風險評估小組培訓計劃

『壹』 什麼是風險評估 風險評估常用方法

風險評估的定義及常用方法如下：

一、風險評估：

風險評估（Risk Assessment） 是指，在風險事件發生之前或之後（但還沒有結束），該事件給人們的生活、生命、財產等各個方面造成的影響和損失的可能性進行量化評估的工作。即，風險評估就是量化測評某一事件或事物帶來的影響或損失的可能程度。

二、常用方法：

1、風險因素分析法

其一般思路是：調查風險源→識別風險轉化條件→確定轉化條件是否具備→估計風險發生的後果→風險評價。

2、模糊綜合評價法

3、內部控制評價法

內部控制評價法是指通過對被審計單位內部控制結構的評價而確定審計風險的一種方法。

4、分析性復核法

分析性復核法是注冊會計師對被審計單位主要比率或趨勢進行分析，包括調查異常變動以及這些重要比率或趨勢與預期數額和相關信息的差異，以推測會計報表是否存在重要錯報或漏報可能性。

5、定性風險評價法

定性風險評價法是指那些通過觀察、調查與分析，並藉助注冊會計師的經驗、專業標准和判斷等能對審計風險進行定性評估的方法。

6、風險率風險評價法

風險率風險評價法是定量風險評價法中的一種。

三、任務：

1、確定風險評估的主要任務；

2、識別評估對象面臨的各種風險；

3、評估風險概率和可能帶來的負面影響；

4、確定組織承受風險的能力；

5、確定風險消減和控制的優先等級；

6、推薦風險消減對策。

『貳』 質量風險評估小組成立時 應包括哪些人員

質量風險評估涉及企業與質量相關管理的多方面內容，無論組織分工如何，都需要各部門的人員參加，保證涉及的質量相關的風險都有人負責控制。
僅供參考：
SO/DIS 9001:2015中的風險
在ISO9001：2015標准DIS稿中有很多基於風險思考的內容，這些內容將影響組織為符合修訂後的標准而進行的工作。以下是節選並歸納本標准草案中涉及風險的有關內容。

定義：ISO9001：2015標准DIS稿所指的風險是「對預期結果的不確定的影響」。DIS稿未提出對預防措施的要求。

過程方法：DIS稿4.4條款討論的要素之一是過程方法，要求組織「識別質量管理體系所需的過程」以及這些過程在組織中的應用。這包括識別：輸入、輸出和資源；順序和相互作用；有效的運行；責任和改進機會；風險以及應對風險的機會和措施。

關注顧客： 5.1.2條款指出最高管理層必須「證明其在關注顧客方面的領導力和承諾，確保實施了相關工作……識別和處理可能對產品、服務和增強顧客滿意度的能力方面的風險和機會」。

應對風險和機會的措施：6.1.1和6.1.2條款指出組織必須識別那些必須應對的「風險和機會」，以確保質量管理體系能夠實現預期結果，預防或減少非預期後果，實現持續改進。

應對風險和機會的措施必須與產品、服務、顧客滿意方面的潛在影響相適應。另外，組織在進行改變的時候宜「有計劃並系統地實施」，識別風險和機會，並注意核查變化的潛在後果。

應對風險可能採取的方法有避免風險、消除風險源、分擔風險以及決定是否承擔風險等。

交付後的活動：根據8.5.5條款，適用時，組織必須確定並滿足與產品、服務的性質及其預定使用壽命有關的交付後活動的有關要求，即與產品和服務有關的風險、使用壽命、顧客反饋、法律法規要求。
管理評審： 9.3條款指出組織必須考慮其採取的應對風險和機會的措施的有效性（同時參見6.1條款）。這包括識別需要監視和測量的內容，使得組織能夠證明符合產品和服務標準的要求；評估過程的績效（同時參照條款4.4）；確保質量管理體系的符合性和有效性；評估顧客的滿意度。

內審：條款9.2指出組織必須「策劃、建立、實施並維護內審的審核方案」，並且確定「內審的頻次、方法、責任、策劃要求和報告方式」。內審方案必須考慮質量目標、相關過程的重要性、相關風險以及之前審核的結果。

基於風險的方法：附錄A的A4章節內容描述了基於風險的管理方法，包括要求組織充分了解自身所處環境，包括內部和外部的問題；明白管理體系的重要目的之一是作為一個預防工具；確定風險和機會；處理識別出的風險和機會。

應用基於風險的思考方法
對組織有影響的風險主要有以下4類：
1.組織風險：發生在組織實體及其活動層面；
2.戰略風險：發生在組織的戰略或業務計劃制定不夠周密時；
3.合規風險：發生不符合法律法規要求的情形時；
4.運營風險：分為與組織的程序和措施有關的7個分類別。

1.組織風險
實體層面的風險可以是外來的也可以是內部存在的。外來因素包括技術、競爭以及法律環境；內部因素包括安保、信息系統、收發貨物遺失、人員能力和責任變化等方面。
活動層面的風險對個人和部門發生影響，包括在系統中輸入信息或材料時的疏漏；收發貨記錄遺失；安保控制鬆懈；缺少熟練技術人員以及員工的疏忽大意等。如果在組織的各個環節活動層面的風險不斷，最後勢必形成實體層面的風險。
2.戰略風險
戰略風險指的是因執行一項不成功的商業計劃或戰略而可能發生的損失。其原因可能是由於做了糟糕的業務決策、執行決定不力、資源不足或者是因為業務環境發生了變化而未及時進行調整。
3.合規風險
合規風險是與法律法規要求有關的風險。環境、健康和安全要求一直是人們關注的問題，因為一旦這些方面出現問題，輕則罰款，重則停業甚至追究刑事責任都是可能出現的後果。遵守質量和環境方面的標准和規范也在這個范疇之內。
環境風險包括液體危險品遺撒、危險氣體排放以及固態廢棄物的不當處理，包括的情況還可能有以下情形：
采購部將從國內采購改為向國外供應商采購；
負責環境的關鍵管理人員離崗未及時替補；
引入新的物料卻未編制有關的安全管控記錄。
4.運營風險
運營的風險可以具體從以下7個方面說明：
（1）管理體系風險
由於制定的戰略、制度規定和工具、數據處理、呼叫（電話）中心、合同管理、設計與開發等層面的效率低下，都可能造成管理體系的效率低下。比如說，一個重度依賴外包的供應鏈，可能有很大風險。
管理體系的其他風險包括不正確的收入確定；違反國家安全規定；不符合環境法規以及薩班斯-奧克斯利法案（美國的一部涉及會計職業監管、公司治理、證券市場監管方面的重要法律）的要求。這些行為將可能導致罰款、停業甚至追究刑責的後果。為了降低此類風險，組織的最高管理層以及董事會必須對管理體系有透徹的了解，並努力提高其有效性。如果人力資源管理制度、各種管理工具、數據處理、呼叫（電話）中心、營銷活動、合同管理、顧客溝通、設計和開發等活動效率低下，則組織的管理體系必受其累。
總而言之，組織的最高管理層和董事會要了解自身的管理體系並不斷提高其有效性。
（2）顧客滿意風險
顧客溝通、送貨、產品本身、設計維修以及對顧客反饋的回應方式都會影響顧客滿意風險。為降低此類風險，宜將相關的產品質量數據、產品和過程監控數據以及供應商供貨質量等數據也一並納入分析過程。
（3）供應鏈風險
采購經理必須對外購產品和服務、獨家供應商、送貨時間庫存管理以及文檔管理等保持關注。信息溝通是確保供應鏈有效運行的關鍵。用來管理供應鏈風險的數值包括送貨時間、庫存水平及成本等。
（4） 收入確認風險對利潤的影響
對此類風險的管理包括追蹤產品從生產、銷售到發貨以及應收賬款的全過程。收入的確認受到諸如應付款、應收賬、交付前貨值記錄、現金報價錯誤、計算表錯誤以及價格信息不完整等原因影響。
質量經理在控制收入確認過程的有效性方面負有重要責任。質量體系和財務管理體系在此有交集，涉及產品實現、成本、銷售、開發票、付款、庫存管理以及發貨等過程。發貨信息是對應收賬款和收入確認的直接輸入。對於許多公司來說，收入確認對其收入有著直接影響，甚至可能影響其股票價格。
由於不正確的收入確認，還可能出現背離事實的虛假聲明的風險。審核員宜對已建立的用以檢查收入確認中問題的控制措施進行測試。
（5）信息安全風險
信息安全風險的情況包括病毒、未加防範的文件、不正確的財務記錄和報告、糟糕的修改控制、信息檢索錯誤、數據表格濫用、臨時工和咨詢師的使用、新技術的引入以及遭遇工業間諜和欺詐行為等現象。
ISO/IEC27001：2005《信息技術安全技術信息安全管理體系要求》包括了建立、實施、運營、監視、評價、維護並提高信息安全管理的要求。
（6）物流風險
當今組織關注的一個風險問題是與國家安全威脅因素相關的。運輸過程可能由於需要檢查是否藏有大規模殺傷性武器而拖慢。
如何篩查、識別、並追蹤從貨源地到購買方組織的全過程一直是個難點。以下因素影響物流風險：
原材料和成品的運輸；
運輸中的貨損；
途中延誤造成的無法按期交貨；
運輸延誤造成的原材料庫存不足；
國家安全信息上報要求。
有必要開發出新的工具以減少篩查和追蹤等必須過程對供應鏈的干擾。總之，產品生產完成後，送到顧客手中之前，上述各種問題都可能出現，組織應該有所准備。
（7） 自然災害風險
過去幾年間，我們這個星球上自然災害頻發。業務連續性要求對應保護的存儲信息進行安全保障，並對災後復原進行策劃。
信息技術在業務連續性中扮演著重要角色，宜專門設計相關的信息技術程序，以確保業務連續性運行的及時性和有效性。組織的業務連續性開發團隊中不可缺少負責信息技術的成員。
信息技術部門必須提供可將信息妥善有效存儲的保護措施，並對各種災害進行管理、防範並提供安全保護措施。可採用的方法包括信息的定期復制，並將備份信息存儲於安全的另外一個地點。並且，宜對存放在該地點的數據進行定期測試，以確保其正確無誤。

ISO/IEC27001標准提供了業務連續性的管理控制措施，以下是業務連續性計劃（BCP）的相關因素：
業務風險及影響分析；
災害事件初始反應活動；
緊急事件和業務恢復過程管理程序；
各層級培訓計劃；
保持業務連續性計劃及時更新的程序。

業務連續性計劃宜定期演練，組織可以用以下問題進行BCP的自查：
是否已制定確保信息連續性的書面計劃？
上述計劃是否每年進行更新和檢驗？
何時對計算機硬體、軟體或應用系統進行過重要的調整或改變？
是否對用以備份的介質進行了定期測試？
是否對應用程序、應用數據和運行系統軟體進行了定期備份？
是否將該計劃和信息進行了異地備份？

『叄』 風險評估包括哪幾個步驟

1、首先，要確定保護的對象（或者資產），它的直接和間接價值。

2、其次，資產面臨的潛在威脅，導致威脅的問題所在，威脅發生的可能性的大小。

3、第三，資產中存在的可能會被威脅所利用的弱點，以及利用的容易程度。

4、第四，一旦威脅事件發生，組織會遭受到的損失或者面臨的負面影響。

5、最後，組織應該思考將風險帶來的損失降低到最低程度安全措施。

(3)風險評估小組培訓計劃擴展閱讀：

風險評估相關：

在一個企業中，誘發安全事故的因素很多，「安全風險評估」能為全面有效落實安全管理工作提供基礎資料．並評估出不同環境或不同時期的安全危險性的重點，加強安全管理，採取宣傳教育、行政、技術及監督等措施和手段，推動各階層員工做好每項安全工作。

使企業每位員工都能真正重視安全工作，讓其了解及掌握基本安全知識，這樣，絕大多數安全事故均是可以避的。這也是安全風險評估的價值所在。

『肆』 風險評估分為哪幾個步驟

1、資產識別與賦值：對評估范圍內的所有資產進行識別，並調查資產破壞後可能造成的損失大小，根據危害和損的大小為資產進行相對賦值；資產包括硬體、軟體、服務、信息和人員等。

2、威脅識別與賦值：即分析資產所面臨的每種威脅發生的頻率，威脅包括環境因素和人為因素。

3、脆弱性識別與賦值：從管理和技術兩個方面發現和識別脆弱性，根據被威脅利用時對資產造成的損害進行賦值。

4、風險值計算：通過分析上述測試數據，進行風險值計算，識別和確認高風險，並針對存在的安全風險提出整改建議。

5、被評估單位可根據風險評估結果防範和化解信息安全風險，或者將風險控制在可接受的水平，為最大限度地保障網路和信息安全提供科學依據。

(4)風險評估小組培訓計劃擴展閱讀

風險評估的操作范圍可以為整個組織，也可以是組織中的某一部門，或者獨立的信息系統、特定系統組件和服務。

影響風險評估進展的某些因素，包括評估時間、力度、展開幅度和深度，都應與組織的環境和安全要求相符合。組織應該針對不同的情況來選擇恰當的風險評估途徑。實際工作中經常使用的風險評估途徑包括基線評估、詳細評估和組合評估三種。

風險評估的主要任務包括：識別評估對象面臨的各種風險；評估風險概率和可能帶來的負面影響；確定組織承受風險的能力；確定風險消減和控制的優先等級；推薦風險消減對策。

『伍』 行政事業單位風險評估小組由哪些部門

行政事業單位】風險評估的主要任務包括：
識別組織面臨的各種風險
評估風險概率和可能帶來的負面影響
確定組織承受風險的能力
確定風險消減和控制的優先等級
推薦風險消減對策

在風險評估過程中，有幾個關鍵的問題需要考慮。
首先，要確定保護的對象（或者資產）是什麼？它的直接和間接價值如何？
其次，資產面臨哪些潛在威脅？導致威脅的問題所在？威脅發生的可能性有多大？
第三，資產中存在哪裡弱點可能會被威脅所利用？利用的容易程度又如何？
第四，一旦威脅事件發生，組織會遭受怎樣的損失或者面臨怎樣的負面影響？
最後，組織應該採取怎樣的安全措施才能將風險帶來的損失降低到最低程度？
解決以上問題的過程，就是風險評估的過程。
進行風險評估時，有幾個對應關系必須考慮：
每項資產可能面臨多種威脅
威脅源（威脅代理）可能不止一個
每種威脅可能利用一個或多個弱點