公務員期刊網(wǎng) 精選范文 資產(chǎn)風險評估范文

資產(chǎn)風險評估精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的資產(chǎn)風險評估主題范文,僅供參考,歡迎閱讀并收藏。

資產(chǎn)風險評估

第1篇:資產(chǎn)風險評估范文

[關鍵詞]:重大固定資產(chǎn)投資項目;社會穩(wěn)定風險評估;對策

中圖分類號:F283 文獻標識碼:A 文章編號:

Abstract: This article has been explained the current problems of the social stability risk assessment for material fixed assets investment projects , and also has been introduced something should be paid attention to on assessments processes. Then it has been put forward some appropriate solutions and recommendations for decision-making.

Keywords: Material fixed assets investment projects;Risk evaluation of social stability;countermeasure;

中圖分類號:F294 文獻標識碼 :A

一、引言

隨著我國改革開放的不斷深入,人們的生活水平有了很大的提高,但接踵而來的是各種社會矛盾逐漸高發(fā)起來。目前的社會矛盾覆蓋的領域廣泛、涉及的門類眾多,未來有進一步加劇的發(fā)展趨勢,已成為影響社會和諧穩(wěn)定和經(jīng)濟社會發(fā)展的突出問題。比較受關注的方面有征地補償、移民安置、勞動就業(yè)、勞資糾紛、生態(tài)環(huán)境、分配不公等。從社會穩(wěn)定風險定義出發(fā),重大工程項目社會穩(wěn)定風險是指在實施重大工程項目時存在的對社會和群眾生產(chǎn)與生活影響面大、持續(xù)時間長并容易導致較大社會沖突的不確定性[1]。

一般來說,重大固定資產(chǎn)投資項目的建設對當?shù)氐慕?jīng)濟、社會及生態(tài)環(huán)境都會產(chǎn)生正面和負面的影響。地方政府對于投資項目產(chǎn)生的外部性應進行積極的引導,努力讓其影響朝著正的外部性方向發(fā)展,在不損害生態(tài)環(huán)境效益和社會效益的基礎上努力爭取良好的經(jīng)濟效益,盡量降低影響社會穩(wěn)定的風險,從而避免發(fā)生。本文闡述了在實際風險分析和評估工作過程中所遇到的一些問題,并就如何進一步完善重大固定資產(chǎn)投資項目社會穩(wěn)定風險評估工作提出了一些思考。

二、項目社會穩(wěn)定風險分析及評估現(xiàn)狀及存在問題

社會不穩(wěn)定因素越來越多的根源是決策機制的不夠科學、不夠完善而產(chǎn)生的,近年來,我國各地因重大項目建設導致的社會風險問題時有發(fā)生,如2004年330萬千瓦的瀑布溝水電站因移民問題處理不善而導致的群體性械斗事件、2005年國華定州電廠灰場工程因征地補償未達成一致意見而導致的惡性械斗襲擊事件、2006-2009年廣東番禺垃圾焚燒發(fā)電項目因未能廣泛征求民意而引發(fā)的群體性上訪事件、四川省什邡市鉬銅項目因群眾擔心環(huán)境污染引發(fā)的以及近期陸續(xù)出現(xiàn)各地群眾由于擔心PX項目的污染問題而導致該類項目陷入了“落地難”的困境[2]。

根據(jù)國家和地方的部署,重大固定資產(chǎn)投資項目將陸續(xù)開展社會穩(wěn)定風險分析及評估工作。由于社會穩(wěn)定風險分析及評估是一項新的業(yè)務,在實踐過程中,發(fā)現(xiàn)存在以下問題,共探討:

1.部分項目的項目單位未委托有相應類別資質(zhì)的單位編寫社會穩(wěn)定風險分析報告,有些項目單位自己簡單的編寫了項目的社會穩(wěn)定分析報告。由于站在立場不同,項目單位往往會隱瞞一些事實,努力避開項目建設可能產(chǎn)生的不利影響,從而造成了社會穩(wěn)定風險分析報告的“失實”,往往會得出不同的結(jié)論,從而埋下了社會風險隱患。

部分編制單位角色不清,在沒有受到項目所在地人民政府或有關部門的委托的情況下,錯誤的將社會穩(wěn)定風險分析報告編制成了社會穩(wěn)定風險評估報告。

風險識別不夠全面,有些高污染、高耗能的項目僅對環(huán)境風險及征地拆遷進行了識別,忽視了選址、土地利用、移民安置、施工組織管理等方面產(chǎn)生的風險。

風險調(diào)查方式過于單一。部分編制單位僅僅采取發(fā)放調(diào)查表的形式,并且調(diào)查對象過于單一,真正的利益相關者沒有調(diào)查清楚。此外,部分報告全盤引用環(huán)評報告中公眾參與調(diào)查的內(nèi)容,忽視了該調(diào)查僅僅是從環(huán)保的角度考慮項目是否可行,實際上是不夠全面的,需要社會穩(wěn)定風險分析篇章編制單位進行其他風險因素的補充調(diào)查,并進行統(tǒng)計分析。

風險分析方法過于簡單,有些報告僅僅定性的分析了可能產(chǎn)生的風險,沒有從定量和定性兩個角度去分析社會穩(wěn)定風險。部分風險分析報告措施過于寬泛,可實施程度不高。

部分風險分析報告沒有給出風險分析結(jié)論,無法判斷采取風險防范措施后是否屬于低風險,是否處于可控范圍內(nèi),導致項目審批或核準無據(jù)可依。

風險評估報告的問題主要體現(xiàn)在兩個方面,一方面部分評估單位缺少對項目的詳細補充調(diào)查,可能出現(xiàn)“信息不對稱”現(xiàn)象,進而影響風險評估的結(jié)論,另外一方面評估方法還存在著單一性,比如比較前沿的研究方法“邏輯框架分析、層次分析法”等在目前的評估報告鮮有見到。

三、完善項目社會穩(wěn)定風險分析的策略

根據(jù)以上存在的問題,筆者認為完善項目社會穩(wěn)定風險分析報告的主要策略從以下幾個方面考慮:

建議社會穩(wěn)定風險分析編制單位由有相應行業(yè)的工程咨詢資質(zhì)的第三方機構(gòu)完成,而不是有項目業(yè)主自身完成,這樣更有利于體現(xiàn)工程咨詢行業(yè)“獨立、科學、公正”的原則,防止走過場。

關于風險識別,建議從規(guī)劃選址、征地拆遷補償、工程施工組織、生態(tài)環(huán)境、項目管理、經(jīng)濟社會、安全衛(wèi)生等多方面進行風險識別。

風險調(diào)查應列出調(diào)查者的組成人群及名單、問卷的問題及調(diào)查結(jié)果統(tǒng)計,復核調(diào)查范圍是否全面,是否調(diào)查了利益相關者特別是不利影響者的態(tài)度以及當?shù)卣?、專家和社會組織態(tài)度,應對調(diào)查結(jié)論進行全面分析,必要時召開座談會和聽證會。

風險估計應通過定性和定量相結(jié)合的方法,風險措施應更加具體全面并具備一定的可操作性。

對于低風險的重大項目,根據(jù)分析出來的風險隱患、風險范圍和可控程度,提出化解矛盾問題的對策措施、預警措施和應急處置預案。 四、完善項目社會穩(wěn)定風險評估機制的策略

1.建議項目所在地人民政府或有關部門的委托實施主體時優(yōu)先考慮有相應資質(zhì)的工程咨詢單位,利用其豐富的項目前期工作經(jīng)驗把好項目的“穩(wěn)評”關。

2.在完成評估報告之前應提供項目前置性文件,即規(guī)劃選址、用地預審及環(huán)評等。項目的規(guī)劃、土地、環(huán)評等手續(xù)如已完成的,其結(jié)論可以直接引用。

3.認真審閱由項目各編制單位完成的項目可行性研究報告或項目申請報告、項目社會穩(wěn)定風險分析篇章,認真審閱擬建項目前期審批相關文件(含規(guī)劃選址、用地預審及環(huán)評等前置性文件),如有可能,地方發(fā)展改革委在制定社會風險評估細則時相應要求國土、住建、環(huán)保、衛(wèi)生等相關部門在前置性文件審批過程中增加社會風險評價,以便于提前介入并提前掌控風險。

4.現(xiàn)場踏勘及補充調(diào)查、廣泛征求、充分聽取意見。評估主體根據(jù)審閱結(jié)果,結(jié)合當?shù)貙嶋H情況,根據(jù)需要直接開展或要求項目單位開展補充民意調(diào)查,可通過公示、走訪、座談會、聽證會,當面聽取意見,客觀真實反映廣大群眾意愿,作為社會穩(wěn)定風險評估的依據(jù)。

5.評估實施主體在廣泛征求和準確掌握民意的基礎上,應邀請委托單位、項目業(yè)主、相關專家(工程技術專家、項目施工組織專家、環(huán)保專家、維穩(wěn)專家等)和各個職能部門代表(當?shù)卣?、?guī)劃、環(huán)保、國土等)參加會議,重點圍繞合法性、合理性、可行性、可控性進行全面和客觀的評估論證。對風險分析篇章的內(nèi)容和程序、評估的方法、識別的風險、反映的意見、提出的風險防范和化解措施以及評判的等級等方面內(nèi)容進行全面評估論證,核實其正確性和合理性,從而確定項目的社會穩(wěn)定風險處于高、中、低的哪個等級。

6.編制風險評估報告。評估主體根據(jù)社會穩(wěn)定風險分析篇章的修編稿,編制評估報告,提出社會穩(wěn)定風險等級,上報項目委托單位,作為審批、核準項目的重要依據(jù)。對于無風險、有較小風險、有較大風險和有重大風險的評估結(jié)論,做出可實施、可部分實施、暫緩實施、不實施的建議[2]。對于風險較小或者沒有風險的事項,應提出相應的預測預警措施和應急處置預案,并將風險妥善控制在預測范圍之內(nèi)。

綜上所述,完善社會穩(wěn)定風險分析和評估工作的目的在于把大量的社會穩(wěn)定風險化解在重大項目開工建設之前,變堵截為疏解,使各類矛盾化解在既定的規(guī)則和程序內(nèi)完成,進而從源頭上減少影響社會穩(wěn)定風險的因素,確保經(jīng)濟社會平穩(wěn)較快發(fā)展,具有積極的意義。

參考文獻:

第2篇:資產(chǎn)風險評估范文

【關鍵詞】抵押貸款抵押資產(chǎn)評估風險評估方法

一、商業(yè)銀行抵押貸款資產(chǎn)評估風險

(一)抵押資產(chǎn)評估存在系統(tǒng)性高估的風險

抵押資產(chǎn)的價值被高估,會虛增銀行的貸款數(shù)額,最終可能導致銀行的債權難以收回,近年來,這種情況已經(jīng)屢見不鮮。首先,從借款人的角度看,借款人為了使自身的利益最大化,他會采取一切手段降低貸款的違約成本,獲得更多的銀行貸款。其次,從評估結(jié)構(gòu)的角度看,抵押貸款業(yè)務的發(fā)展毋庸置疑地為資產(chǎn)評估業(yè)務的發(fā)展提供了良好契機,一些評估機構(gòu)紛紛建立,其面臨的主要業(yè)務來源就是抵押資產(chǎn)的價值評估。為了增加業(yè)務來源,提高業(yè)務收入,評估機構(gòu)很可能會迎合其委托人的意愿,故意高估抵押品的價值。

(二)抵押資產(chǎn)貶值的風險

抵押資產(chǎn)的貶值分為三類:

第一類,抵押資產(chǎn)存在實體性貶值。是抵押品在使用環(huán)節(jié)或存放環(huán)節(jié)而發(fā)生的實體性損壞,導致抵押品的價值降低。例如,抵押設備在使用過程中,由于各部分零件在相互運動過程中產(chǎn)生摩擦、撞擊造成磨損。

第二類,抵押資產(chǎn)存在功能性貶值。功能性貶值主要是由科技進步造成的,以被評估的設備為例,隨著科技的進步,同類產(chǎn)品的新功能被研發(fā)出來,與之相比,被評估設備的功能就會相對減少,從而降低了被評估設備的價值。

第三類,抵押資產(chǎn)存在經(jīng)濟性貶值。主要是由外部影響因素而造成的抵押資產(chǎn)的貶值,主要表現(xiàn)為在貸款抵押期間,抵押資產(chǎn)的使用率下降,甚至是直接停止使用,這都會大幅降低抵押資產(chǎn)的經(jīng)濟收益。

(三)抵押資產(chǎn)評估值與清償值背離的風險

在中國,如當借款人不能償還銀行貸款的本金和利息,銀行有權處置抵押品,將抵押品進行折現(xiàn),以折現(xiàn)值償還銀行貸款的本息。但是抵押品處置時一般都是在非公開市場上進行的,目的是為了將抵押品快速折現(xiàn)。從官方的角度來看,政府和法院也希望縮短處置抵押物的時間,以免擾亂正常的社會和行業(yè)秩序。抵押物的買方抓住商業(yè)銀行、政府和法院想快速變現(xiàn)抵押物的這種心理,就會盡量壓低抵押品的價值,造成評估價值和清償值背離。

二、商業(yè)銀行抵押貸款資產(chǎn)評估風險產(chǎn)生的原因分析

(一)評估法律制度不健全

目前,我國針對抵押資產(chǎn)評估方面的法律制度建設相當緩慢,評估法規(guī)不僅奇缺,而且很不全面,有的甚至出現(xiàn)前后自相矛盾的現(xiàn)象。例如對固定資產(chǎn)抵押問題,國有資產(chǎn)管理局前腳剛強調(diào),但后腳又規(guī)定:出于政府多方面的考慮,對關乎國家安全、國計民生的大型國有企業(yè),要限制其對重要財產(chǎn)的抵押權。這種矛盾的結(jié)果就使銀行陷入選擇的困境,銀行在貸款業(yè)務操作中很難辨別出哪些財產(chǎn)可以進行抵押,而哪些財產(chǎn)是影響國計民生的不可以進行抵押。

(二)借款人和評估機構(gòu)的道德風險行為

在當前的市場環(huán)境中,借款人作為理性人,具有追逐利益的傾向。為了獲得更高數(shù)額的銀行貸款,滿足其資金需求,借款人在抵押品的信貸合同中,故意隱瞞或夸大抵押品的真實價值,這屬于一種欺騙行為,增加了借款人的道德風險。

(三)銀行內(nèi)部評估人員缺乏及其專業(yè)素質(zhì)不高

國內(nèi)商業(yè)銀行的的內(nèi)部評估人員缺乏,評估人員的招收機制不規(guī)范,存在很多弊端,通過裙帶關系、直系親屬關系或其他關系進入銀行工作的現(xiàn)象仍然存在,致使銀行評估人員的業(yè)務水平較低。另外,我們不難得知一些銀行內(nèi)部的評估人員根本不具備專業(yè)的評估技能,他們只是一群徒有虛名的在職人員。

(四)抵押資產(chǎn)評估中評估方法的局限性

評估方法是計算抵押資產(chǎn)價值的手段,要想精確地計算出抵押資產(chǎn)的價值,選擇真確的評估方法就顯得尤為重要。但在我國目前的情況下,資產(chǎn)評估方法還是比較簡單的,有很大的局限性。資產(chǎn)評估仍以市場法、成本法、收益法三種傳統(tǒng)的評估方法,而這些方法都有其局限性,已經(jīng)不能適應金融市場發(fā)展的需要。

三、商業(yè)銀行規(guī)避抵押貸款資產(chǎn)評估風險的對策

(一)健全抵押資產(chǎn)評估的法律制度建設

銀行要規(guī)避抵押貸款資產(chǎn)評估的風險,有必要進一步完善抵押資產(chǎn)評估的法律制度建設。當前尤其重要的是要制定《銀行抵押貸款資產(chǎn)評估章程》、《銀行抵押貸款資產(chǎn)評估操作程序》等制度,規(guī)范評估行為。除此之外,銀行要將抵押貸款業(yè)務和銀行的其他業(yè)務區(qū)別開來,將銀行評估委托環(huán)節(jié)和貸款審批環(huán)節(jié)割裂開來,分別處理,以免內(nèi)部管理混亂和責任不明。

(二)健全社會的誠信體系建設

誠信是國家進步、社會發(fā)展、金融市場完善的必修課程。銀行要想規(guī)避抵押資產(chǎn)評估的風險,就必須要健全社會的誠信體系,具體可以從兩方面做到,一方面,銀行要完善征信體系建設,將個人的誠信情況和評估師的誠信情況記錄到個人和評估師的征信報告中。另一方面,保險公司可以建立評估師的職業(yè)保險制度,督促評估師認真履職。

(三)提高銀行內(nèi)部評估人員的專業(yè)素質(zhì)

首先,規(guī)范銀行評估人員的招聘機制,杜絕任何用人唯親的做法,要做到用人唯賢,同時擴展銀行評估人員的招收渠道,尤其是向各大院校啟開招聘之門,招收高素質(zhì)、高技能的相關人才;其次,加強對評估人員專業(yè)技能的培訓,使評估人員具備專業(yè)的評估知識,熟練掌握評估技能,而且需要特別注意的是這種培訓制度一定要落實到實處,不能光做表面上的工作,培訓應與實際的抵押物評估相結(jié)合,為了考察培訓的效果,應該安排考試考核培訓的內(nèi)容,而考試結(jié)果將與評估人員的后續(xù)培養(yǎng),薪酬相掛鉤的情況。

第3篇:資產(chǎn)風險評估范文

關鍵詞:資產(chǎn)評估法律責任 資產(chǎn)評估風險 風險意識

隨著國家“十二五”規(guī)劃的提出,資產(chǎn)評估的發(fā)展也越來越受重視,由財政部印發(fā)的《中國資產(chǎn)評估行業(yè)發(fā)展規(guī)劃(2011―2015)》,給資產(chǎn)評估的發(fā)展提供了契機,使得資產(chǎn)評估執(zhí)業(yè)范圍從傳統(tǒng)的資產(chǎn)類業(yè)務擴展到文化、林權、海島、玉石等相關特殊產(chǎn)業(yè),并延伸到財政資金績效的評價、行政事業(yè)單位資產(chǎn)管理、稅基評估等業(yè)務領域。業(yè)務范圍的擴大,會給資產(chǎn)評估執(zhí)業(yè)帶來相應的風險,這就必然要求對資產(chǎn)評估的法律責任進行細化,對資產(chǎn)評估風險進行分析,從而控制防范評估風險。

一、資產(chǎn)評估法律責任

資產(chǎn)評估法律責任是指資產(chǎn)評估機構(gòu)或者資產(chǎn)評估人員在接受委托方委托之后,對評估標的進行估價過程中,因自身的過錯行為而導致委托方或者第三方利益受損而應承擔的法律后果。

1、資產(chǎn)評估法律責任的主體

在資產(chǎn)評估業(yè)務中,資產(chǎn)評估機構(gòu)、資產(chǎn)評估人員、委托方或資產(chǎn)的占有方、評估的主管部門、評估行業(yè)協(xié)會以及評估報告使用人等都可能成為資產(chǎn)評估法律的主體。但涉及資產(chǎn)評估的相關法律、法規(guī)僅規(guī)定了評估機構(gòu)或者資產(chǎn)評估人員的法律責任,而對評估各方應該承擔責任的程度和方式卻沒有明確。因此應該全面考慮其他主體的相關法律責任,使得資產(chǎn)評估的效果能夠更有效。

2、資產(chǎn)評估法律責任的形式

資產(chǎn)評估的法律責任依照傳統(tǒng)的法律責任劃分體系,有行政責任、民事責任和刑事責任三種。民事責任是指責任主體違反資產(chǎn)評估相關法律法規(guī)給他人利益帶來損害應該負擔的一種財產(chǎn)責任。行政責任是指責任主體違反資產(chǎn)評估相關法律法規(guī)給他人利益帶來損害應該負擔的包括警告、暫停執(zhí)業(yè)、吊銷注冊資產(chǎn)評估師證書、禁入評估行業(yè)、撤銷資產(chǎn)評估機構(gòu)資格等行政處罰。刑事責任主要是評估人員違反有關法律程序達到犯罪的程度,承受一定期限的徒刑。

二、鑒定資產(chǎn)評估法律責任應注意的問題

1、明確法律責任主體

在確定評估法律責任時,首先應該確定法律責任的主體。在評估之前,由委托方提供的資料的真實性、客觀性所造成,其法律責任應有委托方承當,屬于會計責任,而由評估機構(gòu)出具的評估報告的公正客觀性造成的法律責任,應有評估機構(gòu)及評估人員承擔,屬于評估責任。只有分清這兩個責任,才能在評估中做到最大可能的公正。

2、對評估的過錯進行層次分析

我國目前還沒有出臺資產(chǎn)評估法律,但是可以根據(jù)資產(chǎn)評估相關的法律及法規(guī)進行界定,其中可以通過重要性水平來區(qū)分一般過失和重大過失,如以總資產(chǎn)的0.5%-1%,權益的1%,收入的0.5%-1%等為標準。另外,指標的大小也可以根據(jù)資產(chǎn)評估的規(guī)模大小進行調(diào)整。而且評估人員的動機使得重大過失與欺騙難以區(qū)分。因此可以引入“推定欺詐”概念,欺詐和推定欺詐行為在法律上具有同等法律效力。在確定評估人員法律責任時,不但要區(qū)分重大過失和一般過失,還應當借鑒西方法律中“共同過失”和“比較過失”的概念。所謂“共同過失”,是指原告的過失不僅與自身有關,而且也與被告有關。所謂“比較過失”,是指根據(jù)各過失者犯有過失的程度,而分配其所應負擔的損失賠償額。這些概念對于合理確定法律責任都是有益的。

3、評估報告的使用對象

資產(chǎn)評估報告針對的是特定主體,對評估報告的適用范圍有所限制,因此不適用于特定主體之外的社會公眾。所以特定主體之外的其他報告使用者,如果是因為使用了評估報告而產(chǎn)生了經(jīng)濟損失,則評估機構(gòu)或者評估人員不應該承擔以此造成的法律責任。

4、資產(chǎn)評估的法律責任的免除。

資產(chǎn)評估過程中如果有符合以下條件的可以進行免除其責任。第一,由利益受害者自身的原因所造成的過錯,例如委托人自身未指示清楚或不遵循評估報告使用注意事項,而使其自身的利益受到損害;第二,評估人員執(zhí)行業(yè)務時,被評估單位不予配合評估工作,而評估機構(gòu)又不能拒絕該資產(chǎn)評估業(yè)務,最終致使評估機構(gòu)或者評估人員不能按期按質(zhì)完成評估業(yè)務所造成的損失;第三,受到政府或其他有關部門進行的非正當?shù)男姓深A,而評估機構(gòu)或評估人員又沒有辦法消除此項干預,從而導致發(fā)生要承擔法律責任的事項。

三、資產(chǎn)評估風險分析

資產(chǎn)評估風險是指資產(chǎn)評估機構(gòu)或者資產(chǎn)評估人員對資產(chǎn)進行評估時,因主觀或客觀原因使得評估標的價值偏離客觀值,給相關利益方造成的經(jīng)濟損失,由此引起的被相關利益方進行法律訴訟的風險。

1、資產(chǎn)評估風險產(chǎn)生原因

從不同的角度去看,資產(chǎn)評估風險就有不同的表現(xiàn)形式。但究其原因可以歸納為以下幾個方面:

(1)法制不健全

資產(chǎn)評估行業(yè)在國外已有上百年的發(fā)展歷史,但是在我國起步比較晚,仍然算是一個新興的行業(yè),因此其法律規(guī)范還不是很完善,至今沒有專門的資產(chǎn)評估法律來規(guī)范資產(chǎn)評估的行為,而其評估涉及的范圍又比較廣泛,所以容易造成多頭管理、條塊分割、各自為政、執(zhí)業(yè)標準不統(tǒng)一的局面,從而造成評估市場的混亂。

(2)資產(chǎn)評估專業(yè)化要求高

資產(chǎn)評估對專業(yè)的要求比較高,但是我國高校資產(chǎn)評估專業(yè)發(fā)展較晚,碩士招生起始于2011年,因此,目前從業(yè)人員大多是其他相關專業(yè)畢業(yè),專業(yè)化水平層次不一,所以在比較重大的項目或者對專業(yè)要求比較高時,評估人員有限的技術水平會對評估帶來極大的風險。

(3)資產(chǎn)評估人員不遵守職業(yè)道德

隨著市場的激烈的競爭,在有限的業(yè)務范圍內(nèi),為了搶占業(yè)務,使得一些評估人員為了提高效益,違反職業(yè)道德、違規(guī)操作、不顧評估質(zhì)量、粗放評估、低價取費、迎合委托方等行為。

(4)評估機構(gòu)自身缺陷

評估機構(gòu)自身管理制度不完善,對評估質(zhì)量及進度等缺乏有效的控制也會造成風險。

2、資產(chǎn)評估風險表現(xiàn)形式

資產(chǎn)評估涉及的范圍比較廣,因此它的風險表現(xiàn)形式多種多樣,根據(jù)不同的劃分方式具體有不同的分類。

(1)外部風險和內(nèi)部風險

依據(jù)法律責任主體可以將資產(chǎn)評估風險分為外部與內(nèi)部風險。如果其造成的風險是評估機構(gòu)本身不能控制的,可能是由評估法律體制、委托方、評估行政管理體制等造成的風險,是外部風險。相反地,由于機構(gòu)內(nèi)部管理不善、評估人員的素質(zhì)水平和自身專業(yè)水平等原因造成的風險歸為內(nèi)部風險。

(2)立法風險,管理風險、執(zhí)業(yè)風險和使用風險

隨著時間的推移會使當前相關的資產(chǎn)評估法律及其相關內(nèi)容與實際不相符,這樣造成了立法風險;資產(chǎn)行政主管部門在履行其管理職能時帶來的風險為管理風險;由其評估人員的專業(yè)水平限制導致的風險為執(zhí)業(yè)風險;資產(chǎn)評估委托方因為不正當?shù)氖褂觅Y產(chǎn)評估報告書及結(jié)果帶來的風險為使用風險。

四、風險控制對策

1、建立健全資產(chǎn)評估法律體系

目前資產(chǎn)評估還沒有專業(yè)的法律,判斷法律責任都是依據(jù)相關的法律法規(guī),這就使得我國資產(chǎn)評估管理出現(xiàn)了條塊分割、多頭管理。因此,應加快資產(chǎn)評估立法工作,首先積極修訂《中華人民共和國資產(chǎn)評估法》草案,保障制定和實施《中華人民共和國資產(chǎn)評估法》,并將此作為資產(chǎn)評估全行業(yè)管理的法律規(guī)范,使得資產(chǎn)評估的管理更具權威性。

2、加強隊伍建設,加強宣傳,提高風險意識

資產(chǎn)評估機構(gòu)應該注重企業(yè)長遠的發(fā)展,從企業(yè)長期利益的角度出發(fā),防范資產(chǎn)評估風險。企業(yè)首先從員工入手,著手培養(yǎng)評估人員的職業(yè)素質(zhì),招收已經(jīng)考取注冊資產(chǎn)評估師執(zhí)業(yè)資格的人員上崗;同時加強項目團隊建設,培養(yǎng)一批業(yè)務骨干力量;定期開展專業(yè)業(yè)務培訓,加強評估人員的專業(yè)知識,并對評估人員的的工作進行指導監(jiān)督,從而提高評估人員的職業(yè)素質(zhì)修養(yǎng)。同時可以聘請資產(chǎn)評估業(yè)界專家作為機構(gòu)顧問。設立資產(chǎn)評估顧問,有助于提高評估工作質(zhì)量、防范評估風險。通過對評估工作人員的風險意識宣傳來加以控制。

3、加強資產(chǎn)評估機構(gòu)職業(yè)規(guī)范和內(nèi)部管理

資產(chǎn)評估機構(gòu)應該統(tǒng)一職業(yè)規(guī)范,以出臺的資產(chǎn)評估準作為職業(yè)規(guī)范,對項目進行組織與管理、對資產(chǎn)評估人員執(zhí)業(yè)進行規(guī)范。在實踐中, 資產(chǎn)評估機構(gòu)嚴格按照資產(chǎn)評估準則進行執(zhí)業(yè),建立從開始受理評估業(yè)務、評估前期準備、具體業(yè)務評估過程、最后的評估報告以及后期的評估檔案管理階段在內(nèi)的整個評估全過程的質(zhì)量控制,每個階段都應該遵循資產(chǎn)評估準則,規(guī)定出進行評估時的必要工作,從而加強評估機構(gòu)的內(nèi)部管理,從而防范評估人員執(zhí)業(yè)風險。

4、建立評估信息資源共享平臺

評估人員在進行評估時需要參考大量的資料信息,因此為防止因信息不對稱產(chǎn)生的風險,評估機構(gòu)則應該建立評估信息資源共享平臺,使已有信息資源歸類整理,能夠最大限度地為評估人員所用,從而保障評估的工作質(zhì)量和效率。

5、建立注冊資產(chǎn)評估師執(zhí)業(yè)保險制度

注冊資產(chǎn)評估師投保職業(yè)責任保險,不僅可以防范注冊資產(chǎn)評估師的職業(yè)風險,而且也可以保障評估委托方的利益。

6、強化風險防范意識,注重誠實信用

企業(yè)的發(fā)展應該是樹立質(zhì)量競爭意識,克服短期利益驅(qū)動,以質(zhì)量求信譽,以信譽求發(fā)展。而誠信對于為社會中介服務的資產(chǎn)評估行業(yè)尤其重要。因此應該加強信用的意識來防范風險。

參考文獻:

[1]楊健.資產(chǎn)評估風險及其防范[J].商業(yè)經(jīng)濟,2012(01)

[2]王香珠.論資產(chǎn)評估風險管理[J].現(xiàn)代商貿(mào)工業(yè),2010(08)

[3]李明媛.資產(chǎn)評估風險防范的對策分析[J].現(xiàn)代經(jīng)濟信息,2009

[4]賈寶和.試論我國資產(chǎn)評估風險的防范對策[J].金融與經(jīng)濟,2007(10)

[5]江琴,黃麗娜.資產(chǎn)評估風險的規(guī)避[J].金融與經(jīng)濟,2007(02)

[6]劉勇.資產(chǎn)評估的法律責任及風險控制[J].中國資產(chǎn)評估,2006(09)

[7]史新浩.資產(chǎn)評估風險及其防范[J].財會通訊,2006(12)

[9]程陽春.資產(chǎn)評估執(zhí)業(yè)風險及其防范[J].湖北財經(jīng)高等??茖W校學報,2004(01)

第4篇:資產(chǎn)風險評估范文

    1.建立和完善資產(chǎn)評估法律、法規(guī)體系。目前最主要的是制定《中國注冊資產(chǎn)評估師法》。在我國,資產(chǎn)評估行業(yè)至今尚未頒布相關法律,這顯然跟不上資產(chǎn)評估行業(yè)形勢發(fā)展的需要。通過制定《中國注冊資產(chǎn)評估師法》,把前述的資產(chǎn)評估管理方面存在的問題一并加以解決。同時,建立和完善資產(chǎn)評估法律、法規(guī)體系有助于減少資產(chǎn)評估立法風險。

    2.理順資產(chǎn)評估行業(yè)管理體制,建立統(tǒng)一的行業(yè)自律組織。資產(chǎn)評估屬于社會中介服務行業(yè),因此,它應當有適合自己行業(yè)特點的管理模式。具體來說,可從以下幾個方面來考慮:

    ①結(jié)束資產(chǎn)評估工作多頭管理的現(xiàn)狀,實行統(tǒng)一的行政管理。明確資產(chǎn)評估的行政主管部門,對資產(chǎn)評估行業(yè)進行統(tǒng)一管理,為評估行業(yè)的發(fā)展創(chuàng)造一個良好的外部環(huán)境。

    ②建立統(tǒng)一的行業(yè)自律組織,實行統(tǒng)一的行業(yè)自律管理。依照現(xiàn)有的與資產(chǎn)評估有關的行業(yè)組織(如注冊資產(chǎn)評估師、土地評估師、房地產(chǎn)評估師等)狀況,在相互協(xié)商的基礎上,由政府協(xié)調(diào),組建統(tǒng)一的具有權威性的資產(chǎn)評估行業(yè)協(xié)會。統(tǒng)一的資產(chǎn)評估行業(yè)協(xié)會可以按照資產(chǎn)類型(如建筑物、土地等)和地區(qū)設立分會,從而做到既有利于不同類型資產(chǎn)評估的完善發(fā)展,又有利于不同地區(qū)資產(chǎn)評估之間的技術交流。同時,實行統(tǒng)一的行政管理,建立統(tǒng)一的行業(yè)自律組織有助于減少資產(chǎn)評估管理風險。

    3.建立注冊資產(chǎn)評估師的分類分級制度。分類是指對注冊資產(chǎn)評估師按其所熟悉的專業(yè)進行劃分,分為建筑評估師、土地評估師、機器設備評估師等。分類管理的好處是可以發(fā)揮每個評估師的專業(yè)特長。分級指對注冊資產(chǎn)評估師按其執(zhí)業(yè)年限和經(jīng)驗進行分級,一般可分為初級評估師、中級評估師和高級評估師。

    同時,建立注冊資產(chǎn)評估師的分類分級制度有助于減少資產(chǎn)評估執(zhí)業(yè)風險。

    4.建立資產(chǎn)評估專家咨詢委員會。由于資產(chǎn)評估涉及的評估范圍太廣,而每個評估人員的知識面相對有限,因此,在資產(chǎn)評估行業(yè)協(xié)會的指導下,建立資產(chǎn)評估專家咨詢委員會,對評估機構(gòu)和評估人員進行專業(yè)指導,十分必要。資產(chǎn)評估專家咨詢委員會可由財務會計、工程技術、經(jīng)濟管理、金融、法律以及特殊資產(chǎn)(如自然資源、珠寶文物等)方面的專家組成。其基本任務包括:對資產(chǎn)評估的基本理論、基本方法及其法律法規(guī)等進行研究;研討資產(chǎn)評估執(zhí)業(yè)中的難點、疑點問題;搜集與資產(chǎn)評估有關的信息資料并建立信息檔案;接受評估機構(gòu)、評估人員以及社會各界關于資產(chǎn)評估有關問題的咨詢對無形資產(chǎn)評估進行研究;與國內(nèi)外評估機構(gòu)和評估人員交流與合作;評估人員的后續(xù)教育等等。建立資產(chǎn)評估專家咨詢委員會有助于減少資產(chǎn)評估執(zhí)業(yè)風險。

    5.建立資產(chǎn)評估行業(yè)協(xié)會指導下的評估爭議調(diào)解委員會。評估爭議是指評估機構(gòu)與客戶或評估機構(gòu)之間在評估依據(jù)、評估方法及評估結(jié)果等方面產(chǎn)生不同意見而發(fā)生的爭議。如果采用仲裁或訴訟的方式解決,無論對哪一方當事人,都是一件很麻煩或不情愿的事情。因此,調(diào)解就成為解決這類矛盾的一種較好方式。調(diào)解的優(yōu)點是:方式比較靈活,節(jié)省費用、時間和精力,可以為當事人保守商業(yè)秘密等。

第5篇:資產(chǎn)風險評估范文

一、供給側(cè)結(jié)構(gòu)性改革與資產(chǎn)評估專業(yè)服務、機遇與挑戰(zhàn)

(一)資產(chǎn)評估機構(gòu)在供給側(cè)結(jié)構(gòu)改革中的服務

我國資產(chǎn)評估專業(yè)目前廣泛服務于國家創(chuàng)新發(fā)展戰(zhàn)略、國有經(jīng)濟的戰(zhàn)略重組等,隨著我國經(jīng)濟新常態(tài)發(fā)展的需要,資產(chǎn)評估服務將廣泛地參與到供給側(cè)結(jié)構(gòu)性改革中,助力我國的經(jīng)濟轉(zhuǎn)型發(fā)展。如表(1)所示。

(二)供給側(cè)結(jié)構(gòu)性改革資產(chǎn)評估機遇

隨著我國經(jīng)濟新常態(tài)下的供給側(cè)結(jié)構(gòu)性改革的實施,作為服務于經(jīng)濟轉(zhuǎn)型的資產(chǎn)評估行業(yè),將迎來良好的發(fā)展機遇。新的機遇常常意味著資產(chǎn)評估行業(yè)業(yè)務量將迎來多樣性增長、資產(chǎn)評估機構(gòu)的營業(yè)收入規(guī)模將持續(xù)提高。為應對此類情況未來的發(fā)生,未雨綢繆,有資產(chǎn)評估機構(gòu)開始超常態(tài)規(guī)模化擴張、搶占發(fā)展制高點。當面臨行業(yè)發(fā)展的時候,常常會忽略品質(zhì)的要求,應注重能力的測評。

(三)供給側(cè)結(jié)構(gòu)改革資產(chǎn)評估挑戰(zhàn)

從目前評估行業(yè)的發(fā)展環(huán)境看,極容易陷入短期收益陷阱,如有評估機構(gòu)大量吸收業(yè)務合伙人、對項目風險評價不足、盲目滿足委托方估值要求等,實際上陷入這樣的境地后,很可能因為利益因素難以協(xié)調(diào),難以平衡收益和風險。

收益的增長依托于業(yè)務拓展,風險的管控依賴于執(zhí)業(yè)質(zhì)量,這兩個方面和諧共存、互相影響、互相推進。業(yè)務的適度拓展有利于增強評估機構(gòu)向心力、提升公司品牌,從而有更多的精力專注于執(zhí)業(yè)質(zhì)量的進一步提高;執(zhí)業(yè)質(zhì)量的不斷改善有利于強化評估機構(gòu)核心競爭力、鑄造公司品牌,從而有更多的機會延伸業(yè)務拓展的廣度和深度。收益和風險是評估機構(gòu)健康、持續(xù)發(fā)展的兩個基石,應根據(jù)評估機構(gòu)的實際情況恰當?shù)仄胶鈨烧叩年P注度。

在供給側(cè)結(jié)構(gòu)性改革的新時期,面對大量的收益機會,需要冷靜地思考風險問題。資產(chǎn)評估行業(yè)發(fā)展機會的增加、收益的增長實際意味著市場要求資產(chǎn)評估機構(gòu)承擔更多的責任、履行評估機構(gòu)應盡的義務。資產(chǎn)評估行業(yè)兩個重要的市場是國有企業(yè)改革和資本市場建設,資產(chǎn)評估專業(yè)服務在其中發(fā)揮了重要的作用。任何行業(yè)的健康發(fā)展都需要市場化和政府監(jiān)管,市場化給了市場參與主體充分的自主決定權與發(fā)展的自由,純粹的市場化會導致市場混亂,政府監(jiān)管給市場參與主體充分的保護,政府監(jiān)管的不恰當會導致資源浪費、效率下降,只有市場和監(jiān)管適度的融合才能促進行業(yè)的健康發(fā)展,該交給市場決定的事監(jiān)管不要介入,該由政府監(jiān)管的事情不能放任市場自主選擇。

《關于加強和改進企業(yè)國有資產(chǎn)監(jiān)督防止國有資產(chǎn)流失的意見》中,明確了國資改革中防止國有資產(chǎn)流失的內(nèi)部監(jiān)督、外部監(jiān)督、社會監(jiān)督三方面的具體內(nèi)容,將建立統(tǒng)一的信息公開平臺,公開相關信息,接受社會監(jiān)督。證監(jiān)會今年以來強調(diào)將切實履行“兩維護、一促進”的核心職責,維護市場公開、公平、公正,維護投資者特別是中小投資者合法權益,促進資本市場健康發(fā)展,將形成全方位、多層次稽查執(zhí)法體系,證監(jiān)會職能及工作重點正逐步從審核審批向監(jiān)管執(zhí)法轉(zhuǎn)變,工作重心正逐步從事前把關向事中事后監(jiān)管轉(zhuǎn)移,事前審批(行政許可)、事中監(jiān)管(自律監(jiān)管、日常監(jiān)管)與事后稽查執(zhí)法,將形成互相獨立又互相關聯(lián)的證券市場監(jiān)管體系。根據(jù)WIND統(tǒng)計,截至2016年5月25日,滬深交易所共發(fā)出559件問詢函,與去年同期相比增長了3倍,問詢函涉及的重要內(nèi)容是并購重組,并購中的估值問題成為問詢重點。

隨著《資產(chǎn)評估法》列入我國人大會議程進行審議,資產(chǎn)評估行業(yè)將迎來行業(yè)發(fā)展的里程碑事件?!顿Y產(chǎn)評估法》的通過,一方面能夠更好地明確資產(chǎn)評估的法律地位,保障資產(chǎn)評估從業(yè)機構(gòu)、從業(yè)人員的執(zhí)業(yè)權益;另一方面能夠通過法律監(jiān)管為行業(yè)的健康、持續(xù)發(fā)展提供保護手段。隨著監(jiān)管的加強,資產(chǎn)評估機構(gòu)將更多地關注收益和風險的平衡,少數(shù)只重視短期收益而忽視風險的評估機構(gòu)將面臨法律的制裁。

二、供給側(cè)結(jié)構(gòu)性改革資產(chǎn)評估執(zhí)業(yè)風險分析

(一)資產(chǎn)評估現(xiàn)狀分析

筆者梳理了證監(jiān)會2012年至2015年年度檢查公告、2016年5月立案稽查文件中對資產(chǎn)評估執(zhí)業(yè)中的問題說明,歸納了資產(chǎn)評估行業(yè)執(zhí)業(yè)中的風險。如表(2)所示。

從證監(jiān)會近三年對資產(chǎn)評估機構(gòu)處罰公告中的措辭看,均涉及用語“未勤勉盡責”。2016年5月證監(jiān)會的對6家會計師事務所評估機構(gòu)立案稽查的文件中,首次提及了勤勉盡責定義:勤勉盡責指歸位盡責、勤勉履職,涉及兩個方面的內(nèi)容,歸位盡責是資產(chǎn)評估機構(gòu)和人員,要清楚地明確自己在經(jīng)濟行為中的職能和責任,不要不到位、不要越位,并盡心去做,這是關于執(zhí)業(yè)意識方面的要求;勤勉履職是資產(chǎn)評估機構(gòu)和人員,要獨立、客觀地執(zhí)行自己在評估執(zhí)業(yè)中應該遵守的規(guī)范要求,該做的要做到位、不能做的不要做。

從證監(jiān)會公告的具體問題看,勤勉盡責主要包括四個方面的內(nèi)容:一是獨立性缺失,如第33條,迎合委托人需要,執(zhí)業(yè)程序“走過場”,相關報告“量身定做”;二是執(zhí)行準則不到位,具體細分為未進行必要的現(xiàn)場調(diào)查、未收集充分的評估資料、未按照相關業(yè)務規(guī)則執(zhí)業(yè)、未確定合理的評估假設等,如第23條,部分評估項目關鍵評估參數(shù)的選取缺乏合理依據(jù);三是職業(yè)懷疑不足,如第29條,未對委托方、評估對象提供的評估資料進行獨立分析、調(diào)查與判斷,直接以此為依據(jù)進行評估測算;四是職業(yè)判斷不合理,如第31條,評估過程中重要假設不合理、參數(shù)選用不恰當、公式設置不正確。

(二)資產(chǎn)評估風險界定與分類

資產(chǎn)評估風險指源于業(yè)務經(jīng)濟行為本身的重要性、特殊性、重監(jiān)管,或者因為資產(chǎn)評估機構(gòu)和資產(chǎn)評估師執(zhí)業(yè)能力與業(yè)務需要不匹配,而可能導致的資產(chǎn)評估機構(gòu)、資產(chǎn)評估師出具了重大遺漏的評估報告,或者因為資產(chǎn)評估機構(gòu)和資產(chǎn)評估師主觀意愿,而導致出具了虛假記載、誤導性陳述評估報告,由此可能產(chǎn)生的各項處罰或損失。前者是主觀非主動行為、后者是主觀意愿行為。

主觀非主動風險可以分為兩類:第一類為經(jīng)濟行為風險項目。此類風險是基于業(yè)務經(jīng)濟行為本身的原因,如重要性項目(國資混合所有制改革項目、國資企業(yè)收購民營企業(yè)、去產(chǎn)能目的國資轉(zhuǎn)讓給民資、國資境外并購、國資職工持股項目等);特殊性項目(無形資產(chǎn)評估,高科技企業(yè)、互聯(lián)網(wǎng)公司估值,金融企業(yè)評估等新業(yè)務);重監(jiān)管項目(上市公司重大資產(chǎn)重組、上市公司股權收購、非上市公眾公司重大資產(chǎn)重組等);第二類為技術風險項目,主要是因為承接業(yè)務的資產(chǎn)評估機構(gòu)、機構(gòu)內(nèi)業(yè)務部門或資產(chǎn)評估師,執(zhí)業(yè)能力與業(yè)務技術需要不匹配,可能導致出現(xiàn)執(zhí)業(yè)重大過失而引起報告重大遺漏的項目。

主觀意愿行為風險也可以分為兩類:第一類為資產(chǎn)評估機構(gòu)為了獲取經(jīng)濟利益,主動或被動地接受委托方或相關方的不符合評估規(guī)范的要求,而出具虛假評估報告或誤導性評估報告;第二類為資產(chǎn)評估機構(gòu)因為收費低、工作時間短、態(tài)度不端正等原因,導致必要的評估程序未履行、計算公式錯誤等現(xiàn)象,而出具了虛假評估報告或誤導性評估報告。

第6篇:資產(chǎn)風險評估范文

關鍵詞:商業(yè)銀行;質(zhì)押貸款;貸款風險;無形資產(chǎn)評估

中圖分類號:F830.33 文獻標志碼:A 文章編號:1673-291X(2012)06-0056-02

中國無形資產(chǎn)質(zhì)押貸款融資,目前仍處在探索階段,究其原因,首先在于無形資產(chǎn)的市場價值較難確定。另外,無形資產(chǎn)具有減值風險和變現(xiàn)困難等問題,因此,無形資產(chǎn)質(zhì)押貸款數(shù)量和規(guī)模相比較其他形式的商業(yè)銀行貸融資很小。對于無形資產(chǎn)質(zhì)押貸款尤其是運用知識產(chǎn)權類無形資產(chǎn)質(zhì)押貸款這一重要融資形式,國內(nèi)理論界的研究仍停留在基本概念研究層面。另外,無形資產(chǎn)對企業(yè)生產(chǎn)經(jīng)營的貢獻難以量化,導致新企業(yè)會計準則對于無形資產(chǎn)采用公允價值計量仍缺乏實務操作層面的支持。

一、相關文獻綜述

Horward(1999)指出,利用無形資產(chǎn)質(zhì)押貸款是近幾年才出現(xiàn)的新融資途徑,主要面對企業(yè)向商業(yè)銀行出質(zhì)無形資產(chǎn)。劉建軍(2008)認為,這種新的融資途徑主要通過土地使用權的質(zhì)押得以實現(xiàn),而除土地使用權外的無形資產(chǎn)融資體系在國內(nèi)尚不成熟。宋效軍(2006)也認為,中國目前利用商標權、專利技術、知識產(chǎn)權及人力資本等無形資產(chǎn)的質(zhì)押融資,仍處于嘗試性的探索階段。

隨著經(jīng)濟的發(fā)展和科學技術的創(chuàng)新,理論界一直回響著來自另一個角度的聲音:Kemsley(2004)指出:隨著高新技術和知識經(jīng)濟的高速發(fā)展,現(xiàn)代企業(yè)的價值“已經(jīng)從磚墻等有形資產(chǎn)的價值轉(zhuǎn)向?qū)@夹g、商標權、客戶關系等無形資產(chǎn)中”。陳靜(2009)更直接的認為,伴隨科技的創(chuàng)新和企業(yè)發(fā)展的需求,商業(yè)銀行急需開通知識產(chǎn)權質(zhì)押貸款融資的新渠道。

陳蕾(2010)指出,無形資產(chǎn)因其變現(xiàn)、定價等方面存在較大不確定性,因此,市場對無形資產(chǎn)價值的認可程度,首先應是市場對無形資產(chǎn)評估方法及評估結(jié)論的認可程度。Horward(1999)明確了,收益法相對成本法和市場法而言,具有一定的難度和復雜性,這種難度和復雜性主要體現(xiàn)在對方法和各項評估參數(shù)的選取上。周硯(2011)也指出,市場法和收益法能夠較為真實反映無形資產(chǎn)為產(chǎn)權所有者創(chuàng)造的價值。然而,夏紅芳(2009)則認為,收益現(xiàn)值法應該成為當前階段被業(yè)內(nèi)認可的較為科學的評估無形資產(chǎn)的方法。劉玉平(2011)認為,評估過程中對各項參數(shù)的選取時應盡量選取有證據(jù)支撐的公開市場數(shù)據(jù),盡量避免出現(xiàn)大量的主觀數(shù)據(jù)。

二、商業(yè)銀行無形資產(chǎn)質(zhì)押貸款模式的探索

專利技術是無形資產(chǎn)中最具代表性的個體,其不論數(shù)量還是交易頻率都是知識產(chǎn)權中最大的,然而,在2006年9月之前,中國并沒有專利技術質(zhì)押貸款的先例,銀行系統(tǒng)在此之前也從未打開專利資產(chǎn)質(zhì)押融資的窗口。2006年10月交通銀行北京分行率先打破了僵局,開創(chuàng)了專利資產(chǎn)質(zhì)押貸款的先河,專利資產(chǎn)作為質(zhì)押物通過評估后在交通銀行北京分行可以獲得貸款。為了推進專利技術質(zhì)押貸款業(yè)務,中國從政府到各商業(yè)銀行一直進行著不同形式的探索和實踐。以下簡單列舉近年來各級政府和金融機構(gòu)探索和總結(jié)的較為成功的知識產(chǎn)權質(zhì)押貸款模式。

1.湖南湘潭模式。2006年5月,湖南省湘潭市出臺了《湘潭市商標專用權質(zhì)押貸款管理辦法(試行)》,并在當年9月完成了兩項用商標權質(zhì)押貸款的項目。湘潭模式是由人民銀行與湘潭市工商局共同推進,先試點后推廣,體現(xiàn)了企業(yè)、銀行和政府間的良性互動。通過嚴格篩選,建立起企業(yè)銀行間的互信基礎。通過加強監(jiān)管、確保評估質(zhì)量和機制創(chuàng)新,來降低商業(yè)銀行的金融風險。

2.交通銀行“展業(yè)通”模式。2006 年 10 月,在北京市科委、北京市發(fā)改委和北京市知識產(chǎn)權局的積極推動下,交通銀行北京分行與相關資產(chǎn)評估公司、擔保公司和律師事務所等中介機構(gòu)推出了“展業(yè)通——知識產(chǎn)權質(zhì)押貸款”金融產(chǎn)品,形成了以“與專業(yè)機構(gòu)共同搭建業(yè)務合作與風險控制平臺”為核心的無形資產(chǎn)質(zhì)押模式。通過中小企業(yè)信用公共服務平臺的建立、信用擔保體系建設、中小企業(yè)的融資培訓和融資方式創(chuàng)新等方面的建設全面展開合作。引入了相關專業(yè)領域中優(yōu)秀的機構(gòu)進行知識產(chǎn)權質(zhì)押貸款相關業(yè)務的合作,建立各方協(xié)調(diào)與約束機制形成風險控制體系,分散化解貸款風險。

3.國家開發(fā)銀行的“天津模式”。2005年9月30日,天津市科委與國家開發(fā)銀行天津市分行簽訂了《關于開展向科技型中小企業(yè)貸款業(yè)務合作協(xié)議》,創(chuàng)建促進天津市中小科技型企業(yè)創(chuàng)新發(fā)展的新型融資工具,并組建相關的擔保平臺和貸款平臺。依據(jù)協(xié)議,2005年國家開發(fā)銀行天津市分行面向天津市中小科技型企業(yè)提供1億元的貸款額度,以扶持和培育它們進一步發(fā)展,進而推動天津市高新技術產(chǎn)業(yè)發(fā)展,加強中小企業(yè)信用體系建設。該模式的一個重要特點和創(chuàng)新就是政府機構(gòu)多方介入,搭建擔保平臺和貸款平臺,為企業(yè)和銀行建立了溝通橋梁。通過政府的認可和支持,給予金融機構(gòu)以信心,打消了開發(fā)銀行對企業(yè)經(jīng)營風險、市場風險和技術風險的擔憂,積極促進企業(yè)成功融資。

4.江蘇“南京銀行模式”。為解決科技型中小企業(yè)融資難題,開辟融資的新渠道,江蘇省技術產(chǎn)權交易所利用自身優(yōu)勢和南京銀行股份有限公司共同探索出中小科技型企業(yè)利用知識產(chǎn)權質(zhì)押貸款業(yè)務模式。該模式通過江蘇省技術產(chǎn)權交易所全程免費參與、策劃和協(xié)調(diào),嚴格篩選優(yōu)質(zhì)的目標企業(yè)提高知識產(chǎn)權質(zhì)押貸款成功率,多方合作提高對質(zhì)押標的價值評估的客觀性和權威性,選擇有資質(zhì)的資產(chǎn)評估公司對質(zhì)押標的價值進行評估,同時還邀請有關院校的行業(yè)專家對企業(yè)知識產(chǎn)權的真實性進行論證,并提供書面意見。

三、商業(yè)銀行在無形資產(chǎn)質(zhì)押貸款中的風險

商業(yè)銀行作為質(zhì)押貸款的發(fā)放人,直接承擔的是還款人的違約風險。在整個信貸過程中,商業(yè)銀行的角色包括:評估報告審核人、貸款額度決策者、貸款發(fā)放人、資金使用監(jiān)督人、還款監(jiān)督人和違約風險承擔者。

貸款發(fā)放后,商業(yè)銀行便一直承擔信用風險,直到還款人歸還貸款。因此在貸款發(fā)放之前,是商業(yè)銀行防控風險的最佳階段。商業(yè)銀行有自身的審貸程序,但除了對申請人資信能力的調(diào)查和貸款質(zhì)押率的判斷外,商業(yè)銀行在審貸程序的全程中最為重要的依據(jù)就是評估機構(gòu)出具的最終評估報告。因此,評估報告和貸款質(zhì)押率的重要性不言而喻。另外,收益法評估無形資產(chǎn)的結(jié)果相對于無形資產(chǎn)的原始成本而言可能會有較大幅度的增值。商業(yè)銀行對這種增值認可的程度也在一定程度上提高或降低了自身的風險。為避免人為因素對貸款額的影響,對同等類型的無形資產(chǎn),商業(yè)銀行認可的貸款質(zhì)押率基本相同或相似。但對于相同類型的無形資產(chǎn)來說,其評估結(jié)果的差別非常大。這就決定了最終貸款的額度與評估結(jié)果直接正相關。并且商業(yè)銀行一般不參與評估過程,只能通過評估報告和評估說明對評估過程進行了解和關注。因此,對評估方法以及評估過程中所選用數(shù)據(jù)的控制成為商業(yè)銀行防控無形資產(chǎn)質(zhì)押貸款信用風險的關鍵。因此,商業(yè)銀行應當著重研究自身認可的同時適用于無形資產(chǎn)質(zhì)押貸款的評估方法。

四、商業(yè)銀行知識產(chǎn)權類無形資產(chǎn)貸款額度的確定

收益法評估無形資產(chǎn)主要從無形資產(chǎn)收益年限、無形資產(chǎn)收益預測、無形資產(chǎn)分成率和折現(xiàn)率四個方面入手。因質(zhì)押貸款評估目的的特殊性,并為避免主觀因素影響評估結(jié)果,商業(yè)銀行在要求評估機構(gòu)和評估師對知識產(chǎn)權類無形資產(chǎn)進行評估時,一般要求采用以下方法:(1)自上而下法預測未來年度收益;(2)期權定價模型測算無形資產(chǎn)分成率;(3)WARA法測算無形資產(chǎn)折現(xiàn)率。

在上述方法的應用過程中,應同時結(jié)合計量經(jīng)濟學建模、模糊矩陣等方法,并從公開市場獲取所需數(shù)據(jù),以達到盡量減小評估結(jié)果波動范圍,使評估結(jié)果客觀、公正反映無形資產(chǎn)市場價值,降低商業(yè)銀行信貸風險的目的。

質(zhì)押率是指擬質(zhì)押物評估值與最終貸款額之比。在房地產(chǎn)抵押貸款中,其抵押率一般為60%~70% 。但知識產(chǎn)權類無形資產(chǎn)的風險性遠遠高于房地產(chǎn),因此,其質(zhì)押率遠低于房地產(chǎn)貸款的抵押率。在中國知識產(chǎn)權質(zhì)押融資實踐中,質(zhì)押率的水平,發(fā)明專利最高為 40%,實用新型專利最高為30%;馳名商標最高為 40%,普通商標最高為30%。質(zhì)押率的高低,與質(zhì)押物資產(chǎn)的穩(wěn)定性、風險性的特點密切相關。實務操作中,一旦確定了擬質(zhì)押標的的評估結(jié)果,再結(jié)合商業(yè)銀行無形資產(chǎn)質(zhì)押率,就可以確定無形資產(chǎn)最終的貸款額度。

參考文獻:

[1] John A.Horward,Basle Committee on Banking Supervision,A New Capital Adequacy Framework,Basle: Consultative Paper,1999.

[2] Kemsley,D and D.Nissim,Valuation of the Debt Tax Shield[J].Journal of Finance,2004,(3):57.

[3] 劉建軍.中小企業(yè)知識產(chǎn)權質(zhì)押貸款介紹[J].中國資產(chǎn)評估,2008,(2):24-26.

[4] 宋效軍,任若恩,張曉晴.商業(yè)銀行運用內(nèi)部評級法構(gòu)造風險管理體系[J].企業(yè)經(jīng)濟,2006,(4):17.

[5] 陳靜.淺談金融危機背景下中國銀行業(yè)的信用風險管理[J].現(xiàn)代商業(yè),2009,(21):14-16.

[6] 陳蕾,梅良勇.無形資產(chǎn)質(zhì)押與評估面臨的障礙及對策探討[J].財會月刊,2010,(6):37-38.

[7] 周硯.加強知識產(chǎn)權評估應用[J].中國資產(chǎn)評估,2011,(3):12-13.

第7篇:資產(chǎn)風險評估范文

關鍵詞:信息安全;風險評估;風險分析

中圖分類號:TP311 文獻標識碼:A 文章編號:1007-9599 (2011) 22-0000-01

Research and Design of Power Information Network Risk Assessment Auxiliary System

Yang Dawei1,2,Liu Yu2

(1.School of Control and Computer Engineering North China Electric Power University,Baoding 071003,China;2.Panjin Power Supply Company,Panjin 124000,China)

Abstract:This paper designed a multi-expert assessment system,which runs in strict accordance with the"Guide"to assess the risk assessment process,making assessment results more comprehensive and objective.

Keywords:Information Security;Risk Assessment;Risk Analysis

一、前言

電力系統(tǒng)越來越依賴電力信息網(wǎng)絡來保障其安全、可靠、高效的運行,該數(shù)據(jù)信息網(wǎng)絡出現(xiàn)的任何信息安全方面的問題都可能波及電力系統(tǒng)的安全、穩(wěn)定、經(jīng)濟運行,因此電力信息網(wǎng)絡的安全保障工作刻不容緩[1,2]。風險評估具體的評估方法從早期簡單的純技術操作,逐漸過渡到目前普遍采用BS7799、OCTAVE、ISO13335、NIST SP800-30等相關標準的方法,充分體現(xiàn)以資產(chǎn)為出發(fā)點,以威脅為觸發(fā),以技術、管理、運行等方面存在的脆弱性為誘因的信息安全風險評估綜合方法及操作模型[3]。

二、信息安全風險評估

在我國,風險評估工作已經(jīng)完成了調(diào)查研究階段、標準草案編制階段和全國試點工作階段,國信辦制定的標準草案《信息安全風險評估指南》[4](簡稱《指南》)得到了較好地實踐。本文設計的工具是基于《指南》的,涉及內(nèi)容包括:

(一)風險要素關系。圍繞著資產(chǎn)、威脅、脆弱性和安全措施這些基本要素展開,在對基本要素的評估過程中,需要充分考慮業(yè)務戰(zhàn)略、資產(chǎn)價值、安全需求、安全事件、殘余風險等與基本要素相關的各類屬性。

(二)風險分析原理。資產(chǎn)的屬性是資產(chǎn)價值;威脅的屬性可以是威脅主體、影響對象、出現(xiàn)頻率、動機等;脆弱性的屬性是資產(chǎn)弱點的嚴重程度。

(三)風險評估流程。包括風險評估準備、資產(chǎn)識別、威脅識別、脆弱性識別、已有安全措施確認、風險分析、風險消減[5]。

三、電力信息網(wǎng)風險評估輔助系統(tǒng)設計與實現(xiàn)

本文設計的信息安全風險評估輔助系統(tǒng)是基于《指南》的標準,設計階段參考了Nipc-RiskAssessTool-V2.0,Microsoft Security Risk Self-Assessment Tool等風險評估工具。系統(tǒng)采用C/S結(jié)構(gòu),是一個多專家共同評估的風險評估工具。分為知識庫管理端、信息庫管理端、系統(tǒng)評估端、評估管理端。其中前兩個工具用于更新知識庫和信息庫。后兩個工具是風險評估的主體。下面對系統(tǒng)各部分的功能模塊進行詳細介紹:

(一)評估管理端。評估管理端控制風險評估的進度,綜合管理系統(tǒng)評估端的評估結(jié)果。具體表現(xiàn)在:開啟評估任務;分配風險評估專家;對準備階段、資產(chǎn)識別階段、威脅識別階段、脆弱性識別階段、已有控制措施識別階段、風險分析階段、選擇控制措施階段這七個階段多個專家的評估進行確認,對多個專家的評估數(shù)據(jù)進行綜合,得到綜合評估結(jié)果。

(二)系統(tǒng)評估端。系統(tǒng)評估端由多個專家操作,同時開展評估。系統(tǒng)評估端要經(jīng)歷如下階段:a.準備階段:評估系統(tǒng)中CIA的相對重要性;b.資產(chǎn)識別階段;c.威脅識別階段;d.脆弱性識別階段;e.已有控制措施識別階段;f.風險分析階段;g.控制措施選擇階段。在完成了風險評估的所有階段之后,和評估管理端一樣,可以瀏覽、導出、打印評估的結(jié)果―風險評估報表系列。

(三)信息庫管理端。信息庫管理端由資產(chǎn)管理,威脅管理,脆弱點管理,控制措施管理四部分組成。具體功能是:對資產(chǎn)大類、小類進行管理;對威脅列表進行管理;對脆弱點大類、列表進行管理;對控制措施列表進行管理。

(四)知識庫管理端。知識庫的管理分為系統(tǒng)CIA問卷管理,脆弱點問卷管理,威脅問卷管理,資產(chǎn)屬性問卷管理,控制措施問卷管理,控制措施損益問卷管理六部分。

四、總結(jié)

信息安全風險評估是一個新興的領域,本文在介紹了信息安全風險評估研究意義的基礎之上,詳細闡述了信息安全風險評估輔助工具的結(jié)構(gòu)設計和系統(tǒng)主要部分的功能描述。測試結(jié)果表明系統(tǒng)能對已有的控制措施進行識別,分析出已有控制措施的實施效果,為風險處理計劃提供依據(jù)。

參考文獻:

[1]Huisheng Gao,Yiqun Sun,Research on Indices System of Security Risk Evaluation for Electric Power.Optical Fiber Communication Network,IEEE,2007.

[2]Masami Hasegawa,Toshiki Ogawa,Security Measures for the Manufacture and Control System,SICE Annual Conference 2007.

[3]左曉棟等.對信息安全風險評估中幾個重要問題的認識[J].計算機安全,2004,7:64-66

第8篇:資產(chǎn)風險評估范文

【關鍵詞】安全風險;安全措施;風險評估報告

1.前言

建筑業(yè)是危險性較大的行業(yè)之一,安全生產(chǎn)管理的任務十分艱巨,安全生產(chǎn)不僅關系到廣大群眾的根本利益,也關系到企業(yè)的形象,還關系到國家和民族的形象,甚至影響著社會的穩(wěn)定和發(fā)展。黨的十六屆五中全會確立了“安全生產(chǎn)”的指導原則,我國“十一五”發(fā)展規(guī)劃中首次提出了“安全發(fā)展”的新理念。所有這些表明,安全生產(chǎn)已成為生產(chǎn)經(jīng)營活動的基本保障,更是當前建筑工程行業(yè)管理的首要目標。

風險評估的目的是為了全面了解建設安全的總體安全狀況,并明確掌握系統(tǒng)中各資產(chǎn)的風險級別或風險值,從而為工程安全管理措施的制定提供參考。因此可以說風險評估是建立安全管理體系(ISMS)的基礎,也是前期必要的工作。風險評估包括兩個過程:風險分析和風險評價[1][2]。風險分析是指系統(tǒng)化地識別風險來源和風險類型,風險評價是指按給出的風險標準估算風險水平,確定風險嚴重性。

2.風險評估模型與方法

風險評估安全要素主要包括資產(chǎn)、脆弱性、安全風險、安全措施、安全需求、殘余風險。在風險評估的過程中要對以上方面的安全要素進行識別、分析。

2.1 資產(chǎn)識別與賦值

一個組織的信息系統(tǒng)是由各種資產(chǎn)組成,資產(chǎn)的自身價值與衍生價值決定信息系統(tǒng)的總體價值。資產(chǎn)的安全程度直接反映信息系統(tǒng)的安全水平。因此資產(chǎn)的價值是風險評估的對象。

本文的風險評估方法將資產(chǎn)主要分為硬件資產(chǎn)、軟件資產(chǎn)、文檔與數(shù)據(jù)、人力資源、信息服務等[1][2]。建設工程的資產(chǎn)主要體現(xiàn)在建筑產(chǎn)品、施工人員、施工機械等。

風險評估的第一步是界定ISMS的范圍,并盡可能識別該范圍內(nèi)對業(yè)務過程有價值的所有事物。

資產(chǎn)識別與賦值階段主要評價要素為{資產(chǎn)名稱、責任人、范圍描述、機密性值C、完整性值I、可用性值A、QC、QI、QA}。QC、QI、QA分別為保密性,完整性,可用性的權重,QC=C / (C+I+A),QI、QA類似。

2.2 識別重要資產(chǎn)

信息系統(tǒng)內(nèi)部的資產(chǎn)很多,但決定工程安全水平的關鍵資產(chǎn)是相對有限的,在風險評估中可以根據(jù)資產(chǎn)的機密性、完整性和可用性這三個安全屬性來確定資產(chǎn)的價值。

通常,根據(jù)實際經(jīng)驗,三個安全屬性中最高的一個對最終的資產(chǎn)價值影響最大。換而言之,整體安全屬性的賦值并不隨著三個屬性值的增加而線性增加,較高的屬性值具有較大的權重。

在風險評估方法中使用下面的公式來計算資產(chǎn)價值:

資產(chǎn)價值=10×Round{Log2[(2C+2I+2A)/3]}

其中,C代表機密性賦值;I代表完整性賦值;A代表可用性賦值;Round{}表示四舍五入。

從上述表達式可以發(fā)現(xiàn):三個屬性值每相差一,則影響相差兩倍,以此來體現(xiàn)最高安全屬性的決定性作用。在實際評估中,常常選擇資產(chǎn)價值大于25的為重要資產(chǎn)。

2.3 威脅與脆弱性分析

識別并評價資產(chǎn)后,應識別每個資產(chǎn)可能面臨的威脅。在識別威脅時,應該根據(jù)資產(chǎn)目前所處的環(huán)境條件和以前的記錄情況來判斷。需要注意的是,一項資產(chǎn)可能面臨多個威脅,而一個威脅也可能對不同的資產(chǎn)造成影響。

識別威脅的關鍵在于確認引發(fā)威脅的人或事物,即所謂的威脅源或威脅。建筑企業(yè)的威脅源主要是四個方面:人的不安全行為,物的不安全因素、環(huán)境的不安全因素、管理的不安全因素。

識別資產(chǎn)面臨的威脅后,還應根據(jù)經(jīng)驗或相關的統(tǒng)計數(shù)據(jù)來判斷威脅發(fā)生的頻率或概率。評估威脅可能性時有兩個關鍵因素需要考慮:威脅動機和威脅能力。威脅源的能力和動機可以用極低、低、中等、高、很高(1、2、3、4、5)這五級來衡量。脆弱性,即可被威脅利用的弱點,識別主要以資產(chǎn)為核心,從技術和管理兩個方面進行。在評估中可以分為五個等級:幾乎無(1)、輕微(2)、一般(3)、嚴重(4)、非常嚴重(5)。在風險評估中,現(xiàn)有安全措施的識別也是一項重要工作,因為它也是決定資產(chǎn)安全等級的一個重要因素。我們要在分析安全措施效力的基礎上,確定威脅利用脆弱性的實際可能性。

2.4 綜合風險值

資產(chǎn)的綜合風險值是以量化的形式來衡量資產(chǎn)的安全水平。在計算風險值時,以威脅最主要影響資產(chǎn)C、I、A三安全屬性所對應的系數(shù)QC、QI、QA為權重。計算方法為:

威脅的風險值(RT)=威脅的影響值(I)×威脅發(fā)生的可能性(P);

2.5 風險處理

通過前面的過程,我們得到資產(chǎn)的綜合風險值,根據(jù)組織的實際情況,和管理層溝通后劃定臨界值來確定被評估的風險結(jié)果是可接收還是不可接收的。

對于不可接收的風險按風險數(shù)值排序或通過區(qū)間劃分的方法將風險劃分為不同的優(yōu)先等級,對于風險級別高的資產(chǎn)應優(yōu)先分配資源進行保護。

對于不可接收的風險處理方法有四種[3]:

1)風險回避,組織可以選擇放棄某些業(yè)務或資產(chǎn),以規(guī)避風險。是以一定的方式中斷風險源,使其不發(fā)生或不再發(fā)展,從而避免可能產(chǎn)生的潛在損失。例如投標中出現(xiàn)明顯錯誤或漏洞,一旦中標損失巨大,可以選擇放棄中標的原則,可能會損失投標保證金,但可避免更大的損失。

2) 降低風險:實施有效控制,將風險降低到可接收的程度,實際上就是設法減少威脅發(fā)生的可能性和帶來的影響,途徑包括:

a.減少威脅:例如降低物的不安全因素和人的不安全因素。

b.減少脆弱性:例如,通過安全教育和意識培訓,強化員工的安全意識等。

c.降低影響:例如災難計劃,把風險造成的損失降到最低。

d.監(jiān)測意外事件、響應,并恢復:例如應急計劃和預防計劃,及時發(fā)現(xiàn)出現(xiàn)的問題。

3)轉(zhuǎn)移風險:將風險全部或者部分轉(zhuǎn)移到其他責任方,是建筑行業(yè)風險管理中廣泛采用的一項對策,例如,工程保險和合同轉(zhuǎn)移是風險轉(zhuǎn)移的主要方式。

4)風險自留: 適用于別無選擇、期望損失不嚴重、損失可準確預測、企業(yè)有短期內(nèi)承受最大潛在損失的能力、機會成本很大、內(nèi)部服務優(yōu)良的風險。

選擇風險處理方式,要根據(jù)組織運營的具體業(yè)務環(huán)境與條件來決定,總的原則就是控制措施要與特定的業(yè)務要求匹配。最佳實踐是將合適的技術、恰當?shù)娘L險消減策略,以及管理規(guī)范有機結(jié)合起來,這樣才能達到較好的效果。

通過風險處理后,并不能絕對消除風險,仍然存在殘余風險:

殘余風險Rr =原有的風險Ro-控制R

目標:殘余風險Rr≤可接收的風險Rt,力求將殘余風險保持在可接受的范圍內(nèi),對殘余風險進行有效控制并定期評審。

主要評估兩方面:不可接受風險處理計劃表,主要評價要素為{資產(chǎn)名稱、責任人、威脅、脆弱點、已有控制措施、風險處理方式、優(yōu)先處理等級、風險處理措施、處理人員、完成日期};殘余風險評估表,主要評價要素為{資產(chǎn)名稱、責任人、威脅、脆弱點、已有控制措施、增加的控制措施、殘余威脅發(fā)生可能性、殘余威脅影響程度、殘余風險值}。

2.6 風險評估報告

在風險評估結(jié)束后,經(jīng)過全面分析研究,應提交詳細的《安全風險評估報告》,報告應該包括[4]:

1) 概述,包括評估目的、方法、過程等。

2) 各種評估過程文檔,包括重要資產(chǎn)清單、安全威脅和脆弱性清單、現(xiàn)有控制措施的評估等級,最終的風險評價等級、殘余風險處理等。

3)推薦安全措施建議。

3.結(jié)論

目前仍有相當一部分施工現(xiàn)場存在各種安全隱患,安全事故層出不群,不僅給人們帶來劇痛的傷亡和財產(chǎn)損失,還給社會帶來不穩(wěn)定的因素。風險評估是工程安全領域中的一個重要分支,涉及到計算機科學、管理學、建筑工程安全技術與管理等諸多學科,本文的評估方法綜合運用了定性、定量的手段來確定建設工程中各個安全要素,最終衡量出建設工程的安全狀況與水平,為建立安全管理體系ISMS提供基礎,對建設工程的風險評估具有一定的借鑒意義。

參考文獻:

[1]ISO/IEC 17799:2000 Information Technology-Code of Practice for Information Security Management.

[2]BS7799-2:2002.Information Security Management-Specification for Information Security Management Systems.

第9篇:資產(chǎn)風險評估范文

數(shù)字校園是以校園網(wǎng)為背景的集教學、管理和服務為一體的一種新型的數(shù)字化工作、學習和生活環(huán)境。一個典型的數(shù)字校園包括各種常用網(wǎng)絡服務、共享數(shù)據(jù)庫、身份認證平臺、各種業(yè)務管理系統(tǒng)和信息門戶網(wǎng)站等[1]。數(shù)字校園作為一個龐大復雜的信息系統(tǒng),構(gòu)建和維護一個良好的信息安全管理體系是一項非常重要的基礎管理工作。

信息安全風險評估是構(gòu)建和維護信息安全管理體系的基礎和關鍵環(huán)節(jié),它通過識別組織的重要信息資產(chǎn)、資產(chǎn)面臨的威脅以及資產(chǎn)自身的脆弱性,評估外部威脅利用資產(chǎn)的脆弱性導致安全事件發(fā)生的可能性,判斷安全事件發(fā)生后對組織造成的影響。對數(shù)字校園進行信息安全風險評估有助于及時發(fā)現(xiàn)和解決存在的信息安全問題,保證數(shù)字校園的業(yè)務連續(xù)性,并為構(gòu)建一個良好的信息安全管理體系奠定堅實基礎。

二、評估標準

由于信息安全風險評估的基礎性作用,包括我國在內(nèi)的信息化程度較高的國家以及相關國際組織都非常重視相關標準和方法的研究。目前比較成熟的標準和方法有ISO制定的《IT信息安全管理指南》(ISO/IEC13335)和《信息安全管理體系要求》(ISO/IEC27001:2005)、美國NIST制定的SP800系列標準、美國CMU軟件工程研究所下屬的CERT協(xié)調(diào)中心開發(fā)的OCTAVE2.0以及我國制定的《信息安全技術——信息安全風險評估規(guī)范》(GB/T20984-2007)。

ISO/IEC27001系列標準于2005年10月15日正式,作為一種全球性的信息安全管理國際標準適用于任何組織的信息安全管理活動,同時也為評估組織的信息安全管理水平提供依據(jù)。但是ISO27001系列標準沒有制定明確的信息安全風險評估流程,組織可以自行選擇適合自身特點的信息安全風險評估方法,如OCTAVE2.0等[2][3]。

為了指導我國信息安全風險評估工作的開展,我國于2007年11月正式頒布了《信息安全技術——信息安全風險評估規(guī)范》(GB/T20984-2007),這是我國自主研究和制定的信息安全風險評估標準,該標準與ISO27001系列標準思想一致,但對信息安全風險評估過程進行了細化,使得更加適合我國企業(yè)或者組織的信息安全風險評估工作開展。

三、評估流程

《信息安全技術——信息安全風險評估規(guī)范》(GB/T20984-2007)等標準為風險評估提供了方法論和流程,為風險評估各個階段的工作制定了規(guī)范,但標準沒有規(guī)定風險評估實施的具體模型和方法,由風險評估實施者根據(jù)業(yè)務特點和組織要求自行決定。本文根據(jù)數(shù)字校園的業(yè)務流程和所屬資產(chǎn)的特點,參考模糊數(shù)學、OCTAVE的構(gòu)建威脅場景理論和通用弱點評價體系(CVSS)等風險評估技術,提出了數(shù)字校園信息安全風險評估的具體流程和整體框架,如圖1所示。

據(jù)圖1可知,數(shù)字校園的信息安全風險評估首先在充分識別數(shù)字校園的信息資產(chǎn)、資產(chǎn)面臨的威脅以及可被威脅利用的資產(chǎn)脆弱性的基礎上,確定資產(chǎn)價值、威脅等級和脆弱性等級,然后根據(jù)風險矩陣計算得出信息資產(chǎn)的風險值分布表。數(shù)字校園信息安全風險評估的詳細流程如下:

(1)資產(chǎn)識別:根據(jù)數(shù)字校園的業(yè)務流程,從硬件、軟件、電子數(shù)據(jù)、紙質(zhì)文檔、人員和服務等方面對數(shù)字校園的信息資產(chǎn)進行識別,得到資產(chǎn)清單。資產(chǎn)的賦值要考慮資產(chǎn)本身的實際價格,更重要的是要考慮資產(chǎn)對組織的信息安全重要程度,即信息資產(chǎn)的機密性、完整性和可用性在受到損害后對組織造成的損害程度,預計損害程度越高則賦值越高。

在確定了資產(chǎn)的機密性、完整性和可用性的賦值等級后,需要經(jīng)過綜合評定得出資產(chǎn)等級。綜合評定方法一般有兩種:一種方法是選取資產(chǎn)機密性、完整性和可用性中最為重要的一個屬性確定資產(chǎn)等級;還有一種方法是對資產(chǎn)機密性、完整性和可用性三個賦值進行加權計算,通常采用的加權計算公式有相加法和相乘法,由組織根據(jù)業(yè)務特點確定。

設資產(chǎn)的機密性賦值為,完整性賦值為,可用性賦值為,資產(chǎn)等級值為,則

相加法的計算公式為v=f(x,y,z)=ax+by+cz,其中a+b+c=1(1)

(2)威脅識別:威脅分為實際威脅和潛在威脅,實際威脅識別需要通過訪談和專業(yè)檢測工具,并通過分析入侵檢測系統(tǒng)日志、服務器日志、防火墻日志等記錄對實際發(fā)生的威脅進行識別和分類。潛在威脅識別需要查詢資料分析當前信息安全總體的威脅分析和統(tǒng)計數(shù)據(jù),并結(jié)合組織業(yè)務特點對潛在可能發(fā)生的威脅進行充分識別和分類。

(3)脆弱性識別:脆弱性是資產(chǎn)的固有屬性,既有信息資產(chǎn)本身存在的漏洞也有因為不合理或未正確實施的管理制度造成的隱患。軟件系統(tǒng)的漏洞可以通過專業(yè)的漏洞檢測軟件進行檢測,然后通過安裝補丁程序消除。而管理制度造成的隱患需要進行充分識別,包括對已有的控制措施的有效性也一并識別。

(4)威脅—脆弱性關聯(lián):為了避免單獨對威脅和脆弱性進行賦值從而造成風險分析計算結(jié)果出現(xiàn)偏差,需要按照OCTAVE中的構(gòu)建威脅場景方法將“資產(chǎn)-威脅-脆弱性-已有安全控制措施”進行關聯(lián)。

(5)風險值計算:在資產(chǎn)、威脅、脆弱性賦值基礎上,利用風險計算方法計算每個“資產(chǎn)-威脅-脆弱性”相關聯(lián)的風險值,并最終得到整個數(shù)字校園的風險值分布表,并依據(jù)風險接受準則,確認可接受和不可接受的風險。

四、評估實例

本文以筆者所在高職院校的數(shù)字校園作為研究對象實例,利用前面所述的信息安全風險評估流程對該實例對象進行信息安全風險評估。

1.資產(chǎn)識別與評估

數(shù)字校園的資產(chǎn)識別與評估包括資產(chǎn)識別和資產(chǎn)價值計算。

(1)資產(chǎn)識別

信息安全風險評估專家、數(shù)字校園管理技術人員和數(shù)字校園使用部門代表共同組成數(shù)字校園信息資產(chǎn)識別小組,小組通過現(xiàn)場清查、問卷調(diào)查、查看記錄和人員訪談等方式,按照數(shù)字校園各個業(yè)務系統(tǒng)的工作流程,詳細地列出數(shù)字校園的信息資產(chǎn)清單。這些信息資產(chǎn)從類別上可以分為硬件(如服務器、存儲設備、網(wǎng)絡設備等)、軟件(OA系統(tǒng)、郵件系統(tǒng)、網(wǎng)站等)、電子數(shù)據(jù)(各種數(shù)據(jù)庫、各種電子文檔等)、紙質(zhì)文檔(系統(tǒng)使用手冊、工作日志等)、人員和服務等。為了對資產(chǎn)進行標準化管理,識別小組對各個資產(chǎn)進行了編碼,便于標準化和精確化管理。

(2)資產(chǎn)價值計算

獲得數(shù)字校園的信息資產(chǎn)詳細列表后,資產(chǎn)識別小 組召開座談會確定每個信息資產(chǎn)的價值,即對資產(chǎn)的機密性、完整性、可用性進行賦值,三性的賦值為1~5的整數(shù),1代表對組織造成的影響或損失最低,5代表對組織造成的影響或損失最高。確定資產(chǎn)的信息安全屬性賦值后,結(jié)合該數(shù)字校園的特點,采用相加法確定資產(chǎn)的價值。該數(shù)字校園的軟件類資產(chǎn)計算樣例表如下表1所示。

由于資產(chǎn)價值的計算結(jié)果為1~5之間的實數(shù),為了與資產(chǎn)的機密性、完整性、可用性賦值相對應,需要對資產(chǎn)價值的計算結(jié)果歸整,歸整后的數(shù)字校園軟件類資產(chǎn)的資產(chǎn)等級結(jié)果如表1所示。

因為數(shù)字校園的所有信息資產(chǎn)總數(shù)龐大,其中有些很重要,有些不重要,重要的需要特別關注重點防范,不重要的可以不用考慮或者減少投入。在識別出所有資產(chǎn)后,還需要列出所有的關鍵信息資產(chǎn),在以后的日常管理中重點關注。不同的組織對關鍵資產(chǎn)的判斷標準不完全相同,本文將資產(chǎn)等級值在4以上(包括4)的資產(chǎn)列為關鍵信息資產(chǎn),并在資產(chǎn)識別清單中予以注明,如表1所示。

2.威脅和脆弱性識別與評估

數(shù)字校園與其他計算機網(wǎng)絡信息系統(tǒng)一樣面臨著各種各樣的威脅,同時數(shù)字校園作為一種在校園內(nèi)部運行的網(wǎng)絡信息系統(tǒng)面臨的威脅的種類和分布有其自身特點。任何威脅總是通過某種具體的途徑或方式作用到特定的信息資產(chǎn)之上,通過破壞資產(chǎn)的一個或多個安全屬性而產(chǎn)生信息安全風險,即任何威脅都是與資產(chǎn)相關聯(lián)的,一項資產(chǎn)可能面臨多個威脅,一個威脅可能作用于多項資產(chǎn)。威脅的識別方法是在資產(chǎn)識別階段形成的資產(chǎn)清單基礎上,以關鍵資產(chǎn)為重點,從系統(tǒng)威脅、自然威脅、環(huán)境威脅和人員威脅四個方面對資產(chǎn)面臨的威脅進行識別。在分析數(shù)字校園實際發(fā)生的網(wǎng)絡威脅時,需要檢查入侵檢測系統(tǒng)、服務器日志文件等記錄的數(shù)據(jù)。

脆弱性是指資產(chǎn)中可能被威脅所利用的弱點。數(shù)字校園的脆弱性是數(shù)字校園在開發(fā)、部署、運維等過程中由于技術不成熟或管理不完善產(chǎn)生的一種缺陷。它如果被相關威脅利用就有可能對數(shù)字校園的資產(chǎn)造成損害,進而對數(shù)字校園造成損失。數(shù)字校園的脆弱性可以分為技術脆弱性和管理脆弱性兩種。技術脆弱性主要包括操作系統(tǒng)漏洞、網(wǎng)絡協(xié)議漏洞、應用系統(tǒng)漏洞、數(shù)據(jù)庫漏洞、中間件漏洞以及網(wǎng)絡中心機房物理環(huán)境設計缺陷等等。管理脆弱性主要由技術管理與組織管理措施不完善或執(zhí)行不到位造成。

技術脆弱性的識別主要采用問卷調(diào)查、工具檢測、人工檢查、文檔查閱、滲透性測試等方法。因為大部分技術脆弱性與軟件漏洞有關,因此使用漏洞檢測工具檢測脆弱性,可以獲得較高的檢測效率。本文采用啟明星辰公司研發(fā)的天鏡脆弱性掃描與管理系統(tǒng)對數(shù)字校園進行技術脆弱性識別和評估。

管理脆弱性識別的主要內(nèi)容就是對數(shù)字校園現(xiàn)有的安全控制措施進行識別與確認,有效的安全控制措施可以降低安全事件發(fā)生的可能性,無效的安全控制措施會提高安全事件發(fā)生的可能性。安全控制措施大致分為技術控制措施、管理和操作控制措施兩大類。技術控制措施隨著數(shù)字校園的建立、實施、運行和維護等過程同步建設與完善,具有較強的針對性,識別比較容易。管理和操作控制措施識別需要對照ISO27001標準的《信息安全實用規(guī)則指南》或NIST的《最佳安全實踐相關手冊》制訂的表格進行,避免遺漏。

3.風險計算

完成數(shù)字校園的資產(chǎn)識別、威脅識別、脆弱性識別和已有控制措施識別任務后,進入風險計算階段。

對于像數(shù)字校園這類復雜的網(wǎng)絡信息系統(tǒng),需要采用OCTAVE標準提供的“構(gòu)建威脅場景”方法進行風險分析。“構(gòu)建威脅場景”方法基于“具體問題、具體分析”的原則,理清“資產(chǎn)-威脅-脆弱性-已有控制措施”的內(nèi)在聯(lián)系,避免了孤立地評價威脅導致風險計算結(jié)果出現(xiàn)偏差的局面。表2反映了數(shù)字校園圖書館管理系統(tǒng)的資產(chǎn)、威脅、脆弱性、已有控制措施的映射示例。

將“資產(chǎn)—威脅—脆弱性—已有控制措施”進行映射后,就可以按照GB/T20984-2007《信息安全風險評估規(guī)范》要求進行風險計算。為了便于計算,需要將前面各個階段獲得資產(chǎn)、威脅、脆弱性賦值與表3所示的“資產(chǎn)—威脅—脆弱性—已有控制措施”映射表合并,因為在對脆弱性賦值的時候已經(jīng)考慮了已有控制措施的有效性,因此可以將已有控制措施去掉。

本文采用的風險計算方法為《信息安全風險評估規(guī)范》中推薦的矩陣法,風險值計算公式為:R=R(A,T,V)=R(L(T,V)F(Ia,Va))。其中,R表示安全風險計算函數(shù);A表示資產(chǎn);T表示威脅;V表示脆弱性;Ia表示安全事件所作用的資產(chǎn)重要程度;Va表示脆弱性嚴重程度;L表示威脅利用資產(chǎn)的脆弱性導致安全事件發(fā)生的可能性;F表示安全事件發(fā)生后產(chǎn)生的損失。

風險計算的具體步驟是:

(a)根據(jù)威脅賦值和脆弱性賦值,查詢《安全事件可能性矩陣》計算安全事件可能性值;

(b)對照《安全事件可能性等級劃分矩陣》將安全事件可能性值轉(zhuǎn)換為安全事件可能性等級值;

(c)根據(jù)資產(chǎn)賦值和脆弱性賦值,查詢《安全事件損失矩陣》計算安全事件損失值;

(d)對照《安全事件損失等級劃分矩陣》將安全事件損失值轉(zhuǎn)換為安全事件損失等級值;

(e)根據(jù)安全事件可能性等級值和安全事件損失等級值,查詢《風險矩陣》計算安全事件風險值;

(f)對照《風險等級劃分矩陣》將安全事件風險值轉(zhuǎn)換為安全事件風險等級值。

所有等級值均采用五級制,1級最低,5級最高。

五、結(jié)束語

數(shù)字校園是現(xiàn)代高校信息化的重要基礎設施,數(shù)字校園的安全穩(wěn)定直接關系到校園的安全穩(wěn)定,而風險評估是保證數(shù)字校園安全穩(wěn)定的一項基礎性工作。本文的信息安全風險評估方法依據(jù)國家標準,采用定性和定量相結(jié)合的方式,保證了信息安全風險評估的有效性和科學性,使得風險評估結(jié)果能對后續(xù)建立數(shù)字校園的信息安全管理體系起到指導作用。

參考文獻:

[1]宋玉賢.高職院校數(shù)字化校園建設的策略研究[J].中國教育信息化,2010(4).