风险分析与应对策略范文篇1

Abstract:Basedontheinternationalresearchesaboutriskmanagementoftunnelandundergroundprojects,itwasdiscussedtheapplicationprocessofriskmanagementintunnelconstructions,andthenwasdescribedanintegratedriskmanagementprocedurefortunnelprojects.Contentsandmethodsofriskidentification,riskanalysis,riskevaluation,riskresponseandrisksupervisionintunnelprojectswerealsodiscussed.Attheend,accordingtotheanalysisofthewholetext,itwasstandardizedthetunnelprojectriskmanagementstandards.

关键词:隧道工程;风险管理流程;工作标准

Keywords:tunnelproject;riskmanagingprocess;workstandards

中图分类号:U45;F069・9文献标识码:A文章编号:1006-4311(2009)10-0090-04

0引言

20世纪60年代,一门新的管理科学――风险管理,在美国正式形成,从此风险管理在西方国家得到了迅速发展。经过近半个世纪的实践和理论研究,风险管理现已被公认为管理领域内的一项重要职能。风险管理首先应用于经济领域,最近10年,风险管理才真正应用到隧道工程领域。美国MIT的Einstein・H・H教授是较早从事隧道工程的风险分析的代表人物,主要贡献是指出了隧道工程风险分析的特点和应遵循的理念,诸如《Geologicalmodelfortunnelcostmodel》[1]、《Riskandriskanalysisinrockengineering》[2]。

隧道工程项目是一个投资大、工期长、涉及面广的复杂系统。在这些项目的建设和运营过程中,还会存在许多的不确定性和不可预见的因素,因而隧道工程建设中存在较大风险因素。为降低诸多风险因素对工程项目造成的不利影响,有必要在隧道工程施工中实施有效的风险管理。通过风险规划、风险分析和风险监控,科学合理地使用管理方法、技术手段对项目涉及的风险实施有效控制,主动、系统地对项目风险进行全过程管理及监控,达到降低项目风险、妥善处理风险事故不利后果的目的。

1991年英国提出UKMOD风险管理模型,将风险的管理分为初始辨识、分析和规划管理3部分,初步建立了现代风险管理流程的雏形。美国工程风险管理研究专家Reilly和Carr(2001)提出5阶段风险管理模式,即风险辨识、风险估计、风险评价、风险决策、风险控制。该风险管理流程在2002年国际隧道协会(ITA)起草颁布的隧道及地下工程风险管理指南中得到了应用[3]。在此基础上,本文将探讨适用于隧道工程施工的风险管理流程,设计规划的隧道工程风险管理流程图,提出相应的工作标准。流程如图1所示。

1分析项目环境拟定风险管理策略

由于人们认识事物在深度上和广度上均有局限性,这就使得分析处理能力上是有限的。工程项目可被视为客观事物的集合体。因此人们对工程项目的认识不可避免地存在信息上的不完备的问题,从而造成人们对工程项目建设的环境缺乏客观认识,对工程项目的实施过程缺乏符合实际的预见,这是导致出现风险的重要原因。这一特点就决定了对每一个不同的项目来说,量身定做一套风险管理策略方案是非常重要的,即风险管理策略的制定必须是在分析项目环境的情况下完成的,做到具体问题具体分析。分析项目环境拟定风险管理策略。该过程在图1中通过A2、A3、A4充分体现。由项目的领导小组分析项目的环境,根据项目的环境制定风险管理策略,并确定项目的整体目标,以便后续工作更好地进行。

2隧道工程风险分析

目前国内对风险分析的研究主要集中在金融市场分析、工程项目管理、投资分析、信息安全与贸易安全等方面。在某种程度上,风险分析过程实际是探索系统未来运作轨迹。在隧道工程中,风险分析主要包括风险识别和风险评估,以便更好的控制和处理风险,将其所致的损失和后果降到最低。风险分析过程在图1中通过B4、B5、B6、B7、A7充分体现。风险评估小组组织风险分析,进行风险因素识别和评估,最后向领导小组提交风险报告,如果风险分析可行,下一步进行风险应对,如果风险分析不可行风险评估小组重新进行风险识别和风险评估,直到风险分析可行为止。

2.1风险因素识别

风险识别是针对项目中各种风险因素、风险来源、风险范围、风险特征与风险事件或假象或现象和风险后果相关的不确定性,可能发生的风险类型、风险产生原因和机理进行风险辨识[4]。风险识别是工程项目风险管理中一项经常性的工作。风险识别主要包括收集资料、分析不确定性、确定风险事件、编制风险识别报告等。

风险识别是工程项目的风险评估与控制的开始,也是风险评估的基础。风险因素识别方法和手段正确实用与否,风险分析结论准确全面与否对后续的风险评价和风险管理的效果有很大的影响。在隧道工程中,风险识别是要确定隧道工程施工中可能存在的风险及其可能造成的影响,它是隧道工程风险管理的基础。在隧道工程风险识别中,常用的风险识别方法有专家调查法、头脑风暴法、敏感性分析法、项目工作分解结构法、事故树分析法等五大类。

在多年的研究和经验积累的结果上,可以总结出隧道工程施工中常见的风险因素如下[5]:

①施工风险:如塌方、岩爆、瓦斯爆炸、突水、滑坡等;

②技术风险:如施工技术不合理、爆破控制不当、新技术、新结构的应用等;

③自然风险:如高温、严寒、地震、不可抗拒的自然灾害等;

④管理风险:如施工人员不合格、管理人员不合格等;

⑤设备风险:如施工设备供应不足、设备安装事故等。

2.2风险评估

风险评估是建立在风险识别的基础上的,可分为风险估计与风险评价两部分。风险估计与评价在施工风险管理中很重要。它通过对施工中风险的估计与评价,把风险发生的概率、损失严重程度以及其它因素综合起来考虑,就可以得出施工中发生各种风险的可能性及其危害程度,从而决定应采取什么样的风险处置计划。

2.2.1风险估计

风险估计是指在找出潜在的风险因素后,估计潜在损失的规模和损失发生的可能性,即损失发生可能性的估算和严重性的估算,以便于评价各种潜在损失的相对重要性,从而为确定风险管理对策的最佳组合提供依据。

隧道工程风险估计时,常使用风险指数法R=P?鄢C估计风险的严重程度。目前,我国在隧道工程领域风险估计时,将潜在风险P分为5类,如表1所示;对风险后果C相应的分为5级,如表2所示;风险指数如表3所示[5]。

2.2.2风险评价

风险评价是指在风险识别和风险估计的基础上,把风险发生的概率、损失严重程度,结合其他因素综合起来考虑,得出项目发生风险的可能性及其危害程度。并与公认的安全指标比较,确定项目的危险等级。然后根据项目的危险等级,决定是否需要采取控制措施,以及控制措施采取到什么程度。

风险评价是隧道程风险管理的核心,是系统地识别工程风险和科学合理地管理风险之间重要的纽带,是决策分析的基础。工程中常用的风险评价方法有很多,简单概括起来,主要有:主观评分法、层次分析法、模糊数学法、敏感性分析法、故障树法、结构可靠性分析法、影响图法等。

近年来隧道风险评价方法在国外得到了大量的研究及应用,除了借鉴隧道工程行业以外已经发展的评估方法,应用一种或几种方法对工程系统或工程的某一部分进行风险估计外,还根据隧道工程的特点发展了许多适合隧道工程的风险评价模型。而我国隧道与地下工程研究和实践的时间都比较短,还属于发展阶段,因此风险评价方法在工程中的应用还比较少,目前也仅限于最简单的风险指数法[6]。

3隧道工程风险控制

3.1风险应对

风险应对就是针对风险分析的结果,为降低风险的负面影响而采取的应对措施。工程项目常用的风险应对策略和措施有:风险规避、风险转移、风险缓解、风险自留和风险利用,以及这些策略的组合[7]。在众多应对策略中,项目管理者选择行之有效的策略,并寻求既符合实际,又会有明显效果的应对风险的具体措施,力图使风险转化为机会或使风险所造成的负面效应降低到最低限度。

某一工程项目风险,可能有多种应对策略或措施;同一种类的风险问题,对于不同的工程项目主体采用的风险应对策略或应对措施可能是不一样的。因此,从理论上说,需要根据工程项目风险的具体情况以及风险管理者的心理承受能力,以及抗风险能力去确定工程项目风险应对策略或应对措施。隧道工程项目常用的风险应对策略有:风险规避、风险转移、风险控制和风险自留。

除了上述的风险应对策略以外,保险也是隧道工程风险处理的一种方式,实际上购买保险也是一种转嫁风险的方式。但是保险并不是最保险的方式,如果想要达到最佳效果,而是应该通过科学的决策,理性的做出处理对策。

3.2风险监控

在工程项目的实施”的过程中,风险会不断发生变化,可能会有新的风险出现,也可能预期的风险会消失。而隧道工程由于其环境的特殊性,风险变化的可能性显得尤为明显,及时对残余的风险进行控制和处理,并进一步修改风险策略,对于降低风险带来的损失这是关键的一步。因此,对隧道工程进行风险监控是十分重要的。

风险监控是指隧道工程进展过程中,密切跟踪已识别的风险,监控残余风险,识别新出现的风险,修改风险管理计划,评估风险管理的效果,一般有两个方面的含义:风险监视和风险控制。前者指对风险和风险因素发展变化的把握,后者指在风险监视的基础上,采取相应的控制措施[7]。

在某一时段内,风险监视和风险控制交替进行,即发现风险后经常需要马上采取控制措施,或风险因素消失后立即调整风险应对措施。因此,常将风险监视和控制整合起来考虑。风险监控过程在图1中通过B11、A11、C12、C13、A13充分体现。由风险评估小组制定风险监控策略,交由领导小组进行审批,审批通过后项目团队执行风险监控策略,并及时进行反馈,以便更好的完善风险管理策略。

风险监控的主要方法和技术有:项目风险应对;审计;定期项目评估;增值分析;技术因素度量;附加风险应对计划;独立风险分析[8]。

4隧道工程风险管理工作标准

根据以上的分析,规范了隧道工程风险管理的工作标准,如表4所示。

5结论

风险的管理是隧道工程项目管理中至关重要的一部分。如何使隧道工程这一复杂系统的诸多风险因素对工程项目造成的不利影响降到最低,这就要求在隧道工程施工中实施有效的风险管理。制定一个较为完善的风险管理流程和工作标准在这一工作中就显得尤为重要。这样风险管理者才能通过全面的识别、细致的分析、合理的评价、恰当的处理、实时的监控,才能使工程免受重大损失,保证工程效益。

参考文献:

[1]EinsteinHH&VickSG.Geologicalmodelfortunnelcostmodel[J];ProcRspidExcavationandTunnelingConf,2nd,1974:1701-1720.

[2]EinsteinHH.Riskandriskanalysisinrockengineering[J];Tunneling&UndergroundSpaceTechnology,1996:141-155.

[3]张云飞、赵云胜:《隧道施工期风险管理体系探讨》[J];《工业安全与环保》2009(2):55-57。

[4]郭捷:《项目风险管理》[M];国防工业出版社,2007:78-79。

[5]贾剑青、王宏图等:《隧道工程风险管理探讨》[J];《全国地铁与地下工程技术风险管理研讨会》:171-178。

[6]路美丽、刘伟宁等:《隧道与地下工程风险评估方法研究进展》[J];《工程地质学报》2006(4):462-469。

风险分析与应对策略范文篇2

关键词：承包商投标策略风险管理

中图分类号：TU723.2文献标识码：A文章编号：

一、工程项目中承包商的投标策略分析

投标策略是承包商经营决策的重要组成部分，承包商依据自身的经营状况与经营目标，结合市场竞争的激烈程度、投标项目的整体特点、工程项目类别、项目施工条件等综合因素确定投标策略。探究工程项目中承包商的投标策略，首先在投标前要对市场综合环境进行具体的分析，掌握市场动态是投标策略的基础环节，通过研究工程项目的建设资金、技术要求、施工条件及可能突发的不确定性风险完成工程项目投标可行性的初步判断，同时对市场动态、工程背景等招标信息与潜在存在的竞争对手相关信息进行定性的分析研究，做到知己知彼，与此同时对企业自身具备条件进行研究，分析企业自身优势与投标项目的契合点，做到以长制短、以优制劣；其次工程项目的报价策略研究是投标策略的核心环节，运用决策人员的推理判断与逻辑思维能力来对报价策略的定性分析，同时进行报价的定量分析与采用作价技巧，合理预算造价，评估中标利润，分析潜在对手优势与劣势，选择竞争方法，充分掌握工程规律标价的浮动值，消化标书细节等作价技巧，做到发挥企业本身优势降低成本以优取胜，改进设计凭借缩短工期取胜；最后报价策略方法的正确选择是中标取胜环节的重中之重，报价策略方法涵盖扩大标价法、多方案报价法以及不平衡标价法等，扩大标价法通常建立在对工程项目完成的把握性较大，竞争对手较少或实力较弱的情况下保证企业盈利，多方案报价法通常建立在工程招标书中合同条款不够明确，技术要求不符规范的情况下，投标企业在提出更为合理的建议方案的同时选择多方案报价策略减少报价过高被淘汰的可能性；不平衡标价法是以总报价不变为前提，提高某些分项工程的单价，同时降低另外一些分项工程单价，达到最佳经济效益的效果。综合分析工程项目中承包商的投标策略，以做好投标对象综合环境分析为前提，采用定性分析、定量分析与相关作价技巧，合理选择保价投标策略方式，摒弃违规投标，实行精准编标，重视公关活动，实现合法中标为企业的生存与发展带来积极的经济效益。

二、承包商招投标过程中面临风险分析

工程风险是指涵盖从项目立项、设计及施工等所有影响项目目标实现的不确定因素的总和。工程项目投标决策确定之前承包商对投标风险的系统分析一定程度上决定着整个项目运行结果的成败。探析承包商招投标过程中面临的风险，主要来自于承包商内部风险、外部风险及自然风险等方面。从承包商内部风险来分析，首先就是承包商的决策风险，其主要来源于承包商信息缺失的风险和报价失误的风险，承包商获取的资料不足以支撑投标决策或获取信息为虚假信息造成承包商信息缺失风险，承包商对投标报价不能进行合理的判断推理导致其造成报价失误的风险；其次是承包商内部工作技能风险与技术资源风险。科学、规范、合理、有效的评估自身具备条件与投标项目的契合度，分析自身条件在竞争环境与市场环境中的优劣势是承包商最大限度的避免内部风险的有效手段。从承包商外部风险分析，一方面来自于业主方面的信用风险、道德风险及商务风险，另一方面来自履行合约阶段的风险，包括工程管理风险、合同管理风险、物资供应风险、成本管理风险及业主履行合同能力的风险等。从承包商面临的自然风险分析，涵盖整个行业大环境下的发展趋势与天然不可抗力因素的风险。在拟建工程项目投标过程中能够有效评估承包商内部存在的风险，合理推断外部可能存在的风险以及预测自然风险发生的概率是承包商做出投标决策之前必须履行的环节，决定着投标环节及中标后整个工程项目管理的成败。

三、工程项目承包商风险管理策略研究

工程项目承包商的风险管理是承包商依据工程所处的风险环境和项目预期的目标,针对工程风险因素进行合理推断与有效评估，进而采取相应风险管理措施,最大限度地完成风险管理，完成建设工程项目的预期目标。工程风险管理主要包括工程风险评估、工程风险识别、工程风险评价、工程风险处理及工程风险监控等。工程风险的有效管理有助于提高决策者的决策质量，直接影响着整个工程项目的经济利益，决定着项目实施的成败。承包商在投标前，承包商须对对拟投标项目进行风险评估，分析企业的自身实力、自身优势以及市场环境等相关因素，设定风险临界线，在风险临界线以下的项目，评估拟定选择的投标项目，做出投标决定。进入报价阶段后，着重考虑报价、工期和施工方案三大关键问题，需要承包商选定施工方案，进而预测项目工期的长短和市场价格的动态，评估投标风险。首先对费用估价风险预测，依据以成本测算价格为主的混合定价模式，其中项目报价=成本预测+项目报高率，通过此费用确定成本测算和报高率测算两方面的风险；其次是工期风险评估，项目工期是工程评标的重要内容，工期的是否合理决定着项目的整体费用；最后要对施工方案风险进行评价，施工方案的确定是工程项目评标的重要依据，是工程报价的关键因素。将承包商项目投标风险系统分析图表述如下（见图1），

图1工程项目投标风险的系统分析框图

探究工程项目承包商风险管理策略，主要涵盖避免风险策略、分散风险策略、转移风险策略及自留风险策略等。避免风险策略是承包商通过对影响投标风险因素的进行有效的分析评估，凭借承包商自身抵抗风险的能力，合理的赋予工程项目风险系数确定投标报价；分散风险策略是承包商通过挖掘自身优势、实施项目分包与联合承包及发挥分包及联合承包企业优势降低项目风险；转移风险策略是承包商通过合法、合理的渠道对风险以项目保险、担保风险转移等方式予以转移，达到风险分散、共同承担的效果；自留风险策略是在风险的评估判断不足或失误的情形下，承包商通过自己准备基金完成风险管理。承包商对工程项目所处环境下的潜在风险进行有效评估，科学、规范、合理的风险管理策略是实现承包商自身企业经济效益的前提，风险管理的正确执行能够有效提高企业在社会的实力与地位，对于企业具有战略意义，关系到企业的前途和命运关系着整个项目运行的成败。承包商应充分了解竞争对手的技术优势和报价优势,制定详细的谈判纲要,利用技术方案优势的同时合理调整报价,注重与业主建立友好的合作伙伴关系的工程总承包项目谈判阶段的策略。

总结与建议

建筑工程招投标与工程项目风险管理是现代社会市场经济环境下的必然产物，是培育和发展建筑市场的主要环节，能够促进和完善我国社会主义市场经济体制的建设与发展。承包商在工程项目投标阶段首先要对整个工程项目环境进行有效、合理的判断推理，在经验性的评估定性分析的基础之上建立科学、有效的数学评估模型完成对项目风险环境的定量评估，决策者依据定量评估结果分析承包商内部条件，探究潜在竞争对手的优劣势，选择适宜的投标策略，完成建设项目投标的最终决策；其次承包商需要意识到风险评估与风险管理的重要地位，树立项目风险意识，建立动态的风险管理体系，提高风险管理水平，实施整个工程项目有效的风险管理，最终完成为承包商带来经济效益的最终目标。工程项目的招投标阶段是整个工程建设的重要环节，相关部门亟需建立、完善建设工程项目投标阶段的管理模式、评价体系、自律体系及监管体系，保证投标环境的公平、公正与公开，最大限度的降低承包商面临的风险，实现建筑行业的有序、健康发展。

参考文献

[1]颜春明.工程施工招投标阶段承包商的风险研究[D].广西大学,2007.

风险分析与应对策略范文篇3

关键词：商业银行；电子商务；风险管理

商业银行从事金融业务面临着市场风险、信用风险、以及操作风险等，而电子商务的出现则加剧了上述各类风险发生的可能性以及风险发生之后的破坏程度。2004年以来，我国面临的网络仿冒威胁正在逐渐加大，仿冒对象主要是金融网站和电子商务网站。2005年上半年共收到网络安全事件报告65679件，超过2004年全年案件数，商业银行电子商务安全风险管理策略已成为理论与实践中必须重视的课题。

一、信息安全管理的历史演进与现阶段的特点

信息安全管理的策略大体遵循事件驱动(技术和管理脱节)－逐渐标准化(技术和管理逐渐结合)——安全风险管理(引入了风险分析)的发展路径。

(一)以事件驱动的初级阶段时期

19世纪70年代安全主要是指物理设备和环境的安全，人与计算机之间的交互主要局限在大型计算机上的哑终端，安全问题只涉及能访问终端的少数人。安全管理策略处于初级阶段，由事件驱动，没有形成规范的管理流程。在此阶段的前期，只重视技术手段。后期开始重视管理手段，但是技术和管理之间脱节。许多组织对信息安全制定了相应的规章和制度，但组织的信息安全管理基本上还处在一种静态、局部、少数人负责、突击式、事后纠正式的管理方式。

(二)标准化时期

企业开始将安全问题作为整体考虑，形成一套较为完整的安全管理策略，其中包括了安全管理的技术手段和管理制度(或称运作管理)。几乎所有从事电子商务的企业都拥有自己的安全策略，内容也包括了技术手段、安全管理制度、人员安全教育等等，基本上形成体系，技术和管理手段综合统一，但是安全风险分析还存在不足之处。

(三)安全风险管理策略时期

随着电子商务安全管理发展到一个比较高的层次，安全管理策略也演进到安全风险管理阶段。主要特点如下：

1.安全风险管理成为主流趋势；在安全管理策略的演进过程中，技术和管理手段综合统一、又融入了风险管理的分析、防范策略，从而安全管理进入了安全风险管理时期。西方商业银行已对安全风险管理形成共识。如安氏公司(is—One)，认为信息安全问题最终将归结为风险管理问题，风险管理方法是建立良性的安全技术和管理体系的依据和基础。

2.安全风险管理的国际标准和各国的规范逐渐形成并趋于完善。国际上关于安全风险管理的标准有巴塞尔银行监管委员会的《电子银行业务风险管理原则》、英国标准协会制订的BS7799等。各国也日益重视安全风险管理，制定了许多规范。例如美国货币监理署(OCC)的《电子银行最终规则》、香港金融管理局的《电子银行服务的安全风险管理》等。中国银行业监督管理委员也于2006年颁布了《电子银行业务管理办法》，对国内企业的电子商务安全风险管理给出了指导意见。

3.利用外部专业化机构对金融机构的安全性评估已成为大部分国家的选择。电子银行面临的安全和技术风险，在相当程度上取决于采用的信息技术的先进程度，系统的设计开发水平，以及相关设施设备及其供应商的选择等；银行依靠传统的风险管理机制已很难识别、监测、控制和管理相关风险。同样，监管机构也难以完全依靠自身的力量对电子银行的安全性进行准确评价和监控。因此，大部分国家都采用了依靠外部专业化机构定期对电子银行安全性进行评估的办法，加强对电子银行安全性和技术风险的管理和监管。

4.在许多国家信息系统审计(IsAudit)作为一种信息技术服务被广泛提供，许多知名的咨询公司都提供类似的信息审计服务。业界的IT风险分析师也成为一种职业，专门从事电子商务的安全风险工作，从经济学的角度出发分析风险，充分衡量保持安全的代价和收益之间的关系，寻求用最小的代价实现最大的效用，在风险分析中也形成一套较为成熟的模式。

二、我国商业银行电子商务安全风险管理策略的薄弱点

(一)系统管理思想缺乏

目前的电子商务安全风险管理策略，在全局上缺乏系统论理论的指导，在实际操作中受到多种多样的安全攻击时会不可避免地出现安全漏洞，无法形成一张全面有序的安全网络。

实践中被采用的安全风险管理策略，以及作为指导意见的规则规范，如《信息安全管理实务准则》(IS017799)、《信息技术安全性评估准则》(GB／T18336．1)、巴塞尔银行监管委员会的《电子银行业务风险管理原则》，尽管提出了比较全面的安全风险管理方案，层次上也比较清晰，但是还不足以作为一个风险防范系统。实践中，电子商务组织是一个复杂的系统组织，电子商务的安全风险管理体系和过程也是个复杂的系统。系统论、控制论的思想在电子商务安全风险管理中是不可或缺的。

(二)风险分析的模型与方法不成熟，定量分析不足

电子商务模式自身的发展历史也不过20几年，在风险分析的定量技术上并不成熟；如BS7799中推荐的电子商务安全风险管理中实施风险评估时，往往将威胁发生的可能性定性划分为几个级别，将威胁所造成的影响也定性划分为1～5级，实质上是将一些按照概率发生的事件定义为不连续的几个级别，在操作上易行，但造成了度量的不精确。在进行监控和审计之后，也存在无法量化、对比的问题。

(三)忽视与原有的传统风险管理策略的结合

本质上，电子商务的安全风险无非是新兴的商业模式对传统的风险的改变，以及产生的在传统风险控制领域暂时无法明晰的新风险；现有管理策略只从信息技术的角度、或者从偏重技术的角度看待问题，站在金融领域本身来分析研究较少。这种状况导致了对电子商务安全风险管理的研究无法立足于一个比较高的层次；忽略了风险的整体性，只进行偏信息和技术的研究，导致了现有的电子商务安全风险管理策略与金融机构原有的传统业务风险管理策略存在差距。对于商业银行而言，传统金融业务的风险控制与电子商务的技术风险控制，两个方面存在脱节，同样属于商业银行的风险，存在着不同的管理策略，导致多头管理、资源浪费、机构之间的扯皮，乃至缺位管理。

(四)风险管理策略无法依赖外部的信息安全管理行业

在发达国家，信息系统审计(IsAudit)作为一种信息技术服务被广泛提供，许多知名的咨询公司都提供类似的信息审计服务。IT风险分析师也成为一种职业，专门从事电子商务的安全风险工作。商业银行采用依靠外部专业化机构定期对电子银行的安全性进行评估的办法，提高对电子银行安全性和技术风险的管理和监管。而国内初步建立了国家信息安全组织保障体系，制定和引进了一批重要的信息安全管理标准、法律法规，风险评估工作得到了一定重视，但与发达国家成熟完善的外部信息安全管理行业仍有很大差距。

(五)风险管理策略中商业银行的内部风险控制能力薄弱

我国商业银行目前均建立起统一的风险管理部门；但风险控制部门的职能、权限与花旗银行等体制较为先进的银行相比仍然存在较大差距，风险控制实质上仍然分散在各个子部门；风险的评估、防范与控制实质上完全依靠商业银行的电子交易部门；风险管理部门、内审稽核部门实质上无法控制电子商务安全风险。例如，风险管理部门接受了电子交易部的风险控制报告，表面上履行的内控审核的流程，但审核作用有限，无法完成电子商务安全风险管理中的监控与审计环节。

三、商业银行的电子商务安全风险管理策略的改进建议

(一)基于系统的思想构建商业银行电子商务安全风险管理策略框架

利用系统理论作为总体的指导思想，将电子商务安全风险管理策略本身当作一个开放的自适应系统。将商业银行电子商务安全风险管理中的各个环节组成循环上升的系统。

在商业银行电子商务安全风险控制的流程中，经过信息安全的风险评估、资产识别和选择、实施控制降低风险的措施、将风险控制在可接受的范围内，然后进行监控和审计；尤其重要的是把监控和审计所得到的内容作为新一轮风险分析输入，从而开始新一轮的风险管理过程。商业银行电子商务安全风险管理的各个步骤为动态的循环系统。每完成一个循环，安全风险管理的有效性就上一个台阶，商业银行的安全管理水平变得到了提高。

(二)电子商务安全风险管理中定量分析中的改进思路

商业银行可以借鉴成熟的传统金融风险度量中的一些方法来改变电子商务安全风险管理中对资产进行粗略的优先级别排序的方法。实践中，商业银行对操作风险的管理与对电子商务安全风险管理有其相似之处。巴塞尔委员会对商业银行的操作风险的内部计量法中规定，商业银行内部估计风险敞口指标、损失事件发生的概率、风险损失，巴塞尔委员会制定资本要求的转换系数；在度量损失的分布时，主要利用统计和精算技术。商业银行应通过数据库将威胁发生的频率、威胁所造成的影响等精确记录下来，利用现有的度量方法进行精确的风险定量分析的尝试。

(三)将商业银行电子商务安全风险纳入商业银行总体风险管理范畴