分类
技术面及基本面分析

风险管理计划的六大步骤

作为主要项目投资者,减轻风险直接关乎产品负责人的利益。Scrum Master 和团队应该帮助产品负责人在Backlog作出最佳排列,但是因为产品负责人需直接负责投资回报(ROI),而风险的后果就是成本,所以风险管理就是产品负责人的责任。

Scrum的风险管理

Paul Hudson在Scrum Development群組亦同意类似想法, 他提出Scrum能处理项目中大部份的风险,但是Scrum不能处理团队层面所不能处理的风险。他指出一些例子来支持他的观点,例如顾客缺乏对Scrum 的认识、第三方产品未能如期运作、项目所依赖的外部因素没有及时出现、团队系统有数据丢失及遭到破坏、顾客有不同的意见声音、顾客代表有私心并与项目目的 相违等。

另一个社区内激烈辩论的题目是“谁负责风险管理?”

在Scrum Development群組的讨论上,Ron Jeffries指出,以Scrum的术语来说,是产品负责人有责任去管理风险。有些成员同意Ron的说法,因为产品负责人最了解业务情况,他/她是决定 那些风险需要处理的最佳人选。产品负责人可以从团队各成员收集讯息但最终责任始终归於产品负责人。Peter Stevens说,

作为主要项目投资者,减轻风险直接关乎产品负责人的利益。Scrum Master 和团队应该帮助产品负责人在Backlog作出最佳排列,但是因为产品负责人需直接负责投资回报(ROI),而风险的后果就是成本,所以风险管理就是产品负责人的责任。

由 此可见Scrum能否管理风险以及应否明确指定管理风险都存在分歧。大多数敏捷社区的人仕都同意Scrum能处理项目有关的风险,但是当风险处於项目外部 就显露出真空。同样道理,到底谁负责风险管理亦没有共识,有意见倾向产品负责人,但有部份则认为整个团队有责任管理风险。

2007年南加州大学Barry Bohem发表的Incremental Commitment Model,虽配以传统定量分险管理计划之外,也有以里程(Risk driven anchor point milestones)型式去决定下一步的工作。

PMP之项目风险管理

概率和影响矩阵:组织可在项目开始前确定优先级排序规则,并将其纳入组织过程资产,或者也可为具体项目量身定制优先级排序规则。在常见的概率和影响矩阵中,会同时列出机会和威胁;以正面影响定义机会,以负面影响定义威胁。概率和影响可以用描述性术语(如很高、高、中、低和很低)或数值来表达。如果使用数值,就可以把两个数值相乘,得出每个风险的概率 - 影响分值,以便据此在每个优先级组别之内排列单个风险相对优先级。

识别风险的工具和技术

根本原因分析:常用于发现导致问题的深层原因并制定预防措施。可以用问题陈述(如项目可能延误或超支)作为出发点,来探讨哪些威胁可能导致该问题,从而识别出相应的威胁。也可以用收益陈述(如提前交付或低于预算)作为出发点,来探讨哪些机会可能有利于实现该效益,从而识别出相应的机会。 假设条件和制约因素分析:每个项目及其项目管理计划的构思和开发都基于一系列的假设条件,并受一系列制约因素的限制。这些假设条件和制约因素往往都已纳入范围基准和项目估算。开展假设条件和制约因素分析,来探索假设条件和制约因素的有效性,确定其中哪些会引发项目风险。从假设条件的不准确、不稳定、不一致或不完整,可以识别出威胁,通过清除或放松会影响项目或过程执行的制约因素,可以创造出机会。 SWOT 分析:这是对项目的优势、劣势、机会和威胁 (SWOT) 进行逐个检查。在识别风险时,它会将内部产生的风险包含在内,从而拓宽识别风险的范围。首先,关注项目、组织或一般业务领域,识别出组织的优势和劣势;然后,找出组织优势可能为项目带来的机会,组织劣势可能造成的威胁。还可以分析组织优势能在多大程度上克服威胁,组织劣势是否会妨碍机会的产生。 风险管理计划的六大步骤 文件分析:通过对项目文件的结构化审查,可以识别出一些风险。可供审查的文件包括(但不限于)计划、假设条件、制约因素、以往项目档案、合同、协议和技术文件。项目文件中的不确定性或模糊性,以及同一文件内部或不同文件之间的不一致,都可能是项目风险的指示信号。

风险报告提供关于整体项目风险的信息,以及关于已识别的单个项目风险的概述信息。在项目 风险管理过程中,风险报告的编制是一项渐进式的工作。随着实施定性风险分析、实施定量风险分 析、规划风险应对、实施风险应对和监督风险过程的完成,这些过程的结果也需要记录在风险登记 册中。在完成识别风险过程时,风险报告的内容可能包括(但不限于):整体项目风险的来源。说明哪些是整体项目风险敞口的最重要驱动因素。关于已识别单个项目风险的概述信息。例如,已识别的威胁与机会的数量、风险在风险类别中 的分布情况、测量指标和发展趋势。

定性分析的技术和工具

风险数据质量评估:风险数据是开展定性风险分析的基础。风险数据质量评估旨在评价关于单个项目风险的数据的准确性和可靠性。使用低质量的风险数据,可能导致定性风险分析对项目来说基本没用。如果数据质量不可接受,就可能需要收集更好的数据。可以开展问卷调查,了解项目相关方对数据质量各方面的评价,包括数据的完整性、客观性、相关性和及时性,进而对风险数据的质量进行综合评估。可以计算这些方面的加权平均数,将其作为数据质量的总体分数。 概率和影响矩阵:是把每个风险发生的概率和一旦发生对项目目标的影响映射起来的表格。此矩阵对概率和影响进行组合,以便于把单个项目风险划分成不同的优先级组别。基于风险的概率和影响,对风险进行优先级排序,以便未来进一步分析并制定应对措施。

定量分析的技术和工具

敏感性分析:敏感性分析有助于确定哪些风险对项目具有最大的潜在影响。最常用的显示方式是龙卷风图(tornado diagram)。 预期货币价值分析EMV: 建模和模拟:在定量风险分析中,使用模型来模拟单个项目风险和其他不确定性来源的综合影响,以评估它们对项目目标的潜在影响。模拟通常采用蒙特卡洛分析。 蒙特卡洛:多次模拟。 影响图:影响图是不确定条件下决策制定的图形辅助工具。它将一个项目或项目中的一种情境 表现为一系列实体、结果和影响,以及它们之间的关系和相互影响。 决策树:用决策树在若干备选行动方案中选择一个最佳方案。在决策树中,用不同的分支代表不同的决策或事件,即项目的备选路径。每个决策或事件都有相关的成本和单个项目风险(包括威胁和机会)。决策树分支的终点表示沿特定路径发展的最后结果,可以是负面或正面的结果。

规划风险应对

有效和适当的风险应对可以最小化单个威胁,最大化单个机会,并降低整体项目风险敞口;不恰当的风险应对则会适得其反。一旦完成对风险的识别、分析和排序,指定的风险责任人就应该编制计划,以应对项目团队认为足够重要的每项单个项目风险。 威胁应对策略:上报、规避、转移、减轻、接受 机会应对策略:上报、开拓、分享、提高、接受

风险监测与控制指识别、分析和规划新生风险、追踪已识别风险和 “观察清单 ”中的风险,重新分析现有风险、监测应急计划 的触发条件、监测残余风险 ,审查风险应对策略的实施 并评估其效力的过程。 风险再评估 :风险监控过程通常要求使用项目管理 过程识别新风险并对风险进行重新评估。 风险审计在于检查并记录 风险应对策略 处理已识别风险及其根源的效力以及 风险管理过程 的效力。 技术绩效衡量将项目执行期间的成果与计划中的技术成果进度行比较。客观的、量化测指标。技术绩效测量指标可能包括:重量、处理时间缺陷数量、储存容量。 权变措施指对以往 未曾识别 或被动接受 的风险采取 未 经规划 的应对措施。 储备分析:在整个项目执行期间,可能发生某些单个项目风险,对预算和进度应急储备产生正面或负面的影响。储备分析是指在项目的任一时点比较剩余应急储备与剩余风险量,从而确定剩余储备是否仍然合理。

1.定性风险分析和定量风险分析的工具与技术有哪些?特点是什么? 定性是强调单个项目风险发生的概率和影响,对风险进行优先级排序,特点是它关心高优先级的风险。 定量单个风险的不确定性的其他来源对整体项目目标的影响。特点是量化整体项目风险敞口,并提供额外的定量风险分析。

定性风险分析有:专家判断,数据收集,数据分析,人际关系与团队技能,风险分类,数据表现,会议(风险研讨会) *定性的数据收集:包括访谈,半结构化或结构化的访谈。用于评估单个项目风险的概率和影响 *数据收集包括:风险数据质量评估(评价单个项目风险数据的可靠性和准确性)风险概率和影响评估(特定风险发生的可能性),其他风险参数评估(紧迫性,邻近型,潜伏期,可管理性,可控性,可检测型,连通型,战略影响力,密切度) *数据表现包括:概率和影响矩阵(基于风险概率和影响,对优先级进行排序),层级图(使用两个以上参数对风险进行分类,气泡图中气泡大小等于冲击值)

*敏感性分析:确定哪些单个项目风险或其他不确定性来源对项目具有最大的潜在影响。它通常使用龙卷风图来表示。它在项目结果变异与定量风险分析模型中的要素变异之间建立联系。

4.监督风险的工具与技术 工具与技术:数据分析(技术绩效分析,储备分析),审计,会议。 *技术绩效分析:把项目执行期间所取得的技术成果与取得相关技术成果的计划进行比较。技术测量指标有重量,处理时间,缺陷数量,存储容量等。实际结果偏离计划的程度可以代表威胁或机会的潜在影响。 *储备分析:可以用燃尽图来显示应急储备的消耗情况。

ENISA报告:网络安全风险管理的标准化分析及建议

2022年3月16日,欧盟网络安全局(ENISA)发布了一份关于网络安全风险管理标准的报告。网络安全和信息安全风险的威胁会对组织产生重大影响,甚至威胁到其生存,因此网络安全和信息安全风险必须得到管理。报告对涉及风险管理各个方面的已发布标准进行概述,并列出符合标准或帮助企业实施标准的方法和工具。此外,报告提出系列关于符合风险管理标准的建议,供各利益相关者(决策者、团体和企业组织)参考,并概述该领域可能存在的差距,使各利益相关者能够采取相应的措施以弥补差距。报告可作为风险管理标准和方法库,为企业组织实施风险管理流程提供参考,帮助企业组织在其内部实施风险管理。

摘译 | 李朦朦/赛博研究院实习研究员

来源 | ENISA

风险管理过程

风险管理步骤

范围、背景、标准

风险评价

风险处理

风险管理的标准和方法

主要的风险管理方法

EBIOS(Expression des Besoins et Identification des Objectifs de Sécurité)Risk Manager

EBIOS Risk Manager是一种信息安全风险管理方法,由法国国防总秘书处创建,与ISO 31000和ISO/IEC 27005一致,并能满足ISO/IEC 27001的风险管理要求。

MAGERIT(Method for the Harmonised 风险管理计划的六大步骤 Analysis of Risk )

Magerit是西班牙电子政务高级委员会开发的风险分析和管理的公开方法。Magerit用户通过研讨会和访谈来承担运行风险分析过程的责任,组织的特定代表只参与评估过程中的特定阶段。它符合ISO/IEC 27005,涵盖了ISO/IEC 27001定义的所有要求,并符合ISO/IEC 27002:2005规定的ISMS的实施准则。

NIST 800-30

NIST 800-30是一份免费的指南,为制定有效的风险管理方案提供了基础,其中包含了评估和减轻IT系统内识别的风险所需的定义和实践指导。其最终目标是帮助大多数大规模的组织(如政府机构和大公司)更好地管理与IT相关的任务风险。该方法符合ISO/IEC 27001的规定。

OCTAVE(Operationally Critical Threat, Asset, and Vulnerability Evaluation)Method

CRAMM(CCTA Risk Assessment and Management Methodology )

IT-Grundschutz

IT-Grundschutz由德国联邦信息安全办公室开发,为建立综合有效的IT安全管理提供了配置。该方法在开始进行风险分析之前,先进行一个基本的安全检查来验证已经实施的安全措施,确定没有被避免的威胁,如残余威胁。这些威胁可以通过额外的安全措施来消除。通过这种方式,风险将被降低到可接受的水平。该方法是一种定性的风险分析方法,与一种原始的计算技术相关,用于分析和关联评估信息。该方法符合ISO/IEC 27001标准,同时也适合实施ISO/IEC 27002中描述的ISMS过程。

MEHARI

MEHARI是CLUSIF(法国信息安全俱乐部/Club de la Sécurité de 风险管理计划的六大步骤 l"Information Français)开发的一种免费的定性风险分析和管理方法。该方法提供了适当的知识库,如描述不同模块(利害关系、风险、脆弱性)的手册和指南,旨在帮助参与安全管理的人员(CISO、风险经理、审计师、CIO)完成其任务。该方法适用于实施ISO/IEC 27001所描述的ISMS过程。

ISAMM(Information Security Assessment and Monitoring Method)

ISAMM是一种定量类型的风险管理方法,可以被各种组织采用,如政府机构、大公司和中小型企业。该方法符合ISO/IEC 27002标准,并对ISO/IEC 27001 ISMS标准提供了最大的支持。

支持风险管理的其他系统和工具

BCEB(Baldrige Cybersecurity Excellence Builder ):一种自我评估工具,帮助组织更好地了解其网络安全风险管理工作的有效性,以及在整体绩效的背景下,识别改进的机会。

CVE(Common Vulnerabilities and Exposures):该系统为已知的信息安全漏洞和暴露提供了参考方法。

CVSS(Common Vulnerability Scoring System):一个开放的框架,用于交流软件漏洞的特征和严重性。CVSS非常适合作为需要准确且一致的脆弱性严重程度评分的行业、组织和政府的标准测量系统。

SCAP(Security Content Automation Protocol):一个源自社区想法的可互操作规范的综合体。该网站包含与NIST安全自动化议程相关的现有SCAP规范和新兴规范的信息。

OWASP威胁建模工具:一个开源工具,用于识别、沟通和理解威胁和缓解措施,其应用广泛,可应用于软件、应用程序、系统、网络、分布式系统、物联网中的事物、业务流程等之中。

FAIR Privacy (Factors Analysis in Information Risk):一个基于FAIR(信息风险中的因素分析)的定量隐私风险框架。其只检查个人隐私风险。该工具包括一个说明FAIR Privacy组成部分的PPT,以及一个基于美国人口普查的示例。

SRAQ在线风险计算器:采用技术方法进行风险评估,包括四个方面:识别威胁;制定系统图;建议控制;制定风险处理计划。

漏洞登记册和数据库(Vulnerability registers and databases):风险评估的成功依赖于这些登记册和数据库以及其中使用的格式、指标和程序。其为每个漏洞提供了唯一的标识符,为信息提供了结构化和机器可读的格式,通常还提供了修复和补丁的参考。

1) 从威胁源到资产暴露的流程

2) 根据目标资产的价值,威胁源可以有不同的方面和级别

为了执行这六个步骤,可以实际应用与EBIOS RM评估方法相关的ISO/IEC 27005风险管理标准。

风险管理的建议

针对于政策制定者:应使用在监管机构的出版物中已经采用的风险管理标准;在必要时对特定部门强制使用特定的风险评估方法或工具;当没有适合特定行业的风险管理标准或风险评估方法或工具时,政策制定者可以请求特定行业的相关机构制定适用于该行业的风险管理标准或风险评估方法或工具;建立一个特设工作组以确定一些标准来定义相关立法中提到的风险水平。该特设工作组应提供必要的风险工具来计算风险估计,并根据所确定的级别对结果进行分类。

针对相关的组织:鼓励相关组织使用统一的概念、术语和定义。一个术语对应一个概念,避免不同风险评估标准会导致在安全概念、术语、定义以及概念之间产生偏差。

针对相关网络安全机构:应定期发布涵盖不同领域和部门的已批准风险管理标准的概述;应发布涵盖不同领域和部门的认可方法和工具的概述;应鼓励和支持不同学科和部门开发或推进有关部门特定风险评估以及处理风险的方法和工具的工作,以加强利益相关者之间的合作;应建立一个机制,在风险管理的各个方面协助其他利益相关者。

如需获取《RISK MANAGEMENT STANDARDS——Analysis of standardisation requirements in support of cybersecurity policy》报告全文,请于“赛博研究院”公众号后台回复“报告1”,即可查阅!

风险管理计划的六大步骤

一、TCFD持续提供建议指南,推动金融机构向“绿”

近年来,气候变化对经济金融的影响与日俱增。从国际看,全球气候变化是21世纪人类社会共同面临的巨大挑战。全球监管相继发布了气候风险相关指引或方法论文件。我国2020年明确提出碳达峰和碳中和目标,这是中国基于推动构建人类命运共同体的责任和担当。实现碳达峰、碳中和任务艰巨,要充分调动金融资源,从气候风险管理、低碳投融资、碳排放定价、提供配套金融服务等方面助力实现双碳目标。

需指出的是,目前人们对气候变化带来的潜在财务风险的理解仍处于初级阶段,TCFD持续发布气候风险相关工作建议,为金融机构提供向“绿”指南。TCFD在2015年12月由金融稳定理事会宣布成立,是全球首个由非政府机构主导的工作组,旨在落实好G20峰会《联合国气候变化框架公约》及其商定结果,提出气候相关财务信息披露建议,便于利益相关者使用。

TCFD成立以来,发布了一系列的成果。2017年发布《气候相关财务信息披露工作组建议报告》,确立了全球气候相关信息披露标准。2017年至今发布历年的《TCFD现状报告》。2020年以来,TCFD加速了整个工作进程,发布了《风险管理整合指南》《情景分析指南》。2021年发布了《指标、目标和转型计划指南》和《投资组合调整技术》。

2021年10月,TCFD发布《2021年TCFD现状报告》显示,全球范围内支持TCFD建议的机构数量显著增加。自2020年10月以来,TCFD建议的支持机构新增了1000多个。截至2021年10月6日,全球范围内TCFD支持机构累计2600多个,包括金融机构1096家,全球支持机构数量前5名的国家包括日本、美国、英国、澳大利亚和法国。目前,支持TCFD建议的机构包括全球89个国家和地区,几乎涵盖了所有经济部门。2020年,所有支持机构总市值达到13万亿美元,2021年所有机构总市值超过25万亿美元,相比2020年增长99%。其中,支持TCFD建议的1096家金融机构资产规模合计为194万亿美元,相比2020年增长近30%。

我国支持TCFD建议的机构逐渐增多。截至目前,我国共有22家机构签署支持TCFD建议,包括16家金融机构和6家非金融机构,如工商银行、建设银行、中国银行、邮储银行、交通银行等。但是,开展气候风险信息披露工作还面临许多挑战,包括信息披露方面的数据可靠性、可获得性等因素。

二、TCFD关于气候变化带来相关风险及财务影响分析

TCFD发现来自投资者关于气候相关财务信息方面的需求在不断增长,因此提供了对气候相关风险和机遇的信息披露建议。加大对气候相关风险和机遇的信息披露,将为投资者、贷款人、保险承保商和其他利益相关方对气候变化所带来的潜在财务影响进行深入、一致分析提供必要的衡量指标和信息。因此,TCFD定义了气候相关风险和机遇的分类。TCFD的建议是为了鼓励各组织对与其经营活动相关性最大的气候相关风险和机遇进行评估和披露,作为其年度财务申报准备和报告流程的一部分。

TCFD将气候相关风险分为两大类:与向低碳经济转型相关的风险和与气候变化造成的物理影响相关的风险。转型风险可能需要广泛的政策、法律、技术和市场变化,以应对气候变化相关的缓释和适应性要求。同时,根据这些变化的不同,转型风险可能带来不同程度的财务和声誉风险,包含了政策和法律风险、技术风险、市场风险、声誉风险。物理风险可能是突发事件(短期)或气候模式的长期变化(长期)。短期物理风险是指由事件驱动的风险,包括恶劣程度不断加剧的极端天气事件,如龙卷风、飓风或洪水。长期物理风险是指气候模式的长期转变,例如持续的高温等,这种长期性的转变可能导致海平面上升或长期热浪。

气候相关问题对企业或组织的财务影响并不总是明确或直接的。对于许多组织而言,发现问题、评估潜在影响,以及确保重大问题能反映在财务报告上,或许具有挑战性。主要原因可能是因为(1)组织内部对气候相关问题的认识有限;(2)注重短期风险,而未能给长期风险足够的重视;(3)在量化气候相关问题对财务的影响方面存在困难。

图表一.png

三、TCFD关于气候变化带来相关机遇及财务影响分析

TCFD确定的机遇领域包括:

a.资源效率

b.能源来源

c.产品和服务

d.市场

e.韧性

图表二.png

四、TCFD对气候相关风险纳入风险管理的指南建议

为帮助解决公司在实施风险管理建议时可能面临的问题,2020年TCFD制定发布了《风险管理整合与披露指南》。TCFD于2017年6月发布最终建议以来,始终在跟进公司在气候相关财务信息披露方面的做法,并致力于识别并解决公司在实施工作组建议中面临的挑战。2020年发布的《风险管理整合与披露指南》主要为实施风险管理时面临的问题,而提供的参考建议。

图表三.png

指南给出气候相关风险纳入现有风险管理流程的关键原则,以及着手该类整合的初始步骤建议。无论采取何种形式,风险管理的首要目的都是支持公司实现其战略和商业目标,为其利益相关方创造价值。披露风险管理流程的主要目的是为公司思考其成功执行商业目标和实现战略中所面临的最重大风险提供背景。