时间:2024-04-16 16:05:47
序论:在您撰写风险评价矩阵法时,参考他人的优秀作品可以开阔视野,小编为您整理的7篇范文,希望这些建议能够激发您的创作热情,引导您走向新的创作高度。
关键词:铁路;列检;作业质量;风险矩阵法
DOI:10.16640/ki.37-1222/t.2017.01.079
铁路货车列检人员是铁路行车特有工种,有着“列车医生”的俗称,他们作业质量风险的控制程度决定着列车安全和正点。但铁路行业推行安全风险管理时间不长,现场技术人员还不能很好地运用风险管理理论。因此,急需掌握适当的方法对货车列检作业质量风险进行评估分析,用于提升货车列检作业质量,保障列车运行安全。
1 风险矩阵法
风险矩阵法的内容:
风险评价的方法分为定量风险评价和定性风险评价。风险矩阵属于定性风险评价法方之―。
后果标度可以为任何数量的点,最常见的是有3、4或5个点的等级。可能性标度也可为任何数量的点。需要选择的可能性的定义应尽量避免含混不清。
2 铁路货车列检作业风险分析评价模型的建立
铁路基层单位在对列检作业质量进行分析评价时,通过统计分析列检风险事故造成的危害和频次就能够建立风险矩阵模型,如所表1所示。
2.1 确定风险后果等级
铁路行车事故按性质和危害性划分为特别重大事故,重大事故、较大事故和一般事故,而一般事故又一般A类事故、一般B类事故、一般C类事故、一般D类事故。列检作业质量风险根据已经或可能造成的事故等级来划分是十分清楚且明确的,如表2所示。
2.2 确定风险发生可能性等级
本文利用一定时间内风险事件发生次数与评估范围内的单元个数的百分数值(简称:年均事故占比数PZB)确认风险发生可能性等级。年均事故占比数(PZB)式(1)确定,如表3所示。
PZB=PR/(PN*PT)*100% (1)
式中,PR为风险事件已造成后果的次数,PN为单元个数,PT为年度数量。
2.3 确定风险级别
邀请列检作业方面专家,根据列检作业质量风险所处的后果等级和可能性等级,通过专家经验判断,将风险划分为高、中、低三个级别,如表4所示。
3 风险矩阵法的应用
3.1 识别风险事件
我们A地区拥有的206个列检单位为例,对其作业质量风险进行评估。最终确认列检作业质量风险。
3.2 确认风险事件的影响等级和概率
统计2015年6月至2016年6年两年间A地区铁路货车发生事故情况,车辆抱闸8件D类,27件非责任;违反作业纪律1件C类4件D类,3件非责任;车辆漏风3件D类,14件非责任;故障处理不当3件D类,0件非责任;配件落实或丢失3件C类,6件非责任;列车起非常2件D类,2件非责任;车体故障1件D类,1件非责任;列车分离1件B类,12件非责任;错编车件D类非主要责任;车辆切轴风险29件非责任;大部件断裂风险和列车放r风险造成事故为0件。
利用式(1)计算风险事件年均事故占比数PZB。其中,PR为每个风险事故相关责任总件数,PN=206运用车间(即列检单位),PT=2年 。
3.3 确认风各风险事件等级
由后果等级和可能性等级对照表4确定出风险事件的风险等级,完成列检作业质量见险评做矩阵,如表5所示。
4 结论
(1)利用风险矩阵法评价列检作业质量风险,主要是从风险后果和风险可能性2个维度来评价风险,为制订科学合理的风险决策提供依据,使风险控制更有针对性、实效性和准确性。
(2)需要指出的是,应用风险矩阵方法需要专家、现场管理人员、检车人员等经验支持.因此需要采取尽控制和避免主观因素的局限性。
参考文献:
关键词:风险评估 评估方法 档案馆风险
风险评估是指在风险事件发生之前或之后(尚未结束),对该事件给人们生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作,即量化测评某一事件或事物带来的影响或损失的可能程度。所谓档案馆安全风险评估(RiskAssessment),就是对档案实体和档案信息资源所面临的威胁及其可能造成影响的可能性的评估。
档案馆风险评估方法研究就是对整个风险评估过程中使用和涉及到的形式和途径进行探索,为档案馆风险评估提供一种具体的、可行的、普适的理论支持和应用基础。评估方法为风险评估工作提供了量化的、具体的衡量指标和尺度,使风险评估工作有规律可循、有方法可依,为评估工作的开展奠定重要的基础。
一、风险评估方法介绍
风险评估方法有很多种,在其他领域适用的,在档案馆不一定适用,究竟选择哪种方法,一定要根据工作性质、工作流程、工作对象等做出选择。普遍使用的可以分为三个大类,即定性评估法、定量评估法和定性定量结合评估法。
第一,定性评估法是指采用文字或描述性的级别说明风险的影响程度和这些风险出现的可能性。较为典型的有经验评估法。
经验评估法,又称专家调查法,是以专家作为信息获取的对象,依靠专家的知识和实践经验,由专家对风险程度作出判断和预测的一种方法。通过专家的分析,可以识别某一事件或者对象可能遇到的绝大部分风险类型,列出风险表格,并按等级程度进行排列。例如,首先,采用查找文献、调查档案修复专业人员等方法列举出档案修复过程中通常可能出现的风险;然后,列出评价标准,根据档案修复的经验对风险因子进行分析和评价,列出表格并使用等级进行标识;最后,将各种风险因子相结合,推断出档案修复过程中各类风险的等级。
第二,定量评估法是指利用数量特征、数量关系和数量变化进行分析的方法,通过对历史记录、实验数据、相关文献资料、研究等数据的分析,来判断风险影响程度大小和可能性的一种方式。具有典型代表性的是概率统计法。
概率统计法又称数理统计法,是指研究自然界中随机现象出现规律的一种数学方法。风险的发生虽然具有随机性,但也有着特定的规律,即在一定的发生频次范围内,其出现概率是一个客观存在的定值。概率统计法理论基础完善,分析过程简单,无需进行大量复杂的运算,但是历史数据的积累收集及估算则相对较为困难。
第三,定性定量结合评估法是指将定性评估法和定量评估法结合起来,综合考虑二者的优缺点,将二者优点结合而得到的一种方法,首先对风险因子进行总体性质的确定,然后进行定量分析,在量化基础上再进行风险评估。常用的代表方法是风险矩阵法。
风险矩阵法,就是在矩阵的基础上,将各个因子按类别分别放在行和列上,然后用数量来描述和计算风险因子的关系、大小,确定因子相对等级的一种方法。风险矩阵法具有简单快捷的优势,但计算概率时需要历史数据,此外由于划分的依据是主观的,依赖于人对评价风险的良好判断力,不能够为风险评估提供较高的精度。
二、风险评估方法在档案部门的具体应用
不同风险评估方法的特点各异,应用的形式和角度也有所不同。如何针对不同的风险源,采用不同的评估方法,需要具体分析档案部门不同风险类型的情况而定。
1.经验评估法
经验评估法适用于缺乏历史数据和具体资料,或者因素无法采用客观标准进行衡量的风险类型。例如,在档案修裱过程中,档案面临的风险类型多样,如字迹洇化、纸张起皱等。上述风险并不适宜采用精确的数字或概率来衡量,只可以通过经验评估法来评价此类风险的等级。
首先,列举出档案修裱过程中可能出现的风险类型,并确定风险评估因子,如:字迹洇化、纸张起皱、纸张破损、误揭补、误裁剪。
其次,对“风险可能性”与“风险危害性”两个评估因子进行定性,及描述性评估,如表1所示:
再次,将风险评估的描述性语言进行处理,根据修裱过程中不同风险的属性进行综合打分,如表2所示:
最后,综合两个风险因子进行分析,给出各风险类型的综合风险大小,1级表示风险很小,5级则表示风险巨大,如表3所示:
为最大程度避免专家评估法主观性强、量化程度低的缺陷,可采用多专家打分求均值的方法。即每一位专家对不同风险因素的排序进行编号,再将编号相加,求取平均值,并按照均值大小进行排序,得到的结果便是档案修复过程中各风险的等级程度。此方法有效地增加了评估结果的客观程度,对档案修复风险有更加全面的认识和评价。
2.概率统计法
概率统计法适用于具有衡量标准、历史数据或者可以进行量化的风险类型,并且这些风险的有关因素可以进行赋值运算。例如:库房日常管理中的温度、湿度控制等。上述风险发生频率或概率是可以量化统计的数值,则该风险等级的评估可以使用数据进行分析。
首先,以年为单位,利用历史数据确定温度区间出现的概率大小,如表4所示。然后,估算不同温度区间对档案的危害性,如表5所示。
根据不同温度区间对档案的影响程度,对温度区间对档案的危害性赋值。按照等间距原则,在0-1范围内对风险的强度进行赋值,如表6所示。
最后,综合“温度区间出现的概率”与“温度区间对档案的危害性”两个风险因子,依据公式R(风险等级)=P(风险可能性)×D(风险危害性),计算出风险值最大的温变区间,如表7所示:
比较风险等级的数值大小,将三个数值按大小顺序排列(3-2-1),3级风险最高,1级风险最低。每日库房温度检测时,当温度取值所属的区间就是当日温度的风险等级,针对不同等级的风险程度采取温度调控的措施。
3.风险矩阵法
风险矩阵法是定性评估法与定量评估法相结合的产物,具有二者的优点,既可以用描述性语言定性,又可以采用数值定量的风险类型。例如:档案馆库房管理中的若干风险,这些风险可以先使用语言进行描述,然后再利用赋值法进行计算,最后得出风险等级情况。
以档案库房管理的若干种风险为例,列举出的风险类型有:风险1是库房管理制度不健全:风险2是消防灭火设施不齐全;风险3是温湿度、光照等外界因素控制不当;风险4是档案灭菌杀虫等处理不当。
首先,使用定性评估法对上述风险进行评估,如表8所不:
然后,根据定性评估的描述,对各风险类型进行赋值,按照等间距原则,在0-1范围内对风险因素进行赋值,如表9所示:
最后,利用矩阵对风险因素进行分析,从而判断风险等级,如图1所示:
根据风险矩阵图,可以查找出各风险类型对应的风险等级值,即库房管理制度不健全为等级4,消防灭火设施不齐全为等级3,温湿度、光照等外界因素控制不当为等级3,档案灭菌杀虫等处理不当为等级4。
三、风险评估方法
的优缺点比较
综合前述的介绍可知,经验评估法、概率统计法及风险矩阵法是档案馆风险评估的三种重要方法。通过上述表格来看,以经验评估法为代表的定性法不能够精确计算风险值的大小,只能够通过主观经验来推测和判断风险发生概率及危害性程度;以概率统计法为代表的定量法可以通过绝对的数值衡量风险发生的概率,但对于风险危害程度的大小则需要通过赋值法来转化:以风险矩阵法为代表的定性定量结合法集中了前二者的优点,评估过程与结果清晰明了,但存在着误差失真的情况。三类方法相互结合、互为补充。为档案馆各类风险的评估提供可靠的依据和参考,见表10。
Abstract: This paper uses Delphi method to identify the main possible risk in R&D outsourcing projects, uses the improved risk matrix to identify the main risk factors of quantitative analysis, and then adopts the Borda sequence value method for initial sorting of the risk factors. Finally, it uses fuzzy analytic hierarchy process (AHP) for weight calculation and sorting of each risk factor, to determine the relative size of risk. This article uses the fuzzy analytic hierarchy process (AHP) mainly for establishing hierarchy structure model,constructing the fuzzy complementary judgment matrix, calculating the weight of each risk factor, and the consistency test and total sorting of fuzzy complementary judgment matrix.
关键词: 跨国公司;研发外包;风险识别;风险度量
Key words: multinational companies;R&D outsourcing;risk identification;risk measurement
中图分类号:F253 文献标识码:A 文章编号:1006-4311(2016)01-0079-03
0 引言
中国的信息技术在最近几年发展迅速,随着教育水平的不断提高,中国目前已经储备了一大批信息技术人才,据资料显示,目前中国从事研发活动的人员达743000,位居世界第二位[1],同时中国的研发能力也不断提高,能独立完成很多复杂的研发项目。
随着中国改革开放的不断深入以及中国减免税收等方面的政策鼓励,在华的跨国公司数量不断增加,为了获取更大的效益,同时也为了开发出的产品更能符合中国消费者的需求,越来越多的跨国公司选择与中国本地的开发商进行合作,将产品通过外包的形式交由中国当地的研发商,这不仅降低了研发成本,还充分利用了中国的人才和研发资源,也符合跨国公司全球化的发展战略。
跨国公司在华的研发外包不断流行的同时,其风险的严重性也暴露无遗,据统计,跨国公司研发外包的成功率达不到50%,其主要原因:一是由于软件研发独有的不确定性,使得软件研发外包的风险更加难以控制。[2]二是与研发外包相关的风险管理知识较为匮乏,尽管目前国内国外有许多风险管理的办法,在一定程度上减少了项目的风险,但基于跨国公司在华研发外包的风险管理体系尚未完善,照搬一般项目的风险管理框架体系并不合适。本文试图基于跨国公司在华的研发外包这一特殊条件,根据德尔菲法识别出主要的风险,然后利用改进的风险评价法来更合理的对风险进行度量,在此基础上,采用Borda序值法初步对风险因素初步排序,最后运用模糊层次分析法对各风险要素进行权重计算并排序,确定风险的相对大小。
1 风险识别概述
R&D外包风险识别是项目管理者识别风险来源、确定风险发生的条件、描述风险特征并评价风险影响的过程,常见的风险识别方法有头脑风暴法、情景分析法、风险因素询问法和德尔菲法。
2 风险度量
2.1 风险度量方法概述
R&D外包风险度量是对项目中所识别出的风险发生的概率以及影响进行评价和估量,项目风险度量的主要内容有可能性的度量,后果的度量,影响范围的度量,时间的度量,其中,可能性和后果的度量最为重要[3]。常见的项目度量方法有损失期望值法,模拟仿真法和专家决策法。
2.2 风险矩阵法在风险度量中的运用
风险度量在理论上有很多方法和工具可以采用,具体实践中需要根据不同的项目、不同的风险因素以及可以获取到的各种信息来选择一种或几种方法结合来度量,但是上述方法均只适用于某些方法,并且度量结果往往因为使用的方法不同而难以比较其相对大小,因此,我们采用风险矩阵法来对项目风险进行度量,并比较他们的相对大小,依据风险的重要性进行排序。
常见的风险矩阵依据风险的重要性程度将风险分为高中低三个等级,为了更精确地度量各风险的相对大小,本文将风险发生的概率和风险产生的影响各分成五个等级,再把组合成的风险影响等级按大小不同分为2-10九个等级,具体的风险矩阵模型如表1所示。
每个风险依据其风险的概率范围大小和影响等级进行组合,找到矩阵中相应的数字即为该风险的相对大小。
2.3 风险的borda排序
虽然上文根据改进后的风险矩阵,我们把研发外包中可能存在的风险划分为2-10九个等级,但是处于同一等级的风险的重要程度未必相同,因此,为了更为具体、准确地进行风险重要性排序,我们可以采用borda序值法对软件研发外包中已识别的各种风险进行排序。
borda序值的算法如下:bi=∑(N-rik)(1)
其中,N为风险矩阵中的总风险个数,i为某一个特定风险,k表示风险准则(风险矩阵有两个准则,k=1表示风险影响,k=2表示风险概率),rik表示风险i在准则K下的风险等级。根据borda序值法我们可以对上文所识别出的风险进行一一排序,最后得到风险的包含风险相对重要程度的风险清单。
根据公式(1),根据专家意见确定风险的影响等级后,我们可以确定这五种风险的初步排序为进度风险、质量风险、成本风险、信息风险、竞争风险。
3 风险评价
项目风险评价是在单个风险度量的基础上,对整个项目整体风险进行综合评价的过程,常见的风险评价方法有层次分析法、解释结构模型、TOPSIS法等。目前大多数企业采用的还是层次分析法,但是层次分析法也存在诸多不足:①不能为决策者提供新的方案;②定性成分多,定量数据较少,不易令人信服;③判断矩阵不满足一致性;④得出的结果不够精确。因此,本文为层次分析法加入了模糊数学的方法,具体操作如下:
3.1 建立层次结构模型
确定跨国公司在华R&D项目风险的目标层,准则层和因素层,目标层是项目的顺利完成,准则层有两个,分别是风险发生的概率以及风险产生的影响,因素层则是各种风险因素,根据前两节的内容,本文对已经识别并且进行初步排序的成本、进度、质量、信息、竞争五个风险进行综合评价,利用层次分析法构建的层次结构模型如图1所示。
3.2 构造模糊互补判断矩阵
构造模糊互补判断矩阵之前,应该将层次结构模型中各层次的两两因素做比较,得出它们的相对权重。具体的比较尺度可以参考表2。
因此,按照上面的评价指标,专家把研发外包中的风险进行两两对比,权衡了每个专家的相对权重,根据专家意见,频率与影响的权重一样,所以准则层的矩阵可以忽略,本文只对指标层的矩阵进行计算,最后得到以下的模糊互补矩阵:
B1和B2两个矩阵中,aij+aji=1均成立,所以B1,B2均为模糊互补判断矩阵。
3.3 各风险因素的权重计算
模糊互补判断矩阵的的权重计算公式如下。
3.4 模糊互补判断矩阵的一致性检验
在得到各风险因素的权重值后,还需要对风险因素的权重进行一致性检验,为了检验得到的各风险的权重值是否合理,本文选用的判断标准是模糊互补判断矩阵和它的特征矩阵的相容性指标,其计算公式如下:
3.5 层次的总排序
在本文中,风险发生的概率和产生的影响的相对重要性是一样的,因此指标层的结果不对最后的决策方案造成影响。因此,本文中我们只需要考虑在风险发生的概率和风险影响程度的综合影响下,准则层各风险因素的综合权重。
在得出B1,B2两个矩阵个元素的权重W1,W2后,我们可以综合考虑风险发生的概率以及风险的影响两个因素下风险因素的权重排序。具体计算公式如下:
其中,ak为上一层因素所占的权重,在本文中为1,bkj为下一层各种风险因素所占的权重,因为风险发生的概率和产生的影响的权重是一样的,公式(5)可以简化为以下的计算公式:W=(W1+W2)/2(6)
在公式(6)中代入W1和W2,得出的层次排序总权重为:W=(0.2050,0.2225,0.2025,0,1900,0.1800)
最后,根据得出的W值,我们对五个风险的重要性排序为进度风险、成本风险、质量风险、信息风险、竞争风险。
4 结论
本文利用德尔菲法对软件研发外包项目中的风险进行识别,确定了主要的五种风险,利用改进后的风险矩阵法对这五种风险进行度量了初步权重排序后,再在层次分析法中引入模糊数学的方法,对层次分析法进行改进,利用改进后的层次分析法对这五种风险的权重大小进行分析,使得到的结果更加合理,更加有利于决策者进行决策。对软件研发外包项目的可行与否提供了重要的参考,也为以后的风险控制提供依据。
参考文献:
[1]曹文钊.跨国公司在华R&D项目风险管理研究[D].北京:国防科学技术大学,2007.
[2]王梅源.软件外包项目全过程风险管理[M].湖北:华中科技大学出版社,2009.
[3]卢新元.IT项目风险评估与控制研究[M]北京:科学出版社,2014.
[4]覃正,郝晓玲,方一舟.IT操作风险管理理论与实务[M].北京:清华大学出版社,2009.
[5]奥古斯堡学院.IT项目管理[M].机械工业出版社,2008.
[6]迟嘉昱,孙翎.基于HHM的跨国公司在华研发项目的风险因素分析[J].科技管理研究,2010(9):107-110.
[7]张竞竞.绩效导向的高新技术企业R&D项目风险管理方法研究[D].湖南:长沙理工大学,2012.
[8]孙长飞,魏昕,徐建豪.风险矩阵法在企业物流外包风险评估中的应用[J].青岛大学学报(工程技术版),2013,28(1):68-71.
农业机械安全风险评价是采用科学的方法和程序识别、分析农业机械安全事故发生的原因,针对原因采取措施以消除或减少农业机械在安装、使用、维修等环节存在的各种安全隐患,预防安全事故,提高农业机械的使用安全。其过程包括风险分析(产品限制的确定、危险识别、安全风险评估)、安全风险评定和风险减少。安全风险评价为迭代过程。通过安全风险评定,对不可接受的安全风险,应采取消除或减少风险的措施,并重新进行风险(包括再生风险)分析和评定,直至安全风险降到可接受的程度。
2农业机械危险识别
在对危险识别前,首先应确定机械的限制。即描述产品作业功能、预定使用范围、可预期的误用、使用和维修环境,以确定危险识别范围。一般可根据产品功能及使用操作来描述。如拖拉机加油、加水、上车、启动、前进、转向、倒退、制动、停车、驻车、下车、悬挂、牵引、提升、维修等。危险是指潜在的伤害源。农业机械产品存在的主要危险包括:机械危险(如挤压、剪切、冲击、缠绕、吸入或卷入、切割、高压流体喷射等)、电气危险(如与带电部件接触)、热危险(如与高温物体接触、热辐射等)、噪声危险、振动危险(如座椅、手把振动)、材料和物质产生的危险(如人体与农药接触)及滑落、绊倒及跌落危险。不同农业机械产品,可能产生危险的形式及多少各异。危险识别目的是在机械限制范围内确定并形成危险、危险状态和危险事件的清单。危险识别应在农业机械的寿命期间内系统地识别所有阶段(如运输、安装、使用、停用、维修等)的全部相关任务中可预见的危险。危险识别一般采用至上而下及至下而上两种方法。至上而下法是以潜在的后果(如挤压、烧伤)清单为起点,确定造成伤害的危险。至下而上法是以检查所有的危险为起点,考虑确定的危险状态下所有可能出错的途径(如制动功能失效、人为差错)及其导致伤害的方式。相比而言,至下而上法更为全面彻底,但过程较复杂。
3农业机械安全风险评估
安全风险为伤害发生的概率及伤害造成严重程度的综合。农业机械安全风险评估是依据农业机械产品的危险识别结果,确定各种伤害发生概率及伤害造成严重程度的过程。目的是确定每个危险状态或事故的最高安全风险。通常用等级、指数、或分数表示安全风险的大小。评估伤害发生概率应在考虑暴露危险区人员、危险事件发生可能性(产品特征、产品成熟度、生产企业规模、生产方式)、避免或限制伤害等因素后确定。伤害造成严重程度可在考虑伤害或影响健康的程度(如轻微、严重、死亡)及伤害的范围(如人数)后确定。安全风险评估方法分为定性评估法和定量评估法两类。常见方法有风险矩阵法、风险图法、数值评分法、定量风险评估法和综合评估法。其中风险矩阵法和风险图法较简单,也较常用。
3.1风险矩阵法
风险矩阵法是针对每一识别的危险,将决定危险事件风险的两个因素即伤害严重程度和引起伤害的概率划分为相应等级,形成风险矩阵,用交叉单元来定性地衡量风险大小的方法。该方法包括风险矩阵选择、伤害严重程度评价、伤害发生的概率评价和得出风险等级四个步骤。
3.2风险图法
风险图以决策树为基础发展而来,其特点是使所评价的危险形象化,便于分析比较。风险图中,每个节点代表一个风险参数(严重程度、暴露度、危险事件发生概率、避免可能性),每个节点的分支分别代表相应风险参数的等级(如轻微的、严重的)。风险评估时,从起点开始,在每个节点处沿着所确定等级的分支向前,末端指向就是风险等级。
4农业机械安全风险的减少
安全风险评价目的是减少或消除不可接受的安全风险。安全风险由安全风险因素构成,减少或消除安全风险就要减少或消除影响风险等级的风险因素(危险源、发生的概率或伤害程度)。而减少或消除影响风险等级的风险因素可通过在产品设计阶段及在使用阶段采用相应措施来实现。
4.1在产品设计制造阶段采取消除或减少安全风险的措施
1)本质安全设计制造。即通过产品设计制造消除或减少危险。如去除收割机、拖拉机等农机覆盖件上存在的锐角,加大拖拉机操作手柄与相邻部件的间隙可以消除其带来的划伤或挤压危险。不是所有的危险可以通过产品设计制造完全消除,当存在设计不能消除的危险时,应通过设计制造减少风险。如降低高地隙自走式喷药机的行驶速度和质心高度来提高稳定性;采用减震机构减少拖拉机座椅振动等。本质安全设计制造是减少安全风险最有效的措施,应优先采用。2)安全防护措施。当不能通过产品设计制造消除或充分地减少安全风险时,应采用限制暴露于危险、减少危险事件发生概率或消除或降低伤害可能性的安全措施。如对收割机、拖拉机外露旋转件加装防护罩,对动力喷药机安装安全阀限制压力。3)使用信息。使用信息是对采取本质安全设计和防护措施后的遗留安全风险提出使用警告,以降低伤害发生的可能性。如在农业机械危险部位粘贴安全警告标志、标签;安装喇叭、后视镜等信号装置;在产品使用说明书中说明安全使用规则;限制使用范围等。
关键词:安全风险 模糊AHP算法 无线通信链路
中图分类号:V249.1 文献标识码:A 文章编号:1007-9416(2013)10-0196-03
随着信息技术的发展与信息网络系统的广泛应用,信息网络系统的安全变得尤为重要。信息系统安全风险评估作为信息安全管理工作中的重要组成部分和基础性工作,是掌握信息系统安全状况,合理建立信息安全保障措施的重要手段。无线通信链路因具有开放性,使得攻击者进行监听、篡改、伪造等非授权访问成为可能,对无线通信链路进行安全风险评估,可以为无线通信系统安全防护措施的选择提供参考。
现有的文献中,文献[1]通过确定资产价值并利用公式法对通信网单个资产威胁类风险值进行了研究;文献[2]提出了利用层次分析法对战术通信网进行威胁评估的办法。但很少有文献将无线通信链路安全风险作为具体的评估对象进行研究,大多使用单一的AHP算法进行风险评估,评估结果具有很强的主观性,且缺少有效的风险等级计算方法。针对上述问题,本文结合实际工程背景,将无线通信链路安全风险作为具体的评估对象,通过对无线通信链路进行安全性分析,构建了无线通信链路安全风险评估指标体系,采用模糊AHP算法实现对资产、威胁、脆弱性的综合评估,最后利用矩阵法完成风险值的计算。
1 模糊AHP法原理
1.1 AHP法
AHP(analytic hierarchy process,层次分析法)是美国运筹学家T L Saaty教授提出的一种简便灵活而又实用的多准则决策方法,它是一种定性和定量相结合的多目标决策方法。其主要步骤为:
Step1:构造递阶层次结构。
Step2:构造判断矩阵。根据1-9比例标度[3]对同一层次的各元素相对上一层次中某一准则的重要性进行两两比较,构造比较判断矩阵A。
Step3:计算判断矩阵特征向量和最大特征值。判断矩阵特征向量W的计算一般采用方根法进行,其公式为:
(1)
特征向量W=[w1,w2,…,wn]T。最大特征值公式为:
(2)
其中,A为判断矩阵,(AW)i为AW的第i个元素。
Step4:判断矩阵一致性检验。
首先,计算一致性指标CI
(3)
然后,从平均随机一致性指标表中查出相对应的RI,对于1-9阶判断矩阵,RI值如下表所示:
最后,计算一致性比例CR。
(4)
当CR
层次分析法对于解决多层次、多目标的大系统优化问题行之有效,但它也存在着一定的局限性,主要表现在:衡量相邻两个指标重要性的标度值一般采取专家打分法确定,具有一定的主观性;在综合指标的合成中,局限于线形加权的情形,且层次分析法得出的权值虽然以精确量的形式给出,但是其本身具有模糊性[4]。因此,本文将模糊评价法与层次分析法结合,可降低构造判断矩阵的主观性。
1.2 模糊综合评价法
模糊综合评判法是对多种属性的事物,或者说其总体优劣受多种因素影响的事物,做出一个能合理地综合这些属性或因素的总体评判。其具体步骤是[4]:
Step1:构造指标因素集和评判集。因素集记为U={u1,…,un},评判集记为V={v1,…,vn}。
Step2:进行单因素评判,确定模糊关系矩阵R。
模糊关系矩阵为:
(5)
其中,rij为U中因素ui对V中等级vj的隶属关系。
Step3:多因素模糊综合评判。先从最低层属性指标层开始,以子目标属性指标权值向量Ai和单因素模糊评价矩阵尺 进行模糊矩阵合并运算,得到子目标的综合评价向量,即Bi=Wi*Ri,从而得到单因素模糊评价矩阵,再依层次往上评价,直到最高层,得出总目标层的综合评价结果。
Step4:分析处理并综合评价。对模糊综合评判结果Bi做分析处理,再根据最大隶属度原则即可得出综合。
2 无线通信链路安全风险指标体系设计
安全风险评估包括3个要素,即:资产、威胁和脆弱性[5]。以无线通信链路为例,整个链路可以看作一个单一资产,其安全风险评估则是基于整条通信链路实施。因此,我们重点分析无线通信链路的威胁及脆弱性。
机密性、完整性和可用性是评价资产的三个安全属性,资产的识别就是通过分析统计信息系统的各种类型资产及资产信息,确定资产的机密性、完整性和可用性。无线通信链路中的典型资产包括编解码器、加密机、调制解调器、发射机、接收机等硬件设备以及相关的应用软件。任何一个资产受到威胁都将对整个通信链路造成严重的损失。资产按其重要性分为5个等级,由高到低依次用数字5-1表示[5]。本文将整个链路结构定义为一个组合的资产,安全风险评估也是基于整条通信链路实施。无线通信链路资产递阶层次结构如图1所示。
威胁按表现形式来分包括三个方面:技术威胁、人员威胁和环境威胁。通过调研,无线通信链路中技术威胁有:物理攻击、干扰、篡改、监听;人员威胁有:无恶意人员误操作、恶意人员误操作;环境威胁有:恶劣环境、设备故障。威胁发生可能性分为5个等级,由高到低依次用数字5-1表示[5],其递阶层次结构如图2所示。
脆弱性一般为三大类,即技术类脆弱性、管理类脆弱性、操作类脆弱性。经问卷调查、文档查阅、人侵检测、渗透测试等方法可识别脆弱性。无线通信链路存在的技术类脆弱性有:加密算法简单、缺乏防病毒措施;管理类脆弱性有:管理制度不健全、电磁环境复杂、设备老化;操作类脆弱性有:设备配置不当、工作人员业务不熟练。脆弱性发生可能性同样分为5个等级,由高到低依次用数字5-1表示[5],其递阶层次结构如图3所示。
3 基于模糊AHP法安全风险评估
3.1 AHP法计算权值
以资产评估为例,根据图1中各评估要素及其相互关系,通过专家赋值建立各级判断矩阵并采用方根法分别计算个体排序向量、最大特征值λmax和一致性比例CR。各判断矩阵的计算结果如表1-表4所示,通过计算可知,各判断矩阵中CR均小于0.1,一致性检验通过。
3.2 模糊综合评判
根据资产价值指标结构,准则层相对于总目标的权重仍采用传统的AHP方法计算,第三层各指标因素相对于准则层的权重由于关系比较复杂而采用模糊综合评判方法,应用模糊数学模型进行综合评价,步骤如下:
将各指标因素的评语分为5个等级,分别为:很高、高、中、低、很低,通过专家评价的方式,邀请10名专家根据确定的评语级对各指标予以隶属度评价,可以确定一个从因素集到评价集的模糊关系矩阵。从而得出对应的机密性、完整性、可用性模糊关系矩阵为:
由Bi=Wi·Ri得模糊综合评价矩阵如下:
B1=W1·R1=(0.4234,0.333,0.1853,0.0365,0.0218);
B2=W2·R2=(0.5896,0.2487,0.1029,0.0402,0.0186);
B3=W3·R3=(0.2886,0.3801,0.267,0.0365,0.0278)。
根据最大隶属度原则,机密性、完整性、可用性综合评判等级分别为:5、5、4。
3.3 确定资产价值
由资产机密性、完整性、可用性综合评判等级及三者相对权重可得资产价值为:
A=W·(5,5,4)T=(0.311,0.196,0.493)·(5,5,4)T=4.507>4.5
参照资产重要性等级表可知,该资产价值等级为5。
3.4 威胁及脆弱性评估
参照前文资产评估方法,经计算可知,该链路威胁等级综合赋值为3,脆弱性严重程度综合赋值为3。
4 风险等级计算
本文采用矩阵法[5]计算风险值。步骤如下:
Step1:计算安全事件发生可能性等级。
首先,构建安全事件发生可能性矩阵如表5所示,A表示威胁发生频率,B表示脆弱性严重程度。
然后,根据经评估得到的该通信链路脆弱性的严重程度以及威胁发生的频率,由表对照得出安全事件可能性数值为12。最后,根据下表可得安全事件发生可能性等级为3。
Step2:计算安全事件损失等级。
首先,构建安全事件损失矩阵如表7所示,C表示资产价值。
然后,根据经评估得到的脆弱性严重程度以及资产价值,由表对照可以得出安全事件损失数值为16,再由根据下表得出安全事件损失等级为4。
Step3:计算安全事件风险值。
构建风险矩阵如表9所示,D表示损失等级,E表示可能性等级。
根据前两步计算出的安全事件发生的可能性等级以及所造成的损失等级,由上表对照得出安全事件风险数值为16,再根据下表可判断得出该系统无线通信链路安全风险等级为3,即中度风险值。
通过威胁和脆弱性评估过程可知,该链路存在的主要风险是电磁环境复杂引起的干扰威胁和加密算法简单引起的非授权访问,我们可以通过增加抗干扰手段和更换复杂加密算法的方式降低安全风险。
5 结语
文章在详细分析无线通信链路安全性的基础上构建了一套安全风险评估的指标体系,并运用模糊综合评价与AHP相结合的算法全面综合地评估了无线通信链路资产、威胁、脆弱性等级,最终通过矩阵法计算得出安全风险值。评估方法思路清晰、结果准确、可操作性强、便于推广,为今后各类通信网安全风险评估提供了参考。
参考文献
[1]李振富,韩彬霞,李晓鹏,鲍池.基于AHP的通信网风险评估[J].现代电子技术,2011.34(19):111-113.
[2]宋国春,刘忠,黄金才.AHP方法的敌地域通信网通信链路威胁评估[J].火力与指挥控制,2008.33(2):16-20.
[3]孙宏才,田平,王莲芬.层次分析法引论[M].北京:国防工业出版社,2011.
[4]王程,王睿,齐博会.基于模糊AHP法的机载指控系统效能评估[J].指挥控制与仿真,2008.30(6):65.
铁路隧道工程建设具有多种不确定性因素,给隧道施工带来潜在的风险。所以,各参建方、特别是施工方加强隧道施工中的风险管理、强化管理人员和施工人员的风险意识、加强风险管理体系建设,采取有效措施识别风险、预防风险、应对风险和处理风险,是保证工程项目顺利建成的关键,对实现风险管理目标和总体效益具有重要意义。
2隧道施工风险管理内容和过程
隧道施工风险管理的内容和过程大体归纳为风险识别、风险分析、风险评估和风险应对4个方面。
2.1风险识别
铁路隧道工程施工的风险识别就是在诸多的影响因素中抓住主要因素,从而辨识出可能影响隧道工程建设质量、安全、工期、费用、环境等目标的风险因素。识别内容包括在施工过程中,哪些风险应当考虑,引起这些风险的因素有哪些,这些风险的后果及其严重程度如何。识别的原则是收集和研究资料、确定分析方法、确定隧道施工风险的主要类型、分析主要风险的构成、建立风险系统及采取的应对措施等。
2.2风险分析
进行隧道施工风险分析,有助于确定不确定因素变化对施工方案的影响程度,有助于确定工程造价对某一特定因素变动的敏感性。所以要针对施工方案中存在的不确定性因素,分析其对实际环境和施工方案的敏感程度,预测并估算相关数据和采取预防措施的费用,或在不同情况下得到的收益以及不确定性因素各种机遇的概率,对此作出正确的判断等。
2.3风险评估
在识别和分析可能发生的风险事件后,要对其进行相应的风险评估。风险评估就是对发生风险的概率及其破坏性后果做出评价。隧道施工风险评估是一个非常复杂的系统,在施工前期,要针对地质等不确定性因素,通过定性的风险评估方法对影响施工的关键因素进行预测,为制定和优化施工方案提供数据基础;在施工过程中要针对地质信息、周围环境及设计目标等,选用定量的风险评估方法进行全面准确的评估。定性的评估方法有层次分析法和专家调查法等,定量的风险评估方法有敏感性分析法和风险矩阵法等,本文将采用风险矩阵法对石长铁路柞树湾隧道施工进行风险评估。
2.险应对
风险应对是指在确定了施工中可能存在的风险后,在分析出风险概率及其风险影响程度的基础上,根据风险性质、项目设计参数、项目总体目标和对风险的承受能力而制定应对措施,将存在的风险降到最低或可控制范围内。风险应对措施有风险回避、风险控制、风险分担、风险自留和风险转移等。
3石长铁路柞树湾隧道施工风险识别与分析
3.1工程概况
柞树湾隧道位于长沙市开福区新港镇,属于石门至长沙铁路增建第二线工程中的联络线隧道,用于连接京广线与石长铁路,隧道起讫里程为BXDK1+865~BXDK3+929,全长2.064km。其中明洞1.284km,暗洞780m,洞身最大埋深17m左右。柞树湾隧道下穿长沙绕城高速公路,在BXDK2+520~+540段与既有石长铁路下行线垂直相交,在BXDK2+585~+615段与京广铁路、捞霞联络线相交,在BXDK2+670~+705段与石长铁路上行线成110°夹角相交,在BXDK3+760~+840段与长沙市主干道金霞路(芙蓉北路)近似垂直相交。该隧道地理条件复杂,地质条件较差,基本为Ⅴ级围岩~Ⅵ级围岩,地面有水塘及大量民房,施工难度大,安全要求高。
3.2施工风险识别与分析
在施工准备阶段,首先收集该隧道地段的水文和地质资料、设计和技术标准、下穿铁路和公路及其他建筑物的情况,针对编制的施工方案和拟采用的工法等,对所需资料进行全面分析。根据施工图设计阶段所做的风险评估结果和相关资料以及合同中反馈的有关信息,针对现场情况和施工水平对施工中可能发生的风险进行了识别,归纳起来分为2类,施工技术风险和施工管理风险。该隧道施工管理风险包括施工进度风险、项目成本风险、施工质量风险和安全风险。施工进度风险主要指现场环境条件和施工过程中存在不确定因素会导致工期延误;项目成本风险指直接成本和间接成本控制不当会导致工程投资增加;施工环境发生变化,管理人员和施工人员责任心不强,施工机械操作不当,施工方案存在不确定因素都会引发施工质量风险;防范措施不到位,施工过程中发生塌方、涌水、触电、火灾、爆炸、机械伤害等安全事故,会引发安全风险。
4柞树湾隧道施工风险评估
采用风险矩阵法对柞树湾隧道施工进行风险评估(即采用概率理论对风险事件发生的概率和后果进行评估),先对风险评估中的威胁、脆弱性、资产3个基本要素进行识别、并赋值,从而确定风险事件中威胁出现的频率、脆弱性严重程度、资产的价值3个评估指标值;然后根据风险基本要素识别的结果和矩阵法原理,由威胁出现的频率和脆弱性严重程度计算风险发生的概率值,由脆弱性严重程度和风险事件作用的资产价值计算风险后果值;最后根据风险发生的概率值和风险后果值确定风险等级。
5结束语
1、抗风险能力弱
中小企业在传统财务管理上仍局限于本企业内部的信息,只重视当前经营成果和利益,没有把目光放远放长,忽视企业外部的环境分析和没有做出适应经济环境变化的投资战略,而使得中小企业对外抗风险的能力较弱,对环境的变化较为敏感。一旦外部经济环境发生变化,中小企业会受到重大的影响,其投资战略也面临着失败。
2、缺乏合理的风险控制系统
投资过程中面临风险是不可避免的,没有任何的投资项目是零风险的。面对各种各样的投资风险,合理的风险控制系统是投资成功的重要因素。中小企业往往由于自身原因缺乏合理的风险控制系统,在投资过程中,一旦风险来临或扩大,企业不能立刻进行风险的控制或采取必要的手段规避风险,那么结果只有失败。
二、缺乏高素质人才
1、管理者素质较低
一个企业投资经营是否好坏,关键取决于其领头人。众所周知,中小企业的大部分管理者综合素质差,管理经验不足,缺乏制定实施投资战略的经验,缺乏有效实施投资战略的保障措施,缺乏明确的长远发展目标和战略思想。因此,他们不能够合理的预测、决定、预算、控制、分析和评价市场,更无法分析金融环境并制定可行的投资战略。除此之外,中小企业往往是家族或个人控股,投资战略往往体现家族或个人的意志。
2、财务人员素质较低
企业投资过程中需要对投资进行详细的分析、评价和选择,需要充分的了解自身优劣势,了解市场,了解竞争对手,也需要运用合理的方法制定投资战略。而这些过程除了需要优秀的管理者外还要有高素质的财务人员。但是中小企业往往缺乏高素质的财务人员进行科学的投资调研和分析。企业财务人员素质不高,缺乏财务战略意识,很难为管理者提供有效的财务信息,致使企业无法形成有效的财务信息系统,无法做出合理的投资决策。
三、解决中小企业投资战略问题的对策
根据上文所述可知,中小企业在投资战略过程中面临着种种问题,影响着企业的投资战略的实施和投资收益,也制约着中小企业向健康的方向发展。而中小企业对社会经济的发展有很大的促进作用,所以解决中小企业投资战略问题就显得尤为重要。
(一)制定合理的投资战略规划
1、运用科学分析方法
常见的战略投资分析方法有:SWOT分析法、波士顿矩阵法、通用电气矩阵法、生命周期矩阵法、波特五力分析法等。每种方法都有自身的优点和缺点,中小企业应该根据自身的特点选择合适的分析方法。除此之外,在分析投资时应充分分析项目的回报率和风险性。
2、规范投资决策程序
中小企业应当规范投资决策程序,投资项目应当经过提出、可行性论证、决策、实施、再论证等过程,以提高中小企业投资决策的科学性和正确性,降低风险,从而提高投资成功率。中小企业还应该加强项目投资评价和总结工作,总结项目投资的成功经验,通过多种方案的优化来进行新一轮的投资。
(二)建立完善的投资管理体系
1、建立信息化系统
信息化系统应立足于企业及投资主体角度,从业务细节着手,以投资管控为核心,以项目寿命周期为主线,以生命周期各阶段计划管理为辅线,重在提炼和描述项目投资管控要点及管理关键点的作业条件、流程、依据和标准;并进一步梳理和补充设计管控流程及相关业务表单,全面覆盖投资管理制度体系所涉及的关键控制点。
2、控制投资节奏
为避免投资规模过大给企业带来严重损失的风险,在投资时必须把握投资节奏,基本做法是先通过少量投资实现对拟投资项目的深入了解,待成熟后再加大对该项目的投资。
(三)提高人员素质
1、加强企业管理人员的素质
中小企业领导者要加强企业管理理论知识学习,提高自身对企业管理重要性的认识,加强对投资战略管理理论的学习,懂得将财务管理工作与其他工作相互配合,保证企业价值最大化。聘请精通管理的有识之士,对企业投资管理进行运作,使企业的投资战略正常运行。而且管理者要用战略眼光和发展思路统领全局,要与新形势相适应,要主动积极的与主管部门、工商税务、金融等部门沟通联系以获得支持,及时获取有利的投资信息。
2、加强企业财务人员的素质
