在风险评估过程中,将风险分析的结果与组织的风险准则比较指的是( )。
A 、风险评价
B 、风险分析
C 、风险应对
D 、风险识别
【正确答案:A】
风险评估包括风险识别、风险分析和风险评价。风险评价是将风险分析的结果与组织的风险准则作比较,或者在各种风险的分析结果之间进行比较,确定风险等级以便作出风险应对决策。
风险是对于特定目标的尚未发生、可能发生的正面或者负面的影响,对风险主要从可能性与影响程度两个方面进行评价;本文中论述的风险均为负面的风险。风险管理过程包括明确环境信息、风险评估、风险应对与监督与检查四个环节。
1、明确环境信息
明确环境信息主要包括外部环境、内部环境、确定风险准则三个方面。在进行方法开发时应当明确内外部环境,包括法规或者规范的要求、利益相关方(如QC实验室)的需求、设备与耗材供应商的产品更新计划、实验室设备状况与人员水平等;还应制定相应的风险准则,包括如何度量风险的可能性与影响程度,如何对风险进行分级,不同等级的风险应对如何应对,如何评价风险可以接受等。
2、 风险评估
风险评估主要包括风险识别、风险分析、风险评价三个环节。
风险识别是发现、列举和描述风险要素的过程。风险识别是通过识别风险源、影响范围、事件及原因和潜在的后果等,生成一个全面的风险列表。分析方法开发阶段进行风险识别时应当让所有相关人员直接或间接参与,采用多种形式,如实验室应当将同类分析方法曾经发生的问题汇总作为风险识别的参考,可自行内部相关领域的资深人士,查阅相关文献,对利益相关方进行访谈,必要时可采用相关工具如鱼骨图、FMEA等。
风险分析是根据风险类型、获得的信息和风险评估结果的使用目的,对识别出的风险进行定性和定量的分析,为风险评价和风险应对提供支持。方法开发阶段的风险分析是指根据已确定的风险准则对已识别的风险的可能性与影响程度进行度量,对于技术方面的风险如溶液稳定性、样本量、仪器响应值的波动等,可以结合实验数据与统计学工具进行定量分析,其他来源的风险如利益相关方需求、仪器型号的变化等可进行定性分析。一般情况下方法开发时的风险分析首先采用定性分析,初步揭示风险等级与主要风险,随着研究的推进与对方法性能的理解的加深,再对风险进行具体的定性与定量分析。
风险评价是将风险分析的结果与组织的风险准则比较,或者在各种风险的分析结果之间进行比较,确定风险等级,以便做出风险应对的决策。
分析方法开发阶段的风险评估一般由方法开发执行人根据相关理论与经验进行判断,由于理论水平、经验、风险接受能力、利害相关等多方面因素的差异,不同执行人风险评估的结果各有不同,因此在进行风险评估时,执行人应当充分收集各方意见,咨询资深人士指导,对分析方法的风险进行全面系统的评估。
3、风险应对
风险应对是处理风险的过程,对于负面的风险一般有规避、减轻、转移、接受四种方式。在分析方法开发时对于已识别的全生命周期的风险,可基于对方法性能、样品性质及外部环境等多重约束,采用适当的应对措施
一、基线评估
1、用基线风险评估,组织根据自己的实际情况(所在行业、业务环境与性质等),对信息系统进行安全基线检查(拿现有的安全措施与安全基线规定的措施进行比较,找出其中的差距),得出基本的安全需求,通过选择并实施标准的安全措施来消减和控制风险。
2、所谓的安全基线,是在诸多标准规范中规定的一组安全控制措施或者惯例,这些措施和惯例适用于特定环境下的所有系统,可以满足基本的安全需求,能使系统达到一定的安全防护水平。
二、详细评估
1、详细风险评估要求对资产进行详细识别和评价,对可能引起风险的威胁和弱点水平进行评估,根据风险评估的结果来识别和选择安全措施。这种评估途径集中体现了风险管理的思想,即识别资产的风险并将风险降低到可接受的水平,以此证明管理者所采用的安全控制措施是恰当的。
2、风险识别:“风险识别”是发现、承认和描述风险的过程。风险识别包括对风险源、风险事件、风险原因及其潜在后果的识别。风险识别包括历史数据、理论分析、有见识的意见、专家的意见,以及利益相关方的需求。
3、风险评价:“风险评价”(risk evaluation)是把风险分析的结果与风险准则相比较,以决定风险和/或其大小是否可接受或可容忍的过程。正确的风险评价有助于组织对风险应对的决策。
三、组合评估
1、基线风险评估耗费资源少、周期短、操作简单,但不够准确,适合一般环境的评估;详细风险评估准确而细致,但耗费资源较多,适合严格限定边界的较小范围内的评估。基于在实践当中,组织多是采用二者结合的组合评估方式。
2、组织首先对所有的系统进行一次初步的高级风险评估,着眼于信息系统的商务价值和可能面临的风险,识别出组织内具有高风险的或者对其商务运作极为关键的信息资产(或系统),这些资产或系统应该划入详细风险评估的范围,而其他系统则可以通过基线风险评估直接选择安全措施。
3、这种评估途径将基线和详细风险评估的优势结合起来,既节省了评估所耗费的资源,又能确保获得一个全面系统的评估结果,而且,组织的资源和资金能够应用到最能发挥作用的地方,具有高风险的信息系统能够被预先关注。
扩展资料:
风险评估常用方法
一、风险因素分析法
风险因素分析法是指对可能导致风险发生的因素进行评价分析,从而确定风险发生概率大小的风险评估方法。其一般思路是:调查风险源→识别风险转化条件→确定转化条件是否具备→估计风险发生的后果→风险评价。
二、内部控制评价法
内部控制评价法是指通过对被审计单位内部控制结构的评价而确定审计风险的一种方法。由于内部控制结构与控制风险直接相关,因而这种方法主要在控制风险的评估中使用。注册会计师对于企业内部控制所做出的研究和评价可分为三个步骤:
三、分析性复核法
分析性复核法是注册会计师对被审计单位主要比率或趋势进行分析,包括调查异常变动以及这些重要比率或趋势与预期数额和相关信息的差异,以推测会计报表是否存在重要错报或漏报可能性。常用的方法有比较分析法、比率分析法、趋势分析法三种。
参考资料来源:百度百科-风险评估
温馨提示:
