導(dǎo)語:在風(fēng)險(xiǎn)評(píng)估方法論的撰寫旅程中�,學(xué)習(xí)并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優(yōu)秀范文���,愿這些內(nèi)容能夠啟發(fā)您的創(chuàng)作靈感,引領(lǐng)您探索更多的創(chuàng)作可能�。
第1篇
[關(guān)鍵詞]電力;企業(yè)風(fēng)險(xiǎn)�;管理;定量風(fēng)險(xiǎn)評(píng)估
[作者簡(jiǎn)介]林笑玫����,廣東電網(wǎng)公司惠州供電局,廣東惠州���,516001
[中圖分類號(hào)] F272.35 [文獻(xiàn)標(biāo)識(shí)碼] A [文章編號(hào)] 1007-7723(2012)01-0052-0002
電力企業(yè)工程投資巨大�,工程項(xiàng)目在實(shí)施期間會(huì)面臨著多個(gè)方面的風(fēng)險(xiǎn)����,若不及時(shí)加以控制將給企業(yè)造成不可估量的經(jīng)濟(jì)損失。為了滿足新時(shí)期電力項(xiàng)目持續(xù)進(jìn)行的需要�,企業(yè)必須要采用科學(xué)的風(fēng)險(xiǎn)評(píng)估方法�。定量風(fēng)險(xiǎn)的核心是分析企業(yè)的定性風(fēng)險(xiǎn)����,再排出優(yōu)先順序的風(fēng)險(xiǎn)實(shí)施量化分析。根據(jù)理論標(biāo)準(zhǔn)����,定量風(fēng)險(xiǎn)分析適用于已經(jīng)制定好的風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃。這不僅能夠驗(yàn)證風(fēng)險(xiǎn)控制效果是否符合預(yù)期要求�,而且能夠從風(fēng)險(xiǎn)過程里反映企業(yè)管理存在的問題。同時(shí)�,多次實(shí)施定量風(fēng)險(xiǎn)分析可提醒管理者是否調(diào)險(xiǎn)管理方法,也是電力企業(yè)風(fēng)險(xiǎn)監(jiān)測(cè)���、轉(zhuǎn)移�、控制的重要依據(jù)�。
一、企業(yè)定量風(fēng)險(xiǎn)分析的方法
經(jīng)濟(jì)體制改革發(fā)展局勢(shì)下���,國家對(duì)電力企業(yè)的經(jīng)營管理提出了新的調(diào)整要求����,市場(chǎng)風(fēng)險(xiǎn)的控制與防范是電力企業(yè)經(jīng)營管理的主要內(nèi)容����。電力行業(yè)是我國現(xiàn)代化產(chǎn)業(yè)結(jié)構(gòu)的重點(diǎn)構(gòu)成����,加強(qiáng)電力企業(yè)的風(fēng)險(xiǎn)控制及管理有助于維持行業(yè)經(jīng)濟(jì)的持續(xù)增長�。定量分析法運(yùn)用于電力項(xiàng)目風(fēng)險(xiǎn)評(píng)估,結(jié)合精準(zhǔn)計(jì)算獲得的數(shù)據(jù)進(jìn)行模擬驗(yàn)證���,可引導(dǎo)企業(yè)正確認(rèn)識(shí)工程項(xiàng)目的風(fēng)險(xiǎn)狀況���。目前����,電力企業(yè)定量風(fēng)險(xiǎn)分析常用的方法有:
(一)概率分布
概率分布法是對(duì)電力企業(yè)可能發(fā)生風(fēng)險(xiǎn)的一種概率預(yù)測(cè),以此判斷電力工程風(fēng)險(xiǎn)發(fā)生的可能性大小���。因不同事件之間存在互斥性�,所有事件的概率之和為1�。概率分布法需結(jié)合相關(guān)的輔助方法,如:利用數(shù)學(xué)函數(shù)圖像對(duì)一年四季溫度變化情況分析�,按照溫度大小規(guī)律分析雨水過多、溫差過大等因素對(duì)電力線路的影響概率����,判斷電力系統(tǒng)潛在的風(fēng)險(xiǎn)隱患�。
(二)外推法
外推法有前推�、后推、旁推等形式����,均適用于電力企業(yè)的定量風(fēng)險(xiǎn)評(píng)估活動(dòng)。前推法是電力企業(yè)常用的風(fēng)向評(píng)估方法���,其結(jié)合風(fēng)險(xiǎn)發(fā)生的時(shí)間順序以及有效的數(shù)據(jù)集合判別未來風(fēng)險(xiǎn)發(fā)生的趨勢(shì)���。外推法可分為簡(jiǎn)均法、移動(dòng)平均法���、加權(quán)移動(dòng)平均法���、季節(jié)變動(dòng)分析法等,電力企業(yè)風(fēng)險(xiǎn)分析時(shí)可依據(jù)掌握的資料靈活選擇不同的方法參與評(píng)估���。如:結(jié)合移動(dòng)平均法估算某一年地區(qū)用電需求量的變化����,根據(jù)用電需求量的多少指導(dǎo)企業(yè)年產(chǎn)量的控制。
(三)靈敏度分析
靈敏度分析法本質(zhì)上是對(duì)風(fēng)險(xiǎn)產(chǎn)生影響的一種評(píng)估����,詳細(xì)地分析出不同風(fēng)險(xiǎn)對(duì)電力企業(yè)造成的影響力大小。如:就項(xiàng)目成本來說����,電力企業(yè)采用靈敏度分析法,可對(duì)材料價(jià)格�、市場(chǎng)供應(yīng)等風(fēng)險(xiǎn)造成的成本影響具體判斷,讓企業(yè)有針對(duì)性地制定風(fēng)險(xiǎn)抵抗措施����。一般情況下,電力企業(yè)經(jīng)過靈敏度分析均可制定有效的風(fēng)險(xiǎn)應(yīng)急處理方案�。
(四)模擬法
模擬法采用企業(yè)提供的有效數(shù)據(jù)�,利用計(jì)算機(jī)建立系統(tǒng)模型,對(duì)電力工程的風(fēng)險(xiǎn)狀態(tài)模擬分析�。由于計(jì)算機(jī)在數(shù)據(jù)采集、處理�、修改等方面的功能極強(qiáng),將其用于定量風(fēng)險(xiǎn)評(píng)估可擺脫人工分析的失誤���,提高風(fēng)險(xiǎn)評(píng)估結(jié)果的準(zhǔn)確性�。如:基于計(jì)算機(jī)平臺(tái),管理人員可結(jié)合項(xiàng)目的網(wǎng)絡(luò)圖作為項(xiàng)目模型����,把電力工程建設(shè)期間存在的財(cái)務(wù)風(fēng)險(xiǎn)、效益風(fēng)險(xiǎn)綜合體現(xiàn)出來���。
三���、定量風(fēng)險(xiǎn)分析的參照依據(jù)
考慮到電力行業(yè)的特殊性,企業(yè)在定量風(fēng)險(xiǎn)評(píng)估時(shí)需從專業(yè)角度分析問題����,對(duì)風(fēng)險(xiǎn)評(píng)估采用的理論、方法嚴(yán)格掌握����,以確保最終分析結(jié)果的可靠性、準(zhǔn)確性���、科學(xué)性�。從電力企業(yè)實(shí)際定量風(fēng)險(xiǎn)評(píng)估工作的操作情況看����,多數(shù)企業(yè)已經(jīng)掌握一套相對(duì)完整的風(fēng)險(xiǎn)評(píng)估流程���。“分析依據(jù)”是電力工程項(xiàng)目定量風(fēng)險(xiǎn)研究的重點(diǎn)參考����。
(一)項(xiàng)目歷史信息
歷史數(shù)據(jù)是企業(yè)長期發(fā)展積累下來的重要資料,也是后期項(xiàng)目定量風(fēng)險(xiǎn)評(píng)估的理論依據(jù)���。歷史信息包括:從行業(yè)或企業(yè)得到類似的已完項(xiàng)目信息�,風(fēng)險(xiǎn)專家對(duì)類似項(xiàng)目的研究資料以及計(jì)算機(jī)存儲(chǔ)的風(fēng)險(xiǎn)數(shù)據(jù)庫���。電力企業(yè)在風(fēng)險(xiǎn)評(píng)估時(shí)對(duì)歷史信息中有價(jià)值的資料靈活提取�,減小風(fēng)險(xiǎn)評(píng)估的難度���。
(二)項(xiàng)目范圍說明
項(xiàng)目說明書是電力工程的總概括�,記錄了項(xiàng)目前期策劃及后期施工的詳細(xì)內(nèi)容���,也是電力企業(yè)信息存檔的必備資料。閱讀項(xiàng)目范圍說明書是定量風(fēng)險(xiǎn)評(píng)估的有效方法����,以最真實(shí)的數(shù)據(jù)資料為基礎(chǔ)����,抓住項(xiàng)目說明書涉及到的潛在風(fēng)險(xiǎn)綜合研究�,有助于專家羅列出最權(quán)威可靠的風(fēng)險(xiǎn)評(píng)估結(jié)果。
(三)風(fēng)險(xiǎn)管理文件
風(fēng)險(xiǎn)管理文件是電力企業(yè)制定的預(yù)期處理方案�,當(dāng)工程風(fēng)險(xiǎn)發(fā)生之后可打開管理文件所編輯的措施處理風(fēng)險(xiǎn)。通常電力企業(yè)的風(fēng)險(xiǎn)管理文件提供的管理策略相對(duì)完整�,如:執(zhí)行風(fēng)險(xiǎn)管理的崗位職責(zé)、預(yù)算和計(jì)劃時(shí)間的風(fēng)險(xiǎn)管理活動(dòng)���,風(fēng)險(xiǎn)分類����,風(fēng)險(xiǎn)分解結(jié)構(gòu)和修訂的有關(guān)方面的風(fēng)險(xiǎn)承受度�。
(四)風(fēng)險(xiǎn)清單
風(fēng)險(xiǎn)清單是對(duì)工程項(xiàng)目?jī)?nèi)容的檢驗(yàn)審核,對(duì)電力企業(yè)定量風(fēng)險(xiǎn)評(píng)估具有統(tǒng)籌性的作用����。借助于風(fēng)險(xiǎn)情況能為評(píng)估人員提供多個(gè)方面的信息,如:已識(shí)別風(fēng)險(xiǎn)的清單���、項(xiàng)目風(fēng)險(xiǎn)的優(yōu)先級(jí)清單等���,這些都會(huì)給定量風(fēng)險(xiǎn)評(píng)估提供參考���。此外,根據(jù)風(fēng)險(xiǎn)清單顯示的結(jié)果�,電力企業(yè)可加強(qiáng)項(xiàng)目管理的力度,從項(xiàng)目進(jìn)度管理計(jì)劃���、項(xiàng)目費(fèi)用管理計(jì)劃等優(yōu)化管理����。
四���、風(fēng)險(xiǎn)管理的組織實(shí)施與基本流程
電氣企業(yè)推廣定量風(fēng)險(xiǎn)評(píng)估的優(yōu)勢(shì)顯著���,其不僅為高層經(jīng)理提供了相當(dāng)直接的數(shù)字;且數(shù)據(jù)分析階段可靈活運(yùn)用各種逼近模型�。定量分析后的許多具體調(diào)查工作可以用最小優(yōu)先經(jīng)驗(yàn)執(zhí)行,滿足了企業(yè)經(jīng)營管理工作的具體需求����。風(fēng)險(xiǎn)管理的組織實(shí)施應(yīng)按照標(biāo)準(zhǔn)的流程操作,電力企業(yè)需結(jié)合項(xiàng)目的詳細(xì)情況設(shè)計(jì)定量風(fēng)險(xiǎn)評(píng)估的策略����。
(一)風(fēng)險(xiǎn)管理與規(guī)劃
管理是控制工程風(fēng)險(xiǎn)的核心工作,電力企業(yè)實(shí)施風(fēng)險(xiǎn)管理措施可盡快處理當(dāng)前所面臨的風(fēng)險(xiǎn)問題���。制定風(fēng)險(xiǎn)管理之前���,風(fēng)險(xiǎn)評(píng)估專家要做好詳細(xì)的規(guī)劃,引導(dǎo)后期管理操作的有序進(jìn)行����。如:對(duì)項(xiàng)目風(fēng)險(xiǎn)的成因、影響���、處理等問題深入分析�,設(shè)計(jì)出相對(duì)完整的風(fēng)險(xiǎn)管理策略���。
(二)風(fēng)險(xiǎn)辯識(shí)與評(píng)估
當(dāng)企業(yè)風(fēng)險(xiǎn)發(fā)生之后�,應(yīng)組織風(fēng)險(xiǎn)評(píng)估團(tuán)隊(duì)盡快判別風(fēng)險(xiǎn)的具體情況�,對(duì)風(fēng)險(xiǎn)的種類、影響���、應(yīng)對(duì)等綜合考慮����。評(píng)估是風(fēng)險(xiǎn)辨識(shí)的重要環(huán)節(jié),經(jīng)過全面性的評(píng)估了解可掌握風(fēng)險(xiǎn)的有用信息���,從客觀角度評(píng)估風(fēng)險(xiǎn)的破壞范圍���,編制出更加優(yōu)越的風(fēng)險(xiǎn)控制方案。
(三)策略修改與實(shí)施
由于風(fēng)險(xiǎn)管理方案具有突發(fā)性���、應(yīng)急性特點(diǎn)���,最初制定的風(fēng)險(xiǎn)管理策略會(huì)在實(shí)施期間需要調(diào)整。電力企業(yè)管理人員需結(jié)合項(xiàng)目的實(shí)際需要����,對(duì)其他相關(guān)的風(fēng)險(xiǎn)綜合考核檢測(cè),以掌握最佳的風(fēng)險(xiǎn)處理策略���,把風(fēng)險(xiǎn)造成的經(jīng)濟(jì)損失控制在最小范圍�。
(四)效果評(píng)估與總結(jié)
定量風(fēng)險(xiǎn)評(píng)估結(jié)束����,企業(yè)有必要對(duì)此次評(píng)估活動(dòng)進(jìn)行總結(jié)�,收錄相關(guān)的資料信息存檔管理����?���?偨Y(jié)中要對(duì)此次定量風(fēng)險(xiǎn)評(píng)估存在的問題、取得的成果�、使用的資料等內(nèi)容加以整合����,將其歸納成完整的信息檔案收集���。總結(jié)資料是電力企業(yè)未來定量風(fēng)險(xiǎn)評(píng)估的參考資料����。
五、結(jié)語
總之���,電力行業(yè)是維持社會(huì)供電����、用電正常運(yùn)行的主導(dǎo)產(chǎn)業(yè),工程項(xiàng)目的實(shí)施是改造電力系統(tǒng)的有效方法����。企業(yè)在經(jīng)營管理期間要充分考慮市場(chǎng)潛在的風(fēng)險(xiǎn)因素,采用定量風(fēng)險(xiǎn)評(píng)估方法處理問題�,對(duì)項(xiàng)目存在的風(fēng)險(xiǎn)情況詳細(xì)分析,為企業(yè)提供更加可靠���、安全的風(fēng)險(xiǎn)應(yīng)對(duì)策略����。
[參考文獻(xiàn)]
[1]金海燕,劉峰.對(duì)中國電力企業(yè)全面風(fēng)險(xiǎn)管理的認(rèn)識(shí)[J].華北電力大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版),2009,(1).
第2篇
1.等級(jí)保護(hù)
1)主要內(nèi)容
等級(jí)保護(hù)是指導(dǎo)我國信息安全保障體系總體建設(shè)的基礎(chǔ)管理原則���,是圍繞信息安全保障全過程的一項(xiàng)基礎(chǔ)性管理制度���,其核心內(nèi)容是對(duì)信息安全分等級(jí)、按標(biāo)準(zhǔn)進(jìn)行建設(shè)�、管理和監(jiān)督。
2)優(yōu)點(diǎn)
等級(jí)保護(hù)適用于宏觀層面�,是一種大范圍“基線安全”,適用于行業(yè)主管部門對(duì)信息安全的總體把握與監(jiān)控�。
3)缺點(diǎn)
具體到某個(gè)組織的信息安全保護(hù)而言,等級(jí)保護(hù)的粒度劃分較粗,在滿足組織對(duì)信息安全的精細(xì)控制要求方面還存在不足�。因此,在滿足監(jiān)管部門的等級(jí)保護(hù)要求之后�,組織還可進(jìn)一步把等級(jí)細(xì)化到各種層次的安全域,直至對(duì)一個(gè)個(gè)的信息資產(chǎn)進(jìn)行有效管理���。
2.信息安全管理體系(ISMS)
1)主要內(nèi)容
類似于質(zhì)量之于ISO9000�,ISMS是組織為提高信息安全管理水平���,按照ISO27001的要求,在整體或特定范圍內(nèi)監(jiān)理的信息安全方針和目標(biāo)����,以及完成這些目標(biāo)所用的方法和體系。它是直接管理活動(dòng)的結(jié)果����,表示為方針、原則���、目標(biāo)���、方法、計(jì)劃、活動(dòng)�、程序、過程和資源的集合���。
2)優(yōu)點(diǎn)
ISMS涉及了信息安全的11個(gè)領(lǐng)域����,133個(gè)控制措施���,基本涵蓋了信息安全的方方面面����,適用于各種類型的組織用來建立一個(gè)總體的安全控制框架;ISMS更注重于把“安全管理”當(dāng)作一種制度來建設(shè)����,通過建立統(tǒng)一的方針、策略����,以及規(guī)范化安全規(guī)則,使ISMS實(shí)施主體能有效地識(shí)別風(fēng)險(xiǎn)���,持續(xù)不斷地采取管控措施�,以把風(fēng)險(xiǎn)降低到組織可接受的程度。
3)缺點(diǎn)
它只是描述了建立ISMS的思想����、框架,但對(duì)如何建立ISMS并沒有一個(gè)詳細(xì)明確的定義�,也沒有描述ISMS的最終形態(tài);沒有確定建立信息安全體系的具體方法與技術(shù)。因此����,ISMS對(duì)實(shí)施者來說留下來很大的可操作空間,不同的組織和不同實(shí)施著對(duì)ISMS標(biāo)準(zhǔn)的把握可能差別很大����,ISMS總體水平也會(huì)有高下之分����。
3.風(fēng)險(xiǎn)評(píng)估
1)主要內(nèi)容
風(fēng)險(xiǎn)評(píng)估是獲知組織當(dāng)前風(fēng)險(xiǎn)水平的一種手段,在金融����、電子商務(wù)等許多領(lǐng)域都是有風(fēng)險(xiǎn)及風(fēng)險(xiǎn)評(píng)估需求的存在。當(dāng)風(fēng)險(xiǎn)評(píng)估應(yīng)用于IT安全領(lǐng)域時(shí)���,就是對(duì)信息安全的風(fēng)險(xiǎn)評(píng)估����。
2)優(yōu)點(diǎn)
風(fēng)險(xiǎn)評(píng)估從早起簡(jiǎn)單的漏洞掃描、人工審計(jì)�、滲透性測(cè)試這種類型的純技術(shù)操作,逐漸過渡到目前普遍采用ISO17799���、OCTAVE����、NIST SP800�、NIST P800-26、NIST SP800-30�、AS/NZS4360、SSE-CMM等方法�,充分體現(xiàn)以資產(chǎn)為出發(fā)點(diǎn)、以威脅為觸發(fā)���、以技術(shù)/管理/運(yùn)行等方面存在的脆弱性為誘因的信息安全風(fēng)險(xiǎn)評(píng)估綜合方法及操作模型����。
國內(nèi)這幾年對(duì)信息安全風(fēng)險(xiǎn)評(píng)估的研究進(jìn)展較快�,具體的評(píng)估方法也在不斷改進(jìn)。原國信辦2004年組織完成了《信息安全風(fēng)險(xiǎn)評(píng)估指南》及《信息安全風(fēng)險(xiǎn)管理指南》標(biāo)準(zhǔn)草案的制定�,并在其中規(guī)定了信息安全風(fēng)險(xiǎn)評(píng)估的工作流程���、評(píng)估內(nèi)容、評(píng)估方法和風(fēng)險(xiǎn)判斷準(zhǔn)測(cè)���,對(duì)規(guī)范我國信息安全風(fēng)險(xiǎn)評(píng)估的做法具有很好的指導(dǎo)意義����。
3)缺點(diǎn)
《信息安全風(fēng)險(xiǎn)評(píng)估指南》所確定的風(fēng)險(xiǎn)評(píng)估方法還只是一個(gè)通用的方法論�,具體到一個(gè)特定的單位,要對(duì)其中的風(fēng)險(xiǎn)進(jìn)行準(zhǔn)確地識(shí)別與量化仍熱是一件困難的事情�,在很大程度上要取決于評(píng)估者的經(jīng)驗(yàn)。
第3篇
要:本文依據(jù)我國制定的信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)和國際有關(guān)標(biāo)準(zhǔn)���,研究和設(shè)計(jì)針對(duì)數(shù)字校園的信息安全風(fēng)險(xiǎn)評(píng)估流程和框架���,并利用該流程針對(duì)實(shí)際的數(shù)字校園對(duì)象進(jìn)行實(shí)例驗(yàn)證���,風(fēng)險(xiǎn)評(píng)估結(jié)果驗(yàn)證了該流程的合理性和可行性���。
關(guān)鍵詞:數(shù)字校園;風(fēng)險(xiǎn)評(píng)估���;信息安全
中圖分類號(hào):TP309 文獻(xiàn)標(biāo)志碼:B 文章編號(hào):1673-8454(2012)23-0030-04
一�、引言
數(shù)字校園是以校園網(wǎng)為背景的集教學(xué)、管理和服務(wù)為一體的一種新型的數(shù)字化工作���、學(xué)習(xí)和生活環(huán)境���。一個(gè)典型的數(shù)字校園包括各種常用網(wǎng)絡(luò)服務(wù)、共享數(shù)據(jù)庫�、身份認(rèn)證平臺(tái)、各種業(yè)務(wù)管理系統(tǒng)和信息門戶網(wǎng)站等[1]���。數(shù)字校園作為一個(gè)龐大復(fù)雜的信息系統(tǒng)����,構(gòu)建和維護(hù)一個(gè)良好的信息安全管理體系是一項(xiàng)非常重要的基礎(chǔ)管理工作�。
信息安全風(fēng)險(xiǎn)評(píng)估是構(gòu)建和維護(hù)信息安全管理體系的基礎(chǔ)和關(guān)鍵環(huán)節(jié),它通過識(shí)別組織的重要信息資產(chǎn)����、資產(chǎn)面臨的威脅以及資產(chǎn)自身的脆弱性,評(píng)估外部威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性���,判斷安全事件發(fā)生后對(duì)組織造成的影響���。對(duì)數(shù)字校園進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估有助于及時(shí)發(fā)現(xiàn)和解決存在的信息安全問題����,保證數(shù)字校園的業(yè)務(wù)連續(xù)性�,并為構(gòu)建一個(gè)良好的信息安全管理體系奠定堅(jiān)實(shí)基礎(chǔ)。
二���、評(píng)估標(biāo)準(zhǔn)
由于信息安全風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)性作用����,包括我國在內(nèi)的信息化程度較高的國家以及相關(guān)國際組織都非常重視相關(guān)標(biāo)準(zhǔn)和方法的研究����。目前比較成熟的標(biāo)準(zhǔn)和方法有ISO制定的《IT信息安全管理指南》(ISO/IEC13335)和《信息安全管理體系要求》(ISO/IEC27001:2005)、美國NIST制定的SP800系列標(biāo)準(zhǔn)�、美國CMU軟件工程研究所下屬的CERT協(xié)調(diào)中心開發(fā)的OCTAVE2.0以及我國制定的《信息安全技術(shù)——信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》(GB/T20984-2007)。
ISO/IEC27001系列標(biāo)準(zhǔn)于2005年10月15日正式���,作為一種全球性的信息安全管理國際標(biāo)準(zhǔn)適用于任何組織的信息安全管理活動(dòng)����,同時(shí)也為評(píng)估組織的信息安全管理水平提供依據(jù)���。但是ISO27001系列標(biāo)準(zhǔn)沒有制定明確的信息安全風(fēng)險(xiǎn)評(píng)估流程����,組織可以自行選擇適合自身特點(diǎn)的信息安全風(fēng)險(xiǎn)評(píng)估方法���,如OCTAVE2.0等[2][3]����。
為了指導(dǎo)我國信息安全風(fēng)險(xiǎn)評(píng)估工作的開展���,我國于2007年11月正式頒布了《信息安全技術(shù)——信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》(GB/T20984-2007)�,這是我國自主研究和制定的信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)����,該標(biāo)準(zhǔn)與ISO27001系列標(biāo)準(zhǔn)思想一致,但對(duì)信息安全風(fēng)險(xiǎn)評(píng)估過程進(jìn)行了細(xì)化���,使得更加適合我國企業(yè)或者組織的信息安全風(fēng)險(xiǎn)評(píng)估工作開展����。
三����、評(píng)估流程
《信息安全技術(shù)——信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》(GB/T20984-2007)等標(biāo)準(zhǔn)為風(fēng)險(xiǎn)評(píng)估提供了方法論和流程���,為風(fēng)險(xiǎn)評(píng)估各個(gè)階段的工作制定了規(guī)范,但標(biāo)準(zhǔn)沒有規(guī)定風(fēng)險(xiǎn)評(píng)估實(shí)施的具體模型和方法�,由風(fēng)險(xiǎn)評(píng)估實(shí)施者根據(jù)業(yè)務(wù)特點(diǎn)和組織要求自行決定。本文根據(jù)數(shù)字校園的業(yè)務(wù)流程和所屬資產(chǎn)的特點(diǎn)����,參考模糊數(shù)學(xué)、OCTAVE的構(gòu)建威脅場(chǎng)景理論和通用弱點(diǎn)評(píng)價(jià)體系(CVSS)等風(fēng)險(xiǎn)評(píng)估技術(shù)���,提出了數(shù)字校園信息安全風(fēng)險(xiǎn)評(píng)估的具體流程和整體框架�,如圖1所示����。
據(jù)圖1可知,數(shù)字校園的信息安全風(fēng)險(xiǎn)評(píng)估首先在充分識(shí)別數(shù)字校園的信息資產(chǎn)�、資產(chǎn)面臨的威脅以及可被威脅利用的資產(chǎn)脆弱性的基礎(chǔ)上,確定資產(chǎn)價(jià)值�、威脅等級(jí)和脆弱性等級(jí),然后根據(jù)風(fēng)險(xiǎn)矩陣計(jì)算得出信息資產(chǎn)的風(fēng)險(xiǎn)值分布表����。數(shù)字校園信息安全風(fēng)險(xiǎn)評(píng)估的詳細(xì)流程如下:
(1)資產(chǎn)識(shí)別:根據(jù)數(shù)字校園的業(yè)務(wù)流程,從硬件�、軟件、電子數(shù)據(jù)�、紙質(zhì)文檔、人員和服務(wù)等方面對(duì)數(shù)字校園的信息資產(chǎn)進(jìn)行識(shí)別����,得到資產(chǎn)清單。資產(chǎn)的賦值要考慮資產(chǎn)本身的實(shí)際價(jià)格����,更重要的是要考慮資產(chǎn)對(duì)組織的信息安全重要程度,即信息資產(chǎn)的機(jī)密性����、完整性和可用性在受到損害后對(duì)組織造成的損害程度,預(yù)計(jì)損害程度越高則賦值越高����。
在確定了資產(chǎn)的機(jī)密性、完整性和可用性的賦值等級(jí)后���,需要經(jīng)過綜合評(píng)定得出資產(chǎn)等級(jí)����。綜合評(píng)定方法一般有兩種:一種方法是選取資產(chǎn)機(jī)密性、完整性和可用性中最為重要的一個(gè)屬性確定資產(chǎn)等級(jí)����;還有一種方法是對(duì)資產(chǎn)機(jī)密性、完整性和可用性三個(gè)賦值進(jìn)行加權(quán)計(jì)算�,通常采用的加權(quán)計(jì)算公式有相加法和相乘法,由組織根據(jù)業(yè)務(wù)特點(diǎn)確定���。
設(shè)資產(chǎn)的機(jī)密性賦值為����,完整性賦值為����,可用性賦值為,資產(chǎn)等級(jí)值為���,則
相加法的計(jì)算公式為v=f(x�,y���,z)=ax+by+cz���,其中a+b+c=1(1)
(2)威脅識(shí)別:威脅分為實(shí)際威脅和潛在威脅�,實(shí)際威脅識(shí)別需要通過訪談和專業(yè)檢測(cè)工具�,并通過分析入侵檢測(cè)系統(tǒng)日志、服務(wù)器日志����、防火墻日志等記錄對(duì)實(shí)際發(fā)生的威脅進(jìn)行識(shí)別和分類����。潛在威脅識(shí)別需要查詢資料分析當(dāng)前信息安全總體的威脅分析和統(tǒng)計(jì)數(shù)據(jù),并結(jié)合組織業(yè)務(wù)特點(diǎn)對(duì)潛在可能發(fā)生的威脅進(jìn)行充分識(shí)別和分類���。
(3)脆弱性識(shí)別:脆弱性是資產(chǎn)的固有屬性�,既有信息資產(chǎn)本身存在的漏洞也有因?yàn)椴缓侠砘蛭凑_實(shí)施的管理制度造成的隱患�。軟件系統(tǒng)的漏洞可以通過專業(yè)的漏洞檢測(cè)軟件進(jìn)行檢測(cè),然后通過安裝補(bǔ)丁程序消除����。而管理制度造成的隱患需要進(jìn)行充分識(shí)別,包括對(duì)已有的控制措施的有效性也一并識(shí)別����。
(4)威脅—脆弱性關(guān)聯(lián):為了避免單獨(dú)對(duì)威脅和脆弱性進(jìn)行賦值從而造成風(fēng)險(xiǎn)分析計(jì)算結(jié)果出現(xiàn)偏差,需要按照OCTAVE中的構(gòu)建威脅場(chǎng)景方法將“資產(chǎn)-威脅-脆弱性-已有安全控制措施”進(jìn)行關(guān)聯(lián)。
(5)風(fēng)險(xiǎn)值計(jì)算:在資產(chǎn)����、威脅、脆弱性賦值基礎(chǔ)上����,利用風(fēng)險(xiǎn)計(jì)算方法計(jì)算每個(gè)“資產(chǎn)-威脅-脆弱性”相關(guān)聯(lián)的風(fēng)險(xiǎn)值,并最終得到整個(gè)數(shù)字校園的風(fēng)險(xiǎn)值分布表����,并依據(jù)風(fēng)險(xiǎn)接受準(zhǔn)則,確認(rèn)可接受和不可接受的風(fēng)險(xiǎn)����。
四、評(píng)估實(shí)例
本文以筆者所在高職院校的數(shù)字校園作為研究對(duì)象實(shí)例����,利用前面所述的信息安全風(fēng)險(xiǎn)評(píng)估流程對(duì)該實(shí)例對(duì)象進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估。
1.資產(chǎn)識(shí)別與評(píng)估
數(shù)字校園的資產(chǎn)識(shí)別與評(píng)估包括資產(chǎn)識(shí)別和資產(chǎn)價(jià)值計(jì)算�。
(1)資產(chǎn)識(shí)別
信息安全風(fēng)險(xiǎn)評(píng)估專家、數(shù)字校園管理技術(shù)人員和數(shù)字校園使用部門代表共同組成數(shù)字校園信息資產(chǎn)識(shí)別小組���,小組通過現(xiàn)場(chǎng)清查����、問卷調(diào)查、查看記錄和人員訪談等方式����,按照數(shù)字校園各個(gè)業(yè)務(wù)系統(tǒng)的工作流程,詳細(xì)地列出數(shù)字校園的信息資產(chǎn)清單���。這些信息資產(chǎn)從類別上可以分為硬件(如服務(wù)器����、存儲(chǔ)設(shè)備���、網(wǎng)絡(luò)設(shè)備等)、軟件(OA系統(tǒng)���、郵件系統(tǒng)����、網(wǎng)站等)���、電子數(shù)據(jù)(各種數(shù)據(jù)庫�、各種電子文檔等)、紙質(zhì)文檔(系統(tǒng)使用手冊(cè)�、工作日志等)、人員和服務(wù)等�。為了對(duì)資產(chǎn)進(jìn)行標(biāo)準(zhǔn)化管理,識(shí)別小組對(duì)各個(gè)資產(chǎn)進(jìn)行了編碼����,便于標(biāo)準(zhǔn)化和精確化管理。
(2)資產(chǎn)價(jià)值計(jì)算
獲得數(shù)字校園的信息資產(chǎn)詳細(xì)列表后����,資產(chǎn)識(shí)別小組召開座談會(huì)確定每個(gè)信息資產(chǎn)的價(jià)值,即對(duì)資產(chǎn)的機(jī)密性�、完整性、可用性進(jìn)行賦值�,三性的賦值為1~5的整數(shù),1代表對(duì)組織造成的影響或損失最低���,5代表對(duì)組織造成的影響或損失最高�。確定資產(chǎn)的信息安全屬性賦值后���,結(jié)合該數(shù)字校園的特點(diǎn)�,采用相加法確定資產(chǎn)的價(jià)值���。該數(shù)字校園的軟件類資產(chǎn)計(jì)算樣例表如下表1所示���。
由于資產(chǎn)價(jià)值的計(jì)算結(jié)果為1~5之間的實(shí)數(shù)����,為了與資產(chǎn)的機(jī)密性����、完整性、可用性賦值相對(duì)應(yīng)�,需要對(duì)資產(chǎn)價(jià)值的計(jì)算結(jié)果歸整,歸整后的數(shù)字校園軟件類資產(chǎn)的資產(chǎn)等級(jí)結(jié)果如表1所示�。
因?yàn)閿?shù)字校園的所有信息資產(chǎn)總數(shù)龐大���,其中有些很重要���,有些不重要,重要的需要特別關(guān)注重點(diǎn)防范�,不重要的可以不用考慮或者減少投入。在識(shí)別出所有資產(chǎn)后�,還需要列出所有的關(guān)鍵信息資產(chǎn),在以后的日常管理中重點(diǎn)關(guān)注����。不同的組織對(duì)關(guān)鍵資產(chǎn)的判斷標(biāo)準(zhǔn)不完全相同�,本文將資產(chǎn)等級(jí)值在4以上(包括4)的資產(chǎn)列為關(guān)鍵信息資產(chǎn)�,并在資產(chǎn)識(shí)別清單中予以注明,如表1所示���。
2.威脅和脆弱性識(shí)別與評(píng)估
數(shù)字校園與其他計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)一樣面臨著各種各樣的威脅����,同時(shí)數(shù)字校園作為一種在校園內(nèi)部運(yùn)行的網(wǎng)絡(luò)信息系統(tǒng)面臨的威脅的種類和分布有其自身特點(diǎn)�。任何威脅總是通過某種具體的途徑或方式作用到特定的信息資產(chǎn)之上,通過破壞資產(chǎn)的一個(gè)或多個(gè)安全屬性而產(chǎn)生信息安全風(fēng)險(xiǎn)���,即任何威脅都是與資產(chǎn)相關(guān)聯(lián)的�,一項(xiàng)資產(chǎn)可能面臨多個(gè)威脅���,一個(gè)威脅可能作用于多項(xiàng)資產(chǎn)����。威脅的識(shí)別方法是在資產(chǎn)識(shí)別階段形成的資產(chǎn)清單基礎(chǔ)上�,以關(guān)鍵資產(chǎn)為重點(diǎn),從系統(tǒng)威脅�、自然威脅�、環(huán)境威脅和人員威脅四個(gè)方面對(duì)資產(chǎn)面臨的威脅進(jìn)行識(shí)別���。在分析數(shù)字校園實(shí)際發(fā)生的網(wǎng)絡(luò)威脅時(shí)����,需要檢查入侵檢測(cè)系統(tǒng)����、服務(wù)器日志文件等記錄的數(shù)據(jù)。
脆弱性是指資產(chǎn)中可能被威脅所利用的弱點(diǎn)����。數(shù)字校園的脆弱性是數(shù)字校園在開發(fā)、部署����、運(yùn)維等過程中由于技術(shù)不成熟或管理不完善產(chǎn)生的一種缺陷。它如果被相關(guān)威脅利用就有可能對(duì)數(shù)字校園的資產(chǎn)造成損害�,進(jìn)而對(duì)數(shù)字校園造成損失����。數(shù)字校園的脆弱性可以分為技術(shù)脆弱性和管理脆弱性兩種。技術(shù)脆弱性主要包括操作系統(tǒng)漏洞����、網(wǎng)絡(luò)協(xié)議漏洞����、應(yīng)用系統(tǒng)漏洞����、數(shù)據(jù)庫漏洞、中間件漏洞以及網(wǎng)絡(luò)中心機(jī)房物理環(huán)境設(shè)計(jì)缺陷等等���。管理脆弱性主要由技術(shù)管理與組織管理措施不完善或執(zhí)行不到位造成�。
技術(shù)脆弱性的識(shí)別主要采用問卷調(diào)查�、工具檢測(cè)、人工檢查����、文檔查閱、滲透性測(cè)試等方法����。因?yàn)榇蟛糠旨夹g(shù)脆弱性與軟件漏洞有關(guān),因此使用漏洞檢測(cè)工具檢測(cè)脆弱性�,可以獲得較高的檢測(cè)效率。本文采用啟明星辰公司研發(fā)的天鏡脆弱性掃描與管理系統(tǒng)對(duì)數(shù)字校園進(jìn)行技術(shù)脆弱性識(shí)別和評(píng)估。
管理脆弱性識(shí)別的主要內(nèi)容就是對(duì)數(shù)字校園現(xiàn)有的安全控制措施進(jìn)行識(shí)別與確認(rèn)���,有效的安全控制措施可以降低安全事件發(fā)生的可能性�,無效的安全控制措施會(huì)提高安全事件發(fā)生的可能性����。安全控制措施大致分為技術(shù)控制措施、管理和操作控制措施兩大類����。技術(shù)控制措施隨著數(shù)字校園的建立、實(shí)施����、運(yùn)行和維護(hù)等過程同步建設(shè)與完善,具有較強(qiáng)的針對(duì)性�,識(shí)別比較容易。管理和操作控制措施識(shí)別需要對(duì)照ISO27001標(biāo)準(zhǔn)的《信息安全實(shí)用規(guī)則指南》或NIST的《最佳安全實(shí)踐相關(guān)手冊(cè)》制訂的表格進(jìn)行�,避免遺漏。
3.風(fēng)險(xiǎn)計(jì)算
完成數(shù)字校園的資產(chǎn)識(shí)別���、威脅識(shí)別����、脆弱性識(shí)別和已有控制措施識(shí)別任務(wù)后�,進(jìn)入風(fēng)險(xiǎn)計(jì)算階段。
對(duì)于像數(shù)字校園這類復(fù)雜的網(wǎng)絡(luò)信息系統(tǒng)����,需要采用OCTAVE標(biāo)準(zhǔn)提供的“構(gòu)建威脅場(chǎng)景”方法進(jìn)行風(fēng)險(xiǎn)分析?��!皹?gòu)建威脅場(chǎng)景”方法基于“具體問題����、具體分析”的原則���,理清“資產(chǎn)-威脅-脆弱性-已有控制措施”的內(nèi)在聯(lián)系���,避免了孤立地評(píng)價(jià)威脅導(dǎo)致風(fēng)險(xiǎn)計(jì)算結(jié)果出現(xiàn)偏差的局面。表2反映了數(shù)字校園圖書館管理系統(tǒng)的資產(chǎn)�、威脅、脆弱性�、已有控制措施的映射示例。
將“資產(chǎn)—威脅—脆弱性—已有控制措施”進(jìn)行映射后�,就可以按照GB/T20984-2007《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》要求進(jìn)行風(fēng)險(xiǎn)計(jì)算。為了便于計(jì)算����,需要將前面各個(gè)階段獲得資產(chǎn)���、威脅、脆弱性賦值與表3所示的“資產(chǎn)—威脅—脆弱性—已有控制措施”映射表合并����,因?yàn)樵趯?duì)脆弱性賦值的時(shí)候已經(jīng)考慮了已有控制措施的有效性,因此可以將已有控制措施去掉���。
本文采用的風(fēng)險(xiǎn)計(jì)算方法為《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》中推薦的矩陣法���,風(fēng)險(xiǎn)值計(jì)算公式為:R=R(A,T���,V)=R(L(T����,V)F(Ia���,Va))����。其中,R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù)����;A表示資產(chǎn)�;T表示威脅;V表示脆弱性���;Ia表示安全事件所作用的資產(chǎn)重要程度���;Va表示脆弱性嚴(yán)重程度;L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性�;F表示安全事件發(fā)生后產(chǎn)生的損失。
風(fēng)險(xiǎn)計(jì)算的具體步驟是:
(a)根據(jù)威脅賦值和脆弱性賦值���,查詢《安全事件可能性矩陣》計(jì)算安全事件可能性值�;
(b)對(duì)照《安全事件可能性等級(jí)劃分矩陣》將安全事件可能性值轉(zhuǎn)換為安全事件可能性等級(jí)值�;
(c)根據(jù)資產(chǎn)賦值和脆弱性賦值,查詢《安全事件損失矩陣》計(jì)算安全事件損失值����;
(d)對(duì)照《安全事件損失等級(jí)劃分矩陣》將安全事件損失值轉(zhuǎn)換為安全事件損失等級(jí)值;
(e)根據(jù)安全事件可能性等級(jí)值和安全事件損失等級(jí)值���,查詢《風(fēng)險(xiǎn)矩陣》計(jì)算安全事件風(fēng)險(xiǎn)值���;
(f)對(duì)照《風(fēng)險(xiǎn)等級(jí)劃分矩陣》將安全事件風(fēng)險(xiǎn)值轉(zhuǎn)換為安全事件風(fēng)險(xiǎn)等級(jí)值��。
所有等級(jí)值均采用五級(jí)制��,1級(jí)最低,5級(jí)最高���。
五、結(jié)束語
數(shù)字校園是現(xiàn)代高校信息化的重要基礎(chǔ)設(shè)施���,數(shù)字校園的安全穩(wěn)定直接關(guān)系到校園的安全穩(wěn)定��,而風(fēng)險(xiǎn)評(píng)估是保證數(shù)字校園安全穩(wěn)定的一項(xiàng)基礎(chǔ)性工作���。本文的信息安全風(fēng)險(xiǎn)評(píng)估方法依據(jù)國家標(biāo)準(zhǔn),采用定性和定量相結(jié)合的方式�����,保證了信息安全風(fēng)險(xiǎn)評(píng)估的有效性和科學(xué)性���,使得風(fēng)險(xiǎn)評(píng)估結(jié)果能對(duì)后續(xù)建立數(shù)字校園的信息安全管理體系起到指導(dǎo)作用�����。
參考文獻(xiàn):
[1]宋玉賢.高職院校數(shù)字化校園建設(shè)的策略研究[J].中國教育信息化�����,2010(4).
第4篇
關(guān)鍵詞:凈利息收入��;中間業(yè)務(wù)�����;金融創(chuàng)新���;資產(chǎn)證券化
中圖分類號(hào):F832
商業(yè)銀行風(fēng)險(xiǎn)評(píng)估與控制問題的研究具有較為重要的理論與現(xiàn)實(shí)意義。過去的研究主要集中在基于風(fēng)險(xiǎn)控制的某個(gè)角度或局部結(jié)合上市銀行的數(shù)據(jù)進(jìn)行評(píng)估得出單項(xiàng)評(píng)估的結(jié)論��,或者是對(duì)商業(yè)銀行的經(jīng)營做中���、短期的評(píng)估與預(yù)測(cè)���,而對(duì)于中國的銀行風(fēng)險(xiǎn)評(píng)估體系進(jìn)行系統(tǒng)、全面的研究���,根據(jù)評(píng)估體系對(duì)商業(yè)銀行經(jīng)營情況進(jìn)行總體評(píng)價(jià)并指出其發(fā)展趨勢(shì)與建議的研究則較少涉及��。本文共分為三個(gè)部分��,第一部分對(duì)于整體評(píng)價(jià)商業(yè)銀行的方法與評(píng)估標(biāo)準(zhǔn)進(jìn)行介紹與分析�����。第二部分基于第一部分的方法論��,對(duì)于2011-2012年上市商業(yè)銀行的財(cái)務(wù)狀況進(jìn)行整體評(píng)估�����;第三部分是對(duì)當(dāng)前中國的銀行資產(chǎn)運(yùn)營與風(fēng)險(xiǎn)的結(jié)論與建議���。
一�����、商業(yè)銀行風(fēng)險(xiǎn)評(píng)估方法與模型
商業(yè)銀行風(fēng)險(xiǎn)評(píng)估方法與模型主要分為監(jiān)管機(jī)構(gòu)對(duì)商業(yè)銀行經(jīng)營的評(píng)估標(biāo)準(zhǔn)與商業(yè)銀行評(píng)估模型���。
(一)監(jiān)管機(jī)構(gòu)對(duì)商業(yè)銀行經(jīng)營的評(píng)估標(biāo)準(zhǔn)
關(guān)于監(jiān)管機(jī)構(gòu)對(duì)商業(yè)銀行經(jīng)營的評(píng)估管理問題主要介紹美國銀行業(yè)監(jiān)管機(jī)構(gòu)的駱駝(CAMELS)評(píng)價(jià)標(biāo)準(zhǔn)與中國銀行監(jiān)督管理委員會(huì)的腕骨(CARPALS)評(píng)價(jià)標(biāo)準(zhǔn)。
1.美國銀行業(yè)監(jiān)管機(jī)構(gòu)CAMELS評(píng)價(jià)模型
此評(píng)價(jià)模型主要是以6個(gè)指標(biāo)對(duì)商業(yè)銀行經(jīng)營進(jìn)行管理。一是資本充足率(Capital Adequacy)�����,二是資產(chǎn)結(jié)構(gòu)和質(zhì)量(Asset Structure and Quality)���,這兩項(xiàng)指標(biāo)側(cè)重于測(cè)量資產(chǎn)的分布與質(zhì)量問題�����。三是管理水平(Management Quality)��,即管理層文化與管理層構(gòu)成是否依賴于某個(gè)人與治理架構(gòu)層等一系列問題。四是盈利能力(Earning Performance)���,包括盈利水平���、盈利來源分配與資產(chǎn)結(jié)構(gòu)匹配等。五是流動(dòng)性(Liquidity Structure of Balance Sheet)���,即財(cái)務(wù)的彈性出現(xiàn)流動(dòng)性問題是否有資金能力來給予支持��。六是市場(chǎng)風(fēng)險(xiǎn)敏感性(Sensitivity to Market Risk)�����,美國監(jiān)管機(jī)構(gòu)1996年才把這項(xiàng)指標(biāo)加進(jìn)去��。目前銀行的很大一部分資產(chǎn)是交易性資產(chǎn)���,如買賣債券�����、CDO(次級(jí)債)���、信用違約互換、國債等���。這些資產(chǎn)與市場(chǎng)的關(guān)聯(lián)度很大��,因此要市場(chǎng)風(fēng)險(xiǎn)的敏感性進(jìn)行評(píng)估���。[1]
2.中國銀行監(jiān)督管理委員會(huì)腕骨(CARPALS)指標(biāo)體系
中國銀行監(jiān)督管理委員會(huì)“腕骨指標(biāo)”(CARPALS)體系主要涉及以下7個(gè)方面。
一是資本充足性(Capital Adequacy)���,主要考察資本充足率指標(biāo)��。
二是資產(chǎn)質(zhì)量(Asset Quality)���,對(duì)不良貸款率(不良貸款占總資產(chǎn)的比率)�����、不良貸款偏離度進(jìn)行評(píng)級(jí)�����,判斷資產(chǎn)歸屬于關(guān)注類��、可疑類���、次級(jí)類或普通類。因每家銀行均有自己的評(píng)級(jí)標(biāo)準(zhǔn)���,因此有專門機(jī)構(gòu)對(duì)自有標(biāo)準(zhǔn)與監(jiān)管標(biāo)準(zhǔn)的一致性進(jìn)行檢查,考察其偏離度�����。偏離度的大小體現(xiàn)了該銀行的監(jiān)管力度�����,監(jiān)管力度的寬松一般通過不良資產(chǎn)的撥備覆蓋率指標(biāo)來體現(xiàn)。
三是風(fēng)險(xiǎn)集中度(Risk Concentration)���,主要考察單一客戶集中度指標(biāo)與行業(yè)集中度指標(biāo)���。集中度過度將導(dǎo)致風(fēng)險(xiǎn)。如果客戶類型過于集中���,當(dāng)某個(gè)客戶的資產(chǎn)或某個(gè)行業(yè)發(fā)生問題時(shí)���,整個(gè)銀行資產(chǎn)都將發(fā)生變化。行業(yè)角度的例子��,最近我國的光伏行業(yè)��、造船行業(yè)發(fā)生了問題��;單一客戶角度的例子���,尚德破產(chǎn)涉及銀行貸款77個(gè)億��。如果規(guī)模不大的銀行���,其集中度超過一定標(biāo)準(zhǔn)��,將會(huì)對(duì)銀行資產(chǎn)質(zhì)量造成風(fēng)險(xiǎn)���。因此,對(duì)單一客戶��、單一行業(yè)甚至區(qū)域的集中度均需要有限制���。
四是撥備覆蓋(Provisioning coverage)��,撥貸比與撥備覆蓋率是針對(duì)不良資產(chǎn)的風(fēng)險(xiǎn)抵御能力進(jìn)行評(píng)估的�����。
五是附屬機(jī)構(gòu)(Affiliated Institution)�����。目前,中國有相當(dāng)多銀行都是大型集團(tuán)性質(zhì)��,下設(shè)附屬機(jī)構(gòu)���。如在以銀行為主業(yè)的前提下�����,幾大銀行均成為控股公司�����,下設(shè)證券���、保險(xiǎn)���、投資公司等。因此進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)�����,需觀察子公司對(duì)母公司的影響度與依賴度���。如果附屬公司的資本金�����、業(yè)務(wù)均由母公司提供���,其依存度就很高�����,那么附屬機(jī)構(gòu)對(duì)母行的資本回報(bào)率�����、負(fù)債都會(huì)產(chǎn)生重要的影響��。
六是流動(dòng)性(Liquidity)���。2008年金融危機(jī)后,該問題受到高度重視��。金融危機(jī)的產(chǎn)生并非銀行經(jīng)營不夠謹(jǐn)慎��,實(shí)質(zhì)上他們的資本質(zhì)量�����、資本充足率等都是非常好的�����。原因是整個(gè)金融市場(chǎng)凍結(jié)��,持有的金融證券無法流通���、變現(xiàn)���,產(chǎn)生惡性循環(huán)。這次危機(jī)不僅對(duì)銀行監(jiān)管提出很多要求��,而且對(duì)會(huì)計(jì)制度改革也提出了很多要求���,即會(huì)計(jì)政策對(duì)于市場(chǎng)是以“丁式原則”①還是以成本價(jià)���、歷史價(jià)進(jìn)行綜合考慮。丁式原則致使市場(chǎng)產(chǎn)生的流動(dòng)性凍結(jié)是在系統(tǒng)性風(fēng)險(xiǎn)的前提下出現(xiàn)的���。[2]所以�����,在考察流動(dòng)性問題時(shí)�����,提出了流動(dòng)性覆蓋率���、凈穩(wěn)定融資比例�����、存貸比(存款與貸款需保持一定比例來保證負(fù)債可以支持資產(chǎn))這三個(gè)指標(biāo)�����。流動(dòng)性資產(chǎn)與30天內(nèi)凈流出的現(xiàn)金(包括貸款��、回購協(xié)議)比率不能超過100%���,以保證有足夠的資金來支持短期內(nèi)出現(xiàn)的支出。
七是案件防控(Swindle Prevention and Control) 案件問題體現(xiàn)的是銀行經(jīng)營管理穩(wěn)健性與經(jīng)營管理的控制能力�����,即案件損失占總資產(chǎn)的比例��。
這七項(xiàng)比例構(gòu)成了中國金融監(jiān)管部門對(duì)銀行的考核��、評(píng)價(jià)的評(píng)價(jià)體系。
(二)商業(yè)銀行評(píng)估模型
以上述指標(biāo)并不能夠完整地評(píng)價(jià)一家銀行��,對(duì)于銀行的評(píng)估�����,還需依賴商業(yè)銀行的評(píng)估模型��。以下是參照標(biāo)準(zhǔn)普爾與惠譽(yù)兩家評(píng)估機(jī)構(gòu)的評(píng)級(jí)模型而設(shè)置的評(píng)估模型�����,可以分成三個(gè)部分���,一是疊加風(fēng)險(xiǎn)因素,二是系統(tǒng)性風(fēng)險(xiǎn)因素�����,三是銀行自身風(fēng)險(xiǎn)因素���。
1.疊加風(fēng)險(xiǎn)因素
疊加風(fēng)險(xiǎn)因素主要討論銀行得到的政府支持力度與股東支持力度問題���。一般對(duì)銀行的評(píng)級(jí)都會(huì)考慮的評(píng)級(jí)和股東的結(jié)構(gòu)。金融危機(jī)中,美國的許多銀行出現(xiàn)了問題��,但美國發(fā)了7500億美元的債來收購這些銀行的資產(chǎn)���。政府支持與股東支持是十分重要的���。大多數(shù)銀行的股東是國家或大型的銀行、企業(yè)���,這些股東能夠在銀行出現(xiàn)流動(dòng)性支持時(shí)���,投入資金來幫助銀行解決問題。經(jīng)專業(yè)機(jī)構(gòu)的調(diào)研分析��,從19世紀(jì)70年代到21世紀(jì)初���,銀行困難分為兩類�����,一類是銀行困境�����,另一類是銀行違約���。銀行困境是指銀行的資金暫時(shí)出現(xiàn)困難�����,可能將出現(xiàn)違約情況��,而銀行違約則是指銀行出現(xiàn)了到期無法支付、銀行存款擠兌等情況�����。歷史上曾經(jīng)出現(xiàn)過多次銀行困境(包括美國的銀行在內(nèi))��,增長率由2%到7%��。但違約銀行基本保持在1%以內(nèi)��。如歐洲一些銀行���。但歐洲的許多銀行出現(xiàn)困境���,但沒有違約,60%困境銀行得益于政府與股東的支持。[3]
2.系統(tǒng)性風(fēng)險(xiǎn)因素
該因素主要包括經(jīng)濟(jì)風(fēng)險(xiǎn)���、風(fēng)險(xiǎn)和行業(yè)風(fēng)險(xiǎn)三方面���。宏觀經(jīng)濟(jì)方面主要考察目前該銀行所屬國家的經(jīng)濟(jì)處于上行期還是衰落期,失業(yè)率�����、通脹水平如何��。這些指標(biāo)決定銀行所處的外部環(huán)境狀況���。除了經(jīng)濟(jì)風(fēng)險(xiǎn)外��,還要考慮銀行所處的區(qū)域行業(yè)情況���。如這家銀行的競(jìng)爭(zhēng)情況如何,是處在市場(chǎng)環(huán)境中還是受到管制���,整個(gè)金融資產(chǎn)占GDP的比重有多大等���。如目前我國是300%的比例�����,說明金融在整個(gè)區(qū)域中的銀行滲透力很強(qiáng)���,該行業(yè)在國民經(jīng)濟(jì)中處于一個(gè)舉足輕重的位置。評(píng)級(jí)機(jī)構(gòu)還會(huì)對(duì)行業(yè)本身利潤是否有保證��、整體行業(yè)情況��,銀行的競(jìng)爭(zhēng)壓力等指標(biāo)進(jìn)行考察�����。行業(yè)結(jié)構(gòu)有很大影響�����。風(fēng)險(xiǎn)下國家的評(píng)級(jí)情況也會(huì)對(duì)評(píng)級(jí)產(chǎn)生影響���。如中國經(jīng)濟(jì)發(fā)展穩(wěn)定、健康���,評(píng)級(jí)加分���。
3.自身風(fēng)險(xiǎn)因素
該因素是評(píng)價(jià)中的一個(gè)最主要部分���。包括如下四個(gè)方面。
(1)治理機(jī)制
首先�����,要看被評(píng)價(jià)公司是否具有一個(gè)比較完善的治理結(jié)構(gòu)��,董事會(huì)��、股東大會(huì)��、管理層���、運(yùn)營是否完善�����。在治理方面企業(yè)文化屬于激進(jìn)型還是保守穩(wěn)健型��。一般國有大型商業(yè)銀行比較穩(wěn)健�����,而一些農(nóng)村商業(yè)銀行屬于進(jìn)取型銀行��。
其次���,治理機(jī)制還涉及到銀行的組織結(jié)構(gòu)問題��。歐美的一些銀行一般都是條線式管理�����,總部分為公司金融條線��、個(gè)人金融條線等���,從上至下的隸屬管理。采取這樣管理的優(yōu)勢(shì)是產(chǎn)品線力量很強(qiáng)�����,按產(chǎn)品配置資源進(jìn)行營銷��,但產(chǎn)品線之間的合作相對(duì)較弱���。例如���,假設(shè)花旗銀行在北京有花旗銀行(北京)金融公司、花旗銀行(北京)個(gè)人金融公司���,他們的報(bào)告路線是分別向上�����,業(yè)務(wù)并不會(huì)發(fā)生交叉���。花旗銀行北京分行的行長沒有決策權(quán)���,只是起到一個(gè)協(xié)調(diào)作用��。兩家公司均向自己的亞太區(qū)產(chǎn)品線公司匯報(bào)工作���。[4]而中國的銀行則采取區(qū)域分布制,層級(jí)是區(qū)域���,總行下邊是分行�����,分行下邊是二級(jí)行���、地級(jí)行�����,每家銀行以行為單位核算利潤�����,不以條線來核算利潤�����,行長在區(qū)域的管理上具有較大的權(quán)力��。其優(yōu)勢(shì)是有利于資源配置�����。組織架構(gòu)對(duì)整個(gè)經(jīng)營管理風(fēng)險(xiǎn)點(diǎn)及其他方面會(huì)有很大的不同�����。
第三���,組織架構(gòu)上要考察高管層的管理能力,是否有管理經(jīng)驗(yàn)�����,他們的教育背景�����、從業(yè)經(jīng)歷���、管理團(tuán)隊(duì)是依賴于某個(gè)人�����,還是發(fā)揮了管理團(tuán)隊(duì)的主動(dòng)性��、積極性及各自的長處�����,再加上員工素質(zhì)���,構(gòu)成公司治理機(jī)制角度的銀行評(píng)估�����。
(2)發(fā)展戰(zhàn)略
考察銀行的戰(zhàn)略定位問題��,包括地域戰(zhàn)略�����、主營業(yè)務(wù)戰(zhàn)略�����、渠道戰(zhàn)略等���。主營業(yè)務(wù)戰(zhàn)略視角,例如��,中國工商銀行各項(xiàng)業(yè)務(wù)(存款業(yè)務(wù)�����、公司業(yè)務(wù)��、個(gè)金業(yè)務(wù)、現(xiàn)金管理業(yè)務(wù))發(fā)展均衡���,唯一短板是國際業(yè)務(wù),但近年來���,海外業(yè)務(wù)發(fā)展也很快���,通過并購的方式購買了許多外資銀行;中國建設(shè)銀行十分擅長建筑��、建設(shè)板塊��;中國銀行以外貿(mào)���、外幣為強(qiáng)項(xiàng)�����;招商銀行以零售業(yè)務(wù)為主���,以電子銀行為發(fā)展主渠道;中國郵政儲(chǔ)蓄銀行有3.9萬多個(gè)網(wǎng)點(diǎn)���,無人能與其比擬���,可吸收到許多低成本的存款�����。戰(zhàn)略發(fā)展要根據(jù)自己的優(yōu)勢(shì)來考慮���。在戰(zhàn)略確定后,要觀察銀行每年的預(yù)算與規(guī)劃�����,考察其原來制訂的規(guī)劃目前是否實(shí)現(xiàn)��,以戰(zhàn)略的實(shí)際執(zhí)行情況來推論戰(zhàn)略的制訂是否合理�����,戰(zhàn)略管理與執(zhí)行是否到位�����。銀行在核心領(lǐng)域中優(yōu)勢(shì)是否能持續(xù)保持��,取決于戰(zhàn)略是否到位。
(3)風(fēng)險(xiǎn)管理
這是商業(yè)銀行評(píng)估中很具體又很重要的一部分�����。由以下幾個(gè)方面來考察���。
第一,管理風(fēng)險(xiǎn)���。首先���,風(fēng)險(xiǎn)職能部門是否具有相對(duì)的獨(dú)立性。贏利與風(fēng)險(xiǎn)控制常常是矛盾的���,風(fēng)險(xiǎn)管理是否具有單獨(dú)的報(bào)告路線���。如董事會(huì)是否下設(shè)專門的風(fēng)險(xiǎn)管理委員會(huì),可直接向董事匯報(bào)��,保證風(fēng)險(xiǎn)管理的約束性�����。其次,要有統(tǒng)一的風(fēng)險(xiǎn)管理框架��。聲譽(yù)風(fēng)險(xiǎn)���、法律風(fēng)險(xiǎn)��、合規(guī)風(fēng)險(xiǎn)��、包括流動(dòng)性風(fēng)險(xiǎn)等��。要進(jìn)行整合管理�����,不能分散到各部門管理�����,否則就看不到這家銀行風(fēng)險(xiǎn)的全面的整體視圖�����。統(tǒng)一的風(fēng)險(xiǎn)管理架構(gòu)是判斷該銀行風(fēng)險(xiǎn)管理能力的重要方面�����。再次�����,流程與授權(quán)是否規(guī)范�����。
第二��,信用風(fēng)險(xiǎn)管理�����。
一是要考察整個(gè)資產(chǎn)負(fù)債結(jié)構(gòu)是否健康���,考察資產(chǎn)與負(fù)債的匹配程度。風(fēng)險(xiǎn)負(fù)債考察指標(biāo):①現(xiàn)金���、準(zhǔn)備金���,或者說同業(yè)存放;②短期資金��,如債券;③貸款�����;④股權(quán)��、優(yōu)先權(quán)��。存款一般是中國銀行最大的負(fù)債��。判斷一家銀行的資產(chǎn)是否健康要考察其存貸款比例��,存貸款比例以70%為上限�����。貸款的增量與存款的增量在當(dāng)年是否存款增量要略高一些���,如果貸款的增量總是多于存款的增量��,結(jié)構(gòu)就不健康�����。還要考察交易方面的指標(biāo)���。
二是考察貸款的種類��。長期貸款�����、短期貸款�����、中長期貸款�����、貼現(xiàn)期限等,人民幣與外幣的比例要與負(fù)債相匹配���。
三是考察投項(xiàng)��、行業(yè)分配��。這與前文提及的集中度指標(biāo)結(jié)合考察���。如果監(jiān)管力度適宜�����,對(duì)房地產(chǎn)行業(yè)��、融資平臺(tái)都是嚴(yán)格監(jiān)管且需要提特別準(zhǔn)備金的��,如果在這些行業(yè)恰恰投放得較多�����,就出現(xiàn)問題���。
2.推進(jìn)商業(yè)銀行資產(chǎn)證券化的建議
目前銀行將資產(chǎn)轉(zhuǎn)到表外的方法并不是很多,類似的操作案例從實(shí)質(zhì)上來講���,仍然是一種靠利息收入的傳統(tǒng)業(yè)務(wù)���。目前,商業(yè)銀行資產(chǎn)和負(fù)債規(guī)模龐大�����,以資產(chǎn)證券化的方式盤活資產(chǎn)是每家商業(yè)銀行未來發(fā)展的必經(jīng)之路,中國工商銀行2013年初針對(duì)價(jià)值30億元的資產(chǎn)在資本市場(chǎng)實(shí)施證券化���。在國內(nèi)銀行資產(chǎn)的證券化往往被視為美國金融危機(jī)的根源��,不可否認(rèn)金融危機(jī)的起源是美國住房信貸次級(jí)貸款的兌換危機(jī)�����,根源是銀行貸款衍生證券化產(chǎn)品的流動(dòng)性過度泛濫導(dǎo)致的兌付信心危機(jī)�����。而中國銀行資產(chǎn)尚未進(jìn)行證券化�����,現(xiàn)在恰恰要進(jìn)行資產(chǎn)證券化���,資產(chǎn)證券化會(huì)使商業(yè)銀行的信貸資產(chǎn)管理更具有靈活性���,可以將很多信貸資產(chǎn)進(jìn)行組合管理���。商業(yè)銀行可以將不同的信貸資產(chǎn)打包在同業(yè)間通過證券化的形式互換。信貸資產(chǎn)根據(jù)風(fēng)險(xiǎn)偏好、資產(chǎn)負(fù)債的匹配關(guān)系���、資產(chǎn)關(guān)系�����、期限關(guān)系進(jìn)行調(diào)整�����,滿足不同投資人的要求���。
現(xiàn)在中國應(yīng)該大力發(fā)展銀行信貸資產(chǎn)證券化,但發(fā)展信貸資產(chǎn)證券化的同時(shí)��,應(yīng)該借鑒國外的經(jīng)驗(yàn)教訓(xùn)���,例如信貸資產(chǎn)打包證券化以后���,應(yīng)嚴(yán)格禁止重復(fù)與其他資產(chǎn)進(jìn)行二次證券化,防止資產(chǎn)過度融資�����,形成金融泡沫,引發(fā)信譽(yù)危機(jī)��。[6]再如�����,美元衍生品市場(chǎng)品種繁多���,覆蓋了短債���、長債、政府債�����、私人債���、股票及其他一些衍生品���。無論是投資還是避險(xiǎn)需求,均可找到對(duì)應(yīng)產(chǎn)品以及產(chǎn)品對(duì)應(yīng)的操作市場(chǎng)和專業(yè)人才�����。[7]整體而言���,目前國內(nèi)商業(yè)銀行缺少資產(chǎn)負(fù)債管理工具��,缺乏操作性政策支持���,缺失金融創(chuàng)新人才。
銀行信貸資產(chǎn)證券化過程是個(gè)全壽命周期管理過程���,在信貸資產(chǎn)發(fā)放前段�����,就要考慮到地區(qū)�����、期限��、金額��、收益等問題�����,在審批前與存量和其他在談的信貸資產(chǎn)建立關(guān)聯(lián)性�����,在銀行貸款發(fā)放的同時(shí)��,利用同業(yè)和證券化平臺(tái)實(shí)現(xiàn)風(fēng)險(xiǎn)分散和資金回籠�����。
注釋:
①丁伯根法則(Tinbergen’s Rule)是由首屆諾貝爾經(jīng)濟(jì)學(xué)獎(jiǎng)得主�����、荷蘭經(jīng)濟(jì)學(xué)家丁伯根―提出的關(guān)于國家經(jīng)濟(jì)調(diào)節(jié)政策和經(jīng)濟(jì)調(diào)節(jié)目標(biāo)之間關(guān)系的法則�����。其基本內(nèi)容是:政策工具的數(shù)量或控制變量數(shù)至少要等于目標(biāo)變量的數(shù)量���;而且這些政策工具必須是相互獨(dú)立(線性無關(guān))的��。
參考文獻(xiàn):
[1]巴曙松���,王怡��,杜倩.從微觀審慎到宏觀審慎:危機(jī)下的銀行監(jiān)管啟示[J].國際金融研究��,2010,(5):83-85.
[2]周小川.金融政策對(duì)金融危機(jī)的響應(yīng)――宏觀審慎政策框架的形成背景���、內(nèi)在邏輯和主要內(nèi)容[J].金融研究���,2011,(1):4-5.
[3]Kupiec��,Paul.Estimating Economic Capital Allocation for Market and Credit Risk. The Journal of Risk [J]. 2004
[4] 何韌.花旗銀行在亞太地區(qū)跨國經(jīng)營戰(zhàn)略分析[J].國際金融研究���,2002��,(3):40-41.
[5] 蔣健�����,趙洋.商業(yè)銀行資本充足率���、股權(quán)結(jié)構(gòu)與盈利能力――基于我國商業(yè)銀行的實(shí)證研究[J].貴州財(cái)經(jīng)學(xué)院學(xué)報(bào),2012�����,(1):36-37.
第5篇
關(guān)鍵詞:公共危機(jī) 信息管理 危機(jī)信息 危機(jī)管理
中圖分類號(hào): D630.8 文獻(xiàn)標(biāo)識(shí)碼: A 文章編號(hào): 1003-6938(2012)06-0081-10
公共危機(jī)信息管理(Public Crisis Information Management, PCIM)是公共危機(jī)管理與信息管理交叉而成的一個(gè)新的學(xué)科前沿領(lǐng)域��,主要研究公共危機(jī)管理中的信息問題和信息管理問題�����。由于信息滲透于公共危機(jī)管理的各方面和全過程���,是公共危機(jī)管理體系的基礎(chǔ)和核心�����,因此�����,PCIM的研究對(duì)促進(jìn)公共危機(jī)管理的理論完善和實(shí)踐發(fā)展具有基礎(chǔ)性意義�����。從目前研究現(xiàn)狀來看�����,國內(nèi)外PCIM研究成果眾多且增長迅速��,但總體來看研究顯得比較分散���,問題域(problem domain)設(shè)置比較隨意�����,使公共危機(jī)管理研究的深入在信息維度上存在明顯的不足和缺陷。
為了從總體上認(rèn)識(shí)和把握公共危機(jī)信息管理��,本文提出了PCIM的EPFMS理論分析框架���,認(rèn)為PCIM領(lǐng)域有以下5個(gè)核心問題域或研究范疇���,即PCIM要素論(Element)、PCIM過程論(Process)���、PCIM功能論(Function)��、PCIM方法論(Methodology)和PCIM系統(tǒng)論(System)���,每個(gè)問題域或研究范疇都有其核心科學(xué)問題和研究側(cè)重點(diǎn)�����,它們共同構(gòu)成PCIM的EPFMS理論分析框架(見表1)��。
1 PCIM要素論
要素論主要研究PCIM的構(gòu)成要素以及要素之間的關(guān)系��,通過揭示各要素的基本內(nèi)涵和理論問題�����,分析常態(tài)和危機(jī)狀態(tài)下各要素之間的聯(lián)系方式和作用機(jī)制��,建立關(guān)于PCIM結(jié)構(gòu)要素的基本認(rèn)識(shí)和知識(shí)�����。
從廣義的角度�����,可把PCIM的構(gòu)成要素概括為主體要素(包括政府���、媒介、公眾、企業(yè)���、NGO等)��、客體要素(信息)及環(huán)境要素(政策法規(guī)�����、經(jīng)濟(jì)��、技術(shù)���、文化等)(見圖1)��。
PCIM主體要素有政府�����、媒介��、公眾�����、企業(yè)、NGO等�����。根據(jù)公共治理理論,有效的公共危機(jī)管理應(yīng)該是政府��、企業(yè)組織�����、NGO���、公眾等多元主體共同參與的過程。他們是公共危機(jī)管理的利益相關(guān)者(Stakeholders)���,在危機(jī)管理過程中有不同的地位�����、作用��、利益需求以及表達(dá)渠道與方式�����,需要探尋不同主體間的信息協(xié)調(diào)機(jī)制�����,尤其是不同主體信息平臺(tái)的良性互動(dòng)和不同主體間良性信息關(guān)系的構(gòu)建等問題�����。根據(jù)公共危機(jī)中利益相關(guān)者的相關(guān)度�����、影響力和緊急性三個(gè)屬性�����,可以將利益相關(guān)者劃分為三類�����,即核[圖1 公共危機(jī)信息管理的構(gòu)成要素] [環(huán)境
(教育���、人文)][環(huán)境
(法律、政策)][媒體][環(huán)境
(技術(shù))][環(huán)境
(經(jīng)濟(jì))][公眾][政府][信息][][接受][反饋][使用][使用][傳播] [企業(yè)][NGO]
心的利益相關(guān)者�����、邊緣的利益相關(guān)者和潛在的利益相關(guān)者。一般來說���,政府��、受害的社會(huì)組織和公眾��、危機(jī)誘發(fā)者是核心的利益相關(guān)者��,媒體�����、NGO��、公共服務(wù)部門是邊緣的利益相關(guān)者��,危機(jī)旁觀者是潛在的利益相關(guān)者[1]��。N. Bharosa從社區(qū)(宏觀)���、組織(中觀)、個(gè)人(微觀)三個(gè)層面分析了災(zāi)害響應(yīng)過程中影響信息共享和協(xié)作的因素�����,發(fā)現(xiàn)救災(zāi)工作者更愿意獲取對(duì)他們有用的信息而不是向其他人提供信息。要實(shí)現(xiàn)信息共享���,理解每一個(gè)人及其他組織的工作過程和信息系統(tǒng)的性能是非常重要的���,并據(jù)此提出了對(duì)信息系統(tǒng)設(shè)計(jì)者及政策制定者的六條建議[2]。
信息是PCIM的客體要素�����,是PCIM要素論研究的核心內(nèi)容���。危機(jī)信息的概念有廣義和狹義之分�����,狹義的危機(jī)信息是危機(jī)潛伏�����、爆發(fā)、持續(xù)��、解決等一系列過程中與危機(jī)管理相關(guān)的各種信息,廣義的危機(jī)信息除了信息要素之外�����,還包括危機(jī)管理過程中與信息相關(guān)的人員���、技術(shù)�����、設(shè)備��、資金等���,即危機(jī)信息資源[3]。信息要素的研究首先需要分析公共危機(jī)的信息需求���,研究危機(jī)信息及其傳播特點(diǎn)��;其次對(duì)相關(guān)信息進(jìn)行分類分級(jí)���,建立信息目錄體系,按目錄層級(jí)和輕重緩急收集和分析信息�����;再次從信息主體和客體間的相互作用研究信息的傳遞、共享和使用問題��,主要圍繞信息機(jī)構(gòu)如何組織信息資源�����、政府機(jī)構(gòu)如何信息���、媒介組織如何傳播信息���、社會(huì)公眾如何接受和選擇信息這幾條主線展開。
環(huán)境要素是PCIM主體要素和客體要素之間相互作用的通道和橋梁��,主要包括與PCIM相關(guān)的政策法規(guī)��、產(chǎn)業(yè)經(jīng)濟(jì)條件���、信息技術(shù)���、減災(zāi)防災(zāi)文化等。環(huán)境要素是PCIM的支持要素和保障要素,良好的環(huán)境是PCIM主客體有效作用���、信息順暢傳遞和發(fā)揮作用的有力保障。
PCIM要素論要研究的主要內(nèi)容有:(1)PCIM構(gòu)成要素及其相關(guān)理論問題���;(2)PCIM主體間的信息關(guān)系及相互作用問題���,如政府和媒體、政府和公眾�����、媒體和公眾��、政府和企業(yè)�����、政府和NGO等之間的信息傳遞與信息溝通���;(3)PCIM主體�����、客體與環(huán)境之間的相互作用及信息關(guān)系問題��,如信息流程���、信息共享��、信息反饋�����、信息架構(gòu)(Information Architecture)以及信息倫理��、信息政策�����、信息成本控制等��。
2 PCIM過程論
美國危機(jī)和緊急情況管理手冊(cè)(Handbook of Crisis and Emergency Management)提出了公共危機(jī)管理的四階段模型�����,即減除(Mitigation)��、預(yù)防(Preparedness)�����、反應(yīng)(Response)和恢復(fù)(Recovery)[4]��?�!皽p除”是指減少影響人類生命�����、財(cái)產(chǎn)的自然或人力危險(xiǎn)要素�����,如實(shí)施建筑標(biāo)準(zhǔn)��、推行災(zāi)害保險(xiǎn)���、頒布安全法規(guī)等;“準(zhǔn)備”是指發(fā)展應(yīng)對(duì)各種突發(fā)事件的能力�����,如制訂應(yīng)急計(jì)劃��、建立預(yù)警系統(tǒng)、成立應(yīng)急運(yùn)行中心�����、進(jìn)行災(zāi)害救援培訓(xùn)與演練等�����;“響應(yīng)”是指災(zāi)害發(fā)生的事前�����、事中與事后采取行動(dòng)以挽救生命�����、減少損失���,如激活應(yīng)急計(jì)劃���、啟動(dòng)應(yīng)急系統(tǒng)、提供應(yīng)急醫(yī)療援助�����、組織疏散與搜救等;“恢復(fù)”既指按照最低運(yùn)行標(biāo)準(zhǔn)將重要生存支持系統(tǒng)復(fù)原的短期行為��,也指推動(dòng)社會(huì)生活恢復(fù)常態(tài)的長期活動(dòng)�����,如清理廢墟��、控制污染���、提供災(zāi)害失業(yè)救助、提供臨時(shí)住房等��。PCIM過程論就是從公共危機(jī)管理的四個(gè)階段出發(fā)��,研究每一階段的信息保障和信息管理問題(見圖2)��。
從管理學(xué)的PDCA(計(jì)劃���、執(zhí)行�����、檢查��、糾正)活動(dòng)角度看��,PCIM不僅僅是在公共危機(jī)的全流程管理中提供有效的信息��,它應(yīng)以“決策和執(zhí)行”為軸心���,在危機(jī)信息管理活動(dòng)中不斷重復(fù)PDCA管理功能���,不斷改進(jìn),形成螺旋式的公共危機(jī)信息管理循環(huán)�����。公共危機(jī)管理的每個(gè)階段都有PDCA循環(huán)�����,后一階段的PDCA循環(huán)以前一階段為基礎(chǔ)��,是對(duì)前一階段的修正和改進(jìn)���。例如���,響應(yīng)階段的PDCA以準(zhǔn)備階段的PDCA為前提和基礎(chǔ)�����。
公共危機(jī)管理的四個(gè)階段都涉及信息的收集���、處理、存儲(chǔ)�����、傳播和使用���,但各個(gè)階段的信息管理內(nèi)容是有所側(cè)重和不同的?��!皽p除”階段主要內(nèi)容有:風(fēng)險(xiǎn)信息收集���、風(fēng)險(xiǎn)地圖繪制、危機(jī)預(yù)測(cè)��、風(fēng)險(xiǎn)評(píng)估等��;“準(zhǔn)備”階段主要內(nèi)容有:信息監(jiān)測(cè)��、信息分析、預(yù)案研發(fā)��、預(yù)警系統(tǒng)等��;“響應(yīng)”階段內(nèi)容有:信息公開��、信息傳播���、信息資源配置��、決策信息支持等�����;“恢復(fù)”階段主要內(nèi)容有:災(zāi)害評(píng)估��、危機(jī)善后��、災(zāi)后重建等��。
從公共危機(jī)管理的發(fā)展趨勢(shì)來看�����,其重心已從災(zāi)后應(yīng)對(duì)轉(zhuǎn)向?yàn)?zāi)前準(zhǔn)備�����,進(jìn)而轉(zhuǎn)向風(fēng)險(xiǎn)管理��,即由被動(dòng)響應(yīng)變?yōu)橹鲃?dòng)防御�����,由主動(dòng)防御變?yōu)轱L(fēng)險(xiǎn)消除���。與此相對(duì)應(yīng)���,PCIM的研究重點(diǎn)也將逐步轉(zhuǎn)向風(fēng)險(xiǎn)信息管理和災(zāi)前信息準(zhǔn)備,信息備災(zāi)將作為一個(gè)重要概念提出并逐步上升為PCIM的一個(gè)重大研究領(lǐng)域���。
3 PCIM功能論
功能論主要研究PCIM在公共危機(jī)管理中的功能和作用,探析PCIM最基本�����、最普遍的功能及其作用機(jī)理與方式��。一方面�����,這些最基本、最普遍的功能可以概括各種具體的PCIM的工作目標(biāo)��,另一方面�����,這些最基本��、最普遍的功能又是相互不能替代和兼容的�����,它們表征了PCIM的基本價(jià)值和作用��。
在經(jīng)典文獻(xiàn)中���,阿利森和澤利科在《決策的本質(zhì)——解析古巴導(dǎo)彈危機(jī)》(Essence of Decision: Explaining the Cuban Missile Crisis)中闡述了危機(jī)與決策的關(guān)系以及決策模式���,將危機(jī)管理看成是決策論的一個(gè)分支加以研究,強(qiáng)調(diào)了信息在危機(jī)決策中的作用��。米特洛夫和皮爾森在其著作《危機(jī)管理》(Crisis Management)中指出,搜集�����、分析和傳播信息是危機(jī)管理的直接任務(wù)[5]��。奧托·萊爾賓格爾在《危機(jī)主管:直面風(fēng)險(xiǎn)與不確定性》一文中���,從信息角度分析了危機(jī)管理者的職能和素質(zhì)[6]�����。羅納德·伯克和卡里·庫珀在《持續(xù)性危機(jī)溝通:規(guī)劃��、管理和響應(yīng)》一書中分析了危機(jī)管理中的信息需求問題��,提出了持續(xù)性的危機(jī)管理方法���,探討了信號(hào)尋求、危機(jī)預(yù)防�����、危機(jī)準(zhǔn)備��、危機(jī)識(shí)別��、危機(jī)遏阻��、危機(jī)恢復(fù)等相關(guān)問題[7]��。
通過歸納���、比較�����、綜合各種不同層次�����、不同類型的公共危機(jī)信息管理所提出的工作任務(wù)���,結(jié)合公共危機(jī)管理對(duì)PCIM工作的需求,將PCIM的功能劃分為基礎(chǔ)功能和核心功能兩大部分�����?����;A(chǔ)功能包括對(duì)危機(jī)信息的收集、處理(組織)���、存儲(chǔ)���、傳播和使用;核心功能包括利用危機(jī)信息進(jìn)行預(yù)測(cè)�����、預(yù)警�����、決策���、執(zhí)行(指揮��、調(diào)度)和評(píng)估�����?��;A(chǔ)功能是一般信息管理所共有的功能,核心功能是在基礎(chǔ)功能的基礎(chǔ)上�����,PCIM支持公共危機(jī)管理的最基本��、最普遍的功能�����。PCIM的基礎(chǔ)功能和核心功能都貫穿于整個(gè)公共危機(jī)管理活動(dòng)中���,基礎(chǔ)功能是前提和基礎(chǔ)�����,核心功能是本質(zhì)和中心�����;任何一個(gè)核心功能的實(shí)現(xiàn)都離不開基礎(chǔ)功能���,同樣基礎(chǔ)功能要想體現(xiàn)其價(jià)值和作用���,又要通過核心功能來實(shí)現(xiàn)(見圖3)。
[圖3 公共危機(jī)信息管理功能論]
3.1 PCIM基礎(chǔ)功能
(1)信息收集:實(shí)時(shí)���、準(zhǔn)確�����、全面地監(jiān)測(cè)和收集與公共危機(jī)相關(guān)的各種數(shù)據(jù)和信息�����,強(qiáng)調(diào)對(duì)危機(jī)征兆信息的捕捉��,重視遙感���、遙測(cè)、GIS�����、GPS等信息技術(shù)的使用以及信息的實(shí)時(shí)動(dòng)態(tài)更新���。隨著社交媒體的興起���,社交媒體正成為公共危機(jī)信息監(jiān)測(cè)與收集的重要渠道[8]��。
(2)信息處理:對(duì)危機(jī)信息進(jìn)行選擇��、組織和加工整理,是把無序的信息流轉(zhuǎn)化為有序信息流和支持危機(jī)決策的知識(shí)���。在當(dāng)前大數(shù)據(jù)環(huán)境下��,對(duì)海量實(shí)時(shí)危機(jī)信息流的處理和挖掘分析在技術(shù)上已成為可能���,正成為社會(huì)計(jì)算(Social Computing)、計(jì)算社會(huì)科學(xué)(Computational Social Science)���、商務(wù)智能(Business Intelligence)等學(xué)科的研究熱點(diǎn)[9]�����。
(3)信息存儲(chǔ):是將已加工處理的危機(jī)信息存儲(chǔ)到介質(zhì)中�����,以方便公共危機(jī)利益相關(guān)者使用和傳播�����。云存儲(chǔ)和云計(jì)算是海量實(shí)時(shí)危機(jī)信息存儲(chǔ)的一個(gè)基本趨勢(shì)��。
(4)信息傳播:將經(jīng)過處理的危機(jī)信息提供給用戶��,以滿足用戶信息需求的過程�����。信息公開是PCIM的一個(gè)核心原則���。新媒體在危機(jī)信息傳播中的作用日益受到關(guān)注[10-12]的同時(shí)��,公共危機(jī)中虛假信息和偽信息的傳播問題也成為研究熱點(diǎn)[13-14]�����。
(5)信息使用:利益相關(guān)者利用信息或信息服務(wù)進(jìn)行公共危機(jī)管理的過程���。信息使用是PCIM的目的和歸宿,是PCIM基礎(chǔ)功能和核心功能聯(lián)系的橋梁和紐帶��。
信息收集、信息處理���、信息存儲(chǔ)��、信息傳播和信息使用構(gòu)成信息的生命周期(Information Life Cycle)�����,是一個(gè)不斷循環(huán)往復(fù)的過程��。
3.2 PCIM核心功能
(1)預(yù)測(cè)與預(yù)警:貫穿于危機(jī)生命周期全過程。在危機(jī)爆發(fā)前需要對(duì)其進(jìn)行監(jiān)測(cè)和預(yù)測(cè)���,找到潛在的危機(jī)并盡可能的消除�����。在危機(jī)發(fā)生伊始���,要對(duì)所發(fā)生的危機(jī)做出恰當(dāng)?shù)念A(yù)警,引導(dǎo)和指揮公眾應(yīng)對(duì)危機(jī)��。在危機(jī)爆發(fā)后�����,也需要根據(jù)危機(jī)的不斷變化和特有性征調(diào)整計(jì)劃和方案,達(dá)到以少量代價(jià)解決危機(jī)的目的�����。危機(jī)預(yù)控職能是有效避免危機(jī)的關(guān)鍵職能��,主要處于危機(jī)爆發(fā)前的潛伏期��、生成期和期中�����。利用無線傳感網(wǎng)絡(luò)���、空間視頻系統(tǒng)及人工智能(移動(dòng)機(jī)器人)等可以有效地收集地理數(shù)據(jù)和環(huán)境狀態(tài)數(shù)據(jù)[15-18]�����,并通過預(yù)測(cè)模型得出哪些地區(qū)會(huì)受到威脅���,及時(shí)做出預(yù)警。利用從急救中心及突發(fā)事件舉報(bào)中心獲得的數(shù)據(jù)�����,可以分析危機(jī)事件發(fā)生的頻率及時(shí)空分布[19-20]。
(2)決策:支持危機(jī)決策是PCIM的核心功能��,危機(jī)信息的收集��、組織���、分析���、解讀均以決策目標(biāo)為中心。賈尼斯在《決策與危機(jī)管理中的領(lǐng)導(dǎo)》(Crucial Decision: Leadership in Policymaking and Crisis Management)一書中��,在總結(jié)各類決策模式的基礎(chǔ)上���,提出了危機(jī)決策流程的約束模型和四大步驟,闡述了信息搜集在問題確認(rèn)�����、信息資源利用���、分析和方案形成以及評(píng)估和選擇中的作用[21]�����。Roberto G.aldunate等人研究并提出了一種分布式協(xié)同決策模型���,主要用于大規(guī)模減災(zāi)中的決策制定[22]���。De Maio等研究了一種基于語義網(wǎng)絡(luò)來協(xié)調(diào)異質(zhì)數(shù)據(jù)和柔性計(jì)算的方法,用來處理不確定性因素和模擬植入在應(yīng)急計(jì)劃中的因果推理���,來支持應(yīng)急決策和資源調(diào)度[23]�����。GIS可通過獲取數(shù)據(jù)���、存儲(chǔ)數(shù)據(jù)、處理數(shù)據(jù)���、分析數(shù)據(jù)以及可視化數(shù)據(jù)��,為危機(jī)管理者提供了決策支持[24]�����。除決策系統(tǒng)設(shè)計(jì)之外��,決策信息的傳達(dá)及決策中領(lǐng)導(dǎo)績(jī)效的測(cè)量也受到了關(guān)注[25-26]���。
決策功能貫穿于整個(gè)危機(jī)管理活動(dòng)中���,事前的決策主要是以常規(guī)決策和程序化決策為主,決策的問題一般都具有良好的結(jié)構(gòu)���,可以廣泛征求意見��,充分發(fā)揚(yáng)和體現(xiàn)民主決策��。協(xié)商民主(Deliberative Democracy)���、基于地理信息的協(xié)商(GeoDeliberation)等作為重要研究主題,在公共危機(jī)管理領(lǐng)域正引起廣泛的關(guān)注[27-28]�����。危機(jī)一旦發(fā)生��,危機(jī)的決策目標(biāo)就會(huì)隨著危機(jī)事態(tài)的演變而變化�����,人們需要不斷地做出調(diào)整和修正��,危機(jī)決策變?yōu)榉浅绦蚧瘺Q策���。這時(shí)決策的第一目標(biāo)是控制危機(jī)的蔓延和事態(tài)的進(jìn)一步惡化���,決策者通常以經(jīng)驗(yàn)和靈感決策為主,由于情況緊急���,往往將權(quán)威決策者的決定作為最后的決策結(jié)果���。
決策過程中要解決的主要信息問題有:①準(zhǔn)確定義危機(jī)決策問題;②針對(duì)可能出現(xiàn)的各種危機(jī)情境���,應(yīng)用專家知識(shí)和經(jīng)驗(yàn)編制危機(jī)應(yīng)急預(yù)案和應(yīng)對(duì)計(jì)劃���;③根據(jù)出現(xiàn)的異常問題,判別危機(jī)情境�����,借助于DSS、知識(shí)庫���、預(yù)案仿真等技術(shù)得到處理危機(jī)的初步方案��。
(3)執(zhí)行��。高效的執(zhí)行是危機(jī)決策發(fā)揮作用的有利保證�����。執(zhí)行階段主要的問題有人員設(shè)備和其他資源的調(diào)度�����,災(zāi)害現(xiàn)場(chǎng)的實(shí)時(shí)反饋�����,突況的靈活應(yīng)對(duì)等��。在執(zhí)行的過程中協(xié)作是至關(guān)重要的�����,大規(guī)模的危機(jī)事件響應(yīng)是一個(gè)綜合協(xié)作的過程��,需要相鄰區(qū)域的多部門主動(dòng)參與和有效協(xié)作[29]��。對(duì)公眾參與來說��,開放地理信息系統(tǒng)(volunteered geographic information)[30]���、移動(dòng)地理信息系統(tǒng)[31]等是有效工具,一方面會(huì)提供重要的信息交互�����,另一方面也會(huì)提高應(yīng)急處置的效率�����。
(4)評(píng)估�����。不僅指對(duì)危機(jī)后的評(píng)價(jià)�����,還包括對(duì)危機(jī)前的風(fēng)險(xiǎn)評(píng)估以及危機(jī)中“可減緩性”��、“可挽救性”與“可恢復(fù)性”的評(píng)價(jià),其中尤其要注重危機(jī)前的風(fēng)險(xiǎn)評(píng)價(jià)�����,因?yàn)樗哂小翱上浴保?2]���。美國聯(lián)邦應(yīng)急管理署(FEMA)了一系列與風(fēng)險(xiǎn)有關(guān)的文件���,其中包括風(fēng)險(xiǎn)地圖、評(píng)估和規(guī)劃(RiskMAP)的項(xiàng)目管理�����、戰(zhàn)略��、技術(shù)服務(wù)和用戶數(shù)據(jù)服務(wù)等[33]�����。日本學(xué)者Ana Maria Cruz 和Norio Okada研究了城市由自然災(zāi)害引發(fā)的技術(shù)災(zāi)難(Natech)[34]��,并提出了針對(duì)此類災(zāi)難進(jìn)行風(fēng)險(xiǎn)評(píng)估的一套方法論���。德國的備災(zāi)評(píng)估項(xiàng)目中建立了比較成熟的備災(zāi)指標(biāo)和框架��,可進(jìn)行多種與災(zāi)難相關(guān)的評(píng)估[35](Center for Hazards Research and Policy Development University of Louisville�����,2006)�����。在火山�����、地震��、泥石流�����、海嘯等自然災(zāi)害風(fēng)險(xiǎn)評(píng)估與災(zāi)害影響評(píng)估中�����,交互式繪圖信息系統(tǒng)�����、地理空間信息技術(shù)�����、遙感遙測(cè)等技術(shù)得到了廣泛應(yīng)用[36-39]���。
4 PCIM方法論
著名學(xué)者拉普拉斯說過:認(rèn)識(shí)研究方法比發(fā)明��、發(fā)現(xiàn)本身更重要�����。如果我們把發(fā)明和發(fā)現(xiàn)比喻為“黃金”�����,那么研究方法就是“煉金術(shù)”[49]�����。方法論是對(duì)方法的理論說明與邏輯抽象�����,是具體的���、個(gè)別的方法的體系化與理論化���,因此相對(duì)于方法而言,方法論具有理論性���、系統(tǒng)性和統(tǒng)一性等特征。
信息管理方法研究在危機(jī)管理領(lǐng)域雖然取得了一定的發(fā)展��,但還沒有形成系統(tǒng)的成果�����。公共危機(jī)信息管理有其自身的特點(diǎn)�����,所運(yùn)用的方法要側(cè)重于應(yīng)用性與可操作性�����,必須與實(shí)際情況相適應(yīng)�����,這就決定了PCIM的方法體系與傳統(tǒng)的信息管理方法有所不同。
對(duì)PCIM方法體系的建構(gòu)來說���,一方面���,方法是實(shí)現(xiàn)PCIM各項(xiàng)具體工作目標(biāo)或任務(wù)的工具,因此�����,方法的結(jié)構(gòu)應(yīng)該從總體上保證PCIM各種功能的實(shí)現(xiàn)��,即符合功能—結(jié)構(gòu)的對(duì)應(yīng)原則���。另一方面���,由于PCIM方法的來源是多方面的,方法的類別和數(shù)量是眾多的�����,方法的性質(zhì)是多元的��,固此,應(yīng)構(gòu)建一個(gè)盡可能全面的���、有機(jī)的方法框架���,既明確反映各種具體方法的“位置”、反映方法之間的聯(lián)系和區(qū)別��,又是可以擴(kuò)充和發(fā)展的�����,可為新方法的并入提供余地���。
根據(jù)公共危機(jī)管理的四階段模型,從支持公共危機(jī)管理流程的主要功能出發(fā)��,建構(gòu)了與主要功能相對(duì)應(yīng)的PCIM方法體系(見圖4)[41]�����。
PCIM方法體系由需求分析方法�����、信息采集方法、危機(jī)預(yù)測(cè)方法��、危機(jī)監(jiān)測(cè)方法���、環(huán)境分析方法���、深度研究方法、應(yīng)急決斷方法���、執(zhí)行控制方法和綜合評(píng)價(jià)方法9大類方法構(gòu)成��,每一類方法又包括各種具體方法���,本文只列舉了部分常用或重要方法。
公共危機(jī)發(fā)生之前是信息管理的準(zhǔn)備階段�����,所需要做的是需求分析���、信息采集與危機(jī)預(yù)測(cè)��。需求分析方法保證了需求分析階段所劃定的信息需求范圍的合理性��,信息采集方法保證了所采集信息的質(zhì)量與數(shù)量��,而危機(jī)預(yù)測(cè)方法則直接關(guān)系到危機(jī)預(yù)報(bào)的準(zhǔn)確性���。
公共危機(jī)過程中的信息管理過程就是危機(jī)決策的過程��,對(duì)應(yīng)于危機(jī)決策的5個(gè)步驟���,信息管理也執(zhí)行危機(jī)監(jiān)測(cè)、環(huán)境分析���、深度研究��、應(yīng)急決斷與執(zhí)行控制5個(gè)功能��。這個(gè)過程直接關(guān)系到公共危機(jī)管理的效果,對(duì)各類方法的應(yīng)用也最為廣泛���。
公共危機(jī)后信息管理的作用是對(duì)危機(jī)管理的效果進(jìn)行評(píng)價(jià)并進(jìn)行及時(shí)反饋��,此時(shí)的方法也主要是各類評(píng)價(jià)方法��。
5 PCIM系統(tǒng)論
PCIM系統(tǒng)論主要研究支持公共危機(jī)管理的各種應(yīng)用信息系統(tǒng)���、信息架構(gòu)和信息技術(shù)��。美國紐約大學(xué)商學(xué)院勞頓教授認(rèn)為:信息系統(tǒng)不只是一個(gè)技術(shù)系統(tǒng)���,而且還是一個(gè)管理系統(tǒng)和組織系統(tǒng),是一個(gè)社會(huì)系統(tǒng)��。危機(jī)管理信息系統(tǒng)是基于不同層次�����、不同功能和技術(shù)的多維整合(見圖5)[42]�����。
從技術(shù)維的角度���,各種公共危機(jī)管理應(yīng)用信息系統(tǒng)和信息平臺(tái)的建設(shè)需要廣泛采用各種信息技術(shù)���。除計(jì)算機(jī)硬件、軟件���、存儲(chǔ)技術(shù)���、通訊和網(wǎng)絡(luò)技術(shù)等最基本的技術(shù)之外��,還需要利用遙感技術(shù)(RS)��、GPS技術(shù)和分布式數(shù)據(jù)庫技術(shù)��,有效地集成分散的信息資源��;采用網(wǎng)格技術(shù)�����、GMS(Geo-code Mapping System)技術(shù)��、數(shù)據(jù)倉庫(DM)等���,建立完整、動(dòng)態(tài)的危機(jī)管理綜合數(shù)據(jù)庫��;采用GIS技術(shù)���、信息可視化技術(shù)、XML技術(shù)和決策模型��,建立相互關(guān)聯(lián)的決策支持子系統(tǒng);采用地理空間信息技術(shù)��,建立協(xié)作式危機(jī)管理系統(tǒng)[43-44]��;采用網(wǎng)絡(luò)輿情監(jiān)測(cè)技術(shù)�����,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)群體性突發(fā)事件危機(jī)信息傳播動(dòng)態(tài)的實(shí)時(shí)監(jiān)測(cè)[45]�����;采用仿真技術(shù)��,實(shí)現(xiàn)對(duì)危機(jī)事件的發(fā)生��、演化機(jī)理分析��,加深人們對(duì)危機(jī)治理的理解和認(rèn)知[46-47]���。
在經(jīng)典文獻(xiàn)中���,1984年,沙特朗(R. L. Chartrand)等人在名為《用于應(yīng)急管理的信息技術(shù)》(Information Technology for Emergency Management:Report)的研究報(bào)告中,著重研究了應(yīng)急通信系統(tǒng)��、與自然災(zāi)害有關(guān)的信息存儲(chǔ)與檢索系統(tǒng)��,以及其它信息技術(shù)在減災(zāi)和危機(jī)管理等方面的應(yīng)用問題[48]��?�?屏郑∟ick Collin)討論了危機(jī)信息管理中對(duì)信息和技術(shù)管理重構(gòu)的重要性[49]�����。1999年�����,美國國家研究理事會(huì)(National Research Council���, NRC)編著的《用于危機(jī)管理的信息技術(shù)研究》(Information Technology Research for Crisis Management)詳細(xì)介紹了各種可用于危機(jī)管理的信息技術(shù)的特點(diǎn)��、作用等��,并強(qiáng)調(diào)要通過信息技術(shù)的運(yùn)用來應(yīng)對(duì)各種危機(jī)[50]��。在危機(jī)管理實(shí)踐中��,全球著名的ESI公司開發(fā)了基于Web的應(yīng)急信息管理系統(tǒng)——Web EOC系統(tǒng)��,已得到了廣泛利用��,可以使組織在沒有建立緊急事件處理中心的情況下也能很好地預(yù)防和應(yīng)對(duì)危機(jī)[51]��。
從層次維的角度�����,地方危機(jī)管理信息系統(tǒng)支持地方政府的公共危機(jī)管理��,各應(yīng)用信息系統(tǒng)一般由政府專門部門建設(shè)���,一般系統(tǒng)可操作性強(qiáng),但可集成���、可擴(kuò)展性差���。國家危機(jī)管理信息系統(tǒng)支持國家層面的公共危機(jī)管理,是地方危機(jī)管理信息系統(tǒng)的集成���,建設(shè)中主要解決不同系統(tǒng)間的數(shù)據(jù)融合�����、共享和擴(kuò)展問題��。全球戰(zhàn)略與區(qū)域應(yīng)對(duì)信息管理系統(tǒng)支持國際層面的公共危機(jī)管理��,在“全球風(fēng)險(xiǎn)社會(huì)”背景下���,是支持跨國危機(jī)管理和全球危機(jī)管理的信息基礎(chǔ)設(shè)施�����。在上述三個(gè)層次的危機(jī)信息系統(tǒng)中��,國家危機(jī)管理信息系統(tǒng)居于核心地位��。以美國國家突發(fā)事件管理系統(tǒng)(National Incident Management System�����, NIMS)為例�����,美國國土安全部成立后��,NIMS將美國已有的最佳經(jīng)驗(yàn)整合為一個(gè)統(tǒng)一的適用于各級(jí)政府和職能部門應(yīng)對(duì)各種災(zāi)難的國家突發(fā)事件管理方案�����,使聯(lián)邦�����、州���、各級(jí)地方府與私人團(tuán)體能夠有效、高效�����、協(xié)調(diào)一致地對(duì)國內(nèi)突發(fā)事件作出準(zhǔn)備���、反應(yīng)以及從突發(fā)事件中恢復(fù)[52]���。在實(shí)用系統(tǒng)層面,Sahana作為一個(gè)開放的災(zāi)害管理信息系統(tǒng)���,能有效地促進(jìn)政府��、公眾���、企業(yè)及非政府組織之間的協(xié)作���,協(xié)作主體可以跨越組織界限共享數(shù)據(jù),共同響應(yīng)災(zāi)害[53]���。
從功能維的角度���,公共危機(jī)管理信息系統(tǒng)按照功能可以劃分為安全信息采集系統(tǒng)、動(dòng)態(tài)數(shù)據(jù)監(jiān)測(cè)系統(tǒng)�����、危機(jī)預(yù)測(cè)預(yù)警系統(tǒng)���、應(yīng)急預(yù)案系統(tǒng)��、應(yīng)急演練系統(tǒng)�����、應(yīng)急仿真系統(tǒng)��、應(yīng)急決策系統(tǒng)�����、應(yīng)急指揮系統(tǒng)��、應(yīng)急資源配置與調(diào)度系統(tǒng)�����、環(huán)境污染評(píng)測(cè)系統(tǒng)��、災(zāi)害綜合理賠系統(tǒng)�����、財(cái)產(chǎn)損害評(píng)估系統(tǒng)���、醫(yī)療救助系統(tǒng)等。這些應(yīng)用信息系統(tǒng)通過統(tǒng)一的應(yīng)急信息平臺(tái)進(jìn)行集成���,支持公共危機(jī)管理各項(xiàng)功能的實(shí)現(xiàn)�����。
6 結(jié)語
EPFMS分析框架是在公共危機(jī)管理與信息管理雙重視域的交叉結(jié)合中基于問題域及其關(guān)系建構(gòu)起來的PCIM研究框架�����,說明PCIM既有其背景學(xué)科——公共危機(jī)管理與信息管理——的知識(shí)支撐��,又有其不同于背景學(xué)科的獨(dú)特的知識(shí)元素和學(xué)科氣質(zhì)��。
EPFMS分析框架的PCIM要素論主要研究PCIM的構(gòu)成要素以及要素之間的關(guān)系���,建立關(guān)于PCIM結(jié)構(gòu)要素的基本認(rèn)識(shí)和知識(shí)��;PCIM過程論基于公共危機(jī)管理的典型生命周期過程���,研究每一階段的信息保障和信息管理問題;PCIM功能論主要研究PCIM在公共危機(jī)管理中的功能和作用��,探析PCIM最基本�����、最普遍的功能及其作用機(jī)理與方式�����;PCIM方法論研究PCIM的方法來源、方法原理��、方法應(yīng)用以及方法體系的建構(gòu)問題��;PCIM系統(tǒng)論主要研究支持公共危機(jī)管理的各種應(yīng)用信息系統(tǒng)��、信息架構(gòu)和信息技術(shù)���。每個(gè)研究范疇都有其核心科學(xué)問題和研究側(cè)重點(diǎn)��,它們共同構(gòu)成公共危機(jī)信息管理的EPFMS理論分析框架���。為了便于對(duì)EPFMS分析框架有更加明確的認(rèn)識(shí)���,將其主要研究?jī)?nèi)容以及未來研究方向等總結(jié)如下表(見表2)���。
[EPFMS
框架\&研究
時(shí)間\&研究的
成熟度\&研究的核心問題\&未來發(fā)展
方向\&要素論\&稍晚\&不成熟\&公共危機(jī)信息管理的主體、客體���、環(huán)境��,以及主體和客體間的信息傳遞���、作用機(jī)制等��。\&由要素內(nèi)容轉(zhuǎn)向要素關(guān)系研究\&過程論\&較早\&欠成熟\&以決策為軸心研究公共危機(jī)信息的螺旋式周期管理\&由災(zāi)害應(yīng)對(duì)轉(zhuǎn)向信息備災(zāi)和風(fēng)險(xiǎn)管理\&功能論\&較早\&較成熟\&以決策功能為核心研究公共危機(jī)信息收集���、處理、存儲(chǔ)���、傳播和使用中的問題�����,支持危機(jī)預(yù)測(cè)預(yù)警�����、決策�����、評(píng)估���。\&智能化決策,突發(fā)事件的動(dòng)態(tài)仿真與計(jì)算實(shí)驗(yàn)\&方法論\&稍晚\&不成熟\&危機(jī)信息的收集方法、組織方法��、決策方法���、評(píng)估方法以及改進(jìn)\&新方法的引入�����,獨(dú)有方法的建構(gòu)\&系統(tǒng)論\&早\&較成熟\&支持信息系統(tǒng)建設(shè)的關(guān)鍵技術(shù)�����,如GIS�����、網(wǎng)格技術(shù)���、衛(wèi)星遙感���、可視化技術(shù)等���。不同信息系統(tǒng)的集成和融合問題,如數(shù)據(jù)共享、數(shù)據(jù)兼容\&綜合危機(jī)信息管理系統(tǒng)\&][表2 EPFMS的主要研究?jī)?nèi)容和方向]
參考文獻(xiàn):
[1]沙勇忠���, 劉紅芹.公共危機(jī)的利益相關(guān)者分析模型[J].科學(xué)·經(jīng)濟(jì)·社會(huì)���, 2009,?����。?): 58-61.
[2]N. Bharosa�����, J. Lee. Challenges and Obstacles in Sharing and Coordinating Information During Multi-Agency Disaster Response: Propositions From Field Exercises[J]. Information Systems Frontiers��, 2010�����, 12(1): 49-65.
[3] F. W. Horton���, D. A. Marchand. Information Management in Public Administration[M]��, Arlington���, Va.?�。骸nformation Resources Press��, 1982.
[4][澳]羅伯特·希斯. 王成��, 宋炳輝���, 金瑛, 譯. 危機(jī)管理[M]. 北京:中信出版社���, 2001: 30-31.
[5]Mitroff ���, Pearson. Crisis Management[M]. San Francisco: Jossey-Bass Publishers, 1993.
[6]Otto Lerbinger. the Crisis Manager: Facing Risk And Responsibility[M]. New Jersey: Lawrence Erlubaum Associates�����, 1997.
[7]Ronald J Burke��, Cary L Cooper. the Organization in Crisis?��。篋ownsizing���, Restructuring and Privatization[M]. Malden, Ma: Blackwell Publishers��, 2000.
[8]Austin���, Lucinda�����, Liu��, Brooke Fisher���, Jin, Yan. How Audiences Seek Out Crisis Information: Exploring the Social-Mediated Crisis Communication Model[J]. Journal of Applied Communication Research���, 2012���, 40(2): 188-207.
[9]Dearstyne, Bruce W. Big Data's Management Revolution[J]. Harvard Business Review. 2012�����, 90(12):16-17.
[10]Wei Jiuchang. Estimating The Diffusion Models of Crisis Information in Micro Blog[J]. Journal of Informetrics, 2012���, 6(4): 600-610.
[11]Allan Jonathan. Using Social Networking���, Mobile Apps to Distribute Tsunami Hazard Information[J]. Sea Technology, 2012��, 53(4): 61-64.
[12]Song Xiaolong. Influencing Factors of Emergency Information Spreading in Online Social Networks: a Simulation Approach[J]. Journal of Homeland Security and Emergency Management��, 2012��, 9(1)��, 1515/1547-7355.
[13]沙勇忠���,史忠賢. 公共危機(jī)偽信息傳播影響因素仿真研究[J]. 圖書情報(bào)工作�����,2012��,56(5):36-41�����, 111.
[14]Nostro Concetta�����, Amato Alessandro�����, Cultrera Giovanna. Turning the Rumor of The May 11���, 2011, Earthquake Prediction in Rome��, Italy��, Into An Information Day on Earthquake Hazard[J]���, Annals Of Geophysics��, 2012�����, 55(3): 413-420.
[15]Curtis Andrew�����, Mills Jacqueline W. Spatial Video Data Collection in a Post-Disaster Landscape: the Tuscaloosa Tornado of April 27th 2011[J]. Applied Geography��, 2012�����, 32(2): 393-400.
[16]Munaretto Daniele. Resilient Data Gathering and Communication Algorithms For Emergency Scenarios[J]. Telecommunication Systems��, 2012��, 48(3): 317-327.
[17]F. A Matsuno. Mobile Robot For Collecting Disaster Information And A Snake Robot For Searching[J]. Advanced Robotics���, 2002���, 16(6): 517-520.
[18]Schumann Guy, Hostache Renaud. High-Resolution 3-D Flood Information From Radar Imagery For Flood Hazard Management[J]. Ieee Transactions On Geoscience And Remote Sensing��, 2012�����, 45(6): 1715-1725.
[19]Barrientos Francisco. Interpretable Knowledge Extraction From Emergency Call Data Based On Fuzzy Unsupervised Decision Tree[J]. Knowledge-Based Systems, 2012��, 25(1):77-87.
[20]Jasso Hector. Using 9-1-1 Call Data And The Space-Time Permutation Scan Statistic For Emergency Event Detection[J]. Government Information Quarterly���, 2009���, 26(2): 265-274.
[21]Janis Irving L. Crucial Decision: Leadership In Policymaking And Crisis Management[M]. New York: Freepress��, 1989.
[22]Roberto G. Aldunate���, Feniosky Pena-Mora�����, Genee. Robinson. Collaborative Distributed Decision Making For Large Scale Disaster Relief Operations: Drawing Analogies From Robust Natural Systems[M].Wiley Periodicals���, Inc. 2005.
[23]Kruke Bjorn Ivar, Olsen Odd. Einarknowledge Creation and Reliable Decision-Making In Complex Emergencies[J]. Disasters�����, 2012���, 36(2): 212-232.
[24]A. E. Gunes. Modified Crgs?��。∕-Crgs) Using Gis in Emergency Management Operations[J].Journal of Urban Planning and Development-Asce��,2000��,(68):6-149.
[25]De Maio��, G Fenza. Knowledge-Based Framework For Emergency Dss[J]. Knowledge-Based Systems�����, 2011���, 24(8): 1372-1379.
[26]Constance Noonan Hadley. Measuring The Efficacy Of Leaders To Assess Information And Make Decisions In A Crisis: The C-Lead Scale[J], Leadership Quarterly, 2011, 22(4): 633-648.
[27]Sieber R. Public participation geographic information systems-a literature review and framework[J]. Annals of the Association of American Geographers���, 2006�����,96(3): 491-507.
[28]Hartz-Karp J. A Case Study in DeliberativeDemocracy- Dialogue with the City[EB/OL].[2012-12-25].http:///resources/Dialogue%20with%20the%20City%20Case%20Study%20published.pdf.
[29]Aedo Ignacio���, Diaz Paloma���, Carroll John M. End-User Oriented Strategies To Facilitate Multi-Organizational Adoption Of Emergency Management Information Systems[J].Information Processing & Management�����,2011�����, 46(1):11-21.
[30]Dchild Michael F, Glennon J Alan. Crowdsourcing Geographic Information For Disaster Response:A Research Frontier[J].International Journal of Digital Earth��, 2011�����, 3(3): 231-241.
[31]Erharuyi N���, Fairbairn D. Mobile Geographic Information Handling Technologies To Support Disaster Management[J]. Geography�����, 2003��,(88):312-318.
[32]陳安. 現(xiàn)代應(yīng)急管理理論與方法[M].北京:科學(xué)出版社.2009.
[33]Federal Emergency Management Agency Risk Mapping�����, Assessment�����, And Planning?����。≧iskmap) Draft Statement Of Objectives(Program Management)[EB/OL].[2009-06-04].Http:// Fema. Gov/Pdf/Plan/Program_Management_Draft_Soo_02202008.Pdf.
[34]Ana Maria Cruz���, Norio Okada. Methodology For Preliminary Assessment of Natech Risk In Urban Areas[J].Nat Hazards���, 2008,(46):199-220.
[35]Center For Hazards Research And Policy Development University Of Louisville. Indicator Issues And Proposed Framework For A Disaster Preparedness Index?��。―pi) Draft Report To The: Fritz Institute. Disaster Preparedness Assessment Project[EB/OL].[2009-07-08]. Http:///PdFs/White Paper/Davesimpson%20indicatorsrepor.Pdf.
[36]Saksa Martin�����, Minar Jozef. Assessing The Natural Hazard Of Gully Erosion Through A Geoecological Information System?�。℅eis): A Case Study From The Western Carpathians[J]. Geografie��, 2012��, 117(2): 152-169.
[37]Kunz Melanie���, Gret-Regamey Adrienne�����, Hurni Lorenz. Visualization Of Uncertainty In Natural Hazards Assessments Using An Interactive Cartographic Information System[J]. Natural Hazards�����, 2011, 59(3): 1735-1751.
[38]Kussul��, Sokolov. Zyelyk�����, Ya. I.. Disaster Risk Assessment Based On Heterogeneous Geospatial Information[J]. Journal Of Automation And Information Sciences�����, 2010, 42(12): 32-45
[39]Barnes Christopher F���, Fritz Hermann���, Yoo Jeseon. Hurricane Disaster Assessments With Image-Driven, Data Mining In High-Resolution Satellite Imagery[J]. Ieee Transactions On Geoscience And Remote Sensing���, 2007�����, 45(6): 1631-1640.
[40]吳生林.巴普洛夫選集[M].北京:科學(xué)出版社�����,1955:49.
[41]程立斌�����,林春應(yīng).軍事情報(bào)研究方法體系探析[J]. 情報(bào)雜志���, 2007,(2):89-91.
[42]Laudon Kenneth C�����, Laudon Jane P. Management Information Systems: Organization And Technology In The Networked Enterprise[M].London:Prentice—Hall Inc.,1999.
[43]A. M. Maceachren��, G. Cai��, M. Mcneese��, R. Sharma���, S. Fuhrmann. Geocollaborative Crisis Management: Designing Technologies To Meet Real-World Needs[EB/OL].[2012-12-28[.http:///10.1145/115
0000/1146624/p71-maceachren.pdf���?ip=219.246.184.83
&acc=ACTIVE%20SERVICE&CFID=162474839&CFT
OKEN=80491407&__acm__=1356662450_b2b6864570
21deb54e161bc7e8e7c1f3.
[44]Gguoray Cai, A. M. Maceachren. Map-Mediated Geocollaborative Crisis Management��, Intelligence And Security Informatics[C]�����,Berlin:Springer Berlin Heideberg�����, 2005:429-435.
[45]O. Oh�����, M. Agrawal. Information Control An Terrorism: Tracking The Mumbai Terrorist Attack Through Twitter[J].Inormation Systems Frontiers���, 2010(13):33-43.
[46]Kim Sung-Duk. Lee Ho-Jin��, Park Jae-Sung. Simulation Of Seawater Intrusion Range In Coastal Aquifer Using The Femwater Model For Disaster Information[J]. Marine Georesources & Geotechnology���, 2012, 30(3): 210-221.
[47]L. K. Comfort���, K. Ko. Coordination In Rapidly Evolving Disaster Response Systems: The Role Of Information[J].American Behavioral Scientist���,2004(48):295-313 .
[48]張建宇.對(duì)企業(yè)危機(jī)信息管理的思考[J].現(xiàn)代企業(yè), 2003�����,(11): 14-15.
[49]Nick Collin. Information Management In Crisis?��。篏etting Value For Money From It Investments By Rethinking The Management Of Information And Technology[J].Computer Audit Update��, 1995��,(2): 6-11.
[50]David Mendon��?a. National Research Council .Information Technology Research For Crisis Management[M].National Academy Press���, 1999.
[51]基于web的應(yīng)急信息管理系統(tǒng)——Web Eoc系統(tǒng)[EB/OL].[2009-06-08].Http://Esi911. Com/Esi/Products/Webeoc.Shtml.
[52]盧一郡�����, 賈紅軒. 美國突發(fā)事件管理系統(tǒng)簡(jiǎn)介[J]. 中國急救發(fā)素與災(zāi)害醫(yī)學(xué)雜志���, 2007, 2(6): 367-380.
第6篇
為滿足組織對(duì)信息的需求�����,建立有效的信息系統(tǒng)���,使企業(yè)內(nèi)部能迅速取得并交換���、管理及控制其工作流程所需信息;再考量信息管理和信息技術(shù)生命周期�����,COBIT在結(jié)構(gòu)上將IT過程分為三層�����,從上至下是過程域(也叫過程組)��、過程��、活動(dòng)���。COBIT定義了34個(gè)過程��,分為四個(gè)過程域���,即規(guī)劃與組織、獲得與實(shí)施��、交付與支持�����、監(jiān)控與評(píng)價(jià)���。
(一)規(guī)劃與組織規(guī)劃與組織涵蓋為達(dá)成營運(yùn)目標(biāo)應(yīng)有的IT策略規(guī)劃���。
一是制定企業(yè)會(huì)計(jì)信息系統(tǒng)戰(zhàn)略性規(guī)劃�����。系統(tǒng)規(guī)劃是系統(tǒng)建設(shè)的第一步���,在COBIT中,要求通過戰(zhàn)略規(guī)劃�����,為企業(yè)提供長期并符合企業(yè)發(fā)展目標(biāo)的IT規(guī)劃�����,并定期將這些目標(biāo)轉(zhuǎn)換成可以操作的短期實(shí)施計(jì)劃���。需要針對(duì)企業(yè)業(yè)務(wù)戰(zhàn)略�����,市場(chǎng)環(huán)境需要��,IT支撐技術(shù)��,可行性研究�����,風(fēng)險(xiǎn)控制等方面�����,由信息部門和企業(yè)董事在充分考慮這些問題后制定計(jì)劃��。
二是確定企業(yè)會(huì)計(jì)信息系統(tǒng)的組織結(jié)構(gòu)�����?�!靶畔⒐聧u”是目前許多企業(yè)面臨的一個(gè)問題��。造成“信息孤島”的原因很多��,有管理方面的原因��,但更重要的是企業(yè)在IT規(guī)劃與組織過程中沒有對(duì)企業(yè)的信息架構(gòu)進(jìn)行明確的定義�����。COBIT對(duì)這一過程提出了明確的控制目標(biāo):信息系統(tǒng)應(yīng)建立并隨時(shí)更新業(yè)務(wù)信息模型���,定義適當(dāng)?shù)南到y(tǒng)以優(yōu)化對(duì)信息的使用���。
三是確定企業(yè)會(huì)計(jì)信息系統(tǒng)的技術(shù)方向。COBIT認(rèn)為IT在企業(yè)中的作用是服務(wù)于業(yè)務(wù)自身的需要�����,那么企業(yè)在決定信息技術(shù)方向時(shí)必須有一個(gè)能夠很好制定和管理技術(shù)的流程��,而這個(gè)流程就是要確保技術(shù)能夠很好地實(shí)現(xiàn)企業(yè)對(duì)產(chǎn)品���、服務(wù)和交付能力的期望�����。
四是企業(yè)IT投資管理��。對(duì)IT投資決策和資金使用管理流程的控制是確保企業(yè)信息系統(tǒng)有效性的關(guān)鍵��。對(duì)于這個(gè)決策和管理的控制��,企業(yè)可以參照COBIT的控制目標(biāo)建立并維護(hù)管理IT投資項(xiàng)目的框架���。該框架涵蓋成本���、收益、預(yù)算及預(yù)算管理���,與企業(yè)業(yè)務(wù)戰(zhàn)略的匹配程度和控制在IT戰(zhàn)略戰(zhàn)術(shù)規(guī)劃中的總成本與收益,并能在錯(cuò)誤發(fā)生時(shí)及時(shí)更正���。這樣可達(dá)到IT成本一效益的持續(xù)�����、顯著提升并創(chuàng)造更多價(jià)值�����。
五是確保信息系統(tǒng)控制目標(biāo)傳達(dá)到企業(yè)各部門���。管理層在IT方面的目標(biāo)和方向需要通過合適的渠道和流程由上至下傳達(dá),同時(shí)要確保用戶的意識(shí)和對(duì)這些目標(biāo)的正確理解�����。
六是評(píng)估IT新系統(tǒng)的投入風(fēng)險(xiǎn)。目前�����,企業(yè)的會(huì)計(jì)業(yè)務(wù)和管理越來越依賴于IT���,而依賴就意味著風(fēng)險(xiǎn)�����。信息系統(tǒng)在企業(yè)中的應(yīng)用��,需要有一套管理體系去應(yīng)對(duì)系統(tǒng)使用過程中的風(fēng)險(xiǎn)�����。COBIT提出在這一風(fēng)險(xiǎn)管理體系中���,需要有IT風(fēng)險(xiǎn)的識(shí)別、影響力分析��,涉及到多個(gè)部門并且需要采取最經(jīng)濟(jì)和有效的措施來規(guī)避風(fēng)險(xiǎn)�����。同時(shí)還要考慮:風(fēng)險(xiǎn)管理的所有權(quán)和責(zé)任權(quán),不同類型IT的風(fēng)險(xiǎn)(技術(shù)�����、安全���、持續(xù)性��、規(guī)范性等)�����,所定義和的風(fēng)險(xiǎn)容忍限度,根本原因的分析���,風(fēng)險(xiǎn)的定性和定量衡量��,風(fēng)險(xiǎn)評(píng)估方法論��,風(fēng)險(xiǎn)行動(dòng)計(jì)劃��,及時(shí)的再評(píng)估等��。
(二)獲取與實(shí)施獲得與實(shí)施涵蓋實(shí)行IT策略規(guī)劃��,應(yīng)確認(rèn)��、開發(fā)或購買IT解決方案并施行��,變更及維護(hù)現(xiàn)有系統(tǒng)�����。
一是會(huì)計(jì)信息系統(tǒng)解決方案的確定��。系統(tǒng)解決方案的確定過程即通常所說的系統(tǒng)選型的過程�����,系統(tǒng)解決方案的確定是企業(yè)信息化建設(shè)中的一個(gè)重要環(huán)節(jié)���。在會(huì)計(jì)信息系統(tǒng)的開發(fā)設(shè)計(jì)上更是如此��。COBIT在對(duì)這一過程的控制中提出:企業(yè)需要在明確業(yè)務(wù)需求的情況下��,客觀而清晰地對(duì)多種方案進(jìn)行識(shí)別和分析��。
二是系統(tǒng)應(yīng)用軟件的獲取�����。如果說識(shí)別解決方案或者說系統(tǒng)選型的過程是讓企業(yè)知道什么方案是適合自己的���,那么獲得和維護(hù)系統(tǒng)軟件的過程才是實(shí)現(xiàn)系統(tǒng)給企業(yè)帶來收益的開始��。COBIT對(duì)于這一過程的控制是確保其能夠提供支持業(yè)務(wù)流程的有效應(yīng)用功能��。具體而言就是軟件系統(tǒng)必須能夠和業(yè)務(wù)流程很好的融合�����。在這一過程里��,關(guān)鍵是企業(yè)的業(yè)務(wù)需求是否能夠獲得所選系統(tǒng)的支持���,企業(yè)的業(yè)務(wù)流程(經(jīng)過優(yōu)化)能否和系統(tǒng)融合�����,系統(tǒng)在實(shí)施過程中的每個(gè)階段是否都有明確的成果�����。
三是會(huì)計(jì)信息系統(tǒng)的使用與維護(hù)。企業(yè)對(duì)信息系統(tǒng)的依賴性使得業(yè)務(wù)運(yùn)行的穩(wěn)定對(duì)系統(tǒng)的敏感性越來越強(qiáng)���。系統(tǒng)一方面在給企業(yè)的業(yè)務(wù)運(yùn)作和管理帶來收益的同時(shí)��,另一方面其復(fù)雜性也給企業(yè)信息系統(tǒng)的管理帶來了很大的壓力�����。要確保信息系統(tǒng)的有效運(yùn)行首先要有標(biāo)準(zhǔn)化的軟硬件及評(píng)價(jià)標(biāo)準(zhǔn)��、一致的系統(tǒng)管理等行為���,為支持業(yè)務(wù)過程的應(yīng)用程序提供適當(dāng)?shù)钠脚_(tái)。其次要求通過為用戶提供新系統(tǒng)的使用文件及手冊(cè)�����,并提供培訓(xùn)以確保對(duì)應(yīng)用程序和基礎(chǔ)設(shè)施的正確使用���。
四是會(huì)計(jì)信息系統(tǒng)的變更管理��。信息系統(tǒng)是為業(yè)務(wù)部門服務(wù)的��,但企業(yè)的業(yè)務(wù)是不斷變化和發(fā)展的�����,相應(yīng)的信息系統(tǒng)也必須與業(yè)務(wù)發(fā)展同步��。COBIT對(duì)這一流程的控制目標(biāo)是最小化破壞��、非法篡改和發(fā)生錯(cuò)誤的可能性��。實(shí)現(xiàn)該目標(biāo)要構(gòu)建一個(gè)管理系統(tǒng)���,分析���、實(shí)施、跟蹤所有現(xiàn)有IT設(shè)施要求的及所作的變化��?����?刂浦攸c(diǎn)在于識(shí)別變化���,分類優(yōu)先排序和緊急事件的應(yīng)對(duì)措施,對(duì)變化的跟蹤與報(bào)告,變更的總結(jié)與存檔�����。企業(yè)可在新舊系統(tǒng)的變更中采用以舊系統(tǒng)為基礎(chǔ)逐步引入新系統(tǒng)的方式��,跟蹤與報(bào)告變更中的問題并及時(shí)解決�����,成功進(jìn)行會(huì)計(jì)信息系統(tǒng)的更新��。
(三)交付與支持交付與支持和實(shí)際提供所需服務(wù)有關(guān)��,涵蓋作業(yè)安全���、持續(xù)訓(xùn)練���,確保服務(wù)提供,建立必要支援作業(yè)��,應(yīng)用系統(tǒng)處理的控制�����。
一是會(huì)計(jì)信息系統(tǒng)服務(wù)的管理與控制。會(huì)計(jì)信息系統(tǒng)在投入使用后�����,其服務(wù)主要由企業(yè)內(nèi)的IT部門和企業(yè)外的第三方來提供���。對(duì)于內(nèi)部IT部門的服務(wù)管理��,COBIT要求定義和管理服務(wù)水平�����。企業(yè)外第三方服務(wù)是目前多數(shù)企業(yè)所采用的方式�����,將信息系統(tǒng)的開發(fā)及維護(hù)交由第三方來管理���,這就需要對(duì)第三方服務(wù)提供者進(jìn)行管理控制。COBIT提出對(duì)于第三方要在服務(wù)協(xié)議中明確其職務(wù)���、責(zé)任和預(yù)期效果��,并且監(jiān)督和檢查協(xié)議是否得以有效實(shí)施等��。
二是確保會(huì)計(jì)信息系統(tǒng)服務(wù)連續(xù)性方面的控制措施���。無論什么樣的系統(tǒng)都不可能完全可靠,因此系統(tǒng)在獲取后發(fā)生故障的可能性是客觀存在的���。為將系統(tǒng)出現(xiàn)故障時(shí)對(duì)業(yè)務(wù)的影響控制在最小程度���,COBIT提出要有合理的系統(tǒng)故障重要性分析,故障發(fā)生時(shí)有業(yè)務(wù)活動(dòng)的替代流程�����,準(zhǔn)備備份和恢復(fù)程序���,定期對(duì)系統(tǒng)的軟硬件進(jìn)行測(cè)試并對(duì)相關(guān)人員進(jìn)行培訓(xùn)等���。
三是確保系統(tǒng)安全。確保系統(tǒng)安全是信息使用安全的基礎(chǔ)��。盡管在信息系統(tǒng)中訪問信息時(shí)有嚴(yán)格的限制��,但若要消除這種限制也非常簡(jiǎn)單�����,所要做的只是設(shè)法獲得一組數(shù)字或字母。因此為了確保信息系統(tǒng)的安全�����,必須進(jìn)行相應(yīng)的控制�����。關(guān)于系統(tǒng)的安全��,COBIT要求關(guān)注和審核對(duì)信息機(jī)密程度和有關(guān)隱私信息的定義��、授權(quán)�����、身份甄別和系統(tǒng)訪問的控制�����,系統(tǒng)用戶的識(shí)別和授權(quán)的相關(guān)信息�����,密鑰管理,防火墻的管理等���。
四是加強(qiáng)教育和培訓(xùn)操作員的控制��。對(duì)最終用戶的培訓(xùn)是確保實(shí)現(xiàn)服務(wù)品質(zhì)、滿足業(yè)務(wù)要求的重要環(huán)節(jié)��。教育和培訓(xùn)過程是為了確保用戶能夠有效使用技術(shù)并在使用過程中明確技術(shù)帶來的風(fēng)
險(xiǎn)以及自己所應(yīng)該承擔(dān)的職責(zé)���?��?梢詮亩喾N方式和多種內(nèi)容上進(jìn)行,在提供綜合性的培訓(xùn)和發(fā)展計(jì)劃的同時(shí)�����,還需考慮培訓(xùn)課程的設(shè)置��、技術(shù)的儲(chǔ)備��、意識(shí)的培養(yǎng)�����、新的培訓(xùn)方法的運(yùn)用、個(gè)人的學(xué)習(xí)效率以及知識(shí)庫的開發(fā)等���。
(四)監(jiān)控與評(píng)價(jià)監(jiān)控與評(píng)價(jià)即經(jīng)常評(píng)估所有IT作業(yè)�����,以確保品質(zhì)及控制制度的落實(shí)�����。
一是績(jī)效監(jiān)督與評(píng)估�����。信息系統(tǒng)的實(shí)施是否能滿足企業(yè)業(yè)務(wù)需求需要一套有效的IT績(jī)效管理與監(jiān)控體系���,會(huì)計(jì)信息系統(tǒng)也是如此。COBIT認(rèn)為這個(gè)過程需要定義相關(guān)的績(jī)效指標(biāo)�����、系統(tǒng)化且及時(shí)的績(jī)效差異報(bào)告���,并對(duì)差異及時(shí)采取措施���。通過監(jiān)控與評(píng)估能明晰各流程職責(zé)��,確保事情按照既定的方向正確實(shí)施���。
二是會(huì)計(jì)信息系統(tǒng)審計(jì)與內(nèi)部控制評(píng)估。任何一套信息系統(tǒng)在實(shí)施過程中���,系統(tǒng)的可靠性、安全勝和有效性都是非常重要的���。審計(jì)就是為了確保系統(tǒng)的可靠性���、安全性和有效性。首先應(yīng)成立專門的信息系統(tǒng)審計(jì)小組���,由審計(jì)人員和信息技術(shù)人員構(gòu)成���,其構(gòu)成成員不得服務(wù)于其他部門。重視內(nèi)部審計(jì)與獨(dú)立第三方審計(jì)���,內(nèi)部審計(jì)是企業(yè)內(nèi)部的信息系統(tǒng)審計(jì)活動(dòng)��,是對(duì)信息系統(tǒng)功能實(shí)現(xiàn)的內(nèi)部控制���,而獨(dú)立第三方審計(jì)是對(duì)內(nèi)部控制的再控制��。
三是確保法規(guī)遵從�����。信息系統(tǒng)的實(shí)施要遵從相關(guān)法規(guī)��,如會(huì)計(jì)處理就要遵循會(huì)計(jì)法規(guī)���。有效的法規(guī)監(jiān)督需要建立一套獨(dú)立的測(cè)評(píng)程序來確保對(duì)法律法規(guī)的遵循。這一程序中�����,COBIT要求確認(rèn)對(duì)IT已經(jīng)產(chǎn)生影響或可能產(chǎn)生影響的法律法規(guī)�����;對(duì)已確認(rèn)的法律法規(guī)做出積極的回應(yīng)��;監(jiān)督法律法規(guī)是否嚴(yán)格執(zhí)行;依法報(bào)告IT實(shí)施情況���。
四是提供IT治理��。這是在COBIT發(fā)展到第四版時(shí)提出的��,這一點(diǎn)是服務(wù)于整個(gè)企業(yè)職責(zé)的���。建立有效的治理結(jié)構(gòu)包括定義組織結(jié)構(gòu)、程序��、領(lǐng)導(dǎo)��、職務(wù)和責(zé)任以確保企業(yè)IT投資與企業(yè)整體戰(zhàn)略目標(biāo)一致��。
二��、基于COBIT的企業(yè)會(huì)計(jì)信息系統(tǒng)控制體系重建
目前我國企業(yè)對(duì)會(huì)計(jì)信息系統(tǒng)有一定的內(nèi)控管理�����,但漏洞較多���、不成體系。為更好地使用信息系統(tǒng),獲得安全�����、可靠��、有效的會(huì)計(jì)信息以及其他決策有用的管理信息�����,從而提高企業(yè)競(jìng)爭(zhēng)力�����,運(yùn)用COBIT重建企業(yè)的會(huì)計(jì)信息系統(tǒng)控制體系十分必要�����。通過重建企業(yè)會(huì)計(jì)信息系統(tǒng)控制��,理順信息化工作流程���,分階段�����、分層次明確信息化工作范圍��,從企業(yè)��、部門�����、崗位三個(gè)層面��,定義從事相應(yīng)信息系統(tǒng)工作的角色及職責(zé)��;整合各類信息管理資源��,實(shí)現(xiàn)企業(yè)信息系統(tǒng)的規(guī)范管理���。
(一)會(huì)計(jì)信息系統(tǒng)控制思路以COBIT為依據(jù)�����,會(huì)計(jì)信息系統(tǒng)控制將以組織整體戰(zhàn)略為導(dǎo)向,定義會(huì)計(jì)信息系統(tǒng)的功能�����;以外界環(huán)境為依據(jù),采用先進(jìn)的信息技術(shù)加強(qiáng)內(nèi)部控制手段���;以業(yè)務(wù)與信息技術(shù)整合為重心��,提高信息的可讀性和有用性���。其控制思路具體包括:
一是建立與信息時(shí)代相適應(yīng)的內(nèi)控環(huán)境。關(guān)鍵在于以下兩點(diǎn):
(1)建立健全組織結(jié)構(gòu)與權(quán)責(zé)分派體系�����。企業(yè)應(yīng)對(duì)原有會(huì)計(jì)組織機(jī)構(gòu)進(jìn)行適當(dāng)調(diào)整��,以適應(yīng)信息時(shí)代的要求���。組織結(jié)構(gòu)設(shè)置必須適合企業(yè)的實(shí)際規(guī)模��,符合企業(yè)總體經(jīng)營目標(biāo):依據(jù)成本效益原則按精簡(jiǎn)���、合理的原則對(duì)組織機(jī)構(gòu)進(jìn)行設(shè)置,使之符合信息時(shí)代企業(yè)組織結(jié)構(gòu)的變遷�����。
(2)注重人力資源管理。知識(shí)經(jīng)濟(jì)時(shí)代��,企業(yè)發(fā)展將主要依靠科技��、知識(shí)與人才�����,而內(nèi)部控制采取的一切措施��、方法和程序�����,都要由人來執(zhí)行��,所以“人本主義”作為構(gòu)建內(nèi)部控制機(jī)制的信條已被越來越多的企業(yè)所接受��。企業(yè)管理者應(yīng)當(dāng)重視對(duì)人員的選擇���、使用和培養(yǎng)���,這不僅是內(nèi)部控制的環(huán)境因素��,也日益成為內(nèi)部控制結(jié)構(gòu)的有機(jī)組成部分,所以要加強(qiáng)會(huì)計(jì)信息系統(tǒng)的內(nèi)部控制�����,首要任務(wù)是加強(qiáng)對(duì)關(guān)鍵員工的素質(zhì)控制及對(duì)員工素質(zhì)的重點(diǎn)培養(yǎng)��。
二是識(shí)別新風(fēng)險(xiǎn)���、建立新型風(fēng)險(xiǎn)控制體系���。建立會(huì)計(jì)信息內(nèi)部控制,不能不考慮其賴以存在的環(huán)境及企業(yè)內(nèi)外部各種風(fēng)險(xiǎn)因素���。信息時(shí)代��,信息的傳播�����、處理和反饋的速度都大大加快了���,由此導(dǎo)致企業(yè)不斷改變業(yè)務(wù)和信息流程。在這一過程中���,不能再盲目地采用傳統(tǒng)控制政策和程序��,而必須重新評(píng)價(jià)�����,以適應(yīng)新業(yè)務(wù)發(fā)展的需要���。應(yīng)把注意力集中在評(píng)估特定環(huán)境下的業(yè)務(wù)風(fēng)險(xiǎn)��,并制定相應(yīng)控制程序�����,而不能拘泥于特定控制程序���,進(jìn)而限制了對(duì)技術(shù)的使用。
三是利用信息技術(shù)改善會(huì)計(jì)信息系統(tǒng)控制活動(dòng)��。企業(yè)管理層識(shí)別會(huì)計(jì)信息系統(tǒng)風(fēng)險(xiǎn)后��,應(yīng)針對(duì)這種風(fēng)險(xiǎn)采取必要措施��。利用信息技術(shù),設(shè)立良好控制活動(dòng)��,增強(qiáng)內(nèi)部控制系統(tǒng)的預(yù)防��。
(1)設(shè)立良好的控制活動(dòng)��?�?刂苹顒?dòng)是確保管理階層指令得以實(shí)現(xiàn)的政策和程序�����,旨在幫助企業(yè)針對(duì)“使企業(yè)目標(biāo)不能達(dá)成的風(fēng)險(xiǎn)”采取必要行動(dòng)�����?��?刂苹顒?dòng)出現(xiàn)在整個(gè)企業(yè)內(nèi)的各階層與各職能部門,包括核準(zhǔn)��、授權(quán)��、驗(yàn)證��、調(diào)節(jié)、復(fù)核���、保障資產(chǎn)安全以及職務(wù)分工等各項(xiàng)活動(dòng)���。
(2)增強(qiáng)內(nèi)部控制系統(tǒng)的預(yù)防。有效的控制活動(dòng)具有預(yù)防性��、檢查性和糾正性等特性��。傳統(tǒng)內(nèi)部控制制度通常是根據(jù)已輸出的會(huì)計(jì)信息在年末實(shí)施檢查��,檢查財(cái)務(wù)錯(cuò)誤和舞弊行為���,無論結(jié)果如何���,錯(cuò)誤已經(jīng)發(fā)生,某種情況下難以彌補(bǔ)���,內(nèi)部控制預(yù)防功能被完全限制了��。這種現(xiàn)象影響了企業(yè)的所有者和經(jīng)營者對(duì)內(nèi)部控制制度的理解與重視程度�����,認(rèn)為內(nèi)部控制措施只有事后檢查功能��。信息時(shí)代下�����,廣泛使用網(wǎng)絡(luò)信息技術(shù)為實(shí)剛決策支持和改善業(yè)務(wù)與信息轉(zhuǎn)化過程提供了技術(shù)支持��,同時(shí)也提供了預(yù)防�����、檢查和糾正錯(cuò)誤及防止舞弊的機(jī)會(huì)��。如在計(jì)算機(jī)軟件中嵌入內(nèi)部控制程序���,隨時(shí)監(jiān)控企業(yè)經(jīng)營運(yùn)行狀況,在即將出現(xiàn)問題時(shí)及時(shí)提供預(yù)警信息�����,幫助員工進(jìn)行過程控制��。從傳統(tǒng)內(nèi)控發(fā)現(xiàn)問題�����,將事后補(bǔ)救的做法,發(fā)展為事前預(yù)防和事中控制���。
(3)利用信息技術(shù)�����,實(shí)現(xiàn)企業(yè)一體化集成管理���。企業(yè)應(yīng)在網(wǎng)絡(luò)環(huán)境下,通過信息化的手段完成產(chǎn)���、供�����、銷業(yè)務(wù)的連貫�����,實(shí)現(xiàn)財(cái)務(wù)處理與業(yè)務(wù)處理的一體化��,建立一個(gè)實(shí)時(shí)有效的預(yù)算系統(tǒng)��。�����,在會(huì)計(jì)和管理信息化的過程中��,改革傳統(tǒng)業(yè)務(wù)結(jié)構(gòu)�����,提高運(yùn)營效率��,降低成本��,強(qiáng)化企業(yè)內(nèi)部基礎(chǔ)管理的規(guī)范性��。
四是利用互聯(lián)網(wǎng)技術(shù)加強(qiáng)會(huì)計(jì)信息系統(tǒng)監(jiān)控��。要確保內(nèi)部控制制度執(zhí)行效果良好���,內(nèi)部控制能夠隨時(shí)適應(yīng)新情況等,內(nèi)部控制就必須被監(jiān)督�����。工作環(huán)境的改變也為企業(yè)會(huì)計(jì)信息系統(tǒng)內(nèi)部控制監(jiān)督提供了新工具,通過互聯(lián)網(wǎng)可以對(duì)整個(gè)會(huì)計(jì)信息系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)督���,網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控和電子監(jiān)視系統(tǒng)可以強(qiáng)化會(huì)計(jì)信息系統(tǒng)內(nèi)控的監(jiān)督功能�����。
五是建立會(huì)計(jì)信息系統(tǒng)控制體制��。在做好以上四步控制后���,就可以建立企業(yè)會(huì)計(jì)信息系統(tǒng)控制體制,確定涉及會(huì)計(jì)信息系統(tǒng)工作的部門的崗位職能���,確定系統(tǒng)建設(shè)周期的流程��,并針對(duì)各階段不同的管理水平和能力建立成熟度指標(biāo)���,確定各階段的關(guān)鍵成功因素和關(guān)鍵績(jī)效指標(biāo),然后梳理信息系統(tǒng)所涉及的各個(gè)部門的關(guān)系�����,將各階段管控流程細(xì)化到崗位角色�����。
通過對(duì)企業(yè)業(yè)務(wù)流程的分析,可以將會(huì)計(jì)信息系統(tǒng)控制體系劃分為信息系統(tǒng)規(guī)劃���、信息系統(tǒng)實(shí)施���、運(yùn)行和后評(píng)估四個(gè)階段,如圖1所示��。
(二)建立會(huì)計(jì)信息系統(tǒng)控制模型在上述控制指標(biāo)的基礎(chǔ)上�����,依據(jù)COBIT結(jié)合企業(yè)會(huì)計(jì)信息系統(tǒng)內(nèi)部控制工作��,確定每個(gè)階段的分等分級(jí)成熟度指標(biāo)��;各階段關(guān)鍵成功要素���;各階段關(guān)鍵目標(biāo)指標(biāo);各階段關(guān)鍵績(jī)效指標(biāo)�����。在此基礎(chǔ)上形成各階段的控制流程,明確流程之間的接口�����,并進(jìn)一步進(jìn)行角色的劃分���,確定信息部門以及相關(guān)會(huì)計(jì)職能部門的工作范圍和職責(zé)���。本文僅以規(guī)劃階段的會(huì)計(jì)信息系統(tǒng)戰(zhàn)略規(guī)劃為例,建立其控制模型���,如表1所示�����,其余以此類推���。
