风险评估(英語:Risk Assessment),是风险管理的一个重要过程。风险评估包括了以下二個工作:
- 識別及分析對人員、財產或環境可能有潛在危害的事件(危害分析)
- 在考慮影響因素的情形下,進行「基於風險分析的風險容忍度」的判斷(也就是風險評估)。
风险管理国际标准ISO 31000定义风险评估的过程为:风险评估是风险识别、风险分析及风险评价的全过程。在ISO 3101“风险管理——风险评估技术”中,明确给出了风险评估过程需要解决的5个基本问题:
- 现状是什么?可能发生什么(事件)?为什么发生?
- 产生的后果是什么?对目标的影响有多大?
- 这些后果发生的可能性有多大?
- 是否存在可以减轻风险后果、降低风险可能性的因素?
- 风险等级是否是可容忍或可接受的?是否需要进一步应对?
而表示风险的方法则为:经常用一个事件的后果(包括情况变化)和对应的发生可能性这二者的结合来表示风险。风险的定义已经发生了颠覆性的改造,摆脱了传统管理思维中定义风险为纯损失的模式,从而直接改变风险管理的方式:降低损失,最大化机遇。
應用領域
在所有类型的复杂系统工程都利用先进的风险评估系统来增加工程的安全性和可靠性,尤其在涉及到生活,环境或机器运转领域。核工业、航天、石油、铁路、军工等行业使用风险评估有着悠久的历史。此外,医疗、医院和食品工业控制风险和进行风险评估的应用在持续推进。因为财务决策、环境、生态或公共健康风险的不同,在不同行业间和风险评估方法也不同。
审计
审计中的风险评估是指审计师为了了解被审计者及其环境而实施的审计程序。审计师根据这些程序获取的审计证据评估重大错报风险。
網路安全(cyber security)
威脅和風險評估(Threat and Risk Assessment)簡稱TRA,是风险管理上有關网络攻击的評估。威脅和風險評估會識別網路風險、評估風險嚴重程度,也會有建議的活動,使風險降到可以接受的水準。
在進行威脅和風險評估時,有不同的方法論(協調TRA方法論),其中會利用以下的元素:識別資產(需要保護的事物)、識別和評估需識別資產的威脅和弱點、確定漏洞的可能被利用的程度、確認漏洞相關風險的程度(如果資產損壞或丟失,會有什麼影響)、推薦風險緩解計劃。
相關條目
參考資料
| |||||||||||||||||||||||||||||||||||||||||||||||
|
