时间:2023-06-12 16:20:33
导语:在风险评估方法论的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
[关键词]电力;企业风险;管理;定量风险评估
[作者简介]林笑玫,广东电网公司惠州供电局,广东惠州,516001
[中图分类号] F272.35 [文献标识码] A [文章编号] 1007-7723(2012)01-0052-0002
电力企业工程投资巨大,工程项目在实施期间会面临着多个方面的风险,若不及时加以控制将给企业造成不可估量的经济损失。为了满足新时期电力项目持续进行的需要,企业必须要采用科学的风险评估方法。定量风险的核心是分析企业的定性风险,再排出优先顺序的风险实施量化分析。根据理论标准,定量风险分析适用于已经制定好的风险应对计划。这不仅能够验证风险控制效果是否符合预期要求,而且能够从风险过程里反映企业管理存在的问题。同时,多次实施定量风险分析可提醒管理者是否调险管理方法,也是电力企业风险监测、转移、控制的重要依据。
一、企业定量风险分析的方法
经济体制改革发展局势下,国家对电力企业的经营管理提出了新的调整要求,市场风险的控制与防范是电力企业经营管理的主要内容。电力行业是我国现代化产业结构的重点构成,加强电力企业的风险控制及管理有助于维持行业经济的持续增长。定量分析法运用于电力项目风险评估,结合精准计算获得的数据进行模拟验证,可引导企业正确认识工程项目的风险状况。目前,电力企业定量风险分析常用的方法有:
(一)概率分布
概率分布法是对电力企业可能发生风险的一种概率预测,以此判断电力工程风险发生的可能性大小。因不同事件之间存在互斥性,所有事件的概率之和为1。概率分布法需结合相关的辅助方法,如:利用数学函数图像对一年四季温度变化情况分析,按照温度大小规律分析雨水过多、温差过大等因素对电力线路的影响概率,判断电力系统潜在的风险隐患。
(二)外推法
外推法有前推、后推、旁推等形式,均适用于电力企业的定量风险评估活动。前推法是电力企业常用的风向评估方法,其结合风险发生的时间顺序以及有效的数据集合判别未来风险发生的趋势。外推法可分为简均法、移动平均法、加权移动平均法、季节变动分析法等,电力企业风险分析时可依据掌握的资料灵活选择不同的方法参与评估。如:结合移动平均法估算某一年地区用电需求量的变化,根据用电需求量的多少指导企业年产量的控制。
(三)灵敏度分析
灵敏度分析法本质上是对风险产生影响的一种评估,详细地分析出不同风险对电力企业造成的影响力大小。如:就项目成本来说,电力企业采用灵敏度分析法,可对材料价格、市场供应等风险造成的成本影响具体判断,让企业有针对性地制定风险抵抗措施。一般情况下,电力企业经过灵敏度分析均可制定有效的风险应急处理方案。
(四)模拟法
模拟法采用企业提供的有效数据,利用计算机建立系统模型,对电力工程的风险状态模拟分析。由于计算机在数据采集、处理、修改等方面的功能极强,将其用于定量风险评估可摆脱人工分析的失误,提高风险评估结果的准确性。如:基于计算机平台,管理人员可结合项目的网络图作为项目模型,把电力工程建设期间存在的财务风险、效益风险综合体现出来。
三、定量风险分析的参照依据
考虑到电力行业的特殊性,企业在定量风险评估时需从专业角度分析问题,对风险评估采用的理论、方法严格掌握,以确保最终分析结果的可靠性、准确性、科学性。从电力企业实际定量风险评估工作的操作情况看,多数企业已经掌握一套相对完整的风险评估流程。“分析依据”是电力工程项目定量风险研究的重点参考。
(一)项目历史信息
历史数据是企业长期发展积累下来的重要资料,也是后期项目定量风险评估的理论依据。历史信息包括:从行业或企业得到类似的已完项目信息,风险专家对类似项目的研究资料以及计算机存储的风险数据库。电力企业在风险评估时对历史信息中有价值的资料灵活提取,减小风险评估的难度。
(二)项目范围说明
项目说明书是电力工程的总概括,记录了项目前期策划及后期施工的详细内容,也是电力企业信息存档的必备资料。阅读项目范围说明书是定量风险评估的有效方法,以最真实的数据资料为基础,抓住项目说明书涉及到的潜在风险综合研究,有助于专家罗列出最权威可靠的风险评估结果。
(三)风险管理文件
风险管理文件是电力企业制定的预期处理方案,当工程风险发生之后可打开管理文件所编辑的措施处理风险。通常电力企业的风险管理文件提供的管理策略相对完整,如:执行风险管理的岗位职责、预算和计划时间的风险管理活动,风险分类,风险分解结构和修订的有关方面的风险承受度。
(四)风险清单
风险清单是对工程项目内容的检验审核,对电力企业定量风险评估具有统筹性的作用。借助于风险情况能为评估人员提供多个方面的信息,如:已识别风险的清单、项目风险的优先级清单等,这些都会给定量风险评估提供参考。此外,根据风险清单显示的结果,电力企业可加强项目管理的力度,从项目进度管理计划、项目费用管理计划等优化管理。
四、风险管理的组织实施与基本流程
电气企业推广定量风险评估的优势显著,其不仅为高层经理提供了相当直接的数字;且数据分析阶段可灵活运用各种逼近模型。定量分析后的许多具体调查工作可以用最小优先经验执行,满足了企业经营管理工作的具体需求。风险管理的组织实施应按照标准的流程操作,电力企业需结合项目的详细情况设计定量风险评估的策略。
(一)风险管理与规划
管理是控制工程风险的核心工作,电力企业实施风险管理措施可尽快处理当前所面临的风险问题。制定风险管理之前,风险评估专家要做好详细的规划,引导后期管理操作的有序进行。如:对项目风险的成因、影响、处理等问题深入分析,设计出相对完整的风险管理策略。
(二)风险辩识与评估
当企业风险发生之后,应组织风险评估团队尽快判别风险的具体情况,对风险的种类、影响、应对等综合考虑。评估是风险辨识的重要环节,经过全面性的评估了解可掌握风险的有用信息,从客观角度评估风险的破坏范围,编制出更加优越的风险控制方案。
(三)策略修改与实施
由于风险管理方案具有突发性、应急性特点,最初制定的风险管理策略会在实施期间需要调整。电力企业管理人员需结合项目的实际需要,对其他相关的风险综合考核检测,以掌握最佳的风险处理策略,把风险造成的经济损失控制在最小范围。
(四)效果评估与总结
定量风险评估结束,企业有必要对此次评估活动进行总结,收录相关的资料信息存档管理。总结中要对此次定量风险评估存在的问题、取得的成果、使用的资料等内容加以整合,将其归纳成完整的信息档案收集。总结资料是电力企业未来定量风险评估的参考资料。
五、结语
总之,电力行业是维持社会供电、用电正常运行的主导产业,工程项目的实施是改造电力系统的有效方法。企业在经营管理期间要充分考虑市场潜在的风险因素,采用定量风险评估方法处理问题,对项目存在的风险情况详细分析,为企业提供更加可靠、安全的风险应对策略。
[参考文献]
[1]金海燕,刘峰.对中国电力企业全面风险管理的认识[J].华北电力大学学报(社会科学版),2009,(1).
1.等级保护
1)主要内容
等级保护是指导我国信息安全保障体系总体建设的基础管理原则,是围绕信息安全保障全过程的一项基础性管理制度,其核心内容是对信息安全分等级、按标准进行建设、管理和监督。
2)优点
等级保护适用于宏观层面,是一种大范围“基线安全”,适用于行业主管部门对信息安全的总体把握与监控。
3)缺点
具体到某个组织的信息安全保护而言,等级保护的粒度划分较粗,在满足组织对信息安全的精细控制要求方面还存在不足。因此,在满足监管部门的等级保护要求之后,组织还可进一步把等级细化到各种层次的安全域,直至对一个个的信息资产进行有效管理。
2.信息安全管理体系(ISMS)
1)主要内容
类似于质量之于ISO9000,ISMS是组织为提高信息安全管理水平,按照ISO27001的要求,在整体或特定范围内监理的信息安全方针和目标,以及完成这些目标所用的方法和体系。它是直接管理活动的结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。
2)优点
ISMS涉及了信息安全的11个领域,133个控制措施,基本涵盖了信息安全的方方面面,适用于各种类型的组织用来建立一个总体的安全控制框架;ISMS更注重于把“安全管理”当作一种制度来建设,通过建立统一的方针、策略,以及规范化安全规则,使ISMS实施主体能有效地识别风险,持续不断地采取管控措施,以把风险降低到组织可接受的程度。
3)缺点
它只是描述了建立ISMS的思想、框架,但对如何建立ISMS并没有一个详细明确的定义,也没有描述ISMS的最终形态;没有确定建立信息安全体系的具体方法与技术。因此,ISMS对实施者来说留下来很大的可操作空间,不同的组织和不同实施着对ISMS标准的把握可能差别很大,ISMS总体水平也会有高下之分。
3.风险评估
1)主要内容
风险评估是获知组织当前风险水平的一种手段,在金融、电子商务等许多领域都是有风险及风险评估需求的存在。当风险评估应用于IT安全领域时,就是对信息安全的风险评估。
2)优点
风险评估从早起简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作,逐渐过渡到目前普遍采用ISO17799、OCTAVE、NIST SP800、NIST P800-26、NIST SP800-30、AS/NZS4360、SSE-CMM等方法,充分体现以资产为出发点、以威胁为触发、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。
国内这几年对信息安全风险评估的研究进展较快,具体的评估方法也在不断改进。原国信办2004年组织完成了《信息安全风险评估指南》及《信息安全风险管理指南》标准草案的制定,并在其中规定了信息安全风险评估的工作流程、评估内容、评估方法和风险判断准测,对规范我国信息安全风险评估的做法具有很好的指导意义。
3)缺点
《信息安全风险评估指南》所确定的风险评估方法还只是一个通用的方法论,具体到一个特定的单位,要对其中的风险进行准确地识别与量化仍热是一件困难的事情,在很大程度上要取决于评估者的经验。
要:本文依据我国制定的信息安全风险评估标准和国际有关标准,研究和设计针对数字校园的信息安全风险评估流程和框架,并利用该流程针对实际的数字校园对象进行实例验证,风险评估结果验证了该流程的合理性和可行性。
关键词:数字校园;风险评估;信息安全
中图分类号:TP309 文献标志码:B 文章编号:1673-8454(2012)23-0030-04
一、引言
数字校园是以校园网为背景的集教学、管理和服务为一体的一种新型的数字化工作、学习和生活环境。一个典型的数字校园包括各种常用网络服务、共享数据库、身份认证平台、各种业务管理系统和信息门户网站等[1]。数字校园作为一个庞大复杂的信息系统,构建和维护一个良好的信息安全管理体系是一项非常重要的基础管理工作。
信息安全风险评估是构建和维护信息安全管理体系的基础和关键环节,它通过识别组织的重要信息资产、资产面临的威胁以及资产自身的脆弱性,评估外部威胁利用资产的脆弱性导致安全事件发生的可能性,判断安全事件发生后对组织造成的影响。对数字校园进行信息安全风险评估有助于及时发现和解决存在的信息安全问题,保证数字校园的业务连续性,并为构建一个良好的信息安全管理体系奠定坚实基础。
二、评估标准
由于信息安全风险评估的基础性作用,包括我国在内的信息化程度较高的国家以及相关国际组织都非常重视相关标准和方法的研究。目前比较成熟的标准和方法有ISO制定的《IT信息安全管理指南》(ISO/IEC13335)和《信息安全管理体系要求》(ISO/IEC27001:2005)、美国NIST制定的SP800系列标准、美国CMU软件工程研究所下属的CERT协调中心开发的OCTAVE2.0以及我国制定的《信息安全技术——信息安全风险评估规范》(GB/T20984-2007)。
ISO/IEC27001系列标准于2005年10月15日正式,作为一种全球性的信息安全管理国际标准适用于任何组织的信息安全管理活动,同时也为评估组织的信息安全管理水平提供依据。但是ISO27001系列标准没有制定明确的信息安全风险评估流程,组织可以自行选择适合自身特点的信息安全风险评估方法,如OCTAVE2.0等[2][3]。
为了指导我国信息安全风险评估工作的开展,我国于2007年11月正式颁布了《信息安全技术——信息安全风险评估规范》(GB/T20984-2007),这是我国自主研究和制定的信息安全风险评估标准,该标准与ISO27001系列标准思想一致,但对信息安全风险评估过程进行了细化,使得更加适合我国企业或者组织的信息安全风险评估工作开展。
三、评估流程
《信息安全技术——信息安全风险评估规范》(GB/T20984-2007)等标准为风险评估提供了方法论和流程,为风险评估各个阶段的工作制定了规范,但标准没有规定风险评估实施的具体模型和方法,由风险评估实施者根据业务特点和组织要求自行决定。本文根据数字校园的业务流程和所属资产的特点,参考模糊数学、OCTAVE的构建威胁场景理论和通用弱点评价体系(CVSS)等风险评估技术,提出了数字校园信息安全风险评估的具体流程和整体框架,如图1所示。
据图1可知,数字校园的信息安全风险评估首先在充分识别数字校园的信息资产、资产面临的威胁以及可被威胁利用的资产脆弱性的基础上,确定资产价值、威胁等级和脆弱性等级,然后根据风险矩阵计算得出信息资产的风险值分布表。数字校园信息安全风险评估的详细流程如下:
(1)资产识别:根据数字校园的业务流程,从硬件、软件、电子数据、纸质文档、人员和服务等方面对数字校园的信息资产进行识别,得到资产清单。资产的赋值要考虑资产本身的实际价格,更重要的是要考虑资产对组织的信息安全重要程度,即信息资产的机密性、完整性和可用性在受到损害后对组织造成的损害程度,预计损害程度越高则赋值越高。
在确定了资产的机密性、完整性和可用性的赋值等级后,需要经过综合评定得出资产等级。综合评定方法一般有两种:一种方法是选取资产机密性、完整性和可用性中最为重要的一个属性确定资产等级;还有一种方法是对资产机密性、完整性和可用性三个赋值进行加权计算,通常采用的加权计算公式有相加法和相乘法,由组织根据业务特点确定。
设资产的机密性赋值为,完整性赋值为,可用性赋值为,资产等级值为,则
相加法的计算公式为v=f(x,y,z)=ax+by+cz,其中a+b+c=1(1)
(2)威胁识别:威胁分为实际威胁和潜在威胁,实际威胁识别需要通过访谈和专业检测工具,并通过分析入侵检测系统日志、服务器日志、防火墙日志等记录对实际发生的威胁进行识别和分类。潜在威胁识别需要查询资料分析当前信息安全总体的威胁分析和统计数据,并结合组织业务特点对潜在可能发生的威胁进行充分识别和分类。
(3)脆弱性识别:脆弱性是资产的固有属性,既有信息资产本身存在的漏洞也有因为不合理或未正确实施的管理制度造成的隐患。软件系统的漏洞可以通过专业的漏洞检测软件进行检测,然后通过安装补丁程序消除。而管理制度造成的隐患需要进行充分识别,包括对已有的控制措施的有效性也一并识别。
(4)威胁—脆弱性关联:为了避免单独对威胁和脆弱性进行赋值从而造成风险分析计算结果出现偏差,需要按照OCTAVE中的构建威胁场景方法将“资产-威胁-脆弱性-已有安全控制措施”进行关联。
(5)风险值计算:在资产、威胁、脆弱性赋值基础上,利用风险计算方法计算每个“资产-威胁-脆弱性”相关联的风险值,并最终得到整个数字校园的风险值分布表,并依据风险接受准则,确认可接受和不可接受的风险。
四、评估实例
本文以笔者所在高职院校的数字校园作为研究对象实例,利用前面所述的信息安全风险评估流程对该实例对象进行信息安全风险评估。
1.资产识别与评估
数字校园的资产识别与评估包括资产识别和资产价值计算。
(1)资产识别
信息安全风险评估专家、数字校园管理技术人员和数字校园使用部门代表共同组成数字校园信息资产识别小组,小组通过现场清查、问卷调查、查看记录和人员访谈等方式,按照数字校园各个业务系统的工作流程,详细地列出数字校园的信息资产清单。这些信息资产从类别上可以分为硬件(如服务器、存储设备、网络设备等)、软件(OA系统、邮件系统、网站等)、电子数据(各种数据库、各种电子文档等)、纸质文档(系统使用手册、工作日志等)、人员和服务等。为了对资产进行标准化管理,识别小组对各个资产进行了编码,便于标准化和精确化管理。
(2)资产价值计算
获得数字校园的信息资产详细列表后,资产识别小组召开座谈会确定每个信息资产的价值,即对资产的机密性、完整性、可用性进行赋值,三性的赋值为1~5的整数,1代表对组织造成的影响或损失最低,5代表对组织造成的影响或损失最高。确定资产的信息安全属性赋值后,结合该数字校园的特点,采用相加法确定资产的价值。该数字校园的软件类资产计算样例表如下表1所示。
由于资产价值的计算结果为1~5之间的实数,为了与资产的机密性、完整性、可用性赋值相对应,需要对资产价值的计算结果归整,归整后的数字校园软件类资产的资产等级结果如表1所示。
因为数字校园的所有信息资产总数庞大,其中有些很重要,有些不重要,重要的需要特别关注重点防范,不重要的可以不用考虑或者减少投入。在识别出所有资产后,还需要列出所有的关键信息资产,在以后的日常管理中重点关注。不同的组织对关键资产的判断标准不完全相同,本文将资产等级值在4以上(包括4)的资产列为关键信息资产,并在资产识别清单中予以注明,如表1所示。
2.威胁和脆弱性识别与评估
数字校园与其他计算机网络信息系统一样面临着各种各样的威胁,同时数字校园作为一种在校园内部运行的网络信息系统面临的威胁的种类和分布有其自身特点。任何威胁总是通过某种具体的途径或方式作用到特定的信息资产之上,通过破坏资产的一个或多个安全属性而产生信息安全风险,即任何威胁都是与资产相关联的,一项资产可能面临多个威胁,一个威胁可能作用于多项资产。威胁的识别方法是在资产识别阶段形成的资产清单基础上,以关键资产为重点,从系统威胁、自然威胁、环境威胁和人员威胁四个方面对资产面临的威胁进行识别。在分析数字校园实际发生的网络威胁时,需要检查入侵检测系统、服务器日志文件等记录的数据。
脆弱性是指资产中可能被威胁所利用的弱点。数字校园的脆弱性是数字校园在开发、部署、运维等过程中由于技术不成熟或管理不完善产生的一种缺陷。它如果被相关威胁利用就有可能对数字校园的资产造成损害,进而对数字校园造成损失。数字校园的脆弱性可以分为技术脆弱性和管理脆弱性两种。技术脆弱性主要包括操作系统漏洞、网络协议漏洞、应用系统漏洞、数据库漏洞、中间件漏洞以及网络中心机房物理环境设计缺陷等等。管理脆弱性主要由技术管理与组织管理措施不完善或执行不到位造成。
技术脆弱性的识别主要采用问卷调查、工具检测、人工检查、文档查阅、渗透性测试等方法。因为大部分技术脆弱性与软件漏洞有关,因此使用漏洞检测工具检测脆弱性,可以获得较高的检测效率。本文采用启明星辰公司研发的天镜脆弱性扫描与管理系统对数字校园进行技术脆弱性识别和评估。
管理脆弱性识别的主要内容就是对数字校园现有的安全控制措施进行识别与确认,有效的安全控制措施可以降低安全事件发生的可能性,无效的安全控制措施会提高安全事件发生的可能性。安全控制措施大致分为技术控制措施、管理和操作控制措施两大类。技术控制措施随着数字校园的建立、实施、运行和维护等过程同步建设与完善,具有较强的针对性,识别比较容易。管理和操作控制措施识别需要对照ISO27001标准的《信息安全实用规则指南》或NIST的《最佳安全实践相关手册》制订的表格进行,避免遗漏。
3.风险计算
完成数字校园的资产识别、威胁识别、脆弱性识别和已有控制措施识别任务后,进入风险计算阶段。
对于像数字校园这类复杂的网络信息系统,需要采用OCTAVE标准提供的“构建威胁场景”方法进行风险分析。“构建威胁场景”方法基于“具体问题、具体分析”的原则,理清“资产-威胁-脆弱性-已有控制措施”的内在联系,避免了孤立地评价威胁导致风险计算结果出现偏差的局面。表2反映了数字校园图书馆管理系统的资产、威胁、脆弱性、已有控制措施的映射示例。
将“资产—威胁—脆弱性—已有控制措施”进行映射后,就可以按照GB/T20984-2007《信息安全风险评估规范》要求进行风险计算。为了便于计算,需要将前面各个阶段获得资产、威胁、脆弱性赋值与表3所示的“资产—威胁—脆弱性—已有控制措施”映射表合并,因为在对脆弱性赋值的时候已经考虑了已有控制措施的有效性,因此可以将已有控制措施去掉。
本文采用的风险计算方法为《信息安全风险评估规范》中推荐的矩阵法,风险值计算公式为:R=R(A,T,V)=R(L(T,V)F(Ia,Va))。其中,R表示安全风险计算函数;A表示资产;T表示威胁;V表示脆弱性;Ia表示安全事件所作用的资产重要程度;Va表示脆弱性严重程度;L表示威胁利用资产的脆弱性导致安全事件发生的可能性;F表示安全事件发生后产生的损失。
风险计算的具体步骤是:
(a)根据威胁赋值和脆弱性赋值,查询《安全事件可能性矩阵》计算安全事件可能性值;
(b)对照《安全事件可能性等级划分矩阵》将安全事件可能性值转换为安全事件可能性等级值;
(c)根据资产赋值和脆弱性赋值,查询《安全事件损失矩阵》计算安全事件损失值;
(d)对照《安全事件损失等级划分矩阵》将安全事件损失值转换为安全事件损失等级值;
(e)根据安全事件可能性等级值和安全事件损失等级值,查询《风险矩阵》计算安全事件风险值;
(f)对照《风险等级划分矩阵》将安全事件风险值转换为安全事件风险等级值。
所有等级值均采用五级制,1级最低,5级最高。
五、结束语
数字校园是现代高校信息化的重要基础设施,数字校园的安全稳定直接关系到校园的安全稳定,而风险评估是保证数字校园安全稳定的一项基础性工作。本文的信息安全风险评估方法依据国家标准,采用定性和定量相结合的方式,保证了信息安全风险评估的有效性和科学性,使得风险评估结果能对后续建立数字校园的信息安全管理体系起到指导作用。
参考文献:
[1]宋玉贤.高职院校数字化校园建设的策略研究[J].中国教育信息化,2010(4).
关键词:净利息收入;中间业务;金融创新;资产证券化
中图分类号:F832
商业银行风险评估与控制问题的研究具有较为重要的理论与现实意义。过去的研究主要集中在基于风险控制的某个角度或局部结合上市银行的数据进行评估得出单项评估的结论,或者是对商业银行的经营做中、短期的评估与预测,而对于中国的银行风险评估体系进行系统、全面的研究,根据评估体系对商业银行经营情况进行总体评价并指出其发展趋势与建议的研究则较少涉及。本文共分为三个部分,第一部分对于整体评价商业银行的方法与评估标准进行介绍与分析。第二部分基于第一部分的方法论,对于2011-2012年上市商业银行的财务状况进行整体评估;第三部分是对当前中国的银行资产运营与风险的结论与建议。
一、商业银行风险评估方法与模型
商业银行风险评估方法与模型主要分为监管机构对商业银行经营的评估标准与商业银行评估模型。
(一)监管机构对商业银行经营的评估标准
关于监管机构对商业银行经营的评估管理问题主要介绍美国银行业监管机构的骆驼(CAMELS)评价标准与中国银行监督管理委员会的腕骨(CARPALS)评价标准。
1.美国银行业监管机构CAMELS评价模型
此评价模型主要是以6个指标对商业银行经营进行管理。一是资本充足率(Capital Adequacy),二是资产结构和质量(Asset Structure and Quality),这两项指标侧重于测量资产的分布与质量问题。三是管理水平(Management Quality),即管理层文化与管理层构成是否依赖于某个人与治理架构层等一系列问题。四是盈利能力(Earning Performance),包括盈利水平、盈利来源分配与资产结构匹配等。五是流动性(Liquidity Structure of Balance Sheet),即财务的弹性出现流动性问题是否有资金能力来给予支持。六是市场风险敏感性(Sensitivity to Market Risk),美国监管机构1996年才把这项指标加进去。目前银行的很大一部分资产是交易性资产,如买卖债券、CDO(次级债)、信用违约互换、国债等。这些资产与市场的关联度很大,因此要市场风险的敏感性进行评估。[1]
2.中国银行监督管理委员会腕骨(CARPALS)指标体系
中国银行监督管理委员会“腕骨指标”(CARPALS)体系主要涉及以下7个方面。
一是资本充足性(Capital Adequacy),主要考察资本充足率指标。
二是资产质量(Asset Quality),对不良贷款率(不良贷款占总资产的比率)、不良贷款偏离度进行评级,判断资产归属于关注类、可疑类、次级类或普通类。因每家银行均有自己的评级标准,因此有专门机构对自有标准与监管标准的一致性进行检查,考察其偏离度。偏离度的大小体现了该银行的监管力度,监管力度的宽松一般通过不良资产的拨备覆盖率指标来体现。
三是风险集中度(Risk Concentration),主要考察单一客户集中度指标与行业集中度指标。集中度过度将导致风险。如果客户类型过于集中,当某个客户的资产或某个行业发生问题时,整个银行资产都将发生变化。行业角度的例子,最近我国的光伏行业、造船行业发生了问题;单一客户角度的例子,尚德破产涉及银行贷款77个亿。如果规模不大的银行,其集中度超过一定标准,将会对银行资产质量造成风险。因此,对单一客户、单一行业甚至区域的集中度均需要有限制。
四是拨备覆盖(Provisioning coverage),拨贷比与拨备覆盖率是针对不良资产的风险抵御能力进行评估的。
五是附属机构(Affiliated Institution)。目前,中国有相当多银行都是大型集团性质,下设附属机构。如在以银行为主业的前提下,几大银行均成为控股公司,下设证券、保险、投资公司等。因此进行风险评估时,需观察子公司对母公司的影响度与依赖度。如果附属公司的资本金、业务均由母公司提供,其依存度就很高,那么附属机构对母行的资本回报率、负债都会产生重要的影响。
六是流动性(Liquidity)。2008年金融危机后,该问题受到高度重视。金融危机的产生并非银行经营不够谨慎,实质上他们的资本质量、资本充足率等都是非常好的。原因是整个金融市场冻结,持有的金融证券无法流通、变现,产生恶性循环。这次危机不仅对银行监管提出很多要求,而且对会计制度改革也提出了很多要求,即会计政策对于市场是以“丁式原则”①还是以成本价、历史价进行综合考虑。丁式原则致使市场产生的流动性冻结是在系统性风险的前提下出现的。[2]所以,在考察流动性问题时,提出了流动性覆盖率、净稳定融资比例、存贷比(存款与贷款需保持一定比例来保证负债可以支持资产)这三个指标。流动性资产与30天内净流出的现金(包括贷款、回购协议)比率不能超过100%,以保证有足够的资金来支持短期内出现的支出。
七是案件防控(Swindle Prevention and Control) 案件问题体现的是银行经营管理稳健性与经营管理的控制能力,即案件损失占总资产的比例。
这七项比例构成了中国金融监管部门对银行的考核、评价的评价体系。
(二)商业银行评估模型
以上述指标并不能够完整地评价一家银行,对于银行的评估,还需依赖商业银行的评估模型。以下是参照标准普尔与惠誉两家评估机构的评级模型而设置的评估模型,可以分成三个部分,一是叠加风险因素,二是系统性风险因素,三是银行自身风险因素。
1.叠加风险因素
叠加风险因素主要讨论银行得到的政府支持力度与股东支持力度问题。一般对银行的评级都会考虑的评级和股东的结构。金融危机中,美国的许多银行出现了问题,但美国发了7500亿美元的债来收购这些银行的资产。政府支持与股东支持是十分重要的。大多数银行的股东是国家或大型的银行、企业,这些股东能够在银行出现流动性支持时,投入资金来帮助银行解决问题。经专业机构的调研分析,从19世纪70年代到21世纪初,银行困难分为两类,一类是银行困境,另一类是银行违约。银行困境是指银行的资金暂时出现困难,可能将出现违约情况,而银行违约则是指银行出现了到期无法支付、银行存款挤兑等情况。历史上曾经出现过多次银行困境(包括美国的银行在内),增长率由2%到7%。但违约银行基本保持在1%以内。如欧洲一些银行。但欧洲的许多银行出现困境,但没有违约,60%困境银行得益于政府与股东的支持。[3]
2.系统性风险因素
该因素主要包括经济风险、风险和行业风险三方面。宏观经济方面主要考察目前该银行所属国家的经济处于上行期还是衰落期,失业率、通胀水平如何。这些指标决定银行所处的外部环境状况。除了经济风险外,还要考虑银行所处的区域行业情况。如这家银行的竞争情况如何,是处在市场环境中还是受到管制,整个金融资产占GDP的比重有多大等。如目前我国是300%的比例,说明金融在整个区域中的银行渗透力很强,该行业在国民经济中处于一个举足轻重的位置。评级机构还会对行业本身利润是否有保证、整体行业情况,银行的竞争压力等指标进行考察。行业结构有很大影响。风险下国家的评级情况也会对评级产生影响。如中国经济发展稳定、健康,评级加分。
3.自身风险因素
该因素是评价中的一个最主要部分。包括如下四个方面。
(1)治理机制
首先,要看被评价公司是否具有一个比较完善的治理结构,董事会、股东大会、管理层、运营是否完善。在治理方面企业文化属于激进型还是保守稳健型。一般国有大型商业银行比较稳健,而一些农村商业银行属于进取型银行。
其次,治理机制还涉及到银行的组织结构问题。欧美的一些银行一般都是条线式管理,总部分为公司金融条线、个人金融条线等,从上至下的隶属管理。采取这样管理的优势是产品线力量很强,按产品配置资源进行营销,但产品线之间的合作相对较弱。例如,假设花旗银行在北京有花旗银行(北京)金融公司、花旗银行(北京)个人金融公司,他们的报告路线是分别向上,业务并不会发生交叉。花旗银行北京分行的行长没有决策权,只是起到一个协调作用。两家公司均向自己的亚太区产品线公司汇报工作。[4]而中国的银行则采取区域分布制,层级是区域,总行下边是分行,分行下边是二级行、地级行,每家银行以行为单位核算利润,不以条线来核算利润,行长在区域的管理上具有较大的权力。其优势是有利于资源配置。组织架构对整个经营管理风险点及其他方面会有很大的不同。
第三,组织架构上要考察高管层的管理能力,是否有管理经验,他们的教育背景、从业经历、管理团队是依赖于某个人,还是发挥了管理团队的主动性、积极性及各自的长处,再加上员工素质,构成公司治理机制角度的银行评估。
(2)发展战略
考察银行的战略定位问题,包括地域战略、主营业务战略、渠道战略等。主营业务战略视角,例如,中国工商银行各项业务(存款业务、公司业务、个金业务、现金管理业务)发展均衡,唯一短板是国际业务,但近年来,海外业务发展也很快,通过并购的方式购买了许多外资银行;中国建设银行十分擅长建筑、建设板块;中国银行以外贸、外币为强项;招商银行以零售业务为主,以电子银行为发展主渠道;中国邮政储蓄银行有3.9万多个网点,无人能与其比拟,可吸收到许多低成本的存款。战略发展要根据自己的优势来考虑。在战略确定后,要观察银行每年的预算与规划,考察其原来制订的规划目前是否实现,以战略的实际执行情况来推论战略的制订是否合理,战略管理与执行是否到位。银行在核心领域中优势是否能持续保持,取决于战略是否到位。
(3)风险管理
这是商业银行评估中很具体又很重要的一部分。由以下几个方面来考察。
第一,管理风险。首先,风险职能部门是否具有相对的独立性。赢利与风险控制常常是矛盾的,风险管理是否具有单独的报告路线。如董事会是否下设专门的风险管理委员会,可直接向董事汇报,保证风险管理的约束性。其次,要有统一的风险管理框架。声誉风险、法律风险、合规风险、包括流动性风险等。要进行整合管理,不能分散到各部门管理,否则就看不到这家银行风险的全面的整体视图。统一的风险管理架构是判断该银行风险管理能力的重要方面。再次,流程与授权是否规范。
第二,信用风险管理。
一是要考察整个资产负债结构是否健康,考察资产与负债的匹配程度。风险负债考察指标:①现金、准备金,或者说同业存放;②短期资金,如债券;③贷款;④股权、优先权。存款一般是中国银行最大的负债。判断一家银行的资产是否健康要考察其存贷款比例,存贷款比例以70%为上限。贷款的增量与存款的增量在当年是否存款增量要略高一些,如果贷款的增量总是多于存款的增量,结构就不健康。还要考察交易方面的指标。
二是考察贷款的种类。长期贷款、短期贷款、中长期贷款、贴现期限等,人民币与外币的比例要与负债相匹配。
三是考察投项、行业分配。这与前文提及的集中度指标结合考察。如果监管力度适宜,对房地产行业、融资平台都是严格监管且需要提特别准备金的,如果在这些行业恰恰投放得较多,就出现问题。
2.推进商业银行资产证券化的建议
目前银行将资产转到表外的方法并不是很多,类似的操作案例从实质上来讲,仍然是一种靠利息收入的传统业务。目前,商业银行资产和负债规模庞大,以资产证券化的方式盘活资产是每家商业银行未来发展的必经之路,中国工商银行2013年初针对价值30亿元的资产在资本市场实施证券化。在国内银行资产的证券化往往被视为美国金融危机的根源,不可否认金融危机的起源是美国住房信贷次级贷款的兑换危机,根源是银行贷款衍生证券化产品的流动性过度泛滥导致的兑付信心危机。而中国银行资产尚未进行证券化,现在恰恰要进行资产证券化,资产证券化会使商业银行的信贷资产管理更具有灵活性,可以将很多信贷资产进行组合管理。商业银行可以将不同的信贷资产打包在同业间通过证券化的形式互换。信贷资产根据风险偏好、资产负债的匹配关系、资产关系、期限关系进行调整,满足不同投资人的要求。
现在中国应该大力发展银行信贷资产证券化,但发展信贷资产证券化的同时,应该借鉴国外的经验教训,例如信贷资产打包证券化以后,应严格禁止重复与其他资产进行二次证券化,防止资产过度融资,形成金融泡沫,引发信誉危机。[6]再如,美元衍生品市场品种繁多,覆盖了短债、长债、政府债、私人债、股票及其他一些衍生品。无论是投资还是避险需求,均可找到对应产品以及产品对应的操作市场和专业人才。[7]整体而言,目前国内商业银行缺少资产负债管理工具,缺乏操作性政策支持,缺失金融创新人才。
银行信贷资产证券化过程是个全寿命周期管理过程,在信贷资产发放前段,就要考虑到地区、期限、金额、收益等问题,在审批前与存量和其他在谈的信贷资产建立关联性,在银行贷款发放的同时,利用同业和证券化平台实现风险分散和资金回笼。
注释:
①丁伯根法则(Tinbergen’s Rule)是由首届诺贝尔经济学奖得主、荷兰经济学家丁伯根―提出的关于国家经济调节政策和经济调节目标之间关系的法则。其基本内容是:政策工具的数量或控制变量数至少要等于目标变量的数量;而且这些政策工具必须是相互独立(线性无关)的。
参考文献:
[1]巴曙松,王怡,杜倩.从微观审慎到宏观审慎:危机下的银行监管启示[J].国际金融研究,2010,(5):83-85.
[2]周小川.金融政策对金融危机的响应――宏观审慎政策框架的形成背景、内在逻辑和主要内容[J].金融研究,2011,(1):4-5.
[3]Kupiec,Paul.Estimating Economic Capital Allocation for Market and Credit Risk. The Journal of Risk [J]. 2004
[4] 何韧.花旗银行在亚太地区跨国经营战略分析[J].国际金融研究,2002,(3):40-41.
[5] 蒋健,赵洋.商业银行资本充足率、股权结构与盈利能力――基于我国商业银行的实证研究[J].贵州财经学院学报,2012,(1):36-37.
关键词:公共危机 信息管理 危机信息 危机管理
中图分类号: D630.8 文献标识码: A 文章编号: 1003-6938(2012)06-0081-10
公共危机信息管理(Public Crisis Information Management, PCIM)是公共危机管理与信息管理交叉而成的一个新的学科前沿领域,主要研究公共危机管理中的信息问题和信息管理问题。由于信息渗透于公共危机管理的各方面和全过程,是公共危机管理体系的基础和核心,因此,PCIM的研究对促进公共危机管理的理论完善和实践发展具有基础性意义。从目前研究现状来看,国内外PCIM研究成果众多且增长迅速,但总体来看研究显得比较分散,问题域(problem domain)设置比较随意,使公共危机管理研究的深入在信息维度上存在明显的不足和缺陷。
为了从总体上认识和把握公共危机信息管理,本文提出了PCIM的EPFMS理论分析框架,认为PCIM领域有以下5个核心问题域或研究范畴,即PCIM要素论(Element)、PCIM过程论(Process)、PCIM功能论(Function)、PCIM方法论(Methodology)和PCIM系统论(System),每个问题域或研究范畴都有其核心科学问题和研究侧重点,它们共同构成PCIM的EPFMS理论分析框架(见表1)。
1 PCIM要素论
要素论主要研究PCIM的构成要素以及要素之间的关系,通过揭示各要素的基本内涵和理论问题,分析常态和危机状态下各要素之间的联系方式和作用机制,建立关于PCIM结构要素的基本认识和知识。
从广义的角度,可把PCIM的构成要素概括为主体要素(包括政府、媒介、公众、企业、NGO等)、客体要素(信息)及环境要素(政策法规、经济、技术、文化等)(见图1)。
PCIM主体要素有政府、媒介、公众、企业、NGO等。根据公共治理理论,有效的公共危机管理应该是政府、企业组织、NGO、公众等多元主体共同参与的过程。他们是公共危机管理的利益相关者(Stakeholders),在危机管理过程中有不同的地位、作用、利益需求以及表达渠道与方式,需要探寻不同主体间的信息协调机制,尤其是不同主体信息平台的良性互动和不同主体间良性信息关系的构建等问题。根据公共危机中利益相关者的相关度、影响力和紧急性三个属性,可以将利益相关者划分为三类,即核[图1 公共危机信息管理的构成要素] [环境
(教育、人文)][环境
(法律、政策)][媒体][环境
(技术)][环境
(经济)][公众][政府][信息][][接受][反馈][使用][使用][传播] [企业][NGO]
心的利益相关者、边缘的利益相关者和潜在的利益相关者。一般来说,政府、受害的社会组织和公众、危机诱发者是核心的利益相关者,媒体、NGO、公共服务部门是边缘的利益相关者,危机旁观者是潜在的利益相关者[1]。N. Bharosa从社区(宏观)、组织(中观)、个人(微观)三个层面分析了灾害响应过程中影响信息共享和协作的因素,发现救灾工作者更愿意获取对他们有用的信息而不是向其他人提供信息。要实现信息共享,理解每一个人及其他组织的工作过程和信息系统的性能是非常重要的,并据此提出了对信息系统设计者及政策制定者的六条建议[2]。
信息是PCIM的客体要素,是PCIM要素论研究的核心内容。危机信息的概念有广义和狭义之分,狭义的危机信息是危机潜伏、爆发、持续、解决等一系列过程中与危机管理相关的各种信息,广义的危机信息除了信息要素之外,还包括危机管理过程中与信息相关的人员、技术、设备、资金等,即危机信息资源[3]。信息要素的研究首先需要分析公共危机的信息需求,研究危机信息及其传播特点;其次对相关信息进行分类分级,建立信息目录体系,按目录层级和轻重缓急收集和分析信息;再次从信息主体和客体间的相互作用研究信息的传递、共享和使用问题,主要围绕信息机构如何组织信息资源、政府机构如何信息、媒介组织如何传播信息、社会公众如何接受和选择信息这几条主线展开。
环境要素是PCIM主体要素和客体要素之间相互作用的通道和桥梁,主要包括与PCIM相关的政策法规、产业经济条件、信息技术、减灾防灾文化等。环境要素是PCIM的支持要素和保障要素,良好的环境是PCIM主客体有效作用、信息顺畅传递和发挥作用的有力保障。
PCIM要素论要研究的主要内容有:(1)PCIM构成要素及其相关理论问题;(2)PCIM主体间的信息关系及相互作用问题,如政府和媒体、政府和公众、媒体和公众、政府和企业、政府和NGO等之间的信息传递与信息沟通;(3)PCIM主体、客体与环境之间的相互作用及信息关系问题,如信息流程、信息共享、信息反馈、信息架构(Information Architecture)以及信息伦理、信息政策、信息成本控制等。
2 PCIM过程论
美国危机和紧急情况管理手册(Handbook of Crisis and Emergency Management)提出了公共危机管理的四阶段模型,即减除(Mitigation)、预防(Preparedness)、反应(Response)和恢复(Recovery)[4]。“减除”是指减少影响人类生命、财产的自然或人力危险要素,如实施建筑标准、推行灾害保险、颁布安全法规等;“准备”是指发展应对各种突发事件的能力,如制订应急计划、建立预警系统、成立应急运行中心、进行灾害救援培训与演练等;“响应”是指灾害发生的事前、事中与事后采取行动以挽救生命、减少损失,如激活应急计划、启动应急系统、提供应急医疗援助、组织疏散与搜救等;“恢复”既指按照最低运行标准将重要生存支持系统复原的短期行为,也指推动社会生活恢复常态的长期活动,如清理废墟、控制污染、提供灾害失业救助、提供临时住房等。PCIM过程论就是从公共危机管理的四个阶段出发,研究每一阶段的信息保障和信息管理问题(见图2)。
从管理学的PDCA(计划、执行、检查、纠正)活动角度看,PCIM不仅仅是在公共危机的全流程管理中提供有效的信息,它应以“决策和执行”为轴心,在危机信息管理活动中不断重复PDCA管理功能,不断改进,形成螺旋式的公共危机信息管理循环。公共危机管理的每个阶段都有PDCA循环,后一阶段的PDCA循环以前一阶段为基础,是对前一阶段的修正和改进。例如,响应阶段的PDCA以准备阶段的PDCA为前提和基础。
公共危机管理的四个阶段都涉及信息的收集、处理、存储、传播和使用,但各个阶段的信息管理内容是有所侧重和不同的。“减除”阶段主要内容有:风险信息收集、风险地图绘制、危机预测、风险评估等;“准备”阶段主要内容有:信息监测、信息分析、预案研发、预警系统等;“响应”阶段内容有:信息公开、信息传播、信息资源配置、决策信息支持等;“恢复”阶段主要内容有:灾害评估、危机善后、灾后重建等。
从公共危机管理的发展趋势来看,其重心已从灾后应对转向灾前准备,进而转向风险管理,即由被动响应变为主动防御,由主动防御变为风险消除。与此相对应,PCIM的研究重点也将逐步转向风险信息管理和灾前信息准备,信息备灾将作为一个重要概念提出并逐步上升为PCIM的一个重大研究领域。
3 PCIM功能论
功能论主要研究PCIM在公共危机管理中的功能和作用,探析PCIM最基本、最普遍的功能及其作用机理与方式。一方面,这些最基本、最普遍的功能可以概括各种具体的PCIM的工作目标,另一方面,这些最基本、最普遍的功能又是相互不能替代和兼容的,它们表征了PCIM的基本价值和作用。
在经典文献中,阿利森和泽利科在《决策的本质——解析古巴导弹危机》(Essence of Decision: Explaining the Cuban Missile Crisis)中阐述了危机与决策的关系以及决策模式,将危机管理看成是决策论的一个分支加以研究,强调了信息在危机决策中的作用。米特洛夫和皮尔森在其著作《危机管理》(Crisis Management)中指出,搜集、分析和传播信息是危机管理的直接任务[5]。奥托·莱尔宾格尔在《危机主管:直面风险与不确定性》一文中,从信息角度分析了危机管理者的职能和素质[6]。罗纳德·伯克和卡里·库珀在《持续性危机沟通:规划、管理和响应》一书中分析了危机管理中的信息需求问题,提出了持续性的危机管理方法,探讨了信号寻求、危机预防、危机准备、危机识别、危机遏阻、危机恢复等相关问题[7]。
通过归纳、比较、综合各种不同层次、不同类型的公共危机信息管理所提出的工作任务,结合公共危机管理对PCIM工作的需求,将PCIM的功能划分为基础功能和核心功能两大部分。基础功能包括对危机信息的收集、处理(组织)、存储、传播和使用;核心功能包括利用危机信息进行预测、预警、决策、执行(指挥、调度)和评估。基础功能是一般信息管理所共有的功能,核心功能是在基础功能的基础上,PCIM支持公共危机管理的最基本、最普遍的功能。PCIM的基础功能和核心功能都贯穿于整个公共危机管理活动中,基础功能是前提和基础,核心功能是本质和中心;任何一个核心功能的实现都离不开基础功能,同样基础功能要想体现其价值和作用,又要通过核心功能来实现(见图3)。
[图3 公共危机信息管理功能论]
3.1 PCIM基础功能
(1)信息收集:实时、准确、全面地监测和收集与公共危机相关的各种数据和信息,强调对危机征兆信息的捕捉,重视遥感、遥测、GIS、GPS等信息技术的使用以及信息的实时动态更新。随着社交媒体的兴起,社交媒体正成为公共危机信息监测与收集的重要渠道[8]。
(2)信息处理:对危机信息进行选择、组织和加工整理,是把无序的信息流转化为有序信息流和支持危机决策的知识。在当前大数据环境下,对海量实时危机信息流的处理和挖掘分析在技术上已成为可能,正成为社会计算(Social Computing)、计算社会科学(Computational Social Science)、商务智能(Business Intelligence)等学科的研究热点[9]。
(3)信息存储:是将已加工处理的危机信息存储到介质中,以方便公共危机利益相关者使用和传播。云存储和云计算是海量实时危机信息存储的一个基本趋势。
(4)信息传播:将经过处理的危机信息提供给用户,以满足用户信息需求的过程。信息公开是PCIM的一个核心原则。新媒体在危机信息传播中的作用日益受到关注[10-12]的同时,公共危机中虚假信息和伪信息的传播问题也成为研究热点[13-14]。
(5)信息使用:利益相关者利用信息或信息服务进行公共危机管理的过程。信息使用是PCIM的目的和归宿,是PCIM基础功能和核心功能联系的桥梁和纽带。
信息收集、信息处理、信息存储、信息传播和信息使用构成信息的生命周期(Information Life Cycle),是一个不断循环往复的过程。
3.2 PCIM核心功能
(1)预测与预警:贯穿于危机生命周期全过程。在危机爆发前需要对其进行监测和预测,找到潜在的危机并尽可能的消除。在危机发生伊始,要对所发生的危机做出恰当的预警,引导和指挥公众应对危机。在危机爆发后,也需要根据危机的不断变化和特有性征调整计划和方案,达到以少量代价解决危机的目的。危机预控职能是有效避免危机的关键职能,主要处于危机爆发前的潜伏期、生成期和期中。利用无线传感网络、空间视频系统及人工智能(移动机器人)等可以有效地收集地理数据和环境状态数据[15-18],并通过预测模型得出哪些地区会受到威胁,及时做出预警。利用从急救中心及突发事件举报中心获得的数据,可以分析危机事件发生的频率及时空分布[19-20]。
(2)决策:支持危机决策是PCIM的核心功能,危机信息的收集、组织、分析、解读均以决策目标为中心。贾尼斯在《决策与危机管理中的领导》(Crucial Decision: Leadership in Policymaking and Crisis Management)一书中,在总结各类决策模式的基础上,提出了危机决策流程的约束模型和四大步骤,阐述了信息搜集在问题确认、信息资源利用、分析和方案形成以及评估和选择中的作用[21]。Roberto G.aldunate等人研究并提出了一种分布式协同决策模型,主要用于大规模减灾中的决策制定[22]。De Maio等研究了一种基于语义网络来协调异质数据和柔性计算的方法,用来处理不确定性因素和模拟植入在应急计划中的因果推理,来支持应急决策和资源调度[23]。GIS可通过获取数据、存储数据、处理数据、分析数据以及可视化数据,为危机管理者提供了决策支持[24]。除决策系统设计之外,决策信息的传达及决策中领导绩效的测量也受到了关注[25-26]。
决策功能贯穿于整个危机管理活动中,事前的决策主要是以常规决策和程序化决策为主,决策的问题一般都具有良好的结构,可以广泛征求意见,充分发扬和体现民主决策。协商民主(Deliberative Democracy)、基于地理信息的协商(GeoDeliberation)等作为重要研究主题,在公共危机管理领域正引起广泛的关注[27-28]。危机一旦发生,危机的决策目标就会随着危机事态的演变而变化,人们需要不断地做出调整和修正,危机决策变为非程序化决策。这时决策的第一目标是控制危机的蔓延和事态的进一步恶化,决策者通常以经验和灵感决策为主,由于情况紧急,往往将权威决策者的决定作为最后的决策结果。
决策过程中要解决的主要信息问题有:①准确定义危机决策问题;②针对可能出现的各种危机情境,应用专家知识和经验编制危机应急预案和应对计划;③根据出现的异常问题,判别危机情境,借助于DSS、知识库、预案仿真等技术得到处理危机的初步方案。
(3)执行。高效的执行是危机决策发挥作用的有利保证。执行阶段主要的问题有人员设备和其他资源的调度,灾害现场的实时反馈,突况的灵活应对等。在执行的过程中协作是至关重要的,大规模的危机事件响应是一个综合协作的过程,需要相邻区域的多部门主动参与和有效协作[29]。对公众参与来说,开放地理信息系统(volunteered geographic information)[30]、移动地理信息系统[31]等是有效工具,一方面会提供重要的信息交互,另一方面也会提高应急处置的效率。
(4)评估。不仅指对危机后的评价,还包括对危机前的风险评估以及危机中“可减缓性”、“可挽救性”与“可恢复性”的评价,其中尤其要注重危机前的风险评价,因为它具有“可消除性”[32]。美国联邦应急管理署(FEMA)了一系列与风险有关的文件,其中包括风险地图、评估和规划(RiskMAP)的项目管理、战略、技术服务和用户数据服务等[33]。日本学者Ana Maria Cruz 和Norio Okada研究了城市由自然灾害引发的技术灾难(Natech)[34],并提出了针对此类灾难进行风险评估的一套方法论。德国的备灾评估项目中建立了比较成熟的备灾指标和框架,可进行多种与灾难相关的评估[35](Center for Hazards Research and Policy Development University of Louisville,2006)。在火山、地震、泥石流、海啸等自然灾害风险评估与灾害影响评估中,交互式绘图信息系统、地理空间信息技术、遥感遥测等技术得到了广泛应用[36-39]。
4 PCIM方法论
著名学者拉普拉斯说过:认识研究方法比发明、发现本身更重要。如果我们把发明和发现比喻为“黄金”,那么研究方法就是“炼金术”[49]。方法论是对方法的理论说明与逻辑抽象,是具体的、个别的方法的体系化与理论化,因此相对于方法而言,方法论具有理论性、系统性和统一性等特征。
信息管理方法研究在危机管理领域虽然取得了一定的发展,但还没有形成系统的成果。公共危机信息管理有其自身的特点,所运用的方法要侧重于应用性与可操作性,必须与实际情况相适应,这就决定了PCIM的方法体系与传统的信息管理方法有所不同。
对PCIM方法体系的建构来说,一方面,方法是实现PCIM各项具体工作目标或任务的工具,因此,方法的结构应该从总体上保证PCIM各种功能的实现,即符合功能—结构的对应原则。另一方面,由于PCIM方法的来源是多方面的,方法的类别和数量是众多的,方法的性质是多元的,固此,应构建一个尽可能全面的、有机的方法框架,既明确反映各种具体方法的“位置”、反映方法之间的联系和区别,又是可以扩充和发展的,可为新方法的并入提供余地。
根据公共危机管理的四阶段模型,从支持公共危机管理流程的主要功能出发,建构了与主要功能相对应的PCIM方法体系(见图4)[41]。
PCIM方法体系由需求分析方法、信息采集方法、危机预测方法、危机监测方法、环境分析方法、深度研究方法、应急决断方法、执行控制方法和综合评价方法9大类方法构成,每一类方法又包括各种具体方法,本文只列举了部分常用或重要方法。
公共危机发生之前是信息管理的准备阶段,所需要做的是需求分析、信息采集与危机预测。需求分析方法保证了需求分析阶段所划定的信息需求范围的合理性,信息采集方法保证了所采集信息的质量与数量,而危机预测方法则直接关系到危机预报的准确性。
公共危机过程中的信息管理过程就是危机决策的过程,对应于危机决策的5个步骤,信息管理也执行危机监测、环境分析、深度研究、应急决断与执行控制5个功能。这个过程直接关系到公共危机管理的效果,对各类方法的应用也最为广泛。
公共危机后信息管理的作用是对危机管理的效果进行评价并进行及时反馈,此时的方法也主要是各类评价方法。
5 PCIM系统论
PCIM系统论主要研究支持公共危机管理的各种应用信息系统、信息架构和信息技术。美国纽约大学商学院劳顿教授认为:信息系统不只是一个技术系统,而且还是一个管理系统和组织系统,是一个社会系统。危机管理信息系统是基于不同层次、不同功能和技术的多维整合(见图5)[42]。
从技术维的角度,各种公共危机管理应用信息系统和信息平台的建设需要广泛采用各种信息技术。除计算机硬件、软件、存储技术、通讯和网络技术等最基本的技术之外,还需要利用遥感技术(RS)、GPS技术和分布式数据库技术,有效地集成分散的信息资源;采用网格技术、GMS(Geo-code Mapping System)技术、数据仓库(DM)等,建立完整、动态的危机管理综合数据库;采用GIS技术、信息可视化技术、XML技术和决策模型,建立相互关联的决策支持子系统;采用地理空间信息技术,建立协作式危机管理系统[43-44];采用网络舆情监测技术,实现对网络群体性突发事件危机信息传播动态的实时监测[45];采用仿真技术,实现对危机事件的发生、演化机理分析,加深人们对危机治理的理解和认知[46-47]。
在经典文献中,1984年,沙特朗(R. L. Chartrand)等人在名为《用于应急管理的信息技术》(Information Technology for Emergency Management:Report)的研究报告中,着重研究了应急通信系统、与自然灾害有关的信息存储与检索系统,以及其它信息技术在减灾和危机管理等方面的应用问题[48]。科林(Nick Collin)讨论了危机信息管理中对信息和技术管理重构的重要性[49]。1999年,美国国家研究理事会(National Research Council, NRC)编著的《用于危机管理的信息技术研究》(Information Technology Research for Crisis Management)详细介绍了各种可用于危机管理的信息技术的特点、作用等,并强调要通过信息技术的运用来应对各种危机[50]。在危机管理实践中,全球著名的ESI公司开发了基于Web的应急信息管理系统——Web EOC系统,已得到了广泛利用,可以使组织在没有建立紧急事件处理中心的情况下也能很好地预防和应对危机[51]。
从层次维的角度,地方危机管理信息系统支持地方政府的公共危机管理,各应用信息系统一般由政府专门部门建设,一般系统可操作性强,但可集成、可扩展性差。国家危机管理信息系统支持国家层面的公共危机管理,是地方危机管理信息系统的集成,建设中主要解决不同系统间的数据融合、共享和扩展问题。全球战略与区域应对信息管理系统支持国际层面的公共危机管理,在“全球风险社会”背景下,是支持跨国危机管理和全球危机管理的信息基础设施。在上述三个层次的危机信息系统中,国家危机管理信息系统居于核心地位。以美国国家突发事件管理系统(National Incident Management System, NIMS)为例,美国国土安全部成立后,NIMS将美国已有的最佳经验整合为一个统一的适用于各级政府和职能部门应对各种灾难的国家突发事件管理方案,使联邦、州、各级地方府与私人团体能够有效、高效、协调一致地对国内突发事件作出准备、反应以及从突发事件中恢复[52]。在实用系统层面,Sahana作为一个开放的灾害管理信息系统,能有效地促进政府、公众、企业及非政府组织之间的协作,协作主体可以跨越组织界限共享数据,共同响应灾害[53]。
从功能维的角度,公共危机管理信息系统按照功能可以划分为安全信息采集系统、动态数据监测系统、危机预测预警系统、应急预案系统、应急演练系统、应急仿真系统、应急决策系统、应急指挥系统、应急资源配置与调度系统、环境污染评测系统、灾害综合理赔系统、财产损害评估系统、医疗救助系统等。这些应用信息系统通过统一的应急信息平台进行集成,支持公共危机管理各项功能的实现。
6 结语
EPFMS分析框架是在公共危机管理与信息管理双重视域的交叉结合中基于问题域及其关系建构起来的PCIM研究框架,说明PCIM既有其背景学科——公共危机管理与信息管理——的知识支撑,又有其不同于背景学科的独特的知识元素和学科气质。
EPFMS分析框架的PCIM要素论主要研究PCIM的构成要素以及要素之间的关系,建立关于PCIM结构要素的基本认识和知识;PCIM过程论基于公共危机管理的典型生命周期过程,研究每一阶段的信息保障和信息管理问题;PCIM功能论主要研究PCIM在公共危机管理中的功能和作用,探析PCIM最基本、最普遍的功能及其作用机理与方式;PCIM方法论研究PCIM的方法来源、方法原理、方法应用以及方法体系的建构问题;PCIM系统论主要研究支持公共危机管理的各种应用信息系统、信息架构和信息技术。每个研究范畴都有其核心科学问题和研究侧重点,它们共同构成公共危机信息管理的EPFMS理论分析框架。为了便于对EPFMS分析框架有更加明确的认识,将其主要研究内容以及未来研究方向等总结如下表(见表2)。
[EPFMS
框架\&研究
时间\&研究的
成熟度\&研究的核心问题\&未来发展
方向\&要素论\&稍晚\&不成熟\&公共危机信息管理的主体、客体、环境,以及主体和客体间的信息传递、作用机制等。\&由要素内容转向要素关系研究\&过程论\&较早\&欠成熟\&以决策为轴心研究公共危机信息的螺旋式周期管理\&由灾害应对转向信息备灾和风险管理\&功能论\&较早\&较成熟\&以决策功能为核心研究公共危机信息收集、处理、存储、传播和使用中的问题,支持危机预测预警、决策、评估。\&智能化决策,突发事件的动态仿真与计算实验\&方法论\&稍晚\&不成熟\&危机信息的收集方法、组织方法、决策方法、评估方法以及改进\&新方法的引入,独有方法的建构\&系统论\&早\&较成熟\&支持信息系统建设的关键技术,如GIS、网格技术、卫星遥感、可视化技术等。不同信息系统的集成和融合问题,如数据共享、数据兼容\&综合危机信息管理系统\&][表2 EPFMS的主要研究内容和方向]
参考文献:
[1]沙勇忠, 刘红芹.公共危机的利益相关者分析模型[J].科学·经济·社会, 2009, (1): 58-61.
[2]N. Bharosa, J. Lee. Challenges and Obstacles in Sharing and Coordinating Information During Multi-Agency Disaster Response: Propositions From Field Exercises[J]. Information Systems Frontiers, 2010, 12(1): 49-65.
[3] F. W. Horton, D. A. Marchand. Information Management in Public Administration[M], Arlington, Va. : Information Resources Press, 1982.
[4][澳]罗伯特·希斯. 王成, 宋炳辉, 金瑛, 译. 危机管理[M]. 北京:中信出版社, 2001: 30-31.
[5]Mitroff , Pearson. Crisis Management[M]. San Francisco: Jossey-Bass Publishers, 1993.
[6]Otto Lerbinger. the Crisis Manager: Facing Risk And Responsibility[M]. New Jersey: Lawrence Erlubaum Associates, 1997.
[7]Ronald J Burke, Cary L Cooper. the Organization in Crisis :Downsizing, Restructuring and Privatization[M]. Malden, Ma: Blackwell Publishers, 2000.
[8]Austin, Lucinda, Liu, Brooke Fisher, Jin, Yan. How Audiences Seek Out Crisis Information: Exploring the Social-Mediated Crisis Communication Model[J]. Journal of Applied Communication Research, 2012, 40(2): 188-207.
[9]Dearstyne, Bruce W. Big Data's Management Revolution[J]. Harvard Business Review. 2012, 90(12):16-17.
[10]Wei Jiuchang. Estimating The Diffusion Models of Crisis Information in Micro Blog[J]. Journal of Informetrics, 2012, 6(4): 600-610.
[11]Allan Jonathan. Using Social Networking, Mobile Apps to Distribute Tsunami Hazard Information[J]. Sea Technology, 2012, 53(4): 61-64.
[12]Song Xiaolong. Influencing Factors of Emergency Information Spreading in Online Social Networks: a Simulation Approach[J]. Journal of Homeland Security and Emergency Management, 2012, 9(1), 1515/1547-7355.
[13]沙勇忠,史忠贤. 公共危机伪信息传播影响因素仿真研究[J]. 图书情报工作,2012,56(5):36-41, 111.
[14]Nostro Concetta, Amato Alessandro, Cultrera Giovanna. Turning the Rumor of The May 11, 2011, Earthquake Prediction in Rome, Italy, Into An Information Day on Earthquake Hazard[J], Annals Of Geophysics, 2012, 55(3): 413-420.
[15]Curtis Andrew, Mills Jacqueline W. Spatial Video Data Collection in a Post-Disaster Landscape: the Tuscaloosa Tornado of April 27th 2011[J]. Applied Geography, 2012, 32(2): 393-400.
[16]Munaretto Daniele. Resilient Data Gathering and Communication Algorithms For Emergency Scenarios[J]. Telecommunication Systems, 2012, 48(3): 317-327.
[17]F. A Matsuno. Mobile Robot For Collecting Disaster Information And A Snake Robot For Searching[J]. Advanced Robotics, 2002, 16(6): 517-520.
[18]Schumann Guy, Hostache Renaud. High-Resolution 3-D Flood Information From Radar Imagery For Flood Hazard Management[J]. Ieee Transactions On Geoscience And Remote Sensing, 2012, 45(6): 1715-1725.
[19]Barrientos Francisco. Interpretable Knowledge Extraction From Emergency Call Data Based On Fuzzy Unsupervised Decision Tree[J]. Knowledge-Based Systems, 2012, 25(1):77-87.
[20]Jasso Hector. Using 9-1-1 Call Data And The Space-Time Permutation Scan Statistic For Emergency Event Detection[J]. Government Information Quarterly, 2009, 26(2): 265-274.
[21]Janis Irving L. Crucial Decision: Leadership In Policymaking And Crisis Management[M]. New York: Freepress, 1989.
[22]Roberto G. Aldunate, Feniosky Pena-Mora, Genee. Robinson. Collaborative Distributed Decision Making For Large Scale Disaster Relief Operations: Drawing Analogies From Robust Natural Systems[M].Wiley Periodicals, Inc. 2005.
[23]Kruke Bjorn Ivar, Olsen Odd. Einarknowledge Creation and Reliable Decision-Making In Complex Emergencies[J]. Disasters, 2012, 36(2): 212-232.
[24]A. E. Gunes. Modified Crgs (M-Crgs) Using Gis in Emergency Management Operations[J].Journal of Urban Planning and Development-Asce,2000,(68):6-149.
[25]De Maio, G Fenza. Knowledge-Based Framework For Emergency Dss[J]. Knowledge-Based Systems, 2011, 24(8): 1372-1379.
[26]Constance Noonan Hadley. Measuring The Efficacy Of Leaders To Assess Information And Make Decisions In A Crisis: The C-Lead Scale[J], Leadership Quarterly, 2011, 22(4): 633-648.
[27]Sieber R. Public participation geographic information systems-a literature review and framework[J]. Annals of the Association of American Geographers, 2006,96(3): 491-507.
[28]Hartz-Karp J. A Case Study in DeliberativeDemocracy- Dialogue with the City[EB/OL].[2012-12-25].http:///resources/Dialogue%20with%20the%20City%20Case%20Study%20published.pdf.
[29]Aedo Ignacio, Diaz Paloma, Carroll John M. End-User Oriented Strategies To Facilitate Multi-Organizational Adoption Of Emergency Management Information Systems[J].Information Processing & Management,2011, 46(1):11-21.
[30]Dchild Michael F, Glennon J Alan. Crowdsourcing Geographic Information For Disaster Response:A Research Frontier[J].International Journal of Digital Earth, 2011, 3(3): 231-241.
[31]Erharuyi N, Fairbairn D. Mobile Geographic Information Handling Technologies To Support Disaster Management[J]. Geography, 2003,(88):312-318.
[32]陈安. 现代应急管理理论与方法[M].北京:科学出版社.2009.
[33]Federal Emergency Management Agency Risk Mapping, Assessment, And Planning (Riskmap) Draft Statement Of Objectives(Program Management)[EB/OL].[2009-06-04].Http:// Fema. Gov/Pdf/Plan/Program_Management_Draft_Soo_02202008.Pdf.
[34]Ana Maria Cruz, Norio Okada. Methodology For Preliminary Assessment of Natech Risk In Urban Areas[J].Nat Hazards, 2008,(46):199-220.
[35]Center For Hazards Research And Policy Development University Of Louisville. Indicator Issues And Proposed Framework For A Disaster Preparedness Index (Dpi) Draft Report To The: Fritz Institute. Disaster Preparedness Assessment Project[EB/OL].[2009-07-08]. Http:///PdFs/White Paper/Davesimpson%20indicatorsrepor.Pdf.
[36]Saksa Martin, Minar Jozef. Assessing The Natural Hazard Of Gully Erosion Through A Geoecological Information System (Geis): A Case Study From The Western Carpathians[J]. Geografie, 2012, 117(2): 152-169.
[37]Kunz Melanie, Gret-Regamey Adrienne, Hurni Lorenz. Visualization Of Uncertainty In Natural Hazards Assessments Using An Interactive Cartographic Information System[J]. Natural Hazards, 2011, 59(3): 1735-1751.
[38]Kussul, Sokolov. Zyelyk, Ya. I.. Disaster Risk Assessment Based On Heterogeneous Geospatial Information[J]. Journal Of Automation And Information Sciences, 2010, 42(12): 32-45
[39]Barnes Christopher F, Fritz Hermann, Yoo Jeseon. Hurricane Disaster Assessments With Image-Driven, Data Mining In High-Resolution Satellite Imagery[J]. Ieee Transactions On Geoscience And Remote Sensing, 2007, 45(6): 1631-1640.
[40]吴生林.巴普洛夫选集[M].北京:科学出版社,1955:49.
[41]程立斌,林春应.军事情报研究方法体系探析[J]. 情报杂志, 2007,(2):89-91.
[42]Laudon Kenneth C, Laudon Jane P. Management Information Systems: Organization And Technology In The Networked Enterprise[M].London:Prentice—Hall Inc.,1999.
[43]A. M. Maceachren, G. Cai, M. Mcneese, R. Sharma, S. Fuhrmann. Geocollaborative Crisis Management: Designing Technologies To Meet Real-World Needs[EB/OL].[2012-12-28[.http:///10.1145/115
0000/1146624/p71-maceachren.pdf?ip=219.246.184.83
&acc=ACTIVE%20SERVICE&CFID=162474839&CFT
OKEN=80491407&__acm__=1356662450_b2b6864570
21deb54e161bc7e8e7c1f3.
[44]Gguoray Cai, A. M. Maceachren. Map-Mediated Geocollaborative Crisis Management, Intelligence And Security Informatics[C],Berlin:Springer Berlin Heideberg, 2005:429-435.
[45]O. Oh, M. Agrawal. Information Control An Terrorism: Tracking The Mumbai Terrorist Attack Through Twitter[J].Inormation Systems Frontiers, 2010(13):33-43.
[46]Kim Sung-Duk. Lee Ho-Jin, Park Jae-Sung. Simulation Of Seawater Intrusion Range In Coastal Aquifer Using The Femwater Model For Disaster Information[J]. Marine Georesources & Geotechnology, 2012, 30(3): 210-221.
[47]L. K. Comfort, K. Ko. Coordination In Rapidly Evolving Disaster Response Systems: The Role Of Information[J].American Behavioral Scientist,2004(48):295-313 .
[48]张建宇.对企业危机信息管理的思考[J].现代企业, 2003,(11): 14-15.
[49]Nick Collin. Information Management In Crisis :Getting Value For Money From It Investments By Rethinking The Management Of Information And Technology[J].Computer Audit Update, 1995,(2): 6-11.
[50]David Mendon?a. National Research Council .Information Technology Research For Crisis Management[M].National Academy Press, 1999.
[51]基于web的应急信息管理系统——Web Eoc系统[EB/OL].[2009-06-08].Http://Esi911. Com/Esi/Products/Webeoc.Shtml.
[52]卢一郡, 贾红轩. 美国突发事件管理系统简介[J]. 中国急救发素与灾害医学杂志, 2007, 2(6): 367-380.
为满足组织对信息的需求,建立有效的信息系统,使企业内部能迅速取得并交换、管理及控制其工作流程所需信息;再考量信息管理和信息技术生命周期,COBIT在结构上将IT过程分为三层,从上至下是过程域(也叫过程组)、过程、活动。COBIT定义了34个过程,分为四个过程域,即规划与组织、获得与实施、交付与支持、监控与评价。
(一)规划与组织规划与组织涵盖为达成营运目标应有的IT策略规划。
一是制定企业会计信息系统战略性规划。系统规划是系统建设的第一步,在COBIT中,要求通过战略规划,为企业提供长期并符合企业发展目标的IT规划,并定期将这些目标转换成可以操作的短期实施计划。需要针对企业业务战略,市场环境需要,IT支撑技术,可行性研究,风险控制等方面,由信息部门和企业董事在充分考虑这些问题后制定计划。
二是确定企业会计信息系统的组织结构。“信息孤岛”是目前许多企业面临的一个问题。造成“信息孤岛”的原因很多,有管理方面的原因,但更重要的是企业在IT规划与组织过程中没有对企业的信息架构进行明确的定义。COBIT对这一过程提出了明确的控制目标:信息系统应建立并随时更新业务信息模型,定义适当的系统以优化对信息的使用。
三是确定企业会计信息系统的技术方向。COBIT认为IT在企业中的作用是服务于业务自身的需要,那么企业在决定信息技术方向时必须有一个能够很好制定和管理技术的流程,而这个流程就是要确保技术能够很好地实现企业对产品、服务和交付能力的期望。
四是企业IT投资管理。对IT投资决策和资金使用管理流程的控制是确保企业信息系统有效性的关键。对于这个决策和管理的控制,企业可以参照COBIT的控制目标建立并维护管理IT投资项目的框架。该框架涵盖成本、收益、预算及预算管理,与企业业务战略的匹配程度和控制在IT战略战术规划中的总成本与收益,并能在错误发生时及时更正。这样可达到IT成本一效益的持续、显著提升并创造更多价值。
五是确保信息系统控制目标传达到企业各部门。管理层在IT方面的目标和方向需要通过合适的渠道和流程由上至下传达,同时要确保用户的意识和对这些目标的正确理解。
六是评估IT新系统的投入风险。目前,企业的会计业务和管理越来越依赖于IT,而依赖就意味着风险。信息系统在企业中的应用,需要有一套管理体系去应对系统使用过程中的风险。COBIT提出在这一风险管理体系中,需要有IT风险的识别、影响力分析,涉及到多个部门并且需要采取最经济和有效的措施来规避风险。同时还要考虑:风险管理的所有权和责任权,不同类型IT的风险(技术、安全、持续性、规范性等),所定义和的风险容忍限度,根本原因的分析,风险的定性和定量衡量,风险评估方法论,风险行动计划,及时的再评估等。
(二)获取与实施获得与实施涵盖实行IT策略规划,应确认、开发或购买IT解决方案并施行,变更及维护现有系统。
一是会计信息系统解决方案的确定。系统解决方案的确定过程即通常所说的系统选型的过程,系统解决方案的确定是企业信息化建设中的一个重要环节。在会计信息系统的开发设计上更是如此。COBIT在对这一过程的控制中提出:企业需要在明确业务需求的情况下,客观而清晰地对多种方案进行识别和分析。
二是系统应用软件的获取。如果说识别解决方案或者说系统选型的过程是让企业知道什么方案是适合自己的,那么获得和维护系统软件的过程才是实现系统给企业带来收益的开始。COBIT对于这一过程的控制是确保其能够提供支持业务流程的有效应用功能。具体而言就是软件系统必须能够和业务流程很好的融合。在这一过程里,关键是企业的业务需求是否能够获得所选系统的支持,企业的业务流程(经过优化)能否和系统融合,系统在实施过程中的每个阶段是否都有明确的成果。
三是会计信息系统的使用与维护。企业对信息系统的依赖性使得业务运行的稳定对系统的敏感性越来越强。系统一方面在给企业的业务运作和管理带来收益的同时,另一方面其复杂性也给企业信息系统的管理带来了很大的压力。要确保信息系统的有效运行首先要有标准化的软硬件及评价标准、一致的系统管理等行为,为支持业务过程的应用程序提供适当的平台。其次要求通过为用户提供新系统的使用文件及手册,并提供培训以确保对应用程序和基础设施的正确使用。
四是会计信息系统的变更管理。信息系统是为业务部门服务的,但企业的业务是不断变化和发展的,相应的信息系统也必须与业务发展同步。COBIT对这一流程的控制目标是最小化破坏、非法篡改和发生错误的可能性。实现该目标要构建一个管理系统,分析、实施、跟踪所有现有IT设施要求的及所作的变化。控制重点在于识别变化,分类优先排序和紧急事件的应对措施,对变化的跟踪与报告,变更的总结与存档。企业可在新旧系统的变更中采用以旧系统为基础逐步引入新系统的方式,跟踪与报告变更中的问题并及时解决,成功进行会计信息系统的更新。
(三)交付与支持交付与支持和实际提供所需服务有关,涵盖作业安全、持续训练,确保服务提供,建立必要支援作业,应用系统处理的控制。
一是会计信息系统服务的管理与控制。会计信息系统在投入使用后,其服务主要由企业内的IT部门和企业外的第三方来提供。对于内部IT部门的服务管理,COBIT要求定义和管理服务水平。企业外第三方服务是目前多数企业所采用的方式,将信息系统的开发及维护交由第三方来管理,这就需要对第三方服务提供者进行管理控制。COBIT提出对于第三方要在服务协议中明确其职务、责任和预期效果,并且监督和检查协议是否得以有效实施等。
二是确保会计信息系统服务连续性方面的控制措施。无论什么样的系统都不可能完全可靠,因此系统在获取后发生故障的可能性是客观存在的。为将系统出现故障时对业务的影响控制在最小程度,COBIT提出要有合理的系统故障重要性分析,故障发生时有业务活动的替代流程,准备备份和恢复程序,定期对系统的软硬件进行测试并对相关人员进行培训等。
三是确保系统安全。确保系统安全是信息使用安全的基础。尽管在信息系统中访问信息时有严格的限制,但若要消除这种限制也非常简单,所要做的只是设法获得一组数字或字母。因此为了确保信息系统的安全,必须进行相应的控制。关于系统的安全,COBIT要求关注和审核对信息机密程度和有关隐私信息的定义、授权、身份甄别和系统访问的控制,系统用户的识别和授权的相关信息,密钥管理,防火墙的管理等。
四是加强教育和培训操作员的控制。对最终用户的培训是确保实现服务品质、满足业务要求的重要环节。教育和培训过程是为了确保用户能够有效使用技术并在使用过程中明确技术带来的风
险以及自己所应该承担的职责。可以从多种方式和多种内容上进行,在提供综合性的培训和发展计划的同时,还需考虑培训课程的设置、技术的储备、意识的培养、新的培训方法的运用、个人的学习效率以及知识库的开发等。
(四)监控与评价监控与评价即经常评估所有IT作业,以确保品质及控制制度的落实。
一是绩效监督与评估。信息系统的实施是否能满足企业业务需求需要一套有效的IT绩效管理与监控体系,会计信息系统也是如此。COBIT认为这个过程需要定义相关的绩效指标、系统化且及时的绩效差异报告,并对差异及时采取措施。通过监控与评估能明晰各流程职责,确保事情按照既定的方向正确实施。
二是会计信息系统审计与内部控制评估。任何一套信息系统在实施过程中,系统的可靠性、安全胜和有效性都是非常重要的。审计就是为了确保系统的可靠性、安全性和有效性。首先应成立专门的信息系统审计小组,由审计人员和信息技术人员构成,其构成成员不得服务于其他部门。重视内部审计与独立第三方审计,内部审计是企业内部的信息系统审计活动,是对信息系统功能实现的内部控制,而独立第三方审计是对内部控制的再控制。
三是确保法规遵从。信息系统的实施要遵从相关法规,如会计处理就要遵循会计法规。有效的法规监督需要建立一套独立的测评程序来确保对法律法规的遵循。这一程序中,COBIT要求确认对IT已经产生影响或可能产生影响的法律法规;对已确认的法律法规做出积极的回应;监督法律法规是否严格执行;依法报告IT实施情况。
四是提供IT治理。这是在COBIT发展到第四版时提出的,这一点是服务于整个企业职责的。建立有效的治理结构包括定义组织结构、程序、领导、职务和责任以确保企业IT投资与企业整体战略目标一致。
二、基于COBIT的企业会计信息系统控制体系重建
目前我国企业对会计信息系统有一定的内控管理,但漏洞较多、不成体系。为更好地使用信息系统,获得安全、可靠、有效的会计信息以及其他决策有用的管理信息,从而提高企业竞争力,运用COBIT重建企业的会计信息系统控制体系十分必要。通过重建企业会计信息系统控制,理顺信息化工作流程,分阶段、分层次明确信息化工作范围,从企业、部门、岗位三个层面,定义从事相应信息系统工作的角色及职责;整合各类信息管理资源,实现企业信息系统的规范管理。
(一)会计信息系统控制思路以COBIT为依据,会计信息系统控制将以组织整体战略为导向,定义会计信息系统的功能;以外界环境为依据,采用先进的信息技术加强内部控制手段;以业务与信息技术整合为重心,提高信息的可读性和有用性。其控制思路具体包括:
一是建立与信息时代相适应的内控环境。关键在于以下两点:
(1)建立健全组织结构与权责分派体系。企业应对原有会计组织机构进行适当调整,以适应信息时代的要求。组织结构设置必须适合企业的实际规模,符合企业总体经营目标:依据成本效益原则按精简、合理的原则对组织机构进行设置,使之符合信息时代企业组织结构的变迁。
(2)注重人力资源管理。知识经济时代,企业发展将主要依靠科技、知识与人才,而内部控制采取的一切措施、方法和程序,都要由人来执行,所以“人本主义”作为构建内部控制机制的信条已被越来越多的企业所接受。企业管理者应当重视对人员的选择、使用和培养,这不仅是内部控制的环境因素,也日益成为内部控制结构的有机组成部分,所以要加强会计信息系统的内部控制,首要任务是加强对关键员工的素质控制及对员工素质的重点培养。
二是识别新风险、建立新型风险控制体系。建立会计信息内部控制,不能不考虑其赖以存在的环境及企业内外部各种风险因素。信息时代,信息的传播、处理和反馈的速度都大大加快了,由此导致企业不断改变业务和信息流程。在这一过程中,不能再盲目地采用传统控制政策和程序,而必须重新评价,以适应新业务发展的需要。应把注意力集中在评估特定环境下的业务风险,并制定相应控制程序,而不能拘泥于特定控制程序,进而限制了对技术的使用。
三是利用信息技术改善会计信息系统控制活动。企业管理层识别会计信息系统风险后,应针对这种风险采取必要措施。利用信息技术,设立良好控制活动,增强内部控制系统的预防。
(1)设立良好的控制活动。控制活动是确保管理阶层指令得以实现的政策和程序,旨在帮助企业针对“使企业目标不能达成的风险”采取必要行动。控制活动出现在整个企业内的各阶层与各职能部门,包括核准、授权、验证、调节、复核、保障资产安全以及职务分工等各项活动。
(2)增强内部控制系统的预防。有效的控制活动具有预防性、检查性和纠正性等特性。传统内部控制制度通常是根据已输出的会计信息在年末实施检查,检查财务错误和舞弊行为,无论结果如何,错误已经发生,某种情况下难以弥补,内部控制预防功能被完全限制了。这种现象影响了企业的所有者和经营者对内部控制制度的理解与重视程度,认为内部控制措施只有事后检查功能。信息时代下,广泛使用网络信息技术为实刚决策支持和改善业务与信息转化过程提供了技术支持,同时也提供了预防、检查和纠正错误及防止舞弊的机会。如在计算机软件中嵌入内部控制程序,随时监控企业经营运行状况,在即将出现问题时及时提供预警信息,帮助员工进行过程控制。从传统内控发现问题,将事后补救的做法,发展为事前预防和事中控制。
(3)利用信息技术,实现企业一体化集成管理。企业应在网络环境下,通过信息化的手段完成产、供、销业务的连贯,实现财务处理与业务处理的一体化,建立一个实时有效的预算系统。,在会计和管理信息化的过程中,改革传统业务结构,提高运营效率,降低成本,强化企业内部基础管理的规范性。
四是利用互联网技术加强会计信息系统监控。要确保内部控制制度执行效果良好,内部控制能够随时适应新情况等,内部控制就必须被监督。工作环境的改变也为企业会计信息系统内部控制监督提供了新工具,通过互联网可以对整个会计信息系统进行实时监督,网络实时监控和电子监视系统可以强化会计信息系统内控的监督功能。
五是建立会计信息系统控制体制。在做好以上四步控制后,就可以建立企业会计信息系统控制体制,确定涉及会计信息系统工作的部门的岗位职能,确定系统建设周期的流程,并针对各阶段不同的管理水平和能力建立成熟度指标,确定各阶段的关键成功因素和关键绩效指标,然后梳理信息系统所涉及的各个部门的关系,将各阶段管控流程细化到岗位角色。
通过对企业业务流程的分析,可以将会计信息系统控制体系划分为信息系统规划、信息系统实施、运行和后评估四个阶段,如图1所示。
(二)建立会计信息系统控制模型在上述控制指标的基础上,依据COBIT结合企业会计信息系统内部控制工作,确定每个阶段的分等分级成熟度指标;各阶段关键成功要素;各阶段关键目标指标;各阶段关键绩效指标。在此基础上形成各阶段的控制流程,明确流程之间的接口,并进一步进行角色的划分,确定信息部门以及相关会计职能部门的工作范围和职责。本文仅以规划阶段的会计信息系统战略规划为例,建立其控制模型,如表1所示,其余以此类推。