前言:中文期刊网精心挑选了风险评估及管理范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
风险评估及管理范文1
关键词:信息系统;风险;评估;管理
在当前迅猛的科技信息技术传播更新下,对于信息安全管理的工作也发生了重大的改变,其从传统单一的技术管理手段改变为技术与管理两者相结合的较全面综合管理手段;其从局部的管理模式改变到对于全局管理的系统管理模式;从最初存在较多问题的不完善经验式管理改变到目前具有着分明的安全等级科学管理模式等。在风险评估上也从评估对象的综合评估转变到个因评估、从目前的现今评估发展到对未来趋势的评估;又从静态的评估方式转变到动态评估方式;从最初的手动风险评估转变到今天的全自动技术自动评估;从信息风险的定量评估改变到定性与定量两者相结合等,以上的改变都证实了我国在信息安全管理上不断努力的成效。结合目前我国信息系统的现状来说,在现有基础上对于相关信息系统科学理论、方法的更进一步完善与创新,是势在必行的,也是确保信息系统风险评估与管理工作不断完善的必要前提。
一、信息系统风险评估方法的研究现状
1.基于专家系统的风险评估工具
这种方法经常利用专家系统建立规则和外部知识库,通过调查问卷的方式收集组织内部信息安全的状态。对重要资产的威胁和脆弱点进行评估,产生专家推荐的安全控制措施。这种工具通常会自动形成风险评估报告,安全风险的严重程度提供风险指数,同时分析可能存在的问题,以及处理办法。
2.基于定性或定量算法的风险分析工具。
风险评估根据对各要素的指标量化以及计算方法不同分为定性和定量的风险分析工具。风险分析作为重要的信息安全保障原则已经很长时间。信息安全风险分析算法在很久以前就提出来,而且一些算法被作为正式的信息安全标准。这些标准大部分是定性的――也就是,他们对风险产生的可能性和风险产生的后果基于“低/中/高”这种表达方式,而不是准确的可能性和损失量。随着人们对信息安全风险了解的不断深入,获得了更多的经验数据,因此人们越来越希望用定量的风险分析方法反映事故方式的可能性。
二、信息系统风险评估方法
1.对于定性评估来说,其主要的评估途径是根据研究者在其所掌握的知识和所具备的经验吸取以及政策走向等非量化的资料来对信息系统的状况做出不同风险情况等级的判断。在信息系统风险的评测中,定性分析乃是被使用较多的分析方法,其特点主要是只关注那些构成危险事件可能会带来的损失,而不计算该威胁是否会发生。在实施定性评估的过程中并不使用具体的数据进行评测,而是使用指定期望值来进行评测,如,假设每一种存在的风险其风险影响度和预期风险的发生概率为低等、中等和高等,而不是确切的数字。总的来说,定性评估的优点在于其可以使评估的结果更加深入、广泛,但是很大的一个缺点在于其具有较强的主观性,因此,对于定性评估来说,对评估者自身的专业素养和分析能力的要求是非常高的。
2.其次是定量评估,它去定性评估的区别是:定量评估是使用数量指标来对风险进行评测的,它在评估过程中,重点分析风险可能发生的概率和发生的风险危害程度所形成的比值,这与定性来说是截然相反的。因此,定量评估在进行评测的同时大大增加了运行机制和各项规范、制度等紧密结合的可操作性。定量评估的特点在于其使分析评估的目标的对目标采取的补救措施更加明确,在一目了然、清晰的数据中看到直观的评测数据。美中不足的是,定量评估在其量化过程中容易将复杂的事物简单化,容易造成疏漏。
3.就目前来说,将定性评估与定量评估两者的有机结合是得到客观、公正的评估结果最合适不过的方法,而且通过其两者的相互融入,此消彼长,取长补短是非常科学的。因此,在对于信息系统的风险评估中,需要因地制宜,做到具体问题具体分析,如,在进行风险评估时,遇到关于结构化问题相对很强的时候可采用定量分析;反之,可使用定性分析;如问题的显示既兼有结构化又带有非结构化时,就可以采用定性评估与定量评估两者结合的评测;这样就能使遇到的问题复杂变简单,简单变迎刃而解。
三、信息系统动态风险管理模型与对策建议
1.基于态势评估的风险预警、防范与控制
信息系统安全风险态势评估值表示系统当前是否安全,即通过当前态势值和正常情况下的态势值比较可以判断系统是否安全;也可以提供可能收到的信息系统威胁程度有多大的信息。通过评估己能够得到过去和当前的信息系统安全状况,能给信息系统管理者预警。这些使得信息系统管理员能明确获知信息系统攻击的威胁程度,清晰的把握信息系统安全状态,从而对信息系统现实的情况做出相应的防范与控制措施。基于态势评估的信息系统风险预警、防范与控制模型图如下:
2.信息系统风险评估信息安全保障体系的建立
为有效控制信息系统面临的安全风险,确保信息系统的安全、高效和可靠运行,迫切需要构建基于信息系统风险评估的整体信息安全保障体系,建立贯穿信息系统各个应用环节的立体式安全防护,使其得到有效的安全保障,从而确保信息系统业务的顺利进行。
信息安全管理体系是组织整个管理体系的一部分,它基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进信息安全的。建立信息安全管理体系是“需求导向型的信息安全解决方案”的典型体现,通过体系的建设,可以有效解决组织面临的信息安全问题,提高组织的信息安全防护能力。
风险评估是等级保护的出发点,也是安全建设的出发点,风险评估的结果可作为实施等级保护、等级安全建设的出发点和参考点,它为信息安全管理体系的控制目标和控制措施的选择提供依据,也是安全控制效果进行测量评估的主要方法。等级保护是指导我国信息安全保障体系建设的一项基本管理制度,它是安全管理体系建设的基本原则,它的核心内容是对信息系统安全分等级、按标准进行建设、管理和监督。
3.信息系统风险评估对于保护对象的有效识别
从目前国内外信息系统的安全实践看,信息系统存在许多威胁和潜在的风险。这些潜在的风险属于信息安全管理范畴的问题。实施信息系统风险评估能够有效识别需要保护的对象,知道了要保护什么,就会分析保护对象的特点、属性,分析保护对象存在的脆弱性(既包括技术脆弱性,也包括管理脆弱性)和面临的安全威胁,从而有针对性地选择控制措施来应对具体的风险,尤其对于管理脆弱性,可以通过制定相应的策略和程序来加以控制,这正适合于解决信息系统中存在的信息安全问题。
总结:
风险评估及管理范文2
近期,笔者参加了江西省审计厅组织的审计培训团,赴澳大利亚进行为期20天的政府绩效审计培训。培训期间,听取了维多利亚大学教师的讲课,学习了澳大利亚政府绩效审计理论、程序、方法等内容,了解了澳大利亚联邦审计总署和维多利亚州审计署工作情况和绩效审计开展情况,还听取了墨尔本大学审计部审计人员的审计工作介绍。此次培训取得了良好效果,不但开阔了眼界、拓宽了思路,对澳大利亚以审计风险管理水平为核心的政府绩效审计及其他审计有了一定的了解和认识。纵观澳大利亚覆盖整个经济社会严密的审计监督网络,对比我国发展现状,在如何优化审计环境、改进审计工作等方面感触颇深,笔者认为内、外部审计紧密结合共同搭建完善的风险评估和风险管理体系是当前提高我国审计效率的首要任务,现介绍如下,以供参考。
一澳大利亚与我国开展绩效审计现状对比
由内、外部审计共同健全的风险评估和风险管理体系是澳大利亚绩效审计的出发点和目标。根据审计主体的不同,澳大利亚绩效审计由内、外部审计共同构成,两者紧密结合共同搭建和不断优化该体系,同时澳大利亚广泛将风险导向审计模式运用至包括绩效审计在内的全部审计类别中,取得了引人注目的成绩。
澳大利亚联邦审计总署的职责是从整体的角度不断改善国家机关各职能部门的效率和责任心及理财能力,增强其财务管理和业务管理的可评估性。其明确了以风险评估计划为主要内容的可评估性为首要职责任务。而完整的风险评估计划也正是澳大利亚绩效审计的关键和出发点。其内、外部审计紧密结合共同实现和推进风险评估计划的可评估性。被审计单位首先须具备以专业领域或管理范围风险管理为重点内容的详细风险分析和风险防范计划,及其详细的风险管理的内审报告,从而政府审计人员才能完成对被审单位风险管理水平进行预评估的首要审计工作环节。
澳大利亚政府机构、企业普遍建立和实行了以风险评估和风险管理体系为核心的内部审计制度。审计部门通过政府各部门的内审员,建立风险评估计划制度,并且其风险评估计划需经审计部门进行备案。澳大利亚《公司法》规定,上市公司要设立审计委员会,对公司进行风险管理和控制。其他企业内部审计师也是通过风险管理审计监督企业内部控制运行,从而改善企业管理和运营,由此审计部门实现风险评估数据积累的不断优化。澳大利亚是一个法制比较健全的国家,审计地位较高,信誉较强,方法科学,技术先进,在国民经济运行中发挥着重要的作用。
而目前我国政府和企业尚没有建立全面风险管理体系。对于建立企业全面风险管理机制以防范重大事件造成的损失,近几年国务院国资委已在逐步推进,2006年制定颁发了《中央企业全面风险管理指引》,在央企及所属上市公司内全面推进全面风险管理建设工作。2007年在几家大型国有中央企业进行试点操作后,2008年已将此项工作推进到全国国有中央企业和部分地方企业。但实际上,许多企业还没有建立完整的风险管理体系或开展全面风险管理工作。
二澳大利亚绩效审计的成功经验和主要做法
(一)广泛运用先进的理念和方法保障准确、高效的风险评估体系在实践中发挥实质作用。
从审计内容上看,澳大利亚风险导向性内部审计已较早走出单纯财务收支审计圈子,步入以内部控制和风险管理为主要内容的现代审计。风险评估是绩效审计的基础和出发点,绩效审计的审计人员与被审单位对风险评估结果达成共识成为审计成败的关键。其他审计分类中,风险评估体系也成为工作中的主导条件,如:风险评估是财务审计准备的要点,审计重点必须根据风险评估得出,结论应该包括财务风险评估报告和风险管理计划,从而不断对其进行优化;政府重大项目审计的重点是该项目风险管理计划的落实,审计所发现的问题将被列入新的风险管理范围等。
1.建立以风险评估和风险管理为核心的内部审计成为全体公务员和管理人员的共识。
在澳大利亚,审计部门通过政府各部门的内审员,建立风险评估计划制度。无论是政府部门还是公司都认为,在当前复杂的经济环境下是不能没有以风险评估和风险管理为核心的内部审计的。内审人员工作的角色越来越多元化,从监控向风险管理顾问方向发展。内部审计目前已从查错纠弊发展到更细致的工作,从着重财务审计扩展到人力资源、市场运作审计等,并将重点转移到上述审计领域。一些内审机构,如昆士兰州自然资源及矿产部非常注重“全部审计、突出重点”,在不断完善组织风险管理机制的基础上,尝试采用问卷方式向被审计对象了解情况,或让其进行自我审计,审计人员则重点关注风险较大的问题,从而在人力资源有限的条件下扩大了审计的范围,取得了明显的成效。
2.风险评估和风险管理体系控制严格且健全。在澳大利亚,每个企业都必须进行风险评估,尤其是安全生产方面的风险评估更占有举足轻重的地位,没有进行风险评估的生产就不可能获得批准。我国一些企业也在开展风险评估,但相比而言比较粗浅。
澳大利亚风险评估的构成要素主要为:
(1)风险等级:一般分为五个等级。造成的危害,需要调用的资源,产生的影响;
(2)风险概率:可能出现的时间频率,也分为五个等级;
(3)风险的预防性和可防范性、可控制性;
(4)防范风险需要的资金和资源配置;
(5)不断改进风险管理;
(6)风险评估和风险管理计划。风险评估计划应该包括:所有可能风险的名称、等级、概率、,防范措施、负责人员、资金资源配置、可防范等级。并在运用中严格落实风险管理的责任制原则。
3.广泛运用先进的风险评估及管理的方法和技术。澳大利亚的风险评估除了非常注重风险评估计划的细、量化及对风险评估的要素、步骤、计划、模式都有具体的统一规定外,还建立了合理的预警指标,有效评估企业的风险。评估后采取的措施也更具针对性。其风险评估的模式分为:静态模式/动态模式;封闭模式/开放模式;一般性评估模式/量化评估模式;不定因素对评估模式的影响;短期评估模式/长期评估模式。评估模式的多样化与适用性决定了审计部门需确定建立适合本地区、本行业的评估模式。
(二)高素质、综合性内部审计人才的参与进一步维护风险评估管理体系的科学、高效标准。
澳大利亚各级政府除加强对全体相关人员的风险管理教育培训外,更注重高素质、综合审计人才的培养。国际注册内部审计师(英文缩写CIA)资格在澳大利亚比较流行,越来越多有志于内审工作的人员报名参加CIA考试。它包括以下几个方面:一是聘请的内部审计师要具备与职业要求相符的专业资格,如CPA和CIA,具有CIA资格的审计师特别受到重视;二是审计中,审计师要严格执行国际内部审计师协会(英文缩写IIA)制定的内部审计标准,并接受审计主管的复核检查;三是建立了审计人员专业评估机制,定期对内审人员进行专业评估和培训;四是内审委员会要求审计人员定期提交工作报告并随时与审计人员进行谈话;五是审计委员会规定了完整的内审程序和措施。主要是:审计工作计划必须得到审计委员会的批准;审计主管不断审核并复查计划的执行;审计主管必须对审计报告进行全面审查和签署;审计工作结束后,抽查审计报告并进行详细的复查;与被审计单位保持经常、畅通的联系,以保证他们向审计主管提出改进工作的意见。
(三)内审协会发挥的积极推动效力促进风险评估管理体系功效的高水平发挥。
澳大利亚内审协会成立于1952年,有2 000多名会员,分别来自澳大利亚的公有或私有机构。协会的董事会由7位从各州选举的主席构成,协会建立了与各内审机构负责人联系的网络,有自己的网站,方便与内审人员的沟通和交流。内审协会的主要工作是为内部审计执业者、执行管理者、董事会和内审委员会提供各种规范的标准、指导和信息服务,包括:内审政策的制定,及时更新审计实务标准,提供更新知识的服务,保证内审专业水准不断提高。协会的主要作用是制定、检查审计标准执行,组织开展交流,推广先进经验,培训审计人员,促进内审工作职能的发挥。
三对我国建立完善的风险评估和风险管理体系的启示及建议
(一)立法建立相关的法律、法规依据。首先,在认真借鉴先进国家成功实例的基础上,总结已推行过程中取得的经验,制定比较系统、操作性较强的风险评估和风险管理准则。鉴于绩效审计具体情况比较复杂,应分门别类制定出具有各个行业特点的准则。其次,建立一套科学可行的指标评价体系也是开展风险评估管理体系的必要措施之一,并对其进行科学的细化和量化。风险评估的过程主要是风险辨识、风险分析和风险评价。应根据各种风险的分类,进一步细化,得出可能存在的风险之后,运用特定的风险评估方法,根据各种风险发生的可能性及影响程度,决定控制程度和策略。
(二)加强内、外部审计的联系,转变外部审计的最终目标。外部审计与内部审计相互合作,互为补充,是当代审计的一大特点。澳大利亚的成功经验告诉我们:政府审计独立性强,层次高,权威性强,但人力有限;民间的事务所审计,用人机制灵活,可以根据工作需要随时聘请所需专业技术人员,但受费用和时间限制,二者共同的弱点是对被审计单位内部情况不够熟悉;而内部审计熟悉被审计单位情况,但业务力量和权威性较弱,为了建立完善的风险评估和风险管理体系、综合使用审计资源,三者之间应通力合作,优势互补,并将外部审计的最终目标统一到对风险评估结果达成共识这一共同点上来,以提高被审计单位的风险管理水平。
(三)建立功能强大的信息库,存储与被审计单位相关的众多信息。建立完善的风险评估和风险管理体系所需的信息将面临着严重不足。其体系的建立使得审计重心前移,在实际的审计工作中需要先执行风险评估程序,对审计对象整体的经营管理环境进行充分的了解,再针对风险不同的审计对象以及同一对象不同的风险领域,制定出个性化的审计程序。必须获取足够多的信息,才能在风险评估时真正了解审计对象的战略、流程、风险管理、业绩等基本情况,最终做出恰当的职业判断。由此可见,为了实现审计目标,保证审计活动的顺利进行,审计部门必须建立功能强大的信息库,存储与被审计单位相关的众多信息。
(四)必须建立和提高全社会对风险评估和风险管理体系重要性的认识,使风险评估和风险管理成为全体公务员和管理人员的共识,同时要提高相关的业务水平与技能。不仅可以利用多种渠道广泛宣传,比如专业刊物、研讨会和论坛、业务会议等,还要积极广泛地组织风险管理的教育和培训,提高风险防范意识,建立健全风险评估和风险管理计划,整体提高管理水平。
(五)加强培训,建立一支高水平、高素质、综合型审计人员队伍。开展风险评估和风险管理要求审计人员在通晓会计审计税收以及相关法律知识的同时,也要具备管理学、统计学、人力资源管理等学科的知识,对审计人员的学识经验思维能力都提出了更高的要求。加强审计队伍建设,一方面要对现有审计人员进行培训,全面提高综合素质;另一方面也要相应引进管理、统计工程等方面专业人才充实审计队伍,优化审计人员结构。同时,应大力加强计算机应用水平。澳大利亚各行业计算机应用水平较高,因此审计的技术手段主要是运用审计软件,实行计算机审计。审计人员凭借审计软件,通过网络进行数据采集、原始资料分析处理、风险评估等工作,使审计效率得到大幅提高。
风险评估及管理范文3
关键词 雷击风险评估;管理系统;系统开发;雷击风险评估工具
中图分类号P429 文献标识码A 文章编号 1674-6708(2011)41-0053-02
0 引言
国外已逐渐形成一套完整的雷击风险评估体系,制定了多项防雷技术标准和评估方法。在美、英、德等多国也都开发出了相应的雷击风险评估系统。但这些风险评估系统参考的标准技术方法比较复杂,结构庞大,而且大都建立在国外防雷工作经验基础上,没有能考虑到中国广袤大地的情况差异以及中国的国情,因此其体系和相应的评估系统只能被我们借鉴参考、学习,不适宜完全照抄照搬或全盘引用。目前在国内符合国家标准和评估规范的评估系统相对缺少尚且不够成熟。
《雷击风险评估管理系统》遵循最新颁布的雷击风险评估规范――《雷电防护第2部分:风险管理》GB/T 21714.2-2008 ,采用C#语言,结合国家气象局已组建的闪电监测预警网、谷歌GPS卫星定位地图等系统,建立起一套完善的雷击风险评估管理系统。该系统能实现雷击风险评估过程科学化、计算过程自动化、计算结果客观化。界面简洁、操作简单的系统,统一化的评估技术报告不仅提高了雷击风险评估工作的效率,还利于在各地区开展雷电风险评估工作。雷电风险评估系统的先进性和技术报告的严密科学性可以在全国范围内推广。
1 雷击风险评估管理系统功能模块和主要功能说明
《雷击风险评估管理系统》遵循规范的基础,结合实际风险评估工作的业务流程和特点设计,整个系统划分为方案管理、系统工具、文档管理、用户管理4个主要模块。
1.1 方案管理
1)原始评估记录:用户将要进行风险评估的对象的具体勘测数据如实记录入系统。对评估对象建立相应存储空间,并在需要时调出这些数据作为评估、对比等用途;
2)方案设计:对一个项目进行多种类型的风险评估,如单独对人身伤亡损失风险R1、公众服务损失风险R2、文化遗产损失风险R3、经济损失风险R4 进行评估,也可以对其任何一种组合进行风险评估;
3)效益分析:自动化生成的风险分量百分比的表格,各种风险所占总风险的百分比一目了然;提供了多种(最多3种)防雷整改方案的评估,并与原始评估结果对比,智能经济损失风险评估,自动判断采取的防雷整改方案是否合理。
1.2 系统工具
1)GPS定位地图:连接Internet,轻松找到被评估对象经纬度;
2)中国雷电监测预警网:多种方式实时查询全国各地雷电状态,显示详细的雷电资料和密度分布图;
3)中国防雷资料网:评估过程中随时查到所需技术资料;
4)雷电资料导入:将国家雷电监测预警网实时雷电资料数据导入系统;
5)字典维护:对风险评估过程涉及参数进行维护;
6)数据库维护:对当前系统所连接的数据进行备份或恢复操作。
1.3 文档管理
1)雷击风险评估报告模板:雷击风险评估报告模板;
2)雷击风险评估协议书 :雷击风险评估协议书。
1.4 用户管理
1)系统登录模块:负责验证各种用户身份,根据不同的用户权限决定其管理内容;
2)权限设置模块:此模块只有管理员才有权限,管理员可以根据情况对各栏目的属性进行基本的设置。
2 雷击风险评估管理系统的的实现技术
2.1 Client/Server 模式
C/S模式又称为客户机/服务器模式,是90 年展起来的一种主/从结构的分布式处理环境,它的特点是将应用分解为两部分:客户进程(Client Process)和服务进程(Server Process),即前台和后台。客户进程与用户打交道,一般运行在Microsoft Windows提供的GUI (Graphic Unit Interface)下;服务进程与数据库打交道,一般通过SQL(Structured Query Language)查询语言实现,前端是对用户的界面,后端是对数据库的处理。这种对信息分布式处理的模式大大减少了网间数据的传输量,处理速度快,并能高效实现资源共享。其结构如下:采用Client/Server 结构,Client 端只要将请求发给Server 端,而Server端在处理完请求之后,只是把结果返回给Client 端。实际上在网络传输的只有SQL 语句和结果数据。同时,Client 负责友好的界面与用户交互。而Server 专门负责数据库的操作、维护,提高了整个系统的吞吐量和响应时间。
2.2 数据管理系统SQL Server2005
Microsoft SQL Server2005 是由一系列相互协作的组件构成,能满足最大的Web 站点和企业数据处理系统存储和分析数据的需要。SQL Server2005 的客户/服务器提供了许多传统主机数据库所没有的先进功能。数据访问并局限于某些已有的主机数据应用程序。SQLServer2005 的一个主要优点就是与主流客户服务器开发工具和桌面应用程序紧密集成。可以使用许多方法访问SQL Server2005 数据库。
SQL Server数据库体系结构的核心是服务器,即数据库引擎。SQL Server 数据库引擎负责处理到达的数据库请求,并把相应的结果反馈给客户端系统。SQL Server 充分利用了可设置优先权的多任务、虚拟内存和异步I/O 功能。SQL Server 数据库引擎可在多线程内核上创建,这样在处理多个事务的时候可获得较高的性能。它包括的支持开发的引擎、标准的SQL语言、扩展的特性(如复制、OLAP、分析)等功能,以及像存储过程、触发器等特性。
SQL Server2005 数据库系统的服务器负责创建和维护表和索引等数据库对象,确保数据完整性和安全性,能够在出现各种错误时恢复数据。SQL Server2005 的客户端可完成所有的用户交互操作,将数据从服务器检索出来后生成副本,以便在本地保留,也可以进行操作。
由于SQL Server200_5 的强大功能,特别是其全文检索功能,支持从纯文本到二进制数据的检索,如 WORD 文档、EXCEL 电子表格等等,其文本性数据类型支持量相当庞大,因此系统中主要利用SQL Server 进行文本保存,方便查询和检索,同时为进一步扩展其功能奠定基础。
2.3 面向对象系统开发方法
面向对象(OO,Object Oriented)的系统开发方法,是近年来受到关注的一种系统开发方法。面向对象的系统开发方法的基本思想是将客观世界抽象地看成是若干相互联系的对象,然后根据对象和方法的特性研制出一套软件工具使之能够映射为计算机软件系统结构模型和进程,从而实现信息系统的开发。
3 结论
《雷击风险评估管理系统》的设计遵循最新颁布的雷击风险评估规范,结合评估工作的业务流程和特点,依据被评估对象的数据自动计算出评测结果,并提供多种措施方案对比可对其进行经济效益评估,以表格和柱形等多种形式图表的形式辅助用户做出最符合实际的方案决策。本系统操作简单、界面友好。系统实现雷击风险评估过程科学化、计算过程自动化、计算结果客观化。界面简洁、操作简单的系统,具有较强的实用性与通用性。
统一化的评估技术报告不仅提高了雷击风险评估工作的效率,还利于在各地区开展雷电风险评估工作。本系统的开发拓展了雷电防护应用技术的领域,项目完成并推广以后会提高本地区防雷中心科技服务水平,并对提高经济效益起到很大的推动作用。
参考文献
[1]GB 50057-94 建筑物防雷设计规范[S].
[2]GB 50343-2004 建筑物电子信息系统防雷技术规范[S].
[3]DB50/214-2006 雷电灾害风险评佑技术规范[S].
[4][美]Greg Riccardi.数据库系统原理[M].清华大学出版社,2002,11.
[5]李岩,张瑞雪.SQL Server 2005实用教程[M].清华大学出版社,2008,9.
[6]古乐,史九林.软件测试案例与实践教程[M].清华大学出版社,2007,2.
[7]刘波.信息管理系统中数据库安全实现方法[J].计算机应用,2005(10):77-78.
[8]刘志成.SQL Server 2005实例教程[M].电子工业出版社,2008,2.
风险评估及管理范文4
关键词 科技评估 风险投资 风险管理
1 科技评估
1.1 科技评估的概念
2000年12月28日科技部颁发的《科技评估管理暂行办法》将科技评估定义为“是指由科技评估机构根据委托方明确的目的,遵循一定的原则、程序和标准,运用科学、可行的方法对科技政策、科技计划、科技项目、科技成果、科技发展领域、科技机构、科技人员以及与科技活动有关的行为所进行的专业化咨询和评判活动”。从更广泛的意义上来讲,科技评估是对与科学技术活动有关的行为,根据委托者的明确目的,由专门的机构和人员依据大量的客观事实和数据,按照专门的规范、程序,遵循适用的原则和标准,运用科学的方法所进行的专业化判断活动。其结果要归结为能够回答委托者特定目的评估结论和评估分析。
1.2 科技评估的范畴
科技评估的范畴主要是职能性评估和经营性评估两大方面,职能性评估是指对政府科技活动有关行为进行的客观的、科学的评价和判断,为政府有关部门发挥决策、监督职能提供服务。经营性评估是指对企业或其他社会组织与科技活动有关行为进行的客观的、科学的评价和判断,为他们对被评事物的决策、判断提供参考依据。在市场经济条件下,科技评估作为一种咨询活动,不应仅仅只为政府决策服务,还应深入到市场中的各类科技活动之中,接受非政府机构委托的评估任务,如企业投资项目的科技评估、风险投资机构投资的科技评估、企业产权交易中的科技评估等。
1.3 科技评估的分类
科技评估可从不同角度分类。从评估时间上,可分为事先评估、事中评估、事后评估和跟踪评估四类。事先评估是在某项科技活动实施前所进行的评估,主要包括实施该项活动必要性和可行性两方面内容。它常常带有预测的性质,但不同于一般的预测分析;事中评估是在科技活动实施过程中进行的监督性评估,着重检验是否按照预定的目标、计划执行,对前面工作的进展与预期效果进行比较,并对未来进行预估,以发现问题,调整或修正目标与策略;事后评估是科技活动完成后进行的评估。另外,从评估空间上,可分为国家评估和地方评估;从评估规模上,可分为宏观评估、中观评估和微观评估;从评估方法上分,可分为定性评估、定量评估及定性与定量相结合的评估;从评估形式上,可分为通信评估、会议评估、调查评估、专访评估和组合评估等。
1.4 科技评估的方法
评估方法有广义和狭义两种概念,广义概念包括评估准备、评估设计、信息获取、评估分析与综合、撰写评估报告等评估活动全过程的方法,狭义概念特指评估分析与综合的方法。
科技评估可选用的方法多种多样,关键是要依据不同对象,有针对性地选择评估方法。常用的分析评价方法有定性和定量结合的方法、多指标综合评价方法、指数法及经济分析法和基于计算机技术的评估方法等。
2 风险投资的风险管理
风险管理是通过对风险的识别、衡量和控制,以最少的成本将风险导致的各种不利后果减少到最低限度的科学管理方法。风险投资的风险管理的出发点和归宿,都是企图运用系统的、综合的现代科学管理方法,有效地扩大投资活动的有利因素,控制和抑制不利因素,达到以最小的成本,安全、可靠地实现风险投资利益的最大化。
2.1 风险识别
风险识别是风险管理的第一步,是指对企业面临的,以及潜在的风险加以判断、归类和鉴定风险性质的过程。存在于企业自身周围的风险多种多样、错综复杂,无论是潜在的,还是实际存在的,是静态的,还是动态的,是企业内部的,还是与企业相关联的外部的,所有这些风险在一定时期和某一特定条件下是否客观存在,存在的条件是什么,以及损害发生的可能性等,都是在风险识别阶段应予以回答的问题。在风险投资中,风险一般可以分为两类:系统风险和非系统风险。系统风险是由公司之外的各种因素引起的,如战争、经济衰退、通货膨胀、高利率等与政治、经济和社会相联系的风险,是不能通过多角化投资而分散的,因此又称作不可分散风险或市场风险。重要的系统风险有政治风险、法律法规风险和政策风险等。非系统风险也被称作可分散风险,它是由公司本身的商业活动和财务活动带来的,如企业的管理水平、研究与开发、消费者需求的改变、市场营销风险以及法律诉讼等,其可以通过多角化投资组合而分散,是公司特有的风险。重要的非系统风险有决策风险、财务风险、信用风险、完工风险和市场风险。作为风险投资者,其关心的往往只是项目的系统风险,因非系统风险完全可以通过合理的投资组合而得到分散。
2.2 风险衡量
风险衡量对已经识别的风险进行分析评估,以确定其损害程度的过程。风险衡量的方法分为定性风险评价方法和定量风险评价方法两大类,定性风险评价方法又可分为主观评价法和客观评价法,传统的主观评价法主要有观察法、资产负债表透视法和事件推测法等。现代的主观风险评价方法致力于将传统主观方法涉及到的因素综合在一起,并且设法将传统上的主观方法的定性分析特征转向定量分析上,由此而将主观分析扩展到能够同时完成综合评价风险因素与测量风险临界值的双重任务。现代客观风险评价法中,最具代表性的是“Z记分”方法。作为一种综合评价风险企业风险的方法,“Z记分”方法首先挑选出一组决定企业风险大小的最重要的财务和非财务的数据比率,然后根据这些比率在预先显示或预测风险企业经营失败方面的能力大小给予不同的加权,最后将这些加权数值进行加总,就得到一个风险企业的综合风险分数值,将其对比临界值就可知企业风险的危急程度。定量风险评价方法主要有风险图法、决策树法等。
2.3 风险控制
风险控制是指在对风险进行全面的分析之后,实施各种风险控制工具,力图在风险发生之前消除各种隐患,减少损失产生的原因及实质性因素,将损失的后果减少到最低限度。实施风险控制的步骤是风险预测——风险决策——实施决策方案——方案的成果评价。风险控制的主要方法有风险规避、风险预防、风险分散、风险转嫁、风险补偿、风险抑制等。
3 科技评估与风险投资的风险管理
科技评估与风险管理既有联系也有区别,科技评估作为一种专业化判断活动,在介入风险投资的风险管理后,其任务便是对风险进行识别和衡量,其结果作为风险投资机构投资决策和制定风险控制实施方案的依据。可见,在风险投资的风险管理中,科技评估实质是风险的识别和衡量的过程,而风险管理还包括了风险控制的实施过程,这样科技评估就可以作为风险管理一个组成部分,实现两者的有机结合,促进共同发展。科技评估与风险投资的风险管理的关系如附图所示:
3.1 科技评估是提高风险投资管理效率的重要手段
科技评估经过近十年的发展,已有一整套较为完备的评估规范和技术方法,在评估设计、评估信息采集、综合分析、评估质量控制等方面的研究已较为成熟,同时,由于科技评估机构长期致力于国家和地方各类科技计划、科技项目、科研机构等方面的评估,对于科技产业、科技政策等方面的研究也是其他咨询机构无法比拟的。而我国风险投资业尚处于起步阶段,国家还未出台较为完备的有关风险投资事业的行政法规,风险投资机构的风险管理机制还很不健全,对风险管理人才培训的投入和重视程度还远远不够,因此,将科技评估运用到风险投资的风险管理中将能充分发挥其作用,提高管理效率。
3.2 科技评估方法是衡量风险投资风险的有效工具
定量和定性方法相结合是科技评估方法应用的基本思路,这与现代风险评价所采取的方法既有相近又有其独到之处,科技评估中最常用的方法是多指标综合评估方法,它是在对多个影响因素进行分析研究之后,设计一套相应的评估指标体系,并对每一个评估指标都制定具体的标准和统一的计算方法,使其能对金额、人数等可计量的指标进行定量评估,同时对社会影响等因素亦可做定性评估的描述。这与上面介绍的“Z记分”方法仅依靠可计量的数据作为评价基础相比较更为有效。采取科技评估方法衡量投资风险也更为准确、可信。
3.3 科技评估是推动风险投资管理创新的动力
引入评估机制,使风险投资机构的投资选择与投资决策相分离,使得风险投资管理更为透明化,也遏止了内部人员的“暗箱操作”等种种不良现象。通过独立的、专业化的评估中介组织的运作,将能使风险投资机构的管理层能更客观地认识到投资风险,从而可集中精力于投资决策,通过管理体制的创新,保证投资的科学性和安全性,也提高了投资成功率。
3.4 科技评估参与风险投资管理是其自身发展的需要
科技评估工作现阶段主要是为各级科技行政管理部门,主要是国家和省、市科技管理部门服务,而且大部分科技评估机构是由科技管理部门所属的有关单位,如软科学研究机构、科技咨询机构、科技情报机构等部门产生,但由科技管理部门所属的单位评估科技管理部门的科技项目、科技计划等等,在一定程度和一定范围内不可避免的受到科技管理部门的影响。因而,评估水平难以提高。因此,科技评估机构作为一种社会中介服务机构,和各类资产评估机构一样,应逐步社会化和多元化,如参与到风险投资管理的咨询工作中,只有社会化、多元化,才能充分引进竞争机制,优胜劣汰,提高评估水平,促进科技评估事业的发展。
风险评估及管理范文5
[关键词]雷击风险 风险评估 应用技术 建议
[中图分类号] P446 [文献码] B [文章编号] 1000-405X(2013)-12-189-2
雷电是发生在大气中的声、光、电物理现象,被联合国国际减灾十年确定为世界最严重的十大自然灾害之一,其强大的电流、炙热的高温、猛烈的冲击波以及强烈的电磁辐射等物理效应能够在瞬间产生巨大的破坏作用,常常导致人员伤亡,击毁建筑物、供配电系统、通信设备,造成计算机信息系统中断,引起火灾,威胁人们的生命和财产安全。雷击风险评估是现代综合防雷技术中的重要环节。从技术规则角度看,国内外对雷击风险评估的方法作了比较规范的技术规定,也有很多的业务实践。从法律规范角度看,近年来始见相关的地方性法规或规章有所规定,但模式不一。因此,为规范雷击风险评估行为,很有必要对雷击风险评估的法规制度进行比较研究。
1雷击风险评估现状
1.1将雷击风险评估设计为行政许可项目
这种制度防雷减灾安全评价制度是以雷击风险评估为核心内容的。它把所有应当安装防雷装置的设施和场所规定为实行防雷减灾安全评价制度的对象,由评价对象的建设单位在可行性研究阶段向县级以上气象主管机构申报。
1.2将雷击风险评估设计为政府内部运转行为
开展雷击风险评估工作时,由有关部门在组织编制城市分区规划、控制性详细规划时和下达重点建设工程计划前通知所在地气象主管机构进行雷击风险评估。这种设计,不但避免了行政许可的嫌疑,避免了纯市场行为的不规范性,更重要的是可以确保雷击风险评估制度既切实可行,又尽量减少给行政管理相对人造成负担,体现了服务政府、高效政府的要求。
1.3将雷击风险评估设计为市场行为
由建设单位委托雷击风险评估单位,对评估对象进行雷击风险评估。双方是合同平等主体,建设单位支付费用,评估单位出具评估报告。由于这两地相应的法规或规章还没有对雷击风险评估进行规范,因此还没有见到规范的制度或程序设计。
2雷击风险评估中存在问题
2.1缺乏规范的法规和评估体系
目前我国仅对雷击风险评估法律制度作概要式规定, 并未界定评估行为的性质, 需实施评估的项目范围也比较笼统,对评估程序、评估方法、评估结论、责任等没有一个统一而具体的规定。
2.2人员素质和仪器设备水平低
由于我国雷击风险评估开展时间不长, 实践经验少,缺少专业技术培训渠道, 缺乏熟悉雷击风险评估业务的技术人才。此外由于经济原因忽略仪器设备的投入,加上闪电定位监测资料的缺乏, 造成基层雷击风险评估整体技术水平偏低, 使评估的质量和水平难以得到保证。
2.3资质资格管理制度
目前我国基层雷击风险评估工作普遍未建立资质准入和资格管理制度, 这种情况既不利于基层防雷部门管理, 也使雷击风险评估机构开展业务的合理性、技术权威性难免会受到质疑, 而且在开展评估的过程中存在一定的责任风险。
2.4标准技术方法比较复杂,结构庞大
而且大都建立在国外防雷工作经验基础上,没有能考虑到中国广袤大地的具体情况的差异以及中国的国情,不适宜完全照抄照搬或全盘引用。
3雷击风险评估工作的技术基础
3.1雷击风险评估通常采用相对值法
雷击风险评估的目标是给出直接雷电闪击及间接雷电闪击引起的建筑物损害风险的评估程序,在确定损害次数上限值的基础上,能够从全和经济合理性出发,为决定建筑物是否需要提供防护措施,以及如何选择适当的防护措施提供技术参考。
3.2按建筑物电子信息系统所处环境进行雷击风险评估
确定雷电防护等级。该标准确定的雷击风险评估方法重点考虑了建筑物年预计雷击次数、建筑物入户设施年预计雷击次数以及建筑物电子信息系统因直击雷和雷电电磁脉冲损坏可接受的年平均最大雷击次数。
3.3闪电定位资料分析
以所测地位置附近现场测量的地理参数为基准点,以3.5km为半径,提取5年地闪资料,进行统计分析得出如下结论,作为雷击风险评估的基础参数之一。用Ng表示,单位为:次/km2・a。可得到所测地3.5km半径范围5年平均地闪密度,该值可作为本评估报告所采用的地闪密度。
3.4雷评技术路线
根据灾害的理论分析, 灾害的发生是由致灾环境的危险性和承灾体的易损性脆弱性定的, 具体到雷电, 雷击风险是指人身和财产容易受到雷电伤害或破坏的程度, 它直接反映了人身和财产在遭受雷电袭击时的脆弱性。
3.4雷击风险评估相关数据采集
雷击风险评估现场勘测是了解被评估项目情况、取得相关评估数据的重要步骤。随着雷击风险评估工作的快速发展,在一些地区其业务量甚至成倍增长,而评估机构在人员、精力安排时捉襟见肘。为了整合资源,提高工作效率,可安排报告的编写人员、跟踪检测人员直接到现场做评估的勘测工作,并要求建设单位安排相关建筑、电气、楼宇智能化、生产工艺、生产控制方面的工程技术人员参加。
3.5IEC 62305方法
将可能涉及的全部雷击风险分量和来源扼要地归纳为一个4x8矩阵(表)。然后又将各种各样的影响因素进行归纳分类,分别赋于分量的几个参数:影响N 因素――当地雷电活动强度、地理和环境因素,建构筑物和外接服务管线的类型和尺寸;影响P因素――各种保护措施的保护特性和参数,被保护设备的冲击耐受水平;影响L的因素――建筑构物、内部物体的燃烧、爆炸特性,防火的措施。这些因素有些可能减轻损失,有些可能加剧损失。
4开展雷击风险评估工作的基本要求
4.1加快雷击风险评估法规建设
在国家层面的雷击风险评估制度出台前,积极推进地方立法,争取政策支持,完善与评估有关的规章制度,明确开展雷击风险评估的实施细则,对评估的范围、主体、对象、条件、程序、期限、责任作出详细规定。确保符合评估要求的建设项目在设计论证之前及时进行雷击风险评估,从源头上提高雷电灾害的防御能力,落实防雷安全责任。
4.2抓好技术标准体系的建设
雷击风险评估的规范发展, 必须有一套国家或行业认可的严格的技术体系作为评估准则和技术保证。现阶段雷击风险评估工作正处于起步阶段, 亟需技术标准进行规范操作。应尽快出台符合本省的雷击风险评估规范标准, 制定统一业务流程和工作内容。严格按照技术准则规定的基本程序开展雷击风险评估工作。
4.3提高队伍水平,深化技术含量
建立自上而下的技术支持和素质教育培训制度,每年组织基层雷击风险评估专业技能培训和考核, 不断强化人员素质, 提高评估能力和水平, 为开展雷击风险评估工作打下良好基础。
4.4建立严格的准入和资质、资格管理制度
为保证雷击风险评估过程的客观性、公正性、严肃性, 应设定资格准入, 完善资质和资格管理制度。制定评估机构资质的申报、审批、监管流程, 根据评估机构的章程制度、评估能力和质量管理水平来确定资质及业务范围; 对从事雷击风险评估工作的人员, 要通过专业培训和考核, 实行持证上岗制度。应制定对评估机构的动态考核评价办法和从业人员技术水平的定期考核办法,提高雷击风险评估水平和服务质量。
4.5加强部门协作,做好宣传
雷击风险评估的全面开展,离不开政府相关职能部门的支持配合,应加强与规划、建设、安监、消防等部门的协作, 建立联合审批机制, 将雷击风险评估列为项目审批内容、前置条件范围。还应加强雷击风险评估目的意义和作用的宣传, 提高社会公众对雷电灾害的风险意识、防灾意识, 树立不遭雷击就是产生效益的理念, 通过评估来降低风险, 切实减少雷击事故的发生, 尽最大限度减少因雷击造成的生命和财产损失。
5结束语
综上所述,雷击风险评估是雷电灾害的风险管理的关键措施, 它能够在防雷设计阶段客观评价雷击各种风险, 并提出控制和消除风险、隐患的对策措施。因此, 各级防雷主管机构应加强雷击风险评估工作的管理, 使建设项目防雷设计建立在科学的基础上, 避免盲目性, 保证防雷工程安全可靠, 技术先进, 经济合理, 确保雷击风险评估工作健康持续发展。
参考文献
[1] 雷电灾害风险评估({IEC61662).
[2]杨少杰等,雷电损害风险评估的方法与实践(上、下).
[3]钟万强等,建筑物雷电灾害风险评估的标准、体系和方法.
[4]气象信息系统雷击电磁脉冲防护规范(QX3-2000),《气象标准汇编》(2000-2003),中国气象局政策法规司编.
风险评估及管理范文6
论文关键词:道德风险,过程激励理论,剩余索取权
高管持股是否能提升公司业绩,一直是研究现代企业制度的重要方向。理论、激励理论、人力资本产权论是现阶段研究企业高管持股和公司业绩关系的主要理论基石。三个理论虽然在出发点、作用、影响上都不尽相同,但是都得出了高管持股与公司业绩存在正相关关系的研究结论。
一、理论
“委托人”和“人”一词最早由罗斯(Ross)1973年提出。一般意义上,委托的主要内容是委托人雇佣人并赋予其决策权。在以分工为基础的社会中,普遍存在着委托关系。委托人与人签订或明或暗的契约,委托人授予人某些决策权并代表其从事经济活动。但在信息不对称的条件下,由于“隐蔽信息”和“不可观行为”的存在,契约是不完全的,必须依赖于人的“道德自律”规避产生损失的风险。但这是一种风险,由于委托人与人的利益往往不趋同,人的某些私人信息不被委托人所知,或者委托人不能完全了解人的行为动机,而且委托人和人的效用函数不相同,人在最大限度地增进自身效用时可能做出不利于委托人的行为,这种不作为行为产生的风险被称作“道德风险”。
在现代企业制度所有权和经营权分离的状态下,公司治理结构中所有者和经营者之间就是一种典型的委托关系,作为企业资本所有者的股东是委托人,管理层作为经营者是委托人雇佣的人。管理层往往在事实上掌握了企业大部分的控制权,相比股东而言具有信息优势,同时管理层的管理行为也是一种难以监督的“不可观”行为,所有者无法像经营者本人一样了解经营者所采取的行动。如果以经营者是“经济人”为假设前提,那么管理层将有动机和有条件利用信息不对称逃避股东的监督,实现其个人利益的最大化。这种道德风险主要表现在两个方面:一是偷懒行为,即经营者所付出的努力小于其获得的报酬;二是机会主义,即经营者付出的努力是为了增加自己的利益。这两种行为的典型表现就是操纵企业经营利润和管理腐败行为。偷懒和机会主义两种行为即道德风险的存在,使得企业建立激励机制和约束机制变得十分必要。
克服或防止人的道德风险行为,关键是处理信息不对称问题。詹森和麦克林(JensenandMeckling,1976)在他们所创立的实证理论中认为,“关系是作为一种契约关系,是一个或一些人(委托人)授权另一个人或一些人(人)为他们的利益行事,并授予某些决策权。如果相互关联的双方当事人都是效用最大化者,那就有理由相信人不可能总是为委托人的最大利益而行动”。委托人为了限制这种利益的偏离,必须设置适当的激励机制来激发人的积极性。他们同时指出,企业内契约制度的设计从本质上而言,就是确定如何提供激励,如何在激励与保险之间进行权衡。具体来说,一是委托人通过信息的交流建立约束机制,将人的能力逼迫出来,从而防止机会主义行为;二是股权激励,委托人通过剩余索取权的分享形成激励机制,将人的努力诱导出来,从而克服偷懒行为。委托人对人的约束是需要成本的,表现为编制财务报表、进行审计及设置控制组织等所造成的费用支出。激励机制的作用就在于控制风险,降低成本,一种最优的激励机制应该能够使成本最小化。如果一种激励机制带来的各种收益大于建立该机制所需要的成本,那这种安排就是富有成效的。公司剩余索取权的分配形式是管理层效用函数中极其重要的一个变量,而企业股权激励机制通过让企业的人也成为现在或未来的股东,赋予其剩余索取权,就在一定程度上解决了控制权和剩余索取权相分离产生的矛盾,使管理者的目标函数与股东的目标函数尽可能地达到内在的一致,使经营者和企业形成一个利益共同体,构建激励约束相容的机制。格罗斯曼和哈特(GrossmanandHart,1986)在其经典的论文中,就肯定了剩余控制权的意义,指出只有授予职业经理人充分的剩余控制权才能使剩余索取权得以充分实现,也只有这样才能充分诱使职业经理人力资源的供给。因此,企业的最优激励机制实际上就是能使“剩余所有权”和“控制权”最大对应的机制,最优的安排一定是一种经理与股东之间的剩余分享制。也就是说,让管理层持股能有效地解决问题,降低成本。
二、激励理论
现代激励理论是以人性理论和需要理论为基础的,人性理论解决的是激励逻辑,需要理论解决的是激励方式和途径。西方目前较为流行的激励理论主要有三种:一是内容型激励理论,该理论从激励行为动机的因数这个角度来研究激励问题,该理论认为人的积极性和受激励的程度主要取决于需要的满足程度,以马斯洛需要层次论为代表;二是过程激励理论,该理论从连接需要和行为结果的中间心理过程这个角度来研究激励问题,试图搞清楚员工面对奖励时如何决定其付出努力的程度,它涉及员工如何对奖酬进行评估、如何选择自己的行为、如何决定行为的方向等。以弗洛姆的期望理论、亚当斯和洛克的目标设计理论等为代表;三是行为矫正型激励理论,该理论从行为结果出发来研究行为是否受到激励,认为受到激励的行为倾向于反复表现,该理论主要是斯金纳的强化理论和心理学理论中的挫折理论等。
激励过程理论体系较之于激励内容理论体系从系统性和动态性的角度来说是一种巨大的进步,但从根本上来说仍以对人的心理特征和以此为基础的行为特征为出发点。而人的心理需求难以加以观察、评估和衡量,属于内涉变量;同时心理特征必然因人、因时、因事而异,并处于动态变化之中,各种激励方法实施的可重复性差,由此而难以把握;再次随着人们对于激励条件的适应性,任何激励因素都会变成保健因素,致使管理组织激励资源的稀缺性和激励因素(如奖金、工资)的刚性之间存在着严重的冲突,使得管理激励难以持久。因此,激励往往被认为是属于管理艺术和领导艺术的范畴,是一种令人敬而远之、望而生畏的工作。
以往的激励工作乃至当前的改革中,凡涉及激励,往往着眼于对一般职工的奖励和精神激励,而对于企业的高层管理人员――企业经营者来说则缺乏理论探讨和实践。对企业高层管理人员来说,其工作主要是决策、计划和人力资源开发,其经营管理工作的直接成果主要是主意、指令、宗旨、目标、规范、制度,是软性的、无形的,同时其努力程度、能力、风险态度、投资倾向和决策正确性等内涉及变量和滞后显示变量囿于信息、空间和时间的限制,很难及时准确地用简单地考核指标来衡量。其次,企业经营者的间接劳动成果(即企业表现)具有非常复杂的背景和归因。其可察变量(如资本利润率、企业成长和增长速度、全员劳动产量、产值、成本、技术进步和生产率)其特性或根源往往不是一维而是多维的,企业经营管理工作是个复杂动态的系统,其可察因素往往是多维因素非线形作用的结果。这时偏倚、强调某一因素和特性会产生不适当的刺激作用,因此平衡各方面的因素,进行恰到好处的激励决定着激励机制的制定、激励资源的合理导向和分配。再次,企业经营者的劳动成果――企业表现,非但隐含着异常复杂的背景(如努力程度、能力、风险态度)而且还受到不少非经营者所能控制因素的影响(如在计划经济和市场经济的混合体制下由于企业目标多元化和行政指令的干涉而导致的激励不准确、不规范、不公平和政权市场投机行为等)。贝克等(Baker,JensenandMurphy,1988)对报酬与激励的一些理论问题作了阐述,如主客观绩效、将职位提升作为一种激励制度以及公司内部利润分享计划的有效性等。他们的研究试图将公正、公平、道德、信任、社会责任和文化等因素融入到经济分析之中。白云霞(2000)认为,在经理人员激励相容的报酬方案、有效的证券市场、竞争性的经理人市场、有效运作的接管市场以及公司内部健全的治理结构等一系列激励约束机制的作用下,有利于促使经理人员减少机会主义倾向,降低成本。由此可以看出,建立有效的激励机制,特别是对于高管人员的激励机制,会受到一系列激励约束机制的作用,而管理层持股作为高管激励的重要一环,必不可免的要受到各种因素的影响,其存在着一定的内生性。
三、人力资本产权论
人力资本理论(humancapitaltheory)是20世纪50年代末60年代初形成的一种新的经济理论。它是在传统资本理论受到严重挑战的情况下,针对资本同质性假设提出。归纳起来人力资本理论可分为三个重要的领域:人力资本分配论、人力资本增长论和人力资本产权论。这里与本文相关的是人力资本产权论。
中国年青的经济学家(周其仁、杨瑞龙、方竹兰等)从产权的角度研究人力资本。他们通过研究企业理论发现:产权在企业理论研究中的运用还不够彻底,存在一个重要的缺憾,这就是缺乏对人力资本产权的承认和规定。西方发达资本主义国家在“经理革命”之后至知识经济的兴起,对经理的作用给与了越来越高的重视。詹森和墨菲(1990)的研究表明CEO最大的激励来自于他们公司股票的所有权,在美国500家大公司的80%给予了经理股权激励,即给予经理一定的剩余索取权。但是,这种经理的剩余索取权的取得不是基于人力资本的产权收益,而是作为一种激励手段赋予的。随着科技的不断发展,市场规模的日益扩大,经理在企业生产率提高中的作用显得日益重要,经理作为特殊专用性的人力资本的拥有者与物质资本相比更具稀缺性目前,经理事实上已拥有部分剩余索取权,现在己到了在理论上确立人力资本产权地位的时候了。
青年经济学家周其仁发表的文章《市场中的企业:人力资本与非人力资本的特别和约》(1996),把人力资本重要性提到了与物质同等重要的程度,充分肯定了人力资本的产权特征。方竹兰则根据周其仁的观点进一步提出,人力资本不但应拥有产权及产权收益,而且从发展趋势来看,人力资本产权应占据主导地位。杨瑞龙、周业安(1997)在《一个关于企业所有权安排的规范性分析框架及其理论含义》一文中指出,人力资本与非人力资本是企业里两个对等的产权主体,企业所有权安排是分散地对称分布于不同所有者主体(人力资本与非人力资本),每个所有权主体所拥有的企业所有权份额是所有者之间讨价还价的结果。
四、结论
研究高管持股与公司业绩关系的理论基础以理论为主,激励理论和人力资本理论较少使用。委托理论是从股东的角度研究所有者与经营者之间的关系,因此委托理论主要是给所有者激励和监督经营者提供了理论基础。激励理论以人性理论和需要理论为基础,认为建立有效的激励机制,要平衡各方面的因素,特别是对于高管人员的激励机制,会受到一系列激励约束机制的作用。进行恰到好处的激励决定着激励机制的制定、激励资源的合理导向和分配。而人力资本理论则不同,它从人自身的角度出发,指出人的才能本身也是能产生投资收益的资本,尤其是人力资本产权论,更是为经营者获得企业的剩余索取权或者说是股权奠定了理论基础和法权地位。对于经营者的股权与公司业绩之间关系的研究,可以从理论出发,并同时参考其他两种理论的思想。
参考文献