资产评估风险
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇资产评估风险范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
资产评估风险范文第1篇
随着国家“十二五”规划的提出,资产评估的发展也越来越受重视,由财政部印发的《中国资产评估行业发展规划(2011―2015)》,给资产评估的发展提供了契机,使得资产评估执业范围从传统的资产类业务扩展到文化、林权、海岛、玉石等相关特殊产业,并延伸到财政资金绩效的评价、行政事业单位资产管理、税基评估等业务领域。业务范围的扩大,会给资产评估执业带来相应的风险,这就必然要求对资产评估的法律责任进行细化,对资产评估风险进行分析,从而控制防范评估风险。
一、资产评估法律责任
资产评估法律责任是指资产评估机构或者资产评估人员在接受委托方委托之后,对评估标的进行估价过程中,因自身的过错行为而导致委托方或者第三方利益受损而应承担的法律后果。
1、资产评估法律责任的主体
在资产评估业务中,资产评估机构、资产评估人员、委托方或资产的占有方、评估的主管部门、评估行业协会以及评估报告使用人等都可能成为资产评估法律的主体。但涉及资产评估的相关法律、法规仅规定了评估机构或者资产评估人员的法律责任,而对评估各方应该承担责任的程度和方式却没有明确。因此应该全面考虑其他主体的相关法律责任,使得资产评估的效果能够更有效。
2、资产评估法律责任的形式
资产评估的法律责任依照传统的法律责任划分体系,有行政责任、民事责任和刑事责任三种。民事责任是指责任主体违反资产评估相关法律法规给他人利益带来损害应该负担的一种财产责任。行政责任是指责任主体违反资产评估相关法律法规给他人利益带来损害应该负担的包括警告、暂停执业、吊销注册资产评估师证书、禁入评估行业、撤销资产评估机构资格等行政处罚。刑事责任主要是评估人员违反有关法律程序达到犯罪的程度,承受一定期限的徒刑。
二、鉴定资产评估法律责任应注意的问题
1、明确法律责任主体
在确定评估法律责任时,首先应该确定法律责任的主体。在评估之前,由委托方提供的资料的真实性、客观性所造成,其法律责任应有委托方承当,属于会计责任,而由评估机构出具的评估报告的公正客观性造成的法律责任,应有评估机构及评估人员承担,属于评估责任。只有分清这两个责任,才能在评估中做到最大可能的公正。
2、对评估的过错进行层次分析
我国目前还没有出台资产评估法律,但是可以根据资产评估相关的法律及法规进行界定,其中可以通过重要性水平来区分一般过失和重大过失,如以总资产的0.5%-1%,权益的1%,收入的0.5%-1%等为标准。另外,指标的大小也可以根据资产评估的规模大小进行调整。而且评估人员的动机使得重大过失与欺骗难以区分。因此可以引入“推定欺诈”概念,欺诈和推定欺诈行为在法律上具有同等法律效力。在确定评估人员法律责任时,不但要区分重大过失和一般过失,还应当借鉴西方法律中“共同过失”和“比较过失”的概念。所谓“共同过失”,是指原告的过失不仅与自身有关,而且也与被告有关。所谓“比较过失”,是指根据各过失者犯有过失的程度,而分配其所应负担的损失赔偿额。这些概念对于合理确定法律责任都是有益的。
3、评估报告的使用对象
资产评估报告针对的是特定主体,对评估报告的适用范围有所限制,因此不适用于特定主体之外的社会公众。所以特定主体之外的其他报告使用者,如果是因为使用了评估报告而产生了经济损失,则评估机构或者评估人员不应该承担以此造成的法律责任。
4、资产评估的法律责任的免除。
资产评估过程中如果有符合以下条件的可以进行免除其责任。第一,由利益受害者自身的原因所造成的过错,例如委托人自身未指示清楚或不遵循评估报告使用注意事项,而使其自身的利益受到损害;第二,评估人员执行业务时,被评估单位不予配合评估工作,而评估机构又不能拒绝该资产评估业务,最终致使评估机构或者评估人员不能按期按质完成评估业务所造成的损失;第三,受到政府或其他有关部门进行的非正当的行政干预,而评估机构或评估人员又没有办法消除此项干预,从而导致发生要承担法律责任的事项。
三、资产评估风险分析
资产评估风险是指资产评估机构或者资产评估人员对资产进行评估时,因主观或客观原因使得评估标的价值偏离客观值,给相关利益方造成的经济损失,由此引起的被相关利益方进行法律诉讼的风险。
1、资产评估风险产生原因
从不同的角度去看,资产评估风险就有不同的表现形式。但究其原因可以归纳为以下几个方面:
(1)法制不健全
资产评估行业在国外已有上百年的发展历史,但是在我国起步比较晚,仍然算是一个新兴的行业,因此其法律规范还不是很完善,至今没有专门的资产评估法律来规范资产评估的行为,而其评估涉及的范围又比较广泛,所以容易造成多头管理、条块分割、各自为政、执业标准不统一的局面,从而造成评估市场的混乱。
(2)资产评估专业化要求高
资产评估对专业的要求比较高,但是我国高校资产评估专业发展较晚,硕士招生起始于2011年,因此,目前从业人员大多是其他相关专业毕业,专业化水平层次不一,所以在比较重大的项目或者对专业要求比较高时,评估人员有限的技术水平会对评估带来极大的风险。
(3)资产评估人员不遵守职业道德
随着市场的激烈的竞争,在有限的业务范围内,为了抢占业务,使得一些评估人员为了提高效益,违反职业道德、违规操作、不顾评估质量、粗放评估、低价取费、迎合委托方等行为。
(4)评估机构自身缺陷
评估机构自身管理制度不完善,对评估质量及进度等缺乏有效的控制也会造成风险。
2、资产评估风险表现形式
资产评估涉及的范围比较广,因此它的风险表现形式多种多样,根据不同的划分方式具体有不同的分类。
(1)外部风险和内部风险
依据法律责任主体可以将资产评估风险分为外部与内部风险。如果其造成的风险是评估机构本身不能控制的,可能是由评估法律体制、委托方、评估行政管理体制等造成的风险,是外部风险。相反地,由于机构内部管理不善、评估人员的素质水平和自身专业水平等原因造成的风险归为内部风险。
(2)立法风险,管理风险、执业风险和使用风险
随着时间的推移会使当前相关的资产评估法律及其相关内容与实际不相符,这样造成了立法风险;资产行政主管部门在履行其管理职能时带来的风险为管理风险;由其评估人员的专业水平限制导致的风险为执业风险;资产评估委托方因为不正当的使用资产评估报告书及结果带来的风险为使用风险。
四、风险控制对策
1、建立健全资产评估法律体系
目前资产评估还没有专业的法律,判断法律责任都是依据相关的法律法规,这就使得我国资产评估管理出现了条块分割、多头管理。因此,应加快资产评估立法工作,首先积极修订《中华人民共和国资产评估法》草案,保障制定和实施《中华人民共和国资产评估法》,并将此作为资产评估全行业管理的法律规范,使得资产评估的管理更具权威性。
2、加强队伍建设,加强宣传,提高风险意识
资产评估机构应该注重企业长远的发展,从企业长期利益的角度出发,防范资产评估风险。企业首先从员工入手,着手培养评估人员的职业素质,招收已经考取注册资产评估师执业资格的人员上岗;同时加强项目团队建设,培养一批业务骨干力量;定期开展专业业务培训,加强评估人员的专业知识,并对评估人员的的工作进行指导监督,从而提高评估人员的职业素质修养。同时可以聘请资产评估业界专家作为机构顾问。设立资产评估顾问,有助于提高评估工作质量、防范评估风险。通过对评估工作人员的风险意识宣传来加以控制。
3、加强资产评估机构职业规范和内部管理
资产评估机构应该统一职业规范,以出台的资产评估准作为职业规范,对项目进行组织与管理、对资产评估人员执业进行规范。在实践中, 资产评估机构严格按照资产评估准则进行执业,建立从开始受理评估业务、评估前期准备、具体业务评估过程、最后的评估报告以及后期的评估档案管理阶段在内的整个评估全过程的质量控制,每个阶段都应该遵循资产评估准则,规定出进行评估时的必要工作,从而加强评估机构的内部管理,从而防范评估人员执业风险。
4、建立评估信息资源共享平台
评估人员在进行评估时需要参考大量的资料信息,因此为防止因信息不对称产生的风险,评估机构则应该建立评估信息资源共享平台,使已有信息资源归类整理,能够最大限度地为评估人员所用,从而保障评估的工作质量和效率。
5、建立注册资产评估师执业保险制度
注册资产评估师投保职业责任保险,不仅可以防范注册资产评估师的职业风险,而且也可以保障评估委托方的利益。
6、强化风险防范意识,注重诚实信用
企业的发展应该是树立质量竞争意识,克服短期利益驱动,以质量求信誉,以信誉求发展。而诚信对于为社会中介服务的资产评估行业尤其重要。因此应该加强信用的意识来防范风险。
参考文献:
[1]杨健.资产评估风险及其防范[J].商业经济,2012(01)
[2]王香珠.论资产评估风险管理[J].现代商贸工业,2010(08)
[3]李明媛.资产评估风险防范的对策分析[J].现代经济信息,2009
[4]贾宝和.试论我国资产评估风险的防范对策[J].金融与经济,2007(10)
[5]江琴,黄丽娜.资产评估风险的规避[J].金融与经济,2007(02)
[6]刘勇.资产评估的法律责任及风险控制[J].中国资产评估,2006(09)
[7]史新浩.资产评估风险及其防范[J].财会通讯,2006(12)
[9]程阳春.资产评估执业风险及其防范[J].湖北财经高等专科学校学报,2004(01)
资产评估风险范文第2篇
【关键词】注册资产评估师;责任;风险;防范
随着市场经济的发展,资产交易行为越来越频繁,资产评估可以对资产的顺利交易起到促进和保证,而注册资产评估师是资产评估活动的主体,注册资产评估师的工作能力和经验对评估结果有一定的影响,作为委托方维权意识加强,注册资产评估师责任风险也在不断加剧,认识注册资产评估师面临责任与风险,有效识别风险,加强风险防范意识,保护注册资产评估师的利益。
一、注册资产评估师责任概述
1.注册资产评估师责任的概念
资产评估是专业机构和人员按照国家法律、法规以及资产评估准则,根据特定目的,遵循评估原则,依照相关程序,选择适当的价值类型,运用科学方法,对资产价值进行分析、估算并发表专业意见的行为和过程。资产评估成果不仅对资产评估业务有关当事人的利益具有直接影响,在一定情形下对其他第三人的利益也会产生重要影响,因此,资产评估机构和人员负有严格的责任。注册资产评估师责任由专业责任和法律责任组成。专业责任是指评估人员违反行业有关专业规定和要求而承担的责任,法律责任是资产评估人员违反法律、法规所必须承担的责任。
2.各国注册资产评估师责任借鉴
美国为了整顿不动产交易活动中的评估行为,维护联邦金融秩序,联邦政府颁布了《金融机构改革、复原和强制执行法令》。该法令是美国联邦政府有关资产评估的最具代表性的法律文件。根据该法令,美国的各个州都制定了不动产评估师注册方面的法律,一般都规定了注册的管理部门、注册条件、注册程序、考试以及后续教育要求,违法行为等。因此,各州的不动产评估师注册法与美国的其他相关法律一起,规定了不动产评估师的法律责任,包括行政责任和民事责任。
澳大利亚各州根据法律规定由州政府对评估师实行注册管理。具体有行政处罚,民事和刑事处罚构成。其中行政处罚由公平交易局总干事以命令形式给予处罚。包括谴责或警告、一定期限内暂停执业、一定期限内取消注册,之后经申请视情况可以恢复注册。民事和刑事处罚,如果未按照该注册而作为评估人员执业,或者为本人做广告声称自己具备评估资格,最高处罚可达5个单位数额的罚款,或者判处6个月的监禁。
我国注册资产评估师的执业责任可以分为专业责任和法律责任。专业责任是指评估师对其违反行业规范或职业道德的行为所承担的责任。法律责任是指评估师对其违反法律法规的行为所承担的责任。评估执业过程中因评估行为而引起的法律责任分为行政责任、民事责任和刑事责任三种形式。行政责任是指当事人因实施法律法规和规章禁止的行为所必须承担的法律后果,行政责任适用于未构成犯罪的行政违法行为,体现了国家对社会经济生活的行政干预,由国家行政机关进行行政处罚。民事责任是指民事主体违反合同或不履行其他义务而承担的法律后果,其最大的特点是补偿性,以此使受害人受到侵害的合法权益能够得到恢复或补偿,民事责任主要分为违反合同的民事责任和侵权的民事责任两种类型。刑事责任是指当事人因实施法律禁止的行为所必须承担的法律后果,也就是犯罪行为所要受到的刑事制裁,由司法机关依法追究刑事责任。
二、注册资产评估师评估责任的风险类型
1.法律法规和准则规范不健全引起的风险
由于我国的法治化工作正在完善过程中,各种法律法规之间的协调、评估准则和规范的科学性也在完善过程中,由此,不可避免地会给评估带来一定风险。例如之前资产评估师在现场踏勘阶段,在整理评估资料时对资产权属的关注上就有不同的认识,一种观点认为评估师应对资产权属负完全责任。另一种观点则相反,认为资产是否属于委托方所有以及委托方是否具有完全的处置权利,属于委托方的事,由此而引起的后果属于委托方的责任。评估师的责任就是运用科学的方法确定资产的价值。随着准则规范不断健全,这一问题也得到了确认,即注册资产评估师在资产权属上没有鉴定的职能,也不必对其权属鉴定负责,但是,评估师应该明确知道,评估对象的法律权属对评估结论具有重要影响,应在评估过程中给予关注,并在评估报告中进行恰当披露。
2.专业能力有限引起的风险
由于评估对象的广泛性、复杂性和专业性,评估师必须具备与评估对象相关的足够的专业知识。如果不具备这方面的专业能力,应该向有关专家咨询,或与其他评估师共同完成。评估机构承担无力承担的评估项目,导致评估结果失真,或对客户产生误导,由此而造成的损失,就会引起风险的发生。
3.违反职业道德造成的风险
评估机构或评估人员为谋求不正当利益,不遵循客观公正原则,任由委托单位摆布,投其所好,无原则的高评或低评资产价值,一旦败露,给有关当事人造成损失,评估机构和评估人员将要承担经济赔偿责任,严重的会被追究法律责任。
4.评估人员工作马虎引起的风险
如果评估人员在资产价值估算时工作不到位,缺少必要的工作环节或选取参数有误,致使评估的资产价值扭曲,给有关各方面造成损失,风险就难以避免。
三、注册资产评估师责任的风险防范
资产评估的风险是一种客观存在,其得以产生的条件又大量存在,这使得资产评估必须把评估风险防范放在首位,牢固树立风险意识。然而,评估风险只不过是一种可能性,它并非是一种必然性。防范的好,资产评估风险是完全可以避免的。防范资产评估风险可以采取如下对策:
1.加强资产评估法制建设,增强法制观念
一方面是国家和行业主管部门应尽快出台“资产评估法”,出台和完善资产评估准则和资产评估业务指南,使资产评估事业的发展得到规范。另一方面,资产评估机构和评估人员必须依法办事,严格按法定标准和法定程序进行资产评估。
2.提高评估人员的执业水平,做好后续教育工作
评估人员业务水平的高低直接关系着评估风险发生的可能性的大小,同时也反映出评估人员风险意识的强弱。评估人员要提供高质量的专业服务,必须具备较强的业务能力和高水平的职业判断能力。要不断接受后续教育,更新和提高专业知识和专业技能,熟悉并掌握现行各种相关的法律法规及专业准则,不断提高执业能力。
3.加强职业道德修养
每个专业评估人员都必须加强职业道德修养,遵守职业道德。对于不讲道德的行为,资产评估机构内部必须严肃处理,绝对不能只顾眼前蝇头小利,而姑息养奸、酿成大患。
4.资产评估机构要加强自我建设,努力使资产评估过程规范化
资产评估机构必须健全各种制度、规范各种评估操作,从签订资产评估业务约定书开始,诸如制定评估计划、编制工作底稿、进行现场勘查、评估报告撰写、评估档案管理等都有制度都有规范。
资产评估风险范文第3篇
在会计工作中我们发现,无形资产评估由于存在大量复杂的不确定因素,导致了评估风险的存在。实际操作应如何减少风险做以下浅析。
无形资产评估的风险及控制。因我国计划经济时代所有制形式单一,几乎不存在产权转让就没有确认无形资产的经济环境。改革开放以后,我国建立了市场经济体制,开始走上了与世界经济接轨之路,要素市场逐步形成与发展,并培育出企业产权变动的土壤。现代企业可以被认为是消耗有形资产,形成无形资产的经济组织。无形资产的资本化要求越来越突出,其资本化途径是股权化和证券化,而这两者都需要定性和定量的确定其价值,这就需要进行评估。评估风险。
一是用重置成本法。用重置成本法评估无形资产的公式为:评估价值=无形资产的重置成本×成新率。
二是用市价法。市价法评估的风险在于无形资产产权交易市场不完善,不成熟,信息匮乏,交易案例很难找到。绝大多数无形资产具有垄断性,在市场上难以找到相同或近似的评估参照物。无形资产的非标准性,使我们很难确定不同商标、不同商誉、不同专利、不同专有技术条件下的价格差异。
三是用收益法。即使被公认为最适合无形资产评估的收益法也由于其方法本身的技术要求而存在风险。
评估风险的控制。各种无形资产的评估方法都存在风险,在进行评估时,首先要注意方法的选择。对于资产特性比较简单,以成本摊销为评估目的,侧重现实可用程度的无形资产的评估,可用成本法或市场法。对于资产特性比较复杂,以转让、投资为目的,强调资产未来使用效果的无形资产,可采用收益法。
资产评估风险范文第4篇
【关键词】 资产评估;信贷风险;风险防范。
一、商业银行信贷风险内涵
信贷风险指信贷资产在未来损失的可能性。具体而言,信贷风险是指由于各种因素发生变化而对商业银行信贷资产带来的负面影响,导致银行信贷资产或收益发生损失并最终引起信贷资产价值甚至银行整体价值下降的可能性。如利率、汇率价格的波动,以及由债务人财务状况恶化而导致违约的可能性等,都会给银行信贷资产的价值和收益带来风险。
二、商业银行信贷风险的成因分析
(一)体制性因素
长期以来,国有商业银行承担了大量的财政职能,使信贷资金有借有还的有偿使用变成了财政性资金的直接分配。财政通过透支和借贷直接将信贷资金用于财政支出或国家各类专项贷款,这类贷款中相当大一部分事实上难以收回,形成了不良贷款,加大了银行信用风险。由于国有企业改革尚未完成,银行现在不但要承担庞大的存量呆账,要继续为那些管理不善,市场竞争力不强等扭亏无望的企业注入资金,导致新的潜在的不良资产产生。
(二)借款企业的因素
在我国还未建立健全的社会征信机制,商业银行无法获取企业信用信息,全面了解企业的情况,无法遏制恶意借款的发生。我国现有的会计、审计及法律事务所等中介机构,运作不规范,许多中介机构为了揽业务,协助企业作假账,向银行提供虚假财务报表,骗取银行信用。
(三)内部控制制度不完善
1.内控机制不健全。我国的商业银行没有专门制定和执行内部控制制度的机构,内部控制制度大多数是由各职能部门制定并贯彻执行,缺乏整体性和协调性。
2.基层机构内控制度的贯彻落实不到位。我国商业银行贷款程序存在着反向操作等现象。企业或个人申请贷款时,不是向信贷部门提出申请,由信贷员进行信用分析,层层审查上报,最终由审贷委员会批准发放贷款,而是由主管领导向下指派,经办人员按领导指示进行办理。
3.缺乏有效的监督评价与纠正机制。内部控制必须受到监督,通过连续的监督、评价来实现内控机制运行的有效性。然而,我国的内部审计权限受到制约,没有独立性和权威性,审计中发现的问题及提出的改进建议得不到有效解决和执行。
三、资产评估在信用风险防范中的作用
(一)资产评估在抵押贷款中的风险防范作用
在我国,商业银行在办理抵押贷款时,一般确定的最高抵押率为抵押物评估值的70%,其余的30%是金融机构对借款人到期不履行债务、实现抵押权所预计的风险含量。抵押率是抵押物现值扣除其在抵押期内的自然性损耗、经济性贬值以及处置费用后与其现值的比率。按抵押率计算,抵押物的价值不足以承担贷款担保的,应另行提供其他担保。
商业银行为了防范抵押风险,首先对抵押物的评估价格确定一个抵押率或折扣率;其次在评估值中扣除了所预计的(包括违约赔偿、抵押物预期贬值、处置费用等在内的)全部风险值;最后将抵押物当期的正常价格调整成了抵押价格。由此可见,抵押贷款的风险主要来自评估值及抵押率。
(二)资产评估在不良资产处置中的风险防范作用
在现实当中,应定期对抵押物及企业资产状况进行跟踪调查是防范存量风险的主要措施。定期对抵押物及企业资产状况进行跟踪调查需要资产评估的介入,资产评估依据其专业信息及技术为抵押物及不良资产状况进行定量分析,为防范存量风险提供了价值参考。
在我国,对抵债资产的收取时,需以法院终审裁决书及有资质的资产评估机构出具的评估报告书为依据。为防止不良资产风险继续恶化,应及时通过各种途径并借助资产评估对其进行处置,在无法对其处置的情况下,应定期对其进行估值,提取风险保证金,防止银行整体风险的恶化。资产评估对防范、控制信贷风险具有积极的作用,资产评估是一个新兴的事物,发展还不成熟,随着资产评估的不断完善和发展,其在信贷风险防范的作用将逐渐地突出出来。
参考文献
资产评估风险范文第5篇
1基于信息资产的风险评估方法
1.1风险评估的关键要素本文所述的风险评估以信息资产为核心,评估信息资产的价值及其所具有的脆弱性和所面临的威胁,并得出信息资产的风险。基于信息资产的风险评估的关键要素主要包括信息资产、资产价值、资产脆弱性(即资产弱点)及威胁。风险评估关键要素间的关系如图1所示。
1.2风险评估流程风险评估流程如图2所示。
1.2.1识别并评价信息资产(1)识别信息资产识别信息资产就是要对所有的信息资产进行梳理与识别,编制资产清单。资产清单主要包括以下要素:资产基本信息:资产编号、资产名称、资产功能和用途简述等;资产类别:资产归类是将信息资产在特定条件下归并为一组,以便于进行风险识别、评估及管理工作;资产所有者:确定信息资产所有人员或单位;资产保管者:确定信息资产管理权责人员;资产使用者:确定信息资产的使用人;资产保密性:确定信息资产在保密性方面的等级;资产完整性:确定信息资产在完整性方面的等级;资产可用性:确定信息资产在可用性方面的等级;资产价值:根据信息资产保密性、完整性、可用性的等级,取最大值作为资产价值。经过笔者实际评估后认为,识别信息资产的关键在于资产的分类,合理的资产分类将大大降低风险评估的工作量。资产大类可以分为信息系统类、人员类、物理环境类、外部服务类、数据类、无形资产类。以信息系统类为例,信息系统下可以继续分为主机型、终端型、软件型三个二级分类。在主机下还可以继续划分为12个三级分类。(2)评价信息资产对信息资产的评分需考虑信息资产三个要素:保密性、完整性和可用性。依据特定资产评价标准对资产进行评分,并取保密性、完整性与可用性分数的最大值,作为该项信息资产的最终价值。为资产价值设定一个标准值,超过标准值的资产才能进行下一步风险评估。
1.2.2识别并评估威胁(1)威胁分类根据威胁的来源,将威胁分为人员威胁、技术威胁、环境威胁三大威胁,并据此罗列出细化分类的常见威胁。(2)威胁与弱点匹配根据列举的安全威胁,对企业面临的信息安全弱点进行划分,评估出每项威胁可能面临的弱点。(3)评价威胁与弱点针对识别的威胁、弱点依次评估其发生机率及事件影响程度,计算出风险值,并在评分的过程中考虑现有控制措施。a.威胁可能性评分标准根据威胁在一定时期内发生的频率,设定威胁发生的可能性。b.影响程度评分标准信息资产的弱点被威胁利用,影响程度的评分标准见表1。
1.2.3风险值计算及风险分级(1)风险值计算风险值的最终确定需综合考虑三个方面,包括资产价值、风险发生的可能性以及风险发生的影响程度。通过识别和评估资产价值,并评估风险发生的可能性和风险发生的影响程度,综合计算出风险值,风险计算公式如下:风险值=信息资产价值×风险发生可能性×风险影响程度评估后将形成如下的风险矩阵,见图3。(2)风险分级依据风险评估结果撰写信息安全风险评估报告,提出可接受的风险等级建议,提交领导层审核并决定可接受的风险等级。
1.2.险评价在风险值确定后,依据风险值大小进行风险处置优先级排序。应制定风险接受水平,等于及高于风险接受水平的风险为高风险。制定风险接受水平时,企业应考虑当年风险处置资源投入成本。对于以下风险,应纳入高风险进行处理:可能导致企业违反国家法律法规、行业规章制度及其他合规标准;可能导致企业品牌、声誉和社会责任的损害;管理层评估为高风险的其他风险项。应以风险评分结果为基础,通过多个角度对企业面临的风险状况进行分析:重要信息资产的分布情况;高风险主要分布的信息资产类别;高风险主要面临的威胁和弱点。从多角度分析目前企业面临的风险现状,有利于企业把握风险管控的重点,为风险处置做出指引。
1.2.5风险处置风险评估完成后,需要制定风险处置计划,执行风险处置,最后要对处置后的情况进行风险再评估。(1)风险处置计划在企业管理层确定企业的风险接受水平后即可对等于、高于风险接受水平的高风险制定处置计划,确定处置方式。风险项的处置方式包括:依据企业管理层确定的风险接受水平,有意识地接受该接受水平之下的较低风险,暂不采取处置措施;采用适宜的控制措施减缓风险,尽可能合理减缓风险至企业的风险接受水平之下;废弃导致风险的信息资产而避免风险;将风险转嫁给第三方,如保险公司或供应商。计划的控制措施应考虑国家的法律法规要求、企业的运营目标、行业监管要求以及风险控制的成本与效益。(2)风险处置执行企业应组织风险的相关责任单位落实风险控制措施,在规定期限内完成风险处置项。(3)风险处置再评估在风险控制措施完成后,企业应对风险项(不包括风险接受水平以下的较低风险)进行二次评估。经过二次评估仍评价为高风险的风险项,应作为残余风险。对于属于以下情况的残余风险应提交管理层批准接受:该风险目前不在企业控制范围内;该风险在目前技术手段下无法有效控制;该风险处置的资源投入高于风险所造成的影响损失。
2风险评估方法的工具实现
风险评估是一项涉及环节众多的复杂工作,需要投入较多的专业人员开展具体工作。为了减轻工作量,提高工作效率,笔者所在单位专门设计开发了一套风险评估的工具平台,并在企业内部得到了应用。
2.1功能模块工具平台设计了以下功能模块,截图见图5。风险计划控制:对风险评估的时间计划进行控制,以便在规定的计划内完成风险评估。信息资产管理:对信息资产进行识别和评价。威胁弱点管理:对信息资产所面临的威胁和弱点进行识别管理。风险评估:根据资产价值、威胁、弱点等进行风险评估。风险处置:根据风险评估结果生成风险处置计划,并落实责任单位与责任人,跟踪风险处置情况。风险报告:根据历年来的风险评估的情况,形成统计报告,跟踪风险发生的趋势和控制措施的改进情况。权限管理:对访问该风险评估工具的用户权限进行配置。
2.2系统架构该工具实现基于B/S方式,用户可以通过浏览器访问该工具平台。在实现架构上,与传统WEB应用类似,分为三层:WEB服务层:采用ApacheHttpServer实现,用于展示静态页面,并将动态请求转发至后台应用处理;核心应用层:采用Tomcat应用服务器实现,用于处理增删改等动态请求;数据库层:采用Mysql数据库实现,用于存储信息资产清单、威胁库、弱点库以及风险评估结果等。
