CISP试题及答案(515多题整理版)_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
评价文档：
CISP试题及答案(515多题整理版)
阅读已结束，如果下载本文需要使用
想免费下载本文？
把文档贴到Blog、BBS或个人站等：
普通尺寸(450*500pix)
较大尺寸(630*500pix)
你可能喜欢试分析学校可能面临的各种风险,并依据风险管理的主要环节,为学校制定一套风险管理方案.保险课期末作业._百度作业帮
拍照搜题，秒出答案
试分析学校可能面临的各种风险,并依据风险管理的主要环节,为学校制定一套风险管理方案.保险课期末作业.
试分析学校可能面临的各种风险,并依据风险管理的主要环节,为学校制定一套风险管理方案.保险课期末作业.
　　0 引言　　自二十一世纪以来,我国高等教育进入快速发展时期,高校数量大幅增加,规模不断扩大,为经济和社会发展培养了大量的人才.同时,高校也呈现出办学主体多元化、经费来源多样化、体制结构复杂、竞争激烈等特点,高校面临前所未有的运行风险.因此,运用风险管理、内部控制等原理和方法,探索和研究高校风险管理基本理论,构建一套符合现代高校特点的风险管理体系,是高校深化改革与进行现代化管理的新方向.　　1 高校主要风险因素分析　　随着高等教育体制改革的不断深入,高校成为自我承担风险的主体.目前,高校面临的主要风险包括：经营运作风险、安全保障风险等.　　1.1 经营运作风险　　一是政策法规风险.由于我国的法律体系尚在不断变化和完善之中,新的法律法规不断产生,原有的法律遗留问题短期内难以消化,政府的管理政策和行为也在不断变化和调整,这使得高校在发展中面临法规和政策的不确定性.高校管理运作因政策法规的变化或不符合政策法规的要求而承担较大的风险.　　二是专业设置风险.随着经济、社会改革的不断深入和产业结构调整的加快,社会对人才的知识层次、专业技能的要求不断提高.为了适应社会对人才的要求,特别是为了吸引优质生源的需要,不少高校在专业设置上存在“三越”现象,即专业越多越好、专业名称越新越好、专业去向描绘得越吸引考生越好,高校的专业设置越来越以市场为导向.但是,市场不是完美的,有自身的许多缺陷.市场虽然能够反映当前的就业状况,却不能充分地指明将来的就业需求.有些专业可能现在非常热门,假如以此为据而扩大招生,谁能够保证四年以后这些专业还是热门呢?由于市场缺陷的存在,以市场为导向进行专业设置,必然会妨碍人们对于人才需求的科学判断.在高校专业招生和专业设置的问题上,也应该“风物长宜放眼量”,不能仅仅把一时的就业市场需求状况作为惟一的尺度,否则就会贻害整个教育发展乃至我国的科学发展.　　三是市场竞争风险.首先表现为招生的竞争.由于近十年高校连续扩建扩招,高校数量增加、规模扩大,考生有了更多的选择机会.高校的招生效果越来越取决于高校的知名度、专业水平、学科设置以及所在地区的社会经济发展水平.特别是地方高校之间、民办高校之间的招生大战愈演愈烈,许多高校已经出现了招生难的现象.　　2 安全保障风险　　一是食品卫生风险.高校是人口密集的公共场所,食品安全尤为重要和敏感.但由于后勤社会化,高校难于监督,高校发生严重食品安全问题的现实风险增加.　　二是校园环境安全.高校是开放式的公共场所,人员众多,流动量大,这将给高校的消防安全、治安保卫、事故防范等工作很大的压力.　　三是人身心理风险.大学生思想活跃,富有激情,自我意识强烈,但同时思想偏激易冲动,承受挫折能力弱,极易发生心理问题和矛盾冲突,造成严重的后果.　　2 我国高校在风险管理方面存在的问题　　高校在运行和发展中面临诸多风险,但是我国高校风险意识普遍淡薄,多数高校未建立系统高效的风险管理体系,风险应对现状不容乐观.　　一是风险管理活动在我国尚处于起步阶段.风险管理作为一门专业的管理科学是二十世纪三十年代在欧美等西方国家逐渐发展起来的,直到八十年代中期才被引入国内.但直到今天在我国仍处于探索研究阶段,仅在一些特殊行业和大中型企业初步应用,远未达到普及推广、广泛应用的程度.　　二是高校风险管理意识薄弱.我国高等教育管理体制改革已经进行了多年,高校开始由过去国家统一拨款、统一招生、统一分配的高度集中的计划管理模式向自主化、市场化转变,但仍处于起步阶段,改革还不够深入,原有体制的影响在较长一段时间内难以消除,我国高校的风险意识普遍薄弱.　　三是高校尚未建立系统的风险评估管理体系.现阶段,完善的风险管理评估体系在我国还处于空白状态,风险管理还是一个崭新的课题,尚无成功的经验可以借鉴.　　3 高校风险管理体系的构成　　根据风险管理理论及其实践经验,高校管理体系主要有组织保障子系统、规范标准子系统、风险评估子系统、实施执行子系统组成.　　3.1 组织保障子系统　　一是建立专业的风险评估管理委员会.高校风险管理是一项全面的管理工作,涉及面广,专业性强.必须建立包括财务、管理、信息情报、安全、卫生、法律、等方面的专家技术人员组成的管理委员会,定期进行风险评估工作.　　二是制定完善的风险评估管理工作程序.要根据高校自身的特点制定包括风险规划、风险识别、风险评价和风险应对等各环节的工作程序,使高校的风险评估管理工作有序进行.　　3.2 规范标准子系统　　一是规范的风险管理制度.为使风险管理成为高校内部一项经常性的工作,发挥其促进和改善高校管理状态的作用,必须按照风险产生的原因和发展规律,制定适用、规范的风险评估管理制度,这是风险管理工作得以正常进行的基础.　　二是科学的风险评估标准.即根据风险评估管理的要求,以强化内部管理与控制为目的制定工作标准,确定风险等级标准,为风险管理提供依据.　　3.3 风险评估子系统　　一是广泛的数据收集网络.运用调查、询问、统计等方法在主要部门和关键控制环节建立数据收集点,对高校运营过程中的行政管理、教育教学、招生就业、资金筹措、安全保障等各主要活动中存在的不确定因素和风险因素进行收集整理,形成分类、量化、系统的数据源,为风险评估提供数据资料.　　二是客观的风险评估平台.在这个平台上运用统计、计算、定性等分析方法,对各项风险数据进行识别、计算、分析,得出客观的风险评价结果为高校应对和处理风险提供决策依据.　　三是可靠的结果反馈机制.开展风险评估的目的是为了指导高校规避和应对风险,因此必须建立可靠的结果反馈机制,将风险评估的结果及时、准确地反馈给相关管理部门,加快信息交流,保证信息对称.　　3.4 实施执行子系统　　一是恰当的风险应对方案.在对风险因素进行收集、识别、分析、评价,并将评价结果反馈的基础上,还应当根据评价结果,充分发挥服务、咨询功能,为高校决策层提供恰当的风险应对方案,以指导改进薄弱环节,完善管理,堵塞漏洞,规避风险.　　二是高效的执行监督措施.决策层的风险应对策略是否得到了执行,执行力度的大小,措施是否得当,也需要进行分析、评估和控制,这就需要执行监督措施.　　三是全面的风险管理效果评估.风险管理效果评估是指实施风险管理方案后的一段时间内（半年、一年或更长一些时间）,由风险管理人员对风险管理相关环节进行回访,考察实施风险管理方案后管理水平、教学科研水平、经济效益等方面变化,并对风险管理全过程进行系统的、客观的分析；通过风险管理活动的检查总结,评估风险管理方案的准确性,检查风险处理对策的针对性,分析风险管理结果的有效性；通过分析评估找出成败的原因,总结经验教训；通过及时有效的信息反馈,为未来风险管理决策和提高风险管理水平提出建议.　　4 高校风险管理工作的基本流程　　高校风险管理工作的基本流程一般由风险规划、风险识别、风险评价、应对策略、效果评估等若干环节组成,这些环节相互制约,相互作用,并对高校风险管理的最终效果产生影响.　　4.1 风险规划 风险规划是高校开展风险管理活动的首要步骤.高校要根据面对的竞争压力,分析内外环境及管理现状,制定包括准确的目标定位（如承受风险目标、规避风险目标、控制风险目标等）、具体的应对实施计划（如风险形势估计、风险评估规范和风险规避计划等）、有力的组织机构（如风险管理委员会、风险评估组、风险项目执行组等）、完善的制度保障（如风险管理制度、风险评价标准、风险因素标准等）、合理的经费预算、科学的技术手段（如抽样调查、数理统计、定性定量分析、决策树模型）等内容的风险评估管理规划.　　4.2 风险识别 风险识别是整个风险管理过程中最重要、最困难的环节.如果不能及时识别高校面临的风险,就不可能控制与规避风险.因此高校风险管理人员必须通过绘制流程图、制作风险档案、开展风险调查、财务报表分析等科学方法对高校运营过程中可能发生的风险因素进行预测、感知和统计,识别高校面临的风险源,判断预测的风险是否存在,以及这些因素的影响程度.　　4.3 风险评价 风险评价包括对风险成因、发生概率、危害程度、损失大小、预期时间等因素进行定量与定性分析等过程,是高校风险管理体系中最主要的环节.通过对所有潜在风险的发生概率,规避或减小风险的可能性估值等数据进行测算、分析和评价,并与高校决策层能够承受的公认的安全指标进行比较,得出风险评估结果,并决定是否发布风险预警.　　4.4 应对策略 在风险评估的基础上,从改变风险后果的性质、风险发生的概率和风险后果大小等方面,提出处置和应对风险的意见、办法和措施供决策层选择：　　一是风险规避.在风险事故发生之前,高校可以采取适当的手段,将风险因素完全消除,避免可能造成的损失,这是一种最简单同时也是最彻底、最有效的反相应的策略.　　二是风险转移.在不能完全避免风险的情况下,为了避免承担风险损失,高校可在法律和道德允许的范围内有意识地将可能发生风险的项目或后果转嫁给其他组织或个人,这种风险应对策略必须遵循让风险承担者得到相应回报以及谁有能力管理风险就由谁分担的原则.　　三是风险预防.即在风险发生之前,高校可以采取消除或减小风险因素的措施,以达到降低风险发生概率,减轻损失程度的目的.　　四是风险控制.在高校面临不能回避或转移的风险时,高校可以采取各种技术手段,降低风险损失的程度,达到控制风险的影响范围和后果大小的目的,这也是一种积极的风险应对策略.　　五是风险承受.在风险管理过程中,当发现所有应对方法的成本费用可能超过潜在风险事件造成的损失时,高校可以采取留置消化风险,自行承担风险损失的应对策略.　　六是风险应急.针对可能发生的风险,还应当事先制定应急预案,及时应当无预警信息的风险事件发生.这个风险应急方案应该包括重大、突发风险事故发生后高校应做出的正确反映、补救方案和实施步骤等内容,一旦发生突发事故,高校能以最快的速度,最好的效能,有序地实施救援,最大限度减少风险事件的影响.　　4.5 效果评估　　对高校风险管理体系的各个环节进行效果评估是高校风险管理活动降低成本,提高效率,改善效果的重要步骤,是有效预防和规避风险的重要手段.　　一是对高校风险管理体系中的计划安排、目标设定、程序步骤进行评估,以促进该体系的科学性和前瞻性.　　二是对高校在风险管理中的机构设置、人员配备、管理制度、规范程序等进行评估,以评价该体系的安全性和完善性.　　三是对高校风险管理体系中在数据采集、风险识别、风险评估、风险应对等各个环节中所采用的技术手段、方法措施是否实用、先进、可靠等状况进行评估,以评价该体系的稳定性和有效性.　　四是对高校风险管理体系中的资金预算、运行成本、降低损失或带来的收益进行评估,以评价该体系的经济性.　　总之,高校开展风险管理能有效地预防、规避、和控制风险.虽然高校的风险管理工作还处于实验探索阶段,但开展风险管理的效果还是显而易见的,特别是在公办高校普遍缺乏风险意识的情况下,强调高校的风险管理工作有非常重要的现实意义.栏目导航： &>&&>& & 内容
企业所需要的控制方案都有哪些
&&&&时间: &&&&阅读:
&&&&整理: 华夏联盟网
下面我为大家总结了十种方式，希望它们能帮助大家了解自己企业所需要的控制方案，以保护持卡人的利益免受分割、PCI规则得到确切执行。
1.了解自己的基础架构
网络商家最需要了解的内容就是自己的在线交易系统与日常业务网络的集成方式。大家可以尝试亲自访问基础架构，了解哪些系统用于处理交易流程及持卡人数据。
网络扫描及日志分析工具能够帮助我们识别触及支付卡数据的系统类别，安全管理服务供应商Trustwave公司认证安全评估师Greg Rosenberg指出。这些涉及敏感信息的系统必须严格遵循PCI DSS安全标准。
&其实很多系统在不知不觉中成为了攻击活动的跳板，通过检测与定位我们发现了大量普通消费者所不了解的安全漏洞，&Rosenberg表示。
他认为让一位经过认证的安全评估师参与测试非常必要。&我要寻找的并不是能帮自己快速通过审计工作的家伙，专家的职责在于帮商家了解潜在风险，&Rosenberg告诉我们。&别把PCI标准看成是麻烦的形式主义流程，认真完成会显著降低大家可能遭遇的安全风险。&
2. 查找数据
企业保留支付卡数据一般出于三大原因：更好地掌握客户服务需求、方便客户重复使用信用卡以及处理退款事务，波尼蒙研究所在其2011年PCI DSS合规性趋势研究报告中总结道。&目前绝大多数公司仍然在以信用卡号码作为客户的主要识别手段，&互联网服务企业Akamai公司安全部门发言人Martin McKeay指出。
无论出于何种目的，一旦选择保留客户数据，企业就应该对业务系统中的每一个运行实例展开监控，包括Web服务器、客户服务应用以及销售人员的笔记本电脑。了解数据驻留在何处、谁在对其进行访问以及访问者是否拥有明确的访问理由。
举例来说，营销团队就可能希望保留这些信息，&因为他们能够在时机合适时向客户发送优惠券或其它促销建议，&PCI SSC的Russo解释道。&但如果大家确信自己并不需要这些数据，请尽快丢掉这块烫手的山芋。&
2011年企业在处理PCI安全要求中的三大首要难题：
保护客户数据（42%）
制定管理政策、确保信息安全（39%）
定期检测系统及业务流程安全性（37%）
3.数据处理系统越少越好
任何一款需要访问交易数据或支付卡数据的系统都要由PCI DSS来把关，而由此带来的评估及检测成本非常高昂。因此将网络划分成不同区块，并将员工指派给与个人工作相关的网络区域就显得非常重要，这能够有效控制访问支付卡数据的员工及系统数量。一旦与敏感信息扯上关系，PCI安全需求也将接踵而至，因此削减涉入系统的数量能够提高安全性、降低合规性成本。&回避交易流程能够帮我们大幅降低基础设施构建难度，这类方案效果明显、深受商家欢迎，&应用程序安全企业Veracode公司副总裁Chris Eng表示。
要想实施此类方案，关键在于记录交易流程的同时不能触及信用卡号码。&记录是绝对必要的，记录信息越详尽交易双方的权益就越有保障，&Web应用安全供应商WhiteHat安全公司静态代码分析部门副总裁Jerry Hoff指出。&但请确保敏感数据本身没有被记录进来。&
4. 把数据交给他人打理
网络商家也可以选择对基础架构进行外包处理，让第三方服务商来接手这些麻烦的支付流程细节并承担安全责任，这也是一种不错的方式。&举例来说，如果大家在网上做滑雪板销售生意，那么确保信用卡数据安全根本就不应该成为咱们的关注重点，拿出精力好好做生意才是正事，&Hoff评论称。
根据波尼蒙研究所的调查，选择放弃支付卡数据的企业往往在安全性方面更为积极，也较少遭受数据泄露的分割。在一份针对670位美国本土及跨国公司IT管理者的调查当中，放弃保留持卡人信息的企业有85%在近两年内没有遭受到数据泄露事件。而在保留该数据的企业中只有40%表示近两年自己未受泄露困扰。
虽然很多企业仍然在这么做，但需要注意的是，有一类数据大家千万不要保留：这就是支付卡验证码，简称CVV。&由于不必再次输出验证码，所以很多商家认为保留这类信息能够促进消费者的购物欲望，&Trustwave公司的Rosenberg说，&然而问题在于作为商家，我们根本没有资格在交易结束之后继续保留这类数据。&
从数据的负担中解脱出来，让PCI认证成为别人的工作。这样比起遵守12条安全规范，我们就能把关注重点缩小到其中的两条上：阻断数据的访问渠道（第九条）与制定管理政策、确保信息安全（第十二条）。
大家还必须对数据存储方案的合规性保持关注，并填写一份自我评估问卷。但总体而言，这种宏观上的工作还是要轻松得多，Hearland公司的South认为。
仅仅进行网络划分与放弃支付卡数据并不足以让你的企业满足PCI安全要求，安全服务企业Accuvant公司PCI解决方案架构师Evan Tegethoff声称。没有哪位商家能够完全跳出PCI安全要求之外，而只能想办法尽量减少它所带来的影响。如果把公司数据交给第三方供应商打理，我们仍然有责任考核其实际表现及信息保护成效。
这一点在技术方面也同样适用。采购一套PCI数据合规保护产品并不能让企业高枕无忧。&商家常常会认为&买套PCI合规产品不就结了&，&PCI SCC的Russo无奈地表示。其实根本没这么简单，数据安全技术只有经过针对企业需求的调整与严格监管才能实现数据保护功能。
5. 严格检验你的合作伙伴
对于那些将业务外包给供应商，却保留一部分交易检查权限的商家而言，他们在PCI合规性方面的责任范围并没有因此减小，PCI SSC CTO Troy Leach提醒道。&目前的挑战在于，这种访问权限常常会涉及到持卡人数据，如此一来商家自己的非安全性环境就被整个牵扯进来了。&
除了管好自己，我们还需要收集信息、了解合作伙伴在PCI合规性方面的执行水平。管理服务供应商手中掌握着大量支付卡数据，这也使他们成为众多攻击者的首要目标。去年在第三方管理下的系统有76%遭受过数据泄露侵扰，而当违约情况发生时，大部分责任还是得由商家自己来承担。
了解第三方合作伙伴的PCI合规性状态，包括自我评估问卷。以下几个关键领域需要着重监督：
&&托管服务必须符合PCI规定，特别是供应商需要具备严格的漏洞修复机制，包括定期安装补丁并升级服务器软件等。
&&任何商家用户在交易中使用的支付应用必须遵循独立的安全标准，即PCI支付应用数据安全标准。除基本安全措施外，交易日志、不保留全部交易数据、提供安全验证机制以及加密公共网络中的通信内容也必须纳入到日常流程当中。
&& Web应用扫描服务供应商必须经过PCI合规性审核，并位列pcisecuritystandards.org网站的放心合作对象名单之中。
恶意人士窃取的数据来自哪里？
63%来自数据传输过程；
28%来自商家的信息存储机制；
5%来自数据重定向行为；
4%来自其它途径。
以上数据引自Trustwave公司在《2012全球安全报告》中所列举的300个数据泄露案例。
6.使用安全有保障的软件产品
信用卡数据大多数情况下要由软件而非人工来处理，因此使用安全有保障的软件产品就显得极为关键。
几年之前，软件开发公司只需要符合PCI的相关审核标准，并确保应用程序中不包含开放Web应用安全项目中所列出的十大严重漏洞即可。而在去年这些管理标准被大大提高，PCI SSC将安全要求修订为&应用程序中不得包含SANS所列出的二十五种高危软件错误。&
难怪企业总是被麻烦所困扰，Veracode公司的Eng无奈地指出。大多数在线商务公司目前还对SANS名单上的头两大常见安全威胁&&SQL注入式攻击与跨站点脚本&&毫无防备，更不用说其它23项相对冷门的攻击方式了。
7.保护好Web服务器
在线零售商运营工作中最重要的环节在于Web服务器及网络商店的维护与保养。电子商务从业者必须按季度提交安全漏洞调查表，而在涉及PCI的软件方面还需要在30天内进行更新并安装致命漏洞的修复补丁。但在专业人士看来，一个月的反应周期实在是太长。
商家可以通过以下三种方式保护自己的在线商店并保障PCI规范：扫描代码漏洞、修复开发过程中的遗留问题；动态扫描网站，检测安全漏洞并及时修复；利用Web应用程序防火墙阻断攻击途径。但仅仅使用防火墙还远远不够，我们还需要对其进行正确配置。&大多数商家对防火墙的设定实在太过松散，&Eng指出。&不少公司干脆选择完全放开的监控模式，这跟不装防火墙根本没什么区别。&
企业还需要从攻击者的角度思考问题。就以跨站点脚本攻击为例，大家不妨扮演攻击者，尝试通过向有漏洞的网站注入恶意代码来使其显示目标站点的信息。跨站点脚本攻击也许不会直接影响到商家自己的网站，但攻击者完全能够利用这种技术将客户诱导到外观相同的其它站点，进而窃取支付卡数据。
&如果我是黑客，我会采取重新定向的方式欺骗消费者，那么商家有什么办法来阻止我的阴谋？&Trustwave公司的Rosenberg提出这样的假设。电子商务供应商必须在开发或安全扫描过程中发现这些漏洞，并尽快加以修复。另外，还需要利用防火墙来阻断此类攻击活动，他提醒道。
8.严格掌控用户权限
PCI规范中有三条与授权相关。限制无关人士以物理方式访问持卡人数据可能是其中最容易实现的一条。因为只有传统的实体型企业才需要不断培训并监督员工远离自己所经手的信用卡，电子商务公司的职员们根本看不到消费者的支付卡实体。但在线零售商还面临着另一大问题，就是如何限制支付卡数据的访问行为，因为很多员工都有合法的途径接触到处理数据的业务系统。
员工与业务合作伙伴可能会在不经意间以设定低强度密码等形式削弱公司的数据访问管理策略。Trustwave公司在其2012年全球安全报告中指出，高达80%的违规活动源自系统管理员所使用的低强度甚至默认密码。在许多情况下，第三方供应商会在多位客户间使用相同或者相近的密码内容，这样免不了要一家出事、全体遭殃。
9.认真加密、保管好密钥
对于选择保留持卡人数据的企业，这类敏感信息必须在存储及传输过程中获得严格加密。数据安全企业Voltage公司副总裁Mark Bower认为，这样做的意义在于将攻击者眼中炙手可热的持卡人数据转化成毫无价值的零散片断。
目前大多数商家都喜欢采取这样的加密技术：对交易数据加密之后，工具将自动生成一套解密密钥，进而在使用时将乱码重组成有价值信息。通过使用终端到终端的加密方案，大家能够削减需要遵循的PCI规范，同时降低由数据泄露带来的恶性后果。由于解密密钥的存在，攻击者即使截获了信息，也无法将其转化为可读内容，Bower指出。
但加密并不能解决所有的安全问题。许多大规模数据泄露事件的发生正是由于攻击者取得了解密密钥。
10. 有了PCI并不等于万无一失
PCI并不代表着全部信息安全要求。它只是一种&最低限度的强制性方案，&Hoff提醒道。&它比较像立在游泳池边的&请勿奔跑&指示牌。即使严格遵守，它也无法保证我们获得绝对安全。&
企业还应该为超出PCI　DSS指导范围之外的潜在威胁做好心理准备。举例来说，攻击者可能会利用HTML注入方式在商家的网站中设定一个原本并不存在的谷歌网页排名。&在这种情况下，我们要问的是：我为什么会遭到攻击？&Trustwave公司的Rosenberg表示。
最重要的是，在线商家必须了解自己的义务、明确自己在保护客户数据方面应该做出的努力，Hearland公司的South指出。&他们要明白，既然投入这个产业，他们就有责任为客户的交易保驾护航。这与PCI规范并没有关系，PCI只是实现这一目的的辅助工具。&
PCI SCC中的研究小组正在针对电子商务安全撰写指导材料，相信到时候我们会得到更多有价值的帮助信息。他们十二月刚刚刊发了第一份报告，未来帮助零售商保障客户数据的道路还很漫长，同志仍需继续努力。
本文来源：华夏联盟网[]
【】【】【】【】【】CISP试题及答案(515多题整理版)_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
评价文档：
喜欢此文档的还喜欢
CISP试题及答案(515多题整理版)
C​I​S​P​ ​试​题​ ​答​案
阅读已结束，如果下载本文需要使用
想免费下载本文？
把文档贴到Blog、BBS或个人站等：
普通尺寸(450*500pix)
较大尺寸(630*500pix)
你可能喜欢风险管理（汉语词语）_百度百科
关闭特色百科用户权威合作手机百科?汉语词语??? 收藏 查看&风险管理（汉语词语）
管理是指如何在项目或者企业一个肯定有风险的环境里把风险减至最低的管理过程。外文名Risk management包&&&&括风险的量度、评估和应变策略
[1]当中包括了对风险的量度、评估和应变策略。理想的风险管理，是一连串排好优先次序的过程，使当中的可以引致最大损失及最可能发生的事情优先处理、而相对风险较低的事情则押后处理。
现实情况里，的过程往往很难决定，因为风险和发生的可能性通常并不一致，所以要权衡两者的比重，以便作出最合适的决定。
风险管理亦要面对有效资源运用的难题。这牵涉到(opportunity cost）的因素。把资源用于风险管理，可能使能运用于有回报活动的资源减低；而理想的风险管理，正希望能够花最少的资源去去尽可能化解最大的。
“”曾经在1990年代西方商业界前往进行投资的行政人员必修科目。当年不少MBA课程都额外加入“风险管理”的环节。
风险管理（risk management)
在降低风险的收益与成本之间进行权衡并决定采取何种措施的过程。
确定减少的成本收益权衡方案（trade-off）和决定采取的行动计划（包括决定不采取任何行动）的过程称为风险管理。
首先，风险管理必须识别风险。是确定何种风险可能会对企业产生影响，最重要的是量化的程度和每个风险可能造成损失的程度。
其次，风险管理要着眼于，公司通常采用积极的措施来控制风险。通过降低其损失发生的，缩小其损失程度来达到控制目的。控制风险的最有效方法就是制定切实可行的应急方案，编制多个备选的方案，最大限度地对企业所面临的风险做好充分的准备。当风险发生后，按照预先的方案实施，可将损失控制在最低限度。
再次，风险管理要学会规避风险。在既定目标不变的情况下，改变方案的实施路径，从根本上消除特定的风险因素。例如设立现代激励机制、培训方案、做好人才备份工作等等，可以降低知识的风险。有效地对各种风险进行管理有利于企业作出正确的决策、有利于保护企业资产的安全和完整、有利于实现企业的目标，对企业来说具有重要的意义。风险管理是或者个人用以降低风险的消极结果的过程，通过、、风险评，并在此基础上选择与优化组合各种风险管理技术，对风险实施有效控制和妥善处理风险所致损失的后果，从而以最小的成本收获最大的安全保障。风险管理含义的具体内容包括：
1.风险管理的对象是风险。
2.风险管理的主体可以是任何组织和个人，包括个人、家庭、组织（包括营利性组织和非营利性组织）。
3.风险管理的过程包括风险识别、、、选择风险管理技术和评估风险管理效果等。
4.风险管理的基本目标是以最小的成本收获最大的安全保障。
5.风险管理成为一个独立的管理系统，并成为了一门新兴学科。风险管理主要分为两类：
型风险管理，主要研究政治、经济、社会变革等所有企业面临的风险的管理。
保险型风险管理，主要以可保风险作为风险管理的，将保险管理放在核心地位，将安全管理作为补充手段。风险管理是一项有目的的管理活动，只有目标明确，才能起到有效的作用。否则，风险管理就会流于形式，没有实际意义，也无法评价其效果。
风险管理的目标就是要以最小的获取最大的安全保障。因此，它不仅仅只是一个安全生产问题，还包括识别风险、评估风险和处理风险，涉及、安全、、设备、、等多个方面，是一套完整的方案，也是一个。
的确定一般要满足以下几个基本要求：
(1)风险管理目标与风险管理主体(如生产企业或建设工程的)总体目标的一致性。
(2)目标的现实性，即确定目标要充分考虑其实现的客观可能性。
(3)目标的明确性，即使用正确选择和实施各种方案，并对其效果进行客观的评价。
(4)目标的层次性，从总体目标出发，根据目标的重要程度，区分的主次，以利于提高风险管理的综合效果。
风险管理的具体目标还需要与的发生联系起来，从另一角度分析，它可分为和两种。
(1)损前目标
①经济目标。应以最经济的方法预防潜在的损失，即在风险事故实际发生之前，就必须使整个风险管理计划、方案和措施最经济、最合理，这要求对安全计划、以及防损技术的进行准确分析。
②安全状况目标。安全状况目标就是将在可承受的范围内。风险管理者必须使人们意识到的存在，而不是隐瞒，这样有利于人们提高安全意识，防范风险并主动配合风险管理计划的实施。
③合法性目标。风险管理者必须密切关注与经营相关的各种法律法规，对每一项经营行为、每一份都加以合法性的审视，不致于使企业蒙受财务、人才、时间、名誉的损失，企业生产经营活动的合法性。
④履行外界赋予企业责任目标。例如，政府法规可以要求企业安装安全设施以免发生，同样一个企业的可以要求的必须被。
①生存目标。一旦不幸发生，给造成了损失，损失发生后风险管理的最基本、最主要的目标就是维持生存。实现这一目标，意味着通过风险管理人们有足够的抗灾救灾能力，使企业、个人、家庭、乃至整个社会能够经受得住损失的打击，不至于因自然灾害或意外事故的发生而元气大伤、一蹶不振。实现维持生存目标是受灾风险主体在损失发生之后，在一段合理的时间内能够部分恢复生产或经营的前提。
②保持企业生产经营的连续性目标。风险事件的发生给人们带来了不同程度的损失和危害，影响正常的生产经营活动和人们的正常生活，严重者可使生产和生活陷于瘫痪。对公共事业尤为重要，这些单位有义务提供不间断的服务。
③收益稳定目标。保持的连续性便能实现收益稳定的目标，从而使企业保特生产持续增长。对大多数来说，一个收益稳定的企业要比高风险的企业更具有吸引力。稳定的收益意味着企业的正常发展，为了达到收益稳定目标，企业必须增加风险管理支出。
④社会责任目标。尽可能减轻企业受损对他人和整个社会的不利影响，因为企业遭受一次严重的损失会影响到、，供货人、债权人、税务部门以至整个社会的利益。为了实现上述目标，风险管理人员必须辨识、分析风险和选择适当的应对的方法和措施。中的风险管理是指在招聘、工作分析、职业计划、绩效考评、工作评估、薪金管理、福利/激励、员工培训、员工管理等各个环节中进行风险管理，防范人力资源管理中的风险发生。
风险分类：
招聘风险、绩效考评风险、工作评估风险、薪金管理风险、员工培训风险、员工管理风险等等。
风险识别：
要想防范风险，首先要进行风险识别。识别风险就是主动的去寻找风险。比如员工管理中，技术骨干离职风险可能会由以下几个方面产生：
1、：他是否对他的待遇满意?风险管理书籍
2、工作成就感：他是否有工作成就感?
3、：他是否在工作中提高了自己的能力?
4、：他在公司是否有良好的人际关系?
5、公平感：他是否感到公司对他与别人是公平的?
6、地位：他是否认为他在公司的地位与他对公司的贡献成正比?
7、信心：他是否对公司的发展和个人在公司的发展充满了信心?
8、沟通：他是否有机会与大家沟通、交流?
9、关心：他是否能得到公司和员工的关心?
10、认同：他是否认同企业的管理方式、企业文化、发展战略?
11、其他：他是否有可能因为结婚、出国留学、继续深造等原因离职?
风险评估：
风险评估是对风险可能造成的灾害进行分析。主要通过以下几个步骤进行评估：
1、根据风险识别的条目有针对性的进行调研；
2、根据调研结果和经验，预测发生的可能性，并用百分比表示发生可能性的程度；
3、根据程度排定优先队列。对于现代企业来说，风险管理就是通过风险的识别、预测和衡量、选择有效的手段，以尽可能降低成本，有计划地处理风险，以获得企业安全生产的。这就要求企业在生产经营过程中，应对可能发生的风险进行识别，预测各种风险发生后对资源及生产经营造成的消极影响，使生产能够持续进行。可见，风险的识别、风险的预测和风险的处理是的主要步骤。风险的识别是风险管理的首要环节。只有在全面了解各种风险的基础上，才能够预测危险可能造成的危害，从而选择处理风险的有效手段。
风险识别方法很多，常见的方法有：
生产流程分析法是对企业整个生产经营过程进行全面分析，对其中各个环节逐项分析可能遭遇的风险，找出各种潜在的风险因素。生产流程分析法可分为风险列举法和流程图法。
1.风险列举法指风险管理部门根据该企业的生产流程，列举出各个生产环节的所有风险。
2.流程图法指企业风险管理部门将整个企业生产过程一切环节系统化、顺序化，制成流程图，从而便于发现企业面临的风险。
2.1.2◆表格分析法
财务表格分析法是通过对企业的、损益表、营业报告书及其他有关资料进行分析，从而识别和发现企业现有的财产、等面临的风险。
2.1.3保险调查法
采用保险调查法进行风险识别可以利用两种形式：
通过保险险种一览表，企业可以根据或者专门保险刊物的保险险种一览表，选择适合该企业需要的险种。这种方法仅仅对可保风险进行识别，对不可保风险则无能为力。
委托保险人或者保险咨询服务机构对该企业的风险管理进行调查设计，找出各种财产和责任存在的风险。实际上就是估算、衡量风险，由风险管理人运用科学的方法，对其掌握的统计资料、风险信息及风险的性质进行系统分析和研究，进而确定各项风险的频度和强度，为选择适当的风险处理方法提供依据。风险的预测一般包括以下两个方面：
2.2.1预测风险的概率：通过资料积累和观察，发现造成损失的规律性。一个简单的例子：一个时期一万栋房屋中有十栋发生火灾，则风险发生的概率是1/1000。由此对概率高的风险进行重点防范。
2.2.2预测风险的强度：假设风险发生，导致企业的直接损失和间接损失。对于容易造成直接损失并且损失和程度大的风险应重点防范。风险的处理常见的方法有：
避免风险：消极躲避风险。比如避免火灾可将房屋出售，避免航空事故可改用陆路运输等。因为存在以下问题，所以一般不采用。
可能会带来另外的风险。比如航空运输改用陆路运输，虽然避免了航空事故，但是却面临着陆路运输工具事故的风险。
会影响的实现。比如为避免生产事故而停止生产，则企业的收益目标无法实现。
：采取措施消除或者减少风险发生的因素。例如为了防止水灾导致仓库进水，采取增加防洪门、加高防洪堤等，可大大减少因水灾导致的损失。
自保风险：企业自己承担风险。途径有：
小额损失纳入生产经营成本，损失发生时用企业的收益补偿。
针对发生的频率和强度都大的风险建立意外损失，损失发生时用它补偿。带来的问题是挤占了企业的资金，降低了资金使用的。
对于较大的企业，建立专业的。风险管理
转移风险：在危险发生前，通过采取出售、转让、保险等方法，将出去。风险管理是一门新兴的管理。风险管理从1930年代开始萌芽。风险管理最早起源于，在1930年代，由于受到年的世界性危机的影响，美国约有40%左右的和企业破产，经济倒退了约20年。美国企业为应对经营上的危机，许多大中型企业都在内部设立了保险管理部门，负责安排企业的各种保险项目。可见，当时的风险管理主要依赖保险手段。1938年以后，美国企业对风险管理开始采用科学的方法，并逐步积累了丰富的经验。1950年代风险管理发展成为一门，风险管理一词才形成。
1970年代以后逐渐掀起了全球性的风险管理运动。1970年代以后，随着企业面临的风险复杂多样和风险的增加，从美国引进了风险管理并在法国国内传播开来。与法国同时，也开始了。近20年来，美国、、法国、、日本等先后建立起全国性和地区性的风险管理协会。1983年在美国召开的风险和保险管理协会年会上，世界各国专家学者云集，共同讨论并通过了“101条风险管理准则”，它标志着风险管理的发展已进入了一个新的发展阶段。
1986年，由11个国家共同成立的“欧洲风险研究会”将风险研究扩大到国际交流范围。1986年10月，风险管理国际学术讨论会在召开，风险管理已经由环地区向亚洲发展。中国对于风险管理的研究开始于1980年代。一些将风险管理和理论引入中国，在少数企业试用中感觉比较满意。中国大部分缺乏对风险管理的认识，也没有建立专门的风险管理机构。作为一门学科，在中国仍旧处于起步阶段。
进入到上世纪90年代，随着在国际上兴起，也被引入到风险管理的研究领域中。而最为成功的例子是发行的，和由美国发行的PCS期权。对风险管理研究的方法采用方法和。
定性分析方法是通过对风险进行调查研究，做出逻辑判断的过程。定量分析方法一般采用系统论方法，将若干相互作用、相互依赖的风险因素组成一个系统，抽象成理论模型，运用等定量计算出最优的风险管理方案的方法。
随着经济发展中产业的细化和经营方式的多样化、金融深化以及日新月异的技术创新，对风险的科学识别、计量和安排都必须要有相应技术作为支持，仅仅借助经验和主观判断是无法胜任的。
在投资项目、前期评价、贷款定价、授信决策、风险监控、资本计量、减值计提、绩效考核、组合管理、贷后管理等方面，用依赖经验的非标准化方式进行，不仅难以兼顾风险偏好和决策，同时也大大影响了工作流程，资金效率、项目成本等指标。
因此，就需要进行系统的学习，全方位的了解和应用投资项目分析体系，用正确的系统工具和分析方法，对项目进行评价。[2]纯粹风险说
说以美国为代表。纯粹风险说将企业风险管理的对象放在企业的管理上，将风险的转嫁与保险密切联系起来。该学说认为风险管理的基本是将对威胁企业的纯粹风险的确认和分析，并通过分析在风险自保和进行保险之间选择最小成本获得最大保障的风险方案。该学说是保险型风险管理的理论基础。
企业全部风险说
企业全部风险说以德国和英国为代表，该学说将企业风险管理的对象设定为企业的全部风险，包括了企业的静态风险（纯粹风险）和动态风险（），认为企业的风险管理不仅要把纯粹风险的不利性减小到最小，也要把投机风险的收益性达到最大。该学说认为风险管理的中心内容是与企业倒闭有关的风险的科学管理。企业全部风险说是经营管理型风险管理的理论基础。在20世纪七八十年代，因为事故和其它发生的风险导致了许多组织的破产，这一现象引起了一些跨国公司和大型联合企业股东的极大关注，为强化自己的社会关注力和最大地降低事故和其它事件的损失，这些企业开始引入了“损失控制”的理念，将管理的重点慢慢地从预防伤害转向预防和控制损失。从那时候，风险管理得到了世界上更大的关注，并逐步地得到的发展。
钻石体系就是在这一背景之下产生的，她由国际风险控制协会联盟创造人弗兰克.伯德先生首创，其早期设计的目的仅仅是为了协助企业控制损失，降低事故，她是一个公共性的系统。但随着国际社会及企业对风险管理需求的不断增加以及对钻石体系表现出的日益增长的兴趣与关注，使得国际风险控制协会不得不升级了它的安健环质量保护体系以满足市场要求并符合国际标准，经过美国、南非、澳大利亚等联盟成员7次修编，钻石体系已被证实为一个随时可用的现成架构，是一个涵盖了所有职业安全、健康、环境、质量及社会等元素风险，符合ISO9001、ISO14001及OHSAS 18001/ AS/NZS 4801标准要求的整合系统。她是世界上最好的安健环质量综合风险管理体系之一。
2004年，钻石体系由国际风险控制协会联盟成员安瑞祺国际风险管理顾问公司引进中国，并为诸多如南方电网公司等国内大型国有企业所采纳。
钻石体系强调“以人为本”的思想，它结合安全行为科学，通过行为干预技术，改善员工风险行为，无限度地提升商业机构底线的质和量，改善机构生产能力及员工士气，并最终为商业机构带来世界级的职业安全、健康、环境、质量及风险管理的成果。
钻石体系的设计具有较强的可塑性，它贴近企业操作实践，具备兼容企业与当地行业特殊要求的能力，诸多国际及跨国公司在钻石体系上的成功运用充分说明它是一套科学的、完备的管理系统。
钻石体系由12个元素组成，这些元素代表好的管理实践，并与一些如ISO 14001、 ISO 、OHSAS – 18001、英国标准8800及其他国际标准如AS/NZS4801相兼容。是的重要内容。在进行软件项目风险管理时，要辩识风险，评估它们出现的概率及产生的影响，然后建立一个来管理风险。风险管理的主要目标是预防风险。
软件项目风险是指在过程中遇到的和进度等方面的问题以及这些问题对软件项目的影响。软件项目风险会影响的实现，如果项目风险变成现实，就有可能影响项目的进度，增加项目的成本，甚至使软件项目不能实现。如果对项目进行风险管理，就可以最大限度的减少风险的发生。但是，目前国内的不太关心软件，结果造成软件项目经常性的延期、超过预算，甚至失败。一般都对项目风险进行了良好的管理。因此任何一个系统开发项目都应将风险管理作为软件项目管理的重要内容。
在项目风险管理中，存在多种风险管理方法与工具，软件项目管理只有找出最适合自己的方法与工具并应用到风险管理中，才能尽量减少软件项目风险，促进项目的成功。
软件项目的风险管理是软件项目管理的重要内容。本文探讨了风险管理的主要内容和方法，介绍了风险管理的经典理论，比较了几种主流的风险管理策略和模型。软件项目的风险无非体现在以下四个方面：、技术、成本和进度。IT项目开发中常见的风险有如下几类：
1 需求风险
①需求已经成为项目基准，但需求还在继续变化；②需求定义欠佳，而进一步的定义会扩展项目范畴；③添加额外的需求；④产品定义含混的部分比预期需要更多的时间；⑤在做需求中客户参与不够；⑥缺少有效的需求变化管理过程。
2 计划编制风险
①计划、资源和产品定义全凭客户或上层领导口头指令，并且不完全一致；②计划是优化的，是&最佳状态&,但计划不现实，只能算是&期望状态&;③计划基于使用特定的小组成员，而那个特定的小组成员其实指望不上；④产品规模(代码行数、功能点、与前一产品规模的百分比)比估计的要大；⑤完成目标日期提前，但没有相应地调整产品范围或可用资源；⑥涉足不熟悉的产品领域，花费在设计和实现上的时间比预期的要多。
3 组织和管理风险
①仅由管理层或市场人员进行技术决策，导致计划进度缓慢，计划时间延长；②低效的项目组结构降低生产率；③管理层审查 决策的比预期的时间长；④预算削减，打乱项目计划；⑤管理层作出了打击积极性的决定；⑥缺乏必要的规范，导至工作失误与重复工作；⑦非技术的第三方的工作（预算批准、设备采购批准、法律方面的审查、安全保证等）时间比预期的延长。
4 人员风险
①作为先决条件的任务（如培训及其他项目）不能按时完成；②开发人员和管理层之间关系不佳，导致决策缓慢，影响全局；③缺乏激励措施，士气低下，降低了生产能力；④某些人员需要更多的时间适应还不熟悉的软件工具和环境；⑤项目后期加入新的开发人员，需进行培训并逐渐与现有成员沟通，从而使现有成员的降低；⑥由于项目组成员之间发生冲突，导致沟通不畅、设计欠佳、接口出现错误和额外的重复工作；⑦不适应工作的成员没有调离项目组，影响了项目组其他成员的积极性；⑧没有找到项目急需的具有特定技能的人。
5 开发环境风险
①设施未及时到位；②设施虽到位，但不配套，如没有电话、网线、办公用品等；③设施拥挤、杂乱或者破损；④开发工具未及时到位；⑤开发工具不如期望的那样有效，开发人员需要时间创建工作环境或者切换新的工具；⑥新的开发工具的学习期比预期的长，内容繁多。
6 客户风险
①客户对于最后交付的产品不满意，要求重新设计和重做；②客户的意见未被采纳，造成产品最终无法满足用?的审核 决策周期比预期的要长；④客户没有或不能参与规划、原型和规格阶段的审核，导致需求不稳定和产品生产周期的变更；⑤客户答复的时间（如回答或澄清与需求相关问题的时间）比预期长；⑥客户提供的组件质量欠佳，导致额外的测试、设计和集成工作，以及额外的工作。
7 产品风险
①矫正质量低下的不可接受的产品，需要比预期更多的测试、设计和实现工作；②开发额外的不需要的功能（镀金），延长了计划进度；③严格要求与现有系统兼容，需要进行比预期更多的测试、设计和实现工作；④要求与其他系统或不受本项目组控制的系统相连，导致无法预料的设计、实现和测试工作；⑤在不熟悉或未经检验的软件和硬件环境中运行所产生的未预料到的问题；⑥开发一种全新的模块将比预期花费更长的时间；⑦依赖正在开发中的技术将延长计划进度。
8 设计和实现风险
①低下，导致重复设计;②一些必要的功能无法使用现有的代码和库实现，开发人员必须使用新的库或者自行开发新的功能；③代码和库质量低下,导致需要进行额外的测试，修正错误，或重新制作；④过高估计了增强型工具对计划进度的节省量；⑤分别开发的模块无法有效集成，需要重新设计或制作。
9 过程风险
①大量的纸面工作导致进程比预期的慢；②前期的行为不真实，导致后期的重复工作；③太不正规（缺乏对软件开发策略和标准的遵循），导致沟通不足，质量欠佳，甚至需重新开发；④过于正规（教条地坚持软件开发策略和标准），导致过多耗时于无用的工作；⑤向管理层撰写进程报告占用开发人员的时间比预期的多；⑥风险管理粗心，导致未能发现重大的项目风险。在进行了风险辨识后，我们就要进行风险估算，风险估算从以下几个方面评估风险清单中的每一个风险：
(1）建立一个尺度，以反映风险发生的可能性；
(2）描述风险的后果；
(3）估算风险对项目及产品的影响；
(4）标注风险预测的整体精确度，以免产生误解。
对辨识出的风险进行进一步的确认后分析风险，即假设某一风险出现后，分析是否有其他风险出现，或是假设这一风险不出现，分析它将会产生什么情况，然后确定主要风险出现最坏情况后，如何将此风险的影响降低到最小，同时确定主要风险出现的个数及时间。进行风险分析时，最重要的是量化不确定性的程度和每个风险可能造成损失的程度。为了实现这点，必须考虑风险的不同。识别风险的一个方法是建立风险清单，清单上列举出在任何时候可能碰到的风险最重要的是要对清单的内容随时进行维护，更新风险清单，并向所有的成员公开，应鼓励的每个成员勇于发现问题并提出警告。建立风险清单的一个办法是将风险输入缺陷追踪系统中，建立风险追踪工具，缺失追踪系统一般能将风险项目标示为已解决或尚待处理状态，也能指定解决问题的项目团队成员，并安排处理顺序。风险清单给提供了一种简单的风险预测技术，下表是一个风险清单的例子：
资金将会流失
技术达不到预期效果
人员流动频繁
在风险清单中，风险的概率值可以由项目组成员个别估算??通过先做个别估算而后求出一个有代表性的值来完成。对风险产生的影响可以对影响评估的因素进行分析。
一旦完成了风险清单的内容，就要根据概率进行排序，高发生率、高影响的风险放在上方，依次类推。项目管理者对排序进行研究，并划分重要和次重要的风险，对次重要的风险再进行一次评估并排序。对重要的风险要进行管理。从管理的角度来考虑，风险的影响及概率是起着不同作用的，一个具有高影响且发生概率很低的风险因素不应该花太多的，而高影响且发生率从中到高的风险以及低影响且高概率的风险，应该首先列入管理考虑之中。
在这里，我们需要强调的是如何评估风险的影响，如果风险真的发生了，它所产生的后果会对三个因素产生影响：风险的性质、范围及时间。风险的性质是指当风险发生时可能产生的问题。风险的范围是指风险的严重性及其整体分布情况。风险的时间是指主要考虑何时能够感到风险及持续多长时间。可以利用风险清单进行分析，并在项目进展过程中迭代使用。项目组应该定期复查风险清单，评估每一个风险，以确定新的情况是否引起风险的概率及影响发生改变。这个活动可能会添加新的风险，删除一些不再有影响的风险，并改变风险的相对位置。
在风险评估过程中，我们可以采取以下的步骤：
(1）定义项目的风险参考水平值。要使风险评估发生作用，就要定义一个风险参考水平值，对于大多数项目而言，通过对性能、成本、支持及进度等因素的分析，可以找出风险的参考水平值，对于性能下降、成本超支、支持困难或进度延迟（或者这四种的组合）等情况，超过这一参考水平值项目就会被终止。
(2）建立每一组（风险、风险发生的概率、风险产生的影响）与每一个参考水平值的关系。
(3）预测一组临界点以定义项目终止区域，该区域由一条或不确定区域界定。
(4）预测什么样的风险组合会影响参考水平值。风险驾驭包括对策指定、风险缓解、风险监控、等内容。
所有风险分析活动都只有一个目的——辅助项目组建立处理风险的策略。如果软件项目组对于风险采取主动的方法，则避免永远是最好的策略。这可以通过建立一个风险缓解计划来达到即制定对策。
对不同的风险项要建立不同的风险驾驭和监控的策略比。如对于开发人员离职的风险项目开始时应作好人员流动的准备采取一些措施确保人员一旦离开时项目仍能继续；制定文档标准并建立一种机制保证文档及时产生；对每个关键性技术岗位要培养后备人员。对于技术风险，可以采用的策略有，对采用的关键技术进行分析，避免软件在生命周期中很快落后；在项目开发过程中保持对风险因素相关信息的收集工作，减少对合作公司的依赖尤其是对延续性强的项目应该尽可能地吸收合作公司的技术并变为自己的技术，避免因为可能发生的与合作公司合作的终止带来的影响和风险降低投入成本。
一个有效的策略必须考虑风险避免、风险监控和风险管理及意外事件计划这样三个问题。风险的可以包含在中，或者风险管理步骤也可以组成一个独立的风险缓解、监控和管理计划（RMMM计划）。RMMM计划将所有风险分析工作文档化，并且由项目管理者作为整个项目计划的一部分来使用，RMMM计划的大纲主要包括：主要风险，风险管理者，项目风险清单，风险缓解的一般策略、特定步骤，监控的因素和方法，意外事件和特殊考虑的风险管理等。一旦建立了RMMM计划，我们就开始了风险缓解及监控，风险缓解是一种避免问题的活动，风险监控则是跟踪项目的活动。它有三个主要目的：评估一个被预测的风险是否真的发生了；保证为风险而定义的缓解步骤被正确地实施；收集能够用于未来的风险分析信息。
软件开发是高风险的活动。如果项目采取积极风险管理的，就可以避免或降低许多风险，而这些风险如果没有处理好，就可能使项目陷入瘫痪中。因此在软件项目管理中还要进行风险跟踪。对辨识后的风险在系统开发过程中进行跟踪管理，确定还会有哪些变化，以便及时修正计划。具体内容包括：
(1）实施对重要风险的跟踪；
(2）每月对风险进行一次跟踪；
(3）风险跟踪应与项目管理中的整体跟踪管理相一致；
(4）风险项目应随着时间的不同而相应地变化。
通过风险跟踪，进一步对风险进行管理，从而保证项目计划的如期完成。简化支付流程是指精简组织内的，以及外部贸易和银行合作伙伴的交易。
这些效率可以分为两种类别：
·降低企业财务和银行合作伙伴之间的实体连接点数量。
·付款和现金报告采用行业标准消息格式（SMF）。
要实现这一点，所需的商业智能解决方案要超越操作和技术孤岛，提高数据流之外的融合价值。任何商业智能创建的策略都是来衡量过去，监控并预测未来。所有这一切都可以通过确定和实施合适的关键绩效指标（KPI），为银行和客户端谋取利益。
这样的商业智能解决方案需要以下几部分组成：
·一个数据管理平台，可以全力使用来自内部和外部系统的各种信息资料、来自云端的流化数据和非结构化数据。
·一个分析组件，将原始数据转化为企业信息。
·自助服务配置，基于用户和合作使独特的数据可视化，安全地与他人共享和宣传效果。1、管理变革的风险。
是一个管理理念上的改变，而不仅仅是一个n’项目。不少企业高层管理人员尚未认识到这一点。项目实施的过程中仅由技术主管负责，缺少管理人员和业务人员的积极参与，项目经理由技术部门的领导担任。
管理观念的转变还体现在信息化系统实施过程对企业原有的管理思想的调整上。信息化不仅仅是用一个系统或买一套软件，更重要的是带来了整套先进的管理思想。只有深刻理解、全面消化吸收了新的管理思想，并结合企业实际情况加以运用，才能充分发挥系统带来的效益。因此，在实施过程中企业管理人员和业务人员转变管理思想是一个必不可少的痛苦过程。顺利转变管理思想，在某种意义上是信息化成功推行的最关键的因素。
2、业务流程进行重组的风险。
在信息化的过程中，自然地要对企业的业务流程进行重组。系统的成熟、先进的业务流程模板值得借鉴。但是业务流程的重组牵涉到人员的变动、权力的重新分配、组织机构的改变，会触动某些人的既得利益，形成很大的阻力。没有充分的思想准备和物质准备，往往由于可能造成企业不愿或不能承担的损失，会迫使领导者半途止步，保留原有低效但运作平稳的流程。实施信息化系统不是一个简单的更新的事情，而是对企业的重新定位以及业务重组的事情。高层管理的实际支持与参与是根本保障。有些企业简单地把信息化的职权与责任移交给技术部门，而在实施过程中这些被赋予的权责往往很难得到落实。一把手的参与和支持是项目成功的重要因素之一。另外，不正视企业的，以满足软件要求而进行业务流程重组，难免“”，。
3、技术风险。
包括软件的和软件的选择风险。由于信息技术发展的速度非常快，不确定性的因素大量存在，而人们对这些不确定性的认识和控制的能力又非常有限，许多经过认真论证的很好的研究项目，最后出现大大出乎预料之外的或者失败的结果的情形并非偶然的。此外，由于信息技术的基本载体与人们日常生活经验直觉的信息载体的差异，人们对信息技术的变化和当中的一些错误都不是很容易感知的。
4、部门和人员间沟通不畅的风险。
实施队伍对于信息管理系统的成功实施至关重要，通常要由项目经理、流程指导顾问、技术支持顾问、项目组核心成员构成。项目实施小组要由具有丰富信息化系统项目实施和企业流程管理经验的和企业内部的管理人员、业务人员以及技术人员一起组成。经常发生的情况是各方人员不到位，实施小组完全由计算机专业背景的技术人员组成，然而业务部门往往是决定项目正常运作的关键，缺少业务部门的积极参与与沟通将使项目的实施隐藏巨大的风险。
5、预算的风险。
信息化项目投资弹性大并且经费的估计比较软性，资金的风险也需要特殊考虑。另外外部环境的变化也会对资金的需求产生一些预定计划之外的风险。信息化实施过程中需要投入较大的成本，实际资金支出往往远远超出当初的预算。咨询、维护、调整、升级等许多意想不到的开支往往使成本急剧增加，因此应有很好的成本控制计划。软件使用许可证的一次性费用约为几百万元人民币甚至过千万，每年的软件支持维护费在几十万元，一些品牌软件系统的维护费用是按照发达国家的人工和服务费标准收取的。支持系统运行的硬件投入和人员费用也是很大的。很多企业在支出过大而效益又不明显的情况下，只能后悔或放弃一些信息化的项目。
6、信息与系统安全的风险。
系统安全措施包括：操作系统授权、网络设备权限、应用系统功能权限、数据访问权限、病毒的预防、非法入侵的监督、数据更改的追踪、数据的安全备份与存档、主机房的安全管理规章、系统管理员的监督，等等。
普遍存在着不重视系统安全的现象，诸如用户口令泄密、超级用户授权过多等。缺乏安全意识的直接后果是系统在安全设计上出现漏洞和缺陷，它将导致系统的瘫痪。对系统软件过多的更改可能会影响程序和数据的一致性和完整性，也给将来的软件版本升级增加了难度和成本。
7、延误时间的风险。
智力密集型项目的时间安排弹性比较大，在实施信息化的过程中，进行项目管理、控制项目进度、确保整个实施过程能够按照预计的时问表进行，对项目的成败至关重要。人们在项目在一开始就没有能够制定明确的、可行的实施计划，在实施过程中不能按时实现里程碑性的目标，使领导人员和实施人员丧失信心，原定的目标发生变化，最终导致项目半途而废。
8、系统的协调、升级和维护方面的风险。
企业中原先各自分离的部门开发的一些信息系统在集成时会发生很多接口上的问题，要深入了解各独立模块之间的内部机制，将其有机地集成并非一件易事。数据库的共享需要数据的规范和利益各方的协调，如果考虑不周，很难将系统集成起来。软件版本需要经常性更新以积极运用日新月异的技术水平和容纳先进的管理思想，但各个软件商的发展方向、策略和版本更换步调不一致，它们之间的合作很松散，许多软件商在激烈的竞争中被淘汰，将来产品更新时新软件商未必能顾及与企业先前曾经合作的伙伴的软件产品的接口问题，因而会造成软件组合无法更新换代。业务流程在发展，对系统的要求不能一成不变，这最终导致企业不得不摈弃原有软件系统。因此选用信息化软件时最好不要同时选用多个厂家的产品组合。
9、专业人员流失和变化的风险。
一方面，如果系统的普适性较差，会使得系统对专业技术人员的依赖性太强，骨干人员的流失会造成系统的不稳定或无效。即便软件商或其他机构有一些服务的承诺，也时常会有令人很不愉快的事情发生。另一方面，一个不可忽视的情况是，由于信息化的过程弱化了一些不再重要的业务流程的骨干人员的作用，在不预先进行适当的考虑和统筹安排的情况下，这会挫伤他们的积极性并且可能直接影响到企业的长期发展。
10、软件系统的选择风险。
系统的选择是一项十分复杂的工作。每个实施信息化的企业必须开发或选用一套大型的软件系统。软件系统的实现方案有三种，即自行开发、购买现成产品和租赁。
至于选择自行开发还是购买现成软件包；如果选择购买现成软件包，又应当如何挑选软件，这些抉择直接影响实施的时问、成本、风险及其对业务流程的影响程度。
11、系统和人之间的误解造成的风险。
(1）一部分核心业务部门的人的观念中，信息系统只是一个电脑系统，信息化的实施是信息系统部门的事情，跟其他部门关系不大；或者认为rI’部门是系统实施的责任人，在流程设计和实施上完全依赖rI’部门，他们要求怎么做就怎么做，出了问题就直接找rI’部门，自己反而成为了系统的操作员或奴隶。而rI’部门的人对业务流程的理解往往不够全面深入，很可能造成一些技术上可行，但业务上荒唐的错误。
(2）系统设计本身的错误或者新的情况变化后，系统没有及时作出适当的调整。
(3）有的人总认为系统是万能的，盲目相信系统，没有认真分析数据和信息，以至于发生一些明显的重大的错误。再好的系统也是帮助决策的，信息技术永远是一种支撑的手段。保持批评性的态度，结合和进行必要的分析和检验是有益的也是必要的。
12、盲目照搬他人模式的风险。
信息化软件有一个本土化和对具体企业的适应要求。一些国外的著名软件供应商的系统软件功能强大，性能稳定，包括了一些标准的通用模块和比较方便的调整接口。
但是，一般的供应商的兴趣和特定的企业用户需求之间的差距总是存在并且有时是很明显的。同时，服务支持系统及费用通常也是很需要考虑的因素。
最近的研究表明，企业在信息化的过程中同时也要注意兼顾原有的业务发展和管理经验，对信息系统进行有创意的改进。比如制造业企业的许多生产流15程的标准是很独特的，管理软件使用不当常常造成生产上的严重损失。企业信息化要强调以应用为主导，从应用人手，吸收国内外先进的生产管理理念，以改善国内企业管理经营者的基本工作条件。
以企业取得的实际效果为目标，才是企业信息化的正确道路。信息化建设不要追求技术水平如何高，而是要企业的实际问题，让企业真正见效益，否则就没有生命力。信息化过程中的资金、人员、设备的投入都要以提高企业竞争力和企业效益为依归。实施企业信息化首先应该管理先行，要站在企业管理的角度建立模型，进行业务流程的优化。风险是客观存在的，任何企业都面临内部或外部风险，它会影响企业目标的实现，因此企业管理者必须进行风险管理，那么该如何做好企业风险管理呢？
1、提高风险管理意识，在企业经营活动中，企业管理者应根据自身的能力去承接项目，对所承接的项目要进行预评估制度，对经评估确认风险较大的项目要尽量避开和放弃。有多少人接多少项目，这样才能有效避免由于人员不到位、人员与投标不符、资质降低等容易受到处罚的风险。此外，不盲目扩大规模，使各个项目均能处于企业管理者的有效管理范围之内，有效避免因企业管理不到位带来的风险。
2、企业应该尽量采用规范化的管理模式，制定规范化的规章制度、岗位责任制，《老板》杂志表示企业管理者对每个具体的项目，还应根据其自身特点，对涉及监理风险的工作内容，制定较为细致的、有针对性的监理实施细则和风险管理计划，从而使企业的所有项目均能按统一规定的工作程序、要求、标准去做好监理工作，正确履行监理的各种责任，从而达到降低风险的目的。
3、企业管理者应建立较为完善的监督检查机制，进行动态管理。企业的各级领导、业务部门要经常到项目中进行检查与指导，并加强与业主的沟通，听取业主的意见，及时把各种新的法律法规、内外形势变化、企业和业主的要求等传达到项目监理人员当中，并在检查中及时发现项目监理机构的不足，企业管理者应针对项目存在的风险隐患，及时加以处理，使其消失于萌芽状态，避免风险事故的发生。
4、 组建突发事件公关队伍,全面应对突发事件。企业管理者为了加强对突发事件的管理与应对，在企业内部建立一支训练有素、精干高效的突发事件公关队伍是完全必要的。其成员应包括企业最高决策层、公关部门、生产部门市场销售部门、技术研发部门、保安部门、人力资源部门等相关部门的人员以及法律顾问、公关专家等专业人士。在正常情况下，突发事件公关小组负责对企业内外环境进行实时监测，在广泛收集信息的基础上分析发现存在的问题和隐患，对可能出现的突发事件情况做出准确预测，帮助企业管理者根据预测结果制定切实可行的突发事件防范措施，监督指导防范措施的落实，加强对突发事件预警机制的管理，开展对公关人员和全体员工的培训，组织突发事件状况模拟演习等。当突发事件发生时，突发事件公关小组要起到指挥中心的作用，包括建立突发事件控制中心、制定紧急应对方案，策动方案实施，与媒体进行联系沟通，控制险情扩散、恶化，减弱突发事件的不良影响，化解公众疑虑和敌对情绪，以便尽快结束突发事件。
新手上路我有疑问投诉建议参考资料 查看