前言:我们精心挑选了数篇优质企业安全风险评估报告文章,供您阅读参考。期待这些文章能为您带来启发,助您在写作的道路上更上一层楼。
关键词:注册会计师 风险评估 风险管理 内部控制
一、引言
2010年美国公众公司会计监督委员会(Public Company Accounting Oversight Board,PCAOB)通过了新的审计准则(审计准则第8号至第15号),以规范审计师对审计风险的评估和反应。目的是监督公众公司的审计师编制信息量大、公允和独立的审计报告,以保护投资者利益并增进公众利益。在PCAOB此次行动之前,不断有人发出强烈的信息,让审计职业人员在风险管理中扮演更积极的角色。而且PCAOB早在两年前就已经提出了实施具体风险评估准则的信息,这些准则旨在解决从最初计划到结果评估的审计过程问题。这些新准则是在审计促进成熟风险评估中非常重要的一步,可以把审计师未能发现的重大错报事故风险降到最小。PCAOB执行主席丹尼尔・格尔泽尔说一旦这些标准被采用,在审计财务申明中发现,适当计划以及实施审计以解决这些风险问题以增强投资者的信息是非常重要的。这些审计标准包括:审计风险、审计计划、审计参与监督、计划执行审计中的思考、重大错报事故的确认与评估、审计师对重大错报事故的回应、评估审计结果以及审计证据。它们贯穿了从初始计划阶段到审计结果评估的整个审计流程。PCAOB主席丹尼尔・高泽(DanielL,Goelzer)说:这些新准则的出台意味着在促进精密的审计风险评估与将审计人员未能发现重大误报的风险降至最低方面迈出了重要一步。识别风险,并通过正确地审计计划和开展审计活动来应对风险,对于提升投资者对经审计财务报表的信心是至关重要的。
二、风险评估、企业风险管理与审计风险
(一)注册会计师风险评估 风险导向审计的核心是审计风险,任何审计业务都必须将审计风险控制在可接受的风险水平内。因此风险导向审计要求注册会计师加强对被审计单位及其环境的了解,在审计的所有阶段都要实施风险评估程序,并将识别和的评估的风险与实施的审计程序挂钩,而且要求针对重大的各类交易、账户余额和列报实施实质性程序,可以说风险评估程序是风险导向审计模式落实到审计工作的核心环节,风险导向审计下审计风险模型如下:审计风险=重大错报风险×检查风险。审计风险是指财务报表存在重大错报而注册会计师发表不恰当审计意见的可能性。重大错报风险是指财务报表在审计钱存在重大错报的可能性,检查风险是指某一认定存在错报,该错报单独或连同其他错报是重大的,但注册会计师未能发现这种错报的可能性。注册会计师合理设计审计程序的性质、时间和范围,并有效执行审计程序,以控制检查风险。注册会计师采取以下方法展开审计工作:(1)注册会计师应当针对财务报表层次的重大错报风险置顶总体应对措施;(2)注册会计师应当针对认定层次的重大错报风险设计和实施进一步审计程序,包括测试控制的执行有效性以及实施实质性程序;(3)注册会计师应当评价风险评估的结果是否适当,并确定是否已经获取充分、适当的审计证据;(4)注册会计师应当将实施关键的程序形成审计工作记录。我们发现,注册会计师以针对评估的财务报表层次重大错报风险为起点,确定总体应对措施,并有针对评估的认定层次重大错报风险设计和实施进一步审计程序,以将审计风险控制在可接受的低水平。风险导向的核心是审计风险,控制审计风险的关键是风险评估程序,另一方面,企业必须准确地评价和有效地管理各项与企业成功息息相关的风险。管理层不但需要准确地了解各项业务风险以及不良控制的后果,并且能够根据所确认风险的残余影响的轻重程度分配资源和关注程度。所以注册会计师的风险评估将有利于企业的风险管理。
(二)企业的风险管理 每个企业在经营中存在各种风险,而我们这里讨论的企业风险管理中的风险概念与金融市场的风险概念有所不同,当然金融风险也是企业(特别是金融类企业)面临的风险之一,企业风险就是企业面临的可能导致企业亏损的各种不确定性事件,降低企业的价值。所以风险管理需要做的就是尽量避免这种不确定性事件的发生,或者是降低不确定性事件发生后对企业造成的损失。企业风险管理包括四个环节:风险识别、风险评估、风险应对、风险监察。第一,风险识别是指尽力识别可能对企业取得成功产生影响的风险,包括整个业务面临的较大的风险,以及与每个项目或较小的业务单位关系的风险,识别潜在风险可以认识到企业面临的各种风险类型,而且风险识别程序应该在企业内的多个层级得以执行,这与注册会计师的风险评估贯彻于整个审计过程一样。第二,风险评估是在识别了各种风险后,对风险的的性质、风险的类型、风险的发生频率等进行评价,这种评价最主要分为两方面,一个是影响,另一个是可能性,企业可能还会采用敏感性分析或者决策树等方法对风险的性质进行全面的认识。这与注册会计师的风险评估相似,不过更加具体、全面。第三,风险应对是指对上述评估的风险采取相应的措施,以避免该风险对企业产生的损失,风险应对的策略包括风险降低(如分散投资,就是一种降低风险的措施),风险消除(使得该风险事件发生的概率降低为零),风险转移(将风险的后果采用保险、合同等方式转移出企业),风险保留(定期风险复核、控制风险情境)。第四,风险监察是指企业监测目标的实现过程,关注新的风险和相关损失,企业需要对风险进行监察,并在需要时不断作出调整。风险检查者定期检查正在发生的亏损,以了解他们的控制建议得以实施,并设计过程来改善风险管理的过程,制定一项战略来应对出现的新风险。
(三)风险评估与经营风险、审计风险 企业的风险识别是风险管理的第一步,是指对企业面临的,以及潜在的风险加以判断、归类和鉴定风险性质的过程。企业的风险一般可以分为两类:系统风险和非系统风险。系统风险是由公司之外的各种因素引起的,如战争、经济衰退、通货膨胀、高利率等与政治、经济和社会相联系的风险,是不能通过多元化投资而分散的,因此又称作不可分散风险或市场风险。非系统风险也被称作可分散风险,它是由公司本身的商业活动和财务活动带来的,如企业的管理水平、研究与开发、消费者需求的改变、市场营销风险以及法律诉讼等,其可以通过多元化投资组合而分散,是公司特有的风险。而现代风险导向审计将风险评估、风险应对与审计程序联系起来,这就使得注册会计师审计不仅仅是出具审计报告的鉴证业务,也可以起到促进企业风险管理的作用,注册会计师审计过程中必须进行风险评估,风险评估的过程是为了能够获得尽可能准确的财务报表重大错报风险信息,以控制审计风险,企业风险管理的过程是为了控制企业经营风险,从审计风险与企业经营风险的关系,我们发现:其一,风险评估是指评估被审计单位风险,评估的过程是企业风险管理中的一个环节,所以在性质上他们具有相似性。其二,风险评估的程序包括:了
解被审计单位及其环境、了解被审计单位的内部控制等,而风险管理也需要进行这些工作,方法包括:观察、检查、分析程序,穿行测试等。风险评估。其三,风险评估的目的相同:对于注册会计师而言,风险评估的目的是为了了解被评估的财务报表重大错报风险,并且制定风险应对措施,有效地实施审计程序;对于企业而言,风险评估的目的是为了控制企业的风险点,防止企业出现亏损的不利情况而实现企业价值增值。风险评估使企业考虑潜在事项如何影响目标的实现。管理当局应从两个角度对事项进行评估:可能性和严重程度,并且通常采用定性和定量相结合的方法。在不要求定量化的地方,或者在定量评估所需的可靠数据无法取得或获取和分析数据不具有成本效益时,管理者通常采用定性评估技术。定量技术精确度更高,通常应用在更加复杂的活动中,以对定性技术进行补充。评估风险时既要考虑固有风险,也要考虑剩余风险。固有风险是管理当局没有采取任何措施来改变风险的可能性或影响的情况下,一个企业所面临的风险。剩余风险是在管理当局应对风险后所残余的风险。审计中注册会计师更多关注的是审计风险以及企业的经营风险,但是对于企业其他风险管理(如制度风险管理、法律风险管理)考虑不足,当然这是注册会计师收益成本分析后的结果,但是注册会计师必须区分企业经营风险与审计风险,经营风险是指实现不了经营目标和战略的可能性,经营失败是经营风险的扩大化,指企业由于经济或经济条件的变化而无法满足投资者的预期,经营失败的极端情况是申请破产。诚然企业经营失败可能使得注册会计师面临审计诉讼,经营风险与审计风险有一定的相关性,但风险导向的核心是审计风险,而不是企业的经营风险。
三、注册会计师风险评估与企业风险管理关系
(一)二者时间发展顺序 环境变化促使越来越多的企业实施全面风险管理,也促进了风险导向审计的发展:从20世纪90年代开始,随着新的科技技术和经济全球化带来企业组织结构虚拟化、集约化、专业化及扁平化等新的商业特征,许多跨国公司开始实施全面风险管理方法,一些国际咨询公司和会计师事务所也开始运用这一概念并将其同咨询或审计业务相结合。全面风险管理体系正在随着企业治理的完善而越发受到重视,风险管理的概念逐步引入到我国的企业中,使得我国企业的风险管理工作纳入了公司治理的范围。2004年9月,COSO了《企业风险管理框架》。该框架是在《内部控制――整体框架》报告的基础上,结合《萨班斯――奥克斯法案》在报告方面的要求,明确提出企业风险管理是由企业董事会、管理层和其他员工共同参与,应用于企业战略制定,以及企业内部各层次和部门,用于识别可能对企业造成影响的事项,管理风险为企业目标的实现提供合理保证。同时该框架还指出:企业风险管理框架由内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控八个相互关联的要素构成。这也奠定了企业风险管理系统的组织模式。风险导向审计的发展也与全面的风险管理系统构建同步,2003年10月,国际会计师联合会下属的国际审计准则委员会了三个新的国际审计风险准则,并从2004年12月15日或之后开始的期间财务报表审计起执行这三个新准则。2004年10月,中国注册会计师协会根据国际审计准则的最新发展,对已修订的四个新审计风险准则在全国范围内征求意见,并且于2007年1月1日开始实施。风险导向审计已经深入了我国审计的实际工作,为审计业务的展开提供了指引。
(二)二者业务性质相互影响 全面风险管理为现代风险导向审计风险评估提供了更好的基础为了评估客户是否有效地监督和控制了其战略风险及其他经营风险,注册会计师必须识别、收集和处理大量与客户经营活动相关的证据。当企业没有实施全面风险管理时,收集这些证据即使在理论上是可行的,但为此付出的成本对注册会计师而言也常常是不经济的。注册会计师的风险评估程序对企业风险管理有以下益处:(1)了解企业的外部环境风险以及内部控制成为风险评估的重要组成部分,注册会计师也将公司内部控制的有效性作为风险应对的考虑因素。所以注册会计师关于企业内部控制的评价将为企业的风险管理提供建议。(2)注册会计师在实施控制测试与实质性测试时,会将交易的内部控制目标与关键内部控制联系起来,然后将测试的结果与风险评估的结果进行对比,这将有助于公司相关交易所涉及人员在业务流程中履行好自己的职责,注册会计师审计可以起到监督作用,发现企业内部控制的风险点。企业风险管理对注册会计师的风险评估有以下益处:第一,企业风险管理的完善性与企业内部控制系统有着很强的相关性,所以如果企业建立了一整套风险管理的体系,那么注册会计师的风险评估程序就会减少程序,因为风险评估在整个审计过程中的验证过程都是可靠的。第二,企业风险管理的方式与注册会计师风险评估。企业全员参与风险管理,从整个企业组合的角度实施风险管理,增强了企业风险管理的有效性,注册会计师能够在更大程度上信赖企业的全面风险管理,实施风险评估。第三,企业风险管理系统的完善性越不好,注册会计师所涉及的这部分程序设计需要越谨慎,而风险评估程序后提出建议的边际贡献越高,这二者之间的交互作用就在于风险评估程序是对风险管理的一种再监察。
(三)二者存在的不同 当然二者存在着以下区别:注册会计师风险评估更多是对内部控制有效性的评估,这种评估是因为审计的效率所决定的,而企业的风险管理需要覆盖企业的整体层面和各个业务流程,所以我们注册会计师的风险评估结果对于企业而言是一种参考,注册会计师的风险评估只是对内部控制水平高低的一个评价,这并不能完全说明企业风险管理的有效性。注册会计师可以通过对企业内部控制系统有效性评价来评估客户监督和控制其战略风险及其他经营风险的情况,如果仅仅是审计过程,注册会计师不需要提出风险管理改进建议,他们评估的财务报表重大错报风险只是为了控制检查风险,进而控制审计风险。所以注册会计师审计过程的风险评估与企业风险管理过程中的风险评估目的相似,但企业风险管理的目的和注册会计师的风险评估还是存在不同。
四、企业风险管理及风险评估路径
(一)风险评估报告与企业风险管理 (图1)呈现了风险导向审计的框架,风险导向审计最大的要点就在于实施基本审计程序前的风险评估。而且后来的审计程序结果会不断检验风险评估的结果,不断地修正与调险估计水平,在整个审计过程中都需要进行风险评估过程,所以注册会计师可以在审计完成后形成风险评估的最终结果,形成风险评估报告,以评价内部控制的有效性及风险管理控制的水平。该报告可能涉及内部环境、企业风险评估、风险反应、控制活动、信息和沟通、监控等要素,对企业内部控制的测试结果进行一个总结性陈述,形成风险评估报告。风险评估报告作为风险导向审计阶段性成果在审计完成后反馈给被审计客户,以帮助被审计客户进一步完善内部控制水平,但我们必须意识到:风险评估报告不是审计报告的子报告,风险评估报告仅仅为被审计单位进一步提高内部控制水平而用,而非鉴证报告,注册会计师不需要提供保证。
(二)风险评估报告与信息系统风险管理 注册会计师评价内部控制有效性的要求里就包括了评价信息系统的有效性,所以注
第一章
总则
第一条
为加强大洼恒丰村镇银行风险管理,及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险承受度和风险应对策略,根据有关法律法规和《企业内部控制基本规范》等的有关规定,结合我行实际情况,制订本制度。
第二条
本制度所称风险是指我行经营活动中与我行实现内部控制目标相关的风险,包括信息风险、财务风险、市场风险、运营风险和法律风险等。
本制度所称风险评估是指通过对基于事实的信息进行分析,就如何处理特定风险以及如何选择风险应对策略进行科学决策。
第二章
组织机构及职责
第三条
各部门为我行风险评估管理工作的责任机构,具体职责:
(一)对我行经营活动中的风险进行识别;
(二)
对识别的风险进行评估,辨识评估出风险等级并将中、高风险以书面形式上报我行管理层,上报内容应包括:风险发生地、发生原因、可能造成的损失和影响、拟采取的应对措施等。
(三)
执行审批后的风险应对预案,并及时反馈风险的应对、解决结果;
(四)
对识别的风险进行监控,发生变化时重新评估,并根据新辨识评估的风险等级进行相应的处理;
(五)
年中、年度对风险评估管理工作进行总结。
第四条
我行企划部门为我行风险评估管理工作的组织机构,具体职责:
(一)负责制定我行的风险评估方案;
(二)负责组建风险评估工作小组;
(三)负责审核风险清单、应对预案;
(四)拟定我行风险评估报告,上报我行管理层。
(五)负责建立经营环境监控体系,切实监控并记录内、外部经营环境和条件的变化,以修正风险识别与评估。
(六)负责建立风险预警指标体系,要求各具体部门定期提供数据,进行指标分析;
对于超过风险预警值的指标,应确定相应的整改措施。
第五条
财务部门的风险评估
(一)负责建立流程识别和应对会计法规、准则、制度的变化,评估对会计信息的影响。
(二)负责建立沟通渠道和流程参与我行业务操作流程的变化,评估对会计核算的影响。
第六条
我行管理层主要职责为:
(一)审定我行各部门风险管理工作职责;
(二)批准风险应对预案;
(三)研究、确定我行重大风险事项及应对预案;
(四)审定内部审计部门提交的我行风险管理方面的报告,并报董事会审议。
第七条
董事会负责审议我行管理层提交的我行风险评估报告报告,批准风险管理其他重大事项。
第三章
风险评估的频率
第八条
风险评估每年至少进行一次,并根据实际需要增加评估的频率。
第九条
当出现下述情况时,应考虑重新进行风险评估:
(一)企业经营模式发生重大变动;
(二)企业所使用的信息技术发生重大变动;
(三)关键人员变动;
(四)企业所适用的会计准则发生重大变动;
(五)购并的发生、金融工具的使用等等涉及到复杂的会计处理要求的事项发生;
(六)其他。
第四章
控制目标的设定和传达
第十条
企业董事会应当按照战略目标,设定相关的经营目标、财务报告目标、合规性目标与资产安全完整目标,并根据设定的目标合理确定企业整体风险承受能力和具体业务层次上的可接受的风险水平。
第十一条
我行董事会应定期更新和修正我行的战略目标、经营目标、风险管理目标;
第十二条
我行管理层应向各部门清晰传达了我行的战略目标、经营目标和风险管理目标(如通过工作准备会等),并进行目标分解。
第十三条
我行企划部负责风险评估方案的制订,风险评估方案须经我行总经理办公会审批后执行,风险评估工作由企划部组建风险评估小组负责风险评估的具体工作。
第五章
风险识别
第十四条
我行各部门应当根据风险评估方案的要求,全面系统持续地收集相关信息,结合实际情况,及时进行风险评估,准确识别与实现控制目标相关的内部风险和外部风险。
第十五条
我行各部门在进行风险识别时,可以采取座谈讨论、问卷调查、案例分析、咨询专业机构意见等方法识别相关的风险因素,特别应注意总结、吸取企业过去的经验教训和同行业的经验教训,加强对高危性、多发性风险因素的关注。
第十六条
各部门及子我行应广泛、持续不断地收集与本我行风险和风险管理相关的内外部信息,包括历史数据和未来预测。
第十七条
我行识别内部风险,应当关注下列因素:
1.董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。
2.组织机构、经营方式、资产管理、业务流程等管理因素。
3.研究开发、技术投入、信息技术运用等自主创新因素。
4.财务状况、经营成果、现金流量等财务因素。
5.营运安全、员工健康、环境保护等安全环保因素。
6.其他有关内部风险因素。
第十八条
我行识别外部风险,应当关注下列因素:
1.经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。
2.法律法规、监管要求等法律因素。
3.安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。
4.技术进步、工艺改进等科学技术因素。
5.自然灾害、环境状况等自然环境因素。
6.其他有关外部风险因素。
第六章
风险分析
第十九条
我行各部门应当针对已识别的风险因素,从风险发生的可能性和影响程度两个方面进行分析。企业应当根据实际情况,针对不同的风险类别确定科学合理的定性、定量分析标准。具体如下:
表一:风险发生的可能性
程度
描述
说明
I
大致确定
事件可能在多数情况下发生
II
可能
事件有时可能发生
III
可能性不高
事件只在少数情况下可能发生
IV
罕见
事件仅在很少的情况下发生
V
极不可能
事件极少的情况下发生
表二:
风险的后果或影响
程度
描述
说明
1
微不足道
没有经济损失
2
轻微
轻微经济损失
3
中度
可以得到控制,经济损失不大
4
高度
经济损失较大
5
灾难性
经济损失巨大
第二十条
企业应当根据风险分析的结果,依据风险的重要性水平,运用专业判断,按照风险发生的可能性大小及其对企业影响的严重程度进行风险排序,确定应当重点关注的重要风险。
风险程度定性分析表
可能性
后果
微不足道
1
轻微
2
中度
3
高度
4
灾难性
5
大致确定
I
C
C
D
E
E
可能
II
B
C
C
D
E
可能性不高
III
A
B
C
D
E
罕见
IV
A
A
B
C
D
极不可能
V
A
A
B
C
C
注:
E
=
极高;要立刻停止有关工作,直到风险减低。在风险减低前有关工作须完全禁止进行。
D
=
高风险;要停止有关工作,直到风险减低。如有关工作现正在进行中,须提供有效监控及紧急应变程序。
C
=
中等风险;须规定有关管理职责及指引把危害控制,或在可行下进一步减低风险,如有关风险可能产生严重的危害,应作进一步危害评估及加强控制。
B
=
可接受的风险;按正常运作程序管理,在不影响成本下可作进一步改善。
A
=
微不足道的风险;无须作任何行动,按惯常运作。
第七章
风险汇总及应对预案
第二十一条
企业各部门应当根据风险分析情况,结合风险成因、企业整体风险承受能力和具体业务层次上的可接受风险水平,确定风险应对策略。风险应对策略主要包括风险回避、风险承担、风险管理和风险分担经营。
第二十二条
我行各部门应根据风险分析的结果编制风险清单,并制订相应的应对预案,风险清单、应对预案须报我行风险评估工作小组审核后,报总经理办公会审批。
第八章
风险评估报告及执行
第二十三条
我行风险评估工作小组负责编制风险评估报告,风险评估报告经我行总经理办公会审核后,报我行董事会审议。
第二十四条
风险评估报告应包括以下内容:1、风险评估的范围;2、风险评估的方法;3、风险清单;4、风险应对预案;
第二十五条
各部门应根据董事会批准的风险评估报告进行实施,对风险应对预案的执行情况进行实时监控,并及时反馈风险应对、解决的执行情况。
第二十六条
内部审计部门(或协同风险管理部门或小组)负责定期或不定期检查具体部门风险控制措施的实施、整改情况,形成检查记录。
第九章
附则
第二十七条
本制度未尽事宜,按国家有关法律、法规和我行章程的规定执行;如与国家日后颁布的法律、法规或经合法程序修改后的我行章程相抵触时,按国家有关法律、法规和我行章程的规定执行,并及时修订本制度,报董事会审议通过。
第二十八条
本制度由我行董事会负责解释。
第二十九条
本制度自我行董事会审议通过之日起实施。
大洼恒丰村镇银行
二〇一五年十月十六日
—
第二条本市行政区域内国有土地上的房屋征收与集体土地上的房屋拆迁(以下简称房屋征收与拆迁),在项目实施前,都必须进行社会稳定风险评估。
第三条市、县(市、区)、市经济技术开发区、新城西区、风景名胜区的维稳办对各自区域内房屋征收与拆迁项目的社会稳定风险评估工作进行协调和指导。
县(市、区)、市经济技术开发区、新城西区、风景名胜区的房屋征收与拆迁管理部门(职能单位)具体负责各自区域内房屋征收与拆迁项目的社会稳定风险评估。仪征市房屋征收与拆迁管理部门牵头负责化学工业园区房屋征收与拆迁项目的社会稳定风险评估。
市住房保障和房产管理局参与市经济技术开发区、新城西区、风景名胜区国有土地上房屋征收项目的社会稳定风险评估工作。
第四条房屋征收与拆迁项目社会稳定风险评估的主要内容是:
(一)合法性评估。主要评估实施项目是否符合房屋征收与拆迁相关法律法规的要求。
(二)合理性评估。主要评估补偿安置方案是否兼顾到各方面群体的现实利益与长远利益,是否能为多数被征收拆迁人认可。
(三)可行性评估。主要评估项目实施的时机是否成熟,补偿安置资金和安置房源是否已经落实到位。
(四)安全性评估。主要评估项目实施后是否会引发重大社会矛盾等影响社会稳定的隐患,这些隐患能否得到有效消除。
第五条房屋征收与拆迁项目社会稳定风险评估的程序:
(一)制定评估方案。评估前,由房屋征收与拆迁管理部门(职能单位)、国有土地上房屋征收部门和实施单位、集体土地上房屋拆迁项目的拆迁人等组成项目风险评估工作小组,根据评估的要求和房屋征收与拆迁项目的特点,制定评估方案,明确评估具体内容、方法步骤和时间要求,保证工作有效开展。
(二)广泛听取意见。评估工作启动后,房屋征收与拆迁管理部门将征收拆迁补偿安置方案在项目所在地进行公示,让被征收拆迁人充分了解。采取召开座谈会、重点走访、问卷调查等方法,广泛听取各有关部门、房屋征收拆迁有关单位和被征收拆迁人的意见、建议。实施项目应当履行听证的,需组织由被征收拆迁人和公众代表参加的听证会,评估工作小组综合各方面因素形成项目风险评估初步报告。
(三)分析研判预测风险。由房屋征收与拆迁管理部门(职能单位)牵头,组织维稳、、综治、监察、发改、规划、国土等部门,成立属地房屋征收与拆迁风险评估报告研判小组,对提供的项目风险评估初步报告进行分析研判,对可能引发的社会矛盾,作出评估预测和分析研究,并制定相应的防范、应急预案。
(四)作出评估报告。根据房屋征收与拆迁风险评估报告研判小组的分析研判结论,房屋征收与拆迁管理部门形成项目风险评估报告。
第六条评估报告的主要内容包括:
(一)房屋征收与拆迁项目的基本情况。包括项目名称、征收与拆迁的目的和范围、拟实施时间和期限、项目范围内住户和单位状况及房屋和土地使用权状况,发改、国土、规划等部门对项目符合各项规定的认可材料或批准文件等。
(二)补偿安置方案公示和征求群众意见情况。包括补偿安置方案在项目现场公示后群众的反映;有关部门、单位和专家的意见建议;依法应当履行听证程序项目的听证情况;根据征求到的意见建议进行修改的情况。
(三)对房屋征收与拆迁项目的评估预测和分析研究。主要包括:
1、补偿标准、安置房地点、腾仓过渡期限等补偿安置方案是否合法合规。
2、补偿安置资金和安置房源是否已经落实。
3、因搬迁给特困企业和住房困难家庭带来的生产、生活困难问题是否得到妥善处置。
4、房屋拆除施工安全是否考虑周到。
5、有可能引发不稳定的其它因素及其化解措施和预案是否制定。
(四)明确房屋征收与拆迁项目风险防范和维稳的责任单位和责任人员。
(五)对项目做出可以实施、暂缓实施或不予实施的评估结论。
第七条项目属地的维稳办要全程跟踪房屋征收与拆迁项目社会稳定风险评估的过程,对评估报告进行认真审核,并作出明确的备案意见。
第八条对已经社会稳定风险评估实施的房屋征收与拆迁项目,项目属地的维稳办应会同房屋征收与拆迁管理、、乡镇(街道)等责任部门和单位全程跟踪,及时发现和化解实施过程中出现的矛盾和问题,将不稳定隐患消除在萌芽状态和初始阶段。
第九条各有关部门、单位应积极主动落实房屋征收与拆迁社会稳定风险评估的各项要求,年终将该项工作纳入社会治安综合治理和平安建设工作考核内容。具体考核按《市社会稳定风险评估工作考核办法(暂行)》(办发〔〕69号)执行。
会议名称:2018年三季度全面风险管理会
日期:2018年10月17日
地点:二楼视频会议室
出席人:xx行长、xx副行长、xx、xx、、
列席人:纪检组长xx、xx
主持人:xx行长
记录人:xx
一、 授信与风险管理部汇报本条线全面风险管理工作
(一)授信与风险管理部负责人xx汇报2018年三季度授信与风险条线风险评估报告
xx行长对营业部二季度全面风险会议要求整改未落实的事项进行了询问。
(二)授信与风险管理部负责人xx汇报2018年三季度贷后管理工作报告
二、综合管理部汇报本条线全面风险管理工作
(一)综合管理部负责人xx对人力资源条线操作风险情况、声誉风险情况、行政印章条线操作风险情况、信息科技条线操作风险情况、安全保卫条线操作风险情况做了评估报告
(二)xx行长对声誉风险情况中仍有个别客户反馈从我行购买贵金属产品存在质量问题的解决情况进行了询问
三、财务与营运管理部汇报本条线全面风险管理工作
(一)财务与营运管理部负责人xx汇报本条线评估报告
(二)xx行长对受理询证函业务不规范做了询问,并要求整改
四、公司部负责人xx对本条线风险评估报告进行汇报
五、个金部汇报本条线全面风险管理工作
(一)个金部负责人xx汇报2018年三季度个金部条线风险评估报告
(二)xx行长对机具的管理进行了询问
六、营业部xx对本条线风险评估报告进行汇报
七、分管行领导xx、xx分别讲话
(一)xx副行长讲话
1、风险防范意识需进一步加强
(1)贷后管理不到位,要对政策文化、评级变化掌握透彻
(2)个贷资料审核还存在问题
2、业务素质和业务能力仍需进一步提升
(1)大堂的卡挂失等
(2)小微企业专题会
3、加强工作的执行力度
(1)培训(2)外部监管机构的材料报送
4、希望交行员工能践行交行精神、践行责任和担当,确保我们交行的业务是风险可控、持续稳健发展,落实好各部门工作计划。
(二)xx副行长讲话
1、大部分操作风险的原因
(1)意识不强(2)制度不懂(3)业务不熟
2、建议
(1)强化培训(2)强化落实(3)强化考核
八、xx行长讲话
(一)对各个部门的工作给予肯定并提出表扬
(二)要求
1、系统内外的检查
2、标准动作和自选动作相结合
3、检查和员工素质提高相结合
4、全面风险管理和决策
5、按周检查、按月检查、注重日常检查
6、营运部和营业部加强对消保的管理
7、综管部加强对7万元盗刷的舆情管理,与营运部做配合
8、风控部按季核查存放中国银行的存放资金
九、湘西纪检组部署和安排工作
(一)湘西纪检组xx对公司部的汇报中有党风廉政和案防教育提出了表扬
(二)湘西纪检组xx对以后的全面风险管理会的各部门汇报材料提出了要求和建议
为防御和减轻雷电灾害,保障公共安全和人民生命财产安全,依据《中华人民共和国安全生产法》、《中华人民共和国气象法》、《气象灾害防御条例》、《省气象灾害防御条例》、《防雷减灾管理办法》等法律法规,现就加强防雷安全工作通知如下:
一、加强防雷安全隐患源头治理
我市位于黄河下游、平原,地处黄河三角洲腹地,属雷电活动多发区,境内危化行业众多,易燃易爆场所点多、面广,雷电灾害造成的生产安全事故时有发生,给人民生命和财产安全带来严重威胁。因此,各级各有关部门和单位务必引起高度重视,将雷电防护列入安全生产管理工作的重要内容,结合各自实际,严格落实有关制度和措施,切实做好防雷安全工作。各级气象主管机构要严格按照《省气象灾害防御条例》、《防雷减灾管理办法》、《防雷装置设计审核和竣工验收规定》、《省雷击风险评估管理暂行规定》等规定,进一步加强对新建、改建和扩建项目雷击风险评估、防雷设计图纸审核、工程施工监督和竣工验收工作的管理,真正从源头上消除雷电安全隐患。
二、严格防雷装置安全检测工作
防雷装置年度安全检测是防雷减灾工作的基础和关键环节。各企业要按照法律法规的要求,将防雷装置检测列入年度安全管理工作计划,认真执行防雷装置定期检测制度。各单位要在雷雨季节到来之前,认真排查雷电事故隐患,积极主动向各级防雷减灾机构申报年度安全检测,积极配合检测机构做好检测工作。防雷检查检测的重点是:《建筑物防雷设计规范》中规定的一、二、三类防雷建(构)筑物及附属设施,油库、加油站、化工企业等易燃易爆场所和重点防火单位,火车站、医院、商务楼、宾馆、商场、学校等人员密集场所,电力、金融、证券、通讯、广播电视等行业和单位的调度中心、通讯基站、计算机机房等。经检测存在防雷装置隐患的单位,应当落实整改资金,严格整改时限,及时消除事故隐患。
三、切实加强雷击风险评估工作
雷击风险评估是避免防雷装置盲目设计,提高综合防雷整体效益的有力手段。各有关部门要将雷击风险评估工作纳入新建项目初步设计和可行性论证的必备条件之一,建设单位或项目设计单位应根据雷击风险评估报告和专家论证意见进行防雷装置设计或修改防雷装置设计方案。各级气象主管机构要高度重视雷击风险评估管理,严格按照有关法律法规的要求,将雷击风险评估报告作为防雷装置设计审核、竣工验收的重要技术依据;对于应当进行雷击风险评估却未开展的项目,不予发放防雷装置设计核准书,以确保公共安全。评估单位要严格按照《雷电灾害风险评估技术规范》等技术规范科学地开展评估工作,并不断提高雷击风险评估技术水平。
关键词:信息安全;风险评估;脆弱性;威胁
1.引言
随着信息技术的飞速发展,关系国计民生的关键信息资源的规模越来越大,信息系统的复杂程度越来越高,保障信息资源、信息系统的安全是国民经济发展和信息化建设的需要。信息安全风险评估就是从风险管理角度,运用科学的分析方法和手段,系统地分析信息化业务和信息系统所面临的人为和自然的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,以防范和化解风险,或者将残余风险控制在可接受的水平,从而最大限度地保障网络与信息安全。
2、网络信息安全的内容和主要因素分析
“网络信息的安全”从狭义的字面上来讲就是网络上各种信息的安全,而从广义的角度考虑,还包括整个网络系统的硬件、软件、数据以及数据处理、存储、传输等使用过程的安全。
网络信息安全具有如下6个特征:(1)保密性。即信息不泄露给非授权的个人或实体。(2)完整性。即信息未经授权不能被修改、破坏。(3)可用性。即能保证合法的用户正常访问相关的信息。(4)可控性。即信息的内容及传播过程能够被有效地合法控制。
(5)可审查性。即信息的使用过程都有相关的记录可供事后查询核对。网络信息安全的研究内容非常广泛,根据不同的分类方法可以有多种不同的分类。研究内容的广泛性决定了实现网络信息安全问题的复杂性。
而通过有效的网络信息安全风险因素分析,就能够为此复杂问题的解决找到一个考虑问题的立足点,能够将复杂的问题量化,同时,也为能通过其他方法如人工智能网络方法解决问题提供依据和基础。
网络信息安全的风险因素主要有以下6大类:(1)自然界因素,如地震、火灾、风灾、水灾、雷电等;(2)社会因素,主要是人类社会的各种活动,如暴力、战争、盗窃等;(3)网络硬件的因素,如机房包括交换机、路由器、服务器等受电力、温度、湿度、灰尘、电磁干扰等影响;(4)软件的因素,包括机房设备的管理软件、机房服务器与用户计算机的操作系统、各种服务器的数据库配置的合理性以及其他各种应用软件如杀毒软件、防火墙、工具软件等;(5)人为的因素,主要包括网络信息使用者和参与者的各种行为带来的影响因素,如操作失误、数据泄露、恶意代码、拒绝服务、骗取口令、木马攻击等;(6)其他因素,包括政府职能部门的监管因素、有关部门对相关法律法规立法因素、教育部门对相关知识的培训因素、宣传部门对相关安全内容的宣传因素等。这些因素对于网络信息安全均会产生直接或者间接的影响。
3、安全风险评估方法
3.1定制个性化的评估方法
虽然已经有许多标准评估方法和流程,但在实践过程中,不应只是这些方法的套用和拷贝,而是以他们作为参考,根据企业的特点及安全风险评估的能力,进行“基因”重组,定制个性化的评估方法,使得评估服务具有可裁剪性和灵活性。评估种类一般有整体评估、IT安全评估、渗透测试、边界评估、网络结构评估、脆弱性扫描、策略评估、应用风险评估等。
3.2安全整体框架的设计
风险评估的目的,不仅在于明确风险,更重要的是为管理风险提供基础和依据。作为评估直接输出,用于进行风险管理的安全整体框架。但是由于不同企业环境差异、需求差异,加上在操作层面可参考的模板很少,使得整体框架应用较少。但是,企业至少应该完成近期1~2年内框架,这样才能做到有律可依。
3.3多用户决策评估
不同层面的用户能看到不同的问题,要全面了解风险,必须进行多用户沟通评估。将评估过程作为多用户“决策”过程,对于了解风险、理解风险、管理风险、落实行动,具有极大的意义。事实证明,多用户参与的效果非常明显。多用户“决策”评估,也需要一个具体的流程和方法。
3.4敏感性分析
由于企业的系统越发复杂且互相关联,使得风险越来越隐蔽。要提高评估效果,必须进行深入关联分析,比如对一个老漏洞,不是简单地分析它的影响和解决措施,而是要推断出可能相关的其他技术和管理漏洞,找出病“根”,开出有效的“处方”。这需要强大的评估经验知识库支撑,同时要求评估者具有敏锐的分析能力。
3.5评估结果管理
安全风险评估的输出,不应是文档的堆砌,而是一套能够进行记录、管理的系统。它可能不是一个完整的风险管理系统,但至少是一个非常重要的可管理的风险表述系统。企业需要这样的评估管理系统,使用它来指导评估过程,管理评估结果,以便在管理层面提高评估效果。
4、风险评估的过程
4.1前期准备阶段
主要任务是明确评估目标,确定评估所涉及的业务范围,签署相关合同及协议,接收被评估对象已存在的相关资料。展开对被评估对象的调查研究工作。
4.2中期现场阶段
编写测评方案,准备现场测试表、管理问卷,展开现场阶段的测试和调查研究阶段。
4.3后期评估阶段
撰写系统测试报告。进行补充调查研究,评估组依据系统测试报告和补充调研结果形成最终的系统风险评估报告。
5.风险评估的错误理解
(1)
不能把最终的系统风险评估报告认为是结果唯一。
(2)不能认为风险评估可以发现所有的安全问题。
(3)
不能认为风险评估可以一劳永逸的解决安全问题。
(4)不能认为风险评估就是漏洞扫描。
(5)不能认为风险评估就是IT部门的工作,与其它部门无关。
(6)
不能认为风险评估是对所有信息资产都进行评估。
【关键词】安全风险;安全措施;风险评估报告
1.前言
建筑业是危险性较大的行业之一,安全生产管理的任务十分艰巨,安全生产不仅关系到广大群众的根本利益,也关系到企业的形象,还关系到国家和民族的形象,甚至影响着社会的稳定和发展。党的十六届五中全会确立了“安全生产”的指导原则,我国“十一五”发展规划中首次提出了“安全发展”的新理念。所有这些表明,安全生产已成为生产经营活动的基本保障,更是当前建筑工程行业管理的首要目标。
风险评估的目的是为了全面了解建设安全的总体安全状况,并明确掌握系统中各资产的风险级别或风险值,从而为工程安全管理措施的制定提供参考。因此可以说风险评估是建立安全管理体系(ISMS)的基础,也是前期必要的工作。风险评估包括两个过程:风险分析和风险评价[1][2]。风险分析是指系统化地识别风险来源和风险类型,风险评价是指按给出的风险标准估算风险水平,确定风险严重性。
2.风险评估模型与方法
风险评估安全要素主要包括资产、脆弱性、安全风险、安全措施、安全需求、残余风险。在风险评估的过程中要对以上方面的安全要素进行识别、分析。
2.1 资产识别与赋值
一个组织的信息系统是由各种资产组成,资产的自身价值与衍生价值决定信息系统的总体价值。资产的安全程度直接反映信息系统的安全水平。因此资产的价值是风险评估的对象。
本文的风险评估方法将资产主要分为硬件资产、软件资产、文档与数据、人力资源、信息服务等[1][2]。建设工程的资产主要体现在建筑产品、施工人员、施工机械等。
风险评估的第一步是界定ISMS的范围,并尽可能识别该范围内对业务过程有价值的所有事物。
资产识别与赋值阶段主要评价要素为{资产名称、责任人、范围描述、机密性值C、完整性值I、可用性值A、QC、QI、QA}。QC、QI、QA分别为保密性,完整性,可用性的权重,QC=C / (C+I+A),QI、QA类似。
2.2 识别重要资产
信息系统内部的资产很多,但决定工程安全水平的关键资产是相对有限的,在风险评估中可以根据资产的机密性、完整性和可用性这三个安全属性来确定资产的价值。
通常,根据实际经验,三个安全属性中最高的一个对最终的资产价值影响最大。换而言之,整体安全属性的赋值并不随着三个属性值的增加而线性增加,较高的属性值具有较大的权重。
在风险评估方法中使用下面的公式来计算资产价值:
资产价值=10×Round{Log2[(2C+2I+2A)/3]}
其中,C代表机密性赋值;I代表完整性赋值;A代表可用性赋值;Round{}表示四舍五入。
从上述表达式可以发现:三个属性值每相差一,则影响相差两倍,以此来体现最高安全属性的决定性作用。在实际评估中,常常选择资产价值大于25的为重要资产。
2.3 威胁与脆弱性分析
识别并评价资产后,应识别每个资产可能面临的威胁。在识别威胁时,应该根据资产目前所处的环境条件和以前的记录情况来判断。需要注意的是,一项资产可能面临多个威胁,而一个威胁也可能对不同的资产造成影响。
识别威胁的关键在于确认引发威胁的人或事物,即所谓的威胁源或威胁。建筑企业的威胁源主要是四个方面:人的不安全行为,物的不安全因素、环境的不安全因素、管理的不安全因素。
识别资产面临的威胁后,还应根据经验或相关的统计数据来判断威胁发生的频率或概率。评估威胁可能性时有两个关键因素需要考虑:威胁动机和威胁能力。威胁源的能力和动机可以用极低、低、中等、高、很高(1、2、3、4、5)这五级来衡量。脆弱性,即可被威胁利用的弱点,识别主要以资产为核心,从技术和管理两个方面进行。在评估中可以分为五个等级:几乎无(1)、轻微(2)、一般(3)、严重(4)、非常严重(5)。在风险评估中,现有安全措施的识别也是一项重要工作,因为它也是决定资产安全等级的一个重要因素。我们要在分析安全措施效力的基础上,确定威胁利用脆弱性的实际可能性。
2.4 综合风险值
资产的综合风险值是以量化的形式来衡量资产的安全水平。在计算风险值时,以威胁最主要影响资产C、I、A三安全属性所对应的系数QC、QI、QA为权重。计算方法为:
威胁的风险值(RT)=威胁的影响值(I)×威胁发生的可能性(P);
2.5 风险处理
通过前面的过程,我们得到资产的综合风险值,根据组织的实际情况,和管理层沟通后划定临界值来确定被评估的风险结果是可接收还是不可接收的。
对于不可接收的风险按风险数值排序或通过区间划分的方法将风险划分为不同的优先等级,对于风险级别高的资产应优先分配资源进行保护。
对于不可接收的风险处理方法有四种[3]:
1)风险回避,组织可以选择放弃某些业务或资产,以规避风险。是以一定的方式中断风险源,使其不发生或不再发展,从而避免可能产生的潜在损失。例如投标中出现明显错误或漏洞,一旦中标损失巨大,可以选择放弃中标的原则,可能会损失投标保证金,但可避免更大的损失。
2) 降低风险:实施有效控制,将风险降低到可接收的程度,实际上就是设法减少威胁发生的可能性和带来的影响,途径包括:
a.减少威胁:例如降低物的不安全因素和人的不安全因素。
b.减少脆弱性:例如,通过安全教育和意识培训,强化员工的安全意识等。
c.降低影响:例如灾难计划,把风险造成的损失降到最低。
d.监测意外事件、响应,并恢复:例如应急计划和预防计划,及时发现出现的问题。
3)转移风险:将风险全部或者部分转移到其他责任方,是建筑行业风险管理中广泛采用的一项对策,例如,工程保险和合同转移是风险转移的主要方式。
4)风险自留: 适用于别无选择、期望损失不严重、损失可准确预测、企业有短期内承受最大潜在损失的能力、机会成本很大、内部服务优良的风险。
选择风险处理方式,要根据组织运营的具体业务环境与条件来决定,总的原则就是控制措施要与特定的业务要求匹配。最佳实践是将合适的技术、恰当的风险消减策略,以及管理规范有机结合起来,这样才能达到较好的效果。
通过风险处理后,并不能绝对消除风险,仍然存在残余风险:
残余风险Rr =原有的风险Ro-控制R
目标:残余风险Rr≤可接收的风险Rt,力求将残余风险保持在可接受的范围内,对残余风险进行有效控制并定期评审。
主要评估两方面:不可接受风险处理计划表,主要评价要素为{资产名称、责任人、威胁、脆弱点、已有控制措施、风险处理方式、优先处理等级、风险处理措施、处理人员、完成日期};残余风险评估表,主要评价要素为{资产名称、责任人、威胁、脆弱点、已有控制措施、增加的控制措施、残余威胁发生可能性、残余威胁影响程度、残余风险值}。
2.6 风险评估报告
在风险评估结束后,经过全面分析研究,应提交详细的《安全风险评估报告》,报告应该包括[4]:
1) 概述,包括评估目的、方法、过程等。
2) 各种评估过程文档,包括重要资产清单、安全威胁和脆弱性清单、现有控制措施的评估等级,最终的风险评价等级、残余风险处理等。
3)推荐安全措施建议。
3.结论
目前仍有相当一部分施工现场存在各种安全隐患,安全事故层出不群,不仅给人们带来剧痛的伤亡和财产损失,还给社会带来不稳定的因素。风险评估是工程安全领域中的一个重要分支,涉及到计算机科学、管理学、建筑工程安全技术与管理等诸多学科,本文的评估方法综合运用了定性、定量的手段来确定建设工程中各个安全要素,最终衡量出建设工程的安全状况与水平,为建立安全管理体系ISMS提供基础,对建设工程的风险评估具有一定的借鉴意义。
参考文献:
[1]ISO/IEC 17799:2000 Information Technology-Code of Practice for Information Security Management.
[2]BS7799-2:2002.Information Security Management-Specification for Information Security Management Systems.
【关键词】多平台 雷电灾害 风险评估 信息系统
我国是世界上受气象灾害影响最为严重的国家之一。气象灾害种类多、强度大、频率高,严重威胁人民生命财产安全,给国家和社会造成巨大损失。尽可能的降低气象灾害带来的生命财产的损失,是气象部门义不容辞的责任。为此,构建完善的雷电灾害风险评估信息管理系统,增强气象业务硬件、软件基础建设,提升防灾减灾和应对气候变化能力已迫在眉睫。本文介绍的基于多平台的雷电灾害风险评估信息管理系统正是致力于解决上述问题的。
1 研究现状
佛山市气象局已经有比较完善的信息化建设,防雷所在业务上也有非常明确的定位和管理流程。防雷所提供的服务项目主要是雷电风险评估、防雷装置设计技术评价和检测服务。服务范围主要包括:经地方城市规划部门核准的佛山市市属大型、重点工程项目,以及佛山市禅城区、佛山新城区域内工程项目(含新建、扩建、改建)的防雷装置设计技术评价和检测服务。
随着信息化的发展,以及防雷工程和防雷工程建设单位信息的大量增加,和海量的防雷设施台帐管理的要求,防雷所的信息化程度还有很多待提高的地方,尤其是在通过结合GIS等手段对建筑物防雷管理上,尚缺乏比较先进的手段。
2 系统建设目标
常见的虚拟机资源分配算法有基于市场导向的资源分配算法、启发式算法和基于云计算平台系统特征的分配算法。市场导向的资源分配方法是根据用户对虚拟机资源的需求和自由市场竞争有很多相识之处,将市场中的资源分配算法应用到虚拟机资源的分配中。启发式算法是指在可承受的计算时间和空间下,给出待解决问题的一个可行解。
2.1 实现防雷评估业务流程电子化
结合雷电灾害风险评估工作,使办事流程电子化。通过对电子化流程的优化、构建与管理,将防雷所与不同建设单位、不同职责、不同专业的工作和人员串联起来,理顺工作流程,降低成本费用,提升服务水平,达到了运行有序和效率提高。
2.2 建立雷评项目电子档案库
越来越多的需要实施防雷工程的建筑,要求防雷所建立一个直观,方便的档案库,便于准确的把握每一栋建筑的防雷工程信息、防雷设置评估信息和防雷设置管理责任人信息。
2.3 建立评估报告标准模板库
对各类雷评报告相同或相似的信息片段及格式进行提取,制作成各种不同报告模板,评估人员撰写雷评报告的时候,可以快速方便调取相类模板创建雷评报告书,从而提升人员工作效率,降低书写出错情况。
2.4 建立防雷项目GIS信息库
佛山市需要建设防雷设施的建筑物越来越多,通过建立基于GIS的防雷工程项目和建筑物防雷设施的信息中,便于防雷所对所辖区域内的防雷工程进行高效,直观的管理。
3 系统设计
3.1 系统业务边界
根据系统建设目标设定以下系统边界模型。根据图1所示,整个系统分成两个子系统:雷评业务管理子系统和雷评申请及跟踪子系统。系统的参与者包括防雷所业务人员、防雷工程建设单位。
雷评业务管理子系统主要提供雷评估项目管理和审批,雷评报告生成及归档与费用核算管理,报告模板库,雷评知识库对外宣传等功能。
3.2 系统建设总体框架
总体框架是按照分层的思想加以设计和实现,分层的体系结构能够很好的实现系统建设任务的分解,以便整个系统的建设任务能够在明确接口定义的基础上进行并行建设,以缩短整体的建设周期。同时,在接口保持不变的前提下,分层的体系结构还能保证系统对各层基础技术的发展具有良好的适应性。并且较好的体现以数据获取和整合为核心,以监督管理服务能力建设的功能定位。系统框架图如图2所示。
系统总线将实现“企业登记”、“雷评管理”、“费用核算”、“GIS建筑防雷台账”、“雷评知识库”等几个模块的数据和业务整合,构建新的基于SOA的业务服务,可以确保系统具有高的可用性和扩展性。
3.2.1 雷电风险评估业务申请系统
佛山市防雷所外网主要提供在线提交防雷工程评估申请、查询评估业务办理进度、防雷评估报告调阅;公众上网人员可以在线浏览防雷知识库的文章、在线观看防雷教育视频等。
3.2.2 雷电风险评估移动应用系统
提供支持iPhone、Android的移动应用系统,给防雷工程建设单位查询工程办理进度,调阅雷评报告,业务信息通知等功能。工程相关人员也可以通过移动应用系统查阅项目各种报告。
3.2.3 雷电风险评估微信门户
微信作为当前比较流行的公众信息服务入口,本系统面向公众的所有服务信息都能够通过雷电风险评估微信门户公众号对外提供服务。同时,通过公众服务号实现与使用者的互动,提供各种防雷产品服务。
3.2.4 雷电风险评估业务管理系统
防雷所的内部业务系统,根据防雷所雷评实际业务范围确定,由雷评工程业务管理,GIS建筑防雷台帐、报告模板库、费用核算管理和防雷知识库的宣传与等模块组成。
3.2.5 基础设施
业基础设施包括应用支持层、企业总线、中间层、数据持久层、基础设施层几部分,为上层各业务子系统提供技术应用上的支持。
3.3 雷评综合业务管理系统
综合业务系统包括企业登记,雷评管理,费用核算,报告模板库,档案管理,防雷项目GIS展示系统,统计报表,系统用户几大模块。通用架构如图3所示。
3.4 雷评移动/微信客户端
雷评移动/微信客户端包括企业认证,项目进度查询,报告资料调阅,雷评知识库,消息推送功能,雷评移动客户端如下图4所示。
4 系统技术架构
根据系统总体设计指导方针以及技术标准规范,并充分考虑到应用集成、应用支持等因素,业务应用系统设计体系架构设计如图5所示。
5 结语
本项目在设计过程中,充分考虑业主方的使用需求,通过软件系统的流程化管理规范雷电灾害风险评估技术服务的执行过程,使用报告内容的片段和模块化数据处理手段完成报告有效内容的复用,可切实地提高雷电灾害风险评估技术服务的质量和效率。考虑到日后移动办公和业务整合的可能性,已预留服务端和移动端的多种技术接口,在本系统稳定运行的基础上,可以根据日后业务需求的变化,方便地接入新的功能模块,如实现远程办公、移动端采集现场数据、提供对接门户网站、公共平台的模块化服务等。
参考文献:
[1]任艳,林巧,冷洪旭等.雷电灾害风险评估管理系统研究[J].《信息系统工程》,2014(12):46-47.
关键词:雷击;风险评估;思考;建议
雷击风险评估是根据项目所在地雷电活动时空分布特征及其灾害特征,结合现场情况进行分析,对雷电可能导致的人员伤亡、财产损失程度与危害范围等方面的综合风险计算,从而为项目选址、功能分区布局、防雷类别与防雷措施确定、雷灾事故应急方案等提出建设性意见的一种评价方法。
通过雷击风险评估可为评估对象提供雷电防护的科学设计、灾害风险控制、经济投资、应急管理等方面服务,保证防雷工程安全可靠、技术先进、经济合理。雷击风险评估是开展综合防雷的必经程序,也是实现科学防雷的必要条件,体现了预防为主,防治结合的理念。
1衡阳市雷击风险评估工作开展情况
衡阳市的雷击风险评估工作在河南省起步较早,从2007年我们借鉴安全评价的做法,在衡阳市首次开展雷击风险评估工作。截止目前我们共完成大小雷击风险评估项目30多个,项目主要包括加油加气站、危险化工企业、易燃易爆场所、计算机信息系统、重要性建筑物等。年平均收入在20万左右。
组织人员结合衡阳市本地的观测资料和雷电监测网资料开展对雷电活动规律的研究,完成了衡阳市50年的年雷暴日数统计、衡阳市月雷暴和日雷暴分布规律统计等,同时编制完成了焦作市雷击风险区划,为雷击风险评估工作的开展打下坚实的基础。
建立了衡阳市防雷业务平台,编制了雷击风险评估软件,将繁琐的人工计算改为计算机自动运算,大大降低了雷击风险评估的计算量,提高了计算的准确性,同时也提高了工作效率。
2雷击风险评估工作中的一些经验和做法
2.1领导高度重视,充分履行管理职能
衡阳市局党组一直将创新工作作为工作重点来抓,经局党组研究将雷击风险评估工作作为当年的创新项目,为了能开展此项工作,市局领导先后组织人员到浙江等地对雷击风险评估的情况进行考查学习,并向广东、重庆等先进省市了解雷击风险评估的开展情况,汲取了很多先进的经验做法,为雷击风险评估工作的开展打下了基础。
2.2、加强宣传与协调沟通,寻找突破口
首先我们把一系列重大建设项目,特别是大型易燃易爆、危险化工项目作为工作的重点,一方面加大宣传力度,让对方了解雷击风险评估的重要性和必要性,同时加强与政府相关部门的合作。和安监等部门联合开展针对易燃易爆场所、危险化工企业的专项检查,对新建、在建易燃易爆场所、危险化工项目要求必须进行雷击风险评估,否则项目不予竣工验收。通过多方面的努力,在大型易燃易爆、危险化工项目的雷击风险评估取得了突破,现在上述建设项目在防雷装置图纸审核或竣工验收的时候必须提供该项目的雷击风险评估报告。
2.3加强人才队伍建设,建立一支高水平评估团队
雷击风险评估工作涉及各行各业,学科专业包含气象学、电磁学、建筑学、工程学等学科,技术规范包含国家规范、行业规范、地方规范等。评估报告要求数据详实、理论依据充分、结论客观科学、指导意见可行。因此我们一方面加大人才的引进,先后从大专院校引进本科生2名,专门从事雷击风险评估工作,同时加大在职人员的业务培训,不仅选派人员参加全国和全省性培训,同时加大内部交流,以雷击风险评估软件为平台,开展内部学习交流,吸取各方意见和建议,不断完善软件功能,真正提高雷击风险评估水平。
3对雷击风险评估工作的建议
3.1进一步健全政策法规环境
目前开展雷击风险评估法规和文件依据主要有: (1) 中国气象局第8 号令《防雷减灾管理办法》第二十七条。(2) 中国气象局第11 号令《防雷装置设计审核和竣工验收规定》第八条。以上法规并未明确界定评估行为的性质,评估范围也比较笼统。因此,我们建议尽快出台雷击风险评估的具体实施细则办法和有关雷击风险评估的收费标准。
3.2制定适合河南的相关技术标准、流程、质量管理体系
现阶段雷击风险评估主要采用或参考国际电工委员会( IEC) 制定的IEC 6230522《风险管理》和IEC 61662《雷电灾害风险评估》。上述的标准为开展雷击风险评估实践提供了有力的技术依据和指导作用, 但为了能更符合河南的防雷情况,我们应制定更适合我省的雷击风险评估标准。
同时为了雷击风险评估工作健康有序的开展,我们应制定一套科学严谨的技术流程和管理体系,进一步规范雷击风险评估工作,促进雷击风险评估工作的科学规范发展。
3.3加强人员培训和基础性研究
由于雷击风险评估开展时间不长,缺少专业技术人员,建议省局牵头多组织这方面的技术培训,迅速提升各地市、县局雷击风险评估整体技术水平, 使评估的质量和水平得到进一步提升。
同时开展一些有针对性的课题研究,提高雷击风险评估的技术含量,促进雷击风险评估工作的可持续发展。
4结语
雷击风险评估是一项投入少、经济和社会效益显著的工作;是一项科技含量高、发展前景好的项目,它是气象部门履行防雷减灾社会管理职责的一个重要方面,是气象部门利用资源优势做好防雷减灾工作,服务于社会的一个载体, 各地在开展业务过程中难免会遇到各种阻力和出现各种问题。因此,加强雷击风险评估工作的管理, 使建设项目防雷设计建立在科学的基础上, 避免盲目性, 保证防雷工程安全可靠, 技术先进, 经济合理, 是确保雷击风险评估工作健康持续发展的重要保障。
针对市、县雷击风险评估专业人才少,总体素质偏低的状况,建立自上而下的技术支持和素质教育培训制度。在基层选拔和培养一批懂管理、技术精的骨干人才,带动雷击风险评估项目的广泛开展;为保证雷击风险评估过程的客观性、公正性、严肃性,应设定资格准入,完善资质和资格管理制度,制定评估机构资质的申报、审批、监管流程,根据评估机构的章程制度、评估能力和质量管理水平来确定资质及业务范围,对从事雷击风险评估的工作人员,要通过专业培训和考核,实行持证上岗制度;加强部门协作,加强雷击风险评估目的、意义和作用的宣传,提高社会公众的雷电灾害风险意识、防灾减灾意识。雷击风险评估的全面开展,离不开政府相关职能部门的支持配合,应加强与规划、建设、安监、消防等部门的协作,建立联合审批机制,将雷击风险评估列为项目审批内容、前置条件范围。
参考文献
关键词:网络安全;风险评估;安全措施
中图分类号:TP393文献标识码:A 文章编号:1009-3044(2008)06-11012-01
A Survey of Network Security Risk Assessment
CHEN Jun-wei
(Dept. of Computer, Nanjing University of Posts and Telecommunications, Nanjing 210003,China)
Abstract:To assess the security condition of a network system, is one of the most important technologies in security area. In this paper, we will point out the shortcomings of the present security guard, in the discussion of the standards and measures of existing risk assessment, and propose methods and directions which are beneficial in perfecting the assessment systems.
Key words:Network security; risk assessment; security measures
1 引言
频频发生的信息安全事件正在日益引起全球的关注,列举的近年来的网络突发事件,不难发现,强化提升网络安全风险评估意识、强化信息安全保障为当务之急。所谓风险评估,是指网络安全防御中的一项重要技术,它的原理是,根据已知的安全漏洞知识库,对目标可能存在的安全隐患进行逐项检查。然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告,为提高网络安全整体水平提供重要依据。完成一个信息安全系统的设计与实施并不足以代表该信息安全事务的完结。随着新技术、新应用的不断出现,以及所导致的信息技术环境的转变,信息安全工作人员要不断地评估当前的安全威胁,并不断对当前系统中的安全性产生认知。
2 网络安全风险评估的现状
2.1 风险评估的必要性
有人说安全产品就是保障网络安全的基础,但有了安全产品,不等于用户可以高枕无忧地应用网络。产品是没有生命的,需要人来管理与维护,这样才能最大程度地发挥其效能。病毒和黑客可谓无孔不入,时时伺机进攻。这就更要求对安全产品及时升级,不断完善,实时检测,不断补漏。网络安全并不是仅仅依靠网络安全产品就能解决的,它需要合适的安全体系和合理的安全产品组合,需要根据网络及网络用户的情况和需求规划、设计和实施一定的安全策略。通常,在一个企业中,对安全技术了如指掌的人员不多,大多技术人员停留在对安全产品的一般使用上,如果安全系统出现故障或者黑客攻击引发网络瘫痪,他们将束手无策。这时他们需要的是安全服务。而安全评估,便是安全服务的重要前期工作。网络信息安全,需要不断评估方可安全威胁。
2.2 安全评估的目标、原则及内容
安全评估的目标通常包括:确定可能对资产造成危害的威胁;通过对历史资料和专家的经验确定威胁实施的可能性;对可能受到威胁影响的资产确定其价值、敏感性和严重性,以及相应的级别,确定哪些资产是最重要的;准确了解企业网的网络和系统安全现状;明晰企业网的安全需求;制定网络和系统的安全策略;制定网络和系统的安全解决方案;指导企业网未来的建设和投入;通过项目实施和培训,培养用户自己的安全队伍。而在安全评估中必须遵循以下原则:标准性原则、可控性原则、整体性原则、最小影响原则、保密性原则。
安全评估的内容包括专业安全评估服务和主机系统加固服务。专业安全评估服务对目标系统通过工具扫描和人工检查,进行专业安全的技术评定,并根据评估结果提供评估报告。
目标系统主要是主流UNIX及NT系统,主流数据库系统,以及主流的网络设备。使用扫描工具对目标系统进行扫描,提供原始评估报告或由专业安全工程师提供人工分析报告。或是人工检查安全配置检查、安全机制检查、入侵追查及事后取证等内容。而主机系统加固服务是根据专业安全评估结果,制定相应的系统加固方案,针对不同目标系统,通过打补丁、修改安全配置、增加安全机制等方法,合理进行安全性加强。
系统加固报告服务选择使用该服务包,必须以选择ISMR/SSMR/HME服务包为前提,针对评估分析报告,提出加固报告。系统加固报告增强服务选择使用该服务包,必须以选择ISMR/SSMR/HME服务包为前提,针对评估分析报告,提出系统加固报告,并将系统加固报告、加固步骤、所需补丁程序以光盘形式提交客户。系统加固实施服务选择使用该服务包,必须以选择 ISMR/SSMR/HME服务包为前提,针对评估分析报告,提出系统加固报告,并将系统加固报告、加固步骤、所需补丁程序以光盘形式提交客户,并由专业安全工程师实施加固工作。
3 网络安全风险评估系统
讨论安全评定的前提在于企业已经具有了较为完备的安全策略,这项工作主要检测当前的安全策略是否被良好的执行,从而发现系统中的不安全因素。当前计算机世界应用的主流网络协议是TCP/IP,而该协议族并没有内置任何安全机制。这意味着基于网络的应用程序必须被非常好的保护,网络安全评定的主要目标就是为修补全部的安全问题提供指导。
评定网络安全性的首要工作是了解网络拓扑结构,拓扑描述文档并不总能反映最新的网络状态,进行一些实际的检测是非常必要的。最简单的,可以通过Trackroute工具进行网络拓扑发现,但是一些网络节点可能会禁止Trackroute流量的通过。在了解了网络拓扑之后,应该获知所有计算机的网络地址和机器名。对于可以访问的计算机,还应该了解其正在运行的端口,这可以通过很多流行的端口发现工具实现。当对整个网络的架构获得了足够的认知以后,就可以针对所运行的网络协议和正在使用的端口发现网络层面的安全脆弱点了。通常使用的方法是对协议和端口所存在的安全漏洞逐项进行测试。
安全领域的很多专家都提出边界防御已经无法满足今天的要求,为了提高安全防御的质量,除了在网络边界防范外部攻击之外,还应该在网络内部对各种访问进行监控和管理。企业组织每天都会从信息应用环境中获得大量的数据,包括系统日志、防火墙日志、入侵检测报警等。是否能够从这些信息中有效的识别出安全风险,是风险管理中重要一环。目前的技术手段主要被应用于信息的收集、识别和分析,也有很多厂商开发出了整合式的安全信息管理平台,可以实现所有系统模块的信息整合与联动。
数据作为信息系统的核心价值,被直接攻击和盗取数据将对用户产生极大的危害。正因为如此,数据系统极易受到攻击。对数据库平台来说,应该验证是否能够从远程进行访问,是否存在默认用户名密码,密码的强度是否达到策略要求等。而除了数据库平台之外,数据管理机制也应该被仔细评估。不同级别的备份措施乃至完整的灾难备份机制都应该进行有效的验证,不但要检验其是否存在安全问题,还要确认其有效性。大部分数据管理产品都附带了足够的功能进行安全设定和数据验证,利用这些功能可以很好的完成安全评定工作并有效的与安全策略管理相集成。攻击者的一个非常重要目的在于无需授权访问某些应用,而这往往是获得系统权限和数据的跳板。事实上大部分的安全漏洞都来自于应用层面,这使得应用程序的安全评定成为整个工作体系中相当重要的一个部分。与更加规程化的面向体系底层的安全评定相比,应用安全评定需要工作人员具有丰富的安全知识和坚实的技术技能。
4 结束语
目前我国信息系统安全风险评估工作,在测试数据采集和处理方面缺乏实用的技术和工具的支持,已经成为制约我国风险评估水平的重要因素。需要研究用于评价信息安全评估效用的理论和方法,总结出一套适用于我国国情的信息安全效用评价体系,以保证信息安全风险评估结果准确可靠,可以为风险管理活动提供有价值的参考;加强我国信息安全风险评估队伍建设,促使我国信息安全评估水平得到持续改进。
参考文献:
[1] 陈晓苏,朱国胜,肖道举.TCP/IP协议族的安全架构[N].华中科技大学学报,2001,32-34.
[2] 贾颖禾.国务院信息化工作办公室网络与信息安全组.信息安全风险评估[J].网络安全技术与应用,2004(7),21-24.
[3] 刘恒,信息安全风险评估挑战[R],信息安全风险评估与信息安全保障体系建设研讨会,2004.10.12.
[4] [美]Thomas A Wadlow.网络安全实施方法.潇湘工作室译.北京:人民邮电出版社,2000.
[5] 张卫清,王以群.网络安全与网络安全文化[J].情报杂志,2006(1),40-45
[6] 赵战生,信息安全风险评估[R],第全国计算机学术交流会,2004.7.3.
【关键词】企业风险;风险评估系统
一、研究背景
在全球经济一体化的大背景下,企业间的国际竞争加剧,面临的风险也更加多样化。金融危机的发生导致很多企业成了金融危机时代的牺牲品。我国企业想要在激烈的竞争中生存并且健康发展,必须提高企业竞争力,从内部完善自己,加强企业管理,建立完善的内部控制制度,找到适合我国企业的内部控制和风险管理制度,识别和衡量企业面对的内外风险以提高企业的竞争能力,实现企业的价值已成为了企业当前最迫切的任务。风险评估是内部控制的重要组成部分,2006年,财政部、证监会等五部委联合的《企业内部控制基本规范》中指出:企业建立与实施有效的内部控制,应当包括内部环境、风险评估、控制活动、信息与沟通、内部监督这五要素。其中,风险评估是指企业应当及时识别、系统分析经营活动中与实现内部控制目标相关的风险,并合理确定风险应对策略。若企业不能及时识别风险及其可能带来的影响,及时调整企业的战略方向,则可能错过化解风险的最好时机,不能避免风险所带来损失的扩大,增加企业陷入财务或经营困难的可能性。当前信息技术发展迅速,逐渐成为促进经济发展和社会进步的巨大推动力,信息技术在会计、审计等方面均有广泛的运用,提高了信息采集、交换、处理、存储的准确性和效率。信息技术的发展也为内部控制提供了支持平台,特别是内部控制风险评估方面,其他相关信息系统所产生的数据为风险评估带来大量有用的信息,通过将风险评估与信息化结合,能够实现对企业风险变化的实时观测与控制,并利用风险信息的变化情况对企业的未来财务形势做出合理的预测,提高企业的管理水平。本文基于以上背景,探讨信息化环境下内部控制风险评估系统的构建。
二、内部控制风险评估信息系统的优势
内部控制风险评估系统是采用现代信息技术,对风险评估流程进行重整,使信息技术与风险评估系统高度融合,使风险评估过程高度自动化,信息高度共享,并且能够进行主动和实时报告风险评估信息,迅速提高企业的现代管理水平、满足现代企业管理需要。将信息化运用在内部控制风险评估上主要有以下优势:(1)实时监测。信息化内部控制风险评估使得实时检测成为可能,当经过某个时间点或约定的事项发生时,可以马上触发系统的运行,进行新一轮的风险评估,不需要人工检测,减少了人力的耗费,并且当风险评估的结果超过风险临界值时,系统会迅速反应,将问题报告提交给相关人员,帮助以最快的速度采取应对措施,防止因反应不及时导致风险加剧,降低损失扩大的可能性。(2)信息高度共享。信息化内部控制风险评估所用数据可以来自企业其他信息系统的数据库中,实现与现有信息系统的数据库对接,提高信息的利用率。在风险评估时不需要重新收集风险评估相关数据,避免在信息采集、存贮和管理上重复浪费,大大减轻了工作量,节约成本,并且避免了相关数据更新后风险评估系统没有及时得到最新数据的可能性。(3)决策支持。内部控制风险评估系统在运行时会产生大量的风险评估数据,这些数据可以为管理者提供决策支持,管理者通过对这些大量的风险评估数据进行数据挖掘,能够发现潜在有用的数据,发现异常情况,判断风险数据的变化过程,及时做出正确有效的决策。
三、内部控制风险评估系统的构建
构建内部控制风险评估系统需要一系列的步骤,首先应该设立风险评估的指标体系,并分别设置指标体系的权重,确定重点关注的风险,设置整体风险的临界值。之后进行风险的评估过程,获取所需要的数据,进行实时评估,生成评估报告并存档,当评估中出现重要指标或整体指标超过临界值时,生成预警报告,提交给相关人员,相关人员在进行风险控制活动之后,将整改报告提交给系统。内部控制风险评估系统的大致过程如下图所示:
1.建立指标体系。要进行风险评估,首先应该纵观企业生产经营活动的全过程,发现、认识和了解企业存在的各种风险以及风险可能带来的严重后果.财政部、证监会等五部委联合的《企业内部控制基本规范》中指出:企业识别内部风险,应当关注管理因素、人力资源因素、财务因素、安全环保因素、自主创新因素、其他有关内部风险因素这六大因素。因为安全环保因素不易于定量研究,并且安全环保因素对我国企业的生产经营风险的影响尚不明显,本文在建立指标体系中以企业外部经济环境安全因素替代安全环保因素,采用了反映企业管理因素、人力资源因素、财务因素、自主创新因素、企业外部经济环境安全因素、其他风险因素等相关财务指标体系进行评估。企业会计准则对企业会计信息质量提出八点要求,即企业财务信息具有可靠性、相关性、可比性、可理解性、实质重于形式、谨慎性、重要性、及时性的特征。以财务指标作为评估企业风险的依据,使评估结果更为合理、公允。本文对于各个一级指标,均设立了二级指标对一级指标进行细分。本文建立的风险评估财务指标体系如下表所示:
(1)管理因素评估指标构建
(2)人力资源因素评估指标构建
(3)财务因素评估指标构建
(4)自主创新因素评估指标构建
(5)外部经济环境安全因素评估指标构建
(6)其他风险因素评估指标构建
对于每一个指标,企业可以根据自己的情况进行下一级别的细分或者增设、删除其他的指标,来改变风险评估指标体系的结构和内容,以使得风险评估指标体系更加适合于企业的具体情况
2.风险评估,输入权重、风险临界值。风险评估指标体系的衡量指标的具体数值可以通过两种方式获得:通过数据库读入或者手工输入。企业在信息化的实施过程中使用各种信息系统,例如管理信息系统、企业信息系统、企业资源规划系统等。这些系统在运行过程中会产生大量的数据,有一些数据可以直接为风险评估所使用。例如,在评估应收账款风险时,要使用应收账款周转率、坏账比例、商品赊销比例、客户信用等指标,这些指标的具体数值可以通过会计信息系统以及客户关系管理系统获得,通过读取会计信息系统、客户关系管理系统的数据库,可以得到实时数据,进行实时风险评估。输入权重,要根据企业的具体情况来确定企业对风险的可接受程度,设立风险临界值。风险临界值的确定要根据行业性质、规模、特点及同行业相关指标的平均值、估计最大值、估计最小值等因素分为整体风险临界值和个别风险临界值,整体临界值为根据各个指标风险可接受程度加权算得,个别风险临界值是根据个别指标的风险可接受程度来设置各自的临界值,对于个别会带来严重后果的重要指标,要筛选出来进行独立观测。读取了所需数据之后,就可以按风险评估指标体系以及权重数值来计算整体风险以及个别重要指标的风险。将整体风险和个别重要指标的风险的计算结果生成一定格式的文档,储存在风险评估系统的数据库中,以便随时查看并分析风险变化的过程,更好的掌握整体风险和重要指标风险的变化趋势,做出预测分析,评估未来风险状况及其可能产生的影响,以便制定切实可行的风险战略、措施与方法。计算出整体风险和重要指标风险之后,要分别将其与各自的临界值进行对比,若整体风险数值大于整体风险临界值,则进行风险报警,将风险报告提交给相关人员;若重要指标风险数值大于重要指标风险临界值,也需进行风险报警,将风险报告提交给相关人员;若整体风险数值以及重要指标风险数值均小于风险临界值,则再进入下一轮的风险评估或当外界条件改变时触发新一轮的风险评估。
3.控制活动。相关人员在收到风险报告之后,根据风险报告中的风险指标、风险数值偏离风险临界值的程度来确定风险严重程度,并采取相应风险控制措施和方法,消灭或控制风险事件发生的源头,控制风险事件造成的损失以及范围。在控制活动完毕之后,出具相关报告,将报告提交给风险评估系统,作为文件存档,以便之后随时查阅并总结规律,提高风险评估与控制的水平。
四、总结
风险评估是企业经营管理的重要组成部分之一,本文结合2006年出台的《企业内部控制规范》的要求以及前人的研究成果,探讨了在信息化的环境下内部控制风险评估系统的构建,对内部控制风险评估系统的各个环节进行了分解,并详细分析了各个流程的具体实现方式,试图建立一个内部控制风险评估系统的框架,实现对企业风险变化的实时观测与控制,利用风险信息的变化情况对企业的未来财务形势做出合理的预测,提高企业的管理水平。
参考文献
[1]王立勇,张秋生.企业内部控制中的风险评估研究[J].交通财会.2002(2)
[2]关艳丽.用ERP增强企业内部会计控制[J].宁夏机械.2007(3)
[3]郝林毅.基于内控风险的财务预警警兆识别系统初探[J].科技创业.2008(8)
[4]李雅琴.基于风险管理的企业内部控制探析[J].会计之友.2009(7)
[5]鲍建青.基于风险管理的内部控制研究[J].经济师.2009(10)
[6]杜国栋.企业内部控制与风险管理解析[J].经济研究导论.2010(2)
[7]侯微.基于风险管理视角的企业内部控制体系重构[J].工商管理.2010(3)
为加强精细化工企业(以下简称企业)安全生产管理,进一步落实企业安全生产主体责任,强化安全风险辨识和管控,提升本质安全水平,提高企业安全生产保障能力,有效防范事故,现就加强精细化工反应安全风险评估工作提出如下指导意见:
一、充分认识开展精细化工反应安全风险评估的意义
精细化工生产中反应失控是发生事故的重要原因,开展精细化工反应安全风险评估、确定风险等级并采取有效管控措施,对于保障企业安全生产意义重大。开展反应安全风险评估也是企业获取安全生产信息,实施化工过程安全管理的基础工作,加强企业安全生产管理的必然要求。当前精细化工生产多以间歇和半间歇操作为主,工艺复杂多变,自动化控制水平低,现场操作人员多,部分企业对反应安全风险认识不足,对工艺控制要点不掌握或认识不科学,容易因反应失控导致火灾、爆炸、中毒事故,造成群死群伤。通过开展精细化工反应安全风险评估,确定反应工艺危险度,以此改进安全设施设计,完善L险控制措施,能提升企业本质安全水平,有效防范事故发生。
二、准确把握精细化工反应安全风险评估范围和内容
(一)企业中涉及重点监管危险化工工艺和金属有机物合成反应(包括格氏反应)的间歇和半间歇反应,有以下情形之一的,要开展反应安全风险评估:
1.国内首次使用的新工艺、新配方投入工业化生产的以及国外首次引进的新工艺且未进行过反应安全风险评估的;
2.现有的工艺路线、工艺参数或装置能力发生变更,且没有反应安全风险评估报告的;
3.因反应工艺问题,发生过生产安全事故的。
(二)精细化工生产的主要安全风险来自于工艺反应的热风险。开展精细化工反应安全风险评估,要根据《精细化工反应安全风险评估导则(试行)》(见附件)的要求,对反应中涉及的原料、中间物料、产品等化学品进行热稳定测试,对化学反应过程开展热力学和动力学分析。根据反应热、绝热温升等参数评估反应的危险等级,根据最大反应速率到达时间等参数评估反应失控的可能性,结合相关反应温度参数进行多因素危险度评估,确定反应工艺危险度等级。根据反应工艺危险度等级,明确安全操作条件,从工艺设计、仪表控制、报警与紧急干预(安全仪表系统)、物料释放后的收集与保护,厂区和周边区域的应急响应等方面提出有关安全风险防控建议。
三、强化精细化工反应安全风险评估结果运用,完善风险管控措施
(一)涉及的反应工艺危险度被确定为2级及以上的,要根据危险度等级和评估建议,设置相应的安全设施和安全仪表系统;反应工艺危险度被确定为4级及以上的,在全面开展过程危险分析(如危险与可操作性分析)基础上,通过风险分析(如保护层分析)确定安全仪表的安全完整性等级,并依据要求配置安全仪表系统;对于反应工艺危险度被确定为5级的,相关装置应设置在由防爆墙隔离的独立空间中,并设计超压泄爆设施,反应过程中操作人员不应进入隔离区域。企业要优先通过开展工艺优化或改变工艺路线降低安全风险。
(二)企业要把反应安全风险评估作为安全管理的重要内容,新建项目要以反应安全风险评估结果为依据,开展工艺设计及安全设施设计,保证各项安全控制措施落实到位;相关在役装置要根据反应安全风险评估结果,补充和完善安全管控措施,及时审查和修订操作规程。
(三)企业要保证设备设施满足反应工艺安全要求,根据反应安全风险评估情况,建立关键设备设施清单,定期开展检查、维护和维修,要确保泄放、冷却、降温等设施和安全仪表等系统的完好、可用。要开展有针对性的岗位操作培训,保证岗位操作人员熟练掌握本岗位反应安全风险,严格执行岗位操作规程,不断提升操作技能。要根据反应安全风险评估结果,制定岗位应急处置方案和事故专项应急预案,强化定期演练,提高应急处置能力。
四、工作要求
(一)反应安全风险评估工作专业性强,技术要求高,各有关企业要高度重视,聘请具备相关专业能力的机构组织开展评估。企业要加大对工艺反应测试分析条件的投入,培育专业工程技术人员,逐步形成自身开展反应安全风险评估工作的能力。
(二)有关企业要确保列入评估范围的新建装置在编制可行性研究报告或项目建议书前,完成反应安全风险评估。对相关在役装置要制定计划逐步开展,根据评估结果完善风险控制措施,努力降低安全风险。从2020年开始,凡列入评估范围,但未进行反应安全风险评估的精细化工生产装置,不得投入运行。
(三)地方各级安全监管部门要结合本地区实际,指导和督促相关企业开展反应安全风险评估,积极跟踪评估结论,掌握并研判本地区有关企业的风险情况。积极培育具备条件的反应安全风险评估机构,鼓励具备条件的有关科研单位提供技术服务支持,加强技术人才队伍培养,配备完善实验测试设施,规范服务工作,提高反应安全风险评估能力和质量。
请各省级安全监管局及时将本指导意见精神传达至本辖区各级安全监管部门及有关企业。
附件:精细化工反应安全风险评估导则(试行)
(详见安监总局网站)
关键词:施工企业 COSO报告 内部控制系统 风险管理
一、COSO内部控制框架
美国政府为了加强对市场的监管,出台了内部控制及公司治理的相关措施,其中COSO委员会于1992年提出、并于1994年修改的《内部控制整合框架》将内部控制定义为由企业董事会、管理层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。内部控制由控制环境、风险评估、控制活动、信息和沟通以及监督这五个要素构成。上述三类目标是企业的努力方向,而五个要素则是实现目标的必要条件,二者相互关联。五个要素之间相互协调,共同构成对不断变化的环境做出动态反应的有机整体。进入21世纪后,风险管理备受全球关注,COSO委员会于2004年了《企业风险管理整合框架》,包括内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通以及监督八个要素。我国于2008年了《企业内部控制基本规范》,该规范中对内控的描述与《内部控制整合框架》基本相同。
二、施工企业的控制环境
内部控制在施工企业具有广泛的适用性,然而,目前我国施工企业的内部控制还相当薄弱,主要表现在内部控制环境差,风险评估意识淡薄,控制活动不严密,信息与沟通不流畅以及监督检查流于形式这五个方面。从我国施工企业内部控制的现状来看,构建一个理想的内部控制体系势在必行。控制环境是五个要素中最基本的要素,被视为其他四个要素的基础。施工企业的控制环境主要包括以下四个方面。
(一)高管层的重视与支持
施工企业内部控制是企业管理中一项综合性很强的工作,涉及到施工工作的各个环节,影响每个职工的切身利益,尤其是对高管层权力具有约束作用。例如针对分包队伍管理这一问题,有些单位将该权利交由主管领导一人决定;若实施内部控制制度,则需要全员共同参与决策。因此,内部控制制度是否能够在施工企业顺利、有效展开实施,良好的控制环境能否在施工企业建立,高管层的重视和支持起关键性作用。
(二)与施工企业相适应的用人机制
施工企业的施工现场很多地处偏远山区,生活及工作环境比较恶劣,致使许多施工企业出现了关键技术员工辞职、离职的现象,严重影响施工生产的正常运行。如果企业缺乏完善的人事制度,企业的管理、运转,甚至生存都将面临危险。因此,对施工企业来讲,一套较为完善的人事制度,应该包括员工的录用制度、培训制度、考核制度、晋升制度以及激励和福利制度等。
(三)加强施工企业文化建设
文化是企业的灵魂,优秀的企业文化是一种无形的力量和源泉,能够引导每一位员工以良好的精神面貌完成每一项管理和控制工作。施工企业的流动性决定了其企业文化的特殊之处。施工现场文化主要体现为文明施工建设,主要包括规范现场的场容管理,保持作业环境整洁卫生;做好现场物资、机械、安全、技术、保卫和消防等方面管理;施工现场各种标识牌和标语的管理;员工娱乐设施管理,减少对居民和环境的不利影响等。施工工地的文明施工水平是该项目工地乃至所在企业各项管理工作水平的综合体现,也是施工企业文化特色的集中表现。
(四)合理、高效的施工企业组织机构
施工生产的单件性、露天性和流动性的特征,使施工企业的组织形式,尤其是现场组织形式,处于动态组合状态。面对日益复杂多变的市场环境,组织机构的设置应有利于企业走向市场,同时有利于增加企业经济效益。
三、施工企业的风险管理
施工企业常见的风险类型包括经营风险、管理风险以及财务风险等方面。施工企业应树立风险意识,分析风险的类别及其特点,划分风险的责任范围,针对各个风险控制点建立有效的风险识别、评估、响应和监控等风险管理流程系统。通过各种具体措施,缩小风险范围,降低风险系数,明确风险目标,加强管理,提高工作效率,减少风险损失,保证施工生产的正常运行。
施工企业风险管理的循环一般包括四个环节。(1)风险识别环节,应分析工程项目风险,识别风险来源。(2)风险评估环节,应根据项目风险的严重性,发生的可能性、可控性来评估风险。(3)风险响应环节,应确定工程项目风险的应对措施。(4)风险控制环节,应建立风险预警系统、制定应急计划。
四、施工企业的控制活动
施工企业内部控制活动的关键控制点主要包括项目资金、项目采购、工程质量、工程成本以及工程项目资源。
(一)项目资金的内部控制
施工企业的流动性及投资的巨大性,决定了资金控制除了授权批准制度以及不相容职务分离外,建立资金结算中心模式更有利于整合遍及全国乃至海外的众多项目资金。
(二)项目采购的内部控制
建设工程项目成本的70%左右均为材料成本,因此降低材料成本是降低生产成本的关键所在,而要降低材料成本,材料采购是最关键的环节之一。根据世界银行贷款项目的货物采购等有关招标采购文件,并结合我国施工企业的实际情况,施工项目物资采购的一般程序为确定采购计划、采购方式、签订合同、执行合同、物资验收以及资料归档。
(三)工程质量的内部控制
工程质量是企业的生命,且工程质量又与工程安全密切相关,因此推行全面质量管理,建立全面质量管理体系,采用科学方法对工程质量采用“一切用数据说话”的基准进行判断,才能确保工程施工质量。
(四)工程成本的内部控制
施工项目成本费用管理效率的水准对施工企业的绩效改善和持续发展极其重要,应实行项目全面成本管理责任体系,将材料控制、劳动控制、机械设备控制、项目间接费控制等方面作为实施重点。
(五)工程项目资源的内部控制
项目资源的内部控制,即各生产要素的管理,一般分为五个阶段,即投标、签约阶段,施工准备阶段,施工阶段,验收、交工与竣工结算阶段,用户服务阶段。项目资源的内部控制是一个综合管理的过程,是优质、高效建筑产品的诞生不可省略的过程之一。
五、施工企业的信息与沟通
信息沟通的方式很多,施工企业一般通过财务信息系统、内部报告系统进行沟通。
(一)财务信息系统
目前,施工企业实行的是财务多级核算模式,具体表现为各个施工队会计报账至各个项目部;各个项目部将其财务报表上交各个分公司;再由各个分公司将其财务报表上交集团总公司。施工企业应结合企业流程再造的思想对企业的组织和业务流程进行重新审视,建立与企业分散施工特点相符的组织结构。同时,在现有的已实施会计电算化的基础上,依托网络技术逐步推进企业内部所有核算单位的会计信息的集中管理模式,逐步改变目前实行的多级管理核算模式(见上图)。
(二)内部报告系统
常用的内部报告体系包括施工生产经营报告体系、资本经营报告体系、预算执行报告体系等三大体系。具体地,施工生产经营报告体系包括财务状况分析报告、项目经理述职报告、施工生产安全报告、施工生产经营报告以及施工质量控制报告;资本经营报告体系包括筹资及其成本报告、所得税报告以及对外投资报告;预算执行报告体系包括收入中心预算执行报告、成本中心预算执行报告、费用中心预算执行报告、利润中心预算执行报告以及投资中心预算执行报告。
六、施工企业的监督
在施工企业内部控制的监督过程中,内部审计和自我评估两项职能发挥着重要作用。
(一)内部审计
施工企业的内部审计既是企业内部控制的一个重要组成部分,又是监督企业内部控制是否严格执行,促进内部控制制度不断完善的重要力量。内部审计主要包括严格审计程序,规范审计行为,确保审计质量;合理设置审计机构,提高内部审计的独立性与客观性;构建信息化方式下,内部审计监督新模式、新方法;合理配备审计人员,提高审计人员素质等方面。
(二)自我评估
在进行内部控制自我评估,编写内部控制自我评估报告时,应就以下八个方面的内容进行披露。(1)声明公司董事会对建立健全和有效实施内部控制负责,并履行了指导和监督职责,能够保证财务报告的真实可靠和资产的安全、完整。(2)声明已经遵循有关标准和程序对内部控制设计与运行的健全性、合理性和有效性进行了自我评估。(3)对开展内部控制自我评估所涉及的范围和内容进行简要描述。(4)声明通过内部控制自我评估,可以合理保证公司的内部控制不存在重大缺陷。(5)如果在自我评估过程中发现内部控制存在重大缺陷,应披露有关的重大缺陷及其影响,并专项说明拟采取的改进措施。(6)保证了已披露的内部控制重大缺陷之外,不存在其他重大缺陷。(7)自资产负债表日至内部控制自我评估报告报出日之间,如果内部控制的设计与运行发生了重大变化,应说明重大变化情况及其影响。第八,依法披露的内部控制自我评估报告,经董事会审议批准后方可公布。
参考文献:
1.Kevin Buehler,Andrew Freeman,Ron Hulme. Owning the Right Risks[J].Harvard Business Review,2008,(09).
2.Keith Wade,Andy Wynne.控制自我评估理论及应用[M].北京:中国财政经济出版社,2008.
3.卜永军.建设工程项目管理一本通[M].北京:地震出版社,2007.
4.方红星译.内部控制――整合框架[M].大连:东北财经大学出版社,2008.
5.刘霄仑译.SOA与内部审计新规则[M].北京:中国时代经济出版社,2007.
6.刘晓红,徐玖平.项目风险管理[M].北京:经济管理出版社,2008.
7.内部控制课题组.企业内部控制基本规范解读与案例分析[M].上海:立信会计出版社,2008.
8.商德福.施工企业的管理与控制活动初探及案例风险[J].经营管理者,2013,(3).
【 关键词 】 物联网;信息安全;检测体系
1 引言
随着国家信息网络基础设施基本完成,信息化应用全面展开,物联网广泛应用于公共事业/服务、交通运输、个人用户、批发零售、工业、制造业、商业、服务业、农业、建筑业、金融业等。目前来看,物联网虽然给人们带来便利,但物联网在信息安全方面还存在一定的局限性。一是存在信号受到干扰的可能。如果安置在物品上的传感设备信号受到恶意干扰,很容易造成重要物品损失以及重要信息被篡改、丢失的隐患。二是恶意入侵的隐患。如果病毒、黑客、恶意软件绕过了相关安全技术的防范,对物联网的授权管理进行恶意操作,掌控他人的物品,就会造成对用户隐私权的侵犯。如果爆炸物、枪支等危险物品被其它人掌控,后果会十分严重。因此,物联网安全问题如果得不到有效解决,将严重阻碍物联网产业发展。由于物联网感知节点和传输设备具有能量低、计算能力差、运行环境恶劣、通信协议庞杂等特点,使得传统安全技术无法直接应用于物联网,由此引发物联网特有的安全问题,而物联网安全技术和安全状况缺乏有效的检测和评价手段。
我国政策环境较好,物联网已成为国家发展战略,初步明确了未来发展方向和重点领域。国家高度重视物联网安全建设。2013年初,国务院了《关于推进物联网有序健康发展的指导意见》(国发[2013]7号)中明确提出以工业和信息化部、发展改革委、公安部牵头承担物联网安全保障专项行动计划:提高物联网信息安全管理与数据保护水平,建立健全监督、检查和安全评估机制。加强物联网重要应用和系统的安全测评、风险评估和安全防护工作。加快物联网相关标准、检测、认证等公共服务建设,完善支撑服务体系,有效保障物联网信息采集、传输、处理、应用等各环节的安全可控。
2 物联网一体化安全检测体系
各类物联网示范工程进行大规模应用之前,应充分考虑和评测其安全性,从源头保证物联网安全措施有效性、功能符合性、安全管理的全面性以及给出安全防护评估。在建设实施阶段,将所有的安全功能模块(产品)集成为一个完整的系统后,需要检查集成出的系统是否符合要求,测试并评估安全措施在整个系统中实施的有效性,跟踪安全保障机制并发现漏洞,完成系统的运行程序和全生命期安的安全风险评估报告。在运行维护阶段,要定期进行安全性检测和风险评估以保证系统的安全水平在运行期间不会下降,包括检查产品的升级和系统打补丁情况,检测系统的安全性能,检测新安全攻击、新威胁以及其它与安全风险有关的因素,评估系统改动对安全系统造成的影响。
物联网关键安全问题:一是感知设备安全;二是物联网系统安全和风险评估,重点是接入问题;三是业务应用安全。目前,各行业均提出了相应的安全防护体系,如智能电网系统、工业控制系统等。本文依据相关的安全防护体系提出物联网一体化安全检测体系,即“一中心、两库、五平台”,如图1所示。即开放式场景检测支撑平台、感知设备安全检测服务平台、物联网系统安全检测服务平台、物联网系统风险评估服务平台、物联网集成化安全管理检查服务平台、物联网安全检测标准及指标库、物联网信息安全漏洞与补丁库以及一体化安全检测管理中心。在此基础上,结合物联网具体业务需求,进行物联网安全检测方法、规范、指标体系、专业化检测技术研究与积累。同时,形成一支服务于物联网安全检测的多层次、复合型、专业化人才队伍,全面保障物联网系统安全稳定运行。
3 “五平台”
“五平台”提供检测、检查和评估三类专业化服务,其中物联网集成化安全管理检查服务平台可作为独立平台对外提供检查服务;开放式场景检测支撑平台为感知设备安全检测服务平台与物联网系统安全检测服务平台提供安全符合性检测环境,此三个平台提供技术检测服务;物联网系统风险评估服务平台在前述四个平台基础上,关联外在威胁,分析自身脆弱性,提供风险评估服务。“五平台”结构关系如图2所示,“五平台”既可独立提供检测服务,也可互为补充,为用户提供定制化的检测服务,形成开放式检测服务体系架构。
3.1 开放式场景检测支撑平台
开放式场景检测支撑平台实现物联网感知设备、接入系统、业务应用三层检测环境,如图3所示。通过多部件的灵活组建,实现其感、传、知、用的安全功能检测,灵活支持用户个性化的检测需求。
3.2 感知设备安全检测服务平台
感知设备安全检测服务平台实现一个通用的感知设备安全检测系统,由开放式场景检测支撑平台为被测设备提供运行检测环境,其从感知操作安全、感知数据处理安全、感知数据存储安全和感知节点设备安全、感知节点通信安全等五方面检测安全功能和性能,其检测框架如图4所示。
3.3 物联网系统安全检测服务平台
物联网系统安全检测服务平台以系统、整体的视角对智能感知层访问控制、身份认证等策略配置进行符合性测试;对接入传输层的AKA机制的一致性或兼容性、跨域认证和跨网络认证等进行检测;对业务应用层数据库安全、应用系统和网站安全、应用系统稳定性、业务连续性等进行符合性和有效性检测。检测框架如图5所示。
3.4 物联网系统风险评估服务平台
物联网系统风险评估服务平台对可能遭受到的威胁和自身脆弱性进行安全分析,然后根据安全事件的可能性以及安全事件造成的损失计算出风险值、对安全事件进行风险等级定级,最后结合安全事件所涉及的资产价值来判断安全事件一旦发生对物联网系统造成的影响。风险评估框架如图6所示。
3.5 集成化安全管理检查服务平台
集成化安全管理检查服务基于物联网多类型终端、多网融合、海量数据处理和全面感知等特点。从防范阻止、检测发现、应急处置、审计追查和集中管控五个方面,对物联网系统智能感知层、接入传输层和业务应用层的安全管理情况进行检查,其安全管理检查框架如图7所示。
4 “两库”
4.1 标准及指标库
基础库“标准及指标库”通过构建物联网安全检测标准子库与指标子库为“五平台”提供支撑。标准子库建设来源:一是从物联网国际标准组织IEEE、ISO、ETSI、ITU-T、3GPP、3GPP2了解国际最新标准,研究制订适合国情的物联网标准;二是从国内标准组织:WGSN、CCSA和RFID标准工作组获取最新标准;三是随着业务开展,编制了物联网安全标准。物联网一体化安全检测标准体系框架,按照标准服务性质的区分,分为物联网产品安全检测标准、物联网系统安全检测标准、物联网风险评估标准以及集成化安全管理检查标准。其框架如图8所示。
指标库为各种类型的被测设备和系统提供相应的检测指标项目,同时支持用户自定义新的检测指标。指标库依据各服务平台检测内容划分四类,即物联网产品检测指标、物联网系统安全检测指标、物联网风险评估指标以及集成化管理检查指标。其涵盖功能检测、性能检测、抗毁性检测、符合性检测、有效性检测和可用性检测等指标。
4.2 漏洞与补丁库
漏洞与补丁库采用云存储方式,包括海量数据融合漏洞,TinyOS操作系统漏洞,异构网络认证协议漏洞,感知信息传输协议漏洞等。 漏洞与补丁库一方面为产品、系统检测,风险评估、安全检查提供支撑服务,另一方面对外提供咨询服务,网上漏洞信息,定制客户漏洞处理方案,提供漏洞补丁和专用杀毒工具下载等。
5 “一中心”
一体化安全检测管理中心完成上述“二库、五平台”的互联互通和信息共享,实现检测项目统一管理,检测数据统一汇总,检测结果统一判定,形成感知设备检测报告、物联网系统检测报告、物联网系统风险评估报告以及集成化安全管理检查报告等。
一体化安全检测管理中心由项目管理、场景管理、感知设备检测、系统检测、风险评估、集成化安全管理检查、工具集、基础库管理八个核心模块组成,整个平台由项目库、标准及指标库、方法库、漏洞与补丁库四个数据库支撑,管理中心框架设计如图9所示。
6 技术特点
(1)提供开放式检测环境
物联网应用的广泛性和复杂性,仅依赖单一场景无法满足客户的多层次需求,通过开放式检测环境,可实现感知设备、接入方式、业务应用的检测环境,使得检测手段更丰富、更精准。
(2)提供多类型、多元化的检测
一体化安全检测体系通过感知设备检测、系统检测、风险评估、管理检查的一体化检测服务,提品检测和系统检测、实验室检测和现场检测服务,满足物联网复杂多变的检测需求,使得安全检测更全面性,帮助客户准确评估物联网安全性。
(3)提供技术与管理全方位检测
物联网安全包含技术与管理两方面,技术与管理并重,本体系通过“五平台”实现产品、系统技术类检测/风险评估与安全管理检查,全方位、整体评估物联网安全性。
(4)提供技术符合性和关联外在风险评估相支撑的检测
物联网安全问题是动态发展的,在安全技术符合性检测的基础上,提供适用于动态评估物联网工程的风险评估服务。风险评估旨在通过关联外在风险,结合自身脆弱性评估系统和工程的安全性,与技术符合性检测相支撑。
(5)提供一体化服务模式
提供一个灵活、规范的信息组织管理平台和全网范围的网络协作环境,实现集成的信息采集、内容管理、信息搜索,能够直接组织各类共享信息和内部业务基础信息,实现信息整合应用,同时也提供管理中心支撑下的统一项目管理、统一数据汇总、统一结果判定的一体化服务系统。
7 结束语
目前,我国政策环境好,物联网已成为国家发展战略,初步明确了未来发展方向和重点领域,但产业和行业标准正在建立,是机遇也是挑战。经济环境上,中国企业正在随着国家的快速发展,持续提升竞争力和国际影响力,对物联网安全性的需求逐步增强,企业对物联网安全问题的认知提高,经济支付能力也在增强。通过对各行业物联网建设方面的调查发现,当前已有的物联网应用对其安全性的检测和技术支持需求十分迫切,物联网安全检测产业市场前景乐观。
上述“一中心、二库、五平台”形成专业的平台,加上精专的人才、全面的服务内容和敏捷的反应,构建物联网一体化安全检测专业化服务体系架构。从而提升价值、方便客户、节约成本、提高效率,满足物联网安全检测集成化、规模化的需求。
参考文献
[1] T Grobler, Prof B Louwrens. New Information Security Architecture[J]. 2005, University of Johannesburg.
[2] 范红, 邵华等. 物联网安全技术体系研究[J].第26次全国计算机安全学术交流会,2011(09),5-8.
[3] 谭建平, 柔卫国等. 基于物联网的一体化安全防范技术体系研究[J].湖南理工学院学报, 2011,第24卷 第4期 46-51.
[4] Jackie Rees, Subhajyoti Bandyopadhyay etc. a policy framework for information security. Communication of the ACM, Volume 46 Issue7, 2003, P101-106.
[5] 郎为民,杨德鹏,李虎生.智能电网WCSN安全体系架构研究[J].信息网络安全,2012,(04):19-22.
[6] 余勇,林为民.工业控制SCADA系统的信息安全防护体系研究[J].信息网络安全,2012,(05):74-77.
基金项目:
国家863高技术研究发展计划资助项目(2009AA01Z437)和国家863高技术研究发展计划资助项目(2009AA01Z439)。
关键词:风险评估;无损检测;球罐检验;丙烯球罐
近些年来,我国的大型装置使用规模不断扩大,类型和数量也在迅速增加。一般情况下,同一产品可以拥有许多套生产装置,或者还有一种情况就是一个装置有许多台相同的设备。这些装置与设备都允许有相同的制造参数与工况,但是由于生产企业的连续生产不可以同时进行,这就需要有针对性地去适应大型的全面检验,以保证企业的生产安全。
1风险评估与无损检测
风险评估在现在的行业中属于特殊的领先技术行业,茂名的石化使用的是法国BV开发的软件对乙烯裂解的设备装置、管道实行风险分析,根据容器与管道的机理,通过失效的方式找寻有危害性的不足,并且制定了恰当的检测方法,不仅删去了不需要的检验方案,还很有成效地降低了设备失效的可能。由于风险的评估结果可以证明丙烯球罐很有可能是处理机理的方式,有再热裂纹与内表面的湿硫化氢的腐蚀性炸裂,它的内表面没有保温层,漆层相对来说较完好,而且球罐的操作温度与常温没有什么其他的差别,外部发生腐蚀的概率很小,现场对其壁厚也没有丝毫改变的结果。2000m3的丙烯球罐进行开罐检测的主要目的是在内壁实施,围绕着RBI的评估性能报告去开展方案。为了能够实现降低球罐检验风险的目标,保证使用的安全性,特意采用了几种方法去应对。采用的方法有原始性资料审查法、宏观的检查法、壁厚的测定方法、焊缝的表面实施检测(荧光的磁粉、渗透)、对硬度的测定、金相的分析等。因为宏观的检查法对接焊缝等并没有发生什么特殊的情况,而壁厚的测定数值大约属于正偏差,所以本次的检测使用的是TOFD超声波衍射检查与另一个比较重要的荧光磁粉表面检测。在进行实验的过程中,需要保持严谨的态度,本着专业的态度去对待这个实验,不应该存在任何粗心的状况。另外,对于这个丙烯球罐,需要小心使用,避免伤害到自己与其他工作人员。
2丙烯球罐的检测实验
超声TOFD检测是一种无损检测技术,基于一种超声衍射的原理,与正常的脉冲回波方法不同的是,它可以明确地提供更加先进的检测缺陷的办法与定量的能力。一般情况下,正常的超声检测的结果不好,有垂线缺陷,要是能够很及时地检测出,就可以实时监控裂纹的增加。球罐面状出现的危险性的不足,会导致射线检测的灵敏度不够,不能发现不足,并且测长的误差比较大。而TOFD检测的灵敏度是相当高的,定量也比较准确。球罐T-O2C使用的介质为丙烯,其设备的材质是高强度、低温的用钢,在使用的整个过程中比较容易产生应力性能的腐蚀开裂。要想提高开罐的检验质量,在条件允许的情况下,对丙烯球罐的焊缝使用TOFD超声波的衍射进行检测,就可以与正常的超声实施抽查性的检测相结合。根据制定的一些检测工艺规定可知,对所有的“丁”字口处的三向互相进行焊接式的对接,并且在1m长的地方进行检测。在检测的过程中,共发现大约9处缺陷,然而缺陷的数量比制造的资料数量的检测结果多了好多。荧光磁粉表面检测的方法,其检测的速度比较慢,并且费用相对来说比较高,所以大多数人一般情况下选用的都是普通的黑色磁粉检测,用于检测其压力容器。不过实践证明,普通的黑色磁粉检测的灵敏度不够高,而且它的缺陷有很多,甚至更严重的是,有时根本检测不出表面裂纹。为了能够确保压力容器的安全,对于不同的磁粉检测采取不同的方法应对,而这种不同的检测方法对于表面裂纹检出率的不同给出了相当高的重视,对于某些重要的压力容器,需要选用荧光磁粉检测,所以这次实验中选用的就是荧光磁粉探伤的方法。凭借高工艺的需求与检验过程中的控制,在检验的过程中提升了荧光磁粉探伤方法的对比敏度、灵敏度等,长度最长的大约为10mm,最短的大约为2mm。所有检测出的裂纹整体上均为微小裂纹,需要使用荧光法磁粉检测才可以检测出来,整个裂纹都需要打磨到0.6~1.6mm后才可以消除,并且再去复验合格。用一个事实举例,某一个石化企业有3台丙烯球罐,2003-05开发使用,属于第三类中压型容器。受这个企业的委托,对这3种类型的丙烯球罐进行检验。但是实际上,生产工艺影响了这个检测,导致没有办法对球罐实行全部的停车实验,所以只能对这3个中的一个进行检测。通过里面的风险评估的结果去判断损伤的机理与风险的等级,检测是否存在相对来说比较大的损伤并且是否有一定的伤害,对于球罐来说是否会影响其运行。根据这个企业的实际状况,对丙烯球罐实施开罐检查,为了提升检测的灵敏性与缺陷的检出率,使用超声波的衍射检查,对超声波衍射与荧光磁粉整体的检测,可以很快得到结果并且进行下次检查。结合丙烯球罐的结果,进行基础的风险评估,为下次检测做好准备。将实验得到的最后结果记录下来再进行分析。记录过程中,需要注意每一个单位以及数据的结果,不能因为记错而影响最后的探讨与分析。
3检验的结论与意见
根据检验的方案对丙烯球罐T-O2C实行了最原始的资料排查、宏观的检测、壁厚的测量、焊接表面的检测等检测工作,荧光磁粉表面检测会发现的不足与缺漏都应该要经过打磨才可以处理,不影响为丙烯球罐制定等级,根据相关的规定可以将丙烯球罐TO2C所处的安全状况定义为一等级。与此同时,就是丙烯球罐在一定程度上满足了RBI的检查需要,其检测的结果在一般情况下都会与评价结果相符,从而在某种程度上证明了风险评估报告的可靠性与安全性。凭借风险评估报告可知许多结果。为了能够在正常的情况下使设备可以正常地运行下去,提出以下2点建议:①需要严格把控丙烯的质量,对丙烯实行检测,尽量减少有害杂质,比如一些硫化物等其他化学成分;②为了避免操作过程中出现波动,防止疲劳的失效,对于检测出来的不足,应该及时记录下来,并且将结果传递给工作人员,让其进行改正,这样为下次的实验提供了借鉴,让下次的实验更加方便、容易。
4结束语
风险评估技术与无损检测技术都是一种追求系统可以保证安全和经济性能而存在的统一的想法和思想,我们不仅要有这种意识,还要传递给每一位工作人员,让其对实验里面存在的关系都了解,对系统里面已经有的或者潜在的危险发生的可能与后果进行一定的科学性分析。通过对其实验的剖析,甚至是最后的结果,都是在相关人员的配合下完成的,需要找出其中的缺点与优点,找出其中不必存在的环节,将其进行排除,为下次可以更好地实验作准备;找出其中的风险,为其排序,找出里面相对薄弱的环节,这样就可以保证本质上的安全与周期性的检验。
参考文献
[1]黄宏彪,黄辉.基于风险评估及无损检测技术在成套设备检验中的方法[J].石油和化工设备,2016,19(7):59-64.
[2]陈坡,黄辉.基于风险评估及无损检测技术在球罐检验中的应用[J].石油和化工设备,2012,15(7):55-58.
[3]王玮,田奎灿.常规无损检测技术与新技术在球罐检测中的应用[J].内江科技,2010,31(9):96-97.
[4]李自力,毕海胜,程远鹏,等.声发射检测技术在油气储运系统中的应用[G]//2013远东无损检测新技术论坛论文集,2013:23-27.
[5]金恋.大型球罐风险评估技术研究[D].武汉:武汉工程大学,2013.
[6]张红,易涛,顾全,等.声发射检测在球罐检验中的应用[J].无损探伤,2006,30(6):11-12.