风险评估(Risk Assessment)是指,在风险事务发作之前或之后(但还没有完毕),该事务给人们的生活、生命、财富等各个方面形成的影响和缺失的可能性停止量化评估的工做。即,风险评估就是量化测评某一事务或事物带来的影响或缺失的可能水平。
风险评估是阐发确定风险的过程,在国际投资范畴中,为削减投资人的投资失误和风险,每一次投资活动都必需成立一套科学的,适应本身的投资活动特征的理论和办法。风险评估陈述是操纵丰富的材料和数据,定性和定量相连系,对投资项目标风险停止全面的阐发评判,摘取响应的办法往削减、化解、躲避风险的路子。
风险评估是在全面系统阐发目标企业和项目标根底上,根据国际通行的投资风险评估办法,站在第三方角度客看公允地对企业、项目标投资风险停止阐发。风险评估包罗了投资决策所关心的全数内容,如企业详尽介绍、项目详尽介绍、产物和办事形式、市场阐发、融资需求、运做方案、合作阐发、财政阐发等内容,并在此根底上,以第三方角度,客看公允地对投资风险停止评估。
(一)可行路子
在风险治理的前期预备阶段,组织已经根据平安目标确定了本身的平安战术,此中就包罗对风险评估战术的考虑。所谓风险评估战术,其实就是停止风险评估的路子,也就是规定风险评估应该延续的操做过程和体例。
风险评估的操做范畴能够是整个组织,也能够是组织中的某一部分,或者独立的信息系统、特定系统组件和办事。影响风险评估停顿的某些因素,包罗评估时间、力度、展开幅度和深度,都应与组织的情况和平安要求相契合。组织应该针对差别的情状来抉择安妥的风险评估路子。现实工做中经常利用的风险评估路子包罗基线评估、详尽评估和组合评估三种。
1、基线
假设组织的贸易运做不是很复杂,而且组织对信息处置和收集的依靠水平不是很高,或者组织信息系统多摘用普及且原则化的形式,基线风险评估(Baseline Risk Assessment)就能够间接而简单地实现根本的平安程度,而且称心组织及其贸易情况的所有要求。
摘用基线风险评估,组织根据本身的现实情状(所在行业、营业情况与性量等),对信息系统停止平安基线查抄(拿现有的平安办法与平安基线规定的办法停止比力,找出此中的差距),得出根本的平安需求,通过抉择并施行原则的平安办法来消减和掌握风险。所谓的平安基线,是在诸多原则标准中规定的一组平安掌握办法或者老例,那些办法和老例适用于特定情况下的所有系统,能够称心根本的平安需求,能使系统到达必然的平安防护程度。
展开全文
基线评估的长处是需要的资本少,周期短,操做简单,关于情况类似且平安需求相当的诸多组织,基线评估显然是最经济有效的风险评估路子。当然,基线评估也有其难以制止的缺点,好比基线程度的凹凸难以设定,假设过高,可能招致资本浪费和限造过度,假设过低,可能难以到达足够的平安,此外,在治理平安相关的改变方面,基线评估比力困难。
基线评估的目标是成立一套称心信息平安根本目标的最小的计谋聚集,它能够在全组织范畴内实行,假设有特殊需要,应该在此根底上,对特定系统停止更详尽的评估。
2、详尽
详尽风险评估要求对资产停止详尽识别和评判,对可能引刮风险的威胁和弱点程度停止评估,根据风险评估的成果来识别和抉择平安办法。那种评估路子集中表现了风险治理的思惟,即识别资产的风险并将风险降低到可承受的程度,以此证明治理者所摘用的平安掌握办法是安妥的。
(1)风险识别
“风险识别”(risk identification)是发现、认可和描述风险的过程。风险识别包罗对风险源、风险事务、风险原因及其潜在后果的识别。风险识别包罗汗青数据、理论阐发、有常识的定见、专家的定见,以及利益相关方的需求。
(2)风险评判
“风险评判”(risk evaluation)是把风险阐发的成果与风险原则比拟较,以决定风险和/或其大小能否可承受或可容忍的过程。准确的风险评判有助于组织对风险应对的决策。
详尽评估的长处在于:
①组织能够通过详尽的风险评估而对信息平安风险有一个切确的熟悉,而且准确定义出组织的平安程度和平安需求;
②详尽评估的成果可用来治理平安改变。当然,详尽的风险评估可能长短常消耗资本的过程,包罗时间、精神和手艺,因而,组织应该认真设定待评估的信息系管辖域,明白商务情况、操做和信息资产的鸿沟。
3、组合
基线风险评估消耗资本少、周期短、操做简单,但不敷准确,合适一般情况的评估;详尽风险评估准确而详尽,但消耗资本较多,合适严厉限制鸿沟的较小范畴内的评估。基于在理论傍边,组织多是摘用二者连系的组合评估体例。
为了决定抉择哪种风险评估路子,组织起首对所有的系统停止一次初步的高级风险评估,着眼于信息系统的商务价值和可能面对的风险,识别出组织内具有高风险的或者对其商务运做极为关键的信息资产(或系统),那些资产或系统应该划进详尽风险评估的范畴,而其他系统则能够通过基线风险评估间接抉择平安办法。
那种评估路子将基线和详尽风险评估的优势连系起来,既节约了评估所消耗的资本,又能确保获得一个全面系统的评估成果,并且,组织的资本和资金可以利用到最能发扬感化的处所,具有高风险的信息系统可以被预先存眷。当然,组合评估也出缺点,假设初步的高级风险评估不敷准确,某些原来需要详尽评估的系统也许会被漠视,最末招致成果失准。
(二)办法
1、风险因素阐发法
风险因素阐发法是指对可能招致风险发作的因素停止评判阐发,从而确定风险发作概率大小的风险评估办法。其一般构想是:查询拜访风险源→识别风险转化前提→确定转化前提能否具备→估量风险发作的后果→风险评判。
2、模糊综合评判法
3、内部掌握评判法
内部掌握评判法是指通过对被审计单元内部掌握构造的评判而确定审计风险的一套办法。因为内部掌握构造与掌握风险间接相关,因而那种办法次要在掌握风险的评估中利用。
4、阐发性复核法
阐发性复核法是注册管帐师对被审计单元次要比率或趋向停止阐发,包罗查询拜访反常变更以及那些重要比率或趋向与预期数额和相关信息的差别,以揣度管帐报表能否存在重要错报或漏报可能性。常用的办法有比力阐发法、比率阐发法、趋向阐发法三种。
5、定性风险评判法
定性风险评判法是指那些通过看察、查询拜访与阐发,并借助注册管帐师的体味、专业原则和揣度等能对审计风险停止定性评估的办法。它具有便当、有效的长处,合适评估各类审计风险。次要办法有:看察法、查询拜访领会法、逻辑阐发法、类似估量法。
6、风险率风险评判法
风险率风险评判法是定量风险评判法中的一种。它的根本构想是:先计算出风险率,然后把风险率与风险平安目标比拟较,若风险率大于风险平安目标,则系统处于风险形态,两数据相差越大,风险越大。
风险率等于风险发作的频次乘以风险发作的均匀缺失,风险缺失包罗无形缺失,无形缺失能够按必然原则折换或按金额停止计算。风险平安目标则是在大量体味积存及统计运算的根底上,考虑到其时的科学手艺程度、社会经济情状、法令因素以及人们的心理因素等确定的普及可以承受的更低风险率。