风险分析所包括的三个部分是:1、风险评估;2、风险管理;3、风险交流。其中风险评估是在风险事件发生之前或之后(但还没有结束),该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作。
风险评估(RiskAssessment)是指,在风险事件发生之前或之后(但还没有结束),该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作。即,风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。
从信息安全的角度来讲,风险评估是对信息资产(即某事件或事物所具有的信息集)所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础,风险评估是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。
风险因素分析法是指对可能导致风险发生的因素进行评价分析,从而确定风险发生概率大小的风险评估方法。其一般思路是:调查风险源→识别风险转化条件→确定转化条件是否具备→估计风险发生的后果→风险评价。
定性风险评价法是指那些通过观察、调查与分析,并借助注册会计师的经验、专业标准和判断等能对审计风险进行定性评估的方法。它具有便捷、有效的优点,适合评估各种审计风险。主要方法有:观察法、调查了解法、逻辑分析法、类似估计法。
风险率风险评价法是定量风险评价法中的一种。它的基本思路是:先计算出风险率,然后把风险率与风险安全指标相比较,若风险率大于风险安全指标,则系统处于风险状态,两数据相差越大,风险越大。风险率等于风险发生的频率乘以风险发生的平均损失,风险损失包括无形损失,无形损失可以按一定标准折换或按金额进行计算。风险安全指标则是在大量经验积累及统计运算的基础上,考虑到当时的科学技术水平、社会经济情况、法律因素以及人们的心理因素等确定的普遍能够接受的最低风险率。风险率风险评价法可在会计师事务所以及注册会计师行业风险管理中使用。
是指为减少或降低所评估的风险,选择恰当实施方法或政策进行权衡的过程。
消极躲避风险。比如避免火灾可将房屋出售,避免航空事故可改用陆路运输等。因为存在以下问题,所以一般不采用。可能会带来另外的风险。比如航空运输改用陆路运输,虽然避免了航空事故,但是却面临着陆路运输工具事故的风险。会影响企业经营目标的实现。比如为避免生产事故而停止生产,则企业的收益目标无法实现。
采取措施消除或者减少风险发生的因素。例如为了防止水灾导致仓库进水,采取增加防洪门、加高防洪堤等,可大大减少因水灾导致的损失。
企业自己承担风险。途径有:小额损失纳入生产经营成本,损失发生时用企业的收益补偿。针对发生的频率和强度都大的风险建立意外损失基金,损失发生时用它补偿。带来的问题是挤占了企业的资金,降低了资金使用的效率。对于较大的企业,建立专业的自保公司。
在危险发生前,通过采取出售、转让、保险等方法,将风险转移出去。
风险交流是指在风险评估人员、风险管理人员、生产者、消费者和其他有关团体之间就与风险有关的信息和意见进行相互交流,包括对风险评估结果的解释和执行风险管理决定的依据。风险交流应当与风险管理和控制的目标一致,且贯穿于风险管理的整个过程,它不仅是信息的传播,更重要的作用是把有效进行风险管理的信息纳入政府的决策过程中,同时对公众进行宣传、引导和培训,也包括管理者之间和评估者之间的交流,是具有预见性的工作。