時間:2023-06-12 16:20:33
導語:在風險評估方法論的撰寫旅程中,學習并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優秀范文,愿這些內容能夠啟發您的創作靈感,引領您探索更多的創作可能。
[關鍵詞]電力;企業風險;管理;定量風險評估
[作者簡介]林笑玫,廣東電網公司惠州供電局,廣東惠州,516001
[中圖分類號] F272.35 [文獻標識碼] A [文章編號] 1007-7723(2012)01-0052-0002
電力企業工程投資巨大,工程項目在實施期間會面臨著多個方面的風險,若不及時加以控制將給企業造成不可估量的經濟損失。為了滿足新時期電力項目持續進行的需要,企業必須要采用科學的風險評估方法。定量風險的核心是分析企業的定性風險,再排出優先順序的風險實施量化分析。根據理論標準,定量風險分析適用于已經制定好的風險應對計劃。這不僅能夠驗證風險控制效果是否符合預期要求,而且能夠從風險過程里反映企業管理存在的問題。同時,多次實施定量風險分析可提醒管理者是否調險管理方法,也是電力企業風險監測、轉移、控制的重要依據。
一、企業定量風險分析的方法
經濟體制改革發展局勢下,國家對電力企業的經營管理提出了新的調整要求,市場風險的控制與防范是電力企業經營管理的主要內容。電力行業是我國現代化產業結構的重點構成,加強電力企業的風險控制及管理有助于維持行業經濟的持續增長。定量分析法運用于電力項目風險評估,結合精準計算獲得的數據進行模擬驗證,可引導企業正確認識工程項目的風險狀況。目前,電力企業定量風險分析常用的方法有:
(一)概率分布
概率分布法是對電力企業可能發生風險的一種概率預測,以此判斷電力工程風險發生的可能性大小。因不同事件之間存在互斥性,所有事件的概率之和為1。概率分布法需結合相關的輔助方法,如:利用數學函數圖像對一年四季溫度變化情況分析,按照溫度大小規律分析雨水過多、溫差過大等因素對電力線路的影響概率,判斷電力系統潛在的風險隱患。
(二)外推法
外推法有前推、后推、旁推等形式,均適用于電力企業的定量風險評估活動。前推法是電力企業常用的風向評估方法,其結合風險發生的時間順序以及有效的數據集合判別未來風險發生的趨勢。外推法可分為簡均法、移動平均法、加權移動平均法、季節變動分析法等,電力企業風險分析時可依據掌握的資料靈活選擇不同的方法參與評估。如:結合移動平均法估算某一年地區用電需求量的變化,根據用電需求量的多少指導企業年產量的控制。
(三)靈敏度分析
靈敏度分析法本質上是對風險產生影響的一種評估,詳細地分析出不同風險對電力企業造成的影響力大小。如:就項目成本來說,電力企業采用靈敏度分析法,可對材料價格、市場供應等風險造成的成本影響具體判斷,讓企業有針對性地制定風險抵抗措施。一般情況下,電力企業經過靈敏度分析均可制定有效的風險應急處理方案。
(四)模擬法
模擬法采用企業提供的有效數據,利用計算機建立系統模型,對電力工程的風險狀態模擬分析。由于計算機在數據采集、處理、修改等方面的功能極強,將其用于定量風險評估可擺脫人工分析的失誤,提高風險評估結果的準確性。如:基于計算機平臺,管理人員可結合項目的網絡圖作為項目模型,把電力工程建設期間存在的財務風險、效益風險綜合體現出來。
三、定量風險分析的參照依據
考慮到電力行業的特殊性,企業在定量風險評估時需從專業角度分析問題,對風險評估采用的理論、方法嚴格掌握,以確保最終分析結果的可靠性、準確性、科學性。從電力企業實際定量風險評估工作的操作情況看,多數企業已經掌握一套相對完整的風險評估流程。“分析依據”是電力工程項目定量風險研究的重點參考。
(一)項目歷史信息
歷史數據是企業長期發展積累下來的重要資料,也是后期項目定量風險評估的理論依據。歷史信息包括:從行業或企業得到類似的已完項目信息,風險專家對類似項目的研究資料以及計算機存儲的風險數據庫。電力企業在風險評估時對歷史信息中有價值的資料靈活提取,減小風險評估的難度。
(二)項目范圍說明
項目說明書是電力工程的總概括,記錄了項目前期策劃及后期施工的詳細內容,也是電力企業信息存檔的必備資料。閱讀項目范圍說明書是定量風險評估的有效方法,以最真實的數據資料為基礎,抓住項目說明書涉及到的潛在風險綜合研究,有助于專家羅列出最權威可靠的風險評估結果。
(三)風險管理文件
風險管理文件是電力企業制定的預期處理方案,當工程風險發生之后可打開管理文件所編輯的措施處理風險。通常電力企業的風險管理文件提供的管理策略相對完整,如:執行風險管理的崗位職責、預算和計劃時間的風險管理活動,風險分類,風險分解結構和修訂的有關方面的風險承受度。
(四)風險清單
風險清單是對工程項目內容的檢驗審核,對電力企業定量風險評估具有統籌性的作用。借助于風險情況能為評估人員提供多個方面的信息,如:已識別風險的清單、項目風險的優先級清單等,這些都會給定量風險評估提供參考。此外,根據風險清單顯示的結果,電力企業可加強項目管理的力度,從項目進度管理計劃、項目費用管理計劃等優化管理。
四、風險管理的組織實施與基本流程
電氣企業推廣定量風險評估的優勢顯著,其不僅為高層經理提供了相當直接的數字;且數據分析階段可靈活運用各種逼近模型。定量分析后的許多具體調查工作可以用最小優先經驗執行,滿足了企業經營管理工作的具體需求。風險管理的組織實施應按照標準的流程操作,電力企業需結合項目的詳細情況設計定量風險評估的策略。
(一)風險管理與規劃
管理是控制工程風險的核心工作,電力企業實施風險管理措施可盡快處理當前所面臨的風險問題。制定風險管理之前,風險評估專家要做好詳細的規劃,引導后期管理操作的有序進行。如:對項目風險的成因、影響、處理等問題深入分析,設計出相對完整的風險管理策略。
(二)風險辯識與評估
當企業風險發生之后,應組織風險評估團隊盡快判別風險的具體情況,對風險的種類、影響、應對等綜合考慮。評估是風險辨識的重要環節,經過全面性的評估了解可掌握風險的有用信息,從客觀角度評估風險的破壞范圍,編制出更加優越的風險控制方案。
(三)策略修改與實施
由于風險管理方案具有突發性、應急性特點,最初制定的風險管理策略會在實施期間需要調整。電力企業管理人員需結合項目的實際需要,對其他相關的風險綜合考核檢測,以掌握最佳的風險處理策略,把風險造成的經濟損失控制在最小范圍。
(四)效果評估與總結
定量風險評估結束,企業有必要對此次評估活動進行總結,收錄相關的資料信息存檔管理。總結中要對此次定量風險評估存在的問題、取得的成果、使用的資料等內容加以整合,將其歸納成完整的信息檔案收集。總結資料是電力企業未來定量風險評估的參考資料。
五、結語
總之,電力行業是維持社會供電、用電正常運行的主導產業,工程項目的實施是改造電力系統的有效方法。企業在經營管理期間要充分考慮市場潛在的風險因素,采用定量風險評估方法處理問題,對項目存在的風險情況詳細分析,為企業提供更加可靠、安全的風險應對策略。
[參考文獻]
[1]金海燕,劉峰.對中國電力企業全面風險管理的認識[J].華北電力大學學報(社會科學版),2009,(1).
1.等級保護
1)主要內容
等級保護是指導我國信息安全保障體系總體建設的基礎管理原則,是圍繞信息安全保障全過程的一項基礎性管理制度,其核心內容是對信息安全分等級、按標準進行建設、管理和監督。
2)優點
等級保護適用于宏觀層面,是一種大范圍“基線安全”,適用于行業主管部門對信息安全的總體把握與監控。
3)缺點
具體到某個組織的信息安全保護而言,等級保護的粒度劃分較粗,在滿足組織對信息安全的精細控制要求方面還存在不足。因此,在滿足監管部門的等級保護要求之后,組織還可進一步把等級細化到各種層次的安全域,直至對一個個的信息資產進行有效管理。
2.信息安全管理體系(ISMS)
1)主要內容
類似于質量之于ISO9000,ISMS是組織為提高信息安全管理水平,按照ISO27001的要求,在整體或特定范圍內監理的信息安全方針和目標,以及完成這些目標所用的方法和體系。它是直接管理活動的結果,表示為方針、原則、目標、方法、計劃、活動、程序、過程和資源的集合。
2)優點
ISMS涉及了信息安全的11個領域,133個控制措施,基本涵蓋了信息安全的方方面面,適用于各種類型的組織用來建立一個總體的安全控制框架;ISMS更注重于把“安全管理”當作一種制度來建設,通過建立統一的方針、策略,以及規范化安全規則,使ISMS實施主體能有效地識別風險,持續不斷地采取管控措施,以把風險降低到組織可接受的程度。
3)缺點
它只是描述了建立ISMS的思想、框架,但對如何建立ISMS并沒有一個詳細明確的定義,也沒有描述ISMS的最終形態;沒有確定建立信息安全體系的具體方法與技術。因此,ISMS對實施者來說留下來很大的可操作空間,不同的組織和不同實施著對ISMS標準的把握可能差別很大,ISMS總體水平也會有高下之分。
3.風險評估
1)主要內容
風險評估是獲知組織當前風險水平的一種手段,在金融、電子商務等許多領域都是有風險及風險評估需求的存在。當風險評估應用于IT安全領域時,就是對信息安全的風險評估。
2)優點
風險評估從早起簡單的漏洞掃描、人工審計、滲透性測試這種類型的純技術操作,逐漸過渡到目前普遍采用ISO17799、OCTAVE、NIST SP800、NIST P800-26、NIST SP800-30、AS/NZS4360、SSE-CMM等方法,充分體現以資產為出發點、以威脅為觸發、以技術/管理/運行等方面存在的脆弱性為誘因的信息安全風險評估綜合方法及操作模型。
國內這幾年對信息安全風險評估的研究進展較快,具體的評估方法也在不斷改進。原國信辦2004年組織完成了《信息安全風險評估指南》及《信息安全風險管理指南》標準草案的制定,并在其中規定了信息安全風險評估的工作流程、評估內容、評估方法和風險判斷準測,對規范我國信息安全風險評估的做法具有很好的指導意義。
3)缺點
《信息安全風險評估指南》所確定的風險評估方法還只是一個通用的方法論,具體到一個特定的單位,要對其中的風險進行準確地識別與量化仍熱是一件困難的事情,在很大程度上要取決于評估者的經驗。
要:本文依據我國制定的信息安全風險評估標準和國際有關標準,研究和設計針對數字校園的信息安全風險評估流程和框架,并利用該流程針對實際的數字校園對象進行實例驗證,風險評估結果驗證了該流程的合理性和可行性。
關鍵詞:數字校園;風險評估;信息安全
中圖分類號:TP309 文獻標志碼:B 文章編號:1673-8454(2012)23-0030-04
一、引言
數字校園是以校園網為背景的集教學、管理和服務為一體的一種新型的數字化工作、學習和生活環境。一個典型的數字校園包括各種常用網絡服務、共享數據庫、身份認證平臺、各種業務管理系統和信息門戶網站等[1]。數字校園作為一個龐大復雜的信息系統,構建和維護一個良好的信息安全管理體系是一項非常重要的基礎管理工作。
信息安全風險評估是構建和維護信息安全管理體系的基礎和關鍵環節,它通過識別組織的重要信息資產、資產面臨的威脅以及資產自身的脆弱性,評估外部威脅利用資產的脆弱性導致安全事件發生的可能性,判斷安全事件發生后對組織造成的影響。對數字校園進行信息安全風險評估有助于及時發現和解決存在的信息安全問題,保證數字校園的業務連續性,并為構建一個良好的信息安全管理體系奠定堅實基礎。
二、評估標準
由于信息安全風險評估的基礎性作用,包括我國在內的信息化程度較高的國家以及相關國際組織都非常重視相關標準和方法的研究。目前比較成熟的標準和方法有ISO制定的《IT信息安全管理指南》(ISO/IEC13335)和《信息安全管理體系要求》(ISO/IEC27001:2005)、美國NIST制定的SP800系列標準、美國CMU軟件工程研究所下屬的CERT協調中心開發的OCTAVE2.0以及我國制定的《信息安全技術——信息安全風險評估規范》(GB/T20984-2007)。
ISO/IEC27001系列標準于2005年10月15日正式,作為一種全球性的信息安全管理國際標準適用于任何組織的信息安全管理活動,同時也為評估組織的信息安全管理水平提供依據。但是ISO27001系列標準沒有制定明確的信息安全風險評估流程,組織可以自行選擇適合自身特點的信息安全風險評估方法,如OCTAVE2.0等[2][3]。
為了指導我國信息安全風險評估工作的開展,我國于2007年11月正式頒布了《信息安全技術——信息安全風險評估規范》(GB/T20984-2007),這是我國自主研究和制定的信息安全風險評估標準,該標準與ISO27001系列標準思想一致,但對信息安全風險評估過程進行了細化,使得更加適合我國企業或者組織的信息安全風險評估工作開展。
三、評估流程
《信息安全技術——信息安全風險評估規范》(GB/T20984-2007)等標準為風險評估提供了方法論和流程,為風險評估各個階段的工作制定了規范,但標準沒有規定風險評估實施的具體模型和方法,由風險評估實施者根據業務特點和組織要求自行決定。本文根據數字校園的業務流程和所屬資產的特點,參考模糊數學、OCTAVE的構建威脅場景理論和通用弱點評價體系(CVSS)等風險評估技術,提出了數字校園信息安全風險評估的具體流程和整體框架,如圖1所示。
據圖1可知,數字校園的信息安全風險評估首先在充分識別數字校園的信息資產、資產面臨的威脅以及可被威脅利用的資產脆弱性的基礎上,確定資產價值、威脅等級和脆弱性等級,然后根據風險矩陣計算得出信息資產的風險值分布表。數字校園信息安全風險評估的詳細流程如下:
(1)資產識別:根據數字校園的業務流程,從硬件、軟件、電子數據、紙質文檔、人員和服務等方面對數字校園的信息資產進行識別,得到資產清單。資產的賦值要考慮資產本身的實際價格,更重要的是要考慮資產對組織的信息安全重要程度,即信息資產的機密性、完整性和可用性在受到損害后對組織造成的損害程度,預計損害程度越高則賦值越高。
在確定了資產的機密性、完整性和可用性的賦值等級后,需要經過綜合評定得出資產等級。綜合評定方法一般有兩種:一種方法是選取資產機密性、完整性和可用性中最為重要的一個屬性確定資產等級;還有一種方法是對資產機密性、完整性和可用性三個賦值進行加權計算,通常采用的加權計算公式有相加法和相乘法,由組織根據業務特點確定。
設資產的機密性賦值為,完整性賦值為,可用性賦值為,資產等級值為,則
相加法的計算公式為v=f(x,y,z)=ax+by+cz,其中a+b+c=1(1)
(2)威脅識別:威脅分為實際威脅和潛在威脅,實際威脅識別需要通過訪談和專業檢測工具,并通過分析入侵檢測系統日志、服務器日志、防火墻日志等記錄對實際發生的威脅進行識別和分類。潛在威脅識別需要查詢資料分析當前信息安全總體的威脅分析和統計數據,并結合組織業務特點對潛在可能發生的威脅進行充分識別和分類。
(3)脆弱性識別:脆弱性是資產的固有屬性,既有信息資產本身存在的漏洞也有因為不合理或未正確實施的管理制度造成的隱患。軟件系統的漏洞可以通過專業的漏洞檢測軟件進行檢測,然后通過安裝補丁程序消除。而管理制度造成的隱患需要進行充分識別,包括對已有的控制措施的有效性也一并識別。
(4)威脅—脆弱性關聯:為了避免單獨對威脅和脆弱性進行賦值從而造成風險分析計算結果出現偏差,需要按照OCTAVE中的構建威脅場景方法將“資產-威脅-脆弱性-已有安全控制措施”進行關聯。
(5)風險值計算:在資產、威脅、脆弱性賦值基礎上,利用風險計算方法計算每個“資產-威脅-脆弱性”相關聯的風險值,并最終得到整個數字校園的風險值分布表,并依據風險接受準則,確認可接受和不可接受的風險。
四、評估實例
本文以筆者所在高職院校的數字校園作為研究對象實例,利用前面所述的信息安全風險評估流程對該實例對象進行信息安全風險評估。
1.資產識別與評估
數字校園的資產識別與評估包括資產識別和資產價值計算。
(1)資產識別
信息安全風險評估專家、數字校園管理技術人員和數字校園使用部門代表共同組成數字校園信息資產識別小組,小組通過現場清查、問卷調查、查看記錄和人員訪談等方式,按照數字校園各個業務系統的工作流程,詳細地列出數字校園的信息資產清單。這些信息資產從類別上可以分為硬件(如服務器、存儲設備、網絡設備等)、軟件(OA系統、郵件系統、網站等)、電子數據(各種數據庫、各種電子文檔等)、紙質文檔(系統使用手冊、工作日志等)、人員和服務等。為了對資產進行標準化管理,識別小組對各個資產進行了編碼,便于標準化和精確化管理。
(2)資產價值計算
獲得數字校園的信息資產詳細列表后,資產識別小組召開座談會確定每個信息資產的價值,即對資產的機密性、完整性、可用性進行賦值,三性的賦值為1~5的整數,1代表對組織造成的影響或損失最低,5代表對組織造成的影響或損失最高。確定資產的信息安全屬性賦值后,結合該數字校園的特點,采用相加法確定資產的價值。該數字校園的軟件類資產計算樣例表如下表1所示。
由于資產價值的計算結果為1~5之間的實數,為了與資產的機密性、完整性、可用性賦值相對應,需要對資產價值的計算結果歸整,歸整后的數字校園軟件類資產的資產等級結果如表1所示。
因為數字校園的所有信息資產總數龐大,其中有些很重要,有些不重要,重要的需要特別關注重點防范,不重要的可以不用考慮或者減少投入。在識別出所有資產后,還需要列出所有的關鍵信息資產,在以后的日常管理中重點關注。不同的組織對關鍵資產的判斷標準不完全相同,本文將資產等級值在4以上(包括4)的資產列為關鍵信息資產,并在資產識別清單中予以注明,如表1所示。
2.威脅和脆弱性識別與評估
數字校園與其他計算機網絡信息系統一樣面臨著各種各樣的威脅,同時數字校園作為一種在校園內部運行的網絡信息系統面臨的威脅的種類和分布有其自身特點。任何威脅總是通過某種具體的途徑或方式作用到特定的信息資產之上,通過破壞資產的一個或多個安全屬性而產生信息安全風險,即任何威脅都是與資產相關聯的,一項資產可能面臨多個威脅,一個威脅可能作用于多項資產。威脅的識別方法是在資產識別階段形成的資產清單基礎上,以關鍵資產為重點,從系統威脅、自然威脅、環境威脅和人員威脅四個方面對資產面臨的威脅進行識別。在分析數字校園實際發生的網絡威脅時,需要檢查入侵檢測系統、服務器日志文件等記錄的數據。
脆弱性是指資產中可能被威脅所利用的弱點。數字校園的脆弱性是數字校園在開發、部署、運維等過程中由于技術不成熟或管理不完善產生的一種缺陷。它如果被相關威脅利用就有可能對數字校園的資產造成損害,進而對數字校園造成損失。數字校園的脆弱性可以分為技術脆弱性和管理脆弱性兩種。技術脆弱性主要包括操作系統漏洞、網絡協議漏洞、應用系統漏洞、數據庫漏洞、中間件漏洞以及網絡中心機房物理環境設計缺陷等等。管理脆弱性主要由技術管理與組織管理措施不完善或執行不到位造成。
技術脆弱性的識別主要采用問卷調查、工具檢測、人工檢查、文檔查閱、滲透性測試等方法。因為大部分技術脆弱性與軟件漏洞有關,因此使用漏洞檢測工具檢測脆弱性,可以獲得較高的檢測效率。本文采用啟明星辰公司研發的天鏡脆弱性掃描與管理系統對數字校園進行技術脆弱性識別和評估。
管理脆弱性識別的主要內容就是對數字校園現有的安全控制措施進行識別與確認,有效的安全控制措施可以降低安全事件發生的可能性,無效的安全控制措施會提高安全事件發生的可能性。安全控制措施大致分為技術控制措施、管理和操作控制措施兩大類。技術控制措施隨著數字校園的建立、實施、運行和維護等過程同步建設與完善,具有較強的針對性,識別比較容易。管理和操作控制措施識別需要對照ISO27001標準的《信息安全實用規則指南》或NIST的《最佳安全實踐相關手冊》制訂的表格進行,避免遺漏。
3.風險計算
完成數字校園的資產識別、威脅識別、脆弱性識別和已有控制措施識別任務后,進入風險計算階段。
對于像數字校園這類復雜的網絡信息系統,需要采用OCTAVE標準提供的“構建威脅場景”方法進行風險分析。“構建威脅場景”方法基于“具體問題、具體分析”的原則,理清“資產-威脅-脆弱性-已有控制措施”的內在聯系,避免了孤立地評價威脅導致風險計算結果出現偏差的局面。表2反映了數字校園圖書館管理系統的資產、威脅、脆弱性、已有控制措施的映射示例。
將“資產—威脅—脆弱性—已有控制措施”進行映射后,就可以按照GB/T20984-2007《信息安全風險評估規范》要求進行風險計算。為了便于計算,需要將前面各個階段獲得資產、威脅、脆弱性賦值與表3所示的“資產—威脅—脆弱性—已有控制措施”映射表合并,因為在對脆弱性賦值的時候已經考慮了已有控制措施的有效性,因此可以將已有控制措施去掉。
本文采用的風險計算方法為《信息安全風險評估規范》中推薦的矩陣法,風險值計算公式為:R=R(A,T,V)=R(L(T,V)F(Ia,Va))。其中,R表示安全風險計算函數;A表示資產;T表示威脅;V表示脆弱性;Ia表示安全事件所作用的資產重要程度;Va表示脆弱性嚴重程度;L表示威脅利用資產的脆弱性導致安全事件發生的可能性;F表示安全事件發生后產生的損失。
風險計算的具體步驟是:
(a)根據威脅賦值和脆弱性賦值,查詢《安全事件可能性矩陣》計算安全事件可能性值;
(b)對照《安全事件可能性等級劃分矩陣》將安全事件可能性值轉換為安全事件可能性等級值;
(c)根據資產賦值和脆弱性賦值,查詢《安全事件損失矩陣》計算安全事件損失值;
(d)對照《安全事件損失等級劃分矩陣》將安全事件損失值轉換為安全事件損失等級值;
(e)根據安全事件可能性等級值和安全事件損失等級值,查詢《風險矩陣》計算安全事件風險值;
(f)對照《風險等級劃分矩陣》將安全事件風險值轉換為安全事件風險等級值。
所有等級值均采用五級制,1級最低,5級最高。
五、結束語
數字校園是現代高校信息化的重要基礎設施,數字校園的安全穩定直接關系到校園的安全穩定,而風險評估是保證數字校園安全穩定的一項基礎性工作。本文的信息安全風險評估方法依據國家標準,采用定性和定量相結合的方式,保證了信息安全風險評估的有效性和科學性,使得風險評估結果能對后續建立數字校園的信息安全管理體系起到指導作用。
參考文獻:
[1]宋玉賢.高職院校數字化校園建設的策略研究[J].中國教育信息化,2010(4).
關鍵詞:凈利息收入;中間業務;金融創新;資產證券化
中圖分類號:F832
商業銀行風險評估與控制問題的研究具有較為重要的理論與現實意義。過去的研究主要集中在基于風險控制的某個角度或局部結合上市銀行的數據進行評估得出單項評估的結論,或者是對商業銀行的經營做中、短期的評估與預測,而對于中國的銀行風險評估體系進行系統、全面的研究,根據評估體系對商業銀行經營情況進行總體評價并指出其發展趨勢與建議的研究則較少涉及。本文共分為三個部分,第一部分對于整體評價商業銀行的方法與評估標準進行介紹與分析。第二部分基于第一部分的方法論,對于2011-2012年上市商業銀行的財務狀況進行整體評估;第三部分是對當前中國的銀行資產運營與風險的結論與建議。
一、商業銀行風險評估方法與模型
商業銀行風險評估方法與模型主要分為監管機構對商業銀行經營的評估標準與商業銀行評估模型。
(一)監管機構對商業銀行經營的評估標準
關于監管機構對商業銀行經營的評估管理問題主要介紹美國銀行業監管機構的駱駝(CAMELS)評價標準與中國銀行監督管理委員會的腕骨(CARPALS)評價標準。
1.美國銀行業監管機構CAMELS評價模型
此評價模型主要是以6個指標對商業銀行經營進行管理。一是資本充足率(Capital Adequacy),二是資產結構和質量(Asset Structure and Quality),這兩項指標側重于測量資產的分布與質量問題。三是管理水平(Management Quality),即管理層文化與管理層構成是否依賴于某個人與治理架構層等一系列問題。四是盈利能力(Earning Performance),包括盈利水平、盈利來源分配與資產結構匹配等。五是流動性(Liquidity Structure of Balance Sheet),即財務的彈性出現流動性問題是否有資金能力來給予支持。六是市場風險敏感性(Sensitivity to Market Risk),美國監管機構1996年才把這項指標加進去。目前銀行的很大一部分資產是交易性資產,如買賣債券、CDO(次級債)、信用違約互換、國債等。這些資產與市場的關聯度很大,因此要市場風險的敏感性進行評估。[1]
2.中國銀行監督管理委員會腕骨(CARPALS)指標體系
中國銀行監督管理委員會“腕骨指標”(CARPALS)體系主要涉及以下7個方面。
一是資本充足性(Capital Adequacy),主要考察資本充足率指標。
二是資產質量(Asset Quality),對不良貸款率(不良貸款占總資產的比率)、不良貸款偏離度進行評級,判斷資產歸屬于關注類、可疑類、次級類或普通類。因每家銀行均有自己的評級標準,因此有專門機構對自有標準與監管標準的一致性進行檢查,考察其偏離度。偏離度的大小體現了該銀行的監管力度,監管力度的寬松一般通過不良資產的撥備覆蓋率指標來體現。
三是風險集中度(Risk Concentration),主要考察單一客戶集中度指標與行業集中度指標。集中度過度將導致風險。如果客戶類型過于集中,當某個客戶的資產或某個行業發生問題時,整個銀行資產都將發生變化。行業角度的例子,最近我國的光伏行業、造船行業發生了問題;單一客戶角度的例子,尚德破產涉及銀行貸款77個億。如果規模不大的銀行,其集中度超過一定標準,將會對銀行資產質量造成風險。因此,對單一客戶、單一行業甚至區域的集中度均需要有限制。
四是撥備覆蓋(Provisioning coverage),撥貸比與撥備覆蓋率是針對不良資產的風險抵御能力進行評估的。
五是附屬機構(Affiliated Institution)。目前,中國有相當多銀行都是大型集團性質,下設附屬機構。如在以銀行為主業的前提下,幾大銀行均成為控股公司,下設證券、保險、投資公司等。因此進行風險評估時,需觀察子公司對母公司的影響度與依賴度。如果附屬公司的資本金、業務均由母公司提供,其依存度就很高,那么附屬機構對母行的資本回報率、負債都會產生重要的影響。
六是流動性(Liquidity)。2008年金融危機后,該問題受到高度重視。金融危機的產生并非銀行經營不夠謹慎,實質上他們的資本質量、資本充足率等都是非常好的。原因是整個金融市場凍結,持有的金融證券無法流通、變現,產生惡性循環。這次危機不僅對銀行監管提出很多要求,而且對會計制度改革也提出了很多要求,即會計政策對于市場是以“丁式原則”①還是以成本價、歷史價進行綜合考慮。丁式原則致使市場產生的流動性凍結是在系統性風險的前提下出現的。[2]所以,在考察流動性問題時,提出了流動性覆蓋率、凈穩定融資比例、存貸比(存款與貸款需保持一定比例來保證負債可以支持資產)這三個指標。流動性資產與30天內凈流出的現金(包括貸款、回購協議)比率不能超過100%,以保證有足夠的資金來支持短期內出現的支出。
七是案件防控(Swindle Prevention and Control) 案件問題體現的是銀行經營管理穩健性與經營管理的控制能力,即案件損失占總資產的比例。
這七項比例構成了中國金融監管部門對銀行的考核、評價的評價體系。
(二)商業銀行評估模型
以上述指標并不能夠完整地評價一家銀行,對于銀行的評估,還需依賴商業銀行的評估模型。以下是參照標準普爾與惠譽兩家評估機構的評級模型而設置的評估模型,可以分成三個部分,一是疊加風險因素,二是系統性風險因素,三是銀行自身風險因素。
1.疊加風險因素
疊加風險因素主要討論銀行得到的政府支持力度與股東支持力度問題。一般對銀行的評級都會考慮的評級和股東的結構。金融危機中,美國的許多銀行出現了問題,但美國發了7500億美元的債來收購這些銀行的資產。政府支持與股東支持是十分重要的。大多數銀行的股東是國家或大型的銀行、企業,這些股東能夠在銀行出現流動性支持時,投入資金來幫助銀行解決問題。經專業機構的調研分析,從19世紀70年代到21世紀初,銀行困難分為兩類,一類是銀行困境,另一類是銀行違約。銀行困境是指銀行的資金暫時出現困難,可能將出現違約情況,而銀行違約則是指銀行出現了到期無法支付、銀行存款擠兌等情況。歷史上曾經出現過多次銀行困境(包括美國的銀行在內),增長率由2%到7%。但違約銀行基本保持在1%以內。如歐洲一些銀行。但歐洲的許多銀行出現困境,但沒有違約,60%困境銀行得益于政府與股東的支持。[3]
2.系統性風險因素
該因素主要包括經濟風險、風險和行業風險三方面。宏觀經濟方面主要考察目前該銀行所屬國家的經濟處于上行期還是衰落期,失業率、通脹水平如何。這些指標決定銀行所處的外部環境狀況。除了經濟風險外,還要考慮銀行所處的區域行業情況。如這家銀行的競爭情況如何,是處在市場環境中還是受到管制,整個金融資產占GDP的比重有多大等。如目前我國是300%的比例,說明金融在整個區域中的銀行滲透力很強,該行業在國民經濟中處于一個舉足輕重的位置。評級機構還會對行業本身利潤是否有保證、整體行業情況,銀行的競爭壓力等指標進行考察。行業結構有很大影響。風險下國家的評級情況也會對評級產生影響。如中國經濟發展穩定、健康,評級加分。
3.自身風險因素
該因素是評價中的一個最主要部分。包括如下四個方面。
(1)治理機制
首先,要看被評價公司是否具有一個比較完善的治理結構,董事會、股東大會、管理層、運營是否完善。在治理方面企業文化屬于激進型還是保守穩健型。一般國有大型商業銀行比較穩健,而一些農村商業銀行屬于進取型銀行。
其次,治理機制還涉及到銀行的組織結構問題。歐美的一些銀行一般都是條線式管理,總部分為公司金融條線、個人金融條線等,從上至下的隸屬管理。采取這樣管理的優勢是產品線力量很強,按產品配置資源進行營銷,但產品線之間的合作相對較弱。例如,假設花旗銀行在北京有花旗銀行(北京)金融公司、花旗銀行(北京)個人金融公司,他們的報告路線是分別向上,業務并不會發生交叉。花旗銀行北京分行的行長沒有決策權,只是起到一個協調作用。兩家公司均向自己的亞太區產品線公司匯報工作。[4]而中國的銀行則采取區域分布制,層級是區域,總行下邊是分行,分行下邊是二級行、地級行,每家銀行以行為單位核算利潤,不以條線來核算利潤,行長在區域的管理上具有較大的權力。其優勢是有利于資源配置。組織架構對整個經營管理風險點及其他方面會有很大的不同。
第三,組織架構上要考察高管層的管理能力,是否有管理經驗,他們的教育背景、從業經歷、管理團隊是依賴于某個人,還是發揮了管理團隊的主動性、積極性及各自的長處,再加上員工素質,構成公司治理機制角度的銀行評估。
(2)發展戰略
考察銀行的戰略定位問題,包括地域戰略、主營業務戰略、渠道戰略等。主營業務戰略視角,例如,中國工商銀行各項業務(存款業務、公司業務、個金業務、現金管理業務)發展均衡,唯一短板是國際業務,但近年來,海外業務發展也很快,通過并購的方式購買了許多外資銀行;中國建設銀行十分擅長建筑、建設板塊;中國銀行以外貿、外幣為強項;招商銀行以零售業務為主,以電子銀行為發展主渠道;中國郵政儲蓄銀行有3.9萬多個網點,無人能與其比擬,可吸收到許多低成本的存款。戰略發展要根據自己的優勢來考慮。在戰略確定后,要觀察銀行每年的預算與規劃,考察其原來制訂的規劃目前是否實現,以戰略的實際執行情況來推論戰略的制訂是否合理,戰略管理與執行是否到位。銀行在核心領域中優勢是否能持續保持,取決于戰略是否到位。
(3)風險管理
這是商業銀行評估中很具體又很重要的一部分。由以下幾個方面來考察。
第一,管理風險。首先,風險職能部門是否具有相對的獨立性。贏利與風險控制常常是矛盾的,風險管理是否具有單獨的報告路線。如董事會是否下設專門的風險管理委員會,可直接向董事匯報,保證風險管理的約束性。其次,要有統一的風險管理框架。聲譽風險、法律風險、合規風險、包括流動性風險等。要進行整合管理,不能分散到各部門管理,否則就看不到這家銀行風險的全面的整體視圖。統一的風險管理架構是判斷該銀行風險管理能力的重要方面。再次,流程與授權是否規范。
第二,信用風險管理。
一是要考察整個資產負債結構是否健康,考察資產與負債的匹配程度。風險負債考察指標:①現金、準備金,或者說同業存放;②短期資金,如債券;③貸款;④股權、優先權。存款一般是中國銀行最大的負債。判斷一家銀行的資產是否健康要考察其存貸款比例,存貸款比例以70%為上限。貸款的增量與存款的增量在當年是否存款增量要略高一些,如果貸款的增量總是多于存款的增量,結構就不健康。還要考察交易方面的指標。
二是考察貸款的種類。長期貸款、短期貸款、中長期貸款、貼現期限等,人民幣與外幣的比例要與負債相匹配。
三是考察投項、行業分配。這與前文提及的集中度指標結合考察。如果監管力度適宜,對房地產行業、融資平臺都是嚴格監管且需要提特別準備金的,如果在這些行業恰恰投放得較多,就出現問題。
2.推進商業銀行資產證券化的建議
目前銀行將資產轉到表外的方法并不是很多,類似的操作案例從實質上來講,仍然是一種靠利息收入的傳統業務。目前,商業銀行資產和負債規模龐大,以資產證券化的方式盤活資產是每家商業銀行未來發展的必經之路,中國工商銀行2013年初針對價值30億元的資產在資本市場實施證券化。在國內銀行資產的證券化往往被視為美國金融危機的根源,不可否認金融危機的起源是美國住房信貸次級貸款的兌換危機,根源是銀行貸款衍生證券化產品的流動性過度泛濫導致的兌付信心危機。而中國銀行資產尚未進行證券化,現在恰恰要進行資產證券化,資產證券化會使商業銀行的信貸資產管理更具有靈活性,可以將很多信貸資產進行組合管理。商業銀行可以將不同的信貸資產打包在同業間通過證券化的形式互換。信貸資產根據風險偏好、資產負債的匹配關系、資產關系、期限關系進行調整,滿足不同投資人的要求。
現在中國應該大力發展銀行信貸資產證券化,但發展信貸資產證券化的同時,應該借鑒國外的經驗教訓,例如信貸資產打包證券化以后,應嚴格禁止重復與其他資產進行二次證券化,防止資產過度融資,形成金融泡沫,引發信譽危機。[6]再如,美元衍生品市場品種繁多,覆蓋了短債、長債、政府債、私人債、股票及其他一些衍生品。無論是投資還是避險需求,均可找到對應產品以及產品對應的操作市場和專業人才。[7]整體而言,目前國內商業銀行缺少資產負債管理工具,缺乏操作性政策支持,缺失金融創新人才。
銀行信貸資產證券化過程是個全壽命周期管理過程,在信貸資產發放前段,就要考慮到地區、期限、金額、收益等問題,在審批前與存量和其他在談的信貸資產建立關聯性,在銀行貸款發放的同時,利用同業和證券化平臺實現風險分散和資金回籠。
注釋:
①丁伯根法則(Tinbergen’s Rule)是由首屆諾貝爾經濟學獎得主、荷蘭經濟學家丁伯根―提出的關于國家經濟調節政策和經濟調節目標之間關系的法則。其基本內容是:政策工具的數量或控制變量數至少要等于目標變量的數量;而且這些政策工具必須是相互獨立(線性無關)的。
參考文獻:
[1]巴曙松,王怡,杜倩.從微觀審慎到宏觀審慎:危機下的銀行監管啟示[J].國際金融研究,2010,(5):83-85.
[2]周小川.金融政策對金融危機的響應――宏觀審慎政策框架的形成背景、內在邏輯和主要內容[J].金融研究,2011,(1):4-5.
[3]Kupiec,Paul.Estimating Economic Capital Allocation for Market and Credit Risk. The Journal of Risk [J]. 2004
[4] 何韌.花旗銀行在亞太地區跨國經營戰略分析[J].國際金融研究,2002,(3):40-41.
[5] 蔣健,趙洋.商業銀行資本充足率、股權結構與盈利能力――基于我國商業銀行的實證研究[J].貴州財經學院學報,2012,(1):36-37.
關鍵詞:公共危機 信息管理 危機信息 危機管理
中圖分類號: D630.8 文獻標識碼: A 文章編號: 1003-6938(2012)06-0081-10
公共危機信息管理(Public Crisis Information Management, PCIM)是公共危機管理與信息管理交叉而成的一個新的學科前沿領域,主要研究公共危機管理中的信息問題和信息管理問題。由于信息滲透于公共危機管理的各方面和全過程,是公共危機管理體系的基礎和核心,因此,PCIM的研究對促進公共危機管理的理論完善和實踐發展具有基礎性意義。從目前研究現狀來看,國內外PCIM研究成果眾多且增長迅速,但總體來看研究顯得比較分散,問題域(problem domain)設置比較隨意,使公共危機管理研究的深入在信息維度上存在明顯的不足和缺陷。
為了從總體上認識和把握公共危機信息管理,本文提出了PCIM的EPFMS理論分析框架,認為PCIM領域有以下5個核心問題域或研究范疇,即PCIM要素論(Element)、PCIM過程論(Process)、PCIM功能論(Function)、PCIM方法論(Methodology)和PCIM系統論(System),每個問題域或研究范疇都有其核心科學問題和研究側重點,它們共同構成PCIM的EPFMS理論分析框架(見表1)。
1 PCIM要素論
要素論主要研究PCIM的構成要素以及要素之間的關系,通過揭示各要素的基本內涵和理論問題,分析常態和危機狀態下各要素之間的聯系方式和作用機制,建立關于PCIM結構要素的基本認識和知識。
從廣義的角度,可把PCIM的構成要素概括為主體要素(包括政府、媒介、公眾、企業、NGO等)、客體要素(信息)及環境要素(政策法規、經濟、技術、文化等)(見圖1)。
PCIM主體要素有政府、媒介、公眾、企業、NGO等。根據公共治理理論,有效的公共危機管理應該是政府、企業組織、NGO、公眾等多元主體共同參與的過程。他們是公共危機管理的利益相關者(Stakeholders),在危機管理過程中有不同的地位、作用、利益需求以及表達渠道與方式,需要探尋不同主體間的信息協調機制,尤其是不同主體信息平臺的良性互動和不同主體間良性信息關系的構建等問題。根據公共危機中利益相關者的相關度、影響力和緊急性三個屬性,可以將利益相關者劃分為三類,即核[圖1 公共危機信息管理的構成要素] [環境
(教育、人文)][環境
(法律、政策)][媒體][環境
(技術)][環境
(經濟)][公眾][政府][信息][][接受][反饋][使用][使用][傳播] [企業][NGO]
心的利益相關者、邊緣的利益相關者和潛在的利益相關者。一般來說,政府、受害的社會組織和公眾、危機誘發者是核心的利益相關者,媒體、NGO、公共服務部門是邊緣的利益相關者,危機旁觀者是潛在的利益相關者[1]。N. Bharosa從社區(宏觀)、組織(中觀)、個人(微觀)三個層面分析了災害響應過程中影響信息共享和協作的因素,發現救災工作者更愿意獲取對他們有用的信息而不是向其他人提供信息。要實現信息共享,理解每一個人及其他組織的工作過程和信息系統的性能是非常重要的,并據此提出了對信息系統設計者及政策制定者的六條建議[2]。
信息是PCIM的客體要素,是PCIM要素論研究的核心內容。危機信息的概念有廣義和狹義之分,狹義的危機信息是危機潛伏、爆發、持續、解決等一系列過程中與危機管理相關的各種信息,廣義的危機信息除了信息要素之外,還包括危機管理過程中與信息相關的人員、技術、設備、資金等,即危機信息資源[3]。信息要素的研究首先需要分析公共危機的信息需求,研究危機信息及其傳播特點;其次對相關信息進行分類分級,建立信息目錄體系,按目錄層級和輕重緩急收集和分析信息;再次從信息主體和客體間的相互作用研究信息的傳遞、共享和使用問題,主要圍繞信息機構如何組織信息資源、政府機構如何信息、媒介組織如何傳播信息、社會公眾如何接受和選擇信息這幾條主線展開。
環境要素是PCIM主體要素和客體要素之間相互作用的通道和橋梁,主要包括與PCIM相關的政策法規、產業經濟條件、信息技術、減災防災文化等。環境要素是PCIM的支持要素和保障要素,良好的環境是PCIM主客體有效作用、信息順暢傳遞和發揮作用的有力保障。
PCIM要素論要研究的主要內容有:(1)PCIM構成要素及其相關理論問題;(2)PCIM主體間的信息關系及相互作用問題,如政府和媒體、政府和公眾、媒體和公眾、政府和企業、政府和NGO等之間的信息傳遞與信息溝通;(3)PCIM主體、客體與環境之間的相互作用及信息關系問題,如信息流程、信息共享、信息反饋、信息架構(Information Architecture)以及信息倫理、信息政策、信息成本控制等。
2 PCIM過程論
美國危機和緊急情況管理手冊(Handbook of Crisis and Emergency Management)提出了公共危機管理的四階段模型,即減除(Mitigation)、預防(Preparedness)、反應(Response)和恢復(Recovery)[4]。“減除”是指減少影響人類生命、財產的自然或人力危險要素,如實施建筑標準、推行災害保險、頒布安全法規等;“準備”是指發展應對各種突發事件的能力,如制訂應急計劃、建立預警系統、成立應急運行中心、進行災害救援培訓與演練等;“響應”是指災害發生的事前、事中與事后采取行動以挽救生命、減少損失,如激活應急計劃、啟動應急系統、提供應急醫療援助、組織疏散與搜救等;“恢復”既指按照最低運行標準將重要生存支持系統復原的短期行為,也指推動社會生活恢復常態的長期活動,如清理廢墟、控制污染、提供災害失業救助、提供臨時住房等。PCIM過程論就是從公共危機管理的四個階段出發,研究每一階段的信息保障和信息管理問題(見圖2)。
從管理學的PDCA(計劃、執行、檢查、糾正)活動角度看,PCIM不僅僅是在公共危機的全流程管理中提供有效的信息,它應以“決策和執行”為軸心,在危機信息管理活動中不斷重復PDCA管理功能,不斷改進,形成螺旋式的公共危機信息管理循環。公共危機管理的每個階段都有PDCA循環,后一階段的PDCA循環以前一階段為基礎,是對前一階段的修正和改進。例如,響應階段的PDCA以準備階段的PDCA為前提和基礎。
公共危機管理的四個階段都涉及信息的收集、處理、存儲、傳播和使用,但各個階段的信息管理內容是有所側重和不同的。“減除”階段主要內容有:風險信息收集、風險地圖繪制、危機預測、風險評估等;“準備”階段主要內容有:信息監測、信息分析、預案研發、預警系統等;“響應”階段內容有:信息公開、信息傳播、信息資源配置、決策信息支持等;“恢復”階段主要內容有:災害評估、危機善后、災后重建等。
從公共危機管理的發展趨勢來看,其重心已從災后應對轉向災前準備,進而轉向風險管理,即由被動響應變為主動防御,由主動防御變為風險消除。與此相對應,PCIM的研究重點也將逐步轉向風險信息管理和災前信息準備,信息備災將作為一個重要概念提出并逐步上升為PCIM的一個重大研究領域。
3 PCIM功能論
功能論主要研究PCIM在公共危機管理中的功能和作用,探析PCIM最基本、最普遍的功能及其作用機理與方式。一方面,這些最基本、最普遍的功能可以概括各種具體的PCIM的工作目標,另一方面,這些最基本、最普遍的功能又是相互不能替代和兼容的,它們表征了PCIM的基本價值和作用。
在經典文獻中,阿利森和澤利科在《決策的本質——解析古巴導彈危機》(Essence of Decision: Explaining the Cuban Missile Crisis)中闡述了危機與決策的關系以及決策模式,將危機管理看成是決策論的一個分支加以研究,強調了信息在危機決策中的作用。米特洛夫和皮爾森在其著作《危機管理》(Crisis Management)中指出,搜集、分析和傳播信息是危機管理的直接任務[5]。奧托·萊爾賓格爾在《危機主管:直面風險與不確定性》一文中,從信息角度分析了危機管理者的職能和素質[6]。羅納德·伯克和卡里·庫珀在《持續性危機溝通:規劃、管理和響應》一書中分析了危機管理中的信息需求問題,提出了持續性的危機管理方法,探討了信號尋求、危機預防、危機準備、危機識別、危機遏阻、危機恢復等相關問題[7]。
通過歸納、比較、綜合各種不同層次、不同類型的公共危機信息管理所提出的工作任務,結合公共危機管理對PCIM工作的需求,將PCIM的功能劃分為基礎功能和核心功能兩大部分。基礎功能包括對危機信息的收集、處理(組織)、存儲、傳播和使用;核心功能包括利用危機信息進行預測、預警、決策、執行(指揮、調度)和評估。基礎功能是一般信息管理所共有的功能,核心功能是在基礎功能的基礎上,PCIM支持公共危機管理的最基本、最普遍的功能。PCIM的基礎功能和核心功能都貫穿于整個公共危機管理活動中,基礎功能是前提和基礎,核心功能是本質和中心;任何一個核心功能的實現都離不開基礎功能,同樣基礎功能要想體現其價值和作用,又要通過核心功能來實現(見圖3)。
[圖3 公共危機信息管理功能論]
3.1 PCIM基礎功能
(1)信息收集:實時、準確、全面地監測和收集與公共危機相關的各種數據和信息,強調對危機征兆信息的捕捉,重視遙感、遙測、GIS、GPS等信息技術的使用以及信息的實時動態更新。隨著社交媒體的興起,社交媒體正成為公共危機信息監測與收集的重要渠道[8]。
(2)信息處理:對危機信息進行選擇、組織和加工整理,是把無序的信息流轉化為有序信息流和支持危機決策的知識。在當前大數據環境下,對海量實時危機信息流的處理和挖掘分析在技術上已成為可能,正成為社會計算(Social Computing)、計算社會科學(Computational Social Science)、商務智能(Business Intelligence)等學科的研究熱點[9]。
(3)信息存儲:是將已加工處理的危機信息存儲到介質中,以方便公共危機利益相關者使用和傳播。云存儲和云計算是海量實時危機信息存儲的一個基本趨勢。
(4)信息傳播:將經過處理的危機信息提供給用戶,以滿足用戶信息需求的過程。信息公開是PCIM的一個核心原則。新媒體在危機信息傳播中的作用日益受到關注[10-12]的同時,公共危機中虛假信息和偽信息的傳播問題也成為研究熱點[13-14]。
(5)信息使用:利益相關者利用信息或信息服務進行公共危機管理的過程。信息使用是PCIM的目的和歸宿,是PCIM基礎功能和核心功能聯系的橋梁和紐帶。
信息收集、信息處理、信息存儲、信息傳播和信息使用構成信息的生命周期(Information Life Cycle),是一個不斷循環往復的過程。
3.2 PCIM核心功能
(1)預測與預警:貫穿于危機生命周期全過程。在危機爆發前需要對其進行監測和預測,找到潛在的危機并盡可能的消除。在危機發生伊始,要對所發生的危機做出恰當的預警,引導和指揮公眾應對危機。在危機爆發后,也需要根據危機的不斷變化和特有性征調整計劃和方案,達到以少量代價解決危機的目的。危機預控職能是有效避免危機的關鍵職能,主要處于危機爆發前的潛伏期、生成期和期中。利用無線傳感網絡、空間視頻系統及人工智能(移動機器人)等可以有效地收集地理數據和環境狀態數據[15-18],并通過預測模型得出哪些地區會受到威脅,及時做出預警。利用從急救中心及突發事件舉報中心獲得的數據,可以分析危機事件發生的頻率及時空分布[19-20]。
(2)決策:支持危機決策是PCIM的核心功能,危機信息的收集、組織、分析、解讀均以決策目標為中心。賈尼斯在《決策與危機管理中的領導》(Crucial Decision: Leadership in Policymaking and Crisis Management)一書中,在總結各類決策模式的基礎上,提出了危機決策流程的約束模型和四大步驟,闡述了信息搜集在問題確認、信息資源利用、分析和方案形成以及評估和選擇中的作用[21]。Roberto G.aldunate等人研究并提出了一種分布式協同決策模型,主要用于大規模減災中的決策制定[22]。De Maio等研究了一種基于語義網絡來協調異質數據和柔性計算的方法,用來處理不確定性因素和模擬植入在應急計劃中的因果推理,來支持應急決策和資源調度[23]。GIS可通過獲取數據、存儲數據、處理數據、分析數據以及可視化數據,為危機管理者提供了決策支持[24]。除決策系統設計之外,決策信息的傳達及決策中領導績效的測量也受到了關注[25-26]。
決策功能貫穿于整個危機管理活動中,事前的決策主要是以常規決策和程序化決策為主,決策的問題一般都具有良好的結構,可以廣泛征求意見,充分發揚和體現民主決策。協商民主(Deliberative Democracy)、基于地理信息的協商(GeoDeliberation)等作為重要研究主題,在公共危機管理領域正引起廣泛的關注[27-28]。危機一旦發生,危機的決策目標就會隨著危機事態的演變而變化,人們需要不斷地做出調整和修正,危機決策變為非程序化決策。這時決策的第一目標是控制危機的蔓延和事態的進一步惡化,決策者通常以經驗和靈感決策為主,由于情況緊急,往往將權威決策者的決定作為最后的決策結果。
決策過程中要解決的主要信息問題有:①準確定義危機決策問題;②針對可能出現的各種危機情境,應用專家知識和經驗編制危機應急預案和應對計劃;③根據出現的異常問題,判別危機情境,借助于DSS、知識庫、預案仿真等技術得到處理危機的初步方案。
(3)執行。高效的執行是危機決策發揮作用的有利保證。執行階段主要的問題有人員設備和其他資源的調度,災害現場的實時反饋,突況的靈活應對等。在執行的過程中協作是至關重要的,大規模的危機事件響應是一個綜合協作的過程,需要相鄰區域的多部門主動參與和有效協作[29]。對公眾參與來說,開放地理信息系統(volunteered geographic information)[30]、移動地理信息系統[31]等是有效工具,一方面會提供重要的信息交互,另一方面也會提高應急處置的效率。
(4)評估。不僅指對危機后的評價,還包括對危機前的風險評估以及危機中“可減緩性”、“可挽救性”與“可恢復性”的評價,其中尤其要注重危機前的風險評價,因為它具有“可消除性”[32]。美國聯邦應急管理署(FEMA)了一系列與風險有關的文件,其中包括風險地圖、評估和規劃(RiskMAP)的項目管理、戰略、技術服務和用戶數據服務等[33]。日本學者Ana Maria Cruz 和Norio Okada研究了城市由自然災害引發的技術災難(Natech)[34],并提出了針對此類災難進行風險評估的一套方法論。德國的備災評估項目中建立了比較成熟的備災指標和框架,可進行多種與災難相關的評估[35](Center for Hazards Research and Policy Development University of Louisville,2006)。在火山、地震、泥石流、海嘯等自然災害風險評估與災害影響評估中,交互式繪圖信息系統、地理空間信息技術、遙感遙測等技術得到了廣泛應用[36-39]。
4 PCIM方法論
著名學者拉普拉斯說過:認識研究方法比發明、發現本身更重要。如果我們把發明和發現比喻為“黃金”,那么研究方法就是“煉金術”[49]。方法論是對方法的理論說明與邏輯抽象,是具體的、個別的方法的體系化與理論化,因此相對于方法而言,方法論具有理論性、系統性和統一性等特征。
信息管理方法研究在危機管理領域雖然取得了一定的發展,但還沒有形成系統的成果。公共危機信息管理有其自身的特點,所運用的方法要側重于應用性與可操作性,必須與實際情況相適應,這就決定了PCIM的方法體系與傳統的信息管理方法有所不同。
對PCIM方法體系的建構來說,一方面,方法是實現PCIM各項具體工作目標或任務的工具,因此,方法的結構應該從總體上保證PCIM各種功能的實現,即符合功能—結構的對應原則。另一方面,由于PCIM方法的來源是多方面的,方法的類別和數量是眾多的,方法的性質是多元的,固此,應構建一個盡可能全面的、有機的方法框架,既明確反映各種具體方法的“位置”、反映方法之間的聯系和區別,又是可以擴充和發展的,可為新方法的并入提供余地。
根據公共危機管理的四階段模型,從支持公共危機管理流程的主要功能出發,建構了與主要功能相對應的PCIM方法體系(見圖4)[41]。
PCIM方法體系由需求分析方法、信息采集方法、危機預測方法、危機監測方法、環境分析方法、深度研究方法、應急決斷方法、執行控制方法和綜合評價方法9大類方法構成,每一類方法又包括各種具體方法,本文只列舉了部分常用或重要方法。
公共危機發生之前是信息管理的準備階段,所需要做的是需求分析、信息采集與危機預測。需求分析方法保證了需求分析階段所劃定的信息需求范圍的合理性,信息采集方法保證了所采集信息的質量與數量,而危機預測方法則直接關系到危機預報的準確性。
公共危機過程中的信息管理過程就是危機決策的過程,對應于危機決策的5個步驟,信息管理也執行危機監測、環境分析、深度研究、應急決斷與執行控制5個功能。這個過程直接關系到公共危機管理的效果,對各類方法的應用也最為廣泛。
公共危機后信息管理的作用是對危機管理的效果進行評價并進行及時反饋,此時的方法也主要是各類評價方法。
5 PCIM系統論
PCIM系統論主要研究支持公共危機管理的各種應用信息系統、信息架構和信息技術。美國紐約大學商學院勞頓教授認為:信息系統不只是一個技術系統,而且還是一個管理系統和組織系統,是一個社會系統。危機管理信息系統是基于不同層次、不同功能和技術的多維整合(見圖5)[42]。
從技術維的角度,各種公共危機管理應用信息系統和信息平臺的建設需要廣泛采用各種信息技術。除計算機硬件、軟件、存儲技術、通訊和網絡技術等最基本的技術之外,還需要利用遙感技術(RS)、GPS技術和分布式數據庫技術,有效地集成分散的信息資源;采用網格技術、GMS(Geo-code Mapping System)技術、數據倉庫(DM)等,建立完整、動態的危機管理綜合數據庫;采用GIS技術、信息可視化技術、XML技術和決策模型,建立相互關聯的決策支持子系統;采用地理空間信息技術,建立協作式危機管理系統[43-44];采用網絡輿情監測技術,實現對網絡群體性突發事件危機信息傳播動態的實時監測[45];采用仿真技術,實現對危機事件的發生、演化機理分析,加深人們對危機治理的理解和認知[46-47]。
在經典文獻中,1984年,沙特朗(R. L. Chartrand)等人在名為《用于應急管理的信息技術》(Information Technology for Emergency Management:Report)的研究報告中,著重研究了應急通信系統、與自然災害有關的信息存儲與檢索系統,以及其它信息技術在減災和危機管理等方面的應用問題[48]。科林(Nick Collin)討論了危機信息管理中對信息和技術管理重構的重要性[49]。1999年,美國國家研究理事會(National Research Council, NRC)編著的《用于危機管理的信息技術研究》(Information Technology Research for Crisis Management)詳細介紹了各種可用于危機管理的信息技術的特點、作用等,并強調要通過信息技術的運用來應對各種危機[50]。在危機管理實踐中,全球著名的ESI公司開發了基于Web的應急信息管理系統——Web EOC系統,已得到了廣泛利用,可以使組織在沒有建立緊急事件處理中心的情況下也能很好地預防和應對危機[51]。
從層次維的角度,地方危機管理信息系統支持地方政府的公共危機管理,各應用信息系統一般由政府專門部門建設,一般系統可操作性強,但可集成、可擴展性差。國家危機管理信息系統支持國家層面的公共危機管理,是地方危機管理信息系統的集成,建設中主要解決不同系統間的數據融合、共享和擴展問題。全球戰略與區域應對信息管理系統支持國際層面的公共危機管理,在“全球風險社會”背景下,是支持跨國危機管理和全球危機管理的信息基礎設施。在上述三個層次的危機信息系統中,國家危機管理信息系統居于核心地位。以美國國家突發事件管理系統(National Incident Management System, NIMS)為例,美國國土安全部成立后,NIMS將美國已有的最佳經驗整合為一個統一的適用于各級政府和職能部門應對各種災難的國家突發事件管理方案,使聯邦、州、各級地方府與私人團體能夠有效、高效、協調一致地對國內突發事件作出準備、反應以及從突發事件中恢復[52]。在實用系統層面,Sahana作為一個開放的災害管理信息系統,能有效地促進政府、公眾、企業及非政府組織之間的協作,協作主體可以跨越組織界限共享數據,共同響應災害[53]。
從功能維的角度,公共危機管理信息系統按照功能可以劃分為安全信息采集系統、動態數據監測系統、危機預測預警系統、應急預案系統、應急演練系統、應急仿真系統、應急決策系統、應急指揮系統、應急資源配置與調度系統、環境污染評測系統、災害綜合理賠系統、財產損害評估系統、醫療救助系統等。這些應用信息系統通過統一的應急信息平臺進行集成,支持公共危機管理各項功能的實現。
6 結語
EPFMS分析框架是在公共危機管理與信息管理雙重視域的交叉結合中基于問題域及其關系建構起來的PCIM研究框架,說明PCIM既有其背景學科——公共危機管理與信息管理——的知識支撐,又有其不同于背景學科的獨特的知識元素和學科氣質。
EPFMS分析框架的PCIM要素論主要研究PCIM的構成要素以及要素之間的關系,建立關于PCIM結構要素的基本認識和知識;PCIM過程論基于公共危機管理的典型生命周期過程,研究每一階段的信息保障和信息管理問題;PCIM功能論主要研究PCIM在公共危機管理中的功能和作用,探析PCIM最基本、最普遍的功能及其作用機理與方式;PCIM方法論研究PCIM的方法來源、方法原理、方法應用以及方法體系的建構問題;PCIM系統論主要研究支持公共危機管理的各種應用信息系統、信息架構和信息技術。每個研究范疇都有其核心科學問題和研究側重點,它們共同構成公共危機信息管理的EPFMS理論分析框架。為了便于對EPFMS分析框架有更加明確的認識,將其主要研究內容以及未來研究方向等總結如下表(見表2)。
[EPFMS
框架\&研究
時間\&研究的
成熟度\&研究的核心問題\&未來發展
方向\&要素論\&稍晚\&不成熟\&公共危機信息管理的主體、客體、環境,以及主體和客體間的信息傳遞、作用機制等。\&由要素內容轉向要素關系研究\&過程論\&較早\&欠成熟\&以決策為軸心研究公共危機信息的螺旋式周期管理\&由災害應對轉向信息備災和風險管理\&功能論\&較早\&較成熟\&以決策功能為核心研究公共危機信息收集、處理、存儲、傳播和使用中的問題,支持危機預測預警、決策、評估。\&智能化決策,突發事件的動態仿真與計算實驗\&方法論\&稍晚\&不成熟\&危機信息的收集方法、組織方法、決策方法、評估方法以及改進\&新方法的引入,獨有方法的建構\&系統論\&早\&較成熟\&支持信息系統建設的關鍵技術,如GIS、網格技術、衛星遙感、可視化技術等。不同信息系統的集成和融合問題,如數據共享、數據兼容\&綜合危機信息管理系統\&][表2 EPFMS的主要研究內容和方向]
參考文獻:
[1]沙勇忠, 劉紅芹.公共危機的利益相關者分析模型[J].科學·經濟·社會, 2009, (1): 58-61.
[2]N. Bharosa, J. Lee. Challenges and Obstacles in Sharing and Coordinating Information During Multi-Agency Disaster Response: Propositions From Field Exercises[J]. Information Systems Frontiers, 2010, 12(1): 49-65.
[3] F. W. Horton, D. A. Marchand. Information Management in Public Administration[M], Arlington, Va. : Information Resources Press, 1982.
[4][澳]羅伯特·希斯. 王成, 宋炳輝, 金瑛, 譯. 危機管理[M]. 北京:中信出版社, 2001: 30-31.
[5]Mitroff , Pearson. Crisis Management[M]. San Francisco: Jossey-Bass Publishers, 1993.
[6]Otto Lerbinger. the Crisis Manager: Facing Risk And Responsibility[M]. New Jersey: Lawrence Erlubaum Associates, 1997.
[7]Ronald J Burke, Cary L Cooper. the Organization in Crisis :Downsizing, Restructuring and Privatization[M]. Malden, Ma: Blackwell Publishers, 2000.
[8]Austin, Lucinda, Liu, Brooke Fisher, Jin, Yan. How Audiences Seek Out Crisis Information: Exploring the Social-Mediated Crisis Communication Model[J]. Journal of Applied Communication Research, 2012, 40(2): 188-207.
[9]Dearstyne, Bruce W. Big Data's Management Revolution[J]. Harvard Business Review. 2012, 90(12):16-17.
[10]Wei Jiuchang. Estimating The Diffusion Models of Crisis Information in Micro Blog[J]. Journal of Informetrics, 2012, 6(4): 600-610.
[11]Allan Jonathan. Using Social Networking, Mobile Apps to Distribute Tsunami Hazard Information[J]. Sea Technology, 2012, 53(4): 61-64.
[12]Song Xiaolong. Influencing Factors of Emergency Information Spreading in Online Social Networks: a Simulation Approach[J]. Journal of Homeland Security and Emergency Management, 2012, 9(1), 1515/1547-7355.
[13]沙勇忠,史忠賢. 公共危機偽信息傳播影響因素仿真研究[J]. 圖書情報工作,2012,56(5):36-41, 111.
[14]Nostro Concetta, Amato Alessandro, Cultrera Giovanna. Turning the Rumor of The May 11, 2011, Earthquake Prediction in Rome, Italy, Into An Information Day on Earthquake Hazard[J], Annals Of Geophysics, 2012, 55(3): 413-420.
[15]Curtis Andrew, Mills Jacqueline W. Spatial Video Data Collection in a Post-Disaster Landscape: the Tuscaloosa Tornado of April 27th 2011[J]. Applied Geography, 2012, 32(2): 393-400.
[16]Munaretto Daniele. Resilient Data Gathering and Communication Algorithms For Emergency Scenarios[J]. Telecommunication Systems, 2012, 48(3): 317-327.
[17]F. A Matsuno. Mobile Robot For Collecting Disaster Information And A Snake Robot For Searching[J]. Advanced Robotics, 2002, 16(6): 517-520.
[18]Schumann Guy, Hostache Renaud. High-Resolution 3-D Flood Information From Radar Imagery For Flood Hazard Management[J]. Ieee Transactions On Geoscience And Remote Sensing, 2012, 45(6): 1715-1725.
[19]Barrientos Francisco. Interpretable Knowledge Extraction From Emergency Call Data Based On Fuzzy Unsupervised Decision Tree[J]. Knowledge-Based Systems, 2012, 25(1):77-87.
[20]Jasso Hector. Using 9-1-1 Call Data And The Space-Time Permutation Scan Statistic For Emergency Event Detection[J]. Government Information Quarterly, 2009, 26(2): 265-274.
[21]Janis Irving L. Crucial Decision: Leadership In Policymaking And Crisis Management[M]. New York: Freepress, 1989.
[22]Roberto G. Aldunate, Feniosky Pena-Mora, Genee. Robinson. Collaborative Distributed Decision Making For Large Scale Disaster Relief Operations: Drawing Analogies From Robust Natural Systems[M].Wiley Periodicals, Inc. 2005.
[23]Kruke Bjorn Ivar, Olsen Odd. Einarknowledge Creation and Reliable Decision-Making In Complex Emergencies[J]. Disasters, 2012, 36(2): 212-232.
[24]A. E. Gunes. Modified Crgs (M-Crgs) Using Gis in Emergency Management Operations[J].Journal of Urban Planning and Development-Asce,2000,(68):6-149.
[25]De Maio, G Fenza. Knowledge-Based Framework For Emergency Dss[J]. Knowledge-Based Systems, 2011, 24(8): 1372-1379.
[26]Constance Noonan Hadley. Measuring The Efficacy Of Leaders To Assess Information And Make Decisions In A Crisis: The C-Lead Scale[J], Leadership Quarterly, 2011, 22(4): 633-648.
[27]Sieber R. Public participation geographic information systems-a literature review and framework[J]. Annals of the Association of American Geographers, 2006,96(3): 491-507.
[28]Hartz-Karp J. A Case Study in DeliberativeDemocracy- Dialogue with the City[EB/OL].[2012-12-25].http:///resources/Dialogue%20with%20the%20City%20Case%20Study%20published.pdf.
[29]Aedo Ignacio, Diaz Paloma, Carroll John M. End-User Oriented Strategies To Facilitate Multi-Organizational Adoption Of Emergency Management Information Systems[J].Information Processing & Management,2011, 46(1):11-21.
[30]Dchild Michael F, Glennon J Alan. Crowdsourcing Geographic Information For Disaster Response:A Research Frontier[J].International Journal of Digital Earth, 2011, 3(3): 231-241.
[31]Erharuyi N, Fairbairn D. Mobile Geographic Information Handling Technologies To Support Disaster Management[J]. Geography, 2003,(88):312-318.
[32]陳安. 現代應急管理理論與方法[M].北京:科學出版社.2009.
[33]Federal Emergency Management Agency Risk Mapping, Assessment, And Planning (Riskmap) Draft Statement Of Objectives(Program Management)[EB/OL].[2009-06-04].Http:// Fema. Gov/Pdf/Plan/Program_Management_Draft_Soo_02202008.Pdf.
[34]Ana Maria Cruz, Norio Okada. Methodology For Preliminary Assessment of Natech Risk In Urban Areas[J].Nat Hazards, 2008,(46):199-220.
[35]Center For Hazards Research And Policy Development University Of Louisville. Indicator Issues And Proposed Framework For A Disaster Preparedness Index (Dpi) Draft Report To The: Fritz Institute. Disaster Preparedness Assessment Project[EB/OL].[2009-07-08]. Http:///PdFs/White Paper/Davesimpson%20indicatorsrepor.Pdf.
[36]Saksa Martin, Minar Jozef. Assessing The Natural Hazard Of Gully Erosion Through A Geoecological Information System (Geis): A Case Study From The Western Carpathians[J]. Geografie, 2012, 117(2): 152-169.
[37]Kunz Melanie, Gret-Regamey Adrienne, Hurni Lorenz. Visualization Of Uncertainty In Natural Hazards Assessments Using An Interactive Cartographic Information System[J]. Natural Hazards, 2011, 59(3): 1735-1751.
[38]Kussul, Sokolov. Zyelyk, Ya. I.. Disaster Risk Assessment Based On Heterogeneous Geospatial Information[J]. Journal Of Automation And Information Sciences, 2010, 42(12): 32-45
[39]Barnes Christopher F, Fritz Hermann, Yoo Jeseon. Hurricane Disaster Assessments With Image-Driven, Data Mining In High-Resolution Satellite Imagery[J]. Ieee Transactions On Geoscience And Remote Sensing, 2007, 45(6): 1631-1640.
[40]吳生林.巴普洛夫選集[M].北京:科學出版社,1955:49.
[41]程立斌,林春應.軍事情報研究方法體系探析[J]. 情報雜志, 2007,(2):89-91.
[42]Laudon Kenneth C, Laudon Jane P. Management Information Systems: Organization And Technology In The Networked Enterprise[M].London:Prentice—Hall Inc.,1999.
[43]A. M. Maceachren, G. Cai, M. Mcneese, R. Sharma, S. Fuhrmann. Geocollaborative Crisis Management: Designing Technologies To Meet Real-World Needs[EB/OL].[2012-12-28[.http:///10.1145/115
0000/1146624/p71-maceachren.pdf?ip=219.246.184.83
&acc=ACTIVE%20SERVICE&CFID=162474839&CFT
OKEN=80491407&__acm__=1356662450_b2b6864570
21deb54e161bc7e8e7c1f3.
[44]Gguoray Cai, A. M. Maceachren. Map-Mediated Geocollaborative Crisis Management, Intelligence And Security Informatics[C],Berlin:Springer Berlin Heideberg, 2005:429-435.
[45]O. Oh, M. Agrawal. Information Control An Terrorism: Tracking The Mumbai Terrorist Attack Through Twitter[J].Inormation Systems Frontiers, 2010(13):33-43.
[46]Kim Sung-Duk. Lee Ho-Jin, Park Jae-Sung. Simulation Of Seawater Intrusion Range In Coastal Aquifer Using The Femwater Model For Disaster Information[J]. Marine Georesources & Geotechnology, 2012, 30(3): 210-221.
[47]L. K. Comfort, K. Ko. Coordination In Rapidly Evolving Disaster Response Systems: The Role Of Information[J].American Behavioral Scientist,2004(48):295-313 .
[48]張建宇.對企業危機信息管理的思考[J].現代企業, 2003,(11): 14-15.
[49]Nick Collin. Information Management In Crisis :Getting Value For Money From It Investments By Rethinking The Management Of Information And Technology[J].Computer Audit Update, 1995,(2): 6-11.
[50]David Mendon?a. National Research Council .Information Technology Research For Crisis Management[M].National Academy Press, 1999.
[51]基于web的應急信息管理系統——Web Eoc系統[EB/OL].[2009-06-08].Http://Esi911. Com/Esi/Products/Webeoc.Shtml.
[52]盧一郡, 賈紅軒. 美國突發事件管理系統簡介[J]. 中國急救發素與災害醫學雜志, 2007, 2(6): 367-380.
為滿足組織對信息的需求,建立有效的信息系統,使企業內部能迅速取得并交換、管理及控制其工作流程所需信息;再考量信息管理和信息技術生命周期,COBIT在結構上將IT過程分為三層,從上至下是過程域(也叫過程組)、過程、活動。COBIT定義了34個過程,分為四個過程域,即規劃與組織、獲得與實施、交付與支持、監控與評價。
(一)規劃與組織規劃與組織涵蓋為達成營運目標應有的IT策略規劃。
一是制定企業會計信息系統戰略性規劃。系統規劃是系統建設的第一步,在COBIT中,要求通過戰略規劃,為企業提供長期并符合企業發展目標的IT規劃,并定期將這些目標轉換成可以操作的短期實施計劃。需要針對企業業務戰略,市場環境需要,IT支撐技術,可行性研究,風險控制等方面,由信息部門和企業董事在充分考慮這些問題后制定計劃。
二是確定企業會計信息系統的組織結構。“信息孤島”是目前許多企業面臨的一個問題。造成“信息孤島”的原因很多,有管理方面的原因,但更重要的是企業在IT規劃與組織過程中沒有對企業的信息架構進行明確的定義。COBIT對這一過程提出了明確的控制目標:信息系統應建立并隨時更新業務信息模型,定義適當的系統以優化對信息的使用。
三是確定企業會計信息系統的技術方向。COBIT認為IT在企業中的作用是服務于業務自身的需要,那么企業在決定信息技術方向時必須有一個能夠很好制定和管理技術的流程,而這個流程就是要確保技術能夠很好地實現企業對產品、服務和交付能力的期望。
四是企業IT投資管理。對IT投資決策和資金使用管理流程的控制是確保企業信息系統有效性的關鍵。對于這個決策和管理的控制,企業可以參照COBIT的控制目標建立并維護管理IT投資項目的框架。該框架涵蓋成本、收益、預算及預算管理,與企業業務戰略的匹配程度和控制在IT戰略戰術規劃中的總成本與收益,并能在錯誤發生時及時更正。這樣可達到IT成本一效益的持續、顯著提升并創造更多價值。
五是確保信息系統控制目標傳達到企業各部門。管理層在IT方面的目標和方向需要通過合適的渠道和流程由上至下傳達,同時要確保用戶的意識和對這些目標的正確理解。
六是評估IT新系統的投入風險。目前,企業的會計業務和管理越來越依賴于IT,而依賴就意味著風險。信息系統在企業中的應用,需要有一套管理體系去應對系統使用過程中的風險。COBIT提出在這一風險管理體系中,需要有IT風險的識別、影響力分析,涉及到多個部門并且需要采取最經濟和有效的措施來規避風險。同時還要考慮:風險管理的所有權和責任權,不同類型IT的風險(技術、安全、持續性、規范性等),所定義和的風險容忍限度,根本原因的分析,風險的定性和定量衡量,風險評估方法論,風險行動計劃,及時的再評估等。
(二)獲取與實施獲得與實施涵蓋實行IT策略規劃,應確認、開發或購買IT解決方案并施行,變更及維護現有系統。
一是會計信息系統解決方案的確定。系統解決方案的確定過程即通常所說的系統選型的過程,系統解決方案的確定是企業信息化建設中的一個重要環節。在會計信息系統的開發設計上更是如此。COBIT在對這一過程的控制中提出:企業需要在明確業務需求的情況下,客觀而清晰地對多種方案進行識別和分析。
二是系統應用軟件的獲取。如果說識別解決方案或者說系統選型的過程是讓企業知道什么方案是適合自己的,那么獲得和維護系統軟件的過程才是實現系統給企業帶來收益的開始。COBIT對于這一過程的控制是確保其能夠提供支持業務流程的有效應用功能。具體而言就是軟件系統必須能夠和業務流程很好的融合。在這一過程里,關鍵是企業的業務需求是否能夠獲得所選系統的支持,企業的業務流程(經過優化)能否和系統融合,系統在實施過程中的每個階段是否都有明確的成果。
三是會計信息系統的使用與維護。企業對信息系統的依賴性使得業務運行的穩定對系統的敏感性越來越強。系統一方面在給企業的業務運作和管理帶來收益的同時,另一方面其復雜性也給企業信息系統的管理帶來了很大的壓力。要確保信息系統的有效運行首先要有標準化的軟硬件及評價標準、一致的系統管理等行為,為支持業務過程的應用程序提供適當的平臺。其次要求通過為用戶提供新系統的使用文件及手冊,并提供培訓以確保對應用程序和基礎設施的正確使用。
四是會計信息系統的變更管理。信息系統是為業務部門服務的,但企業的業務是不斷變化和發展的,相應的信息系統也必須與業務發展同步。COBIT對這一流程的控制目標是最小化破壞、非法篡改和發生錯誤的可能性。實現該目標要構建一個管理系統,分析、實施、跟蹤所有現有IT設施要求的及所作的變化。控制重點在于識別變化,分類優先排序和緊急事件的應對措施,對變化的跟蹤與報告,變更的總結與存檔。企業可在新舊系統的變更中采用以舊系統為基礎逐步引入新系統的方式,跟蹤與報告變更中的問題并及時解決,成功進行會計信息系統的更新。
(三)交付與支持交付與支持和實際提供所需服務有關,涵蓋作業安全、持續訓練,確保服務提供,建立必要支援作業,應用系統處理的控制。
一是會計信息系統服務的管理與控制。會計信息系統在投入使用后,其服務主要由企業內的IT部門和企業外的第三方來提供。對于內部IT部門的服務管理,COBIT要求定義和管理服務水平。企業外第三方服務是目前多數企業所采用的方式,將信息系統的開發及維護交由第三方來管理,這就需要對第三方服務提供者進行管理控制。COBIT提出對于第三方要在服務協議中明確其職務、責任和預期效果,并且監督和檢查協議是否得以有效實施等。
二是確保會計信息系統服務連續性方面的控制措施。無論什么樣的系統都不可能完全可靠,因此系統在獲取后發生故障的可能性是客觀存在的。為將系統出現故障時對業務的影響控制在最小程度,COBIT提出要有合理的系統故障重要性分析,故障發生時有業務活動的替代流程,準備備份和恢復程序,定期對系統的軟硬件進行測試并對相關人員進行培訓等。
三是確保系統安全。確保系統安全是信息使用安全的基礎。盡管在信息系統中訪問信息時有嚴格的限制,但若要消除這種限制也非常簡單,所要做的只是設法獲得一組數字或字母。因此為了確保信息系統的安全,必須進行相應的控制。關于系統的安全,COBIT要求關注和審核對信息機密程度和有關隱私信息的定義、授權、身份甄別和系統訪問的控制,系統用戶的識別和授權的相關信息,密鑰管理,防火墻的管理等。
四是加強教育和培訓操作員的控制。對最終用戶的培訓是確保實現服務品質、滿足業務要求的重要環節。教育和培訓過程是為了確保用戶能夠有效使用技術并在使用過程中明確技術帶來的風
險以及自己所應該承擔的職責。可以從多種方式和多種內容上進行,在提供綜合性的培訓和發展計劃的同時,還需考慮培訓課程的設置、技術的儲備、意識的培養、新的培訓方法的運用、個人的學習效率以及知識庫的開發等。
(四)監控與評價監控與評價即經常評估所有IT作業,以確保品質及控制制度的落實。
一是績效監督與評估。信息系統的實施是否能滿足企業業務需求需要一套有效的IT績效管理與監控體系,會計信息系統也是如此。COBIT認為這個過程需要定義相關的績效指標、系統化且及時的績效差異報告,并對差異及時采取措施。通過監控與評估能明晰各流程職責,確保事情按照既定的方向正確實施。
二是會計信息系統審計與內部控制評估。任何一套信息系統在實施過程中,系統的可靠性、安全勝和有效性都是非常重要的。審計就是為了確保系統的可靠性、安全性和有效性。首先應成立專門的信息系統審計小組,由審計人員和信息技術人員構成,其構成成員不得服務于其他部門。重視內部審計與獨立第三方審計,內部審計是企業內部的信息系統審計活動,是對信息系統功能實現的內部控制,而獨立第三方審計是對內部控制的再控制。
三是確保法規遵從。信息系統的實施要遵從相關法規,如會計處理就要遵循會計法規。有效的法規監督需要建立一套獨立的測評程序來確保對法律法規的遵循。這一程序中,COBIT要求確認對IT已經產生影響或可能產生影響的法律法規;對已確認的法律法規做出積極的回應;監督法律法規是否嚴格執行;依法報告IT實施情況。
四是提供IT治理。這是在COBIT發展到第四版時提出的,這一點是服務于整個企業職責的。建立有效的治理結構包括定義組織結構、程序、領導、職務和責任以確保企業IT投資與企業整體戰略目標一致。
二、基于COBIT的企業會計信息系統控制體系重建
目前我國企業對會計信息系統有一定的內控管理,但漏洞較多、不成體系。為更好地使用信息系統,獲得安全、可靠、有效的會計信息以及其他決策有用的管理信息,從而提高企業競爭力,運用COBIT重建企業的會計信息系統控制體系十分必要。通過重建企業會計信息系統控制,理順信息化工作流程,分階段、分層次明確信息化工作范圍,從企業、部門、崗位三個層面,定義從事相應信息系統工作的角色及職責;整合各類信息管理資源,實現企業信息系統的規范管理。
(一)會計信息系統控制思路以COBIT為依據,會計信息系統控制將以組織整體戰略為導向,定義會計信息系統的功能;以外界環境為依據,采用先進的信息技術加強內部控制手段;以業務與信息技術整合為重心,提高信息的可讀性和有用性。其控制思路具體包括:
一是建立與信息時代相適應的內控環境。關鍵在于以下兩點:
(1)建立健全組織結構與權責分派體系。企業應對原有會計組織機構進行適當調整,以適應信息時代的要求。組織結構設置必須適合企業的實際規模,符合企業總體經營目標:依據成本效益原則按精簡、合理的原則對組織機構進行設置,使之符合信息時代企業組織結構的變遷。
(2)注重人力資源管理。知識經濟時代,企業發展將主要依靠科技、知識與人才,而內部控制采取的一切措施、方法和程序,都要由人來執行,所以“人本主義”作為構建內部控制機制的信條已被越來越多的企業所接受。企業管理者應當重視對人員的選擇、使用和培養,這不僅是內部控制的環境因素,也日益成為內部控制結構的有機組成部分,所以要加強會計信息系統的內部控制,首要任務是加強對關鍵員工的素質控制及對員工素質的重點培養。
二是識別新風險、建立新型風險控制體系。建立會計信息內部控制,不能不考慮其賴以存在的環境及企業內外部各種風險因素。信息時代,信息的傳播、處理和反饋的速度都大大加快了,由此導致企業不斷改變業務和信息流程。在這一過程中,不能再盲目地采用傳統控制政策和程序,而必須重新評價,以適應新業務發展的需要。應把注意力集中在評估特定環境下的業務風險,并制定相應控制程序,而不能拘泥于特定控制程序,進而限制了對技術的使用。
三是利用信息技術改善會計信息系統控制活動。企業管理層識別會計信息系統風險后,應針對這種風險采取必要措施。利用信息技術,設立良好控制活動,增強內部控制系統的預防。
(1)設立良好的控制活動。控制活動是確保管理階層指令得以實現的政策和程序,旨在幫助企業針對“使企業目標不能達成的風險”采取必要行動。控制活動出現在整個企業內的各階層與各職能部門,包括核準、授權、驗證、調節、復核、保障資產安全以及職務分工等各項活動。
(2)增強內部控制系統的預防。有效的控制活動具有預防性、檢查性和糾正性等特性。傳統內部控制制度通常是根據已輸出的會計信息在年末實施檢查,檢查財務錯誤和舞弊行為,無論結果如何,錯誤已經發生,某種情況下難以彌補,內部控制預防功能被完全限制了。這種現象影響了企業的所有者和經營者對內部控制制度的理解與重視程度,認為內部控制措施只有事后檢查功能。信息時代下,廣泛使用網絡信息技術為實剛決策支持和改善業務與信息轉化過程提供了技術支持,同時也提供了預防、檢查和糾正錯誤及防止舞弊的機會。如在計算機軟件中嵌入內部控制程序,隨時監控企業經營運行狀況,在即將出現問題時及時提供預警信息,幫助員工進行過程控制。從傳統內控發現問題,將事后補救的做法,發展為事前預防和事中控制。
(3)利用信息技術,實現企業一體化集成管理。企業應在網絡環境下,通過信息化的手段完成產、供、銷業務的連貫,實現財務處理與業務處理的一體化,建立一個實時有效的預算系統。,在會計和管理信息化的過程中,改革傳統業務結構,提高運營效率,降低成本,強化企業內部基礎管理的規范性。
四是利用互聯網技術加強會計信息系統監控。要確保內部控制制度執行效果良好,內部控制能夠隨時適應新情況等,內部控制就必須被監督。工作環境的改變也為企業會計信息系統內部控制監督提供了新工具,通過互聯網可以對整個會計信息系統進行實時監督,網絡實時監控和電子監視系統可以強化會計信息系統內控的監督功能。
五是建立會計信息系統控制體制。在做好以上四步控制后,就可以建立企業會計信息系統控制體制,確定涉及會計信息系統工作的部門的崗位職能,確定系統建設周期的流程,并針對各階段不同的管理水平和能力建立成熟度指標,確定各階段的關鍵成功因素和關鍵績效指標,然后梳理信息系統所涉及的各個部門的關系,將各階段管控流程細化到崗位角色。
通過對企業業務流程的分析,可以將會計信息系統控制體系劃分為信息系統規劃、信息系統實施、運行和后評估四個階段,如圖1所示。
(二)建立會計信息系統控制模型在上述控制指標的基礎上,依據COBIT結合企業會計信息系統內部控制工作,確定每個階段的分等分級成熟度指標;各階段關鍵成功要素;各階段關鍵目標指標;各階段關鍵績效指標。在此基礎上形成各階段的控制流程,明確流程之間的接口,并進一步進行角色的劃分,確定信息部門以及相關會計職能部門的工作范圍和職責。本文僅以規劃階段的會計信息系統戰略規劃為例,建立其控制模型,如表1所示,其余以此類推。