风险评估及案例

1、目录隐藏 1 风险评估的定义2 风险评估的内容3 风险评估任务4 风险评估过程注意事项5 风险评估的三种可行途径5.1 基线评估5.2 详细评估5.3 组合评估6 风险评估的常用方法风险评估（ Risk Assessment）风险评估的定义风险评估（ Risk Assessment ）是指在风险事件发生之后，对于风险事件给人们的生活、生命、财产等各个方面造成的影响和损失进行量化评估的工作。风险评估的内容（ 1）对风险本身的界定。包括风险发生的可能性；风险强度；风险持续时间；风险发生的区域及关键风险点。（ 2）对风险作用方式的界定。包括风险对企业的影响是直接的还是间接的；是否会引发其他的相关风险

2、；风险对企业的作用范围等。（ 3）对风险后果的界定。在损失方面：如果风险发生，对企业会造成多大的损失？如果避免或减少风险，企业需要付出多大的代价？在冒风险的利益方面：如果企业冒了风险，可能获得多大的利益？如果避免或减少风险，企业得到的利益又是多少？风险评估任务风险评估的主要任务包括：识别组织面临的各种风险评估风险概率和可能带来的负面影响确定组织承受风险的能力确定风险消减和控制的优先等级推荐风险消减对策精品文库风险评估过程注意事项在风险评估过程中，有几个关键的问题需要考虑。首先，要确定保护的对象（或者资产）是什么？它的直接和间接价值如何？其次，资产面临哪些潜在威胁？导致威胁的问题所在？威胁发生的

3、可能性有多大？第三，资产中存在哪里弱点可能会被威胁所利用？利用的容易程度又如何？第四，一旦威胁事件发生，组织会遭受怎样的损失或者面临怎样的负面影响？最后，组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程度？解决以上问题的过程，就是风险评估的过程。进行风险评估时，有几个对应关系必须考虑：每项资产可能面临多种威胁威胁源（威胁代理）可能不止一个每种威胁可能利用一个或多个弱点风险评估的三种可行途径在风险管理的前期准备阶段，组织已经根据安全目标确定了自己的安全战略，其中就包括对风险评估战略的考虑。所谓风险评估战略，其实就是进行风险评估的途径，也就是规定风险评估应该延续的操作过程和方式。风险评估

4、的操作范围可以是整个组织，也可以是组织中的某一部门，或者独立的信息系统、特定系统组件和服务。影响风险评估进展的某些因素，包括评估时间、力度、展开幅度和深度，都应与组织的环境和安全要求相符合。组织应该针对不同的情况来选择恰当的风险评估途径。目前，实际工作中经常使用的风险评估途径包括基线评估、详细评估和组合评估三种。基线评估如果组织的商业运作不是很复杂，并且组织对信息处理和网络的依赖程度不是很高，或者组织信息系统多采用普遍且标准化的模式，基线风险评估（Baseline RiskAssessment ）就可以直接而简单地实现基本的安全水平， 并且满足组织及其商业环境的所有要求。采用基线风险评估，组织

5、根据自己的实际情况（所在行业、业务环境与性质等），对信息系统进行安全基线检查（拿现有的安全措施与安全基线规定的措施进行比较，找出其中的差距），得出基本的安全需求，通过选择并实施标准的安全措施来消减和控制风险。所谓的安全基线，是在诸多标准规范中规定的一组安全控制措施或者惯例，这些措施和惯例适用于特定环境下的所有系统，可以满足基本的安全需求，能使系统达到一定的安全防护水平。组织可以根据以下资源来选择安全基线：国际标准和国家标准，例如BS 7799-1 、 ISO 13335-4 ；行业标准或推荐，例如德国联邦安全局 IT 基线保护手册；来自其他有类似商务目标和规模的组织的惯例。当然，如果环境和商务

6、目标较为典型，组织也可以自行建立基线。欢迎下载2精品文库基线评估的优点是需要的资源少，周期短，操作简单，对于环境相似且安全需求相当的诸多组织，基线评估显然是最经济有效的风险评估途径。当然，基线评估也有其难以避免的缺点，比如基线水平的高低难以设定，如果过高，可能导致资源浪费和限制过度，如果过低，可能难以达到充分的安全，此外，在管理安全相关的变化方面，基线评估比较困难。基线评估的目标是建立一套满足信息安全基本目标的最小的对策集合，它可以在全组织范围内实行，如果有特殊需要，应该在此基础上，对特定系统进行更详细的评估。详细评估详细风险评估要求对资产进行详细识别和评价，对可能引起风险的威胁和弱点水平进行

7、评估，根据风险评估的结果来识别和选择安全措施。这种评估途径集中体现了风险管理的思想，即识别资产的风险并将风险降低到可接受的水平，以此证明管理者所采用的安全控制措施是恰当的。详细评估的优点在于：1、组织可以通过详细的风险评估而对信息安全风险有一个精确的认识，并且准确定义出组织目前的安全水平和安全需求；2、详细评估的结果可用来管理安全变化。当然，详细的风险评估可能是非常耗费资源的过程，包括时间、精力和技术，因此，组织应该仔细设定待评估的信息系统范围，明确商务环境、操作和信息资产的边界。组合评估基线风险评估耗费资源少、周期短、操作简单，但不够准确，适合一般环境的评估；详细风险评估准确而细致，但耗费资

8、源较多，适合严格限定边界的较小范围内的评估。基于次实践当中，组织多是采用二者结合的组合评估方式。为了决定选择哪种风险评估途径，组织首先对所有的系统进行一次初步的高级风险评估，着眼于信息系统的商务价值和可能面临的风险，识别出组织内具有高风险的或者对其商务运作极为关键的信息资产（或系统），这些资产或系统应该划入详细风险评估的范围，而其他系统则可以通过基线风险评估直接选择安全措施。这种评估途径将基线和详细风险评估的优势结合起来，既节省了评估所耗费的资源，又能确保获得一个全面系统的评估结果，而且，组织的资源和资金能够应用到最能发挥作用的地方，具有高风险的信息系统能够被预先关注。当然，组合评估也有缺点：

9、如果初步的高级风险评估不够准确，某些本来需要详细评估的系统也许会被忽略，最终导致结果失准。风险评估的常用方法在风险评估过程中，可以采用多种操作方法，包括基于知识（Knowledge-based）的分析方法、基于模型（Model-based）的分析方法、定性（Qualitative）分析和定量（ Quantitative ）分析，无论何种方法， 共同的目标都是找出组织信息资产面临的风险及其影响，以及目前安全水平与组织安全需求之间的差距。基于知识的分析方法在基线风险评估时，组织可以采用基于知识的分析方法来找出目前的安全状况和基线安全标准之间的差距。欢迎下载3精品文库基于知识的分析方法又称作经验方法

10、，它牵涉到对来自类似组织（包括规模、商务目标和市场等）的 “最佳惯例 ”的重用，适合一般性的信息安全社团。采用基于知识的分析方法，组织不需要付出很多精力、时间和资源，只要通过多种途径采集相关信息，识别组织的风险所在和当前的安全措施，与特定的标准或最佳惯例进行比较，从中找出不符合的地方，并按照标准或最佳惯例的推荐选择安全措施，最终达到消减和控制风险的目的。1、某公司属于国有控股公司，最高权力机构是股东大会，执行机构是董事会，还设有职工代表大会以及各职能部门、分公司等。其内部控制制度及业务活动情况如下：1、会计、出纳分设。财务部经理的妻子担任出纳，并兼任满足行政部门需要的日常业务，亲自办理取款、购

11、买、报销等手续。支票等票据由会计保管，支取款项的印章都由总经理亲自保管。2、材料采购由供应部经理审批、专门采购员实施， 各项费用由总经理签字报销。某日，采购员在采购时发现当地主要媒体宣传另一公司A 产品正在开展促销活动，称其为高科技产品，可以替代本企业 主要原料并能够节约成本30% ，促销时间仅有两天。采购员认为时间过于紧张，来不及请示供应部经理，因此直接电告企业总经理，总经理决定采购100吨，价税合计 100 万元。采购员当即采购并由仓库验收入库，经总经理签字后办理了货款30 万支付手续。后来生产车间反映，该批材料不适应生产要求，只能折价处理，造成损失元。总经理指示调整成本预算，将30 万元

12、损失记入正常材料耗费。3、办理销售、发货、收款三项业务的部门分别设立。同时考虑到销售部门比较熟悉客户情况，也便于销售部进行业务谈判，确定授权销售部兼任信用管理 机构。对大额销售业务，销售部可自主定价、签署销售合同 。为逃避银行对公司资金流动的监控，企业在销售业务中尽可能利用各种机会由业务员向客户收取现金，然后交财务部存放在专门的账户上。某月销售业务员甲联系到一个大客户，完成了300 万元的销售任务，并将款项交财务部入账。次月，该业务员谎称对方要求退货，并自行从其他企业低价购入同类商品 要求仓储部门验收入库，仓储部门发现商品商标都丢失，但未进行进一步查验，直接办理了各项手续（但没有出具质检报告）

13、。财务部将退货款项转入业务员提供的银行账号。4、为了提高分公司的积极性，公司决定授予分公司自主决定是否对外提供担保业务、是否对外投资的权力。5、年初公司财务部（没有专门的预算管理机构）制定年度预算方案以后，报股东大会批准后立即执行。发生采购失误事件后，财务部根据总经理的意向决定调整成本费用预算，并认为当年圆满完成了企业预算目标。要求分析该公司内部会计控制方面存在哪些问题，并简要说明理由。答案：1、财务部经理的妻子担任出纳违背了回避制度。按照有关规定，单位负责人的直系亲属（含配偶）不得担任本单位会计机构负责人、会计主管人员，会计机构负责人、会计主管人员的直系亲属不得担任本单位出纳人员。国有控股公

14、司财务部经理的妻子担任出纳工作，不符合货币资金控制的回避制度，应另行安排人员担任出纳工作。2、出纳人员同时办理取款、购买、报销手续不符合采购与付款岗位分工控制的要求。按照内部控制规范采购与付款（试行）的规定，单位不得由同一部门或个人办理采购与付款业务的全过程。 某国有控股公司由出纳人员同时 “办理取款、 购买、报销等手续” ，违背了采购与付款控制规范中岗位分工控制的要求，应将相关工作交由不同人员办理，以实现相互制约和相互监督。3、支取款项的印章都由总经理亲自保管不符合印章控制的规定。 按照内部控制规范货币资金（试行）的规定，单位财务专用章应由专人保管，个人名章由其本人或授权人员保管，严禁一人保

15、管支付款项所需的全部印章。支取款项的印章“都由”总经理一人保管违背了货币资金控制规范的要求，支取款项的印章应由出纳、财务部主管、总经理等相关人员分别保管。4、原材料采购授权批准控制制度没有严格实施。首先，按照内部控制规范采购与付款（试行）规定，单位应当对采购与付款业务建立严格的授权批准制度，明确审批人对采购与付款业务的授权批准方式、权限、程序、责任和相关控制措施，审批人不得越权审批；明确经办人的职责范围和工作要求，严禁未经授权的机构和人员办理采购与付款业务。该公司供应部经理拥有采购相关问题的批准权限，但采购员直接向总经理请示，总经理越权批示是导致采购失误的重要原因。 其次，按照内部控制规范采购

16、与付款 （试行） 规定，单位对于重要的和技术性较强的采购业务应当组织专家进行可行性论证，并实行集体决策和审批。该公司总经理贸然决定采购“高科技”产品，没有经过专家的可行性论证和集体决策、审批，违背了采购决策控制要求。欢迎下载4精品文库5、该公司内部控制制度违背了不相容职务（岗位）相互分离控制的要求。按照内部控制规范销售与收款（试行）规定，应当建立销售与收款业务的岗位责任制，明确相关部门和岗位的职责和权限，确保办理销售与收款业务的不相容岗位相互分离、制约和监督；有条件的单位应当建立专门的信用 管理 部门或岗位，负责制定单位信用政策，监督各部门信用政策执行情况，信用管理岗位与销售业务岗位应分设；不

17、得由同一部门或个人办理销售与收款业务的全过程。该公司销售部兼任信用管理机构、销售人员直接收取货款均违背了不相容职务（岗位）相互分离的要求，销售部和信用管理部门、销售与收款等岗位应该分开设立。6、该公司销售与收款授权批准控制存在缺陷。按照内部控制规范销售与收款（试行）规定，单位应明确审批人员对销售业务的授权批准方式、权限、程序、责任和相关控制措施，审批人员不得越权审批；明确经办人员的职责范围和工作要求；对于金额较大或超过单位既定销售政策、信用政策规定范围的特殊销售业务，单位应当进行集体决策，防止决策失误而造成严重损失。该公司规定销售部自行决定大宗 商品 售价属于授权不当，容易产生销售部截留销售收

18、入、中饱私囊、私设小金库等问题，应该建立销售定价控制制度，根据销售量情况确定价格浮动范围，对产品销售价格进行有效控制。7、该公司未严格执行销售与发货控制制度。 内部会计控制规范销售与收款 规定，单位应当建立销售退回管理制度，单位的销售退回必须经销售主管审批后方可执行；销售退回的货物应由质检部门检验和仓储部门清点后方可入库，质检部门应对客户退回的货物进行检验并出具检验证明，仓储部门应在清点货物、注明退回货物的品种和数量后填制退货接收报告；财会部门应对检验证明、退货接收报告以及退货方出具的退货凭证等进行审核后办理相应的退款事宜。该公司仓储部门发现商品商标丢失而未进行查验即直接办理退货手续、财务部将

19、退货款项转入业务员提供的银行账号均存在失职现象，没有按照规定程序及要求操作，为销售人员作弊提供了条件。8、该公司授权分公司自行决定对外担保和对外投资违背了授权批准控制制度。内部会计控制规范担保（试行）规定，单位应当对担保业务建立授权批准制度，明确授权批准的方式、程序和相关控制措施，规定审批人的权限、责任以及经办人的职责范围和工作要求；审批人应当根据担保业务授权批准制度的规定，在授权范围内进行审批，不得超越权限审批；单位应当根据评估报告以及法律顾问或专家的意见，对担保业务进行集体审批，严禁任何个人擅自决定提供担保或者改变集体审批意见。内部会计控制规范对外投资（试行）规定，单位应当当建立对外投资业

20、务授权批准制度，明确授权批准的方式、程序和相关控制措施，规定审批人的权限、责任以及经办人的职责范围和工作要求，严禁未经授权的部门或人员办理对外投资业务；审批人应当根据对外投资授权审批制度的规定，在授权范围内进行审批，不得超越权限审批；对外投资实行集体决策，决策过程应有完整的书面记录，严禁任何个人擅自决定对外投资或者改变集体决策意见。该公司授予分公司自主决定是否对外提供担保业务、是否对外投资的权力，属于授权不当，应严格规定对外投资和担保的决策和实施程序，控制风险，避免决策失误。9、该公司年度预算的制定、批准、调整不符合规定。首先，按规定，应由董事会、厂长（经理）办公会负责制订单位年度预算方案，单

21、位股东大会（股东会）或类似最高权力机构负责审批单位年度预算方案，国有的和国有资产占控股地位或者主导地位的大、中型企业 的年度预算方案还须经单位职工代表大会审议通过。该公司由财务部制定年度预算不符合单位预算岗位分工和授权批准控制规范。其次，按规定，正式下达执行的预算一般不予调整；特殊情况需要调整的，应由预算执行单位逐级提出书面报告，并经单位决策机构批准。该公司发生采购失误事件后，由财务部决定调整成本费用预算，违背了预算调整控制规范的要求。2、在 2006 年 12 月，某国有企业发生了下列事情；（ 1）基于公司经营管理和财产管理的需要，公司设置了专门的会计机构，由张某担任会计机构责任人。（ 2）

22、公司招聘出纳人员，因只有张某的女儿应聘，而公司又急需要出纳人员，公司最终便聘用张某女儿谢某担任出纳人员。（ 3）在核算过程中，谢某发现一张发票上的会计科目有错，便让开出该发票的某国有企业予以更正，并盖上了该国有企业的印章，谢某据此入了账。（ 4）因公司会计档案管理员出差，张某决定由谢某暂时兼任会计档案保管员。（ 5）张某在一次查账的过程中，发现公司的账面记载与公司实际收取的款项和收到的财物不相吻合，但按照公司内部规定他对此问题无权处理。（ 6）因已经是年底，公司清理了会计档案，对于已经到期的会计档案进行销毁，其中包括其在建项目的一些会计档案。根据有关法律的规定回答下列问题，并说明理由；（ 1）

23、公司聘用谢某担任出纳人员是否合法？欢迎下载5精品文库（ 2）谢某对记载错误的发票的处理是否正确？（ 3）张某决定谢某兼任档案保管员是否正确？（ 4）张某对查账过程中查出的问题应当如何处理？（ 5）公司对会计档案的销毁是否合法？【正确答案】（ 1）不合法，国有企业的会计人员应当实行回避制度，会计机构负责人或会计主管人员的直系亲属不得担任本单位的出纳工作。张某是会计机构负责人，其女儿谢某作为其直系亲属不能担任公司出纳人员。（ 2）正确。对于记载错误的原始凭证，除了金额错误的需原开具单位重开外，可以由原出具单位重开或更正，并加盖开具单位的印章，因该发票不属于金额记载错误，所以可以由原开具单位更正后据

24、以记账。（ 3）不正确。会计工作岗位应当实行内部牵制制度，出纳人员不得兼管稽核、会计档案保管和收入、费用、债权债务账目的登记工作。谢某作为出纳人员，当然不能担任会计档案保管员。（ 4）应当立即向单位责任人报告，请求其处理。根据会计法有关内部监督的规定，会计人员发现账实不符，账款不符的，如果无权处理，应当立即向单位负责人报告，请求查明原因后作出处理。（ 5）不合法。不应当将其在建项目的会计档案销毁，因为正在建设期间的建设单位，其保管期满的会计档案不得销毁。巴林银行倒闭案1995 年 2 月 26 日，新加坡巴林公司期货经理尼克.里森投资日经225 股指期货失利，导致巴林银行遭受巨额损失，合计损失达14 亿美元，最终无力继续经营而宣布破产。巴林银行破产的直接原因是新加坡巴林公司期货经理尼克.里森错误地判断了日本股市的走向。1995 年 1 月份，日本经济呈现复苏势头，里森看好日本股市，分别在东京和大阪等地买进大量期货合同，希望在日经指数上升时赚取大额利润。天有不测风云，1995 年1月17日突发的日本阪神地震打击了日本股市的回升势头，股价持续下跌。巴林银行因此损失金额高达 14 亿美元，这几乎是巴林银行当时的所有资产，这座曾经辉煌的金融大