一個(gè)風(fēng)險(xiǎn)評估與排序的實(shí)用模型

1、一個(gè)風(fēng)險(xiǎn)評估與排序的實(shí)用模型 本文闡述了一個(gè)基于簡單數(shù)學(xué)模型的實(shí)用且簡便的風(fēng)險(xiǎn)評估與排序方法.什么是風(fēng)險(xiǎn)風(fēng)險(xiǎn)即是以下三個(gè)要素發(fā)生的機(jī)會(huì)：威脅-事件或行為，一般來自系統(tǒng)外部,可能在某些地方會(huì)影響固有的弱點(diǎn)，造成影響.弱點(diǎn)-系統(tǒng)內(nèi)部考慮之中的弱點(diǎn)，可能在某些地方受到威脅所利用 影響-短期與長期組織影響，威脅碰巧利用弱點(diǎn).由于要求一個(gè)或更多的不預(yù)測的威脅與弱點(diǎn)的巧合，負(fù)面影響發(fā)生的可能性是很難確定的.一 個(gè)系統(tǒng)可能很長一段時(shí)間運(yùn)行有弱點(diǎn)（的程序）而未受影響，直到一些實(shí)際的威脅存在或利用 它.在給定的時(shí)間筐架內(nèi)一些威脅可能比另一些威脅更可能發(fā)生（例如：簡單的鍵盤錯(cuò)誤比中 斷更易發(fā)生）.類似的，一些弱點(diǎn)

2、可能只在短期內(nèi)存在（如：當(dāng)保安從運(yùn)鈔車進(jìn)入金庫時(shí)）而別的 可能會(huì)長期存在（如:銀行金庫警報(bào)系統(tǒng)沒有覆蓋所有入口點(diǎn)）.影響的變化也很大:有些可能使 整個(gè)組織或系統(tǒng)置于嚴(yán)重的危險(xiǎn)之中（如火災(zāi)）;有些可能會(huì)對整體來說無關(guān)重要.保險(xiǎn)公司也許有能力去計(jì)算某種威脅與弱點(diǎn)存在的可能性并預(yù)測可能受到影響的程序，但 是，這也是不嚴(yán)密的-或許藝術(shù)性多于科學(xué).承保人賭其涵蓋了所有風(fēng)險(xiǎn):盡管給定的事件是 不可預(yù)測的,但在一定時(shí)期的多數(shù)事件發(fā)生的可能性可以很大的可信度估計(jì)，大部分是基于早 期的經(jīng)驗(yàn).盡管如此,這種手段仍存在著兩個(gè)重要的問題.一些極度影響事件（如你的首席行政 長官遭遇雷擊）是很少發(fā)生以至人類的本性傾向于忽

3、略這類事件，因此，承保人發(fā)現(xiàn)很難以理 想的價(jià)格去銷售相應(yīng)政策.進(jìn)一步，新的條件導(dǎo)入新的風(fēng)險(xiǎn)，但經(jīng)驗(yàn)不足甚至使他們預(yù)測更困 難.高技術(shù)主題的電子商務(wù)變化得非?？煲灾罥T專家也要盡力跟起而不致落后.承保人在風(fēng) 險(xiǎn)方面做得不比猜測多.威脅與弱點(diǎn)的特定組合也許僅僅偶爾存在（壞運(yùn)氣），十分顯然，幾乎沒有弱點(diǎn)與/或威脅的系 統(tǒng)就不大可能長期受到影響.另一方面，一個(gè)脆弱的系統(tǒng),一個(gè)具有許多大的潛在影響（的系統(tǒng)） 更有可能遭到毀壞，這是風(fēng)險(xiǎn)管理的基本點(diǎn),它本身是任何一個(gè)組織完好管理中的重要元素.管理者一般通過引導(dǎo)通緝資源轉(zhuǎn)向風(fēng)險(xiǎn)緩和的活動(dòng)如設(shè)置合適的控制框架，來尋求減少弱 點(diǎn)、威脅與影響。一個(gè)簡易風(fēng)險(xiǎn)模型的來

4、源管理企業(yè)遠(yuǎn)遠(yuǎn)超過無風(fēng)險(xiǎn)活動(dòng)。的確，承受可接受的風(fēng)險(xiǎn)（有些可能導(dǎo)致破產(chǎn)）能取得利潤。 正確管理的關(guān)鍵是知道緩和哪種風(fēng)險(xiǎn)以及何時(shí)把握機(jī)會(huì)。這就是為什么對風(fēng)險(xiǎn)有個(gè)良好的認(rèn) 識(shí)的重要這所在。在這里，提供一個(gè)簡單的類數(shù)學(xué)模型以助計(jì)量風(fēng)險(xiǎn)?？紤]風(fēng)險(xiǎn)的性質(zhì)，你 將得到如下的公式：風(fēng)險(xiǎn)=威脅+弱點(diǎn)+影響表面上看，該公式意味著具有高威脅、弱點(diǎn)或影響的系統(tǒng)是高風(fēng)險(xiǎn)的系統(tǒng)。盡管如此，是威 脅與弱點(diǎn)的組合造成影響的存在。而對組織的破壞的程度依賴于一個(gè)事件的發(fā)生與影響的促 使。用數(shù)學(xué)語言來說，邏輯與計(jì)算需要乘積而不是和，如： 風(fēng)險(xiǎn)=威脅*弱點(diǎn)*影響包含至少兩個(gè)重要因素（如：高威脅與弱點(diǎn)）的組合能產(chǎn)生比僅具較低或中等水

5、平因素組合 更高的風(fēng)險(xiǎn)。任何一個(gè)因素降為零風(fēng)險(xiǎn)將降得更大。計(jì)算風(fēng)險(xiǎn)為了使用模型去計(jì)算風(fēng)險(xiǎn)，你得檢查與計(jì)量各單獨(dú)組成要素（威脅、弱點(diǎn)與影響）。最簡單的方法是將這三個(gè)要素分成高（3分），中（2分），低（1分）或零（0分）。產(chǎn)生的 風(fēng)險(xiǎn)分值在0至27之間。作為替代，你也許寧愿用一個(gè)持續(xù)的百分?jǐn)?shù)尺。如：0% 25% 50% 75% 100% 受雷擊+111+ 的威脅人受雷擊建筑物受雷擊被靜電擊死使用百分?jǐn)?shù)尺能得到的最大風(fēng)險(xiǎn)計(jì)分是1,000,000（100*100*100）。因而能為組織確定風(fēng)險(xiǎn) 提供足夠的詳細(xì)（情況）。不論什么量度，過程是一樣的。我們比較與對比風(fēng)險(xiǎn)因素，尋求 一個(gè)企業(yè)價(jià)值合理延伸。一具

6、厭風(fēng)險(xiǎn)管理者比喜風(fēng)險(xiǎn)管理者更可能估價(jià)風(fēng)險(xiǎn)，但是價(jià)值延伸 應(yīng)當(dāng)更廣泛地比較。正是這延伸賦予模型其真實(shí)的能量，允許我們?nèi)ソo風(fēng)險(xiǎn)排序。實(shí)踐中應(yīng)用風(fēng)險(xiǎn)模型本模型在實(shí)踐環(huán)節(jié)中有許多效用，如風(fēng)險(xiǎn)評估與審計(jì)計(jì)劃程序：這個(gè)過程有兩個(gè)重要的輸出：一個(gè)風(fēng)險(xiǎn)排列（對組織管理者是有用的）與相匹配的排列過的 審計(jì)計(jì)劃（構(gòu)造內(nèi)部或與外部審計(jì)師工作）?！岸ㄆ阡绦隆碧峁┓从匙兓娘L(fēng)險(xiǎn)因素分值更新 的機(jī)會(huì)，如內(nèi)部控制環(huán)境（養(yǎng)活弱點(diǎn)）的提高或新的市場壓力（增加威脅）。這個(gè)程序的理論基礎(chǔ)使得計(jì)劃審計(jì)工作與組織風(fēng)險(xiǎn)間的聯(lián)系更清楚。類似地，項(xiàng)目風(fēng)險(xiǎn)也能利用該模型評估以形成基本的項(xiàng)目風(fēng)險(xiǎn)管理。項(xiàng)目威脅依*于項(xiàng)目的 性質(zhì)，但典型的包括政治、經(jīng)濟(jì)、社會(huì)與技術(shù)方面（被稱為PEST分析）弱點(diǎn)包括不合適技 能，刺激機(jī)制，財(cái)務(wù)或別的資源限制等。項(xiàng)目失敗影響一般分為：過多成本推遲完成顧客滿意度低該模型也能被用來聯(lián)系這些因素與風(fēng)險(xiǎn)是否重要的建議，形成一個(gè)管