序論:速發(fā)表網(wǎng)結(jié)合其深厚的文秘經(jīng)驗,特別為您篩選了11篇風險評估方法論范文�。如果您需要更多原創(chuàng)資料,歡迎隨時與我們的客服老師聯(lián)系�����,希望您能從中汲取靈感和知識!
篇1
0�����、引言
電力作為高風險產(chǎn)業(yè)�,不僅源于其公用事業(yè)屬性,以及技術(shù)資金密集�����、供求瞬時平衡���、生產(chǎn)運行連續(xù)等特征���,同時電力項目投資額巨大、建設周期長����、沉沒成本高,而且����,隨著電力體制改革和電力市場建設進程的深入�����,市場主體越來越多����,電力交易關(guān)系復雜����,不同主體之間協(xié)調(diào)困難,電力行業(yè)規(guī)劃建設�、生產(chǎn)經(jīng)營的不確定性加大、電力市場風險增加����。根據(jù)“十一五”期間電力體制改革的任務�����,面對我國電力市場化發(fā)展的現(xiàn)狀����,增強風險意識,樹立風險觀念�,加強風險管理將是電力企業(yè)的重要任務�。本文在闡述了企業(yè)風險管理基本框架流程及其主要內(nèi)容的基礎(chǔ)上���,提出電力企業(yè)定量風險評估的主要內(nèi)容及方法�����,以期推動電力系統(tǒng)風險管理工作的開展�����。
1����、風險管理的主要內(nèi)容
風險作為客觀存在����,要求人們考察研究風險時,要從決策角度認識到風險與人們有目的活動�����、行動方案選擇及事物的未來變化有關(guān)�。風險的形成過程和風險的客觀性、損失性���、不確定性特征共同構(gòu)成風險形成機制分析和風險管理的基礎(chǔ)�����。
人們一般對風險持厭惡態(tài)度�����,都想減小風險損失�����,追求風險與收益的均衡優(yōu)化�。風險管理的提出與發(fā)展與企業(yè)發(fā)展狀況、社會背景密不可分�����。風險管理作為一門管理學科���,首先在美國應運而生,之后傳到西歐����、亞洲����、拉丁美洲�����。美國大多數(shù)企業(yè)都設置專職部門進行風險管理����,許多大學的工商管理學院都開設風險管理課程。風險管理作為一門科學與藝術(shù)�����,既需要定性分析�����,又需要定量估計�����;既要求理性����,又要求人性����;不但需要多學科理論指導���,還需要多種方法支持�����。
源于風險意識的風險管理主要包括風險分析�、風險評價與風險控制三大部份���。根據(jù)風險形成的過程�����,風險分析需要進行風險辨識����、風險估計�����。風險估計需要進行頻率分析與后果分析�,而后果分析又包括情景分析與損失分析。通過風險分析�����,可得到特定系統(tǒng)所有風險的風險估計�,對此再參照相應的風險標準及可接受性,判斷系統(tǒng)的風險是否可接受�,是否采取安全措施,這就是風險評價�����。風險分析與風險評價總稱為風險評估���。為進行風險定量化估算�,要進行定量風險評估(Quantitative Risk Assessment—QRA)�。在風險評估的基礎(chǔ)上,針對風險狀況采取相應的措施與對策方案���,以控制����、抑制、降低風險�,即風險控制。風險管理不僅要定性分析風險因素�、風險事故及損失狀況,而且要盡可能基于風險標準及可接受性對風險進行定量評價�����。對于以盈利為目的的工業(yè)企業(yè)也希望將風險損失價值化并給出貨幣衡量標準�。風險管理就是風險分析、風險評價�、風險控制三者密切相聯(lián)的動態(tài)過程,見圖1���。
2�����、風險管理的組織實施與基本流程
為有效實施風險管理�,企業(yè)應由專門的組織及相關(guān)人員按一定程序組織實施風險管理工作�。據(jù)《幸福》雜志對美國500多家大公司的調(diào)查知���,84%的公司由中層以上的經(jīng)理人員負責風險管理����。風險管理的趨勢是董事會下屬設立風險管理委員會全面負責公司風險管理����,組織實施的流程是:①制定風險管理規(guī)劃;②風險辯識����;③風險評估;④風險管理策略方案選擇�����;⑤風險管理策略實施����;⑥風險管理策略實施評價。如圖2所示���。
3���、電力企業(yè)定量風險評估(QRA)
電力企業(yè)QRA的建立與發(fā)展從內(nèi)部來看,不僅已有可靠性分析����、安全分析���、質(zhì)量管理、項目管理等各專業(yè)分析作基礎(chǔ)���,從外部而言有電力用戶�、政府與社會公眾���、咨詢機構(gòu)等眾多相關(guān)主體的關(guān)注����。電力企業(yè)QRA對企業(yè)的作用主要體現(xiàn)在:通過QRA有利于企業(yè)將風險水平控制在規(guī)定標準的風險水平之內(nèi)����,并符合最低合理可行原則;通過開展QRA可幫助企業(yè)全面識別風險�����,并按輕重緩急排序�,以有助于管理者將精力、財力�����、物力集中于風險控制的重要緊急領(lǐng)域,使風險管理決策更為合理����、效果更好�、成本最小���;通過對各種風險控制方案或安全改進措施進行QRA�,使決策者對方案措施進行優(yōu)劣選擇�����,為公司提出決策支持���。電力企業(yè)的風險將對其它企業(yè)和主體帶來連帶影響����,并產(chǎn)生放大效應����,電力系統(tǒng)安全�����、可靠����、高效����、優(yōu)質(zhì)是各行各業(yè)和政府管理部門共同的愿望。電力企業(yè)實施QRA具有現(xiàn)實意義�����。
3.1 電力企業(yè)QHA的基本框架模式
電力企業(yè)QRA是指在工業(yè)系統(tǒng)QRA的基礎(chǔ)上����,考慮電力系統(tǒng)的技術(shù)經(jīng)濟特點及運行規(guī)律,結(jié)合電力體制改革及電力市場化進程而以概率模型表征的全面風險管理理論方法�����。為便于實施風險管理���,保證風險評估質(zhì)量���,滿足風險評估過程各階段的不同要求���,構(gòu)建如圖3所示的適用于電力企業(yè)QRA的基本框架模式。在具體實施時���,允許依實際情況而有所改變����。
3.2 電力企業(yè)QRA的主要工作內(nèi)容
(1)確定目標及范圍�。包括風險管理的目的與意義����,待分析系統(tǒng)的設備配置、工作流程����、資金、人員����、管理、信息�、地區(qū)�����、人文環(huán)境等�,即確定QRA實現(xiàn)目標和實施條件等�����。
(2)風險辨識�����。即找出待評價系統(tǒng)中所有潛在的風險因素����,并進行初步分析,通過安全檢查看系統(tǒng)是否達到規(guī)范要求����。風險辯識的基本途徑有歷史事故統(tǒng)計分析、安全檢查表分析、風險與可操作性研究(HZOPS)、故障模式與影響分析(FMEA)����、故障模式影響及危急分析(FMECA)�����、故障樹分析(ETA)���、事故樹分析(ETA)���、風險分析調(diào)查表、保單檢視表��、資產(chǎn)風險暴露分析表����、財務報表�����、流程圖���、現(xiàn)場檢查表�����、風險趨勢估計表等�。為配合保險公司對出險事項的處理,可采用從下至上的歸納法�、從上至下的演繹法及兩者綜合運用。針對特定風險����,可選用基于系統(tǒng)平面布置的區(qū)域分析、隱含事件分析���、德爾菲法及基于事故樹分析的風險事故網(wǎng)絡法等���。風險辯識不只局限于系統(tǒng)硬件,還應考慮人為因素����、組織制度等系統(tǒng)軟件。
風險綜合集成是指對所有風險按其特性類型分門別類加以匯總整理����。因電力工業(yè)特點及電力市場化改革特點,把電力系統(tǒng)風險按廠網(wǎng)分開的行業(yè)結(jié)構(gòu)進行分類��。
對于發(fā)電企業(yè)而言���,主要有電源規(guī)劃風險�、報價競價上網(wǎng)風險、供求平衡風險����、市場力抑制風險、備用容量風險���、信用風險�、法律風險�����、項目風險��、中介機構(gòu)風險等�����。對于電網(wǎng)企業(yè)而言�,主要有電網(wǎng)規(guī)劃風險�、電網(wǎng)融資風險、購電電價風險����、電力交易轉(zhuǎn)移風險�����、輔助服務風險���、成本分攤風險、輸電阻塞風險���、輸電能力風險�、備用率風險����、電力監(jiān)管風險等。另外���,電力企業(yè)還將面臨電力可靠性�����、安全性�����、穩(wěn)定性風險及電能質(zhì)量風險等���。
風險綜合集成后的初步風險分析是對已辯識出的風險進行初步分析評估�,確定風險的等級或水平�����。風險水平低的可忽略不計或僅作定性評估�����,風險水平高的要在定性分析基礎(chǔ)上�,進行定量評估。
(3)頻率分析���。即確定風險可能發(fā)生的頻率��,其方法主要有歷史數(shù)據(jù)統(tǒng)計分析�����、故障樹分析與失效理論模型分析�。歷史數(shù)據(jù)統(tǒng)計分析是根據(jù)有關(guān)事故的歷史數(shù)據(jù)預測今后可能發(fā)生的頻率��。因此要建立
風險數(shù)據(jù)庫��,既作為QRA的基礎(chǔ)�����,又作為風險決策的依據(jù)����。故障樹分析作為一種自上而下的邏輯分析法,把可能發(fā)生的事故或系統(tǒng)失效(頂事件)與基本部件的失效聯(lián)系起來����,根據(jù)基本部件的失效概率計算出頂事件的發(fā)生概率。失效理論模型分析是在歷史數(shù)據(jù)與專家經(jīng)驗的基礎(chǔ)上�����,采用某種失效理論模型來計算風險發(fā)生頻率�。
(4)風險測定估計。根據(jù)風險特性及類型�����,運用一定的數(shù)學工具測定或估計風險大小����。常用方法主要有主觀估計法����、客觀估計法�、期望值法、數(shù)學模型法�、隨機模擬法和馬爾可夫模型法等。
(5)后果分析���。即分析特定風險在某種環(huán)境作用下可能導致的各種事故后果及損失�����。其方法主要有情景分析與損失分析���。情景分析通過事件樹模型分析特定風險在環(huán)境作用下可能導致的各種事故后果。損失分析是分析特定后果對其它事物的影響及利益損失并歸結(jié)為某種風險指標�。
(6)風險標準及可接受性。風險標準及可接受性應遵循最低合理可行(ALARP)原則�。ALARP原則是指任何系統(tǒng)都存在風險,而且風險水平越低��,即風險程度越小要進一步減少風險越困難�����,其成本會呈指數(shù)曲線上升����。也就是說,風險改進措施投資的邊際效益遞減����,最終趨于零,甚至為負值����。因此,必須在風險水平與成本間折衷考慮���。如果電力企業(yè)定量風險評估所得風險水平在不可接受線之上�,則該風險被拒絕���,如果風險水平在可接受線之下����,則該風險可接受�,無需采取風險改進措施�����;如風險水平在不可接受線與可接受線之間��,即落人ALARP區(qū)(可容忍區(qū))���,這時要進行風險改進措施投資成本風險分析或風險成本收益分析。
分析結(jié)果如果證明進一步增加風險改進投資對電力企業(yè)的風險水平減小貢獻不大�����,則該風險是可接受的��,即允許該風險存在���,以節(jié)省投資成本���。ALARP原則的經(jīng)濟學解釋類似投入要素的邊際收益遞減規(guī)律一樣,風險與風險措施投入間的風險曲線也呈邊際收益遞減規(guī)律���。
3.3 電力企業(yè)QRA常用方法
篇2
1 信息安全風險評估基本理論
1.1 信息安全風險
信息安全風險具有客觀性��、多樣性���、損失性�����、可變性、不確定性和可測性等多個特點��?��?陀^性是因為信息安全風險在信息系統(tǒng)中普遍存在;多樣性是指信息系統(tǒng)安全涉及多個方面;損失性是指任何一種信息安全風險�����,都會對信息系統(tǒng)造成或大或小的損失;可變性是指信息安全風險在系統(tǒng)生命周期的各個階段動態(tài)變化;不確定性是一個安全事件可以有多種風險;可測試性是預測和計算信息安全風險的方法�。
1.2 信息安全風險評估
信息安全風險評估���,采用科學的方法和技術(shù)和脆弱性分析信息系統(tǒng)面臨的威脅����,利用系統(tǒng)�����,評估安全事件可能會造成的影響,提出了防御威脅和保護策略��,從而防止和解決信息安全風險��,或控制在可接受范圍內(nèi)的風險����,最大限度地保護系統(tǒng)的信息安全。通過評價過程對信息系統(tǒng)的脆弱性進行評價��,面臨威脅和漏洞威脅利用的負面影響��,并根據(jù)信息安全事件的可能性和嚴重程度��,確定信息系統(tǒng)的安全風險��。
2 信息安全風險評估原理
2.1 風險評估要素及其關(guān)系
一般說來��,信息安全風險評估要素有五個�,除以上介紹的安全風險外,還有資產(chǎn)�、威脅、脆弱性��、安全措施等。信息安全風評估工作都是圍繞這些基本評估要素展開的�����。
2.1.1 資產(chǎn)
資產(chǎn)是在系統(tǒng)中有價值的信息或資源�����,是安全措施的對象�。資產(chǎn)價值是資產(chǎn)的財產(chǎn),也是資產(chǎn)識別的主要內(nèi)容����。它是資產(chǎn)的重要程度或敏感性���。
2.1.2 威脅
威脅是導致不期望事件發(fā)生的潛在起因�����,這些不期望事件可能危害系統(tǒng)��。
2.1.3 脆弱性
脆弱性是資產(chǎn)存在的弱點�,利用這些弱點威脅資產(chǎn)的使用�。
2.1.4 安全措施
安全措施是系統(tǒng)實施的各種保護機制,這種機制能有效地保護資產(chǎn)、減少脆弱性��、抵御威脅����、減少安全事件的發(fā)生或降低影響。風險評估圍繞上述基本要素�。各要素之間存在著這樣的關(guān)系:
(1)資產(chǎn)是風險評估的對象,資產(chǎn)價值是由資產(chǎn)價值計量的��,資產(chǎn)價值越高�,證券需求越高�����,風險越小���。
(2)漏洞可能會暴露資產(chǎn)的價值�����,使其被破壞�,資產(chǎn)的脆弱性越大�����,風險越大;
(3)威脅引發(fā)風險事件的發(fā)生,威脅越多風險越大;
(4)威脅利用脆弱性來危害資產(chǎn);
(5)安全措施可以防御威脅�,減小安全風險,從而保護資產(chǎn)���。
2.2 風險分析模型及算法
在信息安全風險評估標準中�,風險分析涉及資產(chǎn)的三個基本要素�����,威脅和脆弱性����。每個元素都有它自己的屬性��,并由它的屬性決定�。資產(chǎn)的屬性是資產(chǎn)的價值,而財產(chǎn)的威脅可以是主體����、客體、頻率���、動機等�。財產(chǎn)的脆弱性是資產(chǎn)脆弱性的嚴重性。在風險分析模型中�,資產(chǎn)的價值、威脅的可能性����、脆弱性的嚴重程度、安全事件的可能性和安全事件造成的損失���,兩者是整合的�����,它是風險的價值����。
風險分析的主要內(nèi)容為:
(1)識別資產(chǎn)并分配資產(chǎn);
(2)確定威脅�����,并分配潛在的威脅;
(3)確定漏洞�����,并分配資產(chǎn)的脆弱性的嚴重程度;
(4)判斷安全事件的可能性。根據(jù)漏洞的威脅和使用的漏洞來計算安全事件的可能性��。
安全事件發(fā)生可能性=L(威脅可能性���,脆弱性)=L(T���,V)
(5)計算安全事件損失。根據(jù)脆弱性嚴重程度和資產(chǎn)價值計算安全事件的損失����。
安全事件造成的損失=F(資產(chǎn)價值,脆弱性嚴重程度)=F(Ia���,Va);
(6)確定風險值����。根據(jù)安全事件發(fā)生可能性和安全事件造成的損失�,計算安全事件發(fā)生對組織的影響�。
風險值=R(A,T�����,V)=R(F(Ia,Va)���,L(T�����,V))
其中����,A是資產(chǎn);T是威脅可能性;V是脆弱性;Ia是資產(chǎn)價值;Va是脆弱性的嚴重程度;L是威脅利用脆弱性發(fā)生安全事件的可能性;F是安全事件造成的損失��,R是風險計算函數(shù)���。
3 信息風險分析方法探析
作為保障信息安全的重要措施���,信息安全系統(tǒng)是信息安全的重要組成部分,而信息安全風險評估的算法分析方法�,風險評估作為風險分析的重要手段,早已被提出并做了大量的研究工作和一些算法已成為正式信息安全標準的一部分�����。從定性定量的角度可以將風險分析方法分為三類���,也就是定性方法�、定量方法和定性定量相結(jié)合。
3.1 定性的風險分析方法
定性的方法是憑借分析師的經(jīng)驗和知識的國際和國內(nèi)的標準或做法��,風險管理因素的大小或程度的定性分類���,以確定風險概率和風險的后果���。定性的方法的優(yōu)點是,信息系統(tǒng)是不容易得到的具體數(shù)據(jù)的相對值計算�,沒有太多的計算負擔。它有一定的缺陷���,是很主觀的����,要求分析有一定的經(jīng)驗和能力��。比較著名的定性分析方法有歷史比較法�����、因素分析方法�、邏輯分析法、Delphi法等�,這些方法的成敗與執(zhí)行者的經(jīng)驗有很大的關(guān)系。
3.2 定量的風險分析方法
定量方法是用數(shù)字來描述風險��,通過數(shù)學和統(tǒng)計的援助����,對一些指標進行處理和處理,來量化安全風險的結(jié)果��。定量方法的優(yōu)點是評價結(jié)果直觀����,使用數(shù)據(jù)表示,使分析結(jié)果更加客觀���、科學�、嚴謹�、更有說服力。缺點是����,計算過程復雜,數(shù)據(jù)詳細�,可靠的數(shù)據(jù)難以獲得��。正式且嚴格的評估方法的數(shù)據(jù)一般是估計而來的��,風險分析達到完全的量化也不太可能�����。與著名的定時模型定量分析方法��、聚類分析法�、因子分析法����、回歸模型、決策樹等方法相比較��,這些方法都是具有數(shù)學或統(tǒng)計工具的風險模型����。
3.3 定性定量相結(jié)合的風險分析方法
篇3
[作者簡介]林笑玫,廣東電網(wǎng)公司惠州供電局����,廣東惠州,516001
[中圖分類號] F272.35 [文獻標識碼] A [文章編號] 1007-7723(2012)01-0052-0002
電力企業(yè)工程投資巨大,工程項目在實施期間會面臨著多個方面的風險�����,若不及時加以控制將給企業(yè)造成不可估量的經(jīng)濟損失�。為了滿足新時期電力項目持續(xù)進行的需要�����,企業(yè)必須要采用科學的風險評估方法����。定量風險的核心是分析企業(yè)的定性風險,再排出優(yōu)先順序的風險實施量化分析���。根據(jù)理論標準��,定量風險分析適用于已經(jīng)制定好的風險應對計劃��。這不僅能夠驗證風險控制效果是否符合預期要求�,而且能夠從風險過程里反映企業(yè)管理存在的問題����。同時,多次實施定量風險分析可提醒管理者是否調(diào)險管理方法,也是電力企業(yè)風險監(jiān)測����、轉(zhuǎn)移、控制的重要依據(jù)��。
一�����、企業(yè)定量風險分析的方法
經(jīng)濟體制改革發(fā)展局勢下���,國家對電力企業(yè)的經(jīng)營管理提出了新的調(diào)整要求�����,市場風險的控制與防范是電力企業(yè)經(jīng)營管理的主要內(nèi)容���。電力行業(yè)是我國現(xiàn)代化產(chǎn)業(yè)結(jié)構(gòu)的重點構(gòu)成,加強電力企業(yè)的風險控制及管理有助于維持行業(yè)經(jīng)濟的持續(xù)增長�。定量分析法運用于電力項目風險評估,結(jié)合精準計算獲得的數(shù)據(jù)進行模擬驗證�,可引導企業(yè)正確認識工程項目的風險狀況。目前�����,電力企業(yè)定量風險分析常用的方法有:
(一)概率分布
概率分布法是對電力企業(yè)可能發(fā)生風險的一種概率預測,以此判斷電力工程風險發(fā)生的可能性大小�。因不同事件之間存在互斥性,所有事件的概率之和為1���。概率分布法需結(jié)合相關(guān)的輔助方法��,如:利用數(shù)學函數(shù)圖像對一年四季溫度變化情況分析,按照溫度大小規(guī)律分析雨水過多�、溫差過大等因素對電力線路的影響概率,判斷電力系統(tǒng)潛在的風險隱患�����。
(二)外推法
外推法有前推�����、后推�����、旁推等形式��,均適用于電力企業(yè)的定量風險評估活動。前推法是電力企業(yè)常用的風向評估方法��,其結(jié)合風險發(fā)生的時間順序以及有效的數(shù)據(jù)集合判別未來風險發(fā)生的趨勢���。外推法可分為簡均法��、移動平均法�、加權(quán)移動平均法����、季節(jié)變動分析法等,電力企業(yè)風險分析時可依據(jù)掌握的資料靈活選擇不同的方法參與評估����。如:結(jié)合移動平均法估算某一年地區(qū)用電需求量的變化,根據(jù)用電需求量的多少指導企業(yè)年產(chǎn)量的控制��。
(三)靈敏度分析
靈敏度分析法本質(zhì)上是對風險產(chǎn)生影響的一種評估�����,詳細地分析出不同風險對電力企業(yè)造成的影響力大小���。如:就項目成本來說�����,電力企業(yè)采用靈敏度分析法���,可對材料價格��、市場供應等風險造成的成本影響具體判斷�,讓企業(yè)有針對性地制定風險抵抗措施�����。一般情況下�,電力企業(yè)經(jīng)過靈敏度分析均可制定有效的風險應急處理方案�����。
(四)模擬法
模擬法采用企業(yè)提供的有效數(shù)據(jù)���,利用計算機建立系統(tǒng)模型����,對電力工程的風險狀態(tài)模擬分析�����。由于計算機在數(shù)據(jù)采集、處理�、修改等方面的功能極強,將其用于定量風險評估可擺脫人工分析的失誤����,提高風險評估結(jié)果的準確性。如:基于計算機平臺�,管理人員可結(jié)合項目的網(wǎng)絡圖作為項目模型,把電力工程建設期間存在的財務風險��、效益風險綜合體現(xiàn)出來��。
三��、定量風險分析的參照依據(jù)
考慮到電力行業(yè)的特殊性�����,企業(yè)在定量風險評估時需從專業(yè)角度分析問題����,對風險評估采用的理論、方法嚴格掌握���,以確保最終分析結(jié)果的可靠性��、準確性���、科學性����。從電力企業(yè)實際定量風險評估工作的操作情況看��,多數(shù)企業(yè)已經(jīng)掌握一套相對完整的風險評估流程���?����!胺治鲆罁?jù)”是電力工程項目定量風險研究的重點參考。
(一)項目歷史信息
歷史數(shù)據(jù)是企業(yè)長期發(fā)展積累下來的重要資料���,也是后期項目定量風險評估的理論依據(jù)�。歷史信息包括:從行業(yè)或企業(yè)得到類似的已完項目信息�,風險專家對類似項目的研究資料以及計算機存儲的風險數(shù)據(jù)庫。電力企業(yè)在風險評估時對歷史信息中有價值的資料靈活提取�����,減小風險評估的難度。
(二)項目范圍說明
項目說明書是電力工程的總概括���,記錄了項目前期策劃及后期施工的詳細內(nèi)容���,也是電力企業(yè)信息存檔的必備資料。閱讀項目范圍說明書是定量風險評估的有效方法���,以最真實的數(shù)據(jù)資料為基礎(chǔ)��,抓住項目說明書涉及到的潛在風險綜合研究�����,有助于專家羅列出最權(quán)威可靠的風險評估結(jié)果��。
(三)風險管理文件
風險管理文件是電力企業(yè)制定的預期處理方案��,當工程風險發(fā)生之后可打開管理文件所編輯的措施處理風險�����。通常電力企業(yè)的風險管理文件提供的管理策略相對完整�����,如:執(zhí)行風險管理的崗位職責����、預算和計劃時間的風險管理活動,風險分類����,風險分解結(jié)構(gòu)和修訂的有關(guān)方面的風險承受度。
(四)風險清單
風險清單是對工程項目內(nèi)容的檢驗審核���,對電力企業(yè)定量風險評估具有統(tǒng)籌性的作用�����。借助于風險情況能為評估人員提供多個方面的信息�,如:已識別風險的清單��、項目風險的優(yōu)先級清單等�,這些都會給定量風險評估提供參考�����。此外,根據(jù)風險清單顯示的結(jié)果�,電力企業(yè)可加強項目管理的力度,從項目進度管理計劃��、項目費用管理計劃等優(yōu)化管理����。
四、風險管理的組織實施與基本流程
電氣企業(yè)推廣定量風險評估的優(yōu)勢顯著����,其不僅為高層經(jīng)理提供了相當直接的數(shù)字;且數(shù)據(jù)分析階段可靈活運用各種逼近模型�����。定量分析后的許多具體調(diào)查工作可以用最小優(yōu)先經(jīng)驗執(zhí)行�����,滿足了企業(yè)經(jīng)營管理工作的具體需求��。風險管理的組織實施應按照標準的流程操作�����,電力企業(yè)需結(jié)合項目的詳細情況設計定量風險評估的策略。
(一)風險管理與規(guī)劃
管理是控制工程風險的核心工作����,電力企業(yè)實施風險管理措施可盡快處理當前所面臨的風險問題。制定風險管理之前�,風險評估專家要做好詳細的規(guī)劃,引導后期管理操作的有序進行�。如:對項目風險的成因、影響����、處理等問題深入分析,設計出相對完整的風險管理策略����。
(二)風險辯識與評估
當企業(yè)風險發(fā)生之后,應組織風險評估團隊盡快判別風險的具體情況�,對風險的種類、影響���、應對等綜合考慮�。評估是風險辨識的重要環(huán)節(jié)����,經(jīng)過全面性的評估了解可掌握風險的有用信息,從客觀角度評估風險的破壞范圍�����,編制出更加優(yōu)越的風險控制方案�����。
(三)策略修改與實施
由于風險管理方案具有突發(fā)性����、應急性特點,最初制定的風險管理策略會在實施期間需要調(diào)整���。電力企業(yè)管理人員需結(jié)合項目的實際需要�,對其他相關(guān)的風險綜合考核檢測�����,以掌握最佳的風險處理策略�����,把風險造成的經(jīng)濟損失控制在最小范圍。
(四)效果評估與總結(jié)
定量風險評估結(jié)束�����,企業(yè)有必要對此次評估活動進行總結(jié)���,收錄相關(guān)的資料信息存檔管理�����?��?偨Y(jié)中要對此次定量風險評估存在的問題、取得的成果�����、使用的資料等內(nèi)容加以整合��,將其歸納成完整的信息檔案收集��?��?偨Y(jié)資料是電力企業(yè)未來定量風險評估的參考資料����。
五、結(jié)語
總之�����,電力行業(yè)是維持社會供電���、用電正常運行的主導產(chǎn)業(yè),工程項目的實施是改造電力系統(tǒng)的有效方法���。企業(yè)在經(jīng)營管理期間要充分考慮市場潛在的風險因素�,采用定量風險評估方法處理問題�,對項目存在的風險情況詳細分析,為企業(yè)提供更加可靠���、安全的風險應對策略����。
[參考文獻]
篇4
0��、引言
電力作為高風險產(chǎn)業(yè)�,不僅源于其公用事業(yè)屬性���,以及技術(shù)資金密集、供求瞬時平衡�、生產(chǎn)運行連續(xù)等特征,同時電力項目投資額巨大�、建設周期長、沉沒成本高�,而且,隨著電力體制改革和電力市場建設進程的深入�,市場主體越來越多,電力交易關(guān)系復雜����,不同主體之間協(xié)調(diào)困難,電力行業(yè)規(guī)劃建設��、生產(chǎn)經(jīng)營的不確定性加大��、電力市場風險增加�。根據(jù)“十一五”期間電力體制改革的任務,面對我國電力市場化發(fā)展的現(xiàn)狀����,增強風險意識,樹立風險觀念�����,加強風險管理將是電力企業(yè)的重要任務。本文在闡述了企業(yè)風險管理基本框架流程及其主要內(nèi)容的基礎(chǔ)上�,提出電力企業(yè)定量風險評估的主要內(nèi)容及方法,以期推動電力系統(tǒng)風險管理工作的開展�����。
1�����、風險管理的主要內(nèi)容
風險作為客觀存在���,要求人們考察研究風險時,要從決策角度認識到風險與人們有目的活動�、行動方案選擇及事物的未來變化有關(guān)。風險的形成過程和風險的客觀性�、損失性、不確定性特征共同構(gòu)成風險形成機制分析和風險管理的基礎(chǔ)��。
人們一般對風險持厭惡態(tài)度��,都想減小風險損失�����,追求風險與收益的均衡優(yōu)化。風險管理的提出與發(fā)展與企業(yè)發(fā)展狀況�、社會背景密不可分。風險管理作為一門管理學科�����,首先在美國應運而生���,之后傳到西歐�����、亞洲����、拉丁美洲�����。美國大多數(shù)企業(yè)都設置專職部門進行風險管理����,許多大學的工商管理學院都開設風險管理課程�。風險管理作為一門科學與藝術(shù)�,既需要定性分析,又需要定量估計�;既要求理性,又要求人性�;不但需要多學科理論指導,還需要多種方法支持��。
源于風險意識的風險管理主要包括風險分析����、風險評價與風險控制三大部份。根據(jù)風險形成的過程����,風險分析需要進行風險辨識�、風險估計。風險估計需要進行頻率分析與后果分析�����,而后果分析又包括情景分析與損失分析�����。通過風險分析,可得到特定系統(tǒng)所有風險的風險估計���,對此再參照相應的風險標準及可接受性����,判斷系統(tǒng)的風險是否可接受�,是否采取安全措施,這就是風險評價�。風險分析與風險評價總稱為風險評估。為進行風險定量化估算�,要進行定量風險評估(quantitative risk assessment—qra)。在風險評估的基礎(chǔ)上�,針對風險狀況采取相應的措施與對策方案,以控制�����、抑制�����、降低風險����,即風險控制�����。風險管理不僅要定性分析風險因素����、風險事故及損失狀況����,而且要盡可能基于風險標準及可接受性對風險進行定量評價。對于以盈利為目的的工業(yè)企業(yè)也希望將風險損失價值化并給出貨幣衡量標準��。風險管理就是風險分析�����、風險評價�����、風險控制三者密切相聯(lián)的動態(tài)過程��,見圖1���。
2���、風險管理的組織實施與基本流程
為有效實施風險管理,企業(yè)應由專門的組織及相關(guān)人員按一定程序組織實施風險管理工作�����。據(jù)《幸?��!冯s志對美國500多家大公司的調(diào)查知��,84%的公司由中層以上的經(jīng)理人員負責風險管理���。風險管理的趨勢是董事會下屬設立風險管理委員會全面負責公司風險管理,組織實施的流程是:①制定風險管理規(guī)劃��;②風險辯識�;③風險評估;④風險管理策略方案選擇��;⑤風險管理策略實施����;⑥風險管理策略實施評價���。
3、電力企業(yè)定量風險評估(qra)
電力企業(yè)qra的建立與發(fā)展從內(nèi)部來看�,不僅已有可靠性分析、安全分析���、質(zhì)量管理����、項目管理等各專業(yè)分析作基礎(chǔ)�,從外部而言有電力用戶、政府與社會公眾��、咨詢機構(gòu)等眾多相關(guān)主體的關(guān)注�����。電力企業(yè)qra對企業(yè)的作用主要體現(xiàn)在:通過qra有利于企業(yè)將風險水平控制在規(guī)定標準的風險水平之內(nèi)����,并符合最低合理可行原則;通過開展qra可幫助企業(yè)全面識別風險�����,并按輕重緩急排序��,以有助于管理者將精力�����、財力�、物力集中于風險控制的重要緊急領(lǐng)域,使風險管理決策更為合理����、效果更好、成本最?��?���;通過對各種風險控制方案或安全改進措施進行qra���,使決策者對方案措施進行優(yōu)劣選擇�,為公司提出決策支持����。電力企業(yè)的風險將對其它企業(yè)和主體帶來連帶影響���,并產(chǎn)生放大效應,電力系統(tǒng)安全�、可靠、高效�����、優(yōu)質(zhì)是各行各業(yè)和政府管理部門共同的愿望�。電力企業(yè)實施qra具有現(xiàn)實意義。
3.1 電力企業(yè)qha的基本框架模式
電力企業(yè)qra是指在工業(yè)系統(tǒng)qra的基礎(chǔ)上��,考慮電力系統(tǒng)的技術(shù)經(jīng)濟特點及運行規(guī)律���,結(jié)合電力體制改革及電力市場化進程而以概率模型表征的全面風險管理理論方法����。為便于實施風險管理���,保證風險評估質(zhì)量����,滿足風險評估過程各階段的不同要求,構(gòu)建如圖3所示的適用于電力企業(yè)qra的基本框架模式��。在具體實施時�,允許依實際情況而有所改變����。
3.2 電力企業(yè)qra的主要工作內(nèi)容
(1)確定目標及范圍。包括風險管理的目的與意義����,待分析系統(tǒng)的設備配置、工作流程����、資金、人員�����、管理�、信息、地區(qū)����、人文環(huán)境等,即確定qra實現(xiàn)目標和實施條件等�。
(2)風險辨識����。即找出待評價系統(tǒng)中所有潛在的風險因素���,并進行初步分析�,通過安全檢查看系統(tǒng)是否達到規(guī)范要求���。風險辯識的基本途徑有歷史事故統(tǒng)計分析�、安全檢查表分析����、風險與可操作性研究(hzops)、故障模式與影響分析(fmea)�、故障模式影響及危急分析(fmeca)、故障樹分析(eta)�����、事故樹分析(eta)��、風險分析調(diào)查表�����、保單檢視表、資產(chǎn)風險暴露分析表����、財務報表、流程圖�、現(xiàn)場檢查表�����、風險趨勢估計表等���。為配合保險公司對出險事項的處理���,可采用從下至上的歸納法、從上至下的演繹法及兩者綜合運用��。針對特定風險�����,可選用基于系統(tǒng)平面布置的區(qū)域分析�、隱含事件分析、德爾菲法及基于事故樹分析的風險事故網(wǎng)絡法等。風險辯識不只局限于系統(tǒng)硬件��,還應考慮人為因素���、組織制度等系統(tǒng)軟件��。
風險綜合集成是指對所有風險按其特性類型分門別類加以匯總因電力工業(yè)特點及電力市場化改革特點��,把電力系統(tǒng)風險按廠網(wǎng)分開的行業(yè)結(jié)構(gòu)進行分類�����。
對于發(fā)電企業(yè)而言�,主要有電源規(guī)劃風險����、報價競價上網(wǎng)風險、供求平衡風險�、市場力抑制風險、備用容量風險����、信用風險、法律風險�����、項目風險、中介機構(gòu)風險等����。對于電網(wǎng)企業(yè)而言,主要有電網(wǎng)規(guī)劃風險��、電網(wǎng)融資風險�����、購電電價風險�����、電力交易轉(zhuǎn)移風險�、輔助服務風險��、成本分攤風險���、輸電阻塞風險���、輸電能力風險��、備用率風險�����、電力監(jiān)管風險等�����。另外�����,電力企業(yè)還將面臨電力可靠性��、安全性�����、穩(wěn)定性風險及電能質(zhì)量風險等�。
風險綜合集成后的初步風險分析是對已辯識出的風險進行初步分析評估����,確定風險的等級或水平。風險水平低的可忽略不計或僅作定性評估���,風險水平高的要在定性分析基礎(chǔ)上����,進行定量評估。
(3)頻率分析����。即確定風險可能發(fā)生的頻率,其方法主要有歷史數(shù)據(jù)統(tǒng)計分析��、故障樹分析與失效理論模型分析��。歷史數(shù)據(jù)統(tǒng)計分析是根據(jù)有關(guān)事故的歷史數(shù)據(jù)預測今后可能發(fā)生的頻率�����。因此要建立
風險數(shù)據(jù)庫�,既作為qra的基礎(chǔ)���,又作為風險決策的依據(jù)�����。故障樹分析作為一種自上而下的邏輯分析法���,把可能發(fā)生的事故或系統(tǒng)失效(頂事件)與基本部件的失效聯(lián)系起來����,根據(jù)基本部件的失效概率計算出頂事件的發(fā)生概率���。失效理論模型分析是在歷史數(shù)據(jù)與專家經(jīng)驗的基礎(chǔ)上�,采用某種失效理論模型來計算風險發(fā)生頻率���。
(4)風險測定估計�。根據(jù)風險特性及類型�,運用一定的數(shù)學工具測定或估計風險大小。常用方法主要有主觀估計法��、客觀估計法��、期望值法��、數(shù)學模型法���、隨機模擬法和馬爾可夫模型法等��。
(5)后果分析�。即分析特定風險在某種環(huán)境作用下可能導致的各種事故后果及損失。其方法主要有情景分析與損失分析����。情景分析通過事件樹模型分析特定風險在環(huán)境作用下可能導致的各種事故后果。損失分析是分析特定后果對其它事物的影響及利益損失并歸結(jié)為某種風險指標���。
(6)風險標準及可接受性���。風險標準及可接受性應遵循最低合理可行(alarp)原則。alarp原則是指任何系統(tǒng)都存在風險�,而且風險水平越低,即風險程度越小要進一步減少風險越困難�����,其成本會呈指數(shù)曲線上升�����。也就是說��,風險改進措施投資的邊際效益遞減�,最終趨于零�,甚至為負值����。因此�����,必須在風險水平與成本間折衷考慮��。如果電力企業(yè)定量風險評估所得風險水平在不可接受線之上�,則該風險被拒絕,如果風險水平在可接受線之下����,則該風險可接受,無需采取風險改進措施���;如風險水平在不可接受線與可接受線之間����,即落人alarp區(qū)(可容忍區(qū))�����,這時要進行風險改進措施投資成本風險分析或風險成本收益分析。轉(zhuǎn)載于范文中國網(wǎng) ���。
分析結(jié)果如果證明進一步增加風險改進投資對電力企業(yè)的風險水平減小貢獻不大�,則該風險是可接受的�,即允許該風險存在,以節(jié)省投資成本�。alarp原則的經(jīng)濟學解釋類似投入要素的邊際收益遞減規(guī)律一樣,風險與風險措施投入間的風險曲線也呈邊際收益遞減規(guī)律���。
3.3 電力企業(yè)qra常用方法
篇5
0���、引言
電力作為高風險產(chǎn)業(yè),不僅源于其公用事業(yè)屬性���,以及技術(shù)資金密集��、供求瞬時平衡���、生產(chǎn)運行連續(xù)等特征,同時電力項目投資額巨大��、建設周期長��、沉沒成本高��,而且�����,隨著電力體制改革和電力市場建設進程的深入��,市場主體越來越多�,電力交易關(guān)系復雜,不同主體之間協(xié)調(diào)困難���,電力行業(yè)規(guī)劃建設�、生產(chǎn)經(jīng)營的不確定性加大、電力市場風險增加。根據(jù)“十一五”期間電力體制改革的任務���,面對我國電力市場化發(fā)展的現(xiàn)狀,增強風險意識,樹立風險觀念��,加強風險管理將是電力企業(yè)的重要任務��。本文在闡述了企業(yè)風險管理基本框架流程及其主要內(nèi)容的基礎(chǔ)上���,提出電力企業(yè)定量風險評估的主要內(nèi)容及方法,以期推動電力系統(tǒng)風險管理工作的開展。
1�、風險管理的主要內(nèi)容
風險作為客觀存在,要求人們考察研究風險時�,要從決策角度認識到風險與人們有目的活動、行動方案選擇及事物的未來變化有關(guān)��。風險的形成過程和風險的客觀性�、損失性、不確定性特征共同構(gòu)成風險形成機制分析和風險管理的基礎(chǔ)��。
人們一般對風險持厭惡態(tài)度��,都想減小風險損失����,追求風險與收益的均衡優(yōu)化。風險管理的提出與發(fā)展與企業(yè)發(fā)展狀況�����、社會背景密不可分���。風險管理作為一門管理學科�����,首先在美國應運而生����,之后傳到西歐���、亞洲�����、拉丁美洲���。美國大多數(shù)企業(yè)都設置專職部門進行風險管理,許多大學的工商管理學院都開設風險管理課程�。風險管理作為一門科學與藝術(shù),既需要定性分析�����,又需要定量估計���;既要求理性���,又要求人性��;不但需要多學科理論指導�����,還需要多種方法支持�。
源于風險意識的風險管理主要包括風險分析����、風險評價與風險控制三大部份。根據(jù)風險形成的過程����,風險分析需要進行風險辨識、風險估計��。風險估計需要進行頻率分析與后果分析���,而后果分析又包括情景分析與損失分析��。通過風險分析����,可得到特定系統(tǒng)所有風險的風險估計����,對此再參照相應的風險標準及可接受性���,判斷系統(tǒng)的風險是否可接受,是否采取安全措施����,這就是風險評價��。風險分析與風險評價總稱為風險評估�����。為進行風險定量化估算�����,要進行定量風險評估(quantitative risk assessment—qra)�����。在風險評估的基礎(chǔ)上���,針對風險狀況采取相應的措施與對策方案�,以控制、抑制��、降低風險����,即風險控制。風險管理不僅要定性分析風險因素���、風險事故及損失狀況�,而且要盡可能基于風險標準及可接受性對風險進行定量評價����。對于以盈利為目的的工業(yè)企業(yè)也希望將風險損失價值化并給出貨幣衡量標準。風險管理就是風險分析��、風險評價�、風險控制三者密切相聯(lián)的動態(tài)過程,見圖1�。
2、風險管理的組織實施與基本流程
為有效實施風險管理��,企業(yè)應由專門的組織及相關(guān)人員按一定程序組織實施風險管理工作�。據(jù)《幸福》雜志對美國500多家大公司的調(diào)查知�,84%的公司由中層以上的經(jīng)理人員負責風險管理�。風險管理的趨勢是董事會下屬設立風險管理委員會全面負責公司風險管理�,組織實施的流程是:①制定風險管理規(guī)劃;②風險辯識�;③風險評估;④風險管理策略方案選擇��;⑤風險管理策略實施�;⑥風險管理策略實施評價。
3����、電力企業(yè)定量風險評估(qra)
電力企業(yè)qra的建立與發(fā)展從內(nèi)部來看�����,不僅已有可靠性分析�、安全分析、質(zhì)量管理���、項目管理等各專業(yè)分析作基礎(chǔ)���,從外部而言有電力用戶、政府與社會公眾����、咨詢機構(gòu)等眾多相關(guān)主體的關(guān)注���。電力企業(yè)qra對企業(yè)的作用主要體現(xiàn)在:通過qra有利于企業(yè)將風險水平控制在規(guī)定標準的風險水平之內(nèi),并符合最低合理可行原則�;通過開展qra可幫助企業(yè)全面識別風險,并按輕重緩急排序���,以有助于管理者將精力�、財力���、物力集中于風險控制的重要緊急領(lǐng)域���,使風險管理決策更為合理、效果更好�����、成本最?��?;通過對各種風險控制方案或安全改進措施進行qra,使決策者對方案措施進行優(yōu)劣選擇�,為公司提出決策支持。電力企業(yè)的風險將對其它企業(yè)和主體帶來連帶影響�����,并產(chǎn)生放大效應��,電力系統(tǒng)安全���、可靠��、高效��、優(yōu)質(zhì)是各行各業(yè)和政府管理部門共同的愿望�����。電力企業(yè)實施qra具有現(xiàn)實意義。
3.1 電力企業(yè)qha的基本框架模式
電力企業(yè)qra是指在工業(yè)系統(tǒng)qra的基礎(chǔ)上�,考慮電力系統(tǒng)的技術(shù)經(jīng)濟特點及運行規(guī)律,結(jié)合電力體制改革及電力市場化進程而以概率模型表征的全面風險管理理論方法����。為便于實施風險管理,保證風險評估質(zhì)量,滿足風險評估過程各階段的不同要求��,構(gòu)建如圖3所示的適用于電力企業(yè)qra的基本框架模式��。在具體實施時����,允許依實際情況而有所改變。
3.2 電力企業(yè)qra的主要工作內(nèi)容
(1)確定目標及范圍�����。包括風險管理的目的與意義����,待分析系統(tǒng)的設備配置、工作流程�、資金、人員����、管
理、信息���、地區(qū)����、人文環(huán)境等,即確定qra實現(xiàn)目標和實施條件等����。
(2)風險辨識。即找出待評價系統(tǒng)中所有潛在的風險因素���,并進行初步分析�����,通過安全檢查看系統(tǒng)是否達到規(guī)范要求����。風險辯識的基本途徑有歷史事故統(tǒng)計分析�、安全檢查表分析、風險與可操作性研究(hzops)���、故障模式與影響分析(fmea)�����、故障模式影響及危急分析(fmeca)、故障樹分析(eta)、事故樹分析(eta)��、風險分析調(diào)查表�、保單檢視表、資產(chǎn)風險暴露分析表���、財務報表��、流程圖�����、現(xiàn)場檢查表���、風險趨勢估計表等。為配合保險公司對出險事項的處理�����,可采用從下至上的歸納法��、從上至下的演繹法及兩者綜合運用�����。針對特定風險,可選用基于系統(tǒng)平面布置的區(qū)域分析�����、隱含事件分析���、德爾菲法及基于事故樹分析的風險事故網(wǎng)絡法等���。風險辯識不只局限于系統(tǒng)硬件,還應考慮人為因素��、組織制度等系統(tǒng)軟件���。
風險綜合集成是指對所有風險按其特性類型分門別類加以匯總因電力工業(yè)特點及電力市場化改革特點�,把電力系統(tǒng)風險按廠網(wǎng)分開的行業(yè)結(jié)構(gòu)進行分類���。
對于發(fā)電企業(yè)而言��,主要有電源規(guī)劃風險�、報價競價上網(wǎng)風險�����、供求平衡風險�����、市場力抑制風險��、備用容量風險�����、信用風險��、法律風險�、項目風險、中介機構(gòu)風險等�。對于電網(wǎng)企業(yè)而言,主要有電網(wǎng)規(guī)劃風險����、電網(wǎng)融資風險、購電電價風險�����、電力交易轉(zhuǎn)移風險�����、輔助服務風險、成本分攤風險��、輸電阻塞風險�、輸電能力風險、備用率風險�����、電力監(jiān)管風險等��。另外����,電力企業(yè)還將面臨電力可靠性、安全性��、穩(wěn)定性風險及電能質(zhì)量風險等��。
風險綜合集成后的初步風險分析是對已辯識出的風險進行初步分析評估����,確定風險的等級或水平。風險水平低的可忽略不計或僅作定性評估�����,風險水平高的要在定性分析基礎(chǔ)上,進行定量評估�����。
(3)頻率分析���。即確定風險可能發(fā)生的頻率,其方法主要有歷史數(shù)據(jù)統(tǒng)計分析�、故障樹分析與失效理論模型分析。歷史數(shù)據(jù)統(tǒng)計分析是根據(jù)有關(guān)事故的歷史數(shù)據(jù)預測今后可能發(fā)生的頻率���。因此要建立
風險數(shù)據(jù)庫����,既作為qra的基礎(chǔ)��,又作為風險決策的依據(jù)�����。故障樹分析作為一種自上而下的邏輯分析法���,把可能發(fā)生的事故或系統(tǒng)失效(頂事件)與基本部件的失效聯(lián)系起來��,根據(jù)基本部件的失效概率計算出頂事件的發(fā)生概率�。失效理論模型分析是在歷史數(shù)據(jù)與專家經(jīng)驗的基礎(chǔ)上,采用某種失效理論模型來計算風險發(fā)生頻率����。
(4)風險測定估計。根據(jù)風險特性及類型��,運用一定的數(shù)學工具測定或估計風險大小��。常用方法主要有主觀估計法�、客觀估計法、期望值法���、數(shù)學模型法��、隨機模擬法和馬爾可夫模型法等�����。
(5)后果分析��。即分析特定風險在某種環(huán)境作用下可能導致的各種事故后果及損失���。其方法主要有情景分析與損失分析�����。情景分析通過事件樹模型分析特定風險在環(huán)境作用下可能導致的各種事故后果���。損失分析是分析特定后果對其它事物的影響及利益損失并歸結(jié)為某種風險指標。
(6)風險標準及可接受性�����。風險標準及可接受性應遵循最低合理可行(alarp)原則���。alarp原則是指任何系統(tǒng)都存在風險,而且風險水平越低�����,即風險程度越小要進一步減少風險越困難���,其成本會呈指數(shù)曲線上升���。也就是說�,風險改進措施投資的邊際效益遞減�����,最終趨于零��,甚至為負值�����。因此���,必須在風險水平與成本間折衷考慮���。如果電力企業(yè)定量風險評估所得風險水平在不可接受線之上,則該風險被拒絕��,如果風險水平在可接受線之下��,則該風險可接受�����,無需采取風險改進措施;如風險水平在不可接受線與可接受線之間�,即落人alarp區(qū)(可容忍區(qū)),這時要進行風險改進措施投資成本風險分析或風險成本收益分析��。
分析結(jié)果如果證明進一步增加風險改進投資對電力企業(yè)的風險水平減小貢獻不大��,則該風險是可接受的�����,即允許該風險存在���,以節(jié)省投資成本����。alarp原則的經(jīng)濟學解釋類似投入要素的邊際收益遞減規(guī)律一樣��,風險與風險措施投入間的風險曲線也呈邊際收益遞減規(guī)律��。 3.3 電力企業(yè)qra常用方法
篇6
1)主要內(nèi)容
等級保護是指導我國信息安全保障體系總體建設的基礎(chǔ)管理原則�,是圍繞信息安全保障全過程的一項基礎(chǔ)性管理制度���,其核心內(nèi)容是對信息安全分等級����、按標準進行建設、管理和監(jiān)督��。
2)優(yōu)點
等級保護適用于宏觀層面���,是一種大范圍“基線安全”��,適用于行業(yè)主管部門對信息安全的總體把握與監(jiān)控��。
3)缺點
具體到某個組織的信息安全保護而言����,等級保護的粒度劃分較粗�����,在滿足組織對信息安全的精細控制要求方面還存在不足��。因此����,在滿足監(jiān)管部門的等級保護要求之后,組織還可進一步把等級細化到各種層次的安全域��,直至對一個個的信息資產(chǎn)進行有效管理。
2.信息安全管理體系(ISMS)
1)主要內(nèi)容
類似于質(zhì)量之于ISO9000�,ISMS是組織為提高信息安全管理水平,按照ISO27001的要求���,在整體或特定范圍內(nèi)監(jiān)理的信息安全方針和目標�����,以及完成這些目標所用的方法和體系��。它是直接管理活動的結(jié)果�,表示為方針�、原則、目標�、方法、計劃��、活動����、程序��、過程和資源的集合�����。
2)優(yōu)點
ISMS涉及了信息安全的11個領(lǐng)域,133個控制措施�����,基本涵蓋了信息安全的方方面面���,適用于各種類型的組織用來建立一個總體的安全控制框架;ISMS更注重于把“安全管理”當作一種制度來建設�,通過建立統(tǒng)一的方針���、策略���,以及規(guī)范化安全規(guī)則,使ISMS實施主體能有效地識別風險��,持續(xù)不斷地采取管控措施���,以把風險降低到組織可接受的程度�����。
3)缺點
它只是描述了建立ISMS的思想�����、框架���,但對如何建立ISMS并沒有一個詳細明確的定義����,也沒有描述ISMS的最終形態(tài);沒有確定建立信息安全體系的具體方法與技術(shù)��。因此����,ISMS對實施者來說留下來很大的可操作空間,不同的組織和不同實施著對ISMS標準的把握可能差別很大��,ISMS總體水平也會有高下之分�����。
3.風險評估
1)主要內(nèi)容
風險評估是獲知組織當前風險水平的一種手段����,在金融�、電子商務等許多領(lǐng)域都是有風險及風險評估需求的存在���。當風險評估應用于IT安全領(lǐng)域時,就是對信息安全的風險評估�����。
2)優(yōu)點
風險評估從早起簡單的漏洞掃描�����、人工審計�����、滲透性測試這種類型的純技術(shù)操作���,逐漸過渡到目前普遍采用ISO17799����、OCTAVE���、NIST SP800���、NIST P800-26��、NIST SP800-30����、AS/NZS4360����、SSE-CMM等方法,充分體現(xiàn)以資產(chǎn)為出發(fā)點����、以威脅為觸發(fā)、以技術(shù)/管理/運行等方面存在的脆弱性為誘因的信息安全風險評估綜合方法及操作模型���。
國內(nèi)這幾年對信息安全風險評估的研究進展較快�,具體的評估方法也在不斷改進�����。原國信辦2004年組織完成了《信息安全風險評估指南》及《信息安全風險管理指南》標準草案的制定���,并在其中規(guī)定了信息安全風險評估的工作流程����、評估內(nèi)容、評估方法和風險判斷準測�����,對規(guī)范我國信息安全風險評估的做法具有很好的指導意義�����。
3)缺點
篇7
隨著中國企業(yè)不斷發(fā)展壯大��,全球化進程的不斷推進���,越來越多的中國企業(yè)走向海外進行投資。然而�����,2004年以來中國共有14家企業(yè)在海外發(fā)生巨額虧損����,14個項目累計虧損達950.5億元。商務部公布的最新統(tǒng)計數(shù)字顯示�,中國目前已經(jīng)在全球177個國家、地區(qū)境外投資企業(yè)13000家,對外投資積累達到2457億美元�。2010年上半年中國作為收購方的并購交易額,排在美國之后�,居全球第二位。2011年7月初��,中鋁宣布澳大利亞昆士蘭奧魯昆鋁土礦資源開發(fā)項目最終告吹�,項目損失高達3.4億元;2011年6月�,中國鐵建投資沙特輕軌項目虧損達人民幣41.48億元;2009年底�,中化集團在海外投資的3個油氣田項目,累計虧損1526.62萬美元���;2009年9月���,中國中鐵在波蘭A2高速公路項目虧損,合同總額4.47億美元����。還有一些海外投資虧損具體損失沒有數(shù)據(jù)顯示。如此巨額的投資虧損不難看出走出去的國有企業(yè)在內(nèi)部風險管理方面還有很大的提升空間�����。
在我國,風險管理是企業(yè)管理中一個相對薄弱的環(huán)節(jié)��,風險意識不強�、風險管理工作薄弱,是企業(yè)發(fā)生重大風險事件的重要原因���。2006年6月,國資委制定并了《中央企業(yè)全面風險管理指引》(以下簡稱“指引”)��,對于建立健全風險管理長效機制����,推動風險管理工作具有一定的意義。2008年6月財政部《企業(yè)內(nèi)部控制基本規(guī)范》���,強調(diào)企業(yè)應當建立實施風險評估程序��。然而就2006年國資委在中央企業(yè)推行全面風險管理工作以來�,雖然有較好的效果�,但仍然存在一定改進空間。本文力求從企業(yè)風險識別及評估的實踐角度���,論述全面風險管理思想在企業(yè)實踐中如何更好的增強風險意識�����、融入企業(yè)文化����,為形成自上而下、全員風險管理的企業(yè)風險管理文化提供支持���。
一��、企業(yè)全面風險管理理論簡介
1.企業(yè)風險的定義:2006年國資委的指引對企業(yè)風險的定義是��,指未來的不確定性對企業(yè)實現(xiàn)其經(jīng)營目標的影響��。將企業(yè)風險一般可分為戰(zhàn)略風險���、財務風險、市場風險��、運營風險�、法律風險等;并將能否為企業(yè)帶來盈利等機會為標志���,將風險分為純粹風險(只有帶來損失一種可能性)和機會風險(帶來損失和盈利的可能性并存)�。本文提到的風險主要是指僅帶來損失可能性的純粹風險。
2.全面風險管理:根據(jù)指引的定義����,指企業(yè)圍繞總體經(jīng)營目標,通過在企業(yè)管理的各個環(huán)節(jié)和經(jīng)營過程中執(zhí)行風險管理的基本流程��,培育良好的風險管理文化���,建立健全全面風險管理體系����,包括風險管理策略���、風險理財措施、風險管理的組織職能體系�����、風險管理信息系統(tǒng)和內(nèi)部控制系統(tǒng)��,從而為實現(xiàn)風險管理的總體目標提供合理保證的過程和方法��。
3.風險管理基本流程:指引將全面風險管理工作分為五個步驟����,如圖所示:
本文主要側(cè)重從收集風險管理初始信息及風險評估的實踐角度���,研究分析如何有效的開展風險識別及風險評估工作,為制定合理����、可行的風險管理策略及解決方案提供可靠保障。根據(jù)指引的規(guī)定�����,風險管理初始信息及風險評估的解釋如下:
(1)風險管理初始信息:實施全面風險管理����,企業(yè)應廣泛、持續(xù)不斷地收集與本企業(yè)風險和風險管理相關(guān)的內(nèi)部��、外部初始信息����,包括歷史數(shù)據(jù)和未來預測。應把收集初始信息的職責分工落實到各有關(guān)職能部門和業(yè)務單位���。
(2)風險評估:企業(yè)應對收集的風險管理初始信息和企業(yè)各項業(yè)務管理及其重要業(yè)務流程進行風險評估��。風險評估包括風險辨識����、風險分析、風險評價三個步驟���。
風險辨識是指查找企業(yè)各業(yè)務單元����、各項重要經(jīng)營活動及其重要業(yè)務流程中有無風險����,有哪些風險。
風險分析是對辨識出的風險及其特征進行明確的定義描述��,分析和描述風險發(fā)生可能性的高低�、風險發(fā)生的條件�。
風險評價是評估風險對企業(yè)實現(xiàn)目標的影響程度、風險的價值等���。
二��、企業(yè)風險識別及風險評估實踐方法論介紹
1.風險識別方法的介紹及應用:
(1)資產(chǎn)財務狀況分析法:即按照企業(yè)的資產(chǎn)負債表及損益表�、現(xiàn)金流量表等的財務資料,風險管理人員經(jīng)過實際的調(diào)查研究����,對企業(yè)財務狀況進行分析,發(fā)現(xiàn)其潛在風險�����。通過對公司資產(chǎn)�、負債、收入利潤構(gòu)成狀況的分析判斷公司經(jīng)營管理結(jié)構(gòu)�����,初步判斷風險可能存在的主要環(huán)節(jié)�。通過財務指標與行業(yè)的橫向?qū)Ρ确治黾?-5年的縱向分析判斷風險的形成及變化情況。
(2)風險專家調(diào)查列舉法:根據(jù)資產(chǎn)財務狀況分析法確定的風險出現(xiàn)范圍及變化情況�����,由風險管理人員對該企業(yè)����、單位可能面臨的風險逐一列出,根據(jù)指引要求劃分為戰(zhàn)略風險、財務風險�����、市場風險�����、運營風險����、法律風險五大類。根據(jù)對企業(yè)所處行業(yè)的分析及對企業(yè)內(nèi)部環(huán)境的了解�,將五大類風險中涉及的風險因素進行列示,主要體現(xiàn)企業(yè)所處行業(yè)面臨的固有風險�。通過訪談、相關(guān)資料收集了解針對固有風險企業(yè)所采取的公司層面控制措施��,并分析判斷公司層面的剩余風險�����。
固有風險是指管理層不采取任何措施減少其發(fā)生可能性或影響程度的情況下����,原本就存在的風險。
剩余風險是指考慮企業(yè)內(nèi)部控制活動的有效性之后����,仍然會發(fā)生某方面或多方面的損失的風險,考慮的是經(jīng)過公司內(nèi)部控制管理之后風險仍有可能造成的影響�����。
(3)分析解析法:指將一復雜的事物分解為多個比較簡單的事物�����,將大系統(tǒng)分解為具體的組成要素����,從中分析可能存在的風險及潛在損失的威脅。根據(jù)調(diào)研結(jié)果整理出的剩余風險����,分析各項風險之間的邏輯關(guān)系。通過調(diào)研及歷史數(shù)據(jù)搜集��,整理出企業(yè)的風險事件���,研究分析風險事件的發(fā)生原因���,造成的影響�����,與各項剩余風險進行邏輯關(guān)系對接�,從而形成風險邏輯關(guān)系圖��。
(4)流程分析法:該種方法強調(diào)根據(jù)不同的流程���,對每一階段和環(huán)節(jié)����,逐個進行調(diào)查分析����,找出風險存在的原因。通過訪談收集資料梳理企業(yè)流程現(xiàn)狀�,識別流程目標、流程層面風險及控制措施����,并將目標、風險及控制措施進行匹配�����。發(fā)現(xiàn)流程層面的剩余風險�,即缺少控制及控制失效的流程風險。
通過上述方法的應用���,可發(fā)現(xiàn)公司層面風險并進行分析分解�����,進一步發(fā)現(xiàn)流程層面風險��。
2.風險評估方法的介紹及應用
(1)問卷調(diào)查法:通過將識別出的公司層面剩余風險按照風險分類編制成公司層面調(diào)查問卷���,向公司管理人員發(fā)放調(diào)查問卷,了解公司管理人員對公司層面風險的判斷�。將識別出的公司層面剩余風險按照風險發(fā)生可能性和影響程度劃分級別,通過發(fā)生可能性與影響程度的乘積確定風險等級�����。
(2)離散度分析法:將問卷調(diào)查結(jié)果進行離散度測試分析�,對各項風險的問卷結(jié)果進行逐項分析,找出離散度較大的風險�,訪談風險離散度較高的評分人員����,進一步了解原因及風險表現(xiàn)情況�。將調(diào)查問卷填寫不完整、不合理或者離散度較大的情況進行調(diào)整�����,形成公司層面風險地圖����,將風險劃分為一般風險、重要風險�����、重大風險分布在風險地圖上���。
(3)管理層訪談法:將問卷調(diào)查結(jié)果及離散度分析結(jié)果匯總后�,掌握公司管理層對初步識別的風險等級排序結(jié)果的判斷�����。通過了解公司管理層的信息�,對風險出現(xiàn)的原因�����,可能導致的影響進行更為深入的溝通和分析。
(4)德爾菲法:是采用背對背的方式征詢專家小組成員的意見�����,經(jīng)過幾輪征詢���,使專家小組的意見趨于集中���,最后做出相對合理的結(jié)論。德爾菲法又名專家意見法����,是依據(jù)系統(tǒng)的程序,采用匿名發(fā)表意見的方式����,即團隊成員之間不得互相討論,不發(fā)生橫向聯(lián)系����,只能與調(diào)查人員發(fā)生關(guān)系��,以反復的填寫問卷�,以集結(jié)問卷填寫人的共識及搜集各方意見�����,可用來構(gòu)造團隊溝通流程����,應對復雜任務難題的管理技術(shù)根據(jù)初次問卷調(diào)查的分析結(jié)果。風險評估環(huán)節(jié)使用德爾菲法��,結(jié)合離散度分析及管理層的意見反饋��,組織公司主要管理人員參加風險討論會���。對風險等級排序靠前的風險逐項討論�,進行第二輪背對背的問卷調(diào)查��,統(tǒng)一管理人員對公司層面風險的認識�,并積極討論應對策略,明確風險的責任歸屬��。根據(jù)集體討論的最終結(jié)果�����,形成最終的公司層面風險排序結(jié)果。
三�、風險識別及評估實踐方法論的應用說明及局限性
1.企業(yè)全面風險管理工作在開展過程中往往存在“落地難”的問題,采用有效的風險識別方法能夠相對準確的找出公司層面存在的主要問題�。由于公司層面風險涉及范圍較廣,邏輯關(guān)系相對復雜���,容易出現(xiàn)識別風險顆粒度不一致的問題。如何有效的體現(xiàn)實際存在的公司層面風險��,并以相對清晰的邏輯關(guān)系進行列示和關(guān)聯(lián)���,可能直接影響到風險評估環(huán)節(jié)的合理有效性��,需要在實際工作中不斷的摸索總結(jié)����。
2.企業(yè)全面風險管理工作要與內(nèi)控體系建設工作緊密結(jié)合�。本文介紹的風險識別及評估方法主要基于公司層面風險的識別與評估,制定風險管理策略�、提出風險管理方案及監(jiān)督改進的工作與內(nèi)控體系建設工作相結(jié)合,將公司層面風險進一步分解為流程層面風險�,會更有助于全面風險管理工作的落地�。
3.本文主要從定性分析的角度提供了公司層面風險識別及評估的方法及應用實踐��,對于定量分析的內(nèi)容尚未進行有效說明���,有待進一步探索研究�����。
篇8
農(nóng)業(yè)機械是指在作物種植業(yè)和畜牧業(yè)生產(chǎn)過程中���,以及農(nóng)、畜產(chǎn)品初加工和處理過程中所使用的各種機械��。農(nóng)業(yè)機械包括農(nóng)用動力機械��、農(nóng)田建設機械����、土壤耕作機械、種植和施肥機械���、植物保護機械�、農(nóng)田排灌機械、作物收獲機械���、農(nóng)產(chǎn)品加工機械����、畜牧業(yè)機械和農(nóng)業(yè)運輸機械等���。農(nóng)機安全是指從人的需要出發(fā)�����,在操作者使用機械的全過程中�,達到使人的身心免受外界因素危害的存在狀態(tài)和保障條件�����。簡單來講��,就是農(nóng)機設備本身應當符合安全要求���,并且設備操作者在操作時應該符合安全要求。
1.2農(nóng)機風險評價
農(nóng)機風險評價是以實現(xiàn)人—機系統(tǒng)安全為目的��,根據(jù)安全系統(tǒng)工程原理,采用科學的方法和程序識別��、評估與農(nóng)機有關(guān)的風險��,分析農(nóng)機事故的發(fā)生原因���,并據(jù)此制定相關(guān)措施降低風險的過程���。該過程一般從對農(nóng)業(yè)機械限制的確定開始,繼而通過危險辨識確定出潛在的危險有害因素�,然后對風險進行評估和評定,據(jù)此采取相應措施消除或減小風險�。農(nóng)機風險評價的整體流程如圖1所示。
2農(nóng)業(yè)機械風險分析
2.1機械限制的確定
機械限制分為預定使用和可預見誤用兩種類型�����,應該考慮農(nóng)業(yè)機械壽命周期的所有階段�,包括:①使用限制,主要指農(nóng)業(yè)機械的適用范圍以及農(nóng)機操作者的限制方面(性別����、年齡、用手習慣等)�����;②空間限制,主要考慮農(nóng)業(yè)機械的運動范圍����、安裝和使用的空間要求、機械所需動力源要求等�����;③時間限制����,具體指農(nóng)業(yè)機械及其組件的“壽命”、規(guī)定保養(yǎng)的時間間隔等���;④其他限制���,如環(huán)境條件(作業(yè)時的最高溫度和最低溫度�,氣候潮濕或干燥,對粉塵和濕氣的耐受力)���、農(nóng)機的室內(nèi)管理和作業(yè)對象的特性[4]�����。
2.2農(nóng)業(yè)機械危險識別
2.2.1農(nóng)業(yè)機械危險分類
一般而言�,農(nóng)業(yè)機械危險主要分為3大類[5]:①機械危險,也就是作業(yè)過程中�,農(nóng)機設備直接造成人身傷亡事故的災害性因素。機械危險的主要形式有擠壓����、剪切、拉入�、纏繞、轉(zhuǎn)動���、蓄能和切割等����。②非機械危險��,主要是指在機械設備生產(chǎn)過程以及作業(yè)環(huán)境中能導致傷亡(非機械性損傷)事故或誘發(fā)職業(yè)病的因素����。非機械危險的主要形式有電氣危險(如農(nóng)用電機繞組絕緣不良使外殼帶電)、高熱危險(如高熱的機體�����,熾熱的排氣管)、噪聲危險(如柴油機發(fā)動噪聲)和振動危險(如手把���、座椅振動)����。③其他危險�,這類危險主要由于操作者及其他客觀條件(如路面狀況、氣候�、危險材料和物質(zhì)等)引起的,如農(nóng)機道路交通事故�、傾翻、絆倒和跌落等�����。不同機械可能產(chǎn)生不同形式的危險��,危險識別的目的是在機械限制范圍內(nèi)確定并形成危險����、危險環(huán)境和危險事件的清單��。
2.2.2危險識別方法
危險識別主要有兩種方法:自上而下和自下而上[6](如圖2所示)。自上而下的方法以潛在傷害(如切斷�����、刺傷)為出發(fā)點確定危險原因��,即引發(fā)危險事件的操作��、危險環(huán)境等���。自下而上的方法則是以所有可能的危險為起點�����,在確定的危險環(huán)境下��,考慮所有可能出錯的途徑(如人為差錯�、部件失效)和導致傷害的方式�����。兩種方法相比較后者考慮較為全面���,但過程復雜�,所需時間較長。
2.3農(nóng)業(yè)機械風險評估
機械傷害產(chǎn)生的前提是要有危險的存在��,但有危險不一定都產(chǎn)生傷害��。風險評估的目的是根據(jù)危險識別的結(jié)果對每種危險狀態(tài)的風險要素進行評估��,進而確定風險�����,并對其進行等級劃分�����。根據(jù)風險的定義���,一般把事故發(fā)生概率和事故后果嚴重程度作為基本的風險要素���。
2.3.1事故發(fā)生概率的確定
根據(jù)相關(guān)資料,農(nóng)機事故發(fā)生概率主要受以下3個因素的影響:操作人員在危險中的暴露程度�����、危險事件的發(fā)生狀況、限制或者避免危險事件發(fā)生的可能性�。據(jù)此可以根據(jù)下面的內(nèi)容來確定事故發(fā)生概率這一風險要素的等級:1)操作人員暴露于危險區(qū)域的時間以及進入危險區(qū)域的人數(shù)和頻率����。等級劃分一般為:罕見暴露、偶然暴露��、每天工作時間暴露和連續(xù)暴露���。2)危險事件發(fā)生頻率����,等級劃分一般為:幾乎不發(fā)生��、不太可能發(fā)生�、可能發(fā)生、非??赡馨l(fā)生和必然發(fā)生。3)限制或避免傷害發(fā)生的可能性����,等級劃分一般為:不可能和可能。
2.3.2事故后果嚴重程度的確定
該要素的等級可以通過受傷害人數(shù)和人體健康受傷害的嚴重程度來確定��,可以把以往的歷史數(shù)據(jù)作為基礎(chǔ)資料�,將事故后果嚴重程度等級劃分如下:1)災難性的:導致死亡或永久殘廢的傷害或疾病;2)嚴重的:導致人體嚴重虛弱的傷害或疾病;3)中等的:要求救護的顯著傷害或疾病;4)輕微的:至多需要急救的輕傷或沒有受傷�����。
2.4農(nóng)業(yè)機械風險評估方法選擇
風險評估方法包括定性評估和定量評估兩類����??蓱糜谵r(nóng)業(yè)機械風險評估的方法主要有風險矩陣法、風險圖法�����、評分法以及綜合評估法等�。這些方法不但可以對風險水平進行排序,還可以通過減少風險的多少去評估采取的措施�����,進而選擇最佳解決辦法�。風險矩陣法[7]是其中應用較廣的一種機械風險評估方法,它針對每一類危險要素����,將決定危險的兩個風險因素劃分為相應等級,形成矩陣,從而根據(jù)交叉單元對風險大小進行定性評估���。風險矩陣法主要包括4個步驟:選擇風險矩陣����、評價事故發(fā)生概率��、評價事故后果嚴重程度和確定風險等級�。其中�,在風險矩陣的選擇方面,對于同一個危險要素�,不同的風險矩陣可以選擇不同風險等級。等級范圍通常選擇3級到10級�����,最常用的等級是4級和5級��。表1給出了風險等級為4級的風險矩陣列表���。
3風險評定
在風險評估之后要進行風險評定���,即根據(jù)選擇的評價方法對評估出的全部風險要素的綜合作用進行評定。評定完成之后會得到相應的風險列表排序,然后結(jié)合實際情況和具體機械��,與可接受的風險等級進行比較�����,如果風險在可接受范圍內(nèi)�����,則該風險評價過程結(jié)束;如果風險是不可接受的����,則需要采取措施減小風險,然后再次按照圖1的流程進行風險評價�,直到所有風險都達到風險可接受的范圍。
4基于WSR的農(nóng)機風險減少策略
WSR是“物理(wuli)—事理(shili)—人理(ren-li)”方法論的簡稱[8]�����,它是一種帶有東方色彩的方法論����,也是一種解決復雜問題的工具,由中國學者在1994年提出��。其中,物理指物質(zhì)運動機理��、運動規(guī)律的總和;事理指做事的道理�,也就是管理規(guī)律,決策方法等;人理指整個活動群體中的各種人際關(guān)系���。根據(jù)WSR理論�,在處理復雜問題時既要考慮對象“物”的方面���,又要考慮這些“物”如何被更好地運用于“事”,同時還必須考慮人在認識問題�����、處理問題以及實施管理決策中的作用�。把W,S��,R放在一起����,從而達到知物理,明事理�,通人理��,系統(tǒng)����、完整地解決問題��。作為一種方法論���,WSR在具體的實踐過程中具有重要的指導作用�。
4.1農(nóng)業(yè)機械風險減小的“物理”基礎(chǔ)
風險減少中的“物理”因素主要包括農(nóng)業(yè)機械的設計原理����、操作規(guī)程以及識別出的所有危險因素等各種客觀存在。這些客觀存在是對農(nóng)機安全的正確認識�����,是符合農(nóng)機安全規(guī)律的科學基礎(chǔ)��,也是采取有效措施減少風險的前提�����。因此�,在擬定安全措施前要根據(jù)原有物質(zhì)基礎(chǔ)對備選解決方案的可操作性進行把握��。
4.2農(nóng)業(yè)機械風險減小的“事理”準則
風險減小需要采取一定的措施�,而措施的擬定就是在“物理”的基礎(chǔ)上進行“事理”分析的過程�����,也就是要根據(jù)風險評定結(jié)果��,尋求降低風險的最佳解決方案��,并力求以最小投入達到最優(yōu)結(jié)果��。風險減小中的“事理”主要體現(xiàn)在:①在明確“物理”因素的基礎(chǔ)上�,尋求更有效地降低風險的方法和途徑。例如�����,農(nóng)機上轉(zhuǎn)動手柄的人性化設計�、農(nóng)業(yè)機械安全設計技術(shù)創(chuàng)新方向的判斷等都是“事理”因素在技術(shù)層面上的體現(xiàn)���。②根據(jù)風險評定結(jié)果�����,編制農(nóng)機安全事故應急預案�����。應急預案是應急行動快速���、高效實施的保證���,可以嚴防事故進一步擴大,有助于將事故對人員����、財產(chǎn)的損失降至最低程度。農(nóng)機事故應急預案是從根本上降低損失����、減小風險的措施,因此也屬于“事理”的一種體現(xiàn)��。③個人的行為方式和特點對風險減少措施制定和實施的影響����。對于同一種危險因素,不同的人可能主張采取不同措施來降低風險��。這是由不同個體知識儲備、經(jīng)驗以及能力等方面的差異造成的��,屬于正?��,F(xiàn)象�����,也是“事理”因素發(fā)揮作用的一種表現(xiàn)形式���。在風險減小措施的制定過程中,“事理”因素居于首要地位����,只有做到“明事理”才能快速找到減小風險的最優(yōu)措施。
4.3農(nóng)業(yè)機械風險減小的“人理”保障
風險減小的目的主要是為了保障人員安全��,而這一過程也是通過人來實現(xiàn)的���,因此人在整個風險減小措施制定的過程中居于主體地位,這是“人理”因素的體現(xiàn)�。制定措施減小風險的過程也是一個決策過程,該過程中涉及到的人員比較復雜���,設計者��、監(jiān)理方以及使用者三方人員代表不同的利益范疇����,對風險的要求由于身份的不同而有所差別。同時����,每個人的情緒、心理素質(zhì)�����、價值取向��、行為動機等都會存在差距�,并且這種差距一直處于動態(tài)變化之中,因此在制定風險減小措施的過程中應該尋找那些能夠制約或者推動個人行為的影響因素并加以重視�����,從而保證所選方案的順利實施�。此外,從宏觀方面來看,農(nóng)業(yè)機械化的法制建設也屬于農(nóng)機風險減少的“人理”范疇�。健全的立法機制可以促使相關(guān)人員在農(nóng)業(yè)機械的生產(chǎn)、使用���、維修等過程中按規(guī)定辦事��,可以在一定程度上減小風險���。與國外相比[9],我國的農(nóng)業(yè)機械化立法機制還不夠健全��,應當吸取經(jīng)驗�����,不斷完善�����。簡而言之�����,“人理”就是風險減小過程中所有涉及人員的相互關(guān)系及其變化過程�,并且通過研究和理順這種關(guān)系�,促使有關(guān)人員在現(xiàn)有“物理”的基礎(chǔ)上�����,按照可接受的“事理”將農(nóng)業(yè)機械風險控制在可接受水平之內(nèi)����。由此可見��,“人理”在3者之中處于主體地位���,是農(nóng)業(yè)機械風險減少的保障��。
篇9
關(guān)鍵詞:數(shù)字校園����;風險評估��;信息安全
中圖分類號:TP309 文獻標志碼:B 文章編號:1673-8454(2012)23-0030-04
一����、引言
數(shù)字校園是以校園網(wǎng)為背景的集教學、管理和服務為一體的一種新型的數(shù)字化工作���、學習和生活環(huán)境��。一個典型的數(shù)字校園包括各種常用網(wǎng)絡服務�����、共享數(shù)據(jù)庫���、身份認證平臺�����、各種業(yè)務管理系統(tǒng)和信息門戶網(wǎng)站等[1]�。數(shù)字校園作為一個龐大復雜的信息系統(tǒng)�,構(gòu)建和維護一個良好的信息安全管理體系是一項非常重要的基礎(chǔ)管理工作。
信息安全風險評估是構(gòu)建和維護信息安全管理體系的基礎(chǔ)和關(guān)鍵環(huán)節(jié)���,它通過識別組織的重要信息資產(chǎn)��、資產(chǎn)面臨的威脅以及資產(chǎn)自身的脆弱性�,評估外部威脅利用資產(chǎn)的脆弱性導致安全事件發(fā)生的可能性�,判斷安全事件發(fā)生后對組織造成的影響。對數(shù)字校園進行信息安全風險評估有助于及時發(fā)現(xiàn)和解決存在的信息安全問題���,保證數(shù)字校園的業(yè)務連續(xù)性�����,并為構(gòu)建一個良好的信息安全管理體系奠定堅實基礎(chǔ)�。
二����、評估標準
由于信息安全風險評估的基礎(chǔ)性作用,包括我國在內(nèi)的信息化程度較高的國家以及相關(guān)國際組織都非常重視相關(guān)標準和方法的研究�����。目前比較成熟的標準和方法有ISO制定的《IT信息安全管理指南》(ISO/IEC13335)和《信息安全管理體系要求》(ISO/IEC27001:2005)����、美國NIST制定的SP800系列標準、美國CMU軟件工程研究所下屬的CERT協(xié)調(diào)中心開發(fā)的OCTAVE2.0以及我國制定的《信息安全技術(shù)——信息安全風險評估規(guī)范》(GB/T20984-2007)���。
ISO/IEC27001系列標準于2005年10月15日正式����,作為一種全球性的信息安全管理國際標準適用于任何組織的信息安全管理活動�,同時也為評估組織的信息安全管理水平提供依據(jù)��。但是ISO27001系列標準沒有制定明確的信息安全風險評估流程�����,組織可以自行選擇適合自身特點的信息安全風險評估方法���,如OCTAVE2.0等[2][3]。
為了指導我國信息安全風險評估工作的開展���,我國于2007年11月正式頒布了《信息安全技術(shù)——信息安全風險評估規(guī)范》(GB/T20984-2007)�����,這是我國自主研究和制定的信息安全風險評估標準����,該標準與ISO27001系列標準思想一致���,但對信息安全風險評估過程進行了細化���,使得更加適合我國企業(yè)或者組織的信息安全風險評估工作開展。
三���、評估流程
《信息安全技術(shù)——信息安全風險評估規(guī)范》(GB/T20984-2007)等標準為風險評估提供了方法論和流程���,為風險評估各個階段的工作制定了規(guī)范�����,但標準沒有規(guī)定風險評估實施的具體模型和方法,由風險評估實施者根據(jù)業(yè)務特點和組織要求自行決定�����。本文根據(jù)數(shù)字校園的業(yè)務流程和所屬資產(chǎn)的特點�,參考模糊數(shù)學、OCTAVE的構(gòu)建威脅場景理論和通用弱點評價體系(CVSS)等風險評估技術(shù)�����,提出了數(shù)字校園信息安全風險評估的具體流程和整體框架�,如圖1所示。
據(jù)圖1可知���,數(shù)字校園的信息安全風險評估首先在充分識別數(shù)字校園的信息資產(chǎn)����、資產(chǎn)面臨的威脅以及可被威脅利用的資產(chǎn)脆弱性的基礎(chǔ)上,確定資產(chǎn)價值����、威脅等級和脆弱性等級,然后根據(jù)風險矩陣計算得出信息資產(chǎn)的風險值分布表���。數(shù)字校園信息安全風險評估的詳細流程如下:
(1)資產(chǎn)識別:根據(jù)數(shù)字校園的業(yè)務流程�����,從硬件����、軟件�����、電子數(shù)據(jù)�、紙質(zhì)文檔、人員和服務等方面對數(shù)字校園的信息資產(chǎn)進行識別��,得到資產(chǎn)清單�����。資產(chǎn)的賦值要考慮資產(chǎn)本身的實際價格,更重要的是要考慮資產(chǎn)對組織的信息安全重要程度����,即信息資產(chǎn)的機密性、完整性和可用性在受到損害后對組織造成的損害程度�����,預計損害程度越高則賦值越高�。
在確定了資產(chǎn)的機密性、完整性和可用性的賦值等級后���,需要經(jīng)過綜合評定得出資產(chǎn)等級。綜合評定方法一般有兩種:一種方法是選取資產(chǎn)機密性����、完整性和可用性中最為重要的一個屬性確定資產(chǎn)等級;還有一種方法是對資產(chǎn)機密性���、完整性和可用性三個賦值進行加權(quán)計算���,通常采用的加權(quán)計算公式有相加法和相乘法,由組織根據(jù)業(yè)務特點確定����。
設資產(chǎn)的機密性賦值為�����,完整性賦值為�����,可用性賦值為��,資產(chǎn)等級值為�,則
相加法的計算公式為v=f(x�����,y�,z)=ax+by+cz,其中a+b+c=1(1)
(2)威脅識別:威脅分為實際威脅和潛在威脅�,實際威脅識別需要通過訪談和專業(yè)檢測工具,并通過分析入侵檢測系統(tǒng)日志��、服務器日志����、防火墻日志等記錄對實際發(fā)生的威脅進行識別和分類���。潛在威脅識別需要查詢資料分析當前信息安全總體的威脅分析和統(tǒng)計數(shù)據(jù),并結(jié)合組織業(yè)務特點對潛在可能發(fā)生的威脅進行充分識別和分類�。
(3)脆弱性識別:脆弱性是資產(chǎn)的固有屬性,既有信息資產(chǎn)本身存在的漏洞也有因為不合理或未正確實施的管理制度造成的隱患�����。軟件系統(tǒng)的漏洞可以通過專業(yè)的漏洞檢測軟件進行檢測����,然后通過安裝補丁程序消除。而管理制度造成的隱患需要進行充分識別�����,包括對已有的控制措施的有效性也一并識別���。
(4)威脅—脆弱性關(guān)聯(lián):為了避免單獨對威脅和脆弱性進行賦值從而造成風險分析計算結(jié)果出現(xiàn)偏差,需要按照OCTAVE中的構(gòu)建威脅場景方法將“資產(chǎn)-威脅-脆弱性-已有安全控制措施”進行關(guān)聯(lián)����。
(5)風險值計算:在資產(chǎn)、威脅、脆弱性賦值基礎(chǔ)上����,利用風險計算方法計算每個“資產(chǎn)-威脅-脆弱性”相關(guān)聯(lián)的風險值,并最終得到整個數(shù)字校園的風險值分布表���,并依據(jù)風險接受準則���,確認可接受和不可接受的風險。
四�����、評估實例
本文以筆者所在高職院校的數(shù)字校園作為研究對象實例����,利用前面所述的信息安全風險評估流程對該實例對象進行信息安全風險評估。
1.資產(chǎn)識別與評估
數(shù)字校園的資產(chǎn)識別與評估包括資產(chǎn)識別和資產(chǎn)價值計算�����。
(1)資產(chǎn)識別
信息安全風險評估專家�����、數(shù)字校園管理技術(shù)人員和數(shù)字校園使用部門代表共同組成數(shù)字校園信息資產(chǎn)識別小組,小組通過現(xiàn)場清查�、問卷調(diào)查、查看記錄和人員訪談等方式����,按照數(shù)字校園各個業(yè)務系統(tǒng)的工作流程,詳細地列出數(shù)字校園的信息資產(chǎn)清單���。這些信息資產(chǎn)從類別上可以分為硬件(如服務器���、存儲設備、網(wǎng)絡設備等)����、軟件(OA系統(tǒng)、郵件系統(tǒng)���、網(wǎng)站等)�、電子數(shù)據(jù)(各種數(shù)據(jù)庫����、各種電子文檔等)��、紙質(zhì)文檔(系統(tǒng)使用手冊、工作日志等)�����、人員和服務等�����。為了對資產(chǎn)進行標準化管理�����,識別小組對各個資產(chǎn)進行了編碼���,便于標準化和精確化管理����。
(2)資產(chǎn)價值計算
獲得數(shù)字校園的信息資產(chǎn)詳細列表后�����,資產(chǎn)識別小組召開座談會確定每個信息資產(chǎn)的價值��,即對資產(chǎn)的機密性����、完整性����、可用性進行賦值��,三性的賦值為1~5的整數(shù)�����,1代表對組織造成的影響或損失最低��,5代表對組織造成的影響或損失最高��。確定資產(chǎn)的信息安全屬性賦值后��,結(jié)合該數(shù)字校園的特點����,采用相加法確定資產(chǎn)的價值。該數(shù)字校園的軟件類資產(chǎn)計算樣例表如下表1所示��。
由于資產(chǎn)價值的計算結(jié)果為1~5之間的實數(shù)�����,為了與資產(chǎn)的機密性�、完整性、可用性賦值相對應���,需要對資產(chǎn)價值的計算結(jié)果歸整����,歸整后的數(shù)字校園軟件類資產(chǎn)的資產(chǎn)等級結(jié)果如表1所示����。
因為數(shù)字校園的所有信息資產(chǎn)總數(shù)龐大,其中有些很重要����,有些不重要,重要的需要特別關(guān)注重點防范��,不重要的可以不用考慮或者減少投入��。在識別出所有資產(chǎn)后��,還需要列出所有的關(guān)鍵信息資產(chǎn)����,在以后的日常管理中重點關(guān)注���。不同的組織對關(guān)鍵資產(chǎn)的判斷標準不完全相同,本文將資產(chǎn)等級值在4以上(包括4)的資產(chǎn)列為關(guān)鍵信息資產(chǎn)��,并在資產(chǎn)識別清單中予以注明�����,如表1所示�����。
2.威脅和脆弱性識別與評估
數(shù)字校園與其他計算機網(wǎng)絡信息系統(tǒng)一樣面臨著各種各樣的威脅�,同時數(shù)字校園作為一種在校園內(nèi)部運行的網(wǎng)絡信息系統(tǒng)面臨的威脅的種類和分布有其自身特點。任何威脅總是通過某種具體的途徑或方式作用到特定的信息資產(chǎn)之上��,通過破壞資產(chǎn)的一個或多個安全屬性而產(chǎn)生信息安全風險���,即任何威脅都是與資產(chǎn)相關(guān)聯(lián)的��,一項資產(chǎn)可能面臨多個威脅����,一個威脅可能作用于多項資產(chǎn)����。威脅的識別方法是在資產(chǎn)識別階段形成的資產(chǎn)清單基礎(chǔ)上��,以關(guān)鍵資產(chǎn)為重點,從系統(tǒng)威脅��、自然威脅��、環(huán)境威脅和人員威脅四個方面對資產(chǎn)面臨的威脅進行識別�。在分析數(shù)字校園實際發(fā)生的網(wǎng)絡威脅時,需要檢查入侵檢測系統(tǒng)��、服務器日志文件等記錄的數(shù)據(jù)�����。
脆弱性是指資產(chǎn)中可能被威脅所利用的弱點����。數(shù)字校園的脆弱性是數(shù)字校園在開發(fā)、部署���、運維等過程中由于技術(shù)不成熟或管理不完善產(chǎn)生的一種缺陷�。它如果被相關(guān)威脅利用就有可能對數(shù)字校園的資產(chǎn)造成損害�����,進而對數(shù)字校園造成損失。數(shù)字校園的脆弱性可以分為技術(shù)脆弱性和管理脆弱性兩種�����。技術(shù)脆弱性主要包括操作系統(tǒng)漏洞�����、網(wǎng)絡協(xié)議漏洞�����、應用系統(tǒng)漏洞�����、數(shù)據(jù)庫漏洞���、中間件漏洞以及網(wǎng)絡中心機房物理環(huán)境設計缺陷等等����。管理脆弱性主要由技術(shù)管理與組織管理措施不完善或執(zhí)行不到位造成。
技術(shù)脆弱性的識別主要采用問卷調(diào)查����、工具檢測、人工檢查�、文檔查閱、滲透性測試等方法����。因為大部分技術(shù)脆弱性與軟件漏洞有關(guān)�,因此使用漏洞檢測工具檢測脆弱性,可以獲得較高的檢測效率��。本文采用啟明星辰公司研發(fā)的天鏡脆弱性掃描與管理系統(tǒng)對數(shù)字校園進行技術(shù)脆弱性識別和評估�。
管理脆弱性識別的主要內(nèi)容就是對數(shù)字校園現(xiàn)有的安全控制措施進行識別與確認,有效的安全控制措施可以降低安全事件發(fā)生的可能性���,無效的安全控制措施會提高安全事件發(fā)生的可能性��。安全控制措施大致分為技術(shù)控制措施����、管理和操作控制措施兩大類�����。技術(shù)控制措施隨著數(shù)字校園的建立、實施����、運行和維護等過程同步建設與完善,具有較強的針對性����,識別比較容易。管理和操作控制措施識別需要對照ISO27001標準的《信息安全實用規(guī)則指南》或NIST的《最佳安全實踐相關(guān)手冊》制訂的表格進行�����,避免遺漏�����。
3.風險計算
完成數(shù)字校園的資產(chǎn)識別���、威脅識別����、脆弱性識別和已有控制措施識別任務后�,進入風險計算階段�。
對于像數(shù)字校園這類復雜的網(wǎng)絡信息系統(tǒng)�,需要采用OCTAVE標準提供的“構(gòu)建威脅場景”方法進行風險分析?!皹?gòu)建威脅場景”方法基于“具體問題、具體分析”的原則��,理清“資產(chǎn)-威脅-脆弱性-已有控制措施”的內(nèi)在聯(lián)系����,避免了孤立地評價威脅導致風險計算結(jié)果出現(xiàn)偏差的局面。表2反映了數(shù)字校園圖書館管理系統(tǒng)的資產(chǎn)��、威脅����、脆弱性�����、已有控制措施的映射示例�。
將“資產(chǎn)—威脅—脆弱性—已有控制措施”進行映射后,就可以按照GB/T20984-2007《信息安全風險評估規(guī)范》要求進行風險計算�。為了便于計算,需要將前面各個階段獲得資產(chǎn)�����、威脅、脆弱性賦值與表3所示的“資產(chǎn)—威脅—脆弱性—已有控制措施”映射表合并��,因為在對脆弱性賦值的時候已經(jīng)考慮了已有控制措施的有效性��,因此可以將已有控制措施去掉�。
本文采用的風險計算方法為《信息安全風險評估規(guī)范》中推薦的矩陣法,風險值計算公式為:R=R(A��,T�����,V)=R(L(T��,V)F(Ia����,Va))。其中��,R表示安全風險計算函數(shù)��;A表示資產(chǎn)����;T表示威脅�����;V表示脆弱性�����;Ia表示安全事件所作用的資產(chǎn)重要程度�����;Va表示脆弱性嚴重程度�����;L表示威脅利用資產(chǎn)的脆弱性導致安全事件發(fā)生的可能性�;F表示安全事件發(fā)生后產(chǎn)生的損失���。
風險計算的具體步驟是:
(a)根據(jù)威脅賦值和脆弱性賦值,查詢《安全事件可能性矩陣》計算安全事件可能性值���;
(b)對照《安全事件可能性等級劃分矩陣》將安全事件可能性值轉(zhuǎn)換為安全事件可能性等級值�;
(c)根據(jù)資產(chǎn)賦值和脆弱性賦值,查詢《安全事件損失矩陣》計算安全事件損失值�����;
(d)對照《安全事件損失等級劃分矩陣》將安全事件損失值轉(zhuǎn)換為安全事件損失等級值�����;
(e)根據(jù)安全事件可能性等級值和安全事件損失等級值�����,查詢《風險矩陣》計算安全事件風險值�����;
(f)對照《風險等級劃分矩陣》將安全事件風險值轉(zhuǎn)換為安全事件風險等級值��。
所有等級值均采用五級制���,1級最低��,5級最高���。
五���、結(jié)束語
數(shù)字校園是現(xiàn)代高校信息化的重要基礎(chǔ)設施,數(shù)字校園的安全穩(wěn)定直接關(guān)系到校園的安全穩(wěn)定�����,而風險評估是保證數(shù)字校園安全穩(wěn)定的一項基礎(chǔ)性工作���。本文的信息安全風險評估方法依據(jù)國家標準�����,采用定性和定量相結(jié)合的方式�����,保證了信息安全風險評估的有效性和科學性�,使得風險評估結(jié)果能對后續(xù)建立數(shù)字校園的信息安全管理體系起到指導作用�����。
參考文獻:
篇10
IT治理的驅(qū)動力意在從董事會等治理層面確立IT的價值和投資的決策機制�����,確保IT戰(zhàn)略與業(yè)務戰(zhàn)略的一致性�,革新性地驅(qū)動業(yè)務的發(fā)展。信息安全管理新標準從風險與成本的平衡過渡���,到要定期報告信息安全管理績效����,反映了信息安全管理標準的發(fā)展進入成熟期�����,也反映了治理層面更加重視對信息安全投入的預期監(jiān)控����,同時對風險管理的度量也是相關(guān)方、管理層共同關(guān)心的話題����。
信息安全的目標是與業(yè)務的發(fā)展目標高度一致的,因此新標準要求信息安全風險管理要聚焦信息���,而信息是融合在整個業(yè)務流程中的��。新的標準摒棄了原來識別資產(chǎn)�、資產(chǎn)威脅與脆弱性的方法論,肯定了管理層面以業(yè)務價值為基礎(chǔ)��,識別信息��、確定信息的價值�,也更方便與其他以業(yè)務流程為基礎(chǔ)的ISO管理標準相融合。
由于更加關(guān)注業(yè)務��,新標準要求對業(yè)務��、對組織目標的理解����,從內(nèi)外部環(huán)境包括宏觀政策、技術(shù)發(fā)展�、行業(yè)動向、微觀的組織環(huán)境來分析�����,此外還要考慮環(huán)境因素對業(yè)務的影響和對信息安全的要求��。
信息安全風險在新標準里變得更加生動���、中性���。新標準要求定義風險責任人,這個責任人更可能是業(yè)務的負責人或某項具體活動的負責人�����,而不僅僅是IT人員���。對信息安全風險的偏好與態(tài)度完全與組織的全面風險管理框架相融合��。
IT技術(shù)對新標準的影響
云技術(shù)的廣泛應用����、外包業(yè)務的興起�����,讓供應鏈的安全風險管理從組織的戰(zhàn)略層面到日常運作層面都要進行識別�、利用、控制�����。新標準新增供應鏈關(guān)系管理,關(guān)注供應鏈關(guān)系中的信息安全和服務商交付過程的信息安全�����。
同時�����,大數(shù)據(jù)的興起使得數(shù)據(jù)泄露的風險加大�����,標準將加密控制從一個控制目標項上升為一個控制域��;此外��,移動互聯(lián)影響著人們的生活和辦公���,新標準也新增了移動設備使用的安全策略����。
在組織層面�����,除了日常運作,管理者還需特別考慮項目的信息安全管理�,這也是新增控制項。同時��,完善了系統(tǒng)開發(fā)的全生命周期信息安全管理��,包括需求分析����、開發(fā)環(huán)境���、測試數(shù)據(jù)保護��、測試驗收���、變更管理、開發(fā)外包管理等控制項�。
新技術(shù)和風險點的出現(xiàn),使得風險處理采取的控制措施不再拘泥于附錄A��。附錄A僅作為基本必須的選項(見標準條款 6.1.3c)�����。
篇11
銀行業(yè)的創(chuàng)新、違規(guī)活動和全球化使銀行業(yè)經(jīng)營活動變得更加復雜,潛在危險更大���。這些都在構(gòu)建銀行業(yè)的持續(xù)監(jiān)管方面向監(jiān)管者提出了新挑戰(zhàn)��。反過來,監(jiān)管者們?yōu)榱顺掷m(xù)地對銀行進行監(jiān)測和評估,已經(jīng)開發(fā)出新的方法和程序�����。在銀行風險預警研究和實踐方面,G10國家走在前列,他們開發(fā)與完善了多種銀行風險預警系統(tǒng)��。
一����、銀行監(jiān)管評級系統(tǒng)
銀行機構(gòu)監(jiān)管評級是從現(xiàn)場檢查評估的基礎(chǔ)上發(fā)展起來的�����。經(jīng)過最近幾年的發(fā)展,這種方法也被應用到非現(xiàn)場監(jiān)管活動中���。無論是在監(jiān)管當局有權(quán)進行現(xiàn)場檢查還是無權(quán)進行現(xiàn)場檢查的監(jiān)管體制下,銀行監(jiān)管評級系統(tǒng)都有助于確認出那些其狀況需要引起特別注意的機構(gòu)��。
1.監(jiān)管評級實踐
在20世紀90年代,美國監(jiān)管當局通過使用CAMEL評級系統(tǒng),首次將評級方法引入銀行機構(gòu)現(xiàn)場檢查活動中���。它被美聯(lián)儲��、OCC,以及美國存款保險公司(FDIC)等三家監(jiān)管機構(gòu)所使用���。綜合評級結(jié)果處于1(最好)和5(最差)的范圍之間。問題銀行案例(CAMELS評級為4級或5級的機構(gòu))的現(xiàn)場檢查更頻繁,評級結(jié)果也更頻繁���。與此相反,在穩(wěn)健性銀行案例中(CAMELS評級為1級或者2級的銀行),現(xiàn)場檢查可能只是每隔18個月做一次,同時評級結(jié)果相應的每一年或半年更新一次��。
美聯(lián)儲使用BOPEC現(xiàn)場檢查評級系統(tǒng)對銀行控股公司進行評級��。BOPEC評級方法來源于BOPEC的五個組成部分,即:被銀行存款保險基金覆蓋的銀行分支機構(gòu)(B),其他分支機構(gòu)(O),母公司(P),盈利(E)和資本(C),加上一個獨立的管理評級,BOPEC方法的每個組成部分的評級結(jié)果被標度成從1(最好)到5(最差)的范圍。
在20世紀90年代中期,美國的FDIC監(jiān)管當局,發(fā)展和采用了一種季度性的非現(xiàn)場評級系統(tǒng),即CAEL�。作為一個專家系統(tǒng)CAEL,利用簡單的比率分析給出一個銀行機構(gòu)的季度性非現(xiàn)場評級結(jié)果。它利用銀行季度性的監(jiān)管性財務報告(call report)計算財務比率,以便在0.5(最好)到5.5(最差)的標度范圍內(nèi)給出銀行的評級結(jié)果����。
法國銀行業(yè)委員會于1997年引入了年度的“防護行動的組織和加強”(ORAP)評級系統(tǒng),作為一種針對單體銀行的多因素分析系統(tǒng)。ORAP系統(tǒng)工作在一個經(jīng)過了標準化和形式化的框架內(nèi),在14個方面給出具體的評級��。每個評價內(nèi)容都被劃分成1(最好)到5(最差)之間的不同等級����。
2.評論
現(xiàn)場檢查評級可以有效評價一個銀行機構(gòu)當期財務狀況和確認存在的問題。評級給出了銀行機構(gòu)財務狀況的參照點,但評級系統(tǒng)的有效時間可能較短?,F(xiàn)場檢查評級方法并不是特別為跟蹤銀行機構(gòu)財務狀況變化而設計的,并且其結(jié)果可能在檢查過程完成后不久就變得不可靠�����。美國的研究表明,盡管現(xiàn)場檢查評級方法具有融合監(jiān)管機密信息和通過監(jiān)管及公共渠道可獲得的信息的優(yōu)點,但在現(xiàn)場檢查過程結(jié)束兩個季度后,這種信息內(nèi)容的價值將開始失去價值��。銀行監(jiān)管評級不能提供事前的觀察,也不能用來把將來可能發(fā)生倒閉的銀行從將來可能繼續(xù)存在的銀行中區(qū)分出來�����。而且,他們通常提供銀行機構(gòu)現(xiàn)存問題事后的特征�。監(jiān)管者應用評級方法主要來確認出那些需要立即采取特別監(jiān)管措施的銀行����。
二、財務比率和同質(zhì)同類組分析系統(tǒng)
1.財務比率和同質(zhì)同類組分析
銀行的財務狀況被公認為一個相對一致的變量集��。這些變量包括一些對資本充足�����、資產(chǎn)質(zhì)量�、盈利性和流動性的測量,大量的財務比率指標被應用到財務比率和同質(zhì)同類組分析系統(tǒng)里面。同質(zhì)同類組分析是通過將一組銀行的財務比率放在一起來進行的����。
2.各國應用情況
20世紀90年代后期,美聯(lián)儲發(fā)展了單體銀行監(jiān)測系統(tǒng),來對單體銀行進行更詳細更具體的財務比率分析,同時將財務比率作為對具有潛在問題銀行的一個基本過濾器��。監(jiān)測系統(tǒng)提供30種以上的監(jiān)管類財務測度��。這些測度根據(jù)銀行的報告每季度測量一次��。單體銀行監(jiān)測系統(tǒng)在發(fā)現(xiàn)銀行機構(gòu)的潛在脆弱性,以及銀行的顯著性變化的方面起到了重要的作用���。
德國1997年采用的BAKred信息系統(tǒng)(BAKIS),是一個被德國央行與監(jiān)管當局共同使用的綜合性標準化信息系統(tǒng)。該系統(tǒng)采用財務比率和同質(zhì)同類組分析作為該系統(tǒng)里面進行風險評估的一個組成內(nèi)容�����。該系統(tǒng)使用了19個信用風險比率(包括清償能力),16個市場風險比率和2個流動性風險比率�����。同時還有10個關(guān)于盈利性的補充性比率���。在給定的任何時間點上的一個同質(zhì)同類組內(nèi),該系統(tǒng)可以用來審核單體銀行的財務比率或者根據(jù)風險類別來劃分的比率。
在荷蘭銀行,財務比率和同質(zhì)同類組分析被作為一種觀察系統(tǒng)來使用,它包括三個產(chǎn)生預警信息的模塊�����。監(jiān)管當局基于銀行評級結(jié)果進行估計的預測系統(tǒng),輸入包括一些精選的關(guān)鍵業(yè)績指標,這些指標來自監(jiān)管報告��、年度會計報告、市場信息如一些可獲得的外部評級和股價信息,以及一些宏觀經(jīng)濟數(shù)據(jù)�。
風險評估,監(jiān)管工具以及估計(RATE)的框架,被英格蘭銀行發(fā)展成為一個綜合的銀行風險評估系統(tǒng),并于1998年被英國金融服務機構(gòu)(FSA)應用,在其對銀行機構(gòu)進行正式的風險評估階段,也使用了關(guān)鍵比率趨勢和同質(zhì)同類組分析方法。
3.評 論
財務比率和同質(zhì)同類組分析被看成對銀行檢查的一個有價值的補充�����。這種方法已經(jīng)成為非現(xiàn)場監(jiān)測過程的一部分,并作為一個進行持續(xù)性監(jiān)管的基本的最小化的工具集�。然而,最近幾年,它已經(jīng)從一種對某些暗含在現(xiàn)場檢查過程中的主要財務比率進行簡單的非現(xiàn)場計算方法進化為一種正式的風險評估工具,并使用了很多不同的具有統(tǒng)計形式的比率。
然而,財務比率和同質(zhì)同類組分析不足以確認出銀行所經(jīng)歷的風險的本質(zhì),特別是大型銀行和專業(yè)性銀行機構(gòu)���。財務比率是從大量變量中選出來的,各比率與銀行機構(gòu)財務狀況之間的相關(guān)程度不一定顯著到中以使它們被選入系統(tǒng)��。給每個比率分配的權(quán)重也會顯示出一些局限性�����。這些權(quán)重可能僅僅是在檢查者個人的經(jīng)驗基礎(chǔ)上被確定的,一旦權(quán)重被給定,它們將維持不變,并有可能無法根據(jù)短暫的變化做出調(diào)整,這使評估效果大打折扣��。
三���、銀行風險綜合評估系統(tǒng)
銀行風險綜合評估系統(tǒng)對銀行機構(gòu)整體風險進行全面詳細評估。該方法將銀行或銀行集團分解為顯著的業(yè)務單位,然后依照一些具體的標準對經(jīng)營風險��、內(nèi)部結(jié)構(gòu)與控制進行評估,根據(jù)標準分類判定分數(shù),得出銀行或銀行集團的最終評估分數(shù)。這一方法已發(fā)展并在最近被兩家G10監(jiān)管權(quán)威機構(gòu)所采用���。
1.各國應用情況
在英國,單體銀行正式全面的風險評估是由英格蘭銀行引入的“比率風險評估體系”的一部分,目前為英國金融服務管理局所應用�����。這一系統(tǒng)對重要經(jīng)營單位的正式風險評估在對銀行集團經(jīng)營風險的九個評估因素的基礎(chǔ)上完成�����。每個經(jīng)營領(lǐng)域的風險基于六個評估因素,CAMEL-B,即資本�����、資產(chǎn)�����、市場風險����、收益��、負債和業(yè)務及不可量化的風險如操作風險��、法律風險和信譽風險�����。
荷蘭銀行在1999年建立并運用了銀行風險綜合評估方法“風險分析支持工具”(RAST)�。所有的風險和控制的類別都根據(jù)一個預設的矩陣被賦予了權(quán)重。所有的評估都在1-4的范圍內(nèi)打分,其中1代表最低的風險或是最好的控制,而4代表最高的風險和最低的控制��。機構(gòu)風險評估結(jié)果要與其償債能力(資本比例)和盈利能力(股本回報率)作比較,分析結(jié)果用于為每個單獨機構(gòu)的監(jiān)管檢查作計劃����。
盡管英國FSA和荷蘭銀行所涉及的理解風險評估的方法很相似,二者仍有幾處重要的不同。RATE匯總的方法論與整個機構(gòu)的風險類別的匯總相關(guān),相反的是,RAST的匯總與商業(yè)單位和基本活動相關(guān)�。另外,RATE將資本和盈利認為是特定的風險單元,RAST僅僅認為它們是數(shù)據(jù),用于在評估結(jié)束時比較與評估機構(gòu)的最后得分。
2.評述
銀行風險綜合評估系統(tǒng)涉及到對銀行風險的定性和定量評估,由于國內(nèi)外的監(jiān)督機構(gòu)可能也對相同的銀行機構(gòu)單體機構(gòu)或集團,所以需要互動才能全面評價單體機構(gòu)或集團��。該方法唯一同時適用于并表和非并表的單體機構(gòu)或集團��。
四�、統(tǒng)計模型
統(tǒng)計模型和前面描述的三種方法在兩個基本的方面存在差異。首先,統(tǒng)計模型直接反映可能導致銀行機構(gòu)出現(xiàn)問題的風險����。統(tǒng)計模型力圖在經(jīng)營出現(xiàn)困難或者倒閉發(fā)生之前確認高風險銀行。這是與其他三種方法注重銀行當期狀況的目標是不同的��。其次,模型使用了先進的定量技術(shù),用來確定解釋變量與諸如銀行的脆弱性、經(jīng)營困難,以及倒閉和生存等運營結(jié)果之間的因果關(guān)系�。第三,統(tǒng)計模型涉及到久期模型,久期不僅用來進行估計銀行的倒閉概率,而且用來估計銀行倒閉的可能時間。
1.各國應用情況
目前,只有美國和法國監(jiān)管當局使用了統(tǒng)計模型��。美聯(lián)儲和美國存款保險公司把統(tǒng)計模型作為非現(xiàn)場監(jiān)管工具��。為評估統(tǒng)計模型,美國監(jiān)管當局運用了20 世紀80年代和90早期發(fā)生的倒閉銀行數(shù)據(jù)�����。法國銀行業(yè)委員會通過應用個人信用數(shù)據(jù)庫和法蘭西銀行的統(tǒng)計,來構(gòu)建自己的統(tǒng)計模型����。美國貨幣監(jiān)理署和意大利銀行目前正在開發(fā)和測試早期預警模型。但這些開發(fā)或使用中的模型的方法論多種多樣,分為(a)估計評級和評級降級的模型;(b)預測倒閉和生存的模型;(c)預期損失模型和(d)其他模型���。
(1)估計評級和評級降級的模型
美聯(lián)儲在1993年為了估計檢查評級結(jié)果而開發(fā)了一個雙變量模型系統(tǒng)(SEER),SEER評級模型采用了多項式LOGISTIC回歸,根據(jù)銀行最近的報告數(shù)據(jù)來估計銀行可能的駱駝評級結(jié)果����。
1995年,美國存款保險公司開發(fā)了非現(xiàn)場駱駝統(tǒng)計評級模型(SCOR)取代CAEL非現(xiàn)場評級系統(tǒng)��。該模型使用了LOGIT模型估計CAMELS評級為1或2 的銀行發(fā)生降級的可能性�����。在SCOR模型下,評級估計的時間水平是4~6個月����。估計結(jié)果將要經(jīng)過12個到18個月以上的檢驗,但是超過6個月后其結(jié)果的精確性將開始降低。
(2)倒閉和生存預測模型
美聯(lián)儲SEER模型估計在隨后兩年中銀行發(fā)生倒閉(或者平均資產(chǎn)的有形權(quán)益比率低于2%)的概率��。該估計是建立在對銀行最新的財務報告的提供的財務狀況的測量基礎(chǔ)上的�。該模型采用了雙變量PROBIT(概率單位)回歸技術(shù)估計倒閉概率。該模型利用美國1985-1999年期間倒閉銀行的特征估計銀行倒閉與財務信息間的統(tǒng)計關(guān)系���。
意大利銀行正在開發(fā)久期模型,不僅用來評估銀行倒閉的可能性,還包括倒閉時間����?�?紤]到意大利有關(guān)倒閉機構(gòu)的數(shù)據(jù)集充分性和廣泛性不足,“倒閉”的定義已經(jīng)被調(diào)整,它將經(jīng)營發(fā)生重大困難的銀行,或者那些被清算以及因經(jīng)營艱難而被接管的銀行��。
(3)預期損失模型
1997年,法國銀行業(yè)委員會開始采用銀行業(yè)分析支持系統(tǒng)(簡稱SAABA)模型����。盡管該模型是一個統(tǒng)計模型,但它也可以通過定性評估來完善定量分析。通過3年期個體潛在損失額加總得出整個信用資產(chǎn)組合的潛在損失總額�。該潛在損失總額數(shù)據(jù)再根據(jù)現(xiàn)有準備金水平進行調(diào)整,未調(diào)整的余額表示未來潛在損失,它要從銀行自由資金的當前存量中扣除。如果調(diào)整后銀行自有資金仍然超過8%的最低資本金要求,那么該銀行在未來3年中將保持償付能力�。
(4)其他模型
形成于20世紀80年代中期的美國聯(lián)邦存款保險公司(FDIC)增長監(jiān)測系統(tǒng)(GMS)是一種簡單的早期預警系統(tǒng),它以6個概要性指標的水平及季度趨勢為基礎(chǔ)計算得到綜合增長監(jiān)測系統(tǒng)(GMS)得分��。擁有最高的綜合GMS得分百分點(目前為95-99個百分點)則需要進一步的非現(xiàn)場監(jiān)管,監(jiān)管當局也可以對得分低于95個百分點的銀行�����、特別是CAMEL評級得分不高的銀行實施額外監(jiān)管�����。
1995年,英格蘭銀行提出(但未實施)了觸發(fā)比率調(diào)整機制(TRAM)早期預警模型,該模型通過各種統(tǒng)計方法和主觀判斷對銀行業(yè)機構(gòu)實施評估�����。此類評估涉及銀行業(yè)功能的三個主要方面,即利潤流����、風險情況,以及控制與結(jié)構(gòu)�。各組成部分分數(shù)及TRAM總分數(shù)較高,將表明該銀行業(yè)機構(gòu)存在潛在問題。
2. 評述
早期預警統(tǒng)計模型依據(jù)嚴格的定量分析����。因此,模型中沒能反映諸如管理質(zhì)量、內(nèi)部控制以及信用文化���、承銷標準等銀行特有的定性因素的影響��。但事實上,定性因素特別是管理效率高低也是銀行破產(chǎn)的重要原因�����。然而,很少有模型將管理質(zhì)量進行量化或為管理績效尋找現(xiàn)實可行的替代指標����。這些模型也沒有考慮由于諸如欺詐或行為不當?shù)绕渌墙鹑谝蛩貙е碌钠飘a(chǎn)風險��。
在統(tǒng)計模型中,重要的是正確識別因果變量及其相互關(guān)系以確保包括重要變量,排除偽造變量����。而且,辨別因果關(guān)系的一致性同樣重要。模型中包含的變量需要嚴格的統(tǒng)計程序和經(jīng)濟推理�。在模型中,在評估期被固定時,自變量一旦被選定也應固定不變,這一點尤為關(guān)鍵。變量的選擇應建立在對其解釋和預測能力進行嚴格統(tǒng)計檢驗的基礎(chǔ)上���。在動態(tài)模型中,在評估期變動的情況下,應定期對解釋變量的重要性進行檢驗,一旦檢驗結(jié)果顯示其作為解釋和預測變量的重要性已下降,這些變量從模型中排除��。
至于變量的選擇,賦予的權(quán)重取決于單個解釋變量的重要性和預測能力,并經(jīng)過嚴格的檢驗確定下來��。而且,為確保評估的準確性,賦予解釋變量的權(quán)重應保持連續(xù)性�����。
獲取大量清晰可靠的原始數(shù)據(jù)是早期預警模型運行的關(guān)鍵因素��。模型預測結(jié)果的可靠性取決于輸入的原始數(shù)據(jù)的準確性����。這不僅涉及到銀行應監(jiān)管要求所報告數(shù)據(jù)的種類和完整性,還涉及到應用于模型的其他數(shù)據(jù)庫的可得性和完整性。一些已經(jīng)使用早期預警模型的監(jiān)管當局在不斷努力改善原始數(shù)據(jù)的質(zhì)量����、種類和完整性。美國監(jiān)管當局正在探索在其早期預警模型中使用私有部門信貸管理局數(shù)據(jù)的可能性��。
盡管一些早期預警模型已經(jīng)獲得滿意的結(jié)果,但其應用范圍仍然有限���。在一般的機構(gòu)和時間內(nèi),正確地預測評級下降的概率��、破產(chǎn)或幸存的概率�、預期損失或破產(chǎn)倒閉等被證明是非常困難的�。由于早期預警模型的發(fā)展還處于初始階段,需要開展進一步的工作以改善其績效。
參考文獻:
[1]Alejandro Gaytán and Christian A. Johnson, 2002,”A Review Of The Literature On Early Warning Systems For Banking Crises,” Central Bank Of Chile Working Papers No. 183,2-5
[2]Financial Services Authority, 2006,”The FSA’s Risk Assessment Framework” ,5-10
