系统风险管理工作计划十篇

时间:2023-03-20 10:39:35

系统风险管理工作计划

系统风险管理工作计划篇1

第一条本规范所称税收风险是指因纳税人、扣缴义务人(以下简称纳税人)未能按照税法的要求,及时、准确履行税务登记、纳税申报、税款缴纳以及其他纳税义务,而导致税款流失的可能性。

第二条税收风险管理是指税务机关运用风险管理的理论和方法,应用先进的管理和技术手段,识别和评估税收风险,针对不同的税收风险制定不同的管理策略,依法通过服务和管理措施防范和化解税收风险,提高税法遵从度和税收征收水平的过程。税收风险管理以省局税收风险管理平台为依托,主要包括风险管理战略规划及计划制定、风险识别、等级排序及推送、风险应对及反馈、风险应对复审、绩效评价六个步骤。

第三条县局税收风险管理领导小组负责税收风险管理的统筹指导、协调处理重大风险管理事项、指导和督促风险管理工作的开展。

第四条税收风险管理实行“统一分析、分类应对”的集约化运行机制,统一风险规划、统一风险识别、统一等级排序及推送、统一监督评价,实施递进式、差异化风险应对。

二、工作职责

第五条风险监控局的主要工作职责:负责大集中系统基础数据审计及数据标准制定,涉税数据加工、产出;负责税收风险管理战略规划、风险计划的拟定和组织实施;负责税收风险管理制度的拟定和管理流程的优化;负责全县各级税务机关的税收风险管理需求的统筹实施;负责组织和参与建立、验证、维护风险识别模型和风险指标;负责组织开展税收风险状况分析;牵头负责风险特征的管理;牵头负责第三方数据的管理工作;负责按户归集风险点,根据排序规则确定风险等级,并推送给相应的风险应对机构;牵头对全县风险管理状况进行绩效评价;负责总局定点联系企业风险管理;牵头负责重点税源监控工作,组织重点税源调查,编写重点税源风险分析报告;负责大企业管理工作;上级交办的其他事项。

第六条风险监控局设立局长室、综合股、风险识别股和风险推送股。

第七条风险监控局的部门工作职责如下:

(一)局长室:

1、负责风险监控局各项工作职责的落实;2、负责风险监控局行政管理等工作;3、负责风险监控局党风廉政建设、纪检监察等工作;4、上级交办的其他工作。

(二)综合股:

1、负责拟定税收风险管理战略规划;2、负责拟定各项规章、制度和办法;3、负责拟定风险计划、工作计划并组织实施、跟踪管理和统筹协调;4、负责扎口管理机关各业务科室(含稽查部门)、风险应对机构提出的税收风险管理工作事项;5、负责大企业管理工作;6、负责拟定税收风险识别模型的建设计划和组织落实;7、负责组织税收风险状况分析;8、负责与纳税服务、税源管理、稽查部门及业务科室业务工作的联系与衔接;9、负责部门、个人绩效考核的组织实施;10、负责部门各类总结、报表、材料的组织工作;11、负责总局定点联系企业风险管理工作;12、牵头负责重点税源监控,组织重点税源调查,编写重点税源风险分析报告;13、负责各类涉税资料整理、归类、归档;14、上级交办的其他工作。

(二)风险识别股:

1、牵头负责建立风险特征库;2、负责与税收风险管理直接相关的数据整备工作;3、牵头负责第三方数据的管理工作;4、负责组织税收风险指标的业务需求评审;5、负责统筹风险指标的技术转换,牵头制订风险指标分值算法,并组织风险指标验证;6、牵头负责风险指标的持续改进;7、负责风险点加工和上传;8、负责大集中系统数据审计;9、负责涉税数据加工、产出;10、上级交办的其他工作。

(三)风险推送股

1、负责风险排序和确定风险等级;2、负责拟定风险推送方案,并向纳税服务局、税源基础管理分局、中等风险应对分局、稽查局推送应对任务;3、负责组织编制风险应对指引;4、负责风险应对实施过程的监控;5、负责接收风险应对反馈报告;6、牵头负责税收风险管理绩效评价,编写评价报告;7、上级交办的其他工作。

三、岗位设置

第八条风险监控局的岗位设置如下:

(一)局长室岗位设置

1、局长岗:负责风险监控局全面工作,完成上级交办的其他工作。2、副局长岗:协助局长负责风险管理、行政管理等工作,完成分工负责的具体工作。

(二)综合股岗位设置

1、综合管理岗:负责拟定各项规章、制度和办法;负责部门、个人绩效考核的组织实施;负责分局各类总结、报表、材料的组织工作;负责各类涉税资料整理、归类、归档、负责后勤管理工作和安全等工作。2、计划管理岗:负责拟定税收风险管理战略规划;负责拟定风险计划、工作计划并组织实施、跟踪管理和统筹协调;负责扎口管理机关各业务科室(含稽查部门)、风险应对机构提出的税收风险管理工作事项和县局举报中心转交的举报、移送、交办案件;负责拟定税收风险识别模型的建设计划和组织落实;负责组织税收风险状况分析;负责与纳税服务、基础管理、风险应对、稽查部门及业务科室业务工作的联系与衔接。3、大企业风险管理岗:负责与市局联系并按总局和省市局要求开展定点联系企业风险管理工作;4、重点税源监控岗:牵头组织重点税源调查、开展重点税源风险分析,编写风险分析报告。

(三)风险识别股岗位设置

1、风险特征管理岗:牵头负责建立风险特征库;负责组织落实风险特征报送奖励制度。2、模型(指标)业务岗:负责风险识别模型和风险指标的业务需求分析;负责与风险识别模型和风险指标建设单位的业务联系和协调;负责组织业务需求评审。3、模型(指标)技术岗:负责风险识别模型及风险指标配置、加工、验证、后续管理过程中的技术转换、实现等工作;参与业务需求评审。4、模型(指标)管理岗:负责风险识别模型及风险指标的、维护、停用、废止等后续管理工作。5、数据整备岗:负责指标元的配置、管理和加工方案的制定,按照指标运行需要提出数据补充采集需求;负责涉税数据加工、产出。6、数据审计岗:负责大集中系统数据审计。7、风险识别岗:负责完成月度风险计划、举报案件、交办事项中的风险点加工、验证、上传、风险分值设定等工作。8、第三方数据管理岗:牵头负责第三方数据的管理工作。

(四)风险推送股岗位设置

1、风险推送岗:负责风险排序和确定风险等级;负责拟定风险推送方案;负责根据风险推送方案向纳税服务局、税源基础管理分局、中等风险应对分局、稽查局推送应对任务;负责组织编制风险应对指引。2、监督评价岗:负责风险应对实施过程的监控;负责接收风险应对反馈结果;牵头负责税收风险管理绩效评价;负责编写税收风险管理评价报告。

四、风险监控工作内容和要求

第就条风险监控局负责数据审计、确保大集中系统基础数据质量,根据业务科室需求加工、提供涉税数据。

第十条风险监控局根据市局年度税收风险管理工作计划和县局年度税收风险分析报告,统筹整合县局业务管理部门提出的税收风险管理事项,结合县局稽查局的专项检查计划和其他税源管理工作要求,每年3月底前,拟定年度税收风险管理工作计划草案,报县局税收风险管理领导小组审议通过后实施。

第十一条县局各分局针对本辖区税源管理特点,结合收入目标完成情况和应对资源使用状况,在县局年度风险计划内容之外,按季提出本部门税收风险管理需求,填写《税收风险管理工作事项表》,报县局税收风险管理领导小组办公室批准后,提交风险监控局组织实施。

第十二条县局业务管理部门根据工作需要可以发起临时性税收风险管理工作事项,编制《税收风险管理工作事项表》,并报县局税收风险管理领导小组办公室批准后,交由风险监控局调整月度风险计划。

第十三条风险监控局负责将第三方数据进行有效匹配和深度加工,形成可用于风险识别的各类风险主题数据,并与省级大集中系统进行有效对接。

第十四条风险监控局负责大企业风险管理工作。

第十五条风险监控局根据年度风险计划和其他工作要求,于每年4月底前制定全县风险识别模型建设计划,明确各模型建设的责任单位、建设目标与要求、业务指导部门、技术联系人等。

第十六条风险监控局根据工作安排组织开展税收风险指标的需求评审工作,从业务、技术、第三方数据采集等角度提出改进意见和建议。对通过需求评审的风险指标,按照市局操作规范要求,及时将风险指标部署到风险管理平台之中。

第十七条风险监控局按照普遍识别的原则,对当期可用于进行加工的风险指标,必须全部用于风险点加工。未通过验证或验证后有效率达不到要求的风险指标,不得用于风险点加工。

第十八条风险监控局根据风险识别模型所选用指标的风险分值以及预先确定的指标权重,选择加权值、加权平均值、最大值、最小值等计算方法,按户计算纳税人的风险积分,结合风险应对机构的应对资源状况,确定高等风险、中等风险和低等风险。

第十九条风险监控局根据已确定的纳税人风险等级,结合风险应对机构的应对能力状况,经县局风险管理领导小组办公室批准后,将高等风险推送稽查部门,中等风险推送中等风险应对部门,低等风险推税源基础管理部门,行为类风险根据部门工作职责确定应对机构,并明确应对期限及反馈要求。

第二十条风险监控局加强对风险应对的监控,督促风险应对机构按照要求完成应对任务。按季编写税收风险管理评价报告,主要内容包括分析风险发生的原因,评价风险识别模型及风险指标的有效性和风险应对的效率、效益,提出存在的问题及工作要求、改进税收征管、提升数据质量的建议等。

第二十一条风险监控局牵头建立覆盖税收风险管理全过程的绩效评价体系,建立税收风险管理能力评价模型,对风险管理所有环节、所有相关部门进行全方位评价和考核。

第二十二条风险监控局负责联系市局,对接总局和省市局要求,开展定点联系企业(大企业)风险管理工作。

第二十三条风险监控局牵头组织开展重点税源监控工作、制定重点税源实施办法及工作规范、组织重点税源调查、负责重点税源风险分析,编写风险分析报告。

五、交叉职能的处理原则

第二十四条风险监控局负责第三方数据的管理工作,统一对外与综合治税成员联系,负责第三方数据采集与整备;县局各科室为第三方数据利用的责任单位,负责提出数据采集需求、确定数据采集内容和制定数据应用方案。

第二十五条风险监控局负责风险指标、风险识别模型建设的统筹、组织及技术转换等工作;县局相关业务科室、县局稽查局和其他应对机构负责风险指标、风险识别模型的业务建设、风险指标验证与修正、持续改进等工作。

第二十六条风险监控局、风险发起人、督察内审科共同拟定风险复审名单,报县局税收风险管理领导小组确定,复审工作由督察内审科具体实施。

第二十七条风险监控局负责统筹建立全县风险特征库;县局相关业务管理部门负责工作职责范围内税收风险特征的征集、审核和确认工作。

六、附则

系统风险管理工作计划篇2

关键词:风险管理;项目管理;信息系统;措施

中图分类号:TP393.07 文献标识码:A DOI:10.3969/j.issn.1003-6970.2012.07.041

引言

项目风险是指由于项目所处环境和条件本身的不确定性及其项目主体或其他关联主体在客观上不能准确预见或控制影响的因素,使项目的最终结果与项目关联主体的期望值发生背离,从而给项目相关利益主体带来损失的可能性。项目风险管理强调对项目目标的主动控制,对项目实现过程中遭遇的风险和干扰因素做到防患于未然,其追求的目标就为了增加项目积极事件的概率和影响,降低项目消极事件的概率和影响,以避免和减少损失,实现项目管理过程中使损失降到最小,让效益或效率达到最大化的目的。信息系统项目的建设是复杂的、开放的、多变的和动态的,为此,在信息系统项目管理过程中可能面临的风险问题也日益突出,需要引进相应的管理方法对整个过程及每个环节进行有效的管理。因此,如何进行

信息系统项目的风险管理就成为我们当今企业所面临的一个重要的、关键性的问题。同时,风险管理也为信息系统项目的管理提供了一种新的手段及新的思路。在本论文中,笔者将根据自己亲自负责过的一个信息系统项目的风险管理工作所获得的经验与体会,深入探讨如何做好信息系统项目的风险管理。

2010年5月,广西某工程总公司与笔者所在公司签署信息化战略合作协议及《工程项目综合管理系统》信息系统项目建设协议,我有幸被任命为项目经理,全面负责项目的管理和监控工作。广西某工程总公司是广西壮族自治区人民政府监管的建筑施工企业,实力雄厚,其核心的组织结构为集团、分公司、项目部施工地三级。该项目要求信息系统采用先进、稳定、安全的技术手段,通过搭建企业工程项目综合管理信息系统平台,满足企业各层级的管理需求,促进企业不断提高生产、经营、管理、决策的效率和水平,从而提高企业的经济效益,增强企业的市场竞争力和核心竞争力。

在笔者组织下,我们根据该企业的组织机构特点和各层级的业务范围,拟定了系统功能:集团层:数据的查询分析、业务的审批监控、系统参数确定及辅助决策等;分公司层:数据查询分析(受限),业务流上传下达、报表审核、项目控制与操作等;施工项目层:具体业务操作、基础数据录入、报表准备、项目状态更新等。系统采用J2EE技术架构,数据库采用Oracle 10g,用Java作为开发语言,将前瞻性与实用性相结合,实现了可高度伸缩的系统,以此来满足该企业当前及未来发展的应用需要。

1.信息系统项目风险管理的进程及其内容

众所周知,信息系统项目开发过程中的不确定因素很多,即便进行了科学、详细周密的计划和跟踪,有时风险依然不可避免、难以预测。在项目实施中的各个层次、过程及环节中,存在着很大的不确定性、不稳定性和不可预见性,因此,要将项目的全部环节纳入风险管理计划中,以确保项目实施中不超成本,不减进度,确保按质按量按时完成预定的目标。要对信息系统项目进行合理、有效的风险管理,首先要制定风险管理计划,对风险进行预测,然后准确地识别风险,并对其进行定性和定量等,并在此基础上制定风险的相关应对策略,最后完善对风险的跟踪、监控、管理及处理,以最低的成本实现项目生命周期中最大的安全保障。

1.1制定风险管理计划

“凡事预则立,不预则废”,开发信息系统项目要有指导方针和详细计划。风险管理计划是风险管理的关键环节,是后继的风险识别、分析、应对和监控的依据,也是制定相应风险应对措施的重要依据。

信息系统项目的风险管理贯穿项目整个生命周期,即在项目的每一个阶段都必须对风险进行预测和计划,进而形成一个风险分析清单,然后制定风险管理计划。在笔者所负责的信息系统开发项目初期,通过邀请团队成员、客户业务代表及相关专家等,以召开会议研讨的形式拟定了该项目的风险管理计划,内容包括:风险管理的步骤;风险管理的负责人及其具体职责范围、任务和方法措施;项目的投入预算;风险的分类、分级;根据风险,如何进行成本、进度、质量的平衡等。为了规范风险管理计划实施过程中的沟通活动,还制定了相应的风险报告模板来满足实际需要。

在信息系统项目的实施过程中,应根据项目进展的实际情况,详细记录风险来源、风险发生的可能条件及出现的症状等信息,制定相应的风险应对措施。在项目的实施过程中,我们对风险管理计划进行了多次修改,确保风险管理计划更加符合实际情况和未来发展需要,更具有针对性和实用性,更能反映应对风险的实际需求。正是通过这种持续的改进和滚动措施,完善了信息系统项目的风险应对策略和执行方案,避免了一些风险,有效地预测并控制了某些风险,切实减小了风险的影响。

1.2风险的识别

信息系统项目的风险管理不是静止的,而是动态的、复杂的、不确定的。在笔者所负责的信息系统项目的实施过程中,我们采用分析、走查、评审等方法来识别风险。将识别出来的风险进行归类、分级,然后记录在风险识别列表中,并不断的对其进行动态更新。

该信息系统项目以业务模块开发为主,我们对程序代码和项目文档进行了走查,对各阶段的交付物进行了评审。对走查和评审中发现的问题追本溯源,认真分析信息系统项目实施过程中的不确定性因素、各种风险的来源以及风险之间的关系,找出造成问题的根本原因及其可能引起的后果,以确保及时准确地发现项目实施中存在的风险。在一次评审中,发现某个模块的交付物和预先设置的不同,我们意识到这可能导致质量风险,及时进行了处理。经调查,发现出现这种情况的原因是某程序员私自接受了客户的请求,并更改了程序的相关功能。基于这一风险因素,随后我们采取了相应的处理措施,即对“功能变更”做了更加严格的控制,避免类似的情况再次发生而影响项目质量和进度。

我们还通过分析进行风险识别。分析过程采用头脑风暴法,尽可能多的收集相关信息,分析隐藏的内容,以达到准确、及时识别风险的目的。项目成员对工作的认识及其积极性也是我们要考虑的风险因素。在实际操作中,我们对项目成员提交的每周工作报告进行仔细分析,发现维护员有连续几周没有实质性的工作进展的情况,经调查核实,主要是由于维护员对工作进程及阶段性任务的不同认识造成的。

除此之外,我们还定期邀请相关领域的专家,以研讨会的形式对项目的实际情况进行分析与问询,尽可能多地发现并识别项目中存在的潜在风险及其可能引起的后果。

1.3对风险进行排序和量化:风险定性分析和定量分析

在对信息系统项目进行风险识别的基础上,对风险存在的潜在性、隐蔽性及可能性进行预测,并对其可能造成的损失与影响进行分析,然后有针对性地做出相应的估计和衡量;对风险进行全面分析后,在此基础上对其可能产生的影响的大小进行排序,以使信息系统项目实施人员采取的措施更具有针对性和目的性,使信息系统项目的整体风险得到更加有效地预防和控制。

为了制定风险的应对策略,需要对识别出的风险进行定性分析。主要分析风险发生的可能性及其影响。因为同一个风险,会因不同的角色,而有不同的看法。比如,对于因新增功能需求引发的风险,开发人员担心影响进度,设计人员担心影响整体功能。因此我们一般采用会议研讨的方式进行定性分析,即对识别出的风险出现的概率和产生的影响进行评估,根据其对信息系统项目可能产生的危害性大小进行排序;根据风险类型,邀请相关领域的资深人士参加,依据有关操作经验及行业标准对风险进行定性分级,以提高风险预测结果的准确性和具体可操作性。通过定性分析,根据对影响信息系统项目的严重程度进行风险排序,确定风险的级别,以制定更有针对性的风险处理方案。

所谓风险定量分析,就是指在对特定风险的分析过程中,量化分析每一项风险的概率及其对信息系统项目的目标可能造成的后果与影响;基本内容为运用概率统计方法对风险的发生及其后果加以估计,得出比较准确的概率数据,为风险管理提供可靠的数据资料。风险定量分析是在不确定情况下进行决策的一种量化方法。

风险的量化分析是比较困难的,有时候投入了大量的资源,不一定能带来有价值的信息。我们主要采用专家评估的方法,结合三点估算,把风险转化为对时间、费用和目标的影响,进而分析项目完成可能需要的时间和成本。

在实际的项目风险评估过程中,定性分析和定量分析的方法常常结合在一起使用。首先将风险的不确定性进行量化,评价其潜在的影响,从而对风险进行排序归类,以便决策者采取更加有效的风险控制措施。

1.险响应规划:制定相应的风险防范措施和响应策略

为了减少风险发生的可能性,降低风险带来的危害,提高企业的效益和收益,根据已做出的风险识别与风险分析结果,形成风险管理的共识,制定相应的风险防范策略与应对措施,预防风险或减少损失,以达到使信息系统实施能够按照预定计划执行的目标。

在整个信息系统项目管理过程中,制定一个周密、完整、全面的风险响应措施和管理方案是必不可少的。因风险的多变性及复杂性,要根据风险的变化,及时制定或调整相关风险的应对措施,及时评价、监督风险应对的执行效果;要制定动态风险处理方案和技术措施,并对各项风险决策执行情况不断进行跟踪检查,细化项目流程,对项目内容进行梳理归类分析。通过制定防范策略,来有效阻止风险的发生和消除风险发生后带来的危害。在笔者所负责的信息系统开发项目的实施过程中,我们制定了如下相应措施:(1)物理安全管理方案:系统中心机房应采取安全防范措施,确保非授权人员无法进入。(2)数据备份与恢复方案:在内部网络系统中,主要设备、软件、数据、电源等应有备份,并具有在较短时间内恢复系统运行的能力。(3)技术风险管理:不断更新技术风险信息,采用先进、有效、合理的技术;另外,我们还聘请相关专家召开研讨会和对相关人员加强培训的方式来防范风险。(4)进度风险管理方案:因为项目的工期已经确定,因此存在进度风险。为确保进度,我们定期召开项目会议,检查项目的进展情况,发现有延期的任务,及时分析原因,制定相关的应对措施,通过加班和增加有经验的优秀员工可以得到有效的化解;另外,还可根据项目进度与交付物管理计划,设计有针对性的正式沟通计划来降低进度风险。(5)质量风险管理方案:质量是客户最关心的我们在合同约束下,针对每个交付物的验收标准制定严格的质量控制方法与手段,对整个项目管理过程进行责任的可追溯设计;还成立了专门的质量保证小组,通过加强测试等手段确保质量。(6)人员流失风险管理方案:根据范围、成本与进度要求,进行人力资源技能、数量以及使用时间的预算。我们制订了一份人力资源预算计划,作为人力资源预算执行过程中的控制基线,并设计执行过程中相关人员的考核依据。为避免人员流失给项目带来的风险,我们和人力资源部一起制定了一套有效的激励机制并确保落实,平时通过培训、聚餐、拓展训练等加强团队的凝聚力,构建一个稳定的项目团队。(7)事故应急方案:制定在内部网络发生安全事故时的应急响应步骤。由于客户方的用户多,系统性能方面存在风险,我们制定的响应策略主要为增加硬件资源来提高系统性能。另外,对于因项目范围模糊引发的风险,我们通过召开评审大会对范围说明书进行评审和确认,并让客户签字确认,若出现超出范围的需求变更,用户要承担一定的责任。

1.5做好风险的跟踪和监控

在信息系统项目实施过程中,风险管理是保障项目顺利进行的重要手段。成功的风险管理可以有效防止或减少项目受潜在风险的影响,充当信息系统实施的“保护伞”。

风险跟踪与监控是在信息系统实施中,对风险发生情况的控制和对风险管理过程的监督。

要对已识别的风险的状态进行跟踪,监控风险是否发生;发生后采取的一系列应对措施是否有效,风险是否已经消除,会不会引发新的风险等;还要继续识别可能发生的风险,对其进行分析,制定应对措施,更新分析列表,实现PDCA(英文单词Plan(计划)、Do(实施)、Check(检查)、Adjustment(调整)的首字母组合)的良性循环,进行持续的、动态的风险管理。

在笔者所负责的信息系统项目开发中,我们主要采用监控会议的方式来跟踪和监控风险。每次会议都对项目中的风险、应对策略的执行和跟踪情况进行评估和总结。同时,还要关注信息系统功能需求变更和项目的具体进展,因为功能需求变更会带来新的风险。随着项目的不断变化,有些风险会自动消失,而有的风险会发生改变,对残留的风险要加强评估,制定相关应对措施,降低风险带来的不利影响。通过建立合理的、科学的信息安全工作体系,确保信息系统项目管理的良性循环。

2.结语

系统风险管理工作计划篇3

实践流程设计风险导向内部审计信息化的应用并不是意味着将风险导向的理念全部应用到审计信息化工作中,根据目前国内较早应用风险导向内部审计信息化企业的探索经验及电网企业的实际情况,只能是将风险导向理念引入审计业务中,部分业务采用信息化方式实现,因此设计理念采用手工业务流程和信息化相结合的方式实现。

1、风险导向内部审计工作流程

1)内部审计规划制定。

收集较为全面的风险评估信息,梳理风险,从可能性和影响程度2个维度进行评估,识别出重要业务单位和重要业务流程,编制风险图谱,对未来几年内审计进行部署,同时制定审计策略,做出对内部审计所需资源的部署,制定相应的职责定位和业务范围,由审计小组人员共同探讨决定,根据业务发展变更规划,不定期进行。电网企业通过开发风险管理信息系统,在信息系统中设置风险管理信息库,通过信息库的信息实现系统自动统计分析,自动评估风险,识别重要业务流程,并在系统中通过风险图谱形象地展示风险分布。

2)年度审计计划编制。

一般在12月份左右编制下年度审计计划,由审计小组牵头,所属单位审计或财务主管人员参与,流程如下。①确定审计项目类别并量化风险,根据风险值为风险进行排序,最后起草年度审计计划。其中量化风险包括建立风险因素标准分值体系,确定重要性系数,为风险因素打分,该部分工作可在风险管理信息系统中实现。②确定审计项目类别。通过和公司高层访谈征求意见,对机关领导和下属单位各职能部门下发调研问卷,收集审计人员意见形成审计项目计划建议方案,对审计项目进行分类列示。在对各项进行风险评估时,对领导、机关人员、审计人员赋予不同权重分值,根据最后合计分值计算出各项目的排序,由此确定年度审计项目计划的类别。该项工作需要手工完成,然后录入风险管理信息系统。③量化风险。识别出主要风险后,分析风险成因,将风险转化为可测量的具体风险因素,对各因素赋予不同的数值,说明其重要性;对各个因素的风险大小通过“高、中、低”进行反映,通过公式“因素风险值=风险因素标准分×重要性系数”为风险因素打分,设置“风险因素标准评分体系”及“重要性系数评分参考表”对其赋予量化分值,该项工作可在风险管理信息系统中实现。④根据风险值对风险进行排序。根据量化风险中计算的风险值对审计项目排序,将审计项目按总风险值高低汇总排序,作为审计计划阶段的风险评估工作结果。⑤起草年度审计计划。根据风险排序可知高风险审计项目,考虑人力资源和审计费用等因素,根据该信息制定年度审计计划,可以在信息系统中进行审计计划流程设置并收集相关资料。

3)具体审计项目实施

审前准备阶段、现场实施阶段、终结审计阶段和后续审计阶段。①审前准备阶段侧重对审计对象的风险评估,审计方案的编写应以审前调查结果为依据,方案中列明具体审计要点对应的企业目标、风险、控制措施,抽取样本量的大小应以风险评估结果为依据,高风险审计要点应抽取高比例的样本,低风险审计要点应抽取低比例的样本,根据“风险=可能性×影响程度”对项目风险进行评估,该项工作可在风险管理信息系统中实现。②现场实施阶段根据评估结果重点审计风险大的审计要点,并根据新增信息调整风险评估结果,优化审计步骤,修正审前阶段风险评估的误差,形成工作记录和工作底稿,该项工作为手工完成,录入风险管理信息系统。③终结审计阶段主要提交审计报告,体现风险管理效果的评价结论和建议,可在风险管理信息系统中实现,具体内容见表1所列。④后续审计阶段对审计出的问题进行继续跟踪审计,达到整改目标为止。可将实施信息在风险管理信息系统中进行填写,以便完成后续工作。

4)流程再造。

在对上述业务进行实践的基础上,如果发现某些环节出现了问题或者已经完全不适合审计的需要,可以对流程进行重新设计。形成新的审计流程图和审计结构的调整,该项工作可以随时进行,由地市审计部门组织,由各审计人员根据实际审计中发现的问题出具书面申请,经小组评估通过后进行。该项工作可以在信息系统中参考以前工作流程的资料进行判断,将流程再造的意见输入风险管理信息系统并提交。

2、保证流程正常运行的专业管理与控制

1)绩效考核制度:采用平衡计分卡对财务、客户、内部流程、员工学习和成长进行绩效管理,占员工奖金考核比重为+5%或-5%。

2)考核的具体指标:指标具体设置编制为指标体系,根据业务发展不断完善。

3)重大风险事项信息化管理措施:借助已有的信息化平台,尤其是ERP审计系统,可以链接信息化重要业务内容,实现原始数据的直接穿透,对常见的审计问题及重大风险事项进行文档归集管理,在该系统中及时查阅相关数据信息,出现异常及时处理,实现对重大风险的实时监控。

二、电网企业风险导向内部审计信息化建设展望

1、全员参与审计规划制定为了实现全面风险管理的思想,未来将审计规划拓展到更为广阔的领域,参与制定规划的机构也要随之不断完善,参与人数也要涉及业务的各个领域,使得规划制定更务实、有效,在信息系统中设置不同权限实现全员参与管理。

2、在信息系统中引进更科学的风险评估方法风险评估一直是风险管理的重点和难点,未来要加强风险评估的专业化研究,随着风险导向内部审计范围的不断扩大,风险评估手段要引进更多的分析方法,尤其是定量评估,如流程图法、风险指标法、敏感度分析法、情景分析法等,并对不同方式适合的业务类型进行细化管理。

3、建立风险评估信息数据库风险的评估主要是依靠信息资料,信息资料越充分,评估就越准确。风险评估内容包括风险测试、风险识别、风险评价、风险控制、风险报告等。未来所有业务数据可以通过风险管理信息系统实现集成,在系统中实现风险评估内容的自动生成,将目前电网企业信息系统所有信息自动链接,对行业指标设定阈值,如果超过阈值,系统自动报警,实现风险的自动化预警,比人工发现问题更及时,而且设定报警期限,如1天、1周或1个月,系统在设置的时间内,自动进行测试,并可出具相关风险信息的报告,详细反映该问题。

4、根据业务流程在信息系统中发现风险点在流程中发现风险是目前更为科学的风险管理方式,比单纯依靠财务资料、以往审计资料等渠道更为直接,更接近业务实际。目前电网企业信息系统已有业务流程管理功能,可根据目前业务流程进行功能升级,提高根据业务流程的各个控制点发现风险的能力。

5、在信息系统中引进数学模型对抽样进行科学分析设n为样本量,c为置信水平系数,S为标准差,L为可容忍误差,则:n=c2S2/L2(1)属性抽样审计法服从二项分布的原则,近似服从正态分布,在计算抽取数量多少时,置信水平越高,抽取的数量越多,可容忍误差越小,月底抽取的数量越多,可以实现高风险高抽取数量的科学预测,该方法在电网企业审计项目有相似模型可以参考。

三、结语

系统风险管理工作计划篇4

【关键词】IT项目管理;教务管理;风险管理

【中图分类号】TP351

【文献标识码】A

【文章编号】1672-5158(2012)12-0015-01

一、项目概述

随着学校教学规模的扩大、教学模式发生了转变,使得学校教学教务管理任务越来越重,不仅增大了工作量、更是增大了工作难度。这些根本性变化的同时也对学校的教务管理提出了更高的要求,为了适应这些新变化,提高教学教务管理的工作效率,建立一套完整统一、技术先进、高效稳定、安全可靠的基5CIntemet/Intranet的教学管理信息系统成为当务之急。

作为学校IT陔心支撑系统,要求为教务教学管理提供IT支撑。学校通过本系统可以实时了解教务管理晴况和学员反馈晴况,有利于提高教务管理水平。本项目内容包含学校招生管理、教研计划、教务处理、教学质量管理、教师考核管理、学生档案管理等。

该系统为支持学校教务管理工作的核心系统,为教务教学管理提供IT支撑。该系统采用B/S模式开发,使用J2EE技术,提供web访问模式。其面向的使用对象包括学校及下属各学院的教务工作人员、教师及学员,为其提供各类综合。工作人员通过本系统完成所有的日常教务工作。从招生到学员毕业离校,其在校内的所有和教务相关的数据都通过教务系统进行管理。学员则可以通过系统进行网上报名、选课及查询自己的个人相关信息(教学计划、课程表、成绩等)。教师则可以查询自己的课程安排,上传课件,录入学员成绩,查询教师业绩考核晴况等。

项目能否成功与很大程度上归功于对项目风险的有效管理,项目要想以有限的成本在有限的时间内达到项目目标,就必须加强风险管理。风险管理的目的就是降低负面风险,同时抓住风险带来的机会。

二、风险管理计划编制

在项目启动初期,组织有关人员编制了风险管理计划,作为该项目处理风险管理的行动指南。

考虑到学校项目涉及的干系人众多,采用了会议形式来制订风险管理计划。参加会议的人员包括:项目高层经理、项目经理、学校教务处处长、教研科科长、师资管理科科长、教材科科长、各开发组组长等。在这个过程里,对以下几方面进行了重点的讨论:影响项目目标的管理类以及技术类风险主要包括哪些方面;风险减轻的可交付成果是什么;怎样减轻风险;谁负责实施风险管理计划;什么时候是风险管理的里程碑;需要多少资源来减轻风险等等。根据讨论的结果,并结合学校的项目计划来制订本项目的风险管理计划,该计划主要描述了在项目当中如何组织和执行风险管理,并将其作为项目管理计划的组成部分,对风险的管理费用也一并纳入项目预算内。

三、风险识别

根据本项目的实际情况,把风险划分为技术类风险、管理类风险两大类,每一大类下又细分为各小类。比如技术风险包括需求、设计、测试等等。在结合组织级的风险列表库基础上,通过采用访谈以及优势/劣势/机会/威胁(SWOT)分析等方法,形成了风险清单。同时在项目实施过程中,以周为单位,定期对风险清单中的风险内容进行审查,以便根据项目的进展重新检查及识别可能的风险来源和触发条件,从而进—步发现以前没有注意到的或者是未知的风险。

四、风险分析

风险分析是指对已识别的风险做出进一步的定性和定量分析,定义出风险发生的具体概率和后果,从而确定出风险的优先级。在分析过程中,组织风险专家对风险的概率及影响进行了科学的分析评估,对风险清单中列明的所有风险计算出一个确定的风险值,然后再根据风险值确定风险相对优先顺序。对于优先级高的风险比如:最危险的风险定义为:进度延误大于30%,或者费用超支大于30%;风险发生的几率为0.8~1.0)。

将其单独列在《风险管理报告》中,并提交高层经理和项目管理部。同时分派项目风险管理人员对高级别的风险展开实时跟踪监控及记录。在项目实施过程中,列在《风险管理报告》中的高级别风险主要有以下几条:

1、系统安全风险:由于采用B/S结构,只要能上网就能使用系统,在带来方便性的同时,也带来了很大的安全隐患,如果有人成功入侵服务器,严重的话可能出现最坏的结果。

2、核心人员流失的风险:在目前的软件企业里面,如果在开发过程中关键的开发人员流失,而无合适的替代人员,项目可能直接宣告失败,后果十分严重。

五、风险应对计划编制

通过对风险的分析,根据风险的优先级等制订了风险应对计划。在该计划中,充分考虑了以下几个因素:风险级别、所需应对成本、应对的及时性要求、处理结果是否可以被项目干系人所接受,并为每一个风险指定了相关的责任人以及应采取的风险应对措施。

对于《风险管理报告》中所列的需重点监控的风险,专门组织了会议,对重点风险的应对制定了更有效的应对策略,并使其应对办法取得了重点项目干系人的认同与支持。会后形成的主要应对策略如下:

1、对于安全性问题,服务器采用托管在电信机房比较好,电信机房安全性高,24&时有人执守,专业机房可保证服务器物理安全性能。在系统平台上,采用机房的硬件防火墙,操作系统采用UNIX并安装网络版的杀毒软件。在软件系统里面,增加对网卡MAC地址的控制和校验,只有登记授权的机器才能登录系统。以控制系统的使用范围,防止数据在未经过授权的机器泄露。通过这些措施的实施,使得客户对于系统的安全性信心大大增强。

2、对于人员稳定性问题,由于本系统建设周期较长,因此在项目人员挑选上也采取了一定的措施。对于参与人员进行了详细的调查,如果确定某些人存在离职念头的,都不能参与此项目。与项目人员签订相应的意向书,并做了一定的物质补偿,以保持内部人员的相对稳定。

六、风险监控

系统风险管理工作计划篇5

一、现有软件项目风险管理模型分析

软件风险管理是一种软件工程实践,包括过程、方法和工具,并利用这些过程、方法和工具去完成持续评估风险、确定风险优先级、实施策略处理风险工作。现有软件项目风险管理模型包括:(1)BarryBoehm理论。20世纪80年代,软件风险管理之父Boehm认为,软件风险管理这门学科的出现就是试图将影响项目成功的风险形式化为一组易用的原则和实践的集合,目标是在风险成为软件项目返工的主要因素并由此威胁到项目的成功运作前,识别、描述并消除这些风险项。他将风险管理过程归纳成两个基本步骤,即风险评估和风险控制。其中风险评估包括风险识别、风险分析、风险排序;风险控制包括制定风险管理计划、解决风险、监控风险。(2)SEI(软件工程研究所)的CRM(持续风险管理)模型。SEI提出的CRM模型要求在项目生命周期的所有阶段都关注风险识别和管理,它将风险管理划分为识别、分析、计划、跟踪和控制5个步骤,并采取不同的策略。(3)Riskit方法。如果组织在项目早期采用系统化的风险管理过程和技术,那么组织就有能力避免很多问题。Riskit方法能提供这种系统化的风险管理过程和技术,它由Mary-land大学提出的,旨在对风险的起因、触发事件及其影响等进行完整的体现和管理,并使用合理的步骤评估风险。对于风险管理中的每个活动,Riskit都提供了详细的活动执行模板,包括活动描述、进入标准、输入、输出、采用的方法和工具、责任、资源、退出标准。Riskit风险管理过程在项目生命期内,这些活动可以重复多次。(4)SofiRisk风险管理模型。SoftRisk模型是由Keshlaf和Hashim提出的,它基于这样一种观念:记录并将注意力集中在高可能性和高破坏性的风险上是进行风险管理的有效途径。这样可以节省软件开发过程中的时间成本和人力成本,并可有效减轻风险的破坏性。此模型确保在软件项目进行中持续地进行风险管理。(5)IEEE风险管理标准。IEEE风险管理标准定义了软件开发生命周期中的风险管理过程。该风险管理过程是一个持续的过程,系统地描述和管理在产品或服务的生命周期中出现的风险,包括计划并实施风险管理、管理项目风险列表、分析风险、监控风险、处理风险、评估风险管理过程等。(6)CMMI(软件能力成熟度模型集成)的风险管理过程域。CMMI是由SEI在CMM基础上发展而来,并在全世界推广实施的一种软件能力成熟度评估标准,主要用于指导软件开发过程的改进和进行软件开发能力评估。风险管理过程域是在CMMI第三级一一已定义级中的一个关键过程域。CMMI认为风险管理是一种连续的前瞻性的过程。它要识别潜在的可能危及关键目标的因素,以便策划应对风险的活动并在必要时实施这些活动,缓解不利影响,最终实现组织目标。CMMI的风险管理被清晰地描述为实现三个目标,每个目标的实现又通过一系列的活动来完成。(7)Microsoft的MSF风险管理模型。MSF的风险管理认为,风险管理必须是主动的,它是正式的系统的过程,风险应被持续评估、监控、管理,直到被解决或问题被处理。

二、面向企业全面成本计算模型的风险管理策略

结合企业全面成本计算理论和软件项目的风险管理内容,笔者通过对国家科技攻关项目“模型驱动的异构系统集成框架与基于SOA的数据交换平台技术”进行分析,建立一种面向企业全面成本计算模型的风险管理策略。

(一)基于网格体系的企业全面成本计算模型ETCM以客户价值与企业利润最大化为目标,面向产品全生命周期,通过成本企画确定目标成本,并将成本筑人到产品的设计与制造过程;在广度上,面向企业整个供应链,通过作业成本管理确立成本计算模型,优化供应链中的增值作业;并通过层次分析(AHP)方法、企业资源计划(ERP)或系统预测确立EAD模型(费用与作业关联矩阵)和APD模型(作业与产品关联矩阵)等成本分配率模型。在计算过程中,ETCM计算模型涉及合作伙伴各种高度异构、动态分布的信息平台。以Web服务为运行平台,采用面向服务的体系架构,建立图1所示兼容硬件平台、遗留信息系统和知识资源的全面成本管理体系结构,实现对企业整个供应链资源的有效组织和管理,帮助企业在整个供应链范围内,准确计算产品成本信息,辅助决策。

ETCM模型的体系结构由基础支撑平台层、集成化容器层、企业成本相关业务逻辑表示层、业务建模层、企业门户应用层、网格应用层构成。以硬件、系统软件和Internet为基础平台,在容器层建立支持业务运行的Java和功能组件、网格服务和Web服务组件,通过企业业务逻辑表示层实现网格高层应用功能的逻辑表达。企业业务逻辑表示层在企业业务过程编排与工作流技术的连接与管理下,将Legacy(遗留系统)、MTC(微软组件)、E-JB(企业Java组件)、Web服务和网格服务封装成不同领域内的商务应用(如企业物流、财务、人力资源、制造资源、全面成本管理、客户关系管理),并通过企业咨询与诊断、企业业务过程需求分析、业务流程建模、业务流程再造和业务流程持续改进等功能为企业提供实施网格应用的方法论指导。门户应用层为用户提供用户界面和一致的访问接口(如基于Web的服务门户)。应用层在Web服务和网格服务基础上提供网格制造系统高层应用,这些系统不局限于协同环境中的全面成本管理,还可应用于电子商务和电子市场、商务协同、制造协同与供应链协同等领域。容器层提供遗留系统容器、Web应用容器、Web容器以及网格服务容器等分别处理和封装来自合作伙伴或企业内部不同软硬件应用平台和操作系统的成本相关的业务应用。遗留系统容器集成与处理基于业务功能的商务应用,Web应用容器为EJB、Java Bean、MTC、CCM(CORBA组件)等企业级服务器组件提供安全运行环境与管理机制,Web容器为JSP(Java页面)、Servlets、ASP(Active页面)等

Web组件提供安全运行环境与管理机制,网格服务容器集成基于Microsoft,Net、J2EE(Java 2 Enterprise Edition)的Web容器和Web应用容器及Legacy容器,为网格服务与Web服务提供相应执行环境、服务组件执行周期、事务以及安全与服务质量的管理,并支撑Web服务组件的开发、部署、调试和运行,解决了协同环境中异构成本信息的共享与集成问题。

(二)面向ETCM计算模型的风险管理策略 通过对国家科技攻关项目 “模型驱动的异构系统集成框架与基于SOA的数据交换平台技术”的分析,结合上述企业全面成本计算理论的复杂性以及传统软件项目风险管理的主要内容和策略,笔者建立一种面向企业全面成本计算模型的风险管理策略模型,如图2所示:

在图2所示的风险策略管理模型中,理论基础是一个开放的概念,多受益于其他学科,包括风险和风险管理的定义、风险管理模型等体系结构。风险管理模型形成指导性的框架结构,核心风险管理步骤通过引入风险实体的概念和面向目标辨识、评估风险的思想,针对不同企业的计算环境提供不同的风险处理思路。技术基础包括风险定量计算、风险决策支持、风险预测及模拟等相关的风险决策和预测技术。决策树帮助大多数风险项确定相关的解决方案,例如,图形化的评审技术或随机型决策技术(GERT)是在计划评审技术(PERT)和关键路径法(CPM)之后发展起来的随机型网络技术,通过将不确定性引入计划,使系统状态不能全部列举出来,使得任何一种状态都不能完全代表系统的真正结果,增强了节点的逻辑判断功能,且数学模型可以使用计算机仿真来实现。在GER技术基础上,风险评审技术(VERT)从单纯考虑计划的时间因素发展到全面考虑计划中的时间、费用和效益因素,可以对计划进行更全面的分析和评价。

系统风险管理工作计划篇6

    所谓风险导向审计,是以审计的风险为导向,通过对审计风险的全面控制来实现审计目的的一种审计模式,风险导向审计经过传统风险导向审计向现代风险导向审计过渡。现代的风险导向审计是将传统的风险导向审计的固有风险与控制风险合并成一个因素,统称为财务报表重大错报风险,现代的风险审计模型:审计风险=重大错报风险×检查风险。

    随着医疗事业的不断发展,医院遭遇的内部与外部风险也是无可避免的,这时医院必须发挥风险导向审计在医院内部控制的作用,对医院内部进行自我监督、自我约束,使风险导向审计在医院内部发挥应有的作用。笔者在本文着重介绍了风险导向审计与医院内部控制的关系及风险导向审计在医院内部控制中的应用。

    一、风险导向审计与医院内部控制的关系

    风险导向审计是医院内部控制的重要组成部分,风险导向审计是对内部控制的再控制。医院虽然可以通过专业人士的评价、外部行政管理部门的监督检查、外聘中介机构等进行监督检查,但要想对日常事务进行全方位多层次的检查,只有内部审计可以做到。风险导向审计对医院内部控制系统的充分性、有效性发挥着重要作用,内部审计及时根据实际情况的变化而进行医院各部门的调整,为内部机制的有序运行提供保障。同样,内部控制搞好了,对于审计工作的顺利开展也有很大帮助:一方面可以提高审计效率,为审计制定合理的程序,另一方面也有助于确定审计的方法与范围,为审计提供依据,最后对于审计的质量也有了保证。

    二、风险导向审计在医院内部控制中的应用

    依据国家审计协会的《内部审计实务标准》,风险导向审计主要应用在编制审计计划时、确定审计范围时、编制审计方案时、实施审计过程中、编制审计报告时等,从风险导向审计与内部控制的关系来看,可以得出结论,医院风险导向审计离不开医院内部控制,采用风险导向审计办法,必须建立在对医院的风险管理与内部控制有一定了解的基础上,只有了解了这些基本情况,才能对内部控制实现再控制,合理配置审计资源,提高审计效率。

    1.了解单位基本情况,进行应用思路的部署

    进行风险导向审计的应用,必须要了解应用单位的基本情况,对于风险导向审计在医院内部控制中应用进行分析,必须要了解医院年总收入情况、固定资产、拥有病床数、相关背景、工作人员方面全方位的内容,然后进行运用思路的部署。为了实施风险导向审计,首先必须要对医院内部进行风险监测、分析、与预警,提高医院整体的风险防范意识,其次需建立健全医院内部控制制度,降低控制风险。通过对医院风险的分析与内部控制的评估,最后按风险的高低制定审计方案,开展审计工作。由审计风险模式可以看出,审计风险与重大错报风险和检查风险相关,其中重大错报风险很大层面上与医院的风险管理体制不严格、风险监测不严密相关。因此,应用风险导向审计的第一步便是完善风险管理体系。

    2.建立与完善医院风险管理体系

    医疗体制的改革,医疗卫生事业的迅速发展,使医院面临的风险越来越多且越来越大,建立与完善医院风险管理体系已经势在必行,为了促进医院管理体制的发展,根据相关文献与实践经验提出计划与控制系统应用于风险管理体系,如何实现计划与控制系统是需要深思的一个问题,我们必须要从组织保证、工作重点、具体措施三方面入手。在组织保证方面,需要明确的是要想实现计划与控制目标,必须要建立相应的机构来实现,这时,计划控制委员会的成立是必要的,其工作的内容是先制定医院的战略部署与总体的工作计划,再对工作的总体进程进行控制,最后对计划的内容进行评价,来决定计划与控制管理中的问题。

    单独成立计划控制委员会无法对工作进行直接部署,在其下级需要成立发展计划部,计划部的组成人员可以有管理人员、医疗人员、文秘人员。该部门的主要任务是对医院各种相关情报进行收集整理分析,对于可能发生的风险提出提前预警方案,协助领导进行全院的计划与控制工作,为计划与控制委员会提出具有建设意义的方案,并且对计划的合理性进行审查与调划,成为计划与控制的桥梁。

    依据其它企事业单位的实践与研究及相关研究资料表明,该部门的工作内容含有拟定实施计划与各项草案,审查设定的计划在医院风险管理以及内部控制中的运用情况,并对运用过程进行监督,对于在此过程中出现的问题给出评估,并给出相应的解决措施,对医院的内外部环境进行综合分析,对于潜在风险要进行日常管理。

    医院要把全面风险管理的思想贯穿于计划与控制的整个过程,把此作为计划与控制管理工作的重点,以此为思路进行医院内部计划控制与管理,有助于计划实施的有步骤、有条理,从而实现医院的发展目标。

    3.完善的系统控制降低风险

    为完善医院的内部控制系统,实现风险导向在医院内部控制中的应用,要在以下几个方面进行相关研究。要点之一便是要通过监察审计室来进行内部控制的评价与估测,监察室有了对内部控制方案的基本了解后,明确各科室在内部控制中的职责,了解风险导向审计部门在对内部控制进行监督与评价时的责任与义务。依据相关文献与国家颁布的法律政策,实现评估与审计内部控制而采取的措施和政策有以下几项:审查医院的内部控制制度是否符合国家规定的有关法规以及企业制订规章制度、办法、程序等;审计医院内部控制系统是否具有真实性完整性、系统性全面性等特点。

    要点之二便是排查风险,完善医院内部控制制度,这一点要求各部门对自己部门内部的各个程序所存在的风险进行一一排查与估算,对风险划分相应的等级,按照等级制定相应的应对与填补漏洞措施,完善内部控制,通过对风险点的排查,有效地降低风险的发生概率,对于风险导向审计在内部控制中的应用提供有效指导作用。

    通过前两个要点对内部控制系统的完善可以有效地降低风险发生的可能性,要点三和四是对一和二的补充与拓展,要点三是开展内部风险评价试点,对内部风险进行量化评价,依据各风险点的影响与后果,划分风险等级,依据风险等级划分审计资源,节省人力、物力、财力,在有效的分配资源中降低了内部控制的风险等级。

    要点四是制定和完善内部控制方法,内部控制的重要组成部分之一就是要对内部控制系统进行监督评价,因此,必须要形成有效的监督与评价体系,对医院内部各部门的风险等级进行明确划分,明确评价内容。具体评价内容包括内部控制环境、风险评估、制度建设、岗位设置与管理、权限控制、计划管理、计算机信息系统控制、应急机制等,把等级与内容相结合。

系统风险管理工作计划篇7

[关键词] 审计计划;风险导向

素有企业“内部警察”之称的内部审计已随着企业集团化、业务流程复杂化的发展趋势,从传统的内部审计发展到风险导向审计阶段,在实践中笔者也深深体会到以风险评估为基础制订的年度审计计划在风险导向型审计中所起的作用越来越大,但是如何进行审计计划的风险评估目前无论在国内还是国外都没有广为认可的模型可供参考。笔者结合实践尝试,提出风险诱因评估和审计范围框架体系的搭建模式两种可供应用的方法向读者推荐。

1、风险导向审计的内涵

风险导向审计是指内审人员在审计过程中自始至终都以企业风险分析评估为导向,根据量化的风险估值水平排定审计项目优先次序,依据风险确定审计范围与重点,对企业的风险管理、内部控制和治理程序进行评价,进而提出建设性意见和建议,协助企业管理风险,实现企业价值增值的独立、客观的鉴证和咨询活动。

与传统审计相比,风险导向审计在确定审计范围、审计内容以及审计时间安排上更能接近企业的组织目标,站得更高,看得更远,企业的战略目标、企业的内外部环境均纳入风险导向审计视野。

2、为什么要应用风险导向理念制订年度审计计划

所谓审计计划风险诱因评估是指在制订审计计划之前,对影响审计计划编制的风险因素进行辨识、分析和评价,以利用审计人员依据评估结果制订科学合理的审计计划。

《礼记·中庸》曰:凡事预则立,不预则废。内部审计工作同样如此。科学合理的年度审计计划是开展全年内部审计工作的基础,也是充分发挥有限的审计资源,提高审计效率和效益的重要方法。但当前审计领域不断扩大,任务空前饱满,企业内部审计人员明显不足。这就需要内部审计在制定审计计划时,要优先考虑风险较严重的领域,将有限的审计资源(包括审计人员及审计时间)用于最需要的审计项目,才能实现审计资源效用的最大化,最大程度促进组织目标的实现。

中国内部审计协会《内部审计具体准则第1号——审计计划》第八条中“内部审计机构负责人负责年度审计计划的制订工作。由于年度审计计划是对内部审计机构未来年度审计任务的整体规划,因此需要内部审计机构负责人在全盘考虑组织风险、管理需要及内部审计资源的基础上进行规划。”

此外,国内外监管机构都对审计计划的风险评估都提出了明确的要求。从国际看,国际内部审计师协会《工作标准》第2010条明确提出:“首席审计执行官应根据风险制订审计计划”;从国内看,《中国内部审计准则——基本准则》第11条明确要求:内部审计人员应在考虑组织风险、管理需要及审计资源的基础上,制订审计计划,对审计工作做出合理安排。

3、如何在年度审计计划中应用风险导向理念

应用风险导向理念,科学合理地制订年度审计计划,笔者认为主要可遵循如下步骤:

3.1划分业务流程

要想制订科学合理的年度审计计划,首先要依据企业特点,正确划分管理机制及业务流程。以通信企业为例,结合生产经营特点,可以将所有业务划分为三大方面七项流程十项管理机制:

策略与监察管理机制:包括企业策略管理机制、企业管治(含审计与监察)机制、企业文化管理机制、品牌策略管理机制、研发管理机制、投资(并购与剥离)管理机制、法律与合规管理机制。

核心业务流程:包括市场推广及销售流程、客户服务流程、收入保障流程、新产品开发流程、网络规划和建设流程、采购及物流管理流程、网络管理及操作流程。

资源管理机制:包括人力资源管理机制、财务管理机制、信息技术管理机制。

根据企业实际情况各流程下可细分子流程:比如,市场推广及销售流程可细分为市场资费制定、渠道费用管理、计费管理等子流程。

3.2确定可审计对象,进行多维度、多角度分析,搭建审计范围框架体系

可审计对象是指值得审计事项与关注点,涉及内部审计人员对企业业务流程的职业判断,并基于一定风险考量基础。《内部审计标准说明》(S1AS)建议了10种可选择标准,主要有以下几类:

(1)按业务循环划分审计对象。企业内的各类组织通常被看做是由营销和销售、存货管理、资本性采购、人事薪金、采购和付款五种业务循环高度结合的系统。将组织简化为这五种业务循环,审计师就可以对范围较大的关联活动进行系统的检查。

(2)按职能部门划分审计对象。职能活动具有综合性,与内部控制有明显的重要联系。按职能部门划分审计对象,其结果与传统组织的组织结构相符合,便于操作和理解。一般服务业的职能部门包括营销、财务、管理、会计、人事、设备管理以及从事特定服务的部门。零售业存在采购和存货管理部门。制造业还包括制造职能。

(3)按项目划分审计对象。企业进行的各类经济活动,有时是按项目进行的,如基建项目、基础研究项目、产品开发项目等。按项目划分审计对象可能难以覆盖整个企业的经营活动,但按这种划分方式对重大项目进行绩效审计,常常能明显的为企业增添价值。

(4)按决策中心划分审计对象。这种划分方式与责任会计体现的思想一致,按权责利相互对应的原则将企业划分为成本中心、利润中心、投资中心,分别确认审计对象。想以组织中较大规模的部分作为审计对象,可以按决策中心划分。

(5)按地理位置划分审计对象。跨地区的大型企业,其内部组织分布的地域广。将地理位置临近的组织归集到一起作为审计对象,能方便审计工作,节省工作中的差旅费。按地理位置划分审计对象的方法也可以适用于地域跨度小的企业,譬如将各办公楼和各大楼中的不同分部、部门,按其楼层进行划分。这种标准过于简单,往往要与其他因素结合考虑。

(6)按会计系统划分审计对象。开展资产负债表审计、损益表审计时,是按财务报表的种类划分审计对象。内部审计可以针对总账、应收账款、应付账款、工资账等进行专项审计。因此,按会计系统划分审计对象也不失为一种思路。

3.3开展审计风险诱因评估及数据分析、制订年度审计计划。审计风险诱因,是直接影响风险程度的因素,通常是由于公司架构、人员、经营活动、技术或财务结果的变化而导致的。包括:基础架构稳定性/变化频率、地理因素、经营规模(收入水平、交易量、业务量)、业务及系统的复杂程度、合规要求、资产安全因素、对外部客户满意度、企业运营目标或公司业务模式的影响、外部合作/外包业务等以及一些重要/加权因素,例如前期审计结果、管理层需求及增长率等。针对这些风险诱因,结合企业实际情况,制定具体的评估标准。

在开展审计风险诱因评估中,可采取三种管理方法:

第一,以问卷形式收集各可审计对象所对应的风险诱因分析评估数据。针对各可审计对象可以采取定性及定量数据分析相结合的方式,细化数据指标,编制信息收集问卷,通过数据分析,对可审计对象的风险诱因进行评价排序,并将初步评价结果与各业务部门沟通。

第二,与业务部门负责人进行研讨。审计工作范围框架中的可审计对象在日常经营中都由适当的业务部门负责。作为风险评估程序之一,内审部门与业务部门就可审计对象在日常经营中的风险概况进行讨论分析,获取充分的风险诱因评估信息,对项目组依据定性定量数据分析判定的风险排序进行适当的调整。

第三,参阅以往的内部审计工作记录。通过参阅以往的内部审计工作记录,对风险诱因有进一步的认识。在与业务部门负责人通过研讨方式评估这些风险诱因的过程中,充分结合前期的审计发现,与其进行更深入的探讨。

依据每年度的风险诱因评估及数据分析,根据风险程度不同将可审计对象逐一排序,排序后,可以按照ABC方法,选取风险估值高的流程安排年度审计计划。

如果有下属分公司,参照上述风险评估方法选取风险估值高的分公司安排年度审计计划。围绕风险评估结果进行审计资源分配、审计时间安排、审计方案制定。

通过这一系列的工作的开展,可确定基本建立审计计划的编制流程及操作模式。

3.4持续评估,调整年度审计计划。年度工作中,随着市场竞争形势的变化,行业政策的变化,公司工作重心可能出现变化,流程中控制风险可能增强或减弱,这些风险因素的变化必将引起风险诱因估值的改变,原来风险评分低的可能因此会变得较高,年度审计计划需紧随风险诱因估值做出适当的调整。比如在半年工作结束时进行再评估,或者在风险因素出现显著改变时适时进行评估。

参考文献:

[1]卓继民.风险导向审计的最新发展——风险管理审计,现代企业风险管理审计,2006(6).

[2]K.H.斯宾塞·皮克特,审计计划编制:风险导向方法,东北财经大学出版社,2009.

系统风险管理工作计划篇8

关键词:医院内部审计 内部控制 风险导向

中图分类号:F2 文献标识码:A 文章编号:1672-3791(2013)02(c)-0175-02

内部审计在国家医疗改革的潮流下,逐渐成为医院内部控制及风险管理的主要组成成分,在医院里存在的内部控制及经营风险是由专门的评估机构对医院的一般风险管理过程的单独评价及再控制,从而对以上医院进行内部审计。此前最关键的问题是医院内部审计方法理论的革新,而基于风险导向的医院内部审计模式的诞生,使医院内部审计看到了春天,极大可能带动全国医院内部审计工作的大力推动和加速,从而促进医院健康快速发展。

1 内部控制与风险导向内部审计的关系

1.1 相关概念简析

内部控制是为提高企业运营的效率、保障财务报文的可靠性、相关规定的执行性等种种目标所提供合理保障的一个过程,其实施人员从上层企业董事会到经理,再到基层员工,要保障所有员工的高参与程度。内部控制的模式主要由企业管理层对企业的管理模式所决定,并且镶嵌在企业管理的过程中。风险导向是指企业单位以经营风险来作为其他某些事物处理的指导标准,用风险来控制指挥这些项目的实施与调整。而风险导向内部审计指的是内部审计人员在整个审计的过程中都把企业的运营风险作为分析导向,在量化统计分析的基础上排列项目的择优顺序,根据风险大小判定审计的深度与广度,以此对企业风险运行、内部管理进行分析评价,并且切实提出有效意见,辅助企业进行风险的管理,从而实现企业价值的稳定增长。

1.2 风险导向内部审计在内部控制中必不可少

风险导向内部控制的缺少会使内部控制整体缺乏有效性及充分性,内部控制的监控机构是内部审计,内部审计通过适当持续的对内部控制的检测及评价,使得内部控制能够如期进行,而且可以随着实际情况的改变而适当调整,对内部控制起到了维护保障作用。对内部审计进行控制是内部控制最基本的方法之一。在内部控制的理论体系中,主体范围甚广,包含了企业董事会、管理阶级以致于普通员工等广大企业群体。在整个内部控制中,审计控制是内部控制的评价审计机构,负责对内部控制有关流程的评价认定,并根据控制效果提出改进意见。

1.3 风险导向内部审计保障了内部控制的充分性和有效性

1.3.1 监督内部控制的制度有效实施

利用口头询问、试卷调查以及审阅观察文档资料、测验等审计手段对内部审计实现评价,能对内部控制的制度实施进行有效的监测。对内部控制评价包括对已存在各项措施的真实性及执行遵守情况和控制系统本身的健全与否进行评价。

1.3.2 保证内部控制的切实执行

利用系统规范的手段,内部审计对会计控制、单位控制环境、岗位布设、授权管辖、资产管理、计划管理实施、计算机系统控制、财务及基建控制等众多控制程序和执行详情进行持续监测,考核内部控制系统的健全与否,并依据内部控制管理中出现的缺陷,提出改进方案,帮助管理人员更加有效的开展各项活动,提高办事效率。

1.4 风险导向内部审计的最主要内容是内部控制制度审计

内部审计人员在对被审计的内部控制制度的审查评价及分析测试过程中,给定其可信度,以此对出现的结果进行鉴定的审计方法叫做内部控制制度审计。在经济快速发展和企业制度不断健全的潮流下,老的仅仅围绕财务会计资料纠察的方法不仅在效率上显得低下,更难以让企业在诸多环境风险中灵活应变,已然不适应企业和社会经济的发展。作为风险导向内部审计的最主要内容,内部控制制度审计的意义显著。内部控制制度审计可以促进保证国家相关政策法规及财经制度与企业内部规章制度的有效实施并对各个环节进行合理控制,可促进企业形成良好地内部控制氛围,保障财会信息的真实有效性,保护财产的完整和安全。同时制度审计能提高审计程序的质量和效率,突出审计关键所在,从而完善内部控制制度。

2 如何在医院内部控制中运用基于风险导向内部审计

只有对医院的内部控制和风险管理进行评估后,在此基础上才能运用基于风险导向审计的方法,来对被审计的对象进行合理挑选,生成项目计划书,并且对审计资源进行合理配置,才能有效提高审计工作效率,进而完成对预定对象的审核,符合企业对内部控制和风险管理进行加强的需求。

2.1 医院对预算和控制的管理

我们认为要从明确工作重点、执行具体措施、加强组织保证三方面入手来对医院预算和控制的管理进行加强。

(1)明确工作重点。

医院预算及控制的管理工作重心应是在相关部门主管的带领下,用风险导向管理的思想充斥整个预算与控制的过程,并采用从底层到高层的方法,全面修订现有计划。其中领导者可以使医院的计划与控制委员会及相关部门领导人,在普及中一定注意保障所有职参与的普遍性,不仅是高层的实施,更要注重底层的贯彻,与此同时,加强预算和控制的实施过程的管理,使得其可以适应医院整体发展的需要,为医院的快速稳定发展起到助推作用。

(2)执行具体措施。

执行是最重要的一环。计划不可能独立于执行而存在,那样的计划就毫无意义。计划的成败很大程度也取决与执行的好坏。应在医院应该大力倡导实事求是,加强执行力的思想,不要喊空口号。在医院计划制定与实施的整个过程中,应始终保证风险管理意识的运用,用风险评估来指导计划的修订。预算的执行可分为制定阶段、控制阶段、评估阶段。其中制定阶段又可分为准备时期、预算制定时期、审查期和决定期。各个阶段之间没有严格界定,医院计划应在几个阶段之间往返循环,环环相扣,保证计划的有效执行。

(3)加强组织保证。

相应的组织机构对于控制与计划目标的实现非常必要。在这一点上,医院的风险管理组织者可以成立计划与控制委员会以及其下一级机构-发展计划部。计划与控制委员会的组成一般为计划于控制的主管院长、相关院室的院长及专家、科室相关人员、发展计划部人员等,委员会的职责在于领导制定全院的计划与整体战略目标、评价计划的效果以及计划与控制的管理等。而发展计划部则由具体计划管理人员及文秘和医疗人员组成,在计划与控制委员会的领导下,进行医院情报搜集,实现风险的分析预警,协助委员会完成全院的计划与控制过程。

2.2 建立计划与控制系统以实现对医院风险管理体系的建立和完善

2.2.1 计划与控制系统建立的必要性

当前,随着生产水平的提高,人民的医疗意识加强,医院步入了快速发展的时代,医疗改革如今深入彻底,因而对医院管理的要求也日渐提高,在医院的社会和经济型上面提出了更多的要求,医院所应对的风险也相应来袭。怎么才能保证医院的快速稳定发展,切实做好医院的风险管理,把握住这一轮发展机遇,实现医院长期发展的战略目标,是目前医院管理的重中之重。在这样的大环境下,我们提出加强医院的计划和控制管理,这样才能顺应时展的要求,才能吻合医院的整体发展目标,其目的在于建立及完全奉献管理体系,将医院的管理水平提高一个台阶,是医院的各项事务的处理都有计划的进行,在资源配置及内部控制上都紧密围绕医院快速发展这个大目标进行,从而实现医院的整体快速发展。

2.2.2 计划与控制系统对医院管理及风险管理体系的重要性

计划与控制系统对于医院的管理和风险管理体系起着至关重要的作用。首先,通过计划与控制系统,可以使医院所有职工对自己所处医院环境有一个量化的明确认知,了解自身的优势及劣势,从而做到扬长避短;其次可以帮助定位医院的整体发展目标,协助解决医院的重大问题;再次可以合理利用医院资源,做好各个资源的协调配置工作;最后,有利于风险管理体系的形成,从而在预报分析后,降低医院风险。

2.2.3 计划与控制系统的建立

通过何种途径我们才能实现建立以及完善医院的风险管理体系呢?我们以为,对医院风险管理体系进行建立和完善的最佳途径是对计划与控制系统进行完善。在计划和控制的整个过程中,也包括了风险管理过程在内,都需要得到各层领导的和员工的支持和参与,都是下级和上级进行沟通交流的一个过程。管理人员的职责在于计划和控制职能,管理人员处理的好坏直接关系到计划与控制管理的好坏,领导越重视,越是积极参与,那么计划与控制的作用就能发挥的更好。

2.3 风险评估导向形成内部审计计划

2.3.1 风险评估的考虑因素

根据内部审计相关的职责范围,考虑健全医院预算与控制系统会遇到的风险情况实际确定因素,并且对各个因素加以分类,对应分值,注的主要内容有以下几点。

一是内部审计的职责。从内部审计的授权可以知道内部审计职责的重要。内部审计的主要职责范围规定了审计的范围,用以判断各个科室的日常经济活动能否满足内部审计的范围,内部审计和外部监督是否通过,都可以作为重要因素来考虑。

二是当前医院的战略及目标。医院的审计部门属于其内部部门,因而其活动一定要和医院当前的发展方向相吻合。比如当前医院把医疗质量作为中心,那么审计部门的工作就应该围绕着医院医疗质量的控制制度进行审计,评估医院医疗质量,从而有效提高医院医疗质量。

2.3.2 风险评估过程

首先是搜集资料,在此阶段应该重视对经营目标和战略计划的收集,始终围绕着企业的任务中心,依据企业中心任务的重要性,考虑赋以一定分值进行排序。其后就是分析医院的内部及外部环境,对科室及事项的风险度进行排序,然后对整体对内部控制的审计风险进行综合评价,由两项评价结果的转换和综合结果,用以确定内部审计工作的先后顺序以及审计资源的相关配置。

2.3.3 审计计划的形成原则

内部审计项目的计划形成原则主要有:第一,风险导向原则。审计立项是风险导向的核心原则。第二,周期性覆盖原则。立项要保证在一定的循环周期里,至少一次的进行全部管辖单元审计。第三,分类分项原则。立项应分为定向审计项目、全面审计项目和专项审计项目三类。第四,统筹兼顾原则。应对风险评估的绝对值增量和相对值、审计期限、政策法规等事项进行统筹兼顾。第五,优化组合原则。依据机构的关联度、内在逻辑关系及业务特性进行组合,从而等到最有的项目组合。

3 风险导向审计实施中需注意的问题

基于风险导向审计在应用时,需注意以下几项问题。

一是领导的重视。领导的重视程度对风险导向内部审计的实施起着至关重要的作用。因此风险导向审计工作必须要注重领导的带头影响作用,让领导走在前头,和基层员工沟通审计,做好模范带头作用。卫生系统内部审计也规定了医院内部审计的条件,使得内部审计在法律上得到了一定的保障。领导对内部审计的重视程度越大,就越能发挥出内部审计的作用来。

二是科学审计模型及规程的建立。早期的审计模型没有对评估的层次进行合理分类,只是按照既有的规程来进行审计的性质、时间及范围限定,在基于风险导向内部审计的模型建立应该考虑风险程度,进行有针对性的有层次的审计。对重大风向与实际程序模型的衔接问题一直是风险导向内部审计的一个难点,而科学审计模型及规程的建立能有效解决重大误报风险的判断问题。

三是各个部门的协力配合问题。基于风险导向的内部审计理论,规定每个部门都要有风险管理意识,把握风险控制,对不同的风险采取不同的措施,从而保证整个企业内部审计的有效运转。在内部审计执行过程中,领导的重视的却至关重要,但是仅仅只有领导重视是远远不够的,企业各个部门间一定要极力协作,在各个部门都建立风险管理控制制度,并且同意控制准则,协调运作。

四是重大误报风险的再评估。审计的判断依靠的是经验和知识,在使用风险评估进行审计单位和事例中,从选区考虑因素到对因素的分析及重要性排序,整个阶段均为主观性判别,因此很有可能出现误判,那么要做好一个企业的内部审计,就要有应对误报的准备,并对误报的审计进行再评估。在应对客观情况时,审计人员需将审计结果较之风险分析成果进行比对验证,检验其异同,从而为下次的风险评估铺设道路。

五是注重计算机技术保障。数学模型在风险评估中应用很广泛,对于复杂数学模型,计算机的使用必不可少。良好地计算机数学模型,可以再今后的风险评估中节省很多人力和财力,并且能有效提高风险评估的精度和效率,为适应医院的快节奏运作奠定基础。因此要做好风险评估,计算机技术一定要有保障。

六是相关法律的支持。风险导向内部审计在法律上需要制定相关的执行准则进行指导实施,才能使内部审计走向规范化、法律化、科学化的道路,也只有法律本身所具有的强制性和统一性,才能使内部审计行业在同一个规范标准下进行实施,也有助于企业间的交叉。

七是注意人员素质培养。机遇风险导向内部审计是一种新的审计理论,不仅运用到了审计相关知识,更是要风险评估知识、管理知识、财会知识、数理统计知识等多方面的知识要求,而且鉴于内部审计的重要性,内部审计人员的素质必须得到保障,因此注重培养内部审计人员的专业相关知识显得尤为重要。

八是将风险管理体系统一化。与传统基本建设审计不一样,风险管理内部审计建立统一的评价标准比较难,这也是一直制约风险管理审计发展的因素之一。目前还未有标准的风险管理评价体系,不同审计机构有着各不相同的评价标准,着重点不一样,衡量尺度的不同使得评价标准的借鉴变得异常困难,因而一个统一的风险管理体系的建立迫在眉睫。

九是注重数学模型的充分应用。风险评估初评中运用数学模型是一大技术关键,运用良好地数学模型可以帮助风险分析者较精确的把握风险走势,从而加之自身经验做出误报率小的风险评估。

4 结论

基于风险导向医院内部审计的实现,需要建立健全风险管理体系,根据风险管理的相关特性,运转对医院风险评估的动态化管理,并由专门的机构进行从风险的识别分析以及监督预警到建立相关体系风险资料库以及健全内部控制,减小审计的风险的过程,在此过程中需要在领导带领下,并动员全体职工参与风险管理,必定能实现良好的医院内部控制状态。

参考文献

[1] 阎凌.我国风险导向内部审计的研究[J].商场现代化,2010(20).

[2] 李曼,刘继明,陆贵龙.风险导向内部审计的价值实现[J].财会通讯,2010(18).

系统风险管理工作计划篇9

【关键词】 关键链 缓冲区 进度风险 约束理论

Risk Analysis of Project Development Progress Based on Critical Chain Information System WANG Wen-xuan(Shandong University of Science and Technology, Information Engineering,Tai’an,271000)

Abstract In development and management of project, the progress of risk analysis is not only to determine the final outcome of the project one of the decisive factors, but also information systems project management is an important step.Due to the deterministic and uncertain nature of the progress plan during the project development management process, the schedule shows a certain degree of randomness. Based on the key chain technology, this paper takes the constraint theory as a tool, summarizes the steps of the analysis of the progress risk and analyzes the three necessary directions based on the key chain: the determination of the key chain, buffer size setting and the buffer management.In the process of research, the optimization model of the key chain is so established based on the strategy of resource conflict heuristic, and the influence of these research methods of the project scheduled risk and the significance of the project management process is analyzed. In the process of research, the optimization model of the key chain is based on the strategy of resource conflict heuristic, and the influence of these research methods on the project schedule risk and the significance of the project management process is analyzed. Provide a solution to the risk of progress and facilitate the further maturity of key chain technologies.

Keywords Key chain, Buffer, Progress risk, Constraint theory

一、引言

_发项目的规模有大有小,有的项目及其复杂,不仅在实施构架组成方面涉及到多方面领域,而且项目可能需要耗费大量的人力物力财力。信息系统的建立有利于对整个项目进行信息化管理,减少了来自人为方面的误差。然而,由于项目本身存在一些不确定性因素,这就给项目的开发带来风险,而这些风险的存在,也一定程度上影响了项目的顺利进行和项目成果的提交。进度管理是信息系统九大管理之一,它管理的好与坏在很大程度上影响了项目的进展,最终决定了项目的成败。由于项目的不确定性和复杂性,使得在进度管理中存在着一定的风险,为了提高风险分析的准确性,这就使得进度计划风险分析变得尤为重要。

为了尽量避免项目的不确定性和复杂性带来的风险,方便人员对项目进度进行分析和评估,得到更为精准的进度计划,我们需要找到信息系统项目开发的进度计划风险分析的方法。

本文将会通过介绍关键链技术来具体分析它是如何建立并分析它是如何处理进度风险分析的,关键链技术有三个研究方向:关键链的确定、缓冲区的设置和缓冲区管理。该方法是一种既能够考虑各个开发项目的执行顺序又能兼顾开发的资源约束的工作序列,从某种意义上讲,该方法是PERT方法的改进版,它充分考虑了缓冲和资源约束的关键路径,提高对项目进度风险分析的准确性。

二、基于关键链的信息系统项目开发进度风险分析

2.1关键链法的基本原理

Eli.Goldratt博士在1997年《关键链》[1]一书中提出了一种项目管理的方法,即关键链法。关键链是考虑了资源约束与任务间逻辑依赖关系的最长任务链[2],并将提高资源约束的重要性,使之与工序间逻辑依赖关系具有同等重要的地位。在进行原理分析时,我们首先需要明白TOC约束理论,即在关键路径中的薄弱环节会直接决定工程的进展速度,而那些不在关键路径上的项目的处理能力提升与否将不会影响整体的进度。该方法将资源和活动持续时间以及紧前活动历时作为影响项目总工期的约束条件,该技术强调制约项目周期的是关键链而不是关键路径。该技术用关键链代替CPM/ PERT中的关键路径,并强调制约项目周期的是关键链而不是关键路径。确定关键链是一个循环往复、不断寻优的过程[3]。理论上,在资源限量确定的条件下,关键链是唯一的。而对关键链进行识别的过程中,对进度计划进行编排却是核心问题,它常常使用基于RCPSP的调度理论和方法。

2.2基于关键链的进度风险分析步骤

关键链以约束理论(TOC)所提出的步骤为基础,为信息系统项目开发提供计划、调度和控制的理论方法和应用实践。以下是基于关键链的四个核心步骤:

(1)对项目的构成有大致的了解,创建初步的WBS,并预估本项目将要消耗的人力物力财力资源,并建立AON。

(2)结合各种资源的约束条件,确定关键链。

(3)根据“风险量=风险概率*风险时间”这一公式,并对每个工作过程进行定量风险分析,由此确定缓冲区大小。

(4)最后,结合项目管理方面知识,对进度风险进行系统的分析,项目经理可以根据结果进行适当的工程调整和资源分配。

目前基于关键链技术的信息系统项目进度管理的研究体现在:一是如何确定关键链;二是缓冲区大小的确定。下面我将对关键链技术在信息系统项目开发进度分析中的作用进行研究和应用。

三、基于关键链分析过程的研究方向

3.1关键链的确定

1)将最可能的工期作为任务工期:

Herroelen W,Leus R[4]等认为在资源受限的情况下,在基准调度计划中插入缓冲后,可能重新产生资源冲突,使项目调度计划不合理,都可能引起新的资源冲突和关键链发生变化,作业的最可能工期通常为保守工期的50%,剩余时间则称为安全时间。为了尽量减少安全时间给项目带来的影响,则设最可能的活动持续时间是保守估计持续时间的50%,则得到项目相关的甘特图,如图1所示。

i表示任务,R表示资源,D表示最可能的工期;PB表示项目缓冲区,FB表示输入缓冲区

图1 某信息系统项目甘特图

2)基于资源冲突启发式策略,对关键链进行优化模型

由于在进行关键链分析时的过程中,极易产生资源发生冲突的情况,在图1中,任务4和任务8产生了资源冲突,得到的关键链为1->4->8->7,并根据其该关键链长度可计算出其最可能工期之和。对于信息系统项目开发过程来说,鲁棒性是决定项目开发过程具有健壮性的重要标志。根据CCM中包含的两个阶段和基于关键链鲁棒性度量指标,并借鉴RCPSP模型[5],构建出基于鲁棒性目标的关键链优化模型(Key Chain Optimization Model Based on Robustness Targets)如下。

其中,mi表示项目开发活动i在基准计划中的开始r间,m’i表示活动i第二次调度的开始时间。该模型充分发挥鲁棒性,通过该性质的存在,使得进度管理的时间能够充分考虑到项目中的各项活动,进一步的减小信息系统项目开发进度风险的存在。

3)非关键链上的任务尽可能晚的开始(as late as possible,ALAP)

刘士新[6]提出将极小化项目在制水平作为目标函数,如下

其中,SFTj为工作j的计划完成时间,SSTi为工作i的计划开始时间。为尽可能减少进度风险应使各工作尽可能晚的开始,这样可以获得项目信息以提高执行效率[7]。

3.2风险缓冲区大小的设置

通过设置缓冲区的大小,有利于我们分析项目进度中可能出现的不确定风险因素及其影响,并进行相应的风险应对和监控。风险缓冲区如今被用来消除不确定因素对项目调度计划的影响,保证关键链上的工作不被前序的非关键链上工作的延迟所影响,这就保证了项目进度适当,且避免了因时间延误而造成的SPI过低,大大降低了风险指数。在该文章中,我将考虑以各项工作的风险量之和作为缓冲区的大小并使用“风险量=风险概率*风险时间”对项目进度进行风险分析,则(8)

其中,f表示关键链上的所有活动,li表示关键链上的风险时间,pi表示关键链的风险概率;nf表示非关键链上的所有活动,pj表示非关键链上的风险概率,slj表示非关键链上的风险时间。以下是风险缓冲区的大小确定过程:

1、经过仔细的定性定量风险分析,确定各个活动的风险量表。

2、根据(8)(9)式中得到的FB、PB,自定义FB和PB的大小,画出信息系统基于关键链的项目进度风险分析图进行项目进度情况分析。

3.3风险缓冲区的管理

缓冲区管理是一种有效的进度管理方法,在本文中,我们将使用“三色”法对项目进度进行风险分析。“三色”法是一种进行风险分析的有效方法,它可以对风险指标、程度等因素进行定义,是进行风险评判的重要依据。在项目进度风险分析中,它是依据缓冲区的占用情况来进行分析的。

在该方法中,我们需要将缓冲区分成三等分,每个部分用不同的颜色表示,如使用B,R,Y;

三色表示。在B处是表明项目处于安全状态;R处时表明处于警告状态,该状态一般不采取相应的措施,而是需要制定风险应对计划;Y处时,表明项目出现严重的进度风险,必须采取相应的风险应对措施加以解决。另外,还需要设置安全底线,即缓冲区大小的最小值。在信息系统项目分析中,实时观测缓冲区的大小,若缓冲区的大小位于安全底线之上,则表明工作情况正常,反之,则不正常,这是需要制定风险应对计划来解决这一问题。

在图2中,蓝色的线表示安全底线,若在该线之下的位置,则表示系统需要进一步制定风险应对计划来应对进度风险,反之,则无需做任何操作,但仍需要对项目实施过程做好监控工作。缓冲区为 管理者提供了必要的指标,通过时刻关注剩余缓冲区的大小来检测项目开发的风险。

以上是我对进度风险分析中缓冲区的设置问题进行的分析,当然,其中还有不足之处,可以针对多目标优化和关键链技术的计算机实现问题进行改进[8]。

四、总结

在信息系统项目开发中,项目开发的进度管理决定着开发成果是否成功。因此,人们对进度风险的重视也就越来越高。以上内容是基于关键链的项目进度风险分析方法,该方法是 通过确定关键路径之后,利用约束理论,逐步平衡资源冲突。通过网络计划图的绘制和缓冲区的设置、缓冲^的管理来确定最终的关键链。基于以上理论,在建立合理的缓冲区设置模型之后,使用“三色”法对缓冲区进行管理,实时监测剩余缓冲区的使用情况,并对进度风险管理做进一步探讨。当然,以上的研究分析方法也会有考虑不周之处,比如我们需要针对多目标优化和关键链技术的计算机实现问题进行改进,这就促使相关管理者要全方位考虑影响信息系统项目管理的各项要素。

参 考 文 献

[1]Eli.Goldratt.关键链[M],北京电子工业出版社,2006年,137-185.

[2]徐哲,王黎黎.基于关键链技术的项目进度管理研究综述[J],北京航空航天大学学报,2011(3):54-58.

[3]Francilco A R Duran A Critical clouds and critical sets in resource_constrained projects[J] International Journal of Project Management 2004 22(6):489-497.

[4]Herroelen W S,Leus R.On the merits and pitfalls of critical chain scheduling[J].Journal of Operations Management,2001,19(5):559-577.

[5]张静文,刘耕涛,基于鲁棒性目标的关键链项目调度优化[J],系统工程学报,2015(2):135-144.

[6]刘士新.项目优化调度理论与方法[M].机械工业出版社,2007.

系统风险管理工作计划篇10

    石油化工建设项目必须加强项目建设全过程风险管理,作为建设单位必须从投资、质量、进度、HSE等方面强化风险管理,特别是加强质量控制以确保将来生产不留下隐患,实现项目总体目标。一般石油化工主装置除常规建筑工程外,主要构成有:①各种管道:通常以介质、温度、压力等级不同划分为若干个管段,一个主装置根据复杂程度不同有几十、几百甚至上千个管段,一个管段中包括管子、管件和各种功能的阀门以及它们之间的多种连接方式。②动设备:主要是机、泵类,如各种压缩机、泵、离心机、过滤机、搅拌设备。③静设备:换热器、各种塔器、反应器(釜)、工业炉、储存设备。石油化工建设项目的安装工程量巨大,并且质量、进度、费用、HSE控制难度极大。从建设项目业主的角度出发,往往希望工程建设在保证安全的前提下,投资少,工期短,质量高,然而质量、进度、投资、安全四者之间的关系是相互影响和相互制约的,既相互对立又相互统一,彼此间并不是完全独立的。采取某种措施能够保证其中的两个目标的实现,即表明这两个目标是统一的关系,如降低质量可以加快进度和降低投资。如果仅保证其中一个目标,而另一个目标不能实现,则这两个目标就是对立的关系,如为了赶工期,则质量就不能得到保证,从这个角度看,质量和进度就是对立的关系,可见,四大目标的风险管理是对立、统一的关系,不能片面地研究某一风险对某一个特定目标的影响,必须统筹兼顾。

    二、投资风险控制

    投资风险管理是项目风险管理的重要组成部分,投资目标的确定应分阶段确定,可行性研究阶段的投资估算是初步设计阶段的控制目标;初步设计阶段的概算是施工图设计阶段的控制目标;施工图预算是使施工阶段控制目标。石油化工建设项目投资少则几个亿,多则上百亿,投资巨大,加强投资风险控制更是至关重要。石油化工工程项目投资风险控制与一般工程项目控制方法策略相同,其基本原理是把计划投资作为项目目标额,由于各种风险的存在,势必导致在实施过程中出现偏差,将实际支出与计划投资比较,通过比较发现偏差并找出偏差值,在分析偏差原因即风险因素的基础上,采取措施加以纠正。

    三、进度风险控制

    石油化工建设项目规模大,建设周期长,因此,项目建设受参与建设的相关各方及各种环境因素的影响十分明显,加强实施阶段的进度风险管理尤为重要。进度风险管理就是指在项目的工程建设过程中预测、识别各种风险后,制定、审核进度计划,在实施过程中采用适当的方法定期跟踪、检查工程实际进展情况,与计划进度对照、比较找出两者之间的偏差,组织、指导、协调、监督监理单位、承包商及相关单位对产生偏差的各种风险因素进行分析与评估,及时采取有效措施调整或修改工程进度计划。进度风险控制是一个不断循环往复的过程,直至按计划的工期目标既合同约定的工期如期完成。进度目标能否按期实现的前提是要有一个科学合理的进度计划。进度控制不应仅局限于考虑施工本身的风险,还应对其它相关环节和相关部门风险因素给予足够的重视。例如:施工图设计、工程变更、前期手续、协作单位等。只有通过对整个项目计划系统的综合有效控制,才能保证工期目标的实现。因此,进度风险管理必须事先对风险因素进行调查、分析、预测对进度计划的影响,然后编制进度计划并实施,在实施过程中检查实际进度与计划的差别,对出现的偏差原因进行分析,找到风险源,采取补救措施或调整计划,循环反复,直至项目竣工。

    四、质量风险控制

    由于石油化工装置生产过程具有高温、高压、低温、真空的特点,所用的原料、介质或产品本身多为易燃、易爆、有毒、有害、有腐蚀性的物质,因此,对输送、盛装、生产这些原料和产品的管道、阀门、设备的材料、制造及施工的要求较多,如果稍有疏漏或不慎将会造成不可想象的严重后果。质量风险控制措施必须充分满足工程需要。石油化工行业及其生产装置一旦发生事故造成的影响极大,因此,相比投资和进度而言,质量控制特别是旌工阶段质量控制更为重要,必须引起项目管理人员的高度重视。施工阶段的质量控制是从准备工作开始直到竣工验收结束全过程的系统控制,可分为事前、事中、事后三个阶段。事前控制是指对施工准备阶段包括技术、人员、机具等方面风险因素进行识别、分析、评估、控制,保证消除或降低准备阶段可能的质量风险。事中控制是在施工过程中,通过过程控制发现可能影响质量的风险因素或关键环节,采取必要的措施消除或降低质量隐患。事后控制是指施工完成后对于已形成的成果包括资料作最后把关。影响施工质量的主要风险因素可从(5M1E)即:人、机、料、法、环五大因素方面考虑。

    在项目实施过程中,按风险因素(5M1E)对建筑、设备安装、管道、电气、自动化仪表、防腐绝热、消防、暖通、给排水等工程分专业、按工序结合具体工程特点,在工序间合理地设立“质控点”,针对关键因素进行质量风险控制,保证施工质量,确保工程施工顺利进行。

    五、HSE风险控制

    HSE体系按规划(PLAN)-实施(DO)-验证(CHECK)-改进(ACTION)运行模式建立,即PDCA模式,它是通过事前进行风险分析,确定其自身活动可能发生的危害和后果,以便采取有效的防范手段和控制措施防止其发生,来减少可能引起的人员伤害、财产损失和环境污染的有效管理方式。危害识别、风险评价以及风险控制是HSE管理体系的核心。石油化工建设项目HSE风险因素多,如:火灾、爆炸、中毒、触电、高空坠落、高空坠物、机械设备伤害、交通事故、放射性伤害、水污染、噪声污染、地震、洪水等等。在风险识别过程中应组织工艺、设备、安全、电气、仪表等专业技术人员,会同具体实施作业人员如电工、焊工、仪表工、起重工、架子工以及射线探伤等人员组成的风险识别、评估小组,共同进行讨论,对危害程度高、发生频繁、超出人们心理承受能力的风险进行重点识别、评价,将施工过程中可能出现的不安全因素、危害因素,一一列举形成HSE风险检查表。实施阶段HSE风险管理应建立健全应急管理制度、报告制度,成立应急组织、组建应急指挥中心、明确组织机构和人员的责任,制定并落实风险防范和消减措施、配备应急一定量的应急补救设施,确定明确的外援单位(医院、消防部门等),编制相应的HSE作业计划、指导书,用以保护作业人员、设备、环境,体现“预防为主”的安全生产方针和HSE管理思。认真落实HSE风险防范和消减措施,如:进行安全技术交底并进行有针对性的培训;作业人员持证上岗;施工现场设置专职安全技术人员;安设HSE告示牌及施工项目信息牌标准;现场张挂各种警示标语;按照规定为施工现场作业人员提供符合安全、卫生标准的安全防护用具,用品,定期开展应急演练。