第一篇:风险评估方法
风险评估方法
对于风险评估来说,其三个关键要素是信息资产、弱点/脆弱性以及威胁。每个要素有其各自的属性,信息资产的属性是资产价值,弱点的属性是弱点被威胁利用后对资产带来的影响的严重程度,威胁的属性是威胁发生的可能性。信息安全风险评估的具体工作流程如图1所示。
一、风险评估的准备
风险评估的准备过程是组织进行风险评估的基础,是整个风险评估过程有效性的保证。组织对自身信息及信息系统进行风险评估是一种战略性的考虑,其结果将受组织的商业需求及战略目标、文化、业务流程、安全要求、规模和结构所影响。不同组织对于风险评估过程中的各种子过程可能存在不同的要求,因此在风险评估实施前,组织应:
1.确定风险评估的范围;
2.确定风险评估的目的,为风险评估的实施提供导向;
3.建立适当的组织结构;
4.建立系统性的风险评估方法;
5.获得最高管理者对风险评估策划的批准。
二、风险评估的实施
组织应根据策划的结果,由评估的人员按照相应的职责和程序进行资产评估、威胁评估、脆弱性评估。在考虑已有安全措施的情况下,利用适当的方法与工具确定威胁利用资产脆弱性发生安全事件的可能性,并结合资产的安全属性受到破坏后的影响来得出资产的安全风险。
三、风险计算
风险计算的模型如图2所示。
我们以下述函数进行表示:
R= f(A,V,T)=f(Ia,L(Va,T))
其中:R表示风险;A表示资产;V表示脆弱性;T表示威胁; Ia表示资产发生安全事件后对组织业务的影响(也称为资产的重要程度);Va表示某一资产本身的脆弱性,L表示威胁利用资产的脆弱性造成安全事件发生的可能性。
具体而言分为以下几个步骤:
1.首先对资产的弱点进行排序;
2.针对每一个弱点,确定可能利用此弱点造成安全事件的威胁的类型;
3.给确定的威胁赋值;
4.将威胁值与脆弱点值相乘,得出安全事件发生的可能性;即:
安全事件发生可能性=L(威胁可能性,脆弱点严重性);
5.根据资产的重要程度以及安全事件发生的可能性计算风险值,即:
风险值=R(资产重要程度,安全事件发生的可能性)。
四、风险识别
风险识别包括三个部分:分析风险来源;识别区域风险;风险关联分析。
1.分析风险来源
经过资产、威胁、脆弱性的计算后形成一个风险列表,需要对该列表的风险进行分类,并在分类的基础上进行风险合并。在对风险进行分类合并时,首先需要考虑风险所发生的位置,然后考虑风险的来源。风险的来源可以从威胁、脆弱性和安全管理三个方面进行。
风险发生的位置可以从资产所在的安全域或从信息安全发生的层次进行划分。资产所在的安全域指具有相同安全属性的某一物理区域或逻辑区域,该区域和其他安全区域具有明显的边界;信息安全发生的层次指物理层安全、网络层安全、操作系统层安全、应用层安全、数据层安全。风险的来源从威胁角度进行合并,可以从威胁的来源,发生的途经,影响的大小角度进行划分整理。风险的来源从脆弱性角度进行合并,从大的方面有两类,一类是IT技术类脆弱性,另一类是管理类脆弱性。安全管理类脆弱性可以从设计、开发、验收、运行、维护、人员、业务持续性管理等方面进行分析。
2.识别区域风险
分类合并后的风险需要再次进行人工判断,通过这种判断可以发现被分析的安全域的主要威胁、主要影响和发生的可能性。这种经过判断的风险需要进行单独说明,使最后形成的风险具有更明确的意义。
3.风险关联分析
经过风险识别后的风险是系统中的主要风险,对于复杂系统,还需要考虑多个风险之间的相互关系。这种主要风险之间的潜在相互影响包括:不同安全区域风险的相互影响,不同业务风险之间的影响,不同系统之间风险的影响分析。经过风险关联分析后还需要重新修正风险识别列表。(未完待续)
判定风险结果
确定风险数值的大小不是组织风险评估的最终目的。重要的是明确不同威胁对资产所产生的风险的相对值,即,要确定不同风险的优先次序或等级。对于风险级别高的资产应被优先分配资源进行保护。组织可以采用按照风险数值排序的方法,也可以采用区间划分的方法将风险划分为不同的优先等级,这包括将可接受风险与不可接受风险进行划分,接受与不可接受的界限应当考虑风险控制成本与风险(机会损失成本)的平衡。风险的等级应得到组织管理层的评审并批准。
组织在对风险等级进行划分后,应考虑法律法规(包括客户及相关方)的要求、组织自身的发展要求。根据风险评估的结果确定安全水平,对不可接受的风险选择适当的处理方式及控制措施,并形成风险处理计划。风险处理的方式包括:回避风险、降低风险(降低发生的可能性或减小后果)、转移风险、接受风险。控制措施的选择应兼顾管理与技术,具体地说,针对各类风险应根据组织的实际情况考虑以下十个方面的控制:安全方针、组织安全、资产的分类与控制、人员安全、物理与环境安全、通信与运作管理、访问控制、系统的开发与维护、业务持续性管理、符合性。在风险处理方式及控制措施的选择上,组织应考虑发展战略、企业文化、人员素质,并特别关注成本与风险的平衡,处理安全风险以满足法律法规及相关方的要求。管理性与技术性的措施均可以降低风险,但在控制措施的选择上应遵循上述原则。单纯选择某种控制措施可能会降低成本,但也可能引入新的风险,因此应注意预防性控制措施与检查性控制措施之间的关系。在预防性控制不足以确保风险得到降低的情况下应追加检查性控制措施。通常应该考虑联合各种选择。
对于不可接受范围内的风险,应在选择了适当的控制措施后,对残余风险进行评价,判定风险是否已经降低到可接受的水平,为风险管理提供输入。残余风险的评价可以依据组织风险评估的准则进行,选择的控制措施和已有的控制措施应当考虑降低威胁发生的可能性。某些风险可能在选择了适当的控制措施后仍处于不可接受的风险范围内,应由管理层依据风险接受的原则,考虑是否接受此类风险或增加控制措施。为确保所选择控制措施的充分性,必要时可以进行再评估,通过控制措施实施的有效性,评价残余风险是否可以接受。
记录风险结果
风险评估过程需要形成相关的文件及记录,记录是一种特殊的文件,组织可考虑以下控制:
1.文件发布前得到批准,以确保文件是充分的;
2.必要时对文件进行评审、更新并再次批准;
3.确保文件的更改和现行修订状态得到识别;
4.确保在使用时,可获得有关版本的适用文件;
5.确保文件保持清晰、易于识别;
6. 确保外来文件得到识别;
7.确保文件的分发得到适当的控制;
8.防止作废文件的非预期使用,若因任何目的需保留作废文件时,应对这些文件进行适当的标识。
风险评估的角色及职责
1.风险评估的角色
信息安全风险评估(以下简称风险评估)在具体实施过程中将涉及多个参与方,参与方在评估中扮演不同的角色。在一个完整的信息安全风险评估当中,一般包括主管机关、信息系统拥有者、信息系统承建者、信息安全评估机构以及信息系统的相关机构。
2.风险评估的职责
其各自的职责为:
(1)行政审批
主管机关具有风险评估的行政审批权力,主要负责提出、制定并批准本部门的信息安全风险管理策略,领导和组织本部门内的信息安全评估工作。基于本部门内信息系统的特征以及风险评估的结果,判断信息系统残余风险是否可接受,并确定是否批准信息系统投入运行。检查信息系统运行中产生的安全状态报告;定期或不定期地开展新的信息安全风险评估工作。
(2)组织协调
信息系统拥有者具有风险评估的组织协调权力,将负责制定安全计划,报主管机关审批;组织实施信息系统自评估工作;配合强制性检查评估或委托评估工作,并提供必要的文档等资源;向主管机关提出新一轮风险评估的建议;改善信息安全防护措施,控制信息安全风险。
(3)措施整改
信息系统承建者应根据对信息系统建设方案的风险评估结果修正安全方案,使安全方案成本合理、积极有效,在方案中有效地控制风险;规范建设,减少在建设阶段引入的新风险;确保安全组件产品得到了相关机构的认证。
(4)具体实施
信息安全评估机构提供独立的信息安全风险评估;对信息系统中的安全防护措施进行评估,以判断这些安全防护措施在特定运行环境中的有效性以及实现了这些措施后系统中存在的残余风险;提出调整建议,以减少或根除信息系统中的脆弱性,有效对抗安全威胁,控制风险;保护风险评估中获得的敏感信息,防止被无关人员和单位获得。
(5)辅助支持
信息系统的相关机构为风险评估提供辅助支持,遵守安全策略、法规、合同等涉及信息系统交互行为的安全要求,减少信息安全风险;协助风险评估机构确定评估边界;在风险评估中提供必要的资源和资料。
风险评估形式
根据评估的目的、评估方与被评估方的关系,以及评估方和被评估信息资产的关系、评估的深浅程度等不同的划分原则,国内外现存的风险评估也有多种形式,本指南所指风险评估形式主要以评估的发起方为划分依据。大体可分为自评估和他评估两大类,自评估是由被评估信息系统的拥有者发起的,并依*自身的力量,对其自身的信息系统进行的风险评估活动。他评估则相反,通常是被评估信息系统的拥有者的上级主管机关或业务主管机关发起的,依据已经颁布的法规或标准进行的,具有强制意味的检查活动,是通过行政手段加强信息安全的重要措施。他评估也是经常提及的检查评估。无论自评估还是他评估,都可以通过委托第三方专业评估机构进行评估的方式来进行,这就是委托评估。
第二篇:电力系统停电风险评估及方法论文
摘要:我国的经济社会不断发展,社会生产生活对电力提出了更高的要求。在电力系统的运行中,经常会出现电力系统停电风险,阻碍电力的可持续供应。为了满足市场的用电需求,电力行业必须对停电风险进行评估,采取有效的应急举措,提升电力系统的运行效率。本文将具体探讨电力系统停电风险评估指标及方法,希望能为相关人士提供一些参考。
关键词:电力系统;停电风险;评估指标及方法
进入新世纪以来,我国的市场经济持续繁荣,给我国的电力行业带来了前所未有的发展机遇和挑战。电力行业承担着重要的供电职能,从某个角度来看,电力系统的正常运转直接关系着国民经济的稳定发展。
一、电力系统停电风险评估指标
(一)危害因子
我国的经济社会不断发展,对电力行业提出了更高的要求。为了引导电力行业的健康发展,避免出现重大电力输送事故,我国制定了安全事故应急处理条例,并形成了电力系统停电风险评估的技术规范。以区域为划分依据,可以将我国的电力事故划分成普通事故、较大事故、严重事故三个等级,不同等级的电力事故危害性不同,危害因子也呈现出较大的差异。具体来说,电力事故的危害因子主要包括以下几项:第一是非常规电路、第二是停电节点、第三是联锁故障区域。
(二)计算方法
为了对电力事故的等级进行划分,需要掌握有效的危害因子计算方法。以联锁故障区域为例,许多电力事故都是由联锁要素引起的,因此要把本体危害值和其他要素的危害值联系在一起,全面反映电力事故的危害程度。在计算的过程中,需要应用固定的方程式,用故障灾难因子除以联锁故障的节点总数,以此来得出电力故障的灾难度。以相对危害因子为例,一些电力事故是由非常规危害因子所导致的,在对这些电力事故的灾难度进行计算时,需要形成统一的判断标准。在的难度较小的电力事故可以分成一级事件、二级事件和三级事件,其划分依据是节点的减供负荷值。从这个角度来看,想要对电力系统的停电风险进行评估,必须计算减供负荷值。电力事故的节点减供负荷量除以全网的减供负荷,就是该次电力事故的相对危害因子,相对危害因子的值越大,电力事故越严重,相对危害因子的值越小,电力事故越轻微。在计算主要危害分子和相对危害分子之后,还应该对停电事故的危害分值进行计算,以此提高事故等级判定的精确度。
二、电力系统停电风险评估方法
在计算机系统的停电风险发生之前,需要对整个系统进行长时间的故障仿真模拟,并利用此种方法来进行故障频率的有效计算,以及对故障后果进行充分认识。下面以OPA模型为例,进行连锁故障仿真分析。
(一)故障仿真方法
对于OPA整个模型来说,理论来源比较多,其中最受大众认可的来源是自组织临界理论SOC,该模型的根本原理是以负荷化为根本依据,对电力系统的断电进行整体分析,并在分析过程中运用了潮流直流的大致计算,这其中包含很多动态甚至漫动态的时间影响尺度,而站在快动态角度来说,它是利用微观世界来对负荷和线路故障进行真实反映,另外,通过漫动态中的全部过程来实现对模拟电力系统发电,能导致负荷水平和线路容量的整体增长。在上述各式中,G是发电机集合节点;L是负荷的集合点,P是电极的输出动力,Pj是节点负荷,F是线路中有功的潮流矩阵,B是线路中最大的对角矩阵,A是网络中电力系统相关联的矩阵。O是各个节点和电压所形成的矩阵。C是所有发电机在工作过程中所产生的具体费用,式中以i台为例,W是相关单位在单位负荷切除后所受到的整体损失。通过对整个过程进行总结,通过实现优化目标,使得发动机的整体费用和负荷之和能够保持在最小状态。通常情况下,W会比ci高出一本分,可以保证目标更好的实现。另外,在优化过程中存在几个约束条件,分别是:功率节点下的平衡约束、发电机整体的出力约束,系统中的容量储存能力约束和最高的切负荷约束。
(二)具体计算流程
根据对OPA模型分析可以看出,上述所建立的风险评估体系以及故障连孙中制造的仿真计算流程都具有非常高的准确程度,而且在实际工作中也能等到重要应用,通过对各种风险指标的总结和分析。
三、电力系统停电风险评估实例
为验证本文设计的电力系统停电风险评估方法是否能够有效完成科学评估电力系统停电风险,本文通过选择笔者所在地某电网系统为例,在该电网系统当中拥有500kV网架,39机82节点系统。与此同时,通过仿真分析我们可以得知该电网在5000d以内进行运行的过程当中拥有超过2000次事故的事故集,统一采用归一化的方式处理事故频率,通过利用专业拟合曲线的工具拟合电力系统事故规模同频率的曲线,并分别用F和S表示电力系统发生事故的频率和损失的负荷量,可以得知二者之间存在明显的线性关系,而这也意味着电网出现停电事故且事故规模同频率幂律之间有着十分紧密的关联,依照幂律的基本形式,电力系统在停电之后其损失的负荷频率将会依次减少。而在对薄弱区域进行辨识的过程当中,通过运用前文给出的相关公式能够对各节点停电风险值进行准确计算,将其按照一定规律进行排列之后我们可以发现在该电网当中存在分别存在两个风险极大和相对比较大的停电区域,另外还有多个停电风险相对比较小的区域,而通过后期的比对检验之后证明了这一辨识结果的科学性和准确性,这也意味着本文设计的电力系统停电风险评估方法确实能够有效评估出停电风险。
四、结论
在电力系统的日常运行中,停电问题屡屡发生,给我国经济带来了重创。为了降低电力系统的停电风险,必须对风险指标进行评估,并采用现代化的风险评估方法。
参考文献:
[1]吴伟丽,刘连光,王开让.磁暴扰动下电力系统故障风险评估方法与模型[J].中国电机工程学报,2015,(04):830-839.[2]卢恩,鲁晓军,龙霏,曾凯文,王宁,廖诗武,文劲宇.电力系统停电风险评估指标及方法[J].电力自动化设备,2015,(03):68-74.[3]刘杨,张焰,杨增辉,冯煜尧.输电系统连锁故障风险评估指标及计算方法[J].现代电力,2012,(04):7-11.[4]王英英,罗毅,涂光瑜,刘沛,刘文才.基于事故链的电力系统连锁故障风险模糊综合评估方法[J].中国电机工程学报,2010,(S1):25-30.
第三篇:风险评估方法研究国际工程项目[定稿]
风险评估方法研究国际工程项目
摘要:风险评估是国际工程项目管理的重要元素。国际工程项目的风险因素进行了系统地分析从多个维度的特性的多层评价指标体系项目。国际工程项目风险评估提出并构建,包括8 I-grade 24 II-grade索引和索引作为政策风险,市场风险、资源风险、技术方案风险、进度风险、融资风险、人员风险和管理风险。然后自我评估和基准测试评价方法应用于评价国际工程项目风险,并建立了相应的数学模型。最后,一个项目的评估实例说明数学模型的适用性和有效性。
关键词:国际工程;风险分析;风险评价;风险管理
1介绍
近年来,项目风险评估可以包括在许多范围发达国家项目管理内,并成为一个重要组成部分影响建设项目环境。在当前的工程项目,完整的系统国际级别风险评估尚未确立,由于其影响因素的项目风险很多,模糊性,以及它们是难以完全定量[1]。究其原因,主要是因为遵循:国际工程统计数据不充足和大量原始数据的不可用。后提出适当的分析方法国际项目风险管理和综合评价,综合评价项目和相关的数学方法风险管理和监督结果的文章具有十分重要的现实意义[2]。拉尔夫和克莱姆提出了一个系统的方法来管理风险,和识别理论框架和实用的方法,分析和控制不同的风险[3]。M.伊丽莎白,帕特。柯塞尔和彼得J.雷根研究在快速时变动态风险管理系统建立了风险度量模型和基于决策分析决策模型框架和人工智能的方法[4,5]。
第四篇:专利风险排查流程说明及专利风险评估排查方法总结
专利运营与融资孵化请进入:http://www.xiexiebang.com
_______________________________________________________________________________
专利风险排查流程说明及专利风险评估排查方法总结
专利风险排查流程说明
一般而言,风险专利的排查在企业的产品开发项目或技术研发项目启动之时就应该着手进行。在专利风险排查过程中,需要对与项目方案有关的各类专利、技术、市场等信息进于行收集,及时发现可能会威胁项目预期方案的风险专利,以便及时调整项目方向、更改方案设计以及采取必要的应对措施。
这其中,根据对项目方案的技术理解和技术特征分析,进行专利文献的检索是获取风险专利的主要途径,而将初步筛选出的专利数据与项目方案进行比对时确认风险专利的关键环节。
需要注意的是,风险专利不仅仅包括已经授权维持有效的专利,也包括已经公开尚于审查状态的芒专利;对于后者,需要对其审查进程和状态保持关注。另外,在条件允许的情况下,对风险专利的收集可以不局限于企业已经或准备开发、生产、销售、产品,也可以扩展到其他相关或类似产品,以及未来可能重点发展的产品,从而为企业总体的发展战略提前做好专利风险预警工作。
专利风险的排查流程
专利运营与融资孵化请进入:http://www.xiexiebang.com
_______________________________________________________________________________ 以专利检索为基础进行风险专利排查的主要流程包括专利检索、专利数据筛选和技术比对分析三个环节,其中,企业还可以根据自身情况和需求选择在专利数据筛选后开展宏观分析。
1.专利检索
该环节的主要目标是检索和采集所有的与企业的吏术或产品方案相关的专利。在该环节,需要通过对技术或产品方案的技术理解和分析,确定方案的技术构成,列出该方案中可能存在侵权风险的所有技术点,并对每一个技术点提取必要的技术根据这些技术特征选择检索要素,构造初步的检索式。然后,在进行初步专利检索的基础上,完进一步完善对技术点的理解,重新总结技术点的特征和特征表达方式,修正检索式。根据修正后的检索式完成检索,采集有关的专利数据。
2.专利数据筛选
该环节的主要目标是对专利检索环节中采集到的专利数据进行筛选,剔除不相关的专利,补充缺失的专利信息。筛选主要通过人下阅读方式来进行,在充分理解专利技术方案基础上将所有相关的专利筛选出来。在筛选过程中,如发现某技术点有其他重要特征或重要检索要素被遗漏时,可以进一步修正检索表达式,对该技术点进行补充检索和筛选。筛选后,可以按照企业的技术分类体系对所有的专利进行归类。对于归类后的相关专利的数据集,可以进一步形成企业专利预警风险数库。最后,被筛选出来的专利将作为技术比对分析中的目标专利。
3.宏观分析
专利运营与融资孵化请进入:http://www.xiexiebang.com
_______________________________________________________________________________
如果筛选后专利数据的量比较大,或者企业的技术或产品方案涉及的潜在侵权点较,需进一步进行宏观分析,制作专利地图。
专利地图能够帮助企业进一步了解风险专利的分布状况,例如其在各个技术点上的分布状况、各个主要市场地域的分布状况、各个申请人中的专利状况。藉此,企业可以初步了解各技术点上和各市场地域中的风险威胁状况,主要的潜在侵权对象以及该对象具备专利优势的技术点和市场地域,从而有助于企业确定专利风险防控的重点,也为企业后继制订应对策略和选择应对措施提供决策参考。
4.技术比对分析
该环节的主要目标是在筛选出的专利数据中进一步确认出风险专利。通过将筛选后的相关专利进行深入的技术解读和特征分析,与企业技术或产品方案进行技术特征比对,最终确认出会威胁该技术实施或产品销售的专利,即确认风险专利。并针对筛选结果进行进一步的专利规避设计等。
上述4个步骤,企业一一进行,就自身专利运营能力和检索能力不断加强自身数据库,能较好的控制专利侵权风险,可以说是企业规避风险的最直接方法。
专利风险评估排查方法总结
对于专利风险的评估,可以从风险发生可能性和风险发生损失度两个方面进行评测,综合两
专利运营与融资孵化请进入:http://www.xiexiebang.com
_______________________________________________________________________________ 方面的因素,确定专利的风险水平。其中,对于每个方面都可以选取若干个维度和相应的指标进行评测。
为了便于比较不同专利之间的风险水平,可以通过设定一些评估标准、计算评估值的方式获得半定量的评估结果。例如,对每一项评估指标设定若干级别,不同的级别对应于不同的参考分值;对不同的指标设定不同的权重系数;然后,将各个指标的评估分数与权重系数的乘积相加,即可得到总的评估分值。
1.专利风险水平的计算
在使用半定量的方式进行评估时,可以分别计算风险发生可能性的分值和风险发生损失度的分值,将二者相乘的结果,即可以作为风险水平的评估值。具体可以参照图6-3的图例和如下测评公式操作:
◇
风险的可能性=可能性维度l x权重1+可能性维度2 x权重2+………+可能性维度n x权重n(公式1);
◇
风险的损失度=损失度维度1 x权重1+损失度维度2 x权重2+………+损失度维度m x权重m(公式2);
◇
风险水平=风险发生的可能性 x 风险造成的损失度(公式3)。
需要说明的是,在实践中,并不一定对每件专利都必须按照上述公式进行评估和计算。当参与评估的多名人员凭经验和直觉共同认为某件专利风险水平很高时,可以直接得出专利风险
专利运营与融资孵化请进入:http://www.xiexiebang.com
_______________________________________________________________________________ 评估结论。
2.专利风险评估中的注意事项
在风险评估过程中,需要注意以下几点:
◇
由企业的专利业务人员、技术人员和市场人员共同组成评测小组;
◇
评估之前需要由对评测小组进行培训,讲解评估的方法,各个维度和指标的含义以及其与风险水平的相关关系;
◇
在评估过程中,出现意见分歧时,需要小组成员充分讨论和沟通,并最终形成统一意见; ◇
在评估过程中,对同一风险或风险行为的判断可能因人而异、因时而异,因此需避免人员更换、多次评估等情形,最大限度地保证评估过程的连续性和判断标准的一致性。
3.专利风险等级的划分
根据对所有风险专利的评估情况,可以制作风险水平分布图,进行风险等级的划分,形成不同等级的专利风险清单。
风险水平分布图的横坐标为风险发生可能性的分值,纵坐标为风险损失度的分值;根据对每个专利的风险发生可能性和风险损失度的评估结果,确定该专利在风险水平分布图上的位置。根据各个专利的在该图上的位置分布,可以将企业的风险专利分为四类,并具有不同的关注重点:
专利运营与融资孵化请进入:http://www.xiexiebang.com
_______________________________________________________________________________
◇
高损失度、高可能性:这类专利是企业进行专利风险应对的重点对象,要制订完善的应对措施,做好充分的应对准备。
◇
高损失度、低可能性:对其中的引发该风险发生的主要因素进行监控,尽量消除该风险发生的可能性;一旦其发生的可能性上升时,要及时加强应对措施。
◇
高可能性、低损失度:重点关注随着企业内外部运营的环境的变化,损失度是否有变大的趋势,并考虑是否有低成本的方式去规避风险。
◇
低损失度、低可能性:需要适当关注其损失度和可能性随着企业内外部运营的环境的变化是否有变大的可能。
企业在实务中可以通过上述三点去进行专利风险的评估工作,已可委托专业机构进行专业的专利风险培训和评估。
第五篇:我国商业银行授信风险评估方法应用研究
我国商业银行授信风险评估方法应用研究
论文摘要:本文在分析国外在信贷风险评估方法上创新、应用及其发展趋势的基础上,结合内部评级的国际经验,分析了我国商业银行在信用风险管理方式、控制手段和管理框架上的不足,提出了建立内部评级体系的一系列措施,以期为我国金融机构信贷风险管理提供一些有益的参考。
一、信用评级相关研究成果综述
(一)财务指标变量预测企业经营危机的起源最早运用单一财务指标变量预测企业经营危机的研究,始于1930年代的Smith&Winker(1930、1935)。Fitzpatrick(1932)进行单变量破产预测研究,选择了19家公司作为样本,运用单个财务比率指标将样本划分为破产和非破产两组,发现判别能力最高的是净利润,股东权益和股东权益,负债两个比率。1966年由威廉,比弗(WilliamBeaver)沿着该思路继续研究。Beaver(1966)应用统计方法研究1954~1964年期间的79家失败企业,并以单变量分析法建立财务危机预测模型。发现有些财务比率在两组公司间确有显著不同,其中“现金流量,负债总额”是预测经营失败的最佳指标,其次为“资产负债率”以及“资产报酬率”。笔者认为,Beaver用单一的财务指标变量来判别企业的违约概率这样的复杂层面分类存在问题,因为企业违约概率的影响因素是多层面,仅用一个指标来判断未免偏颇。
(二)多元线性判别分析模型典型的代表是美国的爱德华·阿尔特曼博士(Edward Airman)著名的Z-score模型和ZETA信用风险模型。多元线性判别分析模型是研究对象所属类别进行判别的一种统计分析方法,该方法是从若干表明观测对象特征的变量值(财务比率)中筛选出能提供较多信息的变量并建立判别函数,使推导出的判别函数对观测样本分类时的错判率最小。Airman(1968)是率先将多变量分析用于预测财务困境公司,提出了著名的z一8COle模型。其过程包括各种可选函数(包括每个自由变量的相对贡献的判决)的统计显著性的观测;相关变量的相关关系评价;各种变量组合预测精度的观测;专家的意见。作者早在1968年对美国破产和非破产生产企业进行观察,采用了22个财务比率经过数理统计筛选建立了著名的5变量Z-score模型,最后选出了最具解释力的5个财务指标,分别是营运资金/总负债、保留利润/总资产、息税前利润/总资产、权益市价/总负债、销售收入/总资产财务比率。根据比率对借款还本付息的影响程度确定变量权重,最后将每一个比率乘以相应权重后相加,最后结合成一个线性模型,被定名为z-score模型。1977年Altman对此模型进行了修正和扩展,建立了ZETA信用风险模型,模型变量由5个变为7个。对于此种不同期间导致模型的差异,Altman认为是由于企业环境的改变而需要使用不同的财务变量,且财务预警模型也可能因使用不同期间的财务报表而有差异。
(三)多元回归模型来判别企业违约的代表Horrigan(1966)使用多元回归模型预测Moody与S&P的评级,对各个不同的等级赋予主观数值,如Aaa为9,A a为8,最低为c,数值为1,依次类推,最后的回归模型包括总资产、债券顺位、营运资金,营运收入、净值,负债,净值周转率与净利率等。其预测的正确率对Moody为58%,S&P为52%。其次West也使用多元回归模型,利用其预测Moody与S&P的投资级债信评级,将
Fisher(1959)用以估计风险溢价的自变量建立一个多元回归模型,针对Moody评级在B级以上的公司建立等级决定模型,其变数包括9年的获利变异性、偿债期间、负债权益比率与在外流通的债券总额等,正确率为62%。相对前述的危机预测,两者的准确率均不高,原因之一是前述的预测只有两类,非高即低,债券等级预测却可能多达9个等级,在其他条件固定下预测正确率下降属必然。
(四)神经网络分析法对财务危机进行预测虽然神经网络的理论可追溯到上个世纪40年代,但在信用风险分析中的应用还是始于上个世纪90年代。神经网络是从神经心理学和认识科学研究成果出发,应用数学方法发展起来的一种并行分布模式处理系统,具有高度并行计算能力、自学能力和容错能力。神经网络的结构是由一个输入层、若干个中间隐含层和输出层组成。国外研究者如Altman,Marco和Varetto(1995),对意大利公司财务危机预测中应用了神经网络分析法。Coats,Pant(1993)采用神经网络分析法分别对美国公司和银行财务危机进行了预测,取得了一定的效果。然而神经网络的最大缺点是其工作的随机性较强。因为要得到一个较好的神经网络结构,需要人为地去调试,非常耗费人力与时间,因此应用受到了限制。Altman(1995)在对神经网络法和判别分析法的比较研究中得出结论:神经网络分析方法在信用风险识别和预测中的应用,并没有实质性的优于线性判别模型。但神经网络作为一门崭新的信息处理科学仍然吸引着众多领域的研究者。
(五)财务因素的可量化性、数据的可获得性使其在传统的信用评估研究中受到广泛的关注由于财务因素在银行信用评估分析中存在滞后性、灰色性(财务报表披露的信息很大程度上带有不完整性,甚至虚假性)和短期性等诸多弊端,已有越来越多的学者将部分注意力转移到非财务因素上。认为借款企业不是处于一个封闭的系统中,必然还要受到外部因素的影响和制约,认为非财务因素是未来贷款风险的预警信号,因此,同时结合财务因素和非财务因素比仅用其中任一因素在违约率预测上更为精确。巴塞尔银行监督委员会(2001)要求银行不仅要考虑定量因素,还要考虑定性因素。《巴塞尔新资本协议》于2004年正式公布,其推广实施将对全球银行业的发展格局产生深远影响。新协议对银行风险管理提出了更高要求,强调了风险计量的精确性、敏感性和标准化,突出了内部评级法(Internal Ratings-Based Approaches,IRB)的地位和作用。正如巴塞尔委员会主席卡如纳所说,内部评级法作为新资本协议的核心技术,代表着未来银行业风险管理和资本监管的发展方向。内部评级系统所提供的违约概率(PD)、违约损失率(LGD)、预期损失(EL)以及非预期损失(UL)等关键指标,在授信审批、贷款定价、限额管理、风险预警等信贷管理流程中发挥着重要的决策支持作用。同时,该系统的计量分析结果也是制定信贷政策、计提准备金、分配经济资本以及实施RAROC管理的重要基础。
二、国有商业银行信贷风险评级中的问题分析
(一)信用评级指标体系的组成有待进一步深入研究目前国有商业银行使用的评级指标体系中选择的各项指标大多是通过内部从事信贷管理的专家确定的,属于专家意见法,缺乏对于各项指标能否灵敏反映借款企业违约率、企业信用水平的定量化研究。此外,科学的评级指标体系应该能够全面而不冗余、重复的反映评级对象的风险信息,仅通过专家意见法确定的评级指标体系难以实现这一目标。
(二)信用评级指标权重缺乏科学性目前评级方法中主要依靠专家的经验,即专家对各项指标相对重要性的认识,确定指标的各自权重,通过主观意见确定权重形成的评级办法在科学性与客观性方面都存在问题,影响了评级结果的准确性,因此科学合理的确定评级指标权重,提高评级结果的准确性是目前需要解决的重要问题。
(三)国内信用评级方法存在缺陷国内学者和专业人士提出的贷款信用评级方法主要包括信用评分法,综合评判法,判别分析法和神经网络预测法等,这些方法存在的主要缺陷:
一是评级指标和权重的确定缺乏客观依据,基本依靠专家意见法确定,主观性较强,某些研究虽然应用了数理统计方法,但存在不能很好的解决反映风险有关信息重叠与遗漏矛盾等方面的向题;二是模型只能对是否违约进行判断,不能给出贷款违约概率等信息;三是由于模型不能给出贷款违约概率等信息,难以指导信贷定价等控制信用风险的工作;四是神经网络方法存在的黑箱性、过分拟合不稳定性、随机性,可能实现局部最优而非全局最优,因此这种方法的应用性受到不少人特别是实务界的怀疑。
(四)商业银行缺乏有效的信用风险防范和控制手段在信用风险防范和控制手段上,我国商业银行没有建立起分产品、分部门、分客户的核算机制和以内部资金转移价格为中心的定价体系。贷款审查通常是以定性分析为主,缺少市场细分,盲目吸纳大型客户,没有清晰的市场风险、行业风险和地区风险控制的政策目标。在信用风险发生后又急于抽回贷款,方式、方法过于简单,容易造成企业经营困难,甚至导致企业破产和银行不良贷款的积累。另外,我国信用评级行业尚处在起步阶段,存在问题较多,整体上难以达到国际上认可的技术和管理标准。健全的风险管理框架是实现全面风险管理的前提。国外银行通过引进内部评级制度,对信用风险进行识别、评估和分类,并由风险管理委员会等专职机构来统筹信用风险管理政策的执行和协调。而国内银行此方面管理职责分散,缺乏专门的管理部门,而且不同类型的风险由不同的部门负责。这种分散管理的做法,使得银行系统缺乏统一的风险管理战略和政策,高层管理者更是无法清楚了解银行面临的整体风险状况。同时,分散管理还使得有些信用风险因无人管理而陷入真空状态。另外,我国商业银行现行的组织管理结构为典型的“金字塔”式结构,在实践中存在管理层次多、决策滞后、风险集中、代理成本过高等问题,纵向过长的代理链条加上商业银行过大的规模使得信息传递和决策渠道存在过多环节,极易形成银行内部委托代理链条上的信息不对称,难以有效防范信用风险的发生。
三、国有商业银行内部评级体系构建的整体思路和方法步骤
(一)整体思路关于内部评级体系的建设,我国商业银行在借鉴国外成功经验的同时,还应坚持以下基本原则:一是配套建设原则。新资本协议所要求的内部评级法不是简单地开发一套评级系统,而要将内部评级方法和系统工具切实运用到业务流程中去,使之发挥决策支持作用,所以IRB实施过程中应坚持管理制度与系统平台同步推进、配套建设的原则。二是自主开发原则。尽管巴塞尔协议将内部评级法作为资本监管的主要方式,但就内部评级体系而言必须是银行从事风险管理的工具,具有较强的针对性和特定性。内部评级体系只有与银行自身业务特点相匹配,才能发挥风险指引的作用。因此,具备条件的银行应立足于自主研发,同时辅之以外部技术支持。三是持续优化原则。随着银行业务不断丰富和发展,信用风险的范围和特点也在发生变化,对内部评级体系必须不断加以改进和完善,以适应日益提高的风险管理要求。为此,银行应配备一支专业化队伍和专门的机构,负责内部评级体系的运行、维护、升级和创新。从国外同业的评级经验来看,对借款人的财务分析是获得初始评级的关键,也是贷款风险评级方法的核心内容,非财务因素的分析使用的定性分析相对较多,凭借信贷专家的经验进行的主观判断较多按照上述步骤进行的贷款人信用评级与国内的前期相关研究相比,采用了贷款数据资料进行分析,克服了不少研究采用证券市场而非信贷数据构建判别模型对贷款信用风险进行预测,对模型准确性产生的影响;主成分分析和因子分析解决以往研究中存在的指标反映信贷风险信息重叠与遗漏,以及不能科学确定指标体系中各指标权重的问题。此外,与以往没有实现与贷款违约概率挂钩的评级研究成果相比,这种研究方法由于能够预测贷款的违约率,因此,可以更好地指导信贷定价等控制信用风险工作。与国外相关研究成果相比,上述方法克服了Altaman的Z模型和Zeta模型只能对贷款是否违约进行区分,难以预测贷款违约率的缺陷。与一些评级机构评级方法相比也更有针对性,国外相关研究成果,现代信贷风险模型依靠的主要数据来源是穆迪、标准普尔等权威机构公
布的相关信息,这些机构的评级主要是针对股票、债券进行的,存在遗漏贷款企业重要风险信息等方面的问题,其应用效果不如内部评级系统。而上述方法直接应用商业银行的贷款数据资料进行分析,方法的准确性将有所保证。
(二)方法步骤 首先,应逐步建立与内部评级相配套的组织体系。我国商业银行应根据业务发展需要,组织协调相关的业务管理部门,研究制定内部评级在信贷政策、产品定价、限额管理、准备金计提、经济资本分配、绩效考核、资本充足率测算等方面应用与管理制度,逐步建立与内部评级系统相配套的组织体系。一是建立独立的内部评级部门。该部门在组织架构和人事任免上应独立于决策者和发放贷款的部门,以保证评级结果的客观性;二是建立合理的内部评估程序,确立风险管理标准、信息披露制度、评级认定程序等,以便银行首先对其面临的风险有正确判断,并在此基础上及时进行评估;三是建立内部评级监督部门,在内部评级部门外部设立监督部门,以便定期对评级结果进行检验,从而对内部评级部门形成制衡作用。其次,应该在引进国外先进计量管理工具的基础上实现自主创新。目前国外许多优秀的数学模型,如ALTMAN、穆迪RISKCAL以及标普MEU等,在国际银行业内部评级中受到广泛认同。但这些模型大都偏重财务分析,有的甚至大量引入利率、汇率、股价等市场价格变量,所以对我国商业银行未必适用。在建立内部评级体系时,我国既要借鉴国外模型的理论、方法和设计思路,又必须结合本国实际,研究开发自己的模型框架和参数体系。由于国内银行的数据数量与质量普遍不容乐观,因此需要慎重地考虑模型建设的方法。如可以先从主观模型(主观评分卡)人手,到专家经验模型再到数量统计模型。在模型的应用过程中既要充分考虑到业务人员的信贷风险意识、对于模型的接受程度、财务数据的真实性、数据积累存量,也要综合经济周期、利率市场化进程、行业特点、市场竞争态势、企业产权结构、区域风险差别等因素的影响。因此,这就需要对模型采取比较灵活的使用方法、如模型评级决定权(由客户经理还是信贷审批人员提供权重),模型输入信息的复核与把关,评级结果的修改与认定等都需要反复平衡、慎重考虑,做到既能保证模型运用的严肃性,同时也不会影响业务开展的灵活性。再次,加快个人和企业信息数据库的建立和完善。使用计量管理工具会更加合理、有效地评估信用风险,但是由于在计量管理模型建立过程中,涉及的信息量大、来源渠道不同、运算程序复杂,所以计算效果很大程度上依赖基础信息的真实性和完整性。如在新资本协议有关文件中,也曾明确提出了对于数据库和相关业务系统的要求。国际经验表明,大多数银行在内部评级系统建立中,都将主要精力花费在数据收集和整理上。反观我国商业银行,数握储备严重不足,且数据缺乏规范性、质量不高,这些问题如不及早解决,将严重制约内部评级系统的应用。为此,商业银行要加快数据整理和补录工作,注意收集有关借款人的相关信息,包括借款人的历史违约情况,同时建立并实行严格、一致的数据标准,制定数据质量管理规章,确保数据的及时性、准确性和全面性。最后,加大人力资源投资力度,积极培育高级专业人才。内部评级系统和方法属于各银行的商业机密,是具有较高技术含量的方法论集成。尽快培养、建立适用于风险分析的专业化人才队伍,对于内部评级体系的建设、实施和维护具有重要意义。要对专业人员结构不断进行优化,对现有人员作定期培训,促使其知识体系及时更新,确保内部评级的先进性和实用性