时间:2023-06-12 14:47:37
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇风险评估的形式,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
为全面建立“以风险管理为导向,以信息管税为依托,集约服务、统筹评析、分类管事、系统考评”的新模式,深入推进税源专业化管理,增强任务管理的统筹性、协调性,提升任务管理质效,现将任务管理规范明确如下:
一、成立税收风险管理领导小组
成立税收风险管理领导小组:组长由局长担任,副组长由分管数据、征管的分管局长担任,成员由数据科、征管科、税政科、规划财务科、征收税务分局、风险评估分局、稽查局等部门负责人担任。负责统筹指导税收风险管理工作,协调处理跨地区、跨部门税收风险管理事宜;统筹税源管理任务的发起管理,审定数据及风险管理工作计划和重大风险应对任务,审定风险指引、纳税评估、日常检查、税务稽查(含举报、上级交办、市局部署的专项检查案件)任务。
领导小组办公室设在数据科,具体负责提交领导小组审议事项的准备及审定事项的贯彻落实工作。主要职责包括:研究提出领导小组会议议题;发起和召集相关专题联席会议;协调数据及风险管理工作任务的发起;督促检查领导小组确定的各项工作任务的分解落实情况;具体组织协调数据、风险管理、大企业管理等有关工作;通报相关事项;起草领导小组会议纪要等。
二、任务管理分类
(一)根据是否依纳税人申请、依职权管理发起和依风险发起不同,任务分为管理型任务和风险型任务。
对纳税人依申请、依税务机关职权开展的基础管理的任务为管理型任务,对通过风险识别分析,需深度管理的任务为风险型任务。
(二)根据任务组织频率和处理时效要求不同,任务分为固定主题任务、专项主题任务、临时突击任务。
固定主题任务是在一定时期内按固定频率(按月、按季、按年)进行分析形成的任务。
专项主题任务是各单位结合重点工作、阶段性工作制定的分析形成的任务。
临时突击任务是指上级税务机关和本局业务科室,根据业务工作要求和时限,经风险领导小组审定后,临时发起的即时需办结的任务。
(三)根据任务来源不同,任务分为依申请任务、依职权任务、上级推送任务、科室发起任务、基层提请任务、信息交换任务、举办案件任务。
依申请任务主要指大集中系统中依纳税人申请形成需后续调查、核实、认定的任务。
依职权任务是指根据日常管理要求和大集中系统自动产生,需要开展调查、核实、认定的任务。
上级推送任务是指上级机关明确风险应对对象、风险点和风险应对要求,直接形成的风险应对任务。
科室发起任务是指各业务科室根据各自业务工作要求,需风险评估分局评析产生的任务。
基层提请任务是指基层结合本单位税源管理实际,通过风险信息收集分析提出的风险应对建议引发的风险应对任务和稽查局根据税源风险防范重点工作任务、专项检查和日常稽查选案等工作引发的风险应对任务。
信息交换任务是指根据外面部门信息交换形成的风险应对任务。
举办案件任务是指根据举报受理形成的风险应对任务。
(四)根据任务处理方式不同,任务分为维护型任务、指引型任务、核实型任务、评定型任务、检查型任务、稽查型任务、实体型任务。
维护型任务是指根据纳税人提供的信息和各应对主体传递信息对系统内需修改的信息进行维护的任务。
指引型任务是指经过风险评估评析,形成的低风险,需通过风险指引方式应对的任务。
核实型任务是指经过风险评估评析,形成的风险事项相对单一、涉及税款相对较少的中风险,需通过风险指引方式应对的任务,以及依纳税人申请、依税务机关职权开展的基础管理的任务。
评定型任务经过风险评估评析,形成的风险事项相对较多、涉及税款相对较大的中风险,需通过纳税评估方式应对的任务。
检查型任务经过风险评估评析,形成的风险事项相对较多、涉及税款相对较大的中风险,需通过日常检查方式应对的任务。
稽查型任务经过风险评估评析,形成的风险事项多、涉及税款大的高风险,需通过稽查方式应对的任务。
实体型任务是指对重要的、复杂的管理事项和风险应对,由机关科室直接应对或组织应对的任务。
三、任务管理环节
任务管理分五个环节:即任务发起、任务识别、任务推送、任务应对和任务绩效评价。
(一)业务科室根据上级或本级业务事项管理要求和目标,向风险评估分局提出分析要求引发任务发起。
各分局、稽查局根据本身实际,需对纳税人加强监控管理的,可向风险评估分局提请发起任务。
(二)风险评估分局根据上级税务机关、本局业务科室要求、基层提请、外部信息交换情况及时开展任务分析、任务排序。
(三)风险评估分局根据任务性质、类型、数量、完成时间要求和应对力量,统筹各项任务,明确应对方式和应对部门,报风险管理领导小组审定后,推送相关部门。
(四)各任务应对主体根据应对要求、应对方式和完成时限,及时组织开展应对,并在规定时间内反馈应对结果。
对认为需跨部门改变应对方式的,在一个工作日内向风险评估分局提出,风险评估分局报风险管理领导小组审定确认。
(五)按照风险管理“谁发起、谁评估”的原则,各业务科室对任务分析识别绩效评价、任务应对绩效进行评价。
对依申请任务、依职权任务、上级推送任务、基层提请任务、信息交换任务的应对绩效评价根据任务主题,由相关业务科室分别负责。
发起部门对风险评估分局任务识别推送情况和风险应对机构任务应对情况进行评估。各分局提醒的任务列入风险评估分局推送的任务,根据任务主题,由相关职能部门对应对情况进行评估。
四、任务管理流程
(一)每月20日前,各业务科室、一分局、七分局和稽查局根据上级和本局业务工作要求,填写《地方税务局风险识别申请表》,经分管领导同意后,向风险评估分局提出下月拟新增的任务管理主题。已固化的任务管理主题除外。
(二)每月20日前,各税源管理分局填写《地方税务局任务提请申请表》,向风险评估分局提请发起任务。风险评估分局根据上级分析要求、任务管理要求和业务科室已确定的任务管理主题提请发起任务。
(三)每月25日前,风险评估分局根据确定的任务管理主题进行分析,结合已固化的任务管理主题分析结果,填写《地方税务局任务下发申请表》,形成下月拟推送任务的分析结果。
对需进行典型分析调查的,风险评估分局会合相关业务科室,选择部分典型户进行典型分析调查。
各业务科室根据分析结果提出具体应对处理规范、应对方式、应对时效。
风险评估分局会合各业务科室,初步确定任务应对方式、应对时效、应对要求,报风险管理领导小组审定。
(四)每月28日前,风险管理领导小组组织开展风险管理领导小组会议,研究确定下月的任务管理主题,明确任务应对方式、应对时效、应对要求。
(五)风险管理领导小组会后,风险评估分局在2个工作日内将任务和作业指导书推送相关部门。
(六)各任务应对部门在接到应对任务1个工作日内,认为风险评估分局推送任务不能满足应对的需求时,可将已提请发起的任务向风险评估局进行二次提请,风险评估分局1个工作日内将二次提请发起的任务报风险管理领导小组审定后,1个工作日内推送相关部门。
对二次提请发起的任务,可优先应对。对需相应减少已配送的任务数量的,可同时向风险评估分局提出,由风险评估分局报风险管理领导小组审定后,减少其任务数量。
(七)各业务科室负责指导各应对部门应对。风险应对部门在任务结束后1日内,将应对结果报风险评估分局,风险评估分局在每月风险领导小组会议上通报各应对部门任务应对完成情况。
对二次风险分析,仍未消除的风险或仍存在疑点的,由风险评估分局会同业务科室进行复核。对需要到户进行实地复核的,由风险评估分局向风险领导小组提出申请。经风险领导小组审定后,由机关实体化组织应对。
(八)各业务科室及时对风险领导小组审定的分析主题,对风险评估分局识别推送情况和应对部门任务应对完成情况开展绩效评估,将绩效评价结果列入考核。并根据应对情况进行总结,反馈给风险评估分局。
五、任务管理机制
各应对主体要严格按任务应对管理流程、应对方式在规定应对时效内开展任务应对。
(一)依纳税人申请发起形成的管理型任务,分为核实型任务和维护型任务。
对核实型任务由大集中系统任务配送中心向税源管理分局基础管理股配送。接受任务的应对人员通过核实方式予以应对,同时要做好机内操作。其中涉及税款结算、征收方式调整、注销等纳税人申请事项为风险型任务,以纳税评估方式应对。
对维护型任务根据资料信息在大集中系统中维护。
(二)依职权管理发起形成的管理型任务,向税源管理分局基础管理股配送,通过核实方式予以应对。
对大集中系统自动产生的任务,由大集中系统任务配送中心向税源管理分局基础管理股配送。基础管理股人员要根据应对情况做好大集中系统机内操作。
对非大集中系统自动产生的任务,由风险评估分局根据任务主题,以任务单的形式向税源管理分局基础管理股配送。
(三)依风险发起形成风险型任务,由风险评估分局根据任务主题,以任务单的形式配送,通过风险指引、核实、纳税评估、日常检查、稽查方式、机关实体化予以应对。
通过指引方式应对的任务,以任务单的形式,向征收分局咨询宣传股配送。
通过核实方式应对的任务,以任务单的形式,向税源管理分局基础管理股配送。
通过纳税评估、日常检查方式应对的任务,以任务单的形式,向税源管理分局风险应对股配送。通过纳税评估方式应对的任务同时还需明确底稿运用种类。对纳税人各税种、各种涉税事项进行全面风险防范运用全面评估底稿,对纳税人部分税种、部分涉税事项进行专项风险防范可运用简易评估底稿。对同一风险事项涉及纳税人较多,需进行集体约谈,集体约谈疑点未消除的,再进行实地核实。
通过稽查方式应对的任务,以任务单的形式,向稽查局配送。
通过实体化方式应对的任务,以任务单的形式,向相关业务科室配送。
(四)对风险管理系统产生的风险型任务由风险评估分局提出应对方式、应对部门,可以先征询管理分局意见后,报风险管理领导小组审定后,发各分局应对。对非风险管理系统产生的任务以任务单的形式配送。
(五)对应对过程中发现需进行信息维护的,生成维护型任务转交征收部门进行维护,其中稽查过程中发现需进行信息维护的,需先转交税源管理分局基础管理股进行修改确认,对经确认需维护的,再生成维护型任务转交征收部门进行维护。
(六)各税源管理分局根据管理需要,可以适时依职权管理发起形成的管理型任务,即时开展核实应对,在每月25日前,将应对情况上报风险评估分局。
对需开展风险型管理任务,必须在1个工作日内,向风险评估分局进行提请发起,风险评估分局在1个工作日内将分局提请发起的任务报风险管理领导小组审定后,根据审定意见,进行识别推送。风险应对人员无风险应对任务时,不得擅自下户开展管理活动。
六、任务管理要求
(一)各业务科室需要结合日常工作以规则的形式定义固定主题,并拟定分析频率报风险管理领导小组定期进行分析推送。
各分局、稽查局对发现的征管薄弱点认为有必要形成日常监控的,可以提交风险评估分局,由风险评估分局提交风险管理领导小组进行固定主题。
各业务科室不得在未经风险领导小组审定,未经风险评估分局统一发起的情况下,向基层分局推送任务。
对于南通市局通过绩效通报、效能监察等形式进行的通报,各对应科室需要对通报情况中本局不足问题内容列出专项主题分析要求,交风险评估分局分析形成任务。
(二)推送的所有任务能明确到部门、岗位的,必须明确到具体部门、岗位。不能明确的,推送到分局综合股,由综合管理岗按任务事项、任务复杂程度、任务涉及区域进行推送,在1个工作日内优先进行分派。
(三)风险评估分局要合理有序发起任务,注意任务发起数量、完成时效的均衡性。要统筹好各项任务,对同一方向同一区域不同基础事项尽可能归并处理,解决管理跨度大、管理半径大、纳税人分散客观实际情况,以防多次下户,打扰纳税人。
(四)各应对部门要及时认真组织应对。建立任务应对情况集体审定制度,对风险事项多、涉及金额在1万元以上的,需进行集体审定。
建立健全重大事项报告制度。对到户实地应对时,发现纳税人其他明显重要风险,必须在1个工作日内向分局汇报。认真核对纳税人基本信息,落实好信息带回制度,对需修改基本信息的,及时采集相关证据,在应对结束后1日内上报分局综合股,由综合股向征收税务分局传递。
各应对部门要及时跟综本部门任务完成进展情况,适时对任务进行二次统筹调派。对所接受任务量过大的,情况复杂的预计不能按期完成的任务,填写《地方税务局任务延期办结申请表》,报风险评估分局,由风险评估分局报风险管理领导小组审定后,可以延期。
关键词:高校;体育教学;风险评估
1 前言
体育运动本身具有较强的竞争性和对抗性,学校体育教学活动所面对的体育教学风险,是在体育教学活动中出现的动作行为上、意识上、思想上的风险。由于其产生的事故责任、赔偿可能性和法律纠纷等问题,其管理目标限定在减少体育活动伤害事故以促进学生的全面发展方面。高校体育教学风险存在时间较久,近几年问题凸显,其根源一方面在于应试教育的重智轻体,导致近几年我国学生体质连续下降,再加上学校体育管理模式的落后,使大学生体育活动安全事故增多。由此,在高校中体育教学活动进行风险评估是十分有必要的。
2 体育教学风险评估理论的内涵
2.1体育教学风险评估理论的发展
许多学者的研究成果中对于风险评估理论的分析,存在着不同的见解,而对于评估的操作环节也持有不同的观点。这样使得风险评估没有一个完整的理论作为支撑,造成了理论与实践相脱节,也就导致了研究推进缓慢的结果。
通过查阅有关风险评估的文献,我们可以看出类似于这样研究的文章很多。但是,深入研究后发现,目前的研究只停留在表层的研究中,而高校体育教学中存在的风险,如何去正确评估的研究还很不完善。可以说高校体育教学中风险存在由来已久,认真地分析和定位才能够准确找出风险发生的缘由,进而加以预防,因此,此类研究还须进一步加强。
2.2高校体育教学过程中的风险
现在的高校体育教学工作仅仅局限于以风险危害安全为主要的任务,缺少追求学生全面发展的积极性和主动性。所以,我们要转变体育教学的思想观念,要对体育教学理论进行深入的研究,特别是要针对高校体育教学风险存在进行深刻认识,把运动伤害事故转化为风险的收益。通过这种认识将使高校体育教学质量得到很好的提高,还能为人类的身体健康、愉快的工作、提高身体素质、改进体育教学方法手段以及为体育教学的顺利进行提供理论保障。
2.3体育教学风险的评估
风险评估,即安全评估,通过综合考虑风险产生的概率和风险发生后的损失程度及其他相关因素来估算出风险发生的可能性和风险程度。基于发生的损失数据,运用概率论和数理统计的方法,对某一(或几个)特定风险事故发生的概率(或频数)和风险事故发生后可能造成损失的严重程度做定量分析。
3 高校体育教学过程中风险评估的实施策略
3.1高校体育教学风险评估的体系
高校体育教学风险评估是由上述主要因素形成的一套完整的风险评估体系。全国高校体育教学风险评估是为了评估出主要存在因素,根据评估出来的要素来研究如何评估,评估实施过程要合理,要有针对性。
3.1.1评估的目标
风险评估有了目标,才能选择评估什么内容,才能确定风险评估人选,决策评估的合理时间,并运用最好的评估方法和手段。高校体育教学风险评估目标是:提高高校体育教学风险评估水平,加强高校体育教学风险评估效益,使高校体育教学风险评估呈现良好的运行模式。
3.1.2风险评估的对象
风险评估的活动者即为风险评估的客体。要对风险评估的个体活动进行评估,也要看活动过程是否按照相关的要求进行,对课题评估的结果是否准确无误。一方面要考虑高校体育教学风险评估有法可依,另一方面要考虑评估的结果对教师、学生、学校等方面存在风险的程度大小,风险存在的影响是利是弊。
3.1.3评估权重的设置
评估权重设置要根据高校体育教学评估的侧重点不同,评估主体首先设置学校在风险评估中风险指标体系风险量的大小。评估主体预先设定的各单个指标分值占指标体系分值的比重。因为高校体育教学风险评估的主体构成的不同,高校体育教学风险评估的预先设置的目标大不一样,所以评估指标的方向也会有所变化。高校体育教学风险评估的主体不同,评估指标的设置也不能完全固定,由实际操作者对主体的不同进行预先的设置。
3.2高校体育教学风险评估模型
风险评估模型是对风险评估的重要环节,它的建构基础是在一定的评估层次和风险评估指标体系的前提下,结合相应的分析理论和统计学学科知识,逐步搭建的评估体育教学风险的模型。
3.2.1设定风险评估指标权重
本文选择层次分析法来确定高校体育教学风险评估指标的权重。本模型采用1至9标度法,请有关专家填写判断矩阵。假设建立的判断矩阵为B=(CKL)P×P,其中CKL表示对于上一层元素而言 BC对 BK的相对重要性指数。建立了判断矩阵以后,就要对判断矩阵分别单排序并进行一致性检验。
第一,明确单个排列的权重。评估体系里的多个指标权重,可以运用和积法进行换算。
第二,得出结果要对其是否一致进行检验。
第三,计算层次总排序。
3.2.2模糊综合评估过程的实施
在一定条件下,对于模糊综合评估过程,通常运用一些有关的高等数学理论和一些科学的分析方法进行研究分析。最后,根据得到的评估结果分析整个评估过程,具体操作如下:确立评估指标和要素,规范评估行为;明确有关于风险评估的定语;预设风险要素体系权重向量;确定风险要素的隶属度矩阵R;多层次模糊综合评判。
3.3高校体育教学风险评估的运行
3.3.1评估方法的确立
帕累托分析法是根据评估分析内容制定方针应使用帕累托分析法,针对不同形式、不同类别开展排列分组,根据内容标注出主要因素和次要因素,再根据主要因素和次要因素制定行动路线。
收集数据。按分析对象和分析内容,根据分析对象和分析的内容开展材料整理,最终以要点的要求进行整理。
数据处理。根据要点的要求、性质分别对资料分析处理,分析面广且包含内容多,如:累计数值到什么程度、数值所占比例。
根据数据处理的结果制表分析。
3.3.2评估过程
体育教学风险评估的过程包括:确定目标、收集信息、分析信息、得出结论。
确定目标:体育教学风险评估先制定最终预想结果,根据预想结果制定策略、方针、整体思路,合理有效地利用资源,选择合理路线。
资料整理:预想效果制定后,根据要求分析数据、取其精华,利用合理方法有针对性地进行整理。采用方法可用多元化的实地考察。
预期效果:数据进一步研究后,制定预期效果,并获取相关数据,并将相关结果对外告知他人。
3.3高校风险评估的要求
评估要求的立足点根据多元化的形式探讨风险评估,因需求不同采取方式就不同。多元化的因素取决于那个主体对象是制作者还是使用者;想要关注实施过程还是所要效果或是对其的力度面,都要仔细思考。
第一,应具有高风亮节的精神、严谨求实的作风,优良的团队,这几项是风险评估的重点要求;
第二,理论联系实际,从实践中更好地理解理论知识,提高自身素质,多与他人沟通交流,不断提升自己,使自己综合素质得到提升。
第三,选取的课本应适用现代教学目标,可选用多种类型的课本适合体育教学大纲等,使学生更好地获得知识,提升综合素质以适应社会发展。
最后,验证真理的唯一标准就是通过实践,首先要素是教育实施过程管理,风险评估效果最终是以管理效果来反映。因此,指标的设立要充分反应风险管理的力度。
4 结束语
通过对高校体育教学过程中风险评估理论的仔细梳理,把高校体育教学风险评估的基本理念、原理和方法进行科学的整合,形成高校体育教学风险评估新的模式。在新的模式下,根据高校体育教学风险评估的要素体系,以及形成的评估执行的准则,对体育教学中风险进行评估归类,最后得出相应的风险评价指标体系。建立评估体育教学的风险模型,对体育教学风险进行系统分析,依据得出的结果,说明高校体育教学风险评估的有效性。
参考文献:
[1]王苗,石岩.小学生体育活动的安全问题与风险防范理论研究[J].体育与科学,2006,(06).
[2]张左鸣.高校运动伤害的风险管理研究[J].西安建筑科技大学学报(社会科学版),2008,(03).
关键字: 雷电灾害;风险评估;现状;完善
中图分类号:TK288文献标识码:A
引言
依据漯河市防雷减灾中心提供的雷电灾害资料,结合历史资料,漯河市共发生雷击事件100多次,其中雷击死亡8人,伤2人。由此可见,雷击的频繁发生,对人民的生命财产安全构成了巨大的威胁。随着高层建筑物的不断增多,雷击的发生频率有所提高,而且严重化程度以及多样化不断增加。气象部门近年来逐渐重视,漯河市气象局在其部门职能中对此就做出过明确的指示,各部门要积极探索顺利开展雷击灾害风险评估工作的途径和对策。
如何开展雷击风险评估,首先要认识和了解雷击风险评估。雷击风险评估是研究系统性防雷和区域性防雷的技术支持,是准确定位防雷建(构)筑物类别及合理设计防雷工程技术方案的必然要求。简单来说,雷击风险评估根据项目所在地雷电活动时空分布特征及其灾害特征,结合现场情况进行分析,对雷电可能导致的人员伤亡、财产损失程度与危害范围等方面的综合风险计算,从而为项目选址、功能分区布局、防雷类别(等级)与防雷措施确定、雷灾事故应急方案等提出建设性意见的一种评价方法。
雷击风险评估现状
(一)、依据法律法规开展雷击风险评估
《气象灾害防御条例》;(2)中国气象局第20号令《防雷减灾管理办法》;(3)中国气象局第21号令《 防雷装置设计审核和竣工验收规定》,以及地方的气象和物价部门的法律、法规。依法办事,有法可依,对开展雷击风险评估的发展起到一定的促进作用。但是各个地区政策参差不齐,部分省份的收费不够明确,这对于评估必定会产生很大的影响。因此应当抓紧制定出台相应的政策文件和雷击风险评估收费标准。
(二)、雷电风险评估方式及内容
1、工作形式:根据气象管理部门的要求,并得到气象部门的许可,指定风险评估单位,然后依据一系列的评估标准进行评估。
2、雷电灾害风险评估分为项目的预评估、方案评估及现状评估。由于雷电风险评估,国内仍属于初级阶段,因此现在主要只是做建设项目方案的评估。对大型厂房、高层建筑等等雷电危险系数大的建筑物,进行雷电灾害分析,防雷设计的指导,并给出防护措施和应急预案。
(三)、防雷评估的推广问题
1、、宣传、认识不足:根据日常受理的经验来看,绝大部分建设方在办理防雷相关手续时并不知道有雷击风险评估这一项目的存在。即使工作人员做出说明,通常也会对其必要性提出异议。经常将前期可行性评估与雷击风险评估混为一谈,因此在宣传上有很大的欠缺。
2、在建设施工方面,绝大多数存在到气象窗口报批施工图防雷设计审核前施工图已经出了,才补办雷击风险评估。评估的最终目标是为建筑防雷提供科学的依据,这样做的话就不能真正的发挥雷击风险评估对设计的指导作用。
(四)、设备落后、人员缺乏
1、由于对雷击风险评估重视不足,导致设备缺乏或者是设备更新不及时,各个地方闪电定位材料的不齐全,造成整体技术水平偏低,最终导致这项工作的质量达不到要求水平。
2、专业技术人才是做好雷击风险评估的重要保障。关于人员问题,由于开展雷击风险评估的时间较短,技术水平有限,实践经验缺乏,如果再没有专业技术人员的指导,那么在技术这一块就会达不到标准。
对开展雷击风险评估的思考
从核心问题出发,从根本上解决,保证雷击风险评估的技术质量和水平,解放思想,大胆创新,积极推动雷击风险评估工作的开展,拓展防雷技术服务新领域。还要对雷击风险评估有正确的定位和清醒的认识,统筹兼顾,在全市范围内实行合理可行的运行机制。
、关于仪器设备以及人员管理
1、仪器设备方面:政府应当加大扶植力度,对一些先进设备的引进是技术保证的前提。对基层设备要及时进行更新,因为基层是提供基础数据的重要来源。
2、人员方面:要招贤纳士,多引进雷击风险评估方面的人才,学习使用先进的科技手段,提升风险评估的效率与准确性。提高工作人员的工作认真程度,办事效率,保证每个评估报告都有质量的完成。我们也应该因地制宜的研发出适合本地区的雷击风险评估管理系统。积极研发和推广雷击风险评估管理系统,使复杂、繁琐的计算过程简化。
3、完善制度:由于雷击风险评估发展时间短,制度也都有一些漏洞,因此应当建立有效的制度,以提高评估的质量和水平。每个从业人员必须都要有相应的从业资格证书,并且要定期对工作人员的业务水平进行考核,确保雷击风险评估的质量和服务都达到标准。
(二)、关于制度的完善
1、雷击风险评估制度的完善:有些地方的法律法规仍然不够完善,收费模糊,工作的内容不够明确。对此政府部门要提高重视,对不合理的制度进行补充完善,细节制度清楚。进而促进雷击风险评估工作的顺利开展。
2、雷击风险评估机构制度:机构内部制度的完善,工作流程制度、用人制度、考核制度的完善工作。
、推广宣传工作:由于大众对雷电灾害风险评估的陌生,造成了对其的不理解,使其在推广上遇到了很大的阻力。需要各个部门的协调配合,利用宣传材料、网络以及其他的媒介进行宣传工作,使更多的人了解、认识雷电的风险评估的重大意义。从而提高对评估的全面认识。全社会重视起来了,实施落实起来就相对容易多了。
结束语:气象事业的发展与气象法律体系的建设相辅相成。防雷事业的发展同样也离不开有关防雷法律法规的出台与落实而得以保障。雷电灾害风险评估在防雷相关法律法规中的重要程度仍有待提高,以使其重要性与其在法律上的体现相匹配。在提升雷击风险评估在法律中的重要性的同时,更要加强其细致化规范进程。
通过雷电灾害风险评估可为评估对象提供雷电防护的科学设计、灾害风险控制、经济投资、应急管理等方面服务,保证防雷工程安全可靠、技术先进、经济合理。雷击风险评估是开展综合防雷的必经程序,也是实现科学防雷的必要条件,体现了预防为主,防治结合的理念。雷电风险评估需要较高的科技含量,要避免盲目性,保证数据的科学准确,评估报告具有权威性。让更多的人知道,雷电风险评估是雷电风险灾害管理的关键措施,具有控制和消除隐患的重大作用。
参考文献:
[1]杨仲江.雷击风险评估与管理基础[M].北京:中国气象出版社,2010:21-25.
1风险分析的柜架
风险分析(riskanalysis)是最近30年间发展起来的一种的系统化、规范化方法,旨在为食品安全决策提供参考。国际粮农组织和世界卫生组织将风险分析定义为“由风险评估、风险管理和风险交流3个部分组成的一个过程”。“危害”和“风险”是风险分析的2个基础概念,危害是指食品中存在或因条件改变而产生的对健康不良作用的生物、化学和物理等因素,风险是指食品中的危害因子产生对健康不良作用和严重后果的概率函数。风险分析的内容具体为通过对影响食品安全的各种物理、化学和生物危害进行鉴定,定性或定量的描述风险的特征,在参考有关因素的前提下,提出和实施风险管理措施,并与利益攸关者进行交流。风险分析框架(见图1)形象描述了食品安全风险分析的整个过程,更进一步的信息请参考FAO/WHO的食品安全分析出版物。
2风险评估
作为风险分析的核心环节,风险评估(riskassessment)是对食品中各种危害的风险高低进行科学评估的过程,包括危害识别、危害特征描述、暴露评估和风险特征描述4个步骤;风险评估是风险管理,即政府制定和实施食品安全控制措施(包括法规、标准和监督)的科学基础,也是风险交流的重要信息来源与依据。
3风险管理
风险管理(riskmanagement)是根据风险评估的结果,考虑风险评估结果与其他保护消费者健康和促进贸易公平的相关因素,通过与所有利益相关方会商,权衡各种备选政策措施的过程;其目标是形成一系列的食品安全标准、指南和建议。风险管理可以分为4个部分:风险评价、风险管理选择评估、执行评估、监控和回顾。
险交流
根据CAC的定义,风险交流(riskcommunication)是指在风险分析过程中就危害、风险、风险相关因素和风险认知在风险相关各方中(包括风险评估者、风险管理者、消费者、业界、学术团体和其他利益相关方)相互交换或交流有关信息和观点的过程,其内容包括对风险评估结果的解释和制定风险管理政策的依据。进行风险交流的要素包括:风险的性质、利益的性质、风险评估的不确定性以及风险管理的选择。从风险管理的过程来看,风险交流是风险评估结果和风险管理意见的传递及表现形式,也是风险管理的延伸。综上所述,风险评估、风险管理、风险交流3部分相互依赖,并各有侧重,组成了一个相互补充且高度统一的连续、动态整体。风险评估是整个风险分析体系的核心和基础,强调所引入的数据、模型、假设的科学性;风险管理是政府机构根据风险评估结果制定相应的政策和采取管理措施,注重所出的风险管理决策的实用性;风险交流是食品安全利益攸关者之间交换意见的过程,强调在风险分析中的信息互动。
食品安全风险评估
1风险评估的步骤
CAC对风险评估的定义是“对特定时期内因对某一危害的暴露而对生命和健康产生潜在不良影响的特征性描述”。通常包含危害识别、暴露评估、危害特征描述和风险特征描述4个基本步骤(见图2)。具体为利用现有的资料,对食品中某种生物、化学或物理因素的暴露对人体健康产生的不良后果进行鉴定、确认和定量。继危害识别之后,这些步骤的执行顺序并不固定;通常情况下,随着数据和假设的进一步完善,整个过程要不断重复,其中有些步骤也要重复进行。
2危害识别
危害识别是识别可能对人体健康和环境产生不良效果的风险源(可能存在于某种或某类食品中的生物性、化学性和物理性风险因素),并对其特性进行定性、定量描述的过程。识别危害因素的主要方法包括流行病学研究、毒理学研究、食源性疾病监测、食品污染物监测等。流行病研究资料是危害与人体健康损害关系最直接、确切的反映,但成本昂贵且数据较难获得,因此在实际工作中毒理学研究(特别是动物试验)往往是危害识别的主要依据。
3危害特征描述
危害特征描述是定性和(或)定量的评价与食品中可能存在的生物、化学和物理因素有关的健康不良效果的性质。一般来讲,在此步骤应建立消费环节中食品危害不同暴露水平与各种不良健康影响可能性之间的剂量-反应关系。可以用来建立剂量-反应关系的资料类型包括动物毒性试验、临床人体暴露研究以及由疾病调查得到的流行病学数据。大多数情况下是使用毒理学或流行病学数据来进行主要效应的剂量-反应关系分析及数学模型的模拟。合理的剂量-反应关系的建立与分析取决于可得的实验室数据(如剂量水平、毒性或有害反应测量终点等)和所采用的数学及统计学方法。通过剂量-反应模型分析,可获得基于健康水平的推荐量值,如每日允许摄入量(ADI)、暂定每日可耐受摄入量(PTDI)、暂定每周可耐受摄入量(PTWI)和急性参考剂量(ARfD)等;与暴露评估结合还可以对危害因素的暴露边界值(MOE)急性估计,量化在特定暴露水平下的风险/健康效应。
4暴露评估
暴露评估是指对于通过食品可能摄入和通过其他有关途径接触的生物性、化学性和物理性因素的摄取量的定性和(或)定量评价。暴露评估所需的基本数据为食品中微生物、化学物或物理性危害因素的含量及食品消费量。根据所关注的不良健康影响的不同,膳食暴露评估可分为急性暴露评估和慢性暴露评估,对化学性危害因素的评估通常是考虑慢性暴露(评估整个生命周期内的每日暴露状况),对于某些污染物、农残和兽残等则还要考虑急性暴露(主要针对24h内食品中有害因素的暴露情况进行评估)。通过比较膳食暴露结果和相应的化学性危害因素的健康指导值,可确定该危害因素的风险程度。而微生物暴露评估主要是描述在消费当时的食品中致病性微生物的分布及消费量,通常针对一种受污染食品的单一暴露。在消费过程中各类环境条件(如温度、湿度等)甚至是存放时间都可使致病菌危害水平发生显著变化,因此会增加评估的复杂性。
5风险特征描述
风险特征描述是指根据危害识别、危害特征描述和暴露评估这3个步骤的结果,对某一给定人群的已知的或潜在健康不良效果的发生可能性和严重程度进行定性和(或)定量的估计,其中包括伴随的不确定性。对于有阈值的化学物,人群危险性取决于暴露量与ADI、PTDI、PTWI等测量值的比;对于没有阈值的化学物则需要计算人群危险性,即评价根据摄入量估计出所增加的癌症病例数是否是可以接受的(不构成危险)或不可接受的(构成危险)。微生物的风险估计可以是定性描述,如把某种致病菌的风险分为高、中、低3个等级;也可以表述为定量形式,如每份食品中风险的累计频数分布、目标人群每年发生的风险、不同食品或致病菌的相对风险等。风险特征描述还需要说明风险评估过程中每一步所涉及的不确定性,将动物实验的结果外推到人可能存在质和量两方面的不确定性,在实际工作中,这些不确定性可以通过专家判断和进行额外的实验(如人体试验)加以克服。
食品安全风险评估结果的应用
风险评估结果可以用于制(修)订食品安全标准和制定其他管理措施、确定国际食品安全监管优先领域、评估监管措施实施效果,并为风险交流提供科学信息。例如,对各种危害因素的评估得出的健康指导值是作为制定食品标准安全指标限值的依据,CAC明确规定在制定食品法典标准时必须以风险评估结果为依据;WHO的SPS协议也规定,各国食品安全标准制订应以风险评估为基础。另外,把风险评估和经济学评估结合起来可确立用于决策的单一模型,这些模型能够将评估结果、健康影响、经济成本和其他成本等转换成可以直接比较的单位(如美元、伤残调整寿命年或质量调整寿命年),以便于对风险管理者决策产生的后果进行更真实的描述。
国内外风险评估工作概况
1国际及其他国家的风险评估工作开展现状
目前国际上正对食品中化学性污染物、生物性污染物、食品添加剂、营养素补充剂等均已建立相应的评估方法。表1列出的是主要的国际专家组织。虽然尚未有专门开展营养素评估的机构,但在2005年上CAC通过了《建立营养素和相关物质的可耐受最高摄入量的模型》,标志着以科学为基础,制定营养素及相关物质安全摄入量上限工作的开始。各个组织所开展过的评估工作及其工作报告可在其官方网站进行浏览。即使国际组织已经对多种危害因素进行了评估,但鉴于国民健康状况、生产加工工艺及食品消费模式的差异,每个国家都需要开展本国的风险评估工作,才能制定适合国情、保障国民健康的食品安全标准等风险管理措施,并在国际贸易中争取更有利的条件。欧盟、美国、澳大利亚、日本等先进国家与地区都已设置了专门的评估机构(见表2)。美国是最早把风险分析引入食品安全管理领域的国家之一,可以开展食品安全风险评估的机构非常多,表中列出了其最主要的几个部门。
2我国食品安全风险评估工作开展现状
[关键词] 重大政策;社会稳定;风险评估
[作者简介]沈克慧(1972—),女,管理学博士,江西省社科院助理研究员,研究方向为公司战略、风险预警。(江西南昌 330077)
本文系江西省社会科学院2012年重点课题“构建重大政策社会稳定风险评估制度研究”(主持人:高玫,编号:1222)的阶段性成果。
社会稳定风险评估是政府在政策制定和社会管理过程中的一项重要机制,其意义在于对政策出台后可能出现的社会稳定风险进行先期评估,并将评估结果作为政府进行决策和实施政策的主要依据。通过将社会稳定风险评估作为政策实施的前置程序,做到重大政策出台前有风险评估、实施后有责任追究,以实现从被动求稳到主动维稳的转变。作为当前一个新的加强社会管理的载体,社会稳定风险评估机制还存在若干法律问题,这些都需要我们进一步研究和完善。本文借助于风险评估的基本理论试图对重大政策的社会稳定风险评估系统进行理论研究,期望能为政策决策者从一个全新的视角提供理论支持。
一、重大政策风险评估系统研究目的、意义和基本程序
(一)重大政策风险评估系统研究目的
当前,中国经济的高速增长,各地开发力度不断加强,中国的现代化建设被挤压在一个相对有限的时空背景下进行。现代风险已经彻底改变了现在、过去和未来的关系,不再是过去决定现在,而是未来的风险决定我们今天的选择[1]。政府必须不断出台新的政策与经济发展相适应,同时也加大了社会稳定的不确定性。因此重大政策出台,应对其所带来的社会稳定风险进行适当评估。同时,重大政策在制定过程中人为因素很多,具有难以估计的复杂性,因此在对重大政策研究过程中进行分类应当区分可控和不可控风险,本文研究所探讨的是可控的重大政策风险。
(二)重大政策风险评估系统研究意义
重大政策要加强社会稳定风险评估的研究,这就需要通过建立一整套科学有序的评估方法,从源头上规避、预防、降低以及控制和应对可能产生的不稳定因素,提高应对社会风险的防范能力。从而及时预警因考虑不周全而侵害部分公民或集团的合法权益,获得群众对重大政策的理解与支持,降低改革中的阻力,确保改革稳定发展。
本文试图运用风险评估模型,通过建立重大政策社会稳定风险评估指标体系建构,将定量分析与定性分析相结合,使得风险评估法更加直观、更易于操作。重大政策社会稳定风险评估通过事先对重大事项的社会稳定风险程度进行分析预测、研判以及评估,及时发现影响社会稳定的隐患问题,及早采取针对性措施予以防范化解,为确保重大政策顺利实施提供科学依据和安全保障,保证社会运行在稳定有序的轨道上,进而防止严重危及经济发展和社会稳定的局面出现。
(三)重大政策风险评估系统研究基本程序
重大政策风险评估系统研究程序是基于管理学中的风险管理理论,包括以下几个过程:
1.风险识别
风险识别是将对重大政策所面临的以及潜在的风险,进行分类、判断以及归类鉴定风险性质的过程。
2、制定风险评估方案
由评估责任主体(重大决策拟定部门、政策起草部门、项目申报部门、改革牵头部门以及工作实施部门)负责制定评估方案,包括具体组织形式、时间安排、工作方法以及具体措施。
3、广泛征求意见
评估主体按照评估方案,就拟定重大政策进行公告、公示或者发放征求意见表、召开听证会、论证会等多种形式来征求各方意见。并将意见进行归纳、整理作为进行风险评估的第一手资料。
4、风险估测
在风险识别的基础上,邀请主管理部门、执行部门、相关专家等组成风险评估小组,对所收集的风险资料加以分析。同时,根据风险成因、潜在威胁以及如何化解矛盾等问题,进行风险规避。经过严格的审查报批程序和周密的判断以及科学研究论证,运用概率论和数理统计的方法,估计和预测风险发生的概率和损失的大小,这是风险的定量过程。
5、风险评价
用党的政策和国家法律、法规去衡量风险的程度,以便确定风险是否需要处理和处理的程度。衡量是否适应大多数群众的利益需求,是否得到大多数群众的理解和支持;是否可能引发较大的不稳定事件,以及是否制定相应的应急处置预案。
二、重大政策社会稳定风险系统研究
风险研究最早运用于项目工程管理。受20世纪世界范围内对经济安全进行评估预警思潮的启发,社会稳定风险评估工作机制逐步形成。西方各主要发达国家推出了一系列预警系统侦测经济安全,比如美国的“美国商情指数”(哈佛指数)、法国的“景气政策信号制度”、日本的“日本景气警告指数”等。
国内学者对社会稳定风险指标的研究源于1988年中国社会科学院社会学所成立的社会指标预警课题组,对社会稳定风险评估提出包括经济指标、生活质量指标、社会问题指标、主观指标四大类,40多个主客观具体指标组成的指标体系。宋林飞(1989)对社会稳定风险评估分为包括收入稳定性、贫富分化、失业、通货膨胀、腐败、社会治安、突发事件等7大类40多个指标构成的“社会监测与报警指标体系”[2]。朱庆芳(1992)提出由40多个指标构成的“社会综合报警指标体系”。仇立平(2002)负责的上海课题组提出由17个方面7 0多个具体指标构成的“社会稳定指标体系”。阎耀军(2004)提出6大类55个指标构成的预警系统。陈远章(2008)设计了一套涵盖社会公平、社会秩序、社会安全和社会舆情四个方面的社会风险预警指标体系。
综合国内外社会稳定风险评估方面的研究得出几点结论。其一,目前在重大政策中有涉及社会稳定风险评估方面的研究,但其研究侧重于经济和社会效益、生态环境方面影响的研究,对重大政策引发民众冲突的社会风险因素研究方面不够深入和系统(童星,2010),重大政策拟定部门开展社会稳定风险评估,包括“政策执行偏差”、“合法利益受侵害”、“较大规模的失业”、“社区解体”、“弱势群体对社会问题的态度”四个方面[3]。其二,重大政策社会风险的发生往往是由于缺乏相应的管理(杨琳等,2010),包括“地方政府的执政能力和执政水平”、“应急制度不完善[4]”导致的社会风险发生后恶性循环,引发出更大的社会风险;“技术支撑体系”没有或者较少建立,导致缺乏理论指导和媒体监督,致使相关管理人员不够重视潜在社会风险的发生。其三,指标体系的建立具有广泛和全面的特点。但条目过多,却导致社会监测困难。评价指标体系适用性差,缺乏普遍性,操作实施困难,不具备常规性和抽样性的特点,不利于及时发现问题。归纳已有的研究,笔者认为可以从社会稳定风险因素和相应的管理状态来建立重大政策社会稳定风险评估指标体系(见图1)。
(一)建立社会稳定风险因素测量指标
为使社会稳定风险进行综合评估更加直观、更易于操作,应先通过建立社会稳定风险指标体系。这些指标体系“是建立在理论基础上甄选出来的敏感指标组成的一种测量社会危机现象及其运行过程的指标体系”。一般来说,指标通常是用该地区公众对政治形势、社会发展不平、经济发展速度、社会经济政策等影响和制约个体行为的因素的估计、推测和判断为基础综合编制而成的。社会稳定风险因素包含“政策执行偏差”、“合法利益受侵害”、“较大规模的失业”、“社区解体”、“弱势群体对社会问题的态度”。这五个定性指标之下,根据陈远章的“社会风险预警指标体系”又分别建立了18个社会稳定风险因素测量指标(见表1),着力于从全社会的宏观角度来考察重大政策的存在对社会带来的贡献与影响,从而降低社会风险,保障经济的可持续发展。通过探索重大政策前置评估,进行科学、系统地研究,使其具有有效的操作性,同时,也改变了以往的评估指标不够科学性和系统性,在事实上促进了社会的稳定与和谐。
(二)建立相应的管理状态测量指标
政府部门相应的管理状态构成,能够较大程度地提高各级部门维护社会稳定的自觉意识,并因为重视民意而及时化解矛盾。这部分内容包括地方政府的执政能力和水平、应急机制、技术支撑体系建设,为二级指标。根据陈伟珂等“执行过程风险指标”建立了6个三级管理状态测量指标(见表2)。
三、建立重大政策社会稳定风险评估模型
通过风险预警模型的建立,将上述的各级指标赋予权重值后起先无量纲化后得到社会稳定风险程度指标,并根据指标大小来进行适度控制。根据图1和表1,建立下列社会风险预警评估模型:
ESRij=X1W1+X2W2+……+XnWn (1)
ESDi=ESR1jW1j (2)
ESRij为二级指标评价值, ESDi为一级指标评价值,X代表无量纲值, W代表社会风险预期各级指标权重,n为各级指标序号。通过上述公式测量出各级指标权重,并予以社会风险评价,根据评价结果对比风险等级予以相对应的风险识别。
上述指标权重是信息化水平评价的重要指标。为了提高评价的客观性、全面性和准确性,权重采用既反映决策者主观意志的主观权重,又反映决策客观数据的客观权重的组合权重。各层次的评价指标确定后,采用了在专家咨询法(Delphi),请有关专家对每个定性指标打分,并对不同等级的得分系数求加权平均数。定性指标在不同等级上的分值系数分别为:强1.0、较强0.8、中0.6、较弱0.4、弱0.2。定性指标则是通过对熟悉重大政策对社会风险影响的专家、政府官员等的调查得到的统计结果。在此基础上的层次分析法(AHP),对不同层次的各个指标进行赋权。在建立判断矩阵时运用专家咨询法对进行两量指标进行比较并赋值,权重的确定采用了层次分析法的计算思路。通过对每一级指标下的二级指标单因素评价可以得到隶属关系矩阵,它反映了某一、二级指标在各个指标上对各等级模糊子集的隶属情况,某一级指标的隶属情况分析就需要对二级指标的单因素评价结果进行综合。
四、应用前景
重大政策社会稳定风险评估是建立在与之相类似的科学理论、方法及技术手段基础之上,通过事先对重大事项的社会稳定风险程度进行分析预测、研判评估,及时发现影响社会稳定的隐患问题,及早采取针对性措施予以防范化解,为确保重大事项顺利实施提供科学依据和安全保障,保证社会运行在稳定与秩序的轨道上,从而防止严重危及社会稳定的局面出现。盲目决策,制定出台的政策、措施不科学、不合理、不符合群众的期待等此类问题,给社会稳定带来了巨大的压力。通过建立社会稳定风险评估制度,为决策设置一道“刚性门槛”,有利于提高决策的科学性,尽可能减少因决策失误给社会稳定带来的冲击。
[参考文献]
[1] (英)安东尼·吉登斯,赵旭东、方文译.现代性与自我认同[M].北京:三联书店,1998 .
[2]宋林飞.中国社会风险预警系统设计[J].社会学(人大复印资料)2000,(1).
[3]童星.公共政策的社会稳定风险评估[J].学习与实践,2010,(9).
【关键词】风险管理 风险评估 指标体系 风险控制
1 前言
信息化装备专项建设项目本身具有实战性、系统性和反馈性等特征,建设过程中不可避免地存在风险因素,部分风险因素是可以预见的,研制的过程中可以采取相应的措施进行控制和规避。从提装备研制项目效益的方面,需要对装备研制项目进行风险评估与管理,对研制过程中可能出现的风险进行及时规避,保质保量地按时完成任务。
2 信息化装备专项建设风险分类
根据风险理论,信息化装备研制项目风险可以从不同的角度,按照不同的标准进行分类,按照装备研制项目风险源分类,可以清晰界定概念,不易遗漏风险元素,可操作性强,所以本文采用该方式进行分类[1],可将装备研制风险分为:计划风险、技术风险、组织管理风险、费用风险、采购风险、环境政策风险、生产风险等。
3 信息化装备专项建设风险管理
风险管理的一个重要标志是建立风险管理的系统过程,从系统的角度来认识、理解和管理风险。风险管理过程由若干相互影响的主要阶段组成,每个风险管理阶段的完成都需要风险管理人员的努力。根据信息化装备研制风险管理的情况,将风险管理过程分为风险规划、风险识别、风险估计、风险评价、风险应对、风险监控6个阶段,如图1所示[2]。
4 信息化装备专项建设风险评估指标体系构建
4.1信息化装备专项建设风险评估指标体系构建原则
评估指标体系直接关系到评估结果的客观、公正、准确、有效,在构建装备建设风险评估指标体系时,一般应遵循以下基本原则:
(1)可测量性。对于定性或定量指标的测量建立详细的评估标准。
(2)可得到性。可以准确获得验证该指标体系所需的数据,对于难获取的数据,采用一些近似方法获得。
(3)可跟踪性。在评估指标构建时,应考虑提出的指标是否便于跟踪监测和控制。
4.2信息化装备专项建设风险评估指标体系构建
评估指标体系的构建是一个反复迭代的过程,它包括资料信息的收集、目标分析、指标体系结构的确定、指标的收集与筛选、指标内涵与标度设计、指标体系的筛选与简化和指标的有效性分析等步骤。
根据以上步骤以及装备型号研制项目风险评估的需要,在对评估目标进行分析和综合后,抽取某些共性的风险内容构成识别体系,依据指标体系设计原则建立层次型结构指标体系框架,如图2所示。该指标体系可用于对信息化装备研制风险进行整体的评价,为制定出合理的风险控制策略提供理论依据。
5信息化装备专项建设风险控制策略研究
风险控制是对试验过程进行连续监控和纠正的过程,是为了最大限度地降低风险事故发生的概率和减小损失幅度而采取的风险处理技术。风险控制有反馈控制和前馈控制两类:
反馈控制是通过对装备研制风险发生的连续观察和实时监督,发现风险并及时采取措施进行处理和补救。如各种形式的审查、汇报、工作检查、阶段性工作总结等,都是反馈控制的具体形式。
前馈控制是一种主动的风险控制方法,通过装备研制项目管理人员的主动性预测,发现并降低装备研制风险。做法是根据对风险的预先分析,制订风险降低计划,并跟踪其执行情况,对易出问题的地方提前制定对策(预防措施),尤其对项目关键技术要实施重点管理。
6 结语
装备研制项目风险评价和管理研究是一个多学科、多目标的系统工程。装备研制项目风险管理对装备研制项目具有重要的指导作用。本文对信息化装备研制项目风险评价和管理问题做了探讨性的研究,从装备研制项目风险管理理论入手,结合装备研制项目的特点,建立了装备研制风险评估指标体系。
参考文献:
[1]林义.风险管理[M].成都:西南财经大学出版社,2003.
[2]陈仕亮 主编.风险管理[M].成都:西南财经大学出版社,1999.
[3]王德军.我军装甲装备采办风险管理研究[D].2002.
关键词:信息安全;风险评估;模型;层次结构;ERM框架模型
1基于层次结构的风险评估模型
1.1 基于层次结构的风险评估基本概念
基于层次结构的风险评估模型,评估方法为层次分析法。层次分析方法是一种定性和定量分析相结合的评估方法。层次分析法的关键是:将一些定性但不易量化的因素进行量化,从在评判与决策过程中有量化的参考依据。层次分析法对信息系统进行分层次、拟定量、规范化处理。主要步骤如下:
①建立层次结构模型。
②构造判断矩阵。
③数学计算。
④层次总排序。
1.2建立层次结构风险评估模型
本文采用ISO17799国际标准作为风险的分类标准。ISO17799规定了用于组织实施信息安全的管理体制,以信息管理体制为指导依据对信息系统对象进行分解,找出主要因素。ISO17799由10个控制主题组成,每个主题又由几个子类组成,子类中又规定了安全要素,以下给出了10个控制主题[4]。
①信息安全方针。
②企业组织安全。
③资产的分类和控制。
④人为因素的安全防范。
⑤实体和环境安全。
⑥通讯和操作管理。
⑦访问控制。
⑧系统开发和维护。
⑨商业连续性管理。
⑩符合性。
1.3基于层次结构的风险评估模型在制造业企业中的基本运用
制造业企业通常组织机构庞大,流程较为复杂。并且所涉及的风险的种类较也为复杂。有效的识别风险,归类风险,评估风险对于制造业企业的风险管理有着至关重要的作用。而层次结构的风险评估模型由于采用层次结构设计,并非简单地将信息系统分解成各个层次,层次间存在着紧密的联系,且每个层次的评估结果也直接影响到上下层次的评估。同时在风险评估的过程中考虑了人为因素在内的安全评估综合方法,采用了ISO17799国际标准作为风险的分类标准,并充分考虑各个安全因素之间的相互影响,引入关系矩阵,以多层分析的模糊逻辑为模型,实现了风险评估综合决策。采用三层结构将复杂的关系分解为由局部简单关系构成的递增层次结构关系。
基于层次结构的风险评估的一般步骤:
①确定评估因素集。
根据ISO17799的规定,将因素集U分为子集,再将每个子集Ui 根据安全风险评估的要求分成若干子集Ui.j即{Ui.0,Ui.1,…Ui..m},再将每个子集Ui.j,分成若干因素,Ui.j.k,。
②判断矩阵及权重。
采用了3级层次评估的方式,并将前一级的评估结果作为下一级的评估输入。
③评价集。
设V(v0,v1,v2,v3,v4)为评价集,它们分别代表“很低”、“较低”、“中等”、“较高”、“很高”,它们由低到高表示了要素5系统的安全程度。 并对这7种准则按取0或1分别打分再求和得到评价分值。
④模糊判断。
采用3级模糊评估方式,运用关系矩阵,确定隶属度,最后选取隶属度最大者所对应得评价集元素作为对系统得综合评估结果,其结果是“很低”、“较低”、“中等”、“较高”、“很高”中的任何一个。
2COSO的ERM框架模型
2.1COSO的ERM概况介绍
COSO(Committee of Sponsoring Organization)的ERM(Enterprise Risk management)框架模式越来越广泛应用于美国及加拿大企业,但是该框架不具有实践性,没有基于企业流程,并且在执行中富有挑战性。许多公司基于现有的COSO以及一个被称为澳大利亚/新西兰的标准来建立自己的ERM构架。澳大利亚/新西兰标准为建立和执行风险管理程序提供了一般指引.模型代表一种逻辑和系统方法论,应用于建立风险定义、分析、评估、应对、沟通和实时监控环节.该模型是可重复进行的,能应用于公司、业务单元、服务机构及项目层面的风险管理活动。重复管理程序的时间可根据进度表决定 (如每年进行战略风险评估),或者根据事件来决定(如外部事件、标明超过风险门槛水平的报告、或被提议的项目)。
2.2COSO的ERM模型在制造业企业中的运用
2.2.1 ERM模型介绍
①ERM 模型: 建立风险评估基础
②ERM模型:识别风险和风险因素
③ERM模型:分析风险
④ERM模型:整合风险
⑤ERM 模型:评估风险
⑥ERM 模型:应对风险
2.2.2ERM模型在制造业中的运用
中国某钢铁公司是我国勘察计行业的龙头企业,拥有巨额的注册资本,公司经营范围广泛涉及冶金、建筑、房地产、市政、环境等领域的技术咨询、工程设计、工程总承包、工程监理以及相关设备成套。
对于钢铁企业来说,保守商业秘密就是一个必须重视的重要环节。从最基本的层次来说,诸如企业成本核算与控制、核心设计图纸、报价体系、集成商和商的利润激励体制、新的投资和扩张计划等等,都制约和决定着企业的竞争优势。正是高瞻远瞩地意识到了企业关键数据的重要意义,这家钢铁公司开始加强对这些核心数据的管理和科学保护。这家公司选择的是ERM体系。该公司对国内外的多家信息安全产品进行了全方位的严格测试,广泛涉及复杂网络环境应用测试、业务系统的兼容性评估、系统稳定性以及易用性考察,最终选择ERM整体解决方案因为ERM系统的高加密强度、稳定性、易用性以及可靠的系统平台能够降低信息安全管理风险,深化了企业的执行和管理力度。
ERM系统通过精准细致的数据应用权限控制、人员级别管理以及内部信息共享行为的合法性控制,有效防止了机密数据信息被窃取、外泄和破坏,同时,ERM系统的革命性扩展能力也帮助企业极大地降低了安全体系的成本花费。
2.3制造业中ERM安全备份模块
为了帮助企业保护其内部核心数据信息的完整性和安全性,提升企业重要文档的抗破坏能力, ERM安全备份模块显得尤为重要。
2.3.1 ERM安全备份模块主要功能
安全备份模块主要功能
1 任意格式电子文档(CAD、Office、PDF、JPG等)在编辑保存后均自动备份到备份服务器中;
2 所有备份文档在传输、存储和恢复过程中均以加密形式存在,有效杜绝了泄密和窃密的发生;
3 管理员通过策略可以任意指定所有机密文档的备份路径和备份模式(按版本备份、备份最后的版本),方便企业文档管理;
4 用户在离线工作模式下生成的文档,将首先自动备份在本地硬盘中,有效避免了由于各种原因造成的企业机密数据信息的破坏;
5 数据恢复过程简单、快捷。
2.3.2 ERM安全备份模块主要优势
①安全性。ERM安全备份模块以高强度的数据加密技术为依托,对企业的核心数据信息进行实时备份。任意格式电子文档(CAD、Office、PDF、JPG等)在新建后均自动备份到备份服务器中。并且所有备份文档在传输、存储和恢复过程中均以加密形式存在,有效杜绝了窃密、泄密和破坏事件的发生,充分确保了企业核心数据信息的完整性和安全性。
②稳定性。机密文件安全备份是整个信息安全管理过程中的重要一环,也是企业在面临数据毁坏这种致命安全风险时的有力保护手段。为了帮助企业保证业务流程的连续性。
③灵活性。ERM安全备份模块充分利用企业现有网络和设备,为用户定制了能够全面满足各种企业安全管理需求的备份模块。对于需要实施文件备份的企业用户,管理员可以通过策略灵活指定需要备份的文件源和文件类型。
3结语
文章提出了信息安全风险评估的两种模型,基于层次结构的风险评估模型是建立在一种定量与定性结合的风险评估方法上,通过层次的模糊综合评估来计算一个值,定义了值得范围对应的"很低"、"较低"、"中等"、"较高"、"很高"来进行风险评估。针对相应的风险程度,写改进的意见、如何改善完成整个风险评估的流程,制定风险防范措施,加强内部控制,提供解除风险的方法,减少因为相关的风险而面临的问题。ERM法是针对企业的具体情况,设定单体风险档案,通过对减值点相对应的相关风险进行描述,以问卷的形式请相关负责人员对其评分,来确定是"很高""高""中""低""很低",来确定风险。填写一些缓解措施,来相应地采取措施,应对风险、解除风险。两种模型都在制造业企业信息资产的风险评估中得到广泛运用。
参考文献:
[1]中国信息安全组织论坛[DB/OL].infosecurity.org.cn/forum/,2009-07-20.
[2]孙强,陈伟,王东红.信息安全管理——全球最佳实务与实施指南[M].北京:清华大学出版社,2004.
[3]潘宏伟.基于模糊层次分析法的信息安全风险评估研究[D].南京:南京师范大学,2007.
[4] 朱岩,杨永田,张玉清,等.基于层次结构的信息安全评估模型研究[J].计算机工程与应用,2006,(6):40-43.
[5] 黄勤,张月琴,刘益良.信息安全风险模块化层次评估方法研究[J].计算机科学,2007,(10):309-311.
[6] 杨继华,许春香.信息安全多层次综合量化评价模型研究[J].情报,2006,(9):64-66.
[7] 刘楠.信息系统规划阶段风险评估模型[D].哈尔滨:哈尔滨工业大学,2006.
[8] 赵冬梅,马建峰,王跃生.信息系统的模糊风险评估模型[J].通信学报,200,(7).
一、风险评估的主要内容
1 合法性评估
住房保障政策的合法性评估是住房保障政策制定过程中的一个重要阶段,也是住房保障政策得以顺利实施的前提。合法性评估是整个风险评估体系中最核心的内容,主要体现住房保障政策的合法化程度。不合法的决策,在实施过程中会面临很大的风险。在合法性评估时,主要通过决策主体合法性、决策程序合法性、决策内容合法性三项指标来确定。
――决策主体合法。主要评估决策者对于决策事项是否拥有法律或行政赋予的权限;是否严格在职权范围内进行决策。决策主体的合法性直接影响到政策的合法性,因此,在法定权限内制订住房保障政策是决策者的最基本要求。
――决策程序合法。制定住房保障政策过程符合法定程序既是依法行政的制度性要求,也是决策民主化、科学化的必备要件。住房保障政策风险评估时要评估政策制定的立项与起草、审查、决定是否符合法律规定的程序。
――决策内容合法。政策的制定主要是为了满足实施的需要,必须有法律、法规或规章的依据。评估中要分析主要条款有无上位法依据,分析具体内容是否与法律已有之规定相悖,以避免政策与政策之间、政策与法律之间相冲突的局面出现。
2 合理性评估
住房保障政策的合理性评估就是要评估政策内容的设定是否符合本地区近期和长远发展规划,是否兼顾了各方利益群体的不同需求,是否超越了大多数群众的承受能力,是否考虑了地区的平衡性、社会的稳定性、发展的持续性。
住房保障政策制定是一项系统性的工作,涉及到政府财政承受能力、居民收入水平和住房状况、群众保障方式意愿等多方面,必须在综合考虑各方面因素的情况下,根据当地的实际情况,选取最为合理的政策,在确保财政支付能力的前提下,满足最多数群众的住房保障需求。
具体操作上,可以将每种住房保障政策实施可能带来的社会效益、经济效益,是否符合群众的当前利益、长远利益,是否符合政府的近期规划、长远规划等细化为各项指标,对每个指标逐一评分。通过科学、系统地分析利弊,每项指标中利大于弊的计正分,弊大于利的计负分,最后按加权平均的方式计算总分,参照分值对照表进行评估,得出拟决策事项是否具有合理性及合理性程度的结论。
3 可行性评估
住房保障政策的可行性评估是指要评估政策内容是否经过充分研究论证,是否具有可操作性,是否符合大多数群众的意愿,所需的人力、财力、物力是否在可承受的范围内并具有保障,是否能确保连续性和稳定性,时机是否成熟。
住房保障工作是一项政府重大公共事务,涉及大规模的财政资金使用,进行可行性评估,可以确保财政资金使用的有效性、安全性,防止出现政策“叫好不叫座”的现象。
评估中要多途径、多渠道充分听取住房困难群众和社会各界的意见,特别是征求直接利益群体的意见和建议。对群众提出的意见、建议及时收集、归纳和整理,依据实际的数据回馈情况,进行数据的分析和各项指标分值的计算、汇总,得出是否可行的结论。
4 安全性评估
住房保障政策的安全性评估是指要评估政策内容对所涉区域、群众利益和生产生活的影响,群众对该影响的承受能力,引发矛盾纠纷、的可能性,是否有相应的风险规避、防范、处置措施和应急预案。
涉及群众利益的重大决策事项,是最有可能影响社会稳定的风险源,对这些决策事项必须进行社会稳定风险评估。特别是住房保障政策的制定中,由于政策的新老衔接过程中存在保障方式和保障标准不一致,可能会引起已经保障群体的不满,引发。
在评估过程中,一方面要对某项决策拟实施地区承受风险的最大能力进行评估。通过分析决策事项将要实施的地区、范围内的政治、经济、社会形势,与特定的标准或最佳惯例进行对照,得出该地区最高能承受哪个等级风险的结论。另一方面要分析政策制定后的社会稳定风险概率及可能带来的负面影响,据此评定安全性等级。评定的安全性等级在当地风险承受能力范围之内的,对决策事项先试行,在试行期间运用风险消减对策做好稳定工作,经试行决策运行良好、未出现安全性风险的,可以正式施行;评定的安全性风险等级超出当地风险承受能力的,决策暂缓出台,按风险消减对策改进决策内容,消减安全性风险,取得群众支持后,重新进行评估。
在进行安全性评估的同时,要按照风险消减对策做好预防和消减措施,加强社会稳定风险的防范。风险消减对策就是将风险降到最低程度的措施。通过安全性评估的实施,对影响稳定的问题的风险源加以客观分析,对症下药提出控制风险和消减风险的对策。
二、风险评估的基本方法
在进行住房保障政策制定前,南通市坚持按照“五步工作法”开展风险评估,取得了较好的成效。
第一步,全面掌握情况,制定评估方案。
对于确定开展风险评估的项目,要充分了解掌握评估对象的基本情况,为预测评估提供准确可靠的第一手资料。同时要逐一制定评估方案。评估方案的主要内容包括评估事项、评估重点内容、评估牵头部门和协助部门、评估小组成员、评估实施方法和步骤等。评估重点内容包括:政策的出台是否合法,是否符合相关法律、政策、规定;政策是否符合地方经济社会发展水平;政策是否为绝大多数群众接受和支持,是否兼顾了群众的现实利益和长远利益;项目实施后可能会带来哪些影响社会稳定的问题。
第二步,收集社情民意,实施重点论证。
政策制定过程中,可以采取召开座谈会、听证会、问卷调查、重点走访等多种形式,广泛征求社会各界特别是利益群体的意见和建议,准确把握群众对政策的反应和心理动态。对争议较大、专业性强的评估事项,还应按照有关法律法规和有关规定要求,组织相关代表和群众进行听证和论证,提高评估工作的科学性、合理性和民意性。
第三步,汇总分析论证,形成评估报告。
结合各方面掌握情况,对政策实施的前提、实际及后续社会影响、配套措施等进行科学预测和论证分析,特别要对实施政策可能引发的矛盾冲突及所涉及的人员数量、范围和激烈程度作出评估预测,并制定相应的防范、应急预案,形成评估报告,得出评估结论。
第四步,运用评估结论,落实维稳措施。
在充分调研、科学预测的基础上,按照民主
集中制的原则,对制定的政策作出实施、暂缓实施或暂不实施的决定。对虽存在一些矛盾和问题,经评估认定可以实施的事项,要落实解决矛盾、维护稳定的具体措施;对存在较大矛盾和稳定隐患,经评估认定暂缓实施、暂不实施的事项,及时研究对策,化解矛盾,等待时机成熟后再行实施;对容易引发重大矛盾冲突的,经评估认定符合有关法律法规规定、亟需实施的事项,要提前制定防范处置工作预案,有针对性地做好群众工作,严防涉稳重大事件的发生。防范处置工作预案的主要内容包括:组织领导、职责分工及其联络方式;预防和处置工作的具体措施;维稳工作考评细则和对重视不够、工作不力而发生影响稳定重大问题的责任查究办法。
第五步,实时关注过程,做好全程监督。
对经过评估已经付诸实施的政策,评估工作班子要坚持全程跟踪并做好后续评估,建立评估档案,及时发现和化解实施过程中的各类矛盾和问题,完善相应措施,确保政策的正确贯彻执行。
三、风险评估的保证措施
为确保风险评估进行的科学性、公正性,防止风险评估流于形式,必须采取一些措施来予以保证。
1 用评估者与决策者分离来保证风险评估的独立性
为避免风险评估流于形式,确保风险评估机制落到实处,评估的实施者与决策的制定者不能合二为一,应成立专门的风险评估机构,负责对一定区域和范围内的住房保障决策事项进行事前的风险评估。这个专门的评估机构既可以是不承担行政职能的社会中介组织,也可以由政府从监察、、法制等部门抽调人员组成。评估者与决策者分离的最大好处就是以评估的系统化、专业化水平来保证决策的科学性,防止公共权力通过决策环节侵蚀公共利益进而影响改革发展稳定的大局。
2 用考核监督和责任追究来保证评估人员的责任心
关键词:网络安全 风险评估 方法
中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2016)11-0210-01
1 网络安全风险概述
1.1 网络安全风险
网络最大的特点便是自身的灵活性高、便利性强,其能够为广大网络用户提供传输以及网络服务等功能,网络安全主要包括无线网络安全和有线网络安全。从无线网络安全方面来看,无线网络安全主要是保证使用者进行网络通话以及信息传递的安全性和保密性,其能否保证使用者的通话不被窃听以及文件传输的安全问题都是当前研究的重要课题,由于无线网络在数据存储和传输的过程之中有着相当严重的局限性,其在安全方面面临着较大的风险,如何对这些风险进行预防直接关乎着使用者的切身利益。想要对无线网络安全进行全面正确的评估,单纯的定量分析法已经不能够满足当前的需求,因此,本文更推荐将层次分析法和逼近思想法进行双重结合,进一步对一些不确定因素进行全面的评估,确保分析到每一个定量和变量,进一步计算出当前无线网络的安全风险值。而对于有线网络,影响其安全风险的因素相对较少,但是依然要对其进行全面分析,尽最大可能得到最准确的数值。
1.2 网络安全的目标
网络安全系统最重要的核心目标便是安全。在网络漏洞日益增多的今天,如何对网络进行全方位无死角的漏洞安全排查便显得尤为重要。在网络安全检测的各个方面均有着不同的要求,而借助这些各方面各个层次的安全目标最终汇集成为一个总的目标方案,而采取这种大目标和小目标的分层形式主要是为了确保网络安全评估的工作效率,尽最大可能减少每个环节所带来的网络安全风险,从而保证网络的合理安全运行。
1.3 风险评估指标
在本论文的分析过程之中,主要对风险评估划分了三个系统化的指标,即网络层指标体系、网络传输风险指标体系以及物理安全风险指标体系,在各个指标体系之中,又分别包含了若干个指标要素,最终形成了一个完整的风险评估指标体系,进而避免了资源的不必要浪费,最终达到网络安全的评估标准。
2 网络安全风险评估的方法
如何对网络风险进行评估是当前备受关注的研究课题之一。笔者结合了近几年一些学者在学术期刊和论文上的意见进行了全面的分析,结合网络动态风险的特点以及难点问题,最终在确定风险指标系统的基础上总结出了以下几种方法,最终能够保证网络信息安全。
2.1 网络风险分析
作为网络安全第一个环节也是最为重要的一个环节,网络风险分析的成败直接决定了网络安全风险评估的成败。对于网络风险进行分析,不单单要涉及指标性因素,还有将许多不稳定的因素考虑在内,全面的彻底的分析网络安全问题发生的可能性。在进行分析的过程之中,要从宏观和微观两个方面进行入手分手,最大程度的保证将内外部因素全部考虑在内,对网络资产有一个大致的判断,并借此展开深层次的分析和研究。
2.2 风险评估
在网络安全风险评估之中,可以说整个活动的核心便是风险评估了。网络风险的突发性以及并发性相对其他风险较高,这便进一步的体现了风险评估工作的重要性。在进行风险评估的过程之中,我们主要通过对风险诱导因素进行定量和定性分析,在此分析的基础上再加以运用逼近思想法进行全面的验证,从而不断的促进风险评估工作的效率以及安全性。在进行风险评估的过程之中,要充分结合当前网络所处的环境进行分析,将工作思想放开,不能拘泥于理论知识,将实践和理论相结合,最终完成整个风险评估工作。
2.3 安全风险决策与监测
在进行安全风险决策的过程之中,对信息安全依法进行管理和监测是保证网络风险安全的前提。安全决策主要是根据系统实时所面对的具体状况所进行的风险方案决策,其具有临时性和灵活性的特点。借助安全决策可以在一定程度上确保当前的网络安全系统的稳定,从而最终保证风险评估得以平稳进行。而对于安全监测,网络风险评估的任何一个过程都离不开安全检测的运行。网络的不确定性直接决定了网络安全监测的必要性,在系统更新换代中,倘若由于一些新的风险要素导致整个网络的安全评估出现问题,那么之前的风险分析和决策对于后面的管理便已经毫无作用,这时候网络监测所起到的一个作用就是实时判断网络安全是否产生突发状况,倘若产生了突发状况,相关决策部门能够第一时间的进行策略调整。因此,网络监测在整个工作之中起到一个至关重要的作用。
3 结语
网络安全风险评估是一个复杂且完整的系统工程,其本质性质决定了风险评估的难度。在进行网络安全风险评估的过程之中,要有层次的选择合适的评估方法进行评估,确保风险分析和评估工作的有序进行,同时又要保证安全决策和安全检测的完整运行,与此同时,要保证所有的突发状况都能够及时的反映和对付,最终确保整个网络安全的平稳运行。
参考文献
[1]程建华.信息安全风险管理、评估与控制研究[D].吉林大学,2008.
[2]李志伟.信息系统风险评估及风险管理对策研究[D].北京交通大学,2010.
[3]孙文磊.信息安全风险评估辅助管理软件开发研究[D].天津大学,2012.
【关键词】网络 安全风险 评估 关键技术
结合我国近年来的互联网应用经验可知,用户的互联网使用过程很容易受到恶意软件、病毒及黑客的干扰。这种干扰作用可能引发用户重要数据信息的丢失,为用户带来一定的经济损失。因此,利用综合评估技术、定性评估技术等开展网络安全风险评估具有一定的现实意义。
1 常见的网络攻击手段
目前较为常见的网络攻击手段主要包含以下几种:
1.1 IP欺骗攻击手段
这种攻击手段是指,不法分子利用伪装网络主机的方式,将主机的IP地址信息复制并记录下来,然后为用户提供虚假的网络认证,以获得返回报文,干扰用户使用计算机网络。这种攻击手段的危害性主要体现在:在不法分子获得返回报文之前,用户可能无法感知网络环境存在的危险性。
1.2 口令攻击手段
口令攻击手段是指,黑客实现选定攻击主机目标之后,通过字典开展测试,将攻击对象的网络口令破解出来。口令攻击手段能够成功应用的原因在于:黑客在利用错误口令测试用户UNIX系统网络的过程中,该系统网络不会对向用户发出提示信息。这种特点为黑客破解网络口令的过程提供了充裕的时间。当黑客成功破解出网络口令之后,可以利用Telnet等工具,将用户主机中处于加密状态的数据信息破解出来,进而实现自身的盗取或损坏数据信息目的。
1.3 数据劫持攻击手段
在网络运行过程中,不法分子会将数据劫持攻击方式应用在用户传输信息的过程中,获得用户密码信息,进而引发网络陷入瘫痪故障。与其他攻击手段相比,数据劫持攻击手段产生的危害相对较大。当出现这种问题之后,用户需要花费较长的时间才能恢复到正常的网络状态。
2 网络安全风险评估关键技术类型
网络安全风险评估关键技术主要包含以下几种:
2.1 综合评估技术
综合评估技术是指,在对网络安全风险进行定性评估的同时,结合定量评估的方式提升网络安全风险评估的准确性。
2.2 定性评估技术
定性评估技术向网络安全风险评估中渗透的原理为:通过推导演绎理论分析网络安全状态,借助德尔菲法判断网络中是否存在风险以及风险的类型。这种评估技术是我国当前网络安全评估中的常用技术之一。
2.3 定量评估技术
这种评估方式的评估作用是通过嫡权系数法产生的。定量评估技术的评估流程较为简单,但在实际的网络安全风险评估过程中,某些安全风险无法通过相关方式进行量化处理。
3 网络安全风险评估关键技术的渗透
这里分别从以下几方面入手,对网络安全风险评估关键技术的渗透进行分析和研究:
3.1 综合评估技术方面
结合我国目前的网络使用现状可知,多种因素都有可能引发网络出现安全风险。在这种情况下,网络使用过程中可能同时存在多种不同的风险。为了保证网络中存在的安全风险能够被全部识别出来,应该将综合评估技术应用在网络安全风险的评估过程中。在众多综合评估技术中,层次分析法的应用效果相对较好。评估人员可以将引发风险的因素及功能作为参照依据,将既有网络风险安全隐患分成不同的层次。当上述工作完成之后,需要在各个层次的网络安全风险之间建立出一个完善的多层次递接结构。以该结构为依据,对同一层次中处于相邻关系的风险因素全部进行排序。根据每个层次风险因素的顺序关系,依次计算网络安全风险的权值。同时,结合预设的网络安全风险评估目标合成权重参数,进而完成对网络安全风险评估的正确判断。
3.2 定性评估技术方面
定性评估技术的具体评估分析流程主要包含以下几个步骤:
3.2.1 数据查询步骤
该步骤是通过匿名方式完成的。
3.2.2 数据分析步骤
为了保证网络安全风险评估结果的准确性,定性评估技术在数据分析环节通过多次征询操作及反馈操作,分析并验证网络安全风险的相关数据。
3.2.3 可疑数据剔除步骤
网络安全风险具有不可预测性特点。在多种因素的影响下,通过背对背通信方式获得的网络安全风险数据中可能存在一些可疑数据。为了避免这类数据对最终的网络安全风险评估结果产生干扰作用,需要在合理分析网络安全现状的情况下,将可疑数据从待分析数据中剔除。
3.2.4 数据处理及取样步骤
通过背对背通信法获得的数据数量相对较多,当数据处理工作完成之后,可以通过随机取样等方法,从大量网络安全风险数据中选出一部分数据,供给后续评估分析环节应用。
3.2.5 累计比例计算及风险因素判断步骤
累计比例是风险因素判断的重要参考依据。因此,评估人员应该保证所计算累计比例的准确性。
3.2.6 安全系数评估步骤
在这个步骤中,评估人员需要根据前些步骤中的具体情况,将评估对象网络的安全风险系数确定出来。
与其他评估技术相比,定性评估技术的评估流程较为复杂。但所得评估结果相对较为准确。
3.3 定量评估技术方面
这种评估技术的评估原理为:通过嫡权系数法将评估对象网络的安全数据参数权重计算出来。这种评估方法的应用优势在于:能够度量网络系统中的不确定因素,将网络安全风险量化成具体数值的形式,为用户提供网络安全状态的判断。
4 结论
目前用户运用互联网的过程主要受到数据劫持攻击、口令攻击、IP欺骗攻击等手段的干扰。对于用户而言,网络安全风险的存在为其正常使用带来了一定的安全隐患。当隐患爆发时,用户可能会面临极大的经济损失。这种现象在企业用户中有着更为明显的体现。为了改善这种现象,促进互联网应用的正常发展,应该将定量评估技术、定性评估技术以及综合评估技术等,逐渐渗透在网络安全风险评估工作中。用户除了需要通过防火墙、病毒r截软件等工具改善网络环境之外,还应该加强对网络安全风险评估的重视。当获得网络安全风险评估结束之后,应该需要通过对评估资料的分析,有针对性地优化自身的网络系统,降低数据丢失或损坏等恶性事件的发生概率。
参考文献
[1]陈雷.网络安全态势评估与预测关键技术研究[D].郑州:信息工程大学,2015.
[2]李靖.网络安全风险评估关键技术研究[J].网络安全技术与应用,2014(05):82-84.
[3]覃宗炎.网络安全风险评估关键技术研究[J].网络安全技术与应用,2014(04):168-170.
[4]毛捍东.基于逻辑渗透图模型的网络安全风险评估方法研究[D].北京:国防科学技术大学,2008.
[5]宣蕾.网络安全定量风险评估及预测技术研究[D].北京:国防科学技术大学,2007.
一、组织领导
成立局社会稳定风险评估工作领导小组
二、风险评估的范围
国有土地上涉及房屋征收与补偿项目的房屋登记中涉及大额抵押。在建工程抵押与预抵押。土地与房屋分押登记和撤销登记等类型的,行政处罚涉及停产停业、没收非法所得以及罚款等适于一般程序的均应实行社会稳定风险评估。
三、风险评估的内容
1、国有土地上涉及房屋征收与补偿项目。实施是否符合法律、法规、政策的要求;是否按照法定程序逐一逐次落实;征收补偿标准是否符合房地产市场行情;征收资金、补偿方案是否落实和通过;征收区域内民情民意满意度;征收过程中可能引发的其他不稳定因素分析;防范对策和处置预案。
2、房屋登记项目。房屋抵押中的大额抵押、土地与房屋分押、在建工程抵押与预抵押是否严格按照相关法律、规章办理;受理要件是否齐备;适用法律是否得当;是否会带来较大风险和社会风险。撤销登记中是否调查取证达到证据充分;程序合法;适用法律得当;是否告知当事人或与当事人进行事前沟通;可能带来的行政风险、经济风险和司法风险预测。
3、行政处罚案件。行政处罚是否严格依法定程序实施;相对人对处罚事先告知的反映;可能带来的司法风险预判。
四、工作制度
1、明确责任主体。按照“谁管理、谁负责”和分级负责原则,对属于风险评估范围内的项目由具办部门的负责人或分管局长提出评估申请和初步意见,局社会稳定风险评估工作领导小组负责审定。
关键词:风险评估;报告;内控体系
中图分类号:F272 文献标识码:A 文章编号:1001-828X(2014)010-00-01
风险评估工作与内部控制体系的建设相互促进、有机结合,是企业围绕总体经营目标,识别企业各业务单元、各项重要经营活动及其重要业务流程中的风险,并对风险发生的可能性和影响程度进行分析、评价和应对的过程。
总体而言,风险评估报告的结构至少应包括四部分内容:其一,企业情况概述,本部分就企业风险评估项目背景、定位与目标、理念与方案三大内容进行概括与总结,便于报告使用者理解本次风险评估工作的基本目标与方法;其二,风险评估实施过程,本部分是整个风险与内控体系建设工作的起点,旨在构建一个具有代表性又有扩展性的通用风险管理标准,从风险管理知识宣传、风险分类与定义、风险评估标准三大方面初步构建企业风险管理基础平台;其三,识别企业面临的重大风险,根据风险调查问卷和风险调研访谈,识别出企业面临的重大风险,以供企业管理层参考;其四,风险管理体系的建设,结合企业风险管理的现状,提出相应的改进措施,包括风险管理组织结构设置、职能设置、工作流程及工作防范建议。
以上四部分在风险评估报告中层层推进,构成完整的风险评估过程,以下作详细说明。
一、风险评估项目概述
(一)风险评估项目背景
本部分重点介绍企业的成立、发展沿革,行业背景,分子公司情况以及业务架构、组织结构等。编制企业风险评估报告的重要意义在于企业管理层希望借助风险评估项目,有效识别和评估影响本企业战略和经营目标的内外部风险源,并通过健全重大风险的应对与管控机制,有效地平衡好风险与收益,提高企业风险防范能力,从而防范和降低各类风险对企业经营的冲击,为企业实现战略和经营目标保驾护航。
(二)关于风险评估项目定位与目标
风险评估项目旨在达成三大目标:其一,建立风险管理基础,构建一个具有代表性又有扩展性的通用风险管理标准,统一企业的风险管理语言和标准;其二,明确重大风险领域,采用全面梳理与重点分析相结合的方式,识别和分析企业战略、经营、财务与合规领域中的重大风险,协助管理层统一对风险的认识;其三,团队能力建设与知识培养,加强和提高企业总部和各业务群管理团队对风险管理工作的参与度和认知,最大程度实现知识转移。
二、风险评估项目实施过程
(一)关于判断风险分类与定义
应从企业战略出发,参考COSO内部控制整合框架、行业风险数据库以及企业的风险管理实务,并结合企业的战略目标、实际情况等因素,建立适用于本企业的风险数据模型(即风险地图),从战略风险、运营风险、合规风险及财务风险四大方面对企业所面临的风险进行分类和定义,从而为统一公司的风险管理语言奠定基础。
(二)关于设立风险评估标准
为了对上述四大类风险的重要性进行评定并据此明确风险管理的优先次序和资源配置方向,应从风险发生可能性和风险影响程度两个维度建立符合企业实际情况的风险评估标准,以反映风险发生可能性由极低至极高,和风险影响程度由极轻微至灾难性的不同等级。
(三)关于实施风险评估过程
为了协助管理层更好地理解和评估风险,应以风险数据库和评估标准为基础,通过风险调查问卷的发放、收集与统计,风险调研与风险访谈等多种形式,在企业总部和业务群开展多层次、全方位的风险识别与评估工作。通过上述工作,不仅协助企业管理层评估重大风险领域所在,而且还能分析其可能影响的战略及经营目标,从而为企业明确风险责任,改进相关重点业务领域中的风险管控措施明确方向。
三、针对企业风险评估的调研结果
结合风险调查问卷与风险调研访谈的结果,企业管理层对影响本企业战略和经营目标实现的众多风险进行客观评估,并由此明确前几大风险的优先次序。这些风险可能是:产业(产品)战略和多元化、战略规划、市场营销、风险管理体系建设、公司高层的基调、品牌及声誉管理、销售模式、客户结构风险、人力资源规划及政策、组织结构等等。这些风险并不是独立存在,在实际经营环境中,各类风险往往互相影响、互相牵制,共同对企业实现经营目标产生影响。为此,还应对上述重大风险及其内在关系进行相应的逻辑分析,以协助管理层梳理各项重大风险之间的关系。
四、企业风险管理体系搭建
一套成熟完善的风险管理框架包括战略(目标)、风险以及流程与控制。企业战略处于企业管理及风险管理体系的最高层,是企业风险管理以及流程内控建设的出发点,风险管理体系必须紧紧围绕企业战略。风险则是影响企业战略管理体系的实施与战略目标达成的不确定因素,企业需要将外部环境、内部经营与战略目标进行对比,以识别出影响企业战略的重要风险。企业流程与管控体系则是风险管理体系的重要落脚点,完善的风险管理体系可以从企业的流程、制度等管控体系中识别出影响,并从风险管理体系的制度及流程建立风险应对措施。
(一)风险管理体系现状分析
一套完善的风险管理体系通常由业务部门、风险管理部门和内部审计部门组成的“三道防线”共同构成。通常,企业均能初步搭建起风险管控体系的三道防线,如:1.各业务部门负责关注各业务领域内的风险并采取相应的控制措施降低风险;2.企业管理部负责公司运营风险管理,对运营风险进行预警和控制,为公司的经营、管理决策提供可行性、合法性分析和法律风险分析;3.审计监察部主要负责集团的财务审计、经营活动审计及其他专项审计。
(二)风险管理工作规划
风险管理与内部控制体系的建设密切相关,相辅相成,没有完善配套的内控体系,风险管理就如同纸上谈兵、空中楼阁;而缺少风险管理的内控体系建设,会由于缺乏足够的针对性而效率低下、浪费资源。
无论是《企业内部控制基本规范》或是COSO ERM模型,都将企业的目标分为四大类别,包括:战略目标、经营目标、财务目标和合规目标。风险是影响企业目标实现的不确定性,而内部控制则是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。因此,企业有目标就会有风险,而针对每个风险就会有相应的内部控制,以管理风险,从而合理保证目标的实现。
风险评估项目实施过程中,应协助企业初步搭建结合先进理论基础、契合企业实际情况、符合国家监管要求的内部控制体系框架,将风险匹配到内控体系框架,并完成对该体系框架的评估、梳理和建设工作。
在此基础上,需要进一步开展风险管理工作,逐步完善风险管理和内部控制体系,依据风险分层管理、分类管理和集中管理的要求,建立符合企业自身特点的全面风险管理组织体系。另外,在充分考虑企业规模以及业务发展需要的基础上,针对近期及未来风险管理工作的重点,提出相应的参考及建议。如:完善企业风险管理组织架构中各管理层级的岗位职责。完善三道防线,其一,各风险责任部门的日常管理工作,包括,风险责任人、风险联络员等;其二,风险管理部门的管理工作,风险管理涉及公司的方方面面,建议由总裁、执行总裁等高级管理人员组成的风险管理委员会,负责公司整体风险管理工作,风险管理委员会下设风险管理部门,负责各业务部门风险管理工作的协调;其三,审计监督工作,审计监察部应对风险管理进行审查和评价,对风险管理工作进行监督,即对风险管理过程的设计和执行的有效性进行评价,并给出评价意见;审查和评价重大风险的评估和管理是否适当,将评价结果向审计委员会汇报。
风险评估工作结束后,形成风险评估报告,反映企业的风险及其分布状况,为领导决策提供支持。通过风险辨识、风险分析及风险评价,形成风险评估初步结果后,就风险评估结果的真实性、准确性向企业风险管理委员会征求意见,并根据反馈的意见,调整、修正企业的风险评估结果,编写出企业的风险评估报告,上报风险管理委员会或董事会进行审议。
参考文献:
[1]企业内部控制基本规范.财政部,证监会,审计署,银监会和保监会联合.
