关键词:概率风险评估;污水处理;评估
近年来,由于全球气候变化显著,环境问题已经被列为世界级别的头等大事,更是人类迫切亟待解决的问题,世界各国都在不断做出努力。城市污水处理厂帮助人民处理生活用水、合理应用水资源,是对水资源的保护、是改善生态环境的重要举措。污水厂建设工程涉及许多门类学科,是一项复杂庞大的系统工程,而且建设周期比较长、投资金额比较大、专业技能比较高,需要风险管理来支持管理决策者对项目规避风险。PRA概率风险评估针对的对象多为高尖端项目,系统比较庞大复杂,例如核电、化工、航天等领域,本文将PRA风险分析方法作为重点研究,结合我国污水厂实际情况,为相关工作人员理清管理思路。
一.PRA概率风险评估方法的基本介绍
PRA(ProbabilisticRiskAssessment)概率风险评估,又称PSA(ProbabilisticSafetyAssessment)概率安全评价,通过PRA概率风险评估可以明确具体的风险目标事件,这样就能针对性的分析风险目标事件的潜在原因,对事故可能的发展的过程进行有效的风险防范措施。
1.PRA的目标
对实际项目的风险因素、系统风险后果的严重度、导致事故发生的概率、项目建设的不确定性进行量化分析,从而在工程设计、建设、运营和维护过程中支持管理决策规避风险。
2.PRA的主要工作
风险模型建立和风险模型的定量化。事故场景识别系统设计、施工过程的薄弱环节、相关因素进行量化与综合、描述工程项目可能发生的危险状态
3.PRA的工作原理
集成运用各种安全性分析方法对项目系统建模。
4.PRA的核心分析工具
有两种核心分析工具,即“事件树(ETA)”和“故障树”。通过这两种方法相结合来建立风险模型。
5.PRA的风险模型
描述危险事件发生可能性的模型、描述危险事件造成损失的模型。
6.PRA风险模型量化内容
包括计算基本事件、危险事件发生概率的点、估计和区间估计,以及不确定性,在概率的意义上区分各种不同因素对风险影响的重要程度。
二.PRA概率风险评估方法在污水厂建设中的应用研究
早在2010年我国对城市污水处理就提出了明确的指标规定,要求城市污水处理率不低于60%,镇污水处理率不能低于50%。
城市污水工程浩大,耗费巨额资金,其市场化运作包括多种模式,下面针对其中较有代表性的三种基本模式,进行对比分析:
1.托管运营是指政府将自己拥有的污水处理厂通过发包的形式委托给企业运营,政府保留对污水处理厂的所有权,并对其运行实施监督管理,企业享有经营权和收益权。这种模式适用于建设较早的污水处理厂。
2.BOT模式即建设(Build)――运营(Operate)――移交(Transfer),是指政府与投资者签订合同,由投资者组成的项目公司负责筹资和建设污水处理厂,在协议期内拥有、运营和维护该设施,通过收取服务费回收投资并取得合理的利润;协议期满,投资者将运营良好的污水处理厂无偿地移交给政府。BOT模式适用于拟建(包括拟新建、改建和扩建)的污水处理厂。
3.TOT模式即移交(Transfer)――运营(Operate)――移交(Transfer),是政府对其建成的污水处理厂在资产评估的基础上,通过公开招标方式向社会投资者出让资产和特许经营权,中标者在协议期内拥有、运营和维护该设施,通过收取服务费回收投资并取得合理的利润;协议期满,投资者将运行良好的污水处理厂无偿地移交给政府。
现代工程项目污水厂建设的结构和功能随着科学技术的发展与进步变得日益繁杂,建设实施中会面临更多的不确定性因素而导致系统风险的增大,所以在进行系统方案可行性分析和论证时,运用管理学原理对与项目有关的各种资源进行组织与分配,使项目及其周围的意外所造成的损失及负作用降低。
运用PRA风险评估方法工作流程:第一,在研究熟悉污水厂建设系统的基础上,运用主逻辑图(MLD)分析污水处理厂在运行时可能遇问题、阻碍、失败、风险等等不利,以及引发系列问题的初始事件,然后利用事件树分析(ETA)对初始事件进行分析,从而得到事故序列组;第二,在进行主逻辑图分析时,还要同时进行搜集系统信息,也就是污水处理建设项目有关的信息操作,用以分析事件概率的数据。最后,在上述两项工作正常运行之后,利用故障树分析方法之前的数据进行风险系统分析,也就是定量计算与定性评估,最大程度地实现污水处理厂经济效益和社会效益的双赢。
事件树通过初始事件进行分析,得到初始事件所导致的事故序列组ASG(AccidentSequenceGroup),再通过对事故序列组初始审与事故发展分析,得到事件树中的事件节点,在每个决策点要求建立发生的联合概率,以确定该点的发生概率(即事件树的中间环节事件的成功或失效的概率)。在计算事故序列组的发生概率时,需要知道初始事件发生的概率以及事件树中各中间环节事件失效的概率。
而故障树则为事件树的失效环节事件提供更为详实的细节,是一个演绎推理的过程。故障树是从不期望发生的失效事件作为系统故障对象进行分析的,通过分析了解通发生失效的途径及基本原因。在PRA的分析过程中,故障树分析首先是把标题环节事件的失效状态作为故障树的顶事件,然后找出顶事件发生的所有可能的直接原因,由此逐步深入分析,直到找出导致顶事件发生的基本原因,即故障树的底事件为止。
PRA过程可以通不同的形式分析,无论是主逻辑图、事件树和故障树,还是其他有关数据分析,这都是将专家知识、各种信息、数据和多种模型总和集成的结果。
我国在项目风险管理方面还有很大的提升空间,因为污水处理行业不但投资高,而且经营周期长,在项目发展建设阶段必然会遇到各方面的挑战,我国将在未来10年建设上千座城市污水处理厂,总投资达数百亿元,同时这些污水处理厂的运行维护费用每年也达到数十亿元,无论是资金运作方面,还是技术管理方面的风险不可避免,因此采用风险评估项目管理能够有效归避风险。采用PRA概率风险评估的关键点就是要结合工程项目实践,通过真实数据资料进行科学的系统分析,评估污水厂建设项目中可能遇到的种种困难,才能采取风险规避的可行性措施。
关键词:软件项目;风险管理;理论分析;方法探究
中图分类号:TP311文献标识码:A文章编号:1009-3044(2013)05-1198-02
1概述
随着软件项目发展速度的不断加快,软件项目风险性表现的越来越明显,特别是对于大型的软件项目开发,应用先进理论、复杂技术、投入人力、资金等,并且新型软件开发要经过漫长时间,这些不确定性因素势必会埋藏更大的风险性,最终引起失败的风险。通过合理运用项目风险理论和方法,能够有效降低软件项目开发的风险,从而保证软件项目健康发展。基于此软件项目风险管理理论和方法受到越来越多人关注,掀起了软件工程领域内研究的热潮。作者通过归纳现代软件项目风险理论和方法的研究资料,分析了各种理论与方法的特点。
2软件项目管理概念
在软件工程领域,研究者始终探索如何实现软件开发活动工程化,且合理利用工程项目的管理手段来挖掘软件工程项目中潜在的风险隐患。对软件项目风险管理概念简析的关键就是掌握其他工程项目风险管理,并且加以科学的改进和实际的运用。现代对软件项目管理概念最新的理解为:它类似于其他工程项目,在整个开发过程中隐藏不同可能发生的风险,某些风险可能摧毁整个工程计划。正确运用风险识别方法,尽可能降低风险对软件项目开发造成的危害,将此项活动称为软件风险管理。随着人们对软件风险管理概念不断深化,为软件项目风险管理理论和方法研究提供了有利条件。
3软件项目风险管理的理论探究
3.1基于Boehm的风险管理模型
Boehm通过公式RE=P(UO)*L(UO)来表达风险影响因素间量的关系。RE代表风险或风险带来的影响,P(UO)代表实现预期结果出现的概率,L(UO)代表不理想、结果造成危害性的程度。从风险管理步骤看,Boehm倾向于传统的项目风险管理理论,认为风险管理包括风险评估及风险控制两方面,风险评估是指识别、研究、等级设定,风险控制是指确定管理计划、处理、监督风险。
Boehm核心是指十大风险因素列表,主要是指人员缺少、进度安排不科学、预算不准确、需求随意改变等。根据各种风险因素的特点,Boehm制定给了针对性强的风险管理措施。在实际操作中,用十大风险列表为评判标准,归纳眼前项目相应的风险因素,评估完成后再实行对策,当召开讨论会上针对十大风险因素的处理进展进行归纳,改进原有的十大风险因素表,依此类推。
3.2基于SEI的CRM风险管理模型
SEI的风险管理目标为:对所有引发不良后果的因素进行持续的评估;发现亟待需要解决的风险;实施控制风险的措施;评测并保证风险措施使用的合理性。SIE模型需要对项目生命期的各阶段均进行风险评定与管理,其风险管理包括五个环节:风险识别、分析、计划、跟踪、控制。图1给出的框架说明了采用CRM的基础活动量间的内在关联,强调项目开发过程实质是一系列不断反复进行的活动过程。各风险因素通常都要求遵照顺序完成所有活动,然而对有差异的风险因素所对应的活动既能是并发的用能是分离的。
上图箭头表明信息的逻辑流,而沟通就是信息流的核心与方法。其中风险识别是采用调查问卷完成的,问卷问题的要求是信息含量足够大,所涉及到领域要全面。风险分析侧重点是掌握所有风险在此项目中的出现概率以及后果危害性,从而产生上述的最十大风险问题。
3.3基于CMM/CMMI的风险管理模型
CMM是指能力成熟度模型是基于SEI管理模型上的,其优点是能够对软件能力与成熟度的标准进行准确评定。其标准是经过知名专家论证后得出的,侧重点是开发过程的管理,是现代软件项目风险管理中应用最广的模型。能力成熟度模型依靠五个逐层递进的层次进行表示,具体是指起始级、可重复级、已定义级、已管理级、优化级,项目风险管理主要聚集于第三级水平。SEI将CMM进化成能力成熟度模型集成,这是对原有能力成熟度模型的改进。
在集成成熟度模型中,风险管理是第三级殊的过程域,是软件风险管理的关键构成部分,展现了风险管理的过程特性,进而将过程中各项风险管理原则呈现的淋漓尽致。基于CMM∕CMMI的风险管理模型的发展,起到了促进风险管理理论和软件过程研究为主导的软件工程的有机结合,为软件项目风险管理发展指明了方向。
4软件项目风险管理的方法探究
4.1软件项目风险识别方法
第一,风险清单法。Boehm已经对风险序列进行了界定,并编制了10大风险源清单。它已经明确了在软件开发生命期内,针对各个关键时期可根据10大风险源清单来调整,而且把风险管理纳入软件项目开发生命周期模型。第二,风险辨别法。此方法是从项目分类学层面划分风险,对其类型进行划分,从简单的清单列表转化为类数和问卷辨别过程融合,保证软件项目是完整结构。第三,问卷调查表法。此方法是建立专家设计风险管理问卷调查表前提下,对所有软件项目开发人员展开问卷调查,并对所获取数据做出处理。
4.2网络分析技术方法
第一,计划评审技术。主要是根据项目进展情况做风险评估,一般需要所有时间都遵循三点分布原则,实际上这只是一种理想状态,在实际应用中不能达到,因此经常和蒙特洛仿真共同运用。第二,关键技术。此技术起源于Goldratt的制约理论,利用关键链替换关键路径的思想,即关键链项目管理。第三,Petri网技术。此技术主要用于研究离散动态事件,其特点是并行、共发、同步,多用于软件工程项目描述阶段,属于软件工程领域的基础技术。
4.3基于Riskit的风险管理方法
此方法主要是说明项目中的风险因素及其关联,它被认为是风险管理的定性依据,因而存在于软件项目开发的全过程。Riskit的优点包括灵敏度高、操作简单、实用性强、结果可靠等,它建议有差异的结构与项目在运用它过程中要结合运行情况及时调整。并且将组织原有的风险管理实践、可利用的资源、项目的真实状况等均纳入考虑范围,以此明确项软件目风险管理的层次级别以及准确程度。
5结束语
综上所述,随着软件开发规模的不断扩大,其风险因素会越来越多,实施风险管理能保证软件项目开发过程的安全性。然而,软件项目风险管理属于综合性学科,要想对其做到完全理解,必须从软件项目风险管理理论和方法研究着手,善于发现原有项目管理存在的不足,并能结合现代软件发展情况创新风险管理方法,从而为软件开发健康发展打下基础。
参考文献:
[1]潘春光,陈英武,汪浩.软件项目风险管理理论与方法研究综述[J].控制与决策,2007(5).
关键词:信息安全;安全生产风险管理体系;风险评估;风险控制
0引言
随着信息化建设的飞速发展和普及,各行各业的网络化、信息化水平显著提高,无论是电网安全稳定经济运行还是企业管理业务运转都离不开信息化系统的支持,在信息化带来高效率的同时不得不考虑网络化带来的安全问题。企业信息安全管理的有效性,关系企业或国家机密,一旦面临威胁和遭遇攻击,就会给企业或国家带来严重的损失[1]。目前在我国电力企业信息安全管理领域,信息安全风险管理依然研究不够深入,较多采取的基于问题的管理方式,遭到攻击或同类行业遭到攻击后,进行系统排查,查找系统漏洞,然后堵住漏洞,这种被动式的管理方式为企业的安全生产埋下较大安全隐患。安全是企业的生命线,只有事前做好各类防范和应急处置,管控风险是实现安全生产的重要保证,在电力企业信息化建设过程中建立一套基于风险的信息安全管理体系,降低信息安全事件发生概率是现代电力企业需要深入研究的问题[2]。
1风险管理体系概述
1.1安全生产风险管理体系概念
安全生产风险管理体系是南方电网借鉴国际先进安全管理理念的基础上,基于电网实际情况提出的了一种安全生产风险管理思路和方法,以风险管控为主线、以“计划-实施-检查-改进(PDCA)“闭环管理为原则,系统地提出了安全生产管理的具体内容,指明了风险管控的目标、规范要求和管理途径,为南方电网安全生产管理和作业提出了具体的工作指引[3]。安全生产风险管理体系核心思想为“基于风险、系统性、规范性、持续改进”:基于风险是指企业应基于实际面临的风险确定核心业务和基于各类风险管控脉络及影响业务目的性的风险因素业务流程节点的设计;系统性是指企业在设计管理系统框架及业务流程节点时,保证流程节点的充分性并遵循PDCA的闭环管理模式,理清业务与业务之间的输入、输出关系;规范性是指企业应明确各项工作的执行标准,确保执行标准的唯一性、科学性,同时企业各部门、生产单位、班组能够按照标准开展工作,保证企业管理的统一性;持续改进是指企业应建立完善的问题发现机制及问题改进机制,能够及时发现系统运行过程中存在的问题并进行改进,同时不断地完善企业管理系统的策划,实现管理系统的持续改进。自2007年建立以来,全网范围内风险管控方法得到有效应用,安全生产管理基础得到进一步夯实,主要安全生产指标持续向好。
1.2基于风险的信息安全管理框架
南方电网安全生产风险管理体系,为电网企业提供了非常有效的一套安全生产管理方法,其基于风险的管理思路遵循国际通用的“危害识别、风险评估、风险控制、风险回顾”风险管控模型,强调事前风险分析和评估、事中落实管控措施、事后总结回顾和改进,目前主要应用在电网、设备、作业和职业健康风险管控上,并取得了不错的成绩,也为信息安全管理带来了有益的启示,即可以通过引入该方法和结合业务实践建立基于风险的信息安全管理框架,探索信息安全风险管理长效机制[4]。
2基于风险的信息安全风险管理体系建立的重要环节
2.1确定风险评估的目标
从管理目的出发,是安全生产风险管理体系的一个重要思想,以目的为导向,分析在现状下实现目的存在的障碍因素,也就是管理关键流程节点,从而确定业务的管理脉络,实现以基于风险的管理思路,最终达到业务工作的系统化和规范化。信息安全管理目标就是要实现信息系统的基本安全特性,并达到所需要的保障级别[3]。信息安全的基本安全属性包括资产的保密性、完整性和可用性,资产的三性对于维持现金流动、企业效益、法律法规要求等是非常必要的。企业的风险评估目标来源于企业中长期发展战略目标的需求,满足相关方的要求、满足法律法规的要求等方面[4]。
2.2风险识别
风险识别是指在运用各种方法全面、系统地识别出在信息安全管理中的风险,找出潜在的原因。一个组织的信息系统和网络可能是严重威胁的目标,同时,由于企业信息化水平的逐步提高,对于信息系统和服务技术的依赖日益增加,企业可能出现更多的脆弱性[5]。在信息安全管理中主要从资产、威胁、脆弱性三个角度识别风险。风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产的三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响[6]。信息安全管理的最终目标是在满足企业中长期发展对信息化水平要求的同时,确保信息安全的三性,降低信息安全事故事件发生的概率。影响该目标实现的因素有危害因素识别是否全面、风险评估结果是否准确、措施是否有效,因此选择合适的风险评估办法和模型,对信息安全管理来说至关重要。
2.3信息安全风险评估
2.3.1信息安全风险评估模型
风险评估是在确定影响信息安全风险评估的三个维度的基础上,选择定性或者定量的风险评估方法,对识别出的风险发生的可能性或可能导致的后果进行衡量,并根据评估结果划分风险等级,然后建立分层分级的管控措施。在完成了资产识别、威胁识别、脆弱性识别,以及已有安全措施确认后,将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程度,判断安全事件造成的损失对组织的影响,即安全风险值=R(A,T,V)=R(L(T,V),F(A,V))。
2.3.2信息安全风险评估实施与运行
(1)信息安全风险概述通俗来讲,风险概述就是风险的管理方案,基于风险评估的结果,制定年度风险管控重点工作安排,为年度安全生产工作计划提供方向。概述报告编制时,应充分考虑风险数据的输出应用,为涉及相关单位(部门)的管理提供输入。风险概述报告至少包含以下信息:风险描述、风险范畴、风险细分种类、风险等级和风险控制措施,并按风险等级排序。(2)风险控制风险控制是在风险评估之后,控制措施建议应综合考虑风险控制成本与风险造成的影响,结合法律法规、国家、行业、上级主管单位和公司有关政策要求以及当前的重点任务统筹考虑选择合适的风险控制措施。风险控制方法一般按照以下顺序进行选择:消除/终止、替代、转移、工程、隔离/闭锁、行政管理、个人防护等。总的来说控制措施从管理措施和技术措施两个方面提出,优先考虑技术措施。属于组织结构不完善的,建立信息安全组织体系。属于管理措施的融入管理办法,编制各层次的信息安全管理体系文件,包括信息安全管理制度、人员安全管理制度、信息系统项目建设管理制度、信息系统运维管理制度,明确管理要求;属于物理安全隐患的,加强机房、门控、安保系统和队伍建设;属于信息系统保护的,纳入信息安全项目建设计划,提高防病毒、漏洞补丁、安全配置、安全认证、访问控制、数据加密、入侵检测等保护能力;属于作业过程执行的措施,将信息安全管控要求纳入作业指导书、“两票”等作业标准,减少人的因素引发的信息安全事故事件;属于人员技能和意识的纳入教育培训计划;属于信息安全应急响应的建立信息安全应急预案或现场处置方案,并按照演练计划开展应急演练[7]。
2.4风险监测
风险控制措施制定后需要对措施的有效性进行评估,年度风险预控措施计划表。风险控制措施应明确责任单位(部门)、责任人、完成时间。在制定风险控制措施时,应避免控制措施带来新的风险。结合年度风险预控措施表和变化识别内容,制定月度风险监督计划,并明确各项预控措施执行情况的各级监督部门,确保风险措施按计划落实执行。
2.5管理回顾,持续改进
PDCA闭环管理是安全生产风险管理体系核心之一,通过定期开展管理回顾,审视信息安全风险管控的有效性,进而形成长效机制持续改进。在回顾过程中注意以下几个方面:(1)识别变化,优化管控手段企业所面临的内部和外部环境不是一成不变的,当变化产生时需要及时识别也调整管控措施。当法律法规变化时需要及时对法律法规风险进行识别和融入;当国际、国内信息安全态势发生变化、信息安全漏洞不断涌现时及时更新防护技术手段、优化管理标准、更新应急处置方案,并保存变化过程的相关资料。(2)建立纠正与预防系统安全生产风险管理体系核心思想之一就是持续改进,通过建立问题发现机制和问题改进机制最终实现企业的管理水平持续提升[8]。在信息安全管理方面,纠正与预防的来源包括信息安全防护系统检测情况、系统运行分析统计、外部信息安全形势、检查发现问题等,并进行根本原因分析,制定纠正或预防措施,通过评估措施的有效性,进行统计输出应用,输出应用到信息安全管理制度、能力与意识提升等各个环节,进而确保企业的信息安全管理水平得到持续提升。
【关键词】风险导向审计条件概率贝叶斯定理风险环节
一、引言
国际内部审计实务标准及其最新发展趋势表明,内部审计应采用风险导向审计理论和方法,更好地履行内部审计职能。风险导向审计是内部审计人员通过对被审计对象风险的分析与评价,全面把握被审计对象的风险状况,根据量化风险水平识别高风险领域,在此基础上确定审计重点和频率,以便合理配置审计资源和协助管理风险,实现审计价值增值的独立、客观的签证和咨询活动。近年来,我国学术界就风险导向审计做了大量的研究,深入阐述了风险导向审计的涵义、特征,并结合当前我国内部审计的现状,提出了推进风险导向内部审计模式应用的策略。
人民银行开展风险导向审计是与国际先进审计标准接轨的必然趋势,也是符合央行职能转变和业务发展需要的必然要求。《人民银行内审工作转型2011―2013年规划》的制定积极推进了内审工作的转型与发展,各基层行运用“风险引导审计,审计关注风险”的内部审计理念,从实施风险导向审计的基础与环境,风险导向审计模式的构建以及风险导向审计模式的应用路径等方面进行了深入的探索。然而,风险导向审计的关键环节是风险评估,在风险评估过程中,风险因素权重的设定对评估结果的准确性起着至关重要的作用,如何验证权重设定的科学性和准确性,并根据审计实践对风险权重进行重构与修正成为我们亟待解决的难题。
二、条件概率和贝叶斯定理
根据《概率论》,采用标准差作为风险测量指标,彻底避开了先实施风险登记量化赋值,再根据量化值测量风险这种主观性较强的评估模式,并在实务操作中,结合被审计主体的履职目标进行风险识别,梳理其各风险因素(即风险类型、风险环节和风险点)。将概率概念纳入风险分析框架,不仅有力地克服了事先给定权重的人为因素,使得审计结果更加真实可靠,也为我们的研究提供了一种启示和思路,也就是从概率的角度,对权重进行重构并结合审计实践进行修正,以期达到更加理想的结果。本文从简要介绍概率论和贝叶斯定理的原理和计算方法到基层央行的审计实践,阐述了联合概率在风险环节权重重构方面的应用,以及结合具体审计实际工作运用贝叶斯定理对这一权重进行修正的具体方法。
贝叶斯定理机率论或概率论是研究随机性或不确定性等现象的数学。人们根据不确定性信息作出推理和决策需要对各种结论的概率作出估计,这类推理称为概率推理。概率推理既是概率学和逻辑学的研究对象,也是心理学的研究对象,但研究的角度是不同的。概率学和逻辑学研究的是客观概率推算的公式或规则,而心理学研究人们主观概率估计的认知加工过程规律。贝叶斯推理的问题是条件概率推理问题,这一领域的探讨对揭示人们对概率信息的认知加工过程与规律,指导人们进行有效的学习和判断决策都具有十分重要的理论意义和实践意义。
1、概率的几种表示方式
条件概率:就是事件A在另外一个事件B已经发生条件下的发生概率。条件概率表示为P(A|B),读作“在B条件下A的概率”。条件概率公式:
P(Xj|Yi)■
联合概率:表示两个事件共同发生的概率。A与B的联合概率表示为P(AB)或者P(A,B)。
边缘概率:是某个事件发生的概率,而与其它事件无关。边缘概率是这样得到的:在联合概率中,把最终结果中不需要的那些事件合并成其事件的全概率而消失(对离散随机变量用求和得全概率,对连续随机变量用积分得全概率)。这称为边缘化(marginalization)。A的边缘概率表示为P(A),B的边缘概率表示为P(B)。
需要注意的是,在这些定义中A与B之间不一定有因果或者时间顺序关系。A可能会先于B发生,也可能相反,也可能二者同时发生。A可能会导致B的发生,也可能相反,也可能二者之间根本就没有因果关系。
考虑一些可能是新的信息的概率条件性可以通过贝叶斯定理实现。
2、贝叶斯定理
贝叶斯定理由英国数学家贝叶斯(ThomasBayes1702-1761)发展,用来描述两个条件概率之间的关系,比如P(A|B)和P(B|A)。根据《概率论》中条件概率的讨论中,我们可知,在获得新的信息之后对概率进行修正,是一种很重要的概率分析手段。经常地,我们开始分析时,总以初始的或先验的概率对所关心的特殊事件进行估计,然后,我们从一些诸如样本、报告和统计实践等信息源中获得了有关该事件的新的信息,有了这些信息,我们就能通过计算对先验概率值进行修正,从而变为后验概率。贝叶斯定理就是进行这种概率计算的一种方法。
早在18世纪,英国学者贝叶斯(1702―1761)曾提出计算条件概率的公式用来解决如下一类问题:假设H[,1],H[,2]…互斥且构成一个完全事件,已知它们的概率P(H[,i],i=1,2,…,现观察到某事件A与H[,1],H[,2]…相伴随而出现,且已知条件概率P(A/H[,i]),求P(H[,i]/A)。
贝叶斯公式(发表于1763年)为:P(H[,i]/A)=P(H[,i])P(A│H[,i])/[P(H[,1])P(A│H[,1])+P(H[,2])P(A│H[,2])+…]
这就是著名的“贝叶斯定理”,一些文献中把P(H[,1])、P(H[,2])称为基础概率,P(A│H[,1])为击中率,P(A│H[,2])为误报率[1]。
三、条件概率和贝叶斯定理在风险环节权重重构与修正中的应用
1、风险环节权重的重构
我们借鉴基层行的研究,根据被审计主题的履职目标进行风险识别,梳理出各风险因素(即风险类型、风险环节和风险点)。以往的审计实践中,对于风险环节权重的赋值,存在较为严重的人为因素,使得最后的得分具有或轻或重的不可信和不可靠。所以,有必要克服风险环节权重确定的这一人为因素。
我们知道风险环节风险权重的高低不仅受到风险点风险程度的影响,而且与其多少存在正相关,因此,可以根据风险点的多少构造风险环节与风险点风险情况来重构风险环节风险权重的多少。以基层行对货币发行管理的审计实践为例:如表1所示。
其中,风险点风险程度高、中、低个数的设定是根据审计内容确定的。A1,A2,A3,A4,A5,A6,A7,A8,A9,A10,A11,A12分别表示“制度建设及人员配置”,“库区设施”,“组合锁使用管理”,“基本制度执行情况”,“人员进出库区管理”,“库存实物管理”,“出入库业务管理”,“货金系统管理”,“会计核算”,“残损币销毁”,“应急管理”,“职业道德”。
现在我们根据《概率论》中条件概率的知识,构造表2:风险环节风险权重的联合概率分布表。在联合概率分布表的边缘分别列出了每个风险环节的概率。即P(A1)=0.066176…….。这些概率就是边际概率。根据边际概率,我们知道7%为“制度建设及人员配置”的权重,6%为“库区设施”的权重,7%为“组合锁使用管理”的权重,13%为“基本制度执行情况”的权重,4%为“人员进出库区管理”的权重,8%为“库存实物管理”的权重,11%为“出入库业务管理”的权重,10%为“货金系统管理”的权重,4%为“会计核算”的权重,11%为“残损币销毁”的权重,13%为“应急管理”的权重,6%为“职业道德”的权重。
接下来的具体审计实际中,我们以此边际概率作为各个风险环节权重的赋值进行分值的计算,这样就可以避免风险环节权重量化赋值的人为估值因素,有利于增强审计结果的真实性和可靠性。
2、风险环节权重的修正
经常地,我们开始的分析总以初始的或先验的概率对所关心的特殊事件进行估计,然后,我们从一些诸如样本、报告和统计实践等信息源中获得了有关该事件的新的信息,有了这些信息,我们就能通过计算对先验概率值进行修正,从而变为后验概率。贝叶斯定理就是进行这种概率计算的一种方法。用它来进行修正概率,其步骤如图1所示。
又如:在我们对国库业务风险管理审计的研究中,我们根据我们审计的具体实际工作需要,结合多年审计实践定义A1=“风险来自制度建设”,A2=“风险来自业务管理”,A3=“风险来自业务操作”,A4=“风险来自核算系统管理”,A5=“风险来自应急管理”,A6=“风险来自道德行为规范”。根据多年的审计实践初步设定先验概率P(A1)=0.1,P(A2)=0.3,P(A3)=0.3,P(A4)=0.1,P(A5)=0.1,P(A6)=0.1。
风险的高低由于来源的不同而不同,六个风险来源的风险高低的审计实际数据见表3中。
如果我们以G表示事件“高风险”,M表示事件“中风险”,N表示事件“低风险,则表1中的信息可以用下面的条件概率来表示:
P(G―A1)=0P(M―A1)=0.5P(N―A1)=0.5
P(G―A2)=0P(M―A2)=0.833P(N―A2)=0.167
P(G―A3)=0.182P(M―A3)=0.455P(N―A3)=0.363
P(G―A4)=0.667P(M―A4)=0P(N―A4)=0.333
P(G―A5)=0P(M―A5)=0P(N―A5)=0
P(G―A6)=0P(M―A6)=0P(N―A6)=0
我们可以用树形图表示这个两步骤实验。我们首先从六个风险环节的某一环节出发,然后再检验这个风险环节里风险点的风险高中低。我们看到最终有18个实验结果。
我们看到每个实验结果都是两个事件的交,可以利用乘法公式计算其概率,比如:
P(A1,G)=P(A1∩G)=P(A1)?鄢P(G―A1)
P(A1,M)=P(A1∩M)=P(A1)?鄢P(M―A1)
P(A1,N)=P(A1∩N)=P(A1)?鄢P(N―A1)
………………….
现在来自这六个风险环节的风险被用到审计实践中,在已知存在风险的信息后,根据著名的“木桶原理”可以从“低”风险这一层面对来自风险环节的概率进行修正,即“低”风险分别来自A1,A2,A3,A4,A5,A6的概率为多少。有了概率树上的信息(图2),用贝叶斯定理就可以解答这样的问题。
N表示事件“低风险,我们现在要求后验概率P(A1―N),P(A2―N),P(A3―N),P(A4―N),P(A5―N),P(A6―N),从条件概率公式,我们知道
P(A1―N)=P(A1∩N)/P(N)(1)
参考概率树,我们看到
P(A1∩N)=P(A1)?鄢P(N―A1)(2)
为求P(N),我们有
P(N)=P(A1∩N)+P(A2∩N)+P(A3∩N)+P(A4∩N)
+P(A5∩N)+P(A6∩N)
=P(A1)?鄢P(N―A1)+P(A2)?鄢P(N―A2)
+P(A3)?鄢P(N―A3)+P(A4)?鄢P(N―A4)
+P(A5)?鄢P(N―A5)+P(A6)?鄢P(N―A6)(3)
将式(2)和式(3)代入式(1)中,并以类似方法得到P(A2―N),P(A3―N),P(A4―N),P(A5―N),P(A6―N)的结果。
在本例中,计算结果:
P(A1―N)=0.2064
P(A2―N)=0.2068
P(A3―N)=0.4494
P(A4―N)=0.1374
P(A5―N)=0.0000
P(A6―N)=0.0000
我们注意到,开始时对于风险有0.1的概率“来自制度建设”,但是,在实际审计中给定了存在风险的信息以后,则这个风险“来自制度建设”的概率上升到了0.2064。这样,根据修正后的风险概率和审计实际中的扣分值,按照比率计算方法,最终得到修正后的实际得分值。本例中在审计实际中,原来是按0.1的概率扣分0.3分,则按修正后的0.2064概率的扣分值为0.2064?鄢0.3/0.1=0.6192分,进而得到实际得分值,这样就会得到整个风险环节的实际得分值,以此为例,被审计行按照修正后的实际分值为82分,原来按照多年审计实践初步人为设定的概率计算的实际分值为84.3分,二者比较分值相近,这充分说明贝叶斯后验修正概率定理可以运用到具体的审计实践中,并且可以取得预期的效果。
四、结论
人民银行开展风险导向内部审计是一门新的课题,尽管近几年来人民银行在内部审计实践中就如何应用风险导向审计模式也摸索出了一定的方法,但是目前风险导向审计仍然处于积极探索阶段。本文从概率论中联合概率分布和贝叶斯后验定理的视角,探索构建了风险环节权重,并依据审计实际工作对其系数进行了修正,取得了预期的结果。同时,风险导向内部审计也是一项系统工作,本文只是在克服根据先验事先给定权重的人为因素和定量评估风险环节的权重方面做了一些探索,就风险点风险程度高、中、低的设定也存在着一定的人为因素。因此,有关这方面的研究有待进一步深入。
【参考文献】
[1]刘文俊:风险导向内部审计模式的应用[J].商业会计,2010(22).
[2]刘曼惠:风险导向内部审计策略探析[J].现代商业,2010(32).
[3]付春:完善风险导向审计的应用[J].会计之友,2009(10).
[4]李晓春、高维红:实行风险导向内部审计的难点和对策[J].商业会计,2010(20).
[5]张越:风险导向审计在内部审计应用中的探索[J].现代审计与经济,2009(4).
关键词:供应链管理风险识别风险估计与评价供应链决策
一、供应链风险管理文献综述
企业运营中存在大量的诸如需求不确定、信息不对称以及供应商不稳定等随机因素,这些因素的存在使得供应链风险及供应链风险管理应运而生。供应链风险是一种潜在的威胁,它会利用供应链系统的脆弱性对供应链系统造成破坏。
关于供应链风险管理的研究评述我们采用先总后分的方式。首先介绍关于供应链风险管理过程整体的研究,其次是按照供应链风险管理过程展开各个主题的研究。
(一)关于供应链风险管理过程
供应链风险管理是指管理供应链中出现意外事件或变化所带来的风险的一个系统的过程。就我们看到的文献而言,供应链风险管理涉及的理论,有一般风险管理理论,也有供应链管理理论,更准确地说,供应链风险管理涉及的理论是一般风险管理理论与供应链管理理论的交叉。
供应链风险管理过程的研究始于lindroth(2001)提出的三维供应链风险初步分析框架,该框架包括供应链单元分析、供应链风险类型和供应链风险控制。tah,j,和can,v。(2001)分析了构筑供应链的供求风险,指出当前建设项目风险管理过程、工具和技术的缺点,提出一个等级风险统计结构的风险描述语言,界定了供应链风险的涵义,也提出了相应的补救措施;此外,还讨论了建立风险知识数据库管理系统支持风险管理的框架。cranfield(2002)提出了一个4阶段供应链风险管理框架:供应链范围和构成要素描绘一供应链脆弱性和风险识别一供应链风险评价一供应链风险管理,同时强调对供应链风险范围和构成要素的鉴定。
de/oitte管理咨询公司(2004)将scrm(供应链风险管理)过程也归结为4个阶段,但其内容与cranfield的4阶段供应链风险管理框架有区别,它们是:识别风险、决定scrm战略和行动、执行和实施行动、监控scrm过程和结果。j,hallika(2004)提出了供应商网络风险管理的一般结构,提出了复杂网络环境下供应商网络风险管理的方法,论证了供应商网络合作给供应链风险管理带来的挑战,并提出供应链成员企业越多,供应链风险水平就越高的研究结论。
倪海燕等(2004)指出,供应链风险管理与企业风险管理具有相同的程序,即风险识别、风险衡量、风险控制与风险管理实施与评价。二者的区别在于它们的目的不同。企业风险管理纳入企业管理范畴,与其他管理职能一同平行发生作用,同时起到综合调节作用;而供应链风险管理强调加强供应链成员企业对风险的了解和沟通,通过对潜在意外事件和损失的识别、衡量、分析,以最小成本最优化组合对风险实行有效规避,实时调控,以保证供应链的安全、连续与高效。在此基础上,作者得出结论:供应链风险管理的核心在于对供应链伙伴关系、合作关系的管理、监督与控制。
熊淑丽等(2005)和杨文等(2006)就在供应链风险管理下供应商的选择问题进行了阐述。他们将供应链风险分为方差风险、中断风险与毁灭性风险,运用线性规划方法建立了供应商选择模型。张存禄、黄培清(2007)提出,供应链风险管理是管理者通过供应链上风险识别、风险估计与评价,合理地使用多种管理方法、技术和手段,对可能影响供应链的各种风险因素实行有效控制,妥善处理风险事件造成的不利后果,保证供应链管理目标实现的工作过程。赵林度(2008)从供应链风险评估、分析、响应、规避以及供应链的弹性与应急管理等方面对供应链风险进行定量与定性的分析与阐述,引入供应链保险,提供完善供应链管理体系的方法以及实施从风险中获得风险发展战略的途径。
(二)关于供应链风险识别
风险识别是风险管理的首要环节,供应链风险识别是有效进行供应链风险管理的首要阶段。风险识别是发现潜在风险,分析供应链的各个环节、每一个参与主体及其所处的环境,找出可能影响供应链的风险因素,掌握风险特征,确定风险来源及其相互关系的过程。目前,关于供应链风险的研究,多数是关于供应链风险因素识别的研究,国内外对风险的类别都有相关的总结与归纳。
ai-bahar和crandall(2002)认为,“风险识别是一种系统的、持续的对风险相关事件进行挖掘与分类的过程”。harland(2003)把供应链视为供应网络,归纳出对供应网络运作及其环境有现实影响的九大类风险,它们涉及到:战略、作业、供应、客户、制度、竞争、信誉、税收、资产和法律。李晓英、陈维政(2003)从系统风险、管理风险、信息风险及市场风险4个方面分析了供应链风险形成机理。马士华(2003)把供应链风险因素归纳为两大类:内生风险(indigenousrisk)和外生风险(exogenousrisk)。ernst和young(2003)的供应链风险调查表明,供应链呈现出越来越复杂的趋势,具体表现为供应链风险水平越来越高,供应链运作低效率和高成本,供应链核心企业被其他企业所取代。他们根据对10个国家50家零售企业和家电生产企业供应链风险调查的结果指出,供应链存在八大风险:持续经营计划风险、数据完整性风险、供应链管理技术应用安全风险、企业治理风险、合作关系风险、供应链管理成本与投资风险、劳动力风险应链管理技术应用安全风险、企业治理风险、合作关系风险、供应链管理成本与投资风险、劳动力风险和税收风险。他们的研究结果还表明,通过供应链风险管理可以节约成本,获取战略优势。
martinbailey(2004)把供应链风险分为外部环境风险、自然灾害风险与运作风险三大类,并且归纳出包括全球、政府、经济、火灾、客户、安全等在内的21个风险形成因素。p,j,agrell(2004)通过建立一个3层两期供应链模型论证了供应链风险对供应链成员协调和供应链合同的影响。田会等(2005)认为供应链的风险是由于各环节的博弈与合作造成的,主要表现为系统风险、信息风险、管理风险与技术风险。在此基础上提出了一个风险防范系统,并且指出利用“木桶原理”防范系统约束风险以及利用文化支撑体系防范系统内耗风险等措施来防范风险的思路。周艳菊等(2006)提出供应链风险的来源是由于各种不确定性因素的存在;牛鞭效应使供应链风险被放大;由于供应链网络上的企业之间的相互依赖,任何一个企业出现问题都有可能波及和影响其他企业,影响整个供应链的正常运作,甚至导致供应链的破裂和失败。因此,他们将供应链风险定义为供应链的脆弱性。
吴军等(2006)认为风险可以根据其发生的概率和事后危害性这两个维度进行简单地划分,提出两类典型的风险:日常风险,即由于客户需求的不确定性和供应环节的供需不平衡而产生的风险;第二类风险为供应链管理的突发风险,是由于供应链环节中无法预料的突发事件而产生的风险。宁钟、王雅青(2007)提出,供应链风险识别可借鉴在金融服务业中广泛使用的风险识别和测量工具,如情景分析、历史分析和流程计划等。其中,情景分析法不是传统的强调概率的计算,而是通过对运营环境的发散性的思考,强调对于未来可能面对的各种突发情景建立思想上的准备和相应的措施。
(三)关于供应链风险估计与评价
供应链风险评估是在单个风险水平估计的基础上确定供应链整体风险水平的过程,是估计单个风险的性质,计算风险发生的概率、发生时间及其后果影响的大小,然后再进行综合评价来确定供应链的总体风险水平以及风险能否被接受的过程。风险估计与评价是为风险管理者拟定风险管理对策,采取风险管理措施提供依据的重要阶段。目前,综合评估方法较多,这些评估方法各有特点,但大体可以分为两类:主观赋权法和客观赋权法。
许志端(2003)对供应链战略联盟中的风险因素进行了研究分析,提出一种系统的战略规划框架,调查和评估供应链战略联盟中存在的7种风险因素,并统计分析一些公开披露的案例,为供应链战略联盟中的风险管理和控制,为企业理解并识别供应链战略联盟中存在的风险及其可能的来源提供了依据。丁伟东等(2003)提出了供应链可靠性评估矩阵,具体有4个步骤:选定评估因素,构成评估因素集;根据评估要求,划分等级,确定评估标准;对各风险要素进行独立评估,得出评估矩阵和权重矩阵;进行数学运算,计算出每个企业的风险评估结果,定义企业的可靠性。这也是一种定量研究的方法。其缺陷是没考虑到风险的概率。
hallikas(2004)从风险事件的概率和结果的角度半定量化地研究供应链风险评估,主要是从财务角度进行评价,同时考虑到一些非物质结果,例如信任、荣誉、知识的退化等一些难以货币化的因素。这种评估能加强企业对内外环境的理解。hallikas的半定量化的研究方法为供应链的风险评估提供了一个初步的框架和思路。付玉等人(2005)在“基于案例推理的供应链风险估计方法”中,把人工智能中的案例推理技术引入供应链风险估计,较好地解决了案例的描述与存储、匹配案例的检索以及检索结果的调整等关键问题,设计了实用化的偶发风险估计原形系统。stansmith(2005)将供应链风险从风险的发生可能性和发生后果的严重性两个方面将风险划分为5个级别,从而形成一个共25个方格的风险评价方阵。然后将企业识别出的风险逐个归类,并建议根据评价结果的不同而采取不同的管理方法。
吴军等(2006)综合国外文献的研究,得出结论:20世纪80年代中期到20世纪90年代,有一些学者从马氏决策角度对供应链管理中的库存模型进行了大量的风险分析。其中,代表性的文献有:white(1988)总结了20世纪80年代关于马氏决策问题风险敏感准则分析的主要结果;sobel(1994)对于一般性的非折扣形式、折扣形式的马氏决策问题进行的风险分析;chung(1994)采用高均值低方差的判定准则研究的一个不考虑折扣的平稳分布单一链马氏决策问题,并给出了pareto最优的分析方法和计算结果。于瑞峰等(2007)从供应链风险管理角度研究企业信贷风险,指出信贷风险研究方法有:数量统计方法中的多元判别分析法,logit法以及近邻法等,在给定的时间概率条件下,投资组合的最大可能损失价值的var(valueatrisk)法,基于公司的破产概率,衡量单个项目信贷风险的creditmonitor模型和衡量信贷组合风险的portfoliomanager模型;以及注重信用组合风险评估的组合风险评估方法。他们提出了基于供应链的企业信贷风险评估指标体系,应用bp神经网络,全面地评估贷款申请企业的偿贷能力的方法。刘俊娥等(2007)利用项目管理过程中识别项目风险重要性的一种结构性方法——风险矩阵,对供应链风险构建了一个供应链风险评估方法体系,主要由风险矩阵设计、风险等级的确定、风险因素重要性排序、指标重要性权重的确定、总体风险水平等组成。
(四)关于供应链风险决策过程
企业要对已识别的风险加以处理,关于风险处理方案的优选就是风险决策。风险决策的主要特点是具有状态发生的不确定性,这种不确定性不能通过相同条件下大量重复试验来确定其概率分布。风险决策有多种方法,如最大的最小值法、最大的最大值法、乐观系数法、假设等概率法、最小的最大后悔值法、bayes分析法、熵度量法和马尔可夫法等。文献中对于供应链风险决策的研究为数甚少。
马林(2004)针对供应链风险管理及在此基础上的供应商选择评价决策问题进行分析,提出熵权多目标决策法,并从生产运作与经营风险两方面构建供应链风险管理下供应商选择评价决策的结构模型,以及实施评价的步骤。马林、沈祖志(2004)认为,随着供应链成员分布范围的扩大,供应链的不确定性和供应链管理风险大大增加。这些不确定性和管理风险包括运输的不确定性、市场需求的不确定性以及汇率变化和价格风险,等等。因而,他们将汇率风险纳入中小企业供应链的决策模型,通过实证分析得出汇率变化对制造商采购决策的影响。李志等(2005)按风险的属性分类。方法将其中的成本进行分析,基于属性进行风险评估,在此基础上利用投影模型的区间型多属性决策方法设计出决策矩阵,从而建立供应链成本型风险的决策模型,并结合实例求出最优解。
梁祺等(2006)认为,组合风险决策的目的,就是要在给定期望收益水平上,实现风险最小;或者在任何给定风险水平上,期望收益最大化。其中,期望收益通常是以收入和资本增损的总额占初期投入的百分比来表示,即期望收益率。在未来状态不确定的情况下,期望收益率是通过结果的概率分布来表明的,这种概率分布的方差或标准差可以用来表示风险。在供应链中,对于多个供货源企业的组合,期望收益应该等于组合中各个供货源企业的期望收益之和。在考虑到不同供货源企业在供应链中相对份额的情况下,企业组合的期望收益率就等于各个企业期望收益率乘以其相对权重之和。而对于面临多个供货源企业的组合风险,则不仅考虑各自的风险大小,还必须考虑到企业之间的依赖程度。从数学方法上来说,不仅考虑各自的方差大小,还必须考虑到协方差的大小。作者针对供应链管理中的组合风险决策问题,建立了类似markowits均值一方差模型,实现了在不同期望收益率水平下的多供货源企业的优化组合。吴军等(2006)指出,近年来,在假定供应链决策者为风险厌恶型决策者基础上来研究风险厌恶对于供应链系统性能和最优决策的影响以及具有风险厌恶决策者的供应链协调问题也逐渐为供应链风险研究者所关注。这方面的研究在国内外刚刚兴起,lauh和laua(1999)研究了一个制造商、一个销售商的两阶段供应链模型,即制造商决定批发价格和返还价格,销售商决定定货量。假定两个决策者都是风险厌恶型决策者,作者证明了最优返还策略依赖于两个决策者对于风险的态度,制造商可以通过制定有效的返还策略获得更大的利润。明确提出具有风险厌恶决策者的供应链协调定义并给出系统化的描述主要是gan,sethi和yan(2004)的工作,他们基于决策理论中的pareto最优概念研究了具有风险厌恶型决策者的供应链协调问题。首先,他们给出了具有风险厌恶决策者的供应链合同的协调定义以及达到供应链协调获得pareto最优解的基本步骤;其次,以一个供应商、一个零售商的二级供应链系统为例,分别采用下方风险、均值方差和效益函数作为度量工具来说明如何设计供应链系统参数从而达到协调;另外,还研究了由一个风险中性供应商和一个风险厌恶型零售商组成的供应链协调的协调问题,并设计了一个易于操作的风险分担合同来达到供应链系统的协调。
二、供应链风险管理研究评价及对未来研究的前瞻
尽管供应链风险管理研究的文献数量相对较少,在按主题进行总结的基础上,这里我们试图对其再做进一步的评价与展望。
(一)供应链风险管理研究评价
从整体上看,我们发现有关供应链风险的研究有以下3个特点。
1、研究的出发点和方法都是面向实际的。从目前的研究状况来看,供应链还是一个新兴交叉的应用领域。供应链风险管理更是一个稚嫩的交叉应用领域。供应链风险管理问题源于实践,因而其考虑问题的出发点和所提出的分析问题的方法、控制措施等是面向实际的、问题导向的,这是我们发现的供应链风险管理研究的一个显著特点,比如,风险矩阵对供应链风险的影响、汇率变化对制造商采购决策的影响、供应链风险管理中的期权机制、仓单质押运作风险的优化、供应链管理中的组合风险决策问题,等等。
2、研究中有应用模型进行描述的趋势。供应链运作中所存在的大量随机因素使供应链中不确定性现象的发生成为常态。为了减少和降低风险带来的不利影响,对供应链风险的模型描述和应对方式的理论研究逐渐成为近年来研究的一个特点,比如,供应链风险管理下供应商选择评价决策的结构模型、基于供应链的企业信贷风险评估指标体系;基于bp神经网络的企业信贷风险评估模型;数量柔性供应链系统的性能分析和设计框架,等等。
3、总体上对各个主题及其涉及的行业研究的力度不均衡。从主体上看,关于供应链风险识别的研究相对较多,而关于供应链风险估计与评价、供应链风险决策、供应链风险管理的研究相对较少;对制造业、零售业的研究相对较多,对其它行业的研究相对较少。近年来矿产品、农产品与下游制造加工业之间的摩擦时有发生,从而产生了相应的风险,这方面的研究力度却不够。
(二)对未来研究的前瞻
1、模型的实用性方面的改进。如上所述,应用模型对供应链风险进行描述是目前供应链风险研究中的一种趋势,但是,从总体上讲存在模型的适用性需要改进的状况,多数模型还需要进一步的模拟、验证。例如,基于供应链系统的各项资金流出入量,拓宽了对于供应链风险管理研究方向,然而,其模型尚未进行模拟,进一步的实证研究应该是供应链风险管理领域进一步探讨的另一个方面(王勇、常凯,2007);基于供应链的企业信贷风险评估指标体系以及基于bp神经网络的企业信贷风险评估模型克服了企业信贷风险评估中存在的只对申贷企业孤立评判的不足,但正如作者所言“要使之更具普遍性则有必要进行进一步完善”(于瑞峰等,2007),因此,我们认为,模型的模拟、验证以及实用性等方面的进一步完善是供应链分险管理研究的一个方向。
2、研究的关注点会应需求有所改变。近年来,矿产品、农产品供应商与下游制造加工业之间摩擦的增多与加剧,正在引起业界和理论界的关注,因而,对该类供应链风险问题的研究将是一个极具潜力的方向;同时,随着人们对金融风险影响程度日益增强及其发生的可能性的担忧,将供应链风险与金融风险结合起来进行研究已经开始成为供应链风险管理中一个新的研究方向(吴军、李健、汪寿阳,2006)。
关键词:信用风险;传统技术;现代技术
信用风险,是指交易对手或债务人不能正常履行合约或信用品质发生变化而导致交易的另一方或债权人遭受损失的可能性。狭义的信用风险指交易对手或债务人到期不能履行合约义务的违约风险(defaultrisk);广义的信用风险还包括由于交易对手或债务人信用品质变化的不确定性所引起的信用价差风险。
贷款信用风险是商业银行信用风险的主要来源。为了降低信用风险,确保其利润空间,银行必须及时掌握贷款企业动态,有效评估其信用水平,防止贷款逾期或呆账的发生。而及时有效发现贷款企业的早期风险则有赖于发展一套明确、客观的信用风险评价模型,仔细评估贷款企业的信用,使其在有限可贷资金限制下,随着信用风险的降低,增加银行的贷款利润。国外银行凭借成熟的信用评级制度以及翔实的企业违约率数据,建立了众多完善的信用风险评估定量模型,为银行的信用风险管理提供了科学决策依据。本文将对商业银行信贷过程中采用的信用风险度量技术做一个较为详细的梳理。
一、传统的信用风险评估技术
(一)专家信贷
背景:在计算机技术不是很发达甚至没有兴起,信贷评价技术相对落后时,信贷几乎全部是依靠专家人员进行评定的,
特点:①6C原则:品格(character);能力(capacity);资本(capital);担保品(collateral);环境(condition);连续性(continuity)。
②5W原则:Who(了解借款人的情况);why(明确贷款的目的和用途);what(确定借款人以适宜的资产作为抵押品);when(确定合理的借款期限);how(确定借款企业的还款来源和还款计划)。③5P原则:个人因素(personalfactor);目的因素(purposefactor);偿还因素(paymentfactor);债权保障因素(protectfactor);前景因素(prospectivefactor)。④CAMPARI贷款法则:信用品质(character);签约能力(ability);偿付手段(means);借款目的(purpose);借款金额(amount);借款偿付来源(repayment);借款担保(insurance).四个原则,总体上来看,有很大的共通性。
优点:具有相当大的灵活性,能够使信贷更为接近实际情况
缺陷:1.需要相当数量的信用分析人员,而且审查程序过于繁琐;2.属于定性分析,带有很大的主观性;3.信用评价缺乏一致性;各项衡量指标的重要性排序不明确。
(二)、融合传统信用分析与统计分析技术的客户信用评级
①信用评分模型――Z积分模型
背景:专家法对分析人员的专业技能、从业经验和道德素质的要求非常高。即便如此,即使是经验同样丰富的分析人员,这类方法依然不可避免地存在两个问题:一是主观性问题,同一决策人员在5C上的主观权重有可能依借款人的不同而变化,这样就难以对该专家做出的分级排序和决策进行比较,结果即使对于类型近似的借款人,信贷决策人员可能会采取不同的评价标准,但却难以对其分析的和理性进行评价。另一个问题是一致性问题,显然,由于看待问题的角度具有差异,不同的分析人员对同一债务人的信用评估也可能会具有差异。此外,高成本、低效率的缺陷也使得这种方法在实际应用中受到制约。针对专家法中存在的诸多问题,许多商业银行在重视定性分析的同时,纷纷采用了辅以量化模型分析技术的信用分析方法。
特点:公式如下:Z=1.2X1+1.4X2+3.3X3+0.6X4+0.999X5Altman设定了判别函数的临界值,破产上限值为1.81,此极限值一下为破产区域;非破产下限值为2.99,其上为非破产区域;中间是灰色区域。利用数理统计中的辨别分析技术,对银行过去的贷款案例进行分析,选择若干最能反映借款人财务状况、对贷款质量影响最大、最具预测或分析价值的财务比率,利用权重加以综合,设计出一个能最大程度区分贷款风险度(区分破产与非破产企业)的数学模型(判断函数)
优点:相对客观且量化;对借款人的信用品质进行综合评定。
缺点:线性判别函数描述能力有限;基于历史财务数据;未将非财务指标纳入其中;对企业信用品质的区分比较粗略。
②线性概率模型
背景:信用评分模型将解释变量设置为5个,有可能将重要的解释变量排除在外,线性概率模型描述的是在给定X取值下Y的条件概率分布,当X每变动一个单位,特定事件(如企业信用等级变化或破产)发生的概率增减多少个单位,如当财务指标为给定水平时,预测企业评级为某一特定水平的概率。
特点:性概率模型描述的是在给定X取值下Y的条件概率分布,由于E(YIX)=XB=P由此可以估算出给定X值(财务指标水平)的情况下,Y(信用等级)会发生的条件概率,即:P(YIX)。
优点:最后得出的是一个概率,比前面的分值来得更有解释力。
缺点:1.无法保证E(YIX)落在(0,1)之间2.干扰项的非正态性3.干扰项的异方差性4.如果X与Y之间的关系呈线性,不管X值如何,其对条件概率的边际影响都是恒定的,不符合现实。
③累积概率模型
背景:为了避免线性概率模型对条件概率的估计值可能落在(0,1)之外的缺点,研究者改为指定事件发生概率服从某种累积概率分布函数,即可确保条件概率估计值落在(0,1)内,并且可以解决事件概率与解释变量之间的非线性关系问题(S)形的概率分布曲线。
优点:能使条件概率的估计值落在(0,1)之间,解决事件概率与解释变量之间的非线性关系问题。
缺点:1.须指定事件发生的概率形态,是否符合真实概率分布存在疑问。2.模型的变量须由研究者主观决定,可能存在遗漏
二、现代信用风险度量模型
①KMV(EDF)模型
背景:随着Merton等提出的资产价值理论等新的先进理论的提出,可以将债权看作债权人向借款公司出售的对公司价值的看跌期权(卖权),期权标的是公司资产,执行价格是公司债务价值。企业所有者相当于持有违约或不违约的选择权,债务到期时,若企业的资产的市场价值小于负债水平,出售全部资产,企业愿意还债,并将剩余部分留作利润;如果企业资产价值小于负债水平,出售全部资产也不能完全偿债,企业会选择违约,将公司资产转移给债权人。
特点:根据Merton的资产价值理论,将信用风险视为由债务人资产价值驱动。整个模型是有经济学理论驱动的,与前面的线性模型不同的,它们都是经验的。创新思想:从借款企业股权持有者的角度考虑借款偿还的动力问题,并利用公开的股市信息为债务信用风险度量服务。其中违约模型考察的是违约概率,不考虑信用等级变化。
优点:KMV模型是一个动态模型,根据有效市场假说(EMH)理论,我们可以利用股价来对信息进行处理。突出优点在于它的动态性,基于对企业股票价格变化的分析估算EDF,因而对违约概率的预测更具有前瞻性,被视为“向前看”的方法。
缺点:1.技术上:利用期权定价方法求解公司资产价值和波动性,缺乏有效方法检验精确性;假定公司债务结构静态不变,对不同类型的债务缺乏细分;基于资产价值正太分布假设2.实用中:仅着重于违约预测,忽视了企业信用品质的变化;未考虑信息不对称情况下的道德风险;模型要求股价的噪音较小,这可能使得模型无法适用于发展中国家的新兴股票市场;如何预测非上市公司的EDF的值成为一个问题。
②信用度量模型(creditmetrics)
背景:80年代的债务危机使银行普遍认识到防范和管理信贷风险的重要性,同时,信贷市场的发展和信贷风险的变化使得风险度量和管理研究领域开始出现了许多新的量化分析方法、度量模型和管理策略。Creditmetrics模型(信用计量模型)是J.P.摩根在1997年推出的用于量化信用风险的风险管理产品。
特点:计算信用风险的VAR值(即在给定的置信区间上、给定时段内,信贷资产可能发生的最大价值损失)计算步骤:1)预测借款人信用等级的变动,得出信用等级转移概率矩阵2)贷款估值3)得出贷款价值的实际分布4)计算贷款的VAR值。
优点:信用度量模型是盯住贷款理论市值变动的多状态模型,能够更为精细的计算信用风险的变化和损失值。
缺点:模型利用历史数据度量信用风险,仍然属于“向后看”的风险度量方法,此外,在实际应用中以债权评级等级转移概率近似代替转移概率,难免存在误差。隐含假定为转移概率在商业周期不同阶段之间是稳定的。
③宏观模拟模型(麦肯锡模型)
特点:研究信用等级转移概率与宏观因素间的关系,利用调整后的信用等级矩阵(附有宏观因素条件的转移矩阵)求出对经济周期敏感的VAR值。考虑了总体经济环境对转移概率的影响。最大特点为模型在概率转移矩阵当中引入了宏观经济因素。
优点:该模型将宏观因素纳入模型中,修正了信用度量术的偏差;
缺点:1.在技术上,该模型对转移矩阵的调整是否优越还有待验证。2.在应用上,该模型需要有国家甚至各行业的违约数据作为基础。
④CSFP信用风险附加法(creditrisk+)
特点:违约率的不确定性和违约损失的不确定性都显著,应该按风险暴露的大小将贷款组合划分若干频段,以降低不精确的程度。其后,将各频段的损失分布加总,可得到贷款组合损失分布。对违约率不确定性的描述借鉴财产火险理论。
优点:该模型只考虑违约事件,要估计的变量少,数据要求简单;
缺点:它忽略了信用等级变化;关于违约次数服从泊松分布的假定可能与实际不符;为考虑市场风险。
三、现代信用风险度量模型方法的总体评价与适用性分析