风险分析与评估精选(九篇)
第1篇:风险分析与评估范文
论文关健词:应用流分析;风险评估;流量分组
论文摘要:针对网络中的各种应用服务的识别检测,采用应用层协议签名的流量识别技术和流量分组技术,实现网络应用流的分析和风险评估系统——ras,提出基于流量分组技术的应用流风险评估模型。该系统为网络资源分配和网络安全的预测提供有价值的依据。实验结果表明,taras系统具有良好的流量分析效率和风险评估准确性。
1概述
基于互联网的新技术、新应用模式及需求,为网络的管理带来了挑战:(1)关键应用得不到保障,oa, erp等关键业务与bt,qq等争夺有限的广域网资源;(2)网络中存在大量不安全因素,据cncert/cc获得的数据表明,2006年上半年约有14万台中国大陆主机感染过beagle和slammer蠕虫;(3)传统流量分析方法已无法有效地应对新的网络技术、动态端口和多会话等应用,使得传统的基于端口的流量监控方法失去了作用。
如何有效地掌握网络运行状态、合理分配网络资源,成为网络管理者们的当务之急。针对以上需求,作者设计并实现了一套网络应用流分析与风险评估系统(traffic analysis and risk assessment system, taras)。
当前,网络流量异常监测主要基于tcp/ip协议。文献[5]提出使用基于协议签名的方法识别应用层协议。本系统采用了应用层协议签名的流量分析技术,这是目前应用流分析最新技术。然而,简单的流量分析并不能确定网络运行状态是否安全。因此,在流量分析的基础上,本文提出了应用流风险评估模型。该模型使用流量分组技术从定量和定性两方面对应用流进行风险评估,使网络运行状态安全与杏这个不确定性问题得到定性评估,这是当前网络管理领域需要的。
2流量分析模型
目前应用流识别技术有很多,本文提出的流量识别方法是对subhabrata sen提出的应用协议特征方法的改进。针对种类繁多的应用层协议采用了两级匹配结构,提高效率。
应用识别模块在linux环境下使用libpcap开发库,通过旁路监听的方式实现。在设计的时候考虑到数据报文处理的效率,采用了类似于linux下的netfilter框架的设计方法,结构见图1。
采取上述流量识别框架的优点:(1)在对tcp报文头的查找中使用了哈希散列算法,提高了效率;(2)借鉴状态防火墙的技术,使用面向流(flow)的识别技术,对每个tcp连接的只分析识别前10个报文,对于该连接后续的数据报文则直接查找哈希表进行分类,这样避免了分析每个报文带来的效率瓶颈;(3)模式匹配模块的设计使得可扩展性较好。
在匹配模块设计过程中,笔者发现如果所有的协议都按照基于协议特征的方式匹配,那么随着协议数量的增大,效率又会成为一个需要解决的问题。
因此,在设计应用流识别模块时,笔者首先考虑到传输层端口与网络应用流之间的联系,虽然两者之间没有绝对固定的对应关系,但是它们之间存在着制约,比如:qq协议的服务器端口基本不会出现在80, 8000, 4000以外的端口;http协议基本不会出现在80, 443, 8080以外的端口等,因此,本文在流量分析过程中首先将一部分固定端口的协议使用端口散列判断进行预分类,提高匹配效率。
对于端口不固定的应用流识别,采用两级的结构。将最近经常检测到的业务流量放在常用流量识别子模块里面,这样可以提高查找的速度。另外,不同的网络环境所常用的网络应用流也不同,因此,也没有必要在协议特征库中大范围查找。两级查询匹配保证了模型对网络环境的自适应性,它能够随着网络环境的改变以及网络应用的变化而改变自己的查询策略,但不降低匹配效率。应用流识别子模块的设计具体结构见图2。
3风险评估模型
本文采用基于流量分组技术的风险评估方法。流量分组的目的是为流量的安全评估提供数据。
3.1应用流的分组
网络应用种类多、变化频度高,这给应用流的评估带来了麻烦,如果要综合考虑每一种应用流对网络带来的影响,显然工作量是难以完成的。因此,本文引入应用流分组的概念。应用流分组的目的是从网络环境和安全角度的考虑,将识别后的流量进行归类分组。笔者在长期实验过程中,根据应用的重要性、对网络的占用率、对网络的威胁性等因素得到一个较为合理的分组规则,即将网络流量分为:关键业务,传统流量,p2p及流媒体,攻击流,其他5类。应用流分组确定了流量评估的维度,这样有利于提高评估的效率。表1列举了部分应用流的分组。
应用流分组模块有2个功能。首先是将检测到的各种应用流量按照表1中的分组归类,并计算各分组应用流量的大小、连接数目、通信主机数目3个方面的信息,并以一定的时间周期向流量安全评估模块传送数据。另外一个是在安全事件出现时,向安全响应模块提供异常应用流名称和其他相关信息。应用流分组模块的输入是各应用流的流量大小,而输出有2个:
(1)整个网络的流量分布矩阵。
(2)异常主机流量分组中的成份。
笔者引入流量矩阵的概念。流量矩阵a的数学定义为
其中,aij表示第i台主机的第j组流量的大小,aij的单位为实际流量的单位大小。流量矩阵反映了网络中信息流动的整体情况。
由于tcp/ip协议的广泛应用,网络流量中的绝大部分使用基于tcp的传输层协议,因此传输层的网络连接数也在一定程度上反映了网络流量的情况。定义网络连接数矩阵为
其中,lij表示第i台主机第j组应用流的网络连接数。
在网络通信过程中,每个流量分组的通信主机数量具有参考价值,在此引入通信主机数量矩阵,数学描述为
其中,hij为表示某一分组流量的通信主机数目。
另外,流量分组模块在接收到安全响应模块的请求时,会向其发送该异常网络节点的应用流类别信息。
信息内容为:主机ip地址,主机应用流分组名,应用流名称列表。
3.2应用流的风险评估
网络流量的特征是网络安全性的重要表现。本节主要描述网络用户流量的安全评估过程和机制。流量的安全评估实际上是网络风险评估过程的一部分。风险评估的方法有定量评估、定性评估和定性与定量结合的评估方法。在此本文借鉴风险评估定性与定量结合的方法设计流量的安全评估子模型。
本节首先确定该模型的评估的对象、指标和目标,评估的具体方法如下:
(1)流量安全评估的对象是每个网络节点的应用流分组。
(2)评估对象的定量指标分别是网络流量大小、网络连接数和网络通信主机数。
(3)评价的目标是确定各应用流的安全性。
(4)评估方法是以先定量后定性的方法为原则,具体方法如下:
1)制定各分组流量的安全评估规则,为量化评估提供依据。
2)参照安全评估规则,根据3个量化指标评价网络用户流量的安全性,并得到安全评分。
3)根据安全性评价集,将量化后的安全评分指标定性化。另外,对于攻击流进行特别评估,并且当出现攻击流时,攻击流安全等级代表主机安全等级。
安全评估子模型的结构如图3所示。
3.2.1各分组流量的安全定量评价
对于不同分组的通信行为和流量特点,本模块采用分指标量化评估的方法进行安全评估。表2中各指标的安全性划分是根据实验得出的结论。
对于各流量安全评估节点,a各节点应用分组流量的集合;l为网络连接的集合;h是各节点通信主机数集合;sij是各节点量化评估的结果集合。定义安全评估函数f(a,l,h)=sij(1≤ i ≤ n, 1≤ j ≤ 5),用于表示目标节点流量安全评估的量化结果,从而实现对目标安全状况的定量分析。
将该评价方法设为f则该过程可用数学描述如下:
其中,sij为各网络节点中应用流分组的安全评分。
3.2.2流量安全定性评价
量化后的安全评分对与安全程度的描述仍然有很大的不确定性,因此,需要将安全评分定性化以确定其所在的安全级别。每个安全级别确定安全分数以及对于攻击流的安全等级划分如表3—表5所示。
以上5个安全等级对于流量的安全性的区分如下:
(1)安全状态表明该分组流量属于正常情况;
(2)可疑状态表明该分组流量中有可疑成分或流量大小超过正常情况;
(3)威胁状态表明该类流量威胁到网络的正常运行和使用;
(4)危险状态主要指该分组流量危害网络的正常运行;
(5)高危状态表明该类分组的流量成分已严重危害网络正常运行。
量化安全评分经过定性划分后可以得到一个定性的流量安全评估矩阵th,将该过程用运算h表示为
其中,tij为第i台主机第j组应用流的安全等级。
4实验结果
4.1应用流的识别率
由于taras系统能够识别多种应用流量,因此识别算法的准确性是一个重要的指标。网络环境重的各种因素以及网络应用协议特征不断变化等原因,taras系统对应用流的识别存在漏报和误报的间题。应用流的识别率见表6。由表6的统计数据可以看到,taras对各种协议的识别存在漏报和误报的情况。具体来看,emule应用由于大量使用udp传输数据,因此识别率不高。另外,http协议通常使用传输层80端口,但这个端口也被qq和msn 2个聊天软件使用,除此之外一些木马后门程序为了防止防火墙的封杀也往往使用该端口,因此,在识别过程中http协议会产生误报,即将非http协议数据也当作http协议计算。
4.2应用流的风险评估
为了测试taras系统风险评估的准确性,笔者在拥有8台主机的局域网中做相关测试,并以其中3台(主机17、主机77和主机177)进行实验。局域网内8台主机各应用分组流量状况如表7所示。关键业务和其他应用的分组流量为0。
主机17使用传统应用ftp执行下载任务,其他流量分组中无或只有极少流量,从表7可以看出,该主机的传统应用分组流量达到2 mb/s,此时传统应用流量分组应该达到威胁级别,而其他分组应该都是安全级别,主机的总体评价为安全。主机77不断受到nimda蠕虫病毒的攻击,从表7可以发现,该主机高危分组的流量为2 048 kb/s,此时该分组应该达到高危级别,而其他分组由于流量为0因此为安全,主机的总体评价为高危。主机177使用bt进行下载,并使其流量达到1 536 kb/s,根据风险评估策略,该主机的p2p及流媒体分组应该达到威胁级别,其他分组应该都是安全级别,主机的总体评价为安全。表8为tetras系统对表7所示流量状况进行评估所得的风险评估结果。
对比表7和表8可以发现,taras系统能够正确地对网络中各主机流量状况进行风险评估。同时该实验结果也证实:虽然taras系统对于应用流的识别存在一定误差,但是该误差没有严重影响网络运行状况和风险级别安全,误差在可接受范围内。
5结束语
本文针对当前网络管理面临的问题,将应用流成份分析和风险评估引入到网络流量分析和评估领域中,设计并实现了应用流分析和评估系统——taras。该系统主要解决网络流量管理中的2个问题:
第2篇:风险分析与评估范文
关键词:流域 洪水 风险图
1引言
我国的洪涝灾害从出现频率、影响范围到造成的损失都是世界最为严重的国家之一。据统计,在过去的2000多年中,中国发生的有史料可查的重大洪水灾害就达1600余次。新中国成立以来,经过40多年的治理,全国江河流域的防洪形势有了重大改观。但是,由于洪水的影响因素众多和人类对自然界认知的局限性,目前尚无法从确定性的角度预知未来相当长时期内洪水发生的确切时间和真实过程,加之经济条件的限制和出于环境方面的考虑,洪水灾害目前还难以彻底防范或根本消除。近年来,随着人口的持续增长和经济的迅猛发展,我国洪涝损失具有逐年增大的趋势。在新形势下,建立洪水风险的概念,使人们经常认识到洪水发生的可能性和洪灾的后果,将有助于机构和个人更好地防范洪水灾害。
洪水风险是指未来可能引起灾害性后果洪水发生的概率或频率,洪水风险图则是对洪水风险及后果定量化和图形化的体现。一般,洪水风险图应该是三位一体的组合:
(1)流域洪水发生的频率;
(2)流域类洪水的淹水区域分布及有关说明;
(3)洪水灾害可能造成的各类损失。
洪水风险图可以使人们更直观地了解和认识到灾难性洪水发生后可能的水文后果和灾害损失概况,及时做好防御洪水的准备,以防患于未然。防洪决策人员可以对于流域重大的洪涝灾害发生的原因和可能后果做到胸中有数,在灾情即将发生或已经发生时,能够做到临危不乱,迅速制定合理的调度方案和采取正确抢险救灾措施,将洪灾损失减少到最小程度。
2 分析流域洪水淹没状况的方法
2.1 实际洪水法
实际洪水法的基本假定是流域自然地理特征保持基本不变条件下,洪水具有重现性。因此流域历史上已经发生过的大洪水实际淹没实况,可以作为现在和未来同类洪水重现时的淹没状态。分析历史洪水淹没实况主要有以下几种途径:
(1)对于近期发生的洪水,利用流域实测水文资料和灾情资料可以较为可靠地分析洪水特性及相应的淹没范围、淹没深度和淹没时间。
(2)对于缺乏资料或年代较为久远的洪水,可以通过调查考证的途径[1]分析洪水发生时的淹没情况。调查考证的内容包括对沿洪水路径洪痕调查,查阅有关洪涝灾情的历史文献记载,走访洪泛区居民等。
(3)洪水径流是塑造地貌的重要外力,洪流的侵蚀、搬运和堆积作用形成的洪水地貌包括废河道、天然冲积堤、冲积扇(洪积平原)、河漫滩(冲积平原)、沼泽地、三角洲等[2]。通过对洪水地貌分析,可以大致上分析出洪水径流的强度、范围和水深,作为分析淹没实况的依据。
(4)对于河流早已改道远古时生的大洪水,可以通过水文地质地貌分析并结合水力学方法估计古洪水的水位和流量,近似推算古洪水重现时的淹没情况。
实际洪水分析途径主要适合于天然流域,一般不能估计流域城市化、防洪工程和防洪措施的效应。
2.2 水文学和水力学方法
水文学和水力学方法是根据流域现状或规划条件下土地利用特征和工程条件,采用水文学和水力学方法分析推求流域洪水泛滥后的淹没状况。目前国内外流行的水文学和水力学方法和模型众多,采用何种方法和模型应该针对流域水文地理特征、工程调度方式、资料条件以及计算精度来选择应用。
(1)由设计暴雨推求设计洪峰或设计洪水过程线可以采用水文学方法,如推理方法、径流系数折算法、先损后损法、下渗曲线法、降雨径流相关图法、蓄满产流模型、超渗产流模型[5]等。
(2)由设计洪峰推求河道洪水位,可采用水面曲线法、回水曲线法、经验公式等。位于河道洪水位以下的区域可作为可能的洪水淹没区域作进一步分析。
(3)由设计洪水过程线推求水位过程线,常用的水文学方法包括单位线法、等流时线法、抵偿河长法、马斯京根法、调蓄演算法[3]等。
(4)对于河网汇流或坡面漫流计算采用水力学方法比较合适,如一维非恒定流和二维非恒定流方法[4],以及它们的简化形式等。采用水力学方法可以根据分析要求推求河道或流域水深、流量、蓄水量的时空分布。
水文学和水力学方法计算结果频率概念明确,可以分析和模拟土地利用、工程建设、调度方式、边界条件变化情况下的洪水状态,在洪水风险分析中应用较为广泛。 3洪灾损失统计评估
3.1流域社会和经济特征统计
对流域的社会和经济数据应分门别类进行统计或估算。各种资料来源应尽可能,可以采用当年或上年度本地区社会和经济统计年鉴。在有条件情况下,应该直接去当地收集最新和更详细的资料,以满足洪灾损失估算的要求。需统计的基本资料包括:
(1)城镇和村乡人口、土地利用情况、耕地面积;
(2)各工矿企业固定资产和工业产值;
(3)农、林、牧、副、渔业产值及固定资产;
(4)单位和居民固定资产;
(5)服务和社会性行业产值和固定资产;
(6)公路、铁路、通信、供水、供气等各类生命线的分布;
(7)参加洪水保险的企业、居民数和保险金额。
3.2洪灾损失评估
一般,洪灾损失评估内容包括这样几个方面:
(1)灾害影响的范围和强度。范围用面积或区域表示;灾害强度定性为若干级,如特大、重大、大、中、小等;
(2)造成的经济损失。按工业损失、农业损失、商业损失、居民损失、其它行业损失等分类统计,也可以分地区统计;
(3)生命线受害统计。所谓生命线系指交通系统、供电系统、供水系统、供气系统、邮电系统等,一般可按系统中断时间计;
(4)人员伤亡数目;
(5)环境污染及疾病传播情况;
(6)社会影响。
经济损失评估是灾情评估的主要内容,但人员伤亡、水源污染、疾病流行、社会不安定、生命线受损影响等是无法用货币表示的无形损失,在评估过程中须单列考虑。
洪水灾害所造成的经济损失包括直接损失和间接损失。直接损失主要是由于洪水直接淹没所造成的集体及个人财产损失;间接损失指由于洪水期交通、电力中断,厂房、设备受损等造成的产品成本增加及停产、误工损失,以及合同无法按期完成的违约损失等,还包括防洪抢险、灾民撤离、疾病防治、灾后恢复等费用。由于对间接损失的详细分析和精确估计是很困难的,一般是根据典型实例的调查结果或经验估计得出间接损失占直接损失的百分数来作为间接洪灾损失估算的依据。
对于不同灾区,由于地形地貌、经济状况、季节、淹没程度、抢救措施的差别,洪灾损失是不同的。但对于确定地区,洪灾损失的影响因素主要是淹没程度。如果资料充足,能够分区分类建立洪灾损失与淹没水深、淹没历时之间的相关系,则灾情损失评估结果更为方便和可靠。
4 洪水风险图绘制
针对某一风险的洪水,根据分析和计算洪水淹没的范围、深度及相应的经济损失,按一定的规格描绘和标明在流域地形图上,便得出洪水风险图。
洪水风险图采用大比例尺地形素图勾绘而成,比例尺大小可根据流域面积、洪水频率、淹没范围、资料条件以及精度要求而定。在勾绘洪水淹没范围的边界时,要考虑洪水的可能路径,结合地形情况,由比较熟悉当地地形且有经验的技术人员绘制,最好在实地查勘后进行。对可能淹没区域,应设置彩色编码区,其颜色及深浅可以表示淹没深度的变化。风险图上应标注重要部门和单位,如政府机关、大型厂矿企业、学校、医院、金融机构、居民区、村镇,以及重要设施,水利工程,交通枢纽,通讯线路等。另外,图上应明确标明紧急情况下人员转移、疏散的路线及地点。图的下方有专门说明框,简要说明洪水风险图的基本特性,包括暴雨洪水频率、淹没区域、淹没水深、淹没历时、流域社会经济主要特征值、淹没区经济损失评估结果等。另外还需说明风险图上各种标记、代号的含义。
洪水风险图绘制完成后,应出具一份编制说明,内容主要包括:
(1)流域水文、气象和地理特征,排水系统和水利工程概况,历史上典型洪涝灾害特点及后果;
(2)流域社会经济特征统计;
(3)分区域阐述风险图上洪水灾害的特点和性质,灾害后果和经济损失;
(4)洪水风险图的制作依据、方法和存在问题;
(5)洪水风险发生时的应急措施;
(6)洪水风险图的应用范畴;
(7)其它说明事项。
5 结语
流域洪水风险图可以定量和直观地描绘遭受洪水淹没风险的区域和洪灾造成的损失,属流域非工程防洪措施之一。通过洪水风险图提高了全民防洪意识,为各级政府指挥抗洪提供了决策依据,具有现实的社会效益和经济效益。
本文简要论述和分析了适合于流域洪水风险图编制的一些方法,侧重讨论了推求洪水淹没状态的若干途径以及洪灾损失统计评估的内容。虽然其中的一些理论和方法还不够成熟和完善,但出发点是希望有助于流域洪水风险图编制工作的深入开展。今后将在洪水风险分析领域作进一步的研究工作。 参考文献
[1 ]水利部东北勘测设计院.洪水调查.北京:水利电力出版社,1977.
[2] 孙桂华等编译.洪水风险分析制图实用手册.北京:水利电力出版社.1992.
[3] 庄一翎,林三益.水文预报.北京:水利电力出版社.1992.
第3篇:风险分析与评估范文
【关键词】P2P网络借贷 信用风险 商业模式
一、P2P信贷概述
所谓P2P(Peer to Peer)信贷,银监会官方翻译为“人人贷”,即有资金并且有理财投资需求的个人,通过中介机构牵线搭桥,使用信用贷款的方式将资金贷给其他有借款需求的个人,并获取利息的一种信贷方式。其中,中介机构负责对借款方资信状况的考察,并从中收取账户管理费和服务费等费用。
2005年3月,人人贷鼻祖Zopa成立,以“摈弃银行,每个人都有更好的交易”的旗号,为网站会员提供相互借贷的平台,借贷利率完全由会员自主商定,Zopa负责对借款人进行风险评估,这是最原始的P2P借贷平台。
此前在国外,P2P网贷已十分流行,它被看做是一种可以有效解决某些小额贷款人需求的金融补充模式。而在中国,一方面巨额的民间游资迫切寻找“出口”,另一方面众多小微企业和个人急需资金、却因种种原因无法通过银行或贷款公司取得贷款。在这样的背景下,P2P网络信贷模式应运而生。2013年,几乎可以视为中国互联网金融元年的一年。经过三年的爆炸式发展,现如今中国P2P网贷已经成为中小企业融资者的便利融资渠道和普通大众投资者的重要投资渠道。
二、对P2P信用风险的评估
(一)信用风险概念基本阐述
信用风险(Credit Risk)又称违约风险,是指交易对手未能履行约定契约中的义务而造成经济损失的风险,即受信人不能履行还本付息的责任而使授信人的预期收益与实际收益发生偏离的可能性,它是金融风险的主要类型。(来自维基百科:Credit Risk)在这里,为了进一步细化损失原因,从借贷双方角度出发,可以大致分为两点:一个是借款主体由于各种因素不能按期还贷造成违约而产生的损失;另一个是借款人信用水平和偿债能力的变化(如运营状况的变化)对放贷资本能否如期正常回收的影响。前者侧重于违约带来的风险,而后者强调放贷资本的回收成功率以及回收贷款的质量变化等。
(二)P2P借贷技术下的评定指标
关于P2P信用风险的具体影响因素,在这里我们将通过两方面进行探究:
由于技术与知识水平限制,下述模型将单另从个人融资者信用风险的角度进行建模,以国内最大的P2P借贷平台为数据来源。(选取的具体变量下文详述)
三、模型综述
本项目中,我们采用了LocoySpider数据采集软件,利用网络P2P借贷平台的贷款页面的URL规律进行数据采集。由于在P2P贷款中,每笔贷款交易的排列顺序是依据借款时间的,而网址URL的结束部分正好也是每笔贷款的编号,因此我们可以采用这种方法帮助我们的数据选取。我们将贷款编号列在excel软件的第一列,利用函数读取网页对应的编号,然后将网页转化成文本的格式,LocoySpider软件通过捕捉每个页面特定位置(由于数据都是在每个页面的固定位置的),将对应位置的变量数据采集至excel表格下面的其他列。
我们的数据来源是拍拍贷网站()。借助LocoySpider软件,我们总共采集了534组有效数据,其中有49组的用户存在信用风险,即有9.1%的违约率。我们的变量主要集中于以下4个方面,即信用、历史借贷记录(即借贷表现)、借贷信息以及借贷者个人情况,其中个人情况又细分为性别、年龄两项。
由统计数据可知,在样本中具有违约纪录(即存在信用风险)的用户,以男性为主,且26~45岁用户为使用P2P借贷平台的主要群体。
本文选择排序选择模型(ordered choice model)作为实证分析的方法,它通过可观测有序反应数据来反映潜在变量的规律,而这些规律恰恰一般是不可研究的。我们设解释变量为x,设目标变量为y,二者之间关系为线性。
模型假设:
由于该模型为概率模型,有多个等级,我们不妨设总共有M个等级,根据模型内容,我们采用极大似然估计法,其中c1,c2,c3…是M临界值,一同参加估计。其中观测到yi不同等级的概率表达式上述我们总共划定了6个变量,下面的表格对这些变量有具体说明以及赋值方法。
主要变量具体说明、取值方法
依托以上变量建立的待估计方程表达式如下:
通过SPSS运行模型,进行回归分析,具体结果如下:
拍拍贷P2P网络借贷风险变量回归分析
由上述回归分析可得:
信用认证等级p1:本次回归分析中,我们发现信用认证等级竟与风险呈现正相关的关系。按照常理,信用风险与信用等级应该是负相关的。这就不免促使我们去审视P2P平台对于信用的评定方式了,可能因为平台能力的限制而对评级并不能够给出准确有效的评定,因此平台上的信用评级并不能为用户借贷提供准确的信息,并未有效起到规避信息不对称风险的作用。
历史借贷记录p2:违约次数理论上应该是与风险成正相关的,而我们发现其系数并不高,可能也有其他用户看到该用户历史借贷记录而主动规避风险的因素。
还款利率p3:利率与风险是成正相关的,这也与我们惯常的认知“收益高,风险高”有关,其系数较大,说明其对信用风险的影响是较强的。
性别p4:我们可以发现,男性信用风险普遍是高于女性的,呈现出一定的性别差异,说明风险与用户人群的特定特征也是有关系的。
年龄p5:我们可以发现,年龄越高,信用风险越低,即成负相关关系。对此的一种解释为,年轻用户群体由于工作、资金来源等都不稳定,其借贷稳定性也较低。相应地,年龄较大的借贷者是有着一定稳定经济基础的,故借贷稳定性高。
由以上分析我们不难看出:首先,借贷风险是与用户的特定特征有着关系的,这对于借贷者的个人决策可能会有作用;其次,在历史借贷记录、还款利率两项中,其都与我们的惯常认知相符,用户在借贷时查看对方的历史记录对于决策也是有作用的;第三,也是最重要的一点,即我们发现信用认证评级对于规避风险的作用并不显著,甚至是反向的,这与我们的惯常认知是相悖的,这就提醒借贷者在决策时并不能依赖平台的审核与风险认证。在平台对风险预估不准确、保障缺位的情况下,这就要求有维权的部分机构在场,或是有政府建立的监管体系对借贷者权益进行保障。
四、政策建议
(一)从政府的角度
1.明确法律地位,完善法律法规。我国早在2008年,由央行起草的《放贷人条例》草案就已提交国务院法制办,旨在使民间借贷通过国家立法的形式获得规范。在此,建议尽早出台《放贷人条例》,明确P2P网络借贷的民间借贷性质,规范P2P网络借贷的发展。此外,还建议国家尽快出台《互联网个人信息保护法》,以规范互联网金融企业对个人信息的使用。
2.明确监管主体,加快监管制度建设。我国政府对第三方支付已经制定较为明确的监管机制,由中国人民银行负责监管。政府可以考虑以分业监管为出发点,充分发挥银监会、证监会和中国人民银行等监管机构的作用,各监管机构进行职责分工,分别监管互联网金融的某种业务模式和产品,其中P2P网络借贷交由银监会监管。另外,关于P2P网络借贷的监管制度,我国正在加紧制定。虽然政策还未出台,但监管思路基本明确。因此,期待监管制度能尽早颁布,同时希望将出台的监管政策能平衡好P2P网络借贷的创新和规范,从而促进其健康发展。
(二)从P2P网络借贷平台的角度
P2P网络借贷平台所扮演的角色应该是独立于贷款者与借款者交易关系的第三方,它不该像传统金融机构一样成为金融中介,而应该是单纯的信息中介。因此,P2P网络借贷平台应明确自身金融职责,加强自身道德建设,避免发生卷款跑路的情况。另外,P2P网络借贷平台应强化自身的操作流程,比如强化风险评价体系的设计、扩大相关信息的披露范围、积极落实资金托管政策等。P2P网络借贷行业协会、联盟等组织应切实发挥自律作用,要求平台在不涉及商业机密的条件下,对涉及用户资金安全的数据进行披露,并对投资风险作出相关的说明,以供贷款者作出理性的投资决策。针对P2P网贷平台自身可能出现的信用风险应建立惩罚机制,比如行业内通报、罚款、封杀等,加强行业内监督,完善黑名单公示机制。
(三)从借款者和贷款者角度
在借贷过程中,借款者与贷款者直接建立借贷关系,如何长期获得贷款者的信任,是借款者能够获得持续借款的前提。因此,这些借款者应努力建立市场信誉,降低信用风险。对小微企业来讲,可以从完善企业内部制度、提供符合企业真实情况的财务数据等方面入手。对个人来讲,可从提供真实的个人相关资料入手。对贷款者来说,P2P网络借贷平台上可选择的产品更多,投资回报率高,但多数贷款者可能在选择投资产品时盲目跟风,缺乏自己的主观判断。因此贷款者应增强网络投资的谨慎性,多学习投资的相关知识,提高自身的理财规划能力与投资判断力,作出理性的投资决策,从自我意识的角度降低来自互联网金融平台的信用风险。
参考文献
[1]Chaodong Han.A Comparative Study of online P2P Lending in the USA and China [J].Journal of Internet Banking and Commerce,August 2012,vol.17,no.2,1-3.
[2]肖曼君,欧缘媛,李颖.我国P2P网络借贷信用风险影响因素研究[J].2015年1月,财经理论与实践,第36卷,第193期,3-5.
[3]雒春雨.P2P网络借贷中的投资决策模型研究[D].大连:大连理工大学,2012年6月,32-34.
第4篇:风险分析与评估范文
一、国别风险的范畴
一国的商业银行在另外一个国家从事贷款业务,借款国政治、经济、社会等情况变化以及自然灾害或世界经济情况的变化可能给放贷国家商业银行造成巨大风险。从概念上讲,国别风险即指跨国界从事信贷、投资及金融交易时所可能蒙受的损失及收益的不确定性。
国别风险管理的核心是:一、评估银行资金投放国的经济趋势、政治发展与社会前景;二、银行董事长和高级管理层决定银行愿意承担的国别风险敞口;三、银行内部为监控国别风险敞口而设定的系统根据国别风险敞口配置风险资产。
二、衡量国别风险的思路和方法
评估国别风险时,金融机构可以使用不同的方法从高度定性方法到高度定量的方法。而且,与国内信用分析一样,金融机构可以依靠外部评估机构的服务,也可以开发自己的内部评估模型。
1、外部评估模型
(1)《欧洲货币》衡量的国别风险范畴包括政治风险、经济风险、债务指标、违约债务或重新安排的债务情况、信贷评级、获得银行融资的能力、获得短期融资的能力、进入国际资本市场的能力、福费廷的折扣等九项内容。
式中,A为范畴权重;B为范围内的最低值;C为范围内的最高值;D为个体值。其中在债务指标和违约债务的计算中,要将B、C颠倒过来,最低值权重最高,最高值权重最低为0。
(2)PRS集团的国别风险评估包括政治、财务和经济三个范畴。政治风险的组成因素包括:经济预期与现实的反差、经济计划的成效、政治领导人的表现;财务风险防线包括:贷款违约状况或有无对贷款人不利的重构等的可能;经济风险因素包括:通货膨胀水平、债务占出口商品和服务的比重。其计算方法如下:
国家综合风险(CRR)=0.5×(PR+FR+ER)
式中,PR为政治风险评级;FR财务风险评级;ER为经济风险评级。
(3)世界市场研究中心(WMRC)的评级办法考虑六个因素,即政治、经济、法律、税收、运作和安全性。对每个国家六项考虑因素中的每一项都给出风险评级,分值为1~5,1表示最低风险,5表示最高风险。风险评级最小的增加值是0.5。国别风险的最终衡量根据权重,综合六个因素的打分情况得出。其中政治、经济风险各占25%的权重,法律和税收各占15%,运作和安全性各占10%。
2、内部评估模型
金融机构的风险控制部门通过选择一套宏观和微观经济变量及解释国家重新安排债务的可能性中较重要的比率,然后由风险控制部门使用重新安排和没有重新安排债务的国家的历史数据,确定那个变量可以最好地区别重新安排债务的国家与没有重新安排债务的国家。这可以帮助风险控制部门辨别能最好地解释重新安排的一系列变量和表示这些变量相对重要的一组乘数。
首先挑出一组在重新安排债务概率方面很重要的变量,在这里根据国外金融机构资料,我们确定通常包括在国别风险概率模型中的变量:
①外债偿还率(DSR)
DSR=利息加上债务分期偿还额/出口
用硬通货的债务偿还额相对于出口收入的比例越大,国家必须重新安排债务的概率越大。因此,外债偿还率与重新安排债务地概率之间呈正相关。
②进口率(IR)
IR=总进口/总外汇储备
一国需要的进口越多,特别是关键的进口,其消耗的外汇储备就越快。进口额与外汇储备的比例越大,其必须重新安排债务偿还的概率越大,所以,进口率和重新安排债务的概率是呈正相关。
③投资率(INVR)
INVR=不动产投资/GNP
投资率计量一个国家将资源配置到工厂、机器等真实投资而不是消费的程度。这个比率越高,未来的经济生产力越强,国家需要重新安排债务的概率越低,表明投资率与债务重新安排概率是呈负相关。
④出口收入方差(VAREX)
数量方面的和价格方面的剧烈波动使得一国出口收入成为一个很不确定的变量。因此一国的出口收入波动越大,贷款人在未来时间那收回贷款的确定性越小,即 与债务重新安排的概率是呈正相关。
⑤国内货币供应增长(money supply growth, MG)
MG=货币增长量/货币供应量
一国国内货币供应增长越快,国内通货膨胀率越高,该国货币在国内、国际上越弱。当一国货币作为交易媒介的信用丧失时,则国家越来越不得不依靠硬通货来支付国内、国际款项。因此,国内货币供应增长率与债务重新安排的概率是呈正相关。
至此,我们可以总结任何国家的五中关键经济变量与债务重新安排的概率(p)之间的关系:
p=f(DSR、 IR、INVR、VAREX、MG)
p1=坏(债务重新安排国)
p2=好(非债务重新安排国)
然后,风险控制部门使用统计方法,如可利用判别式法,来判断这些变量中哪个最适合用于辨别重新安排借款国和非重新安排借款国,一旦关键变量和它们相对重要行或权数被判定出,运用DSR、IR等目前的观测值可以用判别式方程将目前的国家贷款或国家贷款申请者分为好与坏两类。
三、国别风险管理策略
在已知国别风险大小的情况下,商业银行可以采取相应的措施进行管理。主要如下:
1、设定风险限额。从事国别风险评估与国家风险等级划分主要是为了将评估分析的结果应用于对每一贷款国家制定不同的信贷限额,以此作为信贷警戒线,从而改进对某一市场的贷款决策与日常负债管理,分散信用风险。
2、管理信用债权风险债权。指银行暴露于某一国家的风险性资产,在对风险性资产进行分析时,最困难的是决定风险归属。划分风险性债权方法有:(1)法定归属,按照最后应负偿还责任或保证责任的国家作为归属的依据。(2)经济或功能归属,指按借方还款来源所在国为归属的依据。
3、减轻风险损失。有效地划分风险归属滞后,就可以采取措施减轻风险损失。其中主要方法有:寻求第三者保护、采取银团贷款方式进行、贷款多元化。
第5篇:风险分析与评估范文
摘要探讨科技评估与风险投资风险管理之间的内在联系,从阐述科技评估与风险管理的概念、方法等入手,研究将科技评估运用于风险管理的可行性。
关键词科技评估风险投资风险管理
1科技评估
1.1科技评估的概念
2000年12月28日科技部颁发的《科技评估管理暂行办法》将科技评估定义为“是指由科技评估机构根据委托方明确的目的,遵循一定的原则、程序和标准,运用科学、可行的方法对科技政策、科技计划、科技项目、科技成果、科技发展领域、科技机构、科技人员以及与科技活动有关的行为所进行的专业化咨询和评判活动”。从更广泛的意义上来讲,科技评估是对与科学技术活动有关的行为,根据委托者的明确目的,由专门的机构和人员依据大量的客观事实和数据,按照专门的规范、程序,遵循适用的原则和标准,运用科学的方法所进行的专业化判断活动。其结果要归结为能够回答委托者特定目的评估结论和评估分析。
1.2科技评估的范畴
科技评估的范畴主要是职能性评估和经营性评估两大方面,职能性评估是指对政府科技活动有关行为进行的客观的、科学的评价和判断,为政府有关部门发挥决策、监督职能提供服务。经营性评估是指对企业或其他社会组织与科技活动有关行为进行的客观的、科学的评价和判断,为他们对被评事物的决策、判断提供参考依据。在市场经济条件下,科技评估作为一种咨询活动,不应仅仅只为政府决策服务,还应深入到市场中的各类科技活动之中,接受非政府机构委托的评估任务,如企业投资项目的科技评估、风险投资机构投资的科技评估、企业产权交易中的科技评估等。
1.3科技评估的分类
科技评估可从不同角度分类。从评估时间上,可分为事先评估、事中评估、事后评估和跟踪评估四类。事先评估是在某项科技活动实施前所进行的评估,主要包括实施该项活动必要性和可行性两方面内容。它常常带有预测的性质,但不同于一般的预测分析;事中评估是在科技活动实施过程中进行的监督性评估,着重检验是否按照预定的目标、计划执行,对前面工作的进展与预期效果进行比较,并对未来进行预估,以发现问题,调整或修正目标与策略;事后评估是科技活动完成后进行的评估。另外,从评估空间上,可分为国家评估和地方评估;从评估规模上,可分为宏观评估、中观评估和微观评估;从评估方法上分,可分为定性评估、定量评估及定性与定量相结合的评估;从评估形式上,可分为通信评估、会议评估、调查评估、专访评估和组合评估等。
1.4科技评估的方法
评估方法有广义和狭义两种概念,广义概念包括评估准备、评估设计、信息获取、评估分析与综合、撰写评估报告等评估活动全过程的方法,狭义概念特指评估分析与综合的方法。
科技评估可选用的方法多种多样,关键是要依据不同对象,有针对性地选择评估方法。常用的分析评价方法有定性和定量结合的方法、多指标综合评价方法、指数法及经济分析法和基于计算机技术的评估方法等。
2风险投资的风险管理
风险管理是通过对风险的识别、衡量和控制,以最少的成本将风险导致的各种不利后果减少到最低限度的科学管理方法。风险投资的风险管理的出发点和归宿,都是企图运用系统的、综合的现代科学管理方法,有效地扩大投资活动的有利因素,控制和抑制不利因素,达到以最小的成本,安全、可靠地实现风险投资利益的最大化。
2.1风险识别
风险识别是风险管理的第一步,是指对企业面临的,以及潜在的风险加以判断、归类和鉴定风险性质的过程。存在于企业自身周围的风险多种多样、错综复杂,无论是潜在的,还是实际存在的,是静态的,还是动态的,是企业内部的,还是与企业相关联的外部的,所有这些风险在一定时期和某一特定条件下是否客观存在,存在的条件是什么,以及损害发生的可能性等,都是在风险识别阶段应予以回答的问题。在风险投资中,风险一般可以分为两类:系统风险和非系统风险。系统风险是由公司之外的各种因素引起的,如战争、经济衰退、通货膨胀、高利率等与政治、经济和社会相联系的风险,是不能通过多角化投资而分散的,因此又称作不可分散风险或市场风险。重要的系统风险有政治风险、法律法规风险和政策风险等。非系统风险也被称作可分散风险,它是由公司本身的商业活动和财务活动带来的,如企业的管理水平、研究与开发、消费者需求的改变、市场营销风险以及法律诉讼等,其可以通过多角化投资组合而分散,是公司特有的风险。重要的非系统风险有决策风险、财务风险、信用风险、完工风险和市场风险。作为风险投资者,其关心的往往只是项目的系统风险,因非系统风险完全可以通过合理的投资组合而得到分散。
2.2风险衡量
风险衡量对已经识别的风险进行分析评估,以确定其损害程度的过程。风险衡量的方法分为定性风险评价方法和定量风险评价方法两大类,定性风险评价方法又可分为主观评价法和客观评价法,传统的主观评价法主要有观察法、资产负债表透视法和事件推测法等。现代的主观风险评价方法致力于将传统主观方法涉及到的因素综合在一起,并且设法将传统上的主观方法的定性分析特征转向定量分析上,由此而将主观分析扩展到能够同时完成综合评价风险因素与测量风险临界值的双重任务。现代客观风险评价法中,最具代表性的是“Z记分”方法。作为一种综合评价风险企业风险的方法,“Z记分”方法首先挑选出一组决定企业风险大小的最重要的财务和非财务的数据比率,然后根据这些比率在预先显示或预测风险企业经营失败方面的能力大小给予不同的加权,最后将这些加权数值进行加总,就得到一个风险企业的综合风险分数值,将其对比临界值就可知企业风险的危急程度。定量风险评价方法主要有风险图法、决策树法等。
2.3风险控制
风险控制是指在对风险进行全面的分析之后,实施各种风险控制工具,力图在风险发生之前消除各种隐患,减少损失产生的原因及实质性因素,将损失的后果减少到最低限度。实施风险控制的步骤是风险预测——风险决策——实施决策方案——方案的成果评价。风险控制的主要方法有风险规避、风险预防、风险分散、风险转嫁、风险补偿、风险抑制等。
3科技评估与风险投资的风险管理
科技评估与风险管理既有联系也有区别,科技评估作为一种专业化判断活动,在介入风险投资的风险管理后,其任务便是对风险进行识别和衡量,其结果作为风险投资机构投资决策和制定风险控制实施方案的依据。可见,在风险投资的风险管理中,科技评估实质是风险的识别和衡量的过程,而风险管理还包括了风险控制的实施过程,这样科技评估就可以作为风险管理一个组成部分,实现两者的有机结合,促进共同发展。科技评估与风险投资的风险管理的关系如附图所示:
3.1科技评估是提高风险投资管理效率的重要手段
科技评估经过近十年的发展,已有一整套较为完备的评估规范和技术方法,在评估设计、评估信息采集、综合分析、评估质量控制等方面的研究已较为成熟,同时,由于科技评估机构长期致力于国家和地方各类科技计划、科技项目、科研机构等方面的评估,对于科技产业、科技政策等方面的研究也是其他咨询机构无法比拟的。而我国风险投资业尚处于起步阶段,国家还未出台较为完备的有关风险投资事业的行政法规,风险投资机构的风险管理机制还很不健全,对风险管理人才培训的投入和重视程度还远远不够,因此,将科技评估运用到风险投资的风险管理中将能充分发挥其作用,提高管理效率。
3.2科技评估方法是衡量风险投资风险的有效工具
定量和定性方法相结合是科技评估方法应用的基本思路,这与现代风险评价所采取的方法既有相近又有其独到之处,科技评估中最常用的方法是多指标综合评估方法,它是在对多个影响因素进行分析研究之后,设计一套相应的评估指标体系,并对每一个评估指标都制定具体的标准和统一的计算方法,使其能对金额、人数等可计量的指标进行定量评估,同时对社会影响等因素亦可做定性评估的描述。这与上面介绍的“Z记分”方法仅依靠可计量的数据作为评价基础相比较更为有效。采取科技评估方法衡量投资风险也更为准确、可信。
3.3科技评估是推动风险投资管理创新的动力
引入评估机制,使风险投资机构的投资选择与投资决策相分离,使得风险投资管理更为透明化,也遏止了内部人员的“暗箱操作”等种种不良现象。通过独立的、专业化的评估中介组织的运作,将能使风险投资机构的管理层能更客观地认识到投资风险,从而可集中精力于投资决策,通过管理体制的创新,保证投资的科学性和安全性,也提高了投资成功率。
3.4科技评估参与风险投资管理是其自身发展的需要
科技评估工作现阶段主要是为各级科技行政管理部门,主要是国家和省、市科技管理部门服务,而且大部分科技评估机构是由科技管理部门所属的有关单位,如软科学研究机构、科技咨询机构、科技情报机构等部门产生,但由科技管理部门所属的单位评估科技管理部门的科技项目、科技计划等等,在一定程度和一定范围内不可避免的受到科技管理部门的影响。因而,评估水平难以提高。因此,科技评估机构作为一种社会中介服务机构,和各类资产评估机构一样,应逐步社会化和多元化,如参与到风险投资管理的咨询工作中,只有社会化、多元化,才能充分引进竞争机制,优胜劣汰,提高评估水平,促进科技评估事业的发展。
3.5科技评估促进风险投资实现动态管理
风险投资从进入到退出的全过程中,无时无处不存在着风险,实施某项投资决策前需要进行深入分析以确定各种存在风险的影响程度;进行投资后,还应深入到所投资的企业进行跟踪调查分析,对企业生产经营、财务状况,市场竞争状况,企业的发展趋势与步骤等,经常进行科学的、系统的分析与判断,发现潜在的风险,及时采取有效措施,杜绝它的发生或降低它的危害;风险投资退出后,还要对风险投资的效果进行测评,总结经验与教训,作为今后投资决策的参考。可见,风险投资的风险管理是一个动态的过程,实现管理目标需要实施一系列的评估,科技评估的事前、事中和事后评估能够满足这一要求,促进风险管理动态管理。
参考文献
1国家科技评估中心编.科技评估规范,科技评估概论[M].北京:中国物价出版社,2001
第6篇:风险分析与评估范文
关键词科技评估风险投资风险管理
1科技评估
1.1科技评估的概念
2000年12月28日科技部颁发的《科技评估管理暂行办法》将科技评估定义为“是指由科技评估机构根据委托方明确的目的,遵循一定的原则、程序和标准,运用科学、可行的方法对科技政策、科技计划、科技项目、科技成果、科技发展领域、科技机构、科技人员以及与科技活动有关的行为所进行的专业化咨询和评判活动”。从更广泛的意义上来讲,科技评估是对与科学技术活动有关的行为,根据委托者的明确目的,由专门的机构和人员依据大量的客观事实和数据,按照专门的规范、程序,遵循适用的原则和标准,运用科学的方法所进行的专业化判断活动。其结果要归结为能够回答委托者特定目的评估结论和评估分析。
1.2科技评估的范畴
科技评估的范畴主要是职能性评估和经营性评估两大方面,职能性评估是指对政府科技活动有关行为进行的客观的、科学的评价和判断,为政府有关部门发挥决策、监督职能提供服务。经营性评估是指对企业或其他社会组织与科技活动有关行为进行的客观的、科学的评价和判断,为他们对被评事物的决策、判断提供参考依据。在市场经济条件下,科技评估作为一种咨询活动,不应仅仅只为政府决策服务,还应深入到市场中的各类科技活动之中,接受非政府机构委托的评估任务,如企业投资项目的科技评估、风险投资机构投资的科技评估、企业产权交易中的科技评估等。
1.3科技评估的分类
科技评估可从不同角度分类。从评估时间上,可分为事先评估、事中评估、事后评估和跟踪评估四类。事先评估是在某项科技活动实施前所进行的评估,主要包括实施该项活动必要性和可行性两方面内容。它常常带有预测的性质,但不同于一般的预测分析;事中评估是在科技活动实施过程中进行的监督性评估,着重检验是否按照预定的目标、计划执行,对前面工作的进展与预期效果进行比较,并对未来进行预估,以发现问题,调整或修正目标与策略;事后评估是科技活动完成后进行的评估。另外,从评估空间上,可分为国家评估和地方评估;从评估规模上,可分为宏观评估、中观评估和微观评估;从评估方法上分,可分为定性评估、定量评估及定性与定量相结合的评估;从评估形式上,可分为通信评估、会议评估、调查评估、专访评估和组合评估等。
1.4科技评估的方法
评估方法有广义和狭义两种概念,广义概念包括评估准备、评估设计、信息获取、评估分析与综合、撰写评估报告等评估活动全过程的方法,狭义概念特指评估分析与综合的方法。
科技评估可选用的方法多种多样,关键是要依据不同对象,有针对性地选择评估方法。常用的分析评价方法有定性和定量结合的方法、多指标综合评价方法、指数法及经济分析法和基于计算机技术的评估方法等。
2风险投资的风险管理
风险管理是通过对风险的识别、衡量和控制,以最少的成本将风险导致的各种不利后果减少到最低限度的科学管理方法。风险投资的风险管理的出发点和归宿,都是企图运用系统的、综合的现代科学管理方法,有效地扩大投资活动的有利因素,控制和抑制不利因素,达到以最小的成本,安全、可靠地实现风险投资利益的最大化。
2.1风险识别
风险识别是风险管理的第一步,是指对企业面临的,以及潜在的风险加以判断、归类和鉴定风险性质的过程。存在于企业自身周围的风险多种多样、错综复杂,无论是潜在的,还是实际存在的,是静态的,还是动态的,是企业内部的,还是与企业相关联的外部的,所有这些风险在一定时期和某一特定条件下是否客观存在,存在的条件是什么,以及损害发生的可能性等,都是在风险识别阶段应予以回答的问题。在风险投资中,风险一般可以分为两类:系统风险和非系统风险。系统风险是由公司之外的各种因素引起的,如战争、经济衰退、通货膨胀、高利率等与政治、经济和社会相联系的风险,是不能通过多角化投资而分散的,因此又称作不可分散风险或市场风险。重要的系统风险有政治风险、法律法规风险和政策风险等。非系统风险也被称作可分散风险,它是由公司本身的商业活动和财务活动带来的,如企业的管理水平、研究与开发、消费者需求的改变、市场营销风险以及法律诉讼等,其可以通过多角化投资组合而分散,是公司特有的风险。重要的非系统风险有决策风险、财务风险、信用风险、完工风险和市场风险。作为风险投资者,其关心的往往只是项目的系统风险,因非系统风险完全可以通过合理的投资组合而得到分散。
2.2风险衡量
风险衡量对已经识别的风险进行分析评估,以确定其损害程度的过程。风险衡量的方法分为定性风险评价方法和定量风险评价方法两大类,定性风险评价方法又可分为主观评价法和客观评价法,传统的主观评价法主要有观察法、资产负债表透视法和事件推测法等。现代的主观风险评价方法致力于将传统主观方法涉及到的因素综合在一起,并且设法将传统上的主观方法的定性分析特征转向定量分析上,由此而将主观分析扩展到能够同时完成综合评价风险因素与测量风险临界值的双重任务。现代客观风险评价法中,最具代表性的是“Z记分”方法。作为一种综合评价风险企业风险的方法,“Z记分”方法首先挑选出一组决定企业风险大小的最重要的财务和非财务的数据比率,然后根据这些比率在预先显示或预测风险企业经营失败方面的能力大小给予不同的加权,最后将这些加权数值进行加总,就得到一个风险企业的综合风险分数值,将其对比临界值就可知企业风险的危急程度。定量风险评价方法主要有风险图法、决策树法等。
2.3风险控制
风险控制是指在对风险进行全面的分析之后,实施各种风险控制工具,力图在风险发生之前消除各种隐患,减少损失产生的原因及实质性因素,将损失的后果减少到最低限度。实施风险控制的步骤是风险预测——风险决策——实施决策方案——方案的成果评价。风险控制的主要方法有风险规避、风险预防、风险分散、风险转嫁、风险补偿、风险抑制等。
3科技评估与风险投资的风险管理
科技评估与风险管理既有联系也有区别,科技评估作为一种专业化判断活动,在介入风险投资的风险管理后,其任务便是对风险进行识别和衡量,其结果作为风险投资机构投资决策和制定风险控制实施方案的依据。可见,在风险投资的风险管理中,科技评估实质是风险的识别和衡量的过程,而风险管理还包括了风险控制的实施过程,这样科技评估就可以作为风险管理一个组成部分,实现两者的有机结合,促进共同发展。科技评估与风险投资的风险管理的关系如附图所示:
3.1科技评估是提高风险投资管理效率的重要手段
科技评估经过近十年的发展,已有一整套较为完备的评估规范和技术方法,在评估设计、评估信息采集、综合分析、评估质量控制等方面的研究已较为成熟,同时,由于科技评估机构长期致力于国家和地方各类科技计划、科技项目、科研机构等方面的评估,对于科技产业、科技政策等方面的研究也是其他咨询机构无法比拟的。而我国风险投资业尚处于起步阶段,国家还未出台较为完备的有关风险投资事业的行政法规,风险投资机构的风险管理机制还很不健全,对风险管理人才培训的投入和重视程度还远远不够,因此,将科技评估运用到风险投资的风险管理中将能充分发挥其作用,提高管理效率。
3.2科技评估方法是衡量风险投资风险的有效工具
定量和定性方法相结合是科技评估方法应用的基本思路,这与现代风险评价所采取的方法既有相近又有其独到之处,科技评估中最常用的方法是多指标综合评估方法,它是在对多个影响因素进行分析研究之后,设计一套相应的评估指标体系,并对每一个评估指标都制定具体的标准和统一的计算方法,使其能对金额、人数等可计量的指标进行定量评估,同时对社会影响等因素亦可做定性评估的描述。这与上面介绍的“Z记分”方法仅依靠可计量的数据作为评价基础相比较更为有效。采取科技评估方法衡量投资风险也更为准确、可信。
3.3科技评估是推动风险投资管理创新的动力
引入评估机制,使风险投资机构的投资选择与投资决策相分离,使得风险投资管理更为透明化,也遏止了内部人员的“暗箱操作”等种种不良现象。通过独立的、专业化的评估中介组织的运作,将能使风险投资机构的管理层能更客观地认识到投资风险,从而可集中精力于投资决策,通过管理体制的创新,保证投资的科学性和安全性,也提高了投资成功率。
3.4科技评估参与风险投资管理是其自身发展的需要
科技评估工作现阶段主要是为各级科技行政管理部门,主要是国家和省、市科技管理部门服务,而且大部分科技评估机构是由科技管理部门所属的有关单位,如软科学研究机构、科技咨询机构、科技情报机构等部门产生,但由科技管理部门所属的单位评估科技管理部门的科技项目、科技计划等等,在一定程度和一定范围内不可避免的受到科技管理部门的影响。因而,评估水平难以提高。因此,科技评估机构作为一种社会中介服务机构,和各类资产评估机构一样,应逐步社会化和多元化,如参与到风险投资管理的咨询工作中,只有社会化、多元化,才能充分引进竞争机制,优胜劣汰,提高评估水平,促进科技评估事业的发展。
3.5科技评估促进风险投资实现动态管理
风险投资从进入到退出的全过程中,无时无处不存在着风险,实施某项投资决策前需要进行深入分析以确定各种存在风险的影响程度;进行投资后,还应深入到所投资的企业进行跟踪调查分析,对企业生产经营、财务状况,市场竞争状况,企业的发展趋势与步骤等,经常进行科学的、系统的分析与判断,发现潜在的风险,及时采取有效措施,杜绝它的发生或降低它的危害;风险投资退出后,还要对风险投资的效果进行测评,总结经验与教训,作为今后投资决策的参考。可见,风险投资的风险管理是一个动态的过程,实现管理目标需要实施一系列的评估,科技评估的事前、事中和事后评估能够满足这一要求,促进风险管理动态管理。
参考文献
1国家科技评估中心编.科技评估规范,科技评估概论[M].北京:中国物价出版社,2001
2杜沔.关于风险投资中的风险控制工具的探讨[J].中国科技产业,2001(7)
第7篇:风险分析与评估范文
[关键词]信息系统;风险评估;基于知识的定性分析;风险管理
中图分类号:F062.5 文献标识码:A 文章编号:1009-914X(2013)06-0100-02
随着计算机信息系统在各军工企业的科研、生产和管理的过程中发挥巨大作用,部分单位提出了军工数字化设计、数字化制造、异地协同设计与制造等概念,并开展了ERP、MES2~PDM等系统的应用与研究。这些信息系统涉及大量的国家秘密和企业的商业秘密,是军工企业最重要的工作环境。因此各单位在信息系统规划与设计、工程施工、运行和维护、系统报废的过程中如何有效的开展信息系统的风险评估是极为重要的。
一、风险评估在信息安全管理体系中的作用
信息安全风险评估是指依据国家风险评估有关管理要求和技术标准,对信息系统及由其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。风险评估是组织内开展基于风险管理的基础,它贯穿信息系统的整个生命周期,是安全策略制定的依据,也是ISMS(Information Security Management System,信息安全管理体系)中的一部分。风险管理是一个建立在计划(Plan)、实施(D0)、检查(Check)、改进(Action)的过程中持续改进和完善的过程。风险评估是对信息系统进行分析,判断其存在的脆弱性以及利用脆弱性可能发生的威胁,评价是否根据威胁采取了适当、有效的安全措施,鉴别存在的风险及风险发生的可能性和影响。
二、信息系统安全风险评估常用方法
风险评估过程中有多种方法,包括基于知识(Knowledge based)的分析方法、基于模型(Model based)的分析方法、定性(Qualitative)分析和定量(Quantitative)分析,各种方法的目标都是找出组织信息资产面临的风险及其影响,以及目前安全水平与组织安全需求之间的差距。
1、基于知识的分析方法
在基线风险评估时采用基于知识的分析方法来找出目前安全状况和基线安全标准之间的差距。基于知识的分析涉及到对国家标准和要求的把握,另外评估信息的采集也极其重要,可采用一些辅的自动化工具,包括扫描工具和入侵检测系统等,这些工具可以帮助组织拟订符合特定标准要求的问卷,然后对解答结果进行综合分析,在与特定标准比较之后给出最终的报告。
2、定量分析方法
定量分析方法是对构成风险的各个要素和潜在损失的水平赋予数值或货币金额,当度量风险的所有要素(资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等)都被赋值,风险评估的整个过程和结果就都可以被量化。定量分析就是从数字上对安全风险进行分析评估的一种方法。定量分析两个关键的指标是事件发生的可能性和威胁事件可能引起的损失。
3、定性分析方法
定性分析方法是目前采用较为广泛的一种方法,它具有很强的主观性,需要凭借分析者的经验和直觉,或国家的标准和惯例,为风险管理诸要素的大小或高低程度定性分级。定性分析的操作方法可以多种多样,包括讨论、检查列表、问卷、调查等。
4、几种评估方法的比较
采用基于知识的分析方法,组织不需要付出很多精力、时间和资源,只要通过多种途径采集相关信息,识别组织的风险所在和当前的安全措施,与特定的标准或最佳惯例进行比较,从中找出不符合的地方,最终达到消减和控制风险的目的。
理论上定量分析能对安全风险进行准确的分级,但前提是可供参考的数据指标是准确的,事实上随着信息系统日益复杂多变,定量分析所依据的数据的可靠性也很难保证,且数据统计缺乏长期性,计算过程又极易出错,给分析带来了很大困难,因此目前采用定量分析或者纯定量分析方法的比较少。
定性分析操作起来相对容易,但也存在因操作者经验和直觉的偏差而使分析结果失准。定性分析没有定量分析那样繁多的计算负担,但却要求分析者具备一定的经验和能力。定量分析依赖大量的统计数据,而定性分析没有这方面的要求,定量分析方法也不方便于后期系统改进与提高。
本文结合以上几种分析方法的特点和不足,在确定评估对象的基础上建立了一种基于知识的定性分析方法,并且本方法在风险评估结束后给系统的持续改进与提高提供了明确的方法和措施。
三、全生命周期的信息系统安全风险评估
由于信息系统生命周期的各阶段的安全防范目的不同,同时不同信息系统所依据的国家标准和要求不一样,使风险评估的目的和方法也不相同,因此每个阶段进行的风险评估的作用也不同。
信息系统按照整个生命周期分为规划与设计、工程实施、运行和维护、系统报废这四个主要阶段,每个阶段进行相应的信息系统安全风险评估的内容、特征以及主要作用如下:
第一阶段为规划与设计阶段,本阶段提出信息系统的目的、需求、规模和安全要求,如信息系统是否以及等级等。信息系统安全风险评估可以起到了解目前系统到底需要什么样的安全防范措施,帮助制定有效的安全防范策略,确定安全防范的投入最佳成本,说服机构领导同意安全策略的完全实施等作用。在本阶段标识的风险可以用来为信息系统的安全分析提供支持,这可能会影响到信息系统在开发过程中要对体系结构和设计方案进行权衡。
第二阶段是工程实施阶段,本阶段的特征是信息系统的安全特征应该被配、激活、测试并得到验证。风险评估可支持对系统实现效果的评价,考察其是否满足要求,并考察系统运行的环境是否是预期设计,有关风险的一系列决策必须在系统运行之前做出。
第三阶段是运行和维护阶段,本阶段的特征是信息系统开始执行其功能,一般情况下系统要不断修改,添加硬件和软件,或改变机构的运行规则、策略和流程等。当定期对系统进行重新评估时,或者信息系统在其运行性生产环境中做出重大变更时,要对其进行风险评估活动,了解各种安全设备实际的安全防范效果是否有满足安全目标的要求;了解安全防范策略是否切合实际,是否被全面执行;当信息系统因某种原因做出硬件或软件调整后,分析原本的安全措施是否依然有效。
第四阶段是系统报废阶段,可以使用信息系统安全风险评估来检验应当完全销毁的数据或设备,确实已经不能被任何方式所恢复。当要报废或者替换系统组件时,要对其进行风险评估,以确保硬件和软件得到了适当的报废处置,且残留信息也恰当地进行了处理,并且要确保信息系统的更新换代能以一个安全和系统化的方式完成。对于是信息系统的报废处理时,应按照国家相关保密要求进行处理和报废。
四、基于评估对象,知识定性分析的风险评估方法
1、评估方法的总体描述
在信息系统的生命周期中存在四个不同阶段的风险评估过程,其中运行和维护阶段的信息系统风险评估是持续时间最长、评估次数最多的阶段,在本阶段进行安全风险评估,首先应确定评估的具体对象,也就是限制评估的具体物理和技术范围。在信息系统当中,评估对象是与信息系统中的软硬件组成部分相对应的。例如,信息系统中包括各种服务器、服务器上运行的操作系统及各种服务程序、各种网络连接设备、各种安全防范设备和产品或应用程序、物理安全保障设备、以及维护管理和使用信息系统的人,这些都构成独立的评估对象,在评估的过程中按照对象依次进行检查、分析和评估。通常将整个计算机信息系统分为七个主要的评估对象:(1)信息安全风险评估;(2)业务流程安全风险评估;(3)网络安全风险评估;(4)通信安全风险评估;(5)无线安全风险评估;(6)物理安全风险评估;(7)使用和管理人员的风险评估。
在对每个对象进行评估时,采用基于知识分析的方法,针对互联网采用等级保护的标准进行合理分析,对于军工企业存在大量的信息系统,采用依据国家相关保密标准进行基线分析,同时在分析的过程中结合定性分析的原则,按照“安全两难定律”、“木桶原理”、“2/8法则”进行定性分析,同时在分析的过程中,设置一些“一票否决项”。对不同的评估对象,按照信息存储的重要程度和数量将对象划分为“高”、“中”、“低”三级,集中处理已知的和最有可能的威胁比花费精力处理未知的和不大可能的威胁更有用,保障系统在关键防护要求上得到落实,提高信息系统的鲁棒性。
2、基于知识的定性分析
军工企业大多数信息系统为信息系统,在信息系统基于知识分析时,重点从以下方面进行分析:物理隔离、边界控制、身份鉴别、信息流向、违规接入、电磁泄漏、动态变更管理、重点人员的管理等。由于重要的信息大多在应用系统中存在,因此针对服务器和用户终端的风险分析时采用2/8法则进行分析,着重保障服务器和应用系统的安全。在风险评估中以信息系统中的应用系统为关注焦点,分析组织内的纵深防御策略和持续改进的能力,判别技术和管理结合的程度和有效性并且风险评估的思想贯穿于应用的整个生命周期,对信息系统进行全面有效的系统评估。在评估过程中根据运行环境和使用人群,判别技术措施和管理措施互补性,及时调整技术和管理措施的合理性。在技术上无法实现的环节,应特别加强分析管理措施的制定和落实是否到位和存在隐患。
3、注重纵深防御和持续改进
第8篇:风险分析与评估范文
(一)风险导向审计与金融机构洗钱风险评估的异同。具体运用中,两者均采用抽样评价方法,取证手段相同(如询问、查阅、检查等方式),评估流程类同。财务报表审计流程大致分三个阶段,即承接业务阶段的内外部风险评估,主要分析被审计单位高管层压力、机会和借口等因素所引发的舞弊或错报风险;风险初步评估阶段,了解评价被审计单位环境、内控制度情况;进一步审计程序阶段,控制测试和实质性测试(对被审计单位各类交易、账户余额和披露的细节测试以及实质性分析程序)。后续审计程序根据前阶段的风险评估结果确定,当后续审计程序获取的审计证据与初始评估获取的审计证据相矛盾时,可以修正风险评估结果,并相应修改原计划实施的进一步审计程序。审计风险评估的目的是根据风险,确定进一步审计程序的性质、范围和时间安排,其目的在于内控风险较高时,更多的控制测试和实质性测试能推断被审计单位的错报或舞弊行为,继而获取被审计单位错报或舞弊对财务报表的影响程度。洗钱风险评估与此类似,一是了解金融机构固有风险阶段,与承接审计业务阶段内外部风险评估相似,需了解金融机构所面临的宏观经济状况,所在行业的洗钱风险及经营状况对洗钱风险的影响。二是初步评估阶段,与审计风险初步评估阶段相似,对金融机构反洗钱工作的环境、内控制度执行情况进行评估。三是深入评估阶段,与进一步审计程序阶段相似,对金融机构的反洗钱内控制度有效性和可疑交易分析报告工作的及时性和有效性进行分析评价。洗钱风险评估过程中,可以在了解金融机构固有风险的基础上,确定初步评估的范围,指导深入评估的时间、范围和方法,包括对金融机构进行一次初步评估和一次深入评估,也包括根据评估结果,采取现场检查、约见谈话、现场走访等后续监管措施。不同之处在于:一是业务性质不同。风险导向审计是对财务报表不存在由于错误或舞弊导致的重大错报获得合理保证;金融机构洗钱风险评估是对金融机构洗钱风险的高低作出评价。二是评价内容不同。前者是对被审计单位的外部环境、内部环境、内控制度,特别是对会计报表及账务处理的准确性及真实性进行评价,具有经济评价性质,较为复杂;后者是对被评估单位反洗钱相关的环境、内控制度及可疑交易分析能力进行评价,具有单一性风险评价性质,较为简单。三是法律责任不同。审计主体对审计报告具有强制性报告义务,并对出具的审计报告承担法律责任;洗钱风险评估是对风险进行判断,不具有强制性报告义务,较少承担法律责任。四是委托责任不同。前者是会计师事务所接受有关信息使用者的委托,对被审计单位进行审计,信息使用者包括政府、股东及投资者等相关人员;后者主要是评估主体接受政府部门委托,根据最新风险状况对被评估机构洗钱风险进行评估。
(二)风险导向审计对洗钱风险评估的借鉴意义。风险导向审计理念成熟的理论和规则对新型的洗钱风险评估具有一定的参考意义,主要表现在:一是评估理念。实施审计的范围包括被审计单位内外经济、政治、法律环境、内部控制制度及经营状况,体现出评估对象在极为复杂的情况下,仍讲究审计的成本与效益。洗钱风险评估作为近年来推出的一种监管方法,强调合理配置监管成本,通过借鉴审计规则,才能将风险为本的评估理念落到实处。二是评价体系。审计风险评价体系采用类似于矩阵的评价方法评价,其基础是被审计单位的风险不能通过细化风险点进行简单汇总,理由在于风险之间存在交叉影响。金融机构洗钱风险评估是对金融机构反洗钱内控制度及控制措施进行评价,各风险控制点对整体风险的影响与审计实务基本相同,借鉴审计评价方法,能较好反映金融机构被利用洗钱的风险。三是评估方法。开展审计时,具体审计目的不同,取证手段也不同,各具优势,金融机构洗钱风险评估的方法处于摸索阶段,通过借鉴,能优化评价效能。
二、审计风险评价体系对洗钱风险评价体系的借鉴
层次分析法(AnalyticHierarchyProcess,AHP)是美国运筹学家T.L.Saaty于20世纪70年代初提出的一种决策分析方法,基本原理是:把一个复杂的决策问题视为一个系统,按总目标、子目标、评价因素的顺序进行逐步分解,构建层次结构,然后通过模糊量化确定各元素对于上层指标的重要性,以此递推到总目标层,从而为最终的决策问题提供较为科学的定量依据。洗钱风险评估方法之一为层次分析评价方法,通过采用分级细化、确定指标分值权重、逐级加减汇总的方式,确定总体水平。如澳大利亚评估洗钱风险主要考虑两个因素,一是机构被用于洗钱和恐怖融资活动的可能性(剩余风险),若机构的内在风险(自身提供的产品、服务、销售渠道、面对的客户群体导致的内在风险)较高,但其各项内控政策措施足以有效管理风险的话,则剩余风险不大;如果被评机构属于公共机构,则被用于洗钱的影响就比较大,其内控风险模块和内在风险模块的风险值根据各自重要性加总,前者减后者得出剩余风险值。我国试行的金融机构反洗钱风险评估标准中,将风险指标划分为环境、产品/客户、控制、沟通和调整五类一级指标,通过对各类指标中的标准评价得分汇总得出整体风险,优点在于,整体风险或工作情况受多个控制点、事项或交易的影响,各指标的汇总得分情况能较好反映整体水平,其在工作绩效考核运用中的优势尤其明显。
审计风险值的确定方法与上不同,是在确定各类风险值(或风险高低)的基础上,对各类风险值进行数值乘算(或选用“高”、“中”、“低”等文字的定性描述),并通过矩阵表的方式计算确定风险,本文将此方法描述为矩阵评价方法。审计风险值具体确定方法为,审计风险=重大错报风险×检查风险(实务中,注册会计师不一定用绝对数量表示风险水平,还可以选用“高”、“中”、“低”等文字描述,即审计风险值可通过数值乘算,也可以定性确定),其中,检查风险取决于审计程序设计的合理性和执行的有效性,可以通过职责分配、提供针对性审计计划等方式解决。重大错报风险包括固有风险和控制风险,评估时可以单独对固有风险和控制风险进行评估,也可以合并进行评估。国内有关研究提议采用矩阵方式评价风险,第一种评价方法为,洗钱风险=固有风险×内控风险,其中,固有风险包括:国家/地域风险、产品/服务风险、客户风险;内控风险主要是指反洗钱内控制度及执行风险。第二种评估方法为:反洗钱风险=原本风险×管控风险×监管风险。与反洗钱风险管理的评估方法相似,金融机构洗钱风险水平受以下四个方面的因素影响:国家经济,所在行业、地域环境;反洗钱内控制度与内部环境;金融产品、服务及客户本身的洗钱风险水平;可疑交易报告的及时性和有效性。第三种评价方法为,金融机构洗钱风险=国家(地域、行业)风险×控制风险×产品(或客户)风险×交易监测风险(与审计风险评估相似,洗钱风险值可通过数值乘算,亦可定性确定)。
国外有关监管机构采取类似的矩阵评价方法,如德国运用12格矩阵表示不同的风险等级,对金融机构的风险评估方法为,金融机构洗钱风险=潜在洗钱威胁×反洗钱措施的质量,其中金融机构潜在洗钱威胁分为高、中、低三档,包括金融机构所处地理位置、业务范围、产品结构、客户构成及销售方式。反洗钱措施的质量分高、中高、中低、低四档,评估结果主要依据金融机构的年度审计报告。本文认为矩阵评价方法体现出风险与成本的一种均衡,避免将洗钱风险通过简单汇总各级指标分值的方式进行评价。主要体现在:一是控制成本。风险导向审计理论认为,机构内部行使控制职能的人员素质及控制成本影响控制效果,若实施某项控制成本大于控制效果而发生损失时,就没有必要设置该控制环节或控制措施。洗钱风险评估中,某金融产品被用于洗钱的风险较高,其相关控制风险也较高,但若金融机构的该类金融产品交易量很少,则其整体洗钱风险不能被认定为高风险,投入此部分的评估资源可以相对减少。二是风险项的交叉性影响。即各类风险相互之间的影响,如新客户“职业”登记为“其他或无业”的比例较高,则不能认定客户身份识别制度执行有效,被利用于洗钱的风险应该较高。三是不同类别风险对整体风险的影响程度。即当某类风险较高,而其他类风险较低时,须依据各类风险对整体的影响程度确定风险等级。金融机构的反洗钱义务在于预防,所有控制措施都是为做好可疑交易的监测、分析和报送服务,若客户身份识别制度和客户风险等级划分制度执行的很好,但监测分析人员的人数配置不够、分析能力不高,可疑交易分析系统的智能化不足,则应认定该单位的洗钱风险水平为高风险。
三、风险导向审计方法在洗钱风险评估方法中的运用
(一)运用抽样评价方法。审计抽样范围受所鉴定会计期间的影响,并针对该会计期间各类控制、事项或交易中的部分样本进行评价,通过样本推断总体,如年度财务报表审计,只有在审计报表期初余额,及评价期末、期后事项对报表的影响时,才会跨年度选取样本。洗钱风险评估相对灵活,可以对某一年度的洗钱风险进行抽样评估,也可以针对某类控制、事项或交易的样本扩大至若干个年度进行抽样评估。
(二)依据风险高低扩大或减少样本量。审计实务中,若认为被审计单位控制环境薄弱,则很难认定某一相关流程的控制有效,其实质性测试的样本量会大幅增加(实质性测试包括细节性测试和实质性分析程序,即对会计计量的真实性、准确性、合理性进行审查)。小型机构员工较少,限制了其职责分离的程度,虽然没有文件形式的控制要素,但了解管理层的态度、认识和措施及其控制环境非常重要,应该更多的采取实质性程序。洗钱风险评估可借鉴以上方法,若金融机构的内控风险很高,则其客户身份识别、交易记录保存及客户风险等级划分相关控制点就较难得到有效执行,继而影响异常交易分析识别的及时性和有效性,此时应扩大对异常交易分析及报告的样本量,确定洗钱风险的高低。
(三)整合取证手段。审计取证方法包括查阅、询问、观察、穿行测试、重新执行、实质性分析程序等方法,具体审计目的不同,取证手段和工作流程也不同。如对收入确认的完整性测试,由原始凭证追查至明细账(从发货部门的发运凭证追查至有关销售发票副本,再到收入明细账),而对收入确认真实性的审计流程与上述流程相反。洗钱风险评估中,如评价金融机构的可疑交易报告是否有遗漏,可以选取部分存量客户,从建立业务关系,到客户风险等级划分,再到可疑交易分析报告的整个流程进行取证;评价可疑交易报告是否合理,则与上述流程相反。在具体方法运用上,主要有以下几种可供借鉴。1、询问。向金融机构有关员工进行询问,获取与内部控制运行情况相关的信息。如果某项控制要求某一员工(复核人)在文件上签字以证明他复核该份文件,那么应询问其复核的性质,即对什么进行复核,复核的要点是什么,签字复核的意义等等。如个人独资企业、家族企业、合伙企业、存在隐名股东或匿名股东公司的尽职调查难度通常会高于一般公司,应询问此类尽职调查的方法和措施。2、穿行测试。追踪交易报告在业务流程中发生、处理和记录的过程。业务流程中存在多个风险控制点,如客户身份识别措施——身份识别记录——风险等级划分——交易记录保存——可疑交易提取、分析——复核确认——分析报告结论,通过穿行测试,掌握内控薄弱环节,及对整体风险的影响程度。3、重新执行。审计实务中,检查复核人员是否认真执行核对时,不仅应检查是否在相关文件上签字,还应选取一部分凭证如销售发票进行核对。在风险评估中,可以选取部分可疑交易报告,评判可疑交易分析复核的合理性;在可疑交易分析系统及风险等级划分系统(或者是功能模块)中,评估人员从相关系统调取客户身份资料(一般是开户资料)和交易记录,以评价系统设计的合理性。4、实质性分析程序。通过研究数据间关系评价一段期间的交易情况。审计实务中,实质性测试包括对各类交易、账户余额和披露的细节测试以及实质性分析程序(如财务指标的横纵向比较)。在洗钱风险评估中,可以运用到实质性分析程序,如“可疑交易量/同类型交易量”的横纵向比较,“未登记客户职业信息数量/所有客户数量”的横纵向比较;如私人银行业务的投资理财品种和交易金额的变动情况。
四、审计成本控制在洗钱风险评估成本中的借鉴
第9篇:风险分析与评估范文
1.1风险评估大致过程
通常的风险评估过程为:分析并辨认风险因素,从而预测未来会出现的风险性因素与事件,通过定量与定性两种方法对所辨认出的风险进行深入全面的论证,从而对风险因素进行分类,以及不同风险发生概率以及风险分布状况等等。各类风险的危害等级。利用单个与整体风险评估准则来分别分析单个项目风险以及整体项目风险大小,分析其是否可以被接受,以此来制定出科学而有效的解决对策,或者对工程项目实施科学的调整。
1.2风险评估基本理论分析主要的风险评估理论主要包括:风险识别、风险估计、风险评价与决策。
(1)风险识别
就是利用科学的方法、途径和措施来全面、客观地判断、认识风险因素,并实施量化识别。桥梁构造与施工都相对繁杂,在有限的资料信息条件下,可以通过专家访问,问卷调查等模式进行估计分析,从中发现核心风险要素。
(2)风险估计
风险估计也是风险评估模式之一,具体体现为针对任意一风险来评估其出现的概率、可能带来的影响等等。具体涵盖两大点:概率估计与损失估计。第一,概率估计通过不断做试验,利用科学的统计学理论来计算分析。也可以立足于概率原理,将事件分析成基本事件,通过分析的形式加以计算。采用这两类方法最终获得概率数值是客观的、实际的,不被任何人的主观意识所左右,可以被叫做客观概率。现实的桥梁工程项目风险估计中,往往是资料信息不充足,手头掌握的有限信息量也无法付诸实验,这样就很难进行精准的预测、运算与分析,导致概率概数等也难以精准地得出,所采用的多数是主观概率,容易造成偏离客观现实,因此实际工作中最重要的就是提升估计的客观度。第二,损失估计损失估计多年来一直未被提上日程,然而,实际上对于桥梁工程项目来说是十分重要的,通常利用经济学方面的方法,通常对损失进行科学划分,分成几个小的类别,包括:直、间接损失、人身损害、环境损失等等,再分别计算出不同损失的具体数值。这样就能更加精准地计算损失数量,但是,却难以操作实施,不妨依然前面提到的方法,那就是聘请专家,凭借其技术、知识和经验来科学预测分析,再采用科学的计算、运算方法,提高估计的客观性。
(3)风险评估
立足于风险识别与估计,桥梁工程项目开始进行风险评价,创建一个全面覆盖的风险评级模型,着重分析风险概率与所带来的后果,从整体上核算出系统的风险数值。再参照风险接受规定与评价指标,来全面分析、综合评价系统的风险,从中分析出系统风险能否被承受,同时提出科学的风险应对策略与解决措施,从而确保桥梁工程项目建设能够在安全风险内开展。较为常用的风险评价法主要包括:权衡法、彻底规避法、风险评价综合方法等等。然而,桥梁工程项目建设施工是一项非常复杂的工作,会受到诸多因素、各种条件的影响。其中采用综合方法能够产生更好的效果和意义,对于桥梁工程项目来说,必须进行全面的风险因素综合分析。首先,依靠专家调查分析法,明确不同因素的风险概率,以及可能造成的损失大小。其次,参照不同因素的地位轻重、意义大小来定夺其加权系数。其次,在综合评价算法基础上,把隶属度同加权系数合并,最终算出风险大小。
(4)风险决策
一切风险识别、估计与计算最终的目标都是为科学决策做铺垫,能够通过有效的决策方式来控制风险,减少风险的危害,根据风险评价指标来对决策方案作出科学的取舍,获得最合适、最优方案,并确保贯彻落实。
2桥梁工程项目的风险评估过程
全面彻底分析并掌握即将投建施工的工程项目,明确基本信息,广泛搜集其相关资料,例如:工程所处位置、设计信息、气象条件、地质状况以及其他方面的资料信息等等。
(1)对评价层次单元与研究专题进行分类规划。
(2)对于不同评价单元未来预测出的风险事故加以归类、划分。
(3)深入而全面地总结探究不同事故风险发生原因、概率以及可能造成的后果等等。
(4)选择定量分析与定性评价相接结合的方法围绕风险事故展开评论与估计。
(5)针对不同的风险事故类型对应给予科学的控制性方法与策略。
(6)围绕不同评价单元风险展开评估与评价。
(7)把不同评价单元的评价集中整理,最终形成总体风险评价。
(8)获得最终的总结与经验。
(9)制定风险评估报告书。。
3桥梁工程项目风险识别的依据
风险判断与识别是一项复杂又繁琐的工作,其中需要经历多个环节,涉及到多项复杂的工作,已经成为工程项目风险管理的必备前提,为了全面、彻底地预测出桥梁工程项目的风险,就要明确项目风险识别的依据,对于桥梁工程项目来说,主要从下面几点入手。
(1)工作经验
要想能够准确、全面、客观地识别工程项目风险,就需要工程项目人员具备全面、丰富的经验,在自身已有的工作经验基础上,来积极吸收和听取他人的想法和建议,从而做出科学、合理的取舍与选择。风险识别人员必须善于结合以往的工作经验,将曾经成功识别出的风险因素列入其中,从而提升风险的确定性。
(2)规划性资料
风险评价、预测与管理离不开一些规划性资料以及纲领性文件的支持,只有这样才能最初科学、合理的预测,工程项目的风险管理规划涵盖多方面的内容,例如:风险辨认、工作人员的安排、组织与规划等等,桥梁工程项目规划中也涵盖多方面内容,例如:项目投资、建设速度等内容。这两大规划性文件能够为风险的辨认与评价提供根据,这样才能促进风险识别工作的科学、完善、顺利进行。
(3)对桥梁工程项目风险进行分类
桥梁工程项目存在很多方面的风险,而且不同风险之间也会彼此影响、相互制约,为了有效控制风险,应该对不同风险进行归类划分,弄清不同风险的类型、原因以及可能带来的后果,从而对应采取有效的解决与应对策略,减少风险因素的出现或发生,创造出更加可观的经济效益。
4总结
- 上一篇:审核意见和审批意见范文
- 下一篇:薪资管理制度范文
相关文章阅读
精选范文推荐
- 1风险与保险管理专业
- 2风险与应急管理
- 3风险与风险管理概述
- 4风险价值分析
- 5风险全流程管理
- 6风险内控合规管理工作总结
- 7风险内控管理
- 8风险内控管理工作总结
- 9风险决策分析
- 10风险分析
