风险管理毕业论文选题

一、会计信息失真的含义 所谓会计信息失真，是指会计信息未能真实地反映客观的经济活动，给决策者的相关决策带来不利影响的一种现象。上市公司信息质量失真主要表现在：一是信息披露不真是，二是信息披露不充分，三是信息披露不及时。 二、目前我国上市公司会计信息质量的总体情况 自1720年在英国发生世界上第一例上市公司会计舞弊案——“南海公司”事件以来，会计信息的真实性问题就成为了投资人和债权人关注的核心问题之一。虽然在过去的二百多年里，由此催生的现代审计技术得到了很大的发展，同时世界各国也普遍建立和完善了财务会计准则，使会计信息的真实性有了很大的保障。但是，会计信息失真问题并未如投资人和债权人所希望的那样从根本上得到遏制。相反，上市公司会计信息严重失真的案件还时有发生。在中国，这种现象也同样存在：据有关资料披露，财政部1999年抽查100家国有企业会计报表时，有81家虚列资产亿元，89家虚列利润亿元；在2000年度在会计信息质量抽查中，在被抽查的159家企业中，资产不实的有147户。这147户共虚增资产亿元，虚减资产亿元；虚增利润亿元，虚减利润亿元。在上市公司方面：2001年经注册会计师审计，深沪两市上市的1000余家公司共被审计出应调减虚增利润189亿元，挤掉利润水分达％。其中，审计调减利润317亿元，审计调增利润128亿元，调增调减利润总额445亿元；审计调减资产903亿元，调增资产842亿元，总体调减资产61亿元，调增调减资产总额1745亿元。特别是有6家上市公司资产调减幅度超过50％。同时在上市公司中也发生了如红光股份欺诈上市案，琼民源、银广厦、麦科特、ST黎明、猴王股份、东方电子、蓝田股份等一系列上市公司会计造假案件。这些舞弊案件的频繁发生不仅使会计的诚信基础受到了严重挑战，而且也严重损害投资者的投资信心。 三、上市公司会计信息失真的原因 导致会计信息失真的原因是多方面的，既有利益驱动的因素，也有制度缺陷的影响，同时还存在道德层面的问题。我国处在市场经济转轨过程中，在资本市场的完善程度、公司治理结构以及外部监督机制方面所存在的一些问题，使得中国上市公司会计信息失真又具有一定的特殊性与复杂性。综合考察我国上市公司会计信息失真现象，我认为，会计信息失真的原因主要有以下几方面： （一）我国资本市场存在的问题与上市公司会计信息失真 我国的资本市场是在市场经济制度尚不完善、公司治理结构存在缺陷的背景下建立发展起来的，存在着市场机制缺失、市场结构单一与市场行政化等方面的问题。由于资本市场市场化程度低，企业融资渠道少，具有“壳资源”属性的上市资格具有很高的经济价值，而依据现有的制度，公司上市、配股、退市等均是以会计盈利能力作为标尺，为了满足上市或配股的条件或避免退市，相当一部分上市公司从事了合法但不合理的盈余管理或会计造假活动。同时，以国有企业为主的上市公司，在股权结构方面人为分割，流通阻滞，“同股不同价，同股不同权”；加之国有股一股独大，小股东所持股权较少，较少关心企业经营实际，投机风气严重，很容易引发大股东通过关联交易，侵占上市公司资产，损害小股东利益的行为。如“郑百文”在自身亏损严重的情况下，为获得上市募集资金的目的，虚构财务赢余以获得上市资格；“银广夏”为维持和重获配股资格，虚构交易、夸大利润以哄抬本公司股价；“蓝田股份”采取多计存货价值、多计固定资产、虚增销售收入、虚减销售成本等手段虚增利润套取银行贷款；以及在2003年1月9日国家颁布《关于审理证券市场因虚假陈述引发的民事赔偿案件的若干规定》之后，以锦州港、大庆联谊为发端，掀起了一股证券民事赔偿的高潮。这些事件反映出我国上市公司会计信息失真具有较强的政策拉动的特征。 （二）企业产权中各行为主体的利益冲突导致企业会计信息失真 经济学假定人是有理性的，理性的个体追求自身利益或效用最大化。每个个体都在他所依存的体制所允许的有限的范围内最大化自己的效用。由于个体利益的不同，在组织中将产生不同的利益主体。 一般而言，企业产权中有政府、债权人、所有者、经营者和其他与企业相关的个体等几大主体。政府最关心税收的征缴；债权人最关注其债权是否能按时地收回本金和利息；所有者关心的是自己投入的资产能否保值和增值；经营者关心业绩的增加是否给自己带来额外的经济收益；证券市场上的投资者关心股票的价值和公司的业绩。由于他们具有不同的行为目标和经济特征，存在着不同的利益驱动，不可避免地出现利益冲突。而经营者的地位与其他利益主体相比有其独特之处，即经营者直接管理着企业，他对企业的经营、动作负直接责任，因而他有着得天独厚的信息优势。然而，基于其自身利益的考虑，经营者只会提供满足其本身利益最大化的信息。同时，由于信息不对称所引起的经营者“偷赖”动机会带来“道德风险”问题，即经营者有动机操纵会计信息生成甚至提供虚假信息，导致会计信息失真。从信息使用者方面看，由于各自的利益目标不同，导致会计信息失真。从信息使用者方面看，由于各自的利益目标不同，对信息的要求也不一样，有些信息使用者确实需要真实、客观反映经济活动的会计信息，而有些则不然。有时由于个人、部门和地区的利益驱动，出于某种特殊目的如粉饰政绩或隐瞒事实等的需要，他们可能并不需要真实的会计信息，如果这些真实的会计信息对他们的目的不利的话。从债权人角度分析，它们关注债权是否能按期收回，也应要求真实的会计信息以做出正确的判断，并尽早采取对策。目前企业最大的债权人是银行，是否所有银行真的都需要真实的会计信息呢?恐怕未必。这里同样涉及到银行的利益问题。目前我国的银行大部分是国有银行，接受贷款的企业大部分是国有企业，如果说在贷款发放之前银行对企业会计信息的真实性还有所要求的话(实际上连这一点都存在疑问)，那么贷款发放之后会计信息真实性的重要性就大大降低了。其中的原因主要包括：一是银行和信贷人员自身业绩考核的需要，真实的会计信息对他们不见得有好处，二是就算他们知道借款企业的真实情况(当然是财务状况不好的情况)，他们也无法做些什么。剩下股东，应该说证券市场上的投资者是最需要真实的会计信息的，因为他们与企业的产权关系最明晰，其利益相关性最大。但以目前我国证券市场而论，投资与投机并存，后者占的比重较大，以赚取短期差价为目的的“股民”甚众，而真正愿意以“股东”身份出现的长期投资者却为数甚少，会计信息是否真实对广大股民来说并不重要，他们所关心的是会计信息是否会令股价上升，因为这才是他们的利益之所在。有时，不同的产权主体为了达到各自的但又是一致的利益目标，可能相互串通，合谋提供虚假的会计信息，虽然这不仅可能损害其他产权主体的利益，而且可能损害企业的长远利益。 （三）内部控制制度缺乏或低效 建立企业内部控制制度的目的就在于发现、防止和纠正错误与舞弊。一个健全的内部控制制度起码应该达到以下目的：保证业务活动按照适当的授权来进行；保证所有交易和事项以正确的金额，在恰当的会计期间及时的记录于适当的帐户，从而使会计报表的编制符合会计准则的相关要求；保证对资产和记录的接触、处理均经过适当的授权；保证帐面资产与实存资产定期核对相符等。所以从理论上讲，一切的错误和舞弊是能够被健全的内部控制制度及时发现和纠正的。但是，如果一个公司的内部控制制度不健全或着缺乏，则很容易发生发生会计舞弊。同时，对企业内部控制制度的建立和实施有重大影响的控制环境的好坏也直接地影响着内部控制制度是否发挥作用。舞弊信息之所有能通过会计系统最终形成财务报告，一个很重要的原因就是这些企业的内部控制环境已极不正常，这才使得会计舞弊行为有机可乘。 （四）外部监管不力导致会计信息失真现象泛滥 在我国，会计工作的主管部门是财政部。财政部负责制定会计制度及监督实施。根据《会计法》的规定，财政、审计、税务、人民银行、证券监管、保险监管等部门应当依照有关法律、行政法规规定的职责，对有关单位的会计资料实施监督检查。按理说，我们的监管应该是有效的，能防止会计信息失真的泛滥。但是，实际上监督乏力、监管手段缺乏的现象依然存在。证券监管、财政、审计、税务等部门都有权监管会计信息的真实性和可靠性。但是，各个监管部门缺乏配合，各自进行监管，没有达到各家齐抓共管，形成有效的和相互补充的监管机制。就拿受到监管比较多的上市公司来讲，我国上市公司会计信息的质量不高是有目共睹的。企业上市后，经营不善的，就采取各种手段，虚增上市公司的收入和利润，获得增资配股的资格，进一步套取广大投资者的资金。有的上市公司还配合庄家，违规炒作自己公司的股票。到了亏损得无法维持下去的时候，就进行债务、资产重组，出卖手中的壳资源。这已经成为我国上市公司的一道风景线。郑百文股份有限公司就是一个典型的案例。1997年底，郑百文公司在实际亏损亿元的情况下，采用虚提返利、费用跨期入账等手段编制虚假财务报表，年报中向社会公众披露盈利8560万元，并在1998年通过配股筹集资金亿元。郑百文公司巨额亏空和造假事件于2000年披露后，证监会才介入调查。由于证监会监管的力量和手段都有限，很难及时发现上市公司的造假行为，其他部门也未起到相应的作用。 四、 上市公司会计信息失真的危害 上市公司会计信息失真是直接与市场经济规则严重背离的行为。企业的生存和发展离不开资金和市场。上市公司向公开市场提供的会计报告信息是外界了解企业企业经营状况的一个很重要的参考指标。上市公司公布其会计报告后，企业会计报表的外部使用人，包括股东、债权人、潜在投资者和其它社会公众，都会根据这些报表所反映的信息（资产—负债状况、经营情况等）来做出自己的决策。如果企业向公开市场提供的财务会计信息是不真实的，投资者就会感觉上当了。而如果资本市场上的投资人感觉到上市公司在利用这些虚假的会计信息向他钱，他就不会向上市公司投资；同样地，如果银行知道公司提供的报表是假的，他们就不会再借钱给企业。如果大家都不向上市公司投资，则企业就会象无水之鱼，迟早会陷入难以为继的窘境。因此，上市公司会计信息失真是直接与市场经济规则严重背离的行为。它不但会严重销弱了会计信息的决策有用性，危害了广大投资人和债权人的利益，使社会公众对会计诚信基础产生怀疑，也会从根本上动摇了市场经济的信用基础，削弱和扭曲了证券资本市场的资金筹集和资源调配功能，危害宏观经济的正常运行。会计信息失真也助长了腐败行为,严重阻碍了经济的发展和企业改革的顺利进行。 五、 对上市公司会计信息失真的治理措施建议 治理上司公司会计信息失真是一项复杂的社会系统工程，需要进行长期不懈的努力，多管齐下，综合治理。基于以上分析，我认为要提高上司公司会计信息质量，主要应当做好以下几方面的工作： （一）改善股权结构，明确市场机制 治理会计信息失真的前提是要及时发现问题。通过政府行政监管为主导的会计监管体系反应太慢，当发现问题时，通常后果已无法挽回。以市场为主的会计监管机制主要依*企业的利益相关者发现和揭示问题，发现速度往往要快得多，而建立这一机制需要调动投资者挖掘上市公司会计问题的积极性，需要以股东多元化、股权微观分散化与宏观集中化的股权结构为前提。因此，降低国有股比重，构造多元化股权结构，依*市场机制增加股权流动性，是解决会计信息失真问题的首要任务。 （二）完善企业法人治理结构 1、明晰产权，发挥产权对会计信息生成过程的规范和界定功能 产权是企业取得市场法人资格的基本条件，只有产权明晰的企业才能真正成为市场主体。企业本质上是一个合同，该合同广义地规定了哪项任务应当由企业中的哪些成员来完成，在这里，基本权力（收益索取权、使用权、让渡权）实际被分割给了不同的利益团体。在产权不明晰的企业里，权力的让渡不足，使得企业的行为在一定程度上偏离了市场，未能按市场的规律实施企业行为，从而造成会计信息并未按市场的需要提供。 只有产权的明晰界定，才会使市场主体根据会计行为规范开展会计管理交易活动。这是因为产权的明晰为会计信息目标的实现创造了两个重要条件：一是所有者追求资产收益的最大化，二是所有者和经营者之间存在经济上的契约关系。在这两个条件之下，资源的配置相对地有效率：经营者在最大化自己效用的同时也不降低（甚至增加）所有者的效用，按照市场而非所有者的旨意来实施经济行为。同时，会计主体可以根据交易费用的高低来选择会计规范组合方式，充分发挥会计规范的激励、约束、资源配置和收入分配功能。 2、推行独立董事制度 中国证监会发布了《关于在上市公司建立独立董事制度的指导意见》征求意见稿，确定上市公司董事会成员应当有三分之一以上为独立董事，其中应当至少包括1名会计专业人士。如果上市公司董事会下设薪酬、审计、提名等委员会的，独立董事应当占有二分之一以上的比例。独立董事的主要职责是对上市公司及全体股东履行诚信与勤勉义务，维护公司整体利益，尤其是关注中小股东的合法权益不受侵害。独立董事将在董事会下设的审计委员会等专业委员会中体现“独立”的价值。独立董事具有向董事会提议聘用或解聘会计师事务所、单独聘请外部审计机构或咨询机构等特别职权，并就上市公司重大关联交易的公允性等事项发表意见。推行独立董事制度，充分发挥独立董事的制衡作用，已成为各界关注的焦点。 （三）完善内部控制制度 建立健全并严格执行企业内部控制制度，对于规范会计行为、提高会计信息质量、防止舞弊行为等都具有重要作用。 1、制定发布内部控制标准体系 随着我国经济改革的深化和现代企业制度的建立，迫切要求强化内部会计监管，建立和完善内部会计控制制度。为了尽快推动单位内部控制制度建设，财政部应制定和发布统一的单位内部控制标准，供所有单位执行或参考。一般地，单位内部控制标准应满足以下几方面的要求：一是制定的标准应包括内部控制制度的各个方面，形成一个完整的体系；二是将共性的内容制定详细具体的标准，对复杂和特殊的内容制定原则性的标准；三是对于关系会计信息质量的内部会计控制内容和单位履行法规制度的控制内容，应制定规范性标准，对于仅涉及单位内部管理控制的内容可制定示范性标准。 2、组织好内部会计控制制度的贯彻实施工作 首先，要大力宣传内部会计控制制度。其次， 切实履行财政部门的法定职责，通过定期监督检查，督促各单位建立健全行之有效的内部会计控制制度。第三，通过经验交流会等方式，指导、帮助各单位搞好内部会计控制制度建设，同时利用会计师事务所等中介力量，为内部会计控制制度的贯彻实施提供人力、技术等方面的支持。 （四） 加强企业外部监管机制的建设 1、完善相关法律法规的建设，加强对上市公司的监管处罚力度 要充分发挥《会计法》在发扬正气和打击歪风方面的威慑作用。进一步完善会计核算制度体系，继续完善《企业会计制度》。针对各个行业的特殊业务，抓紧研究制定分行业的专业会计核算办法。强化上市公司经营管理的透明化，减少交易双方信息差异，并完善包括司法调查、证券监管、违规预警、行业自律、媒体监督等在内的全方位信息披露监管体系。并在立法方面，加大对虚假披露的惩戒力度，从制度上提高信息披露违规违法行为的成本。 2、完善独立评审制度 注册会计师是市场经济发展到一定阶段的产物，其产生的前提条件是财产所有权与经营权相分离。我国注册会计师行业起步晚，相关政策不配套，因而在前进中存在一些亟待解决的问题，如专职注册会计师人数不多，职龄内人数不足，缺少必要的风险基金；有的事务所单纯追求收入，忽视执业质量，甚至出具虚假报告；由于组织机构部门化，审计业务行政化，介绍业务按比例分成，收入按比例上缴，成为主管部门搞福利、发奖金的重要经济来源，因而严重损害社会中介组织的形象和与社会各界的关系，影响了注册会计师独立、客观、公正的地位等等。党的十五大确定了我国在20世纪末和21世纪初培育和完善社会主义市场经济体制的发展目标，把培育和发展市场中介组织提到了政治体制改革和民主法制建设的高度。因此，我们应以高度的责任感、使命感和紧迫感，通过脱钩和改制两步走推进事务所体制改革，尽快建设一支高素质、高水准的注册会计师队伍及一批会计师事务所，并加强注册会计师的执业监督，使社会会计监督机构真正成为社会主义市场经济的“经济警察”。要进一步明确社会会计监督机制对会计审查的结论所承担的法律责任，充分发挥其作用，维护信息的真实性、合法性和严肃性。 毕业论文开题报告 论文名称： 浅析企业集团资金管理模式的现状与问题 学 院： 会计学院 专 业： 会计学(国际会计方向) 学 号： 学生姓名： 指导教师： 2008 年 10 月 一、论文选题的动因（背景或意义） 资金管理是企业财务管理的核心。企业集团作为若干企业组成的经济联合体，最重要的联结纽带是资金。在企业集团以企业价值最大化为理财目标的情况下，以资金管理为中心具有较为充分的理论依据与实践依据。由于企业各方面生产经营活动的质量和效果都可以综合地反映在资金运动中，有效合理地组织资金活动，对于改善企业经营管理、提高经济效益具有重要作用。企业只有加强资金管理，合理组织资金供应、降低资金成本、加快资金周转、优化资金控制和监督机制，才能促进企业现金流的良性循环和财务管理目标的实现。因此现代企业集团在资金管理方面选择适当的资金管理模式成为一个至关重要的现实问题。 二、论文拟阐明的主要问题 本论文的主要目的在于探索企业集团资金管理的问题与模式，以提高企业集团资金管理的效率，实现企业价值最大化的财务目标。论文的构思建立在现代企业理论和财务管理理论的理解基础上，论文研究的基本思路是探讨企业资金管理的内容和作用，指出企业集团资金管理的特殊性和重要性，再着重分析企业集团资金管理所面临的突出问题以及产生这些问题的原因，提出多种企业集团资金管理的模式，并对它们的适用性和现实中优缺点进行分析比较，从而试图提出作者自己对于企业集团资金管理的建议。 本论文主要采用规范研究的逻辑方法，同时结合案例分析、数据分析、图表分析进行了论证。本文的基本观点是选择合适的资金管理模式有利于企业集团的资金配置效率，有利于解决企业集团在资金管理中所遇到的一些问题。 三、论文提纲 一、企业集团资金管理概述 1．企业集团的概念与特征； 2．企业集团资金管理的内容； 3．企业集团资金管理目标； 4．企业集团资金管理的原则。 二、企业集团资金管理的模式分析——基于图表 1．企业集团资金管理的常见模式 2．企业集团资金管理的模式优劣分析 三、企业集团资金管理所面临的常见问题分析——基于案例和数据分析 1．资金散乱,使用效率低下； 2．监管不力,缺乏事前、事中的严格监督； 3．信息失真,难以为科学决策提供依据； 四、解决企业集团资金管理问题的对策 1．实现资金的集中管理，提高资金的使用效率——现金池先进管理技术介绍 2．探索多种监督方式，确保资金的安全和完整； 3．以先进的计算机技术为手段，健全财务规章制度，减少人为因 素，实现高效率的信息化管理。 四、论文工作进度安排 序号 论文各阶段内容 时间节点 1 选题 2 确定论文题目 3 开始写开题报告 4 开始写论文初稿 5 完成论文初稿 6 论文定稿 7 论文答辩 五、主要参考文献及相关资料 [1]中国注册会计师协会．财务成本管理．[M]，经济科学出版社，2008年． [2]伍柏麟．中国企业集团论．[M]，复旦大学出版社，1996年． [3]袁琳．论企业集团化与财务管理集中化．[J]，《会计之友》，2000年第9期． [4]马学然．树立资金管理的三个理念．[M]，《经济师》，2006年第1期． [5]赵东方．集团结算中心结算系统的构建．[J]，《财会月刊》，2005年第19期． [6]任勇．财务结算中心:集团公司集中管理内部资金的有效方式．[J]，《财会通讯》(综合版)，2004年第13期． [7]于增彪、梁文涛．现代公司预算编制起点．[J]，《会计研究》，2002年第8期． [8]张芳．论企业集团的未来财务管理模式．[J]，《上海会计》，2001年第4期． [9]陆正飞．论企业集团化与财务管理集中化．[J]，《财会通讯》，2000年第9期． [10]Charles . Introduction to Management Accounting, Prentice Hall, 12th Edition [11]Scoot Besley,Eugene of Managerial Finance,Thomson Learning,12th Edition 六、指导教师意见 是否同意学生进入论文写作阶段 指导教师（签名）： 20 年 月

你的论文还有乜嘢了？我需要可以发给我吗

IT项目中如何进行风险管理规划 风险管理规划是在专案正式启动前或启动初期对专案的一个纵观全局的基于风险角度的考虑、分析、规划，也是专案风险控制中最为关键的内容。 一 风险形势评估风险形势评估以专案计划、专案预算、专案进度等基本资讯为依据，着眼于明确专案的目标、战略、战术以及实现专案目标的手段和资源。 从而实现：通过风险的角度审查专案计划认清专案形势，并揭示隐藏的一些专案前提和假设，使专案管理者在专案初期就能识别出一些风险。 尤其是专案建议书、可行性报告或专案计划一般都是在若干假设、前提、预测的基础上完成的，这些假设、前提、预测在专案实施期间有可能成立，也有可能不成立。 而这其中隐藏的风险问题又通常是被忽视的。一旦问题发生，往往造成专案管理方的措手不及和无一应对。 例如专案计划中假设用户实施小组全力支援、脱产或几乎脱产投入IT专案的实施，但在实际过程中，用户方人员却不得不抽出大量时间处理塬有的业务，造成IT专案实施进度的拖延和实施效果不尽人意的风险。 诸如此类的例子还有很多。为了找出这些隐藏的专案条件和威胁，就需要对与专案相关的各种计划进行详细审查，如人力资源计划、合同管理计划、专案采购计划等等。 由此我们可以得出，风险形势评估一般应重视以下内容：专案的起因、目的、专案的范围、组织目标与专案目标的相互关系、专案的贡献、专案条件、制约因素等。 二 风险识别在对专案的基础的风险形势评估之上，就需要对各种显露的和潜在的风险进行识别。风险识别实际上是对将来可能发生的风险事件的一种设想和猜测。 因此，一般的风险识别结果应包括风险的分类、来源、表现及其后果、以及引发的相关专案管理要求。 在具体识别风险时，一方面可利用一些常识、经验和判断，通过以前经历的专案中积累起来的资料、资料、经验和教训，或者请教相关的专家和资深从业人员，采用集体讨论的方式。 另一方面，可以通过分解专案的范围、结构来识别风险，理清专案的组成和各个组成部分的性质、之间的关系、与外因的联系等内容，从而减少专案实施过程中的不确定性。 除此之外，还可以利用一些技术和工具。比如，结合经验和教训，将专案成功和失败的塬因罗列成一张核对表，或者是专案的实施范围、质量控制、专案进度、采购与合同管理、人力资源与沟通等。 以上都是风险识别常用的一些手段和方法，当然还有其他更多的途径，因专案而异，灵活运用。 三 风险分析和评价在进行风险识别并整理之后，必须就各项风险对整个专案的影响程度做一些分析和评价，通常这些评价建立在以特性为依据的判断和以资料统计为依据的研究上。 风险分析的方法非常多，一般采用统计学范畴内的概率、分布频率、平均数众数等方法。 但无论是哪一种工具，都各有长短，而且不可避免的会受到分析者的主观影响。可以通过多角度多人员的分析或者采取头脑风暴法等尽可能避免。 此外，我们应当明确，风险是一种变化着的事物，基于这种易变条件上的预测和分析，是不可能做到十分的精确和可靠的。所有的风险分析都只有一个目的，即尽量避免专案的失控和为具体的专案实施中的突发问题预留足够的后备措施和缓冲空间。 风险评价之后，专案面临着两种选择，即面临着不可承受风险和可承受风险。对于前者，或者终止专案，或者采取补救措施，降低风险或改变专案对于后者，则需要在专案之中进行风险控制。 风险管理规划是在专案正式启动前或启动初期对专案的一个纵观全局的基于风险角度的考虑、分析、规划，也是专案风险控制中最为关键的内容。 一 风险形势评估风险形势评估以专案计划、专案预算、专案进度等基本资讯为依据，着眼于明确专案的目标、战略、战术以及实现专案目标的手段和资源。 从而实现：通过风险的角度审查专案计划认清专案形势，并揭示隐藏的一些专案前提和假设，使专案管理者在专案初期就能识别出一些风险。 尤其是专案建议书、可行性报告或专案计划一般都是在若干假设、前提、预测的基础上完成的，这些假设、前提、预测在专案实施期间有可能成立，也有可能不成立。 而这其中隐藏的风险问题又通常是被忽视的。一旦问题发生，往往造成专案管理方的措手不及和无一应对。 例如专案计划中假设用户实施小组全力支援、脱产或几乎脱产投入IT专案的实施，但在实际过程中，用户方人员却不得不抽出大量时间处理塬有的业务，造成IT专案实施进度的拖延和实施效果不尽人意的风险。 诸如此类的例子还有很多。为了找出这些隐藏的专案条件和威胁，就需要对与专案相关的各种计划进行详细审查，如人力资源计划、合同管理计划、专案采购计划等等。 由此我们可以得出，风险形势评估一般应重视以下内容：专案的起因、目的、专案的范围、组织目标与专案目标的相互关系、专案的贡献、专案条件、制约因素等。 二 风险识别在对专案的基础的风险形势评估之上，就需要对各种显露的和潜在的风险进行识别。风险识别实际上是对将来可能发生的风险事件的一种设想和猜测。 因此，一般的风险识别结果应包括风险的分类、来源、表现及其后果、以及引发的相关专案管理要求。 在具体识别风险时，一方面可利用一些常识、经验和判断，通过以前经历的专案中积累起来的资料、资料、经验和教训，或者请教相关的专家和资深从业人员，采用集体讨论的方式。 另一方面，可以通过分解专案的范围、结构来识别风险，理清专案的组成和各个组成部分的性质、之间的关系、与外因的联系等内容，从而减少专案实施过程中的不确定性。 除此之外，还可以利用一些技术和工具。比如，结合经验和教训，将专案成功和失败的塬因罗列成一张核对表，或者是专案的实施范围、质量控制、专案进度、采购与合同管理、人力资源与沟通等。 以上都是风险识别常用的一些手段和方法，当然还有其他更多的途径，因专案而异，灵活运用。 三 风险分析和评价在进行风险识别并整理之后，必须就各项风险对整个专案的影响程度做一些分析和评价，通常这些评价建立在以特性为依据的判断和以资料统计为依据的研究上。 风险分析的方法非常多，一般采用统计学范畴内的概率、分布频率、平均数众数等方法。 但无论是哪一种工具，都各有长短，而且不可避免的会受到分析者的主观影响。可以通过多角度多人员的分析或者采取头脑风暴法等尽可能避免。 此外，我们应当明确，风险是一种变化着的事物，基于这种易变条件上的预测和分析，是不可能做到十分的精确和可靠的。所有的风险分析都只有一个目的，即尽量避免专案的失控和为具体的专案实施中的突发问题预留足够的后备措施和缓冲空间。 风险评价之后，专案面临着两种选择，即面临着不可承受风险和可承受风险。对于前者，或者终止专案，或者采取补救措施，降低风险或改变专案对于后者，则需要在专案之中进行风险控制。

电子商务安全风险管理研究林黎明1 李新春2（ 中国矿业大学 管理学院，江苏 徐州 221008 ）摘要 该文基于目前电子商务安全所面临的各种风险问题，结合当前的一些风险管理方法，对电子商务系统安全风险管理进行一些基本的分析和研究，以期对企业电子商务安全风险管理提供一些有价值的借鉴和参考。关键词 电子商务安全，风险管理，风险识别，风险控制1 引言随着开放的互联网络系统Internet的飞速发展，电子商务的应用和推广极大了改变了人们工作和生活方式，带来了无限的商机。然而，电子商务发展所依托的平台—互联网络却充满了巨大、复杂的安全风险。黑客的攻击、病毒的肆虐等等都使得电子商务业务很难安全顺利地开展；此外，电子商务的发展还面临着严峻的内部风险，电子商务企业内部对安全问题的盲目和安全意识的淡薄，高层领导对电子商务的运作和安全管理重视程度不足，使得企业实施电子商务不可避免地会遇到这样或那样的风险。因此，在考察电子商务运行环境、提供电子商务安全解决方案的同时，有必要重点评估电子商务系统面临的风险问题以及对风险有效管理和控制方法。电子商务安全的风险管理是对电子商务系统的安全风险进行识别、衡量、分析，并在这基础上尽可能地以最低的成本和代价实现尽可能大的安全保障的科学管理方法。2 电子商务面临的安全风险由于网络的复杂性和脆弱性，以因特网为主要平台的电子商务的发展面临着严峻的安全问题。一般来说，电子商务普遍存在着以下几个安全风险：1）信息的截获和窃取这是指电子商务相关用户或外来者未经授权通过各种技术手段截获和窃取他人的文电内容以获取商业机密。2）信息的篡改网络攻击者依靠各种技术方法和手段对传输的信息进行中途的篡改、删除或插入，并发往目的地，从而达到破坏信息完整性的目的。3）拒绝服务拒绝服务是指在一定时间内，网络系统或服务器服务系统的作用完全失效。其主要原因来自黑客和病毒的攻击以及计算机硬件的认为破坏。4）系统资源失窃问题在网络系统环境中，系统资源失窃是常见的安全威胁。5）信息的假冒信息的假冒是指当攻击者掌握了网络信息数据规律或解密了商务信息后，可以假冒合法用户或假冒信息来欺其它用户。主要表现形式有假冒客户进行非法交易，伪造电子邮件等。6）交易的抵赖交易抵赖包括发信者事后否认曾经发送过某条信息；买家做了定单后不承认；卖家卖出的商品因价格差而不承认原先的交易等。3 风险管理规则针对电子商务面临的各种安全风险，电子商务企业不能被动、消极地应付，而应该主动采取措施维护电子商务系统的安全，并监视新的威胁和漏洞。因此，这就需要制定完整高效的电子商务安全风险管理规则。一般来说，风险管理规则的制定过程有评估、开发和实施以及运行三个阶段。（1）评估阶段该阶段的主要任务是对电子商务的安全现状、要保护的信息、各种资产等进行充分的评估以及一些基本的安全风险识别和分析。对电子商务安全现状的评估是制定风险管理规则的基础。对信息和资产的评估是指对可能遭受损失的相关信息和资产进行价值的评估，以便确定相适应的风险管理规则，从而避免投入成本和要保护的信息和资产的严重不匹配。安全风险识别要求尽可能地发现潜在的安全风险，应收集有关各种威胁、漏洞、开发和对策的信息。安全风险分析是确定风险，收集信息，对可能造成的损失进行评价以估计风险的级别，以便做出明智的决策，从而采取措施来规避安全风险。（2）开发和实施阶段该阶段的任务包括风险补救措施开发、风险补救措施测试和风险知识学习。风险补救措施开发利用评估阶段的成果来建立一个新的安全管理策略，其中涉及配置管理、修补程序管理、系统监视与审核等等。在完成对风险补救措施的开发后，即进行安全风险补救措施的测试，在测试过程中，将按照安全风险的控制效果来评估对策的有效性。（3）运行阶段运行阶段的主要任务包括在新的安全风险管理规则下评估新的安全风险。这个过程实际上是变更管理的过程，也是执行安全配置管理的过程。运行阶段的第二个任务是对新的或已更改的对策进行稳定性测试和部署。这个过程由系统管理、安全管理和网络管理小组来共同实施。以上风险管理规则的三个阶段可以用下图来表示：图1 风险管理规则的三个阶段4 风险管理步骤风险管理是识别风险、分析风险并制定风险管理计划的过程。电子商务安全风险的管理和控制方法，它包括风险识别、风险分析、风险控制以及风险监控等四个方面。（1）风险识别电子商务系统的安全要求是通过对风险的系统评估而确认的。为了有效管理电子商务安全风险，识别安全风险是风险管理的第一步。风险识别是在收集有关各种威胁、漏洞和相关对策等信息的基础上，识别各种可能对电子商务系统造成潜在威胁的安全风险。风险识别的手段五花八门，对于电子商务系统的安全来说，风险识别的目标是主要是对电子商务系统的网络环境风险、数据存在风险和网上支付风险进行识别。需要注意的是，并非所有的电子商务安全风险都可以通过风险识别来进行管理，风险识别只能发现已知的风险或根据已知风险较容易获知的潜在风险。而对于大部分的未知风险，则依赖于风险分析和控制来加以解决或降低。（2）风险分析风险分析是运用分析、比较、评估等各种定性、定量的方法，确定电子商务安全各风险要素的重要性，对风险排序并评估其对电子商务系统各方面的可能后果，从而使电子商务系统项目实施人员可以将主要精力放在对付为数不多的重要安全风险上，使电子商务系统的整体风险得到有效的控制。风险分析是一种确定风险以及对可能造成的损失进行评估的方法，它是制定安全措施的依据。风险分析的目标是：确定风险，对可能造成损坏的潜在风险进行定性化和定量化，以及最后在经济上寻求风险损失和对风险投入成本的平衡。目前，风险分析主要采用的方法有：风险概率/影响评估矩阵，敏感性分析，模拟等。在进行电子商务安全风险分析时，由于各影响因素量化在现实上的困难，可根据实际需要，主要采用定性方法为主辅以少量定量方法相结合来进行风险分析，为制定风险管理制度和风险的控制提供理论上的依据。（3）风险控制风险控制就是选择和运用一定的风险控制手段，以保障风险降到一个可以接受的水平。风险控制是风险管理中最重要的一个环节，是决定风险管理成败的关键因素。电子商务安全风险控制的目标在于改变企业电子商务项目所承受的风险程度。一般来说，风险控制方法有两类：第一类是风险控制措施，比如降低、避免、转移风险和损失管理等。在电子商务安全风险管理中，比较常用的是转移风险和损失管理。第二类为风险补偿的筹资措施，包括保险与自担风险。在电子商务安全风险管理中，管理人员需要对风险补偿的筹资措施进行决策，即选择保险还是自担风险。此外，风险控制方法的选择应当充分考虑相对风险造成损失的成本，当然其它方面的影响也是不容忽视的，如企业商誉等。对电子商务安全来说，其有效可行的风险控制方法是：建立完整高效的降低风险的安全性解决方案，掌握保障安全性所需的一些基础技术，并规划好发生特定安全事故时企业应该采取的解决方案。5 风险管理对策由于电子商务安全的重要性，所以部署一个完整有效的电子商务安全风险管理对策显得十分迫切。制定电子商务安全风险管理对策目的在于消除潜在的威胁和安全漏洞，从而降低电子商务系统环境所面临的风险。目前的电子商务安全风险管理对策中，较为常用的是纵深防御战略，所谓纵深防御战略，就是深层安全和多层安全。通过部署多层安全保护，可以确保当其中一层遭到破坏时，其它层仍能提供保护电子商务系统资源所需的安全。比如，一个单位外部的防火墙遭到破坏，由于内部防火墙的作用，入侵者也无法获取单位的敏感数据或进行破坏。在较为理想的情况下，每一层均提供不同的对策以免在不同的层中使用相同的攻击方法。下图为一个有效的纵深防御策略：图2 有效的纵深防御策略下面就各层的主要防御内容从外层到里层进行简要的说明：1）物理安全物理安全是整个电子商务系统安全的前提。制定电子商务物理安全策略的目的在于保护计算机系统、电子商务服务器等各电子商务系统硬件实体和通信链路免受自然灾害和人为破坏造成的安全风险。2）周边防御对网络周边的保护能够起到抵御外界攻击的作用。电子商务系统应尽可能安装某种类型的安全设备来保护网络的每个访问节点。在技术上来说，防火墙是网络周边防御的最主要的手段，电子商务系统应当安装一道或多道防火墙，以确保最大限度地降低外界攻击的风险，并利用入侵检测功能来及时发现外界的非法访问和攻击。3）网络防御网络防御是对网络系统环境进行评估，采取一定措施来抵御黑客的攻击，以确保它们得到适当的保护。就目前来说，网络安全防御行为是一种被动式的反应行为，而且，防御技术的发展速度也没有攻击技术发展得那么快。为了提高网络安全防御能力，使网络安全防护系统在攻击与防护的对抗中占据主动地位，在网络安全防护系统中，除了使用被动型安全工具（防火墙、漏洞扫描等）外，也需要采用主动型安全防护措施（如：网络陷阱、入侵取证、入侵检测、自动恢复等）。4）主机防御主机防御是对系统中的每一台主机进行安全评估，然后根据评估结果制定相应的对策以限制服务器执行的任务。在主机及其环境中，安全保护对象包括用户应用环境中的服务器、客户机以及其上安装的操作系统和应用系统。这些应用能够提供包括信息访问、存储、传输、录入等在内的服务。根据信息保障技术框架，对主机及其环境的安全保护首先是为了建立防止有恶意的内部人员攻击的首道防线，其次是为了防止外部人员穿越系统保护边界并进行攻击的最后防线。5）应用程序防御作为一个防御层，应用程序的加固是任何一种安全模型中都不可缺少的一部分。加强保护操作系统安全只能提供一定程度的保护。因此，电子商务系统的开发人员有责任将安全保护融入到应用程序中，以便对体系结构中应用程序可访问到的区域提供专门的保护。应用程序存在于系统的环境中。6）数据防御对许多电子商务企业来说，数据就是企业的资产，一旦落入竞争者手中或损坏将造成不可挽回的损失。因此，加强对电子商务交易及相关数据的防护，对电子商务系统的安全和电子商务项目的正常运行具有重要的现实意义6 结论一般来说，风险管理有基本的三个对策，包括管理者采取适当措施来降低风险事故发生的概率；管理者准备并实施一个意外事故应急计划以备不测；还有就是管理者什么都不做。对已选定的对策，应对其潜在的风险有充分的估计，并制定相应的应变计划，以使可能的风险损失降到最低。风险管理没有铁定的规则，对于电子商务安全风险管理来说，首先是扫描和检测电子商务系统的内外部环境，检查系统的脆弱性和薄弱环节，及时打上补丁和追加设备，以便当风险产生时尽可能地减少损失；其次是对电子商务安全风险进行充分地分析，然后制定相应的规划和措施，并在其实施的每个阶段进行监控和跟踪；最后是根据环境的变化随时调整风险管理措施，制定完备的灾难恢复计划。参考文献[1]甘早斌．电子商务概论（第二版）．华中科技大学出版社．[2]钟诚．电子商务安全．重庆大学出版社．[3]才书训．电子商务安全风险管理与控制．东北大学出版社．[4]易珊，张学哲．电子商务安全策略分析．科技情报开发与经济．[5]高新亚，邹静．电子商务安全的风险分析和风险管理．武汉理工大学学报.信息与管理工程版．[6]郭学勤，陈怡．电子商务安全对策．计算机与数字工程．[7]李晶．电子商务安全防范措施．安徽科技．[8]Greenstein M,FeinmanT Commerce:Security,Risk Management and Control[M].New York:McGraw-Hill Companies,Inc.,2000[9]Charles Cresson Wood, Essential Controls for Internet Electronic Commerce[M].Network Security,1998-------------------------------------------------------------------