管理学风险评估名词解释

风险评估有什么内容？风险评估概念有广义和狭义之别。广义的风险评估相当于风险管理，包括目标确定、风险识别、风险评估(风险计价、风险分析、风险评价)以及风险应对等主要内容。笔者认为，可以将风险评估直接细化为风险计价、风险分析、风险评价。狭义的风险评估是在风险识别的基础上对风险进行计量、分析、判断、排序的过程，包括风险计价、风险分析、风险评价等步骤，是风险应对、风险控制的主要依据。此外，还有更狭义的风险评估的定义，是指在风险识别的基础上，企业进一步分析风险发生的可能性和对目标实现的可能影响程度，即风险分析。 　　需要说明的是，广义风险评估即为风险管理，也是内部控制中管理控制的重要内容之一。狭义风险评估可作为内部控制构建和实施的一个流程，并要与具体业务流程相结合，离开具体业务的风险评估是没有现实意义的。笔者认为，风险管理可作为管理控制的内容，风险评估可作为内部控制的流程，且应当以风险管理来统领所有风险评估的内容。 　　风险评估的内容 　　简单来说，风险评估的内容就是评估风险发生的可能性和影响。可能性表示一个给定事项将会发生的概率，影响则代表它的后果。笔者认为，对于风险发生概率的估计要考虑以下因素：风险相关资产的变现能力、经营管理中人工参与的程度以及经营管理中是否涉及大量繁杂的人工计算等。影响程度分析主要是指对目标实现的负面影响程度分析。风险影响程度大小是针对既定目标而言的，因此对于不同的目标，企业应采取不同的衡量标准。 　　基于风险管理的内部控制，主要是对固有风险和剩余风险进行评估，也就是既考虑固有风险，也考虑剩余风险。固有风险是在没有采取任何措施改变风险的可能性或影响的情况下，企业所面临的风险。剩余风险是在风险应对之后所残余的风险。对剩余风险的评估是指对企业风险控制或日常的管理活动中采取应对措施之后的风险进行的评估。 　　从严格意义上来说，风险评估主要是对剩余风险的评估。明确针对风险应对之后的剩余风险进行评估，就要树立一个风险评估持续性和重复性的互动过程，风险评估不是一次性的管理活动。无论是对固有风险的评估还是对剩余风险的评估，始终不变的是要从可能性和影响两个方面来进行。 　　当然，风险评估不能只把注意力集中在危险上，而是既要考虑因危险而退缩的风险，也要考虑未抓住机会的风险。也就是说，在评估风险发生的可能性和影响的同时，还要评估机会失去的可能性和影响。 　　一般来说，对识别出来的风险，从可能性和影响两个方面进行评估后，就可以根据评估的结果采取应对措施。

在风险评估过程中，有几个关键的问题需要考虑。　　首先，要确定保护的对象（或者资产）是什么？它的直接和间接价值如何？　　其次，资产面临哪些潜在威胁？导致威胁的问题所在？威胁发生的可能性有多大？　　第三，资产中存在哪里弱点可能会被威胁所利用？利用的容易程度又如何？　　第四，一旦威胁事件发生，组织会遭受怎样的损失或者面临怎样的负面影响？　　最后，组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程度？　　解决以上问题的过程，就是风险评估的过程。　　进行风险评估时，有几个对应关系必须考虑：每项资产可能面临多种威胁威胁源（威胁代理）可能不止一个每种威胁可能利用一个或多个弱点风险评估的三种可行途径　　在风险管理的前期准备阶段，组织已经根据安全目标确定了自己的安全战略，其中就包括对风险评估战略的考虑。所谓风险评估战略，其实就是进行风险评估的途径，也就是规定风险评估应该延续的操作过程和方式。　　风险评估的操作范围可以是整个组织，也可以是组织中的某一部门，或者独立的信息系统、特定系统组件和服务。影响风险评估进展的某些因素，包括评估时间、力度、展开幅度和深度，都应与组织的环境和安全要求相符合。组织应该针对不同的情况来选择恰当的风险评估途径。目前，实际工作中经常使用的风险评估途径包括基线评估、详细评估和组合评估三种。基线评估　　如果组织的商业运作不是很复杂，并且组织对信息处理和网络的依赖程度不是很高，或者组织信息系统多采用普遍且标准化的模就可以直接而简单地实现基本的安全水平，并且满足组织及其商业环境的所有要求。　　采用基线风险评估，组织根据自己的实际情况（所在行业、业务环境与性质等），对信息系统进行安全基线检查（拿现有的安全措施与安全基线规定的措施进行比较，找出其中的差距），得出基本的安全需求，通过选择并实施标准的安全措施来消减和控制风险。所谓的安全基线，是在诸多标准规范中规定的一组安全控制措施或者惯例，这些措施和惯例适用于特定环境下的所有系统，可以满足基本的安全需求，能使系统达到一定的安全防护水平。组织可以根据以下资源来选择安全基线：