前言:中文期刊网精心挑选了风险定量分析的方法范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
风险定量分析的方法范文1
关键词:信息安全;信息资产;风险评估;层次分析法
中图分类号:TP309文献标识码:A 文章编号:1009-3044(2010)19-5129-03
The Research for Information Security Risk Assessment Based on AHP Method
ZENG Li-mei, JIANG Wen-hao
(School of Computer Science and Technology , Chongqing University of Posts and Telecommunications, Chongqing 400065, China)
Abstract: The risk assessment of information security evolves four fundamental elements included information capital, the fragility of information capital, the encountering threats and the possible risk in information capital. The key problem for risk assessment relies on the weight among risk factors. This issue takes an enterprise as an example, introduced a method called Analytic Hierarchy Process (AHP) to evaluate the risk of systems. The results show that this method can be applied well to information security risk assessment.
Key words: information security; information capital; risk assessment; Analytic Hierarchy Process (AHP)
计算机网络技术在当今社会迅猛发展并且得到广泛应用,使得各行各业对信息系统的依赖日益加深,信息技术几乎渗透到了社会生活的方方面面。信息系统及其所承载信息的安全问题日益突出,为了在安全风险的预防、减少、转移、补偿和分散等之间做出决策,需要对网络系统进行信息安全风险评估。
信息安全风险评估,是指依据国家有关信息安全技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程[1]。风险评估是提高系统安全性的关键环节,通过风险评估,了解系统的安全状况,将信息系统的风险控制在可接受的范围内。
1信息系统安全风险评估要素
1.1 风险评估的各要素
信息系统安全风险评估要素及其各要素间的关系如图l所示。
图1中,整个模型的核心是风险,资产、脆弱性和威胁是风险评估的基本要素。风险评估的工作围绕其基本要素展开 。
1.2 风险评估各要素之间的关系
风险评估基本要素之间存在以下关系:
资产是信息系统中需要保护的对象,资产完成业务战略。单位的业务战略越重要,对资产的依赖度越高,资产的价值就越大,资产的价值越大风险则越大。
风险是由威胁引起的,威胁越大风险就越大,并很有可能演变成安全事件。
脆弱性是资产中的弱点。威胁利用脆弱性,脆弱性越大风险就越大。
安全需求由资产的重要性和对风险的意识导出。安全措施可以抗击威胁,降低风险,减弱安全事件的不良影响。
风险不可能也没有必要降为零,在实施了安全措施后还会有残留下来的风险,称为残余风险。残余风险可以接受,但应受到密切监视,因为它可能会在将来诱发新的安全事件[2]。
2 风险评估方法
目前国内外存在很多风险评估的方法,还没有统一的信息安全风险分析的方法。在风险评估过程中根据系统的实际情况,选择合适的风险评估方法。风险评估的方法概括起来可分为三大类:定性分析方法、定量分析方法、定性和定量相结合的分析方法。[3]
2.1定性分析方法
定性分析方法是一种典型的模糊分析方法,可以快捷的对资源、威胁、脆弱性进行系统评估。典型的定性分析方法有逻辑分析法、因素分析法、德尔斐法、历史比较法[4] 。
定性评估方法的优点是全面、深入,缺点是主观性太强,对评估者要求高。
2.2 定量分析方法
定量分析方法是在定性分析的逻辑基础上,通过对风险评估各要素的分析,为信息系统提供系统的分析手段。典型的定量分析方法有决策树法、回归模型、因子分析法。
定量分析方法的优点是直观、明显、客观、对比性强,缺点是简单化、模糊化、会造成误解和曲解。
2.3 定性和定量结合的综合评估方法
定量分析是定性分析的基础和前提,定性分析应该建立在定量分析的基础上才能揭示客观事物的内在规律。不能将定性分析方法与定量分析方割裂,而是将这两种方法融合起来,发挥各自的优势,采用综合分析评估方法。主要的综合分析方法有模糊综合评价方法、层次分析法、概率风险评估等。[5]
3 AHP方法
3.1 层次分析法简介
层次分析法(AHP)是美国运筹学家萨蒂(T.L.Saaty)于20世纪70年代初提出的一种定性与定量分析相结合的多准则决策分析方法,该方法简便、灵活又实用。
层次分析法的基本思想是在决策目标的要求下,将决策对象相对于决策标准的优劣状况进行两两比较,最终获得各个对象的总体优劣状况,从而为决策者提供定量形式的决策依据 [6] 。
3.2 系统分解,建立层次结构模型
层次模型的构造是运用分解法的思想,进行对象的系统分解。它的基本层次包括目标层、准则层、方案层三类。目的是建立系统的评估指标体系。层次结构如图2所示。
3.3 构造判断矩阵
判断矩阵的作用是同层次的两两元素之间的相对重要性进行比较。层次分析法采用1~9标度方法,对不同情况的评比给出数量标度,如表1所示。[7]
构造判断矩阵,判断矩阵A=(aij)n×n有如下性质:①aij>0;②当i≠j时,aji=1/aij;③当i=j时,aij=1。aij为i与j两因素相对权值的比值。
3.4 层次排序
步骤一:将A的每一列向量归一化。
步骤二:对按列归一化的判断矩阵,再按行求和。
步骤三:将向量归一化。
3.5 一致性检验
步骤一:计算判断矩阵的最大特征根。
式中(AW)i表示AW的第i个元素。
步骤二:计算一致性指标。
式中,λmax 表示比较判断矩阵的最大特征根,n表示比较判断矩阵阶数。
步骤三:计算一致性比率。
当 CR
平均随机一致性标度如表2所示。
4.评估方法实际应用
4.1 建立信息安全风险评估模型
为了突出风险评估的重点,对信息系统风险的评价指标进行适当的简化,建立某企业信息安全风险评估层次结构模型,如图3所示。
4.2 风险评估结果
根据图3各评估因素及其相互关系,建立两两比较判断矩阵,如表3、表4、表5、表6所示,用AHP方法求解一致性比率CR,判断矩阵是否具有满意一致性。
表3G-C的判断矩阵
表4C1-P的判断矩阵 表5C2-P的判断矩阵 表6C3-P的判断矩阵
以上结果CR均小于0.1,表明比较判断矩阵都满足一致性检验标准。由以上结果求的最终的总层次排序结果如表7所示。
5 结束语
在信息系统风险评估中,风险评估方法一直都是研究的关键点。本文采用层次分析法对风险评估的指标进行了分析,通过分析研究可得,层次分析法在风险评估和等级划分的实际应用中是一种行之有效、可操作性强的方法,可以很好的应用于信息安全风险评估。
参考文献:
[1] GB/T 20984-2007,信息安全技术信息安全风险评估规[S].中华人民共和国国家标准,2007.
[2] 向宏,傅鹏,詹榜华.信息安全测评与风险评估[M].北京:电子工业出版社,2009:319.
[3] 王伟,李春平,李建彬.信息系统风险评估方法的研究[J].计算机工程与设计,2007,28(14):3473-3474.
[4] 范红,冯登国,吴亚非.信息安全风险评估方法与应用[M].北京:清华大学出版社,2006:49-50.
[5] 吴亚非,李友新,禄凯.信息安全风险评估[M].北京:清华大学出版社,2007:101-109.
风险定量分析的方法范文2
[关键词]现金流 高校 内部控制 风险控制策略
一、高校现金流的概念和作用
高校现金流是指高校在经济活动过程中产生的现金流入、现金流出以及现金流入与现金流出之间的差额形成的现金净流量,也可理解为在运动状态中的现金,更准确地说是现金的变动结果。现金流的重要作用主要表现在:第一,现金流是高校保持正常运转的剂。一旦缺乏剂的,高校就会出现财务困难,乃至发生瘫痪。第二,现金流是高校财务状况的报警器。如财务结构失衡,资产负债比率过高,固定资产占总资产比例过高,流动比例过低等都可能造成现金流量问题。现金流信息是评价高校资产的流动性、财务弹性、抵御风险能力以及决定高校能否可持续发展的重要依据。
二、高校现金流内部控制及风险控制策略的重要性
随着高等学校事业法人地位的确立和高等教育体制改革的不断深化,高校已由原来的计划经济条件下的高度集中式管理逐步转化为“政府宏观管理,学校面向社会自主办学”的新模式。高校在办学结构调整、规模发展、资金筹集、经费使用等方面都有了一定的自,而这种自,也使得高校财务管理由原来的计划经济条件下的无风险管理转变为市场经济条件下的风险管理。教育部、财政部《关于“十一五”期间进一步加强高等院校财务管理工作的若干意见》中明确“高等院校应切实强化风险防范意识,完善内部控制制度,建立风险预警系统,改善学校财务状况,有效防范财务风险”。所以内部控制体系构建是高校财务管理的必然要求,也是财务管理水平的重要标志。然而高校现金流内部控制及风险控制策略不适应现代社会日新月异的变化,不能满足高校可持续发展的需要。部分高校因扩张而大量贷款,导致学校现金流运转困难,有的学校甚至到了发不出工资无法支付日常开支的地步,严重影响了教学科研的日常运行和高校的可持续发展。因此,加强高校现金流内部控制,建立健全风险控制策略显得尤其重要。
三、当前高校现金流内部控制存在的问题
1、对现金流内部控制制度的健全与完善缺乏足够的重视
高校管理者对现金流内部控制的重要性认识不足,制度执行不得力。对现金流内部控制的理论缺乏必要的追踪,对现金内部控制在高校财务管理中的作用缺乏足够的重视。现金流的导向作用还很弱,实践中对现金流的管理存在着严重滞后性和被动性特征。一些高校只有在发不出工资、无法偿还债务、无法支付日常开支的时候才关注现金流管理。要系统提升高校的运营质量,提高高校可持续发展的能力,就要从观念上确实重视现金流管理,充分认识现金流量管理的重要作用,并采取措施,构建现金流管理控制体系。
2、缺乏科学合理而又行之有效的内部控制体系
依据《会计法》第2条有关内部控制制度建设的规定出台的《内部会计控制规范――基本规范》、《内部会计控制规范――货币资金》,并未引起有些高校足够的重视,没有依此对相关制度的建设与执行情况进行审视,并不断完善内部控制制度,没有建立起科学合理而又行之有效的内部控制体系。
3、现金流内部控制的手段有待改进
现金流内部控制的手段比较侧重于事后分析,而缺乏事中的控制,特别是事前的预测和安排。在控制手段的运用上也比较单一。
4、没有建立相应风险预警系统
对财务风险的判断仅仅停留在传统的依靠财务负责人或财务人员的经验估计基础之上。管理者的风险意识淡薄,没有成立专门的风险管理部门或成立专门的风险管理机构对所面临的各种风险进行监控和管理。同时高校也未建立风险分析和风险评估的制度,确定相应的风险分析评价指标。
5、现金流内部控制制度不完善或者还不健全
由于高校对现金流缺乏足够的认识,现金流管理的研究仅停留在运营层面,并没有被提高到战略高度。现金流管理的内容仅仅涉及现金预算、日常流量控制等战术性管理,没有同高校的发展战略有效地结合起来。对整个现金流的流入、流出及其现金净流量分析、控制工作尚未开展。
6、缺乏一套对整个现金流控制过程的监控
包括缺乏相应的内部控制人才和缺乏相应部门的监控活动。健全、有效的内部控制不仅需要涉及现金流整个流程的控制活动,也需要+对这些活动进行监督与评价的监控系统。
四、建立健全高校现金流的风险控制策略
1、成立独立的风险管理机构
成立独立的风险管理部门为高校的风险管理提供组织保障。可以是高校的一个职能部门,也可以是具有相当独立程度的由各部门的专业人才组成的风险管理委员会,必要时还应当聘请有关风险评估和风险管理专家的参与。
2、建立现金流预警系统
为有效地化解现金流风险对高校财务状况的影响,应当建立现金流风险预警体系。当现金流偏离正常状态时,对可能造成损失的条件进行分析和判断,估计风险事件的概率和后果,了解高校可能面临的现金流危机,通过现金流预警系统来动态追踪和识别高校在运营过程中忽视或没有觉察出的现金流风险并及时做出预警。把仅注重发现险清的消极预警变为分析根源、改进管理的积极预警,变静态预警为动态预警。
3、重视现金流预算管理
应重视现金流预算管理,以现金流入、流出控制为核心的高校财务管理,离开了现金流预算管理,也就失去了管理的依据和管理重心。现金流预算是高校全面预算管理的主要内容,是确定一定时期内全部货币流入和流出数额并加以平衡的预测。高校应以全面预算为基础,将现金流量预算充分细化,对未来现金收支状况进行预测,以周、旬、月、季、半年、一年为期限,建立滚动式现金流量预算,确保现金流预算的准确性,提高现金流量预算的执行力度和精度,以便及时做出筹资方案、资金调度和使用方案。通过现金预算的编制对本单位面临的风险进行全面审视,从而全面促进财务管理水平的提高。
4、完善现金收支控制制度
制定现金收支控制的组织结构和程序,以明确个人和部门在现金收支控制中的权限和责任,一方面,对现金流动性进行控制,即控制现金流量发生的时间和额度,以维护良性的现金循环流动;另一方面,对现金的安全性进行控制,保证现金的安全及完整。
5、现金流视角下风险的定量分析
高校财务风险的发生通常经历一个从量变到质变的渐进过程,这种渐进发展情况必然会通过一些财务指标的变化表现出来。要准确预测高校财务风险,从大量的财务因子中选好财务指标是关键,尤其是现金流指标更是财务指标中的风向标。定量分析法是在完整掌握各种财务指标资料的基础上,运用现
代数学方法,据以建立能够反映有关变量之间规律性联系的各类预测模型的方法体系。定量分析分为单变模式和多变量模型,单变模式就是运用单一的财务指标或财务比率来对风险、危机进行评估。单变模式的分析方法通常采用趋势分析法和横向比较法。趋势分析法是通过观察连续数期的财务报告,比较各期的有关项目金额,分析某些指标的增减变动情况,并在此基础上判断其变化趋势,从而对未来可能出现的结果作出预测的一种分析方法。运用趋势分析法,可以了解有关现金流变动的基本趋势,判断这种变动是有利还是不利,并对现金流未来发展作出预测。趋势分析法通常采用编制历年会计报表方法,将连续多年的报表,至少是最近3―5年的会计报表并列在一起加以分析、以观察变化趋势。这样分析比单看一个报告期的会计报表,能了解更多的情况和信息,有利于分析变化的趋势。横向比较法则侧重于高校与同规模其他高校的比较,横向比较法通常分析高校在某一方面的优劣,进而针对面临的问题采取措施。
单变模式对现金流的定量分析指标,依据需要了解和分析的问题不同而有所侧重,对于高校来说现金流定量分析指标通常包括以下几种:其一,现金流的结构分析。现金流结构是反映财务状况是否正常的一个重要方面,包括现金流入结构比率、现金流出结构比率、流入流出比率及其内部结构比率等。其二。流动性分析。现金到期债务比、现金流动负债比、现金债务总额比。其三,获取现金能力分析。事业收入现金比率、全部资产现金回收率。其四,发展潜力指标。现金净额增长率。现金净额增长率=(年末现金净额一年初现金净额)÷年初现金净额。
多变量模型是通过两个以上的指标组合来对企业可能面临的风险进行监测和分析的模式。比较多的是运用爱德华・阿尔曼提出的“Z计分模型”判断高校财务危机的大小。
6、现金流视角下风险的定性分析
在财务风险预警中,由于一些难以量化的非财务信息也影响着高校持续发展的能力,因此,除进行定量分析外,还应结合一些相关的非财务因素进行定性分析,才能得出较为合理的结果。现金流定性分析法是根据专业经验知识,结合预测对象的特点进行分析,对高校现金流的发展趋势和未来状况做出理性推测的方法。一般可以从宏观经济环境、行业特征、竞争状况、管理模式及水平等几个方面来分析对现金流的正负影响度。
进行现金流的定性分析有助于把握问题的实质,对于找到潜在的联系和趋势是十分有效的方法。现金流定性分析的方法包括调查分析法、专家分析法等。
7、进行风险评估,提出分析报告
风险评估就是预测潜在的事件对目标实现的影响程度从而做出相应的预警报告。财务管理者应从两个角度来评估事件:一是发生的可能性;二是影响程度。应采取定量分析和定性分析相结合的预测方法。在实际应用中,定量分析和定性分析常常是相辅相成、结合使用,定量分析定性化,定性分析定量化,以提高预测准确性和可信性。事实上,有时定性分析比定量分析更为有效。一方面,定量分析会受到高校在不同时期各项因素的变化、对所选择的评价指标等各种因素的影响,无法满足财务预警的全面需要;另一方面,由专家靠经验作出判断的定性分析,其结论比较灵活,可以随着高校的发展变化作出修正,从而对定量分析的不足加以弥补。因此,风险评估分析中不可单纯强调定量指标的权威性,还应结合定性分析进行判断和预测,以补充定量分析的不足,把握高校的发展趋势,从而对风险作出综合评估,提出专门的风险分析报告,供决策者参考。
[参考文献]
[1]熊敏:基于现金流的财务危机预警[J],职业圈,2007(22)
[2]彭钢、胡德春、王和林:试论新时期高校财务内部控制体系构建[J],消费导刊,2009(7)
[3]刘凤娥:不可忽视的现金流量管理[J]会计之友(上旬刊),2008(11)
[4]张雪峰:现金流内部控制的弱点及风险控制策略研究[J],中国总会计师,2010(9)
风险定量分析的方法范文3
一、引言
电子政务是指政府运用现代计算机和网络技术,将其承担的公共管理和服务职能转移到网络上进行,同时实现政府组织结构和工作流程的重组优化,超越时间、空间和部门分隔的制约,向社会提供高效优质、规范透明和全方位的管理与服务。电子政务的实施使得政府事务变得公开、高效、透明、廉洁,并实现全方位的信息共享。与此同时,政务信息系统的安全问题也变得非常重要。政务信息系统的安全一旦发生问题,就会影响其功能的发挥,甚至对政府部门和社会公众产生危害,严重的还将对国家信息安全乃至国家安全产生威胁。
目前,电子政务系统的安全风险问题越来越受到重视,因此有必要对电子政务系统的安全性进行评估。对电子政务系统的风险评估,就是对信息系统的脆弱性、信息系统面临的威胁及其发生的可能性,以及脆弱性被威胁源利用后所产生的负面影响的评估。信息系统安全的风险评估结果,对组织机构在信息安全措施的选择、信息安全保障体系的建设等问题做出合理的决策有着重要的指导作用。
本文主要是根据英国标准协会(British Standard Institute)制定的信息安全标准BS7799,基于大量的安全行业经验,借助漏洞扫描等先进的技术,从内部和外部两个角度,对电子政务系统存在的安全威胁和脆弱性进行分析,对系统面临的风险进行全面的评估,并通过制定相应措施消除、减少、监控脆弱性以求降低风险性,从而保障信息系统的机密性、完整性和可用性。
二、电子政务系统安全风险评估的关系模型及分析方法
电子政务系统安全风险评估是依据国家有关的政策法规及信息技术标准,对系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学、公正的综合评估的活动过程。风险评估要求对信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响进行评估,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。
⒈电子政务风险评估的关系模型
风险评估的出发点是对与风险有关的各因素的确认和分析,各因素之间的关系可以用图1所示的模型来表示。图1中的箭头及标示信息对信息安全风险相关的各类因素之间的关系做出了说明,这些因素之间的主要关系对风险评估的实施方法是很重要的,概述如下:
――威胁和薄弱点因素都将导致安全风险增加,资产拥有的价值越大,其可能存在的安全风险也越大,而风险控制则用来降低安全风险;
――威胁因素产生和增加安全风险的过程是:利用系统中的薄弱点实施攻击(或其他破坏),从而对资产的价值造成不利影响,导致产生和增加安全风险;
――薄弱点对风险的增加只能通过威胁对其利用的过程来完成;
――安全要求的引出来自于安全风险,这体现了认识和确定风险的意义所在。
由此可以看出,威胁和薄弱点增加风险的方式是不同的。对于信息系统内的资产来说,威胁是外部因素,而脆弱性则为系统自身所有,它们相当于矛盾的外因和内因。
风险评估的过程就是将这些因素间的关系体现出来,查看组织机构是否属于以下三种情况之一:
――当风险在可以接受的情况下,即使系统面临威胁,也不需要采取安全措施;
――系统存在某些脆弱点,但还没有被威胁所利用,这时需要安全措施能够监控威胁环境,以防止利用该脆弱点的威胁的发生;
――被采取的安全措施保护资产、减少威胁发生所造成的影响,将残余风险降低到可接受的程度。
研究表明,组织机构的信息系统的安全程度应该要满足组织机构现在的应用需求;如果显示组织机构的信息系统存在不可接受的风险,那么就应该对该信息系统的安全措施进行改进,以达到第三种情况的要求。
⒉电子政务系统的常用风险分析方法及其比较
目前,由于我国信息系统风险的安全评估才刚刚起步,因此我国现在所做的评估工作主要以定性评估为主,而定量分析尚处于研究阶段。在风险评估过程中,可以采用多种操作方法,包括基于知识的分析方法、基于模型的分析方法、定性分析和定量分析,等等。无论采用何种方法,其共同的目标都是找出组织机构的信息系统面临的风险及其影响,以及目前该信息系统安全水平与组织机构安全需求之间的差距。
⑴定量分析方法
定量分析方法的思想是,对构成风险的各个要素和潜在损失的水平赋以数值或货币的金额,当度量风险的所有要素(资产价值、威胁可能性、弱点利用程度、安全措施的效率和成本等)都被赋值,风险评估的整个过程和结果就可以量化。
从定量分析的过程中可以发现,最为关键的是对威胁事件发生的可能性和威胁事件可能引起的损失的量化。从理论上看,通过定量分析可以对安全风险进行准确的分级,能够获得很好的风险评估结果。但是,对安全风险进行准确分级的前提是保证可供参考的数据指标正确,而对于信息系统日益复杂多变的今天,这个前提是很难得到保证的。由于数据统计缺乏长期性,计算过程又极易出错,定量分析的细化非常困难,所以目前风险评估分析很少完全只用定量的分析方法进行分析。
⑵定性分析方法
定性分析方法是目前采用最为广泛的一种方法,它需要凭借评估分析者的经验、知识和直觉,结合标准和惯例,为风险评估要素的大小或高低程度定性分级,带有很强的主观性。定性分析的操作方法可以多种多样,包括小组讨论(如Delphi方法)、检查列表、问卷、人员访谈、调查等。定性分析操作起来相对容易,但可能会因为评估分析者在经验和直觉上的偏差而使分析结果失准。
⑶定量和定性分析方法的比较
与定量分析相比,定性分析的准确性较好但精确性不够,而定量分析则相反;定性分析没有定量分析的计算负担,但要求分析者具备一定的经验和能力;定量分析依赖大量的统计数据,定性分析则没有这方面的要求;定性分析较为主观,定量分析基于客观;定量分析的结果很直观,容易理解,而定性分析的结果则很难统一。由于定量分析和定性分析两种方法各有其优缺点,现在的风险评估大都采用两者相结合的方法进行分析,在不容易获得准确数据的情况下采用定性分析方法,在定性分析的基础上使用定量方法进行计算以减少其主观性。
三、电子政务系统安全风险评估要素的提取原则、方法及量化
电子政务系统安全的风险评估是一个复杂的过程,它涉及系统中物理环境、管理体系、主机安全、网络安全和应急体系等方面。要在这么广泛的范围内对一个复杂的系统进行一个全面的风险评估,就需要对系统有一个非常全面的了解,对系统构架和运行模式有一个清醒的认识。可见,要做到这一点就需要进行广泛的调研和实践调查,深入系统内部,运用多种科学手段来获得信息。
⒈评估要素提取的原则
评估要素提取是指通过各种方式获取风险评估所需要的信息。评估要素提取是保证风险评估得以正常运行的基础和前提。评估要素提取得成功与否,直接关系到整个风险评估工作和安全信息管理工作的质量。为了保证所获取信息的质量,应坚持以下原则:
⑴准确性原则。该原则要求所收集到的信息要真实、可靠,这是信息收集工作的最基本要求;
⑵全面性原则。该原则要求所搜集到的信息要广泛、全面完整;
⑶时效性原则。信息的利用价值取决于该信息是否能及时地提供,即具备时效性。
⒉评估要素提取的方法
信息系统风险评估中涉及到的多种因素包括资产、威胁、漏洞和安全措施。
信息系统的资产包括数据资产、软件、人员、硬件和服务资产等(参见表1)。资产的价值由固有价值、它所受伤害的近期影响和长期结果所组成。
目前使用的风险评估方法大多需要对多种形式资产进行综合评估,所获取的信息范围应包含全部的上述内容,只有这样,其结果才是有效全面的。同时,资产评估时还要考虑以下方面:
――业务中最重要的部分是什么?如何通过使用或处理信息而使它们得到支持?这种支持的重要程度如何?
――哪些关于资产的重要决定取决于信息的准确度、完整性或可用性?
――哪些资产信息需要加以保护?
――安全事件对业务或者对该组织的资产影响是什么?
在考虑安全事件对组织资产的影响时,可以参考以下4个方面:
――信息资产的购买价值;
――信息资产的损毁对组织业务的影响;
――信息资产的损毁对政府形象的负面影响;
――信息资产的损毁对政府长期规划和远景发展的影响。
在进行资产、威胁和漏洞信息获取时,需要整体考虑以下的对应关系:
――每一项资产可能存在多个威胁;
――威胁的来源可能不止一个,应从人员(包括内部和外部)、环境(如自然灾害)、资产本身(如设备故障)等方面加以考虑;
――每一个威胁可能利用一个或是数个薄弱点;
――每个薄弱点对系统的威胁程度和等级有很大的不同,有的威胁不能消除,只能采取降低威胁程度的策略;
――要考虑各种威胁之间的相互依赖关系和交叉关系;
――考虑威胁薄弱点等随时间和信息系统的进化而变化的特点,对其要以发展的观点进行分析。
⒊评估要素量化
对每个安全要素的危害性采取风险模式影响及危害性分析法进行分析,最终得到被评估系统的风险状况。
风险影响等级的划分见表2。
为了计算方便,对(v1,v2,v3,v4 ,v5)用(0,0.2,0.5,0.8,1)表示。同时为了讨论方便,在这里定义如表3所示的表示符号。
根据信息安全管理体系BS7799的结构特点,对安全要素风险事件的分析主要建立在前三层上。
标准中的第一层是十大管理要项,它标识了被评估系统在各个资产上的重要程度。λi表示系统资产权重分配情况,此时有=1。
标准中的第二层是管理目标层,根据BS7799标准的结构特点,对该层安全要素的风险分析主要是确立其危害程度。该危害程度由评估专家和系统用户参照表2制定。这里采用Ei,j表示第i个管理要项下的第j个管理目标风险的安全要素危害程度。
标准中的第三层是控制措施层,对该层安全要素的风险分析主要考虑安全要素风险发生的重要程度。用λi,j,k代表第i个管理要项下的第j个管理目标下的第k个控制措施的安全要素风险权重系数。此时,有=1(第j个管理目标下有m个控制措施)。
确立每一层安全要素风险评价如下:
假设第i个管理要项下的第j个管理目标下的第k个控制措施风险发生的概率是αi,j,k,则有:
第i个管理要项下的第j个管理目标的风险发生概率是:
Vi,j=(假设第j个管理目标下有m个控制措施)
第i个管理要项的风险评价是:
Vi=(假设第i个管理要项下有n个管理目标)
最终的风险评价是:V=
综合可得系统风险评价表达式:
V==
式中:λi由被评估系统的用户或评估发起者在填写评估任务时分配。λi,j,k、Ei,j可以通过风险评估数据库中的权重系数表和危害程度表获取。
最后通过判断V落在预先定义好风险评价集的哪一部分,即可判断被评估系统的风险等级。参照相应的风险等级的描述,从而可以得到被评估系统的总体风险状况及具体改进意见。
四、电子政务系统安全风险评估的流程
电子政务系统安全的风险评估是组织机构确定信息安全需求的过程,包括环境特性评估、资产识别与评价、威胁和弱点评估、控制措施评估、风险认定等在内的一系列活动(风险评估的流程详见图2)。
五、电子政务系统安全风险评估的实施
电子政务系统安全的风险评估是一项复杂的工程,除了应遵循一定的流程外,选择合理的方法也很重要。为了使风险评估全面、准确、真实地反映系统的安全状态,在实施风险评估过程中需要采用多种方法。通过对安徽行政学院开发的电子政务模拟教学系统的风险评估,证明这样的评估流程是正确可行的,其实施过程如下:
⒈参与系统实践
系统实践是获得信息系统真实可靠信息的最重要手段。系统实践是指深入信息系统内部,亲自参与系统的运行,并运用观察、操作等方法直接从信息系统中了解情况,收集资料和数据的活动。
⒉建立问卷调查表
问卷调查表是通过问题表的形式,事先将需要了解的问题列举出来,通过让信息系统相关人员回答相关问题而获取信息的一种有效方式。现在的信息获取经常利用这种方式,它具有实施方便,操作方便,所需费用少,分析简洁、明快等特点,所以得到了广泛的应用。但是它的灵活性较少,得到的信息有时不太清楚,具有一定的模糊性,信息深度不够等;还需要其他的方式来配合和补充。
⒊实用辅助工具的使用
在信息系统中,网络安全状况、主机安全状况等难以用眼睛观察出来,需要借助优秀的网络和系统检测工具来监测。辅助工具能够发现系统的某些内在的弱点,以及在配置上可能存在的威胁系统安全的错误,这些因素很可能就是破坏目标主机安全性的关键性因素。辅助工具能帮助发现系统中的安全隐患,但并不能完全代替人做所有的工作,而且扫描的结果往往是不全面的。
⒋从文献档案中获取信息
文献和档案记录了关于信息系统的许多重要的参数和特性。通过文档和资料的查阅,可以获取比较完整的系统信息,获得系统的历史经验。在风险评估过程中,这也是十分重要的一种信息获取方式。
总之,在进行全面问卷调查和现场测试的基础上,经过集中分析研究,可以得出《电子政务系统安全分析报告》,报告应该包括以下内容:关键资产清单、安全威胁和脆弱性清单、分类和概率分布、实施的保护措施清单、风险等级和分类、保护措施建议、整体安全风险评价及应急处理议案,等等。
六、结论
随着信息安全工作的重要性和紧迫性得到越来越广泛的认同,对风险评估的研究也在不断地深入。风险评估是一个从理论到实践,再从实践到理论的过程,在不断的往复循环中得以逐步完善。经过几年的探索,我国有关方面已经在信息安全风险评估方面做了大量工作,积累了一些宝贵的经验,然而由于起步晚,也存在以下一些亟待解决的问题:
⑴国内外风险评估方法的研究有待于在实践中检验;
⑵风险评估的工作流程和技术标准有待完善;
⑶自动化的风险评估工具有待加大研发投入和推广。
参考文献:
朱方洲,李旭军.电子政务安全保障体系的研究[J].电脑学习,2006(3):42-43
马立钢,夏军利.信息系统安全风险评估[J].现代计算机:专业版,2006(1):49-53
王大虎,杨维,柳艳红.移动通信信息系统安全风险评估的研究[J].中国安全科学学报,2005,15(7):74-78
聂晓伟,张玉清,杨鼎才,等.基于BS7799标准风险评估方法的设计与应用[J].计算机工程,2005,31(19):70-72
科飞管理咨询公司.信息安全管理概论―理解与实施[M].北京:机械工业出版社,2002
闫强,陈钟,段云所,等.信息安全评估标准、技术及其进展[J].计算机工程,2003(6)
作者简介:
周伟良,1967年生,湖南长沙人,安徽行政学院(安徽经济管理学院)信息管理系主任,副教授,博士,主要研究方向为电子政务、管理信息系统。
风险定量分析的方法范文4
关键词:风险分析;突发事件;公共卫生
浙江省社会经济发展迅速,已接近发达地区水平,但是由于目前整个社会处于转型时期,社会形势多变,突发事件频发,公共卫生安全受到严重的冲击,已经在很大程度上影响到浙江社会的稳定和经济的可持续健康发展,对浙江人口素质和经济发展水平的提高具有很大阻碍。国务院颁布的《国家中长期科学和技术发展规划纲要》提出[1],将继续加大对人口与健康领域的支持力度。浙江省科技"十二五"规划中叶明确指出:在重大战略需求的核心和关键技术研究中,要把食品安全、公共卫生与重大疾病防治放在重要位置。
1风险分析的概念
风险评估是突发事件应急管理中的重要内容,是对突发事件的危害所产生或将产生不良效应的可能性和严重性的客观判断与分析,有助于及早识别公共卫生危害,提供卫生应急决策依据。风险评估包括三个步骤:风险识别、风险分析和风险评价。其中,风险分析是风险评估中的关键一环和核心内容[2]。
2风险分析方法
按分析目的、数据输入与结果输出类型的不同,可将风险分析技术分为定性、半定量及定量技术三大类。
2.1定性分析 定性分析是三类方法中原理与操作较简易,但无法给出定量结果的一类分析方法。
2.1.1失效模式与效应分析 失效模式与效应分析(failure mode effect analysis,FMEA)是一种以团队操作为基础的,系统性、前瞻性地识别失效模式和机制,预测其影响的技术。基本原理是以失效模式为起点,着眼于整个流程,对全部流程中可能存在的失效模式进行前瞻性地分析,通过对失效模式的严重度、发生率和可检度进行综合评估与指标的量化,明确高风险的失效模式,提出相应的解决策略和措施,从而实现减小风险或消除至可接受水平的目的[3]。该方法的优点是对潜在风险源进行辨识后可实现及时预防,消除危害后果的目的;另外,也可以对于单个风险源进行相对独立的分析。缺点是由于主要是以基于小组的模式开展评价工作,因此工作小组成员的知识和技术水平的高低会在一定程度上制约和影响评价结果的准确性和可靠性;失效模式是方法进行风险分析的基础,然而实际上难以认识全部的失效模式并开展评价;此外,失效模式与效应分析是基于流程的一个前瞻性分析,随着流程和具体步骤的增加,若开始分析时缺乏对流程的准确描述,则发生错误的可能性也相应增加。
2.1.2危险分析与关键控制点 危险分析与关键控制点(Hazard analysis and critical control point,HACCP)是一种系统的、前瞻性及预防性的技术,通过测量并监控那些应处于规定限制内的具体特征来确保产品质量、可靠性以及过程的安全性。HACCP最早主要用于对食品中微生物、化学和物理等危害进行安全控制,是作为控制食源性疾患最为有效的措施,也是国际上共同认可和接受的食品安全保证体系。现在已广泛应用到其他行业,诸如制药、化学、汽车等。以食品安全分析为例,其基本原理是系统分析整个食品供应链中的具体危害,明确控制措施,并通多对潜在危害进行风险控制,从而确保食品的安全[4]。优点在于其可通过对整个流程和关键点的控制,起到对风险危害的预防作用。缺点是只能对系统流程内的潜在风险源进行分析。
2.1.3危险与可操作性分析 危险与可操作性分析(Hazard and Operability Study,HAZOP)是一种综合性的风险识别过程,用于明确可能偏离预期绩效的偏差,并可评估偏离的危害度。最早使用于化工行业工艺过程的危险性分析。该方法以系统工程为基础,通过引导词和标准格式来寻找工艺过程中可能出现的一些偏差,辨识那些可能由于装置、设备等个别引发的潜在危险,从而根据其可能造成的影响大小制定相应对策[5]。优点是分析针对的是工艺流程等状态参数,具有较强的针对性。因而可以对人为因素引起的后果进行预测。缺点是主要依赖于工作小组会议讨论的人工分析方式进行风险分析,效率较低;分析时,若无合适的节点、参数和引导词,则无法较好地开展HAZOP风险分析。
2.2半定量分析 半定量分析技术结合了定性方法和定量方法的特点,输出以定量结果为主。
2.2.1保护层分析法 保护层分析法(the layer of protection analysis method,LOPA)是一种特殊事件树形式的风险分析方法,通过评估现有的保护层的可靠性,确定其消除或降低风险的能力[6]。其基本原理是构建保护层,通过对每一保护层的有效性进行分析,将所有保护层联合作用下的事故风险与风险可容忍标准比较,以确定是否有足够的保护层以防止意外事故的发生。优点是作为一种较为快速的半定量风险分析方法,能够有效评估潜在事故发生的频率,确认保护层的有效性,为合理制定和分类风险缩减措施提供科学依据。此外,该方法与HAZOP比较不过分依赖于分析人员的知识和经验,因此能相对客观合理地进行风险分析。缺点是该方法本身无法对潜在风险源进行辨识,也无法寻找事故场景,因此需结合其他方法进行。此外,该方法尚缺乏对人因、环境及管理等其他因素影响的分析。
2.2.2 FN曲线 一种利用FN曲线图进行风险分析的方法。其通过区域来表示风险,并可进行风险比较,可用于系统或过程设计以及现有系统的管理。如在评价地址灾害风险性时,FN曲线通过将地址灾害造成的死亡人数及其累计概率点以对数坐标系统表示,以此表达社会可接受风险的标准[7]。该方法的主要目的是表现事故规模的分布状况,利用事故后果(如伤亡人数)与事件发生的频率(即发生的可能性)绘制FN曲线图。从FN曲线图可以引出系统风险是否可容忍的判定标准。优点是考虑了风险分析中的事件后果与事件发生的可能性两大方面,结果简单明了,易理解和易操作。缺点是仅仅只考虑事件后果的严重性和事件发生的可能性两方面,而缺乏对人因、环境、管理等其他可能的影响因素的分析。此外,一般主要以死亡率等简单指标作为事件后果严重性的主要体现。
2.2.3模糊神经网络 模糊神经网络是一类自适应的模式识别技术,可通过自身的学习机制主动学习,利用现状信息,对来自不同状态的信息逐一进行训练而形成映射关系。而其中的模糊神经网络则是基于最大最小等简单运算来实现知识的模糊推理的神经网络[8]。作为一种多属性的评价方法,其隶属函数权重的设定存在一定的主观性,因此是一类定性和定量结合的风险分析方法。优点是有机结合了模糊理论和神经网络的各自优势,能够通过模拟人的经验来对风险进行推理和判断,实现定量化处理模糊信息的目的。且具备较高的容错性和模型表达力。缺点是模糊规则的设定、隶属函数的选择、网络结构的设计等完全依赖于建模者的经验知识和能力。
2.2.4 Bow-tie法 一种简单的图形描述方式,分析了风险从危险发展到后果的各类路径,并可审核风险控制措施。可将其视为分析事项起因的故障树和分析后果的事件树这两种方法的结合体[9]。作为一种结构化方法,其具备了可视化的特点,因此也便于交流和理解。Bow-tie图中心是最不希望发生的事件,左侧是成因(即故障树)及预防措施,右侧是可能的后果(即事件树)和减缓后果措施。也因图形形状被称为领结图或蝴蝶图。优点是该技术将风险辨识、风险分析、风险评估、风险控制和风险管理都在图形中完整的体现出来,具有广泛的适用性。此外,图形直观易理解。缺点是只能考虑环节事件的工作或失效两种状态,不能考虑多态间的假设推理关系。
2.3定量分析 定量分析方法对资料与资源的要求较高,输出以定量结果为主。
2.3.1时间序列分析 时间序列是按时间顺序排列的一系列被观测数据,因而其包含了系统结构特征及运行规律等潜在信息,可以通过对时间序列进行分析来认识系统的发展规律,从而实现对发展趋势的预测,及对系统重新设计和改造以使其按照新的结构运行等目的。而时间序列分析就是一种根据动态数据揭示系统动态结构和规律的统计方法。优点是可以依靠对历史数据的分析实现对后期变化趋势的预测。也可以进行两个指标见关联性的分析[10]。缺点是只是针对一个指标的时间序列进行分析,因此无法对综合风险进行分析和判断,需与其他风险分析方法结合使用。
2.3.2向量自回归模型 向量自回归模型(vector autoregressive model,VAR model)是一系列时间序列回归的集合[11]。某一时序的数据变化常常不是单因素的作用结果,是多重因素的共同作用结果。类型上有单变量向量自回归和多变量向量自回归模型。优点是时间序列只能分析一个指标,而VAR实际上是多个指标的融合,即可实现多元时间序列的分析,适用于对多种有相关关系的不同类别时序的模型计算。缺点是VAR模型对于原始数据的分布有严格要求,如必须是平稳时间序列数据,误差的条件均值为零,随机向量必须为遍历平稳过程,且不存在完全多重共线性等。模型分析和预测的准确定和可靠性受原始数据影响较大。此外,通常需与其他方法相结合使用,以规避方法本身的缺陷。
2.3.3信息扩散理论 信息扩散理论是一类模糊数学处理方法。其主要目的是通过对样本进行集值化处理,以弥补信息的不足,优化利用样本模糊信息。其基本原理是将一个只有一个观测值的样本变成一个模糊集,然后通过优化利用样本模糊信息来弥补小样本的信息不足问题,从而使信息最大化,得到小概率事件的致险程度,提高了系统的风险识别精度[12]。较常用的模型有正态扩散模型。优点是可操作性强,评价结果意义明确,适用于样本数据少而无法使用传统概率统计方法的情况。缺点是由于仅使用一类指标的单观测值进行模糊处理,因此对事件的风险分析不全面,未能综合考虑多种因素的共同影响,存在一定缺陷。需与其他风险分析方法综合使用。
2.3.4地理信息系统技术 地理信息系统技术(Geographic Information System,GIS)作为一种先进的技术手段和地理信息处理与分析工具,GIS技术在风险分析中也得到了越来越多的应用。其本身作为一个技术系统,以地理空间数据库为基础,采用地理模型分析方法,适时提供了多种空间和动态的地理信息,从而为与地理有关的研究和决策服务提供了计算机技术支持[13,14]。优点是作为一类决策支持系统,提高了数据提取和处理分析的效率。结果结合地理信息,在空间分析上具备很强的优势。缺点是作为一类辅助决策技术和展示技术,其使用还需与其他风险分析技术与方法相结合才有实际意义。
3突发事件风险分析
基于各方法的基本原理和优缺点等,半定量和定量分析方法在风险分析中的适用性普遍优于定性分析方法。而在可行性方面,定性分析方法相较于半定量和定量分析方法,对资源的需求最低,但在结果的不确定性程度上普遍高于半定量和定量分析方法。因此,各方法在突发事件风险分析的应用中均各自存在一定的局限和适用事件类型。如GIS在突发事件风险分析领域中的应用较广,均适合传染病、自然灾害和事故灾难的风险分析。除危险分析与关键控制点方法较适用于食物中毒与食品安全事件及职业病与职业危害的风险分析,时间序列和向量自回归模型较适合传染病风险分析外,其余方法均适用于事故灾难和自然灾害的风险分析。
综述,应根据突发事件的类型和目的,选取合适的分析方法对具体的突发事件进行风险分析。如是对事故灾难或自然灾难进行风险分析,则可依据所需资料高低和对输出结果的不确定要求的高低,选择合适的定性、半定量或定量分析方法。如是对食品生产流程进行风险分析,则可选择危险分析与关键控制点方法。若是对传染病进行风险分析,则也可根据对输入和输出的要求,选择如时间序列分析、向量自回归模型和GIS。
参考文献:
[1]中华人民共和国国务院公报.国家中长期科学和技术发展规划纲要(2006-2020年)[S].2006(9).
[2]24353-2009 GT:风险管理:原则与实施指南[S].中国国家标准化管理委员会,2009.
[3]Varzakas TH.Application of ISO22000,failure mode,and effect analysis(FMEA)cause and effect diagrams and pareto in conjunction with HACCP and risk assessment for processing of pastry products[J].Critical reviews in food science and nutrition,2011,51(8):762-782.
[4]Kok MS.Application of food safety management systems(ISO 22000/HACCP)in the Turkish poultry industry:a comparison based on enterprise size[J].Journal of food protection,2009,72(10):2221-2225.
[5]Dunjo J,Fthenakis V,Vilchez JA,et al.Hazard and operability(HAZOP)analysis.A literature review[J].Journal of hazardous materials,2010,173(1-3):19-32.
[6]Gowland R.The accidental risk assessment methodology for industries(ARAMIS)/layer of protection analysis(LOPA)methodology:a step forward towards convergent practices in risk assessment[J].Journal of hazardousmaterials,2006,130(3):307-310.
[7]陈伟,许强.地质灾害可接受风险水平研究[J].灾害学2012,27(1):23-27.
[8]Ushida Y,Kato R,Niwa K,et binational risk factors of metabolic syndrome identified by fuzzy neural network analysis of health-check data[J].BMC medical informatics and decision making,2012,12:80.
[9]Mokhtari K,Ren J,Roberts C,Wang J.Application of a generic bow-tie based risk analysis framework on risk management of sea ports and offshore terminals[J].Journal of hazardous materials,2011,192(2):465-475.
[10]Katsouyanni K,Touloumi G,Spix C,et al.Short-term effects of ambient sulphur dioxide and particulate matter on mortality in 12 European cities:results from time series data from the APHEA project.Air Pollution and Health:a European Approach[J].Bmj,1997,314(7095):1658-1663.
[11]吕新业.基于向量自回归模型的中国食物安全预警.China's food security and early-warning system based on vector autoregression(VAR)model 2013,29(11):286-292.
[12]金旭,廖善刚.基于信息扩散理论的福建省森林火灾风险评估[J].河南大学学报(自然科学版)2014(02):190-195.
风险定量分析的方法范文5
战略风险评估是事关并购重组项目成败的关键。在分析并购重组项目战略动机的基础上,从银监会近期的政策文件以及经济评价的角度入手,探讨了项目战略风险评估的内容和方法,并进行了某海外项目重组案的案例分析。
〔关键词〕
并购重组;战略风险;经济评价;风险评估;协同
随着我国有色行业的产能过剩问题日益突显,新建项目逐步减少,通过政策引导和市场机制优化产业结构成为主流,而并购重组则是优化产业结构的重要手段。并购重组出发点和落脚点是整合资源,获取协同效应,服务于企业战略目标,其具有“高风险高收益”的特点。因此,战略风险评估是事关并购重组项目成败的首要问题和关键问题。本文即是从资金供应方的角度探讨并购重组项目的战略风险评估方法。
1并购重组的战略动机
了解并购重组的动机是科学评估风险的前提。并购重组研究历来注重理论与实践相结合,著名经济学家J.弗雷德.威斯通在总结1895年以来并购重组案例和理论研究的基础上,将并购重组的动因归纳为效率理论、信息与信号、问题与管理主义、自由现金流量假说、市场力量、税收筹划和再分配等7个方面。为贴近工程咨询实际,本文将上述动因概述为经营管理协同、财务税收协同、市场协同、低价投机、人利益5个方面:1)经营管理协同。主要表现为原辅材料、技术、人力管理等资源互补,如矿山与冶炼企业的重组。2)财务税收协同。主要表现为将外部融资转为内部融资,降低融资成本,如吸引投资基金入股;或利用一方的税收优惠降低税负,典型的是资不抵债企业的并购。3)市场协同。主要表现为获取市场垄断、定价权或开辟新的市场领域,典型表现是同一行业的强强联合,如南北车合并;或生产优势与市场优势的结合,如一些贸易公司(市场优势)对矿山或冶炼厂(生产优势)的并购。4)低价投机。基于认为目标企业价值被低估的并购,如金融危机时基金或财务公司基于资本运作而收购矿产资源。5)人利益。管理层出于某种个人利益而做出的并购重组举动,如过去几年部分大型企业的大肆扩张有一定的人利益成分。上述动机中,经营管理协同、财务税收协同和市场协同具有明显的战略意图,而低价投机和人利益也有战略层面的考量,故而战略风险评估对并购重组项目尤其重要。
2战略风险评估角度
风险评估的角度需紧紧围绕动机展开,各种动机下的战略风险评估角度见表1(但不限于)展开。此外,对于资金提供方而言,评估战略风险还应考虑协同效应未能实现时,并购方可能采取的风险控制措施或退出策略。上述战略风险评估的内容与银监会的《商业银行并购贷款风险管理指引》的指导思想不谋而合,可以提高项目的融资效率。
3战略风险评估方法
从评估角度分析,战略风险评估的目标是资金安全和战略目标(特别是财务目标)的可达性,注重资源的协同,具体的角度包括项目的市场、技术、经营管理及其他有形或无形资源,与工程咨询的理念相同。借鉴工程咨询方法(尤其是经济评价方法)可有效解决战略风险评估的部分问题。推荐的战略风险评估方法如下:1)经营管理协同角度。产业和战略的相关性可以尽职调查为基础,通过定性分析完成;额外回报可借助财务评价中的有无对比法、前后对比法计算。2)财务税收协同角度。可直接计算或通过财务评价计算。3)市场协同角度。定性与定量分析相结合,定量分析主要通过市场预测方法完成。4)低价投机角度。通过对比估值报告和审计报告判断,成长性可通过行业生命周期理论判断。5)人利益角度。可通过是否具有协同效应判断;价值增长的动力来源可通过因素分析法(连环替代法)或敏感性分析来判断。并购方案中的退出策略对资金提供方控制资金风险非常重要,一般在协议中有相关的约束条款,相关风险建议由专业的法务人员评估。需要说明的是,定性与定量分析相结合是战略风险评估的指导思想,而建立在大量尽职调查信息基础上的定性分析判断在实践中往往起到决定性作用,定量分析只是验证和细化定性判断的结果。
4案例分析
某海外中资冶炼厂拟与当地另一大型采选冶联合企业重组,以期解决自身的原料不足及财务困境问题。重组双方的优势、劣势如表2所列。通过上述分析,可基本判断双方重组的动机是经营管理、财税和市场协同,且协同效益明显,战略风险较小,融资机构可重点关注项目贷款担保和还款架构设计。
5结论与建议
风险定量分析的方法范文6
一、中小企业财务诊断指标体系设计原则
财务诊断涉及企业经营发展的内、外部经营环境和企业财务的运作活动,因此,财务诊断指标体系的设计必须全面而系统,应遵循如下原则:
第一,科学性与客观性相结合。财务诊断有一套严格、科学的程序与方法,诊断过程中必须始终按科学程序和方法进行。财务诊断的客观性是科学性的前提,而科学性则是诊断措施有效性的保证。财务诊断失去针对性和有效性,就不可能被企业接受,也就不存在诊断成果。另一方面,企业涉及范围广,行业差异、环境差异、管理差异、经营管理者的素质差异大,这就要求财务诊断指标的设计必须适应其经营管理特点,力求简捷、适用、重点突出,以适用于不同企业的要求。
第二,全面性与针对性相结合。财务诊断指标的设计应将企业内部、外部环境与财务活动作为一个整体来研究,从企业经营管理战略的角度进行财务诊断指标的系统设计,整个指标体系能够全面地反映企业的发展状况,同时还要合理确定内部环境因素、外部环境因素以及财务活动因素的重要性程度,将整体诊断与局部诊断有机结合起来,使诊断更加切合企业的现状与现实需要。
第三,可比性与可操作性相结合。企业财务诊断指标的设计对被诊断企业和诊断者来说都是切实可行的,遵循可比性和可操作性原则。该原则包括以下内容:一是诊断指标体系的设计应尽可能简明易懂,繁简适当,便于数据收集,适合行业间的比较,强化其针对性和有效性;二是诊断指标体系的设计应符合企业的特点,在经济上是可行的;三是整个诊断指标体系的评分方法和各项指标的计算要简便、科学,便于实际诊断操作。
第四,灵活性与协调性相结合。企业所处的内部环境、外部环境以及经营管理活动的情况是不断发生变化的,企业在发展的每个阶段可能存在或潜在的财务问题各不相同。因此,在设计企业财务诊断指标体系时应遵循灵活性原则,根据不同行业、不同地区、不同时间、不同企业对财务诊断指标进行适当的调整,并随时适应外界环境的变化。
二、中小企业财务诊断指标体系构建思路
根据中小企业财务管理的特点及建立财务诊断指标体系的原则,借鉴《国有企业绩效评价体系》,笔者认为应该从内部环境、外部环境和财务活动三个方面构建中小企业财务诊断指标体系,如表1所示:
中小企业财务诊断的内容涉及企业经营管理的方方面面,在具体应用上述指标体系时应根据具体情况对四级指标进行调整,但基本出发点应定位于“以企业战略诊断为导向,内部环境与外部环境诊断为基础,财务活动诊断为核心”。如果是上市公司,则应在上述四级指标体系中增加与上市公司经营有关的指标,如每股净资产、市盈率等。
三、中小企业财务诊断指标体系应用
中小企业财务诊断的有效性受到多方面因素的影响,运用指标体系进行财务诊断时必须加以考虑。
一是财务诊断指标体系运用的前提条件。企业财务诊断的关键在于财务信息质量和财务报表的有效性。财务诊断是根据真实有效的财务报表资料开展的,所用数据大部分都来自财务报表,所进行的关于企业的逻辑判断都以财务报表的真实有效为前提,因此财务报表信息的真实性直接关系到财务诊断的质量,而虚假和无效的财务报表可能使财务诊断得出不准确甚至相反的结论,从而使财务诊断形同虚设,误导企业相关利益人作出错误的决策,扭曲了财务诊断的本意。同时,会计政策选择的一致性也直接影响到财务诊断的可靠性。
二是财务诊断指标的赋值问题。财务诊断指标赋值是量化评价的基础,由于诊断指标构成的多样性,指标赋值的合理性也影响到财务诊断的质量。诊断指标的赋值要注意社会认可度,对指标体系中多数可由国家(或行业)统计年报(或年鉴)中查得的数据,可以直接赋值;对一些相对比较指标,可利用已有公式或建立新公式先计算后赋值;对指标体系中无法获得精确数据的个别指标,可采用专家定性对比分析,按等级进行赋值。
三是财务诊断指标间的权重分配问题。在中小企业财务诊断过程中,诊断指标间权重值的确定,往往体现出使用者对该指标地位的理解程度,在一定程度上带有主观性,对诊断指标系数的把握程度也会影响到财务诊断的有效性。
四是财务诊断指标的灵活运用问题。企业财务诊断是一项综合性评价,反映的是企业财务管理的总体水平,并不能实现对财务安全的全面预警和控制,也不能排除因某一方面发生严重问题而使企业发生财务危机。因此,在财务诊断的基础上,还需要对诊断结果进行必要的敏感性分析,确定企业财务管理活动的薄弱环节以及内、外部环境状况的影响程度,进而提高财务诊断的有效性,帮助企业改善财务管理和经营活动,提高企业综合管理水平和竞争能力。
企业税务诊断初探华南理工大学 曹晓丽 陈锦华 陈海声 邓燕琴 税务诊断是财务诊断的重要组成部分,笔者认为,财务诊断是以防范、控制风险和提高经济效益为目的,因此,作为其重要内容之一的税务诊断也应该贯彻这一研究方向。税务诊断应定义为:以企业税收利益最大化和合理控制税务风险为目标,依据国家税收法律的有关规定,对企业的税务筹划空间和涉税风险进行科学评估,据以挖掘出有效降低企业整体税负和税务风险途径的一种管理手段。本文对于税务诊断的定义与以往诊断理论的不同之处在于,以往的诊断理论研究往往侧重于风险的防范与控制,而本文则将税务筹划列入税务诊断之中,使其帮助企业积极寻找降低自身税负的空间,从而加强税务诊断的实用性和发挥更为积极、主动的作用。 一、税务诊断原则及内容 为使税务诊断达到预期的效果,诊断时必须遵守以下原则:(1)合法性原则。税务诊断必须依照税法及相关经济法规进行。如果税务诊断中应用的筹划方法和风险防范措施与税法相违背,不仅不能提高效益、控制风险,反而增加了企业的税务风险。因此,合法性是首要原则。(2)成本效益原则。一方面,税务诊断必须尽量以较低的成本进行;另一方面,诊断的改进方案必须按照实施成本小于获得收益的原则进行取舍,这是保障诊断效益的必要原则。(3)客观性和科学性原则。税务诊断的客观性和科学性是诊断措施有效性的保证。因此,税务诊断必须有一套严格、客观且科学的诊断程序与方法。在诊断过程中也必须始终按照这套科学程序和方法进行,以保证税务诊断过程和结果的客观性和科学性。(4)独立性原则。进行企业税务诊断的人员,无论是外聘的诊断专家,还是内部人员,都不应受企业行政的制约和干预,而应该处于独立地位,以便正确、客观地行使诊断职能。只有保持税务诊断的
独立性,才能保证诊断结果和改进措施的客观、可靠。(5)针对性原则。企业税务诊断没有固定的标准可供参照。同样的“病症”,其治疗措施和方案却可能不同。税务诊断人员必须根据企业具体情况和问题的特征来选择合适的诊断程序和治疗措施,这样才能使税务诊断更加深入、有效。
税务诊断作为对企业涉税业务及其处理进行诊断的系统,主要句括税备风除诊断和税各筹划两大功能模块,如图1所示: 税务风险诊断模块按照现状、成因诊断及应对这一思路设计,具体包括税务风险的现状诊断、成因诊断及应对措施设计三大子模块。其中,税务风险的现状诊断通过对企业的涉税业务、纳税情况等方面的分析,诊断出企业涉税处理出现异常的地方。税务风险的成因诊断则通过对企业内、外部税务影响因素进行分析,找出产生税务风险的根源。具体来说,外部因素分析主要是对企业外部税收法律环境变化引致的风险进行分析,如税收实体法、征管法的变革对企业税务风险程度的影响分析等;而内部因素分析则从企业管理人员的风险意识、企业税务工作制度和程序,以及税务筹划方案的实施等方面进行分析。最后,企业税务风险应对措施设计将根据前两个子模块的分析结果,设计具体的风险应对和规避措施,将税务风险控制在可承受的范围内。而税务筹划模块则具体包括了税务筹划空间诊断、筹划方案与措施设计以及绩效评估三个子模块。首先,税务筹划空间诊断主要通过对企业的涉税业务、纳税情况及相关的税收政策等方面的分析,挖掘出可获取企业税收利益的空间。然后,筹划方案与措施设计子模块利用筹划空间分析的结果,针对企业的具体情况,设计出提高企业税收利益的具体税务筹划措施。税务筹划绩效评估子模块可对企业原有的和新设计的筹划方案的实施效果进行分析与评价,从而进一步完善税务筹划实施方案,发挥税务筹划作用。上述税务诊断系统中的两大模块并不孤立,二者之间有着密切的联系。一方面税务筹划存在风险,因此涉税风险的评估与控制有利于降低因进行税务筹划而增加的税务风险,从而保证税务筹划的可行性。另一方面,企业过重的税务负担也是导致税务风险的重要原因之一,因此税务筹划在减轻企业税负的同时,也在一定程度上降低了企业的风险。
二、税务诊断步骤及方法
由于税务诊断具有一定的复杂性,因此必须按照合理的步骤,采用科学的方法进行诊断。一项完整的税务诊断工作应包括以下具体步骤:(1)诊断准备阶段。即在税务诊断实施前对企业进行初步了解,做一些必要的组织筹备工作,包括明确税务诊断目的,初步了解企业的基本情况,确定诊断工作日程和计划等。(2)诊断资料收集阶段。在税务诊断实施前,诊断小组应尽可能收集企业生产经营活动的税务资料(如材料采购、产品生产、市场营销、财务管理等方面的资料),并对所收集的资料进行归纳、整理、分析等加工处理,以形成完整的税务诊断基础数据资料。由于税务诊断在很大程度上是依靠所收集的税务资料进行分析,因此该步骤在整个诊断过程中起着十分重要的作用。(3)正式诊断阶段。这一环节是税务诊断的实施阶段。诊断人员需要在获取各种完备资料的基础上,运用科学、客观、定性和定量相结合的诊断技术,对所获取的、经过鉴别的资料和统计数据进行分析,揭示税务活动内部存在的问题,并初步提出评价方案以及改进税务管理工作的途径、措施。通过广泛征求包括企业人员在内的各方意见以及成本效益评估,优选出可行性强、经济效果好的方案,提交诊断报告。(4)实施指导阶段。这一阶段是达到税务诊断最终目的重要环节之一。首先向企业决策人员及相关管理人员介绍诊断过程中所发现的问题及其相应对策;其次帮助企业制定实施方案的具体计划和措施;再次是有针对性地培训企业管理人员和涉税人员;最后对整个实施过程进行跟踪,适时对方案进行合理的调整、补充,使诊断方案更加有效。(5)诊断考核阶段。这是对税务诊断的效果进行检验的阶段。该阶段应重点收集诊断过程中相关人员的反馈意见,并据此对诊断的效果进行评价,以便不断提高税务诊断人员的服务质量及水平。
采用科学的税务诊断方法是实现税务诊断目标的关键。税务诊断主要采用以下方法:
(一)定性分析法 税务诊断的定性分析主要是指税务诊断人员通过利用调查、询问等手段对企业的经营、纳税情况进行定性描述后,根据自身经验判断及相关法规的比对,找出企业涉税处理上存在的问题。常用的定性分析方法是问卷调查法,即通过专门设计的调查问卷来进行诊断。它将各个诊断项目具体化为相应的问题,通过查阅资料和访谈寻找出问题的答案并填入问卷中,然后再对这些问题和答案进行分析、总结和归纳,从中找出企业税务管理中存在的问题和有待改进的地方。具体的税务诊断调查问卷示意表如表1所示:
定性分析方法的主要优点是执行简单、易操作,而缺点是对问题的探究不够深入,主观性强,对问题产生原因的推测可能存在较大的主观性。
(二)定量分析法 定量分析法是指通过利用指标体系、量化模型等客观的数量分析方法,对企业税务状况进行分析,以求找出其中存在的异常情况的方法,其常用的分析方法是指标分析法。指标分析法是指诊断人员在税务诊断过程中,通过对比同一纳税人不同历史时期相同的涉税指标和不同纳税人同一历史时期相同涉税指标的数据变化,诊断纳税人纳税行为的一种方法。指标分析法要真正在税务诊断中起到作用,必须按照一定的原则建立起科学的税务诊断指标体系。(1)目标性原则。在税务诊断有一个明确的诊断目标的前提下,指标的选择应有利于实现税务诊断的期望目标和效果,它要求指标体系紧扣诊断目标而建立。如果融入脱离税务诊断目标的指标,将对评价的效果和针对性产生极大影响。(2)针对性原则。指标的选择与构建应以企业的具体业务情况为基础,并能够针对其经营性质和涉及的税种的特点、范围来建立合理的评价体系。(3)层次性原则。指标体系的建立要有明确的逻辑层次关系,即指标体系中的各个指标之间的相互关系要明确,上级指标和下级指标之间的层次关系要分明。(4)客观可量性原则。所选取与构建的指标要能够客观地反映所需的诊断信息,并且该指标应是可量化的,其量化依据应来源于企业客观的经营资料和数据,如企业的财务报表、纳税申报表等。鉴于不同行业或不同规模的企业其涉税业务情况和特点存在较大的差异,笔者认为税务诊断难以像财务诊断那样建立一种通用的诊断指标体系,因此,对于不同企业在其不同的发展阶段,税务诊断人员应依照其具体的税务诊断目标,建立有针对性的、有效的指标体系。图2是针对诊断企业税负是否存在异常变化和是否有足够的纳税支付能力设计的一个初步的税务诊断指标体系示意图。
注:①税负差异率=(企业税收负担率-行业税收负担率)÷行业税收负担率×100%
②综合税负率=(主营业务税金+所得税)÷销售收入
③总应交税金=应交税金期初余额+应交税金本期发生额
指标体系建立后,要对各指标的数值进行合理的标准化,再根据各部分的重要性,由诊断人员选择合理的方法研究确定相应的权重,最后将各部分指标加权综合,得到企业税负率和纳税支付能力方面的总体风险水平。而对于部分出现异常的指标,应该利用杜邦分析法的思想对其进一步分解和研究,以找出深层的原因,为税务诊断人员挖掘企业税务存在的真正问题提供“突破口”,同时为提出相应的改进建议及措施提供可靠具体的依据。图3为利用杜邦分析法对综合税负率进行分析。
综合税负率=(主营业务税金+所得税)÷销售收入=主营业务税金÷销售收入+所得税÷销售收入=(本期消费税金额+本期营业税金额+其他税种金额)÷销售收入+(收入项目金额-扣除项目金额)×所得税率÷销售收入
定量分析方法的优点在于对问题研究深入,分析手段较客观。但是,该方法需要收集大量的资料,对其所运用的分析工具的科学性和适用性要求高,执行难度较大。
定性分析法和定量分析法都有着各自的优点,因此,在税务诊断中应综合运用定性分析法和定量分析法。首先,在税务诊断选案(诊断对象)上,应先定性分析后定量分析。因为定性分析的易操作性可以帮助税务诊断人员较快地掌握企业的经营情况和税务状况,并通过访问调查手段使诊断人员进一步明确和缩小诊断范围,有利于定量分析中有针对性地建立诊断指标体系,从而找出异常的指标,使问题进一步具体化。其次,对定性分析和定量分析的结果进行综合分析和利用。综合分析并不孤立地看待定性分析和定量分析。定性分析中发现的问题也许是导致定量分析中指标异常的主要原因;在定量分析中,出现的异常指标难以分解时,往往可以利用定性分析的方法对其进行跟踪和深入分析,发现问题的潜在根源。最后,在税务诊断的两大功能分析中,税务筹划应以定性分析为主,因为税务筹划部分往往比较难以量化,需要分析企业的业务情况和税务特点,结合相应的税务政策提出筹划的措施和建议,因此,一般采用定性分析的方法。而税务风险分析应以定量分析为主,由于需要考察企业本期税务的变化状况,就要将所需的税务信息进行量化后作出一个客观的比较,因此,一般以定量分析为主。
由于税务诊断是一项复杂且关系企业整体利益和风险的工作,因此,在诊断过程中还应注意以下问题:
第一,在诊断人员选择方面,要挑选既精通税收法规,又熟练掌握风险管理和财务管理方法的人员。因为企业税务诊断是以税务工作为诊断对象,缺乏对税收法规方面的了解将难以胜任该项工作。同时该工作又要对税务风险进行控制,所以对风险管理和财务管理知识的掌握也十分重要。
