風險識別及評估精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的風險識別及評估主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:風險識別及評估范文
[關鍵詞]供應鏈質量風險;風險識別;風險評估;關鍵風險誘因;貝葉斯網絡
[中圖分類號]F274 [文獻標識碼]A [文章編號]1005-6432(2010)49-0127-02
1 引 言
在供應鏈質量管理的研究方面,許多事件都說明供應鏈的某些風險因素對供應鏈的績效產生巨大的負面作用,供應鏈中的大多數風險因素都表現為產品質量大幅波動。Robinson和Malhotra給出的供應鏈質量管理的定義是:對供應鏈的合作組織商業流程的協調和整合,以此來度量、分析和持續改進產品、服務和流程,目的是創造客戶價值,提升客戶滿意度。而傳統制造模式下,質量管理的重點集中于企業內部,注重內部過程、要素、部門之間的管理與協調,而對于外部過程以及外部關系則較少關注,在供應商、制造商、分銷商乃至最終用戶之間尚未形成一條連續、暢通的質量鏈,而是被一系列相對封閉的質量“黑箱”所割裂。本文在將供應鏈質量風險管理的研究視角放在合作組織內部和合作組織之間的質量管理上,而在質量管理中質量風險的管理也至關重要,本文研究的主要問題是供應鏈質量風險的識別與評估。從文獻目前的研究中可以看出目前對供應鏈質量風險評估的研究主要集中在定性的分析上,并且注重風險產生后的管理和控制。質量風險的相對重要程度,以及動態的、預測各指標值的對于導致供應鏈質量風險事件發生因素的識別和評估的有效方法的研究目前還不成熟,缺乏定量的預測方法。從管理角度看,風險最重要的方面就是引發的原因,只有通過控制這些因素才能預警和管理風險。本文將研究重點放在識別供應鏈質量風險的關鍵誘因、確定描述供應鏈質量風險的關鍵風險指標、評估供應鏈總體質量風險以及供應鏈質量風險誘因對于供應鏈總體質變動等方面。
2 供應鏈質量風險的識別
通過風險識別的工具――關鍵風險指標和關鍵風險誘因分析,得出供應鏈質量風險的關鍵誘因和關鍵指標,它們是管理者對風險進行監控和管理的基礎,同時也是針對供應鏈質量風險建立貝葉斯網絡的依據。
2.1 供應鏈質量管理關鍵風險指標的確定
關鍵風險指標是對某些特定業務活動和控制環境進行監控的關鍵指標體系。Starbird S.提出了最佳合格質量的概念,認為質量可以用合格率表示。本文研究的主題是供應鏈質量風險,所以將產品的不合格率作為關鍵風險指標,當不合格率到一定的范圍時,必須識別出風險產生點并采取相應的風險控制措施。
2.2 供應鏈質量風險關鍵風險誘因的確定
關鍵風險誘因就是一些風險特質或風險特性,是引起特定風險的隨機因素。本文從供應鏈上各參與主體以及供應鏈總體的協作的角度分析了供應鏈質量風險,并提出導致供應鏈質量風險主要的誘因,即供應鏈的構成、企業間的協作、供應商的運作風險、核心企業運作風險、銷售企業運作風險和為整條供應鏈服務的物流服務提供商的運作風險及相應的二級指標。供應鏈結構的主要影響因素有供應鏈長度、數量、供應商選擇標準、與供應商的關系。供應鏈的運作風險的影響因素有:供應風險、需求風險、制造過程風險、信息風險信息技術的運用情況、設備的完備性、員工的結構與素質、先進質量管理技術的應用。
2.3 供應鏈質量風險的識別結果
由上一節的分析,并結合供應鏈各成員的特點得到供應鏈質量風險關鍵誘因與衡量風險程度的指標,即產品不合格率。如下頁表所示:
3 供應鏈質量風險評估模型的構建
3.1 貝葉斯網絡用于風險評估的可行性
貝葉斯網絡(Bayesian Network)實質上就是一種基于概率的不確定性推理網絡,其定義如下:B=,一個貝葉斯網絡主要由兩部分構成,分別對應問題領域的定性描述和定量描述,即貝葉斯網絡結構G和網絡參數θ。第一部分貝葉斯網絡結構(G),由一個節點集合和一個有向邊集合組成。有向邊表示變量之間的依賴或因果關系,有向邊的箭頭代表因果關系影響的方向性(由父節點指向子節點)。貝葉斯網絡的另一部分θ是反映變量之間關聯性的局部概率分布集即概率參數―條件概率表(CPT),該表列出了每個節點相對于其父節點所有可能的條件概率。本文所研究的是供應鏈質量風險的評估,供應鏈質量風險事件的發生需要各種風險誘因的累積和一定的風險發生條件,而貝葉斯網絡提供了一種自然地表示因果或者影響信息的方法,能夠建立一個表示風險誘因導致風險事件發生的貝葉斯網絡拓撲結構,并且能夠動態的預測供應鏈質量風險的大小,以及診斷影響供應鏈質量風險的因素。
3.2 風險評估模型的構建
(1)模型的基本假設
①假設忽略外部環境的影響(市場需求的變化、大的自然災害等),供應鏈質量管理的影響因素主要來自兩個方面,即各企業自身的運作以及與供應鏈其他成員的協作,所以將從這兩個方向分析供應鏈質量風險的關鍵誘因;②將研究對象設定為以制造企業為核心的三級供應鏈;③研究供應鏈上各參與主體對供應鏈的運作風險的作用時,將各節點假設為相互獨立的,即各節點對于供應鏈運作風險的影響不受其他節點的影響。
(2)網絡結構的確定
在構建的供應鏈質量風險評估模型中,供應鏈結構對供應鏈上協作風險影響比較大,因為供應鏈結構決定了企業間溝通和協作的難易程度以及供應鏈成員之間的關系。同樣地,各企業的運作風險影響供應鏈的運作,但供應鏈的運作風險并不一定會影響各企業的運作風險,所以,各企業的運作風險是供應鏈運作風險的父節點,是導致供應鏈運作風險的原因。根據上述的方法進行判斷,確定各指標之間的相互依賴關系,得到供應鏈質量風險評估的貝葉斯網絡拓撲結構,如圖1所示。
(3)參數θ的確定
θ代表用于量化網絡的一組參數。對于每一個Xi,存在如下一個參數θXi /Pa(Xi),它指明了在給定發生的情況下事件發生的條件概率。
即θXi /Pa(Xi)=P[Xi/Pa(Xi)],i=1,2,…,8(1)
其中,Pa(Xi)表示在圖G中Xi的雙親變量的集合,無雙親節點的變量概率分布用邊緣概率表示。參數θ的確定方法主要有兩種,即專家法和數據法。專家法是通過專家的經驗給出各變量的概率分布,而數據法是通過對數據的分析和學習得出變量的概率分布。
在圖1的基礎上加入各變量以及各節點的概率分布(CPT)后得到如圖2所示的供應鏈質量風險的貝葉斯網絡拓撲結構。
(4)目標函數的求解模型
本研究的主題是確定在各節點概率分布確定的條件下供應鏈綜合的質量風險以及各供應鏈質量風險誘因對于供應鏈綜合質量風險的相對重要程度,所以目標函數為確定除根節點之外其余節點各狀態下的邊緣概率,即P(Xi),i=1,2,…,8,下面針對確定條件下的概率分布和有信念更新的概率分別采用不同的算法。
①無信念更新的算法
各節點的聯合概率為
P[Pa(Xi)×Xi]=Pa(Xi)×P[Xi/Pa(Xi)],i=1,2,…,8(2)
任意的非證據節點X各狀態下的邊緣概率的計算
P(Xi)=Pa(Xi)P[Xi×Pa(Xi)],i=1,2,…,8(3)
由供應鏈質量風險的貝葉斯網絡拓撲結構圖知:
Pa(X8)={X6,X7},Pa(X6)={X1},Pa(X7)={X2,X3,X4,X5}
②有信念更新的算法
給定證據E后任意的非證據節點排他性X的后驗概率分布P(X/E)稱為該節點排他性的置信度Bel(X),根據貝葉斯網絡推理模式的特點,一個節點排他性的信度可以分解成兩個參數:診斷性參數λ(X)和因果性參數π(X),從而節點排他性的信度Bel(X)=aλ(X)π(X),(a為歸一化常數),診斷性參數λ(X)根據子節點排他性X的第j個子節點傳播的信息,π(X)根據子節點排他性和父節點排他性傳遞的消息進行計算。
λ(X)=λj(X)(4)
λj(X)為節點X的第j個子節點傳遞的信息。
π(X)=U1,U2,…,UiP(X/U1,U2,…,Un)πx(Ui)(5)
P(X/U1,U2,…,Un)是專家知識或數據學習后的概率化表示形式,πx(Ui)為節點排他性X的父節點傳遞給其的信息。
4 結論及研究展望
在供應鏈質量風險管理的過程中,關鍵風險指標是適用于風險評估和監測的重要工具,所以供應鏈各企業往往設置一些關鍵的風險指標來評估和監控供應鏈質量風險。本文利用關鍵風險誘因和關鍵風險指標分析法,得出供應鏈質量風險的關鍵誘因和關鍵指標,在此基礎上建立了貝葉斯網絡結構模型,通過模型的應用表明了:在風險管理中,一些風險標指值的變化影響其他指值的變化,企業可以依據過往的經驗設定各節點指標值的取值范圍,從而定位導致風險產生的首要因素。所以本方法的應用有利于供應鏈風險動態的監控和管理。本文沒有考慮風險的另一個要素――風險產生的后果,僅從預測風險產生的概率入手,所以在貝葉斯網絡結構模型中加入風險產生的后果這一要素是未來的研究方向。
參考文獻:
[1]Robinson,C.J.and M.K.Malhotra,Defining the concept of supply chain quality management and its relevance to academic and industrial practice[J].International Journal of Production Economics,2005,96(3):315-337.
[2]Starbird S A.The effect of acceptance sampling and risk aversion on the quality delivered by suppliers[J].Journal of the Operational Research Society,1994,45(3):309-320.
第2篇:風險識別及評估范文
IT在銀行業扮演著越來越重要的角色。隨著銀行業電子化程度的不斷提高,加強IT的風險管理勢在必行。
為此,銀監會于2009年出臺了《商業銀行信息科技風險管理指引》,對信息科技風險管理目標提出了具體的指導性意見。
風險管理是識別風險、評價風險、控制風險的過程,最終目標是將風險控制在可接受范圍。而風險評估是對風險發生的可能性及可能造成的影響進行分析,是識別風險、評價風險的過程,是風險管理的基礎。
信息科技的風險管理也需要以風險評估為基礎。
整體和專項兩種評估
風險評估是風險管理過程中重要的一環,在安全規劃、業務連續性管理和實施等級保護等方面也離不開風險評估。
信息科技風險評估可以分為整體風險評估和專項風險評估。
整體風險評估是指對信息科技的各個方面,如治理、信息安全、信息系統開發、測試與維護、信息科技運行、外包、業務連續性管理等,進行全面的風險評估。專項風險評估則是指針對信息科技的某一方面、某個系統或為某個目的而進行的評估。常見的專項風險評估還會根據評估對象分為網絡評估、系統風險評估等。
整體風險評估側重于反映宏觀層面的風險,即全面反映影響實現IT目標的風險,幫助銀行高級管理層把握信息科技的整體風險狀況,從而據此來進行戰略決策,最終提升風險管理能力。專項風險評估則側重于反映微觀層面的風險,即反映信息科技某一方面或者某個系統存在的風險,據此來決定采取相應的風險處理措施,降低相關系統所面臨的風險。
評估風險的七個步驟
風險有影響及可能性兩個屬性,而影響是由資產的價值與資產存在的弱點決定的,可能性是由資產面臨的威脅及資產存在的弱點決定的。因此,風險評估需要對資產、弱點及威脅進行綜合分析。
風險評估工作一般有以下七個步驟:描述分析評估對象,確定其目標或者價值;識別評估對象存在的弱點;識別評估對象面臨的威脅;通過分析弱點及威脅,確定風險發生的可能性;通過分析資產及弱點,預測風險如果發生可能帶來的影響;通過已經分析出的可能性和影響確定風險等級;根據風險等級提出風險處理建議。
這幾個步驟可劃分為風險識別、風險分析、風險定級三個階段。
風險識別是風險評估的基礎,只有完整地識別出被評估對象的風險才可能進行正確的風險分析、風險定級。風險識別要對評估對象存在的弱點及面臨的威脅進行識別,這是風險識別的關鍵。
整體風險評估覆蓋范圍廣,反映的是宏觀層面的風險,因此在進行整體風險評估時應該以調查方式為主,以檢查、安全測試方式為輔。
在做整體風險評估時,要先準備詳細的調查問卷,問卷內容涵蓋信息科技的各個方面。一般來講,銀行的IT目標是在滿足合規管理要求的前提下,支持業務創新和業務運營。為了實現這個目標,需要管理流程和基礎資源配備作為支撐。其中,管理流程可分為IT業務創新支持、IT業務運營支持、IT合規管理及IT治理等四類,基礎資源配備包括支撐IT運行的人、信息、應用系統及基礎設施。
專項風險評估反映的是微觀層面的風險,要深入查找評估對象存在的風險。因此,專項風險評估應該采取以檢查與安全測試為主,以調查為輔的方法。
第3篇:風險識別及評估范文
關鍵詞:信息安全;風險評估;風險分析
中圖分類號:TP311 文獻標識碼:A 文章編號:1007-9599 (2011) 22-0000-01
Research and Design of Power Information Network Risk Assessment Auxiliary System
Yang Dawei1,2,Liu Yu2
(1.School of Control and Computer Engineering North China Electric Power University,Baoding 071003,China;2.Panjin Power Supply Company,Panjin 124000,China)
Abstract:This paper designed a multi-expert assessment system,which runs in strict accordance with the"Guide"to assess the risk assessment process,making assessment results more comprehensive and objective.
Keywords:Information Security;Risk Assessment;Risk Analysis
一、前言
電力系統越來越依賴電力信息網絡來保障其安全、可靠、高效的運行,該數據信息網絡出現的任何信息安全方面的問題都可能波及電力系統的安全、穩定、經濟運行,因此電力信息網絡的安全保障工作刻不容緩[1,2]。風險評估具體的評估方法從早期簡單的純技術操作,逐漸過渡到目前普遍采用BS7799、OCTAVE、ISO13335、NIST SP800-30等相關標準的方法,充分體現以資產為出發點,以威脅為觸發,以技術、管理、運行等方面存在的脆弱性為誘因的信息安全風險評估綜合方法及操作模型[3]。
二、信息安全風險評估
在我國,風險評估工作已經完成了調查研究階段、標準草案編制階段和全國試點工作階段,國信辦制定的標準草案《信息安全風險評估指南》[4](簡稱《指南》)得到了較好地實踐。本文設計的工具是基于《指南》的,涉及內容包括:
(一)風險要素關系。圍繞著資產、威脅、脆弱性和安全措施這些基本要素展開,在對基本要素的評估過程中,需要充分考慮業務戰略、資產價值、安全需求、安全事件、殘余風險等與基本要素相關的各類屬性。
(二)風險分析原理。資產的屬性是資產價值;威脅的屬性可以是威脅主體、影響對象、出現頻率、動機等;脆弱性的屬性是資產弱點的嚴重程度。
(三)風險評估流程。包括風險評估準備、資產識別、威脅識別、脆弱性識別、已有安全措施確認、風險分析、風險消減[5]。
三、電力信息網風險評估輔助系統設計與實現
本文設計的信息安全風險評估輔助系統是基于《指南》的標準,設計階段參考了Nipc-RiskAssessTool-V2.0,Microsoft Security Risk Self-Assessment Tool等風險評估工具。系統采用C/S結構,是一個多專家共同評估的風險評估工具。分為知識庫管理端、信息庫管理端、系統評估端、評估管理端。其中前兩個工具用于更新知識庫和信息庫。后兩個工具是風險評估的主體。下面對系統各部分的功能模塊進行詳細介紹:
(一)評估管理端。評估管理端控制風險評估的進度,綜合管理系統評估端的評估結果。具體表現在:開啟評估任務;分配風險評估專家;對準備階段、資產識別階段、威脅識別階段、脆弱性識別階段、已有控制措施識別階段、風險分析階段、選擇控制措施階段這七個階段多個專家的評估進行確認,對多個專家的評估數據進行綜合,得到綜合評估結果。
(二)系統評估端。系統評估端由多個專家操作,同時開展評估。系統評估端要經歷如下階段:a.準備階段:評估系統中CIA的相對重要性;b.資產識別階段;c.威脅識別階段;d.脆弱性識別階段;e.已有控制措施識別階段;f.風險分析階段;g.控制措施選擇階段。在完成了風險評估的所有階段之后,和評估管理端一樣,可以瀏覽、導出、打印評估的結果―風險評估報表系列。
(三)信息庫管理端。信息庫管理端由資產管理,威脅管理,脆弱點管理,控制措施管理四部分組成。具體功能是:對資產大類、小類進行管理;對威脅列表進行管理;對脆弱點大類、列表進行管理;對控制措施列表進行管理。
(四)知識庫管理端。知識庫的管理分為系統CIA問卷管理,脆弱點問卷管理,威脅問卷管理,資產屬性問卷管理,控制措施問卷管理,控制措施損益問卷管理六部分。
四、總結
信息安全風險評估是一個新興的領域,本文在介紹了信息安全風險評估研究意義的基礎之上,詳細闡述了信息安全風險評估輔助工具的結構設計和系統主要部分的功能描述。測試結果表明系統能對已有的控制措施進行識別,分析出已有控制措施的實施效果,為風險處理計劃提供依據。
參考文獻:
[1]Huisheng Gao,Yiqun Sun,Research on Indices System of Security Risk Evaluation for Electric Power.Optical Fiber Communication Network,IEEE,2007.
[2]Masami Hasegawa,Toshiki Ogawa,Security Measures for the Manufacture and Control System,SICE Annual Conference 2007.
[3]左曉棟等.對信息安全風險評估中幾個重要問題的認識[J].計算機安全,2004,7:64-66
第4篇:風險識別及評估范文
農業機械安全風險評價是采用科學的方法和程序識別、分析農業機械安全事故發生的原因,針對原因采取措施以消除或減少農業機械在安裝、使用、維修等環節存在的各種安全隱患,預防安全事故,提高農業機械的使用安全。其過程包括風險分析(產品限制的確定、危險識別、安全風險評估)、安全風險評定和風險減少。安全風險評價為迭代過程。通過安全風險評定,對不可接受的安全風險,應采取消除或減少風險的措施,并重新進行風險(包括再生風險)分析和評定,直至安全風險降到可接受的程度。
2農業機械危險識別
在對危險識別前,首先應確定機械的限制。即描述產品作業功能、預定使用范圍、可預期的誤用、使用和維修環境,以確定危險識別范圍。一般可根據產品功能及使用操作來描述。如拖拉機加油、加水、上車、啟動、前進、轉向、倒退、制動、停車、駐車、下車、懸掛、牽引、提升、維修等。危險是指潛在的傷害源。農業機械產品存在的主要危險包括:機械危險(如擠壓、剪切、沖擊、纏繞、吸入或卷入、切割、高壓流體噴射等)、電氣危險(如與帶電部件接觸)、熱危險(如與高溫物體接觸、熱輻射等)、噪聲危險、振動危險(如座椅、手把振動)、材料和物質產生的危險(如人體與農藥接觸)及滑落、絆倒及跌落危險。不同農業機械產品,可能產生危險的形式及多少各異。危險識別目的是在機械限制范圍內確定并形成危險、危險狀態和危險事件的清單。危險識別應在農業機械的壽命期間內系統地識別所有階段(如運輸、安裝、使用、停用、維修等)的全部相關任務中可預見的危險。危險識別一般采用至上而下及至下而上兩種方法。至上而下法是以潛在的后果(如擠壓、燒傷)清單為起點,確定造成傷害的危險。至下而上法是以檢查所有的危險為起點,考慮確定的危險狀態下所有可能出錯的途徑(如制動功能失效、人為差錯)及其導致傷害的方式。相比而言,至下而上法更為全面徹底,但過程較復雜。
3農業機械安全風險評估
安全風險為傷害發生的概率及傷害造成嚴重程度的綜合。農業機械安全風險評估是依據農業機械產品的危險識別結果,確定各種傷害發生概率及傷害造成嚴重程度的過程。目的是確定每個危險狀態或事故的最高安全風險。通常用等級、指數、或分數表示安全風險的大小。評估傷害發生概率應在考慮暴露危險區人員、危險事件發生可能性(產品特征、產品成熟度、生產企業規模、生產方式)、避免或限制傷害等因素后確定。傷害造成嚴重程度可在考慮傷害或影響健康的程度(如輕微、嚴重、死亡)及傷害的范圍(如人數)后確定。安全風險評估方法分為定性評估法和定量評估法兩類。常見方法有風險矩陣法、風險圖法、數值評分法、定量風險評估法和綜合評估法。其中風險矩陣法和風險圖法較簡單,也較常用。
3.1風險矩陣法
風險矩陣法是針對每一識別的危險,將決定危險事件風險的兩個因素即傷害嚴重程度和引起傷害的概率劃分為相應等級,形成風險矩陣,用交叉單元來定性地衡量風險大小的方法。該方法包括風險矩陣選擇、傷害嚴重程度評價、傷害發生的概率評價和得出風險等級四個步驟。
3.2風險圖法
風險圖以決策樹為基礎發展而來,其特點是使所評價的危險形象化,便于分析比較。風險圖中,每個節點代表一個風險參數(嚴重程度、暴露度、危險事件發生概率、避免可能性),每個節點的分支分別代表相應風險參數的等級(如輕微的、嚴重的)。風險評估時,從起點開始,在每個節點處沿著所確定等級的分支向前,末端指向就是風險等級。
4農業機械安全風險的減少
安全風險評價目的是減少或消除不可接受的安全風險。安全風險由安全風險因素構成,減少或消除安全風險就要減少或消除影響風險等級的風險因素(危險源、發生的概率或傷害程度)。而減少或消除影響風險等級的風險因素可通過在產品設計階段及在使用階段采用相應措施來實現。
4.1在產品設計制造階段采取消除或減少安全風險的措施
1)本質安全設計制造。即通過產品設計制造消除或減少危險。如去除收割機、拖拉機等農機覆蓋件上存在的銳角,加大拖拉機操作手柄與相鄰部件的間隙可以消除其帶來的劃傷或擠壓危險。不是所有的危險可以通過產品設計制造完全消除,當存在設計不能消除的危險時,應通過設計制造減少風險。如降低高地隙自走式噴藥機的行駛速度和質心高度來提高穩定性;采用減震機構減少拖拉機座椅振動等。本質安全設計制造是減少安全風險最有效的措施,應優先采用。2)安全防護措施。當不能通過產品設計制造消除或充分地減少安全風險時,應采用限制暴露于危險、減少危險事件發生概率或消除或降低傷害可能性的安全措施。如對收割機、拖拉機外露旋轉件加裝防護罩,對動力噴藥機安裝安全閥限制壓力。3)使用信息。使用信息是對采取本質安全設計和防護措施后的遺留安全風險提出使用警告,以降低傷害發生的可能性。如在農業機械危險部位粘貼安全警告標志、標簽;安裝喇叭、后視鏡等信號裝置;在產品使用說明書中說明安全使用規則;限制使用范圍等。
第5篇:風險識別及評估范文
一、相關概述
進入新世紀,世界經濟一體化和經濟知識化、信息化趨勢日趨明顯,在這種情況下,企業的發展環境有了較大變動,面臨的不確定性因素及財務風險因素日益增多。同時隨著金融危機對全球經濟造成的持續深刻影響和我國經濟社會發展之間協調性的不斷增強,我國企業所面臨的機會和挑戰并存。
財務風險是指對未來發展結果的不確定性、未來損失的不確定性、未來所發生的損失的概率以及大小的不確定性。
對于企業財務風險管理的識別機制來講,識別主要是針對于企業管理微觀經濟領域,就是將信息檢測過程中所獲取到的財務風險信息、實際檢測結果跟相關的標準進行對比分析,在此基礎上判斷企業財務風險偏離正常軌道的偏離值,并根據結果分級發出識別信息。對于財務風險識別管理來講,包含了財務風險分析、財務風險識別以及財務風險的評價等相關環節。
二、企業建立財務風險識別管理機制的主要內容分析
現代財務風險識別管理模式的實施需要包含兩個要素,一是財務風險識別管理模式改進的內容,二是財務風險識別管理模式改進的步驟,這樣就可以有效提升財務風險識別的整個管理過程。
針對企業財務風險管理能力及財務風險管理水平的測量評估,企業管理人員需要有效結合財務風險管理成熟度理論,診斷并發現單位財務風險管理的問題和差距,并及時制定相應的措施加以改進。企業實施全面財務風險管理成熟度理論可以認為是企業如何通過成熟度模型來提升自身財務風險管理能力的過程的相關框架。財務風險管理成熟度模型最初只是應用在財務風險導向管理的執行階段,后來隨著成熟度模型的不斷成熟,逐步在財務風險導向識別制度建設、過程監管以及人員培養等各個方面強化了運用,實現了財務風險導向識別管理所能達到的管理要求。
在進行財務風險導向識別管理時,應當圍繞單位日常經營財務風險的分析和評估環節,將開發和計量相關的分析模型作為主要手段,同時還應當明確現代財務風險導向識別管理模式在實際運用中的主要障礙不是技術手段問題,而是相應的企業經濟關系及管理機制、管理組織問題。因此,要實現現代財務風險導向識別管理模式的有效運用,還應當將識別管理過程放置在良好的政策環境之下,得到相關政府機構的政策支持;同時合理設置相關的財務風險管理部門或者機構來合理確定和明確財務風險管理責任機制,確定明晰的財務風險報告線,進一步提升和強化財務風險管理意識,并將企業管理者的領導能力、溝通能力及全體職工的財務風險管理參與水平都納入到財務風險識別管理的實施范圍之中。
三、企業建立財務風險識別管理機制的方法分析
建立和完善財務風險評估機制,準確確定財務風險產生的主要來源。對于企業來講,財務風險主要來自于籌資、投資、資金收付以及資金運作等,因此要確定這些經濟活動的財務風險性大小,對內部經營活動進行科學準確的評估。在進行評估時依據企業所處的宏觀經濟形勢,把握宏觀環境對于企業的影響。并對企業的投資人以及合伙人進行評估,及時了解和把握對方的經營風格、管理理念以及社會認可度等相關信息。評估客戶的信用等級,以及信用等級的高低,評估其償債能力,對可能出現的財務風險進行準確預測。查找財務風險產生的主要來源,這里面既有內部來源,也有外部來源,如外部經營環境的變動所引發的財務風險,企業內部管理運行機制不夠協調所引發的財務風險等,這些都有可能引發企業經營財務風險。
及時構建企業危機識別的相關指標體系。在建立和完善企業財務風險相關識別指標體系時,主要圍繞以下幾個方面:科學構建財務風險識別指標體系,模糊處理相關指標,合理確定各個指標的權重,計算出財務風險的評估值,依據財務風險的大小和相關標準,及時識別信息。在確定財務風險指標時,可以圍繞企業盈利能力、企業償債能力等進行指標設計。利用現金流量法來進行財務風險表示,如比較分析法、趨勢分析法、因素分析法、財務比率分析法等,計算企業的債務保障率、現金到期債務比、現金流動負債比、現金債務總額比以及現金利息保障倍數等。
第6篇:風險識別及評估范文
檔案信息資產是與檔案信息系統有關的所有資產,包括檔案信息系統的硬件、軟件、數據、人員、服務及組織形象等,是有形和無形資產的總和。脆弱性是檔案信息系統自身存在的技術和管理漏洞,可能被外部威脅利用,造成安全事故;威脅是外部存在的、可能導致檔案信息系統發生安全事故的潛在因素。威脅、脆弱性及檔案信息資產的相互影響造成檔案信息系統面臨安全風險,最后計算出風險值。
檔案信息安全風險評估總體方法
檔案信息安全風險評估的核心問題之一是風險評估方法的選擇,風險評估方法包括總體方法和具體方法。總體方法是從宏觀的角度確定檔案信息安全風險評估大致方法,包括:風險評價標準確定方法;風險評估中資產、威脅和脆弱性的識別方法;風險評估輔助工具使用方法及風險評估管理方法等。事實上,信息安全風險評估方法經歷了一個不斷發展的過程,“經歷了從手動評估到工具輔助評估的階段,目前正在由技術評估到整體評估發展,由定性評估向定性和定量相結合的方向發展,由基于知識(或經驗)的評估向基于模型(或標準)的評估方法發展。”。隨著信息安全技術與安全管理的不斷發展,目前信息安全風險評估方法已發展到基于標準的、定性與定量相結合的、借用工具輔助評估的整體評估方法。檔案信息安全風險評估總體方法應采用目前最先進方法,即采用依據合適風險評估標準、定性與定量結合、借助評估工具或軟件來實現不僅進行檔案信息安全技術評估,而且進行檔案信息安全管理評估的整體評估方法。
1 檔案信息安全風險評估標準的確定
信息安全風險評估標準主要分為國際國外標準和國家標準。國際國外標準有:《ISO/IEC 13335 信息技術 IT安全管理指南》、《ISO/IEC 17799:2005信息安全管理實施指南》、《ISO/IEC27001:2005信息安全管理體系要求》、《NIST SP 800-30信息技術系統的風險管理指南》系列標準等,這些標準在國外已得到廣泛使用,而我國信息安全風險評估起步較晚,在吸取國外標準且根據我國國情的基礎上于2007年制定了國家標準((GB/T 20984-2007信息安全技術信息安全風險評估規范》,并在全國范圍內推廣。國家發展改革委員會、公安部、國家保密局于2008年了“關于加強國家電子政務工程建設項目信息安全風險評估工作的通知(發改高技[2008]2071號)”,該文件要求國家電子政務工程建設項目(以下簡稱電子政務項目),應開展信息安全風險評估工作,且規定采用《GB/T 20984-2007信息安全技術信息安全風險評估規范》。檔案信息系統屬于電子政務系統,檔案信息安全風險評估也應該采取OB/T 20984-2007標準。
2 檔案信息安全風險評估需定性與定量相結合
定性分析方法是目前廣泛采用的方法,需要憑借評估者的知識、經驗和直覺,為風險的各個要素定級。定性分析法操作相對容易,但也可能因為分析結果過于主觀性,很難完全反映安全現實情況。定量分析則對構成風險的各個要素和潛在損失水平賦予數值或貨幣金額,最后得出系統安全風險的量化評估結果。
定量分析方法準確,但由于信息系統風險評估是一個復雜的過程,整個信息系統又是一個龐大的系統工程,需要考慮的安全因素眾多,而完全量化這些因素是不切實際的,因此完全量化評估是很難實現的。
定性與定量結合分析方法就是將風險要素的賦值和計算,根據需要分別采取定性和定量的方法,將定性分析方法和定量分析方法有機結合起來,共同完成信息安全風險評估。檔案信息安全風險評估應采取定性與定量相結合的方法,在檔案信息系統資產重要度、威脅分析和脆弱性分析可用定性方法,但給予賦值可采用定量方法。具體脆弱性測試軟件可得出定量的數據,最后得出風險值,并判斷哪些風險可接受和不可接受等。
3 檔案信息安全風險評估需借用輔助評估工具
目前信息安全風險評估輔助工具的出現,改變了以往一切工作都只能手工進行的狀況,這些工作包括識別重要資產、威脅和弱點發現、安全需求分析、當前安全實踐分析、基于資產的風險分析和評估等。其工作量巨大,容易出現疏漏,而且有些工作如系統軟硬件漏洞檢測等無法用手工完成,因此目前國內外均使用相應的評估輔助工具,如漏洞檢測軟件和風險評估輔助軟件等。檔案信息安全風險評估也需借助相應的輔助工具,直接可用的是各種系統軟硬件漏洞測試軟件或我國依據《GB/T 20984-2007信息安全技術信息安全風險評估規范》開發的風險評估輔助軟件,將來可開發專門的檔案信息安全風險評估輔助工具軟件。
4 檔案信息安全風險評估需整體評估
信息安全風險評估不僅需進行安全技術評估,更重要的需進行安全管理等評估,我國已將信息系統等級保護作為一項安全制度,對不同等級的信息系統根據國家相關標準確定安全等級并采取該等級對應的基本安全措施,其中包括安全技術措施和安全管理措施,因此評估風險時同樣需進行安全技術和安全管理的整體風險評估,檔案信息安全風險評估同樣如此。
檔案信息安全風險評估具體方法
根據檔案信息安全風險評估原理。從資產識別到風險計算,都需根據信息系統自身情況和風險評估要求選擇合適的具體方法,包括:資產識別方法、威脅識別方法、脆弱性識別方法、現有措施識別法和風險計算方法等。
1 資產識別方法
檔案信息資產識別是對信息資產的分類和判定其價值,因此資產識別方法包括資產分類方法和資產賦值方法。
(1)資產分類方法
在風險評估中資產分類沒有嚴格的標準,但一般需滿足:所有的資產都能找到相應的類;任何資產只能有唯一的類相對應。常用的資產分類方法有:按資產表現形式分類、按資產安全級別分類和按資產的功能分類等。
在《GB/T 20984-2007信息安全技術信息安全風險評估規范》中,對資產按其表現形式進行分類,即分為數據、軟件、硬件、服務、人員及其他(主要指組織的無形資產)。這種分類方法的優點為:資產分類清晰、資產分類詳細,其缺點為:資產分類與其安全屬性無關、資產分類過細造成評估極其復雜,因為目前大部分風險評估
都以資產識別作為起點,一項資產面臨多項威脅,—項威脅又與多項脆弱性有關,最后造成針對某一項資產的風險評估就十分復雜,缺乏實際可操作性。這種分類方法比較適合于初次風險評估單位對所有信息資產進行摸底和統計。
風險評估中資產的價值不是以資產的經濟價值來衡量,所以信息資產分類應與信息資產安全要求有關,即依據信息資產對安全要求的高低進行分類,這種方法同時也滿足下一環節即信息資產重要度賦值需求。任何一個檔案信息資產無論是硬件、軟件還是其他,其均有安全屬性,在《GB/T 20984-2007信息安全技術信息安全風險評估規范》中要求:“資產價值應依據資產在保密性、完整性和可用性上的賦值等級,經過綜合評定得出”。可選擇每個資產在上述三個安全屬性中最重要的安全屬性等級作為其最后重要等級。但檔案信息安全屬性應該更多,除上述屬性外還包括:真實性、不可否認性(抗抵賴)、可控性和可追溯性,所以可以根據檔案信息的七個安全屬性中最重要屬性的等級作為該資產等級。
目前信息資產安全屬性等級如保密性等級可分為:很高、高、中等、低、很低,因此信息資產按安全等級也可分為:很高、高、中等、低、很低,即如果此信息資產保密性等級為“中”,完整性等級為“中”,可用性等級為“低”,則取此信息資產安全等級最高的“中”級。
按信息資產安全級別分類法符合風險評估要求,因為體現了安全要求越高其資產價值越高的宗旨,在統計資產時也可按表現形式和安全等級結合的方法進行,如下表1所示。“類別”為按第一種分類方法中的類別,重要度為第二種方法中的五個等級。
但如果風險評估時按表1進行資產分類時,每個檔案信息系統將具有很多資產,這樣針對每一項資產進行評估的時間和精力對于評估方都難以接受。因此,在《信息安全風險評估——概念、方法和實踐》一書中提出:“最好的解決辦法應該是面對系統的評估”,信息資產安全等級分類的起點可以認為是系統(或子系統),這樣可以在資產統計時用資產表現形式進行分類,在資產安全等級分類時按系統或子系統進行大致分類,即同一個系統或子系統中的資產的安全等級相同,這樣滿足了組織進行風險評估時“用最少的時間找到主要風險”的思想。
(2)資產賦值方法
由于信息資產價值與安全等級有關,因此對資產賦值應與“很高、高、中等、低、很低”相關,但這是定性的方法,結合定量方法為對應“5、4、3、2、1”五個值,同時將此值稱為“資產等級重要度”。
2 威脅識別方法
(1)威脅分類方法
對檔案信息系統的威脅可從表現形式、來源、動機、途徑等多角度進行分類,而常用的為按來源和表現形式分類。按來源可分為:環境因素和人為因素,人為因素又分為惡意和無意兩種。基于表現形式可分為:物理環境影響、軟硬件故障、無作為或操作失誤、管理不到位、惡意代碼、越權或濫用、網絡攻擊、物理攻擊、泄密、篡改和抵賴等。由于威脅對信息系統的破壞性極大,所以應以分類詳細為宗旨,按表現形式方法分類較為合適。
(2)威脅賦值方法
威脅賦值是以威脅出現的頻率為依據的,評估者應根據經驗或相關統計數據進行判斷,綜合考慮三個方面:“以往安全事件中出現威脅頻率及其頻率統計,實踐中檢測到的威脅頻率統計、近期國內外相關組織的威脅預警”。。可以對威脅出現的頻率進行等級化賦值,即為:“很高、高、中等、低、很低”,相應的值為:“5、4、3、2、1”。
3 脆弱性識別方法
脆弱性的識別可以以資產為核心,針對每一項需要保護的資產,識別可能被威脅利用的弱點,同時結合已有安全控制措施,對脆弱性的嚴重程度進行評估。脆弱性識別時來自于信息資產的所有者、使用者,以及相關業務領域和軟硬件方面的專業人員等,并對脆弱性識別途徑主要有:問卷調查、工具檢測、人工核查、文檔查閱、滲透性測試等。
(1)脆弱性分類方法
脆弱性一般可以分為兩大類:信息資產本身脆弱性和安全控制措施不足帶來的脆弱性。資產本身的脆弱性可以通過測試或漏洞掃描等途徑得到,屬于技術脆弱性。而安全控制措施不足的脆弱性包括技術脆弱性和管理脆弱性,管理脆弱性更容易被威脅所利用,最后造成安全事故。檔案信息系統脆弱性分類最好按技術脆弱性和管理脆弱性進行。技術脆弱性涉及物理層、網絡層、系統層、應用層等各個層面的安全問題,管理脆弱性又可分為技術管理脆弱性和組織管理脆弱性兩方面。
(2)脆弱性賦值方法
根據脆弱性對資產的暴露程度(指被威脅利用后資產的損失程度),采用等級方式可對已經分類并識別的脆弱性進行賦值。如果脆弱性被威脅利用將對資產造成完全損害,則為最高等級,共分五級:“很高、高、中等、低、很低”,相應的值為:“5、4、3、2、1”。
脆弱性值(已有控制措施仍存在的脆弱性)也可稱為暴露等級,將暴露等級“5、4、3、2、1”可轉化為對應的暴露系數:100%、80%、60%、40%、20%,再將“脆弱性”與“資產重要度等級”聯系,計算出如果脆弱性被威脅利用后發生安全事故的影響等級。
影響等級=暴露系數×資產等級重要度
4 已有控制措施識別方法
(1)識別方法
在識別脆弱性的同時應對已經采取的安全措施進行確認,然后確定安全事件發生的容易度。容易度描述的是在采取安全控制措施后威脅利用脆弱性仍可能發生安全事故的容易情況,也就是威脅的五個等級:“很高、高、中等、低、很低”,相應的取值為:“5、4、3、2、1”,“5”為最容易發生安全事故。
同時安全事件發生的可能性與已有控制措施有關,評估人員可以根據對系統的調查分析直接給在用控制措施的有效性進行賦值,賦值等級可分為0-5級,
“0”為控制措施基本有效,“5”為控制措施基本無效。
(2)安全事件可能性賦值
安全事件發生的可能性可用以下公式計算:
發生可能性=發生容易度(即威脅賦值)+控制措施
5 風險計算方法
風險計算方法有很多種,但其必須與資產安全等級、面臨威脅值、脆弱性值、暴露等級值、容易度值、已有控制措施值等有關,計算出風險評估原理圖中的影響等級和發生可能性值。目前一般而言風險計算公式如下:
風險=影響等級×發生可能性
綜上所述,可將信息資產、面臨威脅、可利用脆弱性、暴露、容易度、控制措施、影響、可能性、風險值構成表2,最終計算出風險值。下表以某數字檔案館為例,其主要分為館內檔案管理系統和電子文件中心,評估資產以子系統作為分類和賦值為起點,并只以部分威脅、脆弱性列出并計算風險。
上表中暴露等級值體現了脆弱性,容易度體現了威脅,以表2第一行為例計算檔案管理系統數據泄密的風險值,過程如下:
影響等級=暴露系數×資產等級重要度=(3/5)*5=3
可能性=容易度(威脅值)+控制措施值=3+3=6
風險=影響等級×可能性=3×6=18
第7篇:風險識別及評估范文
關鍵要:海洋石油工程;作業危險評估法;安全;風險管理
本文主要從風險管理為切入點,結合海洋工程企業中的項目為依托,對項目在施工過程中的風險進行分析并提出風險規避方法從而有效的避免風險的發生。
一、海洋工程項目風險的識別
(一)工程項目風險的定義及特點
海洋工程項目風險則是指在項目的策劃、設計、建造、安裝、調試以及后期投入使用各個階段可能面對的損失。項目的風險在任何項目的任何過程中都會存在。如果不能有效的對項目的風險進行控制,可能會造成項目在實施的過程中出現失控現象,從而導致延長工期、增加成本、甚至項目失敗影響企業聲譽。任何海洋工程項目都有一次性、獨特性和創新性的特點,項目風險也具有隨機性、相對可預測性、漸進性、階段性、突發性等特點。
(二)工程項目風險的分類
根據海洋石油項目的整體特點,基本可以分為可控風險和不可控風險兩大類。可控風險指的是以人的主觀能力可以控制住的風險,這些風險都可以有效的避免或者可以提前采取一定的措施進行預防,比如施工風險、安全風險、技術風險等等;不可控風險指的是客觀存在的,不以人的意志為轉移的風險,一般不能有效的規避或者采取預防的措施,例如政治風險、經濟風險、自然災害等等。
(三)海洋工程項目風險的識別
海洋工程的項目與傳統的土建項目有著明顯的區別,海洋工程的項目交叉作業多、涉及專業多、作業環境復雜、參與人員及設備較多等特點,那么在項目的運行過程中,如何對風險進行有效的控制,首先要對項目的風險進行識別,分析出屬于哪類風險,這就要求首先做好風險的識別。以海上組塊的安裝為例,根據海上安裝的施工方案,將該組塊的海上安裝過程分為“作業船就位、拋錨”、“組塊掛扣”、“固定切割”、“組塊起吊”、“組塊就位”及“組塊固定”這幾個過程,通過對每個過程中參與作業的設備、人員及外部環境的研究,識別出了每個過程中的安全風險因素。如作業船就位、拋錨過程,參與的機具船舶有:發電機、絞車、錨機、通訊設備、兩條輔助船舶及相關設施。參與人員有:作業船及輔助船船員、定位人員、指揮員。因此這個過程中可能的風險有:發電機及絞車故障、通訊設備故障、人員誤操作、未按方案布錨、走錨等風險。同理可以得到其他幾個作業過程的風險因素。因此有效的識別風險,是為了風險評估、風險應對和風險監控提供強有力的基礎。
二、海洋工程項目風險的評估
在項目風險識別之后馬上要對項目的風險進行評估,對項目所有的不確定的風險因素進行全面的分析識別后進行綜合評價,區分出可控風險和不可控風險。如果有必要需要建立風險模型,通過專家分析進行風險評估并制定有效的方法進行應對。
(一)項目風險的評估的方法
項目的評估方法有很多種,例如作業危險評估法、期望值法、事故樹分析法、敏感性分析法、模糊數學法等,而海洋工程項目中一般采用的評估方法是作業危險評估法(LEC法)。
(二)海洋項目風險評估
以海上平臺安裝為例,在海上平臺的安裝過程中,相關人員識別出在施工的過程中存在某種突發安全風險后,應該立即組織專家組對該風險進行評估,通過對“事故的不可預測性”、“措施的無效狀態”、“人員暴露在危險環境下的頻度”、“事故可能損失后果”的等等各個方面進行有效的評估,得到了風險因素的危險程度值及危險等級,為下一步風險的應對提供基礎。
三、海洋工程項目風險的應對
(一)海洋工程項目風險的應對的方法
在風險評估完成后,為了保證項目的順利進行,就需要專家組提出應對風險的措施和方法,應對風險的方式多種多樣,但籠統的歸納后有以下兩種:1、控制方法,及發現風險后提出有效的手段進行控制從而降低風險,主要以風險回避、風險遏制和風險轉移等手段。一般情況下對于海洋工程中的可控風險,一般都會采用這種手段進行控制。2、利用財務手段。在海洋工程領域,大多數情況下業主都會要求分包商進行購買海事保險的方式進行風險分攤,尤其是在重大設備設施的運輸、吊裝等作業行為前,都需購買保險釆用財務的手段將項目風險進行轉嫁。
(二)海洋工程項目風險的應對的原則
1、風險應對有針對性原則。在項目進行中,所采取的每一項措施都必須有針對性,否則勢必會浪費企業資源。2、風險應對可操作原則。在發現風險后在經過專家組的論證后制定的每一項應對措施中都必須可操作性,不應僅僅停留在紙面上,否則對防范風險沒有任何意義。3、風險應對最大執行力原則。在經過專家組的論證后制定的每一項應對措施后,應引起項目經理的足夠重視,從項目高層著手保證這些控制措施發揮其應有的效用。4、風險應對全面原則。一般海洋工程項目的風險具有多樣性,復雜化等特點,必須全面的指定有效的措施,需要采取多樣的方法從不同角度對其予以全面控制。5、風險應對措施與經濟成本相協調原則。在選擇風險控制措施時,在相同效果的前提下采取成本較低方案。6、風險應對能力導向原則。控制安全風險時,主要以預防為主,在能力范圍內可消除的必須進行處理,無法消除的最大化的削弱風險。
四、海洋工程項目風險的監控
(一)項目風險監控的概念
項目風險的監控是在對項目風險管理指定相關措施后對風險管理過程中的監視和控制。
(二)項目風險監控的目標
在項目風險監控措施的實施的過程中,都應該達到一些目標,這些目標包括:及早識別是否還有新的風險,避免已經發現的風險發生、減少風險發生后帶來的損失、總結經驗教訓在本文中項目風險監控雖然處于項目風險管理的最末端,但是風險監控是貫穿于項目整個過程中的,因此建立一套可行的項目風險監控系統是必不可少的措施,也是風險監控的關鍵所在。
結語
本文在綜合考慮海洋石油工程項目特點及各類分析方法適應性的基礎上,對組塊的海上吊裝安裝過程進行風險管理研究,依此建立了風險源及風險識別、評估表,并基于盡早的識別風險,盡可能避免項目進行中事故的發生以及降低項目風險發生以后所產生的不利后果的目的,建立了兼具科學性和可操作性的項目安全風險監控系統。海洋工程項目的安全風險管理與對組塊海上安裝過程的安全風險管理類似,需要對全過程的作業信息進行收集并處理,識別出項目進行過程中的安全風險,并針對性的進行應對,然后評估每個風險因素的危險性及風險等級。若應對后的風險等級仍然較高,那就需要采取整改措施進行整改,若風險等級較低,則代表風險受到控制,可以繼續作業。對風險識別、風險評估及風險應對的全過程實施風險監控,確保識別出所有的安全,且風險的應對措施能夠被有效的實施,或對應對措施效果不好的風險進行整改。從而保證項目內每個風險因素都能受到有效控制。
參考文獻
[1]劉洪浩.淺議項目風險管理理論[J].撫順市中醫院學理論.2011.
[2]彭俊好,徐國愛,楊義先,湯永利.基于效用的安全風險度量模型[J].北京郵電大學學報.2006.
[3]張俊.淺析項目風險管理與項目管理[J].黑龍江科技信息.2007.
[4]葛治江.國際石油工程EPC總承包項目安全風險因素分析[J].石油化工建設.2009.
[5]章萍,盛君錄,王力強.關于LEC風險評價法局限性的探討[C].第六屆寧夏青年科學家論壇.2010.
第8篇:風險識別及評估范文
風險評估是保險風險管理的重要職能,也是保險公司在經營過程中極易被忽略的領域之一。近年來,重大自然災害及意外事故頻發,單一事故造成的損失巨大,雖然事故發生后保險公司根據保單約定進行了積極的賠付,但事前的風險管理與評估工作仍未能引起足夠的重視。筆者在與各保險公司人員進行交流過程中了解到,從認識上各保險公司都能夠意識到風險評估工作的重要性,但在具體開展工作的過程中,除了風控經費不足之外,更重要的是對風險管理的思路、流程以及方法認識不清,尤其是面對各種風險時,把握不住重點,存在畏難情緒,所開展的風控工作也僅限于現場識別風險,缺乏統一的風險評估思路,所取得的成效不大。通過對保險承保風險特征的分析,保險風險存在大量風險與同質風險的特征。因此,在風險管理過程中引入標準化的思路,將保險的風險評估過程標準化,按照標準化的要求對風險進行識別、分析和評價,對于有效提升我國保險公司的風險管理水平,降低風險事故的發生的概率具有積極的借鑒意義。
二、保險風險及標準化的概念特征
(一)保險風險的特征
保險是分散風險、消化損失的一種經濟補償制度。從風險管理的角度看,保險是風險管理的一種方法,或風險轉移的一種機制。通過保險,將眾多的單位和個人結合起來,變個體對付風險為大家共同對付風險,從而提高風險損失的承受能力。保險的經濟補償制度,既是風險的集合過程,又是風險的分散過程。保險公司通過保險將眾多投保人所面臨的分散性風險集合起來,當發生保險責任范圍內的損失時,又將少數人遭受的風險損失分攤給全體投保人,通過保險的補償或給付行為分攤損失或保證經營穩定。保險風險的集合和分散應具備兩個前提條件:一是大量風險的集合體。保險在于集合多數人的保費,補償少數人的損失。大量風險的集合,是基于風險分散的技術要求,也是概率論和大數法則原則在保險經營中得以運用的前提。二是同質風險的集合體。所謂同質風險,指風險單位在種類、品質、性能和價值等方面大體相近,如果風險不同質,那么風險損失發生的概率就不相同,風險也就無法進行統一集合與分散。此外,不同質風險損失發生的頻度、幅度也不同,若對不同質的風險進行集合與分散,極容易導致保險公司財務的不穩定。
(二)標準化的基本概念
根據標準化法條文解釋,標準化是“在經濟、技術、科學、及管理等社會實踐中,對重復性事物和概念通過制定、實施標準,達到統一,以獲得最佳秩序和社會效益的過程”。因此,凡具有多次重復使用和需要制定標準的具體產品,以及各種定額、規劃、要求、方法、概念等,都可作為標準化的對象。標準化的對象一般可分為兩類:一類是標準化的具體對象,即需要制定標準的具體事物;另一類是標準化的總體對象,即各種具體對象的總和所構成的整體,通過它可以研究各種具體對象的共同屬性、本質和普遍規律。標準化的基本原理包括統一原理、簡化原理、協調原理和最優化原理。統一原理就是為了保證事物發展所必須的秩序和效率,對事物的形成、功能或其他特性,確定適合于一定時期和一定條件的一致規范,并且這種一致規范與被取代的對象在功能上達到等效。簡化原理是為了經濟有效地滿足需要,對標準化對象的結構、型式、規格或其他性能進行篩選提煉,剔除其中多余的、低效能的、可替換的環節,精煉并確定出滿足全面需要所必要的高效能的環節,保持整體構成精簡合理,使之功能效率最高。協調原理是為了使標準的整體功能達到最佳,并產生實際效果,必須通過有效的方式協調好系統內外相關因素之間的關系,確定為建立和保持相互一致,適應或平衡關系所必須具備的條件。最優化原理是按照特定的目標,在一定的限制條件下,對標準系統的構成因素及其關系進行選擇、設計或調整,使之達到最理想的效果。標準化是實現科學管理和現代化管理的基礎,是合理發展產品品種、組織專業化生產的前提條件,是提高產品質量保證安全、衛生的技術保障,也是資源合理利用、節約能源和節約原材料的有效途徑。實施標準化的重要意義是改進產品、過程和服務的適應性,防止貿易壁壘,促進技術合作。
三、保險風險評估標準化的必要性
標準化的目的是為了在一定范圍內獲得最佳秩序和社會效益,通過制定和實施標準,使標準化對象的有序化程度達到最佳狀態。對于保險中的風險評估,不同的主體,甚至同一主體如保險公司內部的不同層級和部門,對其有著不同的理解,關注的焦點也存在差異,造成了各相關方之間的不配合,難于開展對風險管理效果的客觀評價,也就難于達到最佳秩序和最佳社會效益。通過將風險評估活動標準化,為風險管理活動提供一種共同的語言和公式,有了統一的標準,實施風險評估的各相關方就可以使用相同的風險管理過程,有了相同的決策、處理基礎,對風險評估活動持有共同的認識,有利于規范保險的風險管理活動。保險所面對的風險具有“大量、同質風險”的特征,風險評估標準化的過程,也就是針對各類大量同質風險進行科學分析研究的基礎上,結合技術進步的新成果以及實踐中累計的先進經驗,使之相互結合,加以消化、融會貫通、提煉和概括的過程。人們在生產實踐中為了規避風險或減少損失,已經積累了一定的經驗,也取得了大量的科學技術成果,這些成果和經驗如果以標準的形式來表達,對于保險公司在實施風險評估過程中提高效率具有重要意義。
四、風險評估過程的標準化分析
保險風險評估標準化體系的構建,要基于標準化的統一、簡化、協調和最優化原理,根據保險風險因素的特征,將風險識別、風險分析和風險評價過程中的共性的、重復性的可能導致風險發生的因素識別出來,使決策者及有關各方可以更深刻地理解各類承保風險,以及現有風險控制措施的充分性和有效性,為確定最合適的風險應對方法奠定基礎。根據《風險管理風險評估技術》(GB/T27921-2011),結合保險風險評估的特征,將風險識別、風險分析和風險評價環節中的標準化重點進行逐一解析,分析各環節中需要重點關注的因素和方法,實現風險評估過程的標準化。
(一)風險識別標準化
風險識別是發現、列舉和描述風險要素的過程,也是風險評估過程中的基礎環節。風險識別的目的是確定可能影響保險事故發生的事件或情況,一旦風險得以識別,保險公司應立即對現有的控制措施進行識別。風險識別的范圍包括對風險源、風險事件及其原因和潛在后果的識別,識別的方法包括:1)基于證據的方法,例如檢查表法以及對歷史數據的評審;2)系統性的團隊方法,例如專家團隊遵循系統化的過程,通過一套結構化的提示或問題來識別風險;3)歸納推理技術,例如危險與可操作性分析方法等。此外,也可利用各種支持性技術來提高風險識別的準確性和完整性,例如頭腦風暴法和德爾菲法等,但無論采用哪種技術,其關鍵是在整個風險識別的過程中要認識到人的不安全行為、物的不安全狀態以及組織管理制度的有效性。
(二)風險分析標準化
在風險分析過程中,重點應當考慮導致保險風險發生的原因和風險源、風險事件的正面和負面的后果及其發生的可能性、影響后果和可能的因素、不同風險及其風險源的相互關系以及風險的其他特性,還要考慮控制措施是否存在及其有效性。為確定風險等級,風險分析通常包括對風險的潛在后果范圍和發生可能性的估計,該后果可能源于一個時間、情景或狀況。在某些情況下,風險可能是一系列事件迭加的結果,或者由一些難以識別待定事件所誘發,在這種情況下,風險評估的重點是分析系統各組成部分的重要性和薄弱環節,檢查并確定相應的防護措施。風險分析的方法可以是定性的、半定量的、定量的或以上方法的組合。定性的風險分析可通過重要性等級來確定風險后果、可能性和風險等級,如“高”、“中”、“低”3個重要性程度。半定量法可利用數字評級量表來測度風險的后果和發生的可能性,并運用公式將二者結合起來,確定風險等級。定量分析可估計出風險后果及其發生可能性的實際數值,并產生風險等級的數值。
(三)風險評價標準化
風險評價將包括風險分析的結果與預先設定的風險準則相比較,或者在各種風險分析結果之間進行比較,確定風險的等級。風險評價利用風險分析過程中所獲得的對風險的認識,對外來的行動進行決策,包括:1)某個風險是否需要應對;2)風險的對應優先次序;3)是否應開展某項應對活動;4)應該采取哪些途徑。依據風險的可容許程度,將風險劃分為如下三個區域:不可接受區域、中間區域和廣泛可接受區域。不可接受區域內無論相關活動可帶來何種收益,風險等級都是無法承受的,必須不惜代價進行風險應對;中間區域內的風險應考慮實施應對措施的成本與收益,并權衡機遇與潛在后果;廣泛可接受區域中的風險等級微不足道,或者風險很小,無需采取任何風險應對措施。
五、結語
第9篇:風險識別及評估范文
關鍵詞:供應鏈風險;風險識別;風險評估
中圖分類號:F273.7 文獻標識碼:A
隨著經濟全球化的發展,企業面臨的競爭壓力不斷增加。為了取得競爭優勢,企業管理者一直致力于提高供應鏈效率,高效的供應鏈為企業帶來利益的同時,也增加了供應鏈的復雜性和脆弱性,潛在地增加了供應鏈的風險。供應鏈風險管理是供應鏈管理的一個重要方面,通過風險管理,充分考慮供應鏈管理過程中的各種不利因素,提高供應鏈的可靠性,避免風險發生給企業帶來損失。
1 供應鏈風險管理
1.1 供應鏈風險的定義
供應鏈風險是一個比較新的概念,它是風險在供應鏈領域應用的一個特例。關于供應鏈風險的定義,不同的專家、學者從不同角度出發對供應鏈風險進行定義。Cranfield把供應鏈風險定義為供應鏈的脆弱性,認為供應鏈風險不僅產生于供應鏈內部,而且是外部風險嚴重混亂的表現[1]。Christopher將供應鏈風險定義為從最初供應商到最終產品的傳遞過程中產生的信息、物料和產品流上的任何風險[2]。國內學者馬士華從供應鏈外在環境和內在結構的不確定性出發,認為在供應鏈企業之間的協調和合作過程中,存在著各種產生內生不確定性和外生不確定性的因素,并認為只要存在不確定性,就存在一定的風險[3]。
總結眾多學者的觀點,供應鏈風險就是指可能對供應鏈中的節點或整個供應鏈產生不利影響的各種不確定性,是一種潛在的損失,它存在于供應鏈的各個環節。
1.2 供應鏈風險管理的含義
供應鏈風險管理是指通過識別、度量供應鏈風險,并在此基礎上有效控制供應鏈風險,采用經濟合理的方法來綜合處理供應鏈風險,最大限度地降低風險,并對供應鏈風險的處理建立監控和反饋機制的一套系統而科學的管理方法。
2 供應鏈風險識別
供應鏈風險識別是供應鏈風險管理的第一步,首先把供應鏈風險識別做好,才能在此基礎上做好風險評估和風險控制。供應鏈風險識別是指供應鏈風險管理者在各類風險事件發生之前運用各種方法系統地認識所面臨的各種風險以及分析風險事件發生的潛在原因。目前來看,供應鏈風險識別常用的方法有以下幾種。
(1)德爾菲法
德爾菲法又稱專家意見法,是一種簡單、容易操作又實用的方法,該方法廣泛應用到各種預測和決策過程中。在進行風險識別時,對一些影響較大而又無法用分析的方法加以識別的風險時,德爾菲法是一種有效的風險識別方法。
(2)財務報表法
財務報表法就是根據企業的財務資料來識別和分析企業每項經營活動可能遭遇到的風險。財務報表法是企業使用最普遍,也是最為有效的風險識別與分析方法。企業的資產負債表、損益表、財務狀況變動表和各種詳細附錄就可以成為識別各種風險的工具。
(3)故障樹法
故障樹法是利用圖解的方式將大的故障分解成若干小的故障,并且對引起故障的各種原因進行分解。由于原因分解后的圖形呈樹枝狀,因而稱故障樹法。在對供應鏈風險識別時,該方法可以將風險發生的原因層層分解,排除無關因素,從而找到產生影響較大的風險及原因。
(4)風險問卷法
風險問卷法是以系統論的觀點和方法來設計問卷,并發給供應鏈各節點企業內部各類員工去填寫,讓他們回答本企業所面臨的風險和風險因素。可以為風險管理者提供更多有價值的信息,幫助風險管理者來系統地識別風險。
用于供應鏈風險識別的方法有多種,但是應該注意到每種識別方法都有其優勢和劣勢。任何一種方法都不可能完全識別出全部的風險,在選擇供應鏈風險識別的方法時,不但要考慮供應鏈的類型、規模的大小,還要考慮識別方法的特點,兩方面結合起來選擇合適的方法進行風險識別。
3 基于模糊綜合評價的供應鏈內生風險評估
3.1 供應鏈風險評估
供應鏈風險評估是指對風險發生的可能性或損失的范圍與程度進行估計與度量。風險識別只是風險管理進行的第一步,還必須對可能出現的損失結果、損失的嚴重程度予以充分的估計和衡量。在進行供應鏈風險評估時不僅要考慮風險對供應鏈節點上某個企業的影響,還要考慮風險對整條供應鏈的影響。從風險造成的損失方面來看,不僅要考慮風險發生帶來的經濟損失,還要考慮風險發生帶來的其他損失,如信任危機、客戶的流失、企業名譽下降等一些無形的損失。
一般來說,根據供應鏈風險產生的來源進行分類,可以將供應鏈風險分為內生風險和外生風險。供應鏈內生風險是指由供應鏈內部因素造成的風險,一般表現為供應鏈管理風險、信息風險、合作伙伴關系風險等。供應鏈外生風險主要指由外界的不確定性導致風險發生,一般指自然災害、社會環境、經濟環境等。
本文主要對供應鏈內生風險建立模型進行量化評估,從風險發生的頻率來說,內生風險發生的頻率遠遠高于外生風險。進行風險評估時,選擇內生風險中具有代表性的管理風險、合作風險和信息風險作為一級指標建立模型。
3.2 模糊綜合評估模型的建立
最后根據最大隸屬原則,可以評估供應鏈內部風險的級別,一般可以分為風險性高、中等和低3個級別。
3.3 算例分析
對某供應鏈進行內生風險評估,根據歷史數據及專家打分,可以得到對管理風險、合作風險和信息風險3個一級指標對供應鏈內部風險的權重,以及3種內部風險的5個二級指標權重,見表1。
為了評估該供應鏈內生風險的大小,運用模糊綜合評價模型進行計算。
(1)因素集的確定:一級指標有管理風險、合作風險和信息風險3個因素,一級指標的3個因素分別包括5個二級指標。
按照最大隸屬原則,該供應鏈內生風險高。并且內生風險的3個一級指標的風險性也可以根據最大隸屬原則得出,從數據中可以看出管理因素風險性一般,合作因素風險性高,信息因素風險性較高。如果要有效地防范該供應鏈的內生風險,重點要控制信息因素產生的風險。
4 結束語
供應鏈風險管理是供應鏈管理的重要組成部分,是確保供應鏈健康、持續、穩定發展的前提條件。供應鏈風險管理是一個復雜的過程,系統地認識供應鏈風險,深入研究供應鏈風險管理,使企業管理者對供應鏈可能發生的風險有一個明確的認識,對風險的預防以及規避都有積極的意義。
參考文獻:
[1] Cranfield School of Management. Supply chain vulnerability[R]. Cranfield University, Report on behalf of DTLR, 2002.
[2] Christopher M, Lee H. Mitigating supply chain risk through improved confidence[J]. International Journal of Physical Distribution & Logistics Management, 2004,34(5):388-396.
[3] 馬士華. 如何防范供應鏈風險[J]. 中國計算機用戶,2003(3):21.
[4] 丁偉東,劉凱,賀國先. 供應鏈風險研究[J]. 中國安全科學學報,2003(4):64-66.
