风险评估的形式汇编(三篇)

绪论：一篇引人入胜的风险评估的形式，需要建立在充分的资料搜集和文献研究之上。搜杂志网为您汇编了三篇范文，供您参考和学习。

篇1

1 引言

随着工业化和信息化进程的加快，越来越多的计算机技术以及网络通信技术应用到烟草自动化生产过程中。在这些技术提高了企业管理水平和生产效率的同时，也带来了病毒和恶意代码、信息泄露和篡改等网络信息安全问题。当前，烟草企业所建成的综合自动化系统基本可以分为三层结构：上层为企业资源计划（ERP）系统；中间层为制造执行系统（MES）；底层为工业控制系统。对于以ERP为核心的企业管理系统，信息安全防护相对已经成熟，烟草企业普遍采用了防火墙、网闸、防病毒、防入侵等防护措施。而随着MES技术在烟草企业的广泛实施，越来越多企业开始考虑在底层的工业控制系统进行信息安全防护工作。近年来，全球工业控制系统经历了“震网”、“Duqu”、“火焰”等病毒的攻击，这些安全事件表明，一直以来被认为相对封闭、专业和安全的工业控制系统已经成为了黑客或不法组织的攻击目标。对于烟草企业的工业控制系统，同样也面临着信息安全问题。

与传统IT系统一样，在工业控制系统的信息安全问题研究中，风险评估是其重要基础。在工业控制系统信息安全风险评估方面，国外起步较早，已经建立了ISA/IEC 62443、NIST800-82等一系列国际标准和指南；而国内也相继了推荐性标准GB/T 26333-2010：工业控制网络安全风险评估规范和GB/T30976.1～.2-2014：工业控制系统信息安全（2个部分）等。当前，相关学者也在这方面进行了一系列研究，但国内外还没有一套公认的针对工业控制系统信息安全风险评估方法，而且在烟草行业的应用实例也很少。

本文基于相关标准，以制丝线控制系统为对象进行了信息安全风险评估方法研究，并实际应用在某卷烟厂制丝集控系统中，为后续的安全防护工作打下了基础，也为烟草工业控制系统风险评估工作提供了借鉴。

2 烟草工业控制系统

烟草工业企业生产网中的工控系统大致分成四种类型：制丝集控、卷包数采、高架物流、动力能源，这四个流程，虽工艺不同，相对独立，但它们的基本原理大体一致，采用的工具和方法大致相同。制丝集控系统在行业内是一种典型的工业控制系统，它的信息安全情况在一定程度上体现了行业内工业控制系统的信息安全状态。

制丝集控系统主要分为三层：设备控制层、集中监控层和生产管理层。设备控制层有工业以太网连接控制主站以及现场I/O站。集中监控层网络采用光纤环形拓扑结构，将工艺控制段的可编程控制器（PLC）以及其他相关设备控制段的PLC接入主干网络中，其中工艺控制段包括叶片处理段、叶丝处理段、梗处理段、掺配加香段等，然后与监控计算器、I/O服务器、工程师站和实时数据库服务器等共同组成了集中监控层。生产管理层网络连接了生产现场的交换机，与管理计算机、管理服务器等共同组成了生产管理层。

制丝车间的生产采用两班倒的方式运行，对生产运行的实时性、稳定性要求非常严格；如直接针对实际系统进行在线的扫描等风险评估工作，会对制丝生产造成一定的影响，存在影响生产的风险。而以模拟仿真平台为基础的系统脆弱性验证和自主可控的测评是当前制丝线控制系统信息安全评估的一种必然趋势。

3 工控系统风险评估方法

在风险评估方法中，主要包括了资产识别、威胁评估、脆弱性评估、综合评估四个部分，其中脆弱性测试主要以模拟仿真平台为基础进行自主可控的测评。

风险是指特定的威胁利用资产的一种或一组脆弱性，导致资产的丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。风险评估模型主要包含信息资产、脆弱性、威胁和风险四个要素。每个要素有各自的属性，信息资产的属性是资产价值，脆弱性的属性是脆弱性被威胁利用后对资产带来的影响的严重程度，威胁的属性是威胁发生的可能性，风险的属性是风险发生的后果。

3.1 资产识别

首先进行的是对实际生产环境中的信息资产进行识别，主要包括服务器、工作站、下位机、工业交换设备、工控系统软件和工业协议的基本信息。其中，对于服务器和工作站，详细调查其操作系统以及所运行的工控软件；对于下位机，查明PLC主站和从站的详细型号；对于交换设备，仔细查看其配置以及连接情况；对于工控系统软件，详细调查其品牌以及实际安装位置；对于工业协议，则详细列举其通信两端的对象。

3.2 威胁评估

威胁评估的第一步是进行威胁识别，主要的任务是是识别可能的威胁主体（威胁源）、威胁途径和威胁方式。

威胁主体：分为人为因素和环境因素。根据威胁的动机，人为因素又可分为恶意和非恶意两种。环境因素包括自然灾害和设施故障。

威胁途径：分为间接接触和直接接触，间接接触主要有网络访问、指令下置等形式；直接接触指威胁主体可以直接物理接触到信息资产。

威胁方式：主要有传播计算机病毒、异常数据、扫描监听、网络攻击（后门、漏洞、口令、拒绝服务等）、越权或滥用、行为抵赖、滥用网络资源、人为灾害（水、火等）、人为基础设施故障（电力、网络等）、窃取、破坏硬件、软件和数据等。

威胁识别工作完成之后，对资产所对应的威胁进行评估，将威胁的权值分为1-5 五个级别，等级越高威胁发生的可能性越大。威胁的权值主要是根据多年的经验积累或类似行业客户的历史数据来确定。等级5标识为很高，表示该威胁出现的频率很高（或≥1 次/周），或在大多数情况下几乎不可避免，或可以证实经常发生过。等级1标识为很低，表示该威胁几乎不可能发生，仅可能在非常罕见和例外的情况下发生。

3.3 脆弱性测试

脆弱性评估需从管理和技术两方面脆弱性来进行。管理脆弱性评估方面主要是按照等级保护的安全管理要求对现有的安全管理制度的制定和执行情况进行检查，发现了其中的管理漏洞和不足。技术方面包括物理环境、网络环境、主机系统、中间件系统和应用系统五个层次，主要是通过远程和本地两种方式进行手工检查、工具扫描等方式进行评估，以保证脆弱性评估的全面性和有效性。

传统IT 系统的技术脆弱性评测可以直接并入到生产系统中进行扫描检测，同时通过交换机的监听口采集数据，进行分析。而对工控系统的脆弱性验证和测评服务，则以实际车间工控系统为蓝本，搭建一套模拟工控系统，模拟系统采用与真实系统相同或者相近的配置，最大程序反映实际工控系统的真实情况。评估出的模拟系统工控系统安全情况，经过分析与演算，可以得出真实工控系统安全现状。

对于工控系统主要采用的技术性测试方法。

（1）模拟和数字控制逻辑测试方法。该方法针对模拟系统中的控制器系统进行测试。采用如图1的拓扑形式，通过组态配置PLC输出方波数字信号和阶梯模拟信号，通过监测控制信号的逻辑以判别控制系统的工作状态。

（2）抓包测试方法。该方法可以对模拟系统中的各种设备进行测试。采用图2的拓扑形式，通过抓包方式，获取车间现场运行的正常网络数据包；将该数据进行模糊算法变异，产生新的测试用例，将新数据发送到测试设备上进行漏洞挖掘。该测试方法既不影响工作现场，又使得模拟系统的测试数据流与工作现场相同。

（3）桥接测试方法。该方法针对模拟系统中的工业通信协议进行测试。测试平台接收到正常的数据包后，对该数据包进行模糊算法变异，按照特定的协议格式，由测试平台向被测设备发送修改后的数据，进行漏洞挖掘测试。采用的拓扑形式就是图2中去除了虚线框中的内容后的形式。

（4）点对点测试方法。该方法针对通信协议进行测试。采用与图1相同拓扑形式，按照所面对的协议的格式，由测试平台向被测设备发送测试用例，进行健壮性的测试。

（5）系统测试方法。该方法对装有工控软件的被测设备进行测试。该方法采用如图3的拓扑形式，综合了前几种方式，在系统的多个控制点同时进行，模糊测试数据在不同控制点之间同时传输，对整个工业控制环境进行系统级的漏洞挖掘。

3.4 综合分析

在完成资产、威胁和脆弱性的评估后，进入安全风险的评估阶段。在这个过程中，得到综合风险评估分析结果和建议。根据已得到的资产、威胁和脆弱性分析结果，可以得到风险以及相应的等级，等级越高，风险越高。

4 应用实例

本文以某卷烟厂制丝车间的制丝集控系统为例进行风险评估研究。

4.1 资产识别

首先对该制丝集控系统进行了资产的识别，得到的各类资产的基本信息。资产的简单概述：服务器包括GR 服务器、监控实时服务器、AOS 服务器、文件服务器、管理应用服务器、管理数据库服务器和管理实时服务器等；工作站包括工程师站、监控计算机和管理计算机；下位机包括西门子PLC S7-300、PLC S7-400 和ET200S；网络交换设备主要以西门子交换机和思科交换机为主；工控系统软件主要有Wonderware 系列软件、西门子STEP7、KEPServerEnterprise等。

4.2 威胁评估

依据威胁主体、威胁途径和威胁方式对制丝集控系统进行了威胁的识别，随后对卷烟厂制丝集控系统的威胁分析表示，面临的威胁来自于人员威胁和环境威胁，威胁方式主要有计算机病毒、入侵等。其中等级较高的威胁（等级≥3）其主体主要是互联网/办公网以及内部办公人员威胁。

4.3 脆弱性评估

搭建的模拟系统与真实网络层次结构相同，拓扑图如图4所示。

基于工控模拟环境，对设备控制层、工控协议、工控软件、集中监控设备进行评估。

对设备控制层的控制设备通讯流程分为五条路径进行归类分析，即图4中的路径1到5，通信协议均为西门子S7协议。一方面采用模拟和数字控制逻辑测试方法以及抓包测试方法对控制器进行测试，另一方面采用桥接测试方法对S7协议进行漏洞挖掘，结果表明结果未发现重大设备硬

件漏洞。

除了S7 协议外，图4中所标的剩余通信路径中，路径6为OPC协议，路径7为ProfiNet协议，路径8为ProfiBus协议，路径9为Modbus TCP协议。对于这些工控协议，采用点对点测试方法进行健壮性测试，结果发现了协议采用明文传输、未对OPC端口进行安全防范等问题。

采用系统测试方法，对装有工控软件的以及集中设备进行测试，发现了工控软件未对MAC 地址加固，无法防止中间人攻击，账号密码不更新，未进行认证等数据校验诸多问题。

然后对制丝集控系统进行的脆弱性分析发现了两个方面的问题非常值得重视。一是工控层工作站可通过服务器连通Internet，未进行任何隔离防范，有可能带来入侵或病毒威胁；攻击者可直接通过工作站攻击内网的所有服务器，这带来的风险极大。二是工控协议存在一定威胁，后期需要采取防护措施。

4.4 综合评估

此次对制丝集控系统的分析中，发现了一个高等级的风险：网络中存在可以连接Internet的服务器，未对该服务器做安全防护。还有多个中等级的风险，包括网络分域分区的策略未细化、关键网络设备和业务服务器安全配置不足、设备存在紧急风险漏洞、工控协议存在安全隐患、PLC 应用固件缺乏较完善的认证校验机制等。

4.5 防护建议

根据制丝集控系统所发现的风险和不足，可以采取几项防护措施：对于可连到Internet的服务器，采用如堡垒机模式等安全防护措施，加强分区分域管理；对主机设备和网络交换机加强安全策略，提高安全等级；对存在紧急风险漏洞的设备，及时打补丁；对于工控协议存在的安全隐患，控制器缺乏验证校验机制等风险，采用工业安全防护设备对其检测审计与防护阻断。

5 结束语

随着信息化的不断加强，烟草企业对于工业控制系统信息安全越来越重视，而风险评估可以说是信息安全工作的重要基础。本文提出基于模拟系统和脆弱性测试的风险评估方法，采用资产识别、威胁评估、以模拟系统评测为主的脆弱性评估、综合评估等步骤，对烟草制丝线控制系统进行信息安全风险评估。而在脆弱性测试中采用了模拟和数字控制逻辑测试、抓包测试、系统测试等多种方法，对工业控制系统技术上的脆弱性进行测试。这些步骤和方法在某卷烟厂的制丝集控系统应用中取得了良好的成果：发现了工控系统中存在的一些信息安全问题及隐患，并以此设计了工业安全防护方案，将工控网络风险控制到可接受范围内。

本次所做的烟草工业控制系统信息安全风险评估工作，可以为同类的烟草企业工控信息安全防护建设提供一定的借鉴。但同时，也要看到，本次的风险评估工作中对于风险等内容的定级对于经验的依赖程度较高，不易判断，这也是以后研究的方向之一。

参考文献

[1] 李燕翔，胡明淮.烟草制造企业工业控制网络安全浅析[J].中国科技博览，2011，（34）： 531-2.

[2] 李鸿培， 忽朝俭，王晓鹏. 2014工业控制系统的安全研究与实践[J]. 计算机安全，2014，（05）： 36-59，62.

[3] IEC 62443―2011， Industrial control network &system security standardization[S].

[4] SP 800-82―2008， Guide to industrial control systems（ICS） security[S].

[5] GB/T 26333―2011， 工业控制网络安全风险评估规范[S].

[6] GB/T 30976.1―2011， 工业控制系统信息安全 第1部分：评估规范[S].

[7] GB/T 30976.2―2011， 工业控制系统信息安全 第2部分：验收规范[S].

[8] 卢慧康， 陈冬青， 彭勇，王华忠.工业控制系统信息安全风险评估量化研究[J].自动化仪表， 2014 （10）： 21-5.

[9] 彭杰，刘力.工业控制系统信息安全性分析[J].自动化仪表， 2012， 33（12）： 36-9.

作者简介：

李威（1984-），男，河南焦作人，西安交通大学，硕士，浙江中烟工业有限责任公司，工程师；主要研究方向和关注领域：信息安全与网络管理。

篇2

 随着我国 金融 体制改革步伐的加快和金融业开放程度的提高，国内银行业面临着参与国际竞争的挑战。在金融全球化的新形势下，我国商业银行必须借鉴国际上先进的信用风险管理经验，强化信用风险管理，开发适用的信用风险管理模型，适应《巴赛尔协议》新框架的需要。我国处于 经济 发展的初期阶段，在今后很长一段时期，银行融资仍将是 企业 筹措资金的主要方式，银行体系面临的风险将是我国金融风险的主要构成因素。深入研究我国商业银行的信用风险管理问题，不仅是商业银行作为微观金融主体进行内部管理的自主行为，从全局上看也是防范商业银行的信用风险导致银行信用体系和支付体系崩溃，引发货币危机、股市暴跌和金融危机的需要。下面笔者仅就如何构建商行内部信用风险管理评估体系谈谈自己的一点浅见，仅供交流和探讨。 

 

 一、信用风险评级在银行风险管理中的地位 

 

 所谓信用风险的评级就是对一定的借款方的情况进行评估,并对由于借款方发生违约造成损失的可能性进行估计。而所谓的内部则是与一般的专业评级机构的评级加以区分,银行的内部信用评级是由银行内部人员完成的,并且这种评级的结果是不对外公布的。在当今的银行特别是大型银行或是跨国银行的风险管理中,信用风险的内部评级体系正占有着越来越重要的地位。对于一个有着数以万计的借款客户的银行来说,内部评级对于银行的风险信用管理来说是不可缺少的,只有建立了系统的内部评级体系,才能对数量庞大的不同的借款人之间的信用风险进行比对。大多数银行在风险管理的许多重要方面都会利用到评级结果,如放贷的决策指导、资产组合监管、贷款损失准备以及资本金的分析、贷款收益和定价的决定以及资产组合数量模型的数据输入等等。 

 对于具体的内部评级体系的设计,不同的银行之间可能有着较大的差异,如等级的划分、不同的等级之间所代表的风险度、评级的指标以及评级结果的评价等等。对于一个银行来说,当它设计本行的内部评级体系时,必须要考虑的因素有:不同评级指标的权重、评级的成本、评级的效率与信息的收集、评级结果的前后一致性、评级人员的激励、银行的业务范围以及评级结果的使用等等。 

 

 二、我国商业银行业信用风险评估方法现状分析 

 

 目前我国的信用分析和评估技术仍处于传统的比率分析阶段。银行机构主要使用 计算 贷款风险度的方法进行信用风险评估。信用风险的分析仍然是以单一投资项目、贷款和证券为主,衍生工具、表外资产的信用风险以及信用集中风险的评估尚属空白,更没有集多种技术于一体的动态量化的信用风险管理技术。其主要表现在以下几个方面: 

 (一)信用风险衡量采用专家制度。我国商业银行信用风险衡量大多采用专家制度。但专家制度存在一定的缺陷和不足,在实际运用中没有引起重视。如专门信用分析人员不足、实施效果很不稳定、银行应对市场变化的能力较低、银行在贷款组合方面过度集中的问题进一步加剧等。 

 (二)信用风险评估中定量分析不够。从信用风险的识别、衡量方面看,我国商业银行信用风险管理定性分析多,定量分析少(尽管已经使用了一些定量分析方法,但仍存在着不完善的地方);静态分析多,动态分析少;局部分析多,全局分析少。以企业信用评级为例,从评级要素的设计看,多侧重财务指标分析(总分值达三十分以上),而忽略了财务信息的质量问题。众所周知我国企业财务信息质量不高已是不争的事实;忽视了企业发展前景在信用评级中的作用,如企业所在行业发展状况、市场预期状况仅占1分,这样得出的评级结果更多反映的是企业过去和现在的信用状况,而未能反映企业未来的资信质量。从评级时间看,对企业的信用评级每年进行一次,不利于银行及时了解企业的信用等级变化,不能为风险管理提供动态的信息。再从国内银行对贷款的风险度测量方法看,一个最主要的问题就是贷款风险度涉及因素的选择和风险系数的确定很大程度上受到主观因素的影响。贷款风险度是否受到或仅受到企业信用等级、贷款方式的影响,有实证研究结果表明,

（一）开发内部评级法。我国目前缺乏外部信用评级机构,而要 发展 本国的外部信用评级机构需要花费较长时间,因此需从现在起就着手开发内部评级法。目前,信用模型尚不成熟,普遍适用的内部评级标准尚未建立,各家银行的内部评级系统差异较大,因此,监管当局将难以对各家银行的内部评级结果进行有效的评估和比较。此外,内部评级法还包含了许多主观判断因素。这有可能导致银行监管当局和银行之间在某些风险资产的评估当中产生不同意见。 

（二）加强银行内部信用评级的立法,确立信用评级工作的 法律 地位。以立法的形式规定评估在货币市场、资本市场及其它信用市场中所处的地位,使信用评级行为与评级结果得到有效的法律规范,实现评估结果的客观性、公正性、 科学 性、权威性。 

（三）建立健全科学的信用评级体系。建立银行内部信用评级体系应坚持“三结合”:一是国际标准与我国国情相结合;二是定性方法与定量方法相结合;三是传统研究方法与 现代 先进评级技术,特别是互联网技术相结合。统一评估体系和标准,实现评估科学化,提高评级质量。 

（四）积极培育评级市场。市场 经济 需要信用评级,而其规范和发展关键在于政府引导、培育和完善。一方面通过类似贷款证的规定来推动评级需求的增加,另一方面鼓励跨地区的评级。提高评级机构素质和评级质量,引导、培育和完善信用评级市场。 

 （五）提高信息披露的质量标准,确保数据资料的真实性。因为信用评级主要根据的是公开披露的信息资料,评级对象能否适应外部环境和发挥内在优势最终都集中在公司的财务状况上,因此财务因素分析在评级活动中处于核心地位。而我国目前资本市场上,伪造、编造 会计 凭证、会计账簿和编制虚假财务会计报表现象非常严重,必然会影响评级事业的健康发展。因而必须提高信息披露的质量标准,在制度上保证 企业 不得不将真实的数字告知银行,并由此获得一个没有水分的信用级别。另外,银行评级人员也要提高识别真假数据的基本功,要培养自己“去粗取精”、“去伪存真”的能力,提高评级水平。 

 （六）信用评级是一个即重视理论,也重视经验的工作,评级业务即需要科学的评级理论的指导,同时也需要评级人员具有丰富的经验。借鉴国外先进的经验,商业银行有关部门应在稳定队伍中逐步提高评级人员的素质,如经济发达国家普遍实施的员工持股计划和期权制度,制定合理的激励机制,最大限度地调动信用评级人员的积极性。 

 总之，新巴塞尔资本协议已于今年开始正式实施，与1988 年的老巴塞尔协议相比,最大的区别就是在最低资本要求中引入了资产风险的因素,从而大幅度地提升了银行资产的风险敏感度,特别是两种信用风险评级体系之一的银行内部评级法( irb) ,对于各国的银行来说都是一大挑战。我国商业银行只有根据本国实际，建立先进、科学、有效的信用风险内部评级体系，切实提高信用风险管理水平,才能与国际行业通行标准接轨，增强自身的市场竞争力。 

篇3

一、KMV模型的理论基础及计算方法

KMV模型评价公司信用风险的基本思路是:以违约距离(DD)表示公司资产市场价值期望值(V)距离违约点(DP)的远近,距离越远,公司发生违约的可能性越小,反之越大。违约距离(DD)以资产市场价值标准差的倍数表示。违约点(DPT)通常处于流动负债与总负债面值之间的某一点。对EDF的度量分三步进行:首先估计公司资产价值和公司资产波动率:其次计算违约距离DD (Distance-to-Default),它是用指标形式表示的违约风险值，最后使用对违约距离进行t-检验，得出相应上市公司的信用风险实况。

根据默顿和Black-Scholes的期权概念,公司股票价值可表示为: (1)

其中

其中E为企业股权市场价值, V为企业资产市场价值, D为企业债务面值, r为无风险收益率,T为债务偿还期限, N(d)为标准累积正态分布函数,σv为企业资产价值波动率,σE为企业股权市场价值波动率。

公司资产价值V和资产价值波动率σv是隐含变量,显然不能从期权定价模型的一个方程中求解出两个未知变量,这就还需要利用可以观察到的公司股权市场价值的波动率σE与不可观察到公司资产价值波动率σv之间的存在的关系来联立求解。由公司股票收益标准差σE和公司资产收益标准差σv之间的关系式:

(2)

ηE,V为股票价值对公司资产的弹性,dE/dV为期权Delta值,即对等式两边求导,然后在求期望得到下式:

(3)

通过求解1.1和1.3的联立方程组,就可得到公司资产价值和资产价值波动率。

(4)

其中

在KMV模型中, DD被定义为企业资产未来市场价值的均值距违约点之间的距离,它以资产市场价值偏离违约点(DPT)的标准差的个数来表示。或换言之,要达到违约点资产价值须下降的百分比对于标准差的倍数称为违约距离。在实际应用中, KMV模型的DD计算公式为:

(5)

例如:某A借款企业资产价值E (V)为500万,公司资产价值波动率σV为5%违约点(或违约执行价格)为450万元。那么企业距违约点的距离是:

DD=(500-450)/(500×5%)=2标准差

其经济含义是该借款企业只有当资产价值在一年内减少2个标准差的水平(即10万元),才会出现违约。

二、KMV模型评估上市公司信用风险的实证分析

本文首先调整KMV模型中股权市场价值计算方法,流通与非流通股以不同的价格来计算,然后计算出上市公司的资产市场价值及其波动率,继而计算出上市公司的违约距离;最后对样本的违约距离作均值t检验,检验KMV模型对上市公司整体信用风险的识别能力。由于国内尚没有公开的公司违约数据库可以使用,本研究仅以KMV模型输出的违约距离来度量上市公司的信用风险,检验参数调整后的模型识别我国上市公司信用风险的能力,为该模型在我国上市公司信用风险评价方面的应用作一些初步的探讨。同时,考虑样本公司可比性、行业差距及公司规模对实证结论的干扰,本文选择配对非ST公司和ST公司遵循以下几个原则:1.所选股票尽量涵盖中国股市的大多数行业,能够对上市公司的总体的信用风险作出判断； 2.来自同一个行业的ST公司和非ST公司的规模相近,尽量消除公司规模的不同对结果的影响；3.2007年每个月最后交易日的数据分别研究,保证足够的数据来支持研究结果；4.所选股票均是在内地上市。本文选取24只股票,他们分别取自根据证监会划分的五个行业类别,包括房地产行业(8支股票)、制造业(4支股票)、批发和零售贸易(2支股票)、能源生产及供应业(4支股票)、其他制造业(支股票)。这24支股票中非ST的有12支, ST的有12支。对上市公司的财务数据和股本结构分析并利用历史波动率法估计上市公司的股权市场价值；上市公司股权市场价值的计算是结合中国证券市场的特点,采取流通股非流通股市场价值分别计算的方法；公司的债务面值为公司财务年报中总负债面值；我们假定违约距离的计算时间为一年,无风险利率使用中国人民银行公布的一年期定期整存整取的存款利率（4.14%）;违约点的计算为公司长期负债的一半加上短期负债。由公式1.1-1.4得出表1、表2所选上市公司相关计算数据如下：

上市公司的违约距离DD采用公式(5)进行计算。利用(5)式得到2007年样本公司的违约距离结果如下:

表1 所选上市公司07年违约距离计算结果

表1原始数据来源于大智慧股票分析软件实时行情

对上市公司整体信用风险识别能力的t检验，对非ST公司和ST公司的违约距离的均值进行t检验,得到结果如下:

表2 违约距离(DD)均值差异检验

上述检验中自由度V=22,α=0.05,对应的t值为1.717,统计量的值落在拒绝域中,所以否定原假设,说明2005年～2007年期间,非ST公司和ST公司的违约距离差异在α=0.05显著性水平下是统计显著的,即非ST公司的违约距离在整体上是大于ST公司的,也就是说ST公司的违约概率要比非ST公司大,这也符合证券市场的现实情况。另外，还可以得出：公司的资产价值受公司的股票市值影响较大，而公司资产价值的波动性略低于公司股票价格的波动。因此, KMV模型在对上市公司信用风险的整体度量方面是比较适合的。

三、结语

随着经济发展，信用风险管理技术会不断的创新和改进，信用风险评估理论和技术也会随之完善。但是，不管什么样的风险管理体制和技术都不可能放之四海而皆准。我们必须根据我国的经济社会实际，建立或创建适用于我国特色的信用风险管理和评估理论，只有适用的工具和机制才能带来效益。我国信用风险管理和评估模型与发达国家差距较大，学习国外的先进模型，掌握其发展的特点和趋势，加以吸收和借鉴，并运用到我国信用风险管理和评估的实际，成为我国商业银行以及上市公司信用风险管理的必然之势。

参考文献:

[1]Michel Crouhy,Dan Galai,Rorbt Mark.“A Comparative Analysis of Current Credit Risk Models”[J].Journal of Banking&Financial，2000(24)：59～117

[2] Andreas Charitou,Lenos Trigeorgis.“Option-Based Prediction”.University of Cyprus Working Paper.Social Science Research Network Electronic Paper Collection.2000

[3]肖霞:基于KMV模型的我国上市公司信用风险实证研究[J],金融经济，2008年第2期