随着计算机信息系统在各军工企业的科研、生产和管理的过程中发挥巨大作用,部分单位提出了军工数字化设计、数字化制造、异地协同设计与制造等概念,并开展了ERP、MES2~PDM等系统的应用与研究。这些信息系统涉及大量的国家秘密和企业的商业秘密,是军工企业最重要的工作环境。因此各单位在信息系统规划与设计、工程施工、运行和维护、系统报废的过程中如何有效的开展信息系统的风险评估是极为重要的。
一、风险评估在信息安全管理体系中的作用
信息安全风险评估是指依据国家风险评估有关管理要求和技术标准,对信息系统及由其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。风险评估是组织内开展基于风险管理的基础,它贯穿信息系统的整个生命周期,是安全策略制定的依据,也是ISMS(InformationSecurityManagementSystem,信息安全管理体系)中的一部分。风险管理是一个建立在计划(Plan)、实施(D0)、检查(Check)、改进(Action)的过程中持续改进和完善的过程。风险评估是对信息系统进行分析,判断其存在的脆弱性以及利用脆弱性可能发生的威胁,评价是否根据威胁采取了适当、有效的安全措施,鉴别存在的风险及风险发生的可能性和影响。
二、信息系统安全风险评估常用方法
风险评估过程中有多种方法,包括基于知识(Knowledgebased)的分析方法、基于模型(Modelbased)的分析方法、定性(Qualitative)分析和定量(Quantitative)分析,各种方法的目标都是找出组织信息资产面临的风险及其影响,以及目前安全水平与组织安全需求之间的差距。
1、基于知识的分析方法
在基线风险评估时采用基于知识的分析方法来找出目前安全状况和基线安全标准之间的差距。基于知识的分析涉及到对国家标准和要求的把握,另外评估信息的采集也极其重要,可采用一些辅的自动化工具,包括扫描工具和入侵检测系统等,这些工具可以帮助组织拟订符合特定标准要求的问卷,然后对解答结果进行综合分析,在与特定标准比较之后给出最终的报告。
定量分析方法是对构成风险的各个要素和潜在损失的水平赋予数值或货币金额,当度量风险的所有要素(资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等)都被赋值,风险评估的整个过程和结果就都可以被量化。定量分析就是从数字上对安全风险进行分析评估的一种方法。定量分析两个关键的指标是事件发生的可能性和威胁事件可能引起的损失。
3、定性分析方法
定性分析方法是目前采用较为广泛的一种方法,它具有很强的主观性,需要凭借分析者的经验和直觉,或国家的标准和惯例,为风险管理诸要素的大小或高低程度定性分级。定性分析的操作方法可以多种多样,包括讨论、检查列表、问卷、调查等。
4、几种评估方法的比较
理论上定量分析能对安全风险进行准确的分级,但前提是可供参考的数据指标是准确的,事实上随着信息系统日益复杂多变,定量分析所依据的数据的可靠性也很难保证,且数据统计缺乏长期性,计算过程又极易出错,给分析带来了很大困难,因此目前采用定量分析或者纯定量分析方法的比较少。
定性分析操作起来相对容易,但也存在因操作者经验和直觉的偏差而使分析结果失准。定性分析没有定量分析那样繁多的计算负担,但却要求分析者具备一定的经验和能力。定量分析依赖大量的统计数据,而定性分析没有这方面的要求,定量分析方法也不方便于后期系统改进与提高。
本文结合以上几种分析方法的特点和不足,在确定评估对象的基础上建立了一种基于知识的定性分析方法,并且本方法在风险评估结束后给系统的持续改进与提高提供了明确的方法和措施。
三、全生命周期的信息系统安全风险评估
由于信息系统生命周期的各阶段的安全防范目的不同,同时不同信息系统所依据的国家标准和要求不一样,使风险评估的目的和方法也不相同,因此每个阶段进行的风险评估的作用也不同。
信息系统按照整个生命周期分为规划与设计、工程实施、运行和维护、系统报废这四个主要阶段,每个阶段进行相应的信息系统安全风险评估的内容、特征以及主要作用如下:
第一阶段为规划与设计阶段,本阶段提出信息系统的目的、需求、规模和安全要求,如信息系统是否以及等级等。信息系统安全风险评估可以起到了解目前系统到底需要什么样的安全防范措施,帮助制定有效的安全防范策略,确定安全防范的投入最佳成本,说服机构领导同意安全策略的完全实施等作用。在本阶段标识的风险可以用来为信息系统的安全分析提供支持,这可能会影响到信息系统在开发过程中要对体系结构和设计方案进行权衡。
第二阶段是工程实施阶段,本阶段的特征是信息系统的安全特征应该被配、激活、测试并得到验证。风险评估可支持对系统实现效果的评价,考察其是否满足要求,并考察系统运行的环境是否是预期设计,有关风险的一系列决策必须在系统运行之前做出。
第三阶段是运行和维护阶段,本阶段的特征是信息系统开始执行其功能,一般情况下系统要不断修改,添加硬件和软件,或改变机构的运行规则、策略和流程等。当定期对系统进行重新评估时,或者信息系统在其运行性生产环境中做出重大变更时,要对其进行风险评估活动,了解各种安全设备实际的安全防范效果是否有满足安全目标的要求;了解安全防范策略是否切合实际,是否被全面执行;当信息系统因某种原因做出硬件或软件调整后,分析原本的安全措施是否依然有效。
四、基于评估对象,知识定性分析的风险评估方法
1、评估方法的总体描述
2、基于知识的定性分析
3、注重纵深防御和持续改进
[关键词]财务预警定性分析定量分析
一、定性分析方法
1.标准化调查法。又称风险分析调查法,即通过专业人员、调查公司、协会等,对公司可能遇到的问题进行详细的调查与分析,并形成报告文件供公司管理者参考的方法。
2.“四阶段症状”分析法。公司财务运营情况不佳,甚至出现财务危机是有特定症状的,而且是逐渐加剧的,财务运营病症大体可以分为四个阶段,即财务危机潜伏期、发作期、恶化期、实现期,每个阶段都有反映危机轻重程度的典型症状。
财务危机潜伏期:盲目扩张;无效市场营销,销售额上升,利润下降;企业资产流动性差,资源分配不当;资本结构不合理,疏于风险管理;财务经营信誉持续降低,缺乏有效的管理制度;无视环境的重大变化。
财务危机发作期:自有资本不足;过分依赖外部资金,利息负担重;缺乏会计的预警作用;债务拖延偿付。
财务危机恶化期:经营者无心经营业务,专心于财务周转;资金周转困难;债务到期违约不支付。
财务危机实现期:负债超过资产,丧失偿付能力;宣布倒闭。
根据上述症状进行综合分析,公司如有相应症状出现,一定要尽快弄清病因,判定公司财务危机的程度,对症下药,防止危机的进一步发展,使公司尽快摆脱财务困境,以恢复财务的正常运作。这种方法简单明了,但实际中很难将这四个阶段作截然的划分,特别是财务危机的表现症状,它们可能在各个阶段都有相似或互有关联的表现。
3.流程图分析法。流程图分析是一种动态分析方法,对识别公司生产经营和财务活动的关键点特别有用,运用这种分析方法可以暴露公司潜在的风险。在公司生产经营流程中,必然存在着一些关键点,如果在关键点上出现堵塞和发生损失,将会导致公司全部经营活动终止或资金运转终止。在画出的流程图中,每个公司都可以找出一些关键点,对公司潜在风险进行判断和分析,发现问题及时预警,在关键点处采取防范的措施,才可能有效降低风险。
4.管理评分法。美国的仁翰阿吉蒂调查了企业的管理特性及可能导致破产的公司缺陷,按照几种缺陷、错误和征兆进行对比打分,还根据这几项对破产过程产生影响的大小程度对它们作了加权处理。
用管理评分法对公司经营管理进行评估时,每一项得分要么是零分,要么是满分,不容许给中间分。所给的分数就表明了管理不善的程度,总分是100分,参照管理评分法中设置的各项目进行打分,分数越高,则公司的处境越差。在理想的公司中,这些分数应当为零;如果评价的分数总计超过25分,就表明公司正面临失败的危险;如果评价的分数总计超过35分,公司就处于严重的危机之中;公司的安全得分一般小于18分。这种管理评分法试图把定性分析判断定量化,这一过程需要进行认真的分析,深入公司及车间,细致的对公司高层管理人员进行调查,全面了解公司管理的各个方面,才能对公司的管理进行客观的评价。这种方法简单易懂,行之有效,但其效果还取决于评分者是否对被评分公司及其管理者有直接、相当的了解。
二、定量分析方法
1.一元判定模型。一元判定模型是指以某一项财务指标作为判别标准来判断公司是否处于破产状态的预测模型。在一元判定模型中,最为关键的一点就是寻找判别临界值。
一元判定模型虽然方法简单,使用方便,但总体判别精度不高。对前一年的预测,一元判定模型的预测精度明显低于多元模型。不过,一元判定模型在前两年、前三年的预测中也能表现出很强的预测能力,说明一些上市公司的财务危机是从某些财务指标的恶化开始的。
一元判定模型的缺点是:其一,只重视一个指标的分离能力,如果经理人员知道这个指标,就有可能去粉饰这个指标,以使公司表现出良好的财务状况;其二,如果使用多个指标分别进行判断,这几个指标的分类结果之间可能会产生矛盾,以致无法作出正确判断。也就是说,虽然财务比率是综合性较高的判别指标,但是仅用一个财务指标不可能充分反映公司的财务特征。
2.多元线性判定模型,又称ZScore模型,最早是由Altman(1968)开始研究的。他得到的最终预测方程包含五个判别变量,在破产前一年的总体判别准确度高达95%。运用多元线性判别方法判定二元问题时,可以通过降维技术,仅以最终计算的Z值来判定其归属,其构造的线性方程简单易懂,具有很强的实际应用能力。
多元线性判定模型具有较高的判别精度,但也存在一些缺陷。其一,工作量比较大,研究者需要做大量的数据收集和数据分析工作。其二,在前一年的预测中,多元线性判定模型的预测精度比较高,但在前两年、前三年的预测中,其预测精度都大幅下降,甚至低于一元判别模型。其三,多元线性判定模型有一个很严格的假设,即假定自变量是呈正态分布的,两组样本要求等协方差,而现实中的样本数据往往并不能满足这一要求,这就大大限制了多元线性判定模型的使用范围。其四,使用多元判别分析技术,要求在财务困境组与控制组之间进行配对,但配对标准如何恰当确定是一个难题。
3.多元逻辑(Logit)模型。多元逻辑模型的目标是寻求观察对象的条件概率,从而据此判断观察对象的财务状况和经营风险。这一模型建立在累计概率函数的基础上,不需要自变量服从多元正态分布和两组间协方差相等的条件。判别方法和其他模型一样,先是根据多元线性判定模型确定公司破产的Z值,然后推导出公司破产的条件概率。其判别规则是:如果p值大于0.5,表明公司破产的概率比较大,可以判定公司为即将破产类型:如果p值低于0.5,表明公司财务正常的概率比较大,可以判定公司为财务正常。
Logit模型的最大优点是,不需要严格的假设条件,克服了线性方程受统计假设约束的局限性,具有了更广泛的适用范围。目前,这种模型的使用较为普遍,但其计算过程比较复杂,而且在计算过程中有很多的近似处理,这不可避免地会影响到预测精度。
4.多元概率比(Probit)回归模型。Probit回归模型同样假定公司破产的概率为p,并假设公司样本服从标准正态分布,其概率函数的p分位数可以用财务指标线性解释。
Probit模型和Logit模型的思路很相似,但在具体的计算方法和假设前提上又有一定的差异,主要体现在三个方面:一是假设前提不同,Logit不需要严格的假设条件,而Probit则假设公司样本服从标准正态分布,其概率函数的p分位数可以用财务指标线性解释;二是参数a、b的求解方法不同,Logit采用线性回归方法求解,而Probit采用极大似然函数求极值的方法求解;三是求破产概率的方法不同,Logit采用取对数方法,而Probit采用积分的方法。
5.人工神经网络模型(ArtificialNeuralNetwork,ANN)是将神经网络的分类方法应用于财务预警。ANN除具有较好的模式识别能力外,还可以克服统计方法的局限,因为它具有容错能力和处理资料遗漏或错误的能力。最为可贵的是,ANN还具有学习能力,可随时依据新的数据资料进行自我学习,并调整其内部的储存权重参数,以应对多变的公司环境。由于ANN具备上述良好的性质与能力,因而可以作为解决分类问题的一个重要工具。
ANN模型通常由输入层、输出层和隐藏层组成,其信息处理分为前向传播和后向学习两步进行。根据最后的期望输出,得出公司的期望值,然后根据学习得出的判别规则来对样本进行分类。然而,由于理论基础比较薄弱,ANN对人体大脑神经模拟的科学性、准确性还有待进一步提高,因此其适用性也大打折扣。
三、财务预警研究方法评析
1.财务预警研究的定性分析与定量分析,两者的分析方法不同。定性分析法侧重于从事物质的角度分析问题,着重于分析事物的来龙去脉及因果关系,以说理的方式透过事物的表象抓事物的本质;而定量分析法从可量化角度出发,对事物运用数学的、统计的方法进行量化分析,侧重于以数据说明问题。
2.财务预警定量模型分析主要基于财务报表数据对公司的财务状况做出的评价,这种分析是建立在历史记录的基础上的,公开的财务数据与公司的实际财务状况相比是滞后的,这也是对于公司财务失败的预测还没有一种能够完全令人接受的财务预警分析模型的原因之一。
3.财务预警定量分析模型并没有综合考虑公司财务报表以外的因素对其所用指标的影响,特别是与公司日常生产经营关系密切的一些非财务因素,这些因素有可能使公司陷入不可估量的财务失败危机中去。另外,定量分析灵活性较差,对于特定方法都有统一的模式,较少考虑到公司的个别情况。
4.在实际应用中,定性分析法具有较大的灵活性,可以根据公司的具体情况进行相应的调整,定性分析法由于无需完整的数据资料,需要凭借人们的经验对财务风险的趋势进行定性分析,有时比定量分析更加可靠和有效。但这种方法也有缺点,即容易受到个人主观意见的影响,个人的偏见往往会给公司带来巨大的损失。
因此,公司财务预警模型不能单纯依靠财务数据,只注重定量分析和指标分析,在运用财务预警定量分析模型的同时应充分考虑能够影响公司财务状况的非财务数据。换句话说,既要涉及到定量信息,也要涉及到定性信息,这样才能更为完整地反映公司全貌。所以,较好的解决方案是同时使用定性分析法与定量分析法,建立定性分析与定量分析相结合的模型,取长补短,弥补各自的缺陷,这样既考虑了公司自身的具体情况,又避免了仅用定量分析法的不足,提高防范财务风险的准确性。
参考文献:
[1]张友棠:财务预警系统管理研究[M].北京:中国人民大学出版社,2004
[2]张鸣张艳程涛:企业财务预警研究前沿[M].北京:中国财政经济出版社,2004
关键词:信息系统;集成;风险评估
中图分类号:C35文献标识码:A
前言
所谓信息安全风险评估,是从风险管理角度,运用定性、定量的科学分析方法和手段,系统地分析信息和信息系统等资产所面临的人为的和自然的威胁,以及威胁事件一旦发生可能遭受的危害程度,有针对性地提出抵御威胁的安全等级防护对策和整改措施,从而最大限度地减少经济损失和负面影响。
一、信息系统集成的风险分析
1、信息系统集成概念和特点
美国信息技术协会(ITAA)的定义,信息系统集成是根据一个复杂的信息系统或子系统的要求把多种产品和技术验明并连接入一个完整的解决方案的过程。美国IDC公司认为,系统集成是将软件,硬件和通信技术组合起来为用户解决和处理问题的业务。信息系统集成就是将分散的彼此不联系的孤立的信息系统结合成为一个更加和谐的有机整体,共享内部的信息资源使系统获得更好的结果。信息系统集成的本质是信息系统的整合和开发。根据上述的定义,我们可以发现信息系统集成具有以下特点:
(1)目的性:信息系统集成应该以企业的整体战略为导向,具有一个整体的,一致的目标,即目标是建立一个和谐统一的信息系统。
(2)多元性:信息系统的集成不仅仅是技术上的集成,更是管理上的集成,包括平台的集成,异构数据的集成,信息的集成,功能上的集成,人员的集成,管理的集成等等,其中人的集成是最关键的集成。
(3)抽象性:信息系统集成的核心是信息系统的整合和开发,其主要的对象是企业一个个的信息系统,而信息系统不想制造业的流程具有规范的操作和可见性,其本身就具有抽象性。
(4)不确定性:信息系统集成一般周期都会比较长,用户需求的变化,环境的变化,技术的发展,最后可能与当初开始时的需求会出入很大,因此系统集成的不确定性很大。
(5)协调性:前面已经说过,信息系统集成涉及的层面人员很多,技术人员,管理层,决策人员之间需要很好的协调和沟通,各原有系统间也需要进行协调。
2、信息系统集成的风险
根据以上我们对信息系统集成特点的分析,信息系统集成的风险主要包括以下四点。
(1)技术集成的风险
企业不同阶段上线的信息系统可能采用的是不同的技术开发,运行于不同的平台之上,系统集成可能会涉及不同的技术和平台集成的风险。新技术的成熟程度,新老技术之间,不同平台之间能否实现无缝的集成,企业本身具备的开发能力,如果选择信息系统集成商,选择的信息系统集成商的集成资质,所具备的能力,和对行业的了解程度,这些都会对信息系统集成的最后成败产生影响。
(2)信息集成的风险
信息系统集成的目的就是为了解决“信息孤岛”的问题,为企业的生产运作,管理决策的制定提供统一的最及时可靠的信息。由于企业不同阶段开发的信息系统可能采用的是不同的技术,异构的数据库,也没有统一的数据字典,所以在信息集成过程中,如何保证数据的一致性,完整性和保密性,防止由于信息的失真而导致系统集成的失败,成为信息系统集成的一个主要问题。
(3)人员集成的风险
信息系统集成过程中会涉及很多人员,包括:企业决策人员,各级管理者,系统集成者,开发人员,维护人员等。不同的人员在整个系统集成的过程扮演着不同的角色,同时他们必须以整个系统集成项目的目标为出发点,充分交流,协同合作,共同努力,保证系统集成的顺利完成。决策者对系统集成的支持程度,集成人员的能力,集成人员与开发人员,维护人员的配合程度,交流程度,是信息系统集成取得成功的一个重要因素,同时信息系统集成主要是为企业各管理层使用的,他们是否能够参与到系统集成的项目中,最终会影响到最后系统的被接受程度。
(4)环境变化的风险
信息系统集成项目由于牵涉的因素很多,一般周期比较长,在整个系统集成的项目过程中,可能会出现很多外部内部环境的变化,如人员的变动,企业业务流程的调整需要系统流程的重新设计,企业规模业务量的急速扩大,新的技术的出现,国家新的法律法规的出台,行业竞争压力的变大,这些都回对系统集成产生影响,如果开始考虑不周全,没有相应的应对措施,也会成为影响系统集成成功的一个重要问题。
二、风险评估方法
1、定量分析方法
定量评估方法是指运用数量指标来对风险进行评估,即对构成风险的要素和潜在损失的水平赋予数值或货币金额,当度量风险的要素(资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等)都被赋值,风险评估的整个过程和结果就都可以被量化了。典型的定量分析方法有因子分析法、聚类分析法、时序模型、回归模型、等风险图法、决策树法等。定量评估方法的优点是用直观的数据来表述评估的结果,可以对安全风险进行准确的分级,但这有个前提,那就是可供参考的数据指标是准确的,然而在信息环境日益复杂多变的今天,定量分析所依据的数据的可靠性是很难保证的。此外,常常为了量化,使本来比较复杂的事物简单化、模糊化了,有的风险因素被量化以后还可能被误解。
2、定性分析方法
定性的评估方法是依据评估者的知识、经验、历史教训、政策走向及特殊情况等非量化资料对系统风险状况做出判断的过程。定性分析的操作方法可以多种多样,包括小组讨论(如德尔斐法)、检查列表(Checklist)、问卷(Questionnaire)、人员访谈(Interview)、调查(Sruvey)等。在此基础上,通过一个理论推断演绎的分析框架做出调查结论。典型的定性分析方法有因素分析法、逻辑分析法、历史比较法、德尔斐法。定性分析方法是目前采用最为广泛的一种方法,优点是避免了定量方法的缺点,可以挖掘出一些蕴藏很深的思想,使评估的结论更全面、更深刻。但是它的主观性很强,往往需要凭借分析者的经验和直觉,或者业界的标准和惯例,为风险管理诸要素(资产价值,威胁的可能性,弱点被利用的难易程度,现有控制措施的效力等)的大小或高低程度定性分级,例如高、中、低三级。
与定量分析相比,定性分析的准确性稍好但精确性不够,定量分析则相反。定性分析法没有定量分析那样繁多的计算负担,但要求分析者具备一定的经验和能力。定量分析依赖大量的统计数据,而定性分析没有这方面的要求。定性分析较为主观,定量分析基于客观。此外定量分析的结果很直观,容易理解,而定性分析的结果则很难有统一的解释。
3、综合评估方法
系统风险评估是一个复杂的过程,需要考虑的因素很多,有些评估要素可以用量化的形式来表达,而对有些要素的量化很困难甚至是不可能的,所以在复杂的信息系统风险评估过程中,应该将这两种方法融合起来。定量分析是定性分析的基础和前提,定性分析建立在定量分析的基础上才能揭示客观事物的内在规律。主要的综合分析方法有层次分析法、概率风险评估和模糊综合评价法等。
结束语
总之,作为信息系统安全工程重要组成部分,风险评估得到了极大重视。因此,研究一套科学的、先进的、可行的信息安全风险评估方法,对于我国的信息化建设及信息安全的发展具有重要的理论与实践意义。
参考文献
[1]王祯学,戴宗坤,肖龙,王标.信息系统风险评估的数学方法[J].四川大学学报(自然科学版).2004(05):74―66
【关键词】跟踪评价;层次分析;权值
对企业财务风险控制方法的研究多以定量分析为主,即以现有的财务指标数据为基础,通过设计并观察一些敏感性指标的变化,通过建立数学模型来预测企业财务危机发生的可能性,如一元判别模式、多元线性回归模型和多元逻辑回归等。然而,财务危机的发生往往是一个逐渐积累的过程,仅以定量分析不能反映这个过程,企业在持续经营过程中需要对风险控制进行动态跟踪研判,及时管控以防止风险积聚,这是风险管控的基本要求;因而探讨可行的风险跟踪评价方法对防范财务危机发生具有积极的意义。
1跟踪评价方法的选取
定量分析与定性判断相结合是跟踪评价分析方法应该具备的基本特征。定量分析是前提,定性判断是结果,定量分析是为了更准确的定性,定性分析是在定量的基础上做出属性和变化趋势的判断,两者的结合更适合对财务风险跟踪评价。从这个角度出发,通过对各种半定量分析方法的比较分析,觉得层次分析法比较适合。
层次分析法常用在目标决策分析上,其主要特色是把定性和定量有机结合起来,按照思维、心理的规律把决策层次化、数量化。借用层次分析法原理构建财务风险跟踪评价方法,具体步骤如下:
1.1建立递阶层次结构模型
最高层为目标层,即对财务风险做出合理评价;中间层为指标层,可按照多元线性回归模型选取多个财务指标,在指标的选取上可繁可简,具体原则是(1)考虑指标的敏感性;(2)从偿债能力、盈利能力和持续经营能力三大能力角度;(3)采用比率指标,即本期与上期对比形成的指标。第三层为跟踪时期,如前年、去年、今年等,根据各时期最终排序权值,可以做出财务风险是持续恶化还是持续向好的明确结论。
1.2构造出各层次中的所有判断矩阵
构造判断矩阵的难点是不易定量化。此外,当影响某因素的因子较多时,直接考虑各因子对该因素有多大程度的影响时,常常会因考虑不周全、顾此失彼而产生与他实际认为的重要性程度不相一致的数据,甚至有可能提出一组隐含矛盾的数据。目前常用的是九分判断尺度作为评价标准,从易用角度出发可采用七分或更简单的五分判断尺度。
根据重要性两两比较后得出判断矩阵(表1)。
式中:n为判断矩阵的阶数,Cij为层要素i与要素j是对于目标层B即选择最佳目标的重要性程度的标度值,。判断矩阵C必须满足公式:
以此方法可以构造出各层的判断矩阵。
1.3层次单排序及一致性检验
判断矩阵C对应于最大特征值?姿max的特征向量W,经归一化后即为同一层次相应因素对于上一层次某因素相对重要性的排序权值,这一过程称为层次单排序。上述构造成对比较判断矩阵的办法虽能减少其它因素的干扰,较客观地反映出一对因子影响力的差别。但综合全部比较结果时,其中难免包含一定程度的非一致性,因此需进行一致性检验。一致性检验指标有一致性指标CI和平均随机一致性指标RI。
1.4层次总排序及一致性检验
按层次结构模型由上向下逐层计算最大特征值和特征向量,则可计算出最低层因素对目标层的相对重要性,即层次总排序。层次总排序是针对最高层决策因素进行的。层次总排序也要通过一致性检验,才作为判断依据,检验原理跟层次单排序一样,但过程相对复杂。
2实证分析
A公司是一家经营比较稳健的上市公司,多年来业绩较为稳定,现金流量充沛,净利润波动不大,按常规这样的企业是不会出现财务风险的,现用层次分析法跟踪评价,看能否得出相同的结论。
2.1指标选取
从指标的敏感性角度出发,分别选取(1)净利润增长率;(2)资产负债变动率,即本期资产负债率与上期之比;(3)现金总流量变动率,现金总流量为现金流入量加现金流出量,本期现金总流量与上期之比为现金总流量变动率;(4)资金周转速度变动率,即本期周转速度与上期对比;(5)净资产利润变动率,即本期净资产利润率与上期之比。
2.2分析过程
以连续五个季度的财务数据为基础计算出上述5个财务比率指标的四个季度数据,按构造判断矩阵原理构造出判断矩阵并进行一致性检验,层次单排序和层次总排序检测时CR都小于0.1,通过了一致性检验。结果如表2:
2.3分析结论
从总排序权值来看,各季度波动不大,除季度2较季度1有明显的恶化外,季度3和季度4均显示向好趋势,表明财务风险在原基础上变化不大并有持续好转迹象。
3优点与不足
关键词国际总承包项目进度风险量化风险管理蒙特卡洛模拟技术
一、国际总承包项目风险与风险管理
2006年7月,中国石化工程建设公司(SinopecEngineeringIncorporation,以下简称SEI)和伊朗当地两家工程公司组成的承包商联合体(SEI/SAZEH/ODCC)竞得伊朗SHAZANDARAK炼厂扩能和产品升级项目EPC总承包工程(以下简称Arak项目),合同总价22亿欧元,项目总工期42个月。承包商联合体负责项目基础设计的完善、详细设计、设备和材料采购、施工安装、预试车和试车服务。
2006年9月16日,Arak项目EPC总承包合同正式生效,该项目是中国石化工程建设公司目前在国际市场上承担的合同额最大的EPC总承包项目,也是首次参与以联合体的方式承揽国际工程。
面对来自业主以及主合同的严格要求,变幻莫测的国际政治、经济形势,以及联合体承包工程带来的不确定性,承包商联合体决定在Arak项目上实施风险管理,希望通过系统的风险管控,为项目进度、费用等目标的实现提供保障并增加价值。
(一)项目的风险分析
为规避独立承包域外市场面临的风险,目前国际知名工程公司的海外项目大都通过与其他公司组成联合体或者项目合营的形式共同执行,以实现优势互补。但联合体的运作也存在较大的不确定性,由于社会、体制、文化和经营风格等方面的差异,加上复杂的组织管理和分工协调,使得联合体承包工程不可避免的要面临各种各样的内部风险。
按Arak项目业主招标文件要求,承包商联合体成员必须对业主承担共同的和连带的责任,风险共担、利益共享。根据Arak项目联合体三方内部协议,项目设计按生产装置和配套系统单元进行工作分工,价格固定,SEI/SAZEH/ODCC分别开展各自的设计工作。对于采购,联合体三方共同负责项目所有设备、材料的采购、清关、运输等工作。项目设北京、德黑兰和欧洲三个采购中心,把不同类型的设备材料进行分类合并,由不同的中心进行具体操作。对工程施工,联合体三方共同参与,统一管理。根据项目组织机构、设计分工以及现场平面布置等原则,项目共划分成10个施工管理区域以及8个职能支持部门,在施工主任的统一领导下开展具体工作。相比独立执行项目模式,Arak项目的组织机构和职责分工要复杂的多,内部组织、沟通、协调风险也要高得多。
Arak项目不但具有EPC工程总承包项目的上述特点,而且还面临着更为复杂的国际形势。在项目执行过程中,联合国安理会分别通过了四次制裁伊朗的决议,包括冻结资产、禁运敏感物资等措施。受国际形势的制约,项目遇到了供货商不足、支付渠道受阻、制造厂因拿不到对伊朗出口许可延误工期等种种困难和风险。
由于EPC总承包项目的风险客观存在,以及Arak项目规模大、组织结构复杂、项目所在地特殊的地缘政治经济环境等因素,系统的风险管理成为必要和必然。
(二)项目风险管理
项目风险管理是对项目风险进行识别、分析、应对、监控的系统过程,包括鼓励对项目目标有正面影响的风险(机会)发生并加强其影响,减少对项目目标有负面影响的风险(威胁)发生并减弱其影响。未经管理和减轻的风险往往是项目失败的主要原因,而系统的风险管理能够提高项目绩效,是项目管理的必要组成部分和延伸。
项目风险管理可划分为风险管理规划、风险识别、定性分析、定量分析、风险应对规划和风险监控六个相互作用的过程。
风险管理规划――决定如何进行与规划项目的风险管理活动。
风险识别――判断哪些风险会影响项目,并以文字记录其特点。
风险定性分析――对风险及其条件进行定性分析,以便按其对项目目标影响进行排序。
风险定量分析――评估风险的概率与后果,估计其对项目目标造成的影响。
风险应对规划――制订为项目目标增加机会、减轻威胁的程序与技术。
风险监控――在项目整个生命期间监测残余风险、识别新风险,执行减轻风险计划,并对这些计划的有效性进行评估。
1.通过识别、评估风险影响的工作分解结构(WorkBreak―downStructure,简称WBS),避免风险被重复识别、评估甚至重复制定应对计划,提高风险数据的质量和风险管理的效率;
2.可以为每个风险单独量化,也可以分析某类或者所有风险对项目局部或者项目总体的影响;
3.在规划风险应对之后,再次实施定量分析,从而确定项目总体风险及其降低程度是否达到既定目标或者可接受的水平;
4.对于进度风险分析,以进度计划为基础,通过风险与WBS的映射,避免活动/任务浮时所造成的定性分析结果的偏差,并通过敏感性分析,筛选出影响项目目标的关键风险和关键活动,有助于实施有重点的风险管理。
二、进度风险量化分析与管理实践
项目阶段不同,风险管理的任务和手段不同。项目执行阶段
风险管理的主要任务是风险监控,包括实施风险应对计划、跟踪已识别风险、监测残余风险、识别新风险和评估风险过程的有效性。监控风险的工具和技术主要包括风险再评估、偏差和趋势分析、储备分析、风险审计、状态审查等。
Arak项目执行阶段的进度风险量化分析和管理,首先通过定期风险再评估,初筛中高风险,并持续评估其对项目进度目标的影响;其次,通过定量分析,精确筛选影响项目进度目标的关键风险和关键活动,以便集中项目资源进行重点管理和监控。
(一)定期风险再评估
每季度对历史风险清单进行全面审查,对现有风险重新评估其属性,包括所属类别、影响的WBS、紧迫性、发生概率、影响区间、风险排序、应对策略及其责任人,识别新风险,关闭过时风险。
1.风险分类
按照项目阶段以及受影响的项目区域,对项目风险进行分类,以明确受不确定性最大的项目区域(WBS)。首先按照设计、采购、施工、商务/财务、项目管理界面划分,其中的设计、采购、施工也是项目WBS第一层结构(phase);其次通过识别风险影响的项目WBS第二层级(sub-phase),对风险进一步细分,同时也有助于后续风险事件映射到具体活动/任务的量化评估和分析。
按照项目WBS第二层级,设计类风险分为详细设计、采购服务、设计文档,采购分为大宗材料、带位号设备,施工类风险分为施工、预试车、协助试车。按照界面和范围,商务/财务类风险分为商务和财务,项目管理类风险分为项目计划、项目控制、组织管理、HSE管理、人力等资源以及外部风险。
根据上述风险分类,对新识别风险进行归类,并判断风险类型是威胁风险还是机会风险。同时,审查清单中所有风险的状态,判断风险处于开启还是关闭状态。如果风险被关闭,将不再进入下一步定量分析的范畴;如果属于机会风险,对项目目标的影响则是积极的、正面的,应该采取措施加大其发生概率、提高其影响。
2.风险紧迫性评估
3.定性分析
定性分析是评估并综合分析风险发生的概率和影响,对风险进行优先排序,从而为后续定量分析或应对规划、风险监控提供基础的过程。
概率和影响是风险的两个量纲,概率即风险发生的可能性,影响是风险一旦发生对项目目标产生的后果。风险概率一影响矩阵将概率与影响两个标度结合起来,以此为依据建立对具体风险事件进行评定的等级(低、中、高)标准,评估每项风险的重要性及紧迫程度。定性评估为高等级的风险作进一步分析,包括量化以及积极的风险应对。
表1为Arak项目的P-I矩阵,高风险、中风险、以及低风险由项目决策层根据概率与影响结果组合后确定。
已识别的每条风险都要进行概率和影响评估,判定该风险处于概率一影响矩阵的哪个区域,并且随项目进展、外部环境变化定期更新。一般通过与经验丰富的项目主任、项目经理,熟悉相应分类的设计经理、采购经理、施工经理、商务经理、控制经理等召开会议的方式进行评估。定性分析为中高程度的风险,继续下一步定量评估和模拟分析。
4.风险应对策略及责任人
针对项目目标,制定提高机会、降低威胁的方案和措施,包括确定和分配风险应对责任人来实施已获得同意和资金支持的风险应对措施。
(二)量化风险分析
1.定量评估
通过Pertmaster风险分析软件(以下简称Pertmaster,该软件先后与Primavera、ORACLE公司合并,目前已经更名为PRA-PrimaveraRiskAnalysis)提供的以下功能,实现定量评估的赋值与调整:
(1)按照定性评估结果直接赋值
定性评估的风险概率和影响区间直接赋予每一项被该风险影响的活动/任务,一般适用于平行活动/任务。
(2)按照定性评估结果平均赋值
对定性评估的风险概率不作调整,但定性评估的影响区间平均分配到每一项被该风险影响的活动/任务,一般适用于前后续接的活动/任务。
(3)对定性评估结果进行调整
根据具体情况,对定性评估的风险概率和影响区间进行调整。
(4)无法判断风险影响的具体活动/任务
当难以对风险影响的具体活动/任务作出判断时,可以把风险影响加载到更高层级的WBS上,模拟运算时,Pertmaster视风险影响该WBS项下最后结束的一项活动/任务。该功能虽然为使用者提供了便捷和灵活的处理方式,但容易造成分析结果的偏差,因此,一般要求识别出所有被影响的活动/任务。
2.蒙特卡洛(MonteCarlo)模拟分析
采用蒙特卡洛(MonteCar-l0)模拟技术进行定量风险分析,将各项不确定性和风险换算为对整个项目费用、进度目标产生的潜在影响。模拟时,根据每项变量的概率分布函数(如最小值、最可能值、最大值的三角/点连续分布),任意选取随机数,经过多次叠加,计算费用/工期目标的实现概率,以及既定置信度下的项目费用/工期。
(1)项目工期的概率分布
图1中的横轴代表项目完工日期;左纵轴是以次数表示的概率分布;右纵轴代表累计概率分布(置信度)及相应累计概率分布下的完工日期。每个柱状图表示在选定次数(本例为1000次)的模拟计算结果中,有多少次(概率,对应左纵轴)落在横轴的完工日期区间。柱状图累加即得到累计概率分布曲线,从中可以看出不同置信度下的完工日期以及既定完工日期的实现概率,既定置信度下的工期与既定工期之间的差值即为预计的延期。
以采取应对措施后的分析结果为例,加载7条风险事件后,80%置信度下,Arak项目12单元(石脑油制氢装置)预计2010年9月25日完工,比原计划的2010年7月29日推迟两个月左右。
(2)敏感性分析
对风险以及风险影响的活动进行敏感性排序,确定需要优先考虑的风险和活动,帮助决策者有重点的采取应对措施。
量化分析的敏感性排序与定性分析风险排序不同之处在于:一方面,对于进度风险,定量分析能够排除浮时对项目总工期的影响,筛选出影响项目最终目标的关键风险,从而确保对关键风险的重点管理;另一方面,定量分析能够结合风险和被影响的活动,并考虑其关键性,对影响项目进度目标的活动进行筛选、排序,确保对关键活动的重点管理。
(三)风险应对监控
对定量风险分析筛选出的关键活动和关键风险,制定较为详细的风险应对计划,定期监控其实施状态,确保风险应对计划的落实。
四、结语
参考文献:
1.1危险源定义
对于医院内部的火灾危险源来说,可以定义为:在医院环境内,具有潜在能量和物质释放危险的、在一定的触发因素作用下会引发火灾事故的不安全物质及其所处的环境条件。
1.2危险源辨识
在重大危险源的辨识方法研究中,将危险源分为两类进行辨识,第一类是能量或危险物质,第二类是导致能量或危险物质的约束或限制措施破坏或失效的各种不安全因素。这种辨识方法在应用与医院环境中时,结合医院内部危险源的情况,将第一类作为辨识危险源的标准,将第二类作为评估危险源的条件。
2火灾危险源分类
2.1电器
根据消防部门从各类火灾调查情况看,电器线路老化、过负荷、短路仍是引发火灾的主要原因之一,针对医院具体情况,日常使用电器设备是医院中数量最多、危险性较高的危险源。
2.2危险化学品
是指具有毒害、腐蚀、爆炸、燃烧、助燃等性质,对人体、设施、环境具有危害的剧毒化学品和其他化学品,包含医院实验室、药剂科、麻醉科及其他临床医技科室使用各类危险化学品。
2.3放射源
2.4特种设备
指危险性较大的锅炉、压力容器(含气瓶)、压力管道、电梯、施工设施等。
2.5医疗气体
包括氧气、压缩空气、负压吸引、氩气、笑气、氦气、氮气等,用于医院手术、治疗、康复、急救等用途的气体及气体所处环境、存放瓶器。
2.6其他易燃物
对于病案科病历、财务处票据、病房后勤存放衣物的库房内等放置其他易燃物的部位也作为危险源重点管理对象。如此分类对危险源进行评估、管理,尽管医院安全系统中危险源种类繁多复杂,但是我们可以有条不紊开展安全管理工作,做到重点监控。
3危险源风险评估方法
根据查阅资料文献,风险评估方法的种类很多,大体可分为定性分析方法、半定量分析方法和定量分析方法三大类,长期以来火灾风险评估以定性分析方法和半定量分析方法为主。由于定性分析方法主要用于识别最危险的火灾事件,但难以给出火灾危险等级,而定量分析方法需要综合考虑因素过于复杂,部分系数较难确定,因此本文采用定性与定量分析相结合的半定量分析方法建立指标体系。通过分析研究医院火灾危险源的特点,参考大量文献资料,并结合多年消防安全工作经验,提出了适用于医院火灾危险源风险评估方法。这种方法以火灾风险分级系统为基础,通过对火灾危险源以及其他风险参数进行分析,按照一定的原则对其赋予适当的指数,使用数学方法综合起来得到子系统的指数,从而快速简单地估算出相对火灾风险等级。
3.1建立指标体系
3.2应用灰关联算法进行计算指标体系权重
3.3开发信息管理系统实现火灾危险源管理可视化
开发设计基于图形化管理的火灾危险源风险评估系统,将指标体系通过算法使用系统自动计算。评估时通过直接输入评估参数可以得到风险评估结果及相对应的管理措施,满足对医院火灾危险源评估分析。
4实例分析
医院某建筑内外科诊疗室的医用X型臂电器设备,属于电器类火灾危险源,根据现场调研得到该电气设备的实测值,使用指标体系进行评估。经计算,医院某建筑内外科诊疗室的医用X型臂电器设备风险系数为0.6487,风险等级为最安全的级别,计算结果与现场评估结果相吻合。
5总结与展望
关键词:中小银行数据定量分析精细化管理
中图分类号:F830.33
文献标识码:A
一、精细化管理在银行管理中的运用
精细化管理是一种管理理念和管理技术,是通过规则的系统化和明确化,目标的细分化和定量化,运用程序化、标准化、专业化、数据化和信息化的手段,使组织各单元精确、高效、协同和持续运行。
银行精细化管理是企业精细化管理的延伸和发展,是健全各项管理制度,细分目标,落实责任,充分运用数据定量分析技术进行精准业务营销、客户关系管理、成本核算及风险控制,实现银行效益最大化的现代管理模式。目前世界上较先进的银行精细化管理有三类:第一类是定量管理。主要是利用数据挖掘及数据定量分析技术对大量历史数据进行分析,分析客户需求特点,制定并实施精细化管理策略,实现信息化和智能化运作。第二类是半定量管理。主要是运用数据定量分析技术与定性判断相结合实施银行管理。第三类为定性精细化管理。主要是运用传统的管理方法,凭借以往经验进行分析判断,从定性的角度对目标细分管理及考核。
二、中小银行实施精细化管理的必要性分析
1.实施精细化管理是现代银行业发展的必经之路。美国及西方的银行业先进经验证明,将金融管理理论和实践、统计分析、数据管理、信息技术等结合起来的数据定量分析和精细化管理具有强大的生命力;充分利用数据资源支持管理决策,实现定量基础上的精细化管理,是未来金融机构发展的趋势,也是提高银行业核心竞争力的关键。如今各金融机构围绕金融创新,正开展形式多样化的市场竞争,金融市场竞争已达到白热化。与大型商业银行相比,中小银行在资本、客户资源以及网络渠道都处在劣势,中小银行要在如此激烈的市场竞争中立足,并实现持续发展,就必须紧跟现代银行经营管理发展趋势,积极实施精细化管理模式。
3.实施精细化管理是加强风险管理的必然选择。银行业就是经营风险的特殊行业,有效的风险管理是实现银行稳健经营的保障,未来银行业的竞争将集中在风险管理能力上,风险管理能力将构成银行核心竞争力的核心元素。目前由于经济金融环境不确定性增多,金融创新层出不穷,银行业务日益拓展,银行面临的风险也越来越复杂。尤其对于中小银行,受经营规模、经济实力、管理水平等因素的限制,抗风险能力低,受经济波动影响较大,风险管理更是不容轻视。从细化信贷业务操作流程、强化贷后管理、分析风险数据等方面对风险进行识别、预警和防范,是中小银行增强全面风险管理能力的有效途径。银行面临的风险包括信用风险、市场风险、操作风险等内外部风险,对以上三类风险的定量化管理是对银行监管基本要求。
三、中小银行精细化管理流程
银行的精细化管理涉及自上而下的决策机构、职能部室和执行机构,主要包涵银行决策层、管理层及业务层三个层面操作的精细化。
1.决策机构的精细化管理。决策机构的精细化管理包括战略目标制定精细化以及在此基础上对职能部室与执行机构完成战略目标情况进行考核的精细化。
战略目标制定的精细化要求决策机构结合国际国内银行业发展趋势及最新经济金融形势,立足本行实际,充分利用职能部室所提供的数据,对本行内部管理、业务发展及风险管理三方面目标进行正确规划,并制定完整的战略目标体系,为本行各项工作的开展树立明确的目标。目标考核精细化是保证战略目标实现的激励机制,是对前一阶段精细化战略目标实现程度的检验,也是为制定下一阶段的战略目标提供决策参考。实现目标考核的精细化要求建立完善的考核指标体系、岗位与部门职责体系及考核办法体系,将考核指标落实到个人和部门,实现对战略目标体系考核的公平、公正和全面。
2.职能部室的精细化管理。职能部室管理精细化包括对决策机构战略目标细分的精细化,根据细分目标进行资源配置的精细化,以及对实现细分目标的过程控制精细化。
安全度量分为技术性安全度量、组织性安全度量以及操作性安全度量。技术性安全度量用于描述、比较技术方面的对象,如算法、规格说明书、体系结构、设计、产品以及实施的系统等;组织性安全度量用于描述组织过程、规程的有效性:操作性安全度量用于描述操作环境方面的风险.目前人们在使用安全度量这个词时存在很多模糊和不同的含义,有研究指出,《信息技术安全评估通用准则》虽然是指导安全度量的一个非常好的标准,但它也没有全面解决安全度量的问题,尤其是针对网络系统的安全度量,目前仍有待于进一步的研究。
2信息系统安全管理度量方法
在度量过程中使用何种方法对度量的有效性有着举足轻重的影响。度量方法的选择直接影响到度量过程中的每个环节,甚至可以左右最终的度量结果,所以需要根据系统的具体情况,选择合适的风险度量方法。风险度量的方法有很多种,概括起来可分为三大类:定量的风险度量方法、定性的风险度量方法、定性与定量相结合的度量方法。
(1)定量度量方法:定量的度量方法是指运用数量指标来对风险进行度量。典型的定量分析方法有因子分析法、聚类分析法、时序模型、回归模型、风险图法、决策树法等。
定量的度量方法的优点是用直观的数据来表述度量的结果,看起来一目了然,而且比较客观。定量分析方法的采用,可以使研究结果更科学、更严密、更深刻。有时一个数据所能够说明的问题可能是用一大段文字也不能够阐述清楚的。但常常为了量化,使本来比较复杂的事物简单化、模糊化了,有的风险因素被量化以后还可能被误解和曲解。
(2)定性度量方法:定性的度量方法主要依据研究者的知识、经验、历史教训、政策走向及特殊变例等非量化资料对系统风险状况做出判断的过程。它主要以与调查对象的深入访谈做出个案记录为基本资料,然后通过一个理论推导演绎的分析框架,对资料进行编码整理,在此基础上做出调查结论。典型的定性分析方法有因素分析法、逻辑分析法、历史比较法、德尔斐法。定性度量方法的优点是避免了定量方法的缺点,可以挖掘出一些蕴藏很深的思想,使度量的结论更全面、更深刻,但它的主观性很强,对度量者本身的要求很高。
(3)定性与定量相结合的综合度量方法:系统风险度量是一个复杂的过程,需要考虑的因素很多,有些度量要素是可以用量化的形式来表达,而对有些要素的量化又是很困难甚至是不可能的,所以我们不主张在风险度量过程中一味地追求量化,也不认为一切都是量化的风险度量过程是科学、准确的.我们认为定量分析是定性分析的基础和前提,定性分析应建立在定量分析的基础上才能揭示客观事物的内在规律。定性分析则是灵魂;是形成概念、观点,做出判断,得出结论所必须依靠的。在复杂的信息系统风险度量过程中,不能将定性分析和定量分析两种方法简单的割裂开来.而是应该将这两种方法融合起来,采用综合的度量方法。
(5)实体与环境安全:实体与环境指计算机设备及计算机网管人员工作的场所,这个场所内外的环境条件必须满足计算机设备和网管人员的要求。对于各种灾害、故障要采取充分的预防措施,万一发生灾害或故障,应能采取应急措施,将损失降到最低限度。可以从以下几个方面来检查:
①机房周围环境机房是否建在电力、水源充足、自然环境清洁、通讯、交通运输方便的地方。
②机房周围l00m内有无危险建筑危险建筑指易燃、易爆、有害气体等存在的场所,如加油站、煤气站、煤气管道等。
③有无监控系统监控系统,指对系统运行的环境、操作环境实施监控(视)的设施,及时发现异常,可根据使用目的不同配备以下监视设备,如红外线传感器、监视摄像机等设备。
④有无防火、防水措施防火,指机房内安装有火灾自动报警系统,或有适用于计算机机房的灭火器材,如卤代烷1211和1301自动消防系统或灭火器。防水,指机房内无渗水、漏水现象,如机房上层有用水设施需加防水层,有暖气装置的机房沿机房地面周围应设排水沟,应注意对暖气管道定期检查和维修。是否装有漏水传感器。
⑤机房有无环境测控设施温度控制:指机房有空调设备,机房温度保持在1824摄氏度。湿度控制:指相对湿度保持在400/"0%。洁净度控制:机房和设备应保持清洁、卫生,进出机房换鞋,机房门窗具有封闭性能。