風(fēng)險評估(Risk Assessment) 是指,在風(fēng)險事件發(fā)生之前或之后(但還沒(méi)有結束),該事件給人們的生活、生命、財產(chǎn)等各個(gè)方面造成的影響和損失的可能性進(jìn)行量化評估的工作。即,風(fēng)險評估就是量化測評某一事件或事物帶來(lái)的影響或損失的可能程度。
從信息安全的角度來(lái)講,風(fēng)險評估是對信息資產(chǎn)(即某事件或事物所具有的信息集)所面臨的威脅、存在的弱點(diǎn)、造成的影響,以及三者綜合作用所帶來(lái)風(fēng)險的可能性的評估。作為風(fēng)險管理的基礎,風(fēng)險評估是組織確定信息安全需求的一個(gè)重要途徑,屬于組織信息安全管理體系策劃的過(guò)程。
常用方法
一、風(fēng)險因素分析法
風(fēng)險因素分析法是指對可能導致風(fēng)險發(fā)生的因素進(jìn)行評價(jià)分析,從而確定風(fēng)險發(fā)生概率大小的風(fēng)險評估方法。其一般思路是:調查風(fēng)險源→識別風(fēng)險轉化條件→確定轉化條件是否具備→估計風(fēng)險發(fā)生的后果→風(fēng)險評價(jià)。
二、模糊綜合評價(jià)法
三、內部控制評價(jià)法
內部控制評價(jià)法是指通過(guò)對被審計單位內部控制結構的評價(jià)而確定審計風(fēng)險的一種方法。由于內部控制結構與控制風(fēng)險直接相關(guān),因而這種方法主要在控制風(fēng)險的評估中使用。注冊會(huì )計師對于企業(yè)內部控制所做出的研究和評價(jià)可分為三個(gè)步驟:
四、分析性復核法
分析性復核法是注冊會(huì )計師對被審計單位主要比率或趨勢進(jìn)行分析,包括調查異常變動(dòng)以及這些重要比率或趨勢與預期數額和相關(guān)信息的差異,以推測會(huì )計報表是否存在重要錯報或漏報可能性。常用的方法有比較分析法、比率分析法、趨勢分析法三種。
五、定性風(fēng)險評價(jià)法
定性風(fēng)險評價(jià)法是指那些通過(guò)觀(guān)察、調查與分析,并借助注冊會(huì )計師的經(jīng)驗、專(zhuān)業(yè)標準和判斷等能對審計風(fēng)險進(jìn)行定性評估的方法。它具有便捷、有效的優(yōu)點(diǎn),適合評估各種審計風(fēng)險。主要方法有:觀(guān)察法、調查了解法、邏輯分析法、類(lèi)似估計法。
六、風(fēng)險率風(fēng)險評價(jià)法
風(fēng)險率風(fēng)險評價(jià)法是定量風(fēng)險評價(jià)法中的一種。它的基本思路是:先計算出風(fēng)險率,然后把風(fēng)險率與風(fēng)險安全指標相比較,若風(fēng)險率大于風(fēng)險安全指標,則系統處于風(fēng)險狀態(tài),兩數據相差越大,風(fēng)險越大。
風(fēng)險率等于風(fēng)險發(fā)生的頻率乘以風(fēng)險發(fā)生的平均損失,風(fēng)險損失包括無(wú)形損失,無(wú)形損失可以按一定標準折換或按金額進(jìn)行計算。風(fēng)險安全指標則是在大量經(jīng)驗積累及統計運算的基礎上,考慮到當時(shí)的科學(xué)技術(shù)水平、社會(huì )經(jīng)濟情況、法律因素以及人們的心理因素等確定的普遍能夠接受的最低風(fēng)險率。風(fēng)險率風(fēng)險評價(jià)法可在會(huì )計師事務(wù)所以及注冊會(huì )計師行業(yè)風(fēng)險管理中使用。
應急預案指面對突發(fā)事件如自然災害、重特大事故、環(huán)境公害及人為破壞的應急管理、指揮、救援計劃等。它一般應建立在綜合防災規劃上。其幾大重要子系統為:完善的應急組織管理指揮系統;強有力的應急工程救援保障體系;綜合協(xié)調、應對自如的相互支持系統;充分備災的保障供應體系;體現綜合救援的應急隊伍等。
應急預案幾大重要子系統為:完善的應急組織管理指揮系統;強有力的應急工程救援保障體系;綜合協(xié)調、應對自如的相互支持系統;充分備災的保障供應體系;體現綜合救援的應急隊伍等。從文體角度看,應急預案是應用寫(xiě)作學(xué)科研究的重要文體之一。
應急預案應形成體系,針對各級各類(lèi)可能發(fā)生的事故和所有危險源制定專(zhuān)項應急預案和現場(chǎng)處置方案,并明確事前、事發(fā)、事中、事后的各個(gè)過(guò)程中相關(guān)部門(mén)和有關(guān)人員的職責。生產(chǎn)規模小、危險因素少的生產(chǎn)經(jīng)營(yíng)單位,綜合應急預案和專(zhuān)項應急預案可以合并編寫(xiě)。
綜合應急預案
綜合應急預案是從總體上闡述事故的應急方針、政策,應急組織結構及相關(guān)應急職責,應急行動(dòng)、措施和保障等基本要求和程序,是應對各類(lèi)事故的綜合性文件。
專(zhuān)項應急預案
專(zhuān)項應急預案是針對具體的事故類(lèi)別(如煤礦瓦斯爆炸、危險化學(xué)品泄漏等事故)、危險源和應急保障而制定的計劃或方案,是綜合應急預案的組成部分,應按照應急預案的程序和要求組織制定,并作為綜合應急預案的附件。專(zhuān)項應急預案應制定明確的救援程序和具體的應急救援措施。
現場(chǎng)處置方案
現場(chǎng)處置方案是針對具體的裝置、場(chǎng)所或設施、崗位所制定的應急處置措施?,F場(chǎng)處置方案應具體、簡(jiǎn)單、針對性強?,F場(chǎng)處置方案應根據風(fēng)險評估及危險性控制措施逐一編制,做到事故相關(guān)人員應知應會(huì ),熟練掌握,并通過(guò)應急演練,做到迅速反應、正確處置。