时间:2023-05-05 08:47:59
导语:在安全风险评估论文的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
1.1静态风险评估
静态风险评估是根据传统风险评估的具体方法对较短时间内系统存在的各种风险进行科学的评估,评估的整个过程并不连续,评估的对象主要选择相对静止的系统。
1.2动态风险评估
动态风险评估是对网络进行安全风险的评估,并研究系统变化的过程和趋势,将安全风险与具体的环境相互联系,从宏观的角度了解整个系统存在的安全风险,把握风险的动态变化,风险评估的过程是动态变化的过程。对于电信网络而言,客观准确的进行安全风险的评估是整个电信安全管理的重要前提。风险评估是风险管理的初级阶段,目前,我国的电信网络仍然采用传统静态评估的方式,最终对安全风险的评估只是针对特定的时间点。但是,静态风险评估不能有效的体现评估风险各种变化的趋势,评估结果相对比较滞后。动态风险评估加强了静态风险评估的效果,能够反映较长时间安全风险具体的变化情况。在动态风险进行评估的过程中,如果系统出现安全问题,可以及时的进行处理,展现了整个风险评估的变化过程,保证了网络的安全。对电信网络实施动态风险评估,具有非常复杂的过程,评估的结果具有参考价值。
2电信网络安全风险评估具体的实施过程
对电信网络进行安全风险评估的工作,其对象可以针对电信网络的某一部门也可以是整个电信网络。风险评估的内容包含技术的安全问题以及网络管理的安全问题。技术安全主要包括网络安全以及物理安全等,管理安全主要包括管理制度以及人员管理等。对电信网络实施安全风险的评估主要按照以下几个步骤。
2.1风险评估前的准备工作
在进行安全风险评估之前,首先需要获得各个方面对安全风险评估的支持,相互配合,确定需要评估的具体内容,组织负责进行安全风险评估的专业团队,做好市场的调查工作,制定评估使用的方法,只有做好一系列的准备工作才能为接下来的安全风险评估奠定基础。
2.2对资产的识别工作
在电信网络中的资产主要包括具有一定使用价值的资源,电信网络的资产也是进行安全风险评估的主要对象。资产存在多种形式,有无形资产和有形资产,还可以分为硬件和软件。例如,一些网络的布局以及用户的数据等。做好资产识别的工作能够确定资产具体的安全情况。对资产进行安全风险的评估可以综合分析资产的价值以及安全状况,还可以考虑资产具有的社会影响力。社会影响力是指资产一旦失去安全的保障会对整个社会带来影响。
2.3威胁识别工作
威胁的识别是指对电信网络内部资产存在破坏的各种因素,这种潜在的破坏因素客观存在。对资产产生威胁的主要原因包括技术、环境以及人为。技术因素是指网络自身存在的设备故障或者是网络的设计存在疏漏。环境因素是指环境中的物理因素。人为因素是指人为造成的威胁,包括恶意和非恶意。通过对威胁的动机以及发生几率描述网络存在的各种威胁,威胁识别工作的重要任务就是判断出现威胁的可能性。
2.4脆弱性识别工作
网络资产本身具有脆弱性的特点,包括网络存在的各种缺陷。只有网络存在各种缺陷和弱点才有可能出现各种威胁的因素,如果没有威胁的产生,网络具有的脆弱性并不会损害资产。但是只有系统较少自身的脆弱性才会较少资产被威胁的可能性,使系统的资产更加安全,从而有效的较少损失。对电信网络进行脆弱性识别工作可以从技术和管理上展开,主要以资产的安全作为核心内容,针对资产的不同特征,进行脆弱性的识别工作。
2.5确认具体的安全措施
对电信网络进行的安全风险评估需要做好安全措施的确认工作,保持有明显效果的安全措施,对失去效果的安全措施予以改正,避免内部资产的浪费,杜绝重复使用安全措施。一旦发现不合理的安全措施需要及时检查安全措施能否被取消,并制定更合理的安全措施。确认安全措施的工作主要分为预防性和保护性两种。预防性措施主要负责减少威胁性因素产生的可能性,保护性措施是为了减少资产的损失。
2.6风险分析工作
风险分析工作主要对电信网络的资产识别、脆弱性识别、威胁识别以及存在风险对资产造成的损失进行综合性的分析,最终得出准确的风险值,结合制定的安全措施。分析资产承受风险的最大范围。如果出现的安全风险在资产承受的范围之内,需要继续采取安全保护措施,如果安全风险超出了资产承受的范围,这就需要对风险进行控制,制定更可靠的安全措施。
2.7整理风险评估记录
对电信网络实施安全风险评估工作的整个过程,需要进行风险评估的准确记录,包括评估的过程以及评估的最终结果,制定系统的安全风险评估报告。为安全风险评估的工作提供可靠的科学依据。
3结束语
论文关键词 食品安全 风险分析 比较行政法
近期,中央电视台推出“舌尖上的安全”系列报道,对食品安全乱象进行跟踪报道,食品安全问题又引起广泛关注。据中国新闻网2013年6月17日报道,实施四年的我国首部《食品安全法》即将启动修改,治乱用重典,加大食品违法行为惩处力度,建立最严格的食品安全监管制度,成为此次修法过程中公众关注的焦点。 与我国食品安全事件频发形成鲜明对比的是,邻国日本长期拥有“食品安全的神话”,鉴于中日文化的相似性和法制的传承性,日本的成功经验或许可以为完善我国食品安全法律制度提供借鉴。
纵观各国的食品安全风险分析制度,都是在规定食品安全风险分析机构的组成和职责、进行风险分析的情形、风险分析的具体程序等等,这些内容主要属于行政法的范畴。因此,本文在行政法的视野下,比较研究中日食品安全风险分析制度,最后提出完善我国食品安全风险分析制度的建议。
一、食品安全风险分析制度概述
食品安全风险分析是指通过对影响食品安全质量的各种生物、物理和化学危害进行评估,定性或定量描述风险特征,并在参考了各种相关因素后,提出和实施风险管理措施,并对有关情况进行交流的过程。 根据国际食品法典委员会对食品安全风险分析制度的定义,食品安全风险分析制度是由风险评估、风险管理和风险交流三部分构成的完整体系。
食品安全风险分析制度作为风险分析方法在食品安全领域的应用,具有以下几个方面的显著特征:
第一,食品安全风险分析制度具有科学性和客观性。食品安全风险是客观存在的,因此,食品安全风险分析制度应当遵循客观规律,运用科学方法,通过大量的科学研究得出风险评估结果,并以此为依据制定风险管理措施。它以科学为基础,每一环节都是依据科学研究结论,而不是某个人的主观臆断,具有显著的科学性和客观性。
第二,食品安全风险分析制度具有专业性和独立性。食品安全风险评估由医学、农业、食品等领域的专家组成的食品安全风险评估机构进行,具有极强的专业性。为了确保风险评估结果科学客观,很多国家都实行风险评估和风险管理相分离,提高风险评估机构的独立性。风险管理则由专门的食品安全监管部门负责,从而使风险分析制度具有了较强的专业性和独立性。
第三,食品安全风险分析制度具有公开性和透明性。食品安全风险分析制度是在严峻的食品安全形势下诞生的,很多国家也是在严重的食品安全危机下建立食品安全风险分析制度的,这就要求它不仅要从客观上保障食品的安全,还要从心理上重建公众对食品安全的信心。因此,食品安全风险分析制度非常强调分析过程的公开和透明,通过多种方式积极与社会公众加强风险交流。
二、我国食品安全风险分析制度的现状和问题
食品安全风险分析制度是保障食品安全的必然要求,是国际社会普遍遵循的原则,但是我国目前的食品安全风险分析制度尚不完善,与发达国家还有一定差距。
(一)我国食品安全风险分析制度的现状
在风险评估方面,农业部成立了国家农产品质量安全风险评估专家委员会,是对农产品质量进行风险评估的最高学术和咨询机构。卫生部组建了国家食品安全风险评估专家委员会,承担国家食品安全风险评估工作,并开展食品安全风险交流。2011年10月13日,筹备三年之久的国家食品安全风险评估中心在北京成立,该中心是我国第一家国家级食品安全风险评估专业技术机构。
在风险管理方面,我国实行的是分段监管体制:卫生行政部门负责组织食品安全风险评估工作,承担综合协调职责;国家质量监督、工商行政管理和食品药品监督管理部门分别对食品生产、食品流通、餐饮服务活动实施监督管理。
在风险交流方面,我国对其重视不够,相关法律规定多为原则性的,如《食品安全法》第六条规定县级以上卫生行政、农业行政、质量监督、工商行政管理、食品药品监督管理部门应当加强沟通、密切配合,按照各自职责分工,依法行使职权,承担责任。
(二)我国食品安全风险分析制度存在的问题
1.食品安全风险评估机构过于分散。根据现行法律,农业部成立了农产品质量安全风险评估专家委员会,卫生部成立了食品安全风险评估专家委员会,并举办了国家食品安全风险评估中心。三个机构性质和职责相似,人员结构基本一致,但却属于不同的部门。造成食品安全风险评估机构过于分散,影响了食品安全风险评估的进行。
2.风险评估与风险管理机构合一受到质疑。我国现在承担食品安全风险评估工作的机构大多由风险管理部门组织,使得其提交的风险数据或决策建议有受到行政管理者意向影响的嫌疑,加之风险交流工作滞后,使公众对风险评估结论的真实可靠性产生了质疑,从而缺少了公信力。
3.食品安全风险管理部门协调性差。由于我国实行分段监管模式,由卫生部、农业部、质量监督、工商行政管理、食品药品监督管理等部门共同承担。但是现实中各部门沟通协调性较差,互相推诿扯皮现象时有发生,甚至出现了“十几个部门管不了一桌菜”的尴尬局面。
4.食品安全风险交流工作落后。尽管我国新制定的食品安全法律法规都要求加强风险交流,但我国食品安全风险交流工作依然落后,此前关于乳品安全标准的争论更证明了这一点。卫生部2010年3月颁布的乳品安全标准要求每百克的蛋白质含量大于等于2.80克,生鲜乳菌落总数允许每毫升200万个,而此前的1986年标准分别是不低于2.95克和不超过50万个。难怪媒体惊呼“一夜倒退了25年”,更有人认为乳品新标准是以保护奶农为借口,被个别大企业绑架的标准。面对公众的强烈质疑,卫生部只解释道:标准符合中国国情和产业实际,引发人们强烈不满,更突显出我国食品安全风险交流工作的落后。
三、日本食品安全风险分析制度的考察
为应对食品安全事件,保障食品安全,日本政府引进食品安全风险分析制度,修改食品安全相关法律,对食品安全监管机构也进行了改革。
(一)日本食品安全风险分析的法律制度
日本政府根据国内外食品安全形势发展需求,在2003年颁布了《食品安全基本法》,明确了制定与实施食品安全政策的基本方针是采用风险分析手段:第一,风险评估。在制定食品安全政策时,应当对食品本身含有或加入到食品中影响人体健康的生物、化学、物理上的因素,进行影响人体健康的评估。第二,风险管理。为了防止、抑制摄取食品对人身健康产生的不良影响,应考虑国民饮食习惯等因素,根据风险评估结果,制定食品安全政策。第三,风险沟通。为了将国民的意见反映到制定的政策中,政府在制定食品安全政策时,应采取必要措施,向国民提供相关政策信息,为其提供陈述意见的机会,并促进相关单位、人员相互之间交换信息和意见。
为了适应新的食品安全形势,制定于1947年的《食品卫生法》也于2006年进行了修改。该法是日本控制食品质量安全与卫生的重要法典,对几乎所有食品都有详细的规定,包括制定食品、添加剂、器具和食品包装的标准和规格等。此外,日本政府还对《农林水产省设置法》进行部分修改,把风险管理部门从产业振兴部门分离出来,并予以强化,成立产业·消费局。
(二)日本食品安全风险分析的管理机构
为加强政府对食品安全的管理,日本于2003年在内阁府增设食品安全委员会,与农林水产省和厚生劳动省共同对食品安全进行监管。
日本食品安全委员会隶属于内阁府,是专门负责食品安全风险评估的机构,主要职能是进行科学的风险评估,并根据评估结果对厚生劳动省、农林水产省等风险管理机构进行劝告和监督。厚生劳动省作为真正行使食品安全监管的部门,主要对进出口及国内市场的食品卫生实施监管。另外,随着食品安全委员会的建立,厚生劳动省的职能已由风险评估与风险管理并举转变为单纯的风险管理。农林水产省主要负责对生鲜农产品的监管,它与厚生劳动省的区别在于侧重对农产品生产和加工阶段进行风险管理。
四、完善我国食品安全风险分析制度的建议
通过对我国食品安全风险分析现状的分析,对比邻国日本食品安全风险分析制度的经验,我们应当从以下几个方面完善我国食品安全风险分析制度:
(一)整合现有的食品安全风险评估机构
我国现有的食品安全风险评估机构过于分散,不利于食品安全风险评估工作的开展。因此,有必要对其进行整合,把农产品质量安全风险评估专家委员会和食品安全风险评估专家委员会整合成新的食品安全风险评估专家委员会,由医学、农业、食品、营养、卫生等方面的专家组成,专门负责监督、审核食品安全风险评估工作。
(二)实现风险评估与风险管理的分离
在借鉴日本等发达国家的实践经验基础上,我国应当对食品安全风险评估机构进行改革,实现食品安全风险评估机构与食品安全风险管理机构的分离。由新成立的国家食品安全风险评估中心专门负责食品安全风险评估技术工作,把风险评估机构从风险管理部门分离出来,直属于国务院,以提高其地位和独立性。
(三)强化各风险管理部门的协作
由于我国实行分段监管的食品安全监督管理体制,因此,必须加强部门之间的密切协作,以免出现监管漏洞或交叉重复。首先,我们应当明确各部门的职责,完善责任追究制度,确保各监管部门按照自己的职责分工,切实履行职责。其次,在各部门设立专门沟通窗口,建立相互间畅通的沟通渠道,及时互通信息,实现信息共享。
关键词 电子政务 信息安全 风险评估
中图分类号:C931 文献标识码:A
1 课题的研究背景与意义
风险管理是信息系统安全运行的必要保证,是运行维护体系中最重要的环节,而风险评估则是风险管理的基础。首先,风险评估是电子政务系统的安全需求。信息安全风险评估是电子政务系统安全保障体系建立过程中的重要评价和决策依据。信息系统安全是相对的,没有绝对的安全系统。因此,为了实现电子政务系统的安全、稳定运行这一目标,就必须采取一系列的安全制度和技术保障方法,对电子政务系统风险进行事先防患、事中控制、事后监督及纠正,以化解因电子政务系统的脆弱性所造成的风险。其次,电子政务系统的脆弱性需要风险评估。电子政务系统软硬件本身存在着很大的脆弱性,一方面表现在设备的自然损耗、制造缺陷和不可预测的自然环境因素,如火灾、水灾、地震、战争等不可抗拒的自然灾难;另一方面表现在由于技术发展的局限和人类的能力限制,在设计庞大的操作系统、复杂的应用程序之初人们不能认识所有的问题,失误和考虑不周在所难免。再次,安全技术保障手段的欠缺需要风险评估。当前我国电子政务系统信息安全建设,在整体安全系统、内部网络安全监控与防范、智能与主动性安全防范体系、全面集中安全管理策略平台定制等方面,都有很多不足之处,迫切需要进行信息系统风险评估来发现弱点弥补不足。
2 电子政务系统风险评估要素的提取原则和方法
电子政务系统安全的风险评估是一个复杂的过程,它涉及系统中物理环境、管理体系、主机安全、网络安全和应急体系等方面。要在这么广泛的范围内对一个复杂的系统进行全面的风险评估,就需要对系统有一个非常全面的了解,对系统构架和运行模式有一个清醒的认识。可见,要做到这一点就需要进行广泛的调研和实践调查,深入系统内部,运用多种科学手段来获得信息。
2.1评估要素的提取原则
评估要素提取是指通过各种方式获取风险评估所需要的信息。评估要素提取是保证风险评估得以正常运行的基础和前提。评估要素提取成功与否,直接关系到整个风险评估工作和安全信息管理工作的质量。为了保证所获取信息的质量,应坚持以下原则:
一是准确性原则。该原则要求所收集到的信息要真实、可靠,这是信息收集工作的最基本要求;二是全面性原则。该原则要求所搜集到的信息要广泛、全面完整;三是时效性原则。信息的利用价值取决于该信息是否能及时地提供,即具备时性。
2.2 评估要素提取的方法
信息系统风险评估中涉及到的多种因素包括资产、威胁、漏洞和安全措施。信息系统的资产包括数据资产、软件、人员、硬件和服务资产等。资产的价值由固有价值、它所受伤害的近期影响和长期结果所组成。目前使用的风险评估方法大多需要对多种形式资产进行综合评估,所获取的信息范围应包含全部的上述内容,只有这样,其结果才是有效全面的。同时,评估时还要考虑:考虑业务中的关键部分,将其重点考虑起来。第二,哪些关于资产的重要决定取决于信息的准确度、完整性或可用性,以及要对那些资产信息加以重点保护。第三必须要考虑安全时间会对业务或者组织的资产产生哪些影响,如信息资产的购买价值,信息资产的损毁对政府形象的负面影响程度,信息资产的损毁程度对政府长期规划和远景发展的影响等等。
2.3 电子政务系统安全风险评估的流程及实施
2.3.1电子政务系统安全的评估流程
电子政务系统安全的风险评估是组织机构确定信息安全需求的过程,包括环境特性评估、资产识别与评价、威胁和弱点评估、控制措施评估、风险认定等在内的一系列活动。
2.3.2 电子政务系统安全风险评估的实施
电子政务系统安全的风险评估是一项复杂的工程,除了应遵循一定的流程外,选择合理的方法也很重要。为了使风险评估全面、准确、真实地反映系统的安全状态,在实施风险评估过程中需要采用多种方法。评估流程实施过程如信息网络安全技术测评是电子政务系统安全测评的重要手段,许多安全控制项都必须借助于技术手段来实现,但是单独依靠技术测评还不能全面系统的分析电子政务系统的安全。实践经验证明,仅有安全技术防范,而无严格的安全管理体系是难以保障系统的安全的。因此在测评中我们必须对被测评方制订的一系列安全管理制度进行测评。信息安全管理的测评可以单独进行也可以穿插到技术测评当中。随着信息技术的发展,信息安全测评工程师面临越来越多的挑战,为提高测评能力和效率,应充分的发挥主观能动性,利用各种现有的各种安全测试工具,开发安全测试工具、报告生成工具等。信息安全测评机构以及电子政务系统的运行、维护方必须共同努力,为我国的信息化发展保驾护航。
第一,参与系统实践。系统实践是获得信息系统真实可靠信息的最重要手段。系统实践是指深入信息系统内部,亲自参与系统的运行,并运用观察、操作等方法直接从信息系统中了解情况,收集资料和数据的活动。第二,问卷调查。问卷调查表是通过问题表的形式,事先将需要了解的问题列举出来,通过让信息系统相关人员回答相关问题而获取信息的一种有效方式。现在的信息获取经常利用这种方式,它具有实施方便,操作方便,所需费用少,分析简洁、明快等特点,所以得到了广泛的应用。但是它的灵活性较少,得到的信息有时不太清楚,具有一定的模糊性,信息深度不够等;还需要其他的方式来配合和补充。第三,辅助工具的使用,在信息系统中,网络安全状况、主机安全状况等难以用眼睛观察出来,需要借助优秀的网络和系统检测工具来监测。辅助工具能够发现系统的某些内在的弱点,以及在配置上可能存在的威胁系统安全的错误,这些因素很可能就是破坏目标主机安全性的关键性因素。辅助工具能帮助发现系统中的安全隐患,但并不能完全代替人做所有的工作,而且扫描的结果往往是不全面的。
参考文献
[1] 闫强,陈钟,段云所,等.信息安全评估标准、技术及其进展[J].计算机工程,2003
中图分类号:TB383文献标识码:A文章编号:1672-3791(2012)04(a)-0000-00
压力管道在国民经济中发挥着重要作用,在化工、石油,冶金,医药等各工业生产领域和在输送危险液体方面担负着重要任务。压力管道如果出现泄漏或者断裂将会造成不可估量的严重损失,直接影响着人民的生命财产安全。
由于种种原因,例如管理不力,法规不完善,尤其是我国的科技水平还处于相当落后的水平,我国压力管道普遍缺陷重重,存在着诸多的安全隐患,因此如何以最少的成本降低压力管道缺陷带来的风险,一直成为人们普遍关注的焦点。本文就压力管道缺陷检验的几种主要方法和敏感区域的确定进行简要的分析介绍,并对压力管道的风险评估进行初步的探讨。
1 缺陷检验
压力管道的安全关键在于敏感区域的确定,而压力管道的各种技术文件,存储或流通流体的性质与危害性,历史经验的积累,这些都是我们确定敏感区域需要考虑的因素。只有对敏感区域有了深刻的认识,我们才能对压力管道的缺陷检验做到有的放矢。
1.1 宏观缺陷检查
在线检验一般从发生事故可能性比较大的位置,或造成后果比较严重的部位进行检验,在管道在运行传送流体的情况下,观察管道是否有泄漏的情况;绝热层是否有磨损或者掉落的情况;检查管道防腐层是否有破损的现象;是我们进行宏观缺陷检查的重点。
在实际检验工作过程中,主要从以下几个方面进行检查:管道有没有弯曲变形,阀门、法兰,支吊架等基础设施是否有不妥当的地方,对腐蚀、泄漏的部位进行标注,并将结果记录在单线图上,以方便后续检验工作的开展和检验审核。
1.2 厚度缺陷检验
厚度缺陷检验是通过对壁厚的测试,发现可能存在缺陷的部位,确定敏感区域。在实际工作中,主要是对于易受冲刷的部位、有明显腐蚀老化的部位、可能积液的部位、管径明显发生变化的部位等,以抽查的方式进行定点壁厚测试,如果发现异常点,应在异常点附近进行检验,确定异常部位的大小;特别要注意的是,测定的点数要满足检验判断准则的需要,
1.3 表面缺陷监测
表面缺陷监测一般是采用磁粉检测或渗透检测方法,对敏感区域的表面和近表面进行检验。通常情况下,应对以下敏感区域进行表面缺陷监测:宏观检查中发现裂纹的部位、焊缝咬边部位、焊缝修磨部位、绝热层破损的部位、应力集中的部位、腐蚀环境中的管道等。
1.4 内部缺陷监测
内部缺陷检测主要是采用超声波或射线的方法对敏感区域进行检测,以确定其内部是否存在危险性缺陷。检测的敏感区域主要是焊接接头和使用中发生泄漏的部位,支吊架损坏的部位等。
总之,在缺陷检验过程中,应严格按上述原则确定检验的敏感区域,采用合适的检验检测方法,确定管道的安全状况,以便以后的检验维护。
2风险评估
根据多年来的事故原因统计表明,大部分的经济损失只有少部分是因为使用高风险设备引起的,因此对所有的设备都进行一般性检验,检验的成本将会大大增加。但如果对在用的压力管道不进行一般的常规检验,而是对管道进行风险评估,综合考虑管道发生事故的可能性和发生事故后造成的损失程度,将压力管道的的风险划分等级,合理的安排高风险管道和低风险管道的检验和维修投入,在确保管道的安全得到保障的情况下,以达到低成本高效益的成果。
RBI分析方法就是我们想要使用的方法,因为采用RBI方法能使检验管道的费用合理分配,直接降低检验管道的费用,能对管道的风险进行排序,使我们对高风险管道进行重点检验,从而大大降低压力管道的风险,给人们的生命财产提供了重要的技术支撑和重要保障,所以下面对RBI方法在管道风险评估方面做简单的探讨。
RBI分析方法有三种:定性分析,半定量分析和定量分析。这三种分析方法在管道风险分析方面都有着各自的特点,现介绍如下:
2.1 定性分析
定性的方法虽然简单,便于应用,用来对压力管道出现风险的可能性和造成后果的严重性进行评定并用风险矩阵表示风险,但它所产生的结论是比较保守的理论。定性分析可以在压力管道风险显示方面比在风险评估方面发挥更大的,所以我们一般将其用作风险显示的手段。它能够迅速的将压力管道的风险等级进行排队,为我们进一步做风险分析提供方便。
2.2 半定量分析
半定量RBI评估较定性分析考虑的因素多一些,但需要的压力管道的相关数据也不多,其压力管道的数据采集和风险后果计算是对管道分类进行简化计算,而不是对管道的流量进行详细计算,评价的成本较低。半定量方法可以采用多种方式得到压力管道发生事故的可能性和事故后果的严重性,例如,问答、选择、估算。半定量分析方法同样也可以采用风险矩阵的方式表示压力管道可能出现的风险,对于风险评估的精度要求能满足,所以半定量方法得到许多国家的青睐并欲与发展。
2.3 定量分析
对压力管道定量RBI评估方法考虑的因素最多,所需要的基础数据也最多,如压力管道的工艺流程数据,历年维修检修记录,设计资料等,从而获得最准确的评估结果。定量方法可以根据压力管道的类型从通用事故频率数据库中得出所预计的破坏规模的通用事故频率;可以根据管道的实际情况,确定管道的各种因子,然后根据公式求出压力管道实际事故的频率、事故的后果、压力管道风险。定量RBI评估在这三种风险评估分析技术里是最科学合理的,也是未来压力管道风险评估的技术发展趋势,但因为其繁杂的先期准备工作,不可能在短期内实现。
由上可以看出RBI的压力管道检验技术是风险评估控制的有效措施之一,经过风险评估后,我们可以把检验重点放在高风险的压力管道上,也可以适当的对低风险管道进行检验,从而在保证管道安全可靠的前提下大大降低了成本。RBI技术对压力管道评价的安全性、经济性以及潜在的失效风险作了全面的考虑,它首先对压力管道的风险进行有效排序,然后在风险可接受准则可接受的范围内确定高风险压力管道,并且利用风险驱动因素得出具有针对性的检验策略。RBI技术相比于传统的检验方法,得到了极大的提升,如:提高压力管道的安全、可靠、有效性,减少成本,缩短检修时间,延长检修周期。
3结语
我国在管道缺陷检验和风险评估方面虽然取得了不少成绩,但也存在着许多不足,这就需要我们在原有成绩上继续努力,学习先进的检验手段和风险评估方法,争取以最少的成本保证压力管道的安全可靠。
参考文献
[1] 刘展,王智平.俞树荣,等.RBI在压力管道风险管理中的应用[C]. 中国安全生产科学院,江苏省科学技术协会.2005中国第二届城市与工业安全国际会议论文集.南京,东南大学出版社.2005:281-285.
关键词:地理信息系统;风险评估
2006年1月国家网络与信息安全协调小组发表了“关于开展信息安全风险评估工作的意见”,意见中指出:随着国民经济和社会信息化进程的加快,网络与信息系统的基础性、全局性作用日益增强,国民经济和社会发展对网络和信息系统的依赖性也越来越大。
1什么是GIS
地理信息系统(GeographicInformationSystem,简称GIS)是在计算机软硬件支持下,管理和研究空间数据的技术系统,它可以对空间数据按地理坐标或空间位置进行各种处理、对数据的有效管理、研究各种空间实体及相互关系,并能以地图、图形或数据的形式表示处理的结果。
2风险评估简介
风险评估是在综合考虑成本效益的前提下,针对确立的风险管理对象所面临的风险进行识别、分析和评价,即根据资产的实际环境对资产的脆弱性、威胁进行识别,对脆弱性被威胁利用的可能性和所产生的影响进行评估,从而确认该资产的安全风险及其大小,并通过安全措施控制风险,使残余风险降低到可以控制的程度。
3地理信息系统面临的威胁
评估开始之前首先要确立评估范围和对象,地理信息系统需要保护的资产包括物理资产和信息资产两部分。
3.1物理资产
包括系统中的各种硬件、软件和物理设施。硬件资产包括计算机、交换机、集线器、网关设备等网络设备。软件资产包括计算机操作系统、网络操作系统、通用应用软件、网络管理软件、数据库管理软件和业务应用软件等。物理设施包括场地、机房、电力供给以及防水、防火、地震、雷击等的灾难应急等设施。
3.2信息资产
包括系统数据信息、系统维护管理信息。系统数据信息主要包括地图数据。系统维护管理信息包括系统运行、审计日志、系统监督日志、入侵检测记录、系统口令、系统权限设置、数据存储分配、IP地址分配信息等。
从应用的角度,地理信息系统由硬件、软件、数据、人员和方法五部分组成:硬件和软件为地理信息系统建设提供环境;数据是GIS的重要内容;方法为GIS建设提供解决方案;人员是系统建设中的关键和能动性因素,直接影响和协调其它几个组成部分。
险评估工作流程
地理信息系统安全风险评估工作一般应遵循如下工作流程。
4.1确定资产列表及信息资产价值
这一步需要对能够收集、建立、整理出来的、涉及到所有环节的信息资产进行统计。将它们按类型、作用、所属进行分类,并估算其价值,计算各类信息资产的数量、总量及增长速度,明确它们需要存在的期限或有效期。同时,还应考虑到今后的发展规划,预算今后的信息资产增长。这里所说的信息资产包括:物理资产(计算机硬件、通讯设备及建筑物等)信息/数据资产(文档、数据库等)、软件资产、制造产品和提供服务能力、人力资源以及无形资产(良好形象等),这些都是确定的对象。
4.2识别威胁
地理信息系统安全威胁是指可以导致安全事件发生和信息资产损失的活动。在实际评估时,威胁来源应主要考虑这几个方面,并分析这些威胁直接的损失和潜在的影响、数据破坏、丧失数据的完整性、资源不可用等:
(1)系统本身的安全威胁。
非法设备接入、终端病毒感染、软件跨平台出错、操作系统缺陷、有缺陷的地理信息系统体系结构的设计和维护出错。
(2)人员的安全威胁。
由于内部人员原因导致的信息系统资源不可用、内部人员篡改数据、越权使用或伪装成授权用户的操作、未授权外部人员访问系统资源、内部用户越权执行未获准访问权限的操作。
(3)外部环境的安全威胁。
包括电力系统故障可能导致系统的暂停或服务中断。
(4)自然界的安全威胁。
包括洪水、飓风、地震等自然灾害可能引起系统的暂停或服务中断。
4.3识别脆弱性
地理信息系统存在的脆弱性(安全漏洞)是地理信息系统自身的一种缺陷,本身并不对地理信息系统构成危害,在一定的条件得以满足时,就可能被利用并对地理信息系统造成危害。
4.4分析现有的安全措施
对于已采取控制措施的有效性,需要进行确认,继续保持有效的控制措施,以避免不必要的工作和费用,对于那些确认为不适当的控制,应取消或采用更合适的控制替代。
4.5确定风险
风险是资产所受到的威胁、存在的脆弱点及威胁利用脆弱点所造成的潜在影响三方面共同作用的结果。风险是威胁发生的可能性、脆弱点被威胁利用的可能性和威胁的潜在影响的函数,记为:
Rc=(Pt,Pv,I)
式中:Rc为资产受到威胁的风险系数;Pt为威胁发生的可能性;Pv为脆弱点被威胁利用的可能性;I为威胁的潜在影响(可用资产的相对价值V代替)。为了便于计算,通常将三者相乘或相加,得到风险系数。新晨
4.6评估结果的处置措施
在确定了地理信息系统安全风险后,就应设计一定的策略来处置评估得到的信息系统安全风险。根据风险计算得出风险值,确定风险等级,对不可接受的风险选择适当的处理方式及控制措施,并形成风险处理计划。风险处理的方式包括:回避风险、降低风险(降低发生的可能性或减小后果)、转移风险和接受风险。
究竟采取何种风险处置措施,需要对地理信息系统进行安全需求分析,但采取了上述风险处置措施,仍然不是十全十美,绝对不存在风险的信息系统,人们追求的所谓安全的地理信息系统,实际是指地理信息系统在风险评估并做出风险控制后,仍然存在的残余风险可被接受的地理信息系统。所谓安全的地理信息系统是相对的。
4.7残余风险的评价
对于不可接受范围内的风险,应在选择了适当的控制措施后,对残余风险进行评价,判定风险是否已经降低到可接受的水平,为风险管理提供输入。残余风险的评价可以依据组织风险评估的准则进行,考虑选择的控制措施和已有的控制措施对于威胁发生可能性的降低。某些风险可能在选择了适当的控制措施后仍处于不可接受的风险范围内,应通过管理层依据风险接受的原则,考虑是否接受此类风险或增加控制措施。
论文关键词:风险,全面风险管理,风险管理框架
一、引言
中国自2001年加入WTO以来,中国对外开放不断深入,从十六大召开后,中国企业进入了对外开放新阶段,纷纷加大了“走出去”的战略步伐。随着企业跨国经营和全球化进程的加快,企业面临的不确定因素加大,如一度被视为明星企业的中航油,2004年折戟狮城,损失5.5亿美元,折射出企业风险控制能力的薄弱,在企业界引起极大的震动。面对惨重的教训,企业的经营理念也悄然发生了转变,避免灭顶风险比获取超常收益更重要,这是企业界的共识。尤其在经历了2007年以来的史无前例的经济危机后现代企业管理论文,风险管理被受到前所未有的重视,然而企业在开展风险管理的过程中,发现不同版本的风险管理框架差异较大,如何选择适合企业自身的风险管理框架是摆在企业面前的实际问题,本文拟对目前国内外比较具有影响力的风险管理框架进行分析和比较,以期为企业实施全面风险管理提供帮助。
二、全面风险管理框架比较
目前国内外具有影响力的风险管理框架有美国COSO(Committee of Sponsoring Organizations of the Treadway Commission)于2004年9月的《企业风险管理—整合框架》(以下简称COSO风险管理框架)。国际标准委员会于2009年颁布的《ISO/FDIS31000风险管理—原则和指引》(以下简称ISO31000),该风险管理标准是在2004年修订的澳大利亚/新西兰风险管理标准(AS/ NZS 4360)的基础上制定的。中国有国资委于2006年6月颁布了《中央企业全面风险管理指引》(国资发改革[2006]108号)(以下简称《指引》)。本文拟从风险和风险管理概念、风险管理流程、风险管理架构等内容对三个框架进行比较分析。
1.风险概念比较分析
COSO风险框架将风险定义为“风险是指一个事项将会发生并给目标实现带来负面影响的可能性”,而事项是源于内部或外部的影响目标实现的事故或事件,事项可能有正面或负面的影响,或两者兼而有之。从COSO对风险的定义可以看出,负面影响的事件为风险,正面的影响的事件为机会,强调风险的负面作用,并将目标明确分为战略目标、经营目标、报告目标和合规目标。这种分类方法有助于企业关注风险管理的不同侧面,满足企业增长和报酬以及监管者的要求。
《指引》认为企业风险是“指未来的不确定性对企业实现其经营目标的影响”,这里的影响包括正面的和负面的或者是两者兼有论文下载。并将风险明确指出对经营目标的影响。因此从风险的定义上可以看出,《指引》对企业风险的定义明确指出对经营目标的影响,经营目标是与经营战略相对应的目标,这可从《指引》后面提到的风险管理策略的制定要和经营战略相适应,经营战略是属于业务层面的战略,可以看出《指引》中企业风险更多指业务层面的风险而言的。
ISO31000将风险定义为“不确定性对目标的影响”。并指出影响是指实际与预期的偏差,可是正面的或负面的或两者兼有。并表明目标可以有不同方面,如财务、健康和安全以及环境目标,可以体现在不同的层次,如战略、运营、项目、产品和流程层面。从ISO31000对风险的定义描述可以看出ISO31000对风险的定义更加全面,兼顾了传统的财务、健康、安全以及环境风险,表明了风险的两面性,即正的作用和负的作用。
从以上比较来看,各风险管理框架对风险的定义基本上达成共识现代企业管理论文,即风险是不确定性对目标的影响,区别是目标的范围不一样和风险的两面性上。《指引》特指经营目标,COSO将目标分为战略目标、经营目标、报告目标和合规目标,ISO31000目标范围更加广范,可以指不同方面,也可以指不同层面。
2.风险管理概念比较分析
COSO 认为“企业风险管理是一个过程,它由一个企业的董事会、管理层和其他人员实施,应用于企业战略制定并一直贯穿到企业的各项活动中,旨在识别可能会影响企业的潜在事项,管理风险以使其在该企业的风险容量之内,并为企业目标的实现提供合理保证”。根据企业风险管理的定义可以发现COSO所指的企业风险管理覆盖的企业活动的范围包括战略制定活动。
《指引》认为全面风险管理,“指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法”。《指引》中的风险管理的总体目标,包括战略目标、经营目标、报告目标、合规目标和危机管理目标。与企业风险的定义相适应,风险管理的定义也是围绕经营目标的实现,而展开了一系列活动。
ISO31000认为风险管理指“对指导和控制组织有关风险的活动进行协调”,即所有跟风险有关的指导和控制活动都称为风险管理,涉及不同层面不同范围。
从以上比较分析可以看出,《指引》的风险管理覆盖的范围相对较窄,而COSO,强调风险管理不仅包括经营层面的活动而且包括战略制定活动。ISO31000的风险管理涉及任何与风险有关的指导和控制活动,涉及的程度和范围更加广范。
3.风险管理流程比较分析
COSO风险管理流程包括内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。COSO框架的风险管理流程始企业内部环境,并认为内部环境影响组织中人员的风险意识,是企业风险管理所有其他构成要素的基础。COSO将目标设定作为风险管理流程的一个关键要素,并明确指出目标设定是事项识别、风险评估和风险应对的前提条件。在识别和评估影响业绩的风险必要的措施来管理风险之前首先要设定目标。COSO区分四种类型的目标:战略目标、经营目标、报告目标和合规目标。
《指引》风险管理基本流程包括现代企业管理论文,收集风险管理初始信息;进行风险评估;制定风险管理策略;提出和实施风险管理解决方案;风险管理的监督与改进。信息与沟通贯穿于整个流程中。《指引》并未在风险管理流程中提到目标的设定,但是从风险的定义、风险评估可看出其中暗含着目标设定的内容。
ISO31000风险管理基本流程包括沟通与协商、建立环境、风险评估、风险处理、监控与回顾,如图1所示论文下载。ISO31000将沟通与协商是整个风险管理流程的首要因素,旨在采用一种工作团队的工作方法,为风险管理建立一个适合的环境。通过与内外部利益相关者进行充分的沟通与协商有助于有效识别风险、不同领域的专业知识被用于风险分析、风险评估标准的建立、风险管理计划的执行和风险管理流程的变更等,确保整个风险管理过程中能充分理解和考虑利益相关者的利益。另外,ISO31000将环境建立作为风险管理流程的一个重要步骤,环境建立包括内外部环境的建立、风险管理流程环境的建立以及风险评估标准的建立。该步骤使风险管理活动与内外部环境相匹配,并在组织内建立了风险管理的组织基础和范围,如界定风险管理活动的目标和风险管理流程的责任、风险管理的范围、广度和深度以及风险评估的有效性和风险评估的标准等。
图1. ISO31000风险管理流程
从以上对各标准的风险管理流程来看,内容上基本相同,区别之处所反映的理念存在差异,COSO强调内部环境和目标设定,ISO31000强调沟通和协商以及环境的建立,《指引》强调信息收集,在整个风险管理流程中贯穿信息与沟通的内容。
4.风险管理架构比较分析
COSO风险管理架构保留了其内部控制框架的三个维度结构,即目标维、风险管理要素维和管理层级维,并在此基础上进行了拓展,目标由内部控制框架的3类扩展为4类,即除了经营目标、报告目标和合规目标外,增加了战略目标。风险管理要素由内部控制框架的5个扩展为8个,包括内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。管理层级包括整个企业、职能部门、业务单位和分支机构4层。目标、要素和管理层级之间的关系为:各管理层级是风险管理主体,目标是企业努力实现的对象,风险管理要素是目标实现的步骤,企业的各个管理层级都要按照风险管理的8个要素为4个目标服务。
《指引》的全面风险管理框架包括总体目标、风险管理文化、风险管理流程和全面风险管理体系四个组成部分,其中风险管理体系由风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统构成。风险管理总体目标除包括COSO的四大目标外,还增加了“确保企业建立针对各项重大风险发生后的危机处理计划,保护企业不因灾害性风险或人为失误而遭受重大损失”的应急管理目标。《指引》清晰提出风险管理的三道防线,即各有关职能部门和业务单位为第一道防线;风险管理职能部门和董事会下设的风险管理委员会为第二道防线;内部审计部门和董事会下设的审计委员会为第三道防线。但《指引》四个部分内在的逻辑关系表述的不是十分清晰。比如:建立全面风险管理体系是先建基本流程还是先建立体系没有界定清楚。风险管理基本流程中和风险管理体系中都有风险管理策略的内容现代企业管理论文,二者的内涵是否一致,并没有阐述清楚,风险理财措施属于风险管理工具或方法之一,它与组织职能体系、内部控制系统的内容不在一个管理层面上。对于全面风险管理体系中最重要的目标政策体系的没有突出。风险管理的目标政策对风险管理基本流程、风险管理体系和风险管理文化三个部分具有指导和引领的作用,但是在指引中没有独立章节表述,相关内容也不够详尽。
ISO31000风险管理架构定义为“为整个组织设计、实施、监控和检查与持续改进风险管理提供基础和组织安排的系列要素”。其中基础要素包括“管理风险的政策、目标、授权和承诺”。组织安排包括“计划、领导、职责、资源、流程和活动”。风险管理框架被植入到组织的整个战略和运营政策的制定和实践活动中。ISO31000风险管理框架如图2所示。
图2. ISO31000风险管理架构
ISO31000风险管理框架建立了风险管理原则、风险管理架构和风险管理流程之间的关系。如图3所示。风险管理原则为建立风险管理架构提供指导方针论文下载。风险管理架构中的管理政策,程序和活动,系统地应用到风险管理流程中,同时风险管理流程应在风险管理架构中通过风险管理计划,成为组织各个层面和活动的组成部分,并得到实施。从风险管理原则可以看出,ISO31000风险原则除了包括COSO和《指引》的风险管理理念外,还提出风险管理成为决策的组成部分,充分体现风险管理的重要性。价值的充分体现。
图3. 风险管理原则、风险管理架构和风险管理流程之间的关系图
三、比较分析结论与实施建议
根据全面风险管理的目标和覆盖范围,全面风险管理可以划分三个阶段,初级阶段、中级阶段和高级阶段。初级阶段主要关注经营目标,在企业内开始导入全面风险管理,风险管理的理念、方法和工具处于试用阶段,企业内部需要逐步形成统一的风险语言和广为接受的风险管理方法、措施、政策、职责分配以及风险管理流程和关键经营活动融合的过程,风险管理处于探索和价值逐步接受过程。风险管理中级阶段,风险管理逐步被接受,且提出了更高的要求,将风险管理提升到战略层面,和战略进行整合,保障战略目标的实现,发挥风险管理的价值创造和价值保持作用。风险管理高级阶段,风险管理应用于决策过程,为决策提供信息基础,并有机的与企业的内外环境、组织、文化和战略相融合现代企业管理论文,并随着内外部环境的变化而变更,成为企业的竞争力的重要来源。
从以上对各全面风险管理框架的概念、流程和架构的比较分析可以看出, ISO31000风险管理标准风险管理的范围和理念以及整个框架相对比较完善,适用于风险管理高级阶段。COSO风险框架将风险管理提升到战略层面,适用于风险管理中级阶段,但COSO风险框架仅提出了风险管理的要素和风险管理的目标,并未提出风险管理体系。《指引》适用于风险管理初级阶段。ISO31000风险管理标准解决了以上所有的问题,阐述清了风险管理原则、风险管理构架和风险管理流程之间的关系,为全面风险管理的实施扫清的障碍。
因此,中国中央企业在全面建设风险管理框架时,以《指引》为基础,充分参考与借鉴COSO的目标设定内容以及ISO31000的风险管理标准的内容,使风险管理流程和风险管理体系有机融为一体。同时应该指出《指引》的内容是适应中国企业风险管理实践而制定的风险管理框架,随着风险管理实践的开展,企业应提升风险管理的范围,即将战略制定活动和保障战略目标的实现纳入全面风险管理的范围。最后,在实践中充分贯彻ISO31000风险管理的思想和内容,使风险管理向更高的阶段迈进,从而不断提高企业自身的风险管理能力和增强企业的核心竞争力。
参考文献:
[1](美)COSO,方红星,王宏译.企业风险管理—整合框架[M] ,大连:东北财经大学出版社,2007.
[2]国有资产管理委员会.中央企业全面风险管理指引(国资发改革[2006]108号)
【关键词】产品质量 运行机制 监管
近年来,人民生活水平的不断提高,对产品的质量安全问题也越来越关注起来,如何对产品的质量安全进行有效的监管,成为了当前政府有关部门的重要任务。科学的质量安全风险监管运行机制的建立是保证产品安全的一个基础,在消除影响产品质量安全的因素之后,才能更好的促进我国产品质量的进一步发展。
1 当前我国产品质量安全风险监管现状及存在的问题
1.1 国内产品质量安全风险监管情况
从08年毒奶粉事件之后,我国才算是开展了关于产品质量问题方面的监管工作,这方面的产品质量安全工作主要应用在对食品药品以及农产品领域。为了更好的完善质量安全风险监测工作,我国质检部门相继引入了风险监测制度、评估制度、风险信息分享制度等新的制度,并且先后成了针对药品的不良反应监测中心,针对食品安全方面的内部添加剂监测实验室等的专业机构。针对工业产品的质量风险监测是从09年才开始起步的,国家质检总局专门成立了相关的监测部门负责产品质量安全风险监测的推进工作。目前来说针对工业产品的监测体系逐渐趋于完善,现在主要是包含两个方面的内容:一方面,产品信息的收集工作,国检总局负责收集媒体网络、电视信息、国外的报道等方面的三类信息资源,并且通过相关的产品质量安全风险信息沟通平台,将收集到的信息公布出去;另一个方面就是针对风险进行的监测工作,由国检中心提供相应的检测经费,组成全国各个地反管道质检机构开展针对产品质量的风险评估、风险检测工作。不过在风险的预警方面我国做的还是不够好的,预警速度相对比较缓慢[1]。
1.2 当前我国产品质量安全风险监管工作中存在的问题
第一、对风险监管工作的定位还不够准确。针对产品质量安全问题所进行的监管工作是一项带有科研性质的风险控制、管理研究工作。这项工作与监督抽查工作最大的不同就是它具有一定的科研性质,是以实际结果作为评判标准的。现在仍有大部分的产品质量承检部门对这项工作的定位不够清楚,对监测结果的合规性过于注重,却忽视了产品质量安全风险评估的重要性,导致监测结果的不真实性,延误了及时向消费者提供预警信息的时机。
第二、产品质量风险信息来源渠道还不够完善。我国质检总局曾发表过相关文件,对产品质量安全风险信息的来源给出过解读,这些信息可以是来源于消费者的投诉信息、媒体网络信息、国外的监管机构提供的信息,也可以是实验室监测结果、国内的针对产品质量数据信息。虽然信息的来源看似很多,但是它并没有考虑到来自系统之外的风险信息,比如说医疗结果产品伤害方面的信息、消费者委员会掌握的一些信息等,信息的来源还是不够全面。并且现在风险信息主要来源于网络,缺乏对风险信息真实性的评估。
第三、风险预警方面的政策依据不够全面。风险预警在产品质量监管工作中有着不可替代的作用,它能够对消费者起到提前警示的作用。但是由于近年来网络技术的飞速发展,人们生活水平的不断提高,人们相应的安全意识也是得到很大的加强,再加上公众缺乏对风险的正确认识,产品质量风险方面的信息一旦在网上曝光的话,可能会造成巨大的网络动荡,不利于政府监管部门的工作,所以质检相关部门在对产品质量预警方面做得非常谨慎。再加上针对预警处理的相关法律法规建设还不够完善,缺乏相应的法律依据,对风险的结果很难做到有效的利用。
2 值得借鉴的质量监管实践
2.1 美国针对产品安全的风险监管措施
第一、产品质量安全风险评估方法。CPSC机构将风险评估工作分为四个步骤:风险识别、风险评估、风险交流、风险解决。它们对风险具有以下定义:风险=暴露程度x危险,并且将风险的危害程度进行细分,划分为3个级别,将风险的发生概率分成非常低、低、中等、高以及很高5个级别。通过这一步骤及时发现风险或者违规的产品,
第二、针对产品质量安全风险管理的具体措施。首先针对产品风险分析、控制等方面设立完备的体系——NEISS;其次在监管流程上面,具有双向的监管特征,在风险发生前后都进行总结分析,事前预防和事后及时处理。对于发现的消费品缺陷进行及时解决。
2.2 欧洲的非食品类产品快速预警系统
第一、RAPEX始终都遵循着风险管理的思想,用风险评估方法来评估消费品的风险,具有一套科学的流程体系。
第二、针对评估流程又专门有一套完整的评估方法,用来对消费品的安全性风险进行科学性评估。通常采用的风险评估方法是诺模图法和RAPEX。
第三、针对评估的风险,相关的系统会做出及时的交流分享,保证信息的顺畅和共享,并且欧盟利用各种渠道定期性向公众披露和更新产品安全方面的风险信息,借助市场监督机构、政府有关部门、企业进行协助和监督,确保系统的公开性,增加消费者消费信心。
3 借鉴与启示
产品的质量安全已经被放到了世界共同关注的焦点上面,每个国家建立适合自己国家国情的产品质量安全监管机制有着非常重要的意义,科学的监管机制能够在保障消费者的人身安全和财产安全等的方面起到基础保障作用。这些管理机制的建立是各国的政府部门甚至是国际组织所必须要积极承担的一项重要挑战。本文根据以上发达国家在完善质量安全监管体制、加强产品质量安全问题上的先进的经验得出了以下启示。
3.1 完善我国关于产品质量安全管理方面的政策制度
我国很多方面的制度相对发达国家来说都是比较滞后的,就目前关于产品质量安全方面的法律法规以及相关的技术指标是较为落后的。在这种法律制度不健全的情况之下,一些不法的生产上就会很容易的利用法律的空隙生产假冒伪劣商品,来谋取暴利[2]。为了防止这种不法分子谋取暴利的情况产生,我国政府有关的部门首先一定要制定健全的产品质量安全总政策,对此可以依据发达国家较为先进的管理经验、法律法规、监管机制、技术等。只有建立起相关的法律体系,才能为提高我国产品的质量监管水平提供最根本的依据。 3.2 建立多方机构共同参与的协作监管机制
产品质量的安全风险监测是一项比较系统化的工程,所包含的工作量是比较巨大的,单单依靠特定的部门很难做到很好的监管。这就需要依靠多方机构的共同力量建立针对风险监管的协作性质的工作体系,从产品的原料采集、加工、生产、储存的各个环节都需要进行风险监测,完成这些不同工序的风险监测工作需要质监和工商的监管信息、行业组织的专家团队的技术支持等等。由此可见围绕对产品质量监管工作的各个环节,需要设立一个多方协作的工作体系,才能保证监管工作的顺利进行,提升监测的有效性。
3.3 推动针对风险评估方面的实验室体系建设
虽然目前来说,我国在全国各地都已经建立了针对产品质量监管的有关体系,围绕着国家中心作为主体一直在开展的质监工作[3]。但是就算如此,在风险监测工作的开展过程中,负责质监的单位始终觉得现有的关于产品质量检验监测技术是不能够满足风险监测工作需求的。所以为了更好的开展对于产品质量的风险管理,保证风险评估实验室的技术水平,就需要建立以国检中心作为基础的关于产品质量风险控制的实验室体系。为了保证实验室技术体系的科学性,可以在充分借鉴国外先进经验的基础上,结合我国的实际形势进行构建。
3.4 建立产品质量风险信息沟通平台
产品质量风险是无处不在的,为了提升公众对于产品质量安全风险的重视程度,就需要建立必要的质量风险信息沟通交流平台,为公众提供实时的风险信息,帮助他们第一时间的了解风险,进而可以采取对应的措施进行风险防范。除了针对公众的信息沟通平台,还需要通过特定的方式在生产商、风险评估人员以及公众消费者之间进行风险信息的及时传递,保证风险信息的透明性、公开性、及时性。
4 结语
本文针对我国目前在在产品质量安全的监管上所存在的问题,结合着国外先进的经验,并且结合我国的实际情况,提出了优化我国产品质量安全风险监管机制的几点建议。本文仅仅是对产品质量安全风险监管机制中的几个特殊的问题进行了分析,笔者深知本文的研究广度和深度还是远远不够的,笔者一定会在以后的学习和工作中继续加强对这一课题的研究。 本文由wWw.DyLw.NeT提供,第一论 文 网专业教育教学论文和以及服务,欢迎光临dYlw.nET
参考文献:
[1] 崔敏,段新芳,吕斌.我国人造板产品质量安全风险管理[J].木材工业,2013,04:29-33.
关键词:贝叶斯网络大跨径斜拉桥 上部结构施工风险评估
中图分类号:TN711 文献标识码:A 文章编号:
斜拉桥(Cable-stayed Bridge)是一种由塔、梁、索三种基本构件组合而成的组合桥梁结构体系,以其优越的跨越能力得到世人的认可。虽然斜拉桥领域取得的一个又一个令人欣喜的成就,但自其问世以来,施工中的安全问题便从未停止,如我国1987年施工的四川达县一座混凝土独塔斜拉桥,在跨中合龙时,主粱混凝土突然破坏坠落,造成伤亡16人的重大事故;1998年9月在建的跨度为258m的宁波招宝山混凝土斜拉桥,在施工过程中发生主梁压溃破坏的严重质量事故 。
现阶段,国内外对于大跨径斜拉桥施工期安全风险分析的方法主要有专家调查法、层次分析法、蒙特卡洛模拟以及影响图法等,这些分析方法都曾经在某一时期的项目风险评估中得到大量的运用并取得了良好的效果,但因每个项目都有其独特性,特别是对于大型复杂且实际工程实践经验较少的的项目,以上方法便受到限制而不能很好的发挥分析评估作用,此时在该领域,贝叶斯网络分析评估方法越来越受到重视并得到逐步运用。
一、贝叶斯网络及发展历史
贝叶斯网络是一种概率推理模型,于1986 年由Pearl 提出,是近十几年来人工智能中非精确知识表达与推理领域研究的热点,适用于不确定性问题研究。贝叶斯网络使用概率理论来处理知识的不确定性,提供了一种将知识直觉图解可视化的方法,是一种新的知识表示模型和推理方法。贝叶斯网络由节点、概率值以及有向无环弧(箭线)组成。现阶段,贝叶斯网络广泛应用于信息恢复、诊断、故障检测,金融风险分析,医疗诊断等领域,取得的良好的效果。
贝叶斯网络的计算原理主要包含全概率原理与贝叶斯原理:
全概率原理:设项目某风险事件A的风险空间为,B1,B2,…, Bn为的一个划分,且P(Bi)>0(i=1,2,…,n),则
P(A)=,i=1,2,…,n
贝叶斯原理:设项目某风险事件A的风险空间为,B1,B2,…, Bn为的一个划分,且P(A)>0,P(Bi)>0(i=1,2,…,n),则
P(Bi|A)= 其中i=1,2,…,n。
显然,在得到项目的风险发生概率后,我们可以通过贝叶斯原理,将各类风险事件及风险因素进行排序,得到各自的影响度。从而方便我们在风险控制中突出重点,更加有效的开展风险防控。
二、贝叶斯网络在风险评估方面的优势以及一般步骤
贝叶斯网络模型能够有效的整合专家经验和数据库知识,清楚的表达风险事件之间的影响传递关系,对不确定性问题可以进行更加贴近实际的推理,能够有效解决涉及风险事件多、影响关系复杂,多个事件对于同一事件的不同程度的影响以及同一事件对于不同事件的不同程度影响问题。
(1)列出目标节点包含的风险事件。根据现有知识经验,询问借鉴专家意见和相关数据库数据,列出目标节点包含的风险事件。
本文将大跨径斜拉桥上部结构的施工进行了一下分解,约定目标节点用菱形表示,中间节点用椭圆表示,边缘节点用圆表示。如图所示:
图1 斜拉桥上部结构施工安全风险分析初级结构图
(2)风险事件进一步细化。与将目标节点进行分解的原因相同,风险事件的进一步细化将能够使我们对于被分解节点形成更加理性和符合客观实际的认识,从而削弱了主观盲目性,为风险大小的准确评价奠定基础。
(3)确定各节点之间的影响关系。
每个风险事件都能够被细化分解,在形成较为完备的贝叶斯网络图后,确定节点之间的影响关系是能否得到准确结果的又一关键。在此过程中,要避免形成环状结构,这是贝叶斯网络的基本前提。
(4)边缘节点发生概率的确定以及对应的条件概率的确定。
边缘节点的发生概率值以及节点之间的条件概率的确定是影响模型结果准确性的又一关键要素。由于风险事件之间存在彼此的影响,同时由于在某一类型的项目中统计资料较少,基础数据缺失,专家经验也受到一定的限制等,我们很难对某一事件直接作出发生概率值的有充分依据的估计。
在得出大跨径斜拉桥施工期安全风险估计之后,通过贝叶斯原理,得出各个风险事件或风险因素的影响度排序,该排序给将为决策者提供直观的有益参考,从而将有限的资源用到最为合理的位置,发挥最大的功效,为施工期安全风险管理提供有力支持。
总结:贝叶斯网络在处理大型、复杂项目的风险评估方面优势明显,它克服了基础数据缺失,专家经验有限,各事件间影响错综复杂等问题,使得大型工程项目的风险评估更加准确,符合事实。为有针对性的给予重要风险事件开展控制提供了坚实的数据支持。有理由相信贝叶斯网络在大型桥梁等工程项目建设方面将会起到越来越重要的影响。本论文撰写过程中,重庆丰都长江二桥建设指挥部给予了很大帮助,提供了丰富的工程资料,在此表示感谢。
参考文献
[1] 陈明宪. 斜拉桥建造技术[M]. 人民交通出版社. 2003
[2] 徐君兰,项海帆. 大跨度桥梁施工控制[J]. 土木工程学报. 2000
[3] 许铎. 桥梁工程事故浅析[J]. 东北公路. 2003
[4] 巩春领. 大跨度斜拉桥施工风险分析与对策研究[D],同济大学桥梁工程系,2006
[5] Pearl J. Probabilistic reasoning in intelligent systems: net-works of plausible inference [M]. San Mateo: California Morgan Kaufmann Publishers, 1988
[6] 王双成. 贝叶斯网络—学习、推理与应用[M].立信会计出版社. 2003
[7] Gemela J. Financial analysis using Bayesian networks [J]. Applied Stochastic Modelsin Business and Industry. 2001
[8] 廉捷. 贝叶斯网络构造方法及应用研究[D].北京交通大学,2007
两篇外文
[9] M.H. Faber,I .B . Kroon,E.Kragh,et a1.Risk assessment of decommissioning options using Bayesian networks[J].Journal of Offshore Mechanics and Arctic Engineering,2010,124(4):231-238.
[10] 南京长江第三大桥建设指挥部. 南京长江第三大桥主桥技术总结[M]. 人民交通出版社. 2005
[11] 沪汉蓉铁路湖北有限公司.武汉天兴洲公铁两用长江大桥工程建设总结. [M]. 中国铁路出版社. 2011
论文摘要:本篇论文通过回顾西方先进的风险管理理念、理论、方法、技术以及国内部分学者关于风险管理的研究成果,以coso2004年9月制定的《企业风险管理—整合框架》为理论基础,以中国某集团为案例研究对象,运用内部审计方法和程序对某集团风险管理八要素进行审计分析和评价,对风险管理理论如何在集团企业实践运用进行了探索和研究,提出企业应逐步建立风险管理系统,为企业在市场经济的大潮中保驾护航。
企业从无到有、从小到大的发展过程,如同人的成长要经历幼年、青年、中年、老年等阶段一样,也要经历不同的阶段。在每一阶段上都具有不同的特征和遇到不同的困难。随着现代社会的发展,经济环境变得瞬息万变,市场竞争越来越激烈。与此同时,企业需要面对的问题越来越多,面临的风险也越来越大,这样就迫使企业必须花费更多的精力对付各种风险。
在市场经济中有许多失败的企业,他们的失败各有其因,但也有一些共同的原因,那就是不重视风险管理,对风险的控制力非常弱。本文研究的问题是面对永远在变化着的社会环境和经济环境,企业如何运用内部审计的理论、方法、程序分析自身风险管理现状,找出问题和不足,提出改进措施和建议,运用先进的风险管理理论对动态变化的风险进行管理,从而实现目标,使企业能够长期生存发展。
风险管理理论发展至今,不同的学科、不同的专业机构、团体、研究学者有不同的认识和理解,于是产生了不同的理论派别。本文的理论框架主要来源于美国coso委员会2004年9月制定的《企业风险管理——整合框架》、国际内部审计师协会2004年1月修订的《内部审计实务标准-专业实务框架》。
一、公司简介
某集团有限公司是中国最大的肉制品生产企业之一,其产品包括冷鲜肉、冷冻肉、以及以猪肉为主的低温肉制品、高温肉制品。集团总部设于中国江苏省南京市,拥有多处冷鲜肉、冷冻肉生产基地及深加工肉制品生产基地。集团拥有最先进的生产设备和工艺技术,以其独有的技术方法,研制出一系列符合消费者口味的优质产品。基于肉制品业务的经验,集团于1997年开展冷鲜肉和冷冻肉业务。2002、2003年,冷鲜肉、冷冻肉的市场占有率分别位列中国大陆第二名、第三名。低温肉制品,自2002年至2004年,其市场占有率连续三年位居中国大型零售商销售首位。
二、公司风险管理要素审计评价程序及结论
尽管某集团在香港联合交易所主板上市,但其实质还是一家中国民营企业,其并没有建立专门的风险管理组织机构、人员、系统,公司风险管理处于“凭感觉进行风险管理”的阶段,只是由管理层根据调查分析、经验总结,识别、列出公司面临的四大类十三种主要风险,并制定了一些防范措施。公司审计部作为监督检查部门,每年至少两次从集团层面对风险管理进行整体评价,并在每季度对分、子公司执行例行审计过程中,重点关注风险管理状况。以下试从集团公司层面,以《coso风险管理——整合框架》(以下简称coso框架)中所列八要素为线索对公司风险管理进行分析、设计审计评价程序、提出审计评价结论。
(一)内部环境
1.理论描述。内部环境包含组织的基调,它影响组织中人员的风险意识,是企业风险管理所有其他构成要素的基础,为其他要素提供约束和结构。
2.审计评价程序。
(1)设计风险相关文化调查表对风险管理的内部环境进行调查;
(2)审查公司经营决策、管理方针政策、规章制度、行为准则等是否反映了公司的风险管理理念、诚信和道德价值观。
3.审计评价结论。公司的风险管理理念属于风险偏好型,提倡抓住机会,大胆开拓。但对风险管理理念没有一个书面的说明性的陈述,这些理念存在于董事会及高级管理层的头脑中,通过收购决策、政策、行为准则、各种规章制度反映出来并加以强化。
(二)目标设定
1.理论描述。设定战略层次的目标,为经营、报告和合规目标奠定了基础。每一个主体都面临来自外部和内部的一系列风险,确定目标是有效的事项识别、风险评估和风险应对的前提。
2.审计评价程序。
(1)获取管理层对目标的书面陈述;
(2)通过访谈、询问,获取公司员工对公司目标的知晓、理解程度的信息;
(3)通过查阅管理层的述职报告,获取目标实现进展情况的信息。
3.审计评价结论。公司管理层对风险管理目标没有明确的书面陈述,公司员工对公司的目标知之甚少,经审计调查总结,目标如下:
战略目标:创中国第一肉食品品牌;
经营目标:顾客满意最大化,品牌价值最大化;
报告目标:财务报告真实、完整,符合《上市规则》要求;
合规目标:遵循国家、行业、企业的法律、法规、制度。
(三)事项识别
1.理论描述。管理当局识别将会对主体产生影响的潜在事项——如果存在的话,并确定它们是否代表机会,或者是否会对主体成功地实施战略和实现目标的能力产生负面影响。带来负面影响的事项代表风险,它要求管理当局予以评估和应对。
2.审计评价程序。
(1)查阅行业有关资料,询问、访谈高层、中层、一般职工,审查风险识别是否充分、全面;
(2)审查风险识别过程资料,判断是否根据内外部环境的变化定期进行修正。
3.审计评价结论。公司管理层根据调查分析、经验总结,识别、列出公司面临的四大类(行业风险,业务风险,财务风险,合规风险)十三种主要风险:
(1)爆发动物疫情;
(2)突然而来的业务干扰;
(3)消费者口味及喜好的变化;
(4)产品质量出现问题而导致对人身的伤害;
(5)原材料价格波动;
(6)产品未能迎合市场需求;
(7)主要管理层的流失;
(8)其他实体误用、盗用本公司商号(商标);
(9)资金安全管理;
(10)资产安全管理;
(11)会计系统故障;
(12)违反《上市规则》;
(13)违反食品管理、环保法规有关法律规定。
经审计调查,公司管理层对风险识别较为充分,且计划每年分两次(期中和期末)对公司面临的风险进行全面的核查,若发现风险变化,即使进行调整,但未能严格实施。而对于机会,管理层没有进行专门识别。
(四)风险评估
1.理论描述。风险评估使主体能够考虑潜在事项影响目标实现的程度。管理当局从两个角度——可能性和影响——对事项进行评估,并且通常采用定性和定量相结合的方法。
2.审计评价程序。获取管理层对风险进行定性评估的资料,评价其评估的合理准确性以及是否根据内外部环境的变化进行动态修正。
3.审计评价结论。公司管理层对识别出来的十三种风险根据多年的从业经验和过去的风险发生的记录进行了定性的评估,由于缺乏相关的人才、技术、资料,尚未对风险进行过定量分析。公司管理层计划每年分两次(期中和期末)对公司面临的风险进行全面的核查和平谷,若发现风险变化,及使进行调整修正,但未能严格实施。
(五)风险应对
1.理论描述。在评估了相关的风险之后,管理当局就要确定如何应对。应对包括风险回避、降低、分担和承受。在考虑应对的过程中,管理当局评估对风险的可能性和影响的效果,以及成本效益,选择能够使剩余风险处于期望的风险容限以内的应对。
2.审计评价程序。通过访谈、询问,了解管理层采取的风险应对策略及理由,评价其合理性。
3.审计评价结论。公司管理层对识别出来的重要风险制定了相应的防范措施,从风险应对的角度看多为预防性措施,以降低风险发生的可能性,而没有采取购买保险等风险分担措施。
(六)控制活动
1.理论描述。控制活动是帮助确保管理当局的风险应对得以实施的政策和程序。控制活动的发生贯穿于整个组织,遍及各个层级和各个职能机构。它们包括一系列不同的活动,例如批准、授权、验证、调节、经营业绩评价、资产安全以及职责分离。
2.十三种风险审计评价程序。公司管理层针对识别出来的十三种风险,制定了防范措施,审计部门相应地制订了审计评价程序。
3.审计评价结论。经审计调查,公司管理层对于风险管理的控制活动要素较为重视,制定的风险防范措施较为全面、严密、可操作,大部分得到了严格有效执行,但也有部分单位未能严格执行风险防范措施。
(七)信息与沟通
1.理论描述。有关的信息以保证人们能履行其职责的形式和时机予以识别、获取和沟通。信息系统利用内部生成的数据和来自外部渠道的信息,以便为管理风险和作出与目标相关的知情的决策提供信息。有效的沟通会出现在组织中向下、平行和向上的流动。
2.审计评价程序。
(1)走访公司it部和公司内部报刊编辑部,了解评价公司的信息系统的建设和运转情况。
(2)访问公司网站,观察其运转情况;
(3)使用公司的局域网、内部电话网,阅读公司内部报刊,评价其运转情况和功效发挥情况。
3.审计评价结论。公司设立了it部,建立了较为完备、先进的信息管理系统,通过因特网、内部局域网、内部电话网、内部报刊等手段将信息以文字、声音、图片等形式进行传递,并制定各种级别的会议制度进行面对面的信息沟通。但没有建立专门的风险信息生成及传递通道。
(八)监控
1.理论描述。对企业风险管理进行监控——随时对其构成要素的存在和运行进行评估。这些是通过持续的监控活动、个别评价或者两者相结合来完成的。持续监控发生在管理活动的正常进程中。
2.审计评价程序。
(1)审查内部定期(每天、每周、每月)上报的管理报表(报告),评价风险管理日常监控职能发挥情况;
(2)审查内部审计部门的审计计划、风险管理审计报告,评价其监控职能的发挥情况。
3.审计评价结论。公司管理层通过例行的控制活动、信息报告反馈系统对经营管理状况进行日常的监控;通过内部审计部门对公司所控制的所有单位、项目进行例行审计,报告中时常反映一些被审单位风险管理状况的信息,对风险管理的监控较为及时,但对公司总部层面的风险监控较为薄弱。
三、结语
企业要想在市场经济的大潮中基业长青,必须对面临的各种风险进行系统地、全面地管理,这已是不争的事实。借鉴西方先进的风险管理理念、理论、方法、工具,结合本企业具体实际情况,对内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控八个风险管理要素逐一进行分析和评价,查找问题和不足,对风险管理文化、风险管理组织体系、风险识别、评估、排序、风险管理策略与方法、风险管理监控与检查、风险管理沟通与咨询等关键的风险管理流程采取措施不断完善,逐步建立企业风险管理系统,是解决风险管理问题的最佳实务。企业应当增强风险意识,逐步建立险管理系统,为企业保驾护航,这样企业才能在市场经济的大海中劈波斩浪,远航。
参考文献:
[1]王晓霞,《企业风险审计》,第一版,中国时代经济出版社,2005。
购物车(0)