導(dǎo)語：如何才能寫好一篇風險評估方法論，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

    關(guān)鍵詞:電力企業(yè),風險管理,定量風險評估

    0、引言

    電力作為高風險產(chǎn)業(yè),不僅源于其公用事業(yè)屬性,以及技術(shù)資金密集、供求瞬時平衡、生產(chǎn)運行連續(xù)等特征,同時電力項目投資額巨大、建設(shè)周期長、沉沒成本高,而且,隨著電力體制改革和電力市場建設(shè)進程的深入,市場主體越來越多,電力交易關(guān)系復(fù)雜,不同主體之間協(xié)調(diào)困難,電力行業(yè)規(guī)劃建設(shè)、生產(chǎn)經(jīng)營的不確定性加大、電力市場風險增加。根據(jù)“十一五”期間電力體制改革的任務(wù),面對我國電力市場化發(fā)展的現(xiàn)狀,增強風險意識,樹立風險觀念,加強風險管理將是電力企業(yè)的重要任務(wù)。本文在闡述了企業(yè)風險管理基本框架流程及其主要內(nèi)容的基礎(chǔ)上,提出電力企業(yè)定量風險評估的主要內(nèi)容及方法,以期推動電力系統(tǒng)風險管理工作的開展。

    1、風險管理的主要內(nèi)容

    風險作為客觀存在,要求人們考察研究風險時,要從決策角度認識到風險與人們有目的活動、行動方案選擇及事物的未來變化有關(guān)。風險的形成過程和風險的客觀性、損失性、不確定性特征共同構(gòu)成風險形成機制分析和風險管理的基礎(chǔ)。

    人們一般對風險持厭惡態(tài)度,都想減小風險損失,追求風險與收益的均衡優(yōu)化。風險管理的提出與發(fā)展與企業(yè)發(fā)展狀況、社會背景密不可分。風險管理作為一門管理學科,首先在美國應(yīng)運而生,之后傳到西歐、亞洲、拉丁美洲。美國大多數(shù)企業(yè)都設(shè)置專職部門進行風險管理,許多大學的工商管理學院都開設(shè)風險管理課程。風險管理作為一門科學與藝術(shù),既需要定性分析,又需要定量估計;既要求理性,又要求人性;不但需要多學科理論指導(dǎo),還需要多種方法支持。

    源于風險意識的風險管理主要包括風險分析、風險評價與風險控制三大部份。根據(jù)風險形成的過程,風險分析需要進行風險辨識、風險估計。風險估計需要進行頻率分析與后果分析,而后果分析又包括情景分析與損失分析。通過風險分析,可得到特定系統(tǒng)所有風險的風險估計,對此再參照相應(yīng)的風險標準及可接受性,判斷系統(tǒng)的風險是否可接受,是否采取安全措施,這就是風險評價。風險分析與風險評價總稱為風險評估。為進行風險定量化估算,要進行定量風險評估(Quantitative Risk Assessment—QRA)。在風險評估的基礎(chǔ)上,針對風險狀況采取相應(yīng)的措施與對策方案,以控制、抑制、降低風險,即風險控制。風險管理不僅要定性分析風險因素、風險事故及損失狀況,而且要盡可能基于風險標準及可接受性對風險進行定量評價。對于以盈利為目的的工業(yè)企業(yè)也希望將風險損失價值化并給出貨幣衡量標準。風險管理就是風險分析、風險評價、風險控制三者密切相聯(lián)的動態(tài)過程,見圖1。

    2、風險管理的組織實施與基本流程

    為有效實施風險管理,企業(yè)應(yīng)由專門的組織及相關(guān)人員按一定程序組織實施風險管理工作。據(jù)《幸?！冯s志對美國500多家大公司的調(diào)查知,84%的公司由中層以上的經(jīng)理人員負責風險管理。風險管理的趨勢是董事會下屬設(shè)立風險管理委員會全面負責公司風險管理,組織實施的流程是:①制定風險管理規(guī)劃;②風險辯識;③風險評估;④風險管理策略方案選擇;⑤風險管理策略實施;⑥風險管理策略實施評價。

    3、電力企業(yè)定量風險評估(QRA)

    電力企業(yè)QRA的建立與發(fā)展從內(nèi)部來看,不僅已有可靠性分析、安全分析、質(zhì)量管理、項目管理等各專業(yè)分析作基礎(chǔ),從外部而言有電力用戶、政府與社會公眾、咨詢機構(gòu)等眾多相關(guān)主體的關(guān)注。電力企業(yè)QRA對企業(yè)的作用主要體現(xiàn)在:通過QRA有利于企業(yè)將風險水平控制在規(guī)定標準的風險水平之內(nèi),并符合最低合理可行原則;通過開展QRA可幫助企業(yè)全面識別風險,并按輕重緩急排序,以有助于管理者將精力、財力、物力集中于風險控制的重要緊急領(lǐng)域,使風險管理決策更為合理、效果更好、成本最小;通過對各種風險控制方案或安全改進措施進行QRA,使決策者對方案措施進行優(yōu)劣選擇,為公司提出決策支持。電力企業(yè)的風險將對其它企業(yè)和主體帶來連帶影響,并產(chǎn)生放大效應(yīng),電力系統(tǒng)安全、可靠、高效、優(yōu)質(zhì)是各行各業(yè)和政府管理部門共同的愿望。電力企業(yè)實施QRA具有現(xiàn)實意義。

    3.1  電力企業(yè)QHA的基本框架模式

    電力企業(yè)QRA是指在工業(yè)系統(tǒng)QRA的基礎(chǔ)上,考慮電力系統(tǒng)的技術(shù)經(jīng)濟特點及運行規(guī)律,結(jié)合電力體制改革及電力市場化進程而以概率模型表征的全面風險管理理論方法。為便于實施風險管理,保證風險評估質(zhì)量,滿足風險評估過程各階段的不同要求,構(gòu)建如圖3所示的適用于電力企業(yè)QRA的基本框架模式。在具體實施時,允許依實際情況而有所改變。

    3.2  電力企業(yè)QRA的主要工作內(nèi)容

    (1)確定目標及范圍。包括風險管理的目的與意義,待分析系統(tǒng)的設(shè)備配置、工作流程、資金、人員、管

    理、信息、地區(qū)、人文環(huán)境等,即確定QRA實現(xiàn)目標和實施條件等。

    (2)風險辨識。即找出待評價系統(tǒng)中所有潛在的風險因素,并進行初步分析,通過安全檢查看系統(tǒng)是否達到規(guī)范要求。風險辯識的基本途徑有歷史事故統(tǒng)計分析、安全檢查表分析、風險與可操作性研究(HZOPS)、故障模式與影響分析(FMEA)、故障模式影響及危急分析(FMECA)、故障樹分析(ETA)、事故樹分析(ETA)、風險分析調(diào)查表、保單檢視表、資產(chǎn)風險暴露分析表、財務(wù)報表、流程圖、現(xiàn)場檢查表、風險趨勢估計表等。為配合保險公司對出險事項的處理,可采用從下至上的歸納法、從上至下的演繹法及兩者綜合運用。針對特定風險,可選用基于系統(tǒng)平面布置的區(qū)域分析、隱含事件分析、德爾菲法及基于事故樹分析的風險事故網(wǎng)絡(luò)法等。風險辯識不只局限于系統(tǒng)硬件,還應(yīng)考慮人為因素、組織制度等系統(tǒng)軟件。  風險綜合集成是指對所有風險按其特性類型分門別類加以匯總整理。因電力工業(yè)特點及電力市場化改革特點,把電力系統(tǒng)風險按廠網(wǎng)分開的行業(yè)結(jié)構(gòu)進行分類。

    對于發(fā)電企業(yè)而言,主要有電源規(guī)劃風險、報價競價上網(wǎng)風險、供求平衡風險、市場力抑制風險、備用容量風險、信用風險、法律風險、項目風險、中介機構(gòu)風險等。對于電網(wǎng)企業(yè)而言,主要有電網(wǎng)規(guī)劃風險、電網(wǎng)融資風險、購電電價風險、電力交易轉(zhuǎn)移風險、輔助服務(wù)風險、成本分攤風險、輸電阻塞風險、輸電能力風險、備用率風險、電力監(jiān)管風險等。另外,電力企業(yè)還將面臨電力可靠性、安全性、穩(wěn)定性風險及電能質(zhì)量風險等。

    風險綜合集成后的初步風險分析是對已辯識出的風險進行初步分析評估,確定風險的等級或水平。風險水平低的可忽略不計或僅作定性評估,風險水平高的要在定性分析基礎(chǔ)上,進行定量評估。

    (3)頻率分析。即確定風險可能發(fā)生的頻率,其方法主要有歷史數(shù)據(jù)統(tǒng)計分析、故障樹分析與失效理論模型分析。歷史數(shù)據(jù)統(tǒng)計分析是根據(jù)有關(guān)事故的歷史數(shù)據(jù)預(yù)測今后可能發(fā)生的頻率。因此要建立

    風險數(shù)據(jù)庫,既作為QRA的基礎(chǔ),又作為風險決策的依據(jù)。故障樹分析作為一種自上而下的邏輯分析法,把可能發(fā)生的事故或系統(tǒng)失效(頂事件)與基本部件的失效聯(lián)系起來,根據(jù)基本部件的失效概率計算出頂事件的發(fā)生概率。失效理論模型分析是在歷史數(shù)據(jù)與專家經(jīng)驗的基礎(chǔ)上,采用某種失效理論模型來計算風險發(fā)生頻率。

    (4)風險測定估計。根據(jù)風險特性及類型,運用一定的數(shù)學工具測定或估計風險大小。常用方法主要有主觀估計法、客觀估計法、期望值法、數(shù)學模型法、隨機模擬法和馬爾可夫模型法等。

    (5)后果分析。即分析特定風險在某種環(huán)境作用下可能導(dǎo)致的各種事故后果及損失。其方法主要有情景分析與損失分析。情景分析通過事件樹模型分析特定風險在環(huán)境作用下可能導(dǎo)致的各種事故后果。損失分析是分析特定后果對其它事物的影響及利益損失并歸結(jié)為某種風險指標。

    (6)風險標準及可接受性。風險標準及可接受性應(yīng)遵循最低合理可行(ALARP)原則。ALARP原則是指任何系統(tǒng)都存在風險,而且風險水平越低,即風險程度越小要進一步減少風險越困難,其成本會呈指數(shù)曲線上升。也就是說,風險改進措施投資的邊際效益遞減,最終趨于零,甚至為負值。因此,必須在風險水平與成本間折衷考慮。如果電力企業(yè)定量風險評估所得風險水平在不可接受線之上,則該風險被拒絕,如果風險水平在可接受線之下,則該風險可接受,無需采取風險改進措施;如風險水平在不可接受線與可接受線之間,即落人ALARP區(qū)(可容忍區(qū)),這時要進行風險改進措施投資成本風險分析或風險成本收益分析。

    分析結(jié)果如果證明進一步增加風險改進投資對電力企業(yè)的風險水平減小貢獻不大,則該風險是可接受的,即允許該風險存在,以節(jié)省投資成本。ALARP原則的經(jīng)濟學解釋類似投入要素的邊際收益遞減規(guī)律一樣,風險與風險措施投入間的風險曲線也呈邊際收益遞減規(guī)律。  3.3  電力企業(yè)QRA常用方法

    根據(jù)電力企業(yè)QRA的工作內(nèi)容和實現(xiàn)要求,結(jié)合電力企業(yè)本身特點,電力企業(yè)QRA常用的方法主要有:安全檢查表即實施安全檢查的項目明細表;故障模式與影響分析技術(shù)和故障模式影響分析與致命度分析(FMEACA)技術(shù);風險與可操作性研究技術(shù);事件樹分析技術(shù);基于概率影響圖技術(shù)、人工智能、專家系統(tǒng)、可靠性工程技術(shù)期望值法、風險主觀、客觀估計法、模糊評估法等。

篇2

關(guān)鍵詞：石油化工危險化學品辨識方法風險評估

中圖分類號：X937 文獻標識碼：A文章編號：1672-3791(2012)03(A)-0000-00

1 石化企業(yè)危險化工工藝概述

1.1 石油化工工藝的危險性

化工工藝是指通過原料處理、化學反應(yīng)、產(chǎn)品精制等化學生產(chǎn)方法，將原材料轉(zhuǎn)變?yōu)楫a(chǎn)品的過程，這些過程通常需要相應(yīng)的操作條件要求，并需使用特定的儀器和設(shè)備，使材料發(fā)生物理學上或化學上的變化，而危險化工工藝就是指在化工生產(chǎn)過程中，可能導(dǎo)致中毒、火災(zāi)或爆炸等安全事故的工藝。石油化工企業(yè)的生產(chǎn)過程主要是將石油、天然氣等原材料，通過相應(yīng)設(shè)備使其進行一系列的物理變化或化學反應(yīng)，其工藝普遍具有連續(xù)性強、操作復(fù)雜的特點，原料、產(chǎn)品中包含大量有毒、有害、易燃、易爆、高腐蝕性的物質(zhì)，且反應(yīng)多是在高溫、深冷、高壓等特殊環(huán)境下進行的，因此反應(yīng)裝置的運行、檢修、運輸、安裝等環(huán)節(jié)也普遍存在危險性。

1.2 石化工藝危險源的具體分析

（1）危險化學品。國務(wù)院頒發(fā)的危險貨物品名表與危險化學品名錄中，將危險化學品分為爆炸品、壓縮與液化氣體、易燃液體、易燃固體及自燃固體、氧化物及過氧化物、以及毒害品和感染性物品等幾大類?？梢哉f，這些化學品在石化生產(chǎn)中都有所涉及，其中一些還是重點石化工業(yè)的主要原料與產(chǎn)品。以其中的主要危險氣體而言，最為常見的就包括液化石油氣、氫氣、氨氣和硫化氫氣體等，液化石油氣作為一種從油氣田或石油煉制中獲得的碳氫化合物，可以作為重要的化工原料或燃料使用，但它同時也是一種易燃易爆氣體，并具有很強的揮發(fā)性且極易受熱膨脹，在大量被吸入人體后，還會導(dǎo)致窒息中毒等問題；氫氣作為工業(yè)原料廣泛應(yīng)用于石化工業(yè)的各個領(lǐng)域，生產(chǎn)中需加入氫氣通過去硫和氫化裂解來提煉原油，但氣體具有無色無味、燃燒火焰透明等特性，因此發(fā)生泄漏時，通常很難被察覺，一旦液氫外泄至空氣中，就有可能與空氣混合引發(fā)燃燒爆炸事故；而其他常見的氨氣、硫化氫氣體等，也各具可燃性、腐蝕性等危險，必須妥善管理，加強預(yù)防控制。

（2）反應(yīng)裝置的危險性。石化生產(chǎn)設(shè)備的危險性主要來自其生產(chǎn)原料、產(chǎn)品、以及相關(guān)工藝條件，催化裂解、常減壓蒸餾、延遲焦化以及汽油加氫等工藝中，設(shè)備的安裝、運行，及維護都面臨一定的安全風險。以催化裂化裝置為例，該裝置主要包括反應(yīng)器和再生器、加熱爐和輔助燃燒室、裂解余熱鍋爐、油氣分離器、氣分裝置等。生產(chǎn)過程主要包括原料油催化裂化、催化劑再生和產(chǎn)物分離3個主要工藝流程，以原油蒸餾所得的餾分油為原料，在熱和催化劑的作用下發(fā)生裂化反應(yīng)，以獲得輕質(zhì)油品和液化氣等產(chǎn)品，其原料與副產(chǎn)品、產(chǎn)品均易于與空氣形成爆炸性氣體，在生產(chǎn)過程中產(chǎn)生的硫化氫有毒，且易泄漏，具有中毒危害。故整個裝置具有易燃、易爆、有毒等危害特性。此外，工藝中的高溫、高壓等工藝條件和裝置自身的缺陷等也構(gòu)成了生產(chǎn)過程中的危險性因素。

2 重視風險評估加強安全管理

要全面控制石化企業(yè)化工工藝中的危險性因素，就必須建立安全生產(chǎn)數(shù)據(jù)庫，以計算機技術(shù)、通信技術(shù)等現(xiàn)代科技手段為支撐，通過完善的風險評估系統(tǒng)實現(xiàn)生產(chǎn)全過程的危險源辨識、風險評價、安全方案設(shè)計、費用計算等一系列高效管理工作。

2.1 危險源辨識

應(yīng)根據(jù)不同企業(yè)的具體生產(chǎn)過程對其工藝中各物質(zhì)與裝置的固有危險性、危險物質(zhì)容量、溫度、壓力、操作方式、反應(yīng)放熱與腐蝕性等多個項目分等級賦值并進行累計計算，所得的危險程度再結(jié)合其風險指標、危害程度及后果、控制方案等建立完備的資料數(shù)據(jù)庫。以危險物質(zhì)容量為例，該指標是針對工藝裝置中各種反應(yīng)物的含量，參考《危險化學品重大危險源辨識》或《壓力容器中化學介質(zhì)毒性危害和爆炸危險程度分類》等標準進行分級，含量的計算應(yīng)以反應(yīng)物的反應(yīng)形態(tài)為標準，有觸媒的反應(yīng)還應(yīng)去掉觸媒層所在的空間。在計算機的自動識別和控制程序設(shè)計中，還應(yīng)完善系統(tǒng)中的查詢、保存、修改等功能。

2.2 安全評價

石化生產(chǎn)的安全評價具有多目標、多屬性的特點，單一的評價方法并無法全面反映評價對象的特征、危險程度，因此應(yīng)根據(jù)不同的評價對象，提供多種評價方法再進行優(yōu)化。評價方法包括定性評價和定量評價，預(yù)評價、中間評價和現(xiàn)狀評價，工廠設(shè)計的安全性評價、安全管理的有效性評價、人的行為安全可靠性評價、作業(yè)環(huán)境和環(huán)境質(zhì)量評價以及物質(zhì)的物理化學危險性評價等，實踐中應(yīng)將多種方法相結(jié)合，并引入行為矯正技術(shù)，模糊數(shù)學理論、層次分析法、風險指數(shù)法等，提高評價的科學性。

2.3 其他管理內(nèi)容

其他管理內(nèi)容包括方案設(shè)計與評估、數(shù)據(jù)管理、預(yù)算管理等。要確保安全辨識與評價的可靠、實用，必須對包括生態(tài)環(huán)境污染等內(nèi)容在內(nèi)的危險辨識及控制、工藝路線的科學性、作業(yè)的安全性、以及工程進度計劃等方案進行綜合評估；而針對企業(yè)的未來發(fā)展規(guī)劃，數(shù)據(jù)庫應(yīng)具有運行穩(wěn)定、更新快、可擴充的性能，預(yù)算管理則應(yīng)根據(jù)實際風險特點，合理配置安防費用，降低企業(yè)的經(jīng)營成本。

3 結(jié)語

能源需求量的增大帶動了我國石油化工產(chǎn)業(yè)的快速發(fā)展，但也同時促使企業(yè)在激烈的競爭中不斷擴大規(guī)模、提高技術(shù)工藝水平和自動化水平，但由于這些行業(yè)涉及的危險物品與危險裝置種類多、范圍廣，并廣泛分布在石化生產(chǎn)全過程的各個環(huán)節(jié)中，因此也帶來了重大的安全風險。目前我國的危險化工工藝的安全保障系統(tǒng)在風險辨識方面仍處于起步階段，且未形成通用性的評價方式，因此相關(guān)工作人員必須在不斷總結(jié)經(jīng)驗教訓的基礎(chǔ)上，結(jié)合理論分析，參考專家的咨詢意見，建立有針對性的評估指標體系，以科學的管理方法，實現(xiàn)石化企業(yè)的安全生產(chǎn)。

參考文獻

[1] 趙來軍, 吳萍, 許科. 我國危險化學品事故統(tǒng)計分析及對策研究[J]. 中國安全科學學報, 2009, (07).

[2] 付師兵. 石油化工工藝設(shè)備檢修過程中火災(zāi)事故成因分析及安防措施[J]. 江西化工, 2011, (01).

篇3

關(guān)鍵詞：BOT項目；業(yè)主風險；風險評估；風險控制

中圖分類號：U412文獻標識碼： A

1.1 BOT項目風險評估的目的及方法

項目風險識別是項目風險管理中的第一步，是基礎(chǔ)和重要組成部分。其任務(wù)是確定何種風險事件可能影響項目目標，并將這些風險的特性整理成文檔。

風險評估就是在風險識別的基礎(chǔ)上，分析和評價損失對項目的既定目標的影響程度，通過對由風險識別獲得的資料和數(shù)據(jù)的處理，得到風險后果發(fā)生的概率、嚴重程度和大小，為選擇應(yīng)對措施，進行正確的風險管理決策提供依據(jù)。

風險評估的目的是：對項目中各種各樣的風險分析、比較，找出主要風險和次要風險；挖掘項目風險間的內(nèi)在聯(lián)系；進行項目風險的量化研究，進一步量化已識別的風險發(fā)生概率和后果，減少風險發(fā)生概率和后果估計中的不確定性，為風險應(yīng)對提供管理策略。

風險評估是為了確定風險的存在對項目本身造成的影響和后果，風險評估方法一般可以分為定性、定量、定性與定量相結(jié)合的三類，而有效的項目風險評估方法一般采用定性與定量相結(jié)合的系統(tǒng)方法。常用的項目風險評估方法有：層次分析法、決策樹法、主觀評分法、模糊風險綜合評估法等。

在高速公路BOT項目運營中，可能遭遇的風險帶有很大的模糊性，本文結(jié)合風險的這一特性，采用模糊數(shù)學中的模糊綜合評判方法對高速公路BOT項目運營中業(yè)主風險進行量化分析評估。

1.2 BOT高速公路項目運營中業(yè)主風險評估指標體系

1.2.1 BOT高速公路項目運營中的業(yè)主風險因素

通過對高速公路BOT項目運營中業(yè)主的風險進行分析，作為業(yè)主高速公路BOT項目運營中的風險與其他階段存在同樣多的風險，通過一系列的資料收集和分析，依據(jù)廣泛性、代表性、準確性相結(jié)合的原則，把高速公路BOT項目運營中存在的各種風險因素歸納如下表：

1.1 BOT高速公路項目運營中業(yè)主常見風險

環(huán)境風險

氣候自然災(zāi)害風險

政策風險

法律風險

金融風險

外匯風險

利率風險

通貨膨脹風險

市場風險

價格風險

交通量轉(zhuǎn)移風險

管理維護風險

管理風險

維護風險

1.2 業(yè)主風險模糊綜合評估模型的建立

在基于各參與方的高速公路BOT項目運營中業(yè)主風險評價指標體系中，由于各指標的影響因素各不相同，除少數(shù)可以通過統(tǒng)計方法獲得，大量的指標則只能采用專家評分法。對于這樣的評價問題，運用模糊數(shù)學的方法，即模糊綜合評估法（Fuzzy Comprehensive Evaluation,簡稱FCE）可以得到較好的解決[1]。

模糊評估方法[2]是把模糊數(shù)學應(yīng)用到判別事物和系統(tǒng)優(yōu)劣領(lǐng)域的新方法,根據(jù)給出的評估標準和實測值,經(jīng)過模糊變換后對事物或系統(tǒng)作出綜合評價。

模糊評估方法的特點主要表現(xiàn)在：

（1）模糊評估方法可以不直接依賴于某一項指標，也不過分地依賴于絕對指標，而是采取比較的方法，這樣可以避免一般數(shù)學評價方法中，由于標準選用不盡合理而導(dǎo)致的評價結(jié)果的偏差。

（2）評估指標的重要程度通過權(quán)數(shù)加以體現(xiàn)，但允許在權(quán)數(shù)選擇上有一定的出入，而不至于改變最終的評估結(jié)果。另外，在技術(shù)處理上，有效地避免了累積誤差的影響。

（3）模糊評估中算子的選擇和隸屬函數(shù)關(guān)系的確立，使各項參與評價的非量化指標間建立了有機聯(lián)系，使評估結(jié)果能夠更好地反映評估對象的整體特征和一般趨勢[12]。

由于高速公路BOT項目運營中業(yè)主風險因素多，僅采用單級模糊綜合評判，當因素眾多時權(quán)重難以恰當分配，因素的層次也難以考慮，故本文采用二級模糊綜合評判數(shù)學模型。

為了能夠準確、有效、綜合地評估高速公路BOT項目運營中業(yè)主風險，使評估結(jié)果能夠為各項目參與方提供談判、決策參考，根據(jù)本文對高速公路BOT項目運營中業(yè)主風險評估指標的劃分，用模糊數(shù)學綜合評判法對高速公路BOT項目運營中業(yè)主風險進行評估的內(nèi)容步驟如下：

① 確定影響因素及其層次，建立評估因素集

本文將高速公路BOT項目運營中業(yè)主風險作為因素集，按其屬性將風險分成4類，分別是環(huán)境、金融、市場和管理維護風險，記為U={U1，U2，U3 ，U4}。Ui中又含有n個子因素，記為Ui={Ui1，Ui2, …,Uin},(i=1,2, 3,4) 如圖4-1所示

② 建立評估集

評估集是對評判對象可能作出的各種評估結(jié)果組成的集合，不論因素層次有多少，

評估集只有一個。這個評估集適用于全部BOT風險因素。通過評估集給定評價的基準，表示為

V={V1,V2,…,Vp}(4-1)

其中VK（K=1，2，…，P）為總評判的第K個可能的結(jié)果。

選擇因素集和評估集的原則是：既要全面又要抓住主要矛盾。這樣既可以更好的模擬人們的思維，又可以避免一些不必要的麻煩。

按照評估集的原則，把BOT的業(yè)主風險程度劃分為5個等級：低風險V1；較低風險V2； 一般風險V3； 較高風險V4； 高風險V5 。

③ 建立評估因素的權(quán)重集，并修正指標的權(quán)重

在我國目前，采用BOT法對于風險評估中，應(yīng)用專家評估居多，但若直接請專家給出各項指標的權(quán)值，結(jié)果可能受專家們的主觀因素影響太大，從而影響科學性。權(quán)重是因素重要程度的定量表示，其合理性直接影響到評價結(jié)果的準確性，為了弱化主觀因素的影響，本文采用層次分析法（AHP）確定專家給定的指標權(quán)重值。

層次分析法[3]（Analytic Hierarchy Process,簡稱AHP）是美國運籌學家薩蒂（T.L.Saaty）于20世紀80年代提出的，是一種定性與定量分析相結(jié)合的多目標決策分析方法。它可以將無法量化的風險按照大小排出順序，把它們彼此區(qū)別開來。其步驟為：構(gòu)建遞階層次結(jié)構(gòu)；按表4.2根據(jù)知識、經(jīng)驗和判斷，從第一個準則層開始向下，逐步確定各層諸因素相對于上一層各因素的重要性權(quán)數(shù)，建立的兩兩比較矩陣：以表4.3所示為準，檢驗矩陣的一致性。

表2.1利用層次分析法進行業(yè)主風險比較的1-9級標度描述

標度 定義

1 i因素與j因素同樣重要

3 i因素比j因素略重要

5 i因素比j因素較重要

7 i因素比j因素非常重要

9 i因素比j因素絕對重要

2、4、6、8 上述兩判斷級的中間值

倒數(shù) 若i因素與j因素比較，得到判斷值為aji=1/aij, aii=1

表2.2一致性指標

N 1 2 3 4 5 6 7 8 9

RI 0.00 0.00 0.58 0.96 1.12 1.24 1.32 1.41 1.45

根據(jù)每1層次中各個影響因素的重要程度，分別賦予相應(yīng)的權(quán)數(shù)。

第1層次評估指標的權(quán)重集W={W1，W2，W3，W4},且滿足：

（4-2）

第2層次評估指標的權(quán)重集:Wi中n個子因素，記為A={ai1,ai2,…ain},{i=1,2,3,4},且滿足:

（4-3）

為了使專家意見的篩選更為科學,從而使指權(quán)重確定的更為合理,對多個專家所分配的權(quán)重進行聚類分析與權(quán)重修訂,過程如下:

用層次分析法處理得出來的權(quán)重矩陣如下,其中Wij指第i位專家對第j個指標判斷后經(jīng)層次分析法處理后得到的權(quán)重和重要程度.m表示專家的人數(shù),n表示指標的個數(shù).

W= （4-4）

為了判斷矩陣中各專家所得權(quán)重的離散程度，故需計算各權(quán)重間的相似系數(shù)并由此組成相似系數(shù)矩陣。相似系數(shù)Rij和相似矩陣R如下：

（4-5）

（4-6）

其中Rij指專家i與專家j權(quán)重結(jié)果的相似程度：由式（4-4）可知，Rij越小，則相似程度越小。n表示指標權(quán)重的維數(shù)，亦即所評價指數(shù)的個數(shù)。m表示專家意見的總數(shù)，即參加權(quán)重評估的專家總?cè)藬?shù)；顯然，Rij=1，Rij=Rji 。

在剔除離異點集中離異程度大的權(quán)重時，本文根據(jù)聚類分析的原理采用了一種簡化的方法，它與現(xiàn)有的方法具有相同的精度，但計算簡單、原理直觀，更適合在實踐領(lǐng)域內(nèi)應(yīng)用：

（4-7）

（4-8）

其中，Pi表示相似系數(shù)矩陣中每一行之和，它表示第i個專家判斷所得出的權(quán)重意見與其他專家群體評估所得權(quán)重意見的偏離程度，相似系數(shù)之和越小，則此專家意見距離其他專家意見越“遠”，偏離程度越大。P表示相似系數(shù)對行求和形成的一列。

通常來說，聚類分析所要解決的問題是把很多的元素按照相似原則劃分為若干小集合，目的在于分類而不是淘汰某個集合[4]。本文的聚類分析則側(cè)重于找出偏離專家群體綜合意見程度最大的“離異”專家意見。

最后用偏離程度的量化指標來衡量各個專家意見，通過公式（4-8）確定偏離程度。也就是說，當Di大于某一閥值時，這個意見應(yīng)該被排除掉。

％（4-9）

式中：Di―第i個專家的相似系數(shù)與最大相似系數(shù)的偏離程度。

Pmax―相似系數(shù)矩陣中的最大值。

在BOT項目風險評估的實踐中，淘汰的專家太多，就失去了群體決策評估的作用。淘汰專家太少，則又使個別與群體評估權(quán)重偏離程度大的專家意見影響評價結(jié)果。根據(jù)經(jīng)驗，應(yīng)用聚類分析淘汰專家的比例應(yīng)在20％-30％為好[5]。

④ 確立隸屬關(guān)系，獲得模糊評判矩陣。

請專家或相關(guān)管理人員組成的風險評估小組，根據(jù)給定的評價基準對項目風險進行評價。這種評價是一種模糊映射，即使對同一個風險的評定，由于不同評價人員可以作出不同的評定，所以評價結(jié)果只能用對第i個因素做出第j評價尺度的可能程度的大小來表示。這種可能程度稱為隸屬度[6]，記作rij。

由此得到模糊評估矩陣

（4-10）

Rij―對因素Ui中第i個評價子因素作出第j級評價Vp的隸屬度，j=1,2,…,n;

P=1,2,…,m 。

⑤ 模糊綜合評估

根據(jù)模糊評估矩陣,模糊綜合評判集為:

（4-11）

B為U中所有因素的綜合評判結(jié)果,它表示評判對象按所有因素評判時,對評判集中第K級的隸屬度。再由最大隸屬度原則或加權(quán)平均法定出最終結(jié)論。

⑥確定評估等級。按照已經(jīng)制定的評估尺度，進行計算，這種評定是一種模糊映射。

將評估等級取成列矩陣V，風險評估結(jié)果最后數(shù)值結(jié)果為：

S＝B×V （4-12）

參考文獻

[1]傅鴻源. BOT項目風險評價方法的研究[J]. 系統(tǒng)工程理論與實踐, 1995, (10): 55-58

[2]宋冬梅. 基于模糊理論的BOT項目風險評價[J]. 建筑管理現(xiàn)代化, 2005, (4): 54-56

篇4

Abstract: Mudslides risk assessment and warning research is the main research direction and frontier exploratory topic in disaster area at home and abroad. This paper made a brief review on mudslides risk assessment and warning research in recent decades, discussed some existing problems and the development trend at present in this field.

關(guān)鍵詞: 風險;定性評價;定量評價;滑坡泥石流;小區(qū)域尺度

Key words: risk;qualitative evaluation;the quantitative evaluation;landslide debris flow;small regional scale

中圖分類號:P694文獻標識碼:A文章編號:1006-4311(2010)20-0247-01

1風險性評估回顧

滑坡泥石流災(zāi)害在自然災(zāi)害中,是最重要災(zāi)害類型之一,具有分布地區(qū)廣、發(fā)生頻率高、運動速度快、災(zāi)害損失嚴重等特點。國外普遍重視城市滑坡泥石流災(zāi)害的評估研究,俄國、日本和美國等國的相關(guān)專家、學者、科研院所以及政府機構(gòu)等均對滑坡、泥石流等地質(zhì)災(zāi)害的風險評估、預(yù)測預(yù)報等進行了較為系統(tǒng)的研究。涉及各單項評估評價研究文獻較多,主要集中于滑坡泥石流災(zāi)害的風險分析與制圖。自二十世紀八十年代以來,幾乎所有受滑坡泥石流影響嚴重的國家、地區(qū)的城市都開展了綜合性地質(zhì)災(zāi)害損失預(yù)防和管理,其共同特點是選擇示范試驗區(qū)或流域進行風險性評估,這種非工程性措施的減災(zāi)效果已普遍得到認可。

自1994年以來,對自然災(zāi)害承災(zāi)體易損性研究日益引起國際上的普遍關(guān)注,城市綜合減災(zāi)研究成為跨世紀中國最值得關(guān)注的保障技術(shù)之一。二十世紀九十年代以來,GIS技術(shù)與地質(zhì)災(zāi)害空間預(yù)測數(shù)學模型方法的結(jié)合成為地質(zhì)災(zāi)害研究的熱點領(lǐng)域。GIS 技術(shù)使泥石流風險評價的空間數(shù)據(jù)集成化更簡便、分析速度更快、精度更高,促進了該領(lǐng)域快速發(fā)展,相關(guān)研究大量涌現(xiàn),具有代表性的是意大利學者A. Carrara 系統(tǒng)總結(jié)了近年來滑坡(含泥石流) 風險制圖的技術(shù)方法和存在的問題。目前泥石流風險評價工作關(guān)鍵在于GIS 專家、統(tǒng)計專家和地學工作者共同對相關(guān)空間數(shù)據(jù)獲取、處理和分析,開發(fā)可靠性強的評價模型。我國開展泥石流風險評價研究起步較晚,例如劉希林討論了泥石流風險區(qū)劃的易損度計算方法。

滑坡泥石流經(jīng)濟損失評估日益引起各國政府部門和學術(shù)界的廣泛關(guān)注。倫敦大學皇家學院地理系A(chǔ).Hansen(1984)教授完成的滑坡危險性分析,成為滑坡泥石流風險評價的重要成果。近幾年,許多學者對自然和經(jīng)濟易損性作了深入的研究并對多種災(zāi)害的易損性建立了分析體系和評價方法或模型,并將它們用于指導(dǎo)高風險地區(qū)的防災(zāi)救災(zāi)。

2預(yù)警研究發(fā)展

二十世紀七十年代,前蘇聯(lián)學者弗萊施曼[1]提出泥石流空間預(yù)報、時間預(yù)報和規(guī)模預(yù)報的概念,開展了天氣氣象學方法的泥石流發(fā)生預(yù)報的試驗,編制出泥石流工程預(yù)測圖等,并于1980年出版專著《泥石流形成規(guī)律和預(yù)報》。與此同時,日本[2]也于1981年出版《滑坡、崩塌、泥石流預(yù)測與對策》專著。

中國在二十世紀八十年代開展了區(qū)域泥石流的預(yù)測預(yù)報方法研究,很多學者和研究機構(gòu),基于不同的學科背景和不同的研究視角以及不同的問題領(lǐng)域,對中國的滑坡、泥石流等地質(zhì)災(zāi)害調(diào)查評價與監(jiān)測預(yù)警進行了探討與實踐,系統(tǒng)地總結(jié)了滑坡泥石流預(yù)測預(yù)報的基本理論與方法,闡述了新思維,積累了經(jīng)驗。在地質(zhì)災(zāi)害中,滑坡、泥石流特別是降雨型滑坡、泥石流的風險評估及其預(yù)測預(yù)報,在地質(zhì)災(zāi)害頻發(fā)的后發(fā)達的山區(qū)省份中尤其具有特殊意義。針對后發(fā)達省區(qū)的滑坡、泥石流等地質(zhì)災(zāi)害的風險評估及預(yù)警研究,已有學者開展了定性或半定量的研究,他們的研究工作和初步成果成為我們從事此項研究的重要基礎(chǔ)。例如譚萬沛(1994)出版專著《暴雨泥石流滑坡的區(qū)域預(yù)測與預(yù)報》,唐川(1995)出版《云南省滑坡泥石流重點區(qū)域預(yù)測預(yù)報與評價方法研究》。

此外,近十幾年來,“3S”技術(shù)應(yīng)用于滑坡泥石流預(yù)報測預(yù)等方面的研究成果也很多,如Hergarten et al. (1998),Nagra jan, R. et al.(1998),Aldo Clerici et al.(2000),Mandy LinebackGritzner et al. (2001)等。

3討論

3.1 由于滑坡泥石流災(zāi)害損失評估問題的復(fù)雜性和評估對象的多樣性,特別是涉及山區(qū)城市的特殊性,因此有很必要進一步探討適合山區(qū)城市滑坡泥石流災(zāi)害特點的損失評估方法,并在實際應(yīng)用中不斷完善,逐步提高其評估水平和實用性,使這項工作更加規(guī)范化、科學化。

3.2 我國學者的研究主要集中在國家和大區(qū)一級尺度,對各地區(qū)的災(zāi)害防控具有一定的宏觀指導(dǎo)意義。具體到小尺度區(qū)域時,由于地質(zhì)和環(huán)境條件的復(fù)雜多樣、社會經(jīng)濟的差異以及居民生產(chǎn)生活方式的不同等,造成理論成果與實踐的脫節(jié),理論服務(wù)實踐的初衷無法實現(xiàn),嚴重制約特定區(qū)域的災(zāi)害防治和社會經(jīng)濟的和諧可持續(xù)發(fā)展。針對小尺度區(qū)域的滑坡、泥石流等地質(zhì)災(zāi)害的風險評估與預(yù)警研究亟待開拓和系統(tǒng)研究。

3.3 可借鑒錢學森院士創(chuàng)立的“從定性到定量的綜合集成法”為方法論工具,關(guān)注安全、生態(tài)、經(jīng)濟、可持續(xù)的風險評價、管理與預(yù)警系統(tǒng)研發(fā)。在地理信息系統(tǒng)平臺上,綜合使用系統(tǒng)動力學等各個學科的基本研究方法,進行時間和空間對偶分析,更能準確把握問題的實質(zhì),找到問題的根源,從而進行跨多學科和多領(lǐng)域的系統(tǒng)分析和情景分析,提出更具針對性的對策建議。

3.4 滑坡泥石流易損性表示“潛在最大損失”,是時間和空間的復(fù)合函數(shù),隨時間變化和區(qū)域的不同而不同,因此易損性評價應(yīng)該進一步強調(diào)易損性增長率的分析。對于處于經(jīng)濟欠發(fā)達階段以及地質(zhì)環(huán)境條件復(fù)雜的區(qū)域, 由于城鎮(zhèn)人口和經(jīng)濟規(guī)模急劇上升,城鎮(zhèn)范圍不斷擴大,地質(zhì)災(zāi)害頻發(fā),易損度隨著財產(chǎn)和人口的增加而快速增大。因此,滑坡泥石流潛在最大損失中,人員損失的比重很大,財產(chǎn)損失占國內(nèi)生產(chǎn)總值的比重也很大。

參考文獻:

[1](蘇)C.M弗萊施曼著,姚德基譯.泥石流形成規(guī)律和預(yù)報[M].科學出版社,1980.

篇5

一、現(xiàn)有軟件項目風險管理模型分析

軟件風險管理是一種軟件工程實踐，包括過程、方法和工具，并利用這些過程、方法和工具去完成持續(xù)評估風險、確定風險優(yōu)先級、實施策略處理風險工作?，F(xiàn)有軟件項目風險管理模型包括：(1)BarryBoehm理論。20世紀80年代，軟件風險管理之父Boehm認為，軟件風險管理這門學科的出現(xiàn)就是試圖將影響項目成功的風險形式化為一組易用的原則和實踐的集合，目標是在風險成為軟件項目返工的主要因素并由此威脅到項目的成功運作前，識別、描述并消除這些風險項。他將風險管理過程歸納成兩個基本步驟，即風險評估和風險控制。其中風險評估包括風險識別、風險分析、風險排序；風險控制包括制定風險管理計劃、解決風險、監(jiān)控風險。(2)SEI(軟件工程研究所)的CRM(持續(xù)風險管理)模型。SEI提出的CRM模型要求在項目生命周期的所有階段都關(guān)注風險識別和管理，它將風險管理劃分為識別、分析、計劃、跟蹤和控制5個步驟，并采取不同的策略。(3)Riskit方法。如果組織在項目早期采用系統(tǒng)化的風險管理過程和技術(shù)，那么組織就有能力避免很多問題。Riskit方法能提供這種系統(tǒng)化的風險管理過程和技術(shù)，它由Mary-land大學提出的，旨在對風險的起因、觸發(fā)事件及其影響等進行完整的體現(xiàn)和管理，并使用合理的步驟評估風險。對于風險管理中的每個活動，Riskit都提供了詳細的活動執(zhí)行模板，包括活動描述、進入標準、輸入、輸出、采用的方法和工具、責任、資源、退出標準。Riskit風險管理過程在項目生命期內(nèi)，這些活動可以重復(fù)多次。(4)SofiRisk風險管理模型。SoftRisk模型是由Keshlaf和Hashim提出的，它基于這樣一種觀念：記錄并將注意力集中在高可能性和高破壞性的風險上是進行風險管理的有效途徑。這樣可以節(jié)省軟件開發(fā)過程中的時間成本和人力成本，并可有效減輕風險的破壞性。此模型確保在軟件項目進行中持續(xù)地進行風險管理。(5)IEEE風險管理標準。IEEE風險管理標準定義了軟件開發(fā)生命周期中的風險管理過程。該風險管理過程是一個持續(xù)的過程，系統(tǒng)地描述和管理在產(chǎn)品或服務(wù)的生命周期中出現(xiàn)的風險，包括計劃并實施風險管理、管理項目風險列表、分析風險、監(jiān)控風險、處理風險、評估風險管理過程等。(6)CMMI(軟件能力成熟度模型集成)的風險管理過程域。CMMI是由SEI在CMM基礎(chǔ)上發(fā)展而來，并在全世界推廣實施的一種軟件能力成熟度評估標準，主要用于指導(dǎo)軟件開發(fā)過程的改進和進行軟件開發(fā)能力評估。風險管理過程域是在CMMI第三級一一已定義級中的一個關(guān)鍵過程域。CMMI認為風險管理是一種連續(xù)的前瞻性的過程。它要識別潛在的可能危及關(guān)鍵目標的因素，以便策劃應(yīng)對風險的活動并在必要時實施這些活動，緩解不利影響，最終實現(xiàn)組織目標。CMMI的風險管理被清晰地描述為實現(xiàn)三個目標，每個目標的實現(xiàn)又通過一系列的活動來完成。(7)Microsoft的MSF風險管理模型。MSF的風險管理認為，風險管理必須是主動的，它是正式的系統(tǒng)的過程，風險應(yīng)被持續(xù)評估、監(jiān)控、管理，直到被解決或問題被處理。

二、面向企業(yè)全面成本計算模型的風險管理策略

結(jié)合企業(yè)全面成本計算理論和軟件項目的風險管理內(nèi)容，筆者通過對國家科技攻關(guān)項目“模型驅(qū)動的異構(gòu)系統(tǒng)集成框架與基于SOA的數(shù)據(jù)交換平臺技術(shù)”進行分析，建立一種面向企業(yè)全面成本計算模型的風險管理策略。

(一)基于網(wǎng)格體系的企業(yè)全面成本計算模型ETCM以客戶價值與企業(yè)利潤最大化為目標，面向產(chǎn)品全生命周期，通過成本企畫確定目標成本，并將成本筑人到產(chǎn)品的設(shè)計與制造過程；在廣度上，面向企業(yè)整個供應(yīng)鏈，通過作業(yè)成本管理確立成本計算模型，優(yōu)化供應(yīng)鏈中的增值作業(yè)；并通過層次分析(AHP)方法、企業(yè)資源計劃(ERP)或系統(tǒng)預(yù)測確立EAD模型(費用與作業(yè)關(guān)聯(lián)矩陣)和APD模型(作業(yè)與產(chǎn)品關(guān)聯(lián)矩陣)等成本分配率模型。在計算過程中，ETCM計算模型涉及合作伙伴各種高度異構(gòu)、動態(tài)分布的信息平臺。以Web服務(wù)為運行平臺，采用面向服務(wù)的體系架構(gòu)，建立圖1所示兼容硬件平臺、遺留信息系統(tǒng)和知識資源的全面成本管理體系結(jié)構(gòu)，實現(xiàn)對企業(yè)整個供應(yīng)鏈資源的有效組織和管理，幫助企業(yè)在整個供應(yīng)鏈范圍內(nèi)，準確計算產(chǎn)品成本信息，輔助決策。

ETCM模型的體系結(jié)構(gòu)由基礎(chǔ)支撐平臺層、集成化容器層、企業(yè)成本相關(guān)業(yè)務(wù)邏輯表示層、業(yè)務(wù)建模層、企業(yè)門戶應(yīng)用層、網(wǎng)格應(yīng)用層構(gòu)成。以硬件、系統(tǒng)軟件和Internet為基礎(chǔ)平臺，在容器層建立支持業(yè)務(wù)運行的Java和功能組件、網(wǎng)格服務(wù)和Web服務(wù)組件，通過企業(yè)業(yè)務(wù)邏輯表示層實現(xiàn)網(wǎng)格高層應(yīng)用功能的邏輯表達。企業(yè)業(yè)務(wù)邏輯表示層在企業(yè)業(yè)務(wù)過程編排與工作流技術(shù)的連接與管理下，將Legacy(遺留系統(tǒng))、MTC(微軟組件)、E-JB(企業(yè)Java組件)、Web服務(wù)和網(wǎng)格服務(wù)封裝成不同領(lǐng)域內(nèi)的商務(wù)應(yīng)用(如企業(yè)物流、財務(wù)、人力資源、制造資源、全面成本管理、客戶關(guān)系管理)，并通過企業(yè)咨詢與診斷、企業(yè)業(yè)務(wù)過程需求分析、業(yè)務(wù)流程建模、業(yè)務(wù)流程再造和業(yè)務(wù)流程持續(xù)改進等功能為企業(yè)提供實施網(wǎng)格應(yīng)用的方法論指導(dǎo)。門戶應(yīng)用層為用戶提供用戶界面和一致的訪問接口(如基于Web的服務(wù)門戶)。應(yīng)用層在Web服務(wù)和網(wǎng)格服務(wù)基礎(chǔ)上提供網(wǎng)格制造系統(tǒng)高層應(yīng)用，這些系統(tǒng)不局限于協(xié)同環(huán)境中的全面成本管理，還可應(yīng)用于電子商務(wù)和電子市場、商務(wù)協(xié)同、制造協(xié)同與供應(yīng)鏈協(xié)同等領(lǐng)域。容器層提供遺留系統(tǒng)容器、Web應(yīng)用容器、Web容器以及網(wǎng)格服務(wù)容器等分別處理和封裝來自合作伙伴或企業(yè)內(nèi)部不同軟硬件應(yīng)用平臺和操作系統(tǒng)的成本相關(guān)的業(yè)務(wù)應(yīng)用。遺留系統(tǒng)容器集成與處理基于業(yè)務(wù)功能的商務(wù)應(yīng)用，Web應(yīng)用容器為EJB、Java Bean、MTC、CCM(CORBA組件)等企業(yè)級服務(wù)器組件提供安全運行環(huán)境與管理機制，Web容器為JSP(Java頁面)、Servlets、ASP(Active頁面)等

Web組件提供安全運行環(huán)境與管理機制，網(wǎng)格服務(wù)容器集成基于Microsoft，Net、J2EE(Java 2 Enterprise Edition)的Web容器和Web應(yīng)用容器及Legacy容器，為網(wǎng)格服務(wù)與Web服務(wù)提供相應(yīng)執(zhí)行環(huán)境、服務(wù)組件執(zhí)行周期、事務(wù)以及安全與服務(wù)質(zhì)量的管理，并支撐Web服務(wù)組件的開發(fā)、部署、調(diào)試和運行，解決了協(xié)同環(huán)境中異構(gòu)成本信息的共享與集成問題。

(二)面向ETCM計算模型的風險管理策略 通過對國家科技攻關(guān)項目 “模型驅(qū)動的異構(gòu)系統(tǒng)集成框架與基于SOA的數(shù)據(jù)交換平臺技術(shù)”的分析，結(jié)合上述企業(yè)全面成本計算理論的復(fù)雜性以及傳統(tǒng)軟件項目風險管理的主要內(nèi)容和策略，筆者建立一種面向企業(yè)全面成本計算模型的風險管理策略模型，如圖2所示：

在圖2所示的風險策略管理模型中，理論基礎(chǔ)是一個開放的概念，多受益于其他學科，包括風險和風險管理的定義、風險管理模型等體系結(jié)構(gòu)。風險管理模型形成指導(dǎo)性的框架結(jié)構(gòu)，核心風險管理步驟通過引入風險實體的概念和面向目標辨識、評估風險的思想，針對不同企業(yè)的計算環(huán)境提供不同的風險處理思路。技術(shù)基礎(chǔ)包括風險定量計算、風險決策支持、風險預(yù)測及模擬等相關(guān)的風險決策和預(yù)測技術(shù)。決策樹幫助大多數(shù)風險項確定相關(guān)的解決方案，例如，圖形化的評審技術(shù)或隨機型決策技術(shù)(GERT)是在計劃評審技術(shù)(PERT)和關(guān)鍵路徑法(CPM)之后發(fā)展起來的隨機型網(wǎng)絡(luò)技術(shù)，通過將不確定性引入計劃，使系統(tǒng)狀態(tài)不能全部列舉出來，使得任何一種狀態(tài)都不能完全代表系統(tǒng)的真正結(jié)果，增強了節(jié)點的邏輯判斷功能，且數(shù)學模型可以使用計算機仿真來實現(xiàn)。在GER技術(shù)基礎(chǔ)上，風險評審技術(shù)(VERT)從單純考慮計劃的時間因素發(fā)展到全面考慮計劃中的時間、費用和效益因素，可以對計劃進行更全面的分析和評價。

篇6

Abstract: Hierarchy complexity is proved be a source of project risk in order to recognize project risk objectively after the relationship between project risk and hierarchy complexity is discussed. A new risk evaluation model is proposed, in which the hierarchy complexity is used as the criterion and project scale is considered. To investigate risk diffusion mechanism of individual project in project portfolio, mutual effects among projects and classification of project portfolio is analyzed. A model for cooperative project portfolio that quantitatively depicts its risk diffusion mechanism with logistic mapping is proposed. Strategies for reducing complexity risk of cooperative project portfolio were put forward after a case study about the diffusion model.

關(guān)鍵詞:項目;項目組合;復(fù)雜性;風險

Key words: project;project portfolio;complexity;risk

0引言

如何正確地認識項目的風險來源并對風險的大小做出合理的評估,使項目能有效抵御風險,是項目管理者們在項目運行之前面臨的主要問題。面對于實際問題的需要,學者們在風險來源的識別和風險大小的評估方面做了大量的研究[1-6],研究的對象涉及建筑、軟件開發(fā)、電子商務(wù)等眾多行業(yè),研究成果給出了不同行業(yè)的項目風險來源并建立了多種風險評估方法。這些研究的成果為不同行業(yè)的項目管理者的風險管理提供了較好的思路指引和方法指導(dǎo)。

從目前的研究來看仍然存在著有待進一步討論的地方,其中較為突出的一點就是大部分研究中都認為技術(shù)和市場是風險的主要來源,并就這兩個方面建立評估方法。技術(shù)風險主要是考慮項目所采用的技術(shù)與外界的成熟技術(shù)相比是否落后,如果項目擬采用的技術(shù)處于先進水平,成本是否過高,項目團隊是否有能力完成;市場風險則是考慮項目產(chǎn)品的性能是否能滿足市場的需求,項目產(chǎn)品的規(guī)模是否符合市場規(guī)模。所以市場和技術(shù)兩方面的風險均來主要來自于項目外部環(huán)境。從哲學決定論的角度來看,外部因素對事物的發(fā)展具有很大的影響,但并不是決定性因素,內(nèi)部因素才是事物發(fā)展決定性因素。對項目而言,外部的需求和技術(shù)狀況影響著項目的運行,但項目是否能成功達到預(yù)期目的,項目內(nèi)部的運行效率問題才是關(guān)鍵,項目內(nèi)部的風險是不能忽略的風險。對于風險的評估,通常會建立一套指標體系,然后通過專家的意見獲取風險的發(fā)生概率和后果影響。這種評估模式目前較為普遍,但筆者認為主觀性太強而使得應(yīng)用面不廣,而且實際中不易操作。如果能以項目自身的某一客觀表現(xiàn)來反映項目的風險并利用客觀數(shù)據(jù)評估其大小,那么這種風險評估模式既能較為客觀,也比較容易實施,對于項目內(nèi)部風險,項目復(fù)雜性的研究為我們提供了思路。

Mohan.V.Tatikonda和Stephen.R.Rosenthal[7]將項目復(fù)雜性定義為“一個項目所包含的任務(wù)的性質(zhì)、數(shù)量以及范圍”,而且認為對于產(chǎn)品開發(fā)項目而言,項目的復(fù)雜性特征主要體現(xiàn)在所使用的技術(shù)的相互依賴程度、項目目標對于開發(fā)者而言的新穎程度以及項目目標的困難程度,這三個特征都與項目的不確定性相聯(lián)系,而且項目的復(fù)雜程度與項目的成果成反比關(guān)系。Rajesh Kumar[8]等研究了能源開發(fā)項目的復(fù)雜性,認為能源項目由于項目開發(fā)人員、政府、金融機構(gòu)、設(shè)備提供商、子項目承包商以及項目股東等多個利益相關(guān)者存在,所以具有結(jié)構(gòu)上的復(fù)雜性,而這種結(jié)構(gòu)的復(fù)雜性又導(dǎo)致了項目開發(fā)人員與各方人員之間相互協(xié)商的復(fù)雜性,如果項目各方之間的協(xié)調(diào)出現(xiàn)問題,則很可能會在項目各方的風險分擔方面產(chǎn)生障礙從而使得項目失敗。蔣國萍和陳英武[9]對軟件項目的復(fù)雜性及其計算方法作了探討,認為軟件項目的復(fù)雜性有兩大來源,一是環(huán)境的復(fù)雜性如用戶組織結(jié)構(gòu)的復(fù)雜,用戶對軟件項目的理解和支持以及應(yīng)用環(huán)境的復(fù)雜性等。二是軟件項目的產(chǎn)品-軟件本身的復(fù)雜性,這種復(fù)雜性主要是軟件結(jié)構(gòu)的復(fù)雜性和算法的復(fù)雜性。Willams.T.M[10]認為項目的復(fù)雜性來源于項目的結(jié)構(gòu)復(fù)雜和不確定性。這些研究表明,項目的復(fù)雜性不僅都是由于項目任務(wù)、組織結(jié)構(gòu)以及項目相關(guān)利益者的眾多而產(chǎn)生,更為重要的是這種復(fù)雜性都會影響到項目的實施而帶來風險,而且項目組織結(jié)構(gòu)的復(fù)雜性被認為是項目復(fù)雜性的組成部分之一。項目組織結(jié)構(gòu)的復(fù)雜與否是項目本身的一種特征,是一種外在的表現(xiàn),但這種外在表現(xiàn)的實質(zhì)是一種風險。因為如果組織結(jié)構(gòu)復(fù)雜或者臃腫,各部門的協(xié)調(diào)性差,那么項目運行就可能會顯得無序,好的技術(shù)人員、充分的財務(wù)資源會被大量的無效行為所消耗,這種現(xiàn)象在實際中是較為普遍的現(xiàn)象,雖然這種情況與工作人員的素質(zhì)有密切關(guān)系,但與組織結(jié)構(gòu)不無關(guān)聯(lián)。因此我們認為組織結(jié)構(gòu)是項目內(nèi)部產(chǎn)生風險的一個來源,這種風險可能并不像技術(shù)、資源等那樣被項目管理者所認識、重視,但是客觀存在的。因此,我們用組織結(jié)構(gòu)的復(fù)雜性作為項目內(nèi)部風險的衡量尺度并對其定量化。

當單個項目擴展為多個項目的項目組合時,每個項目的實施都涉及到人、財、物等多個方面,項目之間還可能在這些方面相互交叉影響[11],所以研究個體風險與組合風險之間的關(guān)系對于認識項目組合整體的風險是必要的。目前對于個體與組合的風險關(guān)系的研究成果主要集中于金融投資(如股票、證券)組合領(lǐng)域,由于金融投資的風險主要來自于市場的波動,服從一定的概率分布,所以金融投資組合風險的研究均以概率論作為方法基礎(chǔ),研究具有成熟的方法論指導(dǎo)而且成果也較多。對于實體項目的風險而言,除了市場風險,其它諸如技術(shù)、組織結(jié)構(gòu)等風險不具備服從概率分布的條件,如何定量刻畫項目個體風險與項目組合風險的關(guān)系就成為一個難點,關(guān)于這方面的研究目前也較少。鑒于此,本文以項目組織結(jié)構(gòu)復(fù)雜性風險為對象,利用logistic映射刻畫項目個體的組織結(jié)構(gòu)復(fù)雜性風險在協(xié)作型項目組合中的擴散機制,以期能為項目個體與項目組合的風險關(guān)系的研究提供一個思路。

1基于組織結(jié)構(gòu)復(fù)雜性的項目風險評估

由于復(fù)雜性在管理中的研究歷史并不長,關(guān)于管理復(fù)雜性的計算也主要集中在企業(yè)管理系統(tǒng)度量這一層次,所以對于項目復(fù)雜性目前也僅僅是一些概念和定性的描述,具體的計算方法目前較少,能查到的相關(guān)文獻也僅有文獻[9]。

在對企業(yè)系統(tǒng)復(fù)雜性的度量中,等[12]認為作為復(fù)雜度的一個基本方面,復(fù)雜度在一定程度上可以不確定性的測度即熵(Entropy)來表示,同時指出復(fù)雜模型難以建模和求解,因此利用容易獲取的宏觀量的宏觀綜合方法來度量組織的復(fù)雜性更具普適性,而一個非常重要的宏觀量就是熵,所以利用宏觀信息熵來處理復(fù)雜系統(tǒng)具有廣泛的適應(yīng)性。在復(fù)雜性計算中,宋華嶺等做了較多的研究。他們定義了管理熵,提出從管理信息、功能和結(jié)構(gòu)三個維度來討論企業(yè)管理系統(tǒng)的復(fù)雜性,以熵作為管理系統(tǒng)復(fù)雜性的度量,定義了管理力和管理功,并在此基礎(chǔ)上建立了企業(yè)系統(tǒng)在三個維度上的復(fù)雜性的度量模型以及整體復(fù)雜度度量模型[13]。這些模型主要根據(jù)于力學和物理學中的“力”和“功”的內(nèi)涵將管理系統(tǒng)的復(fù)雜性視為管理者的管理力和管理功的結(jié)果,并利用“力”和“功”計算方法來建立管理系統(tǒng)復(fù)雜性的計算模型。此外,他們將理論應(yīng)用到了煤炭企業(yè)中,對煤礦生產(chǎn)工藝的復(fù)雜性以及煤礦生產(chǎn)系統(tǒng)的結(jié)構(gòu)的復(fù)雜性建立了定量化計量模型[14,15]。從這些研究來看,對于企業(yè)復(fù)雜性度量主要是針對管理系統(tǒng)的復(fù)雜性,其度量方法主要是利用系統(tǒng)的熵來反映系統(tǒng)的有序程度,從而衡量管理系統(tǒng)的復(fù)雜程度。

組織結(jié)構(gòu)的復(fù)雜性是管理系統(tǒng)復(fù)雜性的一個方面,對項目復(fù)雜性的研究也指出了項目組織結(jié)構(gòu)的復(fù)雜性是項目復(fù)雜性的主要來源,所以對于項目的復(fù)雜性的計算,組織結(jié)構(gòu)復(fù)雜性是一個必要的計算量。文獻[15]建立管理系統(tǒng)組織結(jié)構(gòu)復(fù)雜性的計算方法,這種方法是針對企業(yè)的組織結(jié)構(gòu)而言,而且是就復(fù)雜性本身而言,沒有將復(fù)雜性看作是風險源。對項目而言,規(guī)模(一般以投資額度衡量)與風險是密切相關(guān)的,相同的風險值,規(guī)模大的項目的風險往往也被視為高于規(guī)模小的項目。所以我們在文獻[15]的計算方法的基礎(chǔ)上加入規(guī)模因子,即將多個項目的規(guī)模加總,然后將各個項目的規(guī)模除以總規(guī)模,就得到各個項目的規(guī)模因子,以體現(xiàn)“大投資,高風險”這一邏輯。以Wi表示利用文獻[11]計算出的項目i的組織結(jié)構(gòu)復(fù)雜性熵值,以Fi表示項目i的投資規(guī)模,則基于組織結(jié)構(gòu)復(fù)雜性的項目i的風險評估模型Ci為:

C■=W■×■(1)

2項目組織結(jié)構(gòu)復(fù)雜性風險在協(xié)作型項目組合中的擴散機制

2.1 項目組合中項目間風險的相互影響對于項目組織結(jié)構(gòu)的復(fù)雜性,每個項目都有相對獨立的組織結(jié)構(gòu),所以單從組織結(jié)構(gòu)本身而言項目的組織結(jié)構(gòu)的復(fù)雜性是沒有相互影響的。但是正如前文所述,組織結(jié)構(gòu)的復(fù)雜性的實質(zhì)是項目風險,而風險是會在項目間相互影響和傳遞的,所以由于組織結(jié)構(gòu)的復(fù)雜性帶來的風險會由于個體之間的相互影響而在組合中擴散、傳播。但組合的風險與項目個體的風險的關(guān)系是怎樣的呢,是項目個體的風險之和還是等于組合中項目風險的最大值,或者是其他的關(guān)系,這些問題都是值得進一步討論的。

項目間的影響不同,對項目組合帶來的風險也是不同的,所以要評估由于項目個體之間的相互影響而對項目組合帶來的風險,首先就需要明確項目間可能存在的影響關(guān)系。郭鵬等借鑒生物種群的相互關(guān)系對項目間的相互影響作了分類,得到了一個較為完備的分類集[16]。這個分類集將項目間的相互影響分為三類:一項目間相互合作而得以完成,項目間具有上下游關(guān)系,稱為協(xié)作型項目組合;二是項目間相互競爭相同資源、技術(shù)或者市場,稱為競爭型項目組合;三是項目間不存在共同的資源、技術(shù)或者市場,基本上沒有影響,稱為無關(guān)型項目組合。下面分別探討三類項目組合中項目個體的相互影響對項目組合整體的風險產(chǎn)生的影響。

2.1.1 協(xié)作型項目組合中項目的相互影響協(xié)作型項目組合中項目的在產(chǎn)品或者信息方面發(fā)生了直接作用,也就是一個項目的產(chǎn)品或信息是以其下游項目的產(chǎn)品和信息為基礎(chǔ),上游項目的產(chǎn)品數(shù)據(jù)、成本以及工期等方面都會直接影響下游項目的產(chǎn)品轉(zhuǎn)換過程,因此,我們不能認為項目之間由復(fù)雜性帶來的風險是相互獨立的。從實際的角度考慮,如果項目的產(chǎn)品數(shù)據(jù)與下游項目的需要有一定但合乎規(guī)定的差距,下游項目將上游項目的產(chǎn)品作為輸入的話,那么下游項目所受到的影響不會是上游項目產(chǎn)品數(shù)據(jù)本身的差距,而可能比這個差距更大,這樣就可能造成下游項目產(chǎn)品合格但上游項目以此為輸入的產(chǎn)品卻不合格。當然如果兩個項目之間具有較好的協(xié)調(diào)性的話,比如相互之間訂立了一致的標準,相互建立了良好的對話機制,那么這種差距也會由于良好的協(xié)調(diào)性而被消除。由此我們認為,協(xié)作型項目組合的復(fù)雜性及其風險來源于兩個方面:一是項目個體本身的復(fù)雜性;二是項目之間的協(xié)調(diào)性。項目個體的復(fù)雜性越大,那么會造成項目組合的復(fù)雜性越大;二項目之間的協(xié)調(diào)性越好,項目個體的復(fù)雜性也可能被抵消而使項目組合的復(fù)雜性降低。

2.1.2 競爭型項目組合中項目的相互影響競爭性項目之間的主要影響來自于對資源和市場的爭奪,也就是對項目資源的輸入和項目產(chǎn)品的輸出的競爭,而在項目內(nèi)部轉(zhuǎn)化過程,即把項目資源轉(zhuǎn)換為項目產(chǎn)品的過程中是沒有相互影響。前文已說明,項目組合中項目個體的組織結(jié)構(gòu)的復(fù)雜性是項目個體的外部特征,并不會直接在項目之間相互作用的,而是通過由此形成帶來的風險而相互影響。這種風險帶來的后果可能是產(chǎn)品數(shù)據(jù)的混亂,成本的增加,工期的延長,因此,風險的后果主要是在內(nèi)部轉(zhuǎn)換過程中形成的并影響內(nèi)部轉(zhuǎn)換過程。而從管理角度來講,項目組合中項目的管理是相對獨立的,只有當各項目在內(nèi)部轉(zhuǎn)換過程中存在相互影響時,項目的風險才會傳遞和擴散。競爭性項目組合的項目個體產(chǎn)品之間并沒有相互連接,也就是說一個項目的產(chǎn)品轉(zhuǎn)換過程與另一個項目沒有直接聯(lián)系,因此我們認為競爭性項目組合的項目個體的復(fù)雜性所產(chǎn)生的風險并不會在其他項目中傳遞或放大。但組合中項目的復(fù)雜性并不是沒有影響的,項目組合中的每個項目的收益和風險都對整個項目組合的收益和風險產(chǎn)生貢獻,而在競爭性項目組合中,項目之間在產(chǎn)品生產(chǎn)過程中沒有上下游的關(guān)系,那么規(guī)模越大,收益越大的項目的收益的確保,風險的控制對于整個項目組合的收益和風險越重要。所以我們認為競爭性項目組合的復(fù)雜性主要取決于項目的規(guī)模,也就是說,識別項目組合中規(guī)模最大的項目的復(fù)雜性并采取措施降低其復(fù)雜性是控制項目組合整體復(fù)雜性的關(guān)鍵。

2.1.3 無關(guān)型項目組合中項目的相互影響由于無關(guān)型項目組合中項目之間在產(chǎn)品生產(chǎn)過程中也沒有直接的關(guān)系,所以無關(guān)型項目組合的復(fù)雜性也類似于競爭型項目組合的復(fù)雜性。

2.2 基于Logistic映射的項目組織結(jié)構(gòu)復(fù)雜性在協(xié)作型項目組合中的擴散機制協(xié)作型項目組合包含了具有上下游關(guān)系的多個項目,每一個項目既是下游項目的客戶,也是上游項目的服務(wù)者,互為因果關(guān)系,因此風險會在項目之間傳遞甚至擴散。由于項目在產(chǎn)品、信息方面的相互傳遞,每個項目的產(chǎn)品都會被其下游產(chǎn)品的所影響并影響其上游產(chǎn)品,所以一個項目的復(fù)雜性小的改善或者惡化通過在組合中的傳遞可能會引起整個組合的復(fù)雜性的改善或者惡化,項目組合的輸出對輸入敏感,會產(chǎn)生蝴蝶效應(yīng)。作為社會經(jīng)濟子系統(tǒng),項目及其組合是開放的,項目的運行要與外界(包括項目組合的其他項目)進行物質(zhì)和信息的交換,同時環(huán)境的變化所帶來的經(jīng)營機遇、經(jīng)營目標和核心資源的變化也會給項目及項目組合產(chǎn)生不確定性,由于市場是不可逆的,所以項目變化也是不可逆的。由此可以看出,合作型項目組合具有多要素、多層次、不確定等特征,其復(fù)雜性必然會對項目及項目組合的實施產(chǎn)生深刻影響。

任佩瑜等[17]提出管理耗散和管理耗散結(jié)構(gòu)的概念,并給出了管理耗散結(jié)構(gòu)的前提條件。從這些前提條件來看,協(xié)作型項目組合是典型的管理耗散結(jié)構(gòu),耗散是與“開放”相對應(yīng)的,開放系統(tǒng)之所以更為復(fù)雜,原因在于它既要考慮系統(tǒng)內(nèi)部,又要考慮系統(tǒng)外部,因而這類系統(tǒng)中產(chǎn)生混沌往往更為容易。Logistic映射是一維非線性映射,這種映射在研究耗散結(jié)構(gòu)中的傳遞和擴散作用具有普遍而且廣泛的適應(yīng)性。因此,本文采用Logistic映射描述協(xié)作型項目組合中項目個體由于組織結(jié)構(gòu)的復(fù)雜性而產(chǎn)生的風險在其下游項目中的擴散作用,進而提出合作型項目組合的動態(tài)風險模型。

系統(tǒng)演化是驅(qū)動力與耗散力相互競爭的結(jié)果[18],所以影響項目組合組織結(jié)構(gòu)復(fù)雜性的的不僅僅是各項目內(nèi)部復(fù)雜性,項目之間的協(xié)調(diào)性也是形成整個組合復(fù)雜性的關(guān)鍵因素,每個項目的復(fù)雜性也不僅取決于其內(nèi)部的復(fù)雜性還要受到上游項目的復(fù)雜性的影響。因此我們認為在合作型項目組合中,復(fù)雜性是按照信息、產(chǎn)品在各項目中的傳遞流程擴散的。

設(shè)協(xié)作型項目組合中有n個項目在產(chǎn)品或者信息存在相互傳遞,產(chǎn)品或信息順序通過n個項目。第i個項目的組織結(jié)構(gòu)的復(fù)雜度為ei,總復(fù)雜度為En,由Logistic映射:

xn+1=uxn(1-xn)(xn∈(0,1),u∈(0,4),n=1,2,3……)(2)

可得項目i的復(fù)雜性在第i+1個成員中的擴散量為:

di=uiEi(1-Ei)(3)

第i+1成員的復(fù)雜性為:

Ei+1=ei+1+di=ei+1+uiEi(1-Ei)(4)

由于項目個體的復(fù)雜性是逐級擴散的,所以協(xié)作型項目組合中項目組織結(jié)構(gòu)復(fù)雜性風險的擴散為:

En=en+dn-1=en+un-1En-1(1-En-1) (n=2,3,4……)

E1=e1(5)

對(5)有:

①ei(i=1,2,3,……n)是大于零的實數(shù)并且可以利用文獻本文第2節(jié)的方法計算。

②本文的主要目的是探討項目的組織結(jié)構(gòu)復(fù)雜性潛在的風險在項目組合的傳遞和擴散作用,因此只考慮組合中項目產(chǎn)品或者信息的傳遞過程順序的上下游項目的復(fù)雜性之間的關(guān)系,處于同一層次的項目之間的復(fù)雜性的計算由于沒有直接的相互影響,所以可以通過加和方式來完成,在此不做詳細論述。

③u是一個具有現(xiàn)實意義的重要的參數(shù),其含義和計算方法在下文中詳細討論。

u是描述上游項目組織結(jié)構(gòu)的復(fù)雜性在下游項目中的擴散的參數(shù)。而這種擴散的存在是由于合作所產(chǎn)生的。項目組合中的項目個體是為了實現(xiàn)共同的目標和利益而進行合作,項目之間的關(guān)系是否協(xié)調(diào)對項目組合有著重要的意義。如果項目之間合作不協(xié)調(diào),即使每個成員的復(fù)雜度都很低也可能提高項目組合整體的復(fù)雜度;相反,如果成員之間協(xié)調(diào)性好,那么項目內(nèi)部的復(fù)雜度會在成員之間良好的協(xié)調(diào)中得以抵消。協(xié)調(diào)度是指系統(tǒng)之間或系統(tǒng)要素之間在發(fā)展過程中和諧一致的程度,描述了系統(tǒng)內(nèi)部各要素或子系統(tǒng)間協(xié)調(diào)狀況的好壞,體現(xiàn)系統(tǒng)由無序走向有序的趨勢。從協(xié)同論的觀點來看,系統(tǒng)走向有序的機理不在于系統(tǒng)現(xiàn)狀的平衡或不平衡,也不在于系統(tǒng)距平衡態(tài)有多遠,關(guān)鍵在于系統(tǒng)內(nèi)部各子系統(tǒng)間相互關(guān)聯(lián)的“相互作用”,它左右著系統(tǒng)相變特征和規(guī)律,協(xié)調(diào)度正是這種系統(tǒng)作用的量度。所以此處將u定義為項目組合內(nèi)相互作用的項目間的協(xié)調(diào)度。

相互作用的成員構(gòu)成了一個二元系統(tǒng)。二元系統(tǒng)協(xié)調(diào)度的計算是通過兩者之間的輸入、輸出關(guān)系來界定的。如果成員A的輸出是成員B的輸入,則AB之間的協(xié)調(diào)度[11]為:

協(xié)調(diào)度=(6)

為避免協(xié)調(diào)度為無窮,規(guī)定二元系統(tǒng)的協(xié)調(diào)度在(0,1)內(nèi)取值,即令當(6)中的分母為零時協(xié)調(diào)度為1,分母最大時為零。式(6)是一個概念性的公式,具體的計算方法可文獻[19]。

從(4)看出,影響項目組合的復(fù)雜度En的因素包括ei和ui。由于實際中的項目的復(fù)雜度可能出現(xiàn)[0,1]內(nèi)的任意值,所以討論每個項目復(fù)雜度與En之間的關(guān)系是沒有意義的,而探討ei之間和ui之間的差異對En的影響則能對實際中項目組合的構(gòu)建和復(fù)雜度的降低提供參考;另一方面,在處于項目組合的最下游成員對其下游項目的影響,其復(fù)雜度會在組合中的所有項目中傳播并影響En,因此探討最下游項目的復(fù)雜度大小與En的關(guān)系是有必要的。

2.3 仿真以包含10個項目的協(xié)作型項目組合為例

以向量:c1=[0.2,0.21,0.21,0.19,0.2,0.195,0.21,0.21,0.21]表示ui的差異較小,極差不超過0.01

以向量:c2=[0.1,0.002,0.9,0.8,0.03,0.5,0.001, 0.05,0.73]表示ui的差異較大,而且沒有任何分布規(guī)律。

當ei差異較小,極差不超過0.02時時分兩種情況:

(1)e1較大,以e1=0.7為例。以向量:v1=[0.7,0.71,0.72,0.715,

0.71,0.72,0.716,0.72,0.71,0.7]表示e;

(2) e1較小,以e1=0.002為例。以向量v2=[0.002,0.002,0.018,

0.0019,0.0021,0.0022,0.0018,0.0019,0.0017,0.0018]表示e。

當ei差異較大時同樣分上述兩種情況:

(1)e1較大,以向量v3=[0.7,0.001,0.03,0.051,0.15,0.08,0.007,

0.045,0.015,0.15]表示e

(2)e1較小,以向量v4=[0.002,0.001,0.03,0.051,0.15,0.08,

0.007,0.045,0.015,0.15]表示e

對上述的u、v兩兩組合,進行模擬得到表1的結(jié)果。

從表1可以得出:1)在各種組合下,協(xié)作型項目組合的風險普遍比組合內(nèi)各項目的風險大。2)從組合(1)、(5)得出:如果協(xié)作型項目組合內(nèi)每個項目的風險較大時,那么無論項目之間的協(xié)調(diào)度好壞與否,都會使項目組合的風險增大;3)從組合(3)、(4)、(7)、(8)得出:在各項目之間的協(xié)調(diào)度相同的情況下,協(xié)作型項目組合風險的演化會趨于定值,e1的大小對En沒有影響;而在ei相同時,組合內(nèi)各項目之間的協(xié)調(diào)度不一致時的En(0.3184)較成員的協(xié)調(diào)度一致時的En(0.1552)大。4)在所有的組合中,組合(2)即當項目內(nèi)部風險較小,項目之間的協(xié)調(diào)性較好時項目組合的En最小;

此外,在仿真中還發(fā)現(xiàn),改變前6個ei或者ui時,協(xié)作型項目組合的En均趨于定值,而以相同幅度改變第6個以后的某個ei或者ui時,組合的En都會發(fā)生變化而且變化的幅度愈來愈大。

ei是各項目的內(nèi)部行為,作為協(xié)作型項目組合而言是無法控制的。而ui則是項目組合整體行為,是投資主體能夠采取措施降低的。因此對整個項目組合而言ui是一個重要因子。在項目組合的風險最小的組合(2)中固定e,變化ui,測試En得到表2的結(jié)果。

從表2可以看出,當ui在區(qū)間(0,3.0)內(nèi)取值時,En隨ui增大而增大;當ui大于3.0時,En的變化不再具有規(guī)律性甚至出現(xiàn)負數(shù)。

由此可見協(xié)作型項目由于成員項目個體的復(fù)雜性在組合內(nèi)部擴散使得項目組合的風險具有動態(tài)性,從而使得組合較單個項目更為復(fù)雜。

從仿真結(jié)果得知,要降低協(xié)作型項目組合整體的風險,需要降低各個項目的風險和提高項目之間的協(xié)調(diào)度,并且項目之間的協(xié)調(diào)度要一致。

對于項目個體的風險,項目組合雖然是一個投資主體,但各個項目的運行和管理是相對獨立的,投資主體不會對各項目的風險直接控制,因此可以在構(gòu)建項目組合時對各項目設(shè)計相近而且復(fù)雜性較小的組織結(jié)構(gòu)。對于成員之間的協(xié)調(diào)度則是投資主體可以采取措施控制的。從協(xié)同論的觀點來看,系統(tǒng)整體要得以存在和保持,就不能讓其中的各個組成部分獨立地各行其是,而要求它們相互配合,協(xié)同工作。一個好的系統(tǒng)必須包容和代表各個成員的利益,為他們提供所需要的東西和“保護”。而對于成員來說,只要還“生活”在這個系統(tǒng)之中,要得到系統(tǒng)的“保護”和其他成員的支持,就必須服從系統(tǒng)給與的約束,接受其他成員的作用。所以,要降低協(xié)作型項目組合的復(fù)雜度,則應(yīng)當:

(1)首先就要為項目組合制定共同認可和遵守的“公約”,如果有誰違反就要受到相應(yīng)的懲罰,這樣使項目組合中的各項目的行動方向趨向一致,避免由于各項目之間的協(xié)調(diào)度不一致導(dǎo)致項目組合風險加大。

(2)各項目為實現(xiàn)投資主體的利益最大的目標而組合,項目之間并不是簡單的供求關(guān)系而是利益共同體,相互間的信任、共同的信念是項目組合得以維系的根本。所以作為項目組合的投資主體應(yīng)著力建設(shè)企業(yè)文化并使這些文化能在項目的實施過程中起到團結(jié)協(xié)調(diào)的作用。

(3)合作型項目組合中各項目之間會產(chǎn)生信息、物質(zhì)甚至人員的交換和流動,因此如果各項目在地理上是分散的,那么就須要建立低成本,快速的物流系統(tǒng),高效實用的物流方案,降低成本,提高效率。

(4)充分利用通訊和計算機技術(shù)建立通暢的信息交流平臺,并將各項目的信息歸結(jié)到投資主體所能掌握的一個平臺上,這樣就有利于各項目的信息交流的通暢,避免由于信息表達形式的不同而引起誤解,同時也有利于主體及時了解各項目的運行情況。這也是目前企業(yè)中做得較多的信息化工作。

3結(jié)論

項目風險不僅僅包括技術(shù)、市場等外部影響因素,項目內(nèi)部的運行效率是項目達到預(yù)期目的的決定性因素,因此對于來自不能忽略項目內(nèi)部的風險。項目的組織結(jié)構(gòu)的復(fù)雜性雖然是項目自身的一種外在表現(xiàn),但這種外在表現(xiàn)會對項目的運行效率產(chǎn)生影響,因此將項目組織結(jié)構(gòu)的復(fù)雜性作為項目的一個風險是有必要的,同時以組織結(jié)構(gòu)的復(fù)雜性作為這種風險的度量方法也能使風險評估定量化。對于項目組合而言,項目間的相互影響不同,項目組合的風險也就不同,尤其是對協(xié)作型項目組合而言,組合中的項目個體的組織結(jié)構(gòu)復(fù)雜性風險會在組合中傳遞、擴撒,項目組合具有耗散系統(tǒng)的性質(zhì),所以用Logistic映射反應(yīng)協(xié)作型項目組合中項目組織結(jié)構(gòu)復(fù)雜性風險的擴散機制是適當?shù)?當然這種定量刻畫是否精確還有待進一步研究。

參考文獻:

[1]A.Fiordaliso, P.KunschA Decision Supported System Based On the Combination of Fuzzy Experts Estimates to Finacial Risk in High-level Radioactive Waste Projects[J] Progress in Nuclear EnergyVol.46, No.3-4,pp.374-387,2005.

[2]V.Carr, J.H.M.Tah A Fuzzy Approach to Construction Project Risk Assessment and Analysis:Construction Project System[J] Advance in Engineering Software 32 (2001):847-857.

[3]Ibrahim.A.Motawa, Chimay.J.Anumba,Ashraf.El-HamalawiA Fuzzy System for Evaluating the Risk of Changes in Construction Projects [J] Advance in Engineering Software 2006 (37):583-591.

[4]Wendy.L.CurreA Knowledge-based Risk Assessment Framework for Evaluating Web-enabled Application Outsource Projects[J] International Project Management 2003 (21):207-217.

[5]P.N.Sharrat, P.M.ChoongA Life-cycle Framework to Analyse Business Risk in Process Indurstry Projects[J] Journal of Clearner Production 2002 (10):479-493.

[6]Wen-Ming Han,Sun-Jen HuangAn Empirical Analysis of Risk Components and Performance on Software Projects[J] Journal of Systems and Software 2007 (80):42-50.

[7]Mohan.V.Tatikonda, Stephen.R.RosenthalTechnology Novelty,Project Complexity,and Product Development Project Execusion Success:A Deeper Look at Task Uncertainty in Product Inovation[J] IEEE Transactions on Engineering Management Vol.47, No.1, pp.74-87.

[8]Rajesh Kumar, U.Srinivasa Rangan, Carlos RufinNegotiating Complexity and Legitimacy in Independent Power Project Development[J] Journal of World Business, 2005 (40):302-320.

9]蔣國萍,陳英武.基于證據(jù)推理的軟件項目復(fù)雜性評估[J] .計算機工程與應(yīng)用 2005(2):4-7.

[10]Willams.T.MThe Need for New Paradigms for Complex Project[J] International Journal of Project Management 17(1999):269-273.

[11]劉亞旭,汪應(yīng)洛.具有不對稱性風險交互效應(yīng)的R&D項目組合選擇方法[J].系統(tǒng)工程,2007,25(2):18-21.

[12],盛華毅,現(xiàn)代系統(tǒng)科學學[M].上海:上海科學技術(shù)文獻出版社,2005.

[13]宋華嶺,劉全順,劉麗娟等.管理熵理論-企業(yè)組織管理系統(tǒng)復(fù)雜性評價的新尺度[J].管理科學學報,2003,6(3):19-27.

[14]宋華嶺,李金克,于紅等 薄煤層煤礦生產(chǎn)車間特殊開采生產(chǎn)技術(shù)的復(fù)雜性評價[J].中國管理科學,2007,15(1):80-87.

[15]宋華嶺,金智新,白希軍等.礦井生產(chǎn)系統(tǒng)結(jié)構(gòu)復(fù)雜性評價[J].煤炭學報,2005,30(3):403-408.

[16]郭鵬,曹朝喜,楊婭芳 基于種群生態(tài)學的競爭項目組合風險決策模型[J].工業(yè)工程,2006,9(6):70-75.

[17]任佩瑜,張莉,.基于復(fù)雜性科學的管理熵、管理耗散結(jié)構(gòu)理論及其在企業(yè)組織與決策中的作用[J].管理世界,2001,(6):142-147.

篇7

【關(guān)鍵詞】 大數(shù)據(jù)審計； 物聯(lián)網(wǎng)； 云計算

物聯(lián)網(wǎng)建設(shè)的本質(zhì)不是“互聯(lián)互通”，而是遠程智能控制，而能夠溝通感知層、網(wǎng)絡(luò)層與應(yīng)用層，實現(xiàn)遠程智能控制的只有大數(shù)據(jù)。因此，確保大數(shù)據(jù)的真實、可信與安全便成為物聯(lián)網(wǎng)建設(shè)的核心任務(wù)。大數(shù)據(jù)審計是實現(xiàn)這個任務(wù)的重要工作之一。基于這個背景，本文介紹了大數(shù)據(jù)審計的目標、審計的依據(jù)、審計內(nèi)容、企業(yè)三層審計制度等內(nèi)容。

一、大數(shù)據(jù)風險暴露：物聯(lián)網(wǎng)建設(shè)數(shù)據(jù)風險規(guī)避的需要

物聯(lián)網(wǎng)的發(fā)展使企業(yè)從“小數(shù)據(jù)時代”進入“大數(shù)據(jù)時代”，而這些巨量的非結(jié)構(gòu)化為主的大數(shù)據(jù)的處理只有云計算技術(shù)（或平臺）才能夠?qū)崿F(xiàn)。因此，當業(yè)務(wù)和數(shù)據(jù)從傳統(tǒng)的信息系統(tǒng)環(huán)境轉(zhuǎn)移到“云”上后，數(shù)據(jù)與業(yè)務(wù)的安全、操作合規(guī)、業(yè)務(wù)持續(xù)、數(shù)據(jù)真實、安全、可信等是企業(yè)信息化考慮過程中除了效率和成本之外的核心問題。雖然云服務(wù)提供商會考慮如何為用戶提供安全、可信的云計算解決方案，但用戶必須考慮如何確保自己的信息資源的可信與可控。大數(shù)據(jù)風險不僅具有傳統(tǒng)網(wǎng)絡(luò)環(huán)境下的風險，還具有云環(huán)境下的風險。

（一）傳統(tǒng)網(wǎng)絡(luò)環(huán)境下的大數(shù)據(jù)風險

1.大數(shù)據(jù)暴露在“第三只眼”的風險

由于網(wǎng)絡(luò)的虛擬化、無邊界、流動性等特征，數(shù)據(jù)及其系統(tǒng)面臨較多的安全問題。黑客的入侵、惡意代碼的攻擊、拒絕服務(wù)攻擊、網(wǎng)絡(luò)釣魚或敏感信息外泄等，如：網(wǎng)絡(luò)中的病毒、木馬、惡意軟件對公司數(shù)據(jù)或系統(tǒng)的監(jiān)測、攻擊，導(dǎo)致公司的數(shù)據(jù)或系統(tǒng)不能夠正常運轉(zhuǎn)與應(yīng)用；數(shù)據(jù)在網(wǎng)絡(luò)、服務(wù)器、存儲、平臺到應(yīng)用的過程經(jīng)常遭到泄露和被第三方竊取的問題，特別是公司內(nèi)部員工惡意利用實體的方式，接觸備份敏感數(shù)據(jù)，或是利用在系統(tǒng)上的權(quán)限，存取第三數(shù)據(jù)，竊聽重要會議機密，獲取商業(yè)機密；系統(tǒng)內(nèi)部自然、人為因素導(dǎo)致數(shù)據(jù)或系統(tǒng)不能夠正常運作；由于火災(zāi)、地震等自然因素，或硬件與軟件運行過程的正常與不正常因素，導(dǎo)致數(shù)據(jù)或系統(tǒng)不能夠正常運作。

2.數(shù)據(jù)質(zhì)量問題導(dǎo)致數(shù)據(jù)的誤用

“與有形產(chǎn)品不同，垃圾的數(shù)據(jù)只能產(chǎn)生垃圾的信息?！庇捎谠诖髷?shù)據(jù)過程中經(jīng)常出現(xiàn)數(shù)據(jù)不準確、不完整、不及時等數(shù)據(jù)質(zhì)量的問題，因此，在數(shù)據(jù)分析處理的過程中必須確保大數(shù)據(jù)的質(zhì)量。

3.數(shù)據(jù)被人為操縱的風險

數(shù)據(jù)分析的目的是解決企業(yè)業(yè)務(wù)問題、提升業(yè)務(wù)決策。由于業(yè)務(wù)的理解因人而異，業(yè)務(wù)決策的目標也因人而異。數(shù)據(jù)分析所應(yīng)用的數(shù)據(jù)和模型不同，分析的結(jié)果也將會不同。也就是說，數(shù)據(jù)分析如果不能夠客觀，將會產(chǎn)生被人為操縱的風險。因此，企業(yè)必須通過審計杜絕那種自私的操縱統(tǒng)計數(shù)據(jù)的做法，并增強注重客觀性的企業(yè)文化。

（二）大數(shù)據(jù)暴露于云計算平臺下的風險

1.大數(shù)據(jù)暴露于服務(wù)供應(yīng)商的風險

在物聯(lián)網(wǎng)、云計算環(huán)境下，企業(yè)的數(shù)據(jù)置于企業(yè)邊界之外的公共共享網(wǎng)絡(luò)上，并且數(shù)據(jù)的所有權(quán)、管理權(quán)及使用權(quán)發(fā)生了分離——企業(yè)用戶失去了對數(shù)據(jù)資源的直接控制，直接面臨著用戶與服務(wù)提供商的安全 問題。

2.數(shù)據(jù)暴露于共享平臺上租戶的風險

在物聯(lián)網(wǎng)、云計算環(huán)境下，企業(yè)數(shù)據(jù)經(jīng)常處在與其他客戶共享的情況中，許多數(shù)據(jù)加密也未能防止數(shù)據(jù)泄露，且必須進行資源隔離，特別是對數(shù)據(jù)休眠期間的安全隔離。由于企業(yè)數(shù)據(jù)的信任邊界審計，許多數(shù)據(jù)虛擬化技術(shù)未能確知托管于什么地方，這些動態(tài)變化的信任邊界要求邏輯層的訪問控制和授權(quán)管理得到審計與信任。

3.數(shù)據(jù)暴露于企業(yè)業(yè)務(wù)變化的風險

企業(yè)數(shù)據(jù)會由于企業(yè)需求變化、投資變化、監(jiān)管策略變化從一個云平臺遷移到另外一個云平臺，數(shù)據(jù)兼容性和互操作性、各個平臺的統(tǒng)一合規(guī)標準等需要審計，確保數(shù)據(jù)的安全、可靠與可信。

二、大數(shù)據(jù)審計：物聯(lián)網(wǎng)建設(shè)的制度保證

企業(yè)傳統(tǒng)信息化系統(tǒng)存在于企業(yè)內(nèi)部，是相對封閉的信息系統(tǒng)，只有少量的Web應(yīng)用、郵件系統(tǒng)等需要的業(yè)務(wù)系統(tǒng)暴露在外，企業(yè)只需要在出口部署安全設(shè)備、設(shè)置高顆粒度安全訪問控制策略、內(nèi)部規(guī)范管理、提供操作性較強的安全防護措施就能夠確保企業(yè)的信息安全問題。然而，在物聯(lián)網(wǎng)、云計算時代，企業(yè)數(shù)據(jù)從業(yè)務(wù)分布處理向可快速分發(fā)、快速遷移的計算資源整合，對網(wǎng)絡(luò)安全方案提出更高的要求，包括高性能要求、性能彈性擴展、全面的可靠性保障、虛擬化和可視化要求、立體式的安全防護等。

因此，物聯(lián)網(wǎng)和云計算的技術(shù)特征和商業(yè)模式?jīng)Q定了用戶在使用云計算服務(wù)時，難以控制數(shù)據(jù)和業(yè)務(wù)的風險，必然導(dǎo)致對數(shù)據(jù)安全、隱私保護、合規(guī)水平等問題的擔憂。因此，更合理的方式應(yīng)該基于持續(xù)性專業(yè)監(jiān)控和專業(yè)分析，對云計算應(yīng)用作出客觀、公正、綜合的評價。大數(shù)據(jù)審計正是扮演這樣一個角色。

大數(shù)據(jù)審計是傳統(tǒng)信息審計的發(fā)展，它仍然是“收集并評估證據(jù)以決定一個計算機系統(tǒng)是否有效做到保護資產(chǎn)、維護數(shù)據(jù)完整、完成目標，同時最經(jīng)濟地使用資源。”隨著物聯(lián)網(wǎng)的建設(shè)，大數(shù)據(jù)大審計是企業(yè)內(nèi)部控制、信息系統(tǒng)治理、安全風險控制等不可或缺的關(guān)鍵手段。

大數(shù)據(jù)審計定位為物聯(lián)網(wǎng)建設(shè)中大數(shù)據(jù)風險的綜合治理，它保持獨立性，以第三方客觀的立場對物聯(lián)網(wǎng)建設(shè)中大數(shù)據(jù)進行檢查和評價，不僅保護建立在“云”上物聯(lián)網(wǎng)業(yè)務(wù)和“云”中大數(shù)據(jù)安全，而且對大數(shù)據(jù)處理過程中的效果、效率、可靠以及合規(guī)等風險隱患提出審計意見。

三、大數(shù)據(jù)審計的標準規(guī)范

與會計審計遵循《審計準則》一樣，大數(shù)據(jù)審計需要有一套共同遵循的審計規(guī)范。物聯(lián)網(wǎng)、云計算快速發(fā)展帶來大數(shù)據(jù)審計的需要，各國政府、協(xié)會或民間組織也積極關(guān)注并推行大數(shù)據(jù)審計的規(guī)范。一般說來，大數(shù)據(jù)審計主要存在于信息審計或云計算的審計規(guī)范之中，當前國外主要信息審計的相關(guān)標準如下：

信息系統(tǒng)審計與控制基金會在1996年制定的IT治理模型（COBIT），是國際公認的、權(quán)威的安全與信息技術(shù)管理和控制的標準，也是國際上通用的信息系統(tǒng)審計的標準之一。它的宗旨是跨越業(yè)務(wù)和IT控制之間的鴻溝，建立一個面向業(yè)務(wù)目標的IT控制框架。特別是最新的COBIT5.0版本中，被稱為“一個治理和管理企業(yè)IT的業(yè)務(wù)框架”。它是IT技術(shù)人員、用戶、企業(yè)管理人員和IT審計師之間的橋梁。

美國國家標準與技術(shù)學院（NIST）不僅了被廣泛引用的《云計算定義》，還了《聯(lián)邦信息系統(tǒng)和機構(gòu)的信息安全持續(xù)監(jiān)測》（ISCM）報告，通過持續(xù)監(jiān)測，保持其對信息安全、漏洞和威脅的警覺。

美國云安全聯(lián)盟CSA在2009年12月了《云安全指南》。它涵蓋了“云計算重點13個區(qū)域的安全指導(dǎo)”，從云用戶角度闡述了可能存在的商業(yè)隱患、安全威脅以及推薦采取的安全措施。

ISACA是國際信息系統(tǒng)審計協(xié)會在2010年推出的云計算管理審計、保證程序（Cloud Computing Management Audit/Assurance Program），規(guī)定審計過程中使用的工具、模板以及流程。同時，ISACA還在程序中規(guī)定了審計過程中應(yīng)該關(guān)注的審查點以及遵循的標準，從而保證審計師能夠完整、真實地記錄有關(guān)數(shù)據(jù)。主要關(guān)注云計算治理的影響、服務(wù)供應(yīng)商以及客戶之間的合同履約、云計算控制的具體問題等。如數(shù)據(jù)審計的審計目標是：為云計算服務(wù)提供商的客戶提供對服務(wù)提供商內(nèi)部控制的有效性和安全性評估；識別客戶組織其他與服務(wù)提供商的接口是否存在內(nèi)部控制缺陷；評估客戶的質(zhì)量和能力情況與服務(wù)提供商的內(nèi)部控制項相關(guān)的證明。

其他的信息審計標準還有歐洲網(wǎng)絡(luò)與信息安全局的《云計算風險評估方法論》、ISO27001等等。

在我國，由于物聯(lián)網(wǎng)與云計算等信息化發(fā)展相對落后，至今尚未有大數(shù)據(jù)審計的標準，可以參考的主要有2008年五部委共同頒布的《企業(yè)內(nèi)部控制規(guī)范》和2009年銀監(jiān)會頒布的《商業(yè)企業(yè)信息科技風險管理指引》。

四、大數(shù)據(jù)審計的框架體系

大數(shù)據(jù)審計與會計審計一樣，也包括制定審計目標、確定風險領(lǐng)域、制定審計計劃、設(shè)計審計程序、執(zhí)行審計計劃以及出具審計結(jié)果和管理建議。由于篇幅的限制，本文提出的大數(shù)據(jù)審計框架體系是由大審計目標維、審計制度維、控制對象維等構(gòu)成的三維立體體系。具體如圖1。在下文中主要介紹大數(shù)據(jù)審計的目標、審計制度維、審計對象維等具體的內(nèi)容。

（一）大數(shù)據(jù)審計的目標：大數(shù)據(jù)審計的目標維

1.對大數(shù)據(jù)的安全性發(fā)表意見

物聯(lián)網(wǎng)及云計算的運用下，網(wǎng)絡(luò)的虛擬化、無邊界、流動性等特征，數(shù)據(jù)及其系統(tǒng)面臨較多的安全問題。例如：商業(yè)機密被第三方所利用、商業(yè)機密或個人隱私的數(shù)據(jù)被公司內(nèi)部別有用心地“惡意”利用、自然災(zāi)害等意外情況的發(fā)生等。因此，大數(shù)據(jù)安全是大數(shù)據(jù)可靠、有效使用的前提。為了有效保護系統(tǒng)和數(shù)據(jù)安全，做好災(zāi)害預(yù)警等，數(shù)據(jù)審計對于數(shù)據(jù)安全和物聯(lián)網(wǎng)的建設(shè)有著至關(guān)重要的意義。因此，大數(shù)據(jù)審計首推對大數(shù)據(jù)的安全性發(fā)表意見。它不僅要對提供大數(shù)據(jù)服務(wù)供應(yīng)商的安全可信性發(fā)表意見，同時也包括對服務(wù)提供商本身的可信性發(fā)表意見，對企業(yè)內(nèi)部的大數(shù)據(jù)收集、處理等過程的數(shù)據(jù)安全性發(fā)表意見。

2.對大數(shù)據(jù)來源和數(shù)據(jù)質(zhì)量的可靠性發(fā)表意見

大數(shù)據(jù)獲取過程中對數(shù)據(jù)的處理，是為后續(xù)流程提供高質(zhì)量數(shù)據(jù)的基礎(chǔ)，因此，如何獲取數(shù)據(jù)以及對數(shù)據(jù)如何處理，對后續(xù)高效高質(zhì)量的數(shù)據(jù)分析起著至關(guān)重要的作用。

大數(shù)據(jù)審計的目標是確保大數(shù)據(jù)質(zhì)量的準確性、完整性、一致性、時效性、可信性以及可解釋性。具體而言，當采集的源數(shù)據(jù)存在數(shù)值缺失、空值、冗余、錯誤、格式不一致、含義不清等問題時，審計人員應(yīng)當進行數(shù)據(jù)整理、加工，剔除錯誤或偏離期望的值，以提高審計分析的準確性和效率；保證數(shù)據(jù)不缺屬性，確保數(shù)據(jù)完整性；使數(shù)據(jù)之間不存在差異，相互可內(nèi)洽，達到數(shù)據(jù)的一致性；數(shù)據(jù)的“新鮮感”——及時送達數(shù)據(jù)確保數(shù)據(jù)的時效性；在整個數(shù)據(jù)整合過程中，統(tǒng)計出有多少數(shù)據(jù)是用戶依賴的，以測數(shù)據(jù)的可信性；最后，也是最重要的，是保證數(shù)據(jù)容易被理解，以達到其可解釋性。

3.對大數(shù)據(jù)分析的有效性發(fā)表意見

通過數(shù)據(jù)產(chǎn)生、數(shù)據(jù)獲取、數(shù)據(jù)存儲、數(shù)據(jù)分析、數(shù)據(jù)可視化，最后到達數(shù)據(jù)結(jié)果，是業(yè)務(wù)部門數(shù)據(jù)操作的整套流程，也是檢驗數(shù)據(jù)是否合理、有效性的最重要一步。大數(shù)據(jù)往往被深埋在非常大型的數(shù)據(jù)庫中，且往往包含多年的歷史數(shù)據(jù)，同時數(shù)據(jù)量和搜索工作量都非常大。數(shù)據(jù)分析的有效性不僅取決于數(shù)據(jù)質(zhì)量，也取決于數(shù)據(jù)分析的合理性。數(shù)據(jù)審計必須對數(shù)據(jù)分析的合規(guī)性是否達到數(shù)據(jù)分析效果進行審計。大數(shù)據(jù)審計人員通過開展數(shù)據(jù)分析，科學高效地確定項目、編制方案、實施審計、出具報告，從而確保數(shù)據(jù)的準確性和有效性。

（二）數(shù)據(jù)分析過程：大數(shù)據(jù)審計的對象維

數(shù)據(jù)分析過程是數(shù)據(jù)審計架構(gòu)的對象，是解決大數(shù)據(jù)審計的源頭。根據(jù)大數(shù)據(jù)生命周期業(yè)務(wù)流程，大數(shù)據(jù)審計需要對如下大數(shù)據(jù)分析業(yè)務(wù)環(huán)節(jié)的數(shù)據(jù)安全性、可靠性、有效性進行審計：數(shù)據(jù)源分析、數(shù)據(jù)獲取、數(shù)據(jù)存儲、數(shù)據(jù)分析、數(shù)據(jù)共享、數(shù)據(jù)可視化等大數(shù)據(jù)分析過程。具體如圖2。

1.數(shù)據(jù)源分析

物聯(lián)網(wǎng)、云計算中的數(shù)據(jù)源頭為企業(yè)外部數(shù)據(jù)和企業(yè)內(nèi)部數(shù)據(jù)。為確保企業(yè)數(shù)據(jù)安全性、可靠性及數(shù)據(jù)分析的有效性，必須對數(shù)據(jù)源進行分析安全性等審計。如：審計數(shù)據(jù)存儲的可信度，審計數(shù)據(jù)的完整性、數(shù)據(jù)的可靠性、數(shù)據(jù)的一致性等分析；數(shù)據(jù)格式分析；數(shù)據(jù)更新方式分析等等。

2.數(shù)據(jù)獲取

數(shù)據(jù)獲取過程是指物聯(lián)網(wǎng)通過云計算平臺獲取數(shù)據(jù)的過程，主要包括數(shù)據(jù)整合、數(shù)據(jù)清洗、數(shù)據(jù)轉(zhuǎn)換、數(shù)據(jù)加載等業(yè)務(wù)過程。由于云環(huán)境下數(shù)據(jù)平臺上有多租戶的出現(xiàn)，必須明確數(shù)據(jù)的權(quán)屬。這個過程要確保數(shù)據(jù)安全、可靠，有效使用的制度主要有對數(shù)據(jù)分類并對數(shù)據(jù)進行標識、分配權(quán)限。同時，針對不同數(shù)據(jù)進行分級，制定數(shù)據(jù)加密等安全策略。

3.數(shù)據(jù)存儲

物聯(lián)網(wǎng)和云計算環(huán)境下的數(shù)據(jù)必須保證所有的數(shù)據(jù)包括所有副本和備份，存儲在合同、服務(wù)級別協(xié)議和法規(guī)允許的地理位置。建立數(shù)據(jù)訪問控制；進行數(shù)據(jù)加密，建立內(nèi)容發(fā)現(xiàn)制度，確保數(shù)據(jù)安全審計工作有效進行；要求對數(shù)據(jù)進行數(shù)據(jù)等級區(qū)分，分開存放；如果存在數(shù)據(jù)共享，應(yīng)該對訪問權(quán)限進行嚴格精細化控制，并可以實時監(jiān)控和提供審計措施。

4.數(shù)據(jù)分析

大數(shù)據(jù)分析實務(wù)中避免數(shù)據(jù)遭到任何哪怕是輕微的泄漏，以避免侵害到數(shù)據(jù)擁有者和數(shù)據(jù)相關(guān)者的利益。大數(shù)據(jù)審計要審核企業(yè)是否可以通過日志文件或基于的工具對數(shù)據(jù)分析活動進行有效監(jiān)控；企業(yè)是否制定數(shù)據(jù)安全的應(yīng)用邏輯；企業(yè)是否制定基于數(shù)據(jù)管理解決方案的對象級控制制度；企業(yè)是否進行多份、異地備份方式進行數(shù)據(jù)備份，防止數(shù)據(jù)丟失、意外的數(shù)據(jù)覆蓋和破壞，必須保證數(shù)據(jù)可用。

5.數(shù)據(jù)可視化

數(shù)據(jù)可視化是指計算機圖形學、圖像處理技術(shù)和office辦公軟件，將數(shù)據(jù)或數(shù)據(jù)分析結(jié)果轉(zhuǎn)換成圖形、圖像、表格、文件等形式，并可進行交互處理。數(shù)據(jù)可視化是為了洞察分析數(shù)據(jù)表述的問題，找出問題的答案，發(fā)現(xiàn)關(guān)系性規(guī)則，進而發(fā)現(xiàn)在其他情況下不易發(fā)覺的事情，彌補現(xiàn)有科學分析方法的不足。大數(shù)據(jù)可視化審計是審查數(shù)據(jù)可視化是否表達事情的原來面目，是否扭曲了事物實際情況；審查數(shù)據(jù)可視化是否泄露了信息，是否有利于事情的表達等。

6.數(shù)據(jù)共享

企業(yè)大數(shù)據(jù)主要通過云平臺進行數(shù)據(jù)的共享。因此，大數(shù)據(jù)審計要審查企業(yè)是否設(shè)定安全的數(shù)據(jù)共享應(yīng)用邏輯；是否制定數(shù)據(jù)分析解決方案的對象級控制制度；是否有基于數(shù)據(jù)內(nèi)容的數(shù)據(jù)保護；涵蓋如電子郵件、網(wǎng)絡(luò)傳輸、數(shù)據(jù)庫、文件和文件系統(tǒng)是否有加密解決方案。

（三）三層審計制度：大數(shù)據(jù)審計的制度維

目前審計按審計內(nèi)容可分為企業(yè)管理層面審計、流程控制審計和面向運營環(huán)境整體的三層審計。其中：企業(yè)管理層面控制審計主要關(guān)注整體的IT治理，合規(guī)、云戰(zhàn)略和規(guī)劃；流程控制審計主要關(guān)注云運營流程中內(nèi)嵌的相關(guān)安全控制，以保證數(shù)據(jù)或系統(tǒng)的完整性、準確性、有效性和訪問控制；運營環(huán)境整體控制主要關(guān)注與數(shù)據(jù)中心運營相關(guān)的管理控制，包括基礎(chǔ)設(shè)施和流程、信息安全、業(yè)務(wù)持續(xù)性管理和災(zāi)難恢復(fù)、事件響應(yīng)等方面。

本文認為，按參與審計的主體分，大數(shù)據(jù)審計制度還應(yīng)當建立業(yè)務(wù)人員自查、部門經(jīng)理審查、審計部門審查的三級審查制度，步步推進，層層把關(guān)，確保大數(shù)據(jù)的安全、可靠、有效性。各個審計主體依據(jù)大數(shù)據(jù)審計標準，對大數(shù)據(jù)業(yè)務(wù)操作流程進行審計，確保大數(shù)據(jù)的安全性、可靠性與有效性。限于篇幅，不展開 討論。