資產評估風險
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇資產評估風險范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
資產評估風險范文第1篇
隨著國家“十二五”規劃的提出,資產評估的發展也越來越受重視,由財政部印發的《中國資產評估行業發展規劃(2011―2015)》,給資產評估的發展提供了契機,使得資產評估執業范圍從傳統的資產類業務擴展到文化、林權、海島、玉石等相關特殊產業,并延伸到財政資金績效的評價、行政事業單位資產管理、稅基評估等業務領域。業務范圍的擴大,會給資產評估執業帶來相應的風險,這就必然要求對資產評估的法律責任進行細化,對資產評估風險進行分析,從而控制防范評估風險。
一、資產評估法律責任
資產評估法律責任是指資產評估機構或者資產評估人員在接受委托方委托之后,對評估標的進行估價過程中,因自身的過錯行為而導致委托方或者第三方利益受損而應承擔的法律后果。
1、資產評估法律責任的主體
在資產評估業務中,資產評估機構、資產評估人員、委托方或資產的占有方、評估的主管部門、評估行業協會以及評估報告使用人等都可能成為資產評估法律的主體。但涉及資產評估的相關法律、法規僅規定了評估機構或者資產評估人員的法律責任,而對評估各方應該承擔責任的程度和方式卻沒有明確。因此應該全面考慮其他主體的相關法律責任,使得資產評估的效果能夠更有效。
2、資產評估法律責任的形式
資產評估的法律責任依照傳統的法律責任劃分體系,有行政責任、民事責任和刑事責任三種。民事責任是指責任主體違反資產評估相關法律法規給他人利益帶來損害應該負擔的一種財產責任。行政責任是指責任主體違反資產評估相關法律法規給他人利益帶來損害應該負擔的包括警告、暫停執業、吊銷注冊資產評估師證書、禁入評估行業、撤銷資產評估機構資格等行政處罰。刑事責任主要是評估人員違反有關法律程序達到犯罪的程度,承受一定期限的徒刑。
二、鑒定資產評估法律責任應注意的問題
1、明確法律責任主體
在確定評估法律責任時,首先應該確定法律責任的主體。在評估之前,由委托方提供的資料的真實性、客觀性所造成,其法律責任應有委托方承當,屬于會計責任,而由評估機構出具的評估報告的公正客觀性造成的法律責任,應有評估機構及評估人員承擔,屬于評估責任。只有分清這兩個責任,才能在評估中做到最大可能的公正。
2、對評估的過錯進行層次分析
我國目前還沒有出臺資產評估法律,但是可以根據資產評估相關的法律及法規進行界定,其中可以通過重要性水平來區分一般過失和重大過失,如以總資產的0.5%-1%,權益的1%,收入的0.5%-1%等為標準。另外,指標的大小也可以根據資產評估的規模大小進行調整。而且評估人員的動機使得重大過失與欺騙難以區分。因此可以引入“推定欺詐”概念,欺詐和推定欺詐行為在法律上具有同等法律效力。在確定評估人員法律責任時,不但要區分重大過失和一般過失,還應當借鑒西方法律中“共同過失”和“比較過失”的概念。所謂“共同過失”,是指原告的過失不僅與自身有關,而且也與被告有關。所謂“比較過失”,是指根據各過失者犯有過失的程度,而分配其所應負擔的損失賠償額。這些概念對于合理確定法律責任都是有益的。
3、評估報告的使用對象
資產評估報告針對的是特定主體,對評估報告的適用范圍有所限制,因此不適用于特定主體之外的社會公眾。所以特定主體之外的其他報告使用者,如果是因為使用了評估報告而產生了經濟損失,則評估機構或者評估人員不應該承擔以此造成的法律責任。
4、資產評估的法律責任的免除。
資產評估過程中如果有符合以下條件的可以進行免除其責任。第一,由利益受害者自身的原因所造成的過錯,例如委托人自身未指示清楚或不遵循評估報告使用注意事項,而使其自身的利益受到損害;第二,評估人員執行業務時,被評估單位不予配合評估工作,而評估機構又不能拒絕該資產評估業務,最終致使評估機構或者評估人員不能按期按質完成評估業務所造成的損失;第三,受到政府或其他有關部門進行的非正當的行政干預,而評估機構或評估人員又沒有辦法消除此項干預,從而導致發生要承擔法律責任的事項。
三、資產評估風險分析
資產評估風險是指資產評估機構或者資產評估人員對資產進行評估時,因主觀或客觀原因使得評估標的價值偏離客觀值,給相關利益方造成的經濟損失,由此引起的被相關利益方進行法律訴訟的風險。
1、資產評估風險產生原因
從不同的角度去看,資產評估風險就有不同的表現形式。但究其原因可以歸納為以下幾個方面:
(1)法制不健全
資產評估行業在國外已有上百年的發展歷史,但是在我國起步比較晚,仍然算是一個新興的行業,因此其法律規范還不是很完善,至今沒有專門的資產評估法律來規范資產評估的行為,而其評估涉及的范圍又比較廣泛,所以容易造成多頭管理、條塊分割、各自為政、執業標準不統一的局面,從而造成評估市場的混亂。
(2)資產評估專業化要求高
資產評估對專業的要求比較高,但是我國高校資產評估專業發展較晚,碩士招生起始于2011年,因此,目前從業人員大多是其他相關專業畢業,專業化水平層次不一,所以在比較重大的項目或者對專業要求比較高時,評估人員有限的技術水平會對評估帶來極大的風險。
(3)資產評估人員不遵守職業道德
隨著市場的激烈的競爭,在有限的業務范圍內,為了搶占業務,使得一些評估人員為了提高效益,違反職業道德、違規操作、不顧評估質量、粗放評估、低價取費、迎合委托方等行為。
(4)評估機構自身缺陷
評估機構自身管理制度不完善,對評估質量及進度等缺乏有效的控制也會造成風險。
2、資產評估風險表現形式
資產評估涉及的范圍比較廣,因此它的風險表現形式多種多樣,根據不同的劃分方式具體有不同的分類。
(1)外部風險和內部風險
依據法律責任主體可以將資產評估風險分為外部與內部風險。如果其造成的風險是評估機構本身不能控制的,可能是由評估法律體制、委托方、評估行政管理體制等造成的風險,是外部風險。相反地,由于機構內部管理不善、評估人員的素質水平和自身專業水平等原因造成的風險歸為內部風險。
(2)立法風險,管理風險、執業風險和使用風險
隨著時間的推移會使當前相關的資產評估法律及其相關內容與實際不相符,這樣造成了立法風險;資產行政主管部門在履行其管理職能時帶來的風險為管理風險;由其評估人員的專業水平限制導致的風險為執業風險;資產評估委托方因為不正當的使用資產評估報告書及結果帶來的風險為使用風險。
四、風險控制對策
1、建立健全資產評估法律體系
目前資產評估還沒有專業的法律,判斷法律責任都是依據相關的法律法規,這就使得我國資產評估管理出現了條塊分割、多頭管理。因此,應加快資產評估立法工作,首先積極修訂《中華人民共和國資產評估法》草案,保障制定和實施《中華人民共和國資產評估法》,并將此作為資產評估全行業管理的法律規范,使得資產評估的管理更具權威性。
2、加強隊伍建設,加強宣傳,提高風險意識
資產評估機構應該注重企業長遠的發展,從企業長期利益的角度出發,防范資產評估風險。企業首先從員工入手,著手培養評估人員的職業素質,招收已經考取注冊資產評估師執業資格的人員上崗;同時加強項目團隊建設,培養一批業務骨干力量;定期開展專業業務培訓,加強評估人員的專業知識,并對評估人員的的工作進行指導監督,從而提高評估人員的職業素質修養。同時可以聘請資產評估業界專家作為機構顧問。設立資產評估顧問,有助于提高評估工作質量、防范評估風險。通過對評估工作人員的風險意識宣傳來加以控制。
3、加強資產評估機構職業規范和內部管理
資產評估機構應該統一職業規范,以出臺的資產評估準作為職業規范,對項目進行組織與管理、對資產評估人員執業進行規范。在實踐中, 資產評估機構嚴格按照資產評估準則進行執業,建立從開始受理評估業務、評估前期準備、具體業務評估過程、最后的評估報告以及后期的評估檔案管理階段在內的整個評估全過程的質量控制,每個階段都應該遵循資產評估準則,規定出進行評估時的必要工作,從而加強評估機構的內部管理,從而防范評估人員執業風險。
4、建立評估信息資源共享平臺
評估人員在進行評估時需要參考大量的資料信息,因此為防止因信息不對稱產生的風險,評估機構則應該建立評估信息資源共享平臺,使已有信息資源歸類整理,能夠最大限度地為評估人員所用,從而保障評估的工作質量和效率。
5、建立注冊資產評估師執業保險制度
注冊資產評估師投保職業責任保險,不僅可以防范注冊資產評估師的職業風險,而且也可以保障評估委托方的利益。
6、強化風險防范意識,注重誠實信用
企業的發展應該是樹立質量競爭意識,克服短期利益驅動,以質量求信譽,以信譽求發展。而誠信對于為社會中介服務的資產評估行業尤其重要。因此應該加強信用的意識來防范風險。
參考文獻:
[1]楊健.資產評估風險及其防范[J].商業經濟,2012(01)
[2]王香珠.論資產評估風險管理[J].現代商貿工業,2010(08)
[3]李明媛.資產評估風險防范的對策分析[J].現代經濟信息,2009
[4]賈寶和.試論我國資產評估風險的防范對策[J].金融與經濟,2007(10)
[5]江琴,黃麗娜.資產評估風險的規避[J].金融與經濟,2007(02)
[6]劉勇.資產評估的法律責任及風險控制[J].中國資產評估,2006(09)
[7]史新浩.資產評估風險及其防范[J].財會通訊,2006(12)
[9]程陽春.資產評估執業風險及其防范[J].湖北財經高等專科學校學報,2004(01)
資產評估風險范文第2篇
【關鍵詞】注冊資產評估師;責任;風險;防范
隨著市場經濟的發展,資產交易行為越來越頻繁,資產評估可以對資產的順利交易起到促進和保證,而注冊資產評估師是資產評估活動的主體,注冊資產評估師的工作能力和經驗對評估結果有一定的影響,作為委托方維權意識加強,注冊資產評估師責任風險也在不斷加劇,認識注冊資產評估師面臨責任與風險,有效識別風險,加強風險防范意識,保護注冊資產評估師的利益。
一、注冊資產評估師責任概述
1.注冊資產評估師責任的概念
資產評估是專業機構和人員按照國家法律、法規以及資產評估準則,根據特定目的,遵循評估原則,依照相關程序,選擇適當的價值類型,運用科學方法,對資產價值進行分析、估算并發表專業意見的行為和過程。資產評估成果不僅對資產評估業務有關當事人的利益具有直接影響,在一定情形下對其他第三人的利益也會產生重要影響,因此,資產評估機構和人員負有嚴格的責任。注冊資產評估師責任由專業責任和法律責任組成。專業責任是指評估人員違反行業有關專業規定和要求而承擔的責任,法律責任是資產評估人員違反法律、法規所必須承擔的責任。
2.各國注冊資產評估師責任借鑒
美國為了整頓不動產交易活動中的評估行為,維護聯邦金融秩序,聯邦政府頒布了《金融機構改革、復原和強制執行法令》。該法令是美國聯邦政府有關資產評估的最具代表性的法律文件。根據該法令,美國的各個州都制定了不動產評估師注冊方面的法律,一般都規定了注冊的管理部門、注冊條件、注冊程序、考試以及后續教育要求,違法行為等。因此,各州的不動產評估師注冊法與美國的其他相關法律一起,規定了不動產評估師的法律責任,包括行政責任和民事責任。
澳大利亞各州根據法律規定由州政府對評估師實行注冊管理。具體有行政處罰,民事和刑事處罰構成。其中行政處罰由公平交易局總干事以命令形式給予處罰。包括譴責或警告、一定期限內暫停執業、一定期限內取消注冊,之后經申請視情況可以恢復注冊。民事和刑事處罰,如果未按照該注冊而作為評估人員執業,或者為本人做廣告聲稱自己具備評估資格,最高處罰可達5個單位數額的罰款,或者判處6個月的監禁。
我國注冊資產評估師的執業責任可以分為專業責任和法律責任。專業責任是指評估師對其違反行業規范或職業道德的行為所承擔的責任。法律責任是指評估師對其違反法律法規的行為所承擔的責任。評估執業過程中因評估行為而引起的法律責任分為行政責任、民事責任和刑事責任三種形式。行政責任是指當事人因實施法律法規和規章禁止的行為所必須承擔的法律后果,行政責任適用于未構成犯罪的行政違法行為,體現了國家對社會經濟生活的行政干預,由國家行政機關進行行政處罰。民事責任是指民事主體違反合同或不履行其他義務而承擔的法律后果,其最大的特點是補償性,以此使受害人受到侵害的合法權益能夠得到恢復或補償,民事責任主要分為違反合同的民事責任和侵權的民事責任兩種類型。刑事責任是指當事人因實施法律禁止的行為所必須承擔的法律后果,也就是犯罪行為所要受到的刑事制裁,由司法機關依法追究刑事責任。
二、注冊資產評估師評估責任的風險類型
1.法律法規和準則規范不健全引起的風險
由于我國的法治化工作正在完善過程中,各種法律法規之間的協調、評估準則和規范的科學性也在完善過程中,由此,不可避免地會給評估帶來一定風險。例如之前資產評估師在現場踏勘階段,在整理評估資料時對資產權屬的關注上就有不同的認識,一種觀點認為評估師應對資產權屬負完全責任。另一種觀點則相反,認為資產是否屬于委托方所有以及委托方是否具有完全的處置權利,屬于委托方的事,由此而引起的后果屬于委托方的責任。評估師的責任就是運用科學的方法確定資產的價值。隨著準則規范不斷健全,這一問題也得到了確認,即注冊資產評估師在資產權屬上沒有鑒定的職能,也不必對其權屬鑒定負責,但是,評估師應該明確知道,評估對象的法律權屬對評估結論具有重要影響,應在評估過程中給予關注,并在評估報告中進行恰當披露。
2.專業能力有限引起的風險
由于評估對象的廣泛性、復雜性和專業性,評估師必須具備與評估對象相關的足夠的專業知識。如果不具備這方面的專業能力,應該向有關專家咨詢,或與其他評估師共同完成。評估機構承擔無力承擔的評估項目,導致評估結果失真,或對客戶產生誤導,由此而造成的損失,就會引起風險的發生。
3.違反職業道德造成的風險
評估機構或評估人員為謀求不正當利益,不遵循客觀公正原則,任由委托單位擺布,投其所好,無原則的高評或低評資產價值,一旦敗露,給有關當事人造成損失,評估機構和評估人員將要承擔經濟賠償責任,嚴重的會被追究法律責任。
4.評估人員工作馬虎引起的風險
如果評估人員在資產價值估算時工作不到位,缺少必要的工作環節或選取參數有誤,致使評估的資產價值扭曲,給有關各方面造成損失,風險就難以避免。
三、注冊資產評估師責任的風險防范
資產評估的風險是一種客觀存在,其得以產生的條件又大量存在,這使得資產評估必須把評估風險防范放在首位,牢固樹立風險意識。然而,評估風險只不過是一種可能性,它并非是一種必然性。防范的好,資產評估風險是完全可以避免的。防范資產評估風險可以采取如下對策:
1.加強資產評估法制建設,增強法制觀念
一方面是國家和行業主管部門應盡快出臺“資產評估法”,出臺和完善資產評估準則和資產評估業務指南,使資產評估事業的發展得到規范。另一方面,資產評估機構和評估人員必須依法辦事,嚴格按法定標準和法定程序進行資產評估。
2.提高評估人員的執業水平,做好后續教育工作
評估人員業務水平的高低直接關系著評估風險發生的可能性的大小,同時也反映出評估人員風險意識的強弱。評估人員要提供高質量的專業服務,必須具備較強的業務能力和高水平的職業判斷能力。要不斷接受后續教育,更新和提高專業知識和專業技能,熟悉并掌握現行各種相關的法律法規及專業準則,不斷提高執業能力。
3.加強職業道德修養
每個專業評估人員都必須加強職業道德修養,遵守職業道德。對于不講道德的行為,資產評估機構內部必須嚴肅處理,絕對不能只顧眼前蠅頭小利,而姑息養奸、釀成大患。
4.資產評估機構要加強自我建設,努力使資產評估過程規范化
資產評估機構必須健全各種制度、規范各種評估操作,從簽訂資產評估業務約定書開始,諸如制定評估計劃、編制工作底稿、進行現場勘查、評估報告撰寫、評估檔案管理等都有制度都有規范。
資產評估風險范文第3篇
在會計工作中我們發現,無形資產評估由于存在大量復雜的不確定因素,導致了評估風險的存在。實際操作應如何減少風險做以下淺析。
無形資產評估的風險及控制。因我國計劃經濟時代所有制形式單一,幾乎不存在產權轉讓就沒有確認無形資產的經濟環境。改革開放以后,我國建立了市場經濟體制,開始走上了與世界經濟接軌之路,要素市場逐步形成與發展,并培育出企業產權變動的土壤。現代企業可以被認為是消耗有形資產,形成無形資產的經濟組織。無形資產的資本化要求越來越突出,其資本化途徑是股權化和證券化,而這兩者都需要定性和定量的確定其價值,這就需要進行評估。評估風險。
一是用重置成本法。用重置成本法評估無形資產的公式為:評估價值=無形資產的重置成本×成新率。
二是用市價法。市價法評估的風險在于無形資產產權交易市場不完善,不成熟,信息匱乏,交易案例很難找到。絕大多數無形資產具有壟斷性,在市場上難以找到相同或近似的評估參照物。無形資產的非標準性,使我們很難確定不同商標、不同商譽、不同專利、不同專有技術條件下的價格差異。
三是用收益法。即使被公認為最適合無形資產評估的收益法也由于其方法本身的技術要求而存在風險。
評估風險的控制。各種無形資產的評估方法都存在風險,在進行評估時,首先要注意方法的選擇。對于資產特性比較簡單,以成本攤銷為評估目的,側重現實可用程度的無形資產的評估,可用成本法或市場法。對于資產特性比較復雜,以轉讓、投資為目的,強調資產未來使用效果的無形資產,可采用收益法。
資產評估風險范文第4篇
【關鍵詞】 資產評估;信貸風險;風險防范。
一、商業銀行信貸風險內涵
信貸風險指信貸資產在未來損失的可能性。具體而言,信貸風險是指由于各種因素發生變化而對商業銀行信貸資產帶來的負面影響,導致銀行信貸資產或收益發生損失并最終引起信貸資產價值甚至銀行整體價值下降的可能性。如利率、匯率價格的波動,以及由債務人財務狀況惡化而導致違約的可能性等,都會給銀行信貸資產的價值和收益帶來風險。
二、商業銀行信貸風險的成因分析
(一)體制性因素
長期以來,國有商業銀行承擔了大量的財政職能,使信貸資金有借有還的有償使用變成了財政性資金的直接分配。財政通過透支和借貸直接將信貸資金用于財政支出或國家各類專項貸款,這類貸款中相當大一部分事實上難以收回,形成了不良貸款,加大了銀行信用風險。由于國有企業改革尚未完成,銀行現在不但要承擔龐大的存量呆賬,要繼續為那些管理不善,市場競爭力不強等扭虧無望的企業注入資金,導致新的潛在的不良資產產生。
(二)借款企業的因素
在我國還未建立健全的社會征信機制,商業銀行無法獲取企業信用信息,全面了解企業的情況,無法遏制惡意借款的發生。我國現有的會計、審計及法律事務所等中介機構,運作不規范,許多中介機構為了攬業務,協助企業作假賬,向銀行提供虛假財務報表,騙取銀行信用。
(三)內部控制制度不完善
1.內控機制不健全。我國的商業銀行沒有專門制定和執行內部控制制度的機構,內部控制制度大多數是由各職能部門制定并貫徹執行,缺乏整體性和協調性。
2.基層機構內控制度的貫徹落實不到位。我國商業銀行貸款程序存在著反向操作等現象。企業或個人申請貸款時,不是向信貸部門提出申請,由信貸員進行信用分析,層層審查上報,最終由審貸委員會批準發放貸款,而是由主管領導向下指派,經辦人員按領導指示進行辦理。
3.缺乏有效的監督評價與糾正機制。內部控制必須受到監督,通過連續的監督、評價來實現內控機制運行的有效性。然而,我國的內部審計權限受到制約,沒有獨立性和權威性,審計中發現的問題及提出的改進建議得不到有效解決和執行。
三、資產評估在信用風險防范中的作用
(一)資產評估在抵押貸款中的風險防范作用
在我國,商業銀行在辦理抵押貸款時,一般確定的最高抵押率為抵押物評估值的70%,其余的30%是金融機構對借款人到期不履行債務、實現抵押權所預計的風險含量。抵押率是抵押物現值扣除其在抵押期內的自然性損耗、經濟性貶值以及處置費用后與其現值的比率。按抵押率計算,抵押物的價值不足以承擔貸款擔保的,應另行提供其他擔保。
商業銀行為了防范抵押風險,首先對抵押物的評估價格確定一個抵押率或折扣率;其次在評估值中扣除了所預計的(包括違約賠償、抵押物預期貶值、處置費用等在內的)全部風險值;最后將抵押物當期的正常價格調整成了抵押價格。由此可見,抵押貸款的風險主要來自評估值及抵押率。
(二)資產評估在不良資產處置中的風險防范作用
在現實當中,應定期對抵押物及企業資產狀況進行跟蹤調查是防范存量風險的主要措施。定期對抵押物及企業資產狀況進行跟蹤調查需要資產評估的介入,資產評估依據其專業信息及技術為抵押物及不良資產狀況進行定量分析,為防范存量風險提供了價值參考。
在我國,對抵債資產的收取時,需以法院終審裁決書及有資質的資產評估機構出具的評估報告書為依據。為防止不良資產風險繼續惡化,應及時通過各種途徑并借助資產評估對其進行處置,在無法對其處置的情況下,應定期對其進行估值,提取風險保證金,防止銀行整體風險的惡化。資產評估對防范、控制信貸風險具有積極的作用,資產評估是一個新興的事物,發展還不成熟,隨著資產評估的不斷完善和發展,其在信貸風險防范的作用將逐漸地突出出來。
參考文獻
資產評估風險范文第5篇
1基于信息資產的風險評估方法
1.1風險評估的關鍵要素本文所述的風險評估以信息資產為核心,評估信息資產的價值及其所具有的脆弱性和所面臨的威脅,并得出信息資產的風險。基于信息資產的風險評估的關鍵要素主要包括信息資產、資產價值、資產脆弱性(即資產弱點)及威脅。風險評估關鍵要素間的關系如圖1所示。
1.2風險評估流程風險評估流程如圖2所示。
1.2.1識別并評價信息資產(1)識別信息資產識別信息資產就是要對所有的信息資產進行梳理與識別,編制資產清單。資產清單主要包括以下要素:資產基本信息:資產編號、資產名稱、資產功能和用途簡述等;資產類別:資產歸類是將信息資產在特定條件下歸并為一組,以便于進行風險識別、評估及管理工作;資產所有者:確定信息資產所有人員或單位;資產保管者:確定信息資產管理權責人員;資產使用者:確定信息資產的使用人;資產保密性:確定信息資產在保密性方面的等級;資產完整性:確定信息資產在完整性方面的等級;資產可用性:確定信息資產在可用性方面的等級;資產價值:根據信息資產保密性、完整性、可用性的等級,取最大值作為資產價值。經過筆者實際評估后認為,識別信息資產的關鍵在于資產的分類,合理的資產分類將大大降低風險評估的工作量。資產大類可以分為信息系統類、人員類、物理環境類、外部服務類、數據類、無形資產類。以信息系統類為例,信息系統下可以繼續分為主機型、終端型、軟件型三個二級分類。在主機下還可以繼續劃分為12個三級分類。(2)評價信息資產對信息資產的評分需考慮信息資產三個要素:保密性、完整性和可用性。依據特定資產評價標準對資產進行評分,并取保密性、完整性與可用性分數的最大值,作為該項信息資產的最終價值。為資產價值設定一個標準值,超過標準值的資產才能進行下一步風險評估。
1.2.2識別并評估威脅(1)威脅分類根據威脅的來源,將威脅分為人員威脅、技術威脅、環境威脅三大威脅,并據此羅列出細化分類的常見威脅。(2)威脅與弱點匹配根據列舉的安全威脅,對企業面臨的信息安全弱點進行劃分,評估出每項威脅可能面臨的弱點。(3)評價威脅與弱點針對識別的威脅、弱點依次評估其發生機率及事件影響程度,計算出風險值,并在評分的過程中考慮現有控制措施。a.威脅可能性評分標準根據威脅在一定時期內發生的頻率,設定威脅發生的可能性。b.影響程度評分標準信息資產的弱點被威脅利用,影響程度的評分標準見表1。
1.2.3風險值計算及風險分級(1)風險值計算風險值的最終確定需綜合考慮三個方面,包括資產價值、風險發生的可能性以及風險發生的影響程度。通過識別和評估資產價值,并評估風險發生的可能性和風險發生的影響程度,綜合計算出風險值,風險計算公式如下:風險值=信息資產價值×風險發生可能性×風險影響程度評估后將形成如下的風險矩陣,見圖3。(2)風險分級依據風險評估結果撰寫信息安全風險評估報告,提出可接受的風險等級建議,提交領導層審核并決定可接受的風險等級。
1.2.險評價在風險值確定后,依據風險值大小進行風險處置優先級排序。應制定風險接受水平,等于及高于風險接受水平的風險為高風險。制定風險接受水平時,企業應考慮當年風險處置資源投入成本。對于以下風險,應納入高風險進行處理:可能導致企業違反國家法律法規、行業規章制度及其他合規標準;可能導致企業品牌、聲譽和社會責任的損害;管理層評估為高風險的其他風險項。應以風險評分結果為基礎,通過多個角度對企業面臨的風險狀況進行分析:重要信息資產的分布情況;高風險主要分布的信息資產類別;高風險主要面臨的威脅和弱點。從多角度分析目前企業面臨的風險現狀,有利于企業把握風險管控的重點,為風險處置做出指引。
1.2.5風險處置風險評估完成后,需要制定風險處置計劃,執行風險處置,最后要對處置后的情況進行風險再評估。(1)風險處置計劃在企業管理層確定企業的風險接受水平后即可對等于、高于風險接受水平的高風險制定處置計劃,確定處置方式。風險項的處置方式包括:依據企業管理層確定的風險接受水平,有意識地接受該接受水平之下的較低風險,暫不采取處置措施;采用適宜的控制措施減緩風險,盡可能合理減緩風險至企業的風險接受水平之下;廢棄導致風險的信息資產而避免風險;將風險轉嫁給第三方,如保險公司或供應商。計劃的控制措施應考慮國家的法律法規要求、企業的運營目標、行業監管要求以及風險控制的成本與效益。(2)風險處置執行企業應組織風險的相關責任單位落實風險控制措施,在規定期限內完成風險處置項。(3)風險處置再評估在風險控制措施完成后,企業應對風險項(不包括風險接受水平以下的較低風險)進行二次評估。經過二次評估仍評價為高風險的風險項,應作為殘余風險。對于屬于以下情況的殘余風險應提交管理層批準接受:該風險目前不在企業控制范圍內;該風險在目前技術手段下無法有效控制;該風險處置的資源投入高于風險所造成的影響損失。
2風險評估方法的工具實現
風險評估是一項涉及環節眾多的復雜工作,需要投入較多的專業人員開展具體工作。為了減輕工作量,提高工作效率,筆者所在單位專門設計開發了一套風險評估的工具平臺,并在企業內部得到了應用。
2.1功能模塊工具平臺設計了以下功能模塊,截圖見圖5。風險計劃控制:對風險評估的時間計劃進行控制,以便在規定的計劃內完成風險評估。信息資產管理:對信息資產進行識別和評價。威脅弱點管理:對信息資產所面臨的威脅和弱點進行識別管理。風險評估:根據資產價值、威脅、弱點等進行風險評估。風險處置:根據風險評估結果生成風險處置計劃,并落實責任單位與責任人,跟蹤風險處置情況。風險報告:根據歷年來的風險評估的情況,形成統計報告,跟蹤風險發生的趨勢和控制措施的改進情況。權限管理:對訪問該風險評估工具的用戶權限進行配置。
2.2系統架構該工具實現基于B/S方式,用戶可以通過瀏覽器訪問該工具平臺。在實現架構上,與傳統WEB應用類似,分為三層:WEB服務層:采用ApacheHttpServer實現,用于展示靜態頁面,并將動態請求轉發至后臺應用處理;核心應用層:采用Tomcat應用服務器實現,用于處理增刪改等動態請求;數據庫層:采用Mysql數據庫實現,用于存儲信息資產清單、威脅庫、弱點庫以及風險評估結果等。
