首页 > 精品范文 > 企业安全风险评估报告
时间:2022-10-22 09:18:07
序论:写作是一种深度的自我表达。它要求我们深入探索自己的思想和情感,挖掘那些隐藏在内心深处的真相,好投稿为您带来了七篇企业安全风险评估报告范文,愿它们成为您写作过程中的灵感催化剂,助力您的创作。
第一章
总则
第一条
为加强大洼恒丰村镇银行风险管理,及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险承受度和风险应对策略,根据有关法律法规和《企业内部控制基本规范》等的有关规定,结合我行实际情况,制订本制度。
第二条
本制度所称风险是指我行经营活动中与我行实现内部控制目标相关的风险,包括信息风险、财务风险、市场风险、运营风险和法律风险等。
本制度所称风险评估是指通过对基于事实的信息进行分析,就如何处理特定风险以及如何选择风险应对策略进行科学决策。
第二章
组织机构及职责
第三条
各部门为我行风险评估管理工作的责任机构,具体职责:
(一)对我行经营活动中的风险进行识别;
(二)
对识别的风险进行评估,辨识评估出风险等级并将中、高风险以书面形式上报我行管理层,上报内容应包括:风险发生地、发生原因、可能造成的损失和影响、拟采取的应对措施等。
(三)
执行审批后的风险应对预案,并及时反馈风险的应对、解决结果;
(四)
对识别的风险进行监控,发生变化时重新评估,并根据新辨识评估的风险等级进行相应的处理;
(五)
年中、年度对风险评估管理工作进行总结。
第四条
我行企划部门为我行风险评估管理工作的组织机构,具体职责:
(一)负责制定我行的风险评估方案;
(二)负责组建风险评估工作小组;
(三)负责审核风险清单、应对预案;
(四)拟定我行风险评估报告,上报我行管理层。
(五)负责建立经营环境监控体系,切实监控并记录内、外部经营环境和条件的变化,以修正风险识别与评估。
(六)负责建立风险预警指标体系,要求各具体部门定期提供数据,进行指标分析;
对于超过风险预警值的指标,应确定相应的整改措施。
第五条
财务部门的风险评估
(一)负责建立流程识别和应对会计法规、准则、制度的变化,评估对会计信息的影响。
(二)负责建立沟通渠道和流程参与我行业务操作流程的变化,评估对会计核算的影响。
第六条
我行管理层主要职责为:
(一)审定我行各部门风险管理工作职责;
(二)批准风险应对预案;
(三)研究、确定我行重大风险事项及应对预案;
(四)审定内部审计部门提交的我行风险管理方面的报告,并报董事会审议。
第七条
董事会负责审议我行管理层提交的我行风险评估报告报告,批准风险管理其他重大事项。
第三章
风险评估的频率
第八条
风险评估每年至少进行一次,并根据实际需要增加评估的频率。
第九条
当出现下述情况时,应考虑重新进行风险评估:
(一)企业经营模式发生重大变动;
(二)企业所使用的信息技术发生重大变动;
(三)关键人员变动;
(四)企业所适用的会计准则发生重大变动;
(五)购并的发生、金融工具的使用等等涉及到复杂的会计处理要求的事项发生;
(六)其他。
第四章
控制目标的设定和传达
第十条
企业董事会应当按照战略目标,设定相关的经营目标、财务报告目标、合规性目标与资产安全完整目标,并根据设定的目标合理确定企业整体风险承受能力和具体业务层次上的可接受的风险水平。
第十一条
我行董事会应定期更新和修正我行的战略目标、经营目标、风险管理目标;
第十二条
我行管理层应向各部门清晰传达了我行的战略目标、经营目标和风险管理目标(如通过工作准备会等),并进行目标分解。
第十三条
我行企划部负责风险评估方案的制订,风险评估方案须经我行总经理办公会审批后执行,风险评估工作由企划部组建风险评估小组负责风险评估的具体工作。
第五章
风险识别
第十四条
我行各部门应当根据风险评估方案的要求,全面系统持续地收集相关信息,结合实际情况,及时进行风险评估,准确识别与实现控制目标相关的内部风险和外部风险。
第十五条
我行各部门在进行风险识别时,可以采取座谈讨论、问卷调查、案例分析、咨询专业机构意见等方法识别相关的风险因素,特别应注意总结、吸取企业过去的经验教训和同行业的经验教训,加强对高危性、多发性风险因素的关注。
第十六条
各部门及子我行应广泛、持续不断地收集与本我行风险和风险管理相关的内外部信息,包括历史数据和未来预测。
第十七条
我行识别内部风险,应当关注下列因素:
1.董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。
2.组织机构、经营方式、资产管理、业务流程等管理因素。
3.研究开发、技术投入、信息技术运用等自主创新因素。
4.财务状况、经营成果、现金流量等财务因素。
5.营运安全、员工健康、环境保护等安全环保因素。
6.其他有关内部风险因素。
第十八条
我行识别外部风险,应当关注下列因素:
1.经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。
2.法律法规、监管要求等法律因素。
3.安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。
4.技术进步、工艺改进等科学技术因素。
5.自然灾害、环境状况等自然环境因素。
6.其他有关外部风险因素。
第六章
风险分析
第十九条
我行各部门应当针对已识别的风险因素,从风险发生的可能性和影响程度两个方面进行分析。企业应当根据实际情况,针对不同的风险类别确定科学合理的定性、定量分析标准。具体如下:
表一:风险发生的可能性
程度
描述
说明
I
大致确定
事件可能在多数情况下发生
II
可能
事件有时可能发生
III
可能性不高
事件只在少数情况下可能发生
IV
罕见
事件仅在很少的情况下发生
V
极不可能
事件极少的情况下发生
表二:
风险的后果或影响
程度
描述
说明
1
微不足道
没有经济损失
2
轻微
轻微经济损失
3
中度
可以得到控制,经济损失不大
4
高度
经济损失较大
5
灾难性
经济损失巨大
第二十条
企业应当根据风险分析的结果,依据风险的重要性水平,运用专业判断,按照风险发生的可能性大小及其对企业影响的严重程度进行风险排序,确定应当重点关注的重要风险。
风险程度定性分析表
可能性
后果
微不足道
1
轻微
2
中度
3
高度
4
灾难性
5
大致确定
I
C
C
D
E
E
可能
II
B
C
C
D
E
可能性不高
III
A
B
C
D
E
罕见
IV
A
A
B
C
D
极不可能
V
A
A
B
C
C
注:
E
=
极高;要立刻停止有关工作,直到风险减低。在风险减低前有关工作须完全禁止进行。
D
=
高风险;要停止有关工作,直到风险减低。如有关工作现正在进行中,须提供有效监控及紧急应变程序。
C
=
中等风险;须规定有关管理职责及指引把危害控制,或在可行下进一步减低风险,如有关风险可能产生严重的危害,应作进一步危害评估及加强控制。
B
=
可接受的风险;按正常运作程序管理,在不影响成本下可作进一步改善。
A
=
微不足道的风险;无须作任何行动,按惯常运作。
第七章
风险汇总及应对预案
第二十一条
企业各部门应当根据风险分析情况,结合风险成因、企业整体风险承受能力和具体业务层次上的可接受风险水平,确定风险应对策略。风险应对策略主要包括风险回避、风险承担、风险管理和风险分担经营。
第二十二条
我行各部门应根据风险分析的结果编制风险清单,并制订相应的应对预案,风险清单、应对预案须报我行风险评估工作小组审核后,报总经理办公会审批。
第八章
风险评估报告及执行
第二十三条
我行风险评估工作小组负责编制风险评估报告,风险评估报告经我行总经理办公会审核后,报我行董事会审议。
第二十四条
风险评估报告应包括以下内容:1、风险评估的范围;2、风险评估的方法;3、风险清单;4、风险应对预案;
第二十五条
各部门应根据董事会批准的风险评估报告进行实施,对风险应对预案的执行情况进行实时监控,并及时反馈风险应对、解决的执行情况。
第二十六条
内部审计部门(或协同风险管理部门或小组)负责定期或不定期检查具体部门风险控制措施的实施、整改情况,形成检查记录。
第九章
附则
第二十七条
本制度未尽事宜,按国家有关法律、法规和我行章程的规定执行;如与国家日后颁布的法律、法规或经合法程序修改后的我行章程相抵触时,按国家有关法律、法规和我行章程的规定执行,并及时修订本制度,报董事会审议通过。
第二十八条
本制度由我行董事会负责解释。
第二十九条
本制度自我行董事会审议通过之日起实施。
大洼恒丰村镇银行
二〇一五年十月十六日
—
为防御和减轻雷电灾害,保障公共安全和人民生命财产安全,依据《中华人民共和国安全生产法》、《中华人民共和国气象法》、《气象灾害防御条例》、《省气象灾害防御条例》、《防雷减灾管理办法》等法律法规,现就加强防雷安全工作通知如下:
一、加强防雷安全隐患源头治理
我市位于黄河下游、平原,地处黄河三角洲腹地,属雷电活动多发区,境内危化行业众多,易燃易爆场所点多、面广,雷电灾害造成的生产安全事故时有发生,给人民生命和财产安全带来严重威胁。因此,各级各有关部门和单位务必引起高度重视,将雷电防护列入安全生产管理工作的重要内容,结合各自实际,严格落实有关制度和措施,切实做好防雷安全工作。各级气象主管机构要严格按照《省气象灾害防御条例》、《防雷减灾管理办法》、《防雷装置设计审核和竣工验收规定》、《省雷击风险评估管理暂行规定》等规定,进一步加强对新建、改建和扩建项目雷击风险评估、防雷设计图纸审核、工程施工监督和竣工验收工作的管理,真正从源头上消除雷电安全隐患。
二、严格防雷装置安全检测工作
防雷装置年度安全检测是防雷减灾工作的基础和关键环节。各企业要按照法律法规的要求,将防雷装置检测列入年度安全管理工作计划,认真执行防雷装置定期检测制度。各单位要在雷雨季节到来之前,认真排查雷电事故隐患,积极主动向各级防雷减灾机构申报年度安全检测,积极配合检测机构做好检测工作。防雷检查检测的重点是:《建筑物防雷设计规范》中规定的一、二、三类防雷建(构)筑物及附属设施,油库、加油站、化工企业等易燃易爆场所和重点防火单位,火车站、医院、商务楼、宾馆、商场、学校等人员密集场所,电力、金融、证券、通讯、广播电视等行业和单位的调度中心、通讯基站、计算机机房等。经检测存在防雷装置隐患的单位,应当落实整改资金,严格整改时限,及时消除事故隐患。
三、切实加强雷击风险评估工作
雷击风险评估是避免防雷装置盲目设计,提高综合防雷整体效益的有力手段。各有关部门要将雷击风险评估工作纳入新建项目初步设计和可行性论证的必备条件之一,建设单位或项目设计单位应根据雷击风险评估报告和专家论证意见进行防雷装置设计或修改防雷装置设计方案。各级气象主管机构要高度重视雷击风险评估管理,严格按照有关法律法规的要求,将雷击风险评估报告作为防雷装置设计审核、竣工验收的重要技术依据;对于应当进行雷击风险评估却未开展的项目,不予发放防雷装置设计核准书,以确保公共安全。评估单位要严格按照《雷电灾害风险评估技术规范》等技术规范科学地开展评估工作,并不断提高雷击风险评估技术水平。
【关键词】多平台 雷电灾害 风险评估 信息系统
我国是世界上受气象灾害影响最为严重的国家之一。气象灾害种类多、强度大、频率高,严重威胁人民生命财产安全,给国家和社会造成巨大损失。尽可能的降低气象灾害带来的生命财产的损失,是气象部门义不容辞的责任。为此,构建完善的雷电灾害风险评估信息管理系统,增强气象业务硬件、软件基础建设,提升防灾减灾和应对气候变化能力已迫在眉睫。本文介绍的基于多平台的雷电灾害风险评估信息管理系统正是致力于解决上述问题的。
1 研究现状
佛山市气象局已经有比较完善的信息化建设,防雷所在业务上也有非常明确的定位和管理流程。防雷所提供的服务项目主要是雷电风险评估、防雷装置设计技术评价和检测服务。服务范围主要包括:经地方城市规划部门核准的佛山市市属大型、重点工程项目,以及佛山市禅城区、佛山新城区域内工程项目(含新建、扩建、改建)的防雷装置设计技术评价和检测服务。
随着信息化的发展,以及防雷工程和防雷工程建设单位信息的大量增加,和海量的防雷设施台帐管理的要求,防雷所的信息化程度还有很多待提高的地方,尤其是在通过结合GIS等手段对建筑物防雷管理上,尚缺乏比较先进的手段。
2 系统建设目标
常见的虚拟机资源分配算法有基于市场导向的资源分配算法、启发式算法和基于云计算平台系统特征的分配算法。市场导向的资源分配方法是根据用户对虚拟机资源的需求和自由市场竞争有很多相识之处,将市场中的资源分配算法应用到虚拟机资源的分配中。启发式算法是指在可承受的计算时间和空间下,给出待解决问题的一个可行解。
2.1 实现防雷评估业务流程电子化
结合雷电灾害风险评估工作,使办事流程电子化。通过对电子化流程的优化、构建与管理,将防雷所与不同建设单位、不同职责、不同专业的工作和人员串联起来,理顺工作流程,降低成本费用,提升服务水平,达到了运行有序和效率提高。
2.2 建立雷评项目电子档案库
越来越多的需要实施防雷工程的建筑,要求防雷所建立一个直观,方便的档案库,便于准确的把握每一栋建筑的防雷工程信息、防雷设置评估信息和防雷设置管理责任人信息。
2.3 建立评估报告标准模板库
对各类雷评报告相同或相似的信息片段及格式进行提取,制作成各种不同报告模板,评估人员撰写雷评报告的时候,可以快速方便调取相类模板创建雷评报告书,从而提升人员工作效率,降低书写出错情况。
2.4 建立防雷项目GIS信息库
佛山市需要建设防雷设施的建筑物越来越多,通过建立基于GIS的防雷工程项目和建筑物防雷设施的信息中,便于防雷所对所辖区域内的防雷工程进行高效,直观的管理。
3 系统设计
3.1 系统业务边界
根据系统建设目标设定以下系统边界模型。根据图1所示,整个系统分成两个子系统:雷评业务管理子系统和雷评申请及跟踪子系统。系统的参与者包括防雷所业务人员、防雷工程建设单位。
雷评业务管理子系统主要提供雷评估项目管理和审批,雷评报告生成及归档与费用核算管理,报告模板库,雷评知识库对外宣传等功能。
3.2 系统建设总体框架
总体框架是按照分层的思想加以设计和实现,分层的体系结构能够很好的实现系统建设任务的分解,以便整个系统的建设任务能够在明确接口定义的基础上进行并行建设,以缩短整体的建设周期。同时,在接口保持不变的前提下,分层的体系结构还能保证系统对各层基础技术的发展具有良好的适应性。并且较好的体现以数据获取和整合为核心,以监督管理服务能力建设的功能定位。系统框架图如图2所示。
系统总线将实现“企业登记”、“雷评管理”、“费用核算”、“GIS建筑防雷台账”、“雷评知识库”等几个模块的数据和业务整合,构建新的基于SOA的业务服务,可以确保系统具有高的可用性和扩展性。
3.2.1 雷电风险评估业务申请系统
佛山市防雷所外网主要提供在线提交防雷工程评估申请、查询评估业务办理进度、防雷评估报告调阅;公众上网人员可以在线浏览防雷知识库的文章、在线观看防雷教育视频等。
3.2.2 雷电风险评估移动应用系统
提供支持iPhone、Android的移动应用系统,给防雷工程建设单位查询工程办理进度,调阅雷评报告,业务信息通知等功能。工程相关人员也可以通过移动应用系统查阅项目各种报告。
3.2.3 雷电风险评估微信门户
微信作为当前比较流行的公众信息服务入口,本系统面向公众的所有服务信息都能够通过雷电风险评估微信门户公众号对外提供服务。同时,通过公众服务号实现与使用者的互动,提供各种防雷产品服务。
3.2.4 雷电风险评估业务管理系统
防雷所的内部业务系统,根据防雷所雷评实际业务范围确定,由雷评工程业务管理,GIS建筑防雷台帐、报告模板库、费用核算管理和防雷知识库的宣传与等模块组成。
3.2.5 基础设施
业基础设施包括应用支持层、企业总线、中间层、数据持久层、基础设施层几部分,为上层各业务子系统提供技术应用上的支持。
3.3 雷评综合业务管理系统
综合业务系统包括企业登记,雷评管理,费用核算,报告模板库,档案管理,防雷项目GIS展示系统,统计报表,系统用户几大模块。通用架构如图3所示。
3.4 雷评移动/微信客户端
雷评移动/微信客户端包括企业认证,项目进度查询,报告资料调阅,雷评知识库,消息推送功能,雷评移动客户端如下图4所示。
4 系统技术架构
根据系统总体设计指导方针以及技术标准规范,并充分考虑到应用集成、应用支持等因素,业务应用系统设计体系架构设计如图5所示。
5 结语
本项目在设计过程中,充分考虑业主方的使用需求,通过软件系统的流程化管理规范雷电灾害风险评估技术服务的执行过程,使用报告内容的片段和模块化数据处理手段完成报告有效内容的复用,可切实地提高雷电灾害风险评估技术服务的质量和效率。考虑到日后移动办公和业务整合的可能性,已预留服务端和移动端的多种技术接口,在本系统稳定运行的基础上,可以根据日后业务需求的变化,方便地接入新的功能模块,如实现远程办公、移动端采集现场数据、提供对接门户网站、公共平台的模块化服务等。
参考文献:
[1]任艳,林巧,冷洪旭等.雷电灾害风险评估管理系统研究[J].《信息系统工程》,2014(12):46-47.
【关键词】企业风险;风险评估系统
一、研究背景
在全球经济一体化的大背景下,企业间的国际竞争加剧,面临的风险也更加多样化。金融危机的发生导致很多企业成了金融危机时代的牺牲品。我国企业想要在激烈的竞争中生存并且健康发展,必须提高企业竞争力,从内部完善自己,加强企业管理,建立完善的内部控制制度,找到适合我国企业的内部控制和风险管理制度,识别和衡量企业面对的内外风险以提高企业的竞争能力,实现企业的价值已成为了企业当前最迫切的任务。风险评估是内部控制的重要组成部分,2006年,财政部、证监会等五部委联合的《企业内部控制基本规范》中指出:企业建立与实施有效的内部控制,应当包括内部环境、风险评估、控制活动、信息与沟通、内部监督这五要素。其中,风险评估是指企业应当及时识别、系统分析经营活动中与实现内部控制目标相关的风险,并合理确定风险应对策略。若企业不能及时识别风险及其可能带来的影响,及时调整企业的战略方向,则可能错过化解风险的最好时机,不能避免风险所带来损失的扩大,增加企业陷入财务或经营困难的可能性。当前信息技术发展迅速,逐渐成为促进经济发展和社会进步的巨大推动力,信息技术在会计、审计等方面均有广泛的运用,提高了信息采集、交换、处理、存储的准确性和效率。信息技术的发展也为内部控制提供了支持平台,特别是内部控制风险评估方面,其他相关信息系统所产生的数据为风险评估带来大量有用的信息,通过将风险评估与信息化结合,能够实现对企业风险变化的实时观测与控制,并利用风险信息的变化情况对企业的未来财务形势做出合理的预测,提高企业的管理水平。本文基于以上背景,探讨信息化环境下内部控制风险评估系统的构建。
二、内部控制风险评估信息系统的优势
内部控制风险评估系统是采用现代信息技术,对风险评估流程进行重整,使信息技术与风险评估系统高度融合,使风险评估过程高度自动化,信息高度共享,并且能够进行主动和实时报告风险评估信息,迅速提高企业的现代管理水平、满足现代企业管理需要。将信息化运用在内部控制风险评估上主要有以下优势:(1)实时监测。信息化内部控制风险评估使得实时检测成为可能,当经过某个时间点或约定的事项发生时,可以马上触发系统的运行,进行新一轮的风险评估,不需要人工检测,减少了人力的耗费,并且当风险评估的结果超过风险临界值时,系统会迅速反应,将问题报告提交给相关人员,帮助以最快的速度采取应对措施,防止因反应不及时导致风险加剧,降低损失扩大的可能性。(2)信息高度共享。信息化内部控制风险评估所用数据可以来自企业其他信息系统的数据库中,实现与现有信息系统的数据库对接,提高信息的利用率。在风险评估时不需要重新收集风险评估相关数据,避免在信息采集、存贮和管理上重复浪费,大大减轻了工作量,节约成本,并且避免了相关数据更新后风险评估系统没有及时得到最新数据的可能性。(3)决策支持。内部控制风险评估系统在运行时会产生大量的风险评估数据,这些数据可以为管理者提供决策支持,管理者通过对这些大量的风险评估数据进行数据挖掘,能够发现潜在有用的数据,发现异常情况,判断风险数据的变化过程,及时做出正确有效的决策。
三、内部控制风险评估系统的构建
构建内部控制风险评估系统需要一系列的步骤,首先应该设立风险评估的指标体系,并分别设置指标体系的权重,确定重点关注的风险,设置整体风险的临界值。之后进行风险的评估过程,获取所需要的数据,进行实时评估,生成评估报告并存档,当评估中出现重要指标或整体指标超过临界值时,生成预警报告,提交给相关人员,相关人员在进行风险控制活动之后,将整改报告提交给系统。内部控制风险评估系统的大致过程如下图所示:
1.建立指标体系。要进行风险评估,首先应该纵观企业生产经营活动的全过程,发现、认识和了解企业存在的各种风险以及风险可能带来的严重后果.财政部、证监会等五部委联合的《企业内部控制基本规范》中指出:企业识别内部风险,应当关注管理因素、人力资源因素、财务因素、安全环保因素、自主创新因素、其他有关内部风险因素这六大因素。因为安全环保因素不易于定量研究,并且安全环保因素对我国企业的生产经营风险的影响尚不明显,本文在建立指标体系中以企业外部经济环境安全因素替代安全环保因素,采用了反映企业管理因素、人力资源因素、财务因素、自主创新因素、企业外部经济环境安全因素、其他风险因素等相关财务指标体系进行评估。企业会计准则对企业会计信息质量提出八点要求,即企业财务信息具有可靠性、相关性、可比性、可理解性、实质重于形式、谨慎性、重要性、及时性的特征。以财务指标作为评估企业风险的依据,使评估结果更为合理、公允。本文对于各个一级指标,均设立了二级指标对一级指标进行细分。本文建立的风险评估财务指标体系如下表所示:
(1)管理因素评估指标构建
(2)人力资源因素评估指标构建
(3)财务因素评估指标构建
(4)自主创新因素评估指标构建
(5)外部经济环境安全因素评估指标构建
(6)其他风险因素评估指标构建
对于每一个指标,企业可以根据自己的情况进行下一级别的细分或者增设、删除其他的指标,来改变风险评估指标体系的结构和内容,以使得风险评估指标体系更加适合于企业的具体情况
2.风险评估,输入权重、风险临界值。风险评估指标体系的衡量指标的具体数值可以通过两种方式获得:通过数据库读入或者手工输入。企业在信息化的实施过程中使用各种信息系统,例如管理信息系统、企业信息系统、企业资源规划系统等。这些系统在运行过程中会产生大量的数据,有一些数据可以直接为风险评估所使用。例如,在评估应收账款风险时,要使用应收账款周转率、坏账比例、商品赊销比例、客户信用等指标,这些指标的具体数值可以通过会计信息系统以及客户关系管理系统获得,通过读取会计信息系统、客户关系管理系统的数据库,可以得到实时数据,进行实时风险评估。输入权重,要根据企业的具体情况来确定企业对风险的可接受程度,设立风险临界值。风险临界值的确定要根据行业性质、规模、特点及同行业相关指标的平均值、估计最大值、估计最小值等因素分为整体风险临界值和个别风险临界值,整体临界值为根据各个指标风险可接受程度加权算得,个别风险临界值是根据个别指标的风险可接受程度来设置各自的临界值,对于个别会带来严重后果的重要指标,要筛选出来进行独立观测。读取了所需数据之后,就可以按风险评估指标体系以及权重数值来计算整体风险以及个别重要指标的风险。将整体风险和个别重要指标的风险的计算结果生成一定格式的文档,储存在风险评估系统的数据库中,以便随时查看并分析风险变化的过程,更好的掌握整体风险和重要指标风险的变化趋势,做出预测分析,评估未来风险状况及其可能产生的影响,以便制定切实可行的风险战略、措施与方法。计算出整体风险和重要指标风险之后,要分别将其与各自的临界值进行对比,若整体风险数值大于整体风险临界值,则进行风险报警,将风险报告提交给相关人员;若重要指标风险数值大于重要指标风险临界值,也需进行风险报警,将风险报告提交给相关人员;若整体风险数值以及重要指标风险数值均小于风险临界值,则再进入下一轮的风险评估或当外界条件改变时触发新一轮的风险评估。
3.控制活动。相关人员在收到风险报告之后,根据风险报告中的风险指标、风险数值偏离风险临界值的程度来确定风险严重程度,并采取相应风险控制措施和方法,消灭或控制风险事件发生的源头,控制风险事件造成的损失以及范围。在控制活动完毕之后,出具相关报告,将报告提交给风险评估系统,作为文件存档,以便之后随时查阅并总结规律,提高风险评估与控制的水平。
四、总结
风险评估是企业经营管理的重要组成部分之一,本文结合2006年出台的《企业内部控制规范》的要求以及前人的研究成果,探讨了在信息化的环境下内部控制风险评估系统的构建,对内部控制风险评估系统的各个环节进行了分解,并详细分析了各个流程的具体实现方式,试图建立一个内部控制风险评估系统的框架,实现对企业风险变化的实时观测与控制,利用风险信息的变化情况对企业的未来财务形势做出合理的预测,提高企业的管理水平。
参考文献
[1]王立勇,张秋生.企业内部控制中的风险评估研究[J].交通财会.2002(2)
[2]关艳丽.用ERP增强企业内部会计控制[J].宁夏机械.2007(3)
[3]郝林毅.基于内控风险的财务预警警兆识别系统初探[J].科技创业.2008(8)
[4]李雅琴.基于风险管理的企业内部控制探析[J].会计之友.2009(7)
[5]鲍建青.基于风险管理的内部控制研究[J].经济师.2009(10)
[6]杜国栋.企业内部控制与风险管理解析[J].经济研究导论.2010(2)
[7]侯微.基于风险管理视角的企业内部控制体系重构[J].工商管理.2010(3)
【 关键词 】 物联网;信息安全;检测体系
1 引言
随着国家信息网络基础设施基本完成,信息化应用全面展开,物联网广泛应用于公共事业/服务、交通运输、个人用户、批发零售、工业、制造业、商业、服务业、农业、建筑业、金融业等。目前来看,物联网虽然给人们带来便利,但物联网在信息安全方面还存在一定的局限性。一是存在信号受到干扰的可能。如果安置在物品上的传感设备信号受到恶意干扰,很容易造成重要物品损失以及重要信息被篡改、丢失的隐患。二是恶意入侵的隐患。如果病毒、黑客、恶意软件绕过了相关安全技术的防范,对物联网的授权管理进行恶意操作,掌控他人的物品,就会造成对用户隐私权的侵犯。如果爆炸物、枪支等危险物品被其它人掌控,后果会十分严重。因此,物联网安全问题如果得不到有效解决,将严重阻碍物联网产业发展。由于物联网感知节点和传输设备具有能量低、计算能力差、运行环境恶劣、通信协议庞杂等特点,使得传统安全技术无法直接应用于物联网,由此引发物联网特有的安全问题,而物联网安全技术和安全状况缺乏有效的检测和评价手段。
我国政策环境较好,物联网已成为国家发展战略,初步明确了未来发展方向和重点领域。国家高度重视物联网安全建设。2013年初,国务院了《关于推进物联网有序健康发展的指导意见》(国发[2013]7号)中明确提出以工业和信息化部、发展改革委、公安部牵头承担物联网安全保障专项行动计划:提高物联网信息安全管理与数据保护水平,建立健全监督、检查和安全评估机制。加强物联网重要应用和系统的安全测评、风险评估和安全防护工作。加快物联网相关标准、检测、认证等公共服务建设,完善支撑服务体系,有效保障物联网信息采集、传输、处理、应用等各环节的安全可控。
2 物联网一体化安全检测体系
各类物联网示范工程进行大规模应用之前,应充分考虑和评测其安全性,从源头保证物联网安全措施有效性、功能符合性、安全管理的全面性以及给出安全防护评估。在建设实施阶段,将所有的安全功能模块(产品)集成为一个完整的系统后,需要检查集成出的系统是否符合要求,测试并评估安全措施在整个系统中实施的有效性,跟踪安全保障机制并发现漏洞,完成系统的运行程序和全生命期安的安全风险评估报告。在运行维护阶段,要定期进行安全性检测和风险评估以保证系统的安全水平在运行期间不会下降,包括检查产品的升级和系统打补丁情况,检测系统的安全性能,检测新安全攻击、新威胁以及其它与安全风险有关的因素,评估系统改动对安全系统造成的影响。
物联网关键安全问题:一是感知设备安全;二是物联网系统安全和风险评估,重点是接入问题;三是业务应用安全。目前,各行业均提出了相应的安全防护体系,如智能电网系统、工业控制系统等。本文依据相关的安全防护体系提出物联网一体化安全检测体系,即“一中心、两库、五平台”,如图1所示。即开放式场景检测支撑平台、感知设备安全检测服务平台、物联网系统安全检测服务平台、物联网系统风险评估服务平台、物联网集成化安全管理检查服务平台、物联网安全检测标准及指标库、物联网信息安全漏洞与补丁库以及一体化安全检测管理中心。在此基础上,结合物联网具体业务需求,进行物联网安全检测方法、规范、指标体系、专业化检测技术研究与积累。同时,形成一支服务于物联网安全检测的多层次、复合型、专业化人才队伍,全面保障物联网系统安全稳定运行。
3 “五平台”
“五平台”提供检测、检查和评估三类专业化服务,其中物联网集成化安全管理检查服务平台可作为独立平台对外提供检查服务;开放式场景检测支撑平台为感知设备安全检测服务平台与物联网系统安全检测服务平台提供安全符合性检测环境,此三个平台提供技术检测服务;物联网系统风险评估服务平台在前述四个平台基础上,关联外在威胁,分析自身脆弱性,提供风险评估服务。“五平台”结构关系如图2所示,“五平台”既可独立提供检测服务,也可互为补充,为用户提供定制化的检测服务,形成开放式检测服务体系架构。
3.1 开放式场景检测支撑平台
开放式场景检测支撑平台实现物联网感知设备、接入系统、业务应用三层检测环境,如图3所示。通过多部件的灵活组建,实现其感、传、知、用的安全功能检测,灵活支持用户个性化的检测需求。
3.2 感知设备安全检测服务平台
感知设备安全检测服务平台实现一个通用的感知设备安全检测系统,由开放式场景检测支撑平台为被测设备提供运行检测环境,其从感知操作安全、感知数据处理安全、感知数据存储安全和感知节点设备安全、感知节点通信安全等五方面检测安全功能和性能,其检测框架如图4所示。
3.3 物联网系统安全检测服务平台
物联网系统安全检测服务平台以系统、整体的视角对智能感知层访问控制、身份认证等策略配置进行符合性测试;对接入传输层的AKA机制的一致性或兼容性、跨域认证和跨网络认证等进行检测;对业务应用层数据库安全、应用系统和网站安全、应用系统稳定性、业务连续性等进行符合性和有效性检测。检测框架如图5所示。
3.4 物联网系统风险评估服务平台
物联网系统风险评估服务平台对可能遭受到的威胁和自身脆弱性进行安全分析,然后根据安全事件的可能性以及安全事件造成的损失计算出风险值、对安全事件进行风险等级定级,最后结合安全事件所涉及的资产价值来判断安全事件一旦发生对物联网系统造成的影响。风险评估框架如图6所示。
3.5 集成化安全管理检查服务平台
集成化安全管理检查服务基于物联网多类型终端、多网融合、海量数据处理和全面感知等特点。从防范阻止、检测发现、应急处置、审计追查和集中管控五个方面,对物联网系统智能感知层、接入传输层和业务应用层的安全管理情况进行检查,其安全管理检查框架如图7所示。
4 “两库”
4.1 标准及指标库
基础库“标准及指标库”通过构建物联网安全检测标准子库与指标子库为“五平台”提供支撑。标准子库建设来源:一是从物联网国际标准组织IEEE、ISO、ETSI、ITU-T、3GPP、3GPP2了解国际最新标准,研究制订适合国情的物联网标准;二是从国内标准组织:WGSN、CCSA和RFID标准工作组获取最新标准;三是随着业务开展,编制了物联网安全标准。物联网一体化安全检测标准体系框架,按照标准服务性质的区分,分为物联网产品安全检测标准、物联网系统安全检测标准、物联网风险评估标准以及集成化安全管理检查标准。其框架如图8所示。
指标库为各种类型的被测设备和系统提供相应的检测指标项目,同时支持用户自定义新的检测指标。指标库依据各服务平台检测内容划分四类,即物联网产品检测指标、物联网系统安全检测指标、物联网风险评估指标以及集成化管理检查指标。其涵盖功能检测、性能检测、抗毁性检测、符合性检测、有效性检测和可用性检测等指标。
4.2 漏洞与补丁库
漏洞与补丁库采用云存储方式,包括海量数据融合漏洞,TinyOS操作系统漏洞,异构网络认证协议漏洞,感知信息传输协议漏洞等。 漏洞与补丁库一方面为产品、系统检测,风险评估、安全检查提供支撑服务,另一方面对外提供咨询服务,网上漏洞信息,定制客户漏洞处理方案,提供漏洞补丁和专用杀毒工具下载等。
5 “一中心”
一体化安全检测管理中心完成上述“二库、五平台”的互联互通和信息共享,实现检测项目统一管理,检测数据统一汇总,检测结果统一判定,形成感知设备检测报告、物联网系统检测报告、物联网系统风险评估报告以及集成化安全管理检查报告等。
一体化安全检测管理中心由项目管理、场景管理、感知设备检测、系统检测、风险评估、集成化安全管理检查、工具集、基础库管理八个核心模块组成,整个平台由项目库、标准及指标库、方法库、漏洞与补丁库四个数据库支撑,管理中心框架设计如图9所示。
6 技术特点
(1)提供开放式检测环境
物联网应用的广泛性和复杂性,仅依赖单一场景无法满足客户的多层次需求,通过开放式检测环境,可实现感知设备、接入方式、业务应用的检测环境,使得检测手段更丰富、更精准。
(2)提供多类型、多元化的检测
一体化安全检测体系通过感知设备检测、系统检测、风险评估、管理检查的一体化检测服务,提品检测和系统检测、实验室检测和现场检测服务,满足物联网复杂多变的检测需求,使得安全检测更全面性,帮助客户准确评估物联网安全性。
(3)提供技术与管理全方位检测
物联网安全包含技术与管理两方面,技术与管理并重,本体系通过“五平台”实现产品、系统技术类检测/风险评估与安全管理检查,全方位、整体评估物联网安全性。
(4)提供技术符合性和关联外在风险评估相支撑的检测
物联网安全问题是动态发展的,在安全技术符合性检测的基础上,提供适用于动态评估物联网工程的风险评估服务。风险评估旨在通过关联外在风险,结合自身脆弱性评估系统和工程的安全性,与技术符合性检测相支撑。
(5)提供一体化服务模式
提供一个灵活、规范的信息组织管理平台和全网范围的网络协作环境,实现集成的信息采集、内容管理、信息搜索,能够直接组织各类共享信息和内部业务基础信息,实现信息整合应用,同时也提供管理中心支撑下的统一项目管理、统一数据汇总、统一结果判定的一体化服务系统。
7 结束语
目前,我国政策环境好,物联网已成为国家发展战略,初步明确了未来发展方向和重点领域,但产业和行业标准正在建立,是机遇也是挑战。经济环境上,中国企业正在随着国家的快速发展,持续提升竞争力和国际影响力,对物联网安全性的需求逐步增强,企业对物联网安全问题的认知提高,经济支付能力也在增强。通过对各行业物联网建设方面的调查发现,当前已有的物联网应用对其安全性的检测和技术支持需求十分迫切,物联网安全检测产业市场前景乐观。
上述“一中心、二库、五平台”形成专业的平台,加上精专的人才、全面的服务内容和敏捷的反应,构建物联网一体化安全检测专业化服务体系架构。从而提升价值、方便客户、节约成本、提高效率,满足物联网安全检测集成化、规模化的需求。
参考文献
[1] T Grobler, Prof B Louwrens. New Information Security Architecture[J]. 2005, University of Johannesburg.
[2] 范红, 邵华等. 物联网安全技术体系研究[J].第26次全国计算机安全学术交流会,2011(09),5-8.
[3] 谭建平, 柔卫国等. 基于物联网的一体化安全防范技术体系研究[J].湖南理工学院学报, 2011,第24卷 第4期 46-51.
[4] Jackie Rees, Subhajyoti Bandyopadhyay etc. a policy framework for information security. Communication of the ACM, Volume 46 Issue7, 2003, P101-106.
[5] 郎为民,杨德鹏,李虎生.智能电网WCSN安全体系架构研究[J].信息网络安全,2012,(04):19-22.
[6] 余勇,林为民.工业控制SCADA系统的信息安全防护体系研究[J].信息网络安全,2012,(05):74-77.
基金项目:
国家863高技术研究发展计划资助项目(2009AA01Z437)和国家863高技术研究发展计划资助项目(2009AA01Z439)。
第八届全国农药登记评审委员会第十三次全体会议于 2013年7月31日在北京召开。会议应到委员36人,实到委员29人,符合《全国农药登记评审委员会章程》规定,评审结果有效。会议评审了申请正式登记的农药产品,研讨了农药登记管理工作中遇到的问题。现就有关情况纪要如下。
一、申请正式登记产品评审情况
本次会议共审议农药品种 18个(含 12个新产品,6个复审产品),其中杀菌剂 4个、杀虫剂 2个、除草剂 10个、卫生杀虫剂 2个,共涉及30个产品。委员们经过认真细致评审,同意硼酸锌等10个品种正式登记;环丙唑醇等4个品种需补充有关资料,并经相关专业组审核符合要求后,同意正式登记;暂不同意喹草酸等4个品种的正式登记(具体评审意见见附表)。
二、农药登记管理有关问题的讨论意见
(一)关于蝇香产品登记管理问题
根据委员会第十一次会议建议,农业部农药检定所组织有关专家开展了蝇香产品风险评估,向本次大会提交了《蝇香对使用人群健康风险评估报告》。评估结果表明,蝇香对使用者的健康风险是存在的,室内使用风险不可接受,室外使用风险可接受。委员们一致认为,这是我国首次对卫生杀虫剂产品开展人类健康风险评估,评估过程公开、透明、企业参与,调研数据充分,评估方法科学,评估结果可靠。对于该产品是否可以进行“室外使用”登记,委员们意见不一致。多数委员认为,虽然该产品室外使用的风险可接受,但由于其具有驱蚊功效,主要在南方地区农村使用,许多留守老人、妇女和儿童文化程度低、保护意识弱,难以确保其仅在室外使用,且室外使用的场合非常有限,不能因部分地区仍有该产品销售使用而倒逼主管部门登记认可,建议不予登记。少数委员认为,主管部门应尊重风险评估结果,充分考虑市场有需求的现状,疏堵结合,允许室外使用登记,同时规范质量规格、包装、标签等技术要求,加强市场监管,降低安全风险。为此,评审委员会建议部种植业管理司会同农药检定所,研究提出处理意见报部领导审定。
(二)关于甲磺隆等3种长残效除草剂登记管理问题
根据委员会第十次会议精神,委员们审议了对甲磺隆、氯磺隆、胺苯磺隆等3种长残效除草剂的管理措施,形成并一致通过以下建议。
1.禁止含氯磺隆的产品在国内使用,2013年 12月 31日前撤销含氯磺隆的产品登记证。
为了防御和减轻气象灾害,保护人民群众生命财产安全,促进我市经济社会又好又快发展,根据《中华人民共和国气象法》、《气象灾害防御条例》、《防雷减灾管理办法》、《防雷装置设计审核和竣工验收规定》和《省气象灾害防御条例》等有关规定,现将有关事宜通知如下。
一、充分认识气象灾害风险评估工作的重大意义
气象灾害是最严重的自然灾害之一,我市属气象灾害高发区,年平均雷暴日数35天,年最高雷暴日数达44天,每年大到暴雨日数达9天,冰雹日数达28天,大风天数达29天。近年来,随着我市经济社会快速发展和现代化建设水平的不断提高,气象灾害造成的灾害程度也在不断加剧,因气象灾害导致的人员受伤、火灾、信息系统瘫痪等事故时有发生。气象灾害风险评估是防御自然灾害风险管理的重要措施,是气象灾害风险控制和灾害防范的前提和基础,也是建设工程设计和施工的基本依据。各级政府、有关部门必须从构建“和谐”的高度,切实提高对气象灾害风险评估工作重要性的认识,坚决采取有效措施,科学组织,依法管理,认真做好气象灾害风险评估工作,为我市经济社会跨越式发展提供有力保障。
二、认真做好气象灾害风险评估工作
各级政府和有关部门必须依据相关法律、法规要求,认真做好本行政区域内的各种规划、大型建设工程、重点工程、爆炸危险环境等建设项目的气象灾害风险评估工作,特别是对新建、扩建和改建建设工程必须在项目动工前进行气象灾害风险评估,确保公共安全。我市气象灾害风险评估的主要内容是雷电、暴雨、洪涝、干旱、风灾、连阴雨、高温、寒潮、霜冻、冰冻、雪灾、雹灾、雾灾。评估的具体范围是:
(一)《建筑物防雷设计规范》规定的一、二、三类防雷建(构)筑物;
(二)煤矿、供电、化工企业,贮存燃油、燃气、火工等易燃易爆场所;
(三)邮电通信、交通运输、广播电视、医疗卫生、金融证券、文化教育、文物保护单位和其他不可移动文物、体育、旅游、游乐场所以及信息系统等社会公共服务设施;
(四)城乡、重点领域、区域发展和建设规划;重大区域性经济开发、区域结构调整区划;
(五)其他依法需要进行气象灾害风险评估的场所和设施。
上述进行气象灾害风险评估的项目,建设单位在申请办理气象行政许可时,应当根据《中华人民共和国气象法》第二十八条和第三十四条的规定,《防雷减灾管理办法》第二十七条的规定,《防雷装置设计审核和竣工验收规定》第八条的规定,《建筑物防雷设计规范》GB50057—第六章第条的规定,向气象主管机构提交气象灾害风险评估报告。
三、气象灾害风险评估程序
对按规定需要进行气象灾害风险评估的项目,各级建设、气象主管部门应当将气象灾害风险评估工作纳入项目审核与竣工验收许可制度,做到事前评估与事后审验相结合,充分发挥气象灾害风险评估在工程建设中的重要支撑作用。凡属气象灾害风险评估范围的建设工程项目,建设单位在项目可行性研究阶段或初步设计时应同步做好气象灾害风险评估工作。办理程序如下:
(一)建设单位到当地气象主管部门办理气象行政许可申报;
(二)当地气象主管部门应根据建设工程项目类型、类别在1个工作日内作出该项目是否需要进行气象灾害风险评估或雷击灾害风险评估的意见;
(三)气象灾害风险评估项目,由建设单位与具有气象灾害风险评估资质的法定机构签订有关合同。评估机构必须严格执行建设工程气象灾害风险评估技术规范等相关标准,并对评估结论负责,气象灾害风险评估机构应在签订有关合同后20个工作日内作出评估结论;
(四)建设单位将气象灾害风险评估结果报当地气象主管机构备案。
四、切实加强气象灾害风险评估工作的监督管理
(一)加强组织领导。气象灾害风险评估是关系人民群众生命财产安全的大事,市、县(区)政府要切实加强对气象灾害风险评估工作的领导,摆上重要议事日程,周密安排部署,精心组织实施,成立由政府分管领导任组长的气象灾害风险评估领导小组和专家评审组,气象、发改委、建设、规划、安监等部门要各负其责,密切配合,切实将气象灾害风险评估工作落到实处。
(二)靠实部门职责。气象灾害风险评估是社会公共安全保障的一项重要工作,涉及面广、责任重大,各有关部门要加强协调配合,共同做好相关工作。气象部门要做好气象灾害风险评估工作的组织、监督和管理,建立并落实气象灾害风险评估工作规范和工作流程,增强服务意识,提高办事效率,严格执行上级物价部门核准的技术收费标准和市政府规定的有关项目减免收费政策,确保风险评估工作顺利开展。发改部门在审批重点建设项目、易燃易爆工程建设项目立项时,应将气象灾害风险评估作为建设项目立项可行性论证的重要条件,对可行性研究报告或者申请报告中未包括气象灾害风险评估的项目,不予立项、审批、核准。规划、建设管理部门在进行项目规划建设许可时,应将气象灾害风险评估合格作为前置条件。安全生产监督管理部门应加强执法监督,督促气象灾害风险评估工作落实到位。