风险管理的主要策略
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇风险管理的主要策略范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
风险管理的主要策略范文第1篇
随着信息技术的大力发展,信息系统设计项目在企业或单位中所发挥的作用越来越大。因此,如何建设和完善信息系统设计项目已成为当前企业或单位亟需解决的重要问题之一。但是,因信息系统设计项目具有范围界定困难、运行环境复杂以及项目变更频繁等特点而导致在具体的实施过程中易出现风险问题。故而,对信息系统设计项目中的风险因素进行分析,有着重要的意义。本文根据相关的文献研究资料并结合多年的工作经验可知,信息系统设计项目的风险因素主要体现在以下几个方面:一是,需求风险,其主要包括功能需求、可靠性需求、环境需求、用户界面需求、安全保密需求以及资源使用需求等;二是,技术风险,其来源于信息系统设计项目在技术上是否可行、合适以及成熟,或相应的技术是否满足信息系统设计项目目标;三是,集成风险,其来源主要是如何将数据库技术、开发技术以及网络技术糅合在一起;等等。
2加强信息系统设计项目中风险管理的策略
风险管理是信息系统设计项目中的重要组成部分,发挥着极其重要的作用。在一定程度上,风险管理在信息系统设计项目中的合理运行能够减少风险的发生,从而有利于实现效益最大化的目的。同时,由于信息系统设计项目运行的环境较为复杂,导致在实际运行的过程中易出现风险问题。因此,企业或单位应采取行之有效的策略来不断加强信息系统设计项目中的风险管理,以此来尽可能地降低风险的发生概率。针对上文所述风险因素,本文根据相关的文献研究资料并结合多年的工作经验,共总结出以下几点策略。其具体内容如下:
2.1制定科学、合理的风险管理计划
在信息系统设计项目的风险管理中,风险管理计划是其关键环节。同时,风险管理计划也是信息系统设计项目中风险管理得以顺利开展的重要依据。因此,要加强信息系统设计项目的风险管理,企业或单位应根据具体的实际情况来制定科学、合理的风险管理计划。要做好这一点,首先,企业或单位应充分认识到风险管理计划的重要性。其次,相关人员应根据本企业或单位的具体实际情况,并结合相关的法律、法规来对风险管理的计划进行制定,以此来确保其计划的合理性和科学性。再次,为了增强风险管理计划的有效性和实用性,企业或单位还应及时地对其作出相应的修改和调整。最后,企业或单位还应根据风险来对信息系统设计项目中风险管理的成本、质量以及进度进行平衡。
2.2提高风险识别的能力
一般而言,“风险识别”是指将不确定性风险转变为明确性风险的陈述过程。同时,风险识别不仅是开展风险管理的第一步,而且存在于信息系统设计项目建设的后续过程之中。因此,要加强信息系统设计项目的风险管理,企业或单位还应采取行之有效的策略来提高风险识别的能力。要做好这一点,首先,企业或单位可以根据相关的文献研究资料,并结合相关方法(例如,问询法、项目分解法等)来对风险进行识别。其次,为了确定风险识别的全面性,企业或单位还应征求各方面的意见。通过分析相关的文献研究资料可知,信息系统设计项目中常见的风险主要包括人员职业素质不高、项目频繁变更以及使用过时技术等。最后,企业或单位应针对性地制定出相应的风险防范措施,以此来确保风险管理的有效进行。
2.3做好风险监督与控制方面的工作
所谓“风险监控”是指,在信息系统设计项目具体实施的过程中,控制风险发生的情况和监督风险管理的过程。对于风险管理而言,至关重要。换言之,做好风险监督与控制方面的工作是能够有效控制风险的重要途径之一。因此,要加强信息系统设计项目的风险管理,企业或单位还应重视并做好风险监督与控制方面的工作。要做好这一点,首先,企业或单位应不断更新风险监督与控制的技术。一般而言,风险监督与控制的技术主要包括预留管理、差异和趋势分析、技术绩效评估以及风险审计等。其次,企业或单位还应明确风险监督与控制的内容。通过分析相关的文献研究资料并结合多年的工作经验可知,风险监督与控制的内容主要包括监视残余风险、跟踪已识别的风险、评估某些计划对降低风险的有效性以及不断对新的风险进行识别等。
2.4组建一支高素质的风险管理人员队伍
在一定程度上,风险管理人员素质的高低直接影响了风险管理的水平。因此,要加强信息系统设计项目的风险管理,企业或单位还应采取行之有效的策略来组建一支高素质的风险管理人员队伍。要做好这一点,首先,企业或单位应根据的实际情况来建立相应的人才选拔制度和考核制度,以此来确保风险管理人员的整体素质处在一个较高的水平。其次,企业或单位还应定期对风险管理人员进行培训和再教育,以此来不断提高其专业素质。再次,企业或单位还应完善激励机制和奖惩制度,以此来稳定风险管理人员队伍和提高其工作的积极性。最后,企业或单位还应建立并健全相关的监督机制,以此来规范风险管理人员的职业行为。
2.5对项目需求范围进行明确
要加强信息系统设计项目的风险管理,企业或单位还应对项目需求范围进行明确。要做好这一点,首先,在信息系统设计项目的前期调研过程中,企业或单位应充分对客户现有的相关情况进行了解。同时,还可以采用原型法配合调研表格的形式来进行相关的调研活动。值得注意的是,应重点考虑到信息系统设计项目干系人的需求。其次,企业或单位还应引导用户将信息系统设计项目的基本目标描述出来。同时,还应策略性地提醒因功能实现导致的各种情况,如成本增加、技术复杂、进度变长以及质量的难以把控等。最后,企业或单位应在前期调研结果的基础上,通过双方的沟通确认来将信息系统设计项目的实施范围确定下来。除此之外,加强信息系统设计项目中风险管理的策略还包括严格控制项目的变更、定期举行项目报告和会议、制定应急策略以及制定风险防护措施等。
3结语
风险管理的主要策略范文第2篇
(一)会展项目的风险来源
会展项目最大的特点就是具有很大的不确定性,这些不确定性会在项目活动的实际开展中对会展项目造成很大的影响,影响会展活动的预期目标,甚至造成财产损失或者人员伤害等,这些不确定性因素是会展项目风险的总体方面的来源。从小层次来讲,会展项目活动中会有很大的人流量,所以,会展人员的行为也是会展项目风险的重要来源,他们的行为能够直接影响到会展项目的风险的受控程度。另外。会展的设备等设施也会成为风险的来源,例如设备安置不当,设备牢固性不强等造成一系列人员伤害或者财产损失等。这些会展项目的风险来源是风险管理策略研究的重要参考依据。
(二)会展项目的风险类型
会展项目在具体的开展过程中会存在多种多样的风险,这些风险由于归纳的原则不同,所以就会出现不同类型的风险。例如,通常我们把影响会展项目目标进度的风险称为进度风险,对会展项目实施阶段产生影响的风险称为实施风险;如果按会展项目风险的来源归纳可分为外部风险和内部风向,外部风险主要是由于会展外部环境等原因造成的,内部风险主要是由于会展项目开展中会展的内部因素引起的风险;如果按风险的属性特征分类,会展项目的风险类型可分为技术风险、财务风险、市场风险等。除此之外,会展项目风险也可分为质量类风险、预算类风险、时间类风险等。总体来讲,会展项目风险的类型不同会导致风险管理不同从而影响风险管理策略的研究。
(三)会展项目风险的主要特性
针对会展项目风险来讲,其自身的一些特性是我们研究风险管理策略不可忽视的重要因素。会展项目风险主要有四大特性。一是风险事件的随机性,在会展项目的开展过程中,有时会不可预料的出现一些风险事件,这类风险事件不再预期的计划或者意料之中,是随着某些突变因素而发生的偶然性事件,因此,在实际的风险管理过程中对这种随机性事件的处理是具有一定的难度的,需要提前做出相应的应对突变策略;其次是风险的渐进性,会展项目风险的出现往往不会是一层不变的,会随着项目活动的阶段呈现不断变化的趋势,可能是越来越复杂化,也可能是随着阶段的不同其风险程度不断减弱的趋势,针对这种风险的渐变特性,在会展项目风险管理过程中需要根据风险的变化特点来采取相关策略进行风险处理;再者就是风险的相对可预测性,这一特性在实际上是有利于风险的管理的。在会展项目开展之前通过预测相关风险可以在实际活动过程中及时应对项目风险,减少风险的损害;最后是风险的潜在损失特性,既然是风险就会对实际的活动造成不同程度不同类型的损失,会展项目风险的这一特性也是进行风险管理最为重要的因素,风险管理的目标就是最大化的减轻风险带来的损失,保证会展项目顺利的进行。因此,会展项目风险的这些特性能够对风险管理的规划产生很重要的影响,在进行会展项目风险管理策略的研究中必须依据这些特性来制定相关方案。
二、会展项目风险管理
(一)会展项目风险管理的概念
会展项目的风险管理主要是指在实际的会展项目开展活动中相关管理人员通过对可能影响会展开展的不确定因素进行预测评估,然后综合分析,采取有效的防治措施来避免风险的发生或者最大化降低风险,保证会展项目的顺利开展,达到预期的效果。
(二)会展项目风险管理的相关特性
会展项目风险管理的特性影响着风险管理策略的研究。会展项目风险管理具有时效性、有偿性、动态性以及信息依赖性等特性。时效性,会展项目风险管理的时效性主要是指在会展的不同阶段所面临的风险是不同的,所要承担的责任也是不同的。对于组织者来讲,根据这一特性只需要分析好每个阶段的风险然后采取措施承担这些风险即可;有偿性,会展项目风险管理的有偿性主要是指在实际的会展项目开展过程中用来防治或者最大化降低风险时所要付出的必要性的财力和人力等成本;动态性,会展项目风险管理是随着会展项目活动的相关因素的变化而变化的一个的动态管理过程,当会展项目的相关因素发生变化时,原有的相关风险就会发生变化,因此对风险的管理也就需要重新计划实施;信息依赖性,会展项目的风险管理首先需要获得关于风险本身的大量信息,并且分析相关信息来进行管理,因此,会展项目风险管理具有很强的信息依赖性。
(三)会展项目风险管理的相关内容
会展项目风险管理主要包括风险管理规划、项目风险的识别、项目风险的度量、制定风险的应对措施、项目风险的监测与控制。项目风险管理规划主要就是确定在实际的管理过程中如何进行项目风险管理活动,也包括制定相关风险管理计划等;项目风险的识别指的是确定项目的风险类型有哪些,基本特性是什么以及产生的主要影响,最后制定出相应的会展项目风险事件识别报告;项目风险的度量主要包括项目风险的定性度量以及定量度量等相关工作,这些相关度量工作又包括风险发生可能性的度量、后果严重程度的度量、风险影响范围的度量以及风险发生时间的度量等;项目风险应对规划简单来讲就是制定项目风险应对计划,通过对项目风险严重性的考虑来制定相应的应对计划,对严重性较高的项目风险来制定风险应对计划能够产生很好的效果,对相对严重性不高的风险可以适当放松计划的制定;项目风险的监测与控制就是在整个会展项目活动过程中依据项目风险管理计划来监测风险发生及变化,从而采取相应的措施控制项目风险。
三、会展项目的风险管理策略
(一)依据会展项目风险的相关内容进行相关风险管理
会展项目的风险相关内容主要有风险的来源、类型以及特性等,不同的内容对风险管理的影响不同。在实际的会展项目风险管理过程中,应该提前分析相关风险的来源以及类型,在依据风险的相关特性制定管理方案。例如,针对由不确定因素引起的项目风险可以提前预测好这些不确定因素,制定多种应对策略来处理这类风险。对于人为因素引起的风险可以在实际的会展活动中控制约束规范相关人员的行为来减少风险发生的概率。
(二)采取多样化的会展项目风险管理策略
会展项目风险管理策略需要多样化。首先需要风险的预防策略,对可能发生的风险进行预测估计,然后事先改变会展项目的相关计划来预防项目风险,避免风险的发生。例如,在实际的会展项目开展过程中可以适当的选择放弃某部分项目来避免风险的发生,也可以提前做好计划以及处理应对的方案。其次做好预防和较少损失的工作,对已发生的风险及时采取应对策略把风险带来的损失较少到最低。具体来讲,可以对相关会展工作人员进行安全防范教育或者培训;加强现场监控,保证会场能够在监控之下进行;加强治安工作等。再者是接受或共担风险,接受风险主要是对于会展项目影响较小的一类风险而言的,此类风险发生时可以及时安排相关人员疏散,进行医疗救治等。共担风险主要是通过与其他组织合作来降低会展项目风险发生的可能性;最后是做好保险工作,这一风险管理策略主要是通过借助保险机构或者公司来分担风险。多样化的会展项目风险管理策略能够对不同类型的风险进行及时的应对处理。
四、结语
风险管理的主要策略范文第3篇
关键词:商业银行;流动性风险;风险管理
中图分类号:F83 文献标识码:A
原标题:简谈商业银行流动性风险管理的问题与措施
收录日期:2013年7月4日
一直以来,商业银行承担着促进经济增长的国家宏观职能,又有着强大的国家信用支撑,人们总会将银行的命运与政府的支持紧密联系在一起,认为政府会承担银行的一切风险,银行不会倒闭,也不会发生流动性危机。流动性风险管理的主体是商业银行,然而我国商业银行内部缺乏完善流动性风险管理的有效机制,而且还没有形成对流动性监管的自觉意识。这导致我国商业银行流动性管理只注重流动性监管指标的良好表现,对提高流动性风险管理能力的重视度不高,对资产管理策略和负债管理策略的完善不积极,这使我国商业银行缺乏流动性风险的危机感。
一、我国商业银行流动性风险管理的现状及问题分析
目前,随着金融衍生工具不断创新,其在银行业务中占据的比重越来越大;同时,金融风险与市场不确定性不断增强,造成银行风险管理日趋复杂。这些都会直接制约商业银行的资产变现能力和获取主动负债的能力。银行业对外开放后,在批发和零售业务方面,国内商业银行处于劣势地位,就产品种类、质量和资金的安全性而言,与外资银行很难抗衡。因此,我国商业银行受到冲击的可能性逐步加大,商业银行流动性风险监管难度大大增加。
二、提高我国商业银行流动性风险管理的措施
随着国内宏观经济日趋走弱和国外市场复苏乏力,银行业面临的各类风险开始进入集中爆发期。同时,随着我国银行业改革和金融业对外开放的进一步深化,国内金融环境和银行系统正在与世界市场对接,而国外银行因为流动性风险而破产的案例也有可能在我国银行身上上演,提高我国商业银行流动性风险的必要性和紧迫性在加大。根据有关国内外监管机构流动性风险管理的相关政策,结合对国内外银行业流动性风险管理的分析和借鉴,监管机构和银行可以从以下方面提高我国商业银行流动性风险的管理水平:
(一)提高银行流动性风险管理意识。目前,我国商业银行因流动性风险而倒闭的银行很少,绝大部分银行从上到下对流动性风险的认识就显得较为薄弱。管理层不重视对流动性风险管理,没有按要求建立起完善的流动性风险管理体系,更不用说加大投入建立流动性风险信息管理系统;在具体的流动性风险管理方面,仅仅以满足银监会的监管目标为主要任务。因此,建议商业银行加强内部沟通力度,提高银行流动性风险管理意识。同时,提出具体的流动性风险管理方面的要求,要求银行在软硬件上予以满足。
(二)完善银行监管策略。商业银行根据不同指标的有效程度,设立一套完整的内部监管策略。商业银行内部风险管理部门应在总体上把握其流动性风险状况,重点关注特定指标异常情况下银行流动性风险的状况,在经济形势趋弱时,同时关注特定指标和综合指标的变动情况。
(三)提高银行流动性风险管理水平。进行流动性风险管理的根本在于银行自身,银行是流动性风险管理政策的执行者,能否积极有效地实施流动性管理办法是防止流动性风险爆发的决定因素。
1、提高全体员工对银行流动性风险的警惕性。针对流动性风险的防范意识不仅要灌输到银行的管理层,更应普及到银行的全体员工,需要银行全体员工对银行流动性风险有较强的意识。
2、保持流动性风险管理部门的独立性和有效性。流动性风险可能对银行乃至金融体系带来灾难性的影响,银行流动性风险管理部门的重要性就显得特别重要,期间难免出现权力和利益等方面的冲突,提高流动性风险管理的有效性,需要保持流动性风险管理部门的独立性。
3、实施全面的流动性风险管理。随着业务机构的不断调整,我国商业银行资金来源和资金运用均存在多样化发展的趋势,需把与流动性风险相关的所有要素都考虑在内,实施全面的流动性风险管理。
三、近期国内银行开展流动性风险管理的建议
去年国内银行集中爆发了各类银行风险,如信用风险、操作风险、声誉风险、法律风险的案件不断发生,银行关于流动性风险管理的压力逐渐加大。近期国内银行可以从以下方面开展流动性风险管理:
(一)完善流动性风险管理体系。根据我国银监会对流动性风险管理办法的要求,银行须建立完善的流动性风险管理体系,在“流动性风险治理结构”、“流动性风险管理策略、政策和程序”、“流动性风险识别、计量、监测和控制”、“流动性风险管理系统”等方面形成完整的框架。
(二)加大对流动性风险管理方面的培训。我国商业银行需要加大对员工流动性风险管理方面的培训,这不仅有利于提高员工形成流动性风险管理的意识,而且能够提高员工流动性风险的管理水平。开展培训可以选择内部培训和外部培训相结合的方式进行。
(三)测评各类风险案件对银行流动性的影响程度。针对国内发生的“上海钢贸企业信贷断链案”、各地频发的票据案、“杭州担保圈案”、“上市公司高额负债案”、“地方政府融资平台案”和“房产企业资金紧张案”等可能引发流动性风险的案件进行综合性测评,不定期的开展各项压力测试,根据测评结果调整资金来源和资金运用结构。同时,商业银行应及时向监管部门上报风险水平以赢得政策支持。
(四)拓宽资金来源渠道作为保持资金稳定的主要任务。我国商业银行经常在每月末、每季度末通过各种渠道获得巨额短期资金来“冲时点”,这种现象较为普遍,大额资金的不正常流动不仅会增大银行获得资金的成本,而且也会对银行造成灾难性的冲击。事实上,“冲时点”的这种现象本身就说明了银行在流动性风险防范方面的不足,这种被动式的流动性风险管理无疑可能放大银行的流动性风险。因此,想法拓宽资金来源渠道,保持资金来源的稳定性应成为商业银行近期开展流动性管理的主要任务。
主要参考文献:
[1]邓方园.商业银行流动性风险管理[J].经营管理者,2013.1.
风险管理的主要策略范文第4篇
关键词:企业风险管理有效性 公司价值风险管理策略
引言
在市场经济环境中,受诸多不确定因素的影响,企业在发展时往往会面临着很大的风险,对企业经济造成严重损害,如世界经济危机或金融危机等,破坏范围甚至会波及全世界。对实际分析可知,某些企业因危机破产倒闭,而某些企业却能够进一步发展,与其风险管理水平有着很大关系,如若加强风险管理,采取降低额外资本支出或提高资本使用效率等方法,对公司价值的提升将大有裨益。
1、企业风险管理及其不足
1.1、风险管理
企业风险指的是对企业发展形成阻碍、给企业带来重大损失的所有可能性因素,在任何企业或组织的经营发展中,都势必存在着各种各样的风险,这就要求必须加强风险管理,风险管理即能够识别风险并加以处理,进而实现可持续的价值最大化,可分为风险量化以及具体的管理程序两部分,具体包括对风险的识别、分析、整合、监控和应对等。
1.2、风险管理中的不足
风险管理中的不足主要有:
1.2.1、对企业的经济资本以及偿还能力有所忽视,在实际中,很所企业之所以会破产倒闭,很大一部分原因在于偿付能力的欠缺;
1.2.2、缺乏对结构性风险管理工具的重视,从当前来看,金融市场异常发达,在风险管理中必然要涉及到金融衍生品等金融工具,由于使用不合理,往往会给企业带来重大损失,如若对此有所忽视,风险管理的有效性必将难以充分发挥;
1.2.3、另外,对企业的利益相关者、可持续风险管理的重视不够,也是企业管理中的缺陷,尤其是当前,社会责任、环境问题等都是研究重点。
2、影响公司价值的关键因素
2.1、风险管理水平
企业风险管理水平与公司价值之间呈正相关,在相关的理论研究中,某些公司设置了首席风险官,且所处的层级较高,说明公司从战略上对风险是极为重视的,再加上对风险的认识和处理都比较全面,有很多可取之处。实践证明,从对企业规模、盈利能力、股权结构以及财务杠杆等因素的控制来看,风险管理与公司价值密切相关,且管理水平越高、能力越强,公司的价值越大。公司规模与公司价值呈负相关,即企业的规模越大,估值越低,在国内上市的金融公司中体现得尤为明显,如在2012年,工商银行的市盈率约为6倍,但小规模银行的估值可以达到9倍或11倍;盈利能力对企业价值呈正相关;财务杠杆和董事会结构的影响较小,而股权结构与其平方项的正相关和负相关,说明第一大股东持股比例对公司价值的影响是非线性的。
2.2、风险管理策略
企业可能是受到内外部各种因素的影响,才进行风险管理的,如股东要求、社会责任等,相应的管理策略也就可以分为两种,一是主动型策略,即企业结合自身状况而采取的策略,包括成立风险管理机构、利用结构性工具对冲公司经营资产的风险敞口等;二是被动型策略,即在外界影响下才进行的风险管理,包括保险公司的偿付能力监管导致的保险公司资本金管理等。相比较而言,主动型风险管理策略更有利于增加公司价值。
2.3、风险管理覆盖率及渗透性
在风险管理中,管理策略很重要,同时,管理的深度和广度也很重要,因为企业有其自身的内部组织结构,涉及诸多方面,且风险管理中的影响因素很多,必须做全方位的考虑,在深度、广度上都达到一定的要求,才能发挥风险管理的作用。同时,风险管理的覆盖率还是衡量企业风险容量的重要标准,覆盖率越大,说明公司价值越高。
3、如何加强风险管理
某投资银行成立于1995年,规模中等,储户主要为本市市民,在2008年美国次贷危机的影响下,股价逐季下跌,市值也大幅缩水,为此,银行采取了一系列措施。
3.1、加大外部监督力度
市场经济存在有很多不确定因素,经常会形成各种风险,所以企业在发展中,应树立起风险意识,主动加强风险管理。从国内的实际出发,对许多大型国有企业而言,因与国民经济发展密切相关,除了企业自身要重视风险管理,还应加大外部监督力度,促进企业的风险管理水平能够有进一步的提升。
3.2、创造良好的市场环境
以国内金融市场为例,其发展还有很大的不足,主要体现在经济发展和金融衍生品市场发展不同步,即国内的金融衍生品市场条件有限,而企业对其所需过大,只得通过境外市场满足要求,如此一来,对冲成本有所提升,再加上其过程比较繁杂,需要浪费大量时间,使得风险管理效率有所降低。所以必须为金融衍生品市场提供良好的发展环境。
3.3、企业自身树立风险意识
企业要想更好地发展,必须提高自身的经营管理水平,因此,作为市场的主体,企业首先要树立起风险意识,结合实际情况建立合理的风险管理理念;其次,还应选择较为适宜的风险管理工具,重视风险管理能力的培养,同时也应加大对社会责任的重视,并加强可持续风险管理,在此基础上方能提高企业的风险管理水平,为企业带来更大的效益。
4、结束语
在企业管理中,风险管理尤为总要,对企业的经营管理、经济效益以及发展水平有着直接影响,因此,必须加大对风险管理有效性的研究力度,并结合企业的实际状况,采用相应的管理策略,以达到增加企业价值的目的。
参考文献:
风险管理的主要策略范文第5篇
关键词:商业银行;电子商务;风险管理
商业银行从事金融业务面临着市场风险、信用风险、以及操作风险等,而电子商务的出现则加剧了上述各类风险发生的可能性以及风险发生之后的破坏程度。2004年以来,我国面临的网络仿冒威胁正在逐渐加大,仿冒对象主要是金融网站和电子商务网站。2005年上半年共收到网络安全事件报告65679件,超过2004年全年案件数,商业银行电子商务安全风险管理策略已成为理论与实践中必须重视的课题。
一、信息安全管理的历史演进与现阶段的特点
信息安全管理的策略大体遵循事件驱动(技术和管理脱节)-逐渐标准化(技术和管理逐渐结合)——安全风险管理(引入了风险分析)的发展路径。
(一)以事件驱动的初级阶段时期
19世纪70年代安全主要是指物理设备和环境的安全,人与计算机之间的交互主要局限在大型计算机上的哑终端,安全问题只涉及能访问终端的少数人。安全管理策略处于初级阶段,由事件驱动,没有形成规范的管理流程。在此阶段的前期,只重视技术手段。后期开始重视管理手段,但是技术和管理之间脱节。许多组织对信息安全制定了相应的规章和制度,但组织的信息安全管理基本上还处在一种静态、局部、少数人负责、突击式、事后纠正式的管理方式。
(二)标准化时期
企业开始将安全问题作为整体考虑,形成一套较为完整的安全管理策略,其中包括了安全管理的技术手段和管理制度(或称运作管理)。几乎所有从事电子商务的企业都拥有自己的安全策略,内容也包括了技术手段、安全管理制度、人员安全教育等等,基本上形成体系,技术和管理手段综合统一,但是安全风险分析还存在不足之处。
(三)安全风险管理策略时期
随着电子商务安全管理发展到一个比较高的层次,安全管理策略也演进到安全风险管理阶段。主要特点如下:
1.安全风险管理成为主流趋势;在安全管理策略的演进过程中,技术和管理手段综合统一、又融入了风险管理的分析、防范策略,从而安全管理进入了安全风险管理时期。西方商业银行已对安全风险管理形成共识。如安氏公司(is—One),认为信息安全问题最终将归结为风险管理问题,风险管理方法是建立良性的安全技术和管理体系的依据和基础。
2.安全风险管理的国际标准和各国的规范逐渐形成并趋于完善。国际上关于安全风险管理的标准有巴塞尔银行监管委员会的《电子银行业务风险管理原则》、英国标准协会制订的BS7799等。各国也日益重视安全风险管理,制定了许多规范。例如美国货币监理署(OCC)的《电子银行最终规则》、香港金融管理局的《电子银行服务的安全风险管理》等。中国银行业监督管理委员也于2006年颁布了《电子银行业务管理办法》,对国内企业的电子商务安全风险管理给出了指导意见。
3.利用外部专业化机构对金融机构的安全性评估已成为大部分国家的选择。电子银行面临的安全和技术风险,在相当程度上取决于采用的信息技术的先进程度,系统的设计开发水平,以及相关设施设备及其供应商的选择等;银行依靠传统的风险管理机制已很难识别、监测、控制和管理相关风险。同样,监管机构也难以完全依靠自身的力量对电子银行的安全性进行准确评价和监控。因此,大部分国家都采用了依靠外部专业化机构定期对电子银行安全性进行评估的办法,加强对电子银行安全性和技术风险的管理和监管。
4.在许多国家信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。业界的IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作,从经济学的角度出发分析风险,充分衡量保持安全的代价和收益之间的关系,寻求用最小的代价实现最大的效用,在风险分析中也形成一套较为成熟的模式。
二、我国商业银行电子商务安全风险管理策略的薄弱点
(一)系统管理思想缺乏
目前的电子商务安全风险管理策略,在全局上缺乏系统论理论的指导,在实际操作中受到多种多样的安全攻击时会不可避免地出现安全漏洞,无法形成一张全面有序的安全网络。
实践中被采用的安全风险管理策略,以及作为指导意见的规则规范,如《信息安全管理实务准则》(IS017799)、《信息技术安全性评估准则》(GB/T18336.1)、巴塞尔银行监管委员会的《电子银行业务风险管理原则》,尽管提出了比较全面的安全风险管理方案,层次上也比较清晰,但是还不足以作为一个风险防范系统。实践中,电子商务组织是一个复杂的系统组织,电子商务的安全风险管理体系和过程也是个复杂的系统。系统论、控制论的思想在电子商务安全风险管理中是不可或缺的。
(二)风险分析的模型与方法不成熟,定量分析不足
电子商务模式自身的发展历史也不过20几年,在风险分析的定量技术上并不成熟;如BS7799中推荐的电子商务安全风险管理中实施风险评估时,往往将威胁发生的可能性定性划分为几个级别,将威胁所造成的影响也定性划分为1~5级,实质上是将一些按照概率发生的事件定义为不连续的几个级别,在操作上易行,但造成了度量的不精确。在进行监控和审计之后,也存在无法量化、对比的问题。
(三)忽视与原有的传统风险管理策略的结合
本质上,电子商务的安全风险无非是新兴的商业模式对传统的风险的改变,以及产生的在传统风险控制领域暂时无法明晰的新风险;现有管理策略只从信息技术的角度、或者从偏重技术的角度看待问题,站在金融领域本身来分析研究较少。这种状况导致了对电子商务安全风险管理的研究无法立足于一个比较高的层次;忽略了风险的整体性,只进行偏信息和技术的研究,导致了现有的电子商务安全风险管理策略与金融机构原有的传统业务风险管理策略存在差距。对于商业银行而言,传统金融业务的风险控制与电子商务的技术风险控制,两个方面存在脱节,同样属于商业银行的风险,存在着不同的管理策略,导致多头管理、资源浪费、机构之间的扯皮,乃至缺位管理。
(四)风险管理策略无法
依赖外部的信息安全管理行业
在发达国家,信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作。商业银行采用依靠外部专业化机构定期对电子银行的安全性进行评估的办法,提高对电子银行安全性和技术风险的管理和监管。而国内初步建立了国家信息安全组织保障体系,制定和引进了一批重要的信息安全管理标准、法律法规,风险评估工作得到了一定重视,但与发达国家成熟完善的外部信息安全管理行业仍有很大差距。
(五)风险管理策略中商业银行的内部风险控制能力薄弱
我国商业银行目前均建立起统一的风险管理部门;但风险控制部门的职能、权限与花旗银行等体制较为先进的银行相比仍然存在较大差距,风险控制实质上仍然分散在各个子部门;风险的评估、防范与控制实质上完全依靠商业银行的电子交易部门;风险管理部门、内审稽核部门实质上无法控制电子商务安全风险。例如,风险管理部门接受了电子交易部的风险控制报告,表面上履行的内控审核的流程,但审核作用有限,无法完成电子商务安全风险管理中的监控与审计环节。
三、商业银行的电子商务安全风险管理策略的改进建议
(一)基于系统的思想构建商业银行电子商务安全风险管理策略框架
利用系统理论作为总体的指导思想,将电子商务安全风险管理策略本身当作一个开放的自适应系统。将商业银行电子商务安全风险管理中的各个环节组成循环上升的系统。
在商业银行电子商务安全风险控制的流程中,经过信息安全的风险评估、资产识别和选择、实施控制降低风险的措施、将风险控制在可接受的范围内,然后进行监控和审计;尤其重要的是把监控和审计所得到的内容作为新一轮风险分析输入,从而开始新一轮的风险管理过程。商业银行电子商务安全风险管理的各个步骤为动态的循环系统。每完成一个循环,安全风险管理的有效性就上一个台阶,商业银行的安全管理水平变得到了提高。
(二)电子商务安全风险管理中定量分析中的改进思路
商业银行可以借鉴成熟的传统金融风险度量中的一些方法来改变电子商务安全风险管理中对资产进行粗略的优先级别排序的方法。实践中,商业银行对操作风险的管理与对电子商务安全风险管理有其相似之处。巴塞尔委员会对商业银行的操作风险的内部计量法中规定,商业银行内部估计风险敞口指标、损失事件发生的概率、风险损失,巴塞尔委员会制定资本要求的转换系数;在度量损失的分布时,主要利用统计和精算技术。商业银行应通过数据库将威胁发生的频率、威胁所造成的影响等精确记录下来,利用现有的度量方法进行精确的风险定量分析的尝试。
(三)将商业银行电子商务安全风险纳入商业银行总体风险管理范畴
将商业银行所面临的全部风险放在一个框架中考虑。传统风险管理以及电子商务安全风险管理都是风险管理系统中子系统,二者相互联系、相互影响,不可分割。尝试借鉴信用风险与操作风险度量的方法与思想,短期内将其与信用风险控制衔接,最终形成一个全面的商业银行安全风险管理框架。
(四)商业银行要积极促进电子商务安全风险管理策略的改进(1)充分利用国内或国外能够获得的信息系统审计、外部信息安全评估等服务,采取定期评估审计、不断采取措施改善风险状态的策略;(2)在目前商业银行的组织与管理体制下,风险控制部门与传统金融业务部门的流程需不断改善,商业银行必须创造条件,加强风险管理部门与电子商务部门的交叉配合,包括各部门人员的配置、培训等各方面;使风险管理部门能够履行安全风险管理的监控与审计职能;(3)商业银行必须重视对传统金融风险与电子商务安全风险的统一度量问题的研究,不断提高风险管理部门综合控制风险的能力,充分考虑电子商务安全风险与信用风险、操作风险的交叉问题,为实现全面风险管理奠定基础。依赖外部的信息安全管理行业在发达国家,信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作。商业银行采用依靠外部专业化机构定期对电子银行的安全性进行评估的办法,提高对电子银行安全性和技术风险的管理和监管。而国内初步建立了国家信息安全组织保障体系,制定和引进了一批重要的信息安全管理标准、法律法规,风险评估工作得到了一定重视,但与发达国家成熟完善的外部信息安全管理行业仍有很大差距。
(五)风险管理策略中商业银行的内部风险控制能力薄弱
我国商业银行目前均建立起统一的风险管理部门;但风险控制部门的职能、权限与花旗银行等体制较为先进的银行相比仍然存在较大差距,风险控制实质上仍然分散在各个子部门;风险的评估、防范与控制实质上完全依靠商业银行的电子交易部门;风险管理部门、内审稽核部门实质上无法控制电子商务安全风险。例如,风险管理部门接受了电子交易部的风险控制报告,表面上履行的内控审核的流程,但审核作用有限,无法完成电子商务安全风险管理中的监控与审计环节。
三、商业银行的电子商务安全风险管理策略的改进建议
(一)基于系统的思想构建商业银行电子商务安全风险管理策略框架
利用系统理论作为总体的指导思想,将电子商务安全风险管理策略本身当作一个开放的自适应系统。将商业银行电子商务安全风险管理中的各个环节组成循环上升的系统。
在商业银行电子商务安全风险控制的流程中,经过信息安全的风险评估、资产识别和选择、实施控制降低风险的措施、将风险控制在可接受的范围内,然后进行监控和审计;尤其重要的是把监控和审计所得到的内容作为新一轮风险分析输入,从而开始新一轮的风险管理过程。商业银行电子商务安全风险管理的各个步骤为动态的循环系统。每完成一个循环,安全风险管理的有效性就上一个台阶,商业银行的安全管理水平变得到了提高。
(二)电子商务安全风险管理中定量分析中的改进思路
商业银行可以借鉴成熟的传统金融风险度量中的一些方法来改变电子商务安全风险管理中对资产进行粗略的优先级别排序的方法。实践中,商业银行对操作风险的管理与对电子商务安全风险管理有其相似之处。巴塞尔委员会对商业银行的操作风险的内部计量法中规定,商业银行内部估计风险敞口指标、损失事件发生的概率、风险损失,巴塞尔委员会制定资本要求的转换系数;在度量损失的分布时,主要利用统计和精算技术。商业银行应通过数据库将威胁发生的频率、威胁所造成的影响等精确记录下来,利用现有的度量方法进行精确的风险定量分析的尝试。
(三)将商业银行电子商务安全风险纳入商业银行总体风险管理范畴
