[关键词]组织和谐管理博弈分析不确定性复杂性
一、引言
中国现在正处于一个快速变化的时代――经济迅速成长,科技飞速发展,市场竞争日趋激烈,组织所处的外部环境日益复杂多变。管理者的有限理性在复杂多变的外部环境下也越来越显著;管理者不得不运用许多相对复杂的方法和结构来应对外部不确定性,然而同时却必须面对这些复杂方法带来的不确定性。在管理理论领域,理论丛林缺乏系统的应对之道,研究者们也不断地根据新的管理需求提出新的管理理论。和谐管理理论就是在这样的实践环境和理论背景下产生的。
和谐管理理论自席酉民博士1987年提出以来,历经十余年的发展,已经逐步构建为以和谐主题、和则、谐则等为核心概念的现代管理理论体系。与此同时,随着社会的进步,组织内部追求自我实现的知识型员工越来越多,其个体行为也越来越复杂和难以预测。组织中个体行为的复杂多变也必然会促使传统的管理方法的改变,如何通过有效的管理途径促使组织中的个体行为最终即能符合组织在一定阶段的目标,又能最大限度的实现组织中个体的利益,成为每一个管理者,同时也是和谐管理理论必须面对的问题之一。
二、组织内部环境的不确定性
和谐管理理论提出的实践环境是组织内外部环境的高度不确定性。组织外部环境包括顾客、供应商、竞争者、社会政治、技术等因素,内部环境包括员工因素、组织的职能及群体(部门)、组织层因素等。就组织内部环境的不确定性而言,最大的挑战来自员工本身。根据Lewin的描述性模型:B=f(P,E),人的行为是个人的各种特征与环境双重作用的结果。一方面人的行为受人格个性、经历、性别、学历、职业、职位等个人因素的影响,以及群体行为的影响,另一方面人的行为还会受到所处环境的影响,如企业文化,管理政策与实践及其变革的影响。而且,人具有能动作用,可以随时根据环境条件变化以及管理方法和管理途径的变化来调整个人的行为,这些都给管理带来的极大的不确定性。
一般而言,组织在人与组织关系中居于主动地位。组织是个人直接面对的外部环境,通过多种因素对个人产生影响,个人对组织的活动做出反应。大量实证研究表明,组织的目标、文化价值观和管理实践对个人行为及其结果有着非常重要的影响。员工往往也会根据组织的管理方式、激励手段、制度规则的变化来理解组织的目标和价值观等调整自己的行为,在客观上形成了组织和员工行为的一种博弈,而双方都在博弈的过程中追求自身效用的最大化。根据经济学的一般原理,博弈双方在取得均衡而且达到帕累托最优时,双方总福利/效用达到最大,才能实现经济学意义上的和谐管理。落实到组织管理层面,也就是说组织目标顺利实现且组织成员也在组织目标实现的过程中得到自我实现,只有在这种情况下才可以说是达到了和谐管理;否则即使达到均衡,却未实现双方效用的帕累托最优,就不能称之为和谐管理。
根据美国行为学家马斯洛的理论,人的需求分为五个层次,包括生理上的需要、安全上的需要、感情和归宿上的需要、地位和受人尊敬的需要以及自我实现的需要。而对于自我实现的界定,存在着个体差异。这就给组织管理者带来了新的课题,如何即能保证组织目标的实现,又能使组织中的个体能够自我实现是组织管理者必须思考的问题。那么,组织一个如何应对内部不确定性,实现和谐管理,促使组织目标的实现这是一个非常有意义的问题。
三、和谐管理理论的基本思想及其所面对的挑战
和谐管理理论的前提假定如下:
假定2:组织中的人是有限理性的“智能体”;
假定3:人不仅追求目的,而且遵循规则。
然而,和则与谐则的共同作用,并不代表和谐状态的必然出现,而是和则、谐则与组织运动过程中不断浮现的和谐主题之间的互动。和谐管理的目标就是不断化解这些不确定性。具体到组织内部人的要素的不确定性而言,应该尽量按照组织行为理论达到对组织内部不确定性因素的消减,促使组织达到和谐管理。
四、组织内部不确定性的博弈分析
在现代社会中,人们越来越追求个性化,因此组织中的个体利益和需要也呈现出多元化。在组织中,如果要使得组织价值与目标与个体利益和需要相一致,进而达到组织和谐管理,就需要使得多个利益主体都能够在组织目标实现的过程中也使自己的利益和需要得到相应的满足。和谐管理的实现机理是实现和谐主题下的和则与谐则的耦合,这个耦合点可以是动态的,也可以是相对静态的,但必须是均衡的。现在有些观点误以为组织管理状态达到了均衡状态,就是实现了和谐管理。然而,事实可能并非如此,在管理实践活动中,组织内部的不确定性风险是影响组织实现和谐管理的决定性因素。
1.不确定性风险
在一个组织中,可能存在组织价值和目标和个人利益与需求发生冲突的问题。组织与个人的价值和目标就可能一致,也可能不一致;而个人的利益和需求在组织价值和目标实现的过程中可以得到满足,也可能得不到满足,那么就个人根据自身利益和需要的实现情况可以选择服从组织的价值观与目标,追求组织利益;也可以选择不合作但是留在组织内并利用组织所赋予的优势为自身收益,即追求个人利益。而后一种选择的不确定性,给组织带来很大风险。于是,组织与个人之间就形成了博弈关系。
根据委托―理论,组织与个人之间信息不对称,组织对个人的行为的监督存在困难或者成本太高,组织无法完全掌握个人在组织中的努力程度以及是否不恰当利用组织资源牟取私利。组织往往只能根据组织的最终收益判定个人的努力程度,而这样就可能导致组织无法公正合理地对个人进行评价和激励,从而引起个人的满意度、组织认同和组织承诺下降等负面影响。另一方面,个人在这种情境下会减少努力程度,进而导致组织绩效的下降,组织绩效反过来也影响个人的收益。综上所述,个人从组织中获得回报可以划分为经济回报和情感回报两个方面。
在组织与个人的博弈中,假设组织和个人价值与目标相一致,个人利益和需求可以得到满足,个体追求组织利益,组织收益为R,个人收益为W(R)+P;如果组织和个人价值与目标不一致,但是个人也选择了追求组织利益,因此,组织收益仍然是R,个人收益降为W(R);如果组织和个人价值与目标一致,个人却选择追求个人利益,则组织收益为R’,个人收益为W(R’)+P+X;如果组织和个人价值与目标不一致,个人也选择追求个人利益,组织收益为R’,个人收益为W(R’)+X。其中,W为个人从组织中获得的经济回报,是组织收益的函数;P为个人从组织中获得的情感回报;X为个人利用组织赋予的优势为自身谋求的其他收益,由于这个收益是不确定的,因此可以看作是风险收益;R>R’。那么,组织和个体形成的博弈矩阵如下:
在这个博弈矩阵中,从组织的角度来看,个体选择追求组织利益对组织价值与目标的顺利实现是最有利的,组织收益也最高;从个体的角度来看,正是由于风险收益X的存在使得个体的选择存在很大的不确定性,个人的行为会根据X的变化而变化。如果组织与个人的价值和目标一致,且W(R’)+P+X>W(R)+P,则个人选择追求个人利益;如果组织与个人的价值和目标不一致,且W(R’)+X>W(R),则个人选择追求个人利益;综上所述,当X>W(R)-W(R’)时,个人就会选择追求个人利益。
在图1的博弈矩阵中,只有组织与个人的价值和目标一致,个体也选择追求组织收益的情况下,组织实现了和谐管理,组织收益最大。而其他3种情况都是不和谐的,要么个体收益减少,要么组织收益减少。而风险收益X的存在,增加了个体行为的不确定性,个体行为根据X的大小产生一系列变化,甚至可以使和谐变为不和谐。
风险收益X是个人追求个人利益时的收益,这个收益是个人利用组织赋予个体的身份、权力,信用,技术等有利条件为自身谋求更大的收益,但是这种收益具有很大的不确定性,而且个人在谋求风险收益的过程中,也会影响组织的收益,妨碍了组织价值与目标的实现。反之,组织收益的下降,最终也会导致个人利益受损。因此,组织要想达到和谐管理,就必须控制风险收益X的变化。
2.从不确定风险到和谐管理
根据以上的分析,组织要达到和谐管理,防范并消除不确定风险的主要途径是要解决和控制风险收益X。然而,个体的风险收益与组织有着密切的关系,是个体利用组织所赋予的优势获得的,离开了组织,个体的这种优势也就不存在了,个体的风险收益也会随之消失。由于进入组织的个体都存在获取风险收益的可能性,因此组织要解决和控制风险收益可以从以下几个方面考虑。
首先,组织在招募新员工时,应以组织的核心价值观为依据,尽可能的招募价值观与组织价值与目标相匹配的员工,并尽量将个人目标与组织目标结合起来。对于个人价值观及目标与组织价值观与目标不匹配的个人应尽量避免招募,降低组织价值观与目标与个体价值观与目标不匹配带来的潜在风险。
其次,组织应该在和谐管理的主题下检视制度建设,采取有效的监督和激励机制,尽可能降低或消除风险收益对个体行为的影响,避免不确定性风险,消除员工选择服从个人利益与需求而不与组织合作的可能性。
第三,组织应该重视对员工的培训,重视企业文化建设,使得员工从价值观上认同组织,愿意为实现组织价值观与目标做出努力,诱导组织氛围走向和谐,并在此基础上实现组织和谐管理。
五、结论与讨论
组织能否实现和谐管理是个人与组织博弈的一个结果,而不是惟一的结果。个人与组织在价值观与目标上是否匹配,个人的利益和需求是否与组织一致并服从与组织,是决定博弈结果的两方面条件。由于个人在组织中的行为具有很大的不确定性,即使组织的价值与目标和个人的需求与利益时一致的,个人对于风险收益的追求也导致了个人与组织可能形成两种不同的均衡,但是均衡不一定就达到了组织和谐管理。以上分析表明,只有个人与组织的价值观与利益一致,才能达到组织与员工个人双赢的均衡,才能实现组织和谐管理。
参考文献:
[1]西安交通大学管理学院和谐管理研究课题组.和谐管理理论的研究框架及主要研究工作[J].管理学报,2005,2(2):145~152
[2]PeterF.Drucker.TheComingoftheNewOrganization[M].HarvardBusinessReviewonKnowledgeManagement,HarvardBusinessSchoolPress,1998.1~19
[3]席酉民,肖宏文,王洪涛.和谐管理理论的提出及其原理理论的新发展[J].管理学报,2005,2(1):26~27,30
【关键词】风险;风险分析;决策理论;不确定性;风险厌恶
二、风险的定义
三、风险分析的具体实现
(一)概况
(二)危险识别
(三)逻辑树分析
(四)不确定性建模
(五)风险评估
图1先验分析和后给决策分析中的决策树
风险分析最简单的形式是所谓的先验分析法。在先验分析中,任何决策和活动之前,都会在统计信息和概率模型的基础上进行风险评估。在实践中,这通常出现在设计新设施的过程中。图1利用一个简单的决策树说明了先验分析的原理。在先验分析中,每一个可能的活动或选项的风险(预期效用)可以用下面的公式进行评估:R=E[U]=■P■C■,其中R是风险,U是事件,P■是第i个分支概率,C■是第i个分支事件的结果。
图2预后决策分析中的决策树
后验分析原则上是和先验分析具有相同的形式,然而,在分支概率和(或)决策树后果方面的变化反映了所考虑的问题已经转化为风险降低措施、风险缓解措施和额外信息收集的影响。后验分析可以用来评估活动的效用,这实际上已经由亚曼迪蒂斯完成了。例如,为了评估现有设施,设施的测试和检查将被寄希望于揭示更多设计、施工中的失误,从而获取更准确的可靠性分析。
预-后验分析可以用图2所示的决策树的说明。关于活动中使用的预-后验分析最优决策法可能在未来得到执行。预-后验分析一个重要的先决条件是需要对未来的行动制订一个明确的决策规则,并将在计划动作的结果基础上产生效力。预-后验分析形成了一个强有力的决策支撑工具,并被广泛应用于基于风险的检验计划之中。然而,到目前为止的预-后验决策分析在风险评估中已被严重忽视。
需要注意的是,先验或后验决策分析中不同事件的概率可由逻辑树分析、经典可靠性分析、结构可靠性分析和其它联合方法来评断。因此,风险分析除了为决策制订提供构架以外,还在系统的各个方面包括因素模型中发挥效用。下面部分将讨论的风险评估需要的两个组成部分:结果分析和概率分析。
1.结果分析。失败事件的后果通常是由直接影响人民和他们的环境,如生命伤害和经济损失来衡量。大多数竞争的后果是造成低概率高损失的灾难性后果。例如,据迈耶估计,核电站事故的后果是可能造成大约140亿美元的财产损失和30年的期间内(早期的和潜在的死亡)超过48000人的死亡。
图3失败率函数的浴盆曲线
对于一个结构组件,其不确定的抗力R和负荷S被建模为随机变量的概率密度函数fR(r)和fS(s),失败概率可以定义为:
P■=P(R≤S)=P(R-S≤0)=■F■(x)f■(x)dx
在一般情况下,抗力和负荷不能仅由两个随机变量来描述,而是通过随机变量的函数来描述。因此,失败概率的一般公式可以通过以下的n维积分来确定:
P■=■f■(x)dx
其中f■(x)为基本随机变量向量的联合概率密度函数,积分范围为失败区域。除了非常特殊的情况下和大多数实际应用中的数值近似方法以外,要解决式中的积分问题是不容易的。结构可靠性理论的基本原理的描述也可在JCSS概率模型代码找到。
(六)最优性和风险接受准则
决策是一个复杂的过程,并且通常和政治关系交织在一起。一些风险评估问题试图解决包括:谁来承担什么样的风险水平?谁是风险承担的受益者和付出者?什么样的信息是“合理”的风险管理所必须的,以及应该怎样分析?什么样的行为有什么样不同风险的结果,谁来评估风险管理的成功或失败?谁来决定不同风险之间的平衡?
这些问题都不容易解决,不能脱离风险接受准则来单独解决风险评估问题,即,什么样的风险是可以接受的?风险接受准则的实施和发展涉及:第一,感知风险:确保系统风险水平是可以接受或允许的;第二,正式的决策分析:比较和平衡风险与收益的风险分析技术;第三,监管安全目标:发展和增强风险接受准则的立法和法律框架。
风险接受准则一般采用美国核管理委员会、英国健康与安全执行局和其他权威监管部门的规则,总体原则是:应尽可能合理压低(ALARP)或尽可能达到最低(ALARA)。例如定义为像“低”,“合理”,“可能”,“达到”等等,这样的术语是非常主观的,容易被以保守的方式解释。
(1)所有的人都是生来平等的,有尊严和权利的平等与自由。他们赋有理性和良心,彼此间应有兄弟般关系。
(2)每个人都有生存的权利,都是自由和安全的个体。
(3)法律面前人人平等,并有权不受任何歧视,受到法律的平等保护。
宣言强调要考虑所有的人是平等的,而且强调个人人身安全的权利,道德和法律上的义务。因此无论可接受风险的标准如何制定,我们应该永远记住,上述人权基本原则是不可违背的。
当讨论“可接受的风险”问题时,有些人对于什么是“可接受的”可能跟社会观点相比有不同的看法。每个人都有他们自己的风险体验,或在决策方面有自己的偏好。土木工程或任何其他活动中的可接受准则主要受到来自社会个体成员的偏好的影响,而不是社会的偏好的影响,个人的偏好可能实际上同社会的偏好在总量上是矛盾,因此有必要从社会的角度来看可接受性,并同时确保个人的基本人权受到保障。
2.社会风险及风险规避。个人风险和社会风险之间是有区别的,个人风险主要表现为每年死亡数,或者死亡曝光数等,而社会风险通常表示一个F–N曲线,是一个死亡数(N)的累积频率(F)。风险的表示方式可能影响对风险的认知,例如,在统计意义上,个人的死亡风险10-5与1000人被杀的社会风险10-8是等价的。然而,社会似乎更关心造成很多人伤害的惨重事件,而不是一系列较小的危害同样数量个体的系列事件。这种偏好表现为典型的F–N曲线,例如,图4表明一个人每年的死亡风险概率10-4和一个每年以10-6的概率造成10人相同结果的事件的偏好,这表明随着后果的增加,风险规避行为也在增加。然而,从纯理性的观点来看,这可以被看作是一个增加生命安全的合理途径。尽管使用F-N曲线作为风险分析有悠久的传统,但值得注意的是,F-N曲线并不能为比较不同活动之间的风险提供一致的方法。
图4荷兰社会风险的安全目标
3.多属性和多目标风险决策分析。决策往往会导致不同后果,需要同时考虑如成本,生命损失,社区干扰和环境损害等等因素。此外,不同的利益群体可能有不同的目标和偏好,从而影响不同属性的组合效应。这种情况有时被称为多属性、多目标决策或者代表风险分析中的一个复杂的问题。从理论和方法上讲,在多属性、多目标决策理论的框架下,这些问题可以很容易地处理。然而,必须非常清楚的认识到,这些技术本身不对如何给不同的属性和不同的目标加权提供任何答案。无论拥有一个合理的方法的机会大与否,这个问题必须得到解决。如果有关各方之间的偏好是不可调和的,那么在一个基本的必要的决策分析调试之前,决策者必须明确并对各方偏好进行评估。然而,最后的加权决策和建立一个普通的共识面临着已有的决策理论的挑战。最重要的是决策理论不仅仅是“一次性”的数值分析,而应该是一个动态的和透明的过程。
4.其他的考虑。可以理解的是,本文的重点是对风险的定量分析和如何用此作为决策的工具。在定性的意义上,系统知识以及在风险分析过程中增加的性能也揭示了关于如何改进系统性能方面的新的见解。可能是因为风险分析一般包括系统建模中的逻辑性、系统性和严格的方法,从而导致必须在任何定量的结果之前对系统性能增加一些理解。只要风险分析的目的是了解系统的性能,而不是一个“数字游戏”,例如用于满足定量风险接受准则,那么风险分析就是一个对于提高系统的安全性和性能的非常有效的工具。
四、结论与讨论
风险分析是通用的,因而其基本准则和理念是相同的,例如发电厂设备的最优化设计问题同1000座桥梁拥有者的资产管理非常相似。本论对这些原则提供了一个简短的概述,并重点讨论了的现行做法的不确定性和局限性。
以下结论与建议(在没有特定的顺序)是互补的,可能适用于一个或多个的个人或团体:
2.对标准化的风险分析技术和概率模型的需求是明显
的,通过这个可以降低不同分析师分析结果的差异。不同分析师的结果如果差异巨大,可能被决策者、工程师以及公众所察觉,从而显示出其不精确的和不成熟的“科学”性,不能够为公共风险提供准确的预测。
3.应该承认,风险分析中的信息都应该以同样的方式对待。
5.对风险厌恶的处理很难达到一致性。如果F–N曲线,或其他不利的风险标准是风险评估的一个特征,那么在描述风险接受准则的时候这些特点应明确规定。这将导致一个更透明的决策过程。然而,更应该通过考虑结果模型去合理规避不良行为的风险。
7.在这些年来,社会的可用资源的很大一部分将继续或越来越多的花费在各种旨在维护环境效益的活动上。例如:过时的结构和设施的退役,减少二氧化碳排放量,无污染的能源和一些其他开发。这些大量的重要的问题,目前被一些相当武断的、激进的利益集团和政治家以任意的方式处理。这里有两个重要的方面应该被注意到,即该类问题的决策依据还不存在,因为我们提升环境质量方面还没有达成共识,其次,这种决策往往是在不知情的偏好的基础上进行。重要和更困难的工作仍然留待解决。
8.风险分析涉及的人员或公众安全或公共资源都应该受到强制性的质量保证和同行评议。质量保证程序可以专注于内部的程序和实践。同行评审应包括一个独立和严格的审查,由公认的专家进行风险分析和评估。
参考文献
关键词:在险价值BOT项目风险分析净现值
BOT(Build-Operate-Transfer)是一种项目融资管理模式。BOT项目是指私营财团的项目公司(包括内资和外资)与东道国政府以契约方式签订特许权协议,由项目公司筹资和建设传统上由政府部门或国内单位承担的重大公共设施建设项目。项目公司在特许期内对项目拥有所属权、经营权、收益权。通过提品或收取服务费用。回收投资、偿还贷款并获取合理利润。特许期满后,则将该项目无偿转让给当地政府。BOT方式作为一种减少国家借款和吸引外资直接投资的有效手段,在许多国家和地区得到了广泛的应用。同时,因其较高的投资回报率。众多私营财团也愿意将资金用此方式投资到基础设施建设中去。然而,BOT具有规模较大、资金需要量大、技术要求高、使用期限长的特点,决定了BOT项目面临的风险因素多,风险高,并且存在极大不确定性。所以,研究BOT项目风险分析是十分迫切和必要的。
二、VaR简介
P(V
其中,VaR取损失的绝对值。
绝对损失和相对损失的区别在于考察损失的参考标准不同。绝对损失的参照物是期初的资产原值或投资额:而相对损失的参照物时期末的预期价值。从经济学的角度考虑,一般取绝对损失为准。
VaR是上世纪90年代才被引入的一种度量金融风险的新标准。1994年10月,JPMorgan公开了一个名为RiskMetrics的系统,该系统就是建立在VaR基础之上的。VaR是一种对可能给银行造成困难的坏结果的风险概念,而传统的波动率:系统风险和非系统风险三种风险度量是无法做到的。因此VaR迅速成为风靡全球度量市场风险的工具。1996年美国财政部货币监管署、美联储和联邦存款保险公司联合作出决定:从1998年1月1日起。美国所有银行必须实施VaR风险分析方法,并定期报告评估结果。VaR之所以发展如此迅速,是由它的特点决定的。
1、它用一个单一的数字捕捉了风险的一个重要方面。VaR直接度量损失的数值,比标准差、损失概率等风险度量指标更加直观。
2、它容易理解,应用广泛。VaR是损失的数值。不同风险因素的影响可以直接相加,询问简单的问题:“情况到底有多糟”。故而容易理解,应用广泛。稍作修正就能应用于其它风险分析系统中。
3、不依赖特等的概率分布假定。VaR的定义不要求研究的情况必须是正态分布。虽然最初JPMorgan的RiskMetrics系统是以正态分布为前提的。所以VaR可以将不对称分布期权纳入其中。
三、BOT项目风险分析应用VaR的必要性
四、计算VaR的方法与步骤
1、确定收益指标
项目经济评价中一般有净现值(NPV)和内部收益率(IRR)两个指标,VaR计算的是BOT项目中预期最大损失,故应使用NPV指标。
2、风险因素分析
BOT项目风险众多,按类别可分为政治风险、建造风险、运营风险、市场和收益风险、资金风险、法律风险等。但并不是所有的风险都能从NPV中显示出来。从这点来讲,采用NPV指标也是有一定的局限性的,但较上述的三种分析方法还是有很大进步。
影响NPV的风险因素主要包括市场和收益风险以及资金风险。具体来讲包括通货膨胀、利率、汇率、折现率、原材料价格、产品价格、人均工资等。
(1)由于通货膨胀因素的存在,BOT项目的预期收益会发生变化,从而导致项目的资金风险。具体表现为因通货膨胀,银根紧缩,利率上升。致使资金成本加大;同时,价格上升,致使原材料的成本增加,带来资金风险。
注:本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文
(3)蒙特卡罗模拟(SMC)
该方法是使用取自正态分布的随机数来建立将来情景的一个分布。对于这种情景的每一个分布,运用某种定价疗法计算投资组合的价值,然后直接估计它的VaR值。SMC是计算VaR最有效的方法。能说明广泛的风险,唯一的缺点就是成本太高。
(4)历史模拟(HistorySimulation)
五、VaR在BOT项目分析中的应用领域
NPV和IRR收益指标虽也有风险分析,但没有形成一个统一的风险指标,更没有将两者结合起来建立一个经过风险调整的收益指标,这是不利用项目决策的。而VaR做到了这一点。在此借鉴基于CAMP模型建立的投资基金业绩评价体系来构建新的评价指标,如下:
SP=(NPV)/(VaR(NPV))
这一指标是在对Sharpe比率修正的基础上建立的,从上式可以看出SP是一个无量纲的量。在决定BOT项目项目是否可行时,可由项目公司设定一个基准B,当SP≥B时,该项目可以接受;SP
关键词:风险评估;管理工具;分类;选择;设计
ResearchonRiskAssessmentandManagementTools
WANGFu-hua,YAOJie
(ChongqingCommunicationInstitute,Chongqing400035,China)
Abstract:Thisarticlehascarriedonthedetailedintroductiontotheriskassessmentmanagementtools,andintroducedhowtochooseanddesignriskassessmentmanagementtools.Finally,itofferssomeideasforinformationsecurityassessmentpractice.
Keywords:riskassessment;managementtools;classification;choice;design
目前,网络安全问题已成为影响社会经济发展和国家发展战略的重要因素,信息安全评估工作的重要性不言而喻。信息安全风险评估工作是个极复杂又具有挑战性的工作,需要细致的工作,大量的支持性的专业知识的支撑,项目管理也比较复杂,因此如果要更好的完成信息安全风险评估工作就必须有一套非常实用的信息安全风险评估管理工具。一套使用的风险评估管理工具将极大地提高信息安全风险评估工作的效率和结果的正确性。
1风险评估与管理工具分类
风险评估与管理工具是根据系统关键信息资产、资产面临的威胁以及威胁所利用的脆弱点来确定所面临的威胁、对风险情况进行全面考虑,估算出信息系统的风险情况,且在风险评估的同时根据面临的风险提供相应的控制措施和解决方法。
1.1基于国家、政府颁布的信息安全管理标准或指南
NIST(NationalInstituteofstandardandTechnology)的FIPS65;
DOJ(DepartmentofJustice)的SRAG;
GAO(GovernmentAccountingOffice)的信息安全管理的实施指南。
1.2基于专家系统的风险评估工具
基于专家系统的风险评估工具主要通过建立专家系统和外部知识库,以调查问卷的方式收集组织内部信息安全的状态。对重要资产的威胁和脆弱点进行评估,产生专家推荐的安全控制措施。
基于专家系统的风险评估工具通常可以自动形成风险评估报告,根据风险的严重程度提供风险指数,同时分析可能存在的问题,并提供相应的处理方法。
COBRA(ConsultativeObjectiveandBi-functionalRiskAnalysis)是一个著名的基于专家系统的风险评估工具,它是一个问卷调查式的风险分析工具,由三个部分组成:调查问卷生成、风险测量和结果分析生成。
基于专家系统的风险评估工具除COBRA之外,比较知名的还有@RISK、BDSS(TheBayesianDecisionSupportSystem)等工具。
1.3基于定性或定量算法的风险分析工具
风险分析作为重要的信息安全保障措施,是信息安全体系不可或缺的一部分。而信息安全风险评估的算法作为风险评估的重要手段,很久以前就被提出并了大量的研究工作,其中一些算法已经成为正式的信息安全标准的一部分。早期的风险评估算法大部分仅仅作定性的分析,对风险产生的可能性和风险产生的后果只能按照高、中、低来区分,这种定性的方式无法准确地估算出风险产生的可能性和损失量。随着人们对信息安全风险了解的不断深入,获得了更多的经验数据,因此人们越来越希望用定量的风险分析方法反映事故发生的可能性。定量的信息安全风险管理标准包括美国联邦标准FIPS31和FIPS191,提供定量风险分析技术的手册包括GAO和新版的NISTRMG。
由于数据收集的困难,目前还没有完全定量的风险评估工具,现有的风险评估工具要么在定性方面有所侧重,要么在定量方面有所侧重。如CONTROL-IT、DefinitiveScenario、JANBER都是定性的风险评估工具,而@RISK、Risk-CALC、CORA是半定量的风险评估工具。
2常见的风险评估管理工具比较
CRAMM:CRAMM是1985年由英国CCTA开发的风险评估系统。CRAMM包括全面的风险评估工具,并且完全遵循BS7799规范,包括依靠资产的建模、商业影响评估、识别和评估威胁和弱点、评估风险等级、识别需求和基于风险评估调整控制等。CRAMM评估风险依靠资产价值、威胁和脆弱点,这些参数值是通过CRAMM评估者与资产所有者、系统使用者、技术支持人员和安全部门人员一起的交互活动得到,最后给出一套解决方案。
COBRA:COBRA是1991年由C&ASystemSecurity公司推出另外一个风险评估工具,用来进行信息安全风险管理方法,提供了一个完整的风险分析服务,并且兼容许多风险评估方法学(如定性分析和定量分析等)。它可以看做一个基于专家系统和扩展知识库的问卷系统,对所有的威胁和脆弱点评估其相对重要性,并且给出合适的建议和解决方案。此外,它还对每个风险类别提供风险分析报告和风险值。
@RISK是美国Palisade公司的一款软件产品,在世界范围内广泛使用,是构架在微软Excel之上的一套风险分析工具。在@RISK中,提供了一套完整的风险分析工具,包括可以自行修订的统计分配模型、蒙特卡罗检测、敏感性分析、环境分析、极限值测试等常用的风险评估模型。@RISK建立的流程包括:
1)在Excel上建立需要分析的问题模型;
2)确定需要输入模型的不确定值;
3)通过模拟程序,对可能的参数范围进行分析,以@RISK内置的概率分布函数表示,然后确定模型的输出结果;
4)产生需要的资料图表进行分析。
表1是对一些主要风险评估工具的比较。
表1
3选择风险评估工具的原则
1)根据实际环境和企业的需求选择
2)风险评估工具应当能够精确地映射网络、应用以及进行攻击测试
3)不仅要注意风险评估工具为目标平台提供的攻击脚本数量,而且要留意它们的更新速度。
4)报告数量的多少,内容翔实程度,是否允许导出报表
只能内部使用的扫描结果报表也许能够满足最初的需要,但如果经常对系统进行风险评估,最好能够将生成的报表导出到外部数据库,以便执行对比和分析。
5)是否支持不同级别的入侵测试以避免系统挂起
所有风险评估工具都有这样的警告:入侵测试过程可能产生DoS攻击,或者导致被测试的系统挂起。通常,在高访问量期间对担负关键任务的系统不应该运行风险评估工具,风险评估工具本身可能带来问题,引起服务中断或系统被锁死。大多数高质量的风险评估工具允许执行侵害程度较小的入侵测试,避免造成系统运行中断。
6)是否需要在线服务?
有些风险评估工具以在线服务的形式提供。这种形式的优点是不占用硬件资源,可以从任何地方运行和获取报表,自动执行更新,一般而言总拥有成本也较低。缺点是服务的运行速度一般较慢,不象客户端产品那样容易定制。最后还有一点是,如果采用在线服务,则扫描出来的网络漏洞清单还将落入第三方的手中。
4信息安全风险评估管理工具设计
信息安全风险评估管理工具的设计必须考虑到参考模型可能存在的变化,或者计算方法发生变化而导致的工具适应性的问题,还应该具有项目管理功能,统计分析,报表,辅助评估专家系统,查询,资产管理,更应该加入风险管理与控制模块,如果能提供与其他资产管理软件的接口就更好了。
为了适应评估工作模式,信息安全风险评估工具的架构应该选择B/S结构,评估小组和评估人是最终用户,系统管理员对信息安全风险评估工具进行维护和管理。系统架构如图1。
信息安全风险评估工具中应该包含威胁参考库、脆弱性参考库、资产分类库、可能性定义库,后果定义库、控制措施库等评估辅助专家系统库。这些库都可以自己定义,便于使用。评估小组可以在评估的各个时期都能够得到帮助。
信息安全风险评估工具需要实际使用的检验,将在不断满足客户的需要的同时逐渐发展、成熟。通过不断的改进和发展,相信信息安全风险评估工具将极大地推动信息安全风险评估工作的进行。
参考文献:
[1]陈友初.信息安全风险评估的探讨与实践[J].广西科学院学报,2006,22(4):367-369.
[2]杜辉,刘霞,汪厚祥.信息安全风险评估方法研究[J].舰船电子工厂,2006,26(4):65-69.
[3]张建军,孟亚平.信息安全风险评估探索与实践[M].北京:中国标准出版社,2005.
[4]赵战生,谢宗晓.信息安全风险评估[M].北京:中国标准出版社,2007,8.
[5]冯登国,张阳,张玉清.信息安全风险评估综述[J].北京:通信学报,2004,25(7):10-18.
[6]关义章,戴宗坤.罗万伯,等.信息系统安全工程学[M].北京:电子工业出版社,2002,12.
【关键词】旅游投资项目;概率树分析;风险分析
近几年来,随着旅游业的迅猛发展,各地财政部门开始加大对旅游项目的财政投入,同时地方各组织以投资等方式进行旅游资源开发与重新整合。有的旅游投资项目最大程度上实现了经济效益、社会效益和环境效益,但也有的投资项目是失败的,如开业后惨淡经营、中途终止等,不仅给投资者造成了巨大的经济损失,也对当地的资源环境造成了破坏。因此,所有投资都不能是盲目的,对旅游投资项目的财务评价特别对其进行风险评价,分析风险因素在此显得尤为重要。
1.旅游投资项目
1.1旅游投资项目风险的定义
目前关于风险有数种不同的定义:①损失机会和损失可能性;②损失的不确定性;③风险是实际结果偏离预期结果的概率,等等。本文侧重于第三种定义。
风险是客观存在的,所谓旅游投资项目风险是指投资商因对未来某旅游项目投资的决策以及客观条件的不确定,而导致该项目投资的实际收益产生负偏差的程度及其发生概率,即投资商在项目投资过程中,遭受各种损失的范围或幅度及其可能性,每种可能事件都可能使得企业预期的投资收益和其他方面发生变化。因此,投资风险分析是投资者最为关心的问题之一。
1.2旅游投资项目的特点
旅游投资项目是投资项目的一种特殊形式,旅游项目的投资和其他投资相比也有着自身的特点:
(1)市场风险大。旅游市场需求的日益多变、波动性强和市场竞争的日趋激烈,旅游项目要依托旅游客源和考虑游客量,不确定性因素较多,主要是会导致实际游客量与预测值发生偏离,从而造成风险。
(3)受季节因素影响大。景观会受到季节等因素的影响,比如说,水上漂流活动受季节影响大,夏季是旅游旺季;淡季资产闲置浪费,旺季资产又常超负荷运转,周边的酒店入住率和餐饮业等都会受到影响。因此,对于一个旅游景点的投资开发,还要考虑投资项目受周边服务、本身所受到的季节影响等制约条件的影响。
1.3旅游投资项目风险分析的意义
由于旅游投资项目本身的特点,对其进行风险评价和分析有重要意义。
(1)由于一般旅游项目的周期长,市场风险大,通过对旅游项目可能带来的风险及不确定因素进行有效的分析,提前从定性和定量的角度量化其风险程度,从而防止资金损失,避免盲目投资和浪费。
(2)由于旅游投资项目的关联性强,对旅游投资项目从建设投资、营业收入和经营成本等因素进行净现值的预测,有利于投资者降低一定的投资风险,实现经济利益的持续增长,促进旅游业的健康持续稳定发展。
2.概率树分析
2.1概率树分析的定义
概率树分析是一种对风险因素的概率分布进行定量计算的分析方法,是在构造概率树的基础上,将风险因素以树形结构分解开来,逐项计算其概率,并计算项目经济评价指标的期望值及其大于或等于零的累积概率。
2.2概率树分析的步骤
(1)选定项目经济评价指标。通常选择经济内部收益率、净现值、经济效益费用比等作为评价指标,本文选择净现值作为旅游投资项目的经济评价指标。
(2)选择风险因素。需要选定概率树分析中的不确定因素,在投资项目的可行性分析中,主要选择敏感性分析中的变量作为风险因素,比如建设投资、营业收入、经营成本。针对项目的不同情况,选择对项目影响较大的因素进行概率分析。
(3)预测风险因素变化的取值范围及概率分布。有单因素概率分析和多因素概率分析两种情况。假设输入变量有A、B、C、……N,每个输入变量有状态A1,A2,…,Am1;B1,B2,…Bm2…;N1,N2,…,Nmn个各种状态发生的概率为P(Ai)、P(Bi)、P(Ci)…、P(Ni)。
(4)根据测定的风险因素值和概率分布,计算评价指标的相应取值和概率分布。
根据概率统计,对于离散型随机变量Xi,如果其分布列是:
Xi:X1X2X3…Xn…
P(Xi):P1P2P3…Pn…那么随机变量的期望值就是:E(X)=∑XiP(Xi)
式中:E(X)―随机变量X的期望值;Xi―随机变量的各种取值;P(Xi)―对应于Xi的概率值。
关于项目经济评价指标的概率,如净现值出现的概率(Pi)是风险因素(建设投资、营业收入、经营成本)各自发生概率的乘积。而净现值期望值是风险变量不同发生概率下项目净现值与其出现概率的加权平均值。其表达式为:
E(NPV)==NPV1P1+NPV2P2+……+NPVnPn
式中:E(NPV)―净现值期望值;Pi―NPVi出现概率;n―计算期;NPVi-―净现值。
(5)计算财务净现值大于或等于零的累积概率。
首先将概率树右侧的财务净现值按照从小到大的顺利进行自上而下的纵向排列,同时也将其对应的概率值也进行自上而下的纵向排列;按照财务净现值开始大于或等于零的顺序依次选择概率值并进行累积求和,由此得出财务净现值大于或等于零的累积概率。由于只有在财务净现值大于或等于零的情况下,项目才在财务上可行。因此,可以计算项目在面临一定概率分布的风险因素的时候,财务可行的概率,并计算评价指标的期望值、方差、标准差和离散系数。而项目净现值≥0的概率为:
其中Ki为项目基准收益率。从净现值大于或等于零的概率的大小可以估计项目承受风险的程度,此概率值越接近1,说明项目的风险越小,反之,项目的风险越大。
3.案例分析
3.1案例背景
A旅游投资项目位于广西省桂林市,以体育培训、商务会展、旅游接待服务为开发主线,同时进行商品房开发,形成一个功能完善、配套服务设施齐全的综合旅游度假区。该旅游投资项目不仅存在财务风险,也受到市场、资源、技术等方面的风险。广西桂林是个著名的旅游城市,开发旅游投资项目有利于广西经济的发展,促进经济结构的转型和建立真正的旅游强省,而对旅游投资项目进行不确定性特别是概率性分析,有利于对该投资项目的风险进行分析和评价。在对该旅游投资项目进行概率性分析时,选取经济项目评价对象净现值,对其进行敏感性分析后,选取建设投资、营业收入、经营成本3个风险因素作为变量,该项目投资的现金流量表在此省略。经调查建设投资、营业收入、经营成本3个变量各有3种状态,其项目的基准收益率为12%,其具体情况见表1:概率分布表。
3.2计算分析
(1)计算各种可能发生事件的概率,建设投资、营业收入、经营成本3个变量各有3种状态,所以共有27种组合。图1所示有27个分支,圆圈内的数字表示输出量各种状态发生的概率。
(2)计算净现值,将建设投资、营业收入、经营成本分别增加25%为第一个可能事件,以基准收益率为12%重新计算净现值为2711.11万元,并以此类推计算其余26个可能事件的净现值。
(3)计算净现值的期望值。将各事件的发生概率与其净现值分别相乘,利用公式:
得出加权净现值,再求和得出净现值的期望值为1947.57万元,详见图1。
(4)计算净现值大于或等于零的累积概率。
通过计算:
而对项目是否可行要从投资回收期、内部报酬率等多个方面去考虑,但进行概率性分析,来进行项目的风险分析。通过计算该项目净现值大于或等于零的概率约为86.03%,比较接近于1,说明该项目风险不大。
4.结论与建议
旅游投资项目的风险是客观存在的,所以对其进行风险分析是必要的。投资者要树立正确的风险观念,增强风险防范意识;正确识别与估量风险;运用风险管理技术和方法,强化对风险的控制和处理,以克服投资决策的盲目性,为今后投资风险决策、预防和控制以及处理等提供准确依据,提高企业综合决策水平。
项目开发是一个牵涉多个行业的综合性开发,所以该项目的旅游开发工作实际上是一综合性开发,涉及面广,还需要争取政府各有关部门、银行和当地社区居民的大力支持。运用概率树分析法能有效的衡量风险,避免不必要的损失,增加决策的可靠性,达到经济效益、环境效益和生态效益的统一。
[1]游珠玉.旅游项目投资风险分析及风险决策[D].天津:天津大学,2006(1).
[2]蒋燕,陈华.旅游项目投资风险评价体系的研究[J].科学咨询/科技管理,2011(4):70-71.
[3]王学平.概率分析方法在项目投资决策中的应用[J].山东煤炭科技,2011(1).