時間:2022-12-29 17:07:33
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇安全風險評估論文,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
我國的信息安全標準化制定工作比歐美國家起步晚。全國信息化標準制定委員會及其下屬的信息安全技術委員會開展了我國信息安全標準方面工作,完成了許多安全技術標準的制定,如GB/T18336、GB17859等。在信息系統的安全管理方面,我國目前在BS7799和ISO17799及CC標準基礎上完成了相關的標準修訂,我國信息安全標準體系的框架也正在逐步形成之中[1]。隨著信息系統安全問題所產生的損失、危害不斷加劇,信息系統的安全問題越來越受到人們的普遍關注,如今國內高校已經加強關于信息安全管理方面的研究與實踐。
2高校信息安全風險評估模型
2.1信息安全風險評估流程
[2]在實施信息安全風險評估時,河南牧業經濟學院成立了信息安全風險評估小組,由主抓信息安全的副校長擔任組長,各個相關單位和部門的代表為成員,各自負責與本系部相關的風險評估事務。評估小組及相關人員在風險評估前接受培訓,熟悉運作的流程、理解信息安全管理基本知識,掌握風險評估的方法和技巧。學院的風險評估活動包括以下6方面:建立風險評估準則。建立評估小組,前期調研了解安全需求,確定適用的表格和調查問卷等,制定項目計劃,組織人員培訓,依據國家標準確定各項安全評估指標,建立風險評估準則。資產識別。學院一卡通管理系統、教務管理系統等關鍵信息資產的標識。威脅識別。識別網絡入侵、網絡病毒、人為錯誤等各種信息威脅,衡量威脅的可發性與來源。脆弱性識別。識別各類信息資產、各控制流程與管理中的弱點。風險識別。進行風險場景描述,依據國家標準劃分風險等級評價風險,編寫河南牧業經濟學院信息安全風險評估報告。風險控制。推薦、評估并確定控制目標和控制,編制風險處理計劃。學院信息安全風險評估流程圖如圖1所示:
2.2基于PDCA循環的信息安全風險評估模型
PDCA(策劃—實施—檢查—措施)經常被稱為“休哈特環”或者“戴明環”,是由休哈特(WalterShewhart)在19世紀30年代構想,隨后被戴明(EdwardsDeming)采納和宣傳。此概念的提出是為了有效控制管理過程和工作質量。隨著管理理念的深入,該循環在各類管理領域得到廣泛使用,取得良好效果。PDCA循環將一個過程定義為策劃、實施、檢查、措施四個階段,每個階段都有階段任務和目標,如圖2所示,四個階段為一個循環,一個持續的循環使過程的目標業績持續改進,如圖3所示。
3基于PDCA循環模型的信息安全風險評估的實現
[3-5]河南牧業經濟學院信息系統安全風險評估的研究經驗積累不足,本著邊實踐邊改進,逐步優化的原則,學院決定采用基于PDCA循環的信息安全評估模型。信息安全風險評估模型為信息安全風險評估奠定了理論依據,是有效進行信息安全風險評估的前提。學院擁有3個校區,正在逐步推進數字化校園的建設。校園網一卡通、教務、資產、檔案等管理系統是學院網絡核心業務系統,同時各院系有自己的各類教學系統平臺,由于網絡環境的復雜性,經常會監控到信息系統受到內外部的網絡攻擊,信息安全防范問題已經很突出。信息安全風險評估小組依據自行研發的管理系統對學院各類信息系統進行全面的風險評估(圖4),以便下一步對存在的風險進行有效的管理,根據信息系統安全風險評估報告,提出相應的系統安全方案建議,對全院信息系統當前突出的安全問題進行實際解決。
3.1建立信息安全管理體系環境風險評估(P策劃)
風險規劃是高校開展風險評估管理活動的首要步驟。學院分析內外環境及管理現狀,制定包括準確的目標定位、具體的應對實施計劃、合理的經費預算、科學的技術手段等風險評估管理規劃。風險規劃內容包括確定范圍和方針、定義風險評估的系統性方法、識別風險、評估風險、識別并評價風險處理的方法。信息安全評估風險評估管理工作獲得院領導批準,評估小組開始實施和運作信息安全管理體系。
3.2實施并運行信息安全管理體系(D實施)
該階段的任務是管理運作適當的優先權,執行選擇控制,以管理識別的信息安全風險。學院通過自行研發的信息安全風險管理工具,將常見的風險評估方法集成到軟件之中,包括有信息資產和應用系統識別、風險識別與評估、風險處置措施及監測、風險匯總與報告生成等功能。通過使用信息安全風險管理工具,安全風險評估工作都得到了簡化,減輕人員的工作量,幫助信息安全管理人員完成復雜的風險評估工作,從而提高學院的信息安全管理水平。
3.3監視并評審信息安全管理體系(C檢查)
檢查階段是尋求改進機會的階段,是PDCA循環的關鍵階段。信息安全管理體系分析運行效果,檢查到不合理、不充分的控制措施,采取不同的糾正措施。學院在系統實施過程中,規劃各院系的信息安全風險評估由本系專門人員上傳數據,但在具體項目實施中,發現上傳的數據隨意甚至杜撰,嚴重影響學院整體信息系統安全評估的可靠性,為了強化人員責任意識,除了加強風險評估的培訓外,還制定相應的懲罰獎勵制度,實時進行監督檢查,盡最大可能保證風險評估數據的準確性[6]。
3.4改進信息安全管理體系(A措施)
經過以上3個步驟之后,評估小組報告該階段所策劃的方案,確定該循環給管理體系是否帶來明顯的效果,是繼續執行,還是升級改進、放棄重新進行新的策劃。學院在項目具體實施后,信息安全狀況有了明顯的改善,信息管理人員安全責任意識明顯提升,遭受到的內外網絡攻擊、網絡病毒等風險因素能及時發現處理。評估小組考慮將成果具體擴大到學院其他的部門或領域,開始了新一輪的PDCA循環持續改進信息安全風險評估。
4結語
關鍵詞:網絡安全 風險評估 方法
1網絡安全風險概述
1.1網絡安全風險
網絡最大的特點便是自身的靈活性高、便利性強,其能夠為廣大網絡用戶提供傳輸以及網絡服務等功能,網絡安全主要包括無線網絡安全和有線網絡安全。從無線網絡安全方面來看,無線網絡安全主要是保證使用者進行網絡通話以及信息傳遞的安全性和保密性,其能否保證使用者的通話不被竊聽以及文件傳輸的安全問題都是當前研究的重要課題,由于無線網絡在數據存儲和傳輸的過程之中有著相當嚴重的局限性,其在安全方面面臨著較大的風險,如何對這些風險進行預防直接關乎著使用者的切身利益。想要對無線網絡安全進行全面正確的評估,單純的定量分析法已經不能夠滿足當前的需求,因此,本文更推薦將層次分析法和逼近思想法進行雙重結合,進一步對一些不確定因素進行全面的評估,確保分析到每一個定量和變量,進一步計算出當前無線網絡的安全風險值。而對于有線網絡,影響其安全風險的因素相對較少,但是依然要對其進行全面分析,盡最大可能得到最準確的數值。
1.2網絡安全的目標
網絡安全系統最重要的核心目標便是安全。在網絡漏洞日益增多的今天,如何對網絡進行全方位無死角的漏洞安全排查便顯得尤為重要。在網絡安全檢測的各個方面均有著不同的要求,而借助這些各方面各個層次的安全目標最終匯集成為一個總的目標方案,而采取這種大目標和小目標的分層形式主要是為了確保網絡安全評估的工作效率,盡最大可能減少每個環節所帶來的網絡安全風險,從而保證網絡的合理安全運行。
1.3風險評估指標
在本論文的分析過程之中,主要對風險評估劃分了三個系統化的指標,即網絡層指標體系、網絡傳輸風險指標體系以及物理安全風險指標體系,在各個指標體系之中,又分別包含了若干個指標要素,最終形成了一個完整的風險評估指標體系,進而避免了資源的不必要浪費,最終達到網絡安全的評估標準。
2網絡安全風險評估的方法
如何對網絡風險進行評估是當前備受關注的研究課題之一。筆者結合了近幾年一些學者在學術期刊和論文上的意見進行了全面的分析,結合網絡動態風險的特點以及難點問題,最終在確定風險指標系統的基礎上總結出了以下幾種方法,最終能夠保證網絡信息安全。
2.1網絡風險分析
作為網絡安全第一個環節也是最為重要的一個環節,網絡風險分析的成敗直接決定了網絡安全風險評估的成敗。對于網絡風險進行分析,不單單要涉及指標性因素,還有將許多不穩定的因素考慮在內,全面的徹底的分析網絡安全問題發生的可能性。在進行分析的過程之中,要從宏觀和微觀兩個方面進行入手分手,最大程度的保證將內外部因素全部考慮在內,對網絡資產有一個大致的判斷,并借此展開深層次的分析和研究。
2.2風險評估
在網絡安全風險評估之中,可以說整個活動的核心便是風險評估了。網絡風險的突發性以及并發性相對其他風險較高,這便進一步的體現了風險評估工作的重要性。在進行風險評估的過程之中,我們主要通過對風險誘導因素進行定量和定性分析,在此分析的基礎上再加以運用逼近思想法進行全面的驗證,從而不斷的促進風險評估工作的效率以及安全性。在進行風險評估的過程之中,要充分結合當前網絡所處的環境進行分析,將工作思想放開,不能拘泥于理論知識,將實踐和理論相結合,最終完成整個風險評估工作。
2.3安全風險決策與監測
在進行安全風險決策的過程之中,對信息安全依法進行管理和監測是保證網絡風險安全的前提。安全決策主要是根據系統實時所面對的具體狀況所進行的風險方案決策,其具有臨時性和靈活性的特點。借助安全決策可以在一定程度上確保當前的網絡安全系統的穩定,從而最終保證風險評估得以平穩進行。而對于安全監測,網絡風險評估的任何一個過程都離不開安全檢測的運行。網絡的不確定性直接決定了網絡安全監測的必要性,在系統更新換代中,倘若由于一些新的風險要素導致整個網絡的安全評估出現問題,那么之前的風險分析和決策對于后面的管理便已經毫無作用,這時候網絡監測所起到的一個作用就是實時判斷網絡安全是否產生突發狀況,倘若產生了突發狀況,相關決策部門能夠第一時間的進行策略調整。因此,網絡監測在整個工作之中起到一個至關重要的作用。
3結語
網絡安全風險評估是一個復雜且完整的系統工程,其本質性質決定了風險評估的難度。在進行網絡安全風險評估的過程之中,要有層次的選擇合適的評估方法進行評估,確保風險分析和評估工作的有序進行,同時又要保證安全決策和安全檢測的完整運行,與此同時,要保證所有的突發狀況都能夠及時的反映和對付,最終確保整個網絡安全的平穩運行。
參考文獻
[1]程建華.信息安全風險管理、評估與控制研究[D].吉林大學,2008.
[2]李志偉.信息系統風險評估及風險管理對策研究[D].北京交通大學,2010.
[3]孫文磊.信息安全風險評估輔助管理軟件開發研究[D].天津大學,2012.
關鍵詞: 統計學習;風險評估;支持向量機
中圖分類號:F224文獻標識碼:A文章編號:1671-7597(2012)0110102-01
0 引言
互聯網絡時代的到來使得網絡重要性和人們對其依賴也日益增強。網絡安全問題也不容樂觀。網絡安全風險評估是保證網絡安全的重要環節。基于人工智能的評估方法是近些年發展起來的,其評估結果較為客觀和準確,克服了傳統方法的缺陷,為網絡安全評估拓展新的空間。支持向量機[1]就是其中一種,其學習能力強,解決了在神經網絡方法中無法避免的局部極值問題,具有較好的泛化推廣能力。
1 風險評估及支持向量機
1.1 網絡風險評估。準確進行網絡安全風險評估并預測其發展趨勢成為保障各種網絡服務安全急需解決的問題。網絡安全風險評估[2]是指依據國家有關網絡信息安全技術標準,對網絡信息系統及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學評價的過程。風險計算是對通過對風險分析計算風險值的過程。風險分析中要涉及資產、威脅、脆弱性等基本要素,每個要素有各自的屬性。
在完成了資產識別、威脅識別、脆弱性識別,以及對已有安全措施確認后,將采用適當的方法與工具確定威脅利用脆弱性導致安全事件發生的可能性,考慮安全事件一旦發生其所作用的資產的重要性及脆弱性的嚴重程度判斷安全事件造成的損失對組織的影響,即安全風險。風險計算原理利用范式(1)給出:
風險值=R(A,T,V)=R(L(T,V),F(Ia,Va))(1)
其中,R表示安全風險計算函數;A表示資產;T表示威脅;V表示脆弱性;Ia表示安全事件所作用的資產重要程度;Va表示脆弱性嚴重程度;L表示威脅利用資產的脆弱性導致安全事件發生的可能性;F表示安全事件發生后產生的損失。
1.2 支持向量機理論。SVM是在統計學習理論基礎上發展起來的,是根據Vapnik提出的結構風險最小化原則來提高學習機泛化能力的方法。SVM對小樣本、非線性和高維特征具有很好的性能[4]。具有理論完備、適應性強、全局優化、訓練時間短、泛化性能好等優點[6]。
假定訓練數據 可以被超平面
無錯誤地分開,且距離超平面最近的向量與超平面間的距離最大,則稱這個超平面為最優超平面。而SVM的主要思想就是:通過某種事先選擇的非線性映射將輸入向量x映射到一個高維特征空間Z,在這個空間中構造最優分類超平面。SVM就是解決如何求解得到最優分類超平面及如何解決高維空間常遇到的維數災難問題。而通過核函數方法向高維空間映射時并不增加計算復雜度,又可以有效克服維數災難問題。
SVM中不同的核函數將形成不同的算法,對于在具體問題中核函數的選定和構造也是SVM中的研究內容之一。
2 支持向量機的評估方法
支持向量機可以較好的解決小樣本、非線性模式識別、過擬合、高維數等問題,具有學習能力強,全局最優以及很好的泛化能力和結果簡單等優點,應用于風險評估具有其可行性及優勢[3,5]。
2.1 算法可行性。將SVM運用到風險評估中,對目標網絡進行安全風險評估具有其可行性。支持向量機是專門針對有限樣本情況的,目標是得到現有信息下的最優解。其次,支持向量機能將分類問題最終轉化成一個二次尋優問題。最后,風險評估對問題解決方法的泛化能力及簡單性要求較高。支持向量機能將實際問題通過非線性變換轉到高維特征空間,在高維特征空間中構造線性判別函數使得原始空間具有了非線性判別函數的功能。在保證模型推廣性的同時也消除了維數災難的問題。
2.2 基于SVM的評估模型。隨著SVM的廣泛應用及對其深入研究,結合具體需求將SVM與其他算法相結合進行優化,出現一些新型的SVM方法。在對SVM參數優化方法也有相關深入的算法研究。本論文結合SVM實際應用模型與網絡風險評估要求及流程,提出基于SVM的評估模型。評估模型主要分四部分:評估觀測期、風險分析期、基于SVM的評估期、防護措施調整期。該模型采用周期循環的理念,可以得到目標網絡實時的安全狀況,更好的保證網絡安全可靠。
基于SVM的評估期對評估指標進行歸一處理,作為SVM的輸入。對數據初始化后通過對訓練數據進行機器學習,最終獲得SVM的訓練模型。然后運用模型對測試數據進行處理,得到測試集中樣本的分類結果即評估結果。
3 結束語
網絡安全評估成為解決網絡安全問題以及網絡優化的關鍵手段之一。支持向量機能較好地解決傳統評估方法不能解決的非線性、高維和局部極小等實際問題,克服了神經網絡的過擬合、局部最優的缺陷,成為網絡安全領域的又一研究熱點。該領域仍需完善和改進SVM算法,結合其他學科提高SVM訓練速度、降低算法復雜度和運算量等。
參考文獻:
[1]鄧乃揚、田英杰,支持向量機理論、算法與拓展[M].北京:科學出版社,2009.
[2]黃光球、朱擎等,基于信息融合技術的動態安全態勢評估模型[J].微計算機信息,2010,26(1-3):27-29.
[3]黨德鵬、孟真,基于支持向量機的信息安全風險評估[J].華中科技大學學報(自然科學版),2010,38(3):46-49.
[4]殷志偉,基于統計學習理論的分類方法研究[D].哈爾濱:哈爾濱工程大學,2009.
[5]王偉,AHP和SVM組合的網絡安全評估研究[J].計算機仿真,2011,28(3):182-185.
[6]故亞祥、丁世飛,支持向量機研究進展[J].計算機科學,2011,38(3):14-17.
【關鍵詞】海上石油平臺 壓力容器 壓力管線 風險評估 RBI
1 前言
壓力容器、壓力管線等承壓設備廣泛應用于各行各業,一旦發生泄漏或斷裂將有可能導致火災、爆炸及中毒事故,是生產和經濟遭受嚴重破壞,生命和財產蒙受重大損失。
當前,中海油海上平臺建設發展迅速,海上壓力容器和壓力管線數量逐年增多,壓力容器和壓力管線的檢測或檢驗市場份額巨大,研究海上壓力容器和壓力管線的風險評估是提高資源優化配置的有效途徑,實現壓力容器和壓力管線的信息化管理,對促進設備管理水平進步、保證海上設備運行安全具有重要意義,且可減少對低風險設備和裝置的維護和檢驗周期,從而降低檢驗風險,減低成本。因此,海上壓力容器和壓力管線的風險評估技術的應用前景非常廣闊。
2 RBI技術
2.1 RBI的概述
R B I是英文“R I S K B A S E D INSPECTION”的縮寫,我國翻譯過來 稱謂“風險評估”,目前國際上商業化的RBI軟件都是基于API580標準。在API580中,RBI定義為:一種風險評估和管理的過程,重點放在壓力容器和工業管道由于材料破壞導致的介質泄露。
RBI采用系統論的原理和方法對系統中固有的或潛在的危險及其程度進行定量分析和評估,它旨在找出薄弱環節,避免盲目檢驗;幫助企業篩選出較高危險的區域,確認高風險的設備,制定有效的檢查計劃,用來降低設備運行風險、提高設備運轉可靠性、降低設備運行成本;同時RBI又是一個決策工具,在保證設備運轉可靠、安全的前提下有效避免“檢驗不足”或“檢驗過剩”,從而優化檢驗的效率和頻率,降低停機次數,減少日常檢驗及維修的成本。
2.2 RBI技術的原理
RBI技術獎設備在使用期間可能發生的風險與設備在用檢驗相聯系。運用風險分析,將流程中所有的設備按照風險進行排序,從而得到風險分布,然后優化檢驗策略,對高風險設備按照其損傷的特點,采取有效的檢驗方法,顯著降低其風險。
風險的級別可以用風險矩陣圖表示,見圖1及表1。無論失效后果或失效概率(失效頻度)都可以用數字表示,把兩組數字按照嚴重程度的次序分別劃分為5個等級。失效概率(失效頻度)劃分為極高(very high)、高級(high)、中級(medium)、低級(low)和極低級(very low)概率(失效頻度),簡稱特、高、中、低、微5級;失效后果同樣也是五級。五個等級分別用A、B、C、D、E和1、2、3、4、5表示。這樣,就可以在一個5×5的風險矩陣圖上來確定分析對象的風險等級,并根據相應的風險等級采取相應的措施。
圖1 RBI風險矩陣圖
3 RBI技術在國內外的應用情況
上個世紀九十年代初期,歐美二十余家石化企業集團為了在安全的前提下降低運行成本,共同發起資助美國石油學會(API)開展RBI 在石化企業(主要是煉油廠)的應用研究工作。1996 年API 公布了RBI 基本資源文件API BRD 581 的草案,2000 年5 月又公布API 581 正式文件。2002 年5 月正式頒布了RBI 標準API RP 580 。十多年來,西方發達國家甚至亞洲的韓國、新加坡等國家和地區的石化煉油廠廣泛應用了RBI 方法進行成套裝置中的承壓設備的檢驗與維修,使得風險和檢驗維修費用都大幅度下降。國際上,海上石油平臺很早便已應用風險評估理念。到目前,挪威、英國等已擁有比較完善的RBI風險評估體系。
但我國的海上石油工業起步較晚,開始對平臺的安全評估認識不足,已經發生了很多的海灘事故,造成重大人員傷亡和經濟損失。近年來,科研工作者和生產企業逐漸認識到,成熟的RBI技術對我國的海上石油工業安全保障有十分重要的作用。目前,DNV和中石化青島安全工程研究院致力于該方面的研究和應用,對勝利埕島油田海上設施進行定量風險評估。
我國海上壓力容器壓力管線檢驗應用RBI剛剛開始,國內還未有應用和基礎性研究。海上壓力容器、壓力管道在自然大氣環境、空間布局及操作要求等方面與陸上設施存在較大差異。海上壓力容器壓力管線應用RBI時既要考慮海上設施在石化工藝、設施布局、配管布置及設備防腐等方面的特點,也要考慮海洋工程和海洋自然環境等方面的獨特要求,還要考慮海上操作及安全管理的特點:高流量狀態下流程含砂的磨蝕風險;海上鹽霧導致設備外腐蝕風險;壓力管線的振動疲勞風險;CO2大氣腐蝕風險等。
其主要管理手段為它能有效提高檢驗的效率,優化檢驗計劃和檢驗策略,減少設備不必要的例行檢驗內容,實施針對性的檢驗內容;避免“檢驗不足”帶來的安全隱患或“檢驗過剩”造成的設備維修費用的浪費和設備在役運行時間的降低;對于保證海上壓力容器、壓力管線的運行安全、促進管理進步具有重要意義。
5 海上壓力容器、壓力管線風險評估產生的效益
5.1 經濟效益
以中海石油技術檢測有限公司為例:油公司(天津、上海、湛江)共計海上中心平臺(含終端)約35個,每個中心平臺的維修策略評估與制定項目平均費用為50萬元,項目推廣后每年可實施6-8個RBI項目,預計年收入可達到300-400萬元。此外還有下游煉油廠(常減壓、連續重整、加氫精制、加氫裂化、催化裂化、制氫、焦化等)、化工廠(乙烯裂解、醋酸乙烯、聚乙烯、聚丙烯、芳烴、橡膠、乙二醇、合成氨、尿素、PTA等)裝置的關鍵設備,實現關鍵在役設備的在線檢測具有廣闊的市場。
5.2 社會效益
基于風險的檢驗技術(Risk Based Inspection,以下簡稱RBI檢驗技術)是在追求特種設備安全性與經濟性統一的基礎上建立的一種優化檢驗方案的方法。引入RBI檢驗技術,對于推進企業特種設備安全監察方式的改革創新,有效預防和整治特種設備事故隱患,降低政府和企業安全管理成本,促進中海油企業安全發展和科技進步具有重要的意義。
6 結論
綜上所述,海上壓力容器和壓力管線的風險評估技術符合安全性和經濟性相統一的發展趨勢,必將在我國海洋石油行業得到迅速發展和普遍應用,為促進經濟的可持續性發展,及降低設備風險和生產成本具有重要作用。隨著RBI技術在海洋石油行業的技術研究和應用力度的加大,相信RBI技術一定能夠在海洋石油行業發展的更加完善并發揮更大的作用。
參考文獻
[1] 陳鋼,左尚志,陶雪榮,等. 承壓設備的風險評估技術機器在我國的應用和發展趨勢[J].中國安全生產科學技術,2005,2(1):31-35
【關鍵詞】消化內科;老年;護理風險
doi:10.3969/j.issn.1004-7484(x).2013.07.379文章編號:1004-7484(2013)-07-3823-01
現今老年消化內科住院患者逐漸增多,伴隨并發癥也較多,不僅僅是常見跌倒,燙傷之類的安全護理隱患,還出現了專科治療引起的特殊風險[1]。回顧性分析我院從2010年12月至2012年12月接受診治的年齡在65歲以上入住消化內科的老年患者100例,對其住院護理風險及護理措施進行研究。現今具體情況如下所示。
1資料與方法
1.1一般資料回顧性分析我院從2011年12月至2012年12月接受診治的年齡在65歲以上入住消化內科的老年患者100例,其中男患者65例,女患者35例,患者的年齡在65至90歲,平均年齡為75歲。
1.2評估方法
1.2.1評估表通過將醫師的臨床治療經驗和病區的老年住院患者出現的護理安全事件及其導致因素關系的結合,再采用使用老年患者的風險評估Norton壓瘡風險評估表及跌倒/墜床風險評估表,將容易誤服/服藥錯誤/走失及導致窒息評估條目加入其中,總計四維度及29條目[2],以此篩選消化內科的老年患者在入院之后存在的護理風險。
1.2.2評估方法管床護士對入院二十四小時之內的消化內科老年患者作初評,記錄分值,再由護士長或護理組長作進一步審核,根據患者的得分情況做出總結,之后再針對高危患者在其床尾卡上貼相應的標識。例如跌到危險患者在其床尾卡上貼“方形”標識,窒息危險患者在其床尾卡上貼“三角形”標識,壓瘡危險患者在其床尾卡上貼“圓形”標識,再通過顏色作進一步區分,將危險級別由高到低分別用紅色,橙色及藍色表示[3]。這樣的標識可以讓醫生及家屬一目了然。
2結果
通過綜合護理風險評估表對接受診治的全部老年患者進行護理風險的評估,評估結果為17例高危壓瘡風險,28例高危跌倒風險,11例高危用藥/走失/誤服風險以及4例高危窒息風險,見表1。
3結論
回顧性分析我院從2010年12月至2012年12月接受診治的年齡在65歲以上入住消化內科的老年患者100例,對其住院護理風險及護理措施進行研究。在總結內科系列專科發生老年患者風險事件歸因中可以看出,各個專科都需要制定詳細的護理風險的評估指標,仔細找出存在的安全隱患,有效制定防范措施,增強對護理風險識別及防范的能力[4]。護理人員要重視細節的管理,做好前瞻控制,在發患者的口服藥物時要將每次的口服藥分配好,特殊藥物如:心血管系統類、鎮靜類藥物看患服下再離開;病房內張貼各種警示標識供患者及家屬閱覽,加備床欄、輪椅帶等物資;病房內的各種物品擺放有序,位置相對固定;加強與患者及家屬的溝通交流,與患者及家屬建立良好合作的關系,合理安排陪護與探視;在患者住院期間護理人員要加強對患者疾病及用藥知識的宣教;合理安排護理人力資源,嚴格按照《分級護理制度》對患者施護;確保急救物品的完好,加強意外事件的護理力量。
綜上所述,對老年患者護理風險的評估是提高其護理質量的重中之重,而且老年護理是伴隨終生的事,需要對患者及其家屬進行正確指導,這能夠減少風險發生率,提高生活質量。
參考文獻
[1]韓清萍.心內科老年住院患者護理安全隱患原因及對策[J].齊齊哈爾醫學院學報,2009,13(9):83-84.
[2]唐大年,韋軍民,朱明煒,等.老年住院患者營養風險、營養不足發生率及營養支持應用狀況的調查[J].中華老年醫學雜志,2011,30(11):974-976.
【關鍵詞】埋地鋼制管道;管道檢測;防腐層;風險評估
基于風險評估的檢驗是在充分地綜合了系統安全性與經濟性統一理論基礎上建立的一種優化檢驗策略。它運用相關的檢測手段對埋地鋼制管道可能失效的部位進行檢測,并綜合多種可能造成埋地鋼制管道失效的因素,再根據模糊數學風險評價方法,對埋地鋼制管道進行風險評估。而傳統的埋地鋼制管道檢驗方法未能將管道的安全性、企業的經濟性以及可能存在的失效風險有效地結合起來,檢驗的頻率和程度與受檢管道的風險并不相稱,對埋地鋼制管道可能失效的位置檢測沒有針對性。
1、管道外防腐層檢測技術
目前,對埋地鋼制管道外防腐層的檢測方法有很多種,各種方法都有其優缺點,如何選擇一種較為合理的檢測方法,使檢測的定位準確、精確度高、劣化狀態得到準確判定、所需成本最少是檢測最為關心的問題之一。對埋地鋼制管道外防腐層和外腐蝕的檢測,通常利用管道電流檢測(PCM)評價技術和現場開挖核實等綜合手段,來分析判斷管道具體腐蝕情況。
當管道的防腐層存在破損時,所加載的電流信號會在防腐層破損點處泄漏到土壤,管道破損點與土壤間就會產生電勢差,在電流衰減率曲線圖上,Y值在該點表現為突然增大。而且距離破損點越近,電勢差也就越大,此時在埋設管道的地面采用“A字架”便可檢測到這種異常電位,從而實現對管道防腐層破損點的精確定位。根據所測定的數據來計算各管段外防腐層的絕緣電阻,最后依據所得出的值,再參照埋地管道外防腐層絕緣電阻的評估標準,實現對管道防腐層技術等級的劃分,從而完成對管道防腐層整體質量狀況的綜合評估。
2、埋地鋼制管道的風險評估方法
埋地鋼質管道的風險評估是一門綜合性的管理技術,不僅要考慮工程技術方面的各種影響因素,還需與國家的經濟水平、社會保障條件以及有關安全技術法規等密切相關。風險評估技術是用來評價管道發生事故的可能性以及發生事故后的危害程度。風險評估的主要內容是:
(1)確定導致埋地鋼制管道的風險影響因素,即發生事故和影響其后果程度的因素。
(2)確定失效可能性,即發生事故的可能性;
(3)確定事故的失效后果,即事故后果的嚴重程度;
(4)計算管道的區段風險,風險=失效可能性×失效后果;
(5)確定管道區段的風險等級,對高風險區段,提出的降險意見與措施。
3、案例分析
3.1管線基本情況概述
該管線為格爾木煉油廠30萬噸甲醇天然氣管道,2006年7月完成管道敷設工作。管道全長2.98km,工作壓力3.3MPa,工作溫度常溫,介質為凈化天然氣,管道規格為Φ325×9.0mm、材質L210的無縫鋼管,外防腐層采用瀝青玻璃絲布。全線周圍居民區,來往車輛、行人較多,人文活動發達。
3.2防腐層整體質量狀況檢測
利用電流衰減率評價方法對所該管線的外防腐層整體質量狀況進行了分級評價,質量為一級防腐層長度為1780m,占這段總長的59.73%;質量為二級防腐層長度為1200m,占這段總長的40.26%。
3.3管道系統失效可能性評分
管道失效后果的不同主要是由管道沿線環境和人口密度決定的。該管道輸送的介質為干凈的天然氣,因此,不需要考慮介質的內腐蝕,僅需考慮土壤腐蝕。腐蝕方面主要由大氣腐蝕、管道外土壤腐蝕構成,土壤腐蝕又包括外防腐及陰極保護項。該項數據是通過現場檢測結果及管線相關資料信息確定。
影響裝置及操作不當評分主要有裝置本體質量和功能、維護保養的規程及控制等因素。其中,各項評價得分是依據工作人員提供的信息以及資料完整性來確定,本文選擇的分數相對保守,因為此管道沿線的設備裝置基本相同,此評分項得分也相同。
本體安全項包括有設計、制造、施工及地質條件等相關內容。該項評價得分是依據檢測獲得信息和相關資料信息確定,對資料信息不完全及不詳的項,選擇相對保守的分數。
3.4失效后果計算
以3.3節中的計算原理計算出失效后果得分,其中失效后果得分為人員傷亡得分和經濟直接損失得分中的高分值數,該條管線沒有無形損失的得分調整。
失效后果得分為110.52~145,得分差異較大。失效后果最嚴重段為3處,它們主要為輸氣站、廠房,公路,這幾處若發生事故人員傷亡、財產損失嚴重。管線風險絕對等級以中等風險為主;風險值較高的區段多為輸氣站、廠房附近。管道的風險相對等級表明同一管道上不同區段的相對差別,本條管線的相對風險等級以低風險相對等級為主,高風險相對等級主要為輸氣站、廠房附近區域。
4、結論
(1)總結埋地鋼制管道檢驗技術體系框架,它包括管道防腐層等級檢測、破損點檢測等主要環節,詳細論述埋地鋼制管道檢驗與評價在各個環節中可能出現的質量問題,為埋地鋼制管道安全運行提供參考意見。
(2)通過介紹管道系統進行風險評估的基礎理論,可知埋地鋼制管道的風險等級與風險評估的技術依據,風險的可接受度是根據潛在的危險發生概率來確定,從而決定是否有必要進行相關措施。
參考文獻:
[1]胡士信;;“西氣東輸”工程埋地鋼制管道的高可靠性和高耐久性研究[A];中國材料研討會論文摘要集[C];2012年
關鍵詞: 建筑火災 綜合評價 模糊層次分析法 風險分析
建筑火災具有可燃物質多,火災負荷大,人員流動大疏散困難、空間跨度大,上下貫通,容易形成立體燃燒等特點。由于各種建筑、聚集場所人員密度大、使用頻率高、涉及危險因素復雜,火災事故不斷發生。因此,如何合理地對建筑物火災危險性進行分析及火災時人員的安全疏散,是一個值得研究的課題。
我國關于火災危險性分析的研究相對一些發達國家起步較晚,但是隨著近些年來與國外的相關研究機構的交流,也已經開展了火災危險性評估方面的研究工作,并取得了一定的成果。
本文在分析建筑火災發生、發展及蔓延等特征的基礎上,運用事故致因理論,結合系統安全分析的理論和方法,對建筑火災危險性的影響因素進行了深入的分析,建立了建筑火災危險性分析的體系;然后運用基于模糊數學的模糊綜合評價方法綜合評價建筑火災危險性,為建筑人員疏散研究提供可靠依據。
1、模糊數學的基本原理
模糊數學的誕生是從1965年美國加利福尼亞大學控制論專家查德發表的學術論文《模糊集合》開始的,從而架起了一座應用經典數學即精確數學處理模糊問題的橋梁。模糊性是模糊集合論中的一個最基本的概念,是指客觀事物、概念處于共維條件下的差異在中介過渡時所呈現的亦此亦彼性 。對于建筑火災危險,沒有一個絕對的界限來界定其到底是危險的還是安全的,即具有亦此亦彼得過渡性質,因此它是一個模糊概念。
模糊數學評估方法是應用模糊數學的計算公式以及一些由專家確定的常數來確定火災的各種影響。系統風險是由系統的不確定性引起的,所以在系統風險評估過程中如何考慮不確定性因素就成為風險評估的關鍵問題。傳統的概率論方法是以與事故有關的基本事件的發生概率己知為前提的,當分析過程中由于各種各樣的原因導致基本事件的概率未知時,基于概率論的方法就顯得無能為力。此時,可以借助專家判斷,引入模糊幾個的概率,使得系統的風險評估成為可能。風險評估的特殊性和模糊方法的優勢,使得模糊方法在系統風險評估中得到廣泛應用。
2、系統危險性等級劃分
系統危險性與安全性是相對的。傳統的等級劃分往往采用非此即彼的“一刀切”方法,過于絕對化,而且也很難與實際情況相符合。由于系統危險性與安全性之間存在著亦此亦彼的過渡性質,亦即有模糊性,所以從模糊數學來看,系統危險性是對安全性的隸屬度,反之亦然。因此,系統危險程度的語言表達或評語應該充分考慮危險性或安全性的模糊性。 關于系統危險性的語言表達方式,人們對其語氣的程度還存在不同認識。這里我們設定“較危險”所表示的危險性低于“危險”所表示的危險性。
3、商場建筑評價指標體系及火災風險評價
(1) 商場火災危險因素分析
①商場的自身狀態:商場建筑的墻體、構件、內部裝修的燃燒性質和耐火極限,對其控火能力有重要的影響。室內火災載荷、防火間距以及商場周圍的環境對火勢蔓延也有一定的影響。
②商場的防火結構與布局:合理的防火結構與布局、防火、防煙分區,可靠的防火、防煙設備,以及通風、空調系統采用良好的防火設計,能夠在火災發生的初期階段截斷其蔓延的途徑,將火災控制在一定的范圍之內。
③火源控制:商場中對電氣設備進行防火處理極其重要,變配電室是容易發生火災的最危險的部位之一,另外電線、電纜的鋪設與耐火性能及嚴格的吸煙制度與動火規定也是必須考慮的因素。
④消防設備:火災自動探測/ 報警、滅火系統應處于優先考慮的地位。火場缺水或沒有完善的消防給水措施,是對當前滅火工作不利的重要因素。小型的手提式滅火器也是消滅早期火災的利器。
⑤人員疏散:設計合理的疏散通道和疏散指示標志以及廣播疏導系統、足夠數量的安全出口以及足夠寬敞的疏散通道,人群的安全意識與自救逃生技能,能夠使人員傷亡降到最低。
⑥消防管理:完善的規章制度和火災疏散預案、設置專人值班、定期對各種設備進行檢修,是提前發現解決問題的最好手段。
(2) 建立評價指標體系 按照上述因素經過我的分析與研究運用層次分析法來確定各指標的權重,指標體系及各指標權重分配情況。建立了商場火災危險性指標體系如表1所示:
4、結論
(1)根據各建筑的具體情況適當調整評價指標后還可以應用于其它建筑的火災風險評價中。它可以為建筑物的“性能化”防火設計方法提供可靠的依據,使建筑火災防治政策和措施更加科學、合理和有效。
【關鍵詞】信息科技外包風險 風險評估 重點外包服務機構 優化控制
一、背景
隨著信息科技技術應用的深入和信息科技外包服務的發展,近年來我國商業銀行普遍將信息科技外包作為提高信息科技服務水平的重要手段,通過信息科技外包幫助銀行提高管理和服務效率,節約信息科技建設和運維成本,實現戰略升級。
隨著外包服務范圍的擴大和深入,商業銀行對于信息科技外包商的依賴程度也逐漸加大,外包商自身的財務風險、經營風險、操作風險和道德風險都有可能傳導至商業銀行,引發商業銀行的業務中斷、信息泄露、系統失效、經濟損失、聲譽受損等一系列系統性風險;另一方面,由于銀行自身外包管理能力的不善,也引發了一些外包風險事件的發生。
監管機構近年來高度重視信息科技外包風險,對商業銀行外包管理提出了更明確的要求。因此,如何在信息科技外包過程中科學有效的評估外包商的風險,是商業銀行目前信息科技外包風險管控迫待需要解決的問題。
二、商業銀行信息科技外包風險評估模型建立
(一)商業銀行信息科技外包風險識別
信息科技外包是一種通過將風險發生時所造成的全部或部分影響轉移給第三方服務供應商的風險轉移措施,它使商業銀行通過風險轉移在一定程度上降低了信息科技風險事件發生時對銀行造成的損失。然而,在將信息科技活動風險轉移給第三方的同時,也帶來了外包活動的相關風險。據此,本文從風險來源的角度將商業銀行信息科技外包風險劃分為兩類(見圖1)。
圖1 商業銀行信息科技外包風險框架
對于A類風險(商業銀行信息科技外包自有風險)與B類風險(外包商信息科技風險),本文識別了風險存在的領域,依據因子分析法進一步分解了各風險領域下的風險因子。
1.A類:商業銀行信息科技外包自有風險。本文根據信息科技外包生命周期和管理主體,同時參考相關指引和通知,梳理了5個風險領域:外包管理組織架構及外包戰略管理、外包風險管理、外包項目管理、外包商管理、監管報告管理。在每個風險領域下,根據因子分析法又分解了17個可能誘發風險事件的風險因子。
2.B類:外包商信息科技風險。本文參考了ISO27001、ITIL V3和積累的經驗,結合國際知名咨詢公司的風險知識庫,共梳理出9個風險領域:運維管理、信息安全管理、服務管理、問題、事件管理、變更管理、業務連續性管理、轉包分包管理、公司治理。在每個風險領域下,使用因子分析法進一步分解了34個風險因子。
(二)商業銀行信息科技外包風險評估模型
信息科技外包風險事件大都產生于銀行自身或外部服務提供商內部控制管理的不善、人員或系統外部事件引發的損失,因此外包風險常常被歸類為操作風險的一個分支。目前管理操作風險主要有三大定性工具,包括風險控制自我評估(RCSA),損失數據收集(LDC)和關鍵風險(KRI)指標。
基于操作風險的三大工具,將信息科技外包風險評估模型分為為銀行信息科技外包自有風險與外包商信息科技風險兩塊,通過識別風險領域及其風險因子,為每一個風險因子找到多個可應對它的控制活動,且通過控制活動識別關鍵風險考核指標,針對每個風險因子可能造成的財務、合規、聲譽、資產安全、運營影響發生的可能,確定各風險因子的風險值。關鍵風險考核指標主要劃分為是否型指標(定性考核)和數值性考核指標(定量考核)。評估者可利用風險因子的風險值權重乘上每個關鍵風險考核指標的考核值,加權平均得到各風險領域的得分,進而得到外包風險的評分。
信息科技外包風險評估計量模型如圖2所示,信息科技外包活動中的風險權重(本文中以W為標識)與每項關鍵考核指標得分(本文中以Yn為標識)共同構成了信息科技外包風險管理得分的因子。
圖2 信息科技外包風險評估模型
本文通過下面的計量公式得到信息科技外包風險管理總分:
其中,Sp表示信息科技外包風險管理總得分,Sp值越大,說明信息科技外包風險越高;W(A/B)表示A類或B類風險單個風險權重,由判斷條件O1外包服務影響確定納入計算范圍的總體風險池,O1的選擇不同將導致風險總數不同,進而導致單個風險權重不同;Ri是五個風險影響領域財務影響、合規影響、資產安全影響、聲譽影響、運營影響的出現的平均次數得出的風險值;Y(A/B)n表示A類或B類風險單項關鍵考核指標得分,由判斷條件O2考核指標級別確定納入計算范圍的關鍵考核指標池。Y(A/B)n取值越大,說明單項考核指標得分越高。
根據計算最終外包風險評估結果時,銀行信息科技外包自有風險(A類)和外包商信息科技風險(B類)時α和β的權重確定方法不同,本文將信息科技外包險評估模型設計為單一權重信息科技外包風險評估模型和分層權重信息科技外包風險評估模型。
1.單一權重信息科技外包風險評估模型。在單一權重信息科技外包風險評估模型中,每個風險領域和風險因子都是用單一同樣的風險權重,α和β的值分別為A類和B類各風險因子個數占總風險因子的占比。
單一權重信息科技外包風險評估模型的優點是計算簡單,操作性較強,具有很強的實際操作價值。但也存在一定的缺點,例如存在一定的主觀性,精度不夠,導致風險因子間相對重要性得不到合理體現。
2.分層權重信息科技外包風險評估模型。分層權重信息科技外包風險評估模型主要依據層次分析法(AHP)確定各風險領域的權重。AHP法主要將目標結果分解成多個層次,通過兩兩比較下層元素對于上層元素的相對重要性,將人的主觀判斷用數量形式表達和處理以求得評估指標的權重。
本文創新性的采用了yaahp層次分析軟件,建立了分層模型,并得到每個風險領域和因子的權重(具體見表1)。
表1 風險領域權重
基于APH法的分層信息科技外包風險評估模型主要將上述風險權重加入風險評分的計算中。AHP分析法最大的優點是實現了定量與定性相結合,精度高,能準確地確定評估指標的權重,因而使評估指標間相對重要性得到合理體現,評估結果可能更精準和科學。實際外包風險管控中,商業銀行可根據自身的風險評估需求,選擇單一權重信息科技外包風險評估模型或分層信息科技外包風險評估模型。
(三)信息科技外包風險評估模型的評級說明
銀行信息科技外包自有風險與外包商信息科技風險評級分為1~5級。1級是最高評級表示銀行信息科技外包風險管理方式最有力,需要最少的監管關注。5級是最低評級,表示銀行信息科技外包風險管理方式最弱,因此需要最多的監管關注及管理層重視。根據銀行信息科技外包自有風險與外包商信息科技風險評級的1~5分評級結果,可以得到總外包風險的評估等級。
圖3 外包風險矩陣
三、外包風險評估實證研究
(一)銀行信息科技外包自有風險管理
本文針對農村金融機構、城市商業銀行、股份制商業銀行與國有商業銀行,并針對不同外包服務類型,包括駐場、非駐場集中式、非駐場獨立式與跨境外包進行模型打分和訪談測試兩個步驟來驗證銀行信息科技風險管理評估模型中銀行信息科技外包自有風險管理的合理性。
選擇某銀行的駐場式外包管理進行模型驗證,從A模型中篩選出5個風險領域、17個風險因子與40個關鍵考核指標,采用單一權重評分模型,并將A模型使用及評分方法發予該銀行的外包服務管理部門進行自評,并對37條關鍵考核指標逐一進行控制活動設計與執行層面的測試。
由于模型與測試結果的偏離度大于5%,對模型進行了修正,降低對應的風險值的同時,調整了各項關鍵考核指標的劃分。通過重復自評、驗證、調整的步驟,保證模型與實際的偏離程度始終低于容差水平5%。
(二)外包商信息科技風險管理
本文針對不同外包服務機構,包括重點外包服務機構和非重點外包服務機構,并針對不同外包服務類型,包括應用系統托管、基礎設施托管、系統軟硬件平臺維護、開發與人力外包、咨詢服務類進行模型打分和訪談測試兩個步驟來驗證銀行信息科技風險管理評估模型中外包商信息科技風險管理的合理性。
在模型矩陣中篩選出“應用系統托管”適用的9個風險領域,31個風險因子,56條關鍵考核指標,選擇單一權重評分模型,并將模型使用及評分方法發予該重點外包服務機構的外包服務管理部門進行自評。并對55條關鍵考核指標逐一進行控制活動設計與執行層面的測試。
由于模型與測試結果的偏離度大于5%,對模型進行了修正,降低對應的風險值的同時,調整了各項關鍵考核指標的劃分通過重復自評、驗證、調整的步驟,保證模型與實際的偏離程度始終低于容差水平5%。
四、商業銀行信息科技外包風險防范的建議
綜合上述商業銀行外包風險評估模型和實證研究結果,本文總結了進一步防范商業銀行信息科技外包風險的建議,主要包括:
一是審慎選擇信息科技外包項目。商業銀行在確定是否外包時,應綜合考慮業務需求、預期投入和未來成本效益分析,根據銀行業務未來的發展方向和戰略,選擇外包項目。
二是建立嚴格的外包商準入評估機制。建議商業銀行建立科學的外包商準入評估機制和方法,在準入前、項目過程和結項時對外包商做出科學的評價,并建立外包商信息庫,更新外包商內部評級至信息庫,作為下次外包服務的評價要素之一。
三是實施貫穿外包項目全生命周期的管理。建立外包項目的管理小組,明確管理小組的成員和職責,該管理小組監控外包項目進度,實施外包項目全生命周期的管理。并且此外包項目的管理小組需要真正的在每個里程碑及時監控和反饋項目情況。
四是建立信息科技外包項目的防火墻。需要建立真正的風險防火墻,分析傳導范圍,采取適當的控制措施,將風險傳導范圍控制在最小化的信息傳遞之內。
五是通過損失事件庫的積累,科學評定風險發生的可能性和預計損失,實現外包風險的監控和計量。并根據每項業務的外包的依賴度,依據業務重要性水平,實現相關風險損失準備金的計提。
參考文獻
[1]張金隆,叢國棟,陳濤.《基于交易成本理論的IT外包風險控制策略研究綜述》.管理學報,2009年.
[2]郭亮.《商業銀行IT外包項目風險評估的指標體系及方法》.上海交通大學(碩士論文),2012年.
[3]吳文忠.《IT外包模式選擇與風險管控》.金融電子化,2011年.
[關鍵詞]全面風險管理 風險組織體系 風險管理文化
風險管理是企業安全管理工作的重要內容,關系到企業發展。醫院是國民經濟重要的基礎性行業,在經濟發展過程中起著重要的作用。同時具有技術要求高、涉及范圍廣、系統復雜、維護費用高等特點,因此醫院是一個風險性較高的行業。
全面風險管理作為一種現代企業管理手段,是企業安全運行的重要保障,建立完善的全面風險管理體系有利于促進企業健康發展。
一、全面風險管理概述
全面風險管理是企業全員參與,應用于企業戰略制定和企業生產經營活動,用以確認可能影響企業的潛在事項并在其風險偏好范圍內管理風險,對企業目標的實現提供合理的保證。[1]
構建醫院全面風險管理體系,需要立足于醫院的實際,分析醫院風險管理環境、管理目標,對醫院風險進行識別、評估,建立風險防控和監督機制,完善風險組織管理、強化文化管理等風險管理保障體系。其中核心是風險的防范和控制。
二、醫院全面風險識別、評估與控制
(1)風險控制環境
風險環境分析是進行全面風險管理的基礎。控制環境包括:員工誠信度和價值觀;員工的能力;醫院管理文化和管理理念;醫院組織構架;權責分配、人力資源政策等。控制環境對醫院目標設立、風險評估和風險控制有重要作用。它影響著員工的控制意識,是醫院發展的基礎。
(2)風險識別
綜合性醫院的經營活動復雜,各種風險相互聯系、相互作用。醫院的經營活動涉及到內外兩方面的因素,因此風險可分為醫院的內部風險和外部風險。
醫院內部風險主要有醫療服務風險(醫療事故、醫患關系風險等)、財務風險、組織設置風險(包括部門設置、部門間協調不順暢等風險)、安全運行風險(設備運行、日常管理風險等)、人力資源風險、信息系統風險等。
醫院的外部風險主要有自然環境風險(自然災害)、政策法規風險(國家關于醫療機構的法律和政策風險)、行業風險(行業競爭風險)、技術風險(技術更新風險)等。
(3)風險評估
醫院風險評估是通過運用科學有效的方法,對系統中存在的風險因素導致事故的可能性和風險程度進行定性和定量的描述,確定風險級別,進而實施風險預警與控制。進行評估首先要建立評估指標體系,并需要對風險進行綜合性的評價,以彌補單一定性分析或定量分析的不足。
常用的風險評價方法有安全檢查表分法、模糊綜合評估法、作業條件危險性評估法、預先危險性分析、神經網絡評估法等[2]。
2.4 風險控制
風險控制是醫院根據自身條件和外部環境,為了實現風險管理目標,在風險識別和風險評估的基礎上,確定風險管理有效標準,采用適當的風險控制措施以使風險損失最小化。常用的風險控制方法主要包括避免、預防、分散、抑制等[3]。
2.5 風險監督與改進
醫院的風險會隨著時間變化而改變,實施控制的方式也不斷改變。曾經有效的風險應對措施可能變得不太有效了。導致這些現象發生的原因可能是由于新員工的到來,醫院的培訓和監控效果的變化,或者醫院外部環境發生了變化等。面對這些變化,醫院的管理層需要判定原來風險管理是否繼續有效,也就是需要對風險管理體系進行監督和改進。
監督和改進可通過持續性的活動或獨立的評估方式進行。持續性的監督和改進是對醫院日常的、經常性的經營活動的監督和改進,是在不斷變化的環境基礎上動態地監督和改進。個別評價的頻率依賴于醫院管理者的主觀判斷。在作出判斷時,需要考慮醫院內部和外部環境變化發生的性質和程度以及相關的風險,員工的能力和經驗、持續性監督和改進的效果等問題。一般地,為保證醫院風險防控體系長期的有效性,需要將持續性的活動與獨立的評估結合起來。
三、醫院風險管理組織體系構建
為保證醫院風險管理順利實施,應建立健全包括風險管理委員會及風險管理職能部門、審計委員會及內部審計部門、法律事務部門及其他相關職能部門、業務單位的組織領導機構及其職責在內的風險管理組織體系。
四、醫院全面風險管理文化構建
在管理實踐中,對風險的全面管理,還需要構建風險管理文化。通過構建醫院風險管理文化,使全面風險管理的理念深深根植于醫院文化之中。開展全面風險文化管理,將風險意識和風險管理理念與醫院文化相融合,在整個醫院中貫徹落實風險管理精神,保障全面風險管理成功實施。
五、結語
全面風險管理作為一個現代企業管理手段,分析、開展全面風險管理,建立完善的全面風險管理體系有利于醫療行業健康發展。
參考文獻:
[1]劉寧寧,蔣文崇.電力企業全面風險管理體系構建[J].魅力中國,2011, 4.
論文關鍵詞:攻防實驗技術;風險評估;信息安全
0引言
網絡的開放性、黑客的攻擊和系統本身的缺陷導致網絡內的計算機并不安全,網絡入侵也經常發生,往往造成嚴重的后果,為了盡早恢復網絡或系統的正常運轉,降低入侵的風險成為了急待解決的問題。由于攻防實驗技術以入侵技術為前提,因此防御實驗存在著時間滯后性。攻防實驗也成螺旋狀態不斷地發展變化。本文通過對攻防技術的具體剖析來對攻防實驗的一般方法和過程進行詳細介紹。
l攻防實驗與信息安全風險評估
根據國標(GB/T20984—2007信息安全技術信息安全風險評估規范》,信息安全風險評估被解釋為“依據有關信息安全技術與管理標準,對信息系統及由其處理、傳輸和存儲的西悉尼的保密性、完整性和可用性等安全屙陸進行評價的過程。它要評估資產面臨的威脅以及威脅利用脆弱性導致安全事件的可能性,并結合安全事件所涉及的資產價值來判斷安全事件一旦發生對組織造成的影響”。風險評估是對信息系統的安全屬性進行評估,風險級別和評估范圍決定評估的方式和方法,而評估方式和方法決定評估的手段。攻防實驗技術是對風險評估工作的有效技術補充,是對系統保密性、完整性和可用性的系統評估分析手段,可降低安全事件發生的可能性,對修訂安全策略、加強調整預防、監控和應急有著不可忽視的作用。
2攻防實驗的目標和任務
在攻擊和防御的對抗中,攻擊方通常掌握著主動性,而防御方必須具備能夠和攻擊方相抗衡的智能。因此,攻防實驗通常需要達到的目標是發現信息系統的脆弱性,提高信息系統的防御能力和信息系統的入侵響應能力,盡可能有效排除信息系統的威脅。
攻防實驗的第一任務是掌握先進的入侵方法和手段,發現信息系統的潛在脆弱性,分析攻擊的規律及軌跡,為反向工程提供實踐依據。很多情況下,信息系統的入侵是由于管理員不知道黑客攻擊的入侵手段和系統的潛在脆弱性,不能夠快速反應。攻防實驗的第二任務是收集積累準確的數據資料,為安全策略分析和系統改進提供依據。在攻防實驗的過程中,要注意記錄和保留相關的原始資料,為下一階段的分析和總結提供良好的基礎。
3攻防實驗的主要技術
為了井然有序地進行攻防實驗,攻防實驗可以被分成人侵技術和防御技術。兩者相輔相成,但防御技術比入侵技術發展滯后。入侵技術又可分為信息搜集技術和攻擊技術,防御技術可分為監控技術、檢測技術和蜜罐技術。通過對攻防實驗的準確定位,達到讓攻防實驗可以較真實較全面地模擬網絡人侵。同時依據信息安全風險評估規范,可以有針對性地對某類入侵進行詳細的資料搜集和數據分析。
3.1入侵技術
基于對網絡攻擊行為過程性的認識,人侵技術以入侵目標網絡為主要目的,通常以入侵為主要手段,以盜取信息或破壞系統為主要目的。對其進行分類研究,對于了解攻擊的本質以更準確地對其進行檢測和響應具有重要的意義。通常,入侵以信息搜集為前導,通過系統所暴露的脆弱性進行相應的入侵操作,可分為攻擊技術和信息利用技術。
攻擊技術包括攻擊前期的信息搜集技術和后期的攻擊技術。黑客的入侵過程通常在對目標主機的掃描探測后,針對系統所暴露的脆弱性和漏洞,對系統進行入侵操作。
3.1.1信息搜集技術
信息搜集技術通常包括掃描技術和網絡嗅探技術。掃描技術是一種檢測本地主機或遠程主機安全性的程序。根據網絡掃描的階段性特征,可分為主機掃描技術、端口掃描技術以及漏洞掃描技術。其中端口掃描和漏洞掃描是網絡掃描的核心。主機掃描的目的是確認目標網絡上的主機是否處于啟動狀態及其主機的相關信息。端口掃描最大的作用是提供目標主機的使用端口清單。漏洞掃描則建立在端口掃描的基礎之上,主要通過基于漏洞庫的匹配檢測方法或模擬攻擊的方法來檢查目標主機是否存在漏洞。此外,信息搜集型攻擊還包括會話劫持、信息服務利用、電磁泄漏技術等。
網絡嗅探技術主要指通過截獲網絡上傳輸的數據流來對目標網絡進行分析的技術。網絡嗅探技術要優于主要掃描技術,因為網絡嗅探技術不易被發現,讓管理員難以察覺。而嗅探的設備可以是軟件,也可以是硬件。
3.1.2攻擊技術
在攻擊階段,黑客利用信息搜集技術搜集來的信息,會采取攻擊技術對目標進行攻擊。攻擊技術的種類很多,大致可分為拒絕服務攻擊、信息利用攻擊和惡意代碼攻擊。
拒絕服務DoS攻擊指利用網絡協議的缺陷或耗盡被攻擊對象的資源,目的是讓目標計算機或網絡無法提供正常的服務或資源訪問,使目標計算機停止響應甚至崩潰,而在此攻擊中并不入侵目標設備。分布式拒絕服務DDoS攻擊是在傳統的DoS攻擊基礎之上產生的一類攻擊方式。分布式拒絕服務DDoS通過占領傀儡機來實施,將多個計算機聯合起來作為攻擊平臺,對一個或多個目標發動DoS攻擊,從而成倍地提高拒絕服務攻擊的威力。
信息利用攻擊指并不對目標主機進行破壞,而是盜取或偽造存儲的重要信息。信息利用攻擊一般是通過協議缺陷,以冒充安全域欺騙主機的行為。
目前,一般分為欺騙攻擊和偽造攻擊兩種。惡意代碼攻擊包括病毒和木馬攻擊。病毒是一種可以通過自我復制來感染其它程序的程序,并且具有傳染性和不可預見性。木馬程序是一種暗含某種功能的程序,內部含有隱蔽代碼,其實質是通過隱藏端口進行通信,因此木馬一般是C/S結構的。黑客以病毒攻擊的方式對系統進行破壞,以木馬的方式對系統留下后門,以便可以隨時進人系統,對系統的權限和配置信息進行更改或破壞。
3.2防御技術
基于對入侵技術的識別,防御技術以應對入侵技術而產生。目前,防御技術以彌補漏洞為主,輔以檢測設備,并設置防火墻等防護軟件。通常防御技術包括監控技術、檢測技術和蜜罐技術。
3.2.1監控技術
監控技術即監督控制技術,主要對目標主機或網絡進行實時監控。監控以監控網絡狀態為主,通過數據包的收發,防止信息探測,也可對主機內進程監控,查看主機異常進程。通常,監控技術又可分為軟監控和硬監控兩種。軟監控指通過軟件來實現對目標網絡實現監控的目的。如網絡監控軟件就是典型的軟監控例子。而硬監控技術指通過硬件的方式來實現對目標網絡實現監控的目的。物理隔離技術和人侵防護設備是硬監控技術的體現。監控技術主要針對人侵技術中的信息搜集技術,防止黑客對網絡的信息搜集,也可阻止惡意代碼對網絡的攻擊。
3.2。2檢測技術
檢測技術是近年來發展起來的一種防范技術,其作用是監控網絡和計算機系統是否出現被人侵或濫用的征兆。核心是依照一定的安全策略,對網絡、系統的運行狀況進行監視,盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果,以保證網絡系統資源的機密性、完整性和可用性。檢測技術不同于監控技術,檢測的第一要素是監聽,因此,只要通過監視來自網絡區域的訪問流量和需要進行網絡報文的統計。
3.2.3蜜罐
蜜罐是一種安全資源,其價值在于被掃描、攻擊和攻陷。這個定義表明蜜罐并無其他實際作用,因此所有流人/流出蜜罐的網絡流量都可能預示了掃描、攻擊和攻陷。而蜜罐的核心價值就在于對這些攻擊活動進行監視、檢測和分析。
蜜罐技術的優點包括:收集數據的保真度高,漏報率和誤報率較低;使用蜜罐技術能夠收集到新的攻擊工具和攻擊方法;不需要大量的資金投入;網絡管理人員能夠比較容易掌握。蜜罐技術也存在著一些缺陷,主要有需要較多的時間和精力投入;只能對針對蜜罐的攻擊行為進行監視和分析;蜜罐技術不能直接防護有漏洞的信息系統;部署蜜罐會帶來一定的安全風險。
蜜罐可以按照部署目的分為產品型蜜罐和研究型蜜罐兩類。研究型蜜罐則是用于對黑客攻擊的捕獲和分析,通過部署研究型蜜罐,對黑客攻擊進行反向追蹤和分析,能夠捕獲黑客所使用的攻擊工具及攻擊方法,甚至能夠監聽到黑客之間的交談,從而掌握他們的心理狀態等信息。產品型蜜罐的目的是為網絡提供安全保護,幫助管理員對攻擊做出及時正確的響應等功能。產品型蜜罐一般容易部署,且不需要投人大量的工作。
論文摘要:目前來看,信息脆性風險已經成為網絡通信系統亟待解決的問題。而要想更好解決網絡通信系統信息脆性風險,就需要采取有效的管理方法對信息脆性風險進行分析,以保證網絡通信系統正常運行,從而保證不同領域信息安全。本文主要從網絡通信系統信息脆性風險概況、網絡通信系統與脆性環境之間的聯系、網絡通信系統信息脆性風險評估等方面出發,對網絡通信系統的信息脆性風險評估進行分析。
隨著網通通信系統不斷的發展,不僅其規模越來越大,其復雜程度也越來越高,系統之間的聯系也逐漸密切起來。隨之而來系統的不確定性也越來越大,而系統的復雜性使得網絡通信系統易受環境的不確定性影響,從而使系統出現脆性風險,甚至給環境帶來一定影響。在這種情況下,有必要基于網絡系統脆性風險建立脆性風險評估體系,以減少不必要的網絡脆性風險。如何更好的對網絡通信系統信息脆性風險評估進行分析,已經成為相關部門值得思索的事情。
一、網絡通信系統信息脆性風險概況
(一)脆性定義
脆性是系統受到外界打擊時而產生的崩潰,這種崩潰在脆性產生之前并沒有相應征兆。從某種意義上來講,脆性是其系統自身特有屬性,其是一種狀態轉化成另一種狀態時才能顯現出來的,一旦顯現出來,就會給系統造成巨大的損失。
(二)脆性特點
脆性是伴隨著復雜系統而存在的,基于脆性定義,系統脆性特點進行分析。現在網絡通信系統中脆性不能明顯的顯現出來,只有當其受到強烈干擾之后,才能顯現出來,并將脆性隨時激發出來。隨著網通通信系統不斷的發展,其脆性可能隨時被激發。因此,網絡通信系統信息脆性問題是具有隱藏性的;因網絡通信系統容易受復雜系統干擾,當其受一定條件限制時,其系統有脆性聯系的系統就會受脆性的影響而產生崩潰;因網絡通信系統進化方式較多,再加上受外界環境的影響,使其表現結果具有多樣性,這也使得狀態脆性變化形式更加多樣化,系統脆性損失也變得多樣化。在系統脆性的影響下,系統工作狀態會呈現出混亂的狀態,其脆性持續一段時間后會產生不同程度的危害性,甚至影響社會秩序的有序進行;網絡通信系統子系統之間常會因為熵相互爭奪,而使其熵值降低,從而使網絡通信系統信息出現非合作博弈。此外,網絡通信系統脆性也具有連鎖性、延時性和整合性。網絡通信系統在實際運行過程中一旦受外界干擾,其系統脆性就會隨之產生逐漸崩潰,但是系統崩潰是可以延時一段時間的,畢竟系統有一定的開放性和組織性。再加上脆性是具有一定屬性的,在對系統脆性進行研究時,需要全局分析。
二、網絡通信系統與脆性環境之間的聯系
在對網絡通信系統信息脆性風險進行分析時,有必要對系統和脆性環境之間的聯系進行分析。系統脆性風向與系統漏洞相似的,是風險客觀存在的條件,而威脅和攻擊則是風險的主觀條件。不管是主管條件還是客觀條件,主客觀條件在時間相同條件下,其風險對整個通信系統安全是有一定破壞性的,甚至使整個通信系統處于不穩定且不安全狀態中。一般系統與外部環境是有一定聯系的,不僅相互影響,同時也存在一定外部規定性。也就是系統必須在特定的環境下進行,即便在環境因子不用情況下,其也會以一種特殊的方式將其組合在一起,從而進行不同的系統結構性質。但是系統實際運行過程中,會呈現一種特性甚至產生與環境相適應趨勢。一旦環境發生變化,其系統涌和環境也有一定依存關系。而正是因為系統和脆性環境存在上述關系,可以將系統分為封閉式和開放式脆性系統兩種。封閉式脆性系統在系統運行過程中,其與外部環境在信息和能量等方面沒有相應溝通和交流的,而開放式脆性系統則與外部環境存有信息、能量及相關方面的溝通。從整體上來看,開放式脆性系統是易受脆性環境影響的,其脆性風險也相對較高。理論上封閉系統的風險性雖然低于開放性脆性系統,但是要想真正的降低系統風險并保證其安全,還需要最大限度的降低系統開放性,畢竟系統是變化的,而系統變化過程中是需要相應信息、能量及相關因素支持的。隨著網絡變化不斷的發展,人們生產、生活對網絡的依賴性越來越大,這就使得網絡系統脆性安全變得越來越重要。這就需要對網絡通信系統信息脆性風險進行相應分析并評估。
三、網絡通信系統信息脆性風險評估
對網絡通信系統脆性風險進行評估,除了了解系統信息脆性風險概況、與外部環境關系外,還應在上述內容基礎上建立網絡通信系統信息脆性風險結構模型,以便進一步對系統脆性風險進行評估。脆性系統受內外因的影響而易引發脆性事件。一般脆性事件是由不同因素構成的,一旦這些因素某一刻在系統上發揮作用,就可能引發一系列崩潰事件。而這一時刻內所有脆性事件構成的系統脆性事件而他將其制成脆性空間,也就是我們常說的系統脆性環境。當這些脆性事件在系統上產生作用,就會使脆性發生變化,甚至使其概率處于崩潰地步。而通信系統脆性風險結構就是在此基礎上通過對脆性事件的可變性和不確定性的分析構建的。
脆性結構一般可分為脆性事件和脆性因子。脆性事件作為脆性環境的直接構成要素,其不僅具有重復性多邊形,同時也具有難以預測性。而脆性因子則存在于脆性事件中,其具有隱藏性、穩定性和可預測性。因此,對脆性環境分析,可以基于脆性因子進行分析。脆性事件在某一時間內受外部環境干擾后會出現系統崩潰事件集。在實際分析中,可以通過假設空間系統n個脆性事件(I1,I2,……In),求出發生概率。正常情況下,當系統概率超過零0時,系統崩潰概率將會在0-1之間,在I1作用下,系統的脆性風險期望則為E[RI2]=Pipi,(i=1,2……,n),脆性風險則為E[RIi]=E[RIi]+…+E[RIn]。而構建這種線性疊加需要所有脆性事件來保證,但是在實際應用過程中,不同脆性事件是有多種聯系的,這就加大了對具體脆性事件分析和預測難度,更無法對耦合關系進行分析和處理。在這種情況下,就應該對新對系統脆性事件進行分析,并辨別出脆性事件中存在的因子,再以不同脆性事件因子危害性為依據,對影響網絡通信系統崩潰程度進行分析,以更好的得到脆性風險結果。為了使網絡通信系統信息脆性風險評估更加準確,還需要對系統信息脆性熵進行進一步分析。熵作為度量脆性事件集,可以以脆性事件集空間概率形式來對平均函數進行分析。因脆性事件空間中的概率都有一定的風險,使得多有空間脆性事件都存有一定概率風險,再加上熵度量值是由脆性事件集空間概率決定的,使得熵成為整體結構的唯一決定。這樣在實際應用過程中,就可以通過熵來減少脆性事件的不確定性,以降低脆性風險。
四、結束語
計算機網絡通信技術不斷的發展,網絡通信技術向自動化、智能化水平方向發展,并被人們廣泛應用在生活和社會不同領域中。而在網絡通信系統運行過程中,其卻常受內外環境的影響而出現網絡系統信息脆性問題。因此,人們對計算機通信網絡同風險越來越重視,相應網絡通信系統研究人員為了更好解決上述問題,開始對網絡系統信息脆性問題進行了上述研究。但隨著時代的發展,網絡通信系統信息脆性問題將會有新的體現,仍需要相應研究人員對網絡通信系統脆性問題進行深入研究。
參考文獻:
[1]陳為化,江全元,曹一家.基于風險理論的復雜 電力系統脆弱性評估[J].電網技術,2009,4
[2]薛萍,武俊峰,劉洋.網絡通信系統的信息脆性結構的研究[J].計算機科學,2011,2
關鍵詞:基層央行 風險導向審計 風險管理
一、風險導向審計和風險管理的含義
風險導向審計是建立在會計賬項審計和制度基礎審計基礎之上的一種新的審計模式,是以被審計單位的風險評估為基礎,審計人員充分了解、分析、判斷被審計單位的各種風險及其風險程度,并根據量化的風險水平確定相應的審計策略,重點關注高風險點的實質性測試,進而將審計的剩余風險降低至最低水平。
早在2005年,我國內部審計協會第三批內部審計具體準則,將風險管理審計納入內部審計準則體系中。該批準則的和實施,足見我國的內部審計已發展到了風險導向階段。從1999年央行成立獨立內審機構至今出臺20多項審計制度來規范和發展內審工作,中國人民銀行取得了很好的成績,但是十幾年的發展中央行一直側重以監督者的身份來執行內部審計工作,無法高效的防范各種風險。隨著人民銀行職能的擴展,信息技術、電子技術應用日益廣泛,金融風險不斷加劇,傳統賬項審計和制度審計理論與方法已不能完全適應內審工作發展和需求,為改變這種狀態各基層央行正積極向風險導向審計轉型。
風險管理當中包括了對風險的量度、評估和應變策略。理想的風險管理,是一連串排好優先次序的過程,使當中的可以引致最大損失及最可能發生的事情優先處理、而相對風險較低的事情則押后處理。風險管理就是通過風險的識別、預測和衡量、選擇有效的手段,以盡可能降低成本,有計劃地處理風險,以獲得企業安全生產的經濟保障。這就要求企業應對可能發生的風險進行識別,預測各種風險發生后造成的消極影響,使生產能夠持續進行。可見,風險的識別、風險的預測和風險的處理是風險管理的主要步驟。
對于承擔著貨幣發行、支付清算和經理國庫等金融服務職能,又承擔著維護國家金融穩定職責的人民銀行而言,在職責運行中同樣面臨著不確定性和內部業務運行的風險隱患。業務引發風險所造成的社會影響力和破壞力是極為嚴重的。基層央行的風險概括來說主要包括制度風險、操作風險、管理風險和道德風險四個方面。認清央行風險所在,是央行風險管理的前提和基礎。
二、基層央行風險導向審計對風險管理的作用
(一)為管理者提供進行風險管理咨詢服務和合理審計意見
完善的風險管理系統不僅需要建立從上而下的組織機構和人員,更需要這些專職人員積極有效的收集風險信息、進行風險評估、應對風險、監督和考核等等,高質量完成各個關鍵環節的工作,形成全過程管理,構建從不同級別風險管理到不同業務統一管理的管控模式和管理體系。風險導向審計的有效開展正恰好可以從高風險領域出發,針對性的提出合理審計意見,提供管理者咨詢服務,從而幫助基層央行優化風險管理的內控流程,建立健全風險管理體系。
(二)強化央行風險管理意識,促進央行風險管理手段的發展
自金融危機以來,央行自身的風險管理也越來越得到大家的重視。但現實狀況是其目前尚處于初步開展階段,存在的問題主要表現在:一是對風險的認識不足,尚未形成完善的風險管理理念;二是央行尚未建立完善的風險管理體質、制度體系;三是央行風險管理的手段及方法迫切需要更新和發展。央行內部審計部門積極探索風險導向審計的研究應用,對基層央行形成更加濃烈的風險管理文化氛圍起著不可磨滅的作用。同時,引進先進的風險評估模型量化央行業務風險,并在風險識別和評估方面設計了一些軟件系統,將定量分析與定性分析相結合,大大促進了央行風險管理手段的發展,有利于建立健全央行的風險管理體系。
(三)大大提高監督管理的前瞻性和有效性
人民銀行通過對被審計單位內控制度和風險管理狀況進行分析和評價,不僅能夠發現內控管理和業務操作過程中存在的問題和漏洞,更能夠客觀地分析問題和漏洞的產生給實現工作目標帶來的影響,從而提出完善內控的措施和管理監督重點,促使被審計單位在日常監督管理中做到有的放矢,重點監控高風險業務領域和關鍵業務環節,突出高風險控制重點,減少盲目性,大大提高監督管理的前瞻性和有效性。
三、基層央行運用風險導向審計的途徑
風險導向審計在風險管理中的運用頗多,如以風險管理為引導,制定年度審計工作計劃,確定審計項目、在領導干部履職審計和離任審計中運用風險導向審計、在后續跟蹤審計中運用風險導向審計等等。以審計工作開展順序為線索,可以劃分為以下風險導向審計準備、實施和出具報告三個階段的運用。
風險管理需要識別風險,關鍵需要識別重大風險,而風險導向審計準備階段剛好可以幫風險管理識別和評估風險。在風險導向審計準備階段,考慮到風險管理的需求,在確定年度審計計劃審計項目時,首先會對風險進行定性分析,識別有效風險,然后會對風險進行定量評估,確定各處室涉險業務的風險程度,將各個風險水平量化。風險管理著根據定性和定量相結合評估后的風險大小識別和控制風險。
風險導向審計實施階段參與風險管理實際在于對各個部門開展內部控制狀況的審計和評價。風險管理的基礎和前提之一全面有效的內部控制。央行風險導向審計實施階段對各個部門內部控制環境、內部控制活動、信息反饋、監督反映等內容進行審計和評價,查找疏漏。
在編制審計報告時應對風險管理狀況進行評價,在報告中充分揭示風險控制中的薄弱環節和潛在風險。尋找消除風險根源的可能途徑,及時提出防范風險的有效建議。尤其是對需要通過改進內部管理、健全內控制度來進行風險管理的內容提出建設性的意見;并可進一步提出全面防范或控制潛在風險的具體建議,為有效控制風險提供依據。
四、現階段基層央行風險導向審計運用于風險管理中存在的問題
(一)風險意識淡薄,對風險導向審計認識不夠
一方面,很多基層央行缺乏風險管理意識,沒有積極地進行風險管理工作。其主要表現在兩個方面:(1)風險管理活動往往是暫時的或間斷性的,意識到了就進行管理,事后則放在一邊,置之不理;(2)缺乏對風險進行定期復核和再評估,降低了央行適應環境變化、管理和規避風險的能力。另一方面,內部審計還是處于查錯糾弊的合規性審計為主,在風險管理與控制的理念、制度、方法和手段等方面,還停留在一個較低的認識層次上,對風險導向審計的認識和運用遠遠不夠。
(二)風險導向審計指引和方法不統一
目前,人民銀行對風險導向審計尚未制定統一、完整、行之有效的指導意見或相關辦法,風險導向審計的程序、方法、工具和模型還沒有建立起來。一些支行雖然積極研究和運用風險導向審計,但是沒有統一的標準而只是根據各行情況經行處理,導致標準不一,不利于風險導向審計的有效開展。
(三)數據收集困難,輔助設備落后
風險導向審計要求內審人員必須充分了解組織內外部環境和各項業務管理的控制系統,執行風險評估程序。目前人民銀行雖然已建立了許多管理信息系統,但由于各系統在設計開發過程中存在限制,使得有關的基本信息難以實現共享,無法為內審部風險評估提供準確的基礎信息。另外,隨著形勢和業務的發展,管理辦法及風險狀況發生了變化,內審部門未能及時跟進了解,影響了風險評估和實質性測試。
(四)內審人員缺乏開展風險導向審計所必須的能力和經驗
開展風險評估和內部控制評價需要審計人員熟悉組織各項業務和管理,但目前人民銀行內審人員的知識和業務比較單一,復合型人才少,缺乏對風險管理方面的專業知識和執業經驗,對風險識別和判斷能力不夠,難以實現對人民銀行風險管理、控制和治理過程進行傘面、正確的評價。
五、研究對策
(一)轉變觀念,提高風險管理意識
首先要求管理者、部門負責人徹底轉變觀念、增強風險管理意識、把風險導向審計擺在重要位置,把有效控制風險隱患作為根本目標,加強和改進內部管理,防范內部風險和責任事故,保障各類資源有效利用、各項資產安全完整以及各類業務和管理信息真實可靠,促使各項工作規范、有序、高效運行,確保基層央行依法、有效履行職責。
(二)研究風險導向審計模式,制定風險導向審計指引
要借鑒國際審計準則和其他西方發達國家開展風險導向審計的經驗,制定適合我國人民銀行特點的風險導向審計指引和操作程序,明確風險導向審計的目標、內容、方法和步驟。統一評價標準,指導人民銀行各分支機構開展風險導向審計。
(三)注重技術和管理創新
為風險導向審計提供技術和信息支撐。一是要進一步完善網絡信息系統,建立網絡化信息系統資源共享機制,為人民銀行上下級機構以及各部門之間進行信息交流搭建平臺,保證風險信息在人民銀行內部傳遞暢通;二是要積極推進風險管理工具的開發利用,充分運用計算機軟件進行分析性測試、統計抽樣和風險評估,進行風險預警,提出風險控制統計抽樣和風險評估,進行風險預警,提出風險控制和防范的對策;三是要運用計算機建立風險檔案資料庫,儲存人民銀行的風險評估資料、規章制度、歷次審計檢查的報告以及業務運行和管理活動的相關歷史資料,為內審部門開展風險評估提供基礎。
(四)培養高素質的審計人員
審計師執行獨立審計或提供咨詢服務,專業性和技術性要求很高,客觀上需要從業人員必須具備較高的業務素質。風險導向審計的實施,要求審計人員具有很高的分析問題及解決問題的能力,應用職業的判斷,保持應有的謹慎和關注。為此,應該培養審計人員對影響宏觀環境的把握能力,培養其統計、分析等綜合能力,提高審計人員的綜合素質。
參考論文:
【1】劉笑霞,李明輝.不同主體在現代企業風險管理中的作用與責任【J】審計與經濟研究。2007,(4).
【2】曾蒙.我國開展風險導向審計應注意的幾個問題【J】.財會月刊,2003,(8).
