首頁 > 精品范文 > 企業安全風險評估報告
時間:2022-10-22 09:18:07
序論:寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感,挖掘那些隱藏在內心深處的真相,好投稿為您帶來了七篇企業安全風險評估報告范文,愿它們成為您寫作過程中的靈感催化劑,助力您的創作。
第一章
總則
第一條
為加強大洼恒豐村鎮銀行風險管理,及時識別、系統分析經營活動中與實現內部控制目標相關的風險,合理確定風險承受度和風險應對策略,根據有關法律法規和《企業內部控制基本規范》等的有關規定,結合我行實際情況,制訂本制度。
第二條
本制度所稱風險是指我行經營活動中與我行實現內部控制目標相關的風險,包括信息風險、財務風險、市場風險、運營風險和法律風險等。
本制度所稱風險評估是指通過對基于事實的信息進行分析,就如何處理特定風險以及如何選擇風險應對策略進行科學決策。
第二章
組織機構及職責
第三條
各部門為我行風險評估管理工作的責任機構,具體職責:
(一)對我行經營活動中的風險進行識別;
(二)
對識別的風險進行評估,辨識評估出風險等級并將中、高風險以書面形式上報我行管理層,上報內容應包括:風險發生地、發生原因、可能造成的損失和影響、擬采取的應對措施等。
(三)
執行審批后的風險應對預案,并及時反饋風險的應對、解決結果;
(四)
對識別的風險進行監控,發生變化時重新評估,并根據新辨識評估的風險等級進行相應的處理;
(五)
年中、年度對風險評估管理工作進行總結。
第四條
我行企劃部門為我行風險評估管理工作的組織機構,具體職責:
(一)負責制定我行的風險評估方案;
(二)負責組建風險評估工作小組;
(三)負責審核風險清單、應對預案;
(四)擬定我行風險評估報告,上報我行管理層。
(五)負責建立經營環境監控體系,切實監控并記錄內、外部經營環境和條件的變化,以修正風險識別與評估。
(六)負責建立風險預警指標體系,要求各具體部門定期提供數據,進行指標分析;
對于超過風險預警值的指標,應確定相應的整改措施。
第五條
財務部門的風險評估
(一)負責建立流程識別和應對會計法規、準則、制度的變化,評估對會計信息的影響。
(二)負責建立溝通渠道和流程參與我行業務操作流程的變化,評估對會計核算的影響。
第六條
我行管理層主要職責為:
(一)審定我行各部門風險管理工作職責;
(二)批準風險應對預案;
(三)研究、確定我行重大風險事項及應對預案;
(四)審定內部審計部門提交的我行風險管理方面的報告,并報董事會審議。
第七條
董事會負責審議我行管理層提交的我行風險評估報告報告,批準風險管理其他重大事項。
第三章
風險評估的頻率
第八條
風險評估每年至少進行一次,并根據實際需要增加評估的頻率。
第九條
當出現下述情況時,應考慮重新進行風險評估:
(一)企業經營模式發生重大變動;
(二)企業所使用的信息技術發生重大變動;
(三)關鍵人員變動;
(四)企業所適用的會計準則發生重大變動;
(五)購并的發生、金融工具的使用等等涉及到復雜的會計處理要求的事項發生;
(六)其他。
第四章
控制目標的設定和傳達
第十條
企業董事會應當按照戰略目標,設定相關的經營目標、財務報告目標、合規性目標與資產安全完整目標,并根據設定的目標合理確定企業整體風險承受能力和具體業務層次上的可接受的風險水平。
第十一條
我行董事會應定期更新和修正我行的戰略目標、經營目標、風險管理目標;
第十二條
我行管理層應向各部門清晰傳達了我行的戰略目標、經營目標和風險管理目標(如通過工作準備會等),并進行目標分解。
第十三條
我行企劃部負責風險評估方案的制訂,風險評估方案須經我行總經理辦公會審批后執行,風險評估工作由企劃部組建風險評估小組負責風險評估的具體工作。
第五章
風險識別
第十四條
我行各部門應當根據風險評估方案的要求,全面系統持續地收集相關信息,結合實際情況,及時進行風險評估,準確識別與實現控制目標相關的內部風險和外部風險。
第十五條
我行各部門在進行風險識別時,可以采取座談討論、問卷調查、案例分析、咨詢專業機構意見等方法識別相關的風險因素,特別應注意總結、吸取企業過去的經驗教訓和同行業的經驗教訓,加強對高危性、多發性風險因素的關注。
第十六條
各部門及子我行應廣泛、持續不斷地收集與本我行風險和風險管理相關的內外部信息,包括歷史數據和未來預測。
第十七條
我行識別內部風險,應當關注下列因素:
1.董事、監事、經理及其他高級管理人員的職業操守、員工專業勝任能力等人力資源因素。
2.組織機構、經營方式、資產管理、業務流程等管理因素。
3.研究開發、技術投入、信息技術運用等自主創新因素。
4.財務狀況、經營成果、現金流量等財務因素。
5.營運安全、員工健康、環境保護等安全環保因素。
6.其他有關內部風險因素。
第十八條
我行識別外部風險,應當關注下列因素:
1.經濟形勢、產業政策、融資環境、市場競爭、資源供給等經濟因素。
2.法律法規、監管要求等法律因素。
3.安全穩定、文化傳統、社會信用、教育水平、消費者行為等社會因素。
4.技術進步、工藝改進等科學技術因素。
5.自然災害、環境狀況等自然環境因素。
6.其他有關外部風險因素。
第六章
風險分析
第十九條
我行各部門應當針對已識別的風險因素,從風險發生的可能性和影響程度兩個方面進行分析。企業應當根據實際情況,針對不同的風險類別確定科學合理的定性、定量分析標準。具體如下:
表一:風險發生的可能性
程度
描述
說明
I
大致確定
事件可能在多數情況下發生
II
可能
事件有時可能發生
III
可能性不高
事件只在少數情況下可能發生
IV
罕見
事件僅在很少的情況下發生
V
極不可能
事件極少的情況下發生
表二:
風險的后果或影響
程度
描述
說明
1
微不足道
沒有經濟損失
2
輕微
輕微經濟損失
3
中度
可以得到控制,經濟損失不大
4
高度
經濟損失較大
5
災難性
經濟損失巨大
第二十條
企業應當根據風險分析的結果,依據風險的重要性水平,運用專業判斷,按照風險發生的可能性大小及其對企業影響的嚴重程度進行風險排序,確定應當重點關注的重要風險。
風險程度定性分析表
可能性
后果
微不足道
1
輕微
2
中度
3
高度
4
災難性
5
大致確定
I
C
C
D
E
E
可能
II
B
C
C
D
E
可能性不高
III
A
B
C
D
E
罕見
IV
A
A
B
C
D
極不可能
V
A
A
B
C
C
注:
E
=
極高;要立刻停止有關工作,直到風險減低。在風險減低前有關工作須完全禁止進行。
D
=
高風險;要停止有關工作,直到風險減低。如有關工作現正在進行中,須提供有效監控及緊急應變程序。
C
=
中等風險;須規定有關管理職責及指引把危害控制,或在可行下進一步減低風險,如有關風險可能產生嚴重的危害,應作進一步危害評估及加強控制。
B
=
可接受的風險;按正常運作程序管理,在不影響成本下可作進一步改善。
A
=
微不足道的風險;無須作任何行動,按慣常運作。
第七章
風險匯總及應對預案
第二十一條
企業各部門應當根據風險分析情況,結合風險成因、企業整體風險承受能力和具體業務層次上的可接受風險水平,確定風險應對策略。風險應對策略主要包括風險回避、風險承擔、風險管理和風險分擔經營。
第二十二條
我行各部門應根據風險分析的結果編制風險清單,并制訂相應的應對預案,風險清單、應對預案須報我行風險評估工作小組審核后,報總經理辦公會審批。
第八章
風險評估報告及執行
第二十三條
我行風險評估工作小組負責編制風險評估報告,風險評估報告經我行總經理辦公會審核后,報我行董事會審議。
第二十四條
風險評估報告應包括以下內容:1、風險評估的范圍;2、風險評估的方法;3、風險清單;4、風險應對預案;
第二十五條
各部門應根據董事會批準的風險評估報告進行實施,對風險應對預案的執行情況進行實時監控,并及時反饋風險應對、解決的執行情況。
第二十六條
內部審計部門(或協同風險管理部門或小組)負責定期或不定期檢查具體部門風險控制措施的實施、整改情況,形成檢查記錄。
第九章
附則
第二十七條
本制度未盡事宜,按國家有關法律、法規和我行章程的規定執行;如與國家日后頒布的法律、法規或經合法程序修改后的我行章程相抵觸時,按國家有關法律、法規和我行章程的規定執行,并及時修訂本制度,報董事會審議通過。
第二十八條
本制度由我行董事會負責解釋。
第二十九條
本制度自我行董事會審議通過之日起實施。
大洼恒豐村鎮銀行
二〇一五年十月十六日
—
為防御和減輕雷電災害,保障公共安全和人民生命財產安全,依據《中華人民共和國安全生產法》、《中華人民共和國氣象法》、《氣象災害防御條例》、《省氣象災害防御條例》、《防雷減災管理辦法》等法律法規,現就加強防雷安全工作通知如下:
一、加強防雷安全隱患源頭治理
我市位于黃河下游、平原,地處黃河三角洲腹地,屬雷電活動多發區,境內?;袠I眾多,易燃易爆場所點多、面廣,雷電災害造成的生產安全事故時有發生,給人民生命和財產安全帶來嚴重威脅。因此,各級各有關部門和單位務必引起高度重視,將雷電防護列入安全生產管理工作的重要內容,結合各自實際,嚴格落實有關制度和措施,切實做好防雷安全工作。各級氣象主管機構要嚴格按照《省氣象災害防御條例》、《防雷減災管理辦法》、《防雷裝置設計審核和竣工驗收規定》、《省雷擊風險評估管理暫行規定》等規定,進一步加強對新建、改建和擴建項目雷擊風險評估、防雷設計圖紙審核、工程施工監督和竣工驗收工作的管理,真正從源頭上消除雷電安全隱患。
二、嚴格防雷裝置安全檢測工作
防雷裝置年度安全檢測是防雷減災工作的基礎和關鍵環節。各企業要按照法律法規的要求,將防雷裝置檢測列入年度安全管理工作計劃,認真執行防雷裝置定期檢測制度。各單位要在雷雨季節到來之前,認真排查雷電事故隱患,積極主動向各級防雷減災機構申報年度安全檢測,積極配合檢測機構做好檢測工作。防雷檢查檢測的重點是:《建筑物防雷設計規范》中規定的一、二、三類防雷建(構)筑物及附屬設施,油庫、加油站、化工企業等易燃易爆場所和重點防火單位,火車站、醫院、商務樓、賓館、商場、學校等人員密集場所,電力、金融、證券、通訊、廣播電視等行業和單位的調度中心、通訊基站、計算機機房等。經檢測存在防雷裝置隱患的單位,應當落實整改資金,嚴格整改時限,及時消除事故隱患。
三、切實加強雷擊風險評估工作
雷擊風險評估是避免防雷裝置盲目設計,提高綜合防雷整體效益的有力手段。各有關部門要將雷擊風險評估工作納入新建項目初步設計和可行性論證的必備條件之一,建設單位或項目設計單位應根據雷擊風險評估報告和專家論證意見進行防雷裝置設計或修改防雷裝置設計方案。各級氣象主管機構要高度重視雷擊風險評估管理,嚴格按照有關法律法規的要求,將雷擊風險評估報告作為防雷裝置設計審核、竣工驗收的重要技術依據;對于應當進行雷擊風險評估卻未開展的項目,不予發放防雷裝置設計核準書,以確保公共安全。評估單位要嚴格按照《雷電災害風險評估技術規范》等技術規范科學地開展評估工作,并不斷提高雷擊風險評估技術水平。
【關鍵詞】多平臺 雷電災害 風險評估 信息系統
我國是世界上受氣象災害影響最為嚴重的國家之一。氣象災害種類多、強度大、頻率高,嚴重威脅人民生命財產安全,給國家和社會造成巨大損失。盡可能的降低氣象災害帶來的生命財產的損失,是氣象部門義不容辭的責任。為此,構建完善的雷電災害風險評估信息管理系統,增強氣象業務硬件、軟件基礎建設,提升防災減災和應對氣候變化能力已迫在眉睫。本文介紹的基于多平臺的雷電災害風險評估信息管理系統正是致力于解決上述問題的。
1 研究現狀
佛山市氣象局已經有比較完善的信息化建設,防雷所在業務上也有非常明確的定位和管理流程。防雷所提供的服務項目主要是雷電風險評估、防雷裝置設計技術評價和檢測服務。服務范圍主要包括:經地方城市規劃部門核準的佛山市市屬大型、重點工程項目,以及佛山市禪城區、佛山新城區域內工程項目(含新建、擴建、改建)的防雷裝置設計技術評價和檢測服務。
隨著信息化的發展,以及防雷工程和防雷工程建設單位信息的大量增加,和海量的防雷設施臺帳管理的要求,防雷所的信息化程度還有很多待提高的地方,尤其是在通過結合GIS等手段對建筑物防雷管理上,尚缺乏比較先進的手段。
2 系統建設目標
常見的虛擬機資源分配算法有基于市場導向的資源分配算法、啟發式算法和基于云計算平臺系統特征的分配算法。市場導向的資源分配方法是根據用戶對虛擬機資源的需求和自由市場競爭有很多相識之處,將市場中的資源分配算法應用到虛擬機資源的分配中。啟發式算法是指在可承受的計算時間和空間下,給出待解決問題的一個可行解。
2.1 實現防雷評估業務流程電子化
結合雷電災害風險評估工作,使辦事流程電子化。通過對電子化流程的優化、構建與管理,將防雷所與不同建設單位、不同職責、不同專業的工作和人員串聯起來,理順工作流程,降低成本費用,提升服務水平,達到了運行有序和效率提高。
2.2 建立雷評項目電子檔案庫
越來越多的需要實施防雷工程的建筑,要求防雷所建立一個直觀,方便的檔案庫,便于準確的把握每一棟建筑的防雷工程信息、防雷設置評估信息和防雷設置管理責任人信息。
2.3 建立評估報告標準模板庫
對各類雷評報告相同或相似的信息片段及格式進行提取,制作成各種不同報告模板,評估人員撰寫雷評報告的時候,可以快速方便調取相類模板創建雷評報告書,從而提升人員工作效率,降低書寫出錯情況。
2.4 建立防雷項目GIS信息庫
佛山市需要建設防雷設施的建筑物越來越多,通過建立基于GIS的防雷工程項目和建筑物防雷設施的信息中,便于防雷所對所轄區域內的防雷工程進行高效,直觀的管理。
3 系統設計
3.1 系統業務邊界
根據系統建設目標設定以下系統邊界模型。根據圖1所示,整個系統分成兩個子系統:雷評業務管理子系統和雷評申請及跟蹤子系統。系統的參與者包括防雷所業務人員、防雷工程建設單位。
雷評業務管理子系統主要提供雷評估項目管理和審批,雷評報告生成及歸檔與費用核算管理,報告模板庫,雷評知識庫對外宣傳等功能。
3.2 系統建設總體框架
總體框架是按照分層的思想加以設計和實現,分層的體系結構能夠很好的實現系統建設任務的分解,以便整個系統的建設任務能夠在明確接口定義的基礎上進行并行建設,以縮短整體的建設周期。同時,在接口保持不變的前提下,分層的體系結構還能保證系統對各層基礎技術的發展具有良好的適應性。并且較好的體現以數據獲取和整合為核心,以監督管理服務能力建設的功能定位。系統框架圖如圖2所示。
系統總線將實現“企業登記”、“雷評管理”、“費用核算”、“GIS建筑防雷臺賬”、“雷評知識庫”等幾個模塊的數據和業務整合,構建新的基于SOA的業務服務,可以確保系統具有高的可用性和擴展性。
3.2.1 雷電風險評估業務申請系統
佛山市防雷所外網主要提供在線提交防雷工程評估申請、查詢評估業務辦理進度、防雷評估報告調閱;公眾上網人員可以在線瀏覽防雷知識庫的文章、在線觀看防雷教育視頻等。
3.2.2 雷電風險評估移動應用系統
提供支持iPhone、Android的移動應用系統,給防雷工程建設單位查詢工程辦理進度,調閱雷評報告,業務信息通知等功能。工程相關人員也可以通過移動應用系統查閱項目各種報告。
3.2.3 雷電風險評估微信門戶
微信作為當前比較流行的公眾信息服務入口,本系統面向公眾的所有服務信息都能夠通過雷電風險評估微信門戶公眾號對外提供服務。同時,通過公眾服務號實現與使用者的互動,提供各種防雷產品服務。
3.2.4 雷電風險評估業務管理系統
防雷所的內部業務系統,根據防雷所雷評實際業務范圍確定,由雷評工程業務管理,GIS建筑防雷臺帳、報告模板庫、費用核算管理和防雷知識庫的宣傳與等模塊組成。
3.2.5 基礎設施
業基礎設施包括應用支持層、企業總線、中間層、數據持久層、基礎設施層幾部分,為上層各業務子系統提供技術應用上的支持。
3.3 雷評綜合業務管理系統
綜合業務系統包括企業登記,雷評管理,費用核算,報告模板庫,檔案管理,防雷項目GIS展示系統,統計報表,系統用戶幾大模塊。通用架構如圖3所示。
3.4 雷評移動/微信客戶端
雷評移動/微信客戶端包括企業認證,項目進度查詢,報告資料調閱,雷評知識庫,消息推送功能,雷評移動客戶端如下圖4所示。
4 系統技術架構
根據系統總體設計指導方針以及技術標準規范,并充分考慮到應用集成、應用支持等因素,業務應用系統設計體系架構設計如圖5所示。
5 結語
本項目在設計過程中,充分考慮業主方的使用需求,通過軟件系統的流程化管理規范雷電災害風險評估技術服務的執行過程,使用報告內容的片段和模塊化數據處理手段完成報告有效內容的復用,可切實地提高雷電災害風險評估技術服務的質量和效率??紤]到日后移動辦公和業務整合的可能性,已預留服務端和移動端的多種技術接口,在本系統穩定運行的基礎上,可以根據日后業務需求的變化,方便地接入新的功能模塊,如實現遠程辦公、移動端采集現場數據、提供對接門戶網站、公共平臺的模塊化服務等。
參考文獻:
[1]任艷,林巧,冷洪旭等.雷電災害風險評估管理系統研究[J].《信息系統工程》,2014(12):46-47.
【關鍵詞】企業風險;風險評估系統
一、研究背景
在全球經濟一體化的大背景下,企業間的國際競爭加劇,面臨的風險也更加多樣化。金融危機的發生導致很多企業成了金融危機時代的犧牲品。我國企業想要在激烈的競爭中生存并且健康發展,必須提高企業競爭力,從內部完善自己,加強企業管理,建立完善的內部控制制度,找到適合我國企業的內部控制和風險管理制度,識別和衡量企業面對的內外風險以提高企業的競爭能力,實現企業的價值已成為了企業當前最迫切的任務。風險評估是內部控制的重要組成部分,2006年,財政部、證監會等五部委聯合的《企業內部控制基本規范》中指出:企業建立與實施有效的內部控制,應當包括內部環境、風險評估、控制活動、信息與溝通、內部監督這五要素。其中,風險評估是指企業應當及時識別、系統分析經營活動中與實現內部控制目標相關的風險,并合理確定風險應對策略。若企業不能及時識別風險及其可能帶來的影響,及時調整企業的戰略方向,則可能錯過化解風險的最好時機,不能避免風險所帶來損失的擴大,增加企業陷入財務或經營困難的可能性。當前信息技術發展迅速,逐漸成為促進經濟發展和社會進步的巨大推動力,信息技術在會計、審計等方面均有廣泛的運用,提高了信息采集、交換、處理、存儲的準確性和效率。信息技術的發展也為內部控制提供了支持平臺,特別是內部控制風險評估方面,其他相關信息系統所產生的數據為風險評估帶來大量有用的信息,通過將風險評估與信息化結合,能夠實現對企業風險變化的實時觀測與控制,并利用風險信息的變化情況對企業的未來財務形勢做出合理的預測,提高企業的管理水平。本文基于以上背景,探討信息化環境下內部控制風險評估系統的構建。
二、內部控制風險評估信息系統的優勢
內部控制風險評估系統是采用現代信息技術,對風險評估流程進行重整,使信息技術與風險評估系統高度融合,使風險評估過程高度自動化,信息高度共享,并且能夠進行主動和實時報告風險評估信息,迅速提高企業的現代管理水平、滿足現代企業管理需要。將信息化運用在內部控制風險評估上主要有以下優勢:(1)實時監測。信息化內部控制風險評估使得實時檢測成為可能,當經過某個時間點或約定的事項發生時,可以馬上觸發系統的運行,進行新一輪的風險評估,不需要人工檢測,減少了人力的耗費,并且當風險評估的結果超過風險臨界值時,系統會迅速反應,將問題報告提交給相關人員,幫助以最快的速度采取應對措施,防止因反應不及時導致風險加劇,降低損失擴大的可能性。(2)信息高度共享。信息化內部控制風險評估所用數據可以來自企業其他信息系統的數據庫中,實現與現有信息系統的數據庫對接,提高信息的利用率。在風險評估時不需要重新收集風險評估相關數據,避免在信息采集、存貯和管理上重復浪費,大大減輕了工作量,節約成本,并且避免了相關數據更新后風險評估系統沒有及時得到最新數據的可能性。(3)決策支持。內部控制風險評估系統在運行時會產生大量的風險評估數據,這些數據可以為管理者提供決策支持,管理者通過對這些大量的風險評估數據進行數據挖掘,能夠發現潛在有用的數據,發現異常情況,判斷風險數據的變化過程,及時做出正確有效的決策。
三、內部控制風險評估系統的構建
構建內部控制風險評估系統需要一系列的步驟,首先應該設立風險評估的指標體系,并分別設置指標體系的權重,確定重點關注的風險,設置整體風險的臨界值。之后進行風險的評估過程,獲取所需要的數據,進行實時評估,生成評估報告并存檔,當評估中出現重要指標或整體指標超過臨界值時,生成預警報告,提交給相關人員,相關人員在進行風險控制活動之后,將整改報告提交給系統。內部控制風險評估系統的大致過程如下圖所示:
1.建立指標體系。要進行風險評估,首先應該縱觀企業生產經營活動的全過程,發現、認識和了解企業存在的各種風險以及風險可能帶來的嚴重后果.財政部、證監會等五部委聯合的《企業內部控制基本規范》中指出:企業識別內部風險,應當關注管理因素、人力資源因素、財務因素、安全環保因素、自主創新因素、其他有關內部風險因素這六大因素。因為安全環保因素不易于定量研究,并且安全環保因素對我國企業的生產經營風險的影響尚不明顯,本文在建立指標體系中以企業外部經濟環境安全因素替代安全環保因素,采用了反映企業管理因素、人力資源因素、財務因素、自主創新因素、企業外部經濟環境安全因素、其他風險因素等相關財務指標體系進行評估。企業會計準則對企業會計信息質量提出八點要求,即企業財務信息具有可靠性、相關性、可比性、可理解性、實質重于形式、謹慎性、重要性、及時性的特征。以財務指標作為評估企業風險的依據,使評估結果更為合理、公允。本文對于各個一級指標,均設立了二級指標對一級指標進行細分。本文建立的風險評估財務指標體系如下表所示:
(1)管理因素評估指標構建
(2)人力資源因素評估指標構建
(3)財務因素評估指標構建
(4)自主創新因素評估指標構建
(5)外部經濟環境安全因素評估指標構建
(6)其他風險因素評估指標構建
對于每一個指標,企業可以根據自己的情況進行下一級別的細分或者增設、刪除其他的指標,來改變風險評估指標體系的結構和內容,以使得風險評估指標體系更加適合于企業的具體情況
2.風險評估,輸入權重、風險臨界值。風險評估指標體系的衡量指標的具體數值可以通過兩種方式獲得:通過數據庫讀入或者手工輸入。企業在信息化的實施過程中使用各種信息系統,例如管理信息系統、企業信息系統、企業資源規劃系統等。這些系統在運行過程中會產生大量的數據,有一些數據可以直接為風險評估所使用。例如,在評估應收賬款風險時,要使用應收賬款周轉率、壞賬比例、商品賒銷比例、客戶信用等指標,這些指標的具體數值可以通過會計信息系統以及客戶關系管理系統獲得,通過讀取會計信息系統、客戶關系管理系統的數據庫,可以得到實時數據,進行實時風險評估。輸入權重,要根據企業的具體情況來確定企業對風險的可接受程度,設立風險臨界值。風險臨界值的確定要根據行業性質、規模、特點及同行業相關指標的平均值、估計最大值、估計最小值等因素分為整體風險臨界值和個別風險臨界值,整體臨界值為根據各個指標風險可接受程度加權算得,個別風險臨界值是根據個別指標的風險可接受程度來設置各自的臨界值,對于個別會帶來嚴重后果的重要指標,要篩選出來進行獨立觀測。讀取了所需數據之后,就可以按風險評估指標體系以及權重數值來計算整體風險以及個別重要指標的風險。將整體風險和個別重要指標的風險的計算結果生成一定格式的文檔,儲存在風險評估系統的數據庫中,以便隨時查看并分析風險變化的過程,更好的掌握整體風險和重要指標風險的變化趨勢,做出預測分析,評估未來風險狀況及其可能產生的影響,以便制定切實可行的風險戰略、措施與方法。計算出整體風險和重要指標風險之后,要分別將其與各自的臨界值進行對比,若整體風險數值大于整體風險臨界值,則進行風險報警,將風險報告提交給相關人員;若重要指標風險數值大于重要指標風險臨界值,也需進行風險報警,將風險報告提交給相關人員;若整體風險數值以及重要指標風險數值均小于風險臨界值,則再進入下一輪的風險評估或當外界條件改變時觸發新一輪的風險評估。
3.控制活動。相關人員在收到風險報告之后,根據風險報告中的風險指標、風險數值偏離風險臨界值的程度來確定風險嚴重程度,并采取相應風險控制措施和方法,消滅或控制風險事件發生的源頭,控制風險事件造成的損失以及范圍。在控制活動完畢之后,出具相關報告,將報告提交給風險評估系統,作為文件存檔,以便之后隨時查閱并總結規律,提高風險評估與控制的水平。
四、總結
風險評估是企業經營管理的重要組成部分之一,本文結合2006年出臺的《企業內部控制規范》的要求以及前人的研究成果,探討了在信息化的環境下內部控制風險評估系統的構建,對內部控制風險評估系統的各個環節進行了分解,并詳細分析了各個流程的具體實現方式,試圖建立一個內部控制風險評估系統的框架,實現對企業風險變化的實時觀測與控制,利用風險信息的變化情況對企業的未來財務形勢做出合理的預測,提高企業的管理水平。
參考文獻
[1]王立勇,張秋生.企業內部控制中的風險評估研究[J].交通財會.2002(2)
[2]關艷麗.用ERP增強企業內部會計控制[J].寧夏機械.2007(3)
[3]郝林毅.基于內控風險的財務預警警兆識別系統初探[J].科技創業.2008(8)
[4]李雅琴.基于風險管理的企業內部控制探析[J].會計之友.2009(7)
[5]鮑建青.基于風險管理的內部控制研究[J].經濟師.2009(10)
[6]杜國棟.企業內部控制與風險管理解析[J].經濟研究導論.2010(2)
[7]侯微.基于風險管理視角的企業內部控制體系重構[J].工商管理.2010(3)
【 關鍵詞 】 物聯網;信息安全;檢測體系
1 引言
隨著國家信息網絡基礎設施基本完成,信息化應用全面展開,物聯網廣泛應用于公共事業/服務、交通運輸、個人用戶、批發零售、工業、制造業、商業、服務業、農業、建筑業、金融業等。目前來看,物聯網雖然給人們帶來便利,但物聯網在信息安全方面還存在一定的局限性。一是存在信號受到干擾的可能。如果安置在物品上的傳感設備信號受到惡意干擾,很容易造成重要物品損失以及重要信息被篡改、丟失的隱患。二是惡意入侵的隱患。如果病毒、黑客、惡意軟件繞過了相關安全技術的防范,對物聯網的授權管理進行惡意操作,掌控他人的物品,就會造成對用戶隱私權的侵犯。如果爆炸物、槍支等危險物品被其它人掌控,后果會十分嚴重。因此,物聯網安全問題如果得不到有效解決,將嚴重阻礙物聯網產業發展。由于物聯網感知節點和傳輸設備具有能量低、計算能力差、運行環境惡劣、通信協議龐雜等特點,使得傳統安全技術無法直接應用于物聯網,由此引發物聯網特有的安全問題,而物聯網安全技術和安全狀況缺乏有效的檢測和評價手段。
我國政策環境較好,物聯網已成為國家發展戰略,初步明確了未來發展方向和重點領域。國家高度重視物聯網安全建設。2013年初,國務院了《關于推進物聯網有序健康發展的指導意見》(國發[2013]7號)中明確提出以工業和信息化部、發展改革委、公安部牽頭承擔物聯網安全保障專項行動計劃:提高物聯網信息安全管理與數據保護水平,建立健全監督、檢查和安全評估機制。加強物聯網重要應用和系統的安全測評、風險評估和安全防護工作。加快物聯網相關標準、檢測、認證等公共服務建設,完善支撐服務體系,有效保障物聯網信息采集、傳輸、處理、應用等各環節的安全可控。
2 物聯網一體化安全檢測體系
各類物聯網示范工程進行大規模應用之前,應充分考慮和評測其安全性,從源頭保證物聯網安全措施有效性、功能符合性、安全管理的全面性以及給出安全防護評估。在建設實施階段,將所有的安全功能模塊(產品)集成為一個完整的系統后,需要檢查集成出的系統是否符合要求,測試并評估安全措施在整個系統中實施的有效性,跟蹤安全保障機制并發現漏洞,完成系統的運行程序和全生命期安的安全風險評估報告。在運行維護階段,要定期進行安全性檢測和風險評估以保證系統的安全水平在運行期間不會下降,包括檢查產品的升級和系統打補丁情況,檢測系統的安全性能,檢測新安全攻擊、新威脅以及其它與安全風險有關的因素,評估系統改動對安全系統造成的影響。
物聯網關鍵安全問題:一是感知設備安全;二是物聯網系統安全和風險評估,重點是接入問題;三是業務應用安全。目前,各行業均提出了相應的安全防護體系,如智能電網系統、工業控制系統等。本文依據相關的安全防護體系提出物聯網一體化安全檢測體系,即“一中心、兩庫、五平臺”,如圖1所示。即開放式場景檢測支撐平臺、感知設備安全檢測服務平臺、物聯網系統安全檢測服務平臺、物聯網系統風險評估服務平臺、物聯網集成化安全管理檢查服務平臺、物聯網安全檢測標準及指標庫、物聯網信息安全漏洞與補丁庫以及一體化安全檢測管理中心。在此基礎上,結合物聯網具體業務需求,進行物聯網安全檢測方法、規范、指標體系、專業化檢測技術研究與積累。同時,形成一支服務于物聯網安全檢測的多層次、復合型、專業化人才隊伍,全面保障物聯網系統安全穩定運行。
3 “五平臺”
“五平臺”提供檢測、檢查和評估三類專業化服務,其中物聯網集成化安全管理檢查服務平臺可作為獨立平臺對外提供檢查服務;開放式場景檢測支撐平臺為感知設備安全檢測服務平臺與物聯網系統安全檢測服務平臺提供安全符合性檢測環境,此三個平臺提供技術檢測服務;物聯網系統風險評估服務平臺在前述四個平臺基礎上,關聯外在威脅,分析自身脆弱性,提供風險評估服務?!拔迤脚_”結構關系如圖2所示,“五平臺”既可獨立提供檢測服務,也可互為補充,為用戶提供定制化的檢測服務,形成開放式檢測服務體系架構。
3.1 開放式場景檢測支撐平臺
開放式場景檢測支撐平臺實現物聯網感知設備、接入系統、業務應用三層檢測環境,如圖3所示。通過多部件的靈活組建,實現其感、傳、知、用的安全功能檢測,靈活支持用戶個性化的檢測需求。
3.2 感知設備安全檢測服務平臺
感知設備安全檢測服務平臺實現一個通用的感知設備安全檢測系統,由開放式場景檢測支撐平臺為被測設備提供運行檢測環境,其從感知操作安全、感知數據處理安全、感知數據存儲安全和感知節點設備安全、感知節點通信安全等五方面檢測安全功能和性能,其檢測框架如圖4所示。
3.3 物聯網系統安全檢測服務平臺
物聯網系統安全檢測服務平臺以系統、整體的視角對智能感知層訪問控制、身份認證等策略配置進行符合性測試;對接入傳輸層的AKA機制的一致性或兼容性、跨域認證和跨網絡認證等進行檢測;對業務應用層數據庫安全、應用系統和網站安全、應用系統穩定性、業務連續性等進行符合性和有效性檢測。檢測框架如圖5所示。
3.4 物聯網系統風險評估服務平臺
物聯網系統風險評估服務平臺對可能遭受到的威脅和自身脆弱性進行安全分析,然后根據安全事件的可能性以及安全事件造成的損失計算出風險值、對安全事件進行風險等級定級,最后結合安全事件所涉及的資產價值來判斷安全事件一旦發生對物聯網系統造成的影響。風險評估框架如圖6所示。
3.5 集成化安全管理檢查服務平臺
集成化安全管理檢查服務基于物聯網多類型終端、多網融合、海量數據處理和全面感知等特點。從防范阻止、檢測發現、應急處置、審計追查和集中管控五個方面,對物聯網系統智能感知層、接入傳輸層和業務應用層的安全管理情況進行檢查,其安全管理檢查框架如圖7所示。
4 “兩庫”
4.1 標準及指標庫
基礎庫“標準及指標庫”通過構建物聯網安全檢測標準子庫與指標子庫為“五平臺”提供支撐。標準子庫建設來源:一是從物聯網國際標準組織IEEE、ISO、ETSI、ITU-T、3GPP、3GPP2了解國際最新標準,研究制訂適合國情的物聯網標準;二是從國內標準組織:WGSN、CCSA和RFID標準工作組獲取最新標準;三是隨著業務開展,編制了物聯網安全標準。物聯網一體化安全檢測標準體系框架,按照標準服務性質的區分,分為物聯網產品安全檢測標準、物聯網系統安全檢測標準、物聯網風險評估標準以及集成化安全管理檢查標準。其框架如圖8所示。
指標庫為各種類型的被測設備和系統提供相應的檢測指標項目,同時支持用戶自定義新的檢測指標。指標庫依據各服務平臺檢測內容劃分四類,即物聯網產品檢測指標、物聯網系統安全檢測指標、物聯網風險評估指標以及集成化管理檢查指標。其涵蓋功能檢測、性能檢測、抗毀性檢測、符合性檢測、有效性檢測和可用性檢測等指標。
4.2 漏洞與補丁庫
漏洞與補丁庫采用云存儲方式,包括海量數據融合漏洞,TinyOS操作系統漏洞,異構網絡認證協議漏洞,感知信息傳輸協議漏洞等。 漏洞與補丁庫一方面為產品、系統檢測,風險評估、安全檢查提供支撐服務,另一方面對外提供咨詢服務,網上漏洞信息,定制客戶漏洞處理方案,提供漏洞補丁和專用殺毒工具下載等。
5 “一中心”
一體化安全檢測管理中心完成上述“二庫、五平臺”的互聯互通和信息共享,實現檢測項目統一管理,檢測數據統一匯總,檢測結果統一判定,形成感知設備檢測報告、物聯網系統檢測報告、物聯網系統風險評估報告以及集成化安全管理檢查報告等。
一體化安全檢測管理中心由項目管理、場景管理、感知設備檢測、系統檢測、風險評估、集成化安全管理檢查、工具集、基礎庫管理八個核心模塊組成,整個平臺由項目庫、標準及指標庫、方法庫、漏洞與補丁庫四個數據庫支撐,管理中心框架設計如圖9所示。
6 技術特點
(1)提供開放式檢測環境
物聯網應用的廣泛性和復雜性,僅依賴單一場景無法滿足客戶的多層次需求,通過開放式檢測環境,可實現感知設備、接入方式、業務應用的檢測環境,使得檢測手段更豐富、更精準。
(2)提供多類型、多元化的檢測
一體化安全檢測體系通過感知設備檢測、系統檢測、風險評估、管理檢查的一體化檢測服務,提品檢測和系統檢測、實驗室檢測和現場檢測服務,滿足物聯網復雜多變的檢測需求,使得安全檢測更全面性,幫助客戶準確評估物聯網安全性。
(3)提供技術與管理全方位檢測
物聯網安全包含技術與管理兩方面,技術與管理并重,本體系通過“五平臺”實現產品、系統技術類檢測/風險評估與安全管理檢查,全方位、整體評估物聯網安全性。
(4)提供技術符合性和關聯外在風險評估相支撐的檢測
物聯網安全問題是動態發展的,在安全技術符合性檢測的基礎上,提供適用于動態評估物聯網工程的風險評估服務。風險評估旨在通過關聯外在風險,結合自身脆弱性評估系統和工程的安全性,與技術符合性檢測相支撐。
(5)提供一體化服務模式
提供一個靈活、規范的信息組織管理平臺和全網范圍的網絡協作環境,實現集成的信息采集、內容管理、信息搜索,能夠直接組織各類共享信息和內部業務基礎信息,實現信息整合應用,同時也提供管理中心支撐下的統一項目管理、統一數據匯總、統一結果判定的一體化服務系統。
7 結束語
目前,我國政策環境好,物聯網已成為國家發展戰略,初步明確了未來發展方向和重點領域,但產業和行業標準正在建立,是機遇也是挑戰。經濟環境上,中國企業正在隨著國家的快速發展,持續提升競爭力和國際影響力,對物聯網安全性的需求逐步增強,企業對物聯網安全問題的認知提高,經濟支付能力也在增強。通過對各行業物聯網建設方面的調查發現,當前已有的物聯網應用對其安全性的檢測和技術支持需求十分迫切,物聯網安全檢測產業市場前景樂觀。
上述“一中心、二庫、五平臺”形成專業的平臺,加上精專的人才、全面的服務內容和敏捷的反應,構建物聯網一體化安全檢測專業化服務體系架構。從而提升價值、方便客戶、節約成本、提高效率,滿足物聯網安全檢測集成化、規?;男枨蟆?/p>
參考文獻
[1] T Grobler, Prof B Louwrens. New Information Security Architecture[J]. 2005, University of Johannesburg.
[2] 范紅, 邵華等. 物聯網安全技術體系研究[J].第26次全國計算機安全學術交流會,2011(09),5-8.
[3] 譚建平, 柔衛國等. 基于物聯網的一體化安全防范技術體系研究[J].湖南理工學院學報, 2011,第24卷 第4期 46-51.
[4] Jackie Rees, Subhajyoti Bandyopadhyay etc. a policy framework for information security. Communication of the ACM, Volume 46 Issue7, 2003, P101-106.
[5] 郎為民,楊德鵬,李虎生.智能電網WCSN安全體系架構研究[J].信息網絡安全,2012,(04):19-22.
[6] 余勇,林為民.工業控制SCADA系統的信息安全防護體系研究[J].信息網絡安全,2012,(05):74-77.
基金項目:
國家863高技術研究發展計劃資助項目(2009AA01Z437)和國家863高技術研究發展計劃資助項目(2009AA01Z439)。
第八屆全國農藥登記評審委員會第十三次全體會議于 2013年7月31日在北京召開。會議應到委員36人,實到委員29人,符合《全國農藥登記評審委員會章程》規定,評審結果有效。會議評審了申請正式登記的農藥產品,研討了農藥登記管理工作中遇到的問題?,F就有關情況紀要如下。
一、申請正式登記產品評審情況
本次會議共審議農藥品種 18個(含 12個新產品,6個復審產品),其中殺菌劑 4個、殺蟲劑 2個、除草劑 10個、衛生殺蟲劑 2個,共涉及30個產品。委員們經過認真細致評審,同意硼酸鋅等10個品種正式登記;環丙唑醇等4個品種需補充有關資料,并經相關專業組審核符合要求后,同意正式登記;暫不同意喹草酸等4個品種的正式登記(具體評審意見見附表)。
二、農藥登記管理有關問題的討論意見
(一)關于蠅香產品登記管理問題
根據委員會第十一次會議建議,農業部農藥檢定所組織有關專家開展了蠅香產品風險評估,向本次大會提交了《蠅香對使用人群健康風險評估報告》。評估結果表明,蠅香對使用者的健康風險是存在的,室內使用風險不可接受,室外使用風險可接受。委員們一致認為,這是我國首次對衛生殺蟲劑產品開展人類健康風險評估,評估過程公開、透明、企業參與,調研數據充分,評估方法科學,評估結果可靠。對于該產品是否可以進行“室外使用”登記,委員們意見不一致。多數委員認為,雖然該產品室外使用的風險可接受,但由于其具有驅蚊功效,主要在南方地區農村使用,許多留守老人、婦女和兒童文化程度低、保護意識弱,難以確保其僅在室外使用,且室外使用的場合非常有限,不能因部分地區仍有該產品銷售使用而倒逼主管部門登記認可,建議不予登記。少數委員認為,主管部門應尊重風險評估結果,充分考慮市場有需求的現狀,疏堵結合,允許室外使用登記,同時規范質量規格、包裝、標簽等技術要求,加強市場監管,降低安全風險。為此,評審委員會建議部種植業管理司會同農藥檢定所,研究提出處理意見報部領導審定。
(二)關于甲磺隆等3種長殘效除草劑登記管理問題
根據委員會第十次會議精神,委員們審議了對甲磺隆、氯磺隆、胺苯磺隆等3種長殘效除草劑的管理措施,形成并一致通過以下建議。
1.禁止含氯磺隆的產品在國內使用,2013年 12月 31日前撤銷含氯磺隆的產品登記證。
為了防御和減輕氣象災害,保護人民群眾生命財產安全,促進我市經濟社會又好又快發展,根據《中華人民共和國氣象法》、《氣象災害防御條例》、《防雷減災管理辦法》、《防雷裝置設計審核和竣工驗收規定》和《省氣象災害防御條例》等有關規定,現將有關事宜通知如下。
一、充分認識氣象災害風險評估工作的重大意義
氣象災害是最嚴重的自然災害之一,我市屬氣象災害高發區,年平均雷暴日數35天,年最高雷暴日數達44天,每年大到暴雨日數達9天,冰雹日數達28天,大風天數達29天。近年來,隨著我市經濟社會快速發展和現代化建設水平的不斷提高,氣象災害造成的災害程度也在不斷加劇,因氣象災害導致的人員受傷、火災、信息系統癱瘓等事故時有發生。氣象災害風險評估是防御自然災害風險管理的重要措施,是氣象災害風險控制和災害防范的前提和基礎,也是建設工程設計和施工的基本依據。各級政府、有關部門必須從構建“和諧”的高度,切實提高對氣象災害風險評估工作重要性的認識,堅決采取有效措施,科學組織,依法管理,認真做好氣象災害風險評估工作,為我市經濟社會跨越式發展提供有力保障。
二、認真做好氣象災害風險評估工作
各級政府和有關部門必須依據相關法律、法規要求,認真做好本行政區域內的各種規劃、大型建設工程、重點工程、爆炸危險環境等建設項目的氣象災害風險評估工作,特別是對新建、擴建和改建建設工程必須在項目動工前進行氣象災害風險評估,確保公共安全。我市氣象災害風險評估的主要內容是雷電、暴雨、洪澇、干旱、風災、連陰雨、高溫、寒潮、霜凍、冰凍、雪災、雹災、霧災。評估的具體范圍是:
(一)《建筑物防雷設計規范》規定的一、二、三類防雷建(構)筑物;
(二)煤礦、供電、化工企業,貯存燃油、燃氣、火工等易燃易爆場所;
(三)郵電通信、交通運輸、廣播電視、醫療衛生、金融證券、文化教育、文物保護單位和其他不可移動文物、體育、旅游、游樂場所以及信息系統等社會公共服務設施;
(四)城鄉、重點領域、區域發展和建設規劃;重大區域性經濟開發、區域結構調整區劃;
(五)其他依法需要進行氣象災害風險評估的場所和設施。
上述進行氣象災害風險評估的項目,建設單位在申請辦理氣象行政許可時,應當根據《中華人民共和國氣象法》第二十八條和第三十四條的規定,《防雷減災管理辦法》第二十七條的規定,《防雷裝置設計審核和竣工驗收規定》第八條的規定,《建筑物防雷設計規范》GB50057—第六章第條的規定,向氣象主管機構提交氣象災害風險評估報告。
三、氣象災害風險評估程序
對按規定需要進行氣象災害風險評估的項目,各級建設、氣象主管部門應當將氣象災害風險評估工作納入項目審核與竣工驗收許可制度,做到事前評估與事后審驗相結合,充分發揮氣象災害風險評估在工程建設中的重要支撐作用。凡屬氣象災害風險評估范圍的建設工程項目,建設單位在項目可行性研究階段或初步設計時應同步做好氣象災害風險評估工作。辦理程序如下:
(一)建設單位到當地氣象主管部門辦理氣象行政許可申報;
(二)當地氣象主管部門應根據建設工程項目類型、類別在1個工作日內作出該項目是否需要進行氣象災害風險評估或雷擊災害風險評估的意見;
(三)氣象災害風險評估項目,由建設單位與具有氣象災害風險評估資質的法定機構簽訂有關合同。評估機構必須嚴格執行建設工程氣象災害風險評估技術規范等相關標準,并對評估結論負責,氣象災害風險評估機構應在簽訂有關合同后20個工作日內作出評估結論;
(四)建設單位將氣象災害風險評估結果報當地氣象主管機構備案。
四、切實加強氣象災害風險評估工作的監督管理
(一)加強組織領導。氣象災害風險評估是關系人民群眾生命財產安全的大事,市、縣(區)政府要切實加強對氣象災害風險評估工作的領導,擺上重要議事日程,周密安排部署,精心組織實施,成立由政府分管領導任組長的氣象災害風險評估領導小組和專家評審組,氣象、發改委、建設、規劃、安監等部門要各負其責,密切配合,切實將氣象災害風險評估工作落到實處。
(二)靠實部門職責。氣象災害風險評估是社會公共安全保障的一項重要工作,涉及面廣、責任重大,各有關部門要加強協調配合,共同做好相關工作。氣象部門要做好氣象災害風險評估工作的組織、監督和管理,建立并落實氣象災害風險評估工作規范和工作流程,增強服務意識,提高辦事效率,嚴格執行上級物價部門核準的技術收費標準和市政府規定的有關項目減免收費政策,確保風險評估工作順利開展。發改部門在審批重點建設項目、易燃易爆工程建設項目立項時,應將氣象災害風險評估作為建設項目立項可行性論證的重要條件,對可行性研究報告或者申請報告中未包括氣象災害風險評估的項目,不予立項、審批、核準。規劃、建設管理部門在進行項目規劃建設許可時,應將氣象災害風險評估合格作為前置條件。安全生產監督管理部門應加強執法監督,督促氣象災害風險評估工作落實到位。