时间:2023-06-18 10:35:55
序论:在您撰写风险评估的形式时,参考他人的优秀作品可以开阔视野,小编为您整理的7篇范文,希望这些建议能够激发您的创作热情,引导您走向新的创作高度。
关键词:电网规划方案;适应性;风险评估;蒙特卡罗模拟;电网运行;电力系统 文献标识码:A
中图分类号:TM715 文章编号:1009-2374(2015)02-0142-02 DOI:10.13535/ki.11-4406/n.2015.0168
在电力规划工作中,需要对电力规划方案进行评估。在实际的电力系统运行中,尽管很有可能其真实运行环境与进行电力规划工作时的环境大相径庭。在新的环境下,整个电力系统将会出现一些新的变化和所未考虑到的情景。在这些变化及情景下,电力规划方案是否仍能达到预想的目的,是否仍能提高整个电力系统中发电、输电资源的配置效率,是否仍能具备良好的开放性、经济性和安全性指标,将是电力工作者最为关心的问题之一。由此,电力规划方案的适应性和风险评估和电力系统规划工作一样具有迫切的现实意义。
1 市场模拟技术简介
电力市场是一个非线性、大跨度、多控制变量的复杂系统,对其未来的走势难以准确预测,无法利用数学建模的方法予以抽象描述与研究,使得市场模拟成为研究电力市场发展与演化规律的有效方法。市场环境下的不确定性因素较多,比如市场主体的报价行为,在模拟现实电力市场的同时,如何有效处理这些不确定性因素,使得市场模拟平台能够充分反映出电力市场中不确定性,成为市场模拟技术研究中无法回避的问题。
2 电网规划方案适应性评估
为了确保发电公司能够对未来时间内对用电计划、网络安全、检修计划有着科学决策,电力公司市场运行部需要对未来中、短期时间内的供应状况进行信息搜索和分析,并公布预测结果,从而为公司进行投资和发电决策提供信息。
2.1 规划方案适应性评估的分析计算
发电公司对未来运行计划方案的评估必须要收集相关的运行计划信息,一般来说需要搜集未来一年内的包括发电公司、用户及输配电网络等方面的信息。搜集的内容包括网络安全约束情况,发电和输配电设备的建设、投产、停运计划,电能量约束,负荷预测等。
通过对以上数据的分析和评估,可以为发电公司制定未来电网规划方案提供依据,同时数据的公布也便于发电公司了解在规划方案中可能出现的用电安全问题及发电机组的发电情况。
2.2 中期规划方案适应性评估
电网规划方案的中期适应性评估是指在未来的第8天起到24个月后为止的时间内,市场运行部门要对这段时间范围内的数据进行计算和评估,并及时公布。
对中期电网方案数据的计算主要包括以下方面:负荷预测数据、市场内的备用容量的安排、系统最大可用发电容量之和、可能发生备用短缺时段和因网络约束对发电调度时间的影响、发电机组和输配电网络的运行状况、预计可能发生的电力系统破坏等,通过相应的中期适应性评估程序计算后,市场运行部门要将结果公布给所有发电公司,发电公司根据结算结果对相应的规划方案进行修订和实施。
2.3 短期方案适应性评估
短期方案的适应性评估是指对未来一个月内一个星期的系统运行情况进行预测,每天都要公布运行结果,即短期适应性评估。对中期电网方案数据的计算主要包括以下方面:负荷预测、预计可能出现的电网运行破坏、预测因网络约束引起的电网调度的时间、输配电网的运行情况、机组所允许的并网停机次数、预测系统可用发电容量总和等。市场运行部门需要将通过计算程序得出的结果每日公布出来,供电公司根据公布结果对申报的用电计划进行调整。
3 风险评估
3.1 电力规划方案风险评估的研究现状
目前关于发电侧竞价策略的风险评估的研究甚多,而对于电力规划方案的风险评估的研究则相对较少。风险评估的主要方法有风险概率、影响评估矩阵、波动性分析、敏感性分析、VaR模型等。波动性分析通过实际结果偏离期望结果的程度衡量风险,评估指标主要为方差。VaR模型是指在一定概率水平(置信度)下,利用某一风险资产在未来特定的一段持有期内的最大可能损失评估风险。现有的规划方案风险评估方法一般建立各类评估指标,通过市场电价的波动或者市场主体的收益变化情况,衡量市场风险。
3.2 风险评估方法
风险评估算法的计算方法主要有三种:非参数法、参数法和随机模拟法。其中,非参数法通过对历史数据的频率统计进行风险评估;参数法假设风险因素的分布已知,通过统计历史数据估计出风险因素的分布参数,并以此通过一定的数学推导求解风险评估问题;随机模拟法是建立系统或决策问题的数学或逻辑模型,通过对实际情况进行重复的模拟,获得对系统行为的认识或帮助解决决策问题的方法,适用于没有充足数据或现有数据无法满足需求或者难于对复杂的风险系统构造解析模型等情况。在评估风险时,需要计算风险损失概率,这就要求选取的统计资料具有代表性及时限的合理性,否则,计算出的风险损失概率可能出现为0的情况。定性的风险损失概率描述一般分为4种情况,即不可能发生、可能但未曾发生、发生数次、经常发生。定量的风险损失概率一般以数理统计中的概率形式给出。例如,在竞价中的电价风险可表达为成交概率为80%或60%等。两种描述可以通过层次分析法或群决策等方法进行转换。
电网规划方案风险评估具体步骤为:(1)将被评估电网规划方案报价数据视为常量,对于其他市场主体所申报的电价和电量以概率性序列进行表示,从而可得到各市场主体所申报电价、电量的序列;(2)根据各市场主体的报价数据序列,来计算各购电主体之间、各售电主体之间的电量成交价之差的序列和期望值;(3)对各交易对按照成交价差期望值的大小作排序,模拟市场出清过程,并计算各交易对之间的成交概率以及对应的成交电量序列及期望值;(4)计算已成交的交易对双方剩余未成交电量序列、成交电价序列及期望值;(5)重续以上步骤,直至所有价差期望值大于零的交易均成交完毕后或者被评估市场主体的交易均完成方可结束循环步骤;(6)计算被评估市场主体各次交易后平均成交电价序列及总成交电量序列;(7)根据成交结果计算电网规划方案风险评估指标,评估该方案所面临的市场风险。
4 结语
对电网规划方案的适应性与风险评估即是提高企业和社会经济效益的重要手段,又是确保电力系统高效、稳定运行的关键。同时由于电力系统自身的非线性、多变量和复杂性,对其选择方案的计算也就更加复杂,对电力市场中不确定性因素概率特性的描述也更为复杂,无法通过传统的解析方法去描述,各项指标和参数也难以进行求取。因此需要针对整个电力市场的模拟数据进行分析并作出量化的评估,才能避免负荷过快增长、市场成员不理智报价等问题的产生。并且通过对市场环境下电网规划适应性及风险性进行评估,也是提高企业和经济、社会效益的重要手段,对于确保电力系统稳定高效的运行具有重要意义。
参考文献
[1] 杨卫红.城市电网规划风险评价模型及风险规避方法研究[D].华北电力大学(北京),2012.
[2] 周安石,杨高峰,洪元瑞,等.兼顾计划与市场环境的电力规划决策与评估系统[J].中国电力,2013,37(11).
[3] 张焰.电网规划中的模糊可靠性评估方法[J].中国电机工程学报,2012,20(11).
[4] 康重庆,杨高峰,夏清.电力需求的不确定性分析
摘要:自适应共振模型是为了能够分类任意次序模拟输入模式而设计的,它可以按任意精度对输入的模拟观察矢量进行分类,较好地解决了前稳定性和灵活性问题,同时能够避免对网络先前所学的学习模式修改。本文将ART2模型应用于信用风险评估,通过实证比较研究,结果显示应用自适应共振模型进行信用风险评估在精度和准确性上,都优于其他神经网络模型和统计方法。
1统计方法用于信用风险分类评估存在的局限性
对信用风险评估一类主流方法是基于分类的方法,即把信用风险分析看成是模式识别中的一类分类问题—将企业划分为能够按期还本付息和违约两类。其具体做法是根据历史上每个类别(如期还本付息、违约)的若干样本,从已知的数据中发现其规律,从而总结出分类的规则,建立判别模型,用于对新样本的判别,这样信用评估就转化为统计中的分类问题。传统的统计模型主要基于多元统计分析方法,根据判别函数的形式和样本分布的假定不同,主要的模型有:多元回归分析模型、多元判别分析模型(MDA)、Logit分析模型、近邻法等。其中以多元判别分析模型和Logit分析模型应用最为广泛,已有大量商业化软件。
尽管这些方法在国外有大量应用,但是大量实证研究(Altman,1983;Tam & Kiang,1992;Altman,et al,1994)结果发现:(1)企业财务状况的评价可以看作是一类基于一系列独立变量基础上的分类问题;(2)企业财务状况好坏与
财务比率的关系常常是非线性的;(3)预测变量(财务比率)可能是高度相关的;(4)大量实证结果表明,许多指标不成正态分布。而统计的方法却不能很好地解决以上问题。由此可见统计模型的最大优点在于其具有明显的解释性,存在的缺陷是过于严格的前提条件。如多元判别分析模型(MDA),它要求数据服从多元正态分布、等协方差、已知先验概率和误判代价等要求,而现实中大量数据严重违背了这些假定(Eisenbeis,1997)。引入对数变化可在一定程度上改进数据的非正态分布,但一方面变换后的变量可能失去经济解释含义,另一方面仍没有满足等协方差的要求;应用二次差别分析(QDA)虽可解决等协方差问题,但一方面没有满足正态性假设,另一方面当数据样本小、维数高(指标多)时二次差别分析的性能明显下降,而样本少、维数高正是我国信用数据的显著特点。实证结果还表明二次差别分析对训练样本效果较好,而对测试样本并不理想。除此以外,多元判别分析模型适用于成熟行业的大中型企业,因为这些企业具有较强的稳定性和规范性,其发展有一定的规律可循,参数统计方法易于给出较准确的结果及合理的解释。然而这类方法是静态的,需要根据地区、行业经济情况的变化不断地调整参数,甚至进行变量的调整。
为了解决这些问题,引入了Logit分析模型和近邻法。Logit分析模型不需要假定任何概率分布,也不要求等协方差,但是当样本点存在完全分离时,模型参数的最大似然估计可能不存在,模型的有效性值得怀疑,另外该方法对中心区域的差别敏感性较强,导致判别结构的不稳定。近邻法不要求数据正态分布,但当数据的维数较高时,存在所谓的“维数祸根(Curse of dimensionality)”——对高维数据,即使样本量很大,其撒在高维空间中仍显得非常稀疏,绝大多数点附近根本没有样本点,这就使得“利用空间中每一附近的样本点来构造估计”的近邻法很难使用[4]。
2应用神经网络进行信用风险评估的意义
商业银行信用风险评估是复杂的过程,除了对企业的财务状况的各种特征的评估外,还须对企业的非财务状况进行评估,而且又涉及宏观经济环境和产业结构、产业周期的影响;除了客观的评估外,还依赖于专业人员依据经验进行主观评估。神经网络是一种具有模式识别能力,自组织,自适应,自学习特点的计算机制,它的知识编码于整个权值网络,呈分布式存储且具有一定容错能力。神经网络对数据的分布要求不严格,也不必要详细表述自变量与因变量之间的函数关系,神经网络的这些特征使之成为信用风险分析方法的一个热点。
建立商业银行信用风险评估模型必须依赖于一组已知的函数集合。要求这种函数集合在任意精度上可以逼近实际系统,从数学上讲,这就要求这个集合在连续函数空间上是致密的。目前已经从理论上严格证明了只用一个隐藏层的神经网络就可以唯一地逼进任何一个连续函数。多层神经网络为系统的辨识和建模,尤其是非线性动态映射系统提供了一条十分有效的途径。非线性动态映射系统的神经网络建模被认为是应用神经网络的最成功的范例。
影响商业银行信用风险评估的机理很复杂,无法建立精确的非线性动态模型,而人工神经网络擅长处理非线性的、关系不确定的十分复杂以至于数学模型难以描述的问题。对于分析时间序列数据,由于人工神经网络能识别和模拟数据间的非线性关系,不需要正态分布和先验概率等条件的约束,能针对新增样本灵活的训练再学习,因此优于其他统计方法,同时由于网络本身具有自学习的功能,预测结果相对精度较高而且稳定性好,因此应用神经网络可以通过对网络的训练,掌握借款人的财务特征的非线性函数关系。神经网络是由许多神经元构成的,它对系统特性的记忆表现为各个神经元之间的连接权值,单个神经元在整个系统中起不到决定性作用,一个经过训练的神经网络可以按相似的输入模式产生相似的输出模式,当商业银行信用风险评估系统因某些非财务风险因素和判断误差过大的财务风险因素造成输入模式变形时,网络仍可以保证稳定的输出。
神经网络可以逼进任意复杂的非线性系统,神经网络的转换函数能够非线性地响应冲击,例如,像覆盖比率这样的财务比率超过最低水平(如AAA级)时,超过这个阀值的增加值不会对信用质量有什么影响。线性回归不能以这样的方式限制响应程度,神经网络的转换函数却能实现。神经网络以并行的方式处理信息,具有很强的信息综合能力,因此神经网络理论在商业银行信用风险分析和实施对信用风险的主动控制中将会发挥更大的作用。
由神经网络构成的非线性模型具有较强的环境适应能力。在根据多个训练样本企业的财务特征建立神经网络非线性系统后,如果企业类型、财务特征和非财务特征发生变化,神经网络可以通过学习,建立企业信用的非线性函数关系,并且不需要改变网络的结构和算法。
综上所述,对于那些无法建立精确的动态判别函数模型的非线性商业银行信用风险评估,可以将神经网络理论应用于风险评估当中,撇开企业财务因素、非财务因素和企业信用状况复杂的非线性机理,建立起非线性风险映射近似的动态模型,使这个模型尽可能精确地反映风险映射关系非线性动态特征。通过该系统我们能够计算对各种输入的响应,预估商业银行信用风险状况及其发展趋势,进而能够使用各种信用工具对风险进行主动控制,促进商业银行的智能化风险管理系统的建设和发展完善。
3基于自适应共振理论的信用风险评估模型
一个公司财务状况的好坏往往是企业自身、投资者和债权人关注的焦点。因为一个营运良好、财务健康的公司可提高自身在市场上的信誉及扩展筹资渠道,以使投资者信心倍增。相反,一个陷入财务困境和濒临破产的企业不仅乏力吸引投资,还让原有投资者面临巨大的信用风险。
由上文的分析中我们知道,对企业财务指标的分析,传统的分类方法尽管有它的优点但本身也存在一些局限性。作为研究复杂系统的有力工具,神经网络能处理任意类型数据,这是许多传统方法无法比拟的。通过不断学习,能够从未知模式的大量复杂数据中发现其规律。神经网络方法克服了传统分析过程的复杂性及选择适当模型函数形式的困难,它是一种自然的非线性建模过程,毋需分清存在何种非线性关系,给建模与分析带来极大的方便。该方法用于企业财务状况研究时,一方面利用其映射能力,另一方面利用其泛化能力,即在经过一定数量的带有噪声的样本训练之后,网络可以抽取样本所隐含的特征关系,并对新情况下的数据进行内插和外推以推断其属性。
目前我国银行机构主要使用计算贷款风险度的方法进行信用风险评估——在对企业进行信用等级评定的基础上,考虑贷款方式、期限以及形式因素,进而确定贷款的风险度。其中作为核心的信用等级评定,是通过对企业的某些单一财务指标进行评价,而后加权平均确定的。该方法的最大缺陷在于指标和权重的确定带有很大的主观性,使得评级结果与企业的实际信用状况有很大出入,因此需要引入科学方法来确定有效指标,并建立准确的定量模型来解决信用评估问题。
针对这种形势,根据我国商业银行的具体情况,结合国际上目前较为流行人工神经网络技术,本文设计了一种基于自适应共振理论的信用风险评估方法。
3.1自适应共振理论(ART)介绍
自适应共振理论(Adaptive Resonance Theory)简称ART,是于1976年由美国Boston大学S. Grossberg提出来的。他多年来一直潜心于研究用数学来描述人的心理和认知活动,试图为人类的心理和认知活动建立统一的数学理论,ART就是这一理论核心部分,又经过了多年的研究和不断发展,至今已经提出了ART1、ART2和ART3共三种结构。ART网络作为模式分类器较好地解决了前面提到的稳定性和灵活性问题。使用ART网络及算法具有较大的灵活性以适应新输入的模式,同时能够避免对网络先前所学的学习模式修改。ART是一种能自组织的产生对环境认识编码的神经网络理论模型,由于横向抑制是自组织网络的特性,ART采用了MAXNET子网结构,该网络采用横向抑制方法增强并能选择具有最大值输出的一个节点。
ART模型的算法过程如下:
第一, 将一个新样本X置入节点;
第二,采用自下而上的过程,求得: ;
第三,运用MAXNET网络,找到具有最大输出值的节点;
第四, 通过自上而下的检验,判断X是否属于第j类,即如果有 ,则X属于第j类, 是警戒参数。如果上式不成立,转到第六步,否则继续。
第五, 对于特定的j和所有的i更新 和 ,设t+1时刻 , , , 。
第六, 无法判断X是否属于第j类,抑制该节点返回到第二步,执行另一个聚类的处理过程。
本文所使用的神经网络模型就是ART2神经网络模型。ART2神经网络是为了能够分类任意次序模拟输入模式而设计的。它可以按任意精度对输入的模拟观察矢量进行分类。
3.2应用ART2神经网络进行信用风险评估的可行性分析
通过上文对ART2神经网络的介绍,笔者认为将ART2神经网络应用于信用风险评估具有统计方法和其他神经网络算法无法比拟的优势。首先,ART2神经网络较好地解决了稳定性和灵活性问题,它可以在接受新模式的同时对旧模式也同样保持记忆,而其它类型神经网络所记忆的样本个数有限,由此可见,ART2神经网络随着输入样本数的增加,它作为模式分类器分类的精度也越高,所覆盖的样本空间也越大。其次,ART2神经网络是边学习边运行的无监督学习,所以它不存在像BP算法那样需要进行几小时甚至更长时间的训练过程,也就是说ART2网络具有较高的运行效率和较快的学习速率,这一点对于解决像信用风险评估这样的复杂问题来说是相当具有优势的。再次,ART2神经网络与人脑的某些功能类似,能够完成识别、补充和撤销的任务。这三种功能在英文中称为Recognition,Reinforcement和Recall,可简称为3R功能。识别功能在上文已经介绍过,下面对补充、撤销功能做些简单介绍。补充功能包含有以下几方面的内容:(1)每当ART2系统对输入矢量的类别作一次判决即是给出矢量所属类别的输出端编号,根据此判决,系统可以采取一种“行动”或者作出某种“响应”。这和人总是根据对外界情况的判断来决定自己的行动相似。(2)人在识别时对于所有被识别的类并不是一视同仁的,识别过程受到由上向下预期模式的很强制约。这样就会使得人们在某些情况下只关心几种类别,而对其他类别则“不闻不见”,这种集中注意力的本领可以使人们在混乱的背景中发现目标。在客体发生某种变形或缺损或者有强噪声情况仍能对其正确分类。我国商业银行进行信用风险分析的起步较晚,有关的信息往往残缺不全,ART2网络的这种在混乱中集中注意力发现目标的功能更适合我国的现实数据情况。撤消功能的作用与补充功能相反,这是指某些不同的观察矢量在初步分类时被划分成不同的类别,但是通过系统(主体)与客体相互作用的结果,又应判定它们属于同一类。由此可见基于ART2网络的这些功能,应用ART2神经网络进行信用风险评估相当于人类专家进行信用风险评估的建模过程,而且ART2神经网络与人类专家相比进行的评估更客观、更有效、更精确。最后,ART2神经网络可通过调整警戒线参数 (门限值)来调整模式的类数, 小,模式的类别少(对分类要求粗), 大,模式的类别多(对分类的要求精细),这一点是其他方法无法比拟的,我们可以通过调整 值对输入网络的财务数据进行传统的两级分类(即违约、非违约两类),也可以通过提高 值对输入网络的财务数据进行国际通用的五级分类(即正常、关注、次级、可疑,损失五类)。Altman、Marco和Varetto与意大利银行联合会合作在其经济和金融信息系统中首次进行了将神经网络应用于企业的经济和金融问题诊断的试验,试验的研究结果表明,将企业的财务状况分为正常、关注和次级三类比分为正常和问题两类困难得多,而ART2神经网络却可以通过 值的调整灵活地实现该功能。
综上所述,笔者选择算法复杂的ART2神经网络进行信用风险评估。并且设计了一个自适应共振网络,对信用风险分析进行了实证研究。
3.3基于ART2模型的信用风险分析的实证研究
下面以某国有商业银行提供的90多家企业客户为对象,应用自适应共振理论对这些企业客户的财务数据进行信用风险评估。对于输入到神经网络的财务比率的选择,参照国内财政部考核企业财务状况及国外用于信用风险评估所使用的一些经典财务比率指标,一共挑选出包括企业盈利能力、企业营运效率、企业偿债能力及企业现金流量状况等二十余个指标,考虑到指标间的相关性,利用SAS统计分析软件进行回归分析,得出以下几个比率:
经营现金流量/资产总额(流动性)
保留盈余/资产总额 (增长性)
息税前利润/资产总额 (赢利性)
资产总额/ 总负债 (偿债性)
销售收入/资产总额 (速动性)
某国有商业银行提供的样本数据有90多家企业的财务数据,数据质量不高,有些企业财务数据缺失严重,经过对样本数据的初步审查,删除了不合格的样本40多个,最终得到有效的样本为55个,其中能够偿还贷款的企业34个,不能偿还贷款的企业21个。
评估的准确程度用两类错误来度量,在统计学中,第一类错误称为“拒真”,第二类错误称为“纳伪”。在信用风险评估中把第一类错误定义为把不能偿还贷款的企业误判为能偿还贷款的企业的错误,第二类错误定义为把能够偿还贷款的企业误判为不能偿还贷款的企业的错误。显然,第一类错误比第二类错误严重得多,犯第二类错误至多是损失一笔利息收入,而犯第一类错误则会造成贷款不能收回,形成呆帐。
在应用自适应共振模型进行信用风险评估的同时,笔者也使用了统计方法和经典的BP神经网络模型对同样的样本数据进行了信用风险评估,以便比较验证自适应共振模型的评估准确性。
统计方法使用的是可变类平均法,可变类平均法是由Lance和 Williams(1967)发展的,计算距离的组合公式为:
Djm=(Djk+DjL)(1-b)/2+DkLb (1)
参数b介于0到-1之间,DkL——是类Ck与CL之间的距离或非相似测度。笔者使用SAS统计软件中提供的可变类平均法对样本数据进行了聚类分析。
BP神经网络的结构包括输入层5个节点,用来输入5个财务指标比率,输出层1个节点(取值为1表示能偿还贷款,取值为0表示不能偿还贷款),另外还有一个隐层,隐层包括5个隐节点。网络的有效性采用K组交叉检验的方法进行验证,也就是将样本分为K组,其中K-1组为训练数据,第K组为检验数据,这里将样本数据分为两组,第一组用于训练网络,包括11个违约的企业和16个非违约的企业,第二组作为检验数据,包括10个违约企业,18个非违约企业。该方法使用MATLAB语言编程实现。
ART2模型包括输入层为5个节点,用来输入5个财务指标比率,输出层3个节点,分别表示信用风险的三个级别(正常,关注,可疑),这里应用ART2模型将信用风险分为三个级别有如下几个原因:(1)将信用风险分为三个级别,比前面使用统计方法和BP模型方法将信用风险简单分成两类(违约、非违约)更容易把握风险的程度,更接近实际信用风险评估的需要,也更贴近于国际通用的五级分类标准。(2)通过ART2网络门限值参数的调整可以将信用风险分为国际通用的五级分类标准,这也正是ART2模型的优势所在,但是ART2网络是信用风险分析混合专家系统的组成部分,它的评估结果要作为输入,输入到专家系统中,以便信用风险评估专家系统进行定性及定量的综合评估,考虑到专家系统的规则的数量和知识库的规模对系统执行效率的影响,因此这里将信用风险分为三类。有关专家系统的详细说明,将在下一节讨论。下面给出ART2模型网络的参数设置:a=10,b=10,c=0.1,d=0.9, =0.2, 。由于ART2模型是无教师指导的网络,因此不用训练,直接输入数据,网络自动进行信用风险评估。其中评估的结果:正常、关注两类属于非违约企业,可疑为违约企业。该方法使用C语言编程实现。
下面给出三种方法的最后评估结果见表1
表1 训练样本和测试样本的误判
训练样本 测试样本
第一类错误 第二类错误 总误判 第一类错误 第二类错误 总误判
统计模型 8(38.01%) 9(26.5%) 17(30.9%)
BP模型 2(18.1%) 1(6.1%) 3(11.1%) 3(30.0%) 4(22.2%) 7(25.0%)
ART2模型 4(19.1%) 5(14.7%) 9(16.3%)
通过表1的比较结果可以看出对于统计方法和BP模型自适应共振模型的误判率是最低的,说明了该方法的有效性和可靠性。
另外需要说明的一点是,这里所使用的企业样本数据偏少,而且噪声过多,数据的质量不是很好,这样的数据作为初始数据输入网络对网络的评估的准确性有一定的影响,虽然ART2这种集中注意力可以在混乱的背景中发现目标的特性使得它的评估的准确性比其它两种方法要高,但是笔者相信如果初始输入网络的数据质量再提高一些,网络的误判率会更低。
参考文献:
[1] 张维,李玉霜,商业银行信用风险分析综述,《管理科学学报》[J],1998年第3期,20-27。
[2] 朱明,杨保安,基于知识的银行贷款分类系统,CJCAI2001[C],231-235。
[3] 黄娟,冯玉强,王洪伟,基于联接归纳推理的信贷风险评估集成智能系统,《计算机应用研究》[J],1999年第9期,74-16。
[4] 王春峰,万海晖,张维,商业银行信用风险评估及其实证研究,《管理科学学报》[J],1998年第1期,68-72。
[5](美)约翰.B.考埃特,爱德华.I.爱特曼,保罗.纳拉亚南著,石晓军等译,《演进着的信用风险管理》[M],机械工业出版社,2001。
[6] 李志辉,《现代信用风险量化度量和管理研究》[M],中国金融出版社,2001年。
[7] R.R.Trippi and E.Turban, Neural networks in finance and investing[M], chicago: Irwin professional publishing,1996。
[8] Dick San-Cheong cheung, Kwok-Wa Lam and Sheung-Lun Hung, neural networks for credit scoring model, intrlligent data engineering and learning perspectives on financial engineering and data mining[M], published by Springer,1998,55-62。
[论文摘要]本文就我国商业银行的客户信用风险、市场风险和操作风险展开研究,分析商业银行风险的识别途径提出风险评估的相应评估、计量方法最后研究了客户信用风险的应对、市场风险的控制和监控以及操作风险的转移方法以期为实现我国商业银行的全面风险管理打下良好的基础。
一、引言
伴随金融风险复杂程度的上升银行业正在不断地改进和完善其风险管理理念、手段和技术商业银行风险管理已经逐步由传统的资产负债管理模式向以风险资本约束为核心的全面风险管理模式迈进。提升国内商业银行的全面风险管理能力业是贯彻落实科学发展观的具体体现事关国家金融安全稳定的大局其意义十分重大。
二、商业银行风险的识别
商业银行风险的主要类型有信用风险、市场风险、操作风险。故商业银行的风险识别相应的为:客户信用风险识别;商业银行市场风险识别;商业银行操作风险识别。
1、客户信用风险的识别。是指对客户各项风险因素的捕捉和分别进行判断的过程.实际上就是对客户信用风险的尽职调查过程。客户信用风险评级指标主要包括基本面指标、财务指标两大类内容。(1)基本面指标。又称为定性指标或非财务指标包括品质、实力、环境三个主要方面。品质类指标包括管理层素质、股东治理结构、还贷诚意、信用记录等多个方面。实力类指标从客户的资金、技术及设备、管理、人员等各方面考量企业实力高低。环境类指标包括市场竞争环境、信用环境、政策法规环境;(2)财务指标。对财务指标的分析主要包括偿债能力指标、营运能力指标、盈利能力指标、成长性指标和其他指标等几个方面。诬脍债能力指标主要考量客户的资产负债率、利息保障倍数、平衡的流动比率或速动比率等;②营运能力指标主要考量客户的总资产周转率、应收账款周转率、营运资金周转率以及流动资产周转率等等。③盈利能力指标主要考量客户总资产收益率、销售利润率、净资产收益率。④成长性指标主要计算和分析销售收人增长率、利润增长率、权益增长率等。
2、商业银行市场风险的识别。银行面临的风险可以分为重新定价风险、收益率曲线风险、基准风险和期权性风险。重新定价风险也称为期限错配风险来源于银行资产、负债和表外业务到期期限或重新定价期限所存在的差异;重新定价的不对称性也会使收益率曲线斜率、形态发生变化从而形成收益率曲线风险也称为利率期限结构变化风险;基准风险也称为利率定价基础风险是另一种重要的利率风险来源;期权性风险是一种越来越重要的利率风险来源于银行资产、负债和表外业务中所隐含的期权。商业银行应当对每项业务和产品中的市场风险因素进行分解和分析及时、准确地识别所有交易和非交易业务中市场风险的类别和性质。
3、商业银行操作风险的识别。操作风险识别过程应该以当前和未来潜在的操作风险两方面为重点。这个过程应该考虑:潜在操作风险的整体情况;银行运行所处的内外部环境;银行的战略目标;银行提供的产品和服务;银行的独特环境因素;内外部的变化以及变化的速度操作风险识别的主要手段有以下几种:(1)操作风险内部分析。其作为日常业务计划循环流程的一部分而完成典型的是通过一个业务部门员工会议来完成;(2)操作风险指标分析。银行可选择一些和风险产生有关的”关键指标”通过监控这些指标发现存在一些能够引起风险发生的条件;(3)升级触发指标分析或临界触发指标分析。通过将当前交易或事件与预先定义的标准相比较引起银行管理层对潜在领域进行关注;(4)损失事件数据分析。用以往单个操作风险损失事件的数据记录等信息来识别操作风险及其诱因;(5)流程图分析通过绘制业务和管理活动流程图排查和识别业务流程中的风险点。
三、商业银行风险的评估
风险估计是商业银行风险管理的第二步。通过风险识别商业银行在准确判明自己所承受的风险在性质上是何种具体形态之后随之需要进一步把握这些风险在量上可能达到何种程度以便决定是否加以控制如何加以控制。
1、商业银行客户信用风险的评估
客户信用风险的评估是指根据客户经理对客户信用风险识别判断的结果对客户整体的信用风险高低给予评估得到客户信用风险评级结果。其评估方法主要有:(1)专家判断法。专家判断法主要采取"5C"分析框架:借款人的品质(character)、还款能力〔capacit办资本金大小(capital)、抵押品情况(collateral),所处环境情况(condition),(2)信用评分法即结合信贷专家的业务经验预先设定的一系列主观和客观的风险因素将这些因素设计为相对固定的打分表由评级人按照打分表确定客户的信用风险评级结果。(3)模型法。其可分两类:一类是建立对客户信用风险的多变量判别模型包括线性概率模型、L.ogit模型、Probit模型和多元判别分析模型;另一类为市场模型或套利模型如期权定价型的破产模型、债券违约率模型和期限方法、神经网络分析系统等。
2、商业银行市场风险的评估与计量
在市场风险识别后应根据本行的业务性质、规模和复杂程度对银行账户和交易账户中不同类别的市场风险选择适当的、普遍接受的计量方法将所计量的银行账户和交易账户中的市场风险在全行范围内进行加总以便董事会和高级管理层了解本行的总体市场风险水平。可采取不同的方法或模型计量银行账户和交易帐户中不同类别的市场风险计量方式包括缺口分析、久期分析、外汇敞口分析、敏感性分析和运用内部模型计算风险价值等此外还可采用压力测试等手段进行补充。商业银行应采取措施确保假设前提、参数、数据来源和计量程序的合理性和准确性并当对市场风险计量系统的假设前提和参数定期进行评估制定修改假设前提和参数的内部程序。
3、商业银行操作风险的评估。
操作风险被识别出来后对其进行评估以决定哪些风险具有不可接受的性质应该作为风险缓解的目标。进行这一步骤时通常需要通过考察一项操作风险的驱动者和原因估计该项风险可能发生的概率;此外还应在不考虑控制战略影响的情况下评估一项操作风险可能的影响。对风险可能影响的评估不仅要考虑经济上的直接影响还应该更广泛地考虑风险对公司目标实现的影响。
四、商业银行风险的应对
做出适当的风险评估后需要决定如何应对这些风险。根据风险发生的概率和影响程度的高低银行所有人员需选择合理的风险应对对策包括规避风险、接受风险、降低风险和转移风险。
I、商业银行客户信用风险的应对。客户信用风险的应对是指基于对客户信用风险的评估结果银行应采取相应措施来防范、化解或控制其信用风险。表现为:①根据客户信用风险评级结果确定客户准人标准把好商业银行授信业务的第一道关口;②根据客户信用风险评级结果对存量客户进行分类管理。对于信用风险高低不同的客户银行应采取不同的管理政策和管理措施;③根据客户信用风险识别、分析和评估提供的关键信息提高对客户信用风险监控工作的针对性和效率;④参考客户信用风险评级结果确定贷款定价弥补信用风险可能产生的预期损失。
2,商业银行市场风险的控制与监测。(1)市场风险的控制与管理。包括:①限额管理。对市场风险实施限额管理制定对各类和各级限额的内部审批程序和操作规程根业务性质、规模、复杂程度和风险承受能力设定、定期审查和更新限额;②完善的市场风险管理信息系统;③对重大市场风险情况的应急处理方案;(2)市场风险的监测与报告商业银行定期、及时向董事会、高级管理层和其他管理人员提供有关市场风险情况的报告。向董事会提交银行的总体市场风险头寸、风险水平、盈亏状况和对市场风险限额及市场风险管理的其他政策和程序的遵守情况等内容;向高级管理层和其他管理人员提交按地区、业务经营部门、资产组合、金融工具和风险类别分解后的详细信息等。
3、商业银行操作风险的转移。目前商业银行操作风险转移技术主要有:(1)购买保险产品。主要有:银行一揽子保险;董事及高级职员责任保险;未授权交易保险;财产保险和其他险种等;(2)利用金融衍生工具。商业银行在对其操作风险予以量化的基础上在资本市场上向投资者出售金融衍生工具以将操作风险有效并分散地转移到交易对手那里到期时按照约定向投资者支付本息;(3)其他风险转移方法。在某些情形下银行部门可以通过一些特殊的形式将其操作风险向其他非金融部门、非商业机构转移。
伴随金融风险复杂程度的上升, 银行业正在不断地改进和完善其风险管理理念、手段和技术, 商业银行风险管理已经逐步由传统的资产负债管理模式向以风险资本约束为核心的全面风险管理模式迈进。提升国内商业银行的全面风险管理能力业是贯彻落实科学发展观的具体体现, 事关国家金融安全稳定的大局, 其意义十分重大。
二、商业银行风险的识别
商业银行风险的主要类型有信用风险、市场风险、操作风险。故商业银行的风险识别相应的为: 客户信用风险识别; 商业银行市场风险识别; 商业银行操作风险识别。
1、客户信用风险的识别。是指对客户各项风险因素的捕捉和分别进行判断的过程. 实际上就是对客户信用风险的尽职调查过程。客户信用风险评级指标主要包括基本面指标、财务指标两大类内容。( 1) 基本面指标。又称为定性指标或非财务指标, 包括品质、实力、环境三个主要方面。品质类指标包括管理层素质、股东治理结构、还贷诚意、信用记录等多个方面。实力类指标从客户的资金、技术及设备、管理、人员等各方面考量企业实力高低。环境类指标包括市场竞争环境、信用环境、政策法规环境;( 2) 财务指标。对财务指标的分析主要包括偿债能力指标营运能力指标、盈利能力指标、成长性指标和其他指标等几个方面。①偿债能力指标主要考量客户的资产负债率、利息保障倍数、平衡的流动比率或速动比率等; ②营运能力指标主要考量客户的总资产周转率、应收账款周转率、营运资金周转率以及流动资产周转率等等。③盈利能力指标主要考量客户总资产收益率、销售利润率、净资产收益率。④成长性指标主要计算和分析销售收入增长率、利润增长率、权益增长率等。
2、商业银行市场风险的识别。银行面临的风险可以分为重新定价风险、收益率曲线风险、基准风险和期权性风险。重新定价风险也称为期限错配风险, 来源于银行资产、负债和表外业务到期期限或重新定价期限所存在的差异; 重新定价的不对称性也会使收益率曲线斜率、形态发生变化, 从而形成收益率曲线风险, 也称为利率期限结构变化风险; 基准风险也称为利率定价基础风险, 是另一种重要的利率风险来源; 期权性风险是一种越来越重要的利率风险, 来源于银行资产、负债和表外业务中所隐含的期权。商业银行应当对每项业务和产品中的市场风险因素进行分解和分析, 及时、准确地识别所有交易和非交易业务中市场风险的类别和性质。
3、商业银行操作风险的识别。操作风险识别过程应该以当前和未来潜在的操作风险两方面为重点。这个过程应该考虑: 潜在操作风险的整体情况; 银行运行所处的内外部环境; 银行的战略目标; 银行提供的产品和服务; 银行的独特环境因素; 内外部的变化以及变化的速度。操作风险识别的主要手段有以下几种:( 1) 操作风险内部分析。其作为日常业务计划循环流程的一部分而完成, 典型的是通过一个业务部门员工会议来完成;( 2) 操作风险指标分析。银行可选择一些和风险产生有关的" 关键指标", 通过监控这些指标, 发现存在一些能够引起风险发生的条件;( 3) 升级触发指标分析或临界触发指标分析。通过将当前交易或事件与预先定义的标准相比较, 引起银行管理层对潜在领域进行关注;( 4) 损失事件数据分析。用以往单个操作风险损失事件的数据记录等信息, 来识别操作风险及其诱因;( 5) 流程图分析。通过绘制业务和管理活动流程图, 排查和识别业务流程中的风险点。
三、商业银行风险的评估
风险估计是商业银行风险管理的第二步。通过风险识别, 商业银行在准确判明自己所承受的风险在性质上是何种具体形态之后, 随之需要进一步把握这些风险在量上可能达到何种程度, 以便决定是否加以控制, 如何加以控制。
商业银行客户信用风险的评估
客户信用风险的评估, 是指根据客户经理对客户信用风险识别判断的结果, 对客户整体的信用风险高低给予评估, 得到客户信用风险评级结果。其评估方法主要有:( 1) 专家判断法。专家判断法主要采取"5c’’ 分析框架: 借款人的品质(character)、还款能力(capacity)、资本金大小(capital)、抵押品情况(collateral)、所处环境情况(condition)。( 2) 信用评分法, 即结合信贷专家的业务经验预先设定的一系列主观和客观的风险因素, 将这些因素设计为相对固定的打分表, 由评级人按照打分表确定客户的信用风险评级结果。( 3) 模型法。其可分两类: 一类是建立对客户信用风险的多变量判别模型, 包括线性概率模型、logit 模型、probit 模型和多元判别分析模型; 另一类为市场模型或套利模型, 如期权定价型的破产模型、债券违约率模型和期限方法、神经网络分析系统等。
2、商业银行市场风险的评估与计量
在市场风险识别后, 应根据本行的业务性质、规模和复杂程度, 对银行账户和交易账户中不同类别的市场风险选择适当的、普遍接受的计量方法, 将所计量的银行账户和交易账户中的市场风险在全行范围内进行加总, 以便董事会和高级管理层了解本行的总体市场风险水平。可采取不同的方法或模型计量银行账户和交易帐户中不同类别的市场风险, 计量方式包括缺口分析、久期分析、外汇敞口分析、敏感性分析和运用内部模型计算风险价值等, 此外, 还可采用压力测试等手段进行补充。商业银行应采取措施确保假设前提、参数、数据来源和计量程序的合理性和准确性, 并当对市场风险计量系统的假设前提和参数定期进行评估, 制定修改假设前提和参数的内部程序。
3、商业银行操作风险的评估。
操作风险被识别出来后, 对其进行评估, 以决定哪些风险具有不可接受的性质, 应该作为风险缓解的目标。进行这- 步骤时, 通常需要通过考察一项操作风险的驱动者和原因, 估计该项风险可能发生的概率; 此外, 还应在不考虑控制战略影响的情况下, 评估一项操作风险可能的影响。对风险可能影响的评估, 不仅要考虑经济上的直接影响, 还应该更广泛地考虑风险对公司
目标实现的影响。四、商业银行风险的应对。
做出适当的风险评估后, 需要决定如何应对这些风险。根据风险发生的概率和影响程度的高低, 银行所有人员需选择合理的风险应对对策, 包括规避风险、接受风险、降低风险和转移风险。
1、商业银行客户信用风险的应对。客户信用风险的应对, 是指基于对客户信用风险的评估结果, 银行应采取相应措施来防范、化解或控制其信用风险。表现为: ①根据客户信用风险评级结果确定客户准入标准, 把好商业银行授信业务的第一道关口; ②根据客户信用风险评级结果对存量客户进行分类管理。对于信用风险高低不同的客户,银行应采取不同的管理政策和管理措施; ③根据客户信用风险识别、分析和评估提供的关键信息, 提高对客户信用风险监控工作的针对性和效率; ④参考客户信用风险评级结果, 确定贷款定价, 弥补信用风险可能产生的预期损失。
2、商业银行市场风险的控制与监测。
( 1) 市场风险的控制与管理。包括: ①限额管理。对市场风险实施限额管理, 制定对各类和各级限额的内部审批程序和操作规程, 根据业务性质、规模、复杂程度和风险承受能力设定、定期审查和更新限额; ②完善的市场风险管理信息系统;③对重大市场风险情况的应急处理方案;( 2) 市场风险的监测与报告。商业银行定期、及时向董事会、高级管理层和其他管理人员提供有关市场风险情况的报告。向董事会提交银行的总体市场风险头寸、风险水平、盈亏状况和对市场风险限额及市场风险管理的其他政策和程序的遵守情况等内容; 向高级管理层和其他管理人员提交按地区、业务经营部门、资产组合、金融工具和风险类别分解后的详细信息等。
3、商业银行操作风险的转移。目前, 商业银行操作风险转移技术主要有:( 1) 购买保险产品。主要有: 银行一揽子保险; 董事及高级职员责任保险; 未授权交易保险; 财产保险和其他险种等;( 2) 利用金融衍生工具。商业银行在对其操作风险予以量化的基础上, 在资本市场上向投资者出售金融衍生工具, 以将操作风险有效并分散地转移到交易对手那里, 到期时按照约定向投资者支付本息;( 3) 其他风险转移方法。在某些情形下, 银行部门可以通过一些特殊的形式将其操作风险向其他非金融部门、非商业机构转移。
关键词:如何学习;行政事业;内部控制;风险评估
中图分类号:F239 文献标识码:A 文章编号:1001-828X(2013)04-0-01
2012年11月29日,财政部以财会〔2012〕21号 印发《行政事业单位内部控制规范(试行)》。该《规范》分总则、风险评估和控制方法、单位层面内部控制、业务层面内部控制、评价与监督、附则6章65条,自2014年1月1日起施行。笔者结合自身的工作经验,对行政事业单位内部控制的风险评估进行解析。
一、风险评估的概念
风险评估,是指及时识别、科学分析影响企业内部控制目标实现的各种不确定因素,同时采取应对策略的过程。要对识别的风险进行分析,形成风险管理的依据。风险与可能被影响的目标相关联。既要对固有风险进行评估,也要对剩余风险进行评估,评估要考虑到风险的可能性和影响。
单位应当建立经济活动风险定期评估机制,对经济活动 存在的风险进行全面、系统和客观评估。经济活动风险评估至少每年进行一次;外部环境、经济活动或管理要求等发生重大变化的,应及时对经济活动风险进行重估。单位开展经济活动风险评估应当成立风险评估工作小组,单位领导担任组长。经济活动风险评估结果应当形成书面报告并及时提交单位领导班子,作为完善内部控制的依据。
二、风险评估的程序
风险评估由目标设定、风险识别、风险分析和风险应对构成。风险评估是内部控制的重要环节,在单位经营过程中,只有进行科学的风险评估,自觉地将风险控制在可承受范围之内,才能实现单位的可持续发展。所以说单位总是在应对各类风险和挑战的过程中去赢得生存和发展。风险并不可怕,而可怕的是没有风险意识,不知晓风险,不能准确地识别风险,不能采取有效的风险应对策略。如果忽视风险盲目发展,必然导致单位处于不利地位。不做事不发展看似没有风险,然而逆水行舟不进则退,不发展本身也是一种风险。风险评估贯穿于单位经营过程的始终,也贯穿于内部控制的始终。
(一)目标设定。单位应当根据设定的控制目标,全面地、系统地、持续地收集相关信息,结合实际情况,及时进行风险评估。这里所指的设定的控制目标主要是指总则中规定的内部控制五目标。如前所述,单位实现了内部控制的五个方面的目标,就能够实现可持续发展,就能够转变发展方式,所以风险评估首先要设定目标。单位目标设定之后,要根据既定目标有计划地全面、系统、持续地收集内外部相关信息。单位可以利用信息化手段,加大信息收集量,提高信息的准确性和及时性,以便单位结合实际情况,及时进行风险评估。
(二)风险识别。风险识别是在目标设定的基础上,密切关注内外部主要风险因素。单位内外部各种风险因素,单位至少应当关注的主要风险,这些风险是在单位内部控制实施过程中,通过日常或定期的评估程序与方法加以识别。这些风险因素具体化为各项应用指引中的主要风险。在单位经营过程中,应将各类风险进行分类整理,形成单位的风险清单。
(三)风险分析。风险分析是指在风险识别的基础上,采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。单位进行风险分析,应当充分吸收专业人员,组成风险分析团队,按照严格规范的程序开展工作,确保风险分析结果的准确性。
风险的定性分析,是指通过观察与分析,借助于经验和判断对风险进行分析的方法。定性分析一般不需要运用大量的统计资料,使用起来简单易行。该方法主要是通过问卷、面谈及研讨会等形式进行风险分析,依靠专业人员的经验和直觉,或者行业标准及惯例等,对风险相关要素的大小或高低程度进行定性分析。在不需要进行量化时,或者进行定量分析需要的数据无法取得,以及出于成本效益原则考虑采用定量分析方法不经济时,一般应采用定性分析。
风险的定量分析,是指运用一些数据分析模型,将有关风险及其影响予以量化,在此基础上判断风险重要性程度的方法,如敏感度分析法和盈亏平衡分析法等。定量分析需要对构成的各个要素和潜在损失程度赋予数据或货币金额,使风险分析的整个过程和结果均被量化。定量分析的方法通常能够提供更高的精确度,往往应用在复杂的经济活动分析中,是对定性分析方法的补充。
(四)风险应对。风险应对是指风险应对政策的选择。单位应当根据风险分析的结果,结合风险承受度,确定风险应对策略。
风险应对策略包括风险规避、风险降低、风险分担和风险承受。风险规避是单位对超出风险承受度的风险,通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。风险降低指的是单位在权衡成本效益之后,准备采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度之内的策略。风险分担是单位准备借助他人的力量,采取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内的策略。风险承受是单位对风险承受度之内的风险,在权衡成本效益之后,不准备采取控制措施降低风险或者减轻损失的策略。
单位应当综合运用这些风险应对策略,实现对风险的有效控制。
以目标设定为基础,单位在进行风险识别、风险分析之后,通过风险应对策略,排除了风险规避、风险分担和风险承受,凸显了风险降低,需要采取相应的措施,将风险控制在可承受范围之内。配套指引中的系列应用指引明确单位至少应当关注的风险点,并经过风险识别、分析之后,结合应对策略,重点对风险降低作出了规定,即系列应用指导提出的各项控制措施。
三、单位在进行风险评估时,由于所面对的层面不同,因而重点关注的方面也不相同
关键词:食品安全 风险评估 科学顾问 合法性危机
中图分类号:DF3 文献标识码:A 文章编号:1673-8330(2014)02-0090-10
虽然不同国家和地区对食品安全风险评估的科学顾问具有不同的称谓,比如,在美国,食品安全风险评估的科学顾问是食品建议委员会① 和食品与药品管理局的科学委员会;② 在欧盟,是欧洲食品安全管理局的科学委员会和科学小组;③我国食品安全风险评估科学顾问则是食品安全风险评估专家委员会④与食品安全风险评估中心。⑤虽然称谓不同,但它们都应当承担相似的制度功能,即增强食品安全风险评估结论的科学性,进而保障食品安全风险管理决策的合法性。然而,与欧盟及美国的食品安全风险评估科学顾问制度相比,由于我国的食品安全风险评估科学顾问制度起步比较晚,理论研究相当欠缺,积累的经验也相对不足,因而在实践中引发了诸多问题,致使社会公众对该项制度产生了严重的不信任,也削弱了行政机关所作出的食品安全风险管理决策的科学性。由此,亟需从食品安全法制的视角探究治理我国食品安全风险评估科学顾问的具体之道。围绕该问题,笔者主要从以下三方面展开论述。
一、食品安全风险评估科学顾问合法性危机之突出表现
我国食品安全风险评估科学顾问的合法性危机,既体现在他们对特定食品实施风险评估的情形之中,也表现在社会公众需要他们积极对某一食品实施风险评估时,他们却不作为或迟延作为的情形之中。对于前一种情形,可以称为“作为行为”中的合法性危机;对于后一种情形,可以称为“不作为行为”中的合法性危机。
(一)“作为行为”中的合法性危机
尽管到目前为止,我国食品安全风险评估科学顾问从事的食品安全风险评估实例并不多,然而,从这些为数不多的风险评估实例中不难发现,他们已经陷入了合法性危机,突出表现为社会公众和同行专家对科学顾问作出的风险评估结论持怀疑和不信任的态度,而对制度的信任是人们服从该制度的心理基础,也是制度具有生命力的动力机制。⑥因而,缺乏公众信任的食品安全风险评估科学顾问自然不会得到公众的支持,科学顾问中的专家也被戏称为“砖家”。有时,甚至连行政机关自身也不得不不采纳科学顾问所作出的风险评估结论。比如,针对一些人大代表和学者对我国全民食盐强制加碘策略的科学性的质疑,⑦2010年4月7日,卫生部致函国家食品安全风险评估专家委员会,要求对膳食中碘对健康的影响进行评估。2010年5月14日,国家食品安全风险评估委员会发表《中国食盐加碘和居民碘营养状况的风险评估》报告。该报告的基本结论是,继续实施食盐加碘策略对于提高包括沿海地区在内的大部分地区居民的碘营养状况十分必要。⑧2010年7月,卫生部依据该风险评估报告,作出由于我国居民碘缺乏的健康风险大于碘过量的健康风险而继续实施食盐强制加碘策略的决策。应当指出,《食盐加碘和居民碘营养状况的风险评估》是我国食品安全风险评估委员会首次就重大食品安全问题的潜在风险作出的评估。然而,该风险评估报告一出炉,就遭到不少同行专家和社会公众的强烈质疑与反对,有学者甚至认为该风险评估报告是“一场魔术”,而卫生部以及食品安全风险评估科学顾问是“魔术师”。⑨然而,值得玩味的是,2011年8月31日,卫生部《食用盐碘含量》标准,规定从2012年3月15日起,食盐碘含量将不再“一刀切”,各地可以根据当地人群实际碘营养水平,在规定范围内浮动添加。⑩显然,《食用盐碘含量》标准的修改从反面证明了此前国家食品安全风险评估委员会的风险评估报告的科学性之不足。又如,作为2010年我国食品安全重大议题之一的面粉增白剂存废之争(化学物质过氧化苯甲酰、过氧化钙的俗称),终因卫生部于2010年12月14日就撤销食品添加剂过氧化苯甲酰、过氧化钙公开征求意见,而暂告停歇。卫生部于公开征求意见过程中《关于拟撤销食品添加剂过氧化苯甲酰和过氧化钙的相关情况》,以权威的官方信息宣布了国内外关于在面粉中使用过氧化苯甲酰的安全限量标准,以及在此限量下使用的安全性,这是具有科学意义的风险评估结论。B11它是卫生部依据食品安全风险评估专家的意见作出的结论。然而它同样受到同行专家和社会公众的批评与质疑;B12同时,卫生部的决策也未完全依据该评估结论。既然是具有科学性的风险评估结论,那么就应当作为卫生部决策的依据,B13既然在面粉中使用安全限量之内的过氧化苯甲酰不会对人体带来健康风险,那么卫生部就应当作出坚持在面粉中可以使用安全限量之内的过氧化苯甲酰的决定,然而,卫生部却作出了一年过渡期后彻底废除面粉添加剂的决定。B14再如,2012年11月19日21世纪网报道,第三方检测显示酒鬼酒中的塑化剂含量超标高达260%,由此引起社会公众强烈恐慌。两天之后,国家质检总局、卫生部和国家食品安全风险评估中心有关负责同志公布,“国家食品安全风险评估中心根据国际通用风险评估方法和欧洲食品安全局推荐的人体可以耐受摄入量,以媒体报道的酒鬼酒中塑化剂含量为1.08mg/kg计算,按照我国人均预期寿命,每天饮用1斤,其中的塑化剂不会对健康造成损害”。B15显然,这一意见属于科学意义上的对酒鬼酒中安全限量的塑化剂的风险评估结论,理应受到社会公众和同行专家的尊重,然而,社会公众和同行专家对此并不接受。这既表现为酒鬼酒的股票在复牌当日就遭股民大量抛售而跌停,同时也殃及整个白酒行业板块,也表现为该结论正日益受到社会公众和专家学者的诘难。B16这是因为,2011年6月卫生部签发的551号文件《卫生部办公厅官员通报食品及食品添加剂中邻苯二甲酸酯类物质最大残留量的函》规定塑化剂的最大残留量为0.3㎎/㎏,卫生部的这份文件中所规定的限量值是基于风险评估的结果,B17可是,国家食品安全风险评估中心的负责人却认为超过该文件规定最大残留量近3倍的酒鬼酒,每天饮用1斤也不会对人健康带来损害,这显然与卫生部之前所规定的限量值相矛盾。而据新浪网的一份题为《白酒塑化剂事件是否对你有影响》的调查,自国家食品安全风险评估中心评估意见的3天之内,就有近3万人参与其中,对于四个选项:担心影响健康,将逐渐戒酒并劝告身边亲友;无所谓,身体已经被苏丹红、地沟油等练得百毒不侵;不受影响,而且中国是酒文化,饮酒量无法自己控制;相信权威部门,每天饮用白酒不超过1斤就没问题。参与调查者投赞成票的比例分别是:54.7%、33.1%、 6.3%和5.9% ,B18也就是说,参与调查的社会公众极为不信任国家食品安全风险评估中心的评估意见。
(二)“不作为行为”中的合法性危机
在实践中,其合法性危机还表现为不作为或迟延作为,对于一些其危害性在科学上存在争议的食品没有给出权威性的评估意见,对于一些事关社会公众重大健康风险的食品,则迟迟未实施风险评估,由此所带来的负面后果毋庸置疑。比如,对于转基因食品安全的风险评估,我国的食品安全风险评估科学顾问至今尚未作出科学的评估结论。然而,在科学界,对于转基因食品安全的风险,一直存在广泛的争议以及许多不确定性,诸如,它们对生命结构改变后的连锁反应不确定;导致食物链潜在风险不确定;污染、增殖、扩散及其清除途径不确定等。B19可是,一些转基因食品生产企业基于巨大的商业利益考虑,一方面转基因食品对人体不存在健康风险的评估报告,另一方面则大量种植和销售非法的转基因作物和食品,对此,2011年4月28日的《每日经济新闻》、B204月29日的《华夏时报》、B21《经济观察网》、B22《中国新闻网》B23以及《中国经营网》B24等媒体作了详细披露。这些媒体报道所揭问题着实让社会公众担心,其中,有两个问题值得深究:一是为农业部抽检不合格,从而遭到“封杀”的超级玉米品种,都是经国家农作物品种审定委员会审定通过的“合格”产品,比如,“登海605”、“登海662”等;二是在安全性未加以明确之前,违法的转基因食物已进入多地多个品种的儿童食物,比如,惠氏“S-26爱儿素婴儿配方豆粉”、 伊利“胡萝卜营养米粉”、含有转基因水稻Bt63成分的米饭等等。而这两个问题都指向对转基因作物或食品的风险评估。换言之,如果对这些转基因作物或食品,我国食品安全风险评估科学顾问在事先能作出客观、中立的科学评估,就不会产生一系列可能侵害社会公众及公共利益的后果。可是,我国食品安全风险评估科学顾问对之一直沉默不语。又如,在2008年9月三鹿问题奶粉全面披露之前的3个月,在国家质检总局食品生产监督司网站上,就有消费者投诉婴儿食用三鹿奶粉后患肾结石的情况。然而,食品安全风险评估科学顾问并没有启动对三鹿问题奶粉的风险评估,因而无法确切掌握三鹿问题奶粉的社会危害性,也就没有采取及时和有效的防范措施。等到卫生部组织调查组对三鹿集团奶粉进行深入调查时,已经是在9月中旬了,错过了治理三鹿奶粉危机事件的关键3个月,这不仅在客观上加速了三鹿奶粉集团的灭亡,也加重了对消费者的损害。B25再如,前述酒鬼酒,甚至是整个白酒行业中的塑化剂事件。由于在2011年5、6月间,我国台湾地区发生因塑化剂而引发的重大食品安全危机,波及数百家厂商、千余项产品,岛内民众更是一度谈 “塑”色变,在这种背景下,2011年6月中国酒业协会因获知白酒产品中含有塑化剂有关信息,要求相关企业查清白酒中的塑化剂产生来源,当年12月又通知要求白酒企业进一步提高食品安全意识,2012年4月,协会再次强调严控白酒产品塑化剂含量。B26从理论上讲,既然我国台湾地区发生了塑化剂事件,而我国大陆的酒业协会也已经反复强调查清和严控相关白酒企业中的塑化剂,那么我国的食品安全风险评估科学顾问应当有所作为,积极主动地对白酒的塑化剂安全限量进行风险评估,然而,他们一直无所作为,直到2012年11月19日21世纪网进行相关报道之后,才匆匆发表意见。可是,社会公众已经对他们的意见持不信任态度。其他事关社会公众重大健康风险的食品,比如,食品中的反式脂肪酸、镉的膳食暴露等,食品安全风险评估科学顾问至今也未给出明确的科学评估建议。
二、食品安全风险评估科学顾问合法性危机之原因分析
以上分析表明,我国食品安全风险评估科学顾问已经陷入了合法性危机,那么他们陷入合法性危机的原因何在?纵观在实践中所暴露出的问题,笔者认为可以归纳为以下几方面。
(一)科学顾问缺乏科学上的卓越性
专家权威是一种建立在科学理性基础上异于传统强制性的知识话语权。B27正是由于缺乏科学上的卓越性,才使我国食品安全风险评估科学顾问权威的根基受到动摇,社会公众难以信任他们能够作出科学的风险评估结论或者他们自身能够对社会需求作出积极的回应。那么我国的食品安全风险评估科学顾问为何会缺乏科学上的卓越性?一些学者将其中的原因更多地归咎于食品安全风险问题在客观上的复杂性和食品安全风险评估科学自身的局限性。B28“任何参与为风险决策提供信息的科学家都不会对事实的不确定性感到意外。认识数据的局限性是基本的科学训练”。B29然而,笔者认为,这一原因是包括欧盟及美国在内的世界各国食品安全风险评估科学顾问都普遍存在的,而科学的食品安全风险评估科学顾问法律制度的一个重要目的就是尽可能化解这种因复杂性和局限性所带来的难题,于是才对食品安全风险评估科学顾问的卓越性提出严格、甚至是苛刻的要求。由此,从法制建设角度而言,我们需要从我国现行的规范食品安全风险评估科学顾问的法律制度层面来分析导致他们缺乏科学上的卓越性的具体原因。
1.缺乏一整套严格和公正的程序制度来招聘和遴选最高水准的科学专家组成食品安全风险评估科学顾问。对于我国食品安全风险评估科学顾问的成员的招聘和遴选程序及其所应具备的专业水平,《食品安全法》及其实施条例、《食品安全风险评估管理规定(试行)》都没有规定。对于作为科学顾问组成部分的食品安全风险评估专家委员会的专家的条件,《国家食品安全风险评估专家委员会章程》第13条作了规定。其中,涉及专业水平的条件有三项:即从事专业技术工作,具有副高级以上专业职称(副高级职称者需具有博士学位),年龄在 65岁以下(院士除外),身体健康;具体从事食品安全风险评估工作,或者从事与食品安全风险评估相关的工作;业务水平突出,在国内相关专业领域具有较高的学术威望,或者具备丰富的工作经验。对于食品安全风险评估中心的专家的条件,现有法律规范及卫生部的规范性文件都没有规定。而对于这些专家的招聘和遴选程序,也缺乏法律规范依据,这表明行政机关在遴选和聘请科学顾问的专家方面,实际上存在着非常大的自由裁量空间。例如,关于我国第一届国家食品安全风险评估专家委员会的成员组成,在卫生部官方网页上只能看到专家委员会的成立决定、拟入选以及最终确定入选名单的公示通知,对于专家的选择标准、程序、方式等问题仅有一句话:即“第一届风险评估专家委员会是在有关部门、科研机构和大专院校推荐的专家中,按照多学科组成、代表性和独立评估等原则产生的,并向社会进行了公示”。 B30
2.缺乏严格的质量保障程序来确保科学顾问所作出的风险评估结论具有可靠性。基于食品安全风险本身的复杂性以及科学顾问专家知识的局限性,为确保科学顾问所作出的评估结论经得起同行专家和社会公众的诘难和质疑,就需要一整套严格的质量保障程序来确保科学顾问的评估结论是权威和可靠的。对此,我国现行法律规范却处于空白状态。而在食品安全风险评估科学顾问法制比较发达的地区,则已建立比较完善的制度。例如,欧洲食品安全管理局的四阶段质量保障程序:一是自我评估:欧洲食品安全管理局的科学委员会使用自我审查的形式来确保持续性地遵循相同的步骤以实施每一次科学评估,比如,确保所有的科学数据被清楚地描述和参考、在规定的期限之内达成共识等;二是内部审查,欧洲食品安全管理局的一个内部审查小组对经自我评估程序的科学结论作第二次复查,该小组会提出修改建议;三是外部审查,欧洲食品安全管理局通过建立外部独立的专家小组来对其内部的质量审查程序加以审查,外部专家小组会提出建议;四是质量管理年度报告,欧洲食品安全管理将内部和外部的审查建议汇编成质量管理年度报告,该报告的作用是增强其工作程序的质量,并在其官方网站上公布。
3.缺乏完整和高效的食品安全风险信息和数据交换网络体系来有效地支撑科学顾问开展高质量的风险评估工作。因为食品安全风险评估科学顾问不能在真空中从事食品安全风险评估工作,需要大量精确的信息和专业化的科学知识与数据,所以在法律上需要安排一种确保科学顾问开展高质量的风险评估工作的支撑体系,也就是完整和高效的食品安全风险信息和数据交换网络体系。然而,对于这样一种支撑体系,我国现行相关法律规范并没有较为科学的规定。唯一的依据是《食品安全风险评估管理规定(试行)》第8条和第4条的规定。根据第8条第1款的规定,食品安全风险评估专家委员会无权收集需要评估的食品的风险信息和数据,而是由卫生部来提供,即卫生部根据食品安全风险评估的需要组织收集有关信息和资料。可是,卫生部如何收集信息和资料呢?于是,根据第4条的规定,由卫生部确定的食品安全风险评估技术机构负责承担食品安全风险评估相关科学数据、技术信息、检验结果的收集、处理、分析等任务。那么,其他国家行政机关又如何提供信息和数据呢?根据第8条第2款的规定,国务院有关部门和县级以上地方农业行政、质量监督、工商行政管理、食品药品监督管理等有关部门应当协助收集前款规定的食品安全风险评估信息和资料。通过分析这些条款可以发现,目前支撑我国食品安全风险评估科学顾问开展高质量的风险评估的信息网络体系是十分脆弱的。理由在于:一是将大量的食品安全风险信息源排除在该体系之外。我国的现实情况是,主要的食品安全风险评估信息和数据存在于食品生产和经营企业、各类行业协会、以及农村和乡镇。按照现行的网络体系,这些最重要的食品安全风险信息源却被排除在外。二是虽然规定了国务院有关部门和县级以上地方政府有关部门应当协助卫生部收集信息,但这些部门到底有哪些?通过什么途径协助、不协助的法律后果是什么,协助的期限是多少等问题,则没有规定。三是虽然规定了由卫生部确定的食品安全风险评估技术机构负责承担食品安全风险评估相关科学数据和技术信息的收集,但现行的食品安全风险评估技术机构在人员、编制、经费等方面都存在不足,比如,它只是一个事业单位,只有总共200多个编制,目前全国只有一家等。至于它如何与中央和地方其他相关食品安全风险监管机关沟通和联络,如何获得这些机关的协助等重要问题,现行法律都没有规定。
(二)科学顾问缺乏科学上的独立性
专家的本质特点是价值中立,以确保专家能够忠实于公共利益,在不受外部影响的情况下来实施食品安全风险评估的独立性制度,是实现其科学上的卓越性的最重要手段,同时,也是赢得社会公众和其他同行信任的重要因素。《食品安全风险评估管理规定(试行)》第6条规定:“国家食品安全风险评估专家委员会依据本规定及国家食品安全风险评估专家委员会章程独立进行风险评估,保证风险评估结果的科学、客观和公正。任何部门不得干预国家食品安全风险评估专家委员会和食品安全风险评估技术机构承担的风险评估相关工作。”《国家食品安全风险评估专家委员会章程》第19条规定:“专家委员会根据卫生部下达的风险评估任务,按照相应程序独立开展风险评估工作。”由此可见,我国有关食品安全风险评估的法律规范及其他规范性文件已经明确了专家独立、客观、公正地进行风险评估的基本原则,然而,这些原则性的规定根本无法为食品安全风险评估工作的独立开展提供强有力的和可以操作的保障。在现实中,缺乏独立性保障的食品安全风险评估科学顾问的成员,既可能被政府潜在的权力运行规则所牵制,成为“傀儡”专家,也有可能成为利益集团的代言人,成为被管制者借以捕获管制者的工具。B31具体而言,我国食品安全风险评估科学顾问存在依附性的情形主要体现在以下两个方面。
1. 对行政机关的依附。虽然《食品安全风险评估管理规定(试行)》第6条规定食品安全风险评估专家委员会独立实施风险评估,但令人感到困惑的是,该管理规定的其他诸多条款却让食品安全风险评估专家委员会严重依附于行政机关。比如,第7条规定,国家食品安全风险评估专家委员会开展食品安全风险评估任务的来源由卫生部下达;第10条规定,对于国家食品安全风险评估计划和优先评估项目的确定,由卫生部决定;第12条第1款规定,对于根据卫生部下达的评估任务,国家食品安全风险评估专家委员会提出风险评估实施方案,需要报卫生部备案;第12条第2款规定,对于在实施风险评估过程中,需要进一步补充信息和数据的,国家食品安全风险评估专家委员会需要向卫生部提出数据和信息采集方案的建议。而第15条和第18条甚至进一步规定,对于风险评估的结果和报告,国家食品安全风险评估专家委员会应当及时向卫生部报告;对于食品安全风险评估结果的公布,则由卫生部依法向社会公布。显然,这些条款严重削弱了食品安全风险评估专家委员会的独立性。而从实践中来看,以第一届国家食品安全风险评估专家委员会的组成情况为例,进行评估的42名委员绝大多数都来自国家部委的下属机构,委员会委员由卫生部选聘,分别来自于各有关医药院校、科研单位、药检部门及医院各不同专业。B32至于我国科学顾问的另一组成部分——食品安全风险评估中心,则直接属于事业单位,受国家行政机关的领导和监督。因为国家食品安全风险评估中心建立了理事会,是食品安全风险评估中心的决策监督机构,负责中心的发展规划、财务预决算、重大事务、章程拟订和修订等事项,按照有关规定履行人事等方面的管理职责,并监督食品安全风险评估中心的运行。而卫生部是食品安全风险评估中心理事长单位,国务院食品安全办、农业部为副理事长单位,工商总局、质检总局、食品药品监管局等部门为理事单位。虽然从理论上而言,让食品安全风险评估科学顾问依附行政机关的初衷正是为了科学决策,但是行政机关的决策思维和使命与科学顾问的工作思维和使命并不一致,有时,甚至完全相反。面对强大的行政权力,科学顾问往往丧失独立性,他们被称作“御用专家”,科学也就变成了政治的工具。
2.缺乏保障科学顾问忠实于公共利益和客观地科学事实的具体制度。尽管《食品安全风险评估管理规定(试行)》第7、10、12条等条款使得食品安全风险评估科学顾问依附于行政机关,但这并不必然导致科学顾问一定不能忠实于科学事实,可是,如果缺乏保障科学顾问忠实于科学事实的具体制度,那么则根本无法实现客观、公正和独立。这是因为,食品安全风险评估科学顾问成员的中立性本身只是一个假设,他们具有经济人动机,“经济人”或“理性人”的基本行为动机是获利,追求的是个人效用、利润的最大化,这种在评估过程中的自利取向往往会埋下损害他人及公众利益的祸根。B33依据公共理论选择逻辑,由于专家行为的灵活性以及自利动机的强烈刺激,当决策结果与专家个体利益或价值偏好具有联系时,他们的行为实际上也是尽可能地利用自己的一切资源去获取自身效用的最大化,而不是其声称的最大限度地增进公共利益。B34然而,对于此类保障科学顾问忠实于科学事实和公共利益的制度,我国现行的法律规范没有规定。虽然《国家食品安全风险评估专家委员会章程》在第15条B35和第17条第(四)项B36有所规定,但是这些规定极为原则,缺乏可操作性,比如,如何认定“可能与自身利益相关的风险评估工作”中的“利益”,由谁来认定,以及通过何种程序认定等,都没有规定。
(三)科学顾问的活动缺乏公开透明性
我国食品安全风险评估科学顾问的评估结论若要获得社会公众和同行专家的信任与支持,还需要遵循公开和透明的法律规则。这是因为,如果他们的活动是不为公众所知的或者在很大程度上不为公众所知,公众难以监督他们的行为,对其信任自然会大打折扣。这正如有学者所指出的:“通过公开的决策程序,将使原本黑盒子式的政策形成过程处于大众舆论监督的阳光下,降低了行政官僚图利自我或他人的可能,强化了责任监督机制,增进了民众对于政府的信赖”。B37尽管这一观点主要针对行政机关而言,然而同样适用于我国食品安全风险评估科学顾问的行为。可是,现行的关于食品安全风险评估科学顾问的法律规范对此仅作了极为有限的规定,即《食品安全风险评估管理规定(试行)》第18条规定, 卫生部应当依法向社会公布食品安全风险评估结果。此外,通过对食品安全风险评估中心网站公开的仅有的3份食品安全风险评估报告——《食品中丙烯酰胺的危险性评估》、《中国食盐加碘和居民碘营养状况的风险评估》、《苏丹红危险性评估报告》——的分析和梳理可以发现,对于每一项食品安全风险评估科学建议的目标和适用范围的信息,参与食品安全风险评估的专家名单(除《中国食盐加碘和居民碘营养状况的风险评估》注明了专家组和工作组名单外),评估的议程和时间,关于科学建议的会议纪要、少数派成员的意见,这些科学建议被拒绝或修改的理由等信息均未涉及,也没有公开;对于某一食品安全风险作出评估建议时,所使用的任何既定的指南、数据质量标准、默认假设、决定标准以及对于任何偏离既定规定的做法的理由等信息,用以识别相关数据和其他信息的方法,作出科学建议所依据的数据来源信息,适用或排除某些数据的标准的信息等公开较少且不全面和完整;对于作出科学建议时所涉及的不确定性和差异性的信息以及对其进行解释说明的信息等并未一同公开。显然,我国食品安全风险评估科学顾问的行为依然主要是黑盒子式活动,离全过程的透明和公开还有非常遥远的距离。
三、克服食品安全风险评估科学顾问合法性危机之食品安全法制度
以上对我国食品安全风险评估科学顾问合法性危机突出表现及其原因的分析,其实揭示了我国《食品安全法》以及其他规范科学顾问的相关法律规范,既没有考虑对科学顾问的中立性、权威性、透明性的诉求,也没有关注科学顾问的专家知识可能被滥用的机制,其结果将可能是:专家角色的“空洞化”和“符号化”与专家知识滥用同时存在,B38科学顾问作出的科学建议及科学绩效也会陷入民众的不信任之中。然而,来自欧盟和美国等食品安全风险评估科学顾问法制比较发达地区的理论与实践的经验告诉我们,担负提供食品安全风险评估科学建议职责的科学顾问若要获得其他政府机构以及公众的信任,食品安全风险评估科学顾问的法律制度的设计者至少会遇到这样一些难题:如何确保他们所提供的评估建议具有科学上的卓越性?如何确保他们是在一种忠实于公共利益的独立的状态下作出评估意见,或者如何克服他们在经济利益上存在的或明或暗的偏见并防止行政机关和其他组织的干涉?如何让他们在透明和公开的条件下提供科学意见?B39这些问题恰恰是目前困扰我国食品安全风险评估科学顾问的制度设计者的难题,也是我国科学顾问出现合法性危机的原因。由此,笔者在适当借鉴和合理改造发达国家地区的法制经验基础之上,B40提出克服我国食品安全风险评估科学顾问合法性危机之具体的食品安全法制度。
1.设计公正和科学的食品安全风险评估科学顾问成员的遴选制度。公正和科学的遴选制度是确保科学顾问能够作出高质量的风险评估报告,并获得公众和同行专家信任的基础性制度。对于这项制度,我国现行法律规定得相当不足,一些关键的环节缺失。笔者认为,一项完整的公正和科学遴选的制度至少应当包括四个环节:一是适格的候选人的评价标准。对此,《国家食品安全风险评估专家委员会章程》第13条规定了3项,笔者认为,这3项标准是不够的,还需要加上两项:即具有跨学科的,最好是国际化背景的专业经验,以及具有娴熟的食品安全风险评估信息的沟通技巧。二是遴选程序。对此,我国现行法律规范没有明确规定。笔者认为,它应当包括五个阶段:(1)卫生部运用多种媒体和新闻手段,向全国范围内遴选科学顾问成员的公告。(2)卫生部组织专家对申请人申请的有效性进行形式上的审查。(3)卫生部组织专家对适格的候选人进行实质上的评价。(4)卫生部确定最佳候选人的入围名单。(5)卫生部从入围名单中任命候选人。三是科学顾问成员的更新程序。对此,《国家食品安全风险评估专家委员会章程》第17条规定了专家委员会委员资格终止的情形,第18条简单规定了专家委员会委员每届任期为五年。笔者认为,这里至少需要规定:更新成员的情形,比如辞退、辞职或任期届满;需要履行的更新程序,比如,食品安全风险评估专家委员会主任向卫生部提出建议,卫生部根据遴选程序选择新成员等步骤。四是与遴选相关的候选人的身份信息的保障。笔者认为,这一点对于确保有足够优秀的候选人来参加遴选程序非常重要,因而需要作出规定,比如,有权获得这些候选人身份信息的主体,主体需要遵守的法定义务等。对于这四个环节,笔者建议卫生部或者食品安全风险评估专家委员会通过规范性文件的方式来加以规范。就像欧洲食品安全管理局通过两个内部指引——《关于协助食品安全管理局的科学工作的科学委员会、科学小组和外部专家的成员的选择决定》B41与《关于科学委员会、科学小组以及它们的工作团体的建立和运作决定》B42——来法制化那样。
2.设计广泛而有效地支撑科学顾问开展风险评估工作的网络体系,或者各类合作性制度。此类制度类似于科学顾问安放在全国各地的手足或耳目,帮助其快速和高质量地实施风险评估。笔者认为,未来的法律制度设计至少应当包括以下合作性制度:一是建立利害关系人B43协商平台来开展合作。卫生部自身或者委托食品安全风险评估中心实施该项合作制度。这项制度是食品安全风险评估中心与各类利益团体进行合作的主要制度安排。卫生部应当通过一项指南,详细规定食品安全风险评估中心与各类利益团体之间合作的具体制度。比如,该平台的职责与任务、平台的构成、平台的主席、平台的会议制度与工作方法和资金等内容。二是建立食品安全风险评估咨询平台来实施合作。咨询平台是国家食品安全风险评估中心与地方行政机关之间开展合作的关键性制度,以实现两者之间的食品安全风险信息和数据的共享。笔者认为,卫生部可以在卫生行政系统内建立食品安全风险评估咨询平台,并通过指南的方式规定咨询平台的各项制度,比如,咨询平台的成员构成、出席会议规则、独立性、保密性、透明性、秘书、会议的召集、议程、法定人数与投票、结束争议、书面程序、解释与会议所使用的语言、工作小组、会议记录和文件的发送以及补助等。三是建立食品安全风险评估各类网络联络点来实施合作。网络联络点可以视为咨询平台的有机组成部分,因为咨询平台的成员是借助于网络联络点来开展具体的任务。它的主要使命是就与食品安全风险评估相关的科学事项来支持咨询平台的工作,从而支撑国家食品安全风险评估中心工作。网络联络点可以设在全国的各类研究机构、大学、食品生产和经营企业、医院、乡镇和村的卫生所等,使触角能够延伸到非常广泛的领域。卫生部也应当通过内部指南的方式来规定网络联络点与咨询平台开展合作的制度,比如成员构成、主要使命、经费来源、会议制度等。
3.设计精密和完整的利益声明规则,确保科学顾问成员严格依据公共利益来实施风险评估,不受其他组织的利益和意志的影响。笔者认为,如要较为有效地实现独立性原则,应当建立科学和完整的利益声明规则,即应当通过法律规则的方式规定,科学顾问的成员在从事食品安全风险评估活动时承诺与该活动不存在直接或间接的利害关系。对于我国科学顾问的制度设计者而言,利益声明规则可能显得陌生,对于它的功能或许持怀疑态度,然而,从欧洲食品安全管理局的经验来看,利益声明规定对于确保科学顾问成员的独立性以及获得社会公众和其他国家行政机关的信任非常有效。对此,欧盟《统一食品安全法》第37条首先规定了两种类型的利益声明,即利益的年度声明和利益的特别声明。该法规定,欧洲食品安全局的管理委员会、咨询论坛的成员和执行主任应当制作一份承诺宣言和一份利益宣言,以表明不存在违反他们独立性的直接或间接利益,这些申报应当每年以书面形式作出。科学委员会和科学小组的成员应当制作一份承诺宣言和一份利益宣言,以表明不存在违反他们独立性的直接或间接利益,这些申报应当每年以书面形式作出。管理委员会成员、执行主任、咨询平台成员、科学委员会和科学小组的成员以及参与工作小组的外部专家,在每次会议时都应当声明不存在任何与议程项目有关而影响其独立性的利益存在。而《关于利益声明的独立和科学决策规则》B44等指南则进一步具体化了欧盟《统一食品安全法》第37条的内容。这些指南不仅增加一种利益的声明类型,即利益的口头声明——是对利益的年度声明和利益的特别声明的补充,在每一次会议开始之前,欧洲食品安全局的成员应当口头声明可能损害其独立性且与相关会议议题有关,但尚未在利益的年度声明和利益的特定声明中加以声明的利益事项。此外,欧洲食品安全局对利益声明的诸多相关事项还进行了明确规定,比如,对所涉及的关键术语,像利益、利益冲突、经济利益、研究经费、相关利益,作了较为详细的界定;规定了利益声明和评估的原则;规定了三种类型的利益声明中所需要声明的利益类型;规定了如何对三种类型的利益进行审查;规定了对成员个人资料的保护等等。笔者认为,我国可能并不需要完全照搬欧洲食品安全管理局的这些利益声明规则,但不能忽视这些规定的功能,即旨在通过实施具有可操作性的利益声明规则来保证欧洲食品安全局的成员能够忠实于公共利益,避免受其他组织的不良影响,从而独立实施风险评估。由此,适当借鉴其中的一些利益声明规则类型,比如年度利益声明和口头利益声明,对于确保我国食品安全风险评估科学顾问的独立性是十分有益的。
4.设计合理和全面的食品安全风险评估活动公开和透明的制度。如前所述,现行的食品安全风险评估公开制度仅仅是结果公开,而且由卫生部来公开,作为具体作出风险评估的科学顾问无权自行公开。笔者认为,这种公开制度显然无法满足社会公众和同行专家的知情权,也难以获得他们的信任和支持,我们需要一项合理和全面的食品安全风险评估活动公开和透明的制度。该项制度的内容至少包括四个方面:一是首先要取消由卫生部统一来公开食品安全风险评估信息的做法,科学顾问有权在遵守相关保密规定的前提下,自行公开食品安全风险评估信息。二是确立卫生部和科学顾问公开信息的原则,即全过程都应当体现透明性,而不仅仅是最终的科学建议或结论应当向社会公开;透明和公开的信息具有可理解性(特别是能够为社会公众所理解)和可复制性,从而能让其他专家来验证。三是规定需要重点公开的事项,比如,每一项食品安全风险评估结果的目标和适用范围的信息,具体而言,该评估结果的背景以及需要回答的问题;评估结果所针对的对象和范围,包括被评估的活动、事项或危害, 被暴露的人群,对评估范围加以限制的理由等。又如,对某一事项作出评估结果时,所使用的任何既定的指南、数据质量标准、默认假设、决定标准以及对于任何偏离既定规定的做法的理由等信息。再如,用以识别相关数据和其他信息,包括文献调查的范围和标准的方法,科学顾问的议程和时间,关于评估结果的会议纪要、少数派成员的意见等等。四是要对公开性与保密性之间的关系加以规范化。这首先需要明确公开和透明是基本原则,而保密是例外。科学顾问所从事的风险评估活动的信息应当最大限度地公开或让公众获得,而只有在具有正当的法定理由情况下,最小数量的信息才能被保密。其次,即使对于依法应当保密的信息,如果为了保障社会公众健康的需要,该类信息也应当公开,保密的要求将被解除,社会公众有权及时获得该类信息。再次,规定某一信息是否应当保密时所需要考虑的因素:比如,公开是否会给个体或公司带来经济损失或不正当的赢利;公开是否会严重干扰科学顾问的活动;公开是否会违反现行有效的法律等。最后,要规定保密的方式,比如,科学顾问的成员应当签署一份书面声明以表明遵守保密的义务,并且,这种义务一直持续到其职责的终止。
应当指出,以上四项制度是克服我国食品安全风险评估科学顾问合法性危机的主要制度,其他制度,比如,类似于欧洲食品安全管理局的风险评估质量评估制度、科学顾问的经费保障制度、科学顾问的集体决策且成员之间享有平等发言权制度等,都能在一定程度上发挥相应的功能。可以说,通过这些制度的有效运作,我国的食品安全风险评估科学顾问将走出合法性危机,从而获得社会公众和同行专家的高度信任,也能为食品安全风险管理决策提供充分的科学保障。
The Legitimate Crisis of Science Advisers of Risk Assessment
for Food Safety and Its Overcome in China
QI Jian-gang YI Jun
【 关键词 】 烟草;工业控制系统;信息安全;风险评估;脆弱性测试
1 引言
随着工业化和信息化进程的加快,越来越多的计算机技术以及网络通信技术应用到烟草自动化生产过程中。在这些技术提高了企业管理水平和生产效率的同时,也带来了病毒和恶意代码、信息泄露和篡改等网络信息安全问题。当前,烟草企业所建成的综合自动化系统基本可以分为三层结构:上层为企业资源计划(ERP)系统;中间层为制造执行系统(MES);底层为工业控制系统。对于以ERP为核心的企业管理系统,信息安全防护相对已经成熟,烟草企业普遍采用了防火墙、网闸、防病毒、防入侵等防护措施。而随着MES技术在烟草企业的广泛实施,越来越多企业开始考虑在底层的工业控制系统进行信息安全防护工作。近年来,全球工业控制系统经历了“震网”、“Duqu”、“火焰”等病毒的攻击,这些安全事件表明,一直以来被认为相对封闭、专业和安全的工业控制系统已经成为了黑客或不法组织的攻击目标。对于烟草企业的工业控制系统,同样也面临着信息安全问题。
与传统IT系统一样,在工业控制系统的信息安全问题研究中,风险评估是其重要基础。在工业控制系统信息安全风险评估方面,国外起步较早,已经建立了ISA/IEC 62443、NIST800-82等一系列国际标准和指南;而国内也相继了推荐性标准GB/T 26333-2010:工业控制网络安全风险评估规范和GB/T30976.1~.2-2014:工业控制系统信息安全(2个部分)等。当前,相关学者也在这方面进行了一系列研究,但国内外还没有一套公认的针对工业控制系统信息安全风险评估方法,而且在烟草行业的应用实例也很少。
本文基于相关标准,以制丝线控制系统为对象进行了信息安全风险评估方法研究,并实际应用在某卷烟厂制丝集控系统中,为后续的安全防护工作打下了基础,也为烟草工业控制系统风险评估工作提供了借鉴。
2 烟草工业控制系统
烟草工业企业生产网中的工控系统大致分成四种类型:制丝集控、卷包数采、高架物流、动力能源,这四个流程,虽工艺不同,相对独立,但它们的基本原理大体一致,采用的工具和方法大致相同。制丝集控系统在行业内是一种典型的工业控制系统,它的信息安全情况在一定程度上体现了行业内工业控制系统的信息安全状态。
制丝集控系统主要分为三层:设备控制层、集中监控层和生产管理层。设备控制层有工业以太网连接控制主站以及现场I/O站。集中监控层网络采用光纤环形拓扑结构,将工艺控制段的可编程控制器(PLC)以及其他相关设备控制段的PLC接入主干网络中,其中工艺控制段包括叶片处理段、叶丝处理段、梗处理段、掺配加香段等,然后与监控计算器、I/O服务器、工程师站和实时数据库服务器等共同组成了集中监控层。生产管理层网络连接了生产现场的交换机,与管理计算机、管理服务器等共同组成了生产管理层。
制丝车间的生产采用两班倒的方式运行,对生产运行的实时性、稳定性要求非常严格;如直接针对实际系统进行在线的扫描等风险评估工作,会对制丝生产造成一定的影响,存在影响生产的风险。而以模拟仿真平台为基础的系统脆弱性验证和自主可控的测评是当前制丝线控制系统信息安全评估的一种必然趋势。
3 工控系统风险评估方法
在风险评估方法中,主要包括了资产识别、威胁评估、脆弱性评估、综合评估四个部分,其中脆弱性测试主要以模拟仿真平台为基础进行自主可控的测评。
风险是指特定的威胁利用资产的一种或一组脆弱性,导致资产的丢失或损害的潜在可能性,即特定威胁事件发生的可能性与后果的结合。风险评估模型主要包含信息资产、脆弱性、威胁和风险四个要素。每个要素有各自的属性,信息资产的属性是资产价值,脆弱性的属性是脆弱性被威胁利用后对资产带来的影响的严重程度,威胁的属性是威胁发生的可能性,风险的属性是风险发生的后果。
3.1 资产识别
首先进行的是对实际生产环境中的信息资产进行识别,主要包括服务器、工作站、下位机、工业交换设备、工控系统软件和工业协议的基本信息。其中,对于服务器和工作站,详细调查其操作系统以及所运行的工控软件;对于下位机,查明PLC主站和从站的详细型号;对于交换设备,仔细查看其配置以及连接情况;对于工控系统软件,详细调查其品牌以及实际安装位置;对于工业协议,则详细列举其通信两端的对象。
3.2 威胁评估
威胁评估的第一步是进行威胁识别,主要的任务是是识别可能的威胁主体(威胁源)、威胁途径和威胁方式。
威胁主体:分为人为因素和环境因素。根据威胁的动机,人为因素又可分为恶意和非恶意两种。环境因素包括自然灾害和设施故障。
威胁途径:分为间接接触和直接接触,间接接触主要有网络访问、指令下置等形式;直接接触指威胁主体可以直接物理接触到信息资产。
威胁方式:主要有传播计算机病毒、异常数据、扫描监听、网络攻击(后门、漏洞、口令、拒绝服务等)、越权或滥用、行为抵赖、滥用网络资源、人为灾害(水、火等)、人为基础设施故障(电力、网络等)、窃取、破坏硬件、软件和数据等。
威胁识别工作完成之后,对资产所对应的威胁进行评估,将威胁的权值分为1-5 五个级别,等级越高威胁发生的可能性越大。威胁的权值主要是根据多年的经验积累或类似行业客户的历史数据来确定。等级5标识为很高,表示该威胁出现的频率很高(或≥1 次/周),或在大多数情况下几乎不可避免,或可以证实经常发生过。等级1标识为很低,表示该威胁几乎不可能发生,仅可能在非常罕见和例外的情况下发生。
3.3 脆弱性测试
脆弱性评估需从管理和技术两方面脆弱性来进行。管理脆弱性评估方面主要是按照等级保护的安全管理要求对现有的安全管理制度的制定和执行情况进行检查,发现了其中的管理漏洞和不足。技术方面包括物理环境、网络环境、主机系统、中间件系统和应用系统五个层次,主要是通过远程和本地两种方式进行手工检查、工具扫描等方式进行评估,以保证脆弱性评估的全面性和有效性。
传统IT 系统的技术脆弱性评测可以直接并入到生产系统中进行扫描检测,同时通过交换机的监听口采集数据,进行分析。而对工控系统的脆弱性验证和测评服务,则以实际车间工控系统为蓝本,搭建一套模拟工控系统,模拟系统采用与真实系统相同或者相近的配置,最大程序反映实际工控系统的真实情况。评估出的模拟系统工控系统安全情况,经过分析与演算,可以得出真实工控系统安全现状。
对于工控系统主要采用的技术性测试方法。
(1)模拟和数字控制逻辑测试方法。该方法针对模拟系统中的控制器系统进行测试。采用如图1的拓扑形式,通过组态配置PLC输出方波数字信号和阶梯模拟信号,通过监测控制信号的逻辑以判别控制系统的工作状态。
(2)抓包测试方法。该方法可以对模拟系统中的各种设备进行测试。采用图2的拓扑形式,通过抓包方式,获取车间现场运行的正常网络数据包;将该数据进行模糊算法变异,产生新的测试用例,将新数据发送到测试设备上进行漏洞挖掘。该测试方法既不影响工作现场,又使得模拟系统的测试数据流与工作现场相同。
(3)桥接测试方法。该方法针对模拟系统中的工业通信协议进行测试。测试平台接收到正常的数据包后,对该数据包进行模糊算法变异,按照特定的协议格式,由测试平台向被测设备发送修改后的数据,进行漏洞挖掘测试。采用的拓扑形式就是图2中去除了虚线框中的内容后的形式。
(4)点对点测试方法。该方法针对通信协议进行测试。采用与图1相同拓扑形式,按照所面对的协议的格式,由测试平台向被测设备发送测试用例,进行健壮性的测试。
(5)系统测试方法。该方法对装有工控软件的被测设备进行测试。该方法采用如图3的拓扑形式,综合了前几种方式,在系统的多个控制点同时进行,模糊测试数据在不同控制点之间同时传输,对整个工业控制环境进行系统级的漏洞挖掘。
3.4 综合分析
在完成资产、威胁和脆弱性的评估后,进入安全风险的评估阶段。在这个过程中,得到综合风险评估分析结果和建议。根据已得到的资产、威胁和脆弱性分析结果,可以得到风险以及相应的等级,等级越高,风险越高。
4 应用实例
本文以某卷烟厂制丝车间的制丝集控系统为例进行风险评估研究。
4.1 资产识别
首先对该制丝集控系统进行了资产的识别,得到的各类资产的基本信息。资产的简单概述:服务器包括GR 服务器、监控实时服务器、AOS 服务器、文件服务器、管理应用服务器、管理数据库服务器和管理实时服务器等;工作站包括工程师站、监控计算机和管理计算机;下位机包括西门子PLC S7-300、PLC S7-400 和ET200S;网络交换设备主要以西门子交换机和思科交换机为主;工控系统软件主要有Wonderware 系列软件、西门子STEP7、KEPServerEnterprise等。
4.2 威胁评估
依据威胁主体、威胁途径和威胁方式对制丝集控系统进行了威胁的识别,随后对卷烟厂制丝集控系统的威胁分析表示,面临的威胁来自于人员威胁和环境威胁,威胁方式主要有计算机病毒、入侵等。其中等级较高的威胁(等级≥3)其主体主要是互联网/办公网以及内部办公人员威胁。
4.3 脆弱性评估
搭建的模拟系统与真实网络层次结构相同,拓扑图如图4所示。
基于工控模拟环境,对设备控制层、工控协议、工控软件、集中监控设备进行评估。
对设备控制层的控制设备通讯流程分为五条路径进行归类分析,即图4中的路径1到5,通信协议均为西门子S7协议。一方面采用模拟和数字控制逻辑测试方法以及抓包测试方法对控制器进行测试,另一方面采用桥接测试方法对S7协议进行漏洞挖掘,结果表明结果未发现重大设备硬
件漏洞。
除了S7 协议外,图4中所标的剩余通信路径中,路径6为OPC协议,路径7为ProfiNet协议,路径8为ProfiBus协议,路径9为Modbus TCP协议。对于这些工控协议,采用点对点测试方法进行健壮性测试,结果发现了协议采用明文传输、未对OPC端口进行安全防范等问题。
采用系统测试方法,对装有工控软件的以及集中设备进行测试,发现了工控软件未对MAC 地址加固,无法防止中间人攻击,账号密码不更新,未进行认证等数据校验诸多问题。
然后对制丝集控系统进行的脆弱性分析发现了两个方面的问题非常值得重视。一是工控层工作站可通过服务器连通Internet,未进行任何隔离防范,有可能带来入侵或病毒威胁;攻击者可直接通过工作站攻击内网的所有服务器,这带来的风险极大。二是工控协议存在一定威胁,后期需要采取防护措施。
4.4 综合评估
此次对制丝集控系统的分析中,发现了一个高等级的风险:网络中存在可以连接Internet的服务器,未对该服务器做安全防护。还有多个中等级的风险,包括网络分域分区的策略未细化、关键网络设备和业务服务器安全配置不足、设备存在紧急风险漏洞、工控协议存在安全隐患、PLC 应用固件缺乏较完善的认证校验机制等。
4.5 防护建议
根据制丝集控系统所发现的风险和不足,可以采取几项防护措施:对于可连到Internet的服务器,采用如堡垒机模式等安全防护措施,加强分区分域管理;对主机设备和网络交换机加强安全策略,提高安全等级;对存在紧急风险漏洞的设备,及时打补丁;对于工控协议存在的安全隐患,控制器缺乏验证校验机制等风险,采用工业安全防护设备对其检测审计与防护阻断。
5 结束语
随着信息化的不断加强,烟草企业对于工业控制系统信息安全越来越重视,而风险评估可以说是信息安全工作的重要基础。本文提出基于模拟系统和脆弱性测试的风险评估方法,采用资产识别、威胁评估、以模拟系统评测为主的脆弱性评估、综合评估等步骤,对烟草制丝线控制系统进行信息安全风险评估。而在脆弱性测试中采用了模拟和数字控制逻辑测试、抓包测试、系统测试等多种方法,对工业控制系统技术上的脆弱性进行测试。这些步骤和方法在某卷烟厂的制丝集控系统应用中取得了良好的成果:发现了工控系统中存在的一些信息安全问题及隐患,并以此设计了工业安全防护方案,将工控网络风险控制到可接受范围内。
本次所做的烟草工业控制系统信息安全风险评估工作,可以为同类的烟草企业工控信息安全防护建设提供一定的借鉴。但同时,也要看到,本次的风险评估工作中对于风险等内容的定级对于经验的依赖程度较高,不易判断,这也是以后研究的方向之一。
参考文献
[1] 李燕翔,胡明淮.烟草制造企业工业控制网络安全浅析[J].中国科技博览,2011,(34): 531-2.
[2] 李鸿培, 忽朝俭,王晓鹏. 2014工业控制系统的安全研究与实践[J]. 计算机安全,2014,(05): 36-59,62.
[3] IEC 62443―2011, Industrial control network &system security standardization[S].
[4] SP 800-82―2008, Guide to industrial control systems(ICS) security[S].
[5] GB/T 26333―2011, 工业控制网络安全风险评估规范[S].
[6] GB/T 30976.1―2011, 工业控制系统信息安全 第1部分:评估规范[S].
[7] GB/T 30976.2―2011, 工业控制系统信息安全 第2部分:验收规范[S].
[8] 卢慧康, 陈冬青, 彭勇,王华忠.工业控制系统信息安全风险评估量化研究[J].自动化仪表, 2014 (10): 21-5.
[9] 彭杰,刘力.工业控制系统信息安全性分析[J].自动化仪表, 2012, 33(12): 36-9.
作者简介:
李威(1984-),男,河南焦作人,西安交通大学,硕士,浙江中烟工业有限责任公司,工程师;主要研究方向和关注领域:信息安全与网络管理。
汤尧平(1974-),男,浙江诸暨人,浙江中烟工业有限责任公司,工程师;主要研究方向和关注领域:烟草生产工业控制。
