风险评估风险点范文

前言：我们精心挑选了数篇优质风险评估风险点文章，供您阅读参考。期待这些文章能为您带来启发，助您在写作的道路上更上一层楼。

第1篇

【 关键词 】 风险评估；风险分析；项目管理

Implementation of Government Information Systems Risk Assessment

Yu Ying-tao 1 Li Xin 1 Xue Jun 2

夜上海论坛 （1.North China Institute of Computing Technology Beijing 100083；

2. Solid Waste Management Center，Department of Environmental Protection Beijing 100029）

【 Abstract 】 This article describes the main points of the risk assessment of the implementation of the government information system, including risk assessment purpose, scope and risk assessment models, risk assessment project specific work processes and methods, tools, and related items necessary for the completion of the risk assessment projectmanagement requirements. Good reference for guiding the risk assessment of information systems project implementation.

【 Keywords 】 risk assessment; risk analysis; project management

0 引言

夜上海论坛 政务信息系统关系到国计民生，因此保障电子政务系统的信息安全是我国经济与社会信息化的先决条件之一，是国家信息化建设的重要内容。如何保证政务信息系统的安全性，风险评估是一项很基础的工作。通过对政务信息系统进行风险评估，可以了解信息与网络系统目前与未来的风险所在，充分评估这些风险可能带来的威胁与影响的程度，依据系统的风险和威胁，进行针对性的防范，做到“对症下药”，可以有效解决政务信息系统的安全问题。

1 政务系统风险评估概述

夜上海论坛 1.1 风险评估的概念

政务系统的信息安全关心的是保护政务信息资产免受威胁。风险评估是有效保证信息安全的前提条件，也是建立在网络入侵防护系统、实施风险管理程序所开展的一项基础性工作。其工作原理是对系统所采用的安全策略和管理制度进行评审，发现不合理的地方，采用模拟化攻击的方式对系统可能存在的安全漏洞进行逐项检查，确定存在的安全问题与风险级别。并根据检查结果向系统管理员提供周密可靠的安全性分析报告，为提高网络安全整体水平提供重要依据。

夜上海论坛 风险评估的目的是全面、准确地了解政务信息系统的安全现状，发现系统的安全问题及其可能的危害，为后期进一步安全防护技术的实施提供了严谨的安全理论依据，为决策者制定网络安全策略、构架安全体系以及确定有效的安全措施、选择可靠的安全产品、建立全面的安全防护层次提供了一套完整、规范的指导模型。

夜上海论坛 1.2 风险评估的范围

夜上海论坛 政务信息系统风险评估的内容与范围需要涵盖整个系统，包括系统安全管理的状况、网络及安全防护技术架构、通信链路、系统数据及业务系统加密情况、系统访问控制状况等。在政务信息系统的安全防护工作中，“人”是关键要素，无论系统所采用的安全技术、安全策略和安全手段多么现代化与智能化，都需要“人”去操作、运行和管理。如果信息系统的安全管理水平落后，人员素质不高，那么政务信息系统的安全性就会减弱，安全漏洞就会增加。

1.3 风险评估的原则和依据

1.3.1指导原则

由于政务信息系统风险评估涉及的内容较多，因此在进行评估时就需要本着多角度、多层面的原则，从软件到硬件，从理论到实际，从技术到管理，从设备到人员，来具体制定详细的评估计划和分析步骤，避免遗漏。在评估时一般需遵循的如下几个原则：标准性、可靠性、可控性、保密性、技术先进和成熟性、全面性、高效性、持续性。

1.3.2相关法规和政策

《中华人民共和国计算机信息系统安全保护条例》（国务院令147号）；

《商用密码管理条例》（国务院令 273号）；

《计算机信息系统安全保护等级划分准则》；

《计算机机房场地安全要求》（GB9361-88）；

《信息安全技术-信息安全风险评估规范》（ GB/T 20984—2007）。

2 政务信息风险评估工作流程

2.1 系统调查

夜上海论坛 开展政务信息系统风险评估的第一步就是进行系统调查。通过调查政务信息系统上运行的所有应用，了解系统主要业务的流程，清楚的掌握支持业务运行的硬件基础设施的结构及安全系统现状，收集风险评估所需的系统全部信息。在进行系统调查的同时，还需对系统风险评估的评估范围进行分析、界定。对系统边界进行明确定义，有助于防止不必要的工作，并对改进风险评估的质量都是很重要的。

第2篇

关键词：风险评估；报告；内控体系

中图分类号：F272 文献标识码：A 文章编号：1001-828X（2014）010-00-01

风险评估工作与内部控制体系的建设相互促进、有机结合，是企业围绕总体经营目标，识别企业各业务单元、各项重要经营活动及其重要业务流程中的风险，并对风险发生的可能性和影响程度进行分析、评价和应对的过程。

总体而言，风险评估报告的结构至少应包括四部分内容：其一，企业情况概述，本部分就企业风险评估项目背景、定位与目标、理念与方案三大内容进行概括与总结，便于报告使用者理解本次风险评估工作的基本目标与方法；其二，风险评估实施过程，本部分是整个风险与内控体系建设工作的起点，旨在构建一个具有代表性又有扩展性的通用风险管理标准，从风险管理知识宣传、风险分类与定义、风险评估标准三大方面初步构建企业风险管理基础平台；其三，识别企业面临的重大风险，根据风险调查问卷和风险调研访谈，识别出企业面临的重大风险，以供企业管理层参考；其四，风险管理体系的建设，结合企业风险管理的现状，提出相应的改进措施，包括风险管理组织结构设置、职能设置、工作流程及工作防范建议。

夜上海论坛 以上四部分在风险评估报告中层层推进，构成完整的风险评估过程，以下作详细说明。

一、风险评估项目概述

（一）风险评估项目背景

夜上海论坛 本部分重点介绍企业的成立、发展沿革，行业背景，分子公司情况以及业务架构、组织结构等。编制企业风险评估报告的重要意义在于企业管理层希望借助风险评估项目，有效识别和评估影响本企业战略和经营目标的内外部风险源，并通过健全重大风险的应对与管控机制，有效地平衡好风险与收益，提高企业风险防范能力，从而防范和降低各类风险对企业经营的冲击，为企业实现战略和经营目标保驾护航。

夜上海论坛 （二）关于风险评估项目定位与目标

风险评估项目旨在达成三大目标：其一，建立风险管理基础，构建一个具有代表性又有扩展性的通用风险管理标准，统一企业的风险管理语言和标准；其二，明确重大风险领域，采用全面梳理与重点分析相结合的方式，识别和分析企业战略、经营、财务与合规领域中的重大风险，协助管理层统一对风险的认识；其三，团队能力建设与知识培养，加强和提高企业总部和各业务群管理团队对风险管理工作的参与度和认知，最大程度实现知识转移。

二、风险评估项目实施过程

夜上海论坛 （一）关于判断风险分类与定义

夜上海论坛 应从企业战略出发，参考COSO内部控制整合框架、行业风险数据库以及企业的风险管理实务，并结合企业的战略目标、实际情况等因素，建立适用于本企业的风险数据模型（即风险地图），从战略风险、运营风险、合规风险及财务风险四大方面对企业所面临的风险进行分类和定义，从而为统一公司的风险管理语言奠定基础。

夜上海论坛 （二）关于设立风险评估标准

夜上海论坛 为了对上述四大类风险的重要性进行评定并据此明确风险管理的优先次序和资源配置方向，应从风险发生可能性和风险影响程度两个维度建立符合企业实际情况的风险评估标准，以反映风险发生可能性由极低至极高，和风险影响程度由极轻微至灾难性的不同等级。

夜上海论坛 （三）关于实施风险评估过程

为了协助管理层更好地理解和评估风险，应以风险数据库和评估标准为基础，通过风险调查问卷的发放、收集与统计，风险调研与风险访谈等多种形式，在企业总部和业务群开展多层次、全方位的风险识别与评估工作。通过上述工作，不仅协助企业管理层评估重大风险领域所在，而且还能分析其可能影响的战略及经营目标，从而为企业明确风险责任，改进相关重点业务领域中的风险管控措施明确方向。

三、针对企业风险评估的调研结果

夜上海论坛 结合风险调查问卷与风险调研访谈的结果，企业管理层对影响本企业战略和经营目标实现的众多风险进行客观评估，并由此明确前几大风险的优先次序。这些风险可能是：产业（产品）战略和多元化、战略规划、市场营销、风险管理体系建设、公司高层的基调、品牌及声誉管理、销售模式、客户结构风险、人力资源规划及政策、组织结构等等。这些风险并不是独立存在，在实际经营环境中，各类风险往往互相影响、互相牵制，共同对企业实现经营目标产生影响。为此，还应对上述重大风险及其内在关系进行相应的逻辑分析，以协助管理层梳理各项重大风险之间的关系。

夜上海论坛 四、企业风险管理体系搭建

一套成熟完善的风险管理框架包括战略（目标）、风险以及流程与控制。企业战略处于企业管理及风险管理体系的最高层，是企业风险管理以及流程内控建设的出发点，风险管理体系必须紧紧围绕企业战略。风险则是影响企业战略管理体系的实施与战略目标达成的不确定因素，企业需要将外部环境、内部经营与战略目标进行对比，以识别出影响企业战略的重要风险。企业流程与管控体系则是风险管理体系的重要落脚点，完善的风险管理体系可以从企业的流程、制度等管控体系中识别出影响，并从风险管理体系的制度及流程建立风险应对措施。

夜上海论坛 （一）风险管理体系现状分析

一套完善的风险管理体系通常由业务部门、风险管理部门和内部审计部门组成的“三道防线”共同构成。通常，企业均能初步搭建起风险管控体系的三道防线，如：1.各业务部门负责关注各业务领域内的风险并采取相应的控制措施降低风险；2.企业管理部负责公司运营风险管理，对运营风险进行预警和控制，为公司的经营、管理决策提供可行性、合法性分析和法律风险分析；3.审计监察部主要负责集团的财务审计、经营活动审计及其他专项审计。

（二）风险管理工作规划

夜上海论坛 风险管理与内部控制体系的建设密切相关，相辅相成，没有完善配套的内控体系，风险管理就如同纸上谈兵、空中楼阁；而缺少风险管理的内控体系建设，会由于缺乏足够的针对性而效率低下、浪费资源。

夜上海论坛 无论是《企业内部控制基本规范》或是COSO ERM模型，都将企业的目标分为四大类别，包括：战略目标、经营目标、财务目标和合规目标。风险是影响企业目标实现的不确定性，而内部控制则是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。因此，企业有目标就会有风险，而针对每个风险就会有相应的内部控制，以管理风险，从而合理保证目标的实现。

夜上海论坛 风险评估项目实施过程中，应协助企业初步搭建结合先进理论基础、契合企业实际情况、符合国家监管要求的内部控制体系框架，将风险匹配到内控体系框架，并完成对该体系框架的评估、梳理和建设工作。

在此基础上，需要进一步开展风险管理工作，逐步完善风险管理和内部控制体系，依据风险分层管理、分类管理和集中管理的要求，建立符合企业自身特点的全面风险管理组织体系。另外，在充分考虑企业规模以及业务发展需要的基础上，针对近期及未来风险管理工作的重点，提出相应的参考及建议。如：完善企业风险管理组织架构中各管理层级的岗位职责。完善三道防线，其一，各风险责任部门的日常管理工作，包括，风险责任人、风险联络员等；其二，风险管理部门的管理工作，风险管理涉及公司的方方面面，建议由总裁、执行总裁等高级管理人员组成的风险管理委员会，负责公司整体风险管理工作，风险管理委员会下设风险管理部门，负责各业务部门风险管理工作的协调；其三，审计监督工作，审计监察部应对风险管理进行审查和评价，对风险管理工作进行监督，即对风险管理过程的设计和执行的有效性进行评价，并给出评价意见；审查和评价重大风险的评估和管理是否适当，将评价结果向审计委员会汇报。

风险评估工作结束后，形成风险评估报告，反映企业的风险及其分布状况，为领导决策提供支持。通过风险辨识、风险分析及风险评价，形成风险评估初步结果后，就风险评估结果的真实性、准确性向企业风险管理委员会征求意见，并根据反馈的意见，调整、修正企业的风险评估结果，编写出企业的风险评估报告，上报风险管理委员会或董事会进行审议。

参考文献：

[1]企业内部控制基本规范.财政部，证监会，审计署，银监会和保监会联合.

第3篇

夜上海论坛 关键词：道路工程保险；风险评估；思考

夜上海论坛 随着我国经济的腾飞，加快了公路建设的发展。但公路建设的不确定性也很大，从风险管理和保险的角度进行考量，有助于我们清晰把握项目的风险特征，根据现场查勘的实际情况，进而对保险方案的制订，风险标的的评估等各项内容应进一步的认识。

一、建设单位（或所有人），投资方（或责权人），承包人（或分包人）情况

对工程主要承包人要了解该公司的历史，对类似的工程以往承建的经验如何，承保人及其工程关系方的资信等情况。该项主要了解被保险人的情况，工程保险可以由多个共同被保险人，上述各项可以作为共同被保险人或单独的被保险人。承包人作为最主要的被保险人，需要了解其以往建筑类似工程的经验，据以判断其承包该项目的风险程度；承包人及其工程关系方的资信将直接影响到工程资金的到位，进而关系到工程的进度，所以必要加以了解。

二、建设工程地址和自然地理条件

夜上海论坛 该项主要了解工程的施工地址，对该区域自然和人文情况有一个较为粗略的判断，比如在城市和在农村、在平原和在山区、在我国的南方或在北方等就有很大的区别，同时自然地理情况，估计可能发生的自然灾害或其它事故的可能性及预防措施，比如是否属于泻洪区，附近是否有水库及河流，是否地震裂带，是否容易发生风暴等。

夜上海论坛 三、提供工程合同，承保金额明细表，工程设计书，工程进度表，工程地质报告，工地略图及危险单位划分图

夜上海论坛 工程合同中关于工程造价、工期及各关系方保险责任做出较详细的规定，该规定对被保险人及保险人存在的风险有直接的影响，所以应了解合同有关的内容，承保金额明细表在承保时有助于确保总保险金额及分项金额，提醒被保险人足额投保；理赔时有助于受损金额的确定。工程设计书，工程进度表，工程地质报告，工程略图有助于保险人了解与保险有关的工程进度、地貌等情况，危险单位划分图则可以直观的了解风险单位的分布情况，有助于正确划分危险单位，估计损失大小，测算MPL及安排分保。

四、意外事故风险

（一）隧道施工风险

夜上海论坛 隧道施工有常规风险和特殊风险两部分，常规风险是指在无明显地质灾害的完整岩层中掘进，主要是爆破及通风不畅造成的人员伤害与设备损失风险。作为常规风险核心是爆破及支护两个方面。而特殊风险则主要解决地质灾害区段的隧道风险，其中主要包括岩体内裂隙水处理、裂隙危岩支护、滑坡段、断层破碎带、采空区、松散路段掘进中的塌顶等的防护，不同隧道的不良地质问题是不同的。

1.爆破作业风险。爆破作业客观上历来属于高风险作业范畴，它包括对爆破材料的安全存放，爆破方式、爆破参数的选定、洞室爆破安全防范措施、警戒线的设置等。但核心是管理及爆破参数的选定。爆破材料的保管和安全风险主要在于选址和库房结构是否由有关部门审批验收；日常的安全管理工作（如避雷、防火、防盗、防爆），爆破材料的保管及运输应有专人负责，未用完的爆破材料应经清点核实后，回库保管，杜绝爆破材料的流失。因此，加强管理和作好人员安全意识教育，是防范这类风险发生的重要措施。爆破的专门设计和最佳爆破参数的选择是行业的常规做法，最终爆破方案将取得业主和监理工程师的认可批准后，方可正式施工。一般来说，爆破工作虽然有发生各作业面施工交叉干扰及人员伤亡、设备损坏的可能性，但只要技术措施得当、安全管理到位、员工风险意识加强，则这种常规风险一般都可以控制在很小的范围内。

2.不良地质区段风险。根据前述项目风险分析中涉及不良地质的描述，其中相当多的方面都是开挖时应防范的，如岩体内裂隙水、裂隙危岩支护、滑坡段、断层破碎带、浅埋段洞顶塌陷等，有些是在爆破后支护时应防护的如危岩支护、破碎带处理、引排水措施等。

夜上海论坛 3.透水涌水风险。隧道工程地质勘察中如发现有岩溶及地下水不明情况，说明开挖中透水涌水的可能性是存在的，在施工需安排相应的防范及应对措施。基岩裂隙水在隧道施工中的影响与涌渗水量大小密切相关，因此在施工中只要合理采用以排为主，防、排、截、堵相结合的措施，则对隧道施工并不会构成大的灾害。特别是涌水较大的情况均发生在夏季暴雨期，而在秋季降水补充不足时，涌水量会大大减少。

（二）桥梁施工风险

桥梁施工风险主要在于基础施工，特殊桥型的上部结构施工、山区与隧道相连的高架桥施工以及桥梁辅助设施施工（如桥台周边的护坡、护岸施工等）。

桥梁基础施工风险。桥梁基础主要应防范的风险是在软土地区钻孔桩施工时施工质量与事故。这种事故主要发生在基桩的施工中可能出现的因意外事故主或泥浆配合比不合适，而造成施工中塌孔、缩颈、甚至断桩等问题，这一风险对大直径钻孔桩出险概率很低，但一旦发生事故对后续施工及工期的影响较大，且清残费用较高。基础施工的另一个风险是夏季洪水或山区洪水突发可能造成对施工机具、施工平台、钢套管等及正在施工的标的物的损失，对桥梁铺助设施（护堤、护坡施工）风险也同样存在。控制这一风险的关键时避开山洪暴发期施工，如因抢工期必须在夏季施工，则应针对山洪暴发及泥石流采取有效的防范措施。对于高桥墩、长跨桥梁施工，一般具有桥高、施工场地狭窄、部分高架桥为桥隧相连的特征，从而造成：1.沟深山高，施工道路布置受雨季影响明显；2.构件运输条件差，施工机具设备作业面狭窄，吊装工程难度大，易发生碰撞及倾覆事故；3.高桥数量多，高空作业风险明显，特别对挂篮设备，现浇施工时，受风的影响较大，存在一定的安全隐患；4.隧桥相连，交叉作业有一定的干扰；5.基础施工及桥上护岸、护堤、防护设施受山涧洪水影响较大。

（三）路基施工风险

路基施工风险除直接水毁外，比较重要的是高路堤施工和深路堑及高边坡路基施工，两者在风险方面比较相近。对于高路堤施工，主要风险源是坡面浸水，或洪水浸堤造成的路堤破坏、冲毁，或部分流失。需要合理安排施工顺序及边防护、边堆高的施工工艺流程，以及堤下设排水沟及堤下留排水通道。目前，一般在充分了解当地暴雨滞留的地面水高底后，往往在施工中防护段高出地面水一定距离，防范作用明显，一旦边坡防护层施工完成后，只要排水通畅，事故率较低。对于深路堑及高边坡路基施工，主要风险源是深路堑施工中的危石滚落或高边坡未防护前的坍落，一旦发生大量坍塌，恢复原有断面尺寸的填充费用往往比清理下泻泥水土方、石方损失要大的多。

（四）其他工程施工风险

其他施工风险在常规施工中，仍潜伏着许多不为人们重视的风险。例如停电风险（引起混凝土输送泵及管道中混凝土结块，电动振动器无法工作，压力灌浆中断；设备防雨受潮损失；临时电缆及架空电缆碰断等）；修筑联络线路损失；盗窃风险；工地火灾风险等。只要在工程风险防范中加以重视，通常这些风险是可以回避的。

（五）施工设备风险

设备除可能遭受自然灾害造成损失外，在运输和运行中同样存在风险。隧道开挖、道路、桥梁、路基铺轨施工所用的设备多是大型设备。一旦发生灾害（包括进场运输）或在运行中发生意外事故，损失较大。对于以下四大类施工常用设备，现场施工设备及运输设备出险概率要更大些。而混凝土拌和系统或附属工厂设备风险相对较小（施工常用设备分类）：1.土石方挖掘、回填、液压凿岩台车、灌浆及混凝土施工的通用设备；2.附属工厂及设施；3.混凝土生产系统及输送设备；4.运输设备。

五、自然灾害风险

夜上海论坛 （一）暴雨、洪水风险

夜上海论坛 工程在隧道洞口施工、深路堑、高护坡施工、施工便道、高填土路基施工时，易使泥岩稳定遭到破坏，如不及时做好防护工作，一旦遇到暴雨，极有可能坍方和泥石流，造成标的物的损失或施工机器的损坏及第三者责任损失，为防止这一风险的发生，除应加强天气预报观测外，能及时做好边开挖、边防护是很重要的，减少和防止这些风险事故发生的根本是按正常的施工程序，及时做好防护设施的施工，尽量减少开挖填筑土面的时间，及时按标准做好施工期及使用期的排水设施。

（二）其他自然灾害

其他自然灾害如地震、雷击、冰雹、冬季冻灾等也发生的可能性。从保险角度出发，施工过程中所发生的大面积塌方、滑坡、泥石流、高护坡崩塌均属于山崩的保险责任范围。但并不能因此而放松风险防范应采取的技术措施。其原因是一旦风险发生后，工期损失、人员窝工损失、设备闲置损失、免赔额是无法弥补的。同时，恢复工程现状所付出的费用和人力、物力，有时也很难得到全额补偿。

六、第三者责任风险

夜上海论坛 第三者责任风险损失不仅包括财产及人身损失，更重要的是可能引的社会责任和社会影响，运这一点在公路建设项目也很突出。该项可根据被保险人对第三者责任风险的要求程度及周围情况或可能发生的危险程度，保险人提出自己的保险建议（即赔偿限额，费率和免赔额的大小等承保条件）及被保险人应注意的事项；例如：地处城市闹区的工程可能发生的风险程度一般大大高于远离市区的空旷地带的工程。

七、管理风险