風(fēng)險(xiǎn)管理論文
[摘 要] 企業(yè)風(fēng)險(xiǎn)管理是一個(gè)倍受關(guān)注的焦點(diǎn)問(wèn)題,企業(yè)能否在存在各種不確定性因素影響的環(huán)境中有序、有效地運(yùn)轉(zhuǎn),在很大程度上取決于企業(yè)風(fēng)險(xiǎn)管理的有效性。在企業(yè)風(fēng)險(xiǎn)管理中,如何把握好風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)應(yīng)對(duì)及其效率效果評(píng)價(jià)是非常重要的,這也恰是本文的初衷。
[關(guān)鍵詞] 風(fēng)險(xiǎn)管理 風(fēng)險(xiǎn)評(píng)估 風(fēng)險(xiǎn)應(yīng)對(duì)
一、風(fēng)險(xiǎn)的定義、分類(lèi)和風(fēng)險(xiǎn)評(píng)估的定義
企業(yè)風(fēng)險(xiǎn)管理的目標(biāo)就是對(duì)風(fēng)險(xiǎn)進(jìn)行管理。但是在風(fēng)險(xiǎn)管理過(guò)程中,當(dāng)進(jìn)行風(fēng)險(xiǎn)識(shí)別時(shí),最常見(jiàn)的一個(gè)錯(cuò)誤就是把不是風(fēng)險(xiǎn)的事物誤認(rèn)為是風(fēng)險(xiǎn)。很顯然,如果風(fēng)險(xiǎn)管理過(guò)程的這一早先步驟失敗了,接下來(lái)的步驟就會(huì)注定要失敗,風(fēng)險(xiǎn)管理也就不可能產(chǎn)生效果。因此,確保風(fēng)險(xiǎn)識(shí)別這一步驟能夠識(shí)別出真正的風(fēng)險(xiǎn)是至關(guān)重要的。下文分別對(duì)風(fēng)險(xiǎn)管理中的風(fēng)險(xiǎn)評(píng)估,風(fēng)險(xiǎn)應(yīng)對(duì)和企業(yè)風(fēng)險(xiǎn)管理的效率做闡述。
1.風(fēng)險(xiǎn)和不確定性
很多人在理解風(fēng)險(xiǎn)時(shí),往往會(huì)把風(fēng)險(xiǎn)(risk)和不確定性(uncertainty)相混淆。事實(shí)上,風(fēng)險(xiǎn)與不確定性并不相同,那么它們之間的聯(lián)系何在呢?關(guān)鍵是要認(rèn)識(shí)到,風(fēng)險(xiǎn)的定義只能與目標(biāo)相聯(lián)系。風(fēng)險(xiǎn)的最簡(jiǎn)單的定義是“起作用的不確定性”,它之所以起作用,是因?yàn)樗軌蛴绊懸粋(gè)或多個(gè)目標(biāo)。風(fēng)險(xiǎn)并不是存在于真空中,因此我們需要定義什么“處于風(fēng)險(xiǎn)之中”(at risk),也就是說(shuō),如果風(fēng)險(xiǎn)發(fā)生的話,什么目標(biāo)將會(huì)受到影響。因此,風(fēng)險(xiǎn)的一個(gè)更加完整的定義是“能夠影響一個(gè)或多個(gè)目標(biāo)的不確定性”。這個(gè)定義使我們認(rèn)識(shí)到,有些不確定性與目標(biāo)并不相關(guān),它們應(yīng)該被排除在風(fēng)險(xiǎn)管理過(guò)程之外。
風(fēng)險(xiǎn)與目標(biāo)之間的聯(lián)系也可以幫助我們識(shí)別不同級(jí)別的風(fēng)險(xiǎn),它們是基于組織中存在的不同層次的目標(biāo)。從風(fēng)險(xiǎn)的概念“能夠影響目標(biāo)的不確定性”來(lái)看,我們可以提出另外一個(gè)問(wèn)題――會(huì)產(chǎn)生什么樣的影響?有些不確定性的發(fā)生會(huì)使得我們達(dá)到目標(biāo)更加困難(即威脅),而有些不確定性事件的發(fā)生則會(huì)幫助我們達(dá)到目標(biāo)(即機(jī)會(huì))。當(dāng)我們進(jìn)行風(fēng)險(xiǎn)識(shí)別時(shí),不僅要看到不確定性的負(fù)面影響,也需要看到不確定性的正面影響。有效的風(fēng)險(xiǎn)管理要求識(shí)別出真正的風(fēng)險(xiǎn),即“能夠?qū)σ粋(gè)或多個(gè)目標(biāo)產(chǎn)生正面或負(fù)面影響的不確定性”。
2.風(fēng)險(xiǎn)的分類(lèi)
(1)根據(jù)風(fēng)險(xiǎn)的效應(yīng)劃分,可以把風(fēng)險(xiǎn)分為:①系統(tǒng)風(fēng)險(xiǎn):在同一體位階段觀察時(shí),風(fēng)險(xiǎn)效應(yīng)無(wú)法抵消的風(fēng)險(xiǎn)或不可分散的風(fēng)險(xiǎn)。②非系統(tǒng)風(fēng)險(xiǎn):在同一體位階段觀察時(shí),風(fēng)險(xiǎn)效應(yīng)能夠抵消的風(fēng)險(xiǎn)或可分散的風(fēng)險(xiǎn)。
(2)根據(jù)風(fēng)險(xiǎn)暴露體性質(zhì)劃分,可以把風(fēng)險(xiǎn)分為:①實(shí)質(zhì)資產(chǎn)風(fēng)險(xiǎn):不動(dòng)產(chǎn)與非財(cái)務(wù)性動(dòng)產(chǎn)可能遭受的風(fēng)險(xiǎn),表現(xiàn)為毀損或貶值。②財(cái)務(wù)資產(chǎn)風(fēng)險(xiǎn):財(cái)務(wù)性資產(chǎn)可能遭受的風(fēng)險(xiǎn),如利率波動(dòng)或股票跌價(jià)。③責(zé)任暴露風(fēng)險(xiǎn):因法律上的侵權(quán)或違約導(dǎo)致第三人蒙受損失。④人力資源風(fēng)險(xiǎn):如公司員工因傷病死亡導(dǎo)致公司生產(chǎn)力衰退或其他非安全的風(fēng)險(xiǎn)。
3.全面風(fēng)險(xiǎn)管理
全面風(fēng)險(xiǎn)管理是指用系統(tǒng)的、動(dòng)態(tài)的方法進(jìn)行風(fēng)險(xiǎn)控制,以減少業(yè)務(wù)過(guò)程中的不確定性。它不僅使各層次的管理者建立風(fēng)險(xiǎn)意識(shí),重視風(fēng)險(xiǎn)問(wèn)題,防范于未然,而且在各個(gè)階段、各個(gè)方面實(shí)施有效的風(fēng)險(xiǎn)控制,形成一個(gè)前后連貫的管理過(guò)程。也即全面組織有效措施對(duì)項(xiàng)目全過(guò)程的全部風(fēng)險(xiǎn)實(shí)施全方位管理。
4.風(fēng)險(xiǎn)評(píng)估定義
風(fēng)險(xiǎn)評(píng)估,是指及時(shí)識(shí)別、科學(xué)分析影響企業(yè)內(nèi)部控制目標(biāo)實(shí)現(xiàn)的各種不確定因素并采取應(yīng)對(duì)策略的過(guò)程。在實(shí)際操作中,可以把企業(yè)風(fēng)險(xiǎn)評(píng)估過(guò)程分為風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)三個(gè)步驟。風(fēng)險(xiǎn)辨識(shí)是識(shí)別企業(yè)面臨的風(fēng)險(xiǎn),并將風(fēng)險(xiǎn)歸類(lèi);風(fēng)險(xiǎn)分析是將識(shí)別出的風(fēng)險(xiǎn)放進(jìn)統(tǒng)一的模型中進(jìn)行分析處理,進(jìn)一步作出定性和定量的分析,包括風(fēng)險(xiǎn)對(duì)企業(yè)目標(biāo)實(shí)現(xiàn)的可能影響、這些風(fēng)險(xiǎn)物化的多重情境分析和統(tǒng)計(jì)特性、可能的影響因素和方式;風(fēng)險(xiǎn)評(píng)價(jià)是評(píng)價(jià)風(fēng)險(xiǎn)對(duì)企業(yè)目標(biāo)的影響,企業(yè)影響最大的風(fēng)險(xiǎn)將成為企業(yè)風(fēng)險(xiǎn)管理的重點(diǎn)。
二、企業(yè)進(jìn)行風(fēng)險(xiǎn)評(píng)估的
許多研究表明企業(yè)的生命周期的長(zhǎng)短與企業(yè)對(duì)風(fēng)險(xiǎn)的把握呈高度正相關(guān)性。國(guó)外統(tǒng)計(jì)資料表明:在正常年份宣布破產(chǎn)的企業(yè)數(shù)量約占企業(yè)總數(shù)的1%。日本學(xué)術(shù)振興會(huì)特別研究員清水剛通過(guò)研究發(fā)現(xiàn),1896年到1982年的10次總資產(chǎn)排名前100家的上市公司中,企業(yè)平均壽命為25年。1983年殼牌石油公司的一項(xiàng)調(diào)查發(fā)現(xiàn),1970年名列《財(cái)富》雜志500家大企業(yè)排行榜的公司,有三分之一已經(jīng)銷(xiāo)聲匿跡。
由上述不難發(fā)現(xiàn),企業(yè)有必要而且必須有較強(qiáng)的風(fēng)險(xiǎn)管理能力才能生存、發(fā)展和壯大。在當(dāng)前的激烈競(jìng)爭(zhēng)中,風(fēng)險(xiǎn)管理水平的高低直接影響著企業(yè)的生死存亡,是否具備全面風(fēng)險(xiǎn)管理能力是現(xiàn)代企業(yè)的核心競(jìng)爭(zhēng)力強(qiáng)弱的表征之一。要推行全面風(fēng)險(xiǎn)管理,第一步應(yīng)從風(fēng)險(xiǎn)評(píng)估著手,因?yàn)轱L(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的起始階段。
三、風(fēng)險(xiǎn)評(píng)估程序
風(fēng)險(xiǎn)評(píng)估一般應(yīng)當(dāng)按照目標(biāo)設(shè)定、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)應(yīng)對(duì)等程序進(jìn)行。目標(biāo)設(shè)定是風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)應(yīng)對(duì)的前提。企業(yè)應(yīng)當(dāng)按照戰(zhàn)略目標(biāo),設(shè)定相關(guān)的經(jīng)營(yíng)目標(biāo)、財(cái)務(wù)報(bào)告目標(biāo)、合規(guī)性目標(biāo)與資產(chǎn)安全完整目標(biāo),并根據(jù)設(shè)定的目標(biāo)合理確定企業(yè)整體風(fēng)險(xiǎn)承受能力和具體業(yè)務(wù)層次上的可接受的風(fēng)險(xiǎn)水平。
四、企業(yè)風(fēng)險(xiǎn)識(shí)別的有關(guān)方法
在評(píng)估風(fēng)險(xiǎn)的過(guò)程中要注意選擇合適的評(píng)估技術(shù),評(píng)估風(fēng)險(xiǎn)事件發(fā)生的可能性和頻繁度,風(fēng)險(xiǎn)事件的潛在影響及其成本的高低,最后繪制一張風(fēng)險(xiǎn)圖。評(píng)估風(fēng)險(xiǎn)事件的方法有很多,但不同方法共同的目標(biāo)都是找出組織信息資產(chǎn)面臨的風(fēng)險(xiǎn)及其影響,以及目前安全水平與組織安全需求之間的差距。
1.基于知識(shí)的分析方法
組織可以采用基于知識(shí)的分析方法來(lái)找出目前的安全狀況和基線安全標(biāo)準(zhǔn)之間的差距;谥R(shí)的分析方法又稱(chēng)作經(jīng)驗(yàn)方法,它牽涉到對(duì)來(lái)自類(lèi)似組織(包括規(guī)模、商務(wù)目標(biāo)和市場(chǎng)等)的“最佳慣例”的重用,適合一般性的信息安全社團(tuán),組織不需要付出很多精力、時(shí)間和資源,只要通過(guò)多種途徑采集相關(guān)信息,識(shí)別組織的風(fēng)險(xiǎn)所在和當(dāng)前的安全措施,與特定的標(biāo)準(zhǔn)或最佳慣例進(jìn)行比較,從中找出不符合的地方,并按照標(biāo)準(zhǔn)或最佳慣例的推薦選擇安全措施,最終達(dá)到消減和控制風(fēng)險(xiǎn)的目的。
2.基于模型的分析方法
2001年1月,由希臘、德國(guó)、英國(guó)、挪威等國(guó)的多家商業(yè)公司和研究機(jī)構(gòu)共同組織開(kāi)發(fā)了一個(gè)名為CORAS的項(xiàng)目,即Platform for Risk Analysis of Security Critical Systems。該項(xiàng)目的目的是開(kāi)發(fā)一個(gè)基于面向?qū)ο蠼L貏e是UML 技術(shù)的風(fēng)險(xiǎn)評(píng)估框架,它的評(píng)估對(duì)象是對(duì)安全要求很高的一般性的系統(tǒng),特別是IT 系統(tǒng)的安全。CORAS考慮到技術(shù)、人員,以及所有與組織安全相關(guān)的方面,通過(guò)CORAS風(fēng)險(xiǎn)評(píng)估,組織可以定義、獲取并維護(hù)IT 系統(tǒng)的保密性、完整性、可用性、抗抵賴(lài)性、可追溯性、真實(shí)性和可靠性。與傳統(tǒng)的定性和定量分析類(lèi)似,CORAS風(fēng)險(xiǎn)評(píng)估沿用了識(shí)別風(fēng)險(xiǎn)、分析風(fēng)險(xiǎn)、評(píng)價(jià)并處理風(fēng)險(xiǎn)這樣的過(guò)程,但其度量風(fēng)險(xiǎn)的方法則完全不同,所有的分析過(guò)程都是基于面向?qū)ο蟮哪P蛠?lái)進(jìn)行的。CORAS的優(yōu)點(diǎn)在于:提高了對(duì)安全相關(guān)特性描述的精確性,改善了分析結(jié)果的質(zhì)量;圖形化的建模機(jī)制便于溝通,減少了理解上的偏差;加強(qiáng)了不同評(píng)估方法互操作的效率等等。
3.定量分析
進(jìn)行詳細(xì)風(fēng)險(xiǎn)分析時(shí),除了可以使用基于知識(shí)的評(píng)估方法外,最傳統(tǒng)的還是定量和定性分析的方法。定量分析方法的思想很明確:對(duì)構(gòu)成風(fēng)險(xiǎn)的各個(gè)要素和潛在損失的水平賦予數(shù)值或貨幣金額,當(dāng)度量風(fēng)險(xiǎn)的所有要素(資產(chǎn)價(jià)值、威脅頻率、弱點(diǎn)利用程度、安全措施的效率和成本等)都被賦值,風(fēng)險(xiǎn)評(píng)估的整個(gè)過(guò)程和結(jié)果就都可以被量化了。簡(jiǎn)單說(shuō),定量分析就是試圖從數(shù)字上對(duì)安全風(fēng)險(xiǎn)進(jìn)行分析評(píng)估的一種方法。定量風(fēng)險(xiǎn)分析中有幾個(gè)重要的概念:
暴露因子(Exposure Factor,EF)――特定威脅對(duì)特定資產(chǎn)造成損失的百分比,或者說(shuō)損失的程度。
單一損失期望(Single Loss Expectancy,SLE)――或者稱(chēng)作SOC(Single Occurrence Costs),即特定威脅可能造成的潛在損失總量。
年度發(fā)生率(Annualized Rate of Occurrence,ARO)――即威脅在一年內(nèi)估計(jì)會(huì)發(fā)生的頻率。
年度損失期望(Annualized Loss Expectancy,ALE)――或者稱(chēng)作EAC(Estimated Annual Cost),表示特定資產(chǎn)在一年內(nèi)遭受損失的預(yù)期值。
理論上講,通過(guò)定量分析可以對(duì)安全風(fēng)險(xiǎn)進(jìn)行準(zhǔn)確的分級(jí),但這有個(gè)前提,那就是可供參考的數(shù)據(jù)指標(biāo)是準(zhǔn)確的,事實(shí)上,在信息系統(tǒng)日益復(fù)雜多變的今天,定量分析所依據(jù)的數(shù)據(jù)的可靠性是很難保證的,再加上數(shù)據(jù)統(tǒng)計(jì)缺乏長(zhǎng)期性,計(jì)算過(guò)程又極易出錯(cuò),這就給分析的細(xì)化帶來(lái)了很大困難,所以,目前的信息安全風(fēng)險(xiǎn)分析,采用定量分析或者純定量分析方法的已經(jīng)比較少了。
4.定性分析
定性分析方法是目前采用最為廣泛的一種方法,它帶有很強(qiáng)的主觀性,往往需要憑借分析者的經(jīng)驗(yàn)和直覺(jué),或者業(yè)界的標(biāo)準(zhǔn)和慣例,為風(fēng)險(xiǎn)管理諸要素(資產(chǎn)價(jià)值,威脅的可能性,弱點(diǎn)被利用的容易度,現(xiàn)有控制措施的效力等)的大小或高低程度定性分級(jí),例如“高”、“中”、“低”三級(jí)。定性分析的操作方法可以多種多樣,包括小組討論(例如Delphi方法)、檢查列表(Checklist)、問(wèn)卷(Questionnaire)、人員訪談(Interview)、調(diào)查(Survey)等。定性分析操作起來(lái)相對(duì)容易,但也可能因?yàn)椴僮髡呓?jīng)驗(yàn)和直覺(jué)的偏差而使分析結(jié)果失準(zhǔn)。
與定量分析相比較,定性分析的準(zhǔn)確性稍好但精確性不夠,定量分析則相反;定性分析沒(méi)有定量分析那樣繁多的計(jì)算負(fù)擔(dān),但卻要求分析者具備一定的經(jīng)驗(yàn)和能力;定量分析依賴(lài)大量的統(tǒng)計(jì)數(shù)據(jù),而定性分析沒(méi)有這方面的要求;定性分析較為主觀,定量分析基于客觀;此外,定量分析的結(jié)果很直觀,容易理解,而定性分析的結(jié)果則很難有統(tǒng)一的解釋。組織可以根據(jù)具體的情況來(lái)選擇定性或定量的分析方法。
五、風(fēng)險(xiǎn)應(yīng)對(duì)
在評(píng)估了相關(guān)的風(fēng)險(xiǎn)之后,管理當(dāng)局就要確定如何應(yīng)對(duì)。應(yīng)對(duì)包括風(fēng)險(xiǎn)回避、降低、分擔(dān)和承受。在考慮應(yīng)對(duì)的過(guò)程中,管理當(dāng)局評(píng)估對(duì)風(fēng)險(xiǎn)的可能性和影響的效果,以及成本效益,選擇能夠使剩余風(fēng)險(xiǎn)處于期望的風(fēng)險(xiǎn)容限以?xún)?nèi)的應(yīng)對(duì)。管理當(dāng)局識(shí)別所有可能存在的機(jī)會(huì),從主體范圍或組合的角度去認(rèn)識(shí)風(fēng)險(xiǎn),以確定總體剩余風(fēng)險(xiǎn)是否在主體的風(fēng)險(xiǎn)容量之內(nèi)。
風(fēng)險(xiǎn)應(yīng)對(duì)可以分為以下幾種類(lèi)型:
回避(avoidance)風(fēng)險(xiǎn),或稱(chēng)避免風(fēng)險(xiǎn)即指退出會(huì)產(chǎn)生風(fēng)險(xiǎn)的活動(dòng)。風(fēng)險(xiǎn)回避可能包括退出一條產(chǎn)品線、拒絕向一個(gè)新的地區(qū)市場(chǎng)拓展,或者賣(mài)掉一個(gè)分部。
降低(reduction)風(fēng)險(xiǎn),或稱(chēng)控制風(fēng)險(xiǎn)即指采取措施降低風(fēng)險(xiǎn)的可能性或影響,或者同時(shí)降低兩者。它幾乎涉及各種日常的經(jīng)營(yíng)決策。
分擔(dān)(sharing)風(fēng)險(xiǎn),或稱(chēng)分散與轉(zhuǎn)移風(fēng)險(xiǎn)即指通過(guò)轉(zhuǎn)移來(lái)降低風(fēng)險(xiǎn)的可能性或影響,或者分擔(dān)一部分風(fēng)險(xiǎn)。常見(jiàn)的技術(shù)包括購(gòu)買(mǎi)保險(xiǎn)產(chǎn)品、從事避險(xiǎn)交易(hedging transactions)或外包一項(xiàng)業(yè)務(wù)活動(dòng)。
承受(acceptance)風(fēng)險(xiǎn),或稱(chēng)正面承擔(dān)風(fēng)險(xiǎn)即指不采取任何措施去干預(yù)風(fēng)險(xiǎn)的可能性或影響。
在采取任何應(yīng)對(duì)之前,必須對(duì)可能的應(yīng)對(duì)方案進(jìn)行評(píng)價(jià)。分析固有風(fēng)險(xiǎn)和評(píng)價(jià)應(yīng)對(duì)的木的在于使剩余風(fēng)險(xiǎn)水平與主體的風(fēng)險(xiǎn)容限相協(xié)調(diào)。
六、風(fēng)險(xiǎn)應(yīng)對(duì)效率評(píng)價(jià)
要對(duì)風(fēng)險(xiǎn)應(yīng)對(duì)的效率效果進(jìn)行評(píng)價(jià),這是對(duì)管理當(dāng)局所做出應(yīng)對(duì)的綜合效果的一種檢測(cè)手段。主要方法是評(píng)估成本與效益。資源的稀缺性決定了資源總是有約束的,因而主體必須考慮備選風(fēng)險(xiǎn)應(yīng)對(duì)方案的相關(guān)成本與效益。企業(yè)風(fēng)險(xiǎn)管理要求從整個(gè)主體范圍或組合的角度去考慮風(fēng)險(xiǎn)。綜合權(quán)衡之下,采取最為有效的策略,即投入產(chǎn)出最優(yōu)化方案去應(yīng)對(duì)企業(yè)的風(fēng)險(xiǎn)。
參考文獻(xiàn):
[1]方紅星 王宏譯:(美)COSO制定發(fā)布.企業(yè)風(fēng)險(xiǎn)管理整合框架,東北財(cái)經(jīng)大學(xué)出版社
[2]企業(yè)內(nèi)部控制標(biāo)準(zhǔn)委員會(huì):企業(yè)內(nèi)部控制規(guī)范――基本規(guī)范(征求意見(jiàn)稿)
[3]孟 焰 潘秀麗:企業(yè)風(fēng)險(xiǎn)管理審計(jì)研究
[4]鄭洪濤:企業(yè)風(fēng)險(xiǎn)管理:全面風(fēng)險(xiǎn)評(píng)估與對(duì)策
[5]吳水澎 陳漢文 邵賢弟:企業(yè)內(nèi)部控制理論的發(fā)展與啟示.會(huì)計(jì)研究,2000.5
[6]朱榮恩 應(yīng) 唯 袁 敏:美國(guó)財(cái)務(wù)報(bào)告內(nèi)部控制評(píng)價(jià)的發(fā)展及對(duì)我國(guó)的啟示.會(huì)計(jì)研究,2003.8
【風(fēng)險(xiǎn)管理論文】相關(guān)文章:
風(fēng)險(xiǎn)管理的論文05-02
風(fēng)險(xiǎn)管理論文08-14
風(fēng)險(xiǎn)管理在航標(biāo)管理上的應(yīng)用論文05-05
應(yīng)收賬款的風(fēng)險(xiǎn)管理的論文04-27
風(fēng)險(xiǎn)管理在急診搶救的運(yùn)用論文05-05
風(fēng)險(xiǎn)管理在血液透析的運(yùn)用論文05-05
風(fēng)險(xiǎn)管理對(duì)急診搶救的應(yīng)用論文05-06