变更管理风险评估
开篇:润墨网以专业的文秘视角,为您筛选了八篇变更管理风险评估范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
变更管理风险评估范文第1篇
(1)IT治理风险。IT治理风险的宏观体现是最高管理层对信息化理解的不确定性、以及企业领导力影响的不确定性;微观体现是缺乏制度化与标准化的约束,缺乏部门之间及流程之间协调、沟通的机制,造成IT系统与业务需求的脱离,以及IT系统和企业信息资源间的孤立。
(2)遵从性风险。指企业内部IT策略与外部法律法规的遵从(Compliance)所导致的风险。伴随信息技术的发展,国内外出台大量法律法规加强了对信息系统的监管。例如,2002年美国国会的《萨班斯—奥克斯利法案》虽然没有直接明确对信息系统的要求,但据统计,企业在实施符合法案要求的工作中,信息系统方面的工作量占比超过40%;2006年中国银监会《电子银行业务管理办法》和《电子银行安全评估指引》,也直接对技术风险较大的电子银行提出了进行独立的或相对独立的信息系统审计的要求。
(3)信息安全风险。企业信息系统不断开放和复杂,使得信息安全面临来自内外部的严峻挑战。针对企业信息系统的攻击方式简单易学、攻击对象身份隐匿,造成企业信息安全风险极易转化为现实的业务威胁,如支持员工移动办公给企业资产安全性和可用性带来的压力倍增,许多敏感机密信息被轻易泄露。
(4)可用性风险。可用性风险主要来自三个方面,一是IT平台系统自身漏洞导致的系统停机事件越发难以掌控;二是由于事件管理、变更管理、配置管理、连续性计划等IT服务管理流程缺失或不到位,导致IT系统不可用;三是来自自然的灾害威胁着IT系统的可用性。
(5)绩效风险。若IT投资行为不能带来合理的回报,如规划不当、控制不严等,将使组织面临巨大财务风险。同时,如果对IT的投资绩效和运行绩效不能进行有效测量,就不能有效地发现存在的问题,并采取针对性的改进措施。随着信息系统日益成为企业经营成功的核心,且贯穿在完整的流程过程中,企业业务和支撑业务的信息系统愈加无法分割,形成有机的整体。因此,IT风险带来的挑战不仅影响到信息系统本身,也同时会影响到业务的稳定运行及发展,更有可能影响到外部的业务客户。在应对这些IT风险时,传统的方式大多是采用事后反应式的控制措施,使得技术人员疲于应付各种层出不穷的风险,且在面对制度、流程、人员行为等方面带来的风险时,传统的控制方法存在明显不足,而降低企业IT风险的关键是需要有一个主动、科学的风险管理体系。
2企业IT风险管理及其标准指南
企业IT风险管理是围绕企业信息化战略目标,通过在信息系统的规划、开发、运行、维护、监控与评价的各个阶段中降低企业风险的科学化管理流程,包括风险管理的策略制定、风险的识别、风险的评估、风险的处置等环节,以达到企业信息化可持续发展的目标。一个科学的IT风险管理体系是一个具有前瞻性、全局性的控制机制,能综合防范和应对IT治理、法规遵从、系统可用、信息安全、IT外包、业务连续性、IT绩效等诸多方面的企业风险,并能使企业IT战略与企业综合战略相融合,以实现有效益、可持续的信息化发展。信息社会环境下,无论何种规模、什么类型的企业,都需要面临围绕信息系统制定一套管理体系和控制指南,有效地管理企业面临的各种各样的风险,并随着业务环境的变化和新技术的发展及时更新。
在此方面,国内外已经有一些较为成熟的企业IT风险管理的标准或指南。例如美国反虚假财务报告委员会(COSO)于2004年颁布的《COSO企业风险管理框架》,此框架要求企业管理者以风险组合的观点看待企业风险,对包括IT风险在内的所有风险进行识别,并采取措施使企业所承担的风险在风险容纳量(RiskAppetite)的范围内。而美国信息系统审计与控制协会的COBIT标准自1996年诞生以来已经更新到了第四版,已成为全球通用的信息系统审计标准,该标准每一次更新都在不断强化IT风险控制的目标内容,为企业信息系统安全审计提出了具体指导。此外,国际知名的信息安全标准也都提出了各自的IT风险管理控制框架,包括ITIL(Infor-mationTechnologyInfrastructureLibrary,信息技术基础架构库)、ISO27001(信息安全管理使用规则)、CMMI(CapabilityMaturityModelIntegration,能力成熟度模型集成)、Prince2(ProjectsINControlledEn-vironments,受控环境下的项目)等。
近年来,我国的信息化主管部门以及各行业也积极加强了企业风险管理。以金融业为例,2004年9月银监会了《商业银行内部控制评价试行办法》,其中包括了对银行计算机系统的IT风险控制要求;2009年银监会出台了《商业银行信息科技风险管理指引》,2011年银监会了《商业银行业务连续性监管指引》。与此同时,其他行业监管部门也已经或计划出台类似的风险管理措施。上述标准或指南为企业IT风险管理提供了原则指导和对策框架,如何将这些原则性建议与企业自身的工作实际相结合,如何将IT风险管理融入常态化的企业管理机制,仍然是企业管理实践中的难点。因此,本文以我国企业IT风险管理的先行行业———金融业的管理实践为例,详细探讨企业IT风险管理的体系结构及其关系,并就企业IT风险管理的实施提出具体建议。
3企业IT风险管理的体系框架
企业IT风险管理框架通过对企业信息安全各个层面实际需求和风险的分析,引入恰当的安全控制措施,并且同信息系统审计相结合,从而保证企业信息资产的安全性、完整性和可用性。企业IT风险管理框架可分为风险治理、风险评估和风险应对三个主要的方面,并通过风险沟通和监控等手段将三方面有效结合。该体系框架遵循PDCA(Plan、Do、Check、Act)的管理模式,能确保企业IT风险管理始终保持在可持续发展的轨道上,并通过阶段性地进行信息系统审计,以发现存在的偏离,及时调整到信息化的最终目标上来。
3.1风险治理
主要内容包括建立基于风险的信息科技决策、定义风险策略、建立风险组织和风险整合等内容。例如宣传IT风险对于决策的价值、将IT风险考虑纳入业务和IT决策、整合IT风险策略和业务风险策略等都属于风险治理的内容。
3.2风险评估
主要内容包括风险识别、风险分析和风险维护等内容。诸多国际标准都提出了信息安全风险评估的标准,如ISO27001(信息安全管理体系规范)、ISO/IECTR13335(信息技术安全管理指南)、NISTSP800-30(信息技术系统风险管理指南)等,可作为企业实施风险评估实践的参考。风险评估包括识别具体的风险管理对象、识别风险、根据模型进行评估、识别现有控制、分析剩余风险等步骤。风险维护就是对企业识别出的风险进行管理,跟踪风险处置情况,更新风险清单,可通过创建和维护风险数据库来实现。风险维护也是风险评估的重要内容,以实现对风险的持续管理和改进。
3.3风险应对
风险应对就是对已识别的风险进行评估后,制定并落实相应的措施和整体策略,使剩余风险处于可控的范围。风险应对措施包括接受风险、转移风险、避免风险和降低风险。风险应对活动包括确定风险处置方案、实施风险处置、响应和处理风险事件等。
3.险监控/沟通
风险监控/沟通是链接企业IT风险管理各要素的关键环节,是企业IT风险管理体系得以运转的重要方面,包括建立和运行风险指标体系、IT风险内部监督体系、风险报告体系以及风险沟通渠道等。风险管理需要从管理层到普通员工的共同参与,这需要将风险直观准确地展现、横向和纵向的沟通、并持续进行监控。
4企业IT风险管理的实施步骤
为了推进企业IT风险管理体系的实施,本文在总结金融企业信息系统安全风险管理的实施过程,得出企业IT风险管理可行的实施步骤,具体包括识别管理对象、风险识别、风险分析评估、风险应对、风险监控/沟通等五大关键步骤。
4.1管理对象识别
明确风险管理对象是企业实施风险管理的首要步骤,本文提出风险地图(RiskMap)的概念,即实现风险评估对象的可视化,明确识别出全部或特定领域的所有管理对象,只有保证企业风险地图的全面性和准确性,才能准确识别并标示出IT风险所在的位置,从而进行有效的管理,一个全面的IT风险管理可从如下三大维度进行风险管理对象的识别:(1)从资产的角度进行识别,即对组成信息系统的系统、设备和数据等信息资产进行全面识别和统计,具体实施细则可参照ISO27001。(2)从管理领域的角度进行识别,如变更管理、事件管理、配置管理等,具体实施细则可参照COBIT。(3)从服务的角度进行识别,具体实施细可参照ISO20000执行。
4.2风险识别
风险识别是通过科学方法了解企业所面临的IT风险,分析风险的来源、性质,并进行风险处置和风险管理。风险识别通常采用以下方法:(1)头脑风暴;(2)德尔菲方法;(3)故障树分析法,又称分解分析法;(4)业务流程分析法;(5)情景分析法;(6)专家预测法,包括个人经验法、专家会议等形式;(7)筛选、监测、诊断法;(8)资产财务状况分析法。其中,德尔菲方法是最常用的IT风险分析方法之一,具体是指采用“背对背”的沟通方式征询专家小组成员的预测意见,经过几轮征询,使专家小组的意见趋于集中,最后做出合理的预测结论,利用德尔菲法进行IT风险分析的具体流程如下。除了按照上述方法识别风险,也可直接从风险来源入手建立企业的IT风险清单,如行业公认的风险清单、监管要求、监管机构风险提示、过往事件、自我或外部风险评估结果、内部审计发现、管理层和内部员工在工作中的认识等。
4.3风险分析评估
IT风险分析评估是根据一定的评估模型,评估企业IT固有风险值、控制风险值,再根据固有风险值和控制风险值计算出剩余风险值。风险分析是IT风险管理中较难实施的一个环节,尤其是评估模型的制定,可以采用较易开展的定性方式,也可采用准确度较高的定量计算,也可以定量和定性综合使用。以下是一种较为通用的风险分析模型和流程,可以对风险进行量化评估,具体流程包括:(1)计算固有风险值。从影响程度和发生可能性两个维度进行评分,可得出固有风险分值。如下是风险评估的量化模型和公式。其中风险评分从影响程度和发生可能性两方面进行计算,并给出影响程度和发生可能性两方面的评估参数示例。(2)计算控制风险值。结合现有控制评估的结果,从设计、执行、补偿性控制三个层面,参照衡量标准,最终确认控制风险分值。(3)计算剩余风险评估。在获得每一个风险的固有风险等级和控制风险等级后,可根据矩阵获得剩余风险等级值。
4.险应对
首选需要确定管理层的风险偏好等级。风险偏好是为了实现目标,企业在承担风险的种类、大小等方面的基本态度。然后根据剩余风险评估结果及风险偏好,依据内外部需求,并结合实际情况,针对剩余风险提供恰当的控制改进建议,以将剩余风险降低到可接受的水平。风险处置措施包括接受风险、转移风险、避免风险和降低风险。在风险处置计划方面,一方面需要体现可操作性,如分为短期(半年),中期(1年),长期(2-3年),同时也需要考虑多个维度,如组织架构、人员、制度流程和技术等。
4.5IT风险监控/沟通
风险指标是有效进行风险监控和沟通的重要手段。指标是一种可量化的、被事先认可的、用来反映组织目标实现程度的重要标识,是绩效管理的有效手段。企业IT风险管理引入指标体系,可以促进整个活动的有效开展。指标的功能主要表现在以下三个方面:(1)在准备阶段,可以清楚的反映目前企业的信息安全现状,并为制定目标提供依据;(2)在实施过程中,阶段性地反映进展情况;(3)便于各层人员把握活动的进展情况:使高层领导清晰地了解关键要素的进展和改进情况;使管理者集中精力于对活动中的重要和关键要素,及时诊断活动中出现的问题并采取措施。在实践中,应针对关键的风险领域,即根据企业及领导层的风险偏好,建立可监控、可量化的IT关键风险指标。IT关键风险指标来源可包括内外部监管机构数据、自动监控平台数据、IT风险检查果、IT风险自报结果等。关键风险指标可分为风险指标(KRI)、控制指标(KCI)。以变更管理的风险管理指标,可设置紧急变更次数、变更失败比例、变更导致的事件数量等,针对每个变更管理风险管理指标,制定出相应的控制指标,如预警阀值和容忍阀值。
5结语
变更管理风险评估范文第2篇
查找信息资产存在的漏洞,结合现有控制措施,分析这些威胁被利用的可能性和造成的影响,根据可能性和影响评估风险的大小,提出风险控制措施的过程。《国家信息化领导小组关于加强信息安全保障工作的意见》在2003年9月被提上日程(简称27号文),提出了“信息安全风险评估是信息安全保障的重要基础性工作之一”。为了贯彻27号文的精神,进一步识别信息系统存在的风险,并对其进行控制,很多单位启动了风险评估项目。而风险评估项目又不同于一般的IT项目,有其自身的特点。
2信息安全风险评估项目的过程管理
可以从五个方面解释信息安全风险评估项目的生命周期,即数据收集、计划准备、数据分析、项目验收、报告撰写,其中一三五是风险评估的主要实施阶段。
2.1计划准备阶段
(1)制定项目章程。在信息安全风险评估项目中,应尽早确认并任命项目经理,最好在制定项目章程时就任命。项目经理的职责首先就在于应该参与制定项目章程,而该章程则具有授权的作用,即它能够使得经理能够运用组织资源来进行项目的实施。显而易见,项目经理是被授权的一方,必然不能成为授权项目运行有效的一方。授权项目启动的人一般而言能够提供实施项目所需要的资金等资源,他们能够参与章程的编制。
(2)确定风险评估范围。确定风险评估范围即要了解什么方面或者对象具有风险爆发的可能,例如公司的服务器数目、电脑操作系统的安全性和稳定性、应用的防火墙种类和数目等,甚至一些人为的因素也是重要的参考。
(3)明确风险评估成果。在信息安全风险评估项目中,应该在项目开始之前,与客户将项目提交的成果及要求确定下来。明确风险评估成果之后,在项目执行过程中,该目标也应该作为项目验收的标准。
(4)制定项目实施方案。项目实施方案是项目活动实施的具体流程,主要用来为项目实施提供技术指导。
(5)制定项目管理计划。如果想要计划实施过程一切顺利,或者说对定义等计划行动的过程需要记录的话,就会需要制定一个项目管理计划。项目管理计划需要通过不断更新来渐进明细。项目管理计划不能冗余,相反应该极其精炼,但是精炼并不意味着简单,相反项目管理计划应详细论述和解释完成这个项目所需要的一些条件。
(6)组建项目团队。一个优秀的项目团队是完成项目所必不可少的,是一种必须的人力资源。在项目开始时,一般而言,由项目经理来决定优秀团队的组成,并且在组建团队时应该注意谈判技巧。
(7)召开项目启动会。项目启动会代表着一个项目从此开始了正式的运作,是一个项目的启动阶段,在项目启动会上需要完成的任务包括分析评估完成项目所需要的方法和成本等问题。
(8)风险评估培训。风险评估培训是对项目团队成员及客户的项目参与者就风险评估方法、评估过程的相关细节性进行培训,以便项目能顺利实施。
2.2数据收集阶段
主要包括收集资料、现场技术评估、现场管理评估三项任务。
(1)收集资料。数据收集阶段最开始的步骤肯定是收集资料,简而言之,收集资料就是采取一切可行的方法,尽可能详细地获得和项目相关的一些信息,例如客户的行为习惯、客户业务相关的文档,甚至信息安全系统、信息化流程等信息都要尽量详细化。
(2)现场技术评估。现场技术评估就是通过漏洞扫描、问卷调查、现场访谈、主机配置审计、现场勘查等手段对评估对象进行评估。
(3)现场管理评估。现场管理评估是最后一个步骤,但是却非常重要,它不仅关系着此次项目运行成功与否,还关系到以后项目效率的改进,现场评估需要对项目进展的流程进行综合分析,找出不足之处,寻出与优秀的项目管理之间的差距,归纳总结,从而完善管理程序。
2.3数据分析阶段
收集数据阶段已经收集了很多的数据存量,想要发现数据的内在规律,从而发现有用的东西,就必须对数据进行详细分析,只有仔细分析数据,才能够发现项目的风险所在,从而确定风险的大小,找出其资产、弱点、风险。
2.4报告撰写阶段
对收集到的数据进行了详细分析,得到初步的结论以后,就到了报告撰写阶段,即在数据分析的基础上,制作一份报告,论述项目的风险问题。
(1)撰写风险评估报告。风险评估报告应该将风险分析的结果直观地、形象地表达出来,让管理层清楚地了解当前信息系统存在的风险。
(2)撰写整改报告。整改报告则是根据风险评估的结果,提出对风险进行管理与控制的过程。可分为安全加固建议、安全体系结构建议、安全管理建议三种。
2.5项目验收阶段
在完成了以上的步骤以后,理论上就可以对项目进行验收了,项目验收即对前期风险评估成果的检验,一般包括三项内容,即报告的评审、组织会议讨论验收事宜以及内部项目总结。
(1)报告评审报告评审就是对风险评估报告及整改报告进行评审。
(2)召开项目验收会即对项目的成果进行汇报。
(3)内部项目总结不仅仅是单纯的对项目实施过程的一次简单的回顾,还是一个经验总结的过程,回顾过去,把握现在,争取在以后的项目中不再犯同样的错误。
3信息安全风险评估项目的重点领域管理
信息安全问题影响深远,其风险评估应根据项目的特点及具体过程,且应在评估中重点加强沟通、范围、时间、成本、风险、人力资源等几个领域的管理。
3.1项目沟通管理
为了达到项目目标,项目经理首先必须通过沟通谈判从本公司获得相应的人力资源等支持;其次,为了获得客户的支持与配合,提高项目满意度,项目经理必须与客户进行有效沟通。项目的最终目标是满足或者超过干系人的需求与期望。要满足或者超过干系人的需求与期望,首先应该识别干系人,识别他们的需求与期望,制定沟通计划,在项目实施过程中管理干系人的需求与期望。
(1)识别干系人。很显然,与项目的相关程度不同,不同的人对项目信息安全风险具有不同的影响,作为客户方与项目实施方,其公司企业的信息安全风险是不一样的,一般而言客户方具有最大的影响力,公司方则次之,干系人对项目的态度也是影响项目信息安全风险的重要因素,态度一般分为无关、支持和反对三个。
(2)了解干系人的需求与期望。应该在充分了解项目背景的基础上,运用一定的方法与技巧了解干系人的需求与期望。①了解项目背景。可以咨询售前顾问、销售人员或者查阅招标时的招标书,甚至可以通过互联网获得相关信息。风险评估项目的项目背景也是复杂的,一般而言会分成很多的情况,比较常见的有项目本身实施过程中出现的信息安全事件、监管机制的不合理等。②了解干系人需求与期望的方法。马期洛需求层次理论可以帮助我们了解干系人需求与期望。通过马期洛需求层次理论可以大致了解干系人的需求,然后通过换位思考、沟通交流等手段,进一步确认干系人的需求与期望。
(3)制定沟通计划。信息安全风险评估项目需要沟通,所以需要制定一个有效的沟通计划。信息安全风险评估项目不能够随意地制定沟通计划,而应该详细地分析相关的影响因素,重点关注利益相关者的沟通情况,从而降低影响,提高效率。
(4)管理干系人的需求与期望。干系人的期望与需求也应该得到恰当的管理,最重要的是要明确期望与需求,进行类别的划分。可分为A、B、C三类:A类:必须做(need),这一类如不做,将难以通过验收;B类:应该做(want),这一类如不做,会影响验收效果;C类:可以做(wish),这一类是可做可不做的,做了客户会更加满意,不做也不会影响验收。其次,在管理干系人的需求与期望时,应该遵循80/20规则,即完成20%的任务实现80%的价值,这部分任务必须作为重点。另外,可能还有20%的任务花费80%的成本,在资源及时间允许的情况下处理此类需求与期望。再次,在管理干系人的需求与期望时也可以根据干系人的职权(权力)进行管理。①在第一象限中的干系人权力高,但对项目关注程度低,采用令其满意的管理策略。②在第二象限中的干系人权力高,且对项目关注程度高,要对其重点管理,优先满足其需要与期望。③第三象限的人员对项目关注程度高,但权力较低,采用随时告知的策略,尽量不要影响其个人利益。④第四象限的人权力低,且对项目不关注,要监督他们对项目的反应,不引起负面影响。最后,为了满足干系人的需求与期望,需要在项目范围、项目时间、项目成本、项目质量之间做好平衡。
3.2项目范围管理
范围是一个空间的范畴,一个项目管理的范围规定了一个项目的权限范围,规定了项目可以做哪些事情,而哪些事情是不能做的,实际上是对必要工作的坚持和对不必要工作的摒弃。
(1)明确风险评估范围。项目计划准备时就要考虑风险评估范围,在这一阶段就应该定义项目范围的广泛性以及纵深等内容,并且考虑客户的需求,从而明确项目管理范围。项目范围的确定不是一方所能够决定的,相反这是一个博弈的过程,应该照顾各方的利益,制定出一个符合各方利益的项目管理范围。
(2)明确风险评估成果。应该在项目开始之前,与客户将项目提交的成果及要求确定下来。一是在项目执行过程中,以此为目标;二是设定一个验收项目的标准。
(3)创建工作分解结构。顾名思义,创建工作分解结构即将解构分解,即把项目的最后结果和其工作流程明细化,从而使得每一步变得简单,更加容易操作。在信息安全风险评估项目中,第一层一般就放置项目成果,而第二层则更加侧重中间成果。显而易见,分解工作结构并不是一件简单的事情,也不是只有一种方法,各层次都是可以相互变化的。
(4)风险评估范围控制。范围是所有计划的基础。对待客户提出范围变更应该遵循以下流程:首先不能明确拒绝,然后要分析客户变更的原因及目的,快速反应变更所需要的人工及预算对时间和质量的影响,然后再做出决定。
(5)风险评估成果核实。风险评估成果核实过程应该严谨而且细心,因为这是一个正式验收项目的过程,需要由客户和项目的执行人一起认真核实项目的最终结果。
(6)取得干系人对项目范围正式认可。它要求审查可交付成果和工作结果,以保证一切均已正确无误且令人满意地完成。
3.3项目时间管理
时间管理至关重要,因为优秀的时间管理保证项目能够不延期交付。
(1)定义活动。定义活动从字面上理解就是一个识别的过程,定义识别的是在项目的实施过程中需要采取的一切实施方法和步骤。它是在工作分解结构的基础上进行细化而完成的。
(2)排列活动顺序。活动顺序涉及到的是一个排列的问题,指的是一种依赖关系,即识别和记录项目活动的依赖关系,是一种逻辑的过程。一般而言,这里所指的依赖关系指的是信息安全风险评估项目中,各个活动之间所具有的特性,如强制性、选择性和外部依赖性。确定完活动之间的依赖关系,就可以对他们进行排序了,可以采用网络图的方法来表达他们之间的顺序,常有三种关系,即完成-开始,开始-开始,结束-结束。
(3)估算活动持续时间。估算活动持续时间是一个时间上的范畴,指的是估计资源运用和消耗,以及估计完成一项活动所需工时的过程。需要根据活动的具体情况、负责活动的人员情况来进行估算。估算不能随意,应该具有严格的依据。工时估算时,常采用三点估算法。即估算工时=(最乐观时间+4×最可能时间+最悲观时间)/6。①制定进度计划。制定进度计划首先需要对所掌握的信息进行深入分析,从而确定活动的顺序,并且在时间和空间上确定一个相对准确的点,估算对资源的需求以及项目实施流程。制定一个有效的进度计划并不是件简单的事情,而是极其复杂的过程,在这期间需要一遍又一遍分析,从而确定一个合适的时间跨度,并且对项目结果有一个合适的预期。即使制订了进度计划,也不是一成不变的,而是要根据相关审查部门的意见适当地修改计划,从而使得计划在时间和资源应用上更加合理。只有审查通过以后,这个进度计划才可以说是确定下来了。信息安全风险评估项目极其复杂,很多因素无论是内部的还是外部的,都对项目有很大的影响,并且鉴于有限的项目组成员,所以需要采用一个更加合适的进度计划形式。②控制进度。控制进度的同时也是一个对项目监督管理的过程,这一过程根据进度计划的基准不断地调整项目的进程。进度控制程序:一般分为四个步骤,即先要分析一个项目所散发的状态信息;然后如果需要调整进度,就要调整影响进度的相关参数;再次分析以后,要确定一个项目是否在原定的轨道上;如果进度脱离了轨道,就要进行相应的管理。
3.4项目成本管理
成本管理包括估算成本、制定预算、控制成本三项任务。
(1)估算成本。对成本的估算需要囊括整个项目的进程,时间跨度和空间跨度上均要全面。成本估算是在某特定时点,根据已知信息所做出的成本预测。信息安全风险评估项目的主要成本是人工成本及实施直接成本,因为人工成本占了所有成本的一大部分,所以精确地估算人工成本是成本估算最基础的一面。估算人工成本有个前提,即进度计划是准确的,从而对团队成员的人工估算做到精确。项目成本即使估算出来了,也不一定是准确的,需要时时修正,因为越到了项目的后期,需要估计的越少,影响估算准确性的因素也越少,所以成本估算需要不断进行。
(2)制定预算。制定预算也是一个估算的过程,是对一个项目的所有方面进行一个全面的评估,从而为以后资金的拨付制订了基础和基准。只有制定预算,才能够根据预算的需求来划拨资金,并且影响到了项目的实施全过程和成果评估部分。
(3)控制成本。成本的控制一般而言指的是成本不应该超出预算,控制成本是一个动态的过程,是监督项目状态,从而获得有用信息以更新项目预算。项目成本控制包括:找出影响项目成本的因素,并作相应的修改;保证修改项目参数能够成功;在修改成功以后,要随时动态地监督;控制成本,使得成本控制在预算的范围之内,甚至应该精确到每一项开支;分析成本与预算成本基准之间的差距;对照资金支出,监督工作绩效;严格禁止不相关的支出,使得每一项成本都合情合理;向有关干系人汇报项目进展和成本控制的工作;即使项目超支了,也要尽量减少成本。
3.5人力资源管理
人力资源管理在一个项目执行时包括很多方面的内容,例如管理组织一个实施团队、人员分工等。
(1)制定人力资源计划。制定人力资源计划是在项目实施之前对实施项目的团队、人员、职务、报酬等方面的规划,并且对各个人和团队的责任进行详细划分。人力资源计划包含项目角色与职责记录、分成的各个部门等。一些信息安全风险评估项目执行时间比较长,因此需要更加有效的团队,这就需要对人员进行培训以及制定团队建设策略等。风险评估项目的责任分配并不复杂,可采用责任分配矩阵(RAM),这个矩阵能够显示工作包或活动与项目团队成员之间的联系。并且根据需求的不同,制定不同层次的矩阵。
(2)组建项目团队。组建项目团队实际上是对人力资源使用和分配的过程,需要了解人力资源的各种特性,从而组建最合适的管理团队,在组建团队时需要注意:项目经理所要做的是积极地与人力资源人员进行交流,充分掌握各方面的信息,从而获得最合适和最有效率的人才。但是有时候项目经理并不能总是如愿地获得自己想要的人力资源,而是会受到如经济等其他项目对资源的占用等因素的影响,从而制约了项目的实施,作为替代,项目经理可能不可避免地使用不合适的人力资源。
(3)管理项目团队。管理项目团队是选出来运营项目的人所组成的团队,他们具有多样化的目标,例如继续学习,提高团队成员的专业技能,增强团队的执行能力从而保证项目结果的按时交付;以最低的成本完成最高质量的项目;按时完成项目,团队成员之间相互协作,增加团队效率,丰富团队成员的知识,增强其跨学科运作能力,提高团队的凝聚力,无论整体上还是个人上都有效率的提升等。项目经理在期间应该全权负责项目团队的管理运作,增加项目绩效,在团队出现问题时,分析导致问题的原因,然后解决问题。团队建设一般要经过5个阶段:①形成阶段,这个阶段是团队形成的最初阶段,团队成员只是互相认识,并没有相应的合作。②震荡阶段,指的是团队已经开始运作,但是成员之间需要磨合的阶段。③规范阶段,过了磨合期以后,团队成员彼此之间逐渐适应了彼此的节奏,能够进行初步合作了,团队开始有成为一个有效整体的趋向。④成熟阶段,这一阶段团队成员之间已经能够精诚合作,互补余缺,相互学习,团队效率较高。⑤解散阶段,即当项目完成以后,各成员完成了职责,从而脱离团队。因为各种各样的原因,例如缺乏充足的资金、进度安排不合理、团队成员之间缺乏配合等,会造成项目环境的冲突。如果项目经理能有效管理,则意见分歧能够转变为团队的多样化管理,不仅能够提高团队创造力还有利于做出更好的决策。如果管理不当,团队之间的分歧没有得到解决,就可能会加大团队成员之间的鸿沟,从而对项目的实施产生负面的影响。要建设高效的项目团队,项目经理需要获得高层管理者的支持,获得团队成员的承诺,采用适当的奖励和认可机制,创建团队认同感,有效管理冲突,团队成员间增进信任和开放式沟通,特别是要有良好的团队领导力。项目团队管理的一些工具与技术包括:①人际关系技能。通过了解项目团队成员的感情来预测其行动,了解其后顾之忧,并尽力帮助解决问题,项目管理团队可大大减少麻烦并促进合作。②培训。旨在提高项目团队成员能力的全部活动,培训可以是正式或非正式的。应该按人力资源计划中的安排来实施预定的培训。③制定管理规范,对项目团队成员的可接受行为做出明确规定。尽早制定并遵守明确的规则,可减少误解,提高生产力。规则一旦建立,全体项目团队成员都必须遵守。④认可与奖励。如果想要提高项目团队的效率,使得每个人更加尽心和更加富有责任感,就应在团队建设过程中引进相应的激励机制,在制定项目计划时就应该考虑到团队成员的奖惩问题。在管理项目团队的过程中,团队成员的奖励不是随意而发的,而是通过项目绩效评价,以正式或非正式的方式做出奖励决定。只有优良行为才能得到奖励。
3.6项目风险管理
项目风险管理旨在降低风险,或者把风险控制在可控范围之内。其目标是尽力使得项目运行向着有利的方面转化,对消极负面的一部分则注意防范。信息安全风险评估项目不属于特别大的项目,所以一般分为识别风险、评价风险、规划风险应对、监控风险四个过程。
(1)识别风险。识别风险是风险管理的前提,是一个信息处理的过程,在这个过程中判断分析什么样的风险会影响项目。可采用核对表的方式进行风险识别。
(2)评价风险。对于信息安全风险评估项目,评价风险只需要定性评价即可。实施定性风险分析根据风险发生的相对概率或可能性、风险发生后对项目目标的相应影响以及其他因素来评估已识别风险的优先级。
(3)规划风险应对。规划风险应对是风险管理最重要的步骤,其规划的是项目的目标及降低风险的步骤。对于消极风险,常有回避、转移、减轻、接受四种方式;对于积极风险,常有开拓、分享、提高、接受四种方式。
(4)监控风险。监控风险是风险管理的最后一步,也是第一步,因为它是贯穿在整个项目之中,是一个制定风险应对计划、监控已知风险、加强管理以解决风险以及发现新风险的过程。
4结语
变更管理风险评估范文第3篇
对于进一步提高信息安全的保障能力和防护水平来说,实行信息安全等级保护无疑是一种好的方法,因为它能充分调动国家、法人和其他组织及公民的积极性,增强安全保护的整体性、针对性和实效性,使信息系统安全建设重点更加突出、规范,更加统一。
但是,电子政务重在政务,由于政务部门的职能不同,信息系统的结构、功能和安全要求也不尽相同,信息安全等级保护工作的侧重点也不同。然而从总体上来说,都需要做好以下几点:
落实好“四个把握”
把握等级保护的建设进程。按照等级保护程序规定,做好定级、备案、整改、评测与监管工作。
把握等级划分的合理性和准确性。要认真分析电子政务系统在国家安全、经济建设、社会生活中的重要性程度,即电子政务系统遭受破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素,合理准确地确定系统安全等级。具体来说,安全等级的确定要根据信息系统的综合价值和综合能力保证的要求不同以及安全性被破坏造成的损失大小,综合考虑信息系统的经济价值、社会价值以及信息服务的服务范围和连续性。
把握好不同等级的基本安全要求。基本要求是针对不同安全保护等级信息系统,应该具有的基本安全保护能力提出的安全要求。例如:第三级信息系统要具有抵御来自外部组织的恶意攻击能力和防内部人员攻击能力,不仅要对安全事件有审计记录,还要能追踪与响应处理,要实现多重保护制度。
把握好基本技术要求和基本管理要求。基本技术要求包括物理安全、网络安全、主机安全、应用安全与数据安全等方面。基本管理要求是通过控制信息系统中各种角色参与的活动,包括安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理等方面,从政策、制度、规范、流程以及记录等方面做出规定。对于电子政务系统要特别关注基础设施监控与管理、网络安全监控与管理、业务应用系统的监控与管理、应急响应与备份恢复管理。
引入风险评估机制
信息安全等级保护必须树立风险管理的思想,而风险评估是风险管理的基础,因此,三级以上电子政务系统必须定期进行信息安全风险评估。风险评估贯穿于等级保护周期的系统定级、安全实施和安全运维三个阶段:
系统定级。由于不同的电子政务系统具有自身的行业和业务特点,且所受到的安全威胁均有所不同。因此,可以依据信息安全风险评估国家标准对所评估资产的重要性、客观威胁发生的频率、系统自身脆弱性的严重程度进行识别和关联分析,判断信息系统应采取什么强度的安全措施,然后将安全事件一旦发生后可能造成的影响控制在可接受的范围内。即将风险评估的结果作为确定信息系统安全措施的保护级别的一个参考依据。
安全实施。安全实施是根据信息安全等级保护国家标准的要求,从管理与技术两个方面选择不同强度的安全措施,来确保建设的安全措施满足相应的等级要求。风险评估在安全实施阶段就可以直接发挥作用,那就是对现有电子政务系统进行评估和加固,然后再进行安全设备部署等。在安全实施过程中也会发生安全事件并可能带来长期的安全隐患,如安全集成过程中设置的超级用户和口令没有完全移交给用户、防火墙部署后长时间保持透明策略等都会带来严重的问题,风险评估能够及早发现并解决这些问题。
安全运维。安全运维是指按照系统等级进行安全实施后开展运行维护的安全工作。安全运维包括两方面:一是维护现有安全措施等级的有效性。二是根据客观情况的变化以及系统内部建设的实际需要,对等级进行定期调整,以防止过度保护或保护不足。在安全运维的过程中,通过信息安全风险评估工作可以对已有信息系统的安全等级保护情况进行评估,依据已确定等级的相关保护要求,对系统的保护效果、潜在风险进行评价,评估是否达到等级保护的要求;当信息系统或外部环境发生变更时,可以通过风险评估工作了解和确定风险的变更,为再次定级和等级保护措施的调整提供依据。
建立有效的信息安全管理组织
信息安全管理组织是建立信息安全保障体系,做好信息安全等级保护工作的必要条件。当前很多政务部门的信息安全工作均有信息化部门兼任,没有足够的权威性。等级保护工作的开展,要求在组织内部建立信息系统安全方面的最高权力组织,并有明确的安全目标,目的是在管理层的承诺和拥有足够资源的情况下开展信息安全工作。因此,建立有效的信息安全管理组织必须明确以下内容:
要遵循分权制衡原则。制度的建立、制度的执行、执行情况的检查与监督要分开考虑。在目前的等级保护测评工作中,时常发现有系统管理员、网络管理员、安全员与审计员兼任的情况,甚至一人包揽所有的信息系统运维工作。但从等级保护的基本要求来看,依据分权制衡的原则,建议在电子政务系统中,系统管理员与审计员不得兼任,审计员不能从事所有日常信息的维护与管理工作,系统管理员不能从事审计日志的查看与处理工作。
要坚持从上而下的垂直管理原则。上一级机关信息系统的安全管理组织指导下一级机关信息系统的安全管理组织的工作,下一级机关信息系统的安全管理组织接受并执行上一级机关信息系统的安全管理组织的安全策略。
应常设信息系统安全管理组织办公机构,负责信息安全的日常事务工作。信息系统安全管理组织应由系统管理、系统分析、软硬件维护、安全保卫、系统稽核、人事与通信等有关方面的人员组成。
信息安全管理组织部门不能隶属于技术部门或运行部门,各级信息系统的安全组织不能隶属于同级信息系统管理和业务机构。信息安全管理组织部门只有不隶属于技术或运维部门,才能站在较高的层次上制定信息安全的整体框架与策略、有效的处理安全事件,启动应急预案。
变更管理风险评估范文第4篇
【关键词】电网运行;重要客户;安全;风险管控
1 电网风险管控现状及存在问题
随着电网日益发展,基建、技改、计划检修等设备停电造成电网运行方式薄弱,供电安全风险增加。尤其电网运行风险管控方面没有标准的制度,没有规范的流程,各部门对电网运行风险防范措施有限。造成电网风险协同管控能力严重不足。为了加强重要电力客户供电安全,防止电网事故引发的重要电力客户次生事故发生,建立一套电网风险评估、预警、管控全过程工作机制,全面实施地区电网风险协同管控的需求日益迫切。
2 电网风险管控流程机制
为了强化电网运行风险管控,结合马鞍山电网的实际,制定了《马鞍山电网运行风险评估及管控规定》、《马鞍山电网重要电力客户调度运行管理制度》,规范做好风险识别、风险分级、风险监视、风险控制工作。以标准化、流程化管理为手段,以信息化技术为载体,建立了一套电网运行风险分析评估、预警、管控的闭环管理机制[2],对电网运行风险预警、电网运行风险协同管控实施标准流程化管理,实施全过程的安全风险管控。
2.1 风险分析评估
公司调度部门根据年度电网现状开展风险分析,提前掌握可能的电网风险,形成年度电网风险分析报告。利用年度电网风险分析报告,结合月度停电计划编制工作,分析次月度电网设备计划停电可能带来的电网运行风险,梳理可能达到地区电网三级及以上风险的项目,然后结合电网周停电安排、检修工作申请票批复,滚动开展周(日)电网运行风险评估,修正月度风险评估结果,准确评定电网运行风险等级。
2.2 风险预警
公司调度部门月底前在公司月度生产会通报下月电网运行风险评估报告,并按要求向安质部、运检部、营销部行文报备,每周三前下周地区电网一至三级运行风险。计划检修方式造成地区电网三级及以上风险状态的,地调在检修申请单批复前向重要电力客户下达电网运行风险预警通知单并取得回执;涉及县级电网运行风险的,由各县调下达重要电力客户运行风险预警通知单;对于省调涉及地区电网运行风险的,地调及时跟踪应对并制定风险预警单明确防控措施。
2.3 风险管控措施实施
公司安监部门每周五前组织制定地区(包括县级)电网下周运行风险管控措施,并在公司内网网站“电网运行风险预警”栏公告。各相关部门每周五在公司周生产会上签收下周预警通知单,并组织相关单位落实预警通知单措施要求,在下周一调度早会上汇报管控措施落实情况,实现电网运行风险预警和防控的闭环管理。若设备计划停电检修使高危及重要用户、铁路牵引站等供电可靠性降低,由营销部门在停电检修前提前告知,取得用户书面回执后才开展停电检修工作。
3 案例分析
今年五月份,公司成功应对一起地区电网一级风险,安徽主网三级电网风险管控工作,是实施地区电网风险协同管控策略的成功实践。
3.1 停电背景及风险概述
220千伏当长4831、当荷4832及当阳4837、4838线路(即马鞍山南部电网)均接入500千伏当涂变220千伏A段母线;220千伏当采4833、4834,当苏4835、4836线路(即马鞍山西北部电网)均接入500千伏当涂变220千伏B段母线(见图1)。为消除马鞍山西北部电网在当涂变220千伏母线检修方式下运行风险,计划安排5月中下旬,220kV当采4833、当阳4838线当涂变侧线路交叉互换,工期10天。本次停电220kV当采4833/4834线、当阳4837/4838线四线同停,马鞍山西北部电网仅靠同塔双回220kV当苏4835/4836线与系统联络,在N-2故障下马鞍山西北部电网将与系统解列(见图2),为地区电网一级风险,安徽主网三级电网风险[3]。
3.2 风险协同管控策略实施
3.2.1 调度部门依据年度、月度、周检修计划结合电网运行方式年度电网检修方式可行性分析报告、月度风险辨识定级,并根据周停电计划同步下周电网风险预警和高危客户通知单。
3.2.2 公司安监部制定保电总体方案,运检部、调控中心、营销部、物资中心及相关县公司制定保电方案,公司办公室负责舆情应对及宣传报道方案。运维部组织变电输电专业对相关线路及变电站开展特巡,通过恢复220kV站点有人值守、输变电设备专项红外测温特巡、全线流动巡视重点区段专人蹲守等方法确保保电方案的有效实施;调控中心开展桌面推演落实电网事故处理预案,调度监控加强相关变电站信号盯守特巡,经事故稳定计算合理安排电网运行方式并严格断面潮流监视控制。
3.2.3 公司安监部积极联系政府部门进行风险报备,同时营销部门统一对外高危客户风险及时间变更告知并取得回执。本次换仓改造工程因塔材到货及天气原因造成计划时间一再改变,调度部门针对计划变更相应电网风险改期及顺延,三次均向公司相关部门及所有相关用户风险预警并取得用户回执。工作结束后由调控中心通知相关单位解除风险预警,完成风险闭环管理。
4 结束语
马鞍山公司通过建立电网安全风险预警机制,并从预警的形式、内容及管理进行规范,有效的促进相关部门提前做好安全保障工作,降低电网在非正常方式下的运行风险,将电网安全稳定运行关口前移,强化了电网运行的风险管控,更好的实现电网安全运行全过程可控、能控、在控。从而建立了以科学防范为导向,流程管理为手段,全过程闭环监管为支撑的全面覆盖、全程管控、高效协同的调控运行风险管理机制。
【参考文献】
[1]马鞍山市经信委关于对马鞍山地区电力重要用户进行备案的批复[Z].马经信资源〔2015〕11号.
变更管理风险评估范文第5篇
关键词:信息安全;风险评估
随着我国经济发展及社会信息化程度不断加快,网络得到了迅速的发展,并且在人们的生活、学习及工作中的作用越来越大,同时伴随而来的网络信息安全问题也越来越多了,这给人们不仅给人们的生活带来了不便,还会造成经济损失,对信息安全进行风险评估还是很有必要的。
1. 信息安全风险评估概述
信息安全风险评估所指的是信息系统因为自身存在着安全弱点,当在自然或者自然的威胁之下发生安全问题的可能性,安全风险是指安全事件发生可能性及事件会造成的影响来进行综合衡量,在信息安全的管理环节中,每个环节都存在着安全风险。信息安全的风险评估所指的是从风险管理的角度看,采用科学的手段及方法,对网络信息系统存在的脆弱性及面临的威胁进行系统地分析,对安全事件发生可能带来的危害程度进行评估,同时提出有针对的防护对策及整改措施,从而有效地化解及防范信息安全的风险,或把风险控制在能够接受的范围内,这样能够最大限度地为信息安全及网络保障提供相关的科学依据。
2. 信息安全的风险评估原则、风险计算模型及评估方法
2.1 信息安全的风险评估原则
信息安全的风险评估原则主要包括可控性、保密性、最小影响及完整性四个原则。可控性原则包含人员、项目过程及工具的可控性,人员的可控性是指凡是参与信息的安全评估人员都应该资格的审查及备案,要对职责进行明确的分工,当人员的工作岗位发生变更时,要严格执行审批手续,从而确定人员的可控;项目过程的可控是指要运用项目管理的方法学进行项目管理的评估,并重视项目管理中的沟通管理,从而有效地实现项目过程的可控;工具的可控是指对风险评估工具应运用多方的性能比对及精心挑选,同时要取得相关部门及相关专家的论证及认证。保密原则所指的是要跟相关的评估对象签订非侵害行为协议及保密协议。最小影响原则所指的是通过工具技术及项目管理层面对信息系统进行风险评估,从而将影响正常运行的影响降到最低。完整性原则所指的是严格依照委托单位的制定范围及评估要求进行有效地全面评估服务。
2.2 信息安全风险计算模型
风险计算模型所指的是对风险进行分析及计算风险值过程的抽象,包括脆弱性评估、威胁评估、资产评估及风险分析,如图所示。
风险计算模型图
风险计算过程为:对资产进行识别,且对资产进行赋值;对威胁分析且对其威胁的可能性给予赋值;对资产的脆弱性进行识别,且对其严重程度给予赋值;依据脆弱及威胁性来计算安全事件会发生的可能性;同时依据资产重要性来评估发生安全事件的风险值;通过指标体系中的指标风险值进行定性及定量的评估方法来综合分析,从而得出信息安全风险的评估值。
3.信息安全风险评估方法
信息安全的风险评估方法有很多,按照计算方法可以分为三种,定量、定性及定量和定性相结合的风险评估方法。定量风险评估方法是一种较为精确的风险评估法,常用数学形式来进行表达,当风险对信息会带来较大的危险或者资料比较充足时,可运用定量风险进行评估。进行定量评估的优点是能够用较为直观的数据进行表述,这样评估的结果较为客观,研究结果更为科学;其缺点是在量化中,一些较为复杂的事物被模糊及简单化了,一些风险因素可能被曲解或者误解,再加上资产价值及发生概率量化较为困难,这种方法使用起来其难度是比较高的,定量评估法中的分析方法有回归模型、聚类分析法、因子分析法、决策树法、时序模型及等风险图法等。定性风险评估法是指根据研究者的经验、知识、政策走向、特殊变例及历史教训等非量化的资料对系统的风险状况作出相应判断的过程。主要对调查对象进行深入访谈并作出个案记录作为基本的资料,运用理论对分析框架进行推导演绎,并编码整理资料,以作出结论。定性分析法有历史比较法、因素分析法、德尔菲法及逻辑分析法。这种方法的优点是所需要的时间、人力资源及费用比较少,缺点是主观性太强,往往不太准确。在进行风险评估中,一些评估的要素是能够用量化形式进行表达的,有些要素用量化是比较困难的,在信息安全的风险评估中一味地用量化是不准确科学的,定量风险分析是进行定性风险分析的前提和基础,定性分析是灵魂,需要在定量分析之上来揭示客观事物的规律,在进行信息安全的风险评估时,不应该将定量分析及定性分析简单割裂,而是将这两种评估方法有机的结合起来,进行定量与定性的综合评估。按照实施手段可以区分为动态系统技术和基于树的技术,动态系统技术有马尔可夫分析方法、尝试法、动态事件树的分析法及动态事件逻辑分析法等,其中马尔可夫分析法还可以称为马尔可夫转移矩阵法,所指的是在马儿可夫的过程之下,运用随机变量的变化情况对变量的未来变化情况进行预测的一种方法。基于树技术的方法主要有事件树分析法、故障树分析法及因果树分析法等。
3. 信息安全分风险评估的发展方向
3.1 由单纯技术风险评估向一体风险评估的转变以及基于知识和模型评估的重视
单纯技术评估所强调的是组织技术中的脆弱性,信息安全的一体化风险评估拓展了技术风险评估的范围,它所强调的是业务风险分析方法,其核心是业务过程层次中的风险识别,能够有效地保证业务组织的持续性,一体化风险评估所着眼的是组织和安全相关的风险,主要包含内外部环境风险源、组织结构及技术基础,并基于信息及人的风险,并按照目标或者组织业务影响的大小来对安全风险排序。基于知识风险评估的方法是指依照安全专家处所获得的经验对相似场景进行解决的风险评估,这种风险评估方法能够更直接地提供所推荐的结构框架、实施计划及保护措施。基于模型风险评估的方法是指能够对信息系统中的内部机制所涉及的危险因素和当系统跟外界交互时产生的不正常有害行为给予建模,从而对信息系统的安全威胁及系统弱点进行定性分析,注重模型评估及知识风险评估是很有必要的分析方法。
3.2 运用信息安全风险评估的辅助工具来加速评估的进程
在风险评估工具运用之前,所采用的是手工劳动,劳动量大并且 易出现纰漏,而且还不可避免的带有风险评估人员的主观性,风险评估工具的运用有效地解决了手工评估所带来的局限性,像英国的CRAMM评估能够用于商业影响评估及识别、资产的建模、威胁与弱点的评估、安全需求的定义、风险等级的评估等。COBRA风险评估工具,它所依据的是专家系统及知识库问卷系统,能够有效地对脆弱点及威胁点的相对重要性进行评估,且给出相应的解决方案,风险评估工具还有很多,在进行信息安全的风险评估时,要运用多种辅助工具来加速评估的进程。
4. 总结
对信息安全进行风险评估是对信息安全的有效保障,进行风险评估不仅能够提高相关人员的信息安全的风险意识及防范措施,还能够运用分先评估进行信息系统的等级建设及保护性能的技术支持,对信息安全中的不确定性因素进行风险评估,并采取不同的措施进行处理,从而保证信息系统的安全有效运行。
参考文献:
[1]沈吉锋,张永志,潘军.信息安全风险评估分析方法简述[J].电脑知识与技术,2010(05)
[2]翟亚红.浅析信息安全风险评估与等级保护的关系[J].信息安全与通信保密,2011(04)
变更管理风险评估范文第6篇
[关键词]抽水蓄能电站;风险评估
中图分类号:TV743 文献标识码:A 文章编号:1009-914X(2014)34-0045-01
1 研究背景
2011年7月底,国家能源局提出了“认真做好抽水蓄能电站的规划、建设和管理,促进抽水蓄能电站建设健康有序发展”[1]的要求,国家对抽水蓄能电站的需求日益急迫。但随着抽水蓄能电站建设的急剧扩张,建设管理能力有限,建设队伍相对较少,施工和管理经验欠缺等一系列问题也随之暴露出来。基于以上问题,在抽水蓄能电站建设过程开展项目风险评估显得格外重要。本文主要参考《大中型水电工程建设风险管理规范》中的评估方法和评估内容进行分析和研究,得出结论。
2 抽水蓄能电站建设项目概述
抽水蓄能电站有建设规模大、建设周期长、影响因素复杂、风险后果严重等特点[2]。风险来源主要包括规划与设计、土建施工、金属结构与机电设备安装、电站运行、投资决策等五个阶段。本文以国内某抽水蓄能电站工程为例,重点对土建施工阶段的风险进行分析,主要包括施工准备阶段、施工实施阶段和缺陷责任期阶段[3]。
3 风险评估的方法和流程
本文引用《大中型水电工程建设风险管理规范》(GB/T 50927-2013)中的风险评估方法,通过可能性等级和损失等级的矩阵对比,得出风险等级。
抽水蓄能电站工程建设风险可依据风险事故损失进行分类,包括人员伤亡风险、经济损失风险、工期延误风险、环境影响风险、社会影响风险。
风险应对的手段有风险规避、风险转移、风险控制(风险缓解)、风险自留、风险利用等方法[4]。
4 风险评估
4.1 风险辨识
本文仅简单列举以下风险:
4.1.1施工准备阶段风险
(1)施工单位者违法分包或转包,造成施工安全、质量系数降低,投资成本变相流失;
(2)项目经理能力不足导致工程决策失败;
(3)供货商资源不足,导致设备、材料供给不足,材料质量不合格;
(4)监理对工程的监督能力不足;
(5)材料和机械设备的中标价格与市场价格发生巨大差距,导致施工单位使用劣质材料、报废设备等情况;
(6)建筑材料开采地发生变更、机械设备进场及使用、维护不方便;
4.1.2工程实施阶段风险
(1)施工单位不按图纸和技术标准施工,擅自修改图纸,甚至偷工减料,造成工程质量风险;
(2)施工单位使用了未经检验或者检验不合格的原材料和中间产品,造成工程质量风险;
(3)监理未认真履行监理责任,造成工程安全、质量风险;
(4)设计提供的设计图纸不规范、不及时,导致实施阶段停工待图,造成进度风险;
(5)施工单位安全管理不规范,造成安全风险;
(6)发生重大设计变更,导致承包商大量索赔;
(7)施工期出现的异常气候,给工程造成意外的损失;
(8)通货膨胀造成工程成本的上升,造成价格风险;
(9)保险方案的投保的范围不满足项目风险转移的特性,造成风险;
(10)农民工工资支付不及时甚至拖欠,导致的;
(11)施工导致环境污染,遭到媒体曝光或政府罚款;
(12)建筑物、构筑物管理不善,引起垮坝、漫坝等事件,造成社会、人身风险。
(13)隐蔽工程施工质量不佳,造成质量事故风险。
4.2风险评估
风险评估的方法有多种,有专家法、头脑风暴法、德尔菲法、LEC法等等[5]。本文通过矩阵方法,得出风险等级,再根据不同的等级,确定风险控制措施。
4.3 风险管控
根据风险评估结果,可以发现,抽水蓄能电站工程项目土建施工期的风险主要集中在安全、质量、进度、造价、技术和项目管理上,因此,加强这“六项管理”便成为了风险管控的必要手段,其中项目管理指完善承包商管理、分包管理等。
4.4 主要控制措施
为有效控制风险,某抽水蓄能电站从“人、机、料、法、环”等方面进行风险控制,以下几项控制措施,仅供业界人士参考:
(1)通过日常检查,对承包商进行相应扣分,并应用于招投标时的打分;
(2)“人”的方面,推广承包商入场考试制度,结合入场三级安全教育,在施工单位各类人员入场前,进行资质审查,合格后,结合业主管理要求和施工单位的培训要求,对承包商人员进行培训和考试,为合格人员颁发统一格式的证件。以此严格控制施工管理和作业人员的素质;
(3)“机”的方面,制定《施工机械(具)管理业务指导书》,规范施工设备、特种设备、施工机具、测试测量设备、个人防护用具等管理,从设备的入场开始,狠抓注册、安装、拆卸、检查、维护、校验、报废等环节;
(4)“料”的方面,严格执行关键施工材料由甲方供应的原则,并在每班施工前,经第三方质量检测,合格后方可施工。同时,严格把控质量,推广“WHS”的质量管理方法,按分部分项工程,将作业划分为W(见证点)、H(停工待检点)、S(旁站点)三个类型点,分别进行管控。
(5)“法”方面,执行施工作业指导书、危害辨识与风险评估、施工作业票、站班会交底的“四步法”,落实作业过程的风险预控措施;
(6)“环”的方面,吸收国内先进企业的管理经验和现场照片,印发了《抽水蓄能电站工程建设安全与环境设施规范应用手册》,对现场安全与环境管理提出的规范要求;
(7)严格控制分包管理,严禁违规分包、违法转包,定期开展检查,并以重拳,打击违法条例的单位。
(8)造价方面,定期根据市场行情,向上级公司申请调整概算,避免索赔风险,同时也避免了施工单位偷工减料的现象;
(9)进度管理方面:严格按照进度三级管控的方式开展工作,由南网公司负责里程碑节点,调峰调频发电公司负责一级进度,清远抽水蓄能电站负责二级进度,施工单位负责三级进度,层层管控。
(10)技术管理方面:邀请国内著名行业专家,进行咨询指导,以保安全、保质量为先,同时兼顾经济环保,降低施工过程风险。
5 结论
通过有效运用工程建设风险评估的方法,某抽水蓄能电站工程建设稳步推进,开工以来各项风险得到有效控制,无安全事故发生,质量检查优良率达98.6%;进度略微超前,技术管理成效显著,其厂房顶拱开挖爆破残孔率达98%,得到了时任南水北调办公室主任的张基尧同志的认可;社会影响较好,与当地相处融洽,多次荣获“先进单位”荣誉称号,在其工地上涌现出5位广东省五一劳动奖章获得者。从2009年底开工建设至今,该抽水蓄能电站已经形成了完善的项目风险评估方法,风险库初步建立,并得到有效应用,效果明显。
参考文献
[1] 中华人民共和国国家能源局.关于进一步做好抽水蓄能电站建设的通知(国能新能[2011]242号).2011.07.
[2] 孙彩玉,水电建设项目风险分析应用[J],西南民族大学学报.自然科学版,2005.9.
[3] 中华人民共和国住房及城乡建设部、国家质检总局.大中型水电工程建设风险管理规范(GB/T50927-2013).2013.12.
[4]李茂昌,浅议水利水电工程建设中的风险识别与控制[J],内蒙古水利,2011(4).
变更管理风险评估范文第7篇
关键词:电网项目;模糊分析;造价风险;风险管理
近年来江苏地区电网建设取得了巨大的成效,目前已经建设输电线路8.5万千米,每年新开工输电线路约2800千米。已经建设35千伏及以上变电站2943座,每年新开工变电容量约2500千伏安。随着电力工业的快速发展,我国电网项目建设的水平和要求越来越高。“十三五”期间是我国能源电力发展方式转变的关键时期。“十三五”电网规划和电力建设主管部门要求要提高电力投资的效率,满足经济社会可持续发展的电力需求。在这一背景下,全面提高成本计划的科学性,有效防控电网项目造价风险,有效提高投资效益成为新的课题。
一、研究综述
近年来电网项目造价风险管控越来越受到行业和学术界的重视。2011年工程量清单计价规范逐渐应用到电网项目的招投标和结算之中,市场化因素更加明显。限额设计、工程造价信息化管理和全寿命期造价管控有效降低了电网项目概算超可研、预算超概算、结算超预算的风险。钟波等(2004)统计了电网项目的风险因素和管理问题,提出了电力建设项目的风险管理策略①。安磊等(2014)结合故障树法对电网项目的建设风险进行量化和评估②。谢传胜等(2001)通过风险识别、风险指标体系构建和风险评估,系统地分析了电力项目风险③。刘超等(2006)对水电工程造价进行了评估和预测,研究风险大小对水电项目造价的影响程度④。章昀玥等(2016)建立了电网工程造价风险评估体系,分析了引起电网项目造价偏差的影响因素⑤。雷碧涛(2007)等采用了模糊分析法研究了不同风险对公路工程的影响程度⑥。
二、电网项目造价特点
电网项目主要由变电项目、送电线路项目和通信项目组成,包括建筑工程、电气安装、设备调试、通信工程和系统启动调试等多个子项。电网项目造价特点决定了电网项目的风险识别和评估。超高压变电项目建设的标准工期一般是13—15个月,造价管理主体多样,有电力主管部门,还有施工单位、设计单位、监理单位、材料供应单位等参与主体。投资能够达到几个亿,工程可能跨越几个省份的不同地形和地貌,建设的技术要求很高。电网项目造价的主要特点有以下几个方面:
(一)造价管理环节传递性
为确保电网项目建设工程造价管控的科学性和合理性,保证工程造价在每个阶段的可控性,电网项目造价管理要经过决策设计阶段、招标采购阶段、建设施工阶段和竣工验收阶段等十几个造价管控环节。不同的管控环节有不同的管理规范和工作要求,也面临了不同的造价管控风险。不同阶段的管理要求具有传递性,造价管控风险也会相互影响。
(二)造价管理控制动态性
电网项目造价控制要经过可研估算、初步设计概算、施工图预算、施工结算和竣工决算等主要阶段。同时会受到技术方案变化、设计变更、招标工程量清单开列不准确和现场签证等因素的影响,造价管理控制具有动态性。
三、电网项目工程造价风险等级评估
按照风险大小将电网项目造价风险等级划分为四级,分别为:低风险、一般风险、较高风险和高风险。电网项目造价风险一般发生在决策设计阶段、招标采购阶段、建设施工阶段和竣工验收阶段的各个环节,按照电网项目风险等级内涵、接受准则和电网项目造价风险矩阵,通过对参与过电网项目造价风险管控的专家进行访谈和发放问卷调研,对江苏地区2012年以来投产的220千伏新安至邢柏线路工程等41个输电线路项目和江苏天目湖500千伏变电站扩建主变工程等45个变电站项目进行造价风险管控情况分析,采用模糊数学理论对问卷数据进行处理,通过整理、汇总,对电网项目工程造价风险等级进行评估.
四、电网项目造价风险影响因素分析
电网项目造价风险等级为高风险和较高风险的主要是在初步设计、编制结算书、审批施工结算、编报结算报告和项目结算监督阶段。所对应的主要风险因素是初步设计概算结余率过高、重大工程变化未履行手续、签证内容不合理承担施工单位费用、土建工作量确认不真实、材料认质认价不规范、物资领退料环节不规范。
(一)初步设计概算结余率过高和重大工程变化未履行手续
初步设计概算结余率过高一方面是按规定增值税不计入项目实际投资等政策因素导致。另一方面是因为招标设计费用结余、工期缩短产生的建设期贷款利息结余和勘察设计深度及质量不足导致概算过高等技术和管理因素导致。在施工过程中,项目建设管理人员对现场实际情况不了解,现场管理不到位,完全依赖施工单位和现场监理人员对变更设计的审核把关,对招标情况与实际施工情况疏于核对,导致设计变更要求形同虚设,对应该履行设计变更手续的未履行审核手续,多支付施工单位费用,从而导致重大的电网项目造价风险。
(二)签证内容不合理、项目建设管理人员未对现场及招投标合同进行确认,直接签署意见
对施工合同、施工工艺不熟悉,对理由不充分、不成立的项目准予签证。签证办理时间和周期过长,给承办人和利害关系人暗箱操作留下隐患。为规避一些工程方面难以处理费用的处理,或者规避一些复杂费用处理程序,采取违规变通形式进行虚假签证。甚至与施工单位串通,认可不合理签证或虚报的工程量,为施工单位谋取非法利益。
(三)实际工作量和损耗
如土建工作量确认不真实。对于涉及工程造价的隐蔽工程,施工方更愿意绕开相关管理程序,以联系单、图纸会审、会议纪要、竣工图的形式,作为办理竣工结算的依据。若现场管理不到位,极易失实造成重大损失和造价风险。材料认质认价不规范。认价形式不规范,未详细说明品牌、规格等能够确定价格的关键信息。对非暂定价材料进行重新认价。可以套定额确定综合单价的,以独立费的形式进行了认价。材料认价粗放,价格高于同期信息价等因素导致电网项目造价风险。物资领退料环节不规范。电网项目,特别是输电线路工程物资计划上报不准确,结余物资通过其余多个工程中转、领用、报废,导致了造价风险的存在。
五、电网项目造价风险管控措施
(一)初步设计概算结余率管控
电网项目投资规模大、建设工期长、社会影响面大、建设面临复杂多变的环境和各种不确定因素,应适度考虑预度。为有效降低工程投资结余率,合理控制工程造价,提高投资效率,造价管理工作应向两端延伸。一是要深入研究,参与确定工程可行性研究投资估算编制,最大化利用往年建设管理经验,配合新建变电站站址、线路路径方案优化比选,为费用预估提供合理化建议,减少工程估算与实际投资偏差。二是落实初步设计管理要求,发挥勘察设计质量、监理质量的后评估成效,实现初步设计达到施工图深度,避免在工程建设实施阶段产生重大方案调整,减少工程概算与实际投资产生重大偏差的可能性。
(二)重大工程变化造价管控
重大工程变化造价管控应加强重大工程变更的审核审批,认真判断责任归属,严格区分业主单位工程质量提升而变更、施工单位因不平衡报价后企图多结算费用而提出变更和设计深度不够而提出变更等情形,切实控制重大变更和工程造价风险。项目建设管理人员要加强对招标工程量审核管理,对于安全质量要求以及其他工程管理要求在招标工程量审核时予以添加,对需要设计变更的严格履行设计变更手续,对设计变更规范性严格把关。
(三)现场签证管控
一是签证时认真核对招投标文件和合同规定,投标人已报价费用和应该考虑的项目措施费不应签证,并做好核对记录,加强技经人员对签证流程把关审核力度。二是正确判断发承包双方责任,加强业务学习,应由施工方负责的费用不予签证。三是将变更签证申报的真实性、准确性纳入履约考核,在合同条款中增加对施工单位变更签证存在虚报、假报等行为的经济处罚条款。四是对设计变更签证事项实行“事前审批、一项一签、一事一单”原则,杜绝事后补签。
(四)实际工作量和损耗管控
对土建工作量要确认管控。电网项目管理中参建各方要认真履行职责,牵涉重大造价调整的隐蔽工程,相关的会议纪要、联系单、隐蔽工程验收记录等,均应严格管理程序,确保隐蔽结算内容可控、有序、真实。重大签证工程量需附图并注明尺寸、标高,并应具有计算过程,附影像等支撑材料,签证附件作为计量依据,要有参建四方会签确认。对材料认质认价要管控。在材料认质认价方面建立规范的认价流程,完善认价机制,充分利用市场询价、比价等手段,公开、公平、合理地确定材料价格,有效控制工程造价,防范电网项目造价风险。对物资领退料要管控。一是在每个工程建设过程及最终投产时对物资上报计划及结余进行对比并形成分析文件台账,对上报物资结余较大的进行详细分析,并查明原因。二是严格物资计划填报要求,确保计划准确。三是开展每批次物资计划内审、外审情况的管控,通过审查减少物资领退料风险。四是加强对设计深度的管理,有效控制物资结余量偏差。电网项目工程造价风险可能出现在决策设计阶段、招标采购阶段、建设施工阶段和竣工验收阶段的十三个造价风险环节。本文通过电网项目造价风险矩阵建立和访谈调研,采用模糊数学理论对问卷数据进行处理,对电网项目工程造价风险等级评估,明确了初步设计、编制结算书、审批施工结算、编报结算报告和项目结算监督阶段的较高风险等级。
结合
电网项目造价管控实践分析初步设计概算结余率过高、重大工程变化未履行手续、签证内容不合理承担施工单位费用、土建工作量确认不真实、材料认质认价不规范、物资领退料环节不规范的造价风险因素,并提出电网项目造价风险管控措施,能够有效管控电网项目工程造价风险,有助于江苏地区“十三五”期间电力投资效率的进一步提升。
注释:
①钟波.基于软计算理论的电力系统可靠性评估模型与算法研究[D].重庆:重庆大学,2004.
②赵志刚.基于网络分析的电网工程项目风险评估方法研究[D].北京:华北电力大学,2014.
③谢传胜,侯文甜.基于列和求逆的电力工程项目风险模糊评价[J].北京:科技和产业,2001.
④刘超,吴相林.基于风险评估的水电工程造价预测模型研究[J].武汉:华中科技大学学报,2006.
变更管理风险评估范文第8篇
关键词:税务风险;评估指标;风险评估
企业在实现自身经营目标的过程中需要有效地对在生产和销售等经营过程中产生的税务风险进行控制,企业内部控制在税务风险管控方面起着很大作用,建立一个有效全面的税务风险管理体系是必不可少的。John Phillips (2003)对此的看法表现在税务风险的产生根源上,存在企业内部和企业外部的两个层面的来源,而只有来自内部的税务风险才能被有效控制,来源于外部的风险则无法被控制;Robbert Hoyng、Aian Macpherson and Sande r Kloosterhof(2009)针对税务风险管控的问题,阐述了其控制框架主要包括:对战略的制定,对资源的组织调配、对信息自动化技术的运用、对税法的遵从等,并由此展开一系列针对创建税务风险管控体系的探讨。张景凡(2010)认为,来自企业内部和外部的税务风险是两个重要的组成部分,而仅仅只有内部风险值得企业对其采取一定的方案进行控制和避免,然而由于无法评估外部的风险,因而只能提高对其的警惕性。武向辉(2010)认为企业应从内部环境、风险评估、控制活动、信息沟通、内部监督等方面实施风险控制,企业对其控制流程应进行详细的部署,以此来有效防控税务风险。陈爱姣(2012)同样认为企业对税务风险的管控是对内部控制规范的进一步完善,应加强对税务风险的管理,以建立与实施内部控制的基本要素为重点,全面建立各种风险防控机制,结合自身情况建立风险识别评估体系,时刻注意风险变化情况,以免在面对税务风险时显得束手无措。
税务风险内部控制的重点在于风险的识别、评估和控制实施,接下来本文将以风险的评估为重点来完善企业对内部税务风险的管控体系。
一、税务风险评估指标
本文将以下两项用作评估指标:财务指标、流程风险点指标。
(一)财务指标
采用财务指标数据分析方法对税务风险实施评测,其指标数据主要来源是:企业财务报表数据、纳税申报数据等。这类财务资料上的数据变化通常预示着企业税务风险的波动,财务指标可作为对税务风险进行预测评估的一个重要参考。比如,因为财务少计收入进而造成企业营业收入异常下降,财务多计成本进而导致企业的主营业务成本异常上升,这些都是财务基本分析指标。在国家实行“营改增”之后,大部分企业所面临的主要税种是增值税和企业所得税,故本文将以此作为划分财务指标的主要参考依据。
1.增值税指标。以进项增值税和销项增值税为依据分为以下方面:
企业目前的进项增值税税额与销项税额之间的比值被称为进项销项比,这个数据在企业会计报表或者纳税申报表中可以得到。若进项与销项之比出现了偏高的情况,则说明企业应注意防范因少纳税情况而造成的税务风险;在进项销项比较低时,要想降低税务风险,可以通过增加进项增值税税额来达到。
企业的当期销项增值税税额与当期销售收入之间的比值即为销项收入比,同样在会计报表或者纳税申报表中可以获得此数据。将此项指标与企业之前的指标进行对比即可发现企业在税务中的异常,从而对此类异常情况带来的风险进行防范。
企业本期进项增值税税额与其本期经营业务成本的比值为进项成本比,本期业务成本即为在经营中所需要的材料物资成本。此数据也可以通过会计资料或者纳税申报表来获取。这项数据同样也是作为分析企业在税务问题上是否出现异常情况进而规避税务风险的重要指标之一。
2.所得税指标。企业的销售利率是指企业在一定时期获得的销售活动利润与同一时期所得的销售活动收入的比。企业可以通过这项数据分析成本、收入和纳税额,以及是否将收入少计入或是将成本多计入,进而看出是否存在纳税风险,及时发现在该类数据上的异常有助于企业及时规避由其带来的纳税风险。
企业的应纳税款与企业在当期的利润之比即为税款利润比。其中,利润并非按照企业会计准则计算而是通过税法为参考来确定。一般认为,税款利润比应维持在一个不是太高也不会很低的平衡点,在此平衡点附近波动。原因有两点,一是企业的税款以及当期的利润一般有正向的相关关系,二是税款利润比过大往往表示企业的纳税额相对过多,表明缺乏对纳税的规划和控制;若税款利润比过低则表示企业可能是在纳税规划工作方面做得很好或者存在纳税额不足的问题,若是后者,则应该以此分析企业是否存在纳税风险,及时进行管控。
(二)流程风险点指标
企业在对其所有的涉税流程进行分析时,可以从中找出应当进行控制的关键环节,可以以这些环节为中心点展开对企业内部税务风险的评估和管控。作为企业税务风险评估的一个过程指标,流程风险点指标可以看作是一个用于评估企业在整体税务风险上的核心指标。本文采用了16个相关评估指标,指标内容如下:
1.进项发票金额。增值税一般纳税人需要主动在购买交易过程中要求百分之十七的进项发票,并选择一般纳税人作为交易对象,或者要求获得由税务机关开具的百分之四、百分之六的进项发票,抑或要求对方将此部分税额在价格中扣除,与此同时,企业在小额采购的同时也应主动索取增值税发票,尽量将小额的多批次采购纳入企业统一的采购体系,从而容易获取进项发票。若企业在采购过程中未采取以上方式进行处理,则可能因此带来相应的税务风险,其中实际进项税税额与最优进项税额的差额即为企业的风险金额。
2.进项税额转出。企业中一些项目应按税法规定进行进项税转出处理:免税项目、非应税项目、购进用于个人消费的货物、集体福利等;购买的商品发生了非正常损失的;用于在建工程的货物;购进货物发生退货。若发生退货等情况并已入账,则应主动向销售方索要红字发票,并向相关税务部门索取货物退回证明。若这些情况未能按照相关程序进行处理,则企业的税收遵从风险便大大增加。
3.废旧物资和农业产品。按照税法相关规定,企业以废旧物资回收单位为渠道购买废旧物资,或者以农业生产者渠道购买农业产品的时候应注意从卖方获取税务机关认可的两类发票,从而获得废旧物资百分之十进项税额及农产品百分之十三进项税额,从而降低企业的税务风险。
4.销售活动处理。企业在进行促销等价格活动时应注意与之对应的不同的税收处理办法,例如,销售活动中额外的价外费用部分应纳入增值税的计税额。另外,若企业在销售中带有商业折扣等让利活动时,应将折扣额度与销售额开具于一张发票上,以避免税务部门以其销售额为基准征税,造成企业额外的税务支出。
5.视同销售行为。对于企业中自身生产的货物或委托其他企业加工的货物若被用于个人消费或者用于集体福利,及将自产货物、委托其他企业加工货物、购进货物进行投资、分配、赠送等行为的应以视同销售的方式计算对应的销售收入和销项税额。企业由此应缴所得税、增值税的税额即为风险金额,在此类问题上企业往往会因为未将其视作销售行为而产生税务风险。
6.工资及工资性费用。企业在经营过程中产生合理的薪金工资支出应在计算所得税税额时将其扣除。并以一定比例以计税工资为基础提取职工福利、教育及工会经费。企业应做好对税务风险的程序管控工作,比如在提取工会经费时应提供《工会经费拨缴专用收据》。
7.利息费用。在非金融性企业因向金融性企业借款中产生的利息支出可根据相关凭据扣除征税额;金融性企业产生的各项存款利息支出、同行业拆借利息支出及企业发行的债券利息支出等也可以根据相关凭据进行扣除。另外,在不超过金融性企业同时期同类型的贷款利率基础上的非金融性企业之间借款产生的利息数额也可进行扣除,超过上述利率的利息数额不能扣除。
8.坏账准备处理。企业在发生坏账的情况下应按照程序进行报批。企业的坏账准备计提余额不能高于应收账款额的百分之五,应收帐款中归属于关联企业的部分不予计提。对于对外借款,为防止发生坏账不能在税前扣除的风险,借款宜采用商业信用的方式进行。
9.业务招待费。此项费用有一定限额,一般来说企业容易超额计入,为了降低税务风险,企业可将界定不明确的相关支出以“会议费”的形式计入税前扣除额,达到降低税收筹划风险的目的。
10.广告费管理。对于不高于当期销售收入的百分之十五的广告费用可据实扣除,当期超出该比例的部分应建立台帐以便于转入以后纳税期间扣除,另外,企业应尽量将无法在税前扣除的“赞支出”计入“广告性赞助支出”,进而予以扣除。以上方法可以降低税务风险的发生。
11.保险费核算。不仅是企业发生的各种财产保险等保险费用,企业在为职工支付补充医疗保险及补充养老保险的时候也可将相关支出列入税前扣除额。由于职工福利费超出限额部分不能予以扣除,企业应将各种福利性质的保险列入“保险费”支出。
12.对外捐赠与接受捐赠。企业在进行公益救济性捐赠时应注意捐赠方式的选择,因为有的捐赠支出可据实扣除,有的只能部分扣除,同时应注意保管好相应的捐赠证据,规避税务风险。企业所接受的捐赠款项、货物或其它资产应计入应纳税所得额中,若所获赠金额较大,可以分期计入,企业需有效利用货币资金时间价值,降低税收筹划风险。
13.营业外支出。企业在发生营业外支出业务时需根据不同的项目来选择与之对应的处理措施。例如,企业在发生财产损失时应及时报送税务部门进行审批,行政罚款支出不能够在税前扣除。企业在接受罚款时应注意区分罚款类别,同时按业务流程取得与税务部门的沟通,降低税收遵从风险。
14.固定资产折旧。时间性差异是由会计与税法对固定资产折旧方法、折旧年限、残值率等规定存在差异造成的,对会计折旧额进行纳税调整时企业应当设置针对时间性差异的固定资产折旧台账,以便作为折旧纳税调整的依据。企业变更折旧计算方法时,需要对变更原因进行说明,并按一定的程序提交股东会等批准。否则,税务部门将对因折旧计算方法变更造成的应纳税所得额减少数进行调整,给予税款补征的处理,因此企业应准备好折旧计算变更相关证明资料,减少企业在税收上的不确定性,从而降低税收遵从风险。
15.增值税管理制度。企业在经营活动中应主动及时地对相关行业税收法规及政策进行了解和更新,进而对企业选择供应商和确定合同价格时提供决策信息,建立完善相关制度以确保进项税发票能够及时获取、报送和认证,在规定期限内完成抵扣,避免过期不能认证抵扣造成损失。此损失金额即为税务风险金额。
16.税收风险意识。企业人员在经营活动中应加强对税收风险的管控意识,制定切实可行的税收风险战略,使用关键指标来评估企业在税收问题上面临的风险,并且建立完善合理的风险分析体制,根据评估分析结论采取具有针对性的弥补措施,以此降低税务风险。
二、指标调整与风险评估
税务风险指标可归纳为正相关、负相关以及偏离三种。与税务风险变化方向相同的指标即为正相关指标,此类指标可直接用于对参照值进行比对而不需要进行调整,可直观分析出当前面临的税务风险。与税务风险变化方向相反的指标称之为负相关指标,一般来说需要取其相反数,本文取常数1以保证在进行调整后的结果为正,则有调整后的指标为1-a,其中a为负相关指标值。与标准值偏离越大则风险也越大的指标为偏离指标,此类指标需要进行调整,一般需要先根据企业实际情况设立标准值,进而通过公式b=|c-d|/d 得出的调整值b即可与参照值进行比较,其中c为偏离指标值,设d为标准值。
经上述调整,企业通过对调整后各评估指标指定不同的权重,可计算得出加权值,该加权值即为对税务风险情况进行量化的结果,从而可以对风险状况进行判断划分。企业可以根据加权值的大小将税务风险状况分为以下几类:正常风险(正常水平)、需关注风险(加强关注)、可疑风险(警戒区域)、警示风险(危险区域)、失控风险(特别区域)。
三、结语
作为企业在对税务风险进行评测和管控过程中的一个重要依据,税务风险评估指标可以使得企业能根据不同的风险指标来对其经营过程中出现的不同风险进行重点防控,在设定指标权重时需要考虑多方面的因素,听取多方面意见。企业税务风险控制工作应由专人进行操作和负责,并对企业整个税务现状有全方位细致深入的了解,以整个内部控制规范为指引,加强日常业务内部控制常态化,着手对企业的税务风险进行管控,并在提供意见时结合多方面资料,从而有效提高税务风险内部管控质量。
参考文献:
[1] John Phillips.Corporate Tax-Planning Effectiveness: The Role of Compensation-Based Incentives. The Accounting Review,2003,78(03).
[2]Robert Hoyng、Sander Kloostethof and Alan Macpherson.Tax Risk Management:From Risk to Opportunity-Tax Control Framework,Deloitte,2009.
[3]张景凡.浅议税务风险防范与控制的措施[J].会计之友,2010(10).
[4]武向辉.企业纳税风险的内部控制[J].企业研究,2010(16).