时间:2023-08-21 09:26:40
引言:寻求写作上的突破?我们特意为您精选了12篇风险识别和风险分析范文,希望这些范文能够成为您写作时的参考,帮助您的文章更加丰富和深入。
文献标识码:A
文章编号:16723198(2009)20016301
1企业合同风险种类
在合同法上,广义的风险是指各种非正常的损失,它既包括可归责于合同一方或双方当事人的事由所导致的损失,又包括不可归责于合同双方当事人的事由所导致的损失;狭义的风险仅指因不可归责于合同双方当事人的事由所带来的非正常损失。合同风险中很重要的一项是价格风险。所谓价格风险,是指货物发生损坏或灭失时买方还应支付货款的风险。
1.1根据风险源的不同,企业在合同管理过程中的风险分类
(1)来自企业外部的风险-环境风险。主要表现在企业的经营活动受国家法律环境、政治环境和社会自然环境的影响。
(2)企业内部管理风险-流程风险。流程风险主要包括决策风险、过程风险、技术风险、非技术风 险、财务风险等。主要体现在以下几方面:企业在投标、签订合同时,会面临诸如技术风险和财务风险;在合同项目实施的过程中,还会存在诸如资金、生产或服务的质量和进度等技术风险和非技术风险,以及合同一方违约的信用风险。
1.2根据发生频率和损害性的不同,企业在合同管理过程中的风险分类
(1)高频率、高损害风险;(2)高频率、低损害风险;(3)低频率、低损害风险;(4)低频率、高损害风险。
2合同管理中的风险表现形式
环境风险和流程风险在企业实施合同管理的过程中可能会以各种形式表现出来,主要体现为:客户风险、决策风险、过程风险等。企业必须正确认识这些风险,并尽可能避免和降低风险。
(1)客户风险。客户风险是由于客户原因造成的风险,如客户不配合而使合同执行结果潜藏着风险,以及客户不履行支付行为而形成的违约信用风险。
(2)决策风险。在合同项目决策时很容易产生风险,主要表现在产品、技术风险、方案风险和供应商风险。
(3)过程风险。过程风险是指在合同执行过程中 发生的风险,主要是有关质量、资金、进度等方面的原因引起的,表现为质量风险、资金风险、进度风险和运输风险。
3防范或规避合同风险的对策
3.1建立健全合同风险管理机制
建立风险管理机制是及时识别、降低和化解风险的有效手段。主要应优化业务流程、建立风险管理制度和风险监控机制等。
(1)优化合同管理业务流程。企业应根据具体情况综合分析合同管理关键控制点的风险要素,并依据风险管理的原则,建立相应的控制制度,不断改进、优化业务流程,实现高质量、高效率、低成本、低风险的目标。虽然合同种类很多,金额大小不一,但其关键控制点不外乎以下几个方面:一是合同管理制度的制订及落实情况;二是委托授权、市场准入、 招投标程序;三是合同标的审查;四是合同条款内容的真实性和准确性;五是合同履行的全面性和责任追究情况;六是合同管理基础工作情况。
(2)建立健全风险管理制度。针对上述关键控制点,应在客户资信评估、合同评审、合同审计、合同项目负责制和合同过程控制方面建立相关的风险管理制度。以实现在保证质量、提高风险管理时效的前提下,不断降低成本,满足客户的需求。
(3)完善风险管理机制。①建立供方档案库。企业如已通过IS09000质量管理体系认证,可结合质量管理体系对合格供方选择评审的要求,建立供方档案库,对各个分包方或供方的履约情况进行详细记录,根据供方档案库中该供方的资信状况和以往的 履约记录,提出该供方履约能力评估意见,供项目负责人和公司管理人员参考。②建立健全监督机构。借助于监督机构,对合同执行过程进行风险分析和跟踪,并提出防范措施,是企业有效控制风险的必要手段。③全过程的监督。对风险的管理,不能只停留在合同履行完毕后对项目的总结评估上;更重要的是要做到事前防范和化解风险。如合同签约前审计等。监督可以分为定期的阶段性评估和终验后的总结评估(后评估),它们应贯穿于合同执行的全过程。④责任追究制。决策失误是造成重大经济损失的最重要的根源。针对当前企业管理中存在的决策随意、成本居高不下、资金管理粗放、产品质量水平低等突出问题,应建立决策责任追究制度,以促进管理者树立牢固的风险意识和偿债意识。
(4)重视保险工作。为转移企业在经营活动中的风险,应考虑对决策行为、交易活动以及经营资产等方面存在的风险给予保险。对于上市公司来说,由于公司董事及高管对市场的动态以及政策的把握无法保证百分之百的准确,因此存在着决策失误的可能。而一旦发生决策失误,董事责任险将可以有效地补偿股东及股民的损失,同时保护董事的利益。董事责任险有利于增强上市公司抵御风险的能力, 也有利于提高公司的公信力。此外,还应考虑货物运输险、财产险、责任险等。
3.2合同风险的处置对策
(1)对损失大、概率大的合同风险,如油田地面建设合同要害部位质量风险,要加大工程监理和验收力度,将风险降低到最小。
(2)对损失小、概率大的风险,如对零星用料的招投标管理,如果不进行招投标,可能损失额不大,但损失的概率很大,可采取年初一次招投标的方法来降低风险量。
(3)对损失大、概率小的风险,如机动车辆可通过投保财产险转移或降低风险,或者在施工合同中将施工者的安全责任在合同条款中明确,将安全责任转移。
信用风险度量模型又可以称为企业财务困境研究,二者的本质相同,只是出发点不同。由于企业在银行的债务和履约情况的数据很难得到,以往大多数研究集中于企业财务困境研究。对企业财务困境研究最早的是Fitzpatrick(1932),他发现破产企业的财务比率一般较差,Beaver(1966)、Altman(1968)分别采用单变量分析法和多变量分析法对企业的财务比率进行了研究,后者还建立了由五个参数组成的Z-Score 模型。除了传统的判别分析外,Martin (1977)建立了logistic模型用来预测企业的破产和违约概率,Ohlson(1980)建立了Logit模型,Zmijewski (1984) 使用Probit分析模型,Libby(1975)第一次将主成分分析方法引入了判别分析模型以克服自相关问题。而且近年来基于市场价值的现代信用风险度量模型在国际金融界得到很高的重视和相当大的发展,包括KMV推出的期望违约概率模型,JP摩根银行推出的以VAR为基础的credit metics模型等。
随着商业银行信用风险管理在国内商业银行风险管理中重要性的日益显现,国内关于商业银行信用风险管理的文献大量涌现,王春峰等(1998)将判别分析法应用于我国商业银行信用风险评估,通过与Logit方法相比较,研究了判别分析法的有效性。梁琪(2005)结合主成分分析法构造了logistic回归分析模型,发现该方法优于简单的logistic模型。吴世农、卢贤义(2001)利用1998-200年A股市场ST公司数据,比较了多元判别分析、线性概率模型和Logistic模型的预测效果,发现logsitic模型的预测能力最强。此外,还有陈静(1999)、张玲(2000)、梁琪(2003)、柯孔林和薛锋(2004)、李志辉和李萌(2005)等,均从不同侧面使用判别模型或扩展后的判别模型对我国的商业银行信用作了实证分析。马九杰,郭宇辉,朱勇(2004)通过问卷调查方式,利用所得资料采用logit模型对我国县域中小企业贷款违约情况进行实证分析,但是存在样本过小的问题。
总体而言,由于搜集非上市公司的财务数据异常困难,以往的研究主要从上市公司中选取样本; 且因受数据来源所限(上市公司的履约情况和债项特征属于内部机密, 一般研究人员很难获得) , 几乎所有研究都是以上市公司被宣布特别处理(ST)作为财务困境标志,建立的评估模型以线性判别分析为主。由于样本地选择缺乏代表性,由模型估计所得到的结果很大程度上不能真实反映影响商业银行预期违约概率的主要指标,从而得出的结论缺乏应用性。而本文以甘肃某城市商业银行2005年诚信企业和违约企业财务数据为基础,并对指标进行严格筛选,以贷款企业违约与否作为信用风险高低的衡量标准,运用判别分析和logistic 回归分析,得出影响我国城市商业银行贷款企业预期违约概率的的最具解释能力的财务指标,从而对城市商业银行有效地识别和评估信用风险以及做出合理的贷款决策具有重要的应用价值。
本文即是从贷款企业的财务指标入手,通过判别分析和logistic 回归分析,构建衡量企业信用状况的模型,并通过实征研究考察模型的适用性。本文的结构安排如下:第二部分样本选取与建模变量筛选;第三部分运用判别分析和logistic回归分析方法进行实证分析;第四部分对实证结果给出进一步的分析;第五部分给出结论并总结全文。
二、样本选取与建模变量筛选
(一)指标的选取
研究选择的财务数据全部来自于贷款企业的财务报表,在参考了已有文献以及考虑到实际数据可得性的基础上,本文选取了21个能够反映企业景气、流动性、盈利性、清偿性、成长性以及其他初始指标,指标名称、财务比率名称以及符号具体见表一。
由于X19股东权益比率,X20负债合计/资本和X13资产负债率存在多重共线性,因此剔除X19,X20,同时由于数据存在较多缺失,剔除X17财务杠杆效应,X18企业留存/总资产,X21流通股股本的市场价值/总负债。因此,模型最初选取了景气指标、流动性指标、盈利性指标、清偿性指标、增长型指标等五大类共计16个指标。
(二)样本的选取
鉴于数据的可得性,本文从我国某城市商业银行信贷信息管理系统中选取2005年在该行有贷款且财务数据较为齐全的186家企业作为研究样本。
我们将186家企业分为诚信企业和违约企业两组,其中诚信企业92家,违约企业94家。剔除资产负债率大于1,速动比率大于流动比率以及具有特殊异常值的企业,剩下总样本122家,诚信企业58家,违约企业64家。如果样本中存在缺失值,则由该样本前三年的平均值替代,若历史数据也缺失,则以所在组企业的平均值替代,最后选择的有效样本数为122家。
三、实证检验
本文将分别使用线性判别模型和logistic模型进行实证分析,采用逐步选择方法选择最优解释变量,以对影响我国城市商业银行信用风险的因素做出判断,同时对两种模型下得到的实证结果作进一步的比较分析,并将结果置于中国银行业改革的背景下做出进一步的揭示。本文将采用逐步选择法,一方面利于节约资源,另一方面易于对结果进行分析。
(一)线性判别模型
考虑到通常各变量在判别式中的判别能力不同,本文选取逐步判别法作为判别分析方法,这一方法的优点是将判别能力较差的变量从判别式剔除,仅保留具有显著性的解释变量。
首先我们将诚信企业定义为1,将违约企业定义为0,运用SPSS13.0进行逐步判别法,经过三步筛选最终得到最具解释力的财务指标:应收帐款周转率(X1)、主营业务利润率(X8)、资产负债率(X13),得到的结果见表二 。由表二可知,Wilks'Lambda 达到了0.868,Wilks’Lambda对应的Chi-square统计量为16.647,自由度为3,显著性为0.001。显著性
其次,利用已入选的变量建立Fisher线性判别函数。建立的判别函数为:
Y1=-3.576+0.021X1+2.716X8+11.100X13 (1)
Y2=-4.815+0.039X1+0.845X8+13.425X13 (2)
判别函数(1)和(2)中,应收帐款周转率(X1)、主营业务利润率(X8)、资产负债率(X13)这三个指标分别从景气、盈利性和清偿性三个方面揭示了影响我国城市商业银行贷款企业信用风险的大小。应收帐款反映了企业管理者对企业拥有的应收帐款资产的有效利用程度,应收帐款周转速度越快表明企业资产发挥的效率越大。主营业务利润率是衡量企业主营业务创造利润的能力的指标,该指标越大说明利润来源更稳定可靠,企业经营越稳健。资产负债率是衡量企业资本结构的指标,该指标并非越大越好,提高在获得税盾优势的同时也加大了企业经营的风险
最后,根据判别函数(1)、(2)得到模型的判别效果如下:
由表三可知,根据普通方法对判别函数的判别效果进行验证,模型的准确率为65.6%,其中对诚信企业的准确率64.1%,对违约企业判别的准确率为67.2%,可见模型对于违约企业判定的准确率要高于诚信企业。使用交叉验证(Cross valadation)方法对判别模型的判定效果进行检验,模型的准确率略低于普通方法的判别效果,总准确率为64.8%,诚信企业为62.5%,违约企业为67.2%,模型对于违约企业判定的判别率仍然高于诚信企业。
在信用风险识别模型中,存在着两类错误,即:将高风险企业误认为低风险企业与将低风险企业误认为高风险企业。显然,第一类错误会给银行带来更大的风险,后者最多只会降低银行的潜在收益。从逐步回归法得到的判别函数给出的判别效果中可以看出,商业银行对违约企业判定的准确率要大于诚信企业,可见判别分析给出的结果还是比较理想的,这与李志辉(2005)得到的结论相左,后者运用在某银行有贷款的上市公司财务数据进行的判别分析所得到的结果中,第一类错误率要大于第二类错误率。
(二)Logitistic模型
利用线性判别模型计算得到的Z值只是一个抽象的概念,无法从直觉上进行解释,Logistic回归分析解决了这个问题,且其前提假设符合经济现实和金融数据的分布规律,残差项不要求服从正态分布。考虑到一般情况下各个变量的判别能力不同,本文运用向后逐步选择技术筛选变量以提高模型的判别性能,从全变量模型开始,逐步提出对残差平方和贡献最小的变量,直到不需要提出变量,具体的回归结果见表三。根据SPSS计算结果中的参数表,模型logistics模型的判别方程:
从表三可以看出,与线性判别模型得到的结果类似的是,logistic模型得到的三个最具解释力的变量同样是应收帐款周转率(X1)、主营业务利润率(X8)、资产负债率(X13),方程显示应收帐款周转率(X1)和资产负债率(X13)与信用风险呈正相关的关系,与主营业务利润率(X8)负相关。这在一定程度上证实了这三个变量确实决定商业银行信用风险的大小,从而证明了结论的稳健性。常数项、应收帐款周转率(X1)、资产负债率(X13)在5%的水平上显著,但是值得注意的是,主营业务利润率(X8)这个指标只在10%的水平上显著,但是在5%的水平上并不显著。
由表五可以看出,-2Loglikehood为149.121,此值偏大,说明拟合效果一般.同时Cox &Snell R2为0.140,Nagelkerke R2 为0.187,二者都偏小,也说明模型的拟合优度比较低。我们选定0.5作为临界值,根据公式(3),计算上市公司破产概率,如果超过0.5则判定为违约企业,小于0.5则判定为诚信企业,可以得到方程对于估计样本的总分类正确率为65.3%,其中第一类错误为70.3%,第二类错误为59.6%,具体数据见表六,表明使用logistic模型所得到的总分类正确率比使用线性判别模型得到的结果略好,而且在第一类错误与第二类错误的比例上,两个模型所得到的结论是一致的,即模型所选用的三个指标对于违约企业判定的准确率要大于诚信企业,进而可知模型所选取的指标对于商业银行的稳健经营具有正面的意义。
四、进一步分析
由以上数据可知,采用线性判别模型和logistic模型所得到的总样本判别率相近,仅为65%左右,与已有成果相比判别效果较差。而且,logistic模型中主营业务利润率(X8)的系数在5%的水平上并不显著,同时模型中的Cox &Snell R2与Nagelkerke R2较低,说明模型的拟合优度较低,以上实证数据表明模型在城市商业银行信用风险管理方面的应用受到一定的限制。具体原因可以从以下几方面进行解释。
第一.在研究样本和时期的选取上,由于受数据来源的限制,本文仅考察了2005年一年贷款企业的财务数据,包含的企业数目较少,所涵盖的企业范围较窄,同时在对指标进行处理时,由于数据原因、共线性原因等因素有些指标被剔除,存在缺失的财务数据进行了相应处理,这样在模型计算之前已经损失了一部分信息,因此在此基础上回归分析得到的模型的适用性受到一定的影响。其次,城市商业银行之间的差异性远远大于它们的相似性,城市商业银行无论是在跨地域,还是政府介入程度、经营效益、风险管理水平,差异都非常大,模型在不同城市商业银行之间的引用受到相应的限制,从而导致模型结论的应用具有一定的局限性。
第二、在处理方法上,实际贷款数据很难满足判别分析和logistic模型的假设条件。判别分析要求等协方差阵和变量服从多元正态分布,这在实际分析中很难满足;而logistic回归会导致原始数据的大量丢失和估计过程中出现共线性问题,从而使得估计参数的标准差增加,虽然理论上可以采用主成分分析与判别分析和logistic回归相结合的方法来降维,但是由于各个指标间相关性较低导致不适合运用主成分分析方法,因此本文并未采纳这两种分析方法进行分析,因此数据处理方法选择的不同,导致模型结论的应用具有一定的局限性。
第三,从客观背景上,我国商业银行的经营目标多元化,还未成为真正的商业化运营主体,不良贷款的产生具有内生性(施华强,2004)。2001年-2002年中央银行的抽样调查统计发现,中国历史上不良资产由内部管理原因造成的不良贷款比例仅占全部不良贷款的19.3%,由银行客户、宏观经济体制变化等外部原因所形成的不良贷款占全部贷款的80.7%。后者包括国有企业贷款比例高,发放特定贷款,国企重组,社会信用差等原因。具体到城市商业银行,特别是中西部地区的城市商业银行,大多数是地方政府控制和主导的,其经营行为具有明显的政府干预的痕迹,城市商业银行很大程度上充当了第二财政的职能。尽管从2006年开始城市商业银行已通过股份制改制、引入境外战略投资者、民营资本等措施已经加速重组,此前政府干预城市商业银行的经营决策在很大程度上决定了城市商业银行信用风险度量模型不可能具有很好的判别能力。
以上结论是与以往国内商业银行信用风险研究的结论不同,以往研究所建立的判别模型识别和预测准确率一般都达到80%以上。这是由于以往研究的样本取自上市公司的财务数据,一方面,由于上市公司有信息披露的义务以及较为严格的监管,上市公司的数据全面准确,同时还有流通股股本市值/总负债等能够反映投资者预期的财务指标,且公司治理结构相对比较完善,政府干预较少,因而所用的模型稳定性较好,推广能力较强。然而,上市公司占城市商业银行贷款企业的比例很小,当前我国城市商业银行的主要客户仍然为非上市公司,所以以往研究的结论适用性很低,现实中商业银行信用风险判别模型所选择的最具解释力的指标并非如以往研究所揭示的那样。
五、结论
本文根据2005年某城市商业银行贷款企业的财务数据和履约情况,运用线性判别模型和logistic模型对影响我国城市商业银行信用风险的财务指标进行选择,并通过对模型结果进行分析比较,对模型判别的准确率进行进一步的分析,研究的主要结论如下:
第一,通过运用逐步判别法和向后判别法筛选最具解释力的变量,发现在借款企业的财务指标中,景气指标、盈利性指标和清偿性指标对信用风险影响最大。两种模型所选取的最优财务比率相指标均为应收帐款周转率(X1)、主营业务利润率(X8)、资产负债率(X13),因此上述三个财务比例指标能在很大程度上可以决定贷款企业信用风险的大小,说明判别结果具有一定的可信度。
第二,logsitic模型在估计样本的总分类正确率方面要略优于线性判别模型,而且模型对样本的估计结果中,第一类错误率都是大于第二类错误率,表明模型具有较高的适用性。
一、《内部控制框架》中的风险评估
美国COSO委员会《内部控制框架》所使用的风险评估概念属于广义风险评估,《内部控制框架》将其作为内部控制的关键构成要素。
(一)设定目标
根据《内部控制框架》,风险评估首先要设定目标。设定目标是风险评估的前提条件。风险是与目标伴随的,首先必须有目标,管理层才能对实现目标的风险进行识别。根据《内部控制框架》,目标设定不属于内部控制的构成要素,但它是内部控制的前提条件,为此《内部控制框架》专门对目标设定进行了论述。目标包括企业层面的目标和业务层面的目标。管理层通过目标设定来明确业绩衡量标准,目标具体分为经营目标、财务报告目标和合规目标。经营目标是管理层基于企业所处特定经营环境所设定的业绩衡量标准;财务报告目标在于对外公布的财务报告的可靠性;合规性目标则要求企业的经营活动遵循适用的法律法规。这些目标是相互补充和相互关联的。
(二)风险识别
1.风险识别必须与目标联系,无论目标是明确的还是隐含的,企业的风险识别应当考虑到目标实现面临的各种可能出现的风险。2.风险识别是一个持续性、反复的过程。3.进行风险识别时应当关注企业各个层面的风险,包括企业层面的风险和业务层面的风险。对主体层面的风险进行识别时,既要关注外部风险,也要关注内部风险。来自外部的风险主要有技术进步引起的风险、客户需求变化风险、市场竞争风险、法律法规变动风险、自然灾害风险以及经济环境变化风险等;来自内部的风险包括信息系统故障风险、员工素质能力等方面的风险、管理层变动风险以及董事会或审计委员会不作为的风险等。对业务层面的风险进行识别时,应当将该层面的风险评估集中于主要业务流程和主要职能上,如销售、生产、营销、研究开发等。应当识别对企业有重大影响的较为明显的风险。
(三)风险分析,即狭义的风险评估
企业在对企业层面的风险和业务层面的风险识别后,则需要进行风险分析。风险分析的方法多种多样。风险分析的过程通常包括估计风险的严重性、评估风险发生的可能性、评估应采取的措施等三个步骤。应当注意的是,作为内部控制一部分的风险评估,与作为管理过程应对措施而采取的计划、方案及其他措施存在着区别。
(四)建立识别环境变化的机制
风险评估本质上是一个识别变化并采取必要措施的过程。随着经济、行业和监管等外部环境的变化,企业的经营活动也将发生相应的调整,企业应当建立一套正式或非正式的程序,对可能影响企业目标实现的风险进行识别。管理层应当特别关注以下对环境影响的因素,这些因素包括已变化的经营环境、管理层人员更换及员工大规模更换、使用新的或调整后的信息系统、经营业务快速增长、采用新技术、开拓新的经营领域、进行公司重组等。企业应当建立一定的机制,对发生变化的外部环境进行识别。
二、《企业风险管理框架》中的风险评估
美国COSO委员会2004年的《企业风险管理框架》中将风险管理的要素划分为内部环境、目标设定、事项识别、风险评估、风险应对、信息与沟通和监控等八要素。根据《企业风险管理框架》,风险评估就是要对识别的风险进行分析,以形成确定如何对其进行管理的依据。这实际就是《内部控制框架》中的风险分析,属于狭义上的风险评估概念。《内部控制框架》中的风险评估实际上包括事项识别、风险评估、风险应对三项内容,而目标设定则作为内部控制的前提条件,不属于内部控制要素的范围。
风险总是与特定目标的实现相联系。如不出国旅游,则不会涉及到飞机失事的风险。根据《企业风险管理框架》,实施风险管理首先就涉及到设定目标。目标设定是事项识别、风险评估和风险应对的前提。《企业风险管理框架》正是出于风险管理的需要将目标设定作为风险管理的构成要素之一。《企业风险管理框架》中的目标包括战略目标和相关目标,战略目标是最高层次的目标,而相关目标则是建立在战略目标基础上的企业层面等的目标,企业层面的目标与更为具体的目标相关联,贯穿于整个企业,并具体为各项业务和各项职能的次级目标。《企业风险管理框架》要求设定的目标应当是可计量的,并要求企业各个层次人员根据各自所影响的范围了解企业设定的目标。设定的目标分为经营目标、报告目标、合规目标等三项。作为风险管理的一部分,企业在选择目标时要确保其目标与企业的风险容量相协调。风险容量是企业管理当局在董事会的监督下确定的,反映着企业的风险管理理念,并影响企业的文化和经营风格,是制定战略目标的风向标。战略目标应当选择与其风险容量一致的目标,并使风险反映于战略目标之中。
《企业风险管理框架》中的事项识别要求管理当局对源于内部或外部的影响战略实施或目标实现的事故或事件进行识别,对企业目标实现将带来负面影响的确定为风险,并对其进行评估和应对;将存在正面影响的确定为机会,将其反馈到战略或目标的制定过程之中。在对事项进行识别时,必须考虑企业整体范围内可能带来风险和机会的所有内部和外部因素。外部因素需要考虑的通常包括经济因素、自然环境因素、政治因素、社会因素、技术因素等;而内部因素需要考虑的通常包括人员、流程、技术等因素。
《企业风险管理框架》中的风险评估(即风险分析)要求进行风险评估时,既要考虑预期事项也要考虑非预期事项,对可能对企业存在重大影响的非预期的潜在事项和预期事项的风险进行评估;既要考虑固有风险,也要考虑剩余风险。固有风险是指管理当局未采取任何措施的情况下企业所面临的风险;而剩余风险则是在管理当局进行风险应对之后所残余的风险。确定相应的风险应对后,则集中考虑剩余风险的管理。
《企业风险管理框架》中的风险应对要求企业管理当局评估风险的可能性和影响,并在成本效益比较的基础上,选择能够使剩余风险处于期望的风险容限范围之内的应对策略。风险应对策略包括风险回避、风险降低、风险分担和风险承受。管理当局应当在企业范围内识别风险并确定企业总体剩余风险处于企业风险容量之内。
三、我国《企业内部控制基本规范》中的风险评估
我国《企业内部控制基本规范》中的风险评估使用的是广义上的风险评估概念,包括目标设定、风险识别、风险分析和风险应对。《基本规范》要求企业应当根据设定的控制目标,全面、系统、持续地收集相关信息,结合实际情况,及时进行风险评估。根据《基本规范》。风险评估的具体过程包括:
(一)控制目标的设定
设定控制目标是进行内部控制,特别是风险评估的前提。企业应当根据自身的实际情况,按照本身的发展规划合理确定战略目标。设定的目标应当尽可能量化,并细化为各业务活动和各职能部门的具体目标。内部控制目标的设定要切实可行,与内部控制发展的不同阶段相适应,设定不同要求的内部控制目标,并随着内部控制的发展,逐步提升内部控制目标。
(二)风险识别
《基本规范》要求企业进行风险评估时,应当准确识别与实现控制目标相关的内部风险和外部风险,确定相应的风险承受度。风险承受度即风险容量,是企业能够承担的风险限度,包括整体风险承受能力和业务层面的可接受风险水平。
企业在识别内部风险时,应当关注和考虑的因素包括:1.董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素;2.组织机构、经营方式、资产管理、业务流程等管理因素;3.研究开发、技术投入、信息技术运用等自主创新因素;4.财务状况、经营成果、现金流量等财务因素;5.营运安全、员工健康、环境保护等安全环保因素;6.其他有关内部风险因素。上述因素的现状往往是风险存在的基础,上述因素的变动则往往会诱发新风险的产生。
企业识别外部风险,应当关注和考虑的因素包括:1.经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素;2.法律法规、监管要求等法律因素;3.安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素;4.技术进步、工艺改进等科学技术因素;5.自然灾害、环境状况等自然环境因素;6.其他有关外部风险因素。上述因素实际上是企业经营活动所处的外部环境,外部环境的变动必然会影响到企业的经营活动,有可能给企业带来新的风险,如一项新的技术被其他同行所采用,有可能导致企业所占有的市场份额发生变化而带来风险。再如政府颁布实施较过去更为严格的监管法律,由此可能导致本企业传统加工方法无法继续使用,从而导致风险的产生。
(三)风险分析
《基本规范》要求企业采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。鉴于风险分析的专业性和复杂性,要求企业进行风险分析时充分吸收专业人员,组成风险分析团队,按照严格规范的程序开展工作,确保风险分析结果的准确性。风险分析的目的在于为企业风险应对提供依据。由于企业董事、经理和其他高级管理人员在企业经营活动中的特殊地位,其个人风险偏好对经营活动等具有重大影响,企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好,并予以特别关注,避免因个人风险偏好给企业经营带来重大损失。
中图分类号:F239 文献标识码:A 文章编号:1001-828X(2013)04-0-01
2012年11月29日,财政部以财会〔2012〕21号 印发《行政事业单位内部控制规范(试行)》。该《规范》分总则、风险评估和控制方法、单位层面内部控制、业务层面内部控制、评价与监督、附则6章65条,自2014年1月1日起施行。笔者结合自身的工作经验,对行政事业单位内部控制的风险评估进行解析。
一、风险评估的概念
风险评估,是指及时识别、科学分析影响企业内部控制目标实现的各种不确定因素,同时采取应对策略的过程。要对识别的风险进行分析,形成风险管理的依据。风险与可能被影响的目标相关联。既要对固有风险进行评估,也要对剩余风险进行评估,评估要考虑到风险的可能性和影响。
单位应当建立经济活动风险定期评估机制,对经济活动 存在的风险进行全面、系统和客观评估。经济活动风险评估至少每年进行一次;外部环境、经济活动或管理要求等发生重大变化的,应及时对经济活动风险进行重估。单位开展经济活动风险评估应当成立风险评估工作小组,单位领导担任组长。经济活动风险评估结果应当形成书面报告并及时提交单位领导班子,作为完善内部控制的依据。
二、风险评估的程序
风险评估由目标设定、风险识别、风险分析和风险应对构成。风险评估是内部控制的重要环节,在单位经营过程中,只有进行科学的风险评估,自觉地将风险控制在可承受范围之内,才能实现单位的可持续发展。所以说单位总是在应对各类风险和挑战的过程中去赢得生存和发展。风险并不可怕,而可怕的是没有风险意识,不知晓风险,不能准确地识别风险,不能采取有效的风险应对策略。如果忽视风险盲目发展,必然导致单位处于不利地位。不做事不发展看似没有风险,然而逆水行舟不进则退,不发展本身也是一种风险。风险评估贯穿于单位经营过程的始终,也贯穿于内部控制的始终。
(一)目标设定。单位应当根据设定的控制目标,全面地、系统地、持续地收集相关信息,结合实际情况,及时进行风险评估。这里所指的设定的控制目标主要是指总则中规定的内部控制五目标。如前所述,单位实现了内部控制的五个方面的目标,就能够实现可持续发展,就能够转变发展方式,所以风险评估首先要设定目标。单位目标设定之后,要根据既定目标有计划地全面、系统、持续地收集内外部相关信息。单位可以利用信息化手段,加大信息收集量,提高信息的准确性和及时性,以便单位结合实际情况,及时进行风险评估。
(二)风险识别。风险识别是在目标设定的基础上,密切关注内外部主要风险因素。单位内外部各种风险因素,单位至少应当关注的主要风险,这些风险是在单位内部控制实施过程中,通过日常或定期的评估程序与方法加以识别。这些风险因素具体化为各项应用指引中的主要风险。在单位经营过程中,应将各类风险进行分类整理,形成单位的风险清单。
(三)风险分析。风险分析是指在风险识别的基础上,采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。单位进行风险分析,应当充分吸收专业人员,组成风险分析团队,按照严格规范的程序开展工作,确保风险分析结果的准确性。
风险的定性分析,是指通过观察与分析,借助于经验和判断对风险进行分析的方法。定性分析一般不需要运用大量的统计资料,使用起来简单易行。该方法主要是通过问卷、面谈及研讨会等形式进行风险分析,依靠专业人员的经验和直觉,或者行业标准及惯例等,对风险相关要素的大小或高低程度进行定性分析。在不需要进行量化时,或者进行定量分析需要的数据无法取得,以及出于成本效益原则考虑采用定量分析方法不经济时,一般应采用定性分析。
风险的定量分析,是指运用一些数据分析模型,将有关风险及其影响予以量化,在此基础上判断风险重要性程度的方法,如敏感度分析法和盈亏平衡分析法等。定量分析需要对构成的各个要素和潜在损失程度赋予数据或货币金额,使风险分析的整个过程和结果均被量化。定量分析的方法通常能够提供更高的精确度,往往应用在复杂的经济活动分析中,是对定性分析方法的补充。
(四)风险应对。风险应对是指风险应对政策的选择。单位应当根据风险分析的结果,结合风险承受度,确定风险应对策略。
风险应对策略包括风险规避、风险降低、风险分担和风险承受。风险规避是单位对超出风险承受度的风险,通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。风险降低指的是单位在权衡成本效益之后,准备采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度之内的策略。风险分担是单位准备借助他人的力量,采取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内的策略。风险承受是单位对风险承受度之内的风险,在权衡成本效益之后,不准备采取控制措施降低风险或者减轻损失的策略。
单位应当综合运用这些风险应对策略,实现对风险的有效控制。
以目标设定为基础,单位在进行风险识别、风险分析之后,通过风险应对策略,排除了风险规避、风险分担和风险承受,凸显了风险降低,需要采取相应的措施,将风险控制在可承受范围之内。配套指引中的系列应用指引明确单位至少应当关注的风险点,并经过风险识别、分析之后,结合应对策略,重点对风险降低作出了规定,即系列应用指导提出的各项控制措施。
近年来,由于道路交通网建设需要,高速铁路隧道的挖掘长度及开挖断面越来越大,断面形状日益多样化,加大了开发难度,施工风险随之俱增。面对施工过程中风险要素和不确定性,应构建动态的、全过程的风险管理技术体系,最大程度的消除施工风险,避免安全质量故障的发生。风险管理技术体系的构建要建立在高速铁路隧道施工中的风险要素分析,及风险管理目标确定基础上,因为这些为其提供了科学合理的依据,这样才能保证施工风险得到有效控制。
1 高速铁路隧道施工中存在的主要风险要素和风险管理目标
高速铁路隧道工程项目周期长、工程量大、施工难度高,过程存在不确定性,反映到具体的施工作业中后为两种表现。一是,施工技能风险要素。采用新技术,技术落后,应用过程中的操作失误,施工工序实施不当,爆破操作不当,隧道围岩变形过大及勘察不仔细等都会形成一定施工技术风险。二是,施工现场风险要素。高速铁路隧道是修建在地下或山体中的,开挖过程中很可能出现塌方、瓦斯爆炸、释放有毒气体、洞口滑坡等,加之地质的不确定性,安全措施不到位,随时可能引发施工安全故障。
施工风险是关系到工程质量、工期进度及生产安全的重要因素,必须做好施工风险管理工作。施工风险管理目标:科学评估施工中可能存在的风险,确定重大危险源,然后制定风险管理方案和办法,以规避风险。
2 高速铁路隧道施工风险管理技术体系
2.1 风险分析
隧道施工中有着诸多风险要素,而且多是隐蔽的,需要采取有效的识别方法识别出风险源。所以,对施工风险进行充分的分析与论证,从系统角度看高速铁路隧道施工风险,精确估计施工风险要素,进而制定相应的风险规避措施,做到对施工风险的规避。风险识别和风险评估是风险分析的主要手段。风险识别是发现风险源的一个过程,在这过程中要对风险要素发生的条件、位危害等进行科学分析。成功识别出风险源后,要将其一一罗列出来,建立风险指标体系,用以评估重大危险源。
风险识别方法是多种多样的,目前有专家调查法、经验判断法、系统分析法、情景分析法等。无论采用哪一种方法,都要遵循预测性、全面性、科学性和系统性原则进行风险识别工作,从工程实际出发,选择与施工技术标准相符合的风险识别方法。实际工作中,施工单位要根据施工组织方案、技术指标交底文件、地质勘查报告等资料,结合以往经验,利用适合方法对施工风险要素进行分析,得到各风险比重,同时对其可能造成的严重后果进行全面分析,为风险管理提供依据。
2.2 风险评估
风险评估建立在风险分析基础上,是一种对风险源可能造成的影响和损失的可能性进行量化评估工作。为做到真正量化评估,要建立相应的数学模型。由于模型构建较为专业,这里根据风险评估过程提出了一种操作方便便捷、数据明了、不繁琐的风险评估程序。具体是:第一步,先整体评估工程项目的施工风险,对识别出来的风险要素进行风险分析,预见每个风险源要素可能为施工带来的影响和损失;第二步,预见风险要素对整个工程项目可能造成的影响程度,从成本、工期、质量、安全角度入手;第三步,对以上两个环节得出的信息进行整合,按一定比重将所有风险要素及其影响程度做先后排序处理;第四步,从现有的风险评估模型中选择一个适合工程项目施工要求的,将重大风险源填入其中,按一定计算方式计算得出评估结果,最终确定风险要素对工程施工产生的影响。
除进行量化的风险评估之外,也可以根据实际工作经验进行风险评估,但是这种评估方法对人员专业知识和经验有着严格要求,得出的评估结果缺乏科学性,没有先进技术作为支撑。
2.3 风险监控
结合高速铁路施工经验,此类工程项目的施工风险监控措施有:第一,建立风险监控台账,清楚登记风险源产生条件、位置、危害程度、预控措施及负责人等信息,并公示给全员,尤其技术人员。既用于防控风险,也用于安全故障发生后的处理,便于提高反应速度和故障处理效率。第二,根据风险评估结果制定安全作业技术方案,选择符合标准的施工技术。第三,严格地质勘查工作,全面而客观的分析隧道项目施工现场的地质条件,整理成文件后纳入风险监控体系之中。
2.4 风险控制
风险控制是隧道施工风险管理中的重要内容,是保证施工安全的有效手段,应制定动态的风险控制计划。以隧道工程实际为出发点,以风险分析、风险评估和风险监控为依据,以有效防控施工风险为目的,制定风险控制计划。计划内容要符合这些要求:制定明确的风险管理目标和防控策略;提供完整的风险分析、评估与检测报告信息;确定各个施工阶段的技术与质量标准;建立严格的岗位职务分工和责任分工制度,让每位施工参与者清楚自己的工作范围、职责和权限;要求工程监理严格执法,严格检查隐蔽工程的施工情况,规范各项施工工艺。其中,风险防控措施的制定是重中之重,要坚持以“预防为主”,“及时有效处理”等原则,将风险防控和风险处理有机结合起来,力争确保风险防控措施的完善性、有效性,全面保证工程施工安全。
3 结语
目前,我国高速铁路隧道施工技术和安全管理有了长足发展,施工风险管理技术仍然存在很大的发展空间。我们要做的是,根据具体施工过程中不断暴露出来的风险要素不断提高风险识别与评估水平,为制定行之有效的风险管理办法提供科学决策依据。同时,也要不断探索风险管理的新途径、新方法,促进风险管理技术发展,以满足施工安全管理工作的需要,有效规避施工风险。
参考文献:
二、风险管理与内部控制的关系
风险管理与内部控制作为企业管理的两大工具,各自经历了理论体系的创新和实务操作的发展。内部控制由传统的内部牵制制度逐步发展为以风险为导向的内部控制整合框架,风险管理也由分散的财务、经营和战略风险管理逐步发展为整合风险管理。实践证明,内部控制的有效实施有赖于风险管理的技术方法,而风险管理离开了内部控制作为手段支撑也将流于形式。我国的企业内部控制规范体系将内部控制与风险管理融为一体。
三、企业风险管理要结合内部控制的内部环境、风险评估、控制活动、信息与沟通和内部监督等要素进行管理
企业风险管理的首要工作是对企业经营管理过程中遇到的各种各样的事件进行风险评估。风险评估是企业及时识别、科学分析经营活动中与实现控制目标相关的风险,合理确定风险应对策略,实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。
1.目标设定
风险是指一个潜在事项的发生对目标实现产生影响的可能性。风险与可能被影响的控制目标相联系。企业必须制定与企业投资、筹资、资金营运、利润分配等业务相关的目标,设立辨认、分析和管理相关风险的机制,以了解企业所面临的来自内部和外部的各种不同风险。
2.风险识别
企业要识别与控制目标相关的各类内部风险和外部风险。企业识别内部风险,一般关注董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素;组织架构、经营方式、资产管理、业务流程等管理因素;研究开发、技术投入、信息技术运用等自主创新因素;财务状况、经营成果、现金流量等财务因素;营运安全、员工健康、环境保护等安全环境因素;等等。企业识别外部风险,一般关注经济形势、产业政策、融资环境、市场环境、资源供给等经济因素;法律法规、监督要求等法律因素;安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素;技术进步、工艺改进等科学技术因素;自然灾害、环境状况等自然环境因素;等等。
在明确企业发展战略和内部控制目标的前提下,识别企业各类潜在的风险是履行具体控制程序的基础和起点。常用的风险识别技术和方法有行业风险组合清单、职能部门风险汇总、头脑风暴、SWOT分析、调查问卷、价值链分析、流程分析、情景分析等。企业可以根据实际情况选用其中一种或多种方法识别风险。此外,企业还可以利用外部专业咨询机构的力量提高风险识别的效率和效果。
3.风险分析
风险分析是在风险识别的基础上对风险发生的可能性和影响程度进行描述、分析、判断,并确定风险重要性水平的过程。它是风险应对的直接依据。
风险分析的程序:(1)分析风险可能性。(2)分析风险影响程度。(3)确定风险的重要性水平。
风险分析的方法包括定性方法、定量方法以及定性与定量相结合的方法。
定性分析法,比较常用的定性分析方法主要有:L谈、集体讨论、专家咨询、问卷调查以及标杆分析等。定性分析的质量主要取决于管理层的风险意识、判断能力和对潜在事项的了解。
定量分析法,比较常用的定量分析方法主要有:概率技术、情景分析、压力测试、敏感性分析、计算机模拟等。进行风险定量分析时,企业需要统一制定各风险的度量单位和风险度量模型,并通过测试等方法,确定评估系统的假设前提、参数、数据来源、定量评估程序的合理性和准确性。企业应当根据环境的变化,定期对假设前提和参数进行复核和修改,并将定量分析系统的估算结果与实际效果对比,据此对有关参数进行调整和改进。
不论是定性方法还是定量方法都有其适用范围,企业通常采用定性与定量相结合的方法对风险进行分析,确定各类风险的重要性水平。具体的分析方法有敏感性分析、行业标杆比较法、风险价值、情景分析、压力测试、风险矩阵等。
在充分识别各种潜在风险因素后,要对固有风险,即不采取任何防范措施可能造成的损失程度进行分析。同时,重点分析剩余风险,即采取了相应措施后仍可能造成的损失程度。企业应当采用定性与定量相结合的方法,按照风险发生的可能性和影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。
4.风险应对
企业根据风险分析结果、合理选择应对策略。企业在选择风险应对策略时需关注:(1)风险应对策略的选择依据是企业风险分析的结果,企业通过风险分析了解风险的重要性水平,针对不同的风险级次分别选择应对策略。(2)风险应对策略的选择必须能将企业的剩余风险控制在风险承受度以内。(3)风险应对策略的选择必须在技术和资源上具有可行性。(4)风险应对策略的选择必须权衡成本与效益。(5)风险应对策略的选择应该考虑不同岗位人员的风险偏好,避免出现因个人风险偏好给企业整体战略和经营带来损失。
企业在分析了相关风险发生的可能性和影响程度后,结合风险承受度,权衡风险与收益,确定风险应对策略。
常用的风险应对策略有风险规避、风险降低、风险分担和风险承受。
(1)风险规避是控制风险的一种最彻底的措施,是在风险事故发生之前将所有风险因素完全消除,从而彻底排除某一特定风险发生的可能性。风险规避策略是相对消极的风险应对策略,选择这一策略意味着放弃可能从风险中获得的收益,同时企业在该业务或事项上的前期投入也将成为沉没成本。因此,企业应当谨慎选择风险规避的策略。企业在选择风险规避策略时必须考虑以下因素:①风险规避是否影响企业的经营绩效;②风险规避的成本效益;③风险规避是否导致产生新的风险。
(2)风险降低策略是风险应对策略中最为积极和常见的方法,包括风险预防和风险抑制。
风险预防是指在风险事故发生之前,采取消除风险因素的措施,达到降低风险发生的概率、减轻潜在损失的目的。
风险抑制是指企业针对不愿完全规避又无法顺利转移的风险,采取各种控制技术和方法来减少风险事故发生之后的不利影响和损失。风险抑制策略主要有风险分散和风险复制两种方法。
风险分散是指通过增加风险单元的数目,将特定风险在较大范围内进行分散,以此减少单个风险单元的损失。风险分散是金融证券投资领域常用的风险应对策略。例如,投资者在证券市场上选择不同类型的证券,通过证券组合来分散证券投资的风险,某一只或某几只股票出现的损失可以通过其他股票的收益来弥补。对于企业而言,也可以选择不同的投资项目来分散企业总体的投资风险。
风险抑制是指企业对某些资产或设备进行备份,在原有资产或设备不能正常使用的情况下,动用这些复制品。例如,企业储备一定数量的零部件以备设备出现故障时及时更换,从而不影响企业正常的生产活动。
(3)风险分担是指企业为避免承担风险损失,有意识地将可能产生损失的活动或与损失有关的财务后果转移给其他方的一种风险应对策略。常见的方法有业务分包、购买保险、出售、开脱责任合同、转移责任条款等。
(4)风险承受是指企业不采取任何措施干预风险发生的可能性和影响。企业对风险承受度之内的风险,在权衡成本效益之后无意采取进一步控制措施的,可以采取风险承受策略。
风险应对策略的选择与企业风险偏好密切相关,为此企业应当合理分析和掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好,采取适当的控制措施,避免因个人风险偏好给企业经营带来重大p失。风险应对策略往往需结合运用。
四、风险应对策略的选择和调整
风险规避策略在采取其他任何风险应对策略都不能将风险降到企业风险承受度以内的情况下适用;风险降低和风险分担策略是通过相关控制措施,将企业的剩余风险与风险承受度保持一致;风险承受则意味着风险在企业可承受范围之内。企业应当根据自身所处的发展阶段、业务拓展情况、整体风险承受度等实际情况,对风险进行识别、分析,在权衡成本效益的基础上选择合适的应对策略,并根据业务开展情况及时调险应对策略。
一、全面风险管理的概念
全面风险管理是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。它强调风险管理是一个系统过程,从企业战略制定一直贯穿到企业的各项活动中,是一个由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险,为企业目标的实现提供合理保证的过程。
风险按性质可以分为纯粹风险和投机风险两类。纯粹风险,是指有可能带来损失的风险,如各种形式的天灾人祸。投机风险,是指既有可能带来损失,又有可能带来机会的风险。如股票投资,既可以为投资者带来丰厚的利润,也可能使投资者遭受重大的损失。对于经营管理者(风险承担者)来说,纯粹风险和投机风险往往同时存在。
二、企业风险分析
风险分析是利用分析工具对风险产生的可能性、概率和可能的结果进行量化后进行的分析,包括风险识别、风险测算、风险评估及风险决策等。
(一)风险识别
风险识别是风险管理的第一步,它是企业在风险发生以前,通过感知和分析等方法,对自身面临的或潜在的风险加以判断、归类和鉴定风险性质的过程。因此,风险识别不仅仅是要意识到风险的存在,更是要识别风险的特征和类别。其实质上是对风险进行定性研究,企业要准确识别与实现组织目标相关的内部风险和外部风险,确定相应的风险承受度。风险识别主要收集和分析的信息包括风险源、风险因素、风险敞口(风险暴露)和损失可能等。目前实践中主要采用专家调查法。
(二)风险测算
风险测算是在风险识别的基础上,通过对所收集的各种信息进行分析,运用科学的统计和分析方法,估计和预算风险发生的概率和损失程度。风险测算不仅使风险管理建立在科学的基础上,还能为风险管理者进行风险决策、选择最佳防范措施提供可靠的科学依据。风险测算常用的方法有重现期方法、直接积分法、蒙特卡罗方法等。
(三)风险评估
企业应根据既定的控制目标,全面系统持续地收集相关信息,结合实际情况,及时进行风险评估,并根据风险分析的结果,结合风险承受度,权衡风险与收益,确定风险应对策略。企业应合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好,采取适当的控制措施,避免因个人风险偏好给企业经营带来重大损失。通常采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。此环节主要是应用概率论来判断和评估风险的可能性及其危险等级。
(四)风险决策
决策过程是从可供选择的行为程序中辨别和选择适当程序的过程。对于纯粹风险,必须尽可能规避,因为它对企业有百弊而无一利;对于投机风险应根据不同情况,分别采取风险规避、风险降低、风险分担和风险承受等风险应对策略,实现对风险的有效控制。风险应对是一个动态管理的过程,企业可结合不同发展阶段和业务拓展情况,持续收集与风险变化相关的信息,进行风险识别和风险分析,及时调险应对策略。
三、企业风险管控措施
(一)建立严格规范的企业内控制度,从制度上防范风险。企业应当结合风险评估结果,通过手工控制与自动控制、预防性控制与发现性控制相结合的方法,综合运用控制措施,对各种业务和事项实施有效控制。
控制措施一般包括:授权审批控制、不相容职务分离控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评制等。
(二)注重加强企业财务风险分析和预测。财务风险分析和预测是企业控制未来财务风险的重要方法,也是企业进行经营决策的重要依据。准确把握宏观经济形势和市场发展变化,高度关注宏观经济运行信息及重要指标,主动调整企业各项财务指标和目标任务,对企业未来财务活动和财务成果作出科学预判。
实务中常常以报表为基础,利用杜邦财务分析体系展开对企业盈利能力、流动性、资产管理及成长性分析。
(三)建立风险和控制自我评价制度。风险和控制自我评价是对风险管理和控制系统的评价,既可以对整个系统进行评价,也可以对某些具体的项目、机构或事件的控制过程进行评价。企业可定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告。
风险和控制自我评价方法一般有三种:促进小组研讨班法、调查法、管理部门分析法。
(四)建立重大风险预警机制和突发事件应急处理机制,明确风险预警标准,对可能发生的重大风险或突发事件,制定应急预案、明确责任人员、规范处置程序,确保突发事件得到及时妥善处理。
企业应根据内外部经济环境的变化及企业发展战略,制定科学的风险管理策略和风险解决的内控方案,实施有效的风险管理措施,特别是要充分发挥企业财务战略的统领作用,科学安排企业年度筹资、投资、经营、收益分配等现金流计划,提升企业的战略决策能力,全面提高企业的抗风险能力,从而保持企业平稳健康发展。
1 软件需求风险的含义及其成因
1.1 软件需求和软件需求风险
软件需求通常指的是为了满足合同、规范、标准和其他要求,软件系统或系统组件必须具备能力;或指用户解决问题,实现一个特定的目标必须有一种软件的能力。软件的需求风险指的是软件开发过程中,由于软件需求本身含义,开发者和用户之间缺乏有效的沟通,并要求用户或改变随着时间的推移和变更等原因,导致不当的分析软件需求,最终开发的软件的功能偏差的可能性从用户的实际需求。在软件开发的早期阶段,如果没有准确的需求分析,可能会延长软件开发周期,提高软件开发成本,创建软件交付被推迟,信用受到严重影响的后果。
1.2 软件需求风险的原因分析
参与的主体是软件需求分析、需求风险因素主要涉及到提供者和需求方面的分析。需求风险的来源、环境、需求和本身是主要的组成部分。如果使用RR说需求风险,R表示需求本身,RP需求提供者说,RA需求分析说,环境,E表示,需求风险是R,RP,RA,E函数的四个因素,可以表述为:RR = f(R,RP、RA、E)。需求原因主要是与这些因素有关。首先,完整和详细的需求的程度,可能会引起软件风险的需求。软件系统几乎不可能一次性确定所有的需求的具体范围和具体要求,和需要改进的过程中发展的需求,这将增加软件需求分析的困难。
其次,对环境,由于用户的变化,时间,或者不全面的识别要求。需求不清楚,和业务的变化,等等,可能导致对环境变化的需求,使整个软件开发周期也发生了变化,从而导致需求的变化,导致一些潜在的或新的需求,增加需求的风险。最后,需求方面的提供方和分析风险之间缺乏有效的沟通是导致需求的重要因素之一。对自己的要求,通常情况下,提供者需要表达是不正确的,倾向于表达自己的目的,和一丝不苟的工作流程或不能明确的提出商业计划,让开发人员将提供方的实际需求了解不足,或因为一些错误的理解需求之间的沟通障碍可能产生风险的需求。
2 软件系统需求风险评估模型的设计过程
2.1 风险识别模块
风险识别是风险分析的基础上,对风险评估的需求的第一步,它主要通过识别需求的需求分析阶段风险,以便明确初始需求风险列表。根据每个风险列表的需求,识别风险来源,计算了最终需求,包括需求风险类别及其来源,风险列表。
2.1.1 风险识别模块需要实现的功能
(1)风险识别的需求。答:风险识别的目的。在软件开发的早期阶段,需求分析,需求不清楚,和不正当方法选择的潜在风险,如不合理,因此,对风险识别的需要,挖掘隐藏的风险,风险评估,了解其发生的概率、可能的影响,以便采取有效措施避免或解决这些风险,最大限度地减少伤害的风险。B:风险识别方法:更典型、有代表性的方法:基于风险问卷的分类(分类――basedQuestionnaire TBQ),风险检查表法、德尔菲法、头脑风暴法和访谈法等方法。(2)需求识别风险来源。采用有效的方法来识别需求的原因各种各样的风险,风险识别模块功能至关重要。(3)需求风险列表的生成。识别各种风险和风险来源,删除重复的使用,类似于合并,并添加丢失的风险,风险来源的方法,将最终的风险列表。
2.1.2 风险识别模块的输入源的需求
(1)软件项目成员和专家根据项目的具体特点,使用各种方法来确定需求的风险。需求的模块输出的风险,包括风险和风险来源列表。信息存储在知识库的经验和原始需求风险清单,知识需求风险的分类列表,等等。
(2)风险分析模块。结合风险识别模块的最终需求风险列表,明确之间风险来源、风险和风险和风险之间的因果关系,以建立一个风险评估模块需求评估载体:贝叶斯网络结构。根据这一数字,深入挖掘的相关数据,并结合识别等信息输入源模块,确定每个节点的分布对应的参数需求风险,风险评估的下一步。风险分析模块主要通过贝叶斯网络结构学习方法和构造贝叶斯网络基于专家经验的方法,两种方法,对贝叶斯网络结构的建设。
(3)风险评估模块。风险评估模型的模块是核心模块,是基于参数以及建立贝叶斯网络结构,计算每个节点对应的需求风险概率,并结合当前项目的特点,对各种风险的需求,量化的影响,结合需求风险的影响,以及产品的需求风险概率,将总体风险量化值。使用推理算法(使用贝叶斯定理的条件概率表及其网络结构计算方法)实现发生概率风险评估的需求。
二、保险风险及标准化的概念特征
(一)保险风险的特征
保险是分散风险、消化损失的一种经济补偿制度。从风险管理的角度看,保险是风险管理的一种方法,或风险转移的一种机制。通过保险,将众多的单位和个人结合起来,变个体对付风险为大家共同对付风险,从而提高风险损失的承受能力。保险的经济补偿制度,既是风险的集合过程,又是风险的分散过程。保险公司通过保险将众多投保人所面临的分散性风险集合起来,当发生保险责任范围内的损失时,又将少数人遭受的风险损失分摊给全体投保人,通过保险的补偿或给付行为分摊损失或保证经营稳定。保险风险的集合和分散应具备两个前提条件:一是大量风险的集合体。保险在于集合多数人的保费,补偿少数人的损失。大量风险的集合,是基于风险分散的技术要求,也是概率论和大数法则原则在保险经营中得以运用的前提。二是同质风险的集合体。所谓同质风险,指风险单位在种类、品质、性能和价值等方面大体相近,如果风险不同质,那么风险损失发生的概率就不相同,风险也就无法进行统一集合与分散。此外,不同质风险损失发生的频度、幅度也不同,若对不同质的风险进行集合与分散,极容易导致保险公司财务的不稳定。
(二)标准化的基本概念
根据标准化法条文解释,标准化是“在经济、技术、科学、及管理等社会实践中,对重复性事物和概念通过制定、实施标准,达到统一,以获得最佳秩序和社会效益的过程”。因此,凡具有多次重复使用和需要制定标准的具体产品,以及各种定额、规划、要求、方法、概念等,都可作为标准化的对象。标准化的对象一般可分为两类:一类是标准化的具体对象,即需要制定标准的具体事物;另一类是标准化的总体对象,即各种具体对象的总和所构成的整体,通过它可以研究各种具体对象的共同属性、本质和普遍规律。标准化的基本原理包括统一原理、简化原理、协调原理和最优化原理。统一原理就是为了保证事物发展所必须的秩序和效率,对事物的形成、功能或其他特性,确定适合于一定时期和一定条件的一致规范,并且这种一致规范与被取代的对象在功能上达到等效。简化原理是为了经济有效地满足需要,对标准化对象的结构、型式、规格或其他性能进行筛选提炼,剔除其中多余的、低效能的、可替换的环节,精炼并确定出满足全面需要所必要的高效能的环节,保持整体构成精简合理,使之功能效率最高。协调原理是为了使标准的整体功能达到最佳,并产生实际效果,必须通过有效的方式协调好系统内外相关因素之间的关系,确定为建立和保持相互一致,适应或平衡关系所必须具备的条件。最优化原理是按照特定的目标,在一定的限制条件下,对标准系统的构成因素及其关系进行选择、设计或调整,使之达到最理想的效果。标准化是实现科学管理和现代化管理的基础,是合理发展产品品种、组织专业化生产的前提条件,是提高产品质量保证安全、卫生的技术保障,也是资源合理利用、节约能源和节约原材料的有效途径。实施标准化的重要意义是改进产品、过程和服务的适应性,防止贸易壁垒,促进技术合作。
三、保险风险评估标准化的必要性
标准化的目的是为了在一定范围内获得最佳秩序和社会效益,通过制定和实施标准,使标准化对象的有序化程度达到最佳状态。对于保险中的风险评估,不同的主体,甚至同一主体如保险公司内部的不同层级和部门,对其有着不同的理解,关注的焦点也存在差异,造成了各相关方之间的不配合,难于开展对风险管理效果的客观评价,也就难于达到最佳秩序和最佳社会效益。通过将风险评估活动标准化,为风险管理活动提供一种共同的语言和公式,有了统一的标准,实施风险评估的各相关方就可以使用相同的风险管理过程,有了相同的决策、处理基础,对风险评估活动持有共同的认识,有利于规范保险的风险管理活动。保险所面对的风险具有“大量、同质风险”的特征,风险评估标准化的过程,也就是针对各类大量同质风险进行科学分析研究的基础上,结合技术进步的新成果以及实践中累计的先进经验,使之相互结合,加以消化、融会贯通、提炼和概括的过程。人们在生产实践中为了规避风险或减少损失,已经积累了一定的经验,也取得了大量的科学技术成果,这些成果和经验如果以标准的形式来表达,对于保险公司在实施风险评估过程中提高效率具有重要意义。
四、风险评估过程的标准化分析
保险风险评估标准化体系的构建,要基于标准化的统一、简化、协调和最优化原理,根据保险风险因素的特征,将风险识别、风险分析和风险评价过程中的共性的、重复性的可能导致风险发生的因素识别出来,使决策者及有关各方可以更深刻地理解各类承保风险,以及现有风险控制措施的充分性和有效性,为确定最合适的风险应对方法奠定基础。根据《风险管理风险评估技术》(GB/T27921-2011),结合保险风险评估的特征,将风险识别、风险分析和风险评价环节中的标准化重点进行逐一解析,分析各环节中需要重点关注的因素和方法,实现风险评估过程的标准化。
(一)风险识别标准化
风险识别是发现、列举和描述风险要素的过程,也是风险评估过程中的基础环节。风险识别的目的是确定可能影响保险事故发生的事件或情况,一旦风险得以识别,保险公司应立即对现有的控制措施进行识别。风险识别的范围包括对风险源、风险事件及其原因和潜在后果的识别,识别的方法包括:1)基于证据的方法,例如检查表法以及对历史数据的评审;2)系统性的团队方法,例如专家团队遵循系统化的过程,通过一套结构化的提示或问题来识别风险;3)归纳推理技术,例如危险与可操作性分析方法等。此外,也可利用各种支持性技术来提高风险识别的准确性和完整性,例如头脑风暴法和德尔菲法等,但无论采用哪种技术,其关键是在整个风险识别的过程中要认识到人的不安全行为、物的不安全状态以及组织管理制度的有效性。
(二)风险分析标准化
在风险分析过程中,重点应当考虑导致保险风险发生的原因和风险源、风险事件的正面和负面的后果及其发生的可能性、影响后果和可能的因素、不同风险及其风险源的相互关系以及风险的其他特性,还要考虑控制措施是否存在及其有效性。为确定风险等级,风险分析通常包括对风险的潜在后果范围和发生可能性的估计,该后果可能源于一个时间、情景或状况。在某些情况下,风险可能是一系列事件迭加的结果,或者由一些难以识别待定事件所诱发,在这种情况下,风险评估的重点是分析系统各组成部分的重要性和薄弱环节,检查并确定相应的防护措施。风险分析的方法可以是定性的、半定量的、定量的或以上方法的组合。定性的风险分析可通过重要性等级来确定风险后果、可能性和风险等级,如“高”、“中”、“低”3个重要性程度。半定量法可利用数字评级量表来测度风险的后果和发生的可能性,并运用公式将二者结合起来,确定风险等级。定量分析可估计出风险后果及其发生可能性的实际数值,并产生风险等级的数值。
(三)风险评价标准化
风险评价将包括风险分析的结果与预先设定的风险准则相比较,或者在各种风险分析结果之间进行比较,确定风险的等级。风险评价利用风险分析过程中所获得的对风险的认识,对外来的行动进行决策,包括:1)某个风险是否需要应对;2)风险的对应优先次序;3)是否应开展某项应对活动;4)应该采取哪些途径。依据风险的可容许程度,将风险划分为如下三个区域:不可接受区域、中间区域和广泛可接受区域。不可接受区域内无论相关活动可带来何种收益,风险等级都是无法承受的,必须不惜代价进行风险应对;中间区域内的风险应考虑实施应对措施的成本与收益,并权衡机遇与潜在后果;广泛可接受区域中的风险等级微不足道,或者风险很小,无需采取任何风险应对措施。
中图分类号:TV74文献标识码: A 文章编号:
引言
风险管理(Risk Management),这一名词最早出现在1930年美国管理协会发起的一个保险问题会议上,是由美国宾夕法尼亚大学的所罗门·许布纳博士提出的。随着经济社会的发展及全球化的蔓延,风险管理逐渐发展为一门理论,并应用于金融、财务、股市、施工项目管理等各种行业。本文广东省丰顺县梅丰水电站为例,运用风险管理理论对水电站运行管理过程中的风险因子进行识别、评估、分析,业主可以根据评估结果采取有效控制措施,减少风险损失。
1 风险评估理论
风险管理的方法和步骤与其所在的应用领域有关,而且与不同专家学者的个人见解有关。软件工程协会提出了风险管理的五个阶段:识别、分析、响应计划、跟踪和控制;美国国防部则建立了风险规划、风险评估、风险处理和风险监控的风险管理基本过程和体系结构。Fairley提出了风险管理的七个步骤:识别风险因素、评价风险概率和影响、研究策略来减轻被识别的风险、监控风险因素、启动连续性计划、管理危机事件和从危机中恢复;Klien和Luddin则参照质量管理(PDCA)四个过程提出了风险管理的四个步骤:风险识别、风险分析、风险控制和风险报告[[[]王炜. 项目风险管理三阶段研究[J].科技信息.1994-2012 China Academic Journal Electronic Publishing House. http://]][[[]赵树,王玉.项目的风险识别和防范[J].上海管理科学,2002.(5).]][[[]戴哲.项目的风险管理[J].企业管理,2002.(2).]]。
本文将风险管理的方法和步骤分为四步:风险识别、风险分析、风险评估和风险对策,将风险管理理论应用与梅丰水电站的运行管理中。
1.1风险识别
风险识别是风险管理的第一步,并且是重要的一步,风险因子识别的正确与否直接影响着风险评估、分析的结果,进一步影响着规避风险的控制措施。如果所识别的风险因子能够真实反映项目的潜在风险,则通过风险管理评估、分析后,可以采取有效措施,大大减少风险;相反,若错将不会构成风险的因子作为风险因子,不但不能降低风险,甚至造成更大损失。
根据风险因子的主客观因素,可以将梅丰水电站运行管理中的主要风险因子分为两类:一类是强降水、洪峰、山洪灾害、地质灾害、地震等客观因子,这类因子一般具有不确定性,其发生时间、危害程度、危害范围等都具有不确定性;另一类则风险因子则受人类主观因素的影响,如水库运行管理调度规程、闸门启闭规则等。风险管理主要是对这些因素进行评估、分析,有针对性地采取控制措施,以降低灾害发生的概率,最大限度的降低灾害的损失程度。
1.2风险分析
风险因子识别出来之后,就要对其进行风险分析,以便确定风险发生的可能性大小和所造成的影响程度,进而确定关键风险[[[]孙祖斌、秦士美.项目风险管理探讨[J].煤矿现代化,2009.01:96-97.]],为确定风险评估指标体系提供依据。
根据风险破坏的性质可以将风险分析分为定性分析和定量分析,定性风险分析主要是确定风险发生的可能性和其后果的严重性;定量风险分析则是对每一风险的概率及其所造成的后果进行量化[4]。
1.3风险评估
风险评估则是在风险分析的基础上,对关键风险发生的可能性及其所造成的后果进行预测,从而确定风险的级别,为制定风险对策提供依据。风险评估的方法有多种,如层次分析法(AHP)、专家评估法、主成分分析法、敏感性分析法等。
风险评估的结果将直接影响到风险对策,能够反映真实情况的结果能够有效的规避或减少风险损失。因此,在条件允许的情况下,应采取多种方法对风险进行评估,多种方法形成对比,有利于深刻认识潜在风险因子及其所造成的损失。
1.险对策
风险管理理论的最后一步为风险对策,即根据风险评估的结果,为消除或减少风险造成的不良后果而制定的风险应对措施[[[] 杨明. 浅议项目风险管理的应对措施[J].现代经济信息,2010.04:46.]]。主要有以下几种[4][5]:
(1)风险回避。风险回避是彻底规避风险的一种方法,这种方法通常是在风险未出现时,从根本上断绝风险来源。对于水电站运行管理,这种对策主要针对一些人为因素导致的风险源,如泄洪时由于人为因素导致闸门不能正常开启。
(2)风险控制。风险控制主要是针对一些可控性的风险因子,在风险发生前采取可行措施防止风险发生,或在发生过程中及时采取有效措施,以便减少风险所造成的损失。
(3)风险转移。风险转移是一种通过试图将自己可能面临的风险转移给他人承担来避免风险损失的方法。这种方法多应用于私营企业或个体经营者。对于水电站运行管理,很多是国有企业或事业单位,风险转移的策略一般很少使用,但有时管理单位负责人为了减少自己的责任,也通过投保措施将风险转移给保险公司。
(4)风险自担。顾名思义,风险自担意味着自己全部承受风险所带来的损失。当风险发生的概率较低,或者所造成的后果较低时,通常所有这种措施。当规避风险的费用大于风险自担的损失时,通常也主动接受风险。
2 实例
2.1 梅丰水电站工程概况
梅丰水电站位于八乡河上,是八乡河水利水电梯级开发项目。八乡河位于广东省丰顺县境内,发源于丰顺县的楼子嶂,是榕江南河支流五经富河的上游河段,自西向东流经上、下八乡、五经富等地。沿河先后有荷岭水、打银河水、大竹水、小溪水和青潭水等支流注入。五经富水流域面积719km2,河长76km,平均比降5.46%,在丰顺县境内面积为293km2,地理位置为东经115°50′~116°05′,北纬23°37′~23°49′之间[[[]广东省水利水电科学研究院.广东省丰顺县梅丰水电站A厂工程设计复核和安全鉴定报告[R].广州:广东省水利水电科学研究院,2006.]][[[]广东省水利水电科学研究院.广东省丰顺县梅丰水电站B厂工程设计复核和安全鉴定报告[R].广州:广东省水利水电科学研究院,2006.
第一作者简介:梁志山(1972—),男,广东梅县人,水工工程师,总经理,主要从事电站建设与管理工作。]]。
2.2 梅丰水电站风险管理分析
本文以专家调查法为例,运行风险管理理论对梅丰水电站运行管理过程中的风险因子进行评估。
(1)风险评估指标。梅丰水电站的主要功能有防洪、发电,因此在风险评估的指标应围绕防洪、发电进行识别。本次风险管理分析以大坝自身安全为目标,对有关主要影响因子作为风险评估指标,如表2-1所示。
(2)风险因子概率p。风险因子概率是指每个风险因子出现的程度,受风险因子及其外界环境的影响,一般需要咨询工程经验丰富的专家。为了说明风险管理分析这一方法,本实例采用假定的专家调查值,如表2-1所示。
(3)风险因子影响程度l。不同的风险因子对风险损失的影响程度是不同,影响程度大的因子一旦出现将会造成巨大损失。
(4)风险值R。风险值为风险因子概率与风险因子影响程度两者综合作用的结果,为了计算简单,本例直接取两者的成绩,即风险值。
表2-1梅丰水电站风险管理分析
(注:本表中的数据并未实际调查,而是采用的假定值。每一宗水电站都有其自身特点,在实际操作过程中,应组织有经验的一批专家赴现场调研,根据他们的调查值综合确定风险因子的出现概率和影响程度。)
由表2-1可知,启闭机失灵对大坝自身安全的风险值最大,白蚁灾害次之,地震灾害的风险值最小。因此,在水电站的日常运行管理过程中,应针对风险值的风险因子采取风险对策,以减少风险损失。
3 结语
水电站运行管理是一个系统工程,影响水电站综合效益的因素很多,既有无法抗拒的客观因素(地震、特大洪水等),也有人为的主观因素,如何对这些风险因子进行分析、评估,并提出相应的减少损失的措施,是水电站风险管理的关键。本文以广东省梅丰水电站运行管理过程中的影响大坝自身安全的风险因子为例,对其进行分析、评估。
(1)本文将风险管理理念运用到梅丰水电站的运行管理中,在假定情形下,对其进行风险评估,得出评估结论。
(2)限于实验条件,在评估过程中,没有严格按照评估程序,组织有关专家去现场调研,本文仅说明风险评估理论的步骤及程序,其结果不具有权威性。
(3)本文将风险管理理念运用到水电站的运行管理中,为其他水电站的运行管理提供借鉴。
(4)由于风险因子概率与风险因子程度直接影响到风险值,因此,如何根据风险因子概率和风险因子程度综合确定风险值,是今后研究的重点。
参考文献
[1]王炜. 项目风险管理三阶段研究[J].科技信息.1994-2012 China Academic Journal Electronic Publishing House. http://
[2]赵树,王玉.项目的风险识别和防范[J].上海管理科学,2002.(5).
[3]戴哲.项目的风险管理[J].企业管理,2002.(2).
[4]孙祖斌、秦士美.项目风险管理探讨[J].煤矿现代化,2009.01:96-97.
[5] 杨明. 浅议项目风险管理的应对措施[J].现代经济信息,2010.04:46.
1 风险管理概念解析
风险管理是组织管理活动的一部分,其管理的主要对象就是风险。在GB/T 23694—2013 / ISO Guide 73:2009《风险管理 术语》中曾经指出,风险管理由一系列的活动组成,这些活动包括了标识、评价、处理和可能影响组织正常运行事件的整个过程,其准确的定义为:风险管理(risk management)是指在风险方面,指导和控制组织的协调活动。
与风险管理定义密切相关的,还有“风险管理框架”和“风险管理过程”两个词汇。
风险管理框架(risk management framework)是指为设计、执行、监督、评审和持续改进整个组织的风险管理提供基础和组织安排的要素集合。在GB/T 23694—2013 / ISO Guide 73:2009原文中给了三个有用的注解,分别为:风险管理框架是要素集合,这个框架并不是单独存在的,这就体现了风险的特点之一,就是一系列的“点”,这些点是要被嵌入(be embedded)。特别值得指出的是,校准(align))、整合(integrate)和嵌入(embed)是信息管理安全领域,也是整个管理学领域的常见词汇。其中,在战略层面一般强调校准,即无论是信息安全的战略还是信息系统的战略,都应该与组织的整体战略保持一致。在更细的策略或流程层次,则强调整合或嵌入。例如,已经有人力资源的管理规程,需要嵌入安全管理的部分,或者已经有事件管理规程,将其与信息安全事件管理进行整合。总之,校准、整合和嵌入是值得深入研究的三种方法。
风险管理过程强调的是系统化的策略、程序和方法。这三者关系如图1所示。
风险管理过程才体现了信息安全应该如何做(how)的问题。
严格讲,风险管理不仅仅是过程,是一系列的活动。因此,在下文的图3中,我们特别指出: 风险管理的阶段划分仅作示意。
2 风险评估及其过程
在GB/T 23694—2013 / ISO Guide 73:2009中,风险评估并不是作为一个单独的过程定义的。其中定义为:风险评估(risk assessment)包括风险识别、风险分析和风险评价的全过程。
风险评估的过程在GB/T 23694—2009 / ISO/IEC Guide 73:2002中虽然也是类似的定义,但是当时并没有单独把“风险识别”作为一个单独的阶段。或者说,在当时的定义中,“风险识别”是作为“风险分析”的一个阶段而出现的,详细定义为:风险评估包括风险分析和风险评价在内的全过程。
为了更好地理解其中的变化,我们在表1中给出了风险评估包括的阶段的术语定义。
无论如何划分,风险评估都要完成下面这些活动:
在上述三个步骤中,步骤一与步骤二较为通用,或者说,截至到风险分析阶段,我们需要确定风险的等级,这都可以按照通用的标准或方法提前定义好。步骤三则不同,这个步骤需要结合组织自己定义的风险准则。
3 区分风险评估与风险管理
我们可以简单地认为,风险评估是风险管理的一个阶段,只是在更大的风险管理流程中的一个评估风险的阶段。如果把风险管理理解成一个“对症下药”的过程,那么风险评估就是其中的“对症”过程,只是找到问题所在,并没有义务解决。而风险管理是在整个组织内把风险降低到可接受水平的整个过程。主要阶段包括风险评估和风险应对(risk treatment) )。
风险管理是一个持续循环,不断上升的过程,它被定义为一个持续的周期,每隔一个阶段就开始新的循环,这些循环要贯穿组织的始终,是组织管理的一部分。风险评估则更像“搞运动”,其一般按照一定的时间间隔进行,但是如果发生组织业务变化、出理新的漏洞或基础机构变化等,都可能启动新的风险评估过程。
风险管理的循环过程不是在原地踏步的,它的每一次新循环都应该上一个新的台阶,呈螺旋上升的形状。如图3所示。
这种台阶或者档次的上升的来源就是组织定期或临时启动的风险评估,在每一次风险评估中都会发现潜在的问题,并在接下来的风险应对过程中加以解决,从而使组织管理风险的能力得到提升。
4 风险应对概念解析
无论风险评估步骤进行得多么完美,都只是找到了问题,而解决问题应该是组织的最终目的。风险应对的步骤就是评估、选择并且执行这些改进措施的过程。
风险应对(risk treatment)是指处理8)风险的过程。在GB/T 23694—2013 / ISO Guide 73:2009中,对这个定义也有详细的注解,包括:
(2)遵从性风险。指企业内部IT策略与外部法律法规的遵从(Compliance)所导致的风险。伴随信息技术的发展,国内外出台大量法律法规加强了对信息系统的监管。例如,2002年美国国会的《萨班斯—奥克斯利法案》虽然没有直接明确对信息系统的要求,但据统计,企业在实施符合法案要求的工作中,信息系统方面的工作量占比超过40%;2006年中国银监会《电子银行业务管理办法》和《电子银行安全评估指引》,也直接对技术风险较大的电子银行提出了进行独立的或相对独立的信息系统审计的要求。
(3)信息安全风险。企业信息系统不断开放和复杂,使得信息安全面临来自内外部的严峻挑战。针对企业信息系统的攻击方式简单易学、攻击对象身份隐匿,造成企业信息安全风险极易转化为现实的业务威胁,如支持员工移动办公给企业资产安全性和可用性带来的压力倍增,许多敏感机密信息被轻易泄露。
(4)可用性风险。可用性风险主要来自三个方面,一是IT平台系统自身漏洞导致的系统停机事件越发难以掌控;二是由于事件管理、变更管理、配置管理、连续性计划等IT服务管理流程缺失或不到位,导致IT系统不可用;三是来自自然的灾害威胁着IT系统的可用性。
(5)绩效风险。若IT投资行为不能带来合理的回报,如规划不当、控制不严等,将使组织面临巨大财务风险。同时,如果对IT的投资绩效和运行绩效不能进行有效测量,就不能有效地发现存在的问题,并采取针对性的改进措施。随着信息系统日益成为企业经营成功的核心,且贯穿在完整的流程过程中,企业业务和支撑业务的信息系统愈加无法分割,形成有机的整体。因此,IT风险带来的挑战不仅影响到信息系统本身,也同时会影响到业务的稳定运行及发展,更有可能影响到外部的业务客户。在应对这些IT风险时,传统的方式大多是采用事后反应式的控制措施,使得技术人员疲于应付各种层出不穷的风险,且在面对制度、流程、人员行为等方面带来的风险时,传统的控制方法存在明显不足,而降低企业IT风险的关键是需要有一个主动、科学的风险管理体系。
2企业IT风险管理及其标准指南
企业IT风险管理是围绕企业信息化战略目标,通过在信息系统的规划、开发、运行、维护、监控与评价的各个阶段中降低企业风险的科学化管理流程,包括风险管理的策略制定、风险的识别、风险的评估、风险的处置等环节,以达到企业信息化可持续发展的目标。一个科学的IT风险管理体系是一个具有前瞻性、全局性的控制机制,能综合防范和应对IT治理、法规遵从、系统可用、信息安全、IT外包、业务连续性、IT绩效等诸多方面的企业风险,并能使企业IT战略与企业综合战略相融合,以实现有效益、可持续的信息化发展。信息社会环境下,无论何种规模、什么类型的企业,都需要面临围绕信息系统制定一套管理体系和控制指南,有效地管理企业面临的各种各样的风险,并随着业务环境的变化和新技术的发展及时更新。
在此方面,国内外已经有一些较为成熟的企业IT风险管理的标准或指南。例如美国反虚假财务报告委员会(COSO)于2004年颁布的《COSO企业风险管理框架》,此框架要求企业管理者以风险组合的观点看待企业风险,对包括IT风险在内的所有风险进行识别,并采取措施使企业所承担的风险在风险容纳量(RiskAppetite)的范围内。而美国信息系统审计与控制协会的COBIT标准自1996年诞生以来已经更新到了第四版,已成为全球通用的信息系统审计标准,该标准每一次更新都在不断强化IT风险控制的目标内容,为企业信息系统安全审计提出了具体指导。此外,国际知名的信息安全标准也都提出了各自的IT风险管理控制框架,包括ITIL(Infor-mationTechnologyInfrastructureLibrary,信息技术基础架构库)、ISO27001(信息安全管理使用规则)、CMMI(CapabilityMaturityModelIntegration,能力成熟度模型集成)、Prince2(ProjectsINControlledEn-vironments,受控环境下的项目)等。
近年来,我国的信息化主管部门以及各行业也积极加强了企业风险管理。以金融业为例,2004年9月银监会了《商业银行内部控制评价试行办法》,其中包括了对银行计算机系统的IT风险控制要求;2009年银监会出台了《商业银行信息科技风险管理指引》,2011年银监会了《商业银行业务连续性监管指引》。与此同时,其他行业监管部门也已经或计划出台类似的风险管理措施。上述标准或指南为企业IT风险管理提供了原则指导和对策框架,如何将这些原则性建议与企业自身的工作实际相结合,如何将IT风险管理融入常态化的企业管理机制,仍然是企业管理实践中的难点。因此,本文以我国企业IT风险管理的先行行业———金融业的管理实践为例,详细探讨企业IT风险管理的体系结构及其关系,并就企业IT风险管理的实施提出具体建议。
3企业IT风险管理的体系框架
企业IT风险管理框架通过对企业信息安全各个层面实际需求和风险的分析,引入恰当的安全控制措施,并且同信息系统审计相结合,从而保证企业信息资产的安全性、完整性和可用性。企业IT风险管理框架可分为风险治理、风险评估和风险应对三个主要的方面,并通过风险沟通和监控等手段将三方面有效结合。该体系框架遵循PDCA(Plan、Do、Check、Act)的管理模式,能确保企业IT风险管理始终保持在可持续发展的轨道上,并通过阶段性地进行信息系统审计,以发现存在的偏离,及时调整到信息化的最终目标上来。
3.1风险治理
主要内容包括建立基于风险的信息科技决策、定义风险策略、建立风险组织和风险整合等内容。例如宣传IT风险对于决策的价值、将IT风险考虑纳入业务和IT决策、整合IT风险策略和业务风险策略等都属于风险治理的内容。
3.2风险评估
主要内容包括风险识别、风险分析和风险维护等内容。诸多国际标准都提出了信息安全风险评估的标准,如ISO27001(信息安全管理体系规范)、ISO/IECTR13335(信息技术安全管理指南)、NISTSP800-30(信息技术系统风险管理指南)等,可作为企业实施风险评估实践的参考。风险评估包括识别具体的风险管理对象、识别风险、根据模型进行评估、识别现有控制、分析剩余风险等步骤。风险维护就是对企业识别出的风险进行管理,跟踪风险处置情况,更新风险清单,可通过创建和维护风险数据库来实现。风险维护也是风险评估的重要内容,以实现对风险的持续管理和改进。
3.3风险应对
风险应对就是对已识别的风险进行评估后,制定并落实相应的措施和整体策略,使剩余风险处于可控的范围。风险应对措施包括接受风险、转移风险、避免风险和降低风险。风险应对活动包括确定风险处置方案、实施风险处置、响应和处理风险事件等。
3.险监控/沟通
风险监控/沟通是链接企业IT风险管理各要素的关键环节,是企业IT风险管理体系得以运转的重要方面,包括建立和运行风险指标体系、IT风险内部监督体系、风险报告体系以及风险沟通渠道等。风险管理需要从管理层到普通员工的共同参与,这需要将风险直观准确地展现、横向和纵向的沟通、并持续进行监控。
4企业IT风险管理的实施步骤
为了推进企业IT风险管理体系的实施,本文在总结金融企业信息系统安全风险管理的实施过程,得出企业IT风险管理可行的实施步骤,具体包括识别管理对象、风险识别、风险分析评估、风险应对、风险监控/沟通等五大关键步骤。
4.1管理对象识别
明确风险管理对象是企业实施风险管理的首要步骤,本文提出风险地图(RiskMap)的概念,即实现风险评估对象的可视化,明确识别出全部或特定领域的所有管理对象,只有保证企业风险地图的全面性和准确性,才能准确识别并标示出IT风险所在的位置,从而进行有效的管理,一个全面的IT风险管理可从如下三大维度进行风险管理对象的识别:(1)从资产的角度进行识别,即对组成信息系统的系统、设备和数据等信息资产进行全面识别和统计,具体实施细则可参照ISO27001。(2)从管理领域的角度进行识别,如变更管理、事件管理、配置管理等,具体实施细则可参照COBIT。(3)从服务的角度进行识别,具体实施细可参照ISO20000执行。
4.2风险识别
风险识别是通过科学方法了解企业所面临的IT风险,分析风险的来源、性质,并进行风险处置和风险管理。风险识别通常采用以下方法:(1)头脑风暴;(2)德尔菲方法;(3)故障树分析法,又称分解分析法;(4)业务流程分析法;(5)情景分析法;(6)专家预测法,包括个人经验法、专家会议等形式;(7)筛选、监测、诊断法;(8)资产财务状况分析法。其中,德尔菲方法是最常用的IT风险分析方法之一,具体是指采用“背对背”的沟通方式征询专家小组成员的预测意见,经过几轮征询,使专家小组的意见趋于集中,最后做出合理的预测结论,利用德尔菲法进行IT风险分析的具体流程如下。除了按照上述方法识别风险,也可直接从风险来源入手建立企业的IT风险清单,如行业公认的风险清单、监管要求、监管机构风险提示、过往事件、自我或外部风险评估结果、内部审计发现、管理层和内部员工在工作中的认识等。
4.3风险分析评估
IT风险分析评估是根据一定的评估模型,评估企业IT固有风险值、控制风险值,再根据固有风险值和控制风险值计算出剩余风险值。风险分析是IT风险管理中较难实施的一个环节,尤其是评估模型的制定,可以采用较易开展的定性方式,也可采用准确度较高的定量计算,也可以定量和定性综合使用。以下是一种较为通用的风险分析模型和流程,可以对风险进行量化评估,具体流程包括:(1)计算固有风险值。从影响程度和发生可能性两个维度进行评分,可得出固有风险分值。如下是风险评估的量化模型和公式。其中风险评分从影响程度和发生可能性两方面进行计算,并给出影响程度和发生可能性两方面的评估参数示例。(2)计算控制风险值。结合现有控制评估的结果,从设计、执行、补偿性控制三个层面,参照衡量标准,最终确认控制风险分值。(3)计算剩余风险评估。在获得每一个风险的固有风险等级和控制风险等级后,可根据矩阵获得剩余风险等级值。
4.险应对
首选需要确定管理层的风险偏好等级。风险偏好是为了实现目标,企业在承担风险的种类、大小等方面的基本态度。然后根据剩余风险评估结果及风险偏好,依据内外部需求,并结合实际情况,针对剩余风险提供恰当的控制改进建议,以将剩余风险降低到可接受的水平。风险处置措施包括接受风险、转移风险、避免风险和降低风险。在风险处置计划方面,一方面需要体现可操作性,如分为短期(半年),中期(1年),长期(2-3年),同时也需要考虑多个维度,如组织架构、人员、制度流程和技术等。
4.5IT风险监控/沟通
风险指标是有效进行风险监控和沟通的重要手段。指标是一种可量化的、被事先认可的、用来反映组织目标实现程度的重要标识,是绩效管理的有效手段。企业IT风险管理引入指标体系,可以促进整个活动的有效开展。指标的功能主要表现在以下三个方面:(1)在准备阶段,可以清楚的反映目前企业的信息安全现状,并为制定目标提供依据;(2)在实施过程中,阶段性地反映进展情况;(3)便于各层人员把握活动的进展情况:使高层领导清晰地了解关键要素的进展和改进情况;使管理者集中精力于对活动中的重要和关键要素,及时诊断活动中出现的问题并采取措施。在实践中,应针对关键的风险领域,即根据企业及领导层的风险偏好,建立可监控、可量化的IT关键风险指标。IT关键风险指标来源可包括内外部监管机构数据、自动监控平台数据、IT风险检查果、IT风险自报结果等。关键风险指标可分为风险指标(KRI)、控制指标(KCI)。以变更管理的风险管理指标,可设置紧急变更次数、变更失败比例、变更导致的事件数量等,针对每个变更管理风险管理指标,制定出相应的控制指标,如预警阀值和容忍阀值。