资产风险评估范文
时间:2023-06-27 18:01:17
导语:如何才能写好一篇资产风险评估,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
高职院固定资产有着举足轻重的重要作用,是教学和科研的基础,价值一般占到总资产的一半以上。因此,管理好高职院固定资产,既关系社会民生,又涉及预防腐败,我国亟需建立和完善高职院固定资产内部控制,提高固定资产管理内部管理水平,防范内部风险,确保各项行政活动顺利开展。由于固定资产内部控制涉及问题比较广泛,本文以固定资产内部控制最为重要的风险评估与控制活动为研究对象,结合内部控制相关理论,分析固定资产风险评估和控制活动存在的问题,有针对性的提出改善方案。
一、固定资产内部控制问题
(一)风险评估方面主要问题是机制不健全,缺乏专门的风险管理机构,更没有设置相关的风险管理岗位。当上级主管部门有要求进行风险管理相关工作时,则由监察审计部门暂时执行该项工作,但是由于实际执行有难度,再加上风险意识不够,普遍认为这个工作比较虚,各单位部门普遍应付一下。
(二)控制活动方面存在的问题较多,一是采购不够严谨,零星采购数额巨大,程序过于简单;二是验收力度不够,缺乏专业人才,招标价格与验收价格有差异,入账价格不时高于合同价格;三是固定资产处置、维护和处置环节还存在弊端。
二、固定资产内部控制设计
(一)加强固定资产管理风险控制,组建风险管理委员会。高职院应增设一个专门的风险管理委员会,全权负责构建高职院风险管理框架,组织并实施全面风险管理,由学院党委直接领导。委员会的成员由财务处、监察审计处、后勤处等部门人员构成。
风险管理委员会的主要职责是在全院形成风险管理文化氛围,提高全院教职员工风险管理意识,识别学院重要业务相关风险,分析并制定风险应对措施,编制风险管理报告和测评报告向学院领导汇报。固定资产管理相关的风险评估如下:
(二)加强固定资产管理控制活动
1.为优化零星采购,可以逐步建立一个资源库,对于各类固定资产都寻找一些适合的供应商,录入资源库,在需要采购的时候,从资源库调出适合的供应商,再由电脑或不相关人员随机抽取供应商,这样供应商也搞不清能否抽中,也不需要想方设法中标。
2.高职院应加大验收相关规定执行力度,严格按照规章制度进行验收。特别是对于价值量大,质量要求高的固定资产,必须在专业人才到场的情形下才能开展验收工作。验收人员必须增强责任心,认真核对资产信息,检查资产运作情况,对合同金额、发票金额、验收价格要核对一致,如确实发现不一致的情况,应该拒绝验收。
3.高职院固定资产种类多如牛毛,存放地点极其分散,管理工作较繁杂,存在资产流失的风险。资产管理科负责编制固定资产明细表,注明每一项资产的责任人和存放点,由使用人负责资产的日常管理,在领用或购买资产时,由资产管理科在资产使用帐上登记,离职或变更岗位时,必须交回资产并办理相关手续,向资产管理科报告登记,务必将每一项资产责任到人。明确资产使用人有利于分清责任,落实责任,为日后固定资产清查做好铺垫。
资产使用人因各种原因离岗时,应当办理固定资产交接手续,清点资产、核对账目,确保资产账、卡、物相符,交接时部门负责人须在当场监督。
高职院应要求资产管理科负责建立并管理所有固定资产文档,固定资产购入时即将其合同、保修卡等资料统一归档管理,以便日后顺利开展维修、转让等工作,使用部门则保存相关资料复印件方便使用,避免固定资产因使用人员多且经常调换丢失资料。
4.在维修保养方面,高职院应定期保养设备,以防范为主,适时保养。保养一旦发现问题,立即上报,对资产进行维修。对精密贵重的设备,要制定专人进行管理和维护,应对使用人进行专业培训,定期检测、校验,确保精度和性能良好。对房屋等建筑物,资产管理科也要定期检查,及时提出鉴定、拆除和修缮意见。对一般的教学等机器设备,有专人专用的,使用人负责维修保养,共同使用的由资产管理科负责维修保养。对大型的专用设备,由实训室与现教管理中心或委托专业机构定期检查维护。
资产管理科还应建立相关的维修保养档案,登记固定资产的维修保养情况,定期对维修费用进行分析统计,如核算维修频率、维修计划完成率等,既能反映出所购固定资产的质量,为下一次的固定资产采购提供参考信息,又能为制定固定资产的维修保养计划提供科学依据,还能监督维修保养实施情况。
5.固定资产清查方面,高职院应建立适合的固定资产清查制度,明确资产清查频率、任务分工和具体的程序。
在清查频率方面,应坚持全面清查和分批清查相结合的原则。由于学院固定资产数量庞大,全面清查费时费力,如果难以一年完成一次全面清查,那么可以每两年一次,制定相应的分批清查计划,每年清查一部分部门单位,及早发现资产管理相关问题,及时巩固资产清查的结果。
高职院应成立资产清查工作领导小组,由学院领导任组长,指导并督办清查事项,清查工作领导小组办公室可以挂靠资产管理科,由资产管理科具体组织实施资产清查工作,组织各部门单位自查,将自查结果报告资产管理科。资产管理科再组织一到两个复查小组,到部分关键部门单位复查,重点复查金额重大、有物无帐、有帐无物等特殊情况,最后汇总清查情况,如实向资产清查工作领导小组报告。
篇2
关键词:资产评估;风险管理;对策
中图分类号:F123.7 文献标识码:A 文章编号:1001-828X(2014)03-0-01
一、资产评估风险
资产评估风险就是评估人员因为主客观原因在资产评估时对资产的价值区间和它的实际价值没有进行科学评估,由此产生较大的偏离。外部风险、内部风险是形成资产评估风险的两个主要方面。风险识别、风险预测、风险评价等风险管理流程是资产评估的基本要素,用不同的方式来控制资产评估活动中的风险,并把资产评估风险控制在可接受范围,这就是资产评估风险管理。评估机构在开展业务的时候会认真识别可能遇到的各种风险因素,以便于评估者能够认识到资产评估所处的风险环境。评估者的专业判断能力是风险预测和评价的主要影响因素。
二、资产评估风险的产生的原因
(一)主观性的评估执业造成的风险
进行评估业务的评估师是专家职业,有着很浓厚的主观判断色彩。不过,要真正独立而客观地进行主观评估对于评估师来说,这和评估的客观要求是有一定的冲突的。要是我们对这个矛盾的认识不清楚,评估师的业务工作和评估机构就会出现管理风险。我们可以将资产评估看做是智力性的中介服务行业。评估师执业既要符合国家的法律政策,又要遵循评估行业的评估准则,评估师的主观判断是相当重要的。每个评估师在对相同的资产进行评估的时候所得出的结论都是不尽相同的。评估师的评估判断会受到他的专业知识、工作经历、社会关键等因素的影响。评估师的个人喜好和情绪等心理调节也会对评估对象的专业判断产生影响。
(二)独立性的资产评估造成的风险
独立性的资产评估要求不应该干扰评估报告的发表,资产评估的独立性的影响因素并不是单一的。当前,评估机构和客户间往往会因为委托收费制度而出现利益关系,评估师的独立性就会受到这种利益关系的影响。从当前的体制来看,委托单位通过能够决定评估机构的聘用和解聘,委托单位支付评估费用。因此处于较为弱势地位的评估师和评估机构。评估师往往会根据客户的喜好来发表评估意见,这种待遇利益目的的冬季使得评估机构经过会向客户妥协,尤其是当评估机构觉得可以化解风险的时候。评估行业存在着激烈的竞争,这种竞争程度和资产评估失误出现的惩罚程度都会使得评估师的公正立场受到影响。
(三)滞后的评估规则效力造成的风险
要想谨慎地进行资产评估就应该根据资产评估准则来严格实施,做到评估师的义务和责任的统一。不过因为社会在不断地发展,评估准则的制定通常比较滞后,由此给资产评估师的工作带来了一定的困难。因为当前的资产评估准则和社会发展要求并不总是同步,所以就算按照审计准则来进行评估,也不一定能做到尽善尽美,故而资产评估在卷入法律诉讼案件时其处境还是比较被动的。原因在于法院的判案经常会根据当下的社会发展要求来决定,而资产评估准则又之后与社会的发展,风险也就由此产生。
三、资产评估风险的管理对策
(一)科学构建资产评估准则体系
当前,由于资产评估行业还缺乏完善的资产评估准则体系,使得评估工作没有同意的规范作为依据。因此,我们应该多学习和借鉴国外评估行业的好的评估方法和理论,并根据我国的实际情况来制定适应的资产评估准则体系。在这个体系制定中,应该考虑到四个方面:技术、职业道德、质量控制、继续教育。全面规范评估机构和评估师的行业行为。资产评估准则体系的建立要具有实用性和科学性,要符合经济发展的要求。另外,还应该考虑到灵活性、普遍性、稳定性、针对性,这个体系不但要能够对整个评估活动适用,还能够具体解决某个方面的问题,帮助评估师在准则范围内科学进行专业判断,让他们尽量少受主观评估的影响。
(二)增强资产评估独立性
资产评估的独立性主要受两方面因素的影响:一是利用关系方的诱惑程度,二是评估机构因缺乏独立性而受到的惩罚程度。因而可以通过建立资产评估协会来加强资产评估的独立性,赋予其权威性,并做好行业监督。评估机构和客户的利益关系因为档期的委托收费制度而超过了评估机构和资产评估方的关系。评估协会要改变这种不平衡的三方关系,首先就要对当前的委托收费制度进行改变,构建资产评估需求方、资产评估委托人共同付费聘用评估机构的新机制。另外,要进一步监督低价揽客行为,抵制消极竞争。对于那些违反规定的评估机构,评估协会应该加大惩罚力度,以此来避免对资产独立性的损害。
(三)加强评估人员整体综合素质教育
评估结果的质量会都到评估师的综合素质的影响。要提高评估师的综合素质就应该采取切实可行的措施。具体来说,一是要规范评估师的执业行为。建立更为科学而规范的技术准则,提高评估结果的质量,且要对评估师灌输执业风险意识和质量意识。评估师不应该接受超出自己能力范围的项目,不能不经过实地勘察和分析就给出项目评估报告。要认真根据评估准则来评估具体项目,评估报告撰写需仔细,对风险进行有效规避。二是要对评估师进行道德素质教育,通过职业道德教育宣传来规范资产评估师的职业道德行为,制定相关的法律法规,对违法犯罪行为要进行严格的处罚。三是加强继续教育。要想提高评估师的整体水平,就应该构建科学的资产评估职业教育培训机制,用科学有效的培训方案来加强评估师的继续教育,并将之法律化和制度化。继续教育应该要有系统性和科学性,让评估师能够长期接受良好的教育,从而提高资产评估结果的质量。
四、结语
我国的资产评估工作发展较晚,风险管理经验还不成熟。相关的资产评估法律法规建设也比较滞后。当前,我国还没有完善的资产评估准则和资产评估师法律。评估风险因为法律环境的不完善而增大了。所以,评估机构和评估师要特别注意增强风险防范意识,有效地规避风险管理可降低风险发生的概率和程度。所以,评估机构建立执业风险保障制度是评估机构抵御风险,保障其可持续发展的有效方式。
参考文献:
[1]谭,尉京红.资产评估行业发展及展望[J].集团经济研究,2007(01).
篇3
一、宏观层面
1.政治政策风险。也就是投资目标地政局是否稳定,或者政府会不会出台某些政策对所投资的标的产生负面影响。
2.经济风险。经济环境是否稳定,各主要经济指标是否在合理范围(金融指标尤其重要),经济发展趋势怎样。股市、楼市泡沫等因素都要列入考虑范围,这对今后的投资成功与否非常重要。
3.文化风险。这一风险主要是针对全球范围内的投资,要充分考虑所投资项目是否与当地文化有冲突,是否符合当今世界的发展趋势。在当前环境下,投资那些环保,新能源,高新技术之类的项目经济风险就要小很多。
二、微观层面
在分析这一层面时要考虑的因素非常多,并且也非常复杂,一般需要大量的财务,金融,营销方面的知识。我现在拿投资宝洁公司为例。首先要分析公司五年来连续的财务报表,熟悉公司的资产负债率,每股回报率,利润增长率等一系指标,注意公司近期是否有大的资本运作,如兼并,拆分股票等。熟悉公司目标市场的容量,增长情况,消费者信息,竞争对手的动作等等。只有做到对某一公司的运营状况非常了解,才能保证有效的投资回报率,否则就会心里没底,导致接二连三的失败。
三、个人风险
个人风险主要是个人在进行投资活动时对投资结果的反应程度风险。每个人都应当明白,投资是一项高风险的运作,所以一定要有淡定的心态和良好的心理素质,做到胜不骄败不馁,并且千万不要用老本进行投资,更不能借贷投资。否则一次失败的投资可能导致高危的个人风险,血本无归,轻生,甚至家破人亡。通过风险识别,充分揭示了企业所面临的各种风险和风险因素,通过风险估计,确定了风险发生的概率和损失的严重程度。然而,要确定是否采取控制措施,采取什么样的控制措施,控制措施采取到什么程度,采取控制措施后,原来的风险因素发生了什么变化,是否产生了新的风险和新的风险因素?这些都需要通过风险评价加以解决。风险评价是选择风险管理技术的基础,根据风险评价的结果采取措施对风险进行管理。风险评价的意义可以总结为几点:
1风险评价对于减少风险事故的发生,特别是防止重大事故的发生,具有非常重要的作用。
2风险评价可以确定控制措施采取的程度。因为任何一项风险控制都必须付出一定的经济代价,而且随着风险程度的减少,所付出的代价就越大。因此,从经济性角度考虑,就应该合理的控制风险程度,通过风险评价,可以确定控制措施采取到什么程度
3风险评价也是保险公司进行承保过程的一个重要环节。通过对投保标的进行风险评价,才能确定是否承保,并根据评价结果确定保险费率。风险评价也是保险人对保户提供风险管理服务的主要内容。安全指标是通过对大量损失资料的分析,承认损失事故的发生是不可完全避免的前提下,从当前的科学技术水平、社会经济情况以及人们的心理等因素出发,确定一个整个社会都能接受的最低风险界限,作为衡量企业风险严重程度的标准。
在当今世界,风险投资的影响越来越大,尤其是在高新技术产业化的进程中,风险投资扮演了一个重要的角色。它能促进高新技术产业的发展,推动技术创新。总体上看,我国的风险投资业无论是从规模、发展速度,还是从质量上与发达国家都有相当大的差距。风险投资业的市场化机制尚未建立,发展的外部环境不完善,也对风险投资的实践造成了巨大的障碍。即便如此,风险投资业的骄人成绩仍吸引着越来越多的高科技技术企业。但要从众多的高技术企业中挑选增长潜力高、风险适中的企业进行投资,就需要凭借有效的评价方法来进行筛选,尤其是对项目投资的风险进行评价。风险项目投资具有高风险、高收益的特点,科学、准确的评价方法对项目投资至关重要。传统的评价方法主观因素太强,而人工神经网络模型克服了传统项目评价依赖专家经验的弊端,为项目投资风险评价开辟了新途径。
篇4
摘 要 无形资产评估因为存在着许多复杂的不确定因素,致使评估风险的产生。本文主要论述了无形资产评估的三种方法,探讨其评估过程中所产生的种种风险,并就应如何从根源上减少风险提出建设性意见。
关键词 无形资产评估 风险 控制
无形资产指的是企业所拥有的或者是在其控制下的、非实物形态的可辨认非货币性资产。无形资产评估风险的存在是因为在其评估过程中存在着许多复杂的不定性因素,这些因素是导致无形资产评估风险存在的主因。本文主要论述了三种常用评估方法中存在的风险,并就应如何处理和控制提出建设性的意见。
1.三种评估方法中存在的风险
1.1市价法
无形资产产权交易市场存在漏洞是采用市价法评估无形资产时所存在的风险。产权交易市场并不成熟,而且缺乏必要的信息,很难找得到相关的交易案例;无形资产的非标准性,导致我们难以确定近似有形资产采用市场法评估时参照的调整差异事项;绝大部分的无形资产都具有垄断性,在产权交易市场上几乎找不到一样的或者是相似的评估参照物。难以想象,不一样的专有技术、不一样的专利,不一样的企业商誉、不一样的商标要怎样去调整它们之间的价格差距[1]。
1.2收益法
(1)收益的预测。无形资产的收益是一种超额收益,它只有依附在一定间接的或者直接的物质载体上才能体现出其价值。这种超额的收益指的主要是:无形资产的存在使得与企业有关的产品的产量增加、产品价格的升高或者是销量的增加,又或者是两种情况都有;无形资产的存在使得企业的生产成本与经营成本下降,产生了生产与经营用度的节约额。对无形资产未来收益的预测准确与否,与无形资产价值的评估直接相关,而收益被许多不定性的因素所影响,致使收益的实现具有非常的风险性。因为评估师一般都是借助历史的数据去估算将来的,若是缺少必要的经营信息、缺少相关的历史数据,无论是预测还是推算都缺少了有说服力的根据。比方说,当前盈利很低或者是没有盈利,这就说明没有办法依据目前的盈利情况去预测将来的盈利水准。
(2)评估范围的确定。资产评估范围在决定评估专业人士的工作范围的同时也直接测算评估结论是不是成立。在有形资产的评估中,评估范围比较容易被界定,但是无形资产的评估范围却是难以界定。这其中的原因主要是很难在时间上对技术资产的经济寿命进行精准的测定。专家对现行的协议年限或者是法定年限的测定,事实上忽视了无形资产的可持续利用性。因为对以一种新的技术形态存在的无形资产来讲,它的经济寿命是可随着技术开发的深度加深而不断延长的。因此,人们通常在界定无形资产的评估范围的时候结合有形资产。但是有形资产会因为投入规模的大小而产生变化,导致很难界定“评估范围。
(3)收益期的确定。无形资产收益期的确定,不但要考虑它的经济寿命,还要考虑法律合同寿命。人们往往以协议的或者法定的有效年限作为根据。但无形资产的经济寿命,也就是它的收益期受到使用频率及技术进步的影响。比如假定一项技术型无形资产协议的有效年限是十年,但事实上五年后就可以实现技术更新,这时候新的、更适用的、更先进的或者是效益更高的技术资产出现,而原本的技术即便继续受到法律的保护,但是却不再具先有进性,也不能再为所有者带来可观的利润。有些无形资产具备可持续利用性,像有的技术性无形资产,其收益期随着它的开发、升级可得到延伸。无形资产还具有独占性,若一项无形资产被所有者独占时,能够比较明确的知道收益,但随着技术被广泛的传播,成本、价格方面的独占优势就会逐步丧失,收益期也会相对的缩短。
1.3重置成本法
(1)难以确定成新率。固定资产的使用在正常情况下,在大部分时间内他们的损耗都是均匀的,还有对应的方法与技术标准对其进行新旧程度测定,成新率可以比较客观的被确定。但如固定资产般的有形损耗并不存在于无形资产中,所以无形资产的成新率只能它的使用时间和效用来猜测。在这里无形资产往往会呈现出一种非线性关系。某些无形资产在特定的时间里是呈非线性递增的,像商誉、商标等;而某些无形资产则是呈非线性递减,如技术型无形资产就是。曾有专家建议用无形资产所依附产品的寿命周期来推算成新率,但产品寿命周期因种种原因而具有不确定,且许多无形资产在同一时间里和许多产品又有联系,推算时并不具有可分性[2]。
(2)以历史成本为根据进行调整所得到的重置成本是不精准且是存在风险的。这是因为无形资产历史成本具有虚拟性、不完整性与弱相对性。无形资产形成的时间一般都比较长,而且过程很复杂,这就使得财务在对无形资产的核算上并没有完整的资料可进行参照,也直接导致对其核算的不严格。再者,开发无形资产所耗费的资产和无形资产所形成的价值并没有很直接的关系。某些无形资产的形成并不需要很多的资金投入就可以得到丰厚的收益;某些无形资产开发时耗费惊人,收益却平平。
2.风险的控制
国内当前的经济环境下,主要以收益法对无形资产进行评估。在采用收益法评估无形资产时,评估专家应做好下面几点:(1)最好已经详细了解了被评估资产的基本情况。这其中包括了公司的大概情况、公司的经营环境、与之有关的法律、无形资产的取得过程及其历史沿革、与之有关的与无形资产相似的国内或者国际的最新情况等[3]。(2)确定无形资产的分成率。无形资产分成率的确定通常有三种方法:约当投资分成法、成本加权平均分析法、边际分析法。在现实中的评估中,往往会有这样一种情况,某一企业正常经营所不可或缺的条件是得到和运用某一无形资产,尤其是可以使得企业起死回生时更是典型。在此种状况下假定采取的是边际分析法,要得出无形资产收益期的追加利润在总利润中所占的比重,通常都会遇到下面的难点:认为在该无形资产的情况下该企业将会濒临倒闭,将生产利润大部分或者是全都都归在了超额利润上,夸大了无形资产的超额利润。因为无形资产与其他资产的作用很难分清,所以还是采取约当投资分成法比较适合。(3)要注意收集和分析数据资料。因为收益法是推测将来收益并且折现的方法,无形资产又有收益期、收益分成率、收益等预测的复杂性与不确定性,所以在评估的时候重视数据资料的来源及对其进行分析就显得十分必要。必须要有条不紊、有步骤的进行数据资料的收集与整理工作,反反复复核对与之相关的全部资料,对于历史资料的真实性要进行严格审查与核实,不能只依靠假定或者推测。模型的建立要在历史财务报表的基础上,并且要尽可能多的知道企业财务报表中税务余会计的复杂性,防止资产被重复计算[4]。(4)预测盈利。盈利预测是收益法评估无形资产的核心部分,盈利预测的结果是否准确直接关系到评估结果。预测一定要建立在对被评估的无形资产收益状况的充分了解的基础上,要尽量去得到历史的会计资料、了解主要成本项目的结构情况、变动状况以及 主要收益来源等。基本的资料要至少三期的历史数据与五期以上的预测数据。预测完成以后,还要对与之相关的数据来源及其可靠性、预测模型的科学性与合理性以及盈利预测的基本假定等再进行核实。复核要对各项目的变动趋向有科学性的解释,把谨慎性原则坚持到底。
无论是哪种评估方法都存在着一定的风险,评估专家在对无形资产进行评估时,应要注意选择方法。通常来说,产特性较为复杂的、目的是投资或者转让的、着重资产将来的使用效果的一类无形资产,最好采取收益法进行评估;而资产特性较为简单的,评估的目的是以成本推销,并且侧重于现实可用程度的无形资产,则最好采用市场法或者成本法。
参考文献
[1]左治良.我国无形资产评估风险及防范.知识经济.2009(17):48.
[2]成文.无形资产评估风险及防范.消费导刊.2010(7):103.
篇5
关键词:农业技术型无形资产;评估风险;风险类型
中图分类号:F27 文献标识码:A
收录日期:2014年2月28日
一、农业技术型无形资产评估风险概念
所谓农业技术型无形资产评估风险,是指与资产评估有关的评估机构和评估师,因主客观原因对评估标的价值作了不当或错误判断,导致评估结果失真,使利益相关者受到经济损失,评估机构和评估师将承担诉讼或仲裁,或因败诉而承担相应法律责任的可能性。
二、农业技术型无形资产评估风险类型
资产评估风险源于对未来评估事项的不确定性,合理划分风险类型是评估风险量化的基础,只有充分揭示农业技术型无形资产评估所面临的各种风险因素,才能对评估风险做出客观的评价。农业技术型无形资产的风险类型可定性分为固有风险、执业风险和自然风险;固有风险包括评估管理风险、评估方法风险和评估结果使用风险;执业风险包括道德风险、评估程序不足或受到限制产生的风险、专业胜任能力不足产生的风险;自然风险包括地域性风险、自然灾害风险。
(一)农业技术型无形资产固有风险。农业技术型无形资产固有风险是指评估机构和评估师在对农业技术型无形资产评估中,对风险影响因素不能够直接进行控制,但这些因素的发生可能导致评估结果发生错误或重大偏差,使评估报告的使用者受到损失而承担相应责任的可能性。
1、评估管理风险。农业技术型无形资产评估是市场经济条件下评估机构和评估师以第三方身份对其价值进行估算,能否独立、客观、公正的反映其真实价值,关系到当事各方的切身利益,因此需要国家授权的职能部门予以组织、指导、协调、监督和审查,从而管理环节成为产生评估风险的影响因素之一。近年来,国家职能部门对评估行业进行脱钩改制和清理整顿,可是行业和地方垄断依然存在,一些评估机构明脱暗不脱或挂靠行政权力垄断业务,这些不正当行为严重干扰了评估市场正常秩序,损害了评估业务相关方的合法权益,加大了农业技术型无形资产评估管理环节的风险。
2、评估方法风险。农业技术型无形资产评估主要用于对外投资和转让,评估对象并非实物资产,而是其未来获得超额收益的能力,因为农业技术型无形资产的研发投入具有弱对应性、虚拟性和不完整性的特点,使用成本法评估资产重置成本不够客观,因为农业技术型无形资产的垄断性和保密性,很难从市场上获得类似参照物,加之无形资产产权交易信息匮乏,交易市场弱势有效,限制了市场法在无形资产评估中的应用,使收益法主导了农业技术型无形资产评估。但是,农业技术型无形资产受到自然环境、技术环境、市场环境和行业竞争等多种因素影响,评估参数预测的不确定性难以测算,预测数据难免出现主观因素造成的偏差,使得收益额、折现率和收益期的预测值偏离真实情况而导致风险存在。
3、评估结果使用风险。农业技术型无形资产是将资产未来获得的超额收益按照一定数学模型折现到评估基准日,评估结果是其在评估基准日的时点价值,评估结果时效性强,策略性使用风险大。农业技术型无形资产受到自身特殊因素影响,资产未来获得超额收益受到交易市场供求关系影响,预测主观性较大,评估结果是多种假设条件下估算出资产在评估基准日的时点价值,基于农业技术型无形资产评估时效性特点,评估报告书都约定了评估结果有效期为一年。但是,如果评估报告的使用者为了自己的利益,未按照约定范围使用或者超过有效期范围策略性使用,将发生评估结果使用风险。
(二)农业技术型无形资产执业风险。农业技术型无形资产执业风险主要指评估机构和评估师在执业中因违反职业道德或业务素质未达到专业要求导致评估结果失真,使利益相关者受到损失,评估机构和评估师承担诉讼或仲裁,或因败诉而承担相应法律责任的可能性。
1、职业道德风险。注册资产评估师在执业过程中应当遵循职业道德准则,做到诚实正直,勤勉尽责,恪守独立、客观、公正的原则。由于人员道德水平差距,评估机构和评估师在评估农业技术型无形资产时,无原则的迁就委托方的不合理要求,忽视资产以市场价值为判断尺度,明显高估或低估资产实际价值,采取压价、垄断等不正当竞争的手段承揽业务;明知自身行为不符合评估准则要求,仍然出具不公允的评估报告的行为而产生职业道德风险。
2、评估程序不足或受到限制的风险。评估机构和评估师在评估农业技术型无形资产时应当遵循资产评估基本准则,根据业务具体情况履行适当的评估程序,对资产价值做出客观、合理的价值判断,不允许在未履行评估程序或者评估程序受到限制的情况下不采取相应替代程序而出具评估报告。但是,在实际操作中,一些评估机构和评估师在不履行相应的评估程序或者在进行现场勘查或者收集评估资料受到限制的情况下不采取相应的替代程序而出具评估报告,这种情况将会产生在利益相关方受到损失发生诉讼或者仲裁时,因评估机构和评估师没有履行相应评估程序,成为承担法律责任的依据。
3、专业胜任能力不足的风险。农业技术型无形资产评估受到自身特殊性影响,评估的复杂性和风险性很高,评估师必须拥有关于农业专利、农业专有技术方面的专业知识和实践经验,专业胜任能力成为评估师出具合理专业判断和公允评估结果的基本保证。例如,农业专有技术评估,信息资料和技术经济参数收集比较困难,加上农业技术型无形资产受到地域环境、自然灾害等环境因素影响,评估结果的不确定性增加,这些因素对农业技术型无形资产评估的专业素质和综合素质带来考验,专业胜任能力不足可能发生执业风险。
(三)农业技术型无形资产自然风险。农业技术型无形资产自然风险是指来自自然界的突发事件(气象灾害、自然灾害等)或者固有限制(地域环境、季节交替等)带来经济损失的可能性。
1、自然灾害风险。农业技术型无形资产的价值通常以其承载体农产品的价值来体现,由于农业生产受到诸多自然灾害的影响,这给农业技术型无形资产的评估价值带来难以预测的风险。一场冰雹可能导致农作物颗粒无收,一场水灾可能造成大片农田被淹没,因此对农业技术型无形资产评估需要考虑其抵抗自然界突发事件的自适应能力,如果一项农业技术型无形资产在相同条件下,其抵御自然灾害或者自我恢复能力强,自然灾害风险就较低,反之自然灾害风险就高。
2、地域性风险。农业生产受气候、水分、土壤等自然环境影响较大,使得农业技术型无形资产依托的农产品地域性特征显著,只能在局部范围内推广,例如:新疆吐鲁番哈密瓜闻名华夏,其口感芳香甘甜、耐人寻味,是受到吐鲁番盆地干旱少雨、昼夜温差较大、气候环境独特的影响,农业生产的地域性特征使得农业技术型无形资产实现价值的空间减小,地域性限制越明显,评估风险越高。
三、农业技术型无形资产评估风险应对措施
(一)加快评估法律法规体系建设,健全评估管理体制。我国资产评估法律法规体系不够完善,评估管理条块分割、多头管理现象突出,应尽快颁布《中华人民共和国注册资产评估师法》和《资产评估管理法》,明确农业技术型无形资产评估原则,规范评估业务操作规程,加强政府的制度性管理和约束,健全评估管理体制,减少政府行政干预,强化行业自律管理,使资产评估有法可依,从根本上解决评估市场混乱问题。
(二)加强内部风险管理,建立内部质量控制制度。评估机构和评估师执业水平能力的高低是产生评估风险的重要因素,评估机构应完善内部风险管理制度和质量控制制度,在内部风险管理上严格执行三级复核制度,完善评估复核的具体办法,明确复核事项的重点,制定评估业务操作规程和风险控制指南;在评估业务质量控制上,评估机构要建立项目承接、制定计划、现场勘察、评定估算、出具报告以及档案管理各阶段的质量控制,明确规定各阶段工作重点和风险防范需要注意的问题。通过制定相关内部管理制度,提高评估机构和评估师的风险意识,把风险降低到最小限度。
(三)建立资产评估风险保障制度,提高风险防范意识。建立评估机构风险保障制度,增强评估机构和评估师的责任和风险防范意识,在评估风险管理中发挥着越来越重要的作用。在评估过程中,评估机构和评估师通常难以负担由于评估失败造成相关当事人经济损失带来的赔偿责任,购买职业责任保险是资产评估机构一项重要的风险规避措施,尽管保险不能免除可能受到的法律诉讼,但能减少诉讼失败时评估机构发生的财务损失。我国应借鉴国际上的先进经验,评估机构应当购买职业责任保险,提取职业风险基金。当评估机构和评估师发生职业风险时,由保险公司负责理赔,不足部分使用提取的专项风险基金,这样既可增强评估机构的风险意识和责任感,又可切实维护客户的合法权益。
主要参考文献:
[1]韩静.资产评估风险预警机制研究[J].金融市场,2012.
篇6
一、收益法在无形资产评估中的工作风险
资产评估收益法,是指通过估测被评估资产未来预期收益的现值来判断资产价值的各种评估方法的总称。评估的工作风险,主要是由于在评估工作过程中采用的评估方法、对委托方诚实程度的了解不够、选用的资料及资产评估人员个人经历、经验限制而导致的误判等引起的风险,属于评估人员主观原因引起或评估手段失误而产生的风险。这种风险,在无形资产采用收益法进行的评估工作中显得尤为突出。当评估机构和评估人员一旦承接了无形资产评估项目,收益法评估的工作风险也就主要集中地反映在对有关参数的预测和货币衡量上。
收益法的基本参数主要有:一是被评估资产的预期收益;二是折现率或资本化率;三是被评估资产取得预期收益的持续时间。能否清晰地把握上述三要素成为能否运用收益法的基本前提。从这个意义上讲,应用收益法必须具备的前提条件是:(1)被评估资产的未来预期收益可以预测,并可以用货币衡量;(2)资产拥有者获得预期收益所承担的风险也可以预测,并可以用货币衡量;(3)被评估资产预期获利年限可以预测。在对无形资产进行价格评估时,看似只有几个参数,似乎很简单,其实几乎每个参数都难以确定,或者说难以准确把握。如预期收益是采用净现金流量还是净利润,用税前利润还是税后利润;无风险报酬率是采用国债利率还是银行利率,采用短期利率还是中长期利率等都有争议;行业报酬率、社会平均报酬率等数据本身的准确含义就很难界定,等等。由于类似问题的存在,使得收益法预测和衡量参数的不确定性大大增加,评估工作风险自然就隐藏其中了。
2004年1月9日证监会下发《关于进一步提高上市公司财务信息披露质量的通知》第六条指出,为防止公司和评估人员高估未来盈利能力并进而高估资产,对使用收益现值法评估资产的,凡未来年度报告的利润实现数低于预测数10%~20%的公司及其聘请的评估人员,应在股东大会及指定报刊上作出解释,并向投资者公开道歉;凡未来年度报告的利润实现数低于预测数20%以上的,除要作出公开解释并道歉外,中国证监会将视情况实行事后审查。“资产评估是一门十分灵活的预测艺术”,用收益法评估无形资产价值,是最科学的方法。当无形资产复杂的不确定因素与其“预测”相结合,使得评估机构和评估人员在整个评估工作过程中面临着更大的工作风险。采用收益法评估无形资产,结果上下可能差几十倍,因而“20%大限”激起了评估业的强烈反应。甚至有人预言“如果按这要求,大多数项目都要出问题,挨板子。”我们知道,证监会提出“20%大限”,用意是为了防范弄虚作假,提醒评估人员谨慎保守些,不能再根据客户需求,随意调节结果。但是,即便是完全按照有关规定进行无形资产评估的有关评估机构和评估人员,仍然在使用收益法评估无形资产的过程中,面临着“20%大限”这一规定的巨大工作风险,更何况无形资产的外部环境也在不时地发生变化。因此,评估机构和评估人员必须审慎,尽可能地防范和规避其工作风险。
二、收益法在无形资产评估中存在工作风险的原因
收益法被公认为是最适合无形资产评估的方法,但由于其本身的技术要求,使得评估工作过程中存在工作风险。
(一)无形资产的评估范围难以界定。资产评估的范围一方面直接决定了评估的工作范围;另一方面更重要的是可以直接测算说明评估结论是否成立。实际上,在时间上是很难对技术型资产的经济寿命进行可靠的测定。对一种新的技术型无形资产来说,它的经济寿命是随着技术开发的深度而不断延伸的,用现行的法定年限或协议年限去测定,实际上忽略了无形资产的可持续利用性。因此,我们常在评估中结合有形资产去界定无形资产的评估范围,但有形资产会随着投入规模的大小而发生变化,使得无形资产的评估范围难以界定。
(二)无形资产的收益期限具有不确定性。无形资产收益期限的确定,要考虑两个因素:一是法律合同寿命;二是经济寿命。我们常常以法定或协议的有效年限为依据,但无形资产的收益期限要受技术进步和使用频率的影响。而无形资产的价值主要表现为超额利润。比如,一项技术型无形资产法定有效期为50年,但实际上3、5年后就会完成技术更新,原有的技术即使继续受法律保护,也已不再具有先进性,不能再为所有者带来超额利润了。有的无形资产具有可持续开发的特性,如一些技术性无形资产的收益期限随着其开发、升级而得到延长。另外,无形资产具有独占性,当一项无形资产被所有者独占时,可以较为清楚地确定收益,但随着技术广泛传播,其价格、成本方面的独占优势逐渐丧失,收益期限也相应缩短。这些都使得无形资产在评估基准日的未来收益期限难以预测,具有不确定性。
(三)无形资产的收益难以预测、衡量或不相匹配。无形资产的收益是一种超额收益,它必须依附于直接的或间接的物质载体来表现它的价值。由于无形资产的存在使企业相关产品的产量、销量增加或产品价格提高,或两者兼而有之;由于无形资产的存在降低了企业的生产经营成本,形成了生产经营费用的节约额;自创无形资产的存在和应用节约了无形资产特许权使用费。而一个企业取得的收益,除了有资产的因素外,更重要的是与人的素质以及市场和机遇等因素有关。企业的收益是资产与人综合作用的结果。因而,在评估实践中要单独确定某项无形资产带来的收益是很难甚至是无法分清的。对无形资产未来收益预测是否准确,直接影响到无形资产价值的评估,而收益又受到很多不确定因素影响,使得收益的预测带有极大的风险。其次,对于委托方拥有的但未对委托方带来收益的无形资产,资产评估人员往往难以掌握,这样也就造成了资产收益不相匹配的风险。
(四)单项无形资产的收益分成率难以测定。无形资产必须与有形资产相联系,否则就不能独立产生经济效益。在预测无形资产收益时,我们的做法是将有形资产和无形资产放在一起,然后通过收益分成率这个指标,将无形资产的价值从综合价值中分离出来。由于直接测定无形资产的分成率较为困难,通常先测算有形资产的分成率,再计算无形资产分成率。但这样做的结果是,分离出来的收益并不单是一种无形资产带来的,它是除有形资产以外各种无形资产价值的综合反映,单项无形资产的收益分成率难以测定。
以上是在采用收益法对无形资产进行评估过程中存在的主要工作风险。除此之外,如市场变化带来的不确定性;市场供求及无形资产竞争情况;无形资产使用状况、机会成本;客户背景、行业性质、经济规模、管理水平、经营前景;评估人员执业水平、工作经验方面的欠缺等,也增加了收益法对无形资产评估的工作风险。
三、收益法在无形资产评估中存在的工作风险防范措施
针对收益法在无形资产评估中存在的工作风险,主要应采取以下措施,进一步防范和规避风险,提高评估工作质量。
(一)加强评估人员风险意识,详细了解被评估无形资产的基本状况。资产评估工作是由评估人员具体操作的,评估风险的大小很大程度上取决于评估人员。因此,必须加强评估人员队伍建设,在评估具体操作中,严格按评估规范意见操作。评估人员应详细了解包括无形资产的取得过程、历史沿革和公司概况;公司经营环境及市场情况;无形资产的产权状况;相关法律、法规及会计特别规定情况;相似无形资产的最新状况等情况。有些时候,委托方往往因为自己的利益,将失真失实的无形资产的历史资料提供给评估人员,而评估人员又常常难以查清这种有目的的失真失实资料,这就给无形资产的评估带来了工作风险。因而,资产评估人员要有风险意识,对委托方提供的资料严格审查,并借助合法的、有效的、辅助的手段,识辨委托方提供资料的真实性。
(二)加强对有关数据资料的收集和分析。要有步骤、有条不紊地组织数据资料的收集整理工作,要反复查对全部有关资料,从一切来源到每份制表单上所引用的每一条数据均应反复细心查对,避免差错。由于收益法是预测未来收益并进行折现的方法,而无形资产在预期收益、收益期限、收益分成率预测等方面又存在复杂性和不确定性,所以在评估时一定要重视数据资料的来源,并对其进行分析。由于不可能得到十分完整的市场资料,仅按手头上所掌握的全部资料而得出的结论并非一定准确可靠。因此,应从多方面、多角度考虑发生某种误差的可能性及其相应的、适当的处理措施,避免在模型问题上走捷径,要将模型建立在历史财务报表的基础上,并充分了解企业财务报表中会计和税务的复杂性,避免重复计算资产。在收益的预测时,要根据适度绩效情景,正确地把握资产的收益。并且,资产评估人员应对委托方提供的被评估资产范围进行认真清查、严密分析、合理推断,包括需要进行相关的市场、行业等调查,理顺资产与收益的匹配关系。
篇7
1.1静态风险评估
静态风险评估是根据传统风险评估的具体方法对较短时间内系统存在的各种风险进行科学的评估,评估的整个过程并不连续,评估的对象主要选择相对静止的系统。
1.2动态风险评估
动态风险评估是对网络进行安全风险的评估,并研究系统变化的过程和趋势,将安全风险与具体的环境相互联系,从宏观的角度了解整个系统存在的安全风险,把握风险的动态变化,风险评估的过程是动态变化的过程。对于电信网络而言,客观准确的进行安全风险的评估是整个电信安全管理的重要前提。风险评估是风险管理的初级阶段,目前,我国的电信网络仍然采用传统静态评估的方式,最终对安全风险的评估只是针对特定的时间点。但是,静态风险评估不能有效的体现评估风险各种变化的趋势,评估结果相对比较滞后。动态风险评估加强了静态风险评估的效果,能够反映较长时间安全风险具体的变化情况。在动态风险进行评估的过程中,如果系统出现安全问题,可以及时的进行处理,展现了整个风险评估的变化过程,保证了网络的安全。对电信网络实施动态风险评估,具有非常复杂的过程,评估的结果具有参考价值。电信网络安全风险评估的研究文/向宗旭随着电信技术的不断发展和深入,电信网络与现代的互联网存在较为紧密的联系,这也为电信网络带来巨大的安全风险。电信网络属于我国通信网络中的重要内容,直接关系到我国社会的稳定。本文主要探讨了电信网络的安全风险评估。
2电信网络安全风险评估具体的实施过程
对电信网络进行安全风险评估的工作,其对象可以针对电信网络的某一部门也可以是整个电信网络。风险评估的内容包含技术的安全问题以及网络管理的安全问题。技术安全主要包括网络安全以及物理安全等,管理安全主要包括管理制度以及人员管理等。对电信网络实施安全风险的评估主要按照以下几个步骤。
2.1风险评估前的准备工作
在进行安全风险评估之前,首先需要获得各个方面对安全风险评估的支持,相互配合,确定需要评估的具体内容,组织负责进行安全风险评估的专业团队,做好市场的调查工作,制定评估使用的方法,只有做好一系列的准备工作才能为接下来的安全风险评估奠定基础。
2.2对资产的识别工作
在电信网络中的资产主要包括具有一定使用价值的资源,电信网络的资产也是进行安全风险评估的主要对象。资产存在多种形式,有无形资产和有形资产,还可以分为硬件和软件。例如,一些网络的布局以及用户的数据等。做好资产识别的工作能够确定资产具体的安全情况。对资产进行安全风险的评估可以综合分析资产的价值以及安全状况,还可以考虑资产具有的社会影响力。社会影响力是指资产一旦失去安全的保障会对整个社会带来影响。
2.3威胁识别工作
威胁的识别是指对电信网络内部资产存在破坏的各种因素,这种潜在的破坏因素客观存在。对资产产生威胁的主要原因包括技术、环境以及人为。技术因素是指网络自身存在的设备故障或者是网络的设计存在疏漏。环境因素是指环境中的物理因素。人为因素是指人为造成的威胁,包括恶意和非恶意。通过对威胁的动机以及发生几率描述网络存在的各种威胁,威胁识别工作的重要任务就是判断出现威胁的可能性。
2.4脆弱性识别工作
网络资产本身具有脆弱性的特点,包括网络存在的各种缺陷。只有网络存在各种缺陷和弱点才有可能出现各种威胁的因素,如果没有威胁的产生,网络具有的脆弱性并不会损害资产。但是只有系统较少自身的脆弱性才会较少资产被威胁的可能性,使系统的资产更加安全,从而有效的较少损失。对电信网络进行脆弱性识别工作可以从技术和管理上展开,主要以资产的安全作为核心内容,针对资产的不同特征,进行脆弱性的识别工作。
2.5确认具体的安全措施
对电信网络进行的安全风险评估需要做好安全措施的确认工作,保持有明显效果的安全措施,对失去效果的安全措施予以改正,避免内部资产的浪费,杜绝重复使用安全措施。一旦发现不合理的安全措施需要及时检查安全措施能否被取消,并制定更合理的安全措施。确认安全措施的工作主要分为预防性和保护性两种。预防性措施主要负责减少威胁性因素产生的可能性,保护性措施是为了减少资产的损失。
2.6风险分析工作
风险分析工作主要对电信网络的资产识别、脆弱性识别、威胁识别以及存在风险对资产造成的损失进行综合性的分析,最终得出准确的风险值,结合制定的安全措施。分析资产承受风险的最大范围。如果出现的安全风险在资产承受的范围之内,需要继续采取安全保护措施,如果安全风险超出了资产承受的范围,这就需要对风险进行控制,制定更可靠的安全措施。
2.7整理风险评估记录
对电信网络实施安全风险评估工作的整个过程,需要进行风险评估的准确记录,包括评估的过程以及评估的最终结果,制定系统的安全风险评估报告。为安全风险评估的工作提供可靠的科学依据。
3结束语
篇8
关键词:风险评估;管理工具;分类;选择;设计
中图分类号:TP311文献标识码:A文章编号:1009-3044(2011)30-7388-02
Research on Risk Assessment and Management Tools
WANG Fu-hua,YAO Jie
(Chongqing Communication Institute, Chongqing 400035, China)
Abstract: This article has carried on the detailed introduction to the risk assessment management tools, and introduced how to choose and design risk assessment management tools.Finally,it offers some ideas for information security assessment practice.
Key words: risk assessment; management tools; classification; choice; design
目前,网络安全问题已成为影响社会经济发展和国家发展战略的重要因素,信息安全评估工作的重要性不言而喻。信息安全风险评估工作是个极复杂又具有挑战性的工作,需要细致的工作,大量的支持性的专业知识的支撑,项目管理也比较复杂,因此如果要更好的完成信息安全风险评估工作就必须有一套非常实用的信息安全风险评估管理工具。一套使用的风险评估管理工具将极大地提高信息安全风险评估工作的效率和结果的正确性。
1 风险评估与管理工具分类
风险评估与管理工具是根据系统关键信息资产、资产面临的威胁以及威胁所利用的脆弱点来确定所面临的威胁、对风险情况进行全面考虑,估算出信息系统的风险情况,且在风险评估的同时根据面临的风险提供相应的控制措施和解决方法。
1.1 基于国家、政府颁布的信息安全管理标准或指南
目前世界上存在多种不同的风险分析指南和方法,不同的风险分析方法其侧重点和关注点各不相同。如:
NIST(National Institute of standard and Technology)的FIPS 65;
DOJ(Department of Justice)的SRAG;
GAO(Government Accounting Office)的信息安全管理的实施指南。
1.2 基于专家系统的风险评估工具
基于专家系统的风险评估工具主要通过建立专家系统和外部知识库,以调查问卷的方式收集组织内部信息安全的状态。对重要资产的威胁和脆弱点进行评估,产生专家推荐的安全控制措施。
基于专家系统的风险评估工具通常可以自动形成风险评估报告,根据风险的严重程度提供风险指数,同时分析可能存在的问题,并提供相应的处理方法。
COBRA(Consultative Objective and Bi-functional Risk Analysis)是一个著名的基于专家系统的风险评估工具,它是一个问卷调查式的风险分析工具,由三个部分组成:调查问卷生成、风险测量和结果分析生成。
基于专家系统的风险评估工具除COBRA之外,比较知名的还有@RISK、BDSS(The Bayesian Decision Support System)等工具。
1.3 基于定性或定量算法的风险分析工具
风险分析作为重要的信息安全保障措施,是信息安全体系不可或缺的一部分。而信息安全风险评估的算法作为风险评估的重要手段,很久以前就被提出并了大量的研究工作,其中一些算法已经成为正式的信息安全标准的一部分。早期的风险评估算法大部分仅仅作定性的分析,对风险产生的可能性和风险产生的后果只能按照高、中、低来区分,这种定性的方式无法准确地估算出风险产生的可能性和损失量。随着人们对信息安全风险了解的不断深入,获得了更多的经验数据,因此人们越来越希望用定量的风险分析方法反映事故发生的可能性。定量的信息安全风险管理标准包括美国联邦标准FIPS31和FIPS191,提供定量风险分析技术的手册包括GAO和新版的NISTRMG。
由于数据收集的困难,目前还没有完全定量的风险评估工具,现有的风险评估工具要么在定性方面有所侧重,要么在定量方面有所侧重。如CONTROL-IT、Definitive Scenario、JANBER都是定性的风险评估工具,而@RISK、Risk-CALC、CORA是半定量的风险评估工具。
2 常见的风险评估管理工具比较
CRAMM:CRAMM是1985年由英国CCTA开发的风险评估系统。CRAMM包括全面的风险评估工具,并且完全遵循BS7799规范,包括依靠资产的建模、商业影响评估、识别和评估威胁和弱点、评估风险等级、识别需求和基于风险评估调整控制等。CRAMM评估风险依靠资产价值、威胁和脆弱点,这些参数值是通过CRAMM评估者与资产所有者、系统使用者、技术支持人员和安全部门人员一起的交互活动得到,最后给出一套解决方案。
COBRA:COBRA是1991年由C&A System Security公司推出另外一个风险评估工具,用来进行信息安全风险管理方法,提供了一个完整的风险分析服务,并且兼容许多风险评估方法学(如定性分析和定量分析等)。它可以看做一个基于专家系统和扩展知识库的问卷系统,对所有的威胁和脆弱点评估其相对重要性,并且给出合适的建议和解决方案。此外,它还对每个风险类别提供风险分析报告和风险值。
@RISK是美国Palisade公司的一款软件产品,在世界范围内广泛使用,是构架在微软Excel之上的一套风险分析工具。在@RISK中,提供了一套完整的风险分析工具,包括可以自行修订的统计分配模型、蒙特卡罗检测、敏感性分析、环境分析、极限值测试等常用的风险评估模型。@RISK建立的流程包括:
1) 在Excel上建立需要分析的问题模型;
2) 确定需要输入模型的不确定值;
3) 通过模拟程序,对可能的参数范围进行分析,以@RISK内置的概率分布函数表示,然后确定模型的输出结果;
4) 产生需要的资料图表进行分析。
表1是对一些主要风险评估工具的比较。
表1
3 选择风险评估工具的原则
1) 根据实际环境和企业的需求选择
2) 风险评估工具应当能够精确地映射网络、应用以及进行攻击测试
怎样了解一个工具的实际功效?最有效的办法是搜索Web,查看媒体的评论,要求厂商提供其他客户的使用情况说明。正式购买之前最好测试一下工具的性能。大多数厂商都提供限制了功能的试用版本,通常是限制IP地址的范围。
3) 不仅要注意风险评估工具为目标平台提供的攻击脚本数量,而且要留意它们的更新速度。
纯粹的数量有时不能说明问题,因为有些厂商可能把许多相关的漏洞看成一个,有的厂商则把它们算作多个漏洞。一些较为优秀的风险评估工具,如CVE,把每一种测试都链接到了一个标准的漏洞案例ID。留意风险评估工具的更新频率,看看它是自动更新还是需要手工执行更新,还有,新的安全威胁发现之后它要多长的时间才能推出相应的更新?
4) 报告数量的多少,内容翔实程度,是否允许导出报表
只能内部使用的扫描结果报表也许能够满足最初的需要,但如果经常对系统进行风险评估,最好能够将生成的报表导出到外部数据库,以便执行对比和分析。
5) 是否支持不同级别的入侵测试以避免系统挂起
所有风险评估工具都有这样的警告:入侵测试过程可能产生DoS攻击,或者导致被测试的系统挂起。通常,在高访问量期间对担负关键任务的系统不应该运行风险评估工具,风险评估工具本身可能带来问题,引起服务中断或系统被锁死。大多数高质量的风险评估工具允许执行侵害程度较小的入侵测试,避免造成系统运行中断。
6) 是否需要在线服务?
有些风险评估工具以在线服务的形式提供。这种形式的优点是不占用硬件资源,可以从任何地方运行和获取报表,自动执行更新,一般而言总拥有成本也较低。缺点是服务的运行速度一般较慢,不象客户端产品那样容易定制。最后还有一点是,如果采用在线服务,则扫描出来的网络漏洞清单还将落入第三方的手中。
4 信息安全风险评估管理工具设计
信息安全风险评估管理工具的设计必须考虑到参考模型可能存在的变化,或者计算方法发生变化而导致的工具适应性的问题,还应该具有项目管理功能,统计分析,报表,辅助评估专家系统,查询,资产管理,更应该加入风险管理与控制模块,如果能提供与其他资产管理软件的接口就更好了。
为了适应评估工作模式,信息安全风险评估工具的架构应该选择B/S结构,评估小组和评估人是最终用户,系统管理员对信息安全风险评估工具进行维护和管理。系统架构如图1。
信息安全风险评估工具中应该包含威胁参考库、脆弱性参考库、资产分类库、可能性定义库,后果定义库、控制措施库等评估辅助专家系统库。这些库都可以自己定义,便于使用。评估小组可以在评估的各个时期都能够得到帮助。
资产管理模块应该包含资产的各种基本信息,包括位置、责任人、所属系统以及各种相关信息。根据不同资产的分类,相关信息也不同,这些相关信息都是有助于系统安全的相关信息。如资产的生命周期、系统补丁信息等。
信息安全风险评估工具需要实际使用的检验,将在不断满足客户的需要的同时逐渐发展、成熟。通过不断的改进和发展,相信信息安全风险评估工具将极大地推动信息安全风险评估工作的进行。
参考文献:
[1] 陈友初.信息安全风险评估的探讨与实践[J].广西科学院学报,2006,22(4):367-369.
[2] 杜辉,刘霞,汪厚祥.信息安全风险评估方法研究[J].舰船电子工厂,2006,26(4):65-69.
[3] 张建军,孟亚平.信息安全风险评估探索与实践[M].北京:中国标准出版社,2005.
[4] 赵战生,谢宗晓.信息安全风险评估[M].北京:中国标准出版社,2007,8.
[5] 冯登国,张阳,张玉清. 信息安全风险评估综述[J].北京:通信学报,2004,25(7):10-18.
[6] 关义章,戴宗坤.罗万伯,等.信息系统安全工程学[M].北京:电子工业出版社,2002,12.
篇9
关键词 信息工程安全系统 风险评估 控制
中图分类号:X92 文献标识码:A
对项目风险管理来说,风险评估是对信息工程安全资产所面临的威胁、存在的弱点、造成的影响及三者综合作用所带来风险的可能性的评估。作为项目风险管理的基础,风险评估是确定信息工程安全需求的一个重要途径,属于信息工程安全管理体系策划的过程。
1 风险评估概述
风险评估是在综合考虑成本效益的前提下,通过安全措施控制风险,使残余风险降低到可以控制的程度。因为任何信息系统都会有安全风险,所谓安全信息系统,实际上指信息系统在实施了风险评估以后做出了风险控制,仍然存在残余风险是可被接受的信息系统我们就称为安全信息系统。追求信息系统安全就不能脱离全面完整的信息系统安全评估,就必须运用信息系统安全风险评估的思想和规范对信息系统进行安全评估。
风险评估的主要任务包括:(1)识别面临的各种风险。(2)评估风险概率和可能带来的负面影响。(3)确定承受风险的能力。(4)确定风险消减和控制的优先等级。(5)推荐风险消减对策。
1.1 信息工程安全系统项目风险评估概述
信息工程安全系统项目风险管理是围绕信息工程安全系统项目风险而展开的评估、处理和控制的活动。其中最重要的基本要素是风险评估,因为基于风险评估可以对政府部门信息工程安全系统项目有系统全面的了解,找出潜在问题,分析原因,判断严重性和相关影响,以此确定信息工程安全系统建设的需求。项目是一个过程,从项目的开始到结束,风险评估要求风险评估贯穿到信息系统的整个生命周期提出了三个环节要进行风险评估:一是信息系统规划设计阶段,二是系统验收阶段,三是信息系统运维阶段。管理的不确定性,有限的资源和千变万化的危险和漏洞,使得所有的风险不可能完全缓解。一个信息系统的项目专业人员必须要协同用户、项目经理对信息系统各种潜在的影响进行评估,使其达到一个合理水平。
由于种种原因,信息安全系统存在着很多漏洞及缺陷,如黑客攻击或系统本身的原因,会造成系统安全事件,给系统带来不好的影响。因此,要对项目的信息安全风险进行相应的评估,评估的主要内容包括系统的安全漏洞和系统可能带来的负面影响,根据相应的等级来进行划分,评估出可能发生的安全风险。
1.2 信息工程安全系统项目风险评估过程
一般来说,系统信息工程安全项目风险评估分为四个不同的阶段。
第一个阶段:风险评估准备阶段。
(1)根据相应的风险评估准则,调研项目的实际情况,然后制定风险评估的计划表。按照实际操作来看,计划通常要由三个重要的表格组成,这三个表分别是:《信息工程安全系统的描述报告》、《信息工程安全系统的分析报告》和《信息工程安全系统的安全要求报告》。通过这些表格及具体的计划表,要对项目的风险评价进行计划。计划的内容一般要设计如下范围:目的、范围、目标、组织架构、经费预算、进度安排。制定好计划书后要及时汇报给决策层。如果决策层有异议,应该及时根据意见加以修改。只有获得决策层的审核和同意后,计划书才能获得批准,才能够获得相应的资源加以执行。
(2)结合项目的具体实际,对整个风险评估流程加以确定。不同的项目风险评估流程是不一样的,必须要结合具体的项目实际对评估的流程加以确定,如何工作,如何评估,评估结果如何衡量等。这个步骤,通常应该形成一个书面的《风险评估程序》,便于后面工作人员的具体操作。
(3)根据项目具体实际,选择特定的风险评估方法和工具。风险评估方法和工具千差万别,具体的某个项目,有针对性地 选择成本低,效果好,结合项目实际的具体方法和工具。
第二个阶段:风险因素识别。
(1)对所有需要保护的信息资产加以清点。根据上文确定的三个相关报告,对单位或项目所有的资产加以清点,找出重要的、对安全有重大影响的信息资产并造册,形成书面的《需要保护的资产清单》。(2)结合相关工具,识别出可能面临的威胁。一般来说,目前信息安全行业都有相应的较为全面的威胁或漏洞库,结合这些数据库,对单位的具体资产进行详细的清点和评估,就能找出可能面临的威胁,编制书面的《威胁列表》。(3)根据上面的工作,参照漏洞库,可以对整个单位信息资产面临的脆弱性加以评估,形成书面的《脆弱性列表》。
第三个阶段:风险程度分析。
(1)确认单位目前已经采用的安全防范措施。通过书面形式,对单位目前已经有的具体防范措施加以总结,填写到《已有安全措施分析报告》。(2)对可能面临的威胁的动机加以分析。面临的威胁的动机一般分为:涉及利益者的攻击、对系统好奇、对自己的技术自负等,要形成书面的《威胁动机分析报告》。(3)分析单位可能面临的威胁行为的能力。这一步主要是对可能面临威胁的具体评估,包括强度、广度、深度等。(4)分析信息资产的价值。信息自查的价值主要从以下几个方面来评估:关键性,价格,敏感性等。(5)分析可能面临的影响的程度。具体包括:资产损失,任务妨害,人员伤亡等。
第四个阶段:风险等级评价阶段。
(1)对威胁的动机加以评价,采用五级划分,分别是:“很高、较高、中等、较低、很低”。(2)对威胁的行为能力加以评价,采用五级划分,分别是:“很高、较高、中等、较低、很低”。(3)对系统脆弱性加以评价,采用五级划分,分别是:“很高、较高、中等、较低、很低”。(4)对资产价值加以评估,采用五级划分,分别是:“很高、较高、中等、较低、很低”。(5)对影响程度加以评价,采用五级划分,分别是:“很高、较高、中等、较低、很低”。(6)对所有因素加以综合评价,采用五级划分,分别是:“很高、较高、中等、较低、很低”。
一般来说,有公认的具体算法。但各单位具体实际情况不一而足。所以,对于公认的算法可以进行修改,或者提出自己认为更符合实际情况的算法。
2 信息工程安全系统项目风险控制
2. 1 风险控制概述
风险评估的目的是进行风险控制,进而最大可能排除系统面临的风险。所以,在信息风险评估之后,就要进行风险控制,其目的是为了尽可能降低系统面临的风险和漏洞。而系统的风险和漏洞,是不可能完全排除的,不论下多么大的成本。只能在一定范围内,尽可能控制在可以接受的范围。一般来说,为了控制可能发生的风险,主要采用以下几种方式:(1)规避风险。规避就是避免使用。例如有一些信息资产面临很大的风险,如果完全消除风险,需要很大的成本,需要更多的经济投入等。那么,一个比较可行的办法就是避免使用这样的资产,或者一些敏感的、需要保密的数据,不在这些资产上使用,从而规避掉可能发生的风险。(2)转移风险。这种方式的思路,就是将已经面临风险的资产转移到风险较低,或者没有风险的资产上。如某单位需要处理技术上足够复杂,没有能力处理的业务时,可以通过寻求外包给第三方专业机构的形式,要求对方做好风险处理,从而达到转移风险的目的。(3)降低风险。降低风险就是在资产面临风险时,通过各种手段和方法来降低其面临的风险。
2.2 信息工程安全系统项目风险控制过程
在信息工程安全项目管理中,风险控制可以划分为四个阶段,分别是:现有风险判断、确定风险控制目标、采取选择和实施具体的风险控制措施。
在不同的阶段,进行不同的工作流程和具体内容,分别如下:
第一阶段:预备阶段。在本阶段,主要是对单位现有的信息资产激进型识别、编号、评估并造册,形成书面报告。
第二阶段:现存风险判断。在本阶段,通过各种工具和方法,对系统信息资产面临的风险加以评级。一般来说,风险的评级主要分为两种:可接受的系统风险和不可接受的系统风险。然后,对系统目前存在的一些风险加以判断,到底是否能够接受。
第三阶段:确定风险控制目标。本阶段主要的工作流程和内容包括:(1)分析风险控制需求。针对上面提出的不可接受的风险,分析其具体需求;并分析哪些是可以做到,哪些不能做到;如果做到,需要具体的成本和措施等。(2)确立风险控制目标。完全搞清楚其具体需求后,就可以确定风险控制的目标。
第四阶段:控制措施选择与实施。
控制措施选择阶段的工作流程和内容如下:(1)选择风险控制方式。确定目标后,就可以采用具体的风险控制方式。选择方式时必须考虑到单位的具体情况,能否实现以及经济投入成本、投入产出比等。(2)选择风险控制措施。控制措施实施阶段的工作流程和内容如下:①制定风险控制实施计划:选择好相应的风险控制方式后,即可制定具体的实施计划。实施计划必须为书面,便于后面的审查以及对照。②实施风险控制措施:采用规避、降低、转移等具体方式来控制。实施过程应该遵循相应的工作流程和标准,并书面记录在案。
3 结语
当前网络信息安全技术发展迅速,任何信息系统都会有安全风险。没有任何一种解决方案可以防御所有危及网络信息安全的攻击。因此我们需要不断跟踪新技术,对所采用的网络信息安全防范技术进行升级完善,以确保相关利益不受侵犯。
参考文献
[1] Stuart McClure 等.黑客大曝光――网络安全机密与解决方案[M].北京:清华大学出版社,2006:140.
[2] 魏仕民等.信息安全概论[M].北京:高等教育出版社,2005:40-41.
[3] 曲平.安全信息管理技术的研发与运用[J].信息通信,2013.
篇10
我国的信息安全标准化制定工作比欧美国家起步晚。全国信息化标准制定委员会及其下属的信息安全技术委员会开展了我国信息安全标准方面工作,完成了许多安全技术标准的制定,如GB/T18336、GB17859等。在信息系统的安全管理方面,我国目前在BS7799和ISO17799及CC标准基础上完成了相关的标准修订,我国信息安全标准体系的框架也正在逐步形成之中[1]。随着信息系统安全问题所产生的损失、危害不断加剧,信息系统的安全问题越来越受到人们的普遍关注,如今国内高校已经加强关于信息安全管理方面的研究与实践。
2高校信息安全风险评估模型
2.1信息安全风险评估流程
[2]在实施信息安全风险评估时,河南牧业经济学院成立了信息安全风险评估小组,由主抓信息安全的副校长担任组长,各个相关单位和部门的代表为成员,各自负责与本系部相关的风险评估事务。评估小组及相关人员在风险评估前接受培训,熟悉运作的流程、理解信息安全管理基本知识,掌握风险评估的方法和技巧。学院的风险评估活动包括以下6方面:建立风险评估准则。建立评估小组,前期调研了解安全需求,确定适用的表格和调查问卷等,制定项目计划,组织人员培训,依据国家标准确定各项安全评估指标,建立风险评估准则。资产识别。学院一卡通管理系统、教务管理系统等关键信息资产的标识。威胁识别。识别网络入侵、网络病毒、人为错误等各种信息威胁,衡量威胁的可发性与来源。脆弱性识别。识别各类信息资产、各控制流程与管理中的弱点。风险识别。进行风险场景描述,依据国家标准划分风险等级评价风险,编写河南牧业经济学院信息安全风险评估报告。风险控制。推荐、评估并确定控制目标和控制,编制风险处理计划。学院信息安全风险评估流程图如图1所示:
2.2基于PDCA循环的信息安全风险评估模型
PDCA(策划—实施—检查—措施)经常被称为“休哈特环”或者“戴明环”,是由休哈特(WalterShewhart)在19世纪30年代构想,随后被戴明(EdwardsDeming)采纳和宣传。此概念的提出是为了有效控制管理过程和工作质量。随着管理理念的深入,该循环在各类管理领域得到广泛使用,取得良好效果。PDCA循环将一个过程定义为策划、实施、检查、措施四个阶段,每个阶段都有阶段任务和目标,如图2所示,四个阶段为一个循环,一个持续的循环使过程的目标业绩持续改进,如图3所示。
3基于PDCA循环模型的信息安全风险评估的实现
[3-5]河南牧业经济学院信息系统安全风险评估的研究经验积累不足,本着边实践边改进,逐步优化的原则,学院决定采用基于PDCA循环的信息安全评估模型。信息安全风险评估模型为信息安全风险评估奠定了理论依据,是有效进行信息安全风险评估的前提。学院拥有3个校区,正在逐步推进数字化校园的建设。校园网一卡通、教务、资产、档案等管理系统是学院网络核心业务系统,同时各院系有自己的各类教学系统平台,由于网络环境的复杂性,经常会监控到信息系统受到内外部的网络攻击,信息安全防范问题已经很突出。信息安全风险评估小组依据自行研发的管理系统对学院各类信息系统进行全面的风险评估(图4),以便下一步对存在的风险进行有效的管理,根据信息系统安全风险评估报告,提出相应的系统安全方案建议,对全院信息系统当前突出的安全问题进行实际解决。
3.1建立信息安全管理体系环境风险评估(P策划)
风险规划是高校开展风险评估管理活动的首要步骤。学院分析内外环境及管理现状,制定包括准确的目标定位、具体的应对实施计划、合理的经费预算、科学的技术手段等风险评估管理规划。风险规划内容包括确定范围和方针、定义风险评估的系统性方法、识别风险、评估风险、识别并评价风险处理的方法。信息安全评估风险评估管理工作获得院领导批准,评估小组开始实施和运作信息安全管理体系。
3.2实施并运行信息安全管理体系(D实施)
该阶段的任务是管理运作适当的优先权,执行选择控制,以管理识别的信息安全风险。学院通过自行研发的信息安全风险管理工具,将常见的风险评估方法集成到软件之中,包括有信息资产和应用系统识别、风险识别与评估、风险处置措施及监测、风险汇总与报告生成等功能。通过使用信息安全风险管理工具,安全风险评估工作都得到了简化,减轻人员的工作量,帮助信息安全管理人员完成复杂的风险评估工作,从而提高学院的信息安全管理水平。
3.3监视并评审信息安全管理体系(C检查)
检查阶段是寻求改进机会的阶段,是PDCA循环的关键阶段。信息安全管理体系分析运行效果,检查到不合理、不充分的控制措施,采取不同的纠正措施。学院在系统实施过程中,规划各院系的信息安全风险评估由本系专门人员上传数据,但在具体项目实施中,发现上传的数据随意甚至杜撰,严重影响学院整体信息系统安全评估的可靠性,为了强化人员责任意识,除了加强风险评估的培训外,还制定相应的惩罚奖励制度,实时进行监督检查,尽最大可能保证风险评估数据的准确性[6]。
3.4改进信息安全管理体系(A措施)
经过以上3个步骤之后,评估小组报告该阶段所策划的方案,确定该循环给管理体系是否带来明显的效果,是继续执行,还是升级改进、放弃重新进行新的策划。学院在项目具体实施后,信息安全状况有了明显的改善,信息管理人员安全责任意识明显提升,遭受到的内外网络攻击、网络病毒等风险因素能及时发现处理。评估小组考虑将成果具体扩大到学院其他的部门或领域,开始了新一轮的PDCA循环持续改进信息安全风险评估。
4结语
- 上一篇:人防工程建设管理规定
- 下一篇:保险行业财务管理