风险管理论文合集
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
风险管理论文
2019-11-18
[摘要] 企业风险管理是一个倍受关注的焦点问题,企业能否在存在各种不确定性因素影响的环境中有序、有效地运转,在很大程度上取决于企业风险管理的有效性。在企业风险管理中,如何把握好风险评估、风险应对及其效率效果评价是非常重要的,这也恰是本文的初衷。
[关键词] 风险管理风险评估风险应对
一、风险的定义、分类和风险评估的定义
企业风险管理的目标就是对风险进行管理。但是在风险管理过程中,当进行风险识别时,最常见的一个错误就是把不是风险的事物误认为是风险。很显然,如果风险管理过程的这一早先步骤失败了,接下来的步骤就会注定要失败,风险管理也就不可能产生效果。因此,确保风险识别这一步骤能够识别出真正的风险是至关重要的。下文分别对风险管理中的风险评估,风险应对和企业风险管理的效率做阐述。
1.风险和不确定性
很多人在理解风险时,往往会把风险(risk)和不确定性(uncertainty)相混淆。事实上,风险与不确定性并不相同,那么它们之间的联系何在呢?关键是要认识到,风险的定义只能与目标相联系。风险的最简单的定义是“起作用的不确定性”,它之所以起作用,是因为它能够影响一个或多个目标。风险并不是存在于真空中,因此我们需要定义什么“处于风险之中”(at risk),也就是说,如果风险发生的话,什么目标将会受到影响。因此,风险的一个更加完整的定义是“能够影响一个或多个目标的不确定性”。这个定义使我们认识到,有些不确定性与目标并不相关,它们应该被排除在风险管理过程之外。
风险与目标之间的联系也可以帮助我们识别不同级别的风险,它们是基于组织中存在的不同层次的目标。从风险的概念“能够影响目标的不确定性”来看,我们可以提出另外一个问题�D�D会产生什么样的影响?有些不确定性的发生会使得我们达到目标更加困难(即威胁),而有些不确定性事件的发生则会帮助我们达到目标(即机会)。当我们进行风险识别时,不仅要看到不确定性的负面影响,也需要看到不确定性的正面影响。有效的风险管理要求识别出真正的风险,即“能够对一个或多个目标产生正面或负面影响的不确定性”。
2.风险的分类
(1)根据风险的效应划分,可以把风险分为:①系统风险:在同一体位阶段观察时,风险效应无法抵消的风险或不可分散的风险。②非系统风险:在同一体位阶段观察时,风险效应能够抵消的风险或可分散的风险。
(2)根据风险暴露体性质划分,可以把风险分为:①实质资产风险:不动产与非财务性动产可能遭受的风险,表现为毁损或贬值。②财务资产风险:财务性资产可能遭受的风险,如利率波动或股票跌价。③责任暴露风险:因法律上的侵权或违约导致第三人蒙受损失。④人力资源风险:如公司员工因伤病死亡导致公司生产力衰退或其他非安全的风险。
3.全面风险管理
全面风险管理是指用系统的、动态的方法进行风险控制,以减少业务过程中的不确定性。它不仅使各层次的管理者建立风险意识,重视风险问题,防范于未然,而且在各个阶段、各个方面实施有效的风险控制,形成一个前后连贯的`管理过程。也即全面组织有效措施对项目全过程的全部风险实施全方位管理。
4.风险评估定义
风险评估,是指及时识别、科学分析影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程。在实际操作中,可以把企业风险评估过程分为风险识别、风险分析和风险评价三个步骤。风险辨识是识别企业面临的风险,并将风险归类;风险分析是将识别出的风险放进统一的模型中进行分析处理,进一步作出定性和定量的分析,包括风险对企业目标实现的可能影响、这些风险物化的多重情境分析和统计特性、可能的影响因素和方式;风险评价是评价风险对企业目标的影响,企业影响最大的风险将成为企业风险管理的重点。
二、企业进行风险评估的
许多研究表明企业的生命周期的长短与企业对风险的把握呈高度正相关性。国外统计资料表明:在正常年份宣布破产的企业数量约占企业总数的1%。日本学术振兴会特别研究员清水刚通过研究发现,1896年到1982年的10次总资产排名前100家的上市公司中,企业平均寿命为25年。1983年壳牌石油公司的一项调查发现,1970年名列《财富》杂志500家大企业排行榜的公司,有三分之一已经销声匿迹。
由上述不难发现,企业有必要而且必须有较强的风险管理能力才能生存、发展和壮大。在当前的激烈竞争中,风险管理水平的高低直接影响着企业的生死存亡,是否具备全面风险管理能力是现代企业的核心竞争力强弱的表征之一。要推行全面风险管理,第一步应从风险评估着手,因为风险评估是风险管理的起始阶段。
三、风险评估程序
风险评估一般应当按照目标设定、风险识别、风险分析、风险应对等程序进行。目标设定是风险识别、风险分析和风险应对的前提。企业应当按照战略目标,设定相关的经营目标、财务报告目标、合规性目标与资产安全完整目
标,并根据设定的目标合理确定企业整体风险承受能力和具体业务层次上的可接受的风险水平。
四、企业风险识别的有关方法
在评估风险的过程中要注意选择合适的评估技术,评估风险事件发生的可能性和频繁度,风险事件的潜在影响及其成本的高低,最后绘制一张风险图。评估风险事件的方法有很多,但不同方法共同的目标都是找出组织信息资产面临的风险及其影响,以及目前安全水平与组织安全需求之间的差距。
1.基于知识的分析方法
组织可以采用基于知识的分析方法来找出目前的安全状况和基线安全标准之间的差距。基于知识的分析方法又称作经验方法,它牵涉到对来自类似组织(包括规模、商务目标和市场等)的“最佳惯例”的重用,适合一般性的信息安全社团,组织不需要付出很多精力、时间和资源,只要通过多种途径采集相关信息,识别组织的风险所在和当前的安全措施,与特定的标准或最佳惯例进行比较,从中找出不符合的地方,并按照标准或最佳惯例的推荐选择安全措施,最终达到消减和控制风险的目的。
2.基于模型的分析方法
2001年1月,由希腊、德国、英国、挪威等国的多家商业公司和研究机构共同组织开发了一个名为CORAS的项目,即Platform for Risk Analysis of Security Critical Systems。该项目的目的是开发一个基于面向对象建模特别是UML 技术的风险评估框架,它的评估对象是对安全要求很高的一般性的系统,特别是IT 系统的安全。CORAS考虑到技术、人员,以及所有与组织安全相关的方面,通过CORAS风险评估,组织可以定义、获取并维护IT 系统的保密性、完整性、可用性、抗抵赖性、可追溯性、真实性和可靠性。与传统的定性和定量分析类似,CORAS风险评估沿用了识别风险、分析风险、评价并处理风险这样的过程,但其度量风险的方法则完全不同,所有的分析过程都是基于面向对象的模型来进行的。CORAS的优点在于:提高了对安全相关特性描述的精确性,改善了分析结果的质量;图形化的建模机制便于沟通,减少了理解上的偏差;加强了不同评估方法互操作的效率等等。
3.定量分析
进行详细风险分析时,除了可以使用基于知识的评估方法外,最传统的还是定量和定性分析的方法。定量分析方法的思想很明确:对构成风险的各个要素和潜在损失的水平赋予数值或货币金额,当度量风险的所有要素(资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等)都被赋值,风险评估的整个过程和结果就都可以被量化了。简单说,定量分析就是试图从数字上对安全风险进行分析评估的一种方法。定量风险分析中有几个重要的概念: