變更管理風險評估
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇變更管理風險評估范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
變更管理風險評估范文第1篇
關鍵詞:網絡環境;內部控制;風險評估
在“COSO內部控制整體框架”理論中,財務風險評估機制是內部控制的關鍵要素。風險評估是識別、分析相關風險以實現既定目標,是風險管理的基礎。因此,如何辨識、分析與管理財務風險,成為企業內部管理的關鍵。信息技術的發展,給企業帶來了競爭優勢,同時也給企業的內部控制,特別是財務風險評估及風險評估機制的建立和管理帶來困難。
一、網絡環境下財務風險評估存在的問題
在網絡環境下,雖然企業的整體目標沒有發生變化,但是企業經營管理的外部環境與內部因素都發生了變化。伴隨者業務流程的重組,系統的開放性、信息的分散性、數據的共享性,使系統從以往封閉的集中狀態走向開放,網絡帶給企業的財務風險主要表現在以下幾個方面:
1.授權方式的變化帶來的潛在風險。由于財務信息的開放性和保密性,系統程序員、系統操作員、系統分析員、網絡系統維護員等各類人員對其權限內的工作都設置一定的口令或密碼,但是他們的工作態度、責任心、業務水平參差不齊,一旦系統操作員不懷好意,擅自改變他人的口令或密碼,改變他人的權限,勢必造成網絡系統管理混亂,從而給網絡環境下會計信息帶來風險。
2.內部控制計算機程序化的風險,有可能導致同一種差錯反復發生。網絡環境下的內部控制,在很大程度上取決于這些會計信息系統中運行的程序的質量。一旦這些應用程序中存在嚴重的漏洞或惡意的“后門”,就會嚴重危害系統安全。
3.原始憑證數字化,使得會計信息被篡改或偽造。隨著電子商務的發展,一些單位的原始憑證也如同記賬憑證、會計賬簿或報表一樣,已實現數據化、電子化,即以數據形式存儲在磁(光)性介質上,這種無紙憑證極其容易被竄改或偽造而不留痕跡,它弱化了紙質原始憑證所具有的較強的控制功能,給內部控制帶來了新的問題。另外,磁性介質容易遭到破壞,一旦受損,又很難修復,這更使數據化的信息丟失或毀損的風險加大。
4.網絡環境的開放性加劇了會計信息失真的風險。由于網絡環境具有開放性等特點,在這個環境中一切信息在理論上都是可以被訪問到的,除非他們在物理上斷開連接。網絡環境下的會計信息系統很容易被黑客訪問或遭到病毒的攻擊,這種攻擊,可能來自企業外部,也可能來自企業內部,而且一旦發生將造成巨大損失。
綜上所述,網絡環境下出現的新問題主要是網絡信息安全而造成的企業內部控制風險。因此,加強信息環境下企業內部控制風險管理主要在于加強對網絡信息安全的管理。
二.網絡環境下健全財務風險評估機制的主要對策
1.加強程序開發管理
首先,加強信息系統開發或采購的項目審批管理。公司要建立信息系統開發技術規范與流程,保證信息技術系統的開發或采購都通過適當的用戶部門管理層和企業信息化部門管理層的審批,以確保新系統開發的可行性、與現有系統的整合性以及符合報告披露的目標。重要的信息技術基礎設施和信息系統的采購、開發須在相關用戶部門、企業信息化部門、本公司管理層或上級公司審批同意后,才可以開始正式執行。
其次,加強信息系統開發管理。對于涉及財務、運營等關鍵數據的系統開發項目,公司需對自行開發和外包合作開發等方式采用公司統一的信息系統開發方法和項目管理方法,并制定相應實施標準以確保執行。信息技術系統項目開發過程中,公司應當明確項目管理部門(組),由項目管理部門(組)監控項目的進展情況。預算要求、需求說明、項目關鍵報告等文檔須經項目工作組審閱,并進行歸檔保存。
再次,加強信息系統開發測試管理。在開發信息技術系統的過程中,項目管理部門(組)對測試結果必須集中歸檔保管,對系統層面和用戶層面的測試要求進行書面記錄并最終達到測試要求。測試后信息技術人員及用戶部門對測試結果進行書面確認,并進行項目歸檔保存。項目管理組對新上線的信息技術系統在實施后進行終驗,以確保新流程及相關控制的正確運行和操作。相關部門審閱終驗報告,跟進和解決遺留的問題,并書面確認該系統已達到功能和控制上的預定要求。
2.加強信息安全管理
首先,要加強信息系統安全管理。公司應建立相關信息安全職能,并制定相應的組織結構圖及部門、人員職責描述文檔。公司應制定正式并經過管理層批準的信息系統安全政策,范圍包括所有涉及財務、運營等關鍵數據和程序的信息技術環境(例如網絡安全、物理安全、操作系統安全、應用程序安全等方面)。用戶和信息技術人員都應知曉本公司的信息系統安全政策。
其次,應加強用戶賬號的管理。用戶賬號的權限管理,公司應建立用戶及其權限設置的管理流程,用戶創建和授權必須通過相關領導審批后,方可由系統管理員在系統中創建用戶賬號。網絡管理員用戶賬號的使用僅限于已授權人員,這類用戶賬號的授權須經用戶部門管理層和企業信息化部門管理層的書面授權審批。業務信息系統用戶賬號訪問權限,應根據相應管理流程經相應用戶部門管理層審批后由系統管理員分配。對于超級用戶等特權用戶,企業應對其在系統中的操作全程進行監控。企業信息化部門分管人員必須對網絡管理員賬號和訪問權限以及業務系統用戶賬號和訪問權限進行定期審閱,以發現任何不合適的訪問權限。發現的問題要及時與用戶部門確認,跟進解決。公司在內部網絡與互聯網或其他外部網絡的網絡連接處安裝防火墻,以防止對公司內網絡的非法訪問。
3.加強系統運行安全管理
首先,應加強系統運行及作業計劃控制。公司應對重要的信息技術領域中的崗位和職責進行定義。崗位和職責的定義必須能夠滿足職責分工的要求。信息技術人員必須制定合適的系統維護作業安排計劃和管理作業計劃,包括作業優先級、授權流程及突發作業處理。對于作業執行,存在一定機制確保每個作業能夠按時正確完成,在發生異常時能及時得到處理。只有授權的人員可以安排作業計劃,作業安排計劃由相關主管人員審批后,由系統管理員或值班人員按計劃執行作業。系統的自動作業在系統中留有運行日志記錄,手工作業的執行結果在值班日志上進行記錄,日志記錄應由信息技術人員定期檢查并書面確認,以保證作業的正常執行。這些記錄必須包含作業運行中的非正常和失敗事件。
其次,應加強系統備份控制。企業信息化部門應考慮系統設備的重要性及恢復成本,制定備份策略。在備份策略中說明備份范圍、備份頻率以及備份數據保存時間等內容,用戶部門對備查策略參與意見。備份策略由企業信息化部門負責人審核后報公司管理層審批。對系統設備的數據備份保留備份日志(自動或手工記錄),備份運行人員定期復核備份日志,以發現備份錯誤或其它異常現象并及時跟進解決。
再次,應加強問題管理。應使用自動監控軟件或分配專人對生產環境進行監控,及時發現系統故障。監控結果必須有日志記錄,并有相應的故障上報及跟進制度,保證問題的及時解決。用戶報告的系統故障和問題,必須集中記錄,由信息技術人員對這些故障或問題進行監控并及時跟進解決。企業信息化部門在用戶電腦上安裝反病毒軟件,實現自動掃描和實時更新病毒庫。
首先,應加強變更需求管理。變更需求的發起部門需要填寫正式的變更申請文件,描述變更申請的原因、變更影響的系統、變更影響范圍、變更說明等進行評估,以保證其能夠滿足業務及應用系統的控制要求,提交企業信息化部門主管人員與變更影響部門主管人員審批。對信息系統的重要變更必須形成正式文檔,并在變更實施前得到企業信息化部門主管人員的書面批準。變更文檔和主管人員的書面批準必須存檔保管。
其次,應加強配置變更管理。所有對系統的配置變更必須形成正式文檔,并在變更于生產環境中實施前得到用戶部門及企業化部門主管人員的批準。變更文檔和主管批準必須存檔保管。企業信息化部門或用戶部門提出配置變更的計劃及方案,向企業信息化部門或用戶部門主管通過書面方式提出申請,并依據配置變更的性質、影響范圍等情況在。
再次,應加強緊急變更管理。公司必須建立應急變更管理流程,對應急變更的流程及范圍進行定義,并傳達至相關的企業信息化部門及用戶部門。緊急變更必須在變更實施前得到企業信息化部門主管人員的同意,并在實施前得到企業信息化部門主管人員的正式確認。緊急變更需在變更實施前進行變更的測試(如為配置變更,可根據需要決定是否測試),其結果需包含在變更報告中,得到企業信息化部門主管人員的書面確認。
參考文獻:
[1]胡為民,內部控制與企業風險管理-實務操作指南[M],電子工業出版社,2007(4)
[2]張蕾,IT環境下基于風險管理的企業內部控制研究[D]上海財經大學,2007,185-202
[3]陳志斌,信息化生態環境下企業內部控制框架研究[J],會計研究,2007(1):16-25
[4]劉志遠,網絡技術條件下的企業內部控制[J],會計研究,2001,(12):18-23
[5]吳水澎、陳漢文、邵賢弟:《企業內部控制理論的發展與啟示》[J],會計研究,2000,(5):12-18
變更管理風險評估范文第2篇
云會計環境下AIS內部控制有別于傳統的信息系統內部控制,其內部控制應當遵循成熟完備的理論體系進行設計、運行、維護。本文從內部控制的五個要素分析云會計環境下AIS內部控制現狀及其存在的問題。
(一)控制環境與云會計要求不匹配
企業選擇了適合自身財務、業務、管理需求的會計云服務,還要考慮現有AIS控制環境與其適應程度。從AIS控制環境要素角度來看,在組織架構層面,AIS事項處理、數據存儲、更新維護地點由企業內部遷移到云端,加之云會計具有高度自動化的財務業務事項分析處理能力,使得企業能精簡信息技術人員與財會人員,優化組織架構,從而大大節約成本。但是,同時會增加過度依賴AIS自動化控制而導致控制失效風險;在發展戰略層面,企業定制的會計云服務始終處于動態變化之中,日常功能需求變更與版本升級較為頻繁,有些變更甚至對企業不可見,企業難以對AIS變更實施有效的授權審批控制,使得企業在AIS發展戰略制定與實施上處于被動局面;在人力資源層面,企業財務人員的信息化技術水平大多限于熟練操作AIS,對云會計環境及其風險不甚了解,增加了不能及時發現AIS漏洞與異常的風險。
(二)風險評估機制不完善
風險評估應當貫穿于AIS內部控制的始終,是全員、全過程、全方位的風險管理機制,然而在企業AIS內部控制設計中往往未建立起實時有效的風險評估機制,即使設計有效,在實際運營管理中也難以做到有效運行。其原因是,第一,管理層不重視風險評估。會計云服務可以在云端自動定期維護與更新升級,減輕了管理層對AIS更新與維護的關注程度,也增大了由于盲目自動更新造成AIS內部控制未能及時對更新作出相應調整,而造成設計失效風險。第二,缺乏對云會計環境下AIS及時有效的可信性評估。AIS可信性作為對AIS自動化控制和人工控制的有效性的綜合衡量標準,可以表述為AIS對會計信息的輸入、處理和輸出流程符合AIS用戶的預期,以及AIS產生的會計信息所具有的相關性和可靠性等會計信息質量特征符合會計信息使用者的預期。在動態多變的云會計環境下,限于云會計的服務模式和企業員工的信息化技術水平,業界和學界缺乏合理有效的可信性評估方法,企業難以及時準確地了解所購買的會計云服務可信性水平如何,影響風險評估的實時性、有效性。
(三)控制活動風險變化適應不夠
云會計業務模塊復雜調用與數據傳輸、企業使用的服務和存儲的數據存在于云端大資源池內等新情況的出現,使得相比傳統AIS,開放動態的云會計環境下企業AIS控制活動風險點發生變化。企業集團和其下屬子公司分別根據其自身業務范圍選擇購買會計云服務,免去統一配置AIS造成的信息化資源浪費,然而又增加了各個云會計服務模塊之間數據傳輸、業務處理的復雜性,從整個集團的視角來看,控制活動路徑更長。因此,集團層面控制管理成為云會計下AIS控制活動風險關注要點。眾多使用會計云服務的企業數據在云端交互、存儲,構成了大數據資源,經由數據挖掘等技術處理后可以支撐企業預測、決策、財務預警等關鍵控制活動,然而這些數據的取得需征得數據源企業同意,其可用性、可靠性也成為控制活動關鍵風險點。
(四)信息與溝通效率不高
云會計環境下,AIS的安全性成為企業選擇云會計產品時關注的要點。在系統層面,企業購買的各個會計云服務模塊功能相互勾稽,數據大量傳遞,安全性水平不僅取決于模塊內部信息處理,還取決于模塊之間信息溝通網絡結構的優良程度和聯通程度,以及模塊內、模塊間信息溝通的有效性。在數據層面,企業將大量財務數據與業務數據集中存儲于云端存儲設備中,數據、指令等重要信息與云端服務器進行交互,這些數據在開放動態的云會計環境下的安全性水平直接影響AIS內部控制信息溝通效果。
(五)缺乏對控制及時有效的監督
會計云服務通過動態定制模式整合,復雜多變的AIS服務模塊組織等增加了AIS可信性的不確定性,從而提升了AIS內部控制的監督與評價風險。在動態定制模式下,服務模塊、服務功能處于動態變化之中,而AIS內部控制監督反應相對滯后,難以及時做出相應調整以根據當前風險點進行有針對性的監督。同時,在監督策略方面,企業缺乏合理有效的可信性評估方法,也少見可信性第三方評估機制,不便于企業實時了解AIS可信性狀況,以對AIS內部控制設計和運行的有效性及時監督和改進。
二、云會計環境下AIS內部控制完善措施
(一)控制環境要符合云會計的要求
企業選擇云會計產品時應當關注其與當前AIS控制環境的適應程度,如果企業通過調整控制環境仍未能達到AIS對控制環境的要求,則不予考慮購買該云會計產品。例如對于信息技術水平較低的企業,應選擇服務穩定性高、程序變更對用戶透明度高、重要變更提交用戶審核的云會計產品,便于企業及時調整AIS內部控制以適應該變更,把握AIS發展戰略制定與實施的主動權。在數據處理高度集中的云會計下,雖可以精簡人員、機構,但要嚴格做到不相容崗位相互分離,明確崗位職責權限,將分級管理與授權審批相結合。同時,應注意對財務人員信息技術技能方面的培訓,使其具備信息管理、應對突發事件、對交易處理復雜數據的核查等能力,及時發現AIS故障和弊端,向云端反饋以將損失降到最低。
(二)建立基于可信性評價的風險評估機制
業界與學界應加快與云會計相適應的可信性評價方法研究,充分考慮云會計自身特點和其應用領域的行業特性,有針對性地對AIS進行可信性評價。及時有效的可信性評價結果可以為企業AIS風險評估提供強有力的支持證據,彌補當前AIS風險評估中量化標準較少、可比性差等不足。建立起基于可信性評價的風險評估機制,企業風險管理部門應定期向可信的第三方評估機構獲取當前AIS可信性狀況的評價報告。當企業內部管理流程、組織架構、AIS程序面臨較大變更時,也應獲取該時點的AIS可信性評價報告,以分析判斷當前AIS內部控制設計和運行的有效性,確定風險敞口大小是否超過或將可能超過風險容限,并及時制定應對措施,形成AIS風險報告并匯報給風險管理委員會,供董事會和股東大會決策。
(三)控制活動重點關注云會計下新增控制點
傳統的控制活動風險點如授權、職責分離等仍是云會計下AIS控制活動應關注的控制要點,企業根據自身AIS內部控制健全程度選擇相應可信等級的云會計產品,可信性等級越高,AIS自動化控制層面的內部控制越完善,降低由于人工控制設計不合理、人員素質不高等因素導致控制運行失效的風險。例如符合基本可信屬性的AIS對相關業務的會計和稅務處理要符合會計法、稅法、會計行政法規和國家統一的會計制度等要求,即滿足合規性。在基本可信屬性的基礎上,滿足關鍵可信屬性如風險可控性、決策支持性,如果還能滿足增強可信屬性如可審計性和稅收可稽查性等,AIS就具有很高的可信性水平。集團層面控制管理應關注在動態定制模式下,企業信息資源的有效整合分析,以及總部對分子公司財務、業務狀況的分析管控是集團層面應用云會計的關鍵控制點,企業應當選擇當分子公司定制不同服務時,能夠提供集團管控層面解決方案的會計云服務組合。云會計下,企業的數據中心與網絡運營均位于云端資源池中,這些信息對其他云會計用戶的可見性關系到企業的信息安全,供應商不得在未征得企業授權的情況下使用、泄露企業信息。如果云端所有用戶都不愿將自身數據用以數據分析,也就不存在云端大數據分析的數據來源,造成了數據資源的浪費。因此,企業應適當將非敏感數據授權給供應商進行大數據分析,而不是讓其他企業直接使用自己的原始數據,這樣就對云會計供應商的誠信與可靠性提出了更高要求。
(四)提高信息溝通的效率和有效性
企業選擇云會計產品應當關注該服務的動態部署和模塊間信息溝通能力。例如,會計云服務在動態組合時是否能建立抗攻擊性強的模塊網絡拓撲結構,模塊之間信息溝通是否有標準化的數據接口對接,AIS的設計是否滿足相關財務軟件規范文件要求,更換服務或供應商時數據的可遷移性以及遷移和轉換成本等。同時應特別關注信息與溝通中的數據安全,自動化控制層面應當確保指令、數據等關鍵信息在傳輸、處理、存儲過程中處于安全環境下,避免核心財務數據遭黑客盜竊、供應商有意無意泄露信息等情況的出現;人工控制層面建立與AIS相適應的權限與職責分工,保證通暢有效的信息溝通與信息的真實可靠性。
(五)強化內部稽核、內部審計等監督機制
變更管理風險評估范文第3篇
關鍵詞:測試風險管理;風險管理;軟件測試
中圖分類號:TP311文獻標識碼:A文章編號:1009-3044(2012)11-2518-03
軟件本身的復雜性以及測試本身的特性決定了測試活動實施過程中風險的大量存在,而風險會影響測試活動的成敗,嚴重時還可能導致整個項目的失敗。因此,對測試風險的管理越來越引起人們的重視。
1風險存在的必然性
軟件測試項目的風險來自于軟件和測試自身的特點。
1.1軟件的特點
1)軟件產品是不可見的:軟件項目的開發進度和軟件質量管控過程是否符合標準很難衡量,使得軟件的管理也難于把握;
2)軟件生產過程形式多樣,不存在絕對正確的形式:不同的軟件開發項目,應采取不同的或者特定的軟件開發過程。但在項目開發之初卻不能確定正確的形式,只能根據項目的特點和開發經驗選擇,并在開發過程中不斷的調整,真正適合該軟件的開發過程只有在項目開發結束才能確定;
3)大型軟件項目往往是“一次性”:項目一次性的特點使得過去的經驗不能被廣泛的借鑒。控制軟件管理風險的唯一途徑是設立監測系統,開展有效的風險監控和管理。
1.2測試的特點[1]
1)完全測試是不可能的:在有限的資源和時間條件下,找出所有的軟件缺陷和錯誤,使軟件趨于完美是不可能的,主要原因為是輸入量太大、輸出結果太多、路徑組合太多;
2)測試具有病毒一樣的免疫性:軟件缺陷具有病毒一樣可怕地免疫性,對其采用的測試越多,免疫能力就越強,軟件測試工程師想要找出更多軟件缺陷就更加困難;
3)測試是“泛型概念”:軟件測試涵蓋需求分析、概要設計等在內的整個軟件生命周期,以確保每一個階段都經住考驗;另外,測試自身也需要來自第三方的評估和監督,以確保測試的可靠性;
4)80-20原則:80%的軟件缺陷常常生存在20%的軟件模塊中。我們在系統分析、系統設計、系統實現階段只能檢測和規避80%的軟件缺陷。在下一步的系統測試中,可以幫助我們找到剩余缺陷的80%,剩余4%的缺陷只有在系統交付使用后經過大范圍長時間使用后才會暴露出來。所以,軟件測試只能保證盡可能多的發現軟件缺陷,卻無法保證能夠發現所有的軟件缺陷;
5)缺陷的必然性:由于軟件測試中錯誤的相關性,并非全部的軟件缺陷都能夠被成功修復。在缺陷的修復過程中會不可避免的引入新的錯誤,另外,在修復的過程中,我們往往還會受到時間、成本等各方面因素的限制,導致最終不可能完全的修復所有的軟件缺陷。
2風險的評估
風險的管理基本的內容有兩項:風險評估和風險控制。
風險評估是在風險識別的基礎上,對識別出來的風險進行評估,主要從下列四個方面入手[2]:
1)風險概率分析,即對風險發生的可能性設置一個尺度,如很高、較高、中等、較低、很低等;
2)描述風險并預測風險發生后,對軟件產品和測試結果可能產生的影響或造成的損失等;
3)確定風險評估的正確性,要對每個風險的表現、范圍、時間做出盡量準確的判斷;
4)根據損失(影響)和風險概率的乘積,來確定風險的優先級別,定制風險應對措施。
3風險控制的原則
風險控制是建立在風險評估的基礎之上的,主要工作原則有[2]:
1)針對有些可以避免的風險,例如測試用例執行率未達到100%,可以通過制定測試規范,要求測試人員嚴格按照測試用例執行測試,并記錄用例執行情況,來避免該類風險;
2)有些不可避免的風險,采取措施降低風險,尤其是等級較高的風險,將其轉化為不會引起嚴重后果的等級較低的風險;
3)凡事預則立,事先做好風險管理計劃,當風險成為現實時,可以更好的避免、轉移或減低風險;
4)對風險的處理制定應急、高效的解決方案。
4軟件測試風險分析與管理方法
軟件生命周期包括問題定義及規劃、需求分析、軟件設計、程序編碼、軟件測試和運行維護六個階段,而軟件測試前面的任何一個環節的不嚴謹都可能增加軟件測試活動的風險。軟件測試活動中也存在各種各樣的風險,其中常見風險有需求變更風險、測試過程風險、測試組織和人員風險。
4.1需求變更風險
在軟件測試項目尤其是歷時較長的大項目的實施過程中,總會不可避免的出現需求的變更。如何把握好需求的變更,減少需求變更帶來的風險,成為影響整個項目成敗的關鍵。
4.1.1軟件測試項目需求變更的管理[3]
1)設定需求變更的參考標準,將需求基線。當軟件測試項目組確認要產生需求變更時,用標準的變更申請表格將委托方的變更申請記錄存檔。每次的變更都應在需求基線的基礎上進行。
2)軟件測試項目組收到委托方提交的需求變更申請后,成立項目變更控制委員會(CCB),負責對項目變更所帶來的影響進行評估,包括測試項目的人力、物力、資金、管理、時間、質量、工作負荷等內部因素,以及資本、委托方要求的完工時間、項目負債情況等各個方面的影響。
3)變更確定后,選擇可行的實施方案。為了將項目變更的風險降低到最小,力求在盡可能小的變動幅度內對測試項目的目標、預算、團隊以及項目的進度等主要的因素進行微調。
4)需求變更后,要重新確定新的需求基線;受影響的軟件計劃、產品、活動等也要進行相應的變更,以保證和最新需求的一致性。
4.2測試過程風險
在測試工作中,主要的風險有[4]:
1)需求的臨時或突然變化,導致設計的修改和代碼的重寫,使得測試時間不夠;
2)測試用例沒有得到100%的執行;
3)質量需求或產品的特性理解不準確,造成測試范圍分析的誤差,結果某些地方始終測試不到或驗證的標準不對;
4)質量標準不都是很清晰的,如適用性的測試,仁者見仁、智者見智;
5)測試用例設計不到位,忽視了一些深層次的邏輯、邊界條件、用戶場景等;
6)測試環境與實際生產環境一般情況下都不可能完全一致,造成測試結果的誤差;
7)有些缺陷出現頻率不是百分之百,不容易被重現;如果代碼質量差,軟件缺陷很多,被漏檢的缺陷可能性就大;
8)回歸測試一般是選擇性的執行部分測試用例,必然帶來風險。
前面3種風險可以通過前期調研人員或測試人員與客戶加強溝通或者制定嚴格的制度來避免的,而針對有些不可避免的風險,采取一些有效的測試風險控制方法來盡量降低風險,例如測試環境不正確,可以通過事先列出要檢查的所有條目,在測試環境設置好后,由其他人員按已列出條目逐條檢查;針對程序中總是存在的“未發現的缺陷”,可以通過提高測試用例的覆蓋率(如達到99.9%)來降低這種風險;針對經常出現的產品前夕,在某個不是很重要的新功能上發現一個嚴重缺陷的問題,可以通過去掉該新功能來轉移因為修改此缺陷可能引起的某個原有功能上的缺陷的風險。回歸測試只執行部分用例帶來的風險是可以避免的,但出于時間或成本的綜合考慮,一般是存在的。
提前做好風險管理計劃和風險控制策略,可以更好的避免、轉移或者降低風險:
1)在執行項目計劃,做資源、時間、成本等的估算時,要留有余地;
2)在項目開始前,制定風險管理計劃,重點把握邊界上可能會出現變化、難以控制的因素;
3)重視人員隊伍的培養,對每個關鍵性技術崗位人員培養后備人員,確保項目不受人員流動的嚴重影響;
4)制定工作機制和文檔標準,保證文檔的及時產生,便于項目知識的分享和移交;
5)對工作進行相互審查,不同的測試人員在不同測試模塊上相互調換,及時發現問題;
6)日常跟蹤所有工作過程,及時發現風險的跡象,以避免風險。
4.3測試組織和人員風險
4.3.1測試組織風險
測試人員不獨立于開發者,測試人員獨立與開發者的程度將影響測試結果。
1)成立專門的測試組織;
2)制定專門的測試管理流程和質量保證手冊,規范測試過程,保證測試的質量;
3)委托專門的測試組織執行測試活動。
4.3.2人員風險[4]
測試項目尤其是周期較長的項目幾乎不可避免的要面臨人員的流動,從而增加項目失敗的風險系數。及早預防是降低這種人員風險的基本策略。下面從第三方測試的角度具體介紹一下人員風險的控制方法:
1)指派一名項目副經理或項目經理助理協調項目經理管理項目工作,降低關鍵崗位人員流動的風險。但是一般只建議在項目經理這種比較重要的崗位采用這種冗余復制的策略來預防人員風險,否則將大大增加項目成本;
2)建立良好的文檔管理機制,包括項目組進度文檔,個人進度文檔(測試日志)、版本控制文檔、整體技術文檔(測試策略、測試用例)、個人技術文檔(測試執行記錄、缺陷報告)等。一旦出現人員的變動,替補組員能夠根據完整的文檔盡早接手工作;
3)控制項目團隊中外包或兼職人員的比例,且項目核心部分的工作應該盡量由全職人員來擔任,以減少兼職人員對項目組人員不穩定性的影響;
4)加強測試項目組內的技術交流,定期召開項目例會,使測試組成員能夠相互熟悉對方的工作和進度,能夠在必要的時候接替對方工作;
5)為項目測試工作的開展提供盡可能好的基礎環境,比如待遇、項目組內良好的人際關系和工作氛圍等。良好的工作環境對于穩定項目組人員以及提高生產效率都有不可忽視的作用。
4.3.3外包人員風險
1)制定相關的管理流程文件,規范外包人員的活動,防患于未然,規避外包風險;
2)通過外派監管團隊的方式對整個測試活動進行監控;
3)通過對測試活動的中間交付物進行檢查保證測試的質量,例如:對設計的測試用例進行評審、對編寫的測試代碼進行抽查、檢查測試執行的日志等;
4)對于外包測試的形式,除了避免承包方項目人員的泄密,還要注意雙方數據傳輸過程中的信息保密。在采用外包測試的時候,不可避免地要進行各種信息的傳送,可能是雙方的電話、E-Mail交流,也可能是軟件版本的傳輸,在條件允許的情況下要盡量使用VPN等方式。如果有必要,對傳輸的數據要進行加密。
5結束語
測試過程中的風險總是存在的,該文對測試活動中主要的風險進行識別和控制,并確定針對性措施,避免風險發生,或者把風險降到最小。要想做好風險管理工作,就必須徹底改變測試項目的管理方式,建立防患于未然的管理意識,并結合具體的實踐工作不斷地分析遇到的風險,總結各種風險的應對措施,指導實踐,降低產品質量風險。
參考文獻:
[1]張華.軟件測試的常識[EB/OL].省略/html/2010-01-13/100144.htm.
變更管理風險評估范文第4篇
【關鍵詞】施工項目;工程造價;風險管理;造價管理
一、工程概況和現階段工程造價管理問題
(一)工程造價管理現狀中存在的主要問題
當前,在對工程造價進行管理的過程中,在項目定額方面經常會出現項目定額與項目實際施工情況不相符、定額標準不統一以及在對定額項目進行執行的過程中,甲乙兩方對定額項目意見不統一,存在分歧等問題,對工程造價管理造成一定影響。并且,由于企業造價管理工作人員素質和能力有限,其造價管理工作尚停留在簡單的識圖、算量、套定額、取費、和計算總價的工作方式上,既沒有對現代化的計算機技術和信息技術進行有效應用,也未實現工程造價的全過程管理,導致造價管理工作效率有限。
1、沒有對工程設計環節進行有效管理
工程設計環節也是工程造價管理工作中較為重要的環節之一。但是在當前的工程造價管理中,由于我國房地產企業對工程施工前的管理工作不太重視,所以房地產企業在對工程造價進行管理的過程中,經常忽略了對工程設計的管理。比如在該工程的工程設計中,便全權交由建筑施工企業進行管理,其不僅對工程造價管理造成影響,還會在一定程度上為工程施工留下安全隱患。
2、對施工企業施工準備工作監管力度不夠
在實際施工中,施工企業通常只是簡單的走個形式,并沒有細致的對施工材料、施工人員以及施工設備進行檢查。更重要的是,施工企業施工準備工作流于形式,而房地產企業也不對施工企業的施工準備工作進行有效監督,進而導致在施工過程中,經常性出現材料準備不足,施工設備沒有就位以及施工人員不全等問題,影響工程施工的順利進行。在該工程的施工中,就因為施工準備工作不到位,出現一次因為施工設備為進場和一次因為施工材料未準備齊全而延誤工程施工的情況。
3、管理人員專業能力低下
由于一直以來我國房地產企業都沒有對工程造價管理引起足夠重視,工程造價管理方面投入資金不足,管理人員待遇不好,所以導致企業內部工程造價管理人才匱乏。當前,我國房地產企業的工程造價管理崗位上的管理人員根本就不具備高效的管理能力,專業素質低下,技術水平也達不到要求,勝任不了工程造價管理工作。在該工程的工程造價管理工作就能夠看出,在工程造價管理工作中,部分管理人員工作不稱職,敷衍了事,導致工程造價管理工作效率低下,在一定程度上對工程造價管理造成影響,限制了企業經濟效益的進一步提升。
二、施工項目工程造價風險管理流程和風險評估體系的構建
(一)施工項目工程造價風險管理流程
在當前的工程造價風險管理工作中,其風險管理工作流程主要可分為三個階段:第一階段,對工程造價管理工作中的風險進行評估,通過風險分析和風險評價來對風險可能造成的影響進行系統評估,并對風險標準和風險值進行排序。第二階段,有針對性對風險進行有效控制,盡可能降低風險所造成的經濟損失。第三階段,制定相應的風險控制決策,并對其決策進行有效實施 [2]。
(二)構建風險評估體系
在工程造價管理工作中,為了能夠對風險進行有效控制,應該建立風險評估體系,其體系主要結構,如圖1所示。
圖1施工項目工程造價風險評估體系
1、社會政治風險
當社會政治和經濟發生變化,比如通貨膨脹、利率調動和相關政策變更等都有可能給房地產企業工程造價管理帶來一定風險。
2、施工企業風險
當施工企業拖延施工工期,施工管理工作不到位導致工程造價上漲等會給企業工程造價管理帶來風險。
3、決策管理風險
房地產企業自身在經營和管理工作中做出錯誤決策或者是管理工作落實不到位,會形成風險。
4、自然環境風險
自然環境發生變化,比如地震、強降雨、暴風等不可測自然因素,也會給企業工程造價管理帶來風險。
5、工程技術風險
不同的施工技術和施工流程,會對工程施工造成一定影響,也會對工程造價造成影響,形成風險。
(三)工程設計變更風險
在對工程造價進行有效管理的過程中,一定要對工程設計進行嚴格控制,避免工程設計變更風險的出現,否則,將對工程造價管理造成較為嚴重的影響。 雖然,在整個工程建設成本組成中,工程設計費用僅占成本的1%左右,但是其對整個工程造價的影響卻非常明顯。據有關資料統計,在工程項目設計階段,其設計對工程造價管理的影響高達75%,而在工程施工技術設計階段,其對工程造價管理的影響也高達50%。由此可見,在工程造價管理中,對工程設計進行嚴格管理和控制所具有的重要作用。對工程設計管理,其管理目標就是避免工程設計變更,為此,在工程設計階段,設計人員應該深入工程施工現場,并與施工技術人員進行充分接觸,在充分了解工程地質和施工特點的基礎上對工程進行合理設計,確保一次成型,避免后期發生變更。
三、施工項目工程造價風險管理的有效措施
(一)材料采購環節
材料費用在工程造價中占據比例巨大,因此,對材料費用進行嚴格控制,對降低造價管理風險的最佳措施。在該環節,房地產企業應該在參考工程設計的基礎上,合理確定材料數量,并通過貨比三家購買性價比最高的材料[3]。另外,還應該對材料的保存進行嚴格控制,尤其是易腐蝕和磨損的材料,避免材料損害而增加成本。在該工程中,由于房地產企業對材料環節進行了嚴格控制,最終節省了至少7.5萬元的工程成本。
(二)工程施工環節
在工程施工環節,出了要避免出現延誤、錯誤施工和材料浪費等問題,還應該在基于風險評估體系基礎上對工程造價管理風險進行有效評估,盡可能規避掉風險,或通過預防措施將風險損失降至最低。為此,首先,企業應該聘請專業監理工程師對工程施工進行監理;其次,企業應該嚴格制定相應的預防措施,尤其是針對社會政治風險和自然環境風險兩種不可測風險的預防措施,盡可能降低風險損失。在該工程中,該方面做的便很好,幾乎未因此而造成損失。
(三)竣工結算環節
在工程竣工結算環節,為了避免出現風險,首先,房地產企業應該對施工前、施工中簽訂的合同進行詳細核對,避免出現細節上的錯誤,在后期導致額外的簽證和變更費用,甚至是工程索賠。其次,工程竣工結算一定要以事實為依據,切實反映實際成本,讓經濟利益的雙方都了解到該工程的造價問題,以避免日后出現糾紛。當前,由于相關法律犯規逐漸完善和雙方企業對此越來越重視,在該環節很少出現問題,比如在該工程中,該環節就未出現問題。
結束語:
工程造價管理是確保工程項目施工能夠順利進行和企業經濟效益得到最大限度提升的基礎保障,而在工程造價管理工作中,難免會出現相關風險。因此,為了確保企業經濟效益的最大化,房地產企業一定要對工程造價風險管理引起足夠重視,并通過采取相應的管理措施對風險進行有效控制。
參考文獻:
[1]饒虹.業主在工程量清單計價下的工程造價風險控制[J].管理論壇,2010 (3).
變更管理風險評估范文第5篇
第八屆全國農藥登記評審委員會第十三次全體會議于 2013年7月31日在北京召開。會議應到委員36人,實到委員29人,符合《全國農藥登記評審委員會章程》規定,評審結果有效。會議評審了申請正式登記的農藥產品,研討了農藥登記管理工作中遇到的問題。現就有關情況紀要如下。
一、申請正式登記產品評審情況
本次會議共審議農藥品種 18個(含 12個新產品,6個復審產品),其中殺菌劑 4個、殺蟲劑 2個、除草劑 10個、衛生殺蟲劑 2個,共涉及30個產品。委員們經過認真細致評審,同意硼酸鋅等10個品種正式登記;環丙唑醇等4個品種需補充有關資料,并經相關專業組審核符合要求后,同意正式登記;暫不同意喹草酸等4個品種的正式登記(具體評審意見見附表)。
二、農藥登記管理有關問題的討論意見
(一)關于蠅香產品登記管理問題
根據委員會第十一次會議建議,農業部農藥檢定所組織有關專家開展了蠅香產品風險評估,向本次大會提交了《蠅香對使用人群健康風險評估報告》。評估結果表明,蠅香對使用者的健康風險是存在的,室內使用風險不可接受,室外使用風險可接受。委員們一致認為,這是我國首次對衛生殺蟲劑產品開展人類健康風險評估,評估過程公開、透明、企業參與,調研數據充分,評估方法科學,評估結果可靠。對于該產品是否可以進行“室外使用”登記,委員們意見不一致。多數委員認為,雖然該產品室外使用的風險可接受,但由于其具有驅蚊功效,主要在南方地區農村使用,許多留守老人、婦女和兒童文化程度低、保護意識弱,難以確保其僅在室外使用,且室外使用的場合非常有限,不能因部分地區仍有該產品銷售使用而倒逼主管部門登記認可,建議不予登記。少數委員認為,主管部門應尊重風險評估結果,充分考慮市場有需求的現狀,疏堵結合,允許室外使用登記,同時規范質量規格、包裝、標簽等技術要求,加強市場監管,降低安全風險。為此,評審委員會建議部種植業管理司會同農藥檢定所,研究提出處理意見報部領導審定。
(二)關于甲磺隆等3種長殘效除草劑登記管理問題
根據委員會第十次會議精神,委員們審議了對甲磺隆、氯磺隆、胺苯磺隆等3種長殘效除草劑的管理措施,形成并一致通過以下建議。
1.禁止含氯磺隆的產品在國內使用,2013年 12月 31日前撤銷含氯磺隆的產品登記證。
