導語：如何才能寫好一篇風險評估方法論，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

    關鍵詞:電力企業(yè),風險管理,定量風險評估

    0、引言

    電力作為高風險產業(yè),不僅源于其公用事業(yè)屬性,以及技術資金密集、供求瞬時平衡、生產運行連續(xù)等特征,同時電力項目投資額巨大、建設周期長、沉沒成本高,而且,隨著電力體制改革和電力市場建設進程的深入,市場主體越來越多,電力交易關系復雜,不同主體之間協(xié)調困難,電力行業(yè)規(guī)劃建設、生產經營的不確定性加大、電力市場風險增加。根據“十一五”期間電力體制改革的任務,面對我國電力市場化發(fā)展的現狀,增強風險意識,樹立風險觀念,加強風險管理將是電力企業(yè)的重要任務。本文在闡述了企業(yè)風險管理基本框架流程及其主要內容的基礎上,提出電力企業(yè)定量風險評估的主要內容及方法,以期推動電力系統(tǒng)風險管理工作的開展。

    1、風險管理的主要內容

    風險作為客觀存在,要求人們考察研究風險時,要從決策角度認識到風險與人們有目的活動、行動方案選擇及事物的未來變化有關。風險的形成過程和風險的客觀性、損失性、不確定性特征共同構成風險形成機制分析和風險管理的基礎。

    人們一般對風險持厭惡態(tài)度,都想減小風險損失,追求風險與收益的均衡優(yōu)化。風險管理的提出與發(fā)展與企業(yè)發(fā)展狀況、社會背景密不可分。風險管理作為一門管理學科,首先在美國應運而生,之后傳到西歐、亞洲、拉丁美洲。美國大多數企業(yè)都設置專職部門進行風險管理,許多大學的工商管理學院都開設風險管理課程。風險管理作為一門科學與藝術,既需要定性分析,又需要定量估計;既要求理性,又要求人性;不但需要多學科理論指導,還需要多種方法支持。

    源于風險意識的風險管理主要包括風險分析、風險評價與風險控制三大部份。根據風險形成的過程,風險分析需要進行風險辨識、風險估計。風險估計需要進行頻率分析與后果分析,而后果分析又包括情景分析與損失分析。通過風險分析,可得到特定系統(tǒng)所有風險的風險估計,對此再參照相應的風險標準及可接受性,判斷系統(tǒng)的風險是否可接受,是否采取安全措施,這就是風險評價。風險分析與風險評價總稱為風險評估。為進行風險定量化估算,要進行定量風險評估(Quantitative Risk Assessment—QRA)。在風險評估的基礎上,針對風險狀況采取相應的措施與對策方案,以控制、抑制、降低風險,即風險控制。風險管理不僅要定性分析風險因素、風險事故及損失狀況,而且要盡可能基于風險標準及可接受性對風險進行定量評價。對于以盈利為目的的工業(yè)企業(yè)也希望將風險損失價值化并給出貨幣衡量標準。風險管理就是風險分析、風險評價、風險控制三者密切相聯的動態(tài)過程,見圖1。

    2、風險管理的組織實施與基本流程

    為有效實施風險管理,企業(yè)應由專門的組織及相關人員按一定程序組織實施風險管理工作。據《幸福》雜志對美國500多家大公司的調查知,84%的公司由中層以上的經理人員負責風險管理。風險管理的趨勢是董事會下屬設立風險管理委員會全面負責公司風險管理,組織實施的流程是:①制定風險管理規(guī)劃;②風險辯識;③風險評估;④風險管理策略方案選擇;⑤風險管理策略實施;⑥風險管理策略實施評價。

    3、電力企業(yè)定量風險評估(QRA)

    電力企業(yè)QRA的建立與發(fā)展從內部來看,不僅已有可靠性分析、安全分析、質量管理、項目管理等各專業(yè)分析作基礎,從外部而言有電力用戶、政府與社會公眾、咨詢機構等眾多相關主體的關注。電力企業(yè)QRA對企業(yè)的作用主要體現在:通過QRA有利于企業(yè)將風險水平控制在規(guī)定標準的風險水平之內,并符合最低合理可行原則;通過開展QRA可幫助企業(yè)全面識別風險,并按輕重緩急排序,以有助于管理者將精力、財力、物力集中于風險控制的重要緊急領域,使風險管理決策更為合理、效果更好、成本最小;通過對各種風險控制方案或安全改進措施進行QRA,使決策者對方案措施進行優(yōu)劣選擇,為公司提出決策支持。電力企業(yè)的風險將對其它企業(yè)和主體帶來連帶影響,并產生放大效應,電力系統(tǒng)安全、可靠、高效、優(yōu)質是各行各業(yè)和政府管理部門共同的愿望。電力企業(yè)實施QRA具有現實意義。

    3.1  電力企業(yè)QHA的基本框架模式

    電力企業(yè)QRA是指在工業(yè)系統(tǒng)QRA的基礎上,考慮電力系統(tǒng)的技術經濟特點及運行規(guī)律,結合電力體制改革及電力市場化進程而以概率模型表征的全面風險管理理論方法。為便于實施風險管理,保證風險評估質量,滿足風險評估過程各階段的不同要求,構建如圖3所示的適用于電力企業(yè)QRA的基本框架模式。在具體實施時,允許依實際情況而有所改變。

    3.2  電力企業(yè)QRA的主要工作內容

    (1)確定目標及范圍。包括風險管理的目的與意義,待分析系統(tǒng)的設備配置、工作流程、資金、人員、管

    理、信息、地區(qū)、人文環(huán)境等,即確定QRA實現目標和實施條件等。

    (2)風險辨識。即找出待評價系統(tǒng)中所有潛在的風險因素,并進行初步分析,通過安全檢查看系統(tǒng)是否達到規(guī)范要求。風險辯識的基本途徑有歷史事故統(tǒng)計分析、安全檢查表分析、風險與可操作性研究(HZOPS)、故障模式與影響分析(FMEA)、故障模式影響及危急分析(FMECA)、故障樹分析(ETA)、事故樹分析(ETA)、風險分析調查表、保單檢視表、資產風險暴露分析表、財務報表、流程圖、現場檢查表、風險趨勢估計表等。為配合保險公司對出險事項的處理,可采用從下至上的歸納法、從上至下的演繹法及兩者綜合運用。針對特定風險,可選用基于系統(tǒng)平面布置的區(qū)域分析、隱含事件分析、德爾菲法及基于事故樹分析的風險事故網絡法等。風險辯識不只局限于系統(tǒng)硬件,還應考慮人為因素、組織制度等系統(tǒng)軟件。  風險綜合集成是指對所有風險按其特性類型分門別類加以匯總整理。因電力工業(yè)特點及電力市場化改革特點,把電力系統(tǒng)風險按廠網分開的行業(yè)結構進行分類。

    對于發(fā)電企業(yè)而言,主要有電源規(guī)劃風險、報價競價上網風險、供求平衡風險、市場力抑制風險、備用容量風險、信用風險、法律風險、項目風險、中介機構風險等。對于電網企業(yè)而言,主要有電網規(guī)劃風險、電網融資風險、購電電價風險、電力交易轉移風險、輔助服務風險、成本分攤風險、輸電阻塞風險、輸電能力風險、備用率風險、電力監(jiān)管風險等。另外,電力企業(yè)還將面臨電力可靠性、安全性、穩(wěn)定性風險及電能質量風險等。

    風險綜合集成后的初步風險分析是對已辯識出的風險進行初步分析評估,確定風險的等級或水平。風險水平低的可忽略不計或僅作定性評估,風險水平高的要在定性分析基礎上,進行定量評估。

    (3)頻率分析。即確定風險可能發(fā)生的頻率,其方法主要有歷史數據統(tǒng)計分析、故障樹分析與失效理論模型分析。歷史數據統(tǒng)計分析是根據有關事故的歷史數據預測今后可能發(fā)生的頻率。因此要建立

    風險數據庫,既作為QRA的基礎,又作為風險決策的依據。故障樹分析作為一種自上而下的邏輯分析法,把可能發(fā)生的事故或系統(tǒng)失效(頂事件)與基本部件的失效聯系起來,根據基本部件的失效概率計算出頂事件的發(fā)生概率。失效理論模型分析是在歷史數據與專家經驗的基礎上,采用某種失效理論模型來計算風險發(fā)生頻率。

    (4)風險測定估計。根據風險特性及類型,運用一定的數學工具測定或估計風險大小。常用方法主要有主觀估計法、客觀估計法、期望值法、數學模型法、隨機模擬法和馬爾可夫模型法等。

    (5)后果分析。即分析特定風險在某種環(huán)境作用下可能導致的各種事故后果及損失。其方法主要有情景分析與損失分析。情景分析通過事件樹模型分析特定風險在環(huán)境作用下可能導致的各種事故后果。損失分析是分析特定后果對其它事物的影響及利益損失并歸結為某種風險指標。

    (6)風險標準及可接受性。風險標準及可接受性應遵循最低合理可行(ALARP)原則。ALARP原則是指任何系統(tǒng)都存在風險,而且風險水平越低,即風險程度越小要進一步減少風險越困難,其成本會呈指數曲線上升。也就是說,風險改進措施投資的邊際效益遞減,最終趨于零,甚至為負值。因此,必須在風險水平與成本間折衷考慮。如果電力企業(yè)定量風險評估所得風險水平在不可接受線之上,則該風險被拒絕,如果風險水平在可接受線之下,則該風險可接受,無需采取風險改進措施;如風險水平在不可接受線與可接受線之間,即落人ALARP區(qū)(可容忍區(qū)),這時要進行風險改進措施投資成本風險分析或風險成本收益分析。

    分析結果如果證明進一步增加風險改進投資對電力企業(yè)的風險水平減小貢獻不大,則該風險是可接受的,即允許該風險存在,以節(jié)省投資成本。ALARP原則的經濟學解釋類似投入要素的邊際收益遞減規(guī)律一樣,風險與風險措施投入間的風險曲線也呈邊際收益遞減規(guī)律。  3.3  電力企業(yè)QRA常用方法

    根據電力企業(yè)QRA的工作內容和實現要求,結合電力企業(yè)本身特點,電力企業(yè)QRA常用的方法主要有:安全檢查表即實施安全檢查的項目明細表;故障模式與影響分析技術和故障模式影響分析與致命度分析(FMEACA)技術;風險與可操作性研究技術;事件樹分析技術;基于概率影響圖技術、人工智能、專家系統(tǒng)、可靠性工程技術期望值法、風險主觀、客觀估計法、模糊評估法等。

篇2

關鍵詞：石油化工危險化學品辨識方法風險評估

中圖分類號：X937 文獻標識碼：A文章編號：1672-3791(2012)03(A)-0000-00

1 石化企業(yè)危險化工工藝概述

1.1 石油化工工藝的危險性

化工工藝是指通過原料處理、化學反應、產品精制等化學生產方法，將原材料轉變?yōu)楫a品的過程，這些過程通常需要相應的操作條件要求，并需使用特定的儀器和設備，使材料發(fā)生物理學上或化學上的變化，而危險化工工藝就是指在化工生產過程中，可能導致中毒、火災或爆炸等安全事故的工藝。石油化工企業(yè)的生產過程主要是將石油、天然氣等原材料，通過相應設備使其進行一系列的物理變化或化學反應，其工藝普遍具有連續(xù)性強、操作復雜的特點，原料、產品中包含大量有毒、有害、易燃、易爆、高腐蝕性的物質，且反應多是在高溫、深冷、高壓等特殊環(huán)境下進行的，因此反應裝置的運行、檢修、運輸、安裝等環(huán)節(jié)也普遍存在危險性。

1.2 石化工藝危險源的具體分析

（1）危險化學品。國務院頒發(fā)的危險貨物品名表與危險化學品名錄中，將危險化學品分為爆炸品、壓縮與液化氣體、易燃液體、易燃固體及自燃固體、氧化物及過氧化物、以及毒害品和感染性物品等幾大類?？梢哉f，這些化學品在石化生產中都有所涉及，其中一些還是重點石化工業(yè)的主要原料與產品。以其中的主要危險氣體而言，最為常見的就包括液化石油氣、氫氣、氨氣和硫化氫氣體等，液化石油氣作為一種從油氣田或石油煉制中獲得的碳氫化合物，可以作為重要的化工原料或燃料使用，但它同時也是一種易燃易爆氣體，并具有很強的揮發(fā)性且極易受熱膨脹，在大量被吸入人體后，還會導致窒息中毒等問題；氫氣作為工業(yè)原料廣泛應用于石化工業(yè)的各個領域，生產中需加入氫氣通過去硫和氫化裂解來提煉原油，但氣體具有無色無味、燃燒火焰透明等特性，因此發(fā)生泄漏時，通常很難被察覺，一旦液氫外泄至空氣中，就有可能與空氣混合引發(fā)燃燒爆炸事故；而其他常見的氨氣、硫化氫氣體等，也各具可燃性、腐蝕性等危險，必須妥善管理，加強預防控制。

（2）反應裝置的危險性。石化生產設備的危險性主要來自其生產原料、產品、以及相關工藝條件，催化裂解、常減壓蒸餾、延遲焦化以及汽油加氫等工藝中，設備的安裝、運行，及維護都面臨一定的安全風險。以催化裂化裝置為例，該裝置主要包括反應器和再生器、加熱爐和輔助燃燒室、裂解余熱鍋爐、油氣分離器、氣分裝置等。生產過程主要包括原料油催化裂化、催化劑再生和產物分離3個主要工藝流程，以原油蒸餾所得的餾分油為原料，在熱和催化劑的作用下發(fā)生裂化反應，以獲得輕質油品和液化氣等產品，其原料與副產品、產品均易于與空氣形成爆炸性氣體，在生產過程中產生的硫化氫有毒，且易泄漏，具有中毒危害。故整個裝置具有易燃、易爆、有毒等危害特性。此外，工藝中的高溫、高壓等工藝條件和裝置自身的缺陷等也構成了生產過程中的危險性因素。

2 重視風險評估加強安全管理

要全面控制石化企業(yè)化工工藝中的危險性因素，就必須建立安全生產數據庫，以計算機技術、通信技術等現代科技手段為支撐，通過完善的風險評估系統(tǒng)實現生產全過程的危險源辨識、風險評價、安全方案設計、費用計算等一系列高效管理工作。

2.1 危險源辨識

應根據不同企業(yè)的具體生產過程對其工藝中各物質與裝置的固有危險性、危險物質容量、溫度、壓力、操作方式、反應放熱與腐蝕性等多個項目分等級賦值并進行累計計算，所得的危險程度再結合其風險指標、危害程度及后果、控制方案等建立完備的資料數據庫。以危險物質容量為例，該指標是針對工藝裝置中各種反應物的含量，參考《危險化學品重大危險源辨識》或《壓力容器中化學介質毒性危害和爆炸危險程度分類》等標準進行分級，含量的計算應以反應物的反應形態(tài)為標準，有觸媒的反應還應去掉觸媒層所在的空間。在計算機的自動識別和控制程序設計中，還應完善系統(tǒng)中的查詢、保存、修改等功能。

2.2 安全評價

石化生產的安全評價具有多目標、多屬性的特點，單一的評價方法并無法全面反映評價對象的特征、危險程度，因此應根據不同的評價對象，提供多種評價方法再進行優(yōu)化。評價方法包括定性評價和定量評價，預評價、中間評價和現狀評價，工廠設計的安全性評價、安全管理的有效性評價、人的行為安全可靠性評價、作業(yè)環(huán)境和環(huán)境質量評價以及物質的物理化學危險性評價等，實踐中應將多種方法相結合，并引入行為矯正技術，模糊數學理論、層次分析法、風險指數法等，提高評價的科學性。

2.3 其他管理內容

其他管理內容包括方案設計與評估、數據管理、預算管理等。要確保安全辨識與評價的可靠、實用，必須對包括生態(tài)環(huán)境污染等內容在內的危險辨識及控制、工藝路線的科學性、作業(yè)的安全性、以及工程進度計劃等方案進行綜合評估；而針對企業(yè)的未來發(fā)展規(guī)劃，數據庫應具有運行穩(wěn)定、更新快、可擴充的性能，預算管理則應根據實際風險特點，合理配置安防費用，降低企業(yè)的經營成本。

3 結語

能源需求量的增大帶動了我國石油化工產業(yè)的快速發(fā)展，但也同時促使企業(yè)在激烈的競爭中不斷擴大規(guī)模、提高技術工藝水平和自動化水平，但由于這些行業(yè)涉及的危險物品與危險裝置種類多、范圍廣，并廣泛分布在石化生產全過程的各個環(huán)節(jié)中，因此也帶來了重大的安全風險。目前我國的危險化工工藝的安全保障系統(tǒng)在風險辨識方面仍處于起步階段，且未形成通用性的評價方式，因此相關工作人員必須在不斷總結經驗教訓的基礎上，結合理論分析，參考專家的咨詢意見，建立有針對性的評估指標體系，以科學的管理方法，實現石化企業(yè)的安全生產。

參考文獻

[1] 趙來軍, 吳萍, 許科. 我國危險化學品事故統(tǒng)計分析及對策研究[J]. 中國安全科學學報, 2009, (07).

[2] 付師兵. 石油化工工藝設備檢修過程中火災事故成因分析及安防措施[J]. 江西化工, 2011, (01).

篇3

關鍵詞：BOT項目；業(yè)主風險；風險評估；風險控制

中圖分類號：U412文獻標識碼： A

1.1 BOT項目風險評估的目的及方法

項目風險識別是項目風險管理中的第一步，是基礎和重要組成部分。其任務是確定何種風險事件可能影響項目目標，并將這些風險的特性整理成文檔。

風險評估就是在風險識別的基礎上，分析和評價損失對項目的既定目標的影響程度，通過對由風險識別獲得的資料和數據的處理，得到風險后果發(fā)生的概率、嚴重程度和大小，為選擇應對措施，進行正確的風險管理決策提供依據。

風險評估的目的是：對項目中各種各樣的風險分析、比較，找出主要風險和次要風險；挖掘項目風險間的內在聯系；進行項目風險的量化研究，進一步量化已識別的風險發(fā)生概率和后果，減少風險發(fā)生概率和后果估計中的不確定性，為風險應對提供管理策略。

風險評估是為了確定風險的存在對項目本身造成的影響和后果，風險評估方法一般可以分為定性、定量、定性與定量相結合的三類，而有效的項目風險評估方法一般采用定性與定量相結合的系統(tǒng)方法。常用的項目風險評估方法有：層次分析法、決策樹法、主觀評分法、模糊風險綜合評估法等。

在高速公路BOT項目運營中，可能遭遇的風險帶有很大的模糊性，本文結合風險的這一特性，采用模糊數學中的模糊綜合評判方法對高速公路BOT項目運營中業(yè)主風險進行量化分析評估。

1.2 BOT高速公路項目運營中業(yè)主風險評估指標體系

1.2.1 BOT高速公路項目運營中的業(yè)主風險因素

通過對高速公路BOT項目運營中業(yè)主的風險進行分析，作為業(yè)主高速公路BOT項目運營中的風險與其他階段存在同樣多的風險，通過一系列的資料收集和分析，依據廣泛性、代表性、準確性相結合的原則，把高速公路BOT項目運營中存在的各種風險因素歸納如下表：

1.1 BOT高速公路項目運營中業(yè)主常見風險

環(huán)境風險

氣候自然災害風險

政策風險

法律風險

金融風險

外匯風險

利率風險

通貨膨脹風險

市場風險

價格風險

交通量轉移風險

管理維護風險

管理風險

維護風險

1.2 業(yè)主風險模糊綜合評估模型的建立

在基于各參與方的高速公路BOT項目運營中業(yè)主風險評價指標體系中，由于各指標的影響因素各不相同，除少數可以通過統(tǒng)計方法獲得，大量的指標則只能采用專家評分法。對于這樣的評價問題，運用模糊數學的方法，即模糊綜合評估法（Fuzzy Comprehensive Evaluation,簡稱FCE）可以得到較好的解決[1]。

模糊評估方法[2]是把模糊數學應用到判別事物和系統(tǒng)優(yōu)劣領域的新方法,根據給出的評估標準和實測值,經過模糊變換后對事物或系統(tǒng)作出綜合評價。

模糊評估方法的特點主要表現在：

（1）模糊評估方法可以不直接依賴于某一項指標，也不過分地依賴于絕對指標，而是采取比較的方法，這樣可以避免一般數學評價方法中，由于標準選用不盡合理而導致的評價結果的偏差。

（2）評估指標的重要程度通過權數加以體現，但允許在權數選擇上有一定的出入，而不至于改變最終的評估結果。另外，在技術處理上，有效地避免了累積誤差的影響。

（3）模糊評估中算子的選擇和隸屬函數關系的確立，使各項參與評價的非量化指標間建立了有機聯系，使評估結果能夠更好地反映評估對象的整體特征和一般趨勢[12]。

由于高速公路BOT項目運營中業(yè)主風險因素多，僅采用單級模糊綜合評判，當因素眾多時權重難以恰當分配，因素的層次也難以考慮，故本文采用二級模糊綜合評判數學模型。

為了能夠準確、有效、綜合地評估高速公路BOT項目運營中業(yè)主風險，使評估結果能夠為各項目參與方提供談判、決策參考，根據本文對高速公路BOT項目運營中業(yè)主風險評估指標的劃分，用模糊數學綜合評判法對高速公路BOT項目運營中業(yè)主風險進行評估的內容步驟如下：

① 確定影響因素及其層次，建立評估因素集

本文將高速公路BOT項目運營中業(yè)主風險作為因素集，按其屬性將風險分成4類，分別是環(huán)境、金融、市場和管理維護風險，記為U={U1，U2，U3 ，U4}。Ui中又含有n個子因素，記為Ui={Ui1，Ui2, …,Uin},(i=1,2, 3,4) 如圖4-1所示

② 建立評估集

評估集是對評判對象可能作出的各種評估結果組成的集合，不論因素層次有多少，

評估集只有一個。這個評估集適用于全部BOT風險因素。通過評估集給定評價的基準，表示為

V={V1,V2,…,Vp}(4-1)

其中VK（K=1，2，…，P）為總評判的第K個可能的結果。

選擇因素集和評估集的原則是：既要全面又要抓住主要矛盾。這樣既可以更好的模擬人們的思維，又可以避免一些不必要的麻煩。

按照評估集的原則，把BOT的業(yè)主風險程度劃分為5個等級：低風險V1；較低風險V2； 一般風險V3； 較高風險V4； 高風險V5 。

③ 建立評估因素的權重集，并修正指標的權重

在我國目前，采用BOT法對于風險評估中，應用專家評估居多，但若直接請專家給出各項指標的權值，結果可能受專家們的主觀因素影響太大，從而影響科學性。權重是因素重要程度的定量表示，其合理性直接影響到評價結果的準確性，為了弱化主觀因素的影響，本文采用層次分析法（AHP）確定專家給定的指標權重值。

層次分析法[3]（Analytic Hierarchy Process,簡稱AHP）是美國運籌學家薩蒂（T.L.Saaty）于20世紀80年代提出的，是一種定性與定量分析相結合的多目標決策分析方法。它可以將無法量化的風險按照大小排出順序，把它們彼此區(qū)別開來。其步驟為：構建遞階層次結構；按表4.2根據知識、經驗和判斷，從第一個準則層開始向下，逐步確定各層諸因素相對于上一層各因素的重要性權數，建立的兩兩比較矩陣：以表4.3所示為準，檢驗矩陣的一致性。

表2.1利用層次分析法進行業(yè)主風險比較的1-9級標度描述

標度 定義

1 i因素與j因素同樣重要

3 i因素比j因素略重要

5 i因素比j因素較重要

7 i因素比j因素非常重要

9 i因素比j因素絕對重要

2、4、6、8 上述兩判斷級的中間值

倒數 若i因素與j因素比較，得到判斷值為aji=1/aij, aii=1

表2.2一致性指標

N 1 2 3 4 5 6 7 8 9

RI 0.00 0.00 0.58 0.96 1.12 1.24 1.32 1.41 1.45

根據每1層次中各個影響因素的重要程度，分別賦予相應的權數。

第1層次評估指標的權重集W={W1，W2，W3，W4},且滿足：

（4-2）

第2層次評估指標的權重集:Wi中n個子因素，記為A={ai1,ai2,…ain},{i=1,2,3,4},且滿足:

（4-3）

為了使專家意見的篩選更為科學,從而使指權重確定的更為合理,對多個專家所分配的權重進行聚類分析與權重修訂,過程如下:

用層次分析法處理得出來的權重矩陣如下,其中Wij指第i位專家對第j個指標判斷后經層次分析法處理后得到的權重和重要程度.m表示專家的人數,n表示指標的個數.

W= （4-4）

為了判斷矩陣中各專家所得權重的離散程度，故需計算各權重間的相似系數并由此組成相似系數矩陣。相似系數Rij和相似矩陣R如下：

（4-5）

（4-6）

其中Rij指專家i與專家j權重結果的相似程度：由式（4-4）可知，Rij越小，則相似程度越小。n表示指標權重的維數，亦即所評價指數的個數。m表示專家意見的總數，即參加權重評估的專家總人數；顯然，Rij=1，Rij=Rji 。

在剔除離異點集中離異程度大的權重時，本文根據聚類分析的原理采用了一種簡化的方法，它與現有的方法具有相同的精度，但計算簡單、原理直觀，更適合在實踐領域內應用：

（4-7）

（4-8）

其中，Pi表示相似系數矩陣中每一行之和，它表示第i個專家判斷所得出的權重意見與其他專家群體評估所得權重意見的偏離程度，相似系數之和越小，則此專家意見距離其他專家意見越“遠”，偏離程度越大。P表示相似系數對行求和形成的一列。

通常來說，聚類分析所要解決的問題是把很多的元素按照相似原則劃分為若干小集合，目的在于分類而不是淘汰某個集合[4]。本文的聚類分析則側重于找出偏離專家群體綜合意見程度最大的“離異”專家意見。

最后用偏離程度的量化指標來衡量各個專家意見，通過公式（4-8）確定偏離程度。也就是說，當Di大于某一閥值時，這個意見應該被排除掉。

％（4-9）

式中：Di―第i個專家的相似系數與最大相似系數的偏離程度。

Pmax―相似系數矩陣中的最大值。

在BOT項目風險評估的實踐中，淘汰的專家太多，就失去了群體決策評估的作用。淘汰專家太少，則又使個別與群體評估權重偏離程度大的專家意見影響評價結果。根據經驗，應用聚類分析淘汰專家的比例應在20％-30％為好[5]。

④ 確立隸屬關系，獲得模糊評判矩陣。

請專家或相關管理人員組成的風險評估小組，根據給定的評價基準對項目風險進行評價。這種評價是一種模糊映射，即使對同一個風險的評定，由于不同評價人員可以作出不同的評定，所以評價結果只能用對第i個因素做出第j評價尺度的可能程度的大小來表示。這種可能程度稱為隸屬度[6]，記作rij。

由此得到模糊評估矩陣

（4-10）

Rij―對因素Ui中第i個評價子因素作出第j級評價Vp的隸屬度，j=1,2,…,n;

P=1,2,…,m 。

⑤ 模糊綜合評估

根據模糊評估矩陣,模糊綜合評判集為:

（4-11）

B為U中所有因素的綜合評判結果,它表示評判對象按所有因素評判時,對評判集中第K級的隸屬度。再由最大隸屬度原則或加權平均法定出最終結論。

⑥確定評估等級。按照已經制定的評估尺度，進行計算，這種評定是一種模糊映射。

將評估等級取成列矩陣V，風險評估結果最后數值結果為：

S＝B×V （4-12）

參考文獻

[1]傅鴻源. BOT項目風險評價方法的研究[J]. 系統(tǒng)工程理論與實踐, 1995, (10): 55-58

[2]宋冬梅. 基于模糊理論的BOT項目風險評價[J]. 建筑管理現代化, 2005, (4): 54-56

篇4

Abstract: Mudslides risk assessment and warning research is the main research direction and frontier exploratory topic in disaster area at home and abroad. This paper made a brief review on mudslides risk assessment and warning research in recent decades, discussed some existing problems and the development trend at present in this field.

關鍵詞: 風險;定性評價;定量評價;滑坡泥石流;小區(qū)域尺度

Key words: risk;qualitative evaluation;the quantitative evaluation;landslide debris flow;small regional scale

中圖分類號:P694文獻標識碼:A文章編號:1006-4311(2010)20-0247-01

1風險性評估回顧

滑坡泥石流災害在自然災害中,是最重要災害類型之一,具有分布地區(qū)廣、發(fā)生頻率高、運動速度快、災害損失嚴重等特點。國外普遍重視城市滑坡泥石流災害的評估研究,俄國、日本和美國等國的相關專家、學者、科研院所以及政府機構等均對滑坡、泥石流等地質災害的風險評估、預測預報等進行了較為系統(tǒng)的研究。涉及各單項評估評價研究文獻較多,主要集中于滑坡泥石流災害的風險分析與制圖。自二十世紀八十年代以來,幾乎所有受滑坡泥石流影響嚴重的國家、地區(qū)的城市都開展了綜合性地質災害損失預防和管理,其共同特點是選擇示范試驗區(qū)或流域進行風險性評估,這種非工程性措施的減災效果已普遍得到認可。

自1994年以來,對自然災害承災體易損性研究日益引起國際上的普遍關注,城市綜合減災研究成為跨世紀中國最值得關注的保障技術之一。二十世紀九十年代以來,GIS技術與地質災害空間預測數學模型方法的結合成為地質災害研究的熱點領域。GIS 技術使泥石流風險評價的空間數據集成化更簡便、分析速度更快、精度更高,促進了該領域快速發(fā)展,相關研究大量涌現,具有代表性的是意大利學者A. Carrara 系統(tǒng)總結了近年來滑坡(含泥石流) 風險制圖的技術方法和存在的問題。目前泥石流風險評價工作關鍵在于GIS 專家、統(tǒng)計專家和地學工作者共同對相關空間數據獲取、處理和分析,開發(fā)可靠性強的評價模型。我國開展泥石流風險評價研究起步較晚,例如劉希林討論了泥石流風險區(qū)劃的易損度計算方法。

滑坡泥石流經濟損失評估日益引起各國政府部門和學術界的廣泛關注。倫敦大學皇家學院地理系A.Hansen(1984)教授完成的滑坡危險性分析,成為滑坡泥石流風險評價的重要成果。近幾年,許多學者對自然和經濟易損性作了深入的研究并對多種災害的易損性建立了分析體系和評價方法或模型,并將它們用于指導高風險地區(qū)的防災救災。

2預警研究發(fā)展

二十世紀七十年代,前蘇聯學者弗萊施曼[1]提出泥石流空間預報、時間預報和規(guī)模預報的概念,開展了天氣氣象學方法的泥石流發(fā)生預報的試驗,編制出泥石流工程預測圖等,并于1980年出版專著《泥石流形成規(guī)律和預報》。與此同時,日本[2]也于1981年出版《滑坡、崩塌、泥石流預測與對策》專著。

中國在二十世紀八十年代開展了區(qū)域泥石流的預測預報方法研究,很多學者和研究機構,基于不同的學科背景和不同的研究視角以及不同的問題領域,對中國的滑坡、泥石流等地質災害調查評價與監(jiān)測預警進行了探討與實踐,系統(tǒng)地總結了滑坡泥石流預測預報的基本理論與方法,闡述了新思維,積累了經驗。在地質災害中,滑坡、泥石流特別是降雨型滑坡、泥石流的風險評估及其預測預報,在地質災害頻發(fā)的后發(fā)達的山區(qū)省份中尤其具有特殊意義。針對后發(fā)達省區(qū)的滑坡、泥石流等地質災害的風險評估及預警研究,已有學者開展了定性或半定量的研究,他們的研究工作和初步成果成為我們從事此項研究的重要基礎。例如譚萬沛(1994)出版專著《暴雨泥石流滑坡的區(qū)域預測與預報》,唐川(1995)出版《云南省滑坡泥石流重點區(qū)域預測預報與評價方法研究》。

此外,近十幾年來,“3S”技術應用于滑坡泥石流預報測預等方面的研究成果也很多,如Hergarten et al. (1998),Nagra jan, R. et al.(1998),Aldo Clerici et al.(2000),Mandy LinebackGritzner et al. (2001)等。

3討論

3.1 由于滑坡泥石流災害損失評估問題的復雜性和評估對象的多樣性,特別是涉及山區(qū)城市的特殊性,因此有很必要進一步探討適合山區(qū)城市滑坡泥石流災害特點的損失評估方法,并在實際應用中不斷完善,逐步提高其評估水平和實用性,使這項工作更加規(guī)范化、科學化。

3.2 我國學者的研究主要集中在國家和大區(qū)一級尺度,對各地區(qū)的災害防控具有一定的宏觀指導意義。具體到小尺度區(qū)域時,由于地質和環(huán)境條件的復雜多樣、社會經濟的差異以及居民生產生活方式的不同等,造成理論成果與實踐的脫節(jié),理論服務實踐的初衷無法實現,嚴重制約特定區(qū)域的災害防治和社會經濟的和諧可持續(xù)發(fā)展。針對小尺度區(qū)域的滑坡、泥石流等地質災害的風險評估與預警研究亟待開拓和系統(tǒng)研究。

3.3 可借鑒錢學森院士創(chuàng)立的“從定性到定量的綜合集成法”為方法論工具,關注安全、生態(tài)、經濟、可持續(xù)的風險評價、管理與預警系統(tǒng)研發(fā)。在地理信息系統(tǒng)平臺上,綜合使用系統(tǒng)動力學等各個學科的基本研究方法,進行時間和空間對偶分析,更能準確把握問題的實質,找到問題的根源,從而進行跨多學科和多領域的系統(tǒng)分析和情景分析,提出更具針對性的對策建議。

3.4 滑坡泥石流易損性表示“潛在最大損失”,是時間和空間的復合函數,隨時間變化和區(qū)域的不同而不同,因此易損性評價應該進一步強調易損性增長率的分析。對于處于經濟欠發(fā)達階段以及地質環(huán)境條件復雜的區(qū)域, 由于城鎮(zhèn)人口和經濟規(guī)模急劇上升,城鎮(zhèn)范圍不斷擴大,地質災害頻發(fā),易損度隨著財產和人口的增加而快速增大。因此,滑坡泥石流潛在最大損失中,人員損失的比重很大,財產損失占國內生產總值的比重也很大。

參考文獻:

[1](蘇)C.M弗萊施曼著,姚德基譯.泥石流形成規(guī)律和預報[M].科學出版社,1980.

篇5

一、現有軟件項目風險管理模型分析

軟件風險管理是一種軟件工程實踐，包括過程、方法和工具，并利用這些過程、方法和工具去完成持續(xù)評估風險、確定風險優(yōu)先級、實施策略處理風險工作?，F有軟件項目風險管理模型包括：(1)BarryBoehm理論。20世紀80年代，軟件風險管理之父Boehm認為，軟件風險管理這門學科的出現就是試圖將影響項目成功的風險形式化為一組易用的原則和實踐的集合，目標是在風險成為軟件項目返工的主要因素并由此威脅到項目的成功運作前，識別、描述并消除這些風險項。他將風險管理過程歸納成兩個基本步驟，即風險評估和風險控制。其中風險評估包括風險識別、風險分析、風險排序；風險控制包括制定風險管理計劃、解決風險、監(jiān)控風險。(2)SEI(軟件工程研究所)的CRM(持續(xù)風險管理)模型。SEI提出的CRM模型要求在項目生命周期的所有階段都關注風險識別和管理，它將風險管理劃分為識別、分析、計劃、跟蹤和控制5個步驟，并采取不同的策略。(3)Riskit方法。如果組織在項目早期采用系統(tǒng)化的風險管理過程和技術，那么組織就有能力避免很多問題。Riskit方法能提供這種系統(tǒng)化的風險管理過程和技術，它由Mary-land大學提出的，旨在對風險的起因、觸發(fā)事件及其影響等進行完整的體現和管理，并使用合理的步驟評估風險。對于風險管理中的每個活動，Riskit都提供了詳細的活動執(zhí)行模板，包括活動描述、進入標準、輸入、輸出、采用的方法和工具、責任、資源、退出標準。Riskit風險管理過程在項目生命期內，這些活動可以重復多次。(4)SofiRisk風險管理模型。SoftRisk模型是由Keshlaf和Hashim提出的，它基于這樣一種觀念：記錄并將注意力集中在高可能性和高破壞性的風險上是進行風險管理的有效途徑。這樣可以節(jié)省軟件開發(fā)過程中的時間成本和人力成本，并可有效減輕風險的破壞性。此模型確保在軟件項目進行中持續(xù)地進行風險管理。(5)IEEE風險管理標準。IEEE風險管理標準定義了軟件開發(fā)生命周期中的風險管理過程。該風險管理過程是一個持續(xù)的過程，系統(tǒng)地描述和管理在產品或服務的生命周期中出現的風險，包括計劃并實施風險管理、管理項目風險列表、分析風險、監(jiān)控風險、處理風險、評估風險管理過程等。(6)CMMI(軟件能力成熟度模型集成)的風險管理過程域。CMMI是由SEI在CMM基礎上發(fā)展而來，并在全世界推廣實施的一種軟件能力成熟度評估標準，主要用于指導軟件開發(fā)過程的改進和進行軟件開發(fā)能力評估。風險管理過程域是在CMMI第三級一一已定義級中的一個關鍵過程域。CMMI認為風險管理是一種連續(xù)的前瞻性的過程。它要識別潛在的可能危及關鍵目標的因素，以便策劃應對風險的活動并在必要時實施這些活動，緩解不利影響，最終實現組織目標。CMMI的風險管理被清晰地描述為實現三個目標，每個目標的實現又通過一系列的活動來完成。(7)Microsoft的MSF風險管理模型。MSF的風險管理認為，風險管理必須是主動的，它是正式的系統(tǒng)的過程，風險應被持續(xù)評估、監(jiān)控、管理，直到被解決或問題被處理。

二、面向企業(yè)全面成本計算模型的風險管理策略

結合企業(yè)全面成本計算理論和軟件項目的風險管理內容，筆者通過對國家科技攻關項目“模型驅動的異構系統(tǒng)集成框架與基于SOA的數據交換平臺技術”進行分析，建立一種面向企業(yè)全面成本計算模型的風險管理策略。

(一)基于網格體系的企業(yè)全面成本計算模型ETCM以客戶價值與企業(yè)利潤最大化為目標，面向產品全生命周期，通過成本企畫確定目標成本，并將成本筑人到產品的設計與制造過程；在廣度上，面向企業(yè)整個供應鏈，通過作業(yè)成本管理確立成本計算模型，優(yōu)化供應鏈中的增值作業(yè)；并通過層次分析(AHP)方法、企業(yè)資源計劃(ERP)或系統(tǒng)預測確立EAD模型(費用與作業(yè)關聯矩陣)和APD模型(作業(yè)與產品關聯矩陣)等成本分配率模型。在計算過程中，ETCM計算模型涉及合作伙伴各種高度異構、動態(tài)分布的信息平臺。以Web服務為運行平臺，采用面向服務的體系架構，建立圖1所示兼容硬件平臺、遺留信息系統(tǒng)和知識資源的全面成本管理體系結構，實現對企業(yè)整個供應鏈資源的有效組織和管理，幫助企業(yè)在整個供應鏈范圍內，準確計算產品成本信息，輔助決策。

ETCM模型的體系結構由基礎支撐平臺層、集成化容器層、企業(yè)成本相關業(yè)務邏輯表示層、業(yè)務建模層、企業(yè)門戶應用層、網格應用層構成。以硬件、系統(tǒng)軟件和Internet為基礎平臺，在容器層建立支持業(yè)務運行的Java和功能組件、網格服務和Web服務組件，通過企業(yè)業(yè)務邏輯表示層實現網格高層應用功能的邏輯表達。企業(yè)業(yè)務邏輯表示層在企業(yè)業(yè)務過程編排與工作流技術的連接與管理下，將Legacy(遺留系統(tǒng))、MTC(微軟組件)、E-JB(企業(yè)Java組件)、Web服務和網格服務封裝成不同領域內的商務應用(如企業(yè)物流、財務、人力資源、制造資源、全面成本管理、客戶關系管理)，并通過企業(yè)咨詢與診斷、企業(yè)業(yè)務過程需求分析、業(yè)務流程建模、業(yè)務流程再造和業(yè)務流程持續(xù)改進等功能為企業(yè)提供實施網格應用的方法論指導。門戶應用層為用戶提供用戶界面和一致的訪問接口(如基于Web的服務門戶)。應用層在Web服務和網格服務基礎上提供網格制造系統(tǒng)高層應用，這些系統(tǒng)不局限于協(xié)同環(huán)境中的全面成本管理，還可應用于電子商務和電子市場、商務協(xié)同、制造協(xié)同與供應鏈協(xié)同等領域。容器層提供遺留系統(tǒng)容器、Web應用容器、Web容器以及網格服務容器等分別處理和封裝來自合作伙伴或企業(yè)內部不同軟硬件應用平臺和操作系統(tǒng)的成本相關的業(yè)務應用。遺留系統(tǒng)容器集成與處理基于業(yè)務功能的商務應用，Web應用容器為EJB、Java Bean、MTC、CCM(CORBA組件)等企業(yè)級服務器組件提供安全運行環(huán)境與管理機制，Web容器為JSP(Java頁面)、Servlets、ASP(Active頁面)等

Web組件提供安全運行環(huán)境與管理機制，網格服務容器集成基于Microsoft，Net、J2EE(Java 2 Enterprise Edition)的Web容器和Web應用容器及Legacy容器，為網格服務與Web服務提供相應執(zhí)行環(huán)境、服務組件執(zhí)行周期、事務以及安全與服務質量的管理，并支撐Web服務組件的開發(fā)、部署、調試和運行，解決了協(xié)同環(huán)境中異構成本信息的共享與集成問題。

(二)面向ETCM計算模型的風險管理策略 通過對國家科技攻關項目 “模型驅動的異構系統(tǒng)集成框架與基于SOA的數據交換平臺技術”的分析，結合上述企業(yè)全面成本計算理論的復雜性以及傳統(tǒng)軟件項目風險管理的主要內容和策略，筆者建立一種面向企業(yè)全面成本計算模型的風險管理策略模型，如圖2所示：

在圖2所示的風險策略管理模型中，理論基礎是一個開放的概念，多受益于其他學科，包括風險和風險管理的定義、風險管理模型等體系結構。風險管理模型形成指導性的框架結構，核心風險管理步驟通過引入風險實體的概念和面向目標辨識、評估風險的思想，針對不同企業(yè)的計算環(huán)境提供不同的風險處理思路。技術基礎包括風險定量計算、風險決策支持、風險預測及模擬等相關的風險決策和預測技術。決策樹幫助大多數風險項確定相關的解決方案，例如，圖形化的評審技術或隨機型決策技術(GERT)是在計劃評審技術(PERT)和關鍵路徑法(CPM)之后發(fā)展起來的隨機型網絡技術，通過將不確定性引入計劃，使系統(tǒng)狀態(tài)不能全部列舉出來，使得任何一種狀態(tài)都不能完全代表系統(tǒng)的真正結果，增強了節(jié)點的邏輯判斷功能，且數學模型可以使用計算機仿真來實現。在GER技術基礎上，風險評審技術(VERT)從單純考慮計劃的時間因素發(fā)展到全面考慮計劃中的時間、費用和效益因素，可以對計劃進行更全面的分析和評價。

篇6

Abstract: Hierarchy complexity is proved be a source of project risk in order to recognize project risk objectively after the relationship between project risk and hierarchy complexity is discussed. A new risk evaluation model is proposed, in which the hierarchy complexity is used as the criterion and project scale is considered. To investigate risk diffusion mechanism of individual project in project portfolio, mutual effects among projects and classification of project portfolio is analyzed. A model for cooperative project portfolio that quantitatively depicts its risk diffusion mechanism with logistic mapping is proposed. Strategies for reducing complexity risk of cooperative project portfolio were put forward after a case study about the diffusion model.

關鍵詞:項目;項目組合;復雜性;風險

Key words: project;project portfolio;complexity;risk

0引言

如何正確地認識項目的風險來源并對風險的大小做出合理的評估,使項目能有效抵御風險,是項目管理者們在項目運行之前面臨的主要問題。面對于實際問題的需要,學者們在風險來源的識別和風險大小的評估方面做了大量的研究[1-6],研究的對象涉及建筑、軟件開發(fā)、電子商務等眾多行業(yè),研究成果給出了不同行業(yè)的項目風險來源并建立了多種風險評估方法。這些研究的成果為不同行業(yè)的項目管理者的風險管理提供了較好的思路指引和方法指導。

從目前的研究來看仍然存在著有待進一步討論的地方,其中較為突出的一點就是大部分研究中都認為技術和市場是風險的主要來源,并就這兩個方面建立評估方法。技術風險主要是考慮項目所采用的技術與外界的成熟技術相比是否落后,如果項目擬采用的技術處于先進水平,成本是否過高,項目團隊是否有能力完成;市場風險則是考慮項目產品的性能是否能滿足市場的需求,項目產品的規(guī)模是否符合市場規(guī)模。所以市場和技術兩方面的風險均來主要來自于項目外部環(huán)境。從哲學決定論的角度來看,外部因素對事物的發(fā)展具有很大的影響,但并不是決定性因素,內部因素才是事物發(fā)展決定性因素。對項目而言,外部的需求和技術狀況影響著項目的運行,但項目是否能成功達到預期目的,項目內部的運行效率問題才是關鍵,項目內部的風險是不能忽略的風險。對于風險的評估,通常會建立一套指標體系,然后通過專家的意見獲取風險的發(fā)生概率和后果影響。這種評估模式目前較為普遍,但筆者認為主觀性太強而使得應用面不廣,而且實際中不易操作。如果能以項目自身的某一客觀表現來反映項目的風險并利用客觀數據評估其大小,那么這種風險評估模式既能較為客觀,也比較容易實施,對于項目內部風險,項目復雜性的研究為我們提供了思路。

Mohan.V.Tatikonda和Stephen.R.Rosenthal[7]將項目復雜性定義為“一個項目所包含的任務的性質、數量以及范圍”,而且認為對于產品開發(fā)項目而言,項目的復雜性特征主要體現在所使用的技術的相互依賴程度、項目目標對于開發(fā)者而言的新穎程度以及項目目標的困難程度,這三個特征都與項目的不確定性相聯系,而且項目的復雜程度與項目的成果成反比關系。Rajesh Kumar[8]等研究了能源開發(fā)項目的復雜性,認為能源項目由于項目開發(fā)人員、政府、金融機構、設備提供商、子項目承包商以及項目股東等多個利益相關者存在,所以具有結構上的復雜性,而這種結構的復雜性又導致了項目開發(fā)人員與各方人員之間相互協(xié)商的復雜性,如果項目各方之間的協(xié)調出現問題,則很可能會在項目各方的風險分擔方面產生障礙從而使得項目失敗。蔣國萍和陳英武[9]對軟件項目的復雜性及其計算方法作了探討,認為軟件項目的復雜性有兩大來源,一是環(huán)境的復雜性如用戶組織結構的復雜,用戶對軟件項目的理解和支持以及應用環(huán)境的復雜性等。二是軟件項目的產品-軟件本身的復雜性,這種復雜性主要是軟件結構的復雜性和算法的復雜性。Willams.T.M[10]認為項目的復雜性來源于項目的結構復雜和不確定性。這些研究表明,項目的復雜性不僅都是由于項目任務、組織結構以及項目相關利益者的眾多而產生,更為重要的是這種復雜性都會影響到項目的實施而帶來風險,而且項目組織結構的復雜性被認為是項目復雜性的組成部分之一。項目組織結構的復雜與否是項目本身的一種特征,是一種外在的表現,但這種外在表現的實質是一種風險。因為如果組織結構復雜或者臃腫,各部門的協(xié)調性差,那么項目運行就可能會顯得無序,好的技術人員、充分的財務資源會被大量的無效行為所消耗,這種現象在實際中是較為普遍的現象,雖然這種情況與工作人員的素質有密切關系,但與組織結構不無關聯。因此我們認為組織結構是項目內部產生風險的一個來源,這種風險可能并不像技術、資源等那樣被項目管理者所認識、重視,但是客觀存在的。因此,我們用組織結構的復雜性作為項目內部風險的衡量尺度并對其定量化。

當單個項目擴展為多個項目的項目組合時,每個項目的實施都涉及到人、財、物等多個方面,項目之間還可能在這些方面相互交叉影響[11],所以研究個體風險與組合風險之間的關系對于認識項目組合整體的風險是必要的。目前對于個體與組合的風險關系的研究成果主要集中于金融投資(如股票、證券)組合領域,由于金融投資的風險主要來自于市場的波動,服從一定的概率分布,所以金融投資組合風險的研究均以概率論作為方法基礎,研究具有成熟的方法論指導而且成果也較多。對于實體項目的風險而言,除了市場風險,其它諸如技術、組織結構等風險不具備服從概率分布的條件,如何定量刻畫項目個體風險與項目組合風險的關系就成為一個難點,關于這方面的研究目前也較少。鑒于此,本文以項目組織結構復雜性風險為對象,利用logistic映射刻畫項目個體的組織結構復雜性風險在協(xié)作型項目組合中的擴散機制,以期能為項目個體與項目組合的風險關系的研究提供一個思路。

1基于組織結構復雜性的項目風險評估

由于復雜性在管理中的研究歷史并不長,關于管理復雜性的計算也主要集中在企業(yè)管理系統(tǒng)度量這一層次,所以對于項目復雜性目前也僅僅是一些概念和定性的描述,具體的計算方法目前較少,能查到的相關文獻也僅有文獻[9]。

在對企業(yè)系統(tǒng)復雜性的度量中,等[12]認為作為復雜度的一個基本方面,復雜度在一定程度上可以不確定性的測度即熵(Entropy)來表示,同時指出復雜模型難以建模和求解,因此利用容易獲取的宏觀量的宏觀綜合方法來度量組織的復雜性更具普適性,而一個非常重要的宏觀量就是熵,所以利用宏觀信息熵來處理復雜系統(tǒng)具有廣泛的適應性。在復雜性計算中,宋華嶺等做了較多的研究。他們定義了管理熵,提出從管理信息、功能和結構三個維度來討論企業(yè)管理系統(tǒng)的復雜性,以熵作為管理系統(tǒng)復雜性的度量,定義了管理力和管理功,并在此基礎上建立了企業(yè)系統(tǒng)在三個維度上的復雜性的度量模型以及整體復雜度度量模型[13]。這些模型主要根據于力學和物理學中的“力”和“功”的內涵將管理系統(tǒng)的復雜性視為管理者的管理力和管理功的結果,并利用“力”和“功”計算方法來建立管理系統(tǒng)復雜性的計算模型。此外,他們將理論應用到了煤炭企業(yè)中,對煤礦生產工藝的復雜性以及煤礦生產系統(tǒng)的結構的復雜性建立了定量化計量模型[14,15]。從這些研究來看,對于企業(yè)復雜性度量主要是針對管理系統(tǒng)的復雜性,其度量方法主要是利用系統(tǒng)的熵來反映系統(tǒng)的有序程度,從而衡量管理系統(tǒng)的復雜程度。

組織結構的復雜性是管理系統(tǒng)復雜性的一個方面,對項目復雜性的研究也指出了項目組織結構的復雜性是項目復雜性的主要來源,所以對于項目的復雜性的計算,組織結構復雜性是一個必要的計算量。文獻[15]建立管理系統(tǒng)組織結構復雜性的計算方法,這種方法是針對企業(yè)的組織結構而言,而且是就復雜性本身而言,沒有將復雜性看作是風險源。對項目而言,規(guī)模(一般以投資額度衡量)與風險是密切相關的,相同的風險值,規(guī)模大的項目的風險往往也被視為高于規(guī)模小的項目。所以我們在文獻[15]的計算方法的基礎上加入規(guī)模因子,即將多個項目的規(guī)模加總,然后將各個項目的規(guī)模除以總規(guī)模,就得到各個項目的規(guī)模因子,以體現“大投資,高風險”這一邏輯。以Wi表示利用文獻[11]計算出的項目i的組織結構復雜性熵值,以Fi表示項目i的投資規(guī)模,則基于組織結構復雜性的項目i的風險評估模型Ci為:

C■=W■×■(1)

2項目組織結構復雜性風險在協(xié)作型項目組合中的擴散機制

2.1 項目組合中項目間風險的相互影響對于項目組織結構的復雜性,每個項目都有相對獨立的組織結構,所以單從組織結構本身而言項目的組織結構的復雜性是沒有相互影響的。但是正如前文所述,組織結構的復雜性的實質是項目風險,而風險是會在項目間相互影響和傳遞的,所以由于組織結構的復雜性帶來的風險會由于個體之間的相互影響而在組合中擴散、傳播。但組合的風險與項目個體的風險的關系是怎樣的呢,是項目個體的風險之和還是等于組合中項目風險的最大值,或者是其他的關系,這些問題都是值得進一步討論的。

項目間的影響不同,對項目組合帶來的風險也是不同的,所以要評估由于項目個體之間的相互影響而對項目組合帶來的風險,首先就需要明確項目間可能存在的影響關系。郭鵬等借鑒生物種群的相互關系對項目間的相互影響作了分類,得到了一個較為完備的分類集[16]。這個分類集將項目間的相互影響分為三類:一項目間相互合作而得以完成,項目間具有上下游關系,稱為協(xié)作型項目組合;二是項目間相互競爭相同資源、技術或者市場,稱為競爭型項目組合;三是項目間不存在共同的資源、技術或者市場,基本上沒有影響,稱為無關型項目組合。下面分別探討三類項目組合中項目個體的相互影響對項目組合整體的風險產生的影響。

2.1.1 協(xié)作型項目組合中項目的相互影響協(xié)作型項目組合中項目的在產品或者信息方面發(fā)生了直接作用,也就是一個項目的產品或信息是以其下游項目的產品和信息為基礎,上游項目的產品數據、成本以及工期等方面都會直接影響下游項目的產品轉換過程,因此,我們不能認為項目之間由復雜性帶來的風險是相互獨立的。從實際的角度考慮,如果項目的產品數據與下游項目的需要有一定但合乎規(guī)定的差距,下游項目將上游項目的產品作為輸入的話,那么下游項目所受到的影響不會是上游項目產品數據本身的差距,而可能比這個差距更大,這樣就可能造成下游項目產品合格但上游項目以此為輸入的產品卻不合格。當然如果兩個項目之間具有較好的協(xié)調性的話,比如相互之間訂立了一致的標準,相互建立了良好的對話機制,那么這種差距也會由于良好的協(xié)調性而被消除。由此我們認為,協(xié)作型項目組合的復雜性及其風險來源于兩個方面:一是項目個體本身的復雜性;二是項目之間的協(xié)調性。項目個體的復雜性越大,那么會造成項目組合的復雜性越大;二項目之間的協(xié)調性越好,項目個體的復雜性也可能被抵消而使項目組合的復雜性降低。

2.1.2 競爭型項目組合中項目的相互影響競爭性項目之間的主要影響來自于對資源和市場的爭奪,也就是對項目資源的輸入和項目產品的輸出的競爭,而在項目內部轉化過程,即把項目資源轉換為項目產品的過程中是沒有相互影響。前文已說明,項目組合中項目個體的組織結構的復雜性是項目個體的外部特征,并不會直接在項目之間相互作用的,而是通過由此形成帶來的風險而相互影響。這種風險帶來的后果可能是產品數據的混亂,成本的增加,工期的延長,因此,風險的后果主要是在內部轉換過程中形成的并影響內部轉換過程。而從管理角度來講,項目組合中項目的管理是相對獨立的,只有當各項目在內部轉換過程中存在相互影響時,項目的風險才會傳遞和擴散。競爭性項目組合的項目個體產品之間并沒有相互連接,也就是說一個項目的產品轉換過程與另一個項目沒有直接聯系,因此我們認為競爭性項目組合的項目個體的復雜性所產生的風險并不會在其他項目中傳遞或放大。但組合中項目的復雜性并不是沒有影響的,項目組合中的每個項目的收益和風險都對整個項目組合的收益和風險產生貢獻,而在競爭性項目組合中,項目之間在產品生產過程中沒有上下游的關系,那么規(guī)模越大,收益越大的項目的收益的確保,風險的控制對于整個項目組合的收益和風險越重要。所以我們認為競爭性項目組合的復雜性主要取決于項目的規(guī)模,也就是說,識別項目組合中規(guī)模最大的項目的復雜性并采取措施降低其復雜性是控制項目組合整體復雜性的關鍵。

2.1.3 無關型項目組合中項目的相互影響由于無關型項目組合中項目之間在產品生產過程中也沒有直接的關系,所以無關型項目組合的復雜性也類似于競爭型項目組合的復雜性。

2.2 基于Logistic映射的項目組織結構復雜性在協(xié)作型項目組合中的擴散機制協(xié)作型項目組合包含了具有上下游關系的多個項目,每一個項目既是下游項目的客戶,也是上游項目的服務者,互為因果關系,因此風險會在項目之間傳遞甚至擴散。由于項目在產品、信息方面的相互傳遞,每個項目的產品都會被其下游產品的所影響并影響其上游產品,所以一個項目的復雜性小的改善或者惡化通過在組合中的傳遞可能會引起整個組合的復雜性的改善或者惡化,項目組合的輸出對輸入敏感,會產生蝴蝶效應。作為社會經濟子系統(tǒng),項目及其組合是開放的,項目的運行要與外界(包括項目組合的其他項目)進行物質和信息的交換,同時環(huán)境的變化所帶來的經營機遇、經營目標和核心資源的變化也會給項目及項目組合產生不確定性,由于市場是不可逆的,所以項目變化也是不可逆的。由此可以看出,合作型項目組合具有多要素、多層次、不確定等特征,其復雜性必然會對項目及項目組合的實施產生深刻影響。

任佩瑜等[17]提出管理耗散和管理耗散結構的概念,并給出了管理耗散結構的前提條件。從這些前提條件來看,協(xié)作型項目組合是典型的管理耗散結構,耗散是與“開放”相對應的,開放系統(tǒng)之所以更為復雜,原因在于它既要考慮系統(tǒng)內部,又要考慮系統(tǒng)外部,因而這類系統(tǒng)中產生混沌往往更為容易。Logistic映射是一維非線性映射,這種映射在研究耗散結構中的傳遞和擴散作用具有普遍而且廣泛的適應性。因此,本文采用Logistic映射描述協(xié)作型項目組合中項目個體由于組織結構的復雜性而產生的風險在其下游項目中的擴散作用,進而提出合作型項目組合的動態(tài)風險模型。

系統(tǒng)演化是驅動力與耗散力相互競爭的結果[18],所以影響項目組合組織結構復雜性的的不僅僅是各項目內部復雜性,項目之間的協(xié)調性也是形成整個組合復雜性的關鍵因素,每個項目的復雜性也不僅取決于其內部的復雜性還要受到上游項目的復雜性的影響。因此我們認為在合作型項目組合中,復雜性是按照信息、產品在各項目中的傳遞流程擴散的。

設協(xié)作型項目組合中有n個項目在產品或者信息存在相互傳遞,產品或信息順序通過n個項目。第i個項目的組織結構的復雜度為ei,總復雜度為En,由Logistic映射:

xn+1=uxn(1-xn)(xn∈(0,1),u∈(0,4),n=1,2,3……)(2)

可得項目i的復雜性在第i+1個成員中的擴散量為:

di=uiEi(1-Ei)(3)

第i+1成員的復雜性為:

Ei+1=ei+1+di=ei+1+uiEi(1-Ei)(4)

由于項目個體的復雜性是逐級擴散的,所以協(xié)作型項目組合中項目組織結構復雜性風險的擴散為:

En=en+dn-1=en+un-1En-1(1-En-1) (n=2,3,4……)

E1=e1(5)

對(5)有:

①ei(i=1,2,3,……n)是大于零的實數并且可以利用文獻本文第2節(jié)的方法計算。

②本文的主要目的是探討項目的組織結構復雜性潛在的風險在項目組合的傳遞和擴散作用,因此只考慮組合中項目產品或者信息的傳遞過程順序的上下游項目的復雜性之間的關系,處于同一層次的項目之間的復雜性的計算由于沒有直接的相互影響,所以可以通過加和方式來完成,在此不做詳細論述。

③u是一個具有現實意義的重要的參數,其含義和計算方法在下文中詳細討論。

u是描述上游項目組織結構的復雜性在下游項目中的擴散的參數。而這種擴散的存在是由于合作所產生的。項目組合中的項目個體是為了實現共同的目標和利益而進行合作,項目之間的關系是否協(xié)調對項目組合有著重要的意義。如果項目之間合作不協(xié)調,即使每個成員的復雜度都很低也可能提高項目組合整體的復雜度;相反,如果成員之間協(xié)調性好,那么項目內部的復雜度會在成員之間良好的協(xié)調中得以抵消。協(xié)調度是指系統(tǒng)之間或系統(tǒng)要素之間在發(fā)展過程中和諧一致的程度,描述了系統(tǒng)內部各要素或子系統(tǒng)間協(xié)調狀況的好壞,體現系統(tǒng)由無序走向有序的趨勢。從協(xié)同論的觀點來看,系統(tǒng)走向有序的機理不在于系統(tǒng)現狀的平衡或不平衡,也不在于系統(tǒng)距平衡態(tài)有多遠,關鍵在于系統(tǒng)內部各子系統(tǒng)間相互關聯的“相互作用”,它左右著系統(tǒng)相變特征和規(guī)律,協(xié)調度正是這種系統(tǒng)作用的量度。所以此處將u定義為項目組合內相互作用的項目間的協(xié)調度。

相互作用的成員構成了一個二元系統(tǒng)。二元系統(tǒng)協(xié)調度的計算是通過兩者之間的輸入、輸出關系來界定的。如果成員A的輸出是成員B的輸入,則AB之間的協(xié)調度[11]為:

協(xié)調度=(6)

為避免協(xié)調度為無窮,規(guī)定二元系統(tǒng)的協(xié)調度在(0,1)內取值,即令當(6)中的分母為零時協(xié)調度為1,分母最大時為零。式(6)是一個概念性的公式,具體的計算方法可文獻[19]。

從(4)看出,影響項目組合的復雜度En的因素包括ei和ui。由于實際中的項目的復雜度可能出現[0,1]內的任意值,所以討論每個項目復雜度與En之間的關系是沒有意義的,而探討ei之間和ui之間的差異對En的影響則能對實際中項目組合的構建和復雜度的降低提供參考;另一方面,在處于項目組合的最下游成員對其下游項目的影響,其復雜度會在組合中的所有項目中傳播并影響En,因此探討最下游項目的復雜度大小與En的關系是有必要的。

2.3 仿真以包含10個項目的協(xié)作型項目組合為例

以向量:c1=[0.2,0.21,0.21,0.19,0.2,0.195,0.21,0.21,0.21]表示ui的差異較小,極差不超過0.01

以向量:c2=[0.1,0.002,0.9,0.8,0.03,0.5,0.001, 0.05,0.73]表示ui的差異較大,而且沒有任何分布規(guī)律。

當ei差異較小,極差不超過0.02時時分兩種情況:

(1)e1較大,以e1=0.7為例。以向量:v1=[0.7,0.71,0.72,0.715,

0.71,0.72,0.716,0.72,0.71,0.7]表示e;

(2) e1較小,以e1=0.002為例。以向量v2=[0.002,0.002,0.018,

0.0019,0.0021,0.0022,0.0018,0.0019,0.0017,0.0018]表示e。

當ei差異較大時同樣分上述兩種情況:

(1)e1較大,以向量v3=[0.7,0.001,0.03,0.051,0.15,0.08,0.007,

0.045,0.015,0.15]表示e

(2)e1較小,以向量v4=[0.002,0.001,0.03,0.051,0.15,0.08,

0.007,0.045,0.015,0.15]表示e

對上述的u、v兩兩組合,進行模擬得到表1的結果。

從表1可以得出:1)在各種組合下,協(xié)作型項目組合的風險普遍比組合內各項目的風險大。2)從組合(1)、(5)得出:如果協(xié)作型項目組合內每個項目的風險較大時,那么無論項目之間的協(xié)調度好壞與否,都會使項目組合的風險增大;3)從組合(3)、(4)、(7)、(8)得出:在各項目之間的協(xié)調度相同的情況下,協(xié)作型項目組合風險的演化會趨于定值,e1的大小對En沒有影響;而在ei相同時,組合內各項目之間的協(xié)調度不一致時的En(0.3184)較成員的協(xié)調度一致時的En(0.1552)大。4)在所有的組合中,組合(2)即當項目內部風險較小,項目之間的協(xié)調性較好時項目組合的En最小;

此外,在仿真中還發(fā)現,改變前6個ei或者ui時,協(xié)作型項目組合的En均趨于定值,而以相同幅度改變第6個以后的某個ei或者ui時,組合的En都會發(fā)生變化而且變化的幅度愈來愈大。

ei是各項目的內部行為,作為協(xié)作型項目組合而言是無法控制的。而ui則是項目組合整體行為,是投資主體能夠采取措施降低的。因此對整個項目組合而言ui是一個重要因子。在項目組合的風險最小的組合(2)中固定e,變化ui,測試En得到表2的結果。

從表2可以看出,當ui在區(qū)間(0,3.0)內取值時,En隨ui增大而增大;當ui大于3.0時,En的變化不再具有規(guī)律性甚至出現負數。

由此可見協(xié)作型項目由于成員項目個體的復雜性在組合內部擴散使得項目組合的風險具有動態(tài)性,從而使得組合較單個項目更為復雜。

從仿真結果得知,要降低協(xié)作型項目組合整體的風險,需要降低各個項目的風險和提高項目之間的協(xié)調度,并且項目之間的協(xié)調度要一致。

對于項目個體的風險,項目組合雖然是一個投資主體,但各個項目的運行和管理是相對獨立的,投資主體不會對各項目的風險直接控制,因此可以在構建項目組合時對各項目設計相近而且復雜性較小的組織結構。對于成員之間的協(xié)調度則是投資主體可以采取措施控制的。從協(xié)同論的觀點來看,系統(tǒng)整體要得以存在和保持,就不能讓其中的各個組成部分獨立地各行其是,而要求它們相互配合,協(xié)同工作。一個好的系統(tǒng)必須包容和代表各個成員的利益,為他們提供所需要的東西和“保護”。而對于成員來說,只要還“生活”在這個系統(tǒng)之中,要得到系統(tǒng)的“保護”和其他成員的支持,就必須服從系統(tǒng)給與的約束,接受其他成員的作用。所以,要降低協(xié)作型項目組合的復雜度,則應當:

(1)首先就要為項目組合制定共同認可和遵守的“公約”,如果有誰違反就要受到相應的懲罰,這樣使項目組合中的各項目的行動方向趨向一致,避免由于各項目之間的協(xié)調度不一致導致項目組合風險加大。

(2)各項目為實現投資主體的利益最大的目標而組合,項目之間并不是簡單的供求關系而是利益共同體,相互間的信任、共同的信念是項目組合得以維系的根本。所以作為項目組合的投資主體應著力建設企業(yè)文化并使這些文化能在項目的實施過程中起到團結協(xié)調的作用。

(3)合作型項目組合中各項目之間會產生信息、物質甚至人員的交換和流動,因此如果各項目在地理上是分散的,那么就須要建立低成本,快速的物流系統(tǒng),高效實用的物流方案,降低成本,提高效率。

(4)充分利用通訊和計算機技術建立通暢的信息交流平臺,并將各項目的信息歸結到投資主體所能掌握的一個平臺上,這樣就有利于各項目的信息交流的通暢,避免由于信息表達形式的不同而引起誤解,同時也有利于主體及時了解各項目的運行情況。這也是目前企業(yè)中做得較多的信息化工作。

3結論

項目風險不僅僅包括技術、市場等外部影響因素,項目內部的運行效率是項目達到預期目的的決定性因素,因此對于來自不能忽略項目內部的風險。項目的組織結構的復雜性雖然是項目自身的一種外在表現,但這種外在表現會對項目的運行效率產生影響,因此將項目組織結構的復雜性作為項目的一個風險是有必要的,同時以組織結構的復雜性作為這種風險的度量方法也能使風險評估定量化。對于項目組合而言,項目間的相互影響不同,項目組合的風險也就不同,尤其是對協(xié)作型項目組合而言,組合中的項目個體的組織結構復雜性風險會在組合中傳遞、擴撒,項目組合具有耗散系統(tǒng)的性質,所以用Logistic映射反應協(xié)作型項目組合中項目組織結構復雜性風險的擴散機制是適當的,當然這種定量刻畫是否精確還有待進一步研究。

參考文獻:

[1]A.Fiordaliso, P.KunschA Decision Supported System Based On the Combination of Fuzzy Experts Estimates to Finacial Risk in High-level Radioactive Waste Projects[J] Progress in Nuclear EnergyVol.46, No.3-4,pp.374-387,2005.

[2]V.Carr, J.H.M.Tah A Fuzzy Approach to Construction Project Risk Assessment and Analysis:Construction Project System[J] Advance in Engineering Software 32 (2001):847-857.

[3]Ibrahim.A.Motawa, Chimay.J.Anumba,Ashraf.El-HamalawiA Fuzzy System for Evaluating the Risk of Changes in Construction Projects [J] Advance in Engineering Software 2006 (37):583-591.

[4]Wendy.L.CurreA Knowledge-based Risk Assessment Framework for Evaluating Web-enabled Application Outsource Projects[J] International Project Management 2003 (21):207-217.

[5]P.N.Sharrat, P.M.ChoongA Life-cycle Framework to Analyse Business Risk in Process Indurstry Projects[J] Journal of Clearner Production 2002 (10):479-493.

[6]Wen-Ming Han,Sun-Jen HuangAn Empirical Analysis of Risk Components and Performance on Software Projects[J] Journal of Systems and Software 2007 (80):42-50.

[7]Mohan.V.Tatikonda, Stephen.R.RosenthalTechnology Novelty,Project Complexity,and Product Development Project Execusion Success:A Deeper Look at Task Uncertainty in Product Inovation[J] IEEE Transactions on Engineering Management Vol.47, No.1, pp.74-87.

[8]Rajesh Kumar, U.Srinivasa Rangan, Carlos RufinNegotiating Complexity and Legitimacy in Independent Power Project Development[J] Journal of World Business, 2005 (40):302-320.

9]蔣國萍,陳英武.基于證據推理的軟件項目復雜性評估[J] .計算機工程與應用 2005(2):4-7.

[10]Willams.T.MThe Need for New Paradigms for Complex Project[J] International Journal of Project Management 17(1999):269-273.

[11]劉亞旭,汪應洛.具有不對稱性風險交互效應的R&D項目組合選擇方法[J].系統(tǒng)工程,2007,25(2):18-21.

[12],盛華毅,現代系統(tǒng)科學學[M].上海:上?？茖W技術文獻出版社,2005.

[13]宋華嶺,劉全順,劉麗娟等.管理熵理論-企業(yè)組織管理系統(tǒng)復雜性評價的新尺度[J].管理科學學報,2003,6(3):19-27.

[14]宋華嶺,李金克,于紅等 薄煤層煤礦生產車間特殊開采生產技術的復雜性評價[J].中國管理科學,2007,15(1):80-87.

[15]宋華嶺,金智新,白希軍等.礦井生產系統(tǒng)結構復雜性評價[J].煤炭學報,2005,30(3):403-408.

[16]郭鵬,曹朝喜,楊婭芳 基于種群生態(tài)學的競爭項目組合風險決策模型[J].工業(yè)工程,2006,9(6):70-75.

[17]任佩瑜,張莉,.基于復雜性科學的管理熵、管理耗散結構理論及其在企業(yè)組織與決策中的作用[J].管理世界,2001,(6):142-147.

篇7

【關鍵詞】 大數據審計； 物聯網； 云計算

物聯網建設的本質不是“互聯互通”，而是遠程智能控制，而能夠溝通感知層、網絡層與應用層，實現遠程智能控制的只有大數據。因此，確保大數據的真實、可信與安全便成為物聯網建設的核心任務。大數據審計是實現這個任務的重要工作之一?；谶@個背景，本文介紹了大數據審計的目標、審計的依據、審計內容、企業(yè)三層審計制度等內容。

一、大數據風險暴露：物聯網建設數據風險規(guī)避的需要

物聯網的發(fā)展使企業(yè)從“小數據時代”進入“大數據時代”，而這些巨量的非結構化為主的大數據的處理只有云計算技術（或平臺）才能夠實現。因此，當業(yè)務和數據從傳統(tǒng)的信息系統(tǒng)環(huán)境轉移到“云”上后，數據與業(yè)務的安全、操作合規(guī)、業(yè)務持續(xù)、數據真實、安全、可信等是企業(yè)信息化考慮過程中除了效率和成本之外的核心問題。雖然云服務提供商會考慮如何為用戶提供安全、可信的云計算解決方案，但用戶必須考慮如何確保自己的信息資源的可信與可控。大數據風險不僅具有傳統(tǒng)網絡環(huán)境下的風險，還具有云環(huán)境下的風險。

（一）傳統(tǒng)網絡環(huán)境下的大數據風險

1.大數據暴露在“第三只眼”的風險

由于網絡的虛擬化、無邊界、流動性等特征，數據及其系統(tǒng)面臨較多的安全問題。黑客的入侵、惡意代碼的攻擊、拒絕服務攻擊、網絡釣魚或敏感信息外泄等，如：網絡中的病毒、木馬、惡意軟件對公司數據或系統(tǒng)的監(jiān)測、攻擊，導致公司的數據或系統(tǒng)不能夠正常運轉與應用；數據在網絡、服務器、存儲、平臺到應用的過程經常遭到泄露和被第三方竊取的問題，特別是公司內部員工惡意利用實體的方式，接觸備份敏感數據，或是利用在系統(tǒng)上的權限，存取第三數據，竊聽重要會議機密，獲取商業(yè)機密；系統(tǒng)內部自然、人為因素導致數據或系統(tǒng)不能夠正常運作；由于火災、地震等自然因素，或硬件與軟件運行過程的正常與不正常因素，導致數據或系統(tǒng)不能夠正常運作。

2.數據質量問題導致數據的誤用

“與有形產品不同，垃圾的數據只能產生垃圾的信息。”由于在大數據過程中經常出現數據不準確、不完整、不及時等數據質量的問題，因此，在數據分析處理的過程中必須確保大數據的質量。

3.數據被人為操縱的風險

數據分析的目的是解決企業(yè)業(yè)務問題、提升業(yè)務決策。由于業(yè)務的理解因人而異，業(yè)務決策的目標也因人而異。數據分析所應用的數據和模型不同，分析的結果也將會不同。也就是說，數據分析如果不能夠客觀，將會產生被人為操縱的風險。因此，企業(yè)必須通過審計杜絕那種自私的操縱統(tǒng)計數據的做法，并增強注重客觀性的企業(yè)文化。

（二）大數據暴露于云計算平臺下的風險

1.大數據暴露于服務供應商的風險

在物聯網、云計算環(huán)境下，企業(yè)的數據置于企業(yè)邊界之外的公共共享網絡上，并且數據的所有權、管理權及使用權發(fā)生了分離——企業(yè)用戶失去了對數據資源的直接控制，直接面臨著用戶與服務提供商的安全 問題。

2.數據暴露于共享平臺上租戶的風險

在物聯網、云計算環(huán)境下，企業(yè)數據經常處在與其他客戶共享的情況中，許多數據加密也未能防止數據泄露，且必須進行資源隔離，特別是對數據休眠期間的安全隔離。由于企業(yè)數據的信任邊界審計，許多數據虛擬化技術未能確知托管于什么地方，這些動態(tài)變化的信任邊界要求邏輯層的訪問控制和授權管理得到審計與信任。

3.數據暴露于企業(yè)業(yè)務變化的風險

企業(yè)數據會由于企業(yè)需求變化、投資變化、監(jiān)管策略變化從一個云平臺遷移到另外一個云平臺，數據兼容性和互操作性、各個平臺的統(tǒng)一合規(guī)標準等需要審計，確保數據的安全、可靠與可信。

二、大數據審計：物聯網建設的制度保證

企業(yè)傳統(tǒng)信息化系統(tǒng)存在于企業(yè)內部，是相對封閉的信息系統(tǒng)，只有少量的Web應用、郵件系統(tǒng)等需要的業(yè)務系統(tǒng)暴露在外，企業(yè)只需要在出口部署安全設備、設置高顆粒度安全訪問控制策略、內部規(guī)范管理、提供操作性較強的安全防護措施就能夠確保企業(yè)的信息安全問題。然而，在物聯網、云計算時代，企業(yè)數據從業(yè)務分布處理向可快速分發(fā)、快速遷移的計算資源整合，對網絡安全方案提出更高的要求，包括高性能要求、性能彈性擴展、全面的可靠性保障、虛擬化和可視化要求、立體式的安全防護等。

因此，物聯網和云計算的技術特征和商業(yè)模式決定了用戶在使用云計算服務時，難以控制數據和業(yè)務的風險，必然導致對數據安全、隱私保護、合規(guī)水平等問題的擔憂。因此，更合理的方式應該基于持續(xù)性專業(yè)監(jiān)控和專業(yè)分析，對云計算應用作出客觀、公正、綜合的評價。大數據審計正是扮演這樣一個角色。

大數據審計是傳統(tǒng)信息審計的發(fā)展，它仍然是“收集并評估證據以決定一個計算機系統(tǒng)是否有效做到保護資產、維護數據完整、完成目標，同時最經濟地使用資源。”隨著物聯網的建設，大數據大審計是企業(yè)內部控制、信息系統(tǒng)治理、安全風險控制等不可或缺的關鍵手段。

大數據審計定位為物聯網建設中大數據風險的綜合治理，它保持獨立性，以第三方客觀的立場對物聯網建設中大數據進行檢查和評價，不僅保護建立在“云”上物聯網業(yè)務和“云”中大數據安全，而且對大數據處理過程中的效果、效率、可靠以及合規(guī)等風險隱患提出審計意見。

三、大數據審計的標準規(guī)范

與會計審計遵循《審計準則》一樣，大數據審計需要有一套共同遵循的審計規(guī)范。物聯網、云計算快速發(fā)展帶來大數據審計的需要，各國政府、協(xié)會或民間組織也積極關注并推行大數據審計的規(guī)范。一般說來，大數據審計主要存在于信息審計或云計算的審計規(guī)范之中，當前國外主要信息審計的相關標準如下：

信息系統(tǒng)審計與控制基金會在1996年制定的IT治理模型（COBIT），是國際公認的、權威的安全與信息技術管理和控制的標準，也是國際上通用的信息系統(tǒng)審計的標準之一。它的宗旨是跨越業(yè)務和IT控制之間的鴻溝，建立一個面向業(yè)務目標的IT控制框架。特別是最新的COBIT5.0版本中，被稱為“一個治理和管理企業(yè)IT的業(yè)務框架”。它是IT技術人員、用戶、企業(yè)管理人員和IT審計師之間的橋梁。

美國國家標準與技術學院（NIST）不僅了被廣泛引用的《云計算定義》，還了《聯邦信息系統(tǒng)和機構的信息安全持續(xù)監(jiān)測》（ISCM）報告，通過持續(xù)監(jiān)測，保持其對信息安全、漏洞和威脅的警覺。

美國云安全聯盟CSA在2009年12月了《云安全指南》。它涵蓋了“云計算重點13個區(qū)域的安全指導”，從云用戶角度闡述了可能存在的商業(yè)隱患、安全威脅以及推薦采取的安全措施。

ISACA是國際信息系統(tǒng)審計協(xié)會在2010年推出的云計算管理審計、保證程序（Cloud Computing Management Audit/Assurance Program），規(guī)定審計過程中使用的工具、模板以及流程。同時，ISACA還在程序中規(guī)定了審計過程中應該關注的審查點以及遵循的標準，從而保證審計師能夠完整、真實地記錄有關數據。主要關注云計算治理的影響、服務供應商以及客戶之間的合同履約、云計算控制的具體問題等。如數據審計的審計目標是：為云計算服務提供商的客戶提供對服務提供商內部控制的有效性和安全性評估；識別客戶組織其他與服務提供商的接口是否存在內部控制缺陷；評估客戶的質量和能力情況與服務提供商的內部控制項相關的證明。

其他的信息審計標準還有歐洲網絡與信息安全局的《云計算風險評估方法論》、ISO27001等等。

在我國，由于物聯網與云計算等信息化發(fā)展相對落后，至今尚未有大數據審計的標準，可以參考的主要有2008年五部委共同頒布的《企業(yè)內部控制規(guī)范》和2009年銀監(jiān)會頒布的《商業(yè)企業(yè)信息科技風險管理指引》。

四、大數據審計的框架體系

大數據審計與會計審計一樣，也包括制定審計目標、確定風險領域、制定審計計劃、設計審計程序、執(zhí)行審計計劃以及出具審計結果和管理建議。由于篇幅的限制，本文提出的大數據審計框架體系是由大審計目標維、審計制度維、控制對象維等構成的三維立體體系。具體如圖1。在下文中主要介紹大數據審計的目標、審計制度維、審計對象維等具體的內容。

（一）大數據審計的目標：大數據審計的目標維

1.對大數據的安全性發(fā)表意見

物聯網及云計算的運用下，網絡的虛擬化、無邊界、流動性等特征，數據及其系統(tǒng)面臨較多的安全問題。例如：商業(yè)機密被第三方所利用、商業(yè)機密或個人隱私的數據被公司內部別有用心地“惡意”利用、自然災害等意外情況的發(fā)生等。因此，大數據安全是大數據可靠、有效使用的前提。為了有效保護系統(tǒng)和數據安全，做好災害預警等，數據審計對于數據安全和物聯網的建設有著至關重要的意義。因此，大數據審計首推對大數據的安全性發(fā)表意見。它不僅要對提供大數據服務供應商的安全可信性發(fā)表意見，同時也包括對服務提供商本身的可信性發(fā)表意見，對企業(yè)內部的大數據收集、處理等過程的數據安全性發(fā)表意見。

2.對大數據來源和數據質量的可靠性發(fā)表意見

大數據獲取過程中對數據的處理，是為后續(xù)流程提供高質量數據的基礎，因此，如何獲取數據以及對數據如何處理，對后續(xù)高效高質量的數據分析起著至關重要的作用。

大數據審計的目標是確保大數據質量的準確性、完整性、一致性、時效性、可信性以及可解釋性。具體而言，當采集的源數據存在數值缺失、空值、冗余、錯誤、格式不一致、含義不清等問題時，審計人員應當進行數據整理、加工，剔除錯誤或偏離期望的值，以提高審計分析的準確性和效率；保證數據不缺屬性，確保數據完整性；使數據之間不存在差異，相互可內洽，達到數據的一致性；數據的“新鮮感”——及時送達數據確保數據的時效性；在整個數據整合過程中，統(tǒng)計出有多少數據是用戶依賴的，以測數據的可信性；最后，也是最重要的，是保證數據容易被理解，以達到其可解釋性。

3.對大數據分析的有效性發(fā)表意見

通過數據產生、數據獲取、數據存儲、數據分析、數據可視化，最后到達數據結果，是業(yè)務部門數據操作的整套流程，也是檢驗數據是否合理、有效性的最重要一步。大數據往往被深埋在非常大型的數據庫中，且往往包含多年的歷史數據，同時數據量和搜索工作量都非常大。數據分析的有效性不僅取決于數據質量，也取決于數據分析的合理性。數據審計必須對數據分析的合規(guī)性是否達到數據分析效果進行審計。大數據審計人員通過開展數據分析，科學高效地確定項目、編制方案、實施審計、出具報告，從而確保數據的準確性和有效性。

（二）數據分析過程：大數據審計的對象維

數據分析過程是數據審計架構的對象，是解決大數據審計的源頭。根據大數據生命周期業(yè)務流程，大數據審計需要對如下大數據分析業(yè)務環(huán)節(jié)的數據安全性、可靠性、有效性進行審計：數據源分析、數據獲取、數據存儲、數據分析、數據共享、數據可視化等大數據分析過程。具體如圖2。

1.數據源分析

物聯網、云計算中的數據源頭為企業(yè)外部數據和企業(yè)內部數據。為確保企業(yè)數據安全性、可靠性及數據分析的有效性，必須對數據源進行分析安全性等審計。如：審計數據存儲的可信度，審計數據的完整性、數據的可靠性、數據的一致性等分析；數據格式分析；數據更新方式分析等等。

2.數據獲取

數據獲取過程是指物聯網通過云計算平臺獲取數據的過程，主要包括數據整合、數據清洗、數據轉換、數據加載等業(yè)務過程。由于云環(huán)境下數據平臺上有多租戶的出現，必須明確數據的權屬。這個過程要確保數據安全、可靠，有效使用的制度主要有對數據分類并對數據進行標識、分配權限。同時，針對不同數據進行分級，制定數據加密等安全策略。

3.數據存儲

物聯網和云計算環(huán)境下的數據必須保證所有的數據包括所有副本和備份，存儲在合同、服務級別協(xié)議和法規(guī)允許的地理位置。建立數據訪問控制；進行數據加密，建立內容發(fā)現制度，確保數據安全審計工作有效進行；要求對數據進行數據等級區(qū)分，分開存放；如果存在數據共享，應該對訪問權限進行嚴格精細化控制，并可以實時監(jiān)控和提供審計措施。

4.數據分析

大數據分析實務中避免數據遭到任何哪怕是輕微的泄漏，以避免侵害到數據擁有者和數據相關者的利益。大數據審計要審核企業(yè)是否可以通過日志文件或基于的工具對數據分析活動進行有效監(jiān)控；企業(yè)是否制定數據安全的應用邏輯；企業(yè)是否制定基于數據管理解決方案的對象級控制制度；企業(yè)是否進行多份、異地備份方式進行數據備份，防止數據丟失、意外的數據覆蓋和破壞，必須保證數據可用。

5.數據可視化

數據可視化是指計算機圖形學、圖像處理技術和office辦公軟件，將數據或數據分析結果轉換成圖形、圖像、表格、文件等形式，并可進行交互處理。數據可視化是為了洞察分析數據表述的問題，找出問題的答案，發(fā)現關系性規(guī)則，進而發(fā)現在其他情況下不易發(fā)覺的事情，彌補現有科學分析方法的不足。大數據可視化審計是審查數據可視化是否表達事情的原來面目，是否扭曲了事物實際情況；審查數據可視化是否泄露了信息，是否有利于事情的表達等。

6.數據共享

企業(yè)大數據主要通過云平臺進行數據的共享。因此，大數據審計要審查企業(yè)是否設定安全的數據共享應用邏輯；是否制定數據分析解決方案的對象級控制制度；是否有基于數據內容的數據保護；涵蓋如電子郵件、網絡傳輸、數據庫、文件和文件系統(tǒng)是否有加密解決方案。

（三）三層審計制度：大數據審計的制度維

目前審計按審計內容可分為企業(yè)管理層面審計、流程控制審計和面向運營環(huán)境整體的三層審計。其中：企業(yè)管理層面控制審計主要關注整體的IT治理，合規(guī)、云戰(zhàn)略和規(guī)劃；流程控制審計主要關注云運營流程中內嵌的相關安全控制，以保證數據或系統(tǒng)的完整性、準確性、有效性和訪問控制；運營環(huán)境整體控制主要關注與數據中心運營相關的管理控制，包括基礎設施和流程、信息安全、業(yè)務持續(xù)性管理和災難恢復、事件響應等方面。

本文認為，按參與審計的主體分，大數據審計制度還應當建立業(yè)務人員自查、部門經理審查、審計部門審查的三級審查制度，步步推進，層層把關，確保大數據的安全、可靠、有效性。各個審計主體依據大數據審計標準，對大數據業(yè)務操作流程進行審計，確保大數據的安全性、可靠性與有效性。限于篇幅，不展開 討論。