多數管理者對風險管理的意識還很淡薄,很少分析甚至不分析可能導致風險出現的因素,也沒有建立行之有效的風險管理機制。2.內部控制與風險管理沒有有效結合。風險管理與內部控制有內在的聯系,健全內部控制是實施全面風險管理的前提。企業只有從加強內部控制做起,通過風險意識的提高,尤其是提高企業中處于關鍵地位的中、高層管理人員的風險意識,才能使企業安全運行。然而,雖然一部分企業已經認識到內部控制與風險管理結合的重要性,但企業目前仍將風險管理與內部控制在企業運營和管理中隔離開來,企業內部控制不能涵蓋企業面臨的所有風險,針對風險設置的控制目標的細化程度仍然很低。企業風險管理與內部控制脫離,沒能實現融合和跨越。3.不了解風險管理方法論,風險管理框架缺失。我國企業進行風險管理實踐的時間和歷史很短,而且主要停留在運營風險管理的層面,企業全面風險管理還沒有成為企業普遍關注的重點。一個有效的風險管理機制應該能夠對于企業所有的預期情況進行評估和處理,能夠突破企業所面臨的風險和組織之間的界限,能夠對所有潛在的重大風險進行預計并制定相應的解決方案。但目前多數企業不了解如何進行風險管理,對風險管理方法認識不足,并且企業風險管理工作的實施缺乏有效的風險管理框架作為指導和參考。4.缺乏有效的風險管理監督和評價機制。由于管理體制和管理方式的問題,我國企業風險管理的監督很薄弱,監督評價方法不夠先進,不能起到應有的作用。由于目前沒有通用的風險管理評價方法,內部稽查中風險管理有效性的評價方式過于簡單。傳統的評價方法是以定性分析為主的,分析過程較復雜,且很大程度上依賴于評審人員的主觀判斷,主觀性較強,缺乏客觀具體的可操作性標準,導致風險管理評價缺乏科學性、規范性和可操作性,進而增加了評價工作的實施難度、資源投入的主觀隨意性、結論不可靠性。此外,內部審計監督部門普遍缺乏獨立性和權威性,內部審計人員的勝任能力不足、缺乏主動性和能動性,內部審計制度不健全,業務不規范,作用未能充分發揮,致使內部審計部門形同虛設。此外,企業組織機構設置不合理、內部控制和風險管理沒有和信息系統相結合、缺乏人才和知識積累等因素也在一定程度上影響了企業全面風險管理的實施。

二、企業風險智能管理框架的構建

通過實施有效的風險管理框架,將能夠使企業在多變的內外部環境中保持企業發展的可持續性,不斷增加企業價值,推動企業戰略的實現。實施企業風險智能管理框架的主要貢獻為:增強對風險和控制的了解;提高評級機構認知;提高公司盈利質量;提高對股東的信息透明度;提高監管認知;降低風險事件產生的損失;提高公司社會聲譽;提高風險調整回報率;增加董事會和風險委員會的風險管理信心;降低經濟資本要求;有效識別增值業務;減少風險項目的保費等等。企業風險智能管理框架要確保能識別并評估關鍵風險點并有效加以應對,例如:戰略風險、財務風險、多元化投資風險、政策風險、融資風險、工程項目管理風險、營運安全風險等。有效實施風險智能管理框架的企業可以被稱為風險智能型企業。1.企業變革。企業要在新的企業風險管理環境下使風險管理框架高效運行,首先要從企業管理、人員、流程、科技四個方面進行改進和變革,為實施風險管理框架提供基礎支撐。1.1管理變革。企業董事會或經營層應就風險管理的目標設定以及風險管理的基本方法進行明確,對業務管理機構進行重構,例如:設立風險管理部門、專職法務部門或法務專員、設立資金管理中心、設立運營安全管理部門、設立投資戰略部門,保證內部審計部門的獨立性等。同時對管理流程進行梳理優化,明確不同級別管理層的職責權限,最后由內部審計部門加以監督,由人力資源部門綜合考核,形成一個有效、閉環的管理體系,這樣就能保證各項業務可以得到自動化的有效管理。1.2人員變革。風險智能管理并不僅僅是指設立一個風險管理機構,而是要改變企業所有員工觀察和管理風險的方式。企業應當在各部門各單位設立風險管理專員,并在適當的時機對各級管理層和風險管理專員提供有關風險管理技巧和風險管理意識的崗位培訓,提高每名管理者的風險應對能力,形成良好的風險管理氛圍。1.3流程再造。企業風險管理框架和控制流程體系的重建,對于正確識別、分析和應對風險的相互依賴和整體風險的管理是至關重要的。風險智能管理的方法之一是基于原有的內部控制體系基礎,在風險管理流程之間建立通用性和關聯性,使風險智能管理貫穿于各層級的計劃、管理和運營決策流程之中,以確保風險智能化計劃和管理的有效實行,使其成為每個員工日常工作的一部分。1.4科技變革。隨著新科技的不斷發展,各種信息化工具不斷變化并迅速發展??萍伎梢云鸬礁軛U作用,未識別、測量、報告和監控風險提供共同的平臺。企業通過建立風險預警管理信息系統,與業務管理系統、資產管理系統、預算管理系統、財務系統建立互聯,通過識別分析,實時提供風險預警,并在預警的同時提供風險應對措施建議,提高風險智能化管理水平。2.構建企業風險智能管理體系。2.1設定企業戰略目標。首先公司要對內外部環境進行有效分析,選擇并確定符合企業實際的戰略目標,并對戰略目標進行分解,將風險管理理念融入公司經營管理,利用風險智能管理程序有效配置資源,并明確各主體的業務目標和風險管理目標,從而使風險管理融入公司戰略體系的方方面面。2.2明確風險管理理念。風險管理理念是指企業利用通用的風險管理語言,對識別、分析和管理風險的統一的信念和態度。風險管理理念應當延伸到企業經營管理活動的全范圍、全過程,它可以通過各種表述方式形成企業的風險文化,使企業各級管理者在做任何決策或管理活動時都能夠考慮風險,并使全員在風險管理的價值觀上保持趨同。2.3構建風險管理職責體系。構建企業全面風險管理的組織機構并明確風險管理職責,是實施風險管理的根本保證。風險管理組織機構從上而下應由董事會及其下設風險管理委員會和審核委員會、經營層、風險部門及人員、業務部門及其風險專員和企業員工構成,從而形成有效的風險管理防線。同時,公司應明確界定各級機構在風險管理中的職責權限,并通過提升風險管理人員的風險意識,提高風險管理技能,確保各級人員在風險管理過程中有良好的履職能力。2.4構建風險智能管理策略框架。風險管理策略框架是風險智能管理的核心內容。企業應根據內外部環境,圍繞企業制定的戰略目標,確定風險偏好、風險承受度、風險容量和風險容限,明確風險智能管理有效性的標準,有效配置風險管理所需的人、財、物等資源,制定風險管理手冊,并將風險管理策略框架應用于企業各個領域的風險管理指導方針之中。企業應從整個主體范圍或組合的角度,從不同的視角,利用大數據、風險度量模型、定性分析等評估技術,評估風險的可能性、影響程度以及風險之間的潛在關系,有針對性地選擇風險承受、回避、分擔、降低等應對方式,與企業內部控制體系的建立和實施有機結合,通過有效的風險控制活動和溝通報告機制,將企業的剩余風險控制在可接受的范圍內。企業風險智能管理策略能夠成為企業的核心競爭力之一,最終為企業戰略目標的實現保駕護航。2.5構建風險智能管理信息系統。為了實現風險管理智能,企業需要要優化整個信息流程,風險智能管理信息系統是指利用信息技術,對與企業相關的內外部風險信息進行收集、整理、分析、處理、預警并提出應對策略的一個實時、動態的管理體系。它應當由三個模塊組成,即:風險信息的收集加工模塊,主要由風險管理系統識別或由風險管理專員收集和錄入;風險分析和預警模塊主要由風險管理部門在風險管理系統的分析基礎上做出預警;風險應對決策和實施模塊由風險管理系統提供的風險應對建議,由風險管理部門提出風險應對方案,提交管理層落實風險應對責任,并指定專人監督。在風險信息系統的設計與實施過程中,應充分把握系統之間的分工與協調,因為它是一個有機的整體,各部分的銜接至關重要。2.6持續風險監控與評價。如上文所述,企業風險管理隨著時間的變化而改變,它是一個持續的、動態的管理活動,這也要求風險的監控與評價必須是持續開展的,企業各管理層級、各個業務部門都應開展風險持續監控,同時風險管理或審計部門還應定期開展風險管理評價。風險監控和評價發現的重要缺陷應及時向管理層和上級部門報告,重大缺陷還應向公司董事會及其風險管理委員會、審計委員會報告。通過監控與評價,能夠有效保證企業風險職能管理框架的設計和運行有效性,能夠提升全員的風險管理能力,從而使公司風險水平實現持續改進。

三、企業風險智能管理框架實施建議

1.正確認識企業內部控制與風險管理的關系。企業內部控制的風險觀就是由全員參與的、對與人、與活動及與環境有關的全面風險進行控制,是整合傳統內部控制和現代風險管理為一體的過程。內部控制發展方向就是企業風險管理,其實質就是企業風險控制的管理?,F代企業風險管理系統,是以風險識別和應對為核心,以內外部環境為風險管理的范圍,以企業風險管理文化為靈魂,以控制活動為手段,全員、全范圍、全過程的風險控制系統。企業內部控制逐漸呈現向風險管理發展和一體化的趨勢,即以風險管理為主導,建立適應企業風險管理戰略的新的內部控制,從而實現內部控制向風險管理的跨越。2.完善考核和激勵機制。為確保經營的效率效果,企業必須將風險智能管理框架的建立實施情況納入企業的綜合考核激勵體系。一個完善的指標考核體系需要根據企業的整體戰略和風險管理目標的要求等因素確定。此外,通過明確企業管理者的責、權、利,通過利用風險管理評價結果,與業績考核相掛鉤,建立起責權相關的激勵制度。按照員工的崗位職責及工作目標,進行定期考核評估,總結工作成效,及時發現問題并予以改正。評估和認定結果與獎金、調薪、升職掛鉤。通過績效考核機制將企業的目標與個人工作目標有機地結合起來,從而推動企業戰略目標的實現。

參考文獻:

[1]美國COSO制定.企業風險管理——整合框架[M].方紅星,王宏譯.大連:東北財經大學出版社,2005.

[2]謝志華.內部控制、公司治理、風險管理:關系與整合[J].會計研究,2007(10).

篇4

一、現有軟件項目風險管理模型分析

軟件風險管理是一種軟件工程實踐,包括過程、方法和工具,并利用這些過程、方法和工具去完成持續評估風險、確定風險優先級、實施策略處理風險工作?,F有軟件項目風險管理模型包括:(1)BarryBoehm理論。20世紀80年代,軟件風險管理之父Boehm認為,軟件風險管理這門學科的出現就是試圖將影響項目成功的風險形式化為一組易用的原則和實踐的集合,目標是在風險成為軟件項目返工的主要因素并由此威脅到項目的成功運作前,識別、描述并消除這些風險項。他將風險管理過程歸納成兩個基本步驟,即風險評估和風險控制。其中風險評估包括風險識別、風險分析、風險排序;風險控制包括制定風險管理計劃、解決風險、監控風險。(2)SEI(軟件工程研究所)的CRM(持續風險管理)模型。SEI提出的CRM模型要求在項目生命周期的所有階段都關注風險識別和管理,它將風險管理劃分為識別、分析、計劃、跟蹤和控制5個步驟,并采取不同的策略。(3)Riskit方法。如果組織在項目早期采用系統化的風險管理過程和技術,那么組織就有能力避免很多問題。Riskit方法能提供這種系統化的風險管理過程和技術,它由Mary-land大學提出的,旨在對風險的起因、觸發事件及其影響等進行完整的體現和管理,并使用合理的步驟評估風險。對于風險管理中的每個活動,Riskit都提供了詳細的活動執行模板,包括活動描述、進入標準、輸入、輸出、采用的方法和工具、責任、資源、退出標準。Riskit風險管理過程在項目生命期內,這些活動可以重復多次。(4)SofiRisk風險管理模型。SoftRisk模型是由Keshlaf和Hashim提出的,它基于這樣一種觀念:記錄并將注意力集中在高可能性和高破壞性的風險上是進行風險管理的有效途徑。這樣可以節省軟件開發過程中的時間成本和人力成本,并可有效減輕風險的破壞性。此模型確保在軟件項目進行中持續地進行風險管理。(5)IEEE風險管理標準。IEEE風險管理標準定義了軟件開發生命周期中的風險管理過程。該風險管理過程是一個持續的過程,系統地描述和管理在產品或服務的生命周期中出現的風險,包括計劃并實施風險管理、管理項目風險列表、分析風險、監控風險、處理風險、評估風險管理過程等。(6)CMMI(軟件能力成熟度模型集成)的風險管理過程域。CMMI是由SEI在CMM基礎上發展而來,并在全世界推廣實施的一種軟件能力成熟度評估標準,主要用于指導軟件開發過程的改進和進行軟件開發能力評估。風險管理過程域是在CMMI第三級一一已定義級中的一個關鍵過程域。CMMI認為風險管理是一種連續的前瞻性的過程。它要識別潛在的可能危及關鍵目標的因素,以便策劃應對風險的活動并在必要時實施這些活動,緩解不利影響,最終實現組織目標。CMMI的風險管理被清晰地描述為實現三個目標,每個目標的實現又通過一系列的活動來完成。(7)Microsoft的MSF風險管理模型。MSF的風險管理認為,風險管理必須是主動的,它是正式的系統的過程,風險應被持續評估、監控、管理,直到被解決或問題被處理。

二、面向企業全面成本計算模型的風險管理策略

結合企業全面成本計算理論和軟件項目的風險管理內容,筆者通過對國家科技攻關項目“模型驅動的異構系統集成框架與基于SOA的數據交換平臺技術”進行分析,建立一種面向企業全面成本計算模型的風險管理策略。

(一)基于網格體系的企業全面成本計算模型ETCM以客戶價值與企業利潤最大化為目標,面向產品全生命周期,通過成本企畫確定目標成本,并將成本筑人到產品的設計與制造過程;在廣度上,面向企業整個供應鏈,通過作業成本管理確立成本計算模型,優化供應鏈中的增值作業;并通過層次分析(AHP)方法、企業資源計劃(ERP)或系統預測確立EAD模型(費用與作業關聯矩陣)和APD模型(作業與產品關聯矩陣)等成本分配率模型。在計算過程中,ETCM計算模型涉及合作伙伴各種高度異構、動態分布的信息平臺。以Web服務為運行平臺,采用面向服務的體系架構,建立圖1所示兼容硬件平臺、遺留信息系統和知識資源的全面成本管理體系結構,實現對企業整個供應鏈資源的有效組織和管理,幫助企業在整個供應鏈范圍內,準確計算產品成本信息,輔助決策。

ETCM模型的體系結構由基礎支撐平臺層、集成化容器層、企業成本相關業務邏輯表示層、業務建模層、企業門戶應用層、網格應用層構成。以硬件、系統軟件和Internet為基礎平臺,在容器層建立支持業務運行的Java和功能組件、網格服務和Web服務組件,通過企業業務邏輯表示層實現網格高層應用功能的邏輯表達。企業業務邏輯表示層在企業業務過程編排與工作流技術的連接與管理下,將Legacy(遺留系統)、MTC(微軟組件)、E-JB(企業Java組件)、Web服務和網格服務封裝成不同領域內的商務應用(如企業物流、財務、人力資源、制造資源、全面成本管理、客戶關系管理),并通過企業咨詢與診斷、企業業務過程需求分析、業務流程建模、業務流程再造和業務流程持續改進等功能為企業提供實施網格應用的方法論指導。門戶應用層為用戶提供用戶界面和一致的訪問接口(如基于Web的服務門戶)。應用層在Web服務和網格服務基礎上提供網格制造系統高層應用,這些系統不局限于協同環境中的全面成本管理,還可應用于電子商務和電子市場、商務協同、制造協同與供應鏈協同等領域。容器層提供遺留系統容器、Web應用容器、Web容器以及網格服務容器等分別處理和封裝來自合作伙伴或企業內部不同軟硬件應用平臺和操作系統的成本相關的業務應用。遺留系統容器集成與處理基于業務功能的商務應用,Web應用容器為EJB、Java Bean、MTC、CCM(CORBA組件)等企業級服務器組件提供安全運行環境與管理機制,Web容器為JSP(Java頁面)、Servlets、ASP(Active頁面)等

Web組件提供安全運行環境與管理機制,網格服務容器集成基于Microsoft,Net、J2EE(Java 2 Enterprise Edition)的Web容器和Web應用容器及Legacy容器,為網格服務與Web服務提供相應執行環境、服務組件執行周期、事務以及安全與服務質量的管理,并支撐Web服務組件的開發、部署、調試和運行,解決了協同環境中異構成本信息的共享與集成問題。

(二)面向ETCM計算模型的風險管理策略 通過對國家科技攻關項目 “模型驅動的異構系統集成框架與基于SOA的數據交換平臺技術”的分析,結合上述企業全面成本計算理論的復雜性以及傳統軟件項目風險管理的主要內容和策略,筆者建立一種面向企業全面成本計算模型的風險管理策略模型,如圖2所示:

在圖2所示的風險策略管理模型中,理論基礎是一個開放的概念,多受益于其他學科,包括風險和風險管理的定義、風險管理模型等體系結構。風險管理模型形成指導性的框架結構,核心風險管理步驟通過引入風險實體的概念和面向目標辨識、評估風險的思想,針對不同企業的計算環境提供不同的風險處理思路。技術基礎包括風險定量計算、風險決策支持、風險預測及模擬等相關的風險決策和預測技術。決策樹幫助大多數風險項確定相關的解決方案,例如,圖形化的評審技術或隨機型決策技術(GERT)是在計劃評審技術(PERT)和關鍵路徑法(CPM)之后發展起來的隨機型網絡技術,通過將不確定性引入計劃,使系統狀態不能全部列舉出來,使得任何一種狀態都不能完全代表系統的真正結果,增強了節點的邏輯判斷功能,且數學模型可以使用計算機仿真來實現。在GER技術基礎上,風險評審技術(VERT)從單純考慮計劃的時間因素發展到全面考慮計劃中的時間、費用和效益因素,可以對計劃進行更全面的分析和評價。

篇5

關鍵詞:工程項目;施工;風險管理;對策

建筑工程是我國基礎建設的重要組成部分,由于建筑工程施工涉及的因素比較多,在具體的施工中存在很多不確定因素,因此采取有效的策略應對施工風險不僅有助于提高施工方案的科學性,而且有利于制衡建筑業投資膨脹的現象,最重要的是通過風險管理可以降預防安全事故的發生,因此在經濟新常態環境下,做好工程項目施工風險管理工作是構建和諧社會的重要內容。

一、項目風險管理的概述

項目風險管理是項目施工負責人對施工項目在未來運行過程中可能遇到的各種風險進行定性與定量研究,以此制定出有效應對風險的方法策略。項目風險管理的目標是對風險進行預防、規避以及處理等,最終縮減風險對項目完成所造成的各種不利因素。建筑工程施工風險管理具有以下特點:一是具有不確定性。由于建筑工程在施工中涉及的因素比較多,任何一個環節都會影響施工進度,因此建筑工程施工風險管理具有不確定;二是項目風險管理的可變性。項目風險管理需要及時根據施工項目的進度安排進行調整,因此需要風險管理者針對各種因素對風險管理方案進行改變,以此實現施工項目質量控制的要求。

二、工程項目施工風險管理的現狀分析

(1)風險管理意識淡薄,缺乏危機意識。基于建筑市場競爭的日益加劇,施工企業為了經濟利益,他們在具體的施工管理中強調經濟效益,將所有的施工管理緊緊圍繞在獲取經濟效益上,而忽視風險管理,結果造成項目施工存在較大的風險。(2)風險管理機制不健全。風險管理是建筑施工管理過程中的重要內容,但是很多企業沒有專門設置風險管理部門或者安排專職人員,結果造成施工風險管理一直存在職能定位不清晰,風險管理缺乏有效約束的問題。另外施工企業在風險管理過程中也沒有建立完善的風險管理信息系統,這樣很容易導致企業在面對風險時不能第一時間做出相應的反映,造成巨大的損失。(3)風險識別分析評估手段落后。風險評估手段是風險管理不可缺少的工具,我國施工企業處理風險的手段往往采取投保的方式,而且大部分采取的是事后補救的措施,這樣導致風險控制的最終目的無法實現;同時我國對于風險評估主要是采取定性的分析方式,這樣不能科學的對風險因素進行分析。

三、工程項目施工風險因素及應對策略

(1)增強施工企業的風險管理意識。一是施工企業要將風險管理納入到施工管理全過程,在企業內部形成濃厚的風險管理氛圍。風險管理不僅是提高工程施工質量的重要舉措,也是提高企業經濟效益的必要手段,因此施工企業要以風險管理作為企業文化建設的切入點;二是強化企業員工的風險管理意識,定期開展風險管理教育培訓。施工企業要積極開展風險管理教育培訓,提高施工人員,尤其是施工管理人員的風險管理意識,將風險管理與質量管理等工作相融合;三是樹立危機意識。施工項目的質量是企業生存的根本,因此施工企業要樹立危機意識,認識到風險管理在施工管理中的重要意義。(2)建立完善的風險管理制度。一是明確風險管理職責,針對施工企業缺乏專門的風險管理機構或者人員的問題,要通過建立完善的風險管理機制,明確具體的崗位職責,以此推動風險管理在施工過程中的應用;二是建立風險管理信息系統制度,通過信息系統實現對施工全過程的有效監督與管理,提高風險管理工作的效率;三是制定風險管理檢查機制。施工單位要定期對施工各個組成單位的風險管理制度進行檢查,形成日查、月查工作機制,對于發現的問題要及時進行反饋,并且召開專門的會議制定應對對策,對風險管理專職人員繼續跟蹤復查,以此保證問題得以解決。(3)豐富與創新風險管理評估手段。風險管理評價是針對風險危害的科學評價手段,傳統單一的評估手段對于施工風險不能有效的進行反映,因此要不斷豐富評估的方法:一是建立風險回避法;二是運用財務技術對風險進行控制。財務是企業施工的重要管理手段,因此企業可以通過財務性技術處理置留一筆費用,以此作為應對風險發生時的損失補償;三是運用動態的方法進行風險控制。在風險管理過程中施工企業要改變以往靜態的控制方法,而是采取動態的控制方法,及時根據施工項目的進度,調險管理策略,以此應對變化中的風險因素。

總之,在項目施工中面臨的風險因素比較多,因此需要施工企業要采取有效的策略提高風險管理工作,通過完善的策略實現對施工質量風險、工期延期風險、施工成本風險以及施工安全環保風險的控制,以此提高施工質量,實現施工企業綜合效益的最大化。

篇6

關鍵詞:通信工程;風險管理;控制策略

引言

近年來,我國通信事業不論在技術上還是管理方面都得到了極大進步,然而不容忽視的是項目管理依然存在一些風險問題,也因此產生了一定損失,因而,如何做好通信工程項目風險管理和控制,降低通信工程維修成本和損失成為通信行業極為關切的問題,從而推動社會進步,為人們生活提供更多便利。

1通信工程項目管理風險的特性

通信工程的有效運行離不開設備的運行支撐,而設備的良性運行同外部環境緊密相關。例如,當外界氣候條件發生變化的時候,也會對通信設備產生一定的不良影響,最終會對整體通信質量產生影響。同時,由于通信工程項目整體的建設周期較長,規模較大,且施工中還存在一定的風險因素,因此,通信工程項目在建設的過程中所遇風險具有客觀性,難以避免,對此,在建設當中,管理人員面對客觀風險必須要保持清醒認識,盡可能將風險損失降到最小[1]。通信工程建設周期長、規模大、覆蓋面廣,這就決定了項目參與人員多,設計面廣。因此開展通信工程項目建設時,有些風險可以提前做好預估,并在風險發生時能夠及時啟動應急機制,進而降低風險帶來的損失。同時還可以通過各種預控措施,直接對風險進行規避。然而還有一部分風險則是具有不確定性,譬如氣象條件的突變,風險控制有一定難度。由此可見,一旦發生風險因素,要求管理人員及時反應,快速處置,同時及時查明導致風險的各種因素,以便于能夠為后續防范該類型風險因素提供借鑒和參考。長期性也是通信工程項目建設的典型特點之一,在施工過程中,一旦施工環境發生變化,人員出現流動和施工進度不斷推進等,其中每個因素的調整都會將通信工程置于一定的風險當中,從而造成一定的損失,然而導致風險出現的因素不盡相同,這就使得通信工程風險管理存在一定復雜性。因此,通信工程建設項目具體施工過程中,不僅需要從全局上予以統籌管理,嚴格規范施工人員的施工作業活動,還需要及時處置不斷涌現出來的各種風險因素。同時還應該就施工中可能發生的各種風險因素進行預估,以便于在新型風險來臨時不至于手足無措,進而保障工程項目得以順利開展。

2通信工程項目風險控制策略

要想真正有效開展風險控制工作,首先需要科學識別各種風險因素,只有清楚了風險因素的類型特點之后,才可能真正做出科學的決策和科學合理的處置措施。因此,這就要求項目負責人要具有風險預控意識,創建風險識別系統,并借此來識別和監督內外不良和干擾因素,再經過分析這些風險因素來找出隱藏的、不確定的以及變化的風險,進而采取有效措施來防范和規避風險??傊?,在項目建設之前有必要對風險加以判斷和識別,并進行動態識別[2]。完成了風險的識別之后,則需要進入到風險評估階段。具體操作步驟為:首先科學判斷各種風險因素發生的概率,然而通信工程項目風險具備的變化性和不確定性,給風險評估工作增加了難度,因此僅僅只能粗略估算出風險發生的概率。這就要求管理人員不僅要借助自身的風險評估經驗,還要對風險影響因素進行深入的分析,并對這些風險因素進行科學統計和分析,進而推斷出可能造成的后果,從而才能制定針對性的解決策略。風險管理工作的良好開展離不開相應的風險管控體制的支撐,因此通信工程企業還應該不斷建立健全企業的風險管控機制,從而形成一個完善的風險管控制度,以便于更好地指導風險管控工作。具體來說,風險管控機制中需要包括工程項目參建單位的評審,諸如資質審核、信譽度審核和信息檔案審核等相關內容。由此可見,可以通過構建參建單位的信息檔案系統,便于后期對各個參建單位的資質審查進行查詢。同時,風險管控體制的構建,還離不開相應的監理監督機制的建立。監督機構通過監督功能的行使,能夠對各種風險因素進行及時的分析、預測以及跟蹤,并從工程項目立項之初就開始介入到風險管理,直到工程項目的全部竣工交付,在此期間全程落實風險監督功能,這樣一來就可以確保風險管控機制的各項功能得以良好發揮,進而有效規避企業風險。在完成風險識別和分析工作之后,要制定科學和針對性的風險應對策略,這對于通信工程風險管控能夠起到至關重要的作用。若要制定出科學的風險應對措施,項目風險管理部門的建立是首要任務,部門的重要職責就是負責項目風險管理和控制策略的制定與實施;其次,提升管理人員管控風險的能力,培養風險管理人才;最后,在風險評估的基礎上制定應急預案,以防止突如其來的風險變化,減小風險損失[3]。風險管理機制的制定還需要得到落實才能真正發揮實效,因此還需要組建一個專門的風險監控預警部門,以便于能夠實時監督和監控整個工程項目的建設和運行,以及各種風險管控措施的具體落實情況。同時結合工程項目的實際特點,對各種風險發生的實際概率進行估算,以便于監控該風險能否得到科學合理的控制,同時還應該監控風險未來的發展趨勢,以便于為后續風險措施提供依據。

3結語

由于風險管理方面的缺失導致通信企業面臨著風險因素的侵擾。因此通信企業需要不斷加強人員隊伍的素質建設,提高風險識別和分析能力,提升風險管控的水平,從而降低風險發生的概率,減少經濟損失,樹立良好的企業形象。

參考文獻

[1]韓嵩.通信工程項目中的風險管理與控制策略研究[D].長春:吉林大學,2015.

[2]戎惠英,溫鵬迅.通信工程項目風險管理探討[J].產業與科技論壇,2013(11):227-228.

篇7

關鍵詞 電子商務安全,風險管理,風險識別,風險控制

1 引言

隨著開放的互聯網絡系統Internet的飛速發展,電子商務的應用和推廣極大了改變了人們工作和生活方式,帶來了無限的商機。然而,電子商務發展所依托的平臺—互聯網絡卻充滿了巨大、復雜的安全風險。黑客的攻擊、病毒的肆虐等等都使得電子商務業務很難安全順利地開展;此外,電子商務的發展還面臨著嚴峻的內部風險,電子商務企業內部對安全問題的盲目和安全意識的淡薄,高層領導對電子商務的運作和安全管理重視程度不足,使得企業實施電子商務不可避免地會遇到這樣或那樣的風險。因此,在考察電子商務運行環境、提供電子商務安全解決方案的同時,有必要重點評估電子商務系統面臨的風險問題以及對風險有效管理和控制方法。

電子商務安全的風險管理是對電子商務系統的安全風險進行識別、衡量、分析,并在這基礎上盡可能地以最低的成本和代價實現盡可能大的安全保障的科學管理方法。

2 電子商務面臨的安全風險

由于網絡的復雜性和脆弱性,以因特網為主要平臺的電子商務的發展面臨著嚴峻的安全問題。一般來說,電子商務普遍存在著以下幾個安全風險:

1)信息的截獲和竊取

這是指電子商務相關用戶或外來者未經授權通過各種技術手段截獲和竊取他人的文電內容以獲取商業機密。

2)信息的篡改

網絡攻擊者依靠各種技術方法和手段對傳輸的信息進行中途的篡改、刪除或插入,并發往目的地,從而達到破壞信息完整性的目的。

3)拒絕服務

拒絕服務是指在一定時間內,網絡系統或服務器服務系統的作用完全失效。其主要原因來自黑客和病毒的攻擊以及計算機硬件的認為破壞。

4)系統資源失竊問題

在網絡系統環境中,系統資源失竊是常見的安全威脅。

5)信息的假冒

信息的假冒是指當攻擊者掌握了網絡信息數據規律或解密了商務信息后,可以假冒合法用戶或假冒信息來欺騙其它用戶。主要表現形式有假冒客戶進行非法交易,偽造電子郵件等。

6)交易的抵賴

交易抵賴包括發信者事后否認曾經發送過某條信息;買家做了定單后不承認;賣家賣出的商品因價格差而不承認原先的交易等。

3 風險管理規則

針對電子商務面臨的各種安全風險,電子商務企業不能被動、消極地應付,而應該主動采取措施維護電子商務系統的安全,并監視新的威脅和漏洞。因此,這就需要制定完整高效的電子商務安全風險管理規則。

一般來說,風險管理規則的制定過程有評估、開發和實施以及運行三個階段。

(1)評估階段

該階段的主要任務是對電子商務的安全現狀、要保護的信息、各種資產等進行充分的評估以及一些基本的安全風險識別和分析。

對電子商務安全現狀的評估是制定風險管理規則的基礎。

對信息和資產的評估是指對可能遭受損失的相關信息和資產進行價值的評估,以便確定相適應的風險管理規則,從而避免投入成本和要保護的信息和資產的嚴重不匹配。

安全風險識別要求盡可能地發現潛在的安全風險,應收集有關各種威脅、漏洞、開發和對策的信息。

安全風險分析是確定風險,收集信息,對可能造成的損失進行評價以估計風險的級別,以便做出明智的決策,從而采取措施來規避安全風險。

(2)開發和實施階段

該階段的任務包括風險補救措施開發、風險補救措施測試和風險知識學習。

風險補救措施開發利用評估階段的成果來建立一個新的安全管理策略,其中涉及配置管

理、修補程序管理、系統監視與審核等等。

在完成對風險補救措施的開發后,即進行安全風險補救措施的測試,在測試過程中,將按照安全風險的控制效果來評估對策的有效性。

(3)運行階段

運行階段的主要任務包括在新的安全風險管理規則下評估新的安全風險。這個過程實際上是變更管理的過程,也是執行安全配置管理的過程。

運行階段的第二個任務是對新的或已更改的對策進行穩定性測試和部署。這個過程由系統管理、安全管理和網絡管理小組來共同實施。

以上風險管理規則的三個階段可以用下圖來表示:

4 風險管理步驟

風險管理是識別風險、分析風險并制定風險管理計劃的過程。電子商務安全風險的管理和控制方法,它包括風險識別、風險分析、風險控制以及風險監控等四個方面。

(1)風險識別

電子商務系統的安全要求是通過對風險的系統評估而確認的。為了有效管理電子商務安全風險,識別安全風險是風險管理的第一步。

風險識別是在收集有關各種威脅、漏洞和相關對策等信息的基礎上,識別各種可能對電子商務系統造成潛在威脅的安全風險。

風險識別的手段五花八門,對于電子商務系統的安全來說,風險識別的目標是主要是對電子商務系統的網絡環境風險、數據存在風險和網上支付風險進行識別。

需要注意的是,并非所有的電子商務安全風險都可以通過風險識別來進行管理,風險識別只能發現已知的風險或根據已知風險較容易獲知的潛在風險。而對于大部分的未知風險,則依賴于風險分析和控制來加以解決或降低。

(2)風險分析

風險分析是運用分析、比較、評估等各種定性、定量的方法,確定電子商務安全各風險要素的重要性,對風險排序并評估其對電子商務系統各方面的可能后果,從而使電子商務系統項目實施人員可以將主要精力放在對付為數不多的重要安全風險上,使電子商務系統的整體風險得到有效的控制。風險分析是一種確定風險以及對可能造成的損失進行評估的方法,它是制定安全措施的依據。

風險分析的目標是:確定風險,對可能造成損壞的潛在風險進行定性化和定量化,以及最后在經濟上尋求風險損失和對風險投入成本的平衡。

目前,風險分析主要采用的方法有:風險概率/影響評估矩陣,敏感性分析,模擬等。在進行電子商務安全風險分析時,由于各影響因素量化在現實上的困難,可根據實際需要,主要采用定性方法為主輔以少量定量方法相結合來進行風險分析,為制定風險管理制度和風險的控制提供理論上的依據。

(3)風險控制

風險控制就是選擇和運用一定的風險控制手段,以保障風險降到一個可以接受的水平。風險控制是風險管理中最重要的一個環節,是決定風險管理成敗的關鍵因素。電子商務安全風險控制的目標在于改變企業電子商務項目所承受的風險程度。

一般來說,風險控制方法有兩類:

第一類是風險控制措施,比如降低、避免、轉移風險和損失管理等。在電子商務安全風險管理中,比較常用的是轉移風險和損失管理。

第二類為風險補償的籌資措施,包括保險與自擔風險。在電子商務安全風險

管理中,管理人員需要對風險補償的籌資措施進行決策,即選擇保險還是自擔風險。

此外,風險控制方法的選擇應當充分考慮相對風險造成損失的成本,當然其它方面的影響也是不容忽視的,如企業商譽等。

對電子商務安全來說,其有效可行的風險控制方法是:建立完整高效的降低風險的安全性解決方案,掌握保障安全性所需的一些基礎技術,并規劃好發生特定安全事故時企業應該采取的解決方案。

5 風險管理對策

由于電子商務安全的重要性,所以部署一個完整有效的電子商務安全風險管理對策顯得十分迫切。制定電子商務安全風險管理對策目的在于消除潛在的威脅和安全漏洞,從而降低電子商務系統環境所面臨的風險。

目前的電子商務安全風險管理對策中,較為常用的是縱深防御戰略,所謂縱深防御戰略,就是深層安全和多層安全。通過部署多層安全保護,可以確保當其中一層遭到破壞時,其它層仍能提供保護電子商務系統資源所需的安全。比如,一個單位外部的防火墻遭到破壞,由于內部防火墻的作用,入侵者也無法獲取單位的敏感數據或進行破壞。在較為理想的情況下,每一層均提供不同的對策以免在不同的層中使用相同的攻擊方法。

下圖為一個有效的縱深防御策略:

圖2 有效的縱深防御策略

下面就各層的主要防御內容從外層到里層進行簡要的說明:

1)物理安全

物理安全是整個電子商務系統安全的前提。制定電子商務物理安全策略的目的在于保護計算機系統、電子商務服務器等各電子商務系統硬件實體和通信鏈路免受自然災害和人為破壞造成的安全風險。

2)周邊防御

對網絡周邊的保護能夠起到抵御外界攻擊的作用。電子商務系統應盡可能安裝某種類型的安全設備來保護網絡的每個訪問節點。在技術上來說,防火墻是網絡周邊防御的最主要的手段,電子商務系統應當安裝一道或多道防火墻,以確保最大限度地降低外界攻擊的風險,并利用入侵檢測功能來及時發現外界的非法訪問和攻擊。

3)網絡防御

網絡防御是對網絡系統環境進行評估,采取一定措施來抵御黑客的攻擊,以確保它們得到適當的保護。就目前來說,網絡安全防御行為是一種被動式的反應行為,而且,防御技術的發展速度也沒有攻擊技術發展得那么快。為了提高網絡安全防御能力,使網絡安全防護系統在攻擊與防護的對抗中占據主動地位,在網絡安全防護系統中,除了使用被動型安全工具(防火墻、漏洞掃描等)外,也需要采用主動型安全防護措施(如:網絡陷阱、入侵取證、入侵檢測、自動恢復等)。

4)主機防御

主機防御是對系統中的每一臺主機進行安全評估,然后根據評估結果制定相應的對策以限制服務器執行的任務。在主機及其環境中,安全保護對象包括用戶應用環境中的服務器、客戶機以及其上安裝的操作系統和應用系統。這些應用能夠提供包括信息訪問、存儲、傳輸、錄入等在內的服務。根據信息保障技術框架,對主機及其環境的安全保護首先是為了建立防止有惡意的內部人員攻擊的首道防線,其次是為了防止外部人員穿越系統保護邊界并進行攻擊的最后防線。

5)應用程序防御

作為一個防御層,應用程序的加固是任何一種安全模型中都不可缺少的一部分。加強保護操作系統安全只能提供一定程度的保護。因此,電子商務系統的開發人員有責任將安全保護融入到應用程序中,以便對體系結構中應用程序可訪問到的區域提供專門的保護。應用程序存在于系統的環境中。

6)數據防御

對許多電子商務企業來說,數據就是企業的資產,一旦落入競爭者手中或損壞將造成不可挽回的損失。因此,加強對電子商務交易及相關數據的防護,對電子商務系統的安全和電子商務項目的正常運行具有重要的現實意義

6 結論

一般來說,風險管理有基本的三個對策,包括管理者采取適當措施來降低風險事故發生的概率;管理者準備并實施一個意外事故應急計劃以備不測;還有就是管理者什么都不做。對已選定的對策,應對其潛在的風險有充分的估計,并制定相應的應變計劃,以使可能的風險損失降到最低。

風險管理沒有鐵定的規則,對于電子商務安全風險管理來說,首先是掃描和檢測電子商務系統的內外部環境,檢查系統的脆弱性和薄弱環節,及時打上補丁和追加設備,以便當風險產生時盡可能地減少損失;其次是對電子商務安全風險進行充分地分析,然后制定相應的規劃和措施,并在其實施的每個階段進行監控和跟蹤;最后是根據環境的變化隨時調險管理措施,制定完備的災難恢復計劃。

參考文獻

[1]甘早斌.電子商務概論(第二版).華中科技大學出版社.2003.9

[2]鐘誠.電子商務安全.重慶大學出版社.2004.6

[3]才書訓.電子商務安全風險管理與控制.東北大學出版社.2004.6

[4]易珊,張學哲.電子商務安全策略分析.科技情報開發與經濟.2004.5

[5]高新亞,鄒靜.電子商務安全的風險分析和風險管理.武漢理工大學學報.信息與管理工程版.2005.8

[6]郭學勤,陳怡.電子商務安全對策.計算機與數字工程.2001.7

[7]李晶.電子商務安全防范措施.安徽科技.2003.4

篇8

關鍵詞:企業 風險管理 審計 開展

隨著全球經濟一體化進程的加速,我國內部經濟環境也發生了相應的變化,諸多變化因素將導致國內企業在運行發展的過程中所面臨的各類風險不斷增加。目前,國內企業全面風險管理工作仍處于起步階段,規范的全面風險管理體系尚未完全建立。因此,企業內部審計部門在發揮對風險管理工作監督、評價職能的同時,通過運用“審、幫、促”的工作方法開展風險管理審計,幫助企業收集風險信息、識別判斷風險、研究防控措施、建立完善風險管理體系。

一、企業風險管理的現狀

以國有企業為例,自2006年國資委《中央企業全面風險管理指引》后,極大地推動了風險管理工作在國有大中型企業的應用,但是對標國外先進企業,大部分國企的風險管理工作還存在很大的差距,尚處于起步階段。一是一些企業風險管理職能不明確,未設立獨立的風險管理機構;二是風險管理制度及管理機制不健全,風險信息收集、風險評估等風險管理基本制度尚未完全形成;風險管理長效機制尚未建立;三是風險管理專業程度不高,量化評估工具應用較少,信息技術應用不充分;四是風險管理的監督評價與改進機制尚未健全,風險管理審計工作尚未全面開展,沒有構筑起風險管理的第三道防線。

二、風險管理審計的主要內容

(一)收集初始信息,識別風險

圍繞公司戰略經營目標,收集與風險及風險管理相關的內外部環境信息,包括宏觀經濟環境信息、行業相關風險信息、典型風險案例、歷史數據和未來預測等。對識別出來的風險進行描述和定義。

(二)運用技術模板,評估風險

運用定性分析和定量計算方法評估風險等級。從風險發生的可能性和影響程度兩個維度,按極低、低、中、高、極高五個級次進行計算(以1、2、3、4、5分值表示),確定重大風險、重要風險和一般風險。

(三)檢查評價風險管理策略的否適當性和應對措施的有效性

根據風險偏好和風險承受度,檢查企業所選擇的風險承擔、風險規避、風險轉移、風險轉換、風險對沖、風險補償、風險控制等管理策略是否適當。檢查企業在風險事件發生前、中、后所采取的具體應對措施,企業對可能發生的各種風險事件是否制定了各種解決預案,實施是否有效。

(四)確定剩余風險等級

對固有風險控制結果評價為有效的,認定剩余風險等級“一般”;對固有風險控制評價為基本有效的,審計人員視具體風險情況評估剩余風險等級;對固有風險控制為無效的,固有風險等級即為剩余風險等級。

(五)檢查評價風險管理組織機構和風險管理文化的建立建設情況

檢查企業風險管理組織機構的建立健全情況,現有機構設置是否適應全面風險管理要求,各部門風險管理職能是否有效履行。檢查評價企業是否把風險管理融入到企業文化建設全過程,是否將風險管理意識轉化為員工的共同認識和自覺行動,是否建立了員工上崗前風險管理培訓制度。

(六)檢查風險監控報告和考核問責制度的落實情況

一是檢查企業是否建立了重大風險預警制度,是否實現對重大風險管理全過程的動態監控。二是檢查企業是否建立風險管理報告制度,風險管理基本流程的信息溝通渠道是否順暢。三是檢查企業是否建立風險事故的考核問責制度,對形成損失的風險事件,有無追究相關部門和人員的責任,風險管理責任落實是否到位。

三、風險管理審計的方法

(一)立足于“審”,履行監督職能

在風險管理審計程序中,首先需要企業以“審”為基點,緊扣住風險所涉及的重點工作領域,將查找企業存在的風險為導向,結合實際情況充分識別組織內外所面臨的各項風險,結合風險管理各項環境和內控要素,如組織目標、經營情況、管理薄弱環節及問題進行訪談、查閱資料、記錄、歷史案例,評價其充分性,并進行分析性復核,對“風險發生的概率”和“風險對企業目標產生的影響程度”進行確認,評價風險應對措施的適當性和有效性,并對剩余風險的等級進行認定。

(二)突出“幫扶”,幫助企業建立風險管理體系

鑒于大部分企業風險管理工作尚處于起步階段的客觀情況,審計部門應充分發揮其“服務”職能,采取“以審促建”的工作方式,幫助企業建立風險管理體系。例如:在項目實施初期,應對被審計單位人員進行風險管理培訓,將審計人員所掌握的分析識別風險的方法傳授給被審計單位人員;在實施過程中可與被審計單位人員一起收集分析風險信息,進行分析識別,判斷風險等級,研究應對措施,在審計的過程中教會被審計單位人員如何識別防范風險。同時在開展現場審計過程中,審計人員還應向被審計單位宣傳貫徹風險管理理念,提高全員風險管理意識;針對檢查情況,給被審計單位提出改進建議,幫助其完善相關制度措施,進而初進企業建立較為完善的風險管理體系。

四、結束語

全面風險管理是一項長期、系統性的工作,不可能一蹴而就,也不可能僅僅依靠某一方面力量即能完成,需要各企業上下共同努力,統籌規劃,分階段有重點推進實施。廣大企業內審部門,作為風險管理工作的第三道防線,應充分發揮“監督、服務”職能,積極開展風險管理審計,為促進我國企業全面風險管理工作的提升貢獻力量。

參考文獻:

篇9

關鍵詞:銀行;風險管理;金融創新

風險管理是指如何在一個肯定有風險的環境里把風險減至最低的管理過程;而金融創新是指變更現有的金融體制和增加新的金融工具,以獲取現有的金融體制和金融工具所無法取得的潛在的利潤。它是一個為盈利動機推動、緩慢進行、持續不斷的發展過程。將銀行風向管理和金融創新有機結合起來,是一種新型的銀行風險管理模式。對于這種管理模式來說,對銀行既是機遇又是挑戰。下面我們簡要闡述銀行金融創新在金融管理方面的問題

一、銀行金融創新在風險管理方面的問題

(一)創新危機無法有效預防

金融創新下的銀行風險管理,缺乏有效的創新管控機制,對于正要發生的風險或者已經發生的風險不能完全規避。

(二)內部控制體系不健全

銀行在發展歷程中只注重拓寬經營范圍,不能有效實施銀行的內部控制。一些銀行認為風險的管控會阻礙企業的經營活動,在利益與風險控制間選擇了利益。過多地看中銀行的信用貸款風險,忽視了金融創新帶來的風險。

(三)風險的調和與管控方式簡單

銀行在全方位發展業務時,金融風險無法有效規避。在紛繁蕪雜的市場經濟體制的競爭環境下,老舊的風險管理方式已經對其無法適應,在風險管控上中國缺乏獨到的管控手段。

(四)無法有效評定風險

評定體制的缺乏使風險評定不夠合理和科學,無法對風險進行量化考評,銀行缺乏評定體系,積累的技術材料很少。

二、金融創新下的銀行風險管理取得發展的必要措施

(一)改善金融創新的模式

金融創新是銀行發展的源動力。世界金融市場變幻莫測,銀行要與時俱進,采用金融創新的方式緊跟時代步伐,不能由于擔心金融創新可能帶來的風險而對金融創新采取冷處理的態度,那樣只能被市場淘汰。在進行金融創新的過程中以特定資產組合或特定現金流為支持,發行可交易證券進行融資已經成為了一種創新性的融資方式,它同時也是金融創新的一種既定方式。如此可以讓銀行將風險轉移到證券交易市場,將信貸風險分散到整個金融市場。只有對金融用具進行科學利用,才能將銀行管理風險降到最低,增加企業的利益;金融創新需要一個完善的風險管控機制,梳理好金融創新與風險管理的聯系,具體情況具體分析,把握好金融創新的尺度,不能在不清楚風險帶來的損失的狀況下進行無目的的金融創新,另外,對于不熟知的區域投資時應采取謹慎的態度。

(二)強化企業內部控制體制

金融創新下的銀行風險管理,要依據現實工作的需求,對金融創新和銀行的風險管理設立專門的監督機構;細化職位職責,明確責任的歸屬來對金融創新下的銀行風險管理進行有效規避。金融創新在銀行中的運用,要做到效率高,就必須要求銀行員工按照相關標準工作;不一樣的工作內容在遭遇相同的風險的時候應該注意管理的一致性。相關事務可以進行原始記錄,使以后金融創新下的工作和經營活動有據可依。監督機構對評定成果進行核實,并反饋給銀行的董事會或者管理機構,使科學的提議被采納,讓其單一性和資深性的特點得到充分發揮。

(三)風險策略的完善和考評

完善的風險策略需要合理的管控結構作為支撐,銀行通過對管控機構進行權限的定位,例如股份持有人、理事會要有效合作,打造一個權利平臺,完成評定體系的建立。股份持有人要對公司的重大決策把關,合理化地制定發展戰略,避免管理層和職工做出錯誤的決定,給銀行帶來損失。對于銀行的管理風險來講,股東持有者可以將風險管理意識傳達給企業的每一個人,將職工的考核和風險的管控相結合,調動經營成本,準備好資金以應對即將到來的銀行風險。這也是金融創新下銀行管理風險的一種重要措施。

(四)完善動態評定機制

現在是信息時代,銀行可以對科技信息進行合理運用,保證平時的工作有序進行,而電子化管理銀行,財會信息的準確程度將得到提高,從而提高財會訊息利用的效率和可靠性。銀行在金融創新下的風險管理工作也離不開電子化,顯而易見,建立完善的動態評定機制,可以對金融風險起到預先報警的作用。在銀行金融創新的事前、事中以及事后,風險的管控都不能有絲毫懈怠,及時對風險的變化采取措施,才能在風險產生前做到“未雨綢繆”。

結束語:

綜上所述,金融創新下管理好銀行風險,才能促成金融市場的良性競爭,使銀行在合理享受金融創新帶來的利益的同時,做好應對風險的準備;中國的銀行必須對金融創新進行深入研究,不間斷地拓展經營區域,使銀行注重長遠發展的經濟增長模式得以實現。

參考文獻:

[1] 陳坤雄.從金融創新角度分析銀行風險管理[J].現代商業,2012,(11):25-26.

[2] 李雪梅.基于金融創新的建設銀行風險管理研究[J].中小企業管理與科技,2010,(27):53.

[3] 劉曉蕾,張啟文,錢建峰等.中信銀行流動性風險管理現狀的實證分析[J].商業經濟,2011,(12):112-114.

篇10

關鍵詞:風險 風險管理 研發項目

研發項目管理是項目管理工作的重要組成部分,是一個企業持續發展的根本保障和創新來源。研發活動與一般的生產勞動不同,具有創造性和嘗試性,也存在一定的不確定性和風險。研發項目風險分為質量風險、費用風險及進度風險,這些風險的實質是項目的技術風險、管理風險與經濟風險。在項目研發工作中,項目進度延遲、成本超支現象普遍存在,最終導致其結果具有很大的不確定性,過程存在很高的風險性。本文分析了研發項目管理中風險的來源,探討了風險管理方法,旨在使項目管理人員提高風險管理意識,有效利用資源,縮短研發周期和減少超支,進而更好地發揮研發項目的最大作用。

一、研發項目風險的來源與因素

研發項目由于其創新性、嘗試性的本質特點,不確定性更高,風險更大。研發項目的風險可能出自技術、團隊、經濟和資源等各個方面,對項目研發本身或項目目標的實現都能夠產生重大影響。從研發項目的內容選擇、開發到終結驗收,每一個階段都面臨著各種各樣的風險,只有克服各種風險的不利影響、有效管理各種風險,研發項目的目標才能最終實現,研發項目的風險管理是為了更好地實現該項目的預期目標。

1 研發項目風險來源

研發的最終目的在于取得該項目技術上的競爭優勢,獲得一種技術儲備,增強未來競爭力。由于研發項目產生于滿足市場新需求的要求,是某項技術的一種創新性的應用嘗試,研發過程中的資源投入很難事先準確測算,所依托的技術的成熟度和可靠性也往往難以把握,因而研發項目的技術不確定性、投資不確定性、收益不確定性極高,在整個研發項目生命周期內到處充斥著技術風險、經濟風險等各種風險因素。研發項目管理中也存在著大量的不確定性因素或風險,其來源可以概括為:

(1)經濟風險。研發一個項目需要一個長期的過程,在這個過程中受到經資金來源、通脹和利率等一系列不確定因素的影響。

(2)技術風險。研發過程中會遇到一系列的技術難題,攻克技術難關本身存在一定的風險性。此外隨著科學技術進步、技術結構的變動也會給研發投資帶來不確定性。

(3)國際風險。國際經濟環境的變化導致對區域性的經濟活動的影響,也會對項目的研發產生風險。

(4)團隊風險。團隊風險在研發項目執行過程中時刻存在,團隊成員策劃失誤、決策錯誤或團隊成員懶散不積極都會導致預期的目標不能實現。

2 研發項目風險因素

研發項目的風險源于它的不確定性,影響研發項目成敗的關鍵因素的不確定性將會導致整個項目成敗的不確定性,從而就形成了研發項目的風險。研發是知識、技術、管理與市場結合的整體過程,決定研發項目成敗的因素非常多,其中主要因素的成敗決定了研發項目的風險高與低。研發項目的風險因素,可以將其概括為技術因素、管理因素和經濟因素。

(1)技術因素。技術因素是研發項目活動的基礎之一,對研發項目的最終成敗有著直接的影響,技術效果的不確定性表現在研發過程中對最終的技術效果難以估計。研發團隊的結構構成和整體技術水平,技術難度、技術的成熟度與復雜性也是影響研發項目成敗的關鍵因素。技術難度越大,成熟度越低,復雜性越高,研發項目的風險也就越大。

(2)管理因素。管理因素也就是組織管理的能力,是研發項目的內部環境因素,也是非技術因素。組織管理水平的高低對研發項目的成敗具有重要的作用,一方面它能創造良好的研發環境,另一方面它能激發團隊成員的創新積極性,還能在研發項目執行過程中促進各部門之間的協調與通力合作。

(j)經濟因素。經濟因素在研發過程中其表現是多方面的。首先,評估一個研發項目要看其潛在的利潤,投資的收益率、凈現值、回收期以及財務風險等,這些都是選擇研發項目的重要財務指標。其次,滿足研發的資金需求除了自籌資金還有銀行貸款。所以經濟實力的強弱直接影響研發項目的規模和強度,經濟因素是研發項目成功最基本的保障。第三,研發項目具有不確定性,在試驗中可能會出現失敗,會造成研發成本的增加,失誤次數越多,預算差距越大,差距越大會影響研發的成?。蛔詈螅洕h境因素,包括經濟政策、市場需求的變化及競爭等都將對研發項目的成敗產生至關重要的影響。

二、研發項目風險管理方法

研發項目是在復雜且多變的過程中進行的,任何一個環節都有可能產生不確定的結果,都會影響到研發最終目標的實現。基于這樣一個過程就要求在項目整個的生命周期內都要應對可能發生的各個風險因素。項目風險的管理是源于項目的復雜性,需要從研發項目的生命周期進行風險管理。在整個研發項目風險管理中要從風險的識別、評估、應對和后續監控等步驟對潛在的風險發生進行有效的控制和管理。

根據研發項目的風險特點建立了如圖1所示的研發項目綜合風險管理模型,該模型提供了一種持續的風險管理控制和機制。

該風險管理模型具有如下兩個方面的特點:一方面,它不僅有機融合了已有的相關領域的項目風險案例信息庫,使得后續工作能有可借鑒的經驗,而且整合了專家意見以及項目團隊組織的工作,對整個研發項目風險管理過程提供了戰略層次的模型;另一方面,使風險管理的全過程形成了一種閉環,提供了一種持續的風險管理控制和反饋機制。研發項目工作者可根據需要對過程進行動態調整和反復,以期達到對研發風險的實時監控和管理。從以下四個方面具體對風險管理進行闡述探討。

1 風險識別

風險識別就是識別該項目的風險來源、風險產生的因素、風險特征以及確定哪些風險因素有可能影響到本項目目標的最終實現。在項目整個生命周期中,由初始階段到收尾階段,收集的信息會越來越多,由項目研發陳述,需求分析、概念方案、詳細方案,執行到收尾,由不明確到明確的一個過程。風險識別在項目整個研發過程中不是一次兩次就可以完成的,應在項目全過程中持續不斷地進行。在識別風險時,應有項目團隊、風險管理小組、客戶和項目經理分辨出項目中存在的各類風險。通常項目風險包括技術風險、團隊風險、管理風險等風險。技術風險是項目攻克技術難題和技術障礙;團隊風險是項目團隊的協作能力差、人員結構不合理等;管理風險是管理水平的高低、決策的正確與否等等。只有識別了具體的項目風險,才能分析引起這些風險的主要因素。

2 風險評估

風險評估是盡力去識別風險事件的屬性并對風險要有一定的預見性,對其最終對項目的影響也要有一定的評估。研發項目的風險評估主要是根據項目組成員的經驗和以往大量的數據進行主觀判斷并將其量化。這個過程中評估人員的經驗非常重要。這里所說的量化主要是判斷各種風險發生的概率及風險指數或權重。包括需求風險、管理風險、技術風險、人員風險等等多方面的內容。通過量化找出主要風險點,從而層層深入找出解決問題的方法。

3 風險應對措施

一個項目的風險主要體現在項目中的任務是否能如期完成,資源是否能合理有效使用等問題上。這就需要在整個項目周期內部需要一定的應對策略,這種應對策略就是把那些潛在的問題對項目造成破壞之前識別、處理和排除。

(1)風險控制。風險控制貫穿于整個項目生命周期,但是最好的階段是把風險控制在項目的啟動階段。風險控制不是一定要消除風險源,而是努力降低或緩解風險。最好是能把風險降低在可控的概率內或者是盡量減輕風險對項目的影響。

(2)風險避免。風險避免是指當項目風險發生的可能性太大,不利后果也很嚴重,又沒有其他良好策略來減輕風險,改變項目的行動方案或主動放棄項目,從而避免風險的一種策略。其實就是將風險降低到可控制可接受的水平,消除高風險源取而代之低風險源,或者從根本上放棄使用有風險的項目資源、項目技術、項目設計方案等,從而避開項目風險的一類項目風險應對措施。

(3)風險轉移。風險轉移是將項目本身面臨的損失風險轉移給他人或單位去承擔的行為。轉移風險又叫合伙分擔風險,其目的不是降低風險發生的概率和不利后果的大小,而是借助合同或協議,在風險事故一旦發生時將某個部分的風險重新分配到該系統的另一部分。這類風險控制措施多數是用來對付那些概率小但是損失大,或者是項目組織很難控制項目風險的情況。采取這種策略所付出的代價大小取決于風險發生的可能性和危害程度的大小。

(4)風險承擔。風險承擔也就是接受風險,是指項目管理層有意識地選擇承擔風險所造成的后果,覺得自己可以承擔損失時,就可采用這種策略。例如,當項目風險發生的概率較低或后果不嚴重時,可采取這種策略。項目管理者在識別和評估風險的基礎上,將風險留置內部,由項目組織自己承擔風險損失的全部或部分。主動地接受風險是一種有周密計劃、有充分準備的風險處理方式。

4 風險監控

風險監控是一種持續跟蹤并評定風險管理的過程。在這個過程中,通過對前期風險的辨識、評估,風險應對策略全過程的監視和控制,從而保證研發項目風險管理能達到立項的預期目標,它是研發項目實施過程中的持續改進的一項重要工作。

以上是對研發項目風險管理的初步探討。結合作者本人的項目開發和管理實踐經驗,從風險來源、因素分析、風險識別、風險評估、風險應對等幾個方面進行了全面的論述。該討論不僅有助于強化研發項目管理的風險意思,且提供了可行的風險管理方法,使風險管理成為項目管理的重要組成部分。相關人員可以從風險管理的角度對項目計劃進行審核,建立風險源清單,并對每個可能存在的風險作出盡量準確的判斷,采取相應措施。

參考文獻

[1]曹克,劉立,論R&D(研究與發展)的企業內部化進程[J]自然辯證研究,1997

[2]王凱華,連燕華,我國企業研發項目管理及研發經費核算中的問題及對策[J],經濟與管理研究,2008(6)

[3]喬明,項目管理中的風險管理分析[J],工程建設與設計,2003(12)