序言:寫作是分享個人見解和探索未知領(lǐng)域的橋梁,我們?yōu)槟x了8篇的風險因素的識別和評估樣本���,期待這些樣本能夠為您提供豐富的參考和啟發(fā)���,請盡情閱讀。
第1篇
關(guān)鍵詞:企業(yè)會計信息����;風險識別;管理分析
中圖分類號:F23 文獻標識碼:A 文章編號:1001-828X(2013)11-0-01
風險就是未來可能發(fā)生的不確定性的結(jié)果��,在財務管理方面不論何種風險都會造成重大損失�,因此需要對風險進行有效識別和管理,以最大限度降低風險成本�����。企業(yè)會計信息系統(tǒng)可以有效維護企業(yè)的整體運行��,企業(yè)對會計信息系統(tǒng)進行風險識別和管理不僅是企業(yè)財務規(guī)避風險的需要,也是整個企業(yè)風險管理的需要��。但目前我國在會計信息系統(tǒng)風險識別和管理方面的研究還很少�,企業(yè)在會計信息風險管理方面的認識和經(jīng)驗還不足,很多企業(yè)為保證會計信息安全傾盡了大量財力�����、物力卻沒有任何效果��。因此企業(yè)如何識別風險�,并采取措施進行有針對性的風險管理,需要企業(yè)管理者認真思考總結(jié)���,以對癥下藥����。
一�����、企業(yè)會計信息風險識別
1.會計信息風險識別的定義和重要性
對事件的識別可以幫助企業(yè)管理者熟悉影響業(yè)務活動的各種因素��,但事件識別無法清楚了解這些事件蘊含著怎樣的風險�。因此企業(yè)管理者在了解事件的同時,更應分析這些復雜的事件蘊含了哪些“風險”��,即風險識別����。企業(yè)會計信息風險識別可以將不確定的事件轉(zhuǎn)化為清晰的風險陳述�����,在事件識別和風險評估之間起到橋梁的作用����。
2.會計信息風險識別的內(nèi)容
企業(yè)會計信息風險識別可以分為三個方面:(1)利用風險檢查表來系統(tǒng)地識別風險�����;(2)對已知風險進行交流�。采用口頭或書面的方式��,在企業(yè)會議上針對已知風險進行交流���;(3)將已知的風險編寫成文檔,可以方便以后查閱�����。文檔內(nèi)容從風險陳述和相關(guān)風險的背景兩個方面來寫,風險背景中要包括風險發(fā)生的時間����、地點��、原因和后果[1]���。
3.會計信息風險識別的方法
企業(yè)會計信息識別風險的方法有很多�,財會人員可以通過分析公司歷年的財務報表�����,加強與部門經(jīng)理的討論溝通,多進行員工調(diào)查����,或咨詢保險人和風險管理咨詢顧問等方式,以此識別各種潛在風險。財會管理者在運用各種風險識別方法時,首先要全面了解部門��、企業(yè)以及影響企業(yè)的經(jīng)濟�����、法律和法規(guī)等“事件”���。有效識別面臨風險的各項財產(chǎn)以及造成潛在損失的原因��,考慮對這些財產(chǎn)進行計量的方法��。綜合各種計量屬性的優(yōu)缺點����,選擇合理的估價方法。
二���、企業(yè)會計信息風險管理分析
1.會計信息風險評估
企業(yè)會計信息風險評估即對會計信息及信息處理設施可能發(fā)生的威脅和影響的評估���。企業(yè)財會部門利用風險評估可以有效考慮潛在風險對會計目標達成的影響���,以確定會計信息風險控制的優(yōu)先級��,實現(xiàn)對潛在風險的有效控制����,將風險降低到最小范圍。風險評估時管理者首先應考慮到企業(yè)資產(chǎn)及其價值的潛在威脅�����,研究風險發(fā)生的可能性和薄弱點���,建立完善的風險評估流程。風險評估方法分為定性和定量兩種���,對于不能量化的或不能進行定量評價��,實踐中沒有實用性的風險采用定性的評估方法�。定性分析方法側(cè)重于關(guān)注事件帶來的損失,而很少關(guān)注事件發(fā)生的頻率,主要是通過事件面臨的威脅和脆弱點來確定事件的風險等級���,評估中也沒有具體的數(shù)據(jù),以期望值來設定風險的影響值和概率值[2]����。
當單純的期望值不能區(qū)分風險值間的差別時,就需用定量評估法�����。定量評估主要是利用威脅事件發(fā)生的概率和可能造成的損失這兩個因素�����,這兩個因素相乘的結(jié)果稱為ALE。通過ALE可以計算出風險等級,以對此做出相應決策。不同規(guī)模的企業(yè)風險評估工具的選擇不同����,比較小的企業(yè)財會部門的風險管理決策主要來自經(jīng)驗判斷,對于規(guī)模較大的企業(yè)一般通過數(shù)據(jù)收集、處理分析來進行風險評估。常用的風險評估工具有使用歷史數(shù)據(jù)法���、使用回歸分析方法和使用正態(tài)分布模擬損失分布等��。
2.會計信息風險應對
在企業(yè)會計信息風險應對中����,首先應以風險評估的結(jié)果為依據(jù)���,判斷威脅事件的薄弱點���,選擇合理的手段和正確的保護措施。其次����,也應該考慮到費用問題,確保應對措施的費用在財會部門預算范圍之內(nèi)。根據(jù)應對措施的費用和部門的實際預算選擇合理的方式��,達到降低風險的目的���。常見的風險應對方法有規(guī)避風險�、減輕風險�、承擔風險和接受風險等�����。風險的發(fā)生是隨機和不確定的�,因此風險應對也是一個動態(tài)的過程���,財會部門應使用動態(tài)的方法應對風險���,及時更新風險管理體系���。
3.會計信息風險監(jiān)控
企業(yè)會計信息風險監(jiān)控是財務信息風險管理的重要組成部分�,可以通過持續(xù)監(jiān)控和單獨評價兩種方式實現(xiàn)��。在企業(yè)財務部門的日常業(yè)務活動中實行持續(xù)監(jiān)控����,依靠風險評估和持續(xù)監(jiān)控的有效性進行單獨評價。持續(xù)監(jiān)控是財務部門對日常工作和業(yè)務活動的動態(tài)監(jiān)控���,財會部門在工作中如發(fā)現(xiàn)風險管理的缺陷應立即向上級匯報���,以采取相應措施彌補���。通過日常的監(jiān)控可以及時發(fā)現(xiàn)會計信息管理中的各種問題�����,以規(guī)避風險。在風險事件發(fā)生后進行個別評估���,探討財會部門風險管理的有效性��,重視對事件缺陷的挖掘與匯報��,建立可靠的溝通渠道,及時匯報一些敏感或非法的信息[3]。
三���、結(jié)語
在激烈的市場競爭中��,企業(yè)在經(jīng)營管理的各個環(huán)節(jié)��,不可避免的會存在一定風險,這些風險可能對企業(yè)產(chǎn)生重大影響���。有效規(guī)避和化解企業(yè)會計信息中的風險����,是確保企業(yè)在激烈的競爭中持續(xù)發(fā)展的基本要求�。財會部門作為企業(yè)的核心部門���,在日常工作中應該建立有效的風險管理體制�����,對可能發(fā)生的風險進行評估�,并采取相應的措施應對�����,也要實施風險持續(xù)監(jiān)控制度���,積極挖掘財會工作中的各種風險管理缺陷����,以此規(guī)避風險減少企業(yè)經(jīng)濟損失���。
參考文獻:
[1]李華麗.淺論會計風險管理存在的問題[J].中國市場�����,2010�,5(26):21-23.
第2篇
1.1靜態(tài)風險評估
靜態(tài)風險評估是根據(jù)傳統(tǒng)風險評估的具體方法對較短時間內(nèi)系統(tǒng)存在的各種風險進行科學的評估���,評估的整個過程并不連續(xù)����,評估的對象主要選擇相對靜止的系統(tǒng)����。
1.2動態(tài)風險評估
動態(tài)風險評估是對網(wǎng)絡進行安全風險的評估�����,并研究系統(tǒng)變化的過程和趨勢,將安全風險與具體的環(huán)境相互聯(lián)系�,從宏觀的角度了解整個系統(tǒng)存在的安全風險,把握風險的動態(tài)變化���,風險評估的過程是動態(tài)變化的過程�。對于電信網(wǎng)絡而言,客觀準確的進行安全風險的評估是整個電信安全管理的重要前提�����。風險評估是風險管理的初級階段��,目前�,我國的電信網(wǎng)絡仍然采用傳統(tǒng)靜態(tài)評估的方式��,最終對安全風險的評估只是針對特定的時間點���。但是��,靜態(tài)風險評估不能有效的體現(xiàn)評估風險各種變化的趨勢,評估結(jié)果相對比較滯后�。動態(tài)風險評估加強了靜態(tài)風險評估的效果,能夠反映較長時間安全風險具體的變化情況��。在動態(tài)風險進行評估的過程中,如果系統(tǒng)出現(xiàn)安全問題,可以及時的進行處理,展現(xiàn)了整個風險評估的變化過程,保證了網(wǎng)絡的安全。對電信網(wǎng)絡實施動態(tài)風險評估����,具有非常復雜的過程,評估的結(jié)果具有參考價值�。電信網(wǎng)絡安全風險評估的研究文/向宗旭隨著電信技術(shù)的不斷發(fā)展和深入,電信網(wǎng)絡與現(xiàn)代的互聯(lián)網(wǎng)存在較為緊密的聯(lián)系���,這也為電信網(wǎng)絡帶來巨大的安全風險��。電信網(wǎng)絡屬于我國通信網(wǎng)絡中的重要內(nèi)容��,直接關(guān)系到我國社會的穩(wěn)定�����。本文主要探討了電信網(wǎng)絡的安全風險評估。
2電信網(wǎng)絡安全風險評估具體的實施過程
對電信網(wǎng)絡進行安全風險評估的工作���,其對象可以針對電信網(wǎng)絡的某一部門也可以是整個電信網(wǎng)絡��。風險評估的內(nèi)容包含技術(shù)的安全問題以及網(wǎng)絡管理的安全問題��。技術(shù)安全主要包括網(wǎng)絡安全以及物理安全等��,管理安全主要包括管理制度以及人員管理等�����。對電信網(wǎng)絡實施安全風險的評估主要按照以下幾個步驟����。
2.1風險評估前的準備工作
在進行安全風險評估之前,首先需要獲得各個方面對安全風險評估的支持��,相互配合�,確定需要評估的具體內(nèi)容,組織負責進行安全風險評估的專業(yè)團隊���,做好市場的調(diào)查工作,制定評估使用的方法�,只有做好一系列的準備工作才能為接下來的安全風險評估奠定基礎。
2.2對資產(chǎn)的識別工作
在電信網(wǎng)絡中的資產(chǎn)主要包括具有一定使用價值的資源���,電信網(wǎng)絡的資產(chǎn)也是進行安全風險評估的主要對象����。資產(chǎn)存在多種形式��,有無形資產(chǎn)和有形資產(chǎn)��,還可以分為硬件和軟件��。例如,一些網(wǎng)絡的布局以及用戶的數(shù)據(jù)等�����。做好資產(chǎn)識別的工作能夠確定資產(chǎn)具體的安全情況���。對資產(chǎn)進行安全風險的評估可以綜合分析資產(chǎn)的價值以及安全狀況,還可以考慮資產(chǎn)具有的社會影響力。社會影響力是指資產(chǎn)一旦失去安全的保障會對整個社會帶來影響。
2.3威脅識別工作
威脅的識別是指對電信網(wǎng)絡內(nèi)部資產(chǎn)存在破壞的各種因素�����,這種潛在的破壞因素客觀存在。對資產(chǎn)產(chǎn)生威脅的主要原因包括技術(shù)�、環(huán)境以及人為��。技術(shù)因素是指網(wǎng)絡自身存在的設備故障或者是網(wǎng)絡的設計存在疏漏����。環(huán)境因素是指環(huán)境中的物理因素��。人為因素是指人為造成的威脅,包括惡意和非惡意。通過對威脅的動機以及發(fā)生幾率描述網(wǎng)絡存在的各種威脅��,威脅識別工作的重要任務就是判斷出現(xiàn)威脅的可能性。
2.4脆弱性識別工作
網(wǎng)絡資產(chǎn)本身具有脆弱性的特點,包括網(wǎng)絡存在的各種缺陷��。只有網(wǎng)絡存在各種缺陷和弱點才有可能出現(xiàn)各種威脅的因素����,如果沒有威脅的產(chǎn)生����,網(wǎng)絡具有的脆弱性并不會損害資產(chǎn)。但是只有系統(tǒng)較少自身的脆弱性才會較少資產(chǎn)被威脅的可能性�����,使系統(tǒng)的資產(chǎn)更加安全�,從而有效的較少損失。對電信網(wǎng)絡進行脆弱性識別工作可以從技術(shù)和管理上展開��,主要以資產(chǎn)的安全作為核心內(nèi)容��,針對資產(chǎn)的不同特征����,進行脆弱性的識別工作。
2.5確認具體的安全措施
對電信網(wǎng)絡進行的安全風險評估需要做好安全措施的確認工作��,保持有明顯效果的安全措施����,對失去效果的安全措施予以改正��,避免內(nèi)部資產(chǎn)的浪費����,杜絕重復使用安全措施。一旦發(fā)現(xiàn)不合理的安全措施需要及時檢查安全措施能否被取消����,并制定更合理的安全措施�����。確認安全措施的工作主要分為預防性和保護性兩種���。預防性措施主要負責減少威脅性因素產(chǎn)生的可能性,保護性措施是為了減少資產(chǎn)的損失�。
2.6風險分析工作
風險分析工作主要對電信網(wǎng)絡的資產(chǎn)識別、脆弱性識別�����、威脅識別以及存在風險對資產(chǎn)造成的損失進行綜合性的分析�,最終得出準確的風險值,結(jié)合制定的安全措施�����。分析資產(chǎn)承受風險的最大范圍�����。如果出現(xiàn)的安全風險在資產(chǎn)承受的范圍之內(nèi)�����,需要繼續(xù)采取安全保護措施,如果安全風險超出了資產(chǎn)承受的范圍�����,這就需要對風險進行控制�,制定更可靠的安全措施�����。
2.7整理風險評估記錄
對電信網(wǎng)絡實施安全風險評估工作的整個過程��,需要進行風險評估的準確記錄�,包括評估的過程以及評估的最終結(jié)果,制定系統(tǒng)的安全風險評估報告�����。為安全風險評估的工作提供可靠的科學依據(jù)����。
3結(jié)束語
第3篇
2004年9月美國COSO委員會的企業(yè)風險管理整合框架,其中很重要的一個變化是企業(yè)風險管理框架拓展了內(nèi)部控制框架的風險評估要素��,創(chuàng)造了四個構(gòu)成要素――目標設定��、事項識別、風險評估和風險應對����,使原來內(nèi)部控制中的五要素,拓展為企業(yè)風險管理的八要素�,為什么要對此細化呢?筆者的理解是COSO試圖讓這個框架在風險評估這個環(huán)節(jié)更具體����,更有指導性,體現(xiàn)了其和對風險評估要素的重視及強調(diào)����,雖然它并不否定其他構(gòu)成要素的重要性。
我國內(nèi)部控制基本規(guī)范中雖然還是提五要素�����,但在第三章“風險評估”中也借鑒了COSO的表述���,包含了目標設定����、事項識別、風險評估和風險應對四個方面的內(nèi)容���。關(guān)于風險識別��,在第二十二條和第二十三條列示了企業(yè)內(nèi)外部各種風險因素�。
按照COSO的定義��,事項是源于內(nèi)部或外部的影響戰(zhàn)略實施或目標實現(xiàn)的事故或事件��。事項可能帶來正面或負面的影響�,或者兩者兼而有之��。在事項識別有過程中,管理層認識到不確定性的存在�,但是并不知道一個事項是否會發(fā)生�����,或什么時候發(fā)生�����,或者它所帶來的確切影響�����。事項有的很明顯,有的很隱晦����;所產(chǎn)生的影響有的微不足道�����,有的十分重大���。
筆者認為在企業(yè)風險管理構(gòu)成要素中���,事項識別是需要管理層重視的一個問題��,也是風險管理工作中一個不好掌握的環(huán)節(jié),它是風險評估的起點���,與目標緊密相連。在實務工作中�,這個要素怎樣識別,由誰來確認事項��,運用什么工作方法,怎么區(qū)別對待機會和威脅并啟動不同的風險響應機制�,是一個難題。事項�����、發(fā)生的可能性及對其的評估,“在實踐中很困難��,因為通常很難知道到底應該把底線畫在哪兒。”管理層重視事項識別這個環(huán)節(jié)����,并在實際工作中明確崗位職責�,建立有效的工作機制���,才能做到寓風險管理持續(xù)地流動于主體之內(nèi)的要求��。
二�����、事項識別的主體
事項識別的主體是管理層。企業(yè)風險管理要求企業(yè)的每個員工都要對風險管理負有一定的責任���,首席執(zhí)行官負有首要和最終的責任��,其他管理人員在各自的職責范圍內(nèi)依據(jù)風險容限去管理風險���。風險官��、財務官���、內(nèi)部審計師等通常負有關(guān)鍵的支持責任。企業(yè)其他人員按指引和規(guī)程去實施風險管理�����。在企業(yè)實際工作中����,問題有三個����,其一��,不同的管理層自上而下認識和努力程度是否一致��;其二����,不同崗位的人員素質(zhì)及能力水平是否符合要求;其三�����,缺乏專責機構(gòu),事項識別職責不明。
首席執(zhí)行官(CEO)負責建立企業(yè)風險管理的所有構(gòu)成要素���。CEO要領(lǐng)導和指引其他高級管理人員共同做好事項識別工作���,要培養(yǎng)管理團隊有共同的風險管理價值觀��、原則��,要使風險管理理念和文化在企業(yè)廣泛���、深入地普及����。只有上下認識一致�,共同努力�����,風險識別工作才能做好。
管理層的特定崗位的勝任能力水平是事項識別的重要制約因素����。管理人員需要一定的知識與技能才能做好這項工作,人在認知風險事項時是有局限性的���,尤其是復雜的經(jīng)濟和社會現(xiàn)象,人們往往認識不清����,比如前兩年源于美國次貸危機引發(fā)的全球金融危機����,一開始,很少人認識到它的危害性��、影響深度及廣度��。事項識別需要管理層敏銳的視角����,勇于負責的態(tài)度�����,豐富的經(jīng)驗和明確對等的權(quán)責分配及監(jiān)督。
事項識別必須在管理層特定機構(gòu)和特定崗位明確職責����。責任到人��,才不會導致由提倡“人人有責”變成“人人無責”,管理層要通過逐級授權(quán)���,讓不同的管理者分擔與其分部��、業(yè)務單元、子公司對應的風險管理責任�����。事項范圍需要按一定的方法進行歸類,事項識別漏項要有處罰制度,保證管理層內(nèi)部權(quán)責明確,賞罰分明�。
我國企業(yè)可以結(jié)合自身實際情況�,建立以總裁或CEO為首的風險管理委員會��,下設具有跨部門、跨單元風險管理職責的專職或兼職的風險管理辦公室�����,各部門、子公司��、各單元的負責人為各自單位的風險管理責任人,在各部門��、子公司���、業(yè)務單元設專職風險管理崗位����,內(nèi)部審計部門對風險管理工作進行再監(jiān)督�,這樣一種風險管理主體架構(gòu)。
三�����、事項識別的工作機制
企業(yè)要建立一定的工作機制來保證事項識別工作得到貫徹落實�����。除了CEO負有全面責任外���,風險官、財務官��、內(nèi)審部門負有相對于其他管理層人員更重的事項識別職責��,企業(yè)風險管理部門、財務部門�、法律部門相對于其他部門有更多的風險管理責任,應明確其崗位職責����。CEO要定期地約談、督促相關(guān)崗位和部門的管理人員協(xié)助其做好這方面的工作����。對于事項識別,管理層應建立報告制度�,不同層級發(fā)現(xiàn)的事項,要按照一定的標準上報�����,企業(yè)要事先規(guī)定不同情形的事項如何處置。風險官���、財務官、內(nèi)審部門���、風險管理專門機構(gòu),要有事項識別具體工作要求���,對事項識別的周期��、范圍���、時機、深度和廣度做出規(guī)定�,定期報告,對于特定的事項范圍�����,明確由哪個管理角色來承擔��。要建立基層員工反映不尋常事項的順暢渠道�����,鼓勵和引導全體員工積極參與風險管理工作��,建立獎勵制度�。運用科學的方法和有效的工作組織�����,事項識別工作才能做好�����。
四、事項識別的難點
不同事項影響企業(yè)生存和發(fā)展的環(huán)境��,使企業(yè)面臨的機會與風險發(fā)生變化。事項識別的難點在于事項的廣泛性��,相關(guān)性,相互依賴性,不確定性和可識別性�����。
所謂廣泛性是說事項眾多�,紛繁復雜���。既包括外部因素,如經(jīng)濟���、環(huán)境���、政治�、社會���、技術(shù)因素等�,也包括來源于企業(yè)內(nèi)部的各種因素�����。即使在經(jīng)濟因素里面,事項也數(shù)不勝數(shù)�,如國際金融危機、國家產(chǎn)業(yè)政策調(diào)整�����、資金成本變化、行業(yè)競爭性準入的變化等等�����,從企業(yè)內(nèi)部因素看�,如人員方面,安全事故����、合同到期�����、薪酬政策等,將可能影響企業(yè)人力資源的獲得��,給企業(yè)帶來停工損失或使企業(yè)形象受損����。
相關(guān)性是指事項與目標之間的是否有因果對應關(guān)系����,人們通過界定這些事項,能夠提高人們發(fā)現(xiàn)風險與機會的能力���。事項識別必須圍繞著目標的實現(xiàn)來確定的,只有影響戰(zhàn)略實施或目標實現(xiàn)的內(nèi)外部事故和事件才屬于事項的范圍。
相互依賴性是指事項通常不是孤立地發(fā)生的���,一個事項可能引發(fā)另一個事項��,事項也可能會同時發(fā)生�����。如一項資本性開支(固定資產(chǎn)更新改造)因為縮減性財務政策而推遲實施,可能導致停工或延期交貨����。有時,事項之間的關(guān)聯(lián)性也要進行分析研究才能得出���。當事項之間存在相互關(guān)聯(lián)��,或者事項結(jié)合或相互影響產(chǎn)生顯著不同的可能性或影響時�����,管理層就要把它們放在一起來評估。
不確定性是指事項是否如期發(fā)生�����,企業(yè)風險管理的實質(zhì)就是平衡企業(yè)在創(chuàng)造價值的同時�,能夠承受多少不確定性�����。在企業(yè)經(jīng)營所處的環(huán)境中�����,諸如經(jīng)濟全球化����、技術(shù)����、重組���、變化中的市場����、競爭和管制等因素都會導致不確定性。不確定性來源于不能準確地確定事項發(fā)生的可能性以及所帶來的影響���。
可識別性指事項發(fā)生或即將發(fā)生時��,能否被管理層識別���。風險實際上更多地來源于管理層沒有識別到有著負面影響的事項�����,在事項發(fā)生時,管理層沒有意識到它會給企業(yè)帶來影響。事項識別還包括要將代表著機會的事項反饋到管理層的戰(zhàn)略制訂或目標制訂過程中。企業(yè)的事項識別能力也與其運用的技術(shù)方法緊密相關(guān)���,也有一個培養(yǎng)和提高的過程����。
事項識別的深度、廣度、時機和范圍因主體而異��。對于以上這些難點的充分認識����,有助于企業(yè)風險管理抓住“牛鼻子”��,抓住關(guān)鍵事項��。
五、事項識別的方法
第4篇
檔案信息資產(chǎn)是與檔案信息系統(tǒng)有關(guān)的所有資產(chǎn)���,包括檔案信息系統(tǒng)的硬件、軟件、數(shù)據(jù)��、人員��、服務及組織形象等,是有形和無形資產(chǎn)的總和��。脆弱性是檔案信息系統(tǒng)自身存在的技術(shù)和管理漏洞����,可能被外部威脅利用,造成安全事故����;威脅是外部存在的、可能導致檔案信息系統(tǒng)發(fā)生安全事故的潛在因素����。威脅、脆弱性及檔案信息資產(chǎn)的相互影響造成檔案信息系統(tǒng)面臨安全風險�����,最后計算出風險值�。
檔案信息安全風險評估總體方法
檔案信息安全風險評估的核心問題之一是風險評估方法的選擇,風險評估方法包括總體方法和具體方法�����?��?傮w方法是從宏觀的角度確定檔案信息安全風險評估大致方法�,包括:風險評價標準確定方法;風險評估中資產(chǎn)�����、威脅和脆弱性的識別方法����;風險評估輔助工具使用方法及風險評估管理方法等。事實上�����,信息安全風險評估方法經(jīng)歷了一個不斷發(fā)展的過程�����,“經(jīng)歷了從手動評估到工具輔助評估的階段��,目前正在由技術(shù)評估到整體評估發(fā)展��,由定性評估向定性和定量相結(jié)合的方向發(fā)展�,由基于知識(或經(jīng)驗)的評估向基于模型(或標準)的評估方法發(fā)展?�!?�。隨著信息安全技術(shù)與安全管理的不斷發(fā)展��,目前信息安全風險評估方法已發(fā)展到基于標準的����、定性與定量相結(jié)合的、借用工具輔助評估的整體評估方法����。檔案信息安全風險評估總體方法應采用目前最先進方法,即采用依據(jù)合適風險評估標準�、定性與定量結(jié)合、借助評估工具或軟件來實現(xiàn)不僅進行檔案信息安全技術(shù)評估����,而且進行檔案信息安全管理評估的整體評估方法。
1 檔案信息安全風險評估標準的確定
信息安全風險評估標準主要分為國際國外標準和國家標準��。國際國外標準有:《ISO/IEC 13335 信息技術(shù) IT安全管理指南》���、《ISO/IEC 17799:2005信息安全管理實施指南》��、《ISO/IEC27001:2005信息安全管理體系要求》���、《NIST SP 800-30信息技術(shù)系統(tǒng)的風險管理指南》系列標準等��,這些標準在國外已得到廣泛使用�,而我國信息安全風險評估起步較晚�����,在吸取國外標準且根據(jù)我國國情的基礎上于2007年制定了國家標準((GB/T 20984-2007信息安全技術(shù)信息安全風險評估規(guī)范》��,并在全國范圍內(nèi)推廣�����。國家發(fā)展改革委員會����、公安部、國家保密局于2008年了“關(guān)于加強國家電子政務工程建設項目信息安全風險評估工作的通知(發(fā)改高技[2008]2071號)”���,該文件要求國家電子政務工程建設項目(以下簡稱電子政務項目)��,應開展信息安全風險評估工作�,且規(guī)定采用《GB/T 20984-2007信息安全技術(shù)信息安全風險評估規(guī)范》。檔案信息系統(tǒng)屬于電子政務系統(tǒng)�,檔案信息安全風險評估也應該采取OB/T 20984-2007標準。
2 檔案信息安全風險評估需定性與定量相結(jié)合
定性分析方法是目前廣泛采用的方法�����,需要憑借評估者的知識�����、經(jīng)驗和直覺��,為風險的各個要素定級���。定性分析法操作相對容易,但也可能因為分析結(jié)果過于主觀性����,很難完全反映安全現(xiàn)實情況。定量分析則對構(gòu)成風險的各個要素和潛在損失水平賦予數(shù)值或貨幣金額�����,最后得出系統(tǒng)安全風險的量化評估結(jié)果��。
定量分析方法準確,但由于信息系統(tǒng)風險評估是一個復雜的過程���,整個信息系統(tǒng)又是一個龐大的系統(tǒng)工程�����,需要考慮的安全因素眾多��,而完全量化這些因素是不切實際的����,因此完全量化評估是很難實現(xiàn)的�����。
定性與定量結(jié)合分析方法就是將風險要素的賦值和計算��,根據(jù)需要分別采取定性和定量的方法���,將定性分析方法和定量分析方法有機結(jié)合起來�,共同完成信息安全風險評估����。檔案信息安全風險評估應采取定性與定量相結(jié)合的方法,在檔案信息系統(tǒng)資產(chǎn)重要度、威脅分析和脆弱性分析可用定性方法�,但給予賦值可采用定量方法。具體脆弱性測試軟件可得出定量的數(shù)據(jù)�,最后得出風險值,并判斷哪些風險可接受和不可接受等����。
3 檔案信息安全風險評估需借用輔助評估工具
目前信息安全風險評估輔助工具的出現(xiàn),改變了以往一切工作都只能手工進行的狀況�,這些工作包括識別重要資產(chǎn)���、威脅和弱點發(fā)現(xiàn)��、安全需求分析��、當前安全實踐分析�、基于資產(chǎn)的風險分析和評估等�����。其工作量巨大����,容易出現(xiàn)疏漏,而且有些工作如系統(tǒng)軟硬件漏洞檢測等無法用手工完成,因此目前國內(nèi)外均使用相應的評估輔助工具��,如漏洞檢測軟件和風險評估輔助軟件等�。檔案信息安全風險評估也需借助相應的輔助工具,直接可用的是各種系統(tǒng)軟硬件漏洞測試軟件或我國依據(jù)《GB/T 20984-2007信息安全技術(shù)信息安全風險評估規(guī)范》開發(fā)的風險評估輔助軟件��,將來可開發(fā)專門的檔案信息安全風險評估輔助工具軟件�。
4 檔案信息安全風險評估需整體評估
信息安全風險評估不僅需進行安全技術(shù)評估,更重要的需進行安全管理等評估����,我國已將信息系統(tǒng)等級保護作為一項安全制度,對不同等級的信息系統(tǒng)根據(jù)國家相關(guān)標準確定安全等級并采取該等級對應的基本安全措施���,其中包括安全技術(shù)措施和安全管理措施���,因此評估風險時同樣需進行安全技術(shù)和安全管理的整體風險評估,檔案信息安全風險評估同樣如此���。
檔案信息安全風險評估具體方法
根據(jù)檔案信息安全風險評估原理�。從資產(chǎn)識別到風險計算�����,都需根據(jù)信息系統(tǒng)自身情況和風險評估要求選擇合適的具體方法,包括:資產(chǎn)識別方法��、威脅識別方法�、脆弱性識別方法、現(xiàn)有措施識別法和風險計算方法等���。
1 資產(chǎn)識別方法
檔案信息資產(chǎn)識別是對信息資產(chǎn)的分類和判定其價值�,因此資產(chǎn)識別方法包括資產(chǎn)分類方法和資產(chǎn)賦值方法�。
(1)資產(chǎn)分類方法
在風險評估中資產(chǎn)分類沒有嚴格的標準,但一般需滿足:所有的資產(chǎn)都能找到相應的類��;任何資產(chǎn)只能有唯一的類相對應����。常用的資產(chǎn)分類方法有:按資產(chǎn)表現(xiàn)形式分類��、按資產(chǎn)安全級別分類和按資產(chǎn)的功能分類等����。
在《GB/T 20984-2007信息安全技術(shù)信息安全風險評估規(guī)范》中,對資產(chǎn)按其表現(xiàn)形式進行分類�����,即分為數(shù)據(jù)、軟件�����、硬件��、服務��、人員及其他(主要指組織的無形資產(chǎn))����。這種分類方法的優(yōu)點為:資產(chǎn)分類清晰、資產(chǎn)分類詳細�����,其缺點為:資產(chǎn)分類與其安全屬性無關(guān)����、資產(chǎn)分類過細造成評估極其復雜,因為目前大部分風險評估
都以資產(chǎn)識別作為起點�����,一項資產(chǎn)面臨多項威脅��,—項威脅又與多項脆弱性有關(guān),最后造成針對某一項資產(chǎn)的風險評估就十分復雜���,缺乏實際可操作性����。這種分類方法比較適合于初次風險評估單位對所有信息資產(chǎn)進行摸底和統(tǒng)計���。
風險評估中資產(chǎn)的價值不是以資產(chǎn)的經(jīng)濟價值來衡量�����,所以信息資產(chǎn)分類應與信息資產(chǎn)安全要求有關(guān)��,即依據(jù)信息資產(chǎn)對安全要求的高低進行分類���,這種方法同時也滿足下一環(huán)節(jié)即信息資產(chǎn)重要度賦值需求���。任何一個檔案信息資產(chǎn)無論是硬件�、軟件還是其他���,其均有安全屬性�,在《GB/T 20984-2007信息安全技術(shù)信息安全風險評估規(guī)范》中要求:“資產(chǎn)價值應依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級����,經(jīng)過綜合評定得出”?���?蛇x擇每個資產(chǎn)在上述三個安全屬性中最重要的安全屬性等級作為其最后重要等級。但檔案信息安全屬性應該更多�����,除上述屬性外還包括:真實性����、不可否認性(抗抵賴)、可控性和可追溯性����,所以可以根據(jù)檔案信息的七個安全屬性中最重要屬性的等級作為該資產(chǎn)等級。
目前信息資產(chǎn)安全屬性等級如保密性等級可分為:很高���、高���、中等����、低��、很低��,因此信息資產(chǎn)按安全等級也可分為:很高�����、高�����、中等���、低���、很低,即如果此信息資產(chǎn)保密性等級為“中”���,完整性等級為“中”,可用性等級為“低”�����,則取此信息資產(chǎn)安全等級最高的“中”級。
按信息資產(chǎn)安全級別分類法符合風險評估要求��,因為體現(xiàn)了安全要求越高其資產(chǎn)價值越高的宗旨�,在統(tǒng)計資產(chǎn)時也可按表現(xiàn)形式和安全等級結(jié)合的方法進行,如下表1所示��?����!邦悇e”為按第一種分類方法中的類別�����,重要度為第二種方法中的五個等級���。
但如果風險評估時按表1進行資產(chǎn)分類時�,每個檔案信息系統(tǒng)將具有很多資產(chǎn)�,這樣針對每一項資產(chǎn)進行評估的時間和精力對于評估方都難以接受。因此��,在《信息安全風險評估——概念、方法和實踐》一書中提出:“最好的解決辦法應該是面對系統(tǒng)的評估”�����,信息資產(chǎn)安全等級分類的起點可以認為是系統(tǒng)(或子系統(tǒng))�����,這樣可以在資產(chǎn)統(tǒng)計時用資產(chǎn)表現(xiàn)形式進行分類���,在資產(chǎn)安全等級分類時按系統(tǒng)或子系統(tǒng)進行大致分類��,即同一個系統(tǒng)或子系統(tǒng)中的資產(chǎn)的安全等級相同����,這樣滿足了組織進行風險評估時“用最少的時間找到主要風險”的思想��。
(2)資產(chǎn)賦值方法
由于信息資產(chǎn)價值與安全等級有關(guān)�,因此對資產(chǎn)賦值應與“很高、高�、中等、低�����、很低”相關(guān),但這是定性的方法���,結(jié)合定量方法為對應“5、4��、3��、2����、1”五個值,同時將此值稱為“資產(chǎn)等級重要度”��。
2 威脅識別方法
(1)威脅分類方法
對檔案信息系統(tǒng)的威脅可從表現(xiàn)形式�����、來源�、動機、途徑等多角度進行分類��,而常用的為按來源和表現(xiàn)形式分類����。按來源可分為:環(huán)境因素和人為因素,人為因素又分為惡意和無意兩種?;诒憩F(xiàn)形式可分為:物理環(huán)境影響、軟硬件故障����、無作為或操作失誤、管理不到位�、惡意代碼、越權(quán)或濫用���、網(wǎng)絡攻擊����、物理攻擊�����、泄密�、篡改和抵賴等。由于威脅對信息系統(tǒng)的破壞性極大���,所以應以分類詳細為宗旨��,按表現(xiàn)形式方法分類較為合適����。
(2)威脅賦值方法
威脅賦值是以威脅出現(xiàn)的頻率為依據(jù)的,評估者應根據(jù)經(jīng)驗或相關(guān)統(tǒng)計數(shù)據(jù)進行判斷����,綜合考慮三個方面:“以往安全事件中出現(xiàn)威脅頻率及其頻率統(tǒng)計�,實踐中檢測到的威脅頻率統(tǒng)計、近期國內(nèi)外相關(guān)組織的威脅預警”���。���。可以對威脅出現(xiàn)的頻率進行等級化賦值��,即為:“很高�����、高�、中等、低�、很低”,相應的值為:“5��、4、3���、2��、1”����。
3 脆弱性識別方法
脆弱性的識別可以以資產(chǎn)為核心���,針對每一項需要保護的資產(chǎn)�����,識別可能被威脅利用的弱點�����,同時結(jié)合已有安全控制措施���,對脆弱性的嚴重程度進行評估。脆弱性識別時來自于信息資產(chǎn)的所有者�����、使用者,以及相關(guān)業(yè)務領(lǐng)域和軟硬件方面的專業(yè)人員等��,并對脆弱性識別途徑主要有:問卷調(diào)查����、工具檢測、人工核查�、文檔查閱、滲透性測試等�。
(1)脆弱性分類方法
脆弱性一般可以分為兩大類:信息資產(chǎn)本身脆弱性和安全控制措施不足帶來的脆弱性�����。資產(chǎn)本身的脆弱性可以通過測試或漏洞掃描等途徑得到����,屬于技術(shù)脆弱性。而安全控制措施不足的脆弱性包括技術(shù)脆弱性和管理脆弱性��,管理脆弱性更容易被威脅所利用�,最后造成安全事故。檔案信息系統(tǒng)脆弱性分類最好按技術(shù)脆弱性和管理脆弱性進行�。技術(shù)脆弱性涉及物理層、網(wǎng)絡層����、系統(tǒng)層�����、應用層等各個層面的安全問題��,管理脆弱性又可分為技術(shù)管理脆弱性和組織管理脆弱性兩方面����。
(2)脆弱性賦值方法
根據(jù)脆弱性對資產(chǎn)的暴露程度(指被威脅利用后資產(chǎn)的損失程度)��,采用等級方式可對已經(jīng)分類并識別的脆弱性進行賦值���。如果脆弱性被威脅利用將對資產(chǎn)造成完全損害�,則為最高等級���,共分五級:“很高����、高����、中等����、低���、很低”����,相應的值為:“5���、4�����、3、2����、1”。
脆弱性值(已有控制措施仍存在的脆弱性)也可稱為暴露等級�����,將暴露等級“5����、4�、3��、2����、1”可轉(zhuǎn)化為對應的暴露系數(shù):100%、80%�、60%、40%�����、20%�����,再將“脆弱性”與“資產(chǎn)重要度等級”聯(lián)系��,計算出如果脆弱性被威脅利用后發(fā)生安全事故的影響等級�����。
影響等級=暴露系數(shù)×資產(chǎn)等級重要度
4 已有控制措施識別方法
(1)識別方法
在識別脆弱性的同時應對已經(jīng)采取的安全措施進行確認,然后確定安全事件發(fā)生的容易度�����。容易度描述的是在采取安全控制措施后威脅利用脆弱性仍可能發(fā)生安全事故的容易情況���,也就是威脅的五個等級:“很高����、高����、中等、低�、很低”,相應的取值為:“5�����、4��、3�����、2���、1”����,“5”為最容易發(fā)生安全事故��。
同時安全事件發(fā)生的可能性與已有控制措施有關(guān)�,評估人員可以根據(jù)對系統(tǒng)的調(diào)查分析直接給在用控制措施的有效性進行賦值,賦值等級可分為0-5級�,
“0”為控制措施基本有效,“5”為控制措施基本無效�����。
(2)安全事件可能性賦值
安全事件發(fā)生的可能性可用以下公式計算:
發(fā)生可能性=發(fā)生容易度(即威脅賦值)+控制措施
5 風險計算方法
風險計算方法有很多種���,但其必須與資產(chǎn)安全等級�、面臨威脅值����、脆弱性值、暴露等級值�、容易度值����、已有控制措施值等有關(guān)��,計算出風險評估原理圖中的影響等級和發(fā)生可能性值�。目前一般而言風險計算公式如下:
風險=影響等級×發(fā)生可能性
綜上所述,可將信息資產(chǎn)����、面臨威脅、可利用脆弱性��、暴露��、容易度�、控制措施、影響���、可能性�����、風險值構(gòu)成表2�,最終計算出風險值�����。下表以某數(shù)字檔案館為例����,其主要分為館內(nèi)檔案管理系統(tǒng)和電子文件中心,評估資產(chǎn)以子系統(tǒng)作為分類和賦值為起點��,并只以部分威脅����、脆弱性列出并計算風險。
上表中暴露等級值體現(xiàn)了脆弱性�����,容易度體現(xiàn)了威脅�,以表2第一行為例計算檔案管理系統(tǒng)數(shù)據(jù)泄密的風險值,過程如下:
影響等級=暴露系數(shù)×資產(chǎn)等級重要度=(3/5)*5=3
可能性=容易度(威脅值)+控制措施值=3+3=6
風險=影響等級×可能性=3×6=18
第5篇
農(nóng)業(yè)機械安全風險評價是采用科學的方法和程序識別����、分析農(nóng)業(yè)機械安全事故發(fā)生的原因����,針對原因采取措施以消除或減少農(nóng)業(yè)機械在安裝��、使用�、維修等環(huán)節(jié)存在的各種安全隱患,預防安全事故�����,提高農(nóng)業(yè)機械的使用安全��。其過程包括風險分析(產(chǎn)品限制的確定���、危險識別���、安全風險評估)、安全風險評定和風險減少���。安全風險評價為迭代過程���。通過安全風險評定,對不可接受的安全風險���,應采取消除或減少風險的措施���,并重新進行風險(包括再生風險)分析和評定���,直至安全風險降到可接受的程度���。
2農(nóng)業(yè)機械危險識別
在對危險識別前���,首先應確定機械的限制。即描述產(chǎn)品作業(yè)功能���、預定使用范圍���、可預期的誤用、使用和維修環(huán)境���,以確定危險識別范圍���。一般可根據(jù)產(chǎn)品功能及使用操作來描述。如拖拉機加油���、加水���、上車���、啟動、前進���、轉(zhuǎn)向���、倒退、制動���、停車���、駐車、下車���、懸掛���、牽引、提升���、維修等���。危險是指潛在的傷害源���。農(nóng)業(yè)機械產(chǎn)品存在的主要危險包括:機械危險(如擠壓、剪切���、沖擊���、纏繞���、吸入或卷入���、切割、高壓流體噴射等)���、電氣危險(如與帶電部件接觸)���、熱危險(如與高溫物體接觸、熱輻射等)���、噪聲危險���、振動危險(如座椅���、手把振動)、材料和物質(zhì)產(chǎn)生的危險(如人體與農(nóng)藥接觸)及滑落���、絆倒及跌落危險���。不同農(nóng)業(yè)機械產(chǎn)品,可能產(chǎn)生危險的形式及多少各異���。危險識別目的是在機械限制范圍內(nèi)確定并形成危險���、危險狀態(tài)和危險事件的清單。危險識別應在農(nóng)業(yè)機械的壽命期間內(nèi)系統(tǒng)地識別所有階段(如運輸���、安裝���、使用、停用���、維修等)的全部相關(guān)任務中可預見的危險���。危險識別一般采用至上而下及至下而上兩種方法���。至上而下法是以潛在的后果(如擠壓、燒傷)清單為起點���,確定造成傷害的危險���。至下而上法是以檢查所有的危險為起點,考慮確定的危險狀態(tài)下所有可能出錯的途徑(如制動功能失效���、人為差錯)及其導致傷害的方式。相比而言���,至下而上法更為全面徹底���,但過程較復雜。
3農(nóng)業(yè)機械安全風險評估
安全風險為傷害發(fā)生的概率及傷害造成嚴重程度的綜合���。農(nóng)業(yè)機械安全風險評估是依據(jù)農(nóng)業(yè)機械產(chǎn)品的危險識別結(jié)果���,確定各種傷害發(fā)生概率及傷害造成嚴重程度的過程。目的是確定每個危險狀態(tài)或事故的最高安全風險。通常用等級���、指數(shù)���、或分數(shù)表示安全風險的大小。評估傷害發(fā)生概率應在考慮暴露危險區(qū)人員���、危險事件發(fā)生可能性(產(chǎn)品特征���、產(chǎn)品成熟度、生產(chǎn)企業(yè)規(guī)模���、生產(chǎn)方式)���、避免或限制傷害等因素后確定。傷害造成嚴重程度可在考慮傷害或影響健康的程度(如輕微���、嚴重���、死亡)及傷害的范圍(如人數(shù))后確定。安全風險評估方法分為定性評估法和定量評估法兩類���。常見方法有風險矩陣法���、風險圖法���、數(shù)值評分法、定量風險評估法和綜合評估法���。其中風險矩陣法和風險圖法較簡單���,也較常用。
3.1風險矩陣法
風險矩陣法是針對每一識別的危險���,將決定危險事件風險的兩個因素即傷害嚴重程度和引起傷害的概率劃分為相應等級���,形成風險矩陣���,用交叉單元來定性地衡量風險大小的方法���。該方法包括風險矩陣選擇、傷害嚴重程度評價���、傷害發(fā)生的概率評價和得出風險等級四個步驟���。
3.2風險圖法
風險圖以決策樹為基礎發(fā)展而來���,其特點是使所評價的危險形象化,便于分析比較���。風險圖中���,每個節(jié)點代表一個風險參數(shù)(嚴重程度、暴露度���、危險事件發(fā)生概率���、避免可能性),每個節(jié)點的分支分別代表相應風險參數(shù)的等級(如輕微的���、嚴重的)���。風險評估時,從起點開始���,在每個節(jié)點處沿著所確定等級的分支向前���,末端指向就是風險等級���。
4農(nóng)業(yè)機械安全風險的減少
安全風險評價目的是減少或消除不可接受的安全風險。安全風險由安全風險因素構(gòu)成���,減少或消除安全風險就要減少或消除影響風險等級的風險因素(危險源���、發(fā)生的概率或傷害程度)。而減少或消除影響風險等級的風險因素可通過在產(chǎn)品設計階段及在使用階段采用相應措施來實現(xiàn)���。
4.1在產(chǎn)品設計制造階段采取消除或減少安全風險的措施
1)本質(zhì)安全設計制造���。即通過產(chǎn)品設計制造消除或減少危險。如去除收割機���、拖拉機等農(nóng)機覆蓋件上存在的銳角,加大拖拉機操作手柄與相鄰部件的間隙可以消除其帶來的劃傷或擠壓危險���。不是所有的危險可以通過產(chǎn)品設計制造完全消除���,當存在設計不能消除的危險時���,應通過設計制造減少風險。如降低高地隙自走式噴藥機的行駛速度和質(zhì)心高度來提高穩(wěn)定性���;采用減震機構(gòu)減少拖拉機座椅振動等���。本質(zhì)安全設計制造是減少安全風險最有效的措施,應優(yōu)先采用���。2)安全防護措施���。當不能通過產(chǎn)品設計制造消除或充分地減少安全風險時,應采用限制暴露于危險���、減少危險事件發(fā)生概率或消除或降低傷害可能性的安全措施���。如對收割機、拖拉機外露旋轉(zhuǎn)件加裝防護罩���,對動力噴藥機安裝安全閥限制壓力���。3)使用信息���。使用信息是對采取本質(zhì)安全設計和防護措施后的遺留安全風險提出使用警告,以降低傷害發(fā)生的可能性���。如在農(nóng)業(yè)機械危險部位粘貼安全警告標志���、標簽;安裝喇叭���、后視鏡等信號裝置���;在產(chǎn)品使用說明書中說明安全使用規(guī)則;限制使用范圍等���。
第6篇
[論文摘要]本文就我國商業(yè)銀行的客戶信用風險���、市場風險和操作風險展開研究,分析商業(yè)銀行風險的識別途徑提出風險評估的相應評估���、計量方法最后研究了客戶信用風險的應對���、市場風險的控制和監(jiān)控以及操作風險的轉(zhuǎn)移方法以期為實現(xiàn)我國商業(yè)銀行的全面風險管理打下良好的基礎。
一���、引言
伴隨金融風險復雜程度的上升銀行業(yè)正在不斷地改進和完善其風險管理理念���、手段和技術(shù)商業(yè)銀行風險管理已經(jīng)逐步由傳統(tǒng)的資產(chǎn)負債管理模式向以風險資本約束為核心的全面風險管理模式邁進。提升國內(nèi)商業(yè)銀行的全面風險管理能力業(yè)是貫徹落實科學發(fā)展觀的具體體現(xiàn)事關(guān)國家金融安全穩(wěn)定的大局其意義十分重大���。
二���、商業(yè)銀行風險的識別
商業(yè)銀行風險的主要類型有信用風險、市場風險���、操作風險���。故商業(yè)銀行的風險識別相應的為:客戶信用風險識別;商業(yè)銀行市場風險識別;商業(yè)銀行操作風險識別。
1���、客戶信用風險的識別���。是指對客戶各項風險因素的捕捉和分別進行判斷的過程.實際上就是對客戶信用風險的盡職調(diào)查過程���。客戶信用風險評級指標主要包括基本面指標���、財務指標兩大類內(nèi)容���。(1)基本面指標。又稱為定性指標或非財務指標包括品質(zhì)���、實力���、環(huán)境三個主要方面。品質(zhì)類指標包括管理層素質(zhì)���、股東治理結(jié)構(gòu)���、還貸誠意、信用記錄等多個方面���。實力類指標從客戶的資金���、技術(shù)及設備���、管理、人員等各方面考量企業(yè)實力高低���。環(huán)境類指標包括市場競爭環(huán)境、信用環(huán)境���、政策法規(guī)環(huán)境;(2)財務指標���。對財務指標的分析主要包括償債能力指標、營運能力指標���、盈利能力指標���、成長性指標和其他指標等幾個方面。誣膾債能力指標主要考量客戶的資產(chǎn)負債率���、利息保障倍數(shù)、平衡的流動比率或速動比率等;②營運能力指標主要考量客戶的總資產(chǎn)周轉(zhuǎn)率���、應收賬款周轉(zhuǎn)率���、營運資金周轉(zhuǎn)率以及流動資產(chǎn)周轉(zhuǎn)率等等���。③盈利能力指標主要考量客戶總資產(chǎn)收益率、銷售利潤率���、凈資產(chǎn)收益率���。④成長性指標主要計算和分析銷售收人增長率、利潤增長率���、權(quán)益增長率等���。
2、商業(yè)銀行市場風險的識別���。銀行面臨的風險可以分為重新定價風險、收益率曲線風險���、基準風險和期權(quán)性風險���。重新定價風險也稱為期限錯配風險來源于銀行資產(chǎn)���、負債和表外業(yè)務到期期限或重新定價期限所存在的差異;重新定價的不對稱性也會使收益率曲線斜率���、形態(tài)發(fā)生變化從而形成收益率曲線風險也稱為利率期限結(jié)構(gòu)變化風險;基準風險也稱為利率定價基礎風險是另一種重要的利率風險來源;期權(quán)性風險是一種越來越重要的利率風險來源于銀行資產(chǎn)、負債和表外業(yè)務中所隱含的期權(quán)���。商業(yè)銀行應當對每項業(yè)務和產(chǎn)品中的市場風險因素進行分解和分析及時、準確地識別所有交易和非交易業(yè)務中市場風險的類別和性質(zhì)���。
3���、商業(yè)銀行操作風險的識別。操作風險識別過程應該以當前和未來潛在的操作風險兩方面為重點���。這個過程應該考慮:潛在操作風險的整體情況;銀行運行所處的內(nèi)外部環(huán)境;銀行的戰(zhàn)略目標;銀行提供的產(chǎn)品和服務;銀行的獨特環(huán)境因素;內(nèi)外部的變化以及變化的速度操作風險識別的主要手段有以下幾種:(1)操作風險內(nèi)部分析。其作為日常業(yè)務計劃循環(huán)流程的一部分而完成典型的是通過一個業(yè)務部門員工會議來完成;(2)操作風險指標分析���。銀行可選擇一些和風險產(chǎn)生有關(guān)的”關(guān)鍵指標”通過監(jiān)控這些指標發(fā)現(xiàn)存在一些能夠引起風險發(fā)生的條件;(3)升級觸發(fā)指標分析或臨界觸發(fā)指標分析���。通過將當前交易或事件與預先定義的標準相比較引起銀行管理層對潛在領(lǐng)域進行關(guān)注;(4)損失事件數(shù)據(jù)分析。用以往單個操作風險損失事件的數(shù)據(jù)記錄等信息來識別操作風險及其誘因;(5)流程圖分析通過繪制業(yè)務和管理活動流程圖排查和識別業(yè)務流程中的風險點���。
三、商業(yè)銀行風險的評估
風險估計是商業(yè)銀行風險管理的第二步���。通過風險識別商業(yè)銀行在準確判明自己所承受的風險在性質(zhì)上是何種具體形態(tài)之后隨之需要進一步把握這些風險在量上可能達到何種程度以便決定是否加以控制如何加以控制���。
1、商業(yè)銀行客戶信用風險的評估
客戶信用風險的評估是指根據(jù)客戶經(jīng)理對客戶信用風險識別判斷的結(jié)果對客戶整體的信用風險高低給予評估得到客戶信用風險評級結(jié)果���。其評估方法主要有:(1)專家判斷法���。專家判斷法主要采取"5C"分析框架:借款人的品質(zhì)(character)、還款能力〔capacit辦資本金大小(capital)���、抵押品情況(collateral)���,所處環(huán)境情況(condition),(2)信用評分法即結(jié)合信貸專家的業(yè)務經(jīng)驗預先設定的一系列主觀和客觀的風險因素將這些因素設計為相對固定的打分表由評級人按照打分表確定客戶的信用風險評級結(jié)果���。(3)模型法���。其可分兩類:一類是建立對客戶信用風險的多變量判別模型包括線性概率模型���、L.ogit模型、Probit模型和多元判別分析模型;另一類為市場模型或套利模型如期權(quán)定價型的破產(chǎn)模型���、債券違約率模型和期限方法���、神經(jīng)網(wǎng)絡分析系統(tǒng)等。
2���、商業(yè)銀行市場風險的評估與計量
在市場風險識別后應根據(jù)本行的業(yè)務性質(zhì)���、規(guī)模和復雜程度對銀行賬戶和交易賬戶中不同類別的市場風險選擇適當?shù)?��、普遍接受的計量方法將所計量的銀行賬戶和交易賬戶中的市場風險在全行范圍內(nèi)進行加總以便董事會和高級管理層了解本行的總體市場風險水平?��?刹扇〔煌姆椒ɑ蚰P陀嬃裤y行賬戶和交易帳戶中不同類別的市場風險計量方式包括缺口分析���、久期分析���、外匯敞口分析、敏感性分析和運用內(nèi)部模型計算風險價值等此外還可采用壓力測試等手段進行補充���。商業(yè)銀行應采取措施確保假設前提���、參數(shù)、數(shù)據(jù)來源和計量程序的合理性和準確性并當對市場風險計量系統(tǒng)的假設前提和參數(shù)定期進行評估制定修改假設前提和參數(shù)的內(nèi)部程序���。
3���、商業(yè)銀行操作風險的評估。
操作風險被識別出來后對其進行評估以決定哪些風險具有不可接受的性質(zhì)應該作為風險緩解的目標���。進行這一步驟時通常需要通過考察一項操作風險的驅(qū)動者和原因估計該項風險可能發(fā)生的概率;此外還應在不考慮控制戰(zhàn)略影響的情況下評估一項操作風險可能的影響���。對風險可能影響的評估不僅要考慮經(jīng)濟上的直接影響還應該更廣泛地考慮風險對公司目標實現(xiàn)的影響。
四���、商業(yè)銀行風險的應對
做出適當?shù)娘L險評估后需要決定如何應對這些風險���。根據(jù)風險發(fā)生的概率和影響程度的高低銀行所有人員需選擇合理的風險應對對策包括規(guī)避風險���、接受風險、降低風險和轉(zhuǎn)移風險���。
I���、商業(yè)銀行客戶信用風險的應對?��?蛻粜庞蔑L險的應對是指基于對客戶信用風險的評估結(jié)果銀行應采取相應措施來防范���、化解或控制其信用風險。表現(xiàn)為:①根據(jù)客戶信用風險評級結(jié)果確定客戶準人標準把好商業(yè)銀行授信業(yè)務的第一道關(guān)口;②根據(jù)客戶信用風險評級結(jié)果對存量客戶進行分類管理���。對于信用風險高低不同的客戶銀行應采取不同的管理政策和管理措施;③根據(jù)客戶信用風險識別、分析和評估提供的關(guān)鍵信息提高對客戶信用風險監(jiān)控工作的針對性和效率;④參考客戶信用風險評級結(jié)果確定貸款定價彌補信用風險可能產(chǎn)生的預期損失���。
2���,商業(yè)銀行市場風險的控制與監(jiān)測���。(1)市場風險的控制與管理。包括:①限額管理���。對市場風險實施限額管理制定對各類和各級限額的內(nèi)部審批程序和操作規(guī)程根業(yè)務性質(zhì)���、規(guī)模、復雜程度和風險承受能力設定���、定期審查和更新限額;②完善的市場風險管理信息系統(tǒng);③對重大市場風險情況的應急處理方案;(2)市場風險的監(jiān)測與報告商業(yè)銀行定期���、及時向董事會、高級管理層和其他管理人員提供有關(guān)市場風險情況的報告���。向董事會提交銀行的總體市場風險頭寸���、風險水平、盈虧狀況和對市場風險限額及市場風險管理的其他政策和程序的遵守情況等內(nèi)容;向高級管理層和其他管理人員提交按地區(qū)���、業(yè)務經(jīng)營部門���、資產(chǎn)組合���、金融工具和風險類別分解后的詳細信息等。
3���、商業(yè)銀行操作風險的轉(zhuǎn)移���。目前商業(yè)銀行操作風險轉(zhuǎn)移技術(shù)主要有:(1)購買保險產(chǎn)品。主要有:銀行一攬子保險;董事及高級職員責任保險;未授權(quán)交易保險;財產(chǎn)保險和其他險種等;(2)利用金融衍生工具���。商業(yè)銀行在對其操作風險予以量化的基礎上在資本市場上向投資者出售金融衍生工具以將操作風險有效并分散地轉(zhuǎn)移到交易對手那里到期時按照約定向投資者支付本息;(3)其他風險轉(zhuǎn)移方法���。在某些情形下銀行部門可以通過一些特殊的形式將其操作風險向其他非金融部門、非商業(yè)機構(gòu)轉(zhuǎn)移���。
第7篇
【關(guān)鍵詞】 內(nèi)部控制; 風險評估; 管理策略
為了加強和規(guī)范企業(yè)內(nèi)部控制,提高企業(yè)經(jīng)營管理水平和風險防范能力,根據(jù)國家有關(guān)法律法規(guī),財政部會同證監(jiān)會���、審計署、銀監(jiān)會���、保監(jiān)會制定了《企業(yè)內(nèi)部控制基本規(guī)范》。該規(guī)范自2009年7月1日起在上市公司范圍內(nèi)施行,鼓勵非上市的大中型企業(yè)執(zhí)行。我國《企業(yè)內(nèi)部控制基本規(guī)范》提出我國內(nèi)部控制的基本要素包括內(nèi)部環(huán)境���、風險評估���、控制活動、信息與溝通和內(nèi)部監(jiān)督等五項,并在《基本規(guī)范》中單辟一章,就風險評估的有關(guān)內(nèi)容進行了規(guī)定���。這說明國家和企業(yè)已經(jīng)意識到風險評估在企業(yè)內(nèi)部控制中的重要作用,那么企業(yè)應該從哪些方面來加強識別企業(yè)風險,建立風險評估系統(tǒng),進一步改善內(nèi)部控制呢?
一���、國內(nèi)外企業(yè)風險評估體系研究綜述
國外對內(nèi)部控制的研究已有很長的歷史。1988年美國注冊會計師協(xié)會《審計準則公告第55號》,該公告提出內(nèi)部控制結(jié)構(gòu)的三個要素:控制環(huán)境���、會計制度���、控制程序。進入90年代以后,COSO提出《內(nèi)部控制―整體框架》的報告,將內(nèi)部控制分為控制環(huán)境���、風險評估���、控制活動、信息與溝通和監(jiān)督五個部分,實現(xiàn)了內(nèi)部控制由三要素向五要素的飛躍���。自此風險評估被納入內(nèi)部控制系統(tǒng)之中���。最新內(nèi)部控制研究結(jié)果表明,內(nèi)部控制與風險管理愈發(fā)趨向目標一致,某些內(nèi)容也有較大重合,COSO也于2001年起著手進行風險管理研究,從最初的將風險評估作為一個要素納入內(nèi)部控制整體框架中到目前的著手進行風險管理研究,足可以看出內(nèi)部控制與風險管理的趨同性和風險這一因素在內(nèi)部控制中的作用和地位越來越重要���。
近年,我國理論界和實務界越來越重視內(nèi)部控制的研究和應用,學者們在理論觀念的引進和研究方面做了大量的工作。由財政部���、證監(jiān)會等五部委聯(lián)合的我國第一部《企業(yè)內(nèi)部控制基本規(guī)范》就是很好的證明���。
二���、進行內(nèi)部控制風險評估研究的現(xiàn)實意義
史學家湯因比曾說過:“一個國家乃至一個民族,其衰亡是從內(nèi)部開始的,外部力量不過是其死亡前的最后一擊”���。企業(yè)的存亡又何嘗不是如此呢。既然一個企業(yè)的衰亡也是從其內(nèi)部開始的,那若要尋求企業(yè)的生存發(fā)展之路就必須從其內(nèi)部抓起,內(nèi)部控制正是基于這一點才得到了世界各國理論界和實務界的重視���。同時,市場經(jīng)濟從微觀角度來說是一種風險經(jīng)濟,企業(yè)作為市場的基本單位時刻置身于風險之中,越是開放發(fā)達的市場經(jīng)濟,其中蘊藏的風險和不確定性越大。隨著市場經(jīng)濟的發(fā)展成熟和市場開放程度的加大,風險己經(jīng)成為企業(yè)關(guān)注和管理的焦點,作為企業(yè)內(nèi)部管理核心的內(nèi)部控制要想發(fā)揮其應有的作用,必須不斷充實和發(fā)展,以求跟上市場發(fā)展的步伐,正是基于這個基礎,風險的概念逐步進入了內(nèi)部控制的范圍���。減輕或避免風險是內(nèi)部控制活動的目標,各種風險因素是內(nèi)部控制的對象���。所以,企業(yè)要實施有效的內(nèi)部控制,就要識別和衡量它所面臨的風險及其風險因素,這是采取有效控制活動的依據(jù)和前提,這里的識別和衡量風險就是風險評估���。目前COSO整體框架和我國《企業(yè)內(nèi)部控制基本規(guī)范》把風險評估作為一項基礎要素納入到內(nèi)部控制框架之中,這一發(fā)展是理論順應客觀實際發(fā)展的必然結(jié)果。
進行內(nèi)部控制和風險評估研究具有重要的現(xiàn)實意義:內(nèi)部控制的缺失和不健全是導致會計舞弊泛濫的根本原因之一;內(nèi)部控制制度的極度缺失和對風險的忽視是導致我國企業(yè)生命周期短的根本原因; 國有企業(yè)改革的成功離不開健全的內(nèi)部控制制度及風險的管理和控制;風險評估是內(nèi)部控制制度設計控制活動和發(fā)揮應有作用的基礎���。
風險評估是內(nèi)部控制系統(tǒng)的基礎組成部分,要使控制制度發(fā)揮其應有的作用,企業(yè)必須清楚所面臨的風險,并對整個企業(yè)的風險進行定性或定量的評估,然后針對風險評估的結(jié)果采取相應的控制活動���。其實內(nèi)部控制也就是風險的管理與控制活動,如果毫無風險,也就不需耗費大量的人力財力物力去搞什么內(nèi)部控制���。既然風險的存在是控制的原因所在,進行風險評估就成為整個內(nèi)部控制制度的基礎和關(guān)鍵���。無論是從國際大環(huán)境來看還是從我國的具體情況出發(fā),內(nèi)部控制的研究和應用都是非常重要的。但是,作為有效實施內(nèi)部控制的基礎條件的風險評估卻還沒有得到足夠的發(fā)展,研究會計和審計的人都早已熟知制度基礎上的審計,但風險基礎上的控制觀念還是個新概念,還沒有建立起比較完善的體系���。因此,進行內(nèi)部控制和風險評估研究無疑具有非常重要的現(xiàn)實意義。
三���、風險評估體系的構(gòu)建
鑒于風險評估在我國內(nèi)部控制中的運用,筆者認為可以通過以下幾個步驟來建立風險評估系統(tǒng)���。
(一)確定全面風險管理目標
風險是指企業(yè)在未來經(jīng)營中面臨的、可能影響其經(jīng)營目標實現(xiàn)的所有不確定性���。風險評估是企業(yè)及時識別���、系統(tǒng)分析經(jīng)營活動中與實現(xiàn)內(nèi)部控制目標相關(guān)的風險,并合理確定風險應對策略���。全面風險管理是指企業(yè)圍繞總體目標,制定風險管理策略,在企業(yè)經(jīng)營管理的各個方面和業(yè)務過程中的各個環(huán)節(jié)進行風險管理的基本流程,落實風險理財措施,培育良好的風險管理文化,建立健全風險管理的組織體系���、信息系統(tǒng)和內(nèi)部控制系統(tǒng)的過程和方法。
企業(yè)目標是企業(yè)宗旨的具體化,是企業(yè)各項業(yè)務和管理活動所指向的終點���。企業(yè)風險管理的首要任務,就是確定目標。只有先確立了目標,管理層才能針對目標確定風險并采取必要的行動來管理風險���。確定全面風險管理目標要做到:企業(yè)風險管理目標的確定應與員工溝通;企業(yè)計劃和預算與風險管理目標���、戰(zhàn)略計劃及當前情況具有一致性;業(yè)務活動風險目標要具體;領(lǐng)導層參與制定企業(yè)風險目標并對其負責���。
(二)收集風險管理初始信息
實施全面風險管理,企業(yè)應廣泛���、持續(xù)不斷地收集與本企業(yè)風險和風險管理相關(guān)的內(nèi)部���、外部初始信息,包括歷史數(shù)據(jù)和未來預測���。應把收集初始信息的職責分工落實到各有關(guān)職能部門和業(yè)務單位���。
1.在財務風險方面,企業(yè)至少收集以下信息
(1)負債���、或有負債���、負債率、償債能力���。(2)現(xiàn)金流、應收賬款及其占主營業(yè)務收入的比重���、資金周轉(zhuǎn)率���。(3)應付賬款及其占購貨額的比重���。(4)成本和管理費用、財務費用���、營業(yè)費用。(5)成本核算���、資金結(jié)算和現(xiàn)金管理業(yè)務中曾發(fā)生或易發(fā)生錯誤的業(yè)務流程或環(huán)節(jié)���。
2.在市場風險方面,企業(yè)至少收集以下信息
(1)產(chǎn)品的價格及供需變化���。(2)產(chǎn)品供應的充足性、穩(wěn)定性和價格變化���。(3)主要客戶、主要供應商的信用情況���。(4)潛在競爭者���、競爭者及其主要產(chǎn)品情況。
3.在運營風險方面,企業(yè)至少收集以下信息:
(1)新市場開發(fā),市場營銷策略���。(2)企業(yè)組織效能���、管理現(xiàn)狀���、企業(yè)文化,中���、高層管理人員和重要業(yè)務流程中專業(yè)人員的知識結(jié)構(gòu)���、專業(yè)經(jīng)驗���。(3)質(zhì)量���、安全���、環(huán)保���、信息安全等管理中曾發(fā)生或易發(fā)生失誤的業(yè)務流程或環(huán)節(jié)。(4)因企業(yè)內(nèi)���、外部人員的道德風險致使企業(yè)遭受損失或業(yè)務控制系統(tǒng)失靈。(5)企業(yè)風險管理的現(xiàn)狀和能力���。
企業(yè)對收集的初始信息應進行必要的篩選���、提煉���、對比���、分類���、組合,以便進行風險評估���。
(三)風險識別
企業(yè)風險的識別應當以一種系統(tǒng)方法來進行,以確保公司的所有主要活動及其風險都被囊括進來,并進行有效的分類���。根據(jù)企業(yè)實際情況和技術(shù)水平,風險識別主要以定性識別方法為主,適當結(jié)合定量識別方法,同時根據(jù)業(yè)務發(fā)展和管理水平的不斷提高,逐步引進和加大定量識別方法。
企業(yè)應選擇適當?shù)娘L險識別方法,保證風險識別的規(guī)范性和科學性,具體措施有:
1.建立科學的風險識別方法體系,對企業(yè)和各職能部門隨時關(guān)注企業(yè)活動中存在的風險提供指導���。
2.對風險識別方法進行規(guī)范化和制度化,確保企業(yè)和各職能部門使用統(tǒng)一的識別方法體系對風險識別結(jié)果進行描述。
3.利用歷史事件諸如違約支付���、產(chǎn)品價格變動等,關(guān)注未來事件諸如人口變動���、新市場條件以及競爭者行為等對風險進行趨勢分析和關(guān)注。
4.建立損失事件數(shù)據(jù)庫,通過事件列表���、事件分類���、內(nèi)部分析���、推動討論和會談���、流程分析等方法進行風險識別,確定風險因素發(fā)展趨勢和根源���。
(四)風險分析
企業(yè)風險分析評估的方法多種多樣,采用定量分析方法,特別是利用數(shù)學模型進行風險分析,可以使風險管理建立在科學的基礎上,并為最終的決策提供可靠的依據(jù)。風險分析及度量,需要充分地獲得企業(yè)在歷史年度內(nèi)發(fā)生的各種風險的次數(shù)以及所導致的損失,統(tǒng)計時段越長,風險評估的準確性越高���。風險評估不僅要了解歷史上各種風險發(fā)生的頻率,還要充分考慮風險的客觀環(huán)境是否改變,如果有變化,就要在歷史數(shù)據(jù)的趨勢分析上進行修正���。在實際操作中,許多風險發(fā)生的可能性實際上難以量化,它們至多只能定性地被描述為“大的”���、“中的”���、或“小的”風險。
企業(yè)在分析風險發(fā)生的可能性(或頻率���、概率)和風險發(fā)生的條件方面,可采取如下措施:
1.企業(yè)基于風險識別的結(jié)果對風險的發(fā)生概率進行分析評估,選擇采用諸如預期估計或情況評價等術(shù)語來表達潛在的可能性,或采用數(shù)據(jù)或圖表的形式來描述和評價風險發(fā)生的概率���。
2.企業(yè)建立風險分析模型,通過關(guān)鍵風險指標管理方法���、壓力測試和情景分析等定量技術(shù)手段和會談���、工作組會議等定性評價技術(shù)對風險發(fā)生的條件因素進行分析,以確定風險發(fā)生的具體條件���。
3.企業(yè)自查與外部檢查���、事前與事后檢查相結(jié)合���。
4.企業(yè)引進技術(shù)手段,由日常業(yè)務數(shù)據(jù)、財務數(shù)據(jù)入手,按照既定的模型做預警提示���。
(五)風險評價
企業(yè)風險評價是在風險識別���、風險分析的基礎上,評估風險對企業(yè)可能產(chǎn)生的影響以及確定風險的重要性水平的過程���。企業(yè)風險評價包括兩個方面的內(nèi)容,即分析風險可能產(chǎn)生的影響和確定風險的重要性水平。企業(yè)風險評價通常是和風險分析同步進行的,因而其方法也和風險分析相同。
企業(yè)風險評價的控制措施有:
1.企業(yè)對于重要事項面臨的重要風險可能帶來的重大影響,應當通過定量分析技術(shù),確定各種可能性造成影響的數(shù)量,從而為企業(yè)采取恰當?shù)娘L險對策提供科學的依據(jù)���。
2.企業(yè)應當按照風險可能帶來的影響程度的大小,對風險進行排序,明確重要風險和一般風險。
3.企業(yè)應當對重要風險予以特別的關(guān)注,避免重要風險可能給企業(yè)帶來的重大損失���。
(六)風險管理策略
一般情況下,對戰(zhàn)略、財務���、運營和法律風險,可采取風險承擔���、風險規(guī)避���、風險轉(zhuǎn)換���、風險控制等方法���。
1.企業(yè)針對各種風險建立確定風險應對措施的程序和方法,對具有較高發(fā)生概率���、影響重大的風險優(yōu)先考慮。
2.建立一套廣泛適應的風險決策判斷標準,即根據(jù)風險嚴重程度和企業(yè)的風險承受程度確定不同的決策���。
3.企業(yè)對降低風險水平所需成本進行合理分析,評估風險應對措施的成本與效益。
4.企業(yè)選定風險處理措施后,根據(jù)剩余風險重新校訂風險���。
5.企業(yè)要持續(xù)獲得風險變化信息,有效地控制���、管理風險,防范新風險的產(chǎn)生���。
6.對重要風險進行實時監(jiān)控。
四���、結(jié)論
企業(yè)風險評估是一個持續(xù)反復的過程,一次風險評估并不能一勞永逸���。企業(yè)應當結(jié)合不同發(fā)展階段和業(yè)務拓展情況,持續(xù)收集與風險變化相關(guān)的信息,進行風險識別和風險分析,根據(jù)情況的變化及時調(diào)險應對策略,以避免由于原來選擇使用的風險應對策略無效而影響內(nèi)部目標的實現(xiàn)���。特別是當企業(yè)經(jīng)營活動所處的外部環(huán)境發(fā)生變化時,企業(yè)必須保持應有的靈敏度,針對變化的外部環(huán)境進行相應的風險評估,以使企業(yè)的目標在變化了的外部環(huán)境中得以實現(xiàn)���。我國企業(yè)只有建立比較完善的風險評估系統(tǒng),才能真正完善我國企業(yè)的內(nèi)部控制,真正促進我國企業(yè)的進一步發(fā)展���。
【參考文獻】
[1] 李玉環(huán).內(nèi)部控制中的風險評估[J].會計之友,2008 (10).
[2] 馬宏杰.企業(yè)內(nèi)部控制制度存在的問題與對策[J].財會研究,
2007(4).
第8篇
關(guān)鍵詞:風險管理���;尿液檢驗���;質(zhì)量控制
從臨床實驗室質(zhì)量管理的歷史來看���,是源于20世紀50年代病理學家Levey和Jennings2位引入的統(tǒng)計學質(zhì)控技術(shù),通過利用患者標本重復檢測制作質(zhì)控圖���,采用12s控制限來監(jiān)測檢驗方法的精密度���。1980年���,Westgard經(jīng)過研究提出了一套高誤差檢出率和低假失控概率的質(zhì)控規(guī)則���,以12s作為警告限���,13s���、R4s���、22s、41s���、10x作為失控限的多規(guī)則質(zhì)控方法���。隨著自動化儀器性能的不斷提高���,進一步提出了不同檢測系統(tǒng)采用不同質(zhì)控程序的理念���。當臨床實驗室引入全面質(zhì)量管理概念后,基于檢驗方法精密度和正確度而設計的最佳化質(zhì)控程序開始應用于臨床實驗室中。1990年后���,工業(yè)領(lǐng)域的六西格瑪(sixsigma���,6σ)質(zhì)量管理理念的建立和推行,要求質(zhì)量應能達到世界級目標(百萬缺陷率<3.4個)���,這就要求臨床實驗室在“啟動”分析批階段,使用高誤差檢出率的質(zhì)控程序���,在“監(jiān)測”階段,分析批中間使用假失控概率低的質(zhì)控程序���,在“最終”階段,考慮使用觀察整個分析批所有測量數(shù)據(jù)患者結(jié)果均值的質(zhì)控程序���。2010年后���,國際上又提出了基于風險管理的質(zhì)控操作���,要求在不同測量系統(tǒng)的不同時間設計不同的質(zhì)控方法���,即對檢測系統(tǒng)進行系統(tǒng)回顧���,識別所有可能的失控模式,基于事故發(fā)生頻率以控制失控發(fā)生的風險���,通過臨床實驗室識別出的高風險事項,建立質(zhì)控策略���,減少危害、預防事故發(fā)生和/或最佳檢出失控���,風險管理技術(shù)開啟了現(xiàn)代臨床實驗室質(zhì)量管理技術(shù)的新方向。
臨床上���,尿液檢驗在泌尿和生殖系統(tǒng)疾病的診斷、鑒別診斷中起著毋庸置疑的重要作用���,如尿液分析有助于尿糖、蛋白尿���、血尿���、白細胞尿、感染���、管型尿和結(jié)晶尿的篩查���;尿液干化學試帶分析有助于尿糖���、蛋白尿���、血尿���、白細胞尿和感染的篩查���,尿液微生物檢查有助于感染的診斷���;尿液細胞學檢查有助于腎小球和腎小管疾病、下尿路感染���、非細菌感染和結(jié)石病的診斷和療效監(jiān)測���;流式細胞術(shù)和DNA分析有助于移行上皮細胞癌的療效監(jiān)測和預后判斷���。因此,如何保證尿液檢驗的質(zhì)量管理一直是臨床醫(yī)護人員和檢驗人員共同關(guān)注的問題���,而尿液檢驗的管理風險可源自于檢驗前階段的臨床需求、申請���、標本采集、運送���、接受���、分類���、制備���、分樣等過程���,檢驗階段的上樣、加試劑���、混合標本���、孵育���、檢測���、生成數(shù)據(jù)���、產(chǎn)生結(jié)果、結(jié)果復核���、復測等過程���,檢驗后階段的標本貯存、結(jié)果報告���、結(jié)果處置���、結(jié)果解釋和與其他臨床信息整合采取臨床決策等過程���,上述過程究竟存在多少風險���,如何進行控制,既是臨床醫(yī)護人員的責任���,也是臨床實驗室檢驗人員的責任,利用風險管理技術(shù)可有效提高檢驗質(zhì)量���,使檢驗、臨床醫(yī)護和患者滿意���。有效的控制風險需正確的風險管理技術(shù)���,包括危害識別、風險評價、風險控制和風險監(jiān)測等方面技術(shù)���。本期專題刊登了尿液檢驗及腎臟疾病實驗診斷項目風險管理的系列文章,以供讀者在實踐中了解和正確應用風險管理技術(shù)���。在《尿液常規(guī)檢驗項目的風險管理》一文中,蔡玉嬋等采用故障模式與影響分析(failuremodeandeffectanalysis���,F(xiàn)MEA)法對尿干化學試帶的12個檢驗項目和尿有形成分分析的7個檢驗項目進行風險評估���,通過繪制魚骨圖,分析了影響尿蛋白和管型檢驗結(jié)果準確性的可能影響因素���,并確定了根本原因���,同時利用頭腦風暴和個人實踐經(jīng)驗,制定了相應對策���,并對實施的效果進行了驗證���。在實踐中發(fā)現(xiàn)���,尿蛋白質(zhì)和管型檢驗結(jié)果不準確的主要原因是:(1)檢驗人員未按復檢規(guī)則復檢���;(2)顯微鏡鏡頭模糊���,看不清有形成分���;(3)尿液標本放置時間過長。通過臨床醫(yī)護人員和檢驗人員的共同改進和控制���,尿蛋白質(zhì)陽性標本的管型檢出率由1.55%提高到6.83%���,明顯提高了管型檢出率,改進了尿干化學試帶和尿有形成分分析的檢驗質(zhì)量���。在《尿細菌培養(yǎng)潛在風險的識別與管理》一文中,堯榮鳳等開展了尿細菌培養(yǎng)的風險識別和管理工作,對尿細菌培養(yǎng)的檢驗前���、中���、后3個階段���,從人員、設備���、材料���、方法和設施等方面對可能影響尿細菌培養(yǎng)檢驗結(jié)果性能進行風險識別���,并根據(jù)風險嚴重程度���、發(fā)生概率和可識別概率等指標進行分級���,對不可接受風險和需采取措施的風險進行管理。研究發(fā)現(xiàn)需采取措施降低風險的因素有:(1)標本采集(采集操作不規(guī)范、采集容器污染);(2)標本處理(無菌操作不規(guī)范���、未及時處理)���;(3)培養(yǎng)結(jié)果判讀(細菌識別錯誤)���。經(jīng)對上述風險進行控制后���,尿培養(yǎng)污染率下降了9.3%���,陽性率提高了9.5%,說明識別和控制尿細菌培養(yǎng)過程的潛在風險,有利于提高尿培養(yǎng)檢驗質(zhì)量���。
