时间:2023-06-16 16:38:18
导语:在网络资产评估的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
2006年,美国投资银行McCLEAN出具了一份为美国联邦政府提供IT、网络服务公司的市场并购研究报告,报告显示,在这些并购案例中,有形资产仅占少于12%的并购价格,无形资产占21%,商誉则占了61%。
这份报告的结果反映了一个趋势:由于在知识经济时代里,“知识财产”已经成为影响企业竞争力的最重要因素,相应的企业的无形资产比重也在日趋增加。无形资产相当于企业竞争力当中的“软实力”。正如约瑟夫,奈所言,“在信息时代,软实力正变得比以往更为突出。”
当企业与企业之间的竞争由工业时代的“硬实力”转变为信息时代的“软实力”比拼时,无疑,构成企业生产要素的“互联网资产”部分不可忽视。但目前的现状是,“互联网资产”的价值却没有像传统的有形资产和无形资产那样被真实体现。
由于我国市场经济起步较晚,企业之间的并购重组只是在最近十年间频繁发生的事情,相应的资产评估体系,尤其是无形资产评估体系并不完善。现有的评估体系擅长对单项资产的评估,涉及到对公司整体价值的评估,依然具有很高的难度。而对应到“互联网资产”评估,更是处于被忽略地带。
尤其是在互联网得到广泛应用的高新技术产业和服务领域,因为摆脱了机器设备、厂房和库存的束缚,这类企业普遍具有“轻资产”的特点。如果不能对这类企业的“互联网资产”进行准确评估,企业的价值就会被低估,对企业的融资、兼并、上市甚至跨国并购都会产生积极影响。
在2000年的互联网泡沫中,曾经上演了一轮企业兼并热潮。在这轮热潮中,很多互联网公司、软件公司的估值要么被高估,要么被低估。如今,相似的历史情形似乎又一次在上演:在此番经济危机中,企业的并购、重组、融资变得前所未有的频繁。同时,尽管经济危机阻挡了企业的上市之路,但一旦经济形势好转,中国企业的上市热潮还将上演。
因此,探讨对企业的“互联网资产”评估体系,既有现实意义也有长远意义。
评估难点
按照中国万网对企业“互联网资产”的分类,包括“有形资产”和“无形资产”两部分。所有的网络硬件设施,如服务器、电脑,以及软件系统,都应当归类为有形资产部分,可以按照传统资产评估体系的原则,进行折旧、成本核算等评估,并不存在任何障碍。
对企业的“互联网资产”进行评估的难点,集中在如何评估其“无形”的部分。也就是构成企业“互联网资产”的后两大部分,即“虚拟资产”以及“E-Branding”。虚拟资产指的是网站内容、网站域名、网站用户、用户排名、访问量、搜索引擎收录等部分,E-Branding包括网络品牌形象、网络客户价值、网站行业地位、网络潜在价值等部分。
德勤财务咨询服务有限公司北京分公司估价咨询服务总监曾荣新告诉》互联网周刊》,通常意义上的企业无形资产估值方法有收入法、市场法和成本法三种。按照现有资产评估体系,“互联网资产”的无形部分一般作为无形资产中“商标商誉”的一部分进行价值评估,评估方法以成本倍数或资本化的方式为主。
例如,2008年雅虎以1.6亿美元并购了网络视频平台Maven。在这桩并购案中,无形资产占据了45%的资产,商誉占据了60%的资产比例。同年,美国著名旅游网站Expedia收购了欧洲公司Venere,无形资产占据33%,商誉占据69%。
按照会计学的解释,商誉是指“在同等条件下,由于其所处地理位置的优势,或由于经营效率高、历史悠久、人员素质高等多种原因,能获取高于正常投资报酬率所形成的价值。”其价值量的大小是通过企业的收益水平来体现的,而它又属于集合性、附着性强的一种无形资产,只能采取整体的方法进行计算,而不能像其他可确指的无形资产那样单项进行计算。
然而,将企业“互联网资产”笼统的纳入“商誉”部分,是否能客观反映企业的“互联网资产”的实际价值?例如,对于企业“互联网资产”当中的“域名”部分与“互联网销售网络”部分,将之笼统归纳为“商誉”部分资产,按照收入水平来评估,是否合理?这两者的资产评估方法是否能一致呢?
对“域名资产”用“商誉资产”所适用的“收入法”来评估是合理的。例如,海尔花费在域名购买和续费上面的费用不过数万,可是这个域名在互联网上给海尔带来的营收和品牌影响力是难以衡量的。因此,域名资产用“商誉”所适用的“收入法”来衡量更为合理一些。
但是,在互联网上构建“销售网络”资产,是可以计算出其成本的,却很难具体衡量这个“销售网络”所能带来的收益。因此,用商誉的“收入法”来评估“销售网络”资产,是不太合适的,可能更适用于“成本法”。
以上的案例表明:由于互联网具备以前所不适用的新特性,并且“互联网资产”的构成是多元化的,因此,尽管现在的资产评估界对于无形资产的评估已经建立了一套系统的方法论,并且这套方法论对于“互联网资产”的评估具备一定的参考意义,但并不能完全反映出企业“互联网资产”的真实价值。
会计界的新命题
因此,随着“互联网资产”在企业生产要素中比重的日益增大,传统的企业资产评估体系将不再适用,建立全新的“互联网资产”评估体系显得尤为重要。
中国万网在其提出的“企业互联网资产优化与保护计划”中认为,“互联网资产”应当被列为重要的资产项目,同时设定专门的评估体系对“互联网资产”的重要组成部分,如域名价值、网站价值、软件价值、网络客户价值、网络品牌价值等方面进行评估。
问题的关键是如何建构这个专门的“互联网资产评估体系”。目前来看,这只是一个全新的命题,需要引起各方的关注和探讨,包括会计部门、企业、主管部门、金融机构、法律法规部门以及提供互联网服务的第三方机构。
根据国际上的会计准则,在核算网络资产成本的时候,要求会计部门必须将网络资产与企业的其他经营活动区分开来,甚至在一个网站的研究与开发阶段的成本,开发阶段网站的内容成本和结构成本,也要进行严格区分。只有这样,才能准确核算出网络资产的全部成本。这个“严格区分”的原则显然在构建“互联网资产”评估体系时是适用的。
【关键词】无形资产;评估;对策
一、无形资产评估概述
无形资产评估,是根据特定目的,遵循公允、法定标准和规程,运用适当方法,对无形资产进行确认、计价和报告,为资产业务提供价值尺度的行为。对无形资产进行评估,有利于培养品牌意识,加强品牌维护,可以使无形资产有了市场价值定位并使其价值不断得以发掘和提升,进而在资本扩张中成为旗帜并参与经营。另外,还有利于在企业并购中防止国有资产的流失。
上述无形资产,是指企业拥有或者控制的没有实物形态的可辨认非货币性资产。无形资产同时满足下列条件的,才能予以确认:与该无形资产有关的经济利益很可能流入企业;该无形资产的成本能够可靠地计量。无形资产的基本内容包括:专利权、商标权、专有技术、版权、计算机软件、经营秘密、营销网络、土地使用权等。
二、我国无形资产评估中存在的问题
(一)对无形资产的认识不够深入
由于长期计划经济体制的影响,人们对无形资产的作用、地位和价值认识不足,无形资产的价值在很长时间内得不到承认。虽然我国有关法律明文规定要进行无形资产评估,但实际工作中并没有贯彻执行,大量侵权事件和地方保护主义的产生、严重的无形资产流失至今未引起一些部门的重视,也是对无形资产缺乏全面深刻认识的必然结果。而国外企业经营者对无形资产的自我保护问题相当重视,尤其是商标权,并且一些驰名商标权的巨大价值已成为企业发展的强大后盾。
(二)评估方法和评估参数的选择具有较大随意性
从理论上讲,无形资产评估较适合的方法是市场法和收益法,市场法要求有一个活跃的交易市场和大量公开的成交案例,而我国目前无形资产尚不存在活跃的交易市场,并且有限的无形资产交易情况的有关资料也无法通过正常渠道取得,收益法评估中需要收益、成本、折现率、无形资产寿命期限等重要数据,这些数据从目前市场上公开的资料中也很难正确分析出来。另外,由于地区差异,在我国缺少无形资产评估的实施细则,评估缺乏量化标准,很难精确提供客观数据,评估结果往往误差很大,人们对评估的公正性、客观性心存疑虑。
(三)评估的法律制度不够健全
我国目前各类无形资产中,专利权、商标权、著作权、土地使用权均有专门的法律法规加以管理,而非专有技术和商誉的专门法律保护则还属于空白。有些企业在没有产权变动的情况下,聘请或者委托资产评估机构评估其“商誉”,有的还通过新闻媒体公布其价值,这就违背了国家关于严格禁止没有产权交易目的的商誉评估公布的规定。一些评估机构和评估人员无视国家的法规和职业道德,对评估结果的确定不是根据科学方法和客观现实,而是按照被评估单位的某种需要去做,致使评估结果失真。
(四)评估工作发展缓慢
对于我国广大评估工作者来说比较陌生,国内可供借鉴的实践和经验不多,况且我国无形资产评估工作起步晚,经验欠缺,从事评估人员素质不高。因此,应花大力气促进这方面信息、资料的收集、整理交流,努力赶上国际先进水平。
(五)评估管理亟待规范
1.人才方面。无形资产评估是十分复杂和困难的工作,不仅要求评估人员具有良好的职业道德,而且要有很深的专业知识,尤其是要知晓国内外科技发展趋势,以及被评估技术本身的成熟度、寿命期限、风险程度等。从我国情况看,资产评估行业刚起步,很多评估人员都是通过考试从其他行业中新近进入的,从事资产评估工作时间较短,缺乏相关学科领域内的知识积累和评估实践的经验积累,难以将影响企业经营的各种因素有机地综合在一起,从而正确分析和判断。
2.评估机构独立性方面。目前我国政府机构与中介机构之间权责不明确,政府机构仍然对中介机构保留某些权力,同时在中介机构的业务中政府业务占有很重要的比重,企业为了争取这部分利益,会听命于政府机构。另外中介地位还体现在客户的关系方面,由于中介市场竞争异常激烈,为赢得客户,容易出现些违规行为。
3.中介存在的问题。由于种种原因,与市场经济发展配套的资产评估、产权交易、产权保护等一套中介服务体系还没有建立起来,比如无形资产没有活跃的交易市场,无法让更多的人认识无形资产的价值,导致无形资产价值失真和流失,不利于评估的发展。
三、完善无形资产评估的若干对策
(一)增强企业无形资产意识
要扩大宣传力度,使整个社会尤其是产业部门的领导者和工作人员都能了解并熟练运用无形资产评估的有关知识。让社会各界运用自己掌握的评估知识对评估工作进行监督,加强对无形资产的管理,防止评估的失实、失真和失范,并自觉监督评估工作。
(二)明确评估方法,完善评估标准
我国《资产评估准则―无形资产》存在原则性过强、可操作性差等缺陷,同时由于我国资产评估执业人员整体水平不高,从事评估时间又较短,对理解和执行准则存在一定难度。行业协会应通过制定无形资产评估准则指南,对有关问题进一步明确:(1)应明确说明无形资产评估中成本法、收益法和市场法各自的适用范围,同时说明如果在同一评估项目中三种方法均适用,应如何选择评估方法,如果三种方法的评估结果相差很大,其最终的评估是按最佳评估方法的评估值确定,还是按三种方法的评估值加权平均确定。(2)对无形资产评估中有关参数的确定方法进行说明,例如对无形资产的经济寿命、预期收益额、收益分成率、折现率的确定方法进行说明。(3)无形资产评估准则指南可参照企业会计准则指南的格式,通过一个或多个具体案例对无形资产评估方法的选择,各种参数的确定进行示范。
(三)强化相关法律的职能作用
规范无形资产评估工作,要结合我国实际情况,按照《会计法》、《资产评估准则》和《企业会计准则》等法律规定,制定相应的策略。通过制定资产评估行业的相关法规严格评估从业人员及评估机构的责任,加强资产评估人员的职业道德建设,强化评估从业人员的责任心,防止舞弊。
(四)成立由上而下的无形资产评估协会
无形资产评估协会履行职责是推动无形资产评估业务健康发展的保障。在各级国有资产管理部门和无形资产评估协会的指导监督、统一管理下,成立各级无形资产评估机构,评估机构的形式、设立条件、法律责任由有关法律明确规定,这是无形资产评估的具体操作主体。无形资产评估师执行业务应当纳入无形资产评估机构。
(五)建立健全评估监督机制
对无形资产评估工作的监督要有政府机构监督、社会监督、法律监督和技术监督等。对评估机构所做出的结论在必要的时候要进行一定的审核,尤其是对重大项目的评估最好选择几个不同的评估机构进行背靠背的评估,对他们的评估进行比较,从而得出可靠的评估结论。
(六)加强从业人员的素质和能力建设
目前我国无形资产评估从业人员中大多是科技人员或财会人员,迫切需对从业人员进行系统培训、择优选拔、严格录用。可通过建立健全技术评估师资格认证制度,尽快建立一支熟悉评估业务、具有良好职业道德的无形资产评估专业队伍,为我国无形资产评估业健康发展创造良好的社会环境。
(七)建立完善信息网络体系
【关键词】无形资产评估;失真;方法
无形资产这一术语,在不同的学科,不同应用环境中,有不同的定义。《企业会计准则第6号―无形资产》对无形资产的表述为企业拥有或者控制的没有实物形态的可辨认非货币性资产。《国际评估准则》中的定义是以其经济特性而显示其存在的一种资产,无形资产无具体的物理形态,但为其拥有者获取了权益和特权,而且通常为其拥有者带来收益。
一、无形资产评估的必要性
(一)定期对无形资产进行评估维护企业资产的完整
一个企业到底有哪些无形资产,其价值量如何,作为企业的管理者并不清楚,形成了资产管理的盲点。只有充分揭示这部分资产的真实价值,才能做到心中有数,进而变被动管理为主动管理,使之规范化,保证企业资产完整性。
(二)资本运营需要,以无形资产为先导,实现低成本扩张
企业在市场经济中作为投资主体的地位已经明确,但要保证投资行为的合理性,必须对企业资产的现时价值有一个正确的评估。企业改制、合资、合作、联营、兼并、重组、上市等各种经济活动中以技术、商标权等无形资产作为投资已很普遍。
(三)为经营者提供管理、决策依据
评估的过程是资产清查的过程,重点在于发现企业在资产管理、经营过程、资本结构、企业效率和盈利能力等各个方面存在的问题和不足,努力解决或为企业提供建设性的意见和建议,有利于经营者对无形资产投资做出明智的决策,合理分配资源,减少投资的浪费。
(四)无形资产评估是经济全球化发展的必然要求
随着经济全球化进程的加快,国际贸易呈现飞速发展趋势。其中以技术贸易为代表的无形资产贸易增长尤为突出,其年平均增长速度已大大超过了有形商品贸易的增长速度,因此对于技术类商品价值进行合理评估是很有必要的。
二、无形资产评估失真的原因
(一)评估范围和对象界定模糊,造成无形资产虚评
确定无形资产评估标的物是无形资产评估的出发点,但无形资产无实体性的特点使其评估范围和对象的确定成为无形资产评估中的一个重点和难点。在评估过程中,被评估企业和评估师往往对无形资产认识不足、漏评无形资产从而造成资产的流失。对无形资产认识不足的另一种表现是:只注重外在形式不关注实质内容,造成无形资产的虚评。
(二)评估标准不统一,方法不科学,计算误差大
世界上许多国家和地区,对无形资产评估制度有统一的标准,而我国至今没有统一的资产评估准则体系。无形资产评估缺乏量化标准,使得对同一无形资产不同评估机构的评估结果往往大相径庭。我国的无形资产评估标准、方法仍处于摸索之中,各行业根据自身需要各自制定相关的具体评估标准,这就造成了一些不可避免的问题:各评估单位过分依赖有利于自身利益的行业标准、数据和方法;阻止其他行业的评估机构进入本行业市场,评估工作的透明程度比较低。
(三)评估委托方提供的资料不准确、不齐全,评估方法的选取受限
由于外部数据参考价值不大,又缺乏行业统计数据,评估中所需的资料大多来自委托方提供的数据。企业在长期实务工作中对无形资产不够重视,导致往往在委托方要求进行评估机构进行评估时所提供的无形资产相关数据不准确。我国目前对无形资产评估多采用成本法,但由于无形资产成本与收益的弱对应性,成本的增加并不意味着无形资产价值的增加,这些做法都使得成本法不一定能真实反映无形资产的市场价值。
(四)评估人员素质不高、能力不强,缺乏专门评估机构
无形资产评估是一项全面、系统、复杂的工作。这就要求执业人员必须具备一定的专业理论知识和操作经验,但我国无形资产评估行业从业人员多是从行政机关分流的离退人员,缺乏严格的专业培训和资格认证,容易导致评估中的操作不规范,鉴定不科学从而影响评估质量。
三、解决无形资产评估失真的方法
针对上述问题,笔者提出以下四点意见来解决这些问题:
(一)明确无形资产评估的目的和对象,拓宽无形资产的外延
要确定无形资产评估对象首先要明确评估目的,因为有些无形资产只有在特定评估目的下才能成立。例如合并商誉在不涉及合并时就不能作为评估对象,在明确评估目的之后与评估目的有关的符合无形资产定义的都应作为评估对象。在知识经济时代,无形资产的内容越来越丰富,在确定评估范围时,应扩大无形资产的外延。拓展后的大致包括市场资产如企业品牌、营销渠道和特许经营权等。
(二)制定完善的无形资产评估法律法规体系
我国现行的相关评估标准已经不能满足经济发展的需要,国家应尽快出台与世界接轨、又满足我国具体国情的相关法律法规,从法人、非法人组织和个人的角度确定无形资产的权属。同时对相关人员的资格取得、执业范围、权利、义务、行业管理等方面做出规范。
(三)建立网络评估数据库,便于资料的收集
资料的缺乏成为制约我国无形资产评估公允性的关键因素。这一现象要求我们必须建立一个完整公允的无形资产评估数据库。该网络数据库的建立,对于无形资产评估具有划时代的意义。必然能消除以往评估工作中的很多弊端,促使无形资产评估工作高效化、规范化、现代化和科学化。
(四)提高评估人员的专业素质,建立专职的无形资产评估机构
提高评估人员的专业性以胜任无形资产的评估,提高评估结果的可信度。可考虑将注册资产评估师的执业资格具体细分为机器设备评估师、无形资产评估师和企业价值评估师等。同时应加强评估人员职业道德教育,让广大从业人员在外界干扰下仍能以崇高的职业道德来要求自己,做出真实的评估报告。
【参考文献】
[1]刘毅.浅议我国无形资产的评估失真原因及对策[J].中国证券期货,2011(9).
【关键词】信息系统;信息安全;风险评估;评估方法
【中图分类号】C931.6 【文献标识码】A 【文章编号】1672-5158(2012)09-0025-01
一、信息安全风险评估的评估实施流程
信息安全风险评估包括:资产评估、威胁评估、脆弱性评估、现有安全措施评估、风险计算和分析、风险决策和安全建议,在风险评估之后就是要进行安全整改。
网省公司信息系统风险评估的主要内容包括:资产评估、威胁评估、脆弱性评估和现有安全措施评估,一般采用全面风险评估的方法,以安全顾问访谈、管理问卷调查、安全文档分析等方式,并结合了漏洞扫描、人工安全检查等手段,对评估范围内的网络、主机以及相应的部门的安全状况进行了全面的评估,经过充分的分析后,得到了信息系统的安全现状。
二、信息安全风险评估实施方法
2.1 资产评估
网省公司资产识别主要针对提供特定业务服务能力的应用系统展开,通常一个应用系统都可划分为数据存储、业务处理、业务服务提供和客户端四个功能部分,这四个部分在信息系统的实例中都显现为独立的资产实体,例如:典型的协同办公系统可分为客户端、Web服务器、Domino服务器、DB2数据库服务器四部分资产实体。综合考虑资产的使命、资产本身的价值、资产对于应用系统的重要程度、业务系统对于资产的依赖程度、部署位置及其影响范围等因素评估信息资产价值。资产赋值是资产评估由定性化判断到定量化赋值的关键环节。
2.2 威胁评估
威胁评估是通过技术手段、统计数据和经验判断来确定信息系统面临的威胁的过程。在实施过程中,根据各单位业务系统的具体系统情况,结合系统以往发生的信息安全事件及对网络、系统管理员关于威胁发生可能性和发展趋势的调查,下面按照威胁的主体分别对这些威胁及其可能发生的各种情形进行简单描述:
2.3 脆弱性评估
脆弱性评估内容包括管理、运维和技术三方面的内容,具体实施可参照公司相应的技术或管理标准以及评估发起方的要求,根据评估选择的策略和评估目的的不同进行调整。下表是一套脆弱性识别对象的参考:
管理脆弱性:安全方针、信息安全组织机构、人员安全管理、信息安全制度文件管理、信息化建设中的安全管理、信息安全等级保护工作、信息安全评估管理、信息安全的宣传与培训、信息安全监督与考核工作、符合性管理。
运维脆弱性:信息系统运行管理、资产分类管理、配置与变更管理、业务连续性管理、物理环境安全、设备与介质安全。
技术脆弱性:网络系统、主机安全、通用系统安全、业务系统安全、现有安全措施。
管理、运维、技术三方面脆弱性是相互关联的,管理脆弱性可能会导致运维脆弱性和技术脆弱性的产生,运维脆弱性也可能导致技术脆弱性的产生。技术的脆弱性识别主要采用工具扫描和人工审计的方式进行,运维和管理的脆弱性主要通过访谈和调查问卷来发现。此外,对以往的安全事件的统计和分析也是确定脆弱性的主要方法。
三、现有安全措施评估
通过现有安全措施指评估安全措施的部署、使用和管理情况,确定这些措施所保护的资产范围,以及对系统面临风险的消除程度。
3.1 安全技术措施评估
通过对各单位安全设备、防病毒系统的部署、使用和管理情况,对特征库的更新方式、以及最近更新时间,设备自身资源使用率(CPU、MEM、DISK)、自身工作状况、以及曾经出现过的异常现象、告警策略、日志保存情况、系统中管理员的个数、管理员所使用的口令的强度、弱口令情况等信息进行脆弱性分析,并确定级别。
3.2 安全管理措施评估
访谈被评估单位是否成立了信息安全领导小组,并以文件的形式明确了信息安全领导小组成员和相关职责,是否结合实际提出符合自身发展的信息化建设策略,其中包括是否制定了信息安全工作的总体方针和安全策略,建立健全了各类安全管理制度,对日常管理操作建立了规范的操作规程;定期组织全员学习国家有关信息安全政策、法规等。
3.3 物理与环境安全
查看被访谈单位信息机房是否有完善的物理环境保障措施,是否有健全的漏水监测系统,灭火系统是否安全可用,有无温湿度监测及越限报警功能,是否配备精密空调严格调节控制机房内温度及湿度,保障机房设备的良好运行环境。
3.4 应急响应与恢复管理
为正确、有效和快速处理网络信息系统突发事件,最大限度地减少网络信息系统突发事件对单位生产、经营、管理造成的损失和对社会的不良影响,需查看被评估单位是否具备完善网络信息系统应急保证体系和应急响应机制,应对网络信息系统突发事件的组织指挥能力和应急处置能力,是否及时修订本单位的网络信息系统突发事件应急预案,并进行严格的评审、。
3.5 安全整改
被评估单位根据信息安全风险评估结果,对本单位存在的安全风险进行整改消除,从安全技术及安全管理两方面,落实信息安全风险控制及管理,确保信息系统安全稳定运行。
四、结语
公司近两年推行了“双网双机、分区分域、等级保护、分层防御”的安全防护策略和一系列安全措施,各单位结合风险评估实践情况,以技术促安全、以管理保安全,确保公司信息系统稳定运行,为公司发展提供有力信息支撑。
参考文献
(一)资产评估对无形资产及确认条件的规定 2008 年实施的《资产评估准则——无形资产》对无形资产的定义为:特定主体所控制的,不具有实物形态,对生产经营长期发挥作用且能带来经济利益的资源。无形资产分为可辨认无形资产和不可辨认无形资产。资产评估准则规定,对于无形资产范围的确认,是根据具体经济行为来判断的。在资产评估实践中,像客户关系、期权价值、销售网络、市场份额、金融关系、网络域名、租赁权等也作为无形资产进行评估。资产评估准则要求对无形资产进行确认,必须是在考虑了无形资产评估的目的、评估对象的自身情况之后,对证明无形资产权利的法律文件进行确认。
(二)会计对无形资产确认条件的规定 《企业会计准则第6号——无形资产》对无形资产的定义为:无形资产是指企业拥有或者控制的没有实物形态的可辨认非货币性资产。纳入我国财会系统的主要包括专利权、非专利技术、商标权、著作权、土地使用权、特许经营权。准则明确规定,无形资产在符合资产定义的前提条件下,还要同时满足以下两个条件时,企业才能加以确认:一是与该无形资产有关的经济利益很可能流入企业;二是该无形资产的成本能够可靠地计量。
通过比较可以看出,资产评估对无形资产规定的范围较大,其资产定义倾向于经济学中的资产,更注重于资产本身的内在价值,关注其收益性,是广义的无形资产。而由于考虑到会计的谨慎性原则,会计上规定的无形资产的范围就小的多,强调的是无形资产在会计上的可辨认性和非货币性,仅反映了能够为企业带来经济利益,并且能够在会计资料上反映成本的那部分无形资产,是狭义的无形资产。这就导致许多在企业价值创造过程中发挥重大作用的无形资产,却没有在会计账面上被发映出来。
二、无形资产评估定价与会计计量计价方法的比较
(一)无形资产评估定价 资产评估准则规定,无形资产评估应根据被评估无形资产的具体类型、评估目的、前提条件、评估原则及外部市场环境等具体情况选用合适的评估方法。无形资产评估主要方法包括收益法,市场法和成本法。收益法是指:将被评估资产剩余寿命周期的预期收益,用适当的折现率折现,累计得出评估基准日的现值,以此估算资产价值的评估方法。收益法最能真实反映无形资产价值,是较为科学合理的评估方法。市场法是指:通过市场调查,选择一个或几个与评估对象类似的资产作为比较对象,分析比较对象的成交价格和交易条件,进行对比调整,估算出资产价值的方法。由于市场法适用性差,一般只作为其他方法的基础。成本法是指:从待评估资产的评估基准日的复原重置成本或更新重置成本中扣减其各项价值损耗,来确定资产价值的方法。无形资产的价值与其成本之间的关联度很低,较少采用成本法。
(二)无形资产会计计量 无形资产计量是指无形资产的入账价值。无形资产计量分为无形资产初始计量和后续计量。无形资产的初始计量,因其取得方式不同而有所不同。企业自行开发的无形资产,其成本包括自企业进入开发阶段至达到预定用途前,所发生的符合资本化确认条件的支出总额;而除了自行开发的无形资产以外,以其他方式取得的无形资产,入账成本实际上是根据无形资产的公允价值确定的。无形资产的后续计量采用的也是按照历史成本进行计量:对使用寿命确定的无形资产,应在其预计的使用寿命内,按照成本系统合理地进行摊销;使用寿命不确定的无形资产,持有期内不予摊销,只在每个会计期间进行减值测试。
(三)计价方法的比较 比较无形资产评估定价与会计计量计价主要有以下几个方面的不同。(1)正确性与确定性的选择。无形资产会计计量认为确定性比正确性更重要,长期以来被广泛采用的计量属性是历史成本。因此,导致了无形资产账面价值与其实际价值的不相关,及账面价值的不正确性。无形资产评估定价更关注资产价值的正确性。由于大部分无形资产评估的前提条件是资产权利的转移,原会计主体持续经营假设可能发生改变,资产的所有权也可能发生变更,在持续经营假设基础上的历史成本已经不能满足各方对信息要求。因此无形资产评估以现实性为原则,采用收益现值、现行市价或重置成本等价格反映资产价值。
(2)计价方法的可选择性。会计计量无形资产是以购买时的价格或产生时的成本减去折旧,即净历史成本计价,计价方式单一。无形资产评估计价的标准是可选择的,评估师需要确定的是最为准确的资产价值。资产评估认为对于不同的使用者、根据不同的使用目的,无形资产有不同的价值。这就是无形资产评估价值灵活性的体现形式。价格标准有收益的标准、重置的标准和清算的标准等。而无形资产评估定价的方法,随着评估目的、无形资产自身情况及外部环境的不同,也要进行具体的选择。其计价标准具有多变性,计价方法具有灵活性。
(3)成本和超额收益的偏好。无形资产会计计量仅关注获得无形资产时的成本,是将无形资产视为一个单独的资产个体,根据当初得到无形资产时的成本来反映无形资产的价值的。这在无形资产权利发生变动时,是很多利益相关方都无法接受的。无形资产评估更注重无形资产给企业带来的超额收益。无形资产评估将无形资产与企业其他资源视作一个整体,认为无形资产与其他资源联系起来发挥作用,来计算无形资产在这个整体中能够为企业带来的超额收益。
(4)资产评估准则与会计准则的不完全衔接。根据《企业会计制度》的规定:投资者投入的无形资产,按投资各方确定的价值作为实际成本入账。但是,为首次发行股票而接受投资者投入的无形资产,应按该无形资产在投资方的账面值作为实际成本。《资产评估操作规范意见》对无形资产的评估首选收益现值法。评估结果与会计账面价值的差异,会给公司的报表带不良影响。《企业会计制度》要求,对已经计入各期费用的研究与开发费用,在该项无形资产完工并依法申请取得权利时,不得再将原已计入费用的研究与开发费用资本化。这也与在用重置成本法进行无形资产评估时,要求根据现行条件下重新形成或取得该无形资产所需的全部费用来确定该无形资产评估价值的规定相矛盾。
[例]A企业2005年底需要对一项专有技术无形资产进行转让评估,该专有技术于2001年外购取得,原始账面成本为120万元,寿命周期为10年,至今A企业已经使用了5年,尚余5年。该技术成果在前五年为A公司带来的收益总额为70万元,所得税率为25%,在未来5年中成本收益预测如表1所示:
该专有技术是近年来刚发展起来的新兴技术,运用该技术生产的涂料可以提高彩色显像管的对比度和色彩纯度,国内迄今为止仍需进口该涂料。但由于该技术成果延续时间较长,至今仍未实现产业化,而国际上的此类技术已经开始更新换代,运用该技术生产的涂料在未来市场的占有率不容乐观,具体表现为产值和利润的逐年下降。
对该项无形资产进行资产评估定价:根据以上资料得知:该项无形资产的未来预期收益可以预测,并可以用货币衡量;被评估无形资产的预期获利年限可以预测;在可预见的未来,企业不会停业或进行清理,所以对该项无形资产用收益法进行评估是可行的。综合考虑各方面的因素,并以当年五年期国债利率5.85%作为无风险利率,最终在评估报告中确定以10%作为折现率。根据收益法的公式:
P=■■
得出结果如表2所示:
由上述资料及计算结果可知:即运用收益法评估该无形资产的价值为32.07万元。
对该项无形资产进行会计计量:该专有技术的原始账面成本为120万元,寿命周期为10年。会计上对其进行摊销,年摊销额为12万元,2005年底无形资产的账面价值为60万元。
综上分析,无形资产评估定价及其会计计量,同属于无形资产计价方式,二者具有相同的理论前提。无形资产评估定价与会计计量的结果有较大的差距,形成这种差距的原因,则是因为资产评估关注无形资产在具体的评估目的下,某一时点的价值,能给企业带来的预期收益。而会计计量是在持续经营的前提下,衡量其准确的历史成本。笔者认为,实践中在对无形资产进行现行会计计量的同时,也应定期对该无形资产进行评估定价,并且在报表附注中对其定价结果进行反映。
参考文献:
【关键词】层次分析法;资产评估风险;防范措施
1.引言
资产评估风险是客观存在的,我们不可能消除评估风险,但是可以采取有效的防范措施,降低其发生的概率。为了保护资产评估的声誉和资产评估业的发展前途,提高风险意识及时采取有效的防范措施是极其必要的,否则一旦潜在的资产评估风险暴露而成为了现实,不仅危害社会,使资产评估机构蒙受损失,甚至让资产评估师丧失职业生涯。由于资产评估活动涉及经济领域的广泛性,资产评估风险有多种表现形式,现实的资产评估风险形成的原因也较复杂,于是我们采取层次分析法对资产评估风险的若干因素进行综合比较,找出等级较高的风险,再有针对性的提出资产评估风险防范的相关建议。
2.层次分析法
2.1 层次分析法的基本原理
层次分析法是由美国运筹学家、匹兹堡大学教授A.L.Satty于本世纪70年代提出的,于1982年传入我国。其基本原理是:首先将复杂问题分成若干层次,以同一层次的各要素按照上一层要素为准则进行两两判断,比较其重要性,以此计算各层要素的权重,最后根据组合权重并按最大权重原则确定最优方案。
2.2 层次分析法的具体步骤
(1)建立层次结构模型。层次结构模型包括最高层,中间层和最低层。最高层是决策的目的或要解决的问题,中间层为决策要考虑的因素或称为决策的准则,最底层为决策时的备选方案;(2)构造判断矩阵。构造判断矩阵时应注意两点:一是两两相互比较,而不是把所有因素都放在一起比较;二是采用相对尺度,减少性质不同的诸因素之间的比较;(3)层次单排序及其一致性检验。首先计算成对比较矩阵最大特征值和特征向量;然后进行一致性检验,若通过检验,则特征向量即为权向量,若没有通过检验,则需要重新构造判断矩阵;(4)层次总排序权向量及其一致性检验。获得同层各要素间的相对重要程度后,就可以自上而下地计算各级要素关于总体的综合重要度,从而得到层次总排序;而后进行一致性检验,若通过检验,则按照层次总排序权向量表示的结果进行决策,若没有通过检验,则应重新考虑模型或者重新构造一致性比率较大的比较矩阵。
3.运用层次分析法评估资产评估风险
3.1 资产评估风险
3.1.1 资产评估风险的定义
资产评估风险在我国理论界和执业界有多种理解,本文定义资产评估风险为客观存在的,由评估主体行为的失误产生危害评估报告使用者利益及评估者承担相应责任的可能性。
3.1.2 资产评估风险的评估
风险管理包括三个步骤:风险识别、风险评估和风险应对。其中,风险评估是在风险识别的基础上,对风险进行定性或定量的分析与描述,以损失概率和损失程度为主要判断依据,并以此确定风险的大小和高低。风险评估的基本方法包括:主观综合评判法、网络流程分析法和模拟法。其中,层次分析法属于主观综合评判法。
3.2 资产评估风险层次结构模型
根据资产评估风险的定义,一般认为资产评估风险主要由两部分构成:内部风险和外部风险。内部风险是指由于评估机构的内部因素导致评估人员对评估目标的价值做出不当或错误判断而产生评估风险;外部风险是指由于评估机构或评估人员因受到外部因素干扰而无法实施正常的评估过程而产生的评估风险。
3.3 构造资产评估风险评价判断矩阵,权重计算及其一致性检验
4.结论及对于资产评估风险防范的建议
从以上的计算分析不难看出,资产评估两大风险因素的排序为:内部风险74.99%、外部风险25.01%;次指标层各因素相对于目标层的重要性排序为:资产评估机构组织风险19.19%、资产评估机构管理风险5.49%、资产评估人员风险50.31%、政策法律风险10.32%、评估理论缺陷风险9.01%、委托方不合理要求风险5.69%。根据上述排序可以看出,内部风险是资产评估风险的主要风险,特别是资产评估的人员风险应成为风险防范的重中之重。
资产评估活动的主体是资产评估人员,人员素质的高低对资产评估风险有着重大影响,现阶段,首先我国资产评估人员专业知识和实践经验不足,业务技能不高,对情况的发展变化和业务活动的复杂性认识不充分,无法应对错综复杂的评估事项;其次,评估人员的职业道德水平不高,缺少应有的职业谨慎,在评估程序、资料搜集、市场调查等方面不去现场获取信息,从而影响资产评估质量;再者,受传统经济体制的影响,我国的资产评估机构由于原来都有挂靠部门,政府对评估机构的干预太多,加上有的评估人员本身法制观念就不强,缺乏应有的风险意识和职业谨慎。凡此种种,都会产生评估风险。因此,建立资产评估师责任风险保险制度,建立系统的资产评估教育体系以培养资产评估专门人才,狠抓资产评估人员职业道德建设,强化资产评估人员的风险意识是防范与控制资产评估风险的主要方向。
参考文献:
[1]马辉民,李强.应用AHP层次分析法评估ERP项目风险[J].计算机与数字工程,2006(3).
[2]汪海粟.资产评估风险界定及防范体系[J].中国资产评估,2002(6).
[3]刘玉平.资产评估[M].北京:中国财政经济出版社,2007.
[4]颜如意.资产评估风险的剖析.财经理论与实践(双月刊),2001(1).
[5]张锦成.资产评估的风险识别和防范[J].国有资产管理,2001(11).
论文摘要:本文在简要介绍美国安永会计公司在资产评钻方面的成功经验的基础上,较详细分析了影响我们地勘行业资产评枯质量的主要原因,提出了相应的改进对策。
资产评估质量,直接关系到资产所有者、经营者和使用者的合法权益。然而,影响资产评估质量的则是评估管理机构和操作方法,以及企业单位的管理水平。在此,以美国安永会计公司为例,结合我们的情况。谈谈如何进一步提高资产评估质量。
一、美国安永会计公司在资产评估方面的主要做法
美国安永会计公司是世界六大著名的会计公司之一,其分支机构遍及120多个国家。多个城市,雇用专业人员s万多人,年营业额多亿美元。主要业务范围包括:资产评估、财务咨询眼务、税务、审计、管理咨询等业务。在资产评估业务中的三个主要领域是企业整体评估、房地产评估和机器设备评估。其中,更侧重于对企业未来收益及风险程度的评估,以便为投资者提供参考依据。在评估过程中有以下做法及特点。
1.法制健全。资产评估在美国已有一百多年厉史,因而国家有关资产评估的法规配套健全。资产评估已成为企业或个人在生产经营活动中的自觉行为。评估师协会也制订了评估人员的道德规范,从业人员法制意识强烈,个人负有直接法律责任.有随时准备上法庭当“被告”的思想准备。工作认真,实事求是,一丝不荀。
2.操作方法统一规范。由国家评估者协会确定了42个项目的专业定义及操作标准,还制定了一系列科学规范、可操作性强的评估方法。使评估人员有据可依。有章可循。
3企业提供的有关数据和信息详实、准确、面广,具有法律效力,经得起历史捡脸。这包括了企业的总体概况、股东资料、人员管理、行业的市场状况、竞争对手,过去5年及未来5年的财务计划及经营情况的数据及预测。若有5大类130多种数据信息,保证了评估质量的客观公正、全面准确。
4.进行全面系统的分析。首先从国家的方针政策和经济形势、产业政策及行业状况、企业的总体分析到定量分析、到财务报表的调整,对一百多种数据进行比较分析,真实反映未来企业的经营业绩。对未来企业风险及财务风险、回报率进行预沁评价。
5.采用现代科学技术手段。建立全国联岗的数据库,并应用资产评估专业软件包,切数据的运算,分析和研究均由计算机进行。并采用通用标准,使评估成果国际化。
二、目前影响我们资产评估质量的主要问题
资产评估在美国等西方发达国家已有百余年的历史。在我国、资产评估是随着改革开放的不断深入而产生和发展起来的.至今还不到十年的历史.在我部系统也是近几年才发展起来的。由于我国的市场经济还不发达,相应的管理机制尚未配套,故在资产评估方面还存在一些间题.主要表现如下:
1.思怒认识上的偏差。由于资产评沽是较新的业务,加之宣传的广度和力度不够,一些行政领导、企业(单位)和管理人员把资产评估与“会计事务”、“审计”、“价值重估”混为一谈。认为只要组织本单位的专业部门及有关专业人员进行核实评价即可。
2、评枯从业人员的法律责任感不强,执法力度不够。评估工作受行政干预、违反了评估工作的独立性、公正性和客观性。
评估的方法较单一,一般多采用重置成本法和现行市价法,主要侧重于企业的现状及有形资产的评估,对于无形资产及企业未来收益及风险的评估较少涉及。
3.一些单位的领导和统计人员法制意识淡薄。虽然《统计法》已经颁布实施。但是,以权扰数,弄虚作假,以数谋私的统计违法行为仍然存在。各专业部门之间缺乏规范统一的统计标准,各行其是,有的是根据项目的目的或领导意图而编制.同一个项目可出多种统计结果,使人无据可从。加之评估人员执法力度不够,从而影响了评估质量,不利于维护所有者权益。
4.国有资产管理薄弱。尤其是基础管理工作不到位,名存实亡。管理部门被撤并,行之有效的基础管理工作严重削弱,评估操作中所需的信息和数据无处可查.无法全面反映个企业(单位)的全貌,难以对企业进行全方位的及未来收益、风险的分析和评估。
5.存在着行政干预现象,有的单位领导对评估限价、限值、限时,从而影响了评估质量。地区封锁,自我保护,行业垄断,各成体系,难以实现平等竞争。影响了评估质量。
三、进一步提高资产评估质量的几点建议
1.进一步加强资产评估的宣传工作。采用报刊、讲座、培训等多种形式和手段,宣传资产评估的法规和基本知识、作用与意义,不断提高资产评估的知名度,使行政领导和企业(单位)及有关人员理解并支持资产评估工作。
2.强化统计执法力度。制定统一规范的标准体系,以《统计法》为准则,增强统计人员的守法意识、规范统计人员的业务行为。依法检查、监督统计工作,确保信息源头的清澈和数据准确无误。
3、加强资产管理基础工作。在吸收西方先进经验.结合本身实际情况,积极探索适应社会主义市场经济的管理体制和运行机制,使企业(单位)认识到社会主义市场经济体制下更需要加强资产的基础管理,才能提供及时准确的信息,做出正确的决策,以适应市场瞬变的需要。并根据市场经济要求设置机构.划分职能,明确责任,形成对市场变化反映灵敏,运转自如的管理机制。
4.加强资产评佑的立法工作和评话机构的自律性。国家已先后颁布了《国有资产评估管理办法》、《资产评估机构管理暂行办法》、《资产评估执业人员自律守则》,最近又颁发《注册资产评估师执业资格制度暂行规定》等一系列有关法规办法。进一步完善了评估法规体系.明确了资产评估人员法律责任。在此,应组织评估人员进行认真的学习、培训和研讨,进一步提高广大评估人员的业务水平、职业道德修养和守法执法意识。
以“产业招商突破年”活动为载体,坚持生猪产业招商,强化农业产业发展,优化发展环境,全力推进我局开放型经济工作迈上新台阶。
二、工作目标
1、境内资金。年内引进内资9000万元,其中固定资产投资3000万元,引进亿元项目1个。
2、境外资金。完成合同外资150万美元,实际利用外资100万美元,其中现汇进资40万美元。
3、出口创汇。年内完成出口创汇50万美元。
三、工作举措
(一)加大产业承接力度
1、紧紧围绕支柱产业,把握产业升级和转移有利时机,加强与沿海产业的对接,进一步拓宽利用内外资金领域。
2、结合我县资源产业优势,充分利用网络、人脉等资源,大力开展网络招商,以商招商;瞄准重点,与农业产业对接,广泛引进农产品加工企业;重点帮扶正邦、赣江果蔬做大做强,发展为上亿企业。
(二)完善招商指标认定标准
凡续建项目和扩建项目均纳入固定资产评估范围,并按5折计算给引资单位;引资产业外项目(县农业局招商产业为生猪产业)固定资产投资评估标准由1000万元以上降为500万元以上项目,并按8折计算给引资单位(引进固定资产投资500万元以下的产业外项目,不计算给引资单位);所有引进产业外项目的税收均归属引资单位。其他项目评估标准维持不变,即一、二产项目100万元,三产项目300万元,以上固定资产评估以县固定资产投资评估小组认定为准,各单位捆绑招商,招商引资计算比例由捆绑单位协商,在固定资产认证之前,以书面形式上报到开放型经济工作办公室。
(三)强化激励机制
1、将开放型经济工作列入年度目标管理考评内容,并表彰先进。
2、实行有奖招商,对提供有价值信息(指有真实投资意向,固定资产投资在500万元以上,双方经过相关考察和洽谈并达成投资意向及投资的重要信息)的单位和个人,局按每条信息1000——3000元给予奖励。
3、继续实行招商引资固定资产投资“一票否决”,年终没有完成全年招商引资固定资产投资任务的,取消单位年终综合目标管理考评评先评优及主要负责人评先资格,并扣发该单位干部职工每个月170元生活补贴和第13个月工资。
[关键词] 基础地理;信息系统;安全;风险评估
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2015 . 21. 082
[中图分类号] TP315 [文献标识码] A [文章编号] 1673 - 0194(2015)21- 0155- 03
1 引 言
风险是以一定的发生概率的潜在危机形式存在的可能性,而不是已经存在的客观结果或既定事实。风险管理是通过对风险的识别、衡量和控制,以最小的成本将风险导致的各种损失结果减少到最小的管理方法。随着信息化向纵深发展,基础地理信息系统被广泛应用,但信息安全方面的威胁也大大增加,具体到市县级基础地理信息系统中存在各类风险,这些风险有着自身的特点,对系统的影响也随着不同阶段而不同。其中信息安全风险是指系统本身的脆弱性在来自环境的威胁下而产生的风险,这些风险会对信息系统核心资产的安全性、完整性和可用性造成破坏。对测绘行业信息安全风险的评估是进行有效风险管理的基础,是对风险计划和风险控制过程的有力支撑,而如何识别和度量风险成为一个难题,目前测绘地理信息行业没有一个行业性安全评估类或者安全管理类规范标准,通用安全评估规范在很多方面对于测绘地理信息系统复杂性和行业特点缺乏适用性,往往较难落地,为此提出市县级国土资源基础地理信息系统安全风险评估规范研究。
2 国内外信息安全风险评估的研究现状
信息安全风险评估经历了很长一段的发展时期。风险评估的重点也由最初简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作,逐渐过渡到技术与管理相结合的科学方法。由于信息安全问题的突出重要性,以及发生安全问题的后果严重性,目前评估工作已经得到重视和开展。国内外很多学者都在积极投身于信息安全的研究,期望找到保护信息安全的盔甲。美国在信息安全风险管理领域的研究与应用独占鳌头,政府控管体制健全,己经形成了较为完整的风险分析、评估、监督、检查问责的工作机制。DOD作为风险评估的领路者,1970年就已对当时的大型机、远程终端作了第一次比较大规模的风险评估; 1999年,美国总审计局在总结实践的基础上,出版了相关文档,指导美国组织进行风险评估;2001年美国国家标准和技术协会(NIST)推出SP800系列的特别报告中也涉及到风险评估的内容;欧洲各国对信息安全风险一直采取“趋利避害”的安全策略,于2001-2003年完成了安全关键系统的风险分析平台项目CORAS,被誉为欧洲经典。我国信息安全评估起步较晚,2003年7月,国信办信息安全风险评估课题组启动了信息安全风险评估相关标准的编制工作;8月,信息安全评估课题组对我国信息安全工作的现状进行了调研,完成了相关的评估报告,总结了风险评估是信息安全的基础性工作;2004年3月国家《信息安全风险评估指南》与《信息安全风险管理指南》的征求意见稿;2005年2月至9月,开始了国家基础信息网络和重要信息系统的信息安全风险评估试点工作;2007年7月我国颁布了《信息安全技术信息安全风险评估规范》(GB/T 20984一2007)并于2007年11月1日实施;2008年4月22日,在国家信息中心召开了《信息系统风险评估实施指南》预制标准第二次研讨会,此次会议主要就标准工作组制定的《实施指南》目录框架进行了详细研究与讨论,《信息系统风险评估实施指南》作为GB/T 20984-2007《信息安全风险评估规范》和《信息安全风险管理规范》之后又一技术性研究课题,将充实信息安全风险评估和风险管理具体实施工作。
3 市县级基础地理信息系统安全风险评估规范研究方法和手段
3.1 市县级基础地理信息系统安全风险评估规范研究方法
市县级基础地理信息系统安全风险评估规范研究通过综合分析评估后的资产信息、威胁信息、脆弱性信息,最终生成风险信息。资产的评估主要从保密性、完整性、可用性三方面的安全属性进行影响分析,从资产的相对价值中体现了威胁的严重程度;威胁评估是对资产所受威胁发生可能性的评估;脆弱性的评估是对资产脆弱程度的评估;具体如下:
(1)资产评估。资产评估的主要工作就是对市、县、乡三级基础地理信息系统风险评估范围内的资产进行识别,确定所有的评估对象,然后根据评估的资产在业务和应用流程中的作用对资产进行分析,识别出其关键资产并进行重要程度赋值。根据资产评估报告的结果,可以清晰的分析出市、县、乡三级基础地理信息系统中各主要业务的重要性,以及各业务中各种类别的物理资产、软件资产和数据资产的重要程度,从而得出信息系统的安全等级。同时,可以明确各业务系统的关键资产,确定安全评估和保护的重点对象。
在此基础上,建立针对市、县、乡三级基础地理信息系统中的资产配置库,对资产的名称、类型、属性以及相互关系、安全级别、责任主体等信息进行描述。
(2)威胁评估。威胁是指可能对资产或组织造成损害事故的潜在原因。威胁识别的任务主要是识别可能的威胁主体(威胁源)、威胁途径和威胁方式,威胁主体是指可能会对信息资产造成威胁的主体对象,威胁方式是指威胁主体利用脆弱性的威胁形式,威胁主体会采用威胁方法利用资产存在的脆弱性对资产进行破坏。
在此基础上,充分调研,分析现有记录、安全事件、日志及各类告警信息,整理本行业信息系统在物理、网络、主机、应用和数据及管理方面面临的安全威胁,形成风险点列表。
(3)脆弱性评估。脆弱性是指资产或资产组中能被威胁所利用的弱点,它包括物理环境、组织机构、业务流程、人员、管理、硬件、软件及通讯设施等各个方面,这些都可能被各种安全威胁利用来侵害一个组织机构内的有关资产及这些资产所支持的业务系统。
通过研究,将建立本行业的涉及主要终端、服务器、网络设备、安全设备、数据库及应用等主要系统的基线库,从而为脆弱性检测在“安全配置”方面提供指标支撑。
(4)综合风险评估及计算方法。风险是指特定的威胁利用资产的一种或一组脆弱性,导致资产的丢失或损害的潜在可能性,即特定威胁事件发生的可能性与后果的结合。在风险评估模型中,主要包含信息资产、脆弱性、威胁和风险四个要素。每个要素有各自的属性,信息资产的属性是资产价值,脆弱性的属性是脆弱性被威胁利用后对资产带来的影响的严重程度,威胁的属性是威胁发生的可能性,风险的属性是风险发生的后果。
综合风险计算方法:根据风险计算公式R= f(A,V,T)=f(Ia,L(Va,T)),即:风险值=资产价值×威胁可能性×弱点严重性,下表是综合风险分析的举例:
注:R表示风险;A表示资产;V表示脆弱性;T表示威胁;Ia表示资产发生安全事件后对组织业务的影响(也称为资产的重要程度);Va表示某一资产本身的脆弱性,L表示威胁利用资产的脆弱性造成安全事件发生的可能性。
风险的级别划分为5级(见表1),等级越高,风险越高。
各信息系统风险值计算及总体风险计算则按照风险的不同级别和各级别风险的个数进行加权计算,具体的加权计算方法如下。
风险级别权重分配:
极高风险 30%
高风险 25%
中风险 20%
低风险 15%
很低风险 10%
各级别风险个数对应关系(即各级别风险相对于很低风险的个数换算):
极高风险 16
高风险 8
中风险 4
低风险 2
很低风险 1
风险计算公式R’=K(av,p,n)=av×p×n,其中,av代表各级别风险求平均后总和,p代表相应的风险级别权重,n代表相应的风险个数权重。
总体风险值=R’(极高)+ R’(高) + R’(中) + R’(低) + R’(很低)
3.2 市县级基础地理信息系统安全风险评估规范研究的手段
(1)专家分析。对于已有的安全管理制度和策略,由经验丰富的安全专家进行管理方面的风险分析,结合江苏省基础地理信息系统安全建设现状,指出当前安全规划和安全管理制度存在的不足,并给出安全建议。
(2)工具检测。采用成熟的扫描或检测工具,对于网络中的服务器、数据库系统、网络设备等进行扫描评估;为了充分了解各业务系统当前的网络安全现状及其安全威胁,因此需要利用基于各种评估侧面的评估工具对评估对象进行扫描评估,对象包括各类主机系统、网络设备等,扫描评估的结果将作为整个评估内容的一个重要参考依据。
(3)基线评估。采用基线风险评估,根据本行业的实际情况,对信息系统进行安全基线检查,拿现有的安全措施与安全基线规定的措施进行比较,找出其中的差距,得出基本的安全需求,通过选择并实施标准的安全措施来消减和控制风险。所谓的安全基线,是在诸多标准规范中规定的一组安全控制措施或者惯例,这些措施和惯例适用于特定环境下的所有系统,可以满足基本的安全需求,能使系统达到一定的安全防护水平。
(4)人工评估。工具扫描因为其固定的模板,适用的范围,特定的运行环境,以及它的缺乏智能性等诸多因素,因而有着很大的局限性;而人工评估与工具扫描相结合,可以完成许多工具所无法完成的事情,从而得出全面的、客观的评估结果。人工检测评估主要是依靠具有丰富经验的安全专家在各服务项目中通过针对不同的评估对象采用顾问访谈,业务流程了解等方式,对评估对象进行全面的评估。
(5)渗透测试。在整个风险评估的过程中,结合外部渗透测试的方式发现系统中可能面临的安全威胁和已经存在的系统脆弱性。
购物车(0)