随着计算机信息系统在各军工企业的科研、生产和管理的过程中发挥巨大作用,部分单位提出了军工数字化设计、数字化制造、异地协同设计与制造等概念,并开展了ERP、MES2~PDM等系统的应用与研究。这些信息系统涉及大量的国家秘密和企业的商业秘密,是军工企业最重要的工作环境。因此各单位在信息系统规划与设计、工程施工、运行和维护、系统报废的过程中如何有效的开展信息系统的风险评估是极为重要的。
一、风险评估在信息安全管理体系中的作用
信息安全风险评估是指依据国家风险评估有关管理要求和技术标准,对信息系统及由其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。风险评估是组织内开展基于风险管理的基础,它贯穿信息系统的整个生命周期,是安全策略制定的依据,也是ISMS(InformationSecurityManagementSystem,信息安全管理体系)中的一部分。风险管理是一个建立在计划(Plan)、实施(D0)、检查(Check)、改进(Action)的过程中持续改进和完善的过程。风险评估是对信息系统进行分析,判断其存在的脆弱性以及利用脆弱性可能发生的威胁,评价是否根据威胁采取了适当、有效的安全措施,鉴别存在的风险及风险发生的可能性和影响。
二、信息系统安全风险评估常用方法
风险评估过程中有多种方法,包括基于知识(Knowledgebased)的分析方法、基于模型(Modelbased)的分析方法、定性(Qualitative)分析和定量(Quantitative)分析,各种方法的目标都是找出组织信息资产面临的风险及其影响,以及目前安全水平与组织安全需求之间的差距。
1、基于知识的分析方法
在基线风险评估时采用基于知识的分析方法来找出目前安全状况和基线安全标准之间的差距。基于知识的分析涉及到对国家标准和要求的把握,另外评估信息的采集也极其重要,可采用一些辅的自动化工具,包括扫描工具和入侵检测系统等,这些工具可以帮助组织拟订符合特定标准要求的问卷,然后对解答结果进行综合分析,在与特定标准比较之后给出最终的报告。
定量分析方法是对构成风险的各个要素和潜在损失的水平赋予数值或货币金额,当度量风险的所有要素(资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等)都被赋值,风险评估的整个过程和结果就都可以被量化。定量分析就是从数字上对安全风险进行分析评估的一种方法。定量分析两个关键的指标是事件发生的可能性和威胁事件可能引起的损失。
3、定性分析方法
定性分析方法是目前采用较为广泛的一种方法,它具有很强的主观性,需要凭借分析者的经验和直觉,或国家的标准和惯例,为风险管理诸要素的大小或高低程度定性分级。定性分析的操作方法可以多种多样,包括讨论、检查列表、问卷、调查等。
4、几种评估方法的比较
理论上定量分析能对安全风险进行准确的分级,但前提是可供参考的数据指标是准确的,事实上随着信息系统日益复杂多变,定量分析所依据的数据的可靠性也很难保证,且数据统计缺乏长期性,计算过程又极易出错,给分析带来了很大困难,因此目前采用定量分析或者纯定量分析方法的比较少。
定性分析操作起来相对容易,但也存在因操作者经验和直觉的偏差而使分析结果失准。定性分析没有定量分析那样繁多的计算负担,但却要求分析者具备一定的经验和能力。定量分析依赖大量的统计数据,而定性分析没有这方面的要求,定量分析方法也不方便于后期系统改进与提高。
本文结合以上几种分析方法的特点和不足,在确定评估对象的基础上建立了一种基于知识的定性分析方法,并且本方法在风险评估结束后给系统的持续改进与提高提供了明确的方法和措施。
三、全生命周期的信息系统安全风险评估
由于信息系统生命周期的各阶段的安全防范目的不同,同时不同信息系统所依据的国家标准和要求不一样,使风险评估的目的和方法也不相同,因此每个阶段进行的风险评估的作用也不同。
信息系统按照整个生命周期分为规划与设计、工程实施、运行和维护、系统报废这四个主要阶段,每个阶段进行相应的信息系统安全风险评估的内容、特征以及主要作用如下:
第一阶段为规划与设计阶段,本阶段提出信息系统的目的、需求、规模和安全要求,如信息系统是否以及等级等。信息系统安全风险评估可以起到了解目前系统到底需要什么样的安全防范措施,帮助制定有效的安全防范策略,确定安全防范的投入最佳成本,说服机构领导同意安全策略的完全实施等作用。在本阶段标识的风险可以用来为信息系统的安全分析提供支持,这可能会影响到信息系统在开发过程中要对体系结构和设计方案进行权衡。
第二阶段是工程实施阶段,本阶段的特征是信息系统的安全特征应该被配、激活、测试并得到验证。风险评估可支持对系统实现效果的评价,考察其是否满足要求,并考察系统运行的环境是否是预期设计,有关风险的一系列决策必须在系统运行之前做出。
第三阶段是运行和维护阶段,本阶段的特征是信息系统开始执行其功能,一般情况下系统要不断修改,添加硬件和软件,或改变机构的运行规则、策略和流程等。当定期对系统进行重新评估时,或者信息系统在其运行性生产环境中做出重大变更时,要对其进行风险评估活动,了解各种安全设备实际的安全防范效果是否有满足安全目标的要求;了解安全防范策略是否切合实际,是否被全面执行;当信息系统因某种原因做出硬件或软件调整后,分析原本的安全措施是否依然有效。
四、基于评估对象,知识定性分析的风险评估方法
1、评估方法的总体描述
2、基于知识的定性分析
3、注重纵深防御和持续改进
【关键词】跟踪评价;层次分析;权值
对企业财务风险控制方法的研究多以定量分析为主,即以现有的财务指标数据为基础,通过设计并观察一些敏感性指标的变化,通过建立数学模型来预测企业财务危机发生的可能性,如一元判别模式、多元线性回归模型和多元逻辑回归等。然而,财务危机的发生往往是一个逐渐积累的过程,仅以定量分析不能反映这个过程,企业在持续经营过程中需要对风险控制进行动态跟踪研判,及时管控以防止风险积聚,这是风险管控的基本要求;因而探讨可行的风险跟踪评价方法对防范财务危机发生具有积极的意义。
1跟踪评价方法的选取
定量分析与定性判断相结合是跟踪评价分析方法应该具备的基本特征。定量分析是前提,定性判断是结果,定量分析是为了更准确的定性,定性分析是在定量的基础上做出属性和变化趋势的判断,两者的结合更适合对财务风险跟踪评价。从这个角度出发,通过对各种半定量分析方法的比较分析,觉得层次分析法比较适合。
层次分析法常用在目标决策分析上,其主要特色是把定性和定量有机结合起来,按照思维、心理的规律把决策层次化、数量化。借用层次分析法原理构建财务风险跟踪评价方法,具体步骤如下:
1.1建立递阶层次结构模型
最高层为目标层,即对财务风险做出合理评价;中间层为指标层,可按照多元线性回归模型选取多个财务指标,在指标的选取上可繁可简,具体原则是(1)考虑指标的敏感性;(2)从偿债能力、盈利能力和持续经营能力三大能力角度;(3)采用比率指标,即本期与上期对比形成的指标。第三层为跟踪时期,如前年、去年、今年等,根据各时期最终排序权值,可以做出财务风险是持续恶化还是持续向好的明确结论。
1.2构造出各层次中的所有判断矩阵
构造判断矩阵的难点是不易定量化。此外,当影响某因素的因子较多时,直接考虑各因子对该因素有多大程度的影响时,常常会因考虑不周全、顾此失彼而产生与他实际认为的重要性程度不相一致的数据,甚至有可能提出一组隐含矛盾的数据。目前常用的是九分判断尺度作为评价标准,从易用角度出发可采用七分或更简单的五分判断尺度。
根据重要性两两比较后得出判断矩阵(表1)。
式中:n为判断矩阵的阶数,Cij为层要素i与要素j是对于目标层B即选择最佳目标的重要性程度的标度值,。判断矩阵C必须满足公式:
以此方法可以构造出各层的判断矩阵。
1.3层次单排序及一致性检验
判断矩阵C对应于最大特征值?姿max的特征向量W,经归一化后即为同一层次相应因素对于上一层次某因素相对重要性的排序权值,这一过程称为层次单排序。上述构造成对比较判断矩阵的办法虽能减少其它因素的干扰,较客观地反映出一对因子影响力的差别。但综合全部比较结果时,其中难免包含一定程度的非一致性,因此需进行一致性检验。一致性检验指标有一致性指标CI和平均随机一致性指标RI。
1.4层次总排序及一致性检验
按层次结构模型由上向下逐层计算最大特征值和特征向量,则可计算出最低层因素对目标层的相对重要性,即层次总排序。层次总排序是针对最高层决策因素进行的。层次总排序也要通过一致性检验,才作为判断依据,检验原理跟层次单排序一样,但过程相对复杂。
2实证分析
A公司是一家经营比较稳健的上市公司,多年来业绩较为稳定,现金流量充沛,净利润波动不大,按常规这样的企业是不会出现财务风险的,现用层次分析法跟踪评价,看能否得出相同的结论。
2.1指标选取
从指标的敏感性角度出发,分别选取(1)净利润增长率;(2)资产负债变动率,即本期资产负债率与上期之比;(3)现金总流量变动率,现金总流量为现金流入量加现金流出量,本期现金总流量与上期之比为现金总流量变动率;(4)资金周转速度变动率,即本期周转速度与上期对比;(5)净资产利润变动率,即本期净资产利润率与上期之比。
2.2分析过程
以连续五个季度的财务数据为基础计算出上述5个财务比率指标的四个季度数据,按构造判断矩阵原理构造出判断矩阵并进行一致性检验,层次单排序和层次总排序检测时CR都小于0.1,通过了一致性检验。结果如表2:
2.3分析结论
从总排序权值来看,各季度波动不大,除季度2较季度1有明显的恶化外,季度3和季度4均显示向好趋势,表明财务风险在原基础上变化不大并有持续好转迹象。
3优点与不足
关键词:中小银行数据定量分析精细化管理
中图分类号:F830.33
文献标识码:A
一、精细化管理在银行管理中的运用
精细化管理是一种管理理念和管理技术,是通过规则的系统化和明确化,目标的细分化和定量化,运用程序化、标准化、专业化、数据化和信息化的手段,使组织各单元精确、高效、协同和持续运行。
银行精细化管理是企业精细化管理的延伸和发展,是健全各项管理制度,细分目标,落实责任,充分运用数据定量分析技术进行精准业务营销、客户关系管理、成本核算及风险控制,实现银行效益最大化的现代管理模式。目前世界上较先进的银行精细化管理有三类:第一类是定量管理。主要是利用数据挖掘及数据定量分析技术对大量历史数据进行分析,分析客户需求特点,制定并实施精细化管理策略,实现信息化和智能化运作。第二类是半定量管理。主要是运用数据定量分析技术与定性判断相结合实施银行管理。第三类为定性精细化管理。主要是运用传统的管理方法,凭借以往经验进行分析判断,从定性的角度对目标细分管理及考核。
二、中小银行实施精细化管理的必要性分析
1.实施精细化管理是现代银行业发展的必经之路。美国及西方的银行业先进经验证明,将金融管理理论和实践、统计分析、数据管理、信息技术等结合起来的数据定量分析和精细化管理具有强大的生命力;充分利用数据资源支持管理决策,实现定量基础上的精细化管理,是未来金融机构发展的趋势,也是提高银行业核心竞争力的关键。如今各金融机构围绕金融创新,正开展形式多样化的市场竞争,金融市场竞争已达到白热化。与大型商业银行相比,中小银行在资本、客户资源以及网络渠道都处在劣势,中小银行要在如此激烈的市场竞争中立足,并实现持续发展,就必须紧跟现代银行经营管理发展趋势,积极实施精细化管理模式。
3.实施精细化管理是加强风险管理的必然选择。银行业就是经营风险的特殊行业,有效的风险管理是实现银行稳健经营的保障,未来银行业的竞争将集中在风险管理能力上,风险管理能力将构成银行核心竞争力的核心元素。目前由于经济金融环境不确定性增多,金融创新层出不穷,银行业务日益拓展,银行面临的风险也越来越复杂。尤其对于中小银行,受经营规模、经济实力、管理水平等因素的限制,抗风险能力低,受经济波动影响较大,风险管理更是不容轻视。从细化信贷业务操作流程、强化贷后管理、分析风险数据等方面对风险进行识别、预警和防范,是中小银行增强全面风险管理能力的有效途径。银行面临的风险包括信用风险、市场风险、操作风险等内外部风险,对以上三类风险的定量化管理是对银行监管基本要求。
三、中小银行精细化管理流程
银行的精细化管理涉及自上而下的决策机构、职能部室和执行机构,主要包涵银行决策层、管理层及业务层三个层面操作的精细化。
1.决策机构的精细化管理。决策机构的精细化管理包括战略目标制定精细化以及在此基础上对职能部室与执行机构完成战略目标情况进行考核的精细化。
战略目标制定的精细化要求决策机构结合国际国内银行业发展趋势及最新经济金融形势,立足本行实际,充分利用职能部室所提供的数据,对本行内部管理、业务发展及风险管理三方面目标进行正确规划,并制定完整的战略目标体系,为本行各项工作的开展树立明确的目标。目标考核精细化是保证战略目标实现的激励机制,是对前一阶段精细化战略目标实现程度的检验,也是为制定下一阶段的战略目标提供决策参考。实现目标考核的精细化要求建立完善的考核指标体系、岗位与部门职责体系及考核办法体系,将考核指标落实到个人和部门,实现对战略目标体系考核的公平、公正和全面。
2.职能部室的精细化管理。职能部室管理精细化包括对决策机构战略目标细分的精细化,根据细分目标进行资源配置的精细化,以及对实现细分目标的过程控制精细化。
战略风险评估是事关并购重组项目成败的关键。在分析并购重组项目战略动机的基础上,从银监会近期的政策文件以及经济评价的角度入手,探讨了项目战略风险评估的内容和方法,并进行了某海外项目重组案的案例分析。
〔关键词〕
并购重组;战略风险;经济评价;风险评估;协同
随着我国有色行业的产能过剩问题日益突显,新建项目逐步减少,通过政策引导和市场机制优化产业结构成为主流,而并购重组则是优化产业结构的重要手段。并购重组出发点和落脚点是整合资源,获取协同效应,服务于企业战略目标,其具有“高风险高收益”的特点。因此,战略风险评估是事关并购重组项目成败的首要问题和关键问题。本文即是从资金供应方的角度探讨并购重组项目的战略风险评估方法。
1并购重组的战略动机
2战略风险评估角度
风险评估的角度需紧紧围绕动机展开,各种动机下的战略风险评估角度见表1(但不限于)展开。此外,对于资金提供方而言,评估战略风险还应考虑协同效应未能实现时,并购方可能采取的风险控制措施或退出策略。上述战略风险评估的内容与银监会的《商业银行并购贷款风险管理指引》的指导思想不谋而合,可以提高项目的融资效率。
3战略风险评估方法
4案例分析
5结论与建议
关键词:故障树故障树分析故障诊断
1故障树分析方法概述
1.1故障树分析法简介
故障树定性分析就是将致命性故障或灾难性危险等产生的原因由树干到树枝逐级细化,进而分析致命性故障或灾难性危险与其产生原因之间的因果关系,进而找出所有可能的风险因素。故障树定量分析是由下至上依据底层事件发生的概率以及逻辑门关系,算出系统总事故的概率,并且还能将底层事件风险依据概率大小排序,并针对性确定风险控制措施和方案。其一般流程为:选择顶事件+构造故障树+定性识别出导致顶事件发生的所有底层事件+定量分析计算顶事件发生概率及底事件的重要度+提出各种风险控制措施和方案。
在轨道车辆工程中,可运用故障树分析车辆已暴露的故障,进而获得影响车辆正常工作的关键要素,并进行针对性质量控制,也可以在车辆研制的初始阶段对其进行建树分析,进而确定设计中的薄弱环节,提出改进措施。
1.2故障树的建立
在故障树分析中,位于故障树顶端的是故障树分析的目标和关心的结果事件,定义为“顶事件”,将所分析系统的各种故障和失效、不正常情况等定义为“故障事件”,用“成功事件”定义所分析系统各种正常状态和完好情况。将位于顶事件与底事件之间的中问结果事件定义为中间事件。常用的符号包括事件符号、逻辑门符号和转移符号等。
在建立故障树前,首先要对系统进行全面深入的了解。系统的设计、制造、安装调整、使用运行、维修保养等方面的技术文件和数据资料等都要被分析和研究。除了要考虑系统本身的因素外,还要考虑人为因素及环境因素的影响。对系统及单元的功能和失效以及人为因素及环境因素,应给予明确的定义。在故障树分析中,将由单元本身引起的事件称为“一次事件”,将由人的因素或环境条件引起的事件称为“二次事件”。建立故障树的具体步骤如下。
1.2.1确定顶事件
通常将所分析系统最不希望发生的致命性故障或灾难性危险作为该系统故障树分析的顶事件。因此,对一个系统而言,顶事件并不唯一,可以有多个。任何需要分析的系统故障或灾难性危险,只要是可以分解且有明确定义,则都可以作为该系统故障树的顶事件。
1.2.2确定其他层级事件
确定了系统的顶事件之后,把顶事件作为起始端向下建立故障树。先是找出导致顶事件发生的所有可能直接原因,将其作为第一级中间事件。用相应的事件符号表示第一级中间事件,再选取恰当的能表达中间事件与上一级事件逻辑关系的逻辑门符号连接中间事件与上一级事件。依此逐级向下建立故障树,直到找出所有能够引起系统故障的无法再向下追究的原因为止,将最末层事件作为底事件,至此,建树完成。
1.2.3需注意的问题
建立故障树的过程中需要注意以下几个方面的问题。
一是通常采用以系统的功能为主线来确立故障树各层级事件进而建立完整故障树,建树过程始终按照演绎的逻辑进行。同时要注意到复杂系统通常有多个流程分支,主流程不唯一,因此在建树时要依据具体系统情况而定。
二是在建立故障树前要合理地选取和设定所分析系统及单元(部件)的边界条件。所谓边界条件是指系统和单元(部件)的若干变动参数,参数设定合理,将有助于在建故障树过程中抓住主线和明确范围。
三是故障树各层级事件的定义要精确唯一,不易造成歧义。
四是故障树各层级事件间有清楚、严谨的逻辑关系。
五是应注意逻辑多余事件的删减,尽量简化故障树,且故障树应便于定性和定量分析。
2故障树定性分析实例
故障树定性分析某型轨道客车系统的目的是要找出该型轨道客车故障的全部可能原因,并定性地识别该型轨道客车系统设计、制造、安装调整、使用运行、维修保养等方面的薄弱环节。
在用故障树定性分析某型轨道客车系统时,最为关心的是最小割集,即导致顶事件发生的必要而充分的底事件的集合。仅当最小割集包含的底事件都同时存在时则顶事件发生,或者是只要最下割集中有任何一个事件不发生,则顶事件不发生――最小割集的性质。如果系统出现了故障事件,则必然至少有一个最小割集发生。系统的一种故障模式可以用一个最小割集表示,系统的故障谱即可以表示为全体最小割集。因此,防止所有最小割集发生是保证顶事件不发生的可靠措施。在轨道客车的设计中要采取必要的措施降低最小割集发生的概率,在轨道客车的运转中要努力确保不使最小割集发生。
3故障树定量分析实例
故障树定量分析某型轨道客车系统的任务是,在已知底事件发生概率的条件下,利用故障树作为计算模型,求解出顶事件即某型轨道客车系统故障或失效发生的概率,从而可以评估出该轨道客车系统的可靠性、安全性及风险性。
假定故障树的顶事件及相互独立的全部底事件均只有“不发生”和“发生”,亦即“正常”和“故障”两种状态,则根据底事件发生的概率,由下往上按故障树的逻辑结构逐级运算即可求得顶事件发生的概率。
4故障树分析法的注意事项
故障树分析是由一个或多个不希望发生的顶事件开始,向下逐级分析导致顶事件发生的直接原因和潜在原因的方法。在运用故障树分析轨道客车系统时,需要根据故障树分析的特点,注意以下几个方面的问题:一是无论是进行定性还是定量故障树分析,在建立故障树时,都应尽量确保故障树完整、准确,以使故障树不会影响分析结果的准确性。因此在该型轨道客车事故树分析的过程中,采用了由熟悉该型轨道车辆系统的多个工程师共同参与建树的方法,实践证明这种由多个工程师共同参与建树的方法相比于由一个人建立起来的故障树更为有效、完整和准确。二是常用故障树的定性分析法进行系统故障诊断,因此在故障树分析过程中可先求出最小割集,并按照从小到大的顺序将割集排序,进而依据最小割集的阶数进行故障诊断。三是故障树的定量分析法常用于对系统进行安全性分析。通过自上而下的指标分配,可确定对于各底事件的安全性要求指标。通过自下而上的计算,可用于对顶事件的安全性要求进行验证。因此各底事件概率的准确性将影响故障树定量分析的准确性。
参考文献
[1]俞秀莲,程晓卿,秦勇,等.基于可靠性的城轨车辆预防性维修优化模型[J].计算机仿真,2014(2):225-229.