序言:寫作是分享個人見解和探索未知領域的橋梁,我們?yōu)槟x了8篇的安全風險評估論文樣本,期待這些樣本能夠為您提供豐富的參考和啟發(fā)�����,請盡情閱讀�����。
第1篇
1.1需求分析
通過德爾菲法�����、訪談法�����、SWOT分析等風險管理技術�����,向學院各職能部門和其它渠道收集風險信息�����,分類總結�����,然后列出風險系統(tǒng)開發(fā)的大功能模塊�����,每個大功能模塊有哪些小功能模塊�����;描述實現(xiàn)具體模塊所涉及到的主要算法�����、數(shù)據(jù)結構、類的層次結構及調用關系�����,需要說明軟件系統(tǒng)各個層次中每個模塊或子程序的設計考慮�����,以便進行編碼測試�����。系統(tǒng)平臺可以實現(xiàn)以下功能:自動輸出風險評估報告和建議報告�����,有效監(jiān)控預防風險�����;對風險進行定量分析�����,實現(xiàn)以圖表直觀形式輸出顯示�����,并展示相應的數(shù)據(jù)指標�����;用戶以個人賬戶或部門賬戶�����,登錄到風險評估輸入列表�����,選擇相應的職能部門�����、行業(yè)類型�����、風險級別指標�����、以問答的形式選擇相應的內置風險條目,根據(jù)登陸權限�����,可自擬增加�����、刪除風險條目�����;可實現(xiàn)日常工作重要環(huán)節(jié)和重點風險過程的時間提醒功能�����,通過手機短信或網頁提示窗提示等手段�����,提醒重點工作的正常開展�����,防范工作疏忽引起的風險�����;風險級別指標制定�����,可參考相應的國家或行業(yè)標準�����,也可自擬�����;系統(tǒng)平臺內有評估標準�����,根據(jù)評估標準設計評估模型�����,利用評估模型對風險評估報告進行評估�����,得出評估結果供風險決策者參考;校領導和各職能部門負責人可根據(jù)管理權限查詢相應的風險數(shù)據(jù)�����;B/S架構�����,實現(xiàn)新聞即時�����,可及時更新各高校風險管理中的經驗交流文章�����、理論知識�����。
1.2程序編碼實現(xiàn)
開始具體的編寫程序工作�����,分別實現(xiàn)各模塊的功能�����,從而實現(xiàn)對目標系統(tǒng)的功能�����、性能�����、接口�����、界面等方面的要求�����;開發(fā)過程中�����,邊開發(fā)邊測試�����,系統(tǒng)完工后,通過內部外部測試�����、模塊測試�����、整體聯(lián)調等測試方法�����,驗證系統(tǒng)的整體穩(wěn)定性�����,不斷完善�����。
1.3具體應用
軟件開發(fā)完成�����,做成相關的技術文檔�����,系統(tǒng)上線�����;在具體應用中發(fā)現(xiàn)問題及時登記到問題記錄冊�����,反饋到開發(fā)人員�����,為以后的系統(tǒng)平臺升級提供依據(jù)�����。
2平臺功能模塊
信息安全風險評估平臺的開發(fā)環(huán)境為/MSSQL�����,基于SOA軟件系統(tǒng)架構解決學院各信息系統(tǒng)集成�����,通過PDCA循環(huán)模型具體實施。信息安全風險評估系統(tǒng)平臺建設主要包括評估公告�����、用戶管理�����、指標設置�����、綜合評估�����、綜合查詢�����、報表系統(tǒng)�����,數(shù)據(jù)導出七大模塊。
2.1評估公告模塊
評估公告模塊實現(xiàn)新聞即時�����,可及時更新各高校風險管理中的經驗交流文章�����、理論知識�����;可實現(xiàn)日常工作重要環(huán)節(jié)和重點風險過程的時間提醒功能�����,提醒重點工作的正常開展�����,防范工作疏忽引起的信息系統(tǒng)風險�����。
2.2用戶管理模塊
用戶管理模塊的功能是管理用戶信息�����,主要包括用戶的用戶名�����、密碼和權限�����,同時支持顯示所有注冊用戶信息和刪除用戶功能�����;模塊可以添加系統(tǒng)管理員�����、評估人和評估單位�����,評估人員可以設置不同的權限�����,限制評估范圍;用戶以個人賬戶或部門賬戶�����,登錄到風險評估輸入列表�����,選擇相應的職能部門�����、行業(yè)類型�����、風險級別指標�����、以問答的形式選擇相應的內置風險條目�����;不同的用戶登錄系統(tǒng)顯示的模塊不一樣�����,根據(jù)登陸權限�����,可自擬增加�����、刪除風險條目�����。
3.3指標設置模塊
指標設置模塊主要是依據(jù)國家有關信息安全風險評估指標�����,實現(xiàn)信息系統(tǒng)風險評估的指標體系設置�����,劃分兩級指標細化評估體系�����,一級指標劃分為信息資產、威脅性�����、脆弱性�����,二級指標從硬件�����、軟件�����、風險識別等細化指標體系�����;實現(xiàn)指標庫的設置�����,可以分配不同的被評估單位相應的評價指標�����。
2.4綜合評估模塊
綜合評估模塊包括評估列表�����、評估歷史�����。評估列表顯示所有被評估單位�����,某一單位用戶登錄以后�����,系統(tǒng)自動調用相應的指標庫�����,回答相應的信息系統(tǒng)安全問題�����,系統(tǒng)自動給出指標分數(shù);評估歷史是不同的賬戶登錄�����,顯示的列表不同�����,管理員能查詢所有的用戶評估歷史�����,單位用戶只能查詢本系部的評估歷史�����。
2.5綜合查詢模塊
綜合查詢模塊實現(xiàn)不同單位評估次數(shù)�����、評估成績�����、各評估對象不同時間段等的評估查詢�����。
2.6報表系統(tǒng)模塊
報表模塊實現(xiàn)了不同單位評估次數(shù)�����、評估成績�����、各評估對象的柱狀圖的形式直觀展示�����。
2.7數(shù)據(jù)導出模塊
數(shù)據(jù)導出模塊實現(xiàn)了評估單位當前總成績或歷史評估成績的數(shù)據(jù)導出功能�����,支持PDF�����、Word�����、Excel文檔格式。
3系統(tǒng)評估操作流程
系統(tǒng)管理員首先在系統(tǒng)后臺對不同的用戶設置相應的評估指標庫�����;用戶通過用戶名和密碼登錄系統(tǒng)后臺�����;登錄成功后系統(tǒng)會自動調用相應的評價指標�����,用戶回答相應的問題�����;回答結束后�����,用戶點擊提交�����,系統(tǒng)自動給出相應的評估分值;用戶打印或存儲評估數(shù)據(jù)報告。
4平臺應用效果
4.1為我國高校的信息系統(tǒng)風險預防和應急處理提供建設性的意見
目前關于我國高校風險評估研究的大多停留在某些具體領域�����,主要是對宏觀風險管理和財務風險狀況進行探討�����,對信息系統(tǒng)安全的研究較少�����。信息安全風險評估系統(tǒng)平臺對高校信息安全風險進行定量分析評估�����,為我國高校信息系統(tǒng)風險評估提供了一個重要平臺�����,為高校的信息系統(tǒng)風險預防和應急處理提供一些建設性的意見�����。
4.2為高校各級信息系統(tǒng)管理者提供了處理信息系統(tǒng)
風險的決策依據(jù)系統(tǒng)實現(xiàn)各級信息系統(tǒng)管理者可實時查詢部門風險評估�����,針對高校日常管理中可能面臨的各類信息系統(tǒng)安全風險�����、建議應對措施�����、突發(fā)事件�����、應急預案�����、法律法規(guī)等相關風險管理文檔查詢�����,為科學決策提供依據(jù)�����。
4.3信息系統(tǒng)安全風險處理更迅速
信息系統(tǒng)安全風險評估平臺與學院網絡安全教育平臺�����、運維網站數(shù)據(jù)整合�����,當網絡遭受攻擊�����、病毒肆虐時�����,能第一時間獲得相關信息�����,為快速解決信息系統(tǒng)安全風險創(chuàng)造了條件�����。
4.4提高了全校師生網絡安全防范和參與意識
通過信息系統(tǒng)安全風險評估平臺,全院師生提高了網絡安全防范和參與意識�����,為河南牧業(yè)經濟學院網絡信息化建設出謀劃策�����,促進學校領導和有關職能部門制定和完善網絡有關管理制度�����。
4.5規(guī)范了全校師生的上網行為�����,減少了網絡攻擊
全校師生通過平臺了解學校網絡管理相關制度和管理方式�����,認識到自己的上網行為在學校監(jiān)督管理中�����,從而自覺規(guī)范自身的上網行為�����。平臺為引導師生正確使用網絡、規(guī)避風險�����,保障校園網網絡良好正常運轉起到了積極的作用�����。通過信息系統(tǒng)風險評估的漏洞查找�����,各系部加強了網絡安全知識普及�����、全員參與�����、相關規(guī)章制度的約束�����,一直困擾我院網管人員的網絡非法攻擊�����,特別是破壞后果更難預測的內部網絡攻擊得到了有效的遏制�����。
5結束語
第2篇
關鍵詞:物流外包�����,人性假設�����,風險評估
1.引言
隨著社會分工的進一步細化和第三方物流產業(yè)的逐漸成熟�����,物流外包逐步被市場認可�����。 而在經濟全球化的今天�����,許多企業(yè)在面臨殘酷的市場環(huán)境時,也都紛紛采取了致力發(fā)展核心 業(yè)務�����,并將非核心業(yè)務外包給第三方物流企業(yè)的競爭策略�����。
所謂物流外包�����,即企業(yè)為集中有限資源�����、增強核心競爭力�����,將其物流業(yè)務以合同的方式 委托第三方物流公司執(zhí)行�����。其主要任務是節(jié)約物流成本�����,提高服務水平�����。然而�����,由于合同雙方信息不對稱�����,物流外包在給企業(yè)帶來利益的同時�����,也可能造成企業(yè)的損失�����。比如,凱瑪特在與沃爾瑪?shù)母偁幹袛∠玛噥?����,一個重要的原因是因為物流外包后失去了對物流的控制�����。
目前企業(yè)界和學術界對物流外包風險的存在都有著清晰的認識�����,但是在物流外包風險評估方面的研究還很有限�����。1993 年�����,Muller 率先探討了第三方物流的成因和特征[1]�����;2003 年�����, Chuanxu WangAmelia c.Regan 提出物流外包風險分為四種:財務風險�����、沖突風險�����、市場風險和管理風險[2]�����;寧云才等運用模糊評價方法對物流外包風險進行了評估[3]�����。論文參考�����,風險評估�����。在企業(yè)界,現(xiàn) 有的物流外包風險評估主要依靠企業(yè)管理人員的經驗和物流外包提供者的信譽保證�����,主觀因 素作用過大�����,缺乏客觀的評估模型�����。
本文簡要闡述了物流外包的作用�����,粗略分析了物流外包的風險種類�����,引入管理學中常用的人性假設�����,以減少由于主觀評測而帶來的誤差�����,進而提出了評估物流外包風險的結構化模型�����,提高評估的精確度�����。
2.物流外包的作用
作為被市場認可的生產組織模式�����,物流外包對于物流服務的需求者來說�����,具有重要的作用�����,具體體現(xiàn)在以下幾點:
2.1 著力發(fā)展核心業(yè)務�����,保持競爭優(yōu)勢
對于企業(yè)來說,資源的有限性往往是制約其發(fā)展的主要“瓶頸”�����。企業(yè)如果能將物流業(yè) 務外包給專業(yè)的第三方物流提供者�����,就能有足夠的資源進行優(yōu)化配置�����,將有限的人力�����、物力和財力集中于核心業(yè)務�����,減少用于物流業(yè)務方面的車輛�����、倉庫和人力的投入�����,從而幫助企業(yè)保持競爭優(yōu)勢�����,獲得長期的高額利潤�����。
2.2 減少投資�����,降低運營成本
由于現(xiàn)在物流領域還處于發(fā)展和探索階段�����,各種設施�����、設備及信息系統(tǒng)的投入非常大�����, 所以,企業(yè)通過物流外包可以減少在此類項目的上的巨額投資�����。此外�����,作為專門從事物流業(yè)務的企業(yè)�����,第三方物流提供者能夠利用規(guī)模優(yōu)勢�����,通過提高各環(huán)節(jié)資源的利用率�����,實現(xiàn)運營
成本的降低�����,使企業(yè)能從中獲益�����。據(jù)估計,通過專業(yè)物流進行市場配銷�����,比自行設立配銷的
網絡節(jié)省 20%~30%的成本�����。論文參考�����,風險評估�����。
2.3 樹立企業(yè)的品牌形象
第三方物流企業(yè)受物流外包需求者的委托�����,從客戶的角度出發(fā)管理物流業(yè)務�����,利用其擁有的物流信息網絡對客戶的供應鏈進行有效的監(jiān)控�����,為客戶提供安全可靠的信息服務�����;利用廣泛分布的物流配送網絡縮短了客戶的交貨期�����,為客戶提供便捷快速的運送服務�����;利用高水 準的專業(yè)知識和技術�����,為客戶提供合理優(yōu)化的物流方案設計�����。以上這些優(yōu)質服務能夠使企業(yè) 借助外包的物流業(yè)務提升自己的企業(yè)形象,在行業(yè)中脫穎而出�����。
2.4 提高企業(yè)組織結構的靈活性
通過將物流業(yè)務外包給第三方物流公司�����,企業(yè)可以對原有的管理內容進行分割剝離�����,縮 小管理范圍�����,精簡公司機構�����,以高度應變的扁平式組織結構代替高聳的金字塔狀組織結構�����, 從而提高企業(yè)應對市場環(huán)境變化的能力�����,減輕由于規(guī)模龐大而帶來的組織反應滯后�����、缺乏創(chuàng) 新性的問題�����。
3.物流外包的風險
物流外包作為一種新型的生產組織模式�����,帶來的好處顯而易見�����,但是由于合同雙方 的企業(yè)文化�����、管理模式不盡相同�����,并且存在信息不對稱的問題,物流外包中隱藏的風險也不容忽視�����。因此�����,物流外包企業(yè)需要有效地識別外包風險�����,加強對風險的管理控制�����,進而達到 盡可能地降低和規(guī)避風險�����。當前企業(yè)物流外包面臨的風險主要來自以下幾個方面[4]:
3.1 管理風險
當企業(yè)將物流外包給第三方物流企業(yè)后�����,物流服務提供商將介入企業(yè)的采購�����、生產�����、分銷�����、售后服務等各個環(huán)節(jié)�����,成為企業(yè)的物流管理者�����,使得企業(yè)自身對物流部分的控制力下降�����。 如果雙方在協(xié)調上出現(xiàn)問題�����,就可能會導致物流外包企業(yè)對第三方物流供應商失去控制,從 而使企業(yè)的生產經營活動特別是物流業(yè)務受到影響�����。
3.2 信息風險
企業(yè)要將物流外包出去�����,必須和合作方就從方案設計到貨物運輸?shù)母黜棴h(huán)節(jié)進行充分交流和溝通�����,這牽涉到信息共享的問題�����。如果外包企業(yè)和第三方物流供應商之間缺乏信息共享�����, 出現(xiàn)信息不對稱的問題�����,則會導致信息失真�����、反應滯后�����;如果合作企業(yè)之間形成信息共享�����,則涉及到企業(yè)機密的信息可能會被泄露�����,成為危害企業(yè)安全的風險�����。
3.3 財務風險
企業(yè)選擇物流外包的一個重要原因是希望降低運營成本�����,然而�����,如果長期將物流外包, 可能會使企業(yè)缺乏對市場行情的了解�����,無法精確測算物流成本�����。這時�����,即使第三方物流企業(yè) 借口成本增加而抬高物流服務的價格�����,抑或是直接虛報成本�����,物流外包企業(yè)也往往難以及時 察覺�����,造成成本超支�����。
3.4 市場風險
企業(yè)將物流外包后�����,減少了與顧客溝通和交流的機會�����,不能及時獲取客戶信息�����,把握市場需求變化�����,從而影響企業(yè)的產品改進或者創(chuàng)新工作�����。從長遠來看�����,這也會阻礙企業(yè)核心業(yè)
務與物流活動之間的聯(lián)系,可能造成客戶滿意度的降低�����,損失重要的客戶資源�����,對企業(yè)的長
久發(fā)展不利�����。 以上物流外包風險分類僅為大致分類�����,在實際應用中會加以細分和調整�����,本文在此不做
贅述�����,并且假定按照企業(yè)實際情況,風險已被有效劃分�����,作為下文論述的前提�����。
4. 物流外包風險評估模型介紹
本文提出的物流外包風險評估模型是建立在人性假設基礎上的����,引入了風險概率和風險 重要性的二維坐標系����,著重闡述主觀判斷在風險概率評估上的失真,通過剔除誤差部分����,提 高衡量物流外包中各項風險的精確度,從而為隨后的物流外包決策提供一定的支持����。論文參考,風險評估����。其基本 步驟如下:
4.1 風險重要性判斷
依據(jù)各類風險對項目的影響程度����,評估其重要性����,分為四個等級(見表 1),記為 ki����。
表 1 風險重要性等級評估
第3篇
關鍵詞:多屬性群決策;熵權法����;TOPSIS;信息安全����;風險評估
一、 引言
從20世紀90年代后期起����,我國信息化建設得到飛速發(fā)展,金融����、電力����、能源����、交通等各種網絡及信息系統(tǒng)成為了國家非常重要的基礎設施����。隨著信息化應用的逐漸深入,越來越多領域的業(yè)務實施依賴于網絡及相應信息系統(tǒng)的穩(wěn)定而可靠的運行����,因此,有效保障國家重要信息系統(tǒng)的安全����,加強信息安全風險管理成為國家政治穩(wěn)定、社會安定����、經濟有序運行的全局性問題。
信息安全風險評估方法主要分為定性評估方法����、定量評估方法和定性與定量相結合的評估方法三大類����。定性評估方法的優(yōu)點是使評估的結論更全面����、深刻;缺點是主觀性很強����,對評估者本身的要求高。典型的定性評估方法有:因素分析法����、邏輯分析法、歷史比較法����、德爾斐法等。定量的評估方法是運用相應的數(shù)量指標來對風險進行評估����。其優(yōu)點是用直觀數(shù)據(jù)來表述評估結果,非常清晰����,缺點是量化過程中容易將本來復雜的事物簡單化����。典型的定量分析方法有:聚類分析法����、時序模型、回歸模型等����。定性與定量相結合的評估方法就是將定性分析方法和定量分析方法這兩種方法有機結合起來����,做到彼此之間揚長避短,使評估結果更加客觀����、公正。
本文針對風險評估主觀性強����,要素眾多,各因素較難量化等特殊性����,將多屬性群決策方法引入到風險評估當中����。多屬性決策方法能夠較有效解決多屬性問題中權重未知的難題����,而群決策方法能較好地綜合專家、評估方����、被評估方以及其他相關人員的評估意見。該方法可解決風險評估中評估要素屬性的權重賦值問題����,同時群決策理論的引入可提高風險評估的準確性和客觀性。本文用熵權法來確定屬性權重����,用TOPSIS作為評價模型,對風險集進行排序選擇����,并運用實例來進行驗證分析。
二����、 相關理論研究
1. 信息安全風險分析原理����。信息安全風險評估是指依據(jù)信息安全相關的技術和管理標準����,對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性����、完整性和可用性進行評價的過程。它要對組織資產面臨的威脅進行評估以及確定威脅利用脆弱性導致安全事件的可能性����,并結合相應安全事件所涉及的資產價值來判定當安全事件發(fā)生時對組織會造成的影響����。文獻中提出了一種改進的風險分析流程及原理,該模型對風險分析基本流程的屬性進行了細分����,如圖1所示。
根據(jù)上述原理����,總結出信息安全風險評估的基本步驟����,可以描述如下: (1)首先調查組織的相關業(yè)務����,分析識別出組織需要保護的重要資產,以及資產本身存在的脆弱性����、面臨的威脅,形成風險集����。(2)組織各領域專家對風險集中各屬性進行評估并賦權值,得到每個風險的屬性值����。(3)通過一定的算法對所有屬性進行綜合分析,得到最后的結果����,進一步推算出組織面臨的風險值。
2. 多屬性群決策理論����。多屬性群決策����,是指決策主體是群體的多屬性決策����。多屬性決策是利用已有的決策信息,通過一定的方式對一組(這一組是有限個)備擇方案進行排序并選擇����,群決策是多個決策者根據(jù)自己的專業(yè)水平、知識面����、經驗和綜合能力等對方案的重要性程度進行評價。在多屬性群決策過程中����,需要事先確定各專家權重和屬性權重����,再通過不同集結算法計算各方案的綜合屬性值,從而對方案進行評價或擇優(yōu)����。
3. 熵權法原理����。香農在1948年將熵的概念應用到信息領域用來表示信源的不確定性����,根據(jù)熵的思想,人們在決策中獲取信息的數(shù)量和質量是提高決策精度和可靠性的重要因素����。而熵在應用于不同決策過程的評價時是一個很理想的方法。熵權法是確定多屬性決策問題中各屬性權系數(shù)的一種有效方法����。它是利用決策矩陣和各指標的輸出熵來確定各指標的權系數(shù)。
試考慮一個評估問題����,它有m個待評估方案,n個評估屬性����,(簡稱m,n評估問題)。先將評估對象的實際狀況可以得到初始的決策矩陣R′=(′ij)m×n����,′ij為第i個對象在第j個指標上的狀態(tài),對R′進行標準化處理����,得到標準狀態(tài)矩陣:R=(ij)m×n,用M={1����,2,…����,m}表示方案的下標集,用 N={1����,2,…����,n}表示屬性的下標集,以下同����。其中,當評估屬性取值越大越好����,即為效益型數(shù)據(jù)時:
ij=(1)
當評估屬性取值越小越好,即為成本型數(shù)據(jù)時:
ij=(2)
(1)評估屬性的熵:
Hj=-kij×lnij j∈N(3)
其中ij=ij/ij k=1/lnm����,并假定,當ij=0時����,ijlnij=0,Hj越大����,事件的不確定性越大,Hj越小����,事件的不確定性越小。
(2)評估屬性的熵權:在(m����,n)評估問題中����,第j個評估屬性的熵權j定義為:
j=(1-Hj)/(n-Hj)����,j∈N,顯然0j1且j=1
3. TOPSIS方法����。TOPSIS(Technique for Order Preference by Similarity to Ideal Solution)法是一種逼近理想解的排序方法,適用于多屬性決策中方案的排序和優(yōu)選問題����,它的基本原理描述如下:(1)界定理想解和負理想解,(2)以各方案與“理想解”和“負理想解”的歐氏距離作為排序標準����,尋找距“理想解”的歐氏距離最小,(3)距“負理想解”的歐氏距離最大的方案作為最優(yōu)方案����。理想解是一個方案集中虛擬的最佳方案,它的每個屬性值都是決策矩陣中該屬性的最好的值����;而負理想解則是虛擬的最差方案����,它的每個屬性值都是決策矩陣中該屬性的最差的值����。最優(yōu)方案是通過需要評估的方案與理想解和負理想解之間的歐氏距離構造的接近度指標來進行判斷的����。假設決策矩陣R=(ij)m×n已進行過標準化處理。具體步驟如下:
(1)構造加權標準狀態(tài)矩陣X=(xij)����,其中:xij=j×ij,i∈M����;j∈N,j為第j個屬性的權重����;xij為標準狀態(tài)矩陣的元素。
(2)確定理想解x+和負理想解x-����。設理想解x+的第j個屬性值為x+j����,負理想解x-的第j個屬性值位x-j����,則
x+j={xij|j∈J1)),xij|j∈J2)}
x-j={xij|j∈J1))����,xij|j∈J2)}
J1為效益型指標,J2為成本型指標����。
(3)計算各方案到理想解的Euclid距離di+與負理想解的距離di-
di+=;di-=����;i∈M
(4)計算各方案的接近度C+i,并按照其大小排列方案的優(yōu)劣次序����。其中
C+i=,i∈M
三����、 基于TOPSIS的多屬性群決策信息安全風險評估模型
1. 方法的采用����。本文將基于TOPSIS的多屬性群決策方法應用于信息安全風險評估中����,有以下幾點考慮:
(1)組織成本問題����。組織需要對分析出來的風險嚴重程度進行排序比較,從而利用有限的成本將風險控制到適當范圍內����。因此,組織可以將被評估方所面臨的風險集����,看作是決策問題中的方案集,決策目的就是要衡量各風險值的大小及其排序����,從中找出最需要控制的風險。
(2)風險評估中的復雜性問題����。風險評估的復雜性����,適合用多屬性群決策方法來解決����。如圖1所示,信息安全風險評估中涉及多個評估指標����,通過評估指標u1,u2����,…,u7的取值來計算風險值z����。風險值z的計算適用于多屬性決策的方法。而由于風險評估的復雜性和主觀依賴性決定了風險評估需要綜合多人的智慧����,因此風險評估的決策者在各方面優(yōu)勢互補,實現(xiàn)群決策的優(yōu)勢����。
2. 評估過程����。
(1)構造決策矩陣����,并將決策矩陣標準化為R=(ij)m×n,由于風險評估屬性都是成本型屬性����,所以用公式(2)標準化。
(2)專家dk權重的確定����。為確定專家權重����,由風險評估負責人構造專家判斷矩陣,假設共有r個專家����,Eij表示第i位專家對第j專家的相對重要性,利用Saaty(1980)給出了屬性間相對重要性等級表����,計算判斷矩陣的特征向量����,即可得到專家的主觀權重:=(1����,2,3����,…,r)����。
(3)指標權重的確定。指標權重由熵權法確定����,得到專家dk各指標權重(k)=(1(k),2(k)����,3(k),…����,n(k))����。
(4)利用屬性權重對決策矩陣R(k)進行加權����,得到屬性加權規(guī)范化決策矩陣X(k)=(xij(k))m×n,其中����,xij(k)=ij(k)·j(k),i∈M����;j∈N。
(5)利用加權算術平均(WAA)算子將不同決策者的加權規(guī)范矩陣X(k)集結合成����,得到綜合加權規(guī)范化矩陣X=(xij)m×n����,其中xij=xij(k)k。
(6)在綜合加權規(guī)范化矩陣X=(xij)m×n中尋找理想解x+=(x1+����,x2+����,…����,xn+) 和負理想解x-=(x1-,x2-����,…,xn-)����, 因為風險評估屬性類型為成本型,故x+j=xij����,x-j=xij,j∈N����。
(7)計算各風險集分別與正理想解的Euclid距離di+和di-。
(8)計算各風險集的接近度C+i����,按照C+i的降序排列風險集的大小順序����。
四����、 實例分析
1. 假設條件。為了計算上的方便����,本文作以下假設:
(1)假設共有兩個資產,資產A1����,A2。
(2)資產A1面臨2個主要威脅T1和T2����,資產A2面臨1個主要威脅T3。
(3)威脅T1可以利用資產A1存在的1個脆弱性V1����,分別形成風險X1(A1����,V1����,T1)����;威脅T2可以利用資產A1存在的1個脆弱性V2,形成風險X2(A1����,V2,T2)����;威脅T3可以利用資產A2存在的1個脆弱性V3,形成風險X3(A2����,V3,T3)����。以上假設條件參照文獻“7”。
(4)參與風險評估的人員來自不同領域的專家3名����,分別是行業(yè)專家d1����,評估人員d2和組織管理者d3����,系統(tǒng)所面臨的風險已知,分別是X1����,X2,X3����。
2. 信息安全風險評估。
(1)構造決策矩陣����。如表1,決策屬性為u1����,u2,…����,u7,決策者d1����,d2,d3依據(jù)這些指標對三個風險X1����,X2,X3進行評估給出的風險值(范圍從1~5)����。
(2)決策矩陣規(guī)范化,由于上述數(shù)值屬成本型����,用公式(2)進行標準化。
(3)專家權重的確定����,評估負責人給出3個專家的判斷矩陣。
計算出各專家權重=(0.717����,0.201����,0.082)����,最大特征值為3.054 2,C.I=0.027����,R.I=0.58,C.R=0.0470.1����,判斷矩陣滿足一致性檢驗。
(3)指標權重的確定
w1=(0.193����,0.090,0.152����,0.028,0.255����,0.090����,0.193)
w2=(0.024����,0.312����,0.024,0.223����,0.024,0.168����,0.223)
w3=(0.024,0.024����,0.312,0.168����,0.168����,0.223����,0.079)
(4)得到綜合加權規(guī)范矩陣X
X=0.072 0.017 0.084 0.023 0.146 0.101 0.1070.072 0.017 0.084 0.039 0.006 0.045 0.0710.072 0.080 0.063 0.013 0.047 0.047 0.026
(5)求出理想解x+=(0.002,0.017����,0.063,0.013����,0.006,0.045����,0.026) 負理想解x-=(0.072,0.080����,0.084,0.039����,0.146����,0.101����,0.107)。
(6)計算d+i����、d-i和C+i及對結果排序����,見表5。
從排序結果可以看出����,風險大小依次為X3X2X1,因此����,組織要按此順序根據(jù)企業(yè)的經濟實力加強風險控制。與參考文獻“8”中的風險計算方法比較����,提高了風險計算的準確性����。
五����、 結論
通過對信息安全風險評估特點分析,將多屬性群決策用于信息安全風險評估當中����,多屬性群決策中最重要的就是權重的確定,本文對專家權重采用兩兩成對比較矩陣來獲得����,對屬性權重采用熵權法來確定,最后采用TOPSIS方法進行結果的排序和選擇����。這種方法可以從一定程度上消除專家主觀因素的影響,提高信息安全風險評估的準確性����,為信息系統(tǒng)安全風險評估提供一種研究新思路。
參考文獻:
1.趙亮.信息系統(tǒng)安全評估理論及其群決策方法研究.上海交通大學博士論文����,2011.
2.中國國家標準化管理委員會.GB/T20984-2007信息安全技術信息安全風險評估規(guī)范����,2007.
3.陳曉軍.多屬性決策方法及其在供應商選擇上的應用研究.合肥工業(yè)大學碩士論文����,2008.
4.周輝仁,鄭丕諤����,秦萬峰等.基于熵權與離差最大化的多屬性群決策方法.軟科學,2008����,22(3).
5.管述學����,莊宇.熵權TOPSIS模型在商業(yè)銀行信用風險評估中的應用.情報雜志,2008����,(12).
6.郭凱紅,李文立.權重信息未知情況下的多屬性群決策方法及其拓展.中國管理科學����,2011����,19(5).
7.唐作其����,陳選文等.多屬性群決策理論信息安全風險評估方法研究.計算機工程與應用,2011����,47(15).
8. 中國國家標準化管理委員會.GB/T20984-2007信息安全技術信息安全風險評估規(guī)范.北京:中國標準出版社,2007.
基金項目:國家自然科學基金資助項目(項目號:60970143����,70872120);教育部科學技術研究基金資助重點項目(項目號:109016)����。
第4篇
關鍵詞:高校;體育教學;風險評估
1 前言
體育運動本身具有較強的競爭性和對抗性,學校體育教學活動所面對的體育教學風險����,是在體育教學活動中出現(xiàn)的動作行為上、意識上����、思想上的風險����。由于其產生的事故責任����、賠償可能性和法律糾紛等問題,其管理目標限定在減少體育活動傷害事故以促進學生的全面發(fā)展方面����。高校體育教學風險存在時間較久,近幾年問題凸顯����,其根源一方面在于應試教育的重智輕體,導致近幾年我國學生體質連續(xù)下降����,再加上學校體育管理模式的落后����,使大學生體育活動安全事故增多。由此����,在高校中體育教學活動進行風險評估是十分有必要的����。
2 體育教學風險評估理論的內涵
2.1體育教學風險評估理論的發(fā)展
許多學者的研究成果中對于風險評估理論的分析����,存在著不同的見解,而對于評估的操作環(huán)節(jié)也持有不同的觀點����。這樣使得風險評估沒有一個完整的理論作為支撐,造成了理論與實踐相脫節(jié)����,也就導致了研究推進緩慢的結果。
通過查閱有關風險評估的文獻����,我們可以看出類似于這樣研究的文章很多。但是����,深入研究后發(fā)現(xiàn),目前的研究只停留在表層的研究中����,而高校體育教學中存在的風險����,如何去正確評估的研究還很不完善����。可以說高校體育教學中風險存在由來已久����,認真地分析和定位才能夠準確找出風險發(fā)生的緣由,進而加以預防����,因此,此類研究還須進一步加強����。
2.2高校體育教學過程中的風險
現(xiàn)在的高校體育教學工作僅僅局限于以風險危害安全為主要的任務,缺少追求學生全面發(fā)展的積極性和主動性����。所以����,我們要轉變體育教學的思想觀念����,要對體育教學理論進行深入的研究����,特別是要針對高校體育教學風險存在進行深刻認識,把運動傷害事故轉化為風險的收益����。通過這種認識將使高校體育教學質量得到很好的提高,還能為人類的身體健康����、愉快的工作、提高身體素質����、改進體育教學方法手段以及為體育教學的順利進行提供理論保障。
2.3體育教學風險的評估
風險評估����,即安全評估,通過綜合考慮風險產生的概率和風險發(fā)生后的損失程度及其他相關因素來估算出風險發(fā)生的可能性和風險程度?���;诎l(fā)生的損失數(shù)據(jù),運用概率論和數(shù)理統(tǒng)計的方法����,對某一(或幾個)特定風險事故發(fā)生的概率(或頻數(shù))和風險事故發(fā)生后可能造成損失的嚴重程度做定量分析。
3 高校體育教學過程中風險評估的實施策略
3.1高校體育教學風險評估的體系
高校體育教學風險評估是由上述主要因素形成的一套完整的風險評估體系����。全國高校體育教學風險評估是為了評估出主要存在因素,根據(jù)評估出來的要素來研究如何評估����,評估實施過程要合理,要有針對性����。
3.1.1評估的目標
風險評估有了目標,才能選擇評估什么內容����,才能確定風險評估人選,決策評估的合理時間����,并運用最好的評估方法和手段。高校體育教學風險評估目標是:提高高校體育教學風險評估水平����,加強高校體育教學風險評估效益,使高校體育教學風險評估呈現(xiàn)良好的運行模式����。
3.1.2風險評估的對象
風險評估的活動者即為風險評估的客體。要對風險評估的個體活動進行評估����,也要看活動過程是否按照相關的要求進行,對課題評估的結果是否準確無誤����。一方面要考慮高校體育教學風險評估有法可依,另一方面要考慮評估的結果對教師����、學生、學校等方面存在風險的程度大小����,風險存在的影響是利是弊����。
3.1.3評估權重的設置
評估權重設置要根據(jù)高校體育教學評估的側重點不同����,評估主體首先設置學校在風險評估中風險指標體系風險量的大小。評估主體預先設定的各單個指標分值占指標體系分值的比重����。因為高校體育教學風險評估的主體構成的不同,高校體育教學風險評估的預先設置的目標大不一樣����,所以評估指標的方向也會有所變化。高校體育教學風險評估的主體不同����,評估指標的設置也不能完全固定,由實際操作者對主體的不同進行預先的設置����。
3.2高校體育教學風險評估模型
風險評估模型是對風險評估的重要環(huán)節(jié),它的建構基礎是在一定的評估層次和風險評估指標體系的前提下����,結合相應的分析理論和統(tǒng)計學學科知識����,逐步搭建的評估體育教學風險的模型����。
3.2.1設定風險評估指標權重
本文選擇層次分析法來確定高校體育教學風險評估指標的權重����。本模型采用1至9標度法,請有關專家填寫判斷矩陣����。假設建立的判斷矩陣為B=(CKL)P×P,其中CKL表示對于上一層元素而言 BC對 BK的相對重要性指數(shù)����。建立了判斷矩陣以后,就要對判斷矩陣分別單排序并進行一致性檢驗����。
第一,明確單個排列的權重����。評估體系里的多個指標權重����,可以運用和積法進行換算����。
第二,得出結果要對其是否一致進行檢驗����。
第三,計算層次總排序����。
3.2.2模糊綜合評估過程的實施
在一定條件下,對于模糊綜合評估過程����,通常運用一些有關的高等數(shù)學理論和一些科學的分析方法進行研究分析。最后����,根據(jù)得到的評估結果分析整個評估過程,具體操作如下:確立評估指標和要素����,規(guī)范評估行為;明確有關于風險評估的定語;預設風險要素體系權重向量;確定風險要素的隸屬度矩陣R;多層次模糊綜合評判����。
3.3高校體育教學風險評估的運行
3.3.1評估方法的確立
帕累托分析法是根據(jù)評估分析內容制定方針應使用帕累托分析法����,針對不同形式、不同類別開展排列分組����,根據(jù)內容標注出主要因素和次要因素����,再根據(jù)主要因素和次要因素制定行動路線。
收集數(shù)據(jù)����。按分析對象和分析內容,根據(jù)分析對象和分析的內容開展材料整理����,最終以要點的要求進行整理。
數(shù)據(jù)處理����。根據(jù)要點的要求����、性質分別對資料分析處理����,分析面廣且包含內容多,如:累計數(shù)值到什么程度����、數(shù)值所占比例。
根據(jù)數(shù)據(jù)處理的結果制表分析����。
3.3.2評估過程
體育教學風險評估的過程包括:確定目標、收集信息����、分析信息、得出結論����。
確定目標:體育教學風險評估先制定最終預想結果,根據(jù)預想結果制定策略����、方針����、整體思路����,合理有效地利用資源,選擇合理路線����。
資料整理:預想效果制定后,根據(jù)要求分析數(shù)據(jù)����、取其精華����,利用合理方法有針對性地進行整理。采用方法可用多元化的實地考察����。
預期效果:數(shù)據(jù)進一步研究后,制定預期效果����,并獲取相關數(shù)據(jù)����,并將相關結果對外告知他人����。
3.3高校風險評估的要求
評估要求的立足點根據(jù)多元化的形式探討風險評估,因需求不同采取方式就不同����。多元化的因素取決于那個主體對象是制作者還是使用者;想要關注實施過程還是所要效果或是對其的力度面,都要仔細思考����。
第一,應具有高風亮節(jié)的精神����、嚴謹求實的作風����,優(yōu)良的團隊����,這幾項是風險評估的重點要求;
第二,理論聯(lián)系實際����,從實踐中更好地理解理論知識,提高自身素質����,多與他人溝通交流,不斷提升自己����,使自己綜合素質得到提升。
第三����,選取的課本應適用現(xiàn)代教學目標,可選用多種類型的課本適合體育教學大綱等����,使學生更好地獲得知識����,提升綜合素質以適應社會發(fā)展。
最后����,驗證真理的唯一標準就是通過實踐����,首先要素是教育實施過程管理����,風險評估效果最終是以管理效果來反映。因此����,指標的設立要充分反應風險管理的力度。
4 結束語
通過對高校體育教學過程中風險評估理論的仔細梳理����,把高校體育教學風險評估的基本理念、原理和方法進行科學的整合����,形成高校體育教學風險評估新的模式。在新的模式下����,根據(jù)高校體育教學風險評估的要素體系,以及形成的評估執(zhí)行的準則����,對體育教學中風險進行評估歸類����,最后得出相應的風險評價指標體系����。建立評估體育教學的風險模型,對體育教學風險進行系統(tǒng)分析����,依據(jù)得出的結果,說明高校體育教學風險評估的有效性����。
參考文獻:
[1]王苗,石巖.小學生體育活動的安全問題與風險防范理論研究[J].體育與科學����,2006,(06).
[2]張左鳴.高校運動傷害的風險管理研究[J].西安建筑科技大學學報(社會科學版)����,2008����,(03).
第5篇
關鍵詞:地理信息系統(tǒng)����;風險評估
2006年1月國家網絡與信息安全協(xié)調小組發(fā)表了“關于開展信息安全風險評估工作的意見”����,意見中指出:隨著國民經濟和社會信息化進程的加快,網絡與信息系統(tǒng)的基礎性����、全局性作用日益增強,國民經濟和社會發(fā)展對網絡和信息系統(tǒng)的依賴性也越來越大����。
1什么是GIS
地理信息系統(tǒng)(GeographicInformationSystem,簡稱GIS)是在計算機軟硬件支持下,管理和研究空間數(shù)據(jù)的技術系統(tǒng)����,它可以對空間數(shù)據(jù)按地理坐標或空間位置進行各種處理、對數(shù)據(jù)的有效管理����、研究各種空間實體及相互關系,并能以地圖����、圖形或數(shù)據(jù)的形式表示處理的結果����。
2風險評估簡介
風險評估是在綜合考慮成本效益的前提下����,針對確立的風險管理對象所面臨的風險進行識別、分析和評價����,即根據(jù)資產的實際環(huán)境對資產的脆弱性、威脅進行識別����,對脆弱性被威脅利用的可能性和所產生的影響進行評估,從而確認該資產的安全風險及其大小����,并通過安全措施控制風險,使殘余風險降低到可以控制的程度����。
3地理信息系統(tǒng)面臨的威脅
評估開始之前首先要確立評估范圍和對象,地理信息系統(tǒng)需要保護的資產包括物理資產和信息資產兩部分����。
3.1物理資產
包括系統(tǒng)中的各種硬件����、軟件和物理設施����。硬件資產包括計算機����、交換機、集線器����、網關設備等網絡設備。軟件資產包括計算機操作系統(tǒng)����、網絡操作系統(tǒng)、通用應用軟件����、網絡管理軟件、數(shù)據(jù)庫管理軟件和業(yè)務應用軟件等����。物理設施包括場地����、機房����、電力供給以及防水、防火����、地震、雷擊等的災難應急等設施����。
3.2信息資產
包括系統(tǒng)數(shù)據(jù)信息、系統(tǒng)維護管理信息����。系統(tǒng)數(shù)據(jù)信息主要包括地圖數(shù)據(jù)。系統(tǒng)維護管理信息包括系統(tǒng)運行����、審計日志、系統(tǒng)監(jiān)督日志、入侵檢測記錄����、系統(tǒng)口令、系統(tǒng)權限設置����、數(shù)據(jù)存儲分配����、IP地址分配信息等。
從應用的角度����,地理信息系統(tǒng)由硬件、軟件����、數(shù)據(jù)、人員和方法五部分組成:硬件和軟件為地理信息系統(tǒng)建設提供環(huán)境����;數(shù)據(jù)是GIS的重要內容;方法為GIS建設提供解決方案����;人員是系統(tǒng)建設中的關鍵和能動性因素����,直接影響和協(xié)調其它幾個組成部分����。
險評估工作流程
地理信息系統(tǒng)安全風險評估工作一般應遵循如下工作流程。
4.1確定資產列表及信息資產價值
這一步需要對能夠收集����、建立、整理出來的����、涉及到所有環(huán)節(jié)的信息資產進行統(tǒng)計。將它們按類型����、作用、所屬進行分類����,并估算其價值,計算各類信息資產的數(shù)量����、總量及增長速度����,明確它們需要存在的期限或有效期����。同時,還應考慮到今后的發(fā)展規(guī)劃����,預算今后的信息資產增長����。這里所說的信息資產包括:物理資產(計算機硬件、通訊設備及建筑物等)信息/數(shù)據(jù)資產(文檔����、數(shù)據(jù)庫等)、軟件資產����、制造產品和提供服務能力、人力資源以及無形資產(良好形象等)����,這些都是確定的對象����。4.2識別威脅
地理信息系統(tǒng)安全威脅是指可以導致安全事件發(fā)生和信息資產損失的活動����。在實際評估時,威脅來源應主要考慮這幾個方面����,并分析這些威脅直接的損失和潛在的影響、數(shù)據(jù)破壞����、喪失數(shù)據(jù)的完整性、資源不可用等:
(1)系統(tǒng)本身的安全威脅����。
非法設備接入、終端病毒感染����、軟件跨平臺出錯、操作系統(tǒng)缺陷����、有缺陷的地理信息系統(tǒng)體系結構的設計和維護出錯����。
(2)人員的安全威脅����。
由于內部人員原因導致的信息系統(tǒng)資源不可用、內部人員篡改數(shù)據(jù)����、越權使用或偽裝成授權用戶的操作、未授權外部人員訪問系統(tǒng)資源����、內部用戶越權執(zhí)行未獲準訪問權限的操作。
(3)外部環(huán)境的安全威脅����。
包括電力系統(tǒng)故障可能導致系統(tǒng)的暫?���;蚍罩袛唷?/p>
(4)自然界的安全威脅����。
包括洪水����、颶風����、地震等自然災害可能引起系統(tǒng)的暫停或服務中斷����。
4.3識別脆弱性
地理信息系統(tǒng)存在的脆弱性(安全漏洞)是地理信息系統(tǒng)自身的一種缺陷,本身并不對地理信息系統(tǒng)構成危害����,在一定的條件得以滿足時,就可能被利用并對地理信息系統(tǒng)造成危害����。
4.4分析現(xiàn)有的安全措施
對于已采取控制措施的有效性,需要進行確認����,繼續(xù)保持有效的控制措施,以避免不必要的工作和費用����,對于那些確認為不適當?shù)目刂?���,應取消或采用更合適的控制替代����。
4.5確定風險
風險是資產所受到的威脅、存在的脆弱點及威脅利用脆弱點所造成的潛在影響三方面共同作用的結果����。風險是威脅發(fā)生的可能性、脆弱點被威脅利用的可能性和威脅的潛在影響的函數(shù)����,記為:
Rc=(Pt,Pv,I)
式中:Rc為資產受到威脅的風險系數(shù);Pt為威脅發(fā)生的可能性����;Pv為脆弱點被威脅利用的可能性;I為威脅的潛在影響(可用資產的相對價值V代替)����。為了便于計算����,通常將三者相乘或相加����,得到風險系數(shù)����。
4.6評估結果的處置措施
在確定了地理信息系統(tǒng)安全風險后,就應設計一定的策略來處置評估得到的信息系統(tǒng)安全風險����。根據(jù)風險計算得出風險值,確定風險等級����,對不可接受的風險選擇適當?shù)奶幚矸绞郊翱刂拼胧⑿纬娠L險處理計劃����。風險處理的方式包括:回避風險、降低風險(降低發(fā)生的可能性或減小后果)����、轉移風險和接受風險。
究竟采取何種風險處置措施����,需要對地理信息系統(tǒng)進行安全需求分析����,但采取了上述風險處置措施����,仍然不是十全十美,絕對不存在風險的信息系統(tǒng)����,人們追求的所謂安全的地理信息系統(tǒng),實際是指地理信息系統(tǒng)在風險評估并做出風險控制后����,仍然存在的殘余風險可被接受的地理信息系統(tǒng)。所謂安全的地理信息系統(tǒng)是相對的����。
4.7殘余風險的評價
對于不可接受范圍內的風險,應在選擇了適當?shù)目刂拼胧┖?���,對殘余風險進行評價,判定風險是否已經降低到可接受的水平����,為風險管理提供輸入。殘余風險的評價可以依據(jù)組織風險評估的準則進行����,考慮選擇的控制措施和已有的控制措施對于威脅發(fā)生可能性的降低。某些風險可能在選擇了適當?shù)目刂拼胧┖笕蕴幱诓豢山邮艿娘L險范圍內����,應通過管理層依據(jù)風險接受的原則,考慮是否接受此類風險或增加控制措施����。
第6篇
關鍵詞:狀態(tài)評價;風險評估����;運維策略
中圖分類號:TN949.6 文獻標識碼:A 文章編號:1674-7712 (2013) 12-0000-01
電網設備狀態(tài)評價和風險評估是一個涵蓋電網設備可靠性評估技術、電網設備在線監(jiān)測技術����、電網設備實時狀態(tài)評價技術、電網實時運行風險評估與技術經濟性評估技術等的綜合決策過程����。對電網設備實施科學合理的狀態(tài)評價和風險評估����,能夠提高設備的綜合分析和精細化管理水平����,為合理安排設備運行及檢修等生產工作、制定電網風險控制策略和調度計劃提供強有力的決策支撐����,從而保障系統(tǒng)安全性和供電可靠性,為電網創(chuàng)造更多的經濟效益和社會效益����。
本文擬在分析主流狀態(tài)評價與風險評估模型和方法的基礎上,以配網油浸式變壓器為對象����,探索合理科學的運維檢修策略,達到規(guī)避風險發(fā)生����、減少風險危害和降低經濟損失的目的。
一����、狀態(tài)評價與風險評估體系
使用經驗及試驗結果表明����,電力設備在整個服役期限����,故障發(fā)生的次數(shù)和使用時間之間有著宏觀統(tǒng)計規(guī)律����,雖然對每一臺設備來說,出現(xiàn)故障的次數(shù)和使用壽命各不相同����,但其發(fā)展規(guī)律都是一致的,設備的故障率隨時間的變化可劃分為三個階段:早期故障期����、偶然故障區(qū)和耗損故障期,其表現(xiàn)如圖1所示����。
通過圖1可以看出設備故障的發(fā)生、發(fā)展有其自身的規(guī)律����,其整體性能在大多數(shù)情況下是連續(xù)變化的����,因此通過對設備的某些典型參數(shù)的分析或者完全可以確定設備所處的健康狀態(tài)����,并預報其未來的發(fā)展趨勢。根據(jù)狀態(tài)監(jiān)測體系的建立情況選取可以獲取以及未來可能應用的狀態(tài)量為設備狀態(tài)評價所需的狀態(tài)參量����,并建立相應的狀態(tài)量指標體系,應用狀態(tài)評價模型計算得出設備健康度����,是狀態(tài)評價的一般思路和方法。以配網油浸式變壓器為例����,可按如下步驟完成設備的狀態(tài)評價與風險評估。
(一)建立如圖2所示的狀態(tài)量參數(shù)體系:根據(jù)所建立的各類設備狀態(tài)參量指標體系����,可將設備運行狀態(tài)劃分為3個層次。第一層為目標層����,即設備的整體健康狀況����;第二層為中間層����,即各部件性能狀況;第三層即底層����,為各狀態(tài)參量的取值����。
(二)建立各層狀態(tài)參量評價標準,依據(jù)狀態(tài)參量評價標準對底層狀態(tài)參量進行模糊賦值����。建立模糊評判矩陣如表1所示。
(三)基于層次分析理念建立模糊綜合狀態(tài)評價模型����,計算中間層及目標層狀態(tài)評價結果取值。
(四)計算得出的目標層狀態(tài)評價結果為設備整體的健康度取值����,可以通過如下公式進一步得到設備的故障概率����。式中:ISE為設備的狀態(tài)評價分值����;K為比例系數(shù);C為曲率系數(shù)����;為故障發(fā)生概率。
(五)依據(jù)現(xiàn)有設備狀態(tài)評價與風險評估技術導則規(guī)定的設備風險評估的模型和計算方法����,結合設備故障概率計算結果,計算得出設備風險值����。風險評估以風險值為指標,綜合考慮可能損失的資產及設備發(fā)生故障的概率二者的作用����,風險值按公式 計算。式中:R為設備風險值����;LE為可能損失的資產����;P為設備平均故障率����;t為某個時刻。風險評估的具體流程圖4所示
(六)按風險值大小劃分風險級別����,可依據(jù)設備風險評估結果應用領域的不同劃分級別個數(shù):Ⅰ級、Ⅱ級����、Ⅲ級����、Ⅳ級、Ⅴ級����、Ⅵ級,同類設備Ⅰ級為最高風險級別����,Ⅵ級為最低風險級別����。
二����、狀態(tài)評價與風險評估結果在配網設備運維中的應用
對設備的風險評估結果進行分析,配網設備的風險等級分別為高風險����、中風險、低風險����,在此基礎上,根據(jù)風險評估結果����,結合配電網的實際情況,在確保電網可靠性水平的基礎上����,制定相應的運行檢修策略如表2所示:
對于正常運行和加強監(jiān)視策略,采取狀態(tài)檢測以及狀態(tài)巡視方案����;對于立即檢修和適時檢修策略����,則需要研究最優(yōu)檢修方案
三����、結束語
本文從配電網設備狀態(tài)評價與風險評估的流程出發(fā),簡要闡述了配網狀態(tài)參量體系構建����、模糊狀態(tài)評價及風險評估的一般方法,進一步探索了狀態(tài)評價與風險評估理念在配網設備運維中的應用����,對電力生產運行部門制定運維檢修計劃有一定的指導意義。
參考文獻:
第7篇
[關鍵詞] 吉林?���?���;中小企業(yè);內部控制����;問題����;對策
[中圖分類號] F276.3 [文獻標識碼] A
Abstract: Internal control consists of five factors in terms of the control environment����, risk assessment, control activities����, information and communication, and monitoring. Internal control of SMEs in Jilin has the problems in terms of wake awareness����, lower level of risk assessment, unscientific activities����, and lack of follow-up monitoring. The government should take the measures to optimize the environment, strengthen risk prevention control����, pay attention to the implementation of activities, maintain the smooth information systems and communication channels, and enhance the supervision����, so as to promote the healthy development of SMEs in Jilin.
Key words: Jilin, SMEs����, internal control, problems����, countermeasures
一、引言
中小企業(yè)作為我國市場上的一支重要力量����,在推動經濟發(fā)展、豐富經營結構����、活躍市場、吸收剩余勞動力和緩解就業(yè)壓力等方面發(fā)揮著不可忽視的作用����。在吉林省內����,中小企業(yè)在其國民經濟中占有重要地位����,企業(yè)數(shù)量占99.5%����,經濟總量占47%以上,上交稅金占全口徑財政收入的比重接近1/3����,就業(yè)人數(shù)占全省職工和城鎮(zhèn)個體勞動者總數(shù)的70%以上,中小企業(yè)是全省經濟社會發(fā)展的重要支撐����,推動中小企業(yè)加快發(fā)展是實現(xiàn)富民強省的重大舉措。在吉林省有關的政策扶持下����,中小企業(yè)近幾年的發(fā)展也取得了飛躍發(fā)展,并且發(fā)展態(tài)勢良好����,但是還存在不少的問題,這些問題成為制約吉林省中小企業(yè)發(fā)展的重要因素����,其中一個非常重要的因素就是中小企業(yè)內部控制制度與機制的缺失����。解決其內部控制的問題迫在眉睫����,只有從理論和實踐兩個角度探索系統(tǒng)的解決對策,才能從根本上解決吉林省中小企業(yè)的難題����,從而推動吉林省中小企業(yè)健康發(fā)展,推動吉林省的經濟振興����。
二、內部控制的理論
所謂的內部控制����,它是一個企業(yè)為了實現(xiàn)自己的經營目標,保護其資產安全完整����,保證會計信息和資料的準確可靠,并能夠保證企業(yè)經營方針得到有效的貫徹和執(zhí)行����,同時保障企業(yè)經營活動的經濟性、效率性以及效果性����,而在企業(yè)內部自我調整、約束����、計劃、控制和評價方法手段的一個通用的措施����。COSO的內部控制報告中規(guī)定的內部控制五要素的框架結構是目前被較多人認可的經典框架,即由控制環(huán)境����、風險評估、控制活動����、信息與溝通、監(jiān)督五個要素構成的����。內部控制的要素基本覆蓋了企業(yè)所有的業(yè)務環(huán)節(jié)和事項����,特別是控制活動貫穿企業(yè)經營的各個環(huán)節(jié)����。因此,若想了解和解決企業(yè)的內部控制問題����,可以從這五個要素著手。
三����、吉林省中小企業(yè)內部控制問題
(一)控制環(huán)境存在的問題
控制環(huán)境是一個企業(yè)內部控制制度能否有效執(zhí)行的基礎。目前吉林省中小企業(yè)控制環(huán)境存在的問題包括:經營者重經營輕控制����,經營者主要把精力放在如何留住老客戶,擴大企業(yè)業(yè)務方面上����,無暇顧及內部的管理事項,對內部控制缺少關注����;內部控制意識薄弱����,從管理者到員工都沒有形成系統(tǒng)的內部控制知識體系����;組織結構設置不科學����,職責不明,大多依靠血緣����,親情維系管理;人力資源管理不規(guī)范����,沒有運用科學的方法評估員工的能力,對于員工勝任能力沒有足夠的重視����;不重視誠信和道德價值觀念的溝通和落實,缺乏良好的控制環(huán)境����。
(二)風險評估存在的問題
每個企業(yè)都面臨來自內部和外部的不同風險����,這些風險都必須加以評估����。吉林省中小企業(yè)目前的風險評估意識已經逐步形成,并且采取一定的措施進行風險評估����,但是整個風險評估的意識和水平還屬于比較低下的水平;由于中小企業(yè)間的信用觀念薄弱����,信用缺失嚴重,進行風險評估困難重重����,建立健全的風險評估體系難度較大,相應的風險控制機制也沒有進行配套����;沒有建立整體的目標,缺乏具體業(yè)務流程層面的計劃����,當監(jiān)管和經營環(huán)境突然發(fā)生變化時����,缺乏應急措施����;對于進入新的業(yè)務領域和發(fā)生新的交易可能帶來的新的內部控制相關的風險,缺乏評估的規(guī)范機制����。整體而言����,吉林省中小企業(yè)大部分的風險評估工作還處于淺層階段,缺乏科學的����、深層次的探究。
(三)控制活動存在的問題
控制活動是企業(yè)管理階層辯識風險����,繼之應針對這種風險發(fā)出必要的指令,是企業(yè)內部控制最實在的一個環(huán)節(jié)����。吉林省中小企業(yè)也重視企業(yè)的控制活動����,但是由于缺乏系統(tǒng)的內部控制知識體系����,再加上中小企業(yè)裙帶關系嚴重,采用以家庭利益為指導的管理方式����,很多崗位都是家庭成員擔任,造成控制活動缺乏科學性����,存在漏洞。無論是授權����、業(yè)績評估、信息處理還是實物控制上都存在不少的紕漏����。具體包括:采購缺乏質量標準,采購的材料質量參差不齊����;生產環(huán)節(jié)更多的是注重生產的速度����,對產品的質量驗收缺乏控制����;缺乏付款和收款管理制度,沒有制定完善的付款計劃和收款管理����,付款環(huán)節(jié)嚴重的賴賬現(xiàn)象影響企業(yè)的信譽,收款缺乏管理����,對客戶的信譽沒有系統(tǒng)的評估����,缺少壞賬管理的意識。財會系統(tǒng)混亂����,沒有嚴格按照會計制度的要求進行處理。整體來看����,吉林省中小企業(yè)的控制活動還不具備科學性����。
(四)信息系統(tǒng)與溝通存在的問題
中小企業(yè)的一個主要特征就是規(guī)模小����,所以在內部的溝通上主要向上級和幾乎所有的員工進行直接的信息傳遞,吉林省中小企業(yè)在內部溝通上同樣是這樣����,不存在太大的問題;集中的主要問題是財務會計不夠專業(yè)����,不少企業(yè)聘請兼職對企業(yè)的會計業(yè)務進行處理,質量參差不齊����;管理層更多注重經營業(yè)績的財務數(shù)據(jù),而忽視資產負債的情況����;缺少與外部的溝通,對于客戶的反饋多是零散的����,沒有系統(tǒng)的整理和記錄����,主動聯(lián)系客戶進行溝通的情況更是少見����;供應商和企業(yè)的關系不穩(wěn)定,多數(shù)企業(yè)對每次采購選擇的供應商有采購價格決定����。
(五)監(jiān)控存在的問題
管理的重要職責之一就是建立和維護控制并保證其持續(xù)有效運行,對于控制的監(jiān)督可以實現(xiàn)這一目標����。在吉林省中小企業(yè)中,監(jiān)控這部分的問題尤為突出����。吉林省中小企業(yè)由于管理者缺乏系統(tǒng)的內部控制理論知識����,控制活動缺乏科學性,因此后續(xù)的評估控制監(jiān)督活動也是雜亂無章的����,沒有獨立于業(yè)務環(huán)節(jié)的類似內審委員會等監(jiān)督審核部門����,其經營過程也沒有專人進行監(jiān)督����,往往都是經營者的突擊檢查,甚至存在知錯難改����,知錯不改的現(xiàn)象。由于中小企業(yè)的主要精力集中在經營上����,對于控制活動都缺乏投入,監(jiān)控環(huán)節(jié)所引起的關注就更加少����。
四、吉林省中小企業(yè)內部控制問題的解決對策
(一)優(yōu)化內部控制環(huán)境
第一����,加強管理層的內部控制意識,完善管理層的內部控制知識體系����。要使吉林省中小企業(yè)的內部控制水平提高一個層次����,最重要的就是要讓管理者意識到內部控制的重要性����,并且學習內部控制的相關理論知識,形成知識體系����,具體措施可以是閱讀相關的書籍,邀請專門機構的研究人員過來交流����,政府或者相關行業(yè)組織通過舉辦內部控制知識講座,學習指導等形式讓管理者深刻了解內部控制體系的優(yōu)點和作用����。第二,書面和口頭的形式結合����,落實企業(yè)文化的營造����。誠信和道德價值觀念的溝通和落實����,用人唯才等企業(yè)文化有助于提高企業(yè)競爭力����,也是更好地完善整個企業(yè)內部控制體系所需要。這就需要管理者身體力行����,起表率作用,同時以口頭和書面的形式向員工進行傳達����,對違反有關行為規(guī)范的情況進行懲罰。
(二)加強風險防范控制
第一����,提高風險意識。這需要從管理者的管理素質抓起����,提高中小企業(yè)管理者的素質,加強風險知識的學習和培訓很重要����。第二����,風險識別和分析能力的提高����。要防范風險,首先要有風險意識����,然后要有識別和分析的能力,我們在進行風險事件的識別時����,可以從目標入手,把總的戰(zhàn)略目標細分為小的目標����,如經營目標、期末報告目標����、資產管理目標等,再分別根據(jù)這些具體的二級目標確認相應的風險事件。而對于風險的分析����,需要先調查和收集風險事件的資料����,然后定性和定量進行分析,最后進行表述����。第三,制定策略應對風險����,需要結合控制活動進行風險的應對。中小企業(yè)自身資金并不雄厚����,但是它們具備靈活性的特點,所以盡早識別和評估風險����,盡早進行轉變應對風險就至關重要。
(三)重視控制活動的落實
第一����,需要對管理者進行內部控制理論知識的培訓和學習����;第二����,要使控制活動科學合理并且有效率,必須結合中小企業(yè)的特點����,在授權,業(yè)績評估����,信息處理,職權分離和實物控制等方面都要做好����。具體的解決對策是:首先是要對主要的經營活動建立必要的控制政策和程序,采購和付款環(huán)節(jié)的控制����、銷售和首款環(huán)節(jié)的控制、生產環(huán)節(jié)的控制����;其次����,管理層在預算和經營業(yè)績上需要有清晰的目標����,以識別差異����,并對差異進行調查;不同人員的職責在一定程度上相分離����,特別是要完善內部會計控制,提高會計人員的素質����、建立健全會計制度、建立不相容職務相分離制度����,實行會計預算控制;建立授權保護措施����,保護公司的資產和機密以及公司的安全經營����。
(四)保持信息系統(tǒng)和溝通渠道的暢通
由于吉林省中小企業(yè)規(guī)模比較小����,需要報告和傳遞信息的層次也比較少,要實現(xiàn)有效的溝通:首先����,要有信息觀和溝通的意識,對于財務信息����,經營狀況要及時的了解;其次����,要及時了解財務信息,聘請專業(yè)的財務人員����,運用專業(yè)的財務系統(tǒng),使財務信息能夠如實反映企業(yè)的狀況����,為識別風險����,制定經營方向做準備����;最后要使企業(yè)的溝通渠道暢通,透明����。要使企業(yè)的內部控制得以完善����,企業(yè)的經營狀況得以真實的反映,來自各個層次的信息很重要����,這對管理者的決策提供很大的幫助。
(五)加強對控制的監(jiān)督
首要就是要加強全體員工對內部監(jiān)督的理解以及管理層的監(jiān)督意識����,對于吉林省很多中小企業(yè)來說,培養(yǎng)或者聘請一個專業(yè)的監(jiān)督人員難度很大����,所以從原有的員工身上作出努力����,加強其對內部監(jiān)督的理解更加實際����,而管理層的監(jiān)督意識和能力提高則是最有效的方法。其次����,如果條件允許,對于很多中型企業(yè)來說����,增設內部審計機構很有必要,可以保證監(jiān)督活動使其不受外界因素的干擾����。還有很重要的一點就是要使企業(yè)的監(jiān)督活動落實到日常化的工作中����,監(jiān)督活動要透明化,提高權威性����。
[參 考 文 獻]
[1]劉玉廷����,朱海林����,王宏.中國內部控制改革與發(fā)展[J].北京:經濟科學出版社,2010-09:90-91
[2]劉明輝����,張宜霞.內部控制的經濟學思考[J].會計研究,2002(2):54-56
[3]李光輝����,劉文曲.中小企業(yè)如何加強內部控制[J].內控與審計����,2010(9):79-80
第8篇
關鍵詞:煤炭業(yè);公司內部����;風險控制;A煤業(yè)
隨著市場經濟的深入開展和不斷發(fā)展����,“風險”越來越成為企業(yè)和人們關注的焦點����。企業(yè)的更新技術改造以及產業(yè)化的不斷升級不斷推進著煤炭企業(yè)的資源整合工作����,這對于煤炭業(yè)而言,可以說既有很大的機遇也有挑戰(zhàn)����。但是,目前煤炭行業(yè)越來越向規(guī)?���;⑹袌龌?���、自主化靠攏,并且礦井采掘的難度加大以及深度加深����,煤炭企業(yè)將面臨越來越大的風險。尤其自2012年以來����,煤炭行業(yè)始終呈現(xiàn)出持續(xù)低迷的狀態(tài)����,作為國家支柱產業(yè)的煤炭企業(yè)����,它們面臨的風險以及企業(yè)自身的組織管理備受人們關注。人們越來越關注企業(yè)如何能使自身更加有效地進行管理與風險����。
一、A煤業(yè)概述
A集團作為一個老牌煤炭企業(yè)����,是一個國有獨資公司,成立于1995年10月����。其以煤為基礎,鐵路����、港口等與煤化工為一體����,是目前我國規(guī)模最大的煤炭企業(yè)����。主要經營國務院授權范圍內的煤炭開發(fā)����、國有資產等資源性產品,進行電力����、港口、煤化工等行業(yè)領域的投資����。
二、A煤業(yè)集團的風險預控管理體系的分析
(一)危險源辨識
危險源辨識的作用是為了明確管控對象����。A集團開發(fā)了一套信息化軟件,用來對現(xiàn)場查出的危險源及時錄入系統(tǒng)并反饋給被檢單位����。
缺陷:危險源的產生有76%的原因來自于人員本身,A對于危險源的辨識是來自檢查人的檢查及錄入系統(tǒng)。如果檢查人沒有正確意識到危險源或者沒有及時在系統(tǒng)中錄入危險源����,則會導致后面流程的不正確性
(二)風險評估
風險評估的目的是為了明確管控重點。一般在煤礦企業(yè)中可能出現(xiàn)的風險包括管理人員因為急需相關信息而導致的差錯����、沒有合理的估計相關人員對自身崗位的勝任能力等。評估風險的時候要合理量化風險評估����。
缺點:風險評估是由風險發(fā)生的幾率及風險導致的損失組成,在A的風險評估表中關于損失只提到了人員傷害程度及范圍����,這是關于安全風險的范疇,但沒有涉及到比如對于環(huán)境的破壞程度這種環(huán)境風險的損失����。
(三)制定風險控制標準和措施
目的是為了明確管控依據(jù)和落實管控責任。
缺點:對于管控責任的模糊����,在通過與煤礦企業(yè)高中層管理者以及各部門相關業(yè)務人員的訪談中,我們可以了解到:煤炭企業(yè)的管理層中尤其是其中的中層管理者對于企業(yè)風險管理方面還不夠深入����,尤其在戰(zhàn)略風險管理方面,極為缺乏����。煤礦企業(yè)人員對戰(zhàn)略風險管理體系的理解和風險管理理論所要求的“業(yè)務層是企業(yè)風險管理的第一道防線”相違背。
所以����,在上述錯誤的理解下,一些業(yè)務部門在可行性分析報告����、預測以及項目立項等方面,存在論證不足和理解不透徹����,忽視或者隱匿一些可能存在的風險,給企業(yè)以及整個管理層的決策埋下了隱患����。
(四)執(zhí)行標準和措施
由于煤礦企業(yè)資源不共享,導致資源的配置不合理����。當一個業(yè)務流程或一個戰(zhàn)略風險事項涉及多個部門或者需要跨部門處理時����,如何獲取和充分利用現(xiàn)有的資源也存在一些問題����。煤礦企業(yè)目前已有一些風險管理體系的子系統(tǒng)在發(fā)揮作用,在風險管理子w系分別運作����,各自發(fā)揮作用,職責之間存在重疊����、漏項,尚未全面����、有效、共同發(fā)揮作用����。
三、完善A風險預控管理系統(tǒng)
(一)煤礦企業(yè)風險管理系統(tǒng)的規(guī)劃
對煤礦企業(yè)風險管理現(xiàn)狀和存在的問題進行剖析����,制定煤礦企業(yè)在4-6年內建立健全全面的風險管理系統(tǒng)計劃����,在遵循平穩(wěn)過渡的原則下����,努力開展煤炭企業(yè)的風險管理工作����,從而最終實現(xiàn)企業(yè)的風險管理總目標。
煤礦企業(yè)在建設其風險管理系統(tǒng)時����,必須遵循平穩(wěn)過渡、科學性����、系統(tǒng)性、針對性以及可操作性的原則����,以保證其他各業(yè)務的正常運行并達到企業(yè)風險管理系統(tǒng)的總目標:
1.通過確保煤礦企業(yè)的總體經營活動能夠遵循內外部相關規(guī)定,從而達到合規(guī)性目標����。
2.創(chuàng)建煤礦企業(yè)風險管理的整體氛圍和意識����。
3.建立煤礦企業(yè)的戰(zhàn)略風險管理系統(tǒng)時����,在企業(yè)內培養(yǎng)一支知識水平高的、專業(yè)的風險管理團隊����。
(二)基于內控的煤礦企業(yè)風險管理系統(tǒng)的構建
由一個相對靜態(tài)的專業(yè)人員、組織架構����、風險管理文化以及組織制度系統(tǒng)等和一個相對動態(tài)的風險管理過程組成的煤礦企業(yè)的風險管理系統(tǒng)。主要由風險判斷����、標識風險、風險評定排序以及轉移風險等組成����。
(三)煤礦企業(yè)風險管理系統(tǒng)的成效
煤礦企業(yè)的風險管理系統(tǒng)應能在穩(wěn)定規(guī)范運作的基礎上,實現(xiàn)企業(yè)資產的安全管理以及降低企業(yè)的風險損失成本����,從而為形成煤礦企業(yè)自身的核心競爭力提供保障����,為煤礦企業(yè)的發(fā)展開辟道路����。
1.減少企業(yè)的成本提高預期收益
煤礦企業(yè)的風險管理系統(tǒng),可以為煤炭企業(yè)的中高層決策者提供依據(jù)����,能讓他們準確的認識到企業(yè)所面臨的風險以及機會����,從而做出正確的決策,防患于未然����,轉被動為主動,從事后改正到事前預測����,促進整個煤炭行業(yè)的不斷發(fā)展與進步。
2.不斷促使煤礦企業(yè)合規(guī)發(fā)展
針對煤礦企業(yè)面臨的不同風險����,可以提出不同的解決方案����。在煤礦企業(yè)面臨一般的風險時����,提出波及面小、針對性強����、見效快的解決方案,既能夠防止過多矯正����,又能“藥到病除”,最大限度的保證煤礦企業(yè)維持正常運轉����;在煤礦企業(yè)面臨相對嚴重的風險時,根據(jù)煤礦企業(yè)的自身特點����,找出符合企業(yè)風險能力的解決辦法進而最大可能的降低企業(yè)的負面影響,促進煤礦企業(yè)的可持續(xù)發(fā)展����。
3.明確基于內部控制的風險管理目標
明確煤礦企業(yè)的控制目標是完善基于內部控制的風險管理系統(tǒng)建設的基礎����,建立煤礦企業(yè)的內部控制制度是風險管理的核心����。
4.提高風險評估的程度
很多企業(yè)發(fā)生的風險有時候并不能得到有效控制,但是作為企業(yè)的管理者����,應盡自己所能預測出企業(yè)可以承受的風險水平,并識別出可以采取的相應的應對措施����,進而把企業(yè)的風險損失降到最低����。
5.成為煤礦企業(yè)發(fā)展的核心動力
風險管理系統(tǒng)的建立可以為煤礦企業(yè)的發(fā)展提供更加安全的、合規(guī)的以及收益機會更多的保障����,從而降低煤礦企業(yè)風險的成本和損失。
四����、結論
在風險管理制度逐步推行的現(xiàn)在����,企業(yè)穩(wěn)定持續(xù)發(fā)展的基礎其實是建立一個良好的內部控制體系����,所以企業(yè)應根據(jù)自身以及本行業(yè)的特點,結合企業(yè)內外部條件以及市場環(huán)境建立一個以風險為導向的內部控制系統(tǒng)����,進而完善企業(yè)的管理制度。A煤業(yè)股份有限公司尚未建立一套完整的風險評估系統(tǒng)����,公司員工的風險意識非常淡薄。一方面����,人力因素在其中起著舉足輕重的作用,企業(yè)的管理人員以及各部門人員缺乏基本的技能培訓以及風險意識����,所以企業(yè)在日常管理中,應加大對員工的專業(yè)能力的培訓����,提高人員風險意識����,員工自身也應當定時對自我進行評估����,及時發(fā)現(xiàn)自身業(yè)務中存在的風險。另一方面����,煤炭企業(yè)應首要關注安全風險,市場及政策得變化對企業(yè)的經營影響較大����。
參考文獻:
[1]財政部.2012.財政部首提從價計征煤炭資源稅漸行漸近[J].煤炭經濟研究,9:32.
[2]財政部等五部委.企業(yè)內部控制配套指引.中國總會計師����,2010.
[3]陳芳����,徐良虎.2009.建立我國企業(yè)內部控制的風險評估體系[J].會計之友.10:71-73.
[4]馮淑文.煤炭行業(yè)內部控制研究[M].遼寧:東北財經大學碩士論文,2011.
[5]官峰.2007.內部控制理論若干問題的研究[D].成都:西南財經大學����,04:38-45����,
[6]郭琳.COSO框架下的風險評估研究[D].甘肅:蘭州大學����,2007.
[7]韓洪靈,郭燕敏����,陳漢文.2009.內部控制監(jiān)督要素之應用性發(fā)展一基于風險導向的理論模型及其借鑒[J].會計研究,8:73-81.
[8]何威風����,朱莎莎.2008.內部控制與風險管理―來自國儲銅的案例分析[J].財務與會計,2:24-25.
[9]胡為民.內部控制與企業(yè)風險管理[M].電了工業(yè)出版社����,2008.
