时间:2023-03-06 15:56:14
序论:好文章的创作是一个不断探索和完善的过程,我们为您推荐十篇企业安全风险评估报告范例,希望它们能助您一臂之力,提升您的阅读品质,带来更深刻的阅读感受。
总则
第一条
为加强大洼恒丰村镇银行风险管理,及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险承受度和风险应对策略,根据有关法律法规和《企业内部控制基本规范》等的有关规定,结合我行实际情况,制订本制度。
第二条
本制度所称风险是指我行经营活动中与我行实现内部控制目标相关的风险,包括信息风险、财务风险、市场风险、运营风险和法律风险等。
本制度所称风险评估是指通过对基于事实的信息进行分析,就如何处理特定风险以及如何选择风险应对策略进行科学决策。
第二章
组织机构及职责
第三条
各部门为我行风险评估管理工作的责任机构,具体职责:
(一)对我行经营活动中的风险进行识别;
(二)
对识别的风险进行评估,辨识评估出风险等级并将中、高风险以书面形式上报我行管理层,上报内容应包括:风险发生地、发生原因、可能造成的损失和影响、拟采取的应对措施等。
(三)
执行审批后的风险应对预案,并及时反馈风险的应对、解决结果;
(四)
对识别的风险进行监控,发生变化时重新评估,并根据新辨识评估的风险等级进行相应的处理;
(五)
年中、年度对风险评估管理工作进行总结。
第四条
我行企划部门为我行风险评估管理工作的组织机构,具体职责:
(一)负责制定我行的风险评估方案;
(二)负责组建风险评估工作小组;
(三)负责审核风险清单、应对预案;
(四)拟定我行风险评估报告,上报我行管理层。
(五)负责建立经营环境监控体系,切实监控并记录内、外部经营环境和条件的变化,以修正风险识别与评估。
(六)负责建立风险预警指标体系,要求各具体部门定期提供数据,进行指标分析;
对于超过风险预警值的指标,应确定相应的整改措施。
第五条
财务部门的风险评估
(一)负责建立流程识别和应对会计法规、准则、制度的变化,评估对会计信息的影响。
(二)负责建立沟通渠道和流程参与我行业务操作流程的变化,评估对会计核算的影响。
第六条
我行管理层主要职责为:
(一)审定我行各部门风险管理工作职责;
(二)批准风险应对预案;
(三)研究、确定我行重大风险事项及应对预案;
(四)审定内部审计部门提交的我行风险管理方面的报告,并报董事会审议。
第七条
董事会负责审议我行管理层提交的我行风险评估报告报告,批准风险管理其他重大事项。
第三章
风险评估的频率
第八条
风险评估每年至少进行一次,并根据实际需要增加评估的频率。
第九条
当出现下述情况时,应考虑重新进行风险评估:
(一)企业经营模式发生重大变动;
(二)企业所使用的信息技术发生重大变动;
(三)关键人员变动;
(四)企业所适用的会计准则发生重大变动;
(五)购并的发生、金融工具的使用等等涉及到复杂的会计处理要求的事项发生;
(六)其他。
第四章
控制目标的设定和传达
第十条
企业董事会应当按照战略目标,设定相关的经营目标、财务报告目标、合规性目标与资产安全完整目标,并根据设定的目标合理确定企业整体风险承受能力和具体业务层次上的可接受的风险水平。
第十一条
我行董事会应定期更新和修正我行的战略目标、经营目标、风险管理目标;
第十二条
我行管理层应向各部门清晰传达了我行的战略目标、经营目标和风险管理目标(如通过工作准备会等),并进行目标分解。
第十三条
我行企划部负责风险评估方案的制订,风险评估方案须经我行总经理办公会审批后执行,风险评估工作由企划部组建风险评估小组负责风险评估的具体工作。
第五章
风险识别
第十四条
我行各部门应当根据风险评估方案的要求,全面系统持续地收集相关信息,结合实际情况,及时进行风险评估,准确识别与实现控制目标相关的内部风险和外部风险。
第十五条
我行各部门在进行风险识别时,可以采取座谈讨论、问卷调查、案例分析、咨询专业机构意见等方法识别相关的风险因素,特别应注意总结、吸取企业过去的经验教训和同行业的经验教训,加强对高危性、多发性风险因素的关注。
第十六条
各部门及子我行应广泛、持续不断地收集与本我行风险和风险管理相关的内外部信息,包括历史数据和未来预测。
第十七条
我行识别内部风险,应当关注下列因素:
1.董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。
2.组织机构、经营方式、资产管理、业务流程等管理因素。
3.研究开发、技术投入、信息技术运用等自主创新因素。
4.财务状况、经营成果、现金流量等财务因素。
5.营运安全、员工健康、环境保护等安全环保因素。
6.其他有关内部风险因素。
第十八条
我行识别外部风险,应当关注下列因素:
1.经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。
2.法律法规、监管要求等法律因素。
3.安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。
4.技术进步、工艺改进等科学技术因素。
5.自然灾害、环境状况等自然环境因素。
6.其他有关外部风险因素。
第六章
风险分析
第十九条
我行各部门应当针对已识别的风险因素,从风险发生的可能性和影响程度两个方面进行分析。企业应当根据实际情况,针对不同的风险类别确定科学合理的定性、定量分析标准。具体如下:
表一:风险发生的可能性
程度
描述
说明
I
大致确定
事件可能在多数情况下发生
II
可能
事件有时可能发生
III
可能性不高
事件只在少数情况下可能发生
IV
罕见
事件仅在很少的情况下发生
V
极不可能
事件极少的情况下发生
表二:
风险的后果或影响
程度
描述
说明
1
微不足道
没有经济损失
2
轻微
轻微经济损失
3
中度
可以得到控制,经济损失不大
4
高度
经济损失较大
5
灾难性
经济损失巨大
第二十条
企业应当根据风险分析的结果,依据风险的重要性水平,运用专业判断,按照风险发生的可能性大小及其对企业影响的严重程度进行风险排序,确定应当重点关注的重要风险。
风险程度定性分析表
可能性
后果
微不足道
1
轻微
2
中度
3
高度
4
灾难性
5
大致确定
I
C
C
D
E
E
可能
II
B
C
C
D
E
可能性不高
III
A
B
C
D
E
罕见
IV
A
A
B
C
D
极不可能
V
A
A
B
C
C
注:
E
=
极高;要立刻停止有关工作,直到风险减低。在风险减低前有关工作须完全禁止进行。
D
=
高风险;要停止有关工作,直到风险减低。如有关工作现正在进行中,须提供有效监控及紧急应变程序。
C
=
中等风险;须规定有关管理职责及指引把危害控制,或在可行下进一步减低风险,如有关风险可能产生严重的危害,应作进一步危害评估及加强控制。
B
=
可接受的风险;按正常运作程序管理,在不影响成本下可作进一步改善。
A
=
微不足道的风险;无须作任何行动,按惯常运作。
第七章
风险汇总及应对预案
第二十一条
企业各部门应当根据风险分析情况,结合风险成因、企业整体风险承受能力和具体业务层次上的可接受风险水平,确定风险应对策略。风险应对策略主要包括风险回避、风险承担、风险管理和风险分担经营。
第二十二条
我行各部门应根据风险分析的结果编制风险清单,并制订相应的应对预案,风险清单、应对预案须报我行风险评估工作小组审核后,报总经理办公会审批。
第八章
风险评估报告及执行
第二十三条
我行风险评估工作小组负责编制风险评估报告,风险评估报告经我行总经理办公会审核后,报我行董事会审议。
第二十四条
风险评估报告应包括以下内容:1、风险评估的范围;2、风险评估的方法;3、风险清单;4、风险应对预案;
第二十五条
各部门应根据董事会批准的风险评估报告进行实施,对风险应对预案的执行情况进行实时监控,并及时反馈风险应对、解决的执行情况。
第二十六条
内部审计部门(或协同风险管理部门或小组)负责定期或不定期检查具体部门风险控制措施的实施、整改情况,形成检查记录。
第九章
附则
第二十七条
本制度未尽事宜,按国家有关法律、法规和我行章程的规定执行;如与国家日后颁布的法律、法规或经合法程序修改后的我行章程相抵触时,按国家有关法律、法规和我行章程的规定执行,并及时修订本制度,报董事会审议通过。
第二十八条
本制度由我行董事会负责解释。
第二十九条
本制度自我行董事会审议通过之日起实施。
大洼恒丰村镇银行
二〇一五年十月十六日
以科学发展为第一要务,以安全稳定为第一责任,从源头上预防、减少和消除安全生产重大决策事项影响社会稳定的隐患。
二、评估范围
安全生产重大决策事项社会稳定风险评估,是指在我市范围内制定或实施涉及较大范围人民群众切身利益的安全生产重大决策、重大政策、重大改革、重大项目、重大问题时,对可能出现的社会稳定风险实行先期预测、先期评估、先期化解,着力从源头上预防和减少不稳定因素,达到既利于促进安全生产工作,又能维护社会和谐稳定的目的。
安全生产领域开展社会稳定风险评估的重大决策事项包括:
1、安全生产重要规划编制、重点工程、重大投资项目设立和调整;
2、危化品建设项目安全许可、乙种危化品经营许可证、安全资格证书许可、职业卫生安全许可证核发等安全生产行政许可政策、许可方式的更改和调整;
3、企业安全生产标准化、长效管理等达标考核标准及相关政策的调整和实施;
4、安全生产责任保险、风险抵押金、安全生产费用提取等经济政策的调整和实施;
5、工矿商贸较大事故调查处理过程中可能出现的不稳定情况;
6、较大规模、较大数额的行政处罚、行政强制决定;
7、高危企业规划、布局、选址等重要决定;
8、高危企业“关停并转”过程中的安全生产状况;
9、市级安全生产应急救援演练、安全生产重大户外宣传活动;
10、安全资格证培训、特种作业操作证培训考核等有关收费政策的调整和实施;
11、其他涉及企业、人民群众切身利益的安全生产重大决策事项。
三、评估内容
(一)合法性评估。重大决策事项是否符合党的方针政策、国家法律、法规和规章,是否符合国家、省、市制定的规范性文件,政策调整、利益调节的法律政策依据是否充分,决策过程是否符合有关程序。
(二)合理性评估。重大决策事项是否符合科学发展观要求,是否符合近期和长远发展规划,是否兼顾群众的现实利益和长远利益,是否兼顾各方面利益群体的不同诉求,是否遵循公开、公平、公正原则。
(三)可行性评估。重大决策事项是否征求广大群众的意见和组织开展了前期宣传解释工作,是否符合本地经济发展的总体水平,是否具有相关政策可连续性和严密性,出台时机是否成熟,配套措施是否完善。
(四)可控性评估。重大决策事项是否可能引发严重影响社会稳定的问题,是否有应对可能出现的不稳定问题的对策措施和应急处置预案。
(五)其他可能影响社会稳定的相关因素的评估。
四、责任主体
安全生产重大决策事项社会稳定风险评估实行“谁主管、谁负责,谁决策、谁评估”。市安监局评估责任主体是:决策事项的提出科室、涉及多个科室的事项的牵头科室。难以确定责任主体的,由局主要负责人指定。
按照“属地管理”原则,涉及到各镇(区)和部门的安全生产重大决策事项,由各镇(区)和部门安全生产主管部门牵头实施评估。
五、主要程序
1、确定评估事项。评估责任主体认为存在较大社会稳定风险的,必须将其确定为需重点评估事项。
2、制定评估方案。责任主体单位要及时制订评估工作方案,明确指导思想、组织形式、工作目标、时间安排及具体要求。
3、论证可行性。由评估责任主体组织相关部门和专家、学者或委托有资质的第三方机构进行分析论证,科学预测。
4、形成评估报告。在全面汇总和分析论证的基础上,形成社会稳定分析评估报告,对该重大决策事项作出风险很大、有风险、风险较小或无风险的最终评价;依据风险评价结果综合考虑对重大决策事项的实施作出可实施、可部分实施、暂缓实施或不实施的建议。
5、制定工作预案。责任主体要将社会稳定分析评估报告报评估工作领导小组,领导小组由组长或副组长牵头召开风险评估审查会议,对重大决策事项的实施作出是否实施的决定,并对评估报告中的不稳定隐患制定调处化解和应急处置工作预案。
6、跟踪反馈落实。评估责任主体单位要对已经批准实施的决策事项要进行全程跟踪,对可能产生的不稳定因素,要采取有效措施化解矛盾。对可能出现的重大不稳定问题要制定应急预案,严防的发生。
六、保障措施
(一)加强组织领导。市安监局成立安全生产重大决策事项社会稳定风险评估工作领导小组,由局长任组长,分管领导任副组长,各科室和直属单位负责人为成员。领导小组办公室设在市安监局法规科,负责此项工作的综合协调工作。评估责任主体主管科室要切实把重大决策事项社会稳定风险评估作为维护稳定的基础性工作来抓,要做到不评估、不实施。
为配合《通知》要求,中国安全生产科学研究院(以下简称“中国安科院”)在广州、哈尔滨、天津等地开展了城市风险评估工作,查找城市风险源、加强风险源头治理,协助政府监管部门有的放矢地进行安全生产监管工作。
风险总体情况
2015年11月―2016年10月,经过近一年的调研,天津市滨海新区率先完成了城市风险评估工作,最终形成了《滨海新区城市安全风险评估报告》(以下简称《评估报告》)、《滨海新区城市安全风险电子地图》《滨海新区安全发展示范城市创建规划》《滨海新区创建安全发展示范城市实施方案》等成果。针对评估提出的问题和建议,滨海新区进行梳理,研究制定了《滨海新区城市安全风险评估报告涉及问题整治方案》,提出了19项问题、38条建议措施,并已针对部分项目开展了整治工作,预计将于2017年底完成全部整治。
自天津港“8・12”特别重大火灾爆炸事故(以下简称“‘8・12’事故”)发生后,滨海新区痛定思痛,及时启动风险评估。2015年11月,滨海新区政府与中国安科院签订了合作协议,共同成立了“滨海新区城市安全风险评估和城市安全规划工作领导小组”,有效推进城市安全风险评估的各项工作。
中国安科院组织7个调研组先后开展了9批次现场调研和3批次函件调研,涉及滨海新区辖区内的21个部门、18个街道(乡镇)、7个功能区、6个重点区域、天津港及大型中央企业。
通过收集滨海新区2010―2015年的事故统计资料,对其安全生产整体情况、不同行业领域、不同区域的安全生产情况进行了分析。
2010―2015年,滨海新区共发生各类生产安全事故768起,死亡1 061人,其中包括1起特别重大事故,即“8・12”事故。自2010年以来,各类事故起数总体呈下降趋势,2015年较2010年下降11.41%,死亡人数上升72.97%。
从事故行业类型来看,2010年以来,交通运输业死亡203人、占比59.01%,制造业死亡58人、占比16.86%,建筑业死亡55人、占比15.99%。即使不考虑“8・12”事故,上述三个行业依然是滨海新区生产安全事故多发的关键。
根据生产安全事故统计分析结果,调研组开始了现场调研评估工作。调研组将滨海新区城市安全风险划分为危险化学品工业风险单元、危险品运输风险单元、城市人员密集场所单元、城市其他风险单元进行评价,并将风险分级为一级特别高风险源、二级高风险源。
一级特别高风险源为个人风险或社会风险超出个人或社会容许标准的风险源,二级高风险源为一级以外构成危险化学品重大危险源的风险源。最终确认滨海新区存在一级特别高风险源企业30家,二级高风险源1 382家。
风险评估方法
以危险化学品工业风险单元评估工作为例。危险化学品工业风险源主要指危险化学品企业和涉及危险化学品的工业企业,主要包括危险化学品生产企业、危险化学品储存企业、涉氯企业、烟花爆竹仓库、加油站等目标。
通过查看资料及现场调研,发现滨海新区共有上述目标企业511家,在开发区、中塘镇、大港街、天津港地区的上述企业数量最多,共占全区企业数量的40.7%。风险评估辨识一级特别高风险企业17家,二级高风险企业120家,分别占全区的56.7%、8.68%。
调研发现,在危险化学品工业风险单元内,滨海新区的涉氨企业存在一级特别高风险源最多,为12家,占全部涉氨企业的17.4%,且其中8家位于寨上街。其他一级特别高风险源分别为危化品生产企业1家,位于大沽街;危化品经营企业1家,位于茶淀街;涉氯企业1家,位于塘沽街;烟花爆竹仓库2家,位于茶淀街和中塘镇。
从危化工业风险源潜在生命损失来看,塘沽街最高,占全区的19.73%,主要来源于天津塘沽中法供水有限公司新村水厂,由于其附近有河华里、长春里、福建里、碧海鸿庭等住宅区,一旦发生事故,最严重的可能导致7 000人死亡。
对以滨海新区辖区内企业为端点的危险货物运输规模进行统计,结果显示,滨海新区道路危险货物运输量约为3 148.39万 t(过路的有2 000多万 t)。按类别分,易燃液体、易燃气体和易燃固体道路运输量最大,占总道路危险货物运输量的84.16%;按区域分,天津港、临港经济区、海滨街等区域危险货物道路运输量最大,占总道路危险货物运输量的68.60%。
危险货物跨省际、跨区域的长距离运输主要选择高速公路,且原则上应该避免穿过人员密集场所。在滨海新区范围内,共有南北走向的海滨高速和长深高速及东西走向的京津高速、京津塘高速、京滨高速。
其中,海滨高速沿途经过南港危货运输集中区、临港危货运输集中区、天津港区、天津港南疆港^四大危货运输集中区,沿途还有很多零星企业分布。海滨高速在危货运输的过程中发挥了重要作用,承载的危货运输量十分巨大。
但海滨高速在南疆港区北侧越过海河后,途经住宅小区、体育场馆、商贸中心等人员密集场所,在临港经济区南侧路西途经天津塘沽机场(农用),且距离海滨大道的最小距离小于40 m,在到达这些目标前没有其他通路可以对这些集中区的危险货物进行分流,运输风险较大。当运输自来水厂用液氯钢瓶达到10 t时,其最大中毒半径可达到152 m。
结合火灾高危单位、火灾消防重点单位情况,在人员密集场所共辨识梳理出一级特别高风险13处,二级高风险1 262处。其中海滨街、大港街、开发区和塘沽街4个区域火灾潜在生命损失在全区处于较高水平,均超过1人/年。滨海街和大港街具有最高的个人事故死亡风险值和较多的人口数量;开发区虽然其个人风险值较低,但人口数量最多;塘沽街则是二者都处于较高水平。
问题与对策
城市风险评估结果表明,天津市滨海新区作为环渤海经济带和京津冀城市群的交汇点,人口规模和经济总量较大,生产经营单位众多,城市运行压力巨大,安全基础比较薄弱,正处于生产安全事故易发多发的高峰期,面临安全生产整体形势复杂、安全生产监管体制机制不到位、风险源管控仍需加强等3大类19项问题。
从调研过程中可以看出,当地中央企业、大型地方企业以及天津港集团在发展过程中存在大量企业办社会现象,由企业代行部分街道、政府的职能;目前行政管理职能正逐步向街镇移交,但由于政府人力、财力和监管水平的局限,移交过程缓慢,出现大量监管空白。
滨海新区部分区域还没有按照化工园区的模式管理,“化工围城”和“城围化工”的问题仍在不断发生并逐渐凸显。
大型易燃液体储罐、危险货物码头堆场、危险化学品管道、液氨液氯储罐等危险化学品生产、储存设施数量大且相对集中,发生重大事故的风险较高,企业分布范围广,缺乏针对危险化学品事故的专业应急装备储备库。
滨海新区危险货物道路运输量大,其安全管理涉及的环节多、部门多,各企业各单位的责任职责交叉,还不能实现危险货物运输信息采集的统一标准和集中平台。部门间信息不能互联互通,在实际监管中遇到信息掌握不全,监督执法手段缺乏,缺少危险化学品卸载基地和专业的滞留危险化学品运输车辆停车场,难以采取合理措施实施有效安全监管等。
针对上述问题,《评估报告》中提出了38条建议。
如:建议研究制定并落实天津港政企分离方案,落实天津港安全监管职责,加强天津港、海关、公安、市场监管等部门信息共享和部门联动配合,严格落实天津港区域内企业的安全监督管理,杜绝超范围、超量等违法违规经营,并严格港口危险货物堆场的安全准入条件。
针对滨海新区涉氨冷冻企业多的特点,建议推动全区涉氯企业开展安全设施强化和工艺升级改造工作,组织专家专题研究论证,为液氨装置加装紧急切断装置等安全设施、设备的可行性,减少液氨、液氯等有毒气体的使用,降低安全风险。
一、加强防雷安全隐患源头治理
我市位于黄河下游、平原,地处黄河三角洲腹地,属雷电活动多发区,境内危化行业众多,易燃易爆场所点多、面广,雷电灾害造成的生产安全事故时有发生,给人民生命和财产安全带来严重威胁。因此,各级各有关部门和单位务必引起高度重视,将雷电防护列入安全生产管理工作的重要内容,结合各自实际,严格落实有关制度和措施,切实做好防雷安全工作。各级气象主管机构要严格按照《省气象灾害防御条例》、《防雷减灾管理办法》、《防雷装置设计审核和竣工验收规定》、《省雷击风险评估管理暂行规定》等规定,进一步加强对新建、改建和扩建项目雷击风险评估、防雷设计图纸审核、工程施工监督和竣工验收工作的管理,真正从源头上消除雷电安全隐患。
二、严格防雷装置安全检测工作
防雷装置年度安全检测是防雷减灾工作的基础和关键环节。各企业要按照法律法规的要求,将防雷装置检测列入年度安全管理工作计划,认真执行防雷装置定期检测制度。各单位要在雷雨季节到来之前,认真排查雷电事故隐患,积极主动向各级防雷减灾机构申报年度安全检测,积极配合检测机构做好检测工作。防雷检查检测的重点是:《建筑物防雷设计规范》中规定的一、二、三类防雷建(构)筑物及附属设施,油库、加油站、化工企业等易燃易爆场所和重点防火单位,火车站、医院、商务楼、宾馆、商场、学校等人员密集场所,电力、金融、证券、通讯、广播电视等行业和单位的调度中心、通讯基站、计算机机房等。经检测存在防雷装置隐患的单位,应当落实整改资金,严格整改时限,及时消除事故隐患。
三、切实加强雷击风险评估工作
1.引言
近几年来,随着我国安全生产形势的变化及安全管理的发展,企业的应急管理工作受到越来越多的重视,政府部门在安全监管上对企业应急管理的要求已经发生了很大的变化。2013年10月1日,新的《生产经营单位生产安全事故应急预案编制导则》(GB/T29639-2013)出台并开始实施,标志着应急预案体系建设进入“从有到优”的新阶段,国家在对企业的应急管理工作方面已经将提升应急预案质量作为了工作重点。新《导则》针对目前我国很多企业在编制应急预案时缺少风险评估导致预案针对性、实用性不强这一问题,进一步规范了企业应急预案的编制程序,明确将“风险评估”作为应急预案编制步骤之一。
国家安全生产监督管理总局《关于印发2014年安全生产应急管理工作要点的通知》(应急综合[2014]4号)中进一步提出应急预案编制需深入开展危险因素辨识,注重将风险评估报告纳入备案内容。北京市安全生产监督管理局更是明确提出将生产经营单位事故风险评估报告作为应急预案备案审查的必要条件之一。由此可见,风险评估对应急预案编制的重要性。
目前,企业在编制应急预案时由于编制人员专业能力的限制,极少进行真正有效的危险源辨识和风险评估,在事故风险描述部分,均是凭主观经验对企业存在的风险进行宽泛的概述,在具体的应急预案编制上存在两个极端:一是不分主次,对所有危险源均编制相应的应急预案;二是与风险描述相脱节,仅编制一个综合应急预案。
企业编制的各种应急预案,最终均要形成一个系统的体系,包括综合预案、专项预案和现场处置方案,应急预案编制之初,“要编制哪些预案”是企业首先要解决的问题,不进行风险分析,盲目的对所有危险源均编制相应的应急预案,没有重点和主次,导致预案缺乏针对性、很多专项预案只是作为文本被束之高阁,而真正有用的专项预案也不能得到企业管理者和员工的重视,从而预案也就丧失了其有效预防、降低事故影响的作用。
针对此问题,笔者在近期做应急预案咨询工作的基础上,以某地勘企业为例,阐述通过风险评估从而进行应急预案体系优化的过程,探讨风险评估对应急预案编制的重要意义。
2.应急预案体系优化
2.1风险评估前的应急预案体系及缺陷分析
地勘企业属高流动分散的行业,其工作条件多变,环境恶劣,涉及的事故风险较多。进行风险评估前,企业仅凭经验对其存在的风险进行了概述,包括火灾、人身伤害事故(触电、高处坠落、物体打击、机械伤害、起重伤害、车辆伤害等)、野外作业事故(溺水、人员失踪等)、基坑坍塌、自然灾害等,并针对所有风险均编制了专项应急预案,应急预案体系如图1所示。
企业在专项预案中按照常规模板将火灾专项预案放在了第一位,在具体的预案中分析了办公室火灾、施工现场火灾等,但应急处置程序和措施并没有分情况进行编制,缺乏可操作性和针对性,而火灾事故对该企业来说并非多发事故;野外作业事故专项预案中分析了溺水和人员失踪,但是考虑到该企业的作业活动范围,人员失踪的可能性并不大;人身伤害事故专项预案力求涵盖所有可能发生的人身伤害类型,个体伤害类型和群体伤害等混在一起,没有分重点和主次,接下来的应急处置程序和措施的编制很难较好的进行;自然灾害专项预案中包含了暴雨、洪水、泥石流、地震等,而关于自然灾害方面,企业的主要职责是在灾害来临前做好防灾工作。图1的应急预案体系,针对性较差,并不能一目了然的让企业确定自身生产活动过程中的应急防范重点,具体实施起来很难起到很好的效果。
2.2风险评估
根据该地勘企业作业特点,选择作业条件危险性分析(LEC)法进行风险评估。通过对该企业历年的事故情况分析及对同类企业事故情况进行调研,以“以往事故发生频率”(曾经发生过、未发生过、经常发生、其他单位曾经发生过)这一指标来辅助确定相应的危害发生的可能性值,编制风险评估表(如表1所示),对企业主要生产活动(钻井施工作业、岩土施工作业、野外地质调查)进行风险评估,得出各类危险因素的风险度值,从而进行重要性排序。
2.3优化后的应急预案体系
依据风险评估结果,对原有应急预案体系进行如下几个方面的优化:
1)因野外地质调查作业各项危险因素的风险等级为“可能危险”,等级较低,因此无需单独编制专项预案。
2)企业钻井施工作业过程中,高处坠落和触电的危险等级最高,为“高度危险”,钻井施工中物体打击、机械伤害因发生频率高,达到“显著危险”,其次是起重伤害、车辆伤害等,因此得出人身伤害事故是企业应高度关注的风险,因此将人身伤害专项预案放在了第一位,并且编制高处坠落和触电现场处置方案。
3)岩土施工作业过程中基坑边坡失稳坍塌的风险等级为“高度危险”,触电、机械伤害风险等级为“显著危险”,因此岩土施工专项预案明确为基坑坍塌专项预案,其他风险的应对在人身伤害专项预案中已经包含。
4)自然灾害方面,根据企业的作业范围和特点,其直接遭受地震、泥石流、洪水的可能性并不大,最其作业直接有影响的是大风和雷电天气,因为将自然灾害专项预案确定为“防风、防雷专项预案”,重点针对大风、雷电天气进行预防,编制事故发生前的防范措施。
优化后的应急预案体系如图2所示,优化后的应急预案体系体现了企业的生产作业特点,也使后续的具体应急预案内容编制更具针对性。
3.结论
通过风险评估进行于应急预案体系优化这一过程,总结其对应急预案编制的意义主要体现在以下几个方面:
1)解决了企业“要编制哪些预案”的问题,企业的应急资源和能力是有限的,通过风险评估,对企业潜在的危险源进行梳理,评估出各类事故的风险等级,有针对性的对高风险的事故编制相应的应急预案才能最大的发挥应急预案降低事故损失的作用,针对性强了,企业的重视度就高了。
2)应急预案体系确定后,由于风险评估确定了各类危险源的具体风险等级或分志,企业在预案内容编制过程中,也能进一步突出主次和重点。
3)风险评估确定风险等级的同时,也提出了相应的预防和控制措施,可以使企业更清楚的了解到自身生产经营活动中潜在的各类事故风险,进而加强相应的安全管理,做到有的放矢。
4)风险评估是一个全员参与的过程,经过这样的一个过程增强了员工安全防范知识的同时,也会在一定意义上提高员工的安全意识。
参考文献
[1]GB/T29639-2013. 生产经营单位生产安全事故应急预案编制导则.
[2]樊运晓.应急预案编制实务――理论实践案例.化学工业出版社,2006.
雷电灾害风险评估是确保防雷安全的重要基础性工作之一,是运用科学的原理方法,对可能遭受雷电灾害的概率及雷电灾害产生后的严重程度进行分析计算,提出相应技术防范措施。因此,组织开展雷电灾害风险评估工作是依法履行防雷减灾管理职责的重要组成部分,也是防雷工程设计和施工最基本的科学依据。各级政府及有关部门要高度重视雷电灾害风险评估工作,各级气象和安全监管部门应把开展雷电灾害风险评估工作作为日常安全生产检查的重要内容,科学有效地预防和遏制雷击事故的发生。
二、全面做好雷电灾害风险评估工作
雷击风险评估作为社会公共安全保障的一项重要工作,涉及面广、责任重大,各有关部门要按照职责分工,加强协调配合,共同做好相关工作。各级气象主管机构要加强监督管理和指导,依法履行雷击风险评估工作的组织管理职责。各级发展改革、规划建设、安全监管等行政主管部门应当按照各自职责,协同气象主管机构做好雷击风险评估监督管理工作。承担雷电灾害风险评估工作的机构,必须根据委托单位的需要,客观、科学、准确地提供评估结果。评估范围内的业主单位、项目设计单位应主动配合雷电灾害风险评估机构做好雷击风险评估工作。
三、规范实施雷电灾害风险评估工作
在本市行政区域内的大型建设工程、重点工程、危险易燃易爆环境等建设项目,建设单位在项目可行性研究阶段,必须同步做好雷电风险评估工作,设计单位应当把雷电风险评估报告作为施工图的设计依据,根据报告要求、防雷技术规范和标准进行防雷装置设计,切实从源头把好防雷安全关,以确保社会公共安全。
(一)在本行政区域内应进行雷电灾害风险评估的建设项目包括:
1、城市桥梁、燃气、轨道、供水、供热等公共设施;
2、输电线路、变电站、发电厂等电力设施、电气装置;
3、石油、化工、矿山等易燃易爆物资和剧毒物质生产车间与仓储设施等爆炸危险环境;
4、医院、商场、学校、影剧院和体育馆等人员集中的公共场所;
5、城市火车站与铁路枢纽的主体工程;
6、重点建设项目及高层建筑(建筑高度≥米的建(构)筑物),建筑面积万平方米及以上的住宅小区;
7、高速公路的高架桥、Ⅱ类以上的机场;
8、其他应当进行雷击风险评估的重大建设工程。
承担雷电灾害风险评估工作的机构,必须依法取得相应资质证书,并严格执行建设工程雷电灾害风险评估技术规范等相关标准,对评估结论负责。
(二)雷电灾害风险评估工作的机构出具的评估报告应当包括下列内容:
1、建设项目概况;
2、基础资料来源及其代表性、可靠性说明,通过现场探测所取得的资料,还应当对探测仪器、探测方法和探测环境进行说明;
3、评估所依据的标准、规范、规程和方法;
4、建设项目所在区域的气候背景分析;
5、雷击风险性的评估,极端雷电事件出现概率;
6、预防或者减轻影响的对策和建议;
7、评估结论和适用性说明;
8、其他有关内容。
四、切实抓好防御雷电灾害安全责任制落实
我国是世界上受气象灾害影响最为严重的国家之一。气象灾害种类多、强度大、频率高,严重威胁人民生命财产安全,给国家和社会造成巨大损失。尽可能的降低气象灾害带来的生命财产的损失,是气象部门义不容辞的责任。为此,构建完善的雷电灾害风险评估信息管理系统,增强气象业务硬件、软件基础建设,提升防灾减灾和应对气候变化能力已迫在眉睫。本文介绍的基于多平台的雷电灾害风险评估信息管理系统正是致力于解决上述问题的。
1 研究现状
佛山市气象局已经有比较完善的信息化建设,防雷所在业务上也有非常明确的定位和管理流程。防雷所提供的服务项目主要是雷电风险评估、防雷装置设计技术评价和检测服务。服务范围主要包括:经地方城市规划部门核准的佛山市市属大型、重点工程项目,以及佛山市禅城区、佛山新城区域内工程项目(含新建、扩建、改建)的防雷装置设计技术评价和检测服务。
随着信息化的发展,以及防雷工程和防雷工程建设单位信息的大量增加,和海量的防雷设施台帐管理的要求,防雷所的信息化程度还有很多待提高的地方,尤其是在通过结合GIS等手段对建筑物防雷管理上,尚缺乏比较先进的手段。
2 系统建设目标
常见的虚拟机资源分配算法有基于市场导向的资源分配算法、启发式算法和基于云计算平台系统特征的分配算法。市场导向的资源分配方法是根据用户对虚拟机资源的需求和自由市场竞争有很多相识之处,将市场中的资源分配算法应用到虚拟机资源的分配中。启发式算法是指在可承受的计算时间和空间下,给出待解决问题的一个可行解。
2.1 实现防雷评估业务流程电子化
结合雷电灾害风险评估工作,使办事流程电子化。通过对电子化流程的优化、构建与管理,将防雷所与不同建设单位、不同职责、不同专业的工作和人员串联起来,理顺工作流程,降低成本费用,提升服务水平,达到了运行有序和效率提高。
2.2 建立雷评项目电子档案库
越来越多的需要实施防雷工程的建筑,要求防雷所建立一个直观,方便的档案库,便于准确的把握每一栋建筑的防雷工程信息、防雷设置评估信息和防雷设置管理责任人信息。
2.3 建立评估报告标准模板库
对各类雷评报告相同或相似的信息片段及格式进行提取,制作成各种不同报告模板,评估人员撰写雷评报告的时候,可以快速方便调取相类模板创建雷评报告书,从而提升人员工作效率,降低书写出错情况。
2.4 建立防雷项目GIS信息库
佛山市需要建设防雷设施的建筑物越来越多,通过建立基于GIS的防雷工程项目和建筑物防雷设施的信息中,便于防雷所对所辖区域内的防雷工程进行高效,直观的管理。
3 系统设计
3.1 系统业务边界
根据系统建设目标设定以下系统边界模型。根据图1所示,整个系统分成两个子系统:雷评业务管理子系统和雷评申请及跟踪子系统。系统的参与者包括防雷所业务人员、防雷工程建设单位。
雷评业务管理子系统主要提供雷评估项目管理和审批,雷评报告生成及归档与费用核算管理,报告模板库,雷评知识库对外宣传等功能。
3.2 系统建设总体框架
总体框架是按照分层的思想加以设计和实现,分层的体系结构能够很好的实现系统建设任务的分解,以便整个系统的建设任务能够在明确接口定义的基础上进行并行建设,以缩短整体的建设周期。同时,在接口保持不变的前提下,分层的体系结构还能保证系统对各层基础技术的发展具有良好的适应性。并且较好的体现以数据获取和整合为核心,以监督管理服务能力建设的功能定位。系统框架图如图2所示。
系统总线将实现“企业登记”、“雷评管理”、“费用核算”、“GIS建筑防雷台账”、“雷评知识库”等几个模块的数据和业务整合,构建新的基于SOA的业务服务,可以确保系统具有高的可用性和扩展性。
3.2.1 雷电风险评估业务申请系统
佛山市防雷所外网主要提供在线提交防雷工程评估申请、查询评估业务办理进度、防雷评估报告调阅;公众上网人员可以在线浏览防雷知识库的文章、在线观看防雷教育视频等。
3.2.2 雷电风险评估移动应用系统
提供支持iPhone、Android的移动应用系统,给防雷工程建设单位查询工程办理进度,调阅雷评报告,业务信息通知等功能。工程相关人员也可以通过移动应用系统查阅项目各种报告。
3.2.3 雷电风险评估微信门户
微信作为当前比较流行的公众信息服务入口,本系统面向公众的所有服务信息都能够通过雷电风险评估微信门户公众号对外提供服务。同时,通过公众服务号实现与使用者的互动,提供各种防雷产品服务。
3.2.4 雷电风险评估业务管理系统
防雷所的内部业务系统,根据防雷所雷评实际业务范围确定,由雷评工程业务管理,GIS建筑防雷台帐、报告模板库、费用核算管理和防雷知识库的宣传与等模块组成。
3.2.5 基础设施
业基础设施包括应用支持层、企业总线、中间层、数据持久层、基础设施层几部分,为上层各业务子系统提供技术应用上的支持。
3.3 雷评综合业务管理系统
综合业务系统包括企业登记,雷评管理,费用核算,报告模板库,档案管理,防雷项目GIS展示系统,统计报表,系统用户几大模块。通用架构如图3所示。
3.4 雷评移动/微信客户端
雷评移动/微信客户端包括企业认证,项目进度查询,报告资料调阅,雷评知识库,消息推送功能,雷评移动客户端如下图4所示。
4 系统技术架构
根据系统总体设计指导方针以及技术标准规范,并充分考虑到应用集成、应用支持等因素,业务应用系统设计体系架构设计如图5所示。
5 结语
本项目在设计过程中,充分考虑业主方的使用需求,通过软件系统的流程化管理规范雷电灾害风险评估技术服务的执行过程,使用报告内容的片段和模块化数据处理手段完成报告有效内容的复用,可切实地提高雷电灾害风险评估技术服务的质量和效率。考虑到日后移动办公和业务整合的可能性,已预留服务端和移动端的多种技术接口,在本系统稳定运行的基础上,可以根据日后业务需求的变化,方便地接入新的功能模块,如实现远程办公、移动端采集现场数据、提供对接门户网站、公共平台的模块化服务等。
参考文献:
1. 引言
随着信息技术的飞速发展,关系国计民生的关键信息资源的规模越来越大,信息系统的复杂程度越来越高,保障信息资源、信息系统的安全是国民经济发展和信息化建设的需要。信息安全的目标主要体现在机密性、完整性、可用性等方面。风险评估是安全建设的出发点,它的重要意义在于改变传统的以技术驱动为导向的安全体系结构设计及详细安全方案的制定,以成本一效益平衡的原则,通过评估信息系统面临的威胁以及脆弱性被威胁源利用后安全事件发生的可能性,并结合资产的重要程度来识别信息系统的安全风险。信息安全风险评估就是从风险管理角度,运用科学的分析方法和手段,系统地分析信息化业务和信息系统所面临的人为和自然的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,以防范和化解风险,或者将残余风险控制在可接受的水平,从而最大限度地保障网络与信息安全。
2.网络信息安全的内容和主要因素分析
“网络信息的安全”从狭义的字面上来讲就是网络上各种信息的安全,而从广义的角度考虑,还包括整个网络系统的硬件、软件、数据以及数据处理、存储、传输等使用过程的安全。
网络信息安全具有如下6个特征:(1) 保密性。即信息不泄露给非授权的个人或实体。(2)完整性。即信息未经授权不能被修改、破坏。(3)可用性。即能保证合法的用户正常访问相关的信息。(4)可控性。即信息的内容及传播过程能够被有效地合法控制。(5)可审查性。即信息的使用过程都有相关的记录可供事后查询核对。网络信息安全的研究内容非常广泛,根据不同的分类方法可以有多种不同的分类。研究内容的广泛性决定了实现网络信息安全问题的复杂性。
而通过有效的网络信息安全风险因素分析,就能够为此复杂问题的解决找到一个考虑问题的立足点,能够将复杂的问题量化,同时,也为能通过其他方法如人工智能网络方法解决问题提供依据和基础。
网络信息安全的风险因素主要有以下6大类:(1)自然界因素,如地震、火灾、风灾、水灾、雷电等;(2)社会因素,主要是人类社会的各种活动,如暴力、战争、盗窃等;(3)网络硬件的因素,如机房包括交换机、路由器、服务器等受电力、温度、湿度、灰尘、电磁干扰等影响;(4)软件的因素,包括机房设备的管理软件、机房服务器与用户计算机的操作系统、各种服务器的数据库配置的合理性以及其他各种应用软件如杀毒软件、防火墙、工具软件等;(5)人为的因素,主要包括网络信息使用者和参与者的各种行为带来的影响因素,如操作失误、数据泄露、恶意代码、拒绝服务、骗取口令、木马攻击等;(6)其他因素,包括政府职能部门的监管因素、有关部门对相关法律法规立法因素、教育部门对相关知识的培训因素、宣传部门对相关安全内容的宣传因素等。这些因素对于网络信息安全均会产生直接或者间接的影响。
3.安全风险评估方法
3.1 定制个性化的评估方法
虽然已经有许多标准评估方法和流程,但在实践过程中,不应只是这些方法的套用和拷贝,而是以他们作为参考,根据企业的特点及安全风险评估的能力,进行“基因”重组,定制个性化的评估方法,使得评估服务具有可裁剪性和灵活性。评估种类一般有整体评估、IT安全评估、渗透测试、边界评估、网络结构评估、脆弱性扫描、策略评估、应用风险评估等。
3.2 安全整体框架的设计
风险评估的目的,不仅在于明确风险,更重要的是为管理风险提供基础和依据。作为评估直接输出,用于进行风险管理的安全整体框架。但是由于不同企业环境差异、需求差异,加上在操作层面可参考的模板很少,使得整体框架应用较少。但是,企业至少应该完成近期 1~2 年内框架,这样才能做到有律可依。
3.3 多用户决策评估
不同层面的用户能看到不同的问题,要全面了解风险,必须进行多用户沟通评估。将评估过程作为多用户“决策”过程,对于了解风险、理解风险、管理风险、落实行动,具有极大的意义。事实证明,多用户参与的效果非常明显。多用户“决策”评估,也需要一个具体的流程和方法。
3.4 敏感性分析
由于企业的系统越发复杂且互相关联,使得风险越来越隐蔽。要提高评估效果,必须进行深入关联分析,比如对一个老漏洞,不是简单地分析它的影响和解决措施,而是要推断出可能相关的其他技术和管理漏洞,找出病“根”,开出有效的“处方”。这需要强大的评估经验知识库支撑,同时要求评估者具有敏锐的分析能力。
3.5 集中化决策管理
安全风险评估需要具有多种知识和能力的人参与,对这些能力和知识的管理,有助于提高评估的效果。集中化决策管理,是评估项目成功的保障条件之一,它不仅是项目管理问题,而且是知识、能力等“基因”的组合运用。必须选用具有特殊技能的人,去执行相应的关键任务。如控制台审计和渗透性测试,由不具备攻防经验和知识的人执行,就达不到任何效果。
3.6 评估结果管理
安全风险评估的输出,不应是文档的堆砌,而是一套能够进行记录、管理的系统。它可能不是一个完整的风险管理系统,但至少是一个非常重要的可管理的风险表述系统。企业需要这样的评估管理系统,使用它来指导评估过程,管理评估结果,以便在管理层面提高评估效果。
4.风险评估的过程
4.1 前期准备阶段
主要任务是明确评估目标,确定评估所涉及的业务范围,签署相关合同及协议,接收被评估对象已存在的相关资料。展开对被评估对象的调查研究工作。
4.2 中期现场阶段
编写测评方案,准备现场测试表、管理问卷,展开现场阶段的测试和调查研究阶段。
4.3 后期评估阶段
撰写系统测试报告。进行补充调查研究,评估组依据系统测试报告和补充调研结果形成最终的系统风险评估报告。
5.风险评估的错误理解
(1) 不能把最终的系统风险评估报告认为是结果唯一。
(2)不能认为风险评估可以发现所有的安全问题。
(3) 不能认为风险评估可以一劳永逸的解决安全问题。
(4)不能认为风险评估就是漏洞扫描。
(5)不能认为风险评估就是 IT部门的工作,与其它部门无关。
(6) 不能认为风险评估是对所有信息资产都进行评估。
6.结语
总之,风险评估可以明确信息系统的安全状况和主要安全风险。风险评估是信息系统安全技术体系与管理体系建设的基础。通过风险评估及早发现安全隐患并采取相应的加固方案是信息系统安全工程的重要组成部分,是建立信息系统安全体系的基础和前提。加强信息安全风险评估工作是当前信息安全工作的客观需要和紧迫需求,但是,信息安全评估工作的实施也存在一定的难题,涉及信息安全评估的行业或系统各不相同,并不是所有的评估方法都适用于任何一个行业,要选择合适的评估方法,或开发适合于某一特定行业或系统的特定评估方法,是当前很现实的问题,也会成为下一步研究的重点。
参考文献:
[1] 刚 , 吴昌伦. 信息安全风险评估的策划[J]. 信息技术与标准化 , 2004,(09)
[2] 贾颖禾. 信息安全风险评估[J]. 中国计算机用户 , 2004,(24)
[3] 杨洁. 层次化的企业信息系统风险分析方法研究[J]. 软件导刊 , 2007,(03)
做好工程项目的风险评估对保险人和被保险人都具有十分重要的意义,良好的风险评估能够使被保险人充分认识存在的风险,对项目风险可能造成的损失程度能够有一个全面的了解,以至于可以采取相应的措施防止和减低风险。同样对于保险人而言,通过风险评估可以确定是否能够接受被保险人的投保要求,厘定合理的承保方案与费率,并对工程项目进行合理的风险管理工作,可以说风险评估对于保险人来而言是所有承保工作中的基础工作,其意义可见一斑。
在工程风险评估中,最主要的目的是客观的、专业的分析工程项目的风险情况,明确工程存在哪些方面的风险以及这些风险可能导致的损失程度,并结合工程的风险状况拟定合理完善的风险管理建议。
二、风险评估的主要步骤和方法。
风险评估的首要任务就是要对工程的风险进行定性和定量的分析,其中最重要的部分就是风险识别与风险分析。在风险识别过程中,保险人可以通过如下几种方式对工程项目做一个初步的了解:
1、查阅工程项目相关资料。一个工程项目涉及的信息和资料非常庞大,风险评估时,应利用建设单位在规划和设计过程中的大量有效数据和资料对工程项目的初步情况做一个全面和系统的了解。主要应查阅的资料包括:工程可行性研究报告、工程承包合同、承包金额明细表、工程设计书、工程进度表、地质水文报告和工地略图等。
2、现场查勘。工程建设是一个十分专业的过程,对于大型复杂的工程项目往往需要聘请专业的技术人员协助对工地进行现场查勘。在这个过程中,风险评估人员需要提前与聘请的工程师做好准备工作,拟定详细的现场勘查计划,根据工程保险方案的具体需要,带着问题进行有计划有针对性的勘查。
在勘查过程中应当以聘请的工程师为主,提出需要重点了解的专业技术问题,评估人员协助做好摄像、拍照、绘图、记录等工作。
3、与工程有关人员进行会谈。在情况允许和条件成熟的基础上,评估人员应当尽可能的与工程相关人员进行会谈。其中重点包括:业主、设计方、承包人、监理人、贷款银行等的主要项目负责人和技术负责人。通过与这些有关人员的会谈,不仅可以更详细的了解工程本身的情况,还可以捕捉一些其他的相关信息。
通过上述步骤掌握到了工程的基本资料和情况之后,接下来就应该对收集的资料进行专业和系统的筛选分析。在这个过程中主要的步骤包括:整理相关资料、对风险进行分类并做定量分析、对照风险调查表逐一分析风险以及确定最大可能损失。
在这些步骤中,最为关键和重要的是对风险进行分类并做定量分析。在一个工程项目中不同的风险具有不同的特征,对工程所能造成的影响也不相同,所以风险分析的第一步是风险分类。
在工程项目建设过程中主要存在以下几类风险:1、直接物质损失风险,指对工程项目本身,包括已建、在建、设备材料、施工机具、工地已有财产造成直接损失的风险。2、间接损失风险。3、预期收入损失风险,是指不能按期完工导致预期收入损失的风险。4、责任损失风险,包括由于过失和疏忽导致第三者人身伤亡和财产损失依法应承担的经济赔偿责任。
在风险识别与分类的基础上,需要对工程风险进行量化分析,量化分析就是确定风险事故发生的概率和可能造成的损失程度,从而可以判断出哪些属于工程的主要风险,哪些属于次要风险。
量化分析的核心是确定损失概率和损失幅度。损失概率通俗的来讲就是损失发生的可能性。损失概率主要包含了二层内容,第一就是在某一个时间段里面项目遭受损失的次数。例如,一个大坝施工,大坝设计的抗洪能力是50年一遇,但是施工中的围堰设计是5年一遇,分析就可以看出在施工中的损失概率大大高于完工时的损失概率,同样对于这个大坝在雨季施工的损失概率大大高于旱季施工时的损失概率。另外一个与损失概率相关的内容就是在风险事故中可能遭受损失的风险单位的比例。例如,在一个大坝的工程中,洪水可能导致损失的工程占总工程的80%,而在一栋办公楼建设中,洪水可能导致损失的工程量比例只占40%,就可以分析洪水这一风险对于大坝工程比对于房建工程的损失概率要大得多。损失概率的重要理论基础是统计理论与大数法则,因此在分析过程中,应当以大范围内,周期性的同质风险作为依据。
量化分析的另一个重要指标就是损失幅度。损失幅度指发生事故可能导致的最大损失。损失幅度的估测指标也包括两方面,第一是估测一个风险单位在每次事故中最大的潜在损失,第二是在一定时间内风险事故所造成的损失额。
明确损失概率和损失幅度对于清醒的认识工程风险,有效进行风险管理意义十分重大,因为在工程项目中有关风险防范都是围绕着这两个因素而展开的,例如,在一个项目中,一定要考核合格的施工人员才能进场施工,就是降低损失概率发生的措施,而在施工中必须要戴安全帽、施工时要拉安全网等措施,就是减少损失幅度的方法。
三、工程风险评估的主要内容。工程风险评估的主要对象和内容包括如下几个方面:
1、工程项目本身。主要是指在建工程、机器设备、建筑材料等。在建工程主要从工程施工过程去评估,重点关注在建项目属于何类项目、采用何种施工工艺,设计方法和施工工艺是否成熟等方面。例如,目前国内许多大跨度结构以及高层和超高层建筑,都已经达到国际领先的水平,这些工程的施工工艺大部分都是没有先例和经验的新工艺,设计也是采用的概念设计,这些施工和设计本身就是一种尝试,存在一定的风险,此时就需要去评估这些新的工艺和技术是否存在一定的理论根据,是否经过研究和论证。
在工程项目中机器设备包括两部分,一是工程项目自身的设备包括电梯、空调、配电供水设施等。二是工程中使用的施工机具和设备。评估第一类机器设备风险特别要注意采购合同,不同的采购合同对设备安装工作风险承担的规定不同,有的合同只提供设备不负责安装,也不承担安装风险,有的是提供指导安装,只承担部分安装风险,有的就全部负责安装,风险也由供应商承担。所以在评估是需要对供应商提供的技术参数、安装指南、质量保证、索赔合同等进行认真仔细的分析。对于施工机具和设备的评估关键是评估作业环境和条件,还有施工操作人员的技术和经验。
2、与工程项目相关的组织和个人,重点是业主、承包商和监理单位。业主是工程项目的的主要关系人,也是风险损失的最终承担者,所以在风险评估时应当考虑业主对工程风险及风险管理的认识和态度、对承包商和监理单位的管理能力和经验、对施工现场的监督能力、对建设资金的筹备满足能力。
承包商是建设项目的具体实施者,在风险评估中重点是评估承包商的资质,目前建设部根据建设业绩、人员素质、资本金和固定资产、设备能力、年完成产值等方面的因素划分了不同级别的资质等级,不同的资质允许承接的工程级别也不同。但是,也不能过于盲目的依赖资质的考察,应当还注意结合了解承包商实际的人员、技术、设备、经验和管理等情况,通过现场调查和与相关人员洽谈,判断是否与其资质相符合。
随着我国工程建设管理制度的规范和完善,监理在工程建设过程中的地位和作用也越来越突出。对于监理单位的风险评估主要是考察技术、管理和信用。考察监理单位是否有足够的合格监理技术人员,因为在施工现场监理的职责就是及时发现施工过程中存在的问题并提出针对性的改进意见,所以要求监理人员要有良好的理论水平和丰富的实践经验。在管理方面考察的重点是监理单位的内部制度和内控能力;信用方面则是考察监理单位的诚实信用程度。
3、工程项目所处的环境。因为工程项目通常处于一个开放的场所,涉及周围环境较广,所以在风险评估中应当注意的环境因素包括:工程所处地的气候、地质、社会和法律环境。
气候环境对工程建设项目的影响最为突出。因为工程建设是一个从无到有的过程,整个工程裸露于周围环境之中,建设期间抵御外界气候影响的能力较弱。在对气候环境的评估中,应根据不同的项目、不同的地理位置特点进行不同的分析。譬如,在沿海地区应重点注意台风和暴雨,在北方应注意冻害和龙卷风;而水库、大坝应重点评估雨季、洪水期到来的时间。
地质环境因素是一个最隐秘、最复杂的因素,也是值得重点评估的一个因素。因为大部分的项目都会设计基础工程,在基础工程中,无论是基坑开挖还是打桩埋桩都与地质环境息息相关。譬如,隧道、地铁都是大面积、大工程量的开挖项目,高层建筑、大型桥梁都是需要进行深基础施工的项目。在地质环境因素里面特别值得注意的地质条件有:地下水位情况、地下土层土质情况、持力层深度、溶岩地质情况、地基冻融条件情况等。
社会环境因素是一个综合因素,包括人文因素、治安因素等。建设项目在所处当地的社会环境中进行,不同的社会环境会产生不同的影响。例如当地的治安状况不良,就可能增加设备和物资的盗窃风险,如果工地周围人员较多、建筑物管线密布,将会对第三者责任风险产生较大影响。
法律环境是指项目所处地的法制水平,这方面的因素包括法律体系的完善与否、司法制度和监督机制的健全程度,还包括在当地法律环境下周围居民或企业的法制观念与意识。法律环境的评估主要考虑是否可能会产生针对第三者责任的侵权责任人,如环境责任等。
一、研究背景
在全球经济一体化的大背景下,企业间的国际竞争加剧,面临的风险也更加多样化。金融危机的发生导致很多企业成了金融危机时代的牺牲品。我国企业想要在激烈的竞争中生存并且健康发展,必须提高企业竞争力,从内部完善自己,加强企业管理,建立完善的内部控制制度,找到适合我国企业的内部控制和风险管理制度,识别和衡量企业面对的内外风险以提高企业的竞争能力,实现企业的价值已成为了企业当前最迫切的任务。风险评估是内部控制的重要组成部分,2006年,财政部、证监会等五部委联合的《企业内部控制基本规范》中指出:企业建立与实施有效的内部控制,应当包括内部环境、风险评估、控制活动、信息与沟通、内部监督这五要素。其中,风险评估是指企业应当及时识别、系统分析经营活动中与实现内部控制目标相关的风险,并合理确定风险应对策略。若企业不能及时识别风险及其可能带来的影响,及时调整企业的战略方向,则可能错过化解风险的最好时机,不能避免风险所带来损失的扩大,增加企业陷入财务或经营困难的可能性。当前信息技术发展迅速,逐渐成为促进经济发展和社会进步的巨大推动力,信息技术在会计、审计等方面均有广泛的运用,提高了信息采集、交换、处理、存储的准确性和效率。信息技术的发展也为内部控制提供了支持平台,特别是内部控制风险评估方面,其他相关信息系统所产生的数据为风险评估带来大量有用的信息,通过将风险评估与信息化结合,能够实现对企业风险变化的实时观测与控制,并利用风险信息的变化情况对企业的未来财务形势做出合理的预测,提高企业的管理水平。本文基于以上背景,探讨信息化环境下内部控制风险评估系统的构建。
二、内部控制风险评估信息系统的优势
内部控制风险评估系统是采用现代信息技术,对风险评估流程进行重整,使信息技术与风险评估系统高度融合,使风险评估过程高度自动化,信息高度共享,并且能够进行主动和实时报告风险评估信息,迅速提高企业的现代管理水平、满足现代企业管理需要。将信息化运用在内部控制风险评估上主要有以下优势:(1)实时监测。信息化内部控制风险评估使得实时检测成为可能,当经过某个时间点或约定的事项发生时,可以马上触发系统的运行,进行新一轮的风险评估,不需要人工检测,减少了人力的耗费,并且当风险评估的结果超过风险临界值时,系统会迅速反应,将问题报告提交给相关人员,帮助以最快的速度采取应对措施,防止因反应不及时导致风险加剧,降低损失扩大的可能性。(2)信息高度共享。信息化内部控制风险评估所用数据可以来自企业其他信息系统的数据库中,实现与现有信息系统的数据库对接,提高信息的利用率。在风险评估时不需要重新收集风险评估相关数据,避免在信息采集、存贮和管理上重复浪费,大大减轻了工作量,节约成本,并且避免了相关数据更新后风险评估系统没有及时得到最新数据的可能性。(3)决策支持。内部控制风险评估系统在运行时会产生大量的风险评估数据,这些数据可以为管理者提供决策支持,管理者通过对这些大量的风险评估数据进行数据挖掘,能够发现潜在有用的数据,发现异常情况,判断风险数据的变化过程,及时做出正确有效的决策。
三、内部控制风险评估系统的构建
构建内部控制风险评估系统需要一系列的步骤,首先应该设立风险评估的指标体系,并分别设置指标体系的权重,确定重点关注的风险,设置整体风险的临界值。之后进行风险的评估过程,获取所需要的数据,进行实时评估,生成评估报告并存档,当评估中出现重要指标或整体指标超过临界值时,生成预警报告,提交给相关人员,相关人员在进行风险控制活动之后,将整改报告提交给系统。内部控制风险评估系统的大致过程如下图所示:
1.建立指标体系。要进行风险评估,首先应该纵观企业生产经营活动的全过程,发现、认识和了解企业存在的各种风险以及风险可能带来的严重后果.财政部、证监会等五部委联合的《企业内部控制基本规范》中指出:企业识别内部风险,应当关注管理因素、人力资源因素、财务因素、安全环保因素、自主创新因素、其他有关内部风险因素这六大因素。因为安全环保因素不易于定量研究,并且安全环保因素对我国企业的生产经营风险的影响尚不明显,本文在建立指标体系中以企业外部经济环境安全因素替代安全环保因素,采用了反映企业管理因素、人力资源因素、财务因素、自主创新因素、企业外部经济环境安全因素、其他风险因素等相关财务指标体系进行评估。企业会计准则对企业会计信息质量提出八点要求,即企业财务信息具有可靠性、相关性、可比性、可理解性、实质重于形式、谨慎性、重要性、及时性的特征。以财务指标作为评估企业风险的依据,使评估结果更为合理、公允。本文对于各个一级指标,均设立了二级指标对一级指标进行细分。本文建立的风险评估财务指标体系如下表所示:
(1)管理因素评估指标构建
(2)人力资源因素评估指标构建
(3)财务因素评估指标构建
(4)自主创新因素评估指标构建
(5)外部经济环境安全因素评估指标构建
(6)其他风险因素评估指标构建
对于每一个指标,企业可以根据自己的情况进行下一级别的细分或者增设、删除其他的指标,来改变风险评估指标体系的结构和内容,以使得风险评估指标体系更加适合于企业的具体情况
2.风险评估,输入权重、风险临界值。风险评估指标体系的衡量指标的具体数值可以通过两种方式获得:通过数据库读入或者手工输入。企业在信息化的实施过程中使用各种信息系统,例如管理信息系统、企业信息系统、企业资源规划系统等。这些系统在运行过程中会产生大量的数据,有一些数据可以直接为风险评估所使用。例如,在评估应收账款风险时,要使用应收账款周转率、坏账比例、商品赊销比例、客户信用等指标,这些指标的具体数值可以通过会计信息系统以及客户关系管理系统获得,通过读取会计信息系统、客户关系管理系统的数据库,可以得到实时数据,进行实时风险评估。输入权重,要根据企业的具体情况来确定企业对风险的可接受程度,设立风险临界值。风险临界值的确定要根据行业性质、规模、特点及同行业相关指标的平均值、估计最大值、估计最小值等因素分为整体风险临界值和个别风险临界值,整体临界值为根据各个指标风险可接受程度加权算得,个别风险临界值是根据个别指标的风险可接受程度来设置各自的临界值,对于个别会带来严重后果的重要指标,要筛选出来进行独立观测。读取了所需数据之后,就可以按风险评估指标体系以及权重数值来计算整体风险以及个别重要指标的风险。将整体风险和个别重要指标的风险的计算结果生成一定格式的文档,储存在风险评估系统的数据库中,以便随时查看并分析风险变化的过程,更好的掌握整体风险和重要指标风险的变化趋势,做出预测分析,评估未来风险状况及其可能产生的影响,以便制定切实可行的风险战略、措施与方法。计算出整体风险和重要指标风险之后,要分别将其与各自的临界值进行对比,若整体风险数值大于整体风险临界值,则进行风险报警,将风险报告提交给相关人员;若重要指标风险数值大于重要指标风险临界值,也需进行风险报警,将风险报告提交给相关人员;若整体风险数值以及重要指标风险数值均小于风险临界值,则再进入下一轮的风险评估或当外界条件改变时触发新一轮的风险评估。
3.控制活动。相关人员在收到风险报告之后,根据风险报告中的风险指标、风险数值偏离风险临界值的程度来确定风险严重程度,并采取相应风险控制措施和方法,消灭或控制风险事件发生的源头,控制风险事件造成的损失以及范围。在控制活动完毕之后,出具相关报告,将报告提交给风险评估系统,作为文件存档,以便之后随时查阅并总结规律,提高风险评估与控制的水平。
四、总结
风险评估是企业经营管理的重要组成部分之一,本文结合2006年出台的《企业内部控制规范》的要求以及前人的研究成果,探讨了在信息化的环境下内部控制风险评估系统的构建,对内部控制风险评估系统的各个环节进行了分解,并详细分析了各个流程的具体实现方式,试图建立一个内部控制风险评估系统的框架,实现对企业风险变化的实时观测与控制,利用风险信息的变化情况对企业的未来财务形势做出合理的预测,提高企业的管理水平。
参考文献
[1]王立勇,张秋生.企业内部控制中的风险评估研究[J].交通财会.2002(2)
[2]关艳丽.用ERP增强企业内部会计控制[J].宁夏机械.2007(3)
[3]郝林毅.基于内控风险的财务预警警兆识别系统初探[J].科技创业.2008(8)
[4]李雅琴.基于风险管理的企业内部控制探析[J].会计之友.2009(7)
[5]鲍建青.基于风险管理的内部控制研究[J].经济师.2009(10)
[6]杜国栋.企业内部控制与风险管理解析[J].经济研究导论.2010(2)