序論:速發(fā)表網(wǎng)結(jié)合其深厚的文秘經(jīng)驗,特別為您篩選了11篇風(fēng)險評估方法論范文�����。如果您需要更多原創(chuàng)資料��,歡迎隨時與我們的客服老師聯(lián)系���,希望您能從中汲取靈感和知識���!
篇1
0、引言
電力作為高風(fēng)險產(chǎn)業(yè)����,不僅源于其公用事業(yè)屬性���,以及技術(shù)資金密集���、供求瞬時平衡、生產(chǎn)運行連續(xù)等特征�,同時電力項目投資額巨大�、建設(shè)周期長、沉沒成本高�����,而且,隨著電力體制改革和電力市場建設(shè)進(jìn)程的深入�,市場主體越來越多,電力交易關(guān)系復(fù)雜���,不同主體之間協(xié)調(diào)困難�����,電力行業(yè)規(guī)劃建設(shè)�����、生產(chǎn)經(jīng)營的不確定性加大��、電力市場風(fēng)險增加����。根據(jù)“十一五”期間電力體制改革的任務(wù)���,面對我國電力市場化發(fā)展的現(xiàn)狀�����,增強(qiáng)風(fēng)險意識���,樹立風(fēng)險觀念����,加強(qiáng)風(fēng)險管理將是電力企業(yè)的重要任務(wù)����。本文在闡述了企業(yè)風(fēng)險管理基本框架流程及其主要內(nèi)容的基礎(chǔ)上�����,提出電力企業(yè)定量風(fēng)險評估的主要內(nèi)容及方法���,以期推動電力系統(tǒng)風(fēng)險管理工作的開展。
1、風(fēng)險管理的主要內(nèi)容
風(fēng)險作為客觀存在��,要求人們考察研究風(fēng)險時���,要從決策角度認(rèn)識到風(fēng)險與人們有目的活動����、行動方案選擇及事物的未來變化有關(guān)。風(fēng)險的形成過程和風(fēng)險的客觀性、損失性、不確定性特征共同構(gòu)成風(fēng)險形成機(jī)制分析和風(fēng)險管理的基礎(chǔ)����。
人們一般對風(fēng)險持厭惡態(tài)度����,都想減小風(fēng)險損失�,追求風(fēng)險與收益的均衡優(yōu)化�����。風(fēng)險管理的提出與發(fā)展與企業(yè)發(fā)展?fàn)顩r���、社會背景密不可分�。風(fēng)險管理作為一門管理學(xué)科,首先在美國應(yīng)運而生,之后傳到西歐�、亞洲�、拉丁美洲�����。美國大多數(shù)企業(yè)都設(shè)置專職部門進(jìn)行風(fēng)險管理��,許多大學(xué)的工商管理學(xué)院都開設(shè)風(fēng)險管理課程。風(fēng)險管理作為一門科學(xué)與藝術(shù)���,既需要定性分析����,又需要定量估計�;既要求理性���,又要求人性���;不但需要多學(xué)科理論指導(dǎo)����,還需要多種方法支持��。
源于風(fēng)險意識的風(fēng)險管理主要包括風(fēng)險分析���、風(fēng)險評價與風(fēng)險控制三大部份��。根據(jù)風(fēng)險形成的過程��,風(fēng)險分析需要進(jìn)行風(fēng)險辨識、風(fēng)險估計���。風(fēng)險估計需要進(jìn)行頻率分析與后果分析��,而后果分析又包括情景分析與損失分析��。通過風(fēng)險分析�,可得到特定系統(tǒng)所有風(fēng)險的風(fēng)險估計���,對此再參照相應(yīng)的風(fēng)險標(biāo)準(zhǔn)及可接受性����,判斷系統(tǒng)的風(fēng)險是否可接受�����,是否采取安全措施���,這就是風(fēng)險評價�。風(fēng)險分析與風(fēng)險評價總稱為風(fēng)險評估。為進(jìn)行風(fēng)險定量化估算,要進(jìn)行定量風(fēng)險評估(Quantitative Risk Assessment—QRA)���。在風(fēng)險評估的基礎(chǔ)上���,針對風(fēng)險狀況采取相應(yīng)的措施與對策方案�����,以控制�、抑制���、降低風(fēng)險��,即風(fēng)險控制��。風(fēng)險管理不僅要定性分析風(fēng)險因素�、風(fēng)險事故及損失狀況,而且要盡可能基于風(fēng)險標(biāo)準(zhǔn)及可接受性對風(fēng)險進(jìn)行定量評價�。對于以盈利為目的的工業(yè)企業(yè)也希望將風(fēng)險損失價值化并給出貨幣衡量標(biāo)準(zhǔn)。風(fēng)險管理就是風(fēng)險分析��、風(fēng)險評價�、風(fēng)險控制三者密切相聯(lián)的動態(tài)過程��,見圖1��。
2、風(fēng)險管理的組織實施與基本流程
為有效實施風(fēng)險管理�,企業(yè)應(yīng)由專門的組織及相關(guān)人員按一定程序組織實施風(fēng)險管理工作����。據(jù)《幸福》雜志對美國500多家大公司的調(diào)查知,84%的公司由中層以上的經(jīng)理人員負(fù)責(zé)風(fēng)險管理。風(fēng)險管理的趨勢是董事會下屬設(shè)立風(fēng)險管理委員會全面負(fù)責(zé)公司風(fēng)險管理�����,組織實施的流程是:①制定風(fēng)險管理規(guī)劃��;②風(fēng)險辯識��;③風(fēng)險評估;④風(fēng)險管理策略方案選擇����;⑤風(fēng)險管理策略實施����;⑥風(fēng)險管理策略實施評價����。如圖2所示。
3�����、電力企業(yè)定量風(fēng)險評估(QRA)
電力企業(yè)QRA的建立與發(fā)展從內(nèi)部來看����,不僅已有可靠性分析、安全分析����、質(zhì)量管理����、項目管理等各專業(yè)分析作基礎(chǔ),從外部而言有電力用戶、政府與社會公眾、咨詢機(jī)構(gòu)等眾多相關(guān)主體的關(guān)注�����。電力企業(yè)QRA對企業(yè)的作用主要體現(xiàn)在:通過QRA有利于企業(yè)將風(fēng)險水平控制在規(guī)定標(biāo)準(zhǔn)的風(fēng)險水平之內(nèi)���,并符合最低合理可行原則;通過開展QRA可幫助企業(yè)全面識別風(fēng)險,并按輕重緩急排序,以有助于管理者將精力���、財力��、物力集中于風(fēng)險控制的重要緊急領(lǐng)域,使風(fēng)險管理決策更為合理、效果更好�、成本最?����?���;通過對各種風(fēng)險控制方案或安全改進(jìn)措施進(jìn)行QRA���,使決策者對方案措施進(jìn)行優(yōu)劣選擇����,為公司提出決策支持����。電力企業(yè)的風(fēng)險將對其它企業(yè)和主體帶來連帶影響�,并產(chǎn)生放大效應(yīng)�,電力系統(tǒng)安全、可靠�、高效、優(yōu)質(zhì)是各行各業(yè)和政府管理部門共同的愿望��。電力企業(yè)實施QRA具有現(xiàn)實意義。
3.1 電力企業(yè)QHA的基本框架模式
電力企業(yè)QRA是指在工業(yè)系統(tǒng)QRA的基礎(chǔ)上����,考慮電力系統(tǒng)的技術(shù)經(jīng)濟(jì)特點及運行規(guī)律,結(jié)合電力體制改革及電力市場化進(jìn)程而以概率模型表征的全面風(fēng)險管理理論方法。為便于實施風(fēng)險管理���,保證風(fēng)險評估質(zhì)量,滿足風(fēng)險評估過程各階段的不同要求,構(gòu)建如圖3所示的適用于電力企業(yè)QRA的基本框架模式。在具體實施時�����,允許依實際情況而有所改變�。
3.2 電力企業(yè)QRA的主要工作內(nèi)容
(1)確定目標(biāo)及范圍。包括風(fēng)險管理的目的與意義,待分析系統(tǒng)的設(shè)備配置�����、工作流程����、資金�、人員����、管理����、信息�����、地區(qū)、人文環(huán)境等,即確定QRA實現(xiàn)目標(biāo)和實施條件等���。
(2)風(fēng)險辨識。即找出待評價系統(tǒng)中所有潛在的風(fēng)險因素���,并進(jìn)行初步分析,通過安全檢查看系統(tǒng)是否達(dá)到規(guī)范要求。風(fēng)險辯識的基本途徑有歷史事故統(tǒng)計分析���、安全檢查表分析�、風(fēng)險與可操作性研究(HZOPS)、故障模式與影響分析(FMEA)�、故障模式影響及危急分析(FMECA)��、故障樹分析(ETA)����、事故樹分析(ETA)���、風(fēng)險分析調(diào)查表、保單檢視表�、資產(chǎn)風(fēng)險暴露分析表、財務(wù)報表����、流程圖、現(xiàn)場檢查表、風(fēng)險趨勢估計表等�。為配合保險公司對出險事項的處理����,可采用從下至上的歸納法、從上至下的演繹法及兩者綜合運用。針對特定風(fēng)險�����,可選用基于系統(tǒng)平面布置的區(qū)域分析���、隱含事件分析����、德爾菲法及基于事故樹分析的風(fēng)險事故網(wǎng)絡(luò)法等����。風(fēng)險辯識不只局限于系統(tǒng)硬件�,還應(yīng)考慮人為因素、組織制度等系統(tǒng)軟件��。
風(fēng)險綜合集成是指對所有風(fēng)險按其特性類型分門別類加以匯總整理���。因電力工業(yè)特點及電力市場化改革特點�����,把電力系統(tǒng)風(fēng)險按廠網(wǎng)分開的行業(yè)結(jié)構(gòu)進(jìn)行分類����。
對于發(fā)電企業(yè)而言��,主要有電源規(guī)劃風(fēng)險、報價競價上網(wǎng)風(fēng)險��、供求平衡風(fēng)險�、市場力抑制風(fēng)險、備用容量風(fēng)險���、信用風(fēng)險、法律風(fēng)險���、項目風(fēng)險����、中介機(jī)構(gòu)風(fēng)險等�����。對于電網(wǎng)企業(yè)而言�����,主要有電網(wǎng)規(guī)劃風(fēng)險���、電網(wǎng)融資風(fēng)險���、購電電價風(fēng)險����、電力交易轉(zhuǎn)移風(fēng)險、輔助服務(wù)風(fēng)險��、成本分?jǐn)傦L(fēng)險、輸電阻塞風(fēng)險���、輸電能力風(fēng)險�、備用率風(fēng)險�����、電力監(jiān)管風(fēng)險等�。另外����,電力企業(yè)還將面臨電力可靠性���、安全性�����、穩(wěn)定性風(fēng)險及電能質(zhì)量風(fēng)險等���。
風(fēng)險綜合集成后的初步風(fēng)險分析是對已辯識出的風(fēng)險進(jìn)行初步分析評估��,確定風(fēng)險的等級或水平����。風(fēng)險水平低的可忽略不計或僅作定性評估,風(fēng)險水平高的要在定性分析基礎(chǔ)上�����,進(jìn)行定量評估���。
(3)頻率分析����。即確定風(fēng)險可能發(fā)生的頻率�,其方法主要有歷史數(shù)據(jù)統(tǒng)計分析���、故障樹分析與失效理論模型分析。歷史數(shù)據(jù)統(tǒng)計分析是根據(jù)有關(guān)事故的歷史數(shù)據(jù)預(yù)測今后可能發(fā)生的頻率�����。因此要建立
風(fēng)險數(shù)據(jù)庫�,既作為QRA的基礎(chǔ)�����,又作為風(fēng)險決策的依據(jù)����。故障樹分析作為一種自上而下的邏輯分析法��,把可能發(fā)生的事故或系統(tǒng)失效(頂事件)與基本部件的失效聯(lián)系起來�,根據(jù)基本部件的失效概率計算出頂事件的發(fā)生概率�。失效理論模型分析是在歷史數(shù)據(jù)與專家經(jīng)驗的基礎(chǔ)上,采用某種失效理論模型來計算風(fēng)險發(fā)生頻率。
(4)風(fēng)險測定估計。根據(jù)風(fēng)險特性及類型�,運用一定的數(shù)學(xué)工具測定或估計風(fēng)險大小���。常用方法主要有主觀估計法�、客觀估計法�����、期望值法、數(shù)學(xué)模型法���、隨機(jī)模擬法和馬爾可夫模型法等��。
(5)后果分析�����。即分析特定風(fēng)險在某種環(huán)境作用下可能導(dǎo)致的各種事故后果及損失���。其方法主要有情景分析與損失分析��。情景分析通過事件樹模型分析特定風(fēng)險在環(huán)境作用下可能導(dǎo)致的各種事故后果。損失分析是分析特定后果對其它事物的影響及利益損失并歸結(jié)為某種風(fēng)險指標(biāo)��。
(6)風(fēng)險標(biāo)準(zhǔn)及可接受性��。風(fēng)險標(biāo)準(zhǔn)及可接受性應(yīng)遵循最低合理可行(ALARP)原則����。ALARP原則是指任何系統(tǒng)都存在風(fēng)險����,而且風(fēng)險水平越低����,即風(fēng)險程度越小要進(jìn)一步減少風(fēng)險越困難,其成本會呈指數(shù)曲線上升。也就是說,風(fēng)險改進(jìn)措施投資的邊際效益遞減,最終趨于零���,甚至為負(fù)值�。因此,必須在風(fēng)險水平與成本間折衷考慮。如果電力企業(yè)定量風(fēng)險評估所得風(fēng)險水平在不可接受線之上���,則該風(fēng)險被拒絕���,如果風(fēng)險水平在可接受線之下���,則該風(fēng)險可接受��,無需采取風(fēng)險改進(jìn)措施�����;如風(fēng)險水平在不可接受線與可接受線之間,即落人ALARP區(qū)(可容忍區(qū))��,這時要進(jìn)行風(fēng)險改進(jìn)措施投資成本風(fēng)險分析或風(fēng)險成本收益分析��。
分析結(jié)果如果證明進(jìn)一步增加風(fēng)險改進(jìn)投資對電力企業(yè)的風(fēng)險水平減小貢獻(xiàn)不大�����,則該風(fēng)險是可接受的,即允許該風(fēng)險存在,以節(jié)省投資成本����。ALARP原則的經(jīng)濟(jì)學(xué)解釋類似投入要素的邊際收益遞減規(guī)律一樣���,風(fēng)險與風(fēng)險措施投入間的風(fēng)險曲線也呈邊際收益遞減規(guī)律���。
3.3 電力企業(yè)QRA常用方法
篇2
1 信息安全風(fēng)險評估基本理論
1.1 信息安全風(fēng)險
信息安全風(fēng)險具有客觀性���、多樣性�����、損失性�、可變性����、不確定性和可測性等多個特點�����??陀^性是因為信息安全風(fēng)險在信息系統(tǒng)中普遍存在;多樣性是指信息系統(tǒng)安全涉及多個方面;損失性是指任何一種信息安全風(fēng)險�����,都會對信息系統(tǒng)造成或大或小的損失;可變性是指信息安全風(fēng)險在系統(tǒng)生命周期的各個階段動態(tài)變化;不確定性是一個安全事件可以有多種風(fēng)險;可測試性是預(yù)測和計算信息安全風(fēng)險的方法。
1.2 信息安全風(fēng)險評估
信息安全風(fēng)險評估,采用科學(xué)的方法和技術(shù)和脆弱性分析信息系統(tǒng)面臨的威脅,利用系統(tǒng),評估安全事件可能會造成的影響����,提出了防御威脅和保護(hù)策略,從而防止和解決信息安全風(fēng)險��,或控制在可接受范圍內(nèi)的風(fēng)險,最大限度地保護(hù)系統(tǒng)的信息安全��。通過評價過程對信息系統(tǒng)的脆弱性進(jìn)行評價�,面臨威脅和漏洞威脅利用的負(fù)面影響,并根據(jù)信息安全事件的可能性和嚴(yán)重程度��,確定信息系統(tǒng)的安全風(fēng)險����。
2 信息安全風(fēng)險評估原理
2.1 風(fēng)險評估要素及其關(guān)系
一般說來,信息安全風(fēng)險評估要素有五個����,除以上介紹的安全風(fēng)險外��,還有資產(chǎn)�、威脅�、脆弱性、安全措施等。信息安全風(fēng)評估工作都是圍繞這些基本評估要素展開的����。
2.1.1 資產(chǎn)
資產(chǎn)是在系統(tǒng)中有價值的信息或資源���,是安全措施的對象。資產(chǎn)價值是資產(chǎn)的財產(chǎn)��,也是資產(chǎn)識別的主要內(nèi)容。它是資產(chǎn)的重要程度或敏感性���。
2.1.2 威脅
威脅是導(dǎo)致不期望事件發(fā)生的潛在起因�����,這些不期望事件可能危害系統(tǒng)���。
2.1.3 脆弱性
脆弱性是資產(chǎn)存在的弱點����,利用這些弱點威脅資產(chǎn)的使用���。
2.1.4 安全措施
安全措施是系統(tǒng)實施的各種保護(hù)機(jī)制�����,這種機(jī)制能有效地保護(hù)資產(chǎn)���、減少脆弱性、抵御威脅�����、減少安全事件的發(fā)生或降低影響�。風(fēng)險評估圍繞上述基本要素。各要素之間存在著這樣的關(guān)系:
(1)資產(chǎn)是風(fēng)險評估的對象,資產(chǎn)價值是由資產(chǎn)價值計量的�,資產(chǎn)價值越高,證券需求越高���,風(fēng)險越小����。
(2)漏洞可能會暴露資產(chǎn)的價值,使其被破壞���,資產(chǎn)的脆弱性越大�����,風(fēng)險越大;
(3)威脅引發(fā)風(fēng)險事件的發(fā)生�,威脅越多風(fēng)險越大;
(4)威脅利用脆弱性來危害資產(chǎn);
(5)安全措施可以防御威脅�,減小安全風(fēng)險��,從而保護(hù)資產(chǎn)�����。
2.2 風(fēng)險分析模型及算法
在信息安全風(fēng)險評估標(biāo)準(zhǔn)中���,風(fēng)險分析涉及資產(chǎn)的三個基本要素��,威脅和脆弱性�����。每個元素都有它自己的屬性,并由它的屬性決定����。資產(chǎn)的屬性是資產(chǎn)的價值���,而財產(chǎn)的威脅可以是主體���、客體�����、頻率����、動機(jī)等�。財產(chǎn)的脆弱性是資產(chǎn)脆弱性的嚴(yán)重性。在風(fēng)險分析模型中,資產(chǎn)的價值、威脅的可能性��、脆弱性的嚴(yán)重程度、安全事件的可能性和安全事件造成的損失����,兩者是整合的�,它是風(fēng)險的價值。
風(fēng)險分析的主要內(nèi)容為:
(1)識別資產(chǎn)并分配資產(chǎn);
(2)確定威脅����,并分配潛在的威脅;
(3)確定漏洞�����,并分配資產(chǎn)的脆弱性的嚴(yán)重程度;
(4)判斷安全事件的可能性����。根據(jù)漏洞的威脅和使用的漏洞來計算安全事件的可能性�。
安全事件發(fā)生可能性=L(威脅可能性�,脆弱性)=L(T,V)
(5)計算安全事件損失�。根據(jù)脆弱性嚴(yán)重程度和資產(chǎn)價值計算安全事件的損失���。
安全事件造成的損失=F(資產(chǎn)價值,脆弱性嚴(yán)重程度)=F(Ia,Va);
(6)確定風(fēng)險值���。根據(jù)安全事件發(fā)生可能性和安全事件造成的損失����,計算安全事件發(fā)生對組織的影響。
風(fēng)險值=R(A�,T�,V)=R(F(Ia���,Va)�,L(T,V))
其中,A是資產(chǎn);T是威脅可能性;V是脆弱性;Ia是資產(chǎn)價值;Va是脆弱性的嚴(yán)重程度;L是威脅利用脆弱性發(fā)生安全事件的可能性;F是安全事件造成的損失,R是風(fēng)險計算函數(shù)��。
3 信息風(fēng)險分析方法探析
作為保障信息安全的重要措施�����,信息安全系統(tǒng)是信息安全的重要組成部分��,而信息安全風(fēng)險評估的算法分析方法,風(fēng)險評估作為風(fēng)險分析的重要手段,早已被提出并做了大量的研究工作和一些算法已成為正式信息安全標(biāo)準(zhǔn)的一部分����。從定性定量的角度可以將風(fēng)險分析方法分為三類����,也就是定性方法����、定量方法和定性定量相結(jié)合��。
3.1 定性的風(fēng)險分析方法
定性的方法是憑借分析師的經(jīng)驗和知識的國際和國內(nèi)的標(biāo)準(zhǔn)或做法,風(fēng)險管理因素的大小或程度的定性分類����,以確定風(fēng)險概率和風(fēng)險的后果�����。定性的方法的優(yōu)點是,信息系統(tǒng)是不容易得到的具體數(shù)據(jù)的相對值計算����,沒有太多的計算負(fù)擔(dān)��。它有一定的缺陷���,是很主觀的�����,要求分析有一定的經(jīng)驗和能力����。比較著名的定性分析方法有歷史比較法����、因素分析方法����、邏輯分析法�、Delphi法等����,這些方法的成敗與執(zhí)行者的經(jīng)驗有很大的關(guān)系����。
3.2 定量的風(fēng)險分析方法
定量方法是用數(shù)字來描述風(fēng)險��,通過數(shù)學(xué)和統(tǒng)計的援助��,對一些指標(biāo)進(jìn)行處理和處理�����,來量化安全風(fēng)險的結(jié)果�。定量方法的優(yōu)點是評價結(jié)果直觀,使用數(shù)據(jù)表示����,使分析結(jié)果更加客觀����、科學(xué)、嚴(yán)謹(jǐn)�、更有說服力。缺點是,計算過程復(fù)雜,數(shù)據(jù)詳細(xì)�����,可靠的數(shù)據(jù)難以獲得���。正式且嚴(yán)格的評估方法的數(shù)據(jù)一般是估計而來的��,風(fēng)險分析達(dá)到完全的量化也不太可能����。與著名的定時模型定量分析方法��、聚類分析法���、因子分析法�����、回歸模型���、決策樹等方法相比較,這些方法都是具有數(shù)學(xué)或統(tǒng)計工具的風(fēng)險模型��。
3.3 定性定量相結(jié)合的風(fēng)險分析方法
篇3
[作者簡介]林笑玫��,廣東電網(wǎng)公司惠州供電局���,廣東惠州����,516001
[中圖分類號] F272.35 [文獻(xiàn)標(biāo)識碼] A [文章編號] 1007-7723(2012)01-0052-0002
電力企業(yè)工程投資巨大�,工程項目在實施期間會面臨著多個方面的風(fēng)險��,若不及時加以控制將給企業(yè)造成不可估量的經(jīng)濟(jì)損失��。為了滿足新時期電力項目持續(xù)進(jìn)行的需要,企業(yè)必須要采用科學(xué)的風(fēng)險評估方法���。定量風(fēng)險的核心是分析企業(yè)的定性風(fēng)險�,再排出優(yōu)先順序的風(fēng)險實施量化分析。根據(jù)理論標(biāo)準(zhǔn),定量風(fēng)險分析適用于已經(jīng)制定好的風(fēng)險應(yīng)對計劃�。這不僅能夠驗證風(fēng)險控制效果是否符合預(yù)期要求,而且能夠從風(fēng)險過程里反映企業(yè)管理存在的問題��。同時,多次實施定量風(fēng)險分析可提醒管理者是否調(diào)險管理方法,也是電力企業(yè)風(fēng)險監(jiān)測���、轉(zhuǎn)移���、控制的重要依據(jù)。
一���、企業(yè)定量風(fēng)險分析的方法
經(jīng)濟(jì)體制改革發(fā)展局勢下,國家對電力企業(yè)的經(jīng)營管理提出了新的調(diào)整要求�����,市場風(fēng)險的控制與防范是電力企業(yè)經(jīng)營管理的主要內(nèi)容���。電力行業(yè)是我國現(xiàn)代化產(chǎn)業(yè)結(jié)構(gòu)的重點構(gòu)成�,加強(qiáng)電力企業(yè)的風(fēng)險控制及管理有助于維持行業(yè)經(jīng)濟(jì)的持續(xù)增長����。定量分析法運用于電力項目風(fēng)險評估�,結(jié)合精準(zhǔn)計算獲得的數(shù)據(jù)進(jìn)行模擬驗證�����,可引導(dǎo)企業(yè)正確認(rèn)識工程項目的風(fēng)險狀況��。目前,電力企業(yè)定量風(fēng)險分析常用的方法有:
(一)概率分布
概率分布法是對電力企業(yè)可能發(fā)生風(fēng)險的一種概率預(yù)測���,以此判斷電力工程風(fēng)險發(fā)生的可能性大小�����。因不同事件之間存在互斥性��,所有事件的概率之和為1��。概率分布法需結(jié)合相關(guān)的輔助方法�����,如:利用數(shù)學(xué)函數(shù)圖像對一年四季溫度變化情況分析�,按照溫度大小規(guī)律分析雨水過多、溫差過大等因素對電力線路的影響概率,判斷電力系統(tǒng)潛在的風(fēng)險隱患��。
(二)外推法
外推法有前推�����、后推�����、旁推等形式�����,均適用于電力企業(yè)的定量風(fēng)險評估活動。前推法是電力企業(yè)常用的風(fēng)向評估方法,其結(jié)合風(fēng)險發(fā)生的時間順序以及有效的數(shù)據(jù)集合判別未來風(fēng)險發(fā)生的趨勢。外推法可分為簡均法����、移動平均法�、加權(quán)移動平均法�、季節(jié)變動分析法等,電力企業(yè)風(fēng)險分析時可依據(jù)掌握的資料靈活選擇不同的方法參與評估����。如:結(jié)合移動平均法估算某一年地區(qū)用電需求量的變化�����,根據(jù)用電需求量的多少指導(dǎo)企業(yè)年產(chǎn)量的控制����。
(三)靈敏度分析
靈敏度分析法本質(zhì)上是對風(fēng)險產(chǎn)生影響的一種評估���,詳細(xì)地分析出不同風(fēng)險對電力企業(yè)造成的影響力大小���。如:就項目成本來說��,電力企業(yè)采用靈敏度分析法��,可對材料價格���、市場供應(yīng)等風(fēng)險造成的成本影響具體判斷�����,讓企業(yè)有針對性地制定風(fēng)險抵抗措施����。一般情況下���,電力企業(yè)經(jīng)過靈敏度分析均可制定有效的風(fēng)險應(yīng)急處理方案����。
(四)模擬法
模擬法采用企業(yè)提供的有效數(shù)據(jù)�����,利用計算機(jī)建立系統(tǒng)模型���,對電力工程的風(fēng)險狀態(tài)模擬分析。由于計算機(jī)在數(shù)據(jù)采集���、處理、修改等方面的功能極強(qiáng)��,將其用于定量風(fēng)險評估可擺脫人工分析的失誤,提高風(fēng)險評估結(jié)果的準(zhǔn)確性。如:基于計算機(jī)平臺���,管理人員可結(jié)合項目的網(wǎng)絡(luò)圖作為項目模型���,把電力工程建設(shè)期間存在的財務(wù)風(fēng)險���、效益風(fēng)險綜合體現(xiàn)出來����。
三�、定量風(fēng)險分析的參照依據(jù)
考慮到電力行業(yè)的特殊性����,企業(yè)在定量風(fēng)險評估時需從專業(yè)角度分析問題����,對風(fēng)險評估采用的理論、方法嚴(yán)格掌握����,以確保最終分析結(jié)果的可靠性���、準(zhǔn)確性�、科學(xué)性��。從電力企業(yè)實際定量風(fēng)險評估工作的操作情況看,多數(shù)企業(yè)已經(jīng)掌握一套相對完整的風(fēng)險評估流程?!胺治鲆罁?jù)”是電力工程項目定量風(fēng)險研究的重點參考�����。
(一)項目歷史信息
歷史數(shù)據(jù)是企業(yè)長期發(fā)展積累下來的重要資料��,也是后期項目定量風(fēng)險評估的理論依據(jù)。歷史信息包括:從行業(yè)或企業(yè)得到類似的已完項目信息���,風(fēng)險專家對類似項目的研究資料以及計算機(jī)存儲的風(fēng)險數(shù)據(jù)庫。電力企業(yè)在風(fēng)險評估時對歷史信息中有價值的資料靈活提取�����,減小風(fēng)險評估的難度����。
(二)項目范圍說明
項目說明書是電力工程的總概括��,記錄了項目前期策劃及后期施工的詳細(xì)內(nèi)容����,也是電力企業(yè)信息存檔的必備資料���。閱讀項目范圍說明書是定量風(fēng)險評估的有效方法����,以最真實的數(shù)據(jù)資料為基礎(chǔ)����,抓住項目說明書涉及到的潛在風(fēng)險綜合研究�,有助于專家羅列出最權(quán)威可靠的風(fēng)險評估結(jié)果�����。
(三)風(fēng)險管理文件
風(fēng)險管理文件是電力企業(yè)制定的預(yù)期處理方案,當(dāng)工程風(fēng)險發(fā)生之后可打開管理文件所編輯的措施處理風(fēng)險���。通常電力企業(yè)的風(fēng)險管理文件提供的管理策略相對完整���,如:執(zhí)行風(fēng)險管理的崗位職責(zé)、預(yù)算和計劃時間的風(fēng)險管理活動,風(fēng)險分類���,風(fēng)險分解結(jié)構(gòu)和修訂的有關(guān)方面的風(fēng)險承受度���。
(四)風(fēng)險清單
風(fēng)險清單是對工程項目內(nèi)容的檢驗審核�����,對電力企業(yè)定量風(fēng)險評估具有統(tǒng)籌性的作用��。借助于風(fēng)險情況能為評估人員提供多個方面的信息���,如:已識別風(fēng)險的清單�����、項目風(fēng)險的優(yōu)先級清單等����,這些都會給定量風(fēng)險評估提供參考����。此外����,根據(jù)風(fēng)險清單顯示的結(jié)果�����,電力企業(yè)可加強(qiáng)項目管理的力度�����,從項目進(jìn)度管理計劃��、項目費用管理計劃等優(yōu)化管理�。
四、風(fēng)險管理的組織實施與基本流程
電氣企業(yè)推廣定量風(fēng)險評估的優(yōu)勢顯著,其不僅為高層經(jīng)理提供了相當(dāng)直接的數(shù)字���;且數(shù)據(jù)分析階段可靈活運用各種逼近模型����。定量分析后的許多具體調(diào)查工作可以用最小優(yōu)先經(jīng)驗執(zhí)行,滿足了企業(yè)經(jīng)營管理工作的具體需求。風(fēng)險管理的組織實施應(yīng)按照標(biāo)準(zhǔn)的流程操作���,電力企業(yè)需結(jié)合項目的詳細(xì)情況設(shè)計定量風(fēng)險評估的策略�。
(一)風(fēng)險管理與規(guī)劃
管理是控制工程風(fēng)險的核心工作��,電力企業(yè)實施風(fēng)險管理措施可盡快處理當(dāng)前所面臨的風(fēng)險問題���。制定風(fēng)險管理之前�����,風(fēng)險評估專家要做好詳細(xì)的規(guī)劃�,引導(dǎo)后期管理操作的有序進(jìn)行。如:對項目風(fēng)險的成因、影響��、處理等問題深入分析���,設(shè)計出相對完整的風(fēng)險管理策略��。
(二)風(fēng)險辯識與評估
當(dāng)企業(yè)風(fēng)險發(fā)生之后���,應(yīng)組織風(fēng)險評估團(tuán)隊盡快判別風(fēng)險的具體情況�,對風(fēng)險的種類���、影響、應(yīng)對等綜合考慮���。評估是風(fēng)險辨識的重要環(huán)節(jié)����,經(jīng)過全面性的評估了解可掌握風(fēng)險的有用信息,從客觀角度評估風(fēng)險的破壞范圍��,編制出更加優(yōu)越的風(fēng)險控制方案。
(三)策略修改與實施
由于風(fēng)險管理方案具有突發(fā)性���、應(yīng)急性特點,最初制定的風(fēng)險管理策略會在實施期間需要調(diào)整����。電力企業(yè)管理人員需結(jié)合項目的實際需要�����,對其他相關(guān)的風(fēng)險綜合考核檢測�,以掌握最佳的風(fēng)險處理策略,把風(fēng)險造成的經(jīng)濟(jì)損失控制在最小范圍���。
(四)效果評估與總結(jié)
定量風(fēng)險評估結(jié)束���,企業(yè)有必要對此次評估活動進(jìn)行總結(jié)�,收錄相關(guān)的資料信息存檔管理??偨Y(jié)中要對此次定量風(fēng)險評估存在的問題、取得的成果�����、使用的資料等內(nèi)容加以整合����,將其歸納成完整的信息檔案收集�?���?偨Y(jié)資料是電力企業(yè)未來定量風(fēng)險評估的參考資料�。
五�����、結(jié)語
總之�,電力行業(yè)是維持社會供電、用電正常運行的主導(dǎo)產(chǎn)業(yè)�,工程項目的實施是改造電力系統(tǒng)的有效方法����。企業(yè)在經(jīng)營管理期間要充分考慮市場潛在的風(fēng)險因素����,采用定量風(fēng)險評估方法處理問題�����,對項目存在的風(fēng)險情況詳細(xì)分析�,為企業(yè)提供更加可靠����、安全的風(fēng)險應(yīng)對策略�����。
[參考文獻(xiàn)]
篇4
0、引言
電力作為高風(fēng)險產(chǎn)業(yè)����,不僅源于其公用事業(yè)屬性��,以及技術(shù)資金密集���、供求瞬時平衡���、生產(chǎn)運行連續(xù)等特征���,同時電力項目投資額巨大�����、建設(shè)周期長��、沉沒成本高�,而且,隨著電力體制改革和電力市場建設(shè)進(jìn)程的深入,市場主體越來越多���,電力交易關(guān)系復(fù)雜���,不同主體之間協(xié)調(diào)困難,電力行業(yè)規(guī)劃建設(shè)�、生產(chǎn)經(jīng)營的不確定性加大�、電力市場風(fēng)險增加�����。根據(jù)“十一五”期間電力體制改革的任務(wù)�,面對我國電力市場化發(fā)展的現(xiàn)狀�����,增強(qiáng)風(fēng)險意識���,樹立風(fēng)險觀念,加強(qiáng)風(fēng)險管理將是電力企業(yè)的重要任務(wù)�。本文在闡述了企業(yè)風(fēng)險管理基本框架流程及其主要內(nèi)容的基礎(chǔ)上��,提出電力企業(yè)定量風(fēng)險評估的主要內(nèi)容及方法�����,以期推動電力系統(tǒng)風(fēng)險管理工作的開展���。
1���、風(fēng)險管理的主要內(nèi)容
風(fēng)險作為客觀存在�����,要求人們考察研究風(fēng)險時,要從決策角度認(rèn)識到風(fēng)險與人們有目的活動����、行動方案選擇及事物的未來變化有關(guān)��。風(fēng)險的形成過程和風(fēng)險的客觀性��、損失性�����、不確定性特征共同構(gòu)成風(fēng)險形成機(jī)制分析和風(fēng)險管理的基礎(chǔ)。
人們一般對風(fēng)險持厭惡態(tài)度,都想減小風(fēng)險損失�,追求風(fēng)險與收益的均衡優(yōu)化���。風(fēng)險管理的提出與發(fā)展與企業(yè)發(fā)展?fàn)顩r、社會背景密不可分。風(fēng)險管理作為一門管理學(xué)科,首先在美國應(yīng)運而生�,之后傳到西歐����、亞洲��、拉丁美洲�。美國大多數(shù)企業(yè)都設(shè)置專職部門進(jìn)行風(fēng)險管理,許多大學(xué)的工商管理學(xué)院都開設(shè)風(fēng)險管理課程����。風(fēng)險管理作為一門科學(xué)與藝術(shù)���,既需要定性分析�,又需要定量估計;既要求理性,又要求人性;不但需要多學(xué)科理論指導(dǎo),還需要多種方法支持�����。
源于風(fēng)險意識的風(fēng)險管理主要包括風(fēng)險分析��、風(fēng)險評價與風(fēng)險控制三大部份��。根據(jù)風(fēng)險形成的過程���,風(fēng)險分析需要進(jìn)行風(fēng)險辨識�、風(fēng)險估計����。風(fēng)險估計需要進(jìn)行頻率分析與后果分析�����,而后果分析又包括情景分析與損失分析。通過風(fēng)險分析��,可得到特定系統(tǒng)所有風(fēng)險的風(fēng)險估計�,對此再參照相應(yīng)的風(fēng)險標(biāo)準(zhǔn)及可接受性��,判斷系統(tǒng)的風(fēng)險是否可接受,是否采取安全措施��,這就是風(fēng)險評價。風(fēng)險分析與風(fēng)險評價總稱為風(fēng)險評估���。為進(jìn)行風(fēng)險定量化估算�����,要進(jìn)行定量風(fēng)險評估(quantitative risk assessment—qra)�����。在風(fēng)險評估的基礎(chǔ)上�����,針對風(fēng)險狀況采取相應(yīng)的措施與對策方案�,以控制、抑制、降低風(fēng)險����,即風(fēng)險控制���。風(fēng)險管理不僅要定性分析風(fēng)險因素��、風(fēng)險事故及損失狀況��,而且要盡可能基于風(fēng)險標(biāo)準(zhǔn)及可接受性對風(fēng)險進(jìn)行定量評價。對于以盈利為目的的工業(yè)企業(yè)也希望將風(fēng)險損失價值化并給出貨幣衡量標(biāo)準(zhǔn)���。風(fēng)險管理就是風(fēng)險分析�、風(fēng)險評價�、風(fēng)險控制三者密切相聯(lián)的動態(tài)過程,見圖1。
2、風(fēng)險管理的組織實施與基本流程
為有效實施風(fēng)險管理�,企業(yè)應(yīng)由專門的組織及相關(guān)人員按一定程序組織實施風(fēng)險管理工作。據(jù)《幸?��!冯s志對美國500多家大公司的調(diào)查知,84%的公司由中層以上的經(jīng)理人員負(fù)責(zé)風(fēng)險管理。風(fēng)險管理的趨勢是董事會下屬設(shè)立風(fēng)險管理委員會全面負(fù)責(zé)公司風(fēng)險管理,組織實施的流程是:①制定風(fēng)險管理規(guī)劃����;②風(fēng)險辯識����;③風(fēng)險評估;④風(fēng)險管理策略方案選擇�;⑤風(fēng)險管理策略實施�;⑥風(fēng)險管理策略實施評價�。
3����、電力企業(yè)定量風(fēng)險評估(qra)
電力企業(yè)qra的建立與發(fā)展從內(nèi)部來看,不僅已有可靠性分析、安全分析���、質(zhì)量管理、項目管理等各專業(yè)分析作基礎(chǔ),從外部而言有電力用戶��、政府與社會公眾�、咨詢機(jī)構(gòu)等眾多相關(guān)主體的關(guān)注���。電力企業(yè)qra對企業(yè)的作用主要體現(xiàn)在:通過qra有利于企業(yè)將風(fēng)險水平控制在規(guī)定標(biāo)準(zhǔn)的風(fēng)險水平之內(nèi),并符合最低合理可行原則;通過開展qra可幫助企業(yè)全面識別風(fēng)險�,并按輕重緩急排序���,以有助于管理者將精力�����、財力���、物力集中于風(fēng)險控制的重要緊急領(lǐng)域��,使風(fēng)險管理決策更為合理、效果更好����、成本最?。煌ㄟ^對各種風(fēng)險控制方案或安全改進(jìn)措施進(jìn)行qra,使決策者對方案措施進(jìn)行優(yōu)劣選擇���,為公司提出決策支持���。電力企業(yè)的風(fēng)險將對其它企業(yè)和主體帶來連帶影響���,并產(chǎn)生放大效應(yīng)��,電力系統(tǒng)安全�、可靠��、高效�����、優(yōu)質(zhì)是各行各業(yè)和政府管理部門共同的愿望���。電力企業(yè)實施qra具有現(xiàn)實意義����。
3.1 電力企業(yè)qha的基本框架模式
電力企業(yè)qra是指在工業(yè)系統(tǒng)qra的基礎(chǔ)上���,考慮電力系統(tǒng)的技術(shù)經(jīng)濟(jì)特點及運行規(guī)律��,結(jié)合電力體制改革及電力市場化進(jìn)程而以概率模型表征的全面風(fēng)險管理理論方法����。為便于實施風(fēng)險管理�,保證風(fēng)險評估質(zhì)量�����,滿足風(fēng)險評估過程各階段的不同要求,構(gòu)建如圖3所示的適用于電力企業(yè)qra的基本框架模式���。在具體實施時���,允許依實際情況而有所改變����。
3.2 電力企業(yè)qra的主要工作內(nèi)容
(1)確定目標(biāo)及范圍�����。包括風(fēng)險管理的目的與意義,待分析系統(tǒng)的設(shè)備配置����、工作流程�、資金、人員、管理����、信息����、地區(qū)�����、人文環(huán)境等��,即確定qra實現(xiàn)目標(biāo)和實施條件等��。
(2)風(fēng)險辨識�����。即找出待評價系統(tǒng)中所有潛在的風(fēng)險因素��,并進(jìn)行初步分析��,通過安全檢查看系統(tǒng)是否達(dá)到規(guī)范要求�。風(fēng)險辯識的基本途徑有歷史事故統(tǒng)計分析�、安全檢查表分析���、風(fēng)險與可操作性研究(hzops)��、故障模式與影響分析(fmea)、故障模式影響及危急分析(fmeca)�����、故障樹分析(eta)��、事故樹分析(eta)���、風(fēng)險分析調(diào)查表、保單檢視表���、資產(chǎn)風(fēng)險暴露分析表����、財務(wù)報表�、流程圖���、現(xiàn)場檢查表、風(fēng)險趨勢估計表等�。為配合保險公司對出險事項的處理,可采用從下至上的歸納法、從上至下的演繹法及兩者綜合運用��。針對特定風(fēng)險��,可選用基于系統(tǒng)平面布置的區(qū)域分析��、隱含事件分析、德爾菲法及基于事故樹分析的風(fēng)險事故網(wǎng)絡(luò)法等。風(fēng)險辯識不只局限于系統(tǒng)硬件,還應(yīng)考慮人為因素��、組織制度等系統(tǒng)軟件�����。
風(fēng)險綜合集成是指對所有風(fēng)險按其特性類型分門別類加以匯總因電力工業(yè)特點及電力市場化改革特點,把電力系統(tǒng)風(fēng)險按廠網(wǎng)分開的行業(yè)結(jié)構(gòu)進(jìn)行分類。
對于發(fā)電企業(yè)而言�,主要有電源規(guī)劃風(fēng)險�、報價競價上網(wǎng)風(fēng)險�、供求平衡風(fēng)險�、市場力抑制風(fēng)險、備用容量風(fēng)險����、信用風(fēng)險���、法律風(fēng)險����、項目風(fēng)險���、中介機(jī)構(gòu)風(fēng)險等。對于電網(wǎng)企業(yè)而言�,主要有電網(wǎng)規(guī)劃風(fēng)險�����、電網(wǎng)融資風(fēng)險、購電電價風(fēng)險�、電力交易轉(zhuǎn)移風(fēng)險�����、輔助服務(wù)風(fēng)險、成本分?jǐn)傦L(fēng)險�����、輸電阻塞風(fēng)險���、輸電能力風(fēng)險���、備用率風(fēng)險�、電力監(jiān)管風(fēng)險等。另外�����,電力企業(yè)還將面臨電力可靠性、安全性�����、穩(wěn)定性風(fēng)險及電能質(zhì)量風(fēng)險等。
風(fēng)險綜合集成后的初步風(fēng)險分析是對已辯識出的風(fēng)險進(jìn)行初步分析評估���,確定風(fēng)險的等級或水平��。風(fēng)險水平低的可忽略不計或僅作定性評估�����,風(fēng)險水平高的要在定性分析基礎(chǔ)上�����,進(jìn)行定量評估。
(3)頻率分析。即確定風(fēng)險可能發(fā)生的頻率,其方法主要有歷史數(shù)據(jù)統(tǒng)計分析����、故障樹分析與失效理論模型分析�����。歷史數(shù)據(jù)統(tǒng)計分析是根據(jù)有關(guān)事故的歷史數(shù)據(jù)預(yù)測今后可能發(fā)生的頻率。因此要建立
風(fēng)險數(shù)據(jù)庫���,既作為qra的基礎(chǔ)���,又作為風(fēng)險決策的依據(jù)���。故障樹分析作為一種自上而下的邏輯分析法�,把可能發(fā)生的事故或系統(tǒng)失效(頂事件)與基本部件的失效聯(lián)系起來��,根據(jù)基本部件的失效概率計算出頂事件的發(fā)生概率���。失效理論模型分析是在歷史數(shù)據(jù)與專家經(jīng)驗的基礎(chǔ)上�,采用某種失效理論模型來計算風(fēng)險發(fā)生頻率���。
(4)風(fēng)險測定估計。根據(jù)風(fēng)險特性及類型��,運用一定的數(shù)學(xué)工具測定或估計風(fēng)險大小�。常用方法主要有主觀估計法、客觀估計法���、期望值法、數(shù)學(xué)模型法、隨機(jī)模擬法和馬爾可夫模型法等�。
(5)后果分析。即分析特定風(fēng)險在某種環(huán)境作用下可能導(dǎo)致的各種事故后果及損失��。其方法主要有情景分析與損失分析�����。情景分析通過事件樹模型分析特定風(fēng)險在環(huán)境作用下可能導(dǎo)致的各種事故后果����。損失分析是分析特定后果對其它事物的影響及利益損失并歸結(jié)為某種風(fēng)險指標(biāo)���。
(6)風(fēng)險標(biāo)準(zhǔn)及可接受性。風(fēng)險標(biāo)準(zhǔn)及可接受性應(yīng)遵循最低合理可行(alarp)原則����。alarp原則是指任何系統(tǒng)都存在風(fēng)險�����,而且風(fēng)險水平越低�,即風(fēng)險程度越小要進(jìn)一步減少風(fēng)險越困難��,其成本會呈指數(shù)曲線上升。也就是說��,風(fēng)險改進(jìn)措施投資的邊際效益遞減���,最終趨于零����,甚至為負(fù)值。因此���,必須在風(fēng)險水平與成本間折衷考慮�。如果電力企業(yè)定量風(fēng)險評估所得風(fēng)險水平在不可接受線之上����,則該風(fēng)險被拒絕�,如果風(fēng)險水平在可接受線之下�,則該風(fēng)險可接受�,無需采取風(fēng)險改進(jìn)措施��;如風(fēng)險水平在不可接受線與可接受線之間�����,即落人alarp區(qū)(可容忍區(qū)),這時要進(jìn)行風(fēng)險改進(jìn)措施投資成本風(fēng)險分析或風(fēng)險成本收益分析����。轉(zhuǎn)載于范文中國網(wǎng) �����。
分析結(jié)果如果證明進(jìn)一步增加風(fēng)險改進(jìn)投資對電力企業(yè)的風(fēng)險水平減小貢獻(xiàn)不大���,則該風(fēng)險是可接受的����,即允許該風(fēng)險存在�����,以節(jié)省投資成本�����。alarp原則的經(jīng)濟(jì)學(xué)解釋類似投入要素的邊際收益遞減規(guī)律一樣�,風(fēng)險與風(fēng)險措施投入間的風(fēng)險曲線也呈邊際收益遞減規(guī)律�。
3.3 電力企業(yè)qra常用方法
篇5
0�����、引言
電力作為高風(fēng)險產(chǎn)業(yè)�����,不僅源于其公用事業(yè)屬性�����,以及技術(shù)資金密集����、供求瞬時平衡、生產(chǎn)運行連續(xù)等特征����,同時電力項目投資額巨大���、建設(shè)周期長、沉沒成本高��,而且��,隨著電力體制改革和電力市場建設(shè)進(jìn)程的深入����,市場主體越來越多,電力交易關(guān)系復(fù)雜,不同主體之間協(xié)調(diào)困難,電力行業(yè)規(guī)劃建設(shè)����、生產(chǎn)經(jīng)營的不確定性加大、電力市場風(fēng)險增加。根據(jù)“十一五”期間電力體制改革的任務(wù),面對我國電力市場化發(fā)展的現(xiàn)狀�����,增強(qiáng)風(fēng)險意識�����,樹立風(fēng)險觀念,加強(qiáng)風(fēng)險管理將是電力企業(yè)的重要任務(wù)�。本文在闡述了企業(yè)風(fēng)險管理基本框架流程及其主要內(nèi)容的基礎(chǔ)上,提出電力企業(yè)定量風(fēng)險評估的主要內(nèi)容及方法����,以期推動電力系統(tǒng)風(fēng)險管理工作的開展。
1、風(fēng)險管理的主要內(nèi)容
風(fēng)險作為客觀存在,要求人們考察研究風(fēng)險時�,要從決策角度認(rèn)識到風(fēng)險與人們有目的活動、行動方案選擇及事物的未來變化有關(guān)���。風(fēng)險的形成過程和風(fēng)險的客觀性、損失性�、不確定性特征共同構(gòu)成風(fēng)險形成機(jī)制分析和風(fēng)險管理的基礎(chǔ)����。
人們一般對風(fēng)險持厭惡態(tài)度��,都想減小風(fēng)險損失,追求風(fēng)險與收益的均衡優(yōu)化��。風(fēng)險管理的提出與發(fā)展與企業(yè)發(fā)展?fàn)顩r����、社會背景密不可分。風(fēng)險管理作為一門管理學(xué)科�,首先在美國應(yīng)運而生���,之后傳到西歐����、亞洲���、拉丁美洲。美國大多數(shù)企業(yè)都設(shè)置專職部門進(jìn)行風(fēng)險管理����,許多大學(xué)的工商管理學(xué)院都開設(shè)風(fēng)險管理課程����。風(fēng)險管理作為一門科學(xué)與藝術(shù)�,既需要定性分析,又需要定量估計��;既要求理性,又要求人性�����;不但需要多學(xué)科理論指導(dǎo)����,還需要多種方法支持。
源于風(fēng)險意識的風(fēng)險管理主要包括風(fēng)險分析�、風(fēng)險評價與風(fēng)險控制三大部份����。根據(jù)風(fēng)險形成的過程�,風(fēng)險分析需要進(jìn)行風(fēng)險辨識��、風(fēng)險估計��。風(fēng)險估計需要進(jìn)行頻率分析與后果分析�����,而后果分析又包括情景分析與損失分析���。通過風(fēng)險分析�����,可得到特定系統(tǒng)所有風(fēng)險的風(fēng)險估計��,對此再參照相應(yīng)的風(fēng)險標(biāo)準(zhǔn)及可接受性��,判斷系統(tǒng)的風(fēng)險是否可接受�����,是否采取安全措施��,這就是風(fēng)險評價�����。風(fēng)險分析與風(fēng)險評價總稱為風(fēng)險評估���。為進(jìn)行風(fēng)險定量化估算����,要進(jìn)行定量風(fēng)險評估(quantitative risk assessment—qra)。在風(fēng)險評估的基礎(chǔ)上�����,針對風(fēng)險狀況采取相應(yīng)的措施與對策方案���,以控制、抑制��、降低風(fēng)險����,即風(fēng)險控制����。風(fēng)險管理不僅要定性分析風(fēng)險因素�、風(fēng)險事故及損失狀況,而且要盡可能基于風(fēng)險標(biāo)準(zhǔn)及可接受性對風(fēng)險進(jìn)行定量評價。對于以盈利為目的的工業(yè)企業(yè)也希望將風(fēng)險損失價值化并給出貨幣衡量標(biāo)準(zhǔn)。風(fēng)險管理就是風(fēng)險分析�����、風(fēng)險評價��、風(fēng)險控制三者密切相聯(lián)的動態(tài)過程��,見圖1����。
2�、風(fēng)險管理的組織實施與基本流程
為有效實施風(fēng)險管理���,企業(yè)應(yīng)由專門的組織及相關(guān)人員按一定程序組織實施風(fēng)險管理工作�����。據(jù)《幸?����!冯s志對美國500多家大公司的調(diào)查知,84%的公司由中層以上的經(jīng)理人員負(fù)責(zé)風(fēng)險管理。風(fēng)險管理的趨勢是董事會下屬設(shè)立風(fēng)險管理委員會全面負(fù)責(zé)公司風(fēng)險管理,組織實施的流程是:①制定風(fēng)險管理規(guī)劃;②風(fēng)險辯識����;③風(fēng)險評估;④風(fēng)險管理策略方案選擇�;⑤風(fēng)險管理策略實施��;⑥風(fēng)險管理策略實施評價�。
3、電力企業(yè)定量風(fēng)險評估(qra)
電力企業(yè)qra的建立與發(fā)展從內(nèi)部來看,不僅已有可靠性分析、安全分析���、質(zhì)量管理�、項目管理等各專業(yè)分析作基礎(chǔ),從外部而言有電力用戶�、政府與社會公眾、咨詢機(jī)構(gòu)等眾多相關(guān)主體的關(guān)注�。電力企業(yè)qra對企業(yè)的作用主要體現(xiàn)在:通過qra有利于企業(yè)將風(fēng)險水平控制在規(guī)定標(biāo)準(zhǔn)的風(fēng)險水平之內(nèi)��,并符合最低合理可行原則;通過開展qra可幫助企業(yè)全面識別風(fēng)險,并按輕重緩急排序���,以有助于管理者將精力�����、財力�����、物力集中于風(fēng)險控制的重要緊急領(lǐng)域���,使風(fēng)險管理決策更為合理、效果更好�、成本最小����;通過對各種風(fēng)險控制方案或安全改進(jìn)措施進(jìn)行qra,使決策者對方案措施進(jìn)行優(yōu)劣選擇�,為公司提出決策支持。電力企業(yè)的風(fēng)險將對其它企業(yè)和主體帶來連帶影響���,并產(chǎn)生放大效應(yīng)�,電力系統(tǒng)安全、可靠�����、高效�����、優(yōu)質(zhì)是各行各業(yè)和政府管理部門共同的愿望����。電力企業(yè)實施qra具有現(xiàn)實意義���。
3.1 電力企業(yè)qha的基本框架模式
電力企業(yè)qra是指在工業(yè)系統(tǒng)qra的基礎(chǔ)上�,考慮電力系統(tǒng)的技術(shù)經(jīng)濟(jì)特點及運行規(guī)律���,結(jié)合電力體制改革及電力市場化進(jìn)程而以概率模型表征的全面風(fēng)險管理理論方法���。為便于實施風(fēng)險管理,保證風(fēng)險評估質(zhì)量�,滿足風(fēng)險評估過程各階段的不同要求,構(gòu)建如圖3所示的適用于電力企業(yè)qra的基本框架模式。在具體實施時��,允許依實際情況而有所改變����。
3.2 電力企業(yè)qra的主要工作內(nèi)容
(1)確定目標(biāo)及范圍。包括風(fēng)險管理的目的與意義�,待分析系統(tǒng)的設(shè)備配置、工作流程����、資金、人員��、管
理��、信息�、地區(qū)、人文環(huán)境等�����,即確定qra實現(xiàn)目標(biāo)和實施條件等���。
(2)風(fēng)險辨識���。即找出待評價系統(tǒng)中所有潛在的風(fēng)險因素�,并進(jìn)行初步分析����,通過安全檢查看系統(tǒng)是否達(dá)到規(guī)范要求。風(fēng)險辯識的基本途徑有歷史事故統(tǒng)計分析�����、安全檢查表分析�����、風(fēng)險與可操作性研究(hzops)���、故障模式與影響分析(fmea)、故障模式影響及危急分析(fmeca)�、故障樹分析(eta)、事故樹分析(eta)�、風(fēng)險分析調(diào)查表、保單檢視表���、資產(chǎn)風(fēng)險暴露分析表���、財務(wù)報表����、流程圖�、現(xiàn)場檢查表、風(fēng)險趨勢估計表等�。為配合保險公司對出險事項的處理,可采用從下至上的歸納法����、從上至下的演繹法及兩者綜合運用。針對特定風(fēng)險��,可選用基于系統(tǒng)平面布置的區(qū)域分析��、隱含事件分析�、德爾菲法及基于事故樹分析的風(fēng)險事故網(wǎng)絡(luò)法等。風(fēng)險辯識不只局限于系統(tǒng)硬件��,還應(yīng)考慮人為因素��、組織制度等系統(tǒng)軟件��。
風(fēng)險綜合集成是指對所有風(fēng)險按其特性類型分門別類加以匯總因電力工業(yè)特點及電力市場化改革特點��,把電力系統(tǒng)風(fēng)險按廠網(wǎng)分開的行業(yè)結(jié)構(gòu)進(jìn)行分類。
對于發(fā)電企業(yè)而言���,主要有電源規(guī)劃風(fēng)險�����、報價競價上網(wǎng)風(fēng)險���、供求平衡風(fēng)險、市場力抑制風(fēng)險���、備用容量風(fēng)險���、信用風(fēng)險�����、法律風(fēng)險�、項目風(fēng)險、中介機(jī)構(gòu)風(fēng)險等�。對于電網(wǎng)企業(yè)而言,主要有電網(wǎng)規(guī)劃風(fēng)險���、電網(wǎng)融資風(fēng)險���、購電電價風(fēng)險�、電力交易轉(zhuǎn)移風(fēng)險�、輔助服務(wù)風(fēng)險、成本分?jǐn)傦L(fēng)險�、輸電阻塞風(fēng)險、輸電能力風(fēng)險��、備用率風(fēng)險��、電力監(jiān)管風(fēng)險等�����。另外���,電力企業(yè)還將面臨電力可靠性����、安全性�����、穩(wěn)定性風(fēng)險及電能質(zhì)量風(fēng)險等。
風(fēng)險綜合集成后的初步風(fēng)險分析是對已辯識出的風(fēng)險進(jìn)行初步分析評估�����,確定風(fēng)險的等級或水平�。風(fēng)險水平低的可忽略不計或僅作定性評估,風(fēng)險水平高的要在定性分析基礎(chǔ)上����,進(jìn)行定量評估。
(3)頻率分析����。即確定風(fēng)險可能發(fā)生的頻率,其方法主要有歷史數(shù)據(jù)統(tǒng)計分析���、故障樹分析與失效理論模型分析�。歷史數(shù)據(jù)統(tǒng)計分析是根據(jù)有關(guān)事故的歷史數(shù)據(jù)預(yù)測今后可能發(fā)生的頻率��。因此要建立
風(fēng)險數(shù)據(jù)庫�,既作為qra的基礎(chǔ)�����,又作為風(fēng)險決策的依據(jù)。故障樹分析作為一種自上而下的邏輯分析法�����,把可能發(fā)生的事故或系統(tǒng)失效(頂事件)與基本部件的失效聯(lián)系起來����,根據(jù)基本部件的失效概率計算出頂事件的發(fā)生概率。失效理論模型分析是在歷史數(shù)據(jù)與專家經(jīng)驗的基礎(chǔ)上�,采用某種失效理論模型來計算風(fēng)險發(fā)生頻率。
(4)風(fēng)險測定估計��。根據(jù)風(fēng)險特性及類型����,運用一定的數(shù)學(xué)工具測定或估計風(fēng)險大小。常用方法主要有主觀估計法���、客觀估計法��、期望值法���、數(shù)學(xué)模型法、隨機(jī)模擬法和馬爾可夫模型法等�����。
(5)后果分析。即分析特定風(fēng)險在某種環(huán)境作用下可能導(dǎo)致的各種事故后果及損失���。其方法主要有情景分析與損失分析��。情景分析通過事件樹模型分析特定風(fēng)險在環(huán)境作用下可能導(dǎo)致的各種事故后果����。損失分析是分析特定后果對其它事物的影響及利益損失并歸結(jié)為某種風(fēng)險指標(biāo)����。
(6)風(fēng)險標(biāo)準(zhǔn)及可接受性。風(fēng)險標(biāo)準(zhǔn)及可接受性應(yīng)遵循最低合理可行(alarp)原則��。alarp原則是指任何系統(tǒng)都存在風(fēng)險����,而且風(fēng)險水平越低,即風(fēng)險程度越小要進(jìn)一步減少風(fēng)險越困難�,其成本會呈指數(shù)曲線上升。也就是說���,風(fēng)險改進(jìn)措施投資的邊際效益遞減����,最終趨于零�����,甚至為負(fù)值��。因此��,必須在風(fēng)險水平與成本間折衷考慮��。如果電力企業(yè)定量風(fēng)險評估所得風(fēng)險水平在不可接受線之上��,則該風(fēng)險被拒絕�����,如果風(fēng)險水平在可接受線之下�,則該風(fēng)險可接受,無需采取風(fēng)險改進(jìn)措施�;如風(fēng)險水平在不可接受線與可接受線之間,即落人alarp區(qū)(可容忍區(qū))�����,這時要進(jìn)行風(fēng)險改進(jìn)措施投資成本風(fēng)險分析或風(fēng)險成本收益分析。
分析結(jié)果如果證明進(jìn)一步增加風(fēng)險改進(jìn)投資對電力企業(yè)的風(fēng)險水平減小貢獻(xiàn)不大��,則該風(fēng)險是可接受的�����,即允許該風(fēng)險存在�����,以節(jié)省投資成本����。alarp原則的經(jīng)濟(jì)學(xué)解釋類似投入要素的邊際收益遞減規(guī)律一樣�,風(fēng)險與風(fēng)險措施投入間的風(fēng)險曲線也呈邊際收益遞減規(guī)律。 3.3 電力企業(yè)qra常用方法
篇6
1)主要內(nèi)容
等級保護(hù)是指導(dǎo)我國信息安全保障體系總體建設(shè)的基礎(chǔ)管理原則����,是圍繞信息安全保障全過程的一項基礎(chǔ)性管理制度�����,其核心內(nèi)容是對信息安全分等級、按標(biāo)準(zhǔn)進(jìn)行建設(shè)�����、管理和監(jiān)督。
2)優(yōu)點
等級保護(hù)適用于宏觀層面�����,是一種大范圍“基線安全”�,適用于行業(yè)主管部門對信息安全的總體把握與監(jiān)控����。
3)缺點
具體到某個組織的信息安全保護(hù)而言,等級保護(hù)的粒度劃分較粗�,在滿足組織對信息安全的精細(xì)控制要求方面還存在不足。因此���,在滿足監(jiān)管部門的等級保護(hù)要求之后,組織還可進(jìn)一步把等級細(xì)化到各種層次的安全域��,直至對一個個的信息資產(chǎn)進(jìn)行有效管理。
2.信息安全管理體系(ISMS)
1)主要內(nèi)容
類似于質(zhì)量之于ISO9000�����,ISMS是組織為提高信息安全管理水平�,按照ISO27001的要求,在整體或特定范圍內(nèi)監(jiān)理的信息安全方針和目標(biāo)�,以及完成這些目標(biāo)所用的方法和體系。它是直接管理活動的結(jié)果���,表示為方針�����、原則���、目標(biāo)�����、方法�����、計劃�、活動��、程序����、過程和資源的集合�。
2)優(yōu)點
ISMS涉及了信息安全的11個領(lǐng)域��,133個控制措施����,基本涵蓋了信息安全的方方面面,適用于各種類型的組織用來建立一個總體的安全控制框架;ISMS更注重于把“安全管理”當(dāng)作一種制度來建設(shè),通過建立統(tǒng)一的方針、策略,以及規(guī)范化安全規(guī)則����,使ISMS實施主體能有效地識別風(fēng)險�����,持續(xù)不斷地采取管控措施,以把風(fēng)險降低到組織可接受的程度�。
3)缺點
它只是描述了建立ISMS的思想�、框架���,但對如何建立ISMS并沒有一個詳細(xì)明確的定義�,也沒有描述ISMS的最終形態(tài);沒有確定建立信息安全體系的具體方法與技術(shù)�����。因此�����,ISMS對實施者來說留下來很大的可操作空間�,不同的組織和不同實施著對ISMS標(biāo)準(zhǔn)的把握可能差別很大����,ISMS總體水平也會有高下之分。
3.風(fēng)險評估
1)主要內(nèi)容
風(fēng)險評估是獲知組織當(dāng)前風(fēng)險水平的一種手段���,在金融、電子商務(wù)等許多領(lǐng)域都是有風(fēng)險及風(fēng)險評估需求的存在��。當(dāng)風(fēng)險評估應(yīng)用于IT安全領(lǐng)域時,就是對信息安全的風(fēng)險評估����。
2)優(yōu)點
風(fēng)險評估從早起簡單的漏洞掃描���、人工審計、滲透性測試這種類型的純技術(shù)操作����,逐漸過渡到目前普遍采用ISO17799、OCTAVE�����、NIST SP800����、NIST P800-26����、NIST SP800-30、AS/NZS4360�����、SSE-CMM等方法,充分體現(xiàn)以資產(chǎn)為出發(fā)點��、以威脅為觸發(fā)����、以技術(shù)/管理/運行等方面存在的脆弱性為誘因的信息安全風(fēng)險評估綜合方法及操作模型。
國內(nèi)這幾年對信息安全風(fēng)險評估的研究進(jìn)展較快,具體的評估方法也在不斷改進(jìn)。原國信辦2004年組織完成了《信息安全風(fēng)險評估指南》及《信息安全風(fēng)險管理指南》標(biāo)準(zhǔn)草案的制定��,并在其中規(guī)定了信息安全風(fēng)險評估的工作流程��、評估內(nèi)容、評估方法和風(fēng)險判斷準(zhǔn)測�����,對規(guī)范我國信息安全風(fēng)險評估的做法具有很好的指導(dǎo)意義�����。
3)缺點
篇7
隨著中國企業(yè)不斷發(fā)展壯大���,全球化進(jìn)程的不斷推進(jìn),越來越多的中國企業(yè)走向海外進(jìn)行投資�。然而,2004年以來中國共有14家企業(yè)在海外發(fā)生巨額虧損�,14個項目累計虧損達(dá)950.5億元�。商務(wù)部公布的最新統(tǒng)計數(shù)字顯示�,中國目前已經(jīng)在全球177個國家、地區(qū)境外投資企業(yè)13000家�,對外投資積累達(dá)到2457億美元�����。2010年上半年中國作為收購方的并購交易額����,排在美國之后,居全球第二位�。2011年7月初���,中鋁宣布澳大利亞昆士蘭奧魯昆鋁土礦資源開發(fā)項目最終告吹,項目損失高達(dá)3.4億元�����;2011年6月,中國鐵建投資沙特輕軌項目虧損達(dá)人民幣41.48億元��;2009年底,中化集團(tuán)在海外投資的3個油氣田項目�,累計虧損1526.62萬美元���;2009年9月,中國中鐵在波蘭A2高速公路項目虧損���,合同總額4.47億美元。還有一些海外投資虧損具體損失沒有數(shù)據(jù)顯示����。如此巨額的投資虧損不難看出走出去的國有企業(yè)在內(nèi)部風(fēng)險管理方面還有很大的提升空間�。
在我國�,風(fēng)險管理是企業(yè)管理中一個相對薄弱的環(huán)節(jié)����,風(fēng)險意識不強(qiáng)�、風(fēng)險管理工作薄弱��,是企業(yè)發(fā)生重大風(fēng)險事件的重要原因。2006年6月,國資委制定并了《中央企業(yè)全面風(fēng)險管理指引》(以下簡稱“指引”),對于建立健全風(fēng)險管理長效機(jī)制�����,推動風(fēng)險管理工作具有一定的意義�。2008年6月財政部《企業(yè)內(nèi)部控制基本規(guī)范》,強(qiáng)調(diào)企業(yè)應(yīng)當(dāng)建立實施風(fēng)險評估程序����。然而就2006年國資委在中央企業(yè)推行全面風(fēng)險管理工作以來����,雖然有較好的效果�����,但仍然存在一定改進(jìn)空間��。本文力求從企業(yè)風(fēng)險識別及評估的實踐角度,論述全面風(fēng)險管理思想在企業(yè)實踐中如何更好的增強(qiáng)風(fēng)險意識�、融入企業(yè)文化,為形成自上而下���、全員風(fēng)險管理的企業(yè)風(fēng)險管理文化提供支持。
一、企業(yè)全面風(fēng)險管理理論簡介
1.企業(yè)風(fēng)險的定義:2006年國資委的指引對企業(yè)風(fēng)險的定義是��,指未來的不確定性對企業(yè)實現(xiàn)其經(jīng)營目標(biāo)的影響���。將企業(yè)風(fēng)險一般可分為戰(zhàn)略風(fēng)險�、財務(wù)風(fēng)險�����、市場風(fēng)險����、運營風(fēng)險��、法律風(fēng)險等���;并將能否為企業(yè)帶來盈利等機(jī)會為標(biāo)志,將風(fēng)險分為純粹風(fēng)險(只有帶來損失一種可能性)和機(jī)會風(fēng)險(帶來損失和盈利的可能性并存)。本文提到的風(fēng)險主要是指僅帶來損失可能性的純粹風(fēng)險��。
2.全面風(fēng)險管理:根據(jù)指引的定義�,指企業(yè)圍繞總體經(jīng)營目標(biāo)�,通過在企業(yè)管理的各個環(huán)節(jié)和經(jīng)營過程中執(zhí)行風(fēng)險管理的基本流程�,培育良好的風(fēng)險管理文化�����,建立健全全面風(fēng)險管理體系,包括風(fēng)險管理策略���、風(fēng)險理財措施����、風(fēng)險管理的組織職能體系�、風(fēng)險管理信息系統(tǒng)和內(nèi)部控制系統(tǒng),從而為實現(xiàn)風(fēng)險管理的總體目標(biāo)提供合理保證的過程和方法。
3.風(fēng)險管理基本流程:指引將全面風(fēng)險管理工作分為五個步驟,如圖所示:
本文主要側(cè)重從收集風(fēng)險管理初始信息及風(fēng)險評估的實踐角度,研究分析如何有效的開展風(fēng)險識別及風(fēng)險評估工作,為制定合理�、可行的風(fēng)險管理策略及解決方案提供可靠保障�。根據(jù)指引的規(guī)定,風(fēng)險管理初始信息及風(fēng)險評估的解釋如下:
(1)風(fēng)險管理初始信息:實施全面風(fēng)險管理�����,企業(yè)應(yīng)廣泛�、持續(xù)不斷地收集與本企業(yè)風(fēng)險和風(fēng)險管理相關(guān)的內(nèi)部�����、外部初始信息�����,包括歷史數(shù)據(jù)和未來預(yù)測。應(yīng)把收集初始信息的職責(zé)分工落實到各有關(guān)職能部門和業(yè)務(wù)單位�。
(2)風(fēng)險評估:企業(yè)應(yīng)對收集的風(fēng)險管理初始信息和企業(yè)各項業(yè)務(wù)管理及其重要業(yè)務(wù)流程進(jìn)行風(fēng)險評估���。風(fēng)險評估包括風(fēng)險辨識��、風(fēng)險分析、風(fēng)險評價三個步驟。
風(fēng)險辨識是指查找企業(yè)各業(yè)務(wù)單元、各項重要經(jīng)營活動及其重要業(yè)務(wù)流程中有無風(fēng)險�����,有哪些風(fēng)險����。
風(fēng)險分析是對辨識出的風(fēng)險及其特征進(jìn)行明確的定義描述���,分析和描述風(fēng)險發(fā)生可能性的高低、風(fēng)險發(fā)生的條件。
風(fēng)險評價是評估風(fēng)險對企業(yè)實現(xiàn)目標(biāo)的影響程度、風(fēng)險的價值等�。
二�、企業(yè)風(fēng)險識別及風(fēng)險評估實踐方法論介紹
1.風(fēng)險識別方法的介紹及應(yīng)用:
(1)資產(chǎn)財務(wù)狀況分析法:即按照企業(yè)的資產(chǎn)負(fù)債表及損益表��、現(xiàn)金流量表等的財務(wù)資料,風(fēng)險管理人員經(jīng)過實際的調(diào)查研究,對企業(yè)財務(wù)狀況進(jìn)行分析,發(fā)現(xiàn)其潛在風(fēng)險。通過對公司資產(chǎn)、負(fù)債、收入利潤構(gòu)成狀況的分析判斷公司經(jīng)營管理結(jié)構(gòu)���,初步判斷風(fēng)險可能存在的主要環(huán)節(jié)。通過財務(wù)指標(biāo)與行業(yè)的橫向?qū)Ρ确治黾?-5年的縱向分析判斷風(fēng)險的形成及變化情況。
(2)風(fēng)險專家調(diào)查列舉法:根據(jù)資產(chǎn)財務(wù)狀況分析法確定的風(fēng)險出現(xiàn)范圍及變化情況,由風(fēng)險管理人員對該企業(yè)、單位可能面臨的風(fēng)險逐一列出,根據(jù)指引要求劃分為戰(zhàn)略風(fēng)險�、財務(wù)風(fēng)險���、市場風(fēng)險��、運營風(fēng)險��、法律風(fēng)險五大類。根據(jù)對企業(yè)所處行業(yè)的分析及對企業(yè)內(nèi)部環(huán)境的了解,將五大類風(fēng)險中涉及的風(fēng)險因素進(jìn)行列示�����,主要體現(xiàn)企業(yè)所處行業(yè)面臨的固有風(fēng)險�����。通過訪談�����、相關(guān)資料收集了解針對固有風(fēng)險企業(yè)所采取的公司層面控制措施�,并分析判斷公司層面的剩余風(fēng)險。
固有風(fēng)險是指管理層不采取任何措施減少其發(fā)生可能性或影響程度的情況下,原本就存在的風(fēng)險。
剩余風(fēng)險是指考慮企業(yè)內(nèi)部控制活動的有效性之后��,仍然會發(fā)生某方面或多方面的損失的風(fēng)險��,考慮的是經(jīng)過公司內(nèi)部控制管理之后風(fēng)險仍有可能造成的影響��。
(3)分析解析法:指將一復(fù)雜的事物分解為多個比較簡單的事物����,將大系統(tǒng)分解為具體的組成要素,從中分析可能存在的風(fēng)險及潛在損失的威脅���。根據(jù)調(diào)研結(jié)果整理出的剩余風(fēng)險�,分析各項風(fēng)險之間的邏輯關(guān)系�。通過調(diào)研及歷史數(shù)據(jù)搜集��,整理出企業(yè)的風(fēng)險事件�����,研究分析風(fēng)險事件的發(fā)生原因,造成的影響��,與各項剩余風(fēng)險進(jìn)行邏輯關(guān)系對接���,從而形成風(fēng)險邏輯關(guān)系圖�����。
(4)流程分析法:該種方法強(qiáng)調(diào)根據(jù)不同的流程,對每一階段和環(huán)節(jié)����,逐個進(jìn)行調(diào)查分析,找出風(fēng)險存在的原因��。通過訪談收集資料梳理企業(yè)流程現(xiàn)狀���,識別流程目標(biāo)、流程層面風(fēng)險及控制措施���,并將目標(biāo)、風(fēng)險及控制措施進(jìn)行匹配��。發(fā)現(xiàn)流程層面的剩余風(fēng)險���,即缺少控制及控制失效的流程風(fēng)險。
通過上述方法的應(yīng)用�,可發(fā)現(xiàn)公司層面風(fēng)險并進(jìn)行分析分解,進(jìn)一步發(fā)現(xiàn)流程層面風(fēng)險����。
2.風(fēng)險評估方法的介紹及應(yīng)用
(1)問卷調(diào)查法:通過將識別出的公司層面剩余風(fēng)險按照風(fēng)險分類編制成公司層面調(diào)查問卷����,向公司管理人員發(fā)放調(diào)查問卷,了解公司管理人員對公司層面風(fēng)險的判斷�����。將識別出的公司層面剩余風(fēng)險按照風(fēng)險發(fā)生可能性和影響程度劃分級別���,通過發(fā)生可能性與影響程度的乘積確定風(fēng)險等級。
(2)離散度分析法:將問卷調(diào)查結(jié)果進(jìn)行離散度測試分析,對各項風(fēng)險的問卷結(jié)果進(jìn)行逐項分析,找出離散度較大的風(fēng)險����,訪談風(fēng)險離散度較高的評分人員�,進(jìn)一步了解原因及風(fēng)險表現(xiàn)情況�����。將調(diào)查問卷填寫不完整�����、不合理或者離散度較大的情況進(jìn)行調(diào)整����,形成公司層面風(fēng)險地圖,將風(fēng)險劃分為一般風(fēng)險、重要風(fēng)險、重大風(fēng)險分布在風(fēng)險地圖上�����。
(3)管理層訪談法:將問卷調(diào)查結(jié)果及離散度分析結(jié)果匯總后��,掌握公司管理層對初步識別的風(fēng)險等級排序結(jié)果的判斷���。通過了解公司管理層的信息�����,對風(fēng)險出現(xiàn)的原因���,可能導(dǎo)致的影響進(jìn)行更為深入的溝通和分析�����。
(4)德爾菲法:是采用背對背的方式征詢專家小組成員的意見��,經(jīng)過幾輪征詢,使專家小組的意見趨于集中�����,最后做出相對合理的結(jié)論�。德爾菲法又名專家意見法,是依據(jù)系統(tǒng)的程序����,采用匿名發(fā)表意見的方式,即團(tuán)隊成員之間不得互相討論�����,不發(fā)生橫向聯(lián)系���,只能與調(diào)查人員發(fā)生關(guān)系���,以反復(fù)的填寫問卷,以集結(jié)問卷填寫人的共識及搜集各方意見�����,可用來構(gòu)造團(tuán)隊溝通流程���,應(yīng)對復(fù)雜任務(wù)難題的管理技術(shù)根據(jù)初次問卷調(diào)查的分析結(jié)果�����。風(fēng)險評估環(huán)節(jié)使用德爾菲法���,結(jié)合離散度分析及管理層的意見反饋,組織公司主要管理人員參加風(fēng)險討論會�。對風(fēng)險等級排序靠前的風(fēng)險逐項討論,進(jìn)行第二輪背對背的問卷調(diào)查�����,統(tǒng)一管理人員對公司層面風(fēng)險的認(rèn)識����,并積極討論應(yīng)對策略,明確風(fēng)險的責(zé)任歸屬�。根據(jù)集體討論的最終結(jié)果,形成最終的公司層面風(fēng)險排序結(jié)果�����。
三�、風(fēng)險識別及評估實踐方法論的應(yīng)用說明及局限性
1.企業(yè)全面風(fēng)險管理工作在開展過程中往往存在“落地難”的問題����,采用有效的風(fēng)險識別方法能夠相對準(zhǔn)確的找出公司層面存在的主要問題����。由于公司層面風(fēng)險涉及范圍較廣,邏輯關(guān)系相對復(fù)雜��,容易出現(xiàn)識別風(fēng)險顆粒度不一致的問題����。如何有效的體現(xiàn)實際存在的公司層面風(fēng)險,并以相對清晰的邏輯關(guān)系進(jìn)行列示和關(guān)聯(lián)���,可能直接影響到風(fēng)險評估環(huán)節(jié)的合理有效性����,需要在實際工作中不斷的摸索總結(jié)��。
2.企業(yè)全面風(fēng)險管理工作要與內(nèi)控體系建設(shè)工作緊密結(jié)合�。本文介紹的風(fēng)險識別及評估方法主要基于公司層面風(fēng)險的識別與評估,制定風(fēng)險管理策略���、提出風(fēng)險管理方案及監(jiān)督改進(jìn)的工作與內(nèi)控體系建設(shè)工作相結(jié)合��,將公司層面風(fēng)險進(jìn)一步分解為流程層面風(fēng)險�,會更有助于全面風(fēng)險管理工作的落地�����。
3.本文主要從定性分析的角度提供了公司層面風(fēng)險識別及評估的方法及應(yīng)用實踐�����,對于定量分析的內(nèi)容尚未進(jìn)行有效說明�,有待進(jìn)一步探索研究。
篇8
農(nóng)業(yè)機(jī)械是指在作物種植業(yè)和畜牧業(yè)生產(chǎn)過程中�,以及農(nóng)、畜產(chǎn)品初加工和處理過程中所使用的各種機(jī)械���。農(nóng)業(yè)機(jī)械包括農(nóng)用動力機(jī)械��、農(nóng)田建設(shè)機(jī)械�、土壤耕作機(jī)械��、種植和施肥機(jī)械�、植物保護(hù)機(jī)械、農(nóng)田排灌機(jī)械�、作物收獲機(jī)械�����、農(nóng)產(chǎn)品加工機(jī)械�����、畜牧業(yè)機(jī)械和農(nóng)業(yè)運輸機(jī)械等�。農(nóng)機(jī)安全是指從人的需要出發(fā)��,在操作者使用機(jī)械的全過程中�����,達(dá)到使人的身心免受外界因素危害的存在狀態(tài)和保障條件��。簡單來講��,就是農(nóng)機(jī)設(shè)備本身應(yīng)當(dāng)符合安全要求�,并且設(shè)備操作者在操作時應(yīng)該符合安全要求。
1.2農(nóng)機(jī)風(fēng)險評價
農(nóng)機(jī)風(fēng)險評價是以實現(xiàn)人—機(jī)系統(tǒng)安全為目的����,根據(jù)安全系統(tǒng)工程原理,采用科學(xué)的方法和程序識別、評估與農(nóng)機(jī)有關(guān)的風(fēng)險�����,分析農(nóng)機(jī)事故的發(fā)生原因��,并據(jù)此制定相關(guān)措施降低風(fēng)險的過程�。該過程一般從對農(nóng)業(yè)機(jī)械限制的確定開始��,繼而通過危險辨識確定出潛在的危險有害因素���,然后對風(fēng)險進(jìn)行評估和評定�,據(jù)此采取相應(yīng)措施消除或減小風(fēng)險���。農(nóng)機(jī)風(fēng)險評價的整體流程如圖1所示��。
2農(nóng)業(yè)機(jī)械風(fēng)險分析
2.1機(jī)械限制的確定
機(jī)械限制分為預(yù)定使用和可預(yù)見誤用兩種類型��,應(yīng)該考慮農(nóng)業(yè)機(jī)械壽命周期的所有階段�,包括:①使用限制�����,主要指農(nóng)業(yè)機(jī)械的適用范圍以及農(nóng)機(jī)操作者的限制方面(性別、年齡��、用手習(xí)慣等)����;②空間限制,主要考慮農(nóng)業(yè)機(jī)械的運動范圍�����、安裝和使用的空間要求��、機(jī)械所需動力源要求等�;③時間限制,具體指農(nóng)業(yè)機(jī)械及其組件的“壽命”�����、規(guī)定保養(yǎng)的時間間隔等����;④其他限制,如環(huán)境條件(作業(yè)時的最高溫度和最低溫度����,氣候潮濕或干燥,對粉塵和濕氣的耐受力)、農(nóng)機(jī)的室內(nèi)管理和作業(yè)對象的特性[4]����。
2.2農(nóng)業(yè)機(jī)械危險識別
2.2.1農(nóng)業(yè)機(jī)械危險分類
一般而言,農(nóng)業(yè)機(jī)械危險主要分為3大類[5]:①機(jī)械危險��,也就是作業(yè)過程中����,農(nóng)機(jī)設(shè)備直接造成人身傷亡事故的災(zāi)害性因素�����。機(jī)械危險的主要形式有擠壓�����、剪切���、拉入��、纏繞����、轉(zhuǎn)動、蓄能和切割等�。②非機(jī)械危險,主要是指在機(jī)械設(shè)備生產(chǎn)過程以及作業(yè)環(huán)境中能導(dǎo)致傷亡(非機(jī)械性損傷)事故或誘發(fā)職業(yè)病的因素����。非機(jī)械危險的主要形式有電氣危險(如農(nóng)用電機(jī)繞組絕緣不良使外殼帶電)、高熱危險(如高熱的機(jī)體�����,熾熱的排氣管)���、噪聲危險(如柴油機(jī)發(fā)動噪聲)和振動危險(如手把���、座椅振動)。③其他危險�����,這類危險主要由于操作者及其他客觀條件(如路面狀況�、氣候、危險材料和物質(zhì)等)引起的��,如農(nóng)機(jī)道路交通事故�����、傾翻、絆倒和跌落等����。不同機(jī)械可能產(chǎn)生不同形式的危險,危險識別的目的是在機(jī)械限制范圍內(nèi)確定并形成危險���、危險環(huán)境和危險事件的清單��。
2.2.2危險識別方法
危險識別主要有兩種方法:自上而下和自下而上[6](如圖2所示)���。自上而下的方法以潛在傷害(如切斷�、刺傷)為出發(fā)點確定危險原因,即引發(fā)危險事件的操作�、危險環(huán)境等。自下而上的方法則是以所有可能的危險為起點�����,在確定的危險環(huán)境下����,考慮所有可能出錯的途徑(如人為差錯�、部件失效)和導(dǎo)致傷害的方式���。兩種方法相比較后者考慮較為全面�����,但過程復(fù)雜��,所需時間較長��。
2.3農(nóng)業(yè)機(jī)械風(fēng)險評估
機(jī)械傷害產(chǎn)生的前提是要有危險的存在���,但有危險不一定都產(chǎn)生傷害。風(fēng)險評估的目的是根據(jù)危險識別的結(jié)果對每種危險狀態(tài)的風(fēng)險要素進(jìn)行評估����,進(jìn)而確定風(fēng)險,并對其進(jìn)行等級劃分���。根據(jù)風(fēng)險的定義�,一般把事故發(fā)生概率和事故后果嚴(yán)重程度作為基本的風(fēng)險要素���。
2.3.1事故發(fā)生概率的確定
根據(jù)相關(guān)資料���,農(nóng)機(jī)事故發(fā)生概率主要受以下3個因素的影響:操作人員在危險中的暴露程度�����、危險事件的發(fā)生狀況���、限制或者避免危險事件發(fā)生的可能性。據(jù)此可以根據(jù)下面的內(nèi)容來確定事故發(fā)生概率這一風(fēng)險要素的等級:1)操作人員暴露于危險區(qū)域的時間以及進(jìn)入危險區(qū)域的人數(shù)和頻率�����。等級劃分一般為:罕見暴露�����、偶然暴露����、每天工作時間暴露和連續(xù)暴露�。2)危險事件發(fā)生頻率,等級劃分一般為:幾乎不發(fā)生����、不太可能發(fā)生�、可能發(fā)生����、非常可能發(fā)生和必然發(fā)生�����。3)限制或避免傷害發(fā)生的可能性�����,等級劃分一般為:不可能和可能�。
2.3.2事故后果嚴(yán)重程度的確定
該要素的等級可以通過受傷害人數(shù)和人體健康受傷害的嚴(yán)重程度來確定,可以把以往的歷史數(shù)據(jù)作為基礎(chǔ)資料�,將事故后果嚴(yán)重程度等級劃分如下:1)災(zāi)難性的:導(dǎo)致死亡或永久殘廢的傷害或疾病;2)嚴(yán)重的:導(dǎo)致人體嚴(yán)重虛弱的傷害或疾病;3)中等的:要求救護(hù)的顯著傷害或疾病;4)輕微的:至多需要急救的輕傷或沒有受傷。
2.4農(nóng)業(yè)機(jī)械風(fēng)險評估方法選擇
風(fēng)險評估方法包括定性評估和定量評估兩類���?��?蓱?yīng)用于農(nóng)業(yè)機(jī)械風(fēng)險評估的方法主要有風(fēng)險矩陣法、風(fēng)險圖法�、評分法以及綜合評估法等。這些方法不但可以對風(fēng)險水平進(jìn)行排序����,還可以通過減少風(fēng)險的多少去評估采取的措施�,進(jìn)而選擇最佳解決辦法���。風(fēng)險矩陣法[7]是其中應(yīng)用較廣的一種機(jī)械風(fēng)險評估方法���,它針對每一類危險要素,將決定危險的兩個風(fēng)險因素劃分為相應(yīng)等級����,形成矩陣,從而根據(jù)交叉單元對風(fēng)險大小進(jìn)行定性評估����。風(fēng)險矩陣法主要包括4個步驟:選擇風(fēng)險矩陣、評價事故發(fā)生概率����、評價事故后果嚴(yán)重程度和確定風(fēng)險等級。其中���,在風(fēng)險矩陣的選擇方面,對于同一個危險要素�����,不同的風(fēng)險矩陣可以選擇不同風(fēng)險等級。等級范圍通常選擇3級到10級����,最常用的等級是4級和5級。表1給出了風(fēng)險等級為4級的風(fēng)險矩陣列表���。
3風(fēng)險評定
在風(fēng)險評估之后要進(jìn)行風(fēng)險評定�����,即根據(jù)選擇的評價方法對評估出的全部風(fēng)險要素的綜合作用進(jìn)行評定�。評定完成之后會得到相應(yīng)的風(fēng)險列表排序���,然后結(jié)合實際情況和具體機(jī)械�,與可接受的風(fēng)險等級進(jìn)行比較��,如果風(fēng)險在可接受范圍內(nèi)�,則該風(fēng)險評價過程結(jié)束;如果風(fēng)險是不可接受的,則需要采取措施減小風(fēng)險����,然后再次按照圖1的流程進(jìn)行風(fēng)險評價�,直到所有風(fēng)險都達(dá)到風(fēng)險可接受的范圍��。
4基于WSR的農(nóng)機(jī)風(fēng)險減少策略
WSR是“物理(wuli)—事理(shili)—人理(ren-li)”方法論的簡稱[8]���,它是一種帶有東方色彩的方法論����,也是一種解決復(fù)雜問題的工具����,由中國學(xué)者在1994年提出。其中��,物理指物質(zhì)運動機(jī)理���、運動規(guī)律的總和;事理指做事的道理��,也就是管理規(guī)律����,決策方法等;人理指整個活動群體中的各種人際關(guān)系���。根據(jù)WSR理論�����,在處理復(fù)雜問題時既要考慮對象“物”的方面����,又要考慮這些“物”如何被更好地運用于“事”��,同時還必須考慮人在認(rèn)識問題�����、處理問題以及實施管理決策中的作用����。把W,S�����,R放在一起�,從而達(dá)到知物理,明事理�����,通人理,系統(tǒng)�、完整地解決問題。作為一種方法論�,WSR在具體的實踐過程中具有重要的指導(dǎo)作用。
4.1農(nóng)業(yè)機(jī)械風(fēng)險減小的“物理”基礎(chǔ)
風(fēng)險減少中的“物理”因素主要包括農(nóng)業(yè)機(jī)械的設(shè)計原理��、操作規(guī)程以及識別出的所有危險因素等各種客觀存在��。這些客觀存在是對農(nóng)機(jī)安全的正確認(rèn)識�����,是符合農(nóng)機(jī)安全規(guī)律的科學(xué)基礎(chǔ)���,也是采取有效措施減少風(fēng)險的前提����。因此�����,在擬定安全措施前要根據(jù)原有物質(zhì)基礎(chǔ)對備選解決方案的可操作性進(jìn)行把握���。
4.2農(nóng)業(yè)機(jī)械風(fēng)險減小的“事理”準(zhǔn)則
風(fēng)險減小需要采取一定的措施����,而措施的擬定就是在“物理”的基礎(chǔ)上進(jìn)行“事理”分析的過程,也就是要根據(jù)風(fēng)險評定結(jié)果�,尋求降低風(fēng)險的最佳解決方案�,并力求以最小投入達(dá)到最優(yōu)結(jié)果。風(fēng)險減小中的“事理”主要體現(xiàn)在:①在明確“物理”因素的基礎(chǔ)上�,尋求更有效地降低風(fēng)險的方法和途徑。例如�,農(nóng)機(jī)上轉(zhuǎn)動手柄的人性化設(shè)計、農(nóng)業(yè)機(jī)械安全設(shè)計技術(shù)創(chuàng)新方向的判斷等都是“事理”因素在技術(shù)層面上的體現(xiàn)��。②根據(jù)風(fēng)險評定結(jié)果�����,編制農(nóng)機(jī)安全事故應(yīng)急預(yù)案����。應(yīng)急預(yù)案是應(yīng)急行動快速、高效實施的保證���,可以嚴(yán)防事故進(jìn)一步擴(kuò)大����,有助于將事故對人員、財產(chǎn)的損失降至最低程度�。農(nóng)機(jī)事故應(yīng)急預(yù)案是從根本上降低損失、減小風(fēng)險的措施�,因此也屬于“事理”的一種體現(xiàn)。③個人的行為方式和特點對風(fēng)險減少措施制定和實施的影響����。對于同一種危險因素,不同的人可能主張采取不同措施來降低風(fēng)險����。這是由不同個體知識儲備、經(jīng)驗以及能力等方面的差異造成的����,屬于正常現(xiàn)象���,也是“事理”因素發(fā)揮作用的一種表現(xiàn)形式����。在風(fēng)險減小措施的制定過程中����,“事理”因素居于首要地位��,只有做到“明事理”才能快速找到減小風(fēng)險的最優(yōu)措施�。
4.3農(nóng)業(yè)機(jī)械風(fēng)險減小的“人理”保障
風(fēng)險減小的目的主要是為了保障人員安全����,而這一過程也是通過人來實現(xiàn)的,因此人在整個風(fēng)險減小措施制定的過程中居于主體地位����,這是“人理”因素的體現(xiàn)�����。制定措施減小風(fēng)險的過程也是一個決策過程�����,該過程中涉及到的人員比較復(fù)雜�,設(shè)計者、監(jiān)理方以及使用者三方人員代表不同的利益范疇����,對風(fēng)險的要求由于身份的不同而有所差別��。同時�����,每個人的情緒����、心理素質(zhì)���、價值取向�����、行為動機(jī)等都會存在差距�,并且這種差距一直處于動態(tài)變化之中�,因此在制定風(fēng)險減小措施的過程中應(yīng)該尋找那些能夠制約或者推動個人行為的影響因素并加以重視,從而保證所選方案的順利實施��。此外����,從宏觀方面來看,農(nóng)業(yè)機(jī)械化的法制建設(shè)也屬于農(nóng)機(jī)風(fēng)險減少的“人理”范疇���。健全的立法機(jī)制可以促使相關(guān)人員在農(nóng)業(yè)機(jī)械的生產(chǎn)��、使用�����、維修等過程中按規(guī)定辦事��,可以在一定程度上減小風(fēng)險���。與國外相比[9]�,我國的農(nóng)業(yè)機(jī)械化立法機(jī)制還不夠健全��,應(yīng)當(dāng)吸取經(jīng)驗����,不斷完善���。簡而言之����,“人理”就是風(fēng)險減小過程中所有涉及人員的相互關(guān)系及其變化過程�����,并且通過研究和理順這種關(guān)系,促使有關(guān)人員在現(xiàn)有“物理”的基礎(chǔ)上��,按照可接受的“事理”將農(nóng)業(yè)機(jī)械風(fēng)險控制在可接受水平之內(nèi)����。由此可見,“人理”在3者之中處于主體地位�,是農(nóng)業(yè)機(jī)械風(fēng)險減少的保障。
篇9
關(guān)鍵詞:數(shù)字校園��;風(fēng)險評估����;信息安全
中圖分類號:TP309 文獻(xiàn)標(biāo)志碼:B 文章編號:1673-8454(2012)23-0030-04
一、引言
數(shù)字校園是以校園網(wǎng)為背景的集教學(xué)��、管理和服務(wù)為一體的一種新型的數(shù)字化工作�����、學(xué)習(xí)和生活環(huán)境���。一個典型的數(shù)字校園包括各種常用網(wǎng)絡(luò)服務(wù)����、共享數(shù)據(jù)庫、身份認(rèn)證平臺�����、各種業(yè)務(wù)管理系統(tǒng)和信息門戶網(wǎng)站等[1]�����。數(shù)字校園作為一個龐大復(fù)雜的信息系統(tǒng)�,構(gòu)建和維護(hù)一個良好的信息安全管理體系是一項非常重要的基礎(chǔ)管理工作。
信息安全風(fēng)險評估是構(gòu)建和維護(hù)信息安全管理體系的基礎(chǔ)和關(guān)鍵環(huán)節(jié)�,它通過識別組織的重要信息資產(chǎn)、資產(chǎn)面臨的威脅以及資產(chǎn)自身的脆弱性�����,評估外部威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性�����,判斷安全事件發(fā)生后對組織造成的影響��。對數(shù)字校園進(jìn)行信息安全風(fēng)險評估有助于及時發(fā)現(xiàn)和解決存在的信息安全問題��,保證數(shù)字校園的業(yè)務(wù)連續(xù)性����,并為構(gòu)建一個良好的信息安全管理體系奠定堅實基礎(chǔ)。
二��、評估標(biāo)準(zhǔn)
由于信息安全風(fēng)險評估的基礎(chǔ)性作用�,包括我國在內(nèi)的信息化程度較高的國家以及相關(guān)國際組織都非常重視相關(guān)標(biāo)準(zhǔn)和方法的研究。目前比較成熟的標(biāo)準(zhǔn)和方法有ISO制定的《IT信息安全管理指南》(ISO/IEC13335)和《信息安全管理體系要求》(ISO/IEC27001:2005)����、美國NIST制定的SP800系列標(biāo)準(zhǔn)、美國CMU軟件工程研究所下屬的CERT協(xié)調(diào)中心開發(fā)的OCTAVE2.0以及我國制定的《信息安全技術(shù)——信息安全風(fēng)險評估規(guī)范》(GB/T20984-2007)����。
ISO/IEC27001系列標(biāo)準(zhǔn)于2005年10月15日正式,作為一種全球性的信息安全管理國際標(biāo)準(zhǔn)適用于任何組織的信息安全管理活動���,同時也為評估組織的信息安全管理水平提供依據(jù)���。但是ISO27001系列標(biāo)準(zhǔn)沒有制定明確的信息安全風(fēng)險評估流程,組織可以自行選擇適合自身特點的信息安全風(fēng)險評估方法�����,如OCTAVE2.0等[2][3]。
為了指導(dǎo)我國信息安全風(fēng)險評估工作的開展����,我國于2007年11月正式頒布了《信息安全技術(shù)——信息安全風(fēng)險評估規(guī)范》(GB/T20984-2007),這是我國自主研究和制定的信息安全風(fēng)險評估標(biāo)準(zhǔn)���,該標(biāo)準(zhǔn)與ISO27001系列標(biāo)準(zhǔn)思想一致����,但對信息安全風(fēng)險評估過程進(jìn)行了細(xì)化��,使得更加適合我國企業(yè)或者組織的信息安全風(fēng)險評估工作開展�。
三、評估流程
《信息安全技術(shù)——信息安全風(fēng)險評估規(guī)范》(GB/T20984-2007)等標(biāo)準(zhǔn)為風(fēng)險評估提供了方法論和流程��,為風(fēng)險評估各個階段的工作制定了規(guī)范�,但標(biāo)準(zhǔn)沒有規(guī)定風(fēng)險評估實施的具體模型和方法,由風(fēng)險評估實施者根據(jù)業(yè)務(wù)特點和組織要求自行決定���。本文根據(jù)數(shù)字校園的業(yè)務(wù)流程和所屬資產(chǎn)的特點��,參考模糊數(shù)學(xué)、OCTAVE的構(gòu)建威脅場景理論和通用弱點評價體系(CVSS)等風(fēng)險評估技術(shù),提出了數(shù)字校園信息安全風(fēng)險評估的具體流程和整體框架����,如圖1所示。
據(jù)圖1可知���,數(shù)字校園的信息安全風(fēng)險評估首先在充分識別數(shù)字校園的信息資產(chǎn)��、資產(chǎn)面臨的威脅以及可被威脅利用的資產(chǎn)脆弱性的基礎(chǔ)上����,確定資產(chǎn)價值����、威脅等級和脆弱性等級,然后根據(jù)風(fēng)險矩陣計算得出信息資產(chǎn)的風(fēng)險值分布表���。數(shù)字校園信息安全風(fēng)險評估的詳細(xì)流程如下:
(1)資產(chǎn)識別:根據(jù)數(shù)字校園的業(yè)務(wù)流程��,從硬件�����、軟件���、電子數(shù)據(jù)���、紙質(zhì)文檔、人員和服務(wù)等方面對數(shù)字校園的信息資產(chǎn)進(jìn)行識別����,得到資產(chǎn)清單。資產(chǎn)的賦值要考慮資產(chǎn)本身的實際價格����,更重要的是要考慮資產(chǎn)對組織的信息安全重要程度,即信息資產(chǎn)的機(jī)密性�、完整性和可用性在受到損害后對組織造成的損害程度,預(yù)計損害程度越高則賦值越高����。
在確定了資產(chǎn)的機(jī)密性、完整性和可用性的賦值等級后�����,需要經(jīng)過綜合評定得出資產(chǎn)等級�����。綜合評定方法一般有兩種:一種方法是選取資產(chǎn)機(jī)密性、完整性和可用性中最為重要的一個屬性確定資產(chǎn)等級���;還有一種方法是對資產(chǎn)機(jī)密性、完整性和可用性三個賦值進(jìn)行加權(quán)計算�,通常采用的加權(quán)計算公式有相加法和相乘法,由組織根據(jù)業(yè)務(wù)特點確定���。
設(shè)資產(chǎn)的機(jī)密性賦值為��,完整性賦值為����,可用性賦值為����,資產(chǎn)等級值為,則
相加法的計算公式為v=f(x��,y���,z)=ax+by+cz��,其中a+b+c=1(1)
(2)威脅識別:威脅分為實際威脅和潛在威脅��,實際威脅識別需要通過訪談和專業(yè)檢測工具�����,并通過分析入侵檢測系統(tǒng)日志�、服務(wù)器日志、防火墻日志等記錄對實際發(fā)生的威脅進(jìn)行識別和分類�����。潛在威脅識別需要查詢資料分析當(dāng)前信息安全總體的威脅分析和統(tǒng)計數(shù)據(jù)����,并結(jié)合組織業(yè)務(wù)特點對潛在可能發(fā)生的威脅進(jìn)行充分識別和分類。
(3)脆弱性識別:脆弱性是資產(chǎn)的固有屬性��,既有信息資產(chǎn)本身存在的漏洞也有因為不合理或未正確實施的管理制度造成的隱患�����。軟件系統(tǒng)的漏洞可以通過專業(yè)的漏洞檢測軟件進(jìn)行檢測��,然后通過安裝補(bǔ)丁程序消除�。而管理制度造成的隱患需要進(jìn)行充分識別,包括對已有的控制措施的有效性也一并識別。
(4)威脅—脆弱性關(guān)聯(lián):為了避免單獨對威脅和脆弱性進(jìn)行賦值從而造成風(fēng)險分析計算結(jié)果出現(xiàn)偏差�����,需要按照OCTAVE中的構(gòu)建威脅場景方法將“資產(chǎn)-威脅-脆弱性-已有安全控制措施”進(jìn)行關(guān)聯(lián)�����。
(5)風(fēng)險值計算:在資產(chǎn)�����、威脅�����、脆弱性賦值基礎(chǔ)上�����,利用風(fēng)險計算方法計算每個“資產(chǎn)-威脅-脆弱性”相關(guān)聯(lián)的風(fēng)險值�����,并最終得到整個數(shù)字校園的風(fēng)險值分布表�,并依據(jù)風(fēng)險接受準(zhǔn)則���,確認(rèn)可接受和不可接受的風(fēng)險�����。
四��、評估實例
本文以筆者所在高職院校的數(shù)字校園作為研究對象實例����,利用前面所述的信息安全風(fēng)險評估流程對該實例對象進(jìn)行信息安全風(fēng)險評估。
1.資產(chǎn)識別與評估
數(shù)字校園的資產(chǎn)識別與評估包括資產(chǎn)識別和資產(chǎn)價值計算��。
(1)資產(chǎn)識別
信息安全風(fēng)險評估專家�����、數(shù)字校園管理技術(shù)人員和數(shù)字校園使用部門代表共同組成數(shù)字校園信息資產(chǎn)識別小組���,小組通過現(xiàn)場清查����、問卷調(diào)查���、查看記錄和人員訪談等方式��,按照數(shù)字校園各個業(yè)務(wù)系統(tǒng)的工作流程���,詳細(xì)地列出數(shù)字校園的信息資產(chǎn)清單�����。這些信息資產(chǎn)從類別上可以分為硬件(如服務(wù)器�����、存儲設(shè)備、網(wǎng)絡(luò)設(shè)備等)���、軟件(OA系統(tǒng)��、郵件系統(tǒng)���、網(wǎng)站等)、電子數(shù)據(jù)(各種數(shù)據(jù)庫��、各種電子文檔等)��、紙質(zhì)文檔(系統(tǒng)使用手冊、工作日志等)���、人員和服務(wù)等���。為了對資產(chǎn)進(jìn)行標(biāo)準(zhǔn)化管理,識別小組對各個資產(chǎn)進(jìn)行了編碼�����,便于標(biāo)準(zhǔn)化和精確化管理����。
(2)資產(chǎn)價值計算
獲得數(shù)字校園的信息資產(chǎn)詳細(xì)列表后,資產(chǎn)識別小組召開座談會確定每個信息資產(chǎn)的價值���,即對資產(chǎn)的機(jī)密性���、完整性、可用性進(jìn)行賦值�����,三性的賦值為1~5的整數(shù)����,1代表對組織造成的影響或損失最低�����,5代表對組織造成的影響或損失最高����。確定資產(chǎn)的信息安全屬性賦值后���,結(jié)合該數(shù)字校園的特點�����,采用相加法確定資產(chǎn)的價值���。該數(shù)字校園的軟件類資產(chǎn)計算樣例表如下表1所示。
由于資產(chǎn)價值的計算結(jié)果為1~5之間的實數(shù)����,為了與資產(chǎn)的機(jī)密性、完整性���、可用性賦值相對應(yīng)�����,需要對資產(chǎn)價值的計算結(jié)果歸整�,歸整后的數(shù)字校園軟件類資產(chǎn)的資產(chǎn)等級結(jié)果如表1所示。
因為數(shù)字校園的所有信息資產(chǎn)總數(shù)龐大�����,其中有些很重要���,有些不重要����,重要的需要特別關(guān)注重點防范��,不重要的可以不用考慮或者減少投入�。在識別出所有資產(chǎn)后,還需要列出所有的關(guān)鍵信息資產(chǎn)�����,在以后的日常管理中重點關(guān)注�����。不同的組織對關(guān)鍵資產(chǎn)的判斷標(biāo)準(zhǔn)不完全相同,本文將資產(chǎn)等級值在4以上(包括4)的資產(chǎn)列為關(guān)鍵信息資產(chǎn)��,并在資產(chǎn)識別清單中予以注明����,如表1所示。
2.威脅和脆弱性識別與評估
數(shù)字校園與其他計算機(jī)網(wǎng)絡(luò)信息系統(tǒng)一樣面臨著各種各樣的威脅��,同時數(shù)字校園作為一種在校園內(nèi)部運行的網(wǎng)絡(luò)信息系統(tǒng)面臨的威脅的種類和分布有其自身特點��。任何威脅總是通過某種具體的途徑或方式作用到特定的信息資產(chǎn)之上���,通過破壞資產(chǎn)的一個或多個安全屬性而產(chǎn)生信息安全風(fēng)險�����,即任何威脅都是與資產(chǎn)相關(guān)聯(lián)的��,一項資產(chǎn)可能面臨多個威脅�,一個威脅可能作用于多項資產(chǎn)�。威脅的識別方法是在資產(chǎn)識別階段形成的資產(chǎn)清單基礎(chǔ)上�����,以關(guān)鍵資產(chǎn)為重點,從系統(tǒng)威脅��、自然威脅��、環(huán)境威脅和人員威脅四個方面對資產(chǎn)面臨的威脅進(jìn)行識別�����。在分析數(shù)字校園實際發(fā)生的網(wǎng)絡(luò)威脅時����,需要檢查入侵檢測系統(tǒng)、服務(wù)器日志文件等記錄的數(shù)據(jù)�。
脆弱性是指資產(chǎn)中可能被威脅所利用的弱點。數(shù)字校園的脆弱性是數(shù)字校園在開發(fā)��、部署�、運維等過程中由于技術(shù)不成熟或管理不完善產(chǎn)生的一種缺陷。它如果被相關(guān)威脅利用就有可能對數(shù)字校園的資產(chǎn)造成損害�����,進(jìn)而對數(shù)字校園造成損失����。數(shù)字校園的脆弱性可以分為技術(shù)脆弱性和管理脆弱性兩種��。技術(shù)脆弱性主要包括操作系統(tǒng)漏洞�、網(wǎng)絡(luò)協(xié)議漏洞�、應(yīng)用系統(tǒng)漏洞、數(shù)據(jù)庫漏洞���、中間件漏洞以及網(wǎng)絡(luò)中心機(jī)房物理環(huán)境設(shè)計缺陷等等��。管理脆弱性主要由技術(shù)管理與組織管理措施不完善或執(zhí)行不到位造成���。
技術(shù)脆弱性的識別主要采用問卷調(diào)查、工具檢測����、人工檢查、文檔查閱���、滲透性測試等方法�����。因為大部分技術(shù)脆弱性與軟件漏洞有關(guān)�����,因此使用漏洞檢測工具檢測脆弱性����,可以獲得較高的檢測效率����。本文采用啟明星辰公司研發(fā)的天鏡脆弱性掃描與管理系統(tǒng)對數(shù)字校園進(jìn)行技術(shù)脆弱性識別和評估。
管理脆弱性識別的主要內(nèi)容就是對數(shù)字校園現(xiàn)有的安全控制措施進(jìn)行識別與確認(rèn)��,有效的安全控制措施可以降低安全事件發(fā)生的可能性�����,無效的安全控制措施會提高安全事件發(fā)生的可能性�����。安全控制措施大致分為技術(shù)控制措施��、管理和操作控制措施兩大類���。技術(shù)控制措施隨著數(shù)字校園的建立�����、實施����、運行和維護(hù)等過程同步建設(shè)與完善,具有較強(qiáng)的針對性�����,識別比較容易��。管理和操作控制措施識別需要對照ISO27001標(biāo)準(zhǔn)的《信息安全實用規(guī)則指南》或NIST的《最佳安全實踐相關(guān)手冊》制訂的表格進(jìn)行����,避免遺漏。
3.風(fēng)險計算
完成數(shù)字校園的資產(chǎn)識別�、威脅識別、脆弱性識別和已有控制措施識別任務(wù)后����,進(jìn)入風(fēng)險計算階段。
對于像數(shù)字校園這類復(fù)雜的網(wǎng)絡(luò)信息系統(tǒng)�����,需要采用OCTAVE標(biāo)準(zhǔn)提供的“構(gòu)建威脅場景”方法進(jìn)行風(fēng)險分析?!皹?gòu)建威脅場景”方法基于“具體問題、具體分析”的原則����,理清“資產(chǎn)-威脅-脆弱性-已有控制措施”的內(nèi)在聯(lián)系�,避免了孤立地評價威脅導(dǎo)致風(fēng)險計算結(jié)果出現(xiàn)偏差的局面。表2反映了數(shù)字校園圖書館管理系統(tǒng)的資產(chǎn)�����、威脅���、脆弱性��、已有控制措施的映射示例�。
將“資產(chǎn)—威脅—脆弱性—已有控制措施”進(jìn)行映射后���,就可以按照GB/T20984-2007《信息安全風(fēng)險評估規(guī)范》要求進(jìn)行風(fēng)險計算�����。為了便于計算�,需要將前面各個階段獲得資產(chǎn)、威脅����、脆弱性賦值與表3所示的“資產(chǎn)—威脅—脆弱性—已有控制措施”映射表合并,因為在對脆弱性賦值的時候已經(jīng)考慮了已有控制措施的有效性�,因此可以將已有控制措施去掉。
本文采用的風(fēng)險計算方法為《信息安全風(fēng)險評估規(guī)范》中推薦的矩陣法���,風(fēng)險值計算公式為:R=R(A���,T,V)=R(L(T���,V)F(Ia�,Va))���。其中�����,R表示安全風(fēng)險計算函數(shù)����;A表示資產(chǎn);T表示威脅�;V表示脆弱性;Ia表示安全事件所作用的資產(chǎn)重要程度�����;Va表示脆弱性嚴(yán)重程度����;L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性���;F表示安全事件發(fā)生后產(chǎn)生的損失�����。
風(fēng)險計算的具體步驟是:
(a)根據(jù)威脅賦值和脆弱性賦值����,查詢《安全事件可能性矩陣》計算安全事件可能性值���;
(b)對照《安全事件可能性等級劃分矩陣》將安全事件可能性值轉(zhuǎn)換為安全事件可能性等級值���;
(c)根據(jù)資產(chǎn)賦值和脆弱性賦值��,查詢《安全事件損失矩陣》計算安全事件損失值��;
(d)對照《安全事件損失等級劃分矩陣》將安全事件損失值轉(zhuǎn)換為安全事件損失等級值�;
(e)根據(jù)安全事件可能性等級值和安全事件損失等級值��,查詢《風(fēng)險矩陣》計算安全事件風(fēng)險值�����;
(f)對照《風(fēng)險等級劃分矩陣》將安全事件風(fēng)險值轉(zhuǎn)換為安全事件風(fēng)險等級值��。
所有等級值均采用五級制���,1級最低�����,5級最高�。
五�����、結(jié)束語
數(shù)字校園是現(xiàn)代高校信息化的重要基礎(chǔ)設(shè)施���,數(shù)字校園的安全穩(wěn)定直接關(guān)系到校園的安全穩(wěn)定��,而風(fēng)險評估是保證數(shù)字校園安全穩(wěn)定的一項基礎(chǔ)性工作�。本文的信息安全風(fēng)險評估方法依據(jù)國家標(biāo)準(zhǔn),采用定性和定量相結(jié)合的方式��,保證了信息安全風(fēng)險評估的有效性和科學(xué)性�����,使得風(fēng)險評估結(jié)果能對后續(xù)建立數(shù)字校園的信息安全管理體系起到指導(dǎo)作用�����。
參考文獻(xiàn):
篇10
IT治理的驅(qū)動力意在從董事會等治理層面確立IT的價值和投資的決策機(jī)制���,確保IT戰(zhàn)略與業(yè)務(wù)戰(zhàn)略的一致性,革新性地驅(qū)動業(yè)務(wù)的發(fā)展��。信息安全管理新標(biāo)準(zhǔn)從風(fēng)險與成本的平衡過渡��,到要定期報告信息安全管理績效�,反映了信息安全管理標(biāo)準(zhǔn)的發(fā)展進(jìn)入成熟期,也反映了治理層面更加重視對信息安全投入的預(yù)期監(jiān)控�����,同時對風(fēng)險管理的度量也是相關(guān)方、管理層共同關(guān)心的話題�。
信息安全的目標(biāo)是與業(yè)務(wù)的發(fā)展目標(biāo)高度一致的���,因此新標(biāo)準(zhǔn)要求信息安全風(fēng)險管理要聚焦信息��,而信息是融合在整個業(yè)務(wù)流程中的����。新的標(biāo)準(zhǔn)摒棄了原來識別資產(chǎn)���、資產(chǎn)威脅與脆弱性的方法論�����,肯定了管理層面以業(yè)務(wù)價值為基礎(chǔ)���,識別信息、確定信息的價值�,也更方便與其他以業(yè)務(wù)流程為基礎(chǔ)的ISO管理標(biāo)準(zhǔn)相融合。
由于更加關(guān)注業(yè)務(wù)���,新標(biāo)準(zhǔn)要求對業(yè)務(wù)����、對組織目標(biāo)的理解,從內(nèi)外部環(huán)境包括宏觀政策����、技術(shù)發(fā)展、行業(yè)動向���、微觀的組織環(huán)境來分析�����,此外還要考慮環(huán)境因素對業(yè)務(wù)的影響和對信息安全的要求����。
信息安全風(fēng)險在新標(biāo)準(zhǔn)里變得更加生動���、中性。新標(biāo)準(zhǔn)要求定義風(fēng)險責(zé)任人���,這個責(zé)任人更可能是業(yè)務(wù)的負(fù)責(zé)人或某項具體活動的負(fù)責(zé)人��,而不僅僅是IT人員���。對信息安全風(fēng)險的偏好與態(tài)度完全與組織的全面風(fēng)險管理框架相融合����。
IT技術(shù)對新標(biāo)準(zhǔn)的影響
云技術(shù)的廣泛應(yīng)用�����、外包業(yè)務(wù)的興起���,讓供應(yīng)鏈的安全風(fēng)險管理從組織的戰(zhàn)略層面到日常運作層面都要進(jìn)行識別��、利用��、控制�����。新標(biāo)準(zhǔn)新增供應(yīng)鏈關(guān)系管理�����,關(guān)注供應(yīng)鏈關(guān)系中的信息安全和服務(wù)商交付過程的信息安全���。
同時����,大數(shù)據(jù)的興起使得數(shù)據(jù)泄露的風(fēng)險加大���,標(biāo)準(zhǔn)將加密控制從一個控制目標(biāo)項上升為一個控制域�;此外����,移動互聯(lián)影響著人們的生活和辦公,新標(biāo)準(zhǔn)也新增了移動設(shè)備使用的安全策略�����。
在組織層面�����,除了日常運作�����,管理者還需特別考慮項目的信息安全管理��,這也是新增控制項�。同時,完善了系統(tǒng)開發(fā)的全生命周期信息安全管理�,包括需求分析、開發(fā)環(huán)境�、測試數(shù)據(jù)保護(hù)、測試驗收�����、變更管理���、開發(fā)外包管理等控制項�。
新技術(shù)和風(fēng)險點的出現(xiàn)�����,使得風(fēng)險處理采取的控制措施不再拘泥于附錄A�。附錄A僅作為基本必須的選項(見標(biāo)準(zhǔn)條款 6.1.3c)。
篇11
銀行業(yè)的創(chuàng)新�、違規(guī)活動和全球化使銀行業(yè)經(jīng)營活動變得更加復(fù)雜,潛在危險更大。這些都在構(gòu)建銀行業(yè)的持續(xù)監(jiān)管方面向監(jiān)管者提出了新挑戰(zhàn)�。反過來,監(jiān)管者們?yōu)榱顺掷m(xù)地對銀行進(jìn)行監(jiān)測和評估,已經(jīng)開發(fā)出新的方法和程序���。在銀行風(fēng)險預(yù)警研究和實踐方面,G10國家走在前列,他們開發(fā)與完善了多種銀行風(fēng)險預(yù)警系統(tǒng)。
一����、銀行監(jiān)管評級系統(tǒng)
銀行機(jī)構(gòu)監(jiān)管評級是從現(xiàn)場檢查評估的基礎(chǔ)上發(fā)展起來的。經(jīng)過最近幾年的發(fā)展,這種方法也被應(yīng)用到非現(xiàn)場監(jiān)管活動中��。無論是在監(jiān)管當(dāng)局有權(quán)進(jìn)行現(xiàn)場檢查還是無權(quán)進(jìn)行現(xiàn)場檢查的監(jiān)管體制下,銀行監(jiān)管評級系統(tǒng)都有助于確認(rèn)出那些其狀況需要引起特別注意的機(jī)構(gòu)�����。
1.監(jiān)管評級實踐
在20世紀(jì)90年代,美國監(jiān)管當(dāng)局通過使用CAMEL評級系統(tǒng),首次將評級方法引入銀行機(jī)構(gòu)現(xiàn)場檢查活動中���。它被美聯(lián)儲�、OCC,以及美國存款保險公司(FDIC)等三家監(jiān)管機(jī)構(gòu)所使用����。綜合評級結(jié)果處于1(最好)和5(最差)的范圍之間。問題銀行案例(CAMELS評級為4級或5級的機(jī)構(gòu))的現(xiàn)場檢查更頻繁,評級結(jié)果也更頻繁�。與此相反,在穩(wěn)健性銀行案例中(CAMELS評級為1級或者2級的銀行),現(xiàn)場檢查可能只是每隔18個月做一次,同時評級結(jié)果相應(yīng)的每一年或半年更新一次。
美聯(lián)儲使用BOPEC現(xiàn)場檢查評級系統(tǒng)對銀行控股公司進(jìn)行評級��。BOPEC評級方法來源于BOPEC的五個組成部分,即:被銀行存款保險基金覆蓋的銀行分支機(jī)構(gòu)(B),其他分支機(jī)構(gòu)(O),母公司(P),盈利(E)和資本(C),加上一個獨立的管理評級,BOPEC方法的每個組成部分的評級結(jié)果被標(biāo)度成從1(最好)到5(最差)的范圍����。
在20世紀(jì)90年代中期,美國的FDIC監(jiān)管當(dāng)局,發(fā)展和采用了一種季度性的非現(xiàn)場評級系統(tǒng),即CAEL。作為一個專家系統(tǒng)CAEL,利用簡單的比率分析給出一個銀行機(jī)構(gòu)的季度性非現(xiàn)場評級結(jié)果��。它利用銀行季度性的監(jiān)管性財務(wù)報告(call report)計算財務(wù)比率,以便在0.5(最好)到5.5(最差)的標(biāo)度范圍內(nèi)給出銀行的評級結(jié)果���。
法國銀行業(yè)委員會于1997年引入了年度的“防護(hù)行動的組織和加強(qiáng)”(ORAP)評級系統(tǒng),作為一種針對單體銀行的多因素分析系統(tǒng)���。ORAP系統(tǒng)工作在一個經(jīng)過了標(biāo)準(zhǔn)化和形式化的框架內(nèi),在14個方面給出具體的評級。每個評價內(nèi)容都被劃分成1(最好)到5(最差)之間的不同等級����。
2.評論
現(xiàn)場檢查評級可以有效評價一個銀行機(jī)構(gòu)當(dāng)期財務(wù)狀況和確認(rèn)存在的問題。評級給出了銀行機(jī)構(gòu)財務(wù)狀況的參照點,但評級系統(tǒng)的有效時間可能較短?���,F(xiàn)場檢查評級方法并不是特別為跟蹤銀行機(jī)構(gòu)財務(wù)狀況變化而設(shè)計的,并且其結(jié)果可能在檢查過程完成后不久就變得不可靠。美國的研究表明,盡管現(xiàn)場檢查評級方法具有融合監(jiān)管機(jī)密信息和通過監(jiān)管及公共渠道可獲得的信息的優(yōu)點,但在現(xiàn)場檢查過程結(jié)束兩個季度后,這種信息內(nèi)容的價值將開始失去價值���。銀行監(jiān)管評級不能提供事前的觀察,也不能用來把將來可能發(fā)生倒閉的銀行從將來可能繼續(xù)存在的銀行中區(qū)分出來�。而且,他們通常提供銀行機(jī)構(gòu)現(xiàn)存問題事后的特征�����。監(jiān)管者應(yīng)用評級方法主要來確認(rèn)出那些需要立即采取特別監(jiān)管措施的銀行。
二�、財務(wù)比率和同質(zhì)同類組分析系統(tǒng)
1.財務(wù)比率和同質(zhì)同類組分析
銀行的財務(wù)狀況被公認(rèn)為一個相對一致的變量集。這些變量包括一些對資本充足����、資產(chǎn)質(zhì)量、盈利性和流動性的測量,大量的財務(wù)比率指標(biāo)被應(yīng)用到財務(wù)比率和同質(zhì)同類組分析系統(tǒng)里面���。同質(zhì)同類組分析是通過將一組銀行的財務(wù)比率放在一起來進(jìn)行的�。
2.各國應(yīng)用情況
20世紀(jì)90年代后期,美聯(lián)儲發(fā)展了單體銀行監(jiān)測系統(tǒng),來對單體銀行進(jìn)行更詳細(xì)更具體的財務(wù)比率分析,同時將財務(wù)比率作為對具有潛在問題銀行的一個基本過濾器�����。監(jiān)測系統(tǒng)提供30種以上的監(jiān)管類財務(wù)測度��。這些測度根據(jù)銀行的報告每季度測量一次�����。單體銀行監(jiān)測系統(tǒng)在發(fā)現(xiàn)銀行機(jī)構(gòu)的潛在脆弱性,以及銀行的顯著性變化的方面起到了重要的作用��。
德國1997年采用的BAKred信息系統(tǒng)(BAKIS),是一個被德國央行與監(jiān)管當(dāng)局共同使用的綜合性標(biāo)準(zhǔn)化信息系統(tǒng)����。該系統(tǒng)采用財務(wù)比率和同質(zhì)同類組分析作為該系統(tǒng)里面進(jìn)行風(fēng)險評估的一個組成內(nèi)容���。該系統(tǒng)使用了19個信用風(fēng)險比率(包括清償能力),16個市場風(fēng)險比率和2個流動性風(fēng)險比率。同時還有10個關(guān)于盈利性的補(bǔ)充性比率����。在給定的任何時間點上的一個同質(zhì)同類組內(nèi),該系統(tǒng)可以用來審核單體銀行的財務(wù)比率或者根據(jù)風(fēng)險類別來劃分的比率���。
在荷蘭銀行,財務(wù)比率和同質(zhì)同類組分析被作為一種觀察系統(tǒng)來使用,它包括三個產(chǎn)生預(yù)警信息的模塊��。監(jiān)管當(dāng)局基于銀行評級結(jié)果進(jìn)行估計的預(yù)測系統(tǒng),輸入包括一些精選的關(guān)鍵業(yè)績指標(biāo),這些指標(biāo)來自監(jiān)管報告���、年度會計報告、市場信息如一些可獲得的外部評級和股價信息,以及一些宏觀經(jīng)濟(jì)數(shù)據(jù)�。
風(fēng)險評估,監(jiān)管工具以及估計(RATE)的框架,被英格蘭銀行發(fā)展成為一個綜合的銀行風(fēng)險評估系統(tǒng),并于1998年被英國金融服務(wù)機(jī)構(gòu)(FSA)應(yīng)用,在其對銀行機(jī)構(gòu)進(jìn)行正式的風(fēng)險評估階段,也使用了關(guān)鍵比率趨勢和同質(zhì)同類組分析方法。
3.評 論
財務(wù)比率和同質(zhì)同類組分析被看成對銀行檢查的一個有價值的補(bǔ)充��。這種方法已經(jīng)成為非現(xiàn)場監(jiān)測過程的一部分,并作為一個進(jìn)行持續(xù)性監(jiān)管的基本的最小化的工具集�����。然而,最近幾年,它已經(jīng)從一種對某些暗含在現(xiàn)場檢查過程中的主要財務(wù)比率進(jìn)行簡單的非現(xiàn)場計算方法進(jìn)化為一種正式的風(fēng)險評估工具,并使用了很多不同的具有統(tǒng)計形式的比率���。
然而,財務(wù)比率和同質(zhì)同類組分析不足以確認(rèn)出銀行所經(jīng)歷的風(fēng)險的本質(zhì),特別是大型銀行和專業(yè)性銀行機(jī)構(gòu)�。財務(wù)比率是從大量變量中選出來的,各比率與銀行機(jī)構(gòu)財務(wù)狀況之間的相關(guān)程度不一定顯著到中以使它們被選入系統(tǒng)。給每個比率分配的權(quán)重也會顯示出一些局限性�����。這些權(quán)重可能僅僅是在檢查者個人的經(jīng)驗基礎(chǔ)上被確定的,一旦權(quán)重被給定,它們將維持不變,并有可能無法根據(jù)短暫的變化做出調(diào)整,這使評估效果大打折扣����。
三、銀行風(fēng)險綜合評估系統(tǒng)
銀行風(fēng)險綜合評估系統(tǒng)對銀行機(jī)構(gòu)整體風(fēng)險進(jìn)行全面詳細(xì)評估����。該方法將銀行或銀行集團(tuán)分解為顯著的業(yè)務(wù)單位,然后依照一些具體的標(biāo)準(zhǔn)對經(jīng)營風(fēng)險、內(nèi)部結(jié)構(gòu)與控制進(jìn)行評估,根據(jù)標(biāo)準(zhǔn)分類判定分?jǐn)?shù),得出銀行或銀行集團(tuán)的最終評估分?jǐn)?shù)���。這一方法已發(fā)展并在最近被兩家G10監(jiān)管權(quán)威機(jī)構(gòu)所采用���。
1.各國應(yīng)用情況
在英國,單體銀行正式全面的風(fēng)險評估是由英格蘭銀行引入的“比率風(fēng)險評估體系”的一部分,目前為英國金融服務(wù)管理局所應(yīng)用。這一系統(tǒng)對重要經(jīng)營單位的正式風(fēng)險評估在對銀行集團(tuán)經(jīng)營風(fēng)險的九個評估因素的基礎(chǔ)上完成��。每個經(jīng)營領(lǐng)域的風(fēng)險基于六個評估因素,CAMEL-B,即資本�����、資產(chǎn)、市場風(fēng)險���、收益�����、負(fù)債和業(yè)務(wù)及不可量化的風(fēng)險如操作風(fēng)險�����、法律風(fēng)險和信譽風(fēng)險。
荷蘭銀行在1999年建立并運用了銀行風(fēng)險綜合評估方法“風(fēng)險分析支持工具”(RAST)���。所有的風(fēng)險和控制的類別都根據(jù)一個預(yù)設(shè)的矩陣被賦予了權(quán)重����。所有的評估都在1-4的范圍內(nèi)打分,其中1代表最低的風(fēng)險或是最好的控制,而4代表最高的風(fēng)險和最低的控制�。機(jī)構(gòu)風(fēng)險評估結(jié)果要與其償債能力(資本比例)和盈利能力(股本回報率)作比較,分析結(jié)果用于為每個單獨機(jī)構(gòu)的監(jiān)管檢查作計劃。
盡管英國FSA和荷蘭銀行所涉及的理解風(fēng)險評估的方法很相似,二者仍有幾處重要的不同���。RATE匯總的方法論與整個機(jī)構(gòu)的風(fēng)險類別的匯總相關(guān),相反的是,RAST的匯總與商業(yè)單位和基本活動相關(guān)�����。另外,RATE將資本和盈利認(rèn)為是特定的風(fēng)險單元,RAST僅僅認(rèn)為它們是數(shù)據(jù),用于在評估結(jié)束時比較與評估機(jī)構(gòu)的最后得分�。
2.評述
銀行風(fēng)險綜合評估系統(tǒng)涉及到對銀行風(fēng)險的定性和定量評估,由于國內(nèi)外的監(jiān)督機(jī)構(gòu)可能也對相同的銀行機(jī)構(gòu)單體機(jī)構(gòu)或集團(tuán),所以需要互動才能全面評價單體機(jī)構(gòu)或集團(tuán)。該方法唯一同時適用于并表和非并表的單體機(jī)構(gòu)或集團(tuán)���。
四�����、統(tǒng)計模型
統(tǒng)計模型和前面描述的三種方法在兩個基本的方面存在差異���。首先,統(tǒng)計模型直接反映可能導(dǎo)致銀行機(jī)構(gòu)出現(xiàn)問題的風(fēng)險。統(tǒng)計模型力圖在經(jīng)營出現(xiàn)困難或者倒閉發(fā)生之前確認(rèn)高風(fēng)險銀行����。這是與其他三種方法注重銀行當(dāng)期狀況的目標(biāo)是不同的。其次,模型使用了先進(jìn)的定量技術(shù),用來確定解釋變量與諸如銀行的脆弱性��、經(jīng)營困難,以及倒閉和生存等運營結(jié)果之間的因果關(guān)系�。第三,統(tǒng)計模型涉及到久期模型,久期不僅用來進(jìn)行估計銀行的倒閉概率,而且用來估計銀行倒閉的可能時間。
1.各國應(yīng)用情況
目前,只有美國和法國監(jiān)管當(dāng)局使用了統(tǒng)計模型�����。美聯(lián)儲和美國存款保險公司把統(tǒng)計模型作為非現(xiàn)場監(jiān)管工具���。為評估統(tǒng)計模型,美國監(jiān)管當(dāng)局運用了20 世紀(jì)80年代和90早期發(fā)生的倒閉銀行數(shù)據(jù)����。法國銀行業(yè)委員會通過應(yīng)用個人信用數(shù)據(jù)庫和法蘭西銀行的統(tǒng)計,來構(gòu)建自己的統(tǒng)計模型。美國貨幣監(jiān)理署和意大利銀行目前正在開發(fā)和測試早期預(yù)警模型����。但這些開發(fā)或使用中的模型的方法論多種多樣,分為(a)估計評級和評級降級的模型;(b)預(yù)測倒閉和生存的模型;(c)預(yù)期損失模型和(d)其他模型。
(1)估計評級和評級降級的模型
美聯(lián)儲在1993年為了估計檢查評級結(jié)果而開發(fā)了一個雙變量模型系統(tǒng)(SEER),SEER評級模型采用了多項式LOGISTIC回歸,根據(jù)銀行最近的報告數(shù)據(jù)來估計銀行可能的駱駝評級結(jié)果��。
1995年,美國存款保險公司開發(fā)了非現(xiàn)場駱駝統(tǒng)計評級模型(SCOR)取代CAEL非現(xiàn)場評級系統(tǒng)����。該模型使用了LOGIT模型估計CAMELS評級為1或2 的銀行發(fā)生降級的可能性。在SCOR模型下,評級估計的時間水平是4~6個月���。估計結(jié)果將要經(jīng)過12個到18個月以上的檢驗,但是超過6個月后其結(jié)果的精確性將開始降低。
(2)倒閉和生存預(yù)測模型
美聯(lián)儲SEER模型估計在隨后兩年中銀行發(fā)生倒閉(或者平均資產(chǎn)的有形權(quán)益比率低于2%)的概率��。該估計是建立在對銀行最新的財務(wù)報告的提供的財務(wù)狀況的測量基礎(chǔ)上的��。該模型采用了雙變量PROBIT(概率單位)回歸技術(shù)估計倒閉概率�。該模型利用美國1985-1999年期間倒閉銀行的特征估計銀行倒閉與財務(wù)信息間的統(tǒng)計關(guān)系。
意大利銀行正在開發(fā)久期模型,不僅用來評估銀行倒閉的可能性,還包括倒閉時間���??紤]到意大利有關(guān)倒閉機(jī)構(gòu)的數(shù)據(jù)集充分性和廣泛性不足,“倒閉”的定義已經(jīng)被調(diào)整,它將經(jīng)營發(fā)生重大困難的銀行,或者那些被清算以及因經(jīng)營艱難而被接管的銀行。
(3)預(yù)期損失模型
1997年,法國銀行業(yè)委員會開始采用銀行業(yè)分析支持系統(tǒng)(簡稱SAABA)模型�。盡管該模型是一個統(tǒng)計模型,但它也可以通過定性評估來完善定量分析。通過3年期個體潛在損失額加總得出整個信用資產(chǎn)組合的潛在損失總額����。該潛在損失總額數(shù)據(jù)再根據(jù)現(xiàn)有準(zhǔn)備金水平進(jìn)行調(diào)整,未調(diào)整的余額表示未來潛在損失,它要從銀行自由資金的當(dāng)前存量中扣除。如果調(diào)整后銀行自有資金仍然超過8%的最低資本金要求,那么該銀行在未來3年中將保持償付能力���。
(4)其他模型
形成于20世紀(jì)80年代中期的美國聯(lián)邦存款保險公司(FDIC)增長監(jiān)測系統(tǒng)(GMS)是一種簡單的早期預(yù)警系統(tǒng),它以6個概要性指標(biāo)的水平及季度趨勢為基礎(chǔ)計算得到綜合增長監(jiān)測系統(tǒng)(GMS)得分���。擁有最高的綜合GMS得分百分點(目前為95-99個百分點)則需要進(jìn)一步的非現(xiàn)場監(jiān)管,監(jiān)管當(dāng)局也可以對得分低于95個百分點的銀行、特別是CAMEL評級得分不高的銀行實施額外監(jiān)管�����。
1995年,英格蘭銀行提出(但未實施)了觸發(fā)比率調(diào)整機(jī)制(TRAM)早期預(yù)警模型,該模型通過各種統(tǒng)計方法和主觀判斷對銀行業(yè)機(jī)構(gòu)實施評估�。此類評估涉及銀行業(yè)功能的三個主要方面,即利潤流、風(fēng)險情況,以及控制與結(jié)構(gòu)���。各組成部分分?jǐn)?shù)及TRAM總分?jǐn)?shù)較高,將表明該銀行業(yè)機(jī)構(gòu)存在潛在問題�。
2. 評述
早期預(yù)警統(tǒng)計模型依據(jù)嚴(yán)格的定量分析���。因此,模型中沒能反映諸如管理質(zhì)量����、內(nèi)部控制以及信用文化、承銷標(biāo)準(zhǔn)等銀行特有的定性因素的影響�。但事實上,定性因素特別是管理效率高低也是銀行破產(chǎn)的重要原因。然而,很少有模型將管理質(zhì)量進(jìn)行量化或為管理績效尋找現(xiàn)實可行的替代指標(biāo)���。這些模型也沒有考慮由于諸如欺詐或行為不當(dāng)?shù)绕渌墙鹑谝蛩貙?dǎo)致的破產(chǎn)風(fēng)險�。
在統(tǒng)計模型中,重要的是正確識別因果變量及其相互關(guān)系以確保包括重要變量,排除偽造變量�����。而且,辨別因果關(guān)系的一致性同樣重要���。模型中包含的變量需要嚴(yán)格的統(tǒng)計程序和經(jīng)濟(jì)推理���。在模型中,在評估期被固定時,自變量一旦被選定也應(yīng)固定不變,這一點尤為關(guān)鍵�����。變量的選擇應(yīng)建立在對其解釋和預(yù)測能力進(jìn)行嚴(yán)格統(tǒng)計檢驗的基礎(chǔ)上�����。在動態(tài)模型中,在評估期變動的情況下,應(yīng)定期對解釋變量的重要性進(jìn)行檢驗,一旦檢驗結(jié)果顯示其作為解釋和預(yù)測變量的重要性已下降,這些變量從模型中排除。
至于變量的選擇,賦予的權(quán)重取決于單個解釋變量的重要性和預(yù)測能力,并經(jīng)過嚴(yán)格的檢驗確定下來���。而且,為確保評估的準(zhǔn)確性,賦予解釋變量的權(quán)重應(yīng)保持連續(xù)性��。
獲取大量清晰可靠的原始數(shù)據(jù)是早期預(yù)警模型運行的關(guān)鍵因素���。模型預(yù)測結(jié)果的可靠性取決于輸入的原始數(shù)據(jù)的準(zhǔn)確性。這不僅涉及到銀行應(yīng)監(jiān)管要求所報告數(shù)據(jù)的種類和完整性,還涉及到應(yīng)用于模型的其他數(shù)據(jù)庫的可得性和完整性��。一些已經(jīng)使用早期預(yù)警模型的監(jiān)管當(dāng)局在不斷努力改善原始數(shù)據(jù)的質(zhì)量��、種類和完整性����。美國監(jiān)管當(dāng)局正在探索在其早期預(yù)警模型中使用私有部門信貸管理局?jǐn)?shù)據(jù)的可能性。
盡管一些早期預(yù)警模型已經(jīng)獲得滿意的結(jié)果,但其應(yīng)用范圍仍然有限�����。在一般的機(jī)構(gòu)和時間內(nèi),正確地預(yù)測評級下降的概率���、破產(chǎn)或幸存的概率��、預(yù)期損失或破產(chǎn)倒閉等被證明是非常困難的�����。由于早期預(yù)警模型的發(fā)展還處于初始階段,需要開展進(jìn)一步的工作以改善其績效���。
參考文獻(xiàn):
[1]Alejandro Gaytán and Christian A. Johnson, 2002,”A Review Of The Literature On Early Warning Systems For Banking Crises,” Central Bank Of Chile Working Papers No. 183,2-5
[2]Financial Services Authority, 2006,”The FSA’s Risk Assessment Framework” ,5-10
