風險管理的實施步驟精品(七篇)

序論：寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內心深處的真相，好投稿為您帶來了七篇風險管理的實施步驟范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創作。

篇(1)

（中國民用航空飛行學院航空工程學院，四川 廣漢 618307）

【摘　要】航空維修單位是民航實現民航強國的重要體現和民航運輸業的重要保障，而維修單位安全管理體系的建立實施是維修單位安全的基本保障。論文在介紹當前我國維修單位特點及安全管理建設現狀基礎上，從安全政策與目標模塊、實施與控制模塊、監督與改進模塊和安全信息管理模塊4個模塊和安全政策、風險管理系統、安全文化體系、應急響應系統和改進體系等15個要素，構建了維修單位安全管理體系，并詳細探討了維修單位安全管理體系實施步驟，闡述其評估和改進步驟。建立維修單位安全管理體系旨在進一步夯實民航安全發展基礎，構建實施維修單位SMS將有助于提升維修單位安全管理水平和促進安全的持續發展。

關鍵詞 航空維修單位；安全管理體系；風險管理；安全評估

基金項目：國家級大學生創新項目（201408）。

作者簡介：楊立飛（1993—），男，中國民用航空飛行學院航空工程學院2011級本科生。

通訊作者：陳農田（1984—），男，講師，研究方向航空適航與安全、航空人因工程。

0　引言

安全是民航工作永恒的主題，也是永遠不可逾越的警戒線[1]。在20世紀90年代，航空安全專業人員和管理者將目光轉向了系統安全和以組織安全模型(如里森模型)為導向的新型安全管理模式[2]。在曼徹斯特大學James Reason教授的潛心研究，并借鑒了澳大利亞民航安全局的經驗和資料，開發并形成了加拿大SMS方案，于2005年開始執行。2005年英國陸續出版了CAP712《商業航空運輸的安全管理系統》和CAP726《安全管理系統的建立與審核指南》等系列規章和指導材料。國際民航組織（International Civil Aviation Organization，ICAO）在2006年生效的國際民用航空公約的附件6中，推薦各締約國對空中交通管制、機場、航空運營人和航空器維修單位要求建立安全管理體系（Safety Management System，SMS），以更有效的實施安全管理[3]。

我國作為國際民航組織的一類理事國，根據國際民航組織的要求在安全管理體系方面也做了許多工作，先后了《機場安全管理體系建設指南》（AC-139/140-CA），《關于航空運營人安全管理體系的要求》（AC-121/135-FS-2008-2），《民航空中交通安全管理體系SMS建設要求》（MD-TM-2009-003）等相關文件，標志著著我國民航SMS建設工作正式進行到應用階段。近年來，航空公司、機場和空管根據民航局在全國民航企業內提出的建立民航安全管理體系的基本要求和相關要素也建立了相應的安全管理體系，如徐佳璐[4]借鑒國外先進的安全理念與管理方法，對空管安全管理體系的構建進行了研究,以空管分局為例,提出了構建安全管理體系的主要內容和步驟,并制定了相應的評估指標體系和對策；張霆霆、孫瑞山等[5]設計提出試飛安全管理體系(SMS)建設總方案，結合我國試飛機構實際情況，從四大模塊構建適合我國民用航空器的試飛SMS，并闡述其實施和評估步驟；譚克濤[6]對比了國內外安全管理體系研究現狀，分析比較國內外安全管理體系建設的成功案例，以國內某國際機場為研究切入點，提出了國內機場SMS建立實施的困難及改進建議。而航空維修單位的安全管理與航空公司、機場、空管等系統有很大的不同，在安全管理模式上也存在著很大的差異，同時我國民航局雖然提出了在航空維修單位建立實施安全管理體系，但僅給出了基本要求和相關要素，并沒給出具體的操作指南、實施規范和審核標準。隨我國民航的快速發展，國內維修業發展速度加快、規模變大，維修單位的數量也不斷增多，但總體處于不均衡的發展狀態，并且國內維修受制于原始制造廠商在技術、備件、合約等方面的封鎖，國內維修單位的維修能力相對較弱[7]。且我國航空維修單位保障條件和作業環境差，安全保證體系和機制不健全，安全監查人員缺乏和監管能力不足，安全管理水平低 。目前國內無一成功的民航維修單位案例可供參照和借鑒，更是沒有形成一個標準模板和一個成功的范例。因此，建立并開始逐步實施安全管理體系以滿足我國民航當局的要求成為維修單位當務之急。

本文提出并建立航空維修單位安全管理體系的詳細步驟和實施內容以及探討航空維修單位安全管理體系評估、改進，促使航空維修單位整體安全水平不斷提高，以達到“有把握的安全、持續的安全、可靠的安全”的目標，并為航空安全管理部門提供科學的安全管理模式，實現維修單位安全管理的科學化、系統化和標準化。

1　安全管理體系理論內涵

在民航中，ICAO為提高現有的民航安全管理水平，提出將被動性安全管理轉變為主動性和預防性安全管理的理念，即安全管理體系（SMS）。ICAO將安全管理體系定義為：正式的、自上而下的、有條理的管理安全風險做法，包括必要的組織結構、問責制、政策和程序。安全管理體系由四大支柱構成，分別為策劃、安全風險管理、安全保證和安全促進[3]。其本質是系統管理，即從航空公司整個系統上把握安全態勢、查找安全問題、堵塞安全漏洞、消除安全隱患，而不是片面地、孤立地就抓安全；核心是安全風險管理，即在航空公司全面識別、衡量、避免風險，用最小的代價將風險造成的損失降到最低，盡可能的維護公司的利益；驅動是信息管理，即有效的安全管理是以數據為驅動的，同時安全信息的開發是提升安全管理水平的根本途徑；基礎是安全文化，不僅能彌補體系中組織政策、程序、標準方面的不足，還可以為航空公司營造優良的安全文化奠定基礎。

安全管理體系與傳統安全管理相比，主要的區別在于將被動性安全管理轉變為主動性安全管理；將管理者制定相關政策與程序轉變為員工意見能影響相關政策程序的制定；將直接監督一線員工轉變為運用系統方式監督；將視員工為不安全的因子轉變為讓員工成為安全的參與者；將由管理者檢查發現既有危害轉變為全體員工共同挖掘發現既有與潛在的危害；將獎懲保障安全的方式導入風險管理機制；將處罰文化轉變為公正文化等。

安全管理體系的作用就是在航空公司導入風險管理機制，實現主動安全管理，健全內部安全保證體系；系統全面、協調一致地實施各項安全方案，有效地配備資源和降低風險；恰當地確定安全責任，塑造積極的安全文化。安全與效益也密切相關，通過安全管理為管理者提供有效處置事故或事故征候的能力，并將有價值的教訓用來改善安全和提高效率，不僅能降低企業損失，還會提高企業生產力。

2　航空維修單位安全管理體系構建

根據《ICAO安全管理體系手冊》的內容，通過一線維修技術人員意見和建議，參考民航航空公司、機場和空管SMS構建方法和內容，結合航空維修單位發展速度快、數量增多、維修能力弱、機制不健全、安全監查人員缺乏和監管能力不足、安全管理水平低等特點，基于PDCA理論、安全目標管理、系統管理、人本原理、預防原理和強制原理等安全管理的基本原理，將航空維修單位安全管理體系內容劃分為安全政策與目標、實施與控制、監督與改進和安全信息管理4個模塊和安全政策、風險管理系統、安全文化體系、應急響應系統和改進體系等15個要素，它體現了航空維修單位SMS的最低要求[8-9]。航空維修單位SMS以安全方針、政策為指導，以實施與控制模塊（風險管理）為核心，通過監督與改進模塊確保維修過程中的安全風險始終被控制在可接受的范圍內，通過安全信息管理模塊使維修單位單位樹立良好的安全文化氛圍，從而建立基于數據、預防為主、持續運行的一個閉合循環運行系統，在系統運行過程中，通過持續不斷的改進和完善，實現航空維修單位SMS的改進和安全水平的提高。其航空維修單位SMS 模塊結構運行示意圖如圖1。

2.1　安全政策與目標模塊

安全政策與目標模塊是航空維修單位安全管理體系的基礎，包括安全政策、安全目標、質量政策、組織機構體系、文件體系和安全文化體系這6個要素。安全政策是指指導航空維修單位開展安全管理體系的統一方針，由維修單位一個經最高領導者批準安全目標和承諾組成，是安全管理體系構建的基本理念和行動準則，一般包括符合國家和民航局的法律、 法規、規章、規范性文件和標準要求；反映了維修單位的安全管理理念并為建設積極的安全文化提供了清晰的導向。在制定過程中，高層管理人員應與各層人員進行廣泛、充分地協商，確保員工與安全政策密切相關，在安全政策公布后，各部門應通過職責分解安全政策，并落實到個人。安全目標是控制和減少機務責任原因的飛行事故、航空地面事故和飛行事故癥候。對于質量政策管理人員應保證與安全政策相一致。在組織機構體系中，航空維修單位的安全管理第一責任人是建立、實施并保證安全管理體系的最終負責人，應建立相對獨立與運行系統的安全監督系統，確保維修單位的組織結構有利于安全管理及支持SMS的有效運行和持續改進，并完善安全運行的問責辦法，落實全體員工安全責任制。文件體系主要包括法規類文件、技術類文件、管理類文件、操作類文件及記錄，航空維修單位應以書面或電子方式建立并存檔各類文件，并且對各類文件的編制、審核、批準等實施有效的管理，以確保文件易查找、易讀、易識別和追溯、有序保存、及時更新修訂及廢止。安全文化是航空維修單位文化的重要組成部分，是全體員工價值觀和行為準則。航空維修單位應建立公正的獎懲管理規定，發揮和調動員工的工作積極性。在員工掌握安全文化理念的同時與實際行動相結合，將安全文化體現在具體崗位和實際工作中。

2.2　實施與控制模塊

風險管理模塊是航空維修單位SMS的核心，一般風險管理系統主要包括危險源識別、風險分析、風險評價、風險控制四個要素。對于運行過程中危險源識別，主要包括以下辨識工作：（1）設計因素，包括機械設備、工作排班和檢查單等；（2）信息交流方式，包括溝通方法、專業術語和語言等；（3）人為因素，包括公司培訓、薪資和資源分配政策等；（4）組織因素，例如實際生產與安全目標的兼容性、資源分配、公司安全文化等；（5）工作環境因素，例如噪聲、振動、溫度、燈光強弱和提供防護用具及服裝等；（6）規章管理標準，包括規章的可操作性與執行力度和人員、設備與程序的認證，以及行業監督適當的程序等；（7）防護措施，包括事故探測和警告系統，及設備對錯誤的容忍程度和靈活度等；（8）個人表現，包括身體狀況和醫療條件的限制等。進而采用被動式、主動式、預測式3種方式識別系統中危險源的存在，建立危險源數據庫，并通過風險分析對危險源導致危險的后果嚴重性及發生可能性進行評判，也包括對形成該危險源的各種根原因進行分析。在建立風險矩陣評估系統的基礎上，針對不同級別的安全風險制定并實施相應的緩解措施。維修單位應建立應急響應系統來針對航空器或非航空器突發事件。對于應急預案的內容包括應急小組成員名單職責和聯系方式、應急工作的流程（救援、記錄、保護和調查）、應急預案的培訓和演習。應急預案應通過演練驗證和評審的結果，找出方案的不足，并進行及時的改進和修訂。

2.3　監督與改進模塊

安全工作的目標是盡可能避免事故重復發生[10]。評估審核系統是對安全管理體系運行的有效性進行定性、定量評價，確定安全管理體系改進要求，持續提升安全管理水平。評審內容主要包括：安全政策的符合性、風險管理的實施效果、維修運行過程與法規的符合性、航空維修單位的安全績效、應急響應系統的狀態等。安全監察體系通過采用持續監控、審核、調查對維修運行系統進行監督、檢查確保各項安全管理工作是否符合規章要求和安全管理體系要求，為系統評估、管理評審和持續改進提供支持。其主要工作包括不安全事件報告、自我檢查、監督檢查、定期或不定期的安全檢查、內部審核和外部審核（局方、獨立的第三方或客戶組織）。改進體系是一個持續更新的動態系統，它是以不斷更新的安全管理數據為基礎，對以下內容進行持續改進：安全政策的改進；手冊、程序及文件的改進；設施設備的改進；危險源、風險平和風險控制方法的改進；安全管理數據庫的持續更新等。反饋系統管理主要取決于對信息的接受、處理和利用，在航空維修單位中信息主要來源之一是反饋系統，其包括對安全經驗教訓的汲取和維修人員的報告。該系統不僅用于報告安全相關問題，而且有助于維修運行過程中的危險源識別。

2.4　安全信息管理模塊

航空維修單位應該建立、健全教育培訓系統，組織和安排人員進行安全教育和培訓，使其具備必要的安全知識，熟悉有關的安全維修規章制度和本單位的安全管理理念、政策和程序，掌握對應崗位的安全操作規程和操作技能，提高員工的安全素質和安全意識，確定所有人員勝任其崗位。其主要內容有：新員工安全基礎知識培訓；危險源識別和風險管理培訓；安全管理體系培訓；典型經驗和事故教訓教育等。建立有效運行安全信息管理系統可以方便、快捷的實現各類安全信息的收集、分析、傳遞、利用和保護。且安全信息管理系統應覆蓋維修單位與航空器維修和提供服務的所有部門、生產運行過程和及其管理活動。

3　航空維修單位安全管理體系的實施

航空維修單位安全管理體系實施步驟參考ICAO向各國推薦的《ICAO安全管理體系手冊》實施步驟，基于安全管理理論、風險管理理論、PDCA 理論和系統原理，參考航空公司、機場、空管和通用航空安全管理體系實施步驟，制定了航空維修單位安全管理體系實施的流圖，如圖2所示。

4　航空維修單位安全管理體系評估和改進

航空維修單位安全管理體系在建立和實施過程中，受到人、機、環、管多個因素的影響，但各個因素間又相互聯系，共同構成由多個因素組成復雜的有機整體，所以在建成之后必須對該體系進行整體評估和改進。航空維修單位安全管理體系評估是對SMS建立和實施的過程和結果進行鑒定，其主要目的是客觀判別所建立的SMS是否達到了預定的安全績效指標。航空維修單位安全績效評估和改進步驟包括：明確評估對象；建立評估指標體系；定性與定量指標評估值的確定；評估指標權系數的確定；確定指標間合成關系，求綜合評估值；根據評估過程得到的信息，進行系統分析和決策；對系統分析和決策提出改進措施和建議。其評估方法可采用直接打分法、等級比重法、專家評分法和集值統計法。

5　結論

安全是民航所有工作的重中之重，是關系到民航業持續穩定發展的焦點問題。但安全管理體系的建設與實施工作是一項系統性、長期性、循序漸進的創新性工作。本文通過研究分析得出以下結論：

1）由于目前我國民航管理部門還沒有建立具體維修單位SMS的指導性文件，文中探索性地提出建立一套符合國際標準、中國民航發展規律、國內航空維修單位自身發展要求和特點的安全管理體系構建與實施步驟。

2）主要按照系統性、持續性、規范性的安全管理理念，結合PDCA理論、安全目標管理、人本原理及系統管理等安全管理的基本原理，從安全政策與目標模塊、實施與控制模塊、監督與改進模塊和安全信息管理模塊4個模塊和安全政策、風險管理系統、安全文化體系、應急響應系統和改進體系等15個要素，分SMS計劃、SMS實施、SMS審計和評估和SMS保證和促進4個階段，構建了航空維修單位SMS詳細的實施步驟和流程，制定了SMS評估和改進內容。

3）安全管理體系建設與實施是我國民航目前和今后一段時期的工作重點，將安全管理體系廣泛建立于民航各個單位，將進一步夯實民航安全發展基礎，構建實施航空維修單位SMS將有助于提升航空維修單位安全管理水平和促進安全的持續發展。

參考文獻

［1］劉利,吳濤.淺談航空貨站的SMS體系建設[J].空運商務,2011(304):1.

［2］國際民航組織.ICAO安全管理手冊(SMM)[S].2版.中國民用航空局航空安全辦公室等譯印,2005.

［3］周長春,譚鑫,陳勇剛,等.航空安全管理[M].成都:西南交通大學出版社,2011:181-203.

［4］徐佳璐.我國民航空中交通安全管理體系的構建和評估:以Z省空管分局為例[D].2011-11-29：I.

［5］張霆霆,孫瑞山,劉俊杰,侯偉峰.民用航空器試飛安全管理體系建設研究[J].中國安全科學報,2013-10,23(10):2-4.

［6］譚克濤.長沙機場安全管理體系的構建研究[D].2006-10-20：II.

［7］王芳.國內維修業：成長期的思考題[N].中國民航報,2013-1-10(4):2.

［8］陳勇剛.我國通用航空安全管理體系建設研究[J].中國安全生產科學技術,2012-6,8(6):2-4.

［9］國際民航組織.ICAO安全管理手冊（SMM）[M].3版.中國民用航空局航空安全辦公室,等,譯印,2013.

篇(2)

摘 要 風險管理引入稅收征管體系，是一種全新的管理方式。建立健全科學、嚴密、有效的稅收風險管理系統，對當前和潛在的稅收風險進行確認并實施有效的控制，變事后處理為事前、事中預警控制，科學地監測和有效地防范、化解稅收風險，實現稅收管理效能的最大化，不斷提高稅收管理的水平和質量，是今后稅收征管工作的發展方向。本文主要談談完善稅收風險管理機制的措施。

關鍵詞 完善 稅收 風險 管理機制 措施

一、明確稅收風險管理基本流程

從分析、歸集各類涉稅信息著手，將風險管理劃分為風險識別、風險評定、風險應對三個階段。風險識別階段，一般通過分年度、季度對各類信息收集和特征歸納，運用推理統計、數據分析等方法，對照稅收風險管理指標體系和特征庫，針對不同角度和領域，找到稅收風險點，對識別出的風險點進行定性分析。風險評定階段，對識別出的風險點，通過人機結合的方式，對納稅人的風險級別進行統一的、基礎性的評定。稅收風險大小以稅收風險積分表示，以稅收風險發生概率和風險發生造成稅款流失的嚴重程度即強度為主要評價因素，通過設立風險評定項目分值和風險強度系數，計算風險積分，按季對納稅人進行風險等級劃分，分為一至五個等級，五級最高，一級最低。風險應對階段，針對不同風險等級的納稅人，采取差別化的管理和服務。各業務科室、基層局各職能部門可以直接參與到具體的風險應對工作中，形成縱向各層級、橫向各部門的聯動互動、協調協同的風險應對工作機制，確保稅收風險管理取得實效。

二、強化稅收分析

稅收風險管理中，風險控制標準的制定和執行成為風險管理體制有效運轉的重要保證。而加強對稅收風險點的識別和定位，對稅收風險點進行詳細分析則是有效識別和定位稅收風險，構建合理稅收風險管理系統的重要基礎工作。高質量的分析工作可以不斷提高各級稅收管理層的稅收風險預警能力。提高稅收風險管理的針對性和指向性。按照國家稅務總局的要求，稅收分析可以細分為經濟稅源分析、政策效應分析、管理風險分析和預測預警分析。其核心內容是依托信息平臺，根據內外部數據來源，對稅源企業進行分類分級，明確各級稅源監控的。標準、范圍及要求，按照風險級別排序，采取有針對性的稅源監控措施，合理地配置稅收管理資源，提高稅源管理的針對性和有效性。

三、健全稅收管理機制，建立專業化的風險控管運行機制

按照稅收風險管理的程序要求，各級稅務機關，特別是各級管理層，通過轉變管理職能，逐步建立滿足風險管理體系建設需要的各類運行機制，主要包括：風險管理戰略規劃管理機制、風險信息情報采集交換機制、風險信息分析識別管理機制、風險等級估算排序管理機制、風險應對策略選擇管理機制、風險應對措施實施管理機制、風險管理全程監控評估機制等。

建立稅收風險管理規劃目標管理機制。承擔稅收風險戰略規劃管理的稅務機關，通過建立部門聯席會議，形成稅收風險管理戰略規劃管理工作機制，承擔系統風險管理的規劃管理工作，對規劃期風險管理的工作目標、階段重點、方針策略、主要措施、實施步驟等作出系統性安排。對規劃期風險管理工作開展情況進行全程跟蹤監控；在規劃期末，對作出及時的總結評估，為風險管理體系持續改進、持續完善，為未來稅收風險戰略管理的規劃安排提供改進建議。

四、有效監督保障

篇(3)

關鍵詞 計算機；網絡風險；防范模式；防范流程

中圖分類號 F062.5 [KG*2]文獻標識碼 A [KG*2]文章編號 1002-2104(2011)02-0096-04

在信息時代，信息成為第一戰略資源，更是起著至關重要的作用。因此，信息資產的安全是關系到該機構能否完成其使命的大事。資產與風險是天生的一對矛盾，資產價值越高，面臨的風險就越大。信息資產有著與傳統資產不同的特性，面臨著新型風險。計算機網絡風險防范的目的就是要緩解和平衡這一對矛盾，將風險防范到可接受的程度，保護信息及其相關資產，最終保證機構能夠完成其使命。風險防范做不好，系統中所存在的安全風險不僅僅影響系統的正常運行，且可能危害到政府部門自身和社會公眾，嚴重時還將威脅國家的安全。論文提出了在選擇風險防范策略時如何尋找合適的風險防范實施點并按照實施風險防范的具體過程來進行新技術下的風險防范，從而幫助完成有效的風險管理過程，保護組織以及組織完成其任務。

1 計算機網絡風險管理

計算機網絡風險管理包括三個過程：計算機網絡屬性特征分析、風險評估和風險防范。計算機網絡屬性特征分析包括風險管理準備、信息系統調查、信息系統分析和信息安全分析4個階段。在計算機網絡風險防范過程中，計算機網絡屬性的確立過程是一次計算機網絡風險防范主循環的起始，為風險評估提供輸入。風險評估過程，包括對風險和風險影響的識別和評價，以及降低風險措施的建議。風險防范是風險管理的第三個過程，它包括對在風險評估過程中建議的安全控制進行優先級排序、評價和實現，這些控制可以用來減輕風險。

2 網絡風險模式研究

2.1 風險防范體系

計算機風險防范模式包括選擇風險防范措施（風險假設、風險規避、風險限制、風險計劃、研究和了解、風險轉移）、選擇風險防范策略（包括尋找風險防范實施點和防范控制類別的選擇）、實施風險防范3個過程。在實施風險防范的過程中包括對行動進行優先級排序、評價建議的安全控制類別、成本-收益分析、選擇風險防范控制、分配責任、制定安全措施實現計劃、實現被選擇的安全控制，最后還要進行殘余風險分析。

2.2 風險防范措施

風險防范是一種系統方法，高級管理人員可用它來降低使命風險。風險防范可以通過下列措施實現：

（1）風險假設：接受潛在的風險并繼續運行IT系統，或實現安全控制以把風險降低到一個可接受的級別。

（2）風險規避：通過消除風險的原因或后果（如當識別出風險時放棄系統某項功能或關閉系統）來規避風險。

（3）風險限制：通過實現安全控制來限制風險，這些安全控制可將由于系統弱點被威脅破壞而帶來的不利影響最小化（如使用支持、預防、檢測類的安全控制）。

（4）風險計劃：制定一套風險減緩計劃來管理風險，在該計劃中對安全控制進行優先排序、實現和維護。

（5）研究和了解：通過了解系統弱點和缺陷，并研究相應的安全控制修正這些弱點，來降低風險損失。

（6）風險轉移：通過使用其他措施補償損失，從而轉移風險，如購買保險。

在選擇風險防范措施中應該考慮機構的目標和使命。要解決所有風險可能是不實際的，所以應該對那些可能給使命帶來嚴重危害影響的威脅/弱點進行優先排序。同時，在保護機構使命及其IT系統時，由于每一機構有其特定的環境和目標，因此用來減緩風險的措施和實現安全控制的方法也各不相同。最好的方法是從不同的廠商安全產品中選擇最合適的技術，再伴以適當的風險防范措施和非技術類的管理措施。

2.3 風險防范策略

高級管理人員和使命所有者在了解了潛在風險和安全控制建議書后，可能會問：什么時候、在什么情況下我們該采取行動？什么時候該實現這些安全控制來進行風險防范，從而保護我們的機構？

如圖1所示的風險防范實施點回答了這個問題。在圖1中，標有“是”的地方是應該實現風險防范的合適點。

總結風險防范實踐，以下經驗可以對如何采取行動來防范由于故意的人為威脅所帶來的風險提供指導：

楊濤等：計算機網絡風險防范模式研究中國人口•資源與環境 2011年 第2期(1)當存在系統漏洞時，實現保證技術來降低弱點被攻擊的可能性；

(2) 當系統漏洞被惡意攻擊時，運用層次化保護、結構化設計以及管理控制將風險最小化或防止這種情形的發生；

(3) 當攻擊者的成本比攻擊得到更多收益時，運用保護措施，通過提高攻擊者成本來降低攻擊者的攻擊動機（如使用系統控制，限制系統用戶可以訪問或做些什么，這些措施能夠大大降低攻擊所得）；

(4) 當損失巨大時，運用設計原則、結構化設計以及技術或非技術類保護措施來限制攻擊的程度，從而降低可能的損失。

上面所述的風險防范策略中除第三條外，也都可運用來防范由于環境威脅或無意的人員威脅所帶來的風險。

2.4 風險防范模式的實施

在實施風險防范措施時，要遵循以下規則：找出最大的風險，然后爭取以最小的代價充分減緩風險，同時要使對其他使命能力的影響最小。實施措施通過以下七個步驟來完成，見圖2。

2.4.1 對行動進行優先級排序

基于在風險評估報告中提出的風險級別，對行動進行優先級排序。在分配資源時，那些標有不可接受的高風險等級（如被定義為非常高或高風險級別的風險）的風險項目應該最優先。這些弱點/威脅需要采取立即糾正行動以保護機構的利益和使命。步驟一輸出―從高到低優先級的行動。

2.4.2 評價建議的安全控制

風險評估過程中建議的安全措施對于具體的機構和IT系統可能不是最適合和可行的。在這一步中，要對建議

圖1 網絡風險防范實施點

Fig.1 Network implementation point of risk prevention

圖2 實施風險防范措施流程及其輸入輸出

Fig.2 Implementation of risk prevention measures and

the input and output processes

的安全控制措施的可行性（如兼容性、用戶接受程度）和有效性（如保護程度和風險防范級別）進行分析。目的是選擇最適當的安全控制措施以最小化風險。步驟二輸出―可行安全控制清單。

2.4.3 實施成本-收益分析

為了幫助管理層做出決策并找出性價比好的安全控制，要實施成本―收益分析。第三步輸出―成本-收益分析，其中描述了實現或者不實現安全控制所帶來的成本和收益 。

2.4.4 選擇安全控制

在成本-收益分析的基礎上，管理人員確定性價比最好的安全控制來降低機構使命的風險。所選擇的安全控制應該結合技術、操作和管理類的控制元素以確保IT系統和機構適度的安全。步驟四輸出―選擇好的安全控制。

2.4.5 責任分配

遴選出那些有合適專長和技能來實現所選安全控制的人員（內務人員或外部簽約人員），并分配以相應責任。步驟五輸出―責任人清單。

2.4.6 制定一套安全措施實現計劃

在這一步，將制定一套安全措施實現計劃（或行動計劃）。這套計劃應該至少包括下列信息：

（1）風險（弱點/威脅）和相關的風險級別（風險評估報告輸出）。

（2）建議的安全控制（風險評估報告輸出）。

（3）優先排序過的行動（標有給那些有非常高和高風險級別的項目分配的優先級）。

（4）被選擇的計劃好的安全控制（基于可行性、有效性、機構的收益和成本來決定）。

（5）實現那些被選擇的計劃好的安全控制所需要的資源。

（6）負責小組和人員清單。

（7）開始實現日期。

（8）實現完成的預計日期。

（9）維護要求。

2.4.7 實現被選擇的安全控制

根據各自的情況，實現的安全控制可以降低風險級別但不會根除風險。步驟七輸出―殘余風險清單。

3 網絡風險防范案例

以某市政府官方門戶網絡應用系統為例，首先要對網絡應用系統進行屬性分析，風險評估，然后根據風險評估報告和承受能力來決定風險防范具體措施。

3.1 風險評估

該計算機網絡應用系統安全級別要求高，根據手工和自動化網絡風險評估，結果如下所示：

數據庫系統安全狀況為中風險等級。在檢查的33個項目中，共有9個項目存在安全漏洞。其中：3 個項目為高風險等級，占總檢查項目的 9％；1 個項目為中風險等級，占總檢查項目的 3％；5 個項目為低風險等級，占總檢查項目的 15％。

3.2 風險防范具體措施

選擇風險防范措施中的研究和了解同時進行風險限制。確定風險防范實施點，該數據庫的設計存在漏洞并且該漏洞可能被利用，所以應該實施風險防范。實施步驟如下：

步驟一：對以上掃描結果中的9個漏洞進行優先級排序，確立每個項目的風險級別。

步驟二：評價建議的安全控制。在該網站主站數據庫被建立后針對評估報告中的安全控制建議進行分析，得出要采取的防范策略。

步驟三：對步驟二中得出相應的若干種防范策略進行成本收益分析，最后得出每種防范策略的成本和收益。

步驟四：選擇安全控制。對上述掃描的9個漏洞分別選擇相應的防范策略。

步驟五：責任分配，輸出負責人清單。

步驟六：制定完整的漏洞修復計劃。

步驟七：實施選擇好的防范策略，按表1對這9個漏洞進行一一修復。

表1 防范措施列表

Tab.1 List of preventive measures

漏洞ID

Vulnerability

ID 漏洞名稱

Vulnerability

Name級別

level風險防范策略

Risk prevention

strategiesAXTSGL1006Guest用戶檢測高預防性技術控制AXTSGL1008登錄模式高預防性技術控制AXTSGL3002審計級別設置高監測和恢復技術控制AXTSGL3011注冊表存儲過程權限中支持和預防性技術控制AXTSGL2001允許遠程訪問低預防性技術控制AXTSGL2012系統表訪問權限設置低預防性技術控制AXTSGL3003安全事件審計低監測恢復技術控制AXTSGL3004黑盒跟蹤低恢復管理安全控制AXTSGL3006C2 審計模式低監測和恢復技術控制

4 總 結

在進行計算機網絡風險管理分析的基礎上，提出了新技術下的風險防范模式和體系結構，同時將該防范模式成功應用到某市官方網站的主站數據庫中。應用過程中選擇了恰當的防范措施，根據新技術下風險防范實施點的選擇流程確立了該數據庫的防范實施點并嚴格按照風險防范實施步驟進行風險防范的執行，成功地使風險降低到一個可接受的級別，使得對機構的資源和使命造成的負面影響最小化。

雖然該防范模式在一定程度上降低了風險的級別，但是由于風險類型的不可預見性和防范策略的局限性，該模式未必使機構或系統的風險降到最低，因此風險防范有待于進一步改進和完善，這將是一個長期的任務。

參考文獻（References）

［1］蔡昱，張玉清.風險評估在電子政務系統中的應用［J］.計算機工程與應用，2004，(26)：155-159.［Cai Yu,Zhang Yuqing .Risk assessment in Egovernment System［J］. Computer Engineering and Applications: 2004(26):155-159.］

［2］張平，蔣凡.一種改進的網絡安全掃描工具［J］.計算機工程，2001.27(9)：107-109,128.［Zhangping, Jiangfan. Improved Network Security Scanner. Computer Engineering［J］.2001,27(9):107-109,128.］

［3］卿斯漢.網絡安全檢測的理論和實踐［J］.計算機系統應用,2001,(11)：24-28.［Qing Sihan. Network Security Detection Theory and Practice［J］. Computer SystemApplication,2001,(11):24-28.］

［4］戴志峰，何軍.一種基于主機分布式安全掃描的計算機免疫系統模型［J］.計算機應,2001,21(10)：24-26,29.［Dai Zhifeng,He jun.Host based Distributed Security Model of the Immune System Scan the Computer［J］. Computer Application, 2001,21(10)：24-26,29.］

Research on Risk Precention Model of Computer Network

YANG Tao1 LI Shuren1 DANG Depeng2

( 1. Computer Network Information Center,Chinese Academy of Sciences,Beijing 100190,China;

2. College of Information Science and Technology,Beijing Normal University,Beijing100875,China)

篇(4)

關鍵詞：冶金企業 安全生產管理 風險管理 注意事項

中圖分類號：F270.7 文獻標識碼：A

文章編號：1004-4914（2017）02-294-02

一、引言

（一）冶金企業引入風險管理的背景

為了進一步適應市場經濟的需要，做好企業的安全管理工作，是所有企業面臨的重要問題。如果企業中存在著某一方面哪怕是微乎其微的安全隱患，也會存在發生安全事故的可能性。一起安全事故的發生輕則給企業帶來不必要的經濟損失，重則會給企業帶來滅頂之災。所以，缺乏安全生產的企業就猶如無源之水、無本之木，這樣是不會獲得持續發展的。只有抓好安全生產工作，才能全面提升企業的安全管理水平，才能確保企業安全生產，才能實現企業經濟效益最大化，才能更好地保持企業強勁的發展勢頭，增強企業在市場經濟中的競爭力。

近幾年，冶金企業在改造、更新、重組做大做強過程中，生產規模不斷擴大，生產工藝不斷革新、技術管理不斷進步，特別是PLC在冶煉工序上的應用，工業自動化程度顯著提高。所以，再沿用過去直接具體的傳統安全管理方式、常規的管理模式已經不能適應現代企業生產形勢的需要，已不能適應先進技術發展和生產秩序順利進行的需要。安全管理在一定程度上呈現出與現代企業發展的不適應落后狀態。

（二）風險管理的主要流程

冶金企業安全生產風險管理的主要流程可以用下圖表示：

第一，目標規劃。風險目標規劃，是管理層在對外部環境和內部條件進行認真分析研究的基礎上，對一定時期內稅收風險管理的工作目標、階段重點、方策略、主要措施、實施步驟等作出的具有系統性、全局性的謀劃。一個完整的目標規劃包括以下幾個方面：內外部形勢判斷；組織目標的確定；實現的方針策略；實施的重點步驟；組織技術等保障。

第二，風險識別。技術層面的第一個環節，是關鍵環節或者基礎環節。它的主要功能是尋找冶金企業安全生產風險發生的可能領域，識別風險發生的具體目標。

第三，風險等級排序。就是從兩個變量來確定風險值。風險值與以下因素有關：風險事項發生的概率（可能性），風險事項發生的負面后果。風險值=事件概率×后果，數據值高=高風險，數據值低=低風險。風險等級估算的注意點：風險等級排序的價值是在比較中得到實證的；用經過等級估算選出的具體對象，與隨機的，沒有針對性的，任意的開展安全生產檢查活動比較，來體現等級排序在安全生產管理中的作用。

第四，風險應對處理。針對風險我們能做什么？不是所有風險都需要應對的，可采取的正確的做法是：我們通?？梢愿淖冎贫缺苊馑?，目前容忍接受它，積極應對減少它（減少可能性或結果）。

第五，風險管理的評估。風險評估的關鍵點有兩個：需要關注影響和結果而非只注重投入與產出；質量衡量應與數量衡量相配合。評估方法要考慮結果評估與過程評估相結合。實現的途徑是單項評估與多樣化評估、綜合評估相結合。

二、當前冶金企業安全生產風險管理方面存在的問題

近年來，全面風險管理已逐步成為國際經濟領域的熱點，企業風險管理日益為各國政府、企業以及相關經濟組織所重視。在發達國家，不僅風險管理理論發展迅速，而且很多企業都已認識到風險管理的重要性，越來越多地將全面風險管理作為企業管理的重中之重。我國的風險管理理論及應用發展相對滯后，2006年10月國務院國有資產監督管理委員會《中央企業全面風險管理指引》，要求央屬企業必須建立全面風險管理體系，切實加強企業風險管理工作。在國內冶金企業中，除少數大型央企建立健全了風險管理體系外，絕大部分企業全面風險管理仍處于被動狀態，不同程度地存在風險管理意識不足，缺乏風險管理策略，缺少風險管理專業人才，以及風險管理技術、資金不足等問題。總的來說，國內冶金企業全面風險管理工作相對比較薄弱，具體表現為：

（一）企業發展戰略與風險管理實際不匹配

企業對自身戰略目標未進行有效的風險評價，甚至在目標制定時急于求成，希望以最快的方式獲得回報，導致在經營發展過程中承擔了過多自身難以承受的風險，加之缺乏相應的風險管理策略和措施，在重大風險事件發生之時無從應對，致使企業遭受巨額損失，戰略目標難以實現。

（二）重視具體風險的管理，缺乏風險管理整體策略

在企業的風險管理工作中，往往將絕大部份精力投入到具體風險管理中，缺乏系統的全面風險管理體系，導致企業風險管理的資源分配不均，影響企業全面風險管理的整體效率和效果。

（三）多為事后控制，缺乏主動性

企業的風險管理多為事后控制，缺乏系統的、定時的評估，缺少積極的、主動的、靈活的風險管理機制，不能從根本上防范重大風險。

（四）缺乏強大的信息系統支持

企業內部對風險信息的認識不統一，尚未形成企業的風險信息標準和傳送渠道，未形成協調、統一的溝通體系。對于具體風險，缺乏量化和信息化的數據支持，從而影響決策的效率和效果。

（五）風險管理職責不清

大部份企業沒有專職的風險管理機構和相應的人力資源，風險管理職能、職責分散在不同的部門和崗位，缺乏明確的、針對不同層面的風險管理職能描述和職責要求。

三、冶金企業安全生產實施風險管理的注意事項

風險之于冶金企業，是與生俱來的。尤其是在當今經濟日益全球化、競爭日益殘酷的復雜市場環境中，冶金企業不僅面臨著自然災害、財產損害、業務中斷、盜竊及產品責任等傳統風險，還面臨著市場風險、運營風險、財務風險、人力資源風險等諸多風險因素，尤其是安全生產領域的風險防控更是重中之重。如何強化全面風險管理，有效規避、分散、化解和抵御各類風險，是每一個冶金企業生存發展之路必須面對的問題。為此，結合風險管理的理念，冶金企業安全生產應該著力做好五個方面的注意事項。

（一）嚴格落實預防為主的方針

對事故的預測不是僅僅憑借經驗和事故總結，而是在橫向到邊、縱向到底、不留死角的區域劃分下，根據不同的區域特點，運用現代風險評估技術多角度、全方位進行風險分析，找出危險源，評價它的風險程度，制定對應級別的控制措施。這樣就更加體現了預防為主的方針，使預防目標和手段更加科學?？梢哉f，引入風險管理將使冶金企業傳統的“防御式”被動安全管理轉向“攻防式”主動安全管理，使冶金企業安全生產管理更加科學與有效。

（二）重視提高員工的風險管理意識和能力

將風險管理應用在冶金企業安全生產管理中時，需要圍繞安全生產過程中的各項因素進行，特別是要重視“人”的作用，即加強對員工的培訓，培訓內容包括風險管理意識、風險辨別能力、風險控制能力、安全業務知識等等，關鍵內容就是事故的預防、關鍵環節的控制方式、重點監控措施、日常監控內容等等。在評估的過程中，要使用定性與定量相結合的方式進行，在風險的處理方面，要加強對評估結果的反饋以及反饋的響應工作，對于關鍵風險點的評估可以以隱患通知書或者其他專項整改方式的形式出現，在日常工作中要加強對反饋結果的處理，提升冶金安全生產管理的成效。

（三）風險管理要與生產實際相結合

要發揮出風險管理的效用，除了要遵循全面、系統的原則以外，還要將風險管理工作與生產的實際情況進行密切的結合，這樣就能夠將安全理論、經驗教訓與生產實踐M行密切的結合，也可以將風險管理的效果發揮至最大化。此外，在風險管理的過程中，管理人員必須要加強與一線員工的溝通與交流，傾聽他們的心聲，積極地吸取他們的建議與意見，將風險管理與作業方式和事故類型進行密切的結合，這樣才能夠將風險管理的成效發揮至最大化。

（四）注重風險管理工作開展的持續性

將風險管理工作應用于冶金企業安全生產管理的工作中時，應該根據工作的實際情況以及具體的進度進行適當的調整，這樣才能夠適應新形勢的發展，才能夠令風險管理工作得到持續的改善，才能夠推動風險管理工作的全面發展。

（五）完善風險管理的監督評價機制

完善的監督評價機制能夠有效保證冶金安全生產風險管理工作的順利開展，因此冶金企業應該在原有監督評價機制的基拙之上，進一步完善風險管理監督評價機制：

1.冶金企業應該在遵循冶金行業安全監督規范標準的基礎之上建立冶金企業安全生產風險管理監督體系，對冶金企業執行有關法律規范、規章制度進行嚴格的監督，這樣能夠有效督促冶金企業按照冶金行業安全生產規范進行冶金產品的生產。

2.冶金企業還應該進一步完善風險管理評價機制，制定科學合理的評價指標對冶金安全生產狀況展開綜合評估，這樣能夠及時發現冶金生產過程中可能會出現的安全事故，并且采取合理措施加以控制，這樣能夠確保冶金安全生產風險管理的效果。

四、結語

隨著我國經濟的蓬勃發展，生產規模的不斷擴大，生產過程中大量使用新工藝、新材料，新技術不斷得到推廣和運用，由于管理跟不上規模的擴大，對新工藝、新材料、新技術的安全特性認識不足，片面追求經濟效益，致使生產安全事故不斷發生，火災、爆炸、空難、化學品及核泄漏事故等嚴重威脅著人類的安全和健康。事故不僅造成經濟上的損失，而且給人類的心靈留下久久的創傷和難以抹去的陰影，也給個人、家庭和社會留下了沉重的包袱和不穩定因素。實施以風險管理為導向的安全生產管理是控制和減少事故的重要手段，一方面通過宏觀的安全生產管理來解決全社會共性的問題，是促進安全生產工作的根本途徑；另一方面通過推動企業安全生產管理，提高廣大干部職工的安全意識和安全知識水平，控制和減少事故隱患、杜絕“三違”現象。同時，推行現代安全管理來滿足現代企業安全生產的需要，降低人類的風險代價?？傊挥胁粩鄤撔潞瓦M步，搞好安全生產管理工作，才能有效實現安全生產目標。

參考文獻：

[1] 方曉嶺.冶金企業安全生產應急管理體系研究[J].世界有色金屬，2016（13）：137～139

[2] 許傳高.當前我國冶金企業安全生產管理存在的問題分析[J].現代企業教育，2012（03）：172

[3] 侯茜，劉峰，鄔開發.安全生產標準化在冶金企業落地生根探研[J].工業安全與環保，2013（12）：43～45

篇(5)

未來企業的競爭說到底將由資源競爭轉化為管理競爭，進而成為成本管理的競爭，公司應把成本管理納入整個市場經濟大環境中予以全面客觀的考察，根據公司具體情況確定和實施，明確適當的發展戰略，把握機遇，主動積極地適應和駕馭外部環境，盡可能的規避風險，降低風險，建立風險評估機制逐步完善風險應對體系，采取有力的措施，沉著應對復雜紛繁的經濟金融環境，在危機中平穩過渡，在競爭中取得主動，最終實現企業預定的戰略目標。

一、風險管理

當前國際國內的經濟活動競爭性加劇，經濟關系紛繁復雜。企業在社會上生存，不可避免的會遇到一系列風險，任何重要風險處理失當都可能導致企業經營的失敗，造成巨大的經濟損失。企業要謀求持續健康的發展，就必須處理好風險問題，一方面要加強風險分析、預測，建立風險預警體系，及時采取有針對性的措施，化弊為利；另一方面，當風險發生后，采取恰當的風險控制、風險應對措施。現階段我國企業內部管理比較薄弱，尚未健全完善的成本管理體系，與現代企業制度的要求有一定差距。重經營輕管理的思想依舊存在，對成本風險管理的意識還比較模糊。體現在以下兩方面：（1）國內相當多的公司內部信息嚴重不對稱、不透明。出于各種利益考慮，企業管理部門之間不愿及時提供相關信息，造成信息“孤島”，企業的高層管理者難以獲取準確的財務會計信息。這些內部管理制度不健全的情況，極易形成安全隱患，增大企業的生產經營風險。（2）一些制造企業只注意生產環節中的成本管理，忽視供應環節和銷售環節的成本管理；只注意投產后的成本管理，忽視投產前產品設計環節以及生產要素合理組織的成本管理。一些企業的投產前成本管理意識薄弱，成本預測、成本決策缺乏前瞻性、制度性；成本計劃缺乏科學性、規范性，因此，造成生產中、投產后成本管理的盲目性。

二、本文由收集整理將風險管理理論用于成本管理

風險管理作為一種日趨成熟的管理理念和方法，在國際上不僅得到了經濟界的重視，而且在公司管理上也得到了廣泛而迅速的應用。二重集團公司在成本管理工作中引入風險管理機制，是一個重大的理論與實踐問題，是成本管理工作的一項創新。風險管理的主要目標就是在損失發生之前，全面消除損失發生的根源，盡量減少損失發生的概率，形成一套長效機制。應用風險管理理論實現成本管理的要求是對超前預防的有效探索和實踐。而對于二重集團公司而言，將“風險管理”等現代管理理念和科學方法引入日常經營管理的實踐當中，針對各業務操作環節中出現的短板和”瓶頸”問題，超前預防，前移監督關口，積極掌握內部控制的主動權，增強內部控制的預見性和可操作性，用發展的思路和創新的辦法推進公司制改革，為有效預防風險開辟了一條新思路。目前二重集團正以科學發展觀為指導，實施“一個中心，兩個基地”的戰略布局，加快發展，向著建設國際化大公司的目標堅強邁進。通過結合自身生產、經營和管理的特點，將風險管理體系應用到成本管理中去，通過對全體員工在履行崗位職責、行使權力中面臨的以及潛在的風險進行識別、評估，采取針對性防范措施，做到潛在問題早防控，有了問題早發現，一般問題早糾正，嚴重問題早查處，最終使大家不犯或少犯錯誤。

三、風險管理理論應用于成本管理的實施步驟

（1）建立綜合信息框架。第一，開展風險辨別評估培訓，明確階段工作要求和計劃；第二，發放資料清單，收集內外部資料，匯總整理風險管理初始信息；第三，對風險管理初始信息進行初步分析，提煉風險事件。（2）風險評估。開放風險評估系統，指導各部門工作人員填寫風險事件，發放問卷調查，對回收的風險事件進行整理、篩選、分類。有了重點之后，按照風險管理的要求，將納入風險管理重點檢查的各個項目進行逐一梳理和認真分析，并且形成分析意見。之后將分析排查的意見反饋給公司成本辦或審計部，依據分析意見最后確定風險評估結論，并出具相關報告。在充分識別各種潛在風險因素后，對固有風險進行分析，同時重點分析剩余風險。用定性與定量相結合的方法，按照風險發生的可能性及其影響程度等，對識別的風險進行分析和排序，確定關注重點。（3）風險策略。企業在分析了相關風險發生的可能性和影響程度后，結合風險承受度，權衡風險與收益，確定風險應對策略。常見的風險應對策略有：風險規避，即改變或回避相關業務，不承擔相應風險；風險承受，即比較風險和收益后，愿意無條件承擔全部風險；風險降低，即采取措施降低發生不利后果的可能性；風險分擔，即通過購買保險、外包業務等方式來分擔一部分風險等，例如公司在生產一套成臺軋機中發現某部件自己加工風險很大，則可以采取風險分擔的風險策略將其分包給外協廠家。（4）風險管理監督與改進。結合各業務環節易出現的失控點，提出風險對策并采取具體措施加以整改，以規避、降低、化解或消除風險。從成本入手規劃企業的目標成本，建立動態成本信息反饋系統，逐步形成公司成本數據庫；逐步完善經濟責任制體系，努力提高全員成本意識水平，加強不同專業、不同流程之間的合作和溝通，形成分工負責、有機協調的成本管理體系，體現結果與過程并重的原則。集團公司多年來實行的經濟責任制考核體系即是風險管理的一種積極嘗試。根據成本科目將目標成本分解成《目標成本控制責任書》，對各項費用的責任單位、科室、工段、班組、個人及其主要職責的說明，包括控制的內容、控制的要點和手段，形成成本控制的指引。經濟責任目標與職工薪酬掛鉤考核，并對二級單位負責人實現經濟責任制離任審計。每期的責任成本都要嚴格落實到責任單位和責任人，使風險管理真正能夠見到實效。

目前二重集團公司在應用風險管理實現成本控制的工作中還有一些需要進一步改進的領域。如在產品設計階段，許多靠轉化圖紙來設計的產品，產品設計的隨意性很大，部分設計人員的責任心亟待提高，特別是由于設計的原因造成的變更、換發、增補等現象頻頻發生，有些設計人員發生設計錯誤時甚至直接增補一件或一批零件，不說原來的報廢也不說原來的的可以用，由此耗費了許多企業資源，這些都需要采取一些措施，通過納入風險管理來細化管理，控制風險，以減少產品設計風險帶給企業的巨大負面影響。另外，企業里有些是制度不健全，需要建立健全，但更多是執行不夠，有章不循的問題，必須下大氣力解決執行力的問題。加強成本管理，不僅要認真抓好事后分析，更重要的是做好事前預測、事中控制，針對問題的根源和制度的缺陷，采取預防性措施，做到未雨綢繆，真正實現企業成本管理的低風險。俗話說，欲速則不達。在企業成本管理過程中實施風險管理，不能一蹴而就，也不能期望一次防控就大功告成，而是一項循環往復的長期工作。因此，引用質量控制理念，進行pdca循環管理，進行計劃、執行、考核、修正管理四個環節。在此基礎上，收集相關政策、行業、市場、運營風險等信息；進行風險與收益分析，包括敏感度分析、情景分析等因素；建立有效的信息共享與溝通機制，及時風險預警信息，從事業部或子公司的角度出發，全面考慮風險對公司成本、費用的影響，定期回顧生產計劃于實際執行的偏差，制定備選方案；針對風險點，積極采取風險點防范措施，增強風險點防范的針對性和實效性。進一步健全和完善成本管理工作機制，增強成本管理的整體效應。

篇(6)

關鍵詞：建筑施工企業 風險管理 內控 對策

隨著國際國內形勢復雜多變，全球經濟增長疲弱，國際金融市場劇烈動蕩，國內的財政政策由積極走向緊縮，由投資拉動改為控制通脹，國內建筑市場尤其是鐵路市場由大規模投資轉向了急剎車，建筑企業的生存和發展面臨著前所未有的壓力和挑戰，面臨著經營、安全、質量、資金、法律、“走出去”風險等諸多風險，加強以“控制企業重大風險，防止重大風險事件，避免重大風險損失”為主要內容的企業風險管理與內控建設迫在眉睫。

1.當前建筑施工企業發展中存在的問題

1.1建筑施工企業舊體制遺留問題多，資源配置不充分，用人機制不靈活，墊資施工現象嚴重，工程拖欠款回收困難。

1.2企業制度的設計制定缺乏科學性，缺乏人性化管理，基層管理者對企業制度的貫徹執行不到位，制度執行力差。

1.3企業面臨的不確定因素多，風險預測、評估和應對困難，抗風險能力差。

1.4基礎設施建設市場競爭激烈，招標中惡性競爭，低價中標，增大了企業盈利風險。

1.5工程項目多，分布范圍廣，施工時間長，控制措施不到位，導致部分項目失控，增大了項目風險。

2.建筑施工企業開展風險管理和內控的意義

開展和加強企業風險管理既是國家監督管理的要求，也是企業自身發展的需要。一是加強風險管理和內控是國家“五部委”監管的要求；二是加強風險管理和內控是國資委的明確要求；三是加強風險管理和內控是兩地交易所對上市公司監管的要求；四是加強風險管理和內控是企業自身發展的要求。加強風險管理和內控建設有助于建筑施工企業防范經營管理風險、有助于提高經濟效益、提高全體員工隊伍的整體素質、促進企業的健康、良性、可持續發展。

3.開展建筑施工企業風險管理和內控的程序步驟

3.1健全工作機構。成立專門的風險管理和內控建設工作機構，由公司主要領導擔任組長，相關分管領導擔任副組長，總部相關業務部門為領導小組成員。重點研究解決內控體系建設過程中的重大事項，定期開展協調會商通報，做到人員到位、工作到位、責任到位，有序推動風險管理和內控體系建立工作的開展。

3.2狠抓應用培訓。積極組織開展培訓工作，不斷提高員工自身素質。針對《企業內部控制基本規范》解讀、管理框架設計、業務流程繪制等風險管理建設的相關內容和知識，進行全員集中培訓，同時利用各種會議和專題座談等方式，重點進行一對一的培訓，為搞好風險管理和內控建設奠定基礎。

3.3完善規章制度。圍繞企業發展戰略、管控模式、內控現狀、潛在風險等，建立科學有效的風險管理和內控機制，及時進行流程管理框架設計、流程圖繪制及流程描述、公司層面重大風險評估、流程關鍵控制點辨識，并與相關業務流程進行了全面對接，確保重大風險在業務流程中得到有效控制。

3.4優化業務流程。及時梳理優化業務管理流程，補充建立和修訂管理制度，識別流程控制目標，識別確認關鍵控制點，本著邊建立、邊整改、邊完善、邊提高的原則，進一步完善風險管理和內部控制機制，確保企業經營管理水平不斷提高。

3.5總結推廣實施。按照風險管理與內控體系建設工作的總體規劃和實施步驟，適時選取板塊業務或單位進行試點推進，并及時總結試點的經驗和教訓，整改提高完善后，以試點為示范進行全面推廣實施。

4.加強企業風險管理與內控的對策和措施

一是評估風險，有效識別，健全風險防范機制。積極開展風險評估，識別關鍵風險和關鍵控制點，及時對關鍵風險進行評價和缺陷分析，對關鍵控制點進行有效性測試，識別和評估內控體系中的薄弱環節。對于企業的重大決策、重大事項、重要人事任免，按照規定的權限和程序進行決策。建立風險數據庫，及時進行控制評價和缺陷分析，確定整改方案，落實責任部門和時間表，加強風險事前預測、事中管理、事后分析總結。健全風險管理責任制，建立從班子決策到風險管控部門，最終到企業員工的責任鏈條，進一步建立健全風險管理體制機制。

二是落實規范，健全制度，構建內控管理體系。根據國資委《中央企業全面風險管理指引》和五部委頒發的《企業內控基本規范》要求，健全集團風險管理和內控體系，按照要求對現有管理制度、職責分工和業務流程進行全面梳理，力求各項管理工作實現程序化、規范化、制度化和標準化。抓緊制定出臺《企業管理手冊》，編制《全面風險管理程序（手冊）》、《全面風險管理報告》、《重大事項報告程序》及《操作指導》，進一步梳理規范內部機構設置和業務流程，理順管理關系，改進工作流程。

三是全員參與，主動管理，提升系統管控能力。系統部門要充分發揮調控、策劃、督導和服務職能，超前策劃，主動管理，提高工作質量和效率，提高系統指令的嚴肅性和公信力。要著力推動信息技術在研發、設計、生產施工、項目管理等方面的應用，重點做好工程項目管理綜合信息系統等軟件的培訓、推廣工作，加強企業OA平臺建設，提升企業信息化管理水平。加大對重大法律糾紛案件的管理力度，建立健全備案、統計分析、綜合評估、重大法律糾紛案件的責任追究等制度。

四是把握核心，突出重心，推進全面預算管理?，F金流是企業持續經營生產的命脈。要以營業收入為重心，建立健全現金流量預算管理體系。堅持以工程項目預算為基礎，合理引導和優化資源配置。要強化預算執行的過程控制和監督力度，建立預算指標預警機制，加強預算執行的跟蹤分析，及時掌握預算執行進度與效果，加大責任調查與追究力度，增強執行預算的自覺性。

五是制定目標，過程監控，嚴格落實集中管理。在當前國家政策調整、企業經營生產舉步維艱的形勢下，必須全心全力做好企業基礎管理工作，認真貫徹落實資金、物資、設備、勞務的集中管理。資金集中要提高集中量，提升資金的使用效率；物資、設備的集中采購要做到采購權與管理使用權的分離；勞務集中要做到勞務隊伍的集中準入、選擇和年審，培育長期穩定的勞務隊伍。以集中管理引導企業實現從粗放式管理向精細化管理的轉變。

六是梳理排查，堵塞漏洞，提升風險防控水平。通過內控體系建設，增強集團公司對子分公司的管控力度和管控深度，進一步完善內部控制機制，消滅管理“真空”，堵塞管理漏洞，從根本上增強風險防控能力。把系統指導與現場檢查相結合，將風險管理、內部控制、價值鏈、流程管理和職業健康安全、環境和質量管理體系的理念融為一體，以點帶面，認真扎實地搞好風險管理，全面提升企業風險管理水平。

總之，全面推進和加強企業風險管理和內控建設對于建筑施工企業的健康、良好、可持續發展，具有舉足輕重的作用，作為新形勢下的建筑施工企業要有效規避企業運營風險、適應激烈的市場競爭、實現企業轉型快速發展，必須行之有效地推進企業風險管理，建立一套健全有效、管理科學和行為規范的風險防范體系，控制企業運行風險，提高企業運行質量，保障企業又好又快發展。

參考文獻：

[1]高立法、虞旭清.企業全面風險管理實務[M].北京：經濟管理出版社.2009

篇(7)

根據省財政廳、省監察廳、省審計廳及省衛計委文件的要求，結合蚌醫二附院“十三五”發展戰略的要求，提高效益，回報社會，惠及職工。按照“全面啟動、分批實施、務求實效”的原則，以全面測試、梳理醫院內部控制現狀為基礎，以防范風險和提高效率為重點，以分析單位內部控制缺陷、補充修訂管理制度、職責分工和業務流程為手段，建立涵蓋本單位的決策層、執行層、業務層等各個層級的全員、全過程內控體系。從而有效保證醫院經營管理合法合規，資產安全，財務報告及相關信息真實完整，提高經營效率和效果，促進實現醫院發展戰略。

醫院內部控制體系建設的總體目標是：按照醫院內控建設工作的整體部署，于20**年年底前完成內部控制的建設和實施工作，力爭到20xx年底，遵照《行政事業單位內部控制規范》（試行）和《醫院內部控制制度（試行）》、《蚌醫二附院內部控制體系建設實施方案》，在全院范圍內建立統一、規范、完善的內部控制體系并使之有效運行。

二、內部控制體系建設原則及要素

內部控制體系建設的主要任務是：建立覆蓋醫院各項經營管理活動的內部控制體系；制定評價標準、監督檢查并促進內部控制制度有效執行；實現內部控制與全面風險管理有機結合，提高基礎管理水平和風險防控能力。此次內控建設具體包括全面預算、收支管理、采購業務、資產管理、建設項目管理、合同管理、財務報告、內部信息傳遞和信息系統等在內的醫院運營管理的各個方面。

按照《安徽省財政廳、安徽省監察廳、安徽省審計廳關于全面推進行政事業單位內部控制建設的實施意見》（財會〔20**〕212號）的要求，以《行政事業單位內部控制規范》（試行）為統領，梳理、修訂、健全單位現有各項規章制度，細化、完善各項經營管理業務（工作）流程，建立適應醫院經營管理實際需要的內部控制制度體系。

1、建立內控體系的必要性：完善的內部控制制度體系是約束、規范醫院管理行為的準則，是減少風險、風險防控的基本保證，可以保障經營管理合法合規、資產安全、財務報告及相關信息真實完整，提高經營效率和管理水平，促進醫院發展戰略和目標的實現。

2、建立與實施內部控制遵循下列基本原則：

（1）全面性原則。內部控制應當貫穿決策、執行和監督全過程，覆蓋醫院的各種業務和事項。

（2）重要性原則。內部控制應當在全面風險管理控制的基礎上，關注重點領域和高風險領域。

（3）制衡性原則。內部控制應當在醫院治理結構、機構設置及權責分配、業務流程等各方面相互制約、相互監督，同時兼顧運營效率。

（4）適應性原則。內部控制應當與經營規模、業務范圍、競爭狀況和風險水平等相適應，根據業務發展和管理需要持續改進內部控制制度，并隨著情況的變化及時加以調整，建立動態調整機制，防止制度缺失和流程缺陷。

（5）成本效益原則。內部控制應當權衡實施成本與預期效益，以適當的成本實現有效控制。

3、建立與實施有效的內部控制涵蓋如下五要素：

（1）內部環境。內部環境是實施內部控制的基礎，主要包括治理結構、機構設置及權責分配、人力資源政策、企業文化等。

（2）風險評估。風險評估是醫院及時識別、系統分析經營活動中與實現內部控制目標相關的風險，合理確定風險應對策略。

（3）控制活動?？刂苹顒邮轻t院根據風險評估結果，采用相應的控制措施，將風險控制在可承受度之內。

（4）信息與溝通。即及時、準確地收集、傳遞與內部控制相關的信息，確保信息在醫院內部、醫院與外部之間進行有效溝通。

（5）監督。內部監督是對內部控制體系建立與實施情況進行監督檢查，評價內部控制的有效性，發現內部控制缺陷時，應當及時加以改進。

4、以價值管理為主線，以風險管理為導向，全面梳理和優化各項業務（工作）流程，明確關鍵領域和控制點，制定修訂完善制度流程，制作內部控制制度匯編，建立形成內部控制制度體系。

5、按照管理制度化、制度流程化、流程信息化的要求，推進內部控制信息化建設，各業務流程嵌入信息系統，實現控制措施在線運行。

三、建立內部控制組織體系

為確保醫院內控建設工作順利推進，保證內控機制有效運行，醫院將建立內部控制組織體系，通過建立健全內部控制的組織體系，使管理層及決策層能及時獲得適當信息；全體員工能共同參與內部控制建設，共擔內部控制責任；各層級、各部門、各崗位明確內部控制職責。

內部控制的組織架構有四個層面，分別是決策、管理、執行、監督。決策層面包括：院長辦公會、內部控制建設領導小組；管理層面包括：內部控制建設執行小組；執行層面包括醫院內部各職能部門和各業務部門；監督層面是單位審計部門。

（一）院長辦公會

是醫院最高決策機構，負責內部控制的建立健全和有效實施；審議年度內控評估報告；審議內控與風險管理的重大策略，重大風險及內控缺陷的解決方案；審議內部控制建設領導小組設置及其職責方案；審批內控最終工作成果；有關內部控制及風險管理的其他事項。

（二）內部控制建設領導小組職責

醫院將設立內控建設領導小組，待領導過會討論通過后實施。

內控建設領導小組組長由醫院院長擔任，是醫院內控體系建設的第一責任人。內控建設領導小組對內控工作實施進行全面領導、決策、部署和指揮。

內控建設領導小組

組長：崔 虎 趙東城

副組長：鄒 杰 張春福

成員：關 超 楊青揚 王 群 李傳輝

主要職責：

1）負責確定內控體系建設的總體目標、政策、制度、工作范圍；

2）負責明確內控體系建設的整體部署及內控工作的運行管理；

3）負責針對內控管理缺陷提出合規性管理建議及改進方案并推進整改；

4） 有關內部控制管理的其他事項。

（三）內控工作小組職責

內控建設領導小組下設內控建設執行辦公室，內控建設執行辦公室設在財務部門，由財務科科長擔任主任，執行辦公室負責內部控制體系建設工作的具體開展。

內控體系建設執行辦公室

主任：王 瑞

副主任：趙玉娟 江本釵

成員： 劉 霞 王迪生 劉傳高 張紀銳 毛炳飛 張 瑜

主要職責：

1）負責內控體系建設成員的職責分工；

2）負責確定內控體系建設的具體時間安排；

3）負責組織醫院內部資源的對接、溝通、協調；

4）記錄或更新業務流程圖、評估內控設計及操作的有效性；

5）反饋內控缺陷、上報內控工作執行情況及重大問題、將年度內控評估報告提交內部控制建設領導小組審閱；

6）內控工作文檔管理；

7）負責本次內控體系建設的其他實施工作。

（四）內審部門職責

作為內部審計職能部門，審計科室要對內控建設實施情況進行日常監督和專項檢查，配合內控執行小組對本院內控建設工作進行評估。

（五）各職能部門及業務部門

為內控工作小組開展工作提供支持和協助，組織安排本部門或單位涉及內控工作所需資源，協調本部門或單位內控工作開展的各項重要事宜。

各職能部門及業務部門應由專人兼職負責本部門的內控管理工作，即內控管理員。內控管理員職責包括：

1、聯系本單位內控建設執行辦公室相關人員，提供工作所需各項資料；

2、協助組織描述本單位的主要業務流程、關鍵控制點及重要的控制措施，協助內控問題記錄，提出整改建議或方法等；

3、 協助本單位內控缺陷的整改，及時反饋缺陷整改情況以及內部控制的主要情況等；

4、 編制本部門內控評價報告。

5、組織安排與內控管理相關的其他工作。

由于內控管理員是內控工作辦公室與各職能部門或業務部門對接溝通的紐帶，起到承上起下的作用，所以內控管理員的工作需要各部門領導的大力支持，需要全體員工的積極參與與通力協作。

四、內控體系建設工作步驟

內控建設工作涉及醫院運營管理的全過程，包括各個層面、各類業務、各項制度流程，涉及面廣，內容龐雜，按照省衛計委通知要求，計劃于20**年5月至20xx年底完成內部控制體系構建工作。

實施步驟

根據《安徽省財政廳、安徽省監察廳、安徽省審計廳關于全面推進行政事業單位內部控制建設的實施意見》（財會〔20**〕212號）要求，結合醫院的業務及管理情況實際，在原有內控制度的基礎上進行改進，內控體系建設工作計劃20**年5月初啟動，具體按以下步驟實施：

項目時間工作內容階段成果120**。5—20**。6啟動部署階段成立醫院內控建設領導小組及執行辦公室，召開啟動會議，做好動員工作220**。7—8現狀分析階段內控測評報告320**。9—10制定內控實施方案階段內部控制實施方案420**。11—20xx。10內控方案實施階段內控測評報告520xx。11—20xx。12內控缺陷整改與優化階段形成年度內控評價報告 （1）前期準備（20**。5—6月）

成立醫院內控項目工作小組，召開啟動會議，做好動員工作

（2）現狀分析階段（20**。7—8月）

通過訪談、會議研討和審閱主要內控文檔等方式，針對現有內部控制規范手冊（試行）中關鍵內控點與實際工作情況經行分析，了解內控要素現狀， 編制內控測評報告。

（3）制定內控實施方案階段（20**。9—10月）

在對內控現狀評價分析的基礎上，制定切實可行的內部控制實施方案并交領導小組審閱。

（4）內控實施階段（20**。11—20xx。10月）

各部門根據內控實施方案開展本部門的內控工作，并對實施階段內部控制體系建設工作進行回顧總結，重點圍繞健全內控體系建設、管理提升、風險防控和經營管理成效等方面總結經驗做法，形成科室內部控制自查報告及醫院內控有效性評價報告。