風險定量分析的方法范例6篇

前言：中文期刊網精心挑選了風險定量分析的方法范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

風險定量分析的方法范文1

關鍵詞:信息安全;信息資產;風險評估;層次分析法

中圖分類號:TP309文獻標識碼:A 文章編號:1009-3044(2010)19-5129-03

The Research for Information Security Risk Assessment Based on AHP Method

ZENG Li-mei, JIANG Wen-hao

(School of Computer Science and Technology , Chongqing University of Posts and Telecommunications, Chongqing 400065, China)

Abstract: The risk assessment of information security evolves four fundamental elements included information capital, the fragility of information capital, the encountering threats and the possible risk in information capital. The key problem for risk assessment relies on the weight among risk factors. This issue takes an enterprise as an example, introduced a method called Analytic Hierarchy Process (AHP) to evaluate the risk of systems. The results show that this method can be applied well to information security risk assessment.

Key words: information security; information capital; risk assessment; Analytic Hierarchy Process (AHP)

計算機網絡技術在當今社會迅猛發展并且得到廣泛應用,使得各行各業對信息系統的依賴日益加深,信息技術幾乎滲透到了社會生活的方方面面。信息系統及其所承載信息的安全問題日益突出,為了在安全風險的預防、減少、轉移、補償和分散等之間做出決策,需要對網絡系統進行信息安全風險評估。

信息安全風險評估,是指依據國家有關信息安全技術標準,對信息系統及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學評價的過程[1]。風險評估是提高系統安全性的關鍵環節,通過風險評估,了解系統的安全狀況,將信息系統的風險控制在可接受的范圍內。

1信息系統安全風險評估要素

1.1 風險評估的各要素

信息系統安全風險評估要素及其各要素間的關系如圖l所示。

圖1中,整個模型的核心是風險,資產、脆弱性和威脅是風險評估的基本要素。風險評估的工作圍繞其基本要素展開 。

1.2 風險評估各要素之間的關系

風險評估基本要素之間存在以下關系:

資產是信息系統中需要保護的對象,資產完成業務戰略。單位的業務戰略越重要,對資產的依賴度越高,資產的價值就越大,資產的價值越大風險則越大。

風險是由威脅引起的,威脅越大風險就越大,并很有可能演變成安全事件。

脆弱性是資產中的弱點。威脅利用脆弱性,脆弱性越大風險就越大。

安全需求由資產的重要性和對風險的意識導出。安全措施可以抗擊威脅,降低風險,減弱安全事件的不良影響。

風險不可能也沒有必要降為零,在實施了安全措施后還會有殘留下來的風險,稱為殘余風險。殘余風險可以接受,但應受到密切監視,因為它可能會在將來誘發新的安全事件[2]。

2 風險評估方法

目前國內外存在很多風險評估的方法,還沒有統一的信息安全風險分析的方法。在風險評估過程中根據系統的實際情況,選擇合適的風險評估方法。風險評估的方法概括起來可分為三大類:定性分析方法、定量分析方法、定性和定量相結合的分析方法。[3]

2.1定性分析方法

定性分析方法是一種典型的模糊分析方法,可以快捷的對資源、威脅、脆弱性進行系統評估。典型的定性分析方法有邏輯分析法、因素分析法、德爾斐法、歷史比較法[4] 。

定性評估方法的優點是全面、深入,缺點是主觀性太強,對評估者要求高。

2.2 定量分析方法

定量分析方法是在定性分析的邏輯基礎上,通過對風險評估各要素的分析,為信息系統提供系統的分析手段。典型的定量分析方法有決策樹法、回歸模型、因子分析法。

定量分析方法的優點是直觀、明顯、客觀、對比性強,缺點是簡單化、模糊化、會造成誤解和曲解。

2.3 定性和定量結合的綜合評估方法

定量分析是定性分析的基礎和前提,定性分析應該建立在定量分析的基礎上才能揭示客觀事物的內在規律。不能將定性分析方法與定量分析方割裂,而是將這兩種方法融合起來,發揮各自的優勢,采用綜合分析評估方法。主要的綜合分析方法有模糊綜合評價方法、層次分析法、概率風險評估等。[5]

3 AHP方法

3.1 層次分析法簡介

層次分析法(AHP)是美國運籌學家薩蒂(T.L.Saaty)于20世紀70年代初提出的一種定性與定量分析相結合的多準則決策分析方法,該方法簡便、靈活又實用。

層次分析法的基本思想是在決策目標的要求下,將決策對象相對于決策標準的優劣狀況進行兩兩比較,最終獲得各個對象的總體優劣狀況,從而為決策者提供定量形式的決策依據 [6] 。

3.2 系統分解,建立層次結構模型

層次模型的構造是運用分解法的思想,進行對象的系統分解。它的基本層次包括目標層、準則層、方案層三類。目的是建立系統的評估指標體系。層次結構如圖2所示。

3.3 構造判斷矩陣

判斷矩陣的作用是同層次的兩兩元素之間的相對重要性進行比較。層次分析法采用1～9標度方法,對不同情況的評比給出數量標度,如表1所示。[7]

構造判斷矩陣,判斷矩陣A=(aij)n×n有如下性質:①aij>0;②當i≠j時,aji=1/aij;③當i=j時,aij=1。aij為i與j兩因素相對權值的比值。

3.4 層次排序

步驟一:將A的每一列向量歸一化。

步驟二:對按列歸一化的判斷矩陣,再按行求和。

步驟三:將向量歸一化。

3.5 一致性檢驗

步驟一:計算判斷矩陣的最大特征根。

式中(AW)i表示AW的第i個元素。

步驟二:計算一致性指標。

式中,λmax 表示比較判斷矩陣的最大特征根,n表示比較判斷矩陣階數。

步驟三:計算一致性比率。

當 CR

平均隨機一致性標度如表2所示。

4.評估方法實際應用

4.1 建立信息安全風險評估模型

為了突出風險評估的重點,對信息系統風險的評價指標進行適當的簡化,建立某企業信息安全風險評估層次結構模型,如圖3所示。

4.2 風險評估結果

根據圖3各評估因素及其相互關系,建立兩兩比較判斷矩陣,如表3、表4、表5、表6所示,用AHP方法求解一致性比率CR,判斷矩陣是否具有滿意一致性。

表3G-C的判斷矩陣

表4C1-P的判斷矩陣 表5C2-P的判斷矩陣 表6C3-P的判斷矩陣

以上結果CR均小于0.1,表明比較判斷矩陣都滿足一致性檢驗標準。由以上結果求的最終的總層次排序結果如表7所示。

5 結束語

在信息系統風險評估中,風險評估方法一直都是研究的關鍵點。本文采用層次分析法對風險評估的指標進行了分析,通過分析研究可得,層次分析法在風險評估和等級劃分的實際應用中是一種行之有效、可操作性強的方法,可以很好的應用于信息安全風險評估。

參考文獻:

[1] GB/T 20984-2007,信息安全技術信息安全風險評估規[S].中華人民共和國國家標準,2007.

[2] 向宏,傅鵬,詹榜華.信息安全測評與風險評估[M].北京:電子工業出版社,2009:319.

[3] 王偉,李春平,李建彬.信息系統風險評估方法的研究[J].計算機工程與設計,2007,28(14):3473-3474.

[4] 范紅,馮登國,吳亞非.信息安全風險評估方法與應用[M].北京:清華大學出版社,2006:49-50.

[5] 吳亞非,李友新,祿凱.信息安全風險評估[M].北京:清華大學出版社,2007:101-109.

風險定量分析的方法范文2

[關鍵詞]現金流　高?！炔靠刂啤★L險控制策略

一、高?，F金流的概念和作用

高?，F金流是指高校在經濟活動過程中產生的現金流入、現金流出以及現金流入與現金流出之間的差額形成的現金凈流量，也可理解為在運動狀態中的現金，更準確地說是現金的變動結果?，F金流的重要作用主要表現在：第一，現金流是高校保持正常運轉的劑。一旦缺乏劑的，高校就會出現財務困難，乃至發生癱瘓。第二，現金流是高校財務狀況的報警器。如財務結構失衡，資產負債比率過高，固定資產占總資產比例過高，流動比例過低等都可能造成現金流量問題?，F金流信息是評價高校資產的流動性、財務彈性、抵御風險能力以及決定高校能否可持續發展的重要依據。

二、高?，F金流內部控制及風險控制策略的重要性

隨著高等學校事業法人地位的確立和高等教育體制改革的不斷深化，高校已由原來的計劃經濟條件下的高度集中式管理逐步轉化為“政府宏觀管理，學校面向社會自主辦學”的新模式。高校在辦學結構調整、規模發展、資金籌集、經費使用等方面都有了一定的自，而這種自，也使得高校財務管理由原來的計劃經濟條件下的無風險管理轉變為市場經濟條件下的風險管理。教育部、財政部《關于“十一五”期間進一步加強高等院校財務管理工作的若干意見》中明確“高等院校應切實強化風險防范意識，完善內部控制制度，建立風險預警系統，改善學校財務狀況，有效防范財務風險”。所以內部控制體系構建是高校財務管理的必然要求，也是財務管理水平的重要標志。然而高?，F金流內部控制及風險控制策略不適應現代社會日新月異的變化，不能滿足高?？沙掷m發展的需要。部分高校因擴張而大量貸款，導致學?，F金流運轉困難，有的學校甚至到了發不出工資無法支付日常開支的地步，嚴重影響了教學科研的日常運行和高校的可持續發展。因此，加強高校現金流內部控制，建立健全風險控制策略顯得尤其重要。

三、當前高校現金流內部控制存在的問題

1、對現金流內部控制制度的健全與完善缺乏足夠的重視

高校管理者對現金流內部控制的重要性認識不足，制度執行不得力。對現金流內部控制的理論缺乏必要的追蹤，對現金內部控制在高校財務管理中的作用缺乏足夠的重視?，F金流的導向作用還很弱，實踐中對現金流的管理存在著嚴重滯后性和被動性特征。一些高校只有在發不出工資、無法償還債務、無法支付日常開支的時候才關注現金流管理。要系統提升高校的運營質量，提高高校可持續發展的能力，就要從觀念上確實重視現金流管理，充分認識現金流量管理的重要作用，并采取措施，構建現金流管理控制體系。

2、缺乏科學合理而又行之有效的內部控制體系

依據《會計法》第2條有關內部控制制度建設的規定出臺的《內部會計控制規范――基本規范》、《內部會計控制規范――貨幣資金》，并未引起有些高校足夠的重視，沒有依此對相關制度的建設與執行情況進行審視，并不斷完善內部控制制度，沒有建立起科學合理而又行之有效的內部控制體系。

3、現金流內部控制的手段有待改進

現金流內部控制的手段比較側重于事后分析，而缺乏事中的控制，特別是事前的預測和安排。在控制手段的運用上也比較單一。

4、沒有建立相應風險預警系統

對財務風險的判斷僅僅停留在傳統的依靠財務負責人或財務人員的經驗估計基礎之上。管理者的風險意識淡薄，沒有成立專門的風險管理部門或成立專門的風險管理機構對所面臨的各種風險進行監控和管理。同時高校也未建立風險分析和風險評估的制度，確定相應的風險分析評價指標。

5、現金流內部控制制度不完善或者還不健全

由于高校對現金流缺乏足夠的認識，現金流管理的研究僅停留在運營層面，并沒有被提高到戰略高度?，F金流管理的內容僅僅涉及現金預算、日常流量控制等戰術性管理，沒有同高校的發展戰略有效地結合起來。對整個現金流的流入、流出及其現金凈流量分析、控制工作尚未開展。

6、缺乏一套對整個現金流控制過程的監控

包括缺乏相應的內部控制人才和缺乏相應部門的監控活動。健全、有效的內部控制不僅需要涉及現金流整個流程的控制活動，也需要+對這些活動進行監督與評價的監控系統。

四、建立健全高?，F金流的風險控制策略

1、成立獨立的風險管理機構

成立獨立的風險管理部門為高校的風險管理提供組織保障?？梢允歉咝５囊粋€職能部門，也可以是具有相當獨立程度的由各部門的專業人才組成的風險管理委員會，必要時還應當聘請有關風險評估和風險管理專家的參與。

2、建立現金流預警系統

為有效地化解現金流風險對高校財務狀況的影響，應當建立現金流風險預警體系。當現金流偏離正常狀態時，對可能造成損失的條件進行分析和判斷，估計風險事件的概率和后果，了解高?？赡苊媾R的現金流危機，通過現金流預警系統來動態追蹤和識別高校在運營過程中忽視或沒有覺察出的現金流風險并及時做出預警。把僅注重發現險清的消極預警變為分析根源、改進管理的積極預警，變靜態預警為動態預警。

3、重視現金流預算管理

應重視現金流預算管理，以現金流入、流出控制為核心的高校財務管理，離開了現金流預算管理，也就失去了管理的依據和管理重心?，F金流預算是高校全面預算管理的主要內容，是確定一定時期內全部貨幣流入和流出數額并加以平衡的預測。高校應以全面預算為基礎，將現金流量預算充分細化，對未來現金收支狀況進行預測，以周、旬、月、季、半年、一年為期限，建立滾動式現金流量預算，確?，F金流預算的準確性，提高現金流量預算的執行力度和精度，以便及時做出籌資方案、資金調度和使用方案。通過現金預算的編制對本單位面臨的風險進行全面審視，從而全面促進財務管理水平的提高。

4、完善現金收支控制制度

制定現金收支控制的組織結構和程序，以明確個人和部門在現金收支控制中的權限和責任，一方面，對現金流動性進行控制，即控制現金流量發生的時間和額度，以維護良性的現金循環流動；另一方面，對現金的安全性進行控制，保證現金的安全及完整。

5、現金流視角下風險的定量分析

高校財務風險的發生通常經歷一個從量變到質變的漸進過程，這種漸進發展情況必然會通過一些財務指標的變化表現出來。要準確預測高校財務風險，從大量的財務因子中選好財務指標是關鍵，尤其是現金流指標更是財務指標中的風向標。定量分析法是在完整掌握各種財務指標資料的基礎上，運用現

代數學方法，據以建立能夠反映有關變量之間規律性聯系的各類預測模型的方法體系。定量分析分為單變模式和多變量模型，單變模式就是運用單一的財務指標或財務比率來對風險、危機進行評估。單變模式的分析方法通常采用趨勢分析法和橫向比較法。趨勢分析法是通過觀察連續數期的財務報告，比較各期的有關項目金額，分析某些指標的增減變動情況，并在此基礎上判斷其變化趨勢，從而對未來可能出現的結果作出預測的一種分析方法。運用趨勢分析法，可以了解有關現金流變動的基本趨勢，判斷這種變動是有利還是不利，并對現金流未來發展作出預測。趨勢分析法通常采用編制歷年會計報表方法，將連續多年的報表，至少是最近3―5年的會計報表并列在一起加以分析、以觀察變化趨勢。這樣分析比單看一個報告期的會計報表，能了解更多的情況和信息，有利于分析變化的趨勢。橫向比較法則側重于高校與同規模其他高校的比較，橫向比較法通常分析高校在某一方面的優劣，進而針對面臨的問題采取措施。

單變模式對現金流的定量分析指標，依據需要了解和分析的問題不同而有所側重，對于高校來說現金流定量分析指標通常包括以下幾種：其一，現金流的結構分析?，F金流結構是反映財務狀況是否正常的一個重要方面，包括現金流入結構比率、現金流出結構比率、流入流出比率及其內部結構比率等。其二。流動性分析?，F金到期債務比、現金流動負債比、現金債務總額比。其三，獲取現金能力分析。事業收入現金比率、全部資產現金回收率。其四，發展潛力指標?，F金凈額增長率?，F金凈額增長率=(年末現金凈額一年初現金凈額)÷年初現金凈額。

多變量模型是通過兩個以上的指標組合來對企業可能面臨的風險進行監測和分析的模式。比較多的是運用愛德華?阿爾曼提出的“Z計分模型”判斷高校財務危機的大小。

6、現金流視角下風險的定性分析

在財務風險預警中，由于一些難以量化的非財務信息也影響著高校持續發展的能力，因此，除進行定量分析外，還應結合一些相關的非財務因素進行定性分析，才能得出較為合理的結果?，F金流定性分析法是根據專業經驗知識，結合預測對象的特點進行分析，對高?，F金流的發展趨勢和未來狀況做出理性推測的方法。一般可以從宏觀經濟環境、行業特征、競爭狀況、管理模式及水平等幾個方面來分析對現金流的正負影響度。

進行現金流的定性分析有助于把握問題的實質，對于找到潛在的聯系和趨勢是十分有效的方法?，F金流定性分析的方法包括調查分析法、專家分析法等。

7、進行風險評估，提出分析報告

風險評估就是預測潛在的事件對目標實現的影響程度從而做出相應的預警報告。財務管理者應從兩個角度來評估事件：一是發生的可能性；二是影響程度。應采取定量分析和定性分析相結合的預測方法。在實際應用中，定量分析和定性分析常常是相輔相成、結合使用，定量分析定性化，定性分析定量化，以提高預測準確性和可信性。事實上，有時定性分析比定量分析更為有效。一方面，定量分析會受到高校在不同時期各項因素的變化、對所選擇的評價指標等各種因素的影響，無法滿足財務預警的全面需要；另一方面，由專家靠經驗作出判斷的定性分析，其結論比較靈活，可以隨著高校的發展變化作出修正，從而對定量分析的不足加以彌補。因此，風險評估分析中不可單純強調定量指標的權威性，還應結合定性分析進行判斷和預測，以補充定量分析的不足，把握高校的發展趨勢，從而對風險作出綜合評估，提出專門的風險分析報告，供決策者參考。

[參考文獻]

[1]熊敏：基于現金流的財務危機預警[J]，職業圈，2007(22)

[2]彭鋼、胡德春、王和林：試論新時期高校財務內部控制體系構建[J]，消費導刊，2009(7)

[3]劉鳳娥：不可忽視的現金流量管理[J]會計之友(上旬刊)，2008(11)

[4]張雪峰：現金流內部控制的弱點及風險控制策略研究[J]，中國總會計師，2010(9)

風險定量分析的方法范文3

一、引言

電子政務是指政府運用現代計算機和網絡技術，將其承擔的公共管理和服務職能轉移到網絡上進行，同時實現政府組織結構和工作流程的重組優化，超越時間、空間和部門分隔的制約，向社會提供高效優質、規范透明和全方位的管理與服務。電子政務的實施使得政府事務變得公開、高效、透明、廉潔，并實現全方位的信息共享。與此同時，政務信息系統的安全問題也變得非常重要。政務信息系統的安全一旦發生問題，就會影響其功能的發揮，甚至對政府部門和社會公眾產生危害，嚴重的還將對國家信息安全乃至國家安全產生威脅。

目前，電子政務系統的安全風險問題越來越受到重視，因此有必要對電子政務系統的安全性進行評估。對電子政務系統的風險評估，就是對信息系統的脆弱性、信息系統面臨的威脅及其發生的可能性，以及脆弱性被威脅源利用后所產生的負面影響的評估。信息系統安全的風險評估結果，對組織機構在信息安全措施的選擇、信息安全保障體系的建設等問題做出合理的決策有著重要的指導作用。

本文主要是根據英國標準協會（British Standard Institute）制定的信息安全標準BS7799，基于大量的安全行業經驗，借助漏洞掃描等先進的技術，從內部和外部兩個角度，對電子政務系統存在的安全威脅和脆弱性進行分析，對系統面臨的風險進行全面的評估，并通過制定相應措施消除、減少、監控脆弱性以求降低風險性，從而保障信息系統的機密性、完整性和可用性。

二、電子政務系統安全風險評估的關系模型及分析方法

電子政務系統安全風險評估是依據國家有關的政策法規及信息技術標準，對系統及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學、公正的綜合評估的活動過程。風險評估要求對信息系統的脆弱性、信息系統面臨的威脅以及脆弱性被威脅源利用后所產生的實際負面影響進行評估，并根據安全事件發生的可能性和負面影響的程度來識別信息系統的安全風險。

⒈電子政務風險評估的關系模型

風險評估的出發點是對與風險有關的各因素的確認和分析，各因素之間的關系可以用圖1所示的模型來表示。圖1中的箭頭及標示信息對信息安全風險相關的各類因素之間的關系做出了說明，這些因素之間的主要關系對風險評估的實施方法是很重要的，概述如下：

――威脅和薄弱點因素都將導致安全風險增加，資產擁有的價值越大，其可能存在的安全風險也越大，而風險控制則用來降低安全風險；

――威脅因素產生和增加安全風險的過程是：利用系統中的薄弱點實施攻擊（或其他破壞），從而對資產的價值造成不利影響，導致產生和增加安全風險；

――薄弱點對風險的增加只能通過威脅對其利用的過程來完成；

――安全要求的引出來自于安全風險，這體現了認識和確定風險的意義所在。

由此可以看出，威脅和薄弱點增加風險的方式是不同的。對于信息系統內的資產來說，威脅是外部因素，而脆弱性則為系統自身所有，它們相當于矛盾的外因和內因。

風險評估的過程就是將這些因素間的關系體現出來，查看組織機構是否屬于以下三種情況之一：

――當風險在可以接受的情況下，即使系統面臨威脅，也不需要采取安全措施；

――系統存在某些脆弱點，但還沒有被威脅所利用，這時需要安全措施能夠監控威脅環境，以防止利用該脆弱點的威脅的發生；

――被采取的安全措施保護資產、減少威脅發生所造成的影響，將殘余風險降低到可接受的程度。

研究表明，組織機構的信息系統的安全程度應該要滿足組織機構現在的應用需求；如果顯示組織機構的信息系統存在不可接受的風險，那么就應該對該信息系統的安全措施進行改進，以達到第三種情況的要求。

⒉電子政務系統的常用風險分析方法及其比較

目前，由于我國信息系統風險的安全評估才剛剛起步，因此我國現在所做的評估工作主要以定性評估為主，而定量分析尚處于研究階段。在風險評估過程中，可以采用多種操作方法，包括基于知識的分析方法、基于模型的分析方法、定性分析和定量分析，等等。無論采用何種方法，其共同的目標都是找出組織機構的信息系統面臨的風險及其影響，以及目前該信息系統安全水平與組織機構安全需求之間的差距。

⑴定量分析方法

定量分析方法的思想是，對構成風險的各個要素和潛在損失的水平賦以數值或貨幣的金額，當度量風險的所有要素（資產價值、威脅可能性、弱點利用程度、安全措施的效率和成本等）都被賦值，風險評估的整個過程和結果就可以量化。

從定量分析的過程中可以發現，最為關鍵的是對威脅事件發生的可能性和威脅事件可能引起的損失的量化。從理論上看，通過定量分析可以對安全風險進行準確的分級，能夠獲得很好的風險評估結果。但是，對安全風險進行準確分級的前提是保證可供參考的數據指標正確，而對于信息系統日益復雜多變的今天，這個前提是很難得到保證的。由于數據統計缺乏長期性，計算過程又極易出錯，定量分析的細化非常困難，所以目前風險評估分析很少完全只用定量的分析方法進行分析。

⑵定性分析方法

定性分析方法是目前采用最為廣泛的一種方法，它需要憑借評估分析者的經驗、知識和直覺，結合標準和慣例，為風險評估要素的大小或高低程度定性分級，帶有很強的主觀性。定性分析的操作方法可以多種多樣，包括小組討論（如Delphi方法）、檢查列表、問卷、人員訪談、調查等。定性分析操作起來相對容易，但可能會因為評估分析者在經驗和直覺上的偏差而使分析結果失準。

⑶定量和定性分析方法的比較

與定量分析相比，定性分析的準確性較好但精確性不夠，而定量分析則相反；定性分析沒有定量分析的計算負擔，但要求分析者具備一定的經驗和能力；定量分析依賴大量的統計數據，定性分析則沒有這方面的要求；定性分析較為主觀，定量分析基于客觀；定量分析的結果很直觀，容易理解，而定性分析的結果則很難統一。由于定量分析和定性分析兩種方法各有其優缺點，現在的風險評估大都采用兩者相結合的方法進行分析，在不容易獲得準確數據的情況下采用定性分析方法，在定性分析的基礎上使用定量方法進行計算以減少其主觀性。

三、電子政務系統安全風險評估要素的提取原則、方法及量化

電子政務系統安全的風險評估是一個復雜的過程，它涉及系統中物理環境、管理體系、主機安全、網絡安全和應急體系等方面。要在這么廣泛的范圍內對一個復雜的系統進行一個全面的風險評估，就需要對系統有一個非常全面的了解，對系統構架和運行模式有一個清醒的認識?？梢姡龅竭@一點就需要進行廣泛的調研和實踐調查，深入系統內部，運用多種科學手段來獲得信息。

⒈評估要素提取的原則

評估要素提取是指通過各種方式獲取風險評估所需要的信息。評估要素提取是保證風險評估得以正常運行的基礎和前提。評估要素提取得成功與否，直接關系到整個風險評估工作和安全信息管理工作的質量。為了保證所獲取信息的質量，應堅持以下原則：

⑴準確性原則。該原則要求所收集到的信息要真實、可靠，這是信息收集工作的最基本要求；

⑵全面性原則。該原則要求所搜集到的信息要廣泛、全面完整；

⑶時效性原則。信息的利用價值取決于該信息是否能及時地提供，即具備時效性。

⒉評估要素提取的方法

信息系統風險評估中涉及到的多種因素包括資產、威脅、漏洞和安全措施。

信息系統的資產包括數據資產、軟件、人員、硬件和服務資產等（參見表1）。資產的價值由固有價值、它所受傷害的近期影響和長期結果所組成。

目前使用的風險評估方法大多需要對多種形式資產進行綜合評估，所獲取的信息范圍應包含全部的上述內容，只有這樣，其結果才是有效全面的。同時，資產評估時還要考慮以下方面：

――業務中最重要的部分是什么？如何通過使用或處理信息而使它們得到支持？這種支持的重要程度如何？

――哪些關于資產的重要決定取決于信息的準確度、完整性或可用性？

――哪些資產信息需要加以保護？

――安全事件對業務或者對該組織的資產影響是什么？

在考慮安全事件對組織資產的影響時，可以參考以下4個方面：

――信息資產的購買價值；

――信息資產的損毀對組織業務的影響；

――信息資產的損毀對政府形象的負面影響；

――信息資產的損毀對政府長期規劃和遠景發展的影響。

在進行資產、威脅和漏洞信息獲取時，需要整體考慮以下的對應關系：

――每一項資產可能存在多個威脅；

――威脅的來源可能不止一個，應從人員（包括內部和外部）、環境（如自然災害）、資產本身（如設備故障）等方面加以考慮；

――每一個威脅可能利用一個或是數個薄弱點；

――每個薄弱點對系統的威脅程度和等級有很大的不同，有的威脅不能消除，只能采取降低威脅程度的策略；

――要考慮各種威脅之間的相互依賴關系和交叉關系；

――考慮威脅薄弱點等隨時間和信息系統的進化而變化的特點，對其要以發展的觀點進行分析。

⒊評估要素量化

對每個安全要素的危害性采取風險模式影響及危害性分析法進行分析，最終得到被評估系統的風險狀況。

風險影響等級的劃分見表2。

為了計算方便，對（v1，v2，v3，v4 ，v5）用（0，0.2，0.5，0.8，1）表示。同時為了討論方便，在這里定義如表3所示的表示符號。

根據信息安全管理體系BS7799的結構特點，對安全要素風險事件的分析主要建立在前三層上。

標準中的第一層是十大管理要項，它標識了被評估系統在各個資產上的重要程度。λi表示系統資產權重分配情況，此時有=1。

標準中的第二層是管理目標層，根據BS7799標準的結構特點，對該層安全要素的風險分析主要是確立其危害程度。該危害程度由評估專家和系統用戶參照表2制定。這里采用Ei,j表示第i個管理要項下的第j個管理目標風險的安全要素危害程度。

標準中的第三層是控制措施層，對該層安全要素的風險分析主要考慮安全要素風險發生的重要程度。用λi,j,k代表第i個管理要項下的第j個管理目標下的第k個控制措施的安全要素風險權重系數。此時，有=1（第j個管理目標下有m個控制措施）。

確立每一層安全要素風險評價如下：

假設第i個管理要項下的第j個管理目標下的第k個控制措施風險發生的概率是αi,j,k，則有：

第i個管理要項下的第j個管理目標的風險發生概率是：

Vi,j=（假設第j個管理目標下有m個控制措施）

第i個管理要項的風險評價是：

Vi=（假設第i個管理要項下有n個管理目標）

最終的風險評價是：V=

綜合可得系統風險評價表達式：

V==

式中：λi由被評估系統的用戶或評估發起者在填寫評估任務時分配。λi,j,k、Ei,j可以通過風險評估數據庫中的權重系數表和危害程度表獲取。

最后通過判斷V落在預先定義好風險評價集的哪一部分，即可判斷被評估系統的風險等級。參照相應的風險等級的描述，從而可以得到被評估系統的總體風險狀況及具體改進意見。

四、電子政務系統安全風險評估的流程

電子政務系統安全的風險評估是組織機構確定信息安全需求的過程，包括環境特性評估、資產識別與評價、威脅和弱點評估、控制措施評估、風險認定等在內的一系列活動（風險評估的流程詳見圖2）。

五、電子政務系統安全風險評估的實施

電子政務系統安全的風險評估是一項復雜的工程，除了應遵循一定的流程外，選擇合理的方法也很重要。為了使風險評估全面、準確、真實地反映系統的安全狀態，在實施風險評估過程中需要采用多種方法。通過對安徽行政學院開發的電子政務模擬教學系統的風險評估,證明這樣的評估流程是正確可行的，其實施過程如下：

⒈參與系統實踐

系統實踐是獲得信息系統真實可靠信息的最重要手段。系統實踐是指深入信息系統內部，親自參與系統的運行，并運用觀察、操作等方法直接從信息系統中了解情況，收集資料和數據的活動。

⒉建立問卷調查表

問卷調查表是通過問題表的形式，事先將需要了解的問題列舉出來，通過讓信息系統相關人員回答相關問題而獲取信息的一種有效方式?，F在的信息獲取經常利用這種方式，它具有實施方便，操作方便，所需費用少，分析簡潔、明快等特點，所以得到了廣泛的應用。但是它的靈活性較少，得到的信息有時不太清楚，具有一定的模糊性，信息深度不夠等；還需要其他的方式來配合和補充。

⒊實用輔助工具的使用

在信息系統中，網絡安全狀況、主機安全狀況等難以用眼睛觀察出來，需要借助優秀的網絡和系統檢測工具來監測。輔助工具能夠發現系統的某些內在的弱點，以及在配置上可能存在的威脅系統安全的錯誤，這些因素很可能就是破壞目標主機安全性的關鍵性因素。輔助工具能幫助發現系統中的安全隱患，但并不能完全代替人做所有的工作，而且掃描的結果往往是不全面的。

⒋從文獻檔案中獲取信息

文獻和檔案記錄了關于信息系統的許多重要的參數和特性。通過文檔和資料的查閱，可以獲取比較完整的系統信息，獲得系統的歷史經驗。在風險評估過程中，這也是十分重要的一種信息獲取方式。

總之，在進行全面問卷調查和現場測試的基礎上，經過集中分析研究，可以得出《電子政務系統安全分析報告》，報告應該包括以下內容：關鍵資產清單、安全威脅和脆弱性清單、分類和概率分布、實施的保護措施清單、風險等級和分類、保護措施建議、整體安全風險評價及應急處理議案，等等。

六、結論

隨著信息安全工作的重要性和緊迫性得到越來越廣泛的認同，對風險評估的研究也在不斷地深入。風險評估是一個從理論到實踐,再從實踐到理論的過程,在不斷的往復循環中得以逐步完善。經過幾年的探索,我國有關方面已經在信息安全風險評估方面做了大量工作，積累了一些寶貴的經驗,然而由于起步晚,也存在以下一些亟待解決的問題：

⑴國內外風險評估方法的研究有待于在實踐中檢驗；

⑵風險評估的工作流程和技術標準有待完善；

⑶自動化的風險評估工具有待加大研發投入和推廣。

參考文獻：

朱方洲，李旭軍.電子政務安全保障體系的研究[J].電腦學習，2006（3）：42-43

馬立鋼，夏軍利.信息系統安全風險評估[J].現代計算機：專業版，2006（1）：49-53

王大虎，楊維，柳艷紅.移動通信信息系統安全風險評估的研究[J].中國安全科學學報，2005，15（7）：74-78

聶曉偉，張玉清，楊鼎才，等.基于BS7799標準風險評估方法的設計與應用[J].計算機工程，2005，31（19）：70-72

科飛管理咨詢公司.信息安全管理概論―理解與實施[M].北京：機械工業出版社，2002

閆強，陳鐘，段云所，等.信息安全評估標準、技術及其進展[J].計算機工程，2003（6）

作者簡介：

周偉良，1967年生，湖南長沙人，安徽行政學院(安徽經濟管理學院)信息管理系主任，副教授，博士，主要研究方向為電子政務、管理信息系統。

風險定量分析的方法范文4

關鍵詞：風險分析；突發事件；公共衛生

浙江省社會經濟發展迅速，已接近發達地區水平，但是由于目前整個社會處于轉型時期，社會形勢多變，突發事件頻發，公共衛生安全受到嚴重的沖擊，已經在很大程度上影響到浙江社會的穩定和經濟的可持續健康發展，對浙江人口素質和經濟發展水平的提高具有很大阻礙。國務院頒布的《國家中長期科學和技術發展規劃綱要》提出[1]，將繼續加大對人口與健康領域的支持力度。浙江省科技"十二五"規劃中葉明確指出：在重大戰略需求的核心和關鍵技術研究中，要把食品安全、公共衛生與重大疾病防治放在重要位置。

1風險分析的概念

風險評估是突發事件應急管理中的重要內容，是對突發事件的危害所產生或將產生不良效應的可能性和嚴重性的客觀判斷與分析，有助于及早識別公共衛生危害，提供衛生應急決策依據。風險評估包括三個步驟：風險識別、風險分析和風險評價。其中，風險分析是風險評估中的關鍵一環和核心內容[2]。

2風險分析方法

按分析目的、數據輸入與結果輸出類型的不同，可將風險分析技術分為定性、半定量及定量技術三大類。

2.1定性分析 定性分析是三類方法中原理與操作較簡易，但無法給出定量結果的一類分析方法。

2.1.1失效模式與效應分析 失效模式與效應分析（failure mode effect analysis，FMEA）是一種以團隊操作為基礎的，系統性、前瞻性地識別失效模式和機制，預測其影響的技術?；驹硎且允Ｊ綖槠瘘c，著眼于整個流程，對全部流程中可能存在的失效模式進行前瞻性地分析，通過對失效模式的嚴重度、發生率和可檢度進行綜合評估與指標的量化，明確高風險的失效模式，提出相應的解決策略和措施，從而實現減小風險或消除至可接受水平的目的[3]。該方法的優點是對潛在風險源進行辨識后可實現及時預防，消除危害后果的目的；另外，也可以對于單個風險源進行相對獨立的分析。缺點是由于主要是以基于小組的模式開展評價工作，因此工作小組成員的知識和技術水平的高低會在一定程度上制約和影響評價結果的準確性和可靠性；失效模式是方法進行風險分析的基礎，然而實際上難以認識全部的失效模式并開展評價；此外，失效模式與效應分析是基于流程的一個前瞻性分析，隨著流程和具體步驟的增加，若開始分析時缺乏對流程的準確描述，則發生錯誤的可能性也相應增加。

2.1.2危險分析與關鍵控制點 危險分析與關鍵控制點（Hazard analysis and critical control point，HACCP）是一種系統的、前瞻性及預防性的技術，通過測量并監控那些應處于規定限制內的具體特征來確保產品質量、可靠性以及過程的安全性。HACCP最早主要用于對食品中微生物、化學和物理等危害進行安全控制，是作為控制食源性疾患最為有效的措施，也是國際上共同認可和接受的食品安全保證體系?，F在已廣泛應用到其他行業，諸如制藥、化學、汽車等。以食品安全分析為例，其基本原理是系統分析整個食品供應鏈中的具體危害，明確控制措施，并通多對潛在危害進行風險控制，從而確保食品的安全[4]。優點在于其可通過對整個流程和關鍵點的控制，起到對風險危害的預防作用。缺點是只能對系統流程內的潛在風險源進行分析。

2.1.3危險與可操作性分析 危險與可操作性分析（Hazard and Operability Study，HAZOP）是一種綜合性的風險識別過程，用于明確可能偏離預期績效的偏差，并可評估偏離的危害度。最早使用于化工行業工藝過程的危險性分析。該方法以系統工程為基礎，通過引導詞和標準格式來尋找工藝過程中可能出現的一些偏差，辨識那些可能由于裝置、設備等個別引發的潛在危險，從而根據其可能造成的影響大小制定相應對策[5]。優點是分析針對的是工藝流程等狀態參數，具有較強的針對性。因而可以對人為因素引起的后果進行預測。缺點是主要依賴于工作小組會議討論的人工分析方式進行風險分析，效率較低；分析時，若無合適的節點、參數和引導詞，則無法較好地開展HAZOP風險分析。

2.2半定量分析 半定量分析技術結合了定性方法和定量方法的特點，輸出以定量結果為主。

2.2.1保護層分析法 保護層分析法（the layer of protection analysis method，LOPA）是一種特殊事件樹形式的風險分析方法，通過評估現有的保護層的可靠性，確定其消除或降低風險的能力[6]。其基本原理是構建保護層，通過對每一保護層的有效性進行分析，將所有保護層聯合作用下的事故風險與風險可容忍標準比較，以確定是否有足夠的保護層以防止意外事故的發生。優點是作為一種較為快速的半定量風險分析方法，能夠有效評估潛在事故發生的頻率，確認保護層的有效性，為合理制定和分類風險縮減措施提供科學依據。此外，該方法與HAZOP比較不過分依賴于分析人員的知識和經驗，因此能相對客觀合理地進行風險分析。缺點是該方法本身無法對潛在風險源進行辨識，也無法尋找事故場景，因此需結合其他方法進行。此外，該方法尚缺乏對人因、環境及管理等其他因素影響的分析。

2.2.2 FN曲線 一種利用FN曲線圖進行風險分析的方法。其通過區域來表示風險，并可進行風險比較，可用于系統或過程設計以及現有系統的管理。如在評價地址災害風險性時，FN曲線通過將地址災害造成的死亡人數及其累計概率點以對數坐標系統表示，以此表達社會可接受風險的標準[7]。該方法的主要目的是表現事故規模的分布狀況，利用事故后果（如傷亡人數）與事件發生的頻率（即發生的可能性）繪制FN曲線圖。從FN曲線圖可以引出系統風險是否可容忍的判定標準。優點是考慮了風險分析中的事件后果與事件發生的可能性兩大方面，結果簡單明了，易理解和易操作。缺點是僅僅只考慮事件后果的嚴重性和事件發生的可能性兩方面，而缺乏對人因、環境、管理等其他可能的影響因素的分析。此外，一般主要以死亡率等簡單指標作為事件后果嚴重性的主要體現。

2.2.3模糊神經網絡 模糊神經網絡是一類自適應的模式識別技術，可通過自身的學習機制主動學習，利用現狀信息，對來自不同狀態的信息逐一進行訓練而形成映射關系。而其中的模糊神經網絡則是基于最大最小等簡單運算來實現知識的模糊推理的神經網絡[8]。作為一種多屬性的評價方法，其隸屬函數權重的設定存在一定的主觀性，因此是一類定性和定量結合的風險分析方法。優點是有機結合了模糊理論和神經網絡的各自優勢，能夠通過模擬人的經驗來對風險進行推理和判斷，實現定量化處理模糊信息的目的。且具備較高的容錯性和模型表達力。缺點是模糊規則的設定、隸屬函數的選擇、網絡結構的設計等完全依賴于建模者的經驗知識和能力。

2.2.4 Bow-tie法 一種簡單的圖形描述方式，分析了風險從危險發展到后果的各類路徑，并可審核風險控制措施。可將其視為分析事項起因的故障樹和分析后果的事件樹這兩種方法的結合體[9]。作為一種結構化方法，其具備了可視化的特點，因此也便于交流和理解。Bow-tie圖中心是最不希望發生的事件，左側是成因（即故障樹）及預防措施，右側是可能的后果（即事件樹）和減緩后果措施。也因圖形形狀被稱為領結圖或蝴蝶圖。優點是該技術將風險辨識、風險分析、風險評估、風險控制和風險管理都在圖形中完整的體現出來，具有廣泛的適用性。此外，圖形直觀易理解。缺點是只能考慮環節事件的工作或失效兩種狀態，不能考慮多態間的假設推理關系。

2.3定量分析 定量分析方法對資料與資源的要求較高，輸出以定量結果為主。

2.3.1時間序列分析 時間序列是按時間順序排列的一系列被觀測數據，因而其包含了系統結構特征及運行規律等潛在信息，可以通過對時間序列進行分析來認識系統的發展規律，從而實現對發展趨勢的預測，及對系統重新設計和改造以使其按照新的結構運行等目的。而時間序列分析就是一種根據動態數據揭示系統動態結構和規律的統計方法。優點是可以依靠對歷史數據的分析實現對后期變化趨勢的預測。也可以進行兩個指標見關聯性的分析[10]。缺點是只是針對一個指標的時間序列進行分析，因此無法對綜合風險進行分析和判斷，需與其他風險分析方法結合使用。

2.3.2向量自回歸模型 向量自回歸模型（vector autoregressive model，VAR model）是一系列時間序列回歸的集合[11]。某一時序的數據變化常常不是單因素的作用結果，是多重因素的共同作用結果。類型上有單變量向量自回歸和多變量向量自回歸模型。優點是時間序列只能分析一個指標，而VAR實際上是多個指標的融合，即可實現多元時間序列的分析，適用于對多種有相關關系的不同類別時序的模型計算。缺點是VAR模型對于原始數據的分布有嚴格要求，如必須是平穩時間序列數據，誤差的條件均值為零，隨機向量必須為遍歷平穩過程，且不存在完全多重共線性等。模型分析和預測的準確定和可靠性受原始數據影響較大。此外，通常需與其他方法相結合使用，以規避方法本身的缺陷。

2.3.3信息擴散理論 信息擴散理論是一類模糊數學處理方法。其主要目的是通過對樣本進行集值化處理，以彌補信息的不足，優化利用樣本模糊信息。其基本原理是將一個只有一個觀測值的樣本變成一個模糊集，然后通過優化利用樣本模糊信息來彌補小樣本的信息不足問題，從而使信息最大化，得到小概率事件的致險程度，提高了系統的風險識別精度[12]。較常用的模型有正態擴散模型。優點是可操作性強，評價結果意義明確，適用于樣本數據少而無法使用傳統概率統計方法的情況。缺點是由于僅使用一類指標的單觀測值進行模糊處理，因此對事件的風險分析不全面，未能綜合考慮多種因素的共同影響，存在一定缺陷。需與其他風險分析方法綜合使用。

2.3.4地理信息系統技術 地理信息系統技術（Geographic Information System，GIS）作為一種先進的技術手段和地理信息處理與分析工具，GIS技術在風險分析中也得到了越來越多的應用。其本身作為一個技術系統，以地理空間數據庫為基礎，采用地理模型分析方法，適時提供了多種空間和動態的地理信息，從而為與地理有關的研究和決策服務提供了計算機技術支持[13，14]。優點是作為一類決策支持系統，提高了數據提取和處理分析的效率。結果結合地理信息，在空間分析上具備很強的優勢。缺點是作為一類輔助決策技術和展示技術，其使用還需與其他風險分析技術與方法相結合才有實際意義。

3突發事件風險分析

基于各方法的基本原理和優缺點等，半定量和定量分析方法在風險分析中的適用性普遍優于定性分析方法。而在可行性方面，定性分析方法相較于半定量和定量分析方法，對資源的需求最低，但在結果的不確定性程度上普遍高于半定量和定量分析方法。因此，各方法在突發事件風險分析的應用中均各自存在一定的局限和適用事件類型。如GIS在突發事件風險分析領域中的應用較廣，均適合傳染病、自然災害和事故災難的風險分析。除危險分析與關鍵控制點方法較適用于食物中毒與食品安全事件及職業病與職業危害的風險分析，時間序列和向量自回歸模型較適合傳染病風險分析外，其余方法均適用于事故災難和自然災害的風險分析。

綜述，應根據突發事件的類型和目的，選取合適的分析方法對具體的突發事件進行風險分析。如是對事故災難或自然災難進行風險分析，則可依據所需資料高低和對輸出結果的不確定要求的高低，選擇合適的定性、半定量或定量分析方法。如是對食品生產流程進行風險分析，則可選擇危險分析與關鍵控制點方法。若是對傳染病進行風險分析，則也可根據對輸入和輸出的要求，選擇如時間序列分析、向量自回歸模型和GIS。

參考文獻：

[1]中華人民共和國國務院公報.國家中長期科學和技術發展規劃綱要（2006-2020年）[S].2006（9）.

[2]24353-2009 GT：風險管理：原則與實施指南[S].中國國家標準化管理委員會，2009.

[3]Varzakas TH.Application of ISO22000，failure mode，and effect analysis（FMEA）cause and effect diagrams and pareto in conjunction with HACCP and risk assessment for processing of pastry products[J].Critical reviews in food science and nutrition，2011，51（8）：762-782.

[4]Kok MS.Application of food safety management systems（ISO 22000/HACCP）in the Turkish poultry industry：a comparison based on enterprise size[J].Journal of food protection，2009，72（10）：2221-2225.

[5]Dunjo J，Fthenakis V，Vilchez JA，et al.Hazard and operability（HAZOP）analysis.A literature review[J].Journal of hazardous materials，2010，173（1-3）：19-32.

[6]Gowland R.The accidental risk assessment methodology for industries（ARAMIS）/layer of protection analysis（LOPA）methodology：a step forward towards convergent practices in risk assessment[J].Journal of hazardousmaterials，2006，130（3）：307-310.

[7]陳偉，許強.地質災害可接受風險水平研究[J].災害學2012，27（1）：23-27.

[8]Ushida Y，Kato R，Niwa K，et binational risk factors of metabolic syndrome identified by fuzzy neural network analysis of health-check data[J].BMC medical informatics and decision making，2012，12：80.

[9]Mokhtari K，Ren J，Roberts C，Wang J.Application of a generic bow-tie based risk analysis framework on risk management of sea ports and offshore terminals[J].Journal of hazardous materials，2011，192（2）：465-475.

[10]Katsouyanni K，Touloumi G，Spix C，et al.Short-term effects of ambient sulphur dioxide and particulate matter on mortality in 12 European cities：results from time series data from the APHEA project.Air Pollution and Health：a European Approach[J].Bmj，1997，314（7095）：1658-1663.

[11]呂新業.基于向量自回歸模型的中國食物安全預警.China's food security and early-warning system based on vector autoregression（VAR）model 2013，29（11）：286-292.

[12]金旭，廖善剛.基于信息擴散理論的福建省森林火災風險評估[J].河南大學學報（自然科學版）2014（02）：190-195.

風險定量分析的方法范文5

戰略風險評估是事關并購重組項目成敗的關鍵。在分析并購重組項目戰略動機的基礎上，從銀監會近期的政策文件以及經濟評價的角度入手，探討了項目戰略風險評估的內容和方法，并進行了某海外項目重組案的案例分析。

〔關鍵詞〕

并購重組；戰略風險；經濟評價；風險評估；協同

隨著我國有色行業的產能過剩問題日益突顯，新建項目逐步減少，通過政策引導和市場機制優化產業結構成為主流，而并購重組則是優化產業結構的重要手段。并購重組出發點和落腳點是整合資源，獲取協同效應，服務于企業戰略目標,其具有“高風險高收益”的特點。因此，戰略風險評估是事關并購重組項目成敗的首要問題和關鍵問題。本文即是從資金供應方的角度探討并購重組項目的戰略風險評估方法。

1并購重組的戰略動機

了解并購重組的動機是科學評估風險的前提。并購重組研究歷來注重理論與實踐相結合，著名經濟學家J.弗雷德.威斯通在總結1895年以來并購重組案例和理論研究的基礎上，將并購重組的動因歸納為效率理論、信息與信號、問題與管理主義、自由現金流量假說、市場力量、稅收籌劃和再分配等7個方面。為貼近工程咨詢實際，本文將上述動因概述為經營管理協同、財務稅收協同、市場協同、低價投機、人利益5個方面：1）經營管理協同。主要表現為原輔材料、技術、人力管理等資源互補，如礦山與冶煉企業的重組。2）財務稅收協同。主要表現為將外部融資轉為內部融資，降低融資成本，如吸引投資基金入股；或利用一方的稅收優惠降低稅負，典型的是資不抵債企業的并購。3）市場協同。主要表現為獲取市場壟斷、定價權或開辟新的市場領域，典型表現是同一行業的強強聯合，如南北車合并；或生產優勢與市場優勢的結合，如一些貿易公司（市場優勢）對礦山或冶煉廠（生產優勢）的并購。4）低價投機。基于認為目標企業價值被低估的并購，如金融危機時基金或財務公司基于資本運作而收購礦產資源。5）人利益。管理層出于某種個人利益而做出的并購重組舉動，如過去幾年部分大型企業的大肆擴張有一定的人利益成分。上述動機中，經營管理協同、財務稅收協同和市場協同具有明顯的戰略意圖，而低價投機和人利益也有戰略層面的考量，故而戰略風險評估對并購重組項目尤其重要。

2戰略風險評估角度

風險評估的角度需緊緊圍繞動機展開，各種動機下的戰略風險評估角度見表1（但不限于）展開。此外，對于資金提供方而言，評估戰略風險還應考慮協同效應未能實現時，并購方可能采取的風險控制措施或退出策略。上述戰略風險評估的內容與銀監會的《商業銀行并購貸款風險管理指引》的指導思想不謀而合，可以提高項目的融資效率。

3戰略風險評估方法

從評估角度分析，戰略風險評估的目標是資金安全和戰略目標（特別是財務目標）的可達性，注重資源的協同，具體的角度包括項目的市場、技術、經營管理及其他有形或無形資源，與工程咨詢的理念相同。借鑒工程咨詢方法（尤其是經濟評價方法）可有效解決戰略風險評估的部分問題。推薦的戰略風險評估方法如下：1）經營管理協同角度。產業和戰略的相關性可以盡職調查為基礎，通過定性分析完成；額外回報可借助財務評價中的有無對比法、前后對比法計算。2）財務稅收協同角度?？芍苯佑嬎慊蛲ㄟ^財務評價計算。3）市場協同角度。定性與定量分析相結合，定量分析主要通過市場預測方法完成。4）低價投機角度。通過對比估值報告和審計報告判斷，成長性可通過行業生命周期理論判斷。5）人利益角度。可通過是否具有協同效應判斷；價值增長的動力來源可通過因素分析法（連環替代法）或敏感性分析來判斷。并購方案中的退出策略對資金提供方控制資金風險非常重要，一般在協議中有相關的約束條款，相關風險建議由專業的法務人員評估。需要說明的是，定性與定量分析相結合是戰略風險評估的指導思想，而建立在大量盡職調查信息基礎上的定性分析判斷在實踐中往往起到決定性作用，定量分析只是驗證和細化定性判斷的結果。

4案例分析

某海外中資冶煉廠擬與當地另一大型采選冶聯合企業重組，以期解決自身的原料不足及財務困境問題。重組雙方的優勢、劣勢如表2所列。通過上述分析，可基本判斷雙方重組的動機是經營管理、財稅和市場協同，且協同效益明顯，戰略風險較小，融資機構可重點關注項目貸款擔保和還款架構設計。

5結論與建議

風險定量分析的方法范文6

一、中小企業財務診斷指標體系設計原則

財務診斷涉及企業經營發展的內、外部經營環境和企業財務的運作活動，因此，財務診斷指標體系的設計必須全面而系統，應遵循如下原則：

第一，科學性與客觀性相結合。財務診斷有一套嚴格、科學的程序與方法，診斷過程中必須始終按科學程序和方法進行。財務診斷的客觀性是科學性的前提，而科學性則是診斷措施有效性的保證。財務診斷失去針對性和有效性，就不可能被企業接受，也就不存在診斷成果。另一方面，企業涉及范圍廣，行業差異、環境差異、管理差異、經營管理者的素質差異大，這就要求財務診斷指標的設計必須適應其經營管理特點，力求簡捷、適用、重點突出，以適用于不同企業的要求。

第二，全面性與針對性相結合。財務診斷指標的設計應將企業內部、外部環境與財務活動作為一個整體來研究，從企業經營管理戰略的角度進行財務診斷指標的系統設計，整個指標體系能夠全面地反映企業的發展狀況，同時還要合理確定內部環境因素、外部環境因素以及財務活動因素的重要性程度，將整體診斷與局部診斷有機結合起來，使診斷更加切合企業的現狀與現實需要。

第三，可比性與可操作性相結合。企業財務診斷指標的設計對被診斷企業和診斷者來說都是切實可行的，遵循可比性和可操作性原則。該原則包括以下內容：一是診斷指標體系的設計應盡可能簡明易懂，繁簡適當，便于數據收集，適合行業間的比較，強化其針對性和有效性；二是診斷指標體系的設計應符合企業的特點，在經濟上是可行的；三是整個診斷指標體系的評分方法和各項指標的計算要簡便、科學，便于實際診斷操作。

第四，靈活性與協調性相結合。企業所處的內部環境、外部環境以及經營管理活動的情況是不斷發生變化的，企業在發展的每個階段可能存在或潛在的財務問題各不相同。因此，在設計企業財務診斷指標體系時應遵循靈活性原則，根據不同行業、不同地區、不同時間、不同企業對財務診斷指標進行適當的調整，并隨時適應外界環境的變化。

二、中小企業財務診斷指標體系構建思路

根據中小企業財務管理的特點及建立財務診斷指標體系的原則，借鑒《國有企業績效評價體系》，筆者認為應該從內部環境、外部環境和財務活動三個方面構建中小企業財務診斷指標體系，如表1所示：

中小企業財務診斷的內容涉及企業經營管理的方方面面，在具體應用上述指標體系時應根據具體情況對四級指標進行調整，但基本出發點應定位于“以企業戰略診斷為導向，內部環境與外部環境診斷為基礎，財務活動診斷為核心”。如果是上市公司，則應在上述四級指標體系中增加與上市公司經營有關的指標，如每股凈資產、市盈率等。

三、中小企業財務診斷指標體系應用

中小企業財務診斷的有效性受到多方面因素的影響，運用指標體系進行財務診斷時必須加以考慮。

一是財務診斷指標體系運用的前提條件。企業財務診斷的關鍵在于財務信息質量和財務報表的有效性。財務診斷是根據真實有效的財務報表資料開展的，所用數據大部分都來自財務報表，所進行的關于企業的邏輯判斷都以財務報表的真實有效為前提，因此財務報表信息的真實性直接關系到財務診斷的質量，而虛假和無效的財務報表可能使財務診斷得出不準確甚至相反的結論，從而使財務診斷形同虛設，誤導企業相關利益人作出錯誤的決策，扭曲了財務診斷的本意。同時，會計政策選擇的一致性也直接影響到財務診斷的可靠性。

二是財務診斷指標的賦值問題。財務診斷指標賦值是量化評價的基礎，由于診斷指標構成的多樣性，指標賦值的合理性也影響到財務診斷的質量。診斷指標的賦值要注意社會認可度，對指標體系中多數可由國家(或行業)統計年報(或年鑒)中查得的數據，可以直接賦值；對一些相對比較指標，可利用已有公式或建立新公式先計算后賦值；對指標體系中無法獲得精確數據的個別指標，可采用專家定性對比分析，按等級進行賦值。

三是財務診斷指標間的權重分配問題。在中小企業財務診斷過程中，診斷指標間權重值的確定，往往體現出使用者對該指標地位的理解程度，在一定程度上帶有主觀性，對診斷指標系數的把握程度也會影響到財務診斷的有效性。

四是財務診斷指標的靈活運用問題。企業財務診斷是一項綜合性評價，反映的是企業財務管理的總體水平，并不能實現對財務安全的全面預警和控制，也不能排除因某一方面發生嚴重問題而使企業發生財務危機。因此，在財務診斷的基礎上，還需要對診斷結果進行必要的敏感性分析，確定企業財務管理活動的薄弱環節以及內、外部環境狀況的影響程度，進而提高財務診斷的有效性，幫助企業改善財務管理和經營活動，提高企業綜合管理水平和競爭能力。

企業稅務診斷初探華南理工大學 曹曉麗 陳錦華 陳海聲 鄧燕琴 稅務診斷是財務診斷的重要組成部分，筆者認為，財務診斷是以防范、控制風險和提高經濟效益為目的，因此，作為其重要內容之一的稅務診斷也應該貫徹這一研究方向。稅務診斷應定義為：以企業稅收利益最大化和合理控制稅務風險為目標，依據國家稅收法律的有關規定，對企業的稅務籌劃空間和涉稅風險進行科學評估，據以挖掘出有效降低企業整體稅負和稅務風險途徑的一種管理手段。本文對于稅務診斷的定義與以往診斷理論的不同之處在于，以往的診斷理論研究往往側重于風險的防范與控制，而本文則將稅務籌劃列入稅務診斷之中，使其幫助企業積極尋找降低自身稅負的空間，從而加強稅務診斷的實用性和發揮更為積極、主動的作用。 一、稅務診斷原則及內容 為使稅務診斷達到預期的效果，診斷時必須遵守以下原則：(1)合法性原則。稅務診斷必須依照稅法及相關經濟法規進行。如果稅務診斷中應用的籌劃方法和風險防范措施與稅法相違背，不僅不能提高效益、控制風險，反而增加了企業的稅務風險。因此，合法性是首要原則。(2)成本效益原則。一方面，稅務診斷必須盡量以較低的成本進行；另一方面，診斷的改進方案必須按照實施成本小于獲得收益的原則進行取舍，這是保障診斷效益的必要原則。(3)客觀性和科學性原則。稅務診斷的客觀性和科學性是診斷措施有效性的保證。因此，稅務診斷必須有一套嚴格、客觀且科學的診斷程序與方法。在診斷過程中也必須始終按照這套科學程序和方法進行，以保證稅務診斷過程和結果的客觀性和科學性。(4)獨立性原則。進行企業稅務診斷的人員，無論是外聘的診斷專家，還是內部人員，都不應受企業行政的制約和干預，而應該處于獨立地位，以便正確、客觀地行使診斷職能。只有保持稅務診斷的

獨立性，才能保證診斷結果和改進措施的客觀、可靠。(5)針對性原則。企業稅務診斷沒有固定的標準可供參照。同樣的“病癥”，其治療措施和方案卻可能不同。稅務診斷人員必須根據企業具體情況和問題的特征來選擇合適的診斷程序和治療措施，這樣才能使稅務診斷更加深入、有效。

稅務診斷作為對企業涉稅業務及其處理進行診斷的系統，主要句括稅備風除診斷和稅各籌劃兩大功能模塊，如圖1所示： 稅務風險診斷模塊按照現狀、成因診斷及應對這一思路設計，具體包括稅務風險的現狀診斷、成因診斷及應對措施設計三大子模塊。其中，稅務風險的現狀診斷通過對企業的涉稅業務、納稅情況等方面的分析，診斷出企業涉稅處理出現異常的地方。稅務風險的成因診斷則通過對企業內、外部稅務影響因素進行分析，找出產生稅務風險的根源。具體來說，外部因素分析主要是對企業外部稅收法律環境變化引致的風險進行分析，如稅收實體法、征管法的變革對企業稅務風險程度的影響分析等；而內部因素分析則從企業管理人員的風險意識、企業稅務工作制度和程序，以及稅務籌劃方案的實施等方面進行分析。最后，企業稅務風險應對措施設計將根據前兩個子模塊的分析結果，設計具體的風險應對和規避措施，將稅務風險控制在可承受的范圍內。而稅務籌劃模塊則具體包括了稅務籌劃空間診斷、籌劃方案與措施設計以及績效評估三個子模塊。首先，稅務籌劃空間診斷主要通過對企業的涉稅業務、納稅情況及相關的稅收政策等方面的分析，挖掘出可獲取企業稅收利益的空間。然后，籌劃方案與措施設計子模塊利用籌劃空間分析的結果，針對企業的具體情況，設計出提高企業稅收利益的具體稅務籌劃措施。稅務籌劃績效評估子模塊可對企業原有的和新設計的籌劃方案的實施效果進行分析與評價，從而進一步完善稅務籌劃實施方案，發揮稅務籌劃作用。上述稅務診斷系統中的兩大模塊并不孤立，二者之間有著密切的聯系。一方面稅務籌劃存在風險，因此涉稅風險的評估與控制有利于降低因進行稅務籌劃而增加的稅務風險，從而保證稅務籌劃的可行性。另一方面，企業過重的稅務負擔也是導致稅務風險的重要原因之一，因此稅務籌劃在減輕企業稅負的同時，也在一定程度上降低了企業的風險。

二、稅務診斷步驟及方法

由于稅務診斷具有一定的復雜性，因此必須按照合理的步驟，采用科學的方法進行診斷。一項完整的稅務診斷工作應包括以下具體步驟：(1)診斷準備階段。即在稅務診斷實施前對企業進行初步了解，做一些必要的組織籌備工作，包括明確稅務診斷目的，初步了解企業的基本情況，確定診斷工作日程和計劃等。(2)診斷資料收集階段。在稅務診斷實施前，診斷小組應盡可能收集企業生產經營活動的稅務資料(如材料采購、產品生產、市場營銷、財務管理等方面的資料)，并對所收集的資料進行歸納、整理、分析等加工處理，以形成完整的稅務診斷基礎數據資料。由于稅務診斷在很大程度上是依靠所收集的稅務資料進行分析，因此該步驟在整個診斷過程中起著十分重要的作用。(3)正式診斷階段。這一環節是稅務診斷的實施階段。診斷人員需要在獲取各種完備資料的基礎上，運用科學、客觀、定性和定量相結合的診斷技術，對所獲取的、經過鑒別的資料和統計數據進行分析，揭示稅務活動內部存在的問題，并初步提出評價方案以及改進稅務管理工作的途徑、措施。通過廣泛征求包括企業人員在內的各方意見以及成本效益評估，優選出可行性強、經濟效果好的方案，提交診斷報告。(4)實施指導階段。這一階段是達到稅務診斷最終目的重要環節之一。首先向企業決策人員及相關管理人員介紹診斷過程中所發現的問題及其相應對策；其次幫助企業制定實施方案的具體計劃和措施；再次是有針對性地培訓企業管理人員和涉稅人員；最后對整個實施過程進行跟蹤，適時對方案進行合理的調整、補充，使診斷方案更加有效。(5)診斷考核階段。這是對稅務診斷的效果進行檢驗的階段。該階段應重點收集診斷過程中相關人員的反饋意見，并據此對診斷的效果進行評價，以便不斷提高稅務診斷人員的服務質量及水平。

采用科學的稅務診斷方法是實現稅務診斷目標的關鍵。稅務診斷主要采用以下方法：

(一)定性分析法　稅務診斷的定性分析主要是指稅務診斷人員通過利用調查、詢問等手段對企業的經營、納稅情況進行定性描述后，根據自身經驗判斷及相關法規的比對，找出企業涉稅處理上存在的問題。常用的定性分析方法是問卷調查法，即通過專門設計的調查問卷來進行診斷。它將各個診斷項目具體化為相應的問題，通過查閱資料和訪談尋找出問題的答案并填入問卷中，然后再對這些問題和答案進行分析、總結和歸納，從中找出企業稅務管理中存在的問題和有待改進的地方。具體的稅務診斷調查問卷示意表如表1所示：

定性分析方法的主要優點是執行簡單、易操作，而缺點是對問題的探究不夠深入，主觀性強，對問題產生原因的推測可能存在較大的主觀性。

(二)定量分析法　定量分析法是指通過利用指標體系、量化模型等客觀的數量分析方法，對企業稅務狀況進行分析，以求找出其中存在的異常情況的方法，其常用的分析方法是指標分析法。指標分析法是指診斷人員在稅務診斷過程中，通過對比同一納稅人不同歷史時期相同的涉稅指標和不同納稅人同一歷史時期相同涉稅指標的數據變化，診斷納稅人納稅行為的一種方法。指標分析法要真正在稅務診斷中起到作用，必須按照一定的原則建立起科學的稅務診斷指標體系。(1)目標性原則。在稅務診斷有一個明確的診斷目標的前提下，指標的選擇應有利于實現稅務診斷的期望目標和效果，它要求指標體系緊扣診斷目標而建立。如果融入脫離稅務診斷目標的指標，將對評價的效果和針對性產生極大影響。(2)針對性原則。指標的選擇與構建應以企業的具體業務情況為基礎，并能夠針對其經營性質和涉及的稅種的特點、范圍來建立合理的評價體系。(3)層次性原則。指標體系的建立要有明確的邏輯層次關系，即指標體系中的各個指標之間的相互關系要明確，上級指標和下級指標之間的層次關系要分明。(4)客觀可量性原則。所選取與構建的指標要能夠客觀地反映所需的診斷信息，并且該指標應是可量化的，其量化依據應來源于企業客觀的經營資料和數據，如企業的財務報表、納稅申報表等。鑒于不同行業或不同規模的企業其涉稅業務情況和特點存在較大的差異，筆者認為稅務診斷難以像財務診斷那樣建立一種通用的診斷指標體系，因此，對于不同企業在其不同的發展階段，稅務診斷人員應依照其具體的稅務診斷目標，建立有針對性的、有效的指標體系。圖2是針對診斷企業稅負是否存在異常變化和是否有足夠的納稅支付能力設計的一個初步的稅務診斷指標體系示意圖。

注：①稅負差異率＝(企業稅收負擔率－行業稅收負擔率)÷行業稅收負擔率×100％

②綜合稅負率＝(主營業務稅金＋所得稅)÷銷售收入

③總應交稅金＝應交稅金期初余額＋應交稅金本期發生額

指標體系建立后，要對各指標的數值進行合理的標準化，再根據各部分的重要性，由診斷人員選擇合理的方法研究確定相應的權重，最后將各部分指標加權綜合，得到企業稅負率和納稅支付能力方面的總體風險水平。而對于部分出現異常的指標，應該利用杜邦分析法的思想對其進一步分解和研究，以找出深層的原因，為稅務診斷人員挖掘企業稅務存在的真正問題提供“突破口”，同時為提出相應的改進建議及措施提供可靠具體的依據。圖3為利用杜邦分析法對綜合稅負率進行分析。

綜合稅負率＝(主營業務稅金＋所得稅)÷銷售收入＝主營業務稅金÷銷售收入＋所得稅÷銷售收入＝(本期消費稅金額＋本期營業稅金額＋其他稅種金額)÷銷售收入＋(收入項目金額－扣除項目金額)×所得稅率÷銷售收入

定量分析方法的優點在于對問題研究深入，分析手段較客觀。但是，該方法需要收集大量的資料，對其所運用的分析工具的科學性和適用性要求高，執行難度較大。

定性分析法和定量分析法都有著各自的優點，因此，在稅務診斷中應綜合運用定性分析法和定量分析法。首先，在稅務診斷選案(診斷對象)上，應先定性分析后定量分析。因為定性分析的易操作性可以幫助稅務診斷人員較快地掌握企業的經營情況和稅務狀況，并通過訪問調查手段使診斷人員進一步明確和縮小診斷范圍，有利于定量分析中有針對性地建立診斷指標體系，從而找出異常的指標，使問題進一步具體化。其次，對定性分析和定量分析的結果進行綜合分析和利用。綜合分析并不孤立地看待定性分析和定量分析。定性分析中發現的問題也許是導致定量分析中指標異常的主要原因；在定量分析中，出現的異常指標難以分解時，往往可以利用定性分析的方法對其進行跟蹤和深入分析，發現問題的潛在根源。最后，在稅務診斷的兩大功能分析中，稅務籌劃應以定性分析為主，因為稅務籌劃部分往往比較難以量化，需要分析企業的業務情況和稅務特點，結合相應的稅務政策提出籌劃的措施和建議，因此，一般采用定性分析的方法。而稅務風險分析應以定量分析為主，由于需要考察企業本期稅務的變化狀況，就要將所需的稅務信息進行量化后作出一個客觀的比較，因此，一般以定量分析為主。

由于稅務診斷是一項復雜且關系企業整體利益和風險的工作，因此，在診斷過程中還應注意以下問題：

第一，在診斷人員選擇方面，要挑選既精通稅收法規，又熟練掌握風險管理和財務管理方法的人員。因為企業稅務診斷是以稅務工作為診斷對象，缺乏對稅收法規方面的了解將難以勝任該項工作。同時該工作又要對稅務風險進行控制，所以對風險管理和財務管理知識的掌握也十分重要。