風險分析程序

A. 什麼是風險評估程序

風險評估程序指為了了解被審計單位及其環境而實施的程序。目的是為了識別和評估財務報表的重大錯報風險。

風險評估程序的內容：

1、詢問被審計單位管理層和內部其他相關人員。詢問下列事項：

（1）管理層所關注的主要問題。

（2）被審計單位最近的財務狀況、經營成果和現金流量。

（3）可能影響財務報告的交易和事項，或者當前發生的重大會計處理問題。

（4）被審計單位發生的其他重要變化。

2、實施分析程序。指注冊會計師通過研究不同財務數據之間以及財務數據與非財務數據之間的內在關系，對財務信息作出評價。

3、觀察和檢查。觀察和檢查程序可以印證對管理層和其他相關人員的詢問結果，並可提供有關被審計單位及其環境的信息，注冊會計師應當實施下列觀察和檢查程序。

（1）觀察被審計單位的生產經營活動。

（2）檢查文件、記錄和內部控制手冊。

（3）閱讀由管理層和治理層編制的報告。

（4）實地察看被審計單位的生產經營場所和設備。

（5）追蹤交易在財務報告信息系統中的處理過程（穿行測試）。

4、其他審計程序和信息來源。除了採用上述程序從被審計單位內部獲取信息以外，如果根據職業判斷認為從被審計單位外部獲取的信息有助於識別重大錯報風險，注冊會計師應當實施其他審計程序以獲取這些信息。例如，詢問被審計單位聘請的外部法律顧問、專業評估師、投資顧問和財務顧問等或者閱讀外部信息。

B. 風險管理的基本程序有哪些

風險管來理是指如何在源項目或者企業一個肯定有風險的環境里把風險可能造成的不良影響減至最低的管理過程。風險管理對現代企業而言十分重要。

風險評估是對風險可能造成的災害進行分析。主要通過以下幾個步驟進行評估：

1、根據風險識別的條目有針對性的進行調研；

2、根據調研結果和經驗，預測發生的可能性，並用百分比表示發生可能性的程度；

3、根據程度排定優先隊列。
風險評估步驟

(1）定義項目的風險參考水平值。要使風險評估發生作用，就要定義一個風險參考水平值，對於大多數項目而言，通過對性能、成本、支持及進度等因素的分析，可以找出風險的參考水平值，對於性能下降、成本超支、支持困難或進度延遲（或者這四種的組合）等情況，超過這一參考水平值項目就會被終止。

(2）建立每一組（風險、風險發生的概率、風險產生的影響）與每一個參考水平值的關系。

(3）預測一組臨界點以定義項目終止區域，該區域由一條曲線或不確定區域界定。

(4）預測什麼樣的風險組合會影響參考水平值。

風險管理的四種類型：

風險主要有四種類型：財務風險、商業風險、管理風險、操作風險。針對這些風險，風險管理有一套集文化、方法、模型、管理制度、組織架構於一體的綜合性系統。

C. 有害生物風險分析的程序和方法

有害生物風險分析的核心內容是風險評估和風險管理。有害生物風險評估是指：「確定有害生物是否為檢疫性有害生物並評價其傳入的可能性。」有害生物風險管理是指：「為降低檢疫性有害生物傳入風險的決策過程。」 通過識別有害生物及其環境條件界定其危害。
（1）起點。有害生物風險分析可以由以下3種活動開始：查明有潛在有害生物的途徑；查明可能需要採取植物衛生措施的有害生物；審議或修改植物衛生政策和重點活動。
（2）確定有害生物風險分析地區。應盡可能確切地確定有害生物風險分析區，以便收集這些地區的信息。
（3）信息收集和審查早先的有害生物風險分析。收集各種有關信息，包括有害生物的特性、分布、寄主、與商品的聯系等。信息可以有各種來源，提供有害生物狀況的官方信息是IPPC成員應履行的義務，因此可以通過其官方聯絡點索取。應當檢查是否已經進行了有害生物風險分析。若已經做過，要核實其有效性。 首先要確定有害生物是否是檢驗性有害生物，即是否對受威脅的地區具有潛在的經濟重要性（經濟重要危害性標准）、但尚未在該地區發生，或雖已發生但分布不廣（地域標准）並進行官方控制。可以得出風險是否可以接受以及是否需要和可能降低的結論。如果是超過了一個國家所確定的適當的保護水平的風險是不可接受的風險。
（1）有害生物分類。明確有害生物的特性，核實其是否存在於分析地區，其管制狀況如何，定殖和擴散潛力及經濟影響潛力怎樣。
（2）評估傳入和擴散的可能性。評價有害生物進入的可能性、定殖的可能性和定殖後擴散的可能性。查明有害生物風險分析地區中生態因子利於有害生物定殖的地區，以確定受威脅地區。
（3）評估潛在的經濟影響。考慮有害生物的影響，包括直接影響（對有害生物分析地區潛在寄主或特定寄主的影響，如產量損失、控製成本等）和間接影響（如對市場的影響、社會的影響等），分析經濟影響（包括商業影響、非商業影響和環境影響），查明有害生物風險分析地區中有害生物的存在將造成重大經濟損失的地區。 確認可以降低風險的選擇方案，評價這些方案的效率和影響，並決定或推薦可以接受的降低風險的措施。
（1）風險水平及其可接受性。根據所確定的適當的保護水平，如果風險不能接受，就需要考慮將風險降低到可接受的水平或低於可接受水平的植物衛生措施。
（2）確定和選擇適當的風險管理方案。考慮選擇各種植物衛生措施和各種植物衛生措施的組合，包括：應用於貨物的措施、為阻止或減少在作物中蔓延的措施和確保生產地區、產地或生長點或作物沒有有害生物的措施，國內的控制措施以及禁止輸入的措施。
（3）植物衛生證書和其他遵守措施。考慮適當的遵守措施，包括出口驗證，要求在植物衛生證書中證實執行了風險管理的措施。
風險分析不是一個簡單的過程，在選擇有效的降低風險的風險管理方案時，要運用風險評估結果所決定的風險控制方法及其對風險的削減程度。在風險評估中可以確定採取措施前的基準風險水平，在風險管理中將這一基準風險水平與採取措施降低後的風險相比較，測定植物衛生措施的有效性。
風險評估和風險管理之間有著直接的依賴關系，且本質上都具有分析的特性。風險管理的意義在於對降低風險的方案的識別和評價，雖然廣義上風險管理也包括決策制訂和實施（運作方面），以及在實踐中降低風險的工作系統，但通常並不認為是風險分析過程的一個組成部分。
有害生物風險分析要確認風險評估和降低風險的風險管理措施相關的「不確定性」，明確不確定性的領域和不確定性的程度。不確定性是由於信息的不完整或可獲得的信息的不斷變化造成的。確認不確定性的目的是給決策者提供盡可能完整和客觀的意見。

D. 企業應如何進行風險識別和風險分析

應掌握以下方法：
1．生產流程法
按工藝流程和加工流程的順序，對每一個過程、每一個環節進行檢查，發現其中潛在的風險，挖掘產生風險的根源。
2．環境分析法
設備的製造和安裝企業面臨的環境包括內部環境和外部環境。
3．組織圖分析法
組織圖分析法適用於各類企業和項目的風險識別，它是風險識別的必要方法之一。組織圖分析法包括的內容如下。
(1)財務狀況分析法
(2)專家調查法
(3)分解分析法
(4)圖表分析法
(5)風險清單
(6)事故樹分析法
風險識別的結果是建立項目的風險清單。
（二）、項目風險分析與評價
系統而全面地識別項目風險只是風險管理的第一步，對認識到的工程風險還要作進一步的分析，即風險分析與評價。通過風險分析與評價能更准確地認識風險，為項目的正確決策提供保障，為風險對策的選擇提供依據。
風險分析包括對風險事件發生概率的估計和對損失程度的估計。風險分析與評價可以採用定性和定量兩類方法。
1、風險分析與評價的程序
風險分析與評價的程序如下：
①估計風險事件在確定時間周期內發生的可能性，同時估計這些風險造成損失的情況；
②根據風險事件發生的數量和損失嚴重程度估計總損失額的大小；
③預測風險事件發生的次數和損失嚴重程度、總損失額度等。
2、風險事件發生概率的分析與評價
風險概率分析的方式有定性和定量兩種方式。
定性方式可以將風險概率表示為「計劃為零」、「很小」、「中度」、「一定的」、「較大」等形式，項目風險導致的損失大小也相對劃分為重大損失、中等損失和輕度損失，這樣可以在圖所示的風險等級圖的坐標系中對風險進行定位，反映風險量的大小。
用定性方式進行風險分析時的主要根據包括：
①項目各個參與方的風險管理計劃；
②已經識別出來的風險因素；
③風險的類型；
④歷史經驗數據。
典型的定量分析方式是概率分布法。採用概率分布法通過建立潛在損失的概率分布，可以全面衡量項目的風險，有助於決策者確定針對特定情況的風險對策或風險對策組合。

E. 風險評估程序的內容有哪些

風險評估程序的內容

1、詢問管理層和被審計單位內部其他人員

詢問管理層和被審計單位內部其他人員是注冊會計師了解被審計單位及其環境的一個重要信息來源。

2、實施分析程序

分析程序是指注冊會計師通過研究不同財務數據之間以及財務數據與非財務數據之間的內在關系，對財務信息作出評價。分析程序還包括調查識別出的、與其他相關信息不一致或與預期數據嚴重偏離的波動和關系。

分析程序既可用作風險評估程序和實質性程序，也可用於對財務報表的總體復核。本准則主要說明在了解被審計單位及其環境並評估重大錯報風險時使用的分析程序，即將分析程序用作風險評估程序。

3、觀察和檢查。觀察和檢査程序可以支持對管理層和其他相關人員的詢問結果，並可以提供有關被審計單位及其環境的信息。

(5)風險分析程序擴展閱讀

在實施分析程序時，注冊會計師應當預期可能存在的合理關系，並與被審計單位記錄的金額、依據記錄金額計算的比率或趨勢相比較；如果發現異常或未預期到的關系，注冊會計師應當在識別重大錯報風險時考慮這些比較結果。

如果使用了高度匯總的數據，實施分析程序的結果僅可能初步顯示財務報表存在重大錯報風險，注冊會計師應當將分析結果連同識別重大錯報風險時獲取的其他信息一並考慮。

例如，被審計單位存在很多產品系列，各個產品系列的毛利率存在一定差異。對總體毛利率實施分析程序的結果僅可能初步顯示銷售成本存在重大錯報風險。

注冊會計師需要實施更為詳細的分析程序。例如，對每一產品系列進行毛利率分析，或者將總體毛利率分析的結果連同其他信息一並考慮。

F. 什麼是風險評估程序,對財務報表審計有何作用

注冊會計師了解被審計單位及其環境，目的是為了識別和評估財務報表重大錯報風險。為了解被審計單位及其環境而實施的程序稱為「風險評估程序」。注冊會計師應當依據實施這些程序所獲取的信息 ，評估重大錯報風險。
注冊會計師應當實施下列風險評估程序，以了解被審計單位及其環境：（1）詢問被審計單位管理層和內部其他相關人員；（2）分析程序；（3）觀察和檢查。本准則第七條至第九條分別對上述風險評估程序進行了規范。
1.詢問被審計單位管理層和內部其他相關人員。
詢問被審計單位管理層和內部其他相關人員是注冊會計師了解被審計單位及其環境的一個重要信息來源。注冊會計師可以考慮向管理層和財務負責人詢問下列事項：
（1）管理層所關注的主要問題。如新的競爭對手、主要客戶和供應商的流失、新的稅收法規的實施以及經營目標或戰略的變化等。
（2）被審計單位最近的財務狀況、經營成果和現金流量。
（3）可能影響財務報告的交易和事項，或者目前發生的重大會計處理問題。如重大的購並事宜等。
（4）被審計單位發生的其他重要變化。如所有權結構、組織結構的變化，以及內部控制的變化等。
根據《中國注冊會計師審計准則第1301號——審計證據》，注冊會計師實施風險評估程序獲取的信息構成審計證據的一個組成部分。
盡管注冊會計師通過詢問管理層和財務負責人可獲取大部分信息，但是詢問被審計單位內部的其他人士可能為注冊會計師提供不同的信息，有助於識別重大錯報風險。因此，注冊會計師除了詢問管理層和對財務報告負有責任的人員外，還應當考慮詢問內部審計人員、采購人員、生產人員、銷售人員等其他人員，並考慮詢問不同級別的員工，以獲取對識別重大錯報風險有用的信息。在確定向被審計單位的哪些人員進行詢問以及詢問哪些問題時，注冊會計師應當考慮何種信息有助於其識別和評估重大錯報風險。例如：
（1）詢問治理層，有助於注冊會計師理解財務報表編制的環境；
（2）詢問內部審計人員，有助於注冊會計師了解其針對被審計單位內部控制設計和運行有效性而實施的工作，以及管理層對內部審計發現的問題是否採取適當的措施；
（3）詢問參與生成、處理或記錄復雜或異常交易的員工，有助於注冊會計師評估被審計單位選擇和運用某項會計政策的適當性；
（4）詢問內部法律顧問，有助於注冊會計師了解有關法律法規的遵循情況、產品保證和售後責任、與業務合作夥伴的安排（如合營企業）、合同條款的含義以及訴訟情況等；
（5）詢問營銷或銷售人員，有助於注冊會計師了解被審計單位的營銷策略及其變化、銷售趨勢以及與客戶的合同安排；
（6）詢問采購人員和生產人員，有助於注冊會計師了解被審計單位的原材料采購和產品生產等情況；
（7）詢問倉庫人員，有助於注冊會計師了解原材料、產成品等存貨的進出、保管和盤點等情況。
2.實施分析程序
分析程序是指注冊會計師通過研究不同財務數據之間以及財務數據與非財務數據之間的內在關系，對財務信息作出評價。分析程序還包括調查識別出的、與其他相關信息不一致或與預期數據嚴重偏離的波動和關系。
分析程序既可用作風險評估程序和實質性程序，也可用於對財務報表的總體復核。本准則主要說明在了解被審計單位及其環境並評估重大錯報風險時使用的分析程序，即將分析程序用作風險評估程序。
注冊會計師實施分析程序有助於識別異常的交易或事項，以及對財務報表和審計產生影響的金額、比率和趨勢。
在實施分析程序時，注冊會計師應當預期可能存在的合理關系，並與被審計單位記錄的金額、依據記錄金額計算的比率或趨勢相比較；如果發現異常或未預期到的關系，注冊會計師應當在識別重大錯報風險時考慮這些比較結果。
如果使用了高度匯總的數據，實施分析程序的結果僅可能初步顯示財務報表存在重大錯報風險，注冊會計師應當將分析結果連同識別重大錯報風險時獲取的其他信息一並考慮。例如，被審計單位存在很多產品系列，各個產品系列的毛利率存在一定差異。對總體毛利率實施分析程序的結果僅可能初步顯示銷售成本存在重大錯報風險，注冊會計師需要實施更為詳細的分析程序。例如，對每一產品系列進行毛利率分析，或者將總體毛利率分析的結果連同其他信息一並考慮。
3. 觀察和檢查
觀察和檢查程序可以印證對管理層和其他相關人員的詢問結果，並可提供有關被審計單位及其環境的信息，注冊會計師應當實施下列觀察和檢查程序。
（1）觀察被審計單位的生產經營活動。例如，觀察被審計單位人員正在從事的生產活動和內部控制活動，可以增加註冊會計師對被審計單位人員如何進行生產經營活動及實施內部控制的了解。
（2）檢查文件、記錄和內部控制手冊。例如，檢查被審計單位的章程，與其他單位簽訂的合同、協議，各業務流程操作指引和內部控制手冊等，了解被審計單位組織結構和內部控制制度的建立健全情況。
（3）閱讀由管理層和治理層編制的報告。例如，閱讀被審計單位年度和中期財務報告，股東大會、董事會會議、高級管理層會議的會議記錄或紀要，管理層的討論和分析資料，經營計劃和戰略，對重要經營環節和外部因素的評價，被審計單位內部管理報告以及其他特殊目的報告（如新投資項目的可行性分析報告）等，了解自上一審計結束至本期審計期間被審計單位發生的重大事項。
（4）實地察看被審計單位的生產經營場所和設備。通過現場訪問和實地察看被審計單位的生產經營場所和設備，可以幫助注冊會計師了解被審計單位的性質及其經營活動。在實地察看被審計單位的廠房和辦公場所的過程中，注冊會計師有機會與被審計單位的管理層和擔任不同職責的員工進行交流，可以增強注冊會計師對被審計單位的經營活動及其重大影響因素的了解。
（5）追蹤交易在財務報告信息系統中的處理過程（穿行測試）。這是注冊會計師了解被審計單位業務流程及其相關控制時經常使用的審計程序。通過追蹤某筆或某幾筆交易在業務流程中如何生成、記錄、處理和報告，以及相關內部控制如何執行，注冊會計師可以確定被審計單位的交易流程和相關控制是否與之前通過其他程序所獲得的了解一致，並確定相關控制是否得到執行。

G. 簡述風險分析的流程

風險分析的流程：風險識別、風險估計、風險管理策略、風險解決和風險監督等。

風險通常是指由於當事者主觀上不能控制的一些因素的影響，使得實際結果與當事者的事先估計有較大的背離而帶來的經濟損失。

這些背離產生的原因，可能是當事者對有關因素和未來情況缺乏足夠情報而無法作出精確估計，也可能是由於考慮的因素不夠全面而造成預期效果與實際效果之間的差異。

進行風險分析，有助於確定有關因素的變化對決策的影響程度，有助於確定投資方案或生產經營方案對某一特定因素變動的敏感性。

(7)風險分析程序擴展閱讀：

風險因素

1、 產品大小。實踐經驗表明項目風險和產品的大小成正比。公認產品大小度量單位是以代碼行或功能點計。

2、 技術相關。未曾使用過的新技術都存在風險。包括未使用過的新型硬體、支持軟體，缺乏標准與規范的非傳統的開發方法等。技術過時也是風險。技術風險一般難於改正。

3、 開發環境。適用的開發工具不足、不可靠、使用不方便等因素，都會降低開發效率。

4、組織規模和人員經驗。

5、 客戶因素。表現在客戶需求經常矛盾，不了解客戶的特殊需要，客戶不了解項目中採用的新技術，且雙方又難於溝通等。

H. 簡述風險評估的四個步驟

風險管理的四個步驟是：風險識別、風險分析、風險應對和風險監控。
1、風險辨認
風險的重要特徵是它的不確定性和潛在風險，這是人們不容易感覺或理解的。因此，智，風險管理的第一件事就是識別道風險，也就是按照一定的科學方法來識別和區分風險。這些科學方法通常包括：問卷調查、財務報表分析、組織相關數據和文件審查、設備設施自檢、企業內外專家咨詢等。其中的一種方法可以用於識別，或者幾種方法可以同時使用。
2、風險評估
風險評估是利用各種概率和數理統計方法來計算某一風險的發生頻率和估計損害程度，包括直接損害程度、為防範和處理風險而消耗的人員和財產以及與直接損失相關的間接損失程度。其目的是針對帶來不同程度損失的風險採取不同的對策。
3、風險控制
為了經濟有效地控制和降低風險，有必要針對不同的風險採取不同的手段或措施。
4、風險調整
這是為了檢查和評估不同風險控制措施的結果，從而對原有的風險管理體系做出適當的調整。這是風險管理中不可或缺的一步。通過定期或不定期的檢查和評估，來不斷完善整個風險管理體系，以獲得最佳的成本效益。

拓展資料：
風險評估(Risk Assessment) 是指，在風險事件發生之前或之後(但還沒有結束)，該事件給人們的生活、生命、財產等各個方面造成的影響和損失的可能性進行量化評估的工作。即，風險評估就是量化測評某一事件或事物帶來的影響或損失的可能程度。
從信息安全的角度來講，風險評估是對信息資產(即某事件或事物所具有的信息集)所面臨的威脅、存在的弱點、造成的影響，以及三者綜合作用所帶來風險的可能性的評估。作為風險管理的基礎，風險評估是組織確定信息安全需求的一個重要途徑，屬於組織信息安全管理體系策劃的過程。
風險評估過程注意事項
在風險評估過程中，有幾個關鍵的問題需要考慮。
首先，要確定保護的對象(或者資產)是什麼?它的直接和間接價值如何?
其次，資產面臨哪些潛在威脅?導致威脅的問題所在?威脅發生的可能性有多大?
第三，資產中存在哪些弱點可能會被威脅所利用?利用的容易程度又如何?
第四，一旦威脅事件發生，組織會遭受怎樣的損失或者面臨怎樣的負面影響?
最後，組織應該採取怎樣的安全措施才能將風險帶來的損失降低到最低程度?
解決以上問題的過程，就是風險評估的過程。
進行風險評估時，有幾個對應關系必須考慮:
每項資產可能面臨多種威脅
威脅源(威脅代理)可能不止一個
每種威脅可能利用一個或多個弱點
項目投資風險評估報告是分析確定風險的過程，在國際投資領域中，為減少投資人的投資失誤和風險，每一次投資活動都必須建立一套科學的，適應自己的投資活動特徵的理論和方法。項目投資風險評估報告是利用豐富的資料和數據，定性和定量相結合，對投資項目的風險進行全面的分析評價，採取相應的措施去減少、化解、規避風險的途徑。
項目投資風險評估報告是在全面系統分析目標企業和項目的基礎上，按照國際通行的投資風險評估方法，站在第三方角度客觀公正地對企業、項目的投資風險進行分析。投資風險評估報告包含了投資決策所關心的全部內容，如企業詳細介紹、項目詳細介紹、產品和服務模式、市場分析、融資需求、運作計劃、競爭分析、財務分析等內容，並在此基礎上，以第三方角度，客觀公正地對投資風險進行評估。

I. 風險評估程序有哪些

網路安全風險評估的過程主要分為：風險評估准備、資產識別過程、威脅識別過程、脆弱性識別過程、已有安全措施確認和風險分析過程。

1、風險評估准備

該階段的主要任務是制定評估工作計劃，包括評估目標、評估范圍、制定安全風險評估工作方案。根據評估工作需要，組件評估團隊，明確各方責任。

2、資產識別過程

資產識別主要通過向被評估方發放資產調查表來完成。在識別資產時，以被評估方提供的資產清單為依據，對重要和關鍵資產進行標注，對評估范圍內的資產詳細分類。根據資產的表現形式，可將資產分為數據、軟體、硬體、服務和人員等類型。

根據資產在保密性、完整性和可用性上的不同要求，對資產進行保密性賦值、完整性賦值、可用性賦值和資產重要程度賦值。

3、威脅識別過程

在威脅評估階段評估人員結合當前常見的人為威脅、其可能動機、可利用的弱點、可能的攻擊方法和造成的後果進行威脅源的識別。威脅識別完成後還應該對威脅發生的可能性進行評估，列出為威脅清單，描述威脅屬性，並對威脅出現的頻率賦值。

4、脆弱性識別過程

脆弱性分為管理脆弱性和技術脆弱性。管理脆弱性主要通過發放管理脆弱性調查問卷、訪談以及手機分析現有的管理制度來完成;技術脆弱性主要藉助專業的脆弱性檢測工具和對評估范圍內的各種軟硬體安全配置進行檢查來識別。脆弱性識別完成之後，要對具體資產的脆弱性嚴重程度進行賦值，數值越大，脆弱性嚴重程度越高。

5、已有安全措施確認

安全措施可以分為預防性安全措施和保護性安全措施兩種。預防性安全措施可以降低威脅利用脆弱性導致安全事件發生的可能性，如入侵檢測系統;保護性安全措施可以減少因安全事件發生後對組織或系統造成的影響。

6、風險分析過程

完成上述步驟之後，將採用適當的方法與工具進行安全風險分析和計算。可以根據自身情況選擇相應的風險計算方法計算出風險值，如矩陣法或相乘法等。如果風險值在可接受的范圍內，則改風險為可接受的風險;如果風險值在可接受的范圍之外，需要採取安全措施降低控制風險。

J. 風險評估有哪幾個步驟

風險評估的步驟：
風險評估包括風險辨識、風險分析、風險評價三個步驟。
1.風險辨識。風險辨識是指查找企業各業務單元、各項重要經營活動及其重要業務流程中有無風險，有哪些風險。
2.風險分析。風險分析是對辨識出的風險及其特徵進行明確的定義描述，分析和描述風險發生可能性的高低、風險發生的條件。
3. 風險評價。風險評價是評估風險對企業實現目標的影響程度、風險的價值等。

風險評估是指，在風險事件發生之後，對於風險事件給人們的生活、生命、財產等各個方面造成的影響和損失進行量化評估的工作。即，風險評估就是量化測評某一事件或事物帶來的影響或損失的可能程度。

風險評估的主要任務包括：
識別組織面臨的各種風險；
評估風險概率和可能帶來的負面影響；
確定組織承受風險的能力；
確定風險消減和控制的優先等級；
推薦風險消減對策。

在風險評估過程中，有幾個關鍵的問題需要考慮。
首先，要確定保護的對象（或者資產）是什麼？它的直接和間接價值如何？
其次，資產面臨哪些潛在威脅？導致威脅的問題所在？威脅發生的可能性有多大？
第三，資產中存在哪裡弱點可能會被威脅所利用？利用的容易程度又如何？
第四，一旦威脅事件發生，組織會遭受怎樣的損失或者面臨怎樣的負面影響？
最後，組織應該採取怎樣的安全措施才能將風險帶來的損失降低到最低程度？
解決以上問題的過程，就是風險評估的過程。
進行風險評估時，有幾個對應關系必須考慮：
1.每項資產可能面臨多種威脅；
2.威脅源（威脅代理）可能不止一個；
3.每種威脅可能利用一個或多個弱點。