工程风险评估的核心问题汇编(三篇)

绪论：一篇引人入胜的工程风险评估的核心问题，需要建立在充分的资料搜集和文献研究之上。搜杂志网为您汇编了三篇范文，供您参考和学习。

篇1

【中图分类号】TU856 【文献标识码】A 【文章编号】1672-5158（2013）04-0096-01

随着我国现在的建筑物趋于高层化，雷击事故出现的概率成逐年上升的趋势，建筑物的高度越高，遭到电击的概率就越大，建筑物越高，雷电就会被建筑物的顶端场强所吸引，然后发生雷击事故，而且如果高层建筑物里建有大量的垫子设备也更容易遭到雷击，酿成不可挽回的事故，所以现在高层建筑的雷击风险评估方法显得尤为重要。雷电灾害的防御是政府所管理的一项重要的内容，防雷工作作为涉及社会公共安全和人民生命财产安全的一项基本保障工作，如何做好防雷减灾工作是对公共安全气象的理念的事件，是构件健康和谐社会的重要基础。

一：高层建筑物雷击风险评估的现状

由于我国对于高层建筑的雷电灾害风险的评估处于刚起步不成熟的阶段所以在这方面还存在着大量的问题。目前雷击事故的频发导致在建筑物的施工时仍把如何防雷当做重点，仍然停留在如火更好的设计防雷装置上，从而忽略了对雷击灾害的风险评估，对于由于雷击事故而引起的灾害损失没有安装良好的预警系统，是雷电灾害带来的损失逐年上升，造成损失越来越大。虽然雷电灾害不可预测以及避免，但是还是可以有效的科学降低风险。雷击风险评估是指如何衡量由于雷击损害建筑物而造成的建筑物本身可能出现的损失，首先是缺少对雷电灾害风险评估的全面的认识，而且大多数对高层建筑的雷电灾害风险评估都只停留在某一层面，评估的不够细致完整范围也不够全面。然后对雷电灾害风险评估的办法也是老套陈旧，相关的风险评估方法以及管理体制都尚在探索中还未完善，不够成熟。我国对于雷电灾害的风险评估的流程和技术标准仍不准确，有待完善，风险评估是一个集管理与高标准的技术含量为一体的，需要制定科学的有效的关于雷电风险评估的工作流程以及技术标准。现在中国对于高层建筑的雷电风险评估的技术远远落后于西方先进国家，由于我国对雷电的风险评估不重视导致使雷电灾害的风险评估技术滞后，还有进行高层建筑风险评估的方法不实用，如果想要进行全面的雷击风险评估还是有一定的困难，还有待于近一步的摸索与研讨。

二：高层建筑雷击风险评估方法与应用研究

建立完整的高层建筑雷击风险评估体系可以在最大程度上减少雷电灾害对人类的影响，更好的促进社会的安全安定的发展。

风险评估体系应该具备以下三点。首先应该建立完整的系统的关于高层建筑物雷击评估风险的模型，然后建立基本的雷击风险评估的方法，最后是实际处理雷击风险的方法。

1.建立完整正确的风险评估体系

高层建筑的雷击风险评估体系的建立是雷电灾害风险评估体系的核心问题。在设计建立有关高层建筑物的雷击风险评估体系时应该注重科学性原则，全民性原则，评价指标可量化原则和实用性原则，高层建筑物雷击风险评估体系是一个多因素的多层次的复杂体系，体系内各个组成部分纷繁复杂，彼此间又相互关联。通过对高层建筑雷击风险的各种来源的可能分析建立完整的系统的高层建筑雷击风险评估体系。

2.正确对待高层建筑物的雷击风险评估

因为高层建筑高度突出，内部的电子设备也很多人员也比较集中所以导致高层建筑物的遭受雷击后产生的损失要远远大于普通建筑物，所以对于高层建筑进行雷击风险评估要用正确的态度认识到雷电风险评估的重要性，还要使用正确的雷击风险评估方法计算雷电风险，重要的是相应的做好防范措施，安装有效的防雷装置，争取把雷电可能带来的灾害降到最低，降低雷电灾害对人类的生产以及生活还有经济等方面带来的损失以及影响。关于高层建筑如何进行雷击风险评估就是要正确认识风险，合理的预测风险，采取合理的雷电风险评估，从而有效的实施雷电预测防护措施。雷击风险的评估是为建筑设计防雷工作的工程师们提供的一个评估由于雷电引起的对人类生产生活产生影响损失的方法，为建筑物的防护做出了重要的意见。

3，正确建立雷电风险的评估体系

对于如何设计高层建筑的雷电风险评估来说主要面临的问题是，准确的预测雷电灾害发生的可能性，如果一旦不可避免发生了雷电灾害，对建筑物本身及建筑物内的电子设备可能造成的破坏和伤害有多大，对于即将面临的风险可以能够采取什么措施。在定性分析的基础上雷击风险量化处理工作是整个风险评估过程的重点，依据IEC 62305-2中所提出的雷击风险评估公式来进行计算，从雷击风险，年雷击风险次数，雷击风险损失，三方面来定量计算各种损失的风险值。雷电防护的目的就是要降低雷击风险，使其小于或等于雷击风险允许值。在对高层建筑进行雷电风险评估的时候要根据结果选择恰当的保护措施减低雷电对建筑物以及建筑物内电子设备的损害，在进行防雷风险评估工作的过程中应该做到有法可依，所以加快我国雷电风险评估的管理体系的建立，结合国际标准对我国现有的规范进行修正。雷击风险评估是防雷工作的最新领域，要求非常的高，要求的技术含量也很高，但是我国现在的雷电风险评估的技术尚处于起步的阶段，所以开展雷击风险评估的科普宣传是一项重要的举措。

结束语：对于高层建筑的雷击风险评估是防雷工程走向安全化现代化的必然趋势，高层建筑的雷击风险评估问题也变成了防雷工作的重要组成部分。开展对于高层建筑的风险评估是有效防止和减少雷电灾害带给人们生活的损害的有效手段。如何利用合理有效的评估体系是现在建筑公司急需解决的一大难点，所以现如今，高层建筑的雷电风险评估已经成了焦点并亟待解决的重要问题。如何做好雷电风险评估工作已经变成了涉及社会公共安全和人民生命财产安全的一项基本保障工作，如何做好这项工作是构件健康和谐社会的重要基础。

参考文献：

[1]：黄金铁。电子信息系统的雷击风险评估计算[J]工程设计与研究2004

[2]高文俊基于IEC 62305雷击风险评估计算方法[J]建筑电气，2008

篇2

一、施工企业财务风险管理的内容及意义

施工企业财务风险管理包括财务风险的识别、测量与评估和风险的控制。识别主要是对企业可能遇到的风险进行系统分类，在分析的基础上准确判断各类风险引发的财务风险程度。测量与评估则是通过科学的方法将风险量化处理，对各财务风险因素数据准确分析与评估。风险控制是对施工企业生产、经营等各环节实施监督和控制，达到防范和化解财务风险的目的。加强财务风险管理，一是使企业密切关注可能引发财务风险的事项，提前做好防范措施，尽可能减少各种不利因素造成的财务风险。二是通过提前筹集快到期债务资金、有效利用分散的闲置资金等方式，使企业资金得到更合理的配置，为企业的可持续发展奠定基础。三是科学、有效的风险管理能够减少生产经营、投资过程中的财务风险，减少损失、增加收益，实现股东价值的不断提升。

二、施工企业财务风险的成因分析

（一）施工企业内部管理机制不健全

缺乏完善的内部管理机制是施工企业的一大弊病。一方面相关制度的制定不够科学，可操作性有待提高。内部管理制度的制定多流于形式，虽形成书面文件，但制度本身缺乏合理性，实际管理中未能有效执行。另一方面缺乏风险评估机制。施工企业生产经营特点决定了其具有较高的风险性，尤其是财务风险。实际工作中，对投标报价、项目分析、工程款结算以及资金配置等没有充分考虑，风险评估不到位，易引发财务风险。

（二）未能有效发挥财务的监督和服务职能

多数施工企业财务部门对经营业务的监督、控制仅体现在会计核算上，未能充分发挥财务管理应有职能，直接影响了财务风险管理效果。通常情况下，财务部门将监管重点放在企业的资产方面，对财务监督和服务职能的落实情况没有给予重视，尤其是财务风险管理工作。此外，施工企业管理层对财务监督与服务职能认识不够，使得财务风险得不到事前、事中的有效控制，面对风险只能事后处理，难以发挥财务在内控中的重要作用。

（三）行业恶性竞争引发财务风险

由于我国建筑业市场竞争激烈，加上国家宏观调控政策对房地产业的影响，使得施工企业在承揽项目工程时，不顾成本、竞相压价，严重扰乱了市场秩序。业主方招标时，在满足合同条款、工程质量要求等的基础上，一般选择报价最低的投标企业，而施工企业为了中标，不得不接受相对苛刻的条件，使得施工企业既要付出较高的施工成本，又要在可能亏损的情况下确保工程质量，给施工企业长期经营带来困难，存在巨大的财务风险。

（四）施工企业面临巨大的回款风险

施工企业在应收账款回收上存在巨大风险，究其原因主要有以下几点：一是施工企业因工程质量等因素不能按合同履约，导致施工项目竣工后不能及时办理竣工验收，造成施工项目资金结算滞后，无法及时收回款项。二是因业主方资金紧张等的影响，使得工程竣工验收后不能足额支付合同款项，易变为呆账、坏账。三是施工企业管理者对应收账款管理不重视，未配置专人进行账款催收，而企业仍需负担承重的财务费用，增大财务风险。

三、加强施工企业财务风险管理的对策

（一）建立健全内控管理机制，加强风险管理

首先要进行充分地调研与分析，把握以财务管理为核心的各流程环节的关键问题，在此基础上建立内控管理制度，包括预算管理机制、合同管理机制、财务风险预警与评估机制等。健全预算管理机制的核心问题是要确保预算的合理性及执行力；合同管理方面则要提高合同履约率，严格按合同条款施工，保证施工质量；在财务风险预警与评估上，设定财务风险的可接受范围，通过信息系统、财务指标等进行预警和防控，以减少财务风险。

（二）提高认识，增强财务的监督与服务职能

一是要提高管理层思想认识，增强财务人员风险管理意识，加强对财务人员专业技能等方面的培养；二是要将财务监督与服务重心前移，在开展各项业务之前做好事前分析工作，对可能存在的财务风险进行科学、合理的评估。财务人员应熟练掌握、运用财务风险测量工具，对业务进行跟踪监督，及时解决财务风险；三是要增强执行力，在财务监督与服务职能上要严格按照相关制度执行，做到有章可循，真正落实财务风险管理职能。

（三）规范行业竞争，从源头上控制财务风险

施工企业在承揽工程项目时，要对招标文件进行全面研究和分析，准确理解文件内容，核实招标单位相关许可证件是否齐全。有关部门应加强对建筑行业的监管，规范行业竞争，从源头上降低财务风险。监管部门可以介入招标环节，针对招标单位与竞标企业的报价，结合工程项目成本等因素予以综合评价，对于恶意压价或在亏损情况下承揽工程的施工企业要严厉惩处，对于选择中标价低于项目实际成本的招标单位也应给予相应的处罚。

（四）加强应收账款管理，降低财务风险

防范财务风险要做好事前控制，掌握招标单位的社会信誉情况、财务状况等，在合同中明确收款时间和方式，以及违约赔偿等问题。要将应收账款回收情况纳入相关责任人的考核中，合理利用激励机制，对一定期间内收回款项的予以奖励，否则予以处罚。此外，要规范应收账款日常管理工作，由专人负责建立应收账款台账，按拖欠时间和清收难度划分等级，并采取相应的清收策略，对恶意拖欠款项的要借助法律手段维护自身合法权益。

参考文献

篇3

档案信息安全风险评估总体方法

档案信息安全风险评估的核心问题之一是风险评估方法的选择，风险评估方法包括总体方法和具体方法。总体方法是从宏观的角度确定档案信息安全风险评估大致方法，包括：风险评价标准确定方法；风险评估中资产、威胁和脆弱性的识别方法；风险评估辅助工具使用方法及风险评估管理方法等。事实上，信息安全风险评估方法经历了一个不断发展的过程，“经历了从手动评估到工具辅助评估的阶段，目前正在由技术评估到整体评估发展，由定性评估向定性和定量相结合的方向发展，由基于知识(或经验)的评估向基于模型(或标准)的评估方法发展。”。随着信息安全技术与安全管理的不断发展，目前信息安全风险评估方法已发展到基于标准的、定性与定量相结合的、借用工具辅助评估的整体评估方法。档案信息安全风险评估总体方法应采用目前最先进方法，即采用依据合适风险评估标准、定性与定量结合、借助评估工具或软件来实现不仅进行档案信息安全技术评估，而且进行档案信息安全管理评估的整体评估方法。

1　档案信息安全风险评估标准的确定

信息安全风险评估标准主要分为国际国外标准和国家标准。国际国外标准有：《ISO／IEC 13335　信息技术　IT安全管理指南》、《ISO／IEC 17799：2005信息安全管理实施指南》、《ISO／IEC27001：2005信息安全管理体系要求》、《NIST SP 800-30信息技术系统的风险管理指南》系列标准等，这些标准在国外已得到广泛使用，而我国信息安全风险评估起步较晚，在吸取国外标准且根据我国国情的基础上于2007年制定了国家标准((GB／T 20984-2007信息安全技术信息安全风险评估规范》，并在全国范围内推广。国家发展改革委员会、公安部、国家保密局于2008年了“关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技[2008]2071号)”，该文件要求国家电子政务工程建设项目(以下简称电子政务项目)，应开展信息安全风险评估工作，且规定采用《GB／T 20984-2007信息安全技术信息安全风险评估规范》。档案信息系统属于电子政务系统，档案信息安全风险评估也应该采取OB／T 20984-2007标准。

2　档案信息安全风险评估需定性与定量相结合

定性分析方法是目前广泛采用的方法，需要凭借评估者的知识、经验和直觉，为风险的各个要素定级。定性分析法操作相对容易，但也可能因为分析结果过于主观性，很难完全反映安全现实情况。定量分析则对构成风险的各个要素和潜在损失水平赋予数值或货币金额，最后得出系统安全风险的量化评估结果。

定量分析方法准确，但由于信息系统风险评估是一个复杂的过程，整个信息系统又是一个庞大的系统工程，需要考虑的安全因素众多，而完全量化这些因素是不切实际的，因此完全量化评估是很难实现的。

定性与定量结合分析方法就是将风险要素的赋值和计算，根据需要分别采取定性和定量的方法，将定性分析方法和定量分析方法有机结合起来，共同完成信息安全风险评估。档案信息安全风险评估应采取定性与定量相结合的方法，在档案信息系统资产重要度、威胁分析和脆弱性分析可用定性方法，但给予赋值可采用定量方法。具体脆弱性测试软件可得出定量的数据，最后得出风险值，并判断哪些风险可接受和不可接受等。

3　档案信息安全风险评估需借用辅助评估工具

目前信息安全风险评估辅助工具的出现，改变了以往一切工作都只能手工进行的状况，这些工作包括识别重要资产、威胁和弱点发现、安全需求分析、当前安全实践分析、基于资产的风险分析和评估等。其工作量巨大，容易出现疏漏，而且有些工作如系统软硬件漏洞检测等无法用手工完成，因此目前国内外均使用相应的评估辅助工具，如漏洞检测软件和风险评估辅助软件等。档案信息安全风险评估也需借助相应的辅助工具，直接可用的是各种系统软硬件漏洞测试软件或我国依据《GB／T 20984-2007信息安全技术信息安全风险评估规范》开发的风险评估辅助软件，将来可开发专门的档案信息安全风险评估辅助工具软件。

4　档案信息安全风险评估需整体评估

信息安全风险评估不仅需进行安全技术评估，更重要的需进行安全管理等评估，我国已将信息系统等级保护作为一项安全制度，对不同等级的信息系统根据国家相关标准确定安全等级并采取该等级对应的基本安全措施，其中包括安全技术措施和安全管理措施，因此评估风险时同样需进行安全技术和安全管理的整体风险评估，档案信息安全风险评估同样如此。

档案信息安全风险评估具体方法

根据档案信息安全风险评估原理。从资产识别到风险计算，都需根据信息系统自身情况和风险评估要求选择合适的具体方法，包括：资产识别方法、威胁识别方法、脆弱性识别方法、现有措施识别法和风险计算方法等。

1　资产识别方法

档案信息资产识别是对信息资产的分类和判定其价值，因此资产识别方法包括资产分类方法和资产赋值方法。

(1)资产分类方法

在风险评估中资产分类没有严格的标准，但一般需满足：所有的资产都能找到相应的类；任何资产只能有唯一的类相对应。常用的资产分类方法有：按资产表现形式分类、按资产安全级别分类和按资产的功能分类等。

在《GB／T 20984-2007信息安全技术信息安全风险评估规范》中，对资产按其表现形式进行分类，即分为数据、软件、硬件、服务、人员及其他(主要指组织的无形资产)。这种分类方法的优点为：资产分类清晰、资产分类详细，其缺点为：资产分类与其安全属性无关、资产分类过细造成评估极其复杂，因为目前大部分风险评估

都以资产识别作为起点，一项资产面临多项威胁，—项威胁又与多项脆弱性有关，最后造成针对某一项资产的风险评估就十分复杂，缺乏实际可操作性。这种分类方法比较适合于初次风险评估单位对所有信息资产进行摸底和统计。

风险评估中资产的价值不是以资产的经济价值来衡量，所以信息资产分类应与信息资产安全要求有关，即依据信息资产对安全要求的高低进行分类，这种方法同时也满足下一环节即信息资产重要度赋值需求。任何一个档案信息资产无论是硬件、软件还是其他，其均有安全属性，在《GB／T 20984-2007信息安全技术信息安全风险评估规范》中要求：“资产价值应依据资产在保密性、完整性和可用性上的赋值等级，经过综合评定得出”。可选择每个资产在上述三个安全属性中最重要的安全属性等级作为其最后重要等级。但档案信息安全属性应该更多，除上述属性外还包括：真实性、不可否认性(抗抵赖)、可控性和可追溯性，所以可以根据档案信息的七个安全属性中最重要属性的等级作为该资产等级。

目前信息资产安全属性等级如保密性等级可分为：很高、高、中等、低、很低，因此信息资产按安全等级也可分为：很高、高、中等、低、很低，即如果此信息资产保密性等级为“中”，完整性等级为“中”，可用性等级为“低”，则取此信息资产安全等级最高的“中”级。

按信息资产安全级别分类法符合风险评估要求，因为体现了安全要求越高其资产价值越高的宗旨，在统计资产时也可按表现形式和安全等级结合的方法进行，如下表1所示。“类别”为按第一种分类方法中的类别，重要度为第二种方法中的五个等级。

但如果风险评估时按表1进行资产分类时，每个档案信息系统将具有很多资产，这样针对每一项资产进行评估的时间和精力对于评估方都难以接受。因此，在《信息安全风险评估——概念、方法和实践》一书中提出：“最好的解决办法应该是面对系统的评估”，信息资产安全等级分类的起点可以认为是系统(或子系统)，这样可以在资产统计时用资产表现形式进行分类，在资产安全等级分类时按系统或子系统进行大致分类，即同一个系统或子系统中的资产的安全等级相同，这样满足了组织进行风险评估时“用最少的时间找到主要风险”的思想。

(2)资产赋值方法

由于信息资产价值与安全等级有关，因此对资产赋值应与“很高、高、中等、低、很低”相关，但这是定性的方法，结合定量方法为对应“5、4、3、2、1”五个值，同时将此值称为“资产等级重要度”。

2　威胁识别方法

(1)威胁分类方法

对档案信息系统的威胁可从表现形式、来源、动机、途径等多角度进行分类，而常用的为按来源和表现形式分类。按来源可分为：环境因素和人为因素，人为因素又分为恶意和无意两种。基于表现形式可分为：物理环境影响、软硬件故障、无作为或操作失误、管理不到位、恶意代码、越权或滥用、网络攻击、物理攻击、泄密、篡改和抵赖等。由于威胁对信息系统的破坏性极大，所以应以分类详细为宗旨，按表现形式方法分类较为合适。

(2)威胁赋值方法

威胁赋值是以威胁出现的频率为依据的，评估者应根据经验或相关统计数据进行判断，综合考虑三个方面：“以往安全事件中出现威胁频率及其频率统计，实践中检测到的威胁频率统计、近期国内外相关组织的威胁预警”。。可以对威胁出现的频率进行等级化赋值，即为：“很高、高、中等、低、很低”，相应的值为：“5、4、3、2、1”。

3　脆弱性识别方法

脆弱性的识别可以以资产为核心，针对每一项需要保护的资产，识别可能被威胁利用的弱点，同时结合已有安全控制措施，对脆弱性的严重程度进行评估。脆弱性识别时来自于信息资产的所有者、使用者，以及相关业务领域和软硬件方面的专业人员等，并对脆弱性识别途径主要有：问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。

(1)脆弱性分类方法

脆弱性一般可以分为两大类：信息资产本身脆弱性和安全控制措施不足带来的脆弱性。资产本身的脆弱性可以通过测试或漏洞扫描等途径得到，属于技术脆弱性。而安全控制措施不足的脆弱性包括技术脆弱性和管理脆弱性，管理脆弱性更容易被威胁所利用，最后造成安全事故。档案信息系统脆弱性分类最好按技术脆弱性和管理脆弱性进行。技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题，管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面。

(2)脆弱性赋值方法

根据脆弱性对资产的暴露程度(指被威胁利用后资产的损失程度)，采用等级方式可对已经分类并识别的脆弱性进行赋值。如果脆弱性被威胁利用将对资产造成完全损害，则为最高等级，共分五级：“很高、高、中等、低、很低”，相应的值为：“5、4、3、2、1”。

脆弱性值(已有控制措施仍存在的脆弱性)也可称为暴露等级，将暴露等级“5、4、3、2、1”可转化为对应的暴露系数：100％、80％、60％、40％、20％，再将“脆弱性”与“资产重要度等级”联系，计算出如果脆弱性被威胁利用后发生安全事故的影响等级。

影响等级=暴露系数×资产等级重要度

4　已有控制措施识别方法

(1)识别方法

在识别脆弱性的同时应对已经采取的安全措施进行确认，然后确定安全事件发生的容易度。容易度描述的是在采取安全控制措施后威胁利用脆弱性仍可能发生安全事故的容易情况，也就是威胁的五个等级：“很高、高、中等、低、很低”，相应的取值为：“5、4、3、2、1”，“5”为最容易发生安全事故。

同时安全事件发生的可能性与已有控制措施有关，评估人员可以根据对系统的调查分析直接给在用控制措施的有效性进行赋值，赋值等级可分为0-5级，

“0”为控制措施基本有效，“5”为控制措施基本无效。

(2)安全事件可能性赋值

安全事件发生的可能性可用以下公式计算：

发生可能性=发生容易度(即威胁赋值)+控制措施

5　风险计算方法

风险计算方法有很多种，但其必须与资产安全等级、面临威胁值、脆弱性值、暴露等级值、容易度值、已有控制措施值等有关，计算出风险评估原理图中的影响等级和发生可能性值。目前一般而言风险计算公式如下：

风险=影响等级×发生可能性

综上所述，可将信息资产、面临威胁、可利用脆弱性、暴露、容易度、控制措施、影响、可能性、风险值构成表2，最终计算出风险值。下表以某数字档案馆为例，其主要分为馆内档案管理系统和电子文件中心，评估资产以子系统作为分类和赋值为起点，并只以部分威胁、脆弱性列出并计算风险。

上表中暴露等级值体现了脆弱性，容易度体现了威胁，以表2第一行为例计算档案管理系统数据泄密的风险值，过程如下：

影响等级=暴露系数×资产等级重要度＝(3／5)*5＝3

可能性=容易度(威胁值)+控制措施值＝3+3＝6