风险评估_哈尔滨中盛环保股份有限公司

业务介绍

风险评估

发布时间:2019-09-18 13:51

风险评估是指,在风险事件发生之前或之后(但还没有结束),该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作。即,风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。
从信息安全的角度来讲,风险评估是对信息资产(即某事件或事物所具有的信息集)所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础,风险评估是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。
风险评估过程注意事项
在风险评估过程中,有几个关键的问题需要考虑。
首先,要确定保护的对象(或者资产)是什么?它的直接和间接价值如何?
其次,资产面临哪些潜在威胁?导致威胁的问题所在?威胁发生的可能性有多大?
第三,资产中存在哪些弱点可能会被威胁所利用?利用的容易程度又如何?
第四,一旦威胁事件发生,组织会遭受怎样的损失或者面临怎样的负面影响?
最后,组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程度?
解决以上问题的过程,就是风险评估的过程。
风险识别
“风险识别”是发现、承认和描述风险的过程。风险识别包括对风险源、风险事件、风险原因及其潜在后果的识别。风险识别包括历史数据、理论分析、有见识的意见、专家的意见,以及利益相关方的需求。风险评价
“风险评价”(risk evaluation)是把风险分析的结果与风险准则相比较,以决定风险和/或其大小是否可接受或可容忍的过程。正确的风险评价有助于组织对风险应对的决策。 [2]
详细评估的优点在于:
1、组织可以通过详细的风险评估而对信息安全风险有一个精确的认识,并且准确定义出组织的安全水平和安全需求;
2、详细评估的结果可用来管理安全变化。当然,详细的风险评估可能是非常耗费资源的过程,包括时间、精力和技术,因此,组织应该仔细设定待评估的信息系统范围,明确商务环境、操作和信息资产的边界。
方法
一、风险因素分析法
风险因素分析法是指对可能导致风险发生的因素进行评价分析,从而确定风险发生概率大小的风险评估方法。其一般思路是:调查风险源→识别风险转化条件→确定转化条件是否具备→估计风险发生的后果→风险评价。
二、模糊综合评价法
三、内部控制评价法
内部控制评价法是指通过对被审计单位内部控制结构的评价而确定审计风险的一种方法。由于内部控制结构与控制风险直接相关,因而这种方法主要在控制风险的评估中使用。注册会计师对于企业内部控制所做出的研究和评价可分为三个步骤:
四、分析性复核法
分析性复核法是注册会计师对被审计单位主要比率或趋势进行分析,包括调查异常变动以及这些重要比率或趋势与预期数额和相关信息的差异,以推测会计报表是否存在重要错报或漏报可能性。常用的方法有比较分析法、比率分析法、趋势分析法三种。
五、定性风险评价法
定性风险评价法是指那些通过观察、调查与分析,并借助注册会计师的经验、专业标准和判断等能对审计风险进行定性评估的方法。它具有便捷、有效的优点,适合评估各种审计风险。主要方法有:观察法、调查了解法、逻辑分析法、类似估计法。
六、风险率风险评价法
风险率风险评价法是定量风险评价法中的一种。它的基本思路是:先计算出风险率,然后把风险率与风险安全指标相比较,若风险率大于风险安全指标,则系统处于风险状态,两数据相差越大,风险越大。
风险率等于风险发生的频率乘以风险发生的平均损失,风险损失包括无形损失,无形损失可以按一定标准折换或按金额进行计算。风险安全指标则是在大量经验积累及统计运算的基础上,考虑到当时的科学技术水平、社会经济情况、法律因素以及人们的心理因素等确定的普遍能够接受的最低风险率。风险率风险评价法可在会计师事务所以及注册会计师行业风险管理中使用。

上一篇:水文地质勘察     下一篇:污水治理