風險評價方法綜合分析

A. 風險評價4種方法

在風險評估過程中，可以採用多種操作方法，包括基於知識（Knowledge-based）的分析方法、基於模型（Model-based）的分析方法、定性（Qualitative）分析和定量（Quantitative）分析，無論何種方法，共同的目標都是找出組織信息資產面臨的風險及其影響，以及目前安全水平與組織安全需求之間的差距。一、基於知識的分析方法在基線風險評估時，組織可以採用基於知識的分析方法來找出目前的安全狀況和基線安全標准之間的差距。基於知識的分析方法又稱作經驗方法，它牽涉到對來自類似組織（包括規模、商務目標和市場等）的「最佳慣例」的重用，適合一般性的信息安全社團。採用基於知識的分析方法，組織不需要付出很多精力、時間和資源，只要通過多種途徑採集相關信息，識別組織的風險所在和當前的安全措施，與特定的標准或最佳慣例進行比較，從中找出不符合的地方，並按照標准或最佳慣例的推薦選擇安全措施，最終達到消減和控制風險的目的。基於知識的分析方法，最重要的還在於評估信息的採集，信息源包括：1.會議討論；2.對當前的信息安全策略和相關文檔進行復查；3.製作問卷，進行調查；4.對相關人員進行訪談；5.進行實地考察。為了簡化評估工作，組織可以採用一些輔助性的自動化工具，這些工具可以幫助組織擬訂符合特定標准要求的問卷，然後對解答結果進行綜合分析，在與特定標准比較之後給出最終的推薦報告。市場上可選的此類工具有多種，Cobra 就是典型的一種。二、基於模型的分析方法2001 年1 月，由希臘、德國、英國、挪威等國的多家商業公司和研究機構共同組織開發了一個名為CORAS 的項目，即Platform for Risk Analysis of Security Critical Systems。該項目的目的是開發一個基於面向對象建模特別是UML 技術的風險評估框架，它的評估對象是對安全要求很高的一般性的系統，特別是IT 系統的安全。CORAS 考慮到技術、人員以及所有與組織安全相關的方面，通過CORAS 風險評估，組織可以定義、獲取並維護IT 系統的保密性、完整性、可用性、抗抵賴性、可追溯性、真實性和可靠性。與傳統的定性和定量分析類似，CORAS 風險評估沿用了識別風險、分析風險、評價並處理風險這樣的過程，但其度量風險的方法則完全不同，所有的分析過程都是基於面向對象的模型來進行的。CORAS 的優點在於：提高了對安全相關特性描述的精確性，改善了分析結果的質量；圖形化的建模機制便於溝通，減少了理解上的偏差；加強了不同評估方法互操作的效率；等等。三、定量分析進行詳細風險分析時，除了可以使用基於知識的評估方法外，最傳統的還是定量和定性分析的方法。定量分析方法的思想很明確：對構成風險的各個要素和潛在損失的水平賦予數值或貨幣金額，當度量風險的所有要素(資產價值、威脅頻率、弱點利用程度、安全措施的效率和成本等)都被賦值，風險評估的整個過程和結果就都可以被量化了。簡單說，定量分析就是試圖從數字上對安全風險進行分析評估的一種方法。定量風險分析中有幾個重要的概念：暴露因子(Exposure Factor，EF)—— 特定威脅對特定資產造成損失的百分比，或者說損失的程度。單一損失期望(Single Loss Expectancy，SLE)—— 或者稱作SOC(Single OccuranceCosts)，即特定威脅可能造成的潛在損失總量。年度發生率(Annualized Rate of Occurrence，ARO)—— 即威脅在一年內估計會發生的頻率。年度損失期望(Annualized Loss Expectancy，ALE)—— 或者稱作EAC(EstimatedAnnual Cost)，表示特定資產在一年內遭受損失的預期值。考察定量分析的過程，從中就能看到這幾個概念之間的關系：(1) 首先，識別資產並為資產賦值；(2) 通過威脅和弱點評估，評價特定威脅作用於特定資產所造成的影響，即EF(取值在0％~100%之間)；(3) 計算特定威脅發生的頻率，即ARO；(4) 計算資產的SLE：SLE = Asset Value × EF(5) 計算資產的ALE：ALE = SLE × ARO這里舉個例子：假定某公司投資500,000 美元建了一個網路運營中心，其最大的威脅是火災，一旦火災發生，網路運營中心的估計損失程度是45％。根據消防部門推斷，該網路運營中心所在的地區每5 年會發生一次火災，於是我們得出了ARO 為0.20 的結果。基於以上數據，該公司網路運營中心的ALE 將是45,000 美元。我們可以看到，對定量分析來說，有兩個指標是最為關鍵的，一個是事件發生的可能性(可以用ARO 表示)，另一個就是威脅事件可能引起的損失(用EF 來表示)。理論上講，通過定量分析可以對安全風險進行准確的分級，但這有個前提，那就是可供參考的數據指標是准確的，可事實上，在信息系統日益復雜多變的今天，定量分析所依據的數據的可靠性是很難保證的，再加上數據統計缺乏長期性，計算過程又極易出錯，這就給分析的細化帶來了很大困難，所以，目前的信息安全風險分析，採用定量分析或者純定量分析方法的已經比較少了。四、定性分析定性分析方法是目前採用最為廣泛的一種方法，它帶有很強的主觀性，往往需要憑借分析者的經驗和直覺，或者業界的標准和慣例，為風險管理諸要素(資產價值，威脅的可能性，弱點被利用的容易度，現有控制措施的效力等)的大小或高低程度定性分級，例如「高」、「中」、「低」三級。定性分析的操作方法可以多種多樣，包括小組討論(例如Delphi 方法)、檢查列表(Checklist)、問卷(Questionnaire)、人員訪談(Interview)、調查(Survey)等。定性分析操作起來相對容易，但也可能因為操作者經驗和直覺的偏差而使分析結果失准。與定量分析相比較，定性分析的准確性稍好但精確性不夠，定量分析則相反；定性分析沒有定量分析那樣繁多的計算負擔，但卻要求分析者具備一定的經驗和能力；定量分析依賴大量的統計數據，而定性分析沒有這方面的要求；定性分析較為主觀，定量分析基於客觀；此外，定量分析的結果很直觀，容易理解，而定性分析的結果則很難有統一的解釋。組織可以根據具體的情況來選擇定性或定量的分析方法。

B. 風險評估的方法主要有

常用方法編輯
方法
一、風險因素分析法
風險因素分析法是指對可能導致風險發生的因素進行評價分析，從而確定風險發生概率大小的風險評估方法。其一般思路是：調查風險源→識別風險轉化條件→確定轉化條件是否具備→估計風險發生的後果→風險評價。
二、模糊綜合評價法
三、內部控制評價法
內部控制評價法是指通過對被審計單位內部控制結構的評價而確定審計風險的一種方法。由於內部控制結構與控制風險直接相關，因而這種方法主要在控制風險的評估中使用。注冊會計師對於企業內部控制所做出的研究和評價可分為三個步驟：
四、分析性復核法
分析性復核法是注冊會計師對被審計單位主要比率或趨勢進行分析，包括調查異常變動以及這些重要比率或趨勢與預期數額和相關信息的差異，以推測會計報表是否存在重要錯報或漏報可能性。常用的方法有比較分析法、比率分析法、趨勢分析法三種。
五、定性風險評價法
定性風險評價法是指那些通過觀察、調查與分析，並藉助注冊會計師的經驗、專業標准和判斷等能對審計風險進行定性評估的方法。它具有便捷、有效的優點，適合評估各種審計風險。主要方法有：觀察法、調查了解法、邏輯分析法、類似估計法。
六、風險率風險評價法
風險率風險評價法是定量風險評價法中的一種。它的基本思路是：先計算出風險率，然後把風險率與風險安全指標相比較，若風險率大於風險安全指標，則系統處於風險狀態，兩數據相差越大，風險越大。
風險率等於風險發生的頻率乘以風險發生的平均損失，風險損失包括無形損失，無形損失可以按一定標准折換或按金額進行計算。風險安全指標則是在大量經驗積累及統計運算的基礎上，考慮到當時的科學技術水平、社會經濟情況、法律因素以及人們的心理因素等確定的普遍能夠接受的最低風險率。風險率風險評價法可在會計師事務所以及注冊會計師行業風險管理中使用。

C. 常用的風險評價方法有三種

常見的風險評價方法有哪些？
答：商業銀行風險的評價是指商業銀行在取得風險估計結果的基礎上，研究該風險的性質，分析談風險的影響，尋求風險對策的行為。
風險評價的方法在很大程度上取決於管理者的主觀因素，不同的管理者對同樣貨幣金額的風險有不同的評價方法。這是因為相同的損益對於不同地位、不同處境的法人具有不同的效用。所謂效用，是指利益或收益存在於主體心目中的滿足慾望或需要的能力。

主觀因素決定著決策者對待風險的態度，而其態度不外乎三種情況：拒絕風險，放棄盈利機會；承擔風險，追求利潤；合理地規范其所能承受的風險程度，不因高盈利而冒大風險，也不因小風險而放棄盈利機會。顯然，後者的態度是積極穩健的。商業銀行常用的風險評價方法有以下幾種：

1．成本效益分析法。成本效益分析法是研究在採取某種措施的情況下需要付出多大的代價，以及可以取得多大的效果。

2．權衡分析法。權衡分析法是將各項風險所致後果進行量化比較，從而各項風險的存在與發生可能造成的影響。

3．風險效益分析法。風險效益分析法是研究在採取某種措施的情況下，取得一定的效果需要承擔多大的風險。

4．統計型評價法。統計型評價法是對已知發生的概率及其損益值的各種風險進行成本及效果比較分析並加以評價的方法。

5．綜合分析法。綜合分析法是利用統計分析的方法，將風險的構成要素劃分為若干具體的項目，由專家對各項目進行調查統計評出分值，然後根據分值及權數計算出各要素的實際評分值與最大可能值之比，作為風險程度評價的依據。

D. 項目風險評估有哪些主要方法

風險評估的方法有風險因素分析法、模糊綜合評價法、內部控制評價法、分析性復核法、定性風險評價法、風險率風險評價法。
風險評估是組織確定信息安全需求的一個重要途徑，屬於組織信息安全管理體系策劃的過程。在進行風險評估的過程中，要注意對應關系。

E. 風險評價方法主要有哪些

風險評價方法1、工作危害分析﹙JHA﹚：危害。可能造成人員傷亡、疾病、財產損失、工作環境破壞的根源或狀態。這種「根源或狀態」來自作業環境中人的不安全行為、物的不安全狀態、有害的作業環境和管理上的缺陷。從作業活動清單中選定一項作業活動，將作業活動分解為若干個相連的工作步驟，識別每個工作步驟的潛在危害因素，然後通過風險評價，判定鳳險等級，制定控制措施。識別各種步驟潛在危害時，可以按下述問題提示清單提問。身體某一部位是否可能卡在物體之間？工具、機器是否存在危害因素？從業人員是否可能接觸有害物質？從業人員是否可能滑倒、絆倒或墜落？從業人員是否可能因推、舉、拉用力過度而扭傷？從業人員是否可能暴露亍極熱或極冷的環境中？是否存在過度的噪音或震動？是否存在物體墜落的危害因素？空氣中是否存在粉塵、煙、霧、蒸汽？2、LSR評價法：﹙風險等級評價﹚LSR評價法：風險是發生特定危害事件的可能性及後果的結合。L——可能性；S——後果嚴重性；R——風險度。風險值R=可能性L×後果嚴重性S風險等級判定準則及控制措施不可承受風險的確定「不可承受的風險」的確定要依據定義，即根據組織的法律義務和其指定的安全方針，確定不可承受的風險就是從評價結果中找出這樣一些風險；這些風險的受控將保證組織不違反使用的安全法律的要求和其他安全的要求，並保證組織自己制定的安全方針得到實現。其確定的方法可採用「三方把關」法。

F. 風險評估的常用方法

風險評估（Risk Assessment） 是指，在風險事件發生之前或之後（但還沒有結束），該事件給人們的生活、生命、財產等各個方面造成的影響和損失的可能性進行量化評估的工作。即，風險評估就是量化測評某一事件或事物帶來的影響或損失的可能程度。

常用方法：
1、風險因素分析法
風險因素分析法是指對可能導致風險發生的因素進行評價分析，從而確定風險發生概率大小的風險評估方法。其一般思路是：調查風險源→識別風險轉化條件→確定轉化條件是否具備→估計風險發生的後果→風險評價。
2、模糊綜合評價法
3、內部控制評價法
內部控制評價法是指通過對被審計單位內部控制結構的評價而確定審計風險的一種方法。由於內部控制結構與控制風險直接相關，因而這種方法主要在控制風險的評估中使用。注冊會計師對於企業內部控制所做出的研究和評價可分為三個步驟：
4、分析性復核法
分析性復核法是注冊會計師對被審計單位主要比率或趨勢進行分析，包括調查異常變動以及這些重要比率或趨勢與預期數額和相關信息的差異，以推測會計報表是否存在重要錯報或漏報可能性。常用的方法有比較分析法、比率分析法、趨勢分析法三種。
5、定性風險評價法
定性風險評價法是指那些通過觀察、調查與分析，並藉助注冊會計師的經驗、專業標准和判斷等能對審計風險進行定性評估的方法。它具有便捷、有效的優點，適合評估各種審計風險。主要方法有：觀察法、調查了解法、邏輯分析法、類似估計法。
6、風險率風險評價法
風險率風險評價法是定量風險評價法中的一種。它的基本思路是：先計算出風險率，然後把風險率與風險安全指標相比較，若風險率大於風險安全指標，則系統處於風險狀態，兩數據相差越大，風險越大。
風險率等於風險發生的頻率乘以風險發生的平均損失，風險損失包括無形損失，無形損失可以按一定標准折換或按金額進行計算。風險安全指標則是在大量經驗積累及統計運算的基礎上，考慮到當時的科學技術水平、社會經濟情況、法律因素以及人們的心理因素等確定的普遍能夠接受的最低風險率。風險率風險評價法可在會計師事務所以及注冊會計師行業風險管理中使用。
應答時間：2021-10-22，最新業務變化請以平安銀行官網公布為准。

G. 風險評價4種方法

1、單變數判定模型。

單變數模型將財務指標用於風險評價是一大進步，指標單一，簡單易行，但是不可避免會出現評價的片面性。這種方法在人們開始認識財務風險時採用，但隨著經營環境的日益復雜、多變，單一的指標已不能全面反映企業的綜合財務狀況。

2、多元線性評價模型。

多元線性模型在單一式的基礎上趨向綜合，且把財務風險概括在某一范圍內，這是它的突破，但仍沒有考慮企業的成長能力，同時它的假設條件是變數服從多元正態分布，沒有解決變數之間的相關性問題。這種方法在現實中比較常見。

3、綜合評價法。這種方法認為，企業財務風險評價的內容主要是盈利能力，其次是償債能力，此外還有成長能力，它們之間大致按5∶3∶2來分配。

(7)風險評價方法綜合分析擴展閱讀

根據監管要求，金融機構在對投資理財產品開展風險評級時，遵循的原則通常有3個，

一、是產品風險等級評定孰高，

二、是同類產品風險等級一致性，

三、是產品風險等級隨市場和政策動態調整。

近期，受新冠肺炎疫情影響，國際金融市場波動加劇，這導致部分理財產品風險飆升，甚至出現了此前中國銀行發售「原油寶」出現較大虧損事件，這既暴露出金融機構在市場異常波動下應急管理能力較弱等問題，也將「投資者不分層」弊病推上前台。

在「原油寶」事件中，盡管該產品不等同於原油期貨，其高風險特徵並未發生改變，然而在實際銷售過程中，吸納了較多風險承受能力較低的普通投資者。

「投資者要盡量在自己相對熟悉的領域開展投資，商品期貨投資者要掌握專業投資知識，了解投資產品價格變動規律。」招聯金融首席研究員董希淼表示，絕大多數個人投資者並不具備專業投資知識與能力，不建議貿然進入商品期貨領域。

H. 風險評價方法及其解釋

在了解 風險評估的三個要素是什麼之前，我們先來了解什麼叫做風險評估。風險評估，又稱安全評估，是指在風險識別和估計的基礎上，綜合考慮風險發生的概率、損失幅度以及其他因素，得出系統發生風險的可能性及其程度，並與公認的安全標准進行比較，確定風險等級，由此決定是否需要採取控制措施，以及控制到什麼程度。由此可見，風險評估很有必要。
風險評估的三個要素

風險評估的三個要素：問題的提出、問題分析和風險表徵。
如何做好風險評估?風險評估包括風險辨識、風險分析、風險評價三個步驟。
1.風險辨識。風險辨識是指查找企業各業務單元、各項重要經營活動及其重要業務流程中有無風險，有哪些風險。
2.風險分析。風險分析是對辨識出的風險及其特徵進行明確的定義描述，分析和描述風險發生可能性的高低、風險發生的條件。
3. 風險評價。風險評價是評估風險對企業實現目標的影響程度、風險的價值等。
風險評估很重要，因為總會有些事情是不能控制的，風險總是存在的。做為管理者會採取各種措施減小風險事件發生的可能性，或者把可能的損失控制在一定的范圍內，以避免在風險事件發生時帶來的難以承擔的損失。

I. 風險評估方法