上海世博會風險研究

1、上海世博會風險研究文?吳忠?,IEXPO.-刪愛知世博會會徽和吉祥物kict?【世博論壇】上海世博會隨著我國社會主義市場經(jīng)濟的持續(xù)發(fā)展,中國會展業(yè)正以年均20%至30%的速度高速增長.由于會展產(chǎn)業(yè)能夠創(chuàng)造高額的經(jīng)濟價值,提供廣泛的就業(yè)機會和拉動社會綜合經(jīng)濟指數(shù)的增長,因此,"2008年奧運會"和"2010年世博會"兩大"重量級"會展項目相繼申辦成功,更使中國會展市場再次成為政府,社會,業(yè)界和世人關注的焦點."城市,讓生活更美好",是一個跨越時空的永恒主題.上海舉辦2010年世博會,將為上海新一輪發(fā)展,從而實現(xiàn)&qu

2、ot;世界城市"的宏偉目標提供難得的機遇.但是,我們也應當清醒地認識到獲得舉辦權僅僅是工作的開始,要實現(xiàn)最終的目標,除了需要社會各方面全力配合,更重要的是世博會組織者精心的策劃,經(jīng)營和管理.而在諸多管理工作中,對于風險的管理,應該也必須是非常重要環(huán)節(jié).一,上海世博會風險存在的客觀性應該說,就舉辦大型會展所需要的硬環(huán)境和軟環(huán)境而言,上海目前已經(jīng)具備的基礎條件較好,整體水平較高,且發(fā)展態(tài)勢良好,主要表現(xiàn)在:外部的運行環(huán)境良好,展覽設施具有相當?shù)幕A和規(guī)模,信息基礎設施日趨完善,信息產(chǎn)業(yè)快速發(fā)展,信息技術廣泛應用,信息化發(fā)展環(huán)境不斷優(yōu)化,與會展相配套的通訊,運輸,郵電,金融等行業(yè)也發(fā)展迅速

3、.上述這些已經(jīng)具備的條件,無疑將為上海世博會成功舉辦提供了強有力的支撐.然而,無論從會展業(yè)自身,還是從信息化建設角度分析,影響上海世博會順利進展的問題MOt'iit風險研究客觀存在.由于人類活動總是在一種復雜的自然和社會環(huán)境中進行的,受到眾多因素的影響,在這些因素的影響下,人們對于某一事件的主觀預期結果與客觀實際結果之間往往存在一定的差異和變動,這種差異和變動就是風險.世博會在組織,承辦和舉辦過程中,同樣存在各種各樣的風險.而且相對一般信息化項目而言,由于世博會的功能服務涵蓋的范圍涉及經(jīng)濟,政治,文化,社會等方方面面,因此世博會必然更具復雜性,經(jīng)驗性更少,不確定性影響更大.雅典奧運會的

4、風險多達80o項,其用于風險管理的預算總共是1550萬英鎊,就足以證明這點.因而,世博會的風險也是客觀存在的,無論是世博會整體的系統(tǒng)規(guī)劃(包括信息平臺建設規(guī)劃,展館建設規(guī)劃,市政配套建設規(guī)劃等),還是后續(xù)的世博會的需求分析,系統(tǒng)設計以及計算機軟硬件和網(wǎng)絡,通訊設備的購置安裝等,都可能因為管理人員的思維誤區(qū),開發(fā)和應用人員可能的頻繁變動,或者技術的復雜性,設備的更新升級,甚至無法抗逆的自然災害等原因,導致世博會建設進度延遲,成本上升或者應用功能,性能無法達到預期目標等問題.可以說,世博會中蘊涵的風險無處不在,無時沒有.既可能有展前的展會主題確定風險,展館規(guī)劃(展館選址,資金投入等)風險,展會宣傳

5、風險,參展商資格審定風險,信息基礎設施建設風險等;也可能有展中的會展管理風險,信息安全風險等;還可能有展后的展館資源后續(xù)利用率風險,跟蹤服務水平風險等.如果對這些世博會風險缺乏足夠的感知和認識,缺乏風險應對能力,一旦風險突破世博會風險承受額度或者突然爆發(fā)其破壞力,July2006ShangHaiBusiness39【世博論壇】都將給世博會造成致命打擊.因此,進行上海世博會的風險管理研究,對于及時發(fā)現(xiàn)從而采取措施避免或降低世博會風險,確保上海世博會成功舉辦從而促進上海實現(xiàn)騰飛極為重要,不僅具有重要的理論意義,也具有很強的現(xiàn)實意義.二,基于世博會構成分析的風險分析范圍界定1,世博會構成分析世博會,

6、從內容來說,涉及到信息流,人流,物流,資金流,商流,交通流等;從技術來說,涉及到計算技術,網(wǎng)絡技術,通信技術和3S技術等;就表達方式來講,涉及到了許多需要精確和量化的數(shù)據(jù);從建設過程而言,必須經(jīng)過網(wǎng)絡基礎設施,展館基礎設施以及市政配套的建設;政府和主辦機構等內部信息系統(tǒng)建設;借助互聯(lián)網(wǎng)實現(xiàn)互通互聯(lián),世博會的各類應用數(shù)字化等若干發(fā)展階段.因此,世博會整體的建設和應用,是一項非常復雜的系統(tǒng)工程.其中,商流,就是通過世博會展這個載體,所發(fā)生的買賣或者交易活動,從而實現(xiàn)商品所有權的轉移.商流是世博會所有物流,資金流,信息流,人流,交通流的起點,也可以說是后幾種流的前提,沒有商流一般不可能發(fā)生物流,資金

7、流,信息流,人流.反過來,沒有物流,資金流,信息流,人流,交通流的匹配和支撐,商流也不可能達到目的.上述流是以參展商為核心,以主辦商和承辦商為紐帶,在展商,觀眾和展館之間的流動.為使世博會的舉辦達到最優(yōu)效果,就必須對信息流,人流,物流,資金流,交通流等加以科學地計劃,組織和調節(jié),使其形成良性循環(huán).而人流,物流,資金流,交通流等通暢的前提是信息流的通暢.信息流任何的堵塞,紊亂都會造成人流,物流,資金流,交通流等的無序與混亂.這就決定了信息流必然處于核心的地位.一方面,物流,資金流,交通流,人流,商流的各種狀態(tài)數(shù)據(jù),通過數(shù)據(jù)信息加以體現(xiàn),使信息流本身具有實際運用價值;另一方面,信息除本身就具有價值

8、之外,其更大的價值在于使物流平臺,資金流平臺,交通流平臺,人流平臺,商流平臺得以正常,高效運轉,沒有信息流平臺作技術支撐,其它平臺都不可能有效地運轉.上述流之間互為存在,密不可分,相互作用.可以講,商流是動機和目的,資金流,交通流,人流是條件,信息流是核心,物流是終結和歸縮.它們既是獨立存在的單一系列,各自的運行分別由信息流平臺,物流平臺,資金流平臺,商流平臺,人流平臺,交通流平臺支撐;同時,就世博會整體而言,它們又是一個組合體,在世博會展平臺(實體平臺,虛擬平臺)的支撐下,以信息流為核心,完成各自的功能.因此,世博會平臺體系中,信息流平臺無疑具有更基礎性的平臺作用,信息系統(tǒng)和信息資源無疑將是

9、2010年上海世博會有效運作的靈魂和核心.世博會中各平臺之間相互關系,見圖1.40由重聾2006年第7期圖1世博會各平臺之間相互關系2,風險分析范圍的界定世博會體系的龐大性和復雜性,決定了對于世博會風險的研究,所需研究范圍極其龐大,所需研究的手段極其復雜.因此,本文將研究范圍限定在重點分析世博會有關信息化的風險,兼顧世博會實體會展平臺相關的風險.筆者認為,做這樣的限定,依據(jù)有兩個,其一,如前分析,信息流和信息平臺(信息系統(tǒng)和信息資源)在2010年上海世博會有效運作過程中的靈魂和核心地位;其二,研究范圍的限定也有利于研究的深化.三,風險分析的步驟文獻中,各國專家學者對風險分析的研究已經(jīng)多有述及,

10、在此不再贅述.盡管不同的學者對于風險分析的理解有所差異,但一般都認同風險分析是風險管理的基礎,包括了風險識別,風險估計,風險評價等階段.因此,結合世博會以信息流為核心的,會展的特點,對世博會風險分析包括問題陳述,識別風險,描述風險,風險估計和風險評價五個階段.其中:問題陳述的任務是明確世博會風險分析的目標,所要分析的范圍以及所要分析的具體項目;識別風險的任務是從某個合適的視角,以某種科學合理的方法辨識世博會風險及其影響因素;描述風險的任務則是對所識別的世博會風險仔細分析其成因,并分析這些風險的特性,風險間的相互影響以及風險可能的轉化趨勢等;風險評價的任務是在在上述任務完成的基礎上,對世博會風險

11、發(fā)生的概率和影響進行估計;并通過風險評價指標體系的建立,采用某種風險評價方法,完成風險評價.需要說明的是,由于風險問題的復雜性和人類認識能力的有限性,因此,世博會風險分析也不是個一次性完成的過程,而是一個連續(xù)的,基于原型,非線性,迭代的過程,是一個需要在世博會承辦和舉辦過程中不斷加以進行的過程.四,識別世博會風險的角度和方法1,識別世博會風險的角度和WMT從不同角度出發(fā),可以得到對世博會風險的不同認識.【世博論壇】比如,從風險來源來看,可以認為有內部風險和外部風險;從風險屬性看,可以判定自然風險和人為風險;從控制的角度看,可以分為可控風險和不可控風險;從會展載體看,可以分為實體會展平臺風險和虛

12、擬會展平臺風險等.因此,根據(jù)不同的需要,按不同的標準,從不同的角度,識別世博會中的風險,既便于理論上研究,實務上也便于根據(jù)不同類別的風險采取不同的風險管理策略.p2MT(Process,Person,Management,Technology)模型,是基于世博會的承辦,舉辦過程,從技術,管理,人三維所形成一個在時間和空間上立體交叉的對世博會風險加以研究的模型框架,見圖2.即在規(guī)劃,需求分析,設計,實施(展前),運行(展中)和維護(展后)的每個階段,從技術,管理,人三維綜合考慮,識別世博會建設和應用過程中可能面臨的風險.圖2PMT模型研究中,針對世博會關鍵資產(chǎn),基于PMT模型,采用兩條分析線路:

13、一條是主線,重點分析世博會有關信息化的風險;另外一條是輔線,分析世博會實體會展平臺相關的風險,詳盡識別世博會中信息資產(chǎn)和展會資產(chǎn)的各種風險.從而構建一個對世博會承辦和舉辦風險可以監(jiān)測,可以發(fā)現(xiàn)潛在風險,可以明確已有風險狀態(tài);并在認識和評估風險的基礎上,可以根據(jù)風險模型做出行為選擇,可以提供風險對策;組織和制度體系完善,風險管理實施工作路線完整的世博會風險的管理機制,從而實現(xiàn)對世博會風險實施有效的控制,保證世博會運行的健康,平穩(wěn),安全.2,識別世博會風險的方法每個風險事件的發(fā)生可能與多個風險因素有關.而某些風險因素也可能是多個風險事件的原因,二者的關系往往極其錯綜復雜.因而,不同的項目,同一項目

14、的不同階段,不同的人員對風險的認識程度都可能有所差異.但不管是那種情況,所采用方法的出發(fā)點應該是研究問題的需要和便于研究的開展.識別世博會風險及影響因素,可以采用很多不同的方法.目前,廣泛用于風險分析有FRAP方法和OCTAVE方法等.FRAP(FacilitatedRiskAnalysisProcess,便利的風險分析過程),是一種基于信息資產(chǎn)的半定量風險分析的過程方法,主要是為了保證業(yè)務運營的信息安全相關風險能得到考慮July2006ShangHaiBusiness41【世博論壇】并歸檔;而OCTAVE(OperationallyCriticalThreatAssetAndVulnerab

15、ilityEvaluation,可運作的關鍵資產(chǎn),威脅,脆弱性評估方法),則定義了一種綜合的,系統(tǒng)的,與具體環(huán)境相關的,自主的信息風險評估方法,運用該評估方法的最大優(yōu)點在于可以使評估活動中必須考慮的威脅和風險數(shù)量大大減少.基于上述認識,本研究將上述兩種方法加以融合,對世博會風險的識別所采用的方法是:利用FRAP方法在信息收集,整理,分析和風險計算方面的優(yōu)勢,從分析世博會可運作的關鍵資產(chǎn),威脅(外部),脆弱性(內部)著手,對世博會承辦和舉辦的各個階段,首先初步識別出風險影響因素,而后運用Delphi方法判斷這些風險對世博會安全,平穩(wěn)運行影響的相對重要性,并依據(jù)帕累托原理,在一定的研究范圍內,合理

16、增加或減少研究的風險數(shù)量.針對世博會關鍵資產(chǎn)的風險研究方法,見表.表針對關鍵資產(chǎn)的風險研究方法關鍵資產(chǎn)階段展會信息技術資產(chǎn)立項策劃規(guī)劃可行性分析分析展前形象及相關活動策劃設計招展,招商實施會展方案實施會展服務展中運行現(xiàn)場管理展后展后處理維護五,世博會關鍵資產(chǎn),脆弱性,威脅l,世博會關鍵資產(chǎn)所謂資產(chǎn),即對組織有價值的東西,而關鍵資產(chǎn),即資產(chǎn)中對組織影響最大的資產(chǎn).就世博會會展實體平臺而言,資產(chǎn)應該包括會展展館,會展市政配套,人員等;就世博會信息技術資產(chǎn)來說,它還應該包括信息,計算機硬件,計算機軟件,網(wǎng)絡基礎設施,通信設施,數(shù)據(jù)庫等.因此,世博會中的各類工作人員,各種基礎信息設施,信息系統(tǒng)以及它們

17、所使用的系統(tǒng)軟件,應用軟件以及決策信息,數(shù)據(jù)庫等,都是世博會系統(tǒng)賴以正常運轉的關鍵資產(chǎn),必須保證它們的機密性,完整性和可用性.2,世博會內部脆弱性脆弱性,即弱點,是指系統(tǒng)特性中本來就具有的,可能被某些目的所利用的系統(tǒng)某些弱點,包括技術方面,組織方面和社會方面的脆弱性.從過程來講,可能是設計弱點或者實現(xiàn)弱點或者配置弱點等,從原因來講,可能是技術方面的脆弱性或者管理方面的脆弱性.對于世博會而言,信息平臺設計中的內在弱點,或者良好設計但在實現(xiàn)中由于錯誤而導致的弱點,甚至是系統(tǒng)配置和管理方面而導致的弱點都有可能被外部的威脅所利用.42重聾2006年第7期如:重要的服務器直接暴露在攻擊之下,網(wǎng)絡配置漏洞

18、,沒有有效的用戶鑒別和驗證手段,系統(tǒng)或應用軟件存在后門,或者機房進出沒有控制,沒有專人負責實施系統(tǒng)加固的工作等,都可能是世博會的弱點.通過分析世博會關鍵資產(chǎn),定義脆弱性,提出世博會的脆弱性評估報告,為世博會的建設,應用和維護提供決策支持.3,世博會外部威脅威脅,是指借助于某些工具,利用系統(tǒng)脆弱性,得到未授權結果.在威脅分析基礎上,建立包括威脅樹在內的威脅配置文件.對于世博會而言,它包括人為故意的破壞,意外的損害或者系統(tǒng)故障,其它問題等,如內外人員故意的攻擊破壞,無意的損害;硬件,軟件,相關系統(tǒng)故障;計算機病毒,斷電,缺水甚至自然災害等.上述威脅都可能造成世博會的資產(chǎn)損失或者破壞,甚至導致世博會的服務中斷等.研究中,借鑒其它一些會展項目,一些信息平臺開發(fā)和應用的實踐和參考文獻,初步擬定的世博會關鍵資產(chǎn)及面臨的主要威脅.當然,為保證世博會中的關鍵資產(chǎn),自身脆弱性,外部