【摘要】随着企业规模的不断扩 大、企业组织方式和经营方式复杂化,企业面临的税务风险日益显著。特别是“安然”、“世界通讯公司财务欺诈案”事件之后,更加推动了西方发达国家对企业税务风险的高度重视,纷纷开始探索解决企业税务风险的方法。本文分析了我国税务风险管理存在的问题,并对如何构建我国企业税务风险识别、评估体系做了阐述。
【关键词】税务风险 企业税务风险管理 税务风险控制
识别、评估税务风险是企业税务风险管理的核心内容的一部分,是企业制定税务风险应对措施的基础。对企业税务风险进行识别,可以通过风险损失清单、财务报表、风险因素预先分析和因果分析等方法建立企业税务风险识别指标,以此来识别风险。对于企业税务风险评估,可以通过风险坐标图法、详细评估法、风险度评价法、SWOT 分析法等方法构建企业税务风险评估模型,对风险进行评估。
一、企业税务风险的识别
(一)税务风险识别的概念
税务风险识别是指税务管理人员利用有关的知识和一定的方法就企业面临的风险加以判断、发现风险因素的过程。税务风险识别实际上就是收集税务风险事故、风险因素等方面的信息,发现引发潜在损失的因素。
(二)税务风险识别的方法
(1)风险损失清单法。目前最普遍采用的方法是风险清单法,即运用类似于备忘录的方式,将可能面临的各类风险一一列举出来,并联系企业自身运营情况对这些风险进行综合分析考察。企业的决策者和风险管理者依据所列举的风险清单,对风险及其可能产生的后果作出合理的评估,并探究防止风险的发生和蔓延的对策。税务风险事项有的特征较为明显,有的则较为隐晦,所产生的影有的微不足道,有的影响十分重大。为避免忽略相关风险事项,企业可以根据自身情况或聘请税务顾问编制税务风险一览表,把税务管理活动中可能发生的风险事项一一列举出来,企业可以对照该表,这样能够比较简单的识别风险。
(2)财务报表分析法。财务报表分析法,以利润表、资产负债表、现金流量表等为依据,对企业的收入、利润、负债等进行风险分析。通过财务报表上的相关数据,计算税收负担率指标、利润率指标等各项指标,进而采用比较分析法来分析数据。还可以将企业的财务指标与同行业、同类企业的指标做对比,若某项目指标差异较大,则说明存在税务风险;也可以以企业以前年度平均水平作为基期,将当期变动指标与其作对比,分析发展的趋势,确定分析项目是否存在异常,以此来识别企业是否存在税务风险。
(3)风险因素预先分析法。风险因素预先分析法是指在开始某项活动之前,对整个系统中存在的风险因素及其类型进行分析,估计可能发生的后果的一种方法。这个方法通常有四个步骤:首先,区分系统出现的风险的类型,广泛收集国内外企业与本企业曾出现类似事故的资料。与专家磋商,深入了解企业外部环境,以及外部环境可能带来的事故,分析企业内部各项工作流程,了解可能出现的风险属于哪一类型。其次,调查风险源,明确风险因素存在之处,从而确定风险源头。然后,将已经识别的风险源转变为风险事故的触发条件。最后,对已发现的风险因素按照造成后果的严重程度划分等级,然后依据等级的轻重程度对风险进行有计划的管理。
(4)因果分析法。因果分析法是从导致税务风险的原因出发,推导出可能发生的结果的一种识别税务风险的方法。在税务风险管理实践中,引发税务风险的因素多种多样,而这些因素往往又错综复杂地交织在一起。企业想要从根本上解决问题就必须准确无误地找出产生问题的根源,进而避免税务风险的发生。因果分析图就是寻求问题产生原因的一种有效方式,它能够清晰、有效地整理出税务风险和各个因素之间的关系并对其进行分析。
二、企业税务风险评估
(一)税务风险评估的概念
税务风险评估是指在税务风险识别的基础上,通过对收集到的大量详细损失资料加以分析,采用概率论和数理统计方法估计各项风险发生的可能性和损失程度,并对风险的严重程度作出判断和评估的过程。主要包括两个方面的内容:一是评估风险发生的可能性;二是评估风险产生的影响后果。税务风险发生的可能性越大,税务风险就越高。
(二)税务风险评估的方法
税务风险评估既有定性分析,又有定量分析,它需要一定的专业技术知识。税务风险评估可以由企业的税务风险管理部门或岗位、聘请的税务专家进行操作。影响风险评估进展的某些因素,包括评估时间、力度、展开幅度和深度,都应该与企业的环境和安全要求相符合。企业应该针对不同的情况来选择恰当的税务风险评估方法。
(1)风险坐标图法。风险坐标图是将风险发生的可能性作为自变量,风险发生后产生的影响程度作为因变量绘制在直角坐标系上,旨在对多项风险进行直观比较,从而明确风险管理的优先顺序和策略。
(2)详细评估法。详细风险评估是对企业税务风险进行详细的识别、评价,评估可能引发风险的威胁和弱点,根据评估结果来选择可行的应对措施。这种识别集中体现了税务风险管理的思想,即识别企业税务风险并将风险降低到可以接受的水平,以此证明企业管理者所采取的风险控制措施是恰当的。此时企业管理部门可以通过税务研讨会、问卷调查或咨询专家等具体方法来评估风险。
(3)SWOT分析法。SWOT(Strengths、Weaknesses、Opportunities和Treats的首字母缩写)分析法,是将企业的内部环境的优劣和外部环境的机会、威胁列在一张“十”字形图中加以对照。企业通过SWOT对企业目前的内部和外部环境进行初步评估,明确本企业在市场中的地位,从而制定最优战略,实现企业的目标。
参考文献:
在市场经济条件下,每个企业都面临着来自外部和内部的风险。企业内部控制就是通过对风险的控制以实现其目标的,风险评估是企业内部控制的重要内容之一。内部控制中的风险评估的概念有广义和狭义之分。广义的风险评估包括目标设定、风险识别、风险分析、风险应对等;狭义的风险评估仅仅是指风险分析,即通过采用定性分析和定量分析,按照企业风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。
一、《内部控制框架》中的风险评估
美国COSO委员会《内部控制框架》所使用的风险评估概念属于广义风险评估,《内部控制框架》将其作为内部控制的关键构成要素。
(一)设定目标
根据《内部控制框架》,风险评估首先要设定目标。设定目标是风险评估的前提条件。风险是与目标伴随的,首先必须有目标,管理层才能对实现目标的风险进行识别。根据《内部控制框架》,目标设定不属于内部控制的构成要素,但它是内部控制的前提条件,为此《内部控制框架》专门对目标设定进行了论述。目标包括企业层面的目标和业务层面的目标。管理层通过目标设定来明确业绩衡量标准,目标具体分为经营目标、财务报告目标和合规目标。经营目标是管理层基于企业所处特定经营环境所设定的业绩衡量标准;财务报告目标在于对外公布的财务报告的可靠性;合规性目标则要求企业的经营活动遵循适用的法律法规。这些目标是相互补充和相互关联的。
(二)风险识别
1.风险识别必须与目标联系,无论目标是明确的还是隐含的,企业的风险识别应当考虑到目标实现面临的各种可能出现的风险。2.风险识别是一个持续性、反复的过程。3.进行风险识别时应当关注企业各个层面的风险,包括企业层面的风险和业务层面的风险。对主体层面的风险进行识别时,既要关注外部风险,也要关注内部风险。来自外部的风险主要有技术进步引起的风险、客户需求变化风险、市场竞争风险、法律法规变动风险、自然灾害风险以及经济环境变化风险等;来自内部的风险包括信息系统故障风险、员工素质能力等方面的风险、管理层变动风险以及董事会或审计委员会不作为的风险等。对业务层面的风险进行识别时,应当将该层面的风险评估集中于主要业务流程和主要职能上,如销售、生产、营销、研究开发等。应当识别对企业有重大影响的较为明显的风险。
(三)风险分析,即狭义的风险评估
企业在对企业层面的风险和业务层面的风险识别后,则需要进行风险分析。风险分析的方法多种多样。风险分析的过程通常包括估计风险的严重性、评估风险发生的可能性、评估应采取的措施等三个步骤。应当注意的是,作为内部控制一部分的风险评估,与作为管理过程应对措施而采取的计划、方案及其他措施存在着区别。
(四)建立识别环境变化的机制
风险评估本质上是一个识别变化并采取必要措施的过程。随着经济、行业和监管等外部环境的变化,企业的经营活动也将发生相应的调整,企业应当建立一套正式或非正式的程序,对可能影响企业目标实现的风险进行识别。管理层应当特别关注以下对环境影响的因素,这些因素包括已变化的经营环境、管理层人员更换及员工大规模更换、使用新的或调整后的信息系统、经营业务快速增长、采用新技术、开拓新的经营领域、进行公司重组等。企业应当建立一定的机制,对发生变化的外部环境进行识别。
二、《企业风险管理框架》中的风险评估
美国COSO委员会2004年的《企业风险管理框架》中将风险管理的要素划分为内部环境、目标设定、事项识别、风险评估、风险应对、信息与沟通和监控等八要素。根据《企业风险管理框架》,风险评估就是要对识别的风险进行分析,以形成确定如何对其进行管理的依据。这实际就是《内部控制框架》中的风险分析,属于狭义上的风险评估概念。《内部控制框架》中的风险评估实际上包括事项识别、风险评估、风险应对三项内容,而目标设定则作为内部控制的前提条件,不属于内部控制要素的范围。
风险总是与特定目标的实现相联系。如不出国旅游,则不会涉及到飞机失事的风险。根据《企业风险管理框架》,实施风险管理首先就涉及到设定目标。目标设定是事项识别、风险评估和风险应对的前提。《企业风险管理框架》正是出于风险管理的需要将目标设定作为风险管理的构成要素之一。《企业风险管理框架》中的目标包括战略目标和相关目标,战略目标是最高层次的目标,而相关目标则是建立在战略目标基础上的企业层面等的目标,企业层面的目标与更为具体的目标相关联,贯穿于整个企业,并具体为各项业务和各项职能的次级目标。《企业风险管理框架》要求设定的目标应当是可计量的,并要求企业各个层次人员根据各自所影响的范围了解企业设定的目标。设定的目标分为经营目标、报告目标、合规目标等三项。作为风险管理的一部分,企业在选择目标时要确保其目标与企业的风险容量相协调。风险容量是企业管理当局在董事会的监督下确定的,反映着企业的风险管理理念,并影响企业的文化和经营风格,是制定战略目标的风向标。战略目标应当选择与其风险容量一致的目标,并使风险反映于战略目标之中。
《企业风险管理框架》中的事项识别要求管理当局对源于内部或外部的影响战略实施或目标实现的事故或事件进行识别,对企业目标实现将带来负面影响的确定为风险,并对其进行评估和应对;将存在正面影响的确定为机会,将其反馈到战略或目标的制定过程之中。在对事项进行识别时,必须考虑企业整体范围内可能带来风险和机会的所有内部和外部因素。外部因素需要考虑的通常包括经济因素、自然环境因素、政治因素、社会因素、技术因素等;而内部因素需要考虑的通常包括人员、流程、技术等因素。
《企业风险管理框架》中的风险评估(即风险分析)要求进行风险评估时,既要考虑预期事项也要考虑非预期事项,对可能对企业存在重大影响的非预期的潜在事项和预期事项的风险进行评估;既要考虑固有风险,也要考虑剩余风险。固有风险是指管理当局未采取任何措施的情况下企业所面临的风险;而剩余风险则是在管理当局进行风险应对之后所残余的风险。确定相应的风险应对后,则集中考虑剩余风险的管理。
《企业风险管理框架》中的风险应对要求企业管理当局评估风险的可能性和影响,并在成本效益比较的基础上,选择能够使剩余风险处于期望的风险容限范围之内的应对策略。风险应对策略包括风险回避、风险降低、风险分担和风险承受。管理当局应当在企业范围内识别风险并确定企业总体剩余风险处于企业风险容量之内。
三、我国《企业内部控制基本规范》中的风险评估
我国《企业内部控制基本规范》中的风险评估使用的是广义上的风险评估概念,包括目标设定、风险识别、风险分析和风险应对。《基本规范》要求企业应当根据设定的控制目标,全面、系统、持续地收集相关信息,结合实际情况,及时进行风险评估。根据《基本规范》。风险评估的具体过程包括:
(一)控制目标的设定
设定控制目标是进行内部控制,特别是风险评估的前提。企业应当根据自身的实际情况,按照本身的发展规划合理确定战略目标。设定的目标应当尽可能量化,并细化为各业务活动和各职能部门的具体目标。内部控制目标的设定要切实可行,与内部控制发展的不同阶段相适应,设定不同要求的内部控制目标,并随着内部控制的发展,逐步提升内部控制目标。
(二)风险识别
《基本规范》要求企业进行风险评估时,应当准确识别与实现控制目标相关的内部风险和外部风险,确定相应的风险承受度。风险承受度即风险容量,是企业能够承担的风险限度,包括整体风险承受能力和业务层面的可接受风险水平。
企业在识别内部风险时,应当关注和考虑的因素包括:1.董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素;2.组织机构、经营方式、资产管理、业务流程等管理因素;3.研究开发、技术投入、信息技术运用等自主创新因素;4.财务状况、经营成果、现金流量等财务因素;5.营运安全、员工健康、环境保护等安全环保因素;6.其他有关内部风险因素。上述因素的现状往往是风险存在的基础,上述因素的变动则往往会诱发新风险的产生。
企业识别外部风险,应当关注和考虑的因素包括:1.经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素;2.法律法规、监管要求等法律因素;3.安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素;4.技术进步、工艺改进等科学技术因素;5.自然灾害、环境状况等自然环境因素;6.其他有关外部风险因素。上述因素实际上是企业经营活动所处的外部环境,外部环境的变动必然会影响到企业的经营活动,有可能给企业带来新的风险,如一项新的技术被其他同行所采用,有可能导致企业所占有的市场份额发生变化而带来风险。再如政府颁布实施较过去更为严格的监管法律,由此可能导致本企业传统加工方法无法继续使用,从而导致风险的产生。
(三)风险分析
《基本规范》要求企业采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。鉴于风险分析的专业性和复杂性,要求企业进行风险分析时充分吸收专业人员,组成风险分析团队,按照严格规范的程序开展工作,确保风险分析结果的准确性。风险分析的目的在于为企业风险应对提供依据。由于企业董事、经理和其他高级管理人员在企业经营活动中的特殊地位,其个人风险偏好对经营活动等具有重大影响,企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好,并予以特别关注,避免因个人风险偏好给企业经营带来重大损失。
(四)风险应对
关键词 风险管理理论;资产评估机构;风险管理
一、引言
资产评估行业作为为特定时点资产提供公允价值的中介服务机构,为我国的产权交易、企业并购、抵押贷款等资产业务提供了价值参考,为我国的体制改革作出了重大贡献。随着新会计准则的颁布,以财务会计报告为目的的资产评估业务也应运而生。随着我国经济的发展,资产评估业务的范围将会不断扩大,对资产评估风险的管理和控制将被提上日程。对资产评估风险的控制,需要法律环境的健全和完善,更需要资产评估机构自身对于资产评估执业风险的管理和控制,尽量减少资产评估风险带来的损失。
二、风险管理理论
所谓风险是指未来结果的不确定性,这种未来的结果包括收益,当然也包括损失。正是由于未来的收益或损失的发生很难确定,所以就产生了对风险进行管理的理论即风险管理理论。风险管理是研究风险发生的规律和风险控制技术的管理学科,人们通过风险识别、风险估测和风险评价。并在此基础上优化各种风险管理技术,对风险实施有效的控制和妥善处理风险所致损失的后果。期望达到以最少的成本获得最大安全保障的目标。
风险管理的基本程序包括风险识别、风险估测、风险控制和风险管理的评价。风险管理的过程其实就是为了降低未来结果发生的不确定性。
三、资产评估机构风险管理系统的构建
根据风险管理理论,构建资产评估风险管理系统主要包括五大功能模块:资产评估风险识别模块、资产评估风险估测模块、资产评估风险评价模块、资产评估风险控制模块和资产评估风险管理评价模块。
(一)资产评估风险识别模块
风险识别是确定哪些因素会给资产评估结果带来风险。资产评估风险类型大致分为业务承接风险、评估操作风险、撰写评估报告风险。
1.资产评估机构承接资产评估业务的风险主要来自信息不对称的风险。在承接资产评估业务时,有的评估机构不惜以降低服务费标准、满足客户的不合理要求等来争取业务,对于客户的基本情况、相关的权证、涉及到的法律条款以及自身是否胜任该项评估业务等都没有作充分的考查。这些因素都为资产评估业务风险埋下了隐患。
2.评估操作风险主要是资产评估人员在具体的评估过程中与职业道德和专业水平相关的风险。职业道德风险主要表现在以下几个方面:执业不规范,不遵循客观公正的原则,不遵循合理的评估程序,在评估过程中人为操纵评估结果;专业技术风险主要表现在资产评估人员缺乏专业胜任能力。例如在评估过程中无法正确分辨委托方提交材料真伪,选择合适的评估方法和参数的能力等。评估操作风险将直接带来评估业务的风险。
3.撰写评估报告风险是指由于报告撰写不规范导致的使用者误用评估结果的风险。资产评估结果的使用者是通过资产评估报告来了解和使用评估结果的,因此,资产评估报告的撰写质量是评估结果使用者正确使用的前提条件。有些评估机构在撰写评估报告时缺乏必要的评估结果的假设、依据及相关事项的说明,评估报告不规范所带来的风险是资产评估机构最容易被查证的风险。
(二)资产评估风险估测和评价模块
资产评估风险估测和评价模块主要是在资产评估风险识别的基础上,对风险进行量化,预测和评估风险大小,为风险控制提供依据。
资产评估业务涉及到的资产类型众多,市场条件复杂,以上特点决定了资产评估业务的复杂性,资产评估风险影响因素众多,因此,资产评估风险的度量需要明确资产评估风险的特点,选择合适的技术和方法。
对于资产评估风险的度量主要体现在承接评估业务和资产评估业务操作过程中。资产评估机构的胜任能力涉及到众多因素:资质、规模、人员素质等,这些因素很难简单的量化处理。资产评估的价值是在特定时点、特定市场条件下的价值。特定的市场条件决定了评估人员在模拟市场的过程中,不仅仅要依赖客观的历史数据,还必须对未来的市场条件、资产状况等作出预测。在预测的过程中,价值类型的选择、评估方法的选择以及参数的确定方法都需要依据评估人员的专业技能、经验和职业道德水平,而对于这些影响因素要准确量化,难度非常高。
从以上分析可以看出,资产评估风险预测和评价是一个多因素综合分析的过程,其影响因素多且难以简单地进行定量处理。例如,对于评估机构胜任能力的各影响因素的描述,一般采用描述性的语言进行判断。鉴于资产评估风险的以上特点,很难去假定其所服从的概率分布。模糊综合评价是一种处理没有明显数量界限问题的有力工具,可以采用模糊综合评价法对风险进行量化处理。
(三)资产评估风险控制模块
资产评估业务是一项系统工程,对资产评估风险的控制应该贯穿于整个资产评估项目阶段。
1.在评估业务承接阶段,正式签约之前,评估机构要对客户及要评估的资产进行充分的了解和审查:关注资产业务性质;自身胜任能力的判断;了解委托方的基本情况,如委托方的信誉;重点审查有关资产的权证情况;明确双方责任等。力求在评估业务承接阶段为后续工作打下良好基础。
2.在评估操作阶段,要注意对评估人员职业道德和业务能力的风险控制。首先,要确保信息的搜集和来源按照科学的方法和程序进行,对信息的信度和效度进行度量和控制;其次。要慎重选择评估假设,科学把握资产交易的市场条件和资产的使用状况;再次,选择合适的方法,充分考虑资产的状况、数据占有情况和各种评估方法的适用条件。
3.在报告撰写阶段,评估人员应当按照资产评估报告的标准格式将评估基准目、评估假设、价值类型、评估内容、评估依据、评估方法和评估结果等重要内容都写入评估报告,评估人员一定要确保将评估假设、评估依据以及必要的说明阐述清楚,规避风险。
(四)资产评估风险管理评价模块
由于资产评估业务面临的市场条件、评估目的、资产状况都有不同。因此面临的风险也是不同的。为了对风险进行及时的控制和管理,必须对风险的识别、估测、评价及管理方法进行定期检查、修正,以保证风险管理方法适应新的资产业务状况。
关键词 项目管理 风险管理 高等教育
随着经济的发展,高校的发展面临着诸多风险和危机,为避免矛盾的激化,规避风险,把风险变成机会,是当前高校急需研究的一个课题。高等教育能否引入风险管理理论体系,构建适合自身办学特性的风险管理模型,高等教育改革,人才培养模式的创新有着重大的意义。
在风险管理过程中,通常可分为风险识别、风险评估、风险应对、风险效果评估四个阶段。
一、风险识别
风险识别是风险管理者对项目产生积极或消极影响的风险要素进行分析,从而对潜在的风险进行预判,是风险管理的首要任务。
高等教育风险主要发生高校内部,主要有:专业设置风险、教学管理风险、就业需求风险等。根据高等教育管理内容,以WBS(工作分解结构)为基础,对风险进行定性识别。具体见图1。
图1 高等教育风险管理结构分解及识别
二、风险评估
风险评估包括风险估计与风险评价两个部分,是对已识别的风险因素进行定性和定量分析,主要工作任务是对风险发生概率及潜在影响进行估计和评价,并根据风险事故后果的影响程度对风险因素进行排序,为风险应对和处理提供科学的依据。
根据以上识别出的风险因素,采用专家打分得出了表1教育风险管理评估表,对风险进行定性与归类。
表1 教育风险管理评估表
常见风险内容 发生可能性 影响程度
高校专业设置不合理 7 高
市场人才需求变化过快 7 高
师资力量不足 5 中
学生整体素质较低 7 高
教学、实训场地受限,实训设备不足 2 低
教材陈旧,教学内容跟不上形势发展 2 低
学生欠费严重 4 中
缺乏教学改革主动性,教学计划调整不及时 2 低
学籍管理混乱 1 低
教学点收费不规范,不及时上交管理费 3 低
顶岗实习管理不到位 4 中
(注:1为低――不太可能发生,9为高――非常可能发生,依此类推。高――对效果及成本有重大影响;中――对效果有比较大的影响,对成本有一定的影响;低――对效果有一定影响,对成本没有什么影响。)
三、风险应对
风险应对是风险管理执行的过程,即风险管理者对风险事故潜在因素进行有效干预的活动,通过风险应对以达到消除风险或者降低风险事故损失的目的。
在高等教育管理过程中,应重视减少风险的不确定性,降低风险的危害性工作。结合高校教育管理中经常出现的风险,对风险发生概率和影响程度进行分析,如表2所示。
四、风险效果评估
风险效果评估是指在项目实施过程中对项目已经实施的环节进行不断的检查,主要包括:对每个环节的决策进行评价,分析决策的合理性;风险发生时,是否提出不同的风险处理方案;在项目实施过程中是否存在未被发现的风险等等。风险效果评估要求对已经实施的风险管理过程进行评估,总结经验教训,以便为今后风险管理提供参考依据。
高等教育风险管理过程不仅局限于风险的识别、评估以及应对等措施,“事后”评价即效果评估也要纳入风险管理的范畴。通过效果评估可以降低风险管理活动过程中产生的成本,提高风险管理的有效性。高等教育风险管理效果评估主要包括:
(1)对高等教育风险管理体系中的计划、目标、程序进行评估。
(2)对高等教育风险管理机构设置、人员配备、管理制度、规范程序等进行评估。
(3)对高等教育风险管理体系中在数据采集、风险识别、风险评估、风险应对等各个环节中所用的工具、技术手段是否实用、先进、可靠等状况进行评估。
(4)对高等教育风险管理体系中的资金预算、运行成本、降低损失或带来的收益进行评估。
因缺乏对风险事故处理解决效果评估,许多高校经常陷入同类风险多次发生的恶性循环中,造成了不必要的损失和麻烦。因此,在风险管理过程中,我们要对风险效果评估给予高度的重视。
对高等教育管理工作全面风险管理是形势逼迫,我们可以通过实施风险识别、风险评估、风险应对、风险评估的全过程,使风险发生时有预案准备,能够及时、全面地应对风险,达到遏制风险、降低损失的目的。排除风险隐患,促进高等教育风险管理的良性循环,为各高校构建可实际操作的风险管理模型提供参考。
(作者单位为广东工业大学华立学院)
参考文献
[1] 程雅斌.项目风险管理与应对措施[J].中国科技博览,2010(23).
[2] 谢运鹏.项目风险应对措施研究[J].决策与信息,2012(09).
1风险分析的柜架
风险分析(riskanalysis)是最近30年间发展起来的一种的系统化、规范化方法,旨在为食品安全决策提供参考。国际粮农组织和世界卫生组织将风险分析定义为“由风险评估、风险管理和风险交流3个部分组成的一个过程”。“危害”和“风险”是风险分析的2个基础概念,危害是指食品中存在或因条件改变而产生的对健康不良作用的生物、化学和物理等因素,风险是指食品中的危害因子产生对健康不良作用和严重后果的概率函数。风险分析的内容具体为通过对影响食品安全的各种物理、化学和生物危害进行鉴定,定性或定量的描述风险的特征,在参考有关因素的前提下,提出和实施风险管理措施,并与利益攸关者进行交流。风险分析框架(见图1)形象描述了食品安全风险分析的整个过程,更进一步的信息请参考FAO/WHO的食品安全分析出版物。
2风险评估
作为风险分析的核心环节,风险评估(riskassessment)是对食品中各种危害的风险高低进行科学评估的过程,包括危害识别、危害特征描述、暴露评估和风险特征描述4个步骤;风险评估是风险管理,即政府制定和实施食品安全控制措施(包括法规、标准和监督)的科学基础,也是风险交流的重要信息来源与依据。
3风险管理
风险管理(riskmanagement)是根据风险评估的结果,考虑风险评估结果与其他保护消费者健康和促进贸易公平的相关因素,通过与所有利益相关方会商,权衡各种备选政策措施的过程;其目标是形成一系列的食品安全标准、指南和建议。风险管理可以分为4个部分:风险评价、风险管理选择评估、执行评估、监控和回顾。
险交流
根据CAC的定义,风险交流(riskcommunication)是指在风险分析过程中就危害、风险、风险相关因素和风险认知在风险相关各方中(包括风险评估者、风险管理者、消费者、业界、学术团体和其他利益相关方)相互交换或交流有关信息和观点的过程,其内容包括对风险评估结果的解释和制定风险管理政策的依据。进行风险交流的要素包括:风险的性质、利益的性质、风险评估的不确定性以及风险管理的选择。从风险管理的过程来看,风险交流是风险评估结果和风险管理意见的传递及表现形式,也是风险管理的延伸。综上所述,风险评估、风险管理、风险交流3部分相互依赖,并各有侧重,组成了一个相互补充且高度统一的连续、动态整体。风险评估是整个风险分析体系的核心和基础,强调所引入的数据、模型、假设的科学性;风险管理是政府机构根据风险评估结果制定相应的政策和采取管理措施,注重所出的风险管理决策的实用性;风险交流是食品安全利益攸关者之间交换意见的过程,强调在风险分析中的信息互动。
食品安全风险评估
1风险评估的步骤
CAC对风险评估的定义是“对特定时期内因对某一危害的暴露而对生命和健康产生潜在不良影响的特征性描述”。通常包含危害识别、暴露评估、危害特征描述和风险特征描述4个基本步骤(见图2)。具体为利用现有的资料,对食品中某种生物、化学或物理因素的暴露对人体健康产生的不良后果进行鉴定、确认和定量。继危害识别之后,这些步骤的执行顺序并不固定;通常情况下,随着数据和假设的进一步完善,整个过程要不断重复,其中有些步骤也要重复进行。
2危害识别
危害识别是识别可能对人体健康和环境产生不良效果的风险源(可能存在于某种或某类食品中的生物性、化学性和物理性风险因素),并对其特性进行定性、定量描述的过程。识别危害因素的主要方法包括流行病学研究、毒理学研究、食源性疾病监测、食品污染物监测等。流行病研究资料是危害与人体健康损害关系最直接、确切的反映,但成本昂贵且数据较难获得,因此在实际工作中毒理学研究(特别是动物试验)往往是危害识别的主要依据。
3危害特征描述
危害特征描述是定性和(或)定量的评价与食品中可能存在的生物、化学和物理因素有关的健康不良效果的性质。一般来讲,在此步骤应建立消费环节中食品危害不同暴露水平与各种不良健康影响可能性之间的剂量-反应关系。可以用来建立剂量-反应关系的资料类型包括动物毒性试验、临床人体暴露研究以及由疾病调查得到的流行病学数据。大多数情况下是使用毒理学或流行病学数据来进行主要效应的剂量-反应关系分析及数学模型的模拟。合理的剂量-反应关系的建立与分析取决于可得的实验室数据(如剂量水平、毒性或有害反应测量终点等)和所采用的数学及统计学方法。通过剂量-反应模型分析,可获得基于健康水平的推荐量值,如每日允许摄入量(ADI)、暂定每日可耐受摄入量(PTDI)、暂定每周可耐受摄入量(PTWI)和急性参考剂量(ARfD)等;与暴露评估结合还可以对危害因素的暴露边界值(MOE)急性估计,量化在特定暴露水平下的风险/健康效应。
4暴露评估
暴露评估是指对于通过食品可能摄入和通过其他有关途径接触的生物性、化学性和物理性因素的摄取量的定性和(或)定量评价。暴露评估所需的基本数据为食品中微生物、化学物或物理性危害因素的含量及食品消费量。根据所关注的不良健康影响的不同,膳食暴露评估可分为急性暴露评估和慢性暴露评估,对化学性危害因素的评估通常是考虑慢性暴露(评估整个生命周期内的每日暴露状况),对于某些污染物、农残和兽残等则还要考虑急性暴露(主要针对24h内食品中有害因素的暴露情况进行评估)。通过比较膳食暴露结果和相应的化学性危害因素的健康指导值,可确定该危害因素的风险程度。而微生物暴露评估主要是描述在消费当时的食品中致病性微生物的分布及消费量,通常针对一种受污染食品的单一暴露。在消费过程中各类环境条件(如温度、湿度等)甚至是存放时间都可使致病菌危害水平发生显著变化,因此会增加评估的复杂性。
5风险特征描述
风险特征描述是指根据危害识别、危害特征描述和暴露评估这3个步骤的结果,对某一给定人群的已知的或潜在健康不良效果的发生可能性和严重程度进行定性和(或)定量的估计,其中包括伴随的不确定性。对于有阈值的化学物,人群危险性取决于暴露量与ADI、PTDI、PTWI等测量值的比;对于没有阈值的化学物则需要计算人群危险性,即评价根据摄入量估计出所增加的癌症病例数是否是可以接受的(不构成危险)或不可接受的(构成危险)。微生物的风险估计可以是定性描述,如把某种致病菌的风险分为高、中、低3个等级;也可以表述为定量形式,如每份食品中风险的累计频数分布、目标人群每年发生的风险、不同食品或致病菌的相对风险等。风险特征描述还需要说明风险评估过程中每一步所涉及的不确定性,将动物实验的结果外推到人可能存在质和量两方面的不确定性,在实际工作中,这些不确定性可以通过专家判断和进行额外的实验(如人体试验)加以克服。
食品安全风险评估结果的应用
风险评估结果可以用于制(修)订食品安全标准和制定其他管理措施、确定国际食品安全监管优先领域、评估监管措施实施效果,并为风险交流提供科学信息。例如,对各种危害因素的评估得出的健康指导值是作为制定食品标准安全指标限值的依据,CAC明确规定在制定食品法典标准时必须以风险评估结果为依据;WHO的SPS协议也规定,各国食品安全标准制订应以风险评估为基础。另外,把风险评估和经济学评估结合起来可确立用于决策的单一模型,这些模型能够将评估结果、健康影响、经济成本和其他成本等转换成可以直接比较的单位(如美元、伤残调整寿命年或质量调整寿命年),以便于对风险管理者决策产生的后果进行更真实的描述。
国内外风险评估工作概况
1国际及其他国家的风险评估工作开展现状
目前国际上正对食品中化学性污染物、生物性污染物、食品添加剂、营养素补充剂等均已建立相应的评估方法。表1列出的是主要的国际专家组织。虽然尚未有专门开展营养素评估的机构,但在2005年日内瓦会议上CAC通过了《建立营养素和相关物质的可耐受最高摄入量的模型》,标志着以科学为基础,制定营养素及相关物质安全摄入量上限工作的开始。各个组织所开展过的评估工作及其工作报告可在其官方网站进行浏览。即使国际组织已经对多种危害因素进行了评估,但鉴于国民健康状况、生产加工工艺及食品消费模式的差异,每个国家都需要开展本国的风险评估工作,才能制定适合国情、保障国民健康的食品安全标准等风险管理措施,并在国际贸易中争取更有利的条件。欧盟、美国、澳大利亚、日本等先进国家与地区都已设置了专门的评估机构(见表2)。美国是最早把风险分析引入食品安全管理领域的国家之一,可以开展食品安全风险评估的机构非常多,表中列出了其最主要的几个部门。
2我国食品安全风险评估工作开展现状
关键词 信息安全风险评估;关键技术;研究
中图分类号 TP3 文献标识码 A 文章编号 1674-6708(2017)181-0025-02
信息安全风险评估就是建设更加完善的信息安全系统的保障,因此本文分析信息安全风险评估关键技术具有很强烈的现实意义。
1 信息安全风险评估概念及流程
1.1 风险评估概念
信息安全风险评估主要指的是对网络环境和信息系统中所面临的威胁以及信息系统资产和系统的脆弱性采取针对性的安全控制措施,对风险的判断需要从信息系统的管理和技术两个层面入手。
1.2 风险评估流程
风险评估需要经v一个完整的过程:1)准备阶段,此阶段需要确定风险评估的范围、目标以及方法等;2)实施阶段,分别对资产、威胁和脆弱性等展开一系列的评估;3)分析阶段,包含量化分析和对风险的计算。在整个过程中可以看出风险评估的实施阶段和对风险的分析阶段所起的作用比较重要,其中包含了几项比较关键的技术。
2 信息安全风险评估的关键技术
风险评估和控制软件主要包含6个方面的主要内容,而安全风险评估流程则是分为4个主要的模块,漏洞管理、风险分析和评估、威胁分析、漏洞管理和检测等。在信息安全风险评估的过程中包含以下几方面的关键技术。
2.1 资产管理技术分析
资产评估主要是对具有价值的资源和信息开展的评估,这些资产包含有形的文档、硬件等也包含悟性的形象和服务等。风险评估中的第一项任务就是进行资产评估。评估过程中应该确保资产的完整性和保密性,兼顾威胁。具体评估方法为:1)对资产进行分类,资产往往来源于不同的网络和业务管理系统。所以需要对资产按照形态和具体的用途进行相应的分类;2)对资产进行赋值,对所有的资产进行分类之后,需要为每一项资产进行赋值,将资产的权重分为5个不同的级别,从1到5分别代表不同的资产等级。资产评估并不是需要根据账面的价格进行衡量而是以相对价值作为衡量的标准,需要考虑到资产的成本价值,更应该明确资产评估对组织业务发展的重要性。在实际的资产评估过程中,商业利益、信誉影响、系统安全、系统破坏等都会对资产赋值产生影响。
2.2 威胁分析技术分析
威胁是客观存在的,可能会对组织或者资产构成潜在的破坏,它可以通过途径、动机、资源和主体等多种途径来实现,威胁可以分为环境因素和人为因素。环境因素分为不可抗因素和物理因素,人为因素可以分为非恶意和恶意因素。威胁评估步骤如下:1)威胁识别过程,需要根据资产所处的实际环境,按照自身的实际经验评估资产可能会面对的威胁,威胁的类型十分多样化,包含篡改、泄密、物理攻击、网络攻击、恶意代码、管理问题等。2)威胁评估,在威胁识别完成之后就需要对威胁发生的可能性进行评估。威胁评估句式需要根据威胁的种类和来源形成一个类别,在列表中对威胁发生的可能性进行定义,现将威胁的等级分为五级,威胁等级越高,发生的可能性越大。表1为威胁赋值表格。
2.3 脆弱性识别技术分析
脆弱性识别包含管理和技术两个层面,涉及到各个层面中的安全问题,而漏洞扫描则是对主机和网络设备等开展扫描检查。针对需要保护的资产进行脆弱性识别,找出所有威胁可以利用的脆弱性,再根据脆弱性的程度,及可能会被威胁利用的机会展开相应的评估。对于漏洞扫描大都需要依赖扫描软件,当前市场上也出现了不少强大的扫描工具,可以扫描出绝大多数当前已经公开的绝大多数系统漏洞。可以使用Nessus客户端对系统的漏洞情况进行扫描,此种扫描工具包含了比较强大的安全漏洞数据库,可以对系统漏洞进行高效、可靠安全的检测,在结束扫描之后,Nessus将会对收集到的信息和数据进行分析,输出信息。输出的信息包含存在的漏洞情况,漏洞的详细信息和处理漏洞的建立等。
2.4 风险分析和评估技术分析
信息安全风险评估的过程中除了进行资产评估、危险评估和脆弱性识别之后需要对风险进行相应的计算。采用科学可行的工具和方法评估威胁发生的可能性,并根据资产的重要性评估安全事件发生之后所产生的影响,即安全风险。风险值的计算需要考虑到资产因素、脆弱性因素和威胁因素等,在进行了定量和定性分析之后再计算最终的风险值。
风险值的计算公式为R=F(A.T.V)=F=(Ia,G(T,Va)),公式中风险值为R,安全风险计算函数为F,资产为A,脆弱性为V,威胁为T,资产的重要程度为Ia,资产的脆弱性程度为Va,脆弱性被威胁利用导致安全事故发生的可能性为L。将公式中的各项指标进行模型化转换,可以得到图1。
2.4.1 评估要素量化方法
本文论述两种量化评估要素的方法:1)权重法,根据评估要素中重要程度的不同设置不同的权限值,在经过加权治疗后得出最终的量化值。2)最高法,评估要素的量化值就是评估要素的最高等级值,公式为S=Max(Sj)
2.4.2 计算风险值的方法
根据计算风险值的模型,采用矩阵算法来计算风险值。分别计算风险事件的发生值、影响值和最终的风险值。风险事件发生值=L(资产的脆弱性,威胁值)=L(V,T),风险事件影响值I=(Ia,Va)。
2.4.3 风险评估结果
在综合分析完成之后的评估结果就是风险评估结果,这项结果将会成为风险评估机构开展风险管理的主要依据,风险评估结果包含:风险计算和风险分析。风险计算是对资产的重要程度及风险事件发生值等进行判定;进而得出判定结果;风险分析是总结系统的风险评估过程,进而得出残余风险和系统的风险状况。
3 结论
随着互联网技术的普及应用,信息化管理已经成功应用到绝大部分企业管理中。但是随之而来的是一系列的信息安全问题,如果出现安全问题将会给企业带来严重的经济损失。信息安全风险评估技术是对信息安全风险程度进行分析计算的基础上展开评估,为提高企业信息安全性奠定基础,提高企业信息安全管理水平。
关键词:供应链风险;风险识别;风险评估
中图分类号:F273.7 文献标识码:A
随着经济全球化的发展,企业面临的竞争压力不断增加。为了取得竞争优势,企业管理者一直致力于提高供应链效率,高效的供应链为企业带来利益的同时,也增加了供应链的复杂性和脆弱性,潜在地增加了供应链的风险。供应链风险管理是供应链管理的一个重要方面,通过风险管理,充分考虑供应链管理过程中的各种不利因素,提高供应链的可靠性,避免风险发生给企业带来损失。
1 供应链风险管理
1.1 供应链风险的定义
供应链风险是一个比较新的概念,它是风险在供应链领域应用的一个特例。关于供应链风险的定义,不同的专家、学者从不同角度出发对供应链风险进行定义。Cranfield把供应链风险定义为供应链的脆弱性,认为供应链风险不仅产生于供应链内部,而且是外部风险严重混乱的表现[1]。Christopher将供应链风险定义为从最初供应商到最终产品的传递过程中产生的信息、物料和产品流上的任何风险[2]。国内学者马士华从供应链外在环境和内在结构的不确定性出发,认为在供应链企业之间的协调和合作过程中,存在着各种产生内生不确定性和外生不确定性的因素,并认为只要存在不确定性,就存在一定的风险[3]。
总结众多学者的观点,供应链风险就是指可能对供应链中的节点或整个供应链产生不利影响的各种不确定性,是一种潜在的损失,它存在于供应链的各个环节。
1.2 供应链风险管理的含义
供应链风险管理是指通过识别、度量供应链风险,并在此基础上有效控制供应链风险,采用经济合理的方法来综合处理供应链风险,最大限度地降低风险,并对供应链风险的处理建立监控和反馈机制的一套系统而科学的管理方法。
2 供应链风险识别
供应链风险识别是供应链风险管理的第一步,首先把供应链风险识别做好,才能在此基础上做好风险评估和风险控制。供应链风险识别是指供应链风险管理者在各类风险事件发生之前运用各种方法系统地认识所面临的各种风险以及分析风险事件发生的潜在原因。目前来看,供应链风险识别常用的方法有以下几种。
(1)德尔菲法
德尔菲法又称专家意见法,是一种简单、容易操作又实用的方法,该方法广泛应用到各种预测和决策过程中。在进行风险识别时,对一些影响较大而又无法用分析的方法加以识别的风险时,德尔菲法是一种有效的风险识别方法。
(2)财务报表法
财务报表法就是根据企业的财务资料来识别和分析企业每项经营活动可能遭遇到的风险。财务报表法是企业使用最普遍,也是最为有效的风险识别与分析方法。企业的资产负债表、损益表、财务状况变动表和各种详细附录就可以成为识别各种风险的工具。
(3)故障树法
故障树法是利用图解的方式将大的故障分解成若干小的故障,并且对引起故障的各种原因进行分解。由于原因分解后的图形呈树枝状,因而称故障树法。在对供应链风险识别时,该方法可以将风险发生的原因层层分解,排除无关因素,从而找到产生影响较大的风险及原因。
(4)风险问卷法
风险问卷法是以系统论的观点和方法来设计问卷,并发给供应链各节点企业内部各类员工去填写,让他们回答本企业所面临的风险和风险因素。可以为风险管理者提供更多有价值的信息,帮助风险管理者来系统地识别风险。
用于供应链风险识别的方法有多种,但是应该注意到每种识别方法都有其优势和劣势。任何一种方法都不可能完全识别出全部的风险,在选择供应链风险识别的方法时,不但要考虑供应链的类型、规模的大小,还要考虑识别方法的特点,两方面结合起来选择合适的方法进行风险识别。
3 基于模糊综合评价的供应链内生风险评估
3.1 供应链风险评估
供应链风险评估是指对风险发生的可能性或损失的范围与程度进行估计与度量。风险识别只是风险管理进行的第一步,还必须对可能出现的损失结果、损失的严重程度予以充分的估计和衡量。在进行供应链风险评估时不仅要考虑风险对供应链节点上某个企业的影响,还要考虑风险对整条供应链的影响。从风险造成的损失方面来看,不仅要考虑风险发生带来的经济损失,还要考虑风险发生带来的其他损失,如信任危机、客户的流失、企业名誉下降等一些无形的损失。
一般来说,根据供应链风险产生的来源进行分类,可以将供应链风险分为内生风险和外生风险。供应链内生风险是指由供应链内部因素造成的风险,一般表现为供应链管理风险、信息风险、合作伙伴关系风险等。供应链外生风险主要指由外界的不确定性导致风险发生,一般指自然灾害、社会环境、经济环境等。
本文主要对供应链内生风险建立模型进行量化评估,从风险发生的频率来说,内生风险发生的频率远远高于外生风险。进行风险评估时,选择内生风险中具有代表性的管理风险、合作风险和信息风险作为一级指标建立模型。
3.2 模糊综合评估模型的建立
最后根据最大隶属原则,可以评估供应链内部风险的级别,一般可以分为风险性高、中等和低3个级别。
3.3 算例分析
对某供应链进行内生风险评估,根据历史数据及专家打分,可以得到对管理风险、合作风险和信息风险3个一级指标对供应链内部风险的权重,以及3种内部风险的5个二级指标权重,见表1。
为了评估该供应链内生风险的大小,运用模糊综合评价模型进行计算。
(1)因素集的确定:一级指标有管理风险、合作风险和信息风险3个因素,一级指标的3个因素分别包括5个二级指标。
按照最大隶属原则,该供应链内生风险高。并且内生风险的3个一级指标的风险性也可以根据最大隶属原则得出,从数据中可以看出管理因素风险性一般,合作因素风险性高,信息因素风险性较高。如果要有效地防范该供应链的内生风险,重点要控制信息因素产生的风险。
4 结束语
供应链风险管理是供应链管理的重要组成部分,是确保供应链健康、持续、稳定发展的前提条件。供应链风险管理是一个复杂的过程,系统地认识供应链风险,深入研究供应链风险管理,使企业管理者对供应链可能发生的风险有一个明确的认识,对风险的预防以及规避都有积极的意义。
参考文献:
[1] Cranfield School of Management. Supply chain vulnerability[R]. Cranfield University, Report on behalf of DTLR, 2002.
[2] Christopher M, Lee H. Mitigating supply chain risk through improved confidence[J]. International Journal of Physical Distribution & Logistics Management, 2004,34(5):388-396.
[3] 马士华. 如何防范供应链风险[J]. 中国计算机用户,2003(3):21.
[4] 丁伟东,刘凯,贺国先. 供应链风险研究[J]. 中国安全科学学报,2003(4):64-66.
一、第一轮专家评估结果的对比
可能导致损失的风险因素很多,课题组在第一轮调查问卷中,共挑选了21个“关键风险因素”供专家评估,如表1所示。这些风险因素涉及机构内外两个方面的因素,其中1.1、1.2、2.1是外部环境因素,其余主要是机构内部因素。
为便于专家评估,课题组将风险因素的危险程度分为5个等级,对应着5个分值,最高危险等级为5,意指风险因素的“负面影响会带来严重的损失且波及范围较大”;其次为危险等级4,意指风险因素“负面影响比较显著”;危险等级3的含义是指风险因素“负面影响有限且一目了然”;危险等级2的含义是指风险因素“负面影响极为有限”;最低的风险等级为1,意指风险因素“几乎没有任何负面影响,不需要特殊的保护措施”。每位被调查的专家需要分别给每个关键风险因素确定分值。
为便于比较分析,我们根据危险等级平均值(以下简称评估值)的高低,将被评估的风险因素分为四组,第一组为极严重风险因素,评估值在4.5以上:第二组为严重风险因素,评估值在4.0~4.5之间,第三组为较严重风险因素,评估值在3.5~4.0之间,第四组为中度风险,评估值在3.0~3.5之间。
中外专家的第一轮评估结果既存在相同之处,也存在着明显的差异,表现在如下方面:
1.专家们的评估结果表示电子文件风险客观存在。虽然本次调查问卷的结果不可避免地要受到专家个人背景、知识结构等方面的影响,但由于评估者皆为电子文件管理方面的资深专家,故结果具有代表性,能够反映出人们对于电子文件风险的一般认识。中外专家给每个关键风险因素的评估值都在3以上,所有风险因素评估值的平均分为4,这说明课题组挑选的风险因素切实存在于电子文件管理之中,它们带给电子文件管理的负面影响是显而易见的,确系关键风险因素。
2.相对而言,国外专家的风险意识要高于国内专家。国外专家评定的危险等级超过4.5的极严重风险因素有4个,其中有2个风险因素的评估值为4.83,另外2个为4.6。国内专家评定的极严重风险因素只有2个,且评估值仅为4.5。这也许是发达国家电子政务建设的时间长,电子文件管理不当的惨痛教训较多的缘故。
3.电子文件管理标准缺失(1.2)、系统功能缺陷(3.13)、未迁移(3.18)是双方共同认定的危险程度很高的风险因素。国外专家评估结果表示,“1.2主管部门没有出台电子文件真实、完整、可读的管理办法、管理标准”排名第一,评估值为4.83,系最严重的风险因素;“3.18在系统升级、变换时未迁移电子文件”排名第二,评估值为4.6,是极严重风险因素;“3.13电子文件管理系统没有完整捕获文件内容、结构或者背景信息的功能”排名第四,评估值为4.3,属严重风险因素。
国内专家对这三个风险因素的评估值均为4.38,并列排名第二,属于严重风险因素。
双方专家给这三个因素的评估值都大于4.3,排名靠前。这三个因素都和电子文件管理方法的缺失有关。其中,管理标准为电子文件远离风险指明了关键的管理步骤和管理方法;而设计合理的电子文件管理系统则是满足电子文件管理需求的终极手段,①电子文件管理最终要依赖以软件系统为中心的综合性管理方法;②信息系统的频繁变迁给具有系统依赖性的电子文件的阅读输出造成极大的障碍,这是电子文件管理者需要面对的首要难题,迁移是应对该难题的一种解决办法。中外专家对这三个风险因素危险程度的共同认定,反映了对科学有效的电子文件管理方法的迫切需求,应当引起我们的高度重视。
4.国外专家对威胁电子文件可读性的风险因素的评估值均高于国内专家。除了给3.18打了高分之外,国外专家对另外两个威胁电子文件可读性的因素的评估值也明显高于国内专家。这两个因素分别是“3.14没有规定文件的格式”和“3.19未保存生成电子文件的软硬件”。
表1关键电子文件风险因素及其评估值
编号关键风险因素国外专家国内专家国内专家
评估值第一次评估值第二次评估值
1.1政府电子文件作为正式文件的法律地位尚未得到普遍认同3.004.134.38
1.2主管部门没有出台电子文件真实、完整、可读的管理办法、管理标准4.834.384.75
2.1没有明确的主管部门3.504.004.13
3.1机构领导很不重视4.004.254.50
3.2资金严重不到位3.504.133.88
3.3机构内各有关部门、人员文件管理的职责不明确3.834.254.38
3.4业务人员缺乏责任心4.603.383.75
3.5文档人员素质不高,技术、管理能力差(如错误操作等)3.503.883.88
3.6机构没有制定科学合理的文件操作程序4.174.134.00
3.9未采用严格的用户身份认证技术3.673.883.63
3.10未定义各类用户的存取权限或定义不当3.834.003.75
3.12未采用有效的病毒实时监视软件3.304.003.88
3.13电子文件管理系统没有完整捕获文件内容、结构或者背景信息的功能4.334.384.38
3.14没有规定文件的格式3.673.003.25
3.15没有对文件生成、管理、利用过程进行监控、审计4.174.004.13
3.16没有完善的备份措施4.004.504.63
3.17文件管理过程中的元数据记录不全3.834.504.25
3.18在系统升级、变换时未迁移电子文件4.604.384.50
3.19未保存生成电子文件的软硬件4.173.383.25
3.20没有文档保管场所安全保护措施4.834.134.38
3.21没有针对本地易发天灾的防范措施4.403.884.00
.国内专家对威胁电子文件完整性的风险因素的评估值均高于国外专家。“3.16没有完善的备份措施”和“3.17文件管理过程中的元数据记录不全”是威胁电子文件完整性的风险因素。国内专家将最高评估值??4.5给了这两个因素。而国外专家的评估值并不高,分别为4和3.83。这种差别反映了中外文件管理工作对文件质量的不同追求。相比而言,我国更重视电子文件的完整,而国外更重视可读和可用。
6.国外专家对自然因素的评估值明显高于国内专家。在21个风险因素中,有两个风险因素是与自然因素直接相关,分别是“3.20没有文档保管场所安全保护措施”和“3.21没有针对本地易发天灾的防范措施”。国外专家对这两个风险因素危险等级的评估值分别为4.83和4.4,排名分别为第一和第三;而国内专家的评估值只有4.13和3.88,危险等级排名为第五和第七。
出现这种明显差异,其原因可能在于9?11事件对于西方发达国家的冲击。2001年9月11日,纽约世界贸易中心大楼倒塌,位于这座大楼中的许多公司,因为其所有业务数据被毁,无法继续业务活动,只得申请破产。世界著名的摩根?斯坦利银行的总部及其数据也毁于这次事件中,但是该银行采用了数据备份系统,在数英里外的新泽西州的蒂内克保留着备份数据,在重新安装好硬件系统后,第三天就恢复了营业。③
国内专家给自然因素打低分的理由是,虽然火灾、洪水、地震等自然环境风险一旦发生,造成的损失往往是毁灭性的,但是发生的概率比较低,而且风险应对方法比较简单,比较容易防范。根据以往历史记录,这种自然灾害造成的风险损失不是很突出。
7.国内专家对法律、体制和资金因素的评估值远远高于国外专家。在所有风险因素中,中外专家对“1.1政府电子文件作为正式文件的法律地位尚未得到普遍认同”的评估值差别最大。国外专家的评估值仅为3,排名最后;而国内专家的评估值高达4.13。对电子文件实行科学管理的前提就是承认电子文件作为正式文件的法律地位,即电子文件是电子的真实记录,是政府行使职能合法、有效的凭证,是政府记忆得以延续的手段。课题组在调研过程中发现,尽管《电子签名法》颁布,但是现实世界中电子文件的凭证效力仍然备受怀疑,绝大多数单位采用了双套制、双轨制作为电子文件管理的解决方案,忽视电子文件的全程管理与长久保存。而没有单轨制的政府电子文件管理,就不可能有全面的电子政务战略。与此形成鲜明对比的是没有一个发达国家将双套制、双轨制作为电子文件管理的解决之道,所有的研究与探索都以电子证据的长久保存与资源共享为目标。国内外评估值的差异恰好反映了我国在电子政务建设尚不够深入。
与体制相关的因素有三个,分别是“2.1没有明确的主管部门”、“3.1机构领导很不重视”和“3.3机构内各有关部门、人员文件管理的职责不明确”。国外专家的评估值为3.5、4、3.83,危险程度不高;国内专家的评估值则为4、4.24和4.25,都属于严重风险因素。由此可见发达国家文档管理的宏观体制以及机构内部管理体制相对完善。不过,从评估值来看,国外专家也较为认同领导重视的重要性。
无论是开发电子文件管理系统、配置计算机硬件和网络设施、购买存储载体,还是系统的维护和更新换代都需要一定的资金投入。由于经济发展水平的不同,国内外专家对资金因素(3.2)危险等级的判断也截然不同,国内专家的评估值为4.13,国外专家的评估值仅为3.5。
可见法律、体制、资金都是带有“中国特色”的风险因素。
8.国外专家对业务人员责任心缺失这一风险因素的评估值高于国内专家。中外专家在“3.4业务人员缺乏责任心”评估值差异也极为明显,分别为3.38和4.6,分别被判断为“中度风险因素”和“极严重风险因素”,仅次于法律风险的评估差异。也许在法制传统比较悠久、制度规范相对健全的环境中,人员主观能动性的重要性便会凸现。
二、第二轮专家评估结果的分析
第一轮调查之后,课题组仔细研究了专家们的评估结果和研究建议,调整了调查问卷的结构,将风险因素按照发生的层面不同划分为宏观、中观和微观三个层次,新增了5个分布在宏观和中观层面的外部环境因素;在个别问题的描述上也略有改动。
为使本文主题集中,我们仍然以原始的21风险因素作为比较对象。在本轮评估中,大多风险因素的评估值有变化,不过变化幅度并不是太大,未出现颠覆性的意见,上一轮评估结果中显示的中外差异仍然存在。由此可见,由于管理体制、信息化水平、观念等方面的差别,我国的电子文件风险确实与发达国家存在较为明显的区别。纵向比较,国内专家第二轮评估结果显示:
1.就总体而言,风险因素的评估值增高。无论是最高值、最低值,还是平均值,第二轮专家评估值都高于第一轮。这说明专家们对电子文件风险的认同度增加了。在某种程度上,这样的变化肯定了电子文件风险研究的意义和必要性。
2.电子文件管理标准缺失(1.2)的评估值升至第一。“1.2主管部门没有出台电子文件真实、完整、可读的管理办法、管理标准”由第一轮中的第二攀升到了榜首,评估值增加了0.37,是评估值增幅最大的两个风险因素之一(另一个是3.4),这再次说明该问题的重要性。随着美国、欧盟、澳大利亚、加拿大等国家和地区电子文件管理标准的纷纷出台和推广应用,相比而言,我国在标准制定与贯彻方面的缺陷愈发令人心焦。
3.法律、体制等软性风险因素的评估值继续走高。法律风险因素1.1,体制风险因素2.1、3.1、3.3在本轮调查中的评估值高于第一轮。其中“3.1机构领导很不重视”更是以4.5的得分由“严重风险因素”晋升为“极严重风险因素”。
4.资金、技术等硬性风险因素的评估值普遍降低。在整体评估值增长的前提下,资金、技术等硬性风险因素的评估值却呈现下降的趋势。除了“3.16没有完善的备份措施”、“3.18在系统升级、变换时未迁移电子文件”这两个技术因素之外,资金因素3.2及技术因素“3.9未采用严格的用户身份认证技术”、“3.10未定义各类用户的存取权限或定义不当”、“3.12未采用有效的病毒实时监视软件”、“3.17文件管理过程中的元数据记录不全”的评估值均低于第一轮的评估结果,3.3、3.10、3.12更是由“严重风险因素”降级为“较严重风险因素”。
5.自然风险和保管场所风险的评估值有所增长。自然风险和保管场所风险直接针对的是文件的物质实体,带来的危害可能是毁灭性的。因此,第二轮调查结果显示风险因素3.20和3.21的评估值都有所增长。
6.“人本”意识有所增强。“3.4业务人员责任心不强”是在法律风险因素2.3之外评估值增幅最大的另一风险因素,由“中度风险因素”跻身于“较严重风险因素”,人员主观能动性的重要程度在本轮调查中有所提升。
三、对评估结果的综合分析
中外专家评估结果的异同反映了信息化程度不同的国家在电子文件风险认识上的异同,为我国电子文件管理工作发展方向的确定提供了依据。通过本次专家的评估,我们至少可以得出以下几点结论:
1.电子文件风险管理是电子文件管理的必要组成。专家评估的结果表明,电子文件风险是客观存在的。被评估的风险因素中,超过一半的风险因素的危险级别都高于4,负面影响比较显著。当今社会,危机管理、风险管理已经成为政府管理的常态性工作。将风险管理方法引入电子文件管理领域,是电子文件管理的客观要求,也是电子政务建设的必要内容。
2.电子文件风险来自多个方面,必须构筑起全方位的应对体系。为中外专家所承认的关键风险因素多种多样。无论是极严重、严重、较严重还是中度风险因素,都有来自多个层次、多个领域的风险因素。为了有效防范和控制风险,提高管理质量,必须构筑起全方位的应对体系,关系到政府机关、主管部门、研究团体、软件提供商等多种机构,文件生成、处理、管理、利用的各类的管理人员和操作人员,保管场所、信息基础设施、文件管理业务、系统设计、规范体系、人员素质和观念等多个方面。
3.克服法律、体制、标准方面的障碍,是我国应对电子文件风险之路上的当务之急。电子管理标准是中外专家公认的极严重风险因素。但同时,中外专家对于体制、法律风险因素的评估却截然不同,中方的评估值远远高于外方,而且在得知国外专家评价结果的情况下,在第二轮评估非但没有降低评估值,反而加大了分值。这个结果真实地反映了处于不同发展阶段的电子文件管理工作的社会条件。
随着电子政务建设的推进,发达国家纷纷建立电子文件管理标准,并凭借着其坚实的法治传统,通过软件的标准认证、标准咨询服务等手段推动电子文件管理工作。而同样的路径在我国未见得能够起到同样的效果。这是因为我国法治化、规范化管理基础较为单薄,而法律、体制的障碍不除,即便标准得以制定,由于欠缺制度上的保障,标准的贯彻实施过程必定充满艰辛。因此,法律、体制、标准的完善必须齐头并进。在某种意义上,法律的健全、体制的完善更为重要。
注释:
①赵屹,陈晓晖.电子文件管理的终极解决之道.档案学通讯,2002(2)
购物车(0)
