天天动态:风险分层管理范文

2023-06-30 16:01:29 来源 : 文秘帮

风险分层管理范文第1篇

综观目前有关公司财务风险管理的研究文献，我们不难发现两个问题一是现有的研究基本上是将公司财务风险作为一个整体看待，因而，规避和控制的手段也是全方位、多角度，成本高、耗费大，但效果不明显，且缺乏层次感，二是受传统部门财务观念影响，将财务风险控制的主体定位在财务部门，认为财务部门理所当然应该对企业的所有财务风险承担责任。笔者认为，将财务风险作为一个由财务部门加以控制和防范的整体，往往权责不清、目的不明，实际效果并不理想。财务风险产生的原因是多种多样的，企业不同管理层次所拥有的财权和承担的责任是不一样的，不同管理层次在风险控制中所能发挥的作用也是有限的。

(资料图片)

一、财务分层管理理论与财务风险的层次性特征

现代企业制度要求产权明晰、权责明确、政企分开、管理科学。从公司法人治理结构来看，公司财务管理是分层次展开的，管理主体及相对应的责权利是不同的。1997年，汤谷良、谢志华、王斌三位教授分别提出了经营者财务论、出资者财务论、财务经理的财务观以及财务管理的分层管理体系。这一理论将现代企业财务管理按主体划分为出资者财务、经营者财务、财务经理财务三个层次，其中，出资者财务是以股东及股东大会决议名义直接行使的对重大公司财务事项的管理，出资者财务的目标是其所出资本的保值与增值。经营者财务是以董事长和总经理为代表的管理层行使对公司日常财务事项的决策权和重大事项的制定权、执行权，其管理对象是全部的法人财产，经营者既要承担对出资者资本保值增值的责任又要承担对债权人还本付息的责任。财务经理财务则是经营者财务的具体操作性财务，它属于较低层次的财务管理，其主要任务是保证企业短期资产的效率和短期债务的清偿。

公司财务风险是否具有层次性特征是现代企业财务风险能否采用分层管理的关键。结合企业组织结构特征和财务分层管理理论，我们认为企业财务风险是具有层次性特征的，理由如下

1财务目标的层次性决定实现不同财务目标有着不同的风险。企业财务管理的总体目标是企业价值最大化，但具体到不同管理层次又有各层次的具体目标。出资者、经营者和财务经理目标不同，风险各异，目标的层次性决定实现不同层次目标有着不同层次的风险，尽管某些风险影响因素可能影响各个层次，但每个层次对这些因素的反映以及应该发挥和所能发挥的作用显然是不同的。

2财权在不同管理层次之间的分配决定着不同管理层次在风险控制中的作用不同。层级化的组织结构决定了不同管理层次在整个企业管理中的地位和作用及职责权限不同，各个管理层次的财务权限不同，承担的职责也就不一样，在风险控制中所能发挥的作用也不同。

3导致财务风险的各种因素产生作用的层面不同也表明财务风险具有层次性。财务风险是企业经营活动中各种风险因素在财务上的集中体现，由于企业各个财务管理层次上权责清楚，职责明确，不同时期、不同条件下各种风险因素发生作用的影响范围和深度不同。

笔者认为，公司财务风险可以根据公司财务管理层次划分为出资者财务风险、经营者财务风险和财务经理财务风险三个层次，公司财务风险应该是各个层次财务风险的总和，各层次的目标不同，存在各自的风险，他们的风险累加起来构成了企业财务总风险。需要说明的是，将财务风险层级化并不否认某些风险因素自上而下影响各层各级；也不排除某一层次风险控制不力而加大其他层次风险，产生连环效应；更不排除在对待某些风险时各层级之间的协调作战。强调分层管理，我们认为更有利于分清职责和各层次实现目标的业绩考评。

二、不同层次财务风险的特征及责任主体

基于财务分层管理理论和上述财务风险的层次性特征，将风险管理理论和分层管理理论结合起来研究企业财务风险管理，对出资者财务风险、经营者财务风险、财务经理财务风险三个层次进行分层管理就成为解决目前企业财务风险管理权责不清、效果不理想问题的一种新思路，也是现代企业在产权明晰、权责明确、政企分开后管理更科学的必然要求。

(一)出资者财务风险的内容与特征

这里所说的出资者财务风险仅指出资者与特定受资企业之间形成投资与受资关系所带来的财务风险，不包括出资者自身经营活动和其他投资活动所带来的财务风险。归纳起来主要有资本投资风险、资本减值风险、资本经营财务风险、获取股利风险以及经营者的道德风险五个方面。

首先，财产所有权是经济生活中最基本的经济权利，企业设立的根本目的就是为了财产所有权的维护和扩张。因此，出资者财务风险是企业最基本的财务风险，其风险程度在企业中是最高的；其次，在两权分离的条件下，生产经营活动交由经营者决策和执行，出资者对企业风险的管理主要通过一系列监控机制来实现。因此，出资者重视的是企业经营的结果而非过程，所以，这种风险具有一种静态性，再次，由于出资者对企业日常经营的参与程度低，其对企业的管理主要通过一些制度性手段来实现，因此，出资者财务风险是一种制度性风险。针对出资者财务风险的特点，我们认为，出资者应对上述五个方面的风险负责并采取相应的、合理有效的措施对其进行控制。

(二)经营者财务风险的内容与特征

经营者财务风险是指由于经营者财务决策失误或财务组织不当或财务协调不妥所带来的风险。其中，财务决策最为关键，财务决策中诸如筹资决策、投资决策、股利政策等长期财务决策是经营者财务的管理重点，由此而产生的企业筹资活动风险、投资活动风险和收益分配活动风险就成为经营者财务风险的主要内容。

与出资者财务风险相比，经营者财务风险有其自身的特点首先，企业经营者担负着出资者资本保值增值和对债权人还本付息的责任，因而必须从出资者和债权人双方角度综合考虑企业财务风险。其次，经营者财务涉及企业经营过程中现金流转的各个环节，风险存在于现金流转的各环节中，由此引出的经营者财务风险管理也必然是一个动态的过程。再次，经营者财务权既包括了企业出资者财务决策的执行权，又包括了企业日常财务活动的决策权和操作权。因而与出资者财务相比主要是制度性规定不同，经营者财务是制度性与操作性的综合，与此相适应。经营者财务风险包括了与企业财务相关的制度性风险和操作性风险。

(三)财务经理财务风险的内容与特征

财务经理财务注重日常财务管理，是经营者财务的操作性财务，其目标是保持企业短期偿债能力的前提下提高资金使用效益。正如詹姆斯·c·范·霍恩所说“本人在同许多公司财务主管的交谈中了解到，他们大部分时间花在管理流动资金上，长期投资和筹资决策等方面占用的时间较少”。财务经理财务主要强调的是流动性，一方面要减少流动资产存量占用，另一方面要加速企业流动资产的流动，缩短整个营业周期和提高流动速度，两方面相互作用，以提高企业整个资产创造现金的能力。因而，财务经理财务风险主要就是资产流动性风险，企业的现金收付风险、信用风险和存货风险等理所当然成为财务经理重点关注的对象。

风险分层管理范文第2篇

关键词：财务风险财务分层管理风险分层控制

财务风险管理是现代公司财务管理的一项重要内容。综观目前有关公司财务风险管理的研究文献，我们不难发现两个问题一是现有的研究基本上是将公司财务风险作为一个整体看待，因而，规避和控制的手段也是全方位、多角度，成本高、耗费大，但效果不明显，且缺乏层次感，二是受传统部门财务观念影响，将财务风险控制的主体定位在财务部门，认为财务部门理所当然应该对企业的所有财务风险承担责任。笔者认为，将财务风险作为一个由财务部门加以控制和防范的整体，往往权责不清、目的不明，实际效果并不理想。财务风险产生的原因是多种多样的，企业不同管理层次所拥有的财权和承担的责任是不一样的，不同管理层次在风险控制中所能发挥的作用也是有限的。

一、财务分层管理理论与财务风险的层次性特征

1.财务目标的层次性决定实现不同财务目标有着不同的风险

企业财务管理的总体目标是企业价值最大化，但具体到不同管理层次又有各层次的具体目标。出资者、经营者和财务经理目标不同，风险各异，目标的层次性决定实现不同层次目标有着不同层次的风险，尽管某些风险影响因素可能影响各个层次，但每个层次对这些因素的反映以及应该发挥和所能发挥的作用显然是不同的。

2.财权在不同管理层次之间的分配决定着不同管理层次在风险控制中的作用不同

层级化的组织结构决定了不同管理层次在整个企业管理中的地位和作用及职责权限不同，各个管理层次的财务权限不同，承担的职责也就不一样，在风险控制中所能发挥的作用也不同。

3.导致财务风险的各种因素产生作用的层面不同也表明财务风险具有层次性

财务风险是企业经营活动中各种风险因素在财务上的集中体现，由于企业各个财务管理层次上权责清楚，职责明确，不同时期、不同条件下各种风险因素发生作用的影响范围和深度不同。

二、不同层次财务风险的特征及责任主体

1.出资者财务风险的内容与特征

2.经营者财务风险的内容与特征

3.财务经理财务风险的内容与特征

财务经理财务注重日常财务管理，是经营者财务的操作性财务，其目标是保持企业短期偿债能力的前提下提高资金使用效益。正如詹姆斯・c・范・霍恩所说

“本人在同许多公司财务主管的交谈中了解到，他们大部分时间花在管理流动资金上，长期投资和筹资决策等方面占用的时间较少”。财务经理财务主要强调的是流动性，一方面要减少流动资产存量占用，另一方面要加速企业流动资产的流动，缩短整个营业周期和提高流动速度，两方面相互作用，以提高企业整个资产创造现金的能力。因而，财务经理财务风险主要就是资产流动性风险，企业的现金收付风险、信用风险和存货风险等理所当然成为财务经理重点关注的对象。

风险分层管理范文第3篇

关键词：股份公司财务分层管理权限规范

股份公司是企业的一种组织形式，他所治理的资产形成了公司的财务资本，主要包括有形资本、无形资本以及社会资本等诸多资本。其中财务资本主要是由股份公司的投资人和债权人投入的；社会资本是由政府等社会管理者投入的。人力资本是由公司的经营管理者投入的。每一个投入者都拥有资本的所有权，投入的目的都是为了能够获取更多的利益。所以，这些人构成了股份公司的相关利益者，都有权利参与到公司的财务管理中。但是他们与公司财务的相关程度都是有差别的，根据这些差别，将公司的财务进行不同层次的管理。将财务管理按照投资主体不同主要分为三个层次，主要包括出资者财务、经营者财务以及财务管理财务。不同层次所就有的权限和承担的风险等都各不相同。

一、出资者财务管理和权限规范

出资者主要包括公司的股东和债权人，他们是公司的主要投资者。这些都是股份公司的股东，股东要面临的都是特殊的财务问题，诸如股票的买进、卖出等，他们要时刻关注公司资本的增值，并努力建立一套完整的考核评价体系。这就是出资者面临的财务问题。股份公司是两权分离的经营方式，所以股东的目标要靠经营者来完成，所以，股东在公司中起到的主要是监管控制功能，其财务管理的关键建立财务的激励与约束机制。即出资者的财务管理活动主要包括选择什么样子的经营者，资金如何运用，运用方向如何，如何对经营者进行考核等等，将其进行概括就是确定经营者的财务责任，并确定考核办法，进行重大的财务决策。

同时出资者也存在着财务风险。本文所指的财务风险是指出资者与企业之间形成的投资与受资的财务风险。主要表现在：企业所面临的最基本的风险就是资金的风险，所以出资者财务风险是企业所面临的最基本的风险，风险程度也是最高的。由于出资者在公司只是起到监控决策的作用，在经营活动中的参与度较低，所以出资者的风险也是一种制度性的风险。要靠一些制度性的手段来避免。

二、经营者财务管理和权限规范

经营者作为企业的法人，是企业的资金管理主体。经营者主要负责企业所有的财产，承担企业全部的财务职责，所以，经营者作为股份公司财务管理的一个层次。经营者是公司财务的灵魂，他从宏观和微观的角度对企业的决策进行组织和协调。经营者财务管理的职责主要包括以下几个方面：制定公司具体的财务政策和财务策略；建立完善的财务组织机构和财务管理制度；招聘合格的财务人员并对财务人员进行有效的约束；经营者的财务权限主要包括：可以用合理的财务组织，制定出严格的财务制度，采取明确的财务管理政策，对财务进行管理。

当然，经营者在进行财务管理时也是存在着很大的风险的。经营者在进行财务决策时，如筹资、投资等决策，都会产生风险，造成损失。由于经营者财务到企业的经营管理中，所以其风险存在于资金流动的各个环节之中，具有动态性的特点。

三、财务人员财务管理和权限规范

财务人员对财务管理是具体的操作人员，它是直接的接触者，其主要职责是保证企业短期内资产的效率和债务的清偿。财务人员应该要注重公司日常的财务管理活动。他主要侧重的是企业的流动性，包括与银行等利益相关者之间的现金、财务、信用风险等。其工作的目标是保证企业短期偿债能力的基础上提高公司资金的使用效率。他们主要是管理资金的流动。减少流动资产的存量，提高公司流动资产的流动，缩短整个营业周期也提高流动的速度。所以财务人员作为财务管理独立的一个层次，其主要的职责包括：财务预测和财务预算以及财务分析；筹资与资本结构的管理；流动资本和信用的管理等等。所以财务人员财务管理面临的风险主要是流动风险。

公司员工作为与公司利益直接相关的人员，公司的财务与员工也是密切相关的。因为公司所做出的任何一项财务决策都会关系到员工的直接利益，相反，员工的工作表现和工作积极性也会发过来影响到公司的财务状况。所以员工完全有理由成为股份公司的一个财务管理层，去行使公司的监督和决策权。其主要职责是确认公司员工的理财权利，建立合理的激励机制和理财运作机制。

综上所述，股份公司是一种特殊的企业组织性质，它的专业化资产归属于不同的利益相关者。不同的投入者对公司的财务拥有不同的所有权，拥有不同的财务管理权利。因此根据不同投入者与公司财务的管理不同，对财务的分层管理和权限规范解决了现阶段股份公司财务管理中存在的诸多问题。将财务分层管理应用到股份公司中区，建立一套完整的财务管理体系，促进股份公司的长远可持续发展。

参考文献：

[1]时钰.公司财务分层管理体系构建与完善研究[J].财会通讯，2010

[2]贺静倩.公司财务分层管理模式研究[J].河海大学，2007

[3]冯巧根.股份公司财务管理初探[J].广西会计，2011

[4]倪米兰.财务分层理论及分层管理[J].时代教育（教育教学），2012

[5]张辉.财务分层管理思想研究[J].企业研究，2012

风险分层管理范文第4篇

【关键词】信息科技外包风险风险评估重点外包服务机构优化控制

一、背景

随着信息科技技术应用的深入和信息科技外包服务的发展，近年来我国商业银行普遍将信息科技外包作为提高信息科技服务水平的重要手段，通过信息科技外包帮助银行提高管理和服务效率，节约信息科技建设和运维成本，实现战略升级。

随着外包服务范围的扩大和深入，商业银行对于信息科技外包商的依赖程度也逐渐加大，外包商自身的财务风险、经营风险、操作风险和道德风险都有可能传导至商业银行，引发商业银行的业务中断、信息泄露、系统失效、经济损失、声誉受损等一系列系统性风险；另一方面，由于银行自身外包管理能力的不善，也引发了一些外包风险事件的发生。

监管机构近年来高度重视信息科技外包风险，对商业银行外包管理提出了更明确的要求。因此，如何在信息科技外包过程中科学有效的评估外包商的风险，是商业银行目前信息科技外包风险管控迫待需要解决的问题。

二、商业银行信息科技外包风险评估模型建立

（一）商业银行信息科技外包风险识别

信息科技外包是一种通过将风险发生时所造成的全部或部分影响转移给第三方服务供应商的风险转移措施，它使商业银行通过风险转移在一定程度上降低了信息科技风险事件发生时对银行造成的损失。然而，在将信息科技活动风险转移给第三方的同时，也带来了外包活动的相关风险。据此，本文从风险来源的角度将商业银行信息科技外包风险划分为两类（见图1）。

图1 商业银行信息科技外包风险框架

对于A类风险（商业银行信息科技外包自有风险）与B类风险（外包商信息科技风险），本文识别了风险存在的领域，依据因子分析法进一步分解了各风险领域下的风险因子。

1.A类：商业银行信息科技外包自有风险。本文根据信息科技外包生命周期和管理主体，同时参考相关指引和通知，梳理了5个风险领域：外包管理组织架构及外包战略管理、外包风险管理、外包项目管理、外包商管理、监管报告管理。在每个风险领域下，根据因子分析法又分解了17个可能诱发风险事件的风险因子。

2.B类：外包商信息科技风险。本文参考了ISO27001、ITIL V3和积累的经验，结合国际知名咨询公司的风险知识库，共梳理出9个风险领域：运维管理、信息安全管理、服务管理、问题、事件管理、变更管理、业务连续性管理、转包分包管理、公司治理。在每个风险领域下，使用因子分析法进一步分解了34个风险因子。

（二）商业银行信息科技外包风险评估模型

信息科技外包风险事件大都产生于银行自身或外部服务提供商内部控制管理的不善、人员或系统外部事件引发的损失，因此外包风险常常被归类为操作风险的一个分支。目前管理操作风险主要有三大定性工具，包括风险控制自我评估（RCSA），损失数据收集（LDC）和关键风险（KRI）指标。

基于操作风险的三大工具，将信息科技外包风险评估模型分为为银行信息科技外包自有风险与外包商信息科技风险两块，通过识别风险领域及其风险因子，为每一个风险因子找到多个可应对它的控制活动，且通过控制活动识别关键风险考核指标，针对每个风险因子可能造成的财务、合规、声誉、资产安全、运营影响发生的可能，确定各风险因子的风险值。关键风险考核指标主要划分为是否型指标（定性考核）和数值性考核指标（定量考核）。评估者可利用风险因子的风险值权重乘上每个关键风险考核指标的考核值，加权平均得到各风险领域的得分，进而得到外包风险的评分。

信息科技外包风险评估计量模型如图2所示，信息科技外包活动中的风险权重（本文中以W为标识）与每项关键考核指标得分（本文中以Yn为标识）共同构成了信息科技外包风险管理得分的因子。

图2 信息科技外包风险评估模型

本文通过下面的计量公式得到信息科技外包风险管理总分：

其中，Sp表示信息科技外包风险管理总得分，Sp值越大，说明信息科技外包风险越高；W（A/B）表示A类或B类风险单个风险权重，由判断条件O1外包服务影响确定纳入计算范围的总体风险池，O1的选择不同将导致风险总数不同，进而导致单个风险权重不同；Ri是五个风险影响领域财务影响、合规影响、资产安全影响、声誉影响、运营影响的出现的平均次数得出的风险值；Y（A/B）n表示A类或B类风险单项关键考核指标得分，由判断条件O2考核指标级别确定纳入计算范围的关键考核指标池。Y（A/B）n取值越大，说明单项考核指标得分越高。

根据计算最终外包风险评估结果时，银行信息科技外包自有风险（A类）和外包商信息科技风险（B类）时α和β的权重确定方法不同，本文将信息科技外包险评估模型设计为单一权重信息科技外包风险评估模型和分层权重信息科技外包风险评估模型。

1.单一权重信息科技外包风险评估模型。在单一权重信息科技外包风险评估模型中，每个风险领域和风险因子都是用单一同样的风险权重，α和β的值分别为A类和B类各风险因子个数占总风险因子的占比。

单一权重信息科技外包风险评估模型的优点是计算简单，操作性较强，具有很强的实际操作价值。但也存在一定的缺点，例如存在一定的主观性，精度不够，导致风险因子间相对重要性得不到合理体现。

2.分层权重信息科技外包风险评估模型。分层权重信息科技外包风险评估模型主要依据层次分析法（AHP）确定各风险领域的权重。AHP法主要将目标结果分解成多个层次，通过两两比较下层元素对于上层元素的相对重要性，将人的主观判断用数量形式表达和处理以求得评估指标的权重。

本文创新性的采用了yaahp层次分析软件，建立了分层模型，并得到每个风险领域和因子的权重（具体见表1）。

表1 风险领域权重

基于APH法的分层信息科技外包风险评估模型主要将上述风险权重加入风险评分的计算中。AHP分析法最大的优点是实现了定量与定性相结合，精度高，能准确地确定评估指标的权重，因而使评估指标间相对重要性得到合理体现，评估结果可能更精准和科学。实际外包风险管控中，商业银行可根据自身的风险评估需求，选择单一权重信息科技外包风险评估模型或分层信息科技外包风险评估模型。

（三）信息科技外包风险评估模型的评级说明

银行信息科技外包自有风险与外包商信息科技风险评级分为1～5级。1级是最高评级表示银行信息科技外包风险管理方式最有力，需要最少的监管关注。5级是最低评级，表示银行信息科技外包风险管理方式最弱，因此需要最多的监管关注及管理层重视。根据银行信息科技外包自有风险与外包商信息科技风险评级的1～5分评级结果，可以得到总外包风险的评估等级。

图3 外包风险矩阵

三、外包风险评估实证研究

（一）银行信息科技外包自有风险管理

本文针对农村金融机构、城市商业银行、股份制商业银行与国有商业银行，并针对不同外包服务类型，包括驻场、非驻场集中式、非驻场独立式与跨境外包进行模型打分和访谈测试两个步骤来验证银行信息科技风险管理评估模型中银行信息科技外包自有风险管理的合理性。

选择某银行的驻场式外包管理进行模型验证，从A模型中筛选出5个风险领域、17个风险因子与40个关键考核指标，采用单一权重评分模型，并将A模型使用及评分方法发予该银行的外包服务管理部门进行自评，并对37条关键考核指标逐一进行控制活动设计与执行层面的测试。

由于模型与测试结果的偏离度大于5%，对模型进行了修正，降低对应的风险值的同时，调整了各项关键考核指标的划分。通过重复自评、验证、调整的步骤，保证模型与实际的偏离程度始终低于容差水平5%。

（二）外包商信息科技风险管理

本文针对不同外包服务机构，包括重点外包服务机构和非重点外包服务机构，并针对不同外包服务类型，包括应用系统托管、基础设施托管、系统软硬件平台维护、开发与人力外包、咨询服务类进行模型打分和访谈测试两个步骤来验证银行信息科技风险管理评估模型中外包商信息科技风险管理的合理性。

在模型矩阵中筛选出“应用系统托管”适用的9个风险领域，31个风险因子，56条关键考核指标，选择单一权重评分模型，并将模型使用及评分方法发予该重点外包服务机构的外包服务管理部门进行自评。并对55条关键考核指标逐一进行控制活动设计与执行层面的测试。

由于模型与测试结果的偏离度大于5%，对模型进行了修正，降低对应的风险值的同时，调整了各项关键考核指标的划分通过重复自评、验证、调整的步骤，保证模型与实际的偏离程度始终低于容差水平5%。

四、商业银行信息科技外包风险防范的建议

综合上述商业银行外包风险评估模型和实证研究结果，本文总结了进一步防范商业银行信息科技外包风险的建议，主要包括：

一是审慎选择信息科技外包项目。商业银行在确定是否外包时，应综合考虑业务需求、预期投入和未来成本效益分析，根据银行业务未来的发展方向和战略，选择外包项目。

二是建立严格的外包商准入评估机制。建议商业银行建立科学的外包商准入评估机制和方法，在准入前、项目过程和结项时对外包商做出科学的评价，并建立外包商信息库，更新外包商内部评级至信息库，作为下次外包服务的评价要素之一。

三是实施贯穿外包项目全生命周期的管理。建立外包项目的管理小组，明确管理小组的成员和职责，该管理小组监控外包项目进度，实施外包项目全生命周期的管理。并且此外包项目的管理小组需要真正的在每个里程碑及时监控和反馈项目情况。

四是建立信息科技外包项目的防火墙。需要建立真正的风险防火墙，分析传导范围，采取适当的控制措施，将风险传导范围控制在最小化的信息传递之内。

五是通过损失事件库的积累，科学评定风险发生的可能性和预计损失，实现外包风险的监控和计量。并根据每项业务的外包的依赖度，依据业务重要性水平，实现相关风险损失准备金的计提。

参考文献

[1]张金隆，丛国栋，陈涛.《基于交易成本理论的IT外包风险控制策略研究综述》.管理学报，2009年.

[2]郭亮.《商业银行IT外包项目风险评估的指标体系及方法》.上海交通大学（硕士论文），2012年.

[3]吴文忠.《IT外包模式选择与风险管控》.金融电子化，2011年.

[4]毛基业，李晓燕.《动态能力构建：基于离岸软件外包供应商的多案例研究》.管理科学学报，2010年.

风险分层管理范文第5篇

《实施指导意见》共5章25条，包括总则；教育培训；作业安全风险管理；企业安全风险管理；电网安全风险管理；阐述了国家电网公司安全风险管理体系建设的基本原则；强调了开展安全风险管理教育培训的重要性及主要内容；说明了作业层、企业层、网省公司及总部层开展风险管理的基本流程和内容。这标志着国家电网公司关于安全风险管理体系建设的一些重要问题，如基本原则、体系内容、工作机制、重点要求等，有了一个比较系统、科学的阐述，和实事求是的定位，对于公司各单位立足实际，正确理解和开展安全风险管理工作，具有指导作用。《实施指导意见》基本原则和思路可以概括为24个字6句话：“坚定方向、理清思路、分清层次、分清专业、弄懂会用、持续改进”。

二、电力市场稳定性与风险管理措施

1、首先我们要坚定风险管理的发展方向。我们知道，安全管理的实质是风险管理，我们现阶段在公司系统中开展安全风险管理，实施危险源辨识、风险分析、风险评估、风险控制，逐步建立基于闭环过程管理的安全风险管理体系，这个体系的建立既是现代企业安全管理发展的必然方向，也是我们实现安全“可控、能控、在控”的客观要求。通过大力开展宣传动员和教育培训，使各级人员弄懂学会风险管理的基本知识，理解风险管理的意义、作用、内容和流程，供电公司各项工作，我感到抓的特别紧也特别实，我们现在搞宣传培训，实际就是在做这项工作，通过学习和培训来提高我们自身安全风险分析能力和安全管理控制水平。

2、理清风险管理的工作思路。在这方面，我们要坚持“以人为本、实事求是、注重实效、稳步推进”的基本原则，还要贯彻“分专业、分层次、抓培训、理流程、建机制、抓落实”的工作思路，（为此我们要）高度重视安全风险管理教育培训工作，奠定安全风险管理的良好基础。

3、建立分层次的风险防控体系。按照各自管理职责和工作特点，不同管理层次负责控制不同程度和类型的安全风险，逐级落实安全责任。一各部门有各部门管理的安全风险，班组长有班组长管理的安全风险，员工也即直接操作者邮资机的安全责任，逐级落实安全，责任具体来说，在工作中要掌握好一个首要任务和一个目标，首要任务就是供电企业以防止电网大面积停电事故作为首要任务，重点防控大面积停电风险；目标是无论供电企业也好、还是基建施工单位都要以提高员工安全意识和风险防范能力为目标，重点防控人身伤亡、设备损坏、供电中断事故风险；基层班组、工区、个人重点控制作业过程中的违章、误操作、人身伤害等各类作业安全风险。

4、建立分专业的风险防控体系。就是要发挥安全生产“三个组织体系”的共同作用。三个体系——安全保证体系、安全监督体系、安全责任体系，通过发挥三个组织体系的共同作用）形成专业配合并各负其责的安全风险防控机制。各级安监部门牵头制定安全风险管理总体方案和工作计划，组织开展宣传培训和风险评估，监督落实风险防控措施；那么，调度、生产、营销、基建等部门要按照“谁主管，谁负责”原则，负责管理范围内的电网、供电、人身、设备等各类安全风险的辨识、分析和防控工作，落实各自职责和义务。前面是分层次管理，这条是分专业防控。

5、弄懂学会风险管理的基本方法。要弄懂学会风险管理的基本方法作为每位员工来讲我们就要加强理论学习，正确理解安全风管理工作。因为它是对以往安全工作和现有安全管理手段的总结、提炼、延伸，是突出预防为主、实施过程控制、改进管理绩效的科学手段。通过学习并结合日常安全工作实际，学会并自觉运用风险管理的方法，达到发现危害、控制风险、预防事故、保障安全的目的。作业中存在的危险源是可以预控的。一般来说作业中存在的危险源可以分为两大类：一类是显现的危险源，通过现场考察或认真预知就可以发现。例如：正因为人们知道电气作业会有触电危险，所以事先戴好绝缘手套、穿好绝缘鞋，与带电体保持一定的安全距离。登杆作业前，人们也会预感到存在的坠落危险，因此，上杆之后，小心地挂好安全带。另一类是潜在的危险，因此，这就需要进行科学地辨识预控。潜在的危险也是一种客观存在的事务，只要是客观存在的事物，人们就有能力去认识它和控制它，这就需要我们加强安全理论学习，弄懂学会风险管理的基本方法。

6、建立持续改进的工作机制。应该建立一个怎样的风险管理工作的机制？建立完善有效的安全风险管理体系，关键在于持之以恒、常抓不懈、不断改进。认真组织制定各阶段工作计划和实施方案，严格按照计划和方案开展工作，注重加强过程监督和偏差纠正，在总结提炼的基础上，采取切实有效措施，实现下一轮工作的持续改进，这样才能不断提高企业安全管理水平。我们还要有条不紊地推进安全风险评估管理工作。

三、电力市场稳定性与风险管理结论

风险分层管理范文第6篇

金融衍生品具有跨期性、联动性、高杠杆性等特点，使得高风险高收益的金融投机特质十分突出，因此吸引了很多投机者参与。

但是，在追逐高收益的投机者群体推波助澜下，金融衍生品原有的规避和对冲业务风险的作用被忽视。这造成金融衍生品在各领域盲目扩张，泡沫化程度加深。

由于金融衍生品的存在基础――风险控制能力被漠视。最终，因业务风险的高度聚集，形成牵一发而动全身之势，最终引发金融风暴。

可以用管理学理论中的“长鞭效应”分析金融衍生品造成的恶果。

所谓“长鞭效应”，是指在管理的供应链传递理论中存在的一种现象，即一个信息流从最初传递方出发，通过逐级的传递，到达最终接收方时，信息内容已出现较大的扭曲，失真程度十分严重。

将最初传递方比作长鞭的根部，信息最终接受方比作梢部。一旦根部抖动，传递到末梢端就会出现很大的波动。

本次由金融衍生品引发的金融危机也类似于此。

当作为长鞭根部的基础性金融产品形成后，华尔街依据该产品的风险收益情况，将其与其他基础性金融产品或者衍生类金融产品进行重新配置、再包装，形成一个全新的衍生品种。

通过一次次的重新分配、再包装，许多复杂、涉及面较大的金融衍生品群就诞生了，而且这些金融衍生品种之间业务关联性很高。

但是，金融衍生品的业务风险情况却在包装和销售过程中，被金融工程理论、结构化设计等方式有意无意地隐藏起来，非一般人士所能了解和掌握。

在华尔街高举金融创新大旗，大力推广和创新金融衍生品的势头下，不仅造成金融衍生品市场发展远远超过实体经济所需的局面，而且也诞生了一个业务风险度高、业务品种密切联系的高风险金融市场。

而且类似鞭子根部的基础性金融产品与鞭子梢部的创新型金融衍生品之间的距离越来越远。

但两者之间的业务关联程度并不因此而降低，反而因为衍生品种之间风险因素多样化、综合化而出现业务风险较高的局面。

表面上看，衍生品业务的收益和风险被不同金融创新手段分割、分层、重新分配，其蕴涵的具体业务风险权重也逐步降低。

但是，一方面因为“长鞭效应”的存在，使得分层分级后的新金融衍生品的业务风险情况等信息严重失真。另一方面，衍生品复杂的结构、繁琐的设计等，使得各业务品种之间相关性提升，品种蕴涵的业务深度即风险因素种类，反而随着多次分层分级包装而逐步增加。

最终形成单一风险因素下降，综合风险因素广泛度提升，促使总体业务风险度上升的局面。

最终出现鞭子根部抖一抖，即基础性金融产品价格出现向下调整时，作为鞭子梢部的金融衍生品价格大幅下跌的状况。■

风险分层管理范文第7篇

关键词：发电企业；内部控制；研究

中图分类号：TP311 文献标识码：A 文章编号：1001-828X（2014）011-000-01

随着市场经济体制改革的不断深化，企业内部控制应当从内部会计控制和内部管理控制方面着手，在当前的形势下，如何提高发电企业自身的管理水平，显得尤为重要。电力企业的管理水平、竞争实力，是内部控制的关键，可以充分防止电力企业出现员工的不当行为、防止舞弊行为的发生，积极维护企业整体发展。实践中我们可以看到，随着市场经济体制改革的不断深化，由于诸多不确定因素的存在，严重影响了发电企业内部控制管理水平。因此，在当前的形势下，加强对发电企业内部控制键及其应用问题研究，具有非常重大的现实意义。

一、发电企业内控建设与管理中的问题

随着电力事业的快速发展，虽然国内发电企业管理水平有了很大程度的提升，但发电企业内控建设与管理过程中依然存在着一些问题与不足，主要表现在以下几个方面：

第一，对于内控概念和管理重要性的认识明显不够。当前国内部分发电企业的内控意识相对较差，未能真正的意识到内控对于企业发展的重要性，没有将内控管理真正融入到企业文化建设之中。

第二，没有建立系统、完整的风险评估机制。电力体制改革以前，电力行业一直作为我国国民经济生活中的基础垄断产业，置于优先发展的位置。企业的风险主要来自于发电机组的安全生产，其余的风险均可以在正常的生产经营管理之外，缺乏风险评估机制和风险对策机制。电力体制深化改革以来特别是近几年国家放开煤炭市场价格以来，发电企业的外部经营环境急剧恶化，经济效益急速滑波，市场竞争加剧，发电企业的危机感、紧迫感、风险意识日趋增强。经营者的风险观念也主要体现在对机组利用小时逐年下降、煤炭价格不断飚升的担忧以及节能减排指标和技术改造方面的压力。由于长期的行业优势和重生产轻经营的传统思想以及各种压力的突然增加，发电企业忙于应付眼前太多的矛盾和问题，缺乏深入细致的市场分析，还未及时建立系统的完整的风险评估机制，缺乏对各类风险的应对措施，这些均是发电企业实现有效内部控制所急需解决的问题。

二、加强发电企业内控建设管理的有效策略

基于以上对当前发电企业内控建设与管理过程中存在着的问题分析，笔者认为要想提高内控建设和管理水平，首先应当认真做好以下几个方面的工作：

1.加强思想重视，逐级分层建立和落实内控目标

第一，加强思想重视，努力促进企业管理层及其员工提高对内部控制内涵的正确认识和理解，才能促进内部控制规范的建设和实施。通过各种宣传和学习，使企业管理层和广大员工充分认识到内部控制是包含企业经营活动各个环节的控制过程，是一项复杂的系统工程，需要每个员工的参与。

第二，逐级分层建立和落实内控目标。首先，战略层面上要加强内控管理，逐级落实目标。发电企业建立内控规范下的分层目标管理体系，对企业的内控制度执行，具有非常重要的作用。通过建立健全战略层面的内控机制，将发电企业的发展战略目标分层细化，这有利于战略层面的内控目标制定与落实，从而形成发电企业战略管控规范流程。特别是对企业董事会等管理层的职能监督和控制，以确保企业内外部环境对战略目标实施的适应性，注重电力项目风险识别，积极采取有效的应对措施。其次，管理层面上要加强内部控制和风险防范。从发电企业管理层面上，加强发电企业内控管理，其中主要包括战略计划、风险控制、信息传递和内部约束激励措施等要素，最重要的是发电企业应对加强风险识别和分析，对项目、业务以及财务等环节进行事前、事中防御，从而使风险问题得以控制。最后，作业层面上要加强内控，规范和创新业务流程。发电企业作业层面上的内控，对于企业内控制度的执行、流程规范化，起到了非常重要的作用。作业层面上的内控，所强调的是对具体业务、任务的监督与控制。作业层面上的内控包括资产、资金、采购、生产业务和销售业务管理方面等诸多要素，即发电企业生产经营业务的落实环境，都是内控应用的控制对象。

2.建立健全风险评估和激励机制，加强发电企业内控管理

企业常见的风险包括战略风险、经营风险、信息风险、财务风险、环境与法律风险等。发电企业属于高风险行业，重大风险包括电网的异常跳闸、全厂停电、灰坝垮坍、环保事故以及重大设备损坏和人身伤亡事故等。企业必须制定包括安全生产、燃料采购、财务管理等业务相关的风险控制目标，设立可辨认、分析和管理相关风险的机制以了解发电企业所面临的来自外部和内部的各种不同风险。在充分认识和了解发电企业各种潜在风险因素的基础上区分固有风险和剩余风险，并分别进行评估相关风险的可能性和后果，根据成本效益原则制定风险的应对策略，对固有风险应当制定风险预案并经常演练，对剩余风险应当制定规避、降低、分担等风险应对策略。同时应当对发电企业的激励机制进行创新和改进，强化企业经理人的经营绩效科学评价，确保发电企业经营、发展目标的一致性，强化他们对企业的认同感，以此来提高发电企业会计管理工作的公正性。伴随着我国资本市场进入全流通时代，这种激励机制还将受到市场的最终检验，我国发电企业的内部结构构建道路依然漫长。

3.建设加强发电企业内控文化建设

对于发电企业而言，文化是内部环境中的特殊要素，发电企业的内控与文化建设之间存在着非常密切的关系，文化是发电企业生产经营理念和经营制度的共同价值观体现。通过健全发电企业的文化建设，可以使职工对企业产生依赖感、归属感，才能在内控管理过程中规范自己的行为，将内控管理制度落实到实处。对于发电企业领导层而言，应当注重内控制度的建设，在发电企业内控文化建设过程中做好垂范。

三、结语

随着发电企业外部经营环境条件的变化和市场竞争的不断加剧，发电企业开始意识到内部控制的重要性。在当前的形势下，应当立足实际，不断创新和改进内控管理模式，只有这样才能与时俱进，才能确保发电企业的可持续发展。

参考文献：

[1]张国丽.企业内部会计控制存在的问题及对策[J].中国集体经济，2011（25）.

[2]邓东伟.浅议发电企业内部控制的建设[J].北京：财经界，2011（08）.

风险分层管理范文第8篇

关于资产证券化的研究中，一个引人入胜的课题是资产证券化的结构特征。资产证券化与股票、债券等传统证券的一个明显区别就是证券化的资产是由多种资产组合成为一个资产池，这一过程称为合并（pooling），而证券化的产品往往会分为不同的层级，每一层级的证券拥有不同的偿还优先级和偿付方式，这一过程称为分层（tranching）。图1以CMO(抵押担保证券，CollateralizedMortgageObliga-tion)为例展示了资产证券化的基本结构。按照MM（Modigliani-Miller）定理，公司的价值和资本结构无关[1]，同样，不论是将证券化的资产整体出售还是分层出售，其总价值是不变的。那么为什么很多资产证券化产品（比如CMO，CDO（债务担保证券，CollateralizedDebtObligation））都有分层的结构呢？另外，理论上发行人可以单独用证券化的方式发行每一个资产，而没有必要将其合并为资产池出售。从分散风险的角度考虑，投资者完全可以自己购买每种资产发行的证券组成资产组合。合并资产池的目的一部分可以解释为节省发行成本，但是证券化资产池的一个特征是资产池中的贷款一般都是同一类型的，比如住房抵押贷款、汽车贷款或者信用卡贷款，而很少将不同种类的资产合并到一个资产池中证券化发行。可见，简单从交易成本角度考虑资产池合并问题是不完全的。目前学界对资产证券化的结构特征的研究还是很不完善的。分层结构在一定程度上可以引用现代的资本结构理论解释。但是证券化的结构与公司还是有着很多区别。首先，资产证券化不需要管理人主动进行投资管理，不存在过度投资和投资不足的问题；其次，资产证券化的SPV（特殊目的机构，Spe-cialPurposeVehicle）机构不存在税收优势和破产成本的问题。另外一些基于信息不对称的研究表明分层的设计可以降低信息不对称，从而降低发行人的折价损失[2-3]。但是这些模型通常只考虑把证券分出一个无风险的优先级。关于合并资产到资产池的研究很少，DeMarzo第一次同时分析了资产池合并与分层的关系[4]，但是也没有解释为什么实践中的资产池都是同一种类型的资产。本文基于投资者的信息不确定性研究了资产证券化分层的意义以及最优的分层设计，并通过分析资产池特征与最优分层的关系将资产证券化过程中合并资产池与分层出售两个最核心的机制联系起来。本文的研究结论表明，分层的意义在于能够降低投资者的信息敏感性，从而其信息不确定性对于资产价格的影响降低，降低发行者的资本成本。同时，合并的资产池对于资本成本有两个方面的影响，一方面，合并的资产池可以降低资产的波动率，从而降低信息敏感性，降低资本成本；另一方面，合并的资产池使得分层结构的效率降低，从而增加资本成本。两种资产是否应该合并到资产池中取决于这两种因素的相对强弱，对于同种类别的资产，第一种效应占优，因此合并到资产池中可以降低发行人的资本成本；对于差别很大的两种资产，第二种效应占优，因此合并到资产池反而会增加发行人的资本成本。本文研究的意义在于将证券化的合并资产池和分层出售两种结构设计联系在一起，并从降低投资者信息不确定性角度阐释了证券化机制设计的意义。第一，本文的研究解释了为什么很多证券化产品（如CMO、CDO）有分层的结构，而另一些（如MPS（MortgagePass-throughSecurity）①）没有；第二，本文的研究解释了为什么证券化产品中的最低层级通常被发行人持有；第三，本文的研究解释了为什么证券化产品有合并多种同类型的资产成为资产池出售。本文后面的内容如下安排。第二部分回顾与本文相关的文献研究；第三部分建立均衡模型计算最优的证券化结构设计，并把结果与资产池特征、信息不确定性联系起来；第四部分基于本文结论提出几点政策建议；最后第五部分总结全文。

二、文献综述

本文的研究属于证券设计（securitydesign）。Townsend和GaleandHellwig从事前信息不对称角度入手证明标准的债务合约是最优的债务融资手段[5-6]，AghionandBolton从事后的经理人道德风险角度证明了同样的结论[7]。但是本文并不试图寻找一个一般性的最优合约，而是在给定证券化“优先—次级”结构的基础上考虑最优的分层比例。一方面，这种合约形式在金融领域中广泛采用，另一方面，本文的研究重点在合并资产池和分层的相互作用上。证券化的分层机制类似于公司金融中的资本结构理论。与本文最为接近的理论是MyersandMa-jluf基于信息不对称的理论。Myers和Majluf从发行人和投资者的信息不对称角度出发，由于存在逆向选择，投资者认为只有较差的公司才会愿意发行股票，因此发行股票会有折价问题，而通过发行债券的方式可以降低发行折价。但是Myers和Majluf并没有考虑发行债券的成本，因此无法给出一个最优的资本结构。另外一篇基于信息不对称的理论提出者是Leland和Pyle，他们将发行人自己的持股量作为一个信号得到一个信号均衡，即通过信号可以显示公司的质量，但是这会使得发行人持有比最优持股量更多的股票。不过在证券化中，最低的股权层级证券通常全部被发行人持有，无法作为信号使用。Gorton和Pennacchi建立了模型分析金融中介的作用，他们认为有信息的交易者可以从流动易者那里获取超额收益，但是金融中介可以将资产的收益率分割为无风险的债券和有风险的股权，流动易者可以通过交易债券满足自己的流动性需求，从而减少自己的损失[2]。Boot和Thakor基于Grossman和Stiglitz[8]的有噪声的理性预期均衡理论提出分层机制的好处是能够产生无风险证券吸引没有信息的交易者，从而使得有信息的交易者在次级证券的市场上占比更高，提高市场的价格有效性从而降低交易成本。不过，Boot和Thakor的模型只能说明产生无风险的优先级证券有利，但并不能给出一个最优的分层机制设计。Glaeser和Kallal研究了MBS的合并资产池特性，他们认为合并资产池之后发行人更不愿意去获取私人信息，在一些情况下可以增加资产的流动性。但是在很多情况下，发行人一开始就拥有关于资产的信息，而且他们只考虑了像MPS这样的简单产品，没有考虑类似CMO的分层特征。Riddiough研究了信息不对称下的最优分层设计[3]。根据Riddiough的设定，虽然资产的价值不确定，但是有一个最低可能价值，如果优先级证券的总额低于这个最低值，那么优先级是无风险的，不会有信息不对称造成的折价。Gorton和Pennacchi[2]及Riddiough[3]都使用两点分布的模型，即在他们的模型中，资产价值只能取值为高或者低两种。在这种设定下，很难定量分析最优的分层结构，并且难以讨论资产特征对于证券化结构的影响。而本文采取连续分布的模型，能够得到最优分层结构满足的表达式，并且使用比较静态分析考虑各种因素对于最优分层的影响。DeMarzo[4]第一次同时分析了资产池合并与分层的关系，他使用D&D模型[9]证明，资产合并为资产池会有信息损失，从而降低发行人的福利，但是考虑分层机制后，资产池合并具有风险分散的效应，能够增加发行人的福利。DeMarzo解释了为什么资产证券化需要将资产合并为资产池，但是并不能解释为什么资产池中的资产类型往往比较单一，而这正是本文的创新之处。国内很少有关于资产证券化结构设计方面的理论研究。郭桂霞等[10]着重考察了资产证券化中风险自留监管的效果。所谓风险自留监管就是规定证券化的发行者必须持有证券化资产总额的一定比例。作者认为单一风险自留比例不具有普适性，并且加剧了逆向选择。他们的研究并不涉及资产池的合并与分层的过程。与DeMarzo等人的信息不对称模型不同，本文的信息不确定性虽然也源自信息不对称，但是并没有考虑投资者和发行人之间博弈的过程。这样考虑是因为在实际中，由于基础资产池各种各样，证券化的分层结构也多种多样，很难将这种结构与资产池信息直接联系起来。而且Benmelech等人的实证研究表明，证券化产品中的逆向选择问题并不突出。不确定性的概念由Knight首先提出。本文使用GilboaandSchmeidler的公理化体系处理信息不确定性。由于投资者对于资产的分布是不确定的，因此投资者有多种模型对资产进行估值。又由于投资者是含糊厌恶（ambiguityaversion），因此投资者会选择估值最低的模型。

三、模型

考虑一个一期模型，发行人和投资者都是风险中性的，使用无风险证券作为计价单位，因此无风险利率为0。发行人对现金有偏好，期末1个单位的支付对他来说的期初价值为δ。这个设定与许多文献相同（比如DeMarzo[4]）。发行人对现金的偏好可以理解为他是受到资本金约束的金融机构（比如银行），他面临着新的投资机会（比如发放新的贷款）但是缺乏足够的资金，因此有动机将现有资产转化为现金来进行新的投资。δ可以理解为失去投资机会造成的机会成本。假设发行人的期初收益和期末收益分别为W0、W1，则效用函数为U(W0,W1)=EI(W0)+δEI(W1)（1）发行人手中持有资产A，为了便于计算，假设它在期末的支付服从正态分布，均值为μ，标准差为σ。实际上证券化的资产池往往是由大量贷款组成，根据中心极限定理，其总价值的分布接近正态分布。当然，正态分布假设下资产价值有一定概率为负，我们忽略这种情况。前面的证明已经表明，对于同一种证券，发行人或者全部出售给投资者或者全部自己持有不出售，因此，在分层出售的机制下只有两种可能性：发行人出售全部的优先级证券，自己持有全部的次级证券；或者发行人出售全部的次级证券，自己持有全部的优先级证券。这是因为，前面的证明已经表明发行人不会持有部分的优先级证券或者次级证券。因此总共只有表1所示的四种情况。

四、总结

本文建立了一个具有信息不确定性条件下的均衡模型，给出了发行人出售证券的最优结构设计。主要得到如下结论：（1）通过分层的方法产生优先级证券可以通过降低信息敏感性来减小信息不确定性的影响。（2）信息不确定性越强，优先级证券的占比应该越低，发行人的收益会下降。（3）发行人的机会成本越低，优先级证券的占比应该越低，发行人的收益会上升。（4）当两种资产相关性较低而不确定性程度类似时，应该合并为资产池出售。（5）当两种资产相关性较高而不确定性程度差异较大时，应该单独出售。另外，结合中国的实际情况，本文提出中国发展资产证券化应该以小规模资产池结构，并采取CDO的分层出售方式为主。本文的一个不足之处在于只考虑证券化分为两层的结构，在实际中发行的证券化产品往往分为更多的层级（如图1所示的CMO有四个层级）。分为多个层级的意义在于投资者的信息不确定性程度不同，不同的层级可以满足信息不确定程度不同的投资者的需求，从而提高发行人收益。因此下一步可以考虑的是将本文的模型扩展到异质信念的投资者，可以尝试去解释多级分层机制的意义。

风险分层管理范文第9篇

关键词：企业；网络安全防护；网络管理

中图分类号：TP393.08 文献标识码：A文章编号：1007-9599 (2010) 16-0000-02

The Construction of Enterprise Computer Network Security Protection System

Zhang Xu

(Xi"an Xianyang International Airport Co.,Ltd.,Xianyang 712035,China)

Abstract:With the development of network technology and the falling cost of network products,computer network has been in daily operation of enterprises play an increasingly important role.From e-commerce to e-mail, to the most basic file sharing,network communication,a good network system to improve efficiency,strengthen internal cooperation and communication between enterprise and outside to deal with customer demands have played a key role;However,a problem can not be ignored because of the vulnerability of the network itself,resulting in the existence of network security issues.This article illustrates the importance of enterprise network security,analysis of network threats facing enterprises,from the technical architecture and network management proposed appropriate network security policies.

Keywords:Enterprise;Network security protection;Network management

一、企业网络安全的重要性

在信息社会中，信息具有和能源、物源同等的价值，在某些时候甚至具有更高的价值。具有价值的信息必然存在安全性的问题，对于企业更是如此。例如：在竞争激烈的市场经济驱动下，每个企业对于原料配额、生产技术、经营决策等信息，在特定的地点和业务范围内都具有保密的要求，一旦这些机密被泄漏，不仅会给企业，甚至也会给国家造成严重的经济损失。

二、企业网络安全风险分析

网络安全涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性应用，企业网络安全也不例外。企业网络安全的本质是保证在安全期内，网络上流动或者静态存放的信息不被非法用户访问，而合法授权用户可以正常访问。企业网络安全的目标是保障信息资产的机密性、完整性和可用性。通过对企业网络现状分析，并与资产的机密性、完整性和可用性的要求比较，我们总结出企业主要面临的安全威胁和问题主要体现在以下几个方面。

（一）网络物理安全风险分析

地震、水灾、火灾等环境事故会造成整个系统毁灭；电源故障会导致设备断电以至操作系统引导失败或数据库信息丢失；设备被盗、被毁造成数据丢失或信息泄漏；电磁辐射可能造成数据信息被窃取或偷阅。

（二）网络边界安全风险分析

网络的边界是指两个不同安全级别的网络的接入处。对于骨干网来说，网络边界主要存在于Internet和出口外部网络的连接处，内部网络中办公系统和业务系统之间以及内部网络之间也存在不同安全级别子网的安全边界。如果没有采取一定的安全防护措施，内部网络容易遭到来自外网一些不怀好意的入侵者的攻击。

（三）应用服务系统安全风险分析

目前使用的操作系统主要包括Windows、UNIX操作系统，应用系统主要通过外购、自行开发的系统，这些系统可能存在着“Back-Door”或安全漏洞。这些“后门”或安全漏洞都将存在重大安全隐患。

（四）网络内部安全风险分析

网络安全攻击事件70%是来自内部网络；通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径使病毒程序潜入内部网络；而网络是病毒传播的最好、最快的途径之一；内网客户端一旦感染病毒就很容易对整个网络造成危害；所以内网客户端的病毒防护和补丁管理等是网络安全管理的重点。

（五）网络管理的安全风险分析

在网络安全中，安全策略和管理扮演着极其重要的角色，如果没有制定有效的安全策略，没有进行严格的安全管理制度来控制整个网络的运行，那么这个网络就很可能处在一种混乱的状态。再者就是安全管理意识不强。企业管理层重视程度不够，认为花钱就能解决问题，盲目追求先进，甚至打算一步到位。

三、企业计算机网络安全体系的建构

企业中计算机网络安全防护体系的构建应该依据以下步骤：应用分析划分适当的安全域风险分析以《计算机信息系统安全等级划分准则》为依据，确定相应的安全等级以安全保护（PDRR）模型为指导，以保护信息的安全为目标，以计算机安全技术、加密技术和安全管理等为方法进行分层保护构建整体的安全保护保障体系。

（一）应用分析

应用分析，应该包括二个方面，一是用途分析；二是对信息网络上的信息资产进行分析。不同的应用，信息资产也是不同的，存在的安全问题也肯定是不同的。试想一个单纯的接人互联网的信息网络（如网吧）与政府的办公网络的安全问题会一样吗?实际上，在同一个信息网络上，流动的信息也是不一样的，它们安全性的要求当然也是不同的。

（二）风险分析

在进行了应用分析的基础上，应该对某一用途，或某一级别或类别的信息，或某一安全域进行风险分析。这种分析可用一个二维的表格来实现。首先确定某一信息类别，或一个安全域，以可能发生的风险为X轴，对应于每一个风险，应该有3个参数填入到表格中，一个是该风险发生的概率，另一个是该类信息对该风险的容忍程度，再一个是该风险可能发生的频率。事件发生的概率，目前可能很难给出量化值，可以给出一个等级标准，如不易发生，易发生和极易发生，而容忍度也只能给出等级，如无所谓、可以容忍，不能容忍和绝对不能容忍等。实际上我们在风险分析时，可以将风险列得更细些，更全面些。对一个与互联网没有物理联结的内部网络来说，通过互联网发生的人侵，发生的病毒灾害应该是不易发生的是小概率事件，而对于一个网站来说，这二者且是极易发生的事件。

（三）确定安全等级

在对信息分级和分类基础上，应该依据《计算机信息系统安全等级划分准则》（国标17859）确定相应的安全保护等级。《准则》给出了五个等级标准，每个标准等级都相应的要求。笔者认为不一定完全的套用某一个级别，可以根据风险分析的结果，与准则中的要求进行一定的对应，确定准则中的某一个级别，或以一个级别为基础，在某些方面可做加强，而在另一些方面可以相对减弱。再次强调，保护应该是信息分级为基础，对于不同级别的信息保护强度是不一样，不同等级信息，最好在不同的安全域中加以保护。这样不需要保护的信息就可以不加保护，而需要加强保护的信息，就可以采取相对强度较高的保护措施。但这种保护，必须兼顾到应用，不能因为保护而造成系统的应用障碍不过为了安全牺牲掉一些应用的方便性也是必要的。

（四）分层保护问题

确定了安全级别之后，在风险分析的基础上，应该以计算机安全保护（PDRR）模型为指导，以《计算机信息系统安全等级划分准则》的依据，以计算机技术、计算机安全保护技术、保密技术和安全管理等为保护手段，以信息的机密性、完整性、可控性、可审计性、可用性和不可否认性等为安全为保护目标，分层分析和制定保护措施。所谓分层保护，就是要把所列出的那些较为容易发生，且又不能容忍的风险，分解到各个层面上，然后利用计算机技术、计算机安全保护技术、加密技术和安全管理手段尽量的按一定的强度加以保护，以规避相应的风险。如信息抵赖的风险，应该发生在用户层面，可以用对用户的身份认证技术来解决这样的风险。火灾、水灾都应该在物理层面上加以保护。许多风险可能是对应于多个层面，那就应该在多个层面上加以保护，如信息泄露，在所有的层面上都会发生，那就应该在所有的层面加以保护。

（五）构建完整的保障体系

对信息网络进行了分层次的安全保护，好像我们的任务就已经完成了，实际上则不然。信息网络是一个整体，对它的保护也应该是一个整体。首先，在进行分层保护的策略制定以后，首先应该在整体上进行评估，特别是结合部安全是还存在着问题。如，通过数据库可以获得系统的超级用户权限。其次，我们是以不同的信息资产或不同的安全域来进行分层保护的，而不是整个网络。此时我们应该对不同的信息资产或不同的安全域的分层保护方案进行比较和综合并进行适当的调整，考虑信息网络整体的保护方案。第三是应该选择适当的安全产品或安全技术。在安全产品的选择上即要考虑产品本身的先进性，还应该考虑安全产品本身的成熟性，对一些非常重要的信息网络，不要第一个去吃螃蟹。最后还应该考虑对网络中的安全产品实现统一的动态管理和联动，使之能成为一个动态的防范体系，成为一个有机的整体。动态管理应该考虑，安全策略发生错误和失效的修改，以及对安全产品失效的对策，应该有预案。联动，就是使所有使用的安全产品，在发生安全事件时，能够成为一个防范的整体。整体的安全体系的建立，还应该对安全的措施成本进行核算，国外的信息网络在安全方面的投人可达到系统建设费用的15%-30%，这个费用标准我们可以用来参考。核算措施成本后，还应该对成本效益进行评估，对于保护费用与效益在同一数量级上的花费，则应该考虑是否有必要进行这样的保护。

四、结束语

技术与管理相结合，是构建计算机网络信息系统安全保密体系应该把握的核心原则。为了增强计算机网络信息系统和计算机网络信息系统网络的综合安全保密能力，重点应该在健全组织体系、管理体系、服务体系和制度（技术标准及规范）体系的基础上，规范数据备份、密钥管理、访问授权、风险控制、身份认证、应急响应、系统及应用安全等管理方案，努力提高系统漏洞扫描、计算机网络信息系统内容监控、安全风险评估、入侵事件检测、病毒预防治理、系统安全审计、网络边界防护等方面的技术水平。

参考文献：

[1]徐智刚.网络安全体系建设研究与探讨[J].中国新技术新产品,2010,10(2):33

风险分层管理范文第10篇

应对利率市场化带来的冲击和挑战，农村中小金融机构在风险管理上，要突出“差异化”，推行利率“量身定制”，提高风险定价水平。

具体来说，就是要摒弃“一把尺”、“一刀切”的简单做法，借鉴国际银行业的经验做法，实施客户的分层管理，突出差异化营销，合理进行利率定价。

实施贷款利率差别化、灵活化风险定价。借鉴国际银行业广泛采用的利率定价方法——基准利率加点贷款定价模型。首先，确定利率风险定价基价。摸清自身的风险成本和风险承受能力，并对历史信贷数据进行系统加工整理，确立“最低定价标准”，保证覆盖资金、经营、风险、资本四大类成本，并且在实际操作中同时兼顾银行自身的预期利润、不同期限贷款的期限风险溢价，确定基准风险定价。其次，构建灵活、机智的风险定价机制。可根据所在区域的经济状况，区分行业、产业、担保方式、期限，结合依据客户品质、能力、资本、抵押、条件等“5C”信用标准确定的客户信用等级，以及市场竞争和客户对银行的贡献度、忠诚度等诸多因素，在基准利率基础上“加点”，或乘上一个系数，“一户一策”，实行差别化利率定价。东台农商行采取基准利率加点贷款定价模型，计算公式为“基准风险定价利率×（1+浮动幅度）”，先计算出各相应品种贷款的下限风险利率，再根据不同客户的实际，执行不低于下限利率的贷款利率。目前，东台农商行贷款利率细分三十种，最高利率执行上浮130%，最低执行下浮15%。

存款利率分层有序、精细化定价。对存款利率同样实施分级管理，根据存款期限、金额大小以及客户类型区别确定存款利率。对短期存款考虑执行较高上浮幅度的利率，促进低成本可运用资金增长；对低端客户、小额存款，结合当地同业竞争形势，以人民银行基准利率为基点，适度上下浮动；对大、中客户和大额存款，根据存款贡献度和客户忠诚度，实施个性化管理，协商定价，执行高上浮幅度的优惠利率。

建立以头寸控制、成本控制、风险控制、期限匹配为核心的资金约束机制，培养核算投入产出效益的观念；进一步有效发挥利率杠杆作用，优化资金配置，提高资金使用效益，实现资本利润最大化。

标签：