企業(yè)風險管理

　　導語：企業(yè)風險管理是一個倍受關注的焦點問題，企業(yè)能否在存在各種不確定性因素影響的環(huán)境中有序、有效地運轉，在很大程度上取決于企業(yè)風險管理的有效性。在企業(yè)風險管理中，如何把握好風險評估、風險應對及其效率效果評價是非常重要的，這也恰是本文的初衷。

　　企業(yè)風險管理

　　一、風險的定義、分類和風險評估的定義

　　企業(yè)風險管理的目標就是對風險進行管理。但是在風險管理過程中，當進行風險識別時，最常見的一個錯誤就是把不是風險的事物誤認為是風險。很顯然，如果風險管理過程的這一早先步驟失敗了，接下來的步驟就會注定要失敗，風險管理也就不可能產(chǎn)生效果。因此，確保風險識別這一步驟能夠識別出真正的風險是至關重要的。下文分別對風險管理中的風險評估，風險應對和企業(yè)風險管理的效率做闡述。

　　1.風險和不確定性

　　很多人在理解風險時，往往會把風險(risk)和不確定性(uncertainty)相混淆。事實上，風險與不確定性并不相同，那么它們之間的聯(lián)系何在呢?關鍵是要認識到，風險的定義只能與目標相聯(lián)系。風險的最簡單的定義是“起作用的不確定性”，它之所以起作用，是因為它能夠影響一個或多個目標。風險并不是存在于真空中，因此我們需要定義什么“處于風險之中”(at risk)，也就是說，如果風險發(fā)生的話，什么目標將會受到影響。因此，風險的一個更加完整的定義是“能夠影響一個或多個目標的不確定性”。這個定義使我們認識到，有些不確定性與目標并不相關，它們應該被排除在風險管理過程之外。

　　風險與目標之間的聯(lián)系也可以幫助我們識別不同級別的風險，它們是基于組織中存在的不同層次的目標。從風險的概念“能夠影響目標的不確定性”來看，我們可以提出另外一個問題――會產(chǎn)生什么樣的影響?有些不確定性的發(fā)生會使得我們達到目標更加困難(即威脅)，而有些不確定性事件的發(fā)生則會幫助我們達到目標(即機會)。當我們進行風險識別時，不僅要看到不確定性的負面影響，也需要看到不確定性的正面影響。有效的風險管理要求識別出真正的風險，即“能夠?qū)σ粋�或多個目標產(chǎn)生正面或負面影響的不確定性”。

　　2.風險的分類

　　(1)根據(jù)風險的效應劃分，可以把風險分為：

　�、傧到y(tǒng)風險：在同一體位階段觀察時，風險效應無法抵消的風險或不可分散的風險。

　　②非系統(tǒng)風險：在同一體位階段觀察時，風險效應能夠抵消的風險或可分散的風險。

　　(2)根據(jù)風險暴露體性質(zhì)劃分，可以把風險分為：

　�、賹嵸|(zhì)資產(chǎn)風險：不動產(chǎn)與非財務性動產(chǎn)可能遭受的風險，表現(xiàn)為毀損或貶值。

　�、谪攧召Y產(chǎn)風險：財務性資產(chǎn)可能遭受的風險，如利率波動或股票跌價。

　�、圬熑伪┞讹L險：因法律上的侵權或違約導致第三人蒙受損失。

　　④人力資源風險：如公司員工因傷病死亡導致公司生產(chǎn)力衰退或其他非安全的風險。

　　3.全面風險管理

　　全面風險管理是指用系統(tǒng)的、動態(tài)的方法進行風險控制，以減少業(yè)務過程中的不確定性。它不僅使各層次的管理者建立風險意識，重視風險問題，防范于未然，而且在各個階段、各個方面實施有效的風險控制，形成一個前后連貫的管理過程。也即全面組織有效措施對項目全過程的全部風險實施全方位管理。

　　4.風險評估定義

　　風險評估，是指及時識別、科學分析影響企業(yè)內(nèi)部控制目標實現(xiàn)的各種不確定因素并采取應對策略的過程。在實際操作中，可以把企業(yè)風險評估過程分為風險識別、風險分析和風險評價三個步驟。風險辨識是識別企業(yè)面臨的風險，并將風險歸類;風險分析是將識別出的風險放進統(tǒng)一的模型中進行分析處理，進一步作出定性和定量的`分析，包括風險對企業(yè)目標實現(xiàn)的可能影響、這些風險物化的多重情境分析和統(tǒng)計特性、可能的影響因素和方式;風險評價是評價風險對企業(yè)目標的影響，企業(yè)影響最大的風險將成為企業(yè)風險管理的重點。

　　二、企業(yè)進行風險評估的

　　許多研究表明企業(yè)的生命周期的長短與企業(yè)對風險的把握呈高度正相關性。國外統(tǒng)計資料表明：在正常年份宣布破產(chǎn)的企業(yè)數(shù)量約占企業(yè)總數(shù)的1%。日本學術振興會特別研究員清水剛通過研究發(fā)現(xiàn)，1896年到1982年的10次總資產(chǎn)排名前100家的上市公司中，企業(yè)平均壽命為25年。1983年殼牌石油公司的一項調(diào)查發(fā)現(xiàn)，1970年名列《財富》雜志500家大企業(yè)排行榜的公司，有三分之一已經(jīng)銷聲匿跡。

　　由上述不難發(fā)現(xiàn)，企業(yè)有必要而且必須有較強的風險管理能力才能生存、發(fā)展和壯大。在當前的激烈競爭中，風險管理水平的高低直接影響著企業(yè)的生死存亡，是否具備全面風險管理能力是現(xiàn)代企業(yè)的核心競爭力強弱的表征之一。要推行全面風險管理，第一步應從風險評估著手，因為風險評估是風險管理的起始階段。

　　三、風險評估程序

　　風險評估一般應當按照目標設定、風險識別、風險分析、風險應對等程序進行。目標設定是風險識別、風險分析和風險應對的前提。企業(yè)應當按照戰(zhàn)略目標，設定相關的經(jīng)營目標、財務報告目標、合規(guī)性目標與資產(chǎn)安全完整目標，并根據(jù)設定的目標合理確定企業(yè)整體風險承受能力和具體業(yè)務層次上的可接受的風險水平。

　　四、企業(yè)風險識別的有關方法

　　在評估風險的過程中要注意選擇合適的評估技術，評估風險事件發(fā)生的可能性和頻繁度，風險事件的潛在影響及其成本的高低，最后繪制一張風險圖。評估風險事件的方法有很多，但不同方法共同的目標都是找出組織信息資產(chǎn)面臨的風險及其影響，以及目前安全水平與組織安全需求之間的差距。

　　1.基于知識的分析方法

　　組織可以采用基于知識的分析方法來找出目前的安全狀況和基線安全標準之間的差距。基于知識的分析方法又稱作經(jīng)驗方法，它牽涉到對來自類似組織(包括規(guī)模、商務目標和市場等)的“最佳慣例”的重用，適合一般性的信息安全社團，組織不需要付出很多精力、時間和資源，只要通過多種途徑采集相關信息，識別組織的風險所在和當前的安全措施，與特定的標準或最佳慣例進行比較，從中找出不符合的地方，并按照標準或最佳慣例的推薦選擇安全措施，最終達到消減和控制風險的目的。

　　2.基于模型的分析方法

　　2001年1月，由希臘、德國、英國、挪威等國的多家商業(yè)公司和研究機構共同組織開發(fā)了一個名為CORAS的項目，即Platform for Risk Analysis of Security Critical Systems。該項目的目的是開發(fā)一個基于面向?qū)ο蠼�模特別是UML 技術的風險評估框架，它的評估對象是對安全要求很高的一般性的系統(tǒng)，特別是IT 系統(tǒng)的安全。CORAS考慮到技術、人員,以及所有與組織安全相關的方面，通過CORAS風險評估，組織可以定義、獲取并維護IT 系統(tǒng)的保密性、完整性、可用性、抗抵賴性、可追溯性、真實性和可靠性。與傳統(tǒng)的定性和定量分析類似，CORAS風險評估沿用了識別風險、分析風險、評價并處理風險這樣的過程，但其度量風險的方法則完全不同，所有的分析過程都是基于面向?qū)ο蟮哪Ｐ蛠磉M行的。CORAS的優(yōu)點在于：提高了對安全相關特性描述的精確性，改善了分析結果的質(zhì)量;圖形化的建模機制便于溝通，減少了理解上的偏差;加強了不同評估方法互操作的效率等等。

　　3.定量分析

　　進行詳細風險分析時，除了可以使用基于知識的評估方法外，最傳統(tǒng)的還是定量和定性分析的方法。定量分析方法的思想很明確：對構成風險的各個要素和潛在損失的水平賦予數(shù)值或貨幣金額，當度量風險的所有要素(資產(chǎn)價值、威脅頻率、弱點利用程度、安全措施的效率和成本等)都被賦值，風險評估的整個過程和結果就都可以被量化了。簡單說，定量分析就是試圖從數(shù)字上對安全風險進行分析評估的一種方法。定量風險分析中有幾個重要的概念：

　　暴露因子(Exposure Factor，EF)――特定威脅對特定資產(chǎn)造成損失的百分比，或者說損失的程度。

　　單一損失期望(Single Loss Expectancy，SLE)――或者稱作SOC(Single Occurrence Costs)，即特定威脅可能造成的潛在損失總量。

　　年度發(fā)生率(Annualized Rate of Occurrence，ARO)――即威脅在一年內(nèi)估計會發(fā)生的頻率。

　　年度損失期望(Annualized Loss Expectancy，ALE)――或者稱作EAC(Estimated Annual Cost)，表示特定資產(chǎn)在一年內(nèi)遭受損失的預期值。

　　理論上講，通過定量分析可以對安全風險進行準確的分級，但這有個前提，那就是可供參考的數(shù)據(jù)指標是準確的，事實上，在信息系統(tǒng)日益復雜多變的今天，定量分析所依據(jù)的數(shù)據(jù)的可靠性是很難保證的，再加上數(shù)據(jù)統(tǒng)計缺乏長期性，計算過程又極易出錯，這就給分析的細化帶來了很大困難，所以，目前的信息安全風險分析，采用定量分析或者純定量分析方法的已經(jīng)比較少了。

　　4.定性分析

　　定性分析方法是目前采用最為廣泛的一種方法，它帶有很強的主觀性，往往需要憑借分析者的經(jīng)驗和直覺，或者業(yè)界的標準和慣例，為風險管理諸要素(資產(chǎn)價值，威脅的可能性，弱點被利用的容易度，現(xiàn)有控制措施的效力等)的大小或高低程度定性分級，例如“高”、“中”、“低”三級。定性分析的操作方法可以多種多樣，包括小組討論(例如Delphi方法)、檢查列表Checklist)、問卷(Questionnaire)、人員訪談(Interview)、調(diào)查(Survey)等。定性分析操作起來相對容易，但也可能因為操作者經(jīng)驗和直覺的偏差而使分析結果失準。

　　與定量分析相比較，定性分析的準確性稍好但精確性不夠，定量分析則相反;定性分析沒有定量分析那樣繁多的計算負擔，但卻要求分析者具備一定的經(jīng)驗和能力;定量分析依賴大量的統(tǒng)計數(shù)據(jù)，而定性分析沒有這方面的要求;定性分析較為主觀，定量分析基于客觀;此外，定量分析的結果很直觀，容易理解，而定性分析的結果則很難有統(tǒng)一的解釋。組織可以根據(jù)具體的情況來選擇定性或定量的分析方法。

　　五、風險應對

　　在評估了相關的風險之后，管理當局就要確定如何應對。應對包括風險回避、降低、分擔和承受。在考慮應對的過程中，管理當局評估對風險的可能性和影響的效果，以及成本效益，選擇能夠使剩余風險處于期望的風險容限以內(nèi)的應對。管理當局識別所有可能存在的機會，從主體范圍或組合的角度去認識風險，以確定總體剩余風險是否在主體的風險容量之內(nèi)。

　　風險應對可以分為以下幾種類型：

　　回避(avoidance)風險，或稱避免風險即指退出會產(chǎn)生風險的活動。風險回避可能包括退出一條產(chǎn)品線、拒絕向一個新的地區(qū)市場拓展，或者賣掉一個分部。

　　降低(reduction)風險，或稱控制風險即指采取措施降低風險的可能性或影響，或者同時降低兩者。它幾乎涉及各種日常的經(jīng)營決策。

　　分擔(sharing)風險，或稱分散與轉移風險即指通過轉移來降低風險的可能性或影響，或者分擔一部分風險。常見的技術包括購買保險產(chǎn)品、從事避險交易(hedging transactions)或外包一項業(yè)務活動。

　　承受(acceptance)風險，或稱正面承擔風險即指不采取任何措施去干預風險的可能性或影響。

　　在采取任何應對之前，必須對可能的應對方案進行評價。分析固有風險和評價應對的木的在于使剩余風險水平與主體的風險容限相協(xié)調(diào)。

　　六、風險應對效率評價

　　要對風險應對的效率效果進行評價，這是對管理當局所做出應對的綜合效果的一種檢測手段。主要方法是評估成本與效益。資源的稀缺性決定了資源總是有約束的，因而主體必須考慮備選風險應對方案的相關成本與效益。企業(yè)風險管理要求從整個主體范圍或組合的角度去考慮風險。綜合權衡之下，采取最為有效的策略，即投入產(chǎn)出最優(yōu)化方案去應對企業(yè)的風險。

【企業(yè)風險管理】相關文章：

企業(yè)風險管理的意義03-30

企業(yè)風險管理案例03-19

淺談企業(yè)風險管理07-28

企業(yè)匯率風險管理12-07

企業(yè)風險管理如何定義12-21

企業(yè)風險管理的策略有哪些12-15

風險企業(yè)管理制度01-18

企業(yè)風險管理制度（精選17篇）03-17

企業(yè)全面風險管理的意義和內(nèi)容有哪些08-30

風險管理心得12-09