信息科技风险管理策略范文

时间:2024-03-28 16:38:38

导语:如何才能写好一篇信息科技风险管理策略,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

信息科技风险管理策略

篇1

关键词:科技项目 风险管理 风险特点 风险评估

一、引言

新形势下的科技项目对进一步促进科技的发展和自主创新的升级有着不可估量的作用,对推动技术转移和科技成果产业化也是有积极的意义的。

在科技项目管理中,由于科技项目几乎都是涉及科技的前沿领域,有很强的探索性,一些大型复杂科技项目大多是多学科、跨行业的联合攻关,具有风险大、周期长、投入多、涉及面广等特点,与一般项目相比,科技项目在不确定性、风险性方面表现的更加突出,从而使科技项目的管理、控制变得更加复杂,存在较大的风险。在科技项目的整个生命周期过程中不断控制风险,从而达到减少或规避风险的目的。

二、项目风险管理的内容

项目风险管理属于软科学研究的范畴,是一门跨越自然科学和社会科学的系统化管理科学。它是一项根据项目环境和设定的目标,以一定的技术手段对可能影响项目的不确定性进行预测、识别、分析评估和有效管理,以增加规避风险的概率,降低风险影响的动态的综合性管理活动。

对于项目风险管理的过程,国内外至今还没有形成一个公认的、标准的意见。本文所涉及的项目风险管理过程主要包括项目风险识别、项目风险评估、项目风险应对、项目风险监控,下面将对这几个阶段进行详细论述。

1.项目风险识别

项目风险识别是风险管理的基础和重要组成部分,其主要任务是通过一定的方法、手段,尽可能找出各种潜在影响项目成功的不确定因素、风险来源、风险影响及其作用关系,并记录项目风险特征。信息收集方法如德尔菲法、头脑风暴法、访谈法等,以及提取风险信息的其他方法如风险核对表法、因果图法、情景分析法和风险倒推法等,通常在具体应用过程中,需要结合多种方法和工具来提高风险识别结果的可靠性。

2.项目风险评估

项目风险评估是风险识别与决策之间联系的纽带,是风险管理决策的基础,也是风险管理的关键过程。排列项目风险的优先次序,然后对排序在前的重大风险进行量化分析,以综合评估项目风险的整体水平。

风险评估的方法一般可分为定性方法和定量方法两大类,其中定性方法主要包括专家调查法、层次分析法等,定量方法主要包括敏感性分析、决策树分析、模糊数学法等,在具体应用过程中,常常将定量方法和定性方法结合使用以确保评估结果的准确性。

3.项目风险应对

项目风险应对就是针对风险识别和评估的结果,为增加项目目标实现机会、减少失败损失而制定风险应对措施、应对战略和技术手段的过程,从而提高项目目标实现的可能性。风险应对策略可分为两类:一类是消极风险应对策略包括风险回避、风险转嫁、风险降低和风险接受等四种,另一类是积极风险应对策略包括风险利用、风险承担和风险促进等三种。

4.项目风险监控

任何项目风险都有一个发生、发展过程,这就要求对项目管理全过程实施监控,项目风险监控是建立在项目风险的阶段性、渐进性和可控性基础上的一种项目管理工作。

风险监控目前还没有一套公认的、单独的技术可供使用,不过在实践中也形成了一些比较实用的监控方法和工具,如定期项目风险报告,风险趋势分析(挣值分析法),绩效测量等。在具体应用过程中,需要结合这些方法识别分析新风险,审查风险应对策略的实施及其执行效果,从而实现真正意义上的风险管理。

三、科技项目风险特点

科技项目是指为探索自然界事物变化规律,或为解决一个比较复杂的综合性科学技术问题而确定的一次性探索研究与试验发展工作。科技项目是项目的一种类型,它满足和具备项目的一般特点,但它与其他类型的项目相比还具有特殊性,其区别主要体现在两方面:一是创新性,二是不确定性和高风险性。其外部环境的变化、项目的难度和复杂度以及科技人员和项目管理者能力的有限性都有可能导致科技项目出现风险,且这种风险是客观存在的,贯穿于科技项目的各个阶段。

科技项目中的风险因素一般可以归纳为两大类:管理风险和技术风险。

科技项目的管理风险主要是指在科技项目实施过程中,由于风险管理能力及管理活动中存在的不确定因素的影响而导致的风险。因此,控制科技项目管理风险的重要策略是加大信息量的搜集,以进行有效的决策。

科技项目的技术风险是指科技项目中的技术及技术内涵和外延中客观存在的可能影响项目技术实现或技术实施,而给项目带来危害的若干因素。由于科技项目风险具有上述特点,因此制定科学有效的风险管理策略,并根据科技项目的特性采用适合的风险管理技术方法在项目的生命周期中不断控制风险就显得非常重要。通过识别科技管理中的各种风险因素,分析、评价各种风险及其影响程度,从而实施相应的措施手段,从预防和减轻的角度去管理风险,这样就能够从源头降低科技项目的风险,从而更好地为科技项目管理服务,有效提高科技项目管理的工作效率,以确保科技项目目标的有效实现。

四、项目风险管理在科技项目管理全过程中的应用

现代项目管理中项目的全过程包括项目启动、项目规划、项目实施、项目监控和项目收尾,而科技项目的全生命周期一般则表现为项目的申报、立项、项目启动、实施到项目验收结束。项目立项、项目实施和项目验收阶段,每个阶段包括不同的管理内容,具体如图1所示。

1.科技项目立项阶段的风险管理

科技项目的立项管理是项目管理的关键,主要包括三个方面内容,即组织和评审项目建议书,进行项目可行性论证和签订项目合同。而风险定性分析主要任务是通过对各风险因素的判断比较,排列出它们对项目目标的影响程度的顺序,以使科技项目管理人员能有重点地加强对未来项目执行过程中风险因素的管理,保证项目各项计划顺利制定与执行。

在项目立项阶段实施有效的风险管理还是比较有用的,风险管理的早期介入可以推进项目管理过程的连续性与系统性,为项目计划中更多的项目改进留有余地,促进主动采取风险应对措施的活动,以探讨成功实现项目目标的全新方式。

2.科技项目实施阶段的风险管理

科技项目的实施管理是保证项目质量的重要环节,这一阶段的工作内容主要包括制订科技项目计划、对科技项目进行跟踪管理、对项目的实施过程实行进展评估。实施阶段的风险管理活动主要是风险识别和风险评估,通过以上活动进一步确认风险发生概率与后果,尽量减少或降低风险发生可能性及其影响程度,在这一阶段应制订风险管理过程的战术计划,确定风险分析的目标,并向整个项目组织提供有用的信息,提高整个团队的风险意识和风险控制能力。

3.科技项目验收阶段的风险管理

科技项目验收管理包括检查项目合同考核指标的达标情况、评估项目的组织与管理、确认和评价项目成果。这一阶段的风险管理活动主要包括以下三个内容:

(1)对项目交付目标的风险管理,通过风险管理为已经出现的项目目标偏差如时间、费用等,找到最接近或可能超过的目标。

(2)对科技管理全过程风险管理的审查,通过对管理过程的审查,一方面处理项目过程中的风险承担责任问题,另一方面建立风险数据资料库,为未来项目的风险管理提供参考。

(3)对项目完成后可能出现的风险制定风险管理计划,以便项目能持续、可靠地实现其最终目标。

五、结语

科技项目是一种探索性和创新性极强的活动,这就使得其管理过程存在很多的不确定因素,具有很大的风险性,给科技管理工作带来了极大的挑战。从而极大地提高科技项目的成功率以及项目管理的整体效益,使科技管理水平迈上一个新台阶,并为今后的科技项目风险管理研究提供一些参考。

参考文献:

[1]张欣莉.项目风险管理[M].北京:机械工业出版社,2008.13,16-18.

[2]陈省平,李子和,刘涛.科技项目管理[M].广州:中山大学出版社,2007.4.

篇2

【关键词】商业银行;信息系统;研发风险;组织体系

根据Gartner统计,互联网75%攻击行为已经由网络层转移到应用层,另据NIST报告,目前已经发现漏洞有92%源自系统应用软件,加强信息系统研发风险管理,增强信息系统安全性,已成为商业银行信息系统研发管理的重要内容之一。

随着金融信息化的深入,科技自主创新价值日益凸显,国内大中型商业银行普遍建立了自己的信息科技部门或研发中心,以科技创新驱动业务、服务和管理创新。在研发风险管理方面,部分商业银行建立了研发风险管理体系,从组织、管理、技术等各方面体系化提高和保障信息系统安全性。

商业银行信息系统研发风险组织以安全知识探索和研发风险管理为主要活动,通过建立和实施研发风险管理工作流程,提供安全技术支持服务,在产品立项、安全需求转化、安全编码、安全测试等阶段落实安全技术要求,提高信息系统安全性。因此,研发风险管理组织是商业银行研发风险管理体系的重要组成部分,对于加强商业银行信息系统研发风险管理具有重要的基础性意义。

一、建立研发风险管理组织体系的必要性

1.完善全面风险管理组织体系的需要。

2004年的新《巴塞尔资本协议》强调商业银行不仅要重视传统的信用风险、市场风险和流动性风险,而且提出操作风险管理要求,并将信息科技风险划归操作风险管理范畴。信息科技风险已经成为商业银行全面风险管理体系的组成部分之一,而信息系统研发风险又是信息科技风险的重要内容,因此,加强信息系统研发风险管理,建立健全研发风险管理组织体系,是对商业银行全面风险管理组织体系的完善。

2.满足监管要求的需要。

随着信息技术的不断进步与发展,信息系统的安全建设显得尤为重要。2012年6月29日,人民银行下发“银发[2012]163号”文件,要求进一步落实《信息安全等级保护管理办法》(公通字[2007]43号),加强银行业信息安全等级保护工作。此外,银监会、公安部、审计局等监管机构对信息系统风险管理和开展安全检查都有明确要求。信息系统安全建设需要专门的工作组织来推动落实,因此,建立健全商业银行信息系统研发风险管理组织体系,开展安全制度建设、安全标准建设、项目安全管理和信息系统安全达标评审等一揽子工作,成为防范信息系统研发风险管理的迫切需要。

3.提升研发风险管理水平的需要。

随着商业银行经营发展对信息系统的依赖性越来越大,信息系统故障所带来的影响也越来越大。信息系统的健壮性和稳定性已经成为衡量商业银行服务水平的重要方面。建立健全完善的研发风险管理组织体系,增强开发人员安全意识,指导开发人员安全设计和安全编码,加强信息系统研发风险管理,成为全面提升研发风险管理水平的需要。

二、研发风险管理组织体系现状与问题

商业银行信息科技部门或研发中心普遍设立了风险管理委员会和安全管理部门,形成了信息科技风险管理组织,满足了基本工作需要。但是,多数商业银行的信息科技风险管理组织未能深入到研发风险管理领域,在一定程度上制约了研发风险管理工作的开展。主要问题包括:一是研发风险管理组织机构不完善,缺少专职部门推动研发风险管理工作开展;二是研发风险管理组织职能不完善,相关机构仍然以迎接上级检查为主业,未能真正履行研发风险管理职责;三是研发风险管理角色不明确,未在项目组设立研发风险管理角色,研发风险管理组织与项目组之间缺乏沟通联系,相关管理要求难以传导和落地;四是研发风险管理人才队伍不完整,研发人员缺乏安全技术、技能,整个组织层面缺少安全专家团队对信息系统安全设计进行指导和把关。

三、研发风险管理组织体系建设思路

完善的信息系统研发风险管理组织体系的主要特点在于组织和运行机制的创新性,以及适应研发风险管理组织职能而形成的新管理制度。在组织和体制创新基础上,研发风险管理组织必将在信息科技风险管理中崭露头角,并以强劲的势头向科技创新的各个环节渗透。

1.信息系统研发风险管理组织体系架构

信息系统研发风险管理组织以提升信息系统安全性,实现持续的高水平研发服务为目标,不仅需要进行信息系统架构设计和产品研发工作,还需要开展产品质量控制和安全标准研究等工作。因此必须在层级式研发风险管理组织体系总体框架下,加强架构设计、质量控制、安全指导和标准研究等的力量,同时增进各执行层级间的互动,构建和形成“层级+互动式”的信息系统研发风险管理组织体系。

图1 信息系统研发风险管理组织体系

构建完善的信息系统研发风险管理组织体系,需从以下几方面开展。

一要坚持风险管理委员会的顶层设计,贯彻安全与发展并重思想,将系统等级保护要求和监管要求等融入信息系统建设,努力从战略层面建设安全稳定的信息系统。

二要加强安全管理部门的安全管理职能,大力开展安全标准研究和源代码扫描等技术支持服务,推动信息系统事前定级工作,建立信息系统研发风险管理机制和统一的安全需求规范并严格落实,事中开展源代码漏洞扫描等安全技术支持服务工作。改变原有的事后定级,安全措施与等级保护级别不一致,安全整改难度大等的被动局面。

三要加强应用开发部门、技术管理部门、质量管理部门、安全管理部门和安全专家组的安全人员建设,增强风险管理委员会与各部门或者各部门间的衔接,形成研发风险管理组织体系。通过安全人员的安全管理活动,构建安全稳定的信息系统,增强市场竞争力。

信息安全经理是项目组安全开发负责人,负责在研发过程中落实信息系统安全需求,提升开发人员的安全意识,降低因安全意识薄弱等导致的风险;信息安全督导团队是各部门联系的纽带,督导信息安全经理落实安全需求,辅助开展源代码漏洞扫描等安全技术支持服务,减少信息系统风险隐患;架构设计团队承担着信息系统架构分析设计职责,架构设计好坏决定了信息系统的成败;质量管理团队是信息系统研发生命周期质量管理体系的制定实施者,负责制定研发过程规范及配套度量体系,加强信息系统研发生命周期源代码、技术文档等的质量管理;安全专家组参与信息系统研发风险管理各评审和审核等,切实提升信息系统的安全性。

四要加强测试管理部门信息系统安全测试工作,在业务功能测试基础之上,强化信息系统安全功能测试和安全漏洞扫描测试,以进一步验证信息系统安全功能的有效性,排查可能导致黑客攻击的安全漏洞。

2.明确的职能定位是研发风险管理组织发展的根本保障

信息系统研发风险管理组织的兴起和发展具有强烈的需求导向性,根据需求导向设计组织结构,明确信息系统研发风险管理任务,开展研发安全管理活动。加强信息系统研发风险管理,提升信息系统安全性为信息系统研发风险管理组织建立和发展提供了根本动力。

组织职能定位是研发风险管理组织生存和发展的关键。风险管理委员会是信息系统研发风险管理组织体系的决策机构,负责贯彻执行信息科技风险管理策略,制定研发过程安全管理整体策略,对研发过程安全管理工作进行监督和指导,体现了组织机构的发展方向。

应用开发部门、技术管理部门、质量管理部门、安全管理部门和测试管理部门在风险管理委员会统一领导下,开展信息系统研发安全保障工作。技术管理部门开展信息系统安全架构分析;质量管理部门保障信息系统研发生命周期质量安全;安全管理部门职能重塑,在原有应对监管部门监督检查基础之上,进行信息系统安全标准研究、制定维护安全技术规范、组织研发安全管理活动、督导开发人员落实安全需求和提供源代码扫描技术支持服务等;测试管理部门开展信息系统投产前的安全功能测试和安全漏洞扫描测试;安全专家组是信息系统安全管理和研发领域的佼佼者,参与研发安全评审。明确的职能定位必将带动信息系统研发风险管理组织的发展。

3.形成符合科技发展的可持续改进运行机制

在遵循科技发展规律基础之上开展信息系统研发风险管理是研发风险管理组织保持活力的前提。研发风险管理组织的生命力在于按照科技发展规律来设计组织和运行机制。应用开发部门、技术管理部门、质量管理部门、安全管理部门、测试管理部门、安全专家组等紧密围绕信息系统研发主线,并在风险管理委员会统一领导下进行协作,提升信息系统安全性。对具体信息系统来说,其研发风险管理的角色来源于不同的部门。他们同时接受项目组和所属部门的管理,也充当着项目组和部门之间联系的纽带。这种矩阵式管理能够充分发挥不同领域专业人员的优势,取长补短,互通有无,使研发风险管理组织的整体运作效能达到最佳。

研发风险管理组织按照信息系统研发项目而组织产生,它加强了不同部门之间的配合和信息交流,同时由于对重要决策问题有发言权,增加了参与者的责任感和积极性,再通过相关组织的研究审核后经风险管理委员会,有利于形成研发风险管理决策的良性循环。在研发风险管理工作过程中,应根据商业银行信息科技组织结构调整,以及外部监管要求的变化,定期对研发风险管理组织进行改进维护,以确保研发风险管理组织的持续有效运转。

商业银行信息系统研发风险管理组织体系是研发风险管理体系的重要组成部分,是信息系统研发风险经营风格和战略思想的具体体现,是实现优良研发产品和保持长期竞争战略的基本保障,是研发中心的安身立命之本。

参考文献:

[1]信息安全技术,信息系统安全等级保护基本要求[Z].GB/T22239-2008.

[2]操龙灿.基于自主创新的大企业研发组织体系构建与界面管理[J].合肥工业大学学报(社会科学版),2007(02):99-100.

[3]陈宝明.我国新型研发组织发展现状与政策建议[J].中国科技论坛,2013(03):27-31.

篇3

关键词:风险管理;风险智能型企业;管理框架

对于企业风险管理,国内许多理论研究还缺乏系统的理论解释和具有执行力的实践指南。在西方发达国家中,企业风险管理的研究和应用已经比较普及,风险和风险管理已成为管理者关注的头等大事,风险管理成为企业的一个重要职能。我国企业进行风险管理的时间很短,除金融企业外,多数企业主要停留在运营风险管理的层面。由于资本市场的不发达以及金融工具的缺乏,企业风险管理还没有成为我国企业普遍关注的重点。因此,我国企业必须引入全面的风险管理意识,从多个层次上进行全面的风险管理,构建与实施企业风险管理智能框架,才能提高自身的抗风险能力,保持企业的稳定,合理保证公司战略的实现。

一、我国企业风险管理存在的问题分析

1.风险管理意识淡薄。除金融保险企业以外,多数企业缺乏风险管理观念,很多企业还停留在计划经济条件下卖方市场的水平上,或者说没有形成风险意识,更缺乏有效的识别、评估和应对风险的机制,导致不少上市公司应变能力和抗风险能力较差。企业中多数管理者对风险管理的意识还很淡薄,很少分析甚至不分析可能导致风险出现的因素,也没有建立行之有效的风险管理机制。2.内部控制与风险管理没有有效结合。风险管理与内部控制有内在的联系,健全内部控制是实施全面风险管理的前提。企业只有从加强内部控制做起,通过风险意识的提高,尤其是提高企业中处于关键地位的中、高层管理人员的风险意识,才能使企业安全运行。然而,虽然一部分企业已经认识到内部控制与风险管理结合的重要性,但企业目前仍将风险管理与内部控制在企业运营和管理中隔离开来,企业内部控制不能涵盖企业面临的所有风险,针对风险设置的控制目标的细化程度仍然很低。企业风险管理与内部控制脱离,没能实现融合和跨越。3.不了解风险管理方法论,风险管理框架缺失。我国企业进行风险管理实践的时间和历史很短,而且主要停留在运营风险管理的层面,企业全面风险管理还没有成为企业普遍关注的重点。一个有效的风险管理机制应该能够对于企业所有的预期情况进行评估和处理,能够突破企业所面临的风险和组织之间的界限,能够对所有潜在的重大风险进行预计并制定相应的解决方案。但目前多数企业不了解如何进行风险管理,对风险管理方法认识不足,并且企业风险管理工作的实施缺乏有效的风险管理框架作为指导和参考。4.缺乏有效的风险管理监督和评价机制。由于管理体制和管理方式的问题,我国企业风险管理的监督很薄弱,监督评价方法不够先进,不能起到应有的作用。由于目前没有通用的风险管理评价方法,内部稽查中风险管理有效性的评价方式过于简单。传统的评价方法是以定性分析为主的,分析过程较复杂,且很大程度上依赖于评审人员的主观判断,主观性较强,缺乏客观具体的可操作性标准,导致风险管理评价缺乏科学性、规范性和可操作性,进而增加了评价工作的实施难度、资源投入的主观随意性、结论不可靠性。此外,内部审计监督部门普遍缺乏独立性和权威性,内部审计人员的胜任能力不足、缺乏主动性和能动性,内部审计制度不健全,业务不规范,作用未能充分发挥,致使内部审计部门形同虚设。此外,企业组织机构设置不合理、内部控制和风险管理没有和信息系统相结合、缺乏人才和知识积累等因素也在一定程度上影响了企业全面风险管理的实施。

二、企业风险智能管理框架的构建

通过实施有效的风险管理框架,将能够使企业在多变的内外部环境中保持企业发展的可持续性,不断增加企业价值,推动企业战略的实现。实施企业风险智能管理框架的主要贡献为:增强对风险和控制的了解;提高评级机构认知;提高公司盈利质量;提高对股东的信息透明度;提高监管认知;降低风险事件产生的损失;提高公司社会声誉;提高风险调整回报率;增加董事会和风险委员会的风险管理信心;降低经济资本要求;有效识别增值业务;减少风险项目的保费等等。企业风险智能管理框架要确保能识别并评估关键风险点并有效加以应对,例如:战略风险、财务风险、多元化投资风险、政策风险、融资风险、工程项目管理风险、营运安全风险等。有效实施风险智能管理框架的企业可以被称为风险智能型企业。1.企业变革。企业要在新的企业风险管理环境下使风险管理框架高效运行,首先要从企业管理、人员、流程、科技四个方面进行改进和变革,为实施风险管理框架提供基础支撑。1.1管理变革。企业董事会或经营层应就风险管理的目标设定以及风险管理的基本方法进行明确,对业务管理机构进行重构,例如:设立风险管理部门、专职法务部门或法务专员、设立资金管理中心、设立运营安全管理部门、设立投资战略部门,保证内部审计部门的独立性等。同时对管理流程进行梳理优化,明确不同级别管理层的职责权限,最后由内部审计部门加以监督,由人力资源部门综合考核,形成一个有效、闭环的管理体系,这样就能保证各项业务可以得到自动化的有效管理。1.2人员变革。风险智能管理并不仅仅是指设立一个风险管理机构,而是要改变企业所有员工观察和管理风险的方式。企业应当在各部门各单位设立风险管理专员,并在适当的时机对各级管理层和风险管理专员提供有关风险管理技巧和风险管理意识的岗位培训,提高每名管理者的风险应对能力,形成良好的风险管理氛围。1.3流程再造。企业风险管理框架和控制流程体系的重建,对于正确识别、分析和应对风险的相互依赖和整体风险的管理是至关重要的。风险智能管理的方法之一是基于原有的内部控制体系基础,在风险管理流程之间建立通用性和关联性,使风险智能管理贯穿于各层级的计划、管理和运营决策流程之中,以确保风险智能化计划和管理的有效实行,使其成为每个员工日常工作的一部分。1.4科技变革。随着新科技的不断发展,各种信息化工具不断变化并迅速发展。科技可以起到杠杆作用,未识别、测量、报告和监控风险提供共同的平台。企业通过建立风险预警管理信息系统,与业务管理系统、资产管理系统、预算管理系统、财务系统建立互联,通过识别分析,实时提供风险预警,并在预警的同时提供风险应对措施建议,提高风险智能化管理水平。2.构建企业风险智能管理体系。2.1设定企业战略目标。首先公司要对内外部环境进行有效分析,选择并确定符合企业实际的战略目标,并对战略目标进行分解,将风险管理理念融入公司经营管理,利用风险智能管理程序有效配置资源,并明确各主体的业务目标和风险管理目标,从而使风险管理融入公司战略体系的方方面面。2.2明确风险管理理念。风险管理理念是指企业利用通用的风险管理语言,对识别、分析和管理风险的统一的信念和态度。风险管理理念应当延伸到企业经营管理活动的全范围、全过程,它可以通过各种表述方式形成企业的风险文化,使企业各级管理者在做任何决策或管理活动时都能够考虑风险,并使全员在风险管理的价值观上保持趋同。2.3构建风险管理职责体系。构建企业全面风险管理的组织机构并明确风险管理职责,是实施风险管理的根本保证。风险管理组织机构从上而下应由董事会及其下设风险管理委员会和审核委员会、经营层、风险部门及人员、业务部门及其风险专员和企业员工构成,从而形成有效的风险管理防线。同时,公司应明确界定各级机构在风险管理中的职责权限,并通过提升风险管理人员的风险意识,提高风险管理技能,确保各级人员在风险管理过程中有良好的履职能力。2.4构建风险智能管理策略框架。风险管理策略框架是风险智能管理的核心内容。企业应根据内外部环境,围绕企业制定的战略目标,确定风险偏好、风险承受度、风险容量和风险容限,明确风险智能管理有效性的标准,有效配置风险管理所需的人、财、物等资源,制定风险管理手册,并将风险管理策略框架应用于企业各个领域的风险管理指导方针之中。企业应从整个主体范围或组合的角度,从不同的视角,利用大数据、风险度量模型、定性分析等评估技术,评估风险的可能性、影响程度以及风险之间的潜在关系,有针对性地选择风险承受、回避、分担、降低等应对方式,与企业内部控制体系的建立和实施有机结合,通过有效的风险控制活动和沟通报告机制,将企业的剩余风险控制在可接受的范围内。企业风险智能管理策略能够成为企业的核心竞争力之一,最终为企业战略目标的实现保驾护航。2.5构建风险智能管理信息系统。为了实现风险管理智能,企业需要要优化整个信息流程,风险智能管理信息系统是指利用信息技术,对与企业相关的内外部风险信息进行收集、整理、分析、处理、预警并提出应对策略的一个实时、动态的管理体系。它应当由三个模块组成,即:风险信息的收集加工模块,主要由风险管理系统识别或由风险管理专员收集和录入;风险分析和预警模块主要由风险管理部门在风险管理系统的分析基础上做出预警;风险应对决策和实施模块由风险管理系统提供的风险应对建议,由风险管理部门提出风险应对方案,提交管理层落实风险应对责任,并指定专人监督。在风险信息系统的设计与实施过程中,应充分把握系统之间的分工与协调,因为它是一个有机的整体,各部分的衔接至关重要。2.6持续风险监控与评价。如上文所述,企业风险管理随着时间的变化而改变,它是一个持续的、动态的管理活动,这也要求风险的监控与评价必须是持续开展的,企业各管理层级、各个业务部门都应开展风险持续监控,同时风险管理或审计部门还应定期开展风险管理评价。风险监控和评价发现的重要缺陷应及时向管理层和上级部门报告,重大缺陷还应向公司董事会及其风险管理委员会、审计委员会报告。通过监控与评价,能够有效保证企业风险职能管理框架的设计和运行有效性,能够提升全员的风险管理能力,从而使公司风险水平实现持续改进。

三、企业风险智能管理框架实施建议

1.正确认识企业内部控制与风险管理的关系。企业内部控制的风险观就是由全员参与的、对与人、与活动及与环境有关的全面风险进行控制,是整合传统内部控制和现代风险管理为一体的过程。内部控制发展方向就是企业风险管理,其实质就是企业风险控制的管理。现代企业风险管理系统,是以风险识别和应对为核心,以内外部环境为风险管理的范围,以企业风险管理文化为灵魂,以控制活动为手段,全员、全范围、全过程的风险控制系统。企业内部控制逐渐呈现向风险管理发展和一体化的趋势,即以风险管理为主导,建立适应企业风险管理战略的新的内部控制,从而实现内部控制向风险管理的跨越。2.完善考核和激励机制。为确保经营的效率效果,企业必须将风险智能管理框架的建立实施情况纳入企业的综合考核激励体系。一个完善的指标考核体系需要根据企业的整体战略和风险管理目标的要求等因素确定。此外,通过明确企业管理者的责、权、利,通过利用风险管理评价结果,与业绩考核相挂钩,建立起责权相关的激励制度。按照员工的岗位职责及工作目标,进行定期考核评估,总结工作成效,及时发现问题并予以改正。评估和认定结果与奖金、调薪、升职挂钩。通过绩效考核机制将企业的目标与个人工作目标有机地结合起来,从而推动企业战略目标的实现。

参考文献:

[1]美国COSO制定.企业风险管理——整合框架[M].方红星,王宏译.大连:东北财经大学出版社,2005.

[2]谢志华.内部控制、公司治理、风险管理:关系与整合[J].会计研究,2007(10).

篇4

一、现有软件项目风险管理模型分析

软件风险管理是一种软件工程实践,包括过程、方法和工具,并利用这些过程、方法和工具去完成持续评估风险、确定风险优先级、实施策略处理风险工作。现有软件项目风险管理模型包括:(1)BarryBoehm理论。20世纪80年代,软件风险管理之父Boehm认为,软件风险管理这门学科的出现就是试图将影响项目成功的风险形式化为一组易用的原则和实践的集合,目标是在风险成为软件项目返工的主要因素并由此威胁到项目的成功运作前,识别、描述并消除这些风险项。他将风险管理过程归纳成两个基本步骤,即风险评估和风险控制。其中风险评估包括风险识别、风险分析、风险排序;风险控制包括制定风险管理计划、解决风险、监控风险。(2)SEI(软件工程研究所)的CRM(持续风险管理)模型。SEI提出的CRM模型要求在项目生命周期的所有阶段都关注风险识别和管理,它将风险管理划分为识别、分析、计划、跟踪和控制5个步骤,并采取不同的策略。(3)Riskit方法。如果组织在项目早期采用系统化的风险管理过程和技术,那么组织就有能力避免很多问题。Riskit方法能提供这种系统化的风险管理过程和技术,它由Mary-land大学提出的,旨在对风险的起因、触发事件及其影响等进行完整的体现和管理,并使用合理的步骤评估风险。对于风险管理中的每个活动,Riskit都提供了详细的活动执行模板,包括活动描述、进入标准、输入、输出、采用的方法和工具、责任、资源、退出标准。Riskit风险管理过程在项目生命期内,这些活动可以重复多次。(4)SofiRisk风险管理模型。SoftRisk模型是由Keshlaf和Hashim提出的,它基于这样一种观念:记录并将注意力集中在高可能性和高破坏性的风险上是进行风险管理的有效途径。这样可以节省软件开发过程中的时间成本和人力成本,并可有效减轻风险的破坏性。此模型确保在软件项目进行中持续地进行风险管理。(5)IEEE风险管理标准。IEEE风险管理标准定义了软件开发生命周期中的风险管理过程。该风险管理过程是一个持续的过程,系统地描述和管理在产品或服务的生命周期中出现的风险,包括计划并实施风险管理、管理项目风险列表、分析风险、监控风险、处理风险、评估风险管理过程等。(6)CMMI(软件能力成熟度模型集成)的风险管理过程域。CMMI是由SEI在CMM基础上发展而来,并在全世界推广实施的一种软件能力成熟度评估标准,主要用于指导软件开发过程的改进和进行软件开发能力评估。风险管理过程域是在CMMI第三级一一已定义级中的一个关键过程域。CMMI认为风险管理是一种连续的前瞻性的过程。它要识别潜在的可能危及关键目标的因素,以便策划应对风险的活动并在必要时实施这些活动,缓解不利影响,最终实现组织目标。CMMI的风险管理被清晰地描述为实现三个目标,每个目标的实现又通过一系列的活动来完成。(7)Microsoft的MSF风险管理模型。MSF的风险管理认为,风险管理必须是主动的,它是正式的系统的过程,风险应被持续评估、监控、管理,直到被解决或问题被处理。

二、面向企业全面成本计算模型的风险管理策略

结合企业全面成本计算理论和软件项目的风险管理内容,笔者通过对国家科技攻关项目“模型驱动的异构系统集成框架与基于SOA的数据交换平台技术”进行分析,建立一种面向企业全面成本计算模型的风险管理策略。

(一)基于网格体系的企业全面成本计算模型ETCM以客户价值与企业利润最大化为目标,面向产品全生命周期,通过成本企画确定目标成本,并将成本筑人到产品的设计与制造过程;在广度上,面向企业整个供应链,通过作业成本管理确立成本计算模型,优化供应链中的增值作业;并通过层次分析(AHP)方法、企业资源计划(ERP)或系统预测确立EAD模型(费用与作业关联矩阵)和APD模型(作业与产品关联矩阵)等成本分配率模型。在计算过程中,ETCM计算模型涉及合作伙伴各种高度异构、动态分布的信息平台。以Web服务为运行平台,采用面向服务的体系架构,建立图1所示兼容硬件平台、遗留信息系统和知识资源的全面成本管理体系结构,实现对企业整个供应链资源的有效组织和管理,帮助企业在整个供应链范围内,准确计算产品成本信息,辅助决策。

ETCM模型的体系结构由基础支撑平台层、集成化容器层、企业成本相关业务逻辑表示层、业务建模层、企业门户应用层、网格应用层构成。以硬件、系统软件和Internet为基础平台,在容器层建立支持业务运行的Java和功能组件、网格服务和Web服务组件,通过企业业务逻辑表示层实现网格高层应用功能的逻辑表达。企业业务逻辑表示层在企业业务过程编排与工作流技术的连接与管理下,将Legacy(遗留系统)、MTC(微软组件)、E-JB(企业Java组件)、Web服务和网格服务封装成不同领域内的商务应用(如企业物流、财务、人力资源、制造资源、全面成本管理、客户关系管理),并通过企业咨询与诊断、企业业务过程需求分析、业务流程建模、业务流程再造和业务流程持续改进等功能为企业提供实施网格应用的方法论指导。门户应用层为用户提供用户界面和一致的访问接口(如基于Web的服务门户)。应用层在Web服务和网格服务基础上提供网格制造系统高层应用,这些系统不局限于协同环境中的全面成本管理,还可应用于电子商务和电子市场、商务协同、制造协同与供应链协同等领域。容器层提供遗留系统容器、Web应用容器、Web容器以及网格服务容器等分别处理和封装来自合作伙伴或企业内部不同软硬件应用平台和操作系统的成本相关的业务应用。遗留系统容器集成与处理基于业务功能的商务应用,Web应用容器为EJB、Java Bean、MTC、CCM(CORBA组件)等企业级服务器组件提供安全运行环境与管理机制,Web容器为JSP(Java页面)、Servlets、ASP(Active页面)等

Web组件提供安全运行环境与管理机制,网格服务容器集成基于Microsoft,Net、J2EE(Java 2 Enterprise Edition)的Web容器和Web应用容器及Legacy容器,为网格服务与Web服务提供相应执行环境、服务组件执行周期、事务以及安全与服务质量的管理,并支撑Web服务组件的开发、部署、调试和运行,解决了协同环境中异构成本信息的共享与集成问题。

(二)面向ETCM计算模型的风险管理策略 通过对国家科技攻关项目 “模型驱动的异构系统集成框架与基于SOA的数据交换平台技术”的分析,结合上述企业全面成本计算理论的复杂性以及传统软件项目风险管理的主要内容和策略,笔者建立一种面向企业全面成本计算模型的风险管理策略模型,如图2所示:

在图2所示的风险策略管理模型中,理论基础是一个开放的概念,多受益于其他学科,包括风险和风险管理的定义、风险管理模型等体系结构。风险管理模型形成指导性的框架结构,核心风险管理步骤通过引入风险实体的概念和面向目标辨识、评估风险的思想,针对不同企业的计算环境提供不同的风险处理思路。技术基础包括风险定量计算、风险决策支持、风险预测及模拟等相关的风险决策和预测技术。决策树帮助大多数风险项确定相关的解决方案,例如,图形化的评审技术或随机型决策技术(GERT)是在计划评审技术(PERT)和关键路径法(CPM)之后发展起来的随机型网络技术,通过将不确定性引入计划,使系统状态不能全部列举出来,使得任何一种状态都不能完全代表系统的真正结果,增强了节点的逻辑判断功能,且数学模型可以使用计算机仿真来实现。在GER技术基础上,风险评审技术(VERT)从单纯考虑计划的时间因素发展到全面考虑计划中的时间、费用和效益因素,可以对计划进行更全面的分析和评价。

篇5

关键词:工程项目;施工;风险管理;对策

建筑工程是我国基础建设的重要组成部分,由于建筑工程施工涉及的因素比较多,在具体的施工中存在很多不确定因素,因此采取有效的策略应对施工风险不仅有助于提高施工方案的科学性,而且有利于制衡建筑业投资膨胀的现象,最重要的是通过风险管理可以降预防安全事故的发生,因此在经济新常态环境下,做好工程项目施工风险管理工作是构建和谐社会的重要内容。

一、项目风险管理的概述

项目风险管理是项目施工负责人对施工项目在未来运行过程中可能遇到的各种风险进行定性与定量研究,以此制定出有效应对风险的方法策略。项目风险管理的目标是对风险进行预防、规避以及处理等,最终缩减风险对项目完成所造成的各种不利因素。建筑工程施工风险管理具有以下特点:一是具有不确定性。由于建筑工程在施工中涉及的因素比较多,任何一个环节都会影响施工进度,因此建筑工程施工风险管理具有不确定;二是项目风险管理的可变性。项目风险管理需要及时根据施工项目的进度安排进行调整,因此需要风险管理者针对各种因素对风险管理方案进行改变,以此实现施工项目质量控制的要求。

二、工程项目施工风险管理的现状分析

(1)风险管理意识淡薄,缺乏危机意识。基于建筑市场竞争的日益加剧,施工企业为了经济利益,他们在具体的施工管理中强调经济效益,将所有的施工管理紧紧围绕在获取经济效益上,而忽视风险管理,结果造成项目施工存在较大的风险。(2)风险管理机制不健全。风险管理是建筑施工管理过程中的重要内容,但是很多企业没有专门设置风险管理部门或者安排专职人员,结果造成施工风险管理一直存在职能定位不清晰,风险管理缺乏有效约束的问题。另外施工企业在风险管理过程中也没有建立完善的风险管理信息系统,这样很容易导致企业在面对风险时不能第一时间做出相应的反映,造成巨大的损失。(3)风险识别分析评估手段落后。风险评估手段是风险管理不可缺少的工具,我国施工企业处理风险的手段往往采取投保的方式,而且大部分采取的是事后补救的措施,这样导致风险控制的最终目的无法实现;同时我国对于风险评估主要是采取定性的分析方式,这样不能科学的对风险因素进行分析。

三、工程项目施工风险因素及应对策略

(1)增强施工企业的风险管理意识。一是施工企业要将风险管理纳入到施工管理全过程,在企业内部形成浓厚的风险管理氛围。风险管理不仅是提高工程施工质量的重要举措,也是提高企业经济效益的必要手段,因此施工企业要以风险管理作为企业文化建设的切入点;二是强化企业员工的风险管理意识,定期开展风险管理教育培训。施工企业要积极开展风险管理教育培训,提高施工人员,尤其是施工管理人员的风险管理意识,将风险管理与质量管理等工作相融合;三是树立危机意识。施工项目的质量是企业生存的根本,因此施工企业要树立危机意识,认识到风险管理在施工管理中的重要意义。(2)建立完善的风险管理制度。一是明确风险管理职责,针对施工企业缺乏专门的风险管理机构或者人员的问题,要通过建立完善的风险管理机制,明确具体的岗位职责,以此推动风险管理在施工过程中的应用;二是建立风险管理信息系统制度,通过信息系统实现对施工全过程的有效监督与管理,提高风险管理工作的效率;三是制定风险管理检查机制。施工单位要定期对施工各个组成单位的风险管理制度进行检查,形成日查、月查工作机制,对于发现的问题要及时进行反馈,并且召开专门的会议制定应对对策,对风险管理专职人员继续跟踪复查,以此保证问题得以解决。(3)丰富与创新风险管理评估手段。风险管理评价是针对风险危害的科学评价手段,传统单一的评估手段对于施工风险不能有效的进行反映,因此要不断丰富评估的方法:一是建立风险回避法;二是运用财务技术对风险进行控制。财务是企业施工的重要管理手段,因此企业可以通过财务性技术处理置留一笔费用,以此作为应对风险发生时的损失补偿;三是运用动态的方法进行风险控制。在风险管理过程中施工企业要改变以往静态的控制方法,而是采取动态的控制方法,及时根据施工项目的进度,调险管理策略,以此应对变化中的风险因素。

总之,在项目施工中面临的风险因素比较多,因此需要施工企业要采取有效的策略提高风险管理工作,通过完善的策略实现对施工质量风险、工期延期风险、施工成本风险以及施工安全环保风险的控制,以此提高施工质量,实现施工企业综合效益的最大化。

篇6

关键词:通信工程;风险管理;控制策略

引言

近年来,我国通信事业不论在技术上还是管理方面都得到了极大进步,然而不容忽视的是项目管理依然存在一些风险问题,也因此产生了一定损失,因而,如何做好通信工程项目风险管理和控制,降低通信工程维修成本和损失成为通信行业极为关切的问题,从而推动社会进步,为人们生活提供更多便利。

1通信工程项目管理风险的特性

通信工程的有效运行离不开设备的运行支撑,而设备的良性运行同外部环境紧密相关。例如,当外界气候条件发生变化的时候,也会对通信设备产生一定的不良影响,最终会对整体通信质量产生影响。同时,由于通信工程项目整体的建设周期较长,规模较大,且施工中还存在一定的风险因素,因此,通信工程项目在建设的过程中所遇风险具有客观性,难以避免,对此,在建设当中,管理人员面对客观风险必须要保持清醒认识,尽可能将风险损失降到最小[1]。通信工程建设周期长、规模大、覆盖面广,这就决定了项目参与人员多,设计面广。因此开展通信工程项目建设时,有些风险可以提前做好预估,并在风险发生时能够及时启动应急机制,进而降低风险带来的损失。同时还可以通过各种预控措施,直接对风险进行规避。然而还有一部分风险则是具有不确定性,譬如气象条件的突变,风险控制有一定难度。由此可见,一旦发生风险因素,要求管理人员及时反应,快速处置,同时及时查明导致风险的各种因素,以便于能够为后续防范该类型风险因素提供借鉴和参考。长期性也是通信工程项目建设的典型特点之一,在施工过程中,一旦施工环境发生变化,人员出现流动和施工进度不断推进等,其中每个因素的调整都会将通信工程置于一定的风险当中,从而造成一定的损失,然而导致风险出现的因素不尽相同,这就使得通信工程风险管理存在一定复杂性。因此,通信工程建设项目具体施工过程中,不仅需要从全局上予以统筹管理,严格规范施工人员的施工作业活动,还需要及时处置不断涌现出来的各种风险因素。同时还应该就施工中可能发生的各种风险因素进行预估,以便于在新型风险来临时不至于手足无措,进而保障工程项目得以顺利开展。

2通信工程项目风险控制策略

要想真正有效开展风险控制工作,首先需要科学识别各种风险因素,只有清楚了风险因素的类型特点之后,才可能真正做出科学的决策和科学合理的处置措施。因此,这就要求项目负责人要具有风险预控意识,创建风险识别系统,并借此来识别和监督内外不良和干扰因素,再经过分析这些风险因素来找出隐藏的、不确定的以及变化的风险,进而采取有效措施来防范和规避风险。总之,在项目建设之前有必要对风险加以判断和识别,并进行动态识别[2]。完成了风险的识别之后,则需要进入到风险评估阶段。具体操作步骤为:首先科学判断各种风险因素发生的概率,然而通信工程项目风险具备的变化性和不确定性,给风险评估工作增加了难度,因此仅仅只能粗略估算出风险发生的概率。这就要求管理人员不仅要借助自身的风险评估经验,还要对风险影响因素进行深入的分析,并对这些风险因素进行科学统计和分析,进而推断出可能造成的后果,从而才能制定针对性的解决策略。风险管理工作的良好开展离不开相应的风险管控体制的支撑,因此通信工程企业还应该不断建立健全企业的风险管控机制,从而形成一个完善的风险管控制度,以便于更好地指导风险管控工作。具体来说,风险管控机制中需要包括工程项目参建单位的评审,诸如资质审核、信誉度审核和信息档案审核等相关内容。由此可见,可以通过构建参建单位的信息档案系统,便于后期对各个参建单位的资质审查进行查询。同时,风险管控体制的构建,还离不开相应的监理监督机制的建立。监督机构通过监督功能的行使,能够对各种风险因素进行及时的分析、预测以及跟踪,并从工程项目立项之初就开始介入到风险管理,直到工程项目的全部竣工交付,在此期间全程落实风险监督功能,这样一来就可以确保风险管控机制的各项功能得以良好发挥,进而有效规避企业风险。在完成风险识别和分析工作之后,要制定科学和针对性的风险应对策略,这对于通信工程风险管控能够起到至关重要的作用。若要制定出科学的风险应对措施,项目风险管理部门的建立是首要任务,部门的重要职责就是负责项目风险管理和控制策略的制定与实施;其次,提升管理人员管控风险的能力,培养风险管理人才;最后,在风险评估的基础上制定应急预案,以防止突如其来的风险变化,减小风险损失[3]。风险管理机制的制定还需要得到落实才能真正发挥实效,因此还需要组建一个专门的风险监控预警部门,以便于能够实时监督和监控整个工程项目的建设和运行,以及各种风险管控措施的具体落实情况。同时结合工程项目的实际特点,对各种风险发生的实际概率进行估算,以便于监控该风险能否得到科学合理的控制,同时还应该监控风险未来的发展趋势,以便于为后续风险措施提供依据。

3结语

由于风险管理方面的缺失导致通信企业面临着风险因素的侵扰。因此通信企业需要不断加强人员队伍的素质建设,提高风险识别和分析能力,提升风险管控的水平,从而降低风险发生的概率,减少经济损失,树立良好的企业形象。

参考文献

[1]韩嵩.通信工程项目中的风险管理与控制策略研究[D].长春:吉林大学,2015.

[2]戎惠英,温鹏迅.通信工程项目风险管理探讨[J].产业与科技论坛,2013(11):227-228.

篇7

关键词 电子商务安全,风险管理,风险识别,风险控制

1 引言

随着开放的互联网络系统Internet的飞速发展,电子商务的应用和推广极大了改变了人们工作和生活方式,带来了无限的商机。然而,电子商务发展所依托的平台—互联网络却充满了巨大、复杂的安全风险。黑客的攻击、病毒的肆虐等等都使得电子商务业务很难安全顺利地开展;此外,电子商务的发展还面临着严峻的内部风险,电子商务企业内部对安全问题的盲目和安全意识的淡薄,高层领导对电子商务的运作和安全管理重视程度不足,使得企业实施电子商务不可避免地会遇到这样或那样的风险。因此,在考察电子商务运行环境、提供电子商务安全解决方案的同时,有必要重点评估电子商务系统面临的风险问题以及对风险有效管理和控制方法。

电子商务安全的风险管理是对电子商务系统的安全风险进行识别、衡量、分析,并在这基础上尽可能地以最低的成本和代价实现尽可能大的安全保障的科学管理方法。

2 电子商务面临的安全风险

由于网络的复杂性和脆弱性,以因特网为主要平台的电子商务的发展面临着严峻的安全问题。一般来说,电子商务普遍存在着以下几个安全风险:

1)信息的截获和窃取

这是指电子商务相关用户或外来者未经授权通过各种技术手段截获和窃取他人的文电内容以获取商业机密。

2)信息的篡改

网络攻击者依靠各种技术方法和手段对传输的信息进行中途的篡改、删除或插入,并发往目的地,从而达到破坏信息完整性的目的。

3)拒绝服务

拒绝服务是指在一定时间内,网络系统或服务器服务系统的作用完全失效。其主要原因来自黑客和病毒的攻击以及计算机硬件的认为破坏。

4)系统资源失窃问题

在网络系统环境中,系统资源失窃是常见的安全威胁。

5)信息的假冒

信息的假冒是指当攻击者掌握了网络信息数据规律或解密了商务信息后,可以假冒合法用户或假冒信息来欺骗其它用户。主要表现形式有假冒客户进行非法交易,伪造电子邮件等。

6)交易的抵赖

交易抵赖包括发信者事后否认曾经发送过某条信息;买家做了定单后不承认;卖家卖出的商品因价格差而不承认原先的交易等。

3 风险管理规则

针对电子商务面临的各种安全风险,电子商务企业不能被动、消极地应付,而应该主动采取措施维护电子商务系统的安全,并监视新的威胁和漏洞。因此,这就需要制定完整高效的电子商务安全风险管理规则。

一般来说,风险管理规则的制定过程有评估、开发和实施以及运行三个阶段。

(1)评估阶段

该阶段的主要任务是对电子商务的安全现状、要保护的信息、各种资产等进行充分的评估以及一些基本的安全风险识别和分析。

对电子商务安全现状的评估是制定风险管理规则的基础。

对信息和资产的评估是指对可能遭受损失的相关信息和资产进行价值的评估,以便确定相适应的风险管理规则,从而避免投入成本和要保护的信息和资产的严重不匹配。

安全风险识别要求尽可能地发现潜在的安全风险,应收集有关各种威胁、漏洞、开发和对策的信息。

安全风险分析是确定风险,收集信息,对可能造成的损失进行评价以估计风险的级别,以便做出明智的决策,从而采取措施来规避安全风险。

(2)开发和实施阶段

该阶段的任务包括风险补救措施开发、风险补救措施测试和风险知识学习。

风险补救措施开发利用评估阶段的成果来建立一个新的安全管理策略,其中涉及配置管

理、修补程序管理、系统监视与审核等等。

在完成对风险补救措施的开发后,即进行安全风险补救措施的测试,在测试过程中,将按照安全风险的控制效果来评估对策的有效性。

(3)运行阶段

运行阶段的主要任务包括在新的安全风险管理规则下评估新的安全风险。这个过程实际上是变更管理的过程,也是执行安全配置管理的过程。

运行阶段的第二个任务是对新的或已更改的对策进行稳定性测试和部署。这个过程由系统管理、安全管理和网络管理小组来共同实施。

以上风险管理规则的三个阶段可以用下图来表示:

4 风险管理步骤

风险管理是识别风险、分析风险并制定风险管理计划的过程。电子商务安全风险的管理和控制方法,它包括风险识别、风险分析、风险控制以及风险监控等四个方面。

(1)风险识别

电子商务系统的安全要求是通过对风险的系统评估而确认的。为了有效管理电子商务安全风险,识别安全风险是风险管理的第一步。

风险识别是在收集有关各种威胁、漏洞和相关对策等信息的基础上,识别各种可能对电子商务系统造成潜在威胁的安全风险。

风险识别的手段五花八门,对于电子商务系统的安全来说,风险识别的目标是主要是对电子商务系统的网络环境风险、数据存在风险和网上支付风险进行识别。

需要注意的是,并非所有的电子商务安全风险都可以通过风险识别来进行管理,风险识别只能发现已知的风险或根据已知风险较容易获知的潜在风险。而对于大部分的未知风险,则依赖于风险分析和控制来加以解决或降低。

(2)风险分析

风险分析是运用分析、比较、评估等各种定性、定量的方法,确定电子商务安全各风险要素的重要性,对风险排序并评估其对电子商务系统各方面的可能后果,从而使电子商务系统项目实施人员可以将主要精力放在对付为数不多的重要安全风险上,使电子商务系统的整体风险得到有效的控制。风险分析是一种确定风险以及对可能造成的损失进行评估的方法,它是制定安全措施的依据。

风险分析的目标是:确定风险,对可能造成损坏的潜在风险进行定性化和定量化,以及最后在经济上寻求风险损失和对风险投入成本的平衡。

目前,风险分析主要采用的方法有:风险概率/影响评估矩阵,敏感性分析,模拟等。在进行电子商务安全风险分析时,由于各影响因素量化在现实上的困难,可根据实际需要,主要采用定性方法为主辅以少量定量方法相结合来进行风险分析,为制定风险管理制度和风险的控制提供理论上的依据。

(3)风险控制

风险控制就是选择和运用一定的风险控制手段,以保障风险降到一个可以接受的水平。风险控制是风险管理中最重要的一个环节,是决定风险管理成败的关键因素。电子商务安全风险控制的目标在于改变企业电子商务项目所承受的风险程度。

一般来说,风险控制方法有两类:

第一类是风险控制措施,比如降低、避免、转移风险和损失管理等。在电子商务安全风险管理中,比较常用的是转移风险和损失管理。

第二类为风险补偿的筹资措施,包括保险与自担风险。在电子商务安全风险

管理中,管理人员需要对风险补偿的筹资措施进行决策,即选择保险还是自担风险。

此外,风险控制方法的选择应当充分考虑相对风险造成损失的成本,当然其它方面的影响也是不容忽视的,如企业商誉等。

对电子商务安全来说,其有效可行的风险控制方法是:建立完整高效的降低风险的安全性解决方案,掌握保障安全性所需的一些基础技术,并规划好发生特定安全事故时企业应该采取的解决方案。

5 风险管理对策

由于电子商务安全的重要性,所以部署一个完整有效的电子商务安全风险管理对策显得十分迫切。制定电子商务安全风险管理对策目的在于消除潜在的威胁和安全漏洞,从而降低电子商务系统环境所面临的风险。

目前的电子商务安全风险管理对策中,较为常用的是纵深防御战略,所谓纵深防御战略,就是深层安全和多层安全。通过部署多层安全保护,可以确保当其中一层遭到破坏时,其它层仍能提供保护电子商务系统资源所需的安全。比如,一个单位外部的防火墙遭到破坏,由于内部防火墙的作用,入侵者也无法获取单位的敏感数据或进行破坏。在较为理想的情况下,每一层均提供不同的对策以免在不同的层中使用相同的攻击方法。

下图为一个有效的纵深防御策略:

图2 有效的纵深防御策略

下面就各层的主要防御内容从外层到里层进行简要的说明:

1)物理安全

物理安全是整个电子商务系统安全的前提。制定电子商务物理安全策略的目的在于保护计算机系统、电子商务服务器等各电子商务系统硬件实体和通信链路免受自然灾害和人为破坏造成的安全风险。

2)周边防御

对网络周边的保护能够起到抵御外界攻击的作用。电子商务系统应尽可能安装某种类型的安全设备来保护网络的每个访问节点。在技术上来说,防火墙是网络周边防御的最主要的手段,电子商务系统应当安装一道或多道防火墙,以确保最大限度地降低外界攻击的风险,并利用入侵检测功能来及时发现外界的非法访问和攻击。

3)网络防御

网络防御是对网络系统环境进行评估,采取一定措施来抵御黑客的攻击,以确保它们得到适当的保护。就目前来说,网络安全防御行为是一种被动式的反应行为,而且,防御技术的发展速度也没有攻击技术发展得那么快。为了提高网络安全防御能力,使网络安全防护系统在攻击与防护的对抗中占据主动地位,在网络安全防护系统中,除了使用被动型安全工具(防火墙、漏洞扫描等)外,也需要采用主动型安全防护措施(如:网络陷阱、入侵取证、入侵检测、自动恢复等)。

4)主机防御

主机防御是对系统中的每一台主机进行安全评估,然后根据评估结果制定相应的对策以限制服务器执行的任务。在主机及其环境中,安全保护对象包括用户应用环境中的服务器、客户机以及其上安装的操作系统和应用系统。这些应用能够提供包括信息访问、存储、传输、录入等在内的服务。根据信息保障技术框架,对主机及其环境的安全保护首先是为了建立防止有恶意的内部人员攻击的首道防线,其次是为了防止外部人员穿越系统保护边界并进行攻击的最后防线。

5)应用程序防御

作为一个防御层,应用程序的加固是任何一种安全模型中都不可缺少的一部分。加强保护操作系统安全只能提供一定程度的保护。因此,电子商务系统的开发人员有责任将安全保护融入到应用程序中,以便对体系结构中应用程序可访问到的区域提供专门的保护。应用程序存在于系统的环境中。

6)数据防御

对许多电子商务企业来说,数据就是企业的资产,一旦落入竞争者手中或损坏将造成不可挽回的损失。因此,加强对电子商务交易及相关数据的防护,对电子商务系统的安全和电子商务项目的正常运行具有重要的现实意义

6 结论

一般来说,风险管理有基本的三个对策,包括管理者采取适当措施来降低风险事故发生的概率;管理者准备并实施一个意外事故应急计划以备不测;还有就是管理者什么都不做。对已选定的对策,应对其潜在的风险有充分的估计,并制定相应的应变计划,以使可能的风险损失降到最低。

风险管理没有铁定的规则,对于电子商务安全风险管理来说,首先是扫描和检测电子商务系统的内外部环境,检查系统的脆弱性和薄弱环节,及时打上补丁和追加设备,以便当风险产生时尽可能地减少损失;其次是对电子商务安全风险进行充分地分析,然后制定相应的规划和措施,并在其实施的每个阶段进行监控和跟踪;最后是根据环境的变化随时调险管理措施,制定完备的灾难恢复计划。

参考文献

[1]甘早斌.电子商务概论(第二版).华中科技大学出版社.2003.9

[2]钟诚.电子商务安全.重庆大学出版社.2004.6

[3]才书训.电子商务安全风险管理与控制.东北大学出版社.2004.6

[4]易珊,张学哲.电子商务安全策略分析.科技情报开发与经济.2004.5

[5]高新亚,邹静.电子商务安全的风险分析和风险管理.武汉理工大学学报.信息与管理工程版.2005.8

[6]郭学勤,陈怡.电子商务安全对策.计算机与数字工程.2001.7

[7]李晶.电子商务安全防范措施.安徽科技.2003.4

篇8

关键词:企业 风险管理 审计 开展

随着全球经济一体化进程的加速,我国内部经济环境也发生了相应的变化,诸多变化因素将导致国内企业在运行发展的过程中所面临的各类风险不断增加。目前,国内企业全面风险管理工作仍处于起步阶段,规范的全面风险管理体系尚未完全建立。因此,企业内部审计部门在发挥对风险管理工作监督、评价职能的同时,通过运用“审、帮、促”的工作方法开展风险管理审计,帮助企业收集风险信息、识别判断风险、研究防控措施、建立完善风险管理体系。

一、企业风险管理的现状

以国有企业为例,自2006年国资委《中央企业全面风险管理指引》后,极大地推动了风险管理工作在国有大中型企业的应用,但是对标国外先进企业,大部分国企的风险管理工作还存在很大的差距,尚处于起步阶段。一是一些企业风险管理职能不明确,未设立独立的风险管理机构;二是风险管理制度及管理机制不健全,风险信息收集、风险评估等风险管理基本制度尚未完全形成;风险管理长效机制尚未建立;三是风险管理专业程度不高,量化评估工具应用较少,信息技术应用不充分;四是风险管理的监督评价与改进机制尚未健全,风险管理审计工作尚未全面开展,没有构筑起风险管理的第三道防线。

二、风险管理审计的主要内容

(一)收集初始信息,识别风险

围绕公司战略经营目标,收集与风险及风险管理相关的内外部环境信息,包括宏观经济环境信息、行业相关风险信息、典型风险案例、历史数据和未来预测等。对识别出来的风险进行描述和定义。

(二)运用技术模板,评估风险

运用定性分析和定量计算方法评估风险等级。从风险发生的可能性和影响程度两个维度,按极低、低、中、高、极高五个级次进行计算(以1、2、3、4、5分值表示),确定重大风险、重要风险和一般风险。

(三)检查评价风险管理策略的否适当性和应对措施的有效性

根据风险偏好和风险承受度,检查企业所选择的风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等管理策略是否适当。检查企业在风险事件发生前、中、后所采取的具体应对措施,企业对可能发生的各种风险事件是否制定了各种解决预案,实施是否有效。

(四)确定剩余风险等级

对固有风险控制结果评价为有效的,认定剩余风险等级“一般”;对固有风险控制评价为基本有效的,审计人员视具体风险情况评估剩余风险等级;对固有风险控制为无效的,固有风险等级即为剩余风险等级。

(五)检查评价风险管理组织机构和风险管理文化的建立建设情况

检查企业风险管理组织机构的建立健全情况,现有机构设置是否适应全面风险管理要求,各部门风险管理职能是否有效履行。检查评价企业是否把风险管理融入到企业文化建设全过程,是否将风险管理意识转化为员工的共同认识和自觉行动,是否建立了员工上岗前风险管理培训制度。

(六)检查风险监控报告和考核问责制度的落实情况

一是检查企业是否建立了重大风险预警制度,是否实现对重大风险管理全过程的动态监控。二是检查企业是否建立风险管理报告制度,风险管理基本流程的信息沟通渠道是否顺畅。三是检查企业是否建立风险事故的考核问责制度,对形成损失的风险事件,有无追究相关部门和人员的责任,风险管理责任落实是否到位。

三、风险管理审计的方法

(一)立足于“审”,履行监督职能

在风险管理审计程序中,首先需要企业以“审”为基点,紧扣住风险所涉及的重点工作领域,将查找企业存在的风险为导向,结合实际情况充分识别组织内外所面临的各项风险,结合风险管理各项环境和内控要素,如组织目标、经营情况、管理薄弱环节及问题进行访谈、查阅资料、记录、历史案例,评价其充分性,并进行分析性复核,对“风险发生的概率”和“风险对企业目标产生的影响程度”进行确认,评价风险应对措施的适当性和有效性,并对剩余风险的等级进行认定。

(二)突出“帮扶”,帮助企业建立风险管理体系

鉴于大部分企业风险管理工作尚处于起步阶段的客观情况,审计部门应充分发挥其“服务”职能,采取“以审促建”的工作方式,帮助企业建立风险管理体系。例如:在项目实施初期,应对被审计单位人员进行风险管理培训,将审计人员所掌握的分析识别风险的方法传授给被审计单位人员;在实施过程中可与被审计单位人员一起收集分析风险信息,进行分析识别,判断风险等级,研究应对措施,在审计的过程中教会被审计单位人员如何识别防范风险。同时在开展现场审计过程中,审计人员还应向被审计单位宣传贯彻风险管理理念,提高全员风险管理意识;针对检查情况,给被审计单位提出改进建议,帮助其完善相关制度措施,进而初进企业建立较为完善的风险管理体系。

四、结束语

全面风险管理是一项长期、系统性的工作,不可能一蹴而就,也不可能仅仅依靠某一方面力量即能完成,需要各企业上下共同努力,统筹规划,分阶段有重点推进实施。广大企业内审部门,作为风险管理工作的第三道防线,应充分发挥“监督、服务”职能,积极开展风险管理审计,为促进我国企业全面风险管理工作的提升贡献力量。

参考文献:

篇9

关键词:银行;风险管理;金融创新

风险管理是指如何在一个肯定有风险的环境里把风险减至最低的管理过程;而金融创新是指变更现有的金融体制和增加新的金融工具,以获取现有的金融体制和金融工具所无法取得的潜在的利润。它是一个为盈利动机推动、缓慢进行、持续不断的发展过程。将银行风向管理和金融创新有机结合起来,是一种新型的银行风险管理模式。对于这种管理模式来说,对银行既是机遇又是挑战。下面我们简要阐述银行金融创新在金融管理方面的问题

一、银行金融创新在风险管理方面的问题

(一)创新危机无法有效预防

金融创新下的银行风险管理,缺乏有效的创新管控机制,对于正要发生的风险或者已经发生的风险不能完全规避。

(二)内部控制体系不健全

银行在发展历程中只注重拓宽经营范围,不能有效实施银行的内部控制。一些银行认为风险的管控会阻碍企业的经营活动,在利益与风险控制间选择了利益。过多地看中银行的信用贷款风险,忽视了金融创新带来的风险。

(三)风险的调和与管控方式简单

银行在全方位发展业务时,金融风险无法有效规避。在纷繁芜杂的市场经济体制的竞争环境下,老旧的风险管理方式已经对其无法适应,在风险管控上中国缺乏独到的管控手段。

(四)无法有效评定风险

评定体制的缺乏使风险评定不够合理和科学,无法对风险进行量化考评,银行缺乏评定体系,积累的技术材料很少。

二、金融创新下的银行风险管理取得发展的必要措施

(一)改善金融创新的模式

金融创新是银行发展的源动力。世界金融市场变幻莫测,银行要与时俱进,采用金融创新的方式紧跟时代步伐,不能由于担心金融创新可能带来的风险而对金融创新采取冷处理的态度,那样只能被市场淘汰。在进行金融创新的过程中以特定资产组合或特定现金流为支持,发行可交易证券进行融资已经成为了一种创新性的融资方式,它同时也是金融创新的一种既定方式。如此可以让银行将风险转移到证券交易市场,将信贷风险分散到整个金融市场。只有对金融用具进行科学利用,才能将银行管理风险降到最低,增加企业的利益;金融创新需要一个完善的风险管控机制,梳理好金融创新与风险管理的联系,具体情况具体分析,把握好金融创新的尺度,不能在不清楚风险带来的损失的状况下进行无目的的金融创新,另外,对于不熟知的区域投资时应采取谨慎的态度。

(二)强化企业内部控制体制

金融创新下的银行风险管理,要依据现实工作的需求,对金融创新和银行的风险管理设立专门的监督机构;细化职位职责,明确责任的归属来对金融创新下的银行风险管理进行有效规避。金融创新在银行中的运用,要做到效率高,就必须要求银行员工按照相关标准工作;不一样的工作内容在遭遇相同的风险的时候应该注意管理的一致性。相关事务可以进行原始记录,使以后金融创新下的工作和经营活动有据可依。监督机构对评定成果进行核实,并反馈给银行的董事会或者管理机构,使科学的提议被采纳,让其单一性和资深性的特点得到充分发挥。

(三)风险策略的完善和考评

完善的风险策略需要合理的管控结构作为支撑,银行通过对管控机构进行权限的定位,例如股份持有人、理事会要有效合作,打造一个权利平台,完成评定体系的建立。股份持有人要对公司的重大决策把关,合理化地制定发展战略,避免管理层和职工做出错误的决定,给银行带来损失。对于银行的管理风险来讲,股东持有者可以将风险管理意识传达给企业的每一个人,将职工的考核和风险的管控相结合,调动经营成本,准备好资金以应对即将到来的银行风险。这也是金融创新下银行管理风险的一种重要措施。

(四)完善动态评定机制

现在是信息时代,银行可以对科技信息进行合理运用,保证平时的工作有序进行,而电子化管理银行,财会信息的准确程度将得到提高,从而提高财会讯息利用的效率和可靠性。银行在金融创新下的风险管理工作也离不开电子化,显而易见,建立完善的动态评定机制,可以对金融风险起到预先报警的作用。在银行金融创新的事前、事中以及事后,风险的管控都不能有丝毫懈怠,及时对风险的变化采取措施,才能在风险产生前做到“未雨绸缪”。

结束语:

综上所述,金融创新下管理好银行风险,才能促成金融市场的良性竞争,使银行在合理享受金融创新带来的利益的同时,做好应对风险的准备;中国的银行必须对金融创新进行深入研究,不间断地拓展经营区域,使银行注重长远发展的经济增长模式得以实现。

参考文献:

[1] 陈坤雄.从金融创新角度分析银行风险管理[J].现代商业,2012,(11):25-26.

[2] 李雪梅.基于金融创新的建设银行风险管理研究[J].中小企业管理与科技,2010,(27):53.

[3] 刘晓蕾,张启文,钱建峰等.中信银行流动性风险管理现状的实证分析[J].商业经济,2011,(12):112-114.

篇10

关键词:风险 风险管理 研发项目

研发项目管理是项目管理工作的重要组成部分,是一个企业持续发展的根本保障和创新来源。研发活动与一般的生产劳动不同,具有创造性和尝试性,也存在一定的不确定性和风险。研发项目风险分为质量风险、费用风险及进度风险,这些风险的实质是项目的技术风险、管理风险与经济风险。在项目研发工作中,项目进度延迟、成本超支现象普遍存在,最终导致其结果具有很大的不确定性,过程存在很高的风险性。本文分析了研发项目管理中风险的来源,探讨了风险管理方法,旨在使项目管理人员提高风险管理意识,有效利用资源,缩短研发周期和减少超支,进而更好地发挥研发项目的最大作用。

一、研发项目风险的来源与因素

研发项目由于其创新性、尝试性的本质特点,不确定性更高,风险更大。研发项目的风险可能出自技术、团队、经济和资源等各个方面,对项目研发本身或项目目标的实现都能够产生重大影响。从研发项目的内容选择、开发到终结验收,每一个阶段都面临着各种各样的风险,只有克服各种风险的不利影响、有效管理各种风险,研发项目的目标才能最终实现,研发项目的风险管理是为了更好地实现该项目的预期目标。

1 研发项目风险来源

研发的最终目的在于取得该项目技术上的竞争优势,获得一种技术储备,增强未来竞争力。由于研发项目产生于满足市场新需求的要求,是某项技术的一种创新性的应用尝试,研发过程中的资源投入很难事先准确测算,所依托的技术的成熟度和可靠性也往往难以把握,因而研发项目的技术不确定性、投资不确定性、收益不确定性极高,在整个研发项目生命周期内到处充斥着技术风险、经济风险等各种风险因素。研发项目管理中也存在着大量的不确定性因素或风险,其来源可以概括为:

(1)经济风险。研发一个项目需要一个长期的过程,在这个过程中受到经资金来源、通胀和利率等一系列不确定因素的影响。

(2)技术风险。研发过程中会遇到一系列的技术难题,攻克技术难关本身存在一定的风险性。此外随着科学技术进步、技术结构的变动也会给研发投资带来不确定性。

(3)国际风险。国际经济环境的变化导致对区域性的经济活动的影响,也会对项目的研发产生风险。

(4)团队风险。团队风险在研发项目执行过程中时刻存在,团队成员策划失误、决策错误或团队成员懒散不积极都会导致预期的目标不能实现。

2 研发项目风险因素

研发项目的风险源于它的不确定性,影响研发项目成败的关键因素的不确定性将会导致整个项目成败的不确定性,从而就形成了研发项目的风险。研发是知识、技术、管理与市场结合的整体过程,决定研发项目成败的因素非常多,其中主要因素的成败决定了研发项目的风险高与低。研发项目的风险因素,可以将其概括为技术因素、管理因素和经济因素。

(1)技术因素。技术因素是研发项目活动的基础之一,对研发项目的最终成败有着直接的影响,技术效果的不确定性表现在研发过程中对最终的技术效果难以估计。研发团队的结构构成和整体技术水平,技术难度、技术的成熟度与复杂性也是影响研发项目成败的关键因素。技术难度越大,成熟度越低,复杂性越高,研发项目的风险也就越大。

(2)管理因素。管理因素也就是组织管理的能力,是研发项目的内部环境因素,也是非技术因素。组织管理水平的高低对研发项目的成败具有重要的作用,一方面它能创造良好的研发环境,另一方面它能激发团队成员的创新积极性,还能在研发项目执行过程中促进各部门之间的协调与通力合作。

(j)经济因素。经济因素在研发过程中其表现是多方面的。首先,评估一个研发项目要看其潜在的利润,投资的收益率、净现值、回收期以及财务风险等,这些都是选择研发项目的重要财务指标。其次,满足研发的资金需求除了自筹资金还有银行贷款。所以经济实力的强弱直接影响研发项目的规模和强度,经济因素是研发项目成功最基本的保障。第三,研发项目具有不确定性,在试验中可能会出现失败,会造成研发成本的增加,失误次数越多,预算差距越大,差距越大会影响研发的成败;最后,经济环境因素,包括经济政策、市场需求的变化及竞争等都将对研发项目的成败产生至关重要的影响。

二、研发项目风险管理方法

研发项目是在复杂且多变的过程中进行的,任何一个环节都有可能产生不确定的结果,都会影响到研发最终目标的实现。基于这样一个过程就要求在项目整个的生命周期内都要应对可能发生的各个风险因素。项目风险的管理是源于项目的复杂性,需要从研发项目的生命周期进行风险管理。在整个研发项目风险管理中要从风险的识别、评估、应对和后续监控等步骤对潜在的风险发生进行有效的控制和管理。

根据研发项目的风险特点建立了如图1所示的研发项目综合风险管理模型,该模型提供了一种持续的风险管理控制和机制。

该风险管理模型具有如下两个方面的特点:一方面,它不仅有机融合了已有的相关领域的项目风险案例信息库,使得后续工作能有可借鉴的经验,而且整合了专家意见以及项目团队组织的工作,对整个研发项目风险管理过程提供了战略层次的模型;另一方面,使风险管理的全过程形成了一种闭环,提供了一种持续的风险管理控制和反馈机制。研发项目工作者可根据需要对过程进行动态调整和反复,以期达到对研发风险的实时监控和管理。从以下四个方面具体对风险管理进行阐述探讨。

1 风险识别

风险识别就是识别该项目的风险来源、风险产生的因素、风险特征以及确定哪些风险因素有可能影响到本项目目标的最终实现。在项目整个生命周期中,由初始阶段到收尾阶段,收集的信息会越来越多,由项目研发陈述,需求分析、概念方案、详细方案,执行到收尾,由不明确到明确的一个过程。风险识别在项目整个研发过程中不是一次两次就可以完成的,应在项目全过程中持续不断地进行。在识别风险时,应有项目团队、风险管理小组、客户和项目经理分辨出项目中存在的各类风险。通常项目风险包括技术风险、团队风险、管理风险等风险。技术风险是项目攻克技术难题和技术障碍;团队风险是项目团队的协作能力差、人员结构不合理等;管理风险是管理水平的高低、决策的正确与否等等。只有识别了具体的项目风险,才能分析引起这些风险的主要因素。

2 风险评估

风险评估是尽力去识别风险事件的属性并对风险要有一定的预见性,对其最终对项目的影响也要有一定的评估。研发项目的风险评估主要是根据项目组成员的经验和以往大量的数据进行主观判断并将其量化。这个过程中评估人员的经验非常重要。这里所说的量化主要是判断各种风险发生的概率及风险指数或权重。包括需求风险、管理风险、技术风险、人员风险等等多方面的内容。通过量化找出主要风险点,从而层层深入找出解决问题的方法。

3 风险应对措施

一个项目的风险主要体现在项目中的任务是否能如期完成,资源是否能合理有效使用等问题上。这就需要在整个项目周期内部需要一定的应对策略,这种应对策略就是把那些潜在的问题对项目造成破坏之前识别、处理和排除。

(1)风险控制。风险控制贯穿于整个项目生命周期,但是最好的阶段是把风险控制在项目的启动阶段。风险控制不是一定要消除风险源,而是努力降低或缓解风险。最好是能把风险降低在可控的概率内或者是尽量减轻风险对项目的影响。

(2)风险避免。风险避免是指当项目风险发生的可能性太大,不利后果也很严重,又没有其他良好策略来减轻风险,改变项目的行动方案或主动放弃项目,从而避免风险的一种策略。其实就是将风险降低到可控制可接受的水平,消除高风险源取而代之低风险源,或者从根本上放弃使用有风险的项目资源、项目技术、项目设计方案等,从而避开项目风险的一类项目风险应对措施。

(3)风险转移。风险转移是将项目本身面临的损失风险转移给他人或单位去承担的行为。转移风险又叫合伙分担风险,其目的不是降低风险发生的概率和不利后果的大小,而是借助合同或协议,在风险事故一旦发生时将某个部分的风险重新分配到该系统的另一部分。这类风险控制措施多数是用来对付那些概率小但是损失大,或者是项目组织很难控制项目风险的情况。采取这种策略所付出的代价大小取决于风险发生的可能性和危害程度的大小。

(4)风险承担。风险承担也就是接受风险,是指项目管理层有意识地选择承担风险所造成的后果,觉得自己可以承担损失时,就可采用这种策略。例如,当项目风险发生的概率较低或后果不严重时,可采取这种策略。项目管理者在识别和评估风险的基础上,将风险留置内部,由项目组织自己承担风险损失的全部或部分。主动地接受风险是一种有周密计划、有充分准备的风险处理方式。

4 风险监控

风险监控是一种持续跟踪并评定风险管理的过程。在这个过程中,通过对前期风险的辨识、评估,风险应对策略全过程的监视和控制,从而保证研发项目风险管理能达到立项的预期目标,它是研发项目实施过程中的持续改进的一项重要工作。

以上是对研发项目风险管理的初步探讨。结合作者本人的项目开发和管理实践经验,从风险来源、因素分析、风险识别、风险评估、风险应对等几个方面进行了全面的论述。该讨论不仅有助于强化研发项目管理的风险意思,且提供了可行的风险管理方法,使风险管理成为项目管理的重要组成部分。相关人员可以从风险管理的角度对项目计划进行审核,建立风险源清单,并对每个可能存在的风险作出尽量准确的判断,采取相应措施。

参考文献

[1]曹克,刘立,论R&D(研究与发展)的企业内部化进程[J]自然辩证研究,1997

[2]王凯华,连燕华,我国企业研发项目管理及研发经费核算中的问题及对策[J],经济与管理研究,2008(6)

[3]乔明,项目管理中的风险管理分析[J],工程建设与设计,2003(12)