時間:2023-10-09 16:08:12
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇管理風險的對策方法范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
中圖分類號:TU198 文獻標識碼:A
引言
通常所說的工程項目管理,一般就是對建設工程采用項目管理的理論和方法進行管理,具體講就是指利用現代化的管理技術和手段,組織高效益的施工,使生產要素優化組合、合理配置,保證施工質量、降低工程造價、搞好施工安全、控制施工工期,實現工程建設項目最佳效益目標。如果以施工監理為一個基準面,那么工程項目管理就是它的前伸和后延,是一種全過程、全方位的管理。
工程項目管理從項目建議階段開始,歷經可行性研究、設計招標、施工招標、項目建設、竣工驗收、項目后評估等各個過程,內容多、涉及的知識面廣,包括各類工程專業知識、技術經濟知識、企業管理知識、法律知識等。與其他種類的項目比較,除了具有一般項目管理共同的特點和內容外,又有其特殊性。它管理的對象是建筑工程,一般具有投資大、工期長、技術含量高、責任重大,事關人們的財產及生命安全的特點。因此,工程項目管理中必然要面對一定的法律風險。
1、建筑工程中法律風險防范的重要性
建筑工程中的法律風險防范具有重要意義,發包人和承包人應充分重視。
1.1、法律風險防范是維護當事人合法權益的保障。作為建筑工程,因其工程規模、施工周期、成本投入等方面的特點,所以工程施工過程中無論是發包人還是承包人,甚至實際施工人,都在承擔風險,只不過不同利益主體所處的位置不同,關注的焦點也有所區別。例如,發包人對建筑工程工期、質量的關注,承包人對施工成本和企業收益的關注,實際施工人對有效獲得工程款的關注等等。這些關注焦點恰恰是法律風險存在的領域,一旦發生法律風險,必然會牽涉其中一方的權益損失。對法律風險的事前預防較事后處理更具主動性,因為風險可以通過有效的防范而盡量化解。
1.2、法律風險防范是減少法律糾紛、節省訴訟成本的保障。在以往的工作中,律師事務所受理建筑工程的法律糾紛案很多。法律糾紛必然會產生相應的訴訟成本,糾紛越復雜,并可能延誤工程如期投入使用,這并不是當事人所期望的。法律風險防范要求當事人應盡可能將風險情況考慮周全,做好建筑工程全過程的相關材料積累,即使需要應對未來發生的法律糾紛,也能掌握更多的主動權,節省各項成本。
1.3、法律風險防范是維護工程質量的保障。我國新時期建設的各項建筑工程,都是為投入運營后發揮服務效能,確保工程質量是法律風險防范的最終目標。很多法律糾紛案都與工程質量有著緊密的關聯,防范法律風險,就是要以嚴格的質量控制為前提,從而使訴訟過程有理有據。
建筑工程管理存在的法律風險
2.1、企業設立中的法律風險
企業設立是企業開始經營的第一步,它的的法律風險主要表現為出資不到位、投資人與公司登記股東不一致、公司財產與家庭或個人財產混為一體等方面。有限責任公司是具有法人人格的法律主體,是以擁有獨立的財產權為前提的。出資不到位,投資人與公司登記股東不一致,公司財產與家庭或個人財產混為一體的法律后果,就是公司的獨立法人人格難以獲得法律認可,公司不能受有限責任保護,股東就有承擔無限責任的可能,由此也可能引發糾紛、導致填補出資、構成犯罪等法律風險。
2.2、企業管理不規范導致的法律風險
2.2.1、內部管理制度的法律風險。
企業管理重點在于對人的管理。由于企業人員與企業的利益之間存在著對立統一關系,有可能導致企業內部人員管理失控現象的發生。內部人員管理失控,就可能導致企業股東、管理人員或普通員工違反國家法律法規、公司管理制度、勞動合同等,利用職務之便侵占或挪用公司財產,嚴重失職或,通過獲取或利用公司的商業秘密為自己謀取利益等,從而給公司帶來損失。
2.2.3、行政決策機制中的法律風險。這些企業在對外投資、融資、擔保等重大決策過程中,投資人往往缺乏可行性及經營風險評估,獨斷專行,缺乏民主,事中、事后監督機制不完善,執行過程中監督不到位,從而導致投資的失敗而給企業帶來風險。
2.2.3、合作欺詐風險。建筑工程發包人與承包人建立合作關系是以合同為依據,合同本身是否存在欺詐風險是承包人首先應關注的問題,而不是發包人在洽談中的口頭承諾收入。我國《建筑法》第二章第七條規定“建筑工程開工前,建設單位應當按照國家有關規定向工程所在地縣級以上人民政府建設行政主管部門申請領取施工許可證”。發包工程是否獲得許可是防范欺詐的首要環節。除具備施工許可外,承包人還應對發包人的專業施工設計圖紙、資信情況、資金是否到位具有清晰了解。合作欺詐除主觀上的惡意欺詐外,實際因建筑工程資金落實緩慢,發包人也可能在合同中對工程付款問題簡單處理,承包人應在確立合作時對發包人的付款能力深入調研,如有問題必須慎重決定是否承接此工程。
2.2.4、合同約定風險。
發包人和承包人在確定雙方具備建筑工程發包和承包資質后,訂立合同條款時也存在著法律風險。我國《建筑法》第三章第十九條規定“建筑工程依法實行招標發包,對不適于招標發包的可以直接發包。”在公開招標中,將有多家施工單位同時競標,即使是直接發包,由于承包人處于承接工程的位置,發包人的優勢地位更加明顯。所以發包人有可能將其優勢地位延伸到合同條款的約定,如對重要條款模糊處理,增加承包人風險;工程的預付款比例過低,且工程竣工決算后的支付期限不明;合同對發包人的延時、違約等責任問題簡單處理;缺少因第三方造成工期延誤或經濟損失的賠償條款等。承包人在與發包人確立合同條款時,應盡可能使用國家統一制定的合同范本,或是參照范本逐一對照發包人擬定的合同條款,對免責條款、苛刻條款甚至是不合理條款必須審慎對待,絕不能盲目接受。而發包人也應在合同中注意維護自身的合法權益,對承包人的原材料使用、工程工期、質量技術指標等明確規定,嚴格控制質量。
2.2.5、非法轉包風險。我國《建筑法》對承包人資質、非法轉包問題等做出了詳細規定,但市場經濟條件下仍然存在非法轉包、“掛靠”的問題。最高人民法院《關于審理建設工程施工合同糾紛案件適用法律問題的解釋》第二十六條規定“實際施工人以轉包人、違法分包人為被告的,人民法院應當依法受理。實際施工人以發包人為被告主張權利的,人民法院可以追加轉包人或者違法分包人為本案當事人。發包人只在欠付工程價款范圍內對實際施工人承擔責任。”但是實際施工人的法律概念及請求權的法律基礎等還不明確,實際處理此類法律糾紛案時,在確定合同無效的前提下,如果實際施工人沒有實現建筑工程既定的質量要求,則無法追回工程款;如果工程質量驗收合格,發包人只對實際施工人承擔欠付工程價款的責任。
2.2.6、工程索賠風險。發包人和承包人都有可能就內容合同提出所索賠要求,這主要涉及工程款結算、工程質量問題等。任何一方在提出訴訟請求時,必須具備有法律效力的證據,例如招標文件及設計圖紙,工程變更的指令和圖紙、簽證,工程節點記錄與會議紀要,不可抗力造成工期延誤的依據,工程撥款記錄,工程驗收報告及各項技術鑒定報告等都不能缺少。而且當事人要重視訴訟的法律時效,在法定期間提訟。
3、防范對策
3.1、通過法律調查的手段,深入了解發包人的資信、經營狀況和訂立合同應具備的相應的條件。了解的主要內容包括是否有權威、專業部門設計的施工圖紙,是否有計劃部門立項文件、土地、規劃、建設許可手續,應拆遷的是否到位,“三通一平”等工程前期工作是否到位,發包人的資信情況,特別是該工程專項資金到位率(尤其要注意項目公司的資信),如果是開發單位應了解其主要業績。對于須招標的工程,應在投標之前對招標文件進行深入研究和全面分析,正確理解招標文件,吃透招標人的意圖和要求,全面分析投標人須知,詳細勘察現場,審查圖紙,復核工程量,分析擬訂的施工合同重要條款,制定投標策略,以減少合同簽訂后的風險。
3.2、雙方盡可能采用原國家建設部、國家工商總局制定的建設工程施工合同示范文本——《建設工程施工合同(示范文本)》(GF—1999—0201)。依據該示范文本中的通用條款,結合協議書和專用條款,逐條與發包人談判。如發包人提供的是非示范文本,則要慎重審查,合同談判時最好要有懂工程技術、法律、經營、管理、造價、財務等人員參與。不能盲目接受發包人的某些免責條款、苛刻條款和不合理條款。
3.3、杜絕轉包。工程經建設單位認可或在施工合同中約定的情況下方可合法分包,勞務只能分包給具有勞務作業法定資質的勞力企業才合法。對于他人借用公司資質證書承攬工程的行為要特別慎重,要有履約擔保措施。為防止掛靠單位因質量事故、安全事故、拖欠材料款、拖欠工人工資等糾紛而引起公司承擔連帶賠償責任。
結語
建筑工程因為其自身有著工程施工量大、時間周期長以及在成本投入上比較高,并且也會受到客觀環境的影響。因此對于建筑工程之中有可能涉及到的律風險,發包人以及承包人之間都應該給予高度的重視,這也是使得建筑市場進行健康有序發展的要求的關鍵點。
參考文獻:
[1]唐瑜.淺談工程合同管理——公司合同管理中的法律風險防范[J].科技信息,2012,03:573-574
[2]鐘曉東,王林輝.建設工程施工合同法律風險與防范(下)[J].仲裁研究,2009,03:33-46
關鍵詞:風險管理,風險識別,風險評價,風險對策決策
1.風險涵義的理解
風險的概念至今在學術界尚無統一的定義,我們可以從多種角度理解風險的涵義。主要包括以下四個方面:(1)風險是一種不確定性。這種不確定性,既是機會又是威脅。(2)風險產生損失的后果。(3)風險是預期和后果之間的差異。(4)風險與個人,群體或組織行為相聯系,不與行為相聯系的風險只是一種危險。
2.風險管理的意義
(1)通過風險分析,可以加深對項目和風險的認識,了解風險對項目的影響,權衡利弊,以便減少或分散風險,抓住并利用有利的機會;(2)通過檢查信息、數據和資料,可明確項目的有關前提和假設;(3)通過風險分析,提高項目計劃的可信度,改善項目組織內外部的聯系;(4)便于將各種處理風險的方式靈活的組合起來,在項目管理中減少被動;(5)積累的風險資料和數據為以后的各項工作提供反饋,促進項目執行組織和管理者對將來項目管理的改進;(6)對于無法避免的風險,能夠明確項目將承受的損失;(7)為項目施工、運營、選擇合同形式和制定應急計劃提供依據。
3.風險管理過程
風險管理就是一個識別、確定和度量風險,并制定、選擇和實施風險處理方案的過程。建設工程風險管理在這一點上并無特殊性。風險管理的過程包括:風險識別、風險評價、風險對策決策、實施決策、檢查五個方面的內容。
4.風險識別
風險識別是將引起風險的主要因素分層查找出來進行歸類。
4.1風險識別的原則
1.由粗及細,由細及粗;2.嚴格界定風險內涵并考慮風險因素之間的相關性;3.先懷疑,后排除;4.排除與確認并重;5.必要時,可作實驗論證。
4.2風險識別的方法
識別項目風險的方法很多,主要有:德爾菲法(Delphi method)、頭腦風暴法(Brainstorming)、情景分析法(Scenarios analysis)、核對表法(Checklists)、面談法(Interviewing)、事故樹法(Fault Tree Analysis,FTA)等。在進行風險識別時,除了采用上述方法之外,對建設工程風險的識別,還應根據其自身特點,采取相應的方法。綜合起來,建設工程識別的方法有:1.專家調查法2.財務報表法3.流程圖法4.初始清單法5.經驗數據法6.風險調查法。
5.風險評價
風險評價是在風險識別之后,對認識到的風險作的進一步分析。
5.1風險評價的基本內容
1.比較各項目風險,確定先后順序;2.從項目整體出發,弄清各風險事件之間的因果關系,制定系統的風險管理計劃;3.考慮各種風險、威脅和機會之間互相轉化的條件;4.量化已識別的風險的發生概率和后果,減少風險發生的不確定性。
5.2風險評價的作用
一是更準確地認識風險;二是保證目標規劃的合理性和計劃的可行性;三是合理選擇風險對策,形成最佳風險對策組合。
5.3風險評價的方法
對項目進行風險評價的方法一般可分為定性評價和定量評價兩大類。具體方法有很多,主要有:蒙特卡羅模擬法(Monte Carlo Simulation)、外推法(Extrapolation)、主觀概率評分法(Subjective Probability Method)、層次分析法(AnalyticalHierarchy Process,AHP)、決策樹法(DecisionTree Analysis)等。
6.風險對策
風險被識別和分析評價后,就應當考慮對各種風險的處理方法。風險的防范手段即為風險對策,也稱為風險管理技術。主要手段有:
6.1風險回避
風險回避就是以一定的方式中斷風險源,使其不發生或不再發展,從而避免可能產生的潛在損失。但在采用風險回避對策時需要注意幾點問題:1.回避一種風險可能產生另一種新的風險;2.回避風險的同時也失去了從風險中獲利的可能性;3.回避風險可能不實際或不可能。
6.2風險控制
風險控制是一種預防和減少風險損失的主動、積極的風險對策。它就辨別出的關鍵風險因素逐一提出技術上可行、經濟上合理的預防措施,以盡可能低的風險成本降低風險發生的可能性,并努力將風險損失控制在最小程度。
6.3風險自留
風險自留就是將風險留給自己承擔。風險自留為企業自身保留了從中獲利的可能性,同時也減少了在采取某種防范風險措施時所發生的費用。風險自留通常適用于風險損失小,發生頻率高的風險。
6.4風險轉移
風險轉移是試圖將項目投資者可能面臨的風險轉移給他人承擔,以避免風險損失的一種方法。轉移風險是為降低系統風險,在各部分之間進行的風險再分配。論文大全。它是建設工程風險管理中非常重要而且廣泛應用的一項對策,分為非保險轉移(通過鑒定合同的方式轉移風險)和保險轉移(通過工程保險的方式轉移風險)兩種形式。論文大全。
7.實施決策
實施決策就是對風險對策所作出的決策進一步落實到具體的計劃和措施,從而保證風險事件發生時,能有一系列的既定計劃,指導風險事件處理工作的正常進行,減少風險事件造成的損失。
8.檢查
在建設工程實施過程中,要對各項風險對策的執行情況不斷的進行檢查,并評價各項風險對策的執行效果;在工程實施條件發生變化時,要確定是否需要提出不同的風險處理方案。此外,還需要檢查是否有被遺漏的或者是新發現的工程風險,開始新一輪的風險管理過程。論文大全。
由此可知,風險檢查的目的有三個:一是監視風險的狀況;二是檢查風險的對策是否有效,監控機制是否在運行;三是不斷識別新的風險并制定對策。
參考文獻
[1] 中國建設監理協會組織編寫. 建設工程監理概論[M].北京:知識產權出版社,2008
[2] 范黎波編著. 項目管理[M]. 北京:對外經濟貿易大學出版社,2005
[3] 余建星編著. 工程項目風險管理[M]. 天津:天津大學出版社,2006
[4] 莫慶文. 建設工程的風險管理[J]. 中國科技信息,2007
【關鍵詞】水利工程;風險分析;對策
引言
水利工程具有一定的特殊性,水利工程的功能十分全面與復雜,正是因為如此,社會大眾對水利工程給予了更多的關注。水利工程的施工過程會受到許多因素的影響,水利工程的建設具有較多的風險。水利工程的管理人員要關注水利工程的風險,針對實際情況來研究解決對策。就水利工程當前的建設風險現狀來講,筆者選擇水利工程風險分析以及相應的對策作為研究對象是有一定的社會經濟意義的。
一、水利工程施工風險分析
從我國的水利工程建設行業發展現狀來講,水利工程的管理水平受到多種因素的影響。在進行水利工程的質量衡量時,需要考慮到水利工程的諸多方面。水利工程的施工風險較多,下面,我們就來對水利工程的施工控制風險進行幾點分析:
(一) 水利工程風險管理意識不足
水利工程在我國已經具有了多年的發展經歷,經歷過多年的發展,水利工程的風險管理水平也沒有得到明顯的提高。這主要是因為水利工程的管理人員的管理思想較為落后。一部分水利工程的管理者在進行水利工程的管理方法制定時,自身就缺少風險意識,沒有將風險意識融入到水利工程的管理工作中。另外,水利工程企業的管理執行者們沒有認識到水利工程風險管理的重要性,認為風險管理工作與水利工程的其它管理工作具有相同性。
(二) 水利工程組織結構完善不足
水利工程的組織結構完善與否,會對水利工程的整體施工造成重要的影響。一些水利工程建設企業沒有利用合理的風險管理責任人,企業選擇內部的工作人員作為風險的管理者,這屬于違規行為。在國家相關法規中,對于企業的風險管理人員選擇有著明確的規定,水利工程的風險管理責任人應當利用聘任制的方法選擇而出。從內部選擇風險項目管理人,對于企業的競爭機制發展不利。
(三) 水利工程概算制度不盡完善
概算制度對于水利工程的風險大小有著重要的影響。在進行概算數目的計算時,水利工程的相關技術人員,需要水利工程施工所用物品的市場價格以及施工過程中的正常消耗進行數字的概算。概算結果一旦得出,就不得輕易進行改變。這一制度的建立具有良好的初衷,是對水利工程中的非市場行為的一種有效限制。概算制度的設計僵化,會使水利工程的風險發生率大大提高。
(四) 水利工程風險預防技能不足
水利工程的管理風險無處不在。首先,從合同管理來講,在進行合同的簽訂時,稍不注意,就會使霸王條款產生。對于合同中的用詞,企業的管理人員要多加注意,要杜絕多義詞在合同中的使用,更要杜絕表意不明的語句。對于那些質量不好的鑒定證明以及信譽不好的公司,不要進行采用與合作。其次,從水利工程的承包風險來講,水利工程的規模一般較大,且要求越來越高。現代施工技術越來越多地應用于水利工程當中。承包企業對資金量的不足以及人事資源使用合理度不足,都會使水利工程的價值得不到發揮。最后,從水利工程的市場誠信風險來講,企業要杜絕一切不良的市場行為,像不支付工程款或者不履行合同的中的義務等等。這樣行為會對企業造成信譽影響,不利于企業的長久發展。
二、水利工程施工對策分析
水利工程建設的風險控制,對于水利工程建設質量的提高有著重要的作用。下面,我們就來對水利工程施工對策進行簡要的分析:
(一) 加強水利工程風險管理體系的建立
水利工程的風險管理體系,對于水利工程的風險管理質量提高有著重要的作用。建立水利工程的風險管理體系,更是一個艱巨的工作任務。風險管理體系的建立,主要包括主觀因素與客觀因素兩個主要方面。水利工程的風險管理體系會從風險管理意識的提高出發。風險意識的建立,對于水利工程企業風險管理氛圍的建立具有重要作用。一個成熟的水利工程企業,都具有全局性的工程風險管理意識。水利工程企業要加強風險管理機構的合理化建設,從水利工程的建設實際出發,以市場條件為基礎,進行水利工程風險管理者的選擇。企業要加強對水利工程管理者風險管理能力與找抽能力的培訓,使其具有管理風險的意識。水利工程企業要做到風險審計的獨立化,從而使風險控制工作得到有效的保障。
(二) 加強水利工程風險管理過程的嚴格
水利工程風險管理工作,對于水利工程企業的發展具有特殊的意識。水利工程企業的管理人員要加強對水利工程風險管理的重視力度,從水利工程風險管理的每一個環節,加強力度,促進水利工程管理整體效率的提高。要加強水利工程風險的識別與評估,利用有效的風險控制方法,對水利工程的施工進行監督,利用溝通,達到問題的解決。只有這樣,水利工程的風險管理質量才能得到有效的提高。
(三) 加強水利工程風險管理方法的完善
水利工程的風險管理人員,可以利用總包的方法對水利工程的風險進行集中化管理。傳統的水利工程都是通過逐級承包的方法完成承包的,這樣的承包方式其實加大了水利工程自身的風險。在我國的相關建筑法律中,總包方法是被推薦的。風險得到集中性控制,會使工程的費用得到有效控制,減少各個部門責任不明的問題。另外,風險管理人員還可以利用合同對風險進行明確。水利工程的建設單位以及客戶可以利用合同的方法對水利工程中的風險進行明確,使風險責任得到劃分。風險管理者可以利用計價的方法使風險得到明確,降低風險發生的機率,促進水利工程的順利建設與完成。特別是在水利工程建設量提高的今天,利用合同形式來管理風險這種方法,為更多的水利工程管理者所接受。
結語
綜上所述,風險管理就是指盡可能控制和防止在水利工程的具體施工中所遇到的各種突況。風險管理通常具有超前性的特征。較好的風險管理可以促進建筑施工企業經濟效益的提高。減少水利工程施工風險對施工的影響,對于水利工程的整體質量提高以及效益提高都十分重要。筆者從水利工程的風險出發,對水利工程的風險解決對策進行了分析。希望水利工程管理者可以關注水利工程的施工風險,提高水利工程的施工質量。
參考文獻
[1]李元培,何萍,喬爽. 淺談水利工程管理中存在的問題與對策探討[J]. 民營科技,2013,05:74-75.
[2]王虹,余金鳳. 新時期小型農田水利工程管理問題與對策[J]. 中國農村水利水電,2013,05:96-97+99.
[3]李明. 水利工程管理中存在的問題與對策探討[J]. 科技創新與應用,2013,27:201.
[4]張榮. 水利工程管理中存在的問題與對策研究[J]. 水利技術監督,2011,04:35-36+39.
[5]張國祥,林匡成. 淺談水利工程管理現代化存在問題與解決對策[J]. 經營管理者,2011,19:306.
[6]莫雪松. 水利工程管理的主要問題與對策[J]. 企業科技與發展,2009,24:93-94.
[7]徐寧,左瑞忠,郭建光. 水利工程管理問題與對策探析[J]. 科協論壇(下半月),2009,12:142.
關鍵詞:電力工程項目 風險 防范
中圖分類號:F407文獻標識碼: A 文章編號:
一、電力工程項目蘊含風險
電力項目建設程序可分為立項、可研、建設、運行等階段,電力項目建設周期長、投資大,對項目投資者而言,準確識別、評估各階段風險,并采取有效措施防范顯得十分重要。在項目立項可研階段。主要存在決策風險和項目技術經濟風險。在項目建設投產階段,主要存在項目完工風險和項目施工管理風險。在項目運行管理階段,主要存在運行操作風險、需求衰退、項目效益下滑和電力市場改革、市場競爭等方面的風險。電力項目建設周期長、投資回收期長,在整個過程中可能遇到更多政策變動風險、法律訴訟風險等。
對風險進行評估是運用概率和數理統計等方法對投資項目潛在風險事件發生概率、對目標實現影響程度進行估計,為風險控制奠定基礎。風險評估可考慮風險發生的可能性。即風險發生概率;還可考慮風險發生后影響程度,即造成損失的大小。一般投資項目風險評估工具和方法很多,對電力工程項目而言,主要有概率分析法、決策樹分析法、敏感性分析以及蒙特卡洛模擬法等方法。
二、電力工程項目風險識別
風險識別是風險防范的基礎,用感知、判斷或歸類方式對現實和潛在風險性質進行鑒別。只有正確識別項目所面臨風險,投資者才能夠開展風險應對策略并實施。電力工程項目面臨各種各樣風險,既有當前也有潛在于未來的,既有內部也有外部的,既有靜態也有動態的等。風險識別目的在于,識別出可能對項目進展有影響的風險因素、性質以及風險產生的條件,并據此衡量風險大小;記錄具體風險特征,并提供最適當風險防范對策;識別風險可能引起后果。
風險識別直接影響風險管理決策質量進而影響整個風險防范的最終結果。全面、正確識別項目所面臨風險,衡量風險和選擇對付風險方法才有實際意義。風險因素在識別階段被忽略。尤其是重大風險因素被忽略,可能導致整個項目失敗,造成不可估量經濟損失。增強風險意識、認真識別風險,是衡量風險程度、采取有效風險控制措施以及進行風險管理決策的條件。通過風險識別建立信息有存在或潛在風險因素;風險發生后果,影響大小和嚴重性;風險發生可能性、概率;風險發生可能時間;風險與本項目或其他項目及環境之間影響等。
三、電力工程項目風險防范
電力工程項目從立項到施工到投產運行,都將面臨眾多潛在風險,投資者應樹立全面風險防范意識,在不同項目建設階段組織專業項目管理班子,對電力工程項目進行風險識別、評估及控制,確定風險化解對策并組織實施,保障項目預期投資效益。
風險控制是針對風險識別和風險評估結果。為降低項目風險造成損失而制定風險應對措施、應對策略和技術手段并組織實施。項目經評價,可能會出現兩種情況,一是項目整體風險超出評價基準,超過投資者能夠接受水平;二是項目整體風險在基準范圍內,處于投資者可以接受范圍內。對于前者,投資者會改變投資項目目標和策略。對于后者,投資者應監測已識別風險。制定風險應對策略并實施,保障項目預期投資效益目標實現。風險應從公司整體角度來考慮。從各單元來看。剩余風險可能在單元風險承受范圍內,但各單元剩余風險疊加,則可超過公司整體風險偏好,就需追加采用相應風險化解對策,或改變原先風險化解對策。相反,各單元風險也可互相抵消,或者一個單元風險較高而另一單元風險較低。對各類風險進行總體評估后,投資者須采取相應風險化解對策。一是風險回避。投資者發現擬實施項目潛在風險事件發生概率高,導致不利后果嚴重,又無其他措施可緩解風險,可回避這種風險。二是風險緩解。設法采取措施減小風險發生概率或不利影響程度,或兩者兼而有之。相對于風險事件發生后損失,緩解措施成本合理。三是風險分散。風險分散方式有轉讓、分包、保險、擔保和簽訂免責協議等。四是風險接受。投資者對潛在風險事件不利后果權衡后,決定不采取任何化解對策,順其自然。
電力工程投資項目獲取利潤機會無處不在,但風險也無時無刻不伴隨項目實施而存在,對項目風險的防范應貫穿電力項目整個周期。現行風險管理,已提升為全面風險管理.拓展到考慮企業組織結構、職能設置、政策、目標、程序、過程和資源等全方位因素。全面風險管理。企業圍繞經營目標,在各個環節和經營過程中執行風險管理基本流程,培育良好風險管理文化,建立風險管理體系,包括風險管理策略、風險理財措施、風險管理組織職能體系、風險管理信息系統和內部控制系統,為實現風險管理總目標提供合理過程和方法。全面風險管理用系統的、動態的方法進行風險防范管理,減少項目實行過程不確定性。不僅使各層次項目管理者建立風險意識,防范于未然。而且在各階段、各方面實施有效風險控制,形成前后連貫管理過程。全面風險防范要求對項目全過程進行風險管理,從項目立項到項目結束,都進行風險識別與評估、對策制定以及風險控制;對全部風險進行全方位的、全面的管理并采取有效措施解決。
[關鍵詞]:工程項目;風險管理;理論探索
中圖分類號:K826.16 文獻標識碼:A 文章編號:
任何一項工程,其項目立項及各種計劃、設計、分析、研究都是基于對未知因素以及正常和理想的技術、管理、組織預測之上的。而在項目實施過程中,這些因素有可能發生變化,從而使得原定的計劃、方案受到干擾,甚至可能無法實現既定的目標。對工程項目這些事先不能確定的內部和外部干擾因素,我們稱之為工程項目風險。項目的風險和收益是一把雙刃劍,只有收益而完全沒有風險的項目是不存在的。這些風險造成工程項目實施的失控現象,最終導致工程經濟效益降低,甚至項目失敗。因此,能否對項目風險進行有效管理,是項目能否實現預期目標的關鍵。
一、工程項目風險管理的特點
1、工程項目風險管理是一個過程,其本身不是一個結果,而是實現結果的一種方式。
2、工程項目的風險管理是滲透于項目過程中的一系列行動,這些行動普遍存在于項目管理者對項目的日常管理中,是項目日常管理所應該有的內容。
3、工程項目風險管理是一個由人參與的過程,參與者涉及到項目的各個層次的員工。
4、工程項目的風險管理應融于項目策劃。在進行項目策劃時,應綜合考慮不同系統相關聯的風險。
二、工程項目風險管理程序
項目風險管理程序是對項目風險進行管理的一個系統的、循環的工作流程,包括風險識別、風險分析與評估、風險應對策略的決策、風險對策的實施和風險對策實施的監控五個環節(見圖1)。
(一)風險識別
項目風險識別最有效的方法是工序流程分析法,就是在施工過程中從合同簽訂到交付使用,通過對每個環節和階段逐個進行調查分析,從中發現潛在的風險,系統而全面地識別影響項目目標實現的風險事件并加以適當歸類,并記錄每個風險因素可能造成的后果。
(二)風險分析與評價
風險分析與評價的結果主要在于確定各種風險事件發生的概率及其對項目目標影響的嚴重程度。風險的分析與評價往往采用定性分析和定量分析相結合的方法。常見的風險分析方法:即調查打分法、敏感性分析法、蒙特卡羅模擬。
1、風險的度量:確定風險事件發生的概率。例如:可以通過不同的數值用來區分風險概率的等級。
2、風險評定:(1)劃分風險后果等級。通常按事件發生后果的嚴重程度來劃分。(2)評定項目風險重要性。風險事件發生概率的指數乘以風險后果的等級等于項目可接受指數。(3)評定項目可接受程度。項目風險重要性指數評分值在8分以上的風險因素表示風險重要性較高,是不可以接受的風險,需要給予重點關注。
(三)風險應對策略的決策
風險應對策略的決策是確定項目風險事件最佳對策組合的過程。風險管理中所運用的對策一般有:風險回避、風險控制、風險自留和風險轉移。并根據之前風險識別和風險進行評價與分析評價的結果并考慮風險利益攸關方的容忍度,對不同的風險事件選擇最佳的對策組合。
1、風險回避
當發生概率很大且后果損失也很大的項目或發生損失概率并不大,但一旦發生后的損失是災難性的、無法彌補,并且沒有有效的對策來降低風險的情況。應該采取放棄項目、放棄原有的計劃或改變目標的方法,避免可能產生的潛在威脅。一般在項目的可行性研究報告、投資決策階段對項目是否進行投資或投資方案的選擇上應用。
2、風險自留
項目風險保留在風險管理主體內部,分為非計劃性自留風險和計劃性自留風險。
(1)非計劃性自留風險是指風險是非計劃性的,是由于風險管理人員的失誤沒有發現并且沒有采取有效措施,以致風險發生后只好保留在風險管理主體內。非計劃性風險自留對于工程風險管理是難免的,我們只能盡量減少而不能全部消除。
(2)計劃性風險自留是指有些項目風險是在把握機會的同時不可能回避的,且沒有轉移的可能性,企業別無選擇,只能自留。它的計劃性主要體現在自留水平和損失支付方式兩個方面。
自留水平主要是指以哪方面作為保留標準對風險進行選擇,一般是選擇風險損失期望值小或較小的風險事件作為風險自留的對象。
損失支付方式對施工企業是為計劃性風險自留提供解決風險所發生的費用,并對費用的安排提前做好計劃。一般根據企業自身的管理體制和特點制定。
3、風險控制
采用風險控制對策時,所制定的風險控制措施應該形成一個周密的、完整的損失控制系統。該系統一般由預防計劃、災難計劃和應急計劃三部分組成。
(1)預防計劃:通過制定組織措施、經濟措施、合同措施、技術措施來降低損失發生的概率。
(2)災難計劃:事先編制好的、目的明確的工作程序和具體措施,在災難性的風險發生后可以從容不迫、及時妥善地處理風險事故。
(3)應急計劃:事先準備好若干替代計劃方案,當遇到某種風險事件時能夠根據應急計劃方案對原有方案的內容和范圍及時調整,進一步減少損失,減小影響程度。主要內容有調整項目的實施進度計劃、材料與設備采購計劃、供應計劃等。
4、風險轉移
轉移本身并不能消除風險,只是通過某種方式將某些風險的后果連同對風險應對的權力和責任轉移給他人。風險轉移方法主要包括非保險轉移和保險轉移兩大類。
(1)非保險轉移。又稱合同轉移。
1)業主將合同責任和風險轉移給承包商。如:采用固定總價合同把漲價風險轉移。
2)承包商進行項目分包。承包商將項目中專業技術要求很強的而自己又缺乏相應的技術的、以自己的管理水平不能保證盈利的項目內容進行專業分包。
3)第三方擔保。主要有業主付款擔保、承包商履約擔保、預付款擔保、分包商付款擔保、工資支付擔保等。
(2)保險轉移。
直接稱為工程保險,但是保險并不能轉移所有風險,因為存在不可保風險,另外有些風險是不宜保險的。通常將保險轉移與風險回避、損失控制和風險自留結合起來運用。
(四)風險對策的實施
針對風險因素識別表中所存在的各項風險因素,為了有效的將風險損失降低到可以接受的最低值,風險管理人員應仔細研究合同條款,深入調查了解市場環境和施工現場的各項條件基礎上,并經過反復分析、論證后對各項風險因素要逐一制定相應的計劃和具體的措施。
另外,對已知的風險和制定的措施、對策,一定要將其付諸實施。付諸實施的關鍵在于落實責任,落實責任單位、責任部門、責任人員,落實措施、方法、對策執行的時間。對于風險管理建立考核制度,根據考核情況落實獎罰額度。
(五)風險對策實施的監控
在風險計劃的執行過程中,風險的發生和發展乃至于消失是在不斷的變化的。因此在項目實施過程中,定期對風險應對策略與措施進行監控,是一項非常重要的工作。實施風險監控的程序如下:
1、風險跟蹤檢查。編制定期對跟蹤風險控制措施的效果,通過風險跟蹤表記錄跟蹤結果。
2、風險的重新估計。
3、風險跟蹤報告。定期將風險跟蹤的結果制成風險跟蹤報告,使決策者及時掌握風險發展趨勢的相關信息并以此作為改進依據。
四、對風險管理的幾點認識
1、加強企業管理,設立風險管理部門。
在建筑施工企業的組織形式和管理制度上進行適合本企業的創新,建立明晰和井然的工作秩序,使決策得以順利、有效地實施。此外,組織形式應以矩陣式項目經理制為主體,設立相應的風險管理部門,在組織上建立以風險部門和風險經理為主體的監督機制。
2、加強合同管理,注重合同談判。
施工企業的合同談判人員應善于在合同中限制和轉移風險,對可以免除責任的條款應研究透徹,切忌盲目接受業主的某種免責條款,達到風險在雙方中合理分配。
3、提升企業自身的競爭力是規避風險的關鍵所在。
“工欲善其事,必先利其器”。施工企業要結合自身的技術優勢和特點,開展技術創新,緊跟科技潮流,使企業的技術始終走在同行業的前列,并打響企業的牌子。依據企業自身的先進的技術水平,在經濟活動中爭取主導地位,降低企業冒險經營的概率同時擴大企業的利潤水平。
五、結束語
風險管理是項目管理體系中的一個重要方面,它需要不斷地實踐與積累。并且必須隨條件的變化不斷修正自己的管理方式和管理體制,做到隨機應變,從而保證工程建設順利實施,更好地實現工程項目的經濟效益,才能在競爭日趨激烈的未來建筑市場利于不敗之地。
參考文獻:
[1] 宋麗紅;軟件組織多項目協同管理研究[D];天津大學;2006年
[2] 李向;遺傳算法及在計劃評審技術(PERT)中的應用研究[D];中國地質大學;2008年
[3] 郭方銘;基于粒子群優化和關鍵鏈的多項目計劃管理問題研究[D];華中科技大學;2010年
【關鍵詞】工程項目 風險管理 理論探索
任何一項工程,其項目立項及各種計劃、設計、分析、研究都是基于對未知因素以及正常和理想的技術、管理、組織預測之上的。而在項目實施過程中,這些因素有可能發生變化,從而使得原定的計劃、方案受到干擾,甚至可能無法實現既定的目標。對工程項目這些事先不能確定的內部和外部干擾因素,我們稱之為工程項目風險。項目的風險和收益是一把雙刃劍,只有收益而完全沒有風險的項目是不存在的。這些風險造成工程項目實施的失控現象,最終導致工程經濟效益降低,甚至項目失敗。因此,能否對項目風險進行有效管理,是項目能否實現預期目標的關鍵。
一、工程項目風險管理的特點
(1)工程項目風險管理是一個過程,其本身不是一個結果,而是實現結果的一種方式。
(2)工程項目的風險管理,是滲透于項目過程中的一系列行動,這些行動普遍存在于項目管理者對項目的日常管理中,是項目日常管理所應該有的內容。
(3)工程項目風險管理是一個由人參與的過程,參與者涉及到項目的各個層次的員工。
(4)工程項目的風險管理應融于項目策劃。在進行項目策劃時,應綜合考慮不同系統相關聯的風險。
二、工程項目風險管理程序
項目風險管理程序是對項目風險進行管理的一個系統的、循環的工作流程,包括風險識別、風險分析與評估、風險應對策略的決策、風險對策的實施和風險對策實施的監控五個環節。
(一)風險識別
項目風險識別最有效的方法是工序流程分析法,就是在施工過程中從合同簽訂到交付使用,通過對每個環節和階段逐個進行調查分析,從中發現潛在的風險,系統而全面地識別影響項目目標實現的風險事件并加以適當歸類,并記錄每個風險因素可能造成的后果。
(二)風險分析與評價
風險分析與評價的結果主要在于確定各種風險事件發生的概率及其對項目目標影響的嚴重程度。風險的分析與評價往往采用定性分析和定量分析相結合的方法。常見的風險分析方法:即調查打分法、敏感性分析法、蒙特卡羅模擬。
(1)風險的度量:確定風險事件發生的概率。例如:可以通過不同的數值用來區分風險概率的等級。
(2)風險評定:劃分風險后果等級。通常按事件發生后果的嚴重程度來劃分。評定項目風險重要性。風險事件發生概率的指數乘以風險后果的等級等于項目可接受指數。評定項目可接受程度。項目風險重要性指數評分值在8分以上的風險因素表示風險重要性較高,是不可以接受的風險,需要給予重點關注。
(三)風險應對策略的決策
風險應對策略的決策是確定項目風險事件最佳對策組合的過程。風險管理中所運用的對策一般有:風險回避、風險控制、風險自留和風險轉移。并根據之前風險識別和風險進行評價與分析評價的結果并考慮風險利益攸關方的容忍度,對不同的風險事件選擇最佳的對策組合。
(1)風險回避。當發生概率很大且后果損失也很大的項目或發生損失概率并不大,但一旦發生后的損失是災難性的、無法彌補,并且沒有有效的對策來降低風險的情況。應該采取放棄項目、放棄原有的計劃或改變目標的方法,避免可能產生的潛在威脅。一般在項目的可行性研究報告、投資決策階段對項目是否進行投資或投資方案的選擇上應用。
(2)風險自留。項目風險保留在風險管理主體內部,分為非計劃性自留風險和計劃性自留風險。
非計劃性自留風險是指風險是非計劃性的,是由于風險管理人員的失誤沒有發現并且沒有采取有效措施,以致風險發生后只好保留在風險管理主體內。非計劃性風險自留對于工程風險管理是難免的,我們只能盡量減少而不能全部消除。
計劃性風險自留是指有些項目風險是在把握機會的同時不可能回避的,且沒有轉移的可能性,企業別無選擇,只能自留。它的計劃性主要體現在自留水平和損失支付方式兩個方面。
自留水平主要是指以哪方面作為保留標準對風險進行選擇,一般是選擇風險損失期望值小或較小的風險事件作為風險自留的對象。
損失支付方式對施工企業是為計劃性風險自留提供解決風險所發生的費用,并對費用的安排提前做好計劃。一般根據企業自身的管理體制和特點制定。
三、對風險管理的幾點認識
(一)加強企業管理,設立風險管理部門
在建筑施工企業的組織形式和管理制度上進行適合本企業的創新,建立明晰和井然的工作秩序,使決策得以順利、有效地實施。此外,組織形式應以矩陣式項目經理制為主體,設立相應的風險管理部門,在組織上建立以風險部門和風險經理為主體的監督機制。
(二)加強合同管理,注重合同談判
施工企業的合同談判人員應善于在合同中限制和轉移風險,對可以免除責任的條款應研究透徹,切忌盲目接受業主的某種免責條款,達到風險在雙方中合理分配。
(三)提升企業自身的競爭力是規避風險的關鍵所在
“工欲善其事,必先利其器”。施工企業要結合自身的技術優勢和特點,開展技術創新,緊跟科技潮流,使企業的技術始終走在同行業的前列,并打響企業的牌子。依據企業自身的先進的技術水平,在經濟活動中爭取主導地位,降低企業冒險經營的概率同時擴大企業的利潤水平。
五、結束語
風險管理是項目管理體系中的一個重要方面,它需要不斷地實踐與積累。并且必須隨條件的變化不斷修正自己的管理方式和管理體制,做到隨機應變,從而保證工程建設順利實施,更好地實現工程項目的經濟效益,才能在競爭日趨激烈的未來建筑市場利于不敗之地。
【關鍵詞】 風險管理 風險識別 風險評估方法 風險綜合評價體系 風險管理對策
風險就是與出現損失有關的不確定性,風險就是在給定條件下和特定的時間內可能發生結果之間的差異。所謂風險必須具備兩個方面的條件:一是不確定性;二是產生損失后果,否則就不能成為風險。因此,肯定會發生損失后果的事件不是風險,沒有損失后果的不確定事件也不是風險。對于建設工程風險的認識,要明確兩個基本點:一是建設工程風險大,建設工程建設周期持續時間長,所涉及到的風險因素多,每一風險因素又會產生許多風險事件。通常將其按風險產生的原因分為政治、社會、經濟、自然、技術等因素。建設工程風險因素和風險事件發生的概率均較大,而且一旦發生,往往會造成比較嚴重的損失后果。二是參與工程建設的各方都有風險,但是各方的風險不盡相同。對發包方而言,建設工程決策階段的風險主要表現為投機風險,而在實施階段的風險主要表現為純風險。
1 建設工程法律風險管理的目標
風險管理的目標的確定一般要滿足以下幾個基本要求:
(1)風險管理目標與風險管理主體總體目標的一致性;(2)目標的現實性,即確定目標要充分考慮其實現的客觀可能性;(3)目標的明確性,以便于正確的選擇和實施各種方案,并對其效果進行客觀的評價;(4)目標的層次性,從總體目標出發,根據目標的重要程度,區分風險管理目標的主次,以利于提高風險管理的綜合效果。
風險管理的具體目標還需要與風險事件的發生聯系起來。就建設工程而言,在風險事件發生前,風險管理的首要目標是使潛在損失最少,這一目標要通過最佳的風險對策組合來實現;其次,是減少憂慮及相應的憂慮價值;再次,要滿足外部的附加義務。在風險發生后,管理的首要目標是使實際損失減少到最低程度(實現這一目標,不僅取決于風險對策的最佳組合,而且取決于具體的風險對策計劃和措施);其次,是保證建設工程實施的正常進行,按原計劃建成工程,并承擔必要的社會責任。
2 建設工程法律風險管理的分類
(1)按照風險的后果劃分為純風險和投機風險。所謂純風險,就是只會也可能創造額外收益的風險。純風險和投機風險兩者往往既可以獨立存在,也可以同時存在。(2)按照風險事件主體的承受能力劃分為可承受風險和不可承受風險。所謂可承受風險,是指風險的影響在風險事件主體的承受范圍內;所謂不可承受風險,是指風險的影響超出了風險事件主體的承受范圍。(3)按照技術因素劃劃分為技術風險和非技術風險。所謂技術風險,是指由于技術原因造成的風險,如技術進步使得原有的產品壽命周期縮短,選擇的技術不成熟而影響生產等。所謂非技術風險,是指非技術原因帶來的風險,如社會風險、經濟風險、管理風險等。(4)按照獨立性劃分獨立風險和非獨立風險。所謂獨立風險是指風險獨立發生;所謂非獨立風險,是指風險依附于其他風險而產生。(5)按照風險的可管理性劃分為可管理風險和不可管理風險。所謂可管理風險,是指可以預測,并可采取相應措施加以控制的風險;所謂不可管理風險,是指有較強的不確定性,難以預測,因而也無法采取適當措施應對的風險。(6)按照風險的邊界劃分為內部風險和外部風險。所謂內部風險,是指風險發生在風險事件主體的組織內部,如生產風險、管理風險;所謂外部風險,是指風險發生在風險事件主體的組織外部,只能被動接受,如政策風險、自然風險等。(7)按照風險的影響范圍劃分為基本風險和特殊風險。所謂基本風險是指作用于整個社會和大多數人群的風險,具有普遍性,如戰爭、自然災害等,其特點是影響范圍大,后果嚴重;所謂特殊風險,是指僅僅作用于某一特定單位(個人、項目或企業)的風險,不具有普遍性,其特點是影響范圍小,雖然就個體來說,損失可能非常大,但相對于整個社會經濟而言,后果并不嚴重。
3 建設工程法律風險的分解
建設工程風險分解是根據工程風險的相互關系將其分解成若干個子系統,分解的程度要足以使人們較容易地 識別出建設工程的風險,使風險識別具有較好的準確性、完整性和系統性。通常,建設工程風險的分解可按目標維、時間維和因素維三方面從總體上進行建設工程風險的分解。(1)目標維分解,即按建設工程目標進行分解,也就是考慮影響建設工程投資、進度、質量和安全目標實現的各種風險;(2)時間維分解,即按建設工程實施的各個階段分解,也就是考慮建設工程實施不同階段的不同風險,其中包括保修期、設工驗收、施工指標、設計等不同階段的風險;(3)結構維分解,是指按建設工程組成內容進行分解,也就是考慮不同單項工程、單位工程的不同風險;(4)因素維分解,是指按建設工程風險因素的分類分解,包括材料設備風險、人員風險、合同風險、組織協調風險、經濟風險、政治及社會風險、自然及環境風險、其他技術風險、施工技術風險、設計技術風險。
4 建設工程法律風險的識別
(1)風險識別的特點。1)個別性:任何風險都有與其他風險不同之處,沒有兩個風險是完全一致的;2)主觀性:風險是客觀存在的,但識別是人的主觀能動性;3)復雜性:建設工程涉及的風險因素多,關系復雜;4)不確定性:主觀性與復雜性的結果。
(2)風險識別的原則。1)由粗及細,由細及粗。由粗及細地全面分析風險因素,然后由細及粗地從眾多風險中確定主要風險,從而得到工程初始風險清單;2)嚴格界定風險內涵,考慮風險因素之間的相關性。對風險內涵做界定以 避免出現重復和交叉現象,相關性要考慮風險間是正相關、負相關、互斥等內在關系;3)先懷疑,后排除。對所遇到的問題都要考慮其是否存在不確定性,不要輕易否定或排除風險,要通過認真的分析進行確認或排除;4)排除與確認并重。明顯的風險可以盡早確認或排除,模糊的要進一步分析,無法確定的要按照確認考慮;5)必要時做試驗論證。對于某些按常規方式難以判定其是否存在,也難以確定其對建設工程目標影響程度的風險,尤其是技術方面的風險,必要時可做試驗論證,如抗震試驗、風洞試驗等。這樣做的結論可靠,但要以付出費用為代價。
(3)風險識別的過程。風險識別的結果是建立工程風險清單,在建設工程風險識別過程中,核心工作是“建設工程風險分解”和“識別建設工程風險因素、風險事件及后果”。
(4)建設工程風險識別的方法。1)專家調查法:有兩種方式:一種是召集有關專家開會;另一種是采用問卷式調查。對專家發表的意見要由風險管理人員加以歸納分類、整理分析;2)財務報表法:是指采用財務報表法進行風險識別,要對財務報表中所列的各項會計科目做深入的分析研究,需要結合工程財務報表的特點來識別建設工程風險;3)流程圖法:是指將一項特點的生產或經營活動按步驟或階段順序以若干個模塊形式組成一個流程圖系列,在每個模塊中都標出各種潛在的風險因素或風險事件;4)初始清單法:建立建設工程的初始清單有兩種途徑。常規途徑是采用保險公司或風險管理學會(或協會)公布的潛在損失一覽表。通過適當的風險分解方式來識別風險也是建立建設工程初始風險清單的有效途徑。從初始風險清單的作用來看,因素維僅分解到各種不同的分析因素是不夠的,還應進一步將各風險因素分解到風險事件。在初始風險清單建立后,還需要結合特定建設工程的具體情況進一步識別風險,從而對初始風險清單做一些必要的補充和修正。為此,需要參照同類建設工程風險的經驗數據或針對具體建設工程的特點進行風險調查;5)經驗數據法:也稱為統計資料法。即根據已建各類建設工程與風險有關的統計資料來識別擬建建設工程的風險。由于不同的風險管理主體的角度不同、數據或資料來源不同,其各自的初始風險清單一般多少有些差異。但是,當經驗數據或統計資料足夠多時,這種差異性就會大大減少。這種基于經驗數據或統計資料的初始風險清單可以滿足對建設工程風險識別的需要;6)風險調查法:風險調查應當從分析具體建設工程的特點入手:一方面對通過其他方法已識別出的風險進行鑒別和確認;另一方面,通過風險調查可能發現此前尚未識別出的重要的工程風險。風險調查可以從組織、技術、自然及環境、經濟、合同等方面分析擬建設工程的特點以及相應的前陣子風險。風險調查也應該在建設工程實施全過程中不斷地進行。對于建設工程的風險識別來說,一般都應綜合采用兩種或多種風險識別方法,才能取得較為滿意的結果。不論采用何種風險識別方法組合,都必須包含分析調查法。
5 建設工程法律風險的評估
(1)建設工程法律風險評估的作用。1)更準確地認識風險。通過定量方法進行風險評價,可以定量地確定建設工程各種風險因素和風險事件發生的概率大小或概率分布,及其發生后對建設工程目標影響的嚴重程度或損失嚴重程度,包括不同風險的相對嚴重程度和各種風險的絕對嚴重程度;2)保證目標規劃的合理性和計劃的可行性。建設工程數據庫只能反映各種風險綜合作用的后果,而不能反映各種風險各自作用的后果。只有對特定建設工程的風險進行定量評價,才能正確反映各種風險對建設工程目標的不同影響,才能使目標規劃的結果更合理、更可靠,使在此基礎上制定的計劃具有現實的可行性;3)合理選擇風險對策,形成最佳風險對策組合。不同風險對策的適用對象各不相同,風險對策的適用性需從效果和代價兩個方面考慮。風險對策的效果表現在降低風險發生概率和降低損失嚴重程度的幅度。風險對策一般都有付出一定的代價,在選擇風險對策時,應將不同風險對策的適用性與不同風險的后果結合起來考慮,對不同的風險選擇最適宜的風險對策,從而形成最佳的風險對策組合。
(2)風險損失的衡量標準。1)投資風險的損失:由于法律法規、價格、匯率和利率等的變化或資金使用不當等風險事件引起的實際投資超過計劃投資的數額;2)進度風險的損失:包括貨幣的時間價值、為趕上計劃進度所需的額外費用、延期投入使用的收入損失;3)質量風險的損失:包括事故引起的直接經濟損失、修復和補救等措施發生的費用以及第三者責任損失,具體分為:①建筑物、構筑物或其他結構倒塌所造成的直接經濟損失;②復位糾偏、加固補強等補救措施和返工的費用;③造成的工期延誤帶來的損失;④永久性缺陷對于建設工程使用造成的損失;⑤第三者責任的損失。4)安全風險的損失:包括:①受傷人員的醫療費用和補償費用;②財產損失,包括材料、設備等財產的損失或被盜;③因引起工期延誤帶來的損失;④為恢復建設工程正常實施所發生的費用;⑤第三者責任的損失。
(3)風險概率的量化。建設工程法律風險概率的量化有兩種方法:相對比較法和概率分布法。一般而言,相對比較法主要是依據主觀概率,而概率分布法的結果則接近于客觀概率。在采用相對比較法時,建設工程風險導致的損失也將相應劃分為重大損失、中等損失和輕度損失。相對比較法的量化等級分類標準如下:1)按照風險發生后對建設工程項目的影響大小,可分為以下五個等級:①嚴重影響:一旦風險發生,將導致整個項目的目標失敗,可用字母S表示;②較大影響:一旦風險發生,將導致整個項目的標值嚴重下降,可用字母H表示;③中等影響:一旦風險發生,對項目的目標造成中度影響,但仍然能夠部分達到,可用字母M表示;④較小影響:一旦風險發生,對于項目對應部分的目標受到影響,但不影響整體目標,可用字母L表示;⑤可忽略影響:一旦風險發生,對于項目對應部分的目標影響可忽略,并且不影響整體目標,可用字母N表示.2)按照風險因素發生的可能性,可以將風險概率劃分為五個檔次:①很高:風險發生的概率在81%-100%,即風險很有可能發生,用字母S表示;②較高:風險發生的概率在61%-80%,即風險發生的可能性較大,用字母H表示;③中等:風險發生的概率在41%-60%,即風險可能在項目中預期發生,用字母M表示;④較低:風險發生的概率在21%-40%,即風險不可能發生,用字母L表示;⑤很低:風險發生的概率在0%-20%,即風險非常不可能發生,用字母N表示。采用概率分布法通過潛在影響的概率分布,可以全面衡量項目的風險,有助于決策者確定針對特定情況的風險對策或風險對策組合。概率分布法需要首先建立概率分布,概率分布的建立可以通過以外的歷史數據和資料獲得,但這樣做的前提是擁有豐富數據,加之項目風險的差別性,使得實際運用有一定的難度。概率分布獲得的另一種方式是理論概率分布,即根據風險的性質和統計數據選用特定的理論概率分布來進行擬合,這一獲得過程如下:a.收集數據,構造直方圖;b.選擇分布;c.計算所選分布的特征參數;d.檢查擬合度,確認可否接受;e.得到近似概率分布。
(4)構建建設工程法律風險綜合評價體系。1)建立風險調查表:在風險識別完成后,建立投資項目主要風險清單,將該投資項目可能遇到的所有重要風險全部列入表中;2)判斷風險權重:利用專家經驗,對這些風險因素的重要性及風險對項目的有效大小進行評價,計算各風險因素的權重;3)確定每個風險發生的概率:可以采用1-5標度,分別表示可能性很小、較小、中等、較大、很大,代表5種程度;4)計算每個風險因素的等級:將每個風險的權重及發生的可能性相乘,所得分值即為每個風險因素的等級;5)最后將風險調查表中全部風險因素的等級相加,得出整個項目的綜合風險等級。分值越高,項目的整體風險越大。
6 建設工程法律風險的對策
(1)風險回避:是指以一定的方式中斷風險源,使其不發生或不再發展,從而避免可能產生的潛在損失。這是一種消極的風險對策,建設工程中的風險是不可避免的,必須能夠靈活運用其他的風險對策。例如:承包商參與投標,中標后發現標書中報價有失誤,潛在的虧損將比較嚴重,因而拒絕與業主簽訂施工合同。
(2)損失控制:是預防損失措施和減少損失措施的有機結合,制定損失控制措施必須考慮費用和時間兩方面的代價。損失控制的對策包括預防計劃、災難計劃和應急計劃三部分的損失控制。1)預防計劃的對策方法:包括組織措施、管理措施(分隔措施和風險分散)、合同措施、技術措施。主要作用是降低損失發生的概率,也能在一定程度上降低損失的嚴重性。在損失控制計劃系統中,該計劃內容最廣泛,具體措施最多;2)災難計劃的對策方法:①安全撤離現場人員;②援救及處理傷亡人員;③控制事故的進一步發展,最大限度地減少資產和環境損害;④保證受影響區域的安全并盡快恢復正常;3)應急計劃的對策方法:①調整整個建設工程的施工進度計劃,并要求各承包商相應調整各自的施工進度計劃;②調整材料、設備采購計劃;③準備保險索賠依據,確定保險索賠的額度,起草保險索賠報告;④全面審查可使用的資金情況,必要時需調整籌資計劃等。
(3)風險自留:包括非計劃性自留和計劃性自留。1)非計劃性自留的對策方法:應從企業財務的角度應對風險,盡量避免以下情況的發生:缺乏風險意識,風險識別、風險評價失誤,風險決策實施延誤等;2)計劃性自留的對策方法:應預先制定損失支付計劃,常見的支付方式有:從現金凈收入中扣除,建立非基金儲備;自我保險;母公司保險。該對策決不可單獨運用,應與其他風險對策結合使用,還應從費用、期望損失、機會成本、服務質量、稅收等方面與工程保險比較后得出結論。
(4)風險轉移:是項目風險管理中廣泛采用的一項對策。所謂風險轉移是將風險轉移給另一方來承擔,轉移風險既未排除風險,也不會減少風險的影響程度。此外,風險的最終承擔者會要求獲得風險費用。風險轉移包括非保險轉移和保險轉移。1)非保險轉移的對策方法:又稱合同轉移,一般是通過簽訂合同的方式將工程風險轉移給非保險人的對方當事人。主要形式有:①發包方將合同責任和風險轉移給對方當事人;②承包方進行合同轉讓或分包;③第三方擔保。2)保險轉移的對策方法:通過購買保險,投保人將本應由自己承擔的風險轉移給保險公司,從而使自己免受風險損失,包括強制性保險、自愿保險和工程擔保三類。①強制性保險主要有以下幾種:a.建設工程一切險(附加第三者責任險);b.安裝工程一切險(附加第三者責任險);c.社會保險:如人身意外險,業主責任險和其他國家法令規定的強制保險,d.機動車輛險;e.10年責任險和5年責任險;f.專業責任險等。②自愿保險主要有以下幾種:a.國際貨物運輸險;b.境內貨物運輸險;c.財產險;d.責任險;e.政治風險保險;f.匯率保險等;③工程擔保主要有以下幾種:a.投標擔保;b.履約擔保;c.預付款擔保;d.維修擔保;e.反擔保;f.付款擔保;g.發包方支付擔保;h.分包擔保;i.臨時進口物資稅收擔保;j完工擔保;k差額擔保;l施工執照擔保等。
(5)建設工程法律風險監測與控制。1)風險監測與控制應采用如下方法。①風險再評價:風險監測與控制需要在適當的時候,識別新風險并對風險進行重新評價,應當預定好定期的風險再評價。②風險審核:是對風險管理過程中的檢查并用文件表述風險對策的效果。③偏差和趨勢分析:應當利用績效資料評審項目實施當中的趨勢。可以使用贏得值分析和其他項目偏差和趨勢分析方法監測項目總體績效,這些分析的結果可以預測出在項目完成時項目費用和進度目標可能的偏離。④技術績效測定:將項目執行期間的技術成果與項目計劃中的技術成果進度計劃進行比較。⑤儲備分析:儲備分析在項目的任何時點比較剩余的不可預見事件儲備及剩余風險量,以確定剩余的儲備是否充足。⑥狀況檢查會:定期召開項目狀況檢查會,會議時間可長可短,取決于已經識別出的風險、風險的優先級以及應對的難度。2)風險監測與控制的結果。①更新的風險清單:包括a風險再評價、風險審核和定期風險評審,可能對概率、影響、優先級、應對計劃、管理人以及風險名單其他元素進行更新;b項目風險和風險應對策略的實際結果可以幫助項目經理為整個組織的風險和未來項目的風險進行計劃。②請求的變更:經常實施應急計劃或隨機應變措施往往需要為了應對風險而改變計劃。③推薦的糾正措施:包括應急方案或隨機應變措施。④推薦的預防措施:使用推薦的預防措施,以使項目符合項目管理計劃。⑤更新組織的過程資源:需要更新的內容包括風險清單的最終版本、風險管理計劃模板、核對表和風險分解結構。⑥更新項目管理計劃:如果批準的變更請求對整個項目的管理過程產生影響,為了反映批準的變更,項目管理計劃也需要變更。
隨著全球社會經濟的發展,工程項目變得越來越復雜,工程量增大,技術要求越來越高,市場競爭越來越激烈等都給工程項目的實施帶來很大的風險。風險管理自從產生之后就在不斷的發展,由于科學技術的不斷發展以及各個國家風險管理機構的推動,使得風險管理的理論越來越規范,新的風險管理方法不斷產生。然而隨著社會經濟的不斷發展工程項目呈現出涉及范圍廣、技術要求高、影響因素多、投資資金大等特點,給工程項目造成了很大的風險,因此研究工程項目風險識別及對策研究具有重要的應用意義。
1風險評估
風險評估是指在風險識別與估計的前提下,運用相關數學理論并結合風險評估理論構建工程項目風險評估模型,根據模型預估工程項目發生風險的概率及對應的后果,進而發現該工程項目的關鍵風險并確定整個項目的風險水平,從而為風險的處置提供科學參考依據以保障項目順利施工。具體工程項目風險評價主要包括如下內容:1)確定風險評價基準。確定工程項目風險基準需要結合項目的實際情況,根據項目主體的項目目標,按照每一類風險的后果確定其相應的可接受水平,不僅要確定單項風險基準,還需要根據總體目標來確定整體風險基準。一般風險在開始階段可接受水平相對較高,但隨著項目的實施,不確定性逐漸減少,可接受水平會逐漸降低,因此,項目風險評價基準應隨時間的推移而不斷進行調整。2)分析全部單項風險,并計算總體風險水平。項目總體風險水平的確定是在確定各單項風險之后,根據各單項風險之間的相互作用及其轉化關系,對風險的可預見性、風險所對應的各種后果與發生的概率進行合理的估計,因此,評價工程項目整體風險非常復雜。一般而言,工程項目風險后果的嚴重性及其對應發生的概率符合“二八原理”,即20%的風險對工程項目構成了80%的嚴重威脅。也就是說,可能導致嚴重后果的風險出現的概率低,而導致不嚴重后果的風險出現的概率高。同時,確定整體項目風險還需考慮多個導致不嚴重后果的風險耦合時,可能會造成相當嚴重的后果,這在確定整體項目風險水平時也需要認真考慮。3)與基準風險比較,對項目進行決策。若某單項風險大于相應的評價基準時,則可進行成本效益分析來尋找其他風險較小的方案進行替代;若項目整體風險比整體評價基準稍大時,則可考慮重新擬定新的項目總體方案。當項目總體風險不大于總體評價基準時,則表示項目風險可接受,工程項目可按計劃繼續進行,否則,考慮放棄項目。在實際的計算中,需要考慮到的因素種類很多,各因素之間還需要劃分成若干層次,并對各層次之間的因素劃分評價等級,之后求得各層矩陣,數學方法可采用模糊綜合評價的方法,其主要是在構建等級模糊子集對被評價的工程項目模糊指標進行量化(即確定隸屬度)基礎上,根據模糊變換原理來綜合各指標形成最終整體評價結果。評判順序為:首先對最低層次的指標采用模糊綜合評價的方法進行評價,然后根據評價結果構建上一層次的模糊矩陣并采用模糊綜合評價法進行評價。根據此方法由底而上逐層進行模糊綜合評價,進而得到系統總體的綜合風險評價結果。
2風險對策
風險的識別與評估的最終目的是對工程項目提供科學的決策依據及對策,因此,相關的工程項目風險管理人員在風險識別與評估之后制定相應的風險應對計劃與措施。具體風險應對計劃如圖1所示。制定風險的應對措施的主要目的是減少項目風險可能造成的危害,從而提高對工程項目風險的控制,減少損失。一般情況下,項目風險應對措施包括三種方法,即風險分散與轉移、風險損失控制、風險自留與風險回避。1)風險的分散與轉移對策。此方法是工程項目風險管理中最為常見的方法,采用這種方法應注意三個原則:a.要能夠降低工程造價和有利于合同的履行。b.誰能夠防止風險或控制風險或減少風險造成的損失,就由誰承擔該風險。c.要有利于調動承擔方的積極性。2)風險損失控制。根據工程項目預估的風險,需要制定應對措施來降低風險發生的概率及其可能造成的嚴重后果,主要包括預防損失和減少損失兩個方面。a.預防損失,例如合理的管理及制定安全計劃等,主要目的在于減少甚至消除損失發生的概率。b.減少損失,包括損失最小化方案和損失挽救方案,例如制定災難計劃、應急計劃等,其主要目的在于減少風險發生時所造成后果的嚴重性。風險損失控制方案也可以是預防損失與減少損失的組合方案。3)風險自留對策與風險回避。風險自留也稱風險承擔,企業以其內部資源來承擔項目風險所造成的損失。風險回避是一種以消極的放棄和中止的方式來避免可能產生的潛在風險,它與損失控制一樣,均是以控制項目風險本身為對象,但損失控制是主動、積極的風險對策。在采用風險回避對策時要注意有些風險回避可能是不實際甚至不可能回避的,若項目風險越復雜,采取回避對策就越不可能;風險回避同時也可能意味著獲得收益的可能性;回避一種風險的同時可能會產生另外一種新的風險。
3結語
關鍵詞 電子商務安全,風險管理,風險識別,風險控制
1 引言
隨著開放的互聯網絡系統Internet的飛速發展,電子商務的應用和推廣極大了改變了人們工作和生活方式,帶來了無限的商機。然而,電子商務發展所依托的平臺—互聯網絡卻充滿了巨大、復雜的安全風險。黑客的攻擊、病毒的肆虐等等都使得電子商務業務很難安全順利地開展;此外,電子商務的發展還面臨著嚴峻的內部風險,電子商務企業內部對安全問題的盲目和安全意識的淡薄,高層領導對電子商務的運作和安全管理重視程度不足,使得企業實施電子商務不可避免地會遇到這樣或那樣的風險。因此,在考察電子商務運行環境、提供電子商務安全解決方案的同時,有必要重點評估電子商務系統面臨的風險問題以及對風險有效管理和控制方法。
電子商務安全的風險管理是對電子商務系統的安全風險進行識別、衡量、分析,并在這基礎上盡可能地以最低的成本和代價實現盡可能大的安全保障的科學管理方法。
2 電子商務面臨的安全風險
由于網絡的復雜性和脆弱性,以因特網為主要平臺的電子商務的發展面臨著嚴峻的安全問題。一般來說,電子商務普遍存在著以下幾個安全風險:
1)信息的截獲和竊取
這是指電子商務相關用戶或外來者未經授權通過各種技術手段截獲和竊取他人的文電內容以獲取商業機密。
2)信息的篡改
網絡攻擊者依靠各種技術方法和手段對傳輸的信息進行中途的篡改、刪除或插入,并發往目的地,從而達到破壞信息完整性的目的。
3)拒絕服務
拒絕服務是指在一定時間內,網絡系統或服務器服務系統的作用完全失效。其主要原因來自黑客和病毒的攻擊以及計算機硬件的認為破壞。
4)系統資源失竊問題
在網絡系統環境中,系統資源失竊是常見的安全威脅。
5)信息的假冒
信息的假冒是指當攻擊者掌握了網絡信息數據規律或解密了商務信息后,可以假冒合法用戶或假冒信息來欺騙其它用戶。主要表現形式有假冒客戶進行非法交易,偽造電子郵件等。
6)交易的抵賴
交易抵賴包括發信者事后否認曾經發送過某條信息;買家做了定單后不承認;賣家賣出的商品因價格差而不承認原先的交易等。
3 風險管理規則
針對電子商務面臨的各種安全風險,電子商務企業不能被動、消極地應付,而應該主動采取措施維護電子商務系統的安全,并監視新的威脅和漏洞。因此,這就需要制定完整高效的電子商務安全風險管理規則。
一般來說,風險管理規則的制定過程有評估、開發和實施以及運行三個階段。
(1)評估階段
該階段的主要任務是對電子商務的安全現狀、要保護的信息、各種資產等進行充分的評估以及一些基本的安全風險識別和分析。
對電子商務安全現狀的評估是制定風險管理規則的基礎。
對信息和資產的評估是指對可能遭受損失的相關信息和資產進行價值的評估,以便確定相適應的風險管理規則,從而避免投入成本和要保護的信息和資產的嚴重不匹配。
安全風險識別要求盡可能地發現潛在的安全風險,應收集有關各種威脅、漏洞、開發和對策的信息。
安全風險分析是確定風險,收集信息,對可能造成的損失進行評價以估計風險的級別,以便做出明智的決策,從而采取措施來規避安全風險。
(2)開發和實施階段
該階段的任務包括風險補救措施開發、風險補救措施測試和風險知識學習。
風險補救措施開發利用評估階段的成果來建立一個新的安全管理策略,其中涉及配置管
理、修補程序管理、系統監視與審核等等。
在完成對風險補救措施的開發后,即進行安全風險補救措施的測試,在測試過程中,將按照安全風險的控制效果來評估對策的有效性。
(3)運行階段
運行階段的主要任務包括在新的安全風險管理規則下評估新的安全風險。這個過程實際上是變更管理的過程,也是執行安全配置管理的過程。
運行階段的第二個任務是對新的或已更改的對策進行穩定性測試和部署。這個過程由系統管理、安全管理和網絡管理小組來共同實施。
以上風險管理規則的三個階段可以用下圖來表示:
4 風險管理步驟
風險管理是識別風險、分析風險并制定風險管理計劃的過程。電子商務安全風險的管理和控制方法,它包括風險識別、風險分析、風險控制以及風險監控等四個方面。
(1)風險識別
電子商務系統的安全要求是通過對風險的系統評估而確認的。為了有效管理電子商務安全風險,識別安全風險是風險管理的第一步。
風險識別是在收集有關各種威脅、漏洞和相關對策等信息的基礎上,識別各種可能對電子商務系統造成潛在威脅的安全風險。
風險識別的手段五花八門,對于電子商務系統的安全來說,風險識別的目標是主要是對電子商務系統的網絡環境風險、數據存在風險和網上支付風險進行識別。
需要注意的是,并非所有的電子商務安全風險都可以通過風險識別來進行管理,風險識別只能發現已知的風險或根據已知風險較容易獲知的潛在風險。而對于大部分的未知風險,則依賴于風險分析和控制來加以解決或降低。
(2)風險分析
風險分析是運用分析、比較、評估等各種定性、定量的方法,確定電子商務安全各風險要素的重要性,對風險排序并評估其對電子商務系統各方面的可能后果,從而使電子商務系統項目實施人員可以將主要精力放在對付為數不多的重要安全風險上,使電子商務系統的整體風險得到有效的控制。風險分析是一種確定風險以及對可能造成的損失進行評估的方法,它是制定安全措施的依據。
風險分析的目標是:確定風險,對可能造成損壞的潛在風險進行定性化和定量化,以及最后在經濟上尋求風險損失和對風險投入成本的平衡。
目前,風險分析主要采用的方法有:風險概率/影響評估矩陣,敏感性分析,模擬等。在進行電子商務安全風險分析時,由于各影響因素量化在現實上的困難,可根據實際需要,主要采用定性方法為主輔以少量定量方法相結合來進行風險分析,為制定風險管理制度和風險的控制提供理論上的依據。
(3)風險控制
風險控制就是選擇和運用一定的風險控制手段,以保障風險降到一個可以接受的水平。風險控制是風險管理中最重要的一個環節,是決定風險管理成敗的關鍵因素。電子商務安全風險控制的目標在于改變企業電子商務項目所承受的風險程度。
一般來說,風險控制方法有兩類:
第一類是風險控制措施,比如降低、避免、轉移風險和損失管理等。在電子商務安全風險管理中,比較常用的是轉移風險和損失管理。
第二類為風險補償的籌資措施,包括保險與自擔風險。在電子商務安全風險
管理中,管理人員需要對風險補償的籌資措施進行決策,即選擇保險還是自擔風險。
此外,風險控制方法的選擇應當充分考慮相對風險造成損失的成本,當然其它方面的影響也是不容忽視的,如企業商譽等。
對電子商務安全來說,其有效可行的風險控制方法是:建立完整高效的降低風險的安全性解決方案,掌握保障安全性所需的一些基礎技術,并規劃好發生特定安全事故時企業應該采取的解決方案。
5 風險管理對策
由于電子商務安全的重要性,所以部署一個完整有效的電子商務安全風險管理對策顯得十分迫切。制定電子商務安全風險管理對策目的在于消除潛在的威脅和安全漏洞,從而降低電子商務系統環境所面臨的風險。
目前的電子商務安全風險管理對策中,較為常用的是縱深防御戰略,所謂縱深防御戰略,就是深層安全和多層安全。通過部署多層安全保護,可以確保當其中一層遭到破壞時,其它層仍能提供保護電子商務系統資源所需的安全。比如,一個單位外部的防火墻遭到破壞,由于內部防火墻的作用,入侵者也無法獲取單位的敏感數據或進行破壞。在較為理想的情況下,每一層均提供不同的對策以免在不同的層中使用相同的攻擊方法。
下圖為一個有效的縱深防御策略:
圖2 有效的縱深防御策略
下面就各層的主要防御內容從外層到里層進行簡要的說明:
1)物理安全
物理安全是整個電子商務系統安全的前提。制定電子商務物理安全策略的目的在于保護計算機系統、電子商務服務器等各電子商務系統硬件實體和通信鏈路免受自然災害和人為破壞造成的安全風險。
2)周邊防御
對網絡周邊的保護能夠起到抵御外界攻擊的作用。電子商務系統應盡可能安裝某種類型的安全設備來保護網絡的每個訪問節點。在技術上來說,防火墻是網絡周邊防御的最主要的手段,電子商務系統應當安裝一道或多道防火墻,以確保最大限度地降低外界攻擊的風險,并利用入侵檢測功能來及時發現外界的非法訪問和攻擊。
3)網絡防御
網絡防御是對網絡系統環境進行評估,采取一定措施來抵御黑客的攻擊,以確保它們得到適當的保護。就目前來說,網絡安全防御行為是一種被動式的反應行為,而且,防御技術的發展速度也沒有攻擊技術發展得那么快。為了提高網絡安全防御能力,使網絡安全防護系統在攻擊與防護的對抗中占據主動地位,在網絡安全防護系統中,除了使用被動型安全工具(防火墻、漏洞掃描等)外,也需要采用主動型安全防護措施(如:網絡陷阱、入侵取證、入侵檢測、自動恢復等)。
4)主機防御
主機防御是對系統中的每一臺主機進行安全評估,然后根據評估結果制定相應的對策以限制服務器執行的任務。在主機及其環境中,安全保護對象包括用戶應用環境中的服務器、客戶機以及其上安裝的操作系統和應用系統。這些應用能夠提供包括信息訪問、存儲、傳輸、錄入等在內的服務。根據信息保障技術框架,對主機及其環境的安全保護首先是為了建立防止有惡意的內部人員攻擊的首道防線,其次是為了防止外部人員穿越系統保護邊界并進行攻擊的最后防線。
5)應用程序防御
作為一個防御層,應用程序的加固是任何一種安全模型中都不可缺少的一部分。加強保護操作系統安全只能提供一定程度的保護。因此,電子商務系統的開發人員有責任將安全保護融入到應用程序中,以便對體系結構中應用程序可訪問到的區域提供專門的保護。應用程序存在于系統的環境中。
6)數據防御
對許多電子商務企業來說,數據就是企業的資產,一旦落入競爭者手中或損壞將造成不可挽回的損失。因此,加強對電子商務交易及相關數據的防護,對電子商務系統的安全和電子商務項目的正常運行具有重要的現實意義
6 結論
一般來說,風險管理有基本的三個對策,包括管理者采取適當措施來降低風險事故發生的概率;管理者準備并實施一個意外事故應急計劃以備不測;還有就是管理者什么都不做。對已選定的對策,應對其潛在的風險有充分的估計,并制定相應的應變計劃,以使可能的風險損失降到最低。
風險管理沒有鐵定的規則,對于電子商務安全風險管理來說,首先是掃描和檢測電子商務系統的內外部環境,檢查系統的脆弱性和薄弱環節,及時打上補丁和追加設備,以便當風險產生時盡可能地減少損失;其次是對電子商務安全風險進行充分地分析,然后制定相應的規劃和措施,并在其實施的每個階段進行監控和跟蹤;最后是根據環境的變化隨時調險管理措施,制定完備的災難恢復計劃。
參考文獻
[1]甘早斌.電子商務概論(第二版).華中科技大學出版社.2003.9
[2]鐘誠.電子商務安全.重慶大學出版社.2004.6
[3]才書訓.電子商務安全風險管理與控制.東北大學出版社.2004.6
[4]易珊,張學哲.電子商務安全策略分析.科技情報開發與經濟.2004.5
[5]高新亞,鄒靜.電子商務安全的風險分析和風險管理.武漢理工大學學報.信息與管理工程版.2005.8
[6]郭學勤,陳怡.電子商務安全對策.計算機與數字工程.2001.7
[7]李晶.電子商務安全防范措施.安徽科技.2003.4
