風險評估的主要任務包括:
1、識別評估對象面臨的各種風險
2、評估風險概率和可能帶來的負面影響
3、確定組織承受風險的能力
4、確定風險消減和控制的優先等級
5、推薦風險消減對策
風險評估途徑包括:
1、基線評估。采用基線風險評估,組織根據自己的實際情況,對信息系統進行安全基線檢查,得出基本的安全需求,通過選擇並實施標準的安全措施來消減和控制風險。
2、詳細評估。詳細風險評估要求對資產進行詳細識別和評價,對可能引起風險的威脅和弱點水平進行評估,根據風險評估的結果來識別和選擇安全措施。
3、組合評估。組織多是采用二者結合的組合評估方式。為了決定選擇哪種風險評估途徑,組織首先對所有的系統進行壹次初步的高級風險評估,著眼於信息系統的商務價值和可能面臨的風險,識別出組織內具有高風險的或者對其商務運作極為關鍵的信息資產(或系統),這些資產或系統應該劃入詳細風險評估的範圍,而其他系統則可以通過基線風險評估直接選擇安全措施。
風險評估的方法:
壹、風險因素分析法:指對可能導致風險發生的因素進行評價分析,從而確定風險發生概率大小的風險評估方法。
二、模糊綜合評價法
三、內部控制評價法:指通過對被審計單位內部控制結構的評價而確定審計風險的壹種方法。
四、分析性復核法:是註冊會計師對被審計單位主要比率或趨勢進行分析,包括調查異常變動以及這些重要比率或趨勢與預期數額和相關信息的差異,以推測會計報表是否存在重要錯報或漏報可能性。
五、定性風險評價法:指那些通過觀察、調查與分析,並借助註冊會計師的經驗、專業標準和判斷等能對審計風險進行定性評估的方法。
六、風險率風險評價法:是定量風險評價法中的壹種。它的基本思路是:先計算出風險率,然後把風險率與風險安全指標相比較,若風險率大於風險安全指標,則系統處於風險狀態,兩數據相差越大,風險越大。