风险评估与管理范文
发布时间:2023-10-08 10:06:12
导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的5篇风险评估与管理范例,将为您的写作提供有力的支持和灵感!
篇1
中图分类号P429 文献标识码A 文章编号 1674-6708(2011)41-0053-02
0 引言
国外已逐渐形成一套完整的雷击风险评估体系,制定了多项防雷技术标准和评估方法。在美、英、德等多国也都开发出了相应的雷击风险评估系统。但这些风险评估系统参考的标准技术方法比较复杂,结构庞大,而且大都建立在国外防雷工作经验基础上,没有能考虑到中国广袤大地的情况差异以及中国的国情,因此其体系和相应的评估系统只能被我们借鉴参考、学习,不适宜完全照抄照搬或全盘引用。目前在国内符合国家标准和评估规范的评估系统相对缺少尚且不够成熟。
《雷击风险评估管理系统》遵循最新颁布的雷击风险评估规范――《雷电防护第2部分:风险管理》GB/T 21714.2-2008 ,采用C#语言,结合国家气象局已组建的闪电监测预警网、谷歌GPS卫星定位地图等系统,建立起一套完善的雷击风险评估管理系统。该系统能实现雷击风险评估过程科学化、计算过程自动化、计算结果客观化。界面简洁、操作简单的系统,统一化的评估技术报告不仅提高了雷击风险评估工作的效率,还利于在各地区开展雷电风险评估工作。雷电风险评估系统的先进性和技术报告的严密科学性可以在全国范围内推广。
1 雷击风险评估管理系统功能模块和主要功能说明
《雷击风险评估管理系统》遵循规范的基础,结合实际风险评估工作的业务流程和特点设计,整个系统划分为方案管理、系统工具、文档管理、用户管理4个主要模块。
1.1 方案管理
1)原始评估记录:用户将要进行风险评估的对象的具体勘测数据如实记录入系统。对评估对象建立相应存储空间,并在需要时调出这些数据作为评估、对比等用途;
2)方案设计:对一个项目进行多种类型的风险评估,如单独对人身伤亡损失风险R1、公众服务损失风险R2、文化遗产损失风险R3、经济损失风险R4 进行评估,也可以对其任何一种组合进行风险评估;
3)效益分析:自动化生成的风险分量百分比的表格,各种风险所占总风险的百分比一目了然;提供了多种(最多3种)防雷整改方案的评估,并与原始评估结果对比,智能经济损失风险评估,自动判断采取的防雷整改方案是否合理。
1.2 系统工具
1)GPS定位地图:连接Internet,轻松找到被评估对象经纬度;
2)中国雷电监测预警网:多种方式实时查询全国各地雷电状态,显示详细的雷电资料和密度分布图;
3)中国防雷资料网:评估过程中随时查到所需技术资料;
4)雷电资料导入:将国家雷电监测预警网实时雷电资料数据导入系统;
5)字典维护:对风险评估过程涉及参数进行维护;
6)数据库维护:对当前系统所连接的数据进行备份或恢复操作。
1.3 文档管理
1)雷击风险评估报告模板:雷击风险评估报告模板;
2)雷击风险评估协议书 :雷击风险评估协议书。
1.4 用户管理
1)系统登录模块:负责验证各种用户身份,根据不同的用户权限决定其管理内容;
2)权限设置模块:此模块只有管理员才有权限,管理员可以根据情况对各栏目的属性进行基本的设置。
2 雷击风险评估管理系统的的实现技术
2.1 Client/Server 模式
C/S模式又称为客户机/服务器模式,是90 年展起来的一种主/从结构的分布式处理环境,它的特点是将应用分解为两部分:客户进程(Client Process)和服务进程(Server Process),即前台和后台。客户进程与用户打交道,一般运行在Microsoft Windows提供的GUI (Graphic Unit Interface)下;服务进程与数据库打交道,一般通过SQL(Structured Query Language)查询语言实现,前端是对用户的界面,后端是对数据库的处理。这种对信息分布式处理的模式大大减少了网间数据的传输量,处理速度快,并能高效实现资源共享。其结构如下:采用Client/Server 结构,Client 端只要将请求发给Server 端,而Server端在处理完请求之后,只是把结果返回给Client 端。实际上在网络传输的只有SQL 语句和结果数据。同时,Client 负责友好的界面与用户交互。而Server 专门负责数据库的操作、维护,提高了整个系统的吞吐量和响应时间。
2.2 数据管理系统SQL Server2005
Microsoft SQL Server2005 是由一系列相互协作的组件构成,能满足最大的Web 站点和企业数据处理系统存储和分析数据的需要。SQL Server2005 的客户/服务器提供了许多传统主机数据库所没有的先进功能。数据访问并局限于某些已有的主机数据应用程序。SQLServer2005 的一个主要优点就是与主流客户服务器开发工具和桌面应用程序紧密集成。可以使用许多方法访问SQL Server2005 数据库。
SQL Server数据库体系结构的核心是服务器,即数据库引擎。SQL Server 数据库引擎负责处理到达的数据库请求,并把相应的结果反馈给客户端系统。SQL Server 充分利用了可设置优先权的多任务、虚拟内存和异步I/O 功能。SQL Server 数据库引擎可在多线程内核上创建,这样在处理多个事务的时候可获得较高的性能。它包括的支持开发的引擎、标准的SQL语言、扩展的特性(如复制、OLAP、分析)等功能,以及像存储过程、触发器等特性。
SQL Server2005 数据库系统的服务器负责创建和维护表和索引等数据库对象,确保数据完整性和安全性,能够在出现各种错误时恢复数据。SQL Server2005 的客户端可完成所有的用户交互操作,将数据从服务器检索出来后生成副本,以便在本地保留,也可以进行操作。
由于SQL Server200_5 的强大功能,特别是其全文检索功能,支持从纯文本到二进制数据的检索,如 WORD 文档、EXCEL 电子表格等等,其文本性数据类型支持量相当庞大,因此系统中主要利用SQL Server 进行文本保存,方便查询和检索,同时为进一步扩展其功能奠定基础。
2.3 面向对象系统开发方法
面向对象(OO,Object Oriented)的系统开发方法,是近年来受到关注的一种系统开发方法。面向对象的系统开发方法的基本思想是将客观世界抽象地看成是若干相互联系的对象,然后根据对象和方法的特性研制出一套软件工具使之能够映射为计算机软件系统结构模型和进程,从而实现信息系统的开发。
3 结论
《雷击风险评估管理系统》的设计遵循最新颁布的雷击风险评估规范,结合评估工作的业务流程和特点,依据被评估对象的数据自动计算出评测结果,并提供多种措施方案对比可对其进行经济效益评估,以表格和柱形等多种形式图表的形式辅助用户做出最符合实际的方案决策。本系统操作简单、界面友好。系统实现雷击风险评估过程科学化、计算过程自动化、计算结果客观化。界面简洁、操作简单的系统,具有较强的实用性与通用性。
统一化的评估技术报告不仅提高了雷击风险评估工作的效率,还利于在各地区开展雷电风险评估工作。本系统的开发拓展了雷电防护应用技术的领域,项目完成并推广以后会提高本地区防雷中心科技服务水平,并对提高经济效益起到很大的推动作用。
参考文献
[1]GB 50057-94 建筑物防雷设计规范[S].
[2]GB 50343-2004 建筑物电子信息系统防雷技术规范[S].
[3]DB50/214-2006 雷电灾害风险评佑技术规范[S].
[4][美]Greg Riccardi.数据库系统原理[M].清华大学出版社,2002,11.
[5]李岩,张瑞雪.SQL Server 2005实用教程[M].清华大学出版社,2008,9.
[6]古乐,史九林.软件测试案例与实践教程[M].清华大学出版社,2007,2.
[7]刘波.信息管理系统中数据库安全实现方法[J].计算机应用,2005(10):77-78.
篇2
中图分类号:TP311文献标识码:A文章编号:1009-3044(2011)30-7388-02
Research on Risk Assessment and Management Tools
WANG Fu-hua,YAO Jie
(Chongqing Communication Institute, Chongqing 400035, China)
Abstract: This article has carried on the detailed introduction to the risk assessment management tools, and introduced how to choose and design risk assessment management tools.Finally,it offers some ideas for information security assessment practice.
Key words: risk assessment; management tools; classification; choice; design
目前,网络安全问题已成为影响社会经济发展和国家发展战略的重要因素,信息安全评估工作的重要性不言而喻。信息安全风险评估工作是个极复杂又具有挑战性的工作,需要细致的工作,大量的支持性的专业知识的支撑,项目管理也比较复杂,因此如果要更好的完成信息安全风险评估工作就必须有一套非常实用的信息安全风险评估管理工具。一套使用的风险评估管理工具将极大地提高信息安全风险评估工作的效率和结果的正确性。
1 风险评估与管理工具分类
风险评估与管理工具是根据系统关键信息资产、资产面临的威胁以及威胁所利用的脆弱点来确定所面临的威胁、对风险情况进行全面考虑,估算出信息系统的风险情况,且在风险评估的同时根据面临的风险提供相应的控制措施和解决方法。
1.1 基于国家、政府颁布的信息安全管理标准或指南
目前世界上存在多种不同的风险分析指南和方法,不同的风险分析方法其侧重点和关注点各不相同。如:
NIST(National Institute of standard and Technology)的FIPS 65;
DOJ(Department of Justice)的SRAG;
GAO(Government Accounting Office)的信息安全管理的实施指南。
1.2 基于专家系统的风险评估工具
基于专家系统的风险评估工具主要通过建立专家系统和外部知识库,以调查问卷的方式收集组织内部信息安全的状态。对重要资产的威胁和脆弱点进行评估,产生专家推荐的安全控制措施。
基于专家系统的风险评估工具通常可以自动形成风险评估报告,根据风险的严重程度提供风险指数,同时分析可能存在的问题,并提供相应的处理方法。
COBRA(Consultative Objective and Bi-functional Risk Analysis)是一个著名的基于专家系统的风险评估工具,它是一个问卷调查式的风险分析工具,由三个部分组成:调查问卷生成、风险测量和结果分析生成。
基于专家系统的风险评估工具除COBRA之外,比较知名的还有@RISK、BDSS(The Bayesian Decision Support System)等工具。
1.3 基于定性或定量算法的风险分析工具
风险分析作为重要的信息安全保障措施,是信息安全体系不可或缺的一部分。而信息安全风险评估的算法作为风险评估的重要手段,很久以前就被提出并了大量的研究工作,其中一些算法已经成为正式的信息安全标准的一部分。早期的风险评估算法大部分仅仅作定性的分析,对风险产生的可能性和风险产生的后果只能按照高、中、低来区分,这种定性的方式无法准确地估算出风险产生的可能性和损失量。随着人们对信息安全风险了解的不断深入,获得了更多的经验数据,因此人们越来越希望用定量的风险分析方法反映事故发生的可能性。定量的信息安全风险管理标准包括美国联邦标准FIPS31和FIPS191,提供定量风险分析技术的手册包括GAO和新版的NISTRMG。
由于数据收集的困难,目前还没有完全定量的风险评估工具,现有的风险评估工具要么在定性方面有所侧重,要么在定量方面有所侧重。如CONTROL-IT、Definitive Scenario、JANBER都是定性的风险评估工具,而@RISK、Risk-CALC、CORA是半定量的风险评估工具。
2 常见的风险评估管理工具比较
CRAMM:CRAMM是1985年由英国CCTA开发的风险评估系统。CRAMM包括全面的风险评估工具,并且完全遵循BS7799规范,包括依靠资产的建模、商业影响评估、识别和评估威胁和弱点、评估风险等级、识别需求和基于风险评估调整控制等。CRAMM评估风险依靠资产价值、威胁和脆弱点,这些参数值是通过CRAMM评估者与资产所有者、系统使用者、技术支持人员和安全部门人员一起的交互活动得到,最后给出一套解决方案。
COBRA:COBRA是1991年由C&A System Security公司推出另外一个风险评估工具,用来进行信息安全风险管理方法,提供了一个完整的风险分析服务,并且兼容许多风险评估方法学(如定性分析和定量分析等)。它可以看做一个基于专家系统和扩展知识库的问卷系统,对所有的威胁和脆弱点评估其相对重要性,并且给出合适的建议和解决方案。此外,它还对每个风险类别提供风险分析报告和风险值。
@RISK是美国Palisade公司的一款软件产品,在世界范围内广泛使用,是构架在微软Excel之上的一套风险分析工具。在@RISK中,提供了一套完整的风险分析工具,包括可以自行修订的统计分配模型、蒙特卡罗检测、敏感性分析、环境分析、极限值测试等常用的风险评估模型。@RISK建立的流程包括:
1) 在Excel上建立需要分析的问题模型;
2) 确定需要输入模型的不确定值;
3) 通过模拟程序,对可能的参数范围进行分析,以@RISK内置的概率分布函数表示,然后确定模型的输出结果;
4) 产生需要的资料图表进行分析。
表1是对一些主要风险评估工具的比较。
表1
3 选择风险评估工具的原则
1) 根据实际环境和企业的需求选择
2) 风险评估工具应当能够精确地映射网络、应用以及进行攻击测试
怎样了解一个工具的实际功效?最有效的办法是搜索Web,查看媒体的评论,要求厂商提供其他客户的使用情况说明。正式购买之前最好测试一下工具的性能。大多数厂商都提供限制了功能的试用版本,通常是限制IP地址的范围。
3) 不仅要注意风险评估工具为目标平台提供的攻击脚本数量,而且要留意它们的更新速度。
纯粹的数量有时不能说明问题,因为有些厂商可能把许多相关的漏洞看成一个,有的厂商则把它们算作多个漏洞。一些较为优秀的风险评估工具,如CVE,把每一种测试都链接到了一个标准的漏洞案例ID。留意风险评估工具的更新频率,看看它是自动更新还是需要手工执行更新,还有,新的安全威胁发现之后它要多长的时间才能推出相应的更新?
4) 报告数量的多少,内容翔实程度,是否允许导出报表
只能内部使用的扫描结果报表也许能够满足最初的需要,但如果经常对系统进行风险评估,最好能够将生成的报表导出到外部数据库,以便执行对比和分析。
5) 是否支持不同级别的入侵测试以避免系统挂起
所有风险评估工具都有这样的警告:入侵测试过程可能产生DoS攻击,或者导致被测试的系统挂起。通常,在高访问量期间对担负关键任务的系统不应该运行风险评估工具,风险评估工具本身可能带来问题,引起服务中断或系统被锁死。大多数高质量的风险评估工具允许执行侵害程度较小的入侵测试,避免造成系统运行中断。
6) 是否需要在线服务?
有些风险评估工具以在线服务的形式提供。这种形式的优点是不占用硬件资源,可以从任何地方运行和获取报表,自动执行更新,一般而言总拥有成本也较低。缺点是服务的运行速度一般较慢,不象客户端产品那样容易定制。最后还有一点是,如果采用在线服务,则扫描出来的网络漏洞清单还将落入第三方的手中。
4 信息安全风险评估管理工具设计
信息安全风险评估管理工具的设计必须考虑到参考模型可能存在的变化,或者计算方法发生变化而导致的工具适应性的问题,还应该具有项目管理功能,统计分析,报表,辅助评估专家系统,查询,资产管理,更应该加入风险管理与控制模块,如果能提供与其他资产管理软件的接口就更好了。
为了适应评估工作模式,信息安全风险评估工具的架构应该选择B/S结构,评估小组和评估人是最终用户,系统管理员对信息安全风险评估工具进行维护和管理。系统架构如图1。
信息安全风险评估工具中应该包含威胁参考库、脆弱性参考库、资产分类库、可能性定义库,后果定义库、控制措施库等评估辅助专家系统库。这些库都可以自己定义,便于使用。评估小组可以在评估的各个时期都能够得到帮助。
资产管理模块应该包含资产的各种基本信息,包括位置、责任人、所属系统以及各种相关信息。根据不同资产的分类,相关信息也不同,这些相关信息都是有助于系统安全的相关信息。如资产的生命周期、系统补丁信息等。
信息安全风险评估工具需要实际使用的检验,将在不断满足客户的需要的同时逐渐发展、成熟。通过不断的改进和发展,相信信息安全风险评估工具将极大地推动信息安全风险评估工作的进行。
参考文献:
[1] 陈友初.信息安全风险评估的探讨与实践[J].广西科学院学报,2006,22(4):367-369.
[2] 杜辉,刘霞,汪厚祥.信息安全风险评估方法研究[J].舰船电子工厂,2006,26(4):65-69.
[3] 张建军,孟亚平.信息安全风险评估探索与实践[M].北京:中国标准出版社,2005.
[4] 赵战生,谢宗晓.信息安全风险评估[M].北京:中国标准出版社,2007,8.
[5] 冯登国,张阳,张玉清. 信息安全风险评估综述[J].北京:通信学报,2004,25(7):10-18.
篇3
中图分类号:U231+.2 文献标识码:A文章编号:
随城市人口流动性的不断增加,城市交通越发紧张,公共安全形势却也越发严峻起来。而国内地铁事故的不断发生更是对我国经济造成巨大财产损失和人员伤亡,随地铁发展的广泛性,地铁事故更是影响到社会建设的各个方面。因此,为避免地铁安全事故的发生,地铁安全风险管理体系的建设则刻不容缓。结合当今社会发展趋势,根据地铁运营安全的各方各面,明确风险管理在地铁日常运营管理中的重要性,通过对地铁运营安全的现状分析制定合理有效的应对管理措施,从而保证地铁交通的安全运营。
地铁运营安全的风险评估及评估目的
我国地铁安全理论系统的构建仍然处于探索阶段,且尚未形成成熟的理论系统。因此,在地铁运营中便出现了具有以下特点的安全风险:
1.运营安全对管理的依赖性。地铁运营是一个较为庞大的人类操控机械的动态系统,因此,地铁的运营离不开人类管理的协调,使其在很大程度上依赖于管理的有效性。
2.地铁运营的反复性。因地铁运营系统是多工种联合作业,昼夜不断、周而复始,因此各种不安全事件和事故大多数是重复发生的。
3.受环境影响的特殊性。地铁运营即受内部人为操作失误和机械故障的影响,也受自然环境条件或社会环境的影响。
4.事故后果的严重性。地铁运行列车处于半封闭单向高速运行状态,由于其通风、照明及救援困难,所以,一旦出现意外,必将引起大量的人员伤亡和经济损失。
5.社会影响的恶劣性。地铁是整个城市发展的基础,是城市发展的命脉。一旦发生安全事故,将直接造成城市交通瘫痪,大量人员拥挤、社会影响恶劣,甚至可能引发部分乘客的骚乱,影响城市政府的信用,造成无法估量的危机。
由于地铁运营涉及到大量不确定和不确知性,因此只有针对地铁运营中风险的特点,通过对风险特点的深入研究,做出相应的应对策略,才能从根本上遏制事故发生的隐患,并将其事故对社会或城市的损伤率将至最低。
地铁运营安全风险的管理概念及现状
概念:
地铁运营安全风险管理指的是对地铁运营阶段存在的潜在性安全风险进行的界定、辨别、分析、控制和管理的综合过程,实现以科学有效的管理方法发现、控制和处理解决地铁运营中出现的各种风险,尽可能的减轻和消除风险的不利影响因素,并以较低的成本获得较高的地铁运营安全效益,最终保障地铁运营的正常进行。
现状:
国内相关地铁运营管理单位通过对多年来地铁事故实际案例的累积、分析和归纳,从而形成比较成熟的管理理论和管理方法,总结出管理体系中出现的几个问题及特点:
问题主要表现在以下几个方面:
1.国内有的地铁运营公司没有对运营安全设立针对性的安全应对管理部门,没有对安全风险做出系统性,全面性的的应对策略。更甚至,部分地铁运营部门没有对安全风险及风险管理概念形成意识,更不会积极主动,系统性的进行风险管理,而事故发生后,管理方案的应对也形成了一定的随意性。
2.有的地铁运营公司安全风险的管理基本采用旧的、被动管理手段来应对地铁运营中出现的新的问题,而这样的思路虽然对重复出现的事故管理有相对作用,但却不能适用于不断变化的实际情况需求,从而达不到对地铁安全进行最大限度的安全保障。
3.地铁运营风险管理活动多数是间断或瞬间性,只有意识到才去管理,目前国内有的地铁运营公司不能做到未雨绸缪,缺乏长效实施机制。
4.有的地铁运营公司的安全风险管理部门缺乏定期对风险的复核性检查和评估,降低了风险管理体系适应环境变化和规避风险的能力。
5. 地铁运营安全风险管理部门缺乏系统、科学的风险管理理论方法指导,缺乏科研项目的引入。
特点主要体现在以下几个方面:
1.地铁运营安全风险管理的策略不同。有些地铁运营公司的风险管理产生基于某类安全事故,属于被动管理模式,其虽能避免事故的重复性发生却不能适应不断变化的运营安全风险的产生。而运用现代科学手段研究事物发展的规律和可能性,而这类的管理体系才能适应不断变化的实际情况并将管理的主动权抓在手里。
2.地铁运营安全风险的管理系统程度不同。随城市地铁建设的不断发展,地铁运营的管理方法也取得了显著成效,且随科学管理技术化在我国地铁运营中的普遍性,在风险评价和分析中便相继出现了各种不同的方式。虽然得到了相应的应用。但是相对分散,系统性和局域性的缺乏也使得管理没有显著的效果。
3.地铁运营安全风险管理的侧重点不同。国内部分地铁运营公司安全风险管理系统多侧重于以设备和技术为主导方式来达到管理目的,其具有直接、见效快的特点;但也有部分公司侧重于人为管理因素,他关注的便是运营过程中人的行为、人的技术素质和技术要求。本质从人的安全性出发。对人的安全、健康进行全方位的评估和控制,从而达到整体安全风险管理的目的。
三、地铁运营安全风险的结论和建议
通过对地铁运营安全风险的评估与现状分析,结合国内地铁运营的实际情况总结出以下结论:
1.通过对比国内各地铁运营公司的安全风险管理措施,得出实行地铁的安全评价指标体系对运营工作的严谨设计和监督执行是值得国内各运营公司借鉴和学习的。
2.从根本上增强国内城市地铁建设运营的安全风险防范意识,并将风险管理纳入地铁运营公司的日常管理之中,做到各方各面的防安全风险意识。
3.我国地铁运营部门科学性的制定明确的风险管理目标,即以较低的投资成本取得对地铁运营安全保障的有效性,最终保障地铁运营的正常运行。
4.国内地铁建设部门通过不断学习和掌握先进的安全风险管理体系理论和管理方式,建设更加合理的风险管理组织。
5.创建高效的安全风险管理信息系统与指挥体系。
建议:
1.在地铁运营安全风险的管理中,相关部门考虑的目标不应只是一个,例如在地铁运营管理中,往往要考虑到的成本、风险、时间等多个因素,而实际过程中,多个目标矛盾具有不可协调性,一个目标的优化很大程度上将影响另一个目标的退化。因此,结合效应理论,提出多属性决策方法。
2.通常的风险管理方案就是制定合理的风险管理计划。其主要途径就包括预防风险、减轻风险、转移风险、回避风险和自留风险等。因为实际情况的限制,任何一种策略的实施更需要安全风险的分析和评估,最后在采取风险管理中的一项或几项措施进行实施。
3.地铁运营部门设立应急预案。因为地铁安全事故的发生均为突发事故,因此,地铁运营部门应设立相对情况的应急方案措施。在事故发生之后,及时采用预备安全风险管理措施进行急救,将事故发生后的损失降到最低。
4.地铁运营公司针对地铁运营安全风险定期做出紧急事故疏散程序的演练,各部门配合协调能力需要不断检查,提高对地铁安全风险的响应和应急能力。
5.地铁运营公司要对地铁运营设备进行定期的维护保养,对于重点设施部位,要及时检查和登记,保障各种设施工作的安全性,使电器设备保持最佳的工作状态。
不断完善地铁运营安全风险的管理体系,实现保障地铁运营的正常进行的管理目标。
[1] 罗俊鹏,何勇.道路交通安全统计生命价值的条件价值评估[J].公路交通科技.2009(06).
[2] 钱七虎,戎晓力.中国地下工程安全风险管理的现状、问题及相关建议[J].岩石力学与工程学报.2010(04).
[3] 李彤.论城市公共安全的风险管理[J].中国安全科学学报.2009(03).
篇4
在产业结构调整的背景下,绿色信贷是关键的产业结构调整杠杆。绿色信贷是金融杠杆在环保领域内的具体化,对于我国当前进行的经济结构调整、产业结构转型具有重大意义,可以指导、引领企业走可持续发展的道路,利国利民。实行绿色信贷,对我国银行业是一个很好的契机,也是一个挑战,因为银行机构要在研究创新绿色金融产品和工具方面投入更多的力量。目前国内绿色信贷业务推进的核心难点还在于银行的专业能力有限,以CDM融资或者中间业务为例,如果银行对CDM市场不熟悉,或者对项目的投资期限、内部收益率等评估不准确,很容易就会发生判断失误。一般授信业务,银行选择一个优质企业基本就不会有大的问题,但是绿色信贷融资,跟企业背景和资产规模没什么关系,主要依赖银行的专业判断能力,现在新能源的技术更新非常快,银行要么无法判断做不了该类业务,要么就容易发生坏账。因此对CDM项目的风险进行分析是很有必要的。
CDM(清洁发展机制)项目,据《京都议定书》,清洁发展机制是一个基于项目的减排机制,目的是帮助非附件Ⅰ缔约方国家实现可持续发展并为实现公约的最终目标作出贡献,同时帮助附件Ⅰ缔约国实现其减排定额和承诺。CDM项目是针对环境友好项目的投资,项目的温室气体排放量低于目标国采用现有技术的常规商业投资项目,常规投资项目的排放水准为CCOM项目的减排基准线。遵照具体的方法学规定和核证程序,根据基准线排放和CDM项目排放之差得到的核证减排量(CERs),以二氧化碳当量公吨计算,可以在碳排放交易系统的规定下进行交易,由此为该CDM项目带来额外的收益。
一、CDM项目风险分析与评估
CDM项目,作为一个工程项目,既有一般工程项目的风险,又具有其自身的特殊风险。根据郑爽(2006)的分类,CDM项目风险可分为:普通风险和特有风险。普通风险包括一般项目的建设风险、技术风险、行业风险、运行风险、财务风险、审批风险、市场风险、政治/政策风险、不可抗力。特有风险包括CDM项目本身的方法学审批风险、国内审批风险、核实风险、注册风险、核证风险、CER交付风险、CER价格风险、汇率风险、国际气候谈判风险等。其他CDM项目风险分类方法还有,宋彦勤(2006)将CDM项目风险划分为三类:项目风险、基准线风险、市场/价格风险等,其中每类风险,又可以细分。不管这些风险如何分类,其实都是从不同角度去归类划分。本文通过分析CDM项目的各个参与方,来评估CDM项目风险情况。CDM项目一般参与方为:项目业主方与买方。假如涉及到项目融资,则第三方为银行。CDM项目融资的基本原则是,风险应分配给最有能力和动力来管理该种风险的一方。一般讲,CDM项目业主承担主要的项目风险,如建设及运营风险、项目财务及商业风险等。CERs买家承担基准线风险、市场及价格风险、政策风险及有限的的项目风险。当发生向银行融资行为时,银行则需要承担项目带来的信用风险。银行信贷部门在评估CDM项目信贷时,不仅仅需要考察项目的财务风险,还要评估项目的其他特有风险。这对银行来说,就需要投入更多的精力及专业项目人员来进行项目的评估。这也是绿色信贷中CDM项目比其他项目的特殊和复杂之处。
如前文所述,CDM项目除具有一般工程项目风险的特点外,作为第三方的银行在进行CDM项目信贷评估时,需要特别关注CDM项目的特有风险:
1.国际气候谈判风险。国际气候谈判变化,特别是2012年后京都框架协议时代的国际气候政策变化路线及框架。
2.政策风险。具体我国来说,可以分为两个方面:(1)中国参与国际气候谈判的程度与方式;(2)中国绿色信贷政策的可持续性和标准定制,及执行力度。
3.技术风险/基准线风险。分两个方面引进国外技术的风险和开发新技术标准的风险。具体内容包含:(1)技术的合格性,是否减排信用是否符合京都议定书的规定;(2)基准线的设定,是否保守可靠,主要假设是否长期有效;(3)项目的运行表现,实际的运行结果将决定减排信用的实际产生量。
4.注册风险。(1)项目在国家发改委注册的风险,此风险一般较小;(2)EB(联合国气候变化执行理事会)注册风险,此风险不好把握。
5.CERs市场风险。市场风险,国内CDM项目市场价格风险,由于发改委采取最低指导价的原则,已经屏蔽了部分一级市场价格波动风险。特别是对于那些跟国外买家合作开发的项目,一级市场CER价格风险一般在签订购买合同时就已经转移;二级市场价格风险则跟国际气候谈判风险是正相关的。
二、CDM项目的风险控制与管理
大多数CDM项目都是轻资产、低抵押或者没有抵押性质,其预期收益中有很大一部分是未来的CERs,对银行信贷部门来讲,绿色信贷中的CDM项目贷款是一个挑战。银行信贷部门,在对信贷项目进行放贷之前,要进行项目风险评估。CDM项目作为国家鼓励的环境友好型项目,可以给银行带来两方面的效益:业务收益和社会声誉,平衡好二者关系是必须而且重要的。CDM项目的收益来自来自两个方面:(1)项目建成后的运营收入,如发电项目的发电收入等;(2)CERs收入,即卖出CERs所获得的收入。从信贷风险控制角度,主要对CDM项目的财务风险进行评估与控制。通常信贷项目的财务风险,一般根据项目的净现值(NPV)或者内部收益率(IRR)来进行评估,进而判断项目风险及投资价值。信贷部门在评估CDM项目的NPV或者IRR时,除了需要评估项目本身的收益外,还需要加入项目未来的CERs收入。虽然不同类型CDM项目的CERs收入在未来项目总收益中的比例不一样,但是CERs带来的项目的NPV及IRR提升,对项目是利好。虽然CERs的市场价格有波动的风险,根据前文所述,一级市场CERs价格风险比较小,银行在CERs未来收益评估时,主要考虑项目未来实际产出CERs量。
绿色信贷的CDM项目信贷风险管理,还可以通过引入国外金融机构来进行风险分担。国内已经有兴业银行、浦发银行等进行相关的工作。绿色贷款以借款人和项目现金流测算作为风险考虑重点,通过账户管理有效控制第一还款来源。通过与国际金融公司(IFC)签署《能源效率融资项目合作协议》,引入贷款本金损失分担机制。根据协议,贷款组合不良率在10%以内,国际金融公司承担损失的75%;不良率超过10%的部分,国际金融公司(IFC)承担损失的40%。除了对企业贷款购买的设备设定抵押权外,还要求将其未来的应收帐款、收益作为贷款担保,从而达到绿色信贷的风险最小化。但是不管CDM项目风险如何分类,其实对银行信贷部门来讲,还是如何能够在参考常规项目信贷风险评估与控制的基本步骤基础上,通过对CDM项目的特殊风险进行细化、分析,最终达到把CDM项目的信贷风险化解到最小、可控的程度。
绿色信贷中的CDM项目信贷风险,根据这类项目的特殊性,我们必须很好地把握其业务收益跟社会收益之间的平衡点。可以通过具体分析、细化风险种类,来进行风险分担,把风险控制在最小的范围内,保障银行贷款的安全,及未来收益,从而更好地为绿色信贷服务。通过对CDM项目的风险评估与管理,不仅可以更好的支持国家产业结构调整、经济转型,更可以提升银行业本身的可持续发展能力,提升银行业绿色信贷评估能力,达到绿色银行、绿色金融。
参考文献
[1]郑 爽.CDM项目的风险与控制[J],中国能源,2006(3)
[2]宋彦勤.清洁发展机制在中国的市场潜力,国家发改委能源研究所可再生能源发展中心,2006
篇5
2007年美国次贷危机爆发进而引发全球性金融危机,许多银行由于流动性危机倒闭,让人们见识到了流动性风险的危害之大。鉴于此,近年来巴塞尔银行监管委员会在总结国际金融危机应对经验教训的基础上,出台了一系列研究报告和指引文件。我国银行业监督管理委员会也于去年提出了我国对商业银行流动性风险的监管要求。
一、流动性风险产生的原因及后果
商业银行的流动性是指银行能够在特定时间内,以合理的成本筹集相关资金来满足客户当前或未来一段时间资金需求的能力。流动性风险是指商业银行虽然有清偿能力,但无法及时获得充足资金以应对资产增长或支付到期债务的风险。从以上定义可以看出,银行的流动性包括三个关键的要素:资金、取得资金的成本以及取得资金的时间。
流动性风险通常被认为是商业银行破产的直接原因,但是实质上流动性风险是信用、市场、操作、声誉及战略风险长期积聚、恶化的综合作用结果。如果这些风险没有得到有效的控制,最终就会以流动性风险的形式爆发出来,进而引发商业银行的生存危机。更为严重的是,个别商业银行所出现的流动性危机可能导致存款人对同行业金融机构清偿能力的担忧,进而发生连锁效应引发国家范围内的行业系统性风险。
二、流动性风险的评估方法
商业银行在经营过程中,一方面为了追求利润最大化,希望将更多的资金投入到贷款和投资中,并倾向于期限长、收益大的资产;另一方面,负债经营的不稳定性和不确定性又要求商业银行必须持有足够的流动性资金来应对经营过程中的流动性需要。以避免发生现金流断裂的风险。因此选择恰当的流动性风险评估方法,有助于把握和控制商业银行的流动性风险。
1、流动性指标法
流动性指标法是各国监管当局和商业银行广泛使用的方法之一,其做法是首先确定流动性资产的种类并进行估值,然后确定合理的比率或指标并用于评估和监控。以下介绍指标法中常用的指标和比率。
(1)流动性比例。流动性比例是财务分析中分析流动能力的重要指标,是流动性资产余额与流动性负债余额的比率。衡量的是商业银行流动性的总体水平。目前我国银监会要求商业银行的这一比率不应低于25%。
(2)核心负债依存度。核心负债依存度反应了商业银行存款业务中资金来源的稳定性,该比率越大,商业银行的经营越稳健。核心负债依存度是核心负债占总负债的比例。根据银监会在有关文件中的解释,核心负债是指那些相对来说比较稳定、对利率变化不敏感的负债,季节变化和经济环境对其影响较小;总负债是指按照金融企业会计制度编制的资产负债表中负债总计的余额。银监会要求商业银行的这一比率不应低于应该低于
(3)流动性缺口率。流动性缺口率是衡量商业银行流动性状况及其波动性的核心指标之一,为90天内表内外流动性缺口与90天内到期表内外流动性资产的比例。流动性缺口为90天内到期的表内外资产减去90天内到期的表内外负债的差额。银监会要求商业银行的这一比率不应低于10%。
(4)存贷款比例。存贷款比率是贷款总额与核心存款的比率,是一种传统的衡量商业银行流动性的指标。该比率越小则表明商业银行存储的流动性越高,银监会对这一指标的监管要求为不得超过75%。
(5)流动性覆盖率(LCR)。这是巴塞尔银行监管委员会在《流动性风险计量标准和监测的国际框架(征求意见稿)》中引入的新的流动洼风险监管指标,且将最f邸艮设置为100%。
LCI=优质流动性资产储备/未来30日的资金净流出量
这一指标的计算指定30天为期限,而引入这一监管比率的目的在于强化短期流动性风险状况的监控,确保单个银行在监管当局设定的流动性严重压力情景下,能够将变现无障碍且优质的资产保持在―个合理的水平。
(6)净稳资金比率(NSFK)。这是巴塞尔银行监管委员会在《流动性风险计量标准和监测的国际框架(征求意见稿)》中引入的又―新的流动性风险监管指标,最底限也为100%。
NSFR=可用的稳定资金/业务所需的稳定资金
这一比率的计算以一年为期限。引入这一比率的目的是促进银行业机构的资产和业务融资更趋中长期化;根据银行在一个年度内资产和业务的流动性特征设定可接受的最低稳定资金量。
除以上介绍的比率之外,还有一些常用的比率,如超额备付金率、现金头寸指标、核心存款与总资产的比例、贷款总额与总资产的比例、流动资产与总资产的比例、易变负债占总资产的比例以及大额负债依赖度等。
使用流动性指标法的优点在于简单实用,可以直观地理解当前和历史的流动性状况。其缺点在于属于静态分析,无法描述商业银行未来面临的流动性风险状况。由于不同规模的商业银行其业务特质及获取流动性的途径和能力各不相同,必须综合多种比率、指标以及相关的内外因素,才可能对商业银行的流动性状况和变化趋势作出评估和判断。
2、现金流分析
通过商业银行对短期内现金流入和现金流出的预测和分析,可以评估商业银行短期内的流动性状况,一般表现为流动性剩余或赤字。当流动性出现“剩余”时,商业银行必须考虑这种流动性剩余头寸的机会成本;若商业银行出现流动性“赤字”,则必须考虑这种赤字可能自身运营带来的风险。根据历史数据研究,当剩余资金与总资产之比小于3%~5%时,对商业银行的流动性风险是―个预警。
实践证明,为了合理地预计流动性需求,可以将流动性“剩余”或“赤字”与融资需求在不同时段进行比较,其目的是预测新贷款净增加值、存款净流量以及其他资产和负债的净流量。然后将上述流量预测值加总,再与期初余额相加,获得未来时段内的流动性头寸。
现金流分析有助于真实、准确地反映商业银行在未来短期内的流动性状况。但是随着商业银行经营规模的扩大和业务的日渐复杂,现金流量的可能性和准确性随之降低。在实际操作中,现金流分析法和缺口分析法通常―起使用、互为补充。
3、其他评估方法
除采用上述的流动性比率法和现金流分析法以外,商业银行还广泛利用缺口分析法和久期分析法来深入分析和评估商业银行的流动性状况。
(1)缺口分析法。该法被巴塞尔银行监管委员会认为是评估商业银行流动性较好的方法。缺口分析法是针对特定时段,计算到期资产和到期负债之间的差额,来判断商业银行特定时间内流动性是否充足。
商业银行的贷款平均额和核心存款平均额之间的差异构
成了所谓的融资缺口,如果缺口为正,商业银行必须动用现金和流动性资产,或者介入货币市场进行融资。为了实现赢利目的,商业银行的短期资产与负债的差额通常为负数,但商业银行必须确保此项差额得到了有效控制,并有足够能力在需要时迅速补充资金。
积极的流动性缺口分析的期限很短,通常为一个月左右的时间。对于活跃在同业拆借市场和易于在短期内筹资的商业银行来说,可以具有较短的流动性管理时间期限;而活跃在长期资本和负债市场的商业银行则需要采用较长的期限。
(2)久期分析。由于利率变化直接影响到商业银行的资产和负债价值,造成流动性状况发生变化,因此久期分析经常被用来分析利率变化对商业银行流动性状况的影响。
用DA表示总资产的加权平均久期,DL表示总负债的加权平均久期,v^表示总资产的初始值,vL表示总负债的初始值,R为市场利率,当市场利率变动时,资产和负债的变化可以表示为:
久期缺口可以用来衡量利率变化对商业银行的资产和负债价值的影响程度,以及对其流动性的作用效果:
久期缺口=资产加权平均久期一(总负债/总资产)*负债加权平均久期
当久期缺口为正值时,如果市场利率下降,则资产价值增加的幅度比负债价值增加的幅度大,流动性也随之加强;反之则相反。
当久期缺口为负值时,如果市场利率下降,则流动性也随之减弱;反之则相反。
当久期缺口为零时,利率变动对商业银行的流动性没有影响。
总之,久期缺口的绝对值越大,利率变化对商业银行的资产和负债价值影响越大,对其流动性的影响也就越显著。
目前最值得推荐的做法是,商业银行同时采用多种流动性风险评估方法,来综合评价商业银行的流动性状况。
三、流动性风险管理技术和方法
流动性风险管理是识别、计量、监测和控制流动性风险的全过程。从实践的角度出发,商业银行进行流动性风险管理的过程见图1。
1、资产负债管理
流动性风险管理属于资产负债管理的重要组成部分,如果商业银行的资产负债结构失衡,就会引发流动性危机。因此在银行确定资产负债额度、结构和期限时需要考虑流动性风险的控制与缓释。加强资产的流动性和融资来源的稳定性。
商业银行资产负债管理应遵循分散性原则和审慎性原则,具体表现为商业银行要制定具体明确的资产、负债分散化政策,使资金运用及来源结构向多元化发展,提升商业银行应对危机的能力;应审慎评估信用风险、市场风险、操作风险、声誉风险等对资产负债业务流动性的影响,从流动性风险的源头开始密切关注不同风险间的转化和传递。
(1)资产的变现能力。资产的变现能力衡量的是资产的流动性,具体包括变现需要的时间以及变现的成本。由于目前我国金融市场基础建设还不健全,商业银行在对资产变现能力进行评估时就需要综合考虑市场深度、交易对手信用状况以及其他因素对资产交易和资产价格产生的影响。要提高资产的变现能力,不仅在于资产本身的性质,还需要考虑金融市场的活跃性和交易主体的信用状况。资产的变现能力越强,商业银行的流动性越充足。
(2)负债的稳定性。商业银行应关注负债的稳定性,即融资来源的稳定性。提高负债稳定性的方法包括:提高核心负债占总负债的比重,提高流动性来源的稳定性,并减少对市场波动较大的债务依赖;商业银行应通过优质服务建立与资金提供者的关系,并持续关注大额资金提供者的风险状况。
2、现金流量管理
现金流量管理是识别、计量和监测流动性风险的一种重要工具,商业银行通过分析现金流量和期限错配情况,有助于发现融资缺口和防止过度依赖短期流动性供给。
现金流量管理的核心部分是现金流的预测。现金流的预测主要分为短期预测和长期预测,目的在于评估商业银行相应的风险承受能力。短期现金流的预测主要服务于头寸管理,针对1-7天内发生的现金流,商业银行在这方面的预测比较有经验,因而预测比较准确。由于现代商业银行交易的产品日渐复杂,预测长期现金流则较为困难,与此对应的是商业银行的流动性风险管理。
对应于现金流预测中的短期预测和长期预测,现金流期限错配分析可以针对短期,也可以开展中期乃至长期的期限错配分析,以便及早发现潜在的流动性风险。商业银行设定现金流期限错配限额应以其融资能力和风险承受能力为基础。最好的做法是保证每一期限内的现金流错配净额低于对应期限内的现金流限额,现金流限额的计算步骤可参考图2。
商业银行在设定现金流限额时应尽量保守,并通过返回检验确定该限额的有效性,同时对所有超限额情况作书面记录并分析原因,必要时还需要调整现金流预测的方法和模型。银监会在这方面的监管要求为“现金流限额测算期至少为一个月,鼓励商业银行按更长时间段进行测算。”
3、压力测试及情景分析
由于现金流预测不能准确地反映银行面临的流动性需求,因此商业银行需要对其流动性风险进行压力测试和情景分析。进行压力测试和情景分析的目的在于分析银行的风险承受能力,确定商业银行抵御危机的最短生存期是多久,与此相应的监管要求为“商业银行在压力情况下的最短生存期不得少于一个月”。
考虑到各类风险与流动性风险的内在关联性,还需要深入分析假设情景对流动性风险的影响及其反作用,因此商业银行在设计压力情景时不仅要充分考虑到单个机构和整个市场,还要结合本身业务特点、复杂程度,使假设条件涵盖来自于市场、信用、操作、声誉等多个风险类别的市场波动和经营环境的变化,并充分反映融资流动性风险与市场流动性风险的高度相关性。根据压力测试的结果,商业银行应及时调整资产负债结构,包括核心资本金和附属资本金的比例,持有充足的高质量流动性资产用以缓冲流动性风险,建立行之有效的应急计划。
4、应急计划
我国金融市场还不够成熟,货币市场和债券市场吸纳流动性风险的能力都有待提高,因此商业银行应该在完善流动性风险评估和预警机制的同时,制定不同情况下的应急计划。
应对流动性危机的方法主要包括资产变现和负债融资。资产变现主要是指商业银行的一级资本和二级资本的变现,其中要加强备付金的管理。负债融资的渠道主要包括向央行借款、银行间市场拆借和发行金融机构债券。
商业银行在制定应急计划时应充分考虑自身的业务规模、复杂程度、风险水平和组织框架等因素,涵盖银行流动性发生临时性危机、长期性危机和压力的情景,并预设触发条件和实施程序。
四、加强流动性风险管理的措施
