风险分析及评估
风险分析及评估范文第1篇
【 关键词 】 信息安全;安全保障;风险隐患;风险评估
Analysis of Information Security Risk Assessment and its Application
Liao Bo-tao
(434 Factory Military Representative Office In Liuzhou GuangxiLiuzhou 545006)
【 Abstract 】 In the environmental context of the information age, socio-economic, technological and cultural aspects have made rapid development. The ensuing severe challenges of information security, according to statistics, only in the Internet field, the annual losses caused due to the issue of information security amounting to one hundred billion U.S. dollars. Involved in the field of defense and military information leaked information security problems caused by the loss more difficult to simply use money to be calculated. The 21st century is the era of the blue sea, the Navy's development has become the top priority of the army building. The ship itself is highly electronic and information technology weaponry, the security of its equipment is of an urgent need. This article focuses on the information security risk assessment of ship equipment and its application.
【 Keywords 】 information security; security risks; hidden risk ;assessment
1 信息安全风险评估及其应用分析的意义
进入到21世纪,国际格局发生了深刻的变革,在国防军事领域也在发生着了重大的革命。我军的战略规划,也转变为了打赢一场复杂电磁环境条件和信息化条件下的战争。这就对装备技术的信息化水平提出了更高的要求。与之相对应的是在信息战、情报战急剧发展的今天,对装备信息安全进行风险评估,提升装备信息的安全程度,已经成为了一件刻不容缓的事。
1.1 信息安全的风险评估及其应用的必要性
信息安全的风险评估是信息安全保障的重要环节。信息安全的风险评估将对安全环境的有效性和适应性进行验证,对于维持整个信息安全管理体系的正常运作有着重要作用。在新世纪环境下,美国率先建立了网络司令部,以完善其整个信息战、网络战、情报战的多维立体作战网络。现代武器装备信息化程度高,一旦装备信息安全无法保障,那么整个部队的战斗力就没有办法得到保障。而且信息系统本身就是一个十分复杂容易出现问题的系统,外部威胁的不断加大和内部系统的不确定性,使得我们有必要进行装备信息安全的风险评估。
1.2 国外信息安全的风险评估发展情况
美国一直以来是信息技术的主导者,自从上世纪70年代计算机运用于军队之后,美军就格外注重军队装备信息的安全保障工作,并且发展了信息安全风险评估,使之成为安全管理制度的重要组成。1979年,美国国家标准局颁布了第一个风险评估标准《自动数据处理系统风险分析标准》。之后美国的军事理论部门和专家学者们不断完善相关的风险评估理论。现在,从武器装备研发生产到装备的实际应用,美军都建立起了一套完整的装备信息安全风险评估体系。
2 信息安全风险评估理论与方法
信息安全风险评估工作是一项专业系和系统性很强的工作。在实际的操作中没有依据专门的方法和流程的话很有可能引入新的风险,导致整个风险评估工作陷入彻底的失败。
2.1 信息安全风险评估策略和原则
对敏感装备进行安全风险评估一定要十分小心谨慎,因为对其进行风险评估本身就是一个风险,因此,再进行信息安全风险评估的时候必须要遵守一定的原则和策略,保证信息安全风险评估工作顺利有效的完成。
2.1.1 标准性原则
对于装备的信息安全风险评估必须严格依据国内或者国外的相关标准。运用合理科学的数学模型进行风险计算,风险评估工作要有完善的体系和符合标准的评价指标。这是为了保证评估结果的有效性和科学性。
2.1.2 保密原则
在评估过程中和结束之后要进行严格保密,采取坚定保密协定和采取保密监视等方法保证信息安全风险评估中的保密性。要将信息安全风险评估纳入安全监管体系中去,防止在评估出现新的风险。
2.2 信息安全风险评估基本流程
信息安全风险评估的基本流程,如图1所示。
2.2.1资产识别
资产即是有价值的信息资源,也就是我们所要评估的对象。资产识别就是对资产的使用情况和价值进行确定和整理。这是整个风险评估的基础。
2.2.2 危险识别
危险识别是对现有系统的弱点和系统可能遭受外来危险进行分析。可以借助风险评估工具。该环节包括两个层次;一个对于当前安全系统弱点的分析;另一个层次是对该资产所有可能遭受的威胁进行分析和整理,然后两者结合,得出该资产的脆弱性评价。
2.2.3 已有安全措施的确认
信息安全风险评估是验证在现有安全措施下,系统所遭遇的风险大小。通过对已有安全措施的确认可以对现有安全措施进行改进和增补,控制装备信息安全的所遭受的可能风险。
2.3 信息安全风险评估常用工具
对于装备信息要想进行准确科学的安全风险评估,就要借助信息安全风险评估工具。正确地使用评估工具将大大减轻风险评估的时间成本和人力成本,让最终的安全评估结果更为准确。安全风险评估工具根据应用方式的不同大致可分为三类。
2.3.1 主动型评估工具
主动型评估工具由人工操作指令编制而成,采取对于评估对象主动“询问”的方式来评估安全风险。使用主动型评估工具扫描防火墙,系统运行程序能够发现许多潜在的威胁。
2.3.2 被动型评估工具
被动型评估工具并不主动“询问”评估对象,而是采取守株待兔的方式把守数据关卡,检测所有流经的数据。在捕获了一些敏感数据之后,在对其进行分析。被动型评估工具的优势在于能够及时有效地监控系统安全情况,但是对于一些潜伏性的威胁程序,不及主动型评估工具更为精准。
2.3.3 管理型评估工具
是对整个风险评估过程进行管理的工具,管理型工具甚至可以结合主动型评估工具和被动型评估工具,可以运用风险管理模型管理整个安全系统。
3 信息安全风险的管理与控制
在舰船的装备信息安全风险评估中,可以将整个舰船系统分为三大指标体系:舰船装备信息的软件安全,舰船装备信息的硬件安全,舰船装备信息的安全管理机制。下面就将介绍舰船装备信息风险管理和控制的重点目标,同时这些也是进行信息安全风险评估的重要指标。
3.1 舰船装备信息的软件安全
3.1.1 信息管理系统
对信息管理系统进行安全管理和风险监测是十分重要的。信息管理系统是装备信息系统中的薄弱环节,黑客们善于利用信息系统的安全漏洞来窃取相关信息。诸如美国的情报网络就曾经被高中生攻破,导致机密信息泄露。信息管理系统的自主研发性是风险评估的一个重要依据,引进的管理系统容易被人利用已知的固有漏洞破解。对信息管理系统要重点评估防病毒程序的防火墙的安全系数。在实际的管理中可引入数字签名工具提升整个系统的安全性。
3.1.2 信息恢复措施
信息数据要做好信息备份工作,使信息数据在遭到破坏时或者系统遭到入侵自毁后能得到恢复。备份的保存应该和原数据分开保存,并且采取和原数据相同安全等级的保管措施。因为数据备份实质上就相当于一份原文件,所以对于备份数据的评估和安全控制也是整个安全管理体系的一个重要指标。
3.1.3 人员素质水平
风险评估在这里主要考察人员的专业素质水平和人员的安全意识,用以评估装备信息的安全风险。作为装备的使用者和装备信息的安全监管者,相关人员的管理一向是装备信息安全体系的弱点。且人员的活动具有更大的未知性和不确定性,更大大加深了安全控制和风险评估的难度。
3.2 舰船装备信息的硬件安全
3.2.1环境安全
环境安全是安全管理系统最基本的一项指标。应该对整个舰桥安全和信息安全环境进行评估。舰桥是整艘舰船控制指令发出的地方,舰桥的安全不仅关系到整个装备信息的安全,更是整艘舰船的安全所在。要评估舰桥日常操作方式对于装备信息安全的影响。从舰桥我们还可以评估该舰船对于其装备信息安全的控制能力。
4 结束语
装备信息安全的风险评估是一项很系统很复杂的工作,在实际的操作中我们要实地分析,根据实际需要熟练运用各种风险评估方法和风险评估工具来评估各项指标,最终保证装备信息的安全。在未来信息化的作战环境下,谁掌握的信息的主导权,谁就掌握了战争的主导。切实加强装备信息风险评估在实际舰船安全管理的应用,能成为舰船战斗力的牢固保障。
参考文献
[1] ISO/IEC TR 13335:Information technology-Guidelines for the management of IT Security.
风险分析及评估范文第2篇
【关键词】施工企业;工程造价;风险评估;措施
社会的发展最大限度地带动了经济的全面发展,建筑行业想要在激烈的市场竞争之下占据更多的市场份额,就必须要采取有效措施不断的提升自身的管理能力和建设水平。与此同时,还要不断的提升施工企业的工程造价风险评估和预防的能力,这样才能够有效地保证施工企业能够实现可持续发展。基于此,相关的造价人员必须采取有效的措施全面的对施工企业的工程造价风险进行一系列的分析,并正确的评价施工企业工程造价风险,然后采取相应的应对措施有效的降低施工企业工程造价风险。
1施工企业对工程造价进行风险评估的意义
1.1内容
在施工企业进行工程建设的过程当中对工程造价进行有效的控制,不仅能够最大限度地提升施工企业的经济效益,同时还能够实现对建筑工程整个施工过程进行科学、规范的管理的目的。①在施工企业发展的过程当中,为了能够有效的对工程造价进行控制,相关的工作人员就必须要对工程造价进行全面的预测和分析。在掌握了工程造价的情况下,才能更好地完成投标决策和投标报价,并根据工程项目的情况合理的进行成本管理工作和后续施工工作的安排。②施工企业通过对各个施工环节的工程造价进行全面的分析之后,能够采取相应的措施对工程造价进行控制,不仅能够实现施工过程当中的资源优化利用,同时还能够有效的提升施工企业的经济效益。③相关的工作人员通过对工程造价的风险进行评估,然后才能够根据风险大小决定设备价格和安装产品的价格,并能够采取有效的措施对这些工程造价进行全面的控制。
1.2管理
施工企业对工程造价风险进行评估,主要是希望能够通过掌握风险源,然后制定相应的风险应对策略,有效地降低工程造价风险对于施工企业的影响。因此,相关的造价工作人员在进行风险评估时,不仅要结合经济市场的发展情况,同时也要充分地考虑施工企业本身的经济状况,还需要对不同的风险预防方法进行分析和总结,然后根据企业的实际经营情况,确定最优化的风险预防组合,并根据经济市场的变化不定期的对方案和组合进行优化调整。①在进行风险评估和评价的过程当中,首先要能够正确地识别工程造价风险,然后才能更好的对各种引起工程造价风险的不确定因素和风险级别进行分析,进而能够制定更好的应对措施和解决方案。②要充分地了解不同等级的工程造价风险可能对施工企业造成的一系列影响,然后从引起工程造价风险的项目和关键因素入手,全面的对建筑工程施工项目的整体风险进行科学的评估。除此之外,还需要对评估的数据进行多次的核算,尽可能的降低工程造价风险评估与实际施工情况存在的差异,并根据风险的特点、内容、类型制定相应的风险应对方案。
2施工企业工程造价的风险评估和识别的方法
在进行风险识别之前,相关的工作人员必须全面地了解整个施工项目,然后才能准确的确定工程项目当中的不确定因素,并对不确定因素进行深入的分析,进而能够对工程造价风险进行准确科学的评估。另外,在进行施工企业工程造价风险评估的过程当中,还需要注重阶段性目标的工程造价风险预测,特别是要加强招投标阶段的风险评估,然后再依次对工程当中涉及的技术、施工形式、潜在风险等进行进一步的预测。为了确保工程能够顺利展开,相关的工作人员还需要对勘察设计阶段的不确定因素进行研究,然后采取有效的方案预防施工过程当中的资讯分析风险和垫付投资风险,尽可能降低施工过程当中的各种不必要经济成本的浪费。为了尽可能的避免施工过程当中由于操作失误而造成重复施工增加工程造价的现象,相关的工作人员必须加强对每个施工环节的工程造价的控制,同时也要加强对施工过程当中的质量控制,采取一系列有效的方法不断的提高建筑工程的整体质量。
3施工企业工程造价风险的有效应对措施
施工企业想要有效规避工程造价风险,必须深入的剖析工程造价风险的产生原因,提高工程造价风险管理的质量,在控制企业工程造价风险的同时提高企业的经济效益。在落实时,可以善用回避法、转移法、分散法等手段。详细论述如下:
3.1回避法
施工企业往往会选择较为直接、简单、有效的风险回避法来进行工程造价风险的预防。通过相关的分析之后,在建筑工程项目当中有效地避免出现存在一定程度的工程造价风险的设计和方案,这样能够直接地降低工程造价风险对于施工企业的影响。一般情况下,施工企业往往不会进行经济收益低于投资风险的工程项目建设。在工程建设的安排过程当中,会尽可能的避免可能造成较高风险的施工。施工企业在通过对工程造价风险系数进行评估之后,往往会选择放弃具有较高风险的工程,也可能在签订合同的过程当中明确地规定工程造价的变化幅度,进而有效地降低风险对工程的影响。
3.2转移法
施工企业还可以运用工程担保、工程保险、合约条件等的方式将风险转移给其他的机构,从而降低施工企业本身承担的风险,进而能够保证施工企业通过完成工程项目的建设获得较高的经济收益。在施工的过程当中,往往会存在一些无论采取怎样的方法都无法避免的工程造价风险,这时,就需要采取某些方法让与工程项目有关的其他主体承担一部分的造价风险。例如,在实际的施工过程当中,相关的工作人员可以签订业主支付预付款、业主支付工程款时间、业主支付工程款方式等合同来确保施工企业能够及时的收到工程款项,施工企业也可以寻找合作对象,采用分包的方式来降低工程造价风险,这样就能将一些工程量大、效益差、技术难度较大、质量要低碳经济较高的施工环节转给其他的施工单位和企业。
3.3分散法
施工企业在进行规模较大、造价较高的工程建设时,为了能够保证经济收益,往往会选择和多个主体进行合作。通过和不同的施工单位、施工企业合作能够有效平摊工程造价风险。另外,多个不同的施工主体所提供的工程造价更高,能够在投标阶段顺利的获得工程项目建设资格。在实际的施工过程当中,可以根据不同施工主体的优势进行工程的安排,这样能够最大限度的提升整体的施工效率,同时也能将施工项目工程造价控制在一个较为合理的范围之内。需要注意的是,施工企业在寻求合作单位和企业的过程当中,需要选择资质较高的单位和企业,这样才能够有效的降低施工过程当中的技术风险以及其他的风险。
4结束语
综上所述,经济的快速发展不仅为施工企业的投资和建设创造良好的条件,与此同时,经济市场的不确定因素也提高了施工企业的工程造价风险。在面对激烈而复杂的市场竞争的情况之下,企业想要能够最大限度地提升自身的经济效益,就必须要确保在施工企业发展的过程当中拥有足够的周转资金,这样才能更好的支持企业的各项项目投资和日常的管理。因此,相关的工作人员必须充分地考虑市场因素,建立较为完善的工程造价风险评估体系,还要不断的加强工作人员工程造价风险意识的培养,并根据实际的情况选择有效的方案降低工程造价风险,全面地提升企业的风险应对能力。
作者:吴海峰 单位:广州机施建设集团有限公司
参考文献
[1]玉琤.施工企业工程造价风险评估及应对策略分析[J].赤子(上中旬),2015,07:131.
[2]王祥祥.施工企业工程造价风险评估及应对策略研究[J].门窗,2015,06:230.
[3]李伟.施工企业工程造价风险评估与解决方法[J].四川水泥,2015,10:200.
风险分析及评估范文第3篇
关键词:地铁、风险评估、高架车站
一、地铁车站建设风险的种类
1、公共政策风险
公共政策对项目公司的影响既有负面的,也有正面的。对主业的影响主要表现在国家的区域经济发展战略调整给城市经济发展进程带来的影响,同时影响轨道交通的客流量。此外,城市交通发展政策对轨道交通客流量也产生直接影响,例如,发展私家车的政策以及对其他公交系统的布局。
2、市场风险
城市轨道交通工程的市场需求风险主要是客流风险,即轨道交通运营客流达不到预测目标值。主要表现在两个方面,首先如果票价水平超出了居民承担能力,将直接影响到未来客流量;其次,是客流预测的准确性,特别是轨道交通客流预测的时间跨度较大,预测的基础资料也是相关部门的预测数据,其可变因素多,对未来的运营带来最直接的影响。市区内的轨道交通线路,由于大部分已是建成区,其可变的因素相对较小;市区以外的线路,其服务对象的预测,大多是需要进一步开发的潜在需求,可变因素多,如果经营的好,可变因素会朝有利的方向发展,否则,将给公司带来不利影响。
3、技术风险
技术风险主要来自两个方面,一是技术方案的不稳定性;二是设备系统的不确定性和不可靠性。技术方案的不稳定性与前期工作阶段有关,在项目预可研阶段,由于规划、客流等因素的不确定性很大,由此引起项目最终实施的方案与预可研阶段确定的方案在技术标准、工程造价等方面可能存在较大的差异;在地质、管线、建筑物基础等资料不够全面详细的情况下,技术准备工作深度不够充分时,可能存在设计变更等情况引发的工程变化,以至工程延期。设备的不确定性和不可靠性与设备系统技术水平发展有关,某些设备的更新换代周期短,可研阶段采用的设备可能在工程实施时已经落后,某些设备在技术上还不够成熟这都属技术风险的范畴。
4、其他风险
1)、建设风险
包括建设资金不到位、工程费用超支、工期延误和质量不符合要求、项目衔接线路建设进度迟缓等影响项目建成的风险。
2)、经营风险
经营风险是指生产经营的不确定性带来的风险。本项目为城市公共服务领域,票款收入稳定但是不足以支付运营成本;没有提价的空间;面临地面公共交通的激烈竞争。
3)、财务风险
财务风险是指公司财务结构不合理、融资不当使公司可能丧失偿债能力而导致投资者预期收益下降的风险。
由前面的风险因素分析可以看出,地铁建设在政策、市场、技术和项目的组织管理等方面存在诸多风险因素,根据其影响程度和产生的后果,大致归纳为工程投资、运营收入和运营成本三个方面。各种风险因素分类见表
对工程投资影响最大的为工程方案、融资方案、建设进度和征地拆迁,这些因素发生变动的可能性较大,容易导致工程投资的重大变动,是本项目重要的风险因素。
客流市场和票价是影响运营收入的主要风险因素,发生变动的可能性较大,是影响本项目财务收益的两个主要风险因素。
项目的经营管理和融资方案是影响本项目运营成本较为显著的风险因素,特别是本项目运营架构的变动将对运营成本产生较大影响。
二、风险程度分析
1、定性分析
风险因素大致归纳为工程投资、运营收入和运营成本三个方面。
风 险 因 素 分 类 表
序号 名称 风险因素名称
1 工程投资 工程方案、征地拆迁、设备选用、施工质量及管理、融资方案、建设进度
2 运营收入 客流市场、票价水平、票价政策、物业开发、公共政策
3 运营成本 经营管理、融资方案、电力价格、财税政策
对工程投资影响最大的为工程方案、融资方案、建设进度和征地拆迁,这些因素发生变动的可能性较大,容易导致工程投资的重大变动,是地铁建设重要的风险因素。
客流市场和票价是影响运营收入的主要风险因素,发生变动的可能性较大,是影响本项目财务收益的两个主要风险因素。
项目的经营管理和融资方案是影响本项目运营成本较为显著的风险因素,特别是本项目运营架构的变动将对运营成本产生较大影响。
2、定量分析
在前面财务评价和国民经济评价中对本项目进行的敏感性分析。但是敏感性分析只能指出项目评价指标对不确定因素的敏感程度,不能表明不确定因素的变化发生可能性大小以及对评价指标的影响程度。针对本项目的风险因素分析,我们采用概率分析方法主要对项目风险影响较大的投资、客流和票价变化因素进行定量分析。根据投资、客流和票价因素发生变化的概率,研究项目净现值的期望值,并计算净现值大于或等于零时的累计概率。
三、预防风险的对策
1、防范与降低风险对策
防范与降低风险的对策主要是回避、控制和转移。
2、公共政策风险对策
国家宏观政策的影响将是不可回避的,对于城市交通发展政策的影响,需要政府承诺限制对轨道交通运营不利的政策实施。例如通过限制沿线与轨道线平行的大巴营运,建设综合交通枢纽、增加垂直本线的地面公交线路等措施,变地面公交与地铁争客流为向地铁输送客流。
3、市场风险对策
为了避免不确定因素给客流带来的负面影响,可以通过于政府签订保底客流的经营协议来转移风险。也就是需要政府承若轨道交通达不到一定客流条件下,应给公司特殊的补偿,将客流不足的风险转移给政府。同时积极开发站点周边物业,为轨道交通培育客流。在票价、票制制定时,充分作好市场调研,满足旅客心理承受水平。
4、技术风险对策
在具体各阶段设计中, 对采用的基础资料如客流、城市规划、地质资料等尽可能做到客观准确,夯实技术方案基础;充分估计不确定性因素的影响,多方案比选。
5、其他风险对策
1)、建设风险对策
这方面的风险可以通过选择资信好、技术可靠的设计、施工承包商,签订规范的合同,切实做好合同管理的工作,可以达到抵御风险的目的:
(1)地铁工程投资巨大,提高地形勘测、管线调查与勘探方面的工作质量,确保基础资料的准确性,可有效回避工程投资的变化。
(2)采用设计监理与施工监理制度,是控制工程质量风险的一项重要手段。
(3)综合考虑轨道交通建设工期与其他相关工程建设进度的衔接关系,保障工期的落实,控制工期风险。
2)、经营风险对策
为降低经营风险,项目公司在规范运营客运业务时,积极学习其他城市的轨道交通企业的经营管理经验,坚决压缩非生产性支出;合理经营物业开发业务,在项目运营初期可重点发展出租物业,获得资金用于运营支出,条件成熟后发展租售物业,稳固客流并持续不断地获得资金。
3)、财务风险对策
可以利用财务杠杆系数控制负债规模及比率,合理安排资本结构,降低筹资成本,可使财务杠杆利益抵消风险增大所带来的不利影响;合理认识对客运需求的预期,筹资时合理确定还款方式及时间;做好还款计划和准备,加快资金周转,适当增大流动比率,使企业拥有更多的营运资金,提高偿债能力和支付能力,并建立风险基金,以备不时之需。
四、部分高架车站工程风险分析
南京地铁12号线部分高架车站工程风险分析
序号 车站名称 工程
方案 风险类型 工程与环境风
险源简述 风险分析 风险应对措
施的建议 备注
1 生态科技园站 混凝土框架结构 工程自身 高架三层路中岛式车站,建、桥完全分离。 建、桥完全分离,可能出现建、桥不均匀沉降。 为保证沉降均匀,建、桥均采用桩基础 桥宜采用桩基础,以粉砂质泥岩作持力层。
车站临近
房屋 红太阳装饰城距离车站40m 建筑物沉降,靠近基坑侧的差异沉降。 施工中加强对周边建筑物的监测,在基坑开挖时分层开挖、架撑及时、严禁超挖。
穿越或邻近道路 沿龙藏大道路中布置 地面沉降,交通疏导便利。 加强地面沉降监测
高架普通站,周边环境简单,注意建筑风险。 风险低
2 滨江村站 混凝土框架结构 工程自身 高架三层路中一岛两侧式车站,建、桥完全分离。 建、桥完全分离,可能出现建、桥不均匀沉降。 为保证沉降均匀,建、桥均采用桩基础 桥宜采用桩基础,以粉砂质泥岩作持力层。
与其他地铁线(车站)预留换乘节点 与11号线成平行换乘 考虑到若分建两线连接线位置尚不确定及交通疏导问题,建议同期施工
车站临近
房屋 目前车站周边为大片低矮住房与苗圃,车站距离向阳河河堤约40米 靠近基坑侧的沉降。可能引起河堤变形开裂。 施工中加强对河堤的监测,在基坑开挖时分层开挖、架撑及时、严禁超挖,随时关注基坑侧壁地下水情况。
高架换乘站,周边环境相对简单,需注意建筑风险。 风险中
3 步月路站 混凝土框架结构 工程自身 高架三层路中侧式车站,建、桥部分分离。 建、桥部分分离,部分承重构件需同时满足建筑结构规范、铁路桥涵设计规范要求,稍复杂。梁部无需特殊设计,下部结构需特殊设计 设计时分别选用建筑规范、桥梁规范和铁路规范,验算各种结构类型和不同的受力状况,以保证结构安全 桥墩采用桩基础,以粉砂质泥岩作持力层。
车站临近
房屋 车站周边为大片农田及水塘, 建筑物沉降,靠近基坑侧的差异沉降。 在基坑开挖时分层开挖、架撑及时、严禁超挖。
高架普通站,周边环境简单,注意建筑风险。 风险低
4 北顺圩站 混凝土框架结构 工程自身 高架三层路中侧式车站,建、桥合一结构。 高架站先形成空间框架结构,再在其上形成连续板梁。框架结构受载不均匀,易造成基础的不均匀沉降。框架结构的动力稳定性一般比桥梁结构差。 设计时分别选用建筑规范、桥梁规范和铁路规范,验算各种结构类型和不同的受力状况,以保证结构安全。为确保框架结构受载不均匀对基础不均匀沉降影响有限,采用桩基础,基础计算时加强验算。 桥墩采用桩基础,以粉砂质泥岩作持力层。
车站临近
房屋 目前车站周边为大片农田, 建筑物沉降,靠近基坑侧的差异沉降。 在基坑开挖时分层开挖、架撑及时、严禁超挖。
风险分析及评估范文第4篇
【关键词】洗钱风险等级 划分标准 评估方法 风控措施
一、问题的提出
金融机构客户洗钱风险等级划分制度是金融机构按照客户涉嫌洗钱或恐怖融资活动的特征,通过识别、分析、判断、评估等方式,将客户划分为不同风险等级,并针对不同风险等级采取相应风控措施的制度。作为反洗钱风险为本管理理念的具体实践,金融机构客户洗钱风险等级划分对有效监测防范洗钱和恐怖融资风险具有重要作用。从微观实践层面看:金融机构客户数量众多,反洗钱资源却十分有限,不可能真正做到对所有客户实时跟踪监测,客户洗钱风险等级的划分有利于金融机构实行差异化监控,对一般交易客户常规管理,对重点可疑对象强化管理。从宏观实践层面看:反洗钱监管部门出于控制监管成本的考虑,不可能将金融机构所有客户都纳入关注视野,客户洗钱风险等级的划分有利于反洗钱监管部门研究分析洗钱高风险客户的数目总量、风险特性、结构分布和关联程度,全视角的及早发现洗钱风险苗头,提示洗钱风险,部署反洗钱调查。然而,由于受各种制度层面和执行层面主客观因素的制约,与金融机构客户洗钱风险等级划分制度重要性形成鲜明对比的是金融机构客户洗钱风险等级划分标准缺乏代表性,评估方法缺乏科学性,风控措施缺乏操作性,这直接影响到划分制度的有效性,为此尝试构建差异性的划分标准、科学化的评估方法、可操作的风控措施将成为反映金融机构客户洗钱风险等级划分制度有效性的关键因素。
二、金融机构客户洗钱风险等级划分的国际经验
无论是专门的国际反洗钱组织或是在反洗钱领域发挥重要作用的其他国际组织,无论是发达经济体或是新兴经济体均对金融机构实施以风险为基础的客户洗钱风险等级划分、评判和管理有着纲领性和具体性的要求。
(一)国际经济金融组织客户洗钱风险等级划分主要经验
金融行动特别工作组(FATF)通过的《打击洗钱、恐怖融资和扩散融资国际标准》(新40条建议)建议各国适用风险为本的方法,洗钱风险较高时确保反洗钱与反恐怖融资体系能充分化解风险,洗钱风险较低时在特定情况下可采取简化措施,金融机构应识别、评估并采取有效措施降低客户洗钱与恐怖融资风险,在高风险国家、政治公众人物、行、资金或价值转移服务、新技术、电汇、跨境交易等洗钱高风险领域采取强化的风险控制措施。沃尔夫斯堡集团(Wolfs-berg Group)提供给成员银行的《反洗钱原则:全球私人银行指南》强调了对不同风险客户区别对待的原则,并将洗钱风险划分为地域风险、客户风险和服务风险三类,提出判断洗钱风险增减的五个因素:客户交易规模、客户受反洗钱监控的程度、客户交易往来历史、客户对反洗钱规则的熟悉程度以及客户交易媒介的透明度。巴塞尔银行监管委员会(BCBS)公布的《防止为洗钱目的而非法利用银行系统的规定》要求银行必须基于风险考虑是否与客户建立关系或持续交易,对客户身份背景、所在国家、交易账户、经营行为和其他任何与风险有关的因素都应列在尽职调查范围之内,对高风险客户必须实施增强的审慎措施。
(二)主要国家和地区客户洗钱风险等级划分主要经验
美国《爱国者法案》规定判定客户洗钱风险的方法首先是业务品种,其次是客户和交易种类以及地域范围,高风险业务一般包括私人银行业务、现金存取款、行账户、贸易结算和国际汇款,高风险客户一般包括特定国家和地区的自然人、法人和金融机构、现金汇款者和兑换商、珠宝和贵金属销售商、车船飞机经销商、地产商及房屋买卖业主、进出口公司、律师和会计师。欧盟《反洗钱4号指令》指出客户尽职调查程序应建立在客户洗钱风险等级评判基础之上,判定的因素涵盖客户背景、出生及主要活动地、职业、关联账户、商业行为和其他风险因素,客户被核定为“高、中、低”三类风险等级,凡被列为洗钱高风险的客户都将受到金融机构更为频繁的跟踪监测。中国香港金融监管部门在银行、证券期货及保险行业的反洗钱指引中均要求金融机构按照风险为本的原则判定客户身份,保险业监理处的《防止洗黑钱及筹资活动指引》中详细规定保险公司判定客户风险时应充分考虑保单性质、交易频密和规模、客户来源地、社会背景及缴款方式。
三、金融机构客户洗钱风险等级划分的国内实践
国内金融机构客户洗钱风险等级划分工作任重而道远,从制度层面看虽有着立法规定,从执行层面看虽有着业内实践,但在实际中无论是制度层面还是执行层面都存在着不少的问题与不小的困境,在一定程度上严重影响着国内金融机构客户洗钱风险等级划分制度的有效性。
(一)划分标准机构各自为政,缺乏权威性、全面性和规范性
金融机构客户洗钱风险等级划分工作是立法完善、行业治理、义务主体自觉履行的系统性工作,但目前我国反洗钱法律法规对客户洗钱风险等级划分规定较为简单,不利于金融机构在实践中操作运用。同时,除证券期货业制定了本行业的客户洗钱风险等级划分工作指引外,银行和保险业尚未制定统一规范的指引,呈现出各行业法人金融机构自行制定客户洗钱风险等级划分办法的局面,划分标准机构各自为政,缺乏权威性与规范性。
(二)划分标准反映行业特有属性的少,缺乏针对性和区分度
金融机构客户洗钱风险等级划分标准除应囊括行业间共性特征的风险因素外,更应立足本行业固有特征、机构经营特点和产品服务属性,增加并考虑不同与其他行业的特殊风险因素,但实际中不同行业法人金融机构自行制定的客户洗钱风险等级划分办法雷同较大,划分标准反映行业间共性的多,行业特有属性和机构自身特点的少,缺乏应有的行业针对性与区分度。
(三)划分多采用定性评估方法,缺乏定量评估和数据实证
金融机构客户洗钱风险等级划分方法的准确性直接决定着客户洗钱风险等级评定的准确性,因此选择操作性强的客户洗钱风险等级定量方法来充分利用有限的客户信息资源,解决客户洗钱风险等级划分的人为不确定性就具有重要的意义,但现实情况是金融机构客户洗钱风险等级评估多采用定性描述和分析的方法,缺乏相应的数据实证和定量分析,判断的随意性、分析的主观性和结论的不确定性较大。
(四)划分结果风控措施原则性强,缺乏可操作的具体措施
风险为本的控制措施是金融机构客户洗钱风险等级划分工作的终点,但在实际操作中,金融机构对不同洗钱风险等级客户适用不同程度的风控措施仅做了原则性要求,针对低风险客户没有制定简化的客户尽职调查措施和异常交易快速判断机制,不能有效降低反洗钱管理成本;针对高风险客户即使制定措施也仅是善意劝告,没有实质性措施防范洗钱风险,风控措施效果大打折扣。
四、金融机构客户洗钱风险等级指标方法与风控措施探索
(一)划分标准
金融机构客户洗钱风险等级划分标准的构建应立足行业间的共性风险因素,结合各行业的特殊风险因素,考虑直接判定的例外情形,按禁止类、高风险、中风险和低风险的风险等级,分行业适度和客观地衡量客户洗钱风险程度。
表1 银行业金融机构客户洗钱风险等级划分标准
表2 证券业金融机构客户洗钱风险等级划分标准
表3 保险业金融机构客户洗钱风险等级划分标准
接判定为禁止类客户的情形:
1.被列合国安理会及反洗钱国际组织的反洗钱监控名单及类似名单的客户;
2.被列入我国的反洗钱监控名单及类似名单的客户;
3.涉嫌或已立案法律调查和反洗钱调查的客户;
4.被上海证券交易所、深圳证券交易所、中国证券登记结算公司采取监管措施的账户;
5.被保险行业核保核赔联席会议认定的骗保骗赔名单。
(二)评估方法
金融机构受内外部经营环境制约,获取客户信息成本相对较高,再加之缺乏行之有效的定量评估方法,增加了客户洗钱风险等级判断的随意性、分析的主观性和结论的不确定性。熵权法作为一种客观赋权法相对专家判断法等主观赋值法,客观性强,精确度高,在使用过程中根据指标的变异程度利用信息熵计算出各指标的熵权,并通过定义加权广义距离表征划分的差异性,得出隶属度矩阵测算出较为客观的客户洗钱风险评级结果。以保险业金融机构客户洗钱风险等级划分标准为例:
客户群由4个客户组成,C=(c1,c2,c3,c4)
风险分低、中、高3个等级,G=(g1,g2,g3)
评价指标体系由7项组成,V=(v1,v2,v3,v4,v5,v6,v7)
V1国别地域:国内一般地区,国内敏感地区,其他国家和地区,反洗钱薄弱国家和地区,分别取值0,1,2,3。
V2行业职业:国家机关、党群组织及事业单位,农业和生产运输企业,商业技术及服务行业,FATF规定的特定行业,分别取值0,1,2,3。
V3业务类型:保障型保险产品,储蓄型保险产品,投资型保险产品,分别取值0,1,2。
V4业务渠道:机构直销渠道,兼业渠道,网销电销渠道,专业渠道、个人渠道,分别取值0,1,2,3,4。
V5保费金额:20万元人民币或2万美元以下,20~50万元人民币或2~5万美元,50万元人民币或5万美元以上,分别取值0,1,2。
V6退保金额:1万元人民币或1千美元以下,1万元人民币或1千美元以上,分别取值0,1。
V7缴费年限:5年以上期缴,1~5年期缴,1年以下趸缴,分别取值0,1,2。
客户相对于风险评价指标的特征值矩阵为:
X■=■
指标体系标准矩阵为:
Ω■=■
广义距离取欧氏距离,使用MATLAB对相关矩阵规范处理得出指标权重为Wj=(0.18、0.13、0.18、0.25、0.05、0.16、0.05);客户群C对于风险等级G的隶属度矩阵U为:
低 中 高
客户1 0.332 0.320 0.348
客户2 0.362 0.302 0.336
客户3 0.296 0.398 0.306
客户4 0.237 0.396 0.367
即1为高风险客户,2为低风险客户,3和4为中风险客户。
(三)风控措施(见表4)
风险分析及评估范文第5篇
关键词:信息安全;风险评估
随着我国经济发展及社会信息化程度不断加快,网络得到了迅速的发展,并且在人们的生活、学习及工作中的作用越来越大,同时伴随而来的网络信息安全问题也越来越多了,这给人们不仅给人们的生活带来了不便,还会造成经济损失,对信息安全进行风险评估还是很有必要的。
1. 信息安全风险评估概述
信息安全风险评估所指的是信息系统因为自身存在着安全弱点,当在自然或者自然的威胁之下发生安全问题的可能性,安全风险是指安全事件发生可能性及事件会造成的影响来进行综合衡量,在信息安全的管理环节中,每个环节都存在着安全风险。信息安全的风险评估所指的是从风险管理的角度看,采用科学的手段及方法,对网络信息系统存在的脆弱性及面临的威胁进行系统地分析,对安全事件发生可能带来的危害程度进行评估,同时提出有针对的防护对策及整改措施,从而有效地化解及防范信息安全的风险,或把风险控制在能够接受的范围内,这样能够最大限度地为信息安全及网络保障提供相关的科学依据。
2. 信息安全的风险评估原则、风险计算模型及评估方法
2.1 信息安全的风险评估原则
信息安全的风险评估原则主要包括可控性、保密性、最小影响及完整性四个原则。可控性原则包含人员、项目过程及工具的可控性,人员的可控性是指凡是参与信息的安全评估人员都应该资格的审查及备案,要对职责进行明确的分工,当人员的工作岗位发生变更时,要严格执行审批手续,从而确定人员的可控;项目过程的可控是指要运用项目管理的方法学进行项目管理的评估,并重视项目管理中的沟通管理,从而有效地实现项目过程的可控;工具的可控是指对风险评估工具应运用多方的性能比对及精心挑选,同时要取得相关部门及相关专家的论证及认证。保密原则所指的是要跟相关的评估对象签订非侵害行为协议及保密协议。最小影响原则所指的是通过工具技术及项目管理层面对信息系统进行风险评估,从而将影响正常运行的影响降到最低。完整性原则所指的是严格依照委托单位的制定范围及评估要求进行有效地全面评估服务。
2.2 信息安全风险计算模型
风险计算模型所指的是对风险进行分析及计算风险值过程的抽象,包括脆弱性评估、威胁评估、资产评估及风险分析,如图所示。
风险计算模型图
风险计算过程为:对资产进行识别,且对资产进行赋值;对威胁分析且对其威胁的可能性给予赋值;对资产的脆弱性进行识别,且对其严重程度给予赋值;依据脆弱及威胁性来计算安全事件会发生的可能性;同时依据资产重要性来评估发生安全事件的风险值;通过指标体系中的指标风险值进行定性及定量的评估方法来综合分析,从而得出信息安全风险的评估值。
3.信息安全风险评估方法
信息安全的风险评估方法有很多,按照计算方法可以分为三种,定量、定性及定量和定性相结合的风险评估方法。定量风险评估方法是一种较为精确的风险评估法,常用数学形式来进行表达,当风险对信息会带来较大的危险或者资料比较充足时,可运用定量风险进行评估。进行定量评估的优点是能够用较为直观的数据进行表述,这样评估的结果较为客观,研究结果更为科学;其缺点是在量化中,一些较为复杂的事物被模糊及简单化了,一些风险因素可能被曲解或者误解,再加上资产价值及发生概率量化较为困难,这种方法使用起来其难度是比较高的,定量评估法中的分析方法有回归模型、聚类分析法、因子分析法、决策树法、时序模型及等风险图法等。定性风险评估法是指根据研究者的经验、知识、政策走向、特殊变例及历史教训等非量化的资料对系统的风险状况作出相应判断的过程。主要对调查对象进行深入访谈并作出个案记录作为基本的资料,运用理论对分析框架进行推导演绎,并编码整理资料,以作出结论。定性分析法有历史比较法、因素分析法、德尔菲法及逻辑分析法。这种方法的优点是所需要的时间、人力资源及费用比较少,缺点是主观性太强,往往不太准确。在进行风险评估中,一些评估的要素是能够用量化形式进行表达的,有些要素用量化是比较困难的,在信息安全的风险评估中一味地用量化是不准确科学的,定量风险分析是进行定性风险分析的前提和基础,定性分析是灵魂,需要在定量分析之上来揭示客观事物的规律,在进行信息安全的风险评估时,不应该将定量分析及定性分析简单割裂,而是将这两种评估方法有机的结合起来,进行定量与定性的综合评估。按照实施手段可以区分为动态系统技术和基于树的技术,动态系统技术有马尔可夫分析方法、尝试法、动态事件树的分析法及动态事件逻辑分析法等,其中马尔可夫分析法还可以称为马尔可夫转移矩阵法,所指的是在马儿可夫的过程之下,运用随机变量的变化情况对变量的未来变化情况进行预测的一种方法。基于树技术的方法主要有事件树分析法、故障树分析法及因果树分析法等。
3. 信息安全分风险评估的发展方向
3.1 由单纯技术风险评估向一体风险评估的转变以及基于知识和模型评估的重视
单纯技术评估所强调的是组织技术中的脆弱性,信息安全的一体化风险评估拓展了技术风险评估的范围,它所强调的是业务风险分析方法,其核心是业务过程层次中的风险识别,能够有效地保证业务组织的持续性,一体化风险评估所着眼的是组织和安全相关的风险,主要包含内外部环境风险源、组织结构及技术基础,并基于信息及人的风险,并按照目标或者组织业务影响的大小来对安全风险排序。基于知识风险评估的方法是指依照安全专家处所获得的经验对相似场景进行解决的风险评估,这种风险评估方法能够更直接地提供所推荐的结构框架、实施计划及保护措施。基于模型风险评估的方法是指能够对信息系统中的内部机制所涉及的危险因素和当系统跟外界交互时产生的不正常有害行为给予建模,从而对信息系统的安全威胁及系统弱点进行定性分析,注重模型评估及知识风险评估是很有必要的分析方法。
3.2 运用信息安全风险评估的辅助工具来加速评估的进程
在风险评估工具运用之前,所采用的是手工劳动,劳动量大并且 易出现纰漏,而且还不可避免的带有风险评估人员的主观性,风险评估工具的运用有效地解决了手工评估所带来的局限性,像英国的CRAMM评估能够用于商业影响评估及识别、资产的建模、威胁与弱点的评估、安全需求的定义、风险等级的评估等。COBRA风险评估工具,它所依据的是专家系统及知识库问卷系统,能够有效地对脆弱点及威胁点的相对重要性进行评估,且给出相应的解决方案,风险评估工具还有很多,在进行信息安全的风险评估时,要运用多种辅助工具来加速评估的进程。
4. 总结
对信息安全进行风险评估是对信息安全的有效保障,进行风险评估不仅能够提高相关人员的信息安全的风险意识及防范措施,还能够运用分先评估进行信息系统的等级建设及保护性能的技术支持,对信息安全中的不确定性因素进行风险评估,并采取不同的措施进行处理,从而保证信息系统的安全有效运行。
参考文献:
[1]沈吉锋,张永志,潘军.信息安全风险评估分析方法简述[J].电脑知识与技术,2010(05)
[2]翟亚红.浅析信息安全风险评估与等级保护的关系[J].信息安全与通信保密,2011(04)
