风险评价的定义精选(十四篇)

序言：作为思想的载体和知识的探索者，写作是一种独特的艺术，我们为您准备了不同风格的14篇风险评价的定义，期待它们能激发您的灵感。

篇1

贾锋的发言如下：

平台性公司一定会出现，只是需要一个发展的过程。目前，华耐也在这个领域尝试，而为搭建这个平台在公司内部也做过多次争论，平台有大有小，对于华耐来讲是在打造一个小平台。

对于消费者来说，装修费其实蛮高的，作为渠道商我也觉得有点高。但是怎么把这个费用降下来，可能大家也在思考，站在各自的利益角度，可能工厂、渠道商、卖场，装饰公司都没有觉得自己挣的多。就我们公司的数据而言，现在装修费用在流通环节里面占了差不多15个百分点。这十几个点根本装不到兜里的，全部消耗掉了。卖场的租金，包括街边店又占十二三个点，我相信像我们经营的规模是比较大的，我们的租金和销售额比例应该还是低的，很多小品类的品牌，租金占销售费用的20%，可能还有25%。人工费差不多要十几个点，仅仅这三项费用，就接近40%，这是我们现实的渠道费用，这个费用是需要消费者买单的。

我拜访过酷家网，觉得互联网技术确实解决了我们很多问题。过去做展厅就是要让人们看见你的东西好不好，效果我喜欢不喜欢。其实目前的互联网技术，陈航已经演示了，未来能解决这种问题的公司会有很多。大家不要有平台恐惧，大家现在最担心会不会出现一个恐龙出来？其实越成熟的东西越廉价，现在互联网技术把我们要装成什么效果，已经提前模拟出来了，你还需要看样板间吗？

刚才陈航演示了一下，两分钟家装效果图就出来了。这种技术以后会跟白纸一样便宜。因为每个人的电脑、手机、软件技术也会越来越成熟。可能将来每个消费者自己在手机上就可以制作演示。技术确实在改变我们的行业，在未来，消费者对于样板间、对于展厅的依赖会下降，就会削减我们刚才说的差不多10-20%的展示费。

篇2

关键词：内部审计 风险管理 综述

一、内部审计定义的演进

国际内部审计定义的制定经历了多次的发展变化，内部审计的第一次定义是在1947年7月，IIA发表《内部审计职责说明书》将内部审计定义为：“内部审计是建立在审查财务、会计和其他经营活动基础上的独立评价活动。它为管理提供保护性和建设性的服务，处理财务与会计问题，有时也涉及经营管理中的问题。”定义表明内部审计主要是对公司的财务会计进行审计。1971年，IIA对内部审计重新定义为：“内部审计是建立在审查经营活动基础上的独立评价活动，并为管理提供服务，是一种衡量、评价其他控制有效性的管理控制。”这次定义注重内部审计的管理服务职能，并对控制有效性进行评价。1999年，IIA对内部审计定义进行了修改。在新定义中，IIA指出：“作为一种客观、独立的确认与咨询服务，内部审计通过采用系统的、规范的方法，评价并改善风险管理、控制和治理过程的效果，其目的是帮助企业改善经营状况、增加企业价值”。这次定义最大的变化就是将风险管理列入内部审计的范围，定义的注重点是内部审计在公司治理中应发挥的作用，审计的目标变为增加组织的价值和改善组织的营运。2001年1月IIA重新修订《内部审计实务框架》，在新框架中内部审计定义将风险管理在内部审计中的地位提升到了一个更高的层次，同时也强调要围绕风险制定内部审计计划，确定内部审计重点。2004年IIA在其修订的《内部审计实务标准》中将内部审计认定为：“内部审计是一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法，评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标。”这一定义将内部审计的范围延伸到风险管理和公司治理，认为内部审计是针对风险管理、控制及治理过程的有效性M行评价和改善所必需的。

相比之下，我国的内部审计起步较晚，在我国制定内部审计制度之前，并没有一个权威的完整体系。但从1983年开始，关于内部审计的规定在我国的部分法律中不断地被提及。我国在1985年第一次定义内部审计，“内部审计是部门、单位加强财政、财务监督的重要手段，是国家审计体系的组成部分。”这个定义强调内部审计主要行使监督职能。在1989年和1995年我国对内部审计重新进行定义，定义仍然强调内部审计的监督职能，主要是进行财政财务收支的真实、合法、效益的监督。2003年的《审计署关于内部审计工作的规定》中对内部审计进行重新定义：“内部审计是独立监督和评价本单位及所属单位财政收支、财务收支、经济活动的真实、合法和效益的行为，以促进加强经济管理和实现经济目标。”这个定义增加了内部审计评价的职能，以及增加了内部审计的目的为促进加强经济管理和实现经济目标。2003年《内部审计基本准则》中对内部审计进行了第五次定义，规定：“内部审计通过对经营活动的评价和审计检查，对内部控制适当的把握，并保证其合法性和有效性来促进目标实现，因此它是一种独立又客观的监督评价活动。”这个定义关注的是内部审计的监督和评价职能，而且主要关注经营活动和内控的适当性、合法性和有效性，主要是为组织管理服务。

二、内部审计与风险管理的关系

（一）内部审计和风险管理二者是一种互动交融关系

风险管理系统是企业的重要预警系统，在对企业进行风险检测、识别和预警方面起着重要的作用。而内部审计作为公司治理的重要工具，可以为企业的健康、持续发展提供保证，风险管理与内部审计的融合能够为企业的发展贡献力量。风险管理与内部审计相互融合是改善企业营运状况，增加企业价值的客观需要，也是使其自身得以发展的有效途径。内部审计通过评价和监督风险管理过程，使其成为企业风险管理的一道重要防线。风险管理与内部审计已逐渐形成了“你中有我、我中有你、相互依存、不断发展”的密切关系（余玉苗，2004）。韩志丽（2005）从价值链着手，阐述内部审计与风险管理之间的互动关系，通过内部审计与风险管理之间的这种互动，使得企业整体风险管理水平不断提升，同时也促进了内部审计的持续发展。刘丽云（2006）分析了内部审计和风险管理之间的关系，指出：“内部审计应在定义上融入风险管理，在目标上和风险管理相互统一，在职能上强调对风险的鉴证与咨询，在服务领域上扩展到评价和改善风险管理流程。”随着企业风险管理水平的提高和内部审计在风险预警和风险管理中发挥作用的职能逐渐增加，内部审计和风险管理之间的联系越来越密切，内部审计应积极转型与企业风险管理相结合（魏文婷，2014）。在企业的经营活动中，风险本身就是内部审计的有效对象，将企业的内部审计与风险管理进行有效的联系与融合，是企业未来发展的必然趋势。

（二）风险管理是内部审计的重要组成部分，将主导内部审计的变化

对企业风险管理进行监督和评价是内部审计发展的必然要求，内部审计的范围已经延伸到企业风险管理和公司治理，风险管理已成为内部审计的一项重要内容。2002年，国际内部审计师协会在《全面风险管理：发展趋势和新的实践总结》一文中指出：“21世纪企业管理过程的重点将会是风险管理，风险管理不仅会影响企业如何委派首席风险官向首席执行官和董事长报告工作，而且也会影响内部审计的执行。”Robert.R.Moeller（2006）在《布林克现代内部审计学》中指出：“风险管理是内部审计计划和评估过程的重要组成部分，内部审计人员需要理解风险，并将审计工作的重点尽量集中在高风险领域。”风险管理的变化主导着内部审计的变化，而内部审计在企业风险管理中的主要职责就是对风险管理过程进行再监督、再评价（王光远，2007）。风险管理是企业管理的核心，需要内部审计的协助，内部审计在企业风险管理控制过程中发挥的作用相当大，现代企业管理应该建立健全内部审计的综合风险管理体系，使之与企业各级风险管理组织系统相配合，企业风险管理工作应当成为企业内部审计工作的一部分和主要内容。

（三）内部审计是风险管理系统不可或缺的部分

内部审计在企业中承担着审查并参与企业的风险管理流程、为风险管理提供确证服务、促进风险的识别与评估等重要职责。内部审计部门和内部审计人员参与企业的风险管理已经成为必然的内在需求。内部审计参与企业的风险管理，将会使内部审计在企业管理中发挥重要的作用，并将其在企业风险管理中的作用推向一个更高的层次（许叶枚，2009）。赵婷婷（2011）提出内部审计是风险管理的一种方法、手段，而风险管理则是内部审计的一项新的内容、一个新的领域，内部审计成为风险管理的重要组成部分。马欢欢（2012）明确阐述了企业风险管理与内部审计之间的关系，内部审计在企业的风险管理活动中扮演着重要的角色，对降低企业经营活动风险、加强企业风险管理具有重要作用。王兵、刘力云、张利民（2013）指出我国加入WTO后，内部审计的重心转变为以内部控制、风险管理为导向的管理审计为主，内部审计在加强风险管理、完善组织治理、建立现代企业制度等方面发挥着越来越重要的作用。在当前市场经济环境下，风险管理的有效性在对企业的生存和发展方面的作用日渐显著。内部审计对企业的财务状况和经营管理情况进行指导和监督，评价并改善企业面临的风险，已成为企业风险管理系统的重要部分。

三、内部审计在企业风险管理中的作用

（一）内部审计在企业风险管理中能够增加企业价值

内部审计能够客观地检查与评价企业整体风险管理状况，指导企业的风险管理策略，对企业风险管理效果进行反馈，以及对企业的风险管理进行预警和监督，能够提升企业价值。Mcnamee & Selim（1999）指出：“在高速发展时期，企业管理者需要了解发展过程中可能遇到的各种风险。因此，内部审计人员要在风险环境中观察企业的业务流程，识别和评估企业面临的风险，提出应对和防范风险的建议，从而为企业增加价值。”贾云洁（2009）探讨了企业内部审计与企业战略的匹配从而形成的增值作用对企业价值的影响，并提出内部审计提升企业价值的主要途径。吕秀芝（2010）分析了内部审计给企业带来增值作用的途径和作用领域，指出内部审计通过内部独立的审核和咨询活动的展开能够帮助企业实现自身价值的最大化，是一种有效的增值手段。沈维成（2011）指出内部审计是企业风险管理的重要组成部分，其通过降低企业运营风险来实现企业价值的增加。在风险管理环境中，内部审计可以为企业风险管理部门提供咨询服务，促进企业价值的提升，风险管理视角下内部审计对实现企业价值增值有重要的现实意义。

（二）内部审计能够从整体上防范和管理风险，有利于减少风险损失

内部审计部门可以从全局出发、从客观的角度对企业面临的风险进行识别，及时建议企业管理部门采取措施防范和控制风险。Masaaki（2012）指出：“内部审计是一种独立、客观的鉴证和咨询活动。在全面风险管理方面，内部审计人员的职责就是向董事会提交有关风险管理充分性和有效性的鉴证。”胡静波、李卜（2012）提出内部审计通过监督活动来有效达到企业经营目标，它帮助企业将风险控制在合理的范围内，评价、防范和控制风险的发生和蔓延，并加以改进和完善。姜洪研（2013）指出内部审计人员能够独立地分析、评估和监控风险，并检查风险防范措施，帮助企业管理风险，降低风险损失。李萍（2014）指出内部审计并不参与企业特定的业务活动，使其能够从全局的视角对企业面临的风险进行防范和控制，从而对企业整体的风险管理进行统筹规划。王晨（2016）指出内部审计可以通过风险管理促进内部控制的完善，能够从全局角度客观地管理风险，控制、引导企业风险策略，减少企业风险。内部审计在企业风险管理和内部控制中扮演着重要的角色，内部审计通过对企业风险管理进行评价、监督并提出改善风险管理和内部控制的建议，从而帮助企业优化风险管理体系，降低风险，提高企业运营效率。

（三）内部审计有利于完善公司风险管理流程，提高公司治理水平

在风险管理视角下，内部审计可以有效地监控、改善企业风险管理体系，提高企业的运行效率和治理水平。内部审计在企业风险管理中具有独特的优势，有助于公司治理的M一步完善。Vijayakumar A. N， Nagaraja N（2012）在分析企业运作特点的基础上，指出风险管理视角下的内部审计模式可以有效地监控、改善公共企业风险管理体系，提高公共企业的运行效率。陈瑞敏（2012）分析了内部审计在企业全面风险管理中的重要作用，指出内部审计能够帮助企业完善其法人治理结构，提高公司治理水平。余琛（2013）指出科学的内部审计方式有助于完善企业的组织管理，提高企业的管理水平，有助于企业达到预期的经营目标。徐夏青（2013）指出内部审计参与企业风险管理与公司治理，除了关注传统的内部控制之外，更加关注有效的风险管理机制和健全的公司治理结构，即通过全面参与企业风险管理，提升企业的治理水平。张巧红（2015）从企业面临风险特征及风险形成原因入手，探讨了内部审计在风险管理中的作用，通过系统的、规范的方法，将风险导向贯穿内部审计工作，评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标。内部审计参与企业风险管理，能够促使企业建立更有效的风险管理机制，从而帮助企业提高自身竞争力，实现企业的经营目标。Z

参考文献：

[1]王兵，刘力云，张立民.中国内部审计近30年发展：历程回顾与启示[J].会计研究，2013，（10）.

[2]贾云洁.从战略角度谈内部审计价值增值策略[J].审计与经济研究，2009，（2）.

[3]王晨.企业风险管理中的内部审计研究[J].经济研究导刊，2015，（11）.

作者简介：

篇3

[关键词]内部审计;内部控制;战略审计;风险管理

[中图分类号]F275 [文献标识码]A [文章编号]1005-6432(2010)44-0077-02

1 内部审计的发展历程

1.1 国际内部审计的发展历程

1978年,国际注册内部审计师协会(IIA)正式颁布了《内部审计实务准则》,认为“内部审计是建立在以检查、评价为基础上的独立评价活动,并为组织提供服务”。这个定义强调了内部审计为组织提供服务,并且强调了内部审计的独立性。

国际注册内部审计师协会(IIA)在1993年颁布的《内部审计实务标准》中提出,“内部审计的目的是协助该组织的管理成员有效地履行他们的职责”。这个定义仍然强调了内部审计对组织管理的服务职能。

国际注册内部审计师协会(IIA)在2001年出版的《内部审计实务标准》中规定:“内部审计是一种旨在增加组织价值和改善组织价值及经营状况的客观的保证和咨询活动,它通过引入系统化的方法来评价并改进组织风险管理、控制和治理效率,以帮助组织实现目标。”这个定义引入了“风险管理”一词,内部审计的目标是为组织管理提供服务,但此时它的视角更广了。

2004年,IIA颁布《国际内部审计专业实务标准》,规定“内部审计是一种独立、客观的确认和咨询活动,旨在增加组织价值和改善组织的运营,它通过引入系统化、规范化的方法来评价并改善风险管理、控制和治理过程的效果,帮助组织实现目标。”这个定义在2001年定义的基础上,强调采用系统化的方法,也使得内部审计更加科学,反映了内部审计的发展趋势和客观要求。更重要的是,这个定义强调了内部审计的职能由管理职能向治理职能的转变。此时,内部审计的目标可以分为两类:一是要实现组织价值的增值,改善组织的经营状况;二是要提供与风险管理、内部控制和公司治理程序相关的确认和咨询服务。

1.2 国内内部审计的发展历程

我国于1984年在部门、单位内部成立了审计机构,实行内部审计监督。

1985年我国了《审计署关于内部审计工作的若干规定》,提出“内部审计是部门、单位加强财政、财务监督的重要手段,是国家审计体系的组成部分”。这个定义强调了内部审计主要行使监督职能。

2003年,审计署在《审计署关于内部审计工作的规定》中指出:“内部审计是独立监督和评价本单位及所属单位财政收支、财务收支、经济活动的真实、合法和效益的活动”,这个定义增加了内部审计的评价职能。

2003年,中国内部审计协会颁布的《中国内部审计准则》规定:内部审计是指组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。这个定义强调了监督和评价职能并重,而且关注经营活动和内部控制的适当性、合法性和有效性,主要是为组织管理服务。

通过国内外对内部审计定义的比较,可以发现,内部审计的发展大致上经过了三个阶段:第一个阶段,内部审计的主要目标是防止组织内部的舞弊行为和检查组织内部的财务差错,这是一种比较初级的审计;第二个阶段,内部审计的主要目标是加强控制、改善经营,内部审计的职能有所加强;第三个阶段,内部审计的主要目标是风险防范和价值增值。内部控制和风险管理也成为了内部审计关注的重点。

2 内部审计在内部控制中的作用

《萨班斯―奥克斯利法案》规定:每份年度报告的文件中都应该包含一份内部控制报告,同时公司管理层在年度报告之日前对内部控制的有效性进行过评估。2006年7月15日,中国内部控制标准委员会成立,标志着我国企业内部控制正式提上日程。由此可见,随着经济发展水平的不断提高和企业管理思想的不断完善,内部控制也越来越受到企业的利益相关者的关注。那么,内部审计在内部控制中又发挥着什么样的重要作用呢?

现代内部审计之父Lawrence Sawyer(2005)认为,控制评价是内部审计人员的“执业秘诀”,内部审计人员要通过评价内部控制制度和指出需要加强的内部控制的弱点,成为有力的管理工具。这反映出了内部审计在内部控制中的评价职能,而且,是内部控制评估的主力。王光远教授(2005)指出内部审计准则的最核心概念有两个,即内部控制和风险。内部审计与内部控制之间是相互依存的,内部审计是内部控制的要素之一,而内部控制又是内部审计的直接对象。内部审计在内部控制中的职能包括:评价内部控制;参与重大控制程序的制度与修订;监督内部控制的运行;提供管理咨询等。

3 基于内部控制下的内部审计的新发展

3.1 由基础审计向高层次审计的发展

内部控制强调全过程控制,同样,内部审计也应该是“全过程审计”。按照内部审计进行的时间,又可以把审计分为事前审计、事中审计和事后审计。事后审计是我国传统内部审计的方式,侧重于事后的监督和评价,起到一个查漏补缺的作用;事中审计实时跟踪审计内部控制制度建立的执行情况;事前审计是一种“防范于未然”的审计方式,它强调在内部控制制度建立和执行前就进行风险评估。这样的内部审计贯穿于战略审计、经营审计和作业审计的全过程。

企业内部控制从控制主体可以分为三个层次:一是以董事会等高层管理者为主体的战略控制;二是以经营者为主体的经营控制;三是以员工为主体的作业控制。这三个层次对应的内部审计分别为战略审计、经营审计和作业审计,它们的审计流程、重点与评价内容不同,但三者是紧密相关,相互作用的有机整体。

战略审计是企业内部审计部门对各层次的战略管理活动及战略管理的全过程所作的分析、评价和监督。战略审计是公司制定战略前必须完成的工作,主要包括:企业内外部经营环境分析、对已实施的战略效果进行评估、对现行战略的适当性和战略执行的有效性进行评价,这些是事前审计;此外,还要对战略的执行过程进行监督,监督有关责任人认真履行与战略管理有关的受托责任,这些属于事中审计;最后,要对企业的管理绩效进行评估、对战略的执行结果进行总结评估和反思,这就属于事后审计。

经营审计是内审部门对经营循环的全过程,包括投入、运作、产出、分配等各个环节的效率和效果进行评价、确认和监督。经营审计主要审查经营者是否努力改善和充分利用了企业的物质条件和技术条件,审查利用生产力各要素的具体方式方法的有效性。如审查经营决策的科学性是事前审计;而对决策的落实和执行情况进行审查是事中审计;最后,对决策执行所带来的结果进行评估总结,形成书面报告则是事后审计。

作业审计是内审部门对内部控制的业务层面和工作环节进行监督检查,并提交相应的检查报告、提出有针对性的改进措施。作业审计主要包括对作业控制的评价、确认和监督。在作业审计中,如评估具体业务层次上的可接受风险水平、评价员工的专业胜任能力、为管理层提供实行风险回避还是风险分担的咨询建议等这些就属于事前审计;而监督员工在开展业务活动中没有非法使用企业资产牟取不当利益、监督员工没有单独或者串通舞弊给企业造成损失,则属于事中审计;对各部门和员工当期业绩进行考核和评价等属于事后审计。

在我国,目前大多数企业的内部审计仍然停留在作业审计和经营审计的阶段,内部审计也往往只是在事后进行,这样的内部审计工作往往难以发挥应有的作用。内部审计由基础审计向高层次审计发展,由作业审计和经营审计向战略审计发展,由事后审计向全过程的审计发展,是内部审计的必然趋势,也是企业加强经营管理的内在要求。

3.2 内部审计职能由监督向风险管理的转变

IIA在1999年对内部审计的重新定义也提到了,内部审计是用来增加企业组织价值和改善组织运营的独立、客观的保证和咨询活动,它以系统的、专业的方法对风险管理、控制及治理过程的有效性进行评价和改善,帮助组织实现其目标。企业开始注重风险管理,同样,内部审计的重心也应向风险审计转移,是企业进行风险管理的重要组成部分,前文所提到的事前审计也正是出于对企业进行风险管理的需要。

根据IIA的定义,基于风险管理的内部审计有两个目标――增加组织的价值和改善组织的营运状况。内部审计人员要根据对企业风险管理过程的审查,评价其适当性和有效性,提出建设性的意见和建议,不断完善企业的风险管理,最终才能实现两个基本目标。

基于风险管理的内部审计的内容既包括企业风险管理的设计,也包括企业风险管理的实施。首先,内部审计部门要根据企业的行业特征、生产经营的性质、企业规模、企业管理水平和企业文化特征设计出适合企业的规范化风险管理的组织体系。通过风险管理的制度建设,让企业的每个部门和员工明确风险管理中的权责关系,使企业的风险管理既分工明确,又是一个有机整体。其次,内部审计部门要明确企业的战略和目标,并且保证其具有合理性。企业的战略可以分为公司战略、业务单位战略和职能战略,内部审计部门要审查企业的各个层次的战略是否明确并且合理。只有在明确而合理的战略指导下,企业的风险管理才能行之有效。最后,内部审计部门要在风险管理的过程中,全面跟踪审计,做到事前预测风险,事中控制风险,事后对风险管理的过程进行总结,提出更好的改进方案。

篇4

1 定义和概念

效益风险评价和药物经济学其他的研究方法一样，在不同的研究报告中，效益和风险的定义还未统一。此外，效益风险评价与风险管理的研究界限也是模糊的。因此，这些问题还值得探讨。

1.1 效益与风险

简而言之，效益反映一种产品降低患一种疾病的风险的程度。在药物经济学的效益风险评价中，效益是指由该项目或干预措施带来的产出价值［2］，这一产出价值的单位是货币。效益风险评价中的效益不同于成本效益中的效益。效益在这里指的是使用某种药品给个体或群体带来的正面结果。它不仅包括“效益”，还包括“期望的效益”。“期望的效益”有些类似于“效果”――临床健康结果，可以被直接量化，并且通常包括对获得效益可能性的估计。在效益风险评价早期，效益主要考虑的是“期望的效益”。在1997年国际医学科学组织季员会(CIOMS)的研究报告中，“效益”并不包括对生命质量等经济学角度的正面影响。但是近年来在越来越多的效益风险研究中，对效益的定义包括临床增进健康数据、健康相关的生命质量，以及对于个体或群体的经济利益。

从流行病学的角度，对药物风险的简要、标准的定义是药物的负面情况将发生的可能性。一些对风险的定义试图从几率、强度和时间这三维来描述风险，即不良事件或不利后果发生的可能性，特定群体中的个体的健康危害结果的严重程度，以及健康危害结果可能持续的时间。另外，由于同其他产品相比, 药品具有明显的特殊性, 即与生命、健康的关联性及个体化使用的特异性，药品风险显得更为复杂。而这种个人风险程度的确定会因药源性损害的严重程度、患者的特异质和对公共卫生的影响而变化。因此, 从社会成本的角度考虑药品风险，还应包括个人和人群水平的信息, 以保障个体和群体用药的收益超过最大边际风险。

1.2 效益风险评价和风险效益管理

与效益风险评价相近的一个概念是风险效益管理（risk-benefit management,RBM），有时也简称为风险管理。为进行风险效益管理的研究，国际药物经济学与结果研究协会（ISPOR）成立了风险管理特别兴趣组（Risk Management Special Interest Group，RM）。一些国家(如美国)的药品监管机构，也设立了药品风险评价部门，对所有上市药品安全信息加以监测和评价。不同的机构对所进行的风险效益管理有类似的定义。RM认为风险效益管理是评估和开发某一情况下效益风险管理策略的过程。在卫生保健领域，它是在权衡医疗干预的潜在效益时，主动并互动地估量和分析风险的过程。风险效益管理包括分析医疗干预的效果，以及识别任何不良的副作用。欧盟的药品风险管理是一系列的预警和干预活动，被设计用于确认、描述和阻止或最小化药品的相关风险, 包括风险交流和风险最小化干预活动的有效性评估。FDA 将药品风险管理解释为在药品生命周期内, 一个反复持续的管理过程被设计用于优化药品的风险/ 效益比。

效益风险评价和风险效益管理这两个研究有很多共同之处。如两者都从效益和风险两方面评价药品，研究都包括效益和风险因素的识别、分析、报告、决策全过程。细究两者区别，效益风险评价更偏重风险效益平衡的技术问题，而风险效益管理倾向于效益风险评价的公共政策管理和运用。由于效益风险评价还不是一个完善的方法，有很多未达成一致的领域。所以一般情况下，我们在研究效益风险评价中也应考虑风险效益管理的研究。

2 研究范畴

在理想情况下，根据效益与风险的不同组合，药品可能处于4类不同区域：A区域，最坏的平衡(高风险，低收益)；B区域(较高风险，较低收益)，限制条件下使用，可能需要深入研究；C区域(较低风险，较高收益)，可接受的平衡；D区域，最理想的平衡(低风险，高收益)。在极限区域A和D中，评价结果是显而易见的。但是在极限区域中间有很多不确定的因素，导致区域B和C的位置模糊，且区域B的限制条件难以确定，使得制定效益风险决策会显得复杂和困难。因此，区域B和C就是效益风险评价的研究范畴。

3 研究分类

效益风险评价可分成正规的（定量的）、比较性的以及非正规（定性的）。

3.1 正规的评价（定量分析）

正规的效益风险分析运用科学的推理过程，以一个数值表达式为基础，定量地比较效益风险。近年来，正规的效益风险分析表现为基于成本效果、成本效益和成本效用的研究，以及meta分析和决策理论工具的定量模型。

例如，运用三三原则分级体系的思路，将疗效或不良反应的严重程度和持续时间按其高、低分别给予30～10 的分值，分别求出治愈率（发生率）、严重程度和持续时间的乘积作为效益（B）和风险（R）的量度，然后计算出效益/风险比值（B/R）。

计算公式：

效益（B）=治愈率×疾病严重程度×疾病持续时间

风险（R）=不良反应发生率×不良反应严重程度×不良反应持续时间

上例中的方法通过确定3个关键指标，将不同药品的效益和风险联系起来，适宜用于2种或2种以上药品的B/R之间的比较，但并不是所有的效益风险定量分析都能用于2种以上效益风险的比较。对于很多效益风险评估而言，效益和风险都不易进行量化对比。例如，某一药物能够缓解一种普通的、自限的疾病症状，但是同时也会伴随一种罕见的、威胁生命的副作用的风险。在这种情况下，治愈率（发生率）、严重程度和持续时间这三者是否能赋予一致的权重值得考虑。因此，即使是定量分析，最终的评价很大程度上也是定性的，甚至稍微有些主观。并且对于风险的承受度，与能够观察到的临床获益程度直接相关。

3.2 非正规的评价（描述性评价）

非正规的效益风险分析是一种归纳或者主观分析过程，依靠个人判断对治疗选项相关数据作出评估。

例如，先分别从药品的利益、风险两方面进行定性分析，然后把两方面的因素综合在一起进行比较，得出利弊分析结论。

对于药品效益方面的分析，首先应考虑药品所治疾病的严重程度，如疾病的发生率、死亡率、持续时间、高危人群等，同时还应考虑：该药品是治疗急性疾病、慢性疾病，还是用来预防疾病的发生、发展或复发，是针对病因进行治疗，还是仅用于缓解症状或提高生活质量，是否还有其它替代治疗方法；如果不使用该药品的后果、对疾病控制或治愈的程度如何？有无可测量的客观证据指标？有无与其它治疗方法效果比较的资料？

对药品风险的评价，应从药品不良反应的严重程度、持续时间、发生率等方面考虑。与效益分析不同，风险通常是由许多不良反应组成的，并且不同的不良反应往往因其表达指标和单位不同而难以比较。在进行风险分析时应注意分析风险信号的证据强度和具体特征，如时间联系、发生率等，还应注意分析其它不良反应的情况，注意评价不良反应的可预见性、可预防性和可逆性。另外，有时同一种药物的不同剂型、不同适应证或不同用药人群可能构成不同的风险范围。

在非正规的分析中，包括不同的道德观念和其他难以确定的因素在内，认知和医疗实践的标准都可以影响对效益风险的判断。由于许多效益风险决策都建立在相对而言不正规的证据之上，正是这些不正规的证据使得学界认为“效益风险评价总是基于人们不可靠的判断而形成的”。即使就同样的效益和风险描述信息，也难以达成统一的效益风险评价结果。

3.3 比较性的评价（半定量评价）

比较性的评价方法，是将考察中的产品跟相似产品进行定性对比，来测定效益和风险是否看起来相似。

例如，将药品的效益和风险以所治疗疾病的性质、药品疗效、不良反应这3种因素作为代表，分别按照其严重程度、持续时间和发生率的高低给予3～1 分，再将分值相加得到每种因素的总分值，可以大致反映出药品的效益/风险情况。这种方法尤其适合用于2种或2种以上同类药品之间的比较，由于该方法是基于一组个人的主观判断，所以不会得出一个准确的数据，结果也许不一致。

4 研究意义

在药品上市后评价中，药品效益风险评价有着重要意义。由于上市前研究的局限性和临床不合理用药的客观存在，对上市后药品进行科学再评价极为重要。上市后评价主要是就安全性、有效性和经济性进行评价。这3方面评价在药品上市后评价中处于不同的地位。无论是在美国等发达国家，还是在中国，药品监管机构都始终将安全性评价和疗效评价放在上市后评价的首位。药物经济学讨论的效益风险评价，是对于安全性和有效性的综合评价，实际上是对药物效益和风险比不断认识的一个动态过程。如果某种药物的效益大于风险，则可批准上市或继续保留在市场；一旦风险大于效益，而且风险不能得到有效的控制，则应撤市。

在我国药品管理现阶段，完善效益风险评价的研究的意义在于：为药品监督管理部门制定相关药品风险管理政策提供依据；为社会保障部门降低不良反应产生的影响和费用提供途径，并为城镇居民医疗保险目录的修订提出参考依据；为医疗卫生部门指导和规范临床合理用药，降低医疗风险提供参考，并为国家基本药物目录修订提出参考依据。

参考文献

1 胡善联.上市后药物的经济学评价［J］.中国循证医学杂志，2005， 5(5):353-356.

篇5

【关键词】企业管理，内部审计，风险管理

随着企业内外部环境的不断变化，企业在寻求自身发展和经营管理的过程中，面临的风险因素不断增多且更加复杂多变，这些风险成为企业深入发展和提高竞争力的制约因素。因此，风险管理越来越受到企业的重视。内部审计是企业内部控制的一个重要组成部分，在企业中具有独特的地位和作用。随着审计创新，一些内部审计组织开始介入风险管理，并将其作为内部审计的重要领域。内部审计参与企业风险管理不仅可以推动企业建立有效的风险管理体系，使企业在竞争中处于有利地位，同时，也拓展了内部审计的工作范围，促使内部审计人员提高自身素质，有效防范内部审计工作风险。

一、内部审计和风险管理概述

（一）内部审计的相关概念

内部审计之父索耶关于内部审计的定义是：对组织中各类业务和控制进行独立评价，以确定是否遵循公认的方针和程序，是否符合规定和标准，是否有效和经济的使用了资源，是否在实现组织目标。在2011年1月国际内部审计师协会（IIA）的新版的《国际内部审计专业实务框架》中，内部审计全新定义为：内部审计是一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法，评价并改善风险管理、控制及治理过程的效果，帮助组织实现其目标。

内部审计和政府审计、外部审计并列为三种主要审计业务之一。内部审计作为企业内部的经济监督机构，虽然不参与企业内部的经营管理活动，但主要对各项经营管理活动是否达到预定目标、是否遵循了单位的规章制度等进行监督，属于单位内部控制体系的一个组成部分。

（二）风险管理的相关概念

风险是指可能发生的损失、失败或伤害的意思。它是不以人的意志为转移的，在一定环境和期限内客观存在的，导致费用、损失与损害的产生，能够用科学的定量和定性方法进行的不确定性管理，具有客观性、普遍性、必然性、可识别性、可控制性和多样性等特点。

企业风险管理是一个过程，它由一个主体的董事会、管理者和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。确切地讲，风险管理通过了解企业及其市场情况，辨识风险，分析风险，评估风险，设计并实施风险管理解决方案，并不断监测风险管理过程而使企业达到其战略目标。一般情况下，企业风险管理由内部环境、目标设定、事件辨别、风险评估、风险反应、控制活动、信息和交流以及监督等八个方面组成。

二、内部审计和风险管理的关系

内部审计与企业风险管理有着紧密的联系，风险管理是公司治理的核心，内部审计作为公司治理的自我调控机制，与风险管理密不可分。

（一）内部审计定义中包含有风险管理的内容

内部审计从产生到现在已经历了几个世纪，每个时期内部审计的概念都有不同的内涵和外延。国际内部审计师协会（11A）自1941年成立至今总共发表了7个内部审计定义，这些定义的修改和发展，记录了内部审计职能的发展过程，在内部审计史上具有重要意义。1947年国际内部审计史协会在首次公布的《内部审计师职责说明书》中将内部审计第一次定义为：“内部审计师建立在审查财务、会计和其他经营活动基础上的独立评价活动。它为管理提供保护性和建设性的服务，处理财务与会计问题，有时也涉及经营管理中的问题。”这个定义首次将内部审计定位为“独立评价活动”，也首次提出了为管理服务的方向。1957年国际内部审计师协会对定义作出了修改，首次提出了内部审计“是一种衡量、评价其他控制有效性的管理控制。1971年、1978年、1981年、1990年与1999年，国际内部审计师协会又分别对内部审计的定义进行了修改，内部审计的职能由经营审计扩大到管理审计阶段，表明内部审计师管理的延伸，是管理活动的重要组成部分。在风险导向审计阶段，将变化的风险管理模式融入内部审计程序，使内部审计更加注重风险管理，注重组织经营的未来前景。

（二）风险管理赋予了内部审计在企业中新的地位和作用

为了在企业中担当更重要的角色和发挥更重要的作用，内部审计总是在不断寻找新的对企业十分重要的领域。风险的广泛存在，使企业经理人员对风险空前重视，为内部审计发展提供了一个绝好的机会。内部审计对风险管理的介入，将会使内部审计在企业中成为一个极其重要的角色，并将其在企业中的作用推向一个新高度。正因如此，内部审计师的职业组织——国际内部审计师协会才不遗余力地倡导内部审计师进军这一领域，把风险管理作为内部审计的重要领域直接写入了内部审计的定义。

（三）内部审计在风险管理各阶段中的作用

1、对风险管理的环境进行分析。主要包括内部审计师评价、分析企业内部环境和企业外部环境的发展情况和趋势、企业的优势和劣势、外部的机会和威胁，并在此基础上结合企业风险偏好来制订经营目标。对内外环境信息进行评价，最大限度减少由于信息的不准确、不及时、不完整所造成的决策失误。通过内部审计，对敏感信息的接触进行授权限制，保证来自企业内部和外部的相关信息以一定标准进行确认和传递，维护信息渠道畅通。

2、对企业经营战略、经营目标的风险管理提供建议。协助企业建立风险管理的决策机构，将其纳入内部控制制度的范畴，尽可能地提高该机构的专业化程度，以提高决策的科学性、准确性。

3、对风险事件进行识别。内部审计部门通过运用决策分析、统计预测分析、可行性分析、流程图分析、资产负债分析，对原有的已识别风险是否充分进行评价。主要风险有：财务和经营管理信息不对称导致决策错误、资产流失、资源浪费和无效使用、顾客不满意、企业信誉受损等。

4、积极参与风险评估。内部审计部门应用各种管理科学技术，采用定性与定量相结合的方式，估计风险大小，找出主要的风险源，并评价风险的可能影响，对风险采取相应对策。

5、指导实施科学的风险反应。内部审计以其独立性、全局性在风险事件发生时，指导企业实施科学有效的风险反应。对已识别的经营风险，企业如果认为该风险已经超出企业承受能力，企业会采取措施转移或避免这些经营风险。内部审计部门的责任是对有关部门采取的应对措施进行检查，检查其是否充分、得当。对于风险缺乏充分的控制的情况，内部审计部门和人员应提出指导性措施和建议，强化企业的风险管理，降低风险损失。

6、跟踪与评价风险控制活动。内部审计的重要职能是通过对企业风险活动的评估和检查，发现企业风险控制活动的缺陷和漏洞，分析经营管理过程中的偏差和失误，改善企业经营管理，提高经济效益。

（四）内部审计与风险管理目标上的一致性

内部审计部门作为企业的一个职能部门，与企业其他职能部门一样，都应服务于企业的增值目标。内部审计的目标是为了对企业所有者、其他利益方、顾客和客户创造价值和谋取利益，并提高企业的运营效率。内部审计部门在收集资料、识别和评价风险的时候可以为企业管理者提供有用建议，和企业其他部门一起增加企业价值。风险管理是通过对面临的各种风险的识别、评估，采取适当的内部方法，用最低的成本获得最高的安全保障，从而达到企业效益的最大化。从这个意义上来说，内部审计和风险管理的目标是相一致的，都是为了实现企业利润最大化。

三、结语。风险管理是企业管理的重要内容，是一个把内部审计作为有机组成部分的大管理系统行为，而内部审计是企业管理的子系统，企业内部审计的所有活动都要以改善管理绩效和增加企业价值为目标。内部审计与企业管理的目标均是力争实现企业价值最大化。内部审计参与风险管理是新形势下企业生存与发展的客观需要，也是企业管理层的内在需要。内部审计通过发挥其在风险管理中的作用帮助企业改进风险管理，从而为企业增加价值。

参考文献：

[1]石涛. 浅议内部审计与企业风险管理.中国管理信息化，2011年1月第14卷第2期.

篇6

关键词：内部审计；金融企业；改进

伴随着金融市场的日益一体化进程，金融风险随之不断增大，一直以来受到广泛的关注。金融业的不断发展和创新使金融企业面临越来越复杂的风险，金融企业尤其是银行的风险管理成为日益重要的课题。而内部审计作为一项独立、客观、公正的约束与评价机制，在现代企业风险管理中正发挥着越来越重要的作用，而如何针对金融业的特色和特点，完善内部审计机制成为金融业内部审计部门日益重要的课题。

一、内部审计简介

内部审计是相对于注册会计师事务所对企业所进行的外部审计而言的，它无论在机构设置上还是在人员配备上都是企业内部的。有关内部审计的定义，国内外有很多种表述。国际内部审计师协会 IIA 最新修订的《内部审计实务标准》是内部审计的权威标准，其最新的定义为:“内部审计是一种独立、客观的保证工作与咨询活动，它的目的是为组织增加价值并提高组织的运作效率。它采取系统化、规范化的方法对风险管理、控制及治理程序进行评价，提高它们的效率，从而帮助实现组织目标。

中国内部审计师协会于2003 年的《内部审计基本准则》中对内部审计的定义是：“内部审计是指组织内部的一种独立客观的监督和评价活动，它通过审查和评价经营活动及内部控制的适当性，合法性和有效性来促进组织目标的实现。”

通过对国内外的内部审计定义的介绍，本文认为，国际注册内部审计师协会的最新定义是较为恰当的，该定义明确了内部审计的原则、内容和目的，它充分体现了内部审计的发展方向。我国内部审计的定义是与我国内部审计的发展状况紧密相关的。对我国的大多企业来说，风险管理作为一种管理思路尚是一个新鲜事物，如何在企业运行中进行风险管理的运作还处于探索阶段，内部审计作为风险控制的一项有效的工具在企业风险管理中发挥的重大作用才逐步被人们所了解，来自企业内部的风险常常是由于内部控制系统有缺陷或虽有较好的管理控制系统却未得到有效的贯彻、执行。内部审计以企业各运营环节风险评价为起点，以评价内部控制和对内部控制合规性审核为主要手段，在风险识别、风险衡量和风险防范中发挥了积极、重要的作用。

二、金融风险的定义以及表现

（一）金融风险的定义

金融风险有广义和狭义之分。广义的金融风险是指金融交易的各种可能值偏离其期望值和幅度。从广义的金融风险可以知道，可能值可能低于也可能高于期望值，因此风险绝不是亏损的同义词。风险既包含对市场主体不利的一面，也包含对主体有利的一面，也就是说，风险大的金融资产，其最终实际收益率并不一定比风险小的金融资产低，常常是风险大的收益也大。狭义的金融风险是指金融机构在金融动作的过程中可能遇到的障碍和遭受经济损失的可能性。狭义的金融风险仅仅表述了金融机构所遭受的损失。

（二）金融风险的类型和表现

在我国，金融风险主要分为：（1）信贷风险。当前部分企业趁兼并、分立等改革之机，采取各种方式逃债、废债，导致金融业特别是国有商业银行的资产信贷质量持续下降，成为当前最为突出、最为严重的风险；（2）信用风险。该风险是指借款人不能依约偿还借款本息的风险。目前银行信贷资产沉淀多、收益率低、保全难度大。主要表现是不良贷款比重高、收息率低、抵押担保难以落实，潜伏着巨大的风险；（3）流动性风险是指银行没有足够的现款清偿债务和保证客户提取存款，使银行信誉遭受损失而形成的风险。目前国有商业银行的流动性风险虽未显现，但潜在的支付困难因素日益增多；（4）经营风险。是指由于银行自身经营管理方面存在的问题而形成的风险；（5）汇率风险。由于宏观经济政策环境的变化、市场波动、汇率变动、金融机构自身经营管理不善等诸多原因，金融机构在经营过程中存在着在资金、财产和信誉方面遭受损失的可能性；（6）市场风险。是由于市场价格的变动，银行的表内和表外头寸会面临遭受损失的风险。近两年，金融业并购重组活动的逐渐增多以及金融业分业经营的模式在实践中逐步被突破，跨市场、跨行业金融风险正成为我国金融业面临的新的不稳定因素；（7）法律风险包括因不完善、不正确的法律意见、文件而造成资产价值下降或负债加大的风险；（8）金融国际化风险。

三、内部审计在金融业风险管理中的作用

内部审计与企业风险管理有着紧密的联系，内部审计是风险信息沟通和监控检查的重要措施，与风险管理密不可分。在现代金融业经营管理中，随着内外部环境的变化，各种风险因素增多，内部审计工作在改进风险管理和完善企业治理机构等方面将发挥更加积极作用，同时，内部审计也被赋予了更多的职责和使命。

1.内部审计在金融业风险管理中的识别和检查作用

内部审计人员可以通过分析环境和风险的变化，检查内部控制系统是否已经更新，是否能控制新的风险；还可以通过后续跟踪管理层对审计中发现的问题以及对例外事项的整改情况，检查新采取的控制措施是否奏效，将分析结果和建议提交给管理层以便评估和改进控制措施。内部审计人员可以运用自己在风险管理方面的专业知识和经验，从独立、客观的角度发现问题为管理层和审计委员会提供有价值的信息，从而提高公司整体的风险管理水平。

2.内部审计在金融业风险管理中的管理与协调作用

在金融业的组织架构中，内部审计机构一般都处在金融业的董事会、总经理和各职能部门之间的位置，正是由于这种特殊的位置使得内部审计人员能够充当金融业长期风险策略和各种战略决策的协调人。内部审计可以客观地从企业全局的角度进行分析和管理风险；可以从金融业的利益和实际情况出发，清醒地识别和评价风险，提出防范风险的有效建议，调控、指导企业的风险管理策略。内部审计人员通过评价报告系统证明风险信息被准确、及时地传递给相关人员，内部审计报告可以向董事会和审计委员会传递风险是否得到有效管理的信息，而内部审计职能的设立对债权人和其他外部利益相关者来说也是公司具备有效的风险管理的一个证明。在监控活动中，公司要对风险管理进行持续监控，通过对内部控制系统运行的监控和定期检查结果以及意外事项处理结果的评价，确认公司对风险的管理是一直有效的还是控制系统存在一定的问题。内部审计人员从公司整体利益的角度出发积极参与公司的风险管理，有效地与相关部门进行沟通协调，这些工作得到了公司领导层的高度赞赏，内部审计在全公司的地位也得到了大大提高。

3.内部审计在金融业风险管理中的顾问与咨询作用

由于内部审计人员对本组织的情况了解的比较全面，也比较深入，对提供咨询服务工作有着独特的优势。内部审计可以通过评估并运用风险管理的方法，帮助组织解决风险问题；通过咨询工作积极协助金融业风险管理过程的建立。在改善管理层的风险管理流程的效果和效率方面，内部审计可以协助管理层和审计委员会进行检查、评价、报告和提出建议。内部审计机构独立于管理部门，其风险评估的意见可以直接报给董事会，这会加强管理当局对内部审计机构意见的重视程度。内部审计人员由于特有的独立地位，可以从客观的角度分析风险的假设条件、通过科学的计算方法来评价风险，提供专业意见。内部审计的顾问与咨询作用的及时发挥往往能帮助企业化解极大的经营风险。

4.内部审计在金融业风险管理中的报告与防范作用

审计发现如何传递，审计成果如何利用，舞弊风险如何防范，这都将直接关系到内部审计在风险管理监督体系中的价值和作用。内部审计在风险控制和改进组织机构的效果方面要发挥其领导作用。首先，内部审计要与相关部门进行沟通，对重大的审计发现要按清晰传递的线路进行报告，对监督检查结果的落实情况要进行跟踪并报告，使风险及时得到控制和防范；其次，内部审计可以通过评估相关控制的充分性和有效性来协助防止舞弊，可以利用其自身的优势在倡导良好的道德文明建设方面发挥更大的作用。公司要根据不同的风险决定需要采取的策略和方法，决定是避免风险、接受风险还是降低风险。对于有相对的风险回报的风险，公司可以考虑接受，但要采取控制措施，才能将风险降到公司可以接受的水平，获得期望的回报。

参考文献：

[1]罗伯特.莫勒尔，布林克. 现代内部审计学[M].中国时代径济出版社，2006年，p60-110.

[2]亨利，范，格罗等（美）.银行风险管理与分析[M].中国人民大学出版社，2006年，p 20-120.

[3]王周伟，邹展宜.银行内部审计与操作风险管理[J].新全触，2005年8月.

[4]孔合. 我国金融风险的成因及对策研究[J]. 开放导报，2006年2月.

篇7

[论文关键词]内部审计内部控制风险管理

[论文摘要]内部审计形成于20世纪20至30年代，其产生的真正动因是企业管理的需要。随着社会的发展，企业管理内外部环境处于不断的变化之中，内部审计其职能也随之从最初的监督延伸至咨询领域，它对公司治理中内部控制和风险管理起到再监督与再管理的作用。

内部审计形成于20世纪20至30年代，其产生的真正动因是企业管理的需要。随着社会的发展，企业管理内外部环境处于不断的变化之中。在当前公司价值最大化的目标下，内部审计扮演怎样的角色，其在公司治理中的功能如何，本文愿做一尝试性探讨。

一、内部审计的涵义及职能拓展

（一）内部审计的涵义

2001年内部审计师协会（IIA）对内部审计的定义为“内部审计是一种独立、客观的保证工作与咨询活动，目的是为机构增加价值并提高机构的运作效率。它采取系统化、规范化的方法对风险管理、控制及治理程序进行评估和改善，从而帮助机构实现它的目标。”对于这个定义，我们可以从几个方面来理解：首先，我们不难发现内部审计最终的目标是帮助企业实现其目标，而企业的目标就是增加价值，结合两者，内部审计的最终目标就是为增加企业的价值而服务；其次，它所采用的手段主要是保证和咨询，这里的保证服务是一种为了机构的风险管理、控制或治理过程进行独立评价而客观地审查证据的行为，而咨询则是提供建议以及相关的客户服务活动；再次，内部审计应以风险管理、内部控制系统、企业治理结构为工作范围，用系统化、规范化的方法来评价和改进它们；最后，内部审计人员应该以独立、客观的工作态度完成其职责，其中独立性要求内部审计在确定活动范围、实施审计及报告审计时不应受到任何因素的干扰，客观性要求内部审计师在执行审计工作时，对他们的工作结果秉持诚信的原则，不与任何方面达成重大质量妥协。

中国内部审计协会在参考了IIA定义后，结合我国的现实情况，于2003年在公布的《内部审计基本准则》中，将内部审计定义为“内部审计师在组织内部的一种独立客观的监督和评价活动，它通过审查和评价经营活动及内部控制的真实性、合法性和有效性来促进组织目标的实现。”这个定义明确了内部审计是由组织内设的机构所实施的一种独立、客观的活动，其目的是通过对组织的经营活动及内部控制的真实性、合法性和有效性进行审查和评价，使组织经营活动及内部控制中存在的问题得到认识和解决，从而促进组织目标的实现。中国内部审计协会的定义在结合我国实际情况基础上提出，尤其进步意义，但是与IIA的发展相比，还是有局限性。尤其是面对全球化的影响，将内部审计主体封闭在一个组织内将难以满足企业决策的信息需求。因此，笔者将按照IIA所提出的理念进行后续论述。

（二）内部审计的职能

在内部审计产生和发展早期，以查错防弊为主的监督职能是其主要职能，但随着社会经济的发展和进步，以及内部审计所承担的角色的增加，笔者认为，企业内部审计包括四个递进的职能：监督、评价、控制和咨询。

1．监督职能。内部审计首先是单位内部的一种经济监督活动，那么监督职能也应是内部审计最基本的一项职能。监督职能是指对被审计对象的财务状况等经济活动进行检查和评价，确定其会计资料是否正确、真实，反映的财务收支和经济活动是否合法、合规，有无违法违纪和浪费行为，从而督促被审计对象遵守财经纪律，改进经营管理水平，提高经济效益。

2．评价职能。评价职能是由经济监督职能派生出来的另一种职能，包括评定和建议两部分，也是内部审计的一项基本职能。通过内部审计可以全面了解部门、单位的真实的经营管理状况，并以此来来评价经营决策、计划、方案的合理性和可行性，评价其规章制度设置是否健全完善，是否正常运行，评价其经营管理水平及效益的优劣。

3．控制职能。现代企业已越来越多元化，层级化，跨国公司业务遍布全球，企业经营管理中的风险随之而增加，企业的高层管理人员不可能事无巨细地对每一项业务进行监督，必须委托一个独立于被审计部门的单位进行控制，以保证企业目标的实现。内部审计因其受企业高层的直接领导，对公司的决策层负责，能够站在企业发展的全局来分析和考虑问题，对企业经营活动的控制活动可以提供直接的技术支持，并检查控制程度和效果，提出控制中存在的不足和问题。

4．咨询职能。随着现代企业制度的建立，企业ERP系统及会计电算化的普及，账面资料的错误会越来越少，内部审计的工作重点必须从传统的“查错防弊”转为内部的管理、决策服务，内部审计的职能作用也已从监督评价向咨询方面延伸。另外，现代企业所面临的环境复杂且多变，经营风险增加，市场竞争激烈，这些导致包括各管理者层尤其是高级管理层迫切地需要有人以“顾问”的身份，对其制定的目标、决策、计划以及在经营过程中出现的错误和薄弱环节提出改进建议。内部审计人员熟悉企业整体情况，且独立于公司的其他部门，使内部审计人员较其他部门更易于提出较全面、客观、可行的建议。因此，内部审计人员承担了专业的咨询服务。咨询职能更能适应内部审计在现代公司治理中的发展，促进内部审计价值增值。

二、内部审计在公司治理中的作用

（一）内部审计与内部控制

关于内部审计与内部控制的关系，审计学家钱伯斯认为，内部审计所拥有的一套管理理论需要以内部控制概念为中心。1977年美国的《国外反贪污行贿法》确立了内部审计在内部控制方面的法定职责。内部控制已成为现代内部审计的主要产物。审计学家布林克在回首IIA50年时指出，内部审计最应该关注的是“内部控制”。

根据《萨班斯-奥克斯利法案》框架中“监督”要素的要求，企业的监督可以分为持续性监督活动和内部审计定期的、相对独立的评估两部分。那么，可以将整个内部控制体系划分为三个相对独立的控制层次：第一个层次是经济业务发生部门严格按照企业内部设计的要求，相互牵制开展业务活动，建立起第一道监控防线；第二个层次，经济业务最终的流向都必将反映到财务报表中去，因此财务部门就要在事后建立起第二道监控防线；第三个层次，内部审计部门要建立起以查为主的监督防线，独立地按照法人要求，有选择地对内控的各方面行使检查功能，发现管理流程中的不足和风险，提出改进措施，并能够将这些评价结果反映到高层，高层同时也要赋权给内审部门督促改进措施的落实，促进内部控制体系建设趋于完善。对于风险较高的组织如金融机构来说，第三道防线更是必不可少。从监督职能来说，尽管内审监督检查的频率要比其他部门的自我监督检查和财会部门的管理监督要低得多，但是内部审计部门的独立性和在组织内应有的权威性，再加上直接由最高层领导，赋予该部门对内控具有再监督和再评价的特殊而又重要的职能。内部审计是企业内部控制的有效监督者，为了强化内部审计监察部门的监督职能，许多西方金融机构都成立了独立于经营管理之外的内审稽核部门。

当然，从组织结构上看，内审检查部门并非独立于内部控制整体框架之外的，它也属于控制的一部分，本身也需要对自身的各种内外部风险进行管理，和经营管理部门一样，也要采取自我控制措施，须注意自我检查和批评。

（二）内部审计与风险管理

关于风险管理，比较有代表性的说法是威廉与汉斯在1964年出版的《风险管理与保险》中所提出的，他们认为风险管理是通过对风险的识别、衡量和控制，以最低的成本使风险导致的各种损失减到最小程度的管理方法。从这个定义中我们可以得出，实现风险管理目标的主要手段是控制。

在充满不确定性的市场环境下，企业要实现目标，其管理者应该确保其拥有健全的风险管理过程，且这些过程发挥了应有的效用。高层决策者和审计部门应该在确定企业是否拥有健全的风险管理过程及这些程序是否有效运作等方面起监督作用，在此，内部审计人员作为高层机构下设的独立机构责无旁贷地承担起这一工作。正如本文开篇介绍的IIA对内部审计的定义中指出：内部审计需提高风险管理、控制与监管工作的有效性，使企业达到预定的目标。《IIA实物标准》（2001）实务公告2100-3中描述到：内部审计部门应该评价并帮助改进机构的风险管理、控制和治理体系。我国著名内部审计专家王光远认为：“内部审计人员是风险管理潜在的重要利益相关人和参与者。”“风险管理是内部控制的延伸，内部审计是风险管理的确认者，是对风险管理的再管理。”国内外许多审计实践表明，对风险管理审计的报告更容易被管理当局所接受，管理部门也容易理解内部审计存在的意义，风险管理可以帮助内部审计度过正在影响企业的价值危机。

那么，内部审计在风险管理中的作用有几何呢？

1．站在全局的角度上审视风险。企业是一个由各个单位有机结合起来的整体，每一个部门之间要么直接相关，要么间接相关，只要有一个单位发生风险就会或多或少传递至其他部门，并经常危及企业整体。而各部门都站在本部门的立场上处理风险，难免会一叶障目，考虑不周，内部审计则与之不同，它独立于企业经营管理部门，使得它可以从全局出发、客观地管理风险。

篇8

关键词： 路基风险评价主因素决定型杭长客专

中图分类号：X820.4文献标识码： A

随着社会和铁路建设的发展，铁路建设的工程风险越来越引起人们的重视。铁路工程风险包括工程质量风险、经济损失风险、环境破坏风险、生命财产损失风险、工期延误风险等，且各风险之间相互交叉，关系错综复杂。为了进一步加强铁路建设工程风险管理，推进风险标准化管理，有效规避和控制风险，确保铁路工程建设安全，铁路工程项目从立项到建成后运行的整个生命周期中，都必须重视风险管理。作为铁路建设重要组成部分的铁路路基工程，与隧道工程相比，设计和施工风险相对较低，但由于其工程的特殊性，施工和运营中发生的问题仍然较多，路基工程的安全风险依然突出。本文通过对铁路路基工程的风险定义，风险因素和风险事件的识别，风险等级的评价和风险措施的初步研究，探索铁路路基工程风险评价的方法，促进路基工程风险评价的发展。

1风险的概念

对于风险（risk），联合国人道主义事务部定义为在一定区域和给定的时段内，由于特定的自然灾害而引起的人民生命财产和经济活动的期望损失值[1]。采用“风险度（R）＝危险度（H）×易损度（V）”的表达式。《铁路隧道风险评估与管理暂行规定》（以下简称“暂规”）中定义为：“在铁路隧道工程设计和施工期间发生人员伤亡、环境破坏、财产损失、工程经济损失、工期延误等潜在的不利事件的概率（P）和后果（C）的集合，表达式为R＝f（P，C）。上述两种关于“风险”的定义，其本质相同，但所涵盖的内容又有所区别，“暂规”的定义更符合铁路工程的特点，更具体明确。因此，借鉴“暂规”将路基风险定义为：在铁路路基工程设计和施工期间发生人员伤亡、环境破坏、财产损失、工程经济损失、工期延误等事件的概率和后果的集合。

2风险的识别

铁路路基设计阶段导致风险事件发生的风险因素（或因子）种类繁多，但归纳起来总体可以分成如下两大类：建设条件和设计方案。其中建设条件主要包括不良地质和特殊土，以及与既有建筑物的相邻与交叉等；设计方案主要包括特殊形式路基，挡护和地基加固与处理，新技术、新工艺和新材料和施工条件等。具体各风险因素及其可能导致的路基工程风险事件见表2.1所示。

表2. 1铁路路基工程设计风险构成一览表

3风险评价

3.1风险评价的几个假定

铁路路基工程风险构成十分复杂，为了便于风险评价，在 确保确保风险评价结果可信度的前提下，对评价过程进行几个假定。①假定路基风险评价模型为主因素决定型，即风险高低主要取决于在评价中起主要作用的那个因素，如深路堑路基，边坡高度为其风险主要决定因素，风险指标（C）的取值主要根据边坡高度指标进行取值。②假定表2.1中风险因素A、B、C三个指标层内各风险因子对风险事件的贡献是相互独立且地位相等的，不考虑指标对风险事件贡献的权重大小。③取同一风险因素造成期望损失最大的风险事件参与评价。

3.2风险因素的指标取值

C指标层危险度H的取值由风险评定人员根据工程经验和基础资料进行分值评定。参照“暂规”，假定风险事件的发生是在仅有风险因子Ci-j贡献时发生的，风险因子Ci-j对风险事件的贡献越大，风险事件发生的可能性越大，则H（Ci-j）的分值亦越大，即危险度越高。基于这一评分原则，对铁路路基风险因素各风险因子Ci进行评分，分值大小及评分依据见表3.1。

表3.1 风险因素Ci-j取值

3.3风险事件的期望损失

参照“暂规”，铁路路基工程风险事件发生后的期望损失主要表征为经济损失、人员伤亡、工期延误、环境影响等。多种损失同时产生时，采用就高原则确定风险损失等级。风险事件期望损失等级及评分见表3.3。分值越高，表征该风险事件发生后易损度越高。

表3.3 风险事件期望损失等级及评分一览表

险评价的方法

铁路路基工程风险评价以路基工点为评价单元，在勘察设计资料齐备的情况下进行。首先根据表2.1对待评路基工点进行主要风险因素和风险事件的识别并列表，然后结合工点特征，对识别出的风险因素指标层进行赋分值，同时对风险事件的期望损失进行定级赋分值。利用下述数理模型进行风险评价。

R＝Max（Hci*Vci），式4-1

式中：R――风险事件的风险度

Hci-j——风险事件发生的危险度

Vci-j――风险事件发生后的易损度

铁路路基工程安全风险等级由风险度R来表征，当1≦R≦2时，风险等级为I 级（低度风险）；当3≦R﹤5时，风险等级为II 级（中度风险）；当5≦R≦12时，风险等级为III 级（高度风险）；当R≧15时，风险等级为IV 级（极高度风险）。各级风险等级对应的风险措施见表4.1

表4.1 风险处理措施

5题例

杭长客运专线上饶站DIK340+200 ～GDK343+225，与既有浙赣线上饶站并站，分别设置杭长高速场和浙赣普速场，两场并行，合福铁路垂直通过，上跨设置高架高速场，杭长场与合福场通过联络线相联。其中既有场3道需废弃，改建为高速场G6股道，3道为紧邻既有站内正线。上饶站部分地段填高超过12m，为高填方路基，但其下压缩层不厚，采用挖除换填措施处理。上饶站因修建既有线关系，全段表层多为人工弃土，含大量块石，层厚约为0～11.5m，部分既有路基亦为弃土填筑。地基处理措施根据弃土厚度、轨道类型等，分别采用桩板结构、换填、CFG桩等处理措施。

5.1风险识别

设计方案风险因素

5.2风险评价

由表5.1可见，同一风险因素可能导致几种风险事件的发生，采用就高原则确定风险损失等级，即期望损失最大的风险事件为参评事件。例如联络线施工，废弃3道既有股道，增建高速G6股道（C3-3）风险因素可能导致的风险事件有导致既有线下沉，侵限既有线路基，导致既有线路基坍塌，影响既有线行车安全，发生重大安全事故。分析发现，威胁既有线安全，发生重大安全事故作为风险事件来说是灾难性的，直接的，后果更加严重，故建议把该事件作为C3-3风险因素导致的风险事件进行参评，不考虑另外两个可能风险事件。采用同一处理原则对表5.1进行风险事件就高处理和各因子赋分。

表5.2上饶站路基风险评价一览表

根据表4.1，上饶站路基风险等级为IV级，属极高风险，不可接受，必须高度重视。在施工中，应注意相关机具、人员对既有线的干扰，作好隔离和防护措施，相关施工影响既有行车安全时，施工方案应得到设备管理单位的批准。既有线施工中应加强对既有线的变形监测和作好应急预案，发现有变形迹象时应立即停止施工，按照相关预案进行处理。

6、结语

铁路路基工程建设条件多样，设计和施工措施繁杂，挡护和地基处理设计施工要求高，路基接口工程复杂多变，新材料、新工艺层出不穷等，为路基工程的风险评价工作带来挑战。主因素决定型风险评价模型对于发现路基工点潜在风险是可行的，属定性和半定量相结合评价模型，带有一定的人为主观性，风险评价结果的准确性和工程人员的个人从业经验和工点资料收集的完备程度关系很大。下一步研究的重点就是要细化各风险因子的赋分标准，尽量做到定量，减少人为主观性的影响。

参考文献

[1]卢全中，彭建兵，赵法锁，地质灾害风险评估（价）研究综述[J].灾害学.2003

[2]铁路隧道风险评估与管理暂行规定.铁建设〔2007〕200号

[3] 铁路建设工程安全风险管理暂行办法.（铁建设〔2010〕162号）

[4] 铁四院业务建设计划课题（ 2011YJ029）. 路基工程风险评估细则

[5] 李水平，胡卸文.西气东输管道沿线环境地质灾害风险性评价研究[D].2008.4

篇9

Abstract: According to the scholars' study, this paper constructs the evaluation model based on rough set theory and grey theory to assess supply chain risk level, and verifies the feasibility by the quantitative analysis, which enterprise has strong significance to the management decision making in Enterprise.

关键词：供应链风险管理；风险评估；粗糙集；灰色系统理论

Key words: supply chain risk manegement；risk assessment；rough set；grey theory

中图分类号：C93 文献标识码：A 文章编号：1006-4311（2011）28-0020-02

0 引言

典型的供应链风险管理包括风险识别、风险评估、风险决策和管理、风险监控四个基本阶段。供应链风险评估是指利用一定的方法措施对供应链风险水平进行评价估算。目前，已有一些学者对此进行了一定的研究。哈里克斯（Hallikas）从风险事件的概率和结果的角度,半定量化地研究了供应链风险评估问题。丁伟东等提出了基于模糊评价方法的供应链可靠性评估矩阵。张彦如等在一定偏好基础上，利用模糊理论和风险评估方法建立了不确定性风险评估模型。蒋有凌、杨家其等针对各风险因素对供应链风险的影响程度和各风险因素相对于供应链风险的权重，运用人工神经元网络与专家系统相结合的方法建立了基于模糊综合评判与人工神经网络法的综合评估模型。本文在以往学者的研究基础上，提出了一种基于粗糙集和灰色系统理论的各医疗风险评估方法。首先运用粗糙集理论确定风险指标的权重，再运用灰色系统理论建立模糊矩阵，评估供应链风险水平。

1 粗糙集理论基础

粗糙集（Rough Set）理论由波兰数学家Z．Pawlak在1982年提出。该理论定义了模糊性和不确定性的概念，是一种处理模糊、不确定性问题的新型数学工具。下面给出粗糙集理论中的有关定义。

1.1 信息系统 令I=（U，R，f，V）为一个信息系统，其中U为论域（非空有限集），R为属性集（非空有限集），V为评价值集。对于任意的A?哿R，有等价关系类ind（A）：ind（A）={（x，y）∈U×U│?坌a∈A，f（x，a）=f（y，a）}。称ind（A）为不可分辨关系。U对A的划分表示与等价关系A相关的信息，记为U/ind（A）。

1.2 上下近似集 对于不可分辨关系ind（A），当X?哿U，集合X的上下近似集可以定义为：A（X）=∪{Y∈U/ind（A）│Y?哿X}；A（X）=∪{Y∈U/ind（A）│Y∩X≠?I}。其中，集合posA=A（X）表示集合X的正域。

参考文献：

[1]周艳菊,邱莞华,王宗润.供应链风险管理研究进展的综述与分析[J].系统工程，2006.3,24(3).

[2]丁伟东,刘凯,贺国先.供应链风险研究[J].中国安全科学学报,2003,13 (4)：64-66.

[3]张彦如, 陈敬贤,郑泉，陈黎卿.基于偏好的供应链不确定型风险模糊评估方法研究[J].运筹与管理,2008.2,17(1).

[4]蒋有凌,杨家其,尹靓,杨俊.基于ANN的供应链风险综合评估模型与应用[J].武汉理工大学学报，2008.2,32(1).

篇10

从中国企业构建全面风险管理体系基础条件来看，中国企业尤其是在境外上市的企业近几年以来一直致力于企业内部控制建设，已经建立了一套比较完善的内控体系，编制了内部控制手册和自我评估手册，初步搭建了以风险管理为核心的内部控制基础平台。这是中国企业建立健全全面风险管理体系的基础条件。当然，多数企业的内控系统通过对流程的控制主要对运营风险、财务风险等风险建立了比较完善的控制体系，但是还不能覆盖企业面临的所有风险，如战略类、市场类风险，不能对其进行有效的管理和控制。

所谓基于内控的全面风险管理体系，简单地说，就是在内部控制建设的基础上，构建全面风险管理体系，是适合已经建立内部控制体系的企业进行全面风险管理建设的一条创新路径。这既符合国际上内部控制逐步向全面风险管理发展的潮流，也是中国企业构建全面风险管理体系的现实选择。

3C框架和流程

中天恒管理咨询公司经过多年的探索和实践，专为中国企业打造的3C全面风险管理基本框架（下文简称“3C框架”）如图1。

3C框架从总体结构上是按照目标体系、风险整合、管理融合来安排的，形成了由目标体系、风险整合、管理融合组成的有机体系，贯彻严密的目标――风险――管理的逻辑关系。

企业目标是一个相互联系、相互依存的目标体系。全面风险管理作为企业管理的一项核心内容，可以把目标确定作为全面风险管理的前提条件进行关注，并将其贯穿于全面风险管理工作的始终。

风险是对企业目标实现产生影响事项发生的不确定性，包括了危险和机会，是一个全面的概念。风险偏好、风险意识、风险理念、风险文化是企业全面风险管理的软要素，是企业实施全面风险管理必须明确的基本概念。把企业主要风险整合起来，是全面风险管理的一个基本标准。

全面风险管理是为合理保证企业目标实现，对企业风险进行全面管理的动态过程，是对企业风险进行整合管理的过程，是艺术和科学的结合。全面风险管理目标、意义、主体、内容、流程、方法是企业全面风险管理的重要内容，是必须明确的；全面风险管理政策、战略、策略、决策是企业全面风险管理的基础，影响整个全面风险管理工作；全面风险管理信息、沟通、学习应贯穿于全面风险管理工作的始终。这些都应该从总体上予以明确。

全面风险管理融合，是企业风险管理自身内部的融合，是企业风险管理与企业业务的融合，是企业风险管理与企业管理的融合。全面风险管理与企业管理需要融合的内容很多，其中最重要的就是要做到内部控制与风险管理的融合。

3C框架与COSO的不同

3C框架没有直接引入管理要素概念，从总体看包括目标、风险、管理三个方面；从流程看包括管理准备、管理实施、管理报告和监督改进四个方面。

3C框架把COSO全面风险管理框架“事件识别”定义为“风险识别”；把COSO全面风险管理框架“风险评估”细化为“风险分析”、“风险计价”、“风险评价”；把COSO全面风险管理框架“控制活动”重新定义为“风险控制”；把COSO全面风险管理框架“监控”改为“监督改进”，并细化为“风险监督”、“风险审计”、“管理改进”等。

3C框架将风险辨识、风险确认、事件识别统一为风险识别，并定义为确认风险的过程；将风险计量、风险衡量、风险量度、风险测量、风险估计、风险估价统一为风险计价，并定义为风险的量化过程；将风险策略、风险应对、风险工具统一为风险应对，并定义为选择应对风险策略的过程；将控制活动、控制政策、控制程序、控制措施、应对措施统一为风险控制，并定义为应对风险的各种措施；将监督检查、监督评价、持续监督、监控、监控系统、内部监督统一为风险监督，并定义为监督检查风险的过程等等。

篇11

关键词：银行；评级模型；多准则决策支持；灵敏度分析

1、引言

银行在金融和商业环境中的作用日益突显。银行所面临风险的增加，使得新巴塞尔协议框架不断修订并改进，而这一框架，被定义为银行类金融机构致力于风险管理的核心原则。其中有关银行监管的过程，即监管当局负责对各银行的风险进行管理并对化解状况、不同风险间相互关系的处理情况、所处市场的性质、收益的有效性和可靠性等因素进行监督检查，以评估银行的稳健性。Sahajwala和Van den Bergh[1]强调的是考虑了银行的财务表现及其内在风险状况和风险管理能力的结构化与量化评估，这种评估的支持监测机构能尽早发现银行环境的变化。

由于缺乏足够的有关银行违约的历史数据，银行评级系统通常基于实证评估。Sahajwala和Van den Bergh[1]提供了几个目前正在实践中使用的系统综述，包括使用最广泛的骆驼（CAMELS）框架，其中涉及的六个主要因素：资本，资产，管理，盈利，流动性和市场风险的敏感性。其他的多准则技术也已用于银行绩效评价。Kosmidou和Zopounidis[2]采用PROMETHEE方法，Raveh[3]采用了联合情景法， 而Ho[4]采用了灰色关联分析， Garcia et al[5]使用了目标规划。Fethi和Pasiouras[6]则提供了一个侧重于数据包络分析和来源于运筹学和人工智能领域中最新银行业的效率分析和绩效评估，此系统被广泛地用于银行业务活动当中，包括贷款评估和信贷发放、财务计划、业务流程再造及资产/负债管理。

本文提出了一个目前在希腊银行使用的基于PROMETHEE II的多准则银行评级方法，并将此方法用在综合决策支持系统里进行案例研究，所选择的银行评估标准与来自希腊银行的专家分析相一致。所选的标准符合骆驼（CAMELS）框架，包括定性、定量的手段，特别强调了有关评价标准、评价过程参数、输入数据相对重要性结果的灵敏性，并用灵敏度分析技术和蒙特卡罗仿真来达到上述目的。

本文安排如下：第1节描述问题的背景和多准则方法的细节。第2节说明了多准则决策支持系统的实施。最后，第3节总结全文，并对了未来的研究方向进行了展望。

2、问题背景和多准则方法

银行评级模型的主要输出是把银行的分类变成有序风险等级（组）。风险等级通常设置为5个等级，等级1表示低风险/高业绩的银行；等级5表明高风险/低业绩银行。整体的业绩又分解成不同的分数（即每一个评价标准）。

根据目前在希腊银行使用的骆驼（CAMELS）模型，这个基于PROMETHEE II 的多准则方法不仅可以使所需要的风险等级变得可行，而且可形成银行整体的性能指标。流程图如图1。

图1 方法模型

PROMETHEE方法被广泛应用于对一系列两两比较的替代方案进行排名，同时也被用来比较一个预先设定参考点的绝对评价。下面小节将详细描述PROMETHEE方法在文中的应用。第3节将给出详细的评价标准和如何将方法应用于决策支持系统。

2.1相对评价

在文中提及的PROMETHEE的银行评价方法是基于两两比较的。对于每对银行（i，j），以及整体业绩指标，其是描述在n个评价准则中银行i的向量。全局偏好指数被定义为局部偏好指数的加权总和，即：

5.5（最差业绩）。最终的评价模型表达如下：

这种模式可用于银行的相关业绩排名。除银行的评级，相关排名也要求作为评级/评价过程中的一个重要组成部分，鉴于以这种方式定义整体得分，评级指所定义的时间间隔，[0.5，1.5]的风险等级为1，（1.5，2.5]的风险等级为2，（2.5，3.5]风险等级为3，（3.5，4.5]风险等级为4，（4.5，5.5]风险等级为5。

2.2绝对评价

如上所述的基于PROMETHEE II方法的评估提供了一个银行的相对评价，这有助于识别一家银行与其竞争对手相比的优势和弱点。然而，银行的评级模型也应该提供一个不依赖于一系列正在被评估银行的绝对评价。

绝对评价也使用PROMETHEE方法的框架，但在这种情况下的结果，仅以银行预先指定的参考点为基础。在希腊银行分析师的实践当中，有两个选项被定义为参考点的规范。第一个选项是从乐观的角度，是银行在比较理想点（理想银行）的情况下。这种评价提供了评估银行的能力，并能被更好地执行。第二个选项使用非理想点，并提供了一个相对在“最坏的情况”下的银行评估。有希腊银行分析师定义的非理想点和理想点，包含每个准则的最坏和最好业绩值，即银行在相对于理想点的情况下，局部评价函数做如下调整：

另一方面，在非理想情况下，局部评价函数如下：

2.3灵敏度分析

当然，上面定义的多准则评价引入一些不确定性和主观性，主要是PROMETHEE方法的参数，其中包括准则权重和部分偏好函数中的参数σ和P。

此外，由于银行在动态环境中运作，识别输入数据的变化也很重要，故可能导致的评级结果变化而引入的灵敏度分析既适合一系列完整的银行，又适合单独的每一个银行。

第一阶段，分析灵敏度程序解决这些问题。对于准则权重，分析的目的是定义评级不变银行，每个准则k权重值的范围。这可以很容易地通过加强的条件，即每家银行i全局得分V（xi）保持其预先指定的权重评分范围内。应该指出的是，这是“单因素”敏感性分析的类型（即，每个标准被认为是独立于其他的）。在与希腊银行的分析师合作中，被认为提供了足够的信息，并且很容易被理解。沃尔特斯和Mareschal[14]已经提出了考虑准则全局变化的敏感性分析的例子。

一个类似的过程也采用标准的偏好函数参数。然而，基于PROMETHEE方法的两两相关评价方案里，部分偏好函数一般对应参数σ和P非单调，非凸函数，这种情况下是不可能定义为评级不变银行特定参数范围。因此，可以明确定义为绝对评价过程的边界。

假设银行i的等级为

2.4 蒙特卡罗仿真

如上节所述，分析的流程提供了评级结果敏感性分析的局部信息。而通过蒙特卡罗仿真将会获得进一步的信息。通过该方法，仿真分析了在准则权重变化下评级结果的敏感性，并在这一过程当中，可以很容易地进一步考虑偏好函数的参数。

仿真涉及到在多个情境下准则权重的生成。一是，由随机单元简单生成。二是，决策者依重要性进行排序，然后按照准则的顺序生成随机权重。

在仿真结果当中，通过全局表现评估均值和中位数，并对其标准差和置信区间进行分析。从而对于每一个银行，可以得出不同加权情况下评级分布的有用结论。

3. 决策支持系统的实施

综合决策支持系统（DSS）使多个用户在一个共享数据库下工作。银行高级分析师负责评估过程中主要参数的设定，即准则权重、相应偏好函数类型等主要参数，以及通过添加或删除标准来修改评价标准集合。而较低级别的分析家们可以充分接触多准则评估过程中的所有功能，但不允许他们使评价参数发生永久性改变。除数据库管理和多准则工具的使用，DSS还提供包括一个用户界面友好，方便图形和表格格式编制的几种预备报告功能。

以下小节将说明DSS提供的功能和基于多准则方法的实施方式。需要指出的是，出于保密原因，在此图中的所有结果都只是指示性的，它们与任何银行实际数据没有关联。

3.1评价数据、准则、偏好参数

考虑系统中涉及希腊银行历史信息的一些数据。该系统可以使用不同的数据库，这取决于分析银行的类型。最初，系统中引入了31个评价准则集合[1]。一个评价标准的范例清单（见表1），这些准则是在与负责监测和评估银行业绩的专家分析师密切合作下选定的。按照骆驼（CAMELS）框架， 该标准被组织成6类（资金，资产，管理，盈利，流动性，对市场风险的敏感性）。总体而言，17个定量标准和14定性标准已初步选定。由希腊银行分析师定义的所有定性标准设定为 [0.5，5.5] 区间范围，较低值表示较好的业绩。

每类准则的权重和每一准则水平都已由希腊银行分析师确定。该系统还包括一些额外的模块，这些模块是支持规范的准则权重分析，即采用rank-order centroid （ROC） 和 rank-rum （RS）方法。图2说明了准则权重系统的截图。近似的ROC和RS根据分析师所指定的准则排名顺序计算。如图2，RS的估计值非常接近于用户自定义每个标准组的相对重要度。同样也观察到了每一准则水平。总体而言，定量的准则分配了70%的权重，其余30%属于定性准则，这是一个基于“硬性数据”，给予重要度高于涉及主观评价的定性准则重要度的政策规范。

所有量化标准的评估都采用了PROMETHEE方法的高斯偏好函数，而定性标准采用线性偏好函数。图3描述了资本充足率的局部偏好函数。这个函数值随准则值而降低，从而表明，较高的资本充足率值与更高的业绩和更低的风险相关。图的右侧部分，用户-分析师可以指定最少和最喜欢值（理想，非理想）函数的类型以及相关参数。图左侧是对用户所做改变的自动更新。

3.2多准则评价

第2节中，系统提供了多种选择，涉及：（1）银行、评价标准、分析的时间周期（2）评价类型（绝/相对）（3）准则权重的规范（4）情景分析，蒙特卡罗仿真情景分析使用（如图4）

通过该系统可知基于PROMETHEE II方法的整体评价结果。为每一年每家银行报告总体评价得分、相互敏感性分析。用户可修改权重或偏好函数参数以自动更新准则和评价结果，从而说明在“实时”状态下，银行业绩和评级变化的影响。

灵敏度分析结果，与有关的标准和相应的偏好函数参数的权重也可在单独的表内，如图5。

每一标准的银行评级不会改变，且其权重范围（上限和下限）可以显示。“稳定指数”，在表的最后一列所示，表示每个准则权重变化的最小百分比（不同的颜色来区分减少和增加）。

3.3情景分析

在情景分析下，通过蒙特卡罗仿真可以获得针对准则权重灵敏度排名的进一步结果。用户-银行分析师可以在此指定不同的权重方案。结果涉及银行全局业绩得分（平均值，中位数、95%置信区间）统计数据以及每家银行的评级分布。此外，通过情景分析报告可以获得准则权重和仿真运行的所有评级之间的关系。特别是，每一标准的相关系数表明了在银行评级和准则相对重要性之间的连接强度。准则负相关可被视为银行的强势。在这个意义上，准则的权重越高，银行的评价得分就越低（越好）。

作为额外的信息，对于每个准则，它的平均权重可以通过被评定为特定等级银行的全情境计算获得。特别是，假设权重的向量W1，W2，…….，针对每次仿真运行和引用Sik，即在银行i被设定为等级K的情况下进行仿真运行的仿真集（|Sik|代表运行的次数），

是在Sik下所有情景的平均权重向量，此式提供了一种关于已选银行评价结果的逆向分析信息。例如，在选定银行2010年分配到风险等级2的情况下，准则权重为CAP1和CAP2，高于可以根据这些标准的权重在分配给该银行风险等级3的情况下的准则权重。

4、结论

银行业绩的监测和评价在最近金融危机背景下获得越来越多的关注。本文提出了一种多准则方法旨在提供全面的专家支持分析，特别强调了把结果的敏感性分析应用到主要评价参数中，从而推导出有关银行优劣势的有用结论。

该方法已在综合决策支持系统（DSS）中实施，目前使用于希腊银行。DSS为用户及分析师提供了一种增强性的数据库管理功能，包括一些分析选项和报告工具。

专业银行分析师将多准则方法和DSS作为他们日常监测和评估银行业绩的支持工具。更进一步来说，其目的是发展能够尽快识别银行所可能面临问题的早期预警系统，并且对宏观经济因素的考虑也能进行加强分析，以及在外部因素对银行业绩和多样化的冲击下，实施执行压力测试。数据同样考虑了来自发达国家和发展中国家的其他银行部门，从而为增强其他市场风险及一个国家整体银行业风险相关性的背景下，提供有用的分析信息。

参考文献：

[1]R. Sahajwala， P. Van den Bergh， Supervisory Risk Assessment and Early Warning Systems， Technical Report 4， Bank of International Settlements， Basel， Switzerland， 2000.

[2]K. Kosmidou， C. Zopounidis， Measurement of bank performance in Greece， South-Eastern Europe Journal of Economics 6 （2008） 79–95.

[3]A. Raveh， The Greek banking system： reanalysis of performance， European Journal of Operational Research 120 （2000） 525–534.

[4]C.T. Ho， Measuring bank operations performance： an approach based on grey relation analysis， Journal of the Operational Research Society 57 （2006） 337–349.

[5]F. García， F. Guijarro， I. Moya， Ranking Spanish savings banks： A multicriteria approach， Mathematical and Computer Modelling 52 （2010） 1058–1065.

[6]D. Fethi， F. Pasiouras， Assessing bank efficiency and performance with operational research and artificial intelligent techniques： a survey， European Journal of Operational Research 204 （2010） 189–198.

[7]J. Butler， J. Jia， J. Dyer， Simulation techniques for the sensitivity analysis of multi-criteria decision models， European Journal of Operational Research 103 （1997） 531–546.

[8]A. Derviz， J. Podpiera， Predicting bank CAMELS and S&P ratings： the case of the Czech Republic， Emerging Markets Finance and Trade 44 （2008） 117–130.

[9]C. Spathis， K. Kosmidou， M. Doumpos， Assessing profitability factors in the Greek banking system： a multicriteria approach， International Transactions in Operational Research 9 （2002） 517–530.

[10]巴塞尔银行监管委员会，外部信用评级与内部信用评级体系[M].罗平，译.北京.中国金融出版社，2004： 451.

[11]赵向飞.上市公司信用能力的综合评价）—AHP与模糊评价的整合[ J].统计与决策， 2005（ 4） ：116- 117.

[12]赵利亚， 孙树华.层次分析法在财务分析中的应用[ J].财会通讯， 2009（ 3） ：96- 97.

篇12

【关键词】施工安全；评价方法

1.山岭公路隧道施工风险的定义

“风险”一词，其英文为Risk，查询高级汉语大词典，风险的解释是：“危险；遭受损伤、伤害、不利或毁灭的可能性”。美国的CooperD.F和ChapmanC.B在《大项目风险分析》书中提到：风险是由于从事某项特定活动过程中存在的不确定而产生的经济或财务的损失、自然破坏或者损伤的可能性。

2.人员—机械—环境—管理

人员—机械—环境系统是系统科学理论与系统工程方法在风险管理中的一个重要的应用。此系统中的“人员”主要是指工作的主体（如施工人员、管理人员等），“机械”是指人所操纵的对象（如起重机、挖掘机、动力车等）的总称；“环境”是指人员、机械共同工作所处的工作条件（如气温、天气情况，噪音，有害气体等）[1-3]。人员—机械—环境三者之间是一个交互的相互影响的系统，他通过三者之间信息的传递、加工以及控制，形成一个相互关联的复杂的大的系统，并采用系统工程的方法，使其具有“安全、高效、经济”的综合效用。

在对山岭公路隧道施工风险评价研究中，人员因素主要指的是人的主观失误和客观失误，同时人的主观失误又是一个重要的影响因素，也是风险评价重点研究的对象。为了进一步完善山岭公路隧道风险评价的可行性，把人的客观因素定义为人为因素，而把人的主观因素定义为管理因素，单独作为独立于人员因素的第四大元素；在新形成的人员—机械—环境—管理系统中，管理因素虽然不能直接作用于事件本身，但是他可以间接作用于人员—机械—环境这一系统中，影响此系统中各个因素的不安全行为，这就是所谓的人员-机械-环境-管理系统[4]。

3.风险的分类

对风险进行分类是方便于对风险进行管理和评价。各种风险在形态成因以及损失状况上都表现出不同的特点；对风险进行分类不仅有利于对风险进行研究，更有利于制定应对策略。近几年来，国内的许多专家和学者也对风险的分类进行了大量的探讨和研究，可以总结为如下几种分类方式。

按照风险产生的原因不同可分为：自然风险、社会风险、经济风险。

按照风险产生的环境不同可分为静态风险和动态风险。

按照风险损失的范围不同可分为基本风险和特定风险。

而对于隧道工程中的风险分类，同济大学的陈龙把风险分为：经济风险、合同风险、财务风险、自然灾害风险、施工风险、运营风险以及环境影响风险等[4]。

4.风险的本质

大量的研究资料分析表明，风险分析的目的是寻求或者掌握某一个系统的某些状态，以便进行风险管理，以减小或者控制风险。因此，我们要对风险进行分析，首先必须能显示出系统事件的状态、时间、输入等要素之间的相互关系。概率估计是风险事件和发生的可能性之间的一种关系，这是一种不精确的概率问题。况且，两者之间是否存在这种关系也是一个问题。总之，风险分析的主要目的还是要寻求“一个不利后果产生的原因，为什么会产生”。基于此观点，我们可以认为：“风险本质是不利后果的动力学特性”[5]。

5.山岭公路隧道风险评价的一般过程

山岭公路隧道施工风险在进行评价之前，首先要制定评价计划，使其他各个步骤围绕着这个计划进行。计划的主要内容包括：评价对象的简要描述，评价的目标、评价的流程以及评价方法的选择等。

风险本身虽然具有很大的不确定性，但其是可以被认识的，我们可以通过一定的方法加以分析，并采取适当的方法对风险进行控制。一般来说，工程项目风险在进行评价研究时，通常有以下几个步骤：

风险识别风险估计风险评价与决策风险对策

5.1山岭公路隧道施工风险识别

风险识别是风险评价的开始，同时也是整个风险评价的基础。风险识别的主要任务是找出风险因素，并定性判别风险的性质、发生的可能性以及对工程项目的影响程度。对风险的认知是风险识别的关键，它是采用系统论的观点对整个工程项目进行全面和综合分析[6]。

5.2山岭公路隧道施工风险估计

风险估计是风险评价重要的中心环节，它主要是对已经识别的风险进行估计，估计其后果发生的可能性以及造成的可能性后果的严重程度，也就是后果发生可能性的估算和严重性的估算，从而能对各种潜在后果的相对重要性进行评价，并为风险评价提供数学依据。换句话说，风险估计就是采用某种尺度对已经识别的风险源进行量测，并给出风险发生的概率，用以分析风险发生的可能性以及风险发生后可能造成的后果，即在前期调查资料分析的基础上，采用概率论及数学统计的数学方法对风险事故进行发生概率和风险事故发生后可能造成的损失的严重程度的一种定性或定量的分析。

5.3山岭公路隧道施工风险管理绩效分析

在本文的研究中，山岭公路隧道施工风险评价不仅与风险发生概率和风险发生后果有关，而且与工程在施工过程中风险管理的模式或者说是风险管理绩效有一定的关系。在对山岭公路隧道进行施工过程风险评价时，应该考虑到风险管理模式对风险发生概率和风险发生后果有一定的影响作用。随着工程的不断进展，风险管理不断地对风险发生概率和风险发生后果的值产生影响，从而使得风险评价水平也产生动态的变化。总结起来来说，风险管理绩效分析就是在开展风险管理以后，对风险发生概率和风险发生后果组合值的一个动态的观察和分析过程[7]。

5.4山岭公路隧道施工风险评价与决策

（1）选取项目风险评价标准。项目风险评价标准是项目主体根据不同的项目风险特征，制定的可接受风险水平。一般来说，单个风险事件和项目主体风险采用的风险评价标准是不同的。

（2）分析确定项目风险发生水平。项目风险发生水平它包括单个风险发生水平和整体风险发生水平。因此，项目风险发生水平是综合考虑项目所有风险事件之后确定的。

（3）对比分析。对比分析是指将单个风险发生水平和整体风险发生水平分别与单个风险评价标准和整体风险评价标准进行比对，进而分别确定其风险发生等级是否在可接受范围之内，如果不在，考虑采取哪种措施进行应对。

5.5山岭公路隧道施工风险对策

在对山岭公路隧道项目风险识别、评价以后，要根据此项目风险控制的总体目标，制定出合理的风险管理对策，尽可能降低项目潜在的风险损失和提高项目的风险控制能力。根据以往的研究结果显示，风险对策有四种表现形式：风险规避、风险转移、风险自留和风险合理利用。

5.6山岭公路隧道施工风险评价模式

在前边三节中简要对山岭公路隧道施工风险定义、风险本质以及风险的评价过程进行了探讨和分析，而本节在前边研究成果的基础上，从人员—机械—环境—管理这个系统出发，开展对山岭公路隧道施工风险评价模式的设计研究。从山岭公路隧道施工风险的定义以及风险绩效分析得知，风险的发生水平受人员、机械、环境、管理四大因素的影响，而风险的量化值受风险的发生概率、风险的发生后果以及风险管理绩效三个因素共同影响。基于以上认识，本文在借鉴山岭铁路隧道施工风险评价模式的基础上，设计了适用于山（下转第356页）（上接第330页）岭公路隧道施工风险评价的模式。 [科]

【参考文献】

[1]徐志胜.人一机一环境系统可靠性研究[M].徐州：中国矿业大学出版社，1995.

[2]吴立云，杨玉中.综采工作面人——机——环境系统安全性分析[J].应用基础与工程科学学报，2008，16（3）：436～445.

[3]许如亮.施工现场人、机、环境本质安全[J].安全与健康，2002（9）：21～23.

[4]周峰.山岭隧道塌方风险模糊层次评价研究[硕士学位论文][D].长沙：中南大学，2008.

[5]JTGF60-2009.公路隧道施工技术规范[S].北京：中华人民共和国交通运输部，2009.

篇13

关键词：网络安全；风险评估；模糊综合评价

0前言

网络安全正逐渐成为一个国际化的问题，每年全球因计算机网络的安全系统被破坏而造成的经济损失达数千亿美元。网络安全是一个系统的概念，有效的安全策略或方案的制定，是网络信息安全的首要目标。安全风险评估是建立网络防护系统，实施风险管理程序所开展的一项基础性工作。

然而，现有的评估方法在科学性、合理性方面存在一定欠缺。例如：评审法要求严格按照BS7799标准，缺乏实际可操作性；漏洞分析法只是单纯通过简单的漏洞扫描或渗透测试等方式对安全资产进行评估；层次分析法主要以专家的知识经验和统计工具为基础进行定性评估。针对现有网络安全评估方法中出现的这些问题，本文拟引用一种定性与定量相结合，综合化程度较高的评标方法——模糊综合评价法。

模糊综合评价法可根据多因素对事物进行评价，是一种运用模糊数学原理分析和评价具有“模糊性”的事物的系统分析方法，它是一种以模糊推理为主的定性与定量相结合、非精确与精确相统一的分析评价方法。该方法利用模糊隶属度理论把定性指标合理的定量化，很好的解决了现有网络安全风险评估方法中存在的评估指标单一、评估过程不合理的问题。

1关于风险评估的几个重要概念

按照ITSEC的定义对本文涉及的重要概念加以解释：

风险(Risk)：威胁主体利用资产的漏洞对其造成损失或破坏的可能性。

威胁(Threat)：导致对系统或组织有害的，未预料的事件发生的可能性。

漏洞(Vulnerabmty)：指的是可以被威胁利用的系统缺陷，能够增加系统被攻击的可能性。

资产(Asset)：资产是属于某个组织的有价值的信息或者资源，本文指的是与评估对象信息处理有关的信息和信息载体。

2网络安全风险评估模型

2.1网络安全风险评估中的评估要素

从风险评估的角度看，信息资产的脆弱性和威胁的严重性相结合，可以获得威胁产生时实际造成损害的成功率，将此成功率和威胁的暴露率相结合便可以得出安全风险的可能性。

可见，信息资产价值、安全威胁和安全漏洞是风险评估时必须评估的三个要素。从风险管理的角度看，这三者也构成了逻辑上不可分割的有机整体：①信息资产的影响价值表明了保护对象的重要性和必要性。完整的安全策略体系中应当包含一个可接受风险的概念；②根据IS0-13335的定义，安全威胁是有能力造成安全事件并可能造成系统、组织和资产损害的环境因素。可以通过降低威胁的方法来降低安全风险，从而达到降低安全风险的目的；③根据IS0-13335的观点，漏洞是和资产相联系的。漏洞可能为威胁所利用，从而导致对信息系统或者业务对象的损害。同样，也可以通过弥补安全漏洞的方法来降低安全风险。

从以上分析可以看出，安全风险是指资产外部的威胁因素利用资产本身的固有漏洞对资产的价值造成的损害，因此风险评估过程就是资产价值、资产固有漏洞以及威胁的确定过程。

即风险R＝f(z，t，v)。其中：z为资产的价值，v为网络的脆弱性等级，t为对网络的威胁评估等级。

2.2资产评估

资产评估是风险评估过程的重要因素，主要是针对与企业运作有关的安全资产。通过对这些资产的评估，根据组织的安全需求，筛选出重要的资产，即可能会威胁到企业运作的资产。资产评估一方面是资产的价值评估，针对有形资产；另一方面是资产的重要性评估，主要是从资产的安全属性分析资产对企业运作的影响。资产评估能提供：①企业内部重要资产信息的管理；②重要资产的价值评估；③资产对企业运作的重要性评估；④确定漏洞扫描器的分布。

2.3威胁评估

安全威胁是可以导致安全事故和信息资产损失的活动。安全威胁的获取手段主要有：IDS取样、模拟入侵测试、顾问访谈、人工评估、策略及文档分析和安全审计。通过以上的威胁评估手段，一方面可以了解组织信息安全的环境，另一方面同时对安全威胁进行半定量赋值，分别表示强度不同的安全威胁。

威胁评估大致来说包括：①确定相对重要的财产，以及其价值等安全要求；②明确每种类型资产的薄弱环节，确定可能存在的威胁类型；③分析利用这些薄弱环节进行某种威胁的可能性；④对每种可能存在的威胁具体分析造成损坏的能力；⑤估计每种攻击的代价；⑥估算出可能的应付措施的费用。

2.4脆弱性评估

安全漏洞是信息资产自身的一种缺陷。漏洞评估包括漏洞信息收集、安全事件信息收集、漏洞扫描、漏洞结果评估等。

通过对资产所提供的服务进行漏洞扫描得到的结果，我们可以分析出此设备提供的所有服务的风险状况，进而得出不同服务的风险值。然后根据不同服务在资产中的权重，结合该服务的风险级别，可以最后得到资产的漏洞风险值。

3评估方法

3.1传统的评估方法

关于安全风险评估的最直接的评估模型就是，以一个简单的类数学模型来计算风险。即：风险＝威胁+脆弱+资产影响

但是，逻辑与计算需要乘积而不是和的数学模型。即：风险＝威胁x脆弱x资产影响

3.2模糊数学评估方法

然而，为了计算风险，必须计量各单独组成要素（威胁、脆弱和影响)。现有的评估方法常用一个简单的数字指标作为分界线，界限两边截然分为两个级别。同时，因为风险要素的赋值是离散的，而非连续的，所以对于风险要素的确定和评估本身也有很大的主观性和不精确性，因此运用以上评估算法，最后得到的风险值有很大的偏差。用模糊数学方法对网络安全的风险评估进行研究和分析，能较好地解决评估的模糊性，也在一定程度上解决了从定性到定量的难题。在风险评估中，出现误差是很普遍的现象。风险评估误差的存在，增加了评估工作的复杂性，如何把握和处理评估误差，是评估工作的难点之一。

在本评估模型中，借鉴了模糊数学概念和方法中比较重要的部分。这样做是为了既能比较简单地得到一个直观的用户易接受的评估结果，又能充分考虑到影响评估的各因素的精度及其他一些因素，尽量消除因为评估的主观性和离散数据所带来的偏差。

（1）确定隶属函数。

在模糊理论中，运用隶属度来刻画客观事物中大量的模糊界限，而隶属度可用隶属函数来表达。如在根据下面的表格确定风险等级时，当U值等于49时为低风险，等于51时就成了中等风险。

此时如运用模糊概念，用隶属度来刻画这条分界线就好得多。比如，当U值等于50时，隶属低风险的程度为60％，隶属中等风险的程度为40％。

为了确定模糊运算，需要为每一个评估因子确定一种隶属函数。如对于资产因子，考虑到由于资产级别定义时的离散性和不精确性，致使资产重要级别较高的资产(如4级资产)也有隶属于中级级别资产（如3级资产)的可能性，可定义如下的资产隶属函数体现这一因素：当资产级别为3时，资产隶属于二级风险级别的程度为10％，隶属于三级风险级别的程度为80％，属于四级风险级别的程度为10％。

威胁因子和漏洞因子的隶属度函数同样也完全可以根据评估对象和具体情况进行定义。

（2）建立关系模糊矩阵。

对各单项指标(评估因子)分别进行评价。可取U为各单项指标的集合，则U＝(资产，漏洞，威胁)；取V为风险级别的集合，针对我们的评估系统，则V＝(低，较低，中，较高，高)。对U上的每个单项指标进行评价，通过各自的隶属函数分别求出各单项指标对于V上五个风险级别的隶属度。例如，漏洞因子有一组实测值，就可以分别求出属于各个风险级别的隶属度，得出一组五个数。同样资产，威胁因子也可以得出一组数，组成一个5×3模糊矩阵，记为关系模糊矩阵R。

（3）权重模糊矩阵。

一般来说，风险级别比较高的因子对于综合风险的影响也是最大的。换句话说，高的综合风险往往来自于那些高风险级别的因子。因此各单项指标中那些风险级别比较高的应该得到更大的重视，即权重也应该较大。设每个单项指标的权重值为β1。得到一个模糊矩阵，记为权重模糊矩阵B，则B＝(β1,β2,β3)。

（4）模糊综合评价算法。

进行单项评价并配以权重后，可以得到两个模糊矩阵，即权重模糊矩阵B和关系模糊矩阵R。则模糊综合评价模型为：Y＝BxR。其中Y为模糊综合评估结果。Y应该为一个1x5的矩阵：Y＝(y1，y2,y3，y4，y5)。其中yi代表最后的综合评估结果隶属于第i个风险级别的程度。这样，最后将得到一个模糊评估形式的结果，当然也可以对这个结果进行量化。比如我们可以定义N＝1×y1十2×y2十3×y3×y4十5×y5作为一个最终的数值结果。

4网络安全风险评估示例

以下用实例说明基于模糊数学的风险评估模型在网络安全风险评估中的应用。

在评估模型中，我们首先要进行资产、威胁和漏洞的评估。假设对同样的某项资产，我们进行了资产评估、威胁评估和漏洞评估，得到的风险级别分别为：4、2、2。

那么根据隶属函数的定义，各个因子隶属于各个风险级别的隶属度为：

如果要进行量化，那么最后的评估风险值为：PI=1*0.06+2*0.48+3*0.1+4*0.32+5*0.04＝2.8。因此此时该资产的安全风险值为2.8。

参考文献

［1］郭仲伟.风险分析与决策［M］.北京：机械工业出版社，1987.

［2］韩立岩，汪培庄.应用模糊数学［M］.北京：首都经济贸易大学出版社，1998.

［3］徐小琳，龚向阳.网络安全评估软件综述［J］.网络信息安全，2001.

篇14

关键字： 节能住宅；投资决策；风险排序；直觉模糊AHP方法

中图分类号：TE08文献标识码： A

对于风险的定义,学术界都没有确切而统一的认知。通常人们在对风险定义的时候有两种认识，第一把风险解释为不确定的事件，此定义是从风险管理与保险关系的方向出发，根据概率的角度对风险进行定义；第二，把风险确定为预期对实际的差距。对于节能住宅项目投资者在投资决策阶段所面临的风险比其他一般的住宅项目更多更复杂，因为对于节能住宅项目，它投资更大、工期更长、质量要求更高，现实存在着很多的的不确定性因素。所以，充分识别、度量和控制项目风险对于项目管理显得尤为重要。大多数研究都只是针对绿色建筑所做出的一系列的讨论和分析，而对于节能建筑项目投资决策风险的研究是少之又少，只是停留在框架的层面上，应该有待更深一步的细化。

风险排序是项目风险管理的关键环节之一，在项目的投资决策阶段进行风险因素的排序，既有利于管理者分清主次、合理安排资源，又可以做好充分的风险应对计划。风险排序的研究可以从排序指标与排序方法两个方面进行。早期风险排序方法，如风险期望值排序法、风险—概率矩阵法等，都是与风险的二位属性相对应的，忽视了属性间的互相影响。本文应用直觉模糊AHP方法对节能住宅建筑项目的投资决策风险展开排序研究，该方法是对风险因素进行定性和定量相结合的评价，给出了各风险因子的权重并进行排序，它是一种实用性很强的风险排序方法。

1 直觉模糊集相关知识

定义1 设是实数集上的一个模糊数，其隶属度函数为：

Aᾶ m≤x≤l

Aᾶ (x)= Aᾶl

0 其他

其非隶属度函数为：

m≤x≤l

Bᾶ (x)=l

0其他

式中，0≤Aᾶ≤1；0≤Bᾶ≤1；Aᾶ +Bᾶ≤1；m，l，n∈R，则称ᾶ=（[m，l，n]；Aᾶ，Bᾶ）为直觉三角模糊数。Aᾶ为决策者认为属性值属于三角模糊数[m，l，n]的程度，Bᾶ为决策者认为属性值不属于三角模糊数[m，l，n]的程度，πᾶ=1- Aᾶ -Bᾶ为模糊数的犹豫程度。πᾶ越小，表明模糊数越确定。

定义2 设判断矩阵U=（uij）n×n,若，若uij∈[0,1](i,j∈N)， uij+ uji=1，uii=0.5，则称矩阵U是模糊互补判断矩阵。

定义3 设V=（uij）n×n为模糊互补判断矩阵，若对∀i，j，k∈N，均有：uij= uik- uik +0.5，则称U是模糊一致性互补性判断矩阵。

定义4设X是论域，B={(tB(x),fB(x)，πB（x）)｜x∈X}∈ V(X)，VB(x)= ，那么可得模糊集FB(x)={（FB(x)，1- FB(x)）｜x∈X }，则称FB(x)为直觉模糊值（(tB(x),fB(x))得模糊逼近，FB是直觉模糊集B的模糊逼近。

定义5 设U=（uij）n×n是直觉模糊判断矩阵， uij=（tij，1- fij）（i，j∈N），且tij∈[0,1]，fij∈[0,1]，tij=fji，tji=fij，tii=fii=0.5，tij+fji=1，则称矩阵U是直觉模糊互补判断矩阵。

定义6设直觉模糊互补判断矩阵B=（bij）n×n，其中bij=（tij，1- fij），𝝅ij=1- tij- fij，模糊矩阵P=（pij）n×n，且P=，称模糊矩阵P为B的模糊逼近的模糊互补判断矩阵，若P是一致性模糊互补判断矩阵，则称B是一致的。

2 基于直觉模糊环境下的AHP

步骤1 分析系统中各因素之间的关系，建立系统的递阶结构。

步骤2 首先请专家通过对同层属性关于上层属性进行两两比较建立直觉判断矩 阵 U=（uij）n×n ，其中uij=（tij ，1-fij），i，j= 1,2，…，n，tij ，fij的值根据 0.1-0.9标度给出的定量标准。然后根据定义6得到模糊逼近的模糊互补判断矩阵 P 。

步骤 3 对模糊互补判断矩阵进行一致性检验,经过对 P 进行一致性检验及调整,最后得到满意一致性矩阵。

步骤4 计算权重向量。利用（1）式进行层层计算，得出各因素的权值，最后根据权重值进行排序。

3直觉模糊AHP方法在节能住宅投资决策阶段风险排序中应用

节能住宅项目一般投资大、周期长、参与方多、关系复杂，因此，在开发项目投资决策前应该科学地、客观地、最大限度地估计风险，合理地作出风险投资决策，并采取有效措施规避风险。于是，本文将直觉模糊层次分析法应用于对投资决策阶段风险的排序问题, 计算出各个风险因素的权重，再对权重指标进行排序。

下面给出了直觉模糊层次分析法解决节能住宅投资决策风险元素的排序问题的步骤如下：

步骤1 构造评估指标体系，建立递阶结构。根据节能住宅投资决策风险的特点,综合分析影响决策风险的各种因素,建立了一套比较完整的投资决策风险评价指标体系。具体结构见表 1。

表一 节能住宅投资决策风险

目标层B 准则层Bi 子准则层Bij

投资决策风险 政策、法律风险 节能住宅建筑相关法律法规不完善

节能住宅建筑相关政策及评价标准的变化

社会风险 政府对节能住宅建筑的倡导力度不大

公众对节能住宅建筑的接受程度低

政府部门的低效率和繁杂的审批程序

技术风险 对新材料、新技术、新设备缺乏施工经验

新型设备、材料性能不稳定

施工中未使用节能要求的新产品

缺乏满足节能住宅建筑要求的新产品

管理风险 业主缺乏节能建筑相关的管理经验

对节能住宅建筑相关知识认识不足

缺少与节能住宅建筑相对应的人员安全及健康的管理

步骤2 应用专家打分法，对准则层各个指标关于上层目标层的重要性进行两两比较，建立直觉模糊互补判断矩阵。其中，第二层准则层中所有元素对目标层的直觉模糊互不判断矩阵为：

我们依次得到B3技术风险子准则层各元素相对于准则层指标的直觉模糊互补判断矩阵分别为：

上述矩阵的模糊逼近判断矩阵为：

步骤3计算得满意行矩阵如下

步骤四计算出各层次直觉模糊的权重指标值及其排序值

根据权重计算公式Wi=计算出BI层中所有元素对目标层B的权重为：

W=（0.295,0.134, 0.394, 0.177）同理可得Bij层各元素相对于上一层元素的相对权重排序为：

表一 各因素的排序指标值及排序结果

根据上述表一结果可以知道技术风险在节能建筑投资决策风险中站的比重较大为39.4%，其他风险的重要性可以排序为政策法律风险29.5%，管理风险17.7%，社会风险13.4%。而子准则层的风险因素有低到高的排序结果为：施工中未使用节能要求的新产品、对节能建筑相关知识认识不足、缺乏满足节能建筑要求的新产品、业主缺乏节能建筑相关的管理经验、政府对节能建筑的倡导力度不大、公众对节能建筑的接受程度低、政府部门的低效率和繁杂的审批程序等。对于权重比较大的风险应该给予高度的重视，分配风险管理资源时应该占有优先的权利。

4 结论

节能住宅建筑投资决策风险排序可以对优化风险管理资源的分配、防范高风险重要的指导作用。直觉模糊AHP方法将直觉模糊集合层次分析法相结合，更灵活、细腻地应对了风险评价时的模糊性与不确定性，对实际问题的解决具有很强的说服力，是一种更实用的定性定量分析的方法。实例分析证明了该方法是可行的，具有一定的实用性。

参考文献：

[1]ATANASSOV K.Intuitionistic fuzzy sets［J］.Fuzzy Setsand Systems，1986，20( 1) : 87 － 96．

[2] ATANASSOV K． More on intuitionistic fuzzy sets ［J］．Fuzzy Sets and Systems，1989，33( 1) : 37 － 46．

[3]黄训江，侯光明．投资项目风险管理优先度评价研究[J]．工业技术经济，2005，24（1）：107-109

[4]周文中，袁永博，郎 坤.基于直觉三角模糊数的建筑施工绿色风险排序模型[J].工程管理学报，2012,26（4）

[5]王欣，秦旋.基于实证研究的绿色建筑项目风险识别与评价[J].建筑科学,2013,29（2）0054-08