合同风险评估
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇合同风险评估范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
合同风险评估范文第1篇
中图分类号:F270 文献标识码:A
文章编号:1004-4914(2011)09-245-02
一、石油企业合同管理风险评估的方法
合同管理的风险评估方法是指采取何种方式对合同风险进行评估。从逻辑上来说,风险识别与风险评估是前后先继的,先进行识别然后进行评价与估计。但从企业管理工作的宏观角度来说,合同风险评估需要结合企业自身的特点进行。笔者认为,企业合同风险的评估是一项基于经验的科学,需要依据一定的方法对企业合同运行中的各个环节进行分析。笔者认为,可以运用生产,业务流程法和调查表法识别与评价合同风险。在掌握合同流程的基础上设计调查表,先选取少量调研对象发放调查表,听取调查表试填者反馈的意见和建议后。修改和完善风险调查表。调查表经过几轮的试填一反馈一修改后,形成正式的合同风险调查表。按照上述方法将调查结果进行筛选和分析,按照统计学的方法,大致可以估算出企业合同管理过程中各个环节的风险系数水平,在此基础上分析得出此次合同风险调查反映出的问题和建议。可以说,石油企业合同管理中的风险评估工作是一项既具有科学性又具有强烈管理实践色彩的创造性工作。
二、石油企业合同管理风险评估的案例分析
按照上述生产,业务流程法和调查表法我们可以首先设计出石油企业风险评估调查表的内容。调查表的内容设计是否科学以及是否符合现实需求是调查是否能够成功的关键。笔者认为,对于合同风险进行评估的调查应该是基于对企业现有合同管理工作的关键点以及同行业企业合同风险的显露点来进行设计。
参照中石油公司合同风险评估调查表的设计原则与设计内容,笔者对大港油田合同管理的风险评估调查表设计了内容。并依据合同管理风险与合同法律风险将上述调查表进行了分别设计。设计了两大类7小类29个具体的指标。在本研究中,笔者将上述29个具体指标设计成了调查问卷,对大港油田及其所属公司进行了问卷调查,下面笔者将对下述两大类7个小类29个具体指标进行介绍,并对调查结果进行统计。
1.合同外部风险要素调查与统计。合同外部风险要索主要指的是从宏观上来说影响合同运行的因素。笔者认为,影响合同外部运行的主要指标体系有:(1)合同管理人员指标体系。合同管理人员是企业当中专门从事合同管理的专业人员,是否具有合同管理人员以及合同管理人员的素质与水平直接影响着企业的合同管理水平与风险评估水平。因此影响石油企业合同管理风险评估水平的首要因素是人力资源因素,即合同管理人员指标体系应该设计为合同风险评估的首要指标体系。该指标体系可以具体设置如下几个分项指标:公司负责人的法律意识、合同管理部门负责人的法律工作水平、合同管理人员的业务操作能力、相关部门对法律工作的支持程度、法律人员配备的充足性、法律队伍的稳定性六个子项。除了上述平面设计的内容之外,还要考虑上述人员的数量以及稳定性与有效性等。(2)合同管理制度指标体系。良好的制度是预防危机与管理危机的重要构成要素。因此笔者认为,石油企业的合同管理制度是影响企业合同运行的主要外部因素之一,围绕该部分应该设计相应的指标体系。笔者认为该项可以包含:制度健全程度、制度明确程度、制度动态调整性、制度和谐性四项内容。制度健全程度考察制度的全面性;制度明确程度考察制度的明晰性;制度动态调整性着重考察随时间发展,制度能否及时调整,以减少制度对实践的不适应情况;制度和谐性重在考察有无政出多门、相互矛盾的情形。(3)合同管理流程指标体系。管理是一种流程控制,合同管理的流程控制直接影响着合同管理的质量。石油企业合同应该按照《石油企业合同管理规定》等行业性操作过程进行操作,从合同签约依据维护,到理顺管理流程,最后到合同验收环节。都要傲到合规性操作。笔者认为该部门可以具体设计业务流程规范性、业务流程效率性、业务流程可操作性、业务流程有效性四个子项共同构成合同管理流程风险。业务流程规范性以考察各予公司所制订的合同管理业务流程是否符合公司规定和管理要求为主;业务流程效率性考察合同管理业务流程的便捷性;业务流程的可操作性主要考察所制订的业务流程是否符合管理实践,有无不合理之处;业务流程的有效性着重考虑流程操作的效果,业务流程能否有效地防范预计到的合同管理中的各种风险。(4)合同管理系统指标体系。随着《中国石油合同管理系统》的进一步应用,系统用户能够全面掌握合同签订的流程,及时跟踪合同的审批情况,缩短了合同的签订周期。同时使合同经办人员和审批人员加强了合同签订、履行、验收的自觉性和主动性,方便了合同的日常管理,基础资料的检索、合同运行状态的跟踪,明确各类合同的流程。在选择了合同类别后,合同将在系统中自动匹配相应的类别和审批流程,使合同审批更加方便,推进了合同管理的进步,提升了合同管理的水平。笔者认为对于中石油合同管理系统的执行情况应该单独设计指标体系进行调查,具体可以分为信息及时性、可靠性、有用性和网络安全性四项。
2.合同内部风险要素调查与统计。(1)合同缔结指标体系。合同缔结指标体系是指在合同内部运行过程中,合同缔结阶段所产生的风险因素而形成的调查指标体系。缔结合同风险的指标体系可以设置合同相对人风险(合同相对人在资信、资质、履约能力方面存在瑕疵)、书面合同风险、合同审查风险、人风险(合同签定人是无权人)等。目前,石油企业的大型合同都需要按照招投标的法律程序完成合同的邀约与承诺过程,因此合同缔结的指标体系可以依据招投标过程中具有风险的环节来进行设计。具体来说,可以设计如下子项目:招投标合法性风险、招投标规范性风险、招标人风险(此种情形下石油企业是投标人)、投标人风险(此种情形下石油企业是招标人)、评标专家风险(此种情形下石油企业是招投标活动的一方当事人)。评标专家风险主要是指招投标管理机构对评标专家选择不规范以及评标专家职业道德是否很好执行存在风险。(2)合同文本指标体系。标准合同对于防止合同文本风险具有重要意义,能够极大地提高企业防范合同风险的水平。中石油花费巨资开发并在其系统内推广标准合同影响重大,意义深远,可以提高合同管理效率、改善合同管理质量,所以将其单独考察。标准文本风险重点考虑了标准文本的覆盖率、文本的质量水平、标准合同的适用性三个方面。标准文本的覆盖率能够反映是否覆盖了合同业务的全部领域、标准文本的质量高低能够反映合同文本的质量水平,标准文本的适用范围能够表明是否明确,标准合同的适用性能够反映标准合同在实践中的使用程度。(3)合
同履行指标体系。合同履行指标体系是将依据法律经验的判断及行业经验的判断,对合同履行过程中容易出现风险的环节设计而成的风险调查指标。笔者认为,合同履行环节的风险点主要有合同履行风险(交易双方或者合同相对人未按照约定方式履行合同;在合同履行过程中没有行使或者不当行使了相关的抗辩权利)、合同变更的风险(未按照国家合同法律或者合同的约定而变更了合同标的,使合同履行的时间、地点、方式等发生了变动)、合同解除风险(未按照国家法律或者合同约定正确行使合同解除权等)、违约责任风险(合同当事人出现了违约事由,而没有按照法律或者合同约定追求其违约责任)。
三、石油企业合同管理风险控制的基本路径
上文中笔者对石油企业合同管理风险评估的方法进行了介绍并结合大港油田合同管理的风险评估调查进行了个案推演。结合风险识别的基本方法与路径,我们可以总结出石油企业合同管理风险控制的以下几个方面:
1.合同风险控制应纳入危机管理体系。合同风险不是石油企业的偶发事件与突发事件,而应纳入企业的危机管理进行系统管理。合同是企业微观运行的法律表征,合同的风险在一定程度上就是企业的风险,因此合同风险的控制应该纳入企业的危机管理体系,形成制度化的管理模式,建立起石油企业合同风险的防范与控制的制度体系。
2.合同风险的识别是风险控制的基础。合同风险的识别是合同管理的起步,也是对合同风险进行控制的基础。石油企业应该建立起合同风险识别机制,由专业人员利用专门知识与专业方法对企业合同的运行进行风险分析,找出动态运行着的合同可能存在风险的关键节点,有目的、有重点地进行风险评估与防控。
合同风险评估范文第2篇
【 关键词 】 烟草;工业控制系统;信息安全;风险评估;脆弱性测试
1 引言
随着工业化和信息化进程的加快,越来越多的计算机技术以及网络通信技术应用到烟草自动化生产过程中。在这些技术提高了企业管理水平和生产效率的同时,也带来了病毒和恶意代码、信息泄露和篡改等网络信息安全问题。当前,烟草企业所建成的综合自动化系统基本可以分为三层结构:上层为企业资源计划(ERP)系统;中间层为制造执行系统(MES);底层为工业控制系统。对于以ERP为核心的企业管理系统,信息安全防护相对已经成熟,烟草企业普遍采用了防火墙、网闸、防病毒、防入侵等防护措施。而随着MES技术在烟草企业的广泛实施,越来越多企业开始考虑在底层的工业控制系统进行信息安全防护工作。近年来,全球工业控制系统经历了“震网”、“Duqu”、“火焰”等病毒的攻击,这些安全事件表明,一直以来被认为相对封闭、专业和安全的工业控制系统已经成为了黑客或不法组织的攻击目标。对于烟草企业的工业控制系统,同样也面临着信息安全问题。
与传统IT系统一样,在工业控制系统的信息安全问题研究中,风险评估是其重要基础。在工业控制系统信息安全风险评估方面,国外起步较早,已经建立了ISA/IEC 62443、NIST800-82等一系列国际标准和指南;而国内也相继了推荐性标准GB/T 26333-2010:工业控制网络安全风险评估规范和GB/T30976.1~.2-2014:工业控制系统信息安全(2个部分)等。当前,相关学者也在这方面进行了一系列研究,但国内外还没有一套公认的针对工业控制系统信息安全风险评估方法,而且在烟草行业的应用实例也很少。
本文基于相关标准,以制丝线控制系统为对象进行了信息安全风险评估方法研究,并实际应用在某卷烟厂制丝集控系统中,为后续的安全防护工作打下了基础,也为烟草工业控制系统风险评估工作提供了借鉴。
2 烟草工业控制系统
烟草工业企业生产网中的工控系统大致分成四种类型:制丝集控、卷包数采、高架物流、动力能源,这四个流程,虽工艺不同,相对独立,但它们的基本原理大体一致,采用的工具和方法大致相同。制丝集控系统在行业内是一种典型的工业控制系统,它的信息安全情况在一定程度上体现了行业内工业控制系统的信息安全状态。
制丝集控系统主要分为三层:设备控制层、集中监控层和生产管理层。设备控制层有工业以太网连接控制主站以及现场I/O站。集中监控层网络采用光纤环形拓扑结构,将工艺控制段的可编程控制器(PLC)以及其他相关设备控制段的PLC接入主干网络中,其中工艺控制段包括叶片处理段、叶丝处理段、梗处理段、掺配加香段等,然后与监控计算器、I/O服务器、工程师站和实时数据库服务器等共同组成了集中监控层。生产管理层网络连接了生产现场的交换机,与管理计算机、管理服务器等共同组成了生产管理层。
制丝车间的生产采用两班倒的方式运行,对生产运行的实时性、稳定性要求非常严格;如直接针对实际系统进行在线的扫描等风险评估工作,会对制丝生产造成一定的影响,存在影响生产的风险。而以模拟仿真平台为基础的系统脆弱性验证和自主可控的测评是当前制丝线控制系统信息安全评估的一种必然趋势。
3 工控系统风险评估方法
在风险评估方法中,主要包括了资产识别、威胁评估、脆弱性评估、综合评估四个部分,其中脆弱性测试主要以模拟仿真平台为基础进行自主可控的测评。
风险是指特定的威胁利用资产的一种或一组脆弱性,导致资产的丢失或损害的潜在可能性,即特定威胁事件发生的可能性与后果的结合。风险评估模型主要包含信息资产、脆弱性、威胁和风险四个要素。每个要素有各自的属性,信息资产的属性是资产价值,脆弱性的属性是脆弱性被威胁利用后对资产带来的影响的严重程度,威胁的属性是威胁发生的可能性,风险的属性是风险发生的后果。
3.1 资产识别
首先进行的是对实际生产环境中的信息资产进行识别,主要包括服务器、工作站、下位机、工业交换设备、工控系统软件和工业协议的基本信息。其中,对于服务器和工作站,详细调查其操作系统以及所运行的工控软件;对于下位机,查明PLC主站和从站的详细型号;对于交换设备,仔细查看其配置以及连接情况;对于工控系统软件,详细调查其品牌以及实际安装位置;对于工业协议,则详细列举其通信两端的对象。
3.2 威胁评估
威胁评估的第一步是进行威胁识别,主要的任务是是识别可能的威胁主体(威胁源)、威胁途径和威胁方式。
威胁主体:分为人为因素和环境因素。根据威胁的动机,人为因素又可分为恶意和非恶意两种。环境因素包括自然灾害和设施故障。
威胁途径:分为间接接触和直接接触,间接接触主要有网络访问、指令下置等形式;直接接触指威胁主体可以直接物理接触到信息资产。
威胁方式:主要有传播计算机病毒、异常数据、扫描监听、网络攻击(后门、漏洞、口令、拒绝服务等)、越权或滥用、行为抵赖、滥用网络资源、人为灾害(水、火等)、人为基础设施故障(电力、网络等)、窃取、破坏硬件、软件和数据等。
威胁识别工作完成之后,对资产所对应的威胁进行评估,将威胁的权值分为1-5 五个级别,等级越高威胁发生的可能性越大。威胁的权值主要是根据多年的经验积累或类似行业客户的历史数据来确定。等级5标识为很高,表示该威胁出现的频率很高(或≥1 次/周),或在大多数情况下几乎不可避免,或可以证实经常发生过。等级1标识为很低,表示该威胁几乎不可能发生,仅可能在非常罕见和例外的情况下发生。
3.3 脆弱性测试
脆弱性评估需从管理和技术两方面脆弱性来进行。管理脆弱性评估方面主要是按照等级保护的安全管理要求对现有的安全管理制度的制定和执行情况进行检查,发现了其中的管理漏洞和不足。技术方面包括物理环境、网络环境、主机系统、中间件系统和应用系统五个层次,主要是通过远程和本地两种方式进行手工检查、工具扫描等方式进行评估,以保证脆弱性评估的全面性和有效性。
传统IT 系统的技术脆弱性评测可以直接并入到生产系统中进行扫描检测,同时通过交换机的监听口采集数据,进行分析。而对工控系统的脆弱性验证和测评服务,则以实际车间工控系统为蓝本,搭建一套模拟工控系统,模拟系统采用与真实系统相同或者相近的配置,最大程序反映实际工控系统的真实情况。评估出的模拟系统工控系统安全情况,经过分析与演算,可以得出真实工控系统安全现状。
对于工控系统主要采用的技术性测试方法。
(1)模拟和数字控制逻辑测试方法。该方法针对模拟系统中的控制器系统进行测试。采用如图1的拓扑形式,通过组态配置PLC输出方波数字信号和阶梯模拟信号,通过监测控制信号的逻辑以判别控制系统的工作状态。
(2)抓包测试方法。该方法可以对模拟系统中的各种设备进行测试。采用图2的拓扑形式,通过抓包方式,获取车间现场运行的正常网络数据包;将该数据进行模糊算法变异,产生新的测试用例,将新数据发送到测试设备上进行漏洞挖掘。该测试方法既不影响工作现场,又使得模拟系统的测试数据流与工作现场相同。
(3)桥接测试方法。该方法针对模拟系统中的工业通信协议进行测试。测试平台接收到正常的数据包后,对该数据包进行模糊算法变异,按照特定的协议格式,由测试平台向被测设备发送修改后的数据,进行漏洞挖掘测试。采用的拓扑形式就是图2中去除了虚线框中的内容后的形式。
(4)点对点测试方法。该方法针对通信协议进行测试。采用与图1相同拓扑形式,按照所面对的协议的格式,由测试平台向被测设备发送测试用例,进行健壮性的测试。
(5)系统测试方法。该方法对装有工控软件的被测设备进行测试。该方法采用如图3的拓扑形式,综合了前几种方式,在系统的多个控制点同时进行,模糊测试数据在不同控制点之间同时传输,对整个工业控制环境进行系统级的漏洞挖掘。
3.4 综合分析
在完成资产、威胁和脆弱性的评估后,进入安全风险的评估阶段。在这个过程中,得到综合风险评估分析结果和建议。根据已得到的资产、威胁和脆弱性分析结果,可以得到风险以及相应的等级,等级越高,风险越高。
4 应用实例
本文以某卷烟厂制丝车间的制丝集控系统为例进行风险评估研究。
4.1 资产识别
首先对该制丝集控系统进行了资产的识别,得到的各类资产的基本信息。资产的简单概述:服务器包括GR 服务器、监控实时服务器、AOS 服务器、文件服务器、管理应用服务器、管理数据库服务器和管理实时服务器等;工作站包括工程师站、监控计算机和管理计算机;下位机包括西门子PLC S7-300、PLC S7-400 和ET200S;网络交换设备主要以西门子交换机和思科交换机为主;工控系统软件主要有Wonderware 系列软件、西门子STEP7、KEPServerEnterprise等。
4.2 威胁评估
依据威胁主体、威胁途径和威胁方式对制丝集控系统进行了威胁的识别,随后对卷烟厂制丝集控系统的威胁分析表示,面临的威胁来自于人员威胁和环境威胁,威胁方式主要有计算机病毒、入侵等。其中等级较高的威胁(等级≥3)其主体主要是互联网/办公网以及内部办公人员威胁。
4.3 脆弱性评估
搭建的模拟系统与真实网络层次结构相同,拓扑图如图4所示。
基于工控模拟环境,对设备控制层、工控协议、工控软件、集中监控设备进行评估。
对设备控制层的控制设备通讯流程分为五条路径进行归类分析,即图4中的路径1到5,通信协议均为西门子S7协议。一方面采用模拟和数字控制逻辑测试方法以及抓包测试方法对控制器进行测试,另一方面采用桥接测试方法对S7协议进行漏洞挖掘,结果表明结果未发现重大设备硬
件漏洞。
除了S7 协议外,图4中所标的剩余通信路径中,路径6为OPC协议,路径7为ProfiNet协议,路径8为ProfiBus协议,路径9为Modbus TCP协议。对于这些工控协议,采用点对点测试方法进行健壮性测试,结果发现了协议采用明文传输、未对OPC端口进行安全防范等问题。
采用系统测试方法,对装有工控软件的以及集中设备进行测试,发现了工控软件未对MAC 地址加固,无法防止中间人攻击,账号密码不更新,未进行认证等数据校验诸多问题。
然后对制丝集控系统进行的脆弱性分析发现了两个方面的问题非常值得重视。一是工控层工作站可通过服务器连通Internet,未进行任何隔离防范,有可能带来入侵或病毒威胁;攻击者可直接通过工作站攻击内网的所有服务器,这带来的风险极大。二是工控协议存在一定威胁,后期需要采取防护措施。
4.4 综合评估
此次对制丝集控系统的分析中,发现了一个高等级的风险:网络中存在可以连接Internet的服务器,未对该服务器做安全防护。还有多个中等级的风险,包括网络分域分区的策略未细化、关键网络设备和业务服务器安全配置不足、设备存在紧急风险漏洞、工控协议存在安全隐患、PLC 应用固件缺乏较完善的认证校验机制等。
4.5 防护建议
根据制丝集控系统所发现的风险和不足,可以采取几项防护措施:对于可连到Internet的服务器,采用如堡垒机模式等安全防护措施,加强分区分域管理;对主机设备和网络交换机加强安全策略,提高安全等级;对存在紧急风险漏洞的设备,及时打补丁;对于工控协议存在的安全隐患,控制器缺乏验证校验机制等风险,采用工业安全防护设备对其检测审计与防护阻断。
5 结束语
随着信息化的不断加强,烟草企业对于工业控制系统信息安全越来越重视,而风险评估可以说是信息安全工作的重要基础。本文提出基于模拟系统和脆弱性测试的风险评估方法,采用资产识别、威胁评估、以模拟系统评测为主的脆弱性评估、综合评估等步骤,对烟草制丝线控制系统进行信息安全风险评估。而在脆弱性测试中采用了模拟和数字控制逻辑测试、抓包测试、系统测试等多种方法,对工业控制系统技术上的脆弱性进行测试。这些步骤和方法在某卷烟厂的制丝集控系统应用中取得了良好的成果:发现了工控系统中存在的一些信息安全问题及隐患,并以此设计了工业安全防护方案,将工控网络风险控制到可接受范围内。
本次所做的烟草工业控制系统信息安全风险评估工作,可以为同类的烟草企业工控信息安全防护建设提供一定的借鉴。但同时,也要看到,本次的风险评估工作中对于风险等内容的定级对于经验的依赖程度较高,不易判断,这也是以后研究的方向之一。
参考文献
[1] 李燕翔,胡明淮.烟草制造企业工业控制网络安全浅析[J].中国科技博览,2011,(34): 531-2.
[2] 李鸿培, 忽朝俭,王晓鹏. 2014工业控制系统的安全研究与实践[J]. 计算机安全,2014,(05): 36-59,62.
[3] IEC 62443―2011, Industrial control network &system security standardization[S].
[4] SP 800-82―2008, Guide to industrial control systems(ICS) security[S].
[5] GB/T 26333―2011, 工业控制网络安全风险评估规范[S].
[6] GB/T 30976.1―2011, 工业控制系统信息安全 第1部分:评估规范[S].
[7] GB/T 30976.2―2011, 工业控制系统信息安全 第2部分:验收规范[S].
[8] 卢慧康, 陈冬青, 彭勇,王华忠.工业控制系统信息安全风险评估量化研究[J].自动化仪表, 2014 (10): 21-5.
[9] 彭杰,刘力.工业控制系统信息安全性分析[J].自动化仪表, 2012, 33(12): 36-9.
作者简介:
李威(1984-),男,河南焦作人,西安交通大学,硕士,浙江中烟工业有限责任公司,工程师;主要研究方向和关注领域:信息安全与网络管理。
汤尧平(1974-),男,浙江诸暨人,浙江中烟工业有限责任公司,工程师;主要研究方向和关注领域:烟草生产工业控制。
合同风险评估范文第3篇
[关键词]熵 采购风险 风险评估
一、引言
采购是企业成功经营的关键环节,在产品成本控制和质量保证等方面起着至关重要的作用。然而随着科技的迅猛发展、经济全球化的不断深入以及产品生命周期的日趋缩短,全球采购、电子采购、外包等采购方式异军突起,这些变化在为企业带来便利与利润的同时也增加了采购风险。
二、采购风险识别
本文根据不确定性的来源将采购风险分为三类:需求风险、内部控制风险和供应风险。
(1)需求风险
需求风险发生在采购过程的首要环节,是制定采购计划的基础和依据,在需求预测中面临的风险有预测风险和计划风险。
1.预测风险。因需求预测缺乏准确性导致物料难以满足生产或超出预算等所带来的损失和可能性。
2.计划风险。市场需求发生变动,影响到采购计划的准确性;采购计划管理技术不适当或不科学,与目标发生较大偏离,导致采购中计划风险。
(2)内部控制风险
内部控制风险主要是指在采购方与供应方达成协议或签订合同后到供应商开始供货期间对于采购方来说存在的风险。主要包括采购合同风险、价格风险和管理风险。
1.合同风险。合同风险主要指签订的合同条款模糊不清或只是口头协议造成的经济损失;签订合同时供应方向采购方进行行贿使实际发生的数额远大于合同中规定数额等。
2.价格风险。价格风险主要包括市场浮动价格风险、批量采购折扣风险、回扣价格风险。
3.管理风险。管理风险是采购方企业内部作出的一些决策带来的风险,如选取单一供应商供货的策略等带来的风险。
(3)供应风险
本文将供应风险分为供应商能力风险、产品质量风险、供应市场风险三类。
1.供应商能力风险。供应商能力风险主要是指因供应商能力缺失导致供应中断或者无法按照合同要求供货带来的损失。2.产品质量风险。供应商提供不符合质量要求的产品导致生产出的产成品无法满足顾客的需求带来的损失。
3.市场风险。汇率、原材料价格、竞争环境的变化等导致供应价格发生变化或者供应商因此做出违约行为等所带来的损失。
三、信息熵法的采购风险评估模型构建
(1)信息熵
1948年,香农在Bell System Technical Journal上发表了“A Mathematical Theory of Communication”一文,将熵的概念引入到信息论中,香农把信息源的信号的不确定性称为信息熵,把消除了多少不确定性称为信息。熵的获得,意味着信息的丢失,信息量越小,不确定性越大,风险越大,熵也越大;信息量越大,不确定性就越小,风险越小,熵也越小。信息和熵是互补的,信息就是负熵。
(2)采购风险评估模型构建步骤
本文建立了二级评价指标体系,所以参考相关文献介绍基于熵权的风险评估模型构建分以下五步进行。
第一步,建立采购风险因素集。
第二步,数据同趋化和标准化的处理。
由于指标体系中的各个指标所表征对象的属性和量纲不尽相同,所以在对各指标进行对比前应该进行了同趋化和标准化的处理。
第三步,计算评价指标的熵值。
第四步,计算二级指标的熵权。
第五步,计算一级指标的熵权。
四、结论
随着环境的不断变化和突发事件的频繁发生,采购风险评估作为采购风险管理其中重要的一部分,可以帮助企业在采购中根据各类风险发生的概率和影响程度的不同采取相应的防范措施,从而做到未雨绸缪并降低损失。而风险具有不确定性,所以本文选择了信息熵这一本身具有测定不确定的工具对采购风险进行评估,克服了仅靠单一主观评估带来的随意性,使评估内容变得更加科学可信。
参考文献:
[1]江健凡,许火之.企业物资采购中存在的风险及其防范措施[J].铜业工程,2006,(3):11-13.
[2]程锡胜,邓理能.经济全球化环境下的企业网络采购风险评价[J].长沙理工大学学报(自然科学版),2009,6(3):6-10.
合同风险评估范文第4篇
关键词:医学院校 物资采购 廉政风险 评估机制
一、研究背景
(一)相关概念
医学院校物资采购,是医学院校基于教学、科研、医疗、管理、基本建设和专项工程等活动中对材料、燃料、动力、工具、配件和设备等物资采购的需求,由医学院校高级管理层,以及采购、验收、仓储、会计、使用、法务、审计、监察等职能部门或者功能小组,依据有关法律、法规、政策及标准,按照一定的程序和方法,在物资采购内部控制、计划、合同、招标、供货商选择、数量、价格、质量、物资保管、结算付款以及期后事项等相关环节中,施行决策、执行、监督的行政管理过程。
廉政风险防控,是应用风险管理理论和质量管理方法,按照计划、执行、考核、修正循环机制(PDCA循环),采取预防、监控、处置等措施对各类廉政风险进行科学管理的制度创新,在有效推进惩防体系建设、强化源头治腐的实践中已取得显著成效;廉政风险评估作为廉政风险防控的重要一环,已成为当前和今后进一步提高反腐倡廉建设水平的重要政治任务和重要工作举措。
(二)研究现状
随着教育治理体系和治理能力现代化的探索推进,以及2014年《行政事业单位内部控制规范》的全面推行,医学院校物资采购作为组织重要经济管理活动和廉政风险防控关键节点,正在面临提升组织自主管理水平、完善配套权力制衡机制、落实廉政风险防控要求、发挥采购监督评价作用的战略动因和政策需求。医学院校如何顺应大学治理理念与内控规范要求,在单位整体层面和业务活动层面,建立可辨认、分析和管理的物资采购廉政风险定期评估机制,已成为目前廉政风险防控亟待研究的一大课题。
现有文献检索显示,廉政风险具有普遍性、可测性、不确定性、客观性、发展性等不同特点,已有部分纪检、审计、财会等专业人员从高校行政权力、高校设备采购、医学装备采购、企业物资采购等不同视角,对廉政风险的内容分析、评估机制、防范对策进行了理论研究和实践探索,以上研究为医学院校进一步提升风险理解和处理水平提供了有益借鉴。
(三)问题的提出
基于上述情况,本文主要借鉴《行政事业单位内部控制规范》风险评估框架,通过目标设定、风险识别、风险分析和风险应对四大步骤,尝试运用相关风险管理技术与方法,探索建立医学院校物资采购廉政风险评估机制。
二、医学院校物资采购廉政风险评估机制
(一)目标设定
医学院校物资采购是廉政风险多发、高发领域,常出现设备闲置效益低下、政策合法合规性风险等问题,甚至“窝案”、“串案”的发生。物资采购廉政风险评估的目标便是将其廉政风险控制在医学院校所期望的风险容限以内,规范权力运行,规避廉政风险,提高资金使用效益,最终建立物资采购廉政风险防控的长效机制。
(二)风险识别
医学院校物资采购总体流程大致可分为采购计划申报审批环节、采购申报价格环节、采购合同环节、采购计划执行环节。采购计划申报审批环节的风险点大致包括:采购计划未纳入年度经费预算、临时动议等造成的程序失控、采购计划未经专家论证、部门领导审批等造成的采购依据不当、大额或复杂的采购计划未进行分解、采购计划与其他计划产生不协调等。采购申报价格环节的风险点大致包括:未能明确价格标准、使用无效或低效的价格信息系统、采购效率低下、形式化的价格审查、价格组成内容单一化、物资使用单位或物资管理部门与供应商串通价格作弊风险等;采购合同环节的风险点大致包括:合同与现行国家规定相悖、合同起草无依据、盲目签订采购合同、无效合同、合同条款模糊、不完善、带有对医学院校不利条款、合同违约、不严格执行合同、违背原合同签订补充协议、合同档案管理混乱等;采购计划执行环节的风险点大致包括:未按国家或医学院校规定采取与采购额度相适应的采购方式、供应商不具备相应资质、改变供应商、采购价格虚高、质量检验流于形式、计量不符合实际、物资保管低效、票据作假、手续不完备的付款申请、付款提前或滞后、付款不实和违规结算等;采购后续环节的风险点大致包括:物资超储积压或储备不足、物资账与财务账账实不符、物资使用质量低劣、物资使用效率低下、无效的内部监督等。
(三)风险分析
工作机制层面:物资采购业务部门、合规部门、监管部门以及使用部门应当立足岗位职能、聚焦主体责任,从规范权力运行和建机制破难题出发,建立自下而上和自上而下的双向评估机制。物资采购部门定期开展风险自我评估和控制完善,财务、审计部门在控制、风险管理和治理领域发挥确认作用和咨询服务功能,纪检监察部门在“三转”过程中,还应加强对物资采购风险信息的收集和研判,采取备案的方式对物资采购实施监督,不定时不定项实施现场监督,通过调阅文件资料、接受举报等方式加大监督力度。管理技术层面:可以运用风险矩阵模型,在梳理业务流程环节,分解责任权力体系的基础上,对物资采购所有潜在问题进行梳理,逐个评估这些潜在风险发生的可能性,可按低、中、高(或极低、低、中、高、极高等更多层次)进行分类。之后,应逐个评估这些潜在风险发生之后对物资采购项目的影响,也按低、中、高(或更多层次)进行分类,由此组成风险矩阵(见图表),对可能产生的廉政风险进行逐一梳理和归纳。
(四)风险应对
针对各流程环节上潜在的风险点,从风险矩阵来看,若潜在风险在“危险”区域,则应不遗余力阻其发生;若潜在风险在“高”区域,医学院校则应支出相对合理的成本来阻止其发生;若潜在风险在“中”区域,则应采取一些适宜的措施来阻止其发生或尽可能降低其发生后造成的影响。通常采用风险降低、风险转移等策略,若风险程度低微,在可容忍的范围内,亦可保留该风险等,若阻止发生的成本大大超出医学院校设定的可接受范围,则应改变计划从而消除风险,或者消除风险发生的条件,规避该风险的发生。医学院校基于现代化科学技术等各种手段,在评估了相关风险的可能性和后果以及成本效益之后,通过部门三重一大会议、专家论证、管理咨询、民主生活会、党风廉政建设工作会、院校党政联席会集体研究制定不同策略,最终将剩余风险控制在期望的风险容限内。
以某医学院校为例,物资采购部门层面,严格执行采购申报和审批制度,做好事前论证和审批,防止物资采购后无存放场地或重复购置导致物资使用效率低下等风险。严格执行国家和医学院校关于招投标采购、协议供货、自行采购等相关规定,避免通过化整为零的方式规避招投标。通过信息化的管理,提高物资采购的管理水平,搭建物资与财务信息共享平台。在低价设备采购过程中,通过仪器设备竞价采购系统,采取“背靠背”的方式报价,规避价格风险,对协议供货进行了延伸和有效探索。纪检监察部门层面,与物资采购部门一起,做好物资采购人员的廉洁教育,通过思想政治教育、警示教育、法制教育,签署《廉洁承诺书》和《主体责任承诺书》,提高物资采购人员抵御廉政风险的能力,自觉遵守廉洁自律规定。推动“三重一大”制度进部门、进系室,从程序上防控廉政风险。
三、结语
医学院校物资采购应通过组成物资采购廉政风险防控领导小组,对医学院校在该领域的廉政风险承担全面的主体责任,制定并适时调整完善制度,多部门参与配合、共同实现控制监督体系联合治理效应。从初步评估风险,制定实行应急计划和风险策略开始,持续运用并不断改进评估机制,逐步确立每个廉政风险点的防控措施和责任主体,逐步建立完善系统的廉政风险防控手册,不断总结经验,创新防控措施,建立健全物资采购廉政风险防控长效机制。
参考文献:
[1]卫生系统内部审计操作指南[M].北京:人民卫生出版社,2012:278-292.
[2]贺志东.中国内部审计操作实务[M].北京:电子工业出版社,2014:249-261.
[3]范春梅.高校廉政风险防范管理的实践与思考[J].河北师范大学学报(教育科学版),2010,(1):84-87.
[4]何希耕.高校设备采购领域的廉政风险及其防控研究[J].实验技术与管理,2013,(10):234-236.
[5]董立人.廉政风险评估预警研究[J].唯实,2012,(3):35-37.
[6]白致铭,常军勤,赵晶等.高校行政岗位廉政风险评估初探[J].北京教育(高教版),2010,(10):18-19.
[7]钱大益,孟兆磊,刘仁霖等.高校设备采购工作廉政风险探讨[J].中国现代教育装备,2011,(5):3-6.
[8]柯红岩,钱大益,刘云等.基于PDCA理论的高校设备采购廉政风险防范管理[J].实验技术与管理,2012,(9):219-221,231.
[9]罗燕,黄兆云,黄爽等.医疗设备采购的风险和对策[J].中国医学装备,2007,(12):31-33.
[10]金鑫,刘吉祥.医疗仪器设备采购风险与规避[J].中国医学装备,2009,(3):25-27.
[11]金鑫,刘吉祥.论医疗仪器设备采购风险及规避[J].中国医学装备,2010,(1):26-28.
[12]张洪鹏,周丹,贺密会等.卫生装备采购风险的评估[J].医疗设备信息,2007,(5):58-60.
[13]夏冬艳.浅谈风险矩阵法在采购风险评估中的应用[J].中国商贸,2012,(36):66-67.
[14]周立云.基于风险导向的物资采购和存货审计[J].中国内部审计,2014,(9):62-67.
合同风险评估范文第5篇
关键词:COSO-ERM;销售环节;风险管理框架
中图分类号:C93 文献标识码:A 文章编号:1674-1723(2013)04-0127-02
一、COSO企业风险管理-整合框架简述
自美国COSO委员会《内部控制框架》1992年以来,已经被世界上许多企业所采用,成为世界通行的内部控制权威文献。2004年9月,在该报告的基础上,结合《萨班斯-奥克斯法案》(Sarbanes-Oxley Act)报告方面的要求,进行扩展研究了《企业风险管理框架-整合框架》(简称COSO-ERM)。
COSO-ERM所强调的企业风险管理是以一种全局的风险组合观来看待风险,是一套更加全面的过程化管理模式,力求实现主体在战略、经营、报告、合规四个目标上关注企业风险管理的不同层面。而内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和监控等八个相关联的要素都适用于四个层面的目标,每个层面目标都于八个方面进行风险管理。以内部环境为平台和基础企业制定和确定科学的目标为起点依据确定的目标,企业对影响目标的风险进行事项识别对相应事项进行风险评估对风险评估作出风险反应,做出相应的应对措施从而进一步对风险采取控制活动。当然,在每一个环节中,信息与沟通和监督贯穿于企业风险管理的整个过程,并对其他各要素随时进行修正。这是一个有机整体,是一个彼此间相互作用、相互影响的过程。
该框架“为不同经济体、不同行业、不同规模的企业在研究讨论企业风险管理时提供了一个共同的平台,用同样的的语言和标准统一规范企业风险管理暨内部控制。”本文将COSO-ERM的理念引入A销售的到体育营销风险管理的研究中,对我国企业参与体育营销实践和风险管理具有积极的参考和指导作用。
二、基于COSO-ERM设计企业销售环节风险管理框架的思路
(一)内部环境与目标设定
该阶段包含COSO-ERM组成部分中内部环境(Internal Environment)和目标设定(Objective Setting),操作过程以企业内部环境为平台和基础企业制定和确定科学的目标为起点。
销售业务在企业整个经营活动中处于核心地位,只有通过销售环节企业价值才得以体现。如果销售环节不畅,企业经营将难以为继。销售活动的目标具体有以下四个方面:保证所售货物的安全完整;保证销售业务顺畅有效的运行;防范销售过程存在的舞弊行为;保证货款的及时回收以及货币的安全。
(二)事项识别、风险评估、风险应对
该阶段包含COSO-ERM组成部分中事项识别(Events Identification)、风险评估(Risk Assessment)和风险应对(Risk Response)。依据确定的目标,企业对影响目标销售环节风险进行事项识别在识别的基础上对销售环节相应事项进行风险评估对风险评估作出风险反应。管理层选择合适的风险应对方式,把风险控制在主体的风险容限和风险容量
以内。
1.订单处理与客户信用评价环节。例如信用部门发现客户受金融危机影响业务大幅下滑,财务状况恶化,这是事项识别;信用部门会同财务部门评估该客户对本公司营业额影响、维持原来信用额度对公司的坏账影响,这是风险评估;如果确定不能接受坏账风险,将该客户的信用额度降低,此为风险
应对。
2.销售谈判和签订合同环节。例如某业务员一直负责某客户业务,经常单独谈判签合同,这是事项识别;销售部门评估其舞弊可能性,此为风险评估;如果确定存在舞弊,调换业务员,这是风险应对。
3.发货环节。例如仓库发现某客户订货量突然大增,这是事项识别;仓库根据数量和单价估计其发生坏账的损失,这是风险评估;仓库与销售部门、与信用部门和财务部门沟通,发现其超出信用额度,取消该笔交易,此为风险应对。
4.收款环节。例财务部门发现某客户货款超期未付,这是事项识别;财务部门与销售部门沟通,销售部门了解客户情况,评估其承诺的可靠度,这是风险评估;如果不能接受客户的承诺,通知信用部门扣减该客户的信用额度,此为风险
应对。
(三)控制活动
1.订单处理与客户信用评价环节。销售业务的真正起点应从收到客户的订单算起。从客户那里得到的订单各式各样,销售部门应首先对这些不同种类格式的订单记录在企业内部统一的销货通知单上,利用统一的销货通知单来规范企业的销售程序。作为订立销售合同的关键控制点,信用部门必须对新客户做信用调查,从客户的品德、能力、资本、担保和条件,即通常所说的“5C”系统评价客户信用等级,建立客户信用档案。对于信用状况良好的老客户的订单,信用部门需关注订货数量的变化,如明显大于以往水平,需要求客户提供近期财务报告,核查其资产负债率等财务状况,确定是否接受订单。无论是新老客户的订单都要经信用部门经理的签字才能生效。信用部门应密切关注重要客户资信变动情况,防范信用风险。
2.销售谈判和签订合同环节。企业在签订合同环节之前,应该与客户进行业务磋商或者谈判,重大业务应吸收财务、法律等专业人员参加,洽谈包括销售价格、数量、信用政策和发货条件以及结算方式等内容,并确定是否接受订单,谈判人员不得少于两人,且应与订立合同的人员分离。合同须经由授权人员的签订,签订合同前要求新客户存入一定数额的保证金,防范意外风险。谈判的整个过程应该有完整的书面记录。定期对产品的基准价格的合理性进行评价,如果涉及定价或者调价,需要由具有相应权限的人员进行审核批准。销售合同应该明确双方的权利和义务,审批人员应该对销售合同草案进行严格的审查。重要业务或金额过高的销售合同,应征询法律专家的意见,并实行集体决策审批或联签制度。
3.发货环节。销售部门应该按照经销售合同开具统一的销售通知单,发货和仓库部门按岗位责任制的程序审核销货通知单,确认无误后严格按照所列的发货品种、规格、发货数量、发货方式、规定时间组织发货,根据实际情况设计一式多联的连续编号的发货单据,发货时由发货部门填制,发货部门、财务部门、客户等各留存一联。销货通知单在执行后应该归入档案进行管理,并应由专门人员进行定期的核查。在销货通知单正式执行之前,企业应该根据需要对发货通知单和客户证实,避免因为执行发货通知单后客户取消订单而发生的不必要的损失。加强销售退回管理,分析退回原因,落实责任,及时妥善处理。财务部门根据销售通知单和发货单据,严格按照发票管理规定开具销售发票,填制相应的凭证,设置销售台账,实行全过程的销售登记制度。
4.收款环节。收款环节是销售的最终环节,体现着销售工作的优劣和成败,收款环节的内控有以下关键点:
(1)应收账款的管理。企业销售业务中赊销金额记入应收账款科目,在资产负债表中的流动资产中列示。但它仅仅是账面上的债权而不是实物性的资产,往往成了粉饰、调整报表的工具。而客户应收账款数额也是信用部门确定信用限额能否增加、信用能否继续的因素,所以应完善应收账款管理制度,严格考核和奖罚。应收账款的记录必须以核准无误的销售发票或发货清单为依据,防范虚假应收账款被列支。应收账款的各种贷方调整,比如冲销坏账、折扣的实施,须经财务经理的批准才可进行账务处理。应收账款明细账和总账的登记,应由不同的人员根据原始凭证和汇总记账凭证分别登记,还要由独立于应收账款记录的其他职员定期核查总账户和明细账户的余额。销售部门负责应收账款的催收,财务部门负责办理资金结算并监督款项的回收。
(2)应收票据的管理。企业应该关注应收票据的管理,严格审查票据的真实性、合法性,防止票据欺诈行为的发生。企业还应当查明票据的取得、贴现和背书,对于已经贴现但是仍承担收款风险的票据以及过期票据,应进行监控和追踪管理。应收票据应由专人保管,取得和贴现应由保管人员以外的主管人员进行书面批准。对于即将到期的应收票据,保管人员应及时向付款人提示付款。
(3)坏账的管理。企业应该加强应收账款坏账的管理。应收账款无法正常回收的,财务人员应该查明原因,确定责任,并且严格履行批准程序,按照国家规定的企业会计准则进行处理。应建立核销坏账的备查登记制度,已核销的坏账又收回时应及时入账,防止形成账外资金。
综上所述,销售环节是经营中关系重大的环节,企业应该强化销售每一个环节的内部控制程序,减少薄弱环节,确保企业的健康持续发展。
(四)信息与沟通与监控
信息与沟通(Information Communication)和监控(Monitoring)存在企业销售业务的每一个环节中的整个过程,并对其他各要素随时进行修正。例如信用审批,信用部门要与财务部门和销售部门进行沟通,仓库要根据销售部门的销售订单发货,同事要与财务部门和信用部门保持紧密联系。
参考文献
[1] The Committee of Sponsoring Organizations of the Treadway Commission:Enterprise Risk Management Integrated Framework.
[2] 储稀梁.COSO内部控制整体框架背景、内容、理论贡献与启示[J].金融会计,2004,(6).
