风险分析的定义

前言：想要写出一篇令人眼前一亮的文章吗？我们特意为您整理了5篇风险分析的定义范文，相信会为您的写作带来帮助，发现更多的写作思路和灵感。

风险分析的定义范文第1篇

[关键词] 组织和谐管理 博弈分析 不确定性 复杂性

一、引言

中国现在正处于一个快速变化的时代――经济迅速成长,科技飞速发展, 市场竞争日趋激烈,组织所处的外部环境日益复杂多变。管理者的有限理性在复杂多变的外部环境下也越来越显著;管理者不得不运用许多相对复杂的方法和结构来应对外部不确定性,然而同时却必须面对这些复杂方法带来的不确定性。在管理理论领域,理论丛林缺乏系统的应对之道, 研究者们也不断地根据新的管理需求提出新的管理理论。和谐管理理论就是在这样的实践环境和理论背景下产生的。

和谐管理理论自席酉民博士1987年提出以来,历经十余年的发展,已经逐步构建为以和谐主题、和则、谐则等为核心概念的现代管理理论体系。与此同时,随着社会的进步,组织内部追求自我实现的知识型员工越来越多,其个体行为也越来越复杂和难以预测。组织中个体行为的复杂多变也必然会促使传统的管理方法的改变,如何通过有效的管理途径促使组织中的个体行为最终即能符合组织在一定阶段的目标,又能最大限度的实现组织中个体的利益,成为每一个管理者,同时也是和谐管理理论必须面对的问题之一。

二、组织内部环境的不确定性

和谐管理理论提出的实践环境是组织内外部环境的高度不确定性。组织外部环境包括顾客、供应商、竞争者、社会政治、技术等因素,内部环境包括员工因素、组织的职能及群体(部门) 、组织层因素等。就组织内部环境的不确定性而言,最大的挑战来自员工本身。根据Lewin的描述性模型:B=f(P,E),人的行为是个人的各种特征与环境双重作用的结果。一方面人的行为受人格个性、经历、性别、学历、职业、职位等个人因素的影响,以及群体行为的影响,另一方面人的行为还会受到所处环境的影响,如企业文化,管理政策与实践及其变革的影响。而且,人具有能动作用,可以随时根据环境条件变化以及管理方法和管理途径的变化来调整个人的行为,这些都给管理带来的极大的不确定性。

彼得・德鲁克(Peter Drucker)在哈佛《商业评论》1998年1/2月号上发表的《新型组织的出现》一文指出,21世纪最大的管理挑战是如何提高知识工人的劳动生产率。德鲁克认为“知识型员工和他们的生产率是21 世纪任何机构(商业性质或者非商业性质) 最有价值的资本”。大量知识型员工的涌现无疑是组织内员工层因素最大的变化。然而,知识型员工的工作任务更为综合、复杂,创新要求高,其劳动贡献很难单独计量。他们倾向于以工作目标为中心,其行为相对隐性,难于评价。因此 ,提高知识型员工的生产率也被德鲁克称为21 世纪管理学最大挑战。

一般而言,组织在人与组织关系中居于主动地位。组织是个人直接面对的外部环境,通过多种因素对个人产生影响,个人对组织的活动做出反应。大量实证研究表明,组织的目标、文化价值观和管理实践对个人行为及其结果有着非常重要的影响。员工往往也会根据组织的管理方式、激励手段、制度规则的变化来理解组织的目标和价值观等调整自己的行为,在客观上形成了组织和员工行为的一种博弈,而双方都在博弈的过程中追求自身效用的最大化。根据经济学的一般原理,博弈双方在取得均衡而且达到帕累托最优时,双方总福利/效用达到最大,才能实现经济学意义上的和谐管理。落实到组织管理层面,也就是说组织目标顺利实现且组织成员也在组织目标实现的过程中得到自我实现,只有在这种情况下才可以说是达到了和谐管理;否则即使达到均衡,却未实现双方效用的帕累托最优,就不能称之为和谐管理。

根据美国行为学家马斯洛的理论,人的需求分为五个层次,包括生理上的需要、安全上的需要、感情和归宿上的需要、地位和受人尊敬的需要以及自我实现的需要。而对于自我实现的界定,存在着个体差异。这就给组织管理者带来了新的课题,如何即能保证组织目标的实现,又能使组织中的个体能够自我实现是组织管理者必须思考的问题。那么,组织一个如何应对内部不确定性,实现和谐管理,促使组织目标的实现?这是一个非常有意义的问题。

三、和谐管理理论的基本思想及其所面对的挑战

和谐管理理论的前提假定如下:

假定1:管理活动总是为了解决特定问题或完成特定任务,而且一定的管理问题或任务总是受到目标、资源、成本、时效要求等内外部环境相关要素的约束;

假定2:组织中的人是有限理性的“智能体”;

假定3:人不仅追求目的,而且遵循规则。

和谐管理的基本思路为“问题导向”基础上的“优化设计”与“人的能动作用”则的互动耦合。“优化设计”本质是通过设计符合系统内在规律的人的行为路线和物的配置使得系统要素更为协调、匹配,表现出更高的秩序,类似于“谐”;同样人们的“和睦、融洽、同心共济”也是“人的能动作用”发挥的前提和表现,类似于“和”。因此,和谐管理理论将“优化设计”对应于“谐”,而将“人的能动作用”对应为“和”。其中“谐则”定义为有关物的“优化设计”的机理、规律或者主张;“和则”定义为有关“人的能动作用”的机理、规律或者主张。和则、谐则围绕和谐主题在不同层次间的关联互动定义为和谐耦合。和谐耦合的思路包括和谐主题(HT)辨识时的策略性思维;谐则 (XP) 分析时的程序及步骤思维;和则(HP)分析时的文化及人际思维;利用和则与谐则实现和谐主题时的系统性思维。

然而,和则与谐则的共同作用,并不代表和谐状态的必然出现,而是和则、谐则与组织运动过程中不断浮现的和谐主题之间的互动。和谐管理的目标就是不断化解这些不确定性。具体到组织内部人的要素的不确定性而言,应该尽量按照组织行为理论达到对组织内部不确定性因素的消减,促使组织达到和谐管理。

四、组织内部不确定性的博弈分析

在现代社会中,人们越来越追求个性化,因此组织中的个体利益和需要也呈现出多元化。在组织中,如果要使得组织价值与目标与个体利益和需要相一致,进而达到组织和谐管理,就需要使得多个利益主体都能够在组织目标实现的过程中也使自己的利益和需要得到相应的满足。和谐管理的实现机理是实现和谐主题下的和则与谐则的耦合,这个耦合点可以是动态的,也可以是相对静态的,但必须是均衡的。现在有些观点误以为组织管理状态达到了均衡状态,就是实现了和谐管理。然而,事实可能并非如此,在管理实践活动中,组织内部的不确定性风险是影响组织实现和谐管理的决定性因素。

1.不确定性风险

在一个组织中,可能存在组织价值和目标和个人利益与需求发生冲突的问题。组织与个人的价值和目标就可能一致,也可能不一致;而个人的利益和需求在组织价值和目标实现的过程中可以得到满足,也可能得不到满足,那么就个人根据自身利益和需要的实现情况可以选择服从组织的价值观与目标,追求组织利益;也可以选择不合作但是留在组织内并利用组织所赋予的优势为自身收益,即追求个人利益。而后一种选择的不确定性,给组织带来很大风险。于是,组织与个人之间就形成了博弈关系。

根据委托―理论,组织与个人之间信息不对称,组织对个人的行为的监督存在困难或者成本太高,组织无法完全掌握个人在组织中的努力程度以及是否不恰当利用组织资源牟取私利。组织往往只能根据组织的最终收益判定个人的努力程度,而这样就可能导致组织无法公正合理地对个人进行评价和激励,从而引起个人的满意度、组织认同和组织承诺下降等负面影响。另一方面,个人在这种情境下会减少努力程度,进而导致组织绩效的下降,组织绩效反过来也影响个人的收益。综上所述,个人从组织中获得回报可以划分为经济回报和情感回报两个方面。

在组织与个人的博弈中,假设组织和个人价值与目标相一致,个人利益和需求可以得到满足,个体追求组织利益,组织收益为R,个人收益为W(R)+P;如果组织和个人价值与目标不一致,但是个人也选择了追求组织利益,因此,组织收益仍然是R,个人收益降为W(R);如果组织和个人价值与目标一致,个人却选择追求个人利益,则组织收益为R’,个人收益为W(R’)+P+X;如果组织和个人价值与目标不一致,个人也选择追求个人利益,组织收益为R’,个人收益为W(R’) +X。其中,W为个人从组织中获得的经济回报,是组织收益的函数;P 为个人从组织中获得的情感回报;X为个人利用组织赋予的优势为自身谋求的其他收益,由于这个收益是不确定的,因此可以看作是风险收益; R>R’。那么,组织和个体形成的博弈矩阵如下:

在这个博弈矩阵中,从组织的角度来看,个体选择追求组织利益对组织价值与目标的顺利实现是最有利的,组织收益也最高;从个体的角度来看,正是由于风险收益X的存在使得个体的选择存在很大的不确定性,个人的行为会根据X的变化而变化。如果组织与个人的价值和目标一致, 且W(R’) +P +X >W(R)+P,则个人选择追求个人利益;如果组织与个人的价值和目标不一致,且W(R’) +X >W(R),则个人选择追求个人利益;综上所述,当X >W(R)-W(R’)时,个人就会选择追求个人利益。

在图1的博弈矩阵中,只有组织与个人的价值和目标一致,个体也选择追求组织收益的情况下,组织实现了和谐管理,组织收益最大。而其他3种情况都是不和谐的,要么个体收益减少,要么组织收益减少。而风险收益X的存在,增加了个体行为的不确定性,个体行为根据X的大小产生一系列变化,甚至可以使和谐变为不和谐。

风险收益X是个人追求个人利益时的收益,这个收益是个人利用组织赋予个体的身份、权力,信用,技术等有利条件为自身谋求更大的收益,但是这种收益具有很大的不确定性,而且个人在谋求风险收益的过程中,也会影响组织的收益,妨碍了组织价值与目标的实现。反之,组织收益的下降,最终也会导致个人利益受损。因此,组织要想达到和谐管理,就必须控制风险收益X的变化。

2.从不确定风险到和谐管理

根据以上的分析,组织要达到和谐管理,防范并消除不确定风险的主要途径是要解决和控制风险收益X。然而,个体的风险收益与组织有着密切的关系,是个体利用组织所赋予的优势获得的,离开了组织,个体的这种优势也就不存在了,个体的风险收益也会随之消失。由于进入组织的个体都存在获取风险收益的可能性,因此组织要解决和控制风险收益可以从以下几个方面考虑。

首先,组织在招募新员工时,应以组织的核心价值观为依据,尽可能的招募价值观与组织价值与目标相匹配的员工,并尽量将个人目标与组织目标结合起来。对于个人价值观及目标与组织价值观与目标不匹配的个人应尽量避免招募,降低组织价值观与目标与个体价值观与目标不匹配带来的潜在风险。

其次,组织应该在和谐管理的主题下检视制度建设,采取有效的监督和激励机制,尽可能降低或消除风险收益对个体行为的影响,避免不确定性风险,消除员工选择服从个人利益与需求而不与组织合作的可能性。

第三,组织应该重视对员工的培训,重视企业文化建设,使得员工从价值观上认同组织,愿意为实现组织价值观与目标做出努力,诱导组织氛围走向和谐,并在此基础上实现组织和谐管理。

五、结论与讨论

组织能否实现和谐管理是个人与组织博弈的一个结果,而不是惟一的结果。个人与组织在价值观与目标上是否匹配,个人的利益和需求是否与组织一致并服从与组织,是决定博弈结果的两方面条件。由于个人在组织中的行为具有很大的不确定性,即使组织的价值与目标和个人的需求与利益时一致的,个人对于风险收益的追求也导致了个人与组织可能形成两种不同的均衡,但是均衡不一定就达到了组织和谐管理。以上分析表明,只有个人与组织的价值观与利益一致,才能达到组织与员工个人双赢的均衡,才能实现组织和谐管理。

综上所述,个人在组织中追求风险收益会增加个体行为选择的不确定性,这就给组织提出了一系列课题,要求组织在员工招募、制度建设、企业文化建设上采取有效措施,促使员工与组织的价值观与目标相一致。组织还应当重视员工正当的利益与需求,重视员工个人发展,使员工能够分享到组织成长所带来的收益。在和谐管理的主题下,加强人与组织匹配的研究,是一个重要的课题。

参考文献:

[1]西安交通大学管理学院和谐管理研究课题组. 和谐管理理论的研究框架及主要研究工作[J].管理学报, 2005, 2(2): 145～152

[2]Peter F. Drucker. The Coming of the New Organization[M]. Harvard Business Review on Knowledge Management, Harvard Business School Press, 1998.1～19

[3]席酉民,肖宏文,王洪涛. 和谐管理理论的提出及其原理理论的新发展[J].管理学报,2005,2(1):26～27,30

风险分析的定义范文第2篇

【关键词】风险；风险分析；决策理论；不确定性；风险厌恶

一、引言

在过去的十年中，关于环境保护、福利和个人的安全，同时可利用自然和金融资源的优化配置等可持续发展问题受到越来越多的社会关注。因此，土木工程中的风险和可靠性分析方法，在过去的几十年里得到主要发展，并且作为土木工程应用中的一种决策支持工具其重要性也日益增加。尽管在一些专业领域，对风险管理，资产管理等行业的兴趣正迅速增加，然而，在土木工程领域，减少风险和风险缓解措施的相关计划并不被完全看好。风险和可靠性分析实际上是一个涉及多学科的工程领域，除了需要在一个或几个经典的土木工程学科有坚实的基础以外，还需要透彻的理解概率论、风险分析和决策分析。没有迹象表明，对风险评估的关注度将在未来减少。未来的发展和社会对基础设施的维护和保养将可能更多的需要加强对风险评估的关注。工程应用领域的风险决策分析的巨大需求和对各独立学科中的风险分析辨识的明显不足，其直接结果就是，经过多年发展风险分析的实践范围已扩大到相当广阔的范围。实践经验以及几个基准研究已经清楚地表明，根据各专业人士的执行情况和客户要求的不同，风险分析可能实际上代表不同的事情。这种情况并不令人十分满意的，风险工程专业应该努力定义风险分析，为风险分析确定一个最好的工程实践，并建立一个分类和风险分析的标准化框架。本文尝试提供一个关键的概述和关于风险分析的一般性讨论，目的在于解决土木工程设施所产生的一些特殊问题。本文强调为风险分析建立一个正式的基础的必要性，并考虑了决策理论的风险分析，讨论和分析了这个视角下的各种缺陷。

二、风险的定义

Risk是一个比较常用的概念，可以和Chance、Likelihood以及Probability这样的词互换使用，用来表明我们对某一讨论的事物的状态的不确定性。然而，既使我们可以从讨论的背景中理解不同的单词的具体含义，在工程决策中，我们依然有必要更加准确的认识风险一词。在后面我们将会看到，技术风险的典型定义是对一个特定的行为的预期后果。这种定义与保险业中关于风险，以及欧元、美元，人类的死亡人数，有毒物质的暴露极限等风险可能的解释是一致的。然而，尽管背后的理论和哲学的框架极其相似的，关于风险的定义、分析、处理和风险的监管要求，以及相关的术语，已经演变为不同的土木工程学科。

三、风险分析的具体实现

（一）概况

风险分析可以用一个通用的格式来表示，这在很大程度上与应用无关，风险分析是否执行与活动的风险是否可接受相关，或者是否为一个管理决策的基础服务。一种基于澳大利亚/新西兰风险管理的代码流程显示出风险分析不是一蹴而就的过程，由于系统需求的变化，操作经验的增加，以及其它与系统性能相关的新信息，决定了风险分析是一个需要定期监测和审查的过程。

（二）危险识别

土木工程设施中的风险分析的一个任务便是找出潜在的风险，即风险的来源。这个过程在风险分析中起着关键的作用，因为只有主观或客观上确定了危险的存在，才可能考虑风险的评估。如果所有相关的危害都是不确定的，则风险分析将导致有偏见的决策，这将导致不必要的付出，并且最终可能导致不可接受的对人和环境的高风险。不同的危险识别技术已在各种工程应用领域，如化学、核能和航空中蓬勃发展。其中主要有：初始危害分析（PHA）；失效模式与影响分析（FMEA）；故障模式影响及危害性分析（FMECA）；危险与可操作性研究（HAZOP）；风险筛查（HAZID SESSIONS）。土木工程设施中的风险很大一部分是由于人为失误造成的。然而，在设计、施工、使用和维护等方面，人为因素造成的危险很多时候都被忽略了。这就不能不引起了一些怀疑，风险分析是否是确保系统安全的唯一方法。

（三）逻辑树分析

如果已经确定了系统工程中风险的不同来源并且分析了风险的成因，那么逻辑树可以用于全局风险的进一步分析，并对各个组成部分的风险贡献做出评估。在后面将要描述到的风险分析的理论公式中，逻辑树分析为评估各分支概率决策树以及相应的后果提供了工具。在目前的风险分析中主要使用以下的逻辑树的类型：故障树、事件树、原因/结果图。由于故障树不能直接适用于依赖性基本事件，他们不是很适合于对所谓的普通失效事件概率做出评估。对于土木工程的应用，这种局限是很严重的，依赖性是一个普遍的特点，而不是风险事件中的例外。原则上，事件树可以处理这种依赖关系，这看起来似乎是一个很有前途的一般风险分析工具。

（四）不确定性建模

风险分析通常基于已有信息的基础上，而信息通常为不确定或不完全的。事实上，在影响决策和风险分析的变量可能会受到几个来源的不确定性影响，这些大致可归类为：（1）固有的或现象本身的自然变异性（偶然性或1型不确定性）。（2）模型的不确定性：（i）不确定性，是否所有影响模型的因素都包括在内；或（ii）不确定性，模型如何描述各因素之间的相互关系（认识论或2型不确定性）。（3）统计不确定性（认识论的或2型不确定性）。对变量的了解程度越多，建模和统计参数的不确定性就会减少，例如通过收集和分析额外的数据和开发改进的预测模型。然而，未来的事件并不总是同历史数据直接相关的，在试图对超出数据范围的事件进行预测的时候，可能遇到意想不到的困难。不确定性的来源，即使是相同的设备，也总是依赖于风险分析的目的。例如，为设计新的设施，其不确定性可能基于现有设施的历史数据的分析（即过去的经验）。然而，这些预测的不确定性可能无法捕捉到真实的这一新的建筑设施的不确定性（如混凝土质量或操作环境可能不同于预测）。因此，后验风险分析将会提供更为精确的结果。在对随机或非平稳过程建模时，风险决策分析中的参考期也是非常重要的。例如，一个事件往往建模为遍历性随机过程，然而，长时影响或其他影响（如厄尔尼诺现象）可能也是需要考虑的。进一步的，短期参考周期的不确定性似乎显得更为合理，但当预测模型外推为长参考周期时，不确定性就可以很容易地扩展并增加不切实际水平的可能性。这种情况是可能发生的，例如，关于退化过程随机建模的长期预测的准确性是有限度的。最后，在许多情况下，风险分析中不太可能包括所有用于风险分析的概率模型的不确定性源。系统研究小组的专家表示，对于所有的失败事件，包括人为的错误，无法预料的失效模式等等，这些不确定性的来源本质上是非定量的。尽管如此，“最佳实践”要求执行质量保证措施和进行同行评审，通过改善不确定源来增加可靠性和分析的精确度性。

（五）风险评估

图1 先验分析和后给决策分析中的决策树

风险分析最简单的形式是所谓的先验分析法。在先验分析中，任何决策和活动之前，都会在统计信息和概率模型的基础上进行风险评估。在实践中，这通常出现在设计新设施的过程中。图1利用一个简单的决策树说明了先验分析的原理。在先验分析中，每一个可能的活动或选项的风险（预期效用）可以用下面的公式进行评估：R=E[U]=■P■C■，其中R是风险，U是事件，P■是第i个分支概率，C■是第i个分支事件的结果。

图2 预后决策分析中的决策树

后验分析原则上是和先验分析具有相同的形式，然而，在分支概率和（或）决策树后果方面的变化反映了所考虑的问题已经转化为风险降低措施、风险缓解措施和额外信息收集的影响。后验分析可以用来评估活动的效用，这实际上已经由亚曼迪蒂斯完成了。例如，为了评估现有设施，设施的测试和检查将被寄希望于揭示更多设计、施工中的失误，从而获取更准确的可靠性分析。

预-后验分析可以用图2所示的决策树的说明。关于活动中使用的预-后验分析最优决策法可能在未来得到执行。预-后验分析一个重要的先决条件是需要对未来的行动制订一个明确的决策规则，并将在计划动作的结果基础上产生效力。预-后验分析形成了一个强有力的决策支撑工具，并被广泛应用于基于风险的检验计划之中。然而，到目前为止的预-后验决策分析在风险评估中已被严重忽视。

需要注意的是，先验或后验决策分析中不同事件的概率可由逻辑树分析、经典可靠性分析、结构可靠性分析和其它联合方法来评断。因此，风险分析除了为决策制订提供构架以外，还在系统的各个方面包括因素模型中发挥效用。下面部分将讨论的风险评估需要的两个组成部分：结果分析和概率分析。

1.结果分析。失败事件的后果通常是由直接影响人民和他们的环境，如生命伤害和经济损失来衡量。大多数竞争的后果是造成低概率高损失的灾难性后果。例如，据迈耶估计，核电站事故的后果是可能造成大约140亿美元的财产损失和30年的期间内（早期的和潜在的死亡）超过48000人的死亡。

估计后果的最主要困难是如何是比较直接经济损失（建筑物的损坏，生产损失），间接损失（对经济增长的影响，失业率）和非货币损失，例如生命的损伤、对环境的破坏、社会分裂等。事实上，一些技术已经足够成熟，可以为不同活动造成的不同后果提供必要的比较手段。已经有各种尝试量化一个人的生命经济价值的方法出现，这些包括：（I）由于过早死亡而放弃的收入值为450000美元；（II）生命的统计价值相当于1600000美元至8500000美元；（III）政府补偿意外死亡金。然而，也许更有意义的计算方法是使用一个社会指标来反映个体对国民生产总值的贡献，人均预期寿命等时间。

考虑到基于政治愿望和环境保护相关的巨大的经济影响力，如海上石油生产设施的退役，清理被污染的地下水和太阳能的开发，构建一个与政治价值无关的环境质量保护一致性框架是非常重要的。最终，这与环境质量和人类的生活质量是息息相关的。

传统上，结果模型的分析一直是基于安全损失的基础上，即生命损失或损伤。然而，最近的工作已经开始注目于现有服务设施，主要关注的是大检查，延长使用寿命，保持老化的设施运转的维修费用等。在这种情况下，由于用户的延迟或停机时间造成的间接成本是可观的；例如，成本数据的分析表明，用户延迟和额外的车辆运营成本，比如交通改道或者桥梁关闭大约为初始建设成本的25%。

2.概率分析。经典可靠性理论用于分析不同载荷条件下的相同类型的，满足统计独立的大量因素构成的系统。这个发现在航空、核能、化学、建筑和工业过程中得到广泛应用。可靠性分析的理论基础是概率论与数理统计等学科，以及运筹学，系统工程与质量控制。这些因素的失败概率可以通过从操作经验观察得来的相对失败频率来解释。（1）经典的可靠性分析。如前所述，经典可靠性分析主要用于估计那些能够预测在设计和操作系统中起重要作用的技术元件寿命的统计特性。这些特征包括预期的失败率，风险函数，预期寿命和平均失败间隔时间。模型所考虑的系统通过逻辑树，其各个因素由决策节点来代表，从而可以评估各种定量措施的效能，例如系统在指定周期内失败的概率，在系统中引入冗余的积极影响，检查和维修活动的成本等。大多数的技术系统的失败率形如浴盆曲线。对于许多技术组件而言浴盆曲线是很典型的，比如出生缺陷，生产失误率等。当部件存活了一定的时间，这意味着出生缺陷是不存在的，可靠性随之增加。此后一段时间随着年龄的老化稳态性能发生变化。具有恒定失效率的功能检查部件很少使用，然而，对于具有缓慢增加的失败率的功能性检查部件可能是有用的，可以计划使用只要这样的失败率不超过一定的临界水平。如果失败率函数在开始是准恒定，然后突然有一个急剧的下降也没有太大的用途。但是，在这种情况下，替换策略更为合适。各种组件类型的浴盆曲线的有效性已经受到了广泛的质疑，不可能被认为是一直有效的。显然，图3显示的失败率随着时间的变化不是恒定的。在这样的情况下，随时间变化的失败率被称为风险函数。这是一个条件失败率，定义为组件或者系统在时间t时刻的失败概率。

一个重要的问题是在观察的基础上对失败率的评价。正如前面所提到的，失败率数据可以从不同的应用领域的失败数据库中获取。当然在评估失败率的时候必须小心，如果组件在观察期的初期并不是新的，其失败率可能会超过估计（值），如果观察到的时间间隔太短，可能观察不到失败的发生。对于这样的情况，各种文献提供了不同的方法来解决这个问题。另外，失败率也可能采用最大似然估计方法来处理，在这里选择的概率分布函数的参数可以在观察到的失败次数的基础上来估计。

图3 失败率函数的浴盆曲线

（2）结构可靠性分析与需求能力可靠性分析。关于结构组件或其它需求能力系统，如水坝，管道，机械零部件等的可靠性与电气元件相比较是不同的；即，在大多数情况甚至个别组件失效的机理下，既使许多年的时间间隔其发生失败的情况亦是非常罕见的。结构组件失效主要是由于极端事件，如极端风、雪崩、大雪、地震，或联合作用，而不是由于老化或系统退化。然而，当前土木工程设施的老化或者退化等其他形式的“故障”已越来越多的成为问题的源头。

对于可靠性分析，有必要建立基于参数的统计特性等可用信息的概率模型。这些信息可能包括有关年度极端风速资料，混凝土抗压强度等实验结果。事实上，荷载和抗压能力的概率模型的不确定性的一个主要原因是由于缺乏失败概率的相关知识，并且在此基础上进行评估必须对失败概率有充分的理解，即不再考虑结构的真实失败概率而考虑结构性能的不确定性。

对于一个结构组件，其不确定的抗力R和负荷S被建模为随机变量的概率密度函数fR（r）和fS（s），失败概率可以定义为：

P■=P（R≤S）=P（R-S≤0）=■F■（x）f■（x）dx

假设负载S和抗力R在统计上是独立的。抗力R的累积分布函数也可以被称为一个脆弱性曲线。脆弱性曲线是不依赖于负荷建模的，并有助于分离和确定抗力和负荷的不确定性对结构可靠度计算的影响。该系统性能和具有高负载的不确定性和可变性密切相关，如地震、飓风、洪水等。

在一般情况下，抗力和负荷不能仅由两个随机变量来描述，而是通过随机变量的函数来描述。因此，失败概率的一般公式可以通过以下的n维积分来确定：

P■=■f■（x）dx

其中f■（x）为基本随机变量向量的联合概率密度函数，积分范围为失败区域。除了非常特殊的情况下和大多数实际应用中的数值近似方法以外，要解决式中的积分问题是不容易的。结构可靠性理论的基本原理的描述也可在JCSS概率模型代码找到。

（六）最优性和风险接受准则

决策是一个复杂的过程，并且通常和政治关系交织在一起。一些风险评估问题试图解决包括：谁来承担什么样的风险水平？谁是风险承担的受益者和付出者？什么样的信息是“合理”的风险管理所必须的，以及应该怎样分析？什么样的行为有什么样不同风险的结果，谁来评估风险管理的成功或失败？谁来决定不同风险之间的平衡？

这些问题都不容易解决，不能脱离风险接受准则来单独解决风险评估问题，即，什么样的风险是可以接受的？风险接受准则的实施和发展涉及：第一，感知风险：确保系统风险水平是可以接受或允许的；第二，正式的决策分析：比较和平衡风险与收益的风险分析技术；第三，监管安全目标：发展和增强风险接受准则的立法和法律框架。

风险接受准则一般采用美国核管理委员会、英国健康与安全执行局和其他权威监管部门的规则，总体原则是：应尽可能合理压低（ALARP）或尽可能达到最低（ALARA）。例如定义为像 “低”，“合理”，“可能”，“达到”等等，这样的术语是非常主观的，容易被以保守的方式解释。

1.个人和社会风险。这里有一个值得注意的问题，就是要重新认识到风险接受是一个与人类权利相关的、基本的、哲学问题。联合国人权事务高级专员撰文对人类权利做了专门的规范，这里给出相关以便参考：

（1）所有的人都是生来平等的，有尊严和权利的平等与自由。他们赋有理性和良心，彼此间应有兄弟般关系。

（2）每个人都有生存的权利，都是自由和安全的个体。

（3）法律面前人人平等，并有权不受任何歧视，受到法律的平等保护。

宣言强调要考虑所有的人是平等的，而且强调个人人身安全的权利，道德和法律上的义务。因此无论可接受风险的标准如何制定，我们应该永远记住，上述人权基本原则是不可违背的。

众所周知，安全是需要成本的，下面我们将做更多的讨论，因此社会个体成员的安全保证与社会所能承受的负担密切相关。然而，对于社会代表都应该有一个总体的道德义务去考虑投资与开销等“所有的资源能否很好的安排”，以尝试达到宣言中的目标。

当讨论“可接受的风险”问题时，有些人对于什么是“可接受的”可能跟社会观点相比有不同的看法。每个人都有他们自己的风险体验，或在决策方面有自己的偏好。土木工程或任何其他活动中的可接受准则主要受到来自社会个体成员的偏好的影响，而不是社会的偏好的影响，个人的偏好可能实际上同社会的偏好在总量上是矛盾，因此有必要从社会的角度来看可接受性，并同时确保个人的基本人权受到保障。

2.社会风险及风险规避。个人风险和社会风险之间是有区别的，个人风险主要表现为每年死亡数，或者死亡曝光数等，而社会风险通常表示一个F–N曲线，是一个死亡数（N）的累积频率（F）。风险的表示方式可能影响对风险的认知，例如，在统计意义上，个人的死亡风险10-5与1000人被杀的社会风险10-8是等价的。然而，社会似乎更关心造成很多人伤害的惨重事件，而不是一系列较小的危害同样数量个体的系列事件。这种偏好表现为典型的F–N曲线，例如，图4表明一个人每年的死亡风险概率10-4和一个每年以10-6的概率造成10人相同结果的事件的偏好，这表明随着后果的增加，风险规避行为也在增加。然而，从纯理性的观点来看，这可以被看作是一个增加生命安全的合理途径。尽管使用F-N曲线作为风险分析有悠久的传统，但值得注意的是，F-N曲线并不能为比较不同活动之间的风险提供一致的方法。

图4 荷兰社会风险的安全目标

3.多属性和多目标风险决策分析。决策往往会导致不同后果，需要同时考虑如成本，生命损失，社区干扰和环境损害等等因素。此外，不同的利益群体可能有不同的目标和偏好，从而影响不同属性的组合效应。这种情况有时被称为多属性、多目标决策或者代表风险分析中的一个复杂的问题。从理论和方法上讲，在多属性、多目标决策理论的框架下，这些问题可以很容易地处理。然而，必须非常清楚的认识到，这些技术本身不对如何给不同的属性和不同的目标加权提供任何答案。无论拥有一个合理的方法的机会大与否，这个问题必须得到解决。如果有关各方之间的偏好是不可调和的，那么在一个基本的必要的决策分析调试之前，决策者必须明确并对各方偏好进行评估。然而，最后的加权决策和建立一个普通的共识面临着已有的决策理论的挑战。最重要的是决策理论不仅仅是 “一次性”的数值分析，而应该是一个动态的和透明的过程。

4.其他的考虑。可以理解的是，本文的重点是对风险的定量分析和如何用此作为决策的工具。在定性的意义上，系统知识以及在风险分析过程中增加的性能也揭示了关于如何改进系统性能方面的新的见解。可能是因为风险分析一般包括系统建模中的逻辑性、系统性和严格的方法，从而导致必须在任何定量的结果之前对系统性能增加一些理解。只要风险分析的目的是了解系统的性能，而不是一个“数字游戏”，例如用于满足定量风险接受准则，那么风险分析就是一个对于提高系统的安全性和性能的非常有效的工具。

四、结论与讨论

风险分析是通用的，因而其基本准则和理念是相同的，例如发电厂设备的最优化设计问题同1000座桥梁拥有者的资产管理非常相似。本论对这些原则提供了一个简短的概述，并重点讨论了的现行做法的不确定性和局限性。

相信风险分析师都意识到了这些问题，这是值得安慰的。也许更重要的是，把这类信息传递给他们的客户—即最终的决策者。经验表明，并非总是这种情况。因此，从广义上讲，有必要增加对风险分析的理解，这种理解是专门针对以下的个人或团体的。第一，风险分析师：提供更好的具有一致性的方法、模型和数据，从而提高风险分析的可信度。第二，土木工程师：能够给风险分析师提供相关信息，对风险分析的结果进行严格审查。第三，决策者（业主，政府，社区）：被告知他们的决定和他们的利害关系的合理性。

以下结论与建议（在没有特定的顺序）是互补的，可能适用于一个或多个的个人或团体：

1.有相当比例的工程师对风险分析持怀疑态度。原因可能包括“太难”，“太数学”，“不能想象如此低的频率”，“有一点物理意义”等，这些评论只是孤陋寡闻，只可能暴露出他们在正式的工程教育中接触概率理论和风险分析的不足。传统上，工程课程重点强调统计理论（如混凝土质量，水文）并不太在意概率论，但后者在预测失败概率的时候是比较有用的。而更多的重点需要放在风险分析和评估，规范发展，代码开发和资产管理的关系等方面。

2.对标准化的风险分析技术和概率模型的需求是明显

的，通过这个可以降低不同分析师分析结果的差异。不同分析师的结果如果差异巨大，可能被决策者、工程师以及公众所察觉，从而显示出其不精确的和不成熟的“科学”性，不能够为公共风险提供准确的预测。

3.应该承认，风险分析中的信息都应该以同样的方式对待。

4.人为错误是一个重要的风险源。风险分析可以限制那些可以量化的人为错误，但它本质上很难把包括诊断错误、高层决策水平或机构管理方面的失误包含进去。遗漏的人为错误来源于风险分析的假设、设计、建设和设施的运作。这些错误是否可以接受取决于如何使用风险评估结果。在某些情况下，如果风险分析师为土木工程设施建议的质量保证和质量控制在于考虑是否有助于提高人为错误的改善率，那么这是可以接受的。

5.对风险厌恶的处理很难达到一致性。如果F–N曲线，或其他不利的风险标准是风险评估的一个特征，那么在描述风险接受准则的时候这些特点应明确规定。这将导致一个更透明的决策过程。然而，更应该通过考虑结果模型去合理规避不良行为的风险。

6.现在有一个总的趋势，那就是有选择性的利用计算工具对风险的类型和用途进行管理，也就是说，在风险管理中标准化已经取代了传统工具。原则上，标准化并不是一件坏事，但是，我们应该把关注的重点放在工具的使用是否适当上。

7.在这些年来，社会的可用资源的很大一部分将继续或越来越多的花费在各种旨在维护环境效益的活动上。例如：过时的结构和设施的退役，减少二氧化碳排放量，无污染的能源和一些其他开发。这些大量的重要的问题，目前被一些相当武断的、激进的利益集团和政治家以任意的方式处理。这里有两个重要的方面应该被注意到，即该类问题的决策依据还不存在，因为我们提升环境质量方面还没有达成共识，其次，这种决策往往是在不知情的偏好的基础上进行。重要和更困难的工作仍然留待解决。

8.风险分析涉及的人员或公众安全或公共资源都应该受到强制性的质量保证和同行评议。质量保证程序可以专注于内部的程序和实践。同行评审应包括一个独立和严格的审查，由公认的专家进行风险分析和评估。

参 考 文 献

风险分析的定义范文第3篇

关键词：在险价值　BOT项目　风险分析　净现值

一、引言

BOT(Build-Operate-Transfer)是一种项目融资管理模式。BOT项目是指私营财团的项目公司(包括内资和外资)与东道国政府以契约方式签订特许权协议，由项目公司筹资和建设传统上由政府部门或国内单位承担的重大公共设施建设项目。项目公司在特许期内对项目拥有所属权、经营权、收益权。通过提品或收取服务费用。回收投资、偿还贷款并获取合理利润。特许期满后，则将该项目无偿转让给当地政府。BOT方式作为一种减少国家借款和吸引外资直接投资的有效手段，在许多国家和地区得到了广泛的应用。同时，因其较高的投资回报率。众多私营财团也愿意将资金用此方式投资到基础设施建设中去。然而，BOT具有规模较大、资金需要量大、技术要求高、使用期限长的特点，决定了BOT项目面临的风险因素多，风险高，并且存在极大不确定性。所以，研究BOT项目风险分析是十分迫切和必要的。

二、VaR简介

VaR(Value at Risk)也被称为在险价值或受险价值，它是指按某一确定的置信度，对某一给定的时间期限内不利的市场变动可能造成投资组合的最大损失的一种估计。设资产的收益为(v，预期收益为一定值EIV)，置信度为x％，则VaR可以由下式定义：

P(V

P(V

其中，VaR取损失的绝对值。

绝对损失和相对损失的区别在于考察损失的参考标准不同。绝对损失的参照物是期初的资产原值或投资额：而相对损失的参照物时期末的预期价值。从经济学的角度考虑，一般取绝对损失为准。

VaR是上世纪90年代才被引入的一种度量金融风险的新标准。1994年10月，JP Morgan公开了一个名为Risk Metrics的系统，该系统就是建立在VaR基础之上的。VaR是一种对可能给银行造成困难的坏结果的风险概念，而传统的波动率：系统风险和非系统风险三种风险度量是无法做到的。因此VaR迅速成为风靡全球度量市场风险的工具。1996年美国财政部货币监管署、美联储和联邦存款保险公司联合作出决定：从1998年1月1日起。美国所有银行必须实施VaR风险分析方法，并定期报告评估结果。VaR之所以发展如此迅速，是由它的特点决定的。

1、它用一个单一的数字捕捉了风险的一个重要方面。VaR直接度量损失的数值，比标准差、损失概率等风险度量指标更加直观。

2、它容易理解，应用广泛。VaR是损失的数值。不同风险因素的影响可以直接相加，询问简单的问题：“情况到底有多糟”。故而容易理解，应用广泛。稍作修正就能应用于其它风险分析系统中。

3、不依赖特等的概率分布假定。VaR的定义不要求研究的情况必须是正态分布。虽然最初JP Morgan的Risk Metrics系统是以正态分布为前提的。所以VaR可以将不对称分布期权纳入其中。

三、BOT项目风险分析应用VaR的必要性

VaR虽然广泛应用于金融风险分析，但数学上简单明了的性质同样可以应用于其它分析领域。BOT项目由于周期长、投资大，市场因素很难把握，而目前项目风险分析的方法相对陈旧，还没有专门针对BOT项目风险分析方法。在项目可行性分析中盈亏平衡分析、敏感性分析和概率分析三足鼎立。但是，各自又有诸多不足。盈亏平衡分析，产品价格不变、只生产一种产品假设过于简单，不能充分体现项目面临的风险。犹如应力测试的敏感性分析，只允许一种风险因素发生变化，其它因素不变。没有考虑因素相关性的存在和事件发生的概率。而这些恰恰是现实项目中普遍存在的。概率分析虽然引入了事件发生的概率，但并没有对概率以外其他因素进行详细的分析。如此，完全有必要将金融风险分析中的VaR引入到BOT项目风险分析中。

四、计算VaR的方法与步骤

1、确定收益指标

项目经济评价中一般有净现值(NPV)和内部收益率(IRR)两个指标，VaR计算的是BOT项目中预期最大损失，故应使用NPV指标。

2、风险因素分析

BOT项目风险众多，按类别可分为政治风险、建造风险、运营风险、市场和收益风险、资金风险、法律风险等。但并不是所有的风险都能从NPV中显示出来。从这点来讲，采用NPV指标也是有一定的局限性的，但较上述的三种分析方法还是有很大进步。

影响NPV的风险因素主要包括市场和收益风险以及资金风险。具体来讲包括通货膨胀、利率、汇率、折现率、原材料价格、产品价格、人均工资等。

(1)由于通货膨胀因素的存在，BOT项目的预期收益会发生变化，从而导致项目的资金风险。具体表现为因通货膨胀，银根紧缩，利率上升。致使资金成本加大；同时，价格上升，致使原材料的成本增加，带来资金风险。

注：本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文

(3)蒙特卡罗模拟(SMC)

该方法是使用取自正态分布的随机数来建立将来情景的一个分布。对于这种情景的每一个分布，运用某种定价疗法计算投资组合的价值，然后直接估计它的VaR值。SMC是计算VaR最有效的方法。能说明广泛的风险，唯一的缺点就是成本太高。

(4)历史模拟(History Simulation)

该方法对收益率的分布几乎不做任何假定，但假设在样本周期内。收益率分布是不变的。具体应用到BOT项目分析中，历史模拟需要一个足够长且充足的历史数据库。然后。假定项目在该段时间中的某一任意时刻开始，并在该段时间内结束。就算出项目的虚拟收益。重复抽样得到虚拟收益的分布并由此得到Vail值。该方法完全基于历史数据，所以不是最好的办法。

五、VaR在BOT项目分析中的应用领域

NPV和IRR收益指标虽也有风险分析，但没有形成一个统一的风险指标，更没有将两者结合起来建立一个经过风险调整的收益指标，这是不利用项目决策的。而VaR做到了这一点。在此借鉴基于CAMP模型建立的投资基金业绩评价体系来构建新的评价指标，如下：

SP=(NPV)/(VaR(NPV))

这一指标是在对Sharpe比率修正的基础上建立的，从上式可以看出SP是一个无量纲的量。在决定BOT项目项目是否可行时，可由项目公司设定一个基准B，当SP≥B时，该项目可以接受；SP

风险分析的定义范文第4篇

关键词：风险评估；管理工具；分类；选择；设计

中图分类号：TP311文献标识码：A文章编号：1009-3044(2011)30-7388-02

Research on Risk Assessment and Management Tools

WANG Fu-hua,YAO Jie

(Chongqing Communication Institute, Chongqing 400035, China)

Abstract: This article has carried on the detailed introduction to the risk assessment management tools, and introduced how to choose and design risk assessment management tools.Finally,it offers some ideas for information security assessment practice.

Key words: risk assessment; management tools; classification; choice; design

目前，网络安全问题已成为影响社会经济发展和国家发展战略的重要因素，信息安全评估工作的重要性不言而喻。信息安全风险评估工作是个极复杂又具有挑战性的工作，需要细致的工作，大量的支持性的专业知识的支撑，项目管理也比较复杂，因此如果要更好的完成信息安全风险评估工作就必须有一套非常实用的信息安全风险评估管理工具。一套使用的风险评估管理工具将极大地提高信息安全风险评估工作的效率和结果的正确性。

1 风险评估与管理工具分类

风险评估与管理工具是根据系统关键信息资产、资产面临的威胁以及威胁所利用的脆弱点来确定所面临的威胁、对风险情况进行全面考虑，估算出信息系统的风险情况，且在风险评估的同时根据面临的风险提供相应的控制措施和解决方法。

1.1 基于国家、政府颁布的信息安全管理标准或指南

目前世界上存在多种不同的风险分析指南和方法，不同的风险分析方法其侧重点和关注点各不相同。如：

NIST（National Institute of standard and Technology）的FIPS 65；

DOJ（Department of Justice）的SRAG；

GAO（Government Accounting Office）的信息安全管理的实施指南。

1.2 基于专家系统的风险评估工具

基于专家系统的风险评估工具主要通过建立专家系统和外部知识库，以调查问卷的方式收集组织内部信息安全的状态。对重要资产的威胁和脆弱点进行评估，产生专家推荐的安全控制措施。

基于专家系统的风险评估工具通常可以自动形成风险评估报告，根据风险的严重程度提供风险指数，同时分析可能存在的问题，并提供相应的处理方法。

COBRA(Consultative Objective and Bi-functional Risk Analysis)是一个著名的基于专家系统的风险评估工具，它是一个问卷调查式的风险分析工具，由三个部分组成：调查问卷生成、风险测量和结果分析生成。

基于专家系统的风险评估工具除COBRA之外，比较知名的还有@RISK、BDSS（The Bayesian Decision Support System）等工具。

1.3 基于定性或定量算法的风险分析工具

风险分析作为重要的信息安全保障措施，是信息安全体系不可或缺的一部分。而信息安全风险评估的算法作为风险评估的重要手段，很久以前就被提出并了大量的研究工作，其中一些算法已经成为正式的信息安全标准的一部分。早期的风险评估算法大部分仅仅作定性的分析，对风险产生的可能性和风险产生的后果只能按照高、中、低来区分，这种定性的方式无法准确地估算出风险产生的可能性和损失量。随着人们对信息安全风险了解的不断深入，获得了更多的经验数据，因此人们越来越希望用定量的风险分析方法反映事故发生的可能性。定量的信息安全风险管理标准包括美国联邦标准FIPS31和FIPS191，提供定量风险分析技术的手册包括GAO和新版的NISTRMG。

由于数据收集的困难，目前还没有完全定量的风险评估工具，现有的风险评估工具要么在定性方面有所侧重，要么在定量方面有所侧重。如CONTROL-IT、Definitive Scenario、JANBER都是定性的风险评估工具，而@RISK、Risk-CALC、CORA是半定量的风险评估工具。

2 常见的风险评估管理工具比较

CRAMM：CRAMM是1985年由英国CCTA开发的风险评估系统。CRAMM包括全面的风险评估工具，并且完全遵循BS7799规范，包括依靠资产的建模、商业影响评估、识别和评估威胁和弱点、评估风险等级、识别需求和基于风险评估调整控制等。CRAMM评估风险依靠资产价值、威胁和脆弱点，这些参数值是通过CRAMM评估者与资产所有者、系统使用者、技术支持人员和安全部门人员一起的交互活动得到，最后给出一套解决方案。

COBRA：COBRA是1991年由C&A System Security公司推出另外一个风险评估工具，用来进行信息安全风险管理方法，提供了一个完整的风险分析服务，并且兼容许多风险评估方法学（如定性分析和定量分析等）。它可以看做一个基于专家系统和扩展知识库的问卷系统，对所有的威胁和脆弱点评估其相对重要性，并且给出合适的建议和解决方案。此外，它还对每个风险类别提供风险分析报告和风险值。

@RISK是美国Palisade公司的一款软件产品，在世界范围内广泛使用，是构架在微软Excel之上的一套风险分析工具。在@RISK中，提供了一套完整的风险分析工具，包括可以自行修订的统计分配模型、蒙特卡罗检测、敏感性分析、环境分析、极限值测试等常用的风险评估模型。@RISK建立的流程包括：

1) 在Excel上建立需要分析的问题模型；

2) 确定需要输入模型的不确定值；

3) 通过模拟程序，对可能的参数范围进行分析，以@RISK内置的概率分布函数表示，然后确定模型的输出结果；

4) 产生需要的资料图表进行分析。

表1是对一些主要风险评估工具的比较。

表1

3 选择风险评估工具的原则

1) 根据实际环境和企业的需求选择

2) 风险评估工具应当能够精确地映射网络、应用以及进行攻击测试

怎样了解一个工具的实际功效？最有效的办法是搜索Web，查看媒体的评论，要求厂商提供其他客户的使用情况说明。正式购买之前最好测试一下工具的性能。大多数厂商都提供限制了功能的试用版本，通常是限制IP地址的范围。

3) 不仅要注意风险评估工具为目标平台提供的攻击脚本数量，而且要留意它们的更新速度。

纯粹的数量有时不能说明问题，因为有些厂商可能把许多相关的漏洞看成一个，有的厂商则把它们算作多个漏洞。一些较为优秀的风险评估工具，如CVE，把每一种测试都链接到了一个标准的漏洞案例ID。留意风险评估工具的更新频率，看看它是自动更新还是需要手工执行更新，还有，新的安全威胁发现之后它要多长的时间才能推出相应的更新？

4) 报告数量的多少，内容翔实程度，是否允许导出报表

只能内部使用的扫描结果报表也许能够满足最初的需要，但如果经常对系统进行风险评估，最好能够将生成的报表导出到外部数据库，以便执行对比和分析。

5) 是否支持不同级别的入侵测试以避免系统挂起

所有风险评估工具都有这样的警告：入侵测试过程可能产生DoS攻击，或者导致被测试的系统挂起。通常，在高访问量期间对担负关键任务的系统不应该运行风险评估工具，风险评估工具本身可能带来问题，引起服务中断或系统被锁死。大多数高质量的风险评估工具允许执行侵害程度较小的入侵测试，避免造成系统运行中断。

6) 是否需要在线服务？

有些风险评估工具以在线服务的形式提供。这种形式的优点是不占用硬件资源，可以从任何地方运行和获取报表，自动执行更新，一般而言总拥有成本也较低。缺点是服务的运行速度一般较慢，不象客户端产品那样容易定制。最后还有一点是，如果采用在线服务，则扫描出来的网络漏洞清单还将落入第三方的手中。

4 信息安全风险评估管理工具设计

信息安全风险评估管理工具的设计必须考虑到参考模型可能存在的变化，或者计算方法发生变化而导致的工具适应性的问题，还应该具有项目管理功能，统计分析，报表，辅助评估专家系统，查询，资产管理，更应该加入风险管理与控制模块，如果能提供与其他资产管理软件的接口就更好了。

为了适应评估工作模式，信息安全风险评估工具的架构应该选择B/S结构，评估小组和评估人是最终用户，系统管理员对信息安全风险评估工具进行维护和管理。系统架构如图1。

信息安全风险评估工具中应该包含威胁参考库、脆弱性参考库、资产分类库、可能性定义库，后果定义库、控制措施库等评估辅助专家系统库。这些库都可以自己定义，便于使用。评估小组可以在评估的各个时期都能够得到帮助。

资产管理模块应该包含资产的各种基本信息，包括位置、责任人、所属系统以及各种相关信息。根据不同资产的分类，相关信息也不同，这些相关信息都是有助于系统安全的相关信息。如资产的生命周期、系统补丁信息等。

信息安全风险评估工具需要实际使用的检验，将在不断满足客户的需要的同时逐渐发展、成熟。通过不断的改进和发展，相信信息安全风险评估工具将极大地推动信息安全风险评估工作的进行。

参考文献：

[1] 陈友初.信息安全风险评估的探讨与实践[J].广西科学院学报,2006,22(4):367-369.

[2] 杜辉,刘霞,汪厚祥.信息安全风险评估方法研究[J].舰船电子工厂,2006,26(4):65-69.

[3] 张建军,孟亚平.信息安全风险评估探索与实践[M].北京:中国标准出版社,2005.

[4] 赵战生,谢宗晓.信息安全风险评估[M].北京:中国标准出版社,2007,8.

[5] 冯登国,张阳,张玉清. 信息安全风险评估综述[J].北京:通信学报,2004,25(7):10-18.

[6] 关义章,戴宗坤.罗万伯,等.信息系统安全工程学[M].北京:电子工业出版社,2002,12.

风险分析的定义范文第5篇

【关键词】旅游投资项目；概率树分析；风险分析

近几年来，随着旅游业的迅猛发展，各地财政部门开始加大对旅游项目的财政投入，同时地方各组织以投资等方式进行旅游资源开发与重新整合。有的旅游投资项目最大程度上实现了经济效益、社会效益和环境效益，但也有的投资项目是失败的，如开业后惨淡经营、中途终止等，不仅给投资者造成了巨大的经济损失，也对当地的资源环境造成了破坏。因此，所有投资都不能是盲目的，对旅游投资项目的财务评价特别对其进行风险评价，分析风险因素在此显得尤为重要。

1.旅游投资项目

1.1 旅游投资项目风险的定义

目前关于风险有数种不同的定义：①损失机会和损失可能性；②损失的不确定性；③风险是实际结果偏离预期结果的概率，等等。本文侧重于第三种定义。

风险是客观存在的，所谓旅游投资项目风险是指投资商因对未来某旅游项目投资的决策以及客观条件的不确定，而导致该项目投资的实际收益产生负偏差的程度及其发生概率，即投资商在项目投资过程中，遭受各种损失的范围或幅度及其可能性，每种可能事件都可能使得企业预期的投资收益和其他方面发生变化。因此，投资风险分析是投资者最为关心的问题之一。

1.2 旅游投资项目的特点

旅游投资项目是投资项目的一种特殊形式，旅游项目的投资和其他投资相比也有着自身的特点：

（1）市场风险大。旅游市场需求的日益多变、波动性强和市场竞争的日趋激烈，旅游项目要依托旅游客源和考虑游客量，不确定性因素较多，主要是会导致实际游客量与预测值发生偏离，从而造成风险。

（2）关联性强。旅游业是一个关联性和综合性极强的产业，旅游业的各行业、各领域都有很强的相关性。旅游投资项目必须先建立在旅游资源之上，以受旅游资源市场和旅游客源市场为依托，同时可以开发房地产、旅游饭店、旅游娱乐等其他相关配套服务行业，并且和当地的经济、社会和环境也有关联。

（3）受季节因素影响大。景观会受到季节等因素的影响，比如说，水上漂流活动受季节影响大，夏季是旅游旺季；淡季资产闲置浪费，旺季资产又常超负荷运转，周边的酒店入住率和餐饮业等都会受到影响。因此，对于一个旅游景点的投资开发，还要考虑投资项目受周边服务、本身所受到的季节影响等制约条件的影响。

1.3 旅游投资项目风险分析的意义

由于旅游投资项目本身的特点，对其进行风险评价和分析有重要意义。

（1）由于一般旅游项目的周期长，市场风险大，通过对旅游项目可能带来的风险及不确定因素进行有效的分析，提前从定性和定量的角度量化其风险程度，从而防止资金损失，避免盲目投资和浪费。

（2）由于旅游投资项目的关联性强，对旅游投资项目从建设投资、营业收入和经营成本等因素进行净现值的预测，有利于投资者降低一定的投资风险，实现经济利益的持续增长，促进旅游业的健康持续稳定发展。

2.概率树分析

2.1 概率树分析的定义

概率树分析是一种对风险因素的概率分布进行定量计算的分析方法，是在构造概率树的基础上，将风险因素以树形结构分解开来，逐项计算其概率，并计算项目经济评价指标的期望值及其大于或等于零的累积概率。

2.2 概率树分析的步骤

(1)选定项目经济评价指标。通常选择经济内部收益率、净现值、经济效益费用比等作为评价指标，本文选择净现值作为旅游投资项目的经济评价指标。

(2)选择风险因素。需要选定概率树分析中的不确定因素，在投资项目的可行性分析中，主要选择敏感性分析中的变量作为风险因素，比如建设投资、营业收入、经营成本。针对项目的不同情况，选择对项目影响较大的因素进行概率分析。

(3)预测风险因素变化的取值范围及概率分布。有单因素概率分析和多因素概率分析两种情况。假设输入变量有A、B、C、……N，每个输入变量有状态A1，A2，…，Am1；B1，B2，…Bm2…；N1，N2，…，Nmn个各种状态发生的概率为P(Ai)、P(Bi)、P(Ci)…、P(Ni)。

(4)根据测定的风险因素值和概率分布，计算评价指标的相应取值和概率分布。

根据概率统计，对于离散型随机变量Xi，如果其分布列是：

Xi: X1 X2 X3 … Xn …

P(Xi):P1 P2 P3 … Pn …那么随机变量的期望值就是:E(X)=∑XiP(Xi)

式中：E(X)―随机变量X的期望值；Xi―随机变量的各种取值；P(Xi)―对应于Xi的概率值。

关于项目经济评价指标的概率，如净现值出现的概率(Pi)是风险因素（建设投资、营业收入、经营成本）各自发生概率的乘积。而净现值期望值是风险变量不同发生概率下项目净现值与其出现概率的加权平均值。其表达式为:

E(NPV)==NPV1P1+NPV2P2+……+NPVnPn

式中：E(NPV)―净现值期望值；Pi―NPVi出现概率；n―计算期；NPVi­―净现值。

(5)计算财务净现值大于或等于零的累积概率。

首先将概率树右侧的财务净现值按照从小到大的顺利进行自上而下的纵向排列，同时也将其对应的概率值也进行自上而下的纵向排列；按照财务净现值开始大于或等于零的顺序依次选择概率值并进行累积求和，由此得出财务净现值大于或等于零的累积概率。由于只有在财务净现值大于或等于零的情况下，项目才在财务上可行。因此，可以计算项目在面临一定概率分布的风险因素的时候，财务可行的概率，并计算评价指标的期望值、方差、标准差和离散系数。而项目净现值≥0的概率为：

其中Ki为项目基准收益率。从净现值大于或等于零的概率的大小可以估计项目承受风险的程度，此概率值越接近1，说明项目的风险越小，反之，项目的风险越大。

3.案例分析

3.1 案例背景

A旅游投资项目位于广西省桂林市，以体育培训、商务会展、旅游接待服务为开发主线，同时进行商品房开发，形成一个功能完善、配套服务设施齐全的综合旅游度假区。该旅游投资项目不仅存在财务风险，也受到市场、资源、技术等方面的风险。广西桂林是个著名的旅游城市，开发旅游投资项目有利于广西经济的发展，促进经济结构的转型和建立真正的旅游强省，而对旅游投资项目进行不确定性特别是概率性分析，有利于对该投资项目的风险进行分析和评价。在对该旅游投资项目进行概率性分析时，选取经济项目评价对象净现值，对其进行敏感性分析后，选取建设投资、营业收入、经营成本3个风险因素作为变量，该项目投资的现金流量表在此省略。经调查建设投资、营业收入、经营成本3个变量各有3种状态，其项目的基准收益率为12%，其具体情况见表1：概率分布表。

3.2 计算分析

（1）计算各种可能发生事件的概率，建设投资、营业收入、经营成本3个变量各有3种状态，所以共有27种组合。图1所示有27个分支，圆圈内的数字表示输出量各种状态发生的概率。

（2）计算净现值，将建设投资、营业收入、经营成本分别增加25%为第一个可能事件，以基准收益率为12%重新计算净现值为2711.11万元，并以此类推计算其余26个可能事件的净现值。

（3）计算净现值的期望值。将各事件的发生概率与其净现值分别相乘，利用公式：

E(NPV)==NPV1P1+NPV2P2+……+NPVnPn

得出加权净现值，再求和得出净现值的期望值为1947.57万元，详见图1。

（4）计算净现值大于或等于零的累积概率。

通过计算：

而对项目是否可行要从投资回收期、内部报酬率等多个方面去考虑，但进行概率性分析，来进行项目的风险分析。通过计算该项目净现值大于或等于零的概率约为86.03%，比较接近于1，说明该项目风险不大。

4.结论与建议

旅游投资项目的风险是客观存在的，所以对其进行风险分析是必要的。投资者要树立正确的风险观念，增强风险防范意识；正确识别与估量风险；运用风险管理技术和方法，强化对风险的控制和处理，以克服投资决策的盲目性，为今后投资风险决策、预防和控制以及处理等提供准确依据，提高企业综合决策水平。

项目开发是一个牵涉多个行业的综合性开发，所以该项目的旅游开发工作实际上是一综合性开发，涉及面广，还需要争取政府各有关部门、银行和当地社区居民的大力支持。运用概率树分析法能有效的衡量风险，避免不必要的损失，增加决策的可靠性，达到经济效益、环境效益和生态效益的统一。

参考文献：

[1]游珠玉.旅游项目投资风险分析及风险决策[D].天津:天津大学,2006(1).

[2]蒋燕,陈华.旅游项目投资风险评价体系的研究[J].科学咨询/科技・管理,2011(4):70-71.

[3]王学平.概率分析方法在项目投资决策中的应用[J].山东煤炭科技,2011(1).