導語：如何才能寫好一篇資產(chǎn)風險評估，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

【關(guān)鍵詞】高職院 固定資產(chǎn) 風險評估 控制活動

高職院固定資產(chǎn)有著舉足輕重的重要作用，是教學和科研的基礎(chǔ)，價值一般占到總資產(chǎn)的一半以上。因此，管理好高職院固定資產(chǎn)，既關(guān)系社會民生，又涉及預(yù)防腐敗，我國亟需建立和完善高職院固定資產(chǎn)內(nèi)部控制，提高固定資產(chǎn)管理內(nèi)部管理水平，防范內(nèi)部風險，確保各項行政活動順利開展。由于固定資產(chǎn)內(nèi)部控制涉及問題比較廣泛，本文以固定資產(chǎn)內(nèi)部控制最為重要的風險評估與控制活動為研究對象，結(jié)合內(nèi)部控制相關(guān)理論，分析固定資產(chǎn)風險評估和控制活動存在的問題，有針對性的提出改善方案。

一、固定資產(chǎn)內(nèi)部控制問題

（一）風險評估方面主要問題是機制不健全，缺乏專門的風險管理機構(gòu)，更沒有設(shè)置相關(guān)的風險管理崗位。當上級主管部門有要求進行風險管理相關(guān)工作時，則由監(jiān)察審計部門暫時執(zhí)行該項工作，但是由于實際執(zhí)行有難度，再加上風險意識不夠，普遍認為這個工作比較虛，各單位部門普遍應(yīng)付一下。

（二）控制活動方面存在的問題較多，一是采購不夠嚴謹，零星采購數(shù)額巨大，程序過于簡單；二是驗收力度不夠，缺乏專業(yè)人才，招標價格與驗收價格有差異，入賬價格不時高于合同價格；三是固定資產(chǎn)處置、維護和處置環(huán)節(jié)還存在弊端。

二、固定資產(chǎn)內(nèi)部控制設(shè)計

（一）加強固定資產(chǎn)管理風險控制，組建風險管理委員會。高職院應(yīng)增設(shè)一個專門的風險管理委員會，全權(quán)負責構(gòu)建高職院風險管理框架，組織并實施全面風險管理，由學院黨委直接領(lǐng)導。委員會的成員由財務(wù)處、監(jiān)察審計處、后勤處等部門人員構(gòu)成。

風險管理委員會的主要職責是在全院形成風險管理文化氛圍，提高全院教職員工風險管理意識，識別學院重要業(yè)務(wù)相關(guān)風險，分析并制定風險應(yīng)對措施，編制風險管理報告和測評報告向?qū)W院領(lǐng)導匯報。固定資產(chǎn)管理相關(guān)的風險評估如下：

（二）加強固定資產(chǎn)管理控制活動

1.為優(yōu)化零星采購，可以逐步建立一個資源庫，對于各類固定資產(chǎn)都尋找一些適合的供應(yīng)商，錄入資源庫，在需要采購的時候，從資源庫調(diào)出適合的供應(yīng)商，再由電腦或不相關(guān)人員隨機抽取供應(yīng)商，這樣供應(yīng)商也搞不清能否抽中，也不需要想方設(shè)法中標。

2.高職院應(yīng)加大驗收相關(guān)規(guī)定執(zhí)行力度，嚴格按照規(guī)章制度進行驗收。特別是對于價值量大，質(zhì)量要求高的固定資產(chǎn)，必須在專業(yè)人才到場的情形下才能開展驗收工作。驗收人員必須增強責任心，認真核對資產(chǎn)信息，檢查資產(chǎn)運作情況，對合同金額、發(fā)票金額、驗收價格要核對一致，如確實發(fā)現(xiàn)不一致的情況，應(yīng)該拒絕驗收。

3.高職院固定資產(chǎn)種類多如牛毛，存放地點極其分散，管理工作較繁雜，存在資產(chǎn)流失的風險。資產(chǎn)管理科負責編制固定資產(chǎn)明細表，注明每一項資產(chǎn)的責任人和存放點，由使用人負責資產(chǎn)的日常管理，在領(lǐng)用或購買資產(chǎn)時，由資產(chǎn)管理科在資產(chǎn)使用帳上登記，離職或變更崗位時，必須交回資產(chǎn)并辦理相關(guān)手續(xù)，向資產(chǎn)管理科報告登記，務(wù)必將每一項資產(chǎn)責任到人。明確資產(chǎn)使用人有利于分清責任，落實責任，為日后固定資產(chǎn)清查做好鋪墊。

資產(chǎn)使用人因各種原因離崗時，應(yīng)當辦理固定資產(chǎn)交接手續(xù)，清點資產(chǎn)、核對賬目，確保資產(chǎn)賬、卡、物相符，交接時部門負責人須在當場監(jiān)督。

高職院應(yīng)要求資產(chǎn)管理科負責建立并管理所有固定資產(chǎn)文檔，固定資產(chǎn)購入時即將其合同、保修卡等資料統(tǒng)一歸檔管理，以便日后順利開展維修、轉(zhuǎn)讓等工作，使用部門則保存相關(guān)資料復(fù)印件方便使用，避免固定資產(chǎn)因使用人員多且經(jīng)常調(diào)換丟失資料。

4.在維修保養(yǎng)方面，高職院應(yīng)定期保養(yǎng)設(shè)備，以防范為主，適時保養(yǎng)。保養(yǎng)一旦發(fā)現(xiàn)問題，立即上報，對資產(chǎn)進行維修。對精密貴重的設(shè)備，要制定專人進行管理和維護，應(yīng)對使用人進行專業(yè)培訓，定期檢測、校驗，確保精度和性能良好。對房屋等建筑物，資產(chǎn)管理科也要定期檢查，及時提出鑒定、拆除和修繕意見。對一般的教學等機器設(shè)備，有專人專用的，使用人負責維修保養(yǎng)，共同使用的由資產(chǎn)管理科負責維修保養(yǎng)。對大型的專用設(shè)備，由實訓室與現(xiàn)教管理中心或委托專業(yè)機構(gòu)定期檢查維護。

資產(chǎn)管理科還應(yīng)建立相關(guān)的維修保養(yǎng)檔案，登記固定資產(chǎn)的維修保養(yǎng)情況，定期對維修費用進行分析統(tǒng)計，如核算維修頻率、維修計劃完成率等，既能反映出所購固定資產(chǎn)的質(zhì)量，為下一次的固定資產(chǎn)采購提供參考信息，又能為制定固定資產(chǎn)的維修保養(yǎng)計劃提供科學依據(jù)，還能監(jiān)督維修保養(yǎng)實施情況。

5.固定資產(chǎn)清查方面，高職院應(yīng)建立適合的固定資產(chǎn)清查制度，明確資產(chǎn)清查頻率、任務(wù)分工和具體的程序。

在清查頻率方面，應(yīng)堅持全面清查和分批清查相結(jié)合的原則。由于學院固定資產(chǎn)數(shù)量龐大，全面清查費時費力，如果難以一年完成一次全面清查，那么可以每兩年一次，制定相應(yīng)的分批清查計劃，每年清查一部分部門單位，及早發(fā)現(xiàn)資產(chǎn)管理相關(guān)問題，及時鞏固資產(chǎn)清查的結(jié)果。

高職院應(yīng)成立資產(chǎn)清查工作領(lǐng)導小組，由學院領(lǐng)導任組長，指導并督辦清查事項，清查工作領(lǐng)導小組辦公室可以掛靠資產(chǎn)管理科，由資產(chǎn)管理科具體組織實施資產(chǎn)清查工作，組織各部門單位自查，將自查結(jié)果報告資產(chǎn)管理科。資產(chǎn)管理科再組織一到兩個復(fù)查小組，到部分關(guān)鍵部門單位復(fù)查，重點復(fù)查金額重大、有物無帳、有帳無物等特殊情況，最后匯總清查情況，如實向資產(chǎn)清查工作領(lǐng)導小組報告。

篇2

關(guān)鍵詞：資產(chǎn)評估；風險管理；對策

中圖分類號：F123.7 文獻標識碼：A 文章編號：1001-828X（2014）03-0-01

一、資產(chǎn)評估風險

資產(chǎn)評估風險就是評估人員因為主客觀原因在資產(chǎn)評估時對資產(chǎn)的價值區(qū)間和它的實際價值沒有進行科學評估，由此產(chǎn)生較大的偏離。外部風險、內(nèi)部風險是形成資產(chǎn)評估風險的兩個主要方面。風險識別、風險預(yù)測、風險評價等風險管理流程是資產(chǎn)評估的基本要素，用不同的方式來控制資產(chǎn)評估活動中的風險，并把資產(chǎn)評估風險控制在可接受范圍，這就是資產(chǎn)評估風險管理。評估機構(gòu)在開展業(yè)務(wù)的時候會認真識別可能遇到的各種風險因素，以便于評估者能夠認識到資產(chǎn)評估所處的風險環(huán)境。評估者的專業(yè)判斷能力是風險預(yù)測和評價的主要影響因素。

二、資產(chǎn)評估風險的產(chǎn)生的原因

（一）主觀性的評估執(zhí)業(yè)造成的風險

進行評估業(yè)務(wù)的評估師是專家職業(yè)，有著很濃厚的主觀判斷色彩。不過，要真正獨立而客觀地進行主觀評估對于評估師來說，這和評估的客觀要求是有一定的沖突的。要是我們對這個矛盾的認識不清楚，評估師的業(yè)務(wù)工作和評估機構(gòu)就會出現(xiàn)管理風險。我們可以將資產(chǎn)評估看做是智力性的中介服務(wù)行業(yè)。評估師執(zhí)業(yè)既要符合國家的法律政策，又要遵循評估行業(yè)的評估準則，評估師的主觀判斷是相當重要的。每個評估師在對相同的資產(chǎn)進行評估的時候所得出的結(jié)論都是不盡相同的。評估師的評估判斷會受到他的專業(yè)知識、工作經(jīng)歷、社會關(guān)鍵等因素的影響。評估師的個人喜好和情緒等心理調(diào)節(jié)也會對評估對象的專業(yè)判斷產(chǎn)生影響。

（二）獨立性的資產(chǎn)評估造成的風險

獨立性的資產(chǎn)評估要求不應(yīng)該干擾評估報告的發(fā)表，資產(chǎn)評估的獨立性的影響因素并不是單一的。當前，評估機構(gòu)和客戶間往往會因為委托收費制度而出現(xiàn)利益關(guān)系，評估師的獨立性就會受到這種利益關(guān)系的影響。從當前的體制來看，委托單位通過能夠決定評估機構(gòu)的聘用和解聘，委托單位支付評估費用。因此處于較為弱勢地位的評估師和評估機構(gòu)。評估師往往會根據(jù)客戶的喜好來發(fā)表評估意見，這種待遇利益目的的冬季使得評估機構(gòu)經(jīng)過會向客戶妥協(xié)，尤其是當評估機構(gòu)覺得可以化解風險的時候。評估行業(yè)存在著激烈的競爭，這種競爭程度和資產(chǎn)評估失誤出現(xiàn)的懲罰程度都會使得評估師的公正立場受到影響。

（三）滯后的評估規(guī)則效力造成的風險

要想謹慎地進行資產(chǎn)評估就應(yīng)該根據(jù)資產(chǎn)評估準則來嚴格實施，做到評估師的義務(wù)和責任的統(tǒng)一。不過因為社會在不斷地發(fā)展，評估準則的制定通常比較滯后，由此給資產(chǎn)評估師的工作帶來了一定的困難。因為當前的資產(chǎn)評估準則和社會發(fā)展要求并不總是同步，所以就算按照審計準則來進行評估，也不一定能做到盡善盡美，故而資產(chǎn)評估在卷入法律訴訟案件時其處境還是比較被動的。原因在于法院的判案經(jīng)常會根據(jù)當下的社會發(fā)展要求來決定，而資產(chǎn)評估準則又之后與社會的發(fā)展，風險也就由此產(chǎn)生。

三、資產(chǎn)評估風險的管理對策

（一）科學構(gòu)建資產(chǎn)評估準則體系

當前，由于資產(chǎn)評估行業(yè)還缺乏完善的資產(chǎn)評估準則體系，使得評估工作沒有同意的規(guī)范作為依據(jù)。因此，我們應(yīng)該多學習和借鑒國外評估行業(yè)的好的評估方法和理論，并根據(jù)我國的實際情況來制定適應(yīng)的資產(chǎn)評估準則體系。在這個體系制定中，應(yīng)該考慮到四個方面：技術(shù)、職業(yè)道德、質(zhì)量控制、繼續(xù)教育。全面規(guī)范評估機構(gòu)和評估師的行業(yè)行為。資產(chǎn)評估準則體系的建立要具有實用性和科學性，要符合經(jīng)濟發(fā)展的要求。另外，還應(yīng)該考慮到靈活性、普遍性、穩(wěn)定性、針對性，這個體系不但要能夠?qū)φ麄€評估活動適用，還能夠具體解決某個方面的問題，幫助評估師在準則范圍內(nèi)科學進行專業(yè)判斷，讓他們盡量少受主觀評估的影響。

（二）增強資產(chǎn)評估獨立性

資產(chǎn)評估的獨立性主要受兩方面因素的影響：一是利用關(guān)系方的誘惑程度，二是評估機構(gòu)因缺乏獨立性而受到的懲罰程度。因而可以通過建立資產(chǎn)評估協(xié)會來加強資產(chǎn)評估的獨立性，賦予其權(quán)威性，并做好行業(yè)監(jiān)督。評估機構(gòu)和客戶的利益關(guān)系因為檔期的委托收費制度而超過了評估機構(gòu)和資產(chǎn)評估方的關(guān)系。評估協(xié)會要改變這種不平衡的三方關(guān)系，首先就要對當前的委托收費制度進行改變，構(gòu)建資產(chǎn)評估需求方、資產(chǎn)評估委托人共同付費聘用評估機構(gòu)的新機制。另外，要進一步監(jiān)督低價攬客行為，抵制消極競爭。對于那些違反規(guī)定的評估機構(gòu)，評估協(xié)會應(yīng)該加大懲罰力度，以此來避免對資產(chǎn)獨立性的損害。

（三）加強評估人員整體綜合素質(zhì)教育

評估結(jié)果的質(zhì)量會都到評估師的綜合素質(zhì)的影響。要提高評估師的綜合素質(zhì)就應(yīng)該采取切實可行的措施。具體來說，一是要規(guī)范評估師的執(zhí)業(yè)行為。建立更為科學而規(guī)范的技術(shù)準則，提高評估結(jié)果的質(zhì)量，且要對評估師灌輸執(zhí)業(yè)風險意識和質(zhì)量意識。評估師不應(yīng)該接受超出自己能力范圍的項目，不能不經(jīng)過實地勘察和分析就給出項目評估報告。要認真根據(jù)評估準則來評估具體項目，評估報告撰寫需仔細，對風險進行有效規(guī)避。二是要對評估師進行道德素質(zhì)教育，通過職業(yè)道德教育宣傳來規(guī)范資產(chǎn)評估師的職業(yè)道德行為，制定相關(guān)的法律法規(guī)，對違法犯罪行為要進行嚴格的處罰。三是加強繼續(xù)教育。要想提高評估師的整體水平，就應(yīng)該構(gòu)建科學的資產(chǎn)評估職業(yè)教育培訓機制，用科學有效的培訓方案來加強評估師的繼續(xù)教育，并將之法律化和制度化。繼續(xù)教育應(yīng)該要有系統(tǒng)性和科學性，讓評估師能夠長期接受良好的教育，從而提高資產(chǎn)評估結(jié)果的質(zhì)量。

四、結(jié)語

我國的資產(chǎn)評估工作發(fā)展較晚，風險管理經(jīng)驗還不成熟。相關(guān)的資產(chǎn)評估法律法規(guī)建設(shè)也比較滯后。當前，我國還沒有完善的資產(chǎn)評估準則和資產(chǎn)評估師法律。評估風險因為法律環(huán)境的不完善而增大了。所以，評估機構(gòu)和評估師要特別注意增強風險防范意識，有效地規(guī)避風險管理可降低風險發(fā)生的概率和程度。所以，評估機構(gòu)建立執(zhí)業(yè)風險保障制度是評估機構(gòu)抵御風險，保障其可持續(xù)發(fā)展的有效方式。

參考文獻：

[1]譚，尉京紅.資產(chǎn)評估行業(yè)發(fā)展及展望[J].集團經(jīng)濟研究，2007（01）.

篇3

一、宏觀層面

1．政治政策風險。也就是投資目標地政局是否穩(wěn)定，或者政府會不會出臺某些政策對所投資的標的產(chǎn)生負面影響。

2．經(jīng)濟風險。經(jīng)濟環(huán)境是否穩(wěn)定，各主要經(jīng)濟指標是否在合理范圍(金融指標尤其重要)，經(jīng)濟發(fā)展趨勢怎樣。股市、樓市泡沫等因素都要列入考慮范圍，這對今后的投資成功與否非常重要。

3．文化風險。這一風險主要是針對全球范圍內(nèi)的投資，要充分考慮所投資項目是否與當?shù)匚幕袥_突，是否符合當今世界的發(fā)展趨勢。在當前環(huán)境下，投資那些環(huán)保，新能源，高新技術(shù)之類的項目經(jīng)濟風險就要小很多。

二、微觀層面

在分析這一層面時要考慮的因素非常多，并且也非常復(fù)雜，一般需要大量的財務(wù)，金融，營銷方面的知識。我現(xiàn)在拿投資寶潔公司為例。首先要分析公司五年來連續(xù)的財務(wù)報表，熟悉公司的資產(chǎn)負債率，每股回報率，利潤增長率等一系指標，注意公司近期是否有大的資本運作，如兼并，拆分股票等。熟悉公司目標市場的容量，增長情況，消費者信息，競爭對手的動作等等。只有做到對某一公司的運營狀況非常了解，才能保證有效的投資回報率，否則就會心里沒底，導致接二連三的失敗。

三、個人風險

個人風險主要是個人在進行投資活動時對投資結(jié)果的反應(yīng)程度風險。每個人都應(yīng)當明白，投資是一項高風險的運作，所以一定要有淡定的心態(tài)和良好的心理素質(zhì)，做到勝不驕敗不餒，并且千萬不要用老本進行投資，更不能借貸投資。否則一次失敗的投資可能導致高危的個人風險，血本無歸，輕生，甚至家破人亡。通過風險識別，充分揭示了企業(yè)所面臨的各種風險和風險因素，通過風險估計，確定了風險發(fā)生的概率和損失的嚴重程度。然而，要確定是否采取控制措施，采取什么樣的控制措施，控制措施采取到什么程度，采取控制措施后，原來的風險因素發(fā)生了什么變化，是否產(chǎn)生了新的風險和新的風險因素?這些都需要通過風險評價加以解決。風險評價是選擇風險管理技術(shù)的基礎(chǔ)，根據(jù)風險評價的結(jié)果采取措施對風險進行管理。風險評價的意義可以總結(jié)為幾點:

1風險評價對于減少風險事故的發(fā)生，特別是防止重大事故的發(fā)生，具有非常重要的作用。

2風險評價可以確定控制措施采取的程度。因為任何一項風險控制都必須付出一定的經(jīng)濟代價，而且隨著風險程度的減少，所付出的代價就越大。因此，從經(jīng)濟性角度考慮，就應(yīng)該合理的控制風險程度，通過風險評價，可以確定控制措施采取到什么程度

3風險評價也是保險公司進行承保過程的一個重要環(huán)節(jié)。通過對投保標的進行風險評價，才能確定是否承保，并根據(jù)評價結(jié)果確定保險費率。風險評價也是保險人對保戶提供風險管理服務(wù)的主要內(nèi)容。安全指標是通過對大量損失資料的分析，承認損失事故的發(fā)生是不可完全避免的前提下，從當前的科學技術(shù)水平、社會經(jīng)濟情況以及人們的心理等因素出發(fā)，確定一個整個社會都能接受的最低風險界限，作為衡量企業(yè)風險嚴重程度的標準。

在當今世界，風險投資的影響越來越大，尤其是在高新技術(shù)產(chǎn)業(yè)化的進程中，風險投資扮演了一個重要的角色。它能促進高新技術(shù)產(chǎn)業(yè)的發(fā)展，推動技術(shù)創(chuàng)新?？傮w上看，我國的風險投資業(yè)無論是從規(guī)模、發(fā)展速度，還是從質(zhì)量上與發(fā)達國家都有相當大的差距。風險投資業(yè)的市場化機制尚未建立，發(fā)展的外部環(huán)境不完善，也對風險投資的實踐造成了巨大的障礙。即便如此，風險投資業(yè)的驕人成績?nèi)晕絹碓蕉嗟母呖萍技夹g(shù)企業(yè)。但要從眾多的高技術(shù)企業(yè)中挑選增長潛力高、風險適中的企業(yè)進行投資，就需要憑借有效的評價方法來進行篩選，尤其是對項目投資的風險進行評價。風險項目投資具有高風險、高收益的特點，科學、準確的評價方法對項目投資至關(guān)重要。傳統(tǒng)的評價方法主觀因素太強，而人工神經(jīng)網(wǎng)絡(luò)模型克服了傳統(tǒng)項目評價依賴專家經(jīng)驗的弊端，為項目投資風險評價開辟了新途徑。

篇4

摘 要 無形資產(chǎn)評估因為存在著許多復(fù)雜的不確定因素，致使評估風險的產(chǎn)生。本文主要論述了無形資產(chǎn)評估的三種方法，探討其評估過程中所產(chǎn)生的種種風險，并就應(yīng)如何從根源上減少風險提出建設(shè)性意見。

關(guān)鍵詞 無形資產(chǎn)評估 風險 控制

無形資產(chǎn)指的是企業(yè)所擁有的或者是在其控制下的、非實物形態(tài)的可辨認非貨幣性資產(chǎn)。無形資產(chǎn)評估風險的存在是因為在其評估過程中存在著許多復(fù)雜的不定性因素，這些因素是導致無形資產(chǎn)評估風險存在的主因。本文主要論述了三種常用評估方法中存在的風險，并就應(yīng)如何處理和控制提出建設(shè)性的意見。

1.三種評估方法中存在的風險

1.1市價法

無形資產(chǎn)產(chǎn)權(quán)交易市場存在漏洞是采用市價法評估無形資產(chǎn)時所存在的風險。產(chǎn)權(quán)交易市場并不成熟，而且缺乏必要的信息，很難找得到相關(guān)的交易案例；無形資產(chǎn)的非標準性，導致我們難以確定近似有形資產(chǎn)采用市場法評估時參照的調(diào)整差異事項；絕大部分的無形資產(chǎn)都具有壟斷性，在產(chǎn)權(quán)交易市場上幾乎找不到一樣的或者是相似的評估參照物。難以想象，不一樣的專有技術(shù)、不一樣的專利，不一樣的企業(yè)商譽、不一樣的商標要怎樣去調(diào)整它們之間的價格差距[1]。

1.2收益法

（1）收益的預(yù)測。無形資產(chǎn)的收益是一種超額收益，它只有依附在一定間接的或者直接的物質(zhì)載體上才能體現(xiàn)出其價值。這種超額的收益指的主要是：無形資產(chǎn)的存在使得與企業(yè)有關(guān)的產(chǎn)品的產(chǎn)量增加、產(chǎn)品價格的升高或者是銷量的增加，又或者是兩種情況都有；無形資產(chǎn)的存在使得企業(yè)的生產(chǎn)成本與經(jīng)營成本下降，產(chǎn)生了生產(chǎn)與經(jīng)營用度的節(jié)約額。對無形資產(chǎn)未來收益的預(yù)測準確與否，與無形資產(chǎn)價值的評估直接相關(guān)，而收益被許多不定性的因素所影響，致使收益的實現(xiàn)具有非常的風險性。因為評估師一般都是借助歷史的數(shù)據(jù)去估算將來的，若是缺少必要的經(jīng)營信息、缺少相關(guān)的歷史數(shù)據(jù)，無論是預(yù)測還是推算都缺少了有說服力的根據(jù)。比方說，當前盈利很低或者是沒有盈利，這就說明沒有辦法依據(jù)目前的盈利情況去預(yù)測將來的盈利水準。

（2）評估范圍的確定。資產(chǎn)評估范圍在決定評估專業(yè)人士的工作范圍的同時也直接測算評估結(jié)論是不是成立。在有形資產(chǎn)的評估中，評估范圍比較容易被界定，但是無形資產(chǎn)的評估范圍卻是難以界定。這其中的原因主要是很難在時間上對技術(shù)資產(chǎn)的經(jīng)濟壽命進行精準的測定。專家對現(xiàn)行的協(xié)議年限或者是法定年限的測定，事實上忽視了無形資產(chǎn)的可持續(xù)利用性。因為對以一種新的技術(shù)形態(tài)存在的無形資產(chǎn)來講，它的經(jīng)濟壽命是可隨著技術(shù)開發(fā)的深度加深而不斷延長的。因此，人們通常在界定無形資產(chǎn)的評估范圍的時候結(jié)合有形資產(chǎn)。但是有形資產(chǎn)會因為投入規(guī)模的大小而產(chǎn)生變化，導致很難界定“評估范圍。

（3）收益期的確定。無形資產(chǎn)收益期的確定，不但要考慮它的經(jīng)濟壽命，還要考慮法律合同壽命。人們往往以協(xié)議的或者法定的有效年限作為根據(jù)。但無形資產(chǎn)的經(jīng)濟壽命，也就是它的收益期受到使用頻率及技術(shù)進步的影響。比如假定一項技術(shù)型無形資產(chǎn)協(xié)議的有效年限是十年，但事實上五年后就可以實現(xiàn)技術(shù)更新，這時候新的、更適用的、更先進的或者是效益更高的技術(shù)資產(chǎn)出現(xiàn)，而原本的技術(shù)即便繼續(xù)受到法律的保護，但是卻不再具先有進性，也不能再為所有者帶來可觀的利潤。有些無形資產(chǎn)具備可持續(xù)利用性，像有的技術(shù)性無形資產(chǎn)，其收益期隨著它的開發(fā)、升級可得到延伸。無形資產(chǎn)還具有獨占性，若一項無形資產(chǎn)被所有者獨占時，能夠比較明確的知道收益，但隨著技術(shù)被廣泛的傳播，成本、價格方面的獨占優(yōu)勢就會逐步喪失，收益期也會相對的縮短。

1.3重置成本法

（1）難以確定成新率。固定資產(chǎn)的使用在正常情況下，在大部分時間內(nèi)他們的損耗都是均勻的，還有對應(yīng)的方法與技術(shù)標準對其進行新舊程度測定，成新率可以比較客觀的被確定。但如固定資產(chǎn)般的有形損耗并不存在于無形資產(chǎn)中，所以無形資產(chǎn)的成新率只能它的使用時間和效用來猜測。在這里無形資產(chǎn)往往會呈現(xiàn)出一種非線性關(guān)系。某些無形資產(chǎn)在特定的時間里是呈非線性遞增的，像商譽、商標等；而某些無形資產(chǎn)則是呈非線性遞減，如技術(shù)型無形資產(chǎn)就是。曾有專家建議用無形資產(chǎn)所依附產(chǎn)品的壽命周期來推算成新率，但產(chǎn)品壽命周期因種種原因而具有不確定，且許多無形資產(chǎn)在同一時間里和許多產(chǎn)品又有聯(lián)系，推算時并不具有可分性[2]。

（2）以歷史成本為根據(jù)進行調(diào)整所得到的重置成本是不精準且是存在風險的。這是因為無形資產(chǎn)歷史成本具有虛擬性、不完整性與弱相對性。無形資產(chǎn)形成的時間一般都比較長，而且過程很復(fù)雜，這就使得財務(wù)在對無形資產(chǎn)的核算上并沒有完整的資料可進行參照，也直接導致對其核算的不嚴格。再者，開發(fā)無形資產(chǎn)所耗費的資產(chǎn)和無形資產(chǎn)所形成的價值并沒有很直接的關(guān)系。某些無形資產(chǎn)的形成并不需要很多的資金投入就可以得到豐厚的收益；某些無形資產(chǎn)開發(fā)時耗費驚人，收益卻平平。

2.風險的控制

國內(nèi)當前的經(jīng)濟環(huán)境下，主要以收益法對無形資產(chǎn)進行評估。在采用收益法評估無形資產(chǎn)時，評估專家應(yīng)做好下面幾點：（1）最好已經(jīng)詳細了解了被評估資產(chǎn)的基本情況。這其中包括了公司的大概情況、公司的經(jīng)營環(huán)境、與之有關(guān)的法律、無形資產(chǎn)的取得過程及其歷史沿革、與之有關(guān)的與無形資產(chǎn)相似的國內(nèi)或者國際的最新情況等[3]。（2）確定無形資產(chǎn)的分成率。無形資產(chǎn)分成率的確定通常有三種方法：約當投資分成法、成本加權(quán)平均分析法、邊際分析法。在現(xiàn)實中的評估中，往往會有這樣一種情況，某一企業(yè)正常經(jīng)營所不可或缺的條件是得到和運用某一無形資產(chǎn)，尤其是可以使得企業(yè)起死回生時更是典型。在此種狀況下假定采取的是邊際分析法，要得出無形資產(chǎn)收益期的追加利潤在總利潤中所占的比重，通常都會遇到下面的難點：認為在該無形資產(chǎn)的情況下該企業(yè)將會瀕臨倒閉，將生產(chǎn)利潤大部分或者是全都都歸在了超額利潤上，夸大了無形資產(chǎn)的超額利潤。因為無形資產(chǎn)與其他資產(chǎn)的作用很難分清，所以還是采取約當投資分成法比較適合。（3）要注意收集和分析數(shù)據(jù)資料。因為收益法是推測將來收益并且折現(xiàn)的方法，無形資產(chǎn)又有收益期、收益分成率、收益等預(yù)測的復(fù)雜性與不確定性，所以在評估的時候重視數(shù)據(jù)資料的來源及對其進行分析就顯得十分必要。必須要有條不紊、有步驟的進行數(shù)據(jù)資料的收集與整理工作，反反復(fù)復(fù)核對與之相關(guān)的全部資料，對于歷史資料的真實性要進行嚴格審查與核實，不能只依靠假定或者推測。模型的建立要在歷史財務(wù)報表的基礎(chǔ)上，并且要盡可能多的知道企業(yè)財務(wù)報表中稅務(wù)余會計的復(fù)雜性，防止資產(chǎn)被重復(fù)計算[4]。（4）預(yù)測盈利。盈利預(yù)測是收益法評估無形資產(chǎn)的核心部分，盈利預(yù)測的結(jié)果是否準確直接關(guān)系到評估結(jié)果。預(yù)測一定要建立在對被評估的無形資產(chǎn)收益狀況的充分了解的基礎(chǔ)上，要盡量去得到歷史的會計資料、了解主要成本項目的結(jié)構(gòu)情況、變動狀況以及 主要收益來源等?；镜馁Y料要至少三期的歷史數(shù)據(jù)與五期以上的預(yù)測數(shù)據(jù)。預(yù)測完成以后，還要對與之相關(guān)的數(shù)據(jù)來源及其可靠性、預(yù)測模型的科學性與合理性以及盈利預(yù)測的基本假定等再進行核實。復(fù)核要對各項目的變動趨向有科學性的解釋，把謹慎性原則堅持到底。

無論是哪種評估方法都存在著一定的風險，評估專家在對無形資產(chǎn)進行評估時，應(yīng)要注意選擇方法。通常來說，產(chǎn)特性較為復(fù)雜的、目的是投資或者轉(zhuǎn)讓的、著重資產(chǎn)將來的使用效果的一類無形資產(chǎn)，最好采取收益法進行評估；而資產(chǎn)特性較為簡單的，評估的目的是以成本推銷，并且側(cè)重于現(xiàn)實可用程度的無形資產(chǎn)，則最好采用市場法或者成本法。

參考文獻

[1]左治良.我國無形資產(chǎn)評估風險及防范.知識經(jīng)濟.2009（17）：48.

[2]成文.無形資產(chǎn)評估風險及防范.消費導刊.2010（7）：103.

篇5

關(guān)鍵詞：資產(chǎn)評估;風險;對策;防范

中圖分類號：F123.7 文獻標識碼：A 文章編號：1006-8937（2016）32-0124-02

1 資產(chǎn)評估的界定

一般認為，資產(chǎn)評估風險指相關(guān)單位或個人因?qū)υu估目標的價值做出了不恰當?shù)姆治龉浪愣馐艿膿p失。根據(jù)該定義，資產(chǎn)評估主要包含兩部分內(nèi)容：外部風險和內(nèi)部風險。

首先，外部風險，即外部因素的存在影響或阻礙資產(chǎn)評估師的正常評估過程而產(chǎn)生的風險。主要包括外部壓力風險、市場風險、客戶風險和制度風險等。

其次，內(nèi)部風險即由于資產(chǎn)評估機構(gòu)的內(nèi)部因素所造成資產(chǎn)評估師對資產(chǎn)價值的錯誤或不當判斷而引起的風險。

內(nèi)部風險主要包括兩種類型，一是由于資產(chǎn)評估師的專業(yè)能力與職業(yè)道德而產(chǎn)生的人員風險，例如道德風險與人員風險;二是由于評估機構(gòu)自身缺乏良好內(nèi)部控制和監(jiān)督管理手段、機構(gòu)評估經(jīng)驗不足、對項目整體的管理與組織不善而導致的組織風險。

2 資產(chǎn)評估風險的分類及表現(xiàn)形式

2.1 從控制性角度劃分

從來源角度研究，資產(chǎn)評估風險主要包括不可控風險和可控風險。

2.1.1 不可控風險

不可控風險主要指會導致評估結(jié)果出現(xiàn)較大偏差但又不能由資產(chǎn)評估機構(gòu)所控制的風險。具體可由以下幾種類型構(gòu)成。

①資產(chǎn)評估機構(gòu)面對的風險。在資產(chǎn)評估進入中國后，經(jīng)過三十年的不斷發(fā)展我國已逐步與國際資產(chǎn)評估接軌。但我國評估理論與實踐發(fā)展較不均衡，因而出現(xiàn)因法律體系不完善而產(chǎn)生風險的可能。截止目前，指導資產(chǎn)評估行業(yè)最直接的是于1991年制定并的《國有資產(chǎn)管理辦法》，沒有規(guī)范行業(yè)的法律勢必會造成法律的監(jiān)督空位，不能從根本上規(guī)范資產(chǎn)評估人員的行為和評估業(yè)務(wù)的程序性。以四川評估作假案為例，其直接原因是中國資產(chǎn)評估法律的不完善，導致造假者有機可乘。其次，中國資產(chǎn)評估的主管部門不明確，目前存在執(zhí)行標準不統(tǒng)一、多頭管轄的現(xiàn)象。在執(zhí)行具體評估業(yè)務(wù)時，相關(guān)機構(gòu)為到達評估目的強行干預(yù)評估執(zhí)行，極大地影響我國資產(chǎn)評估工作的獨立性、客觀性和公正性，最終造成評估結(jié)果的失實。

②評估人員面對的風險。首先，市場信息不完善而導致的風險。我國自改革開放依賴經(jīng)濟飛速發(fā)展，但數(shù)據(jù)信息的可靠性較低。自1996年中國使用上市指數(shù)后，數(shù)據(jù)才具有一定的可靠性，會計信息失真，市場信息很難找到，但資產(chǎn)評估的基本三種評估方法都基于市場信息，因而我國的市場特點極大程度的增加了資產(chǎn)評估師的評估風險。其次，資產(chǎn)評估在我國發(fā)展時間較短，尚處于探索階段。資產(chǎn)評估協(xié)會在2007年已經(jīng)中國資產(chǎn)評估體系，但相關(guān)準則對實際評估行為的規(guī)范力度較弱，資產(chǎn)評估人員在法律訴訟時，很難找到相關(guān)法律依據(jù)保護自身權(quán)益。

2.1.2 可控風險

可控風險主要指可由評估機構(gòu)和評估人員控制的風險，該種風險主要取決于資產(chǎn)評估機構(gòu)內(nèi)部控制和相關(guān)制度的建設(shè)是否完善和資產(chǎn)評估人員自身素質(zhì)的程度。

①資產(chǎn)評估機構(gòu)面對的可控風險。資產(chǎn)評估機構(gòu)面對的可控風險指評估機構(gòu)違反規(guī)章制度操作而導致的內(nèi)部管理風險。例如資產(chǎn)評估機構(gòu)在實際評估業(yè)務(wù)面前只重視自身經(jīng)濟效益而忽視相關(guān)法律及準則，為了盈利而對不合法資產(chǎn)展開評估;資產(chǎn)評估機構(gòu)沒有相關(guān)評估資治，卻為了盈利而出具相關(guān)評估報告;同時，行業(yè)內(nèi)部存在關(guān)聯(lián)交易，給回扣現(xiàn)象屢禁不絕，一般機構(gòu)的回扣比例約為40%至50%，更有甚者高達80%左右。

②評估人員面對的可控風險。評估人員面臨的風險主要包含兩個層面：職業(yè)道德風險和專業(yè)水平風險。首先，從職業(yè)道德風險角度出發(fā)，依據(jù)《職業(yè)道德準則-基本準則》規(guī)定，執(zhí)業(yè)過程中資產(chǎn)評估師應(yīng)恪守客觀、獨立、公平、公正的原則，對資產(chǎn)價值進行合理估價。然而在實際評估過程中，一些資產(chǎn)評估師無原則，無視市場信息，主觀性差，過度依賴委托人提供的相關(guān)資料而忽視相關(guān)審查、評估程序，致使結(jié)果嚴重偏離資產(chǎn)的公允價值，對當事人造成經(jīng)濟損失。其次，《職業(yè)道德準則-基本準則》規(guī)定資產(chǎn)評估師應(yīng)具備相關(guān)知識和經(jīng)驗。但在實際評估過程中，資產(chǎn)評估師在自己有限的知識和經(jīng)驗的情況下，不能隨市場的變化而合理制定相關(guān)數(shù)據(jù)，導致評估結(jié)果存在錯誤的可能性。

2.2 從來源角度劃分

資產(chǎn)評估風險從來源角度劃分可分為多種類型，主要包括管理風險、執(zhí)業(yè)風險、立法風險和使用風險四類。

2.2.1 管理風險

管理風險主要是指具體行政部門在執(zhí)行資產(chǎn)評估的管理職能時面臨的風險。我國資產(chǎn)評估管理風險多體現(xiàn)在：當前資產(chǎn)評估的主管部門不統(tǒng)一、執(zhí)業(yè)標準不完善，在實際評估過程中會出現(xiàn)由于管理有欠完善而影響評估工作正常進行的現(xiàn)象。

2.2.2 執(zhí)業(yè)風險

執(zhí)業(yè)風險主要指評估人員在實際評估過程中，因為不能達到專業(yè)評估標準而產(chǎn)生的風險。若執(zhí)業(yè)不能達到專業(yè)標準，會使評估出現(xiàn)紕漏，從而導致不合理的評估結(jié)果出現(xiàn)，最終影響相關(guān)當事人的合法利益。資產(chǎn)評估機構(gòu)和人員由于自身專業(yè)知識欠缺而產(chǎn)生的訴訟或仲裁費用以及因敗訴而產(chǎn)生的經(jīng)濟賠償，都屬于資產(chǎn)評估的執(zhí)業(yè)風險。

篇6

一、收益法在無形資產(chǎn)評估中的工作風險

資產(chǎn)評估收益法，是指通過估測被評估資產(chǎn)未來預(yù)期收益的現(xiàn)值來判斷資產(chǎn)價值的各種評估方法的總稱。評估的工作風險，主要是由于在評估工作過程中采用的評估方法、對委托方誠實程度的了解不夠、選用的資料及資產(chǎn)評估人員個人經(jīng)歷、經(jīng)驗限制而導致的誤判等引起的風險，屬于評估人員主觀原因引起或評估手段失誤而產(chǎn)生的風險。這種風險，在無形資產(chǎn)采用收益法進行的評估工作中顯得尤為突出。當評估機構(gòu)和評估人員一旦承接了無形資產(chǎn)評估項目，收益法評估的工作風險也就主要集中地反映在對有關(guān)參數(shù)的預(yù)測和貨幣衡量上。

收益法的基本參數(shù)主要有：一是被評估資產(chǎn)的預(yù)期收益；二是折現(xiàn)率或資本化率；三是被評估資產(chǎn)取得預(yù)期收益的持續(xù)時間。能否清晰地把握上述三要素成為能否運用收益法的基本前提。從這個意義上講，應(yīng)用收益法必須具備的前提條件是：（1）被評估資產(chǎn)的未來預(yù)期收益可以預(yù)測，并可以用貨幣衡量；（2）資產(chǎn)擁有者獲得預(yù)期收益所承擔的風險也可以預(yù)測，并可以用貨幣衡量；（3）被評估資產(chǎn)預(yù)期獲利年限可以預(yù)測。在對無形資產(chǎn)進行價格評估時，看似只有幾個參數(shù)，似乎很簡單，其實幾乎每個參數(shù)都難以確定，或者說難以準確把握。如預(yù)期收益是采用凈現(xiàn)金流量還是凈利潤，用稅前利潤還是稅后利潤；無風險報酬率是采用國債利率還是銀行利率，采用短期利率還是中長期利率等都有爭議；行業(yè)報酬率、社會平均報酬率等數(shù)據(jù)本身的準確含義就很難界定，等等。由于類似問題的存在，使得收益法預(yù)測和衡量參數(shù)的不確定性大大增加，評估工作風險自然就隱藏其中了。

2004年1月9日證監(jiān)會下發(fā)《關(guān)于進一步提高上市公司財務(wù)信息披露質(zhì)量的通知》第六條指出，為防止公司和評估人員高估未來盈利能力并進而高估資產(chǎn)，對使用收益現(xiàn)值法評估資產(chǎn)的，凡未來年度報告的利潤實現(xiàn)數(shù)低于預(yù)測數(shù)10%～20%的公司及其聘請的評估人員，應(yīng)在股東大會及指定報刊上作出解釋，并向投資者公開道歉；凡未來年度報告的利潤實現(xiàn)數(shù)低于預(yù)測數(shù)20%以上的，除要作出公開解釋并道歉外，中國證監(jiān)會將視情況實行事后審查?！百Y產(chǎn)評估是一門十分靈活的預(yù)測藝術(shù)”，用收益法評估無形資產(chǎn)價值，是最科學的方法。當無形資產(chǎn)復(fù)雜的不確定因素與其“預(yù)測”相結(jié)合，使得評估機構(gòu)和評估人員在整個評估工作過程中面臨著更大的工作風險。采用收益法評估無形資產(chǎn)，結(jié)果上下可能差幾十倍，因而“20%大限”激起了評估業(yè)的強烈反應(yīng)。甚至有人預(yù)言“如果按這要求，大多數(shù)項目都要出問題，挨板子?！蔽覀冎?，證監(jiān)會提出“20%大限”，用意是為了防范弄虛作假，提醒評估人員謹慎保守些，不能再根據(jù)客戶需求，隨意調(diào)節(jié)結(jié)果。但是，即便是完全按照有關(guān)規(guī)定進行無形資產(chǎn)評估的有關(guān)評估機構(gòu)和評估人員，仍然在使用收益法評估無形資產(chǎn)的過程中，面臨著“20%大限”這一規(guī)定的巨大工作風險，更何況無形資產(chǎn)的外部環(huán)境也在不時地發(fā)生變化。因此，評估機構(gòu)和評估人員必須審慎，盡可能地防范和規(guī)避其工作風險。

二、收益法在無形資產(chǎn)評估中存在工作風險的原因

收益法被公認為是最適合無形資產(chǎn)評估的方法，但由于其本身的技術(shù)要求，使得評估工作過程中存在工作風險。

（一）無形資產(chǎn)的評估范圍難以界定。資產(chǎn)評估的范圍一方面直接決定了評估的工作范圍；另一方面更重要的是可以直接測算說明評估結(jié)論是否成立。實際上，在時間上是很難對技術(shù)型資產(chǎn)的經(jīng)濟壽命進行可靠的測定。對一種新的技術(shù)型無形資產(chǎn)來說，它的經(jīng)濟壽命是隨著技術(shù)開發(fā)的深度而不斷延伸的，用現(xiàn)行的法定年限或協(xié)議年限去測定，實際上忽略了無形資產(chǎn)的可持續(xù)利用性。因此，我們常在評估中結(jié)合有形資產(chǎn)去界定無形資產(chǎn)的評估范圍，但有形資產(chǎn)會隨著投入規(guī)模的大小而發(fā)生變化，使得無形資產(chǎn)的評估范圍難以界定。

（二）無形資產(chǎn)的收益期限具有不確定性。無形資產(chǎn)收益期限的確定，要考慮兩個因素：一是法律合同壽命；二是經(jīng)濟壽命。我們常常以法定或協(xié)議的有效年限為依據(jù)，但無形資產(chǎn)的收益期限要受技術(shù)進步和使用頻率的影響。而無形資產(chǎn)的價值主要表現(xiàn)為超額利潤。比如，一項技術(shù)型無形資產(chǎn)法定有效期為50年，但實際上3、5年后就會完成技術(shù)更新，原有的技術(shù)即使繼續(xù)受法律保護，也已不再具有先進性，不能再為所有者帶來超額利潤了。有的無形資產(chǎn)具有可持續(xù)開發(fā)的特性，如一些技術(shù)性無形資產(chǎn)的收益期限隨著其開發(fā)、升級而得到延長。另外，無形資產(chǎn)具有獨占性，當一項無形資產(chǎn)被所有者獨占時，可以較為清楚地確定收益，但隨著技術(shù)廣泛傳播，其價格、成本方面的獨占優(yōu)勢逐漸喪失，收益期限也相應(yīng)縮短。這些都使得無形資產(chǎn)在評估基準日的未來收益期限難以預(yù)測，具有不確定性。

（三）無形資產(chǎn)的收益難以預(yù)測、衡量或不相匹配。無形資產(chǎn)的收益是一種超額收益，它必須依附于直接的或間接的物質(zhì)載體來表現(xiàn)它的價值。由于無形資產(chǎn)的存在使企業(yè)相關(guān)產(chǎn)品的產(chǎn)量、銷量增加或產(chǎn)品價格提高，或兩者兼而有之；由于無形資產(chǎn)的存在降低了企業(yè)的生產(chǎn)經(jīng)營成本，形成了生產(chǎn)經(jīng)營費用的節(jié)約額；自創(chuàng)無形資產(chǎn)的存在和應(yīng)用節(jié)約了無形資產(chǎn)特許權(quán)使用費。而一個企業(yè)取得的收益，除了有資產(chǎn)的因素外，更重要的是與人的素質(zhì)以及市場和機遇等因素有關(guān)。企業(yè)的收益是資產(chǎn)與人綜合作用的結(jié)果。因而，在評估實踐中要單獨確定某項無形資產(chǎn)帶來的收益是很難甚至是無法分清的。對無形資產(chǎn)未來收益預(yù)測是否準確，直接影響到無形資產(chǎn)價值的評估，而收益又受到很多不確定因素影響，使得收益的預(yù)測帶有極大的風險。其次，對于委托方擁有的但未對委托方帶來收益的無形資產(chǎn)，資產(chǎn)評估人員往往難以掌握，這樣也就造成了資產(chǎn)收益不相匹配的風險。

（四）單項無形資產(chǎn)的收益分成率難以測定。無形資產(chǎn)必須與有形資產(chǎn)相聯(lián)系，否則就不能獨立產(chǎn)生經(jīng)濟效益。在預(yù)測無形資產(chǎn)收益時，我們的做法是將有形資產(chǎn)和無形資產(chǎn)放在一起，然后通過收益分成率這個指標，將無形資產(chǎn)的價值從綜合價值中分離出來。由于直接測定無形資產(chǎn)的分成率較為困難，通常先測算有形資產(chǎn)的分成率，再計算無形資產(chǎn)分成率。但這樣做的結(jié)果是，分離出來的收益并不單是一種無形資產(chǎn)帶來的，它是除有形資產(chǎn)以外各種無形資產(chǎn)價值的綜合反映，單項無形資產(chǎn)的收益分成率難以測定。

以上是在采用收益法對無形資產(chǎn)進行評估過程中存在的主要工作風險。除此之外，如市場變化帶來的不確定性；市場供求及無形資產(chǎn)競爭情況；無形資產(chǎn)使用狀況、機會成本；客戶背景、行業(yè)性質(zhì)、經(jīng)濟規(guī)模、管理水平、經(jīng)營前景；評估人員執(zhí)業(yè)水平、工作經(jīng)驗方面的欠缺等，也增加了收益法對無形資產(chǎn)評估的工作風險。

三、收益法在無形資產(chǎn)評估中存在的工作風險防范措施

針對收益法在無形資產(chǎn)評估中存在的工作風險，主要應(yīng)采取以下措施，進一步防范和規(guī)避風險，提高評估工作質(zhì)量。

（一）加強評估人員風險意識，詳細了解被評估無形資產(chǎn)的基本狀況。資產(chǎn)評估工作是由評估人員具體操作的，評估風險的大小很大程度上取決于評估人員。因此，必須加強評估人員隊伍建設(shè)，在評估具體操作中，嚴格按評估規(guī)范意見操作。評估人員應(yīng)詳細了解包括無形資產(chǎn)的取得過程、歷史沿革和公司概況；公司經(jīng)營環(huán)境及市場情況；無形資產(chǎn)的產(chǎn)權(quán)狀況；相關(guān)法律、法規(guī)及會計特別規(guī)定情況；相似無形資產(chǎn)的最新狀況等情況。有些時候，委托方往往因為自己的利益，將失真失實的無形資產(chǎn)的歷史資料提供給評估人員，而評估人員又常常難以查清這種有目的的失真失實資料，這就給無形資產(chǎn)的評估帶來了工作風險。因而，資產(chǎn)評估人員要有風險意識，對委托方提供的資料嚴格審查，并借助合法的、有效的、輔助的手段，識辨委托方提供資料的真實性。

（二）加強對有關(guān)數(shù)據(jù)資料的收集和分析。要有步驟、有條不紊地組織數(shù)據(jù)資料的收集整理工作，要反復(fù)查對全部有關(guān)資料，從一切來源到每份制表單上所引用的每一條數(shù)據(jù)均應(yīng)反復(fù)細心查對，避免差錯。由于收益法是預(yù)測未來收益并進行折現(xiàn)的方法，而無形資產(chǎn)在預(yù)期收益、收益期限、收益分成率預(yù)測等方面又存在復(fù)雜性和不確定性，所以在評估時一定要重視數(shù)據(jù)資料的來源，并對其進行分析。由于不可能得到十分完整的市場資料，僅按手頭上所掌握的全部資料而得出的結(jié)論并非一定準確可靠。因此，應(yīng)從多方面、多角度考慮發(fā)生某種誤差的可能性及其相應(yīng)的、適當?shù)奶幚泶胧?，避免在模型問題上走捷徑，要將模型建立在歷史財務(wù)報表的基礎(chǔ)上，并充分了解企業(yè)財務(wù)報表中會計和稅務(wù)的復(fù)雜性，避免重復(fù)計算資產(chǎn)。在收益的預(yù)測時，要根據(jù)適度績效情景，正確地把握資產(chǎn)的收益。并且，資產(chǎn)評估人員應(yīng)對委托方提供的被評估資產(chǎn)范圍進行認真清查、嚴密分析、合理推斷，包括需要進行相關(guān)的市場、行業(yè)等調(diào)查，理順資產(chǎn)與收益的匹配關(guān)系。

篇7

1.1靜態(tài)風險評估

靜態(tài)風險評估是根據(jù)傳統(tǒng)風險評估的具體方法對較短時間內(nèi)系統(tǒng)存在的各種風險進行科學的評估，評估的整個過程并不連續(xù)，評估的對象主要選擇相對靜止的系統(tǒng)。

1.2動態(tài)風險評估

動態(tài)風險評估是對網(wǎng)絡(luò)進行安全風險的評估，并研究系統(tǒng)變化的過程和趨勢，將安全風險與具體的環(huán)境相互聯(lián)系，從宏觀的角度了解整個系統(tǒng)存在的安全風險，把握風險的動態(tài)變化，風險評估的過程是動態(tài)變化的過程。對于電信網(wǎng)絡(luò)而言，客觀準確的進行安全風險的評估是整個電信安全管理的重要前提。風險評估是風險管理的初級階段，目前，我國的電信網(wǎng)絡(luò)仍然采用傳統(tǒng)靜態(tài)評估的方式，最終對安全風險的評估只是針對特定的時間點。但是，靜態(tài)風險評估不能有效的體現(xiàn)評估風險各種變化的趨勢，評估結(jié)果相對比較滯后。動態(tài)風險評估加強了靜態(tài)風險評估的效果，能夠反映較長時間安全風險具體的變化情況。在動態(tài)風險進行評估的過程中，如果系統(tǒng)出現(xiàn)安全問題，可以及時的進行處理，展現(xiàn)了整個風險評估的變化過程，保證了網(wǎng)絡(luò)的安全。對電信網(wǎng)絡(luò)實施動態(tài)風險評估，具有非常復(fù)雜的過程，評估的結(jié)果具有參考價值。電信網(wǎng)絡(luò)安全風險評估的研究文/向宗旭隨著電信技術(shù)的不斷發(fā)展和深入，電信網(wǎng)絡(luò)與現(xiàn)代的互聯(lián)網(wǎng)存在較為緊密的聯(lián)系，這也為電信網(wǎng)絡(luò)帶來巨大的安全風險。電信網(wǎng)絡(luò)屬于我國通信網(wǎng)絡(luò)中的重要內(nèi)容，直接關(guān)系到我國社會的穩(wěn)定。本文主要探討了電信網(wǎng)絡(luò)的安全風險評估。

2電信網(wǎng)絡(luò)安全風險評估具體的實施過程

對電信網(wǎng)絡(luò)進行安全風險評估的工作，其對象可以針對電信網(wǎng)絡(luò)的某一部門也可以是整個電信網(wǎng)絡(luò)。風險評估的內(nèi)容包含技術(shù)的安全問題以及網(wǎng)絡(luò)管理的安全問題。技術(shù)安全主要包括網(wǎng)絡(luò)安全以及物理安全等，管理安全主要包括管理制度以及人員管理等。對電信網(wǎng)絡(luò)實施安全風險的評估主要按照以下幾個步驟。

2.1風險評估前的準備工作

在進行安全風險評估之前，首先需要獲得各個方面對安全風險評估的支持，相互配合，確定需要評估的具體內(nèi)容，組織負責進行安全風險評估的專業(yè)團隊，做好市場的調(diào)查工作，制定評估使用的方法，只有做好一系列的準備工作才能為接下來的安全風險評估奠定基礎(chǔ)。

2.2對資產(chǎn)的識別工作

在電信網(wǎng)絡(luò)中的資產(chǎn)主要包括具有一定使用價值的資源，電信網(wǎng)絡(luò)的資產(chǎn)也是進行安全風險評估的主要對象。資產(chǎn)存在多種形式，有無形資產(chǎn)和有形資產(chǎn)，還可以分為硬件和軟件。例如，一些網(wǎng)絡(luò)的布局以及用戶的數(shù)據(jù)等。做好資產(chǎn)識別的工作能夠確定資產(chǎn)具體的安全情況。對資產(chǎn)進行安全風險的評估可以綜合分析資產(chǎn)的價值以及安全狀況，還可以考慮資產(chǎn)具有的社會影響力。社會影響力是指資產(chǎn)一旦失去安全的保障會對整個社會帶來影響。

2.3威脅識別工作

威脅的識別是指對電信網(wǎng)絡(luò)內(nèi)部資產(chǎn)存在破壞的各種因素，這種潛在的破壞因素客觀存在。對資產(chǎn)產(chǎn)生威脅的主要原因包括技術(shù)、環(huán)境以及人為。技術(shù)因素是指網(wǎng)絡(luò)自身存在的設(shè)備故障或者是網(wǎng)絡(luò)的設(shè)計存在疏漏。環(huán)境因素是指環(huán)境中的物理因素。人為因素是指人為造成的威脅，包括惡意和非惡意。通過對威脅的動機以及發(fā)生幾率描述網(wǎng)絡(luò)存在的各種威脅，威脅識別工作的重要任務(wù)就是判斷出現(xiàn)威脅的可能性。

2.4脆弱性識別工作

網(wǎng)絡(luò)資產(chǎn)本身具有脆弱性的特點，包括網(wǎng)絡(luò)存在的各種缺陷。只有網(wǎng)絡(luò)存在各種缺陷和弱點才有可能出現(xiàn)各種威脅的因素，如果沒有威脅的產(chǎn)生，網(wǎng)絡(luò)具有的脆弱性并不會損害資產(chǎn)。但是只有系統(tǒng)較少自身的脆弱性才會較少資產(chǎn)被威脅的可能性，使系統(tǒng)的資產(chǎn)更加安全，從而有效的較少損失。對電信網(wǎng)絡(luò)進行脆弱性識別工作可以從技術(shù)和管理上展開，主要以資產(chǎn)的安全作為核心內(nèi)容，針對資產(chǎn)的不同特征，進行脆弱性的識別工作。

2.5確認具體的安全措施

對電信網(wǎng)絡(luò)進行的安全風險評估需要做好安全措施的確認工作，保持有明顯效果的安全措施，對失去效果的安全措施予以改正，避免內(nèi)部資產(chǎn)的浪費，杜絕重復(fù)使用安全措施。一旦發(fā)現(xiàn)不合理的安全措施需要及時檢查安全措施能否被取消，并制定更合理的安全措施。確認安全措施的工作主要分為預(yù)防性和保護性兩種。預(yù)防性措施主要負責減少威脅性因素產(chǎn)生的可能性，保護性措施是為了減少資產(chǎn)的損失。

2.6風險分析工作

風險分析工作主要對電信網(wǎng)絡(luò)的資產(chǎn)識別、脆弱性識別、威脅識別以及存在風險對資產(chǎn)造成的損失進行綜合性的分析，最終得出準確的風險值，結(jié)合制定的安全措施。分析資產(chǎn)承受風險的最大范圍。如果出現(xiàn)的安全風險在資產(chǎn)承受的范圍之內(nèi)，需要繼續(xù)采取安全保護措施，如果安全風險超出了資產(chǎn)承受的范圍，這就需要對風險進行控制，制定更可靠的安全措施。

2.7整理風險評估記錄

對電信網(wǎng)絡(luò)實施安全風險評估工作的整個過程，需要進行風險評估的準確記錄，包括評估的過程以及評估的最終結(jié)果，制定系統(tǒng)的安全風險評估報告。為安全風險評估的工作提供可靠的科學依據(jù)。

3結(jié)束語

篇8

關(guān)鍵詞：風險評估；管理工具；分類；選擇；設(shè)計

中圖分類號：TP311文獻標識碼：A文章編號：1009-3044(2011)30-7388-02

Research on Risk Assessment and Management Tools

WANG Fu-hua,YAO Jie

(Chongqing Communication Institute, Chongqing 400035, China)

Abstract: This article has carried on the detailed introduction to the risk assessment management tools, and introduced how to choose and design risk assessment management tools.Finally,it offers some ideas for information security assessment practice.

Key words: risk assessment; management tools; classification; choice; design

目前，網(wǎng)絡(luò)安全問題已成為影響社會經(jīng)濟發(fā)展和國家發(fā)展戰(zhàn)略的重要因素，信息安全評估工作的重要性不言而喻。信息安全風險評估工作是個極復(fù)雜又具有挑戰(zhàn)性的工作，需要細致的工作，大量的支持性的專業(yè)知識的支撐，項目管理也比較復(fù)雜，因此如果要更好的完成信息安全風險評估工作就必須有一套非常實用的信息安全風險評估管理工具。一套使用的風險評估管理工具將極大地提高信息安全風險評估工作的效率和結(jié)果的正確性。

1 風險評估與管理工具分類

風險評估與管理工具是根據(jù)系統(tǒng)關(guān)鍵信息資產(chǎn)、資產(chǎn)面臨的威脅以及威脅所利用的脆弱點來確定所面臨的威脅、對風險情況進行全面考慮，估算出信息系統(tǒng)的風險情況，且在風險評估的同時根據(jù)面臨的風險提供相應(yīng)的控制措施和解決方法。

1.1 基于國家、政府頒布的信息安全管理標準或指南

目前世界上存在多種不同的風險分析指南和方法，不同的風險分析方法其側(cè)重點和關(guān)注點各不相同。如：

NIST（National Institute of standard and Technology）的FIPS 65；

DOJ（Department of Justice）的SRAG；

GAO（Government Accounting Office）的信息安全管理的實施指南。

1.2 基于專家系統(tǒng)的風險評估工具

基于專家系統(tǒng)的風險評估工具主要通過建立專家系統(tǒng)和外部知識庫，以調(diào)查問卷的方式收集組織內(nèi)部信息安全的狀態(tài)。對重要資產(chǎn)的威脅和脆弱點進行評估，產(chǎn)生專家推薦的安全控制措施。

基于專家系統(tǒng)的風險評估工具通?？梢宰詣有纬娠L險評估報告，根據(jù)風險的嚴重程度提供風險指數(shù)，同時分析可能存在的問題，并提供相應(yīng)的處理方法。

COBRA(Consultative Objective and Bi-functional Risk Analysis)是一個著名的基于專家系統(tǒng)的風險評估工具，它是一個問卷調(diào)查式的風險分析工具，由三個部分組成：調(diào)查問卷生成、風險測量和結(jié)果分析生成。

基于專家系統(tǒng)的風險評估工具除COBRA之外，比較知名的還有@RISK、BDSS（The Bayesian Decision Support System）等工具。

1.3 基于定性或定量算法的風險分析工具

風險分析作為重要的信息安全保障措施，是信息安全體系不可或缺的一部分。而信息安全風險評估的算法作為風險評估的重要手段，很久以前就被提出并了大量的研究工作，其中一些算法已經(jīng)成為正式的信息安全標準的一部分。早期的風險評估算法大部分僅僅作定性的分析，對風險產(chǎn)生的可能性和風險產(chǎn)生的后果只能按照高、中、低來區(qū)分，這種定性的方式無法準確地估算出風險產(chǎn)生的可能性和損失量。隨著人們對信息安全風險了解的不斷深入，獲得了更多的經(jīng)驗數(shù)據(jù)，因此人們越來越希望用定量的風險分析方法反映事故發(fā)生的可能性。定量的信息安全風險管理標準包括美國聯(lián)邦標準FIPS31和FIPS191，提供定量風險分析技術(shù)的手冊包括GAO和新版的NISTRMG。

由于數(shù)據(jù)收集的困難，目前還沒有完全定量的風險評估工具，現(xiàn)有的風險評估工具要么在定性方面有所側(cè)重，要么在定量方面有所側(cè)重。如CONTROL-IT、Definitive Scenario、JANBER都是定性的風險評估工具，而@RISK、Risk-CALC、CORA是半定量的風險評估工具。

2 常見的風險評估管理工具比較

CRAMM：CRAMM是1985年由英國CCTA開發(fā)的風險評估系統(tǒng)。CRAMM包括全面的風險評估工具，并且完全遵循BS7799規(guī)范，包括依靠資產(chǎn)的建模、商業(yè)影響評估、識別和評估威脅和弱點、評估風險等級、識別需求和基于風險評估調(diào)整控制等。CRAMM評估風險依靠資產(chǎn)價值、威脅和脆弱點，這些參數(shù)值是通過CRAMM評估者與資產(chǎn)所有者、系統(tǒng)使用者、技術(shù)支持人員和安全部門人員一起的交互活動得到，最后給出一套解決方案。

COBRA：COBRA是1991年由C&A System Security公司推出另外一個風險評估工具，用來進行信息安全風險管理方法，提供了一個完整的風險分析服務(wù)，并且兼容許多風險評估方法學（如定性分析和定量分析等）。它可以看做一個基于專家系統(tǒng)和擴展知識庫的問卷系統(tǒng)，對所有的威脅和脆弱點評估其相對重要性，并且給出合適的建議和解決方案。此外，它還對每個風險類別提供風險分析報告和風險值。

@RISK是美國Palisade公司的一款軟件產(chǎn)品，在世界范圍內(nèi)廣泛使用，是構(gòu)架在微軟Excel之上的一套風險分析工具。在@RISK中，提供了一套完整的風險分析工具，包括可以自行修訂的統(tǒng)計分配模型、蒙特卡羅檢測、敏感性分析、環(huán)境分析、極限值測試等常用的風險評估模型。@RISK建立的流程包括：

1) 在Excel上建立需要分析的問題模型；

2) 確定需要輸入模型的不確定值；

3) 通過模擬程序，對可能的參數(shù)范圍進行分析，以@RISK內(nèi)置的概率分布函數(shù)表示，然后確定模型的輸出結(jié)果；

4) 產(chǎn)生需要的資料圖表進行分析。

表1是對一些主要風險評估工具的比較。

表1

3 選擇風險評估工具的原則

1) 根據(jù)實際環(huán)境和企業(yè)的需求選擇

2) 風險評估工具應(yīng)當能夠精確地映射網(wǎng)絡(luò)、應(yīng)用以及進行攻擊測試

怎樣了解一個工具的實際功效？最有效的辦法是搜索Web，查看媒體的評論，要求廠商提供其他客戶的使用情況說明。正式購買之前最好測試一下工具的性能。大多數(shù)廠商都提供限制了功能的試用版本，通常是限制IP地址的范圍。

3) 不僅要注意風險評估工具為目標平臺提供的攻擊腳本數(shù)量，而且要留意它們的更新速度。

純粹的數(shù)量有時不能說明問題，因為有些廠商可能把許多相關(guān)的漏洞看成一個，有的廠商則把它們算作多個漏洞。一些較為優(yōu)秀的風險評估工具，如CVE，把每一種測試都鏈接到了一個標準的漏洞案例ID。留意風險評估工具的更新頻率，看看它是自動更新還是需要手工執(zhí)行更新，還有，新的安全威脅發(fā)現(xiàn)之后它要多長的時間才能推出相應(yīng)的更新？

4) 報告數(shù)量的多少，內(nèi)容翔實程度，是否允許導出報表

只能內(nèi)部使用的掃描結(jié)果報表也許能夠滿足最初的需要，但如果經(jīng)常對系統(tǒng)進行風險評估，最好能夠?qū)⑸傻膱蟊韺С龅酵獠繑?shù)據(jù)庫，以便執(zhí)行對比和分析。

5) 是否支持不同級別的入侵測試以避免系統(tǒng)掛起

所有風險評估工具都有這樣的警告：入侵測試過程可能產(chǎn)生DoS攻擊，或者導致被測試的系統(tǒng)掛起。通常，在高訪問量期間對擔負關(guān)鍵任務(wù)的系統(tǒng)不應(yīng)該運行風險評估工具，風險評估工具本身可能帶來問題，引起服務(wù)中斷或系統(tǒng)被鎖死。大多數(shù)高質(zhì)量的風險評估工具允許執(zhí)行侵害程度較小的入侵測試，避免造成系統(tǒng)運行中斷。

6) 是否需要在線服務(wù)？

有些風險評估工具以在線服務(wù)的形式提供。這種形式的優(yōu)點是不占用硬件資源，可以從任何地方運行和獲取報表，自動執(zhí)行更新，一般而言總擁有成本也較低。缺點是服務(wù)的運行速度一般較慢，不象客戶端產(chǎn)品那樣容易定制。最后還有一點是，如果采用在線服務(wù)，則掃描出來的網(wǎng)絡(luò)漏洞清單還將落入第三方的手中。

4 信息安全風險評估管理工具設(shè)計

信息安全風險評估管理工具的設(shè)計必須考慮到參考模型可能存在的變化，或者計算方法發(fā)生變化而導致的工具適應(yīng)性的問題，還應(yīng)該具有項目管理功能，統(tǒng)計分析，報表，輔助評估專家系統(tǒng)，查詢，資產(chǎn)管理，更應(yīng)該加入風險管理與控制模塊，如果能提供與其他資產(chǎn)管理軟件的接口就更好了。

為了適應(yīng)評估工作模式，信息安全風險評估工具的架構(gòu)應(yīng)該選擇B/S結(jié)構(gòu)，評估小組和評估人是最終用戶，系統(tǒng)管理員對信息安全風險評估工具進行維護和管理。系統(tǒng)架構(gòu)如圖1。

信息安全風險評估工具中應(yīng)該包含威脅參考庫、脆弱性參考庫、資產(chǎn)分類庫、可能性定義庫，后果定義庫、控制措施庫等評估輔助專家系統(tǒng)庫。這些庫都可以自己定義，便于使用。評估小組可以在評估的各個時期都能夠得到幫助。

資產(chǎn)管理模塊應(yīng)該包含資產(chǎn)的各種基本信息，包括位置、責任人、所屬系統(tǒng)以及各種相關(guān)信息。根據(jù)不同資產(chǎn)的分類，相關(guān)信息也不同，這些相關(guān)信息都是有助于系統(tǒng)安全的相關(guān)信息。如資產(chǎn)的生命周期、系統(tǒng)補丁信息等。

信息安全風險評估工具需要實際使用的檢驗，將在不斷滿足客戶的需要的同時逐漸發(fā)展、成熟。通過不斷的改進和發(fā)展，相信信息安全風險評估工具將極大地推動信息安全風險評估工作的進行。

參考文獻：

[1] 陳友初.信息安全風險評估的探討與實踐[J].廣西科學院學報,2006,22(4):367-369.

[2] 杜輝,劉霞,汪厚祥.信息安全風險評估方法研究[J].艦船電子工廠,2006,26(4):65-69.

[3] 張建軍,孟亞平.信息安全風險評估探索與實踐[M].北京:中國標準出版社,2005.

[4] 趙戰(zhàn)生,謝宗曉.信息安全風險評估[M].北京:中國標準出版社,2007,8.

[5] 馮登國,張陽,張玉清. 信息安全風險評估綜述[J].北京:通信學報,2004,25(7):10-18.

[6] 關(guān)義章,戴宗坤.羅萬伯,等.信息系統(tǒng)安全工程學[M].北京:電子工業(yè)出版社,2002,12.

篇9

關(guān)鍵詞 信息工程安全系統(tǒng) 風險評估 控制

中圖分類號：X92 文獻標識碼：A

對項目風險管理來說，風險評估是對信息工程安全資產(chǎn)所面臨的威脅、存在的弱點、造成的影響及三者綜合作用所帶來風險的可能性的評估。作為項目風險管理的基礎(chǔ)，風險評估是確定信息工程安全需求的一個重要途徑，屬于信息工程安全管理體系策劃的過程。

1 風險評估概述

風險評估是在綜合考慮成本效益的前提下，通過安全措施控制風險，使殘余風險降低到可以控制的程度。因為任何信息系統(tǒng)都會有安全風險，所謂安全信息系統(tǒng)，實際上指信息系統(tǒng)在實施了風險評估以后做出了風險控制，仍然存在殘余風險是可被接受的信息系統(tǒng)我們就稱為安全信息系統(tǒng)。追求信息系統(tǒng)安全就不能脫離全面完整的信息系統(tǒng)安全評估，就必須運用信息系統(tǒng)安全風險評估的思想和規(guī)范對信息系統(tǒng)進行安全評估。

風險評估的主要任務(wù)包括：（1）識別面臨的各種風險。（2）評估風險概率和可能帶來的負面影響。（3）確定承受風險的能力。（4）確定風險消減和控制的優(yōu)先等級。（5）推薦風險消減對策。

1.1 信息工程安全系統(tǒng)項目風險評估概述

信息工程安全系統(tǒng)項目風險管理是圍繞信息工程安全系統(tǒng)項目風險而展開的評估、處理和控制的活動。其中最重要的基本要素是風險評估，因為基于風險評估可以對政府部門信息工程安全系統(tǒng)項目有系統(tǒng)全面的了解，找出潛在問題，分析原因，判斷嚴重性和相關(guān)影響，以此確定信息工程安全系統(tǒng)建設(shè)的需求。項目是一個過程，從項目的開始到結(jié)束，風險評估要求風險評估貫穿到信息系統(tǒng)的整個生命周期提出了三個環(huán)節(jié)要進行風險評估：一是信息系統(tǒng)規(guī)劃設(shè)計階段，二是系統(tǒng)驗收階段，三是信息系統(tǒng)運維階段。管理的不確定性，有限的資源和千變?nèi)f化的危險和漏洞，使得所有的風險不可能完全緩解。一個信息系統(tǒng)的項目專業(yè)人員必須要協(xié)同用戶、項目經(jīng)理對信息系統(tǒng)各種潛在的影響進行評估，使其達到一個合理水平。

由于種種原因，信息安全系統(tǒng)存在著很多漏洞及缺陷，如黑客攻擊或系統(tǒng)本身的原因，會造成系統(tǒng)安全事件，給系統(tǒng)帶來不好的影響。因此，要對項目的信息安全風險進行相應(yīng)的評估，評估的主要內(nèi)容包括系統(tǒng)的安全漏洞和系統(tǒng)可能帶來的負面影響，根據(jù)相應(yīng)的等級來進行劃分，評估出可能發(fā)生的安全風險。

1.2 信息工程安全系統(tǒng)項目風險評估過程

一般來說，系統(tǒng)信息工程安全項目風險評估分為四個不同的階段。

第一個階段：風險評估準備階段。

（1）根據(jù)相應(yīng)的風險評估準則，調(diào)研項目的實際情況，然后制定風險評估的計劃表。按照實際操作來看，計劃通常要由三個重要的表格組成，這三個表分別是：《信息工程安全系統(tǒng)的描述報告》、《信息工程安全系統(tǒng)的分析報告》和《信息工程安全系統(tǒng)的安全要求報告》。通過這些表格及具體的計劃表，要對項目的風險評價進行計劃。計劃的內(nèi)容一般要設(shè)計如下范圍：目的、范圍、目標、組織架構(gòu)、經(jīng)費預(yù)算、進度安排。制定好計劃書后要及時匯報給決策層。如果決策層有異議，應(yīng)該及時根據(jù)意見加以修改。只有獲得決策層的審核和同意后，計劃書才能獲得批準，才能夠獲得相應(yīng)的資源加以執(zhí)行。

（2）結(jié)合項目的具體實際，對整個風險評估流程加以確定。不同的項目風險評估流程是不一樣的，必須要結(jié)合具體的項目實際對評估的流程加以確定，如何工作，如何評估，評估結(jié)果如何衡量等。這個步驟，通常應(yīng)該形成一個書面的《風險評估程序》，便于后面工作人員的具體操作。

（3）根據(jù)項目具體實際，選擇特定的風險評估方法和工具。風險評估方法和工具千差萬別，具體的某個項目，有針對性地 選擇成本低，效果好，結(jié)合項目實際的具體方法和工具。

第二個階段：風險因素識別。

（1）對所有需要保護的信息資產(chǎn)加以清點。根據(jù)上文確定的三個相關(guān)報告，對單位或項目所有的資產(chǎn)加以清點，找出重要的、對安全有重大影響的信息資產(chǎn)并造冊，形成書面的《需要保護的資產(chǎn)清單》。（2）結(jié)合相關(guān)工具，識別出可能面臨的威脅。一般來說，目前信息安全行業(yè)都有相應(yīng)的較為全面的威脅或漏洞庫，結(jié)合這些數(shù)據(jù)庫，對單位的具體資產(chǎn)進行詳細的清點和評估，就能找出可能面臨的威脅，編制書面的《威脅列表》。（3）根據(jù)上面的工作，參照漏洞庫，可以對整個單位信息資產(chǎn)面臨的脆弱性加以評估，形成書面的《脆弱性列表》。

第三個階段：風險程度分析。

（1）確認單位目前已經(jīng)采用的安全防范措施。通過書面形式，對單位目前已經(jīng)有的具體防范措施加以總結(jié)，填寫到《已有安全措施分析報告》。（2）對可能面臨的威脅的動機加以分析。面臨的威脅的動機一般分為：涉及利益者的攻擊、對系統(tǒng)好奇、對自己的技術(shù)自負等，要形成書面的《威脅動機分析報告》。（3）分析單位可能面臨的威脅行為的能力。這一步主要是對可能面臨威脅的具體評估，包括強度、廣度、深度等。（4）分析信息資產(chǎn)的價值。信息自查的價值主要從以下幾個方面來評估：關(guān)鍵性，價格，敏感性等。（5）分析可能面臨的影響的程度。具體包括：資產(chǎn)損失，任務(wù)妨害，人員傷亡等。

第四個階段：風險等級評價階段。

（1）對威脅的動機加以評價，采用五級劃分，分別是：“很高、較高、中等、較低、很低”。（2）對威脅的行為能力加以評價，采用五級劃分，分別是：“很高、較高、中等、較低、很低”。（3）對系統(tǒng)脆弱性加以評價，采用五級劃分，分別是：“很高、較高、中等、較低、很低”。（4）對資產(chǎn)價值加以評估，采用五級劃分，分別是：“很高、較高、中等、較低、很低”。（5）對影響程度加以評價，采用五級劃分，分別是：“很高、較高、中等、較低、很低”。（6）對所有因素加以綜合評價，采用五級劃分，分別是：“很高、較高、中等、較低、很低”。

一般來說，有公認的具體算法。但各單位具體實際情況不一而足。所以，對于公認的算法可以進行修改，或者提出自己認為更符合實際情況的算法。

2 信息工程安全系統(tǒng)項目風險控制

2. 1 風險控制概述

風險評估的目的是進行風險控制，進而最大可能排除系統(tǒng)面臨的風險。所以，在信息風險評估之后，就要進行風險控制，其目的是為了盡可能降低系統(tǒng)面臨的風險和漏洞。而系統(tǒng)的風險和漏洞，是不可能完全排除的，不論下多么大的成本。只能在一定范圍內(nèi)，盡可能控制在可以接受的范圍。一般來說，為了控制可能發(fā)生的風險，主要采用以下幾種方式：（1）規(guī)避風險。規(guī)避就是避免使用。例如有一些信息資產(chǎn)面臨很大的風險，如果完全消除風險，需要很大的成本，需要更多的經(jīng)濟投入等。那么，一個比較可行的辦法就是避免使用這樣的資產(chǎn)，或者一些敏感的、需要保密的數(shù)據(jù)，不在這些資產(chǎn)上使用，從而規(guī)避掉可能發(fā)生的風險。（2）轉(zhuǎn)移風險。這種方式的思路，就是將已經(jīng)面臨風險的資產(chǎn)轉(zhuǎn)移到風險較低，或者沒有風險的資產(chǎn)上。如某單位需要處理技術(shù)上足夠復(fù)雜，沒有能力處理的業(yè)務(wù)時，可以通過尋求外包給第三方專業(yè)機構(gòu)的形式，要求對方做好風險處理，從而達到轉(zhuǎn)移風險的目的。（3）降低風險。降低風險就是在資產(chǎn)面臨風險時，通過各種手段和方法來降低其面臨的風險。

2.2 信息工程安全系統(tǒng)項目風險控制過程

在信息工程安全項目管理中，風險控制可以劃分為四個階段，分別是：現(xiàn)有風險判斷、確定風險控制目標、采取選擇和實施具體的風險控制措施。

在不同的階段，進行不同的工作流程和具體內(nèi)容，分別如下：

第一階段：預(yù)備階段。在本階段，主要是對單位現(xiàn)有的信息資產(chǎn)激進型識別、編號、評估并造冊，形成書面報告。

第二階段：現(xiàn)存風險判斷。在本階段，通過各種工具和方法，對系統(tǒng)信息資產(chǎn)面臨的風險加以評級。一般來說，風險的評級主要分為兩種：可接受的系統(tǒng)風險和不可接受的系統(tǒng)風險。然后，對系統(tǒng)目前存在的一些風險加以判斷，到底是否能夠接受。

第三階段：確定風險控制目標。本階段主要的工作流程和內(nèi)容包括：（1）分析風險控制需求。針對上面提出的不可接受的風險，分析其具體需求；并分析哪些是可以做到，哪些不能做到；如果做到，需要具體的成本和措施等。（2）確立風險控制目標。完全搞清楚其具體需求后，就可以確定風險控制的目標。

第四階段：控制措施選擇與實施。

控制措施選擇階段的工作流程和內(nèi)容如下：（1）選擇風險控制方式。確定目標后，就可以采用具體的風險控制方式。選擇方式時必須考慮到單位的具體情況，能否實現(xiàn)以及經(jīng)濟投入成本、投入產(chǎn)出比等。（2）選擇風險控制措施?？刂拼胧嵤╇A段的工作流程和內(nèi)容如下：①制定風險控制實施計劃：選擇好相應(yīng)的風險控制方式后，即可制定具體的實施計劃。實施計劃必須為書面，便于后面的審查以及對照。②實施風險控制措施：采用規(guī)避、降低、轉(zhuǎn)移等具體方式來控制。實施過程應(yīng)該遵循相應(yīng)的工作流程和標準，并書面記錄在案。

3 結(jié)語

當前網(wǎng)絡(luò)信息安全技術(shù)發(fā)展迅速，任何信息系統(tǒng)都會有安全風險。沒有任何一種解決方案可以防御所有危及網(wǎng)絡(luò)信息安全的攻擊。因此我們需要不斷跟蹤新技術(shù)，對所采用的網(wǎng)絡(luò)信息安全防范技術(shù)進行升級完善，以確保相關(guān)利益不受侵犯。

參考文獻

[1] Stuart McClure 等.黑客大曝光――網(wǎng)絡(luò)安全機密與解決方案[M].北京：清華大學出版社，2006：140.

[2] 魏仕民等.信息安全概論[M].北京：高等教育出版社，2005：40-41.

[3] 曲平.安全信息管理技術(shù)的研發(fā)與運用[J].信息通信，2013.

篇10

我國的信息安全標準化制定工作比歐美國家起步晚。全國信息化標準制定委員會及其下屬的信息安全技術(shù)委員會開展了我國信息安全標準方面工作，完成了許多安全技術(shù)標準的制定，如GB／T18336、GB17859等。在信息系統(tǒng)的安全管理方面，我國目前在BS7799和ISO17799及CC標準基礎(chǔ)上完成了相關(guān)的標準修訂，我國信息安全標準體系的框架也正在逐步形成之中[1]。隨著信息系統(tǒng)安全問題所產(chǎn)生的損失、危害不斷加劇，信息系統(tǒng)的安全問題越來越受到人們的普遍關(guān)注，如今國內(nèi)高校已經(jīng)加強關(guān)于信息安全管理方面的研究與實踐。

2高校信息安全風險評估模型

2.1信息安全風險評估流程

[2]在實施信息安全風險評估時，河南牧業(yè)經(jīng)濟學院成立了信息安全風險評估小組，由主抓信息安全的副校長擔任組長，各個相關(guān)單位和部門的代表為成員，各自負責與本系部相關(guān)的風險評估事務(wù)。評估小組及相關(guān)人員在風險評估前接受培訓，熟悉運作的流程、理解信息安全管理基本知識，掌握風險評估的方法和技巧。學院的風險評估活動包括以下6方面：建立風險評估準則。建立評估小組，前期調(diào)研了解安全需求，確定適用的表格和調(diào)查問卷等，制定項目計劃，組織人員培訓，依據(jù)國家標準確定各項安全評估指標，建立風險評估準則。資產(chǎn)識別。學院一卡通管理系統(tǒng)、教務(wù)管理系統(tǒng)等關(guān)鍵信息資產(chǎn)的標識。威脅識別。識別網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)病毒、人為錯誤等各種信息威脅，衡量威脅的可發(fā)性與來源。脆弱性識別。識別各類信息資產(chǎn)、各控制流程與管理中的弱點。風險識別。進行風險場景描述，依據(jù)國家標準劃分風險等級評價風險，編寫河南牧業(yè)經(jīng)濟學院信息安全風險評估報告。風險控制。推薦、評估并確定控制目標和控制，編制風險處理計劃。學院信息安全風險評估流程圖如圖1所示：

2.2基于PDCA循環(huán)的信息安全風險評估模型

PDCA（策劃—實施—檢查—措施）經(jīng)常被稱為“休哈特環(huán)”或者“戴明環(huán)”，是由休哈特（WalterShewhart）在19世紀30年代構(gòu)想，隨后被戴明（EdwardsDeming）采納和宣傳。此概念的提出是為了有效控制管理過程和工作質(zhì)量。隨著管理理念的深入，該循環(huán)在各類管理領(lǐng)域得到廣泛使用，取得良好效果。PDCA循環(huán)將一個過程定義為策劃、實施、檢查、措施四個階段，每個階段都有階段任務(wù)和目標，如圖2所示，四個階段為一個循環(huán)，一個持續(xù)的循環(huán)使過程的目標業(yè)績持續(xù)改進，如圖3所示。

3基于PDCA循環(huán)模型的信息安全風險評估的實現(xiàn)

[3-5]河南牧業(yè)經(jīng)濟學院信息系統(tǒng)安全風險評估的研究經(jīng)驗積累不足，本著邊實踐邊改進，逐步優(yōu)化的原則，學院決定采用基于PDCA循環(huán)的信息安全評估模型。信息安全風險評估模型為信息安全風險評估奠定了理論依據(jù)，是有效進行信息安全風險評估的前提。學院擁有3個校區(qū)，正在逐步推進數(shù)字化校園的建設(shè)。校園網(wǎng)一卡通、教務(wù)、資產(chǎn)、檔案等管理系統(tǒng)是學院網(wǎng)絡(luò)核心業(yè)務(wù)系統(tǒng)，同時各院系有自己的各類教學系統(tǒng)平臺，由于網(wǎng)絡(luò)環(huán)境的復(fù)雜性，經(jīng)常會監(jiān)控到信息系統(tǒng)受到內(nèi)外部的網(wǎng)絡(luò)攻擊，信息安全防范問題已經(jīng)很突出。信息安全風險評估小組依據(jù)自行研發(fā)的管理系統(tǒng)對學院各類信息系統(tǒng)進行全面的風險評估（圖4），以便下一步對存在的風險進行有效的管理，根據(jù)信息系統(tǒng)安全風險評估報告，提出相應(yīng)的系統(tǒng)安全方案建議，對全院信息系統(tǒng)當前突出的安全問題進行實際解決。

3.1建立信息安全管理體系環(huán)境風險評估（P策劃）

風險規(guī)劃是高校開展風險評估管理活動的首要步驟。學院分析內(nèi)外環(huán)境及管理現(xiàn)狀，制定包括準確的目標定位、具體的應(yīng)對實施計劃、合理的經(jīng)費預(yù)算、科學的技術(shù)手段等風險評估管理規(guī)劃。風險規(guī)劃內(nèi)容包括確定范圍和方針、定義風險評估的系統(tǒng)性方法、識別風險、評估風險、識別并評價風險處理的方法。信息安全評估風險評估管理工作獲得院領(lǐng)導批準，評估小組開始實施和運作信息安全管理體系。

3.2實施并運行信息安全管理體系（D實施）

該階段的任務(wù)是管理運作適當?shù)膬?yōu)先權(quán)，執(zhí)行選擇控制，以管理識別的信息安全風險。學院通過自行研發(fā)的信息安全風險管理工具，將常見的風險評估方法集成到軟件之中，包括有信息資產(chǎn)和應(yīng)用系統(tǒng)識別、風險識別與評估、風險處置措施及監(jiān)測、風險匯總與報告生成等功能。通過使用信息安全風險管理工具，安全風險評估工作都得到了簡化，減輕人員的工作量，幫助信息安全管理人員完成復(fù)雜的風險評估工作，從而提高學院的信息安全管理水平。

3.3監(jiān)視并評審信息安全管理體系（C檢查）

檢查階段是尋求改進機會的階段，是PDCA循環(huán)的關(guān)鍵階段。信息安全管理體系分析運行效果，檢查到不合理、不充分的控制措施，采取不同的糾正措施。學院在系統(tǒng)實施過程中，規(guī)劃各院系的信息安全風險評估由本系專門人員上傳數(shù)據(jù)，但在具體項目實施中，發(fā)現(xiàn)上傳的數(shù)據(jù)隨意甚至杜撰，嚴重影響學院整體信息系統(tǒng)安全評估的可靠性，為了強化人員責任意識，除了加強風險評估的培訓外，還制定相應(yīng)的懲罰獎勵制度，實時進行監(jiān)督檢查，盡最大可能保證風險評估數(shù)據(jù)的準確性[6]。

3.4改進信息安全管理體系（A措施）

經(jīng)過以上3個步驟之后，評估小組報告該階段所策劃的方案，確定該循環(huán)給管理體系是否帶來明顯的效果，是繼續(xù)執(zhí)行，還是升級改進、放棄重新進行新的策劃。學院在項目具體實施后，信息安全狀況有了明顯的改善，信息管理人員安全責任意識明顯提升，遭受到的內(nèi)外網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)病毒等風險因素能及時發(fā)現(xiàn)處理。評估小組考慮將成果具體擴大到學院其他的部門或領(lǐng)域，開始了新一輪的PDCA循環(huán)持續(xù)改進信息安全風險評估。

4結(jié)語