如何進行風險評估?

風險評估分為哪幾個步驟？

* 確定潛在風險

* 分析風險並確定其優先級

* 確定風險規避策略

* 確定降低風險的策略

* 確定風險應急策略

* 重新檢查風險

______

或者是：

識別評估對象面臨的各種風險

評估風險概率和可能帶來的負面影響

確定組織承受風險的能力

確定風險消減和控制的優先等級

推薦風險消減對策

————————其實本質上都差不多流程

如何進行項目風險評估

在信息化實施過程中，風險不僅僅來源於企業，信息系統的實施方也是導致風險產生的一個重要來源。在實施的不同階段，從開始到結束，實施方的消極態度會直接導致項目的失敗。

"誠實的自我評估、確定目標並向著目標穩步前進，所有這些構成了一個連續的過程，而這也正是管理的趣味所在。"

管理者成功地解決難題之後，征服感油然而生。但在企業的管理工作中，可以抵消這種趣味的事情似乎和趣味一樣多。

接觸過信息化建設的人士都知道，一個信息系統的實施不是短時間內能夠完成的，上一個比較完整的ERP系統，少則半年，多則一兩年，甚至三四年。如此漫長的實施過程，已經足以把企業內人們對信息化最初的憧憬和熱情消磨殆盡。中國有句俗話，叫"日久見人心"，所隱含的無非就是時間可以作為衡量事物真實性的最好的手段。同樣的，放在信息系統實施裡，一開始不成問題的事情，到了後來都會蛻變成問題，並且有可能隨著時間的推移，糟糕程度也不斷地增加。因此，如何有效地管理實施過程，降低企業的實施風險成為保障信息化建設成功的一個重要環節，這也就是我們在這裡探討的主題。

首先需要了解在實施過程中我們可能碰到哪些風險。按照一般意義，我們常常所說的風險分為兩大類，一種是不可預知的，一種是可預知的。既然是不可預測的風險，有預防的想法，恐怕也是無從做起，只能是在風險到來的時候直接對問題做出反應。而這裡我們主要針對的是那些能夠預測的風險，在明晰它們的基礎上，想辦法去控制和降低它們。

信息化項目的項目特性，註定了實施過程中的風險有綜合風險，也有階段風險。

信息化項目的風險包括項目的綜合性風險和階段性風險

所謂綜合風險，是指貫穿整個實施過程，甚至貫穿整個信息化項目過程的幾大類風險。

根據我們的研究，歸納總結出這麼幾種：缺乏共識項目驅動力風險

信息不對稱/欺詐風險財務風險人力資源風險

業務中斷風險

接下來我們就缺乏共識和項目驅動力風險這兩項來做個簡單的介紹。

缺乏共識，是IT項目中最常見的風險，帶來的後果各種各樣。

對於IT建設來說，項目組內部（包括企業方與實施方）、企業內部能就關鍵問題達到共識，顯得至關重要。有一句話是這麼概括的，在一個解決方案上達成共識比這個解決方案本身的先進性重要得多。為什麼共識會在IT項目中扮演瞭如此重要的一個角色呢？業內人士聚在一起討論信息化建設，常常會說信息化建設風險很大，然而最難以預測和掌握的是人的因素，技術的問題總是會有解決方案。而達成共識其實就是解決人的問題，減輕或者降低項目實施過程中可能出現的，由於人而引起的不必要的阻力。再來看看項目驅動力風險。項目驅動力其實包含了兩層意思，一個是指項目啟動的誘因，例如是否是由業務需求驅動，還是出於別的一些原因的考慮；另一個隱含的意思是企業高層對IT項目的推動作用。大家都知道信息化建設是"一把手工程"，領導的支持程度直接影響到項目的成敗。

對於階段性風險，顧名思義，就是在信息化建設各階段（如選型階段，項目啟動，需求調研等）中出現的、帶有濃厚的階段色彩的風險。

舉例來說，在項目啟動階段，可能出現計劃殘缺，思維混沌的風險。對於任何一個項目來說，有明確的項目目標以及詳細的項目計劃是至關重要的。一個明確的項目目標，決定了整個項目的基調，一個詳細的項目計劃，使得後面的每項活動都易於控制和掌握。對於IT項目來說，更是如此，作為一個新興的項目管理領域，IT項目的管理是不夠成熟的，而IT的本身又是極難衡量的。在這樣的情況下，在項目啟動階段就明確了IT項目的目標和計劃顯得猶為重要。

"項目......

如何進行風險評估

在實施的不同階段，從開始到結束，實施方的消極態度會直 接導致項目的失敗。 "誠實的自我評估、確定目標並向著目標穩步前進，所有這些構成了一個連續的 過程，而這也正是管理的趣味所在。" 管理者成功地解決難題之後，征服感油然而生。但在企業的管理工作中，可以抵 消這種趣味的事情似乎和趣味一樣多。 接觸過信息化建設的人士都知道，一個信息系統的實施不是短時間內能夠完成 的，上一個比較完整的ERP系統，少則半年，多則一兩年，甚至三四年。如此漫 長的實施過程，已經足以把企業內人們對信息化最初的憧憬和熱情消磨殆盡。中 國有句俗話，叫"日久見人心"，所隱含的無非就是時間可以作為衡量事物真實性 的最好的手段。同樣的，放在信息系統實施裡，一開始不成問題的事情，到了後 來都會蛻變成問題，並且有可能隨著時間的推移，糟糕程度也不斷地增加。因此， 如何有效地管理實施過程，降低企業的實施風險成為保障信息化建設成功的一個 重要環節，這也就是我們在這裡探討的主題。 如何有效地降低實施過程的風險呢？首先需要了解在實施過程中我們可能碰到 哪些風險。 按照一般意義，我們常常所說的風險分為兩大類，一種是不可預知的，一種是可 預知的。既然是不可預測的風險，有預防的想法，恐怕也是無從做起，只能是在 風險到來的時候直接對問題做出反應。而這裡我們主要針對的是那些能夠預測的 風險，在明晰它們的基礎上，想辦法去控制和降低它們。 信息化項目的項目特性，註定了實施過程中的風險有綜合風險，也有階段風險。 圖1 信息化項目的風險包括項目的綜合性風險和階段性風險 （資料來源：AMT－企業資源管理研究中心） 所謂綜合風險，是指貫穿整個實施過程，甚至貫穿整個信息化項目過程的幾大類 風險。根據我們的研究，歸納總結出這麼幾種：缺乏共識、項目驅動力風險、信 息不對稱/欺詐風險、財務風險、人力資源風險、業務中斷風險。 接下來我們就缺乏共識和項目驅動力風險這兩項來做個簡單的介紹。 缺乏共識，是IT項目中最常見的風險，帶來的後果各種各樣。對於IT建設來說， 項目組內部（包括企業方與實施方）、企業內部能就關鍵問題達到共識，顯得至 關重要。有一句話是這麼概括的，在一個解決方案上達成共識比這個解決方案本 身的先進性重要得多。為什麼共識會在IT項目中扮演瞭如此重要的一個角色 呢？業內人士聚在一起討論信息化建設，常常會說信息化建設風險很大，然而最 難以預測和掌握的是人的因素，技術的問題總是會有解決方案。而達成共識其實 就是解決人的問題，減輕或者降低項目實施過程中可能出現的，由於人而引起的 不必要的阻力。再來看看項目驅動力風險。項目驅動力其實包含了兩層意思，一 個是指項目啟動的誘因，例如是否是由業務需求驅動，還是出於別的一些原因的 考慮；另一個隱含的意思是企業高層對IT項目的推動作用。大家都知道信息化 建設是"一把手工程"，領導的支持程度直接影響到項目的成敗。 對於階段性風險，顧名思義，就是在信息化建設各階段（如選型階段，項目啟動， 需求調研等）中出現的、帶有濃厚的階段色彩的風險。舉例來說，在項目啟動階 段，可能出現計劃殘缺，思維混沌的風險。對於任何一個項目來說，有明確的項 目目標以及詳細的項目計劃是至關重要的。一個明確的項目目標，決定了整個項 目的基調，一個詳細的項目計劃，使得後面的每項活動都易於控制和掌握。對於 IT項目來說，更是如此，作為一個新興的項目管理領域，IT項目的管理是不夠 成熟的，而IT的本身又是極難衡量的。在這樣的情況下，在項目啟動階段......

怎樣做風險評估？

風險評估的常用方法

在風險評估過程中，可以採用多種操作方法，包括基於知識（Knowledge-based）的分析方法、基於模型（Model-based）的分析方法、定性（Qualitative）分析和定量（Quantitative）分析，無論何種方法，共同的目標都是找出組織信息資產面臨的風險及其影響，以及目前安全水平與組織安全需求之間的差距。 基於知識的分析方法 在基線風險評估時，組織可以採用基於知識的分析方法來找出目前的安全狀況和基線安全標準之間的差距。 基於知識的分析方法又稱作經驗方法，它牽涉到對來自類似組織（包括規模、商務目標和市場等）的“最佳慣例”的重用，適合一般性的信息安全社團。採用基於知識的分析方法，組織不需要付出很多精力、時間和資源，只要通過多種途徑採集相關信息，識別組織的風險所在和當前的安全措施，與特定的標準或最佳慣例進行比較，從中找出不符合的地方，並按照標準或最佳慣例的推薦選擇安全措施，最終達到消減和控制風險的目的。

參考資料：baike.baidu.com/view/863635.htm

如何對被審計單位進行風險評估

一 重大錯報風險的評估

評估重大錯報風險是風險評估的最後一個步驟，獲取的關於風險因素和抵消控制風險的信息將全部用於對財務報表層次以及各類交易、賬戶餘額和披露認定層次評估重大錯報風險。評估將作為確定進一步審計程序的性質、範圍和時間的基礎，以應對識別的風險。評估重大錯報風險時應該考慮一些風險因素，主要包括已識別的風險、錯報發生的規模及發生的可能性。 1 評估重大錯報風險的審計程序

第一，在瞭解被審計單位及其環境的整個過程中，結合對財務報表中各類交易、賬戶餘額和披露的考慮，識別風險。例如被審單位因相關環境法規的實施需要更新設備，可能面臨原有設備閒置或貶值的風險；競爭者開發的新產品上市，可能導致被審單位的主要產品在短期內過時，預示將出現存貨跌價和長期資產的減值。第二，結合對擬測試的相關控制的考慮，將識別出的風險與認定層次發生的可能錯報的領域相聯繫。如銷售困難使產品的市場價格下降，可能導致年末存貨成本高於其可變現淨值而需要計提存貨跌價準備，這顯示出存貨的計價認定可能發生錯報。第三，評估識別出的風險，並評價其是否更廣泛地與財務報表整體相關，進而潛在地影響多項認定。第四，考慮發生錯報的可能性，以及潛在錯報的重大程度是否足以導致重大錯報。 2 識別兩個層次的重大錯報風險

在對重大錯報風險進行識別和評估後，應當確定識別的重大錯報風險是與特定的某類交易、賬戶餘額和披露的認定相關還是與財務報表整體廣泛相關。某些重大錯報風險可能與特定的交易賬戶餘額和披露的認定相關。如被審單位存在重大的關聯方交易，該事項表明關聯方及關聯方交易的披露認定可能存在重大錯報。某些重大錯報風險可能與財務報表整體廣泛相關，進而影響多項認定。如管理層缺乏誠信或承受異常的壓力可能引發舞弊風險，這是與報表整體相關的。 3 需要特別考慮的重大錯報風險

特別風險是指註冊會計師識別和評估的、根據判斷認為需要特別考慮的重大錯報風險。特別風險通常與重大的非常規交易和判斷事項相關。非常規交易是指由於金額或性質異常而不經常發生的交易，如企業併購、債務重組等。判斷事項通常包括做出的會計估計，如資產減值準備金額的估計、需要運用複雜估值技術確定的公允價值計量等。

二 重大錯報風險的應對

《中國註冊會計師審計準則——針對評估的重大錯報風險的採取的應對措施》規範了註冊會計師針對評估的重大錯報風險確定總體應對措施，設計和實施進一步審計程序。註冊會計師應當針對評估的重大錯報風險實施程序，即針對評估的財務報表層次重大錯報風險確定總體應對措施，並針對評估的認定層次重大錯報風險設計和實施進一步審計程序，以將審計風險降至可接受的水平。 1 財務報表層次重大錯報風險與總體應對措施

審計過程中應對報表層次的重大錯報風險確定以下總體應對措施：第一，向項目組強調保持職業懷疑態度的必要性。第二，指派更有經驗或具有特殊技能的審計人員或利用專家工作。由於各行業在經營業務、經營風險、財務報告等方面的特殊性，審計人員的專業分工細化成為一種趨勢。第三，提供更多的督導，對報表層次重大錯報風險較高的審計項目，審計項目組的高級別成員要對其他成員提供更詳細、更及時的指導和監督並加強項目質量複合。第四，在選擇擬實施的進一步審計程序時融入更多的不可預見的因素。被審單位人員如果熟悉審計人員的套路，就可能採取種種規避手段掩蓋舞弊行為，因此在設計擬實施審計程序的性質、時間安排和範圍時，應當考慮使某些程序不被預見或瞭解。第五，對擬實施審計程序的性質、時間安排和範圍作出總體修改。

報表層次的重大錯報風險難以限於某類交易、賬戶餘額和披露的特點，意味著此類風險可能對......

招商銀行風險評估怎麼改

您好！若是您之前是已經做過評估，需要重新評估，請您進入我行主頁www.cmbchina.com點擊右側“個人銀行大眾版”，輸入卡號、查詢密碼後登錄，進入網銀大眾版後請點擊橫排菜單“投資管理”-“風險評估”選項，您可以通過打開的界面進行風險評估。

若您仍有疑問，建議您諮詢招行“客服在線”forum.cmbchina.com/...ncmu=0，我們將竭誠為您服務！

怎麼通過風險評估來進行內部控制

對於這一定義，可從以下三個角度進行理解。

（一）內部控制評價的主體是董事會或類似權力機構

內部控制評價的主體是董事會或類似的權力機構，是指董事會或類似的權力機構是內部控制設計和運行的責任主體。董事會可指定審計委員會來承擔對內部控制評價的組織、領導、監督職責，並通過授權內部審計部門或

獨立的內部控制評價機構執行內部控制評價的具體工作，但董事會仍對內部控制評價承擔最終的責任，對內部控制評價報告的真實性負責。對內部控制的設計和運行

的有效性進行自我評價並對外披露是管理層解除受託責任的一種方式，董事會可以聘請會計師事務所對其內部控制的有效性進行審計，但其承擔的責任不能因此減輕

或消除。

（二）內部控制評價的對象是內部控制的有效性

內部控制評價的對象是內部控制的有效性，所謂內部控制的有效性，是指企業建立與實施內部控制對實現控制目標提供合理保證的程度。

從控制過程角度，內部控制的有效性可分為內部控制設計的有效性和內部控制

運行的有效性。內部控制設計的有效性是指為實現控制目標所必需的內部控制程序都存在並且設計恰當，能夠為控制目標的實現提供合理保證；內部控制運行的有效

性是指在內部控制設計有效地前提下，內部控制能夠按照設計的內部控制程序正確地執行，從而為控制目標的實現提供合理保證。內部控制運行的有效性離不開設計

的有效性，如果內部控制在設計上存在漏洞，即使這些內部控制制度能夠得到一貫的執行，那麼也不能認為其運行有效的。

從控制目標的角度來看，內部控制的有效性可分為合規目標內部控制的有效性、資產目標內部控制的有效性、報告目標內部控制的有效性、經營目標內部控制的有效性、戰略目標內

部控制的有效性。其中，合規目標內部控制的有效性是指相關的內部控制能夠合理保證企業遵循國家相關法律法規，不進行違法活動或違規交易；資產目標內部控制

的有效性是指相關的內部控制能夠合理保證資產的安全與完整，防止資產流失；報告目標內部控制的有效性是指相關的內部控制能夠防止、發現並糾正財務報告的重

大錯報；經營目標內部控制的有效性是指相關的內部控制能夠合理保證經營活動的效率和效果及時為董事會和經理層所瞭解或控制；戰略目標內部控制的有效性是指相關的內部控制能夠合理保證董事會和經理層及時瞭解戰略定位的合理性、實現程度，並適時進行戰略調整。

評價內部控制設計的有效性，可以考慮以下三個方面，一是內部控制的設計是否做到以內部控制的基本原理為前提，以《企業內部控制基本規範》及其配套指引為依據；二是內部控制的設計是否覆蓋了所有關鍵的業務與環節，對董事會、監事會、經理層和員工具有普遍的約束力；三是內部控制的設計是否與企業自身的經營特點、業務模式以及風險管理要求相匹配。評價內部控制運行的有效性，也可以從三個方面進行考察，一是相關控制在評價期內是如何運行的；二是相關控制是否得到了持續一致的運行；三是實施控制的人員是否具備必要的權限和能力。

需要說明的是，由於受內部控制固有侷限（如評價人員的職業判斷、成本效益原則）的影響，內部控制評價只能為內部控制目標的實現提供合理保證，而不能提供絕對保證。

（三）內部控制評價是一個過程

內部控制評價是一個過程，是指內部控制評價要遵照一定的流程來進行。內部控制評價工作不是一蹴而就的，它是一個涵蓋計劃、實施、編報等多個階段、包含多個步驟的動態過程。

什麼是企業風險評估？為什麼要進行風險評估？

風險評估活動旨在通過提供基於事實的信息並進行分析，就如何處理特定風險以及如何選擇風險應對策略進行科學決策。作為風險管理活動的組成部分，風險評估提供了一種結構性的過程以識別目標如何受各類不確定性因素的影響，並從後果和可能性兩個方面來進行風險分析，然後確定是否需要進一步處理。風險評估工作試圖回答以下基本問題：（1） 會發生什麼以及為什麼（通過風險識別）？（2） 後果是什麼？（3） 這些後果發生的可能性有多大？（4） 是否存在一些可以減輕風險後果或者降低風險可能性的因素？（5） 風險等級是否可容忍或可接受？是否要求進一步的應對和處理?開展風險評估工作的主要益處包括以下方面：（1） 認識風險及其對目標的潛在影響；（2） 為決策者提供信息；（3） 有助於認識風險，以便幫助選擇應對策略；（4） 識別那些造成風險的主要因素，揭示系統和組織的薄弱環節；（5） 有助於明確需要優先處理的風險事件；（6） 有助於通過事後調查來進行事故預防；（7） 有助於風險應對策略的選擇；（8） 滿足監管要求。

怎麼做風險評估模型

根據資產的價值，系統存在的脆弱性，系統或資產面臨的威脅，威脅利用脆弱性會對系統造成的潛在影響，現有的安全防範措施這幾個方面做一個評估模型，目標是花費最揣的成本使風險降至最低。