IT在银行业扮演着越来越重要的角色。随着银行业电子化程度的不断提高,加强IT的风险管理势在必行。
为此,银监会于2009年出台了《商业银行信息科技风险管理指引》,对信息科技风险管理目标提出了具体的指导性意见。
风险管理是识别风险、评价风险、控制风险的过程,最终目标是将风险控制在可接受范围。而风险评估是对风险发生的可能性及可能造成的影响进行分析,是识别风险、评价风险的过程,是风险管理的基础。
信息科技的风险管理也需要以风险评估为基础。
整体和专项两种评估
风险评估是风险管理过程中重要的一环,在安全规划、业务连续性管理和实施等级保护等方面也离不开风险评估。
信息科技风险评估可以分为整体风险评估和专项风险评估。
整体风险评估是指对信息科技的各个方面,如治理、信息安全、信息系统开发、测试与维护、信息科技运行、外包、业务连续性管理等,进行全面的风险评估。专项风险评估则是指针对信息科技的某一方面、某个系统或为某个目的而进行的评估。常见的专项风险评估还会根据评估对象分为网络评估、系统风险评估等。
整体风险评估侧重于反映宏观层面的风险,即全面反映影响实现IT目标的风险,帮助银行高级管理层把握信息科技的整体风险状况,从而据此来进行战略决策,最终提升风险管理能力。专项风险评估则侧重于反映微观层面的风险,即反映信息科技某一方面或者某个系统存在的风险,据此来决定采取相应的风险处理措施,降低相关系统所面临的风险。
评估风险的七个步骤
风险有影响及可能性两个属性,而影响是由资产的价值与资产存在的弱点决定的,可能性是由资产面临的威胁及资产存在的弱点决定的。因此,风险评估需要对资产、弱点及威胁进行综合分析。
风险评估工作一般有以下七个步骤:描述分析评估对象,确定其目标或者价值;识别评估对象存在的弱点;识别评估对象面临的威胁;通过分析弱点及威胁,确定风险发生的可能性;通过分析资产及弱点,预测风险如果发生可能带来的影响;通过已经分析出的可能性和影响确定风险等级;根据风险等级提出风险处理建议。
这几个步骤可划分为风险识别、风险分析、风险定级三个阶段。
风险识别是风险评估的基础,只有完整地识别出被评估对象的风险才可能进行正确的风险分析、风险定级。风险识别要对评估对象存在的弱点及面临的威胁进行识别,这是风险识别的关键。
整体风险评估覆盖范围广,反映的是宏观层面的风险,因此在进行整体风险评估时应该以调查方式为主,以检查、安全测试方式为辅。
在做整体风险评估时,要先准备详细的调查问卷,问卷内容涵盖信息科技的各个方面。一般来讲,银行的IT目标是在满足合规管理要求的前提下,支持业务创新和业务运营。为了实现这个目标,需要管理流程和基础资源配备作为支撑。其中,管理流程可分为IT业务创新支持、IT业务运营支持、IT合规管理及IT治理等四类,基础资源配备包括支撑IT运行的人、信息、应用系统及基础设施。
专项风险评估反映的是微观层面的风险,要深入查找评估对象存在的风险。因此,专项风险评估应该采取以检查与安全测试为主,以调查为辅的方法。
关键词:信息安全风险评估风险分析
一、前言
电力系统越来越依赖电力信息网络来保障其安全、可靠、高效的运行,该数据信息网络出现的任何信息安全方面的问题都可能波及电力系统的安全、稳定、经济运行,因此电力信息网络的安全保障工作刻不容缓[1,2]。风险评估具体的评估方法从早期简单的纯技术操作,逐渐过渡到目前普遍采用BS7799、OCTAVE、ISO13335、NIST SP800-30等相关标准的方法,充分体现以资产为出发点,以威胁为触发,以技术、管理、运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型[3]。
二、信息安全风险评估
在我国,风险评估工作已经完成了调查研究阶段、标准草案编制阶段和全国试点工作阶段,国信办制定的标准草案《信息安全风险评估指南》[4](简称《指南》)得到了较好地实践。本文设计的工具是基于《指南》的,涉及内容包括:
(一)风险要素关系。围绕着资产、威胁、脆弱性和安全措施这些基本要素展开,在对基本要素的评估过程中,需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与基本要素相关的各类属性。
(二)风险分析原理。资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。
(三)风险评估流程。包括风险评估准备、资产识别、威胁识别、脆弱性识别、已有安全措施确认、风险分析、风险消减[5]。
三、电力信息网风险评估辅助系统设计与实现
本文设计的信息安全风险评估辅助系统是基于《指南》的标准,设计阶段参考了Nipc-RiskAssessTool-V2.0,Microsoft Security Risk Self-Assessment Tool等风险评估工具。系统采用C/S结构,是一个多专家共同评估的风险评估工具。分为知识库管理端、信息库管理端、系统评估端、评估管理端。其中前两个工具用于更新知识库和信息库。后两个工具是风险评估的主体。下面对系统各部分的功能模块进行详细介绍:
(一)评估管理端。评估管理端控制风险评估的进度,综合管理系统评估端的评估结果。具体表现在:开启评估任务;分配风险评估专家;对准备阶段、资产识别阶段、威胁识别阶段、脆弱性识别阶段、已有控制措施识别阶段、风险分析阶段、选择控制措施阶段这七个阶段多个专家的评估进行确认,对多个专家的评估数据进行综合,得到综合评估结果。
(二)系统评估端。系统评估端由多个专家操作,同时开展评估。系统评估端要经历如下阶段:a.准备阶段:评估系统中CIA的相对重要性;b.资产识别阶段;c.威胁识别阶段;d.脆弱性识别阶段;e.已有控制措施识别阶段;f.风险分析阶段;g.控制措施选择阶段。在完成了风险评估的所有阶段之后,和评估管理端一样,可以浏览、导出、打印评估的结果—风险评估报表系列。
(三)信息库管理端。信息库管理端由资产管理,威胁管理,脆弱点管理,控制措施管理四部分组成。具体功能是:对资产大类、小类进行管理;对威胁列表进行管理;对脆弱点大类、列表进行管理;对控制措施列表进行管理。
(四)知识库管理端。知识库的管理分为系统CIA问卷管理,脆弱点问卷管理,威胁问卷管理,资产属性问卷管理,控制措施问卷管理,控制措施损益问卷管理六部分。
四、总结
信息安全风险评估是一个新兴的领域,本文在介绍了信息安全风险评估研究意义的基础之上,详细阐述了信息安全风险评估辅助工具的结构设计和系统主要部分的功能描述。测试结果表明系统能对已有的控制措施进行识别,分析出已有控制措施的实施效果,为风险处理计划提供依据。
参考文献:
[1]Huisheng Gao,Yiqun Sun,Research on Indices System of Security Risk Evaluation for Electric Power.Optical Fiber Communication Network,IEEE,2007.
[2]Masami Hasegawa,Toshiki Ogawa,Security Measures for the Manufacture and Control System,SICE Annual Conference 2007.
[3]左晓栋等.对信息安全风险评估中几个重要问题的认识[J].计算机安全,2004,7:64-66
一、当前开展人民银行县支行动态风险评估的难点
长期以来,人民银行县支行重视风险监测与防控,为防范各类风险制定并采取了一系列措施。以某支行为例,近几年来该行结合实际,按岗位制定了《风险防控指引》,明确了各岗位的风险点,制定了岗位出现风险的应急处置办法及责任追究办法。为切实有效防范风险,该行还采取了行级领导每月到分管部室坐班制,分管领导对分管工作定期检查制,分管领导对分管工作交叉检查制和风险防控小组每季度对风险点进行抽查制的四位一体的风险监控体系,对提高工作质量,防范和减少各类事故和差错起到了较大作用。然而,对于人民银行县支行而言,开展动态风险评估尚面临以下难题:
(一)岗位风险识别意识有待提高
人民银行县支行自从开展机构优化和人员编制整合以来,按岗定编,人员进一步精简,工作效率和工作质量均较以往有了提高。但是随着人员岗位职责的进一步明确,岗位工作专业化程度的进一步提高,“岗位风险专业化”的问题也显现出来。有的岗位工作人员仅限于进行业务操作,主要精力用于完成工作任务,而忽视对岗位风险的识别和防范。而岗位之间因分工的明细化,相互监督防控的难度加大。
(二)风险点确定及识别难
目前,人民银行县支行一般有二十个以上的工作岗位,每个岗位面临不同的风险。而且,随着新的工作任务的增加,风险会相应增加。但支行人员偏少,特别是审计监督人员少,面对如此众多的岗位风险,指明风险点并进行合理的分析识别,具有一定的难度。
(三)风险管理体系不健全
尽管经过多年的努力,人民银行建立起相对完善的内部审计体系,基层支行也建立起内控风险管理体制,但是与人民银行职能转化及业务工作不断更新的要求相比,还存在许多差距。例如,尚没有建立起一套完整的动态风险管理办法,缺乏对操作风险的整体掌控,不能根据科学原理对各项工作的操作风险进行计量、分析,对风险的评价、监督、整改和评价效果的应用体系没有真正建立起来。
二、人民银行县支行开展动态风险评估的路径
(一)加强教育,提高风险识别意识
人民银行县支行要切实加强员工风险意识教育,提高员工对动态风险评估重要性的认识,提高全行员工合规谨慎经营理念,增强防范风险的自觉性,把合规经营理念贯彻到日常工作中,使之成为自觉的习惯,把动态风险管理措施细化到每个岗位、每位员工、每个工作环节。
(二)明确标准,有效开展动态风险评估工作
开展动态风险评估,必须有统一的标准作为依据和准则,否则评估工作无从开展。我们应该对动态风险评估所涉及的工作因素制定统一的标准:一是要明确员工行为标准。要围绕职业道德、遵纪守法、文明服务、办公秩序、礼仪规范、文化建设、安全管理、廉洁勤政等方面对员工行为作出明确要求,明确告知员工应该做什么,不应该做什么,应该怎样做,做到什么程度。尤其应使其知晓哪些行为是违规违纪违法的,是有风险的,以及风险有多大。二是要明确岗位工作标准。要全面梳理职责,细化工作任务,量化工作要求,明确责任到人。要对各岗位主要职责、工作标准以及本岗位各工作事项的完成时限标准、数量或质量标准、工作流程及操作指引等做具体的规定,使各岗位工作人员能够清楚明了自己的工作职责、总体工作标准及每一工作事项所要达到的具体标准,并清楚自己达不到标准会产生的风险。三是要明确动态风险监测检查标准。对每一风险检查工作事项建立时限标准、数量或质量标准,制定出工作流程及操作指引。做到监督检查有据可依、责任明确、标准细化、流程高效、便于考核,确保监测检查工作措施落到实处。四是要明确动态风险评价标准。在找出各岗位、各专业风险点的基础上,明确风险后果及其严重程度,并尽可能地制定出量化的标准。根据这些量化标准,进行风险评价,确定风险等次。
(三)明确风险点,分析风险等级
人民银行县支行要围绕自身基本职能,结合各岗位工作特点,统筹考虑,积思广益,对所有岗位的风险点找对找准,在此基础上,科学分析每种风险的后果及严重程度。识别风险点既要考虑客观因素,更要考虑主观因素,既要考虑业务特点,还要考虑管理因素。尤其对各部门、各岗位的法律风险、声誉风险、资产风险、信息技术风险、效率风险、操作风险要重点关注,进一步明细其识别和分析标准。
(四)强化措施,健全评估机制
关键词:如何学习;行政事业;内部控制;风险评估
中图分类号:F239 文献标识码:A 文章编号:1001-828X(2013)04-0-01
2012年11月29日,财政部以财会〔2012〕21号 印发《行政事业单位内部控制规范(试行)》。该《规范》分总则、风险评估和控制方法、单位层面内部控制、业务层面内部控制、评价与监督、附则6章65条,自2014年1月1日起施行。笔者结合自身的工作经验,对行政事业单位内部控制的风险评估进行解析。
一、风险评估的概念
风险评估,是指及时识别、科学分析影响企业内部控制目标实现的各种不确定因素,同时采取应对策略的过程。要对识别的风险进行分析,形成风险管理的依据。风险与可能被影响的目标相关联。既要对固有风险进行评估,也要对剩余风险进行评估,评估要考虑到风险的可能性和影响。
单位应当建立经济活动风险定期评估机制,对经济活动 存在的风险进行全面、系统和客观评估。经济活动风险评估至少每年进行一次;外部环境、经济活动或管理要求等发生重大变化的,应及时对经济活动风险进行重估。单位开展经济活动风险评估应当成立风险评估工作小组,单位领导担任组长。经济活动风险评估结果应当形成书面报告并及时提交单位领导班子,作为完善内部控制的依据。
二、风险评估的程序
风险评估由目标设定、风险识别、风险分析和风险应对构成。风险评估是内部控制的重要环节,在单位经营过程中,只有进行科学的风险评估,自觉地将风险控制在可承受范围之内,才能实现单位的可持续发展。所以说单位总是在应对各类风险和挑战的过程中去赢得生存和发展。风险并不可怕,而可怕的是没有风险意识,不知晓风险,不能准确地识别风险,不能采取有效的风险应对策略。如果忽视风险盲目发展,必然导致单位处于不利地位。不做事不发展看似没有风险,然而逆水行舟不进则退,不发展本身也是一种风险。风险评估贯穿于单位经营过程的始终,也贯穿于内部控制的始终。
(一)目标设定。单位应当根据设定的控制目标,全面地、系统地、持续地收集相关信息,结合实际情况,及时进行风险评估。这里所指的设定的控制目标主要是指总则中规定的内部控制五目标。如前所述,单位实现了内部控制的五个方面的目标,就能够实现可持续发展,就能够转变发展方式,所以风险评估首先要设定目标。单位目标设定之后,要根据既定目标有计划地全面、系统、持续地收集内外部相关信息。单位可以利用信息化手段,加大信息收集量,提高信息的准确性和及时性,以便单位结合实际情况,及时进行风险评估。
(二)风险识别。风险识别是在目标设定的基础上,密切关注内外部主要风险因素。单位内外部各种风险因素,单位至少应当关注的主要风险,这些风险是在单位内部控制实施过程中,通过日常或定期的评估程序与方法加以识别。这些风险因素具体化为各项应用指引中的主要风险。在单位经营过程中,应将各类风险进行分类整理,形成单位的风险清单。
(三)风险分析。风险分析是指在风险识别的基础上,采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。单位进行风险分析,应当充分吸收专业人员,组成风险分析团队,按照严格规范的程序开展工作,确保风险分析结果的准确性。
风险的定性分析,是指通过观察与分析,借助于经验和判断对风险进行分析的方法。定性分析一般不需要运用大量的统计资料,使用起来简单易行。该方法主要是通过问卷、面谈及研讨会等形式进行风险分析,依靠专业人员的经验和直觉,或者行业标准及惯例等,对风险相关要素的大小或高低程度进行定性分析。在不需要进行量化时,或者进行定量分析需要的数据无法取得,以及出于成本效益原则考虑采用定量分析方法不经济时,一般应采用定性分析。
风险的定量分析,是指运用一些数据分析模型,将有关风险及其影响予以量化,在此基础上判断风险重要性程度的方法,如敏感度分析法和盈亏平衡分析法等。定量分析需要对构成的各个要素和潜在损失程度赋予数据或货币金额,使风险分析的整个过程和结果均被量化。定量分析的方法通常能够提供更高的精确度,往往应用在复杂的经济活动分析中,是对定性分析方法的补充。
(四)风险应对。风险应对是指风险应对政策的选择。单位应当根据风险分析的结果,结合风险承受度,确定风险应对策略。
风险应对策略包括风险规避、风险降低、风险分担和风险承受。风险规避是单位对超出风险承受度的风险,通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。风险降低指的是单位在权衡成本效益之后,准备采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度之内的策略。风险分担是单位准备借助他人的力量,采取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内的策略。风险承受是单位对风险承受度之内的风险,在权衡成本效益之后,不准备采取控制措施降低风险或者减轻损失的策略。
单位应当综合运用这些风险应对策略,实现对风险的有效控制。
以目标设定为基础,单位在进行风险识别、风险分析之后,通过风险应对策略,排除了风险规避、风险分担和风险承受,凸显了风险降低,需要采取相应的措施,将风险控制在可承受范围之内。配套指引中的系列应用指引明确单位至少应当关注的风险点,并经过风险识别、分析之后,结合应对策略,重点对风险降低作出了规定,即系列应用指导提出的各项控制措施。
三、单位在进行风险评估时,由于所面对的层面不同,因而重点关注的方面也不相同
【论文关键词】 风险评估
1. 公司目标
风险评估的前提是设立目标.设定目标是公司管理过程的重要组织部分,而非内部控制的要素,但它却是内部控制得以实施的先决条件。建立起目标体系,就能把各种力量、各类资源统一协调,按照目标的要求发挥作用,促使寿险公司切实的凝结为一个整体。只有先确立目标,公司才能针对目标确定风险并采取必要的行动来管理风险。目标设定是寿险公司对风险进行识别、评估和制定相关风险对策的基础。
2. 风险识别与评估
公司面临的风险是指发生对公司目标的实现可能产生影响的不确定性,并可以通过一系列防范措施予以规避和减小的损失的可能性。风险的识别需要比较客观的进行,而且为了避免忽略相关的风险事件,识别风险的过程最好与评估风险的过程区分开来。
相对于寿险公司的经营管理来说,风险因素既存在于公司内部,也产生于公司外部。对于寿险公司,有可能引起风险发生的内部因素是:
(1)管理层对实现公司目标的理念意识和紧迫感。
(2)员工的胜任能力,以及完成工作的恰当性和完整性。
(3)公司资产的规模、流动性或业务总量。
(4)公司的财务状况。
(5)信息系统电算化的程度。
(6)公司经营活动的地理分布。
(7)内部控制系统的恰当性和有效性等。
外部风险是指外部环境中对公司目标的实现产生影响的不确定性事件,有可能引起风险发生的外部因素是:
(1)国家法律、法规及政策的变化:如新的法律和法规可能要求经营政策和策略的改变。
(2)经济环境的变化:经济形势的变化可能对有关融资、资本支出和扩张的决策产生影响。
(3)科技的快速发展:技术发展会影响研发的性质和时机,或带来采购的变化。
(4)行业竞争及市场变化:竞争和不断变化的客户需求会改变公司营销、产品开发、业务流程和客户服务等活动。
(5)自然灾害:自然灾害可能导致经营或信息系统的改变以及强调对或有损失制定应急计划的需要。
识别公司层面和操作层面风险后,公司需要进行风险评估。进行风险评估,必须保证风险评估人员具备相应知识和业务能力,并已经对公司的各项政策和程序有了比较深入的了解。在此基础上,风险评估才可以顺利进行。总体来说,风险评估的方法有两种,一是定量方法评估,二是定性方法评估。
风险评估是全面、准确、及时地了解和把握寿险公司风险的内控基本要素,是识别及分析那些可能影响企业达到企业目标或事件的手段,是决定如何构建有效内控体系的基础。目前,我国寿险公司在风险评估意识、方法、技术等方面还比较落后。主要表现为:一是风险评估的方法技术落后,人才缺乏。由于管理层长期以来不重视风险管理和高技术人才的缺乏,我国寿险公司的风险评估主要依靠定性的、人为控制的直接管理方法,如委托理财审查等方式,而未使用定性和定量相结合的客观的科学方法。这导致了风险管理的专业化程度和效率较低。
3. 风险处理
在评估了风险的重要性和发生概率之后,管理层需要考虑如何管理风险。这涉及基于对风险假设的判断,以及对降低风险水平所需成本的合理分析。降低重大的或可能发生的风险的措施包括管理层每日做出的无数决策,从确定其他供货源或扩大产品线到获取更具相关性的经营报告或改进培训计划等。合理恰当的措施会实实在在消除风险或抵销其影响。根据风险评估结果做出的风险应对措施主要包括以下几个方面:风险回避、风险控制、风险承担、风险转移。评价风险应对措施的适当性和有效性时,应当考虑以下因素:采取风险应对措施之后的剩余风险水平是否在组织可以接受的范围之内、采取的风险应对措施是否适合本组织的经营、管理特点、成本效益的考虑。
目前,我国寿险公司普遍存在对风险管理的模糊认识、困惑甚至误解,进而出现风险管理导向错误的现象。因此,一是要要强化经营风险既有损失的可能,也有盈利的可能的认识,注重风险和收益的平衡关系;二是建立广泛适应的风险决策标准;三是针对各种风险确定风险应对措施的程序和方法。对降低风险水平所需成本进行合理分析,充分考虑现有程序对于控制已识别风险是否合适,以及完善流程以应对不断变化中的风险等。
4. 风险监控
制定了风险处理计划后,并非一劳永逸,在公司的运行过程中风险还可能会增大或者衰退。因此,在公司的经营管理过程中,需要时刻监督风险的发展与变化情况,并确定随着某些风险的消失而带来的新的风险。风险监控就是要跟踪识别的风险,识别剩余风险和新出现的风险,修改风险管理计划,保证风险计划的实施,并评估消减风险的效果。风险监控是与控制活动密切结合在一起的,要使公司的风险监控发挥积极作用,就必须在控制活动的各个环节确立不同的控制方式:预防性监控、检查性监控、纠正性监控、指导性监控。除了以上一般的风险监控形式外,还有针对某个环节不足或者缺陷而采取的补偿性监控,为加强计算机管理而实施的计算机监控等等。这些风险监控形式,合理保证了公司风险监控的效率和效果,有助于公司管理风险。
要解决好风险识别、评估、处理与监控之间的关系,离不开公司内部每一位员工的共同努力。要使风险监控在整个风险评估流程中发挥重要作用,一是必须建立良好的风险管理组织架构;二是对影响已识别风险或事件因素进行定期核查。
在药品研发后还应该对其进行监督,也就是对药品存在的潜在问题以及存在不良反应的药品进行风险评估。一旦需要对药品的质量进行变更,应该对原有的资料以及文件加以保存,产品风险管理中的文件必须明确包含投诉的信息以及数据;同时必须按照最终使用药品的用户以及环境进行风险评估,有必要时,应该及时根据最新的数据以及信息进行重新的风险评估。
风险管理的常用工具
针对药品风险管理的常用工具一般是采用FMEA失败模式分析,它是对于药品设计以及药品生产工艺流程中潜在的失败进行有条理的分析。FMEA失败模式分析主要是依据现有的知识、历史数据以及经验对不同潜在的失败进行风险值的确定。系统失败模式分析以及流程失败模式的分析是对于FMEA的实际应用。
药品质量风险管理的流程
对药品质量的风险评估主要目的是为了保护广大用户的切身利益,建立在科学知识的基础之上的风险管理。风险管理的流程依次是风险评估、风险控制、风险审查以及风险沟通。
1药品质量的风险评估
1.1药品的风险评估的概念
药品的风险评估是指对药物不良事件发生的可能性和后果严重性进行系统分析的过程。任何一种药品的风险总是相对其所可能获得的利益而言的。在对一种药品进行风险评价时,除了应深入研究风险的具体特征,如严重性、持续性、可逆性、发生率等因素外,还必须同时分析这种药品可能带来的利益。药品风险评估要回答的最重要的问题就是药品与存在不良反应之间是否具有因果关系,而因果关系的建立在很大程度上取决于证据的质量。
1.2风险评估三个步骤
风险评估主要经过风险的识别、分析以及评价三个步骤。针对与药品的风险评估经常关注以下几个问题:可能导致不良反应的原因;可能导致失败的概率以及导致失败的后果。这就需要一个非常专业的评估团队,团队中不仅包括研发人员、生产人员、销售人员,还包括法律人员以及质量保证人员。作为药品风险评估的负责人更应该了解风险评估的概念,才能进行下一步的工作。
(1)风险识别
制药企业可以根据多方面的资料以及文献进行风险的识别,主要是从以下几个方面进行识别:
①参考一些有名望专家的观点。在一定条件下,由于制药企业内部缺乏相应的技术资料以及理论水平,这时可以参考一些有在这方面做的比较好的专家的观点,从而来弥补自身企业的缺陷。
②参考一些中外理论分析。对于药品理论这方面来讲,在药品的生产过程中,参考一些理论来分析影响药品质量的因素,例如:药品片剂在生产中的压片以及混料的工艺,药品杂质去除的工艺等等,这些都可以作为风险比较大的工艺。
③根据产品的历史数据。在过去的药品生产过程中出现的药品偏差的数据对于现在来说,风险也是比较大的。
④根据产品的控制指标。对于药品质量的风险评估,可以依据既定的控制目标,进行倒推,通过倒退的方式找出影响药品质量的因素,这些因素就可以确定为影响药品的风险。例如:在最终确定无菌输液的药品,对这类输液的控制标准就是无菌,那么针对无菌的影响因素可以推断为灭菌前的生物负荷数以及灭菌过程的控制,因此,我们可以把灭菌前的生物负荷数以及灭菌过程的控制列为药品质量控制的风险。
⑤根据客户以及生产者关心的指标。当生产新的一种药品时,生产商以及给客户非常关心药品的某一项指标,我们就可以把这一项指标作为药品质量控制的风险。
(2)风险分析
对于药品中已经识别的风险进行风险评估,主要是采用定量以及定性的方法。一般情况下,对风险步骤的严重性、发生概率以及检测概率来进行总结分析的,根据不同的风险程度对其上面三项进行评分,结合制药企业的实际情况,从而选择一个承受评分,最后将风险步骤的严重性、发生概率以及检测概率的得分相乘,从而确定药品的每一个风险步骤的风险程度,进一步确定风险处于什么等级。制药企业可以依据表1识别风险的控制项目为主线,对风险程度进行评价。
2药品质量的风险控制
将药品质量的风险控制在接受的范围内是对药品进行风险控制的根本目的。上面已经对药品进行了风险评估,下一步就应该对风险进行控制,并且将风险控制在最小范围内,通常情况下,对于风险控制主要是对以下几方面(1)制药企业能否接受识别出的风险水平,如果能够接受这个风险水平,那么制药企业应该控制好这个风险程度,并且采取相应的措施不让风险程度进一步的提高。(2)制药企业不能够接受这程度风险,能否进一步消除风险或者是降低风险。当制药企业有能力降低药品存在的风险,那么应该采取相应的措施进行降低,因为质量管理的最终目的是确保用药的用户放心安全使用,并且能够将危害降到最低。(3)处理好风险、利益以及资源这三方面的关系。一般情况下,最后,投入更多的资源就会将药品的风险降到最低或者是消除风险,但是作为药品生产企业来说,在控制好药品各项指标以及风险的前提下,降低企业的成本才是最主要的任务。
3药品质量的风险审查
得到药品质量的风险评估阶段以及风险控制阶段进行完后,接下来就是不断的审查风险控制的情况,审查药品的风险是否可以通过技术的改进降低到最小范围,以及考虑不在当时的环境情况下,风险程度是否会增大等等。针对制药企业的审查应该建立一个完善的审查制度,这样一来,就避免了审查只是走形式,应该实际的分析药品的各项指标的情况,从而总结出缺陷。当出现以下三种情况时应该对药品质量的风险进行再评估:(1)客户对质量的要求发生变化;(2)法律以及法规发生变更;(3)药品的生产工艺以及设备设施发生一定的变更;(4)发生了重大偏差。
4药品质量的风险沟通
依次完成药品质量的风险评估、风险分析以及控制后,需要进行风险的沟通,风险沟通就是制药企业对风险的识别情况、分析报告、控制手段以及影响药品的因素在内部组织风险管理小组进行交流。主要是以文件的形式将确定下来的识别结果记录下来,使其规范化;及时记录经过批准的文件操作人员还出现失误的情况,应该加强操作人员的技术培训,建立相应的考核制度;最后,在风险评估以及风险控制都完成的条件下,对药品生产过程中新出现的偏差进行分析,一旦发现新偏差没有控制在风险内,应该重新对其进行风险评估。
结束语
1 运动风险概念界定
目前,众多学者为了研究的需要,对运动风险的概念进行了描述与界定,这些概念的界定主要从运动风险事件析因及后果影响两方面进行剖析,在运动风险事件析因方面将风险致因总结为运动负荷、运动环境、个人因素等[3,4];运动风险事件后果影响方面认为风险事件将影响到机体、物质和精神,亦有对结果提出运动者在运动中受益或受损 [5]。提出运动风险具有可能性、可控性、严重性、可觉察性等,认为风险致因诱发风险事件的产生。
运动是促进健康的手段,运动的目的在于增进身体的健康。风险所描述的是事件发生的可能性,即为事件有可能发生且尚未发生。运动的独特性在于运动是人与自然界、人类社会及人本身相互作用的动态过程,这一过程又存在着不可控性,也就意味着在运动动态过程中存在着客观的必然风险。
运动风险解决的本质问题为运动安全性问题与运动目标的实效性问题。运动本身具有双面性,并且这种双面性决定了运动过程及结果的不可预见性,而可能发生性又是风险的特征之一,因此从事运动时,不论是否发生了运动安全事故,必然存在着危害运动安全或影响运动目标实现的风险致因(凡是可能引起风险事件发生的因素)。风险致因是产生风险事件的首要条件,并且多种风险致因是可以同时存在、同时作用的。风险致因的存在并不一定会诱发风险事件,只有当风险致因的“量”(量:风险致因的数量或风险致因的种类)一定的积累,才会将风险以风险事件的形式表现出来。不论风险事件是否发生,风险致因是客观存在的,风险也就必然存在。
运动的独特性决定了运动过程的不可控性,因此,风险必然客观存在于运动过程的诸环节。当风险事件发生后必然会影响运动安全和运动目标。风险致因是风险事件的诱因,风险损失是风险事件的表现形式,风险事件是运动风险过程的载体。风险事件不发生,风险致因也就没有载体,也就不可能发生风险损失。而我们在进行运动风险的相关研究时,应主要针对风险致因所诱发的运动风险事件开展研究,分析风险事件发生的诱因,即:风险致因,然后评定风险致因对运动安全和运动目标的影响。
在对运动风险相关研究及其所界定的运动风险概念总结和分析的基础上(图1),将运动风险的概念界定为:在从事体育运动的过程中,由风险致因导致或引发风险事件的发生,从而引起运动目标的缺失的风险过程。
2 学校体育运动风险管理理论研究
2.1 风险管理理论研究 风险管理是管理学的分支,是风险管理类学科的母学科,是指通过风险识别、风险评估、风险应对及风险管理效果评价对风险事件进行控制,从而达到降低风险损失程度、保障目标实现的管理过程。风险管理学科研究始于20世纪60年代[6],改革开放以后在我国得到应用。风险管理主要研究的问题是如何准确的对风险进行识别与评估,并选用最佳的风险应对的手段对可能发生的风险事件进行风险应对,并对风险识别、评估及应对做出效果评价。目前关于风险管理理论的研究有以下几种:1)人为因素管理理论;2)机械和物质因素管理理论;3)多因果关系理论;4)系统安全理论[6]。这些理论分别从不同视角入手,深入的阐述了风险管理的本质,揭示了风险管理最终的目的都是为了降低损失程度、保障目标实现。风险管理过程包括风险识别、风险评估、风险应对及风险管理效果评价四部分(图2)。
风险管理的过程不是模式化的单一的过程,而是动态的循环过程。非循环的风险管理过程具有如下弊端:通过一次风险识别不能准确的识别出所有风险致因,并且风险致因本身也会发生变化的,从而引发风险评估结果的效度随之发生变化,进而导致风险应对的方法手段缺乏有效性,风险管理的作用随之降低。保障风险管理的作用必须借助风险管理效果评价,通过风险管理效果评价过程对风险识别、风险评估及风险应对的效果做出准确的评价,并将评价结果反馈给风险识别、风险评估及风险应对过程,多次往复并延续进行。由于风险致因种类、数量及风险量的动态性,风险评估的过程也必须要遵循多次往复的原则,风险应对亦是如此。因此,风险管理效果评价是风险管理过程中不可或缺的环节。通过风险管理效果评价,保障风险管理的动态性、实效性、准确性,风险管理过程才更具实际意义。
2.2 运动风险管理基本理论研究 当前对运动风险的研究是以风险管理理论为依据的,也就是把风险管理理论引入到体育学中[7],运用风险管理理论对运动中的风险进行管理。通过运用风险管理学的方法,将危害运动安全、引起运动目标缺失的风险致因进行识别、评估及应对,并对这一过程做出效果评价。通过使用风险管理理论,达到降低运动风险事件发生、保障运动目标实现的目的。由于体育运动是一个动态过程,风险致因实时存在于这一过程之中,风险事件的发生也具有随机性,因此,运动风险管理应伴随整个体育运动过程。运动风险管理可以分为风险识别、风险评估、风险应对及风险管理效果评价四个步骤[6],针对运动风险的研究也就是从风险识别、风险评估、风险应对及风险管理效果评价方面开展研究。另有一些相关体育运动风险理论的研究,对其体育运动风险模式也沿用风险管理理论,将运动风险管理划分为风险识别、风险评估、风险应对三部分[7,8],忽略了风险管理效果评价在风险管理中的作用。
体育运动的特点决定了运动风险管理有别于其他领域的风险管理,运动风险管理具有如下特点:1)风险存在的持续性,体育运动是持续的动态过程,风险致因在这一过程实时存在,运动风险管理也必然持续贯穿这一过程中;2)发展过程的多变性,体育运动的魅力在于运动过程及结果的不可预知性,人是体育运动的主体,从事体育运动不具有机械的模式性,易受运动环境、异体及自体的影响导致运动过程及结果复杂多变,风险事件是风险致因在特定条件激发导致的风险表现,因此运动及风险的发展过程多变性决定了运动风险也具有该特性;3)损失结果的多面性,风险管理的目的是为了降低损失,体育运动过程中由风险事件所引发的损失时多方面的,包括:身体、心理、财产、教育、伦理等多维度,因此,风险损失的结果也必将呈现多维度的表现。
2.3 学校体育运动风险管理理论研究 学校体育是学生在教师指导下积极参加体育活动,全面发展身体,锻炼体质,学习体育知识、技能,提高运动技术水平,培养道德和意志品质的过程[1]。学校体育的实施过程可以简化为教师与学生在场地范围内进行的各种体育活动。结合运动风险的本质及学校体育的特点,可以总结出,学校体育的运动风险主要集中在学生参与学校体育运动过程中发生运动伤害的风险,这些风险主要包括:运动损伤、诱发心血管疾病及意外死亡等各种运动伤害[8]。
风险致因、风险事故和损失共同作用,决定风险的存在、发生与发展[9],学校体育运动风险亦是如此。通过对运动风险分析得知,运动风险为一动态过程,对运动风险的管理也应具有动态性。学校体育运动风险管理是运用运动风险管理学的方法和手段对学校体育过程中运动风险进行管理,并对风险应对做出效果评价,进而形成学校体育运动风险管理的评价体系与标准。
学校体育运动风险管理的操作流程为:通过风险管理学的方法,根据以往经验或学校体育运动风险事件,对学校体育运动过程进行风险致因识别,并将这些风险致因运用合理的方法在不确定性、偶然性、损害性、可预测性和可控性等风险属性方面进行评估[10],得出风险致因的级别,并以此建立风险评价体系,同时将学校体育运动风险致因进行评估,根据评估结果,确定风险应对手段,根据风险应对手段的效果对风险管理的诸环节进行效果评价,并将评价结果反馈于学校体育教学及学校体育运动风险管理诸环节,同时进一步完善评价体系与标准。
在市场经济条件下,每个企业都面临着来自外部和内部的风险。企业内部控制就是通过对风险的控制以实现其目标的,风险评估是企业内部控制的重要内容之一。内部控制中的风险评估的概念有广义和狭义之分。广义的风险评估包括目标设定、风险识别、风险分析、风险应对等;狭义的风险评估仅仅是指风险分析,即通过采用定性分析和定量分析,按照企业风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。
一、《内部控制框架》中的风险评估
美国COSO委员会《内部控制框架》所使用的风险评估概念属于广义风险评估,《内部控制框架》将其作为内部控制的关键构成要素。
(一)设定目标
根据《内部控制框架》,风险评估首先要设定目标。设定目标是风险评估的前提条件。风险是与目标伴随的,首先必须有目标,管理层才能对实现目标的风险进行识别。根据《内部控制框架》,目标设定不属于内部控制的构成要素,但它是内部控制的前提条件,为此《内部控制框架》专门对目标设定进行了论述。目标包括企业层面的目标和业务层面的目标。管理层通过目标设定来明确业绩衡量标准,目标具体分为经营目标、财务报告目标和合规目标。经营目标是管理层基于企业所处特定经营环境所设定的业绩衡量标准;财务报告目标在于对外公布的财务报告的可靠性;合规性目标则要求企业的经营活动遵循适用的法律法规。这些目标是相互补充和相互关联的。
(二)风险识别
1.风险识别必须与目标联系,无论目标是明确的还是隐含的,企业的风险识别应当考虑到目标实现面临的各种可能出现的风险。2.风险识别是一个持续性、反复的过程。3.进行风险识别时应当关注企业各个层面的风险,包括企业层面的风险和业务层面的风险。对主体层面的风险进行识别时,既要关注外部风险,也要关注内部风险。来自外部的风险主要有技术进步引起的风险、客户需求变化风险、市场竞争风险、法律法规变动风险、自然灾害风险以及经济环境变化风险等;来自内部的风险包括信息系统故障风险、员工素质能力等方面的风险、管理层变动风险以及董事会或审计委员会不作为的风险等。对业务层面的风险进行识别时,应当将该层面的风险评估集中于主要业务流程和主要职能上,如销售、生产、营销、研究开发等。应当识别对企业有重大影响的较为明显的风险。
(三)风险分析,即狭义的风险评估
企业在对企业层面的风险和业务层面的风险识别后,则需要进行风险分析。风险分析的方法多种多样。风险分析的过程通常包括估计风险的严重性、评估风险发生的可能性、评估应采取的措施等三个步骤。应当注意的是,作为内部控制一部分的风险评估,与作为管理过程应对措施而采取的计划、方案及其他措施存在着区别。
(四)建立识别环境变化的机制
风险评估本质上是一个识别变化并采取必要措施的过程。随着经济、行业和监管等外部环境的变化,企业的经营活动也将发生相应的调整,企业应当建立一套正式或非正式的程序,对可能影响企业目标实现的风险进行识别。管理层应当特别关注以下对环境影响的因素,这些因素包括已变化的经营环境、管理层人员更换及员工大规模更换、使用新的或调整后的信息系统、经营业务快速增长、采用新技术、开拓新的经营领域、进行公司重组等。企业应当建立一定的机制,对发生变化的外部环境进行识别。
二、《企业风险管理框架》中的风险评估
美国COSO委员会2004年的《企业风险管理框架》中将风险管理的要素划分为内部环境、目标设定、事项识别、风险评估、风险应对、信息与沟通和监控等八要素。根据《企业风险管理框架》,风险评估就是要对识别的风险进行分析,以形成确定如何对其进行管理的依据。这实际就是《内部控制框架》中的风险分析,属于狭义上的风险评估概念。《内部控制框架》中的风险评估实际上包括事项识别、风险评估、风险应对三项内容,而目标设定则作为内部控制的前提条件,不属于内部控制要素的范围。
风险总是与特定目标的实现相联系。如不出国旅游,则不会涉及到飞机失事的风险。根据《企业风险管理框架》,实施风险管理首先就涉及到设定目标。目标设定是事项识别、风险评估和风险应对的前提。《企业风险管理框架》正是出于风险管理的需要将目标设定作为风险管理的构成要素之一。《企业风险管理框架》中的目标包括战略目标和相关目标,战略目标是最高层次的目标,而相关目标则是建立在战略目标基础上的企业层面等的目标,企业层面的目标与更为具体的目标相关联,贯穿于整个企业,并具体为各项业务和各项职能的次级目标。《企业风险管理框架》要求设定的目标应当是可计量的,并要求企业各个层次人员根据各自所影响的范围了解企业设定的目标。设定的目标分为经营目标、报告目标、合规目标等三项。作为风险管理的一部分,企业在选择目标时要确保其目标与企业的风险容量相协调。风险容量是企业管理当局在董事会的监督下确定的,反映着企业的风险管理理念,并影响企业的文化和经营风格,是制定战略目标的风向标。战略目标应当选择与其风险容量一致的目标,并使风险反映于战略目标之中。
《企业风险管理框架》中的事项识别要求管理当局对源于内部或外部的影响战略实施或目标实现的事故或事件进行识别,对企业目标实现将带来负面影响的确定为风险,并对其进行评估和应对;将存在正面影响的确定为机会,将其反馈到战略或目标的制定过程之中。在对事项进行识别时,必须考虑企业整体范围内可能带来风险和机会的所有内部和外部因素。外部因素需要考虑的通常包括经济因素、自然环境因素、政治因素、社会因素、技术因素等;而内部因素需要考虑的通常包括人员、流程、技术等因素。
《企业风险管理框架》中的风险评估(即风险分析)要求进行风险评估时,既要考虑预期事项也要考虑非预期事项,对可能对企业存在重大影响的非预期的潜在事项和预期事项的风险进行评估;既要考虑固有风险,也要考虑剩余风险。固有风险是指管理当局未采取任何措施的情况下企业所面临的风险;而剩余风险则是在管理当局进行风险应对之后所残余的风险。确定相应的风险应对后,则集中考虑剩余风险的管理。
《企业风险管理框架》中的风险应对要求企业管理当局评估风险的可能性和影响,并在成本效益比较的基础上,选择能够使剩余风险处于期望的风险容限范围之内的应对策略。风险应对策略包括风险回避、风险降低、风险分担和风险承受。管理当局应当在企业范围内识别风险并确定企业总体剩余风险处于企业风险容量之内。
三、我国《企业内部控制基本规范》中的风险评估
我国《企业内部控制基本规范》中的风险评估使用的是广义上的风险评估概念,包括目标设定、风险识别、风险分析和风险应对。《基本规范》要求企业应当根据设定的控制目标,全面、系统、持续地收集相关信息,结合实际情况,及时进行风险评估。根据《基本规范》。风险评估的具体过程包括:
(一)控制目标的设定
设定控制目标是进行内部控制,特别是风险评估的前提。企业应当根据自身的实际情况,按照本身的发展规划合理确定战略目标。设定的目标应当尽可能量化,并细化为各业务活动和各职能部门的具体目标。内部控制目标的设定要切实可行,与内部控制发展的不同阶段相适应,设定不同要求的内部控制目标,并随着内部控制的发展,逐步提升内部控制目标。
(二)风险识别
《基本规范》要求企业进行风险评估时,应当准确识别与实现控制目标相关的内部风险和外部风险,确定相应的风险承受度。风险承受度即风险容量,是企业能够承担的风险限度,包括整体风险承受能力和业务层面的可接受风险水平。
企业在识别内部风险时,应当关注和考虑的因素包括:1.董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素;2.组织机构、经营方式、资产管理、业务流程等管理因素;3.研究开发、技术投入、信息技术运用等自主创新因素;4.财务状况、经营成果、现金流量等财务因素;5.营运安全、员工健康、环境保护等安全环保因素;6.其他有关内部风险因素。上述因素的现状往往是风险存在的基础,上述因素的变动则往往会诱发新风险的产生。
企业识别外部风险,应当关注和考虑的因素包括:1.经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素;2.法律法规、监管要求等法律因素;3.安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素;4.技术进步、工艺改进等科学技术因素;5.自然灾害、环境状况等自然环境因素;6.其他有关外部风险因素。上述因素实际上是企业经营活动所处的外部环境,外部环境的变动必然会影响到企业的经营活动,有可能给企业带来新的风险,如一项新的技术被其他同行所采用,有可能导致企业所占有的市场份额发生变化而带来风险。再如政府颁布实施较过去更为严格的监管法律,由此可能导致本企业传统加工方法无法继续使用,从而导致风险的产生。
(三)风险分析
《基本规范》要求企业采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。鉴于风险分析的专业性和复杂性,要求企业进行风险分析时充分吸收专业人员,组成风险分析团队,按照严格规范的程序开展工作,确保风险分析结果的准确性。风险分析的目的在于为企业风险应对提供依据。由于企业董事、经理和其他高级管理人员在企业经营活动中的特殊地位,其个人风险偏好对经营活动等具有重大影响,企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好,并予以特别关注,避免因个人风险偏好给企业经营带来重大损失。
(四)风险应对
关键词 科技评估 风险投资 风险管理
1 科技评估
1.1 科技评估的概念
2000年12月28日科技部颁发的《科技评估管理暂行办法》将科技评估定义为“是指由科技评估机构根据委托方明确的目的,遵循一定的原则、程序和标准,运用科学、可行的方法对科技政策、科技计划、科技项目、科技成果、科技发展领域、科技机构、科技人员以及与科技活动有关的行为所进行的专业化咨询和评判活动”。从更广泛的意义上来讲,科技评估是对与科学技术活动有关的行为,根据委托者的明确目的,由专门的机构和人员依据大量的客观事实和数据,按照专门的规范、程序,遵循适用的原则和标准,运用科学的方法所进行的专业化判断活动。其结果要归结为能够回答委托者特定目的评估结论和评估分析。
1.2 科技评估的范畴
科技评估的范畴主要是职能性评估和经营性评估两大方面,职能性评估是指对政府科技活动有关行为进行的客观的、科学的评价和判断,为政府有关部门发挥决策、监督职能提供服务。经营性评估是指对企业或其他社会组织与科技活动有关行为进行的客观的、科学的评价和判断,为他们对被评事物的决策、判断提供参考依据。在市场经济条件下,科技评估作为一种咨询活动,不应仅仅只为政府决策服务,还应深入到市场中的各类科技活动之中,接受非政府机构委托的评估任务,如企业投资项目的科技评估、风险投资机构投资的科技评估、企业产权交易中的科技评估等。
1.3 科技评估的分类
科技评估可从不同角度分类。从评估时间上,可分为事先评估、事中评估、事后评估和跟踪评估四类。事先评估是在某项科技活动实施前所进行的评估,主要包括实施该项活动必要性和可行性两方面内容。它常常带有预测的性质,但不同于一般的预测分析;事中评估是在科技活动实施过程中进行的监督性评估,着重检验是否按照预定的目标、计划执行,对前面工作的进展与预期效果进行比较,并对未来进行预估,以发现问题,调整或修正目标与策略;事后评估是科技活动完成后进行的评估。另外,从评估空间上,可分为国家评估和地方评估;从评估规模上,可分为宏观评估、中观评估和微观评估;从评估方法上分,可分为定性评估、定量评估及定性与定量相结合的评估;从评估形式上,可分为通信评估、会议评估、调查评估、专访评估和组合评估等。
1.4 科技评估的方法
评估方法有广义和狭义两种概念,广义概念包括评估准备、评估设计、信息获取、评估分析与综合、撰写评估报告等评估活动全过程的方法,狭义概念特指评估分析与综合的方法。
科技评估可选用的方法多种多样,关键是要依据不同对象,有针对性地选择评估方法。常用的分析评价方法有定性和定量结合的方法、多指标综合评价方法、指数法及经济分析法和基于计算机技术的评估方法等。
2 风险投资的风险管理
风险管理是通过对风险的识别、衡量和控制,以最少的成本将风险导致的各种不利后果减少到最低限度的科学管理方法。风险投资的风险管理的出发点和归宿,都是企图运用系统的、综合的现代科学管理方法,有效地扩大投资活动的有利因素,控制和抑制不利因素,达到以最小的成本,安全、可靠地实现风险投资利益的最大化。
2.1 风险识别
风险识别是风险管理的第一步,是指对企业面临的,以及潜在的风险加以判断、归类和鉴定风险性质的过程。存在于企业自身周围的风险多种多样、错综复杂,无论是潜在的,还是实际存在的,是静态的,还是动态的,是企业内部的,还是与企业相关联的外部的,所有这些风险在一定时期和某一特定条件下是否客观存在,存在的条件是什么,以及损害发生的可能性等,都是在风险识别阶段应予以回答的问题。在风险投资中,风险一般可以分为两类:系统风险和非系统风险。系统风险是由公司之外的各种因素引起的,如战争、经济衰退、通货膨胀、高利率等与政治、经济和社会相联系的风险,是不能通过多角化投资而分散的,因此又称作不可分散风险或市场风险。重要的系统风险有政治风险、法律法规风险和政策风险等。非系统风险也被称作可分散风险,它是由公司本身的商业活动和财务活动带来的,如企业的管理水平、研究与开发、消费者需求的改变、市场营销风险以及法律诉讼等,其可以通过多角化投资组合而分散,是公司特有的风险。重要的非系统风险有决策风险、财务风险、信用风险、完工风险和市场风险。作为风险投资者,其关心的往往只是项目的系统风险,因非系统风险完全可以通过合理的投资组合而得到分散。
2.2 风险衡量
风险衡量对已经识别的风险进行分析评估,以确定其损害程度的过程。风险衡量的方法分为定性风险评价方法和定量风险评价方法两大类,定性风险评价方法又可分为主观评价法和客观评价法,传统的主观评价法主要有观察法、资产负债表透视法和事件推测法等。现代的主观风险评价方法致力于将传统主观方法涉及到的因素综合在一起,并且设法将传统上的主观方法的定性分析特征转向定量分析上,由此而将主观分析扩展到能够同时完成综合评价风险因素与测量风险临界值的双重任务。现代客观风险评价法中,最具代表性的是“z记分”方法。作为一种综合评价风险企业风险的方法,“z记分”方法首先挑选出一组决定企业风险大小的最重要的财务和非财务的数据比率,然后根据这些比率在预先显示或预测风险企业经营失败方面的能力大小给予不同的加权,最后将这些加权数值进行加总,就得到一个风险企业的综合风险分数值,将其对比临界值就可知企业风险的危急程度。定量风险评价方法主要有风险图法、决策树法等。
2.3 风险控制
风险控制是指在对风险进行全面的分析之后,实施各种风险控制工具,力图在风险发生之前消除各种隐患,减少损失产生的原因及实质性因素,将损失的后果减少到最低限度。实施风险控制的步骤是风险预测——风险决策——实施决策方案——方案的成果评价。风险控制的主要方法有风险规避、风险预防、风险分散、风险转嫁、风险补偿、风险抑制等。
3 科技评估与风险投资的风险管理
科技评估与风险管理既有联系也有区别,科技评估作为一种专业化判断活动,在介入风险投资的风险管理后,其任务便是对风险进行识别和衡量,其结果作为风险投资机构投资决策和制定风险控制实施方案的依据。可见,在风险投资的风险管理中,科技评估实质是风险的识别和衡量的过程,而风险管理还包括了风险控制的实施过程,这样科技评估就可以作为风险管理一个组成部分,实现两者的有机结合,促进共同发展。科技评估与风险投资的风险管理的关系如附图所示:
3.1 科技评估是提高风险投资管理效率的重要手段
科技评估经过近十年的发展,已有一整套较为完备的评估规范和技术方法,在评估设计、评估信息采集、综合分析、评估质量控制等方面的研究已较为成熟,同时,由于科技评估机构长期致力于国家和地方各类科技计划、科技项目、科研机构等方面的评估,对于科技产业、科技政策等方面的研究也是其他咨询机构无法比拟的。而我国风险投资业尚处于起步阶段,国家还未出台较为完备的有关风险投资事业的行政法规,风险投资机构的风险管理机制还很不健全,对风险管理人才培训的投入和重视程度还远远不够,因此,将科技评估运用到风险投资的风险管理中将能充分发挥其作用,提高管理效率。
3.2 科技评估方法是衡量风险投资风险的有效工具
定量和定性方法相结合是科技评估方法应用的基本思路,这与现代风险评价所采取的方法既有相近又有其独到之处,科技评估中最常用的方法是多指标综合评估方法,它是在对多个影响因素进行分析研究之后,设计一套相应的评估指标体系,并对每一个评估指标都制定具体的标准和统一的计算方法,使其能对金额、人数等可计量的指标进行定量评估,同时对社会影响等因素亦可做定性评估的描述。这与上面介绍的“z记分”方法仅依靠可计量的数据作为评价基础相比较更为有效。采取科技评估方法衡量投资风险也更为准确、可信。
3.3 科技评估是推动风险投资管理创新的动力
引入评估机制,使风险投资机构的投资选择与投资决策相分离,使得风险投资管理更为透明化,也遏止了内部人员的“暗箱操作”等种种不良现象。通过独立的、专业化的评估中介组织的运作,将能使风险投资机构的管理层能更客观地认识到投资风险,从而可集中精力于投资决策,通过管理体制的创新,保证投资的科学性和安全性,也提高了投资成功率。
3.4 科技评估参与风险投资管理是其自身发展的需要
科技评估工作现阶段主要是为各级科技行政管理部门,主要是国家和省、市科技管理部门服务,而且大部分科技评估机构是由科技管理部门所属的有关单位,如软科学研究机构、科技咨询机构、科技情报机构等部门产生,但由科技管理部门所属的单位评估科技管理部门的科技项目、科技计划等等,在一定程度和一定范围内不可避免的受到科技管理部门的影响。因而,评估水平难以提高。因此,科技评估机构作为一种社会中介服务机构,和各类资产评估机构一样,应逐步社会化和多元化,如参与到风险投资管理的咨询工作中,只有社会化、多元化,才能充分引进竞争机制,优胜劣汰,提高评估水平,促进科技评估事业的发展。
3.5 科技评估促进风险投资实现动态管理
风险投资从进入到退出的全过程中,无时无处不存在着风险,实施某项投资决策前需要进行深入分析以确定各种存在风险的影响程度;进行投资后,还应深入到所投资的企业进行跟踪调查分析,对企业生产经营、财务状况,市场竞争状况,企业的发展趋势与步骤等,经常进行科学的、系统的分析与判断,发现潜在的风险,及时采取有效措施,杜绝它的发生或降低它的危害;风险投资退出后,还要对风险投资的效果进行测评,总结经验与教训,作为今后投资决策的参考。可见,风险投资的风险管理是一个动态的过程,实现管理目标需要实施一系列的评估,科技评估的事前、事中和事后评估能够满足这一要求,促进风险管理动态管理。
参考文献
1 国家科技评估中心编.科技评估规范,科技评估概论[m].北京:中国物价出版社,2001
2 杜沔.关于风险投资中的风险控制工具的探讨[j].中国科技产业,2001(7)
购物车(0)