資產風險評估范文

導語：如何才能寫好一篇資產風險評估，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

【關鍵詞】高職院 固定資產 風險評估 控制活動

高職院固定資產有著舉足輕重的重要作用，是教學和科研的基礎，價值一般占到總資產的一半以上。因此，管理好高職院固定資產，既關系社會民生，又涉及預防腐敗，我國亟需建立和完善高職院固定資產內部控制，提高固定資產管理內部管理水平，防范內部風險，確保各項行政活動順利開展。由于固定資產內部控制涉及問題比較廣泛，本文以固定資產內部控制最為重要的風險評估與控制活動為研究對象，結合內部控制相關理論，分析固定資產風險評估和控制活動存在的問題，有針對性的提出改善方案。

一、固定資產內部控制問題

（一）風險評估方面主要問題是機制不健全，缺乏專門的風險管理機構，更沒有設置相關的風險管理崗位。當上級主管部門有要求進行風險管理相關工作時，則由監察審計部門暫時執行該項工作，但是由于實際執行有難度，再加上風險意識不夠，普遍認為這個工作比較虛，各單位部門普遍應付一下。

（二）控制活動方面存在的問題較多，一是采購不夠嚴謹，零星采購數額巨大，程序過于簡單；二是驗收力度不夠，缺乏專業人才，招標價格與驗收價格有差異，入賬價格不時高于合同價格；三是固定資產處置、維護和處置環節還存在弊端。

二、固定資產內部控制設計

（一）加強固定資產管理風險控制，組建風險管理委員會。高職院應增設一個專門的風險管理委員會，全權負責構建高職院風險管理框架，組織并實施全面風險管理，由學院黨委直接領導。委員會的成員由財務處、監察審計處、后勤處等部門人員構成。

風險管理委員會的主要職責是在全院形成風險管理文化氛圍，提高全院教職員工風險管理意識，識別學院重要業務相關風險，分析并制定風險應對措施，編制風險管理報告和測評報告向學院領導匯報。固定資產管理相關的風險評估如下：

（二）加強固定資產管理控制活動

1.為優化零星采購，可以逐步建立一個資源庫，對于各類固定資產都尋找一些適合的供應商，錄入資源庫，在需要采購的時候，從資源庫調出適合的供應商，再由電腦或不相關人員隨機抽取供應商，這樣供應商也搞不清能否抽中，也不需要想方設法中標。

2.高職院應加大驗收相關規定執行力度，嚴格按照規章制度進行驗收。特別是對于價值量大，質量要求高的固定資產，必須在專業人才到場的情形下才能開展驗收工作。驗收人員必須增強責任心，認真核對資產信息，檢查資產運作情況，對合同金額、發票金額、驗收價格要核對一致，如確實發現不一致的情況，應該拒絕驗收。

3.高職院固定資產種類多如牛毛，存放地點極其分散，管理工作較繁雜，存在資產流失的風險。資產管理科負責編制固定資產明細表，注明每一項資產的責任人和存放點，由使用人負責資產的日常管理，在領用或購買資產時，由資產管理科在資產使用帳上登記，離職或變更崗位時，必須交回資產并辦理相關手續，向資產管理科報告登記，務必將每一項資產責任到人。明確資產使用人有利于分清責任，落實責任，為日后固定資產清查做好鋪墊。

資產使用人因各種原因離崗時，應當辦理固定資產交接手續，清點資產、核對賬目，確保資產賬、卡、物相符，交接時部門負責人須在當場監督。

高職院應要求資產管理科負責建立并管理所有固定資產文檔，固定資產購入時即將其合同、保修卡等資料統一歸檔管理，以便日后順利開展維修、轉讓等工作，使用部門則保存相關資料復印件方便使用，避免固定資產因使用人員多且經常調換丟失資料。

4.在維修保養方面，高職院應定期保養設備，以防范為主，適時保養。保養一旦發現問題，立即上報，對資產進行維修。對精密貴重的設備，要制定專人進行管理和維護，應對使用人進行專業培訓，定期檢測、校驗，確保精度和性能良好。對房屋等建筑物，資產管理科也要定期檢查，及時提出鑒定、拆除和修繕意見。對一般的教學等機器設備，有專人專用的，使用人負責維修保養，共同使用的由資產管理科負責維修保養。對大型的專用設備，由實訓室與現教管理中心或委托專業機構定期檢查維護。

資產管理科還應建立相關的維修保養檔案，登記固定資產的維修保養情況，定期對維修費用進行分析統計，如核算維修頻率、維修計劃完成率等，既能反映出所購固定資產的質量，為下一次的固定資產采購提供參考信息，又能為制定固定資產的維修保養計劃提供科學依據，還能監督維修保養實施情況。

5.固定資產清查方面，高職院應建立適合的固定資產清查制度，明確資產清查頻率、任務分工和具體的程序。

在清查頻率方面，應堅持全面清查和分批清查相結合的原則。由于學院固定資產數量龐大，全面清查費時費力，如果難以一年完成一次全面清查，那么可以每兩年一次，制定相應的分批清查計劃，每年清查一部分部門單位，及早發現資產管理相關問題，及時鞏固資產清查的結果。

高職院應成立資產清查工作領導小組，由學院領導任組長，指導并督辦清查事項，清查工作領導小組辦公室可以掛靠資產管理科，由資產管理科具體組織實施資產清查工作，組織各部門單位自查，將自查結果報告資產管理科。資產管理科再組織一到兩個復查小組，到部分關鍵部門單位復查，重點復查金額重大、有物無帳、有帳無物等特殊情況，最后匯總清查情況，如實向資產清查工作領導小組報告。

篇2

關鍵詞：資產評估；風險管理；對策

中圖分類號：F123.7 文獻標識碼：A 文章編號：1001-828X（2014）03-0-01

一、資產評估風險

資產評估風險就是評估人員因為主客觀原因在資產評估時對資產的價值區間和它的實際價值沒有進行科學評估，由此產生較大的偏離。外部風險、內部風險是形成資產評估風險的兩個主要方面。風險識別、風險預測、風險評價等風險管理流程是資產評估的基本要素，用不同的方式來控制資產評估活動中的風險，并把資產評估風險控制在可接受范圍，這就是資產評估風險管理。評估機構在開展業務的時候會認真識別可能遇到的各種風險因素，以便于評估者能夠認識到資產評估所處的風險環境。評估者的專業判斷能力是風險預測和評價的主要影響因素。

二、資產評估風險的產生的原因

（一）主觀性的評估執業造成的風險

進行評估業務的評估師是專家職業，有著很濃厚的主觀判斷色彩。不過，要真正獨立而客觀地進行主觀評估對于評估師來說，這和評估的客觀要求是有一定的沖突的。要是我們對這個矛盾的認識不清楚，評估師的業務工作和評估機構就會出現管理風險。我們可以將資產評估看做是智力性的中介服務行業。評估師執業既要符合國家的法律政策，又要遵循評估行業的評估準則，評估師的主觀判斷是相當重要的。每個評估師在對相同的資產進行評估的時候所得出的結論都是不盡相同的。評估師的評估判斷會受到他的專業知識、工作經歷、社會關鍵等因素的影響。評估師的個人喜好和情緒等心理調節也會對評估對象的專業判斷產生影響。

（二）獨立性的資產評估造成的風險

獨立性的資產評估要求不應該干擾評估報告的發表，資產評估的獨立性的影響因素并不是單一的。當前，評估機構和客戶間往往會因為委托收費制度而出現利益關系，評估師的獨立性就會受到這種利益關系的影響。從當前的體制來看，委托單位通過能夠決定評估機構的聘用和解聘，委托單位支付評估費用。因此處于較為弱勢地位的評估師和評估機構。評估師往往會根據客戶的喜好來發表評估意見，這種待遇利益目的的冬季使得評估機構經過會向客戶妥協，尤其是當評估機構覺得可以化解風險的時候。評估行業存在著激烈的競爭，這種競爭程度和資產評估失誤出現的懲罰程度都會使得評估師的公正立場受到影響。

（三）滯后的評估規則效力造成的風險

要想謹慎地進行資產評估就應該根據資產評估準則來嚴格實施，做到評估師的義務和責任的統一。不過因為社會在不斷地發展，評估準則的制定通常比較滯后，由此給資產評估師的工作帶來了一定的困難。因為當前的資產評估準則和社會發展要求并不總是同步，所以就算按照審計準則來進行評估，也不一定能做到盡善盡美，故而資產評估在卷入法律訴訟案件時其處境還是比較被動的。原因在于法院的判案經常會根據當下的社會發展要求來決定，而資產評估準則又之后與社會的發展，風險也就由此產生。

三、資產評估風險的管理對策

（一）科學構建資產評估準則體系

當前，由于資產評估行業還缺乏完善的資產評估準則體系，使得評估工作沒有同意的規范作為依據。因此，我們應該多學習和借鑒國外評估行業的好的評估方法和理論，并根據我國的實際情況來制定適應的資產評估準則體系。在這個體系制定中，應該考慮到四個方面：技術、職業道德、質量控制、繼續教育。全面規范評估機構和評估師的行業行為。資產評估準則體系的建立要具有實用性和科學性，要符合經濟發展的要求。另外，還應該考慮到靈活性、普遍性、穩定性、針對性，這個體系不但要能夠對整個評估活動適用，還能夠具體解決某個方面的問題，幫助評估師在準則范圍內科學進行專業判斷，讓他們盡量少受主觀評估的影響。

（二）增強資產評估獨立性

資產評估的獨立性主要受兩方面因素的影響：一是利用關系方的誘惑程度，二是評估機構因缺乏獨立性而受到的懲罰程度。因而可以通過建立資產評估協會來加強資產評估的獨立性，賦予其權威性，并做好行業監督。評估機構和客戶的利益關系因為檔期的委托收費制度而超過了評估機構和資產評估方的關系。評估協會要改變這種不平衡的三方關系，首先就要對當前的委托收費制度進行改變，構建資產評估需求方、資產評估委托人共同付費聘用評估機構的新機制。另外，要進一步監督低價攬客行為，抵制消極競爭。對于那些違反規定的評估機構，評估協會應該加大懲罰力度，以此來避免對資產獨立性的損害。

（三）加強評估人員整體綜合素質教育

評估結果的質量會都到評估師的綜合素質的影響。要提高評估師的綜合素質就應該采取切實可行的措施。具體來說，一是要規范評估師的執業行為。建立更為科學而規范的技術準則，提高評估結果的質量，且要對評估師灌輸執業風險意識和質量意識。評估師不應該接受超出自己能力范圍的項目，不能不經過實地勘察和分析就給出項目評估報告。要認真根據評估準則來評估具體項目，評估報告撰寫需仔細，對風險進行有效規避。二是要對評估師進行道德素質教育，通過職業道德教育宣傳來規范資產評估師的職業道德行為，制定相關的法律法規，對違法犯罪行為要進行嚴格的處罰。三是加強繼續教育。要想提高評估師的整體水平，就應該構建科學的資產評估職業教育培訓機制，用科學有效的培訓方案來加強評估師的繼續教育，并將之法律化和制度化。繼續教育應該要有系統性和科學性，讓評估師能夠長期接受良好的教育，從而提高資產評估結果的質量。

四、結語

我國的資產評估工作發展較晚，風險管理經驗還不成熟。相關的資產評估法律法規建設也比較滯后。當前，我國還沒有完善的資產評估準則和資產評估師法律。評估風險因為法律環境的不完善而增大了。所以，評估機構和評估師要特別注意增強風險防范意識，有效地規避風險管理可降低風險發生的概率和程度。所以，評估機構建立執業風險保障制度是評估機構抵御風險，保障其可持續發展的有效方式。

參考文獻：

[1]譚，尉京紅.資產評估行業發展及展望[J].集團經濟研究，2007（01）.

篇3

一、宏觀層面

1．政治政策風險。也就是投資目標地政局是否穩定，或者政府會不會出臺某些政策對所投資的標的產生負面影響。

2．經濟風險。經濟環境是否穩定，各主要經濟指標是否在合理范圍(金融指標尤其重要)，經濟發展趨勢怎樣。股市、樓市泡沫等因素都要列入考慮范圍，這對今后的投資成功與否非常重要。

3．文化風險。這一風險主要是針對全球范圍內的投資，要充分考慮所投資項目是否與當地文化有沖突，是否符合當今世界的發展趨勢。在當前環境下，投資那些環保，新能源，高新技術之類的項目經濟風險就要小很多。

二、微觀層面

在分析這一層面時要考慮的因素非常多，并且也非常復雜，一般需要大量的財務，金融，營銷方面的知識。我現在拿投資寶潔公司為例。首先要分析公司五年來連續的財務報表，熟悉公司的資產負債率，每股回報率，利潤增長率等一系指標，注意公司近期是否有大的資本運作，如兼并，拆分股票等。熟悉公司目標市場的容量，增長情況，消費者信息，競爭對手的動作等等。只有做到對某一公司的運營狀況非常了解，才能保證有效的投資回報率，否則就會心里沒底，導致接二連三的失敗。

三、個人風險

個人風險主要是個人在進行投資活動時對投資結果的反應程度風險。每個人都應當明白，投資是一項高風險的運作，所以一定要有淡定的心態和良好的心理素質，做到勝不驕敗不餒，并且千萬不要用老本進行投資，更不能借貸投資。否則一次失敗的投資可能導致高危的個人風險，血本無歸，輕生，甚至家破人亡。通過風險識別，充分揭示了企業所面臨的各種風險和風險因素，通過風險估計，確定了風險發生的概率和損失的嚴重程度。然而，要確定是否采取控制措施，采取什么樣的控制措施，控制措施采取到什么程度，采取控制措施后，原來的風險因素發生了什么變化，是否產生了新的風險和新的風險因素?這些都需要通過風險評價加以解決。風險評價是選擇風險管理技術的基礎，根據風險評價的結果采取措施對風險進行管理。風險評價的意義可以總結為幾點:

1風險評價對于減少風險事故的發生，特別是防止重大事故的發生，具有非常重要的作用。

2風險評價可以確定控制措施采取的程度。因為任何一項風險控制都必須付出一定的經濟代價，而且隨著風險程度的減少，所付出的代價就越大。因此，從經濟性角度考慮，就應該合理的控制風險程度，通過風險評價，可以確定控制措施采取到什么程度

3風險評價也是保險公司進行承保過程的一個重要環節。通過對投保標的進行風險評價，才能確定是否承保，并根據評價結果確定保險費率。風險評價也是保險人對保戶提供風險管理服務的主要內容。安全指標是通過對大量損失資料的分析，承認損失事故的發生是不可完全避免的前提下，從當前的科學技術水平、社會經濟情況以及人們的心理等因素出發，確定一個整個社會都能接受的最低風險界限，作為衡量企業風險嚴重程度的標準。

在當今世界，風險投資的影響越來越大，尤其是在高新技術產業化的進程中，風險投資扮演了一個重要的角色。它能促進高新技術產業的發展，推動技術創新。總體上看，我國的風險投資業無論是從規模、發展速度，還是從質量上與發達國家都有相當大的差距。風險投資業的市場化機制尚未建立，發展的外部環境不完善，也對風險投資的實踐造成了巨大的障礙。即便如此，風險投資業的驕人成績仍吸引著越來越多的高科技技術企業。但要從眾多的高技術企業中挑選增長潛力高、風險適中的企業進行投資，就需要憑借有效的評價方法來進行篩選，尤其是對項目投資的風險進行評價。風險項目投資具有高風險、高收益的特點，科學、準確的評價方法對項目投資至關重要。傳統的評價方法主觀因素太強，而人工神經網絡模型克服了傳統項目評價依賴專家經驗的弊端，為項目投資風險評價開辟了新途徑。

篇4

摘 要 無形資產評估因為存在著許多復雜的不確定因素，致使評估風險的產生。本文主要論述了無形資產評估的三種方法，探討其評估過程中所產生的種種風險，并就應如何從根源上減少風險提出建設性意見。

關鍵詞 無形資產評估 風險 控制

無形資產指的是企業所擁有的或者是在其控制下的、非實物形態的可辨認非貨幣性資產。無形資產評估風險的存在是因為在其評估過程中存在著許多復雜的不定性因素，這些因素是導致無形資產評估風險存在的主因。本文主要論述了三種常用評估方法中存在的風險，并就應如何處理和控制提出建設性的意見。

1.三種評估方法中存在的風險

1.1市價法

無形資產產權交易市場存在漏洞是采用市價法評估無形資產時所存在的風險。產權交易市場并不成熟，而且缺乏必要的信息，很難找得到相關的交易案例；無形資產的非標準性，導致我們難以確定近似有形資產采用市場法評估時參照的調整差異事項；絕大部分的無形資產都具有壟斷性，在產權交易市場上幾乎找不到一樣的或者是相似的評估參照物。難以想象，不一樣的專有技術、不一樣的專利，不一樣的企業商譽、不一樣的商標要怎樣去調整它們之間的價格差距[1]。

1.2收益法

（1）收益的預測。無形資產的收益是一種超額收益，它只有依附在一定間接的或者直接的物質載體上才能體現出其價值。這種超額的收益指的主要是：無形資產的存在使得與企業有關的產品的產量增加、產品價格的升高或者是銷量的增加，又或者是兩種情況都有；無形資產的存在使得企業的生產成本與經營成本下降，產生了生產與經營用度的節約額。對無形資產未來收益的預測準確與否，與無形資產價值的評估直接相關，而收益被許多不定性的因素所影響，致使收益的實現具有非常的風險性。因為評估師一般都是借助歷史的數據去估算將來的，若是缺少必要的經營信息、缺少相關的歷史數據，無論是預測還是推算都缺少了有說服力的根據。比方說，當前盈利很低或者是沒有盈利，這就說明沒有辦法依據目前的盈利情況去預測將來的盈利水準。

（2）評估范圍的確定。資產評估范圍在決定評估專業人士的工作范圍的同時也直接測算評估結論是不是成立。在有形資產的評估中，評估范圍比較容易被界定，但是無形資產的評估范圍卻是難以界定。這其中的原因主要是很難在時間上對技術資產的經濟壽命進行精準的測定。專家對現行的協議年限或者是法定年限的測定，事實上忽視了無形資產的可持續利用性。因為對以一種新的技術形態存在的無形資產來講，它的經濟壽命是可隨著技術開發的深度加深而不斷延長的。因此，人們通常在界定無形資產的評估范圍的時候結合有形資產。但是有形資產會因為投入規模的大小而產生變化，導致很難界定“評估范圍。

（3）收益期的確定。無形資產收益期的確定，不但要考慮它的經濟壽命，還要考慮法律合同壽命。人們往往以協議的或者法定的有效年限作為根據。但無形資產的經濟壽命，也就是它的收益期受到使用頻率及技術進步的影響。比如假定一項技術型無形資產協議的有效年限是十年，但事實上五年后就可以實現技術更新，這時候新的、更適用的、更先進的或者是效益更高的技術資產出現，而原本的技術即便繼續受到法律的保護，但是卻不再具先有進性，也不能再為所有者帶來可觀的利潤。有些無形資產具備可持續利用性，像有的技術性無形資產，其收益期隨著它的開發、升級可得到延伸。無形資產還具有獨占性，若一項無形資產被所有者獨占時，能夠比較明確的知道收益，但隨著技術被廣泛的傳播，成本、價格方面的獨占優勢就會逐步喪失，收益期也會相對的縮短。

1.3重置成本法

（1）難以確定成新率。固定資產的使用在正常情況下，在大部分時間內他們的損耗都是均勻的，還有對應的方法與技術標準對其進行新舊程度測定，成新率可以比較客觀的被確定。但如固定資產般的有形損耗并不存在于無形資產中，所以無形資產的成新率只能它的使用時間和效用來猜測。在這里無形資產往往會呈現出一種非線性關系。某些無形資產在特定的時間里是呈非線性遞增的，像商譽、商標等；而某些無形資產則是呈非線性遞減，如技術型無形資產就是。曾有專家建議用無形資產所依附產品的壽命周期來推算成新率，但產品壽命周期因種種原因而具有不確定，且許多無形資產在同一時間里和許多產品又有聯系，推算時并不具有可分性[2]。

（2）以歷史成本為根據進行調整所得到的重置成本是不精準且是存在風險的。這是因為無形資產歷史成本具有虛擬性、不完整性與弱相對性。無形資產形成的時間一般都比較長，而且過程很復雜，這就使得財務在對無形資產的核算上并沒有完整的資料可進行參照，也直接導致對其核算的不嚴格。再者，開發無形資產所耗費的資產和無形資產所形成的價值并沒有很直接的關系。某些無形資產的形成并不需要很多的資金投入就可以得到豐厚的收益；某些無形資產開發時耗費驚人，收益卻平平。

2.風險的控制

國內當前的經濟環境下，主要以收益法對無形資產進行評估。在采用收益法評估無形資產時，評估專家應做好下面幾點：（1）最好已經詳細了解了被評估資產的基本情況。這其中包括了公司的大概情況、公司的經營環境、與之有關的法律、無形資產的取得過程及其歷史沿革、與之有關的與無形資產相似的國內或者國際的最新情況等[3]。（2）確定無形資產的分成率。無形資產分成率的確定通常有三種方法：約當投資分成法、成本加權平均分析法、邊際分析法。在現實中的評估中，往往會有這樣一種情況，某一企業正常經營所不可或缺的條件是得到和運用某一無形資產，尤其是可以使得企業起死回生時更是典型。在此種狀況下假定采取的是邊際分析法，要得出無形資產收益期的追加利潤在總利潤中所占的比重，通常都會遇到下面的難點：認為在該無形資產的情況下該企業將會瀕臨倒閉，將生產利潤大部分或者是全都都歸在了超額利潤上，夸大了無形資產的超額利潤。因為無形資產與其他資產的作用很難分清，所以還是采取約當投資分成法比較適合。（3）要注意收集和分析數據資料。因為收益法是推測將來收益并且折現的方法，無形資產又有收益期、收益分成率、收益等預測的復雜性與不確定性，所以在評估的時候重視數據資料的來源及對其進行分析就顯得十分必要。必須要有條不紊、有步驟的進行數據資料的收集與整理工作，反反復復核對與之相關的全部資料，對于歷史資料的真實性要進行嚴格審查與核實，不能只依靠假定或者推測。模型的建立要在歷史財務報表的基礎上，并且要盡可能多的知道企業財務報表中稅務余會計的復雜性，防止資產被重復計算[4]。（4）預測盈利。盈利預測是收益法評估無形資產的核心部分，盈利預測的結果是否準確直接關系到評估結果。預測一定要建立在對被評估的無形資產收益狀況的充分了解的基礎上，要盡量去得到歷史的會計資料、了解主要成本項目的結構情況、變動狀況以及 主要收益來源等。基本的資料要至少三期的歷史數據與五期以上的預測數據。預測完成以后，還要對與之相關的數據來源及其可靠性、預測模型的科學性與合理性以及盈利預測的基本假定等再進行核實。復核要對各項目的變動趨向有科學性的解釋，把謹慎性原則堅持到底。

無論是哪種評估方法都存在著一定的風險，評估專家在對無形資產進行評估時，應要注意選擇方法。通常來說，產特性較為復雜的、目的是投資或者轉讓的、著重資產將來的使用效果的一類無形資產，最好采取收益法進行評估；而資產特性較為簡單的，評估的目的是以成本推銷，并且側重于現實可用程度的無形資產，則最好采用市場法或者成本法。

參考文獻

[1]左治良.我國無形資產評估風險及防范.知識經濟.2009（17）：48.

[2]成文.無形資產評估風險及防范.消費導刊.2010（7）：103.

篇5

關鍵詞：農業技術型無形資產；評估風險；風險類型

中圖分類號：F27 文獻標識碼：A

收錄日期：2014年2月28日

一、農業技術型無形資產評估風險概念

所謂農業技術型無形資產評估風險，是指與資產評估有關的評估機構和評估師，因主客觀原因對評估標的價值作了不當或錯誤判斷，導致評估結果失真，使利益相關者受到經濟損失，評估機構和評估師將承擔訴訟或仲裁，或因敗訴而承擔相應法律責任的可能性。

二、農業技術型無形資產評估風險類型

資產評估風險源于對未來評估事項的不確定性，合理劃分風險類型是評估風險量化的基礎，只有充分揭示農業技術型無形資產評估所面臨的各種風險因素，才能對評估風險做出客觀的評價。農業技術型無形資產的風險類型可定性分為固有風險、執業風險和自然風險；固有風險包括評估管理風險、評估方法風險和評估結果使用風險；執業風險包括道德風險、評估程序不足或受到限制產生的風險、專業勝任能力不足產生的風險；自然風險包括地域性風險、自然災害風險。

（一）農業技術型無形資產固有風險。農業技術型無形資產固有風險是指評估機構和評估師在對農業技術型無形資產評估中，對風險影響因素不能夠直接進行控制，但這些因素的發生可能導致評估結果發生錯誤或重大偏差，使評估報告的使用者受到損失而承擔相應責任的可能性。

1、評估管理風險。農業技術型無形資產評估是市場經濟條件下評估機構和評估師以第三方身份對其價值進行估算，能否獨立、客觀、公正的反映其真實價值，關系到當事各方的切身利益，因此需要國家授權的職能部門予以組織、指導、協調、監督和審查，從而管理環節成為產生評估風險的影響因素之一。近年來，國家職能部門對評估行業進行脫鉤改制和清理整頓，可是行業和地方壟斷依然存在，一些評估機構明脫暗不脫或掛靠行政權力壟斷業務，這些不正當行為嚴重干擾了評估市場正常秩序，損害了評估業務相關方的合法權益，加大了農業技術型無形資產評估管理環節的風險。

2、評估方法風險。農業技術型無形資產評估主要用于對外投資和轉讓，評估對象并非實物資產，而是其未來獲得超額收益的能力，因為農業技術型無形資產的研發投入具有弱對應性、虛擬性和不完整性的特點，使用成本法評估資產重置成本不夠客觀，因為農業技術型無形資產的壟斷性和保密性，很難從市場上獲得類似參照物，加之無形資產產權交易信息匱乏，交易市場弱勢有效，限制了市場法在無形資產評估中的應用，使收益法主導了農業技術型無形資產評估。但是，農業技術型無形資產受到自然環境、技術環境、市場環境和行業競爭等多種因素影響，評估參數預測的不確定性難以測算，預測數據難免出現主觀因素造成的偏差，使得收益額、折現率和收益期的預測值偏離真實情況而導致風險存在。

3、評估結果使用風險。農業技術型無形資產是將資產未來獲得的超額收益按照一定數學模型折現到評估基準日，評估結果是其在評估基準日的時點價值，評估結果時效性強，策略性使用風險大。農業技術型無形資產受到自身特殊因素影響，資產未來獲得超額收益受到交易市場供求關系影響，預測主觀性較大，評估結果是多種假設條件下估算出資產在評估基準日的時點價值，基于農業技術型無形資產評估時效性特點，評估報告書都約定了評估結果有效期為一年。但是，如果評估報告的使用者為了自己的利益，未按照約定范圍使用或者超過有效期范圍策略性使用，將發生評估結果使用風險。

（二）農業技術型無形資產執業風險。農業技術型無形資產執業風險主要指評估機構和評估師在執業中因違反職業道德或業務素質未達到專業要求導致評估結果失真，使利益相關者受到損失，評估機構和評估師承擔訴訟或仲裁，或因敗訴而承擔相應法律責任的可能性。

1、職業道德風險。注冊資產評估師在執業過程中應當遵循職業道德準則，做到誠實正直，勤勉盡責，恪守獨立、客觀、公正的原則。由于人員道德水平差距，評估機構和評估師在評估農業技術型無形資產時，無原則的遷就委托方的不合理要求，忽視資產以市場價值為判斷尺度，明顯高估或低估資產實際價值，采取壓價、壟斷等不正當競爭的手段承攬業務；明知自身行為不符合評估準則要求，仍然出具不公允的評估報告的行為而產生職業道德風險。

2、評估程序不足或受到限制的風險。評估機構和評估師在評估農業技術型無形資產時應當遵循資產評估基本準則，根據業務具體情況履行適當的評估程序，對資產價值做出客觀、合理的價值判斷，不允許在未履行評估程序或者評估程序受到限制的情況下不采取相應替代程序而出具評估報告。但是，在實際操作中，一些評估機構和評估師在不履行相應的評估程序或者在進行現場勘查或者收集評估資料受到限制的情況下不采取相應的替代程序而出具評估報告，這種情況將會產生在利益相關方受到損失發生訴訟或者仲裁時，因評估機構和評估師沒有履行相應評估程序，成為承擔法律責任的依據。

3、專業勝任能力不足的風險。農業技術型無形資產評估受到自身特殊性影響，評估的復雜性和風險性很高，評估師必須擁有關于農業專利、農業專有技術方面的專業知識和實踐經驗，專業勝任能力成為評估師出具合理專業判斷和公允評估結果的基本保證。例如，農業專有技術評估，信息資料和技術經濟參數收集比較困難，加上農業技術型無形資產受到地域環境、自然災害等環境因素影響，評估結果的不確定性增加，這些因素對農業技術型無形資產評估的專業素質和綜合素質帶來考驗，專業勝任能力不足可能發生執業風險。

（三）農業技術型無形資產自然風險。農業技術型無形資產自然風險是指來自自然界的突發事件（氣象災害、自然災害等）或者固有限制（地域環境、季節交替等）帶來經濟損失的可能性。

1、自然災害風險。農業技術型無形資產的價值通常以其承載體農產品的價值來體現，由于農業生產受到諸多自然災害的影響，這給農業技術型無形資產的評估價值帶來難以預測的風險。一場冰雹可能導致農作物顆粒無收，一場水災可能造成大片農田被淹沒，因此對農業技術型無形資產評估需要考慮其抵抗自然界突發事件的自適應能力，如果一項農業技術型無形資產在相同條件下，其抵御自然災害或者自我恢復能力強，自然災害風險就較低，反之自然災害風險就高。

2、地域性風險。農業生產受氣候、水分、土壤等自然環境影響較大，使得農業技術型無形資產依托的農產品地域性特征顯著，只能在局部范圍內推廣，例如：新疆吐魯番哈密瓜聞名華夏，其口感芳香甘甜、耐人尋味，是受到吐魯番盆地干旱少雨、晝夜溫差較大、氣候環境獨特的影響，農業生產的地域性特征使得農業技術型無形資產實現價值的空間減小，地域性限制越明顯，評估風險越高。

三、農業技術型無形資產評估風險應對措施

（一）加快評估法律法規體系建設，健全評估管理體制。我國資產評估法律法規體系不夠完善，評估管理條塊分割、多頭管理現象突出，應盡快頒布《中華人民共和國注冊資產評估師法》和《資產評估管理法》，明確農業技術型無形資產評估原則，規范評估業務操作規程，加強政府的制度性管理和約束，健全評估管理體制，減少政府行政干預，強化行業自律管理，使資產評估有法可依，從根本上解決評估市場混亂問題。

（二）加強內部風險管理，建立內部質量控制制度。評估機構和評估師執業水平能力的高低是產生評估風險的重要因素，評估機構應完善內部風險管理制度和質量控制制度，在內部風險管理上嚴格執行三級復核制度，完善評估復核的具體辦法，明確復核事項的重點，制定評估業務操作規程和風險控制指南；在評估業務質量控制上，評估機構要建立項目承接、制定計劃、現場勘察、評定估算、出具報告以及檔案管理各階段的質量控制，明確規定各階段工作重點和風險防范需要注意的問題。通過制定相關內部管理制度，提高評估機構和評估師的風險意識，把風險降低到最小限度。

（三）建立資產評估風險保障制度，提高風險防范意識。建立評估機構風險保障制度，增強評估機構和評估師的責任和風險防范意識，在評估風險管理中發揮著越來越重要的作用。在評估過程中，評估機構和評估師通常難以負擔由于評估失敗造成相關當事人經濟損失帶來的賠償責任，購買職業責任保險是資產評估機構一項重要的風險規避措施，盡管保險不能免除可能受到的法律訴訟，但能減少訴訟失敗時評估機構發生的財務損失。我國應借鑒國際上的先進經驗，評估機構應當購買職業責任保險，提取職業風險基金。當評估機構和評估師發生職業風險時，由保險公司負責理賠，不足部分使用提取的專項風險基金，這樣既可增強評估機構的風險意識和責任感，又可切實維護客戶的合法權益。

主要參考文獻：

[1]韓靜.資產評估風險預警機制研究[J].金融市場，2012.

篇6

一、收益法在無形資產評估中的工作風險

資產評估收益法，是指通過估測被評估資產未來預期收益的現值來判斷資產價值的各種評估方法的總稱。評估的工作風險，主要是由于在評估工作過程中采用的評估方法、對委托方誠實程度的了解不夠、選用的資料及資產評估人員個人經歷、經驗限制而導致的誤判等引起的風險，屬于評估人員主觀原因引起或評估手段失誤而產生的風險。這種風險，在無形資產采用收益法進行的評估工作中顯得尤為突出。當評估機構和評估人員一旦承接了無形資產評估項目，收益法評估的工作風險也就主要集中地反映在對有關參數的預測和貨幣衡量上。

收益法的基本參數主要有：一是被評估資產的預期收益；二是折現率或資本化率；三是被評估資產取得預期收益的持續時間。能否清晰地把握上述三要素成為能否運用收益法的基本前提。從這個意義上講，應用收益法必須具備的前提條件是：（1）被評估資產的未來預期收益可以預測，并可以用貨幣衡量；（2）資產擁有者獲得預期收益所承擔的風險也可以預測，并可以用貨幣衡量；（3）被評估資產預期獲利年限可以預測。在對無形資產進行價格評估時，看似只有幾個參數，似乎很簡單，其實幾乎每個參數都難以確定，或者說難以準確把握。如預期收益是采用凈現金流量還是凈利潤，用稅前利潤還是稅后利潤；無風險報酬率是采用國債利率還是銀行利率，采用短期利率還是中長期利率等都有爭議；行業報酬率、社會平均報酬率等數據本身的準確含義就很難界定，等等。由于類似問題的存在，使得收益法預測和衡量參數的不確定性大大增加，評估工作風險自然就隱藏其中了。

2004年1月9日證監會下發《關于進一步提高上市公司財務信息披露質量的通知》第六條指出，為防止公司和評估人員高估未來盈利能力并進而高估資產，對使用收益現值法評估資產的，凡未來年度報告的利潤實現數低于預測數10%～20%的公司及其聘請的評估人員，應在股東大會及指定報刊上作出解釋，并向投資者公開道歉；凡未來年度報告的利潤實現數低于預測數20%以上的，除要作出公開解釋并道歉外，中國證監會將視情況實行事后審查。“資產評估是一門十分靈活的預測藝術”，用收益法評估無形資產價值，是最科學的方法。當無形資產復雜的不確定因素與其“預測”相結合，使得評估機構和評估人員在整個評估工作過程中面臨著更大的工作風險。采用收益法評估無形資產，結果上下可能差幾十倍，因而“20%大限”激起了評估業的強烈反應。甚至有人預言“如果按這要求，大多數項目都要出問題，挨板子。”我們知道，證監會提出“20%大限”，用意是為了防范弄虛作假，提醒評估人員謹慎保守些，不能再根據客戶需求，隨意調節結果。但是，即便是完全按照有關規定進行無形資產評估的有關評估機構和評估人員，仍然在使用收益法評估無形資產的過程中，面臨著“20%大限”這一規定的巨大工作風險，更何況無形資產的外部環境也在不時地發生變化。因此，評估機構和評估人員必須審慎，盡可能地防范和規避其工作風險。

二、收益法在無形資產評估中存在工作風險的原因

收益法被公認為是最適合無形資產評估的方法，但由于其本身的技術要求，使得評估工作過程中存在工作風險。

（一）無形資產的評估范圍難以界定。資產評估的范圍一方面直接決定了評估的工作范圍；另一方面更重要的是可以直接測算說明評估結論是否成立。實際上，在時間上是很難對技術型資產的經濟壽命進行可靠的測定。對一種新的技術型無形資產來說，它的經濟壽命是隨著技術開發的深度而不斷延伸的，用現行的法定年限或協議年限去測定，實際上忽略了無形資產的可持續利用性。因此，我們常在評估中結合有形資產去界定無形資產的評估范圍，但有形資產會隨著投入規模的大小而發生變化，使得無形資產的評估范圍難以界定。

（二）無形資產的收益期限具有不確定性。無形資產收益期限的確定，要考慮兩個因素：一是法律合同壽命；二是經濟壽命。我們常常以法定或協議的有效年限為依據，但無形資產的收益期限要受技術進步和使用頻率的影響。而無形資產的價值主要表現為超額利潤。比如，一項技術型無形資產法定有效期為50年，但實際上3、5年后就會完成技術更新，原有的技術即使繼續受法律保護，也已不再具有先進性，不能再為所有者帶來超額利潤了。有的無形資產具有可持續開發的特性，如一些技術性無形資產的收益期限隨著其開發、升級而得到延長。另外，無形資產具有獨占性，當一項無形資產被所有者獨占時，可以較為清楚地確定收益，但隨著技術廣泛傳播，其價格、成本方面的獨占優勢逐漸喪失，收益期限也相應縮短。這些都使得無形資產在評估基準日的未來收益期限難以預測，具有不確定性。

（三）無形資產的收益難以預測、衡量或不相匹配。無形資產的收益是一種超額收益，它必須依附于直接的或間接的物質載體來表現它的價值。由于無形資產的存在使企業相關產品的產量、銷量增加或產品價格提高，或兩者兼而有之；由于無形資產的存在降低了企業的生產經營成本，形成了生產經營費用的節約額；自創無形資產的存在和應用節約了無形資產特許權使用費。而一個企業取得的收益，除了有資產的因素外，更重要的是與人的素質以及市場和機遇等因素有關。企業的收益是資產與人綜合作用的結果。因而，在評估實踐中要單獨確定某項無形資產帶來的收益是很難甚至是無法分清的。對無形資產未來收益預測是否準確，直接影響到無形資產價值的評估，而收益又受到很多不確定因素影響，使得收益的預測帶有極大的風險。其次，對于委托方擁有的但未對委托方帶來收益的無形資產，資產評估人員往往難以掌握，這樣也就造成了資產收益不相匹配的風險。

（四）單項無形資產的收益分成率難以測定。無形資產必須與有形資產相聯系，否則就不能獨立產生經濟效益。在預測無形資產收益時，我們的做法是將有形資產和無形資產放在一起，然后通過收益分成率這個指標，將無形資產的價值從綜合價值中分離出來。由于直接測定無形資產的分成率較為困難，通常先測算有形資產的分成率，再計算無形資產分成率。但這樣做的結果是，分離出來的收益并不單是一種無形資產帶來的，它是除有形資產以外各種無形資產價值的綜合反映，單項無形資產的收益分成率難以測定。

以上是在采用收益法對無形資產進行評估過程中存在的主要工作風險。除此之外，如市場變化帶來的不確定性；市場供求及無形資產競爭情況；無形資產使用狀況、機會成本；客戶背景、行業性質、經濟規模、管理水平、經營前景；評估人員執業水平、工作經驗方面的欠缺等，也增加了收益法對無形資產評估的工作風險。

三、收益法在無形資產評估中存在的工作風險防范措施

針對收益法在無形資產評估中存在的工作風險，主要應采取以下措施，進一步防范和規避風險，提高評估工作質量。

（一）加強評估人員風險意識，詳細了解被評估無形資產的基本狀況。資產評估工作是由評估人員具體操作的，評估風險的大小很大程度上取決于評估人員。因此，必須加強評估人員隊伍建設，在評估具體操作中，嚴格按評估規范意見操作。評估人員應詳細了解包括無形資產的取得過程、歷史沿革和公司概況；公司經營環境及市場情況；無形資產的產權狀況；相關法律、法規及會計特別規定情況；相似無形資產的最新狀況等情況。有些時候，委托方往往因為自己的利益，將失真失實的無形資產的歷史資料提供給評估人員，而評估人員又常常難以查清這種有目的的失真失實資料，這就給無形資產的評估帶來了工作風險。因而，資產評估人員要有風險意識，對委托方提供的資料嚴格審查，并借助合法的、有效的、輔助的手段，識辨委托方提供資料的真實性。

（二）加強對有關數據資料的收集和分析。要有步驟、有條不紊地組織數據資料的收集整理工作，要反復查對全部有關資料，從一切來源到每份制表單上所引用的每一條數據均應反復細心查對，避免差錯。由于收益法是預測未來收益并進行折現的方法，而無形資產在預期收益、收益期限、收益分成率預測等方面又存在復雜性和不確定性，所以在評估時一定要重視數據資料的來源，并對其進行分析。由于不可能得到十分完整的市場資料，僅按手頭上所掌握的全部資料而得出的結論并非一定準確可靠。因此，應從多方面、多角度考慮發生某種誤差的可能性及其相應的、適當的處理措施，避免在模型問題上走捷徑，要將模型建立在歷史財務報表的基礎上，并充分了解企業財務報表中會計和稅務的復雜性，避免重復計算資產。在收益的預測時，要根據適度績效情景，正確地把握資產的收益。并且，資產評估人員應對委托方提供的被評估資產范圍進行認真清查、嚴密分析、合理推斷，包括需要進行相關的市場、行業等調查，理順資產與收益的匹配關系。

篇7

1.1靜態風險評估

靜態風險評估是根據傳統風險評估的具體方法對較短時間內系統存在的各種風險進行科學的評估，評估的整個過程并不連續，評估的對象主要選擇相對靜止的系統。

1.2動態風險評估

動態風險評估是對網絡進行安全風險的評估，并研究系統變化的過程和趨勢，將安全風險與具體的環境相互聯系，從宏觀的角度了解整個系統存在的安全風險，把握風險的動態變化，風險評估的過程是動態變化的過程。對于電信網絡而言，客觀準確的進行安全風險的評估是整個電信安全管理的重要前提。風險評估是風險管理的初級階段，目前，我國的電信網絡仍然采用傳統靜態評估的方式，最終對安全風險的評估只是針對特定的時間點。但是，靜態風險評估不能有效的體現評估風險各種變化的趨勢，評估結果相對比較滯后。動態風險評估加強了靜態風險評估的效果，能夠反映較長時間安全風險具體的變化情況。在動態風險進行評估的過程中，如果系統出現安全問題，可以及時的進行處理，展現了整個風險評估的變化過程，保證了網絡的安全。對電信網絡實施動態風險評估，具有非常復雜的過程，評估的結果具有參考價值。電信網絡安全風險評估的研究文/向宗旭隨著電信技術的不斷發展和深入，電信網絡與現代的互聯網存在較為緊密的聯系，這也為電信網絡帶來巨大的安全風險。電信網絡屬于我國通信網絡中的重要內容，直接關系到我國社會的穩定。本文主要探討了電信網絡的安全風險評估。

2電信網絡安全風險評估具體的實施過程

對電信網絡進行安全風險評估的工作，其對象可以針對電信網絡的某一部門也可以是整個電信網絡。風險評估的內容包含技術的安全問題以及網絡管理的安全問題。技術安全主要包括網絡安全以及物理安全等，管理安全主要包括管理制度以及人員管理等。對電信網絡實施安全風險的評估主要按照以下幾個步驟。

2.1風險評估前的準備工作

在進行安全風險評估之前，首先需要獲得各個方面對安全風險評估的支持，相互配合，確定需要評估的具體內容，組織負責進行安全風險評估的專業團隊，做好市場的調查工作，制定評估使用的方法，只有做好一系列的準備工作才能為接下來的安全風險評估奠定基礎。

2.2對資產的識別工作

在電信網絡中的資產主要包括具有一定使用價值的資源，電信網絡的資產也是進行安全風險評估的主要對象。資產存在多種形式，有無形資產和有形資產，還可以分為硬件和軟件。例如，一些網絡的布局以及用戶的數據等。做好資產識別的工作能夠確定資產具體的安全情況。對資產進行安全風險的評估可以綜合分析資產的價值以及安全狀況，還可以考慮資產具有的社會影響力。社會影響力是指資產一旦失去安全的保障會對整個社會帶來影響。

2.3威脅識別工作

威脅的識別是指對電信網絡內部資產存在破壞的各種因素，這種潛在的破壞因素客觀存在。對資產產生威脅的主要原因包括技術、環境以及人為。技術因素是指網絡自身存在的設備故障或者是網絡的設計存在疏漏。環境因素是指環境中的物理因素。人為因素是指人為造成的威脅，包括惡意和非惡意。通過對威脅的動機以及發生幾率描述網絡存在的各種威脅，威脅識別工作的重要任務就是判斷出現威脅的可能性。

2.4脆弱性識別工作

網絡資產本身具有脆弱性的特點，包括網絡存在的各種缺陷。只有網絡存在各種缺陷和弱點才有可能出現各種威脅的因素，如果沒有威脅的產生，網絡具有的脆弱性并不會損害資產。但是只有系統較少自身的脆弱性才會較少資產被威脅的可能性，使系統的資產更加安全，從而有效的較少損失。對電信網絡進行脆弱性識別工作可以從技術和管理上展開，主要以資產的安全作為核心內容，針對資產的不同特征，進行脆弱性的識別工作。

2.5確認具體的安全措施

對電信網絡進行的安全風險評估需要做好安全措施的確認工作，保持有明顯效果的安全措施，對失去效果的安全措施予以改正，避免內部資產的浪費，杜絕重復使用安全措施。一旦發現不合理的安全措施需要及時檢查安全措施能否被取消，并制定更合理的安全措施。確認安全措施的工作主要分為預防性和保護性兩種。預防性措施主要負責減少威脅性因素產生的可能性，保護性措施是為了減少資產的損失。

2.6風險分析工作

風險分析工作主要對電信網絡的資產識別、脆弱性識別、威脅識別以及存在風險對資產造成的損失進行綜合性的分析，最終得出準確的風險值，結合制定的安全措施。分析資產承受風險的最大范圍。如果出現的安全風險在資產承受的范圍之內，需要繼續采取安全保護措施，如果安全風險超出了資產承受的范圍，這就需要對風險進行控制，制定更可靠的安全措施。

2.7整理風險評估記錄

對電信網絡實施安全風險評估工作的整個過程，需要進行風險評估的準確記錄，包括評估的過程以及評估的最終結果，制定系統的安全風險評估報告。為安全風險評估的工作提供可靠的科學依據。

3結束語

篇8

關鍵詞：風險評估；管理工具；分類；選擇；設計

中圖分類號：TP311文獻標識碼：A文章編號：1009-3044(2011)30-7388-02

Research on Risk Assessment and Management Tools

WANG Fu-hua,YAO Jie

(Chongqing Communication Institute, Chongqing 400035, China)

Abstract: This article has carried on the detailed introduction to the risk assessment management tools, and introduced how to choose and design risk assessment management tools.Finally,it offers some ideas for information security assessment practice.

Key words: risk assessment; management tools; classification; choice; design

目前，網絡安全問題已成為影響社會經濟發展和國家發展戰略的重要因素，信息安全評估工作的重要性不言而喻。信息安全風險評估工作是個極復雜又具有挑戰性的工作，需要細致的工作，大量的支持性的專業知識的支撐，項目管理也比較復雜，因此如果要更好的完成信息安全風險評估工作就必須有一套非常實用的信息安全風險評估管理工具。一套使用的風險評估管理工具將極大地提高信息安全風險評估工作的效率和結果的正確性。

1 風險評估與管理工具分類

風險評估與管理工具是根據系統關鍵信息資產、資產面臨的威脅以及威脅所利用的脆弱點來確定所面臨的威脅、對風險情況進行全面考慮，估算出信息系統的風險情況，且在風險評估的同時根據面臨的風險提供相應的控制措施和解決方法。

1.1 基于國家、政府頒布的信息安全管理標準或指南

目前世界上存在多種不同的風險分析指南和方法，不同的風險分析方法其側重點和關注點各不相同。如：

NIST（National Institute of standard and Technology）的FIPS 65；

DOJ（Department of Justice）的SRAG；

GAO（Government Accounting Office）的信息安全管理的實施指南。

1.2 基于專家系統的風險評估工具

基于專家系統的風險評估工具主要通過建立專家系統和外部知識庫，以調查問卷的方式收集組織內部信息安全的狀態。對重要資產的威脅和脆弱點進行評估，產生專家推薦的安全控制措施。

基于專家系統的風險評估工具通常可以自動形成風險評估報告，根據風險的嚴重程度提供風險指數，同時分析可能存在的問題，并提供相應的處理方法。

COBRA(Consultative Objective and Bi-functional Risk Analysis)是一個著名的基于專家系統的風險評估工具，它是一個問卷調查式的風險分析工具，由三個部分組成：調查問卷生成、風險測量和結果分析生成。

基于專家系統的風險評估工具除COBRA之外，比較知名的還有@RISK、BDSS（The Bayesian Decision Support System）等工具。

1.3 基于定性或定量算法的風險分析工具

風險分析作為重要的信息安全保障措施，是信息安全體系不可或缺的一部分。而信息安全風險評估的算法作為風險評估的重要手段，很久以前就被提出并了大量的研究工作，其中一些算法已經成為正式的信息安全標準的一部分。早期的風險評估算法大部分僅僅作定性的分析，對風險產生的可能性和風險產生的后果只能按照高、中、低來區分，這種定性的方式無法準確地估算出風險產生的可能性和損失量。隨著人們對信息安全風險了解的不斷深入，獲得了更多的經驗數據，因此人們越來越希望用定量的風險分析方法反映事故發生的可能性。定量的信息安全風險管理標準包括美國聯邦標準FIPS31和FIPS191，提供定量風險分析技術的手冊包括GAO和新版的NISTRMG。

由于數據收集的困難，目前還沒有完全定量的風險評估工具，現有的風險評估工具要么在定性方面有所側重，要么在定量方面有所側重。如CONTROL-IT、Definitive Scenario、JANBER都是定性的風險評估工具，而@RISK、Risk-CALC、CORA是半定量的風險評估工具。

2 常見的風險評估管理工具比較

CRAMM：CRAMM是1985年由英國CCTA開發的風險評估系統。CRAMM包括全面的風險評估工具，并且完全遵循BS7799規范，包括依靠資產的建模、商業影響評估、識別和評估威脅和弱點、評估風險等級、識別需求和基于風險評估調整控制等。CRAMM評估風險依靠資產價值、威脅和脆弱點，這些參數值是通過CRAMM評估者與資產所有者、系統使用者、技術支持人員和安全部門人員一起的交互活動得到，最后給出一套解決方案。

COBRA：COBRA是1991年由C&A System Security公司推出另外一個風險評估工具，用來進行信息安全風險管理方法，提供了一個完整的風險分析服務，并且兼容許多風險評估方法學（如定性分析和定量分析等）。它可以看做一個基于專家系統和擴展知識庫的問卷系統，對所有的威脅和脆弱點評估其相對重要性，并且給出合適的建議和解決方案。此外，它還對每個風險類別提供風險分析報告和風險值。

@RISK是美國Palisade公司的一款軟件產品，在世界范圍內廣泛使用，是構架在微軟Excel之上的一套風險分析工具。在@RISK中，提供了一套完整的風險分析工具，包括可以自行修訂的統計分配模型、蒙特卡羅檢測、敏感性分析、環境分析、極限值測試等常用的風險評估模型。@RISK建立的流程包括：

1) 在Excel上建立需要分析的問題模型；

2) 確定需要輸入模型的不確定值；

3) 通過模擬程序，對可能的參數范圍進行分析，以@RISK內置的概率分布函數表示，然后確定模型的輸出結果；

4) 產生需要的資料圖表進行分析。

表1是對一些主要風險評估工具的比較。

表1

3 選擇風險評估工具的原則

1) 根據實際環境和企業的需求選擇

2) 風險評估工具應當能夠精確地映射網絡、應用以及進行攻擊測試

怎樣了解一個工具的實際功效？最有效的辦法是搜索Web，查看媒體的評論，要求廠商提供其他客戶的使用情況說明。正式購買之前最好測試一下工具的性能。大多數廠商都提供限制了功能的試用版本，通常是限制IP地址的范圍。

3) 不僅要注意風險評估工具為目標平臺提供的攻擊腳本數量，而且要留意它們的更新速度。

純粹的數量有時不能說明問題，因為有些廠商可能把許多相關的漏洞看成一個，有的廠商則把它們算作多個漏洞。一些較為優秀的風險評估工具，如CVE，把每一種測試都鏈接到了一個標準的漏洞案例ID。留意風險評估工具的更新頻率，看看它是自動更新還是需要手工執行更新，還有，新的安全威脅發現之后它要多長的時間才能推出相應的更新？

4) 報告數量的多少，內容翔實程度，是否允許導出報表

只能內部使用的掃描結果報表也許能夠滿足最初的需要，但如果經常對系統進行風險評估，最好能夠將生成的報表導出到外部數據庫，以便執行對比和分析。

5) 是否支持不同級別的入侵測試以避免系統掛起

所有風險評估工具都有這樣的警告：入侵測試過程可能產生DoS攻擊，或者導致被測試的系統掛起。通常，在高訪問量期間對擔負關鍵任務的系統不應該運行風險評估工具，風險評估工具本身可能帶來問題，引起服務中斷或系統被鎖死。大多數高質量的風險評估工具允許執行侵害程度較小的入侵測試，避免造成系統運行中斷。

6) 是否需要在線服務？

有些風險評估工具以在線服務的形式提供。這種形式的優點是不占用硬件資源，可以從任何地方運行和獲取報表，自動執行更新，一般而言總擁有成本也較低。缺點是服務的運行速度一般較慢，不象客戶端產品那樣容易定制。最后還有一點是，如果采用在線服務，則掃描出來的網絡漏洞清單還將落入第三方的手中。

4 信息安全風險評估管理工具設計

信息安全風險評估管理工具的設計必須考慮到參考模型可能存在的變化，或者計算方法發生變化而導致的工具適應性的問題，還應該具有項目管理功能，統計分析，報表，輔助評估專家系統，查詢，資產管理，更應該加入風險管理與控制模塊，如果能提供與其他資產管理軟件的接口就更好了。

為了適應評估工作模式，信息安全風險評估工具的架構應該選擇B/S結構，評估小組和評估人是最終用戶，系統管理員對信息安全風險評估工具進行維護和管理。系統架構如圖1。

信息安全風險評估工具中應該包含威脅參考庫、脆弱性參考庫、資產分類庫、可能性定義庫，后果定義庫、控制措施庫等評估輔助專家系統庫。這些庫都可以自己定義，便于使用。評估小組可以在評估的各個時期都能夠得到幫助。

資產管理模塊應該包含資產的各種基本信息，包括位置、責任人、所屬系統以及各種相關信息。根據不同資產的分類，相關信息也不同，這些相關信息都是有助于系統安全的相關信息。如資產的生命周期、系統補丁信息等。

信息安全風險評估工具需要實際使用的檢驗，將在不斷滿足客戶的需要的同時逐漸發展、成熟。通過不斷的改進和發展，相信信息安全風險評估工具將極大地推動信息安全風險評估工作的進行。

參考文獻：

[1] 陳友初.信息安全風險評估的探討與實踐[J].廣西科學院學報,2006,22(4):367-369.

[2] 杜輝,劉霞,汪厚祥.信息安全風險評估方法研究[J].艦船電子工廠,2006,26(4):65-69.

[3] 張建軍,孟亞平.信息安全風險評估探索與實踐[M].北京:中國標準出版社,2005.

[4] 趙戰生,謝宗曉.信息安全風險評估[M].北京:中國標準出版社,2007,8.

[5] 馮登國,張陽,張玉清. 信息安全風險評估綜述[J].北京:通信學報,2004,25(7):10-18.

[6] 關義章,戴宗坤.羅萬伯,等.信息系統安全工程學[M].北京:電子工業出版社,2002,12.

篇9

關鍵詞 信息工程安全系統 風險評估 控制

中圖分類號：X92 文獻標識碼：A

對項目風險管理來說，風險評估是對信息工程安全資產所面臨的威脅、存在的弱點、造成的影響及三者綜合作用所帶來風險的可能性的評估。作為項目風險管理的基礎，風險評估是確定信息工程安全需求的一個重要途徑，屬于信息工程安全管理體系策劃的過程。

1 風險評估概述

風險評估是在綜合考慮成本效益的前提下，通過安全措施控制風險，使殘余風險降低到可以控制的程度。因為任何信息系統都會有安全風險，所謂安全信息系統，實際上指信息系統在實施了風險評估以后做出了風險控制，仍然存在殘余風險是可被接受的信息系統我們就稱為安全信息系統。追求信息系統安全就不能脫離全面完整的信息系統安全評估，就必須運用信息系統安全風險評估的思想和規范對信息系統進行安全評估。

風險評估的主要任務包括：（1）識別面臨的各種風險。（2）評估風險概率和可能帶來的負面影響。（3）確定承受風險的能力。（4）確定風險消減和控制的優先等級。（5）推薦風險消減對策。

1.1 信息工程安全系統項目風險評估概述

信息工程安全系統項目風險管理是圍繞信息工程安全系統項目風險而展開的評估、處理和控制的活動。其中最重要的基本要素是風險評估，因為基于風險評估可以對政府部門信息工程安全系統項目有系統全面的了解，找出潛在問題，分析原因，判斷嚴重性和相關影響，以此確定信息工程安全系統建設的需求。項目是一個過程，從項目的開始到結束，風險評估要求風險評估貫穿到信息系統的整個生命周期提出了三個環節要進行風險評估：一是信息系統規劃設計階段，二是系統驗收階段，三是信息系統運維階段。管理的不確定性，有限的資源和千變萬化的危險和漏洞，使得所有的風險不可能完全緩解。一個信息系統的項目專業人員必須要協同用戶、項目經理對信息系統各種潛在的影響進行評估，使其達到一個合理水平。

由于種種原因，信息安全系統存在著很多漏洞及缺陷，如黑客攻擊或系統本身的原因，會造成系統安全事件，給系統帶來不好的影響。因此，要對項目的信息安全風險進行相應的評估，評估的主要內容包括系統的安全漏洞和系統可能帶來的負面影響，根據相應的等級來進行劃分，評估出可能發生的安全風險。

1.2 信息工程安全系統項目風險評估過程

一般來說，系統信息工程安全項目風險評估分為四個不同的階段。

第一個階段：風險評估準備階段。

（1）根據相應的風險評估準則，調研項目的實際情況，然后制定風險評估的計劃表。按照實際操作來看，計劃通常要由三個重要的表格組成，這三個表分別是：《信息工程安全系統的描述報告》、《信息工程安全系統的分析報告》和《信息工程安全系統的安全要求報告》。通過這些表格及具體的計劃表，要對項目的風險評價進行計劃。計劃的內容一般要設計如下范圍：目的、范圍、目標、組織架構、經費預算、進度安排。制定好計劃書后要及時匯報給決策層。如果決策層有異議，應該及時根據意見加以修改。只有獲得決策層的審核和同意后，計劃書才能獲得批準，才能夠獲得相應的資源加以執行。

（2）結合項目的具體實際，對整個風險評估流程加以確定。不同的項目風險評估流程是不一樣的，必須要結合具體的項目實際對評估的流程加以確定，如何工作，如何評估，評估結果如何衡量等。這個步驟，通常應該形成一個書面的《風險評估程序》，便于后面工作人員的具體操作。

（3）根據項目具體實際，選擇特定的風險評估方法和工具。風險評估方法和工具千差萬別，具體的某個項目，有針對性地 選擇成本低，效果好，結合項目實際的具體方法和工具。

第二個階段：風險因素識別。

（1）對所有需要保護的信息資產加以清點。根據上文確定的三個相關報告，對單位或項目所有的資產加以清點，找出重要的、對安全有重大影響的信息資產并造冊，形成書面的《需要保護的資產清單》。（2）結合相關工具，識別出可能面臨的威脅。一般來說，目前信息安全行業都有相應的較為全面的威脅或漏洞庫，結合這些數據庫，對單位的具體資產進行詳細的清點和評估，就能找出可能面臨的威脅，編制書面的《威脅列表》。（3）根據上面的工作，參照漏洞庫，可以對整個單位信息資產面臨的脆弱性加以評估，形成書面的《脆弱性列表》。

第三個階段：風險程度分析。

（1）確認單位目前已經采用的安全防范措施。通過書面形式，對單位目前已經有的具體防范措施加以總結，填寫到《已有安全措施分析報告》。（2）對可能面臨的威脅的動機加以分析。面臨的威脅的動機一般分為：涉及利益者的攻擊、對系統好奇、對自己的技術自負等，要形成書面的《威脅動機分析報告》。（3）分析單位可能面臨的威脅行為的能力。這一步主要是對可能面臨威脅的具體評估，包括強度、廣度、深度等。（4）分析信息資產的價值。信息自查的價值主要從以下幾個方面來評估：關鍵性，價格，敏感性等。（5）分析可能面臨的影響的程度。具體包括：資產損失，任務妨害，人員傷亡等。

第四個階段：風險等級評價階段。

（1）對威脅的動機加以評價，采用五級劃分，分別是：“很高、較高、中等、較低、很低”。（2）對威脅的行為能力加以評價，采用五級劃分，分別是：“很高、較高、中等、較低、很低”。（3）對系統脆弱性加以評價，采用五級劃分，分別是：“很高、較高、中等、較低、很低”。（4）對資產價值加以評估，采用五級劃分，分別是：“很高、較高、中等、較低、很低”。（5）對影響程度加以評價，采用五級劃分，分別是：“很高、較高、中等、較低、很低”。（6）對所有因素加以綜合評價，采用五級劃分，分別是：“很高、較高、中等、較低、很低”。

一般來說，有公認的具體算法。但各單位具體實際情況不一而足。所以，對于公認的算法可以進行修改，或者提出自己認為更符合實際情況的算法。

2 信息工程安全系統項目風險控制

2. 1 風險控制概述

風險評估的目的是進行風險控制，進而最大可能排除系統面臨的風險。所以，在信息風險評估之后，就要進行風險控制，其目的是為了盡可能降低系統面臨的風險和漏洞。而系統的風險和漏洞，是不可能完全排除的，不論下多么大的成本。只能在一定范圍內，盡可能控制在可以接受的范圍。一般來說，為了控制可能發生的風險，主要采用以下幾種方式：（1）規避風險。規避就是避免使用。例如有一些信息資產面臨很大的風險，如果完全消除風險，需要很大的成本，需要更多的經濟投入等。那么，一個比較可行的辦法就是避免使用這樣的資產，或者一些敏感的、需要保密的數據，不在這些資產上使用，從而規避掉可能發生的風險。（2）轉移風險。這種方式的思路，就是將已經面臨風險的資產轉移到風險較低，或者沒有風險的資產上。如某單位需要處理技術上足夠復雜，沒有能力處理的業務時，可以通過尋求外包給第三方專業機構的形式，要求對方做好風險處理，從而達到轉移風險的目的。（3）降低風險。降低風險就是在資產面臨風險時，通過各種手段和方法來降低其面臨的風險。

2.2 信息工程安全系統項目風險控制過程

在信息工程安全項目管理中，風險控制可以劃分為四個階段，分別是：現有風險判斷、確定風險控制目標、采取選擇和實施具體的風險控制措施。

在不同的階段，進行不同的工作流程和具體內容，分別如下：

第一階段：預備階段。在本階段，主要是對單位現有的信息資產激進型識別、編號、評估并造冊，形成書面報告。

第二階段：現存風險判斷。在本階段，通過各種工具和方法，對系統信息資產面臨的風險加以評級。一般來說，風險的評級主要分為兩種：可接受的系統風險和不可接受的系統風險。然后，對系統目前存在的一些風險加以判斷，到底是否能夠接受。

第三階段：確定風險控制目標。本階段主要的工作流程和內容包括：（1）分析風險控制需求。針對上面提出的不可接受的風險，分析其具體需求；并分析哪些是可以做到，哪些不能做到；如果做到，需要具體的成本和措施等。（2）確立風險控制目標。完全搞清楚其具體需求后，就可以確定風險控制的目標。

第四階段：控制措施選擇與實施。

控制措施選擇階段的工作流程和內容如下：（1）選擇風險控制方式。確定目標后，就可以采用具體的風險控制方式。選擇方式時必須考慮到單位的具體情況，能否實現以及經濟投入成本、投入產出比等。（2）選擇風險控制措施。控制措施實施階段的工作流程和內容如下：①制定風險控制實施計劃：選擇好相應的風險控制方式后，即可制定具體的實施計劃。實施計劃必須為書面，便于后面的審查以及對照。②實施風險控制措施：采用規避、降低、轉移等具體方式來控制。實施過程應該遵循相應的工作流程和標準，并書面記錄在案。

3 結語

當前網絡信息安全技術發展迅速，任何信息系統都會有安全風險。沒有任何一種解決方案可以防御所有危及網絡信息安全的攻擊。因此我們需要不斷跟蹤新技術，對所采用的網絡信息安全防范技術進行升級完善，以確保相關利益不受侵犯。

參考文獻

[1] Stuart McClure 等.黑客大曝光――網絡安全機密與解決方案[M].北京：清華大學出版社，2006：140.

[2] 魏仕民等.信息安全概論[M].北京：高等教育出版社，2005：40-41.

[3] 曲平.安全信息管理技術的研發與運用[J].信息通信，2013.

篇10

我國的信息安全標準化制定工作比歐美國家起步晚。全國信息化標準制定委員會及其下屬的信息安全技術委員會開展了我國信息安全標準方面工作，完成了許多安全技術標準的制定，如GB／T18336、GB17859等。在信息系統的安全管理方面，我國目前在BS7799和ISO17799及CC標準基礎上完成了相關的標準修訂，我國信息安全標準體系的框架也正在逐步形成之中[1]。隨著信息系統安全問題所產生的損失、危害不斷加劇，信息系統的安全問題越來越受到人們的普遍關注，如今國內高校已經加強關于信息安全管理方面的研究與實踐。

2高校信息安全風險評估模型

2.1信息安全風險評估流程

[2]在實施信息安全風險評估時，河南牧業經濟學院成立了信息安全風險評估小組，由主抓信息安全的副校長擔任組長，各個相關單位和部門的代表為成員，各自負責與本系部相關的風險評估事務。評估小組及相關人員在風險評估前接受培訓，熟悉運作的流程、理解信息安全管理基本知識，掌握風險評估的方法和技巧。學院的風險評估活動包括以下6方面：建立風險評估準則。建立評估小組，前期調研了解安全需求，確定適用的表格和調查問卷等，制定項目計劃，組織人員培訓，依據國家標準確定各項安全評估指標，建立風險評估準則。資產識別。學院一卡通管理系統、教務管理系統等關鍵信息資產的標識。威脅識別。識別網絡入侵、網絡病毒、人為錯誤等各種信息威脅，衡量威脅的可發性與來源。脆弱性識別。識別各類信息資產、各控制流程與管理中的弱點。風險識別。進行風險場景描述，依據國家標準劃分風險等級評價風險，編寫河南牧業經濟學院信息安全風險評估報告。風險控制。推薦、評估并確定控制目標和控制，編制風險處理計劃。學院信息安全風險評估流程圖如圖1所示：

2.2基于PDCA循環的信息安全風險評估模型

PDCA（策劃—實施—檢查—措施）經常被稱為“休哈特環”或者“戴明環”，是由休哈特（WalterShewhart）在19世紀30年代構想，隨后被戴明（EdwardsDeming）采納和宣傳。此概念的提出是為了有效控制管理過程和工作質量。隨著管理理念的深入，該循環在各類管理領域得到廣泛使用，取得良好效果。PDCA循環將一個過程定義為策劃、實施、檢查、措施四個階段，每個階段都有階段任務和目標，如圖2所示，四個階段為一個循環，一個持續的循環使過程的目標業績持續改進，如圖3所示。

3基于PDCA循環模型的信息安全風險評估的實現

[3-5]河南牧業經濟學院信息系統安全風險評估的研究經驗積累不足，本著邊實踐邊改進，逐步優化的原則，學院決定采用基于PDCA循環的信息安全評估模型。信息安全風險評估模型為信息安全風險評估奠定了理論依據，是有效進行信息安全風險評估的前提。學院擁有3個校區，正在逐步推進數字化校園的建設。校園網一卡通、教務、資產、檔案等管理系統是學院網絡核心業務系統，同時各院系有自己的各類教學系統平臺，由于網絡環境的復雜性，經常會監控到信息系統受到內外部的網絡攻擊，信息安全防范問題已經很突出。信息安全風險評估小組依據自行研發的管理系統對學院各類信息系統進行全面的風險評估（圖4），以便下一步對存在的風險進行有效的管理，根據信息系統安全風險評估報告，提出相應的系統安全方案建議，對全院信息系統當前突出的安全問題進行實際解決。

3.1建立信息安全管理體系環境風險評估（P策劃）

風險規劃是高校開展風險評估管理活動的首要步驟。學院分析內外環境及管理現狀，制定包括準確的目標定位、具體的應對實施計劃、合理的經費預算、科學的技術手段等風險評估管理規劃。風險規劃內容包括確定范圍和方針、定義風險評估的系統性方法、識別風險、評估風險、識別并評價風險處理的方法。信息安全評估風險評估管理工作獲得院領導批準，評估小組開始實施和運作信息安全管理體系。

3.2實施并運行信息安全管理體系（D實施）

該階段的任務是管理運作適當的優先權，執行選擇控制，以管理識別的信息安全風險。學院通過自行研發的信息安全風險管理工具，將常見的風險評估方法集成到軟件之中，包括有信息資產和應用系統識別、風險識別與評估、風險處置措施及監測、風險匯總與報告生成等功能。通過使用信息安全風險管理工具，安全風險評估工作都得到了簡化，減輕人員的工作量，幫助信息安全管理人員完成復雜的風險評估工作，從而提高學院的信息安全管理水平。

3.3監視并評審信息安全管理體系（C檢查）

檢查階段是尋求改進機會的階段，是PDCA循環的關鍵階段。信息安全管理體系分析運行效果，檢查到不合理、不充分的控制措施，采取不同的糾正措施。學院在系統實施過程中，規劃各院系的信息安全風險評估由本系專門人員上傳數據，但在具體項目實施中，發現上傳的數據隨意甚至杜撰，嚴重影響學院整體信息系統安全評估的可靠性，為了強化人員責任意識，除了加強風險評估的培訓外，還制定相應的懲罰獎勵制度，實時進行監督檢查，盡最大可能保證風險評估數據的準確性[6]。

3.4改進信息安全管理體系（A措施）

經過以上3個步驟之后，評估小組報告該階段所策劃的方案，確定該循環給管理體系是否帶來明顯的效果，是繼續執行，還是升級改進、放棄重新進行新的策劃。學院在項目具體實施后，信息安全狀況有了明顯的改善，信息管理人員安全責任意識明顯提升，遭受到的內外網絡攻擊、網絡病毒等風險因素能及時發現處理。評估小組考慮將成果具體擴大到學院其他的部門或領域，開始了新一輪的PDCA循環持續改進信息安全風險評估。

4結語