时间:2023-10-10 15:56:44
序论:写作是一种深度的自我表达。它要求我们深入探索自己的思想和情感,挖掘那些隐藏在内心深处的真相,好投稿为您带来了七篇风险管理的实施步骤范文,愿它们成为您写作过程中的灵感催化剂,助力您的创作。
(中国民用航空飞行学院航空工程学院,四川 广汉 618307)
【摘 要】航空维修单位是民航实现民航强国的重要体现和民航运输业的重要保障,而维修单位安全管理体系的建立实施是维修单位安全的基本保障。论文在介绍当前我国维修单位特点及安全管理建设现状基础上,从安全政策与目标模块、实施与控制模块、监督与改进模块和安全信息管理模块4个模块和安全政策、风险管理系统、安全文化体系、应急响应系统和改进体系等15个要素,构建了维修单位安全管理体系,并详细探讨了维修单位安全管理体系实施步骤,阐述其评估和改进步骤。建立维修单位安全管理体系旨在进一步夯实民航安全发展基础,构建实施维修单位SMS将有助于提升维修单位安全管理水平和促进安全的持续发展。
关键词 航空维修单位;安全管理体系;风险管理;安全评估
基金项目:国家级大学生创新项目(201408)。
作者简介:杨立飞(1993—),男,中国民用航空飞行学院航空工程学院2011级本科生。
通讯作者:陈农田(1984—),男,讲师,研究方向航空适航与安全、航空人因工程。
0 引言
安全是民航工作永恒的主题,也是永远不可逾越的警戒线[1]。在20世纪90年代,航空安全专业人员和管理者将目光转向了系统安全和以组织安全模型(如里森模型)为导向的新型安全管理模式[2]。在曼彻斯特大学James Reason教授的潜心研究,并借鉴了澳大利亚民航安全局的经验和资料,开发并形成了加拿大SMS方案,于2005年开始执行。2005年英国陆续出版了CAP712《商业航空运输的安全管理系统》和CAP726《安全管理系统的建立与审核指南》等系列规章和指导材料。国际民航组织(International Civil Aviation Organization,ICAO)在2006年生效的国际民用航空公约的附件6中,推荐各缔约国对空中交通管制、机场、航空运营人和航空器维修单位要求建立安全管理体系(Safety Management System,SMS),以更有效的实施安全管理[3]。
我国作为国际民航组织的一类理事国,根据国际民航组织的要求在安全管理体系方面也做了许多工作,先后了《机场安全管理体系建设指南》(AC-139/140-CA),《关于航空运营人安全管理体系的要求》(AC-121/135-FS-2008-2),《民航空中交通安全管理体系SMS建设要求》(MD-TM-2009-003)等相关文件,标志着着我国民航SMS建设工作正式进行到应用阶段。近年来,航空公司、机场和空管根据民航局在全国民航企业内提出的建立民航安全管理体系的基本要求和相关要素也建立了相应的安全管理体系,如徐佳璐[4]借鉴国外先进的安全理念与管理方法,对空管安全管理体系的构建进行了研究,以空管分局为例,提出了构建安全管理体系的主要内容和步骤,并制定了相应的评估指标体系和对策;张霆霆、孙瑞山等[5]设计提出试飞安全管理体系(SMS)建设总方案,结合我国试飞机构实际情况,从四大模块构建适合我国民用航空器的试飞SMS,并阐述其实施和评估步骤;谭克涛[6]对比了国内外安全管理体系研究现状,分析比较国内外安全管理体系建设的成功案例,以国内某国际机场为研究切入点,提出了国内机场SMS建立实施的困难及改进建议。而航空维修单位的安全管理与航空公司、机场、空管等系统有很大的不同,在安全管理模式上也存在着很大的差异,同时我国民航局虽然提出了在航空维修单位建立实施安全管理体系,但仅给出了基本要求和相关要素,并没给出具体的操作指南、实施规范和审核标准。随我国民航的快速发展,国内维修业发展速度加快、规模变大,维修单位的数量也不断增多,但总体处于不均衡的发展状态,并且国内维修受制于原始制造厂商在技术、备件、合约等方面的封锁,国内维修单位的维修能力相对较弱[7]。且我国航空维修单位保障条件和作业环境差,安全保证体系和机制不健全,安全监查人员缺乏和监管能力不足,安全管理水平低 。目前国内无一成功的民航维修单位案例可供参照和借鉴,更是没有形成一个标准模板和一个成功的范例。因此,建立并开始逐步实施安全管理体系以满足我国民航当局的要求成为维修单位当务之急。
本文提出并建立航空维修单位安全管理体系的详细步骤和实施内容以及探讨航空维修单位安全管理体系评估、改进,促使航空维修单位整体安全水平不断提高,以达到“有把握的安全、持续的安全、可靠的安全”的目标,并为航空安全管理部门提供科学的安全管理模式,实现维修单位安全管理的科学化、系统化和标准化。
1 安全管理体系理论内涵
在民航中,ICAO为提高现有的民航安全管理水平,提出将被动性安全管理转变为主动性和预防性安全管理的理念,即安全管理体系(SMS)。ICAO将安全管理体系定义为:正式的、自上而下的、有条理的管理安全风险做法,包括必要的组织结构、问责制、政策和程序。安全管理体系由四大支柱构成,分别为策划、安全风险管理、安全保证和安全促进[3]。其本质是系统管理,即从航空公司整个系统上把握安全态势、查找安全问题、堵塞安全漏洞、消除安全隐患,而不是片面地、孤立地就抓安全;核心是安全风险管理,即在航空公司全面识别、衡量、避免风险,用最小的代价将风险造成的损失降到最低,尽可能的维护公司的利益;驱动是信息管理,即有效的安全管理是以数据为驱动的,同时安全信息的开发是提升安全管理水平的根本途径;基础是安全文化,不仅能弥补体系中组织政策、程序、标准方面的不足,还可以为航空公司营造优良的安全文化奠定基础。
安全管理体系与传统安全管理相比,主要的区别在于将被动性安全管理转变为主动性安全管理;将管理者制定相关政策与程序转变为员工意见能影响相关政策程序的制定;将直接监督一线员工转变为运用系统方式监督;将视员工为不安全的因子转变为让员工成为安全的参与者;将由管理者检查发现既有危害转变为全体员工共同挖掘发现既有与潜在的危害;将奖惩保障安全的方式导入风险管理机制;将处罚文化转变为公正文化等。
安全管理体系的作用就是在航空公司导入风险管理机制,实现主动安全管理,健全内部安全保证体系;系统全面、协调一致地实施各项安全方案,有效地配备资源和降低风险;恰当地确定安全责任,塑造积极的安全文化。安全与效益也密切相关,通过安全管理为管理者提供有效处置事故或事故征候的能力,并将有价值的教训用来改善安全和提高效率,不仅能降低企业损失,还会提高企业生产力。
2 航空维修单位安全管理体系构建
根据《ICAO安全管理体系手册》的内容,通过一线维修技术人员意见和建议,参考民航航空公司、机场和空管SMS构建方法和内容,结合航空维修单位发展速度快、数量增多、维修能力弱、机制不健全、安全监查人员缺乏和监管能力不足、安全管理水平低等特点,基于PDCA理论、安全目标管理、系统管理、人本原理、预防原理和强制原理等安全管理的基本原理,将航空维修单位安全管理体系内容划分为安全政策与目标、实施与控制、监督与改进和安全信息管理4个模块和安全政策、风险管理系统、安全文化体系、应急响应系统和改进体系等15个要素,它体现了航空维修单位SMS的最低要求[8-9]。航空维修单位SMS以安全方针、政策为指导,以实施与控制模块(风险管理)为核心,通过监督与改进模块确保维修过程中的安全风险始终被控制在可接受的范围内,通过安全信息管理模块使维修单位单位树立良好的安全文化氛围,从而建立基于数据、预防为主、持续运行的一个闭合循环运行系统,在系统运行过程中,通过持续不断的改进和完善,实现航空维修单位SMS的改进和安全水平的提高。其航空维修单位SMS 模块结构运行示意图如图1。
2.1 安全政策与目标模块
安全政策与目标模块是航空维修单位安全管理体系的基础,包括安全政策、安全目标、质量政策、组织机构体系、文件体系和安全文化体系这6个要素。安全政策是指指导航空维修单位开展安全管理体系的统一方针,由维修单位一个经最高领导者批准安全目标和承诺组成,是安全管理体系构建的基本理念和行动准则,一般包括符合国家和民航局的法律、 法规、规章、规范性文件和标准要求;反映了维修单位的安全管理理念并为建设积极的安全文化提供了清晰的导向。在制定过程中,高层管理人员应与各层人员进行广泛、充分地协商,确保员工与安全政策密切相关,在安全政策公布后,各部门应通过职责分解安全政策,并落实到个人。安全目标是控制和减少机务责任原因的飞行事故、航空地面事故和飞行事故症候。对于质量政策管理人员应保证与安全政策相一致。在组织机构体系中,航空维修单位的安全管理第一责任人是建立、实施并保证安全管理体系的最终负责人,应建立相对独立与运行系统的安全监督系统,确保维修单位的组织结构有利于安全管理及支持SMS的有效运行和持续改进,并完善安全运行的问责办法,落实全体员工安全责任制。文件体系主要包括法规类文件、技术类文件、管理类文件、操作类文件及记录,航空维修单位应以书面或电子方式建立并存档各类文件,并且对各类文件的编制、审核、批准等实施有效的管理,以确保文件易查找、易读、易识别和追溯、有序保存、及时更新修订及废止。安全文化是航空维修单位文化的重要组成部分,是全体员工价值观和行为准则。航空维修单位应建立公正的奖惩管理规定,发挥和调动员工的工作积极性。在员工掌握安全文化理念的同时与实际行动相结合,将安全文化体现在具体岗位和实际工作中。
2.2 实施与控制模块
风险管理模块是航空维修单位SMS的核心,一般风险管理系统主要包括危险源识别、风险分析、风险评价、风险控制四个要素。对于运行过程中危险源识别,主要包括以下辨识工作:(1)设计因素,包括机械设备、工作排班和检查单等;(2)信息交流方式,包括沟通方法、专业术语和语言等;(3)人为因素,包括公司培训、薪资和资源分配政策等;(4)组织因素,例如实际生产与安全目标的兼容性、资源分配、公司安全文化等;(5)工作环境因素,例如噪声、振动、温度、灯光强弱和提供防护用具及服装等;(6)规章管理标准,包括规章的可操作性与执行力度和人员、设备与程序的认证,以及行业监督适当的程序等;(7)防护措施,包括事故探测和警告系统,及设备对错误的容忍程度和灵活度等;(8)个人表现,包括身体状况和医疗条件的限制等。进而采用被动式、主动式、预测式3种方式识别系统中危险源的存在,建立危险源数据库,并通过风险分析对危险源导致危险的后果严重性及发生可能性进行评判,也包括对形成该危险源的各种根原因进行分析。在建立风险矩阵评估系统的基础上,针对不同级别的安全风险制定并实施相应的缓解措施。维修单位应建立应急响应系统来针对航空器或非航空器突发事件。对于应急预案的内容包括应急小组成员名单职责和联系方式、应急工作的流程(救援、记录、保护和调查)、应急预案的培训和演习。应急预案应通过演练验证和评审的结果,找出方案的不足,并进行及时的改进和修订。
2.3 监督与改进模块
安全工作的目标是尽可能避免事故重复发生[10]。评估审核系统是对安全管理体系运行的有效性进行定性、定量评价,确定安全管理体系改进要求,持续提升安全管理水平。评审内容主要包括:安全政策的符合性、风险管理的实施效果、维修运行过程与法规的符合性、航空维修单位的安全绩效、应急响应系统的状态等。安全监察体系通过采用持续监控、审核、调查对维修运行系统进行监督、检查确保各项安全管理工作是否符合规章要求和安全管理体系要求,为系统评估、管理评审和持续改进提供支持。其主要工作包括不安全事件报告、自我检查、监督检查、定期或不定期的安全检查、内部审核和外部审核(局方、独立的第三方或客户组织)。改进体系是一个持续更新的动态系统,它是以不断更新的安全管理数据为基础,对以下内容进行持续改进:安全政策的改进;手册、程序及文件的改进;设施设备的改进;危险源、风险平和风险控制方法的改进;安全管理数据库的持续更新等。反馈系统管理主要取决于对信息的接受、处理和利用,在航空维修单位中信息主要来源之一是反馈系统,其包括对安全经验教训的汲取和维修人员的报告。该系统不仅用于报告安全相关问题,而且有助于维修运行过程中的危险源识别。
2.4 安全信息管理模块
航空维修单位应该建立、健全教育培训系统,组织和安排人员进行安全教育和培训,使其具备必要的安全知识,熟悉有关的安全维修规章制度和本单位的安全管理理念、政策和程序,掌握对应岗位的安全操作规程和操作技能,提高员工的安全素质和安全意识,确定所有人员胜任其岗位。其主要内容有:新员工安全基础知识培训;危险源识别和风险管理培训;安全管理体系培训;典型经验和事故教训教育等。建立有效运行安全信息管理系统可以方便、快捷的实现各类安全信息的收集、分析、传递、利用和保护。且安全信息管理系统应覆盖维修单位与航空器维修和提供服务的所有部门、生产运行过程和及其管理活动。
3 航空维修单位安全管理体系的实施
航空维修单位安全管理体系实施步骤参考ICAO向各国推荐的《ICAO安全管理体系手册》实施步骤,基于安全管理理论、风险管理理论、PDCA 理论和系统原理,参考航空公司、机场、空管和通用航空安全管理体系实施步骤,制定了航空维修单位安全管理体系实施的流图,如图2所示。
4 航空维修单位安全管理体系评估和改进
航空维修单位安全管理体系在建立和实施过程中,受到人、机、环、管多个因素的影响,但各个因素间又相互联系,共同构成由多个因素组成复杂的有机整体,所以在建成之后必须对该体系进行整体评估和改进。航空维修单位安全管理体系评估是对SMS建立和实施的过程和结果进行鉴定,其主要目的是客观判别所建立的SMS是否达到了预定的安全绩效指标。航空维修单位安全绩效评估和改进步骤包括:明确评估对象;建立评估指标体系;定性与定量指标评估值的确定;评估指标权系数的确定;确定指标间合成关系,求综合评估值;根据评估过程得到的信息,进行系统分析和决策;对系统分析和决策提出改进措施和建议。其评估方法可采用直接打分法、等级比重法、专家评分法和集值统计法。
5 结论
安全是民航所有工作的重中之重,是关系到民航业持续稳定发展的焦点问题。但安全管理体系的建设与实施工作是一项系统性、长期性、循序渐进的创新性工作。本文通过研究分析得出以下结论:
1)由于目前我国民航管理部门还没有建立具体维修单位SMS的指导性文件,文中探索性地提出建立一套符合国际标准、中国民航发展规律、国内航空维修单位自身发展要求和特点的安全管理体系构建与实施步骤。
2)主要按照系统性、持续性、规范性的安全管理理念,结合PDCA理论、安全目标管理、人本原理及系统管理等安全管理的基本原理,从安全政策与目标模块、实施与控制模块、监督与改进模块和安全信息管理模块4个模块和安全政策、风险管理系统、安全文化体系、应急响应系统和改进体系等15个要素,分SMS计划、SMS实施、SMS审计和评估和SMS保证和促进4个阶段,构建了航空维修单位SMS详细的实施步骤和流程,制定了SMS评估和改进内容。
3)安全管理体系建设与实施是我国民航目前和今后一段时期的工作重点,将安全管理体系广泛建立于民航各个单位,将进一步夯实民航安全发展基础,构建实施航空维修单位SMS将有助于提升航空维修单位安全管理水平和促进安全的持续发展。
参考文献
[1]刘利,吴涛.浅谈航空货站的SMS体系建设[J].空运商务,2011(304):1.
[2]国际民航组织.ICAO安全管理手册(SMM)[S].2版.中国民用航空局航空安全办公室等译印,2005.
[3]周长春,谭鑫,陈勇刚,等.航空安全管理[M].成都:西南交通大学出版社,2011:181-203.
[4]徐佳璐.我国民航空中交通安全管理体系的构建和评估:以Z省空管分局为例[D].2011-11-29:I.
[5]张霆霆,孙瑞山,刘俊杰,侯伟峰.民用航空器试飞安全管理体系建设研究[J].中国安全科学报,2013-10,23(10):2-4.
[6]谭克涛.长沙机场安全管理体系的构建研究[D].2006-10-20:II.
[7]王芳.国内维修业:成长期的思考题[N].中国民航报,2013-1-10(4):2.
[8]陈勇刚.我国通用航空安全管理体系建设研究[J].中国安全生产科学技术,2012-6,8(6):2-4.
[9]国际民航组织.ICAO安全管理手册(SMM)[M].3版.中国民用航空局航空安全办公室,等,译印,2013.
摘 要 风险管理引入税收征管体系,是一种全新的管理方式。建立健全科学、严密、有效的税收风险管理系统,对当前和潜在的税收风险进行确认并实施有效的控制,变事后处理为事前、事中预警控制,科学地监测和有效地防范、化解税收风险,实现税收管理效能的最大化,不断提高税收管理的水平和质量,是今后税收征管工作的发展方向。本文主要谈谈完善税收风险管理机制的措施。
关键词 完善 税收 风险 管理机制 措施
一、明确税收风险管理基本流程
从分析、归集各类涉税信息着手,将风险管理划分为风险识别、风险评定、风险应对三个阶段。风险识别阶段,一般通过分年度、季度对各类信息收集和特征归纳,运用推理统计、数据分析等方法,对照税收风险管理指标体系和特征库,针对不同角度和领域,找到税收风险点,对识别出的风险点进行定性分析。风险评定阶段,对识别出的风险点,通过人机结合的方式,对纳税人的风险级别进行统一的、基础性的评定。税收风险大小以税收风险积分表示,以税收风险发生概率和风险发生造成税款流失的严重程度即强度为主要评价因素,通过设立风险评定项目分值和风险强度系数,计算风险积分,按季对纳税人进行风险等级划分,分为一至五个等级,五级最高,一级最低。风险应对阶段,针对不同风险等级的纳税人,采取差别化的管理和服务。各业务科室、基层局各职能部门可以直接参与到具体的风险应对工作中,形成纵向各层级、横向各部门的联动互动、协调协同的风险应对工作机制,确保税收风险管理取得实效。
二、强化税收分析
税收风险管理中,风险控制标准的制定和执行成为风险管理体制有效运转的重要保证。而加强对税收风险点的识别和定位,对税收风险点进行详细分析则是有效识别和定位税收风险,构建合理税收风险管理系统的重要基础工作。高质量的分析工作可以不断提高各级税收管理层的税收风险预警能力。提高税收风险管理的针对性和指向性。按照国家税务总局的要求,税收分析可以细分为经济税源分析、政策效应分析、管理风险分析和预测预警分析。其核心内容是依托信息平台,根据内外部数据来源,对税源企业进行分类分级,明确各级税源监控的。标准、范围及要求,按照风险级别排序,采取有针对性的税源监控措施,合理地配置税收管理资源,提高税源管理的针对性和有效性。
三、健全税收管理机制,建立专业化的风险控管运行机制
按照税收风险管理的程序要求,各级税务机关,特别是各级管理层,通过转变管理职能,逐步建立满足风险管理体系建设需要的各类运行机制,主要包括:风险管理战略规划管理机制、风险信息情报采集交换机制、风险信息分析识别管理机制、风险等级估算排序管理机制、风险应对策略选择管理机制、风险应对措施实施管理机制、风险管理全程监控评估机制等。
建立税收风险管理规划目标管理机制。承担税收风险战略规划管理的税务机关,通过建立部门联席会议,形成税收风险管理战略规划管理工作机制,承担系统风险管理的规划管理工作,对规划期风险管理的工作目标、阶段重点、方针策略、主要措施、实施步骤等作出系统性安排。对规划期风险管理工作开展情况进行全程跟踪监控;在规划期末,对作出及时的总结评估,为风险管理体系持续改进、持续完善,为未来税收风险战略管理的规划安排提供改进建议。
四、有效监督保障
关键词 计算机;网络风险;防范模式;防范流程
中图分类号 F062.5 [KG*2]文献标识码 A [KG*2]文章编号 1002-2104(2011)02-0096-04
在信息时代,信息成为第一战略资源,更是起着至关重要的作用。因此,信息资产的安全是关系到该机构能否完成其使命的大事。资产与风险是天生的一对矛盾,资产价值越高,面临的风险就越大。信息资产有着与传统资产不同的特性,面临着新型风险。计算机网络风险防范的目的就是要缓解和平衡这一对矛盾,将风险防范到可接受的程度,保护信息及其相关资产,最终保证机构能够完成其使命。风险防范做不好,系统中所存在的安全风险不仅仅影响系统的正常运行,且可能危害到政府部门自身和社会公众,严重时还将威胁国家的安全。论文提出了在选择风险防范策略时如何寻找合适的风险防范实施点并按照实施风险防范的具体过程来进行新技术下的风险防范,从而帮助完成有效的风险管理过程,保护组织以及组织完成其任务。
1 计算机网络风险管理
计算机网络风险管理包括三个过程:计算机网络属性特征分析、风险评估和风险防范。计算机网络属性特征分析包括风险管理准备、信息系统调查、信息系统分析和信息安全分析4个阶段。在计算机网络风险防范过程中,计算机网络属性的确立过程是一次计算机网络风险防范主循环的起始,为风险评估提供输入。风险评估过程,包括对风险和风险影响的识别和评价,以及降低风险措施的建议。风险防范是风险管理的第三个过程,它包括对在风险评估过程中建议的安全控制进行优先级排序、评价和实现,这些控制可以用来减轻风险。
2 网络风险模式研究
2.1 风险防范体系
计算机风险防范模式包括选择风险防范措施(风险假设、风险规避、风险限制、风险计划、研究和了解、风险转移)、选择风险防范策略(包括寻找风险防范实施点和防范控制类别的选择)、实施风险防范3个过程。在实施风险防范的过程中包括对行动进行优先级排序、评价建议的安全控制类别、成本-收益分析、选择风险防范控制、分配责任、制定安全措施实现计划、实现被选择的安全控制,最后还要进行残余风险分析。
2.2 风险防范措施
风险防范是一种系统方法,高级管理人员可用它来降低使命风险。风险防范可以通过下列措施实现:
(1)风险假设:接受潜在的风险并继续运行IT系统,或实现安全控制以把风险降低到一个可接受的级别。
(2)风险规避:通过消除风险的原因或后果(如当识别出风险时放弃系统某项功能或关闭系统)来规避风险。
(3)风险限制:通过实现安全控制来限制风险,这些安全控制可将由于系统弱点被威胁破坏而带来的不利影响最小化(如使用支持、预防、检测类的安全控制)。
(4)风险计划:制定一套风险减缓计划来管理风险,在该计划中对安全控制进行优先排序、实现和维护。
(5)研究和了解:通过了解系统弱点和缺陷,并研究相应的安全控制修正这些弱点,来降低风险损失。
(6)风险转移:通过使用其他措施补偿损失,从而转移风险,如购买保险。
在选择风险防范措施中应该考虑机构的目标和使命。要解决所有风险可能是不实际的,所以应该对那些可能给使命带来严重危害影响的威胁/弱点进行优先排序。同时,在保护机构使命及其IT系统时,由于每一机构有其特定的环境和目标,因此用来减缓风险的措施和实现安全控制的方法也各不相同。最好的方法是从不同的厂商安全产品中选择最合适的技术,再伴以适当的风险防范措施和非技术类的管理措施。
2.3 风险防范策略
高级管理人员和使命所有者在了解了潜在风险和安全控制建议书后,可能会问:什么时候、在什么情况下我们该采取行动?什么时候该实现这些安全控制来进行风险防范,从而保护我们的机构?
如图1所示的风险防范实施点回答了这个问题。在图1中,标有“是”的地方是应该实现风险防范的合适点。
总结风险防范实践,以下经验可以对如何采取行动来防范由于故意的人为威胁所带来的风险提供指导:
杨涛等:计算机网络风险防范模式研究中国人口•资源与环境 2011年 第2期(1)当存在系统漏洞时,实现保证技术来降低弱点被攻击的可能性;
(2) 当系统漏洞被恶意攻击时,运用层次化保护、结构化设计以及管理控制将风险最小化或防止这种情形的发生;
(3) 当攻击者的成本比攻击得到更多收益时,运用保护措施,通过提高攻击者成本来降低攻击者的攻击动机(如使用系统控制,限制系统用户可以访问或做些什么,这些措施能够大大降低攻击所得);
(4) 当损失巨大时,运用设计原则、结构化设计以及技术或非技术类保护措施来限制攻击的程度,从而降低可能的损失。
上面所述的风险防范策略中除第三条外,也都可运用来防范由于环境威胁或无意的人员威胁所带来的风险。
2.4 风险防范模式的实施
在实施风险防范措施时,要遵循以下规则:找出最大的风险,然后争取以最小的代价充分减缓风险,同时要使对其他使命能力的影响最小。实施措施通过以下七个步骤来完成,见图2。
2.4.1 对行动进行优先级排序
基于在风险评估报告中提出的风险级别,对行动进行优先级排序。在分配资源时,那些标有不可接受的高风险等级(如被定义为非常高或高风险级别的风险)的风险项目应该最优先。这些弱点/威胁需要采取立即纠正行动以保护机构的利益和使命。步骤一输出―从高到低优先级的行动。
2.4.2 评价建议的安全控制
风险评估过程中建议的安全措施对于具体的机构和IT系统可能不是最适合和可行的。在这一步中,要对建议
图1 网络风险防范实施点
Fig.1 Network implementation point of risk prevention
图2 实施风险防范措施流程及其输入输出
Fig.2 Implementation of risk prevention measures and
the input and output processes
的安全控制措施的可行性(如兼容性、用户接受程度)和有效性(如保护程度和风险防范级别)进行分析。目的是选择最适当的安全控制措施以最小化风险。步骤二输出―可行安全控制清单。
2.4.3 实施成本-收益分析
为了帮助管理层做出决策并找出性价比好的安全控制,要实施成本―收益分析。第三步输出―成本-收益分析,其中描述了实现或者不实现安全控制所带来的成本和收益 。
2.4.4 选择安全控制
在成本-收益分析的基础上,管理人员确定性价比最好的安全控制来降低机构使命的风险。所选择的安全控制应该结合技术、操作和管理类的控制元素以确保IT系统和机构适度的安全。步骤四输出―选择好的安全控制。
2.4.5 责任分配
遴选出那些有合适专长和技能来实现所选安全控制的人员(内务人员或外部签约人员),并分配以相应责任。步骤五输出―责任人清单。
2.4.6 制定一套安全措施实现计划
在这一步,将制定一套安全措施实现计划(或行动计划)。这套计划应该至少包括下列信息:
(1)风险(弱点/威胁)和相关的风险级别(风险评估报告输出)。
(2)建议的安全控制(风险评估报告输出)。
(3)优先排序过的行动(标有给那些有非常高和高风险级别的项目分配的优先级)。
(4)被选择的计划好的安全控制(基于可行性、有效性、机构的收益和成本来决定)。
(5)实现那些被选择的计划好的安全控制所需要的资源。
(6)负责小组和人员清单。
(7)开始实现日期。
(8)实现完成的预计日期。
(9)维护要求。
2.4.7 实现被选择的安全控制
根据各自的情况,实现的安全控制可以降低风险级别但不会根除风险。步骤七输出―残余风险清单。
3 网络风险防范案例
以某市政府官方门户网络应用系统为例,首先要对网络应用系统进行属性分析,风险评估,然后根据风险评估报告和承受能力来决定风险防范具体措施。
3.1 风险评估
该计算机网络应用系统安全级别要求高,根据手工和自动化网络风险评估,结果如下所示:
数据库系统安全状况为中风险等级。在检查的33个项目中,共有9个项目存在安全漏洞。其中:3 个项目为高风险等级,占总检查项目的 9%;1 个项目为中风险等级,占总检查项目的 3%;5 个项目为低风险等级,占总检查项目的 15%。
3.2 风险防范具体措施
选择风险防范措施中的研究和了解同时进行风险限制。确定风险防范实施点,该数据库的设计存在漏洞并且该漏洞可能被利用,所以应该实施风险防范。实施步骤如下:
步骤一:对以上扫描结果中的9个漏洞进行优先级排序,确立每个项目的风险级别。
步骤二:评价建议的安全控制。在该网站主站数据库被建立后针对评估报告中的安全控制建议进行分析,得出要采取的防范策略。
步骤三:对步骤二中得出相应的若干种防范策略进行成本收益分析,最后得出每种防范策略的成本和收益。
步骤四:选择安全控制。对上述扫描的9个漏洞分别选择相应的防范策略。
步骤五:责任分配,输出负责人清单。
步骤六:制定完整的漏洞修复计划。
步骤七:实施选择好的防范策略,按表1对这9个漏洞进行一一修复。
表1 防范措施列表
Tab.1 List of preventive measures
漏洞ID
Vulnerability
ID 漏洞名称
Vulnerability
Name级别
level风险防范策略
Risk prevention
strategiesAXTSGL1006Guest用户检测高预防性技术控制AXTSGL1008登录模式高预防性技术控制AXTSGL3002审计级别设置高监测和恢复技术控制AXTSGL3011注册表存储过程权限中支持和预防性技术控制AXTSGL2001允许远程访问低预防性技术控制AXTSGL2012系统表访问权限设置低预防性技术控制AXTSGL3003安全事件审计低监测恢复技术控制AXTSGL3004黑盒跟踪低恢复管理安全控制AXTSGL3006C2 审计模式低监测和恢复技术控制
4 总 结
在进行计算机网络风险管理分析的基础上,提出了新技术下的风险防范模式和体系结构,同时将该防范模式成功应用到某市官方网站的主站数据库中。应用过程中选择了恰当的防范措施,根据新技术下风险防范实施点的选择流程确立了该数据库的防范实施点并严格按照风险防范实施步骤进行风险防范的执行,成功地使风险降低到一个可接受的级别,使得对机构的资源和使命造成的负面影响最小化。
虽然该防范模式在一定程度上降低了风险的级别,但是由于风险类型的不可预见性和防范策略的局限性,该模式未必使机构或系统的风险降到最低,因此风险防范有待于进一步改进和完善,这将是一个长期的任务。
参考文献(References)
[1]蔡昱,张玉清.风险评估在电子政务系统中的应用[J].计算机工程与应用,2004,(26):155-159.[Cai Yu,Zhang Yuqing .Risk assessment in Egovernment System[J]. Computer Engineering and Applications: 2004(26):155-159.]
[2]张平,蒋凡.一种改进的网络安全扫描工具[J].计算机工程,2001.27(9):107-109,128.[Zhangping, Jiangfan. Improved Network Security Scanner. Computer Engineering[J].2001,27(9):107-109,128.]
[3]卿斯汉.网络安全检测的理论和实践[J].计算机系统应用,2001,(11):24-28.[Qing Sihan. Network Security Detection Theory and Practice[J]. Computer SystemApplication,2001,(11):24-28.]
[4]戴志峰,何军.一种基于主机分布式安全扫描的计算机免疫系统模型[J].计算机应,2001,21(10):24-26,29.[Dai Zhifeng,He jun.Host based Distributed Security Model of the Immune System Scan the Computer[J]. Computer Application, 2001,21(10):24-26,29.]
Research on Risk Precention Model of Computer Network
YANG Tao1 LI Shuren1 DANG Depeng2
( 1. Computer Network Information Center,Chinese Academy of Sciences,Beijing 100190,China;
2. College of Information Science and Technology,Beijing Normal University,Beijing100875,China)
关键词:冶金企业 安全生产管理 风险管理 注意事项
中图分类号:F270.7 文献标识码:A
文章编号:1004-4914(2017)02-294-02
一、引言
(一)冶金企业引入风险管理的背景
为了进一步适应市场经济的需要,做好企业的安全管理工作,是所有企业面临的重要问题。如果企业中存在着某一方面哪怕是微乎其微的安全隐患,也会存在发生安全事故的可能性。一起安全事故的发生轻则给企业带来不必要的经济损失,重则会给企业带来灭顶之灾。所以,缺乏安全生产的企业就犹如无源之水、无本之木,这样是不会获得持续发展的。只有抓好安全生产工作,才能全面提升企业的安全管理水平,才能确保企业安全生产,才能实现企业经济效益最大化,才能更好地保持企业强劲的发展势头,增强企业在市场经济中的竞争力。
近几年,冶金企业在改造、更新、重组做大做强过程中,生产规模不断扩大,生产工艺不断革新、技术管理不断进步,特别是PLC在冶炼工序上的应用,工业自动化程度显著提高。所以,再沿用过去直接具体的传统安全管理方式、常规的管理模式已经不能适应现代企业生产形势的需要,已不能适应先进技术发展和生产秩序顺利进行的需要。安全管理在一定程度上呈现出与现代企业发展的不适应落后状态。
(二)风险管理的主要流程
冶金企业安全生产风险管理的主要流程可以用下图表示:
第一,目标规划。风险目标规划,是管理层在对外部环境和内部条件进行认真分析研究的基础上,对一定时期内税收风险管理的工作目标、阶段重点、方策略、主要措施、实施步骤等作出的具有系统性、全局性的谋划。一个完整的目标规划包括以下几个方面:内外部形势判断;组织目标的确定;实现的方针策略;实施的重点步骤;组织技术等保障。
第二,风险识别。技术层面的第一个环节,是关键环节或者基础环节。它的主要功能是寻找冶金企业安全生产风险发生的可能领域,识别风险发生的具体目标。
第三,风险等级排序。就是从两个变量来确定风险值。风险值与以下因素有关:风险事项发生的概率(可能性),风险事项发生的负面后果。风险值=事件概率×后果,数据值高=高风险,数据值低=低风险。风险等级估算的注意点:风险等级排序的价值是在比较中得到实证的;用经过等级估算选出的具体对象,与随机的,没有针对性的,任意的开展安全生产检查活动比较,来体现等级排序在安全生产管理中的作用。
第四,风险应对处理。针对风险我们能做什么?不是所有风险都需要应对的,可采取的正确的做法是:我们通常可以改变制度避免它,目前容忍接受它,积极应对减少它(减少可能性或结果)。
第五,风险管理的评估。风险评估的关键点有两个:需要关注影响和结果而非只注重投入与产出;质量衡量应与数量衡量相配合。评估方法要考虑结果评估与过程评估相结合。实现的途径是单项评估与多样化评估、综合评估相结合。
二、当前冶金企业安全生产风险管理方面存在的问题
近年来,全面风险管理已逐步成为国际经济领域的热点,企业风险管理日益为各国政府、企业以及相关经济组织所重视。在发达国家,不仅风险管理理论发展迅速,而且很多企业都已认识到风险管理的重要性,越来越多地将全面风险管理作为企业管理的重中之重。我国的风险管理理论及应用发展相对滞后,2006年10月国务院国有资产监督管理委员会《中央企业全面风险管理指引》,要求央属企业必须建立全面风险管理体系,切实加强企业风险管理工作。在国内冶金企业中,除少数大型央企建立健全了风险管理体系外,绝大部分企业全面风险管理仍处于被动状态,不同程度地存在风险管理意识不足,缺乏风险管理策略,缺少风险管理专业人才,以及风险管理技术、资金不足等问题。总的来说,国内冶金企业全面风险管理工作相对比较薄弱,具体表现为:
(一)企业发展战略与风险管理实际不匹配
企业对自身战略目标未进行有效的风险评价,甚至在目标制定时急于求成,希望以最快的方式获得回报,导致在经营发展过程中承担了过多自身难以承受的风险,加之缺乏相应的风险管理策略和措施,在重大风险事件发生之时无从应对,致使企业遭受巨额损失,战略目标难以实现。
(二)重视具体风险的管理,缺乏风险管理整体策略
在企业的风险管理工作中,往往将绝大部份精力投入到具体风险管理中,缺乏系统的全面风险管理体系,导致企业风险管理的资源分配不均,影响企业全面风险管理的整体效率和效果。
(三)多为事后控制,缺乏主动性
企业的风险管理多为事后控制,缺乏系统的、定时的评估,缺少积极的、主动的、灵活的风险管理机制,不能从根本上防范重大风险。
(四)缺乏强大的信息系统支持
企业内部对风险信息的认识不统一,尚未形成企业的风险信息标准和传送渠道,未形成协调、统一的沟通体系。对于具体风险,缺乏量化和信息化的数据支持,从而影响决策的效率和效果。
(五)风险管理职责不清
大部份企业没有专职的风险管理机构和相应的人力资源,风险管理职能、职责分散在不同的部门和岗位,缺乏明确的、针对不同层面的风险管理职能描述和职责要求。
三、冶金企业安全生产实施风险管理的注意事项
风险之于冶金企业,是与生俱来的。尤其是在当今经济日益全球化、竞争日益残酷的复杂市场环境中,冶金企业不仅面临着自然灾害、财产损害、业务中断、盗窃及产品责任等传统风险,还面临着市场风险、运营风险、财务风险、人力资源风险等诸多风险因素,尤其是安全生产领域的风险防控更是重中之重。如何强化全面风险管理,有效规避、分散、化解和抵御各类风险,是每一个冶金企业生存发展之路必须面对的问题。为此,结合风险管理的理念,冶金企业安全生产应该着力做好五个方面的注意事项。
(一)严格落实预防为主的方针
对事故的预测不是仅仅凭借经验和事故总结,而是在横向到边、纵向到底、不留死角的区域划分下,根据不同的区域特点,运用现代风险评估技术多角度、全方位进行风险分析,找出危险源,评价它的风险程度,制定对应级别的控制措施。这样就更加体现了预防为主的方针,使预防目标和手段更加科学。可以说,引入风险管理将使冶金企业传统的“防御式”被动安全管理转向“攻防式”主动安全管理,使冶金企业安全生产管理更加科学与有效。
(二)重视提高员工的风险管理意识和能力
将风险管理应用在冶金企业安全生产管理中时,需要围绕安全生产过程中的各项因素进行,特别是要重视“人”的作用,即加强对员工的培训,培训内容包括风险管理意识、风险辨别能力、风险控制能力、安全业务知识等等,关键内容就是事故的预防、关键环节的控制方式、重点监控措施、日常监控内容等等。在评估的过程中,要使用定性与定量相结合的方式进行,在风险的处理方面,要加强对评估结果的反馈以及反馈的响应工作,对于关键风险点的评估可以以隐患通知书或者其他专项整改方式的形式出现,在日常工作中要加强对反馈结果的处理,提升冶金安全生产管理的成效。
(三)风险管理要与生产实际相结合
要发挥出风险管理的效用,除了要遵循全面、系统的原则以外,还要将风险管理工作与生产的实际情况进行密切的结合,这样就能够将安全理论、经验教训与生产实践M行密切的结合,也可以将风险管理的效果发挥至最大化。此外,在风险管理的过程中,管理人员必须要加强与一线员工的沟通与交流,倾听他们的心声,积极地吸取他们的建议与意见,将风险管理与作业方式和事故类型进行密切的结合,这样才能够将风险管理的成效发挥至最大化。
(四)注重风险管理工作开展的持续性
将风险管理工作应用于冶金企业安全生产管理的工作中时,应该根据工作的实际情况以及具体的进度进行适当的调整,这样才能够适应新形势的发展,才能够令风险管理工作得到持续的改善,才能够推动风险管理工作的全面发展。
(五)完善风险管理的监督评价机制
完善的监督评价机制能够有效保证冶金安全生产风险管理工作的顺利开展,因此冶金企业应该在原有监督评价机制的基拙之上,进一步完善风险管理监督评价机制:
1.冶金企业应该在遵循冶金行业安全监督规范标准的基础之上建立冶金企业安全生产风险管理监督体系,对冶金企业执行有关法律规范、规章制度进行严格的监督,这样能够有效督促冶金企业按照冶金行业安全生产规范进行冶金产品的生产。
2.冶金企业还应该进一步完善风险管理评价机制,制定科学合理的评价指标对冶金安全生产状况展开综合评估,这样能够及时发现冶金生产过程中可能会出现的安全事故,并且采取合理措施加以控制,这样能够确保冶金安全生产风险管理的效果。
四、结语
随着我国经济的蓬勃发展,生产规模的不断扩大,生产过程中大量使用新工艺、新材料,新技术不断得到推广和运用,由于管理跟不上规模的扩大,对新工艺、新材料、新技术的安全特性认识不足,片面追求经济效益,致使生产安全事故不断发生,火灾、爆炸、空难、化学品及核泄漏事故等严重威胁着人类的安全和健康。事故不仅造成经济上的损失,而且给人类的心灵留下久久的创伤和难以抹去的阴影,也给个人、家庭和社会留下了沉重的包袱和不稳定因素。实施以风险管理为导向的安全生产管理是控制和减少事故的重要手段,一方面通过宏观的安全生产管理来解决全社会共性的问题,是促进安全生产工作的根本途径;另一方面通过推动企业安全生产管理,提高广大干部职工的安全意识和安全知识水平,控制和减少事故隐患、杜绝“三违”现象。同时,推行现代安全管理来满足现代企业安全生产的需要,降低人类的风险代价。总之,只有不断创新和进步,搞好安全生产管理工作,才能有效实现安全生产目标。
参考文献:
[1] 方晓岭.冶金企业安全生产应急管理体系研究[J].世界有色金属,2016(13):137~139
[2] 许传高.当前我国冶金企业安全生产管理存在的问题分析[J].现代企业教育,2012(03):172
[3] 侯茜,刘峰,邬开发.安全生产标准化在冶金企业落地生根探研[J].工业安全与环保,2013(12):43~45
未来企业的竞争说到底将由资源竞争转化为管理竞争,进而成为成本管理的竞争,公司应把成本管理纳入整个市场经济大环境中予以全面客观的考察,根据公司具体情况确定和实施,明确适当的发展战略,把握机遇,主动积极地适应和驾驭外部环境,尽可能的规避风险,降低风险,建立风险评估机制逐步完善风险应对体系,采取有力的措施,沉着应对复杂纷繁的经济金融环境,在危机中平稳过渡,在竞争中取得主动,最终实现企业预定的战略目标。
一、风险管理
当前国际国内的经济活动竞争性加剧,经济关系纷繁复杂。企业在社会上生存,不可避免的会遇到一系列风险,任何重要风险处理失当都可能导致企业经营的失败,造成巨大的经济损失。企业要谋求持续健康的发展,就必须处理好风险问题,一方面要加强风险分析、预测,建立风险预警体系,及时采取有针对性的措施,化弊为利;另一方面,当风险发生后,采取恰当的风险控制、风险应对措施。现阶段我国企业内部管理比较薄弱,尚未健全完善的成本管理体系,与现代企业制度的要求有一定差距。重经营轻管理的思想依旧存在,对成本风险管理的意识还比较模糊。体现在以下两方面:(1)国内相当多的公司内部信息严重不对称、不透明。出于各种利益考虑,企业管理部门之间不愿及时提供相关信息,造成信息“孤岛”,企业的高层管理者难以获取准确的财务会计信息。这些内部管理制度不健全的情况,极易形成安全隐患,增大企业的生产经营风险。(2)一些制造企业只注意生产环节中的成本管理,忽视供应环节和销售环节的成本管理;只注意投产后的成本管理,忽视投产前产品设计环节以及生产要素合理组织的成本管理。一些企业的投产前成本管理意识薄弱,成本预测、成本决策缺乏前瞻性、制度性;成本计划缺乏科学性、规范性,因此,造成生产中、投产后成本管理的盲目性。
二、本文由收集整理将风险管理理论用于成本管理
风险管理作为一种日趋成熟的管理理念和方法,在国际上不仅得到了经济界的重视,而且在公司管理上也得到了广泛而迅速的应用。二重集团公司在成本管理工作中引入风险管理机制,是一个重大的理论与实践问题,是成本管理工作的一项创新。风险管理的主要目标就是在损失发生之前,全面消除损失发生的根源,尽量减少损失发生的概率,形成一套长效机制。应用风险管理理论实现成本管理的要求是对超前预防的有效探索和实践。而对于二重集团公司而言,将“风险管理”等现代管理理念和科学方法引入日常经营管理的实践当中,针对各业务操作环节中出现的短板和”瓶颈”问题,超前预防,前移监督关口,积极掌握内部控制的主动权,增强内部控制的预见性和可操作性,用发展的思路和创新的办法推进公司制改革,为有效预防风险开辟了一条新思路。目前二重集团正以科学发展观为指导,实施“一个中心,两个基地”的战略布局,加快发展,向着建设国际化大公司的目标坚强迈进。通过结合自身生产、经营和管理的特点,将风险管理体系应用到成本管理中去,通过对全体员工在履行岗位职责、行使权力中面临的以及潜在的风险进行识别、评估,采取针对性防范措施,做到潜在问题早防控,有了问题早发现,一般问题早纠正,严重问题早查处,最终使大家不犯或少犯错误。
三、风险管理理论应用于成本管理的实施步骤
(1)建立综合信息框架。第一,开展风险辨别评估培训,明确阶段工作要求和计划;第二,发放资料清单,收集内外部资料,汇总整理风险管理初始信息;第三,对风险管理初始信息进行初步分析,提炼风险事件。(2)风险评估。开放风险评估系统,指导各部门工作人员填写风险事件,发放问卷调查,对回收的风险事件进行整理、筛选、分类。有了重点之后,按照风险管理的要求,将纳入风险管理重点检查的各个项目进行逐一梳理和认真分析,并且形成分析意见。之后将分析排查的意见反馈给公司成本办或审计部,依据分析意见最后确定风险评估结论,并出具相关报告。在充分识别各种潜在风险因素后,对固有风险进行分析,同时重点分析剩余风险。用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点。(3)风险策略。企业在分析了相关风险发生的可能性和影响程度后,结合风险承受度,权衡风险与收益,确定风险应对策略。常见的风险应对策略有:风险规避,即改变或回避相关业务,不承担相应风险;风险承受,即比较风险和收益后,愿意无条件承担全部风险;风险降低,即采取措施降低发生不利后果的可能性;风险分担,即通过购买保险、外包业务等方式来分担一部分风险等,例如公司在生产一套成台轧机中发现某部件自己加工风险很大,则可以采取风险分担的风险策略将其分包给外协厂家。(4)风险管理监督与改进。结合各业务环节易出现的失控点,提出风险对策并采取具体措施加以整改,以规避、降低、化解或消除风险。从成本入手规划企业的目标成本,建立动态成本信息反馈系统,逐步形成公司成本数据库;逐步完善经济责任制体系,努力提高全员成本意识水平,加强不同专业、不同流程之间的合作和沟通,形成分工负责、有机协调的成本管理体系,体现结果与过程并重的原则。集团公司多年来实行的经济责任制考核体系即是风险管理的一种积极尝试。根据成本科目将目标成本分解成《目标成本控制责任书》,对各项费用的责任单位、科室、工段、班组、个人及其主要职责的说明,包括控制的内容、控制的要点和手段,形成成本控制的指引。经济责任目标与职工薪酬挂钩考核,并对二级单位负责人实现经济责任制离任审计。每期的责任成本都要严格落实到责任单位和责任人,使风险管理真正能够见到实效。
目前二重集团公司在应用风险管理实现成本控制的工作中还有一些需要进一步改进的领域。如在产品设计阶段,许多靠转化图纸来设计的产品,产品设计的随意性很大,部分设计人员的责任心亟待提高,特别是由于设计的原因造成的变更、换发、增补等现象频频发生,有些设计人员发生设计错误时甚至直接增补一件或一批零件,不说原来的报废也不说原来的的可以用,由此耗费了许多企业资源,这些都需要采取一些措施,通过纳入风险管理来细化管理,控制风险,以减少产品设计风险带给企业的巨大负面影响。另外,企业里有些是制度不健全,需要建立健全,但更多是执行不够,有章不循的问题,必须下大气力解决执行力的问题。加强成本管理,不仅要认真抓好事后分析,更重要的是做好事前预测、事中控制,针对问题的根源和制度的缺陷,采取预防性措施,做到未雨绸缪,真正实现企业成本管理的低风险。俗话说,欲速则不达。在企业成本管理过程中实施风险管理,不能一蹴而就,也不能期望一次防控就大功告成,而是一项循环往复的长期工作。因此,引用质量控制理念,进行pdca循环管理,进行计划、执行、考核、修正管理四个环节。在此基础上,收集相关政策、行业、市场、运营风险等信息;进行风险与收益分析,包括敏感度分析、情景分析等因素;建立有效的信息共享与沟通机制,及时风险预警信息,从事业部或子公司的角度出发,全面考虑风险对公司成本、费用的影响,定期回顾生产计划于实际执行的偏差,制定备选方案;针对风险点,积极采取风险点防范措施,增强风险点防范的针对性和实效性。进一步健全和完善成本管理工作机制,增强成本管理的整体效应。
关键词:建筑施工企业 风险管理 内控 对策
随着国际国内形势复杂多变,全球经济增长疲弱,国际金融市场剧烈动荡,国内的财政政策由积极走向紧缩,由投资拉动改为控制通胀,国内建筑市场尤其是铁路市场由大规模投资转向了急刹车,建筑企业的生存和发展面临着前所未有的压力和挑战,面临着经营、安全、质量、资金、法律、“走出去”风险等诸多风险,加强以“控制企业重大风险,防止重大风险事件,避免重大风险损失”为主要内容的企业风险管理与内控建设迫在眉睫。
1.当前建筑施工企业发展中存在的问题
1.1建筑施工企业旧体制遗留问题多,资源配置不充分,用人机制不灵活,垫资施工现象严重,工程拖欠款回收困难。
1.2企业制度的设计制定缺乏科学性,缺乏人性化管理,基层管理者对企业制度的贯彻执行不到位,制度执行力差。
1.3企业面临的不确定因素多,风险预测、评估和应对困难,抗风险能力差。
1.4基础设施建设市场竞争激烈,招标中恶性竞争,低价中标,增大了企业盈利风险。
1.5工程项目多,分布范围广,施工时间长,控制措施不到位,导致部分项目失控,增大了项目风险。
2.建筑施工企业开展风险管理和内控的意义
开展和加强企业风险管理既是国家监督管理的要求,也是企业自身发展的需要。一是加强风险管理和内控是国家“五部委”监管的要求;二是加强风险管理和内控是国资委的明确要求;三是加强风险管理和内控是两地交易所对上市公司监管的要求;四是加强风险管理和内控是企业自身发展的要求。加强风险管理和内控建设有助于建筑施工企业防范经营管理风险、有助于提高经济效益、提高全体员工队伍的整体素质、促进企业的健康、良性、可持续发展。
3.开展建筑施工企业风险管理和内控的程序步骤
3.1健全工作机构。成立专门的风险管理和内控建设工作机构,由公司主要领导担任组长,相关分管领导担任副组长,总部相关业务部门为领导小组成员。重点研究解决内控体系建设过程中的重大事项,定期开展协调会商通报,做到人员到位、工作到位、责任到位,有序推动风险管理和内控体系建立工作的开展。
3.2狠抓应用培训。积极组织开展培训工作,不断提高员工自身素质。针对《企业内部控制基本规范》解读、管理框架设计、业务流程绘制等风险管理建设的相关内容和知识,进行全员集中培训,同时利用各种会议和专题座谈等方式,重点进行一对一的培训,为搞好风险管理和内控建设奠定基础。
3.3完善规章制度。围绕企业发展战略、管控模式、内控现状、潜在风险等,建立科学有效的风险管理和内控机制,及时进行流程管理框架设计、流程图绘制及流程描述、公司层面重大风险评估、流程关键控制点辨识,并与相关业务流程进行了全面对接,确保重大风险在业务流程中得到有效控制。
3.4优化业务流程。及时梳理优化业务管理流程,补充建立和修订管理制度,识别流程控制目标,识别确认关键控制点,本着边建立、边整改、边完善、边提高的原则,进一步完善风险管理和内部控制机制,确保企业经营管理水平不断提高。
3.5总结推广实施。按照风险管理与内控体系建设工作的总体规划和实施步骤,适时选取板块业务或单位进行试点推进,并及时总结试点的经验和教训,整改提高完善后,以试点为示范进行全面推广实施。
4.加强企业风险管理与内控的对策和措施
一是评估风险,有效识别,健全风险防范机制。积极开展风险评估,识别关键风险和关键控制点,及时对关键风险进行评价和缺陷分析,对关键控制点进行有效性测试,识别和评估内控体系中的薄弱环节。对于企业的重大决策、重大事项、重要人事任免,按照规定的权限和程序进行决策。建立风险数据库,及时进行控制评价和缺陷分析,确定整改方案,落实责任部门和时间表,加强风险事前预测、事中管理、事后分析总结。健全风险管理责任制,建立从班子决策到风险管控部门,最终到企业员工的责任链条,进一步建立健全风险管理体制机制。
二是落实规范,健全制度,构建内控管理体系。根据国资委《中央企业全面风险管理指引》和五部委颁发的《企业内控基本规范》要求,健全集团风险管理和内控体系,按照要求对现有管理制度、职责分工和业务流程进行全面梳理,力求各项管理工作实现程序化、规范化、制度化和标准化。抓紧制定出台《企业管理手册》,编制《全面风险管理程序(手册)》、《全面风险管理报告》、《重大事项报告程序》及《操作指导》,进一步梳理规范内部机构设置和业务流程,理顺管理关系,改进工作流程。
三是全员参与,主动管理,提升系统管控能力。系统部门要充分发挥调控、策划、督导和服务职能,超前策划,主动管理,提高工作质量和效率,提高系统指令的严肃性和公信力。要着力推动信息技术在研发、设计、生产施工、项目管理等方面的应用,重点做好工程项目管理综合信息系统等软件的培训、推广工作,加强企业OA平台建设,提升企业信息化管理水平。加大对重大法律纠纷案件的管理力度,建立健全备案、统计分析、综合评估、重大法律纠纷案件的责任追究等制度。
四是把握核心,突出重心,推进全面预算管理。现金流是企业持续经营生产的命脉。要以营业收入为重心,建立健全现金流量预算管理体系。坚持以工程项目预算为基础,合理引导和优化资源配置。要强化预算执行的过程控制和监督力度,建立预算指标预警机制,加强预算执行的跟踪分析,及时掌握预算执行进度与效果,加大责任调查与追究力度,增强执行预算的自觉性。
五是制定目标,过程监控,严格落实集中管理。在当前国家政策调整、企业经营生产举步维艰的形势下,必须全心全力做好企业基础管理工作,认真贯彻落实资金、物资、设备、劳务的集中管理。资金集中要提高集中量,提升资金的使用效率;物资、设备的集中采购要做到采购权与管理使用权的分离;劳务集中要做到劳务队伍的集中准入、选择和年审,培育长期稳定的劳务队伍。以集中管理引导企业实现从粗放式管理向精细化管理的转变。
六是梳理排查,堵塞漏洞,提升风险防控水平。通过内控体系建设,增强集团公司对子分公司的管控力度和管控深度,进一步完善内部控制机制,消灭管理“真空”,堵塞管理漏洞,从根本上增强风险防控能力。把系统指导与现场检查相结合,将风险管理、内部控制、价值链、流程管理和职业健康安全、环境和质量管理体系的理念融为一体,以点带面,认真扎实地搞好风险管理,全面提升企业风险管理水平。
总之,全面推进和加强企业风险管理和内控建设对于建筑施工企业的健康、良好、可持续发展,具有举足轻重的作用,作为新形势下的建筑施工企业要有效规避企业运营风险、适应激烈的市场竞争、实现企业转型快速发展,必须行之有效地推进企业风险管理,建立一套健全有效、管理科学和行为规范的风险防范体系,控制企业运行风险,提高企业运行质量,保障企业又好又快发展。
参考文献:
[1]高立法、虞旭清.企业全面风险管理实务[M].北京:经济管理出版社.2009
根据省财政厅、省监察厅、省审计厅及省卫计委文件的要求,结合蚌医二附院“十三五”发展战略的要求,提高效益,回报社会,惠及职工。按照“全面启动、分批实施、务求实效”的原则,以全面测试、梳理医院内部控制现状为基础,以防范风险和提高效率为重点,以分析单位内部控制缺陷、补充修订管理制度、职责分工和业务流程为手段,建立涵盖本单位的决策层、执行层、业务层等各个层级的全员、全过程内控体系。从而有效保证医院经营管理合法合规,资产安全,财务报告及相关信息真实完整,提高经营效率和效果,促进实现医院发展战略。
医院内部控制体系建设的总体目标是:按照医院内控建设工作的整体部署,于20**年年底前完成内部控制的建设和实施工作,力争到20xx年底,遵照《行政事业单位内部控制规范》(试行)和《医院内部控制制度(试行)》、《蚌医二附院内部控制体系建设实施方案》,在全院范围内建立统一、规范、完善的内部控制体系并使之有效运行。
二、内部控制体系建设原则及要素
内部控制体系建设的主要任务是:建立覆盖医院各项经营管理活动的内部控制体系;制定评价标准、监督检查并促进内部控制制度有效执行;实现内部控制与全面风险管理有机结合,提高基础管理水平和风险防控能力。此次内控建设具体包括全面预算、收支管理、采购业务、资产管理、建设项目管理、合同管理、财务报告、内部信息传递和信息系统等在内的医院运营管理的各个方面。
按照《安徽省财政厅、安徽省监察厅、安徽省审计厅关于全面推进行政事业单位内部控制建设的实施意见》(财会〔20**〕212号)的要求,以《行政事业单位内部控制规范》(试行)为统领,梳理、修订、健全单位现有各项规章制度,细化、完善各项经营管理业务(工作)流程,建立适应医院经营管理实际需要的内部控制制度体系。
1、建立内控体系的必要性:完善的内部控制制度体系是约束、规范医院管理行为的准则,是减少风险、风险防控的基本保证,可以保障经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和管理水平,促进医院发展战略和目标的实现。
2、建立与实施内部控制遵循下列基本原则:
(1)全面性原则。内部控制应当贯穿决策、执行和监督全过程,覆盖医院的各种业务和事项。
(2)重要性原则。内部控制应当在全面风险管理控制的基础上,关注重点领域和高风险领域。
(3)制衡性原则。内部控制应当在医院治理结构、机构设置及权责分配、业务流程等各方面相互制约、相互监督,同时兼顾运营效率。
(4)适应性原则。内部控制应当与经营规模、业务范围、竞争状况和风险水平等相适应,根据业务发展和管理需要持续改进内部控制制度,并随着情况的变化及时加以调整,建立动态调整机制,防止制度缺失和流程缺陷。
(5)成本效益原则。内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。
3、建立与实施有效的内部控制涵盖如下五要素:
(1)内部环境。内部环境是实施内部控制的基础,主要包括治理结构、机构设置及权责分配、人力资源政策、企业文化等。
(2)风险评估。风险评估是医院及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。
(3)控制活动。控制活动是医院根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。
(4)信息与沟通。即及时、准确地收集、传递与内部控制相关的信息,确保信息在医院内部、医院与外部之间进行有效沟通。
(5)监督。内部监督是对内部控制体系建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷时,应当及时加以改进。
4、以价值管理为主线,以风险管理为导向,全面梳理和优化各项业务(工作)流程,明确关键领域和控制点,制定修订完善制度流程,制作内部控制制度汇编,建立形成内部控制制度体系。
5、按照管理制度化、制度流程化、流程信息化的要求,推进内部控制信息化建设,各业务流程嵌入信息系统,实现控制措施在线运行。
三、建立内部控制组织体系
为确保医院内控建设工作顺利推进,保证内控机制有效运行,医院将建立内部控制组织体系,通过建立健全内部控制的组织体系,使管理层及决策层能及时获得适当信息;全体员工能共同参与内部控制建设,共担内部控制责任;各层级、各部门、各岗位明确内部控制职责。
内部控制的组织架构有四个层面,分别是决策、管理、执行、监督。决策层面包括:院长办公会、内部控制建设领导小组;管理层面包括:内部控制建设执行小组;执行层面包括医院内部各职能部门和各业务部门;监督层面是单位审计部门。
(一)院长办公会
是医院最高决策机构,负责内部控制的建立健全和有效实施;审议年度内控评估报告;审议内控与风险管理的重大策略,重大风险及内控缺陷的解决方案;审议内部控制建设领导小组设置及其职责方案;审批内控最终工作成果;有关内部控制及风险管理的其他事项。
(二)内部控制建设领导小组职责
医院将设立内控建设领导小组,待领导过会讨论通过后实施。
内控建设领导小组组长由医院院长担任,是医院内控体系建设的第一责任人。内控建设领导小组对内控工作实施进行全面领导、决策、部署和指挥。
内控建设领导小组
组长:崔 虎 赵东城
副组长:邹 杰 张春福
成员:关 超 杨青扬 王 群 李传辉
主要职责:
1)负责确定内控体系建设的总体目标、政策、制度、工作范围;
2)负责明确内控体系建设的整体部署及内控工作的运行管理;
3)负责针对内控管理缺陷提出合规性管理建议及改进方案并推进整改;
4) 有关内部控制管理的其他事项。
(三)内控工作小组职责
内控建设领导小组下设内控建设执行办公室,内控建设执行办公室设在财务部门,由财务科科长担任主任,执行办公室负责内部控制体系建设工作的具体开展。
内控体系建设执行办公室
主任:王 瑞
副主任:赵玉娟 江本钗
成员: 刘 霞 王迪生 刘传高 张纪锐 毛炳飞 张 瑜
主要职责:
1)负责内控体系建设成员的职责分工;
2)负责确定内控体系建设的具体时间安排;
3)负责组织医院内部资源的对接、沟通、协调;
4)记录或更新业务流程图、评估内控设计及操作的有效性;
5)反馈内控缺陷、上报内控工作执行情况及重大问题、将年度内控评估报告提交内部控制建设领导小组审阅;
6)内控工作文档管理;
7)负责本次内控体系建设的其他实施工作。
(四)内审部门职责
作为内部审计职能部门,审计科室要对内控建设实施情况进行日常监督和专项检查,配合内控执行小组对本院内控建设工作进行评估。
(五)各职能部门及业务部门
为内控工作小组开展工作提供支持和协助,组织安排本部门或单位涉及内控工作所需资源,协调本部门或单位内控工作开展的各项重要事宜。
各职能部门及业务部门应由专人兼职负责本部门的内控管理工作,即内控管理员。内控管理员职责包括:
1、联系本单位内控建设执行办公室相关人员,提供工作所需各项资料;
2、协助组织描述本单位的主要业务流程、关键控制点及重要的控制措施,协助内控问题记录,提出整改建议或方法等;
3、 协助本单位内控缺陷的整改,及时反馈缺陷整改情况以及内部控制的主要情况等;
4、 编制本部门内控评价报告。
5、组织安排与内控管理相关的其他工作。
由于内控管理员是内控工作办公室与各职能部门或业务部门对接沟通的纽带,起到承上起下的作用,所以内控管理员的工作需要各部门领导的大力支持,需要全体员工的积极参与与通力协作。
四、内控体系建设工作步骤
内控建设工作涉及医院运营管理的全过程,包括各个层面、各类业务、各项制度流程,涉及面广,内容庞杂,按照省卫计委通知要求,计划于20**年5月至20xx年底完成内部控制体系构建工作。
实施步骤
根据《安徽省财政厅、安徽省监察厅、安徽省审计厅关于全面推进行政事业单位内部控制建设的实施意见》(财会〔20**〕212号)要求,结合医院的业务及管理情况实际,在原有内控制度的基础上进行改进,内控体系建设工作计划20**年5月初启动,具体按以下步骤实施:
项目时间工作内容阶段成果120**。5—20**。6启动部署阶段成立医院内控建设领导小组及执行办公室,召开启动会议,做好动员工作220**。7—8现状分析阶段内控测评报告320**。9—10制定内控实施方案阶段内部控制实施方案420**。11—20xx。10内控方案实施阶段内控测评报告520xx。11—20xx。12内控缺陷整改与优化阶段形成年度内控评价报告 (1)前期准备(20**。5—6月)
成立医院内控项目工作小组,召开启动会议,做好动员工作
(2)现状分析阶段(20**。7—8月)
通过访谈、会议研讨和审阅主要内控文档等方式,针对现有内部控制规范手册(试行)中关键内控点与实际工作情况经行分析,了解内控要素现状, 编制内控测评报告。
(3)制定内控实施方案阶段(20**。9—10月)
在对内控现状评价分析的基础上,制定切实可行的内部控制实施方案并交领导小组审阅。
(4)内控实施阶段(20**。11—20xx。10月)
各部门根据内控实施方案开展本部门的内控工作,并对实施阶段内部控制体系建设工作进行回顾总结,重点围绕健全内控体系建设、管理提升、风险防控和经营管理成效等方面总结经验做法,形成科室内部控制自查报告及医院内控有效性评价报告。