公務(wù)員期刊網(wǎng) 精選范文 信息科技風(fēng)險管理策略范文

信息科技風(fēng)險管理策略精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的信息科技風(fēng)險管理策略主題范文,僅供參考,歡迎閱讀并收藏。

信息科技風(fēng)險管理策略

第1篇:信息科技風(fēng)險管理策略范文

【 關(guān)鍵詞 】 金融機構(gòu);信息科技風(fēng)險管理

1 引言

隨著信息科技水平的不斷提高,信息科技在給小微金融機構(gòu)中帶來作用的同時也不斷增加了信息科技風(fēng)險,給小微金融機構(gòu)的經(jīng)營發(fā)展帶來了挑戰(zhàn)。當(dāng)前,小微金融機構(gòu)對信息科技風(fēng)險管理的水平還比較低,如何有效控制與管理信息科技風(fēng)險,是當(dāng)前小微金融機構(gòu)在信息化建設(shè)過程中必須面對的重要課題。

2 小微金融機構(gòu)信息科技所面臨的風(fēng)險

小微金融機構(gòu)信息科技風(fēng)險指的小微金融機構(gòu)在運用信息科技的過程中,因技術(shù)漏洞、管理缺陷等人為的或自然的原因而造成的問題或危機。在當(dāng)前信息技術(shù)與銀行業(yè)務(wù)深度融合的情況下,信息科技風(fēng)險事件涉及的范圍廣、程度深,給銀行等其他金融機構(gòu)帶來較大的經(jīng)濟(jì)損失,尤其在小微金融機構(gòu)中,信息科技風(fēng)險帶來的損失更為嚴(yán)重。

3 小微金融機構(gòu)信息科技風(fēng)險管理中存在的問題

3.1 信息科技風(fēng)險管理的技術(shù)水平較低

從現(xiàn)狀來看,我國小微金融機構(gòu)信息科技風(fēng)險管理的技術(shù)水平較低主要體現(xiàn)在如下方面,首先,以銀行為代表的大部分小微金融機構(gòu)缺乏專業(yè)化的信息資產(chǎn)風(fēng)險管理機構(gòu),缺乏系統(tǒng)的信息系統(tǒng)管理政策、技術(shù)標(biāo)準(zhǔn)及監(jiān)督、績效評估工作,領(lǐng)導(dǎo)者與風(fēng)險管理部門無法實現(xiàn)對風(fēng)險管理的有效監(jiān)督。另一方面,小微金融機構(gòu)對信息科技安風(fēng)險管理的工作仍停留在定性的層面,缺乏對信息技術(shù)風(fēng)險管理專業(yè)的定量分析。與此同時,金融機構(gòu)信息科技風(fēng)險管理的IT風(fēng)險管理手段僅停留在制度檢查層面,缺乏技術(shù)支持,對風(fēng)險管理的預(yù)防措施有限,對風(fēng)險管理的技術(shù)控制難度大,其信息系統(tǒng)的自我控制的能力較差。

3.2 基礎(chǔ)設(shè)施安全建設(shè)存在隱患

從我國小微金融機構(gòu)基礎(chǔ)設(shè)施安全建設(shè)情況來看,存在較大的隱患。

一方面,機房管理滯后,在我國小微金融機構(gòu)的機房中,存在著防水火及供電不達(dá)標(biāo)的問題,且缺乏相應(yīng)的防雷系統(tǒng)、門禁系統(tǒng)等,機房安全管理嚴(yán)重滯后;另一方面,網(wǎng)絡(luò)運行安全性不高,由于金融機構(gòu)的分支機構(gòu)及營業(yè)網(wǎng)點及業(yè)務(wù)都處于數(shù)據(jù)集中的狀態(tài)中,這樣就給金融機構(gòu)網(wǎng)絡(luò)的穩(wěn)定性及通暢性提出了更高要求,而在小微金融機構(gòu)中,存在未按監(jiān)管要求配置主備通訊線路的現(xiàn)象,容易導(dǎo)致營業(yè)網(wǎng)點出現(xiàn)業(yè)務(wù)辦理受阻的現(xiàn)象,致使信息科技風(fēng)險隱患增加。

4 應(yīng)急處置能力低

信息系統(tǒng)的集中及數(shù)據(jù)爆炸式的增長使金融機構(gòu)的應(yīng)急處置面臨巨大的挑戰(zhàn),尤其對于小微金融機構(gòu)來說,其應(yīng)急保障機制更為落后。在我國小微金融機構(gòu)中,一般都設(shè)有信息系統(tǒng)的應(yīng)急預(yù)案,但對于預(yù)案卻缺乏相應(yīng)的應(yīng)急演練,在系統(tǒng)發(fā)生緊急事故時,無法對問題實施預(yù)案應(yīng)急措施。其次,部分小微金融機構(gòu)的系統(tǒng)應(yīng)急預(yù)案覆蓋面籠統(tǒng),缺乏針對性和操作性,缺乏有效的技術(shù)支持。另外,風(fēng)險管理的人員的應(yīng)急處理能力較低,對重大信息科技風(fēng)險的應(yīng)急執(zhí)行缺乏有效性,導(dǎo)致風(fēng)險損失增加。

5 加強小微金融機構(gòu)信息科技風(fēng)險管理對策

5.1 提升信息科技風(fēng)險管控能力

小微金融機構(gòu)要提高信息科技風(fēng)險管理的水平,首先應(yīng)該提高其信息科技風(fēng)險管控的能力,因此,小微金融機構(gòu)有必要建立三個機制。

第一,信息科技風(fēng)險管理保障機制。金融機構(gòu)領(lǐng)導(dǎo)者應(yīng)該提高風(fēng)險管理意識,將信息科技風(fēng)險管理工作納入議事日程,并建立健全的信息科技風(fēng)險管理機構(gòu)的和崗位責(zé)任制度,充分發(fā)揮出安全檢查、風(fēng)險監(jiān)控、審計監(jiān)督的作用;加強對信息科技風(fēng)險管控人員的培訓(xùn)與管理,并加大違規(guī)行為的處罰力度,提高其風(fēng)險管理的能力。

第二,信息科技風(fēng)險評估和預(yù)警機制。小微金融機構(gòu)應(yīng)該在充分分析信息科技風(fēng)險對金融機構(gòu)影響的基礎(chǔ)上,有針對性的落實風(fēng)險評估制度和建立信息科技風(fēng)險監(jiān)測制度,將風(fēng)險分類并制定相應(yīng)的風(fēng)險報告機制,使信息科技部門與業(yè)務(wù)部門緊密聯(lián)合起來,加強溝通協(xié)調(diào),提高對信息科技風(fēng)險的評估與預(yù)防能力。

第三、信息科技風(fēng)險應(yīng)急處理機制。小微金融機構(gòu)要加強對信息備份、災(zāi)難恢復(fù)及業(yè)務(wù)連續(xù)的管理,對應(yīng)急預(yù)案要加以培訓(xùn)和演練,將應(yīng)急和災(zāi)備工作從技術(shù)管理層面提升到全行工作層面,以提高應(yīng)對信息系統(tǒng)安全事件的團(tuán)隊?wèi)?yīng)急能力。

5.2 加強基礎(chǔ)設(shè)施安全建設(shè)

加強金融機構(gòu)基礎(chǔ)設(shè)施安全建設(shè),有利于提高基礎(chǔ)設(shè)施安全水平,進(jìn)而有利于降低信息科技風(fēng)險。小微金融機構(gòu)應(yīng)加強基礎(chǔ)設(shè)施安全建設(shè)投入,重點加強機房消防系統(tǒng)、防雷系統(tǒng)、UPS等的技術(shù)投入,完善機房基礎(chǔ)設(shè)施并完善機房管理制度,保證系統(tǒng)設(shè)備的正常運行,加強對系統(tǒng)設(shè)備故障的預(yù)測與報警。并設(shè)立專門的技術(shù)設(shè)施檢查維修小組,負(fù)責(zé)基礎(chǔ)設(shè)施的安全維護(hù)工作,確?;A(chǔ)設(shè)施安全管理的有效性。

5.3 強化金融交易監(jiān)管

隨著金融環(huán)境與金融交易方式的變化,信息化的金融交易也帶來了一定的信息科技風(fēng)險,小微金融機構(gòu)應(yīng)該采取措施強化金融交易監(jiān)管。

一方面,要加快網(wǎng)絡(luò)金融安全立法進(jìn)程,制定金融安全政策和標(biāo)準(zhǔn),成立對應(yīng)的網(wǎng)絡(luò)金融安全管理部門,指導(dǎo)網(wǎng)絡(luò)金融的發(fā)展,并嚴(yán)厲打擊網(wǎng)絡(luò)金融犯罪;另一方面,要建立跨部門的現(xiàn)代化信息安全管理網(wǎng)絡(luò),實現(xiàn)對金融機構(gòu)業(yè)務(wù)信息安全風(fēng)險的及時、動態(tài)、全面、連續(xù)的監(jiān)管。還應(yīng)該借鑒國外的網(wǎng)絡(luò)安全管理模式,建立適合于我國小微金融機構(gòu)信息化建設(shè)的網(wǎng)絡(luò)框架,以實時的監(jiān)管小微金融機構(gòu)業(yè)務(wù),保證交易的安全性。

5.4 加強對從業(yè)人員的素質(zhì)建設(shè)和崗位管理

相對于大型及核心金融機構(gòu),小微金融機構(gòu)從業(yè)人員的專業(yè)素質(zhì)及崗位配置明顯落后,小微金融機構(gòu)應(yīng)該加大對農(nóng)村金融機構(gòu)人員的投入,積極引進(jìn)高素質(zhì)的信息科技人員,并對原有的從業(yè)人員進(jìn)行定期的培訓(xùn)工作,提高其信息科技風(fēng)險防范意識與風(fēng)險管理能力。同時,金融機構(gòu)還應(yīng)增加對信息系統(tǒng)管理、運行、維護(hù)等崗位人員的配置,以完善職責(zé)分配,落實崗位制衡。最后,完善相應(yīng)的信息科技風(fēng)險管理制度,加強信息科技風(fēng)險審計,完善激勵約束機制,激發(fā)從業(yè)人員的主觀能動性,從整體上提升小微金融機構(gòu)信息科技風(fēng)險管理的水平。

6 結(jié)束語

在信息科技風(fēng)險管理的工作中,小微金融機構(gòu)要從安全制度建設(shè)及技術(shù)手段上加強對風(fēng)險的防范與管理,在全面、可行的安全防護(hù)措施中,將信息科技風(fēng)險降低到最低的程度,進(jìn)而才能保證小微金融機構(gòu)得到穩(wěn)定的發(fā)展。

參考文獻(xiàn)

[1] 陳文雄.發(fā)展銀行業(yè)信息科技 風(fēng)險管理意識須先行[J].中國金融,2009(07).

[2] 唐磊.商業(yè)銀行信息科技風(fēng)險現(xiàn)狀與管理策略分析[J].中國金融電腦,2009(02).

第2篇:信息科技風(fēng)險管理策略范文

信息系統(tǒng)的安全性、可靠性和有效性不僅是商業(yè)銀行賴以生存和發(fā)展的重要基礎(chǔ),還關(guān)系到整個銀行業(yè)的安全和國家金融體系的穩(wěn)定,因此國家金融監(jiān)管部門對銀行信息科技風(fēng)險管理日益重視,對銀行信息科技風(fēng)險管理提出了明確要求,各商業(yè)銀行也普遍提髙了對信息科技風(fēng)險管理的關(guān)注程度。

1.加強信息科技風(fēng)險管理是金融監(jiān)管部門高度重視的重要問題

中國銀監(jiān)會主席劉明康在信息科技風(fēng)險管理與評價審計工作會議上指出,根據(jù)近幾年國際上出現(xiàn)的信息系統(tǒng)故障事件分析,如果銀行信息系統(tǒng)中斷1小時,將直接影響該行的基本支付業(yè)務(wù);中斷1天,將對其聲譽造成極大傷害;中斷2?3天以上不能恢復(fù),將直接危及銀行乃至整個金融系統(tǒng)的穩(wěn)定。這在一定程度上反映了國家金融監(jiān)管部門對信息科技風(fēng)險的深刻認(rèn)識和日益重視。2008年7月,銀監(jiān)會頒發(fā)了《銀行業(yè)金融機構(gòu)信息系統(tǒng)安全保障問責(zé)方案》,明確各銀行的法定代表人為本單位信息系統(tǒng)安全保障的第一責(zé)任人,并要求逐級簽訂信息系統(tǒng)安全保障責(zé)任書。同時,中國人民銀行、銀監(jiān)會組織全國金融機構(gòu)開展了奧運信息科技風(fēng)險全面自查工作,并相繼對各主要商業(yè)銀行進(jìn)行了現(xiàn)場專項檢查;國家審計署也在對6家大型商業(yè)銀行的2008年度全面審計工作中首次引入了信息科技審計的內(nèi)容,著重從信息安全的角度出發(fā),站在維護(hù)國家金融穩(wěn)定和國家安全的髙度,分析當(dāng)前我國銀行業(yè)信息科技工作面臨的主要風(fēng)險,并提出了有針對性的改進(jìn)建議。國家有關(guān)監(jiān)管和審計部門推出的這些卓有成效的管理措施,對銀行不斷改進(jìn)和完善信息科技風(fēng)險管理工作具有十分重要的指導(dǎo)意義,充分體現(xiàn)出了我國政府對銀行業(yè)信息科技風(fēng)險管理的尚度重視。

2.加強信息科技風(fēng)險管理是新《巴塞爾資本協(xié)議》的基本要求

在2004年正式公布的新《巴塞爾資本協(xié)議》中,重新修訂了銀行風(fēng)險的分類和定義,強調(diào)銀行在進(jìn)行風(fēng)險管理的時候,不僅要重視傳統(tǒng)的信用風(fēng)險、市場風(fēng)險、流動性風(fēng)險,而且要將防范操作風(fēng)險放在一個重要的地位,并將信息科技風(fēng)險明確劃歸操作風(fēng)險的范疇,從而使得信息科技風(fēng)險管理成為了銀行全面風(fēng)險管理體系中的重要組成部分。

3.加強信息科技風(fēng)險管理是銀行提高IT治理水平的需要

根據(jù)IT治理模型,IT風(fēng)險管理與戰(zhàn)略一致性、資源管理、績效評估等構(gòu)成IT治理總體架構(gòu),而且是其中的一個重要方面。隨著各家銀行信息化建設(shè)的深入,對信息科技風(fēng)險的認(rèn)識也在逐步加深,從單一的信息安全轉(zhuǎn)變?yōu)楹w生產(chǎn)運行、應(yīng)用研發(fā)、信息安全等方面的全面IT風(fēng)險管理,信息科技風(fēng)險管理水平體現(xiàn)了銀行的信息化程度和整體的風(fēng)險管理水平。在商業(yè)銀行完成股份制改造和上市之后,商業(yè)銀行已普遍認(rèn)識到信息科技方面一旦發(fā)生風(fēng)險事件,不僅會影響業(yè)務(wù)的正常辦理,還可能會對銀行的聲譽和市值產(chǎn)生負(fù)面影響,因此更加重視信息科技風(fēng)險管理,對加強信息科技風(fēng)險管理提出了更髙的要求。

二、加強信息科技風(fēng)險管理的相應(yīng)舉措

根據(jù)國際權(quán)威機構(gòu)信息系統(tǒng)審計與控制委員會(ISACA)的信息系統(tǒng)風(fēng)險控制和IT審計工作的最佳實踐指南,信息科技風(fēng)險管理應(yīng)關(guān)注IT治理、軟件生命周期管理(即項目開發(fā)與變更)、IT服務(wù)交付與支持(即系統(tǒng)運行維護(hù))、信息安全、業(yè)務(wù)連續(xù)性管理等五大領(lǐng)域。在上述領(lǐng)域,各家商業(yè)銀行紛紛采取了各種風(fēng)險管理措施。下面以中國工商銀行股份有限公司(以下簡稱“工商銀行”)為例進(jìn)行介紹。

多年來,工商銀行堅持“科技興行'“科技引領(lǐng)”發(fā)展戰(zhàn)略,建立了集約化的科技組織體系,并逐步建立了與國際大銀行相適應(yīng)的先進(jìn)的科技體系和技術(shù)平臺。自2006年起,工商銀行正式將信息科技風(fēng)險納入了全行風(fēng)險管理體系,作為操作風(fēng)險管理的重要內(nèi)容,并在信息科技風(fēng)險管理方面開展了大量工作。

1.信息科技風(fēng)險管理組織體系工商銀行成立了信息系統(tǒng)應(yīng)急領(lǐng)導(dǎo)小組,由行長擔(dān)任組長,主管副行長任副組長,信息科技部、辦公室、個人金融部、運行管理部等相關(guān)部門負(fù)責(zé)人為成員,負(fù)責(zé)領(lǐng)導(dǎo)和組織信息系統(tǒng)重大事件的應(yīng)急處理、災(zāi)難備份和恢復(fù)、計算機信息系統(tǒng)的安全防護(hù)等工作??萍疾块T定期向董事會、行長辦公會、技術(shù)審查委員會、風(fēng)險管理委員會匯報信息科技風(fēng)險管理工作。同時,工商銀行總行以及分行的科技部門均設(shè)有負(fù)責(zé)信息科技風(fēng)險管理的部門,建立了一支專業(yè)的風(fēng)險防護(hù)隊伍,為加強信息科技風(fēng)險管理提供了組織保障。

2008年,國家有關(guān)監(jiān)管、審計部門對工商銀行目前的信息科技風(fēng)險管理情況都給予了較髙的評價,認(rèn)為工商銀行構(gòu)建了較完整的信息科技治理結(jié)構(gòu),構(gòu)成了信息科技管理、信息科技風(fēng)險管理和信息科技審計三道防線。

2.項目開發(fā)管理

針對由于版本質(zhì)量造成的應(yīng)用研發(fā)風(fēng)險,工商銀行采取了一系列措施,嚴(yán)格保障應(yīng)用系統(tǒng)研發(fā)質(zhì)量。一是不斷改進(jìn)研發(fā)和測試管理流程,加強需求管理、項目方案審查、研發(fā)過程管理和項目質(zhì)量控制;二是及時優(yōu)化調(diào)整應(yīng)用版本、測試和投產(chǎn)策略,針對版本投產(chǎn)比較頻繁等情況,明確了“版本集中投產(chǎn)”的原則,切實降低因版本投產(chǎn)和生產(chǎn)變更帶來的風(fēng)險隱患;三是與業(yè)務(wù)部門密切配合,力卩強溝通和協(xié)調(diào),實現(xiàn)風(fēng)險共擔(dān)。

3.運行維護(hù)和操作管理

生產(chǎn)運行風(fēng)險是信息科技風(fēng)險的突出表現(xiàn),并且根據(jù)實際情況統(tǒng)計,大約有50%的生產(chǎn)運行風(fēng)險是由管理操作原因引起的。為此,工商銀行始終堅持“將確保信息系統(tǒng)安全穩(wěn)定運行放在信息科技工作首位”的指導(dǎo)思想,并持續(xù)強化運行管理操作的各項措施,降低系統(tǒng)運行風(fēng)險。一是建立了全行統(tǒng)一集中的監(jiān)控管理平臺(ECC),對主機和開放平臺等各類應(yīng)用系統(tǒng)進(jìn)行實時監(jiān)控,實現(xiàn)生產(chǎn)操作、監(jiān)控的自動化;二是通過部署幫助臺系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)、性能容量管理系統(tǒng)、資源管理系統(tǒng)等工具和系統(tǒng),逐步提髙生產(chǎn)運行管理的自動化程度;三是建立了完備的應(yīng)急管理體系,明確了應(yīng)急預(yù)案和流程,確保出現(xiàn)緊急事件情況下能夠進(jìn)行妥善處理,將事件影響降至最低。

4.信息安全管理

信息安全管理的核心是要建立健全信息安全的內(nèi)部控制體系,通過技術(shù)和管理手段,確保銀行信息系統(tǒng)和數(shù)據(jù)的機密性、完整性和可用性。為此,工商銀行建立了一支專門的信息安全防護(hù)隊伍,及時分析和解決存在的各類信息安全隱患。同時,積極落實信息安全體系規(guī)范和信息安全等級保護(hù)措施,部署了入侵檢測、漏洞掃描等一系列信息安全防護(hù)工具,實施了客戶端安全管理。由于采取了及時有效的防御措施,假冒網(wǎng)站、網(wǎng)絡(luò)攻擊等事件雖然時有發(fā)生,伹沒有對信息系統(tǒng)的穩(wěn)定運行造成不良影響。特別是在北京奧運會期間,工商銀行成功抵御了針對網(wǎng)上銀行系統(tǒng)的惡意攻擊,保障了電子銀行業(yè)務(wù)正常開展,維護(hù)了企業(yè)聲譽。

5.業(yè)務(wù)連續(xù)性管理

多年來,工商銀行始終堅持“數(shù)據(jù)集中處理、主機災(zāi)難備份、平臺多點接入、業(yè)務(wù)跨區(qū)受理”的原則開展信息系統(tǒng)技術(shù)體系建設(shè),自行建立了國內(nèi)同業(yè)領(lǐng)先的完善的技術(shù)災(zāi)備體系。2003年以后,工商銀行建立了核心業(yè)務(wù)異地災(zāi)難備份系統(tǒng),實施了同城磁盤鏡像,成為國內(nèi)同業(yè)第一家同時具備同城和異地災(zāi)備系統(tǒng)的銀行,為保障信息系統(tǒng)的連續(xù)性運行奠定了技術(shù)基礎(chǔ)。與此同時,工商銀行依靠自身力量制定了《信息系統(tǒng)連續(xù)性運作計劃(ITCP)》,并從2005年開始,每年都進(jìn)行一次全行業(yè)務(wù)級災(zāi)難恢復(fù)應(yīng)急演練,模擬在上海的生產(chǎn)中心發(fā)生災(zāi)難或信息系統(tǒng)長時間無法得到恢復(fù)的情況下,將全行核心業(yè)務(wù)切換到北京的災(zāi)備中心的技術(shù)和業(yè)務(wù)處理,有效保障了災(zāi)備系統(tǒng)的有效性。

三、加強信息科技風(fēng)險管理需要思考的若干問題

目前,商業(yè)銀行在實施信息科技風(fēng)險管理過程中主要面對以下幾方面的問題。

1.要關(guān)注信息科技風(fēng)險計量和相關(guān)標(biāo)準(zhǔn)規(guī)范體系建設(shè)

對于銀行來說,操作風(fēng)險本身就是一種比較難以控制的風(fēng)險,目前世界銀行業(yè)也沒有一種公認(rèn)的成熟方法來計量。新《巴塞爾資本協(xié)議》要求2007年所有的銀行都要開始按照協(xié)議規(guī)定的三種方法中的一種來計算經(jīng)濟(jì)資本,進(jìn)而控制操作風(fēng)險。伹據(jù)調(diào)查,60%以上的銀行未從2007年開始對操作風(fēng)險實行量化管理,大多數(shù)銀行的預(yù)期實施時間是2010年?2012年??梢?,銀行業(yè)在對于整個操作風(fēng)險的管理體系、流程、計量方法和工具等方面的探索還遠(yuǎn)遠(yuǎn)落后于傳統(tǒng)的信用風(fēng)險和市場風(fēng)險管理等領(lǐng)域。而銀行信息科技風(fēng)險除了人為誤操作因素以外,還與日趨復(fù)雜的信息系統(tǒng)軟硬件環(huán)境直接相關(guān),因此要對其進(jìn)行科學(xué)、準(zhǔn)確的度量和評估,存在更大難度。從全球范圍來看,盡管國際上一些大銀行在信息科技風(fēng)險管理方面已經(jīng)積累了一定的經(jīng)驗,伹迄今為止真正構(gòu)建出有效的、完善的、可量化的信息科技風(fēng)險管理體系的銀行卻為數(shù)寥寥。因此,國內(nèi)銀行業(yè)需要首先考慮建立一套量化的指標(biāo)體系,科學(xué)衡量銀行的信息科技風(fēng)險。同時,建議相關(guān)主管部門牽頭在信息科技管理領(lǐng)域建立相應(yīng)的標(biāo)準(zhǔn)規(guī)范,以指導(dǎo)和促進(jìn)國內(nèi)商業(yè)銀行提髙信息科技風(fēng)險管理的規(guī)范化、標(biāo)準(zhǔn)化水平。

2.正確認(rèn)識災(zāi)難備份體系建設(shè)的內(nèi)涵

建立完備的災(zāi)備體系對銀行的重要意義毋庸置疑,伹災(zāi)備體系建設(shè)應(yīng)遵循什么樣的標(biāo)準(zhǔn)和原則,是否所有銀行系統(tǒng)都遵循同樣的標(biāo)準(zhǔn)建設(shè)災(zāi)備系統(tǒng),是商業(yè)銀行在災(zāi)備體系規(guī)劃和建設(shè)過程中需要認(rèn)真考慮的問題。通常情況下,銀行可以根據(jù)業(yè)務(wù)系統(tǒng)的重要性、災(zāi)難恢復(fù)的時效性要求和銀行自身的風(fēng)險承受能力等因素,參考相關(guān)國際標(biāo)準(zhǔn)n,綜合評定劃分災(zāi)備等級,確定業(yè)務(wù)恢復(fù)時間(RTO)、業(yè)務(wù)丟失時間(RPO)等關(guān)鍵指標(biāo),在此基礎(chǔ)上,遵循成本效益的原則,按照相應(yīng)的標(biāo)準(zhǔn)開展災(zāi)備建設(shè)。目前,國外現(xiàn)代化商業(yè)銀行普遍采用此種做法,首先確定系統(tǒng)的災(zāi)備等級,并相應(yīng)實施不同的災(zāi)備策略,重點對關(guān)鍵設(shè)施和系統(tǒng)實施髙等級的災(zāi)備保護(hù)措施。

因此,建議國內(nèi)相關(guān)行業(yè)主管部門積極引導(dǎo)各商業(yè)銀行根據(jù)實際情況,采取分級實施、逐步推進(jìn)的原則,借鑒國外銀行的先進(jìn)經(jīng)驗,優(yōu)先確保關(guān)鍵設(shè)施和重要業(yè)務(wù)系統(tǒng)的連續(xù)性運作,在實現(xiàn)災(zāi)備體系建設(shè)目標(biāo)的同時,也相應(yīng)降低建設(shè)和維護(hù)的成本。

3.信息科技風(fēng)險管理需要業(yè)務(wù)部門的關(guān)注和共同參與

與應(yīng)用產(chǎn)品創(chuàng)新工作需要科技部門和業(yè)務(wù)部門共同完成類似,雖然信息科技風(fēng)險管理更多關(guān)注的是IT領(lǐng)域,伹其中相當(dāng)一部分內(nèi)容與業(yè)務(wù)部門息息相關(guān)。

在業(yè)務(wù)連續(xù)性管理方面,在科技部門建成了災(zāi)備系統(tǒng)的基礎(chǔ)上,需要業(yè)務(wù)部門制定業(yè)務(wù)層面的應(yīng)急計劃,指導(dǎo)業(yè)務(wù)人員在信息系統(tǒng)中斷和恢復(fù)時進(jìn)行業(yè)務(wù)的應(yīng)急處理,從而與科技部門協(xié)同開展應(yīng)急恢復(fù)工作。

第3篇:信息科技風(fēng)險管理策略范文

中國商業(yè)銀行信息科技風(fēng)險管理評估還處在研究發(fā)展階段,為了使中國商業(yè)銀行對信息科技的使用狀況進(jìn)行評估,使商業(yè)銀行更全面、更科學(xué)地掌握自身信息科技風(fēng)險情況,評估其在防控各種信息科技風(fēng)險方面的總體效果,從而對商業(yè)銀行的信息科技風(fēng)險表現(xiàn)形態(tài)和內(nèi)在風(fēng)險控制能力進(jìn)行的科學(xué)、審慎的評估與判斷,制定相應(yīng)的管理措施,達(dá)到防范信息科技風(fēng)險的目的。本文在借鑒美國金融業(yè)統(tǒng)一的技術(shù)風(fēng)險評估體系URSIT(UniformRatingSys-temInformationTechnology)①和國際公認(rèn)的信息系統(tǒng)安全與技術(shù)管理和控制標(biāo)準(zhǔn)COBIT(ControlObjectivesforInformationandRelatedTechnolo-gy)②的經(jīng)驗、方法和成果基礎(chǔ)之上,結(jié)合中國商業(yè)銀行風(fēng)險評估的特點,特別是商業(yè)銀行信息科技風(fēng)險關(guān)注點,構(gòu)造了適合中國商業(yè)銀行信息科技風(fēng)險的評估模型、指標(biāo)體系。

一、信息科技風(fēng)險評估體系設(shè)計思想

URSIT是美國聯(lián)邦機構(gòu)金融檢查委員會(FederalFinancialInstitutionsExaminationCoun-cil,FFIEC)制定的與駱駝(CAMELS)評級體系相一致的美國金融業(yè)統(tǒng)一的技術(shù)風(fēng)險評級體系[1]。1978年,FFIEC首次推薦各金融機構(gòu)采用URSIT,它作為一套專門的技術(shù)風(fēng)險監(jiān)管工具被美國的金融機構(gòu)以及IT服務(wù)提供商廣泛應(yīng)用在技術(shù)風(fēng)險檢查中[2]。

隨著信息技術(shù)的不斷進(jìn)步與發(fā)展,URSIT也進(jìn)行了多次相應(yīng)的修改。1998年,FFIEC在參考了COBIT基礎(chǔ)之上,結(jié)合金融行業(yè)的特點,增加了衡量執(zhí)行效果的判斷標(biāo)準(zhǔn),使URSIT更科學(xué),也更易于執(zhí)行[3]。

中國商業(yè)銀行信息科技風(fēng)險評估體系在表達(dá)上與《商業(yè)銀行信息科技風(fēng)險管理指引》和《股份制商業(yè)銀行風(fēng)險評級體系》保持一致[4]153-167,首先確定若干評估度量域,每一個度量域包含若干度量類,在確定評估度量域時,借鑒銀監(jiān)會《商業(yè)銀行信息科技風(fēng)險管理指引》的九個方面:信息科技治理,信息科技風(fēng)險管理,信息安全,系統(tǒng)開發(fā)、測試與維護(hù),信息科技運行,業(yè)務(wù)連續(xù)性管理,外包管理,內(nèi)部審計和外部審計,同時結(jié)合中國商業(yè)銀行信息科技風(fēng)險特征進(jìn)行設(shè)置。

二、多級指標(biāo)體系的構(gòu)建

考慮到評級指標(biāo)有多個類別和多個層次的特性,中國商業(yè)銀行信息科技風(fēng)險指標(biāo)體系結(jié)構(gòu)可以采用多級指標(biāo)形式,即在每一父類指標(biāo)下又包含若干個子類指標(biāo)[5]。按照從屬關(guān)系依次分為度量域、度量類、度量項等。如果一個指標(biāo)下又包含多個指標(biāo),則該指標(biāo)稱為一個指標(biāo)項,否則成為一個指標(biāo)。信息科技風(fēng)險評級指標(biāo)體系以ISO27001標(biāo)準(zhǔn)所約定的信息安全管理體系的框架,采用域、類、指標(biāo)劃分的三層結(jié)構(gòu),從上到下分別包含9個域、46類和841項度量指標(biāo)[6]。具體的商業(yè)銀行信息科技風(fēng)險評級指標(biāo)體系結(jié)構(gòu)如表1所示。

我們把綜合評級中的九評級單項指標(biāo)稱為“一級指標(biāo)”。綜合評級的分值由九個“一級指標(biāo)”分值加權(quán)匯總求得。從單項評級模型上看,每個單項評級指標(biāo)(一級指標(biāo))的分值又由其下的多個指標(biāo)(二級指標(biāo))分值加權(quán)匯總得出。“三級指標(biāo)”分值加權(quán)匯總得出“二級指標(biāo)”的分值。如果“三級指標(biāo)”仍不能獨立說明情況,還需要其他多個指標(biāo)來輔助,那么就需要制定“四級指標(biāo)”。單項評級模型中的指標(biāo)級數(shù)可根據(jù)需要來確定。

三、評估模型的設(shè)計

中國商業(yè)銀行信息科技風(fēng)險評估模型是由單項評估模型和綜合評估模型組成,各項指標(biāo)歸屬于不同的信息科技域、相關(guān)主題和責(zé)任部門,通過對各單項指標(biāo)評估數(shù)據(jù)的匯總,可以形成對商業(yè)銀行信息科技風(fēng)險的整體評估[7]。

單項評估模型為:

在進(jìn)行信息科技風(fēng)險單項評估時,根據(jù)按照已經(jīng)設(shè)定好的單項指標(biāo)評分標(biāo)準(zhǔn)進(jìn)行評分,并賦予不同的指標(biāo)相應(yīng)的權(quán)重屬性,最后進(jìn)行加權(quán)求和得出單項評估分值。

評估信息科技風(fēng)險管理工作成效,需要考慮控制措施定義、控制措施執(zhí)行情況和工作記錄情況三個方面,結(jié)合控制缺失造成風(fēng)險的高低,最終進(jìn)行綜合評估。為此,我們假設(shè)單項指標(biāo)的評分標(biāo)準(zhǔn)為0、1、2、3、4、5共六個級別。例如,單項評估中A域的“信息安全管理體系”,包含有n個度量類;Ai表示為A域中第i個度量類的分值,它是一個0~5之間的值,此評估標(biāo)準(zhǔn)綜合評估模型為:Risk=A×WA+B×WB+…+J×WJ其中,變量Risk表示為商業(yè)銀行信息科技風(fēng)險總量;變量A,B,…,X表示為商業(yè)銀行信息科技風(fēng)險中相關(guān)的度量域;變量WA,WB,…,WX表示A,B,…,X各度量域的綜合評估權(quán)重值。

四、評估中應(yīng)注意的問題

(一)權(quán)重的確定

指標(biāo)權(quán)重的選取對最終的評級結(jié)果很重要,不同指標(biāo)在技術(shù)風(fēng)險監(jiān)管中的重要程度不盡相同[8]。因此應(yīng)該根據(jù)具體情況考慮給不同的指標(biāo)賦予適當(dāng)?shù)臋?quán)重,以表明其重要性。

指標(biāo)權(quán)重的確定方法可分為主觀賦權(quán)法和客觀賦權(quán)法[9]。主觀賦權(quán)法是根據(jù)人們主觀上對各指標(biāo)的重要程度理解來決定權(quán)重的方法,如Delphi方法;而客觀賦權(quán)法就是根據(jù)各指標(biāo)間的相關(guān)關(guān)系或各指標(biāo)值的差異程度來確定權(quán)重,如主成分分析法、熵值法、相關(guān)系數(shù)法等。另外,還有層次分析法,它實際上是一種主客觀相結(jié)合的賦權(quán)方法。筆者建議將多種賦權(quán)方法組合使用,即以Delphi法通過反復(fù)征求專家意見得到不同指標(biāo)權(quán)重的初值;再通過層次分析法根據(jù)各指標(biāo)權(quán)重的相對重要性構(gòu)造判斷矩陣,計算出各層次指標(biāo)的組合權(quán)重;最后利用熵值法對得到的組合權(quán)重進(jìn)行修正。

應(yīng)該說明的是,隨著中國對銀行信息科技風(fēng)險監(jiān)管的加強和重視,不同指標(biāo)的權(quán)重大小應(yīng)隨著銀行信息科技風(fēng)險的變化和監(jiān)管的重點與難點的變化而適時做出調(diào)整。

(二)篩選形成信息科技風(fēng)險評估控制表和信息科技風(fēng)險評估表

對于信息科技風(fēng)險評估控制表和信息科技風(fēng)險評估表的篩選應(yīng)按以下步驟進(jìn)行:1.篩選工具。選用Excel2003或Excel2007作為篩選工具。Excel2003可以滿足一般的篩選功能,Excel2007在進(jìn)行多項條件(兩項以上)篩選時更加方便。

2.分情況篩選。在確定信息科技風(fēng)險評估對象所涉及單位、參與評估的人員崗位、一級控制域和二級控制域后,可按照以下步驟對信息科技風(fēng)險評估控制矩陣進(jìn)行篩選。

(1)根據(jù)評估對象所屬控制域?qū)Α耙患壙刂朴颉焙汀岸壙刂朴颉绷羞M(jìn)行篩選。假定評估對象所屬的一級控制域為“信息安全”,二級控制域為“物理及環(huán)境的安全管理”,篩選時應(yīng)選擇一級控制域列為“信息安全”并且二級控制域列為“物理及環(huán)境的安全管理”的篩選條件,完成篩選。

(2)根據(jù)評估對象所涉及單位,對“適用單位”列進(jìn)行篩選。

假定評估對象是所涉及的單位是數(shù)據(jù)中心(上海),篩選時應(yīng)選擇“適用單位”列包含“所有單位”或“數(shù)據(jù)中心(上海)”的篩選條件,完成篩選。選擇多項條件時通過“自定義”設(shè)置選項。在彈出的自定義自動篩選方式窗口中,適用單位選擇的設(shè)置。如果使用Excel2007,可直接勾選多項條件。

(3)根據(jù)評估對象涉及的人員崗位,對“適用角色”列進(jìn)行篩選。

假定評估對象是所涉及的人員崗位包括“項目經(jīng)理”和“所有崗位”,篩選時應(yīng)選擇“適用角色”列包含“所有崗位”或“項目經(jīng)理”的篩選條件,完成篩選。

3.形成信息科技風(fēng)險評估控制表和信息科技

風(fēng)險評估表。在完成上述篩選工作后,還需要按照以下步驟形成信息科技風(fēng)險評估控制表和信息科技風(fēng)險評估表。

(1)將從信息科技風(fēng)險評估控制矩陣中篩選出來的行和表頭全部都拷貝到一個新表中,形成信息科技風(fēng)險評估控制表,作為單獨文件保存。

(2)以信息科技風(fēng)險評估控制表為基礎(chǔ),刪除表中的“風(fēng)險值”、“參考文件”、“參考文件章節(jié)”、“適用單位”、“適用角色”列的內(nèi)容,形成信息科技風(fēng)險評估表,作為單獨文件保存。

(3)應(yīng)按照模板要求調(diào)整信息科技風(fēng)險評估控制表和信息科技風(fēng)險評估表格式,包含模版中的基本要素,并且盡量美觀,方便填寫。

五、實證分析

對某行的運行管理領(lǐng)域開展信息科技風(fēng)險評估,下面為應(yīng)用此評估模型實證檢驗的結(jié)果(見表3)及分析。

1.變更管理。變更管理包括版本投產(chǎn)變更和運行變更管理兩部分,共包括20個風(fēng)險點,126個題目,存在差異項28個,占評估要點的22.22%。評估發(fā)現(xiàn)的差異項主要體現(xiàn)在變更申請、變更方案的制定等方面。

在變更要素的規(guī)范性方面,某行存在的差異主要包括變更申請時間不符合要求、變更回退方案不夠詳細(xì)、變更審批流程不規(guī)范等方面,要求加強變更管理,嚴(yán)格執(zhí)行科技制度的有關(guān)規(guī)定。

2.操作管理。本次操作管理領(lǐng)域風(fēng)險評估共包括14個風(fēng)險點,29個題目,存在差異項13個,占評估要點的44.83%。評估發(fā)現(xiàn)的差異項主要體現(xiàn)在操作培訓(xùn)、操作準(zhǔn)備、操作實施、操作記錄方面的風(fēng)險。

在操作實施方面,由于分行操作人員有限,目前無法對所有生產(chǎn)操作內(nèi)容做到全部雙人操作,部分操作只能做到事后檢查復(fù)核,可能存在一定的操作風(fēng)險。建議基于現(xiàn)狀加強事后檢查復(fù)核的力度,通過補償控制措施降低操作風(fēng)險。

3.事件管理。本次事件管理領(lǐng)域風(fēng)險評估共包括14個風(fēng)險點,53個題目,存在差異項9個,占評估要點的16.98%。評估發(fā)現(xiàn)的差異項主要體現(xiàn)在生產(chǎn)故障事件報告、生產(chǎn)故障事件受理、生產(chǎn)故障事件解決、生產(chǎn)故障事件反饋方面的風(fēng)險。某行在生產(chǎn)故障事件反饋環(huán)節(jié)對于一些業(yè)務(wù)部門提交的事件單,在事件解決后由于各種原因無法及時聯(lián)系到業(yè)務(wù)部門人員,無法按照制度要求在一個工作日內(nèi)關(guān)閉事件。

4.數(shù)據(jù)管理。本次數(shù)據(jù)管理領(lǐng)域風(fēng)險評估共包括13個風(fēng)險點,61個題目,存在差異項10個,占評估要點的16.39%。評估發(fā)現(xiàn)的差異項主要體現(xiàn)在數(shù)據(jù)存儲介質(zhì)和數(shù)據(jù)抽檢管理、數(shù)據(jù)保密管理、數(shù)據(jù)變形策略等方面。其中數(shù)據(jù)變形策略在某行實際工作中尚未開展,主要原因是某行缺乏成熟的數(shù)據(jù)變形策略,目前暫未下發(fā)過某行數(shù)據(jù)變形工具,某行無法對數(shù)據(jù)實施變形。

第4篇:信息科技風(fēng)險管理策略范文

銀行IT審計意義

目前,信息系統(tǒng)的正常運行已經(jīng)成為銀行業(yè)務(wù)正常運營的最基本條件之一,信息科技在有力提升銀行核心競爭力的同時,信息科技風(fēng)險也愈發(fā)突出和集中,信息科技風(fēng)險控制已成為銀行業(yè)風(fēng)險管理的重要內(nèi)容,而IT審計作為銀行業(yè)風(fēng)險管理體系的重要組成部分,其重要性和必要性已經(jīng)日益得到銀行業(yè)管理層的關(guān)注。同時,國家相關(guān)部門對信息系統(tǒng)的管控也越來越重視,自2006年8月《銀行業(yè)金融機構(gòu)信息系統(tǒng)風(fēng)險管理指引》開始,銀監(jiān)會正式對銀行科技風(fēng)險進(jìn)行監(jiān)管,近年來推出一系列制度和措施(見表1),監(jiān)管工作逐步走向規(guī)范化。通過IT審計來保證和監(jiān)控全行的信息科技管控對各級監(jiān)管政策法規(guī)的合規(guī)性,也成為銀行業(yè)實施IT審計的重要目的之一。

因此,銀行業(yè)加強和規(guī)范IT審計,既是自身發(fā)展和獲取競爭優(yōu)勢的內(nèi)在需要,也是監(jiān)管當(dāng)局的外部要求。

銀行IT審計標(biāo)準(zhǔn)

準(zhǔn)確地運用標(biāo)準(zhǔn)和參照,成為順利開展IT審計工作的重要前提之一。

COBIT

COBIT(Control Objectives for Information and related Technology) 是由信息系統(tǒng)審計與控制基金會最早在1996年制定的IT治理模型。這是一個在國際上公認(rèn)的、權(quán)威的安全與信息技術(shù)管理和控制的標(biāo)準(zhǔn),也是目前國際上通用的信息系統(tǒng)審計的標(biāo)準(zhǔn)之一。COBIT是一個基于控制的IT治理模型,其制定的宗旨是跨越業(yè)務(wù)控制和IT控制之間的鴻溝,從而建立一個面向業(yè)務(wù)目標(biāo)的IT控制框架。

COBIT本身并非針對IT審計的專門論述,其面向的使用者可以是企業(yè)中想通過改善IT過程實現(xiàn)經(jīng)營目標(biāo)的管理者,也可以是業(yè)務(wù)過程的所有者,即用戶,也可以為IT審計師。它在商業(yè)風(fēng)險、控制需要和技術(shù)問題之間架起了一座橋梁,以滿足管理的多方面需要。在最新的COBIT5.0版本中,COBIT已經(jīng)被稱作“一個治理和管理企業(yè)IT的業(yè)務(wù)框架”。

COBIT4.1版本中經(jīng)典的體系框架一直為眾多使用者參考使用,它包括了實施簡介、實施工具集、高層控制目標(biāo)框架、管理指南、具體控制目標(biāo)、審計指南等一系列文檔(見圖1)。管理指南為每個過程提供了關(guān)鍵成功因素、關(guān)鍵目標(biāo)指標(biāo)和關(guān)鍵績效指標(biāo)等,并根據(jù)這些指標(biāo)對每個過程進(jìn)行了成熟度模型的劃分;而審計指南,則就審計的控制目標(biāo)、調(diào)查對象、需要掌握的證據(jù)及如何進(jìn)行測試和評估做出了詳細(xì)的說明。

COBIT4.1版本中的流程參考模型將所有與信息系統(tǒng)相關(guān)的活動進(jìn)行了劃分,主要包括34個流程,分屬4個域。而COBIT 5.0的參考模型涵蓋了治理和管理流程的完整集合,共分為37個流程。COBIT5.0流程參考模型是COBIT4.1流程參考模型的繼承者,同時也融合了風(fēng)險IT、價值IT流程模型。COBIT的廣泛通用性也造就了它在應(yīng)用上的弱點和難點,即COBIT中對相關(guān)流程和控制目標(biāo)的描述過于籠統(tǒng)普適,需要使用者結(jié)合企業(yè)的實際情況和專業(yè)經(jīng)驗進(jìn)行較大的定制化方可實施。

因此,COBIT模型的最大作用是將IT過程、IT資源與企業(yè)的策略和目標(biāo)聯(lián)系了起來,保障了企業(yè)的IT戰(zhàn)略目標(biāo)和其業(yè)務(wù)發(fā)展目標(biāo)的一致性,也在IT管理層、IT技術(shù)人員/用戶和IT審計師之間搭建了橋梁。

《商業(yè)銀行信息科技風(fēng)險管理指引》

近年來,隨著銀監(jiān)會信用風(fēng)險、商業(yè)風(fēng)險和操作風(fēng)險管理指引的,以及“巴塞爾協(xié)議II”在銀行業(yè)內(nèi)的逐步實施,推動了銀行內(nèi)部風(fēng)險管理機制的建立和健全。但是,在全面風(fēng)險管理的框架下,目前銀行的信息科技風(fēng)險管理機制滯后于業(yè)務(wù)風(fēng)險管理體系的發(fā)展,并未建立體系化的風(fēng)險管控機制,成為了銀行風(fēng)險管理體系中的短板。這主要體現(xiàn)在,信息科技風(fēng)險治理組織不健全、風(fēng)險管理制度不完善、風(fēng)險處理過程規(guī)劃依據(jù)不充分以及風(fēng)險監(jiān)控指標(biāo)不明確等方面。

2009年的《商業(yè)銀行信息科技風(fēng)險管理指引》(以下簡稱《指引》),定義了商業(yè)銀行信息科技風(fēng)險的總體框架,即在當(dāng)前商業(yè)銀行普遍的信息科技現(xiàn)狀下,可能存在的重大信息科技風(fēng)險的范圍,使商業(yè)銀行的風(fēng)險管理過程,能夠集中精力在相關(guān)領(lǐng)域中。

《指引》確定了九大管理領(lǐng)域,即:信息科技治理;信息科技風(fēng)險管理;信息安全;信息系統(tǒng)開發(fā)、測試和維護(hù);信息科技運行;業(yè)務(wù)連續(xù)性管理;外包;內(nèi)部審計;外部審計。這些領(lǐng)域覆蓋了信息科技管理的大多數(shù)重要活動,這些活動中存在的風(fēng)險,可能會對業(yè)務(wù)產(chǎn)生重大影響,因此對這些領(lǐng)域的風(fēng)險識別和管理,應(yīng)當(dāng)在信息科技風(fēng)險管理中優(yōu)先對待。

在這九大領(lǐng)域中,IT審計占兩個,分別是內(nèi)部審計和外部審計。而《指引》本身,就是一個針對銀行的框架完整的IT審計標(biāo)準(zhǔn),銀行可以參考這個標(biāo)準(zhǔn),開展IT審計工作。

IT審計標(biāo)準(zhǔn)選擇

實踐中使用的標(biāo)準(zhǔn)遠(yuǎn)不止上述兩個,而且,這兩個標(biāo)準(zhǔn)建立本身就參照了很多IT相關(guān)的較為成熟的標(biāo)準(zhǔn)。如,COBIT制定時參照的標(biāo)準(zhǔn)就有ISO系列的相關(guān)IT技術(shù)標(biāo)準(zhǔn)、審計行為準(zhǔn)則等等;《指引》其中“信息安全”管理領(lǐng)域的內(nèi)容建立就是參照信息安全管理體系的國際標(biāo)準(zhǔn)ISO27001。

第5篇:信息科技風(fēng)險管理策略范文

關(guān)鍵詞:公路工程;造價;風(fēng)險控制;管理策略

Abstract: as the highway engineering project development is a high-risk work, if prior to take positive risk management strategy, project implementation process can avoid or reduce many risks. This article through to the highway engineering cost risk characteristics, risk management research, explaining the highway engineering cost risk identification of the main steps, analyzes the highway engineering cost risk management strategy.

Key words: the highway engineering; Cost; Risk control; Management strategy

中圖分類號:TU723.3 文獻(xiàn)標(biāo)識碼:A文章編號:

1公路工程造價風(fēng)險

1.1 公路工程造價風(fēng)險因素

導(dǎo)致出現(xiàn)公路工程造價風(fēng)險的原因主要有:(1)項目規(guī)劃設(shè)計方案陳舊,目標(biāo)優(yōu)化錯誤、未進(jìn)行優(yōu)化優(yōu)選。(2)項目設(shè)計、規(guī)劃深度不夠。在公路工程項目設(shè)計過程中,可能存在構(gòu)思錯誤、設(shè)計內(nèi)容不全、規(guī)劃設(shè)計深度不夠、重要邊界條件遺漏、設(shè)計參數(shù)選用不合理、采用規(guī)范不恰當(dāng)、未考慮當(dāng)?shù)毓こ趟牡刭|(zhì)條件和施工可行性等現(xiàn)象。(3)承、發(fā)包方式選擇不合理。合同條款遺漏、合同類型選擇有誤、表達(dá)有誤、不嚴(yán)謹(jǐn)、合同管理不力、引起大量索賠。(4)匯率變化。一些高速公路項目會需要大量國外進(jìn)口材料,項目投資估算時是按照當(dāng)時匯率預(yù)留進(jìn)口材料的費用,但實際進(jìn)口材料時,需要支付的外幣升值,開發(fā)商需必須額外付出開發(fā)費用。(5)項目實施期間出現(xiàn)通貨膨脹現(xiàn)象。人工、材料費用上漲、國家調(diào)整產(chǎn)業(yè)政策,采用新的要求或更高的技術(shù)標(biāo)準(zhǔn),致使公路工程項目成本大幅增加。(6)不可抗力。不可抗力是指一個有經(jīng)驗的工程師不能克服、不能避免的客觀情況。不可抗力包括自然現(xiàn)象,如地震、雪崩、火山爆發(fā)、暴雨、颶風(fēng)、暴雪、洪水、泥石流等,也包括一些社會現(xiàn)象,如政府禁令、爆炸、戰(zhàn)爭、火災(zāi)等。

1.2公路工程造價風(fēng)險的特點

(1)可變性。可變性是指在實施項目的整個過程中,各種風(fēng)險在質(zhì)和量上可以變化。隨著項目的施工進(jìn)度,有些風(fēng)險得到控制或消除,有些風(fēng)險會發(fā)生并得到相應(yīng)的處理,而同時在項目的每一階段都可能出現(xiàn)新的風(fēng)險。風(fēng)險發(fā)生的程度決定了工程造價風(fēng)險的大小,所以,公路工程造價風(fēng)險具有可變性。(2)全程性。在公路工程項目實施過程的各個方面、各個階段都存在著各種不確定性因素。這些不確定性因素都會問接或直接地對公路工程造價產(chǎn)生影響。這種風(fēng)險是不以人的意志為轉(zhuǎn)移并超越人們主觀意識的而存在的,并且在項目的整個周期內(nèi),風(fēng)險是無處不在的。(3)被動性。任何一種具體風(fēng)險的發(fā)生都是由諸多風(fēng)險因素共同作用造成的結(jié)果,它是一種隨機現(xiàn)象。個別風(fēng)險事故發(fā)生的偶然性,這些因素導(dǎo)致了公路工程造價風(fēng)險管理的被動性。

2 公路工程造價風(fēng)險識別

所謂的公路工程造價風(fēng)險識別就是在未發(fā)生風(fēng)險之前對公路工程項目各階段潛在的風(fēng)險及產(chǎn)生原因進(jìn)行實現(xiàn)判別、分析,找出和確定主要的風(fēng)險因素,相應(yīng)地加強對公路工程造價的風(fēng)險管理。

目前,在工程風(fēng)險管理實踐中已形成一些比較成熟的風(fēng)險識別方法,但對于公路工程造價風(fēng)險識別的方法還沒有全面、系統(tǒng)的論述和實踐。所以,在公路工程造價管理中,對風(fēng)險的管理相對來說還比較薄弱,風(fēng)險管理者尚且不能夠提前、全面地識別公路工程項目造價管理中可能存在的風(fēng)險,從而導(dǎo)致公路工程造價超支或公路工程項目管理失敗。產(chǎn)生這種狀況的主要原因是現(xiàn)有工程項目風(fēng)險識別方法的不完善性和公路工程造價風(fēng)險識別本身的艱巨性。

3 公路工程造價風(fēng)險管理策略

3.1公路工程造價風(fēng)險管理策略目標(biāo)

公路工程造價風(fēng)險管理策略就是輔助項目經(jīng)理部事先建立處理項目風(fēng)險的基本策略。由于公路工程項目的開發(fā)是一項高風(fēng)險的工作,若事先能夠采取積極的風(fēng)險管理策略,項目實施過程中就可以避免或降低許多風(fēng)險。

3.2 公路工程造價風(fēng)險管理策略的內(nèi)容

控制環(huán)境是一種氛圍,是內(nèi)部控制其他要素的基礎(chǔ),它直接影響公路工程項目實施控制的自覺性和組織成員的控制意識,并決定其他控制因素能否發(fā)揮起作用。影響控制環(huán)境的因素是多方面的,最主要的是公路工程項目管理者的整體素質(zhì),尤其是公路工程造價工程師的素質(zhì)。高素質(zhì)的人才不僅可以保障公路工程的質(zhì)量,而且孩可以加強風(fēng)險管理,為企業(yè)節(jié)約大量的處理風(fēng)險的經(jīng)濟(jì)成本。所以,公路工程造價風(fēng)險管理應(yīng)從完善公路工程項目造價內(nèi)部控制環(huán)境,提高公路工程企業(yè)管理者的素質(zhì)入手。

設(shè)立良好的造價風(fēng)險控制活動。風(fēng)險控制活動是確保管理層的指令得以實現(xiàn)的程序或政策。一般來說,風(fēng)險控制活動包括程序和政策兩個方面,風(fēng)險控制活動出現(xiàn)在整個項目組織內(nèi)的各個職能部門。政策規(guī)定應(yīng)該做什么,程序則使政策得以運行并產(chǎn)生積極地效果,政策是程序的基礎(chǔ)。公路工程項目造價控制應(yīng)按照特定的流程設(shè)立風(fēng)險控制活動,同時對于重要的業(yè)務(wù)環(huán)節(jié)制定具體的風(fēng)險控制程序。

進(jìn)行充分的風(fēng)險評估。提高公路工程項目內(nèi)部控制效果的關(guān)鍵是風(fēng)險評估。若事先進(jìn)行了全面的風(fēng)險評估,那么在項目開始之前,管理者就能盡可能地采取措施控制已預(yù)知的造價風(fēng)險,就會對影響公路工程項目造價的關(guān)鍵環(huán)節(jié)可以做到心中有數(shù)。

加強信息溝通和流動。對于公路工程項目組織成員來說,若要順利履行職責(zé),首要要做的就是及時準(zhǔn)確地取得所需的各種信息,并把自己得到的信息反饋給組織的其他各個成員。信息管理系統(tǒng)不僅處理公路工程建設(shè)內(nèi)部所產(chǎn)生的各種信息,同時也處理與外部環(huán)境相關(guān)的信息。

加強公路工程項目的內(nèi)部監(jiān)督。若要確保公路工程項目造價內(nèi)部控制制度能夠被切實地執(zhí)行并取得良好的效果,相關(guān)部門就必須加強公路工程項目造價控制的內(nèi)部監(jiān)督工作。

參考文獻(xiàn):

【1】林德明.公路工程造價控制與管理[J].山西建筑,2009

【2】鄧鐵軍.工程風(fēng)險管理[M].人民交通出版社,2008

【3】孟志鵬.淺析土木工程中的造價控制[J].改革與開放,2010

第6篇:信息科技風(fēng)險管理策略范文

關(guān)鍵詞:商業(yè)銀行 信息系統(tǒng)外包 管理對策

一、商業(yè)銀行信息科技外包過程管理存在的問題

一是外包風(fēng)險文化缺失。外包風(fēng)險尚未真正納入全行全面風(fēng)險管理范疇與整體工作部署。外包風(fēng)險僅在科技條線開展管理與預(yù)防,尚未在各條線引起必要的重視與管理預(yù)防,沒有很好地納入全行全面的風(fēng)險管理體系框架中,這種片面的條線重視現(xiàn)狀將存在一旦出現(xiàn)IT外包風(fēng)險,導(dǎo)致發(fā)生不可控制的被動局面,甚至還將會損害銀行在市場上的公眾形象。

二是信息科技外包決策不夠完善。外包決策過程存在一定的主觀性。在外包的分析描述中,沒有提供必要的分析依據(jù),比如實質(zhì)的調(diào)研報告、討論紀(jì)要以及相關(guān)具體調(diào)研的數(shù)據(jù)等材料支持整個調(diào)研過程。外包服務(wù)商的選擇上,外包采購方式來源于單一來源。在外包服務(wù)商選擇過程中缺乏規(guī)范化的定性與定量指標(biāo),缺乏運用較為系統(tǒng)的具有可操作性的理論和方法為IT決策提供指導(dǎo)。

三是信息科技外包合同設(shè)計與執(zhí)行存在不足。合同條款設(shè)計不完備,缺乏靈活性和必要的約束條款。缺少針對外包服務(wù)的業(yè)務(wù)連續(xù)性的安排、外包服務(wù)的審計和檢查、不得將外包活動變相轉(zhuǎn)包、限制成本增加等合同條款的約定,缺乏對外包服務(wù)中可能出現(xiàn)的重大損失、人員變動和外包協(xié)議意外終止等情況的應(yīng)對措施,尚未明確信息科技外包服務(wù)商必須提供的最低服務(wù)水平、外包應(yīng)急預(yù)案及演練等。外包合同執(zhí)行情況的動態(tài)管理不足。外包合同管理人員根據(jù)項目經(jīng)理提交的階段報告執(zhí)行階段款項的支付,缺少對現(xiàn)有合同的有效狀態(tài)、待支付費用狀況、支付的合理性等進(jìn)行事前管理,缺少對合同數(shù)據(jù)的分類統(tǒng)計與分析的主動性。

四是信息科技外包服務(wù)商的管理和約束機制尚不健全。當(dāng)紙質(zhì)約束無法實現(xiàn)降低企業(yè)面臨的風(fēng)險時,就需要把精力和重點放在外包供應(yīng)商的選擇上,通過甄別具有良好的合作潛力的外包伙伴來降低信息科技外包可能帶來的風(fēng)險。從部分商業(yè)銀行外包服務(wù)商的整體管理情況來看,尚未建立起完善的外包商準(zhǔn)入評級體系及后續(xù)評價機制,尚未做到對外包商的技術(shù)實力、經(jīng)營狀況、社會信譽等因素進(jìn)行有效合理的評定,尚未實現(xiàn)外包商分級管理。

二、商業(yè)銀行信息系統(tǒng)外包過程管理對策

(一)建立全面的外包風(fēng)險管理文化

于銀行來說,科技不僅是科技部門的科技,更是全行的科技。全面風(fēng)險管理體系應(yīng)該是全方位、全過程、全員的風(fēng)險管理方式。銀行的信息科技建設(shè)與銀行的風(fēng)險管理是一項整體性的工作,良好的風(fēng)險管理文化是IT外包順利實現(xiàn)的基礎(chǔ),銀行的風(fēng)險防范意識應(yīng)該始終貫穿于實施外包的所有階段,并明確操作流程,風(fēng)險種類及防范措施。

(二)建立兩階段信息系統(tǒng)外包過程管理模型

對于信息系統(tǒng)外包過程管理來說,過程管理方法也是一種改善外包管理、提升外包績效的非常有效的方法。信息科技外包過程實際上是一個復(fù)雜又系統(tǒng)的分析、判斷、執(zhí)行和評估的過程,各個過程之間是相互聯(lián)系和作用的,只有對諸過程進(jìn)行系統(tǒng)的應(yīng)用、管理和連續(xù)的控制,才能實現(xiàn)外包過程管理的有效控制,進(jìn)而實現(xiàn)整個外包活動的成功和延續(xù)。

(三)建立信息系統(tǒng)外包管理標(biāo)準(zhǔn)

供應(yīng)商選擇的好壞關(guān)系到外包業(yè)務(wù)能否成功,是防范外包風(fēng)險最重要的一步。供應(yīng)商的經(jīng)驗,技術(shù),能力、資本、信譽、對金融業(yè)的熟悉程度、自身發(fā)展的穩(wěn)定性、已有類似業(yè)績等都是影響外包業(yè)務(wù)能否按約完成的重要因素。因此,只有選擇了專業(yè)水平高、服務(wù)質(zhì)量好、信譽卓著的優(yōu)質(zhì)的外包商作為合作伙伴才能最大限度的降低銀行業(yè)務(wù)外包的信用風(fēng)險,增強外包成功的可能性。

參考文獻(xiàn):

[1]劉現(xiàn)偉.企業(yè)信息系統(tǒng)外包戰(zhàn)略實證研究[M].北京:經(jīng)濟(jì)管理出版社,2011

[2]孫琪霞.陳菊紅.基于缺口視覺的信息技術(shù)外包三階段決策模型研究.情報雜志[J].2008.27(12):71-74

[3]劉莉.吳絨.李楠.金融外包管理[M].北京:化學(xué)工業(yè)出版社.2012

第7篇:信息科技風(fēng)險管理策略范文

2.沈陽君航房地產(chǎn)開發(fā)有限公司,遼寧沈陽110141

摘要 建設(shè)工程作為一項比較復(fù)雜的工程,在建設(shè)工程合同管理中總會存在一定的風(fēng)險。畢竟我國現(xiàn)在工程建設(shè)發(fā)育并不完善,建設(shè)交易市場也不規(guī)范。在這種條件下,要想保證項目工程順利進(jìn)行,就應(yīng)該對合同中出現(xiàn)的風(fēng)險問題進(jìn)行管理。本文主要對建設(shè)工程合同中的承包人資質(zhì)風(fēng)險、合同文本風(fēng)險及招標(biāo)風(fēng)險進(jìn)行分析,并在此基礎(chǔ)上提出了相應(yīng)監(jiān)理策略。

關(guān)鍵詞 建設(shè)工程合同;風(fēng)險管理;監(jiān)理措施

中圖分類號TU71 文獻(xiàn)標(biāo)識碼A 文章編號 1674-6708(2012)61-0027-02

隨著建筑工程不斷的發(fā)展,建設(shè)工程合同顯得越來越重要。其不僅能明確發(fā)包人與承包人之間的權(quán)利義務(wù)關(guān)系協(xié)議,同時也能在工程實施階段約束承包方和發(fā)包方之間的行為。然而因建筑工程規(guī)模較大、工期較強,再加上材料消耗之大等,這就加大的工程合同風(fēng)險管理。要想使建設(shè)工程合同風(fēng)險管理得到有效的控制,就應(yīng)該采取相應(yīng)的監(jiān)理策略。如何解決建設(shè)工程合同中的風(fēng)險問題并采取相應(yīng)的措施,已經(jīng)成為建設(shè)工程合同管理的重點。

1 建筑工程合同中存在的風(fēng)險

1.1 承包人資質(zhì)風(fēng)險

承包人在承包工程項目的時候,必須出示相應(yīng)的函件,以證明自己有能力承包相應(yīng)的項目工程。雖然相應(yīng)法律對此進(jìn)行了明確規(guī)定,但是在實際工程建設(shè)中,一些承包人沒有施工企業(yè)資質(zhì)、實際是工人資質(zhì)的前提下,借用其他有施工資格企業(yè)資質(zhì)簽訂建設(shè)工程合同,勢必會給建設(shè)工程合同帶來一定的風(fēng)險。

1.2 合同文本風(fēng)險

國家工商部門和建設(shè)部為了使建筑市場更加規(guī)范,更好的對其進(jìn)行管理,制定與建筑施工相關(guān)的合同文本,并明確規(guī)定了建設(shè)工程發(fā)包方和承包的責(zé)任、權(quán)利及相應(yīng)的風(fēng)險。雖然一些工程建設(shè)單位知道這些規(guī)定,但其為了逃避義務(wù),逃避風(fēng)險,并沒有按照文本規(guī)定行事,而是自己制定或是采用一些不規(guī)范的文本簽約。這些合同因不是按照文本規(guī)范制定的,其內(nèi)容比較籠統(tǒng)、含糊,只是將不重要的內(nèi)容寫入其中,而忽視重要內(nèi)容,這就給建設(shè)工程合同留下了隱患。此外,一些建筑工程單位只是口頭允諾而忽視以政府命令的方式下達(dá)相關(guān)任務(wù),而合同卻等到施工完成后再補簽,這種合同不僅不能起到合同應(yīng)有的約束作用,也會加大建筑工程合同風(fēng)險。

1.3 招投標(biāo)風(fēng)險

就目前現(xiàn)狀來看,雖然在一些法律中明確了在簽訂建設(shè)工程合同必須用招投標(biāo)的形式進(jìn)行,國內(nèi)相關(guān)建設(shè)工程也普遍用這種招投標(biāo)方式,特別是比較大型的工程建設(shè)工程采用這種方式簽訂工程合同,但是這些工程建設(shè)發(fā)包方用這種方式進(jìn)行招投標(biāo)的時候,常會忽視招投標(biāo)的合法性、可操作性。這種不按照相關(guān)程序的規(guī)定就簽訂合同的行為,勢必會給建設(shè)工程合同帶來一定風(fēng)險。

2 建設(shè)工程合同風(fēng)險管理監(jiān)理策略

2.1 工程擔(dān)保策略

在建設(shè)工程合同中,不僅發(fā)包方有一定的合同風(fēng)險,承包方也會有一定的合同風(fēng)險。雙方在降低合同風(fēng)險上有共同點,就是利用工程保險或是擔(dān)保來盡可能的降低其合同風(fēng)險。在合同中,涉及到的保險比較多,并對其進(jìn)行明確的分類。不僅包括人身傷亡保險,還有工程險及第三方責(zé)任險。這些保險在工程實施的過程中就會實施應(yīng)用,在對其進(jìn)行應(yīng)用之前,監(jiān)理人應(yīng)該對相應(yīng)的風(fēng)險進(jìn)行審查,并及時督促承發(fā)雙方繳納相應(yīng)的保險,一旦發(fā)生相應(yīng)的事件,監(jiān)理人要及時對其進(jìn)行記錄并協(xié)助保險公司人員解決相應(yīng)問題。發(fā)包人在投資的過程中,會要求承包人出示工程投標(biāo)函、支預(yù)付款函等相應(yīng)證明材料。為了確保函件的準(zhǔn)確性,監(jiān)理人負(fù)責(zé)對承包人函件進(jìn)行審查,合格后才能簽訂合同,以避免不必要的合同風(fēng)險。

2.2 經(jīng)濟(jì)策略

一般情況下,發(fā)包方在投資預(yù)算的過程中就會對可能預(yù)見風(fēng)險進(jìn)行考慮,為了將風(fēng)險降至最低,發(fā)包方會備有一定的風(fēng)險資金,并將其列入暫定金額,一旦工程項目合同在實施過程中出現(xiàn)相應(yīng)的問題或是不確定的費用,就可以利用這一暫定金額,緩解合同風(fēng)險。對于承包方來說,其風(fēng)險資金來源于報價中的風(fēng)險附加費,其作用是當(dāng)合同風(fēng)險發(fā)生時,能夠利用這部分資金彌補合同風(fēng)險中部分損失,使合同價格和風(fēng)險責(zé)任能達(dá)到一定的平衡。為了更好的降低合同風(fēng)險,承包方會采取一定的報價策略以達(dá)到風(fēng)險轉(zhuǎn)移的目的。

2.3 技術(shù)和組織策略

在工程施工中總會存在一定風(fēng)險,為了提高風(fēng)險應(yīng)變能力和抵抗能力,承包方在簽訂合同的時候,就應(yīng)該不斷地完善組織機構(gòu)和人員的綜合素質(zhì),讓精通合同的專業(yè)人士參與到合同簽訂中來共同商討合同的簽訂。在大中型建設(shè)合同中,常由發(fā)包方負(fù)責(zé)合同起草,并聘請法律專家或咨詢顧問共同起草相應(yīng)文件,在起草過程中,必然存在不利于承包方的條件。在這種情況下,承包方在合同簽訂商討中,必須有一個精通工程技術(shù)、法律、經(jīng)營管理等綜合素質(zhì)的工程監(jiān)理。只有這樣,才能使合同談判更加平衡,信息更加對稱,同時也能增加承包方的判斷能力和風(fēng)險識別能力。

2.4 加強索賠管理策略

施工合同作為工程建設(shè)中最重要的合同,其是索賠的依據(jù),是合同管理的延續(xù)。其一般都是在工程開始之前進(jìn)行簽訂的,在簽訂的時候并未能將施工過程中出現(xiàn)的問題全面考慮進(jìn)去,畢竟那些問題是不確定的是施工之后發(fā)生的。因此,必須加強索賠管理。承包方簽訂合同的時候,要對可能發(fā)生的不利因素進(jìn)行預(yù)見,并對合同的變更和索賠的可能性進(jìn)行分析,采取相應(yīng)合同管理和索賠策略。監(jiān)理人作為風(fēng)險管理重要組成部分,在工程合同履行過程中,應(yīng)該根據(jù)施工過程中出現(xiàn)的狀況進(jìn)行法律分析,以最大限度的維護(hù)承包方權(quán)益,使工程建設(shè)更加規(guī)范,在提高生存能力的同時,也能將合同風(fēng)險降至最低。

3 結(jié)論

建筑工程作為一種能維護(hù)發(fā)包方和承包方雙方利益的合同,在建設(shè)工程管理中有重要的用。其不僅能使發(fā)包方和承包方雙方履行相應(yīng)的義務(wù),同時也能為解決項目工程管理中出現(xiàn)的問題提供相應(yīng)依據(jù)。但是由于建筑工程的復(fù)雜性,建設(shè)工程合同并不完善,在管理中總會出現(xiàn)一些風(fēng)險。為了將建設(shè)工程合同中的風(fēng)險管理降至最低,就應(yīng)該采取相應(yīng)的監(jiān)理措施。

參考文獻(xiàn)

[1]萬琳,朱麗娜,劉強.工程合同風(fēng)險管理分析[J].中小企業(yè)管理與科技(下旬刊),2009(8).

[2]李春梅,鈔鋒.淺析工程項目的風(fēng)險管理[J].現(xiàn)代經(jīng)濟(jì)信息,2009(13).

[3]李娜.施工企業(yè)合同風(fēng)險管理探析[J].河北建筑工程學(xué)院報,2011(2).

第8篇:信息科技風(fēng)險管理策略范文

【 關(guān)鍵詞 】 企業(yè)信息;信息安全;風(fēng)險管理;框架探究

1 引言

人類社會在不斷發(fā)展,信息化逐漸融入人們生活。信息資源對于現(xiàn)代企業(yè)來講,是每時每刻都存在的運轉(zhuǎn)載體,各種重要數(shù)據(jù)、企業(yè)的知識產(chǎn)權(quán)等這些都是企業(yè)的內(nèi)部信息,除這些信息外,其他相關(guān)方面的數(shù)據(jù)也被企業(yè)所利用,例如合作伙伴、客戶、員工等資料,尤其是一些服務(wù)性企業(yè),比如網(wǎng)商、快遞公司、金融公司、通信公司、航空公司等,這些企業(yè)更需要以信息系統(tǒng)作為支撐,信息資源成為企業(yè)不可或缺的重要組成部分。

2 新形勢下我國信息安全面臨的問題

2.1 風(fēng)險意識在主觀上的淡薄

在我國信息安全上面,思想認(rèn)識面臨高風(fēng)險的形勢,大部分企業(yè)的管理高層對信息資產(chǎn)的認(rèn)識嚴(yán)重不足。或者局限在IT的安全方面,沒有合理的安全觀念引導(dǎo)企業(yè)在信息安全管理方面的工作。信息安全管理制度的完整性缺乏,規(guī)范安全風(fēng)險和安全法律法規(guī)對員工的培訓(xùn)缺乏,很多信息安全事故的發(fā)生都是因為安全意識的薄弱造成的。

2.2 缺乏信息安全管理系統(tǒng)的思想

大部分企業(yè)仍是將傳統(tǒng)的管理方法用在安全管理模式中,這種出現(xiàn)問題再去想彌補的方法是靜態(tài)的管理,不能在提前進(jìn)行信息安全風(fēng)險評估上做更有效的信息系統(tǒng)管理。

2.3 信息安全不僅僅是技術(shù)部門的事

多數(shù)企業(yè)認(rèn)為信息安全的責(zé)任和義務(wù)都是IT部門的,造成信息技術(shù)部門無法和企業(yè)內(nèi)部其他部門互動,進(jìn)而形成孤立的局面。但是,信息安全的實現(xiàn)需要各個部門的全員行動,特別是規(guī)范標(biāo)準(zhǔn)以及規(guī)章制度的貫徹落實,更牽涉到企業(yè)的每一名員工,全員行動的要求更是不能缺少。

2.4 存在重視安全技術(shù)而輕視安全管理的情況

現(xiàn)今為止,仍有很多企業(yè)僅僅依賴產(chǎn)品安全,認(rèn)為信息安全就是信息產(chǎn)品安全。一般企業(yè)現(xiàn)在都會采用計算機和網(wǎng)絡(luò)技術(shù)來構(gòu)建企業(yè)的信息系統(tǒng),但是沒有把相應(yīng)的管理措施開展到位。信息安全問題應(yīng)該加強做好管理工作,不能單從技術(shù)方面著手。

2.5 現(xiàn)代管理手段與理論欠缺

日益龐大的現(xiàn)代化信息規(guī)模與越來越復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu),讓現(xiàn)有的風(fēng)險管理手段和理論都不足以讓企業(yè)信息安全得到完全的滿足,企業(yè)應(yīng)該結(jié)合實際情況和需要,把國際上優(yōu)異的信息安全風(fēng)險管理理論以及先進(jìn)的最佳實踐用作指導(dǎo),以此達(dá)到信息安全的目的。

3 企業(yè)信息安全風(fēng)險管理的框架探究

企業(yè)信息安全風(fēng)險管理的框架包括兩個部分,一是企業(yè)信息安全風(fēng)險管理的過程,二是企業(yè)信息安全風(fēng)險管理的實施。其中,實施是過程的保障,整合各種資源要通過實施才能達(dá)到;過程是實施的前提,對過程的清楚有利于建立企業(yè)信息安全風(fēng)險管理的統(tǒng)一理解,以此逐漸實現(xiàn)信息安全風(fēng)險管理。企業(yè)信息安全風(fēng)險管理包括風(fēng)險分析、風(fēng)險計劃、風(fēng)險識別、風(fēng)險監(jiān)督、計劃實施、風(fēng)險改進(jìn)六個動態(tài)過程。

信息安全風(fēng)險管理是動態(tài)、持續(xù)性過程,信息安全通過潛在的風(fēng)險識別、分析,同時進(jìn)行計劃、實施、監(jiān)督、改善,然后再進(jìn)入到下一個循環(huán)里,通過持續(xù)不斷的循環(huán)活動進(jìn)行有計劃、持續(xù)的控制,不斷改進(jìn)。

參照戴明的PDCA質(zhì)量管理模式,把安全項目實施劃分為四個階段,分別是準(zhǔn)備和策劃、執(zhí)行和部署、監(jiān)控和檢查、評價和改進(jìn),實施階段有幾個工作步驟:(1)準(zhǔn)備和策劃工作階段,首先調(diào)研信息安全風(fēng)險管理現(xiàn)狀,接著進(jìn)行風(fēng)險評估,然后編制信息安全風(fēng)險管理方案;(2)執(zhí)行和部署工作階段,進(jìn)行部署安排,按計劃執(zhí)行,接著進(jìn)行安全培訓(xùn);(3)監(jiān)控和檢查工作階段,做好企業(yè)安全現(xiàn)狀檢查,預(yù)測未來的變化;(4)評價和改進(jìn)工作階段,制定改善措施,響應(yīng)緊急事件。

4 企業(yè)信息安全風(fēng)險管理的實施

在風(fēng)險管理中人、過程、基礎(chǔ)結(jié)構(gòu)和實施是四大影響風(fēng)險管理能力的關(guān)鍵因素,企業(yè)的信息安全風(fēng)險管理能力同時也受著這四個因素制約,所以企業(yè)信息安全管理中十分重要的就是人通過各類資源和企業(yè)基礎(chǔ)結(jié)構(gòu)達(dá)到信息安全風(fēng)險管理過程的實施活動。

企業(yè)在開始嘗試安全風(fēng)險管理實施之前,很重要的一點是應(yīng)該檢驗現(xiàn)有安全風(fēng)險管理的完善度。假如企業(yè)在安全風(fēng)險管理上沒有規(guī)范的流程和正式的策略,就會出現(xiàn)框架的實施非常艱難。換句話說讓企業(yè)有一些正式的策略和明確的指導(dǎo),將避免大多數(shù)員工都在工作中不知所措。假如在安全風(fēng)險管理上發(fā)現(xiàn)企業(yè)相對不夠成熟,則可以采取試點的形式,把安全風(fēng)險管理實施到單個業(yè)務(wù)單元中,直到通過試運行在框架中顯示有效以后,再考慮將其他業(yè)務(wù)單元導(dǎo)入至整個企業(yè)框架中。

框架實踐需要以最優(yōu)實踐的經(jīng)驗為基準(zhǔn),必須有利于企業(yè)確定安全現(xiàn)狀,同時按照需要的安全方向進(jìn)行改進(jìn),企業(yè)的安全風(fēng)險管理能力通過不斷的提高,就能逐漸努力向著安全的目標(biāo)前進(jìn)。

5 結(jié)束語

進(jìn)入信息化時代,企業(yè)已經(jīng)把信息系統(tǒng)的高效、互聯(lián)、精確的特征當(dāng)作賴以生存和發(fā)展的必要條件。因此所伴隨產(chǎn)生的信息安全風(fēng)險就成了企業(yè)關(guān)注的重點問題。在此情況之下,企業(yè)建立信息安全風(fēng)險管理機制,利用科學(xué)的方法和手段控制各種風(fēng)險的發(fā)生顯得尤為重要。動態(tài)循環(huán)是企業(yè)信息安全風(fēng)險管理的一個過程,在風(fēng)險評估的前提下,要落實對風(fēng)險控制措施。同時對過程的實施要進(jìn)行有效的控制和監(jiān)督,這就需要一個明確清晰并且具有可操作性的信息安全風(fēng)險框架來指導(dǎo)。還有需要探究的工作在信息安全風(fēng)險管理領(lǐng)域里,但愿本文能引來更多這一領(lǐng)域探究,從而做出保障企業(yè)信息安全的貢獻(xiàn)。

參考文獻(xiàn)

[1] 陳慧勤.企業(yè)信息安全風(fēng)險管理的框架研究[J].2011,21(40):42-46.

[2] 惠志斌.企業(yè)IT風(fēng)險管理的體系構(gòu)建與實現(xiàn)路徑[J].科技管理研究,2014,34(2):36-55.

[3] 葉銘.企業(yè)動態(tài)信息安全風(fēng)險控制系統(tǒng)的研究[J].2012,08(11):81-85.

第9篇:信息科技風(fēng)險管理策略范文

關(guān)鍵詞:電力營銷;電費風(fēng)險;風(fēng)險管理;營銷策略

我國現(xiàn)階段實行以公有制經(jīng)濟(jì)為主體,多種所有制經(jīng)濟(jì)共同發(fā)展的基本經(jīng)濟(jì)制度[1],所以國有企業(yè)在我國經(jīng)濟(jì)主體中仍然占據(jù)重要地位,電力公司是國有企業(yè)中不可或缺的一部分,如何促進(jìn)電力公司健康發(fā)展,需要政府相關(guān)部門發(fā)揮宏觀調(diào)控的作用,改革電力公司現(xiàn)有發(fā)展模式,提升企業(yè)服務(wù)意識,加強營銷管理,建設(shè)與企業(yè)相符的電費風(fēng)險管理體系,簡化電費收取程序,保障電力輸送質(zhì)量,建立電力公司區(qū)域戰(zhàn)略品牌,樹立良好口碑。

一、電力營銷和電費風(fēng)險的概念

電力營銷是競爭激烈的市場經(jīng)濟(jì)產(chǎn)物,它以電力用戶需求為中心,以改變共用關(guān)系為手段,滿足用戶對安全、可靠、合格的電力產(chǎn)品需求。主要包括給用戶提供優(yōu)質(zhì)用電資源、實現(xiàn)電力公司最佳經(jīng)濟(jì)效益、打造電力公司良好企業(yè)品牌三方面目標(biāo)[2]。電力營銷作為一種新型發(fā)展理念,逐漸被電力企業(yè)發(fā)現(xiàn)并重視,但在實際推行過程中,出現(xiàn)了各種各樣的問題,比如公司市場營銷手段有限,潛在客戶流失等,為解決此類問題,需要政府和電力公司相關(guān)部門通力協(xié)作,拓寬營銷渠道,制定具體營銷策略,完善電力營銷管理體系,深化電力公司改革。電費風(fēng)險是指在電力營銷過程中電費收取不到位的現(xiàn)象,它影響著電力企業(yè)的發(fā)展,主要包含以下三方面:電力業(yè)務(wù)擴(kuò)展風(fēng)險、信息化電力系統(tǒng)風(fēng)險和繳費安全風(fēng)險[3]。電力企業(yè)只有根據(jù)自身實際情況,建立完善的電費風(fēng)險管理體系,才能保障電力營銷的順利進(jìn)行。

二、電力營銷過程中產(chǎn)生電費風(fēng)險的原因

隨著我國經(jīng)濟(jì)的不斷發(fā)展,電力需求量越來越多,用戶需求與電力供給之間的矛盾引發(fā)了電費風(fēng)險。電力企業(yè)需要加強風(fēng)險防范意識,有效規(guī)避電力營銷過程中產(chǎn)生的電費風(fēng)險。

(一)電力企業(yè)服務(wù)意識薄弱,營銷手段落后

電力資源是人們生活必需品,在傳統(tǒng)的電力銷售過程中,電力公司屬于供不應(yīng)求的“賣方市場”,使得電力公司員工忽視營銷策略的重要性,形成了不重視用電客戶需求的服務(wù)思維模式。比如媒體就曾曝光過在抄表過程中電力公司員工存在的不良服務(wù):在湖南省某供電公司抄表員李某因暴雨天氣不便出門,就沒有在抄表例日對居民電表進(jìn)行周期抄表,而是對用電客戶所用電能進(jìn)行估測,導(dǎo)致很多用電客戶的電能使用超出實際電量。從這個實例中我們可以看出,電力企業(yè)員工工作態(tài)度有待端正,需要增加責(zé)任心,同時這種報道的出現(xiàn),會使公眾對電力企業(yè)產(chǎn)生不信任感,破壞公司樹立的良好形象。

(二)電力企業(yè)缺乏對電費風(fēng)險管理有效措施

當(dāng)前電力企業(yè)的電費風(fēng)險主要是指繳費安全風(fēng)險,如何讓用電客戶及時、快速的繳納電費,電力企業(yè)還缺乏相關(guān)有效管理措施。比如現(xiàn)在的電力市場中存在拖欠電費的情況,有些用電量過大的客戶甚至出現(xiàn)拖欠一年的情況,這會給電力企業(yè)造成巨大的經(jīng)濟(jì)損失,也會加劇與用電客戶之間的矛盾,所以在繳費過程中,電力企業(yè)應(yīng)該對用電客戶采取有效措施,了解客戶實際需求,緩和與用電客戶之間的矛盾,推進(jìn)企業(yè)不斷發(fā)展。

三、加強電力營銷全過程電費風(fēng)險管理的措施

電力企業(yè)只有通過加強電力營銷過程管理,培養(yǎng)企業(yè)專業(yè)營銷人才,提升企業(yè)服務(wù)水平,重視企業(yè)綜合實力,才能適應(yīng)激烈的市場競爭。

(一)完善電力企業(yè)內(nèi)部管理體系,提升服務(wù)意識

電力企業(yè)需要改變發(fā)展觀念,引進(jìn)先進(jìn)電費風(fēng)險管理方法,提升公司服務(wù)意識,以客戶需求為主,根據(jù)客戶需求開展企業(yè)相關(guān)活動,建立完整的售前、售后體系,提供優(yōu)質(zhì)穩(wěn)定用電資源,簡化電費繳納程序,節(jié)約用電客戶時間。比如電力公司近期推行的“微笑服務(wù)”,讓每一位前來繳費的用點客戶都能享受到貼心、快速的服務(wù),能夠有效的緩解用電客戶與企業(yè)之間的矛盾。提升員工服務(wù)質(zhì)量,改善抄表不到位、電費收取錯誤的現(xiàn)象,培養(yǎng)員工“主人翁”意識。

(二)拓寬電費繳納途徑,推進(jìn)電費風(fēng)險管理信息化進(jìn)程

拓寬電費繳納途徑,能有效地節(jié)省用電客戶的時間,鼓勵用電客戶提前繳納電費,減少企業(yè)電費損失,推進(jìn)電費風(fēng)險管理信息化進(jìn)程。比如在2015年12月18日,浙江省溫州市洞頭縣供電公司根據(jù)自己企業(yè)發(fā)展情況,引進(jìn)“居民電費信用風(fēng)險管理系統(tǒng)”,確保了電費100%收取,這個信用系統(tǒng)通過錄入電費繳納時間、繳納方式和合同履行情況等信息,計算出用電客戶的信用等級和風(fēng)險等級,讓電力公司根據(jù)這些數(shù)據(jù)資料分層建立客戶管理體系。從這個實例中,我們可以看出,通過引進(jìn)信息化技術(shù),能及時發(fā)現(xiàn)欠費高風(fēng)險用電客戶,幫助公司減少經(jīng)濟(jì)損失。

(三)培養(yǎng)高素質(zhì)電力營銷人才,制定完整的電力營銷策略

電力企業(yè)營銷人員的職業(yè)素養(yǎng)直接影響著電費風(fēng)險管理的效率,所以企業(yè)要加強對營銷人才培養(yǎng)的重視,培養(yǎng)專門的電力營銷人才,深入市場調(diào)查,制定合乎公司發(fā)展的電力營銷策略。電力企業(yè)要引進(jìn)先進(jìn)的人才培養(yǎng)體系,提升員工服務(wù)意識,將營銷戰(zhàn)略貫徹在公司日常工作中。同時公司可以建立內(nèi)部責(zé)任制度,將電費風(fēng)險管理的責(zé)任明確到公司部門,拓寬用電客戶監(jiān)督渠道,提高電力工作人員責(zé)任意識,改善服務(wù)態(tài)度。

四、結(jié)束語

綜上所述,加強電力營銷全過程電費風(fēng)險管理工作對推進(jìn)電力公司發(fā)展具有積極意義,完整的電力營銷系統(tǒng)能夠提升公司服務(wù)意識,挖掘潛在用電客戶,拓寬電力公司發(fā)展渠道。改善公司供電系統(tǒng),為用電客戶提供安全可靠的電力資源,培養(yǎng)忠實用戶,提升公司綜合競爭力,通過規(guī)避電費風(fēng)險,幫助企業(yè)實現(xiàn)利益最大化,深化改革企業(yè)發(fā)展體系,轉(zhuǎn)變用電客戶觀念,讓用電客戶積極主動繳納電費,緩解用電客戶與公司矛盾,協(xié)調(diào)電費收取與電費風(fēng)險之間的關(guān)系,積極聽取用戶意見,保護(hù)客戶權(quán)益。

參考文獻(xiàn):

[1]劉燕.電力營銷全過程電費風(fēng)險管理策略[J].時代金融,2015,33:270+275.

[2]趙清揚.關(guān)于電力營銷全過程電費風(fēng)險管控的研究[J].黑龍江科技信息,2014,34:39.