网络资产评估精品(七篇)
网络资产评估篇(1)
一、网络服务软件开发企业无形资产评估范围
财政部颁布并已于2001年起实施的计业会计准则——无形资产人对无形资产确认范围作出明确规定。准则中第三条将无形资产划分为可辨认无形资产和不可辨认无形资产。可辨认无形资产包括专利权、非专利技术、商标权、著作权、土地使用权、特许权等。这些无形资产如果是企业购买取得的,可依据成本入帐,如果是自行开发并依法申请取得的,除必要的注册费、律师费等可入帐外,开发费用只能列为当期损益。不可辨认无形资产是指商誉,它只有在企业购并时,买方支付价款超过卖方帐面净资产的差额部分才可入帐;自创商誉则不能计入资产。
对于具有新经济特征的网络服务软件开发企业而言,准则所规定的无形资产范围则显得过于狭窄。
传统型企业的资产大多是实物资产,无形资产所占比例很小。按现行《公司法》规定,除土地使用权外最多只能占注册资本的20%。但在网络服务软件开发企业则是以无形资产为主,所占比例就应扩大,其范围除现行规定的无形资产外,还应包括组织资产、顾客资产、员工及供应商资产等。具体包括:(l)组织资产:有企业声誉、领导能力、经营策略、企业文化、创新能力、系统软件、组织结构、知识管理、培训教材、公司品牌等;(2)顾客资产:有顾客群及资料库、营销渠道及网络、关系企业等;(3)员工及供应商资产:有员工素质及能力、供应商群及资料库、合作伙伴等。这些无形资产多为企业自行开发或经由企业的营运逐年累积而成。虽然按现行会计制度不能计量,但其价值越来越重要,已成为新经济企业主要交易的对象之一,企业可以通过买卖、协议授权、技术转让与合作等方式取得经营所需的无形资产。特别是在新经济企业购并浪潮中,无形资产对于企业的贡献成为评估企业整体价值时不容忽视的重要内容。因此,如何合理评估网络服务软件开发企业的无形资产,已成为企业资产重组购并行为中急需解决的问题。
二、无形资产评估方法及分析
目前国际通常惯用的无形资产评估模式可分为:成本法、市场法和损益法三大类。
1.成本法。成本法的基本内容是对无形资产评估以应用该项资产所能带来的经济效益作为评估成本,类似重置成本,即以企业向外购置或自行开发无形资产所需成本作为计价基础。由于成本法并末考虑无形资产的经济效益与存续年限,同时也忽视了企业组织资产、顾客资产、员工及供应商资产以及在研究开发过程中发生失败所支出的成本,而失败所积累的资料或经验是有价值的。因此,在网络服务软件开发企业重组并购时,对无形资产评估采用该方法则明显存在不足,不宜采用。
2.市场法。市场法为最直接易懂的方法,其基本要点是采用市场上与将要评估的无形资产同类型的实际交易价格作为评估的基础。如以相似公司并购价或成熟市场公开交易价,扣除有形资产价值并经过必要的调整后,即为无形资产评估价值。另一种市场法为倍数法,倍数由当时市场决定。如常用的市盈率倍数法,以公司盈利乘以行业平均市盈率,即为公司价值;对未盈利的网络服务企业,以交易量、注册客户数量、客户点击率、停留时间,乘以当时公认倍数,结合公司的商业模式、在同业中的地位。市场占有率、核心人物影响力等因素,加以调整后即为公司整体价值。公司整体价值扣除有形资产价值即为无形资产评估价值。由于该方法使用的前提是存在成熟的无形资产交易市场,而目前我国还未形成,因此该法在实务中采用不多。
3.损益法。损益法目前在实务中应用最为广泛。其理论基础为:无形资产价值反映在其相关产品与服务所带来的经济效益上,如果相关产品或服务不能创造超额经济效益,那么无形资产就没有价值。因此,在损益法下,无形资产的价值等于其所能创造未来预期收益的现值。
采用损益法首先要了解网络服务软件开发企业的无形资产所能创造的利润,因此对无形资产可能带来的经济效益预测,成为损益法使用的首要步骤。所要进行预测的内容包括三个主要指标:预期收益、折现率和计算期(或使用年限地然后在预测结果的基础上再采用以下方法进行评估:(l)剩余价值法,以企业整体价值评估为基础,再将总价值逐项分配到有形资产,剩余末分配价值即为无形资产总价值。(2)超额盈余法,在对企业未来预期收益进行预测时拟议有形资产和无形资产两个报酬率估算未来盈余,再将未来盈余资本化,两个盈余资本的差额即为无形资产评估总额。一般情况下,无形资产的报酬率比有形资产报酬率要高。(3)超额利润资本化法,该方法假设拥有特别无形资产企业的经营业绩和利润要高于同样业务而不拥有这些无形资产的企业,因此超额利润部分资本即为无形资产评估总值。在实务中,超额利润的产生多半为综合员工素质产业经验、营销网络等无形资产影响的结果,不一定是网络服务软件开发企业无形资产的全部贡献。
损益法以整体企业价值评估为基础,而实际中各个网络服务软件开发企业无形资产的内容是各不相同的,对于其未来预期收益预测,既不相同又缺乏可靠的客观标准,主观性太大,因而导致前述的无形资产评估过高或过低的问题。
三、分项比较综合法
由于以上各种方法的局限,在实务应用中还需探索新的方法来解决现实存在的问题。我们认为,在对网络服务软件开发企业的无形资产评估中,先对该企业帐面资产进行评估,再结合该被并购企业的情况综合考虑同业实际水平,来确定帐面未计量的具体无形资产项目价值,然后将分项价值综合形成企业无形资产总额。我们将这种方法称之为分项比较综合法。其具体内容有以下几个方面:
(1)首先确定企业帐面未计量的具体无形资产项目内容。如企业拥有的组织资产、顾客资产、员工及供应商资产、将要完成的系统软件、开发失败项目的资料等等,进行分类登记,作为将要评估的依据。
(2)对已登记的具体无形资产项目逐个分析,视其对企业未来预期收益的贡献和损失大小,在与同类企业进行比较其贡献率后确定应该评估的项目。
(3)对已确定评估的具体无形资产项目,分别根据同类经营企业相同无形资产项目的平均贡献率(或帐面净资产利润率),确定各个评估项目的贡献率。
(4)计算确定各个分项无形资产评估价值。根据各个评估项目的贡献率乘该评估企业的帐面净资产来求得。
网络资产评估篇(2)
【关键词】网络终端 数据 系统功能模块 量化模型
1 引言
随着计算机网络的普及和信息化的推进,网络与信息安全问题也日益突出,我国对网络信息系统的依赖性日益加深。国外在研究网络与信息系统安全风险评估方面已有数十年的经验,IT发达国家在信息系统风险评估的标准、技术、架构、组织等方面都已非常成熟。而国内,更重视网络系统内部数据的安全保护,网络终端是重要文件和重要数据的存放源头,许多安全事件往往发源于网络终端,来自终端的泄密事件、安全威胁也频频显现,网络终端安全管理已成为信息安全管理体系的薄弱环节。
对网络终端安全性进行客观、系统地评估是保障信息安全的基础。通过对安全隐患及未来风险的分析,并评估这些风险可能带来的安全威胁及影响程度,将有助于安全人员针对性地抵御威胁、全面提高网络信息系统安全防护能力,最大程度地保护信息资产。
目前,国内关于评估网络终端安全状况还没有统一的标准,网络终端安全的关键点尚不明晰。本文将对网络终端安全状况评估指标体系作出有益探讨,尝试量化网络终端评估系统指标,将网络终端安全风险控制在可靠水平,从而最大程度提高终端安全水平。
2 网络终端安全评估方法
选择何种安全评估方法将直接影响到评估过程的各个环节,可能左右最终评估结果。现有的风险评估方法大致可分为定量风险评估、定性风险评估及综合风险评估三大类。
2.1 定量风险评估
定量评估对构成风险的各个要素和潜在的损失水平赋以数值,当量度风险的所有要素都被赋值后,建立起综合评价的数学模型,从而完成风险的量化计算。定量评估数据较为直观,分析方法相对客观,但部分风险被量化后存在被曲解的可能性。常用的定量评估方法包括模糊综合评判法、BP神经网络、灰色系统等。
2.2 定性风险评估
定性评估主要依据研究人员的知识和经验,或业界标准、历史教训、政策走向等非量化
资料对系统风险作出评估,是一种模糊分析方法。定性分析操作相对简单,结论较为全面,但主观性强,易受到评估人员直觉、经验的影响。常用的定性评估方法包括专家评价法、历史比较法、事故树分析法、因果分析法、逻辑分析法等。
2.3 综合风险评估
综合风险分析是将定性与定量评估相结合的一种分析方法,在不容易获得准确数据的情况下使用定性分析,在定性分析的基础上采取定量方法以减少主观性。最常用的综合风险分析评估法即层次分析法(简称AHP),它是一种综合了定性与定量分析、是人脑决策思维模型化的决策方法。
3 网络终端安全评估指标体系研究
3.1 建立评估体系的原则
我国《信息安全风险评估规范》将风险评估的基本要素定义为:资产、威胁、脆弱性、风险、安全措施。网络终端安全状况评估中主要牵涉资产、威胁、脆弱性三个要素。建立网络终端安全评估指标体系时,需要考虑以下4大原则:(1)必须遵循国际、国内信息安全评估规范,评估指标体系还应符合业务要求及应用特点,尽量满足用户及应用环境对网络终端安全性的要求。(2)设定的指标应涵盖终端安全所有风险要素,覆盖技术、管理各个层面,也囊括主观、客观各种因素。(3)指标的含义、目标应当明确,指标体系整体条理清晰,数据收集渠道应具现实操作性,保障定量分析的可行性。(4)评估指标要独立于网络终端安全的具体内容,不与其他指标内涵发生重叠。
3.2 网络终端安全评估框架设计
本文遵循评估体系建立原则,对网络终端安全状况建立起层次评估指标体系,拟将指标体系分为四层,详见表1。
实现网络终端安全状况评估指标体系,分为三步:一是建立层次评估指标体系;二是确定评估指标;三是对各个评估指标赋予权值。指标数据有多种来源,包括问卷调查、人员访谈、实地调查、辅助工具和文档审查等。之后,参照终端安全评估指标体系,采用文档审查、调查表等方式获得安全状况数据,再利用漏洞扫描工具、入侵检测工具等技术对资产、威胁、脆弱性进行识别和分析。
3.3 网络终端安全量化评估模型建立
本文采用多级模糊综合评价方法建立评估模型。模糊综合评价方法先通过构造等级模糊子集,对被评估事物的模糊指标进行量化,再利用模糊变换原理对各指标进行综合评价。
3.3.1 建立评价对象因素集
设层次型评估指标体系为U,把因素集U分为n组,记做U={U1,U2,…,Un},其中Ui∩Uj≠Φ,i≠j(i,j=1,2,…,n)。设第i个子集为Ui={Ui1,Ui2,…,Uin},其中i表示第i组的单因素个数。
3.3.2 设置评判集和分配权重系数
设V={V1,V2,…,Vn}为评判集,由不同等级的描述组成的集合。m一般取奇数,评判集适用于任一层次和任一因素的评判。
3.3.3 单级模糊综合评价
成立一个评估专家小组,由专家对每个评估指标评判,并确定评估指标属于等级评判集中哪个级别,统计评估指标被评判为相应等级的专家数,相应等级专家数占专家总人数的百分比,即得到评估指标在此等级的隶属度,进而得到模糊关系矩阵Rj。根据单因素模糊关系矩阵Rj,利用复合运算求出子因素Ui的综合评判结果:Bi=AiΟRi=(bi1 bi2 … bim),i=1,2,…,n。
3.3.4 计算最终综合评价结果
对单因素评价结果Bi再进行高层次的模糊综合评判,由较低层次的综合评判结果Bi构成高一层的单因素模糊关系矩阵R。之后,对多级因素集进行综合评价,得出评判因素U的最后评价结果为:B=AΟR=(b1 b2 … bm)。可根据评估指标的层次情况循环本轮计算,直至得到最满意的综合评价结果。
3.3.5 综合评价结果分析
模糊综合评价的最终结果不是一个单值,而是一个模糊子集,这样,能比较准确地体现对象本身的模糊状况。由多级模糊综合评价法量化评价的具体过程可以看出,最底层指标需要人为做隶属度判断,所有上层指标的隶属度均根据下层计算得到。网络终端安全评估主要是识别和分析资产价值、威胁及脆弱性。根据资产(A)在保密性、完整性、可用性要求的不同程度,将三个属性划分为五个等级,对不同等级赋予不同数值;根据威胁(T)出现的频率对威胁进行赋值并划分五个等级;脆弱性(V)识别针对每一项资产,同样将其划分为五个等级。对网络终端安全评估值进行五等级划分,分别是好、良、中、差、极差,等级越高对终端及网络造成的影响越大。表2是等级划分表及相应的安全状况。
根据三个基本要素的最终赋值,并结合网络终端安全评估模型(图1),分析计算出网络终端安全评估值,计算过程分四步:(1)由A、T、V及风险发生概率决定网络终端安全评估值。(2)计算威胁利用脆弱性导致终端安全事件发生的可能性P,记为P=F1(T,V),P=T+V。(3)对资产造成的损失程度和威胁值、脆弱性、资产价值有关,记为L=F2(P,A),L=PXA。(4)考虑威胁发生并对资产造成的损失与风险发生的概率R,得出终端安全评估值S,S= F(L,R) ,S=LXR。
3.4 网络终端安全评估系统的设计与实现
3.4.1 系统需求分析
安全性评估分析,重点评估风险可能造成的威胁及影响,向系统管理员提交细致可靠的分析报告,让管理员掌握策略漏洞和安全状况,并提出有针对性的抵御威胁的防护对策。网络终端安全评估系统需要满足7点需求:(1)识别网络终端资产。(2)对网络终端进行漏洞扫描,提供准确、客观的定量评估数据。(3)动态监测网络运行的终端资源,分析可能面临的威胁及发生的可能性。(4)进行终端安全评估,得到综合量化评估结论。(5)将数据、量化评估结果以报告形式输出。(6)给出安全解决方案或加固建议等,提高网络终端安全性。(7)管理使用评估系统的用户,分配不同权限。
3.4.2 网络终端安全评估系统设计
为减少系统资源占用,本文将评估系统设计在内网一台服务器上,设软件运行环境为Windows 2002/2003 Server,服务器被要求接入核心交换机。系统架构如图2所示。
3.4.3 系统功能模块实现
网络终端安全评估系统主要分为五大模块:资产识别、脆弱性管理、威胁管理、终端安全评估、评估响应。
(1)资产识别模块。资产识别模块主要包括资产信息管理子模块和资产识别及赋值子模块。前者主要管理本地终端和远程终端的基本信息,后者从资产数据库里读取终端IP地址、用户名、密码等信息,建立主机对象,将主机对象传给回调函数。
(2)脆弱性管理模块。该模块包含漏洞扫描和脆弱性赋值两个子模块。扫描被评估的本地终端和远程终端,并确定应用程序和操作系统所存在的漏洞以及对终端资产的脆弱性权重进行赋值。
(3)威胁管理模块。该模块包括资源监测和威胁赋值两个子模块。其中,资源监测模块动态监测本地、远程终端资源,获取资源状态信息。
(4)终端安全评估模块。分为快速、完全评估两大子模块。快速评估根据量化评估模型对终端安全进行评估;完全评估则根据建立的安全评估指标体系里的指标因素集,利用多级模糊综合评判方法进行评估。
(5)响应模块。根据评估结果,匹配响应库里定义的规则,给出解决方案或加固建议。
系统接口设计方面,将系统分为三层:用户接口层、逻辑处理层和数据中间层。接口层用于接受用户输入及显示评估报告;逻辑处理层实现上述五大模块的各项功能;数据中间层则屏蔽数据库细节,连接系统和多个数据库。系统接口设计如图3所示。
4 结束语
本文提出一套网络终端安全评估指标体系,建立起网络终端量化评估模型,将评估项目尽可能具体量化,以减少人为主观影响。下一步可考虑根据安全评估系统,对终端安全量化评估模型做进一步探索和改进,完善系统设计并扩充评估功能。
参考文献
[1]国家质量技术监督局.GB17859-1999,计算机信息系统安全保护等级划分准则[S].1999.
[2]国家质量监督检验检疫总局.GB/Z 24367-2009,信息安全技术 信息安全风险管理指南[S].2009.
[3]吴亚飞,李新友,禄凯.信息安全风险评估[M].北京:清华大学出版社,2007(04).
[4]郭宁.信息安全风险评估指标体系研究[J].信息安全标准与技术追踪,2006,5:17-19.
[5]Xiaoping Wu,Yu Fu,Jiasheng Wang.Information systems security risk assessment on improved fuzzy AHP[C].Compution,Communication,Control,and Management.International Colloquium,2009,4:365-369.
[6]GB/T 20984-2007,信息安全技术信息安全风险评估规范[S].2007.
作者单位
网络资产评估篇(3)
关键词:网络安全;风险评估;模糊综合评价
0 前言
网络安全正逐渐成为一个国际化的问题,每年全球因计算机网络的安全系统被破坏而造成的经济损失达数千亿美元。网络安全是一个系统的概念,有效的安全策略或方案的制定,是网络信息安全的首要目标。安全风险评估是建立网络防护系统,实施风险管理程序所开展的一项基础性工作。
然而,现有的评估方法在科学性、合理性方面存在一定欠缺。例如:评审法要求严格按照BS7799标准,缺乏实际可操作性;漏洞分析法只是单纯通过简单的漏洞扫描或渗透测试等方式对安全资产进行评估;层次分析法主要以专家的知识经验和统计工具为基础进行定性评估。针对现有网络安全评估方法中出现的这些问题,本文拟引用一种定性与定量相结合,综合化程度较高的评标方法――模糊综合评价法。
模糊综合评价法可根据多因素对事物进行评价,是一种运用模糊数学原理分析和评价具有“模糊性”的事物的系统分析方法,它是一种以模糊推理为主的定性与定量相结合、非精确与精确相统一的分析评价方法。该方法利用模糊隶属度理论把定性指标合理的定量化,很好的解决了现有网络安全风险评估方法中存在的评估指标单一、评估过程不合理的问题。
1 关于风险评估的几个重要概念
按照ITSEC的定义对本文涉及的重要概念加以解释:
风险(Risk):威胁主体利用资产的漏洞对其造成损失或破坏的可能性。
威胁(Threat):导致对系统或组织有害的,未预料的事件发生的可能性。
漏洞(Vulnerabmty):指的是可以被威胁利用的系统缺陷,能够增加系统被攻击的可能性。
资产(Asset):资产是属于某个组织的有价值的信息或者资源,本文指的是与评估对象信息处理有关的信息和信息载体。
2 网络安全风险评估模型
2.1 网络安全风险评估中的评估要素
从风险评估的角度看,信息资产的脆弱性和威胁的严重性相结合,可以获得威胁产生时实际造成损害的成功率,将此成功率和威胁的暴露率相结合便可以得出安全风险的可能性。
可见,信息资产价值、安全威胁和安全漏洞是风险评估时必须评估的三个要素。从风险管理的角度看,这三者也构成了逻辑上不可分割的有机整体:①信息资产的影响价值表明了保护对象的重要性和必要性。完整的安全策略体系中应当包含一个可接受风险的概念;②根据IS0-13335的定义,安全威胁是有能力造成安全事件并可能造成系统、组织和资产损害的环境因素。可以通过降低威胁的方法来降低安全风险,从而达到降低安全风险的目的;③根据IS0-13335的观点,漏洞是和资产相联系的。漏洞可能为威胁所利用,从而导致对信息系统或者业务对象的损害。同样,也可以通过弥补安全漏洞的方法来降低安全风险。
从以上分析可以看出,安全风险是指资产外部的威胁因素利用资产本身的固有漏洞对资产的价值造成的损害,因此风险评估过程就是资产价值、资产固有漏洞以及威胁的确定过程。
即风险R=f(z,t,v)。其中:z为资产的价值,v为网络的脆弱性等级,t为对网络的威胁评估等级。
2.2 资产评估
资产评估是风险评估过程的重要因素,主要是针对与企业运作有关的安全资产。通过对这些资产的评估,根据组织的安全需求,筛选出重要的资产,即可能会威胁到企业运作的资产。资产评估一方面是资产的价值评估,针对有形资产;另一方面是资产的重要性评估,主要是从资产的安全属性分析资产对企业运作的影响。资产评估能提供:①企业内部重要资产信息的管理;②重要资产的价值评估;③资产对企业运作的重要性评估;④确定漏洞扫描器的分布。
2.3 威胁评估
安全威胁是可以导致安全事故和信息资产损失的活动。安全威胁的获取手段主要有:IDS取样、模拟入侵测试、顾问访谈、人工评估、策略及文档分析和安全审计。通过以上的威胁评估手段,一方面可以了解组织信息安全的环境,另一方面同时对安全威胁进行半定量赋值,分别表示强度不同的安全威胁。
威胁评估大致来说包括:①确定相对重要的财产,以及其价值等安全要求;②明确每种类型资产的薄弱环节,确定可能存在的威胁类型;③分析利用这些薄弱环节进行某种威胁的可能性;④对每种可能存在的威胁具体分析造成损坏的能力;⑤估计每种攻击的代价;⑥估算出可能的应付措施的费用。
2.4 脆弱性评估
安全漏洞是信息资产自身的一种缺陷。漏洞评估包括漏洞信息收集、安全事件信息收集、漏洞扫描、漏洞结果评估等。
通过对资产所提供的服务进行漏洞扫描得到的结果,我们可以分析出此设备提供的所有服务的风险状况,进而得出不同服务的风险值。然后根据不同服务在资产中的权重,结合该服务的风险级别,可以最后得到资产的漏洞风险值。
3 评估方法
3.1传统的评估方法
关于安全风险评估的最直接的评估模型就是,以一个简单的类数学模型来计算风险。即:风险=威胁+脆弱+资产影响
但是,逻辑与计算需要乘积而不是和的数学模型。即:风险=威胁x脆弱x资产影响
3.2 模糊数学评估方法
然而,为了计算风险,必须计量各单独组成要素(威胁、脆弱和影响)。现有的评估方法常用一个简单的数字指标作为分界线,界限两边截然分为两个级别。同时,因为风险要素的赋值是离散的,而非连续的,所以对于风险要素的确定和评估本身也有很大的主观性和不精确性,因此运用以上评估算法,最后得到的风险值有很大的偏差。用模糊数学方法对网络安全的风险评估进行研究和分析,能较好地解决评估的模糊性,也在一定程度上解决了从定性到定量的难题。在风险评估中,出现误差是很普遍的现象。风险评估误差的存在,增加了评估工作的复杂性,如何把握和处理评估误差,是评估工作的难点之一。
在本评估模型中,借鉴了模糊数学概念和方法中比较重要的部分。这样做是为了既能比较简单地得到一个直观的用户易接受的评估结果,又能充分考虑到影响评估的各因素的精度及其他一些因素,尽量消除因为评估的主观性和离散数据所带来的偏差。
(1)确定隶属函数。
在模糊理论中,运用隶属度来刻画客观事物中大量的模糊界限,而隶属度可用隶属函数来表达。如在根据下面的表格确定风险等级时,当U值等于49时为低风险,等于51时就成了中等风险。
此时如运用模糊概念,用隶属度来刻画这条分界线就好得多。比如,当U值等于50时,隶属低风险的程度为60%,隶属中等风险的程度为40%。
为了确定模糊运算,需要为每一个评估因子确定一种隶属函数。如对于资产因子,考虑到由于资产级别定义时的离散性和不精确性,致使资产重要级别较高的资产(如4级资产)也有隶属于中级级别资产(如3级资产)的可能性,可定义如下的资产隶属函数体现这一因素:当资产级别为3时,资产隶属于二级风险级别的程度为10%,隶属于三级风险级别的程度为80%,属于四级风险级别的程度为10%。
威胁因子和漏洞因子的隶属度函数同样也完全可以根据评估对象和具体情况进行定义。
(2)建立关系模糊矩阵。
对各单项指标(评估因子)分别进行评价。可取U为各单项指标的集合,则U=(资产,漏洞,威胁);取V为风险级别的集合,针对我们的评估系统,则V=(低,较低,中,较高,高)。对U上的每个单项指标进行评价,通过各自的隶属函数分别求出各单项指标对于V上五个风险级别的隶属度。例如,漏洞因子有一组实测值,就可以分别求出属于各个风险级别的隶属度,得出一组五个数。同样资产,威胁因子也可以得出一组数,组成一个5×3模糊矩阵,记为关系模糊矩阵R。
(3)权重模糊矩阵。
一般来说,风险级别比较高的因子对于综合风险的影响也是最大的。换句话说,高的综合风险往往来自于那些高风险级别的因子。因此各单项指标中那些风险级别比较高的应该得到更大的重视,即权重也应该较大。设每个单项指标的权重值为β1。得到一个模糊矩阵,记为权重模糊矩阵B,则B=(β1,β2,β3)。
(4)模糊综合评价算法。
进行单项评价并配以权重后,可以得到两个模糊矩阵,即权重模糊矩阵B和关系模糊矩阵R。则模糊综合评价模型为:Y=B x R。其中Y为模糊综合评估结果。Y应该为一个1x 5的矩阵:Y=(y1,y2,y3,y4,y5)。其中yi代表最后的综合评估结果隶属于第i个风险级别的程度。这样,最后将得到一个模糊评估形式的结果,当然也可以对这个结果进行量化。比如我们可以定义N=1×y1十2×y2十3×y3×y4十5×y5作为一个最终的数值结果。
4 网络安全风险评估示例
以下用实例说明基于模糊数学的风险评估模型在网络安全风险评估中的应用。
在评估模型中,我们首先要进行资产、威胁和漏洞的评估。假设对同样的某项资产,我们进行了资产评估、威胁评估和漏洞评估,得到的风险级别分别为:4、2、2。
那么根据隶属函数的定义,各个因子隶属于各个风险级别的隶属度为:
如果要进行量化,那么最后的评估风险值为:PI= 1*0.06+2*0.48+3*0.1+4*0.32+5*0.04=2.8。因此此时该资产的安全风险值为2.8。
参考文献
[1]郭仲伟.风险分析与决策[M].北京:机械工业出版社,1987.
[2]韩立岩,汪培庄.应用模糊数学[M].北京:首都经济贸易大学出版社,1998.
[3]徐小琳,龚向阳.网络安全评估软件综述[J].网络信息安全,2001.
网络资产评估篇(4)
风险评估技术常用的工具一般有渗透测试工具和脆弱性扫描工具。渗透测试工具一般常使用人工结合渗透测试工具进行,常用的Web渗透测试工具有IBMAppScan、AWVS、HPWEBinspect,通常需对漏洞进行人工验证,以确定漏洞准确性。脆弱性扫描工具主要用于评估网络或主机存在的系统漏洞,常见工具有Nessus,能对主机、网络设备、安全设备进行扫描并形成脆弱性报告。此外,在风险评估过程中,除了利用上述工具来发现系统风险外,还需要利用系统现有数据来进行现状分析和趋势分析,这其中常用的手段有:入侵检测日志分析、主机日志分析、应用系统日志分析、主机/网络检查表等。
风险评估流程
1总体流程
根据风险评估中包含的各个要求,要分别进行实施,整体的风险评估流程如图3所示。
2风险评估准备阶段
通过做好准备工作,能够大大提升风险评估的效果,降低项目实施风险,该阶段是风险评估整个过程的重要组成部分。风险评估准备阶段一般应包含如下工作内容:明确风险评估范围、确定风险评估目标、组建项目团队、设定系统性风险评估方法、整体风险评估方案获得高层批准。
3资产识别阶段
资产识别主要针对现有的信息资产进行分类识别和描述,在识别的基础上从信息安全的角度,机密性、完整性和可用性对其进行赋值,确定信息资产的价值,作为影响分析的基础,典型资产类别可以分为:网络设备、服务器、终端、安全设备、物理环境、业务系统、数据、文档、组织和人员等。
4脆弱性识别
脆弱性评估常被称作弱点评估,是风险评估的重要工作,通过脆弱性评估能够发现信息资产存在的弱点。弱点是资产本身存在的,它可以被威胁利用、引起资产或商业目标的损害。弱点包括物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各种资产的脆弱性。脆弱性分类可分为技术脆弱性和管理脆弱性,其中技术脆弱性又可以细分为:物理安全、网络安全、系统安全、应用安全、数据安全5个方面。
5威胁识别
威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。造成威胁的因素可分为人为因素和环境因素。根据威胁的动机,人为因素又可分为恶意和非恶意两种。
环境因素包括自然界不可抗的因素和其他物理因素。威胁作用形式可以是对信息系统直接或间接的攻击,在机密性、完整性或可用性等方面造成损害,也可能是偶发的或蓄意的事件。对威胁识别的简单方法就是对威胁进行分类,针对不同的威胁,可以根据其表现形式将威胁识别分为以下几类:软硬件故障、物理环境影响、无作为或操作失误、管理不到位、恶意代码、越权或滥用、网络攻击、物理攻击、泄密、篡改、抵赖等。威胁分析方法首先需要考虑威胁的来源,然后分析存在哪些威胁种类,最后做出威胁来源和威胁种类的交叉表进行威胁赋值。
6风险分析
风险分析中要涉及资产、威胁、脆弱性3个基本要素,每个要素有各自的属性。资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。
风险评估的主要内容
信息安全风险评估包含的内容涉及信息安全管理和技术,同时包括网络、系统、应用和数据等不同的技术层面,但根据保险行业的特定需求,总体定位在网络设备和网络架构方面的技术评估。主要内容包括:
1)信息资产的调查,主要针对网络拓扑,网络设备和服务器设备等。
2)网络架构弱点评估,针对目前的网络拓扑图进行弱点分析。
3)网络设备和服务器系统弱点评估,针对设备目前的系统配置进行分析,确认其是否达到应有的安全效果,结合渗透测试的手段。
4)现有安全控制措施,通过分析目前的安全控制措施,综合总结网络架构和设备的弱点。
5)整体网络威胁和风险分析,综合分析网络中面临的威胁和可能的风险,形成总体安全现状。
6)建议安全措施和规划。根据风险评估的成果和建设目标,形成建议的安全措施和时间进度,建立1-2年的信息安全规划。
项目实施成果
根据以上工作内容,项目的最终成果包括:
1)信息资产清单和分析结果。清晰明确系统和网络信息资产,明确其机密性、完整性和可用性的安全目标,同时确定资产的重要类别;必要时可以建立内部的信息资产库。
2)系统和网络脆弱性报告。明确服务器系统、网络设备、网络结构和安全设备可能存在的弱点。
3)系统和网络威胁报告。根据已有的弱点分析目前可能面临的威胁和威胁发生后对业务、系统和网络造成的影响。
4)安全现状报告。基于风险的安全现状总体分析报告,明确目前的网络安全风险。
5)建议安全措施和规划。从技术和管理的角度提出后期进行系统建设的安全控制措施。
结语
网络资产评估篇(5)
关键词:网络安全;评价系统;设计;实现
一、网络安全态势感知
态势感知(Situation Awareness)这一概念源于航天飞行的人因(Human Factors)研究,此后在军事战场、核反应控制、空中交通监管(Air Traffic Control,ATC)以及医疗应急调度等领域被广泛地研究。Endsley在1995年把态势感知(Situation Awareness)定义为感知在一定的时间和空间环境中的元素,包括它们现在的状况和它们未来的发展趋势。Endsleys把态势感知分成3个层次(如图1所示)的信息处理:(1)要素获取:感知和获取环境中的重要线索或元素,这是态势感知最基础的一步;(2)理解:整合感知到的数据和信息,分析其相关性;(3)预测:基于对环境信息的感知和理解,预测未来的发展趋势,这是态势感知中最高层次的要求。
图1态势感知的三级模型
而网络态势感知则源于空中交通监管(Air Traffic Control,ATC)态势感知(Mogford R H,1997),是一个比较新的概念,并且在这方面开展研究的个人和机构也相对较少。1999年,Tim Bass首次提出了网络态势感知(Cyberspace Situation Awareness)这个概念(Bass T, 2000),并对网络态势感知与ATC态势感知进行了类比,旨在把ATC态势感知的成熟理论和技术借鉴到网络态势感知中去。目前,对网络态势感知还未能给出统一的、全面的定义。IATF网站中提出,所谓的网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。值得注意的是,态势是一种状态,一种趋势,是一个整体和全局的概念,任何单一的情况或状态都不能称之为态势。因此,网络态势感知是在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势。
图2网络安全态势感知系统框架
基于态势感知的三级模型,谭小彬等(2008)提出了一种网络安全态势感知系统的设计框架,如图2所示。该系统首先通过多传感器采集网络系统的各种信息,然后通过精确的数学模型刻画网络系统的当前的安全态势值及其变化趋势。此外,该系统还给出针对当前状态的网络系统的安全加方案,加固方案指导用户减少威胁和修复脆弱性,从而提高系统的安全态势。此外该系统还给出针对当前状态的网络系统的安全加固方案,加固方案指导用户减少威胁和修复脆弱性,从而提高网络系统的安全态势。
二、网络信息系统安全测试评估支撑平台
网络信息系统安全测试评估支撑平台由管理控制、资产识别、在线测试、安全事件验证、渗透测试、恶意代码检测、脆弱性检测和安全态势评估与预测等八个子系统组成,如图3所示。各子系统采用松耦合结构,以数据交互作为联系方式,能够独立进行测试或评估。
图3支撑平台的组成
三、网络安全评估系统的实现
网络安全评估系统由六个子系统组成,其中一个管理控制子系统,一个态势评估与预测子系统,其他都是各种测试子系统。由于网络安全评估是本文的重点,所以本章主要介绍态势评估与预测子系统的实现,其他子系统的实现在本文不作介绍。
3.1风险评估中的关键技术
在风险评估模块中,风险值将采用两种模型计算,分别是矩阵模型和加权模型:
(1)矩阵模型。
该模型是GB/T 20984《信息安全风险评估规范》中提出的一种模型,采用该模型主要是为了方便以往使用其它风险评估系统的用户,使他们能够很快地习惯本评估系统。矩阵模型主要由三步组成,首先通过安全事件可能性矩阵计算安全事件的可能性,该步以威胁发生的可能性和脆弱性严重程度作为输入,在安全事件可能性矩阵直接查找对应的安全事件的可能性,然后将结果映射到5个等级。
(2)加权模型。
基于加权的风险评估模型在总体框架和基本思路上,与GB/T20984所提出的典型风险评估模型一致,不同之处主要在于对安全事件作用在风险评估中的处理,通过引入加权,进而明确渗透测试和安全事件验证在风险评估中的定性和定量分析作用。该模型认为,已发生的安全事件和证明能够发生的安全事件,在风险评估中的作用应该得到加强。其原理如图4所示。
图4加权模型
3.2态势评估中的关键技术
态势评估中采用多层次多角度的网络安全风险评估方法作为设计理念,向用户展现了多个层次、多个角度的态势评估。在角度上体现为专题角度、要素角度和综合角度,通过专题角度,用户可以深入了解威胁、脆弱性和资产的所有信息;通过要素角度,用户可以了解保密性、完整性和可用性这三个安全要素方面的态势情况;通过综合角度用户可以了解系统的综合态势情况。在层次上体现为对威胁、脆弱性和资产的不同层次的划分,通过总体层次,用户可以了解所有威胁、脆弱性和资产的态势情况;通过类型层次,用户可以了解不同威胁类型、脆弱性类型和资产类型的态势情况;通过细微层次,用户可以了解每一个威胁、脆弱性和资产的态势情况。
对于态势值的计算,参考了风险值计算的原理,并在此基础上加入了Markov博弈分析,使得态势值的计算更加入微,有关Markov博弈分析的理论在第3章中作了详细介绍。通过Markov博弈分析的理论,可以计算出每一个威胁给系统态势带来的影响,但系统中往往有许多的威胁,所有我们需要对所有的威胁带来的影响做出处理,而不能将他们带来的影响简单地相加,否则2个中等级的威胁对态势的影响将大于一个高等级的威胁对态势的影响,这是不合理的。在本系统中,我们采用了如下公式来对它们进行处理。
其中S为系统的总体态势值,为第个威胁造成的态势值,为系统中所有的威胁集合。
结语
网络系统安全评估是一个年轻的研究课题,特别是其中的网络态势评估,现在才刚刚起步,本文对风险评估和态势评估中的关键技术进行了研究,取得了一定的研究成果,但仍存在一些待完善的工作。网络安全态势评估中,对与安全态势值没有一个统一的标准,普通用户将很难对安全态势值 有一个直观的认识,只能通过多次态势评估的结果比较,了解网络安全态势的走向。在本系统的态势评估中仅对安全态势值作了一个简单的等级映射,该部分还需要进一步完善。
网络资产评估篇(6)
从国内外各大企业的发展历程可以看出,并购已成为企业走向国际化、实现快速扩张、实现企业规模经营的重要途径。网络通信企业凭借着高成长性和未来不可预期的高收益性,如今已成为全球并购市场的热点。网络通信指人与人通过网络进行沟通,信息的交流,以及通过网络完成一些业务,其涉及到的方面很多,包括电子通信,btob业务等在中国发展也较为迅猛,所以如今我国网络通信企业并购也开展的如火如荼。
1.并购案例
2010年8月,英特尔宣布以每股48美元现金收购安全软件公司mcafee,此笔交易总值将达约78.6亿美元。在收购mcafee后,英特尔可利用其安全技术为家庭用户、服务供应商、政府机构提供全面的解决方案,帮助他们有效地拦截黑客攻击并防止业务中断,此次收购可让英特尔进一步整合安全软件与硬件两项服务,从而加强针对个人、企业和政府机构解决方案的安全性。
2010年7月,诺基亚西门子通信公司以12亿美元现金收购摩托罗拉无线网络基础设施部门绝大部分资产。此次收购诺基亚西门子通信如愿获得了北美的宝贵市场份额,顺便收获日本市场份额,同时业务触角得到了延伸、一些领域得到补充和增强。
在国内2000年盈动集团收购香港电讯之后盈动集团的股价和市值飙升,声誉得到进一步的提高。2004年联想集团有限公司经过13个月的谈判后通过现金、股票支付以及偿债的方式,收购了ibm个人电脑事业部(pcd),新联想集团通过并购成为一家拥有强大品牌、丰富产品组合和领先研发能力的国际化大型企业。
2.网络通信企业并购的动因
2.1 获得技术的提升
网络通信企业的资产很大一部分是无形资产,而无形资产中科技含量占很大一部分,企业若想获得更多的市场,技术的更新换代显得尤为重要。而并购能快速获得对方的技术让新型技术提高企业的生产效率,扩大市场占有率,从而获得较高的利润。
2.2 扩大市本文由收集整理场占有率
通过并购网络通信企业可以获取被并购企业市场份额,增强企业的市场竞争能力,从而获得更多的客户,为企业塑造品牌打下基础。
2.3 扩大企业规模
通过并购可以在短时间内扩大企业的生产规模,从而获得规模经济。一般来说,企业规模的大小会影响客户的信赖感,规模越大客户的好感越强,越容易扩大市场。网络通信企业可以通过并购选出有利于生产要素互补,有利于形成能降低单位成本,提高经济效益的联合企业。
2.4 提高企业的市场价值
并购可以实现企业业务领域的扩张,使企业市场价值得到提升,也进一步提高了本企业在社会上的地位和市场价值。企业并购之后公司的股票价格也会上升,市盈率会维持在一个较高的水平,收益额也会提高,这样股东的财富就会得到增加。
3.网络通信企业并购对象的选择
3.1 纵向并购企业
网络通信企业如果并购对象是产业上下游的企业,那么并购后企业可以增加其市场中的份额,可以掌握产业链中关键价值增值的部分,来提升企业价值,还可以降低成本,缩短生产周期,完善生产流程,最终增强企业的核心竞争力。
3.2 并购竞争对手企业
甲骨文拉里埃利森认为,只有上规模的公司才能制胜,而消灭竞争对手最好的方法就是买过来。网络通信企业在发展的过程中肯定会因为技术或者人才的不足而遇到增长的平台期,此时如果通过并购竞争对手的公司,既可以获得竞争对手的人才、技术和市场份额,还可以提高本企业的知名度,从而帮助本企业扩大市场占有率,增强获利能力。
3.3 并购优势互补性企业
网络通信企业如果服务或产品过于单一,那么将难以满足客户,通过并购行业互补性企业,可以降低成本来获得企业所需要的优势技术和产品,从而赢得客户的青睐,所以网络通信企业并购需要考虑并购对象优势互补,能和本企业达到协同效应的最大化。例如英特尔公司并购mcafee公司是为了获得安全系统,来弥补本企业安全系统差的缺陷。要通过并购获得竞争的优势,就必须通过分析并购对象的优势和劣势,其中包括财务状况,市场分布情况,生产能力,产品的质量等,从而选择适合本企业的并购对象。
4.网络通信企业并购特点
4.1 人力资本高度密集
与传统的企业拥有大量的土地、楼盘和设备等有形资产所不同的是网络通信企业拥有大量的无形资产,其中包括知识产权和人力资本等。网络通信企业是高新技术行业,技术对企业的生产发展起关键作用,而只有人才可以将技术应用到企业的发展中,所以人才是网络通信企业的灵魂,而并购很大一部分也是为了获得更好的技术和人才。
4.2 并购风险大
技术是网络通信企业发展的重要因素,基于这点网络通信企业就得不断的研发新的技术,以获得技术上的优势,才能占领行业的领先位置,从而扩大市场占有率。但是要研发必须投入大量的资金,这就会给企业带来风险,其中包括研究失败带来的技术风险,也可能由于新技术不受客户青睐不被市场接受而带来的市场风险,或者由于经营不善而带来的经营风险等等,所以并购企业应该分析承担的风险,这样才能以较小的风险获得较大的利润。
4.3 高收益带来高成长
由于网络通信企业无形资产的产品在技术和功能上都有垄断性和指引性,网络通信企业的毛利率一般都在30%以上。因此网络通信企业可以迅速占领市场从而获得高收益,通过并购弥补技术的不足,扩大了市场占有率,从而带来高成长,提高其市场竞争力。
5.网络通信企业并购的价值评价
网络通信企业价值评价的特点:
第一,可比对象少、缺乏传统价值评价所需要数据
网络通信企业所主营的产品类型繁多,一般很难找到技术、市场、行业规模和环境都相当的同类型企业。并且对企业进行价值评价最重要在于企业的获利能力,而获利能力是需要对企业的现状和历史的数据进行分析判断得出的未来预测。由于技术发展的局限性很多网络通信企业刚刚崭露头角,这些企业成立时间较短,历史数据有限,这就给价值评价带来了困难。
转贴于
第二,现金流量预测较难
网络通信企业面临市场不稳定,成功率低,风险大,所以导致现金流量在一定时期内波动频繁。可是一旦网络通信企业的技术产品转化为生产力,产品的高附加值会给企业带来巨大的经济效益,这时现金流量也会跟着变大。并且除了少数企业在成立初获利,很大一部分盈利较少,这就意味着无法根据现在的盈利估算未来的盈利。
第三,缺乏对企业风险的有效计量
网络通信企业进入市场一般都有自己独特的产品,或者销售策略,所以在成立的前几年,会有较高的增长速度,这种成长速度基于产品的市场发展趋势。如今科技发展日新月异,竞争对手的技术也在不断更新,并且竞争对手的加入很可能会威胁本企业在市场中的地位,分割你的市场份额,这就使得高速增长的新企业面临破产的可能。现有的传统估值方法都是在本企业能够持续经营的前提下,由于缺乏对企业风险的有效计量就造成评估的不准确。
第四,网络通信企业的无形资产比重较大
网络通信企业无本文由收集整理形资产较多,其中有部分专利包括网络传输工具,还有数据采集器等等,但专利权在没投入使用时是不能变现的,如果按照传统的评估方法评价网络通信企业就会低估了企业的价值,所以要充分考虑到这些权利在价值中是否体现。
6.实物期权法在网络通信企业价值评价中的应用
6.1 网络通信企业价值评价方法的选择
通过对网络通信企业价值评价特点的分析可以得出传统的评价方法不太适合评价网络通信企业:
成本法是指分别求出企业各项资产的评估值并累加求和,再扣减负债评估值,得到整体企业资产评估值的方法。成本法评价没有考虑到资产组合的价值效用。网络通信企业中技术,专利等无形资产比重较大,利用成本法对无形资产评估不准确,所以不适合用成本法评估企业价值。
市场法需要通过本企业在市场中的定价来分析判断从而进行评价的,但是网络通信企业种类繁多,很难找到相似的企业所以利用市场法进行评价可能会因为缺少可比企业的信息而增加评价的难度。
收益法是通过评估企业未来各年预计现金流量通过折现求和来确定企业价值,但是网络通信企业由于风险较大不能准确预计未来的现金流量,而且网络通信企业无形资产较多,带来的现金流量难以预测,所以收益法也不适合于评价网络通信企业。
6.2 用实物期权方法对网络通信并购企业进行价值评价
实物期权是指在不确定性条件下,与金融期权类似的实物资产投资的选择权。就是企业可以在未来以一个合适的价位取得出售本公司实物资产的权利,所以可以利用类似评估期权的方式评估实物资产。实物资产价值包括通过企业拥有资产的使用产生出来的现金流量,再加上一个未来的增长机会。
与传统企业相比网络通信企业可以迅速占据市场,因为其具备及时把握市场机会的能力,这种情况与期权定价所适用的条件十分符合,它不仅考虑了选择权即选择专利使用权也考虑了不同投资机会所创造的价值。对于企业潜在投资机会所能带来价值的评价,传统评价方法不准确而这种对潜在投资机会价值评价却是实物期权法所擅长的。实物期权法可以通过期权模型将未来企业可能投资机会看做买方期权,从而算出买方期权的价值,也就是网络通信企业潜在的投资机会价值,这样评价更为准确。
实物期权定价公式为:
p是网络通信企业所获得未来收益通过一定折现率折现所得的现值,v是指投资项目投资额的现值,t是无形资产的有效期限,是无形资产价值的不确定性,r是无风险利率。利用公式即可以计算得到企业的价值。
网络资产评估篇(7)
摘 要 广播电视网络公司(简称广电网络公司)属于事业单位性质的经营性单位,但同时按照企业会计准则建账立制并开展业务,事业单位的账务管理与企业相比存在的主要问题主要表现在会计信息缺失可比性、全面预算和预算执行方面存在的问题、传统的会计核算基础合理性不够完善,针对广电网络公司财务问题的特殊性,文章就其账务处理过程采取相对应的措施进行探讨。
关键词 广电网络公司 账务处理 问题
当前全国范围内广播电视系统正处于省、市、县三级台网分离阶段,剥离出的广电网络公司经资产评估独立运营,组建一省一网并最终实现全国广电网络整合,但是眼下广播电视台和广电网络公司针对财务管理上的问题存在很多的弊端,广电网络公司属于事业单位,其财会制度与我国事业单位财务核算是紧紧相连的,因此在管理中一定要进行严格的控制,针对广电网络公司的财会制度存在的问题,可以结合相关财务管理制度来进行系统规划,探讨解决资产评估标准不一,账务处理难以统一等问题。
一、相关网络资产入账核算
(一)评估网络资产初始入账
评估目的是为台网分离涉及的广电相关资产提供价值参考,目前行内通用做法是按照重置成本法评估,评估采用的基本计算公式为:评估价值=重置价值×综合成新率。评估范围包括存货、设备类资产、网络类资产,首先对各项资产进行账表、账账核对;其次,存货、固定资产(运输设备、机器设备、网络类)等实物资产进行全面清查盘点。存货:系为原材料,主要包括电缆、光接收机、机顶盒、网络箱、有源EOC设备多口终端等。设备类:设备主要包括场强仪、光发射机、光时域发射仪、光接收机、皮卡车、电脑及空调等。网络类:主要包括光缆、电缆、小区接入网(城镇和农村)、管道及机顶盒,该部分资产为企业账外资产,是资产评估机构重点评估的资产范围,涉及了具体的人工、管线等成本分摊,核算方法和账务处理。由于目前全国标准不同计算口径差异,评估资产存在相互认可度不高。从浙江全省评估情况看,统一按照浙江华数制定的评估标准执行,评估的县市网络资产可比性较高。
(二)网络工程完工入账
网络公司按照企业会计准则建账,资产入账与原先存在本质区别。固定资产的入账价值,成本包括企业为购建某项固定资产达到预定可使用状态前所发生的一切合理的、必要的支出。在网络工程完工入账中针对光缆、电缆、小区接入网(城镇和农村)在建的项目都要对账单进行系统性的核对,目前行业内普遍采用劳务外包,本单位仅提供工程材料,当领用工程材料时,借:在建工程,贷:库存材料;完工验收结算后,借:固定资产,贷:在建工程/应付账款-工程款;如果是管道工程,则依据投资比例分摊的成本,在工程结算后“固定资产”入账。分工程相关项目在工程施工处归集,最后完工时一次性转“固定资产”,并要将账单计入公司的系统账单中,需要注意及时入账的问题,了解项目的预算与结算在日期和金额的差异性,针对这一情况可以采取项目跟单。区别对待长期待摊费用,比如网络机房的装修费,借:长期待摊费用,贷:银行存款/应付账款,不应计入固定资产。
(三)机顶盒相关入账
机顶盒属于广电网络公司比较特殊的固定资产,由于存在销售或赠送的不同形式,各地理解有差异,机顶盒成本是按照实际支付价格以及税务上成本反映,并加计包装、运输、杂费等进行成本的核算。目前浙江省内普遍做法,是主要区别赠送和销售机顶盒分别核算,第一种特征“以赠送为目的”,通过“固定资产”核算,购入时,借:库存商品―高清机顶盒/普通机顶盒,贷:银行存款/应付账款;售出时,借:固定资产,贷:库存商品―高清机顶盒/普通机顶盒;与第二个特征“以出售为目的”有区别,借:现金,贷:主营业务收入,同时,借:主营业务成本,贷:库存商品。对作为“固定资产”入账应每月计提折旧,库存机顶盒还应当考虑是否存在减值。
二、网络公司后续核算
(一)固定资产折旧
根据广电网络资产的特点,经常存在在建工程量大,工程验收结算不及时等问题,但是根据规定若固定资产达到预定可使用状态,应当暂估入账,在下月起计提折旧。固定资产折旧需注意的几个问题,1、当月增加的固定资产当月不提折旧,当月减少的固定资产当月照提折旧。2、固定资产折旧期限的确定,会计要求估计固定资产的使用寿命,实务工作中则多为参考税法规定的最低折旧年限,电子设备3年,运输工具4年,办公设备5年,机器设备10年,房屋建筑物20年,目前普遍采用平均年限法计算,残值率为5%,网络资产折旧年限确定为10年。折旧费用分摊时应对使用资产归类,可以分别或汇总算出折旧额,再做如下会计分录,借:成本(生产用)/销售费用(销售部门用)/管理费用(管理部门用),贷:累计折旧。
(二)成本分摊核算
会计准则明确规定,职工薪酬主要包括:职工工资、奖金、津贴和补贴,职工福利费以及为职工生活、住房、交通等所发放的各项补贴和非货币利等。会计分录如下,借:管理费用/工程施工,贷:应付职工薪酬―福利费;借:应付职工薪酬,贷:银行存款;销售费用是指企业在销售商品和材料、提供劳务的过程中发生的各种费用,包括企业在销售商品过程中发生的费用以及为销售商品而专设的销售机构(含销售网点、售后服务网点等)的职工薪酬、折旧费等,涉及到收费相关的成本列支。管理费用是指企业为组织和管理企业生产经营所发生的管理费用,包括在企业的经营管理中发生的或者应由企业统一负担的公司经费(包括行政管理部门职工工资及福利费、物料消耗、低值易耗品摊销、办公费和差旅费等)、工会经费、董事会费、聘请中介机构费、业务招待费、房税、印花税等。
(三)经营利润分配
盈余公积和未分配利润统称为留存收益。公司制企业法定公积金按照税后利润的10%的比例提取(非公司制企业也可按照超过10%的比例提取),在计算提取法定盈余公积的基数时,不应包括企业年初未分配利润。公司法定公积金累计额为公司注册资本的50%以上时,可以不再提取法定公积金。提取盈余公积时,借:利润分配――提取法定盈余公积,贷:盈余公积――法定盈余公积。广播电视台作为差额事业单位,需通过网络公司盈余予以补助,网络公司在会计处理上,未分配利润是通过“利润分配”科目核算,借:利润分配-应付现金股利或利润,贷:应付股利,就目前财务制度,意味着在网络公司盈利情况下,交纳25%企业所得税后,广播电视台获得税后利润分配。如税前分配,可采取房屋租赁费(房屋产权属广播电视台)等措施,涉及交税成本,收益份额也较小。可争取税收政策,减少运营成本。
三、网络资产运营效益评估
(一)完善财务绩效评估
根据审计准则和财务制度规定,广电网络公司应当开展年度审计,并由中国注册会计师出具审计报告,作为投资方政府部门或广播电视台绩效评估的重要依据。注册会计师通过对不同财务数据之间,还有财务数据与非财务数据之间的内在关系,调查识别出的与其他相关信息不一致,或者与预期数据严重偏离的波动等,通过测试企业各种交易和账户余额以及列报的具体细节等,直接识别财务报表,判断其是否存在错报等,促使广电网络公司提高财务数据的可靠性。通过审计同时促进广电网络公司财务核算、预算以及管理制度的完善,应用数理统计理论对数据进行管理和分析预测结果,对资金的整合、配置,以及利润目标的制定提供可靠的数据保障。从而完善董事会、下属机构、人员的薪酬和目标考核评估体系。
(二)加强财务风险评价
广电网络公司应当学习现代企业财务制度,建立内部控制及风险预警制度。按照在广播电视网络节目和产品销售风险战略分析中,识别出的各种重大战略风险和重大交易类别,公司管理层要确定出关键的环节,并认真的逐一分析影响广电网络公司目标实现的关键经营环节。在财务管理的审计过程中,要将经营环节分析侧重于广电网络公司业务的各个关键环节,例如栏目的策划、制作的计划,以及选择播出节目和销售价格、合同等。加强董事会直接领导下的内部审计建设,提高监事会参与程度,必要时聘请风险专家介入等加强风险识别。同时加强风险考核,制定科学考核机制,评估业绩与风险一同考虑。
(三)深化财务预算管理
全面预算和全面控制是现阶段财务管理方法中新出现的两种,这两种方法改善了阶段性核算和事后核算存在的问题。深化财务预算管理,可以显著提高广电网络公司的核心竞争力。进一步深化财务管理,将财务管理与创新方法紧密结合,使部门的财务控制、财务预算及管理更加全面科学化,要采用“逐步推进”的战略,使部门各项指标与制定标准靠拢。优化财政资金的管理模式,按照构思设想、启动项目、分析研究、监督评估的模式,实施管理理念和管理方式的优化。在实际的操作过程中,实施有效的资金管理模式,使资金上缴、费用报销、资金支付、资金申请、采购等符合事业单位具体工作流程的系统化和信息化,以加强对于财政资金的绩效管理,提高资金使用效率。
四、整合网络公司财务报表体系建设
(一)完善网络公司报表体系。
广电网络公司会计制度改革,要以会计报表结构改革为主,突出会计的主体性地位,要遵循权责发生制。广电网络公司实行企业化运作,按照企业会计准则的报表体系包括资产负债表、利润表、现金流量表、所有者权益变动表及其附注,与事业单位会计制度要求的资产负债表、收入支出表和财政补助收入支出表有本质区别。主要关注资产负债表中固定资产折旧计提准确性,利润表中的成本费用核算分摊的合理性以及对所得税额的影响等变化;启用现金流量表,报表使用者能够了解现金流量的影响因素,评价企业的支付能力、偿债能力和周转能力,预测企业未来现金流量,为决策提供依据。所有者权益变动表主要关注所有者权益总量的增减变动。为遵循重要性及时性原则,应编制中期财务报告,完善报表体系。
(二)完善合并报表
合并财务报表又称合并会计报表。它是以母公司和子公司组成的企业集团为一会计主体,以母公司和子公司单独编制的个别报表为基础,由母公司编制的综合反映企业集团财务状况、经营成果及现金流量的财务报表。广电网络公司作为广播电视资下的子公司,属于同一控制下的企业合并,其合并报表的处理,一般来说按母公司事业单位会计制度处理,则调整子公司的账务处理原则,将企业账务调整为事业单位账务,并对合并报表进行系统的审核,这样的合并报表有利上级政府部门的考核评估。如考虑重要性原则,可剥离出台属广告中心与网络公司的账务,按企业准则合并编制报表。合并报表要统一母子公司的会计政策,统一资产负债表日及会计期间,统一日期收集相关资料,合并报表达到真实可靠、内容完整。
五、结束语
通过分析我们发现广电网络公司的财会制度还存在一定的问题,因此在发展的过程中一定要实现广电网络公司财会制度的不断优化,要结合企业财务管理制度,来实现保证广电网络公司财务管理的合理性发展。同时我国的事业单位财务管理问题也要不断进行相应的更新发展。
参考文献:
[1]曾干鲜.论会计集中核算在行政事业单位财务管控中的运用.行政事业资产与财务.2012(18):36.
[2]丁怡,潘杰.浅谈权责发生制在事业单位会计核算中的应用.现代商业.2013(11):12-14
[3]谈俊川.浅谈如何完善现行事业单位会计制度.金融经济(理论版).2013(11):77-79.
[4]高云会,李艳梅.浅析行政事业单位财务管理存在的问题及建议.中国电子商务,2012,(24):91-93.
