導(dǎo)語(yǔ)：如何才能寫好一篇資產(chǎn)風(fēng)險(xiǎn)評(píng)估，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

【關(guān)鍵詞】高職院 固定資產(chǎn) 風(fēng)險(xiǎn)評(píng)估 控制活動(dòng)

高職院固定資產(chǎn)有著舉足輕重的重要作用，是教學(xué)和科研的基礎(chǔ)，價(jià)值一般占到總資產(chǎn)的一半以上。因此，管理好高職院固定資產(chǎn)，既關(guān)系社會(huì)民生，又涉及預(yù)防腐敗，我國(guó)亟需建立和完善高職院固定資產(chǎn)內(nèi)部控制，提高固定資產(chǎn)管理內(nèi)部管理水平，防范內(nèi)部風(fēng)險(xiǎn)，確保各項(xiàng)行政活動(dòng)順利開展。由于固定資產(chǎn)內(nèi)部控制涉及問題比較廣泛，本文以固定資產(chǎn)內(nèi)部控制最為重要的風(fēng)險(xiǎn)評(píng)估與控制活動(dòng)為研究對(duì)象，結(jié)合內(nèi)部控制相關(guān)理論，分析固定資產(chǎn)風(fēng)險(xiǎn)評(píng)估和控制活動(dòng)存在的問題，有針對(duì)性的提出改善方案。

一、固定資產(chǎn)內(nèi)部控制問題

（一）風(fēng)險(xiǎn)評(píng)估方面主要問題是機(jī)制不健全，缺乏專門的風(fēng)險(xiǎn)管理機(jī)構(gòu)，更沒有設(shè)置相關(guān)的風(fēng)險(xiǎn)管理崗位。當(dāng)上級(jí)主管部門有要求進(jìn)行風(fēng)險(xiǎn)管理相關(guān)工作時(shí)，則由監(jiān)察審計(jì)部門暫時(shí)執(zhí)行該項(xiàng)工作，但是由于實(shí)際執(zhí)行有難度，再加上風(fēng)險(xiǎn)意識(shí)不夠，普遍認(rèn)為這個(gè)工作比較虛，各單位部門普遍應(yīng)付一下。

（二）控制活動(dòng)方面存在的問題較多，一是采購(gòu)不夠嚴(yán)謹(jǐn)，零星采購(gòu)數(shù)額巨大，程序過于簡(jiǎn)單；二是驗(yàn)收力度不夠，缺乏專業(yè)人才，招標(biāo)價(jià)格與驗(yàn)收價(jià)格有差異，入賬價(jià)格不時(shí)高于合同價(jià)格；三是固定資產(chǎn)處置、維護(hù)和處置環(huán)節(jié)還存在弊端。

二、固定資產(chǎn)內(nèi)部控制設(shè)計(jì)

（一）加強(qiáng)固定資產(chǎn)管理風(fēng)險(xiǎn)控制，組建風(fēng)險(xiǎn)管理委員會(huì)。高職院應(yīng)增設(shè)一個(gè)專門的風(fēng)險(xiǎn)管理委員會(huì)，全權(quán)負(fù)責(zé)構(gòu)建高職院風(fēng)險(xiǎn)管理框架，組織并實(shí)施全面風(fēng)險(xiǎn)管理，由學(xué)院黨委直接領(lǐng)導(dǎo)。委員會(huì)的成員由財(cái)務(wù)處、監(jiān)察審計(jì)處、后勤處等部門人員構(gòu)成。

風(fēng)險(xiǎn)管理委員會(huì)的主要職責(zé)是在全院形成風(fēng)險(xiǎn)管理文化氛圍，提高全院教職員工風(fēng)險(xiǎn)管理意識(shí)，識(shí)別學(xué)院重要業(yè)務(wù)相關(guān)風(fēng)險(xiǎn)，分析并制定風(fēng)險(xiǎn)應(yīng)對(duì)措施，編制風(fēng)險(xiǎn)管理報(bào)告和測(cè)評(píng)報(bào)告向?qū)W院領(lǐng)導(dǎo)匯報(bào)。固定資產(chǎn)管理相關(guān)的風(fēng)險(xiǎn)評(píng)估如下：

（二）加強(qiáng)固定資產(chǎn)管理控制活動(dòng)

1.為優(yōu)化零星采購(gòu)，可以逐步建立一個(gè)資源庫(kù)，對(duì)于各類固定資產(chǎn)都尋找一些適合的供應(yīng)商，錄入資源庫(kù)，在需要采購(gòu)的時(shí)候，從資源庫(kù)調(diào)出適合的供應(yīng)商，再由電腦或不相關(guān)人員隨機(jī)抽取供應(yīng)商，這樣供應(yīng)商也搞不清能否抽中，也不需要想方設(shè)法中標(biāo)。

2.高職院應(yīng)加大驗(yàn)收相關(guān)規(guī)定執(zhí)行力度，嚴(yán)格按照規(guī)章制度進(jìn)行驗(yàn)收。特別是對(duì)于價(jià)值量大，質(zhì)量要求高的固定資產(chǎn)，必須在專業(yè)人才到場(chǎng)的情形下才能開展驗(yàn)收工作。驗(yàn)收人員必須增強(qiáng)責(zé)任心，認(rèn)真核對(duì)資產(chǎn)信息，檢查資產(chǎn)運(yùn)作情況，對(duì)合同金額、發(fā)票金額、驗(yàn)收價(jià)格要核對(duì)一致，如確實(shí)發(fā)現(xiàn)不一致的情況，應(yīng)該拒絕驗(yàn)收。

3.高職院固定資產(chǎn)種類多如牛毛，存放地點(diǎn)極其分散，管理工作較繁雜，存在資產(chǎn)流失的風(fēng)險(xiǎn)。資產(chǎn)管理科負(fù)責(zé)編制固定資產(chǎn)明細(xì)表，注明每一項(xiàng)資產(chǎn)的責(zé)任人和存放點(diǎn)，由使用人負(fù)責(zé)資產(chǎn)的日常管理，在領(lǐng)用或購(gòu)買資產(chǎn)時(shí)，由資產(chǎn)管理科在資產(chǎn)使用帳上登記，離職或變更崗位時(shí)，必須交回資產(chǎn)并辦理相關(guān)手續(xù)，向資產(chǎn)管理科報(bào)告登記，務(wù)必將每一項(xiàng)資產(chǎn)責(zé)任到人。明確資產(chǎn)使用人有利于分清責(zé)任，落實(shí)責(zé)任，為日后固定資產(chǎn)清查做好鋪墊。

資產(chǎn)使用人因各種原因離崗時(shí)，應(yīng)當(dāng)辦理固定資產(chǎn)交接手續(xù)，清點(diǎn)資產(chǎn)、核對(duì)賬目，確保資產(chǎn)賬、卡、物相符，交接時(shí)部門負(fù)責(zé)人須在當(dāng)場(chǎng)監(jiān)督。

高職院應(yīng)要求資產(chǎn)管理科負(fù)責(zé)建立并管理所有固定資產(chǎn)文檔，固定資產(chǎn)購(gòu)入時(shí)即將其合同、保修卡等資料統(tǒng)一歸檔管理，以便日后順利開展維修、轉(zhuǎn)讓等工作，使用部門則保存相關(guān)資料復(fù)印件方便使用，避免固定資產(chǎn)因使用人員多且經(jīng)常調(diào)換丟失資料。

4.在維修保養(yǎng)方面，高職院應(yīng)定期保養(yǎng)設(shè)備，以防范為主，適時(shí)保養(yǎng)。保養(yǎng)一旦發(fā)現(xiàn)問題，立即上報(bào)，對(duì)資產(chǎn)進(jìn)行維修。對(duì)精密貴重的設(shè)備，要制定專人進(jìn)行管理和維護(hù)，應(yīng)對(duì)使用人進(jìn)行專業(yè)培訓(xùn)，定期檢測(cè)、校驗(yàn)，確保精度和性能良好。對(duì)房屋等建筑物，資產(chǎn)管理科也要定期檢查，及時(shí)提出鑒定、拆除和修繕意見。對(duì)一般的教學(xué)等機(jī)器設(shè)備，有專人專用的，使用人負(fù)責(zé)維修保養(yǎng)，共同使用的由資產(chǎn)管理科負(fù)責(zé)維修保養(yǎng)。對(duì)大型的專用設(shè)備，由實(shí)訓(xùn)室與現(xiàn)教管理中心或委托專業(yè)機(jī)構(gòu)定期檢查維護(hù)。

資產(chǎn)管理科還應(yīng)建立相關(guān)的維修保養(yǎng)檔案，登記固定資產(chǎn)的維修保養(yǎng)情況，定期對(duì)維修費(fèi)用進(jìn)行分析統(tǒng)計(jì)，如核算維修頻率、維修計(jì)劃完成率等，既能反映出所購(gòu)固定資產(chǎn)的質(zhì)量，為下一次的固定資產(chǎn)采購(gòu)提供參考信息，又能為制定固定資產(chǎn)的維修保養(yǎng)計(jì)劃提供科學(xué)依據(jù)，還能監(jiān)督維修保養(yǎng)實(shí)施情況。

5.固定資產(chǎn)清查方面，高職院應(yīng)建立適合的固定資產(chǎn)清查制度，明確資產(chǎn)清查頻率、任務(wù)分工和具體的程序。

在清查頻率方面，應(yīng)堅(jiān)持全面清查和分批清查相結(jié)合的原則。由于學(xué)院固定資產(chǎn)數(shù)量龐大，全面清查費(fèi)時(shí)費(fèi)力，如果難以一年完成一次全面清查，那么可以每?jī)赡暌淮危贫ㄏ鄳?yīng)的分批清查計(jì)劃，每年清查一部分部門單位，及早發(fā)現(xiàn)資產(chǎn)管理相關(guān)問題，及時(shí)鞏固資產(chǎn)清查的結(jié)果。

高職院應(yīng)成立資產(chǎn)清查工作領(lǐng)導(dǎo)小組，由學(xué)院領(lǐng)導(dǎo)任組長(zhǎng)，指導(dǎo)并督辦清查事項(xiàng)，清查工作領(lǐng)導(dǎo)小組辦公室可以掛靠資產(chǎn)管理科，由資產(chǎn)管理科具體組織實(shí)施資產(chǎn)清查工作，組織各部門單位自查，將自查結(jié)果報(bào)告資產(chǎn)管理科。資產(chǎn)管理科再組織一到兩個(gè)復(fù)查小組，到部分關(guān)鍵部門單位復(fù)查，重點(diǎn)復(fù)查金額重大、有物無(wú)帳、有帳無(wú)物等特殊情況，最后匯總清查情況，如實(shí)向資產(chǎn)清查工作領(lǐng)導(dǎo)小組報(bào)告。

篇2

關(guān)鍵詞：資產(chǎn)評(píng)估；風(fēng)險(xiǎn)管理；對(duì)策

中圖分類號(hào)：F123.7 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1001-828X（2014）03-0-01

一、資產(chǎn)評(píng)估風(fēng)險(xiǎn)

資產(chǎn)評(píng)估風(fēng)險(xiǎn)就是評(píng)估人員因?yàn)橹骺陀^原因在資產(chǎn)評(píng)估時(shí)對(duì)資產(chǎn)的價(jià)值區(qū)間和它的實(shí)際價(jià)值沒有進(jìn)行科學(xué)評(píng)估，由此產(chǎn)生較大的偏離。外部風(fēng)險(xiǎn)、內(nèi)部風(fēng)險(xiǎn)是形成資產(chǎn)評(píng)估風(fēng)險(xiǎn)的兩個(gè)主要方面。風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)預(yù)測(cè)、風(fēng)險(xiǎn)評(píng)價(jià)等風(fēng)險(xiǎn)管理流程是資產(chǎn)評(píng)估的基本要素，用不同的方式來控制資產(chǎn)評(píng)估活動(dòng)中的風(fēng)險(xiǎn)，并把資產(chǎn)評(píng)估風(fēng)險(xiǎn)控制在可接受范圍，這就是資產(chǎn)評(píng)估風(fēng)險(xiǎn)管理。評(píng)估機(jī)構(gòu)在開展業(yè)務(wù)的時(shí)候會(huì)認(rèn)真識(shí)別可能遇到的各種風(fēng)險(xiǎn)因素，以便于評(píng)估者能夠認(rèn)識(shí)到資產(chǎn)評(píng)估所處的風(fēng)險(xiǎn)環(huán)境。評(píng)估者的專業(yè)判斷能力是風(fēng)險(xiǎn)預(yù)測(cè)和評(píng)價(jià)的主要影響因素。

二、資產(chǎn)評(píng)估風(fēng)險(xiǎn)的產(chǎn)生的原因

（一）主觀性的評(píng)估執(zhí)業(yè)造成的風(fēng)險(xiǎn)

進(jìn)行評(píng)估業(yè)務(wù)的評(píng)估師是專家職業(yè)，有著很濃厚的主觀判斷色彩。不過，要真正獨(dú)立而客觀地進(jìn)行主觀評(píng)估對(duì)于評(píng)估師來說，這和評(píng)估的客觀要求是有一定的沖突的。要是我們對(duì)這個(gè)矛盾的認(rèn)識(shí)不清楚，評(píng)估師的業(yè)務(wù)工作和評(píng)估機(jī)構(gòu)就會(huì)出現(xiàn)管理風(fēng)險(xiǎn)。我們可以將資產(chǎn)評(píng)估看做是智力性的中介服務(wù)行業(yè)。評(píng)估師執(zhí)業(yè)既要符合國(guó)家的法律政策，又要遵循評(píng)估行業(yè)的評(píng)估準(zhǔn)則，評(píng)估師的主觀判斷是相當(dāng)重要的。每個(gè)評(píng)估師在對(duì)相同的資產(chǎn)進(jìn)行評(píng)估的時(shí)候所得出的結(jié)論都是不盡相同的。評(píng)估師的評(píng)估判斷會(huì)受到他的專業(yè)知識(shí)、工作經(jīng)歷、社會(huì)關(guān)鍵等因素的影響。評(píng)估師的個(gè)人喜好和情緒等心理調(diào)節(jié)也會(huì)對(duì)評(píng)估對(duì)象的專業(yè)判斷產(chǎn)生影響。

（二）獨(dú)立性的資產(chǎn)評(píng)估造成的風(fēng)險(xiǎn)

獨(dú)立性的資產(chǎn)評(píng)估要求不應(yīng)該干擾評(píng)估報(bào)告的發(fā)表，資產(chǎn)評(píng)估的獨(dú)立性的影響因素并不是單一的。當(dāng)前，評(píng)估機(jī)構(gòu)和客戶間往往會(huì)因?yàn)槲惺召M(fèi)制度而出現(xiàn)利益關(guān)系，評(píng)估師的獨(dú)立性就會(huì)受到這種利益關(guān)系的影響。從當(dāng)前的體制來看，委托單位通過能夠決定評(píng)估機(jī)構(gòu)的聘用和解聘，委托單位支付評(píng)估費(fèi)用。因此處于較為弱勢(shì)地位的評(píng)估師和評(píng)估機(jī)構(gòu)。評(píng)估師往往會(huì)根據(jù)客戶的喜好來發(fā)表評(píng)估意見，這種待遇利益目的的冬季使得評(píng)估機(jī)構(gòu)經(jīng)過會(huì)向客戶妥協(xié)，尤其是當(dāng)評(píng)估機(jī)構(gòu)覺得可以化解風(fēng)險(xiǎn)的時(shí)候。評(píng)估行業(yè)存在著激烈的競(jìng)爭(zhēng)，這種競(jìng)爭(zhēng)程度和資產(chǎn)評(píng)估失誤出現(xiàn)的懲罰程度都會(huì)使得評(píng)估師的公正立場(chǎng)受到影響。

（三）滯后的評(píng)估規(guī)則效力造成的風(fēng)險(xiǎn)

要想謹(jǐn)慎地進(jìn)行資產(chǎn)評(píng)估就應(yīng)該根據(jù)資產(chǎn)評(píng)估準(zhǔn)則來嚴(yán)格實(shí)施，做到評(píng)估師的義務(wù)和責(zé)任的統(tǒng)一。不過因?yàn)樯鐣?huì)在不斷地發(fā)展，評(píng)估準(zhǔn)則的制定通常比較滯后，由此給資產(chǎn)評(píng)估師的工作帶來了一定的困難。因?yàn)楫?dāng)前的資產(chǎn)評(píng)估準(zhǔn)則和社會(huì)發(fā)展要求并不總是同步，所以就算按照審計(jì)準(zhǔn)則來進(jìn)行評(píng)估，也不一定能做到盡善盡美，故而資產(chǎn)評(píng)估在卷入法律訴訟案件時(shí)其處境還是比較被動(dòng)的。原因在于法院的判案經(jīng)常會(huì)根據(jù)當(dāng)下的社會(huì)發(fā)展要求來決定，而資產(chǎn)評(píng)估準(zhǔn)則又之后與社會(huì)的發(fā)展，風(fēng)險(xiǎn)也就由此產(chǎn)生。

三、資產(chǎn)評(píng)估風(fēng)險(xiǎn)的管理對(duì)策

（一）科學(xué)構(gòu)建資產(chǎn)評(píng)估準(zhǔn)則體系

當(dāng)前，由于資產(chǎn)評(píng)估行業(yè)還缺乏完善的資產(chǎn)評(píng)估準(zhǔn)則體系，使得評(píng)估工作沒有同意的規(guī)范作為依據(jù)。因此，我們應(yīng)該多學(xué)習(xí)和借鑒國(guó)外評(píng)估行業(yè)的好的評(píng)估方法和理論，并根據(jù)我國(guó)的實(shí)際情況來制定適應(yīng)的資產(chǎn)評(píng)估準(zhǔn)則體系。在這個(gè)體系制定中，應(yīng)該考慮到四個(gè)方面：技術(shù)、職業(yè)道德、質(zhì)量控制、繼續(xù)教育。全面規(guī)范評(píng)估機(jī)構(gòu)和評(píng)估師的行業(yè)行為。資產(chǎn)評(píng)估準(zhǔn)則體系的建立要具有實(shí)用性和科學(xué)性，要符合經(jīng)濟(jì)發(fā)展的要求。另外，還應(yīng)該考慮到靈活性、普遍性、穩(wěn)定性、針對(duì)性，這個(gè)體系不但要能夠?qū)φ麄€(gè)評(píng)估活動(dòng)適用，還能夠具體解決某個(gè)方面的問題，幫助評(píng)估師在準(zhǔn)則范圍內(nèi)科學(xué)進(jìn)行專業(yè)判斷，讓他們盡量少受主觀評(píng)估的影響。

（二）增強(qiáng)資產(chǎn)評(píng)估獨(dú)立性

資產(chǎn)評(píng)估的獨(dú)立性主要受兩方面因素的影響：一是利用關(guān)系方的誘惑程度，二是評(píng)估機(jī)構(gòu)因缺乏獨(dú)立性而受到的懲罰程度。因而可以通過建立資產(chǎn)評(píng)估協(xié)會(huì)來加強(qiáng)資產(chǎn)評(píng)估的獨(dú)立性，賦予其權(quán)威性，并做好行業(yè)監(jiān)督。評(píng)估機(jī)構(gòu)和客戶的利益關(guān)系因?yàn)闄n期的委托收費(fèi)制度而超過了評(píng)估機(jī)構(gòu)和資產(chǎn)評(píng)估方的關(guān)系。評(píng)估協(xié)會(huì)要改變這種不平衡的三方關(guān)系，首先就要對(duì)當(dāng)前的委托收費(fèi)制度進(jìn)行改變，構(gòu)建資產(chǎn)評(píng)估需求方、資產(chǎn)評(píng)估委托人共同付費(fèi)聘用評(píng)估機(jī)構(gòu)的新機(jī)制。另外，要進(jìn)一步監(jiān)督低價(jià)攬客行為，抵制消極競(jìng)爭(zhēng)。對(duì)于那些違反規(guī)定的評(píng)估機(jī)構(gòu)，評(píng)估協(xié)會(huì)應(yīng)該加大懲罰力度，以此來避免對(duì)資產(chǎn)獨(dú)立性的損害。

（三）加強(qiáng)評(píng)估人員整體綜合素質(zhì)教育

評(píng)估結(jié)果的質(zhì)量會(huì)都到評(píng)估師的綜合素質(zhì)的影響。要提高評(píng)估師的綜合素質(zhì)就應(yīng)該采取切實(shí)可行的措施。具體來說，一是要規(guī)范評(píng)估師的執(zhí)業(yè)行為。建立更為科學(xué)而規(guī)范的技術(shù)準(zhǔn)則，提高評(píng)估結(jié)果的質(zhì)量，且要對(duì)評(píng)估師灌輸執(zhí)業(yè)風(fēng)險(xiǎn)意識(shí)和質(zhì)量意識(shí)。評(píng)估師不應(yīng)該接受超出自己能力范圍的項(xiàng)目，不能不經(jīng)過實(shí)地勘察和分析就給出項(xiàng)目評(píng)估報(bào)告。要認(rèn)真根據(jù)評(píng)估準(zhǔn)則來評(píng)估具體項(xiàng)目，評(píng)估報(bào)告撰寫需仔細(xì)，對(duì)風(fēng)險(xiǎn)進(jìn)行有效規(guī)避。二是要對(duì)評(píng)估師進(jìn)行道德素質(zhì)教育，通過職業(yè)道德教育宣傳來規(guī)范資產(chǎn)評(píng)估師的職業(yè)道德行為，制定相關(guān)的法律法規(guī)，對(duì)違法犯罪行為要進(jìn)行嚴(yán)格的處罰。三是加強(qiáng)繼續(xù)教育。要想提高評(píng)估師的整體水平，就應(yīng)該構(gòu)建科學(xué)的資產(chǎn)評(píng)估職業(yè)教育培訓(xùn)機(jī)制，用科學(xué)有效的培訓(xùn)方案來加強(qiáng)評(píng)估師的繼續(xù)教育，并將之法律化和制度化。繼續(xù)教育應(yīng)該要有系統(tǒng)性和科學(xué)性，讓評(píng)估師能夠長(zhǎng)期接受良好的教育，從而提高資產(chǎn)評(píng)估結(jié)果的質(zhì)量。

四、結(jié)語(yǔ)

我國(guó)的資產(chǎn)評(píng)估工作發(fā)展較晚，風(fēng)險(xiǎn)管理經(jīng)驗(yàn)還不成熟。相關(guān)的資產(chǎn)評(píng)估法律法規(guī)建設(shè)也比較滯后。當(dāng)前，我國(guó)還沒有完善的資產(chǎn)評(píng)估準(zhǔn)則和資產(chǎn)評(píng)估師法律。評(píng)估風(fēng)險(xiǎn)因?yàn)榉森h(huán)境的不完善而增大了。所以，評(píng)估機(jī)構(gòu)和評(píng)估師要特別注意增強(qiáng)風(fēng)險(xiǎn)防范意識(shí)，有效地規(guī)避風(fēng)險(xiǎn)管理可降低風(fēng)險(xiǎn)發(fā)生的概率和程度。所以，評(píng)估機(jī)構(gòu)建立執(zhí)業(yè)風(fēng)險(xiǎn)保障制度是評(píng)估機(jī)構(gòu)抵御風(fēng)險(xiǎn)，保障其可持續(xù)發(fā)展的有效方式。

參考文獻(xiàn)：

[1]譚，尉京紅.資產(chǎn)評(píng)估行業(yè)發(fā)展及展望[J].集團(tuán)經(jīng)濟(jì)研究，2007（01）.

篇3

一、宏觀層面

1．政治政策風(fēng)險(xiǎn)。也就是投資目標(biāo)地政局是否穩(wěn)定，或者政府會(huì)不會(huì)出臺(tái)某些政策對(duì)所投資的標(biāo)的產(chǎn)生負(fù)面影響。

2．經(jīng)濟(jì)風(fēng)險(xiǎn)。經(jīng)濟(jì)環(huán)境是否穩(wěn)定，各主要經(jīng)濟(jì)指標(biāo)是否在合理范圍(金融指標(biāo)尤其重要)，經(jīng)濟(jì)發(fā)展趨勢(shì)怎樣。股市、樓市泡沫等因素都要列入考慮范圍，這對(duì)今后的投資成功與否非常重要。

3．文化風(fēng)險(xiǎn)。這一風(fēng)險(xiǎn)主要是針對(duì)全球范圍內(nèi)的投資，要充分考慮所投資項(xiàng)目是否與當(dāng)?shù)匚幕袥_突，是否符合當(dāng)今世界的發(fā)展趨勢(shì)。在當(dāng)前環(huán)境下，投資那些環(huán)保，新能源，高新技術(shù)之類的項(xiàng)目經(jīng)濟(jì)風(fēng)險(xiǎn)就要小很多。

二、微觀層面

在分析這一層面時(shí)要考慮的因素非常多，并且也非常復(fù)雜，一般需要大量的財(cái)務(wù)，金融，營(yíng)銷方面的知識(shí)。我現(xiàn)在拿投資寶潔公司為例。首先要分析公司五年來連續(xù)的財(cái)務(wù)報(bào)表，熟悉公司的資產(chǎn)負(fù)債率，每股回報(bào)率，利潤(rùn)增長(zhǎng)率等一系指標(biāo)，注意公司近期是否有大的資本運(yùn)作，如兼并，拆分股票等。熟悉公司目標(biāo)市場(chǎng)的容量，增長(zhǎng)情況，消費(fèi)者信息，競(jìng)爭(zhēng)對(duì)手的動(dòng)作等等。只有做到對(duì)某一公司的運(yùn)營(yíng)狀況非常了解，才能保證有效的投資回報(bào)率，否則就會(huì)心里沒底，導(dǎo)致接二連三的失敗。

三、個(gè)人風(fēng)險(xiǎn)

個(gè)人風(fēng)險(xiǎn)主要是個(gè)人在進(jìn)行投資活動(dòng)時(shí)對(duì)投資結(jié)果的反應(yīng)程度風(fēng)險(xiǎn)。每個(gè)人都應(yīng)當(dāng)明白，投資是一項(xiàng)高風(fēng)險(xiǎn)的運(yùn)作，所以一定要有淡定的心態(tài)和良好的心理素質(zhì)，做到勝不驕敗不餒，并且千萬(wàn)不要用老本進(jìn)行投資，更不能借貸投資。否則一次失敗的投資可能導(dǎo)致高危的個(gè)人風(fēng)險(xiǎn)，血本無(wú)歸，輕生，甚至家破人亡。通過風(fēng)險(xiǎn)識(shí)別，充分揭示了企業(yè)所面臨的各種風(fēng)險(xiǎn)和風(fēng)險(xiǎn)因素，通過風(fēng)險(xiǎn)估計(jì)，確定了風(fēng)險(xiǎn)發(fā)生的概率和損失的嚴(yán)重程度。然而，要確定是否采取控制措施，采取什么樣的控制措施，控制措施采取到什么程度，采取控制措施后，原來的風(fēng)險(xiǎn)因素發(fā)生了什么變化，是否產(chǎn)生了新的風(fēng)險(xiǎn)和新的風(fēng)險(xiǎn)因素?這些都需要通過風(fēng)險(xiǎn)評(píng)價(jià)加以解決。風(fēng)險(xiǎn)評(píng)價(jià)是選擇風(fēng)險(xiǎn)管理技術(shù)的基礎(chǔ)，根據(jù)風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果采取措施對(duì)風(fēng)險(xiǎn)進(jìn)行管理。風(fēng)險(xiǎn)評(píng)價(jià)的意義可以總結(jié)為幾點(diǎn):

1風(fēng)險(xiǎn)評(píng)價(jià)對(duì)于減少風(fēng)險(xiǎn)事故的發(fā)生，特別是防止重大事故的發(fā)生，具有非常重要的作用。

2風(fēng)險(xiǎn)評(píng)價(jià)可以確定控制措施采取的程度。因?yàn)槿魏我豁?xiàng)風(fēng)險(xiǎn)控制都必須付出一定的經(jīng)濟(jì)代價(jià)，而且隨著風(fēng)險(xiǎn)程度的減少，所付出的代價(jià)就越大。因此，從經(jīng)濟(jì)性角度考慮，就應(yīng)該合理的控制風(fēng)險(xiǎn)程度，通過風(fēng)險(xiǎn)評(píng)價(jià)，可以確定控制措施采取到什么程度

3風(fēng)險(xiǎn)評(píng)價(jià)也是保險(xiǎn)公司進(jìn)行承保過程的一個(gè)重要環(huán)節(jié)。通過對(duì)投保標(biāo)的進(jìn)行風(fēng)險(xiǎn)評(píng)價(jià)，才能確定是否承保，并根據(jù)評(píng)價(jià)結(jié)果確定保險(xiǎn)費(fèi)率。風(fēng)險(xiǎn)評(píng)價(jià)也是保險(xiǎn)人對(duì)保戶提供風(fēng)險(xiǎn)管理服務(wù)的主要內(nèi)容。安全指標(biāo)是通過對(duì)大量損失資料的分析，承認(rèn)損失事故的發(fā)生是不可完全避免的前提下，從當(dāng)前的科學(xué)技術(shù)水平、社會(huì)經(jīng)濟(jì)情況以及人們的心理等因素出發(fā)，確定一個(gè)整個(gè)社會(huì)都能接受的最低風(fēng)險(xiǎn)界限，作為衡量企業(yè)風(fēng)險(xiǎn)嚴(yán)重程度的標(biāo)準(zhǔn)。

在當(dāng)今世界，風(fēng)險(xiǎn)投資的影響越來越大，尤其是在高新技術(shù)產(chǎn)業(yè)化的進(jìn)程中，風(fēng)險(xiǎn)投資扮演了一個(gè)重要的角色。它能促進(jìn)高新技術(shù)產(chǎn)業(yè)的發(fā)展，推動(dòng)技術(shù)創(chuàng)新?？傮w上看，我國(guó)的風(fēng)險(xiǎn)投資業(yè)無(wú)論是從規(guī)模、發(fā)展速度，還是從質(zhì)量上與發(fā)達(dá)國(guó)家都有相當(dāng)大的差距。風(fēng)險(xiǎn)投資業(yè)的市場(chǎng)化機(jī)制尚未建立，發(fā)展的外部環(huán)境不完善，也對(duì)風(fēng)險(xiǎn)投資的實(shí)踐造成了巨大的障礙。即便如此，風(fēng)險(xiǎn)投資業(yè)的驕人成績(jī)?nèi)晕絹碓蕉嗟母呖萍技夹g(shù)企業(yè)。但要從眾多的高技術(shù)企業(yè)中挑選增長(zhǎng)潛力高、風(fēng)險(xiǎn)適中的企業(yè)進(jìn)行投資，就需要憑借有效的評(píng)價(jià)方法來進(jìn)行篩選，尤其是對(duì)項(xiàng)目投資的風(fēng)險(xiǎn)進(jìn)行評(píng)價(jià)。風(fēng)險(xiǎn)項(xiàng)目投資具有高風(fēng)險(xiǎn)、高收益的特點(diǎn)，科學(xué)、準(zhǔn)確的評(píng)價(jià)方法對(duì)項(xiàng)目投資至關(guān)重要。傳統(tǒng)的評(píng)價(jià)方法主觀因素太強(qiáng)，而人工神經(jīng)網(wǎng)絡(luò)模型克服了傳統(tǒng)項(xiàng)目評(píng)價(jià)依賴專家經(jīng)驗(yàn)的弊端，為項(xiàng)目投資風(fēng)險(xiǎn)評(píng)價(jià)開辟了新途徑。

篇4

摘 要 無(wú)形資產(chǎn)評(píng)估因?yàn)榇嬖谥S多復(fù)雜的不確定因素，致使評(píng)估風(fēng)險(xiǎn)的產(chǎn)生。本文主要論述了無(wú)形資產(chǎn)評(píng)估的三種方法，探討其評(píng)估過程中所產(chǎn)生的種種風(fēng)險(xiǎn)，并就應(yīng)如何從根源上減少風(fēng)險(xiǎn)提出建設(shè)性意見。

關(guān)鍵詞 無(wú)形資產(chǎn)評(píng)估 風(fēng)險(xiǎn) 控制

無(wú)形資產(chǎn)指的是企業(yè)所擁有的或者是在其控制下的、非實(shí)物形態(tài)的可辨認(rèn)非貨幣性資產(chǎn)。無(wú)形資產(chǎn)評(píng)估風(fēng)險(xiǎn)的存在是因?yàn)樵谄湓u(píng)估過程中存在著許多復(fù)雜的不定性因素，這些因素是導(dǎo)致無(wú)形資產(chǎn)評(píng)估風(fēng)險(xiǎn)存在的主因。本文主要論述了三種常用評(píng)估方法中存在的風(fēng)險(xiǎn)，并就應(yīng)如何處理和控制提出建設(shè)性的意見。

1.三種評(píng)估方法中存在的風(fēng)險(xiǎn)

1.1市價(jià)法

無(wú)形資產(chǎn)產(chǎn)權(quán)交易市場(chǎng)存在漏洞是采用市價(jià)法評(píng)估無(wú)形資產(chǎn)時(shí)所存在的風(fēng)險(xiǎn)。產(chǎn)權(quán)交易市場(chǎng)并不成熟，而且缺乏必要的信息，很難找得到相關(guān)的交易案例；無(wú)形資產(chǎn)的非標(biāo)準(zhǔn)性，導(dǎo)致我們難以確定近似有形資產(chǎn)采用市場(chǎng)法評(píng)估時(shí)參照的調(diào)整差異事項(xiàng)；絕大部分的無(wú)形資產(chǎn)都具有壟斷性，在產(chǎn)權(quán)交易市場(chǎng)上幾乎找不到一樣的或者是相似的評(píng)估參照物。難以想象，不一樣的專有技術(shù)、不一樣的專利，不一樣的企業(yè)商譽(yù)、不一樣的商標(biāo)要怎樣去調(diào)整它們之間的價(jià)格差距[1]。

1.2收益法

（1）收益的預(yù)測(cè)。無(wú)形資產(chǎn)的收益是一種超額收益，它只有依附在一定間接的或者直接的物質(zhì)載體上才能體現(xiàn)出其價(jià)值。這種超額的收益指的主要是：無(wú)形資產(chǎn)的存在使得與企業(yè)有關(guān)的產(chǎn)品的產(chǎn)量增加、產(chǎn)品價(jià)格的升高或者是銷量的增加，又或者是兩種情況都有；無(wú)形資產(chǎn)的存在使得企業(yè)的生產(chǎn)成本與經(jīng)營(yíng)成本下降，產(chǎn)生了生產(chǎn)與經(jīng)營(yíng)用度的節(jié)約額。對(duì)無(wú)形資產(chǎn)未來收益的預(yù)測(cè)準(zhǔn)確與否，與無(wú)形資產(chǎn)價(jià)值的評(píng)估直接相關(guān)，而收益被許多不定性的因素所影響，致使收益的實(shí)現(xiàn)具有非常的風(fēng)險(xiǎn)性。因?yàn)樵u(píng)估師一般都是借助歷史的數(shù)據(jù)去估算將來的，若是缺少必要的經(jīng)營(yíng)信息、缺少相關(guān)的歷史數(shù)據(jù)，無(wú)論是預(yù)測(cè)還是推算都缺少了有說服力的根據(jù)。比方說，當(dāng)前盈利很低或者是沒有盈利，這就說明沒有辦法依據(jù)目前的盈利情況去預(yù)測(cè)將來的盈利水準(zhǔn)。

（2）評(píng)估范圍的確定。資產(chǎn)評(píng)估范圍在決定評(píng)估專業(yè)人士的工作范圍的同時(shí)也直接測(cè)算評(píng)估結(jié)論是不是成立。在有形資產(chǎn)的評(píng)估中，評(píng)估范圍比較容易被界定，但是無(wú)形資產(chǎn)的評(píng)估范圍卻是難以界定。這其中的原因主要是很難在時(shí)間上對(duì)技術(shù)資產(chǎn)的經(jīng)濟(jì)壽命進(jìn)行精準(zhǔn)的測(cè)定。專家對(duì)現(xiàn)行的協(xié)議年限或者是法定年限的測(cè)定，事實(shí)上忽視了無(wú)形資產(chǎn)的可持續(xù)利用性。因?yàn)閷?duì)以一種新的技術(shù)形態(tài)存在的無(wú)形資產(chǎn)來講，它的經(jīng)濟(jì)壽命是可隨著技術(shù)開發(fā)的深度加深而不斷延長(zhǎng)的。因此，人們通常在界定無(wú)形資產(chǎn)的評(píng)估范圍的時(shí)候結(jié)合有形資產(chǎn)。但是有形資產(chǎn)會(huì)因?yàn)橥度胍?guī)模的大小而產(chǎn)生變化，導(dǎo)致很難界定“評(píng)估范圍。

（3）收益期的確定。無(wú)形資產(chǎn)收益期的確定，不但要考慮它的經(jīng)濟(jì)壽命，還要考慮法律合同壽命。人們往往以協(xié)議的或者法定的有效年限作為根據(jù)。但無(wú)形資產(chǎn)的經(jīng)濟(jì)壽命，也就是它的收益期受到使用頻率及技術(shù)進(jìn)步的影響。比如假定一項(xiàng)技術(shù)型無(wú)形資產(chǎn)協(xié)議的有效年限是十年，但事實(shí)上五年后就可以實(shí)現(xiàn)技術(shù)更新，這時(shí)候新的、更適用的、更先進(jìn)的或者是效益更高的技術(shù)資產(chǎn)出現(xiàn)，而原本的技術(shù)即便繼續(xù)受到法律的保護(hù)，但是卻不再具先有進(jìn)性，也不能再為所有者帶來可觀的利潤(rùn)。有些無(wú)形資產(chǎn)具備可持續(xù)利用性，像有的技術(shù)性無(wú)形資產(chǎn)，其收益期隨著它的開發(fā)、升級(jí)可得到延伸。無(wú)形資產(chǎn)還具有獨(dú)占性，若一項(xiàng)無(wú)形資產(chǎn)被所有者獨(dú)占時(shí)，能夠比較明確的知道收益，但隨著技術(shù)被廣泛的傳播，成本、價(jià)格方面的獨(dú)占優(yōu)勢(shì)就會(huì)逐步喪失，收益期也會(huì)相對(duì)的縮短。

1.3重置成本法

（1）難以確定成新率。固定資產(chǎn)的使用在正常情況下，在大部分時(shí)間內(nèi)他們的損耗都是均勻的，還有對(duì)應(yīng)的方法與技術(shù)標(biāo)準(zhǔn)對(duì)其進(jìn)行新舊程度測(cè)定，成新率可以比較客觀的被確定。但如固定資產(chǎn)般的有形損耗并不存在于無(wú)形資產(chǎn)中，所以無(wú)形資產(chǎn)的成新率只能它的使用時(shí)間和效用來猜測(cè)。在這里無(wú)形資產(chǎn)往往會(huì)呈現(xiàn)出一種非線性關(guān)系。某些無(wú)形資產(chǎn)在特定的時(shí)間里是呈非線性遞增的，像商譽(yù)、商標(biāo)等；而某些無(wú)形資產(chǎn)則是呈非線性遞減，如技術(shù)型無(wú)形資產(chǎn)就是。曾有專家建議用無(wú)形資產(chǎn)所依附產(chǎn)品的壽命周期來推算成新率，但產(chǎn)品壽命周期因種種原因而具有不確定，且許多無(wú)形資產(chǎn)在同一時(shí)間里和許多產(chǎn)品又有聯(lián)系，推算時(shí)并不具有可分性[2]。

（2）以歷史成本為根據(jù)進(jìn)行調(diào)整所得到的重置成本是不精準(zhǔn)且是存在風(fēng)險(xiǎn)的。這是因?yàn)闊o(wú)形資產(chǎn)歷史成本具有虛擬性、不完整性與弱相對(duì)性。無(wú)形資產(chǎn)形成的時(shí)間一般都比較長(zhǎng)，而且過程很復(fù)雜，這就使得財(cái)務(wù)在對(duì)無(wú)形資產(chǎn)的核算上并沒有完整的資料可進(jìn)行參照，也直接導(dǎo)致對(duì)其核算的不嚴(yán)格。再者，開發(fā)無(wú)形資產(chǎn)所耗費(fèi)的資產(chǎn)和無(wú)形資產(chǎn)所形成的價(jià)值并沒有很直接的關(guān)系。某些無(wú)形資產(chǎn)的形成并不需要很多的資金投入就可以得到豐厚的收益；某些無(wú)形資產(chǎn)開發(fā)時(shí)耗費(fèi)驚人，收益卻平平。

2.風(fēng)險(xiǎn)的控制

國(guó)內(nèi)當(dāng)前的經(jīng)濟(jì)環(huán)境下，主要以收益法對(duì)無(wú)形資產(chǎn)進(jìn)行評(píng)估。在采用收益法評(píng)估無(wú)形資產(chǎn)時(shí)，評(píng)估專家應(yīng)做好下面幾點(diǎn)：（1）最好已經(jīng)詳細(xì)了解了被評(píng)估資產(chǎn)的基本情況。這其中包括了公司的大概情況、公司的經(jīng)營(yíng)環(huán)境、與之有關(guān)的法律、無(wú)形資產(chǎn)的取得過程及其歷史沿革、與之有關(guān)的與無(wú)形資產(chǎn)相似的國(guó)內(nèi)或者國(guó)際的最新情況等[3]。（2）確定無(wú)形資產(chǎn)的分成率。無(wú)形資產(chǎn)分成率的確定通常有三種方法：約當(dāng)投資分成法、成本加權(quán)平均分析法、邊際分析法。在現(xiàn)實(shí)中的評(píng)估中，往往會(huì)有這樣一種情況，某一企業(yè)正常經(jīng)營(yíng)所不可或缺的條件是得到和運(yùn)用某一無(wú)形資產(chǎn)，尤其是可以使得企業(yè)起死回生時(shí)更是典型。在此種狀況下假定采取的是邊際分析法，要得出無(wú)形資產(chǎn)收益期的追加利潤(rùn)在總利潤(rùn)中所占的比重，通常都會(huì)遇到下面的難點(diǎn)：認(rèn)為在該無(wú)形資產(chǎn)的情況下該企業(yè)將會(huì)瀕臨倒閉，將生產(chǎn)利潤(rùn)大部分或者是全都都?xì)w在了超額利潤(rùn)上，夸大了無(wú)形資產(chǎn)的超額利潤(rùn)。因?yàn)闊o(wú)形資產(chǎn)與其他資產(chǎn)的作用很難分清，所以還是采取約當(dāng)投資分成法比較適合。（3）要注意收集和分析數(shù)據(jù)資料。因?yàn)槭找娣ㄊ峭茰y(cè)將來收益并且折現(xiàn)的方法，無(wú)形資產(chǎn)又有收益期、收益分成率、收益等預(yù)測(cè)的復(fù)雜性與不確定性，所以在評(píng)估的時(shí)候重視數(shù)據(jù)資料的來源及對(duì)其進(jìn)行分析就顯得十分必要。必須要有條不紊、有步驟的進(jìn)行數(shù)據(jù)資料的收集與整理工作，反反復(fù)復(fù)核對(duì)與之相關(guān)的全部資料，對(duì)于歷史資料的真實(shí)性要進(jìn)行嚴(yán)格審查與核實(shí)，不能只依靠假定或者推測(cè)。模型的建立要在歷史財(cái)務(wù)報(bào)表的基礎(chǔ)上，并且要盡可能多的知道企業(yè)財(cái)務(wù)報(bào)表中稅務(wù)余會(huì)計(jì)的復(fù)雜性，防止資產(chǎn)被重復(fù)計(jì)算[4]。（4）預(yù)測(cè)盈利。盈利預(yù)測(cè)是收益法評(píng)估無(wú)形資產(chǎn)的核心部分，盈利預(yù)測(cè)的結(jié)果是否準(zhǔn)確直接關(guān)系到評(píng)估結(jié)果。預(yù)測(cè)一定要建立在對(duì)被評(píng)估的無(wú)形資產(chǎn)收益狀況的充分了解的基礎(chǔ)上，要盡量去得到歷史的會(huì)計(jì)資料、了解主要成本項(xiàng)目的結(jié)構(gòu)情況、變動(dòng)狀況以及 主要收益來源等?；镜馁Y料要至少三期的歷史數(shù)據(jù)與五期以上的預(yù)測(cè)數(shù)據(jù)。預(yù)測(cè)完成以后，還要對(duì)與之相關(guān)的數(shù)據(jù)來源及其可靠性、預(yù)測(cè)模型的科學(xué)性與合理性以及盈利預(yù)測(cè)的基本假定等再進(jìn)行核實(shí)。復(fù)核要對(duì)各項(xiàng)目的變動(dòng)趨向有科學(xué)性的解釋，把謹(jǐn)慎性原則堅(jiān)持到底。

無(wú)論是哪種評(píng)估方法都存在著一定的風(fēng)險(xiǎn)，評(píng)估專家在對(duì)無(wú)形資產(chǎn)進(jìn)行評(píng)估時(shí)，應(yīng)要注意選擇方法。通常來說，產(chǎn)特性較為復(fù)雜的、目的是投資或者轉(zhuǎn)讓的、著重資產(chǎn)將來的使用效果的一類無(wú)形資產(chǎn)，最好采取收益法進(jìn)行評(píng)估；而資產(chǎn)特性較為簡(jiǎn)單的，評(píng)估的目的是以成本推銷，并且側(cè)重于現(xiàn)實(shí)可用程度的無(wú)形資產(chǎn)，則最好采用市場(chǎng)法或者成本法。

參考文獻(xiàn)

[1]左治良.我國(guó)無(wú)形資產(chǎn)評(píng)估風(fēng)險(xiǎn)及防范.知識(shí)經(jīng)濟(jì).2009（17）：48.

[2]成文.無(wú)形資產(chǎn)評(píng)估風(fēng)險(xiǎn)及防范.消費(fèi)導(dǎo)刊.2010（7）：103.

篇5

關(guān)鍵詞：資產(chǎn)評(píng)估;風(fēng)險(xiǎn);對(duì)策;防范

中圖分類號(hào)：F123.7 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1006-8937（2016）32-0124-02

1 資產(chǎn)評(píng)估的界定

一般認(rèn)為，資產(chǎn)評(píng)估風(fēng)險(xiǎn)指相關(guān)單位或個(gè)人因?qū)υu(píng)估目標(biāo)的價(jià)值做出了不恰當(dāng)?shù)姆治龉浪愣馐艿膿p失。根據(jù)該定義，資產(chǎn)評(píng)估主要包含兩部分內(nèi)容：外部風(fēng)險(xiǎn)和內(nèi)部風(fēng)險(xiǎn)。

首先，外部風(fēng)險(xiǎn)，即外部因素的存在影響或阻礙資產(chǎn)評(píng)估師的正常評(píng)估過程而產(chǎn)生的風(fēng)險(xiǎn)。主要包括外部壓力風(fēng)險(xiǎn)、市場(chǎng)風(fēng)險(xiǎn)、客戶風(fēng)險(xiǎn)和制度風(fēng)險(xiǎn)等。

其次，內(nèi)部風(fēng)險(xiǎn)即由于資產(chǎn)評(píng)估機(jī)構(gòu)的內(nèi)部因素所造成資產(chǎn)評(píng)估師對(duì)資產(chǎn)價(jià)值的錯(cuò)誤或不當(dāng)判斷而引起的風(fēng)險(xiǎn)。

內(nèi)部風(fēng)險(xiǎn)主要包括兩種類型，一是由于資產(chǎn)評(píng)估師的專業(yè)能力與職業(yè)道德而產(chǎn)生的人員風(fēng)險(xiǎn)，例如道德風(fēng)險(xiǎn)與人員風(fēng)險(xiǎn);二是由于評(píng)估機(jī)構(gòu)自身缺乏良好內(nèi)部控制和監(jiān)督管理手段、機(jī)構(gòu)評(píng)估經(jīng)驗(yàn)不足、對(duì)項(xiàng)目整體的管理與組織不善而導(dǎo)致的組織風(fēng)險(xiǎn)。

2 資產(chǎn)評(píng)估風(fēng)險(xiǎn)的分類及表現(xiàn)形式

2.1 從控制性角度劃分

從來源角度研究，資產(chǎn)評(píng)估風(fēng)險(xiǎn)主要包括不可控風(fēng)險(xiǎn)和可控風(fēng)險(xiǎn)。

2.1.1 不可控風(fēng)險(xiǎn)

不可控風(fēng)險(xiǎn)主要指會(huì)導(dǎo)致評(píng)估結(jié)果出現(xiàn)較大偏差但又不能由資產(chǎn)評(píng)估機(jī)構(gòu)所控制的風(fēng)險(xiǎn)。具體可由以下幾種類型構(gòu)成。

①資產(chǎn)評(píng)估機(jī)構(gòu)面對(duì)的風(fēng)險(xiǎn)。在資產(chǎn)評(píng)估進(jìn)入中國(guó)后，經(jīng)過三十年的不斷發(fā)展我國(guó)已逐步與國(guó)際資產(chǎn)評(píng)估接軌。但我國(guó)評(píng)估理論與實(shí)踐發(fā)展較不均衡，因而出現(xiàn)因法律體系不完善而產(chǎn)生風(fēng)險(xiǎn)的可能。截止目前，指導(dǎo)資產(chǎn)評(píng)估行業(yè)最直接的是于1991年制定并的《國(guó)有資產(chǎn)管理辦法》，沒有規(guī)范行業(yè)的法律勢(shì)必會(huì)造成法律的監(jiān)督空位，不能從根本上規(guī)范資產(chǎn)評(píng)估人員的行為和評(píng)估業(yè)務(wù)的程序性。以四川評(píng)估作假案為例，其直接原因是中國(guó)資產(chǎn)評(píng)估法律的不完善，導(dǎo)致造假者有機(jī)可乘。其次，中國(guó)資產(chǎn)評(píng)估的主管部門不明確，目前存在執(zhí)行標(biāo)準(zhǔn)不統(tǒng)一、多頭管轄的現(xiàn)象。在執(zhí)行具體評(píng)估業(yè)務(wù)時(shí)，相關(guān)機(jī)構(gòu)為到達(dá)評(píng)估目的強(qiáng)行干預(yù)評(píng)估執(zhí)行，極大地影響我國(guó)資產(chǎn)評(píng)估工作的獨(dú)立性、客觀性和公正性，最終造成評(píng)估結(jié)果的失實(shí)。

②評(píng)估人員面對(duì)的風(fēng)險(xiǎn)。首先，市場(chǎng)信息不完善而導(dǎo)致的風(fēng)險(xiǎn)。我國(guó)自改革開放依賴經(jīng)濟(jì)飛速發(fā)展，但數(shù)據(jù)信息的可靠性較低。自1996年中國(guó)使用上市指數(shù)后，數(shù)據(jù)才具有一定的可靠性，會(huì)計(jì)信息失真，市場(chǎng)信息很難找到，但資產(chǎn)評(píng)估的基本三種評(píng)估方法都基于市場(chǎng)信息，因而我國(guó)的市場(chǎng)特點(diǎn)極大程度的增加了資產(chǎn)評(píng)估師的評(píng)估風(fēng)險(xiǎn)。其次，資產(chǎn)評(píng)估在我國(guó)發(fā)展時(shí)間較短，尚處于探索階段。資產(chǎn)評(píng)估協(xié)會(huì)在2007年已經(jīng)中國(guó)資產(chǎn)評(píng)估體系，但相關(guān)準(zhǔn)則對(duì)實(shí)際評(píng)估行為的規(guī)范力度較弱，資產(chǎn)評(píng)估人員在法律訴訟時(shí)，很難找到相關(guān)法律依據(jù)保護(hù)自身權(quán)益。

2.1.2 可控風(fēng)險(xiǎn)

可控風(fēng)險(xiǎn)主要指可由評(píng)估機(jī)構(gòu)和評(píng)估人員控制的風(fēng)險(xiǎn)，該種風(fēng)險(xiǎn)主要取決于資產(chǎn)評(píng)估機(jī)構(gòu)內(nèi)部控制和相關(guān)制度的建設(shè)是否完善和資產(chǎn)評(píng)估人員自身素質(zhì)的程度。

①資產(chǎn)評(píng)估機(jī)構(gòu)面對(duì)的可控風(fēng)險(xiǎn)。資產(chǎn)評(píng)估機(jī)構(gòu)面對(duì)的可控風(fēng)險(xiǎn)指評(píng)估機(jī)構(gòu)違反規(guī)章制度操作而導(dǎo)致的內(nèi)部管理風(fēng)險(xiǎn)。例如資產(chǎn)評(píng)估機(jī)構(gòu)在實(shí)際評(píng)估業(yè)務(wù)面前只重視自身經(jīng)濟(jì)效益而忽視相關(guān)法律及準(zhǔn)則，為了盈利而對(duì)不合法資產(chǎn)展開評(píng)估;資產(chǎn)評(píng)估機(jī)構(gòu)沒有相關(guān)評(píng)估資治，卻為了盈利而出具相關(guān)評(píng)估報(bào)告;同時(shí)，行業(yè)內(nèi)部存在關(guān)聯(lián)交易，給回扣現(xiàn)象屢禁不絕，一般機(jī)構(gòu)的回扣比例約為40%至50%，更有甚者高達(dá)80%左右。

②評(píng)估人員面對(duì)的可控風(fēng)險(xiǎn)。評(píng)估人員面臨的風(fēng)險(xiǎn)主要包含兩個(gè)層面：職業(yè)道德風(fēng)險(xiǎn)和專業(yè)水平風(fēng)險(xiǎn)。首先，從職業(yè)道德風(fēng)險(xiǎn)角度出發(fā)，依據(jù)《職業(yè)道德準(zhǔn)則-基本準(zhǔn)則》規(guī)定，執(zhí)業(yè)過程中資產(chǎn)評(píng)估師應(yīng)恪守客觀、獨(dú)立、公平、公正的原則，對(duì)資產(chǎn)價(jià)值進(jìn)行合理估價(jià)。然而在實(shí)際評(píng)估過程中，一些資產(chǎn)評(píng)估師無(wú)原則，無(wú)視市場(chǎng)信息，主觀性差，過度依賴委托人提供的相關(guān)資料而忽視相關(guān)審查、評(píng)估程序，致使結(jié)果嚴(yán)重偏離資產(chǎn)的公允價(jià)值，對(duì)當(dāng)事人造成經(jīng)濟(jì)損失。其次，《職業(yè)道德準(zhǔn)則-基本準(zhǔn)則》規(guī)定資產(chǎn)評(píng)估師應(yīng)具備相關(guān)知識(shí)和經(jīng)驗(yàn)。但在實(shí)際評(píng)估過程中，資產(chǎn)評(píng)估師在自己有限的知識(shí)和經(jīng)驗(yàn)的情況下，不能隨市場(chǎng)的變化而合理制定相關(guān)數(shù)據(jù)，導(dǎo)致評(píng)估結(jié)果存在錯(cuò)誤的可能性。

2.2 從來源角度劃分

資產(chǎn)評(píng)估風(fēng)險(xiǎn)從來源角度劃分可分為多種類型，主要包括管理風(fēng)險(xiǎn)、執(zhí)業(yè)風(fēng)險(xiǎn)、立法風(fēng)險(xiǎn)和使用風(fēng)險(xiǎn)四類。

2.2.1 管理風(fēng)險(xiǎn)

管理風(fēng)險(xiǎn)主要是指具體行政部門在執(zhí)行資產(chǎn)評(píng)估的管理職能時(shí)面臨的風(fēng)險(xiǎn)。我國(guó)資產(chǎn)評(píng)估管理風(fēng)險(xiǎn)多體現(xiàn)在：當(dāng)前資產(chǎn)評(píng)估的主管部門不統(tǒng)一、執(zhí)業(yè)標(biāo)準(zhǔn)不完善，在實(shí)際評(píng)估過程中會(huì)出現(xiàn)由于管理有欠完善而影響評(píng)估工作正常進(jìn)行的現(xiàn)象。

2.2.2 執(zhí)業(yè)風(fēng)險(xiǎn)

執(zhí)業(yè)風(fēng)險(xiǎn)主要指評(píng)估人員在實(shí)際評(píng)估過程中，因?yàn)椴荒苓_(dá)到專業(yè)評(píng)估標(biāo)準(zhǔn)而產(chǎn)生的風(fēng)險(xiǎn)。若執(zhí)業(yè)不能達(dá)到專業(yè)標(biāo)準(zhǔn)，會(huì)使評(píng)估出現(xiàn)紕漏，從而導(dǎo)致不合理的評(píng)估結(jié)果出現(xiàn)，最終影響相關(guān)當(dāng)事人的合法利益。資產(chǎn)評(píng)估機(jī)構(gòu)和人員由于自身專業(yè)知識(shí)欠缺而產(chǎn)生的訴訟或仲裁費(fèi)用以及因敗訴而產(chǎn)生的經(jīng)濟(jì)賠償，都屬于資產(chǎn)評(píng)估的執(zhí)業(yè)風(fēng)險(xiǎn)。

篇6

一、收益法在無(wú)形資產(chǎn)評(píng)估中的工作風(fēng)險(xiǎn)

資產(chǎn)評(píng)估收益法，是指通過估測(cè)被評(píng)估資產(chǎn)未來預(yù)期收益的現(xiàn)值來判斷資產(chǎn)價(jià)值的各種評(píng)估方法的總稱。評(píng)估的工作風(fēng)險(xiǎn)，主要是由于在評(píng)估工作過程中采用的評(píng)估方法、對(duì)委托方誠(chéng)實(shí)程度的了解不夠、選用的資料及資產(chǎn)評(píng)估人員個(gè)人經(jīng)歷、經(jīng)驗(yàn)限制而導(dǎo)致的誤判等引起的風(fēng)險(xiǎn)，屬于評(píng)估人員主觀原因引起或評(píng)估手段失誤而產(chǎn)生的風(fēng)險(xiǎn)。這種風(fēng)險(xiǎn)，在無(wú)形資產(chǎn)采用收益法進(jìn)行的評(píng)估工作中顯得尤為突出。當(dāng)評(píng)估機(jī)構(gòu)和評(píng)估人員一旦承接了無(wú)形資產(chǎn)評(píng)估項(xiàng)目，收益法評(píng)估的工作風(fēng)險(xiǎn)也就主要集中地反映在對(duì)有關(guān)參數(shù)的預(yù)測(cè)和貨幣衡量上。

收益法的基本參數(shù)主要有：一是被評(píng)估資產(chǎn)的預(yù)期收益；二是折現(xiàn)率或資本化率；三是被評(píng)估資產(chǎn)取得預(yù)期收益的持續(xù)時(shí)間。能否清晰地把握上述三要素成為能否運(yùn)用收益法的基本前提。從這個(gè)意義上講，應(yīng)用收益法必須具備的前提條件是：（1）被評(píng)估資產(chǎn)的未來預(yù)期收益可以預(yù)測(cè)，并可以用貨幣衡量；（2）資產(chǎn)擁有者獲得預(yù)期收益所承擔(dān)的風(fēng)險(xiǎn)也可以預(yù)測(cè)，并可以用貨幣衡量；（3）被評(píng)估資產(chǎn)預(yù)期獲利年限可以預(yù)測(cè)。在對(duì)無(wú)形資產(chǎn)進(jìn)行價(jià)格評(píng)估時(shí)，看似只有幾個(gè)參數(shù)，似乎很簡(jiǎn)單，其實(shí)幾乎每個(gè)參數(shù)都難以確定，或者說難以準(zhǔn)確把握。如預(yù)期收益是采用凈現(xiàn)金流量還是凈利潤(rùn)，用稅前利潤(rùn)還是稅后利潤(rùn)；無(wú)風(fēng)險(xiǎn)報(bào)酬率是采用國(guó)債利率還是銀行利率，采用短期利率還是中長(zhǎng)期利率等都有爭(zhēng)議；行業(yè)報(bào)酬率、社會(huì)平均報(bào)酬率等數(shù)據(jù)本身的準(zhǔn)確含義就很難界定，等等。由于類似問題的存在，使得收益法預(yù)測(cè)和衡量參數(shù)的不確定性大大增加，評(píng)估工作風(fēng)險(xiǎn)自然就隱藏其中了。

2004年1月9日證監(jiān)會(huì)下發(fā)《關(guān)于進(jìn)一步提高上市公司財(cái)務(wù)信息披露質(zhì)量的通知》第六條指出，為防止公司和評(píng)估人員高估未來盈利能力并進(jìn)而高估資產(chǎn)，對(duì)使用收益現(xiàn)值法評(píng)估資產(chǎn)的，凡未來年度報(bào)告的利潤(rùn)實(shí)現(xiàn)數(shù)低于預(yù)測(cè)數(shù)10%～20%的公司及其聘請(qǐng)的評(píng)估人員，應(yīng)在股東大會(huì)及指定報(bào)刊上作出解釋，并向投資者公開道歉；凡未來年度報(bào)告的利潤(rùn)實(shí)現(xiàn)數(shù)低于預(yù)測(cè)數(shù)20%以上的，除要作出公開解釋并道歉外，中國(guó)證監(jiān)會(huì)將視情況實(shí)行事后審查?！百Y產(chǎn)評(píng)估是一門十分靈活的預(yù)測(cè)藝術(shù)”，用收益法評(píng)估無(wú)形資產(chǎn)價(jià)值，是最科學(xué)的方法。當(dāng)無(wú)形資產(chǎn)復(fù)雜的不確定因素與其“預(yù)測(cè)”相結(jié)合，使得評(píng)估機(jī)構(gòu)和評(píng)估人員在整個(gè)評(píng)估工作過程中面臨著更大的工作風(fēng)險(xiǎn)。采用收益法評(píng)估無(wú)形資產(chǎn)，結(jié)果上下可能差幾十倍，因而“20%大限”激起了評(píng)估業(yè)的強(qiáng)烈反應(yīng)。甚至有人預(yù)言“如果按這要求，大多數(shù)項(xiàng)目都要出問題，挨板子?！蔽覀冎?，證監(jiān)會(huì)提出“20%大限”，用意是為了防范弄虛作假，提醒評(píng)估人員謹(jǐn)慎保守些，不能再根據(jù)客戶需求，隨意調(diào)節(jié)結(jié)果。但是，即便是完全按照有關(guān)規(guī)定進(jìn)行無(wú)形資產(chǎn)評(píng)估的有關(guān)評(píng)估機(jī)構(gòu)和評(píng)估人員，仍然在使用收益法評(píng)估無(wú)形資產(chǎn)的過程中，面臨著“20%大限”這一規(guī)定的巨大工作風(fēng)險(xiǎn)，更何況無(wú)形資產(chǎn)的外部環(huán)境也在不時(shí)地發(fā)生變化。因此，評(píng)估機(jī)構(gòu)和評(píng)估人員必須審慎，盡可能地防范和規(guī)避其工作風(fēng)險(xiǎn)。

二、收益法在無(wú)形資產(chǎn)評(píng)估中存在工作風(fēng)險(xiǎn)的原因

收益法被公認(rèn)為是最適合無(wú)形資產(chǎn)評(píng)估的方法，但由于其本身的技術(shù)要求，使得評(píng)估工作過程中存在工作風(fēng)險(xiǎn)。

（一）無(wú)形資產(chǎn)的評(píng)估范圍難以界定。資產(chǎn)評(píng)估的范圍一方面直接決定了評(píng)估的工作范圍；另一方面更重要的是可以直接測(cè)算說明評(píng)估結(jié)論是否成立。實(shí)際上，在時(shí)間上是很難對(duì)技術(shù)型資產(chǎn)的經(jīng)濟(jì)壽命進(jìn)行可靠的測(cè)定。對(duì)一種新的技術(shù)型無(wú)形資產(chǎn)來說，它的經(jīng)濟(jì)壽命是隨著技術(shù)開發(fā)的深度而不斷延伸的，用現(xiàn)行的法定年限或協(xié)議年限去測(cè)定，實(shí)際上忽略了無(wú)形資產(chǎn)的可持續(xù)利用性。因此，我們常在評(píng)估中結(jié)合有形資產(chǎn)去界定無(wú)形資產(chǎn)的評(píng)估范圍，但有形資產(chǎn)會(huì)隨著投入規(guī)模的大小而發(fā)生變化，使得無(wú)形資產(chǎn)的評(píng)估范圍難以界定。

（二）無(wú)形資產(chǎn)的收益期限具有不確定性。無(wú)形資產(chǎn)收益期限的確定，要考慮兩個(gè)因素：一是法律合同壽命；二是經(jīng)濟(jì)壽命。我們常常以法定或協(xié)議的有效年限為依據(jù)，但無(wú)形資產(chǎn)的收益期限要受技術(shù)進(jìn)步和使用頻率的影響。而無(wú)形資產(chǎn)的價(jià)值主要表現(xiàn)為超額利潤(rùn)。比如，一項(xiàng)技術(shù)型無(wú)形資產(chǎn)法定有效期為50年，但實(shí)際上3、5年后就會(huì)完成技術(shù)更新，原有的技術(shù)即使繼續(xù)受法律保護(hù)，也已不再具有先進(jìn)性，不能再為所有者帶來超額利潤(rùn)了。有的無(wú)形資產(chǎn)具有可持續(xù)開發(fā)的特性，如一些技術(shù)性無(wú)形資產(chǎn)的收益期限隨著其開發(fā)、升級(jí)而得到延長(zhǎng)。另外，無(wú)形資產(chǎn)具有獨(dú)占性，當(dāng)一項(xiàng)無(wú)形資產(chǎn)被所有者獨(dú)占時(shí)，可以較為清楚地確定收益，但隨著技術(shù)廣泛傳播，其價(jià)格、成本方面的獨(dú)占優(yōu)勢(shì)逐漸喪失，收益期限也相應(yīng)縮短。這些都使得無(wú)形資產(chǎn)在評(píng)估基準(zhǔn)日的未來收益期限難以預(yù)測(cè)，具有不確定性。

（三）無(wú)形資產(chǎn)的收益難以預(yù)測(cè)、衡量或不相匹配。無(wú)形資產(chǎn)的收益是一種超額收益，它必須依附于直接的或間接的物質(zhì)載體來表現(xiàn)它的價(jià)值。由于無(wú)形資產(chǎn)的存在使企業(yè)相關(guān)產(chǎn)品的產(chǎn)量、銷量增加或產(chǎn)品價(jià)格提高，或兩者兼而有之；由于無(wú)形資產(chǎn)的存在降低了企業(yè)的生產(chǎn)經(jīng)營(yíng)成本，形成了生產(chǎn)經(jīng)營(yíng)費(fèi)用的節(jié)約額；自創(chuàng)無(wú)形資產(chǎn)的存在和應(yīng)用節(jié)約了無(wú)形資產(chǎn)特許權(quán)使用費(fèi)。而一個(gè)企業(yè)取得的收益，除了有資產(chǎn)的因素外，更重要的是與人的素質(zhì)以及市場(chǎng)和機(jī)遇等因素有關(guān)。企業(yè)的收益是資產(chǎn)與人綜合作用的結(jié)果。因而，在評(píng)估實(shí)踐中要單獨(dú)確定某項(xiàng)無(wú)形資產(chǎn)帶來的收益是很難甚至是無(wú)法分清的。對(duì)無(wú)形資產(chǎn)未來收益預(yù)測(cè)是否準(zhǔn)確，直接影響到無(wú)形資產(chǎn)價(jià)值的評(píng)估，而收益又受到很多不確定因素影響，使得收益的預(yù)測(cè)帶有極大的風(fēng)險(xiǎn)。其次，對(duì)于委托方擁有的但未對(duì)委托方帶來收益的無(wú)形資產(chǎn)，資產(chǎn)評(píng)估人員往往難以掌握，這樣也就造成了資產(chǎn)收益不相匹配的風(fēng)險(xiǎn)。

（四）單項(xiàng)無(wú)形資產(chǎn)的收益分成率難以測(cè)定。無(wú)形資產(chǎn)必須與有形資產(chǎn)相聯(lián)系，否則就不能獨(dú)立產(chǎn)生經(jīng)濟(jì)效益。在預(yù)測(cè)無(wú)形資產(chǎn)收益時(shí)，我們的做法是將有形資產(chǎn)和無(wú)形資產(chǎn)放在一起，然后通過收益分成率這個(gè)指標(biāo)，將無(wú)形資產(chǎn)的價(jià)值從綜合價(jià)值中分離出來。由于直接測(cè)定無(wú)形資產(chǎn)的分成率較為困難，通常先測(cè)算有形資產(chǎn)的分成率，再計(jì)算無(wú)形資產(chǎn)分成率。但這樣做的結(jié)果是，分離出來的收益并不單是一種無(wú)形資產(chǎn)帶來的，它是除有形資產(chǎn)以外各種無(wú)形資產(chǎn)價(jià)值的綜合反映，單項(xiàng)無(wú)形資產(chǎn)的收益分成率難以測(cè)定。

以上是在采用收益法對(duì)無(wú)形資產(chǎn)進(jìn)行評(píng)估過程中存在的主要工作風(fēng)險(xiǎn)。除此之外，如市場(chǎng)變化帶來的不確定性；市場(chǎng)供求及無(wú)形資產(chǎn)競(jìng)爭(zhēng)情況；無(wú)形資產(chǎn)使用狀況、機(jī)會(huì)成本；客戶背景、行業(yè)性質(zhì)、經(jīng)濟(jì)規(guī)模、管理水平、經(jīng)營(yíng)前景；評(píng)估人員執(zhí)業(yè)水平、工作經(jīng)驗(yàn)方面的欠缺等，也增加了收益法對(duì)無(wú)形資產(chǎn)評(píng)估的工作風(fēng)險(xiǎn)。

三、收益法在無(wú)形資產(chǎn)評(píng)估中存在的工作風(fēng)險(xiǎn)防范措施

針對(duì)收益法在無(wú)形資產(chǎn)評(píng)估中存在的工作風(fēng)險(xiǎn)，主要應(yīng)采取以下措施，進(jìn)一步防范和規(guī)避風(fēng)險(xiǎn)，提高評(píng)估工作質(zhì)量。

（一）加強(qiáng)評(píng)估人員風(fēng)險(xiǎn)意識(shí)，詳細(xì)了解被評(píng)估無(wú)形資產(chǎn)的基本狀況。資產(chǎn)評(píng)估工作是由評(píng)估人員具體操作的，評(píng)估風(fēng)險(xiǎn)的大小很大程度上取決于評(píng)估人員。因此，必須加強(qiáng)評(píng)估人員隊(duì)伍建設(shè)，在評(píng)估具體操作中，嚴(yán)格按評(píng)估規(guī)范意見操作。評(píng)估人員應(yīng)詳細(xì)了解包括無(wú)形資產(chǎn)的取得過程、歷史沿革和公司概況；公司經(jīng)營(yíng)環(huán)境及市場(chǎng)情況；無(wú)形資產(chǎn)的產(chǎn)權(quán)狀況；相關(guān)法律、法規(guī)及會(huì)計(jì)特別規(guī)定情況；相似無(wú)形資產(chǎn)的最新狀況等情況。有些時(shí)候，委托方往往因?yàn)樽约旱睦?，將失真失?shí)的無(wú)形資產(chǎn)的歷史資料提供給評(píng)估人員，而評(píng)估人員又常常難以查清這種有目的的失真失實(shí)資料，這就給無(wú)形資產(chǎn)的評(píng)估帶來了工作風(fēng)險(xiǎn)。因而，資產(chǎn)評(píng)估人員要有風(fēng)險(xiǎn)意識(shí)，對(duì)委托方提供的資料嚴(yán)格審查，并借助合法的、有效的、輔助的手段，識(shí)辨委托方提供資料的真實(shí)性。

（二）加強(qiáng)對(duì)有關(guān)數(shù)據(jù)資料的收集和分析。要有步驟、有條不紊地組織數(shù)據(jù)資料的收集整理工作，要反復(fù)查對(duì)全部有關(guān)資料，從一切來源到每份制表單上所引用的每一條數(shù)據(jù)均應(yīng)反復(fù)細(xì)心查對(duì)，避免差錯(cuò)。由于收益法是預(yù)測(cè)未來收益并進(jìn)行折現(xiàn)的方法，而無(wú)形資產(chǎn)在預(yù)期收益、收益期限、收益分成率預(yù)測(cè)等方面又存在復(fù)雜性和不確定性，所以在評(píng)估時(shí)一定要重視數(shù)據(jù)資料的來源，并對(duì)其進(jìn)行分析。由于不可能得到十分完整的市場(chǎng)資料，僅按手頭上所掌握的全部資料而得出的結(jié)論并非一定準(zhǔn)確可靠。因此，應(yīng)從多方面、多角度考慮發(fā)生某種誤差的可能性及其相應(yīng)的、適當(dāng)?shù)奶幚泶胧?，避免在模型問題上走捷徑，要將模型建立在歷史財(cái)務(wù)報(bào)表的基礎(chǔ)上，并充分了解企業(yè)財(cái)務(wù)報(bào)表中會(huì)計(jì)和稅務(wù)的復(fù)雜性，避免重復(fù)計(jì)算資產(chǎn)。在收益的預(yù)測(cè)時(shí)，要根據(jù)適度績(jī)效情景，正確地把握資產(chǎn)的收益。并且，資產(chǎn)評(píng)估人員應(yīng)對(duì)委托方提供的被評(píng)估資產(chǎn)范圍進(jìn)行認(rèn)真清查、嚴(yán)密分析、合理推斷，包括需要進(jìn)行相關(guān)的市場(chǎng)、行業(yè)等調(diào)查，理順資產(chǎn)與收益的匹配關(guān)系。

篇7

1.1靜態(tài)風(fēng)險(xiǎn)評(píng)估

靜態(tài)風(fēng)險(xiǎn)評(píng)估是根據(jù)傳統(tǒng)風(fēng)險(xiǎn)評(píng)估的具體方法對(duì)較短時(shí)間內(nèi)系統(tǒng)存在的各種風(fēng)險(xiǎn)進(jìn)行科學(xué)的評(píng)估，評(píng)估的整個(gè)過程并不連續(xù)，評(píng)估的對(duì)象主要選擇相對(duì)靜止的系統(tǒng)。

1.2動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估

動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估是對(duì)網(wǎng)絡(luò)進(jìn)行安全風(fēng)險(xiǎn)的評(píng)估，并研究系統(tǒng)變化的過程和趨勢(shì)，將安全風(fēng)險(xiǎn)與具體的環(huán)境相互聯(lián)系，從宏觀的角度了解整個(gè)系統(tǒng)存在的安全風(fēng)險(xiǎn)，把握風(fēng)險(xiǎn)的動(dòng)態(tài)變化，風(fēng)險(xiǎn)評(píng)估的過程是動(dòng)態(tài)變化的過程。對(duì)于電信網(wǎng)絡(luò)而言，客觀準(zhǔn)確的進(jìn)行安全風(fēng)險(xiǎn)的評(píng)估是整個(gè)電信安全管理的重要前提。風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的初級(jí)階段，目前，我國(guó)的電信網(wǎng)絡(luò)仍然采用傳統(tǒng)靜態(tài)評(píng)估的方式，最終對(duì)安全風(fēng)險(xiǎn)的評(píng)估只是針對(duì)特定的時(shí)間點(diǎn)。但是，靜態(tài)風(fēng)險(xiǎn)評(píng)估不能有效的體現(xiàn)評(píng)估風(fēng)險(xiǎn)各種變化的趨勢(shì)，評(píng)估結(jié)果相對(duì)比較滯后。動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估加強(qiáng)了靜態(tài)風(fēng)險(xiǎn)評(píng)估的效果，能夠反映較長(zhǎng)時(shí)間安全風(fēng)險(xiǎn)具體的變化情況。在動(dòng)態(tài)風(fēng)險(xiǎn)進(jìn)行評(píng)估的過程中，如果系統(tǒng)出現(xiàn)安全問題，可以及時(shí)的進(jìn)行處理，展現(xiàn)了整個(gè)風(fēng)險(xiǎn)評(píng)估的變化過程，保證了網(wǎng)絡(luò)的安全。對(duì)電信網(wǎng)絡(luò)實(shí)施動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估，具有非常復(fù)雜的過程，評(píng)估的結(jié)果具有參考價(jià)值。電信網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的研究文/向宗旭隨著電信技術(shù)的不斷發(fā)展和深入，電信網(wǎng)絡(luò)與現(xiàn)代的互聯(lián)網(wǎng)存在較為緊密的聯(lián)系，這也為電信網(wǎng)絡(luò)帶來巨大的安全風(fēng)險(xiǎn)。電信網(wǎng)絡(luò)屬于我國(guó)通信網(wǎng)絡(luò)中的重要內(nèi)容，直接關(guān)系到我國(guó)社會(huì)的穩(wěn)定。本文主要探討了電信網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)評(píng)估。

2電信網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估具體的實(shí)施過程

對(duì)電信網(wǎng)絡(luò)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估的工作，其對(duì)象可以針對(duì)電信網(wǎng)絡(luò)的某一部門也可以是整個(gè)電信網(wǎng)絡(luò)。風(fēng)險(xiǎn)評(píng)估的內(nèi)容包含技術(shù)的安全問題以及網(wǎng)絡(luò)管理的安全問題。技術(shù)安全主要包括網(wǎng)絡(luò)安全以及物理安全等，管理安全主要包括管理制度以及人員管理等。對(duì)電信網(wǎng)絡(luò)實(shí)施安全風(fēng)險(xiǎn)的評(píng)估主要按照以下幾個(gè)步驟。

2.1風(fēng)險(xiǎn)評(píng)估前的準(zhǔn)備工作

在進(jìn)行安全風(fēng)險(xiǎn)評(píng)估之前，首先需要獲得各個(gè)方面對(duì)安全風(fēng)險(xiǎn)評(píng)估的支持，相互配合，確定需要評(píng)估的具體內(nèi)容，組織負(fù)責(zé)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估的專業(yè)團(tuán)隊(duì)，做好市場(chǎng)的調(diào)查工作，制定評(píng)估使用的方法，只有做好一系列的準(zhǔn)備工作才能為接下來的安全風(fēng)險(xiǎn)評(píng)估奠定基礎(chǔ)。

2.2對(duì)資產(chǎn)的識(shí)別工作

在電信網(wǎng)絡(luò)中的資產(chǎn)主要包括具有一定使用價(jià)值的資源，電信網(wǎng)絡(luò)的資產(chǎn)也是進(jìn)行安全風(fēng)險(xiǎn)評(píng)估的主要對(duì)象。資產(chǎn)存在多種形式，有無(wú)形資產(chǎn)和有形資產(chǎn)，還可以分為硬件和軟件。例如，一些網(wǎng)絡(luò)的布局以及用戶的數(shù)據(jù)等。做好資產(chǎn)識(shí)別的工作能夠確定資產(chǎn)具體的安全情況。對(duì)資產(chǎn)進(jìn)行安全風(fēng)險(xiǎn)的評(píng)估可以綜合分析資產(chǎn)的價(jià)值以及安全狀況，還可以考慮資產(chǎn)具有的社會(huì)影響力。社會(huì)影響力是指資產(chǎn)一旦失去安全的保障會(huì)對(duì)整個(gè)社會(huì)帶來影響。

2.3威脅識(shí)別工作

威脅的識(shí)別是指對(duì)電信網(wǎng)絡(luò)內(nèi)部資產(chǎn)存在破壞的各種因素，這種潛在的破壞因素客觀存在。對(duì)資產(chǎn)產(chǎn)生威脅的主要原因包括技術(shù)、環(huán)境以及人為。技術(shù)因素是指網(wǎng)絡(luò)自身存在的設(shè)備故障或者是網(wǎng)絡(luò)的設(shè)計(jì)存在疏漏。環(huán)境因素是指環(huán)境中的物理因素。人為因素是指人為造成的威脅，包括惡意和非惡意。通過對(duì)威脅的動(dòng)機(jī)以及發(fā)生幾率描述網(wǎng)絡(luò)存在的各種威脅，威脅識(shí)別工作的重要任務(wù)就是判斷出現(xiàn)威脅的可能性。

2.4脆弱性識(shí)別工作

網(wǎng)絡(luò)資產(chǎn)本身具有脆弱性的特點(diǎn)，包括網(wǎng)絡(luò)存在的各種缺陷。只有網(wǎng)絡(luò)存在各種缺陷和弱點(diǎn)才有可能出現(xiàn)各種威脅的因素，如果沒有威脅的產(chǎn)生，網(wǎng)絡(luò)具有的脆弱性并不會(huì)損害資產(chǎn)。但是只有系統(tǒng)較少自身的脆弱性才會(huì)較少資產(chǎn)被威脅的可能性，使系統(tǒng)的資產(chǎn)更加安全，從而有效的較少損失。對(duì)電信網(wǎng)絡(luò)進(jìn)行脆弱性識(shí)別工作可以從技術(shù)和管理上展開，主要以資產(chǎn)的安全作為核心內(nèi)容，針對(duì)資產(chǎn)的不同特征，進(jìn)行脆弱性的識(shí)別工作。

2.5確認(rèn)具體的安全措施

對(duì)電信網(wǎng)絡(luò)進(jìn)行的安全風(fēng)險(xiǎn)評(píng)估需要做好安全措施的確認(rèn)工作，保持有明顯效果的安全措施，對(duì)失去效果的安全措施予以改正，避免內(nèi)部資產(chǎn)的浪費(fèi)，杜絕重復(fù)使用安全措施。一旦發(fā)現(xiàn)不合理的安全措施需要及時(shí)檢查安全措施能否被取消，并制定更合理的安全措施。確認(rèn)安全措施的工作主要分為預(yù)防性和保護(hù)性兩種。預(yù)防性措施主要負(fù)責(zé)減少威脅性因素產(chǎn)生的可能性，保護(hù)性措施是為了減少資產(chǎn)的損失。

2.6風(fēng)險(xiǎn)分析工作

風(fēng)險(xiǎn)分析工作主要對(duì)電信網(wǎng)絡(luò)的資產(chǎn)識(shí)別、脆弱性識(shí)別、威脅識(shí)別以及存在風(fēng)險(xiǎn)對(duì)資產(chǎn)造成的損失進(jìn)行綜合性的分析，最終得出準(zhǔn)確的風(fēng)險(xiǎn)值，結(jié)合制定的安全措施。分析資產(chǎn)承受風(fēng)險(xiǎn)的最大范圍。如果出現(xiàn)的安全風(fēng)險(xiǎn)在資產(chǎn)承受的范圍之內(nèi)，需要繼續(xù)采取安全保護(hù)措施，如果安全風(fēng)險(xiǎn)超出了資產(chǎn)承受的范圍，這就需要對(duì)風(fēng)險(xiǎn)進(jìn)行控制，制定更可靠的安全措施。

2.7整理風(fēng)險(xiǎn)評(píng)估記錄

對(duì)電信網(wǎng)絡(luò)實(shí)施安全風(fēng)險(xiǎn)評(píng)估工作的整個(gè)過程，需要進(jìn)行風(fēng)險(xiǎn)評(píng)估的準(zhǔn)確記錄，包括評(píng)估的過程以及評(píng)估的最終結(jié)果，制定系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估報(bào)告。為安全風(fēng)險(xiǎn)評(píng)估的工作提供可靠的科學(xué)依據(jù)。

3結(jié)束語(yǔ)

篇8

關(guān)鍵詞：風(fēng)險(xiǎn)評(píng)估；管理工具；分類；選擇；設(shè)計(jì)

中圖分類號(hào)：TP311文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2011)30-7388-02

Research on Risk Assessment and Management Tools

WANG Fu-hua,YAO Jie

(Chongqing Communication Institute, Chongqing 400035, China)

Abstract: This article has carried on the detailed introduction to the risk assessment management tools, and introduced how to choose and design risk assessment management tools.Finally,it offers some ideas for information security assessment practice.

Key words: risk assessment; management tools; classification; choice; design

目前，網(wǎng)絡(luò)安全問題已成為影響社會(huì)經(jīng)濟(jì)發(fā)展和國(guó)家發(fā)展戰(zhàn)略的重要因素，信息安全評(píng)估工作的重要性不言而喻。信息安全風(fēng)險(xiǎn)評(píng)估工作是個(gè)極復(fù)雜又具有挑戰(zhàn)性的工作，需要細(xì)致的工作，大量的支持性的專業(yè)知識(shí)的支撐，項(xiàng)目管理也比較復(fù)雜，因此如果要更好的完成信息安全風(fēng)險(xiǎn)評(píng)估工作就必須有一套非常實(shí)用的信息安全風(fēng)險(xiǎn)評(píng)估管理工具。一套使用的風(fēng)險(xiǎn)評(píng)估管理工具將極大地提高信息安全風(fēng)險(xiǎn)評(píng)估工作的效率和結(jié)果的正確性。

1 風(fēng)險(xiǎn)評(píng)估與管理工具分類

風(fēng)險(xiǎn)評(píng)估與管理工具是根據(jù)系統(tǒng)關(guān)鍵信息資產(chǎn)、資產(chǎn)面臨的威脅以及威脅所利用的脆弱點(diǎn)來確定所面臨的威脅、對(duì)風(fēng)險(xiǎn)情況進(jìn)行全面考慮，估算出信息系統(tǒng)的風(fēng)險(xiǎn)情況，且在風(fēng)險(xiǎn)評(píng)估的同時(shí)根據(jù)面臨的風(fēng)險(xiǎn)提供相應(yīng)的控制措施和解決方法。

1.1 基于國(guó)家、政府頒布的信息安全管理標(biāo)準(zhǔn)或指南

目前世界上存在多種不同的風(fēng)險(xiǎn)分析指南和方法，不同的風(fēng)險(xiǎn)分析方法其側(cè)重點(diǎn)和關(guān)注點(diǎn)各不相同。如：

NIST（National Institute of standard and Technology）的FIPS 65；

DOJ（Department of Justice）的SRAG；

GAO（Government Accounting Office）的信息安全管理的實(shí)施指南。

1.2 基于專家系統(tǒng)的風(fēng)險(xiǎn)評(píng)估工具

基于專家系統(tǒng)的風(fēng)險(xiǎn)評(píng)估工具主要通過建立專家系統(tǒng)和外部知識(shí)庫(kù)，以調(diào)查問卷的方式收集組織內(nèi)部信息安全的狀態(tài)。對(duì)重要資產(chǎn)的威脅和脆弱點(diǎn)進(jìn)行評(píng)估，產(chǎn)生專家推薦的安全控制措施。

基于專家系統(tǒng)的風(fēng)險(xiǎn)評(píng)估工具通?？梢宰詣?dòng)形成風(fēng)險(xiǎn)評(píng)估報(bào)告，根據(jù)風(fēng)險(xiǎn)的嚴(yán)重程度提供風(fēng)險(xiǎn)指數(shù)，同時(shí)分析可能存在的問題，并提供相應(yīng)的處理方法。

COBRA(Consultative Objective and Bi-functional Risk Analysis)是一個(gè)著名的基于專家系統(tǒng)的風(fēng)險(xiǎn)評(píng)估工具，它是一個(gè)問卷調(diào)查式的風(fēng)險(xiǎn)分析工具，由三個(gè)部分組成：調(diào)查問卷生成、風(fēng)險(xiǎn)測(cè)量和結(jié)果分析生成。

基于專家系統(tǒng)的風(fēng)險(xiǎn)評(píng)估工具除COBRA之外，比較知名的還有@RISK、BDSS（The Bayesian Decision Support System）等工具。

1.3 基于定性或定量算法的風(fēng)險(xiǎn)分析工具

風(fēng)險(xiǎn)分析作為重要的信息安全保障措施，是信息安全體系不可或缺的一部分。而信息安全風(fēng)險(xiǎn)評(píng)估的算法作為風(fēng)險(xiǎn)評(píng)估的重要手段，很久以前就被提出并了大量的研究工作，其中一些算法已經(jīng)成為正式的信息安全標(biāo)準(zhǔn)的一部分。早期的風(fēng)險(xiǎn)評(píng)估算法大部分僅僅作定性的分析，對(duì)風(fēng)險(xiǎn)產(chǎn)生的可能性和風(fēng)險(xiǎn)產(chǎn)生的后果只能按照高、中、低來區(qū)分，這種定性的方式無(wú)法準(zhǔn)確地估算出風(fēng)險(xiǎn)產(chǎn)生的可能性和損失量。隨著人們對(duì)信息安全風(fēng)險(xiǎn)了解的不斷深入，獲得了更多的經(jīng)驗(yàn)數(shù)據(jù)，因此人們?cè)絹碓较Ｍ枚康娘L(fēng)險(xiǎn)分析方法反映事故發(fā)生的可能性。定量的信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)包括美國(guó)聯(lián)邦標(biāo)準(zhǔn)FIPS31和FIPS191，提供定量風(fēng)險(xiǎn)分析技術(shù)的手冊(cè)包括GAO和新版的NISTRMG。

由于數(shù)據(jù)收集的困難，目前還沒有完全定量的風(fēng)險(xiǎn)評(píng)估工具，現(xiàn)有的風(fēng)險(xiǎn)評(píng)估工具要么在定性方面有所側(cè)重，要么在定量方面有所側(cè)重。如CONTROL-IT、Definitive Scenario、JANBER都是定性的風(fēng)險(xiǎn)評(píng)估工具，而@RISK、Risk-CALC、CORA是半定量的風(fēng)險(xiǎn)評(píng)估工具。

2 常見的風(fēng)險(xiǎn)評(píng)估管理工具比較

CRAMM：CRAMM是1985年由英國(guó)CCTA開發(fā)的風(fēng)險(xiǎn)評(píng)估系統(tǒng)。CRAMM包括全面的風(fēng)險(xiǎn)評(píng)估工具，并且完全遵循BS7799規(guī)范，包括依靠資產(chǎn)的建模、商業(yè)影響評(píng)估、識(shí)別和評(píng)估威脅和弱點(diǎn)、評(píng)估風(fēng)險(xiǎn)等級(jí)、識(shí)別需求和基于風(fēng)險(xiǎn)評(píng)估調(diào)整控制等。CRAMM評(píng)估風(fēng)險(xiǎn)依靠資產(chǎn)價(jià)值、威脅和脆弱點(diǎn)，這些參數(shù)值是通過CRAMM評(píng)估者與資產(chǎn)所有者、系統(tǒng)使用者、技術(shù)支持人員和安全部門人員一起的交互活動(dòng)得到，最后給出一套解決方案。

COBRA：COBRA是1991年由C&A System Security公司推出另外一個(gè)風(fēng)險(xiǎn)評(píng)估工具，用來進(jìn)行信息安全風(fēng)險(xiǎn)管理方法，提供了一個(gè)完整的風(fēng)險(xiǎn)分析服務(wù)，并且兼容許多風(fēng)險(xiǎn)評(píng)估方法學(xué)（如定性分析和定量分析等）。它可以看做一個(gè)基于專家系統(tǒng)和擴(kuò)展知識(shí)庫(kù)的問卷系統(tǒng)，對(duì)所有的威脅和脆弱點(diǎn)評(píng)估其相對(duì)重要性，并且給出合適的建議和解決方案。此外，它還對(duì)每個(gè)風(fēng)險(xiǎn)類別提供風(fēng)險(xiǎn)分析報(bào)告和風(fēng)險(xiǎn)值。

@RISK是美國(guó)Palisade公司的一款軟件產(chǎn)品，在世界范圍內(nèi)廣泛使用，是構(gòu)架在微軟Excel之上的一套風(fēng)險(xiǎn)分析工具。在@RISK中，提供了一套完整的風(fēng)險(xiǎn)分析工具，包括可以自行修訂的統(tǒng)計(jì)分配模型、蒙特卡羅檢測(cè)、敏感性分析、環(huán)境分析、極限值測(cè)試等常用的風(fēng)險(xiǎn)評(píng)估模型。@RISK建立的流程包括：

1) 在Excel上建立需要分析的問題模型；

2) 確定需要輸入模型的不確定值；

3) 通過模擬程序，對(duì)可能的參數(shù)范圍進(jìn)行分析，以@RISK內(nèi)置的概率分布函數(shù)表示，然后確定模型的輸出結(jié)果；

4) 產(chǎn)生需要的資料圖表進(jìn)行分析。

表1是對(duì)一些主要風(fēng)險(xiǎn)評(píng)估工具的比較。

表1

3 選擇風(fēng)險(xiǎn)評(píng)估工具的原則

1) 根據(jù)實(shí)際環(huán)境和企業(yè)的需求選擇

2) 風(fēng)險(xiǎn)評(píng)估工具應(yīng)當(dāng)能夠精確地映射網(wǎng)絡(luò)、應(yīng)用以及進(jìn)行攻擊測(cè)試

怎樣了解一個(gè)工具的實(shí)際功效？最有效的辦法是搜索Web，查看媒體的評(píng)論，要求廠商提供其他客戶的使用情況說明。正式購(gòu)買之前最好測(cè)試一下工具的性能。大多數(shù)廠商都提供限制了功能的試用版本，通常是限制IP地址的范圍。

3) 不僅要注意風(fēng)險(xiǎn)評(píng)估工具為目標(biāo)平臺(tái)提供的攻擊腳本數(shù)量，而且要留意它們的更新速度。

純粹的數(shù)量有時(shí)不能說明問題，因?yàn)橛行S商可能把許多相關(guān)的漏洞看成一個(gè)，有的廠商則把它們算作多個(gè)漏洞。一些較為優(yōu)秀的風(fēng)險(xiǎn)評(píng)估工具，如CVE，把每一種測(cè)試都鏈接到了一個(gè)標(biāo)準(zhǔn)的漏洞案例ID。留意風(fēng)險(xiǎn)評(píng)估工具的更新頻率，看看它是自動(dòng)更新還是需要手工執(zhí)行更新，還有，新的安全威脅發(fā)現(xiàn)之后它要多長(zhǎng)的時(shí)間才能推出相應(yīng)的更新？

4) 報(bào)告數(shù)量的多少，內(nèi)容翔實(shí)程度，是否允許導(dǎo)出報(bào)表

只能內(nèi)部使用的掃描結(jié)果報(bào)表也許能夠滿足最初的需要，但如果經(jīng)常對(duì)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，最好能夠?qū)⑸傻膱?bào)表導(dǎo)出到外部數(shù)據(jù)庫(kù)，以便執(zhí)行對(duì)比和分析。

5) 是否支持不同級(jí)別的入侵測(cè)試以避免系統(tǒng)掛起

所有風(fēng)險(xiǎn)評(píng)估工具都有這樣的警告：入侵測(cè)試過程可能產(chǎn)生DoS攻擊，或者導(dǎo)致被測(cè)試的系統(tǒng)掛起。通常，在高訪問量期間對(duì)擔(dān)負(fù)關(guān)鍵任務(wù)的系統(tǒng)不應(yīng)該運(yùn)行風(fēng)險(xiǎn)評(píng)估工具，風(fēng)險(xiǎn)評(píng)估工具本身可能帶來問題，引起服務(wù)中斷或系統(tǒng)被鎖死。大多數(shù)高質(zhì)量的風(fēng)險(xiǎn)評(píng)估工具允許執(zhí)行侵害程度較小的入侵測(cè)試，避免造成系統(tǒng)運(yùn)行中斷。

6) 是否需要在線服務(wù)？

有些風(fēng)險(xiǎn)評(píng)估工具以在線服務(wù)的形式提供。這種形式的優(yōu)點(diǎn)是不占用硬件資源，可以從任何地方運(yùn)行和獲取報(bào)表，自動(dòng)執(zhí)行更新，一般而言總擁有成本也較低。缺點(diǎn)是服務(wù)的運(yùn)行速度一般較慢，不象客戶端產(chǎn)品那樣容易定制。最后還有一點(diǎn)是，如果采用在線服務(wù)，則掃描出來的網(wǎng)絡(luò)漏洞清單還將落入第三方的手中。

4 信息安全風(fēng)險(xiǎn)評(píng)估管理工具設(shè)計(jì)

信息安全風(fēng)險(xiǎn)評(píng)估管理工具的設(shè)計(jì)必須考慮到參考模型可能存在的變化，或者計(jì)算方法發(fā)生變化而導(dǎo)致的工具適應(yīng)性的問題，還應(yīng)該具有項(xiàng)目管理功能，統(tǒng)計(jì)分析，報(bào)表，輔助評(píng)估專家系統(tǒng)，查詢，資產(chǎn)管理，更應(yīng)該加入風(fēng)險(xiǎn)管理與控制模塊，如果能提供與其他資產(chǎn)管理軟件的接口就更好了。

為了適應(yīng)評(píng)估工作模式，信息安全風(fēng)險(xiǎn)評(píng)估工具的架構(gòu)應(yīng)該選擇B/S結(jié)構(gòu)，評(píng)估小組和評(píng)估人是最終用戶，系統(tǒng)管理員對(duì)信息安全風(fēng)險(xiǎn)評(píng)估工具進(jìn)行維護(hù)和管理。系統(tǒng)架構(gòu)如圖1。

信息安全風(fēng)險(xiǎn)評(píng)估工具中應(yīng)該包含威脅參考庫(kù)、脆弱性參考庫(kù)、資產(chǎn)分類庫(kù)、可能性定義庫(kù)，后果定義庫(kù)、控制措施庫(kù)等評(píng)估輔助專家系統(tǒng)庫(kù)。這些庫(kù)都可以自己定義，便于使用。評(píng)估小組可以在評(píng)估的各個(gè)時(shí)期都能夠得到幫助。

資產(chǎn)管理模塊應(yīng)該包含資產(chǎn)的各種基本信息，包括位置、責(zé)任人、所屬系統(tǒng)以及各種相關(guān)信息。根據(jù)不同資產(chǎn)的分類，相關(guān)信息也不同，這些相關(guān)信息都是有助于系統(tǒng)安全的相關(guān)信息。如資產(chǎn)的生命周期、系統(tǒng)補(bǔ)丁信息等。

信息安全風(fēng)險(xiǎn)評(píng)估工具需要實(shí)際使用的檢驗(yàn)，將在不斷滿足客戶的需要的同時(shí)逐漸發(fā)展、成熟。通過不斷的改進(jìn)和發(fā)展，相信信息安全風(fēng)險(xiǎn)評(píng)估工具將極大地推動(dòng)信息安全風(fēng)險(xiǎn)評(píng)估工作的進(jìn)行。

參考文獻(xiàn)：

[1] 陳友初.信息安全風(fēng)險(xiǎn)評(píng)估的探討與實(shí)踐[J].廣西科學(xué)院學(xué)報(bào),2006,22(4):367-369.

[2] 杜輝,劉霞,汪厚祥.信息安全風(fēng)險(xiǎn)評(píng)估方法研究[J].艦船電子工廠,2006,26(4):65-69.

[3] 張建軍,孟亞平.信息安全風(fēng)險(xiǎn)評(píng)估探索與實(shí)踐[M].北京:中國(guó)標(biāo)準(zhǔn)出版社,2005.

[4] 趙戰(zhàn)生,謝宗曉.信息安全風(fēng)險(xiǎn)評(píng)估[M].北京:中國(guó)標(biāo)準(zhǔn)出版社,2007,8.

[5] 馮登國(guó),張陽(yáng),張玉清. 信息安全風(fēng)險(xiǎn)評(píng)估綜述[J].北京:通信學(xué)報(bào),2004,25(7):10-18.

[6] 關(guān)義章,戴宗坤.羅萬(wàn)伯,等.信息系統(tǒng)安全工程學(xué)[M].北京:電子工業(yè)出版社,2002,12.

篇9

關(guān)鍵詞 信息工程安全系統(tǒng) 風(fēng)險(xiǎn)評(píng)估 控制

中圖分類號(hào)：X92 文獻(xiàn)標(biāo)識(shí)碼：A

對(duì)項(xiàng)目風(fēng)險(xiǎn)管理來說，風(fēng)險(xiǎn)評(píng)估是對(duì)信息工程安全資產(chǎn)所面臨的威脅、存在的弱點(diǎn)、造成的影響及三者綜合作用所帶來風(fēng)險(xiǎn)的可能性的評(píng)估。作為項(xiàng)目風(fēng)險(xiǎn)管理的基礎(chǔ)，風(fēng)險(xiǎn)評(píng)估是確定信息工程安全需求的一個(gè)重要途徑，屬于信息工程安全管理體系策劃的過程。

1 風(fēng)險(xiǎn)評(píng)估概述

風(fēng)險(xiǎn)評(píng)估是在綜合考慮成本效益的前提下，通過安全措施控制風(fēng)險(xiǎn)，使殘余風(fēng)險(xiǎn)降低到可以控制的程度。因?yàn)槿魏涡畔⑾到y(tǒng)都會(huì)有安全風(fēng)險(xiǎn)，所謂安全信息系統(tǒng)，實(shí)際上指信息系統(tǒng)在實(shí)施了風(fēng)險(xiǎn)評(píng)估以后做出了風(fēng)險(xiǎn)控制，仍然存在殘余風(fēng)險(xiǎn)是可被接受的信息系統(tǒng)我們就稱為安全信息系統(tǒng)。追求信息系統(tǒng)安全就不能脫離全面完整的信息系統(tǒng)安全評(píng)估，就必須運(yùn)用信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的思想和規(guī)范對(duì)信息系統(tǒng)進(jìn)行安全評(píng)估。

風(fēng)險(xiǎn)評(píng)估的主要任務(wù)包括：（1）識(shí)別面臨的各種風(fēng)險(xiǎn)。（2）評(píng)估風(fēng)險(xiǎn)概率和可能帶來的負(fù)面影響。（3）確定承受風(fēng)險(xiǎn)的能力。（4）確定風(fēng)險(xiǎn)消減和控制的優(yōu)先等級(jí)。（5）推薦風(fēng)險(xiǎn)消減對(duì)策。

1.1 信息工程安全系統(tǒng)項(xiàng)目風(fēng)險(xiǎn)評(píng)估概述

信息工程安全系統(tǒng)項(xiàng)目風(fēng)險(xiǎn)管理是圍繞信息工程安全系統(tǒng)項(xiàng)目風(fēng)險(xiǎn)而展開的評(píng)估、處理和控制的活動(dòng)。其中最重要的基本要素是風(fēng)險(xiǎn)評(píng)估，因?yàn)榛陲L(fēng)險(xiǎn)評(píng)估可以對(duì)政府部門信息工程安全系統(tǒng)項(xiàng)目有系統(tǒng)全面的了解，找出潛在問題，分析原因，判斷嚴(yán)重性和相關(guān)影響，以此確定信息工程安全系統(tǒng)建設(shè)的需求。項(xiàng)目是一個(gè)過程，從項(xiàng)目的開始到結(jié)束，風(fēng)險(xiǎn)評(píng)估要求風(fēng)險(xiǎn)評(píng)估貫穿到信息系統(tǒng)的整個(gè)生命周期提出了三個(gè)環(huán)節(jié)要進(jìn)行風(fēng)險(xiǎn)評(píng)估：一是信息系統(tǒng)規(guī)劃設(shè)計(jì)階段，二是系統(tǒng)驗(yàn)收階段，三是信息系統(tǒng)運(yùn)維階段。管理的不確定性，有限的資源和千變?nèi)f化的危險(xiǎn)和漏洞，使得所有的風(fēng)險(xiǎn)不可能完全緩解。一個(gè)信息系統(tǒng)的項(xiàng)目專業(yè)人員必須要協(xié)同用戶、項(xiàng)目經(jīng)理對(duì)信息系統(tǒng)各種潛在的影響進(jìn)行評(píng)估，使其達(dá)到一個(gè)合理水平。

由于種種原因，信息安全系統(tǒng)存在著很多漏洞及缺陷，如黑客攻擊或系統(tǒng)本身的原因，會(huì)造成系統(tǒng)安全事件，給系統(tǒng)帶來不好的影響。因此，要對(duì)項(xiàng)目的信息安全風(fēng)險(xiǎn)進(jìn)行相應(yīng)的評(píng)估，評(píng)估的主要內(nèi)容包括系統(tǒng)的安全漏洞和系統(tǒng)可能帶來的負(fù)面影響，根據(jù)相應(yīng)的等級(jí)來進(jìn)行劃分，評(píng)估出可能發(fā)生的安全風(fēng)險(xiǎn)。

1.2 信息工程安全系統(tǒng)項(xiàng)目風(fēng)險(xiǎn)評(píng)估過程

一般來說，系統(tǒng)信息工程安全項(xiàng)目風(fēng)險(xiǎn)評(píng)估分為四個(gè)不同的階段。

第一個(gè)階段：風(fēng)險(xiǎn)評(píng)估準(zhǔn)備階段。

（1）根據(jù)相應(yīng)的風(fēng)險(xiǎn)評(píng)估準(zhǔn)則，調(diào)研項(xiàng)目的實(shí)際情況，然后制定風(fēng)險(xiǎn)評(píng)估的計(jì)劃表。按照實(shí)際操作來看，計(jì)劃通常要由三個(gè)重要的表格組成，這三個(gè)表分別是：《信息工程安全系統(tǒng)的描述報(bào)告》、《信息工程安全系統(tǒng)的分析報(bào)告》和《信息工程安全系統(tǒng)的安全要求報(bào)告》。通過這些表格及具體的計(jì)劃表，要對(duì)項(xiàng)目的風(fēng)險(xiǎn)評(píng)價(jià)進(jìn)行計(jì)劃。計(jì)劃的內(nèi)容一般要設(shè)計(jì)如下范圍：目的、范圍、目標(biāo)、組織架構(gòu)、經(jīng)費(fèi)預(yù)算、進(jìn)度安排。制定好計(jì)劃書后要及時(shí)匯報(bào)給決策層。如果決策層有異議，應(yīng)該及時(shí)根據(jù)意見加以修改。只有獲得決策層的審核和同意后，計(jì)劃書才能獲得批準(zhǔn)，才能夠獲得相應(yīng)的資源加以執(zhí)行。

（2）結(jié)合項(xiàng)目的具體實(shí)際，對(duì)整個(gè)風(fēng)險(xiǎn)評(píng)估流程加以確定。不同的項(xiàng)目風(fēng)險(xiǎn)評(píng)估流程是不一樣的，必須要結(jié)合具體的項(xiàng)目實(shí)際對(duì)評(píng)估的流程加以確定，如何工作，如何評(píng)估，評(píng)估結(jié)果如何衡量等。這個(gè)步驟，通常應(yīng)該形成一個(gè)書面的《風(fēng)險(xiǎn)評(píng)估程序》，便于后面工作人員的具體操作。

（3）根據(jù)項(xiàng)目具體實(shí)際，選擇特定的風(fēng)險(xiǎn)評(píng)估方法和工具。風(fēng)險(xiǎn)評(píng)估方法和工具千差萬(wàn)別，具體的某個(gè)項(xiàng)目，有針對(duì)性地 選擇成本低，效果好，結(jié)合項(xiàng)目實(shí)際的具體方法和工具。

第二個(gè)階段：風(fēng)險(xiǎn)因素識(shí)別。

（1）對(duì)所有需要保護(hù)的信息資產(chǎn)加以清點(diǎn)。根據(jù)上文確定的三個(gè)相關(guān)報(bào)告，對(duì)單位或項(xiàng)目所有的資產(chǎn)加以清點(diǎn)，找出重要的、對(duì)安全有重大影響的信息資產(chǎn)并造冊(cè)，形成書面的《需要保護(hù)的資產(chǎn)清單》。（2）結(jié)合相關(guān)工具，識(shí)別出可能面臨的威脅。一般來說，目前信息安全行業(yè)都有相應(yīng)的較為全面的威脅或漏洞庫(kù)，結(jié)合這些數(shù)據(jù)庫(kù)，對(duì)單位的具體資產(chǎn)進(jìn)行詳細(xì)的清點(diǎn)和評(píng)估，就能找出可能面臨的威脅，編制書面的《威脅列表》。（3）根據(jù)上面的工作，參照漏洞庫(kù)，可以對(duì)整個(gè)單位信息資產(chǎn)面臨的脆弱性加以評(píng)估，形成書面的《脆弱性列表》。

第三個(gè)階段：風(fēng)險(xiǎn)程度分析。

（1）確認(rèn)單位目前已經(jīng)采用的安全防范措施。通過書面形式，對(duì)單位目前已經(jīng)有的具體防范措施加以總結(jié)，填寫到《已有安全措施分析報(bào)告》。（2）對(duì)可能面臨的威脅的動(dòng)機(jī)加以分析。面臨的威脅的動(dòng)機(jī)一般分為：涉及利益者的攻擊、對(duì)系統(tǒng)好奇、對(duì)自己的技術(shù)自負(fù)等，要形成書面的《威脅動(dòng)機(jī)分析報(bào)告》。（3）分析單位可能面臨的威脅行為的能力。這一步主要是對(duì)可能面臨威脅的具體評(píng)估，包括強(qiáng)度、廣度、深度等。（4）分析信息資產(chǎn)的價(jià)值。信息自查的價(jià)值主要從以下幾個(gè)方面來評(píng)估：關(guān)鍵性，價(jià)格，敏感性等。（5）分析可能面臨的影響的程度。具體包括：資產(chǎn)損失，任務(wù)妨害，人員傷亡等。

第四個(gè)階段：風(fēng)險(xiǎn)等級(jí)評(píng)價(jià)階段。

（1）對(duì)威脅的動(dòng)機(jī)加以評(píng)價(jià)，采用五級(jí)劃分，分別是：“很高、較高、中等、較低、很低”。（2）對(duì)威脅的行為能力加以評(píng)價(jià)，采用五級(jí)劃分，分別是：“很高、較高、中等、較低、很低”。（3）對(duì)系統(tǒng)脆弱性加以評(píng)價(jià)，采用五級(jí)劃分，分別是：“很高、較高、中等、較低、很低”。（4）對(duì)資產(chǎn)價(jià)值加以評(píng)估，采用五級(jí)劃分，分別是：“很高、較高、中等、較低、很低”。（5）對(duì)影響程度加以評(píng)價(jià)，采用五級(jí)劃分，分別是：“很高、較高、中等、較低、很低”。（6）對(duì)所有因素加以綜合評(píng)價(jià)，采用五級(jí)劃分，分別是：“很高、較高、中等、較低、很低”。

一般來說，有公認(rèn)的具體算法。但各單位具體實(shí)際情況不一而足。所以，對(duì)于公認(rèn)的算法可以進(jìn)行修改，或者提出自己認(rèn)為更符合實(shí)際情況的算法。

2 信息工程安全系統(tǒng)項(xiàng)目風(fēng)險(xiǎn)控制

2. 1 風(fēng)險(xiǎn)控制概述

風(fēng)險(xiǎn)評(píng)估的目的是進(jìn)行風(fēng)險(xiǎn)控制，進(jìn)而最大可能排除系統(tǒng)面臨的風(fēng)險(xiǎn)。所以，在信息風(fēng)險(xiǎn)評(píng)估之后，就要進(jìn)行風(fēng)險(xiǎn)控制，其目的是為了盡可能降低系統(tǒng)面臨的風(fēng)險(xiǎn)和漏洞。而系統(tǒng)的風(fēng)險(xiǎn)和漏洞，是不可能完全排除的，不論下多么大的成本。只能在一定范圍內(nèi)，盡可能控制在可以接受的范圍。一般來說，為了控制可能發(fā)生的風(fēng)險(xiǎn)，主要采用以下幾種方式：（1）規(guī)避風(fēng)險(xiǎn)。規(guī)避就是避免使用。例如有一些信息資產(chǎn)面臨很大的風(fēng)險(xiǎn)，如果完全消除風(fēng)險(xiǎn)，需要很大的成本，需要更多的經(jīng)濟(jì)投入等。那么，一個(gè)比較可行的辦法就是避免使用這樣的資產(chǎn)，或者一些敏感的、需要保密的數(shù)據(jù)，不在這些資產(chǎn)上使用，從而規(guī)避掉可能發(fā)生的風(fēng)險(xiǎn)。（2）轉(zhuǎn)移風(fēng)險(xiǎn)。這種方式的思路，就是將已經(jīng)面臨風(fēng)險(xiǎn)的資產(chǎn)轉(zhuǎn)移到風(fēng)險(xiǎn)較低，或者沒有風(fēng)險(xiǎn)的資產(chǎn)上。如某單位需要處理技術(shù)上足夠復(fù)雜，沒有能力處理的業(yè)務(wù)時(shí)，可以通過尋求外包給第三方專業(yè)機(jī)構(gòu)的形式，要求對(duì)方做好風(fēng)險(xiǎn)處理，從而達(dá)到轉(zhuǎn)移風(fēng)險(xiǎn)的目的。（3）降低風(fēng)險(xiǎn)。降低風(fēng)險(xiǎn)就是在資產(chǎn)面臨風(fēng)險(xiǎn)時(shí)，通過各種手段和方法來降低其面臨的風(fēng)險(xiǎn)。

2.2 信息工程安全系統(tǒng)項(xiàng)目風(fēng)險(xiǎn)控制過程

在信息工程安全項(xiàng)目管理中，風(fēng)險(xiǎn)控制可以劃分為四個(gè)階段，分別是：現(xiàn)有風(fēng)險(xiǎn)判斷、確定風(fēng)險(xiǎn)控制目標(biāo)、采取選擇和實(shí)施具體的風(fēng)險(xiǎn)控制措施。

在不同的階段，進(jìn)行不同的工作流程和具體內(nèi)容，分別如下：

第一階段：預(yù)備階段。在本階段，主要是對(duì)單位現(xiàn)有的信息資產(chǎn)激進(jìn)型識(shí)別、編號(hào)、評(píng)估并造冊(cè)，形成書面報(bào)告。

第二階段：現(xiàn)存風(fēng)險(xiǎn)判斷。在本階段，通過各種工具和方法，對(duì)系統(tǒng)信息資產(chǎn)面臨的風(fēng)險(xiǎn)加以評(píng)級(jí)。一般來說，風(fēng)險(xiǎn)的評(píng)級(jí)主要分為兩種：可接受的系統(tǒng)風(fēng)險(xiǎn)和不可接受的系統(tǒng)風(fēng)險(xiǎn)。然后，對(duì)系統(tǒng)目前存在的一些風(fēng)險(xiǎn)加以判斷，到底是否能夠接受。

第三階段：確定風(fēng)險(xiǎn)控制目標(biāo)。本階段主要的工作流程和內(nèi)容包括：（1）分析風(fēng)險(xiǎn)控制需求。針對(duì)上面提出的不可接受的風(fēng)險(xiǎn)，分析其具體需求；并分析哪些是可以做到，哪些不能做到；如果做到，需要具體的成本和措施等。（2）確立風(fēng)險(xiǎn)控制目標(biāo)。完全搞清楚其具體需求后，就可以確定風(fēng)險(xiǎn)控制的目標(biāo)。

第四階段：控制措施選擇與實(shí)施。

控制措施選擇階段的工作流程和內(nèi)容如下：（1）選擇風(fēng)險(xiǎn)控制方式。確定目標(biāo)后，就可以采用具體的風(fēng)險(xiǎn)控制方式。選擇方式時(shí)必須考慮到單位的具體情況，能否實(shí)現(xiàn)以及經(jīng)濟(jì)投入成本、投入產(chǎn)出比等。（2）選擇風(fēng)險(xiǎn)控制措施?？刂拼胧?shí)施階段的工作流程和內(nèi)容如下：①制定風(fēng)險(xiǎn)控制實(shí)施計(jì)劃：選擇好相應(yīng)的風(fēng)險(xiǎn)控制方式后，即可制定具體的實(shí)施計(jì)劃。實(shí)施計(jì)劃必須為書面，便于后面的審查以及對(duì)照。②實(shí)施風(fēng)險(xiǎn)控制措施：采用規(guī)避、降低、轉(zhuǎn)移等具體方式來控制。實(shí)施過程應(yīng)該遵循相應(yīng)的工作流程和標(biāo)準(zhǔn)，并書面記錄在案。

3 結(jié)語(yǔ)

當(dāng)前網(wǎng)絡(luò)信息安全技術(shù)發(fā)展迅速，任何信息系統(tǒng)都會(huì)有安全風(fēng)險(xiǎn)。沒有任何一種解決方案可以防御所有危及網(wǎng)絡(luò)信息安全的攻擊。因此我們需要不斷跟蹤新技術(shù)，對(duì)所采用的網(wǎng)絡(luò)信息安全防范技術(shù)進(jìn)行升級(jí)完善，以確保相關(guān)利益不受侵犯。

參考文獻(xiàn)

[1] Stuart McClure 等.黑客大曝光――網(wǎng)絡(luò)安全機(jī)密與解決方案[M].北京：清華大學(xué)出版社，2006：140.

[2] 魏仕民等.信息安全概論[M].北京：高等教育出版社，2005：40-41.

[3] 曲平.安全信息管理技術(shù)的研發(fā)與運(yùn)用[J].信息通信，2013.

篇10

我國(guó)的信息安全標(biāo)準(zhǔn)化制定工作比歐美國(guó)家起步晚。全國(guó)信息化標(biāo)準(zhǔn)制定委員會(huì)及其下屬的信息安全技術(shù)委員會(huì)開展了我國(guó)信息安全標(biāo)準(zhǔn)方面工作，完成了許多安全技術(shù)標(biāo)準(zhǔn)的制定，如GB／T18336、GB17859等。在信息系統(tǒng)的安全管理方面，我國(guó)目前在BS7799和ISO17799及CC標(biāo)準(zhǔn)基礎(chǔ)上完成了相關(guān)的標(biāo)準(zhǔn)修訂，我國(guó)信息安全標(biāo)準(zhǔn)體系的框架也正在逐步形成之中[1]。隨著信息系統(tǒng)安全問題所產(chǎn)生的損失、危害不斷加劇，信息系統(tǒng)的安全問題越來越受到人們的普遍關(guān)注，如今國(guó)內(nèi)高校已經(jīng)加強(qiáng)關(guān)于信息安全管理方面的研究與實(shí)踐。

2高校信息安全風(fēng)險(xiǎn)評(píng)估模型

2.1信息安全風(fēng)險(xiǎn)評(píng)估流程

[2]在實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估時(shí)，河南牧業(yè)經(jīng)濟(jì)學(xué)院成立了信息安全風(fēng)險(xiǎn)評(píng)估小組，由主抓信息安全的副校長(zhǎng)擔(dān)任組長(zhǎng)，各個(gè)相關(guān)單位和部門的代表為成員，各自負(fù)責(zé)與本系部相關(guān)的風(fēng)險(xiǎn)評(píng)估事務(wù)。評(píng)估小組及相關(guān)人員在風(fēng)險(xiǎn)評(píng)估前接受培訓(xùn)，熟悉運(yùn)作的流程、理解信息安全管理基本知識(shí)，掌握風(fēng)險(xiǎn)評(píng)估的方法和技巧。學(xué)院的風(fēng)險(xiǎn)評(píng)估活動(dòng)包括以下6方面：建立風(fēng)險(xiǎn)評(píng)估準(zhǔn)則。建立評(píng)估小組，前期調(diào)研了解安全需求，確定適用的表格和調(diào)查問卷等，制定項(xiàng)目計(jì)劃，組織人員培訓(xùn)，依據(jù)國(guó)家標(biāo)準(zhǔn)確定各項(xiàng)安全評(píng)估指標(biāo)，建立風(fēng)險(xiǎn)評(píng)估準(zhǔn)則。資產(chǎn)識(shí)別。學(xué)院一卡通管理系統(tǒng)、教務(wù)管理系統(tǒng)等關(guān)鍵信息資產(chǎn)的標(biāo)識(shí)。威脅識(shí)別。識(shí)別網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)病毒、人為錯(cuò)誤等各種信息威脅，衡量威脅的可發(fā)性與來源。脆弱性識(shí)別。識(shí)別各類信息資產(chǎn)、各控制流程與管理中的弱點(diǎn)。風(fēng)險(xiǎn)識(shí)別。進(jìn)行風(fēng)險(xiǎn)場(chǎng)景描述，依據(jù)國(guó)家標(biāo)準(zhǔn)劃分風(fēng)險(xiǎn)等級(jí)評(píng)價(jià)風(fēng)險(xiǎn)，編寫河南牧業(yè)經(jīng)濟(jì)學(xué)院信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告。風(fēng)險(xiǎn)控制。推薦、評(píng)估并確定控制目標(biāo)和控制，編制風(fēng)險(xiǎn)處理計(jì)劃。學(xué)院信息安全風(fēng)險(xiǎn)評(píng)估流程圖如圖1所示：

2.2基于PDCA循環(huán)的信息安全風(fēng)險(xiǎn)評(píng)估模型

PDCA（策劃—實(shí)施—檢查—措施）經(jīng)常被稱為“休哈特環(huán)”或者“戴明環(huán)”，是由休哈特（WalterShewhart）在19世紀(jì)30年代構(gòu)想，隨后被戴明（EdwardsDeming）采納和宣傳。此概念的提出是為了有效控制管理過程和工作質(zhì)量。隨著管理理念的深入，該循環(huán)在各類管理領(lǐng)域得到廣泛使用，取得良好效果。PDCA循環(huán)將一個(gè)過程定義為策劃、實(shí)施、檢查、措施四個(gè)階段，每個(gè)階段都有階段任務(wù)和目標(biāo)，如圖2所示，四個(gè)階段為一個(gè)循環(huán)，一個(gè)持續(xù)的循環(huán)使過程的目標(biāo)業(yè)績(jī)持續(xù)改進(jìn)，如圖3所示。

3基于PDCA循環(huán)模型的信息安全風(fēng)險(xiǎn)評(píng)估的實(shí)現(xiàn)

[3-5]河南牧業(yè)經(jīng)濟(jì)學(xué)院信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的研究經(jīng)驗(yàn)積累不足，本著邊實(shí)踐邊改進(jìn)，逐步優(yōu)化的原則，學(xué)院決定采用基于PDCA循環(huán)的信息安全評(píng)估模型。信息安全風(fēng)險(xiǎn)評(píng)估模型為信息安全風(fēng)險(xiǎn)評(píng)估奠定了理論依據(jù)，是有效進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估的前提。學(xué)院擁有3個(gè)校區(qū)，正在逐步推進(jìn)數(shù)字化校園的建設(shè)。校園網(wǎng)一卡通、教務(wù)、資產(chǎn)、檔案等管理系統(tǒng)是學(xué)院網(wǎng)絡(luò)核心業(yè)務(wù)系統(tǒng)，同時(shí)各院系有自己的各類教學(xué)系統(tǒng)平臺(tái)，由于網(wǎng)絡(luò)環(huán)境的復(fù)雜性，經(jīng)常會(huì)監(jiān)控到信息系統(tǒng)受到內(nèi)外部的網(wǎng)絡(luò)攻擊，信息安全防范問題已經(jīng)很突出。信息安全風(fēng)險(xiǎn)評(píng)估小組依據(jù)自行研發(fā)的管理系統(tǒng)對(duì)學(xué)院各類信息系統(tǒng)進(jìn)行全面的風(fēng)險(xiǎn)評(píng)估（圖4），以便下一步對(duì)存在的風(fēng)險(xiǎn)進(jìn)行有效的管理，根據(jù)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估報(bào)告，提出相應(yīng)的系統(tǒng)安全方案建議，對(duì)全院信息系統(tǒng)當(dāng)前突出的安全問題進(jìn)行實(shí)際解決。

3.1建立信息安全管理體系環(huán)境風(fēng)險(xiǎn)評(píng)估（P策劃）

風(fēng)險(xiǎn)規(guī)劃是高校開展風(fēng)險(xiǎn)評(píng)估管理活動(dòng)的首要步驟。學(xué)院分析內(nèi)外環(huán)境及管理現(xiàn)狀，制定包括準(zhǔn)確的目標(biāo)定位、具體的應(yīng)對(duì)實(shí)施計(jì)劃、合理的經(jīng)費(fèi)預(yù)算、科學(xué)的技術(shù)手段等風(fēng)險(xiǎn)評(píng)估管理規(guī)劃。風(fēng)險(xiǎn)規(guī)劃內(nèi)容包括確定范圍和方針、定義風(fēng)險(xiǎn)評(píng)估的系統(tǒng)性方法、識(shí)別風(fēng)險(xiǎn)、評(píng)估風(fēng)險(xiǎn)、識(shí)別并評(píng)價(jià)風(fēng)險(xiǎn)處理的方法。信息安全評(píng)估風(fēng)險(xiǎn)評(píng)估管理工作獲得院領(lǐng)導(dǎo)批準(zhǔn)，評(píng)估小組開始實(shí)施和運(yùn)作信息安全管理體系。

3.2實(shí)施并運(yùn)行信息安全管理體系（D實(shí)施）

該階段的任務(wù)是管理運(yùn)作適當(dāng)?shù)膬?yōu)先權(quán)，執(zhí)行選擇控制，以管理識(shí)別的信息安全風(fēng)險(xiǎn)。學(xué)院通過自行研發(fā)的信息安全風(fēng)險(xiǎn)管理工具，將常見的風(fēng)險(xiǎn)評(píng)估方法集成到軟件之中，包括有信息資產(chǎn)和應(yīng)用系統(tǒng)識(shí)別、風(fēng)險(xiǎn)識(shí)別與評(píng)估、風(fēng)險(xiǎn)處置措施及監(jiān)測(cè)、風(fēng)險(xiǎn)匯總與報(bào)告生成等功能。通過使用信息安全風(fēng)險(xiǎn)管理工具，安全風(fēng)險(xiǎn)評(píng)估工作都得到了簡(jiǎn)化，減輕人員的工作量，幫助信息安全管理人員完成復(fù)雜的風(fēng)險(xiǎn)評(píng)估工作，從而提高學(xué)院的信息安全管理水平。

3.3監(jiān)視并評(píng)審信息安全管理體系（C檢查）

檢查階段是尋求改進(jìn)機(jī)會(huì)的階段，是PDCA循環(huán)的關(guān)鍵階段。信息安全管理體系分析運(yùn)行效果，檢查到不合理、不充分的控制措施，采取不同的糾正措施。學(xué)院在系統(tǒng)實(shí)施過程中，規(guī)劃各院系的信息安全風(fēng)險(xiǎn)評(píng)估由本系專門人員上傳數(shù)據(jù)，但在具體項(xiàng)目實(shí)施中，發(fā)現(xiàn)上傳的數(shù)據(jù)隨意甚至杜撰，嚴(yán)重影響學(xué)院整體信息系統(tǒng)安全評(píng)估的可靠性，為了強(qiáng)化人員責(zé)任意識(shí)，除了加強(qiáng)風(fēng)險(xiǎn)評(píng)估的培訓(xùn)外，還制定相應(yīng)的懲罰獎(jiǎng)勵(lì)制度，實(shí)時(shí)進(jìn)行監(jiān)督檢查，盡最大可能保證風(fēng)險(xiǎn)評(píng)估數(shù)據(jù)的準(zhǔn)確性[6]。

3.4改進(jìn)信息安全管理體系（A措施）

經(jīng)過以上3個(gè)步驟之后，評(píng)估小組報(bào)告該階段所策劃的方案，確定該循環(huán)給管理體系是否帶來明顯的效果，是繼續(xù)執(zhí)行，還是升級(jí)改進(jìn)、放棄重新進(jìn)行新的策劃。學(xué)院在項(xiàng)目具體實(shí)施后，信息安全狀況有了明顯的改善，信息管理人員安全責(zé)任意識(shí)明顯提升，遭受到的內(nèi)外網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)病毒等風(fēng)險(xiǎn)因素能及時(shí)發(fā)現(xiàn)處理。評(píng)估小組考慮將成果具體擴(kuò)大到學(xué)院其他的部門或領(lǐng)域，開始了新一輪的PDCA循環(huán)持續(xù)改進(jìn)信息安全風(fēng)險(xiǎn)評(píng)估。

4結(jié)語(yǔ)