資產風險評估范文

時間:2023-06-27 18:01:17

導語:如何才能寫好一篇資產風險評估,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公文云整理的十篇范文,供你借鑒。

資產風險評估

篇1

【關鍵詞】高職院 固定資產 風險評估 控制活動

高職院固定資產有著舉足輕重的重要作用,是教學和科研的基礎,價值一般占到總資產的一半以上。因此,管理好高職院固定資產,既關系社會民生,又涉及預防腐敗,我國亟需建立和完善高職院固定資產內部控制,提高固定資產管理內部管理水平,防范內部風險,確保各項行政活動順利開展。由于固定資產內部控制涉及問題比較廣泛,本文以固定資產內部控制最為重要的風險評估與控制活動為研究對象,結合內部控制相關理論,分析固定資產風險評估和控制活動存在的問題,有針對性的提出改善方案。

一、固定資產內部控制問題

(一)風險評估方面主要問題是機制不健全,缺乏專門的風險管理機構,更沒有設置相關的風險管理崗位。當上級主管部門有要求進行風險管理相關工作時,則由監(jiān)察審計部門暫時執(zhí)行該項工作,但是由于實際執(zhí)行有難度,再加上風險意識不夠,普遍認為這個工作比較虛,各單位部門普遍應付一下。

(二)控制活動方面存在的問題較多,一是采購不夠嚴謹,零星采購數額巨大,程序過于簡單;二是驗收力度不夠,缺乏專業(yè)人才,招標價格與驗收價格有差異,入賬價格不時高于合同價格;三是固定資產處置、維護和處置環(huán)節(jié)還存在弊端。

二、固定資產內部控制設計

(一)加強固定資產管理風險控制,組建風險管理委員會。高職院應增設一個專門的風險管理委員會,全權負責構建高職院風險管理框架,組織并實施全面風險管理,由學院黨委直接領導。委員會的成員由財務處、監(jiān)察審計處、后勤處等部門人員構成。

風險管理委員會的主要職責是在全院形成風險管理文化氛圍,提高全院教職員工風險管理意識,識別學院重要業(yè)務相關風險,分析并制定風險應對措施,編制風險管理報告和測評報告向學院領導匯報。固定資產管理相關的風險評估如下:

(二)加強固定資產管理控制活動

1.為優(yōu)化零星采購,可以逐步建立一個資源庫,對于各類固定資產都尋找一些適合的供應商,錄入資源庫,在需要采購的時候,從資源庫調出適合的供應商,再由電腦或不相關人員隨機抽取供應商,這樣供應商也搞不清能否抽中,也不需要想方設法中標。

2.高職院應加大驗收相關規(guī)定執(zhí)行力度,嚴格按照規(guī)章制度進行驗收。特別是對于價值量大,質量要求高的固定資產,必須在專業(yè)人才到場的情形下才能開展驗收工作。驗收人員必須增強責任心,認真核對資產信息,檢查資產運作情況,對合同金額、發(fā)票金額、驗收價格要核對一致,如確實發(fā)現不一致的情況,應該拒絕驗收。

3.高職院固定資產種類多如牛毛,存放地點極其分散,管理工作較繁雜,存在資產流失的風險。資產管理科負責編制固定資產明細表,注明每一項資產的責任人和存放點,由使用人負責資產的日常管理,在領用或購買資產時,由資產管理科在資產使用帳上登記,離職或變更崗位時,必須交回資產并辦理相關手續(xù),向資產管理科報告登記,務必將每一項資產責任到人。明確資產使用人有利于分清責任,落實責任,為日后固定資產清查做好鋪墊。

資產使用人因各種原因離崗時,應當辦理固定資產交接手續(xù),清點資產、核對賬目,確保資產賬、卡、物相符,交接時部門負責人須在當場監(jiān)督。

高職院應要求資產管理科負責建立并管理所有固定資產文檔,固定資產購入時即將其合同、保修卡等資料統一歸檔管理,以便日后順利開展維修、轉讓等工作,使用部門則保存相關資料復印件方便使用,避免固定資產因使用人員多且經常調換丟失資料。

4.在維修保養(yǎng)方面,高職院應定期保養(yǎng)設備,以防范為主,適時保養(yǎng)。保養(yǎng)一旦發(fā)現問題,立即上報,對資產進行維修。對精密貴重的設備,要制定專人進行管理和維護,應對使用人進行專業(yè)培訓,定期檢測、校驗,確保精度和性能良好。對房屋等建筑物,資產管理科也要定期檢查,及時提出鑒定、拆除和修繕意見。對一般的教學等機器設備,有專人專用的,使用人負責維修保養(yǎng),共同使用的由資產管理科負責維修保養(yǎng)。對大型的專用設備,由實訓室與現教管理中心或委托專業(yè)機構定期檢查維護。

資產管理科還應建立相關的維修保養(yǎng)檔案,登記固定資產的維修保養(yǎng)情況,定期對維修費用進行分析統計,如核算維修頻率、維修計劃完成率等,既能反映出所購固定資產的質量,為下一次的固定資產采購提供參考信息,又能為制定固定資產的維修保養(yǎng)計劃提供科學依據,還能監(jiān)督維修保養(yǎng)實施情況。

5.固定資產清查方面,高職院應建立適合的固定資產清查制度,明確資產清查頻率、任務分工和具體的程序。

在清查頻率方面,應堅持全面清查和分批清查相結合的原則。由于學院固定資產數量龐大,全面清查費時費力,如果難以一年完成一次全面清查,那么可以每兩年一次,制定相應的分批清查計劃,每年清查一部分部門單位,及早發(fā)現資產管理相關問題,及時鞏固資產清查的結果。

高職院應成立資產清查工作領導小組,由學院領導任組長,指導并督辦清查事項,清查工作領導小組辦公室可以掛靠資產管理科,由資產管理科具體組織實施資產清查工作,組織各部門單位自查,將自查結果報告資產管理科。資產管理科再組織一到兩個復查小組,到部分關鍵部門單位復查,重點復查金額重大、有物無帳、有帳無物等特殊情況,最后匯總清查情況,如實向資產清查工作領導小組報告。

篇2

關鍵詞:資產評估;風險管理;對策

中圖分類號:F123.7 文獻標識碼:A 文章編號:1001-828X(2014)03-0-01

一、資產評估風險

資產評估風險就是評估人員因為主客觀原因在資產評估時對資產的價值區(qū)間和它的實際價值沒有進行科學評估,由此產生較大的偏離。外部風險、內部風險是形成資產評估風險的兩個主要方面。風險識別、風險預測、風險評價等風險管理流程是資產評估的基本要素,用不同的方式來控制資產評估活動中的風險,并把資產評估風險控制在可接受范圍,這就是資產評估風險管理。評估機構在開展業(yè)務的時候會認真識別可能遇到的各種風險因素,以便于評估者能夠認識到資產評估所處的風險環(huán)境。評估者的專業(yè)判斷能力是風險預測和評價的主要影響因素。

二、資產評估風險的產生的原因

(一)主觀性的評估執(zhí)業(yè)造成的風險

進行評估業(yè)務的評估師是專家職業(yè),有著很濃厚的主觀判斷色彩。不過,要真正獨立而客觀地進行主觀評估對于評估師來說,這和評估的客觀要求是有一定的沖突的。要是我們對這個矛盾的認識不清楚,評估師的業(yè)務工作和評估機構就會出現管理風險。我們可以將資產評估看做是智力性的中介服務行業(yè)。評估師執(zhí)業(yè)既要符合國家的法律政策,又要遵循評估行業(yè)的評估準則,評估師的主觀判斷是相當重要的。每個評估師在對相同的資產進行評估的時候所得出的結論都是不盡相同的。評估師的評估判斷會受到他的專業(yè)知識、工作經歷、社會關鍵等因素的影響。評估師的個人喜好和情緒等心理調節(jié)也會對評估對象的專業(yè)判斷產生影響。

(二)獨立性的資產評估造成的風險

獨立性的資產評估要求不應該干擾評估報告的發(fā)表,資產評估的獨立性的影響因素并不是單一的。當前,評估機構和客戶間往往會因為委托收費制度而出現利益關系,評估師的獨立性就會受到這種利益關系的影響。從當前的體制來看,委托單位通過能夠決定評估機構的聘用和解聘,委托單位支付評估費用。因此處于較為弱勢地位的評估師和評估機構。評估師往往會根據客戶的喜好來發(fā)表評估意見,這種待遇利益目的的冬季使得評估機構經過會向客戶妥協,尤其是當評估機構覺得可以化解風險的時候。評估行業(yè)存在著激烈的競爭,這種競爭程度和資產評估失誤出現的懲罰程度都會使得評估師的公正立場受到影響。

(三)滯后的評估規(guī)則效力造成的風險

要想謹慎地進行資產評估就應該根據資產評估準則來嚴格實施,做到評估師的義務和責任的統一。不過因為社會在不斷地發(fā)展,評估準則的制定通常比較滯后,由此給資產評估師的工作帶來了一定的困難。因為當前的資產評估準則和社會發(fā)展要求并不總是同步,所以就算按照審計準則來進行評估,也不一定能做到盡善盡美,故而資產評估在卷入法律訴訟案件時其處境還是比較被動的。原因在于法院的判案經常會根據當下的社會發(fā)展要求來決定,而資產評估準則又之后與社會的發(fā)展,風險也就由此產生。

三、資產評估風險的管理對策

(一)科學構建資產評估準則體系

當前,由于資產評估行業(yè)還缺乏完善的資產評估準則體系,使得評估工作沒有同意的規(guī)范作為依據。因此,我們應該多學習和借鑒國外評估行業(yè)的好的評估方法和理論,并根據我國的實際情況來制定適應的資產評估準則體系。在這個體系制定中,應該考慮到四個方面:技術、職業(yè)道德、質量控制、繼續(xù)教育。全面規(guī)范評估機構和評估師的行業(yè)行為。資產評估準則體系的建立要具有實用性和科學性,要符合經濟發(fā)展的要求。另外,還應該考慮到靈活性、普遍性、穩(wěn)定性、針對性,這個體系不但要能夠對整個評估活動適用,還能夠具體解決某個方面的問題,幫助評估師在準則范圍內科學進行專業(yè)判斷,讓他們盡量少受主觀評估的影響。

(二)增強資產評估獨立性

資產評估的獨立性主要受兩方面因素的影響:一是利用關系方的誘惑程度,二是評估機構因缺乏獨立性而受到的懲罰程度。因而可以通過建立資產評估協會來加強資產評估的獨立性,賦予其權威性,并做好行業(yè)監(jiān)督。評估機構和客戶的利益關系因為檔期的委托收費制度而超過了評估機構和資產評估方的關系。評估協會要改變這種不平衡的三方關系,首先就要對當前的委托收費制度進行改變,構建資產評估需求方、資產評估委托人共同付費聘用評估機構的新機制。另外,要進一步監(jiān)督低價攬客行為,抵制消極競爭。對于那些違反規(guī)定的評估機構,評估協會應該加大懲罰力度,以此來避免對資產獨立性的損害。

(三)加強評估人員整體綜合素質教育

評估結果的質量會都到評估師的綜合素質的影響。要提高評估師的綜合素質就應該采取切實可行的措施。具體來說,一是要規(guī)范評估師的執(zhí)業(yè)行為。建立更為科學而規(guī)范的技術準則,提高評估結果的質量,且要對評估師灌輸執(zhí)業(yè)風險意識和質量意識。評估師不應該接受超出自己能力范圍的項目,不能不經過實地勘察和分析就給出項目評估報告。要認真根據評估準則來評估具體項目,評估報告撰寫需仔細,對風險進行有效規(guī)避。二是要對評估師進行道德素質教育,通過職業(yè)道德教育宣傳來規(guī)范資產評估師的職業(yè)道德行為,制定相關的法律法規(guī),對違法犯罪行為要進行嚴格的處罰。三是加強繼續(xù)教育。要想提高評估師的整體水平,就應該構建科學的資產評估職業(yè)教育培訓機制,用科學有效的培訓方案來加強評估師的繼續(xù)教育,并將之法律化和制度化。繼續(xù)教育應該要有系統性和科學性,讓評估師能夠長期接受良好的教育,從而提高資產評估結果的質量。

四、結語

我國的資產評估工作發(fā)展較晚,風險管理經驗還不成熟。相關的資產評估法律法規(guī)建設也比較滯后。當前,我國還沒有完善的資產評估準則和資產評估師法律。評估風險因為法律環(huán)境的不完善而增大了。所以,評估機構和評估師要特別注意增強風險防范意識,有效地規(guī)避風險管理可降低風險發(fā)生的概率和程度。所以,評估機構建立執(zhí)業(yè)風險保障制度是評估機構抵御風險,保障其可持續(xù)發(fā)展的有效方式。

參考文獻:

[1]譚,尉京紅.資產評估行業(yè)發(fā)展及展望[J].集團經濟研究,2007(01).

篇3

一、宏觀層面

1.政治政策風險。也就是投資目標地政局是否穩(wěn)定,或者政府會不會出臺某些政策對所投資的標的產生負面影響。

2.經濟風險。經濟環(huán)境是否穩(wěn)定,各主要經濟指標是否在合理范圍(金融指標尤其重要),經濟發(fā)展趨勢怎樣。股市、樓市泡沫等因素都要列入考慮范圍,這對今后的投資成功與否非常重要。

3.文化風險。這一風險主要是針對全球范圍內的投資,要充分考慮所投資項目是否與當地文化有沖突,是否符合當今世界的發(fā)展趨勢。在當前環(huán)境下,投資那些環(huán)保,新能源,高新技術之類的項目經濟風險就要小很多。

二、微觀層面

在分析這一層面時要考慮的因素非常多,并且也非常復雜,一般需要大量的財務,金融,營銷方面的知識。我現在拿投資寶潔公司為例。首先要分析公司五年來連續(xù)的財務報表,熟悉公司的資產負債率,每股回報率,利潤增長率等一系指標,注意公司近期是否有大的資本運作,如兼并,拆分股票等。熟悉公司目標市場的容量,增長情況,消費者信息,競爭對手的動作等等。只有做到對某一公司的運營狀況非常了解,才能保證有效的投資回報率,否則就會心里沒底,導致接二連三的失敗。

三、個人風險

個人風險主要是個人在進行投資活動時對投資結果的反應程度風險。每個人都應當明白,投資是一項高風險的運作,所以一定要有淡定的心態(tài)和良好的心理素質,做到勝不驕敗不餒,并且千萬不要用老本進行投資,更不能借貸投資。否則一次失敗的投資可能導致高危的個人風險,血本無歸,輕生,甚至家破人亡。通過風險識別,充分揭示了企業(yè)所面臨的各種風險和風險因素,通過風險估計,確定了風險發(fā)生的概率和損失的嚴重程度。然而,要確定是否采取控制措施,采取什么樣的控制措施,控制措施采取到什么程度,采取控制措施后,原來的風險因素發(fā)生了什么變化,是否產生了新的風險和新的風險因素?這些都需要通過風險評價加以解決。風險評價是選擇風險管理技術的基礎,根據風險評價的結果采取措施對風險進行管理。風險評價的意義可以總結為幾點:

1風險評價對于減少風險事故的發(fā)生,特別是防止重大事故的發(fā)生,具有非常重要的作用。

2風險評價可以確定控制措施采取的程度。因為任何一項風險控制都必須付出一定的經濟代價,而且隨著風險程度的減少,所付出的代價就越大。因此,從經濟性角度考慮,就應該合理的控制風險程度,通過風險評價,可以確定控制措施采取到什么程度

3風險評價也是保險公司進行承保過程的一個重要環(huán)節(jié)。通過對投保標的進行風險評價,才能確定是否承保,并根據評價結果確定保險費率。風險評價也是保險人對保戶提供風險管理服務的主要內容。安全指標是通過對大量損失資料的分析,承認損失事故的發(fā)生是不可完全避免的前提下,從當前的科學技術水平、社會經濟情況以及人們的心理等因素出發(fā),確定一個整個社會都能接受的最低風險界限,作為衡量企業(yè)風險嚴重程度的標準。

在當今世界,風險投資的影響越來越大,尤其是在高新技術產業(yè)化的進程中,風險投資扮演了一個重要的角色。它能促進高新技術產業(yè)的發(fā)展,推動技術創(chuàng)新??傮w上看,我國的風險投資業(yè)無論是從規(guī)模、發(fā)展速度,還是從質量上與發(fā)達國家都有相當大的差距。風險投資業(yè)的市場化機制尚未建立,發(fā)展的外部環(huán)境不完善,也對風險投資的實踐造成了巨大的障礙。即便如此,風險投資業(yè)的驕人成績仍吸引著越來越多的高科技技術企業(yè)。但要從眾多的高技術企業(yè)中挑選增長潛力高、風險適中的企業(yè)進行投資,就需要憑借有效的評價方法來進行篩選,尤其是對項目投資的風險進行評價。風險項目投資具有高風險、高收益的特點,科學、準確的評價方法對項目投資至關重要。傳統的評價方法主觀因素太強,而人工神經網絡模型克服了傳統項目評價依賴專家經驗的弊端,為項目投資風險評價開辟了新途徑。

篇4

摘 要 無形資產評估因為存在著許多復雜的不確定因素,致使評估風險的產生。本文主要論述了無形資產評估的三種方法,探討其評估過程中所產生的種種風險,并就應如何從根源上減少風險提出建設性意見。

關鍵詞 無形資產評估 風險 控制

無形資產指的是企業(yè)所擁有的或者是在其控制下的、非實物形態(tài)的可辨認非貨幣性資產。無形資產評估風險的存在是因為在其評估過程中存在著許多復雜的不定性因素,這些因素是導致無形資產評估風險存在的主因。本文主要論述了三種常用評估方法中存在的風險,并就應如何處理和控制提出建設性的意見。

1.三種評估方法中存在的風險

1.1市價法

無形資產產權交易市場存在漏洞是采用市價法評估無形資產時所存在的風險。產權交易市場并不成熟,而且缺乏必要的信息,很難找得到相關的交易案例;無形資產的非標準性,導致我們難以確定近似有形資產采用市場法評估時參照的調整差異事項;絕大部分的無形資產都具有壟斷性,在產權交易市場上幾乎找不到一樣的或者是相似的評估參照物。難以想象,不一樣的專有技術、不一樣的專利,不一樣的企業(yè)商譽、不一樣的商標要怎樣去調整它們之間的價格差距[1]。

1.2收益法

(1)收益的預測。無形資產的收益是一種超額收益,它只有依附在一定間接的或者直接的物質載體上才能體現出其價值。這種超額的收益指的主要是:無形資產的存在使得與企業(yè)有關的產品的產量增加、產品價格的升高或者是銷量的增加,又或者是兩種情況都有;無形資產的存在使得企業(yè)的生產成本與經營成本下降,產生了生產與經營用度的節(jié)約額。對無形資產未來收益的預測準確與否,與無形資產價值的評估直接相關,而收益被許多不定性的因素所影響,致使收益的實現具有非常的風險性。因為評估師一般都是借助歷史的數據去估算將來的,若是缺少必要的經營信息、缺少相關的歷史數據,無論是預測還是推算都缺少了有說服力的根據。比方說,當前盈利很低或者是沒有盈利,這就說明沒有辦法依據目前的盈利情況去預測將來的盈利水準。

(2)評估范圍的確定。資產評估范圍在決定評估專業(yè)人士的工作范圍的同時也直接測算評估結論是不是成立。在有形資產的評估中,評估范圍比較容易被界定,但是無形資產的評估范圍卻是難以界定。這其中的原因主要是很難在時間上對技術資產的經濟壽命進行精準的測定。專家對現行的協議年限或者是法定年限的測定,事實上忽視了無形資產的可持續(xù)利用性。因為對以一種新的技術形態(tài)存在的無形資產來講,它的經濟壽命是可隨著技術開發(fā)的深度加深而不斷延長的。因此,人們通常在界定無形資產的評估范圍的時候結合有形資產。但是有形資產會因為投入規(guī)模的大小而產生變化,導致很難界定“評估范圍。

(3)收益期的確定。無形資產收益期的確定,不但要考慮它的經濟壽命,還要考慮法律合同壽命。人們往往以協議的或者法定的有效年限作為根據。但無形資產的經濟壽命,也就是它的收益期受到使用頻率及技術進步的影響。比如假定一項技術型無形資產協議的有效年限是十年,但事實上五年后就可以實現技術更新,這時候新的、更適用的、更先進的或者是效益更高的技術資產出現,而原本的技術即便繼續(xù)受到法律的保護,但是卻不再具先有進性,也不能再為所有者帶來可觀的利潤。有些無形資產具備可持續(xù)利用性,像有的技術性無形資產,其收益期隨著它的開發(fā)、升級可得到延伸。無形資產還具有獨占性,若一項無形資產被所有者獨占時,能夠比較明確的知道收益,但隨著技術被廣泛的傳播,成本、價格方面的獨占優(yōu)勢就會逐步喪失,收益期也會相對的縮短。

1.3重置成本法

(1)難以確定成新率。固定資產的使用在正常情況下,在大部分時間內他們的損耗都是均勻的,還有對應的方法與技術標準對其進行新舊程度測定,成新率可以比較客觀的被確定。但如固定資產般的有形損耗并不存在于無形資產中,所以無形資產的成新率只能它的使用時間和效用來猜測。在這里無形資產往往會呈現出一種非線性關系。某些無形資產在特定的時間里是呈非線性遞增的,像商譽、商標等;而某些無形資產則是呈非線性遞減,如技術型無形資產就是。曾有專家建議用無形資產所依附產品的壽命周期來推算成新率,但產品壽命周期因種種原因而具有不確定,且許多無形資產在同一時間里和許多產品又有聯系,推算時并不具有可分性[2]。

(2)以歷史成本為根據進行調整所得到的重置成本是不精準且是存在風險的。這是因為無形資產歷史成本具有虛擬性、不完整性與弱相對性。無形資產形成的時間一般都比較長,而且過程很復雜,這就使得財務在對無形資產的核算上并沒有完整的資料可進行參照,也直接導致對其核算的不嚴格。再者,開發(fā)無形資產所耗費的資產和無形資產所形成的價值并沒有很直接的關系。某些無形資產的形成并不需要很多的資金投入就可以得到豐厚的收益;某些無形資產開發(fā)時耗費驚人,收益卻平平。

2.風險的控制

國內當前的經濟環(huán)境下,主要以收益法對無形資產進行評估。在采用收益法評估無形資產時,評估專家應做好下面幾點:(1)最好已經詳細了解了被評估資產的基本情況。這其中包括了公司的大概情況、公司的經營環(huán)境、與之有關的法律、無形資產的取得過程及其歷史沿革、與之有關的與無形資產相似的國內或者國際的最新情況等[3]。(2)確定無形資產的分成率。無形資產分成率的確定通常有三種方法:約當投資分成法、成本加權平均分析法、邊際分析法。在現實中的評估中,往往會有這樣一種情況,某一企業(yè)正常經營所不可或缺的條件是得到和運用某一無形資產,尤其是可以使得企業(yè)起死回生時更是典型。在此種狀況下假定采取的是邊際分析法,要得出無形資產收益期的追加利潤在總利潤中所占的比重,通常都會遇到下面的難點:認為在該無形資產的情況下該企業(yè)將會瀕臨倒閉,將生產利潤大部分或者是全都都歸在了超額利潤上,夸大了無形資產的超額利潤。因為無形資產與其他資產的作用很難分清,所以還是采取約當投資分成法比較適合。(3)要注意收集和分析數據資料。因為收益法是推測將來收益并且折現的方法,無形資產又有收益期、收益分成率、收益等預測的復雜性與不確定性,所以在評估的時候重視數據資料的來源及對其進行分析就顯得十分必要。必須要有條不紊、有步驟的進行數據資料的收集與整理工作,反反復復核對與之相關的全部資料,對于歷史資料的真實性要進行嚴格審查與核實,不能只依靠假定或者推測。模型的建立要在歷史財務報表的基礎上,并且要盡可能多的知道企業(yè)財務報表中稅務余會計的復雜性,防止資產被重復計算[4]。(4)預測盈利。盈利預測是收益法評估無形資產的核心部分,盈利預測的結果是否準確直接關系到評估結果。預測一定要建立在對被評估的無形資產收益狀況的充分了解的基礎上,要盡量去得到歷史的會計資料、了解主要成本項目的結構情況、變動狀況以及 主要收益來源等?;镜馁Y料要至少三期的歷史數據與五期以上的預測數據。預測完成以后,還要對與之相關的數據來源及其可靠性、預測模型的科學性與合理性以及盈利預測的基本假定等再進行核實。復核要對各項目的變動趨向有科學性的解釋,把謹慎性原則堅持到底。

無論是哪種評估方法都存在著一定的風險,評估專家在對無形資產進行評估時,應要注意選擇方法。通常來說,產特性較為復雜的、目的是投資或者轉讓的、著重資產將來的使用效果的一類無形資產,最好采取收益法進行評估;而資產特性較為簡單的,評估的目的是以成本推銷,并且側重于現實可用程度的無形資產,則最好采用市場法或者成本法。

參考文獻

[1]左治良.我國無形資產評估風險及防范.知識經濟.2009(17):48.

[2]成文.無形資產評估風險及防范.消費導刊.2010(7):103.

篇5

關鍵詞:資產評估;風險;對策;防范

中圖分類號:F123.7 文獻標識碼:A 文章編號:1006-8937(2016)32-0124-02

1 資產評估的界定

一般認為,資產評估風險指相關單位或個人因對評估目標的價值做出了不恰當的分析估算而遭受的損失。根據該定義,資產評估主要包含兩部分內容:外部風險和內部風險。

首先,外部風險,即外部因素的存在影響或阻礙資產評估師的正常評估過程而產生的風險。主要包括外部壓力風險、市場風險、客戶風險和制度風險等。

其次,內部風險即由于資產評估機構的內部因素所造成資產評估師對資產價值的錯誤或不當判斷而引起的風險。

內部風險主要包括兩種類型,一是由于資產評估師的專業(yè)能力與職業(yè)道德而產生的人員風險,例如道德風險與人員風險;二是由于評估機構自身缺乏良好內部控制和監(jiān)督管理手段、機構評估經驗不足、對項目整體的管理與組織不善而導致的組織風險。

2 資產評估風險的分類及表現形式

2.1 從控制性角度劃分

從來源角度研究,資產評估風險主要包括不可控風險和可控風險。

2.1.1 不可控風險

不可控風險主要指會導致評估結果出現較大偏差但又不能由資產評估機構所控制的風險。具體可由以下幾種類型構成。

①資產評估機構面對的風險。在資產評估進入中國后,經過三十年的不斷發(fā)展我國已逐步與國際資產評估接軌。但我國評估理論與實踐發(fā)展較不均衡,因而出現因法律體系不完善而產生風險的可能。截止目前,指導資產評估行業(yè)最直接的是于1991年制定并的《國有資產管理辦法》,沒有規(guī)范行業(yè)的法律勢必會造成法律的監(jiān)督空位,不能從根本上規(guī)范資產評估人員的行為和評估業(yè)務的程序性。以四川評估作假案為例,其直接原因是中國資產評估法律的不完善,導致造假者有機可乘。其次,中國資產評估的主管部門不明確,目前存在執(zhí)行標準不統一、多頭管轄的現象。在執(zhí)行具體評估業(yè)務時,相關機構為到達評估目的強行干預評估執(zhí)行,極大地影響我國資產評估工作的獨立性、客觀性和公正性,最終造成評估結果的失實。

②評估人員面對的風險。首先,市場信息不完善而導致的風險。我國自改革開放依賴經濟飛速發(fā)展,但數據信息的可靠性較低。自1996年中國使用上市指數后,數據才具有一定的可靠性,會計信息失真,市場信息很難找到,但資產評估的基本三種評估方法都基于市場信息,因而我國的市場特點極大程度的增加了資產評估師的評估風險。其次,資產評估在我國發(fā)展時間較短,尚處于探索階段。資產評估協會在2007年已經中國資產評估體系,但相關準則對實際評估行為的規(guī)范力度較弱,資產評估人員在法律訴訟時,很難找到相關法律依據保護自身權益。

2.1.2 可控風險

可控風險主要指可由評估機構和評估人員控制的風險,該種風險主要取決于資產評估機構內部控制和相關制度的建設是否完善和資產評估人員自身素質的程度。

①資產評估機構面對的可控風險。資產評估機構面對的可控風險指評估機構違反規(guī)章制度操作而導致的內部管理風險。例如資產評估機構在實際評估業(yè)務面前只重視自身經濟效益而忽視相關法律及準則,為了盈利而對不合法資產展開評估;資產評估機構沒有相關評估資治,卻為了盈利而出具相關評估報告;同時,行業(yè)內部存在關聯交易,給回扣現象屢禁不絕,一般機構的回扣比例約為40%至50%,更有甚者高達80%左右。

②評估人員面對的可控風險。評估人員面臨的風險主要包含兩個層面:職業(yè)道德風險和專業(yè)水平風險。首先,從職業(yè)道德風險角度出發(fā),依據《職業(yè)道德準則-基本準則》規(guī)定,執(zhí)業(yè)過程中資產評估師應恪守客觀、獨立、公平、公正的原則,對資產價值進行合理估價。然而在實際評估過程中,一些資產評估師無原則,無視市場信息,主觀性差,過度依賴委托人提供的相關資料而忽視相關審查、評估程序,致使結果嚴重偏離資產的公允價值,對當事人造成經濟損失。其次,《職業(yè)道德準則-基本準則》規(guī)定資產評估師應具備相關知識和經驗。但在實際評估過程中,資產評估師在自己有限的知識和經驗的情況下,不能隨市場的變化而合理制定相關數據,導致評估結果存在錯誤的可能性。

2.2 從來源角度劃分

資產評估風險從來源角度劃分可分為多種類型,主要包括管理風險、執(zhí)業(yè)風險、立法風險和使用風險四類。

2.2.1 管理風險

管理風險主要是指具體行政部門在執(zhí)行資產評估的管理職能時面臨的風險。我國資產評估管理風險多體現在:當前資產評估的主管部門不統一、執(zhí)業(yè)標準不完善,在實際評估過程中會出現由于管理有欠完善而影響評估工作正常進行的現象。

2.2.2 執(zhí)業(yè)風險

執(zhí)業(yè)風險主要指評估人員在實際評估過程中,因為不能達到專業(yè)評估標準而產生的風險。若執(zhí)業(yè)不能達到專業(yè)標準,會使評估出現紕漏,從而導致不合理的評估結果出現,最終影響相關當事人的合法利益。資產評估機構和人員由于自身專業(yè)知識欠缺而產生的訴訟或仲裁費用以及因敗訴而產生的經濟賠償,都屬于資產評估的執(zhí)業(yè)風險。

篇6

一、收益法在無形資產評估中的工作風險

資產評估收益法,是指通過估測被評估資產未來預期收益的現值來判斷資產價值的各種評估方法的總稱。評估的工作風險,主要是由于在評估工作過程中采用的評估方法、對委托方誠實程度的了解不夠、選用的資料及資產評估人員個人經歷、經驗限制而導致的誤判等引起的風險,屬于評估人員主觀原因引起或評估手段失誤而產生的風險。這種風險,在無形資產采用收益法進行的評估工作中顯得尤為突出。當評估機構和評估人員一旦承接了無形資產評估項目,收益法評估的工作風險也就主要集中地反映在對有關參數的預測和貨幣衡量上。

收益法的基本參數主要有:一是被評估資產的預期收益;二是折現率或資本化率;三是被評估資產取得預期收益的持續(xù)時間。能否清晰地把握上述三要素成為能否運用收益法的基本前提。從這個意義上講,應用收益法必須具備的前提條件是:(1)被評估資產的未來預期收益可以預測,并可以用貨幣衡量;(2)資產擁有者獲得預期收益所承擔的風險也可以預測,并可以用貨幣衡量;(3)被評估資產預期獲利年限可以預測。在對無形資產進行價格評估時,看似只有幾個參數,似乎很簡單,其實幾乎每個參數都難以確定,或者說難以準確把握。如預期收益是采用凈現金流量還是凈利潤,用稅前利潤還是稅后利潤;無風險報酬率是采用國債利率還是銀行利率,采用短期利率還是中長期利率等都有爭議;行業(yè)報酬率、社會平均報酬率等數據本身的準確含義就很難界定,等等。由于類似問題的存在,使得收益法預測和衡量參數的不確定性大大增加,評估工作風險自然就隱藏其中了。

2004年1月9日證監(jiān)會下發(fā)《關于進一步提高上市公司財務信息披露質量的通知》第六條指出,為防止公司和評估人員高估未來盈利能力并進而高估資產,對使用收益現值法評估資產的,凡未來年度報告的利潤實現數低于預測數10%~20%的公司及其聘請的評估人員,應在股東大會及指定報刊上作出解釋,并向投資者公開道歉;凡未來年度報告的利潤實現數低于預測數20%以上的,除要作出公開解釋并道歉外,中國證監(jiān)會將視情況實行事后審查?!百Y產評估是一門十分靈活的預測藝術”,用收益法評估無形資產價值,是最科學的方法。當無形資產復雜的不確定因素與其“預測”相結合,使得評估機構和評估人員在整個評估工作過程中面臨著更大的工作風險。采用收益法評估無形資產,結果上下可能差幾十倍,因而“20%大限”激起了評估業(yè)的強烈反應。甚至有人預言“如果按這要求,大多數項目都要出問題,挨板子?!蔽覀冎溃C監(jiān)會提出“20%大限”,用意是為了防范弄虛作假,提醒評估人員謹慎保守些,不能再根據客戶需求,隨意調節(jié)結果。但是,即便是完全按照有關規(guī)定進行無形資產評估的有關評估機構和評估人員,仍然在使用收益法評估無形資產的過程中,面臨著“20%大限”這一規(guī)定的巨大工作風險,更何況無形資產的外部環(huán)境也在不時地發(fā)生變化。因此,評估機構和評估人員必須審慎,盡可能地防范和規(guī)避其工作風險。

二、收益法在無形資產評估中存在工作風險的原因

收益法被公認為是最適合無形資產評估的方法,但由于其本身的技術要求,使得評估工作過程中存在工作風險。

(一)無形資產的評估范圍難以界定。資產評估的范圍一方面直接決定了評估的工作范圍;另一方面更重要的是可以直接測算說明評估結論是否成立。實際上,在時間上是很難對技術型資產的經濟壽命進行可靠的測定。對一種新的技術型無形資產來說,它的經濟壽命是隨著技術開發(fā)的深度而不斷延伸的,用現行的法定年限或協議年限去測定,實際上忽略了無形資產的可持續(xù)利用性。因此,我們常在評估中結合有形資產去界定無形資產的評估范圍,但有形資產會隨著投入規(guī)模的大小而發(fā)生變化,使得無形資產的評估范圍難以界定。

(二)無形資產的收益期限具有不確定性。無形資產收益期限的確定,要考慮兩個因素:一是法律合同壽命;二是經濟壽命。我們常常以法定或協議的有效年限為依據,但無形資產的收益期限要受技術進步和使用頻率的影響。而無形資產的價值主要表現為超額利潤。比如,一項技術型無形資產法定有效期為50年,但實際上3、5年后就會完成技術更新,原有的技術即使繼續(xù)受法律保護,也已不再具有先進性,不能再為所有者帶來超額利潤了。有的無形資產具有可持續(xù)開發(fā)的特性,如一些技術性無形資產的收益期限隨著其開發(fā)、升級而得到延長。另外,無形資產具有獨占性,當一項無形資產被所有者獨占時,可以較為清楚地確定收益,但隨著技術廣泛傳播,其價格、成本方面的獨占優(yōu)勢逐漸喪失,收益期限也相應縮短。這些都使得無形資產在評估基準日的未來收益期限難以預測,具有不確定性。

(三)無形資產的收益難以預測、衡量或不相匹配。無形資產的收益是一種超額收益,它必須依附于直接的或間接的物質載體來表現它的價值。由于無形資產的存在使企業(yè)相關產品的產量、銷量增加或產品價格提高,或兩者兼而有之;由于無形資產的存在降低了企業(yè)的生產經營成本,形成了生產經營費用的節(jié)約額;自創(chuàng)無形資產的存在和應用節(jié)約了無形資產特許權使用費。而一個企業(yè)取得的收益,除了有資產的因素外,更重要的是與人的素質以及市場和機遇等因素有關。企業(yè)的收益是資產與人綜合作用的結果。因而,在評估實踐中要單獨確定某項無形資產帶來的收益是很難甚至是無法分清的。對無形資產未來收益預測是否準確,直接影響到無形資產價值的評估,而收益又受到很多不確定因素影響,使得收益的預測帶有極大的風險。其次,對于委托方擁有的但未對委托方帶來收益的無形資產,資產評估人員往往難以掌握,這樣也就造成了資產收益不相匹配的風險。

(四)單項無形資產的收益分成率難以測定。無形資產必須與有形資產相聯系,否則就不能獨立產生經濟效益。在預測無形資產收益時,我們的做法是將有形資產和無形資產放在一起,然后通過收益分成率這個指標,將無形資產的價值從綜合價值中分離出來。由于直接測定無形資產的分成率較為困難,通常先測算有形資產的分成率,再計算無形資產分成率。但這樣做的結果是,分離出來的收益并不單是一種無形資產帶來的,它是除有形資產以外各種無形資產價值的綜合反映,單項無形資產的收益分成率難以測定。

以上是在采用收益法對無形資產進行評估過程中存在的主要工作風險。除此之外,如市場變化帶來的不確定性;市場供求及無形資產競爭情況;無形資產使用狀況、機會成本;客戶背景、行業(yè)性質、經濟規(guī)模、管理水平、經營前景;評估人員執(zhí)業(yè)水平、工作經驗方面的欠缺等,也增加了收益法對無形資產評估的工作風險。

三、收益法在無形資產評估中存在的工作風險防范措施

針對收益法在無形資產評估中存在的工作風險,主要應采取以下措施,進一步防范和規(guī)避風險,提高評估工作質量。

(一)加強評估人員風險意識,詳細了解被評估無形資產的基本狀況。資產評估工作是由評估人員具體操作的,評估風險的大小很大程度上取決于評估人員。因此,必須加強評估人員隊伍建設,在評估具體操作中,嚴格按評估規(guī)范意見操作。評估人員應詳細了解包括無形資產的取得過程、歷史沿革和公司概況;公司經營環(huán)境及市場情況;無形資產的產權狀況;相關法律、法規(guī)及會計特別規(guī)定情況;相似無形資產的最新狀況等情況。有些時候,委托方往往因為自己的利益,將失真失實的無形資產的歷史資料提供給評估人員,而評估人員又常常難以查清這種有目的的失真失實資料,這就給無形資產的評估帶來了工作風險。因而,資產評估人員要有風險意識,對委托方提供的資料嚴格審查,并借助合法的、有效的、輔助的手段,識辨委托方提供資料的真實性。

(二)加強對有關數據資料的收集和分析。要有步驟、有條不紊地組織數據資料的收集整理工作,要反復查對全部有關資料,從一切來源到每份制表單上所引用的每一條數據均應反復細心查對,避免差錯。由于收益法是預測未來收益并進行折現的方法,而無形資產在預期收益、收益期限、收益分成率預測等方面又存在復雜性和不確定性,所以在評估時一定要重視數據資料的來源,并對其進行分析。由于不可能得到十分完整的市場資料,僅按手頭上所掌握的全部資料而得出的結論并非一定準確可靠。因此,應從多方面、多角度考慮發(fā)生某種誤差的可能性及其相應的、適當的處理措施,避免在模型問題上走捷徑,要將模型建立在歷史財務報表的基礎上,并充分了解企業(yè)財務報表中會計和稅務的復雜性,避免重復計算資產。在收益的預測時,要根據適度績效情景,正確地把握資產的收益。并且,資產評估人員應對委托方提供的被評估資產范圍進行認真清查、嚴密分析、合理推斷,包括需要進行相關的市場、行業(yè)等調查,理順資產與收益的匹配關系。

篇7

1.1靜態(tài)風險評估

靜態(tài)風險評估是根據傳統風險評估的具體方法對較短時間內系統存在的各種風險進行科學的評估,評估的整個過程并不連續(xù),評估的對象主要選擇相對靜止的系統。

1.2動態(tài)風險評估

動態(tài)風險評估是對網絡進行安全風險的評估,并研究系統變化的過程和趨勢,將安全風險與具體的環(huán)境相互聯系,從宏觀的角度了解整個系統存在的安全風險,把握風險的動態(tài)變化,風險評估的過程是動態(tài)變化的過程。對于電信網絡而言,客觀準確的進行安全風險的評估是整個電信安全管理的重要前提。風險評估是風險管理的初級階段,目前,我國的電信網絡仍然采用傳統靜態(tài)評估的方式,最終對安全風險的評估只是針對特定的時間點。但是,靜態(tài)風險評估不能有效的體現評估風險各種變化的趨勢,評估結果相對比較滯后。動態(tài)風險評估加強了靜態(tài)風險評估的效果,能夠反映較長時間安全風險具體的變化情況。在動態(tài)風險進行評估的過程中,如果系統出現安全問題,可以及時的進行處理,展現了整個風險評估的變化過程,保證了網絡的安全。對電信網絡實施動態(tài)風險評估,具有非常復雜的過程,評估的結果具有參考價值。電信網絡安全風險評估的研究文/向宗旭隨著電信技術的不斷發(fā)展和深入,電信網絡與現代的互聯網存在較為緊密的聯系,這也為電信網絡帶來巨大的安全風險。電信網絡屬于我國通信網絡中的重要內容,直接關系到我國社會的穩(wěn)定。本文主要探討了電信網絡的安全風險評估。

2電信網絡安全風險評估具體的實施過程

對電信網絡進行安全風險評估的工作,其對象可以針對電信網絡的某一部門也可以是整個電信網絡。風險評估的內容包含技術的安全問題以及網絡管理的安全問題。技術安全主要包括網絡安全以及物理安全等,管理安全主要包括管理制度以及人員管理等。對電信網絡實施安全風險的評估主要按照以下幾個步驟。

2.1風險評估前的準備工作

在進行安全風險評估之前,首先需要獲得各個方面對安全風險評估的支持,相互配合,確定需要評估的具體內容,組織負責進行安全風險評估的專業(yè)團隊,做好市場的調查工作,制定評估使用的方法,只有做好一系列的準備工作才能為接下來的安全風險評估奠定基礎。

2.2對資產的識別工作

在電信網絡中的資產主要包括具有一定使用價值的資源,電信網絡的資產也是進行安全風險評估的主要對象。資產存在多種形式,有無形資產和有形資產,還可以分為硬件和軟件。例如,一些網絡的布局以及用戶的數據等。做好資產識別的工作能夠確定資產具體的安全情況。對資產進行安全風險的評估可以綜合分析資產的價值以及安全狀況,還可以考慮資產具有的社會影響力。社會影響力是指資產一旦失去安全的保障會對整個社會帶來影響。

2.3威脅識別工作

威脅的識別是指對電信網絡內部資產存在破壞的各種因素,這種潛在的破壞因素客觀存在。對資產產生威脅的主要原因包括技術、環(huán)境以及人為。技術因素是指網絡自身存在的設備故障或者是網絡的設計存在疏漏。環(huán)境因素是指環(huán)境中的物理因素。人為因素是指人為造成的威脅,包括惡意和非惡意。通過對威脅的動機以及發(fā)生幾率描述網絡存在的各種威脅,威脅識別工作的重要任務就是判斷出現威脅的可能性。

2.4脆弱性識別工作

網絡資產本身具有脆弱性的特點,包括網絡存在的各種缺陷。只有網絡存在各種缺陷和弱點才有可能出現各種威脅的因素,如果沒有威脅的產生,網絡具有的脆弱性并不會損害資產。但是只有系統較少自身的脆弱性才會較少資產被威脅的可能性,使系統的資產更加安全,從而有效的較少損失。對電信網絡進行脆弱性識別工作可以從技術和管理上展開,主要以資產的安全作為核心內容,針對資產的不同特征,進行脆弱性的識別工作。

2.5確認具體的安全措施

對電信網絡進行的安全風險評估需要做好安全措施的確認工作,保持有明顯效果的安全措施,對失去效果的安全措施予以改正,避免內部資產的浪費,杜絕重復使用安全措施。一旦發(fā)現不合理的安全措施需要及時檢查安全措施能否被取消,并制定更合理的安全措施。確認安全措施的工作主要分為預防性和保護性兩種。預防性措施主要負責減少威脅性因素產生的可能性,保護性措施是為了減少資產的損失。

2.6風險分析工作

風險分析工作主要對電信網絡的資產識別、脆弱性識別、威脅識別以及存在風險對資產造成的損失進行綜合性的分析,最終得出準確的風險值,結合制定的安全措施。分析資產承受風險的最大范圍。如果出現的安全風險在資產承受的范圍之內,需要繼續(xù)采取安全保護措施,如果安全風險超出了資產承受的范圍,這就需要對風險進行控制,制定更可靠的安全措施。

2.7整理風險評估記錄

對電信網絡實施安全風險評估工作的整個過程,需要進行風險評估的準確記錄,包括評估的過程以及評估的最終結果,制定系統的安全風險評估報告。為安全風險評估的工作提供可靠的科學依據。

3結束語

篇8

關鍵詞:風險評估;管理工具;分類;選擇;設計

中圖分類號:TP311文獻標識碼:A文章編號:1009-3044(2011)30-7388-02

Research on Risk Assessment and Management Tools

WANG Fu-hua,YAO Jie

(Chongqing Communication Institute, Chongqing 400035, China)

Abstract: This article has carried on the detailed introduction to the risk assessment management tools, and introduced how to choose and design risk assessment management tools.Finally,it offers some ideas for information security assessment practice.

Key words: risk assessment; management tools; classification; choice; design

目前,網絡安全問題已成為影響社會經濟發(fā)展和國家發(fā)展戰(zhàn)略的重要因素,信息安全評估工作的重要性不言而喻。信息安全風險評估工作是個極復雜又具有挑戰(zhàn)性的工作,需要細致的工作,大量的支持性的專業(yè)知識的支撐,項目管理也比較復雜,因此如果要更好的完成信息安全風險評估工作就必須有一套非常實用的信息安全風險評估管理工具。一套使用的風險評估管理工具將極大地提高信息安全風險評估工作的效率和結果的正確性。

1 風險評估與管理工具分類

風險評估與管理工具是根據系統關鍵信息資產、資產面臨的威脅以及威脅所利用的脆弱點來確定所面臨的威脅、對風險情況進行全面考慮,估算出信息系統的風險情況,且在風險評估的同時根據面臨的風險提供相應的控制措施和解決方法。

1.1 基于國家、政府頒布的信息安全管理標準或指南

目前世界上存在多種不同的風險分析指南和方法,不同的風險分析方法其側重點和關注點各不相同。如:

NIST(National Institute of standard and Technology)的FIPS 65;

DOJ(Department of Justice)的SRAG;

GAO(Government Accounting Office)的信息安全管理的實施指南。

1.2 基于專家系統的風險評估工具

基于專家系統的風險評估工具主要通過建立專家系統和外部知識庫,以調查問卷的方式收集組織內部信息安全的狀態(tài)。對重要資產的威脅和脆弱點進行評估,產生專家推薦的安全控制措施。

基于專家系統的風險評估工具通??梢宰詣有纬娠L險評估報告,根據風險的嚴重程度提供風險指數,同時分析可能存在的問題,并提供相應的處理方法。

COBRA(Consultative Objective and Bi-functional Risk Analysis)是一個著名的基于專家系統的風險評估工具,它是一個問卷調查式的風險分析工具,由三個部分組成:調查問卷生成、風險測量和結果分析生成。

基于專家系統的風險評估工具除COBRA之外,比較知名的還有@RISK、BDSS(The Bayesian Decision Support System)等工具。

1.3 基于定性或定量算法的風險分析工具

風險分析作為重要的信息安全保障措施,是信息安全體系不可或缺的一部分。而信息安全風險評估的算法作為風險評估的重要手段,很久以前就被提出并了大量的研究工作,其中一些算法已經成為正式的信息安全標準的一部分。早期的風險評估算法大部分僅僅作定性的分析,對風險產生的可能性和風險產生的后果只能按照高、中、低來區(qū)分,這種定性的方式無法準確地估算出風險產生的可能性和損失量。隨著人們對信息安全風險了解的不斷深入,獲得了更多的經驗數據,因此人們越來越希望用定量的風險分析方法反映事故發(fā)生的可能性。定量的信息安全風險管理標準包括美國聯邦標準FIPS31和FIPS191,提供定量風險分析技術的手冊包括GAO和新版的NISTRMG。

由于數據收集的困難,目前還沒有完全定量的風險評估工具,現有的風險評估工具要么在定性方面有所側重,要么在定量方面有所側重。如CONTROL-IT、Definitive Scenario、JANBER都是定性的風險評估工具,而@RISK、Risk-CALC、CORA是半定量的風險評估工具。

2 常見的風險評估管理工具比較

CRAMM:CRAMM是1985年由英國CCTA開發(fā)的風險評估系統。CRAMM包括全面的風險評估工具,并且完全遵循BS7799規(guī)范,包括依靠資產的建模、商業(yè)影響評估、識別和評估威脅和弱點、評估風險等級、識別需求和基于風險評估調整控制等。CRAMM評估風險依靠資產價值、威脅和脆弱點,這些參數值是通過CRAMM評估者與資產所有者、系統使用者、技術支持人員和安全部門人員一起的交互活動得到,最后給出一套解決方案。

COBRA:COBRA是1991年由C&A System Security公司推出另外一個風險評估工具,用來進行信息安全風險管理方法,提供了一個完整的風險分析服務,并且兼容許多風險評估方法學(如定性分析和定量分析等)。它可以看做一個基于專家系統和擴展知識庫的問卷系統,對所有的威脅和脆弱點評估其相對重要性,并且給出合適的建議和解決方案。此外,它還對每個風險類別提供風險分析報告和風險值。

@RISK是美國Palisade公司的一款軟件產品,在世界范圍內廣泛使用,是構架在微軟Excel之上的一套風險分析工具。在@RISK中,提供了一套完整的風險分析工具,包括可以自行修訂的統計分配模型、蒙特卡羅檢測、敏感性分析、環(huán)境分析、極限值測試等常用的風險評估模型。@RISK建立的流程包括:

1) 在Excel上建立需要分析的問題模型;

2) 確定需要輸入模型的不確定值;

3) 通過模擬程序,對可能的參數范圍進行分析,以@RISK內置的概率分布函數表示,然后確定模型的輸出結果;

4) 產生需要的資料圖表進行分析。

表1是對一些主要風險評估工具的比較。

表1

3 選擇風險評估工具的原則

1) 根據實際環(huán)境和企業(yè)的需求選擇

2) 風險評估工具應當能夠精確地映射網絡、應用以及進行攻擊測試

怎樣了解一個工具的實際功效?最有效的辦法是搜索Web,查看媒體的評論,要求廠商提供其他客戶的使用情況說明。正式購買之前最好測試一下工具的性能。大多數廠商都提供限制了功能的試用版本,通常是限制IP地址的范圍。

3) 不僅要注意風險評估工具為目標平臺提供的攻擊腳本數量,而且要留意它們的更新速度。

純粹的數量有時不能說明問題,因為有些廠商可能把許多相關的漏洞看成一個,有的廠商則把它們算作多個漏洞。一些較為優(yōu)秀的風險評估工具,如CVE,把每一種測試都鏈接到了一個標準的漏洞案例ID。留意風險評估工具的更新頻率,看看它是自動更新還是需要手工執(zhí)行更新,還有,新的安全威脅發(fā)現之后它要多長的時間才能推出相應的更新?

4) 報告數量的多少,內容翔實程度,是否允許導出報表

只能內部使用的掃描結果報表也許能夠滿足最初的需要,但如果經常對系統進行風險評估,最好能夠將生成的報表導出到外部數據庫,以便執(zhí)行對比和分析。

5) 是否支持不同級別的入侵測試以避免系統掛起

所有風險評估工具都有這樣的警告:入侵測試過程可能產生DoS攻擊,或者導致被測試的系統掛起。通常,在高訪問量期間對擔負關鍵任務的系統不應該運行風險評估工具,風險評估工具本身可能帶來問題,引起服務中斷或系統被鎖死。大多數高質量的風險評估工具允許執(zhí)行侵害程度較小的入侵測試,避免造成系統運行中斷。

6) 是否需要在線服務?

有些風險評估工具以在線服務的形式提供。這種形式的優(yōu)點是不占用硬件資源,可以從任何地方運行和獲取報表,自動執(zhí)行更新,一般而言總擁有成本也較低。缺點是服務的運行速度一般較慢,不象客戶端產品那樣容易定制。最后還有一點是,如果采用在線服務,則掃描出來的網絡漏洞清單還將落入第三方的手中。

4 信息安全風險評估管理工具設計

信息安全風險評估管理工具的設計必須考慮到參考模型可能存在的變化,或者計算方法發(fā)生變化而導致的工具適應性的問題,還應該具有項目管理功能,統計分析,報表,輔助評估專家系統,查詢,資產管理,更應該加入風險管理與控制模塊,如果能提供與其他資產管理軟件的接口就更好了。

為了適應評估工作模式,信息安全風險評估工具的架構應該選擇B/S結構,評估小組和評估人是最終用戶,系統管理員對信息安全風險評估工具進行維護和管理。系統架構如圖1。

信息安全風險評估工具中應該包含威脅參考庫、脆弱性參考庫、資產分類庫、可能性定義庫,后果定義庫、控制措施庫等評估輔助專家系統庫。這些庫都可以自己定義,便于使用。評估小組可以在評估的各個時期都能夠得到幫助。

資產管理模塊應該包含資產的各種基本信息,包括位置、責任人、所屬系統以及各種相關信息。根據不同資產的分類,相關信息也不同,這些相關信息都是有助于系統安全的相關信息。如資產的生命周期、系統補丁信息等。

信息安全風險評估工具需要實際使用的檢驗,將在不斷滿足客戶的需要的同時逐漸發(fā)展、成熟。通過不斷的改進和發(fā)展,相信信息安全風險評估工具將極大地推動信息安全風險評估工作的進行。

參考文獻:

[1] 陳友初.信息安全風險評估的探討與實踐[J].廣西科學院學報,2006,22(4):367-369.

[2] 杜輝,劉霞,汪厚祥.信息安全風險評估方法研究[J].艦船電子工廠,2006,26(4):65-69.

[3] 張建軍,孟亞平.信息安全風險評估探索與實踐[M].北京:中國標準出版社,2005.

[4] 趙戰(zhàn)生,謝宗曉.信息安全風險評估[M].北京:中國標準出版社,2007,8.

[5] 馮登國,張陽,張玉清. 信息安全風險評估綜述[J].北京:通信學報,2004,25(7):10-18.

[6] 關義章,戴宗坤.羅萬伯,等.信息系統安全工程學[M].北京:電子工業(yè)出版社,2002,12.

篇9

關鍵詞 信息工程安全系統 風險評估 控制

中圖分類號:X92 文獻標識碼:A

對項目風險管理來說,風險評估是對信息工程安全資產所面臨的威脅、存在的弱點、造成的影響及三者綜合作用所帶來風險的可能性的評估。作為項目風險管理的基礎,風險評估是確定信息工程安全需求的一個重要途徑,屬于信息工程安全管理體系策劃的過程。

1 風險評估概述

風險評估是在綜合考慮成本效益的前提下,通過安全措施控制風險,使殘余風險降低到可以控制的程度。因為任何信息系統都會有安全風險,所謂安全信息系統,實際上指信息系統在實施了風險評估以后做出了風險控制,仍然存在殘余風險是可被接受的信息系統我們就稱為安全信息系統。追求信息系統安全就不能脫離全面完整的信息系統安全評估,就必須運用信息系統安全風險評估的思想和規(guī)范對信息系統進行安全評估。

風險評估的主要任務包括:(1)識別面臨的各種風險。(2)評估風險概率和可能帶來的負面影響。(3)確定承受風險的能力。(4)確定風險消減和控制的優(yōu)先等級。(5)推薦風險消減對策。

1.1 信息工程安全系統項目風險評估概述

信息工程安全系統項目風險管理是圍繞信息工程安全系統項目風險而展開的評估、處理和控制的活動。其中最重要的基本要素是風險評估,因為基于風險評估可以對政府部門信息工程安全系統項目有系統全面的了解,找出潛在問題,分析原因,判斷嚴重性和相關影響,以此確定信息工程安全系統建設的需求。項目是一個過程,從項目的開始到結束,風險評估要求風險評估貫穿到信息系統的整個生命周期提出了三個環(huán)節(jié)要進行風險評估:一是信息系統規(guī)劃設計階段,二是系統驗收階段,三是信息系統運維階段。管理的不確定性,有限的資源和千變萬化的危險和漏洞,使得所有的風險不可能完全緩解。一個信息系統的項目專業(yè)人員必須要協同用戶、項目經理對信息系統各種潛在的影響進行評估,使其達到一個合理水平。

由于種種原因,信息安全系統存在著很多漏洞及缺陷,如黑客攻擊或系統本身的原因,會造成系統安全事件,給系統帶來不好的影響。因此,要對項目的信息安全風險進行相應的評估,評估的主要內容包括系統的安全漏洞和系統可能帶來的負面影響,根據相應的等級來進行劃分,評估出可能發(fā)生的安全風險。

1.2 信息工程安全系統項目風險評估過程

一般來說,系統信息工程安全項目風險評估分為四個不同的階段。

第一個階段:風險評估準備階段。

(1)根據相應的風險評估準則,調研項目的實際情況,然后制定風險評估的計劃表。按照實際操作來看,計劃通常要由三個重要的表格組成,這三個表分別是:《信息工程安全系統的描述報告》、《信息工程安全系統的分析報告》和《信息工程安全系統的安全要求報告》。通過這些表格及具體的計劃表,要對項目的風險評價進行計劃。計劃的內容一般要設計如下范圍:目的、范圍、目標、組織架構、經費預算、進度安排。制定好計劃書后要及時匯報給決策層。如果決策層有異議,應該及時根據意見加以修改。只有獲得決策層的審核和同意后,計劃書才能獲得批準,才能夠獲得相應的資源加以執(zhí)行。

(2)結合項目的具體實際,對整個風險評估流程加以確定。不同的項目風險評估流程是不一樣的,必須要結合具體的項目實際對評估的流程加以確定,如何工作,如何評估,評估結果如何衡量等。這個步驟,通常應該形成一個書面的《風險評估程序》,便于后面工作人員的具體操作。

(3)根據項目具體實際,選擇特定的風險評估方法和工具。風險評估方法和工具千差萬別,具體的某個項目,有針對性地 選擇成本低,效果好,結合項目實際的具體方法和工具。

第二個階段:風險因素識別。

(1)對所有需要保護的信息資產加以清點。根據上文確定的三個相關報告,對單位或項目所有的資產加以清點,找出重要的、對安全有重大影響的信息資產并造冊,形成書面的《需要保護的資產清單》。(2)結合相關工具,識別出可能面臨的威脅。一般來說,目前信息安全行業(yè)都有相應的較為全面的威脅或漏洞庫,結合這些數據庫,對單位的具體資產進行詳細的清點和評估,就能找出可能面臨的威脅,編制書面的《威脅列表》。(3)根據上面的工作,參照漏洞庫,可以對整個單位信息資產面臨的脆弱性加以評估,形成書面的《脆弱性列表》。

第三個階段:風險程度分析。

(1)確認單位目前已經采用的安全防范措施。通過書面形式,對單位目前已經有的具體防范措施加以總結,填寫到《已有安全措施分析報告》。(2)對可能面臨的威脅的動機加以分析。面臨的威脅的動機一般分為:涉及利益者的攻擊、對系統好奇、對自己的技術自負等,要形成書面的《威脅動機分析報告》。(3)分析單位可能面臨的威脅行為的能力。這一步主要是對可能面臨威脅的具體評估,包括強度、廣度、深度等。(4)分析信息資產的價值。信息自查的價值主要從以下幾個方面來評估:關鍵性,價格,敏感性等。(5)分析可能面臨的影響的程度。具體包括:資產損失,任務妨害,人員傷亡等。

第四個階段:風險等級評價階段。

(1)對威脅的動機加以評價,采用五級劃分,分別是:“很高、較高、中等、較低、很低”。(2)對威脅的行為能力加以評價,采用五級劃分,分別是:“很高、較高、中等、較低、很低”。(3)對系統脆弱性加以評價,采用五級劃分,分別是:“很高、較高、中等、較低、很低”。(4)對資產價值加以評估,采用五級劃分,分別是:“很高、較高、中等、較低、很低”。(5)對影響程度加以評價,采用五級劃分,分別是:“很高、較高、中等、較低、很低”。(6)對所有因素加以綜合評價,采用五級劃分,分別是:“很高、較高、中等、較低、很低”。

一般來說,有公認的具體算法。但各單位具體實際情況不一而足。所以,對于公認的算法可以進行修改,或者提出自己認為更符合實際情況的算法。

2 信息工程安全系統項目風險控制

2. 1 風險控制概述

風險評估的目的是進行風險控制,進而最大可能排除系統面臨的風險。所以,在信息風險評估之后,就要進行風險控制,其目的是為了盡可能降低系統面臨的風險和漏洞。而系統的風險和漏洞,是不可能完全排除的,不論下多么大的成本。只能在一定范圍內,盡可能控制在可以接受的范圍。一般來說,為了控制可能發(fā)生的風險,主要采用以下幾種方式:(1)規(guī)避風險。規(guī)避就是避免使用。例如有一些信息資產面臨很大的風險,如果完全消除風險,需要很大的成本,需要更多的經濟投入等。那么,一個比較可行的辦法就是避免使用這樣的資產,或者一些敏感的、需要保密的數據,不在這些資產上使用,從而規(guī)避掉可能發(fā)生的風險。(2)轉移風險。這種方式的思路,就是將已經面臨風險的資產轉移到風險較低,或者沒有風險的資產上。如某單位需要處理技術上足夠復雜,沒有能力處理的業(yè)務時,可以通過尋求外包給第三方專業(yè)機構的形式,要求對方做好風險處理,從而達到轉移風險的目的。(3)降低風險。降低風險就是在資產面臨風險時,通過各種手段和方法來降低其面臨的風險。

2.2 信息工程安全系統項目風險控制過程

在信息工程安全項目管理中,風險控制可以劃分為四個階段,分別是:現有風險判斷、確定風險控制目標、采取選擇和實施具體的風險控制措施。

在不同的階段,進行不同的工作流程和具體內容,分別如下:

第一階段:預備階段。在本階段,主要是對單位現有的信息資產激進型識別、編號、評估并造冊,形成書面報告。

第二階段:現存風險判斷。在本階段,通過各種工具和方法,對系統信息資產面臨的風險加以評級。一般來說,風險的評級主要分為兩種:可接受的系統風險和不可接受的系統風險。然后,對系統目前存在的一些風險加以判斷,到底是否能夠接受。

第三階段:確定風險控制目標。本階段主要的工作流程和內容包括:(1)分析風險控制需求。針對上面提出的不可接受的風險,分析其具體需求;并分析哪些是可以做到,哪些不能做到;如果做到,需要具體的成本和措施等。(2)確立風險控制目標。完全搞清楚其具體需求后,就可以確定風險控制的目標。

第四階段:控制措施選擇與實施。

控制措施選擇階段的工作流程和內容如下:(1)選擇風險控制方式。確定目標后,就可以采用具體的風險控制方式。選擇方式時必須考慮到單位的具體情況,能否實現以及經濟投入成本、投入產出比等。(2)選擇風險控制措施??刂拼胧嵤╇A段的工作流程和內容如下:①制定風險控制實施計劃:選擇好相應的風險控制方式后,即可制定具體的實施計劃。實施計劃必須為書面,便于后面的審查以及對照。②實施風險控制措施:采用規(guī)避、降低、轉移等具體方式來控制。實施過程應該遵循相應的工作流程和標準,并書面記錄在案。

3 結語

當前網絡信息安全技術發(fā)展迅速,任何信息系統都會有安全風險。沒有任何一種解決方案可以防御所有危及網絡信息安全的攻擊。因此我們需要不斷跟蹤新技術,對所采用的網絡信息安全防范技術進行升級完善,以確保相關利益不受侵犯。

參考文獻

[1] Stuart McClure 等.黑客大曝光――網絡安全機密與解決方案[M].北京:清華大學出版社,2006:140.

[2] 魏仕民等.信息安全概論[M].北京:高等教育出版社,2005:40-41.

[3] 曲平.安全信息管理技術的研發(fā)與運用[J].信息通信,2013.

篇10

我國的信息安全標準化制定工作比歐美國家起步晚。全國信息化標準制定委員會及其下屬的信息安全技術委員會開展了我國信息安全標準方面工作,完成了許多安全技術標準的制定,如GB/T18336、GB17859等。在信息系統的安全管理方面,我國目前在BS7799和ISO17799及CC標準基礎上完成了相關的標準修訂,我國信息安全標準體系的框架也正在逐步形成之中[1]。隨著信息系統安全問題所產生的損失、危害不斷加劇,信息系統的安全問題越來越受到人們的普遍關注,如今國內高校已經加強關于信息安全管理方面的研究與實踐。

2高校信息安全風險評估模型

2.1信息安全風險評估流程

[2]在實施信息安全風險評估時,河南牧業(yè)經濟學院成立了信息安全風險評估小組,由主抓信息安全的副校長擔任組長,各個相關單位和部門的代表為成員,各自負責與本系部相關的風險評估事務。評估小組及相關人員在風險評估前接受培訓,熟悉運作的流程、理解信息安全管理基本知識,掌握風險評估的方法和技巧。學院的風險評估活動包括以下6方面:建立風險評估準則。建立評估小組,前期調研了解安全需求,確定適用的表格和調查問卷等,制定項目計劃,組織人員培訓,依據國家標準確定各項安全評估指標,建立風險評估準則。資產識別。學院一卡通管理系統、教務管理系統等關鍵信息資產的標識。威脅識別。識別網絡入侵、網絡病毒、人為錯誤等各種信息威脅,衡量威脅的可發(fā)性與來源。脆弱性識別。識別各類信息資產、各控制流程與管理中的弱點。風險識別。進行風險場景描述,依據國家標準劃分風險等級評價風險,編寫河南牧業(yè)經濟學院信息安全風險評估報告。風險控制。推薦、評估并確定控制目標和控制,編制風險處理計劃。學院信息安全風險評估流程圖如圖1所示:

2.2基于PDCA循環(huán)的信息安全風險評估模型

PDCA(策劃—實施—檢查—措施)經常被稱為“休哈特環(huán)”或者“戴明環(huán)”,是由休哈特(WalterShewhart)在19世紀30年代構想,隨后被戴明(EdwardsDeming)采納和宣傳。此概念的提出是為了有效控制管理過程和工作質量。隨著管理理念的深入,該循環(huán)在各類管理領域得到廣泛使用,取得良好效果。PDCA循環(huán)將一個過程定義為策劃、實施、檢查、措施四個階段,每個階段都有階段任務和目標,如圖2所示,四個階段為一個循環(huán),一個持續(xù)的循環(huán)使過程的目標業(yè)績持續(xù)改進,如圖3所示。

3基于PDCA循環(huán)模型的信息安全風險評估的實現

[3-5]河南牧業(yè)經濟學院信息系統安全風險評估的研究經驗積累不足,本著邊實踐邊改進,逐步優(yōu)化的原則,學院決定采用基于PDCA循環(huán)的信息安全評估模型。信息安全風險評估模型為信息安全風險評估奠定了理論依據,是有效進行信息安全風險評估的前提。學院擁有3個校區(qū),正在逐步推進數字化校園的建設。校園網一卡通、教務、資產、檔案等管理系統是學院網絡核心業(yè)務系統,同時各院系有自己的各類教學系統平臺,由于網絡環(huán)境的復雜性,經常會監(jiān)控到信息系統受到內外部的網絡攻擊,信息安全防范問題已經很突出。信息安全風險評估小組依據自行研發(fā)的管理系統對學院各類信息系統進行全面的風險評估(圖4),以便下一步對存在的風險進行有效的管理,根據信息系統安全風險評估報告,提出相應的系統安全方案建議,對全院信息系統當前突出的安全問題進行實際解決。

3.1建立信息安全管理體系環(huán)境風險評估(P策劃)

風險規(guī)劃是高校開展風險評估管理活動的首要步驟。學院分析內外環(huán)境及管理現狀,制定包括準確的目標定位、具體的應對實施計劃、合理的經費預算、科學的技術手段等風險評估管理規(guī)劃。風險規(guī)劃內容包括確定范圍和方針、定義風險評估的系統性方法、識別風險、評估風險、識別并評價風險處理的方法。信息安全評估風險評估管理工作獲得院領導批準,評估小組開始實施和運作信息安全管理體系。

3.2實施并運行信息安全管理體系(D實施)

該階段的任務是管理運作適當的優(yōu)先權,執(zhí)行選擇控制,以管理識別的信息安全風險。學院通過自行研發(fā)的信息安全風險管理工具,將常見的風險評估方法集成到軟件之中,包括有信息資產和應用系統識別、風險識別與評估、風險處置措施及監(jiān)測、風險匯總與報告生成等功能。通過使用信息安全風險管理工具,安全風險評估工作都得到了簡化,減輕人員的工作量,幫助信息安全管理人員完成復雜的風險評估工作,從而提高學院的信息安全管理水平。

3.3監(jiān)視并評審信息安全管理體系(C檢查)

檢查階段是尋求改進機會的階段,是PDCA循環(huán)的關鍵階段。信息安全管理體系分析運行效果,檢查到不合理、不充分的控制措施,采取不同的糾正措施。學院在系統實施過程中,規(guī)劃各院系的信息安全風險評估由本系專門人員上傳數據,但在具體項目實施中,發(fā)現上傳的數據隨意甚至杜撰,嚴重影響學院整體信息系統安全評估的可靠性,為了強化人員責任意識,除了加強風險評估的培訓外,還制定相應的懲罰獎勵制度,實時進行監(jiān)督檢查,盡最大可能保證風險評估數據的準確性[6]。

3.4改進信息安全管理體系(A措施)

經過以上3個步驟之后,評估小組報告該階段所策劃的方案,確定該循環(huán)給管理體系是否帶來明顯的效果,是繼續(xù)執(zhí)行,還是升級改進、放棄重新進行新的策劃。學院在項目具體實施后,信息安全狀況有了明顯的改善,信息管理人員安全責任意識明顯提升,遭受到的內外網絡攻擊、網絡病毒等風險因素能及時發(fā)現處理。評估小組考慮將成果具體擴大到學院其他的部門或領域,開始了新一輪的PDCA循環(huán)持續(xù)改進信息安全風險評估。

4結語