摘要无形资产评估风险是指由于各种不确定因素的影响使评估结果严重偏离资产真实价值或客观价值,乃至误导交易方而引发纠纷的可能性。无形资产评估风险主要分为评估对象风险、评估方法风险、评估机构和人员的执业风险、评估结果使用风险和评估管理风险等五类。防范无形资产评估风险,就要完善评估规范细则,选择科学评估方法,建立评估监督机制,同时还要对资产评估人员加强职业道德教育。
党的十一届三中全会以来,我国实行对外开放政策,大量引进外资和国外的先进技术设备,使国内的生产力水平迅速提高,促进了经济的发展和科技进步,缩小了我国与世界上科技先进国家的差距,为加速四个现代化建设的进程起到了积极的作用。但是,这些引进的项目中无形资产为主的项目不足20%,我们应当更新投资观念,改变引进技术的结构,形成以无形资产投资为主的局面。同时,无论是企业界、科技界还是政府部门,也应该加大对无形资产的开发研究力度,促进国民经济的快速发展。但是,无形资产提供未来收益的不确定性、垄断性、交易中所有权与使用权的可分离性等特点,决定了无形资产的投资与有形资产相比具有一定的复杂性,同时也存在着一定的风险,特别是在无形资产的评估方面存在一些风险。
一、无形资产的评估风险
无形资产评估风险指由于各种不确定因素的影响使评估结果严重偏离资产真实价值或客观价值,乃至误导交易方而引发纠纷的可能性。无形资产评估风险主要可分为评估对象风险、评估方法风险、评估机构和人员的执业风险、评估结果使用风险和评估管理风险等五类。(一)评估对象风险资产评估的首要工作是界定评估范围,明确评估对象。资产评估中的无形资产可分为不可确指的无形资产和可确指的无形资产。不可确指的无形资产是商誉,可确指的无形资产包含专利权、专有技术、生产许可证、特许经营权、租赁权、土地使用权、矿藏资源勘探权、开采权,商标权、版权、计算机软件、地质矿藏勘探成果资料等。近年来,随着我国市场经济的发展,出现了一些诸如期权价值、控股权价值、客户价值、营销网络、企业形象、企业文化、企业综合人力资源、企业管理水平、网址和域名权等新型资产,这些资产也都具有无形资产的特性。若以此类资产对外投资、转让或对企业整体资产进行评估时,不予考虑这些新型资产的价值,必然会使转让方的机会成本得不到补偿,从而使其蒙受损失。评估对象风险还表现在各类无形资产之间的交叉重复。如海尔商标是对海尔商品的质量、性能、服务等因素的标识,综合反映出海尔企业的生产经营水平,融合了海尔企业的商标权、专利权、专有技术、营销网络、客户价值、管理水平等多项无形资产。根据《资产评估操作规范意见(试行)》,采用收益法评估无形资产“不能将其他资产带来的收益估算到无形资产的收益中”。即在运用评估法评估海尔商标时,必须将上述多项无形资产所带来的超额收益进行分割,逐一确定单项无形资产价值。那么,如何进行组合无形资产的价值分割?目前尚无明确的评估参照依据和专业标准。各评估机构和评估师在实际操作中各行其是,导致无形资产评估水分极大。(二)评估方法风险评估方法是确定资产现时公允价值的手段和途径。资产评估的基本方法主要有三种:成本法、收益法和市场法。评估方法的选择一般与评估目的、评估对象的理化状态及市场上可资利用的资料等有关。从无形资产的评估目的看,无形资产评估主要以对外投资和转让为目的,这种对外投资和转让不同于一般实物资产;一般的实物资产转让的是实物,其所有权和使用权同时让渡,而无形资产转让的是收益能力,其使用权和所有权具论文格式有可分离性。因此无形资产的交易价格主要取决于它所创造的相对超额收益。从评估对象和市场条件看,无形资产的投入产出具有强弱对应性,账面成本具有不完整性和虚拟性,研制与开发耗费也具有非标准性,这些特征都限制了成本法和市场法在无形资产评估中的应用,而使收益法成为评估无形资产的首选方法。采用收益法评估无形资产必须确定三个基本指标:收益额、收益期限和抗现率。收益额是指由无形资产直接带来的未来超额收益,而非过去的收益,它是通过对无形资产未来效能的判断得出的现时价值。无论采用超额收益形式或利润分成方式获得的收益额都只是一种预测数据,难免带有主观偏差。无形资产还有一个很重要的功能特性:对应用环境的附着性。即同一项无形资产在不同环境与用途条件下,其发挥作用的大小及为企业创造效益的多少会有较大差别。因此无形资产实施的客观环境(如企业资产经营规模、质量、效益等)对无形资产收益预测有重大影响。同时,由于这种收益是无形资产带来的超额收益,分析企业所处的外界市场环境和行业竞争程度也是预测无形资产收益额时不容易忽视的环节。而目前我国企业面临的市场竞争环境极不规范,这无疑也会加大收益预测的风险。与收益预测密切相关的是收益期限的确定。无形资产收益期限实为无形资产具有超额收益能力的时间。确定无形资产收益期限的理论依据是无形资产的无形损耗,即功能性贬值和经济性贬值。在当今科学技术迅猛发展的时代,无论是参考法律保护期限,还是企业合同或申请书中规定的受益年限,都必须以无形资产能持续发挥作用为投资者带来超额收益能力的合理预测为基石,来确定无形资产的收益期限。显然这一预测过程也具有很大的风险。折现率是将来收益还原或转换成评估基准日现值的比率。折现率本质上是一种平均收益率,通常由三部分组成:无风险报酬率、通货膨胀率和风险报酬率。将这三部分累加确定折现率的方法理论上可行,但在实务运作中存在种种缺陷。首先从我国目前金融体制改革的情况看,无风险报酬率并不是一个定数,而是随经济发展的总体水平上下浮动;其次,我国金融统计数据还很不完善,缺乏国际资产评估中普遍采用的相关指标,特别是风险报酬率的确定多是由各评估机构主观判断,这就为准确量化收益风险及测算折现率带来较大困难。而折现率的微小变动,会带来评估结果十倍的差异。合理确定折现率是运用收益评估无形资产最棘手的问题之一。(三)评估机构和评估人员的执业风险执业风险主要指评估机构和评估人员在执业中业务素质未达到专业要求或严重违反职业道德、评估人员因此而承担诉讼或仲栽及赔偿责任等风险。无形资产,尤其是知识技术无形资产,本身具有很强的学科专业内容,不了解有关知识就无法进行评估。而且无形资产种类多,相互间可比性低,像非专利技术和商业秘密还是严格保密的,信息资料和技术经济参数的收集比较困难,加之各项无形资产发挥功能的环境制约因素不同,技术经济飞速发展也使相关信息需要不断更新。这些情况的客观存在,都增加了无形资产评估工作的复杂性和困难性,也要求从事无形资产评估的执业机构和人员具备较高的专业水平和综合素质,否则就有可能发生执业风险。我国目前正处于从计划经济向市场经济的转轨阶段,各种统计数据对无形资产评估工作并无多大参考价值,且缺乏行业统计资料,评估中所需的数据都来自于委托方提供的资料,使评估结果的真实性大打折扣,严重影响了评估行业的社会形象和声望。(四)评估结果使用风险评估结果使用风险是指因无形资产评估结果使用不当造成损失的可能性。此类风险一般是评估工作结束后,外界各种相关因素出现并发生变化而引致,具有滞后性和潜伏性。无形资产未来收益的预测主观性较大,市场因素则变数更多,但其实价值是由市场供求关系决定的。因此无形资产评估值是在较严格的技术性能鉴别基础上,在较多评估假设条件下,借助于某些数学模型测算出一种模拟价值,而且是以评估基准日为时间参照,按照无形资产实际状况对其进行的评定估算。正是基于无形资产评估的时效性和现实性特点,评估报告书都约定了评估结果有效期。按照《资产评估报告基本内容与格式的暂行规定》,评估结果有效期为一年,即评估目的在评估基准日后的一年内实现时,要以评估结果作为底价或作价依据。如果评估报告书的使用人未按约定范围使用或使用了超过有效期的评估的评估结论,均会引起评估结果使用风险的发生。(五)评估管理风险评估管理风险是指国家授权的职能部门在实施对无形资产评估的组织、指导、协调、监督、审查等职能时承担的风险。在市场经济条件下,资产业务活动频繁,评估工作多、面广、量大,政策性、时效性强,评估动机、具体行为复杂,关系着当事各方的切身利益,而评估机构和评估人员的水平、素质又参差不齐。如果缺乏正确的组织指导和有效的协调、监督与审查,对问题与纠纷不能及时公正地处理,就不能建立正常的评估工作秩序,不能保证评估的质量,导致评估管理风险的发生。当前我国还没有统一的无形资产评估管理法规和无形资产评估专业标准,加上无形资产的“无形性”,使对无形资产评估很难达到客观、公正。虽然近几年在全国开展可资产评估业的清理整顿和脱钩改制工作,但行业和地方垄断仍较普遍,仍有一些机构明脱暗不脱或挂靠行政权力垄断业务,以不正当手段承揽业务,扰乱了评估市场的正常秩序,违背了资产评估的独立、客观、公正原则,损害可资产业务有关当事方的合法权益。由此涉及到评估管理部门,就会形成评估管理风险。新晨
一、资产评估司法鉴定项目的特殊性
(1)资产评估司法鉴定主体资格的双重性。我国对鉴定主体资格采用鉴定权主义,实行行政许可制度。资产评估司法鉴定主体包括资产评估司法鉴定机构和资产评估司法鉴定人。在实施资产评估司法鉴定工作时,资产评估机构的身份是司法鉴定机构,经办的注册资产评估师的身份是司法鉴定人。正是资产评估司法鉴定主体资格的双重性,才造成资产评估机构从事司法鉴定业务时面对行政管理和行业管理的双重性。
(2)资产评估司法鉴定客体的涉案性和广泛性。资产评估司法鉴定的对象主要为民事诉讼中涉案的财物或权利,包括立案时、诉讼中和执行中的财物或权利,所有的鉴定对象均涉及诉讼原被告双方甚至是第三人的切身利益。鉴定结论一直是诉讼当事人关注的焦点之一,强烈要求鉴定结论具有公正性、准确性、合法性。在个别的行政诉讼和仲裁案件中,也会涉及资产评估司法鉴定,但不是主流。实际工作中,鉴定对象不仅有一般意义上的各类资产,还有需要补偿的损失和需要确定的成本等特殊客体。
(3)资产评估司法鉴定报告的证据性。目前,资产评估司法鉴定的报告表现形式一般可分为两种,一是资产评估报告;二是按《司法鉴定文书规范》要求出具的资产评估司法鉴定意见书。不管采用何种报告形式都不能改变报告的证据性质。资产评估司法鉴定报告作为司法鉴定结论,是一种特殊的证据形式,是民事诉讼法和行政诉讼法中法定的证据种类之一。
(4)资产评估司法鉴定报告使用的限制性。资产评估司法鉴定报告作为鉴定结论并非是当然证据,其证据力并不当然优于其他证据,必须经诉讼当事人当庭质证,且由法庭最终审查并认证。资产评估司法鉴定报告只有经过质证程序后才能依法产生证据力,作为法庭判案的证据。司法鉴定报告合法应用前的质证程序,客观上对评估责任起到了一定过滤作用,在一定程度上化解了司法鉴定机构和司法鉴定人的民事法律责任。
(5)资产评估司法鉴定立场的中立性和超然性。和贷款抵押评估、非货币资产出资评估、拆迁补偿评估、上市公司资产流入类评估、国有资产流出类评估等就高倾向评估以及税基评估、MBO企业整体评估、民进国退企业改制、处置金融不良资产评估、上市公司资产流出类评估、国有资产流入类评估等就低倾向评估不同,资产评估司法鉴定既不就高也不就低。因为一方的多得或少付必然是以另一方或第三方的多付和少得为代价的。不公平地增加一方的额外利益必然损害另一方或第三方的合法利益。对于资产评估司法鉴定,评估立场应坚持中立性和超然性,使评估的公开、公平、公正原则得到充分彰显。
(6)资产评估司法鉴定项目启动权行使的特定性。评估项目的启动权由评估业务的委托人拥有。不同司法领域和环节,委托人有所不同。在自诉案件受理阶段,一般由主张权利的当事人向法院认可的司法鉴定机构进行委托。在案件审理和执行环节,我国目前实行司法官授权鉴定制度,或称中立鉴定制度,资产评估司法鉴定项目的启动权由法院行使。在公诉案件的立案阶段或侦察阶段,一般由检察部门或公安部门进行启动。在仲裁领域,当事人有约定的按约定确定司法鉴定机构,无约定的由仲裁庭指定司法鉴定机构。
(7)资产评估司法鉴定具体事项的指定性。一般情况下,资产评估司法鉴定项目的评估对象和评估范围以及评估基准日都是法院指定的,司法鉴定报告的用途或评估目的也是法定的,司法鉴定机构和司法鉴定人不得随意变更。对于资产评估司法鉴定对象和评估范围内有详细清单的资产的权属问题,司法鉴定人只需尽到关注和披露义务,不对权属影响评估结论承担法律责任。但是对于涉及股权资产评估时,仍须按法律权属指导意见规定处理,在报告中充分披露。对产权不清的资产尽量让有关当事人认定,并与主管法官做好沟通工作。
(8)评估基准期的复杂性。一般的资产评估司法鉴定项目是以法院等委托人指定的某年某月某日为评估基准期,以法院的委托函的落款日期即委托日期为评估基准日。但有些资产评估司法鉴定项目(如损失评估类司法鉴定项目)只能使用评估基准期,为一个特定期间,从某年某月某日至某年某月某日。具体期间长度,由侵权行为的持续时间长短决定。
(9)鉴定结论取价标准的唯一性。不管是对普通对象的评估,还是对损失补偿的评估或对成本的评估等,都必须采用价格标准,而不能采用价值标准。这和企业价值评估或无形资产评估有所不同。只有以价格标准为基础进行评估,才对诉讼当事人是公平、公正和合理的。如果采用价值标准,当价格和价值背离时,必须有一方为这种背离付出代价,这是利害关系人不能接受的。虽然市场价格很多时候并不等于价值,如股票和商品房的价格暴涨暴跌,但市场价格是公平的,市场风险的承担和转移相关法律法规有明确规定。除了以上列举的特殊性外,资产评估司法鉴定项目还有其他一些特点,如评估工作周期法律有明文限制等等。
二、资产评估司法鉴定项目的评估风险识别
对于风险的认识,不同的领域会有不同的概念和解释,并对风险进行不同分类。资产评估司法鉴定项目的鉴定风险实质就是评估风险。对于评估风险,评估行业长期以来缺乏统一的、权威的定义。对评估风险认识的差异,必然会带来风险防范的差异和疏漏。然而可以形成共识的是,对于评估行业来说,不管什么评估领域和什么评估专业,评估风险一定和评估责任及自身利益密切相关,因为评估机构和评估人员一旦可以免责或没有利益损失,所谓的评估风险就会荡然无存,同时评估行业也会失去存在的必要。评估风险是由资产评估的经济职能决定的。评估风险的识别存在两个标准,一是评估责任标准,二是利益损失标准。评估责任是指评估机构及其评估人员依法需要承担的法律责任和应当履行的义务。评估风险是指评估机构及其评估人员因故意或过失通过特定评估项目的资产评估报告作为侵权工具、或违法工具、或犯罪对象以及在评估项目全过程中存在违法行为和存在法律、法规、规章、规范性文件禁止的情形等原因,依法需要承担民事法律责任、行政法律责任和刑事法律责任的可能性、或者虽不需要承担法律责任但客观上存在导致其经济利益遭受损失或对其相关权利造成不利以及受到评估协会行业制裁的可能性。从上面的定义可以看出,评估风险完全基于评估项目。评估风险一旦变为现实,必然会使评估机构或其评估人员的经济利益遭受损失或对相关权利造成不利。需要注意的是,评估合同违约风险、开展未经许可的评估业务、评估费坏账、与评估项目无关的管理风险和经营风险等风险不属于评估风险,但违反保密义务的缔约过失责任因有法律法规、规章明确规定为评估责任而构成评估风险。评估报告是评估风险最主要的直接来源之一。从评估风险直接来源或直接起因角度看,资产评估司法鉴定项目的评估风险可以分为两大类,一是因资产评估司法鉴定报告原因引起的评估风险;二是资产评估司法鉴定报告以外的原因引起的评估风险。从评估责任的角度划分,评估风险可以分为民事法律责任评估风险、行政法律责任评估风险、刑事法律责任评估风险和其他责任评估风险。从评估技术角度划分,评估风险可以分为评估技术风险和非评估技术风险。资产评估司法鉴定项目的评估风险主要来源是资产评估司法鉴定报告引起的评估风险,而且行政法律责任评估风险占全部评估风险的主要份额。原因是资产评估民事责任和资产评估刑事责任注重评估结果,同时由于侵权构成四要件和犯罪构成四要件必须同时具备,因此难以形成评估责任。而资产评估行政责任不仅注重评估结果,而且注重评估过程,同时鉴于违法构成只有一个客观方面,而且涉及的管理部门众多,造成行政责任成为评估机构的主要评估责任。
[关键词]估价机构;房地产司法拍卖估价;风险防范
1引言
房地产司法拍卖估价与其他房地产估价显著不同。一方面,由于房地产的价值量大,估价结果与当事人利益攸关;另一方面,房地产司法拍卖估价相对于其他评估来说,对于估价程序、评估报告形式、估价结果的要求更高。房地产估价机构和注册房地产估价师在房地产司法拍卖估价中,应树立较强的风险意识,规范估价行为,保持独立、客观、公正的原则。
2房地产司法拍卖估价概述
2、1房地产司法拍卖估价概念。涉案房地产的司法拍卖估价是房地产司法鉴定估价业务中的一种,主要是指注册房地产估价师运用房地产估价专业知识和经验对涉案的房地产价值或价格进行分析、判断和测算,并提供相关专业意见的活动。这也是目前最主要的房地产司法鉴定估价业务。2、2房地产司法拍卖估价的特点。房地产司法拍卖估价的主要目的就是为了人民法院审理案件需要确定房地产处置参考价提供参考依据,其具有以下三个特点。第一,房地产司法拍卖估价具有公正性。[1]房地产司法拍卖估价工作不同于其他专业活动,房地产司法拍卖估价旨在为人民法院妥善处理案件提供财产处置参考价。在房地产司法拍卖估价工作中,涉案双方当事人法律地位平等,不存在一方强压另一方的现象。因此,房地产司法拍卖估价工作带有“目的公正性”的属性。第二,房地产司法拍卖估价具有严肃性。房地产司法拍卖估价不同于其他一般的房地产估价,房地产司法拍卖估价的结果与案件当事人的合法权益紧密相关。因此,房地产估价机构在进行司法拍卖估价业务时,必须严格按照《资产评估法》《房地产估价规范》的规定审慎进行。第三,房地产司法拍卖估价的与时俱进性。2018年9月1日起施行的[法释〔2018〕15号]《最高人民法院关于人民法院确定财产处置参考价若干问题的规定》(以下简称《规定》)开启了人民法院确定财产处置参考价的全新模式,新增了当事人议价、定向询价、网络询价三种方式,对传统的委托评估方式形成一定冲击。新增了人民法院对评估报告的审查程序,第二十条规定,人民法院应当对评估报告进行审查。具有下列情形之一的,应当责令评估机构在三日内予以书面说明或者补正:①财产基本信息错误;②超出财产范围或者遗漏财产;③选定的评估机构与评估报告上签章的评估机构不符;④评估专业人员执业资格证明与评估报告上署名的人员不符;⑤具有其他应当书面说明或者补正的情形。同时该规定明确了当事人、利害关系人可以就评估报告提出异议,第二十二条规定,当事人、利害关系人认为网络询价报告或者评估报告具有下列情形之一的,可以在收到报告后五日内提出书面异议:①财产基本信息错误;②超出财产范围或者遗漏财产;③评估机构或者评估专业人员不具备相应评估资质;④评估程序严重违法。对当事人、利害关系人依据前款规定提出的书面异议,人民法院应当参照《民事诉讼法》第二百二十五条的规定处理。面对新的司法解释、新的估价要求,房地产估价师虽说具有一定的不可替代性,但仍需不断提高执业水平,方能在激烈的竞争中占有一席之地。
3房地产司法拍卖估价工作风险成因
从司法拍卖估价工作的实践情况来看,房地产估价机构从事司法拍卖估价工作的风险主要集中在程序不合法、评估报告形式不合规、估价结果不公正几方面。以下从程序不合法、估价结果不公正两方面简要分析风险存在的原因。3、1程序不合法引发的风险。在《资产评估法》、2015版《房地产估价规范》中对估价程序有明确的规定和要求。而在司法评估实践中,常常会出现估价程序履行不到位的情况,比如现场查勘时经常出现被执行人不配合的情况下,使得估价师无法完成进入估价对象内部进行查勘的法定义务;又比如现场查勘时评估师没有认真核对人民法院提供的估价对象资料与估价对象现状有无差异,会造成评估的财产基本信息、评估财产范围发生偏差;还有就是有的估价机构内部管理制度不健全,使得评估报告内部审核流于形式,造成评估报告形式不合规等。这些情形都会成为案件当事人对评估报告提出异议的理由,也会客观上造成案件执行工作的拖延。3、2估价结果不公正引发的风险估价结果不公正。主要是指由于估价方法、参数、基础数据等选择出现问题等原因导致的估价结果出现需要补正的情形。在司法案件中,当事人的利益对立,估价对象物权即将发生转移,这使得评估报告会成为各相关方关注的焦点。《规定》第二十三条规定,当事人、利害关系人可以在收到评估报告后五日内对评估报告的参照标准、计算方法或者评估结果等提出书面异议。房地产估价机构在房地产司法拍卖估价工作中一旦因为故意或者重大过失导致估价错误的,不但会损害案件当事人的合法权益,也会对估价机构、估价师的经济效益、社会效益带来不利影响,严重的甚至会被从人民法院司法评估机构名单库中除名,这就要求房地产估价机构、估价师在执业过程中必须依法合规、谨慎执业。
4房地产司法拍卖估价工作的风险规避及防范措施
4、1提高评估专业人员风险防范意识和职业道德水平。就房地产估价机构内部而言,要有效的提高评估专业人员风险意识和职业道德水平,必须做好以下两个方面的工作。首先,加强对评估专业人员的法律知识培训。房地产估价机构的业务行为受到相关法律的规制,为了使房地产估价机构的评估工作符合法律的要求,必须使相关工作人员明确法律的基本要求是什么,以及违背法律规定可能会产生的法律责任。只有通过对相关工作人员系统的法律培训,才能在评估专业人员头脑中真正树立起风险意识。其次,房地产估价机构除了要求评估专业人员遵守一般的行业职业道德准则之外,房地产估价机构应当结合本单位的具体情况制定符合本单位工作实际的《房地产司法评估操作指引》,用更明确的标准来约束评估专业人员的职业道德,促使评估专业人员能够审慎对待每一次评估工作,时刻牢记自身的职业道德底线。4、2建立健全机构管理制度,规范业务行为要有效的提高房地产估价机构。在司法拍卖估价中的风险防范能力,除了要从评估专业人员这一角度着手,房地产估价机构自身也要作出充分的努力。很重要的一个努力方向就是要建立健全机构内部管理制度,用制度来规范业务行为,从而提高司法鉴定结论的质量。[4]为此,房地产估价机构应当建立一套完整的保障司法鉴定评估质量的制度。在具体的制度内容上,应当包括房地产司法拍卖估价工作实施的程序、现场查勘的记录管理、司法拍卖估价对象材料的获取、使用以及估价结论出具的文本等方面。此外,最为重要的一点是,房地产估价机构要建立责任追究制度。房地产估价机构建立责任追究制度是为了进一步规范评估专业人员的业务行为,要使评估专业人员在执业过程中始终保持清醒的头脑,牢固树立风险责任意识,唯有此,才能真正的达到规范业务行为、提高服务质量的目的。4、3建立执业责任保险或者执业风险金制度鉴于。目前房地产估价机构司法拍卖估价人员面临的执业风险越来越多,执业风险系数也在不断攀升。为了消除评估专业人员的执业顾虑,房地产估价机构在有条件的情况下,可以参加司法鉴定执业责任保险或者缴纳执业风险金,通过社会其他机构来分散评估专业人员的执业风险。我国早在《司法鉴定机构管理办法》中就规定了司法鉴定责任保险以及执业风险金制度,因此,房地产估价机构实施此方案在法律上不存在任何障碍。建立执业责任保险或者执业风险金制度,能帮助房地产估价机构在执行业务中分散风险。4、4合理利用假设限制条件和免责条款。在司法拍卖估价工作中要合理地使用假设限制条件和免责条款,避免相关当事方因对估价报告的不合理利用而带来的风险,也避免一些由于其他方面的原因而承担不应该由估价机构及估价专业人员承担的风险。对于司法拍卖估价过程中难以把握的或认为可能存在的风险事项,房地产估价机构应及时和委托人进行沟通,并在估价报告中披露其不确定性或所面临不同后果的可能性。在复杂的司法拍卖估价业务中,对不确定的问题和不可知的事实情况,应出具有条件的和有保留的咨询意见。
5结论
随着我国经济的不断发展,一方面社会公众已经形成了较强的法律权利意识,另一方面在经济获得不断发展的同时,各种债务纠纷大大增加,由此导致司法拍卖估价业务增多,房地产估价机构及评估专业人员的执业风险也相应增多。房地产估价机构当前和今后很重要的一个工作任务就是要做好司法拍卖估价工作中的风险防范工作。要从房地产估价机构、评估专业人员两个方面做好风险把控工作。就房地产估价机构自身而言,要加强内部管理制度,规范业务行为,加强对评估专业人员的法律培训。对于评估专业人员来讲,要牢固树立风险责任意识,牢记自身职业道德底线。相信通过这两方面的努力,房地产估价机构司法拍卖估价业务面临的风险增加问题可以有效得到控制。
参考文献:
[1]王学哲、论司法鉴定中房地产估价工作的风险防范[J]、中国房地产估价与经纪,2009(2)、
[2]敖立新、浅谈房地产司法拍卖及估价[J]、中国房地产估价与经纪,2017(2):73-77、
[3]陈艳、房地产估价机构防范风险策略探讨[J]、住宅与房地产,2019(22):8、
【关键词】 无形资产 收益法 预期收益 折现率
一、收益法的基本原理
收益法通过估算被评估无形资产未来预期收益,并采用适当的折现率折算成现值,将折现值之和作为被评估无形资产的价值。如果用CIt表示t时间得到的预期收益,i表示投资者要求的收益率,n表示预期收益的发生次数。那么,估算无形资产价值的收益法用公式表示为:
无形资产评估价=
在这个公式中涉及三个变量:第一,无形资产未来预期收益(CIt)。在其他条件不变的情况下,未来预期收益越大,无形资产价值越大。第二,预期收益的持续时间(t)。在其他条件不变的情况下,未来预期收益持续时间越长,无形资产价值越大。第三,投资者期望收益率,即折现率(i)。这体现了投资者对未来预期收益风险水平的判断以及基于“高风险,高收益”原理的对收益率的期待。投资者期望的收益越高,无形资产价值越小。无形资产价值的大小正是以上三个变量共同影响的结果。
收益法的基本假设是任何投资者在购买该项无形资产时,所支付的价款不会超过该项无形资产(或与其具有同样风险因素的相似资产)的预期收益的折现值。收益法充分考虑了无形资产未来预期收益及其风险,能与其投资决策相结合,体现了产权交易的公平合理性。从理论上说,在获利能力真实、预测科学的情况下,该方法能够较准确、合理的评估出无形资产所具有的内在价值。
二、收益法应用中存在的问题
收益法的数学模型似乎简单,但是仅有数学模型是远远不够的。任何数学模型的运用都需要信息资料的支持。就收益法计算公式而言,如果不能获得未来预期收益、持续时间和折现率这三个变量的数据,就无法应用该方法;反之,如果获得了这三个变量的准确数据,该方法的应用就转化为纯粹数据处理,而数据处理在今天的计算机时代相对简单。所以,收益法应用的关键在于如何取得各变量相关的信息资料,以及如何确保这些信息资料的可靠性。
1、无形资产可带来预期收益的界定与测算困难
产生这一问题主要是由于以下原因:首先,由于无形资产一般不会单独产生效益,它要与企业中其他资产协同才能够产生收益。这样,在评估无形资产时,往往要将各项资产协同作用产生的收益进行分离,界定属于被评估无形资产直接产生的收益即超额收益。这种界定是无形资产评估的一大难点,处理不好会将不属于该项无形资产的收益作为其收益,高估该项无形资产的价值;或者把属于该无形资产的收益排除在外,低估该无形资产的价值。两者都会降低无形资产评估的可靠性。其次,无形资产的超额收益是个受内在和外在多种因素影响的概念。内在因素包括无形资产自身的性能、无形资产经济寿命、无形资产垄断程度及转让内容等因素;外在因素包括市场因素、法律因素、政治因素和宏观经济环境等因素。相比较而言,内在因素是影响无形资产超额收益的关键,而外在因素对无形资产超额收益的实现也有重要影响。正是因为在确定超额收益额时要考虑的因素众多和这些因素本身的不确定性,造成在运用收益法的过程中准确确定预期收益额存在困难。
2、预期收益持续时间的选择和确定困难
无形资产的预期收益持续时间又称有效期限,是指无形资产发挥作用并具有超额获利能力的时间。无形资产的发挥作用的过程中其损耗是客观存在的,无形资产损耗的价值量是确定无形资产有限期限的前提。由于无形资产没有物质实体,所以它的价值不会由它的使用期限的延长而发生实体上的变化,即不会像有形资产一样存在由于使用或自然力作用形成的有形损耗。因此,无形资产的预期收益持续时间的判断与确定存在困难。
3、折现率的选取存在困难
折现率是将未来预期收益还原或转换为现值的比率,其本质是投资者期望的收益率。作为投资期望收益率通常有两部分组成:一是正常投资报酬率,二是风险投资报酬率。正常投资报酬率也称为无风险报酬率,易于确定,它取决于资金的机会成本,即正常的投资报酬率不能低于该投资的机会成本。这个机会成本通常以政府发行的国库券利率和银行储蓄利率作为参照依据。而对承担风险所要求的报酬率进行量化的问题,到目前为止人们还只能依据现代财务理论中关于投资报酬率的一些定性结论,来帮助确定资产评估中所需要的适当折现率。由于在实际操作中,有关的社会经济统计资料以及一些相关的参数难以取得或者不可靠,也进一步增加了评估的难度。在运用收益法评估无形资产的过程中,折现率对评估值的影响很大,折现率的选取也是一个很大的难点。
三、解决问题的途径
1、预期收益额的测算和确定
无形资产预期收益额的测算,是采用收益法评估无形资产的关键步骤。通过上面的分析可以知,影响无形资产超额收益的因素很多,这就要求在确定超额收益额时,要全面考虑众多因素,并且采用正确合理的计算方法。
(1)注重无形资产的未来获利能力。预期收益额指未来收益,评估无形资产时对其收益的判断不仅仅只看现在的获利能力,更重要的是预测未来的获利能力。
(2)收益额必须是由无形资产带来的。在实际中,收益的获得是由各类资产协同作用而产生的,无形资产单独不会产生收益,应该把由无形资产所带来的收益从总的收益额中分离出来。
(3)目前使用中的无形资产带来的收益是影响预期收益额的最主要因素,而对于初次交易未使用过的无形资产主要受其成本的影响。
(4)预测预期收益额时,必须考虑国家产业政策对于该种无形资产或对使用该无形资产的行业是扶持还是限制。
(5)预测预期收益额时,还必须考虑到预测年限内企业的生产、销售计划、成本变动趋势、市场竞争情况、无形资产本身的先进性以及相似、相近无形资产的替代性和竞争性。
无形资产未来预期收益通常采用两种表现方式,即净利润和净现金流量。以净现金流量为标准计算无形资产预期收益,在西方发达的国家应用较为广泛。在我国,由于种种条件的限制,评估实务中较多地以净利润为标准计算。
(1)净利润是利润总额扣减所得税后的余额。其基本计算公式如下:净利润=利润总额-所得税×(1-所得税率)。
(2)净现金流量所反映的是企业在一定时期内现金流入和流出的资金活动结果。在数额上它是以收付实现制为原则的现金流入量和现金流出量的差额。其基本计算公式为:净现金流量=现金流入量-现金流出量。
2、预期收益持续时间的选择和确定
无形资产的收益期是无形资产发挥作用并具有超额获利能力的有效期限。通过上面的分析可以知道,影响收益期限选择的根本是无形资产损耗的价值量。无形资产的损耗是由于社会科学技术进步引起的价值减少,主要有三种情况:一种更新、更先进、更经济的无形资产出现替代了原有无形资产,使原无形资产价值丧失;无形资产传播面扩大,其他企业普遍合法掌握这种无形资产,使拥有这种无形资产的企业不再能获得超额收益,无形资产价值丧失;运用无形资产所生产的产品需求大幅降低,其价值随之减少甚至丧失。从理论上讲,确定无形资产的有效期限应当综合考虑无形资产价值损耗三种原因。在资产评估实践中,预测和确定无形资产的有效收益期限,可使用下列方法。
(1)法律合同、企业申请书分别规定有法定有效期限和受益年限的。可按照法定有效期限与受益年限孰短的原则确定。
(2)法律无规定有效期,企业合同或企业申请书中规定有受益年限的可按照受益年限确定。
(3)法律和企业合同或申请书均未规定有效期限和受益年限的,可按预计受益期限确定。预计受益期限可以采用统计分析或与同类资产比较得出。同时应该注意,无形资产的有效期限应比它们的法定保护期短得多。这是因为无形资产要受许多因素影响,尤其是在科技迅猛发展的今天,无形资产的更新速度和周期异常加快,使其有效期限也越来越短。
3、折现率的选择和确定
折现率的选择与确定,实际上是对风险进行衡量,并对承担风险所要的回报率进行量化。目前,无形资产评估中所需要的折现率主要是运用现代财务理论中关于投资回报的一些结论来确定,主要途径包括以下方面。
(1)用资本资产定价模型确定折现率。在现代财务学中,阐述风险与收益关系的一个重要模型就是资本资产定价模型,也是西方市国家确定折现率的一种重要方法。其计算公式为:
K=RF+β×(Km-RF)
式中:K――按风险调整的折现率;
RF――无风险报酬率;
β――投资或持有无形资产的风险系数;
Km――市场平均报酬率。
该模型是在一系列严格的完备资本假设条件下推导出来的。我国目前资本市场的发展现状,运用该模型的条件不太成熟。但随着我国股票和债券市场的不断发展和完善,借用CAPM模型来确定期望收益率将成为一种可行的方法。
(2)用风险报酬率模型确定折现率。无形资产投资的总报酬率可以分为两部分,即无风险报酬率和风险报酬率。无风险报酬率,一般用同期国库券利率或者同期银行存款利率表示;风险报酬率,是指超过无风险报酬率以上的投资回报率。其测算公式为:
K= RF + bV
式中:K――无形资产按风险调整的折现率;
RF――无风险利息率;
b――无形资产风险报酬系数;
V――预期收益的标准离差率。
(3)用累加法确定折现率。这是确定折现率最常用的一个方法。累加法就是将投资资产的无风险报酬率和风险报酬率给予量化并累加求取折现率的方法。无风险报酬率是所有的投资都应该得到的投资回报率,而风险报酬率是指承担投资风险的投资所应当获得的超过无风险报酬率以上部分的投资回报率。风险报酬率随着投资风险的递增而加大。一般由评估人员通过对企业所在行业的风险、经营风险、财务风险等进行分析并通过经验判断来确定。
总体来说,收益法以现金流量为计量对象较为科学地反映了无形资产未来预期现金流入量,符合财务分析的计量基础。以整体上折现预期现金流量作为评估标准,是对无形资产超额获利能力的全面体现。虽然收益法在无形资产评估的应用中还存在着很多的应用难题,但是随着我国市场机制不断健全,市场发育的不断成熟,评估市场秩序不断完善,评估人员素质不断提高,收益法将被广泛应用。
【参考文献】
[1] 周媛媛、陈建成:收益法对无形资产价值评估的应用探析[J]、科技与管理,2007(2)、
[2] 王佳磊:收益现值法在无形资产评估中的应用[J]、会计之友,2006(8)、
[3] 张淑焕:关于用收益法评估无形资产难点问题的探讨[J]、商业会计,2005(8)、
一、控制自我评估的相关理论
1、定义。控制自我评估(CSA,ControlSelf-Assessment)也被称为管理自我评估、控制和风险自我评估、经营活动自我评估以及控制/风险自我评估,国际内部审计师协会(I-IA)认为,控制自我评估是检查和评价内部控制的效率和效果的流程,其目的是为实现企业的目标提供一定程序的合理保证。国际内部审计师协会在1996年的研究报告中总结了CSA的三个基本特征:关注业务的过程和控制的成效、由管理部门和职员共同进行、用结构化的方法开展自我评估。中国内部审计协会2006年7月1日实施的《内部审计具体准则第21号———内部审计的控制自我评估法》(以下简称“具体准则第21号”),将控制自我评估定义为:是指由对内部控制的制定与执行负有责任的组织相关管理人员对内部控制进行评价的过程。2、控制自我评价的内容和方法。根据具体准则第21号,内部审计人员可以根据内部控制审计的目的与范围,确定控制自我评估的内容。控制自我评估主要包括以下内容:(1)确定组织整体或职能部门的目标,识别其主要风险;(2)评估组织内部控制的适当性、合法性及有效性;(3)确认内部控制重大缺陷或存在严重风险的业务环节;(4)评估组织非正式的控制及其有效性;(5)评估组织的业务流程及其运作效率;(6)对控制自我评估中发现的问题提出改进建议。同时,准则中提到“对公司控制自我评估的主要方法包括:专题讨论会、问卷调查法和管理分析法”,这也是目前西方国家通过20多年实践总结后普遍采用的三种基本形式。
二、控制自我评估与境外资产管理
根据业内的研究,已经总结出CSA为内控评价带来5方面的变革:(1)有效进行软控制的评价;(2)提升控制环境;(3)尽快找到并解决问题;(4)预测并控制风险;(5)使内审更具效率与效果。因此笔者认为:CSA这5方面的好处,结合石油行业境外资产的现状,适合推行应用于境外资产的运营管理中。本文将讨论重点放在境外全资子公司、境外联营/合营公司、境外油田非作业者三种投资或资产运营管理主体形式,先行阐述其管理特点和对应采取的主要审计形式,为接下来讨论不同投资形式下需建立不同的控制自我评价体系做好铺垫。1、境外资产运营管理形式。(1)境外子公司。境外子公司,顾名思义为境外注册成立的全资子公司,和境内子公司一样,拥有自己所有的财产,自己的公司名称、章程和董事会,以自己的名义开展经营活动、从事各类民事活动,独立承担公司行为所带来的一切后果和责任,涉及公司利益的重大决策或重大人事安排,仍要由母公司决定。主要被实施的审计类型为内部控制审计、经济责任审计等,且审计重点内容基本一致。(2)境外联营/合营公司。首先,联营企业不同于合营企业。联营企业是指投资者对其有重大影响,但不是投资者的子公司或合营企业的企业。当某一企业或个人拥有另一企业20%或以上至50%表决权资本时,通常被认为投资者对被投资企业具有重大影响,则该被投资企业可视为投资者的联营企业。投资者对联营企业只具有重大影响,即对被投资企业的经营决策和财务决策只具有参与决策的权利,而不具有控制权;而合营者对投资企业的经营决策和财务决策具有控制权,虽然这种控制权是共同控制。其次,境外联营/合营公司的审计权利与投资地位有密切关系,公司章程或伙伴协议中往往对审计的权利、范围等有详细规定,而且目前合作的伙伴往往也有其自身成熟的内部控制及评价体系,在此不多赘述。(3)境外油田项目非作业者。国际油气联合作业的合作方式中,除了投资者设立法人型合资企业(JV,JointVenture)作为联合作业公司负责油田作业外,更常见的是投资者以签署联合作业的方式,指定其中一方投资者担任作业者(operator),负责油气作业的日常工作,其他各方投资者作为非作业者(non-operator)。投资者各方指定代表组成作业委员会,决定油气作业的重大事项,作业者在遵循油气行业惯例和相关法律的前提下,按照作业委员会的决定及指示开展作业。目前针对这种联合作业的方式,已采取的审计方式是联合账簿审计,对象是作业者,内容主要基于联合账簿本身。但考虑到投资金额大、盈利依赖程度高,非作业者在作业委员会中被赋予的决策权力大,有必要追加控制自我评估,以对管理水平摸底。2、境外投资主要风险及中方角色参与控制风险的能力。业界已基本对石油行业境外投资的风险分析形成了共识,主要包括东道国政治风险、经济风险、技术风险、法律风险,这些风险主要来源于组织外部;但风险分析时,往往没有结合投资形式或境外资产管理的实施主体形式,对应分析其管理风险的能力。同时笔者认为,组织机构内部控制是否有效,将对外部风险的管理产生正面或负面的效果加倍放大。不同境外投资管理主体,中方投资方对风险的参与管理程度是有限的,三种形式比较下非作业者能力最弱,境外全资子公司最强。
三、不同投资形式如何开展控制自我评估
对于从未开展过控制内部评估的公司,建议基于成本、效益原则循序渐进地开展,摸索经验再举一反三。笔者根据一般大型企业现行的管理架构,建议如下步骤开展控制内部评估及设计模式。首先,按层级区分控制内部评估的范围。原因有三:一是单独为管理层和职能部门开展控制自我评估,能够提高其重视程度,加强参与感,并帮助内审人员快速地了解公司整体内控环境;二是不同地域海外投资主体面临风险不同,经营目标不同,内控体系也不完全相同,每个个体应具备单独实施控制自我评估的能力,设计独立的评估方案,反而更有利于了解其真实的管理情况;三是考虑到联合作业中非作业者的管理模式特点,其组织机构往往更“无形”,那么关键人员的技术能力和专业素质,尤其是对于石油合同和联合作业协议的内容和执行,往往是较“组织内控流程”这种形式更重要的,那么,控制自我评估的对象在这里就不是组织,而可直接设计为针对关键人员。层级展示如下:其次,确定了评估层级后,确定控制自我评估的开展顺序。笔者在此倾向于同时开展,开展初步方案为:最后,便是对所有控制自我评估报告的汇总分析,并形成控制自我评估报告。汇总分析过程中,由于三个层次的评估均使用问卷调查的方式,调查中应对公司关键风险点重复出题,从不同层面了解各层管理者对该问题的认知程度,如有必要,也可以进一步组织专题讨论,面对面沟通更有助于内审人员和管理层的信息交换与交流。三个层级各自形成独立控制自我评估报告,同时出具对公司整体内控实施情况的评价报告,形成后报母公司高管。
四、如何利用控制自我评估报告开展境外资产审计
内部审计人员应根据高管对三个层级各自控制自我评估报告的意见及评估结果,从开展内部审计业务的角度解读分析报告,笔者推测对内部审计人员至少应采取以下行动:第一,层级一的评估报告结果,将移交风险管理和内控制度建设的相关管理人员,重新进行管理风险方面的评级,并相应加强和完善相关内控制度建设。内部审计人员有必要对关键业务进行穿行测试的复核工作,排除评估参与人员主观因素的影响。第二,目前针对海外公司已开展内控审计,但现实情况是,以往开展内控审计时,内部审计人员不了解海外资产管理的相关复杂性,无法确定审计重点,往往采用通常的审计手段开展工作,审计结论也许会流于表面,不能实现审计目标,管理层阅读审计报告也无法获取其关注的信息。那么,基于此,层级二的评估报告结果,基于其真实反映了海外公司的管理情况,那么这份报告既可用于帮助内部审计人员有针对性地制定审计实施方案,同时,也是管理层管理决策的重要依据。第三,针对非作业者项目,中方实施的是联合账簿审计,审计的对象是作业者外国石油公司和其联合账簿,并未覆盖到联合作业委员会中的中方人员尽职情况。层级三的控制自我评估报告,期望达到的目的是至少了解这些关键人员对中方在该联合作业中掌握的权利是否熟知进而尽职的实施,以保障我中方的合法权益得到保障。当然,报告的结果也可帮助联合账簿审计师确定中方控制薄弱的方面,进而在向作业者实施审计时,重点、深入地开展测试、复核。
五、小结
“审计”现在是热门的名词,本文的目的除了从业务层面,探讨实施控制内部评估将大大助益内部审计工作的开展,同时,更是为了强调,审计或者内部审计,已经是企业风险管理的第三道防线。我们除了研究审计技巧、审计手段等,眼光仍应前置,从最有利于避免企业内控失效的方法开始,将内部审计放在次要或辅助的地位,这样意识形态下的组织,才更具有活力和持续发展潜力。
作者:周彤 单位:中国海洋石油国际有限公司
参考文献
[1]企业内部控制基本规范[S]、财会[2008]7号、
[2]企业内部控制配套指引[S]、财会[2010]11号、
[3]内部审计具体准则第21号———内部审计的控制自我评估法[S]、中国内审协会,2006(7)、
[4]李娜:企业内部控制自我评价体系研究[D]、天津财经大学,2009、
[5]韵学飞:中国石油企业对外投资的风险分析[D]、中央民族大学,2013、
【 关键词 】 大数据;数据库;安全;风险评估
Big Data Era Database Information System Security Risk Assessment Technical Analysis
Zeng Jian-guo
(Xinhua News Agency Beijing 100070)
【 Abstract 】 The rapid development of multimedia puter and Internet technology makes human society entered the era of big data, massive data resources for people's work, life and learning convenience、 Era of big data database information system is the foundation to support the development of human information、 Therefore, the security of database information system has an important role、 The information work events based on the author's many years, detailed analysis the face database information system security risk, and discusses the risk evaluation technology, in order to be able to database information security defense system and lay a solid foundation、
【 Keywords 】 big data; database; security; risk assessment
1 引言
大数据给人们的工作、生活和学习带来了极大的便利,提高了人们的生活质量、工作效率和学习成效,具有重要的作用。数据库是承载互联网大数据的存储器,是为人们提供数据信息的基础,因此数据库在大数据时代具有重要的作用。面对日益增长的海量数据信息资源以及丰富的互联网应用软件,大数据时代数据库信息系统的安全风险呈现多样化、智能化、传播迅速化特点。许多计算机学者将数据库安全风险评估、安全防御作为数据库未来发展的重要方向之一。计算机学者经过多年的研究,已经提出了许多风险评估技术,比如基于灰色理论、基于专家系统、基于神经网络和数据挖掘算法等,有效地提高了数据库信息系统安全风险评估的准确程度,快速地发现数据库存在的安全漏洞,及时打补丁和构建防御系统,为大数据的应用保驾护航。
2 大数据时代数据库信息系统面临的安全风险
大数据时代数据库信息系统面临的安全风险包括多种,比如木马、病毒和黑客攻击,并且存在安全攻击形式和渠道多样化、数据库信息系统漏洞快速增长、安全威胁智能化等特点。
2、1 安全攻击形式和渠道多样化
数据库信息系统为大数据应用提供基础支撑。云计算、分布式计算、移动计算等技术的快速发展和进步,为大数据应用软件接入数据库信息系统提供了丰富的渠道,为人们应用大数据资源的同时带来了潜在的攻击,并且使得攻击形式和渠道呈现多样化特点。安全攻击可以采用应用软件接入端口、邮件传输端口、数据采集端口等攻入数据信息系统,并且攻击形式除了木马、病毒和黑客之外,还采取了拒绝服务、断网等形式。
2、2 数据库信息系统漏洞快速增长
大数据为人们提供了丰富的数据资源,促进许多软件开发商设计与实现适于人们需求的应用程序,以便存取数据资源,提供不同种类的应用。应用软件开发过程中,采用的系统架构、实现技术、接入数据库端口不同,因此导致数据库信息系统面临着多种存取模式,比如离线存取、在线存取、断点续传等,使得数据库信息系统漏洞在应用中不断的上升,为数据库信息系统的防护带来了潜在威胁。
2、3 数据库信息系统安全威胁智能化
随着计算机技术的快速提升,网络中传播的木马、病毒和黑客攻击也得到迅速提升,呈现出智能化的特点,潜藏的时间更长,传播速度更快,感染范围也更加广泛,更加难以被风险评估技术、安全防御技术扫描到,一旦爆发将会给数据库信息系统带来严重的影响。
3 大数据时代数据库信息系统风险评估技术
数据库信息系统可以为大数据时代提供数据来源,丰富应用系统功能。数据库信息系统需要为用户提供强大的安全风险评估技术,以便能够确保数据库信息系统的安全。目前,许多计算机学者经过多年的研究,数据库信息系统风险评估技术包括安全检查表法、专家评价法、事故树分析法、层次分析方法。
(1)安全检查表法。安全检查表法可以指定详细的数据库风险评估规范、评估内容,邀请经验较为丰富的安全风险评估专家根据安全检查表逐项进行评估,及时发现数据库信息系统存在的风险。
(2)专家评估法。专家评估方法可以根据数据库信息系统过去、现在运行的情况,参考风险评估标准和准则,预测数据库信息系统未来的安全趋势,专家评估过程中,主要采取专家审议法和专家质疑法两种措施,都可以有效的进行风险分析和评估。
(3)事故树分析方法。事故树分析方法本质是一种信息系统风险演绎分析方法,通过分析数据库信息系统组成部分之间的逻辑关系,以便能够明确安全事故发生的基本原因,事故树分析方法能够识别诱发安全事故的基本风险元素。
(4)层次分析方法。层次分析方法可以自顶向下将组成数据库信息系统的软硬件资源划分不同的层次,形成一个层次模型,并且按照风险可能发生的概率进行优化和组织,最终识别风险发生可能较大的资源。
安全检查表法、专家评估法、事故树分析方法属于定性风险评估,其需要依赖数据库信息系统安全评估人员的风险分析经验,结合风险评估标准和类似案例等,评估数据库信息系统的风险分级,风险评估结果具有很强的个人主观性。层次分析方法属于定量分析方法,其可以确定威胁事件发生的概率,确定威胁发生后对系统引起的损失,定量分析可以更加准确的、直观的描述系统的风险级别,获取更好的风险分析结果,更具有客观性,因此逐渐成为风险分析和评估的主流方法。
4 结束语
数据库信息系统安全风险评估可以有效地发现存储系统存在的安全漏洞,并且定量计算风险发生的可能性和带来的严重影响,以便制定完善的安全防御策略,保证数据库信息系统正常运行。
参考文献
[1] 文伟平, 郭荣华, 孟正等、信息安全风险评估关键技术研究与实现[J]、信息网络安全, 2015, 31(2):145-146、
[2] 李刚、 Microsoft SQL Server数据库风险分析与建议[J]、信息安全与技术, 2014, 32(8):55-57、
[3] 西米莎、基于大数据背景的数据库安全问题与保障体系分析[J]、 数字化用户, 2014, 34(18):89-90、
[4] 李靖、网络安全风险评估关键技术研究[J]、网络安全技术与应用, 2014, 28(5):82-82、
[关键词] 电子商务 技术风险 风险评估 梯形模糊数 CIM模型
一、引言
随着互联网的全面普及,基于互联网的电子商务(EC)应运而生,电子商务已经成为一种全新的商务模式。与传统商务方式相比,电子商务具有高效性、方便性、集成型和可扩展性等特点。但是,电子商务是在Internet开放的网络环境下,基于浏览器/服务器应用方式,实现消费者的网上购物、商户之间的网上交易和在线电子支付,其安全性相对于传统商务方式而言就显得尤为突出,也是商家和用户都十分关注的焦点。
电子商务安全实践的起点是对电子商务的风险评估,当客观存在的潜在威胁攻击系统脆弱点时,就会产生风险,导致系统的破坏和受损。风险评估是解释和分析风险的过程。风险评估的目的是发现风险和控制风险。电子商务中常见的风险可分为经济风险、管理风险、制度风险、技术风险和信息风险。
IT技术是实现电子商务的基础,分析研究技术风险是保障电子商务安全的重要研究课题,为此,本文提出一种基于FCIM模型的电子商务技术风险评估方法,对电子商务技术风险进行定量分析。
二、识别风险因素
电子商务的技术风险是指涉及终端设备及其传输介质的各种风险,分为三类:网络环境风险、数据存取风险、网上支付风险,风险辨识图如图1所示。
三、基本概念
1、梯形模糊数
模糊数是实数域上的一种特殊模糊集,是表示模糊信息的有效方法。常用的、特殊形式的模糊数有L-R型模糊数、三角模糊数、梯形模糊数等,由于梯形模糊数的表示方法简单、运算方便,在工程应用中最为常见,在这里我们采用梯形模糊数表示语言变量。
定义1(梯形模糊数):论域X上的模糊数为、
称为梯形模糊数,简记为(a,b,c,d),其分布函数如图2所示。
2、CIM模型
CIM模型(Controlled Interval and Memory Models,控制区间和记忆模型)是1983年由美国学者Chapman 和Cooper提出的风险分析模型,有“串联响应模型”和“并联响应模型”两种,分别进行变量概率分布的“串联”或“并联”的叠加。本文只涉及“并联”叠加,下面介绍“并联响应模型”。
一项活动S有n个风险因素X1,X2,、、、,Xn存在,只要其中的一个风险出现,活动S都将受到风险影响,S的n个风险因素的概率分布组合模型称为“并联响应模型”,假设风险X1与风险X2进行并联概率叠加,计算
公式表示为:
式中,X1、X2为两个风险因素,xa为风险区间的组值,n为分组数。
四、将FCIM模型用于电子商务技术风险的评估
风险是风险事件发生的概率P和风险事件所产生影响C的函数,即R=f(P,C),式中R为风险,P是风险事件发生的概率,C是风险事件发生所导致的后果,即影响。考虑到在电子商务过程中,各级风险因素的随机性,本文采用FCIM模型对电子商务技术风险进行评估,具体过程如下:
1、构造风险因素集和评判集
构造电子商务的网络环境、数据存取、网上支付的风险因素集和评判集,对于风险发生概率、风险产生影响可设立不同的评判集。设风险因素集Ui={u1,u2,… un},i=1,2,3,评判集P={P1,P2,…,Pm},对评判集中的定性评语采用梯形模糊数表示。
2、风险因素的模糊评价定量化
根据专家评价,确定每个风险因素发生概率、产生后果关于评判集的模糊评价。将风险因素的模糊评价结果,采用模糊处理后得到概率分布区间、影响分布区间,并可计算出单个风险因素的期望值,评判单个风险因素。
3、CIM计算
运用CIM的并联响应模型,依次求出网络环境风险、数据存取风险、网上支付风险以及电子商务技术总风险的概率分布区间、影响分布区间,据此计算总风险期望值,评估系统风险。若其总风险的期望值E>0、7,为高风险系统;E
五、应用示例
应用本文提出的方法,对某企业的电子商务技术风险进行风险评估。
1、构造风险因素集和评判集
构造电子商务的网络环境、数据存取、网上支付的风险因素集和评判集,风险发生概率评判集、风险产生影响评判集以及所对应的梯形模糊数见表1。
2、风险因素的模糊评价定量化
以网络环境风险中的黑客入侵为例,说明风险因素的模糊评价定量化过程。经专家评定,黑客入侵风险评价结果如表2。
对黑客入侵的风险评价进行模糊处理,得到其概率分布区间如图3所示。
在区间(0,1),(2,3),(4,5),(6,7),(8,9)上对应的概率分布为三角形分布,为便于采用CIM方法进行叠加计算,将其转化为矩形分布,其概率值取三角形分布的中间值,并对(2,3),(4,5),(6,7)区间上的概率值、影响值进行叠加,处理结果见表3。
采用与黑客入侵同样的处理方法,得到各风险因素的风险分布区间,见表4。
3、CIM计算
运用CIM的并联响应模型,分别对各风险因素进行并联叠加,求出网络环境风险、数据存取风险、网上支付风险概率分布区间、影响分布区间,见表5。
进一步,运用CIM的并联响应模型,求得电子商务技术风险的总风险概率分布。
根据总风险的概率分布区间、影响分布区间,计算出总风险程度的期望值E=0、3035,方差=0、00368,该电子商务的技术风险等级为一般,与实际情况相符。
六、结束语
电子商务改变了企业的经营模式,能使企业节省成本,创造更多利润。但是企业在追求电子商务带来的效益的同时也面对全新的风险,必须全面了解电子商务风险,采取必要的方法措施,把电子商务风险造成的危害降到最低,防止造成不必要的商业损失。
本文提出的基于FCIM模型的电子商务技术风险评估方法,对评判集中的定性评语用梯形模糊数表示,将风险因素发生概率、产生后果的模糊评价模糊处理后得到概率分布区间、影响分布区间,使半定量的风险评估转为定量的风险评估。采用CIM模型的“并联响应模型”对风险因素发生可能性和产生后果进行逐级叠加,求得电子商务技术总风险的概率分布区间、影响分布区间,据此计算系统风险期望值,评估电子商务的技术风险。
目前,电子商务风险评估的研究还刚起步,本文是作者根据风险评估理论中的经典模型, 结合信息安全风险评估经验, 对电子商务技术风险进行定量分析的一个尝试,希望能对电子商务的风险评估起到一定的实践指导意义。
参考文献:
[1]刘念祖张明那春丽:电子商务技术风险管理[J]、中国管理信息化,206、10,vol9、No、10
[2]黄卓君朱克武:网络支付风险及其防范[J]、农村金融研究,2007、3胡宝清、模糊理论基础[M]、武汉:武汉大学出版社,2004、4
[3]于九如:投资项目风险分析[M]、北京:机械工业出版社,1999
[4]C、B、CHAPMAN,DALE F、COOPER、Risk Engineering:Basic Controlled Interval and Memory Models[J]、Journal of operational Research Society,Vol34,No、1
[5]赵冬梅张玉清马建峰:熵权系数法应用于网络安全的模糊风险评估[J]、计算机工程,2004(9),Vol30,No、18
[6]赵培生:模糊CIM模型在评标中的应用[J]、港工技术,2003、6,No、2
[7]吕彬杜红梅陈庆华:基于概率分布的风险评估方法研究[J]、装备指挥技术学院学报,2006、8,Vol17,No、4
1雷电灾害风险评价体系理论
雷电灾害风险的评价与管理工作,是当前国际减灾防灾管理中较为先进的模式,已经成为灾害科学等学科的发展方向和研究课题。雷电灾害的风险评估是指在一定时限范围内,对风险区遭受到雷击灾害的概率,以及可能造成的后果进行定量分析和评估。其内容主要包括2个层面:一是对发生雷击灾害可能性较大的区域,进行雷击风险的评价;二是对评估区域内发生的雷击灾害进行综合性分析。通过对雷击灾害风险进行识别、估测、评价,并以此为基础对各种防控风险的方式进行优化组合,就可有效管控雷击灾害带来的损害并且妥善处理损失,以最小的成本来获得最大的安全保障目标。
2雷电灾害风险评估的目的及作用
就减轻雷电灾害带来的损失而言,通常有3种方式:一是加强雷灾天气的预警工作,提醒人们在雷电灾害到来之前做好相关预控措施,例如关闭各种用电设备等;二是防雷项目的建设,有利于提高建筑物的防雷能力;三是强化事故抢险救援工作的能力。我们国家虽然对雷暴的临近预警能力有了很大的提高,但是依旧处于起步阶段,对于一些特殊的公共行业来说(电力、医疗等),要求在雷暴来临之际关闭所有的电力设备有些不切实际。而目前的技术对雷电灾害救援工作来说也还不够成熟,所以进行防雷建设的就成为最重要工作,防雷措施可以大大提高建筑物的防雷击能力。雷电风险评估是根据评估目标所在地雷电活动时空分布特征及雷电灾害特征,分析、评估、计算雷电可能导致的人员伤亡、财产损失程度与危害范围等方面的综合风险,达到优化项目选址、合理功能分区布局、确定防雷类别(等级)和最佳防雷措施,并能实时应急处理雷电灾害事故的目的。雷电风险评估是雷电防护目标实现综合雷电防护的首要程序,为科学设计、经济投资、应急处置雷害提供准确的数据,是实现预防为主,科学防雷理念的必要条件。因此,一方面要加强雷暴灾害的预警工作,另一方面要通过对雷灾风险的研究,确定雷电灾害高发区域的范围,以此来有效地提高防雷资金的可利用效率,合理安排防雷工程的建设,根据雷电灾害风险程度依次确定最佳的防雷计划,对不同目标采用差异化的防护,使防护措施有最高的性价比,防止防雷工程的盲目性建设。
3雷电灾害风险评估方法
雷电灾害带来的风险与其他自然灾害的风险本质相同,都是多种自然因素相互作用的结果,它往往受到某个区域自然系统、社会系统等因素的影响。在相同的区域内,因雷电造成灾害的风险机制大致相同,孕灾环境也别无二致,因此可以采用相同的风险评估办法,来表示该区域内雷电灾害风险的大小以及对比关系。以历史气象灾害统计的相关数据为依托,采用模糊数学法、灰色系统法等数学方法,对当前的雷灾风险作出预测。当前公认评价较好的自然风险形成机制,主要包含的内容为:在某区域内发生自然灾害的风险,由自然灾害危险性(H)、暴露(E)、承灾体的易损性(V)、防灾减灾能力(C)4个风险因素相互交织而成,表达式为:R=H•E•V•C。但是这些因素比较抽象笼统,因此需要与雷电灾害的形成机制相互结合,再采用多元分析法或者分层分析法等数学方法,对其进行量化,得出该区域的雷电灾害风险评估计算公式才可以更加准确、详细地对雷电风险进行预测,而且可操作性更强。
4雷电灾害风险评估表达式
由于文中涉及雷电风险评估的主要研究对象是人以及建筑物,因此建筑物遭受雷击风险的通用表达式为:此外,若该建筑物使用类似避雷针等预防雷击的装置,那么建筑物遭到雷电打击的风险大小可以依据该装置的避雷效果呈现降低趋势。
5雷电灾害风险评估系统的设计
把建筑物所受到雷击评估的流程与计算机技术相结合,设计成雷电评估数据库,进而建立雷灾风险评估系统。该系统能够对建筑物受到的雷击风电度做出快速的评估,然后依据评估的结果,以最快的速度找出有效防治雷击的措施,进而减小损失。设计的内容主要包括以下几点。1、建立雷击灾害风险评估界面,同时要求设计数据处理窗体,存储输入、修改评估参数。2、建立数据库,主要用于保存雷电闪击次数及损害几率等常量,在该系统运行时,能够有效、快速地对建筑物所受到的雷灾风险值进行估算,进而采取适当的防雷保护措施。3、评估系统由很多功能不同的窗体组合在一起,每一个窗体都表示一定的功能块,所以用户可以在相关窗体下执行相应功能模块的操作。评估系统模块组成图如图1所示。
6雷电灾害风险评估的现状和未来