风险评估是指,在风险事件发生之前或之后(但还没有结束),该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作。即,风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。
风险评估的主要任务包括:
1、识别评估对象面临的各种风险
2、评估风险概率和可能带来的负面影响
3、确定组织承受风险的能力
4、确定风险消减和控制的优先等级
5、推荐风险消减对策
风险评估途径包括:
1、基线评估。采用基线风险评估,组织根据自己的实际情况,对信息系统进行安全基线检查,得出基本的安全需求,通过选择并实施标准的安全措施来消减和控制风险。
2、详细评估。详细风险评估要求对资产进行详细识别和评价,对可能引起风险的威胁和弱点水平进行评估,根据风险评估的结果来识别和选择安全措施。
3、组合评估。组织多是采用二者结合的组合评估方式。为了决定选择哪种风险评估途径,组织首先对所有的系统进行一次初步的高级风险评估,着眼于信息系统的商务价值和可能面临的风险,识别出组织内具有高风险的或者对其商务运作极为关键的信息资产(或系统),这些资产或系统应该划入详细风险评估的范围,而其他系统则可以通过基线风险评估直接选择安全措施。
风险评估的方法:
一、风险因素分析法:指对可能导致风险发生的因素进行评价分析,从而确定风险发生概率大小的风险评估方法。
二、模糊综合评价法
三、内部控制评价法:指通过对被审计单位内部控制结构的评价而确定审计风险的一种方法。
四、分析性复核法:是注册会计师对被审计单位主要比率或趋势进行分析,包括调查异常变动以及这些重要比率或趋势与预期数额和相关信息的差异,以推测会计报表是否存在重要错报或漏报可能性。
五、定性风险评价法:指那些通过观察、调查与分析,并借助注册会计师的经验、专业标准和判断等能对审计风险进行定性评估的方法。
六、风险率风险评价法:是定量风险评价法中的一种。它的基本思路是:先计算出风险率,然后把风险率与风险安全指标相比较,若风险率大于风险安全指标,则系统处于风险状态,两数据相差越大,风险越大。