风险程度的划分

五、风险程度的划分

不同的风险具有不同的危害程度，系统当中不同环节安全性的重要程度也有很大差异。有些地方出现问题时对系统工作状况的威胁较大，有些则影响较小；有些事件发生的可能性比较小，有些则不然。对系统安全问题重要性的划分可以依照“对系统的威胁程度”和“事件发生的概率”来进行。

1.对系统的威胁程度

如果某一事件的发生将会导致财务系统彻底崩溃，并且在短时间内没有恢复的可能，我们就说这一事件对系统的威胁作用是“严重的”。如果因为这一事件不仅导致会计电算化系统崩溃，也使得会计电算化系统所从属的上级系统，例如企业彻底崩溃，我们说这一事件叫“非常严重”。按照这样的划分，通常可以把事件对系统的威胁程度分成三个等级。

第3级：非常严重，是灾难性的事故；危险程度系数为3。

第2级：严重，造成重大损失的问题；危险程度系数为2。

第1级：轻微损失；可以承受或补救；危险程度系数为1。

应该指出，这种划分不是绝对的。不同的企业和单位可以按照自己的偏好，确定危险程度的等级和危险系数。

2.事件发生的概率

有些事件虽然损失严重，但是发生的概率比较小，有些则相反，问题虽然不太大，可是出现问题的频率相当高。仿照危险程度系数，我们可以大致估计事件发生的可能性之大小。如果能够严格地按照事件发生的概率，排列不同事件发生频度顺序，当然很好很精确，可是很难做到。一般来说，在对系统风险做定性分析时，采用与危险程度系数类似事件的频度系数也就可以了。为了简化起见，把事件频度系数也分为三级：很高、一般、很低。相应地定义其系数值为3，2，1，也就是：

第3级：经常发生，属于常见事故；事件频度系数为3。

第2级：偶尔发生，并非常见事故；事件频度系数为2。

第1级：很少发生，属于罕见事故；事件频度系数为l。

3.风险程度的综合评价

以危险程度系数和事件频度系数的乘积作为相应事件风险程度的综合评价，如表2-2所示。

表2-2　会计电算化风险程度综合评价

应该说此种评价方法含有很强的主观性质，并且其等级界定也并非只有这一种选择。在具体进行风险评估时，应该结合本单位的实际情况，考虑单位负责人的偏好特点，有的放矢地列出系统可能遭遇的事件，确定事件频度系数和危险程度系数的界定范围，然后计算所有可能事件的风险程度值，设计相应的防范对策和止损、减损措施。这里所说的止损，是在危险发生时及早制止损害事态的延续，防止危险蔓延，使损失不再增加；减损，则是指在危险已经发生的情况下如何减少损失，或者说缩小损失的后果，降低既成灾害的影响。