关键词:信息安全;风险评估;教学
信息安全风险评估是进行信息安全管理的重要依据,通过对信息系统进行系统的风险分析和评估,发现存在的安全问题并提出相应的措施,这对于保护和管理信息系统至关重要。目前国内外都高度重视信息安全风险评估工作。美国政府2002年颁布《联邦信息安全管理法》,对信息安全风险评估提出了具体的要求;欧盟国家也把开展信息安全风险评估作为提高信息安全保障水平的重要手段;2003年7月23日,国家信息中心组建成立“信息安全风险评估课题组”,提出了我国开展信息安全风险评估的对策和办法。2004年,国务院信息办研究制订了《信息安全风险评估指南》和《信息安全风险管理指南》两个风险评估的标准;2006年又起草了《关于开展信息安全风险评估工作的意见》[1]。这些工作都对信息安全人才的培养提出了更高的要求,同时也为《信息安全风险评估》课程的开设和讲授提供了必要的基础和条件。《信息安全风险评估》课程教学,是信息安全专业一门重要的专业课程,能全面培养学生综合运用专业知识,评估并解决信息系统安全问题的能力,是培养符合国家和社会需要的信息安全专业人才的重要课程之一。《信息安全风险评估》课程本身的理论性与实践性都很强,课程发展十分迅速,涉及的学科范围也较广,传统的教学的模式不能使该课程的特点很好地展示出来,无法适应社会经济发展对信息安全从业人员的新要求,教学改革势在必行。
一、现状与存在的问题
信息安全风险评估是从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的安全威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施。它涉及信息系统的社会行为、管理行为、物理行为、逻辑行为等的保密性、完整性和可用性检测。风险评估的结果可以作为信息安全风险管理的指南,用来确定合适的管理方针和选择相应的控制措施来保护信息资产,全面提高信息安全保障能力[2]。自2001年信息安全专业建立以来,高校在制订本科专业教学培养目标和教学计划时,侧重于具体安全理论和技术的教学和讲授,特别是重点强调了密码学、防火墙、入侵检测、网络安全等安全理论与技术的传授。从目前高校的教学内容看,多数侧重于对“信息风险管理”、“风险识别”、“风险评估”和“风险控制”等基本内容的介绍上,而且教学课时数也较少,只有十个学时。当前从《信息安全风险评估》课程的教学情况来看,该课程在信息安全教育教学过程中地位有待提高,实践教学的建设与研究迫切需要深化。
当前该课程的教学实践中普遍存在以下几个方面的问题,严重制约了《信息安全风险评估》课程教学质量的提高:
1、本科教学大都以理论内容为主体,实验和课程设计的学时安排较少。一般高校的《信息安全风险评估》课程主要以理论内容的讲授为主,实验和课程设计的学时较少,实验内容也大多属于验证性质,缺少具有研究和探索性质的信息安全风险评估实践内容和课程设计;
2、教学方法单一,缺乏激励学生求知欲的教学方法和手段。当前开设《信息安全风险评估》课程的高校还较少,师资力量相对薄弱,教学经验也比较缺乏,仍以主要由教师讲述的传统教学方式为主,学生进行具体实践和操作的课时较少,缺乏创新性的教学和研究,基本没有具有探索性和创新性特点的教学内容,不利于发挥学生主观能动性,提高其创新能力;
3、实验环境无法满足教学需求,缺乏专业的信息安全风险评估师资。我国信息安全风险评估的研究和教学工作起步晚,缺乏相关的实验设备;而且受到资金和专业发展等多方面因素的制约,难以设立专门的信息安全风险评估实验室。此外,信息安全风险评估是以计算机技术为核心,涉及管理科学、安全技术、通信和信息工程等多个学科,对于理论和实践要求都很高。这就要求教师既要学习好各学科的基本知识,又要加强实践训练。
二、教学改革与探索
高校计算机相关专业开设《信息安全风险评估》课程,不是培养网络信息安全方面的全才或战略人才,而是培养在实际生活和工作中确实能解决某些具体安全问题的实用型人才。针对《信息安全风险评估》课程的特点和教学中存在的不足,我们从以下几个方面对该课程的教学改革进行了探索:
1、重新确立课程培养目标。①重点培养学生分析和评估信息安全问题的能力:《信息安全风险评估》课程是一门理论性和实践性紧密结合的课程,目前开设该课程的高校较少,各学校的教学内容也多种多样。该课程的教学目标即要培养学生发现信息系统存在的安全风险,同时也需要培养他们科学地提出解决安全隐患的方案及能力。如何提高学生分析和评估信息安全问题的能力是该课程教学的首要目标。②培养学生实际操作的能力:信息安全风险评估的关键是对信息系统的资产进行分类,对其风险的识别、估计和评价做出全面的、综合的分析。这就要求学生熟练地掌握目标对象的检测和评估方法,包括使用各种自动化和半自动化的工具,可在模拟实验里,通过不断地训练实现。③培养学生继续学习、勇于探索创新的能力:随着信息化的不断发展,信息系统所面临的安全威胁急剧增加,为此各国政府都不断提出和完善了各类信息安全测评标准。这就要求我们在教学中不断地学习、理解和解释最新的国际、国内以及相关的行业标准,培养和提高学生继续学习的能力。另外,《信息安全风险评估》课程也要求通过课堂教学、课后练习、实验验证和考试、考查等教学环节培养学生独力分析信息系统安全的能力,培养学生对信息安全风险评估领域进行探索和研究的兴趣,最终使学生掌握信息安全风险评估的知识和技能,能够解决具体信息系统的安全问题。
2、增加信息安全风险评估理论和相关标准的教学。信息安全测评标准和相关法律法规是进行信息系统安全风险评估的依据和保障。2006年由原国信办《关于开展信息安全风险评估工作的意见》(国信办2006年5号文);同时,随着信息安全等级保护制度的推行,公安部会同有关部门出台了一系列政策文件,主要包括:《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》等;国家信息安全标准化委员会颁发了《信息安全风险评估规范》(GB/T 20984~2007)、《信息系统安全等级保护基本要求》(GB/T 22239-2008)等多个国家标准[3]。为了保证《信息安全风险评估》课程目标的实现,我们在教学过程中,增加了《GB/T20984-2007信息安全技术信息安全风险评估规范》、《GB/Z24364-2009信息安全风险管理指南》、《GB/T
22080-2008信息安全管理体系要求》、《GB/T22081-
2008信息安全管理实用规则》、《GB/T20269-2006信息系统安全管理要求》、《GB/T25063-2010?摇信息安全技术服务器安全测评要求》、《GB/T 20010-2005信息安全技术包过滤防火墙评估准则》、《GB/T20011-2005信息安全技术路由器安全评估准则》、《GA/T 672-2006信息安全技术终端计算机系统安全等级评估准则》、《GA/T 712-2007信息安全技术应用软件系统安全等级保护通用测试指南》等相关评估标准和指南的学习,并编制相关的调查、检查、测试表,重点强调对脆弱性检测的理论依据的描述,检测方法及其步骤的详细记录。
3、利用各种测评工具,提高学生实践能力。在信息安全风险评估过程中,资产赋值、威胁量化分析、安全模型的建立等环节的教学和实践对教师和学生都提出了较高的专业课程要求。我们在《信息安全风险评估》课程实践中通过使用风险评估工具,并对具体的信息系统进行自动化或半自动化的分析,加深了学生信息安全风险评估的理论知识理解,同时注重培养学生动手实践能力和探索新知识的能力。我们增加了主动型风险评估工具Tenable扫描门户网站系统的实践性教学内容。通过评估,该系统的服务器存在感染病毒的症状,其原因是服务器存在特定漏洞。为此我们使用漏洞扫描器对该服务器进行扫描,发现了“远程代码被执行”漏洞,而且该漏洞能被蠕虫病毒利用,形成针对系统的攻击。通过案例特征提供了的信息,培养学生使用测评工具对具体信息系统进行安全风险评估的能力,并进一步使其认识到主动型评估工具是信息安全风险评估中快速了解目标系统安全状况不可或缺的重要手段。
笔者结合自己的教学实践体会,论述了当前《信息安全风险评估》课程中存在的问题以及解决对策。《信息安全风险评估》课程教学改革和建设是一个长期的、系统化的工程,需要不断地根据信息系统在新环境下面临的各种威胁,制定新的评估标准和评估方案,并使得学生在有限的时间和环境下掌握相应的知识和技能,以满足社会对信息安全人才的需求。
参考文献:
[1]付沙、加强信息安全风险评估工作的研究[J]、微型电脑应用,2010,26(8):6-8、
[2]杨春晖,张昊,王勇、信息安全风险评估及辅助工具应用[J]、信息安全与通信保密,2007,(12):75-77、
[3]潘平,杨平,罗东梅,何朝霞、信息系统安全风险检查评估实践教学探讨[C]// Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security(NTS-CIS 2011),2011,(8)、
关键词:气候可行性论证;气象灾害风险评估
中图分类号:X4 文献标识码:A 文章编号:1001-828X(2014)08-000-02
一、现行关于气候可行性论证的规定
1、《中华人民共和国气象法》
《气象法》第三十四条规定了气候可行性论证的范围包括:(1)城乡规划;(2)国家重点建设工程;(3)重大区域性经济开发项目;(四)大型太阳能、风能等气候资源开发利用项目。《中华人民共和国气象法释义》还对气候可行性论证的内容作了笼统的规定:(1)规划和建设项目气候适宜可行性;(2)建设项目影响气候变化可行性;(3)太阳能、风能开发利用可行性。
2、《气象灾害防御条例》
《气象灾害防御条例》第二十七条规定的气候可行性论证的范围和内容和《气象法》一致,这里不再赘述。
3、《气候可行性论证管理办法》(中国气象局第18号令)
《气候可行性论证管理办法》第四条规定的气候可行性论证的范围,相比《气象法》,增加了“重点领域或者区域发展建设规划、区域农(牧)业结构貂整建设项目。”第二条规定的气候可行性论证的内容,相比《气象法》,增加了“气候风险影响规划和建设项目可行性”。
二、现行关于气候可行性论证的规定
1、《气象灾害防御条例》
《气象灾害防御条例》第十条规定和第二十七条规定了气象灾害风险评估的范围为:(一)行政区域;(二)国家重点建设工程;(三)重大区域性经济开发项目;(四)大型太阳能、风能等气候资源开发利用项目;(五)城市规划。但是,《条例》没有对气象风险评估内容做具体规定。
2、《吉林省气象灾害防御条例》
《吉林省气象灾害防御条例》第九条仅仅规定了气象灾害风险的范围为行政区域。同时,还规定了气象灾害风险评估的内容为行政区域遭受气象灾害影响风险性。
3、《山东省气象灾害评估管理办法》
《山东省气象灾害评估管理办法》第六条、第十二条、第十六条规定了气象灾害风险评估的分为,相比《气象灾害防御条例》,增加了区域发展建设规划和重点领域规划、大型农业开发项目;受气候及气象灾害影响可能产生严重后果的大、中型工程建设项目;涉及公共安全的易燃易爆场所等受气象灾害影响可能引发次生灾害的特定项目。《办法》第十三条规定了规划气象灾害风险评估的内容为“规划遭受气象灾害影响风险性”。
4、《江苏省气象灾害评估管理办法》
《江苏省气象灾害评估管理办法》第十五条规定了气象灾害风险评估的内容包括:相比《气象灾害防御条例》增加了农业开发、生命线工程等受气候及气象灾害影响可能产生严重后果的重大建设工程项目;爆炸和火灾危险环境、人员密集场所等受气象灾害影响可能引发次生灾害的特定项目。《办法》第十八条规定了气象灾害风险评估的内容为:“规划和建设项目遭受气象灾害影响风险性、规划和建设项目引发气象灾害风险性。”
三、关于气候可行性论证和气象灾害风险评估关系的若干说法
1、说法一:“气候可行性论证包含气象灾害风险评估”
持该说法的观点为,气候可行性论证包含气象灾害风险评估。该观点的主要根据《气候可行性论证管理办法》(中国气象局第18号令)以及地方标准《贵州重大建设项目气候可行性论证技术规范》、《山东重大建设项目气候可行性论证技术规范》有关气候可行性论证的内容的规定。他们认为气候可行性包括:“(一)规划和建设项目气候适宜可行性;(二)建设项目影响气候变化可行性;(三)太阳能、风能开发利用可行性;(四)气象灾害风险评估。”,气象灾害风险评估只是气候可行性论证的一部分。
2、说法二:“气候可行性论证等于气象灾害风险评估”
持该说法的观点为,气候可行性论证和气象灾害风险评估是同一内容的不同称谓。随着各级政府逐渐重视气象灾害工作,气候可行性论证逐渐演变为气象灾害风险评估。该观点主要依据《气象灾害防御条例》以及《吉林省气象灾害防御条例》、《江苏省气象灾害防御条例》等关于“气候可行性和气象灾害风险性统筹考虑”的规定。他们认为,对气候可行性和气象灾害风险性统筹考虑,且其范围一样,就意味着两者为同一内容。
3、说法三:“气候可行性论证与气象灾害风险评估是交叉关系”
持该说法的观点为,气候可行性论证与气象灾害风险评估是两个不同的领域,只是由于两者的范围有所交叉造成的包含或者等同的误解。该观点的主要依据是,在《气象法》已经规定气候可行性论证的基础上,《气象灾害防御条例》依然规定气象灾害风险评估制度,可见,这是一个完全不同的领域。另外,山东省和江苏省分别出台了《山东省气象灾害评估管理办法》和《江苏省气象灾害评估管理办法》对气象灾害风险评估进行管理,因此,气候可行性论证与气象灾害风险评估是不同的,只是范围有所交叉。
四、本文观点:气候可行性论证与气象灾害风险评估是两个不同的领域
本文同意原则上同意第三种说法,气候可行性论证与气象灾害风险评估是两个不同的领域。现将理由陈述如下:
1、两者的范围不同
根据《气象法》、《气象灾害防御条例》以及其他地方性法规、政府规章的规定,气候可行性论证的范围仅限于(一)城乡规划;(二)国家重点建设工程;(三)重大区域性经济开发项目;(四)大型太阳能、风能等气候资源开发利用项目。而气象灾害风险评估的除包括上述范围外,还包括区域发展建设规划和重点领域规划、大型农业开发项目、易燃易爆场所、人员密集场所等。可见,两者的范围不同,且气象灾害风险评估的范围大于气候可行性论证范围。因此,两者不是包含或者等同关系。
2、两者的内容不同
根据《气象法》、《气象灾害防御条例》以及其他地方性法规、政府规章的规定,气候可行性论证的内容为:(一)规划和建设项目气候适宜可行性;(二)建设项目影响气候变化可行性;(三)太阳能、风能开发利用可行性。而气象灾害风险评估的内容为:“规划和建设项目遭受气象灾害影响风险性、规划和建设项目引发气象灾害风险性。”可见,气候可行性论证倾向气候适宜性、气候变化和气候资源开发利用,而气象灾害风险评估倾向气象灾害和规划、建设项目之间相互影响。因此,两者也不是包含或者等同关系。
综上所述,气候可行性论证和气象灾害风险评估在范围和内容均存在不同,两者属于不同的范畴。实际上,气候可行性论证属于气候资源管理范畴,主要针对的是气候适宜性、气候变化、气候资源开发和利用,范围为和气候密切相关的规划和建设项目。而气象灾害风险评估属于气象灾害防御范畴,主要针对的是气象灾害防御,范围是气象灾害高风险区域、易燃易爆、人员密集场所等容易造成生命和财产损失的建设项目。
五、相关建议
针对气候可行性论证和气象灾害风险评估两者间的关系容易混淆的现状,提出以下建议,供气象灾害防御立法时参考。
1、删除气候可行性论证方面的内容
为避免同《气象法》的气候可行性论证制度相混淆,应当明确气候可行性论证主要针对的是气候适宜性、气候变化、气候资源开发和利用,范围为和气候密切相关的规划和建设项目。而气象灾害风险评估主要针对的是气象灾害防御,范围是气象灾害高风险区域、易燃易爆、人员密集场所等容易造成生命和财产损失的建设项目。因此,气象灾害防御立法应尽量不出现气候可行性论证的内容。
2、划清气象灾害风险评估内容
根据气象灾害风险评估是否为气象部门公共服务职能,将《气象灾害防御条例》中规定的气象灾害风险评估划分为气象灾害评估(气象灾害事后评估)和气象灾害风险评估(气象灾害事前评估)。气象灾害评估(气象灾害事后评估)工作范围为特定行政区域,目的为划定气象灾害风险区域,为气象部门公共服务职能。气象灾害风险评估(气象灾害事前评估),范围为建设项目,目的是避免气象灾害和建设项目之间相互影响,由气象灾害风险评估单位实施。
关键词 雷击安全 风险评估 快捷方法 操作实践
中图分类号:P429 文献标识码:A
雷电灾害是“联合国国际减灾十年”公布最严重十种自然灾害之一,我国每年因雷电灾害造成的经济损失高达50―100亿人民币,并有逐年递增的趋势,防雷减灾工作越来越受到各级政府和全社会的高度关注。雷击风险评估就是为安全、合理、经济的选择雷电防护措施提供依据,是科学防雷和全面防雷的重要工作,目前我国已有了一套雷击风险评估体系,我所正是在多年从事雷击风险评估工作经验的基础上,按照安全可靠、技术先进、经济合理的原则总结出此方法。
1风险评估概述
风险评估就是对构成风险的各个要素和潜在损失的水平赋予数值或货币金额,当量度风险的所有要素(资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等)都被赋值,风险评估的整个过程都可以被量化了。简单地说,定量分析就是试图从数字上对安全风险进行分析评估的一种方法。
2雷击风险评估的理论基础
2、1雷击风险评估的基准法(IT Baseline)
适用范围:使用广泛的基准法(IT Baseline)。对保密性、完整性及可用性为一般要求。在基础设施、组织、人员、技术及权宜安排方面可采取标准安全措施。包括建筑物的深度鉴定和估价,对这些建筑物的威胁评估和设施脆弱性评估。结果用于评估风险及选择合理的安全设施。
2、2非正式的雷击风险评估方法(FRAP,OCTAVE-S)
详细雷击风险评估分析的简化方法。评估前期的预备工作,协议讨论,风险分析报告撰写,总结结论。建立基于评估的技术档案,识别技术设施脆弱性;开发安全策略和计划。
3雷击风险评估的操作和优点
3、1操作
(1)工具:雷击风险评估操作中必须的设备和设施;(2)雷击风险趋势调查分析;(3)题库:雷击风险评估中必须运用的计算公式输入;(4)涉及内容:包括项目、设施的系统设计、环境、气候条件等;(5)雷击风险概况:包括国际、国内的评估方法、标准等;(6)项目所涉及的基础设施安全;(7)应用程序安全:包括商业运作的保密措施等;(8)操作安全:包括项目进行中的雷击保护措施等;(9)人员安全:主要涉及项目在进行中和竣工的雷击防护措施。
3、2优点
本雷击风险评估的操作优点主要是具有:标准化;权威性。
4雷击风险评估实践(典型事例)
4、1操作
(1)已知项目的雷击安全调查,对现场进行取证;(2)雷击风险威胁的监控;(3)潜在的雷击风险分析。
4、2从目标看评估量度
(1)确定最基本的防雷安全基线,确保当前不存在高雷击风险;(2)为建立动态雷击安全防护和纵深防御提出思路;(3)为配置防雷安全管理和人员管理提出思路;(4)指导未来五至十年内的防雷安全发展。
5信息系统风险评估
5、1确认阶段
(1)召开项目启动会、甲方介绍信息系统业务要求;(2)雷击风险评估方法确认、评估详细的实施计划;(3)签订雷击风险评估协议;(4)绘制文档。
5、2雷击风险评估现场操作
(1)雷击风险趋势调查、投资额、业务流程;(2)事件调查访谈、监控;(3)甲方的业务要求取证;(4)现场测试数据。
5、3报告阶段
(1)雷击安全风险现状报告整理汇总;(2)雷击安全风险分析;(3)信息系统技术风险综合分析、业务风险关联分析;(4)雷击安全风险解决方案、阶段总结;(5)正式提交雷击安全风险评估报告。
雷击风险评估是个综合、复杂的工程,它以大量繁杂的数据资料为基础,既包括项目原始数据,也包括相当数量现场检测、勘察、核实的数据来编制雷击安全风险解决方案,因此,对于其中的结论、观点,欢迎各方面专家指正,并进行研究、讨论。
在此应当声明的是,考虑到经济与技术结合的最大效益,国际标准和国内标准规定了防雷项目允许落闪频率和可接受的最大危险度,以上雷击安全风险评估操作方案和典型实例就是为了避免或减少雷击所造成的损失,评估中超出规范规定值的雷击损坏是可能存在的。
参考文献
[1] IEC61024-1、建筑物防雷[S]、
[2] IEC61662、雷击损害风险的评估[S]、
关键词:电力企业,风险管理,定量风险评估
0、引言
电力作为高风险产业,不仅源于其公用事业属性,以及技术资金密集、供求瞬时平衡、生产运行连续等特征,同时电力项目投资额巨大、建设周期长、沉没成本高,而且,随着电力体制改革和电力市场建设进程的深入,市场主体越来越多,电力交易关系复杂,不同主体之间协调困难,电力行业规划建设、生产经营的不确定性加大、电力市场风险增加。根据“十一五”期间电力体制改革的任务,面对我国电力市场化发展的现状,增强风险意识,树立风险观念,加强风险管理将是电力企业的重要任务。本文在阐述了企业风险管理基本框架流程及其主要内容的基础上,提出电力企业定量风险评估的主要内容及方法,以期推动电力系统风险管理工作的开展。
1、风险管理的主要内容
风险作为客观存在,要求人们考察研究风险时,要从决策角度认识到风险与人们有目的活动、行动方案选择及事物的未来变化有关。风险的形成过程和风险的客观性、损失性、不确定性特征共同构成风险形成机制分析和风险管理的基础。
人们一般对风险持厌恶态度,都想减小风险损失,追求风险与收益的均衡优化。风险管理的提出与发展与企业发展状况、社会背景密不可分。风险管理作为一门管理学科,首先在美国应运而生,之后传到西欧、亚洲、拉丁美洲。美国大多数企业都设置专职部门进行风险管理,许多大学的工商管理学院都开设风险管理课程。风险管理作为一门科学与艺术,既需要定性分析,又需要定量估计;既要求理性,又要求人性;不但需要多学科理论指导,还需要多种方法支持。
源于风险意识的风险管理主要包括风险分析、风险评价与风险控制三大部份。根据风险形成的过程,风险分析需要进行风险辨识、风险估计。风险估计需要进行频率分析与后果分析,而后果分析又包括情景分析与损失分析。通过风险分析,可得到特定系统所有风险的风险估计,对此再参照相应的风险标准及可接受性,判断系统的风险是否可接受,是否采取安全措施,这就是风险评价。风险分析与风险评价总称为风险评估。为进行风险定量化估算,要进行定量风险评估(quantitative risk assessment—qra)。在风险评估的基础上,针对风险状况采取相应的措施与对策方案,以控制、抑制、降低风险,即风险控制。风险管理不仅要定性分析风险因素、风险事故及损失状况,而且要尽可能基于风险标准及可接受性对风险进行定量评价。对于以盈利为目的的工业企业也希望将风险损失价值化并给出货币衡量标准。风险管理就是风险分析、风险评价、风险控制三者密切相联的动态过程,见图1。
2、风险管理的组织实施与基本流程
为有效实施风险管理,企业应由专门的组织及相关人员按一定程序组织实施风险管理工作。据《幸福》杂志对美国500多家大公司的调查知,84%的公司由中层以上的经理人员负责风险管理。风险管理的趋势是董事会下属设立风险管理委员会全面负责公司风险管理,组织实施的流程是:①制定风险管理规划;②风险辩识;③风险评估;④风险管理策略方案选择;⑤风险管理策略实施;⑥风险管理策略实施评价。
3、电力企业定量风险评估(qra)
电力企业qra的建立与发展从内部来看,不仅已有可靠性分析、安全分析、质量管理、项目管理等各专业分析作基础,从外部而言有电力用户、政府与社会公众、咨询机构等众多相关主体的关注。电力企业qra对企业的作用主要体现在:通过qra有利于企业将风险水平控制在规定标准的风险水平之内,并符合最低合理可行原则;通过开展qra可帮助企业全面识别风险,并按轻重缓急排序,以有助于管理者将精力、财力、物力集中于风险控制的重要紧急领域,使风险管理决策更为合理、效果更好、成本最小;通过对各种风险控制方案或安全改进措施进行qra,使决策者对方案措施进行优劣选择,为公司提出决策支持。电力企业的风险将对其它企业和主体带来连带影响,并产生放大效应,电力系统安全、可靠、高效、优质是各行各业和政府管理部门共同的愿望。电力企业实施qra具有现实意义。
3、1 电力企业qha的基本框架模式
电力企业qra是指在工业系统qra的基础上,考虑电力系统的技术经济特点及运行规律,结合电力体制改革及电力市场化进程而以概率模型表征的全面风险管理理论方法。为便于实施风险管理,保证风险评估质量,满足风险评估过程各阶段的不同要求,构建如图3所示的适用于电力企业qra的基本框架模式。在具体实施时,允许依实际情况而有所改变。
3、2 电力企业qra的主要工作内容
(1)确定目标及范围。包括风险管理的目的与意义,待分析系统的设备配置、工作流程、资金、人员、管理、信息、地区、人文环境等,即确定qra实现目标和实施条件等。
(2)风险辨识。即找出待评价系统中所有潜在的风险因素,并进行初步分析,通过安全检查看系统是否达到规范要求。风险辩识的基本途径有历史事故统计分析、安全检查表分析、风险与可操作性研究(hzops)、故障模式与影响分析(fmea)、故障模式影响及危急分析(fmeca)、故障树分析(eta)、事故树分析(eta)、风险分析调查表、保单检视表、资产风险暴露分析表、财务报表、流程图、现场检查表、风险趋势估计表等。为配合保险公司对出险事项的处理,可采用从下至上的归纳法、从上至下的演绎法及两者综合运用。针对特定风险,可选用基于系统平面布置的区域分析、隐含事件分析、德尔菲法及基于事故树分析的风险事故网络法等。风险辩识不只局限于系统硬件,还应考虑人为因素、组织制度等系统软件。
风险综合集成是指对所有风险按其特性类型分门别类加以汇总因电力工业特点及电力市场化改革特点,把电力系统风险按厂网分开的行业结构进行分类。
对于发电企业而言,主要有电源规划风险、报价竞价上网风险、供求平衡风险、市场力抑制风险、备用容量风险、信用风险、法律风险、项目风险、中介机构风险等。对于电网企业而言,主要有电网规划风险、电网融资风险、购电电价风险、电力交易转移风险、辅助服务风险、成本分摊风险、输电阻塞风险、输电能力风险、备用率风险、电力监管风险等。另外,电力企业还将面临电力可靠性、安全性、稳定性风险及电能质量风险等。
风险综合集成后的初步风险分析是对已辩识出的风险进行初步分析评估,确定风险的等级或水平。风险水平低的可忽略不计或仅作定性评估,风险水平高的要在定性分析基础上,进行定量评估。
(3)频率分析。即确定风险可能发生的频率,其方法主要有历史数据统计分析、故障树分析与失效理论模型分析。历史数据统计分析是根据有关事故的历史数据预测今后可能发生的频率。因此要建立
风险数据库,既作为qra的基础,又作为风险决策的依据。故障树分析作为一种自上而下的逻辑分析法,把可能发生的事故或系统失效(顶事件)与基本部件的失效联系起来,根据基本部件的失效概率计算出顶事件的发生概率。失效理论模型分析是在历史数据与专家经验的基础上,采用某种失效理论模型来计算风险发生频率。
(4)风险测定估计。根据风险特性及类型,运用一定的数学工具测定或估计风险大小。常用方法主要有主观估计法、客观估计法、期望值法、数学模型法、随机模拟法和马尔可夫模型法等。
(5)后果分析。即分析特定风险在某种环境作用下可能导致的各种事故后果及损失。其方法主要有情景分析与损失分析。情景分析通过事件树模型分析特定风险在环境作用下可能导致的各种事故后果。损失分析是分析特定后果对其它事物的影响及利益损失并归结为某种风险指标。
(6)风险标准及可接受性。风险标准及可接受性应遵循最低合理可行(alarp)原则。alarp原则是指任何系统都存在风险,而且风险水平越低,即风险程度越小要进一步减少风险越困难,其成本会呈指数曲线上升。也就是说,风险改进措施投资的边际效益递减,最终趋于零,甚至为负值。因此,必须在风险水平与成本间折衷考虑。如果电力企业定量风险评估所得风险水平在不可接受线之上,则该风险被拒绝,如果风险水平在可接受线之下,则该风险可接受,无需采取风险改进措施;如风险水平在不可接受线与可接受线之间,即落人alarp区(可容忍区),这时要进行风险改进措施投资成本风险分析或风险成本收益分析。转载于范文中国网 。
分析结果如果证明进一步增加风险改进投资对电力企业的风险水平减小贡献不大,则该风险是可接受的,即允许该风险存在,以节省投资成本。alarp原则的经济学解释类似投入要素的边际收益递减规律一样,风险与风险措施投入间的风险曲线也呈边际收益递减规律。
3、3 电力企业qra常用方法
根据电力企业qra的工作内容和实现要求,结合电力企业本身特点,电力企业qra常用的方法主要有:安全检查表即实施安全检查的项目明细表;故障模式与影响分析技术和故障模式影响分析与致命度分析(fmeaca)技术;风险与可操作性研究技术;事件树分析技术;基于概率影响图技术、人工智能、专家系统、可靠性工程技术期望值法、风险主观、客观估计法、模糊评估法等。
关键词:农业气象灾害;研究进展;风险评估;发展现状;参考信息
结合可靠的气象灾害风险评估理论及风险方法,可以逐渐地加快其研究进展,增强研究工作中存在问题的有效处理。现阶段农业气象灾害风险评估研究中各种不利因素的客观存在,对其研究进展带来了一定的阻碍作用,需要从不同的角度对其未来的发展做出必要地预测,全面提升我国农业气象灾害风险研究水平,为农业气象领域服务范围的扩大提供可靠地保障,更好地确定未来我国农业气象学的主要研究方向。
1 农业气象灾害风险评估研究的发展
最初的农业气象灾害风险研究起源于20世纪80年代,通过运用风险评价的措施,加强了对风险形成机制的深入分析,并结合系统的方法对各种风险要素及相关的作用进行综合地评估,间接地推动了农业气象灾害风险评估研究进展,为其实际作用的充分发挥打下了建设的基础。现阶段有关农业气象灾害形成机制的理论较多,像“区域灾害系统理论”、“致灾因子轮”等,在实际的应用中为灾害风险评估效果的增强提供了重要的理论支持,促使农业气象风险评估研究中存在的问题得到了有效地处理,间接地提升了整体的研究水平。同时,随着“三因子说”及“四因子说”实际应用范围的扩大,一定程度上为农业气象灾害学研究领域服务范围的扩大打下了坚实的基础。而国际上农业气象灾害风险评估的研究集中在20世纪80年代后期,主要是通过构建完善的风险评估方法体系,对果树等农业经济作物进行了深入地研究,形成了基于产量损失风险计算、定量评价等方法,并通过对风速、干旱风险等因素的风险,获得了可靠的气象观测数据,加快了农业气象灾害风险评估研究进展。我国在农业灾害风险评估方面的研究要点主要集中在:(1)农业生态区中相关农业经济作物风险分析模型构建;(2)基于遥感、地面信息资源的农业灾害风险评估技术体系构建。这些研究要点相关计划的有效开展,为我国农业灾害风险评估整体水平的提升提供了可靠地保障。
2 农业气象灾害风险评估研究的内容
通过对现阶段农业气象灾害风险评估研究进展的深入分析,可知其中包含着丰富的研究内容。这些研究内容主要包括以下方面:
2、1 有关各种致灾因子危险性方面的评估
致灾因子危险性主要针对的时灾变强度及活动频率,进而对灾害风险造成的影响进行综合地评估。具体的评估内容包括:灾害发生时的类型、致灾因子的强度大小、影响过程中的持续时间、等级等,评估过程中主要依赖于构建可靠的危险性评价模型及风险估算模型,增强了农业灾害风险评估的有效性。与此同时,通过信息扩散技术的有效使用,为我国农业气象站的灾害风险评估提供了重要的技术支持。
2、2 相关承载体脆弱性方面的评估
这种评估主要是指在一些较为危险的区域中承灾体面容易受到一定强度致灾因子的损害,通过对损害程度而做出的综合评估。现阶段承载体脆弱性方面的评估主要集中在:(1)设置科学的评估指标,对不同因素给农业生产造成的影响进行综合地评估;(2)对减灾能力、耦合防灾等不同的要素进行深入地分析,从而构建出相关的参考模型;(3)绘制出有效的作物脆弱性曲线,对不同的灾害类型进行必要地分析,掌握脆弱性规律的同时增强实际的评估效果。
2、3 灾害风险的综合评估
通过对农业气象形成机理的分析,在合成法的支持下对各种影响农业生产的灾害风险进行必要地评估,进而构建出可靠的风险综合评估模型,促使不同地区、不同气候条件下的风险能够在一定的时间内得到有效地排除。与此同时,通过农业灾害风险综合评估模型的合理运用,可以获得可靠的参考数据,间接地降低了相关农业生产活动开展中各种风险发生的几率。
3 农业气象灾害风险评估研究的方法
现阶段适用于农业气象灾害风险评估的主要研究方法包括:(1)基于指标的综合评估方法。这种方法使用中主要选取的是灾害风险指标,并在参考模型的支持下计算出相关的参数,对农业气象灾害风险评估起着重要的保障作用;(2)基于数据的概率评估方法。这种方法使用中需要确定资料样本数量,并通过对资料序列的有效利用,计算出灾害L险发生的几率;(3)基于情景模拟的评估方法。这种方法主要关注的是可能发生农业灾害的过程,利用风险动态评估方式处理实际的问题。
4 农业气象灾害风险评估存在的问题和展望
4、1 存在的问题
通过对当前形势下我国农业灾害风险评估发展现状的深入分析,发现其中依然存在着一定的问题,对未来农业气象灾害风险的有效预防造成了较大的影响。这些问题主要包括:(1)理论体系不完善,研究中的应用方法较为薄弱。现阶段很多的研究理论注重于农业灾害的自然属性,忽略了其社会属性,影响着研究数据的准确性;(2)缺乏必要的农业灾害风险评估标准缺乏规范性,在评估方法、风险表征等方面的缺少必要的规范标准;(3)动态化农业气象灾害风险评估技术有待加强。
4、2 研究展望
作为农业气象灾害学的重要分支学科,未来农业气象灾害风险评估需要从这些方面入手:(1)加强动态风险评估技术的合理运用,构建完善的多灾种综合风险评估体系;(2)注重农业气象灾害风险评估相关理论及方法的深度,利用量化评估及模型支持的方式,全面提升灾害风险评估水平;(3)通过对农业气象灾害风险评估指标的有效设置,扩大动态评估技术的实际应用范围,构建可靠的作物生长模型,加强对各种农业灾害风险属性要素的合理运用。同时,需要深入研究多灾种农业气象灾害综合风险评估技术,构建完善的风险评估体系。
结束语:
做好农业气象灾害风险评估研究进展的相关工作,深入理解其中的研究内容,掌握正确的研究方法,加强对评估过程中存在问题进行深入研究,将会不断地加快我国农业气象学的发展速度,扩大其实际的应用领域,满足实际农业生产活动需求的同时扩大其应用范围,促使我国的农业气象灾害风险评估研究水平能够始终保持在更高的层面上。在未来农业气象学及灾害学发展的过程中,加强信息化技术及其它专业技术手段的有效使用,将会更好地发挥农业气象灾害风险评估的实际作用,进而为我国农业生产效益的持续增加提供可靠地保障。
参考文献
[1]徐磊、农业巨灾风险评估模型研究[D]、中国农业科学院,2012,(06)、
[2]喻红银、农业气象灾害风险评估研究进展[J]、江西农业,2016,(15)、
Abstract: According to the scholars' study, this paper constructs the evaluation model based on rough set theory and grey theory to assess supply chain risk level, and verifies the feasibility by the quantitative analysis, which enterprise has strong significance to the management decision making in Enterprise、
关键词:供应链风险管理;风险评估;粗糙集;灰色系统理论
Key words: supply chain risk manegement;risk assessment;rough set;grey theory
中图分类号:C93 文献标识码:A 文章编号:1006-4311(2011)28-0020-02
0 引言
典型的供应链风险管理包括风险识别、风险评估、风险决策和管理、风险监控四个基本阶段。供应链风险评估是指利用一定的方法措施对供应链风险水平进行评价估算。目前,已有一些学者对此进行了一定的研究。哈里克斯(Hallikas)从风险事件的概率和结果的角度,半定量化地研究了供应链风险评估问题。丁伟东等提出了基于模糊评价方法的供应链可靠性评估矩阵。张彦如等在一定偏好基础上,利用模糊理论和风险评估方法建立了不确定性风险评估模型。蒋有凌、杨家其等针对各风险因素对供应链风险的影响程度和各风险因素相对于供应链风险的权重,运用人工神经元网络与专家系统相结合的方法建立了基于模糊综合评判与人工神经网络法的综合评估模型。本文在以往学者的研究基础上,提出了一种基于粗糙集和灰色系统理论的各医疗风险评估方法。首先运用粗糙集理论确定风险指标的权重,再运用灰色系统理论建立模糊矩阵,评估供应链风险水平。
1 粗糙集理论基础
粗糙集(Rough Set)理论由波兰数学家Z、Pawlak在1982年提出。该理论定义了模糊性和不确定性的概念,是一种处理模糊、不确定性问题的新型数学工具。下面给出粗糙集理论中的有关定义。
1、1 信息系统 令I=(U,R,f,V)为一个信息系统,其中U为论域(非空有限集),R为属性集(非空有限集),V为评价值集。对于任意的A?哿R,有等价关系类ind(A):ind(A)={(x,y)∈U×U│?坌a∈A,f(x,a)=f(y,a)}。称ind(A)为不可分辨关系。U对A的划分表示与等价关系A相关的信息,记为U/ind(A)。
1、2 上下近似集 对于不可分辨关系ind(A),当X?哿U,集合X的上下近似集可以定义为:A(X)=∪{Y∈U/ind(A)│Y?哿X};A(X)=∪{Y∈U/ind(A)│Y∩X≠?I}。其中,集合posA=A(X)表示集合X的正域。
参考文献:
[1]周艳菊,邱莞华,王宗润、供应链风险管理研究进展的综述与分析[J]、系统工程,2006、3,24(3)、
[2]丁伟东,刘凯,贺国先、供应链风险研究[J]、中国安全科学学报,2003,13 (4):64-66、
[3]张彦如, 陈敬贤,郑泉,陈黎卿、基于偏好的供应链不确定型风险模糊评估方法研究[J]、运筹与管理,2008、2,17(1)、
[4]蒋有凌,杨家其,尹靓,杨俊、基于ANN的供应链风险综合评估模型与应用[J]、武汉理工大学学报,2008、2,32(1)、
关键词 气象灾害;评估;现状;建议
中图分类号:P429 文献标识码:A 文章编号:1671-7597(2014)10-0197-01
1 气象灾害风险评估定义与意义
1)定义。气象灾害风险评估是根据规划、建设项目所在地的气象要素空间、时间分布特征及其衍生灾害特征,结合现场实际情况,对各类气象灾害可能导致的人身财产损失、社会影响危害等进行综合风险计算分析,为规划建设项目的选址、功能布局、气象灾害防护等级与措施、应对灾害事故方案等方面提出建设性意见的一种评价方法。
2)意义。开展工程建设项目的气象灾害风险评估工作可以有效避免或减轻气象灾害造成的损失,从而有效地保障人们生命财产安全,并有效提高工程建设项目的防灾减灾能力。防御气象灾害一直是国家公共安全工作的重要课题之一,因此开展气象灾害风险评估是气象部门履行政府社会化管理和公共服务职能的重要体现。
2 吉林市开展评估的必要性
1)吉林市地处长白山向松嫩平原的过渡地带,属温带大陆性季风气候,地形复杂,山区、半山区、丘陵、平原、盆地、谷地和湖泊交错分布,气候多样,气象灾害发生频繁,气象灾害风险评估尤为重要。
2)贯彻国家地方法律法规的规定要求。《气象灾害防御条例》《吉林省气象条例》《吉林省气象灾害防御条例》及《吉林市气象灾害防御条例》从国家法律到地方性法规分别规定了建设项目应当充分全面地考虑其在气候方面的可行性和可能受到的气象灾害风险性,尽力避免、减轻气象灾害的影响。吉林市的气象灾害风险评估是贯彻国家法律法规履行部门职能的必然要求。
3 评估现状
吉林市的气象灾害风险评估工作开展于2012年,是由雷电灾害风险评估发展而来,现已形成了以雷电、暴雨、暴雪、大风、大雾、冰雹、高温、严寒等吉林市主要气象灾害对项目可能造成的风险评估。评估范围涉及有大型建设项目、爆炸火灾危险环境、普通住宅、重点工程、人员密集场所等新建、改建及扩建项目,至今已完成了百余个项目的评估。
4 评估报告内容与地位
4、1 评估报告的内容
1)规划或者建设项目概况。根据发改立项确认书、规划建设许可证等相关证件及风险评估现场勘查情况综合得出评估对象概况。
2)气象资料来源及其代表性、可靠性说明。评估使用经省气象主管机构审查通过的气象资料,吉林市城郊气象站因有较长的观测记录,在资料年代和气候环境上其均均有代表性,故选为评估中参证站。
3)吉林市气象灾害历史与现状分析及发展趋势预测。
4)规划、建设项目可能受到的雷电、暴雨、暴雪、大风、大雾、冰雹、高温、严寒等其中一种或多种极端气象灾害并存的危险程度评估,预防及减轻气象灾害影响的措施。
5)规划、建设项目选址地点的气候条件背景分析,极端气象灾害出现的概率,通过对暴雨、雪压、风压等不同重现期的计算得出安全有效、经济合理的设计方案及防灾减灾措施。
6)进行气象灾害风险评估的规划或者建设项目的评估结论及建议,提出应对气象灾害,预防或者减轻影响的意见和建议。
7)其他有关内容。关于评估报告的说明、结束语及开展气象灾害风险评估工作的法律依据等。
4、2 评估报告的地位
气象灾害风险评估结论及建议作为项目建设设计方案的重要依据,并已纳入政府行为,成为建设项目立项阶段行政审批中非行政许可审查的必备要件。
5 几点建议
1)细化评估范围。作为本地化法规,《吉林省气候可行性论证若干规定》及《吉林省气象灾害防御条例》(2013年11月1日起施行)虽都规定了与气候条件密切相关的国家重点建设工程、重大区域性经济开发项目及城市规划、气候资源开发利用项目等应当由气象主管机构组织进行气候可行性论证,但《吉林省气候可行性论证若干规定》也同时规定了气候可行性论证项目的范围,即由县级以上气象主管机构与当地发改委、住建、交通运输以及其他相关部门依法确定。目前吉林市的气象灾害风险评估针对的是所有新、改、扩建建筑物,不区分项目大小及性质,这样容易造成受气象灾害影响较小的小型建设项目对评估工作的错误认识。
2)充分利用气象数据。目前所利用气象台站多年观测记录多是进行气候分析统计及气象极值出现概率统计,应加入闪电定位数据、大气电场及卫星雷达产品的使用,充分体现出气象数据的全面性及科学性。
3)完善丰富评估方法。目前尚未出台气象灾害风险评估方面的技术规范,开展评估只针对规划或建设项目整体,缺乏项目分区评估,如一建设项目内部各个单元的自身参数及周边环境取值不尽相同,所面临的风险值是不同的,相应评估的技术结论意见也不同。
4)建立气象灾害数据库。气象相关部门应当对气象灾害的种类及强度、出现次数和造成损失等情况开展普查,建立完备的气象灾害数据库,使气象灾害风险评估工作能够准确地按照气象灾害的种类和分区进行。
5)提出针对性的评估建议。针对不同的项目,选择其面临的主要气象灾害种类进行评估,选择符合其特性的评估方法和标准,并应根据评估对象特性提出有针对性的评估建议。
6)加强相关部门交流协作。气象灾害风险评估工作是一项技术性很强的工作,涉及的知识面非常广,应加强与城市建设、规划、国土及水利等部门的学习交流,使得评估报告更具科学性。
吉林市的气象灾害风险评估工作开展较早,发展较快,目前已形成了成熟的操作流程,原始气象数据详实可靠,内容全面,评估思路清晰,计算分析精密,结论科学合理的评估报告模板。但评估工作中仍存在一些薄弱的环节,需要通过不断的发展完善来保障评估工作的健康有序开展,为吉林市防灾减灾工作,保障人民的福祉安康作出积极地贡献。
参考文献
内容摘要:宏观环境风险因素通过与企业内部风险因素的的共振影响企业的生产经营。形成这种内外共振的必要条件就是内、外两个风险因素具有相同的频率。共振的振幅巨大对企业的破坏力企业难以承受。为了避免共振现象的发生,企业要不断完善自己的风险评估方法。基于共振理论的风险评估方法弥补了现有评估方法各个环节衔接不当的缺陷,统筹考虑内外部风险因素,使风险评估工作更加准确。
关键词:风险 共振 集合
风险评估概述
(一)风险概述
风险的定义。一些学者把风险定义为损害发生的可能性。与上述意见不同,另外一些经济学家把风险定义为损失发生的不确定性,还有一种意见,把风险定义为预期与实际结果的偏离。在本文中,将风险定义为对企业的生存、发展造成损害的可能性,对其控制不当的结果是预期与实际结果的偏离。
风险的分类。风险按其来源分类,可以分为来自企业内部的风险和来自企业外部的风险,简称为内部风险和外部风险。内部与外部的划分,是以企业为界限的。
内部风险。内部风险是指来源于企业系统内部的会对企业的生存、发展造成损害的可能性,如果对内部风险控制不当,会造成企业运行结果与预期目标的偏离。
外部风险。外部风险是指来源于企业系统之外的宏观市场环境中会对企业的生存、发展造成损害的可能性,即宏观环境风险。虽然这些风险发生于企业系统之外,但仍然会对企业产生影响,如果没有及时地发现和应对这些风险,仍然会造成企业目标的偏离。
(二)风险评估
风险评估是对影响企业目标实现的现有的和潜在的风险进行识别和度量并进行评价的过程。广义的风险评估涵盖风险管理的各个要素,而狭义的风险评估仅指对风险的识别和度量。本文所指的风险评估是指狭义的风险评估,即仅包括风险识别、风险衡量和风险评价,重点关注导致风险发生的潜在风险因素、风险发生的可能性大小和风险发生后对企业的影响程度。
基于共振理论的风险评估方法的提出
(一)共振理论的启示
共振理论概述。共振理论是指两个或两个以上的物体具有相同的振动频率,一个物体振动会引起另一个物体的振动,并且在共振情况下的振幅要比单个物体自己振动的振幅要大。由此可见,共振发生的条件是频率相同。共振具有传递性,一个本来静止的物体,可以由另一个物体的振动引起自己的振动。而共振的结果很重要,它的振幅要比单个物体自己振动的振幅要大,具有更强的破坏性。
用共振理论解释企业风险的爆发。本文把企业内、外部的各种风险都进行细分为单个的风险因素,对于各风险因素来讲,其频率就是导致风险因素爆发的根本原因,那么包含了所有内部风险因素频率的集合将其定义为内部风险频率集。同理,将包含了所有宏观环境风险因素的频率的集合称为宏观环境风险频率集。再对这两个集合求交集,即得出风险频率交集,在这个集合中的频率就是将会发生共振的频率。
基于共振理论的定义,在这个交集中的频率是内、外部风险共有振动频率,满足共振的基本条件。而共振具有传递性,本来在企业中处于静止状态的内部风险因素,可能由于宏观环境中风险的振动而随之振动起来,使企业的风险加剧。特别值得关注的是,内、外部风险因素共振造成的破坏力要远大于其单个振动时的破坏力,所以具有这样频率的风险因素是需要重点关注的。
这就可以解释为什么市场环境不好时,失败的企业数量大幅上升,就是因为宏观环境风险频率集变大,与内部风险频率集发生共振的机会就大,而共振产生的破坏力强,一旦超过了企业的承受能力,企业便会走向失败。通过这一理论也可以解释企业的成败是内外部共同作用的结果,如果内部控制系统完美,宏观环境风险没有作用的切入点,那么再坏的环境也不会影响企业。但是,企业没有静止的,只要运动就会伴随着风险。为了更好地应对风险,就要求企业做好风险评估工作。
(二)基于共振理论的风险评估方法概述
1、现有的风险评估方法的缺陷,表现为:
没有系统的评估方法。目前,风险评估的方法虽然多种多样,但其着眼点仅是风险评估中的某一个具体环节,并没有形成完整、系统的评估体系,各个环节各自为战严重地削弱了评估方法的系统性。
忽视外部因素的影响。现在的评估方法,几乎将全部评估重点都放在企业内部因素上,即使有涉及到外部环境因素的,也只是赋予少部分的权重,没有考虑内外因的相互关系。外因是通过内因起作用的,所以不仅要考虑到外部环境因素的作用,也要研究它和内部因素的相互作用关系。
2、基于共振理论的风险评估方法。针对现有风险评估方法的不足之处,本文提出基于共振理论的风险评估方法,力求形成一套贯穿风险识别、风险衡量和风险评价的完整的风险评估体系,并在重视内部因素的同时,考虑外部环境因素的影响。通过分析外部环境因素与内部因素的相互作用关系,对内部风险因素进行修正。通过共振矩阵系统的反映风险评估的各个环节。在重视内部风险的同时,通过共振系数和相关系数显示出环境对于企业的影响作用,力求使评估结果更加准确和切合实际。
基于共振理论的评估方法的具体操作
(一)识别内、外部风险
企业内部风险及其识别。企业内部风险是指来自于企业内部的,由于经营不善或者管理疏漏而形成的风险。它是企业风险的直接来源。企业内部风险由于产生于企业内部,所以企业具有主动权,能够对这类风险施加控制和影响。主要包括营运风险、组织风险、财务风险、人事风险、信息系统风险等。
企业可以以现有的风险清单为基础,从中找出企业中存在的风险因素,但这只有标准化的风险因素。而每个企业都有自己特定的内部环境,许多特有风险因素没有出现在风险清单里。针对这些特有风险,可以运用控制自我评估的方法将其识别出来,以使企业的风险识别工作更加全面。
宏观环境风险及其识别。企业宏观环境,是指那些会给企业带来市场机会或环境威胁的主要社会力量,直接或间接地影响企业的管理。主要包括政治和法律环境、经济环境、科技环境、社会文化环境及自然环境等。宏观环境风险就是在这些环境中存在的对企业构成威协的风险。
在对宏观环境风险进行识别时,可以借鉴战略管理中的PETS分析法并结合企业实际按照政治和法律环境风险、经济环境风险、科技环境风险、社会文化环境风险和其他环境风险进行识别。
(二)构建共振矩阵
首先将整个风险系统分为内部风险系统和宏观环境风险系统,将内部风险系统再向下细分为若干个风险子系统,如营运风险子系统、信息风险子系统、销售风险子系统等。进一步把风险子系统再细分为具体的内部风险因素,记作Ii(i=1,2,3…)。同理,让宏观环境风险系统细分为若干个风险子系统,如政治环境风险子系统、经济环境风险子系统、科技环境风险子系统等,再将各风险子系统中的宏观环境风险因素识别出来,记作Oj(j=1,2,3…)。在此基础之上,构建共振矩阵(如图1)。
共振矩阵是用于列示企业的所有内、外部风险因素的矩阵,其横坐标为内部风险因素,纵坐标为宏观环境风险因素。这样矩阵中各交叉点显示的都是内外部风险的相互作用系数,即后述的共振系数和相关系数。风险矩阵的最大优点在于可以把任何一对内外部风险因素结合起来,评估其相互作用关系,也就是将内外部风险统筹考虑。
(三)进行风险衡量
衡量风险因素的变异程度。本文使用变异程度测定的方法,用变异系数衡量指标的偏离程度。值得注意的是,有一些风险因素是指标形式的,便于量化考核。但有一些指标是定性的,难于量化,这时可以使用专家打分的方法,将这些风险因素量化。变异系数的计算公式为:
其中,V是风险因素的变异系数,用于衡量风险因素与预期指标的偏离程度;S是该风险因素的标准差;X是期望值,在这里可以使用企业的理想指标作为期望,这样计算出的变异系数即是实际与预期的偏离程度,也是风险爆发后的结果。
计算共振系数。如前文所述,那些具有出现在风险频率交集中的频率的风险因素是重点要关注的风险因素。由于共振的破坏力远大于单个风险因素振动时造成的影响,所以那些内外部共振的风险因素的变异系数要以乘数倍增加,这个乘数称之为“共振系数”,记作Gij。但是,在物理学上尚没有计算共振产生的振幅的计算方法,通常都是通过测量得出。之于风险评估工作来说就要依据行业和企业历史数据,利用风险评估人员的经验和个人素质进行评估,估算出一个共振系数,但可以肯定的是共振系数一定大于1。
计算相关系数。相关系数是用于说明两个风险因素间相互作用关系的系数,它的取值范围为[-1,1]。取值为正说明内外部风险正相关,即宏观环境对内部风险因素有放大作用;反之,取值为负,说明内外部风险负相关,即宏观环境对内部风险因素有抵销作用。
(四)风险评价
在进行风险评价环节,首先将所权重分配给各风险子系统,即Wi使之和为1,再在各风险子系统内进行分配权重,分配至各风险因素,即wi,风险子系统内的权重之和也为1,并在风险矩阵中注明。之后,将在风险衡量环节得出的变异系数Vi填入风险矩阵,wi与Vi的乘积即为没有进行修正时的评价结果。但这是不准确的,接下来对这一结果进行修正。所有的相关系数有正有负,其取值范围为[-1,1]。若计算出的相关系数为负数,即表明宏观环境对内部风险因素有弥补作用,则用变异系数Vi乘上(1+相关系数);反之,如果相关系数为正且不为1时,说明宏观环境对内部风险因素有扩大作用,也用变异系数Vi乘以(1+变异系数);而当相关系数为1时,即产生了共振效应,为了与之区别,用共振系数Gij表示。而Gij的取值大于2,其具体数值由评估人员估计产生。由此,可以推出Vi'=[∑(1+Rij)+∑Gij]Vi。最后,得到最终评价结果∑wiVi'。这个结果数值越大,说明与预期偏离越远,说明企业的风险越大;反之,数值越小,说明越与预期值相符,企业面临的风险越小。
参考文献:
1、刘钧、风险管理概论、清华大学出版社,2008
2、James Roth,Ph、D、 郑桓圭译、最佳内部控制评估实务―自我评估与风险评估、中国内部审计协会,1999
3、徐二明、企业战略管理、中国经济出版社,2006
4、杜莹芬、企业风险管理、经济管理出版社,2008