時間:2023-06-16 16:38:18
導語:在網絡資產評估的撰寫旅程中,學習并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優秀范文,愿這些內容能夠啟發您的創作靈感,引領您探索更多的創作可能。
2006年,美國投資銀行McCLEAN出具了一份為美國聯邦政府提供IT、網絡服務公司的市場并購研究報告,報告顯示,在這些并購案例中,有形資產僅占少于12%的并購價格,無形資產占21%,商譽則占了61%。
這份報告的結果反映了一個趨勢:由于在知識經濟時代里,“知識財產”已經成為影響企業競爭力的最重要因素,相應的企業的無形資產比重也在日趨增加。無形資產相當于企業競爭力當中的“軟實力”。正如約瑟夫,奈所言,“在信息時代,軟實力正變得比以往更為突出。”
當企業與企業之間的競爭由工業時代的“硬實力”轉變為信息時代的“軟實力”比拼時,無疑,構成企業生產要素的“互聯網資產”部分不可忽視。但目前的現狀是,“互聯網資產”的價值卻沒有像傳統的有形資產和無形資產那樣被真實體現。
由于我國市場經濟起步較晚,企業之間的并購重組只是在最近十年間頻繁發生的事情,相應的資產評估體系,尤其是無形資產評估體系并不完善。現有的評估體系擅長對單項資產的評估,涉及到對公司整體價值的評估,依然具有很高的難度。而對應到“互聯網資產”評估,更是處于被忽略地帶。
尤其是在互聯網得到廣泛應用的高新技術產業和服務領域,因為擺脫了機器設備、廠房和庫存的束縛,這類企業普遍具有“輕資產”的特點。如果不能對這類企業的“互聯網資產”進行準確評估,企業的價值就會被低估,對企業的融資、兼并、上市甚至跨國并購都會產生積極影響。
在2000年的互聯網泡沫中,曾經上演了一輪企業兼并熱潮。在這輪熱潮中,很多互聯網公司、軟件公司的估值要么被高估,要么被低估。如今,相似的歷史情形似乎又一次在上演:在此番經濟危機中,企業的并購、重組、融資變得前所未有的頻繁。同時,盡管經濟危機阻擋了企業的上市之路,但一旦經濟形勢好轉,中國企業的上市熱潮還將上演。
因此,探討對企業的“互聯網資產”評估體系,既有現實意義也有長遠意義。
評估難點
按照中國萬網對企業“互聯網資產”的分類,包括“有形資產”和“無形資產”兩部分。所有的網絡硬件設施,如服務器、電腦,以及軟件系統,都應當歸類為有形資產部分,可以按照傳統資產評估體系的原則,進行折舊、成本核算等評估,并不存在任何障礙。
對企業的“互聯網資產”進行評估的難點,集中在如何評估其“無形”的部分。也就是構成企業“互聯網資產”的后兩大部分,即“虛擬資產”以及“E-Branding”。虛擬資產指的是網站內容、網站域名、網站用戶、用戶排名、訪問量、搜索引擎收錄等部分,E-Branding包括網絡品牌形象、網絡客戶價值、網站行業地位、網絡潛在價值等部分。
德勤財務咨詢服務有限公司北京分公司估價咨詢服務總監曾榮新告訴》互聯網周刊》,通常意義上的企業無形資產估值方法有收入法、市場法和成本法三種。按照現有資產評估體系,“互聯網資產”的無形部分一般作為無形資產中“商標商譽”的一部分進行價值評估,評估方法以成本倍數或資本化的方式為主。
例如,2008年雅虎以1.6億美元并購了網絡視頻平臺Maven。在這樁并購案中,無形資產占據了45%的資產,商譽占據了60%的資產比例。同年,美國著名旅游網站Expedia收購了歐洲公司Venere,無形資產占據33%,商譽占據69%。
按照會計學的解釋,商譽是指“在同等條件下,由于其所處地理位置的優勢,或由于經營效率高、歷史悠久、人員素質高等多種原因,能獲取高于正常投資報酬率所形成的價值。”其價值量的大小是通過企業的收益水平來體現的,而它又屬于集合性、附著性強的一種無形資產,只能采取整體的方法進行計算,而不能像其他可確指的無形資產那樣單項進行計算。
然而,將企業“互聯網資產”籠統的納入“商譽”部分,是否能客觀反映企業的“互聯網資產”的實際價值?例如,對于企業“互聯網資產”當中的“域名”部分與“互聯網銷售網絡”部分,將之籠統歸納為“商譽”部分資產,按照收入水平來評估,是否合理?這兩者的資產評估方法是否能一致呢?
對“域名資產”用“商譽資產”所適用的“收入法”來評估是合理的。例如,海爾花費在域名購買和續費上面的費用不過數萬,可是這個域名在互聯網上給海爾帶來的營收和品牌影響力是難以衡量的。因此,域名資產用“商譽”所適用的“收入法”來衡量更為合理一些。
但是,在互聯網上構建“銷售網絡”資產,是可以計算出其成本的,卻很難具體衡量這個“銷售網絡”所能帶來的收益。因此,用商譽的“收入法”來評估“銷售網絡”資產,是不太合適的,可能更適用于“成本法”。
以上的案例表明:由于互聯網具備以前所不適用的新特性,并且“互聯網資產”的構成是多元化的,因此,盡管現在的資產評估界對于無形資產的評估已經建立了一套系統的方法論,并且這套方法論對于“互聯網資產”的評估具備一定的參考意義,但并不能完全反映出企業“互聯網資產”的真實價值。
會計界的新命題
因此,隨著“互聯網資產”在企業生產要素中比重的日益增大,傳統的企業資產評估體系將不再適用,建立全新的“互聯網資產”評估體系顯得尤為重要。
中國萬網在其提出的“企業互聯網資產優化與保護計劃”中認為,“互聯網資產”應當被列為重要的資產項目,同時設定專門的評估體系對“互聯網資產”的重要組成部分,如域名價值、網站價值、軟件價值、網絡客戶價值、網絡品牌價值等方面進行評估。
問題的關鍵是如何建構這個專門的“互聯網資產評估體系”。目前來看,這只是一個全新的命題,需要引起各方的關注和探討,包括會計部門、企業、主管部門、金融機構、法律法規部門以及提供互聯網服務的第三方機構。
根據國際上的會計準則,在核算網絡資產成本的時候,要求會計部門必須將網絡資產與企業的其他經營活動區分開來,甚至在一個網站的研究與開發階段的成本,開發階段網站的內容成本和結構成本,也要進行嚴格區分。只有這樣,才能準確核算出網絡資產的全部成本。這個“嚴格區分”的原則顯然在構建“互聯網資產”評估體系時是適用的。
【關鍵詞】無形資產;評估;對策
一、無形資產評估概述
無形資產評估,是根據特定目的,遵循公允、法定標準和規程,運用適當方法,對無形資產進行確認、計價和報告,為資產業務提供價值尺度的行為。對無形資產進行評估,有利于培養品牌意識,加強品牌維護,可以使無形資產有了市場價值定位并使其價值不斷得以發掘和提升,進而在資本擴張中成為旗幟并參與經營。另外,還有利于在企業并購中防止國有資產的流失。
上述無形資產,是指企業擁有或者控制的沒有實物形態的可辨認非貨幣性資產。無形資產同時滿足下列條件的,才能予以確認:與該無形資產有關的經濟利益很可能流入企業;該無形資產的成本能夠可靠地計量。無形資產的基本內容包括:專利權、商標權、專有技術、版權、計算機軟件、經營秘密、營銷網絡、土地使用權等。
二、我國無形資產評估中存在的問題
(一)對無形資產的認識不夠深入
由于長期計劃經濟體制的影響,人們對無形資產的作用、地位和價值認識不足,無形資產的價值在很長時間內得不到承認。雖然我國有關法律明文規定要進行無形資產評估,但實際工作中并沒有貫徹執行,大量侵權事件和地方保護主義的產生、嚴重的無形資產流失至今未引起一些部門的重視,也是對無形資產缺乏全面深刻認識的必然結果。而國外企業經營者對無形資產的自我保護問題相當重視,尤其是商標權,并且一些馳名商標權的巨大價值已成為企業發展的強大后盾。
(二)評估方法和評估參數的選擇具有較大隨意性
從理論上講,無形資產評估較適合的方法是市場法和收益法,市場法要求有一個活躍的交易市場和大量公開的成交案例,而我國目前無形資產尚不存在活躍的交易市場,并且有限的無形資產交易情況的有關資料也無法通過正常渠道取得,收益法評估中需要收益、成本、折現率、無形資產壽命期限等重要數據,這些數據從目前市場上公開的資料中也很難正確分析出來。另外,由于地區差異,在我國缺少無形資產評估的實施細則,評估缺乏量化標準,很難精確提供客觀數據,評估結果往往誤差很大,人們對評估的公正性、客觀性心存疑慮。
(三)評估的法律制度不夠健全
我國目前各類無形資產中,專利權、商標權、著作權、土地使用權均有專門的法律法規加以管理,而非專有技術和商譽的專門法律保護則還屬于空白。有些企業在沒有產權變動的情況下,聘請或者委托資產評估機構評估其“商譽”,有的還通過新聞媒體公布其價值,這就違背了國家關于嚴格禁止沒有產權交易目的的商譽評估公布的規定。一些評估機構和評估人員無視國家的法規和職業道德,對評估結果的確定不是根據科學方法和客觀現實,而是按照被評估單位的某種需要去做,致使評估結果失真。
(四)評估工作發展緩慢
對于我國廣大評估工作者來說比較陌生,國內可供借鑒的實踐和經驗不多,況且我國無形資產評估工作起步晚,經驗欠缺,從事評估人員素質不高。因此,應花大力氣促進這方面信息、資料的收集、整理交流,努力趕上國際先進水平。
(五)評估管理亟待規范
1.人才方面。無形資產評估是十分復雜和困難的工作,不僅要求評估人員具有良好的職業道德,而且要有很深的專業知識,尤其是要知曉國內外科技發展趨勢,以及被評估技術本身的成熟度、壽命期限、風險程度等。從我國情況看,資產評估行業剛起步,很多評估人員都是通過考試從其他行業中新近進入的,從事資產評估工作時間較短,缺乏相關學科領域內的知識積累和評估實踐的經驗積累,難以將影響企業經營的各種因素有機地綜合在一起,從而正確分析和判斷。
2.評估機構獨立性方面。目前我國政府機構與中介機構之間權責不明確,政府機構仍然對中介機構保留某些權力,同時在中介機構的業務中政府業務占有很重要的比重,企業為了爭取這部分利益,會聽命于政府機構。另外中介地位還體現在客戶的關系方面,由于中介市場競爭異常激烈,為贏得客戶,容易出現些違規行為。
3.中介存在的問題。由于種種原因,與市場經濟發展配套的資產評估、產權交易、產權保護等一套中介服務體系還沒有建立起來,比如無形資產沒有活躍的交易市場,無法讓更多的人認識無形資產的價值,導致無形資產價值失真和流失,不利于評估的發展。
三、完善無形資產評估的若干對策
(一)增強企業無形資產意識
要擴大宣傳力度,使整個社會尤其是產業部門的領導者和工作人員都能了解并熟練運用無形資產評估的有關知識。讓社會各界運用自己掌握的評估知識對評估工作進行監督,加強對無形資產的管理,防止評估的失實、失真和失范,并自覺監督評估工作。
(二)明確評估方法,完善評估標準
我國《資產評估準則―無形資產》存在原則性過強、可操作性差等缺陷,同時由于我國資產評估執業人員整體水平不高,從事評估時間又較短,對理解和執行準則存在一定難度。行業協會應通過制定無形資產評估準則指南,對有關問題進一步明確:(1)應明確說明無形資產評估中成本法、收益法和市場法各自的適用范圍,同時說明如果在同一評估項目中三種方法均適用,應如何選擇評估方法,如果三種方法的評估結果相差很大,其最終的評估是按最佳評估方法的評估值確定,還是按三種方法的評估值加權平均確定。(2)對無形資產評估中有關參數的確定方法進行說明,例如對無形資產的經濟壽命、預期收益額、收益分成率、折現率的確定方法進行說明。(3)無形資產評估準則指南可參照企業會計準則指南的格式,通過一個或多個具體案例對無形資產評估方法的選擇,各種參數的確定進行示范。
(三)強化相關法律的職能作用
規范無形資產評估工作,要結合我國實際情況,按照《會計法》、《資產評估準則》和《企業會計準則》等法律規定,制定相應的策略。通過制定資產評估行業的相關法規嚴格評估從業人員及評估機構的責任,加強資產評估人員的職業道德建設,強化評估從業人員的責任心,防止舞弊。
(四)成立由上而下的無形資產評估協會
無形資產評估協會履行職責是推動無形資產評估業務健康發展的保障。在各級國有資產管理部門和無形資產評估協會的指導監督、統一管理下,成立各級無形資產評估機構,評估機構的形式、設立條件、法律責任由有關法律明確規定,這是無形資產評估的具體操作主體。無形資產評估師執行業務應當納入無形資產評估機構。
(五)建立健全評估監督機制
對無形資產評估工作的監督要有政府機構監督、社會監督、法律監督和技術監督等。對評估機構所做出的結論在必要的時候要進行一定的審核,尤其是對重大項目的評估最好選擇幾個不同的評估機構進行背靠背的評估,對他們的評估進行比較,從而得出可靠的評估結論。
(六)加強從業人員的素質和能力建設
目前我國無形資產評估從業人員中大多是科技人員或財會人員,迫切需對從業人員進行系統培訓、擇優選拔、嚴格錄用。可通過建立健全技術評估師資格認證制度,盡快建立一支熟悉評估業務、具有良好職業道德的無形資產評估專業隊伍,為我國無形資產評估業健康發展創造良好的社會環境。
(七)建立完善信息網絡體系
【關鍵詞】無形資產評估;失真;方法
無形資產這一術語,在不同的學科,不同應用環境中,有不同的定義。《企業會計準則第6號―無形資產》對無形資產的表述為企業擁有或者控制的沒有實物形態的可辨認非貨幣性資產。《國際評估準則》中的定義是以其經濟特性而顯示其存在的一種資產,無形資產無具體的物理形態,但為其擁有者獲取了權益和特權,而且通常為其擁有者帶來收益。
一、無形資產評估的必要性
(一)定期對無形資產進行評估維護企業資產的完整
一個企業到底有哪些無形資產,其價值量如何,作為企業的管理者并不清楚,形成了資產管理的盲點。只有充分揭示這部分資產的真實價值,才能做到心中有數,進而變被動管理為主動管理,使之規范化,保證企業資產完整性。
(二)資本運營需要,以無形資產為先導,實現低成本擴張
企業在市場經濟中作為投資主體的地位已經明確,但要保證投資行為的合理性,必須對企業資產的現時價值有一個正確的評估。企業改制、合資、合作、聯營、兼并、重組、上市等各種經濟活動中以技術、商標權等無形資產作為投資已很普遍。
(三)為經營者提供管理、決策依據
評估的過程是資產清查的過程,重點在于發現企業在資產管理、經營過程、資本結構、企業效率和盈利能力等各個方面存在的問題和不足,努力解決或為企業提供建設性的意見和建議,有利于經營者對無形資產投資做出明智的決策,合理分配資源,減少投資的浪費。
(四)無形資產評估是經濟全球化發展的必然要求
隨著經濟全球化進程的加快,國際貿易呈現飛速發展趨勢。其中以技術貿易為代表的無形資產貿易增長尤為突出,其年平均增長速度已大大超過了有形商品貿易的增長速度,因此對于技術類商品價值進行合理評估是很有必要的。
二、無形資產評估失真的原因
(一)評估范圍和對象界定模糊,造成無形資產虛評
確定無形資產評估標的物是無形資產評估的出發點,但無形資產無實體性的特點使其評估范圍和對象的確定成為無形資產評估中的一個重點和難點。在評估過程中,被評估企業和評估師往往對無形資產認識不足、漏評無形資產從而造成資產的流失。對無形資產認識不足的另一種表現是:只注重外在形式不關注實質內容,造成無形資產的虛評。
(二)評估標準不統一,方法不科學,計算誤差大
世界上許多國家和地區,對無形資產評估制度有統一的標準,而我國至今沒有統一的資產評估準則體系。無形資產評估缺乏量化標準,使得對同一無形資產不同評估機構的評估結果往往大相徑庭。我國的無形資產評估標準、方法仍處于摸索之中,各行業根據自身需要各自制定相關的具體評估標準,這就造成了一些不可避免的問題:各評估單位過分依賴有利于自身利益的行業標準、數據和方法;阻止其他行業的評估機構進入本行業市場,評估工作的透明程度比較低。
(三)評估委托方提供的資料不準確、不齊全,評估方法的選取受限
由于外部數據參考價值不大,又缺乏行業統計數據,評估中所需的資料大多來自委托方提供的數據。企業在長期實務工作中對無形資產不夠重視,導致往往在委托方要求進行評估機構進行評估時所提供的無形資產相關數據不準確。我國目前對無形資產評估多采用成本法,但由于無形資產成本與收益的弱對應性,成本的增加并不意味著無形資產價值的增加,這些做法都使得成本法不一定能真實反映無形資產的市場價值。
(四)評估人員素質不高、能力不強,缺乏專門評估機構
無形資產評估是一項全面、系統、復雜的工作。這就要求執業人員必須具備一定的專業理論知識和操作經驗,但我國無形資產評估行業從業人員多是從行政機關分流的離退人員,缺乏嚴格的專業培訓和資格認證,容易導致評估中的操作不規范,鑒定不科學從而影響評估質量。
三、解決無形資產評估失真的方法
針對上述問題,筆者提出以下四點意見來解決這些問題:
(一)明確無形資產評估的目的和對象,拓寬無形資產的外延
要確定無形資產評估對象首先要明確評估目的,因為有些無形資產只有在特定評估目的下才能成立。例如合并商譽在不涉及合并時就不能作為評估對象,在明確評估目的之后與評估目的有關的符合無形資產定義的都應作為評估對象。在知識經濟時代,無形資產的內容越來越豐富,在確定評估范圍時,應擴大無形資產的外延。拓展后的大致包括市場資產如企業品牌、營銷渠道和特許經營權等。
(二)制定完善的無形資產評估法律法規體系
我國現行的相關評估標準已經不能滿足經濟發展的需要,國家應盡快出臺與世界接軌、又滿足我國具體國情的相關法律法規,從法人、非法人組織和個人的角度確定無形資產的權屬。同時對相關人員的資格取得、執業范圍、權利、義務、行業管理等方面做出規范。
(三)建立網絡評估數據庫,便于資料的收集
資料的缺乏成為制約我國無形資產評估公允性的關鍵因素。這一現象要求我們必須建立一個完整公允的無形資產評估數據庫。該網絡數據庫的建立,對于無形資產評估具有劃時代的意義。必然能消除以往評估工作中的很多弊端,促使無形資產評估工作高效化、規范化、現代化和科學化。
(四)提高評估人員的專業素質,建立專職的無形資產評估機構
提高評估人員的專業性以勝任無形資產的評估,提高評估結果的可信度。可考慮將注冊資產評估師的執業資格具體細分為機器設備評估師、無形資產評估師和企業價值評估師等。同時應加強評估人員職業道德教育,讓廣大從業人員在外界干擾下仍能以崇高的職業道德來要求自己,做出真實的評估報告。
【參考文獻】
[1]劉毅.淺議我國無形資產的評估失真原因及對策[J].中國證券期貨,2011(9).
【關鍵詞】信息系統;信息安全;風險評估;評估方法
【中圖分類號】C931.6 【文獻標識碼】A 【文章編號】1672-5158(2012)09-0025-01
一、信息安全風險評估的評估實施流程
信息安全風險評估包括:資產評估、威脅評估、脆弱性評估、現有安全措施評估、風險計算和分析、風險決策和安全建議,在風險評估之后就是要進行安全整改。
網省公司信息系統風險評估的主要內容包括:資產評估、威脅評估、脆弱性評估和現有安全措施評估,一般采用全面風險評估的方法,以安全顧問訪談、管理問卷調查、安全文檔分析等方式,并結合了漏洞掃描、人工安全檢查等手段,對評估范圍內的網絡、主機以及相應的部門的安全狀況進行了全面的評估,經過充分的分析后,得到了信息系統的安全現狀。
二、信息安全風險評估實施方法
2.1 資產評估
網省公司資產識別主要針對提供特定業務服務能力的應用系統展開,通常一個應用系統都可劃分為數據存儲、業務處理、業務服務提供和客戶端四個功能部分,這四個部分在信息系統的實例中都顯現為獨立的資產實體,例如:典型的協同辦公系統可分為客戶端、Web服務器、Domino服務器、DB2數據庫服務器四部分資產實體。綜合考慮資產的使命、資產本身的價值、資產對于應用系統的重要程度、業務系統對于資產的依賴程度、部署位置及其影響范圍等因素評估信息資產價值。資產賦值是資產評估由定性化判斷到定量化賦值的關鍵環節。
2.2 威脅評估
威脅評估是通過技術手段、統計數據和經驗判斷來確定信息系統面臨的威脅的過程。在實施過程中,根據各單位業務系統的具體系統情況,結合系統以往發生的信息安全事件及對網絡、系統管理員關于威脅發生可能性和發展趨勢的調查,下面按照威脅的主體分別對這些威脅及其可能發生的各種情形進行簡單描述:
2.3 脆弱性評估
脆弱性評估內容包括管理、運維和技術三方面的內容,具體實施可參照公司相應的技術或管理標準以及評估發起方的要求,根據評估選擇的策略和評估目的的不同進行調整。下表是一套脆弱性識別對象的參考:
管理脆弱性:安全方針、信息安全組織機構、人員安全管理、信息安全制度文件管理、信息化建設中的安全管理、信息安全等級保護工作、信息安全評估管理、信息安全的宣傳與培訓、信息安全監督與考核工作、符合性管理。
運維脆弱性:信息系統運行管理、資產分類管理、配置與變更管理、業務連續性管理、物理環境安全、設備與介質安全。
技術脆弱性:網絡系統、主機安全、通用系統安全、業務系統安全、現有安全措施。
管理、運維、技術三方面脆弱性是相互關聯的,管理脆弱性可能會導致運維脆弱性和技術脆弱性的產生,運維脆弱性也可能導致技術脆弱性的產生。技術的脆弱性識別主要采用工具掃描和人工審計的方式進行,運維和管理的脆弱性主要通過訪談和調查問卷來發現。此外,對以往的安全事件的統計和分析也是確定脆弱性的主要方法。
三、現有安全措施評估
通過現有安全措施指評估安全措施的部署、使用和管理情況,確定這些措施所保護的資產范圍,以及對系統面臨風險的消除程度。
3.1 安全技術措施評估
通過對各單位安全設備、防病毒系統的部署、使用和管理情況,對特征庫的更新方式、以及最近更新時間,設備自身資源使用率(CPU、MEM、DISK)、自身工作狀況、以及曾經出現過的異常現象、告警策略、日志保存情況、系統中管理員的個數、管理員所使用的口令的強度、弱口令情況等信息進行脆弱性分析,并確定級別。
3.2 安全管理措施評估
訪談被評估單位是否成立了信息安全領導小組,并以文件的形式明確了信息安全領導小組成員和相關職責,是否結合實際提出符合自身發展的信息化建設策略,其中包括是否制定了信息安全工作的總體方針和安全策略,建立健全了各類安全管理制度,對日常管理操作建立了規范的操作規程;定期組織全員學習國家有關信息安全政策、法規等。
3.3 物理與環境安全
查看被訪談單位信息機房是否有完善的物理環境保障措施,是否有健全的漏水監測系統,滅火系統是否安全可用,有無溫濕度監測及越限報警功能,是否配備精密空調嚴格調節控制機房內溫度及濕度,保障機房設備的良好運行環境。
3.4 應急響應與恢復管理
為正確、有效和快速處理網絡信息系統突發事件,最大限度地減少網絡信息系統突發事件對單位生產、經營、管理造成的損失和對社會的不良影響,需查看被評估單位是否具備完善網絡信息系統應急保證體系和應急響應機制,應對網絡信息系統突發事件的組織指揮能力和應急處置能力,是否及時修訂本單位的網絡信息系統突發事件應急預案,并進行嚴格的評審、。
3.5 安全整改
被評估單位根據信息安全風險評估結果,對本單位存在的安全風險進行整改消除,從安全技術及安全管理兩方面,落實信息安全風險控制及管理,確保信息系統安全穩定運行。
四、結語
公司近兩年推行了“雙網雙機、分區分域、等級保護、分層防御”的安全防護策略和一系列安全措施,各單位結合風險評估實踐情況,以技術促安全、以管理保安全,確保公司信息系統穩定運行,為公司發展提供有力信息支撐。
參考文獻
(一)資產評估對無形資產及確認條件的規定 2008 年實施的《資產評估準則——無形資產》對無形資產的定義為:特定主體所控制的,不具有實物形態,對生產經營長期發揮作用且能帶來經濟利益的資源。無形資產分為可辨認無形資產和不可辨認無形資產。資產評估準則規定,對于無形資產范圍的確認,是根據具體經濟行為來判斷的。在資產評估實踐中,像客戶關系、期權價值、銷售網絡、市場份額、金融關系、網絡域名、租賃權等也作為無形資產進行評估。資產評估準則要求對無形資產進行確認,必須是在考慮了無形資產評估的目的、評估對象的自身情況之后,對證明無形資產權利的法律文件進行確認。
(二)會計對無形資產確認條件的規定 《企業會計準則第6號——無形資產》對無形資產的定義為:無形資產是指企業擁有或者控制的沒有實物形態的可辨認非貨幣性資產。納入我國財會系統的主要包括專利權、非專利技術、商標權、著作權、土地使用權、特許經營權。準則明確規定,無形資產在符合資產定義的前提條件下,還要同時滿足以下兩個條件時,企業才能加以確認:一是與該無形資產有關的經濟利益很可能流入企業;二是該無形資產的成本能夠可靠地計量。
通過比較可以看出,資產評估對無形資產規定的范圍較大,其資產定義傾向于經濟學中的資產,更注重于資產本身的內在價值,關注其收益性,是廣義的無形資產。而由于考慮到會計的謹慎性原則,會計上規定的無形資產的范圍就小的多,強調的是無形資產在會計上的可辨認性和非貨幣性,僅反映了能夠為企業帶來經濟利益,并且能夠在會計資料上反映成本的那部分無形資產,是狹義的無形資產。這就導致許多在企業價值創造過程中發揮重大作用的無形資產,卻沒有在會計賬面上被發映出來。
二、無形資產評估定價與會計計量計價方法的比較
(一)無形資產評估定價 資產評估準則規定,無形資產評估應根據被評估無形資產的具體類型、評估目的、前提條件、評估原則及外部市場環境等具體情況選用合適的評估方法。無形資產評估主要方法包括收益法,市場法和成本法。收益法是指:將被評估資產剩余壽命周期的預期收益,用適當的折現率折現,累計得出評估基準日的現值,以此估算資產價值的評估方法。收益法最能真實反映無形資產價值,是較為科學合理的評估方法。市場法是指:通過市場調查,選擇一個或幾個與評估對象類似的資產作為比較對象,分析比較對象的成交價格和交易條件,進行對比調整,估算出資產價值的方法。由于市場法適用性差,一般只作為其他方法的基礎。成本法是指:從待評估資產的評估基準日的復原重置成本或更新重置成本中扣減其各項價值損耗,來確定資產價值的方法。無形資產的價值與其成本之間的關聯度很低,較少采用成本法。
(二)無形資產會計計量 無形資產計量是指無形資產的入賬價值。無形資產計量分為無形資產初始計量和后續計量。無形資產的初始計量,因其取得方式不同而有所不同。企業自行開發的無形資產,其成本包括自企業進入開發階段至達到預定用途前,所發生的符合資本化確認條件的支出總額;而除了自行開發的無形資產以外,以其他方式取得的無形資產,入賬成本實際上是根據無形資產的公允價值確定的。無形資產的后續計量采用的也是按照歷史成本進行計量:對使用壽命確定的無形資產,應在其預計的使用壽命內,按照成本系統合理地進行攤銷;使用壽命不確定的無形資產,持有期內不予攤銷,只在每個會計期間進行減值測試。
(三)計價方法的比較 比較無形資產評估定價與會計計量計價主要有以下幾個方面的不同。(1)正確性與確定性的選擇。無形資產會計計量認為確定性比正確性更重要,長期以來被廣泛采用的計量屬性是歷史成本。因此,導致了無形資產賬面價值與其實際價值的不相關,及賬面價值的不正確性。無形資產評估定價更關注資產價值的正確性。由于大部分無形資產評估的前提條件是資產權利的轉移,原會計主體持續經營假設可能發生改變,資產的所有權也可能發生變更,在持續經營假設基礎上的歷史成本已經不能滿足各方對信息要求。因此無形資產評估以現實性為原則,采用收益現值、現行市價或重置成本等價格反映資產價值。
(2)計價方法的可選擇性。會計計量無形資產是以購買時的價格或產生時的成本減去折舊,即凈歷史成本計價,計價方式單一。無形資產評估計價的標準是可選擇的,評估師需要確定的是最為準確的資產價值。資產評估認為對于不同的使用者、根據不同的使用目的,無形資產有不同的價值。這就是無形資產評估價值靈活性的體現形式。價格標準有收益的標準、重置的標準和清算的標準等。而無形資產評估定價的方法,隨著評估目的、無形資產自身情況及外部環境的不同,也要進行具體的選擇。其計價標準具有多變性,計價方法具有靈活性。
(3)成本和超額收益的偏好。無形資產會計計量僅關注獲得無形資產時的成本,是將無形資產視為一個單獨的資產個體,根據當初得到無形資產時的成本來反映無形資產的價值的。這在無形資產權利發生變動時,是很多利益相關方都無法接受的。無形資產評估更注重無形資產給企業帶來的超額收益。無形資產評估將無形資產與企業其他資源視作一個整體,認為無形資產與其他資源聯系起來發揮作用,來計算無形資產在這個整體中能夠為企業帶來的超額收益。
(4)資產評估準則與會計準則的不完全銜接。根據《企業會計制度》的規定:投資者投入的無形資產,按投資各方確定的價值作為實際成本入賬。但是,為首次發行股票而接受投資者投入的無形資產,應按該無形資產在投資方的賬面值作為實際成本。《資產評估操作規范意見》對無形資產的評估首選收益現值法。評估結果與會計賬面價值的差異,會給公司的報表帶不良影響。《企業會計制度》要求,對已經計入各期費用的研究與開發費用,在該項無形資產完工并依法申請取得權利時,不得再將原已計入費用的研究與開發費用資本化。這也與在用重置成本法進行無形資產評估時,要求根據現行條件下重新形成或取得該無形資產所需的全部費用來確定該無形資產評估價值的規定相矛盾。
[例]A企業2005年底需要對一項專有技術無形資產進行轉讓評估,該專有技術于2001年外購取得,原始賬面成本為120萬元,壽命周期為10年,至今A企業已經使用了5年,尚余5年。該技術成果在前五年為A公司帶來的收益總額為70萬元,所得稅率為25%,在未來5年中成本收益預測如表1所示:
該專有技術是近年來剛發展起來的新興技術,運用該技術生產的涂料可以提高彩色顯像管的對比度和色彩純度,國內迄今為止仍需進口該涂料。但由于該技術成果延續時間較長,至今仍未實現產業化,而國際上的此類技術已經開始更新換代,運用該技術生產的涂料在未來市場的占有率不容樂觀,具體表現為產值和利潤的逐年下降。
對該項無形資產進行資產評估定價:根據以上資料得知:該項無形資產的未來預期收益可以預測,并可以用貨幣衡量;被評估無形資產的預期獲利年限可以預測;在可預見的未來,企業不會停業或進行清理,所以對該項無形資產用收益法進行評估是可行的。綜合考慮各方面的因素,并以當年五年期國債利率5.85%作為無風險利率,最終在評估報告中確定以10%作為折現率。根據收益法的公式:
P=■■
得出結果如表2所示:
由上述資料及計算結果可知:即運用收益法評估該無形資產的價值為32.07萬元。
對該項無形資產進行會計計量:該專有技術的原始賬面成本為120萬元,壽命周期為10年。會計上對其進行攤銷,年攤銷額為12萬元,2005年底無形資產的賬面價值為60萬元。
綜上分析,無形資產評估定價及其會計計量,同屬于無形資產計價方式,二者具有相同的理論前提。無形資產評估定價與會計計量的結果有較大的差距,形成這種差距的原因,則是因為資產評估關注無形資產在具體的評估目的下,某一時點的價值,能給企業帶來的預期收益。而會計計量是在持續經營的前提下,衡量其準確的歷史成本。筆者認為,實踐中在對無形資產進行現行會計計量的同時,也應定期對該無形資產進行評估定價,并且在報表附注中對其定價結果進行反映。
參考文獻:
【關鍵詞】層次分析法;資產評估風險;防范措施
1.引言
資產評估風險是客觀存在的,我們不可能消除評估風險,但是可以采取有效的防范措施,降低其發生的概率。為了保護資產評估的聲譽和資產評估業的發展前途,提高風險意識及時采取有效的防范措施是極其必要的,否則一旦潛在的資產評估風險暴露而成為了現實,不僅危害社會,使資產評估機構蒙受損失,甚至讓資產評估師喪失職業生涯。由于資產評估活動涉及經濟領域的廣泛性,資產評估風險有多種表現形式,現實的資產評估風險形成的原因也較復雜,于是我們采取層次分析法對資產評估風險的若干因素進行綜合比較,找出等級較高的風險,再有針對性的提出資產評估風險防范的相關建議。
2.層次分析法
2.1 層次分析法的基本原理
層次分析法是由美國運籌學家、匹茲堡大學教授A.L.Satty于本世紀70年代提出的,于1982年傳入我國。其基本原理是:首先將復雜問題分成若干層次,以同一層次的各要素按照上一層要素為準則進行兩兩判斷,比較其重要性,以此計算各層要素的權重,最后根據組合權重并按最大權重原則確定最優方案。
2.2 層次分析法的具體步驟
(1)建立層次結構模型。層次結構模型包括最高層,中間層和最低層。最高層是決策的目的或要解決的問題,中間層為決策要考慮的因素或稱為決策的準則,最底層為決策時的備選方案;(2)構造判斷矩陣。構造判斷矩陣時應注意兩點:一是兩兩相互比較,而不是把所有因素都放在一起比較;二是采用相對尺度,減少性質不同的諸因素之間的比較;(3)層次單排序及其一致性檢驗。首先計算成對比較矩陣最大特征值和特征向量;然后進行一致性檢驗,若通過檢驗,則特征向量即為權向量,若沒有通過檢驗,則需要重新構造判斷矩陣;(4)層次總排序權向量及其一致性檢驗。獲得同層各要素間的相對重要程度后,就可以自上而下地計算各級要素關于總體的綜合重要度,從而得到層次總排序;而后進行一致性檢驗,若通過檢驗,則按照層次總排序權向量表示的結果進行決策,若沒有通過檢驗,則應重新考慮模型或者重新構造一致性比率較大的比較矩陣。
3.運用層次分析法評估資產評估風險
3.1 資產評估風險
3.1.1 資產評估風險的定義
資產評估風險在我國理論界和執業界有多種理解,本文定義資產評估風險為客觀存在的,由評估主體行為的失誤產生危害評估報告使用者利益及評估者承擔相應責任的可能性。
3.1.2 資產評估風險的評估
風險管理包括三個步驟:風險識別、風險評估和風險應對。其中,風險評估是在風險識別的基礎上,對風險進行定性或定量的分析與描述,以損失概率和損失程度為主要判斷依據,并以此確定風險的大小和高低。風險評估的基本方法包括:主觀綜合評判法、網絡流程分析法和模擬法。其中,層次分析法屬于主觀綜合評判法。
3.2 資產評估風險層次結構模型
根據資產評估風險的定義,一般認為資產評估風險主要由兩部分構成:內部風險和外部風險。內部風險是指由于評估機構的內部因素導致評估人員對評估目標的價值做出不當或錯誤判斷而產生評估風險;外部風險是指由于評估機構或評估人員因受到外部因素干擾而無法實施正常的評估過程而產生的評估風險。
3.3 構造資產評估風險評價判斷矩陣,權重計算及其一致性檢驗
4.結論及對于資產評估風險防范的建議
從以上的計算分析不難看出,資產評估兩大風險因素的排序為:內部風險74.99%、外部風險25.01%;次指標層各因素相對于目標層的重要性排序為:資產評估機構組織風險19.19%、資產評估機構管理風險5.49%、資產評估人員風險50.31%、政策法律風險10.32%、評估理論缺陷風險9.01%、委托方不合理要求風險5.69%。根據上述排序可以看出,內部風險是資產評估風險的主要風險,特別是資產評估的人員風險應成為風險防范的重中之重。
資產評估活動的主體是資產評估人員,人員素質的高低對資產評估風險有著重大影響,現階段,首先我國資產評估人員專業知識和實踐經驗不足,業務技能不高,對情況的發展變化和業務活動的復雜性認識不充分,無法應對錯綜復雜的評估事項;其次,評估人員的職業道德水平不高,缺少應有的職業謹慎,在評估程序、資料搜集、市場調查等方面不去現場獲取信息,從而影響資產評估質量;再者,受傳統經濟體制的影響,我國的資產評估機構由于原來都有掛靠部門,政府對評估機構的干預太多,加上有的評估人員本身法制觀念就不強,缺乏應有的風險意識和職業謹慎。凡此種種,都會產生評估風險。因此,建立資產評估師責任風險保險制度,建立系統的資產評估教育體系以培養資產評估專門人才,狠抓資產評估人員職業道德建設,強化資產評估人員的風險意識是防范與控制資產評估風險的主要方向。
參考文獻:
[1]馬輝民,李強.應用AHP層次分析法評估ERP項目風險[J].計算機與數字工程,2006(3).
[2]汪海粟.資產評估風險界定及防范體系[J].中國資產評估,2002(6).
[3]劉玉平.資產評估[M].北京:中國財政經濟出版社,2007.
[4]顏如意.資產評估風險的剖析.財經理論與實踐(雙月刊),2001(1).
[5]張錦成.資產評估的風險識別和防范[J].國有資產管理,2001(11).
論文摘要:本文在簡要介紹美國安永會計公司在資產評鉆方面的成功經驗的基礎上,較詳細分析了影響我們地勘行業資產評枯質量的主要原因,提出了相應的改進對策。
資產評估質量,直接關系到資產所有者、經營者和使用者的合法權益。然而,影響資產評估質量的則是評估管理機構和操作方法,以及企業單位的管理水平。在此,以美國安永會計公司為例,結合我們的情況。談談如何進一步提高資產評估質量。
一、美國安永會計公司在資產評估方面的主要做法
美國安永會計公司是世界六大著名的會計公司之一,其分支機構遍及120多個國家。多個城市,雇用專業人員s萬多人,年營業額多億美元。主要業務范圍包括:資產評估、財務咨詢眼務、稅務、審計、管理咨詢等業務。在資產評估業務中的三個主要領域是企業整體評估、房地產評估和機器設備評估。其中,更側重于對企業未來收益及風險程度的評估,以便為投資者提供參考依據。在評估過程中有以下做法及特點。
1.法制健全。資產評估在美國已有一百多年厲史,因而國家有關資產評估的法規配套健全。資產評估已成為企業或個人在生產經營活動中的自覺行為。評估師協會也制訂了評估人員的道德規范,從業人員法制意識強烈,個人負有直接法律責任.有隨時準備上法庭當“被告”的思想準備。工作認真,實事求是,一絲不荀。
2.操作方法統一規范。由國家評估者協會確定了42個項目的專業定義及操作標準,還制定了一系列科學規范、可操作性強的評估方法。使評估人員有據可依。有章可循。
3企業提供的有關數據和信息詳實、準確、面廣,具有法律效力,經得起歷史撿臉。這包括了企業的總體概況、股東資料、人員管理、行業的市場狀況、競爭對手,過去5年及未來5年的財務計劃及經營情況的數據及預測。若有5大類130多種數據信息,保證了評估質量的客觀公正、全面準確。
4.進行全面系統的分析。首先從國家的方針政策和經濟形勢、產業政策及行業狀況、企業的總體分析到定量分析、到財務報表的調整,對一百多種數據進行比較分析,真實反映未來企業的經營業績。對未來企業風險及財務風險、回報率進行預沁評價。
5.采用現代科學技術手段。建立全國聯崗的數據庫,并應用資產評估專業軟件包,切數據的運算,分析和研究均由計算機進行。并采用通用標準,使評估成果國際化。
二、目前影響我們資產評估質量的主要問題
資產評估在美國等西方發達國家已有百余年的歷史。在我國、資產評估是隨著改革開放的不斷深入而產生和發展起來的.至今還不到十年的歷史.在我部系統也是近幾年才發展起來的。由于我國的市場經濟還不發達,相應的管理機制尚未配套,故在資產評估方面還存在一些間題.主要表現如下:
1.思怒認識上的偏差。由于資產評沽是較新的業務,加之宣傳的廣度和力度不夠,一些行政領導、企業(單位)和管理人員把資產評估與“會計事務”、“審計”、“價值重估”混為一談。認為只要組織本單位的專業部門及有關專業人員進行核實評價即可。
2、評枯從業人員的法律責任感不強,執法力度不夠。評估工作受行政干預、違反了評估工作的獨立性、公正性和客觀性。
評估的方法較單一,一般多采用重置成本法和現行市價法,主要側重于企業的現狀及有形資產的評估,對于無形資產及企業未來收益及風險的評估較少涉及。
3.一些單位的領導和統計人員法制意識淡薄。雖然《統計法》已經頒布實施。但是,以權擾數,弄虛作假,以數謀私的統計違法行為仍然存在。各專業部門之間缺乏規范統一的統計標準,各行其是,有的是根據項目的目的或領導意圖而編制.同一個項目可出多種統計結果,使人無據可從。加之評估人員執法力度不夠,從而影響了評估質量,不利于維護所有者權益。
4.國有資產管理薄弱。尤其是基礎管理工作不到位,名存實亡。管理部門被撤并,行之有效的基礎管理工作嚴重削弱,評估操作中所需的信息和數據無處可查.無法全面反映個企業(單位)的全貌,難以對企業進行全方位的及未來收益、風險的分析和評估。
5.存在著行政干預現象,有的單位領導對評估限價、限值、限時,從而影響了評估質量。地區封鎖,自我保護,行業壟斷,各成體系,難以實現平等競爭。影響了評估質量。
三、進一步提高資產評估質量的幾點建議
1.進一步加強資產評估的宣傳工作。采用報刊、講座、培訓等多種形式和手段,宣傳資產評估的法規和基本知識、作用與意義,不斷提高資產評估的知名度,使行政領導和企業(單位)及有關人員理解并支持資產評估工作。
2.強化統計執法力度。制定統一規范的標準體系,以《統計法》為準則,增強統計人員的守法意識、規范統計人員的業務行為。依法檢查、監督統計工作,確保信息源頭的清澈和數據準確無誤。
3、加強資產管理基礎工作。在吸收西方先進經驗.結合本身實際情況,積極探索適應社會主義市場經濟的管理體制和運行機制,使企業(單位)認識到社會主義市場經濟體制下更需要加強資產的基礎管理,才能提供及時準確的信息,做出正確的決策,以適應市場瞬變的需要。并根據市場經濟要求設置機構.劃分職能,明確責任,形成對市場變化反映靈敏,運轉自如的管理機制。
4.加強資產評佑的立法工作和評話機構的自律性。國家已先后頒布了《國有資產評估管理辦法》、《資產評估機構管理暫行辦法》、《資產評估執業人員自律守則》,最近又頒發《注冊資產評估師執業資格制度暫行規定》等一系列有關法規辦法。進一步完善了評估法規體系.明確了資產評估人員法律責任。在此,應組織評估人員進行認真的學習、培訓和研討,進一步提高廣大評估人員的業務水平、職業道德修養和守法執法意識。
以“產業招商突破年”活動為載體,堅持生豬產業招商,強化農業產業發展,優化發展環境,全力推進我局開放型經濟工作邁上新臺階。
二、工作目標
1、境內資金。年內引進內資9000萬元,其中固定資產投資3000萬元,引進億元項目1個。
2、境外資金。完成合同外資150萬美元,實際利用外資100萬美元,其中現匯進資40萬美元。
3、出口創匯。年內完成出口創匯50萬美元。
三、工作舉措
(一)加大產業承接力度
1、緊緊圍繞支柱產業,把握產業升級和轉移有利時機,加強與沿海產業的對接,進一步拓寬利用內外資金領域。
2、結合我縣資源產業優勢,充分利用網絡、人脈等資源,大力開展網絡招商,以商招商;瞄準重點,與農業產業對接,廣泛引進農產品加工企業;重點幫扶正邦、贛江果蔬做大做強,發展為上億企業。
(二)完善招商指標認定標準
凡續建項目和擴建項目均納入固定資產評估范圍,并按5折計算給引資單位;引資產業外項目(縣農業局招商產業為生豬產業)固定資產投資評估標準由1000萬元以上降為500萬元以上項目,并按8折計算給引資單位(引進固定資產投資500萬元以下的產業外項目,不計算給引資單位);所有引進產業外項目的稅收均歸屬引資單位。其他項目評估標準維持不變,即一、二產項目100萬元,三產項目300萬元,以上固定資產評估以縣固定資產投資評估小組認定為準,各單位捆綁招商,招商引資計算比例由捆綁單位協商,在固定資產認證之前,以書面形式上報到開放型經濟工作辦公室。
(三)強化激勵機制
1、將開放型經濟工作列入年度目標管理考評內容,并表彰先進。
2、實行有獎招商,對提供有價值信息(指有真實投資意向,固定資產投資在500萬元以上,雙方經過相關考察和洽談并達成投資意向及投資的重要信息)的單位和個人,局按每條信息1000——3000元給予獎勵。
3、繼續實行招商引資固定資產投資“一票否決”,年終沒有完成全年招商引資固定資產投資任務的,取消單位年終綜合目標管理考評評先評優及主要負責人評先資格,并扣發該單位干部職工每個月170元生活補貼和第13個月工資。
[關鍵詞] 基礎地理;信息系統;安全;風險評估
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2015 . 21. 082
[中圖分類號] TP315 [文獻標識碼] A [文章編號] 1673 - 0194(2015)21- 0155- 03
1 引 言
風險是以一定的發生概率的潛在危機形式存在的可能性,而不是已經存在的客觀結果或既定事實。風險管理是通過對風險的識別、衡量和控制,以最小的成本將風險導致的各種損失結果減少到最小的管理方法。隨著信息化向縱深發展,基礎地理信息系統被廣泛應用,但信息安全方面的威脅也大大增加,具體到市縣級基礎地理信息系統中存在各類風險,這些風險有著自身的特點,對系統的影響也隨著不同階段而不同。其中信息安全風險是指系統本身的脆弱性在來自環境的威脅下而產生的風險,這些風險會對信息系統核心資產的安全性、完整性和可用性造成破壞。對測繪行業信息安全風險的評估是進行有效風險管理的基礎,是對風險計劃和風險控制過程的有力支撐,而如何識別和度量風險成為一個難題,目前測繪地理信息行業沒有一個行業性安全評估類或者安全管理類規范標準,通用安全評估規范在很多方面對于測繪地理信息系統復雜性和行業特點缺乏適用性,往往較難落地,為此提出市縣級國土資源基礎地理信息系統安全風險評估規范研究。
2 國內外信息安全風險評估的研究現狀
信息安全風險評估經歷了很長一段的發展時期。風險評估的重點也由最初簡單的漏洞掃描、人工審計、滲透性測試這種類型的純技術操作,逐漸過渡到技術與管理相結合的科學方法。由于信息安全問題的突出重要性,以及發生安全問題的后果嚴重性,目前評估工作已經得到重視和開展。國內外很多學者都在積極投身于信息安全的研究,期望找到保護信息安全的盔甲。美國在信息安全風險管理領域的研究與應用獨占鰲頭,政府控管體制健全,己經形成了較為完整的風險分析、評估、監督、檢查問責的工作機制。DOD作為風險評估的領路者,1970年就已對當時的大型機、遠程終端作了第一次比較大規模的風險評估; 1999年,美國總審計局在總結實踐的基礎上,出版了相關文檔,指導美國組織進行風險評估;2001年美國國家標準和技術協會(NIST)推出SP800系列的特別報告中也涉及到風險評估的內容;歐洲各國對信息安全風險一直采取“趨利避害”的安全策略,于2001-2003年完成了安全關鍵系統的風險分析平臺項目CORAS,被譽為歐洲經典。我國信息安全評估起步較晚,2003年7月,國信辦信息安全風險評估課題組啟動了信息安全風險評估相關標準的編制工作;8月,信息安全評估課題組對我國信息安全工作的現狀進行了調研,完成了相關的評估報告,總結了風險評估是信息安全的基礎性工作;2004年3月國家《信息安全風險評估指南》與《信息安全風險管理指南》的征求意見稿;2005年2月至9月,開始了國家基礎信息網絡和重要信息系統的信息安全風險評估試點工作;2007年7月我國頒布了《信息安全技術信息安全風險評估規范》(GB/T 20984一2007)并于2007年11月1日實施;2008年4月22日,在國家信息中心召開了《信息系統風險評估實施指南》預制標準第二次研討會,此次會議主要就標準工作組制定的《實施指南》目錄框架進行了詳細研究與討論,《信息系統風險評估實施指南》作為GB/T 20984-2007《信息安全風險評估規范》和《信息安全風險管理規范》之后又一技術性研究課題,將充實信息安全風險評估和風險管理具體實施工作。
3 市縣級基礎地理信息系統安全風險評估規范研究方法和手段
3.1 市縣級基礎地理信息系統安全風險評估規范研究方法
市縣級基礎地理信息系統安全風險評估規范研究通過綜合分析評估后的資產信息、威脅信息、脆弱性信息,最終生成風險信息。資產的評估主要從保密性、完整性、可用性三方面的安全屬性進行影響分析,從資產的相對價值中體現了威脅的嚴重程度;威脅評估是對資產所受威脅發生可能性的評估;脆弱性的評估是對資產脆弱程度的評估;具體如下:
(1)資產評估。資產評估的主要工作就是對市、縣、鄉三級基礎地理信息系統風險評估范圍內的資產進行識別,確定所有的評估對象,然后根據評估的資產在業務和應用流程中的作用對資產進行分析,識別出其關鍵資產并進行重要程度賦值。根據資產評估報告的結果,可以清晰的分析出市、縣、鄉三級基礎地理信息系統中各主要業務的重要性,以及各業務中各種類別的物理資產、軟件資產和數據資產的重要程度,從而得出信息系統的安全等級。同時,可以明確各業務系統的關鍵資產,確定安全評估和保護的重點對象。
在此基礎上,建立針對市、縣、鄉三級基礎地理信息系統中的資產配置庫,對資產的名稱、類型、屬性以及相互關系、安全級別、責任主體等信息進行描述。
(2)威脅評估。威脅是指可能對資產或組織造成損害事故的潛在原因。威脅識別的任務主要是識別可能的威脅主體(威脅源)、威脅途徑和威脅方式,威脅主體是指可能會對信息資產造成威脅的主體對象,威脅方式是指威脅主體利用脆弱性的威脅形式,威脅主體會采用威脅方法利用資產存在的脆弱性對資產進行破壞。
在此基礎上,充分調研,分析現有記錄、安全事件、日志及各類告警信息,整理本行業信息系統在物理、網絡、主機、應用和數據及管理方面面臨的安全威脅,形成風險點列表。
(3)脆弱性評估。脆弱性是指資產或資產組中能被威脅所利用的弱點,它包括物理環境、組織機構、業務流程、人員、管理、硬件、軟件及通訊設施等各個方面,這些都可能被各種安全威脅利用來侵害一個組織機構內的有關資產及這些資產所支持的業務系統。
通過研究,將建立本行業的涉及主要終端、服務器、網絡設備、安全設備、數據庫及應用等主要系統的基線庫,從而為脆弱性檢測在“安全配置”方面提供指標支撐。
(4)綜合風險評估及計算方法。風險是指特定的威脅利用資產的一種或一組脆弱性,導致資產的丟失或損害的潛在可能性,即特定威脅事件發生的可能性與后果的結合。在風險評估模型中,主要包含信息資產、脆弱性、威脅和風險四個要素。每個要素有各自的屬性,信息資產的屬性是資產價值,脆弱性的屬性是脆弱性被威脅利用后對資產帶來的影響的嚴重程度,威脅的屬性是威脅發生的可能性,風險的屬性是風險發生的后果。
綜合風險計算方法:根據風險計算公式R= f(A,V,T)=f(Ia,L(Va,T)),即:風險值=資產價值×威脅可能性×弱點嚴重性,下表是綜合風險分析的舉例:
注:R表示風險;A表示資產;V表示脆弱性;T表示威脅;Ia表示資產發生安全事件后對組織業務的影響(也稱為資產的重要程度);Va表示某一資產本身的脆弱性,L表示威脅利用資產的脆弱性造成安全事件發生的可能性。
風險的級別劃分為5級(見表1),等級越高,風險越高。
各信息系統風險值計算及總體風險計算則按照風險的不同級別和各級別風險的個數進行加權計算,具體的加權計算方法如下。
風險級別權重分配:
極高風險 30%
高風險 25%
中風險 20%
低風險 15%
很低風險 10%
各級別風險個數對應關系(即各級別風險相對于很低風險的個數換算):
極高風險 16
高風險 8
中風險 4
低風險 2
很低風險 1
風險計算公式R’=K(av,p,n)=av×p×n,其中,av代表各級別風險求平均后總和,p代表相應的風險級別權重,n代表相應的風險個數權重。
總體風險值=R’(極高)+ R’(高) + R’(中) + R’(低) + R’(很低)
3.2 市縣級基礎地理信息系統安全風險評估規范研究的手段
(1)專家分析。對于已有的安全管理制度和策略,由經驗豐富的安全專家進行管理方面的風險分析,結合江蘇省基礎地理信息系統安全建設現狀,指出當前安全規劃和安全管理制度存在的不足,并給出安全建議。
(2)工具檢測。采用成熟的掃描或檢測工具,對于網絡中的服務器、數據庫系統、網絡設備等進行掃描評估;為了充分了解各業務系統當前的網絡安全現狀及其安全威脅,因此需要利用基于各種評估側面的評估工具對評估對象進行掃描評估,對象包括各類主機系統、網絡設備等,掃描評估的結果將作為整個評估內容的一個重要參考依據。
(3)基線評估。采用基線風險評估,根據本行業的實際情況,對信息系統進行安全基線檢查,拿現有的安全措施與安全基線規定的措施進行比較,找出其中的差距,得出基本的安全需求,通過選擇并實施標準的安全措施來消減和控制風險。所謂的安全基線,是在諸多標準規范中規定的一組安全控制措施或者慣例,這些措施和慣例適用于特定環境下的所有系統,可以滿足基本的安全需求,能使系統達到一定的安全防護水平。
(4)人工評估。工具掃描因為其固定的模板,適用的范圍,特定的運行環境,以及它的缺乏智能性等諸多因素,因而有著很大的局限性;而人工評估與工具掃描相結合,可以完成許多工具所無法完成的事情,從而得出全面的、客觀的評估結果。人工檢測評估主要是依靠具有豐富經驗的安全專家在各服務項目中通過針對不同的評估對象采用顧問訪談,業務流程了解等方式,對評估對象進行全面的評估。
(5)滲透測試。在整個風險評估的過程中,結合外部滲透測試的方式發現系統中可能面臨的安全威脅和已經存在的系統脆弱性。