引論:我們為您整理了13篇企業風險管理案例范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。
篇1
一、風險管理理論框架
風險管理理論發展至今,不同的學科、不同的專業機構、團體、研究學者有不同的認識和理解,于是產生了不同的理論派別。本文的理論框架主要來源于美國COSO委員會制定的《企業風險管理――整合框架》。
二、公司簡介
某集團有限公司是中國最大的肉制品生產企業之一,其產品包括冷鮮肉、冷凍肉、以及以豬肉為主的低溫肉制品、高溫肉制品。
集團總部設于中國江蘇省南京市,擁有多處冷鮮肉、冷凍肉生產基地及深加工肉制品生產基地。集團擁有最先進的生產設備和工藝技術,以其獨有的技術方法,研制出一系列符合消費者口味的優質產品。基于肉制品業務的經驗,集團于1997年開展冷鮮肉和冷凍肉業務。2002、2003年,冷鮮肉、冷凍肉的市場占有率分別位列中國大陸第二名、第三名。低溫肉制品,自2002年至2004年,其市場占有率連續三年位居中國大型零售商銷售首位。
對某集團而言,企業的迅速壯大是成功的標志,但更是企業所面臨的挑戰。作為一家迅速發展中的企業,集團深刻意識到專業化管理對于企業壯大的重要性。因此,集團時刻致力于強化企業的專業化管理,增強企業的核心競爭力。
三、某集團風險管理流程存在的問題及對策建議
(一)風險管理文化
1. 存在的問題。某集團雖然在香港聯合證券交易所上市,但其實質仍是一中國民營企業,該企業按照香港的《上市規則》建立了法人治理結構,建立健全了一系列“法治”的規章制度,但其“人治”的色彩非常濃厚。內部控制對高級管理層的約束力較弱。
2. 對策建議。在風險管理方面,首先要做的工作是在全公司范圍內自上而下進行一次風險管理的宣傳、教育、培訓,增強員工風險管理意識,董事和高級管理人員應在培育風險管理文化中起表率作用。重要管理及業務流程和風險控制點的管理人員和業務操作人員,應成為培育風險管理文化的骨干。與薪酬制度和人事制度相結合進行風險管理文化建設,增強各級管理人員特別是高級管理人員風險意識,防止盲目擴張、片面追求業績、忽視風險等行為的發生。加強員工法律素質教育,制定員工道德誠信準則,形成人人講道德誠信、合法合規經營的風險管理文化。
(二)風險管理組織體系
1. 存在的問題。在公司現有的組織結構里,沒有專職的風險管理機構。董事會下既沒有設風險管理委員會,也沒有設審計委員會。風險管理職能由其他部門(如總經辦、審計部、投資發展部)根據需要分散承擔,由于風險管理職責不明確,缺少對各種風險的整合管理。
2. 對策建議。董事會就全面風險管理工作的有效性對股東大會負責。 在董事會下設風險管理委員會,整合現有風險管理資源。明確總經理對全面風險管理工作的有效性向董事會負責。總經理委托的高級管理人員負責主持全面風險管理的日常工作,成立風險管理部,負責組織協調全面風險管理日常工作,除一至兩個專職人員外,其他人員可暫由其他部門派人兼任。內部審計部門在風險管理方面主要負責研究提出全面風險管理監督評價體系,制定監督評價相關制度,開展監督與評價,出具監督評價審計報告。
(三)風險識別、評估、排序
1. 存在的問題。現在進行重點管理的十三種風險,還是一年前管理層通過討論識別、評估確認的,一年來沒有重新進行識別、評估、排序。而一年來公司內外部環境都發生了很大的變化,原來識別的風險范圍是否充分、評估排序是否恰當,亟需進行重新審視。
2. 對策建議。在進行風險管理宣傳的同時,設計、發放調查問卷,發動公司所有員工對公司面臨的風險和機會進行識別,對調查結果進行統計、分析、總結,篩選出主要風險后,在管理層范圍內對這些風險進行打分,評估重要性后排序。而對于識別出來的機會,管理層要考慮如何加以充分利用。
(四)風險管理策略與方法
1. 存在的問題。公司現有的針對十三種風險采取的防范措施幾乎全部可歸結為抑制與控制策略,以期降低損失發生的可能性、頻率,縮小損失程度。這十三種風險范圍之外的風險可以說是采取了風險接受策略。而對于風險規避策略、風險轉移策略、風險利用策略則極少采用。在風險管理策略與方法的選擇上顯得比較保守,缺乏靈活性。而對于機會,則沒有明確的策略進行利用。
2. 對策建議。在對公司面臨的風險進行重新識別、評估后,在風險規避、風險轉移、風險抑制與控制、風險接受、風險利用等策略上靈活選擇,可通過保險、契約、合同、金融工具等形式將風險轉移出去。同時要對機會加以利用,并反映到戰略目標、經營目標的制定上。
(五)風險管理監控與檢查
1. 存在的問題。公司目前沒有專職人員對風險管理進行監控,對風險管理的監控依賴于對日常經營活動進行監控的日報、月報系統,而在日報、月報內容中并無專門對風險管理情況進行報告。內部審計系統在執行審計任務時,偏重于財務審計、舞弊審計、經營管理審計,而對于風險管理審計尚處于探索階段,尚未全面開展風險管理專項審計。高級管理層則沒有對風險管理進行專門的監控與檢查。
2. 對策建議。內部審計部門開展風險管理專項審計,研究提出全面風險管理監督評價體系,制定監督評價相關制度,開展監督與評價,出具監督評價審計報告。可結合例行審計、任期審計或專項審計工作一并開展風險管理審計;在日報、月報系統中增加對各單位風險管理狀況自查報告的內容。高級管理層每年至少一次對風險管理狀況進行評估。
(六)風險管理溝通與咨詢
1. 存在的問題。公司缺乏專業的高水平的風險管理師,缺少專門的風險管理溝通渠道,而溝通與咨詢存在于風險管理的各個環節當中,這也是風險管理難以有效開展的重要原因。
2. 對策建議。公司公開招聘風險管理師,或聘請有資質、信譽好、風險管理專業能力強的中介機構對企業全面風險管理工作進行評價,出具風險管理評估和建議專項報告,培訓風險管理人員;在現有的信息系統中開辟專門的風險管理溝通渠道。
四、結語
企業要想在市場經濟的大潮中基業長青,必須對面臨的各種風險進行系統地、全面地管理,這已是不爭的事實。借鑒西方先進的風險管理理念、理論、方法、工具,結合本企業具體實際情況,對內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監控八個風險管理要素逐一進行分析和評價,查找問題和不足,對風險管理文化、風險管理組織體系、風險識別、評估、排序、風險管理策略與方法、風險管理監控與檢查、風險管理溝通與咨詢等關鍵的風險管理流程采取措施不斷完善,逐步建立企業風險管理系統,是解決風險管理問題的最佳實務。企業應當增強風險意識,逐步建立風險管理系統,為企業保駕護航,這樣企業才能在市場經濟的大海中劈波斬浪,遠航。
篇2
確保人身、電網、設備安全,實現安全發展,是建設“一強三優”現代電力公司的必然要求,也是電力企業重大的經濟責任、社會責任和政治責任。近年來,公司全面落實科學發展觀,深入貫徹“安全第一、預防為主、綜合治理”方針,加強“全面、全員、全過程、全方位”安全管理,深入開展反違章和隱患排查治理等工作,強化應急機制建設,有效保障了人身、電網安全和可靠供電。
一、風險管理的概念
風險管理是以工程、系統、企業等為對象,分別實施風險危險源的辨識、分析、評估、控制,從而達到控制風險、預防事故、保障安全的目的。風險管理的應用最早出現在20世紀30年代,并從50年代開始,發展了分析和控制的相關理論,到現在歷經70多年,形成了一套完整的理論、方法和應用技術。目前,以安全性評價為主要形式的風險管理已在機械、化工、石化、冶金、電力等工業部門得到了廣泛的應用,并逐漸走上了規范化、法制化軌道。
安全管理的實質是風險管理。企業安全生產中總是客觀存在著人的不安全行為、物的不安狀態和環境的不安全因素,這些危險因素暴露在具體的生產活動中就形成了風險,一旦風險失控就可能導致安全事故的發生。在電力系統推進風險管理,要充分借鑒以往安全性評價、風險分析與控制等工作經驗,建立相應的工作標準和工作機制,注重識別各種風險因素,采取切合實際的控制措施和方法,防范安全事故發生。
二、風險管理內容及特點
1.風險管理的內容
風險管理的內容主要有風險辨識、風險控制和風險評估。
風險辨識
風險辨識是針對企業生產過程中常見的事故類型,列舉分析可能存在的危險因素、需要注意的問題和典型事故案例,用于辨識和防范現場作業過程中可能存在的安全風險。
風險控制
風險控制是企業安全生產工作開展過程中,結合工作實際和專業特點,針對作業計劃、布置、準備、實施的全過程,辨識作業中可能存在的風險,有針對性地落實預防措施,保障作業的安全實施。
風險評估
風險評估是以防止人身傷害和人為責任事故為主線,評估企業安全管理和安全控制狀況,評判企業安全風險程度。
2.風險管理的特點
風險辨識、風險控制和風險評估作為風險管理的重要組成部分,一方面注重對物、環境和安全管理工作的評估,反映企事業單位安全生產管理基本狀況;另一方面重視作業過程和具體作業行為的安全風險控制,反映企業安全生產過程的受控程度。
風險評估堅持“以人為本”的理念,引入了對“人”的安全風險管理,在人員素質評估方面,不但強調了作業和管理人員安全知識和技能,還提出了生理、心理等安全適應性問題;在作業行為評估方面,強調人的不安全行為,以及在事故當中表現出的人為因素。
三、風險管理在供電企業安全管理中的應用
早在2008年,國家電網公司就在借鑒和吸收國際先進安全管理理念和方法的基礎上,將現代風險管理理論和電網企業實際相結合,組織編制了《供電企業安全風險評估規范》和《供電企業作業安全風險辨識防范手冊》。
其基本內容和特點為:
1.編制風險預控實施計劃。認真總結和借鑒企業安全風險評估試點工作經驗,研究確定開展作業安全風險預控的主要內容及專業范圍,組織制定推進計劃和工作方案,參照制定企業安全風險評估標準、作業安全風險辨識防范手冊,為推進作業安全風險預控建立基礎。
2.開展風險管理教育培訓。以作業安全風險辨識防范手冊為重點,認真開展基層員工安全風險管理教育培訓。結合崗位實際,利用班組安全活動、集中授課、事故案例學習、作業實訓等多種形式,使員工全面掌握作業項目安全風險辨識內容和方法,提高作業安全風險意識和崗位安全風險辨識防范能力。
3.開展靜態安全風險辨識。參照企業安全風險評估標準,利用春秋季檢修預試、日常巡視檢查、專項巡視檢查等,系統查找和識別設備、環境、工器具、勞動防護以及物料等存在的靜態安全風險,逐條制定針對性防范措施,建立企業安全風險數據庫,并做好日常完善與維護工作。
4.實施作業安全風險控制。各實施班組(工區)作業前,應依據靜態安全風險庫,并參照作業安全風險辨識防范手冊,確定作業靜態安全風險,同時對本次作業的特殊危險點、作業對象、作業環境、作業方法、工作量、進度要求、人員組成等進行分析,查找出本次作業特有的危險因素,評估風險等級,制定控制措施,通過填寫安全風險預控卡或與作業指導書相結合,并在作業過程中嚴格落實,保障作業全過程的安全。
5.改進作業安全風險預控。結合靜態安全風險辨識和作業安全風險控制推進情況,以及作業實施中暴露的危險因素和安全風險,補充完善本單位安全風險數據庫、企業安全風險評估標準、作業安全風險辨識防范手冊等,促進作業安全風險防范和控制的持續改進。
四、取得的成效
一是豐富和完善了安全管理的內涵和外延,從側重對物的不安全性的評估分析與整改,到側重對人員和管理的不安全性的評估分析與控制,互為補充、相輔相成,實現了對不同管理對象的風險辨識和預控;
二是在安全風險管理統一框架下,各專業部門緊密協作互動,各有側重,各具特色地開展工作,通過自上而下組織推進和自下而上實踐反饋,全員參與,上下聯動,促使各級人員的安全風險意識和辨識防范能力普遍提高,生產環境和安全防護水平得到了明顯改善,安全基礎管理工作顯著加強;
篇3
關鍵詞 :供電企業;安全風險;管理
中圖分類號:F276文獻標志碼:A文章編號:1000-8772(2014)19-0185-02
0 引言
近幾年,我國的農村電網改造已初見成效,縣級供電系統的結構逐步完善,供電質量大大提高,同時隨著設備調度權的下放,縣級電網的技術含量與規模得到了提升,隨著電網變化而產生的一些不確定因素,給縣級供電企業原有的安全風險管理提出了新的要求,但是配套的管理體系建設尚處于完善過程中,縣級供電企業正面臨著前所未有的巨大風險與挑戰。與此同時,縣域經濟不斷發展,人們越來越缺乏承受能力對于事故停電這一事情,在電網持續發展的同時,人們也在要求的更加安全可靠的供電系統。所以,縣級供電企業普遍認識到電網安全風險管理的重要性,它必將會成為供電企業穩定基礎、創造價值以及在今后的發展中獲得一席之地的核心競爭力。
1 推動縣供電企業安全風險管理體系建設的必要性
1.1 縣級供電企業的安全生產是群眾生產生活的保障
就供電企業而言,它是國家重要的生產部門,而縣供電企業則是人民群眾生活與生產服務的生產部門,與人們的日產生活以及縣域的經濟發展息息相關。如今,電力已經滲入到縣鄉人民群眾生產生活的各方各面,像照明、灌溉、工業生產等都離不開電力。因此,加快建設縣供電企業的安全風險管理體系是保障人民群眾穩定的生產生活的重要前提。
1.2 縣供電企業的安全管理存在諸多問題
自1998年,我國的“兩改一同價”政策持續發展,縣級供電企業的體制也隨之有了很多改變。但是伴隨改革的不斷深入,安全生產的問題也漸漸暴露出來。通常來講,縣級供電企業的供電范圍除了該行政區域內的縣城,還包括其管理的鄉鎮與鄉村。首先,縣供電企業的管理思路混亂。因為對于縣供電企業來講,工作人員不會很多,所以有些職責的范圍就模糊不清,同時也缺乏專門工作人員來管理安全生產,一般就是哪里有了問題就隨便派一個人去解決。這種工作方式,缺乏系統性,而且往往只是解決了電網表面或者暫時的問題,而深層次的以及長遠問題是無法解決的。
第二,縣級供電企業輕過程重結果。這個問題指的是,縣供電企業不會深入了解與分析在生產過程中可能會出現的安全事故,而且也不會主動想辦法解決,直到事故發生再采取挽救措施,并且只停在補救階段,也沒有分析總結安全事故發生的原因與經驗。
第三,縣供電企業安全風險管理方法太隨意,變化性比較大。縣供電企業的安全風險管理工作經常是上級怎么變動我就怎么變,存在著過多的人為因素。“救火式”的管理模式一直存在,如果上級主管部門說馬上要開始安全指標考核了,此時縣供電企業就集中全部精力,處理在安全生產中存在的問題,考核完成了,這項工作也被擱置了,只是亡羊補牢,不計后果。
第四,縣供電企業安全事故頻發。縣電網由于線路老化、網絡結構落后、企業工人的專業技能過低,無法駕馭先進設備等原因,導致安全事故時時發生。因此,安全生產所面臨的空前難題決定我們必須加快建設縣級供電企業的安全風險管理體系。
2 縣級電網安全風險的管理體系
2.1 縣級電網安全風險的管理體系框架
如圖1所示,為了有效地開展電網安全風險管理,調度機構是電網安全生產的最重要環節,所以必須得有一套系統的行之有效、環環相扣的風險對應體系,然后以電網安全風險管理這一信息系統作為基礎,一步步完成電網安全風險管理工作中的風險辨識、評估、控制以及回顧等全過程的閉環管理,不斷增強調控電網安全風險的能力,盡最大可能地規避風險,以最快的速度處理事故,最大程度上降低損失。
2.2 安全風險辨識與管控
安全風險辨識主要針對的是供電企業的作業現場,首先就必須要有一套完整的供電企業作業現場生產安全風險辨識體系,它是安全風險辨識工作得以進行的基礎與前提,只有科學合理的風險辨識體系才能較好地全面地指出在作業過程中出現的風險,而且能夠具體指出各種風險的結構重要程度,才能起到切實有效的作用,達到較好的風險辨識與控制效果。供電企業建立安全風險辨識體系要以能夠切實指導實際風險辨識為目的,建立風險辨識體系的建立要注意四個原則:目標明確、可操作性強、系統全面、重點突出。
風險管控中的重中之重即輸電風險管控,工作包括線路的帶電、檢修、通用、運行等幾小類;而風險管控之中管控措施最復雜最多的即為配電風險管控,工作包括配電電纜的運行檢修,配電的搶修、運行以及運行值,配電工區的變電檢修、配電工區開閉所、變壓器檢修以及繼電保護等8個小類。
2.3 電網風險評估
風險評估是在危害辨識的基礎上,分析各種風險因素發生的概率及其對電網安全的影響程度,然后再計算得出風險值,確定出風險等級。電網風險評估通過綜合分析電網風險的量化指標,對電網基準風險、持續的風險以及基于問題的風險進行評估,最后得出發生電網安全風險的可能性以及嚴重程度,搞清楚每一階段電網安全風險的重點,提高風險評估效率。根據供電企業可以接受的風險程度,對不可接受的風險采取對應的控制措施,結合企業資源與實際,分析它的有效性與經濟性,選取最佳方案執行。
2.4 安全風險績效管理
(1)績效管理的組織
(2)績效反饋
項目組將考核結果進行公示,將各安全管控組的考核及對每個員工的考核結果全部公示。使各級組織及員工清楚了解自己的績效考核成績,然后從比較中找出自己的缺點。同時,項目組應該主動協助每個員工分析并總結績效考核的結果,從中整理出各級組織給員工工作提出的改進意見以及日后的工作績效期望,鼓勵員工學習整改。然后員工根據這些整改意見,提出自己在工作之中的困難之處以及需要幫助的地方,請求予以支持。這樣,績效反饋就有利于被考核者提高工作技能和改進工作績效,也有助于有針對性地制定績效改進計劃。
2.5 風險管理能力持續改進
(1)更新反事故措施數據庫
反事故措施數據庫是日后進行電網風險管理工作的重要參考依據,是供電企業提高風險量化分析能力的基礎。電網反事故措施數據庫必須要詳細記載發生的事故的類別、原因、處理過程以及處理措施的適用范圍、取得效果,事故的經驗、教訓等。
(2)完善技術支持系統
不斷研究與分析電網事故從發生發展到處理恢復等全過程,及時總結與反思在技術支持系統上存在的欠缺,制定出合理的改進方案,不斷完善與增強電網調度監控系統的各種功能。
(3)安全風險的閉環管理
一旦出現了新的電網風險,那么良好的電網安全風險閉環管理將是其強有力的后盾。因此,要以風險管理中出現的問題為基礎制定新的事故處理預案等相關的技術文件,進一步完善電網風險管理體系以及修改和更新風險預控措施,完善電網安全風險閉環管理,通過跟蹤與實時反饋,將改進工作落到實處。
3 結束語
通過以上分析,我們可以知道安全風險管理在縣供電企業的日常生產中的位置越來越重要。縣級電網落后的網架結構,有限的技術力量,過大的線路供電半徑等特點要求管理電網運行的各工作人員一定要做好電網安全風險的系統化管理,制定并不斷完善安全風險管理體系,事先做好準備,以便預防并防止縣級電網出現安全風險。
參考文獻:
[1] 王曉紅.供電企業安全風險管理的應用[J].科技博覽,2009(32):91-92.
篇4
電力自身的特性決定了安全在電力企業生產過程中的重要意義,除此之外,由于電力企業在生產的過程中存在極高的風險,這對于相關人員的安全意識以及技術水平具有嚴格的要求,在此基礎上對風險管理體系進行不斷的創新和完善,才能達到提高電力企業的生產質量和效率,促進社會發展的目的。
二、構建電力企業安全生產風險管理體系的意義
我國大部分的電力企業仍舊缺乏對安全管理工作重要性的深刻認識,導致在進行安全管理工作的過程中存在許多漏洞,并且沒有完善的風險管理體系用以支撐,這對于提高電力企業的生產安全性是非常不利的,因此,為了從源頭處對上述問題進行解決,就需要對電力企業安全生產風險管理體系進行構建和完善,這既滿足了電力企業發展過程中的需求,同時又與社會的發展趨勢不謀而合[1]。構建完整的風險管理體系可以對生產過程中所存在的安全問題進行規避,從而減少發生安全事故的幾率,提高企業的經濟效益。
三、構建電力企業安全生產風險管理體系的有效途徑
(一)對管理組織進行完善
作為提高開展風險管理工作效率的重要因素,對管理組織進行完善在對風險管理體系進行構建的過程中具有無法替代的重要作用。在構建風險管理體系的過程中,首先需要對所應用的方案在系統性和科學性方面進行一定的保證,在此基礎上根據電力企業內部不同部門所對應的工作內容,對目標合理與否進行準確的評估,可以說一套系統、科學的方案可以對接下來相關工作的開展具有極其重要的推動作用,在對下一階段工作開展的過程中,需要在考慮人力、物力和財力合理分配的基礎上,通過對資源進行高效配置,實現各個工作階段有條不紊的進行的效果。
(二)撰寫相關體系的文件
由于在電力企業生產過程中存在的諸多風險是隨著實際情況而不斷變化的,因此,這就需要電力企業撰寫與安全管理體系相關的文件,以確保在生產過程中面對各種類型的風險都能夠及時的解決。文件內容包括該企業在進行風險管理工作中發現的問題、解決辦法以及后續跟進等,并且定期進行總結,這樣做的好處在于可以使企業今后的生產中遇到相關問題時以最快的速度對解決方法進行制定,從而提高電力企業工作的安全性,促進企業的快速發展[2]。
(三)對文件進行貫徹落實
在文件撰寫的工作結束后,就需要相關企業為文件內容的貫徹落實創造一個良好的環境,通過加深工作人員對執行文件內容對于企業發展重要性的理解程度,使其在工作的過程中對文件內所制定的規章制度進行嚴格執行,從而提高企業的生產效率。
(四)對生產風險進行評估
對生產風險進行評估一共分為以下幾個步驟:第一步,對安全事故所產生的危害進行準確識別,這個步驟也是風險管理工作中極為重要的一步,如果沒有對這一步驟進行嚴格的落實,就無法對相應的風險進行進一步的評估和控制;第二步,對該危害所具有的風險進行評估,這一步的意義在于對電力企業能否承受該風險進行準確的判斷;第三步,根據以上兩個步驟制定出相應的方案,對風險的發生進行預防和解決[3]。
(五)對生產風險進行控制
現階段我國大部分的電力企業在對自身的生產進行風險管理過程中均存在漏洞,缺少一個科學、合理的體系作為開展工作的基礎,因此,對風險管理體系進行不斷的完善,使其變得更加規范迫在眉睫。在對風險管理體系進行改進時,應當從內容、步驟、方法等多個方面同時著手,以電力企業在生產過程中所固有的風險為基礎,結合實際情況構建起將風險管理的過程和結果二者有機結合的體系,例如,對進行電力作業的現場進行全程跟進風險管理的體系,或是對電力企業在生產過程中的安全文化進行控制的體系等。
(六)提高工作人員的素質
工作人員作為開展風險管理工作的主體,提高員工的綜合素質與提高管理工作的效率二者是緊密相連的,電力企業可以通過定期開展相關培訓的方式,對工作人員的素質和能力進行不斷提高。針對電力企業自身的特點,開展培訓工作的方向主要為基礎知識、體系構建以及人員培訓幾個方面,并且在培訓的過程中需要將培訓的內容與企業自身的實際情況進行有機的結合,通過不同企業員工間的交流、邀請專家前來指導以及組織員工定期前往培訓機構等方式,提高培訓工作的科學性,并且保證培訓工作的最終成果。
四、結論
綜上所述,隨著社會發展進程的不斷深入,以電力為首的諸多企業均面臨著前所未有的機遇和挑戰,因此,想要以當今的社會背景為推動力,使企業自身得到長足的進步,就需要通過構建風險管理體系,提高對生產過程中可能存在的風險和問題進行規避的能力,提高企業生產過程的安全性,從而為電力企業的發展奠定良好的基礎。
作者:施云峰 李沛 雷占軍 單位:國網西寧供電公司
參考文獻:
篇5
電力企業安全生產風險管理主要指其實踐生產運營階段中基于風險管控原理、預警、處置危險科學方式,借助研究、分析、識別、衡量、評估設備系統、電網運營、操作人員、消防管控、交通運輸各環節安全風險,進而有針對性創設出預防管控風險的科學策略,營造高效、經濟、良好的管控、抑制風險手段模式。通過安全生產風險管理,電力企業可有效預防生產運營實踐中人員傷亡、安全隱患事故的頻繁發生,進而輔助電力企業實現安全管控、持續運營服務的綜合指標。電力企業實施安全生產風險管理階段中,體現出了顯著特征,即服務范疇較為廣泛,涉及到社會工業生產、農業建設、交通運輸與國防事業等,由此可見電力企業同百姓人民生活生產密切相關,對其安全生產風險進行科學管理預防則尤為重要。倘若處置問題事故不及時,便有可能形成一系列的連鎖作用,令分布廣泛的電網體系中斷服務、癱瘓。同時,電力企業安全生產需求技術水平較高,因此其要求從業人員應具有認真、細致、負責任的工作態度,并應對各類電力管控運營技能、基礎理論知識全面掌握,能快速的對突發系統問題、故障現象做出準確處理,進而抑制事故隱患的進一步擴大。再者電力企業集成了配電、發電與運營輸電等重要服務職能,因此對于系統資產與風險預防能力提出了更尖端的要求,只有強化電力企業安全生產風險管理,才能令其核心服務價值全面發揮,并創設顯著運營效益。
2、電力企業安全生產風險管理模式與實踐內容
風險管理可將其細分為一類管理理論學科,主體針對管控技術與引發規律展開系統研究。電力企業安全生產階段中,實施風險管理,應樹立系統工程科學管控理念,基于識別、評估、監督管理與科學控制處置風險,確保電力服務、生產運營的安全、高效、經濟合理。同時應樹立科學的風險管理目標,降低事故發生機率、減少經濟損失。再者應注重事故預測體系的研究開發,進而優化安全生產風險管理效果。電力企業安全生產對風險的識別為起點環節,可對電網體系中潛在危機進行準確核準認定;評價是認定核心環節,借助定量定性研究實施風險量化;控制則是管理重點,應通過適應性策略、技術的引入預防事故的產生與發展;監督管理則是電力企業降低風險的保障,其對上述風險綜合管控環節形成有效的監督管理。通過風險管控環節的具體分析,電力企業安全生產科學實施風險管理,應注重各項管控內容的常態化運用,充分引入風險控制于日常生產運營環節中,進而提升風險管控水平,優化安全生產管理效能,實現優質、持續與全面發展。
3、電力企業安全生產風險管理科學策略
3、1優化電力企業現場生產風險管理
電力企業應由現場生產環節入手,強化風險管理,對實踐作業中隱含的各類危險因素做好預先研究識別,并采取有效的預防管控措施,降低安全事故不良影響。應在管理實踐中明晰主體管控對象,即針對現場生產人員不安全操控行為、現場機械設備不安全運營狀態、有害的不良現場工作環境以及現場管理存在的隱患缺陷進行綜合管理,降低負面作用影響。對于存在的違章作業指揮、系統設備缺陷,應借助概率統計分析、嚴重等級評價、風險預估創設有效的預防控制策略。對于重要電網設備應做好全壽命周期科學分析,對有可能引發不良事故的危險成因進行科學識別、深入挖掘,進而盡早的進行預防與管理消除。可采用事故發生嚴重程度、頻度與探測指標進行綜合評價與等級分析,進而創設良好管控方案。
3、2科學創建電力企業安全生產風險管控體系
電力企業安全生產運營階段中,為提升風險預控效能,應科學創建綜合管控預防體系,基于本質安全理念建立識別、評估、預防風險與監督管控風險水平的一體化信息數據庫,令風險職責、控制措施清晰明確,并基于危險控制點位,借助圖片展示、講解等綜合方式進行系統標識,便于工作人員全面的了解、良好學習與清晰掌握。具體的電力企業安全生產風險管理體系應細化分解為管控單元,即安全管理、評估風險、應急管理與處置事故、作業環境調控、安排管理生產工具、綜合生產管理、職業健康體系、技能水平培訓、審核檢驗等。應通過將電力企業安全生產各個具體任務工作細化分解,實施全面評估分析,找到風險值明顯高出其他因素的環節進行全面控制,應秉承安全管理、預防為主的科學觀念。通過對輕微問題、未遂事項、疾病事故的區分處置,明確應合理預防管控的主要環節與嚴重事項,進而令電力企業真正構建自我完善、監測、更新優化的綜合管理機制。再者,應利用信息數據庫對現場電力企業生產風險與服務機械設備風險展評估研究、綜合劃分,令其細分為豐富等級,同時可依據等級差異創設相適應的管控措施方案。可引入半定量SPE評估與半定量SPD評價方式針對電力企業安全生產作業與設備機械風險實施針對性評價。對于控制管理風險方案的應用,應科學參照個體預防、全面消除、有效降低的科學流程原則實施。對于生產設備機械進行風險管控,應科學采用規避風險、預防控制與轉移風險模式,有效降低發生事故頻率以及探測度,將其風險隱患合理消除。
3、3完善實施電力企業安全生產與風險管理監督評價
生產與安全保持著有機統一的既定關系,生產離不開安全環境,只有優化安全生產監督,方能創設安全環境,確保電力生產服務的有序進行。監督管理中應科學引入現場核查、不定期抽查方式,并配備專職監督人員。同時應在電力企業生產班組內部設置輔助監督管理人員,通過有效協同合作完善監督管理效果。實踐管理中可科學組織爭先創優、安全管理、探究危險點等豐富活動,避免安全監督單一、片面、流于形式。應通過多元化監督管理,樹立風險管控意識,提升電力企業安全生產運營水平。針對電力企業安全生產風險實踐管理,應實施科學監督評價,樹立準確的評估目標,進行風險識別、研究的監督控制,明確其具體實施執行狀況,安全生產管控責任履行水平。可依據行業安全監督規范標準,創建電力企業安全生產風險管理完善、科學監督體系。對其執行各項法律法規、制度規章、管理運營、安全生產狀況展開綜合評估。同時應依據安全生產工作條例,對管理實踐計劃、方案的制定與執行展開評價與控制管理,對于電力企業安全生產進度、效率應實施系統規范的定期評估。對于生產運營中有可能出現的安全事故、不規范操作、處理相關事件效果也應進行綜合評估調查,進而確保實踐風險管理的規范有序,實現良好預期目標,優化綜合管控效果。
4、結語
總之,電力企業安全生產風險管理尤為重要,我們只有明晰其特征內涵,運用科學風險管理模式、創建完善風險管理體系,優化現場風險管理、完善實施監督評價,才能真正提升電力企業安全生產預防控制風險能力,降低安全隱患不良影響,提升其生產運營效益,發揮核心行業價值,進而實現良好、持續、科學的全面發展。
參考文獻
[1]曾飄.淺談南方電網安全生產風險管理體系中風險評估與控制方法的運用[J].黑龍江科技信息,2010(32).
篇6
1 電力企業安全生產的風險管理
電力企業的安全生產的風險管理方式和其他行業的安全生產管理風險是不同的,尤其是電力企業的安全生產風險管理不需要有詳細的數據,或者是一些具體的定量化指標,且在安全指標上沒有相應的具體數值,大多為安全文字分析和有關目標分析。電力企業安全生產風險中的有關統計報表,也大多沒有安全風險數據。雖然沒有這些數據,并不代表企業就沒有安全風險,且正是沒有這些數據,在一定程度上,使企業的安群風險管理的深入分析和研究帶來一定的困難,本文特用以中國海因里希的方法,分析電力企業安全風險管理的背后事故,并從中加以詳細的挖掘和研究。
2 電力企業安全生產風險管理中的海因里希法則分 析
電力企業安全生產風險管理中的海因里希法則,同時也叫海因里希安全事故法則,是一項在國外經過事故分析和處理得出的一條重要的經驗,具體是一位叫海因里希的人,統計出50多萬的事故并從中得出的一項結論,也就是300:29:1的海因里希法則,具體描述為企業有300個安全隱患時,就有29起安全故障,且在29起安全個故障中就有一起屬于重大事故。
在不同的安全生產管理中,尤其是不同類型事故中,此比例雖不完全一樣,但是這個統計規律卻說明了一切,在不同的事故管理中,存在著一定的比率的安全規律,電力企業要尊重這個規律,避免重大傷亡事故發生。同時,還要防止這些事故的發生而要采取一定的補救措施,重視事故在最初狀態,把安全隱患扼殺在搖籃里。
3 電力企業安全生產風險管理分析方法
電力企業安全生產管理主要是,對企業進行的某一任務的安全管理和某種風險,而進行的一種定性或定量分析,然后確認風險的程度和性質,并采取有效的措施和方法,實現安全風險的管控。海因里希方法的管理思想,主要是在日常的工程中進行不同事故的分析,并發現其內在的規律,也就是小事故在積累中導致中事故,然后再導致大事故發生。在這個海因里希方法的管理和應用中,最重要的是對小事故進行嚴格的控制,通過將小事故控制成功,從而保證電力企業不會出現大事故。
在海因里希安全法則中,其管理模型是屬于金字塔形,從各個組織和各業務部門的有利配合,從而建立起完整的企業安全風險管理體系,即決策層和管理層、執行層,有電力企業的主要領導擔任決策層,以及有關負責人擔任管理工作,對風險進行合理管控,設立風險管控室。其在執行層中,由具體的工作人員進行上令下達和執行工作,這種工作的風險管理流程有以下幾方面。
3.1 安全生產風險識別
按照海因里希方法的思想和概念,對電力企業的安全管理進行管理識別,保證電力企業識別出生產管理中的一些安全事故,按照長期的工作經驗和實踐方法,對安全生產管理事故進行分析,并從中進行思考和構建管理模型,將事故分成幾種方式,主要分為人身事故和設備事故以及電力安全事故等。
3.2 安全生產風險的具體態勢預測分析
對于電力企業的安全生產風險態勢進行預測,運用各種模型和分析方法進行研究和預測,主要是根據風險管理人員運用合理的計算方法進行統計和分析風險,然后按照相應的風險性質并掌握、分析,從而確定風險屬性等,隨后選擇相應的風險處理辦法。
此模型中,主要根據風險的態勢分為幾步走:先進行事故的大小確定,分析事故屬于哪一類類型,然后按照海因里希安全法則進行安全生產管理的構建體系,并操作一些違章和不當事故劃分,尤其是重大事故,或者是重要的人身事故等劃分工作,這樣保證了事故的風險態勢預測的準確性。然后,再按照相應的條件進行統計事故發生的次數,利用海因里希方法對安全風險進行整體性分析和預測。同時,預測出風險的等級,風險越大,對電力企業造成的損失就會更加嚴重。
3.3 電力企業安全生產風險的防控分析
電力企業的安全生產風險的防控主要是按照電力企業自身的條件進行分析,還要參考一些外部環境,對自身企業的安全發展戰略形成清晰的西路,并進行安全風險態勢的預測, 將自身的風險確定和承受能力、管理等進行詳細的確定。然后根據人力、物力以及財力的有效結合,使得企業能夠成功的防范這些事故,并處理妥當。
按照海因里希法則進行思考,將這種模型風險進行嚴格防控,不放過小事故,并一步一步抓起,拒絕出現大事故。尤其是在防范人事事故時,一定要提高電力生產安全工作人員的責任意識,提高安全防護能力,學習一些安全生產作業,盡量減少或者不出現安全違規操作。同時,在電力設備安全事故方面,應加強對違規安全事故以及電網結構等方面的操作管理,分析和定期檢查設備,將電力生產和電力負荷的分布了解清楚,防止電網等發生意外。
4 電力企業安全生產風險管理案例分析
本文主要分析的是,某市一家供電公司,主要是進行供電安全生產,并提供有關供電業務為主,供電公司在2014年2~4月中的經營和管理活動中,主要對此段情況中的安全生產風險進行識別和分析。該供電公司出現了一系列的風險事故,尤其是在電工操作不當,生產中違規處理事故,并沒有出現嚴重設備事故和電力安全事故發生。
供電公司在2014年2月的違規事故為2件,電力安全五級事件2件,一般人身事故0間,設備事故0件。在3月份違規事故為4件,電力安全五級事件為3件,人身事故為0件,設備事故1件。4月份違規事故為3件,電力安全五級事故為1件,人身事故為1件,設備事故為1件。
然后根據上述數據,進行計算小事故、中事故等的分析數值。并按照海因里希法則,按照統計原則進行分析,得出整體安全風險等級為2.27。從中可以分析出,此供電公司對于安全事故是非常重視的,在安全生產風險管理中發揮了積極的作用,并減少事故發生率,且沒有重大事故發生。
5 結 語
本文主要采用了海因里希的安全法則進行了分析,對電力企業的安全生產風險管理做了詳細討論,并運用安全風險事故管理模式進行計算,從此模型中,可以分析一些人身事故、電力安全事故、以及其它設備事故等安全方面的情況,然后對這些事故進行詳細的劃分評估,并對其安全風險的大小進行科學評價和分析,采取有效措施進行管控,從而維護電力企業的經濟利益和社會利益。
參考文獻:
[1] 王開碧,申曉留,李哲,等.電力企業安全生產風險管理方法的研究[J]. 黑龍江電力,2012,(4).
篇7
二、風險管理的需求及步驟
(一)風險管理
WCOSA規范內容中的主要精神就是要求各國海關以風險管理為基礎展開各項導入工作的建議,以確實維護貨物全程供應鏈的安全。風險被定義是某項足以影響目標達成的事件發生的可能,以影響程度及發生機幾率加以衡量。風險不完全有害,因為風險往往伴隨著機會。但風險容易或影響阻礙管理者和組織實現其經營目標,在極端情況下甚至能夠摧毀組織。然而,貨物在供應鏈的移動過程中,安全管理環節眾多,相關業者所提供的服務及人員復雜,貨物在不同界面中移轉,若僅依靠法令規范或待由執法單位稽查,難以全面性的防止貨物于供應鏈上遭到非法活動介入或破壞。
風險也不僅是“發生壞事",有的風險是失去了的潛在的業務機會,對組織來說,不僅代價昂貴,也是致命的。實質上,成功的經營需要把組織的資產和資源與風險結合起來,以實現組織策略和經營目標。因此,有效的風險管理是幫助組織理解和提前對經營風險做出響應,以便更好地實現目標。
(二)步驟
一般來說風險管理的實施,主要分為五大步驟:
(1)建立風險管理執行背景體系。此步驟主要為建立企業策略及組織的關聯性,包含:建立環境要素、建立機會要素、建立風險管理架構、發展風險評量標準、定義風險分析對象。
(2)風險辨識。辨識風險方面,1932年美國政治學家加拉斯維爾最早提出的一套傳播模式,經過人們不斷應用逐步形成一套成熟的"5W+1H"模式,亦稱六何分析法,是一種思考方法,也可以說是一種創造技術,都要以原因、對象、地點、時間、人員、方法等六個方面提出問題進行思考。例如,風險為何發生、何種風險會發生、何處發生、何時發生、誰造成的及如何發生的,以作為更進一步的分析。
(3)風險分析。首先確認既有的風險控管機制,并計算出風險發生的幾率及評估風險等級后,即可評量事件發生所產生的影響。
(4)風險評量。風險層級可以最普遍的高、中、低三種層面顯示,在比較復雜的環境可以1~100顯示其層級的高低。
(5)風險處理。列出、評估及選擇風險對策,接受并監督不須優先處理的較低風險,對于須優先處理的高風險則衡量人力、財力及技術資源訂定管理計劃,并據以執行實施。
三、風險評估
風險評估是指在風險事件發生之后,對于風險事件給人們的生活、生命、財產等各個方面造成的影響和損失進行量化評估的工作。從我國情況來看,自2009年底起開始導入實施AEO以來,已構建起“須就其營業事項涉及的供應鏈安全”、“定期從事風險評估”、“建立適當機制,以減少風險發生的幾率”等規定,實行國際通用供應鏈安全風險評估工具,并且搭配供應鏈商業伙伴管理機制,建構起了一套完整的風險評估作業方式。
雖然風險評估的精確性很重要,但對風險作精密、詳盡的量化也可能是不利的,因為這樣的風險衡量過程,容易使評估工作變得復雜并延遲了評估進程。所以,以“風險對實現組織目標影響”和“風險發生的可能性”作為基礎,對風險進行量化和分級將是較有助益的方式。安全風險評估的五大因子包括:資產價值(Asset)、威脅等級(Threat)、弱點(Vulnerability)、后果(Consequence)和可能性(Likelihood)。評分標準設定依據五項風險評估因素進行評分標準設定,將等級劃分為5個等級,即極低度風險、低度風險、中度風險、高度風險與極高度風險,最低等級1分至最高等級5分。
對于其它的風險,可用復雜的財務或日常的方法來為組織衡量風險。風險的量化在風險管理過程中,可能也是非常重要的。極高度風險應該放在被關注的首位,并需要立即采取行動;當風險被定位成低度風險時,就可以很少提交給有關人員進行檢查,控制也可能會由此減少。按照這樣一個簡單的風險優先排列順序,企業在風險管理上就可充分的利用時間、資金和資源,完成更好的風險管理的目標。
篇8
通常情況下,區分煤炭企業安全風險種類是一個綜合性的也是多維度的復雜的問題。一般而言,學者通過不同的側面進而對煤炭企業的安全風險種類進行區分,比如風險指標系統、指標權重、預警指標、預警機制等。通過這些更為細致的類別劃分,可以實現對煤礦企業安全風險種類全面的分析。
1.1煤炭安全風險評價指標
煤礦安全的風險評價指標體系做為整個煤礦企業安全風險評價及預警的關鍵和基礎,在整個煤炭企業安全風險與成本管理的框架下占有舉足輕重的地位。通過設計科學合理的煤炭安全風險評價指標可以為決策者提供更為權威的數據參考,也便于進行風險安全的監督與調控。不過,目前我國主要采用的安全風險指標還主要停留在表層的、定性的研究和刻畫上。這種安全風險指標很容易讓決策者忽略一些重要的事實,如百萬噸死亡率,千人死亡率等。這類安全風險指標很難有效地反應全面的煤礦當前安全運行狀態。比如,數據顯示,近幾年來,我國煤礦事故總量發生數量在較少人次上呈現出較為明顯的下降趨勢,但在大規模的煤礦事故中,這一數量并未減少,相反比重反而在增加。如果決策者只關注煤礦事故的總數,難免會掉以輕心,心存僥幸。
1.2煤礦安全風險評價指標權重
在有了較為科學的煤礦安全風險評價指標后,需要確定不同安全風險評價指標的權重,只有賦予合理科學的權重,才能讓安全風險評價指標發揮最大的作用。而安全風險評價指標權重的確定方法主要包括主觀法和客觀法及二者相結合的方法。不同的分析的確定方法有著各自的優缺點,在此基礎上層次分析方法可以進一步提升安全風險評價指標。
1.3煤礦安全風險預警方法
在有了科學的安全風險評價指標及一定的權重值之后,如何根據這些安全風險指標及時地發現風險并做出合理快速的預警措施是另一個值得仔細分析討論的問題。簡單說來,必須要滿足日常性、靈敏性、及時性、參照性,以及便于操作的原則。因此,煤炭企業在制定安全風險預警方法的同時要兼顧自身的人力、物力,從人力資源、安全投入及安全管理制度等多方面綜合考慮。并在此基礎上,建立煤礦安全風險預警判別與應對機制。
2煤礦安全管理成本現狀
2.1煤炭企業保證性安全投資成本高
由于保證性的安全投資難以短時間內給企業帶來豐厚的利潤,因此作為長期投資往往不受企業的青睞。尤其是對于中小企業而言,巨大的保證性安全投資成本使得這些企業望而卻步,忽略安全管理,進而為安全問題埋下隱患。
2.2事故的外部性嚴重
經濟學中,“看不見的手”失效的一種情況就是存在的外部性,也即是成本沒有完全內生化。這點對于煤炭企業的安全管理尤為明顯。煤炭企業的安全有著巨大的正的外部性,可以使得周邊的居民、企業等享受到這種外部性的好處,但是由于這種安全管理成本全部需要煤炭企業自己承擔,因此,經濟學的理論告訴人們,均衡數量會小于最優數量,也即是說企業對于安全管理的投入是嚴重不足的。
2.3煤炭企業的安全成本沒有單獨核算
我國目前運行的會計核算體系中,對于安全成本一項并沒有單獨的科目。這導致企業對于自己的成本支出沒有一個清晰明確的認識,進而主動強化自己的安全管理成本意識得不到加強,從而使得內生動力不足。
3煤炭企業安全風險成本管理
3.1建立健全煤炭企業安全保證金制度
通過成立煤炭企業安全保證金制度,可以預先劃撥出部分資金作為準備金以應對突發事件,同時這部分資金可以部分用來完善改進現有的安全保險機制,起到一舉多得的效果。對于明文規定的一些安全措施,企業應該嚴格遵守,同時對于一些沒有明確規定、但是可能存在風險的,要及時進行防范。
3.2優化煤炭企業安全成本核算體系
通過完善我國的會計核算體系,使得煤炭企業的安全成本可以作為單獨的一個會計科目體現在財務報表中,使得企業可以對于自己的成本花銷一目了然,并且作為一個可以橫向比較的資產單元成為企業自身管理的一種激勵措施。由于目前關于安全成本的核算和分析只是局限于理論分析階段,因此對于我國目前的運行現狀,可以考慮進行一定的緩沖處理。建議建立安全成本率、產量安全成本率、利潤安全成本率及保證成本率等綜合指標評價體系。
3.3完善煤炭企業安全成本核算程序
煤炭企業安全成本核算程序通暢與否可以作為衡量我國煤炭企業發展程度的重要標志之一。完整通暢的安全成本核算程序是煤炭企業能否科學進行安全成本管理的問題關鍵。同時制定統一的安全成本核算方法,避免目前存在于市場上的多體系造成的混亂。
3.4加強各部門之間的溝通
積極促進會計部門及稅收部門等的溝通,有助于加強會計準則和稅務制度對安全費用規定的溝通和協調。推行全面的安全質量標準化管理,增強企業、員工及社會各界人士對于安全風險的意識的認識,是我國煤炭企業真正實現現代化、安全化的重要標志之一。
4結語
煤炭企業的安全風險與成本管理問題是一個關系到企業甚至是整個行業發展的核心問題。近年來,雖然我國對于煤炭企業的安全風險進行了重點治理,取得了階段性成果,但還不能掉以輕心。目前我國已然存在著保證性投資成本高,事故外部性嚴重及管理成本沒有進行單獨的核算等一系列問題,只有針對這些問題采取對應的措施,才能讓我國的煤炭行業更上一層樓。
作者:文靜 單位:陜西工業職業技術學院
參考文獻:
[1]馬國流.淺析我國煤炭企業的風險管理及控制措施[J].商場現代化,2010,49(11):28-29.
[2]張曉會.煤炭企業安全成本管理問題及對策[J].企業導報,2011,32(9):95-96.
篇9
人類社會在不斷發展,信息化逐漸融入人們生活。信息資源對于現代企業來講,是每時每刻都存在的運轉載體,各種重要數據、企業的知識產權等這些都是企業的內部信息,除這些信息外,其他相關方面的數據也被企業所利用,例如合作伙伴、客戶、員工等資料,尤其是一些服務性企業,比如網商、快遞公司、金融公司、通信公司、航空公司等,這些企業更需要以信息系統作為支撐,信息資源成為企業不可或缺的重要組成部分。
2 新形勢下我國信息安全面臨的問題
2.1 風險意識在主觀上的淡薄
在我國信息安全上面,思想認識面臨高風險的形勢,大部分企業的管理高層對信息資產的認識嚴重不足。或者局限在IT的安全方面,沒有合理的安全觀念引導企業在信息安全管理方面的工作。信息安全管理制度的完整性缺乏,規范安全風險和安全法律法規對員工的培訓缺乏,很多信息安全事故的發生都是因為安全意識的薄弱造成的。
2.2 缺乏信息安全管理系統的思想
大部分企業仍是將傳統的管理方法用在安全管理模式中,這種出現問題再去想彌補的方法是靜態的管理,不能在提前進行信息安全風險評估上做更有效的信息系統管理。
2.3 信息安全不僅僅是技術部門的事
多數企業認為信息安全的責任和義務都是IT部門的,造成信息技術部門無法和企業內部其他部門互動,進而形成孤立的局面。但是,信息安全的實現需要各個部門的全員行動,特別是規范標準以及規章制度的貫徹落實,更牽涉到企業的每一名員工,全員行動的要求更是不能缺少。
2.4 存在重視安全技術而輕視安全管理的情況
現今為止,仍有很多企業僅僅依賴產品安全,認為信息安全就是信息產品安全。一般企業現在都會采用計算機和網絡技術來構建企業的信息系統,但是沒有把相應的管理措施開展到位。信息安全問題應該加強做好管理工作,不能單從技術方面著手。
2.5 現代管理手段與理論欠缺
日益龐大的現代化信息規模與越來越復雜的網絡結構,讓現有的風險管理手段和理論都不足以讓企業信息安全得到完全的滿足,企業應該結合實際情況和需要,把國際上優異的信息安全風險管理理論以及先進的最佳實踐用作指導,以此達到信息安全的目的。
3 企業信息安全風險管理的框架探究
企業信息安全風險管理的框架包括兩個部分,一是企業信息安全風險管理的過程,二是企業信息安全風險管理的實施。其中,實施是過程的保障,整合各種資源要通過實施才能達到;過程是實施的前提,對過程的清楚有利于建立企業信息安全風險管理的統一理解,以此逐漸實現信息安全風險管理。企業信息安全風險管理包括風險分析、風險計劃、風險識別、風險監督、計劃實施、風險改進六個動態過程。
信息安全風險管理是動態、持續性過程,信息安全通過潛在的風險識別、分析,同時進行計劃、實施、監督、改善,然后再進入到下一個循環里,通過持續不斷的循環活動進行有計劃、持續的控制,不斷改進。
參照戴明的PDCA質量管理模式,把安全項目實施劃分為四個階段,分別是準備和策劃、執行和部署、監控和檢查、評價和改進,實施階段有幾個工作步驟:(1)準備和策劃工作階段,首先調研信息安全風險管理現狀,接著進行風險評估,然后編制信息安全風險管理方案;(2)執行和部署工作階段,進行部署安排,按計劃執行,接著進行安全培訓;(3)監控和檢查工作階段,做好企業安全現狀檢查,預測未來的變化;(4)評價和改進工作階段,制定改善措施,響應緊急事件。
4 企業信息安全風險管理的實施
在風險管理中人、過程、基礎結構和實施是四大影響風險管理能力的關鍵因素,企業的信息安全風險管理能力同時也受著這四個因素制約,所以企業信息安全管理中十分重要的就是人通過各類資源和企業基礎結構達到信息安全風險管理過程的實施活動。
企業在開始嘗試安全風險管理實施之前,很重要的一點是應該檢驗現有安全風險管理的完善度。假如企業在安全風險管理上沒有規范的流程和正式的策略,就會出現框架的實施非常艱難。換句話說讓企業有一些正式的策略和明確的指導,將避免大多數員工都在工作中不知所措。假如在安全風險管理上發現企業相對不夠成熟,則可以采取試點的形式,把安全風險管理實施到單個業務單元中,直到通過試運行在框架中顯示有效以后,再考慮將其他業務單元導入至整個企業框架中。
框架實踐需要以最優實踐的經驗為基準,必須有利于企業確定安全現狀,同時按照需要的安全方向進行改進,企業的安全風險管理能力通過不斷的提高,就能逐漸努力向著安全的目標前進。
5 結束語
進入信息化時代,企業已經把信息系統的高效、互聯、精確的特征當作賴以生存和發展的必要條件。因此所伴隨產生的信息安全風險就成了企業關注的重點問題。在此情況之下,企業建立信息安全風險管理機制,利用科學的方法和手段控制各種風險的發生顯得尤為重要。動態循環是企業信息安全風險管理的一個過程,在風險評估的前提下,要落實對風險控制措施。同時對過程的實施要進行有效的控制和監督,這就需要一個明確清晰并且具有可操作性的信息安全風險框架來指導。還有需要探究的工作在信息安全風險管理領域里,但愿本文能引來更多這一領域探究,從而做出保障企業信息安全的貢獻。
參考文獻
[1] 陳慧勤.企業信息安全風險管理的框架研究[J].2011,21(40):42-46.
[2] 惠志斌.企業IT風險管理的體系構建與實現路徑[J].科技管理研究,2014,34(2):36-55.
篇10
引言
企業資金管理處于企業管理體系的核心位置,是對企業的資金流量、資金調度、資金結算和資金運作等進行的系統化管理。資金管理強調對企業資金流的制約,側重于加強和完善資金在企業內部的循環,余缺調劑與放大效益。可以說,資金管理是企業從事生產經營的血液,是企業管理的重要內容,具有舉足輕重的作用。
一、資金的安全管理是財務管理的關鍵環節
1.資金是企業生存的基礎,資金的安全管理是財務管理的關鍵環節。企業應該把資金安全作為一項重要的工作來抓,切實加強資金安全管理,防范資金風險,保證企業平穩發展。企業應做好“兩賬一金”(應收賬款及預付賬款、其他應收款、備用金)的清理工作。
2.針對當前國內經濟總體增速放緩,下行壓力加大的嚴峻形勢,做好“兩賬一金“的清理工作就尤為重要,這對于加快資金周轉,壓縮結算資金占用,降低壞賬損失,強化應收賬款清收具有重要意義。企業應該嚴格按照《應收款項管理辦法》和《備用金管理辦法》,切實加強清收力量,針對款項性質采取清收措施,加大清收力度,加快資金回籠和周轉速度,緩解資金周轉緊張的壓力。同時,高度關注應收款項風險,積極做好賬齡分析,根據不同的賬齡采取不同的收款政策,對賬齡較長的客戶要做重點分析,對應收款項的財務風險進行及時跟蹤,確保資金安全。
3.企業應當嚴格按照《支付結算辦法》等政策法規,加強銀行賬戶的管理,嚴格按照規定開立賬戶,辦理存款、取款和結算。銀行賬戶管理的關鍵控制點包括銀行賬戶的開立、使用和撤銷是否符合程序,下屬企業或單位是否存在賬外款項。
4.票據與印章管理是資金安全管理必不可少的一部分,印章是明確責任、表明業務執行及完成情況的標記。印章的保管要貫徹不相容職務分離的原則,嚴禁將辦理資金支付業務的相關印章和票據歸集一人保管。印章要與空白票據分管,財務專用章要與企業法人章分開保管。
二、加強企業資金安全管理和穩控風險的對策
可以說,資金是企業日常經營的基礎,企業只有抓住資金管理這個中心,采取行之有效的管理和制約措施,疏通資金流轉環節,有效防控風險,才能提高企業經濟效益。
1.企業嚴格按照用款計劃,把好支出關。實行資金收支計劃管理,從制度管理和操作程序上保證預算單位按用款計劃使用資金。各單位按照本部門預算資金使用情況,科學合理地編制每月資金使用計劃,經單位財務部門審核匯總并報單位領導審批后,作為企業部門用款申請的依據。資金收支計劃是辦理資金支付的重要依據,沒有用款計劃,款項資金的請、撥、用、支都將受到制約。同時要加強費用報銷的審核,需要報銷的票據必須經財務人員逐一審查,簽字后方可進入報銷程序。
2.突出重點,加強資金使用監管,針對建設項目中招投標、項目變更、材料設備采購、工程款結算等關鍵環節,把資金監管與加強廉政建設工作有機結合起來,通過實行基本建設項目招投標制度,加強建設項目實施過程的財務管理與資金使用監督,防止資金浪費,確保資金安全、有效使用和生產經營工作的順利開展。
3.制定資金流動管理制度,這就需要針對企業的實際情況,圍繞資金流動的各項信息建立考評體系,力求保證資金使用過程反饋信息的及時、暢通、準確,這也是考核企業經營工作和財務負責人工作業績的一個重要依據。通過資金流動管理制度,可以提高成本、費用即經濟效益的真實可靠性,為風險管理提供準確客觀的標準,從而推動企業資金的安全管理。
4.建立資金的動態調控體系,保證資金的合理調控。為了確定資金的合理需要量,應在企業資產負債允許的范圍內建立資金的動態調控體系,這是進行資金管理的基礎。首先,應制定合理的資金籌措方案,為了使企業資金的使用達到最大化,要加強資金的計劃管理,再依據計劃核定需要,這將對資金的合理調控起到決定性的作用。其次,強化企業資金計劃約束機制,防止因為資金籌措過度引發投資過度,導致企業資金鏈斷裂帶來企業死亡的危險。
5.實施資金集中管理,提高資金使用效率。資金管理的目標應是保證資金的流動性、安全性、收益性和效率性,實施適度的資金集中管理可以在一定程度上起到這些作用。首先,可以建立資金結算中心制度,做好資金核算工作,這是實行資金有效管理的關鍵。在管理過程中,要統籌管理企業的合理資金,使各部門、各下級單位的資金往來,全部納入財務部門的制約之下,實現資金的集中管理,從而達到嚴格制約多頭開戶和資金賬外循環的不足,確保資金管理的集中統一。其次,還可以通過建立內部銀行實現內部資金的集中管理、統一調度和有效監控,由內部銀行負責與銀行的往來業務,下屬單位僅保留日常必備的費用賬戶。總而言之,通過集中管理,能夠有效整合企業優勢資源,規范企業資金運作,這對保證資金安全穩健運作、防范風險也起著積極作用。
三、結束語
總之,只有加強資金管理,做好資金風險制約,才能提高企業的經濟效益,從而產生更大規模的資金并投入生產。面對日益激烈的市場競爭,企業應充分利用自身資源,提升企業的資金管理水平,加強資金風險管理,以高水平的資金管理和運作手段作為企業經營和生產工作的可靠后盾,使企業在市場競爭中立于不敗之地。
參考文獻:
[1]張大華.企業資金風險與管理制約措施[J].中國市場,2010(52).
篇11
Key words: information security;risk management;framework research
中圖分類號:F270 文獻標識碼:A 文章編號:1006-4311(2017)18-0053-03
0 引言
在社會不斷發展的同時,信息化技術也獲得了長足的進步,并且已經廣泛地應用到人們的生活與工作中。對于企業單位而言,信息資源是保證正常運營的關鍵因素,企業運營的重要數據、客戶資料以及知識產權等信息都是重要的信息資源,這些資源一旦泄露或丟失,會對企業造成極大的影響。因此,企業必須重視自身信息系統安全風險管理的框架的建設,有效防止來自網絡的惡意攻擊,防止內部重要信息泄露或丟失,保證企業信息安全。
1 企業信息安全實踐的需求分析
在信息時代的大背景下,企業的信息化程度是衡量其發展水平的重要因素。但是,我國的信息安全形勢不容樂觀,大部分企業沒有樹立信息安全風險管理概念,企業的信息安全無法得到良好的保障。信息安全是一項綜合性的工程,不能僅憑企業短期內需要就采取某些措施,無法從根本上提高信息安全水平。想要做好企業信息安全實踐工作,必須事先做好企業對信息安全的需求分析,形成全面的分析報告,并根據報告中的內容采取相應的措施,改善企業信息安全現狀。但是,需求分析的具體過程也不是始終不變的,而是會根據企業的發展與信息技術的進步發生改變的。信息安全風險的獨特性必須在框架中體現出來。信息安全風險源于信息,信息本身具有不斷發生變化的特性,從其以數據的形勢出現開始,直至在各項功能中發揮相關的作用,這個周期內的每個階段都有相的價值。信息安全管理就是要對企業的信息資源進行全面的保護,避免因這些資源受到損失而對企業的運營造成影響。企業信息安全風險管理框架中,必須能夠發現信息資源即將受到的威脅,評估這些威脅會對信息資源造成的后果,以確定應對這些威脅的順序。在制定風險計劃時,需要明確對于風險的應對方式以及合理的控制措施。在風險的監督與改進過程中,需要根據這些風險采取適當的監控手段。總之,在此過程框架每個過程要素的分析中,都必須體現信息安全風險的獨特性。
2 企業信息安全風險的類型及內容
一般來說,在企業運營過程中,信息安全系統通常面臨以下風險因素:
①因線路故障、停電、網絡通信設備損壞等導致網絡突然中斷。
②網站遭到非法攻擊,主頁被惡意篡改或者被非法植入煽動國家分裂或抗拒法律法規、歪曲事實、散布謠言的言論,以及破壞社會穩定、損害公司名譽的不當言論等。
③公司內部網絡服務器或他服務器被非法入侵,相關網絡設置被非法拷貝、修改、刪除,發生泄密事件。
④公司內外網終端混用,被國網公司信息管理部門查處,造成公司信息泄露、丟失事件。
信息系統是企業正常開展生產運營工作的基本前提,信息管理系統一旦出現問題,輕則影響企業內部業務項目的正常進行,重則導致企業蒙受巨大的經濟虧損。因此,針對信息安全風險加強管控對企業來說意義重大。
3 企業信息安全風險管理方案
3.1 建立信息安全風險管理流程
企業信息安全風險管理工作可按照圖1所示流程逐步展開。
3.2 完善信息安全風險管理措施
對信息安全風險的管理可以以階段化的管理模式逐步展開,具體措施如下:
3.2.1 實施準備階段
信息安全風險管理實施的準備階段主要包括管理開端的建立、風險評估以及制定行動方案三個步驟。第一,在管理開端的建立中,首先要獲得企業管理部門與業務部門的支持,并且建立完善的管理質素,明確參與到管理過程中的工作人員的職責;第二,在風險評估步驟中,首先,確定風險評估對象的范圍,其次,確定評估小組的成員,并且制定評估方案;最后,對評估小組成員進行與評估方案有關的培訓。在這些準備工作結束后,評估人員就可以開始通過訪談或調查的形式來確定公司信息資源的具體情況,明確用戶對信息安全的需求。再通過對風險進行識別與分析,發現企業信息系統中存在的風險。第三,在制定行動方案的步驟中,需要完成保護方案的制定以及確定風險處理方式兩部分工作。通常情況下,保護方案就是需要企業長期持續執行,能夠幫助企業保證自身信息安全的方案,但不足以滿足企業在短期內提高信息安全性的需求。因此,企業必須對所有控制措施制定相應的處理方式,在短期內解決企業最需要解決的問題。
3.2.2 部署與執行階段
行動的部署與執行階段主要有計劃的部署與安全培訓兩方面工作組成。第一,行動計劃部署。在這個過程中,安全風險管理計劃中的所有措施都必須被執行,需要對具體行動方案進行必要的理解并執行。首先,要與企業中的員工進行事先溝通,防止在實施中遇到反對或抵觸的情緒。其次,確保被安排到行動計劃的員工能夠把握這些工作的優先級。此外,必須制定行動執行保障制度,為計劃執行準備足夠的資源,以保證計劃順利執行。第二,安全培訓工作的實施。在企業內部,從事安全風險管理工作的員工有時會將普通工作人員視為技術人員,顯然這種想法是有問題的,并不是企業內的所有員工都了解信息安全風險管理。所以,我們必須了解企業中大部分員工知識利用信息系統完成自己的工作任務,信息安全的保護是需要專業的信息安全人員進行的。所以,企業必須組織安全培訓,通過培訓提高員工安全意識,保證他們在信息系統遇到危險時能夠采取一些有效的行動,對系統進行適當的保護。
3.2.3 風險監督檢查階段
在信息安全風險管理團隊中,必須組建風險監督小組,在風險管理的整個過程中對其進行監督與檢查,小組應由小組負責人與檢查人員組成。實施風險監督檢查的目的就是為了掌握企業信息安全的實際狀態,并且收集信息安全環境變更信息,方便對未來的風險進行預測。風險監督小組在獲得這些信息后,必須及時向風險管理團隊反饋,確保他們能夠掌握企業最近的信息安全狀態。
3.2.4 風險改進階段
在這一階段,我們必須做好以下工作:制定詳細的風險改進措施。風險管理團隊需要根據企業的信息安全狀態制定詳細的風險改進措施。通過對監督檢查過程中發現的問題進行分析,可以找出導致問題產生的原因,制定相應的改進措施并限期完成,檢查人員則要負責對具體的實施情況進行檢查。在改進過程中,需要注意的是,改進措施必須獲得最高管理者的批準,特別是關系到整個企業或大多數部門的改進措施。風險監督小組必須隨時跟蹤糾正措施實施情況,驗證改進措施的執行是否符合標準。
3.3 建立企業信息安全風險評估體系,促進信息管理工作不斷優化改進
3.3.1 明_信息安全風險評估流程
企業信息安全風險評估工作可以參照圖2逐步實行。
3.3.2 信息安全風險的計算及處理措施
企業的風險可以通過多種計算方法得到,但通常資產的風險值可以定義為:風險值=f(安全事件發生的可能性,安全事件發生的危害性)=g(資產,威脅,脆弱性,已實施的控制措施)。評估人員根據這樣的函數形式,可以采用一種類似5×5形式的矩陣來計算風險,其中行和列分別代表了安全事件發生的可能性或發生的危害性等級。當然,評估人員為了細化這些風險可以采用維數更多(更細)的矩陣。
4 結論及建議
企業通過信息安全風險管理的實施,能夠確定長時間的安全風險管理計劃,并且可以有效地緩解企業信息系統中的安全風險,提高工作人員對與信息安全風險的認識,建立健康的安全風險管理氛圍,推動企業信息化發展。
另外,建議企業在實施信息風險管理的同時,及時建立信息安全風險預警系統,特別要加強網絡與信息系統安全管理,充分發揮技術支撐、機制保障作用,不斷完善預防與搶險相結合,有效地預防和減少信息系統安全事故的發生,保障信息安全穩定運行。
參考文獻:
篇12
基金項目:本文系國家自然科學基金資助項目(基金號:71271084)的研究成果。
中圖分類號:F270.7 文獻標識碼:A 文章編號:1007-0079(2013)26-0163-03
信息安全風險是信息化時代企業發展和內部管理所面臨的一個迫切問題,網絡化、信息化的飛速發展能夠給企業帶來無限的發展機遇,同時也讓應用信息化技術的企業面臨著各種不同的風險威脅,這些風險因素一旦發生,將對企業的日常運營、戰略目標的實現甚至長遠發展產生無法估計的影響。有效的信息安全風險管理體系對于企業規避信息安全風險、減少不必要的損失具有重要作用。
對于電網企業來說,信息化建設是推動電網企業智能化、現代化等長遠發展的核心推動力,但網絡病毒、黑客入侵等一系列風險因素,使得電網企業信息安全同樣面臨著巨大的挑戰,必須對電網企業面臨的各類信息安全風險進行有效控制,以保證電網企業的信息化內容正常運行。
一、電網企業信息安全風險分析
電網企業的信息安全風險就是企業的信息系統和網絡等面臨的來自各方面的風險威脅,各種內外部的、潛在的和可知的危險可能會帶來的風險威脅等。隨著網絡環境的復雜性不斷增加,新的信息技術的不斷應用發展,電網企業的信息安全面臨的風險因素也更為繁多復雜,同時由于其注重信息安全的行業特點,電網企業的信息安全風險管理面臨的壓力更大。為此需要對這些風險因素進行規范、合理的識別分析,進而建立綜合的風險管理體系。
電網企業的信息安全面臨著來自不同層次、多個方面的風險因素,有來自外部環境的風險威脅,也有企業內部的風險影響;有技術方面的安全風險,也有人員操作方面的安全風險等。具體的信息安全風險因素主要包括以下幾個方面:
1.木馬病毒入侵的安全風險
隨著網絡技術的不斷發展、電網企業內外部網絡環境的日益成熟和網絡應用的不斷增多,各種病毒也更為復雜、難解。木馬等病毒的傳染、滲透、傳播的能力變得異常強大,其入侵方式也由以前的單一、簡單變得隱蔽、復雜,尤其是Internet網絡和企業網絡環境為木馬等病毒的傳播和生存提供了可靠的環境。
2.黑客非法攻擊的安全風險
近年來各種各樣的黑客非法攻擊異常頻繁,成為困擾世界范圍內眾多企業的問題。由于黑客具有非常高超的計算機技術能力,他們經常利用計算機設備、信息系統、網絡協議和數據庫等方面的缺陷與漏洞,通過運用網絡監聽、密碼破解、程序滲透、信息炸彈等手段侵入企業的計算機系統,盜竊企業的保密信息、重要數據、業務資料等,從而進行信息數據破壞或者占用系統的資源等。
3.信息傳遞過程的安全風險
由于電網企業與很多的外部企業、研究機構等有著廣泛的工作聯系與業務合作,因此很多日常信息、數據資料等都需要通過互聯網進行傳輸溝通,在這個傳輸過程中的各類信息都會面臨各種不同的安全風險。
4.權限設置的安全風險
信息系統根據不同的業務內容對不同的部門、員工開放不同的系統模塊,用戶根據其登陸的權限設置訪問其范圍內的系統內容。每個信息系統都有用戶管理功能,對用戶權限進行管理和控制,能夠在一定程度上增加安全性,但仍然存在一定的問題。很多電網企業內都存在不同的信息系統,各系統之間都是獨立存在,沒有統一的用戶管理,使用起來極不方便,難以保證用戶賬號的有效管理和使用安全。另外,電網企業的信息系統的用戶權限管理功能設置過于簡單,不能夠靈活實現更為詳細的權限控制等。
5.信息設備損壞產生的安全風險
電網企業內的各類業務信息、數據資料、工作內容等信息都是依托于相應的軟硬件設備而存儲、傳遞、應用的,當這些計算機硬件設備、信息系統、數據存儲設備、用電支撐設備等由于企業內外部不同作用力的影響而出現癱瘓、停止工作等突發狀況時,會帶來重要信息內容的泄露、丟失等安全風險隱患。
6.人員操作失誤形成的安全風險
電網企業內的專業信息技術人員、業務人員、管理人員對信息系統的操作能力存在一定的差異,一些人員的意識較為陳舊、操作能力較差,在對信息系統、網絡連接、數據庫等的應用過程中,由于對這些技術內容不熟悉從而產生了一些錯誤操作,為此產生了許多意想不到的安全風險。同時,在運用過程中存在的思想偏差、理解偏誤、粗心大意等導致的誤操作也會產生相應的安全風險。
7.技術更新變化帶來的安全風險
當前的信息技術、系統開發、網絡應用、數據庫存儲等都在日新月異地飛速變化,幾乎每天都會發生更新換代的升級變化,沒有任何的信息技術能夠長時間使用。電網企業原有信息系統等設備進行升級換代或者與新的數據庫內容進行新舊結合以及轉換時,會因為兼容性差、不能匹配等原因造成一定的信息安全風險。
二、信息安全風險應對機制
電網企業的信息安全承擔著極為重要的作用,而其面臨的安全風險也是多方面的,僅從信息系統、技術設備的單一角度進行信息安全風險管理遠遠不夠,對于其他很多潛在的風險因素難以有效應對。因此需要從信息技術技術、企業管理、風險控制等多個維度來建立相應的措施,以應對可能出現的各類風險,從而從硬性技術層面到柔性管理層次形成多維度的風險管理手段。電網企業信息安全風險應對機制框架結構如圖1所示。
電網企業的信息安全風險管理應對機制是以風險控制角度為核心、信息技術角度為支持、企業管理角度為保障的雙向支持、互為影響的一個環狀模型,三者之間緊密配合、共同發揮風險應對的作用,具體內容如表1所示。
三、信息安全風險管理體系
電網企業信息安全風險管理體系是進行信息安全風險管理的核心內容,其他的制度建設等方面的應對機制都是為了更好地使風險管理體系發揮有效的作用,能夠在不同的情況下進行信息安全風險威脅的提前預防、風險發生時的控制、事后風險影響的結果處理等。
電網企業信息安全風險管理體系框架結構如圖2所示。
1.信息安全風險評估
電網企業信息安全風險評估是風險管理體系的第一部分,風險評估效果的好壞直接影響著后面風險管理環節的執行情況。通過風險評估的準確執行,能夠有效識別、分析各種不同風險的種類、來源、影響程度等內容,為后續的風險預防、控制等奠定良好的基礎。
信息安全風險評估主要由風險案例庫、風險因素分析系統、風險定量定性轉化系統、數據統計歸納庫、風險分析結果傳輸體系等構成,通過幾個模塊的有機結合來科學分析評估電網企業遇到的各類信息安全風險因素。
2.風險事前預防
電網企業信息安全風險事前預防就是在風險沒有發生時對各種風險進行提前預防,通過建立的預防計劃方案來提前避免風險的發生,從而保證信息的安全性。這是風險管理體系希望達到的最佳效果,因此該環節非常重要。
通過對風險案例庫的經常性學習,使相關部門和人員對各類風險有了總體的認識和了解;通過建立相應的風險預警裝置來提前警告風險的發生,使電網企業能夠提前采取措施來避免風險發生;運用信息安全風險管理制度加強員工的行為能力,避免風險產生;通過信息技術的相關配置,從信息系統、網絡、數據等方面提前對一些病毒風險等進行處理。
出色地執行電網企業的信息安全風險預防工作,能夠避免很多不必要的麻煩,從而有效減少后面風險控制工作內容。
3.風險威脅轉移
將可能發生或者即將到來的信息安全風險有效轉移到其他的地方,可使得安全風險沒有在電網企業的信息系統中發生,避免了風險帶來的威脅損害。風險轉移同風險的事前預防一樣,能夠在很大程度上將信息安全風險帶來的威脅降低到最小,避免其帶來的各類損失。
4.風險過程控制
在對信息安全造成威脅的風險發生時,采取各種方法、手段進行風險的最小化控制,使風險本身隨著控制的進行而逐漸變小甚至消失,將風險發生后造成的影響降低到最小或者控制在能夠承受的合理范圍內。
主要從信息系統、數據庫、網絡系統、計算機基礎設備等技術方面進行控制;從制度、標準、規范等管理層面進行控制;從人員培訓、部門協調等組織結構層面進行控制;從風險發生時制定的風險控制措施、計劃進行控制;形成動態反饋的風險發生、控制效果的反饋機制,以便及時對控制方案進行調整完善。
5.風險事后處理
信息安全風險發生后,對電網企業的信息系統、網絡、數據庫等造成一定的影響,已經沒有時間進行及時有效的風險控制,此時的工作重點在于如何采取挽救措施對風險造成的信息安全損失進行彌補,將其影響程度降低到最低。
從電網企業的信息安全風險評估開始,到信息安全風險的預防、風險發生時的控制以及風險后果的處理,對整個過程進行深入的分析、總結,發現風險管理體系存在諸多不足和缺陷,控制計劃在某些方面需要進行改進完善。將本次發生的信息安全風險控制過程整理進入案例庫,以便下次的風險預防借鑒。
電網企業信息安全風險管理體系中的各個流程環節都是按照一定的流程順序、風險發生種類、大小而進行的,其具體的流程如圖3所示。
6.非常態風險應急處理
在電網企業對信息安全進行風險管理的過程中,有時會出現一些案例庫、控制計劃之外的非常態風險,這些風險沒有以往成功的風險管理經驗可以借鑒,這時就需要在電網企業信息安全風險管理體系中建立相應的非常態風險應急處理模塊。
電網企業信息安全非常態風險應急處理主要是當意外的緊急風險發生時,能夠迅速啟動應急預案組織相關人員進行風險應對控制、風險預防和控制等;若風險已經發生,此時能夠及時還原數據、隔離外部風險入侵,使信息系統、網絡、數據庫在最快的時間內恢復正常運作。
四、總結
本文通過對電網企業信息安全重要性進行分析,提出了建立信息安全風險管理體系應對各種內外部風險威脅的必要性。在對電網企業信息安全的概念、特點等分析說明的基礎上,深入研究了電網企業的信息安全所面臨的各種不同的風險因素,建立了包括信息技術、企業管理、風險控制三個方面在內的電網企業信息安全風險應對機制。結合所建立的電網企業信息安全風險應對機制,本文構建了一套綜合、全面的電網企業信息安全風險管理體系。該體系的構建能夠從事前風險預防、事中風險控制、事后風險影響后果處理等三個環節進行全面的風險管理。
參考文獻
[1]張浩,詹輝紅,錢洪珍.電網企業信息安全管理體系建設中的風險管理實踐[J].電力信息技術,2010,8(6):21-24.
[2]劉金霞.電力企業給予風險管理的信息安全保障體系建設[J].網絡安全技術與應用,2008,(1):42-44.
篇13
由于涉及企業的核心信息資產,所以相應的信息安全風險點分布在企業管理的各個環節和層面。但是由于種種原因,目前國內企業對信息安全風險管理的認識仍不到位。總體來說,有以下主要問題,也是常見的信息安全風險管理的風險點。(1)信息安全組織和制度保障不足。沒有有效的信息安全管理組織機構,就無法有效地制定、執行安全管理策略,更無法進行有效的信息安全協作。信息安全管理制度通常都有,但很少有單位能夠嚴格執行,信息安全的政策制定也常常不符合標準,導致可操作性比較差或者達不到控制的目的。(2)信息安全相關人員意識不足。信息安全雖然已經被很多企業提到戰略高度,但更多停留在口頭上和管理層。大部分企業人員比較缺乏信息安全意識,安全事件報告不及時;對各自崗位相關的信息資產職責了解不清,對信息系統的錯誤操作導致信息泄密的事件屢有發生;部門單位還存在因人員流動導致的信息資產不連續等問題。(3)傳輸、存儲信息資產的設備與網絡存在安全隱患。部分企業存在網絡有安全漏洞、存儲設備老舊、數據資產缺乏備份機制等常見問題,一旦受到網絡入侵、病毒攻擊,或者發生硬件及性能問題,會導致信息資產大量泄漏或損壞。(4)訪問控制及用戶權限管理存在漏洞。在信息系統的實施階段,為了便于用戶測試或其他目的,部分用戶權往往限過大。隨著系統正式上線及應用,相應權限又由于種種原因沒有調整,對信息安全也留下了比較大的隱患。(5)軟件系統及業務持續性風險。因為國產化和自主開發的趨勢逐漸確立,大量企業選擇自行開發軟件系統,由于軟件開發技術而導致軟件本身存在一定漏洞,相應的開發質量存在隱患,連帶的如運維、業務持續性風險均應相應考慮。
3企業信息安全風險評估和控制
考慮到每個企業均有自身特點,面臨的信息安全風險點也不同。按照通常的信息安全風險管理理論,在完成上節所述的風險識別之后,需要進行詳細的風險評估和風險控制。信息安全風險評估是指確認風險大小程度的過程,主要是要借用適當的風險評估工具和模型,包括定量的或者定性的方法,對信息安全風險點造成的影響進行評估,以確定風險的大小和控制方式。其主要目的是為了確定風險的大小并量化,從而可以采取適當的控制目標和控制方式開展風險控制工作。信息安全風險控制的作用體現在對組織信息安全的保障上,其有效性體現在當企業面臨信息安全風險時對風險控制的有效程度,換句話說,在信息安全風險評估的基礎上,考驗控制力度的有效性就是損失的程度,損失的越少越有效。反之,則控制無效。另一方面,信息安全風險控制也是需要成本的,控制力度大小與成本通常成正比關系,而且在達到一定程度之后,控制力度增長比例較小可能帶來成本大幅增加。因此,信息安全風險控制的總體目標,是以最小的投入將信息安全面臨的風險控制在組織可接受的范圍內。
