信息资产的安全属性范文

时间:2023-11-30 17:29:50

导语:如何才能写好一篇信息资产的安全属性,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

信息资产的安全属性

篇1

关键词:多属性群决策;熵权法;TOPSIS;信息安全;风险评估

一、 引言

从20世纪90年代后期起,我国信息化建设得到飞速发展,金融、电力、能源、交通等各种网络及信息系统成为了国家非常重要的基础设施。随着信息化应用的逐渐深入,越来越多领域的业务实施依赖于网络及相应信息系统的稳定而可靠的运行,因此,有效保障国家重要信息系统的安全,加强信息安全风险管理成为国家政治稳定、社会安定、经济有序运行的全局性问题。

信息安全风险评估方法主要分为定性评估方法、定量评估方法和定性与定量相结合的评估方法三大类。定性评估方法的优点是使评估的结论更全面、深刻;缺点是主观性很强,对评估者本身的要求高。典型的定性评估方法有:因素分析法、逻辑分析法、历史比较法、德尔斐法等。定量的评估方法是运用相应的数量指标来对风险进行评估。其优点是用直观数据来表述评估结果,非常清晰,缺点是量化过程中容易将本来复杂的事物简单化。典型的定量分析方法有:聚类分析法、时序模型、回归模型等。定性与定量相结合的评估方法就是将定性分析方法和定量分析方法这两种方法有机结合起来,做到彼此之间扬长避短,使评估结果更加客观、公正。

本文针对风险评估主观性强,要素众多,各因素较难量化等特殊性,将多属性群决策方法引入到风险评估当中。多属性决策方法能够较有效解决多属性问题中权重未知的难题,而群决策方法能较好地综合专家、评估方、被评估方以及其他相关人员的评估意见。该方法可解决风险评估中评估要素属性的权重赋值问题,同时群决策理论的引入可提高风险评估的准确性和客观性。本文用熵权法来确定属性权重,用TOPSIS作为评价模型,对风险集进行排序选择,并运用实例来进行验证分析。

二、 相关理论研究

1. 信息安全风险分析原理。信息安全风险评估是指依据信息安全相关的技术和管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性进行评价的过程。它要对组织资产面临的威胁进行评估以及确定威胁利用脆弱性导致安全事件的可能性,并结合相应安全事件所涉及的资产价值来判定当安全事件发生时对组织会造成的影响。文献中提出了一种改进的风险分析流程及原理,该模型对风险分析基本流程的属性进行了细分,如图1所示。

根据上述原理,总结出信息安全风险评估的基本步骤,可以描述如下: (1)首先调查组织的相关业务,分析识别出组织需要保护的重要资产,以及资产本身存在的脆弱性、面临的威胁,形成风险集。(2)组织各领域专家对风险集中各属性进行评估并赋权值,得到每个风险的属性值。(3)通过一定的算法对所有属性进行综合分析,得到最后的结果,进一步推算出组织面临的风险值。

2. 多属性群决策理论。多属性群决策,是指决策主体是群体的多属性决策。多属性决策是利用已有的决策信息,通过一定的方式对一组(这一组是有限个)备择方案进行排序并选择,群决策是多个决策者根据自己的专业水平、知识面、经验和综合能力等对方案的重要性程度进行评价。在多属性群决策过程中,需要事先确定各专家权重和属性权重,再通过不同集结算法计算各方案的综合属性值,从而对方案进行评价或择优。

3. 熵权法原理。香农在1948年将熵的概念应用到信息领域用来表示信源的不确定性,根据熵的思想,人们在决策中获取信息的数量和质量是提高决策精度和可靠性的重要因素。而熵在应用于不同决策过程的评价时是一个很理想的方法。熵权法是确定多属性决策问题中各属性权系数的一种有效方法。它是利用决策矩阵和各指标的输出熵来确定各指标的权系数。

试考虑一个评估问题,它有m个待评估方案,n个评估属性,(简称m,n评估问题)。先将评估对象的实际状况可以得到初始的决策矩阵R′=(′ij)m×n,′ij为第i个对象在第j个指标上的状态,对R′进行标准化处理,得到标准状态矩阵:R=(ij)m×n,用M={1,2,…,m}表示方案的下标集,用 N={1,2,…,n}表示属性的下标集,以下同。其中,当评估属性取值越大越好,即为效益型数据时:

ij=(1)

当评估属性取值越小越好,即为成本型数据时:

ij=(2)

(1)评估属性的熵:

Hj=-kij×lnij j∈N(3)

其中ij=ij/ij k=1/lnm,并假定,当ij=0时,ijlnij=0,Hj越大,事件的不确定性越大,Hj越小,事件的不确定性越小。

(2)评估属性的熵权:在(m,n)评估问题中,第j个评估属性的熵权j定义为:

j=(1-Hj)/(n-Hj),j∈N,显然0j1且j=1

3. TOPSIS方法。TOPSIS(Technique for Order Preference by Similarity to Ideal Solution)法是一种逼近理想解的排序方法,适用于多属性决策中方案的排序和优选问题,它的基本原理描述如下:(1)界定理想解和负理想解,(2)以各方案与“理想解”和“负理想解”的欧氏距离作为排序标准,寻找距“理想解”的欧氏距离最小,(3)距“负理想解”的欧氏距离最大的方案作为最优方案。理想解是一个方案集中虚拟的最佳方案,它的每个属性值都是决策矩阵中该属性的最好的值;而负理想解则是虚拟的最差方案,它的每个属性值都是决策矩阵中该属性的最差的值。最优方案是通过需要评估的方案与理想解和负理想解之间的欧氏距离构造的接近度指标来进行判断的。假设决策矩阵R=(ij)m×n已进行过标准化处理。具体步骤如下:

(1)构造加权标准状态矩阵X=(xij),其中:xij=j×ij,i∈M;j∈N,j为第j个属性的权重;xij为标准状态矩阵的元素。

(2)确定理想解x+和负理想解x-。设理想解x+的第j个属性值为x+j,负理想解x-的第j个属性值位x-j,则

x+j={xij|j∈J1)),xij|j∈J2)}

x-j={xij|j∈J1)),xij|j∈J2)}

J1为效益型指标,J2为成本型指标。

(3)计算各方案到理想解的Euclid距离di+与负理想解的距离di-

di+=;di-=;i∈M

(4)计算各方案的接近度C+i,并按照其大小排列方案的优劣次序。其中

C+i=,i∈M

三、 基于TOPSIS的多属性群决策信息安全风险评估模型

1. 方法的采用。本文将基于TOPSIS的多属性群决策方法应用于信息安全风险评估中,有以下几点考虑:

(1)组织成本问题。组织需要对分析出来的风险严重程度进行排序比较,从而利用有限的成本将风险控制到适当范围内。因此,组织可以将被评估方所面临的风险集,看作是决策问题中的方案集,决策目的就是要衡量各风险值的大小及其排序,从中找出最需要控制的风险。

(2)风险评估中的复杂性问题。风险评估的复杂性,适合用多属性群决策方法来解决。如图1所示,信息安全风险评估中涉及多个评估指标,通过评估指标u1,u2,…,u7的取值来计算风险值z。风险值z的计算适用于多属性决策的方法。而由于风险评估的复杂性和主观依赖性决定了风险评估需要综合多人的智慧,因此风险评估的决策者在各方面优势互补,实现群决策的优势。

2. 评估过程。

(1)构造决策矩阵,并将决策矩阵标准化为R=(ij)m×n,由于风险评估属性都是成本型属性,所以用公式(2)标准化。

(2)专家dk权重的确定。为确定专家权重,由风险评估负责人构造专家判断矩阵,假设共有r个专家,Eij表示第i位专家对第j专家的相对重要性,利用Saaty(1980)给出了属性间相对重要性等级表,计算判断矩阵的特征向量,即可得到专家的主观权重:=(1,2,3,…,r)。

(3)指标权重的确定。指标权重由熵权法确定,得到专家dk各指标权重(k)=(1(k),2(k),3(k),…,n(k))。

(4)利用属性权重对决策矩阵R(k)进行加权,得到属性加权规范化决策矩阵X(k)=(xij(k))m×n,其中,xij(k)=ij(k)·j(k),i∈M;j∈N。

(5)利用加权算术平均(WAA)算子将不同决策者的加权规范矩阵X(k)集结合成,得到综合加权规范化矩阵X=(xij)m×n,其中xij=xij(k)k。

(6)在综合加权规范化矩阵X=(xij)m×n中寻找理想解x+=(x1+,x2+,…,xn+) 和负理想解x-=(x1-,x2-,…,xn-), 因为风险评估属性类型为成本型,故x+j=xij,x-j=xij,j∈N。

(7)计算各风险集分别与正理想解的Euclid距离di+和di-。

(8)计算各风险集的接近度C+i,按照C+i的降序排列风险集的大小顺序。

四、 实例分析

1. 假设条件。为了计算上的方便,本文作以下假设:

(1)假设共有两个资产,资产A1,A2。

(2)资产A1面临2个主要威胁T1和T2,资产A2面临1个主要威胁T3。

(3)威胁T1可以利用资产A1存在的1个脆弱性V1,分别形成风险X1(A1,V1,T1);威胁T2可以利用资产A1存在的1个脆弱性V2,形成风险X2(A1,V2,T2);威胁T3可以利用资产A2存在的1个脆弱性V3,形成风险X3(A2,V3,T3)。以上假设条件参照文献“7”。

(4)参与风险评估的人员来自不同领域的专家3名,分别是行业专家d1,评估人员d2和组织管理者d3,系统所面临的风险已知,分别是X1,X2,X3。

2. 信息安全风险评估。

(1)构造决策矩阵。如表1,决策属性为u1,u2,…,u7,决策者d1,d2,d3依据这些指标对三个风险X1,X2,X3进行评估给出的风险值(范围从1~5)。

(2)决策矩阵规范化,由于上述数值属成本型,用公式(2)进行标准化。

(3)专家权重的确定,评估负责人给出3个专家的判断矩阵。

计算出各专家权重=(0.717,0.201,0.082),最大特征值为3.054 2,C.I=0.027,R.I=0.58,C.R=0.0470.1,判断矩阵满足一致性检验。

(3)指标权重的确定

w1=(0.193,0.090,0.152,0.028,0.255,0.090,0.193)

w2=(0.024,0.312,0.024,0.223,0.024,0.168,0.223)

w3=(0.024,0.024,0.312,0.168,0.168,0.223,0.079)

(4)得到综合加权规范矩阵X

X=0.072 0.017 0.084 0.023 0.146 0.101 0.1070.072 0.017 0.084 0.039 0.006 0.045 0.0710.072 0.080 0.063 0.013 0.047 0.047 0.026

(5)求出理想解x+=(0.002,0.017,0.063,0.013,0.006,0.045,0.026) 负理想解x-=(0.072,0.080,0.084,0.039,0.146,0.101,0.107)。

(6)计算d+i、d-i和C+i及对结果排序,见表5。

从排序结果可以看出,风险大小依次为X3X2X1,因此,组织要按此顺序根据企业的经济实力加强风险控制。与参考文献“8”中的风险计算方法比较,提高了风险计算的准确性。

五、 结论

通过对信息安全风险评估特点分析,将多属性群决策用于信息安全风险评估当中,多属性群决策中最重要的就是权重的确定,本文对专家权重采用两两成对比较矩阵来获得,对属性权重采用熵权法来确定,最后采用TOPSIS方法进行结果的排序和选择。这种方法可以从一定程度上消除专家主观因素的影响,提高信息安全风险评估的准确性,为信息系统安全风险评估提供一种研究新思路。

参考文献:

1.赵亮.信息系统安全评估理论及其群决策方法研究.上海交通大学博士论文,2011.

2.中国国家标准化管理委员会.GB/T20984-2007信息安全技术信息安全风险评估规范,2007.

3.陈晓军.多属性决策方法及其在供应商选择上的应用研究.合肥工业大学硕士论文,2008.

4.周辉仁,郑丕谔,秦万峰等.基于熵权与离差最大化的多属性群决策方法.软科学,2008,22(3).

5.管述学,庄宇.熵权TOPSIS模型在商业银行信用风险评估中的应用.情报杂志,2008,(12).

6.郭凯红,李文立.权重信息未知情况下的多属性群决策方法及其拓展.中国管理科学,2011,19(5).

7.唐作其,陈选文等.多属性群决策理论信息安全风险评估方法研究.计算机工程与应用,2011,47(15).

8. 中国国家标准化管理委员会.GB/T20984-2007信息安全技术信息安全风险评估规范.北京:中国标准出版社,2007.

基金项目:国家自然科学基金资助项目(项目号:60970143,70872120);教育部科学技术研究基金资助重点项目(项目号:109016)。

篇2

风险评估技术常用的工具一般有渗透测试工具和脆弱性扫描工具。渗透测试工具一般常使用人工结合渗透测试工具进行,常用的Web渗透测试工具有IBMAppScan、AWVS、HPWEBinspect,通常需对漏洞进行人工验证,以确定漏洞准确性。脆弱性扫描工具主要用于评估网络或主机存在的系统漏洞,常见工具有Nessus,能对主机、网络设备、安全设备进行扫描并形成脆弱性报告。此外,在风险评估过程中,除了利用上述工具来发现系统风险外,还需要利用系统现有数据来进行现状分析和趋势分析,这其中常用的手段有:入侵检测日志分析、主机日志分析、应用系统日志分析、主机/网络检查表等。

风险评估流程

1总体流程

根据风险评估中包含的各个要求,要分别进行实施,整体的风险评估流程如图3所示。

2风险评估准备阶段

通过做好准备工作,能够大大提升风险评估的效果,降低项目实施风险,该阶段是风险评估整个过程的重要组成部分。风险评估准备阶段一般应包含如下工作内容:明确风险评估范围、确定风险评估目标、组建项目团队、设定系统性风险评估方法、整体风险评估方案获得高层批准。

3资产识别阶段

资产识别主要针对现有的信息资产进行分类识别和描述,在识别的基础上从信息安全的角度,机密性、完整性和可用性对其进行赋值,确定信息资产的价值,作为影响分析的基础,典型资产类别可以分为:网络设备、服务器、终端、安全设备、物理环境、业务系统、数据、文档、组织和人员等。

4脆弱性识别

脆弱性评估常被称作弱点评估,是风险评估的重要工作,通过脆弱性评估能够发现信息资产存在的弱点。弱点是资产本身存在的,它可以被威胁利用、引起资产或商业目标的损害。弱点包括物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各种资产的脆弱性。脆弱性分类可分为技术脆弱性和管理脆弱性,其中技术脆弱性又可以细分为:物理安全、网络安全、系统安全、应用安全、数据安全5个方面。

5威胁识别

威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。造成威胁的因素可分为人为因素和环境因素。根据威胁的动机,人为因素又可分为恶意和非恶意两种。

环境因素包括自然界不可抗的因素和其他物理因素。威胁作用形式可以是对信息系统直接或间接的攻击,在机密性、完整性或可用性等方面造成损害,也可能是偶发的或蓄意的事件。对威胁识别的简单方法就是对威胁进行分类,针对不同的威胁,可以根据其表现形式将威胁识别分为以下几类:软硬件故障、物理环境影响、无作为或操作失误、管理不到位、恶意代码、越权或滥用、网络攻击、物理攻击、泄密、篡改、抵赖等。威胁分析方法首先需要考虑威胁的来源,然后分析存在哪些威胁种类,最后做出威胁来源和威胁种类的交叉表进行威胁赋值。

6风险分析

风险分析中要涉及资产、威胁、脆弱性3个基本要素,每个要素有各自的属性。资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。

风险评估的主要内容

信息安全风险评估包含的内容涉及信息安全管理和技术,同时包括网络、系统、应用和数据等不同的技术层面,但根据保险行业的特定需求,总体定位在网络设备和网络架构方面的技术评估。主要内容包括:

1)信息资产的调查,主要针对网络拓扑,网络设备和服务器设备等。

2)网络架构弱点评估,针对目前的网络拓扑图进行弱点分析。

3)网络设备和服务器系统弱点评估,针对设备目前的系统配置进行分析,确认其是否达到应有的安全效果,结合渗透测试的手段。

4)现有安全控制措施,通过分析目前的安全控制措施,综合总结网络架构和设备的弱点。

5)整体网络威胁和风险分析,综合分析网络中面临的威胁和可能的风险,形成总体安全现状。

6)建议安全措施和规划。根据风险评估的成果和建设目标,形成建议的安全措施和时间进度,建立1-2年的信息安全规划。

项目实施成果

根据以上工作内容,项目的最终成果包括:

1)信息资产清单和分析结果。清晰明确系统和网络信息资产,明确其机密性、完整性和可用性的安全目标,同时确定资产的重要类别;必要时可以建立内部的信息资产库。

2)系统和网络脆弱性报告。明确服务器系统、网络设备、网络结构和安全设备可能存在的弱点。

3)系统和网络威胁报告。根据已有的弱点分析目前可能面临的威胁和威胁发生后对业务、系统和网络造成的影响。

4)安全现状报告。基于风险的安全现状总体分析报告,明确目前的网络安全风险。

5)建议安全措施和规划。从技术和管理的角度提出后期进行系统建设的安全控制措施。

结语

篇3

【关键词】 安全成本; 计量属性; 时间特征

中图分类号:F234.2 文献标识码:A 文章编号:1004-5937(2015)07-0028-04

企业安全形势的严峻和人们对企业安全生产的需求已经逐渐显现为经济乃至社会的不和谐因素,普遍理解为“不存在能够导致人身伤害和财产损失”状态的“安全”一词也逐渐被赋予了更多的社会意义和经济意义,外延已经扩展至人身和财产之外的社会环境和生态环境。企业尤其是高危行业企业不可避免要产生更多的安全成本来缓解日益尖锐的安全矛盾,安全成本有必要成为单独的成本项目并且单独计量核算。其中的关键问题是安全成本具体内容的确定和计量,即安全成本的结构划分及基于此的计量属性选择。本文首先根据安全成本的内涵将安全成本的结构划分为四个功能层级,并解释各功能性成本项目的含义,然后分析每项安全成本的时间特征,最终确定最合适的计量属性。

一、安全成本和计量属性的内涵分析

(一)安全成本的内涵

成本是为过程增值或结果有效已付出或应付出的资源代价。据此,安全成本的内涵可以解释为企业为了安全增值或者达到与维持某种安全状态已付出或应付出的各种资源总和。

成本都有目的性,安全成本的目的是为了达到和维持相对理想的安全状态或者应对不安全状态的风险,但是分析其经济实质,企业之所以会发生安全成本,归根结底是因为其增值性或者说它对企业其他增值活动的保障性。安全成本的增值性与生产性成本等的增值性相比虽然比较间接,而且带有明显的滞后性和不确定性,但是也有长效性和多效性等优势,不容企业忽视。而且从罗云(2010)等的定量分析来看,安全的“产出”往往是“增值产出”远远大于“减损产出”。

资源代价是一个总量的概念,既包括过去某一时间已经付出的,也包括还没有付出但是应该于现在或未来某一时间付出的各种安全成本。资源代价并不仅指成本的耗费,还包括成本的补偿,企业安全管理所追求的就是以最小的安全成本耗费获取最大的补偿,最大限度地实现企业的经济和社会价值。

(二)计量属性的内涵――时间特征分析

计量属性是被计量对象数量特征的属性,其选择是将核算对象价值货币化的关键环节。我国目前主要的计量属性有历史成本、公允价值、现值、重置成本和可变现净值。

历史成本是面向过去的计量属性,计量已经发生的交易或事项,可以称其为历史性计量属性。由于历史成本按照交易或事项发生时的实际金额计量,所以可靠性和可验证性较强,目前仍是最主要的会计计量属性。

公允价值、现值、重置成本和可变现净值分别从不同角度计量交易或事项的现时状态,是面向现在或未来的计量属性,可称其为现时性计量属性,是重要的辅计量属性。其中,公允价值强调交易的公平性、实时性;现值更多地关注未来的现金流量和货币时间价值;重置成本和可变现净值则是针对特定状态(成新率、产品加工程度)下的项目,区分“买进”或“卖出”计量核算对象的价值。它们的特点是数据的取得受限于市场环境和估值技术,需要更多的人为估计,数据的可靠性尚不及历史成本。但是其较高的相关性使得应用范围越来越广,尤其是公允价值计量属性,无论理论层面还是实务层面,大有赶超历史成本的态势。

二、双维度安全成本分析

就功能性而言,安全成本分为企业主动投入的保证性安全成本和被动产生的由安全风险所致的损失;就时间特征而言,安全成本具有历史性或者现时性。本文首先将安全成本划分为四个功能层级,即Ⅰ级安全成本总和,Ⅱ级保证性安全成本和损失性安全成本,Ⅲ级保证性的安全生产成本和安全管理成本、损失性的内部安全损失和外部安全损失,Ⅳ级是更多的明细成本项目。在结构分析基础上,增加了时间维度,分析了安全成本各明细项目的时间特征,如图1所示。

(一)功能维度分析

安全成本分为保证性和损失性安全成本正契合了安全成本的涵义:保证性安全成本主要指为了达到和维持相对理想的安全状态的成本,损失性安全成本则主要是指应对不安全状态的风险产生的损失,还包括一小部分因为安全设施或安全材料的非安全原因导致毁损、丢失等造成的损失。

1.安全生产费用包括了生产环节中产生的保证性安全成本,是企业产品成本的一部分。

安全设备包括外购安全生产、防护及监测设备及设施,自建或改扩建安全生产、防护及监测工程等,形成固定资产后每期计提折旧等计入成本的金额为安全设备费。

安全材料费指不符合安全设备确认条件的安全周转材料消耗,主要包括劳保用品、防护设施(低值易耗)及材料、消防器材等。

安全生产人工费指专门从事安全工作或者岗位职责中安全性质工作占一定比例(可识别)的生产人员的薪酬(不含安全补助)等。专职安全生产人员薪酬全部计入安全成本,安全工作占岗位职责一部分的人员薪酬按时间、工作量或作业比例分摊后计入产品成本和安全成本。

安全技术费包括安全技术的购进和研究开发费用。如果形成无形资产,还必须按照无形资产的要求进行计量。

安全补助费主要包括安全保险、安全岗位津贴及各种安全奖励,如生产人员有一定的工作量或工作时间与安全生产有关,其补助费按时间、工作量或作业比例进行分摊分别计入产品成本和安全成本。

安全生产管理费主要指生产现场由生产管理人员产生的安全管理费用,比如领用生产材料等物资。如生产管理人员有一定的工作量或工作时间与安全生产管理有关,其工资按时间、工作量或作业比例进行分摊分别计入制造费用和安全成本。

2.安全管理费用包括企业管理和监督各项安全工作产生的归属于某一期间的费用。

安全管理人工费指的是安全管理人员和安检人员的薪酬。该项目需要注意的是:如果是专职安全管理及安检人员,薪酬全额计入安全管理费用;如果是兼职安全管理及安检人员,薪酬可按岗位职责规定比例或实际工作量比例分摊分别计入管理费用和安全成本。

安全维护费主要包括安全监测、检查及维修费项目,参照我国目前的会计准则,安全设施等的维修费应当计入当期费用,也就是计入安全管理费用,而不是计入制造费用,即使该安全设施是用于进行安全生产的。

安全保险费主要指企业给员工购买的各类安全性质的商业保险。

安全宣传培训费主要指各种安全意识、安全知识和安全文化等的宣传费用,比如安全宣传片、安全标语等的制作费用,还有企业内部人员的安全教育培训费,比如进行新进员工的安全培训、原有职工的安全继续教育和举办安全知识讲座等。

安全信息费包括安全情报和信息的收集、储存、整理、分析、反馈等费用。

3.内部安全损失指的是安全原因造成的企业内部人员、生产或财产的损失,也包括安全设施材料的处置损失和安全事故外的其他非常损失。

内部医疗赔偿费包括企业承担的安全原因造成的内部人员伤亡的医疗费、赔偿费。

内部事故处理费主要指安全事故发生后的内部抢救费用、善后费用等,不包括医疗费和赔偿款。

内部诉讼费指的是企业与内部人员因为安全原因发生纠纷产生的诉讼等费用。

安全设备损失包括安全设施处置损失、非常损失以及安全事故后的维修费等。

安全材料损失包括安全材料非常损失和因安全原因造成的其他材料的丢失、毁损等损失。

安全生产损失包括安全因素引起的停工、返工损失费和恢复生产费等。

内部无形损失包括安全原因导致员工精神损失、企业商誉损失等。

4.外部安全损失指的是安全问题导致的企业外部人员或财产的损失,以及应对企业相关事宜如诉讼、行政处罚、环境治理等的费用。

外部医疗赔偿费包括安全原因造成的伤亡人员的医疗费、赔偿费用,以及社会其他财产损失的赔偿款。

外部事故处理费主要指安全事故发生后的外部抢救费用、善后费用等,不包括医疗费和赔偿款。

外部诉讼费主要指由于安全事故等引发的企业与社会其他个人、组织的各类纠纷导致诉讼而产生的费用。

安全处罚是指由于企业安全工作未达到法律法规规定或有关部门要求而产生的行政性罚款。

生态治理费主要指安全工作不到位或事故造成的生态环境损害产生的治理、恢复费用。

社会无形损失包括安全问题致使环境破坏、公众信心丧失及恐慌给企业带来的生产、销售、商誉等损失。

(二)时间维度分析

安全成本各功能项目的时间特征可以分为三类:单一历史性的成本项目、单一现时性的成本项目和双重时间维度的成本项目,统计情况见表1。

1.安全生产成本

安全生产成本中的安全生产人工费、安全补助费和安全生产管理费都按业务发生时的金额计价,具有历史性。特殊的是安全设备费、安全材料费和安全技术费,三者都是在初始计量时形成相应资产、费用,按历史成本计价,具有历史性;后续计量如果计提资产减值,则具有了现时性。

2.安全管理成本

此类安全成本属于期间费用,具有历史性。

3.内部安全损失

其中,内部医疗赔偿费、内部事故处理费、内部诉讼费和安全生产损失费都按发生成本的实际金额计价,具有历史性。

如果在后续计量时相关设备或材料发生了价值减损,那么相关损失费的计量就因此具有了现时性。

内部无形损失很特殊,具有隐蔽性和时滞性,企业无需立即付出代价,但是在企业日后的经营中会影响企业创造价值的能力,发生现金流出或减少现金流入,其价值计量现时性非常显著。

4.外部安全损失

大多数企业外部损失具有历史性,直接计入当期损益,比如外部医疗赔偿费、外部事故处理费、外部诉讼费和安全处罚等。

生态治理费指的是企业需要缴纳的环境恢复、维护等费用,具有历史性。如果需要购置排污处理、监测等设备,则形成安全设施费,不属于企业外部损失。

外部无形损失同内部无形损失,具有现时性。

三、安全成本计量属性的确定

符合确认条件的各功能性安全成本,其定量的关键是计量属性的选择。同一项安全成本,选择历史成本还是公允价值等现时性计量属性所得的数值一般是不一样的。哪种计量属性最适合该成本项目,计量结果最符合利益相关者的要求,主要取决于计量对象本身的功能和时间性质,另外,还要兼顾会计信息质量要求和成本效益原则。

(一)单一历史性的成本项目

安全成本中仅具有历史性时间特征的项目占大多数,24项中有17项,达到70.83%,大多直接计入相应成本或费用,属于一次性计量,不涉及后续计量问题,也不需考虑时间价值。这类安全成本可以直接选择历史性计量属性即历史成本。

(二)单一现时性的成本项目

单一现时性的成本项目数量是最少的,仅有2项,占24项的比例为8.83%,分别是内部无形损失和外部无形损失。这类损失通常没有价格或不能交易,历史成本计量不现实,所以一般采用特殊的估值技术计算,比如商誉损失估价的超额收益法、环境损失测算的市场价值法等。这些估值技术一般根据未来现金流量按照一定折现率计算现值,或者寻找替代成本或机会成本计算公允价值,可见计量属性选择现值或公允价值较适宜。

(三)双重时间维度的成本项目

双重时间维度的成本项目共5项,占20.84%,包括安全设备费、安全材料费、安全技术费、安全设备损失和安全材料损失。这5项安全成本都是先期形成的各种资产成本或损失的结转,计量属性因为后续计量的变化,主要是由于减值准备的计提,兼具了历史性和现时性,应视具体情况选择公允价值、现值、重置成本或可变现净值。

1.安全设备费和安全设备损失

安全设备使用期内如果没有发生资产减值,安全设备费和安全设备损失的计量属性保持其初始计量属性,即历史成本。

使用期内如果发生了贬值,遵循谨慎性则需计提减值准备,形成安全设备减值损失,同时影响后续期间的折旧和其他损失成本金额的计量。安全设备计提减值准备时按照可收回金额计价,其计算以公允价值或是现值为基础,选公允价值减去处置费用与现值之间较高者。可见,针对已计提减值准备的安全设备,这两项安全成本可以选择公允价值或现值作为计量属性。

2.安全材料费和安全材料损失

与安全材料相关的安全成本的计量属性也与资产减值计提与否息息相关。不存在跌价现象,安全材料的初始计量和后续计量都采用历史成本,其消耗或损失也应选择历史成本作为计量属性。一旦跌价,企业应该计算材料的可变现净值,计提存货跌价准备,计量属性相应转变为可变现净值。

3.安全技术费

当期的费用性安全技术支出属于安全生产费用且不会形成无形资产,按照实际成本计价,可选择历史成本为其计量属性。

当企业购买或自主研发的安全性技术、专利等符合资产确认的条件时,应确认无形资产,并按照实际成本入账。后续期间若不贬值,则摊销费用采用历史成本计量属性;如果发生了减值,则确认的资产减值损失和后期的摊销金额都会受到可收回金额的影响。可收回金额的确定取决于计算的现值或公允价值孰高,故现值和公允价值都有可能成为其计量属性。

四、总结

安全成本的内涵剖析和结构划分对于企业正确认识安全成本具有重大意义,也使得安全成本的科学计量成为可能。鉴于安全成本的发生具有明显的目的性,本文将安全成本的结构划分为四个功能层级,并进行详细界定。然后根据每项安全成本的时间特征选择最契合的计量属性,保证安全成本定量的准确性。

【参考文献】

[1] 姚庆国.安全经济学基本问题综述[J].山东社会科学,2004(12):51-54.

[2] 罗云.安全经济学(第二版)[M].北京:化学工业出版社,2010.

[3] 徐捷.会计计量属性在各项会计要素计量中的应用研究[D].西北大学,2010.

[4] 姚庆国.煤炭安全成本初论[J].煤炭经济研究,1999(6):33-35.

篇4

关键词:信任机制;品牌信任;品牌资产;畜产品;品牌公民行为

中图分类号:F123.9 文献标志码:A 文章编号:1673-291X(2012)07-0190-02

引言

中国畜产品产量居世界前列,生猪产量接近世界总产量的50%,但与国外相比,中国畜产品产业化、标准化程度较低,市场监管不够,面临以下市场问题和严峻挑战:(1)小规模分散经营为主的畜产品生产者缺乏品牌投资的激励;(2)农业企业面临食品质量安全的“柠檬市场”――买卖信息不对称引发劣质畜产品驱逐优质畜产品,积极性受挫;(3)近来频发的“三聚氰胺”、“皮革奶”、“瘦肉精”等食品安全事件使得企业苦心经营的品牌形象一夜之间轰然倒塌,引发畜产品业,乃至整个食品行业陷入了信任危机状态;(4)外资大肆并购国内食品企业,如摩根士丹利参股蒙牛,高盛入股雨润、收购双汇股份,德意志银行豪夺上海养猪场30%股份,使畜产品竞争面临行业层面上的“国家安全”问题。

畜产品乃至整个食品业振兴的关键在于“互信制度”的建立。信任源于承诺,承诺依托品牌,关键是品牌资产的专用性投资。畜产品品牌化是中国发展现代农业的必然趋势,有利于生产标准化,保证质量的可靠性和一致性;也便于市场监管,从根本上解决责任归属和可追溯问题;还可减少机会主义,稳定畜产品价格。

一、信任机制、食品信任与畜产品信任特性

信任机制主要从理论上探讨信任建立的基础,许多信任机制源于社会学、经济学和心理学理论。美国学者道尼和加伦总结了众多学者的研究成果,指出信任感有以下五个形成过程:(1)计算过程:计算对方欺骗行为的利弊,弊大于利则信任对方;(2)预测过程:一方有信心准确预测对方的行为,就能产生信任感;(3)能力判断过程:一方会判断另一方履行承诺的能力、技能和资源;(4)意图分析过程:一方会分析另一方言行,判断对方的意图;(5)传递过程:人们会根据可信的“证据来源”,对自己没直接接触过的人或团体产生信任感(Doney和Cannon,1997)。金玉芳和董大海(2004)把信任机制主要归纳为四个方面:施信方自身的心理过程机制、施信方对受信方的判断过程机制、交往过程机制和其他外部机制――法律和其他保障。道尼和加伦认为,顾客对企业的信任主要通过计算过程形成,顾客对销售人员的信任主要通过预测与意图分析过程形成。

畜产品乃至食品是体验性属性和信誉性属性为主的产品。食品质量包括安全质量、外观质量、健康质量、营养质量和享乐质量。享乐质量可通过体验评估,安全、营养、健康质量消费后也难以判断。因此,畜产品消费者除了根据计算过程和能力判断过程决定信任外,更可能借助口碑、法律制度和其他证据来传递信任,感知风险越高,消费者对第三方信息的依赖程度越高。

二、品牌信任与畜产品品牌信任

品牌信任是是品牌关系的基础和品牌关系质量的重要组成成分,对建立品牌忠诚和品牌资产具有重要意义。品牌信任有“一维说”――对品牌的信心程度,“二维说”――可靠、诚实;可靠性、行为意向,“三维说”――真诚、利他、可靠;善意、诚信、能力;认知、情感、行为等。我们认为,畜产品信任除了对善意、诚信、能力的认知,品牌关系情感信任外,还包括对围绕产品的供应链及其周边资源的信任。

学术界在工业品和服务领域对品牌信任的前因后果进行了大量研究,结果表明品牌信任是联系品牌经验、品牌熟悉度、品牌形象、品牌态度等品牌资产驱动因素与品牌满意、承诺、忠诚等品牌资产结果变量的桥梁。但学术界对畜产品品牌的研究较为少见,对畜产品品牌信任的研究更为少见,国外学者的研究重点探讨了原产地、价格、企业形象、认证信息、生产方式、购买地点(Verbeke,Demey,Bosmans和Viaene,2005)等外在信号对消费者信任和支付意愿的影响。中国学者只有张立胜等人(2010)探讨了认证标识对牛奶品牌信任。

三、品牌资产与畜产品品牌资产的形成

从20世纪80年代中期起,学术界主要采用了三种品牌资产测量模式:顾客心智模式、产品市场产出和金融市场产出模式。凯勒指出,这三个测量模式是品牌价值链上的不同环节,基于顾客的品牌资产是其他两种品牌资产的源泉。目前学术界品牌资产来源测量已形成基于认知心理和社会心理两大学派,两者对品牌资产具有不同的解释能力和应用图景(何佳讯,2006)。这两大学派与凯勒品牌金字塔模型中基于功能判断和形象感受形成品牌共鸣的两条品牌资产形成路线是一致的。

学术界识别的认知类品牌资产驱动因素主要有感知的质量、品牌知名度、品牌联想、品牌忠诚和其他资产(Aaker,1991);品牌知识――品牌知名度和品牌形象(Keller,1993);属性成分(评估物质特征)和非属性成分(基于象征性联想);品牌知名度、顾客对品牌的态度、品牌的商业伦理等。社会心理品牌资产来源是品牌与顾客关系的情感路线,主要通过双方交往形成,较多成果见于服务研究领域,最为常见的是品牌关系质量(品牌信任、满意)对品牌资产的影响,近来新的研究趋势是考虑品牌内部化――品牌公民行为对品牌关系强度(Burmann和Zeplin,2005)、品牌信任和品牌承诺的影响。

国外畜产品品牌资产驱动因素的研究主要探讨了影响猪肉、牛肉和鸡肉等畜产品质量的内在和外在属性及其对品牌信任的影响(Robles,Vannini和 Roberto,2011)。国内对畜产品品牌资产建设的研究多为经验总结和策略探讨,实证研究极为少见。

四、研究述评与未来研究方向

笔者认为,品牌信任是信任危机下畜产品品牌资产培育的关键,认知和情感两类品牌资产驱动因素与子驱动因素通过计算、判断、转移等信任机制影响品牌信任,进而影响品牌资产,因此学术界应借鉴基于顾客的品牌资产、品牌价值链、服务利润链理论,将认知心理和社会心理两大品牌资产来源测量结合起来,构建基于顾客的畜产品品牌信任与品牌资产形成机制模型,探讨品牌信任在畜产品品牌资产形成中的桥梁作用。

具体来讲,农林经济学术界今后应从以下几个方面进一步研究畜产品品牌信任与品牌资产形成机理:(1)探讨国外畜产品品牌化现状、竞争格局、政府在品牌信任与品牌资产形成中的作用;(2)分析国内畜产品品牌化现状、存在问题、制约因素,信任机制及消费行为特点;(3)探讨认知维度的品牌资产驱动因素及子驱动因素构成,及其对品牌信任的影响。1)探讨畜产品品牌资产驱动因素是否包括感知的质量、品牌知名度、品牌联想、商业伦理、顾客对品牌的态度等驱动因素,及其对品牌信任的影响;2)探讨消费者对畜产品相关属性和非产品相关属性联想的构成因素,构建基于顾客的畜产品质量评价指标体系;探讨两类属性联想对感知质量、品牌联想及对品牌信任影响。由于畜产品的体验性和信誉性特点,非产品相关属性会影响消费者感知的质量。学术界应同时探讨构成畜产品特质的内在属性(品种、安全、营养、口感、外观、养殖方式等)和支持、强化消费者认同的外在属性(原产地形象、商店形象、质量认证、企业荣誉、产业链整合模式等)构成,构建基于顾客的畜产品质量评价指标体系,并探讨两类属性联想对感知质量、品牌联想及对品牌信任影响,重点探讨外在属性对品牌信任的信任转移影响机制。(4)员工品牌公民行为对品牌资产驱动因素、品牌信任、顾客品牌公民行为的影响。员工代表品牌。品牌内部化是品牌信任和品牌资产的最终决定因素。根据服务利润链理论和顾客心理契约理论,员工的品牌公民行为(分外行为),一方面传达了品牌的内涵、定位和价值观,会影响顾客对品牌的识别、感知、判断(即从认知方面增加品牌资产),另一方面会增强顾客对品牌的信任感、满意感、忠诚感和顾客维护发展品牌行为。食品信任危机背景下,顾客自发维护和发展品牌的角色外行为对于其他顾客的购买决策和行为起着非常重要的作用,因此企业的品牌资产建设应以品牌忠诚和顾客品牌公民行为为目标。(5)政府在畜产品品牌化中的作用及对策。农林经济管理学术界今后应通过深度访谈和小组座谈法,从消费者和企业角度了解他们对政府食品安全法律保障制度、信用保障制度现状的评价和改善期望,以便为政府缓解食品乃至社会信任危机、扶持民族畜产品品牌政策制定和实施提供理论基础和经验支持。

参考文献:

[1] Doney,P.M.,and Cannon,J.P.An Examination of the Nature of Trust in Buyer-supplier Relationships[J].Journal of Marketing,1997,

(2):35-51.

[2] 金玉芳,董大海.消费者信任影响因素实证研究――基于过程的观点[J].管理世界,2004,(7):93-99.

[3] 何佳讯.品牌资产测量的社会心理学视角研究评介[J].外国经济与管理,2006,(4):48-52.

[4] Keller,Kevin Lane.Conceptualizing,Measuring,and Managing Customer-based Brand Equity[J].Journal of Marketing,1993,(1):1-22.

[5] Burmann C,Zeplin S.Building Brand Commitment:A Behavioral Approach to Internal Brand Management[J].Journal of Brand Man-

agement,2005,(4):279-300.

Brand Trust and Brand Equity Form Mechanism on Livestock Products

TIAN Jin-mei

(College of Economics and Management,South China Agricultural University,Guangzhou 510642,China)

篇5

关键词:国有资产;监督管理;系统设计

中图分类号: TN911-34 文献标识码: A 文章编号: 1673-1069(2016)31-166-2

1 国有资产监督管理系统的设计要点

1.1 设计思路

为了对国有资产进行全方位、系统化的管理,利用计算机网络及相关软件构建相对完善的监管系统,以此来实现对监督管理企业联网发送数据信息,从而实现对其国有资产进行追踪管理的目的。本文所设计的系统可以对监管企业的国有资产提供数据查询、检索、汇总、统计等功能,根据相关的数据信息自动生成统计报表,由此不仅为监督管理工作的有序开展提供了强有力的支撑,而且还为决策提供了翔实、准确、可靠的依据。

1.2 系统的框架结构

在对系统进行设计的过程中,选用了当前较为流行且非常完善的B/S架构中的J2EE平台,该平台是一个基于Java技术的企业应用系统开发规范。整个系统由以下5个层次组成,分别为表示层、Web层、业务逻辑层、数据持久层和数据库服务层。

1.2.1 表示层

该层是由JSP页面组成,主要包括登录、维护以及操作等页面。

1.2.2 Web层

该层采用的是MVC模式当中的STRUTS架构,具体包括STRUTS动作、STRUTS表单、STRUTS主控程序等。

1.2.3 业务逻辑层

该层由多个模块组合而成,如编码管理、系统维护、决策管理、财务管理、报表管理、综合统计等等。

1.2.4 数据持久层

该层是由若干个持久化对象所组成,其主要是在Hibernate的管理下,来实现对数据库的访问。

1.2.5 数据库服务层

该层采用的是MySQL数据库,以此来实现对持久化数据的存储,主要包括以下数据:国有资产数据、财务数据以及权限数据等等。

1.3 数据库设计

在本系统的设计中,由于选用了较为成熟的J2EE平台,所以数据库的设计成为整个系统设计的关键环节。通过对一些数据库进行比选之后,决定采用MySQL作为系统数据库。该数据具有体积小、运行速度快、开放源码、成本低等特点,其在一些中小型网站中的应用较为广泛,由于MySQL数据库所具备的开源性特点,使得用户不需要支付费用便可对其进行使用,通常只需要从互联网上下载即可,并按照自己的使用需求对其进行修改。

1.3.1 概念设计

这里所指的概念是对用户使用要求的具体描述,以数据为基础,构建抽象的概念数据模型,该模型能够反映出信息的关系以及对信息的各种要求,如存储、查询、加工等。

1.3.2 逻辑设计

它是对概念设计的延伸,即将概念设计阶段获得的数据模型转换为关系模式。

1.3.3 物理设计

这是整个数据库设计的关键环节,具体是指对数据在内存中进行合理的安排,可以通过对索引及缓冲区的设计来实现。如果采用外部存储设备,则需要设置数据的访问方式及数据库表。本系统中的数据库表包括资产信息表、借用信息表、资产变更记录表、用户信息表、部门表、人员信息表、管理员信息表、企业编码表、国有资产编码表、通用编码表、数据字典表等。

1.3.4 安全设计

由于本文所设计的系统是对国有资产进行监督管理,其中大部分数据信息都非常重要,一旦丢失或泄露会造成严重的后果,所以在数据库设计时,必须对安全设计予以重视。为对数据信息进行全方位的保护,系统在程序设计上对数据的保密和安全进行了充分考虑,并设置了三级用户,分别为普通、授权和系统管理员,不同的用户使用权限不同。系统管理员可以对系统的全部功能进行使用,授权用户只能使用部分功能,普通用户则只能进行浏览、查询等基本操作,不具备删除、修改等权限。为了进一步提升数据库的安全性能,在设计时,采用了故障自动恢复技术,如果系统发生掉电故障,只需要进行重启,数据库便可自动恢复进程。

1.4 界面设计

在本系统的设计中,界面是较为重要的环节,其设计与系统的使用密切相关,如果界面设计得不合理,则会影响系统的使用性。鉴于此,在界面设计时,应把握以下要点:操作界面可以图形化为主,相关术语要符合用户的使用要求,尽可能做到简便;用户界面要一致,菜单的形式要相同或相似,并在各个层次和界面上提供详细的帮助功能。

2 国有资产监督管理系统关键功能模块的实现

2.1 权限管理模块的实现

该模块的主要作用是对用户、角色及权限这三者之间的关系进行处理,用户是整个系统的使用者,所有的系统用户都拥有账号和密码,这是用户的基本属性;角色则是按照用户的职位及其所负责的工作任务,对用户进行的具体分类;如普通用户、授权用户、系统管理员等;权限是系统的所有权限信息,可将之分为多种类型。不同的用户其自身的角色不同,据此授予其不同权限,便实现了权限管理的目的。

2.2 报表数据存储的实现

对报表数据采用了分割式的设计思路,该设计思路与系统数据库的设计思路相类似,通过VOReport、VODataInof、VODPIValue这三个对象来实现报表数据的存储。其中VOReport可以使用相关的属性对唯一的标识、报表类型、报表标题及表中的信息进行存储,同时还能对报表中对应的数据进行存储,这里所指的对应数据即VODataInof对象。VODataInof的存储与VOReport的存储较为相似,它可以借助相关属性对多个配对值进行存储,这里所指的配对值即VODPIValue对象。而VODPIValue对象则能够对表格中的信息进行保存,利用VOReport便可对数据表中的全部信息进行存储。从上述的存储过程上看,三个对象之间具有一定的逻辑关系,这给数据存储的实现提供了方便,不仅如此,VOReport中还包含了一些附加信息,所以在实现的过程中,可以按照模板文件对附加信息进行初始化赋值。

2.3 报表对象的实现

本系统中,报表对象的实现采用的是三层继承的方式,其经过抽象之后的基本类型是Report,财务报表FiReport,它是对Report的继承,具体的财务类报表则都继承FiReport。报表对象的处理方式为面向数据,并以数据的最终值作为对象进行数据传输。报表对象的数据操作可以通过DP PDate来实现,由于报表对象的构造函数接受唯一的标识属性,所以可借助PDate来操作报表中的数据,如添加、删除、修改等等。对于财务报表而言,与之相关的数据较多,大概在百余条左右,若是以遍历的方式进行查找,则需要对数据库进行多次访问,由此会导致系统的性能及效率下降,为使查找更加快速,且不影响系统运行,可以利用哈西表来实现。

3 结论

综上所述,国有资产的监督管理是一项较为复杂且系统的工作,在当前的新形势下,为进一步提升监管效率和水平,应当在工作过程中合理运用监管系统,通过监管系统的运用,除了能够使业务环节的工作流程得以简化之外,还能有效减少主观的不利因素,为管理决策提供更加及时、准确的依据。

参 考 文 献

[1] 曹学礼.大连市金州新区国有资产管理信息系统的设计与实现[D].电子科技大学,2015.

[2] 李俭.上海市普陀区国有型资产管理信息系统设计与实现[D].华东师范大学,2013.

[3] 李赫.国资监管系统门户及业务支撑系统设计与实现[D].北京工业大学,2013.

篇6

1.1网络隔离

工业控制系统的网络入侵是利用网络系统的漏洞进行病毒感染的过程。在核电站内,网络有1E级与非1E级之分。按照核电站设计规范,数据只能由1E级网络向非1E级网络单向传输[2]。网络的隔离可通过“硬设置”(如:在两级网络间设置网桥)或“软设置”(如:在1E级网络上设置防火墙或在任一方网络的标准化接口的读写方式上设置读写命令,或完全自主设计网络接口完成网络数据单向传输的问题)等方式来实现。按照业务职能和安全需求的不同,网络可划分为以下几个区域:满足办公终端业务需要的办公区域;满足在线业务需要DMZ区域;满足ICS管理与监控需要的管理区域;满足自动化作业需要的控制区域。通过设置各个网络段的隔离(如:工业防火墙)和进行按重要防护级别进行区域划分来达到信息安全“纵深防御”的基本要求。

1.2核安全分级

核设施的不同安全级别,决定了需要防护的等级的差异。因此,在进行核设施风险评估时,要对核设施的安全等级有全面的了解。根据核设施的重要程度确定风险评估的级别。据分析,核电站的典型事故主要包括以下方面:蒸汽发生器传热管破裂、给水管道破裂、蒸汽管道破裂、反应堆冷却剂泵停运、稳压器波纹管破裂等。根据事故产生后果的严重性,将核电厂内部设施的安全性分为四级:核安全1级~核安全4级。核安全1级设备指发生事故后产生后果最严重、对安全性要求最高的设备:核安全4级设备为一般性设备,发生故障后不会引起核事故的发生,因此也称非核级。反应堆压力容器、反应堆冷却剂泵、主冷却管道、稳压器等属于核安全l级,余热排除系统、蒸汽发生器二次侧等属于核安全2级。核安全1级、2级部件对核电站整体的安全性至关重要,是监测和维护的重点。

1.3电力SCADA系统

为了维持和控制庞大的广域系统,网络系统中起着重要的作用。电力行业的基本工具是能源管理系统(EMS)和SCADA系统。远程终端单元(RTU)是安装在本地发电厂或变电站,收集电力系统运行信息,并将它们发送到控制中心的微波和/或光纤的通讯网络,执行从控制中心发出的控制指令。这意味着,操作人员可以在控制中心监控并控制整个电力系统。EMS分析所收集的信息SCADA,并帮助更准确地掌握电力系统的操作状态。再加上自动发电控制(AGC),当地的电源电压,无功功率控制(VQC),SCADA系统构成的控制系统的电源系统。

2评估方法

2.1风险评估定义

进行风险评估是按照相关法规要求,在核电站建造的不同阶段,提交初步安全分析报告和最终安全分析报告,并在通过核安全审评后才能进行下阶段工作。数字化核电站的仪控设计必须考虑如何满足相关法规和标准要求。从安全审评的角度看待这些设计可以大大减少设计变更的可能性及由于设计上的安全问题而导致的工程延期。总体设计思想是在完成了资产识别、威胁识别、脆弱性识别,以及对已有安全措施确认后,将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性[3]。资产的属性是资产价值;威胁的属性是威胁出现的频率;脆弱性的属性是资产弱点的严重程度。风险分析主要内容为:对资产进行识别,并对资产的重要性进行赋值;对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值;对资产的脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值;根据威胁和脆弱性的识别结果判断安全事件发生的可能性;根据脆弱性的严重程度及安全事件所作用资产的重要性计算安全事件的损失;根据安全事件发生的可能性以及安全事件的损失,计算安全事件一旦发生对组织的影响,即风险值。考虑安全事件一旦发生其所作用的资产的重要性及脆弱性的严重程度判断安全事件造成的损失对组织的影响,即安全风险,以下面的范式形式化加以说明:风险值=R(A,T,V)=R(L(T,V),F(Ia,Va))。其中,R表示安全风险计算函数;A表示资产;T表示威胁;V表示脆弱性;Ia表示安全事件所作用的资产重要程度;Va表示脆弱性严重程度;L表示威胁利用资产的脆弱性导致安全事件发生的可能性;F表示安全事件发生后产生的损失。在描述框架对风险的优先次序和校准之前,重要的是要明白风险分析的基本概念(例如风险方程)。对发生的事件的可能性考虑到威胁可能实现的可能性,例如,对于网络病毒,则需要在网络上进行防病毒控制。如果采用类似的概率表达可能,则有:事件发生的可能性=威胁产生的可能性×脆弱性出现的可能性,风险有可能性和后果两个方面,其中后果由特定的威胁或漏洞,具体对组织的资产负面影响[4-6]。风险R(后果/单位时间)=事件概率P(事件/单位时间)×造成的后果C(后果/事件),见图1。

2.2评估过程

风险评估准备:确定评估范围、组织评估小组、评估目标、评估工具和评估方法。风险因素识别:资产识别、威胁识别、脆弱点识别。风险评估方法:问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。评估过程中涉及的可能性规模见表1。定性的风险评估的输出是一个资产或场景的列表,有一个整体的风险级别排列。表2的矩阵范例描述了总体风险级别是如何得出的。例如:赋给每个威胁可能性级上的概率为1.0时表示高,0.5表示中,0.1表示低;赋给每个影响级上的值为100时表示高,50表示中,10表示低。在定义评估范围时,要对控制系统边界和机构责任进行分析,可以通过一组进程、通信、存储、资源等来确定。在控制系统的边界范围内的每个要素必须满足:处于相同的直接管理控制下;具有相同的功能或使命目标;有相同的直接管理控制;有相同的功能或使命;有本质上相同的运行特性和安全需求;位于相同的通用运行环境中。见图2。

2.3安全级别生命周期

相关图示见图3。3概率安全评价方法的结合PSA对分析系统的风险采用系统的、定量的描述,并对系统的风险避免提出改进的方法。这种评估方法的价值取决于分析者对所分析系统的了解、掌握的数据是否全面及可靠的程度。与PSA方法相对的另一种方法是确定论的方法,通过考虑出现典型事故时(基准事件),应采取预防或缓解措施。随着PSA方法的发展和计算机在PSA方法中的应用,确定论方法越来越显示出局限性,主要表现在:严重的初始事件并不一定导致严重的后果;相反看起来并不严重的初始事件却可以导致严重的后果;只考虑安全系统的单一故障,不考虑系统的完全失效;没有定量的描述。目前,美国在PSA的应用领域处于领先地位。美国核管会新的核电厂监督检查大纲的一个重要建立基础就是PSA的应用。同时,PSA也广泛应用于NRC的法规制定、修改及对电厂所提与许可证条件相关的变更申请的审批。美国近几年来有多座核电厂提升了功率,正是PSA应用所取得的一个重要成果。虽然PSA在核电领域已经广泛应用,但在核电信息安全领域,PSA方法还没有得到应用。目前,信息安全领域相关的标准如ISA99和IEC62443等提出了信息安全评估方法。当设计一个新的系统或检查一个现有系统的安全性,通过将系统划分成区域,定义区域的连接管道,确定其保护等级。如何实现这一步在IEC62443-3-2中有详细描述。一旦一个系统的区域模型建立,每个区域和管道分派给一个目标SAL,基于事件的后果分析,描述所希望实现的安全性保障。我们的研究目标之一是将PSA的成熟分析技术应用于核电领域的信息安全。这将进一步加强系统的风险评估的精度[7]。

3结束语

篇7

建立数据分类分级保护制度

张韬(北京华讯律师事务所主任)

2014年3月携程网发生数据泄露事件,部分用户身份及银行卡信息被泄露;同年12月,中国铁路客户订票系统数据库遭到黑客攻击,超过13万条用户数据信息被泄露。手机APP软件广泛应用之前,近年来数据盗窃案件已经在互联网企业时有发生。这反映出数据信息领域的违法犯罪活动危害大、影响面广、涉及人数众多,而且往往会给用户造成永久且不可逆的损害。数据信息泄露还可能给当事人造成二次伤害,比如有不法人员利用获取的信息进行诈骗活动。

在平衡促进发展和保障权益时,对于数据信息应当遵循先保护、再合理利用及共享的发展原则。区分可交易的商业数据和商业秘密之间的界限,划分个人一般信息和个人隐私信息的边界,之后进行分类、分级保护,这样的分级尤为重要。

我认为,商业数据信息、个人信息如果去身份化后,可以在限定的条件下交换、使用和共享,并不是对所有的商业数据信息和个人信息都要“一刀切”式的禁止分享,而是要根据相关数据信息的属性(包括商业属性和人身属性等)、类别、对权利人造成的影响等多方面对其归类,再根据具体的类别给予相应保护。

商业秘密和个人隐私是必须被保护的级别。商业秘密指不为公众所知悉、具有商业价值并能为权利人带来经济利益、经过了权利人采取相应保密措施的技术信息和经营信息。个人隐私包括自然人的基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等。

要看取得数据的方式合法与否

龙卫球(北京航空航天大学法学院院长)

数据公开是数据时代的一个重要制度,旨在通过促进数据向社会或公众开放达到更加便利、更加公平利用和开发数据的效果。但是,数据公开只能在一定的范围实施:首先,只适用于公共性数据,这是指具有公共利益相关性的数据,与私人包括个人、企业、特定机构自身利益相关的私密性数据,不属于公开范围。其次,只适用于公共主体,比如政府部门或者其他承担公共事业的部门,其负有数据公开的义务,此项义务与政务公开、信息公开理论基础相近。所以非公共部门,包括企业自己产生或收集的数据,通常不属于数据公开的范围。再次,数据公开还存在与其他原则的冲突权衡问题,数据公开必须让位于数据安全、数据公平等,比如当数据公开与数据安全存在矛盾时,则不得公开。

APP商业数据,只有属于公共部门产生、收集的情况下,才具有公开的义务。“酷米客”的数据信息具有商业价值,但只有该企业处于公共主体或者受公共主体委托的地位,才负有分享或公开数据的义务。

数据资产是数据时代企业的重要资源性财产。一个企业只有在得到数据资产保护的情况下,才有动力和保障去积极开发数据资源,通过数据手段去改进生产、经营和服务,最终造福于市场和消费者。

我国既有法律体系在数据资产保护方面总体上存在极大的滞后性。应当与时俱进,加快立法速度,制定一部完善的数据基本法,就数据主体、数据治理、数据活动、数据关系、数据资产、数据安全、数据责任这些基本问题加以合理规范,确立有关依据和行为边界。

遭遇数据被盗,有4种维权方式

肖飒(北京大成律师事务所合伙人)

刑法第285条规定了非法获取计算机信息系统数据罪。

“酷米客”与“车来了”这类APP公司发生数据盗窃案件之前,事实上物流快递公司已经有大量非法获取计算机系统数据罪的案件。如2013年7月至2014年1月期间,周某通过网络购买圆通系统账号,非法进入圆通金刚系统并利用cookie劫持的方式绕过金刚系统权限认证,编写代码置于其控制的网站中,从圆通公司系统内部盗取快递单信息出售并非法获取25万元。后周某以非法获取计算机信息系统数据罪被判处有期徒刑3年3个月。

在信息网络时代,盗取数字资产在证据认定和保存上我认为其实根本没有难度――只要使用计算机信息系统,就会留下痕迹;即使数据被删除,司法人员一般也可通过技术手段对数据予以恢复。当然,案件在侦查过程中可能因为网络犯罪案件跨区域广(许多案件是跨国作案)、作案人多、受害人多而导致搜集和认定证据产生一定困难。

遭遇商业数据被盗取,一般有4种维权方式,刑事报案(效率高,花费少)、民事追偿(可控,但花费大)、谈判(如非诉讼纠纷解决机制)、行政诉讼(解决政府不作为,立案难度大)。实践中,权利人往往通过民事诉讼程序维护自己的合法权益,通过刑事诉讼程序维权的案例并不多见。

民事渠道与刑事渠道的难度和结果应该统一起来看。例如,犯罪嫌疑人以非法获取计算机信息系统数据罪被审理时,被害人也可以同时提起刑事附带民事诉讼。

从多方向入手来保护数据资产

杨超(西安电子科技大学网络与信息安全学院副教授)

盗取数据犯罪的危害和风险极大:泄露用户隐私信息、侵害用户名誉;侵害用户利益,如盗取用户金融账户信息,执行非法转账等行为;利用用户隐私信息给用户发送垃圾信息或非法广告,利用社会工程获取用户社会关系等更详细的用户隐私,为抢劫、勒索等恶性犯罪提供信息;利用盗取的商业数据,分析对手的商业秘密、恶意抢夺用户资源,造成不平等竞争,等等。

企业信息系统存在各种各样的漏洞,常见的有商业数据未加密存储、数据加密密钥信息熵值太低、数据加密密钥明文存储或密钥文件访问控制设置不当、数据加密参数设置不当,任何导致系统权限非法使用的系统漏洞等均可能造成数据信息的泄露。

篇8

一、公允价值计量的涵义

“公允价值”这一概念源于法律,是指得到公众认可的价值。为此,公允价值具有很大的主观性,取决于行为人的主观判断。新准则明确规定“在公允价值计量下,资产和负债按照在公平交易中,熟悉情况的交易双方自愿进行资产交换或者债务清偿的金额计量”。依此理解,如认为采用历史成本原则作为计量属性比较公允,则公允价值就是历史成本;如认为采用市场价值能够反映资产真实价值,则市场价值就是公允价值。所以,公允价值并不是一

种确切的计量模式,它只是人们对资产真实价值的一种近似估计。

二、公允价值计量的运用

(一)公允价值的谨慎改进。新准则确定公允价值的应用范围时,充分考虑到我国国情,做了审慎的改进。这是因为我国的市场价格等交易信息系统还不完善,难以为会计信息的鉴证提供可靠证据。公允价值要求的市场交易价格抑或预期未来净现金流量的现值都需要主观判断,从而必然会不同程度地受到企业管理层和会计人员主观意志的影响。因此,在现实会计环境下,对公允价值计量基础持谨慎态度是最优选择。

(二)公允价值的限制条件。第一,公允价值的非主导性。新准则规定:“企业在对会计要素进行计量时,一般应采用历史成本”。这说明我国是在坚持以历史成本计量为基础的前提下,引入公允价值的。几乎所有运用公允价值计量属性的具体准则都规定要以成本进行计量,在满足一定条件时才可以公允价值进行计量。第二,公允价值运用条件较为苛刻。如《企业会计准则第3号――投资性房地产》规定:企业应在资产负债表中运用成本模式对投资性房地产进行后续计量,但如果有确凿证据表明其公允价值能够持续可靠地取得,应当运用公允价值计量属性。同时规定运用公允价值计量应同时满足两个条件:一是必须有活跃的房地产交易市场;二是企业能够从房地产交易市场上取得同类或类似房地产的市场价格及其他相关信息。

三、公允价值计量的困惑

(一)公允价值计量的理论困惑。相关性和可靠性是对会计计量的基本要求,同时满足这两方面要求使公允价值在会计实务运用中困难重重。一方面相关性要求会计计量尽可能将所有影响企业现实未来收益的因素完全涵盖,会计计量范围不断扩大要求会计人员主观估计与判断力求准确;另一方面可靠性要求会计计量过程中与个体差异相联系的主观估计与判断尽可能减少,以使会计信息具备真实性和中立性的特征。因此,相关性加强势必导致可靠性削弱,反之亦然。因此,公允价值计量成为相关性与可靠性之间“不可调和的产物”。此外,以单项资产为计量对象所得到的公允价值并不能代表会计主体整体公允价值,但若以会计主体整体作为计量对象,其理论依据及实务操作都存在难题。

(二)公允价值计量的现实困惑。在实际应用中,会计信息质量的可靠性难以保证。相对于具有客观性、确定性和可验证性的以实际交易为基础的历史成本计量,公允价值计量虽然在财务报表中能提供更为相关的信息,但因其具有不确定性、变动性和集合性,因此难以满足会计信息可靠性的质量要求。面对金融工具,现值计量常常就是估计其公允价值的最好技术。但因为未来现金流量的金额、时点和货币时间价值等都是不确定的,在计量的操作上往往面临更大的困难。另外,公允价值计量可能增加财务报表项目的波动性。在公允价值计量模式下,经济环境和风险状况的变化以及企业自身信用的变化,会引起财务报表项目的波动。但反映外部环境等变化所引起的损益变动,并不能提供非常相关的信息,甚至可能误导财务报表使用者。

四、公允价值计量的改进

(一)确保评估机构和人员的相对独立性。公允价值若能由企业外部的独立资产评估机构来提供,其独立性和公正性显然是最好的,但这种方式成本过高,实际中无法实施。因此,只能由企业内部专设资产评估委员会,并直接隶属于公司董事会或股东大会,以使公司管理层或财务负责人无法干预资产定价。其主要职责是定期对企业的资产、负债进行估价,以获取各资产负债项目的公允价值。计量结果应经过独立计量数据的相互验证,即要求公允价值获取至少要有两个或两个以上的人对同一计量对象进行独立估价,其结果应相同或相近。

(二)明确信息获取方法的使用范围、适用条件及操作程序。对一些自用而不外销的项目,应根据买方市场价格或投入价值基础确定公允价值;对一些准备随时可能变现的项目,应根据卖方市场价格或产出价值基础确定公允价值。笔者以为,若采用收益法,应规定选择市场参与者普遍认同,且被以往市场实际交易价格验证具有可靠性的估价技术,尽可能考虑所有市场参数,包括无风险利率、商品价格、提前偿还风险、服务成本等,尽可能不用与企业特定相关的参数。

(三)依据可靠性选择备选方法顺序。如,对产成品的计价顺序可确定为:先现行购价,后可收回净值,再历史成本替代。对长期债券投资的估价顺序可确定为:先现行市价(或可回收净值),后现值,再历史成本替代。这一选择顺序应具有一定的灵活性,如,存在活跃市场上的公开标价时,应选择现行市价法作为首选估价方法;当某项资产所带来的现金流量及相应的折现率已在合同中约定时,可选择现值法作为首选估价方法。

(四)建立评估模型强调信息披露。建立评估模型及相关信息系统的更改控制和安全性程序,防止系统遭到破坏;保证评估模型中使用数据的一致性、及时性和可靠性。同时,为确保公允价值的可靠性,除将公允价值获取的方法、程序及使用规范通过准则、制度固定下来以外,还应强调在会计报表附注的充分披露。以公允价值运用为代表的新会计理论使会计确认和计量更人性化,这也使重大错报风险加重。因此,会计结果越来越主观就必须有充分的披露保持主观判断不被滥用。

篇9

[关键词] 公允价值 经济环境 谨慎性 披露

2007年1月,全面修订的新企业会计准则开始实施了,在这场会计准则的历史性变革中,对计量属性作出重大调整,全面引入公允价值计量属性。公允价值计量属性不仅明确写入了对具体准则具有指导作用的基本准则,而且也广泛运用于各具体准则中。目前我国已的38个具体会计准则中涉及会计要素计量的有30个。其中,有17个准则不同程度地运用了公允价值计量属性。因此,公允价值的应用、计量成为理论界倍受关注的焦点。

一、新会计准则中运用公允价值的意义

会计计量是会计信息系统的核心环节。国际会计准则将公允价值定义为:“在公平交易中,熟悉情况的当事人自愿据以进行资产交换或债务清偿的金额”。我国新会计准则认为:公允价值计量模式,是指以市场价值或未来现金流量的现值作为资产和负债主要计量属性的会计模式。此模式下非货币性资产公允价值的确定原则是:如果该资产存在活跃市场,则该资产的市价即为其公允价值;如果该资产不存在活跃市场,但与该资产类似的资产存在活跃市场,则该资产的公允价值应比照相关类似资产的市价确定;如果该资产和与该资产类似的资产均不存在活跃市场,则该资产的公允价值可按其所能产生的未来现金流量以适当的折现率贴现计算的现值评估确定。

公允价值计量强调的是资产、负债的客观计量和真实反映。而资产和负债的真实价值,正是投资者、债权人和社会公众所关心的,是他们做出决策的主要依据。因此相对于历史成本信息,公允价值信息更多地反映了市场对企业资产或整体价值的评价,更具有相关性。在国际会计上公允价值的运用势不可挡。近几年,国际权威机构在制定会计准则时,纷纷将公允价值作为重要甚至是首选的计量属性加以运用。在我国新颁布的企业会计准则中,明确将公允价值作为会计计量属性之一,说明我国在会计目标问题上以报告受托责任履行情况为己任的受托责任观,开始让位于为会计信息使用者决策服务的决策有用观,是我国会计准则在国际趋同中迈出的实质性步伐,对充分发挥会计准则在资本市场中基础作用具有深远意义。

二、制约公允价值在会计实务中运用的因素

公允价值作为一种理想的计价基准,其在理论上的可行性是勿庸置疑的,公允价值的应用是大势所趋,人心所向,但在我国当前市场经济尚未完全形成,有效市场尚不具备的情况下,在现实运用中却阻力重重,制约其在会计实务中运用的主要因素如下:

1.经济环境制约公允价值的应用

我国正处在从传统的计划经济体制向市场经济体制过度的阶段,市场经济发展尚不完善,计划经济的影响与市场经济的发展并存。证券市场经过十几年的发展,虽然在强化公司治理,提高运作透明度,清理违规行为等方面有了很大进步,但完善的监督机制尚未建立起来。我国的交易市场还不够规范,某些领域目前仍缺乏较为规范的公开、活跃的市场。另外,我国仍存在大量国有大型企业集团,其人事权、财权等与政府还有着千丝万缕的关系,它们从事的一些交易不是建立在公平竞争的基础之上,由此所反映的会计信息很难说是公允的。因此,适宜于公允价值应用的土壤和环境尚不完善,造成公允价值计量方式在实践中运用十分困难。

2.会计人员素质影响准则实施

会计准则毕竟只是一个生产会计信息的技术规范,它解决的是“该如何办”的问题。会计人员的素质对会计准则的正确实施影响很大,它在一定程度上制约着会计信息质量的提高和会计准则中会计方法的运用。目前,我国会计人员的整体素质不高,会计职业判断能力与西方发达国家相比较差,因而在制定会计准则时,应尽量减少职业判断的余地和要求。一直以来,我国采用会计制度这种形式规范会计实务,会计人员熟悉的是记录和报告这两个过程,而对于存在着大量职业判断的确认和计量这两个环节却很生疏。公允价值若要成为一种现实的可操作的计量属性,必须解决不同市场情形下市价如何运作,以及在缺乏公平市价的情形之下,会计人员如何通过现存计量属性和恰当的计量估价技术的选择来实现替代的问题。显然,我国会计人员的整体水平还难以满足上述要求。此外,注册会计师队伍更是难以满足现代市场经济的需要,会计师职业道德也无法与发达国家相提并论。

3.应用公允价值缺乏应有的技术手段

按新准则要求,如无市价或市价不可靠时,会计人员还需利用各种估价技术,参考本质上具有相同条件和特征的另一项资产交易的现行市价、折现率等交易条件来确定一个合理的公允价值。如对资产未来产生的现金流量进行预测,再进行折现分析。要及时准确地确定公允价值,在传统的手工会计情况下是相当困难的,而我国会计电算化的普及仍然不广,并且大都是使用最基本的会计核算软件,各种会计分析、管理软件应用还很少见。特别是由于国家整个市场网络还没有完全形成,企业与市场的信息无法实现实时在线的联系,仍靠手工处理,这显然不利于会计人员对市场价格和具有相同本质的其他资产市价的及时收集。在这种情况下,企业应用公允价值缺乏应有的技术手段,当然也不现实。

三、合理运用公允价值计量属性的对策思考

1.正确理解新准则对公允价值计量属性的规定,谨慎运用

公允价值在新会计准则中遵循了谨慎性原则,主要体现在以下两方面。第一,公允价值处于从属地位。公允价值计量属性与历史成本计量属性相比,处于从属、非主导性地位,这一点在基本准则和具体准则中都可以看出。基本准则规定:“企业对会计要素进行计量时,一般应当采用历史成本,采用公允价值计量的,应当保证所确定的会计要素金额能够取得并可靠计量。”这说明在历史成本和公允价值并存的计量格局中,历史成本仍处于主导地位。在运用公允价值计量的具体会计准则中,也无一例外地规定了在历史成本与公允价值计量可供选择时,优先选择历史成本计量;当历史成本无法计量时,才考虑公允价值计量。第二,公允价值运用条件较为苛刻。我国新会计准则对公允价值在什么情况下可以用,设定了较为苛刻的限制条件。比如在《企业会计准则第3号―投资性房地产》中就明确规定:投资性房地产所在地有活跃的房地产交易市场,企业能够从房地产交易市场上取得同类或类似房地产的市场价格及其他相关信息,能对公允价值做出合理的估计,才可以运用公允价值计量。在其他具体会计准则运用公允价值时,像这样严格的规定随处都是。由此可见,我国新会计准则对公允价值的运用采取了非常谨慎的态度,只有满足公允价值适用条件的企业或事项才允许运用。因此,应当积极地、谨慎地引导企业正确使用公允价值。

2.完善公司治理结构,培育市场环境

技术层面问题的解决只为公允价值的运用提供可能性,公允价值运用中的真正公允必须解决人为操纵问题。运用公允价值计量的先天不足主要在于我国目前公司治理结构方面的缺陷。公司治理简单地说是处理公司内部人与外部人之间的利益冲突。我国的上市公司国有股一股独大、所有者缺位导致上市公司“内部人控制”程度相当高,他们为了实现自身的利益,进行上市公司与其大股东之间不正常的关联方交易。公允价值成了关联方之间达成的随意价格。在上市公司粉饰经营业绩报告、伪造盈利的行为中,公允价值则成了一个法宝。这些行为极大地扰乱了资本市场的秩序, 降低了资本使用效率。因此,关键的措施是培育市场环境,尽量完善我国公司的治理结构。让更多的投资者参与到资本市场,实现产权多元化以弱化内部人控制程度。只有这样,才是公允价值能在我国合理运用的根本保证。

培育市场环境,还应建立信息共享平台,提高公允价值的透明度,降低取得成本。市场经济成熟的国家都有一个成熟的信息系统,有相应的机构每个月相关信息,有很多公允市价和相应的行业参考价格、模型、指数和参数,公允价值较容易取得。而在中国市场价格不成熟,其信息数据并没有在一个公开的网络或者相应全国性行业价格平台披露,也就是说价格体系不完善,无法给公允价值一个统一的标准或者评价。因此,要使采用公允价值计量属性过程中透明度高,获得的计量成本尽量降低,不仅需要不断加强公允价值计量的理论研究和提高其实际的技术操作水平,同时要建立信息共享平台,使各种资产或负债的市场价格能够很容易取得。

3.提高会计人员素质和企业会计信息化水平

公允价值要求一个活跃、流动、健全的市场提供公平交易价格,如果缺乏这一市场就需要通过评估或判断未来现金流量的折现值等方式来获取公允价值。公允价值的核心,也是公允价值运用的难点是现值技术,从公允价值的内涵可知,在存在公平交易市场交换的前提下市价是公允价值的首选,交换价格即为公允价值。但我国市场化程度尚不高,有的资产和负债项目并不存在活跃的交易市场,这时就需要估计其现金流量以确定其账面价值,即利用现值法来估计资产或负债的公允价值。无论是贴现率的选择还是对未来现金流量的估计,均离不开对未来事项和不确定性的主观判断。因此应加强业务培训,帮助会计人员熟悉和掌握新的会计处理方法和程序,熟悉理财学方面的知识,提高其对交易和事项的确认、计量、报告做出复杂判断处理的能力,经过综合分析、判断,才能熟练地操作,减少会计信息的行为性失真和对公允价值判断的偏差。

同时,要及时准确地确定公允价值,还需要进行大量复杂的计算,应加强信息技术在计量过程中的作用,提高企业会计信息化水平,建立估值模型及相关信息系统的更改控制和安全性程序,防止系统遭到破坏;加强估值模型中使用数据的一致性、及时性和可靠性的控制。为此,会计人员还应具备计算机方面的技能,以摆脱复杂的计算,减少人工计算的失误,提高精度。客观地讲,目前我国会计人员的素质离这一要求尚有差距。因此,只有不断提高会计人员素质和会计信息化水平,才能保证公允价值的运用。

4.规范公允价值信息的披露,建立公允价值审计机制

随着公允价值在会计领域和其他领域的广泛运用,准则应出台实施细则,规范在会计报告中增加对公允价值的信息披露,这也给注册会计师行业提出了新课题,加大了审计风险。因此要求审计人员不断加强自身业务学习,提高职业判断能力和专业水平,充分考虑到可能影响公允价值计量的因素,对公允价值计量过程进行科学测试。

同时证监会和中注协对会计师事务所和注册会计师的审查应形成制度,采取有效措施控制和提高证券市场民间审计质量。目前,鉴于我国上市公司的产权设置和治理机制存在缺陷,大股东和内部人控制现象严重且短期内难以纠正,可考虑由中国证监会采取招标的方式代为聘任会计师事务所,对上市公司报表实施审计,上市公司在每一会计年度向证监会交纳审计费,然后由证监会与事务所结算费用。也可以借鉴海外注册会计师行业的管理经验,尽快出台注册会计师惩戒规则,建立注册会计师惩戒制度,当注册会计师出具失实的审计意见时,应对其造成的经济后果承担法律责任,只有这样才能确保以公允价值计量为基础的企业会计信息的质量。

资产采用公允价值计价是国际会计准则、美国等市场经济发达国家的普遍做法,它能有效地增强会计信息的相关性。随着我国经济环境的改善,会计人员素质和企业会计信息化水平的不断提高,公允价值的合理使用必定会进一步提高和改善我国会计信息质量,为投资者、债权人等众多利益相关者提供有助于决策的信息。

参考文献:

篇10

自20世纪80年代以来,随着信息技术迅速渗透到社会经济的各个领域,尤其是Internet/Intranet技术和电子商务(Ecommerce)的广泛应用,推动着人类社会从工业经济时代向网络经济时代和信息化社会的方向前进。在这个动态演进的过程中,经济发展越来越需要信息的支持,信息已成为经济发展的战略资源和社会管理的基本要素。

企业的信息化建设对于企业发展具有重要的战略意义。对信息的采集、共享、利用和传播成为决定企业竞争力的关键因素。只有实现信息化,企业才可能实现企业生产经营活动的运营自动化、管理网络化、决策智能化,从而理顺和提高企业的管理水平,提高设计效率,降低企业的库存,节约占用资金,降低生产成本,改善职工的工作环境,缩短企业的服务时间和提高企业的客户满意度,并可及时地获取客户需求,实现按订单生产。

但是,信息化也使企业同时承受着巨大的信息安全的风险。据统计,全球平均20秒就发生一次计算机病毒入侵;互联网上的防火墙大约25%被攻破;窃取商业信息的事件平均以每月260%的速度增加;约70%的网络主管报告了因机密信息泄露而受损失。我国公安机关2002年共受理各类信息网络违法犯罪案件6633起,与上年相比增长45.9%,其中利用计算机实施的违法犯罪5301起,占案件总数的79.9%.而病毒的泛滥,更让国内众多企业蒙受了巨额经济损失。加强信息安全建设,已成了目前国内外企业迫在眉睫的大事。

二、信息安全和信息安全管理

根据国际标准化组织(ISO)的定义,信息安全是“在技术上和管理上为数据处理系统建立的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露”。信息安全是一个动态的复杂过程,它贯穿于信息资产和信息系统的整个生命周期。

信息安全的威胁来自于内部破坏、外部攻击、内外勾结进行的破坏以及自然危害。必须按照风险管理的思想,对可能的威胁、脆弱性和需要保护的信息资源进行分析,依据风险评估的结果为信息系统选择适当的安全措施,妥善应对可能发生的风险。信息安全的目标就是要保证敏感数据的机密性(Confidentiality)、完整性(Integrity)和可用性(Availability)[1].为了达到这个目的,人们建立起信息安全管理体系(InformationSecurityManagementSystems)。它是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的系统,表示成方针、原则、目标、方法、过程、核查表(Checklists)等要素的集合。

在信息安全管理体系中,通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等建立起信息安全管理框架。在该体系中,人们在技术层面作了许多卓越而富有成效的工作来保障企业信息安全,如密码学和访问控制等。但仅仅依靠技术手段不可能彻底解决信息安全问题。这是因为,信息以及信息用户的社会属性决定了信息安全中存在非技术因素,而从属于非技术因素的问题,无法依靠单纯的技术手段加以解决[2].非技术手段主要包括法律手段、经济手段和行政手段等,在市场经济环境中,企业应首选法律和经济手段来保护信息安全。

三、法务会计师在企业信息安全管理中的作用

信息及信息用户的社会属性使得法务会计师为企业提供专业服务成为必要,而法务会计师独特的知识结构和专业经验使得其在企业信息安全管理发挥其独特作用提供了可能。根据信息安全风险的成因,法务会计师可以因地制宜地制定相关对策。当前威胁企业信息安全的主要成因是:

1.技术风险。主要包括信息电磁化风险和系统及软件风险。在网络环境下,企业的各种票证和帐单等以人眼无法直接辨别的电磁信息的形式在网上传递并存储于磁性介质中,在传递及存储过程中均有被攻击者篡改或截获的可能。

2.人员风险。由于企业中负责具体业务的人员并不一定熟悉计算机操作,因此在系统使用过程中极有可能出现由于人员操作不当而造成的意外损失。而由于系统管理涉及企业重要机密,操作人员是否会利用职权之便对信息进行破坏或剽窃也是企业管理者应该关注的重要问题。

3.法律风险。网络的出现和广泛应用对传统社会产生了强烈的冲击,旧有的法律法规体系已不能完全适应、指导和规范网络安全的实践。网络本身的虚拟性、实时性、广泛性要求更加切实可行,更加完备的标准准则和法律法规的出现。

现阶段,面对信息安全的威胁,企业缺乏有力的系统性的对应措施和策略,基本处于“头痛医头、脚痛医脚”的状态,解决方案手段单一,缺乏多种手段的共同治理。很多组织已经越来越意识到要真正达到信息安全的目标仅仅通过信息安全技术和产品是不可能实现的,结合法律、制度等社会性手段的信息安全管理体系(ISMS)的搭建才能实现信息系统的整体安全保障。因为,很多企业信息资产安全管理方面除了存在信息安全技术薄弱方面的原因外,还存在如下一些问题如,信息安全管理制度过于简单,内容不全;交叉重复,混乱无章;求大求全,无针对性;锁在柜中,无人问津;以及制度执行中的人为破坏等等。

建立包含技术和法律等手段的多层面的信息安全管理体系可以强化员工的信息安全意识,规范组织的信息安全行为,对组织的关键信息资产进行全面系统的保护,维持竞争优势;在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度;使组织的商业伙伴和客户对组织充满信心,提高组织的知名度与信任度。因为信息安全事关企业信息资产和业务安全,需要通过法制渠道满足企业在电子商务和管理环境中维护竞争优势的需要,法务会计师可以充分利用其在法律和会计信息管理方面的优势,为企业建立有效的信息资产保护计划提供有价值的服务,并依法追究相关组织和人员的责任。