在合同法上,广义的风险是指各种非正常的损失,它既包括可归责于合同一方或双方当事人的事由所导致的损失,又包括不可归责于合同双方当事人的事由所导致的损失;狭义的风险仅指因不可归责于合同双方当事人的事由所带来的非正常损失。合同风险中很重要的一项是价格风险。所谓价格风险,是指货物发生损坏或灭失时买方还应支付货款的风险。
1.1根据风险源的不同,企业在合同管理过程中的风险分类
(1)来自企业外部的风险-环境风险。主要表现在企业的经营活动受国家法律环境、政治环境和社会自然环境的影响。
(2)企业内部管理风险-流程风险。流程风险主要包括决策风险、过程风险、技术风险、非技术风险、财务风险等。主要体现在以下几方面:企业在投标、签订合同时,会面临诸如技术风险和财务风险;在合同项目实施的过程中,还会存在诸如资金、生产或服务的质量和进度等技术风险和非技术风险,以及合同一方违约的信用风险。
1.2根据发生频率和损害性的不同,企业在合同管理过程中的风险分类
(1)高频率、高损害风险;(2)高频率、低损害风险;(3)低频率、低损害风险;(4)低频率、高损害风险。
2合同管理中的风险表现形式
环境风险和流程风险在企业实施合同管理的过程中可能会以各种形式表现出来,主要体现为:客户风险、决策风险、过程风险等。企业必须正确认识这些风险,并尽可能避免和降低风险。
(1)客户风险。客户风险是由于客户原因造成的风险,如客户不配合而使合同执行结果潜藏着风险,以及客户不履行支付行为而形成的违约信用风险。
(2)决策风险。在合同项目决策时很容易产生风险,主要表现在产品、技术风险、方案风险和供应商风险。
(3)过程风险。过程风险是指在合同执行过程中发生的风险,主要是有关质量、资金、进度等方面的原因引起的,表现为质量风险、资金风险、进度风险和运输风险。
3防范或规避合同风险的对策
3.1建立健全合同风险管理机制
(4)重视保险工作。为转移企业在经营活动中的风险,应考虑对决策行为、交易活动以及经营资产等方面存在的风险给予保险。对于上市公司来说,由于公司董事及高管对市场的动态以及政策的把握无法保证百分之百的准确,因此存在着决策失误的可能。而一旦发生决策失误,董事责任险将可以有效地补偿股东及股民的损失,同时保护董事的利益。董事责任险有利于增强上市公司抵御风险的能力,也有利于提高公司的公信力。此外,还应考虑货物运输险、财产险、责任险等。
3.2合同风险的处置对策
(1)对损失大、概率大的合同风险,如油田地面建设合同要害部位质量风险,要加大工程监理和验收力度,将风险降低到最小。
(2)对损失小、概率大的风险,如对零星用料的招投标管理,如果不进行招投标,可能损失额不大,但损失的概率很大,可采取年初一次招投标的方法来降低风险量。
(3)对损失大、概率小的风险,如机动车辆可通过投保财产险转移或降低风险,或者在施工合同中将施工者的安全责任在合同条款中明确,将安全责任转移。
随着商业银行信用风险管理在国内商业银行风险管理中重要性的日益显现,国内关于商业银行信用风险管理的文献大量涌现,王春峰等(1998)将判别分析法应用于我国商业银行信用风险评估,通过与Logit方法相比较,研究了判别分析法的有效性。梁琪(2005)结合主成分分析法构造了logistic回归分析模型,发现该方法优于简单的logistic模型。吴世农、卢贤义(2001)利用1998-200年A股市场ST公司数据,比较了多元判别分析、线性概率模型和Logistic模型的预测效果,发现logsitic模型的预测能力最强。此外,还有陈静(1999)、张玲(2000)、梁琪(2003)、柯孔林和薛锋(2004)、李志辉和李萌(2005)等,均从不同侧面使用判别模型或扩展后的判别模型对我国的商业银行信用作了实证分析。马九杰,郭宇辉,朱勇(2004)通过问卷调查方式,利用所得资料采用logit模型对我国县域中小企业贷款违约情况进行实证分析,但是存在样本过小的问题。
本文即是从贷款企业的财务指标入手,通过判别分析和logistic回归分析,构建衡量企业信用状况的模型,并通过实征研究考察模型的适用性。本文的结构安排如下:第二部分样本选取与建模变量筛选;第三部分运用判别分析和logistic回归分析方法进行实证分析;第四部分对实证结果给出进一步的分析;第五部分给出结论并总结全文。
二、样本选取与建模变量筛选
(一)指标的选取
研究选择的财务数据全部来自于贷款企业的财务报表,在参考了已有文献以及考虑到实际数据可得性的基础上,本文选取了21个能够反映企业景气、流动性、盈利性、清偿性、成长性以及其他初始指标,指标名称、财务比率名称以及符号具体见表一。
由于X19股东权益比率,X20负债合计/资本和X13资产负债率存在多重共线性,因此剔除X19,X20,同时由于数据存在较多缺失,剔除X17财务杠杆效应,X18企业留存/总资产,X21流通股股本的市场价值/总负债。因此,模型最初选取了景气指标、流动性指标、盈利性指标、清偿性指标、增长型指标等五大类共计16个指标。
(二)样本的选取
鉴于数据的可得性,本文从我国某城市商业银行信贷信息管理系统中选取2005年在该行有贷款且财务数据较为齐全的186家企业作为研究样本。
我们将186家企业分为诚信企业和违约企业两组,其中诚信企业92家,违约企业94家。剔除资产负债率大于1,速动比率大于流动比率以及具有特殊异常值的企业,剩下总样本122家,诚信企业58家,违约企业64家。如果样本中存在缺失值,则由该样本前三年的平均值替代,若历史数据也缺失,则以所在组企业的平均值替代,最后选择的有效样本数为122家。
三、实证检验
本文将分别使用线性判别模型和logistic模型进行实证分析,采用逐步选择方法选择最优解释变量,以对影响我国城市商业银行信用风险的因素做出判断,同时对两种模型下得到的实证结果作进一步的比较分析,并将结果置于中国银行业改革的背景下做出进一步的揭示。本文将采用逐步选择法,一方面利于节约资源,另一方面易于对结果进行分析。
(一)线性判别模型
考虑到通常各变量在判别式中的判别能力不同,本文选取逐步判别法作为判别分析方法,这一方法的优点是将判别能力较差的变量从判别式剔除,仅保留具有显著性的解释变量。
首先我们将诚信企业定义为1,将违约企业定义为0,运用SPSS13.0进行逐步判别法,经过三步筛选最终得到最具解释力的财务指标:应收帐款周转率(X1)、主营业务利润率(X8)、资产负债率(X13),得到的结果见表二。由表二可知,Wilks'Lambda达到了0.868,Wilks’Lambda对应的Chi-square统计量为16.647,自由度为3,显著性为0.001。显著性
其次,利用已入选的变量建立Fisher线性判别函数。建立的判别函数为:
Y1=-3.576+0.021X1+2.716X8+11.100X13(1)
Y2=-4.815+0.039X1+0.845X8+13.425X13(2)
最后,根据判别函数(1)、(2)得到模型的判别效果如下:
由表三可知,根据普通方法对判别函数的判别效果进行验证,模型的准确率为65.6%,其中对诚信企业的准确率64.1%,对违约企业判别的准确率为67.2%,可见模型对于违约企业判定的准确率要高于诚信企业。使用交叉验证(Crossvaladation)方法对判别模型的判定效果进行检验,模型的准确率略低于普通方法的判别效果,总准确率为64.8%,诚信企业为62.5%,违约企业为67.2%,模型对于违约企业判定的判别率仍然高于诚信企业。
在信用风险识别模型中,存在着两类错误,即:将高风险企业误认为低风险企业与将低风险企业误认为高风险企业。显然,第一类错误会给银行带来更大的风险,后者最多只会降低银行的潜在收益。从逐步回归法得到的判别函数给出的判别效果中可以看出,商业银行对违约企业判定的准确率要大于诚信企业,可见判别分析给出的结果还是比较理想的,这与李志辉(2005)得到的结论相左,后者运用在某银行有贷款的上市公司财务数据进行的判别分析所得到的结果中,第一类错误率要大于第二类错误率。
(二)Logitistic模型
利用线性判别模型计算得到的Z值只是一个抽象的概念,无法从直觉上进行解释,Logistic回归分析解决了这个问题,且其前提假设符合经济现实和金融数据的分布规律,残差项不要求服从正态分布。考虑到一般情况下各个变量的判别能力不同,本文运用向后逐步选择技术筛选变量以提高模型的判别性能,从全变量模型开始,逐步提出对残差平方和贡献最小的变量,直到不需要提出变量,具体的回归结果见表三。根据SPSS计算结果中的参数表,模型logistics模型的判别方程:
由表五可以看出,-2Loglikehood为149.121,此值偏大,说明拟合效果一般.同时Cox&SnellR2为0.140,NagelkerkeR2为0.187,二者都偏小,也说明模型的拟合优度比较低。我们选定0.5作为临界值,根据公式(3),计算上市公司破产概率,如果超过0.5则判定为违约企业,小于0.5则判定为诚信企业,可以得到方程对于估计样本的总分类正确率为65.3%,其中第一类错误为70.3%,第二类错误为59.6%,具体数据见表六,表明使用logistic模型所得到的总分类正确率比使用线性判别模型得到的结果略好,而且在第一类错误与第二类错误的比例上,两个模型所得到的结论是一致的,即模型所选用的三个指标对于违约企业判定的准确率要大于诚信企业,进而可知模型所选取的指标对于商业银行的稳健经营具有正面的意义。
四、进一步分析
由以上数据可知,采用线性判别模型和logistic模型所得到的总样本判别率相近,仅为65%左右,与已有成果相比判别效果较差。而且,logistic模型中主营业务利润率(X8)的系数在5%的水平上并不显著,同时模型中的Cox&SnellR2与NagelkerkeR2较低,说明模型的拟合优度较低,以上实证数据表明模型在城市商业银行信用风险管理方面的应用受到一定的限制。具体原因可以从以下几方面进行解释。
第三,从客观背景上,我国商业银行的经营目标多元化,还未成为真正的商业化运营主体,不良贷款的产生具有内生性(施华强,2004)。2001年-2002年中央银行的抽样调查统计发现,中国历史上不良资产由内部管理原因造成的不良贷款比例仅占全部不良贷款的19.3%,由银行客户、宏观经济体制变化等外部原因所形成的不良贷款占全部贷款的80.7%。后者包括国有企业贷款比例高,发放特定贷款,国企重组,社会信用差等原因。具体到城市商业银行,特别是中西部地区的城市商业银行,大多数是地方政府控制和主导的,其经营行为具有明显的政府干预的痕迹,城市商业银行很大程度上充当了第二财政的职能。尽管从2006年开始城市商业银行已通过股份制改制、引入境外战略投资者、民营资本等措施已经加速重组,此前政府干预城市商业银行的经营决策在很大程度上决定了城市商业银行信用风险度量模型不可能具有很好的判别能力。
以上结论是与以往国内商业银行信用风险研究的结论不同,以往研究所建立的判别模型识别和预测准确率一般都达到80%以上。这是由于以往研究的样本取自上市公司的财务数据,一方面,由于上市公司有信息披露的义务以及较为严格的监管,上市公司的数据全面准确,同时还有流通股股本市值/总负债等能够反映投资者预期的财务指标,且公司治理结构相对比较完善,政府干预较少,因而所用的模型稳定性较好,推广能力较强。然而,上市公司占城市商业银行贷款企业的比例很小,当前我国城市商业银行的主要客户仍然为非上市公司,所以以往研究的结论适用性很低,现实中商业银行信用风险判别模型所选择的最具解释力的指标并非如以往研究所揭示的那样。
五、结论
本文根据2005年某城市商业银行贷款企业的财务数据和履约情况,运用线性判别模型和logistic模型对影响我国城市商业银行信用风险的财务指标进行选择,并通过对模型结果进行分析比较,对模型判别的准确率进行进一步的分析,研究的主要结论如下:
第一,通过运用逐步判别法和向后判别法筛选最具解释力的变量,发现在借款企业的财务指标中,景气指标、盈利性指标和清偿性指标对信用风险影响最大。两种模型所选取的最优财务比率相指标均为应收帐款周转率(X1)、主营业务利润率(X8)、资产负债率(X13),因此上述三个财务比例指标能在很大程度上可以决定贷款企业信用风险的大小,说明判别结果具有一定的可信度。
第二,logsitic模型在估计样本的总分类正确率方面要略优于线性判别模型,而且模型对样本的估计结果中,第一类错误率都是大于第二类错误率,表明模型具有较高的适用性。
一、《内部控制框架》中的风险评估
美国COSO委员会《内部控制框架》所使用的风险评估概念属于广义风险评估,《内部控制框架》将其作为内部控制的关键构成要素。
(一)设定目标
根据《内部控制框架》,风险评估首先要设定目标。设定目标是风险评估的前提条件。风险是与目标伴随的,首先必须有目标,管理层才能对实现目标的风险进行识别。根据《内部控制框架》,目标设定不属于内部控制的构成要素,但它是内部控制的前提条件,为此《内部控制框架》专门对目标设定进行了论述。目标包括企业层面的目标和业务层面的目标。管理层通过目标设定来明确业绩衡量标准,目标具体分为经营目标、财务报告目标和合规目标。经营目标是管理层基于企业所处特定经营环境所设定的业绩衡量标准;财务报告目标在于对外公布的财务报告的可靠性;合规性目标则要求企业的经营活动遵循适用的法律法规。这些目标是相互补充和相互关联的。
(二)风险识别
(三)风险分析,即狭义的风险评估
企业在对企业层面的风险和业务层面的风险识别后,则需要进行风险分析。风险分析的方法多种多样。风险分析的过程通常包括估计风险的严重性、评估风险发生的可能性、评估应采取的措施等三个步骤。应当注意的是,作为内部控制一部分的风险评估,与作为管理过程应对措施而采取的计划、方案及其他措施存在着区别。
(四)建立识别环境变化的机制
二、《企业风险管理框架》中的风险评估
美国COSO委员会2004年的《企业风险管理框架》中将风险管理的要素划分为内部环境、目标设定、事项识别、风险评估、风险应对、信息与沟通和监控等八要素。根据《企业风险管理框架》,风险评估就是要对识别的风险进行分析,以形成确定如何对其进行管理的依据。这实际就是《内部控制框架》中的风险分析,属于狭义上的风险评估概念。《内部控制框架》中的风险评估实际上包括事项识别、风险评估、风险应对三项内容,而目标设定则作为内部控制的前提条件,不属于内部控制要素的范围。
《企业风险管理框架》中的事项识别要求管理当局对源于内部或外部的影响战略实施或目标实现的事故或事件进行识别,对企业目标实现将带来负面影响的确定为风险,并对其进行评估和应对;将存在正面影响的确定为机会,将其反馈到战略或目标的制定过程之中。在对事项进行识别时,必须考虑企业整体范围内可能带来风险和机会的所有内部和外部因素。外部因素需要考虑的通常包括经济因素、自然环境因素、政治因素、社会因素、技术因素等;而内部因素需要考虑的通常包括人员、流程、技术等因素。
《企业风险管理框架》中的风险评估(即风险分析)要求进行风险评估时,既要考虑预期事项也要考虑非预期事项,对可能对企业存在重大影响的非预期的潜在事项和预期事项的风险进行评估;既要考虑固有风险,也要考虑剩余风险。固有风险是指管理当局未采取任何措施的情况下企业所面临的风险;而剩余风险则是在管理当局进行风险应对之后所残余的风险。确定相应的风险应对后,则集中考虑剩余风险的管理。
《企业风险管理框架》中的风险应对要求企业管理当局评估风险的可能性和影响,并在成本效益比较的基础上,选择能够使剩余风险处于期望的风险容限范围之内的应对策略。风险应对策略包括风险回避、风险降低、风险分担和风险承受。管理当局应当在企业范围内识别风险并确定企业总体剩余风险处于企业风险容量之内。
三、我国《企业内部控制基本规范》中的风险评估
(一)控制目标的设定
设定控制目标是进行内部控制,特别是风险评估的前提。企业应当根据自身的实际情况,按照本身的发展规划合理确定战略目标。设定的目标应当尽可能量化,并细化为各业务活动和各职能部门的具体目标。内部控制目标的设定要切实可行,与内部控制发展的不同阶段相适应,设定不同要求的内部控制目标,并随着内部控制的发展,逐步提升内部控制目标。
(三)风险分析
2012年11月29日,财政部以财会〔2012〕21号印发《行政事业单位内部控制规范(试行)》。该《规范》分总则、风险评估和控制方法、单位层面内部控制、业务层面内部控制、评价与监督、附则6章65条,自2014年1月1日起施行。笔者结合自身的工作经验,对行政事业单位内部控制的风险评估进行解析。
一、风险评估的概念
单位应当建立经济活动风险定期评估机制,对经济活动存在的风险进行全面、系统和客观评估。经济活动风险评估至少每年进行一次;外部环境、经济活动或管理要求等发生重大变化的,应及时对经济活动风险进行重估。单位开展经济活动风险评估应当成立风险评估工作小组,单位领导担任组长。经济活动风险评估结果应当形成书面报告并及时提交单位领导班子,作为完善内部控制的依据。
二、风险评估的程序
风险评估由目标设定、风险识别、风险分析和风险应对构成。风险评估是内部控制的重要环节,在单位经营过程中,只有进行科学的风险评估,自觉地将风险控制在可承受范围之内,才能实现单位的可持续发展。所以说单位总是在应对各类风险和挑战的过程中去赢得生存和发展。风险并不可怕,而可怕的是没有风险意识,不知晓风险,不能准确地识别风险,不能采取有效的风险应对策略。如果忽视风险盲目发展,必然导致单位处于不利地位。不做事不发展看似没有风险,然而逆水行舟不进则退,不发展本身也是一种风险。风险评估贯穿于单位经营过程的始终,也贯穿于内部控制的始终。
风险的定量分析,是指运用一些数据分析模型,将有关风险及其影响予以量化,在此基础上判断风险重要性程度的方法,如敏感度分析法和盈亏平衡分析法等。定量分析需要对构成的各个要素和潜在损失程度赋予数据或货币金额,使风险分析的整个过程和结果均被量化。定量分析的方法通常能够提供更高的精确度,往往应用在复杂的经济活动分析中,是对定性分析方法的补充。
(四)风险应对。风险应对是指风险应对政策的选择。单位应当根据风险分析的结果,结合风险承受度,确定风险应对策略。
单位应当综合运用这些风险应对策略,实现对风险的有效控制。
近年来,由于道路交通网建设需要,高速铁路隧道的挖掘长度及开挖断面越来越大,断面形状日益多样化,加大了开发难度,施工风险随之俱增。面对施工过程中风险要素和不确定性,应构建动态的、全过程的风险管理技术体系,最大程度的消除施工风险,避免安全质量故障的发生。风险管理技术体系的构建要建立在高速铁路隧道施工中的风险要素分析,及风险管理目标确定基础上,因为这些为其提供了科学合理的依据,这样才能保证施工风险得到有效控制。
1高速铁路隧道施工中存在的主要风险要素和风险管理目标
高速铁路隧道工程项目周期长、工程量大、施工难度高,过程存在不确定性,反映到具体的施工作业中后为两种表现。一是,施工技能风险要素。采用新技术,技术落后,应用过程中的操作失误,施工工序实施不当,爆破操作不当,隧道围岩变形过大及勘察不仔细等都会形成一定施工技术风险。二是,施工现场风险要素。高速铁路隧道是修建在地下或山体中的,开挖过程中很可能出现塌方、瓦斯爆炸、释放有毒气体、洞口滑坡等,加之地质的不确定性,安全措施不到位,随时可能引发施工安全故障。
施工风险是关系到工程质量、工期进度及生产安全的重要因素,必须做好施工风险管理工作。施工风险管理目标:科学评估施工中可能存在的风险,确定重大危险源,然后制定风险管理方案和办法,以规避风险。
2高速铁路隧道施工风险管理技术体系
2.1风险分析
隧道施工中有着诸多风险要素,而且多是隐蔽的,需要采取有效的识别方法识别出风险源。所以,对施工风险进行充分的分析与论证,从系统角度看高速铁路隧道施工风险,精确估计施工风险要素,进而制定相应的风险规避措施,做到对施工风险的规避。风险识别和风险评估是风险分析的主要手段。风险识别是发现风险源的一个过程,在这过程中要对风险要素发生的条件、位危害等进行科学分析。成功识别出风险源后,要将其一一罗列出来,建立风险指标体系,用以评估重大危险源。
风险识别方法是多种多样的,目前有专家调查法、经验判断法、系统分析法、情景分析法等。无论采用哪一种方法,都要遵循预测性、全面性、科学性和系统性原则进行风险识别工作,从工程实际出发,选择与施工技术标准相符合的风险识别方法。实际工作中,施工单位要根据施工组织方案、技术指标交底文件、地质勘查报告等资料,结合以往经验,利用适合方法对施工风险要素进行分析,得到各风险比重,同时对其可能造成的严重后果进行全面分析,为风险管理提供依据。
2.2风险评估
风险评估建立在风险分析基础上,是一种对风险源可能造成的影响和损失的可能性进行量化评估工作。为做到真正量化评估,要建立相应的数学模型。由于模型构建较为专业,这里根据风险评估过程提出了一种操作方便便捷、数据明了、不繁琐的风险评估程序。具体是:第一步,先整体评估工程项目的施工风险,对识别出来的风险要素进行风险分析,预见每个风险源要素可能为施工带来的影响和损失;第二步,预见风险要素对整个工程项目可能造成的影响程度,从成本、工期、质量、安全角度入手;第三步,对以上两个环节得出的信息进行整合,按一定比重将所有风险要素及其影响程度做先后排序处理;第四步,从现有的风险评估模型中选择一个适合工程项目施工要求的,将重大风险源填入其中,按一定计算方式计算得出评估结果,最终确定风险要素对工程施工产生的影响。
除进行量化的风险评估之外,也可以根据实际工作经验进行风险评估,但是这种评估方法对人员专业知识和经验有着严格要求,得出的评估结果缺乏科学性,没有先进技术作为支撑。
2.3风险监控
结合高速铁路施工经验,此类工程项目的施工风险监控措施有:第一,建立风险监控台账,清楚登记风险源产生条件、位置、危害程度、预控措施及负责人等信息,并公示给全员,尤其技术人员。既用于防控风险,也用于安全故障发生后的处理,便于提高反应速度和故障处理效率。第二,根据风险评估结果制定安全作业技术方案,选择符合标准的施工技术。第三,严格地质勘查工作,全面而客观的分析隧道项目施工现场的地质条件,整理成文件后纳入风险监控体系之中。
2.4风险控制
风险控制是隧道施工风险管理中的重要内容,是保证施工安全的有效手段,应制定动态的风险控制计划。以隧道工程实际为出发点,以风险分析、风险评估和风险监控为依据,以有效防控施工风险为目的,制定风险控制计划。计划内容要符合这些要求:制定明确的风险管理目标和防控策略;提供完整的风险分析、评估与检测报告信息;确定各个施工阶段的技术与质量标准;建立严格的岗位职务分工和责任分工制度,让每位施工参与者清楚自己的工作范围、职责和权限;要求工程监理严格执法,严格检查隐蔽工程的施工情况,规范各项施工工艺。其中,风险防控措施的制定是重中之重,要坚持以“预防为主”,“及时有效处理”等原则,将风险防控和风险处理有机结合起来,力争确保风险防控措施的完善性、有效性,全面保证工程施工安全。
3结语
目前,我国高速铁路隧道施工技术和安全管理有了长足发展,施工风险管理技术仍然存在很大的发展空间。我们要做的是,根据具体施工过程中不断暴露出来的风险要素不断提高风险识别与评估水平,为制定行之有效的风险管理办法提供科学决策依据。同时,也要不断探索风险管理的新途径、新方法,促进风险管理技术发展,以满足施工安全管理工作的需要,有效规避施工风险。
参考文献:
二、风险管理与内部控制的关系
风险管理与内部控制作为企业管理的两大工具,各自经历了理论体系的创新和实务操作的发展。内部控制由传统的内部牵制制度逐步发展为以风险为导向的内部控制整合框架,风险管理也由分散的财务、经营和战略风险管理逐步发展为整合风险管理。实践证明,内部控制的有效实施有赖于风险管理的技术方法,而风险管理离开了内部控制作为手段支撑也将流于形式。我国的企业内部控制规范体系将内部控制与风险管理融为一体。
三、企业风险管理要结合内部控制的内部环境、风险评估、控制活动、信息与沟通和内部监督等要素进行管理
1.目标设定
2.风险识别
在明确企业发展战略和内部控制目标的前提下,识别企业各类潜在的风险是履行具体控制程序的基础和起点。常用的风险识别技术和方法有行业风险组合清单、职能部门风险汇总、头脑风暴、SWOT分析、调查问卷、价值链分析、流程分析、情景分析等。企业可以根据实际情况选用其中一种或多种方法识别风险。此外,企业还可以利用外部专业咨询机构的力量提高风险识别的效率和效果。
3.风险分析
风险分析是在风险识别的基础上对风险发生的可能性和影响程度进行描述、分析、判断,并确定风险重要性水平的过程。它是风险应对的直接依据。
风险分析的程序:(1)分析风险可能性。(2)分析风险影响程度。(3)确定风险的重要性水平。
风险分析的方法包括定性方法、定量方法以及定性与定量相结合的方法。
定性分析法,比较常用的定性分析方法主要有:L谈、集体讨论、专家咨询、问卷调查以及标杆分析等。定性分析的质量主要取决于管理层的风险意识、判断能力和对潜在事项的了解。
不论是定性方法还是定量方法都有其适用范围,企业通常采用定性与定量相结合的方法对风险进行分析,确定各类风险的重要性水平。具体的分析方法有敏感性分析、行业标杆比较法、风险价值、情景分析、压力测试、风险矩阵等。
4.风险应对
常用的风险应对策略有风险规避、风险降低、风险分担和风险承受。
(1)风险规避是控制风险的一种最彻底的措施,是在风险事故发生之前将所有风险因素完全消除,从而彻底排除某一特定风险发生的可能性。风险规避策略是相对消极的风险应对策略,选择这一策略意味着放弃可能从风险中获得的收益,同时企业在该业务或事项上的前期投入也将成为沉没成本。因此,企业应当谨慎选择风险规避的策略。企业在选择风险规避策略时必须考虑以下因素:①风险规避是否影响企业的经营绩效;②风险规避的成本效益;③风险规避是否导致产生新的风险。
(2)风险降低策略是风险应对策略中最为积极和常见的方法,包括风险预防和风险抑制。
风险预防是指在风险事故发生之前,采取消除风险因素的措施,达到降低风险发生的概率、减轻潜在损失的目的。
风险抑制是指企业针对不愿完全规避又无法顺利转移的风险,采取各种控制技术和方法来减少风险事故发生之后的不利影响和损失。风险抑制策略主要有风险分散和风险复制两种方法。
风险分散是指通过增加风险单元的数目,将特定风险在较大范围内进行分散,以此减少单个风险单元的损失。风险分散是金融证券投资领域常用的风险应对策略。例如,投资者在证券市场上选择不同类型的证券,通过证券组合来分散证券投资的风险,某一只或某几只股票出现的损失可以通过其他股票的收益来弥补。对于企业而言,也可以选择不同的投资项目来分散企业总体的投资风险。
风险抑制是指企业对某些资产或设备进行备份,在原有资产或设备不能正常使用的情况下,动用这些复制品。例如,企业储备一定数量的零部件以备设备出现故障时及时更换,从而不影响企业正常的生产活动。
(3)风险分担是指企业为避免承担风险损失,有意识地将可能产生损失的活动或与损失有关的财务后果转移给其他方的一种风险应对策略。常见的方法有业务分包、购买保险、出售、开脱责任合同、转移责任条款等。
(4)风险承受是指企业不采取任何措施干预风险发生的可能性和影响。企业对风险承受度之内的风险,在权衡成本效益之后无意采取进一步控制措施的,可以采取风险承受策略。
四、风险应对策略的选择和调整
一、全面风险管理的概念
全面风险管理是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。它强调风险管理是一个系统过程,从企业战略制定一直贯穿到企业的各项活动中,是一个由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险,为企业目标的实现提供合理保证的过程。
风险按性质可以分为纯粹风险和投机风险两类。纯粹风险,是指有可能带来损失的风险,如各种形式的天灾人祸。投机风险,是指既有可能带来损失,又有可能带来机会的风险。如股票投资,既可以为投资者带来丰厚的利润,也可能使投资者遭受重大的损失。对于经营管理者(风险承担者)来说,纯粹风险和投机风险往往同时存在。
二、企业风险分析
风险分析是利用分析工具对风险产生的可能性、概率和可能的结果进行量化后进行的分析,包括风险识别、风险测算、风险评估及风险决策等。
(一)风险识别
(二)风险测算
风险测算是在风险识别的基础上,通过对所收集的各种信息进行分析,运用科学的统计和分析方法,估计和预算风险发生的概率和损失程度。风险测算不仅使风险管理建立在科学的基础上,还能为风险管理者进行风险决策、选择最佳防范措施提供可靠的科学依据。风险测算常用的方法有重现期方法、直接积分法、蒙特卡罗方法等。
(三)风险评估
(四)风险决策
三、企业风险管控措施
(一)建立严格规范的企业内控制度,从制度上防范风险。企业应当结合风险评估结果,通过手工控制与自动控制、预防性控制与发现性控制相结合的方法,综合运用控制措施,对各种业务和事项实施有效控制。
实务中常常以报表为基础,利用杜邦财务分析体系展开对企业盈利能力、流动性、资产管理及成长性分析。
(三)建立风险和控制自我评价制度。风险和控制自我评价是对风险管理和控制系统的评价,既可以对整个系统进行评价,也可以对某些具体的项目、机构或事件的控制过程进行评价。企业可定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告。
风险和控制自我评价方法一般有三种:促进小组研讨班法、调查法、管理部门分析法。
(四)建立重大风险预警机制和突发事件应急处理机制,明确风险预警标准,对可能发生的重大风险或突发事件,制定应急预案、明确责任人员、规范处置程序,确保突发事件得到及时妥善处理。
企业应根据内外部经济环境的变化及企业发展战略,制定科学的风险管理策略和风险解决的内控方案,实施有效的风险管理措施,特别是要充分发挥企业财务战略的统领作用,科学安排企业年度筹资、投资、经营、收益分配等现金流计划,提升企业的战略决策能力,全面提高企业的抗风险能力,从而保持企业平稳健康发展。
1软件需求风险的含义及其成因
1.1软件需求和软件需求风险
1.2软件需求风险的原因分析
2软件系统需求风险评估模型的设计过程
2.1风险识别模块
2.1.1风险识别模块需要实现的功能
2.1.2风险识别模块的输入源的需求
(3)风险评估模块。风险评估模型的模块是核心模块,是基于参数以及建立贝叶斯网络结构,计算每个节点对应的需求风险概率,并结合当前项目的特点,对各种风险的需求,量化的影响,结合需求风险的影响,以及产品的需求风险概率,将总体风险量化值。使用推理算法(使用贝叶斯定理的条件概率表及其网络结构计算方法)实现发生概率风险评估的需求。
二、保险风险及标准化的概念特征
(一)保险风险的特征
保险是分散风险、消化损失的一种经济补偿制度。从风险管理的角度看,保险是风险管理的一种方法,或风险转移的一种机制。通过保险,将众多的单位和个人结合起来,变个体对付风险为大家共同对付风险,从而提高风险损失的承受能力。保险的经济补偿制度,既是风险的集合过程,又是风险的分散过程。保险公司通过保险将众多投保人所面临的分散性风险集合起来,当发生保险责任范围内的损失时,又将少数人遭受的风险损失分摊给全体投保人,通过保险的补偿或给付行为分摊损失或保证经营稳定。保险风险的集合和分散应具备两个前提条件:一是大量风险的集合体。保险在于集合多数人的保费,补偿少数人的损失。大量风险的集合,是基于风险分散的技术要求,也是概率论和大数法则原则在保险经营中得以运用的前提。二是同质风险的集合体。所谓同质风险,指风险单位在种类、品质、性能和价值等方面大体相近,如果风险不同质,那么风险损失发生的概率就不相同,风险也就无法进行统一集合与分散。此外,不同质风险损失发生的频度、幅度也不同,若对不同质的风险进行集合与分散,极容易导致保险公司财务的不稳定。
(二)标准化的基本概念
三、保险风险评估标准化的必要性
四、风险评估过程的标准化分析
(一)风险识别标准化
风险识别是发现、列举和描述风险要素的过程,也是风险评估过程中的基础环节。风险识别的目的是确定可能影响保险事故发生的事件或情况,一旦风险得以识别,保险公司应立即对现有的控制措施进行识别。风险识别的范围包括对风险源、风险事件及其原因和潜在后果的识别,识别的方法包括:1)基于证据的方法,例如检查表法以及对历史数据的评审;2)系统性的团队方法,例如专家团队遵循系统化的过程,通过一套结构化的提示或问题来识别风险;3)归纳推理技术,例如危险与可操作性分析方法等。此外,也可利用各种支持性技术来提高风险识别的准确性和完整性,例如头脑风暴法和德尔菲法等,但无论采用哪种技术,其关键是在整个风险识别的过程中要认识到人的不安全行为、物的不安全状态以及组织管理制度的有效性。
(二)风险分析标准化
(三)风险评价标准化
引言
风险管理(RiskManagement),这一名词最早出现在1930年美国管理协会发起的一个保险问题会议上,是由美国宾夕法尼亚大学的所罗门·许布纳博士提出的。随着经济社会的发展及全球化的蔓延,风险管理逐渐发展为一门理论,并应用于金融、财务、股市、施工项目管理等各种行业。本文广东省丰顺县梅丰水电站为例,运用风险管理理论对水电站运行管理过程中的风险因子进行识别、评估、分析,业主可以根据评估结果采取有效控制措施,减少风险损失。
1风险评估理论
本文将风险管理的方法和步骤分为四步:风险识别、风险分析、风险评估和风险对策,将风险管理理论应用与梅丰水电站的运行管理中。
1.1风险识别
风险识别是风险管理的第一步,并且是重要的一步,风险因子识别的正确与否直接影响着风险评估、分析的结果,进一步影响着规避风险的控制措施。如果所识别的风险因子能够真实反映项目的潜在风险,则通过风险管理评估、分析后,可以采取有效措施,大大减少风险;相反,若错将不会构成风险的因子作为风险因子,不但不能降低风险,甚至造成更大损失。
1.2风险分析
风险因子识别出来之后,就要对其进行风险分析,以便确定风险发生的可能性大小和所造成的影响程度,进而确定关键风险[[[]孙祖斌、秦士美.项目风险管理探讨[J].煤矿现代化,2009.01:96-97.]],为确定风险评估指标体系提供依据。
根据风险破坏的性质可以将风险分析分为定性分析和定量分析,定性风险分析主要是确定风险发生的可能性和其后果的严重性;定量风险分析则是对每一风险的概率及其所造成的后果进行量化[4]。
1.3风险评估
风险评估则是在风险分析的基础上,对关键风险发生的可能性及其所造成的后果进行预测,从而确定风险的级别,为制定风险对策提供依据。风险评估的方法有多种,如层次分析法(AHP)、专家评估法、主成分分析法、敏感性分析法等。
风险评估的结果将直接影响到风险对策,能够反映真实情况的结果能够有效的规避或减少风险损失。因此,在条件允许的情况下,应采取多种方法对风险进行评估,多种方法形成对比,有利于深刻认识潜在风险因子及其所造成的损失。
1.险对策
风险管理理论的最后一步为风险对策,即根据风险评估的结果,为消除或减少风险造成的不良后果而制定的风险应对措施[[[]杨明.浅议项目风险管理的应对措施[J].现代经济信息,2010.04:46.]]。主要有以下几种[4][5]:
(2)风险控制。风险控制主要是针对一些可控性的风险因子,在风险发生前采取可行措施防止风险发生,或在发生过程中及时采取有效措施,以便减少风险所造成的损失。
(3)风险转移。风险转移是一种通过试图将自己可能面临的风险转移给他人承担来避免风险损失的方法。这种方法多应用于私营企业或个体经营者。对于水电站运行管理,很多是国有企业或事业单位,风险转移的策略一般很少使用,但有时管理单位负责人为了减少自己的责任,也通过投保措施将风险转移给保险公司。
(4)风险自担。顾名思义,风险自担意味着自己全部承受风险所带来的损失。当风险发生的概率较低,或者所造成的后果较低时,通常所有这种措施。当规避风险的费用大于风险自担的损失时,通常也主动接受风险。
2实例
2.1梅丰水电站工程概况
梅丰水电站位于八乡河上,是八乡河水利水电梯级开发项目。八乡河位于广东省丰顺县境内,发源于丰顺县的楼子嶂,是榕江南河支流五经富河的上游河段,自西向东流经上、下八乡、五经富等地。沿河先后有荷岭水、打银河水、大竹水、小溪水和青潭水等支流注入。五经富水流域面积719km2,河长76km,平均比降5.46%,在丰顺县境内面积为293km2,地理位置为东经115°50′~116°05′,北纬23°37′~23°49′之间[[[]广东省水利水电科学研究院.广东省丰顺县梅丰水电站A厂工程设计复核和安全鉴定报告[R].广州:广东省水利水电科学研究院,2006.]][[[]广东省水利水电科学研究院.广东省丰顺县梅丰水电站B厂工程设计复核和安全鉴定报告[R].广州:广东省水利水电科学研究院,2006.
第一作者简介:梁志山(1972—),男,广东梅县人,水工工程师,总经理,主要从事电站建设与管理工作。]]。
2.2梅丰水电站风险管理分析
本文以专家调查法为例,运行风险管理理论对梅丰水电站运行管理过程中的风险因子进行评估。
(1)风险评估指标。梅丰水电站的主要功能有防洪、发电,因此在风险评估的指标应围绕防洪、发电进行识别。本次风险管理分析以大坝自身安全为目标,对有关主要影响因子作为风险评估指标,如表2-1所示。
(2)风险因子概率p。风险因子概率是指每个风险因子出现的程度,受风险因子及其外界环境的影响,一般需要咨询工程经验丰富的专家。为了说明风险管理分析这一方法,本实例采用假定的专家调查值,如表2-1所示。
(3)风险因子影响程度l。不同的风险因子对风险损失的影响程度是不同,影响程度大的因子一旦出现将会造成巨大损失。
(4)风险值R。风险值为风险因子概率与风险因子影响程度两者综合作用的结果,为了计算简单,本例直接取两者的成绩,即风险值。
表2-1梅丰水电站风险管理分析
(注:本表中的数据并未实际调查,而是采用的假定值。每一宗水电站都有其自身特点,在实际操作过程中,应组织有经验的一批专家赴现场调研,根据他们的调查值综合确定风险因子的出现概率和影响程度。)
由表2-1可知,启闭机失灵对大坝自身安全的风险值最大,白蚁灾害次之,地震灾害的风险值最小。因此,在水电站的日常运行管理过程中,应针对风险值的风险因子采取风险对策,以减少风险损失。
水电站运行管理是一个系统工程,影响水电站综合效益的因素很多,既有无法抗拒的客观因素(地震、特大洪水等),也有人为的主观因素,如何对这些风险因子进行分析、评估,并提出相应的减少损失的措施,是水电站风险管理的关键。本文以广东省梅丰水电站运行管理过程中的影响大坝自身安全的风险因子为例,对其进行分析、评估。
(1)本文将风险管理理念运用到梅丰水电站的运行管理中,在假定情形下,对其进行风险评估,得出评估结论。
(2)限于实验条件,在评估过程中,没有严格按照评估程序,组织有关专家去现场调研,本文仅说明风险评估理论的步骤及程序,其结果不具有权威性。
(3)本文将风险管理理念运用到水电站的运行管理中,为其他水电站的运行管理提供借鉴。
(4)由于风险因子概率与风险因子程度直接影响到风险值,因此,如何根据风险因子概率和风险因子程度综合确定风险值,是今后研究的重点。
参考文献
[2]赵树,王玉.项目的风险识别和防范[J].上海管理科学,2002.(5).
[3]戴哲.项目的风险管理[J].企业管理,2002.(2).
[4]孙祖斌、秦士美.项目风险管理探讨[J].煤矿现代化,2009.01:96-97.
[5]杨明.浅议项目风险管理的应对措施[J].现代经济信息,2010.04:46.
1风险管理概念解析
风险管理是组织管理活动的一部分,其管理的主要对象就是风险。在GB/T23694—2013/ISOGuide73:2009《风险管理术语》中曾经指出,风险管理由一系列的活动组成,这些活动包括了标识、评价、处理和可能影响组织正常运行事件的整个过程,其准确的定义为:风险管理(riskmanagement)是指在风险方面,指导和控制组织的协调活动。
风险管理框架(riskmanagementframework)是指为设计、执行、监督、评审和持续改进整个组织的风险管理提供基础和组织安排的要素集合。在GB/T23694—2013/ISOGuide73:2009原文中给了三个有用的注解,分别为:风险管理框架是要素集合,这个框架并不是单独存在的,这就体现了风险的特点之一,就是一系列的“点”,这些点是要被嵌入(beembedded)。特别值得指出的是,校准(align))、整合(integrate)和嵌入(embed)是信息管理安全领域,也是整个管理学领域的常见词汇。其中,在战略层面一般强调校准,即无论是信息安全的战略还是信息系统的战略,都应该与组织的整体战略保持一致。在更细的策略或流程层次,则强调整合或嵌入。例如,已经有人力资源的管理规程,需要嵌入安全管理的部分,或者已经有事件管理规程,将其与信息安全事件管理进行整合。总之,校准、整合和嵌入是值得深入研究的三种方法。
风险管理过程强调的是系统化的策略、程序和方法。这三者关系如图1所示。
风险管理过程才体现了信息安全应该如何做(how)的问题。
严格讲,风险管理不仅仅是过程,是一系列的活动。因此,在下文的图3中,我们特别指出:风险管理的阶段划分仅作示意。
2风险评估及其过程
在GB/T23694—2013/ISOGuide73:2009中,风险评估并不是作为一个单独的过程定义的。其中定义为:风险评估(riskassessment)包括风险识别、风险分析和风险评价的全过程。
风险评估的过程在GB/T23694—2009/ISO/IECGuide73:2002中虽然也是类似的定义,但是当时并没有单独把“风险识别”作为一个单独的阶段。或者说,在当时的定义中,“风险识别”是作为“风险分析”的一个阶段而出现的,详细定义为:风险评估包括风险分析和风险评价在内的全过程。
为了更好地理解其中的变化,我们在表1中给出了风险评估包括的阶段的术语定义。
无论如何划分,风险评估都要完成下面这些活动:
在上述三个步骤中,步骤一与步骤二较为通用,或者说,截至到风险分析阶段,我们需要确定风险的等级,这都可以按照通用的标准或方法提前定义好。步骤三则不同,这个步骤需要结合组织自己定义的风险准则。
3区分风险评估与风险管理
我们可以简单地认为,风险评估是风险管理的一个阶段,只是在更大的风险管理流程中的一个评估风险的阶段。如果把风险管理理解成一个“对症下药”的过程,那么风险评估就是其中的“对症”过程,只是找到问题所在,并没有义务解决。而风险管理是在整个组织内把风险降低到可接受水平的整个过程。主要阶段包括风险评估和风险应对(risktreatment))。
风险管理的循环过程不是在原地踏步的,它的每一次新循环都应该上一个新的台阶,呈螺旋上升的形状。如图3所示。
4风险应对概念解析
无论风险评估步骤进行得多么完美,都只是找到了问题,而解决问题应该是组织的最终目的。风险应对的步骤就是评估、选择并且执行这些改进措施的过程。
风险应对(risktreatment)是指处理8)风险的过程。在GB/T23694—2013/ISOGuide73:2009中,对这个定义也有详细的注解,包括:
(2)遵从性风险。指企业内部IT策略与外部法律法规的遵从(Compliance)所导致的风险。伴随信息技术的发展,国内外出台大量法律法规加强了对信息系统的监管。例如,2002年美国国会的《萨班斯—奥克斯利法案》虽然没有直接明确对信息系统的要求,但据统计,企业在实施符合法案要求的工作中,信息系统方面的工作量占比超过40%;2006年中国银监会《电子银行业务管理办法》和《电子银行安全评估指引》,也直接对技术风险较大的电子银行提出了进行独立的或相对独立的信息系统审计的要求。
(3)信息安全风险。企业信息系统不断开放和复杂,使得信息安全面临来自内外部的严峻挑战。针对企业信息系统的攻击方式简单易学、攻击对象身份隐匿,造成企业信息安全风险极易转化为现实的业务威胁,如支持员工移动办公给企业资产安全性和可用性带来的压力倍增,许多敏感机密信息被轻易泄露。
(4)可用性风险。可用性风险主要来自三个方面,一是IT平台系统自身漏洞导致的系统停机事件越发难以掌控;二是由于事件管理、变更管理、配置管理、连续性计划等IT服务管理流程缺失或不到位,导致IT系统不可用;三是来自自然的灾害威胁着IT系统的可用性。
(5)绩效风险。若IT投资行为不能带来合理的回报,如规划不当、控制不严等,将使组织面临巨大财务风险。同时,如果对IT的投资绩效和运行绩效不能进行有效测量,就不能有效地发现存在的问题,并采取针对性的改进措施。随着信息系统日益成为企业经营成功的核心,且贯穿在完整的流程过程中,企业业务和支撑业务的信息系统愈加无法分割,形成有机的整体。因此,IT风险带来的挑战不仅影响到信息系统本身,也同时会影响到业务的稳定运行及发展,更有可能影响到外部的业务客户。在应对这些IT风险时,传统的方式大多是采用事后反应式的控制措施,使得技术人员疲于应付各种层出不穷的风险,且在面对制度、流程、人员行为等方面带来的风险时,传统的控制方法存在明显不足,而降低企业IT风险的关键是需要有一个主动、科学的风险管理体系。
2企业IT风险管理及其标准指南
企业IT风险管理是围绕企业信息化战略目标,通过在信息系统的规划、开发、运行、维护、监控与评价的各个阶段中降低企业风险的科学化管理流程,包括风险管理的策略制定、风险的识别、风险的评估、风险的处置等环节,以达到企业信息化可持续发展的目标。一个科学的IT风险管理体系是一个具有前瞻性、全局性的控制机制,能综合防范和应对IT治理、法规遵从、系统可用、信息安全、IT外包、业务连续性、IT绩效等诸多方面的企业风险,并能使企业IT战略与企业综合战略相融合,以实现有效益、可持续的信息化发展。信息社会环境下,无论何种规模、什么类型的企业,都需要面临围绕信息系统制定一套管理体系和控制指南,有效地管理企业面临的各种各样的风险,并随着业务环境的变化和新技术的发展及时更新。
在此方面,国内外已经有一些较为成熟的企业IT风险管理的标准或指南。例如美国反虚假财务报告委员会(COSO)于2004年颁布的《COSO企业风险管理框架》,此框架要求企业管理者以风险组合的观点看待企业风险,对包括IT风险在内的所有风险进行识别,并采取措施使企业所承担的风险在风险容纳量(RiskAppetite)的范围内。而美国信息系统审计与控制协会的COBIT标准自1996年诞生以来已经更新到了第四版,已成为全球通用的信息系统审计标准,该标准每一次更新都在不断强化IT风险控制的目标内容,为企业信息系统安全审计提出了具体指导。此外,国际知名的信息安全标准也都提出了各自的IT风险管理控制框架,包括ITIL(Infor-mationTechnologyInfrastructureLibrary,信息技术基础架构库)、ISO27001(信息安全管理使用规则)、CMMI(CapabilityMaturityModelIntegration,能力成熟度模型集成)、Prince2(ProjectsINControlledEn-vironments,受控环境下的项目)等。
近年来,我国的信息化主管部门以及各行业也积极加强了企业风险管理。以金融业为例,2004年9月银监会了《商业银行内部控制评价试行办法》,其中包括了对银行计算机系统的IT风险控制要求;2009年银监会出台了《商业银行信息科技风险管理指引》,2011年银监会了《商业银行业务连续性监管指引》。与此同时,其他行业监管部门也已经或计划出台类似的风险管理措施。上述标准或指南为企业IT风险管理提供了原则指导和对策框架,如何将这些原则性建议与企业自身的工作实际相结合,如何将IT风险管理融入常态化的企业管理机制,仍然是企业管理实践中的难点。因此,本文以我国企业IT风险管理的先行行业———金融业的管理实践为例,详细探讨企业IT风险管理的体系结构及其关系,并就企业IT风险管理的实施提出具体建议。
3企业IT风险管理的体系框架
企业IT风险管理框架通过对企业信息安全各个层面实际需求和风险的分析,引入恰当的安全控制措施,并且同信息系统审计相结合,从而保证企业信息资产的安全性、完整性和可用性。企业IT风险管理框架可分为风险治理、风险评估和风险应对三个主要的方面,并通过风险沟通和监控等手段将三方面有效结合。该体系框架遵循PDCA(Plan、Do、Check、Act)的管理模式,能确保企业IT风险管理始终保持在可持续发展的轨道上,并通过阶段性地进行信息系统审计,以发现存在的偏离,及时调整到信息化的最终目标上来。
3.1风险治理
主要内容包括建立基于风险的信息科技决策、定义风险策略、建立风险组织和风险整合等内容。例如宣传IT风险对于决策的价值、将IT风险考虑纳入业务和IT决策、整合IT风险策略和业务风险策略等都属于风险治理的内容。
3.2风险评估
主要内容包括风险识别、风险分析和风险维护等内容。诸多国际标准都提出了信息安全风险评估的标准,如ISO27001(信息安全管理体系规范)、ISO/IECTR13335(信息技术安全管理指南)、NISTSP800-30(信息技术系统风险管理指南)等,可作为企业实施风险评估实践的参考。风险评估包括识别具体的风险管理对象、识别风险、根据模型进行评估、识别现有控制、分析剩余风险等步骤。风险维护就是对企业识别出的风险进行管理,跟踪风险处置情况,更新风险清单,可通过创建和维护风险数据库来实现。风险维护也是风险评估的重要内容,以实现对风险的持续管理和改进。
3.3风险应对
风险应对就是对已识别的风险进行评估后,制定并落实相应的措施和整体策略,使剩余风险处于可控的范围。风险应对措施包括接受风险、转移风险、避免风险和降低风险。风险应对活动包括确定风险处置方案、实施风险处置、响应和处理风险事件等。
3.险监控/沟通
风险监控/沟通是链接企业IT风险管理各要素的关键环节,是企业IT风险管理体系得以运转的重要方面,包括建立和运行风险指标体系、IT风险内部监督体系、风险报告体系以及风险沟通渠道等。风险管理需要从管理层到普通员工的共同参与,这需要将风险直观准确地展现、横向和纵向的沟通、并持续进行监控。
4企业IT风险管理的实施步骤
为了推进企业IT风险管理体系的实施,本文在总结金融企业信息系统安全风险管理的实施过程,得出企业IT风险管理可行的实施步骤,具体包括识别管理对象、风险识别、风险分析评估、风险应对、风险监控/沟通等五大关键步骤。
4.1管理对象识别
明确风险管理对象是企业实施风险管理的首要步骤,本文提出风险地图(RiskMap)的概念,即实现风险评估对象的可视化,明确识别出全部或特定领域的所有管理对象,只有保证企业风险地图的全面性和准确性,才能准确识别并标示出IT风险所在的位置,从而进行有效的管理,一个全面的IT风险管理可从如下三大维度进行风险管理对象的识别:(1)从资产的角度进行识别,即对组成信息系统的系统、设备和数据等信息资产进行全面识别和统计,具体实施细则可参照ISO27001。(2)从管理领域的角度进行识别,如变更管理、事件管理、配置管理等,具体实施细则可参照COBIT。(3)从服务的角度进行识别,具体实施细可参照ISO20000执行。
4.2风险识别
4.3风险分析评估
IT风险分析评估是根据一定的评估模型,评估企业IT固有风险值、控制风险值,再根据固有风险值和控制风险值计算出剩余风险值。风险分析是IT风险管理中较难实施的一个环节,尤其是评估模型的制定,可以采用较易开展的定性方式,也可采用准确度较高的定量计算,也可以定量和定性综合使用。以下是一种较为通用的风险分析模型和流程,可以对风险进行量化评估,具体流程包括:(1)计算固有风险值。从影响程度和发生可能性两个维度进行评分,可得出固有风险分值。如下是风险评估的量化模型和公式。其中风险评分从影响程度和发生可能性两方面进行计算,并给出影响程度和发生可能性两方面的评估参数示例。(2)计算控制风险值。结合现有控制评估的结果,从设计、执行、补偿性控制三个层面,参照衡量标准,最终确认控制风险分值。(3)计算剩余风险评估。在获得每一个风险的固有风险等级和控制风险等级后,可根据矩阵获得剩余风险等级值。
4.险应对
首选需要确定管理层的风险偏好等级。风险偏好是为了实现目标,企业在承担风险的种类、大小等方面的基本态度。然后根据剩余风险评估结果及风险偏好,依据内外部需求,并结合实际情况,针对剩余风险提供恰当的控制改进建议,以将剩余风险降低到可接受的水平。风险处置措施包括接受风险、转移风险、避免风险和降低风险。在风险处置计划方面,一方面需要体现可操作性,如分为短期(半年),中期(1年),长期(2-3年),同时也需要考虑多个维度,如组织架构、人员、制度流程和技术等。