前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇合同風(fēng)險評估范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

合同風(fēng)險評估范文第1篇

關(guān)鍵詞：石油企業(yè)　合同管理　風(fēng)險評估風(fēng)險控制　大港油田

中圖分類號：F270　文獻(xiàn)標(biāo)識碼：A

文章編號：1004-4914(2011)09-245-02

一、石油企業(yè)合同管理風(fēng)險評估的方法

合同管理的風(fēng)險評估方法是指采取何種方式對合同風(fēng)險進(jìn)行評估。從邏輯上來說，風(fēng)險識別與風(fēng)險評估是前后先繼的，先進(jìn)行識別然后進(jìn)行評價與估計。但從企業(yè)管理工作的宏觀角度來說，合同風(fēng)險評估需要結(jié)合企業(yè)自身的特點進(jìn)行。筆者認(rèn)為，企業(yè)合同風(fēng)險的評估是一項基于經(jīng)驗的科學(xué)，需要依據(jù)一定的方法對企業(yè)合同運(yùn)行中的各個環(huán)節(jié)進(jìn)行分析。筆者認(rèn)為，可以運(yùn)用生產(chǎn)，業(yè)務(wù)流程法和調(diào)查表法識別與評價合同風(fēng)險。在掌握合同流程的基礎(chǔ)上設(shè)計調(diào)查表，先選取少量調(diào)研對象發(fā)放調(diào)查表，聽取調(diào)查表試填者反饋的意見和建議后。修改和完善風(fēng)險調(diào)查表。調(diào)查表經(jīng)過幾輪的試填一反饋一修改后，形成正式的合同風(fēng)險調(diào)查表。按照上述方法將調(diào)查結(jié)果進(jìn)行篩選和分析，按照統(tǒng)計學(xué)的方法，大致可以估算出企業(yè)合同管理過程中各個環(huán)節(jié)的風(fēng)險系數(shù)水平，在此基礎(chǔ)上分析得出此次合同風(fēng)險調(diào)查反映出的問題和建議?？梢哉f，石油企業(yè)合同管理中的風(fēng)險評估工作是一項既具有科學(xué)性又具有強(qiáng)烈管理實踐色彩的創(chuàng)造性工作。

二、石油企業(yè)合同管理風(fēng)險評估的案例分析

按照上述生產(chǎn)，業(yè)務(wù)流程法和調(diào)查表法我們可以首先設(shè)計出石油企業(yè)風(fēng)險評估調(diào)查表的內(nèi)容。調(diào)查表的內(nèi)容設(shè)計是否科學(xué)以及是否符合現(xiàn)實需求是調(diào)查是否能夠成功的關(guān)鍵。筆者認(rèn)為，對于合同風(fēng)險進(jìn)行評估的調(diào)查應(yīng)該是基于對企業(yè)現(xiàn)有合同管理工作的關(guān)鍵點以及同行業(yè)企業(yè)合同風(fēng)險的顯露點來進(jìn)行設(shè)計。

參照中石油公司合同風(fēng)險評估調(diào)查表的設(shè)計原則與設(shè)計內(nèi)容，筆者對大港油田合同管理的風(fēng)險評估調(diào)查表設(shè)計了內(nèi)容。并依據(jù)合同管理風(fēng)險與合同法律風(fēng)險將上述調(diào)查表進(jìn)行了分別設(shè)計。設(shè)計了兩大類7小類29個具體的指標(biāo)。在本研究中，筆者將上述29個具體指標(biāo)設(shè)計成了調(diào)查問卷，對大港油田及其所屬公司進(jìn)行了問卷調(diào)查，下面筆者將對下述兩大類7個小類29個具體指標(biāo)進(jìn)行介紹，并對調(diào)查結(jié)果進(jìn)行統(tǒng)計。

1.合同外部風(fēng)險要素調(diào)查與統(tǒng)計。合同外部風(fēng)險要索主要指的是從宏觀上來說影響合同運(yùn)行的因素。筆者認(rèn)為，影響合同外部運(yùn)行的主要指標(biāo)體系有：(1)合同管理人員指標(biāo)體系。合同管理人員是企業(yè)當(dāng)中專門從事合同管理的專業(yè)人員，是否具有合同管理人員以及合同管理人員的素質(zhì)與水平直接影響著企業(yè)的合同管理水平與風(fēng)險評估水平。因此影響石油企業(yè)合同管理風(fēng)險評估水平的首要因素是人力資源因素，即合同管理人員指標(biāo)體系應(yīng)該設(shè)計為合同風(fēng)險評估的首要指標(biāo)體系。該指標(biāo)體系可以具體設(shè)置如下幾個分項指標(biāo)：公司負(fù)責(zé)人的法律意識、合同管理部門負(fù)責(zé)人的法律工作水平、合同管理人員的業(yè)務(wù)操作能力、相關(guān)部門對法律工作的支持程度、法律人員配備的充足性、法律隊伍的穩(wěn)定性六個子項。除了上述平面設(shè)計的內(nèi)容之外，還要考慮上述人員的數(shù)量以及穩(wěn)定性與有效性等。(2)合同管理制度指標(biāo)體系。良好的制度是預(yù)防危機(jī)與管理危機(jī)的重要構(gòu)成要素。因此筆者認(rèn)為，石油企業(yè)的合同管理制度是影響企業(yè)合同運(yùn)行的主要外部因素之一，圍繞該部分應(yīng)該設(shè)計相應(yīng)的指標(biāo)體系。筆者認(rèn)為該項可以包含：制度健全程度、制度明確程度、制度動態(tài)調(diào)整性、制度和諧性四項內(nèi)容。制度健全程度考察制度的全面性；制度明確程度考察制度的明晰性；制度動態(tài)調(diào)整性著重考察隨時間發(fā)展，制度能否及時調(diào)整，以減少制度對實踐的不適應(yīng)情況；制度和諧性重在考察有無政出多門、相互矛盾的情形。(3)合同管理流程指標(biāo)體系。管理是一種流程控制，合同管理的流程控制直接影響著合同管理的質(zhì)量。石油企業(yè)合同應(yīng)該按照《石油企業(yè)合同管理規(guī)定》等行業(yè)性操作過程進(jìn)行操作，從合同簽約依據(jù)維護(hù)，到理順管理流程，最后到合同驗收環(huán)節(jié)。都要傲到合規(guī)性操作。筆者認(rèn)為該部門可以具體設(shè)計業(yè)務(wù)流程規(guī)范性、業(yè)務(wù)流程效率性、業(yè)務(wù)流程可操作性、業(yè)務(wù)流程有效性四個子項共同構(gòu)成合同管理流程風(fēng)險。業(yè)務(wù)流程規(guī)范性以考察各予公司所制訂的合同管理業(yè)務(wù)流程是否符合公司規(guī)定和管理要求為主；業(yè)務(wù)流程效率性考察合同管理業(yè)務(wù)流程的便捷性；業(yè)務(wù)流程的可操作性主要考察所制訂的業(yè)務(wù)流程是否符合管理實踐，有無不合理之處；業(yè)務(wù)流程的有效性著重考慮流程操作的效果，業(yè)務(wù)流程能否有效地防范預(yù)計到的合同管理中的各種風(fēng)險。(4)合同管理系統(tǒng)指標(biāo)體系。隨著《中國石油合同管理系統(tǒng)》的進(jìn)一步應(yīng)用，系統(tǒng)用戶能夠全面掌握合同簽訂的流程，及時跟蹤合同的審批情況，縮短了合同的簽訂周期。同時使合同經(jīng)辦人員和審批人員加強(qiáng)了合同簽訂、履行、驗收的自覺性和主動性，方便了合同的日常管理，基礎(chǔ)資料的檢索、合同運(yùn)行狀態(tài)的跟蹤，明確各類合同的流程。在選擇了合同類別后，合同將在系統(tǒng)中自動匹配相應(yīng)的類別和審批流程，使合同審批更加方便，推進(jìn)了合同管理的進(jìn)步，提升了合同管理的水平。筆者認(rèn)為對于中石油合同管理系統(tǒng)的執(zhí)行情況應(yīng)該單獨(dú)設(shè)計指標(biāo)體系進(jìn)行調(diào)查，具體可以分為信息及時性、可靠性、有用性和網(wǎng)絡(luò)安全性四項。

2.合同內(nèi)部風(fēng)險要素調(diào)查與統(tǒng)計。(1)合同締結(jié)指標(biāo)體系。合同締結(jié)指標(biāo)體系是指在合同內(nèi)部運(yùn)行過程中，合同締結(jié)階段所產(chǎn)生的風(fēng)險因素而形成的調(diào)查指標(biāo)體系。締結(jié)合同風(fēng)險的指標(biāo)體系可以設(shè)置合同相對人風(fēng)險(合同相對人在資信、資質(zhì)、履約能力方面存在瑕疵)、書面合同風(fēng)險、合同審查風(fēng)險、人風(fēng)險(合同簽定人是無權(quán)人)等。目前，石油企業(yè)的大型合同都需要按照招投標(biāo)的法律程序完成合同的邀約與承諾過程，因此合同締結(jié)的指標(biāo)體系可以依據(jù)招投標(biāo)過程中具有風(fēng)險的環(huán)節(jié)來進(jìn)行設(shè)計。具體來說，可以設(shè)計如下子項目：招投標(biāo)合法性風(fēng)險、招投標(biāo)規(guī)范性風(fēng)險、招標(biāo)人風(fēng)險(此種情形下石油企業(yè)是投標(biāo)人)、投標(biāo)人風(fēng)險(此種情形下石油企業(yè)是招標(biāo)人)、評標(biāo)專家風(fēng)險(此種情形下石油企業(yè)是招投標(biāo)活動的一方當(dāng)事人)。評標(biāo)專家風(fēng)險主要是指招投標(biāo)管理機(jī)構(gòu)對評標(biāo)專家選擇不規(guī)范以及評標(biāo)專家職業(yè)道德是否很好執(zhí)行存在風(fēng)險。(2)合同文本指標(biāo)體系。標(biāo)準(zhǔn)合同對于防止合同文本風(fēng)險具有重要意義，能夠極大地提高企業(yè)防范合同風(fēng)險的水平。中石油花費(fèi)巨資開發(fā)并在其系統(tǒng)內(nèi)推廣標(biāo)準(zhǔn)合同影響重大，意義深遠(yuǎn)，可以提高合同管理效率、改善合同管理質(zhì)量，所以將其單獨(dú)考察。標(biāo)準(zhǔn)文本風(fēng)險重點考慮了標(biāo)準(zhǔn)文本的覆蓋率、文本的質(zhì)量水平、標(biāo)準(zhǔn)合同的適用性三個方面。標(biāo)準(zhǔn)文本的覆蓋率能夠反映是否覆蓋了合同業(yè)務(wù)的全部領(lǐng)域、標(biāo)準(zhǔn)文本的質(zhì)量高低能夠反映合同文本的質(zhì)量水平，標(biāo)準(zhǔn)文本的適用范圍能夠表明是否明確，標(biāo)準(zhǔn)合同的適用性能夠反映標(biāo)準(zhǔn)合同在實踐中的使用程度。(3)合

同履行指標(biāo)體系。合同履行指標(biāo)體系是將依據(jù)法律經(jīng)驗的判斷及行業(yè)經(jīng)驗的判斷，對合同履行過程中容易出現(xiàn)風(fēng)險的環(huán)節(jié)設(shè)計而成的風(fēng)險調(diào)查指標(biāo)。筆者認(rèn)為，合同履行環(huán)節(jié)的風(fēng)險點主要有合同履行風(fēng)險(交易雙方或者合同相對人未按照約定方式履行合同；在合同履行過程中沒有行使或者不當(dāng)行使了相關(guān)的抗辯權(quán)利)、合同變更的風(fēng)險(未按照國家合同法律或者合同的約定而變更了合同標(biāo)的，使合同履行的時間、地點、方式等發(fā)生了變動)、合同解除風(fēng)險(未按照國家法律或者合同約定正確行使合同解除權(quán)等)、違約責(zé)任風(fēng)險(合同當(dāng)事人出現(xiàn)了違約事由，而沒有按照法律或者合同約定追求其違約責(zé)任)。

三、石油企業(yè)合同管理風(fēng)險控制的基本路徑

上文中筆者對石油企業(yè)合同管理風(fēng)險評估的方法進(jìn)行了介紹并結(jié)合大港油田合同管理的風(fēng)險評估調(diào)查進(jìn)行了個案推演。結(jié)合風(fēng)險識別的基本方法與路徑，我們可以總結(jié)出石油企業(yè)合同管理風(fēng)險控制的以下幾個方面：

1.合同風(fēng)險控制應(yīng)納入危機(jī)管理體系。合同風(fēng)險不是石油企業(yè)的偶發(fā)事件與突發(fā)事件，而應(yīng)納入企業(yè)的危機(jī)管理進(jìn)行系統(tǒng)管理。合同是企業(yè)微觀運(yùn)行的法律表征，合同的風(fēng)險在一定程度上就是企業(yè)的風(fēng)險，因此合同風(fēng)險的控制應(yīng)該納入企業(yè)的危機(jī)管理體系，形成制度化的管理模式，建立起石油企業(yè)合同風(fēng)險的防范與控制的制度體系。

2.合同風(fēng)險的識別是風(fēng)險控制的基礎(chǔ)。合同風(fēng)險的識別是合同管理的起步，也是對合同風(fēng)險進(jìn)行控制的基礎(chǔ)。石油企業(yè)應(yīng)該建立起合同風(fēng)險識別機(jī)制，由專業(yè)人員利用專門知識與專業(yè)方法對企業(yè)合同的運(yùn)行進(jìn)行風(fēng)險分析，找出動態(tài)運(yùn)行著的合同可能存在風(fēng)險的關(guān)鍵節(jié)點，有目的、有重點地進(jìn)行風(fēng)險評估與防控。

合同風(fēng)險評估范文第2篇

【 關(guān)鍵詞 】 煙草；工業(yè)控制系統(tǒng)；信息安全；風(fēng)險評估；脆弱性測試

1 引言

隨著工業(yè)化和信息化進(jìn)程的加快，越來越多的計算機(jī)技術(shù)以及網(wǎng)絡(luò)通信技術(shù)應(yīng)用到煙草自動化生產(chǎn)過程中。在這些技術(shù)提高了企業(yè)管理水平和生產(chǎn)效率的同時，也帶來了病毒和惡意代碼、信息泄露和篡改等網(wǎng)絡(luò)信息安全問題。當(dāng)前，煙草企業(yè)所建成的綜合自動化系統(tǒng)基本可以分為三層結(jié)構(gòu)：上層為企業(yè)資源計劃（ERP）系統(tǒng)；中間層為制造執(zhí)行系統(tǒng)（MES）；底層為工業(yè)控制系統(tǒng)。對于以ERP為核心的企業(yè)管理系統(tǒng)，信息安全防護(hù)相對已經(jīng)成熟，煙草企業(yè)普遍采用了防火墻、網(wǎng)閘、防病毒、防入侵等防護(hù)措施。而隨著MES技術(shù)在煙草企業(yè)的廣泛實施，越來越多企業(yè)開始考慮在底層的工業(yè)控制系統(tǒng)進(jìn)行信息安全防護(hù)工作。近年來，全球工業(yè)控制系統(tǒng)經(jīng)歷了“震網(wǎng)”、“Duqu”、“火焰”等病毒的攻擊，這些安全事件表明，一直以來被認(rèn)為相對封閉、專業(yè)和安全的工業(yè)控制系統(tǒng)已經(jīng)成為了黑客或不法組織的攻擊目標(biāo)。對于煙草企業(yè)的工業(yè)控制系統(tǒng)，同樣也面臨著信息安全問題。

與傳統(tǒng)IT系統(tǒng)一樣，在工業(yè)控制系統(tǒng)的信息安全問題研究中，風(fēng)險評估是其重要基礎(chǔ)。在工業(yè)控制系統(tǒng)信息安全風(fēng)險評估方面，國外起步較早，已經(jīng)建立了ISA/IEC 62443、NIST800-82等一系列國際標(biāo)準(zhǔn)和指南；而國內(nèi)也相繼了推薦性標(biāo)準(zhǔn)GB/T 26333-2010：工業(yè)控制網(wǎng)絡(luò)安全風(fēng)險評估規(guī)范和GB/T30976.1～.2-2014：工業(yè)控制系統(tǒng)信息安全（2個部分）等。當(dāng)前，相關(guān)學(xué)者也在這方面進(jìn)行了一系列研究，但國內(nèi)外還沒有一套公認(rèn)的針對工業(yè)控制系統(tǒng)信息安全風(fēng)險評估方法，而且在煙草行業(yè)的應(yīng)用實例也很少。

本文基于相關(guān)標(biāo)準(zhǔn)，以制絲線控制系統(tǒng)為對象進(jìn)行了信息安全風(fēng)險評估方法研究，并實際應(yīng)用在某卷煙廠制絲集控系統(tǒng)中，為后續(xù)的安全防護(hù)工作打下了基礎(chǔ)，也為煙草工業(yè)控制系統(tǒng)風(fēng)險評估工作提供了借鑒。

2 煙草工業(yè)控制系統(tǒng)

煙草工業(yè)企業(yè)生產(chǎn)網(wǎng)中的工控系統(tǒng)大致分成四種類型：制絲集控、卷包數(shù)采、高架物流、動力能源，這四個流程，雖工藝不同，相對獨(dú)立，但它們的基本原理大體一致，采用的工具和方法大致相同。制絲集控系統(tǒng)在行業(yè)內(nèi)是一種典型的工業(yè)控制系統(tǒng)，它的信息安全情況在一定程度上體現(xiàn)了行業(yè)內(nèi)工業(yè)控制系統(tǒng)的信息安全狀態(tài)。

制絲集控系統(tǒng)主要分為三層：設(shè)備控制層、集中監(jiān)控層和生產(chǎn)管理層。設(shè)備控制層有工業(yè)以太網(wǎng)連接控制主站以及現(xiàn)場I/O站。集中監(jiān)控層網(wǎng)絡(luò)采用光纖環(huán)形拓?fù)浣Y(jié)構(gòu)，將工藝控制段的可編程控制器（PLC）以及其他相關(guān)設(shè)備控制段的PLC接入主干網(wǎng)絡(luò)中，其中工藝控制段包括葉片處理段、葉絲處理段、梗處理段、摻配加香段等，然后與監(jiān)控計算器、I/O服務(wù)器、工程師站和實時數(shù)據(jù)庫服務(wù)器等共同組成了集中監(jiān)控層。生產(chǎn)管理層網(wǎng)絡(luò)連接了生產(chǎn)現(xiàn)場的交換機(jī)，與管理計算機(jī)、管理服務(wù)器等共同組成了生產(chǎn)管理層。

制絲車間的生產(chǎn)采用兩班倒的方式運(yùn)行，對生產(chǎn)運(yùn)行的實時性、穩(wěn)定性要求非常嚴(yán)格；如直接針對實際系統(tǒng)進(jìn)行在線的掃描等風(fēng)險評估工作，會對制絲生產(chǎn)造成一定的影響，存在影響生產(chǎn)的風(fēng)險。而以模擬仿真平臺為基礎(chǔ)的系統(tǒng)脆弱性驗證和自主可控的測評是當(dāng)前制絲線控制系統(tǒng)信息安全評估的一種必然趨勢。

3 工控系統(tǒng)風(fēng)險評估方法

在風(fēng)險評估方法中，主要包括了資產(chǎn)識別、威脅評估、脆弱性評估、綜合評估四個部分，其中脆弱性測試主要以模擬仿真平臺為基礎(chǔ)進(jìn)行自主可控的測評。

風(fēng)險是指特定的威脅利用資產(chǎn)的一種或一組脆弱性，導(dǎo)致資產(chǎn)的丟失或損害的潛在可能性，即特定威脅事件發(fā)生的可能性與后果的結(jié)合。風(fēng)險評估模型主要包含信息資產(chǎn)、脆弱性、威脅和風(fēng)險四個要素。每個要素有各自的屬性，信息資產(chǎn)的屬性是資產(chǎn)價值，脆弱性的屬性是脆弱性被威脅利用后對資產(chǎn)帶來的影響的嚴(yán)重程度，威脅的屬性是威脅發(fā)生的可能性，風(fēng)險的屬性是風(fēng)險發(fā)生的后果。

3.1 資產(chǎn)識別

首先進(jìn)行的是對實際生產(chǎn)環(huán)境中的信息資產(chǎn)進(jìn)行識別，主要包括服務(wù)器、工作站、下位機(jī)、工業(yè)交換設(shè)備、工控系統(tǒng)軟件和工業(yè)協(xié)議的基本信息。其中，對于服務(wù)器和工作站，詳細(xì)調(diào)查其操作系統(tǒng)以及所運(yùn)行的工控軟件；對于下位機(jī)，查明PLC主站和從站的詳細(xì)型號；對于交換設(shè)備，仔細(xì)查看其配置以及連接情況；對于工控系統(tǒng)軟件，詳細(xì)調(diào)查其品牌以及實際安裝位置；對于工業(yè)協(xié)議，則詳細(xì)列舉其通信兩端的對象。

3.2 威脅評估

威脅評估的第一步是進(jìn)行威脅識別，主要的任務(wù)是是識別可能的威脅主體（威脅源）、威脅途徑和威脅方式。

威脅主體：分為人為因素和環(huán)境因素。根據(jù)威脅的動機(jī)，人為因素又可分為惡意和非惡意兩種。環(huán)境因素包括自然災(zāi)害和設(shè)施故障。

威脅途徑：分為間接接觸和直接接觸，間接接觸主要有網(wǎng)絡(luò)訪問、指令下置等形式；直接接觸指威脅主體可以直接物理接觸到信息資產(chǎn)。

威脅方式：主要有傳播計算機(jī)病毒、異常數(shù)據(jù)、掃描監(jiān)聽、網(wǎng)絡(luò)攻擊（后門、漏洞、口令、拒絕服務(wù)等）、越權(quán)或濫用、行為抵賴、濫用網(wǎng)絡(luò)資源、人為災(zāi)害（水、火等）、人為基礎(chǔ)設(shè)施故障（電力、網(wǎng)絡(luò)等）、竊取、破壞硬件、軟件和數(shù)據(jù)等。

威脅識別工作完成之后，對資產(chǎn)所對應(yīng)的威脅進(jìn)行評估，將威脅的權(quán)值分為1-5 五個級別，等級越高威脅發(fā)生的可能性越大。威脅的權(quán)值主要是根據(jù)多年的經(jīng)驗積累或類似行業(yè)客戶的歷史數(shù)據(jù)來確定。等級5標(biāo)識為很高，表示該威脅出現(xiàn)的頻率很高（或≥1 次/周），或在大多數(shù)情況下幾乎不可避免，或可以證實經(jīng)常發(fā)生過。等級1標(biāo)識為很低，表示該威脅幾乎不可能發(fā)生，僅可能在非常罕見和例外的情況下發(fā)生。

3.3 脆弱性測試

脆弱性評估需從管理和技術(shù)兩方面脆弱性來進(jìn)行。管理脆弱性評估方面主要是按照等級保護(hù)的安全管理要求對現(xiàn)有的安全管理制度的制定和執(zhí)行情況進(jìn)行檢查，發(fā)現(xiàn)了其中的管理漏洞和不足。技術(shù)方面包括物理環(huán)境、網(wǎng)絡(luò)環(huán)境、主機(jī)系統(tǒng)、中間件系統(tǒng)和應(yīng)用系統(tǒng)五個層次，主要是通過遠(yuǎn)程和本地兩種方式進(jìn)行手工檢查、工具掃描等方式進(jìn)行評估，以保證脆弱性評估的全面性和有效性。

傳統(tǒng)IT 系統(tǒng)的技術(shù)脆弱性評測可以直接并入到生產(chǎn)系統(tǒng)中進(jìn)行掃描檢測，同時通過交換機(jī)的監(jiān)聽口采集數(shù)據(jù)，進(jìn)行分析。而對工控系統(tǒng)的脆弱性驗證和測評服務(wù)，則以實際車間工控系統(tǒng)為藍(lán)本，搭建一套模擬工控系統(tǒng)，模擬系統(tǒng)采用與真實系統(tǒng)相同或者相近的配置，最大程序反映實際工控系統(tǒng)的真實情況。評估出的模擬系統(tǒng)工控系統(tǒng)安全情況，經(jīng)過分析與演算，可以得出真實工控系統(tǒng)安全現(xiàn)狀。

對于工控系統(tǒng)主要采用的技術(shù)性測試方法。

（1）模擬和數(shù)字控制邏輯測試方法。該方法針對模擬系統(tǒng)中的控制器系統(tǒng)進(jìn)行測試。采用如圖1的拓?fù)湫问?，通過組態(tài)配置PLC輸出方波數(shù)字信號和階梯模擬信號，通過監(jiān)測控制信號的邏輯以判別控制系統(tǒng)的工作狀態(tài)。

（2）抓包測試方法。該方法可以對模擬系統(tǒng)中的各種設(shè)備進(jìn)行測試。采用圖2的拓?fù)湫问?，通過抓包方式，獲取車間現(xiàn)場運(yùn)行的正常網(wǎng)絡(luò)數(shù)據(jù)包；將該數(shù)據(jù)進(jìn)行模糊算法變異，產(chǎn)生新的測試用例，將新數(shù)據(jù)發(fā)送到測試設(shè)備上進(jìn)行漏洞挖掘。該測試方法既不影響工作現(xiàn)場，又使得模擬系統(tǒng)的測試數(shù)據(jù)流與工作現(xiàn)場相同。

（3）橋接測試方法。該方法針對模擬系統(tǒng)中的工業(yè)通信協(xié)議進(jìn)行測試。測試平臺接收到正常的數(shù)據(jù)包后，對該數(shù)據(jù)包進(jìn)行模糊算法變異，按照特定的協(xié)議格式，由測試平臺向被測設(shè)備發(fā)送修改后的數(shù)據(jù)，進(jìn)行漏洞挖掘測試。采用的拓?fù)湫问骄褪菆D2中去除了虛線框中的內(nèi)容后的形式。

（4）點對點測試方法。該方法針對通信協(xié)議進(jìn)行測試。采用與圖1相同拓?fù)湫问剑凑账鎸Φ膮f(xié)議的格式，由測試平臺向被測設(shè)備發(fā)送測試用例，進(jìn)行健壯性的測試。

（5）系統(tǒng)測試方法。該方法對裝有工控軟件的被測設(shè)備進(jìn)行測試。該方法采用如圖3的拓?fù)湫问?，綜合了前幾種方式，在系統(tǒng)的多個控制點同時進(jìn)行，模糊測試數(shù)據(jù)在不同控制點之間同時傳輸，對整個工業(yè)控制環(huán)境進(jìn)行系統(tǒng)級的漏洞挖掘。

3.4 綜合分析

在完成資產(chǎn)、威脅和脆弱性的評估后，進(jìn)入安全風(fēng)險的評估階段。在這個過程中，得到綜合風(fēng)險評估分析結(jié)果和建議。根據(jù)已得到的資產(chǎn)、威脅和脆弱性分析結(jié)果，可以得到風(fēng)險以及相應(yīng)的等級，等級越高，風(fēng)險越高。

4 應(yīng)用實例

本文以某卷煙廠制絲車間的制絲集控系統(tǒng)為例進(jìn)行風(fēng)險評估研究。

4.1 資產(chǎn)識別

首先對該制絲集控系統(tǒng)進(jìn)行了資產(chǎn)的識別，得到的各類資產(chǎn)的基本信息。資產(chǎn)的簡單概述：服務(wù)器包括GR 服務(wù)器、監(jiān)控實時服務(wù)器、AOS 服務(wù)器、文件服務(wù)器、管理應(yīng)用服務(wù)器、管理數(shù)據(jù)庫服務(wù)器和管理實時服務(wù)器等；工作站包括工程師站、監(jiān)控計算機(jī)和管理計算機(jī)；下位機(jī)包括西門子PLC S7-300、PLC S7-400 和ET200S；網(wǎng)絡(luò)交換設(shè)備主要以西門子交換機(jī)和思科交換機(jī)為主；工控系統(tǒng)軟件主要有Wonderware 系列軟件、西門子STEP7、KEPServerEnterprise等。

4.2 威脅評估

依據(jù)威脅主體、威脅途徑和威脅方式對制絲集控系統(tǒng)進(jìn)行了威脅的識別，隨后對卷煙廠制絲集控系統(tǒng)的威脅分析表示，面臨的威脅來自于人員威脅和環(huán)境威脅，威脅方式主要有計算機(jī)病毒、入侵等。其中等級較高的威脅（等級≥3）其主體主要是互聯(lián)網(wǎng)/辦公網(wǎng)以及內(nèi)部辦公人員威脅。

4.3 脆弱性評估

搭建的模擬系統(tǒng)與真實網(wǎng)絡(luò)層次結(jié)構(gòu)相同，拓?fù)鋱D如圖4所示。

基于工控模擬環(huán)境，對設(shè)備控制層、工控協(xié)議、工控軟件、集中監(jiān)控設(shè)備進(jìn)行評估。

對設(shè)備控制層的控制設(shè)備通訊流程分為五條路徑進(jìn)行歸類分析，即圖4中的路徑1到5，通信協(xié)議均為西門子S7協(xié)議。一方面采用模擬和數(shù)字控制邏輯測試方法以及抓包測試方法對控制器進(jìn)行測試，另一方面采用橋接測試方法對S7協(xié)議進(jìn)行漏洞挖掘，結(jié)果表明結(jié)果未發(fā)現(xiàn)重大設(shè)備硬

件漏洞。

除了S7 協(xié)議外，圖4中所標(biāo)的剩余通信路徑中，路徑6為OPC協(xié)議，路徑7為ProfiNet協(xié)議，路徑8為ProfiBus協(xié)議，路徑9為Modbus TCP協(xié)議。對于這些工控協(xié)議，采用點對點測試方法進(jìn)行健壯性測試，結(jié)果發(fā)現(xiàn)了協(xié)議采用明文傳輸、未對OPC端口進(jìn)行安全防范等問題。

采用系統(tǒng)測試方法，對裝有工控軟件的以及集中設(shè)備進(jìn)行測試，發(fā)現(xiàn)了工控軟件未對MAC 地址加固，無法防止中間人攻擊，賬號密碼不更新，未進(jìn)行認(rèn)證等數(shù)據(jù)校驗諸多問題。

然后對制絲集控系統(tǒng)進(jìn)行的脆弱性分析發(fā)現(xiàn)了兩個方面的問題非常值得重視。一是工控層工作站可通過服務(wù)器連通Internet，未進(jìn)行任何隔離防范，有可能帶來入侵或病毒威脅；攻擊者可直接通過工作站攻擊內(nèi)網(wǎng)的所有服務(wù)器，這帶來的風(fēng)險極大。二是工控協(xié)議存在一定威脅，后期需要采取防護(hù)措施。

4.4 綜合評估

此次對制絲集控系統(tǒng)的分析中，發(fā)現(xiàn)了一個高等級的風(fēng)險：網(wǎng)絡(luò)中存在可以連接Internet的服務(wù)器，未對該服務(wù)器做安全防護(hù)。還有多個中等級的風(fēng)險，包括網(wǎng)絡(luò)分域分區(qū)的策略未細(xì)化、關(guān)鍵網(wǎng)絡(luò)設(shè)備和業(yè)務(wù)服務(wù)器安全配置不足、設(shè)備存在緊急風(fēng)險漏洞、工控協(xié)議存在安全隱患、PLC 應(yīng)用固件缺乏較完善的認(rèn)證校驗機(jī)制等。

4.5 防護(hù)建議

根據(jù)制絲集控系統(tǒng)所發(fā)現(xiàn)的風(fēng)險和不足，可以采取幾項防護(hù)措施：對于可連到Internet的服務(wù)器，采用如堡壘機(jī)模式等安全防護(hù)措施，加強(qiáng)分區(qū)分域管理；對主機(jī)設(shè)備和網(wǎng)絡(luò)交換機(jī)加強(qiáng)安全策略，提高安全等級；對存在緊急風(fēng)險漏洞的設(shè)備，及時打補(bǔ)??；對于工控協(xié)議存在的安全隱患，控制器缺乏驗證校驗機(jī)制等風(fēng)險，采用工業(yè)安全防護(hù)設(shè)備對其檢測審計與防護(hù)阻斷。

5 結(jié)束語

隨著信息化的不斷加強(qiáng)，煙草企業(yè)對于工業(yè)控制系統(tǒng)信息安全越來越重視，而風(fēng)險評估可以說是信息安全工作的重要基礎(chǔ)。本文提出基于模擬系統(tǒng)和脆弱性測試的風(fēng)險評估方法，采用資產(chǎn)識別、威脅評估、以模擬系統(tǒng)評測為主的脆弱性評估、綜合評估等步驟，對煙草制絲線控制系統(tǒng)進(jìn)行信息安全風(fēng)險評估。而在脆弱性測試中采用了模擬和數(shù)字控制邏輯測試、抓包測試、系統(tǒng)測試等多種方法，對工業(yè)控制系統(tǒng)技術(shù)上的脆弱性進(jìn)行測試。這些步驟和方法在某卷煙廠的制絲集控系統(tǒng)應(yīng)用中取得了良好的成果：發(fā)現(xiàn)了工控系統(tǒng)中存在的一些信息安全問題及隱患，并以此設(shè)計了工業(yè)安全防護(hù)方案，將工控網(wǎng)絡(luò)風(fēng)險控制到可接受范圍內(nèi)。

本次所做的煙草工業(yè)控制系統(tǒng)信息安全風(fēng)險評估工作，可以為同類的煙草企業(yè)工控信息安全防護(hù)建設(shè)提供一定的借鑒。但同時，也要看到，本次的風(fēng)險評估工作中對于風(fēng)險等內(nèi)容的定級對于經(jīng)驗的依賴程度較高，不易判斷，這也是以后研究的方向之一。

參考文獻(xiàn)

[1] 李燕翔，胡明淮.煙草制造企業(yè)工業(yè)控制網(wǎng)絡(luò)安全淺析[J].中國科技博覽，2011，（34）： 531-2.

[2] 李鴻培， 忽朝儉，王曉鵬. 2014工業(yè)控制系統(tǒng)的安全研究與實踐[J]. 計算機(jī)安全，2014，（05）： 36-59，62.

[3] IEC 62443―2011， Industrial control network &system security standardization[S].

[4] SP 800-82―2008， Guide to industrial control systems（ICS） security[S].

[5] GB/T 26333―2011， 工業(yè)控制網(wǎng)絡(luò)安全風(fēng)險評估規(guī)范[S].

[6] GB/T 30976.1―2011， 工業(yè)控制系統(tǒng)信息安全 第1部分：評估規(guī)范[S].

[7] GB/T 30976.2―2011， 工業(yè)控制系統(tǒng)信息安全 第2部分：驗收規(guī)范[S].

[8] 盧慧康， 陳冬青， 彭勇，王華忠.工業(yè)控制系統(tǒng)信息安全風(fēng)險評估量化研究[J].自動化儀表， 2014 （10）： 21-5.

[9] 彭杰，劉力.工業(yè)控制系統(tǒng)信息安全性分析[J].自動化儀表， 2012， 33（12）： 36-9.

作者簡介：

李威（1984-），男，河南焦作人，西安交通大學(xué)，碩士，浙江中煙工業(yè)有限責(zé)任公司，工程師；主要研究方向和關(guān)注領(lǐng)域：信息安全與網(wǎng)絡(luò)管理。

湯堯平（1974-），男，浙江諸暨人，浙江中煙工業(yè)有限責(zé)任公司，工程師；主要研究方向和關(guān)注領(lǐng)域：煙草生產(chǎn)工業(yè)控制。

合同風(fēng)險評估范文第3篇

[關(guān)鍵詞]熵 采購風(fēng)險 風(fēng)險評估

一、引言

采購是企業(yè)成功經(jīng)營的關(guān)鍵環(huán)節(jié)，在產(chǎn)品成本控制和質(zhì)量保證等方面起著至關(guān)重要的作用。然而隨著科技的迅猛發(fā)展、經(jīng)濟(jì)全球化的不斷深入以及產(chǎn)品生命周期的日趨縮短，全球采購、電子采購、外包等采購方式異軍突起，這些變化在為企業(yè)帶來便利與利潤的同時也增加了采購風(fēng)險。

二、采購風(fēng)險識別

本文根據(jù)不確定性的來源將采購風(fēng)險分為三類：需求風(fēng)險、內(nèi)部控制風(fēng)險和供應(yīng)風(fēng)險。

（1）需求風(fēng)險

需求風(fēng)險發(fā)生在采購過程的首要環(huán)節(jié)，是制定采購計劃的基礎(chǔ)和依據(jù)，在需求預(yù)測中面臨的風(fēng)險有預(yù)測風(fēng)險和計劃風(fēng)險。

1.預(yù)測風(fēng)險。因需求預(yù)測缺乏準(zhǔn)確性導(dǎo)致物料難以滿足生產(chǎn)或超出預(yù)算等所帶來的損失和可能性。

2.計劃風(fēng)險。市場需求發(fā)生變動，影響到采購計劃的準(zhǔn)確性；采購計劃管理技術(shù)不適當(dāng)或不科學(xué)，與目標(biāo)發(fā)生較大偏離，導(dǎo)致采購中計劃風(fēng)險。

（2）內(nèi)部控制風(fēng)險

內(nèi)部控制風(fēng)險主要是指在采購方與供應(yīng)方達(dá)成協(xié)議或簽訂合同后到供應(yīng)商開始供貨期間對于采購方來說存在的風(fēng)險。主要包括采購合同風(fēng)險、價格風(fēng)險和管理風(fēng)險。

1.合同風(fēng)險。合同風(fēng)險主要指簽訂的合同條款模糊不清或只是口頭協(xié)議造成的經(jīng)濟(jì)損失；簽訂合同時供應(yīng)方向采購方進(jìn)行行賄使實際發(fā)生的數(shù)額遠(yuǎn)大于合同中規(guī)定數(shù)額等。

2.價格風(fēng)險。價格風(fēng)險主要包括市場浮動價格風(fēng)險、批量采購折扣風(fēng)險、回扣價格風(fēng)險。

3.管理風(fēng)險。管理風(fēng)險是采購方企業(yè)內(nèi)部作出的一些決策帶來的風(fēng)險，如選取單一供應(yīng)商供貨的策略等帶來的風(fēng)險。

（3）供應(yīng)風(fēng)險

本文將供應(yīng)風(fēng)險分為供應(yīng)商能力風(fēng)險、產(chǎn)品質(zhì)量風(fēng)險、供應(yīng)市場風(fēng)險三類。

1.供應(yīng)商能力風(fēng)險。供應(yīng)商能力風(fēng)險主要是指因供應(yīng)商能力缺失導(dǎo)致供應(yīng)中斷或者無法按照合同要求供貨帶來的損失。2.產(chǎn)品質(zhì)量風(fēng)險。供應(yīng)商提供不符合質(zhì)量要求的產(chǎn)品導(dǎo)致生產(chǎn)出的產(chǎn)成品無法滿足顧客的需求帶來的損失。

3.市場風(fēng)險。匯率、原材料價格、競爭環(huán)境的變化等導(dǎo)致供應(yīng)價格發(fā)生變化或者供應(yīng)商因此做出違約行為等所帶來的損失。

三、信息熵法的采購風(fēng)險評估模型構(gòu)建

（1）信息熵

1948年，香農(nóng)在Bell System Technical Journal上發(fā)表了“A Mathematical Theory of Communication”一文，將熵的概念引入到信息論中，香農(nóng)把信息源的信號的不確定性稱為信息熵，把消除了多少不確定性稱為信息。熵的獲得，意味著信息的丟失，信息量越小，不確定性越大，風(fēng)險越大，熵也越大；信息量越大，不確定性就越小，風(fēng)險越小，熵也越小。信息和熵是互補(bǔ)的，信息就是負(fù)熵。

（2）采購風(fēng)險評估模型構(gòu)建步驟

本文建立了二級評價指標(biāo)體系，所以參考相關(guān)文獻(xiàn)介紹基于熵權(quán)的風(fēng)險評估模型構(gòu)建分以下五步進(jìn)行。

第一步，建立采購風(fēng)險因素集。

第二步，數(shù)據(jù)同趨化和標(biāo)準(zhǔn)化的處理。

由于指標(biāo)體系中的各個指標(biāo)所表征對象的屬性和量綱不盡相同，所以在對各指標(biāo)進(jìn)行對比前應(yīng)該進(jìn)行了同趨化和標(biāo)準(zhǔn)化的處理。

第三步，計算評價指標(biāo)的熵值。

第四步，計算二級指標(biāo)的熵權(quán)。

第五步，計算一級指標(biāo)的熵權(quán)。

四、結(jié)論

隨著環(huán)境的不斷變化和突發(fā)事件的頻繁發(fā)生，采購風(fēng)險評估作為采購風(fēng)險管理其中重要的一部分，可以幫助企業(yè)在采購中根據(jù)各類風(fēng)險發(fā)生的概率和影響程度的不同采取相應(yīng)的防范措施，從而做到未雨綢繆并降低損失。而風(fēng)險具有不確定性，所以本文選擇了信息熵這一本身具有測定不確定的工具對采購風(fēng)險進(jìn)行評估，克服了僅靠單一主觀評估帶來的隨意性，使評估內(nèi)容變得更加科學(xué)可信。

參考文獻(xiàn)：

[1]江健凡，許火之.企業(yè)物資采購中存在的風(fēng)險及其防范措施[J].銅業(yè)工程，2006，（3）：11-13.

[2]程錫勝，鄧?yán)砟?經(jīng)濟(jì)全球化環(huán)境下的企業(yè)網(wǎng)絡(luò)采購風(fēng)險評價[J].長沙理工大學(xué)學(xué)報（自然科學(xué)版），2009，6（3）：6-10.

合同風(fēng)險評估范文第4篇

關(guān)鍵詞：醫(yī)學(xué)院校 物資采購 廉政風(fēng)險 評估機(jī)制

一、研究背景

（一）相關(guān)概念

醫(yī)學(xué)院校物資采購，是醫(yī)學(xué)院校基于教學(xué)、科研、醫(yī)療、管理、基本建設(shè)和專項工程等活動中對材料、燃料、動力、工具、配件和設(shè)備等物資采購的需求，由醫(yī)學(xué)院校高級管理層，以及采購、驗收、倉儲、會計、使用、法務(wù)、審計、監(jiān)察等職能部門或者功能小組，依據(jù)有關(guān)法律、法規(guī)、政策及標(biāo)準(zhǔn)，按照一定的程序和方法，在物資采購內(nèi)部控制、計劃、合同、招標(biāo)、供貨商選擇、數(shù)量、價格、質(zhì)量、物資保管、結(jié)算付款以及期后事項等相關(guān)環(huán)節(jié)中，施行決策、執(zhí)行、監(jiān)督的行政管理過程。

廉政風(fēng)險防控，是應(yīng)用風(fēng)險管理理論和質(zhì)量管理方法，按照計劃、執(zhí)行、考核、修正循環(huán)機(jī)制（PDCA循環(huán)），采取預(yù)防、監(jiān)控、處置等措施對各類廉政風(fēng)險進(jìn)行科學(xué)管理的制度創(chuàng)新，在有效推進(jìn)懲防體系建設(shè)、強(qiáng)化源頭治腐的實踐中已取得顯著成效；廉政風(fēng)險評估作為廉政風(fēng)險防控的重要一環(huán)，已成為當(dāng)前和今后進(jìn)一步提高反腐倡廉建設(shè)水平的重要政治任務(wù)和重要工作舉措。

（二）研究現(xiàn)狀

隨著教育治理體系和治理能力現(xiàn)代化的探索推進(jìn)，以及2014年《行政事業(yè)單位內(nèi)部控制規(guī)范》的全面推行，醫(yī)學(xué)院校物資采購作為組織重要經(jīng)濟(jì)管理活動和廉政風(fēng)險防控關(guān)鍵節(jié)點，正在面臨提升組織自主管理水平、完善配套權(quán)力制衡機(jī)制、落實廉政風(fēng)險防控要求、發(fā)揮采購監(jiān)督評價作用的戰(zhàn)略動因和政策需求。醫(yī)學(xué)院校如何順應(yīng)大學(xué)治理理念與內(nèi)控規(guī)范要求，在單位整體層面和業(yè)務(wù)活動層面，建立可辨認(rèn)、分析和管理的物資采購廉政風(fēng)險定期評估機(jī)制，已成為目前廉政風(fēng)險防控亟待研究的一大課題。

現(xiàn)有文獻(xiàn)檢索顯示，廉政風(fēng)險具有普遍性、可測性、不確定性、客觀性、發(fā)展性等不同特點，已有部分紀(jì)檢、審計、財會等專業(yè)人員從高校行政權(quán)力、高校設(shè)備采購、醫(yī)學(xué)裝備采購、企業(yè)物資采購等不同視角，對廉政風(fēng)險的內(nèi)容分析、評估機(jī)制、防范對策進(jìn)行了理論研究和實踐探索，以上研究為醫(yī)學(xué)院校進(jìn)一步提升風(fēng)險理解和處理水平提供了有益借鑒。

（三）問題的提出

基于上述情況，本文主要借鑒《行政事業(yè)單位內(nèi)部控制規(guī)范》風(fēng)險評估框架，通過目標(biāo)設(shè)定、風(fēng)險識別、風(fēng)險分析和風(fēng)險應(yīng)對四大步驟，嘗試運(yùn)用相關(guān)風(fēng)險管理技術(shù)與方法，探索建立醫(yī)學(xué)院校物資采購廉政風(fēng)險評估機(jī)制。

二、醫(yī)學(xué)院校物資采購廉政風(fēng)險評估機(jī)制

（一）目標(biāo)設(shè)定

醫(yī)學(xué)院校物資采購是廉政風(fēng)險多發(fā)、高發(fā)領(lǐng)域，常出現(xiàn)設(shè)備閑置效益低下、政策合法合規(guī)性風(fēng)險等問題，甚至“窩案”、“串案”的發(fā)生。物資采購廉政風(fēng)險評估的目標(biāo)便是將其廉政風(fēng)險控制在醫(yī)學(xué)院校所期望的風(fēng)險容限以內(nèi)，規(guī)范權(quán)力運(yùn)行，規(guī)避廉政風(fēng)險，提高資金使用效益，最終建立物資采購廉政風(fēng)險防控的長效機(jī)制。

（二）風(fēng)險識別

醫(yī)學(xué)院校物資采購總體流程大致可分為采購計劃申報審批環(huán)節(jié)、采購申報價格環(huán)節(jié)、采購合同環(huán)節(jié)、采購計劃執(zhí)行環(huán)節(jié)。采購計劃申報審批環(huán)節(jié)的風(fēng)險點大致包括：采購計劃未納入年度經(jīng)費(fèi)預(yù)算、臨時動議等造成的程序失控、采購計劃未經(jīng)專家論證、部門領(lǐng)導(dǎo)審批等造成的采購依據(jù)不當(dāng)、大額或復(fù)雜的采購計劃未進(jìn)行分解、采購計劃與其他計劃產(chǎn)生不協(xié)調(diào)等。采購申報價格環(huán)節(jié)的風(fēng)險點大致包括：未能明確價格標(biāo)準(zhǔn)、使用無效或低效的價格信息系統(tǒng)、采購效率低下、形式化的價格審查、價格組成內(nèi)容單一化、物資使用單位或物資管理部門與供應(yīng)商串通價格作弊風(fēng)險等；采購合同環(huán)節(jié)的風(fēng)險點大致包括：合同與現(xiàn)行國家規(guī)定相悖、合同起草無依據(jù)、盲目簽訂采購合同、無效合同、合同條款模糊、不完善、帶有對醫(yī)學(xué)院校不利條款、合同違約、不嚴(yán)格執(zhí)行合同、違背原合同簽訂補(bǔ)充協(xié)議、合同檔案管理混亂等；采購計劃執(zhí)行環(huán)節(jié)的風(fēng)險點大致包括：未按國家或醫(yī)學(xué)院校規(guī)定采取與采購額度相適應(yīng)的采購方式、供應(yīng)商不具備相應(yīng)資質(zhì)、改變供應(yīng)商、采購價格虛高、質(zhì)量檢驗流于形式、計量不符合實際、物資保管低效、票據(jù)作假、手續(xù)不完備的付款申請、付款提前或滯后、付款不實和違規(guī)結(jié)算等；采購后續(xù)環(huán)節(jié)的風(fēng)險點大致包括：物資超儲積壓或儲備不足、物資賬與財務(wù)賬賬實不符、物資使用質(zhì)量低劣、物資使用效率低下、無效的內(nèi)部監(jiān)督等。

（三）風(fēng)險分析

工作機(jī)制層面：物資采購業(yè)務(wù)部門、合規(guī)部門、監(jiān)管部門以及使用部門應(yīng)當(dāng)立足崗位職能、聚焦主體責(zé)任，從規(guī)范權(quán)力運(yùn)行和建機(jī)制破難題出發(fā)，建立自下而上和自上而下的雙向評估機(jī)制。物資采購部門定期開展風(fēng)險自我評估和控制完善，財務(wù)、審計部門在控制、風(fēng)險管理和治理領(lǐng)域發(fā)揮確認(rèn)作用和咨詢服務(wù)功能，紀(jì)檢監(jiān)察部門在“三轉(zhuǎn)”過程中，還應(yīng)加強(qiáng)對物資采購風(fēng)險信息的收集和研判，采取備案的方式對物資采購實施監(jiān)督，不定時不定項實施現(xiàn)場監(jiān)督，通過調(diào)閱文件資料、接受舉報等方式加大監(jiān)督力度。管理技術(shù)層面：可以運(yùn)用風(fēng)險矩陣模型，在梳理業(yè)務(wù)流程環(huán)節(jié)，分解責(zé)任權(quán)力體系的基礎(chǔ)上，對物資采購所有潛在問題進(jìn)行梳理，逐個評估這些潛在風(fēng)險發(fā)生的可能性，可按低、中、高（或極低、低、中、高、極高等更多層次）進(jìn)行分類。之后，應(yīng)逐個評估這些潛在風(fēng)險發(fā)生之后對物資采購項目的影響，也按低、中、高（或更多層次）進(jìn)行分類，由此組成風(fēng)險矩陣（見圖表），對可能產(chǎn)生的廉政風(fēng)險進(jìn)行逐一梳理和歸納。

（四）風(fēng)險應(yīng)對

針對各流程環(huán)節(jié)上潛在的風(fēng)險點，從風(fēng)險矩陣來看，若潛在風(fēng)險在“危險”區(qū)域，則應(yīng)不遺余力阻其發(fā)生；若潛在風(fēng)險在“高”區(qū)域，醫(yī)學(xué)院校則應(yīng)支出相對合理的成本來阻止其發(fā)生；若潛在風(fēng)險在“中”區(qū)域，則應(yīng)采取一些適宜的措施來阻止其發(fā)生或盡可能降低其發(fā)生后造成的影響。通常采用風(fēng)險降低、風(fēng)險轉(zhuǎn)移等策略，若風(fēng)險程度低微，在可容忍的范圍內(nèi)，亦可保留該風(fēng)險等，若阻止發(fā)生的成本大大超出醫(yī)學(xué)院校設(shè)定的可接受范圍，則應(yīng)改變計劃從而消除風(fēng)險，或者消除風(fēng)險發(fā)生的條件，規(guī)避該風(fēng)險的發(fā)生。醫(yī)學(xué)院?；诂F(xiàn)代化科學(xué)技術(shù)等各種手段，在評估了相關(guān)風(fēng)險的可能性和后果以及成本效益之后，通過部門三重一大會議、專家論證、管理咨詢、民主生活會、黨風(fēng)廉政建設(shè)工作會、院校黨政聯(lián)席會集體研究制定不同策略，最終將剩余風(fēng)險控制在期望的風(fēng)險容限內(nèi)。

以某醫(yī)學(xué)院校為例，物資采購部門層面，嚴(yán)格執(zhí)行采購申報和審批制度，做好事前論證和審批，防止物資采購后無存放場地或重復(fù)購置導(dǎo)致物資使用效率低下等風(fēng)險。嚴(yán)格執(zhí)行國家和醫(yī)學(xué)院校關(guān)于招投標(biāo)采購、協(xié)議供貨、自行采購等相關(guān)規(guī)定，避免通過化整為零的方式規(guī)避招投標(biāo)。通過信息化的管理，提高物資采購的管理水平，搭建物資與財務(wù)信息共享平臺。在低價設(shè)備采購過程中，通過儀器設(shè)備競價采購系統(tǒng)，采取“背靠背”的方式報價，規(guī)避價格風(fēng)險，對協(xié)議供貨進(jìn)行了延伸和有效探索。紀(jì)檢監(jiān)察部門層面，與物資采購部門一起，做好物資采購人員的廉潔教育，通過思想政治教育、警示教育、法制教育，簽署《廉潔承諾書》和《主體責(zé)任承諾書》，提高物資采購人員抵御廉政風(fēng)險的能力，自覺遵守廉潔自律規(guī)定。推動“三重一大”制度進(jìn)部門、進(jìn)系室，從程序上防控廉政風(fēng)險。

三、結(jié)語

醫(yī)學(xué)院校物資采購應(yīng)通過組成物資采購廉政風(fēng)險防控領(lǐng)導(dǎo)小組，對醫(yī)學(xué)院校在該領(lǐng)域的廉政風(fēng)險承擔(dān)全面的主體責(zé)任，制定并適時調(diào)整完善制度，多部門參與配合、共同實現(xiàn)控制監(jiān)督體系聯(lián)合治理效應(yīng)。從初步評估風(fēng)險，制定實行應(yīng)急計劃和風(fēng)險策略開始，持續(xù)運(yùn)用并不斷改進(jìn)評估機(jī)制，逐步確立每個廉政風(fēng)險點的防控措施和責(zé)任主體，逐步建立完善系統(tǒng)的廉政風(fēng)險防控手冊，不斷總結(jié)經(jīng)驗，創(chuàng)新防控措施，建立健全物資采購廉政風(fēng)險防控長效機(jī)制。

參考文獻(xiàn)：

[1]衛(wèi)生系統(tǒng)內(nèi)部審計操作指南[M].北京：人民衛(wèi)生出版社，2012：278-292.

[2]賀志東.中國內(nèi)部審計操作實務(wù)[M].北京：電子工業(yè)出版社，2014：249-261.

[3]范春梅.高校廉政風(fēng)險防范管理的實踐與思考[J].河北師范大學(xué)學(xué)報（教育科學(xué)版），2010，（1）：84-87.

[4]何希耕.高校設(shè)備采購領(lǐng)域的廉政風(fēng)險及其防控研究[J].實驗技術(shù)與管理，2013，（10）：234-236.

[5]董立人.廉政風(fēng)險評估預(yù)警研究[J].唯實，2012，（3）：35-37.

[6]白致銘，常軍勤，趙晶等.高校行政崗位廉政風(fēng)險評估初探[J].北京教育（高教版），2010，（10）：18-19.

[7]錢大益，孟兆磊，劉仁霖等.高校設(shè)備采購工作廉政風(fēng)險探討[J].中國現(xiàn)代教育裝備，2011，（5）：3-6.

[8]柯紅巖，錢大益，劉云等.基于PDCA理論的高校設(shè)備采購廉政風(fēng)險防范管理[J].實驗技術(shù)與管理，2012，（9）：219-221，231.

[9]羅燕，黃兆云，黃爽等.醫(yī)療設(shè)備采購的風(fēng)險和對策[J].中國醫(yī)學(xué)裝備，2007，（12）：31-33.

[10]金鑫，劉吉祥.醫(yī)療儀器設(shè)備采購風(fēng)險與規(guī)避[J].中國醫(yī)學(xué)裝備，2009，（3）：25-27.

[11]金鑫，劉吉祥.論醫(yī)療儀器設(shè)備采購風(fēng)險及規(guī)避[J].中國醫(yī)學(xué)裝備，2010，（1）：26-28.

[12]張洪鵬，周丹，賀密會等.衛(wèi)生裝備采購風(fēng)險的評估[J].醫(yī)療設(shè)備信息，2007，（5）：58-60.

[13]夏冬艷.淺談風(fēng)險矩陣法在采購風(fēng)險評估中的應(yīng)用[J].中國商貿(mào)，2012，（36）：66-67.

[14]周立云.基于風(fēng)險導(dǎo)向的物資采購和存貨審計[J].中國內(nèi)部審計，2014，（9）：62-67.

合同風(fēng)險評估范文第5篇

關(guān)鍵詞：COSO-ERM；銷售環(huán)節(jié)；風(fēng)險管理框架

中圖分類號：C93 文獻(xiàn)標(biāo)識碼：A 文章編號：1674-1723（2013）04-0127-02

一、COSO企業(yè)風(fēng)險管理-整合框架簡述

自美國COSO委員會《內(nèi)部控制框架》1992年以來，已經(jīng)被世界上許多企業(yè)所采用，成為世界通行的內(nèi)部控制權(quán)威文獻(xiàn)。2004年9月，在該報告的基礎(chǔ)上，結(jié)合《薩班斯-奧克斯法案》（Sarbanes-Oxley Act）報告方面的要求，進(jìn)行擴(kuò)展研究了《企業(yè)風(fēng)險管理框架-整合框架》（簡稱COSO-ERM）。

COSO-ERM所強(qiáng)調(diào)的企業(yè)風(fēng)險管理是以一種全局的風(fēng)險組合觀來看待風(fēng)險，是一套更加全面的過程化管理模式，力求實現(xiàn)主體在戰(zhàn)略、經(jīng)營、報告、合規(guī)四個目標(biāo)上關(guān)注企業(yè)風(fēng)險管理的不同層面。而內(nèi)部環(huán)境、目標(biāo)設(shè)定、事項識別、風(fēng)險評估、風(fēng)險應(yīng)對、控制活動、信息與溝通和監(jiān)控等八個相關(guān)聯(lián)的要素都適用于四個層面的目標(biāo)，每個層面目標(biāo)都于八個方面進(jìn)行風(fēng)險管理。以內(nèi)部環(huán)境為平臺和基礎(chǔ)企業(yè)制定和確定科學(xué)的目標(biāo)為起點依據(jù)確定的目標(biāo)，企業(yè)對影響目標(biāo)的風(fēng)險進(jìn)行事項識別對相應(yīng)事項進(jìn)行風(fēng)險評估對風(fēng)險評估作出風(fēng)險反應(yīng)，做出相應(yīng)的應(yīng)對措施從而進(jìn)一步對風(fēng)險采取控制活動。當(dāng)然，在每一個環(huán)節(jié)中，信息與溝通和監(jiān)督貫穿于企業(yè)風(fēng)險管理的整個過程，并對其他各要素隨時進(jìn)行修正。這是一個有機(jī)整體，是一個彼此間相互作用、相互影響的過程。

該框架“為不同經(jīng)濟(jì)體、不同行業(yè)、不同規(guī)模的企業(yè)在研究討論企業(yè)風(fēng)險管理時提供了一個共同的平臺，用同樣的的語言和標(biāo)準(zhǔn)統(tǒng)一規(guī)范企業(yè)風(fēng)險管理暨內(nèi)部控制?！北疚膶OSO-ERM的理念引入A銷售的到體育營銷風(fēng)險管理的研究中，對我國企業(yè)參與體育營銷實踐和風(fēng)險管理具有積極的參考和指導(dǎo)作用。

二、基于COSO-ERM設(shè)計企業(yè)銷售環(huán)節(jié)風(fēng)險管理框架的思路

（一）內(nèi)部環(huán)境與目標(biāo)設(shè)定

該階段包含COSO-ERM組成部分中內(nèi)部環(huán)境（Internal Environment）和目標(biāo)設(shè)定（Objective Setting），操作過程以企業(yè)內(nèi)部環(huán)境為平臺和基礎(chǔ)企業(yè)制定和確定科學(xué)的目標(biāo)為起點。

銷售業(yè)務(wù)在企業(yè)整個經(jīng)營活動中處于核心地位，只有通過銷售環(huán)節(jié)企業(yè)價值才得以體現(xiàn)。如果銷售環(huán)節(jié)不暢，企業(yè)經(jīng)營將難以為繼。銷售活動的目標(biāo)具體有以下四個方面：保證所售貨物的安全完整；保證銷售業(yè)務(wù)順暢有效的運(yùn)行；防范銷售過程存在的舞弊行為；保證貨款的及時回收以及貨幣的安全。

（二）事項識別、風(fēng)險評估、風(fēng)險應(yīng)對

該階段包含COSO-ERM組成部分中事項識別（Events Identification）、風(fēng)險評估（Risk Assessment）和風(fēng)險應(yīng)對（Risk Response）。依據(jù)確定的目標(biāo)，企業(yè)對影響目標(biāo)銷售環(huán)節(jié)風(fēng)險進(jìn)行事項識別在識別的基礎(chǔ)上對銷售環(huán)節(jié)相應(yīng)事項進(jìn)行風(fēng)險評估對風(fēng)險評估作出風(fēng)險反應(yīng)。管理層選擇合適的風(fēng)險應(yīng)對方式，把風(fēng)險控制在主體的風(fēng)險容限和風(fēng)險容量

以內(nèi)。

1.訂單處理與客戶信用評價環(huán)節(jié)。例如信用部門發(fā)現(xiàn)客戶受金融危機(jī)影響業(yè)務(wù)大幅下滑，財務(wù)狀況惡化，這是事項識別；信用部門會同財務(wù)部門評估該客戶對本公司營業(yè)額影響、維持原來信用額度對公司的壞賬影響，這是風(fēng)險評估；如果確定不能接受壞賬風(fēng)險，將該客戶的信用額度降低，此為風(fēng)險

應(yīng)對。

2.銷售談判和簽訂合同環(huán)節(jié)。例如某業(yè)務(wù)員一直負(fù)責(zé)某客戶業(yè)務(wù)，經(jīng)常單獨(dú)談判簽合同，這是事項識別；銷售部門評估其舞弊可能性，此為風(fēng)險評估；如果確定存在舞弊，調(diào)換業(yè)務(wù)員，這是風(fēng)險應(yīng)對。

3.發(fā)貨環(huán)節(jié)。例如倉庫發(fā)現(xiàn)某客戶訂貨量突然大增，這是事項識別；倉庫根據(jù)數(shù)量和單價估計其發(fā)生壞賬的損失，這是風(fēng)險評估；倉庫與銷售部門、與信用部門和財務(wù)部門溝通，發(fā)現(xiàn)其超出信用額度，取消該筆交易，此為風(fēng)險應(yīng)對。

4.收款環(huán)節(jié)。例財務(wù)部門發(fā)現(xiàn)某客戶貨款超期未付，這是事項識別；財務(wù)部門與銷售部門溝通，銷售部門了解客戶情況，評估其承諾的可靠度，這是風(fēng)險評估；如果不能接受客戶的承諾，通知信用部門扣減該客戶的信用額度，此為風(fēng)險

應(yīng)對。

（三）控制活動

1.訂單處理與客戶信用評價環(huán)節(jié)。銷售業(yè)務(wù)的真正起點應(yīng)從收到客戶的訂單算起。從客戶那里得到的訂單各式各樣，銷售部門應(yīng)首先對這些不同種類格式的訂單記錄在企業(yè)內(nèi)部統(tǒng)一的銷貨通知單上，利用統(tǒng)一的銷貨通知單來規(guī)范企業(yè)的銷售程序。作為訂立銷售合同的關(guān)鍵控制點，信用部門必須對新客戶做信用調(diào)查，從客戶的品德、能力、資本、擔(dān)保和條件，即通常所說的“5C”系統(tǒng)評價客戶信用等級，建立客戶信用檔案。對于信用狀況良好的老客戶的訂單，信用部門需關(guān)注訂貨數(shù)量的變化，如明顯大于以往水平，需要求客戶提供近期財務(wù)報告，核查其資產(chǎn)負(fù)債率等財務(wù)狀況，確定是否接受訂單。無論是新老客戶的訂單都要經(jīng)信用部門經(jīng)理的簽字才能生效。信用部門應(yīng)密切關(guān)注重要客戶資信變動情況，防范信用風(fēng)險。

2.銷售談判和簽訂合同環(huán)節(jié)。企業(yè)在簽訂合同環(huán)節(jié)之前，應(yīng)該與客戶進(jìn)行業(yè)務(wù)磋商或者談判，重大業(yè)務(wù)應(yīng)吸收財務(wù)、法律等專業(yè)人員參加，洽談包括銷售價格、數(shù)量、信用政策和發(fā)貨條件以及結(jié)算方式等內(nèi)容，并確定是否接受訂單，談判人員不得少于兩人，且應(yīng)與訂立合同的人員分離。合同須經(jīng)由授權(quán)人員的簽訂，簽訂合同前要求新客戶存入一定數(shù)額的保證金，防范意外風(fēng)險。談判的整個過程應(yīng)該有完整的書面記錄。定期對產(chǎn)品的基準(zhǔn)價格的合理性進(jìn)行評價，如果涉及定價或者調(diào)價，需要由具有相應(yīng)權(quán)限的人員進(jìn)行審核批準(zhǔn)。銷售合同應(yīng)該明確雙方的權(quán)利和義務(wù)，審批人員應(yīng)該對銷售合同草案進(jìn)行嚴(yán)格的審查。重要業(yè)務(wù)或金額過高的銷售合同，應(yīng)征詢法律專家的意見，并實行集體決策審批或聯(lián)簽制度。

3.發(fā)貨環(huán)節(jié)。銷售部門應(yīng)該按照經(jīng)銷售合同開具統(tǒng)一的銷售通知單，發(fā)貨和倉庫部門按崗位責(zé)任制的程序?qū)徍虽N貨通知單，確認(rèn)無誤后嚴(yán)格按照所列的發(fā)貨品種、規(guī)格、發(fā)貨數(shù)量、發(fā)貨方式、規(guī)定時間組織發(fā)貨，根據(jù)實際情況設(shè)計一式多聯(lián)的連續(xù)編號的發(fā)貨單據(jù)，發(fā)貨時由發(fā)貨部門填制，發(fā)貨部門、財務(wù)部門、客戶等各留存一聯(lián)。銷貨通知單在執(zhí)行后應(yīng)該歸入檔案進(jìn)行管理，并應(yīng)由專門人員進(jìn)行定期的核查。在銷貨通知單正式執(zhí)行之前，企業(yè)應(yīng)該根據(jù)需要對發(fā)貨通知單和客戶證實，避免因為執(zhí)行發(fā)貨通知單后客戶取消訂單而發(fā)生的不必要的損失。加強(qiáng)銷售退回管理，分析退回原因，落實責(zé)任，及時妥善處理。財務(wù)部門根據(jù)銷售通知單和發(fā)貨單據(jù)，嚴(yán)格按照發(fā)票管理規(guī)定開具銷售發(fā)票，填制相應(yīng)的憑證，設(shè)置銷售臺賬，實行全過程的銷售登記制度。

4.收款環(huán)節(jié)。收款環(huán)節(jié)是銷售的最終環(huán)節(jié)，體現(xiàn)著銷售工作的優(yōu)劣和成敗，收款環(huán)節(jié)的內(nèi)控有以下關(guān)鍵點：

（1）應(yīng)收賬款的管理。企業(yè)銷售業(yè)務(wù)中賒銷金額記入應(yīng)收賬款科目，在資產(chǎn)負(fù)債表中的流動資產(chǎn)中列示。但它僅僅是賬面上的債權(quán)而不是實物性的資產(chǎn)，往往成了粉飾、調(diào)整報表的工具。而客戶應(yīng)收賬款數(shù)額也是信用部門確定信用限額能否增加、信用能否繼續(xù)的因素，所以應(yīng)完善應(yīng)收賬款管理制度，嚴(yán)格考核和獎罰。應(yīng)收賬款的記錄必須以核準(zhǔn)無誤的銷售發(fā)票或發(fā)貨清單為依據(jù)，防范虛假應(yīng)收賬款被列支。應(yīng)收賬款的各種貸方調(diào)整，比如沖銷壞賬、折扣的實施，須經(jīng)財務(wù)經(jīng)理的批準(zhǔn)才可進(jìn)行賬務(wù)處理。應(yīng)收賬款明細(xì)賬和總賬的登記，應(yīng)由不同的人員根據(jù)原始憑證和匯總記賬憑證分別登記，還要由獨(dú)立于應(yīng)收賬款記錄的其他職員定期核查總賬戶和明細(xì)賬戶的余額。銷售部門負(fù)責(zé)應(yīng)收賬款的催收，財務(wù)部門負(fù)責(zé)辦理資金結(jié)算并監(jiān)督款項的回收。

（2）應(yīng)收票據(jù)的管理。企業(yè)應(yīng)該關(guān)注應(yīng)收票據(jù)的管理，嚴(yán)格審查票據(jù)的真實性、合法性，防止票據(jù)欺詐行為的發(fā)生。企業(yè)還應(yīng)當(dāng)查明票據(jù)的取得、貼現(xiàn)和背書，對于已經(jīng)貼現(xiàn)但是仍承擔(dān)收款風(fēng)險的票據(jù)以及過期票據(jù)，應(yīng)進(jìn)行監(jiān)控和追蹤管理。應(yīng)收票據(jù)應(yīng)由專人保管，取得和貼現(xiàn)應(yīng)由保管人員以外的主管人員進(jìn)行書面批準(zhǔn)。對于即將到期的應(yīng)收票據(jù)，保管人員應(yīng)及時向付款人提示付款。

（3）壞賬的管理。企業(yè)應(yīng)該加強(qiáng)應(yīng)收賬款壞賬的管理。應(yīng)收賬款無法正?；厥盏?，財務(wù)人員應(yīng)該查明原因，確定責(zé)任，并且嚴(yán)格履行批準(zhǔn)程序，按照國家規(guī)定的企業(yè)會計準(zhǔn)則進(jìn)行處理。應(yīng)建立核銷壞賬的備查登記制度，已核銷的壞賬又收回時應(yīng)及時入賬，防止形成賬外資金。

綜上所述，銷售環(huán)節(jié)是經(jīng)營中關(guān)系重大的環(huán)節(jié)，企業(yè)應(yīng)該強(qiáng)化銷售每一個環(huán)節(jié)的內(nèi)部控制程序，減少薄弱環(huán)節(jié)，確保企業(yè)的健康持續(xù)發(fā)展。

（四）信息與溝通與監(jiān)控

信息與溝通（Information Communication）和監(jiān)控（Monitoring）存在企業(yè)銷售業(yè)務(wù)的每一個環(huán)節(jié)中的整個過程，并對其他各要素隨時進(jìn)行修正。例如信用審批，信用部門要與財務(wù)部門和銷售部門進(jìn)行溝通，倉庫要根據(jù)銷售部門的銷售訂單發(fā)貨，同事要與財務(wù)部門和信用部門保持緊密聯(lián)系。

參考文獻(xiàn)

[1] The Committee of Sponsoring Organizations of the Treadway Commission：Enterprise Risk Management Integrated Framework.

[2] 儲稀梁.COSO內(nèi)部控制整體框架背景、內(nèi)容、理論貢獻(xiàn)與啟示[J].金融會計，2004，（6）.