时间:2023-09-07 17:41:22
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇风险管理和安全管理,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
摘要作为部队建设的基础工程,部队安全管理与企业风险管理有着很大程度的类似性。企业风险管理作为一门科学,在几十年的发展过程中,形成了一整套完整的并被实践证明行之有效的理论体系。借鉴企业风险管理的最新成果,对于做好信息化条件下的部队安全工作,提高部队安全管理的科学性和实效性,促进部队战斗力的生成、维持、提升,具有重大意义。
关键词部队建设 基础工程 风险管理
中图分类号:f272.9 文献标识码:a 文章编号:1009-0592(2010)12-257-01
企业风险管理作为一门新兴的科学,兴起于20世纪50年代的美国。它是企业在对其生产中的风险进行识别、估测、评价的基础上,优化组合各种风险管理技术,对风险实施有效的控制,妥善处理风险所致的结果,以期以最小的成本达到最大的安全保障的过程。它强调在损失发生前避免或减少风险事故发生的机会;在损失发生中控制风险事故的扩大和蔓延,尽可能减少损失;而在损失发生后则应该努力使损失的标的恢复到损失前的状态。
2004年,国际权威组织美国发起人委员会(coso)出台了《企业风险管理——整合框架》(erm),标志着企业风险管理发展到全面风险管理阶段。erm框架对企业风险管理的属性进行了明确地界定。它认为,企业风险管理是一个过程,持续流动于企业之内,应用战略制定的过程中,旨在识别那些一旦发生将会影响企业的潜在事项,并把风险控制在风险容量以内。它贯穿企业整体,在各个层级和单元应用,并由组织中各个层级的人员来实施的。
在这一整合框架中,全面风险管理有三个维度:第一是风险管理目标维度。企业风险管理框架提出了四类目标:一是战略目标,即高层次目标,它与使命相关联并支撑使命;二是经营目标,高效率地利用资源;三是报告目标,追求企业各项报告的可靠性;四是合规目标,应该符合适用的法律和法规。第二是风险管理要素维度。企业风险管理包括八个与管理过程整合在一起的构成要素:内部环境、目标设定、风险识别、风险评估、风险应对、控制活动、信息与沟通、监控等等。这八个要素相互独立、相互联系又相互制约,共同构成了全面风险管理这一有机体系。第三是企业组织层级维度。企业的各个层级包括组织的高级管理层、各职能部门、各条业务线及下属各子公司,组织里的每个人对全面风险管理都负有责任。在管理过程中,全面风险管理的八个要素都是为组织的四个目标服务,组织各个层级都要坚持同样的四个目标,每个层级都必须从以上八个方面进行风险管理。
erm框架一经提出,就被国外很多知名的企业如杜邦公司、微软公司、加利福尼亚联合石油公司、曼哈顿银行等采用。管理实践证明,企业风险管理框架在企业的风险管理中发挥了重要作用,有力地促进了企业的健康、良性发展。
部队安全管理和企业风险管理都是基于对不确定性因素的管理和控制,追求包括安全隐患在内的各种不确定性因素所导致的损失最小化。借鉴此理念和方法,加强部队安全管理,就应该树立起全面安全管理的理念,健全各项管理机制,形成完善的部队安全管理体系。
第一,建立部队安全管理目标体系。管理目标对管理实践具有极强的导向和规范作用。部队安全管理是一项涉及部队建设各个方面的活动,必须具有明确的管理目标体系。完善的安全管理目标体系,应该是一个具有纵向梯次性和横向并列性的目标体系。纵向上的梯次性是指管理目标具有层次性,有最高目标和基本目标之分。结合部队安全管理自身的特点,其最高目标应该定位在战斗力的维持和提升上,中间层次的目标则因该定位在保证军事活动能够顺利进行;目标横向上的并列性是指由于军兵种的不同、安全管理的对象指向不同而产生不同的安全管理目标。因此,建立完善的管理目标体系,需要针对管理对象的不同特点制定不同的管理目标,这些管理目标自身应该包含不同层次的子目标,从而形成具有较强操作性的安全管理目标体系,为安全管理的实践提供明确的导向。
第二,健全安全管理工作的各项机制。完善的部队安全管理机制,应该包括隐患识别和评估机制、安全管理实施机制、安全管理应急处置机制和安全检查监督机制。安全隐患识别和评估机制,是准确地确认安全隐患的存在及其性质。建立安全隐患识别和评估机制,首先需要形成科学的调查机制,其次,需要引进和借鉴风险管理常用的技术方法。安全管理实施机制是安全管理中的重要环节,主要包括实施主体和实施方法。在明确的主官责任制下,完善的安全管理机制在实施主体上还应该坚持最广泛的群众性,通过多种途径把安全隐患止于萌芽之中。安全管理应急处置机制,重在形成针对不同类型安全事故的处置预案,明确事故发生时所应采取的各项措施,力求把安全事故造成的损失减到最小。完善的安全管理检查监督机制主要包括检查的内容、时间、方式、实施人员以及对检查结果的处理等诸多方面,通过对这些方面的合理设计,确保安全管理监督检查行之有效,促进安全管理工作的落实。
第三,完善安全管理法规体系。种种实施全面安全管理的机制得以建立和发挥作用,必须有相应的制度保证和支撑,这就需要建立健全适应不同军兵种、不同装备、不同军事活动的安全管理规章制度,形成完善的管理法规体系。我军安全管理的法规体系还不完善,现有的适合不同军兵种、不同领域的安全管理法规过于分散,安全管理的法规体系还处于正在完善阶段。这就需要相关部门进一步加大法规的统筹和建设力度,形成操作性强、覆盖面广、适合全面安全管理要求的法规体系,为部队安全管理工作的实施提供了法规支撑。 编辑
关键词:商业银行;电子商务;风险管理
商业银行从事金融业务面临着市场风险、信用风险、以及操作风险等,而电子商务的出现则加剧了上述各类风险发生的可能性以及风险发生之后的破坏程度。2004年以来,我国面临的网络仿冒威胁正在逐渐加大,仿冒对象主要是金融网站和电子商务网站。2005年上半年共收到网络安全事件报告65679件,超过2004年全年案件数,商业银行电子商务安全风险管理策略已成为理论与实践中必须重视的课题。
一、信息安全管理的策略大体遵循事件驱动(技术和管理脱节)-逐渐标准化(技术和管理逐渐结合)——安全风险管理(引入了风险分析)的发展路径。
(一)以事件驱动的初级阶段时期
19世纪70年代安全主要是指物理设备和环境的安全,人与计算机之间的交互主要局限在大型计算机上的哑终端,安全问题只涉及能访问终端的少数人。安全管理策略处于初级阶段,由事件驱动,没有形成规范的管理流程。在此阶段的前期,只重视技术手段。后期开始重视管理手段,但是技术和管理之间脱节。许多组织对信息安全制定了相应的规章和制度,但组织的信息安全管理基本上还处在一种静态、局部、少数人负责、突击式、事后纠正式的管理方式。
(二)标准化时期
企业开始将安全问题作为整体考虑,形成一套较为完整的安全管理策略,其中包括了安全管理的技术手段和管理制度(或称运作管理)。几乎所有从事电子商务的企业都拥有自己的安全策略,内容也包括了技术手段、安全管理制度、人员安全教育等等,基本上形成体系,技术和管理手段综合统一,但是安全风险分析还存在不足之处。
(三)安全风险管理策略时期
随着电子商务安全管理发展到一个比较高的层次,安全管理策略也演进到安全风险管理阶段。主要特点如下:
1.安全风险管理成为主流趋势;在安全管理策略的演进过程中,技术和管理手段综合统
一、又融入了风险管理的分析、防范策略,从而安全管理进入了安全风险管理时期。西方商业银行已对安全风险管理形成共识。如安氏公司(is—One),认为信息安全问题最终将归结为风险管理问题,风险管理方法是建立良性的安全技术和管理体系的依据和基础。
2.安全风险管理的国际标准和各国的规范逐渐形成并趋于完善。国际上关于安全风险管理的标准有巴塞尔银行监管委员会的《电子银行业务风险管理原则》、英国标准协会制订的BS7799等。各国也日益重视安全风险管理,制定了许多规范。例如美国货币监理署(OCC)的《电子银行最终规则》、香港金融管理局的《电子银行服务的安全风险管理》等。中国银行业监督管理委员也于2006年颁布了《电子银行业务管理办法》,对国内企业的电子商务安全风险管理给出了指导意见。
3.利用外部专业化机构对金融机构的安全性评估已成为大部分国家的选择。电子银行面临的安全和技术风险,在相当程度上取决于采用的信息技术的先进程度,系统的设计开发水平,以及相关设施设备及其供应商的选择等;银行依靠传统的风险管理机制已很难识别、监测、控制和管理相关风险。同样,监管机构也难以完全依靠自身的力量对电子银行的安全性进行准确评价和监控。因此,大部分国家都采用了依靠外部专业化机构定期对电子银行安全性进行评估的办法,加强对电子银行安全性和技术风险的管理和监管。
4.在许多国家信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。业界的IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作,从经济学的角度出发分析风险,充分衡量保持安全的代价和收益之间的关系,寻求用最小的代价实现最大的效用,在风险分析中也形成一套较为成熟的模式。
二、我国商业银行电子商务安全风险管理策略的薄弱点
(一)系统管理思想缺乏
目前的电子商务安全风险管理策略,在全局上缺乏系统论理论的指导,在实际操作中受到多种多样的安全攻击时会不可避免地出现安全漏洞,无法形成一张全面有序的安全网络。
实践中被采用的安全风险管理策略,以及作为指导意见的规则规范,如《信息安全管理实务准则》(IS017799)、《信息技术安全性评估准则》(GB/T18336.1)、巴塞尔银行监管委员会的《电子银行业务风险管理原则》,尽管提出了比较全面的安全风险管理方案,层次上也比较清晰,但是还不足以作为一个风险防范系统。实践中,电子商务组织是一个复杂的系统组织,电子商务的安全风险管理体系和过程也是个复杂的系统。系统论、控制论的思想在电子商务安全风险管理中是不可或缺的。
(二)风险分析的模型与方法不成熟,定量分析不足
电子商务模式自身的发展历史也不过20几年,在风险分析的定量技术上并不成熟;如BS7799中推荐的电子商务安全风险管理中实施风险评估时,往往将威胁发生的可能性定性划分为几个级别,将威胁所造成的影响也定性划分为1~5级,实质上是将一些按照概率发生的事件定义为不连续的几个级别,在操作上易行,但造成了度量的不精确。在进行监控和审计之后,也存在无法量化、对比的问题。
(三)忽视与原有的传统风险管理策略的结合
本质上,电子商务的安全风险无非是新兴的商业模式对传统的风险的改变,以及产生的在传统风险控制领域暂时无法明晰的新风险;现有管理策略只从信息技术的角度、或者从偏重技术的角度看待问题,站在金融领域本身来分析研究较少。这种状况导致了对电子商务安全风险管理的研究无法立足于一个比较高的层次;忽略了风险的整体性,只进行偏信息和技术的研究,导致了现有的电子商务安全风险管理策略与金融机构原有的传统业务风险管理策略存在差距。对于商业银行而言,传统金融业务的风险控制与电子商务的技术风险控制,两个方面存在脱节,同样属于商业银行的风险,存在着不同的管理策略,导致多头管理、资源浪费、机构之间的扯皮,乃至缺位管理。
(四)风险管理策略无法依赖外部的信息安全管理行业
在发达国家,信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作。商业银行采用依靠外部专业化机构定期对电子银行的安全性进行评估的办法,提高对电子银行安全性和技术风险的管理和监管。而国内初步建立了国家信息安全组织保障体系,制定和引进了一批重要的信息安全管理标准、法律法规,风险评估工作得到了一定重视,但与发达国家成熟完善的外部信息安全管理行业仍有很大差距。
(五)风险管理策略中商业银行的内部风险控制能力薄弱
我国商业银行目前均建立起统一的风险管理部门;但风险控制部门的职能、权限与花旗银行等体制较为先进的银行相比仍然存在较大差距,风险控制实质上仍然分散在各个子部门;风险的评估、防范与控制实质上完全依靠商业银行的电子交易部门;风险管理部门、内审稽核部门实质上无法控制电子商务安全风险。例如,风险管理部门接受了电子交易部的风险控制报告,表面上履行的内控审核的流程,但审核作用有限,无法完成电子商务安全风险管理中的监控与审计环节。
三、商业银行的电子商务安全风险管理策略的改进建议
(一)基于系统的思想构建商业银行电子商务安全风险管理策略框架
利用系统理论作为总体的指导思想,将电子商务安全风险管理策略本身当作一个开放的自适应系统。将商业银行电子商务安全风险管理中的各个环节组成循环上升的系统。
在商业银行电子商务安全风险控制的流程中,经过信息安全的风险评估、资产识别和选择、实施控制降低风险的措施、将风险控制在可接受的范围内,然后进行监控和审计;尤其重要的是把监控和审计所得到的内容作为新一轮风险分析输入,从而开始新一轮的风险管理过程。商业银行电子商务安全风险管理的各个步骤为动态的循环系统。每完成一个循环,安全风险管理的有效性就上一个台阶,商业银行的安全管理水平变得到了提高。新晨
(二)电子商务安全风险管理中定量分析中的改进思路
商业银行可以借鉴成熟的传统金融风险度量中的一些方法来改变电子商务安全风险管理中对资产进行粗略的优先级别排序的方法。实践中,商业银行对操作风险的管理与对电子商务安全风险管理有其相似之处。巴塞尔委员会对商业银行的操作风险的内部计量法中规定,商业银行内部估计风险敞口指标、损失事件发生的概率、风险损失,巴塞尔委员会制定资本要求的转换系数;在度量损失的分布时,主要利用统计和精算技术。商业银行应通过数据库将威胁发生的频率、威胁所造成的影响等精确记录下来,利用现有的度量方法进行精确的风险定量分析的尝试。
(三)将商业银行电子商务安全风险纳入商业银行总体风险管理范畴
[关键词]巴塞尔新资本协议;操作风险管 ;IS027001;信息资产
[中图分类号]F831 [文献标识码]A [文章编号]1006-5024(2009)04-0167-04
[作者简介]董红,北京航空航天大学经济管理学院博士生,研究方向为风险管理与决策;(北京100083)
邱菀华,中国光大银行总行风险管理部教授,博士生导师,研究方向为决策、风险与项目管理;
林直友,中国光大银行总行风险管理部业务经理、硕士,研究方向为金融风险管理。(北京100045)
金融业的全面开放和金融服务的管制放松,以及高端化的信息技术,使银行的业务、产品日益多元化,这直接导致其面临的风险更为复杂和多样。国内外银行业重大违规事件及美国金融海啸影响的迅速扩大,迫切需要国内外金融监管部门和从业机构反思对操作风险的管理和防范,加强合规管理。2004年的巴塞尔新资本协议,将操作风险正式纳入资本监管范围,并进一步提出了明确的监管资本要求。2007年我国银监会再次对其进行解读和说明。然而,由于操作风险情况复杂,与银行自身的规模、经验、业务特征等密切相关,具有和动态变化等特点。因此,探索适合银行不同类别操作风险特点的管理和计量方法,是一项十分重要而紧迫的课题。
一、操作风险管理的困惑与问题
到目前为止,有关操作风险的定义、管理及计量问题一直困扰着各家商业银行和监管机构,国内外银行也未对它形成统一的认识。本文采用至今已被大多数银行所接受的巴塞尔银行监管委员会有关操作风险的定义,即由于不完善或有问题的内部程序、人员和系统或因外部事件导致损失的风险。新资本协议从风险监管的角度将操作风险事件划分为七种类型,包括内部欺诈,外部欺诈,雇员活动和工作场所的安全问题,客户、产品和业务活动的安全问题,银行维系经营的实物资产损坏,业务中断和系统故障,执行、交付和过程管理等。就其风险成因可分为人员、流程、系统和外部事件四大类。此外,按产品线将商业银行的业务划分为公司金融、交易和销售、零售银行业务、商业银行业务、支付和结算、业务、资产管理和零售经纪类,并对每一类产品分别规定不同的操作风险资本要求系数,籍以用标准法计算操作风险总体资本要求。
巴塞尔委员会给出了管理操作风险的十大原则,但这些原则都是从宏观角度要求商业银行应该建立什么
样的组织、制度和流程,并未给出管理操作风险的详细方法和手段。实际工作中,我们发现信息资产是商业银行极其重要的一类资产,在信息时代,一个机构要利用其拥有的资产,特别是信息资产来完成其使命,因此,对信息资产的管理关系到该机构能否完成其使命的大事。然而,由于信息资产对IT系统的依赖性很强,绝大部分具有无形化、易变化、易传播的特点,且风险存在于其产生、传递、使用和销毁等各个环节,与一般银行产品相比,具有很大的独特性。所以,我们建议将此类资产作为商业银行一类独特的产品线来进行管理。在实践中,我们发现ISO27001为有效管理组织的信息资产、确保信息安全提出了一整套要求和最佳实践指南。它从11个方面对信息资产的安全管理提出要求,其管理思想完全符合操作风险的管理原则,并且是在其原则基础上的细化,如高层管理的支持和承诺、资源管理、风险评估、内部审核、信息的沟通、有效性测量和改进,等等。可见,ISO27001不仅适用于多数IT软硬件开发等企业,同时也适用于银行、保险等信息化程度较高的金融行业。
因此,我们希望能够使用ISO27001的管理标准来细化商业银行信息资产类产品的风险管理,进而按照操作风险管理的总体原则与其他类产品进行融合,最终实现在总体框架要求下对信息资产类操作风险的细化管理。
二、ISO27001简介
ISO/IEC27001源自英国标准协会制定的BS7799,包括两部分内容:BS7799―1信息安全管理实施细则和BS7799-2信息安全管理体系规范。其中,BS7799-1被ISO组织吸纳为ISO/IEC17799,BS7799-2升版并转换为国际标准ISO/IEC2700I,它是建立信息安全管理体系ISMS(Information se-curity Management systems)的一套需求规范,其中详细说明了建立、实施和维护信息安全管理体系的要求,指出组织应遵循的风险评估标准。
信息是一种资产,就像其他重要的业务资产一样,对组织是不可或缺的,需要妥善保护。根据ISO/IEC27001的定义,资产是对组织有价值的任何东西。它能以多种形式存在,如有形资产(硬件、软件、数据文件、人员等)、无形资产(声誉、品牌、客户关系等)、辅助资产(信息资产的制造、存储、传输、处理、销毁等)。信息安全就是指保持这些资产的机密性、完整性和可用性。另外,也可包括诸如真实性、可核查性、不可否认性和可靠性等。
1 机密性――信息具有不能被未授权的个人、实体或者过程利用或知悉的特性。
2 完整性――保护资产的准确和完整的特性。
3 可用性――根据授权实体的要求可访问和利用的特性。
企业的业务战略以企业的资产来得以体现,但资产自身不可避免地带有漏洞,我们称之为资产的脆弱性。外界的威胁则利用资产的脆弱性,给企业带来风险。信息安全就是要保护信息资产免受威胁的影响,从而确保业务的连续性,缩减业务风险,最大化投资收益并充分把握业务机会。构建信息安全管理体系,就是通过对组织信息资产的风险评估,确定重要信息资产清单以及风险等级,从而采取相应的控制措施来实现信息资产的安全性。信息安全管理的核心是风险管理,其对象是组织的信息资产。我们将其作为操作风险管理产品线之外的第九类特殊产品线,评估其价值和风险,确定相应的安全需求,并制定安全措施来降低和控制资产的风险。
可见,信息安全风险,是指由于系统存在的脆弱性、人为或自然的威胁导致安全事件发生的可能性及其造成的影响,包括由于IT流程缺陷、系统的业务需求/流程控制缺陷、信息系统脆弱性、操作人员无意/蓄意失误、外部事件等因素直接导致业务操作风险并间接导致信用、市场、声誉等风险。它不仅存在于应用系统及IT基础设施等信息资产中,而且存在于业务流程及管理流程中。ISMS是通过实施一整套适当的控
制措施来实现目标的,包括策略、过程、程序、组织结构和软硬件功能,他们可以是行政、技术、管理、法律等方面的。IS017799包含了11个管理要项,既有偏重管理的信息安全方针、安全组织、资产管理、人员安全、物理和环境安全、事故管理、业务连续性管理、法律符合性等方面,也有偏重于技术的通信和操作管理、访问控制、系统开发和维护等内容,每一部分都针对不同的主体或范围,在这11个管理要项中,它又细分为39个控制目标和133个控制措施。可以说,ISO/IEC27001是目前国际上关于信息安全管理要求最全面、最完整的体系,可有效防范信息资产风险,从而进一步巩固操作风险的驾驭能力,保证组织核心业务的持续运行。
三、基于风险的信息安全管理体系的构建
信息安全管理体系是基于业务风险方法建立、实施、运行、监视、评审、保持和改进信息安全,提出了基于戴明环的Plan-Do-Check-Act(PDCA)风险模型,强调全过程和动态的控制,如图所示。它的设计思路充分体现了“过程方法”的特点,以过程为控制对象,在业务和风险管理过程中控制风险,实现持续改进,并达到监管方要求实现的事前、事中、事后全程控制。
(一)策划并建立信息安全管理体系
1 确定安全方针和范围
信息安全管理体系可覆盖组织的全部或部分,组织需根据业务特征、地理位置、资产和技术等明确界定体系的范围,并使之文件化。另外,要制定ISMS方针和策略,它是指导如何对组织信息资产进行管理的规则,是构建信息安全管理体系的宗旨。它表明了管理层的承诺,提出组织管理信息安全的方法,为组织的信息安全管理提供方向和支持。
2 资产的识别和评价
资产管理是实施有效ISMS的基础,也是风险评估的核心内容。资产管理的优劣直接影响评估的效率和质量以及保持循环评估的连续性,而且有助于预见这些数据在之后风险分析中的重要作用。
资产识别A:为保证资产识别的合理性,建议组织从业务流程角度(纵向比较)和信息活动(横向比较)两个角度进行。在清晰识别资产后,组织应根据资产的重要性形成文件,建立资产清单,包含资产类型、格式、位置、责任人、备份信息和业务价值。
资产评价的目的是确保资产受到相应等级的保护,以保障在处理信息时指明保护的需求、优先级和期望程度。企业的所有资产都处在业务流程和相应的支持过程中,资产的重要程度,应根据其所处业务流程的位置,且与其它资产的比较中界定。通过分析资产的机密性、完整性、可用性及其它需求进行评估。对资产赋值时,一方面要考虑资产购买成本,另一方面也要考虑当这种资产的机密性、完整性和可用性受到损害时,对业务运营的负面影响程度。
3 风险评估
资产管理和风险评估是相辅相成,紧密相连的。在实际操作过程中,资产管理数据可为风险评估提供支持;而每次风险评估正是对资产管理数据进行修正和维护的过程。因此,定义全面合理的信息安全风险评估方法及风险可接受准则是十分关键的。评估方法要和组织既定的体系范围、安全需求、法律法规相适应。另外,组织应建立风险评估文件,解释和说明所选择的风险评估方法,介绍所采用的技术和工具。
(1)威胁识别T:威胁是对组织及其资产构成潜在破坏的可能性因素或事件。评估者应根据经验和有关统计数据判断威胁发生的频率或概率。
(2)脆弱性识别V:弱点是资产本身存在的,若被威胁利用将引起资产或目标的损害。我们将针对每一项要保护的信息资产,找出每一种威胁所能利用的脆弱性,并对其严重程度进行评估,为其赋值。
(3)对已有安全控制措施进行确认。
(4)建立风险测量的方法及风险等级评价原则,结合资产本身的价值、威胁发生的概率、威胁利用弱点的影响程度和已有控制等来确定风险的大小与等级R。即R=f(A,v,T)=f[Ia,L(Va,T)],其中Ia表示资产的重要程度;Va表示某资产本身的脆弱性,L表示威胁利用脆弱性对资产造成安全事件的可能性。
(5)识别并评价风险处理的方法,包括接受风险、降低风险、规避风险、转移风险等。组织应加以分析,区别对待所识别的信息安全风险。若风险满足组织可接受的风险准则,将接受风险。否则,考虑规避风险或转移风险。若无法规避或转移的风险,应采取适当的控制措施,将它降低到可接受水平。
(6)选择控制目标和措施
选择并建立文件化的控制目标和措施,制定风险处置计划。ISO27001系列强调在风险处理方式及控制措施的选择上,组织应考虑发展战略、组织文化、人员素质,并特别关注成本与风险的平衡,以满足法律法规及相关方的要求。另外,实施控制措施后仍会有残余风险存在,我们需要密切监视这些风险,防止它诱发新的风险事件。
(7)获得最高管理者的授权批准
风险识别和评估对后续可行的风险监测和控制至关重要。有效的风险识别要同时考虑内部因素(如企业结构、性质、文化以及人员的素质和流动性等)和外部因素(如环境的变化和技术的发展),他们可能对组织目标的实现造成重大不利影响。在识别绝大多数潜在的不利风险的同时,组织还应该评估自身对这些风险的承受能力。通过有效的风险评估,组织可以更好地掌握其风险状况和最有效地使用风险管理资源。
(二)实施并运行信息安全管理体系
阐明并实施风险处置计划。在此过程中,组织应指明和分配适当的管理措施、资源(人员、时间和资金)、职责和优先级。针对不同的管理层次、岗位和职责制订不同的培训计划,记录并考核培训的效果。通过提高全员的信息安全意识,塑造企业的风险文化,保证意识和控制活动的同步,确保体系的持续有效性和实时性。同时,组织应搜集证据、记录信息安全管理活动,为将来的评审、检查做准备。
(三)监视并评审信息安全管理体系
监控、评审阶段主要用来加强、修订及改进已识别的控制措施和解决方案。对不合理、不充分的控制措施应及时采取纠正和预防。组织可通过多种方式检查和监视信息安全管理体系的运行状况,如收集安全审核的结果、事故、以及所有相关方的建议和反馈;定期评审残余风险和可接受风险的等级;通过内部审核和管理评审检查信息安全管理体系的有效性、符合性等。此外,组织应做好记录,并报告影响信息安全管理体系有效性或业绩的所有活动、事件。
(四)改进信息安全管理体系
基于评审结果或其他相关信息,采取纠正和预防措施,以持续改进信息安全管理体系,开始新一轮的PDCA循环。改进活动和措施必须获得所有相关方的认可,并确保达到预期目的。
四、信息资产类操作风险管理的实施建议
ISO27001是文件化的体系,它把传统的银行信息安全与IT治理、风险审计和风险评估结合在一起,产生了一个新的管理维度和应用维度。在国际标准化的大潮流下,将基于风险评估的ISO27001体系要求引入业务流程和风险体系,规范现有业务运作,全面提升员工的风险意识和责任,从而有效地降低内部欺诈等各类风险发生的几率,做到从源头防范风险,保护客户信息。
“企业正面临着前所未有的IT治理与风险管理难题,传统上基于局部的、纯人工控制的安全防御措施已经显得力不从心。在风险和法规遵从性的问题上,企业必须做到未雨绸缪。”IBM软件集团Tivoli软件总经理Alfred Zollar强调说。
2007年年初,IBM完成了对安全和法规遵从管理公司Consul的收购;同年6月,IBM又完成了对网络应用安全公司Watchfire的收购。经过一系列的战略收购(也包括MRO和Micromuse等),Tivoli将管理的外延从IT延伸到所有的企业资产。同时,这也实现了IT资源管理从原来的“系统管理”向“服务管理”的快速转型。
现在,用户可以将安全、遵从性和质量测试作为Web应用程序开发的一部分,而这就确保了应用程序在投入使用之前就具有业务的完整性。
安全管理迈向新高度
在今天越来越多的协作模式不断涌现、各类攻击越发猛烈以及复杂的IT基础架构组成的IT环境中,企业的业务安全正在经历巨大的挑战。而如何通过应用IT的手段来防范和控制这些威胁和风险也成为了企业所面临的重大难题。
“很多用户都面临着重大的威胁和风险,然而这些威胁并不一定完全都与安全挂钩,很可能是来自于企业的内部。”IBM治理与风险管理战略总监Kristin Lovejoy说。研究统计也表明,有85%威胁和风险问题是来自于企业的内部,而这其中又有很大一部分威胁是来自于企业内部跟IT相关的管理。也就是说,安全管理和防范已经不仅仅是构建一道外界防御的工具,而越来越多的人也已经认识到了这一点。
“事实上,治理与风险管理是一个由若干步骤组成的过程,企业的风险管理开始于发现风险,而这些风险将影响企业的核心业务流程,接着是根据这些风险对业务的冲击力来评估风险,随后是定义将采取的行动,最后就是配置控件并监控这些控件。”Kristin Lovejoy说: “而安全管理将提供跨越整个风险管理过程的能力,特别是在整个风险管理和操作过程中提供控件帮助减少风险。”
调查发现,79%的首席财务官(CFO)已经计划将在今后三年内逐步构建IT治理架构来整合信息;与此同时,64%的首席信息官(CIO)认为,统一安全策略和保护数据安全是IT部门当前面临的最大挑战之一。在这样的背景下,安全管理作为IT治理与风险管理的重要一环,已经走到了更高的战略位置。
“在2008年,IBM计划在与安全相关的领域投资15亿美元,这些资金将被用于研发更尖端的安全产品和服务。同时,IBM在全球配备了200多位顶级的技术专家专门从事与安全相关的研究。”Alfred Zollar强调说。
ISS为安全管理添柴加火
现在,IBM全球信息科技服务部(GTS)也已经成为了IBM治理与风险管理的重要力量,特别是在收购了互联网安全系统公司ISS后,GTS把ISS独有的预防性安全解决方案带给了用户。
“面对企业越来越全面的风险管理和控制需求,IBM做了许多有选择的战略性收购。其实,IBM和ISS从1999年起就一直保持合作关系,收购完成后,我们将ISS的主动防御集成安全平台融入到了IBM的产品组合中,以提供全面的、‘端到端’的安全解决方案。”IBM全球信息科技服务部亚太区企业IT安全服务总经理Maneesh Tripathi介绍说。
“很多企业都存在着安全问题。”IBM全球信息科技服务部ISS大中华区总经理黄德荣说,“随着安全威胁的不断升级,安装单点解决方案消除隐患的时代早已过去了,已经不再是企业安全的保障了。”
此次,IBM综合其服务、软件和硬件的优势,在对企业减少威胁和风险监控管理需求的整体分析的基础上,了‘端到端’安全解决方案,其中包括:信息安全,通过对传输和静止状态的数据进行全生命周期的保护,将安全延伸到电子协作中去;威胁和攻击管理,对网络、服务器和战略端等系统组件上的威胁提前采取行动;身份识别和访问管理,确保合适的人因为合适的原因在合适的时候能访问合适的信息系统;应用安全,确保应用和业务流程在整个软件生命周期内的安全;物理安全等。
另外要强调的是,IBM正与全球众多的业务合作伙伴开展协作,致力于为中小型企业(SMB)用户提供最适用的安全解决方案。
评论
“安全”与“遵从”从软件开发开始
2007年6月,IBM宣布收购了安全和遵从性测试软件公司Watchfire。日前,IBM Rational已经完成了对Watchfire的技术整合,并把Rational的安全和遵从性测试功能进行了全面的升级。
收购Watchfire后,Rational将安全和遵从性的集成融入到了软件的开发过程中,使客户能够把安全、遵从性和质量测试作为软件开发的一部分包括进来,随时测试并跟踪,从而确保应用程序在投入使用之前就具有业务完整性。
可以说,IBM将IT治理和法规性遵从管理理念引入到了软件开发领域。IBM大中华区Rational软件总经理桂荣青表示: “基于对Watchfire的收购,IBM将安全和遵从引入到了Rational软件生命周期管理平台,使Rational在IT治理和风险管理方面的能力进一步增强。”
的确,随着网络复杂程度的日益加深,在线安全和隐私事件问题日益突出,这与法规遵从的欠缺一样,都有可能会导致客户信任度的丧失、代价高昂的技术和业务补救以及法律纠纷等。桂荣青认为: “网络安全形势的严峻和各种法律法规的出台,对企业的软件开发提出了更高的要求。为了保障软件生产企业能交付出高质量、符合特定行业规范需求的软件,我们必须在软件开发阶段就加强安全和法规性遵从管理。”
而安全和遵从性测试技术与软件开发工具的结合将可能会导致软件开发方式的一种变革。据桂荣青介绍,Rational与Watchfire的结合让Rational走出了传统软件开发的框架,向IT治理与风险管理能力的软件生命周期管理平台迈出了重要的一步。
建筑工程安全风险管理方式是多样化的,结合不同特点的施工安全风险管理环节,积极采用相应的建筑工程施工安全风险管理策略,是很有必要的。建筑工程安全风险控制和应对的过程中,积极通过建筑施工安全风险的识别,评估的方式,从数据统计的角度去界定建筑施工安全风险发生的概念,损失程度,危害程度,由此制定切实的建筑施工安全风险控制和应对措施。一般情况下,对于风险进行管理和控制的方式分为:消除风险,减轻风险,预防风险,回避风险和转移风险。上述的几种方式可以切实的被运用到建筑工程施工安全管理工作中去。基于这样的理论,积极结合建筑工程施工安全风险管理特点,实现理论与实践的相互融合。具体来讲,需要从以下角度入手:
1.1消除建筑施工安全风险
消除建筑施工安全风险,可以尝试多样化的方式去达到这样的效能。一般情况下,使用更加先进的施工技术或者施工方法,解决原来技术缺陷和弊端,以尽可能的实现建筑施工安全风险隐患的规避。为此,应该积极做好以下几方面的工作:其一,组建建筑施工安全风险管理小组,对于建筑施工安全管理工作进行分析和总结,找到现阶段建筑施工安全管理工作的缺陷和不足;其二,结合实际建筑施工安全风险管理情况,鼓励进行技术创新,工艺改善的方式实现部分建设施工环节风险的管理和控制。
1.2减轻建筑施工安全风险
所谓减轻建筑施工安全风险,是指以技术手段措施实现建筑施工安全风险的减轻,从而避免风险带来的不利影响。从本质上来讲,减轻建筑施工安全风险的过程,是将可预测的安全风险控制在可以承受的范围内的过程。对此,应该积极做好以下工作:针对于现阶段建筑施工安全风险情况,对于建筑施工安全风险情况进行全面分析,在此基础上制定相应的策略进行风险降低。
1.3预防建筑施工安全风险
预防建筑施工安全风险,是一种主动出击的建筑施工安全风险处理策略,简单来讲,就是通过对于众多建筑施工安全风险源的分析,确定其可能出现的建筑施工风险,采用一定的技术措施使得建筑施工风险不会发生。对于建筑施工安全风险的预防来讲,应该注重以下内容:其一,树立建筑施工安全风险防范意识,营造良好的建筑施工安全风险预防氛围;其二,加大对于建筑施工安全风险防范的投入,从设备,人力,财力等角度给予充足的支持,保证各项防护工作都能够切实发挥效能。
1.4回避建筑施工安全风险
对于建筑施工过程中的安全风险,以回避的方式进行处理,是最佳的处理方式,也是比较彻底的施工安全管理策略。但是在此过程中要主动放弃或者改变项目施工方式,在确定规避方案的时候,要积极去思考这样的改变是否会对于整个建筑项目的经济效益构成危害,这就要求对于回避建筑施工风险的方案进行全面的评价,从风险源入手,展开分析,并且最终确定建筑施工安全风险方案,将其执行到建筑施工安全风险管理中去。
1.5转移建筑施工安全风险
所谓转移建筑施工安全风险,就是将风险环节集中的项目分给其他的单位来承担,以最大化的降低风险的发生概率,使得自己不用去承受不利后果。一般情况下,当公司技术能力,管理素质不强的时候,就会以工程建设承包的方式进行分包,以便弥补自身在技术和管理方面的缺陷,将风险转移给了承包商和分包商。或者以购买保险的方式,一旦发生施工安全风险,由保险公司去进行承担,也是很常见的一种转移风险的做法。
2结束语
在全球经济一体化进程不断加快的背景下,我国的市场经济体制逐渐完善。改革开放的不断深化为我国企业的发展提供了良好的机遇,同时也带来了严峻的挑战。面对来自国内和国际市场的双重竞争,国有能源企业应该采取切实有效的措施,加强对风险的管理和控制,提升投资决策的科学性,为企业创造出一个相对稳定的经营环境,提升企业的经济效益。本文结合当前我国国有能源企业安全风险管理的现状,对其财务风险管理中存在的问题进行了分析,并提出了风险管理的创新方法,希望能够推动企业的发展创新。
二、企业安全风险管理现状
安全风险管理与传统的安全管理相比,更加先进,在管理模式和管理特点等方面存在着较大的区别。传统的安全管理重要是以事后管理为主,属于经验型管理,注重对于安全责任的追究;而安全风险管理则强调事前管理,重视企业全体员工的共同参与,通过风险的评估和预防,对关键问题进行治理。
安全风险管理实现了风险管理和安全管理的相互结合,比安全管理具有更加广泛的管理范围和更加全面的管理内容,管理的主要目标是减少乃至消除安全事故,减少不必要的经济损失。安全风险管理主要是从全局角度出发,对系统安全的观点进行明确,在国有能源企业中有着非常广泛的应用。[1]
从目前来看,在国有能源企业中,安全风险管理取得了非常显著的成效,也存在着一些不足和问题,主要体现在以下几个方面:
(一)缺乏风险管理意识
当前,许多国有能源企业管理层尚没有意识到风险管理的重要性,缺乏相应的风险管理意识,从节约成本方面考虑,没有进行企业内部控制制度的建设,也没有设置相应的内部审计机构对企业管理人员的行为进行约束。这使许多国有企业管理人员在企业经营管理中抱着得过且过的思想,进而导致企业面临着极高的财务风险和安全风险。
(二)缺乏内部管控制度
很大一部分国有能源企业并没有进行内部控制制度的构建,或者没有依照相关规定进行内控制度的构建。要想强化企业内部控制,提升企业的风险管理能力,构建完善的内控制度是非常必要的。但是,许多企业认为健全内控制度是一件费时费力的事情,因此并没有重视,企业的内部控制和风险管理缺乏良好的制度保障。
(三)缺乏制度有效执行
要想确保企业内部控制制度的有效执行,需要考虑多方面的影响因素,如财会人员的专业素养、管理人员的综合素质以及企业对于内部控制制度的推行力度等,如果仅仅构建了相应的内控制度,但是缺乏有效的执行,内部控制就会沦为空谈,无法发挥实质性的作用。[2]
三、企业风险管理方法创新――以贸易为重点
(一)控制下游企业,稳定公司管理
对下游优质企业的控股和兼并,能够进一步提升国有能源企业对于能源市场的掌控能力。在实际操作中,对下游产业的控制能够保证资金的通畅性及安全性,了解目标市场的发展状况,做到心中有数,取得经营战略上的优势。同时,还能够影响后续生产状况,提升能源供应的计划性,实现以销定产,稳定能源供应链。在党的十八届三中全会中,对混合所有制经济进行了确定。这也使得能源企业的合作对象范围有了很大的增加,通过对下游企业的控制,企业在日趋激烈的市场竞争中可以占据更加有利的位置。
(二)加强物流建设,增强公司流通能力
通常来讲,能源企业的贸易不仅交易额巨大,而且交易周期相对较长,存在着大量的不确定因素。从风险管控角度看,应该强化对于物流链的管理和监督。国有能源企业应该立足自身的实际情况,进一步加大物流基地的建设,强化对于物流链的掌控能力,对货物的存储和转运进行严格控制。利用现代化信息技术对物流基地进行建设和管理,能够在实现传统物流功能的基础上,提升物流的效率,帮助企业降低成本、提升效益。同时,物流基地的建设还能够发挥相应的辐射带动作用,在保证自有货物安全的前提下,方便对货物的流向进行控制,提升经营范围。不仅如此,加强物流建设,通过多方战略合作,甚至能够形成相应的交易中心,影响市场,争取更多的行业话语权。[3]
(三)把握金融工具,控制资金成本
国有能源企业应该充分利用自身在资源、资本等方面的优势,对资金流的运作进行把握和控制,在积累资金的同时,发挥信用优势,并结合金融杠杆,通过参股银行或者收购证券公司的形式,设立相应的财务公司、保险理财公司等,实现资金运作方式的多样性。可以开展资本融资,利用国家信用评级,发行相应的票据和债券,降低融资成本。应该进一步利用金融工具,开发各种金融产品,组织与协调物流中的资金运作,减轻企业经营中的资金压力,帮助上下游企业加快资金流转速度。另外,可以利用期货等金融工具,对市场风险进行规避,减少经营风险。[4]
(四)拓展企业海外业务,增加市场
在当前经济全球化的背景下,我国的工业化进程不断加快,对于能源的需求也在不断增加,能源供需矛盾日益凸显,成为制约我国经济发展的一大障碍。因此,我国经济能否实现快速增长,主要取决于能源进出口贸易的发展。自1993年开始,我国成为石油净进口国,石油的进口量在世界石油出口总量中占据着越来越大的比重,对进口的依赖程度进一步提升。在这种情况下,国有能源企业面临着新的发展形势,贸易伙伴正在向着多元化的方向发展。而针对我国能源利用中存在的问题,面对能源供需矛盾,国有能源企业应该积极拓展海外业务,通过技术研发以及自主勘探,对海外资源进行拓展,从源头上稳定能源产业链。
(五)开拓新领域,加快产业布局
从目前来看,我国经济发展最为关键的任务之一,就是保障能源的可靠供应以及能源价格的稳定性。而现阶段,单纯依靠进口的能源形势很容易受到能源出口国政治经济局势变动、国际能源价格波动等的影响,并非长久之计。对此,国有能源企业应该开拓新领域,加快新能源的产业布局,实现能源生产与消费的改革,提升能源的开发和利用效率,推广清洁能源的使用,将发展新能源及节能环保产业作为促进消费、带动竞争的重要切入点,推动我国经济的可持续发展。[5]
四、结语
关键词:高层建筑;风险管理;风险分析;施工单位
引言
现代的房屋建筑充分利用土地资源,节约土地资源为宗旨。因此,利用有效土地资源,向楼房高层发展。高层房屋建筑施工过程中的安全极其重要,对高层房屋建筑工程安全风险管理潜在隐患包括高处作业、地质、环境、设备、材料、人员等各方面的因素,属于安全生产的高危之一的项目。不仅是结合房屋建筑施工技术精华和新工艺的应用,而且对高层房屋建筑工程的质量的要求标准高,同时安全管理风险也是并存。安全管理风险取决工作环境的的不利施工,较多处于露天高空作业,多种工种相互配合协调,机械设备的设置,电源线路的安置,在这狭小的空间极其拥挤,包括施工人员的专业化素质、不完善的作业条件等这些决定了安全管理风险潜在的隐患。建筑工程项目具有投资大、施工环节复杂、参与者多、周期长、风险因素多等特点,在土建施工过程中具有很高的灾害事故风险率。所以在高层建筑的土建施工过程中,风险管理的过程就显得更加重要。事实证明,在工程建设项目中,为风险管理而付出相应成本来挽回不必要的项目损失,这种努力是值得的,而且是必要的。
1风险管理的发展和现状
风险管理思想的雏形源于公元前916年国外的共同海损(GeneralAverage)制度和公元前四百年的船货押贷制度,虽然属于保险思想的雏形,但因保险是风险管理技术,所以认为其是风险管理思想的雏形。18世纪产业革命,法国管理学家亨瑞・法约尔(HenriFyaol)在《一般管理和工业管理》书中正式把风险管理思想引入企业经营,到20世纪60年代,美国才将其发展为一门独立的科学。工程的当事人风险意识淡薄,工程不确定性多,风险复杂多变,风险识别困难;工程项目具有不重复性,忽视工程施工资料的整理,造成工程施工数据的积累有限;风险评价的误差大;风险管理手段的落后,风险手段只有风险回避、风险自留和风险转移,种种原因制约工程风险管理的发展。
2高层建筑土建施工风险管理的特征
高层建筑的建设风险更大,风险发生的概率更高,其特点总结为:
1)前期投资大,前期资金运营风险比较大。
2)施工周期相对较长,比普通项目层数多很多,有很大的工程量。
3)火灾在高层项目上已经上升为主要矛盾。
4)工程风险的责任承担者相对较多。
5)土建施工的垂直运输量很大,高空作业多,吊装作业风险高,且在调试和安装垂直运输设备时安全风险大。
6)工程施工的协调工作难度大,作业的种类繁多,波及的范围大,且工种和工种间的交叉配合很多。
7)结构复杂,施工和设计不仅量很大,技术难度也很大。
3管理施工风险的途径
综合高层房屋建筑工程建设过程中的风险因素,提出安全建设的途径,发挥安全管理的价值,构建施工安全风险管理的途径。
3.1风险立法
针对高层建筑安全风险的基本情况,构建法制环境,通过立法方式,体现风险管理的价值。根据高层房屋建设的实际,严格贯彻安全建设的法制、法规,履行立法要求,如此可以正确对待施工过程中的安全风险,提高规避能力。详细研究立法制度内的风险源,对比实际工程,判断是否有相同或类似的内在风险,提前做好风险防护的准备,体现风险管理的价值,结合风险立法的实际,制定风险管理的对策,加强风险法制建设,实现完善的立法环境。
3.2风险控制
站在施工安全管理的角度考虑,风险控制需要实现最终的风险规避,即使无法完全规避风险,也需将其控制在最小状态。风险控制的过程中,以规范化的建设环境为主,防止来自各个方面的安全威胁,例如:对高层建筑工程内的每一项工程,实行规范化的处理,尽量多方面的排除安全风险的影响,然后制定流程化的施工方案,实际施工中,需要严格按照施工方案执行,保障施工内容的合理性,确保施工过程中,可以实现风险控制,避免风险影响,体现安全管理的价值。
3.3风险转移
风险转移是高层房屋建筑工程风险管理的常用方式,利用合作的方式,实现风险分担。例如:施工企业将部分施工项目,以外包的方式承包给其他施工企业,签订责任合同,促使承包企业自行承担施工部分的项目风险,由此施工企业不用承担全部风险内容,既可以实现安全风险的控制,又可以将风险降到最低。近几年,风险转移在建筑工程中比较适用,保障各个参建单位的效益,维持风险平衡状态,而且风险转移不仅可以推进工程业务承包,还可以为承包单位提供效益获取的方式。
3.险内消
风险内消属于技术性的管理措施,具有直接、稳定的管理特性。风险内消将全部安全风险集中到施工企业内部,促使施工企业根据建筑工程可能发生的各项风险,进行策略研究,划分风险预算,一旦出现在预算范围内的安全风险,立即进行事故补偿,风险损失由施工企业承担。如此以来,虽然可以解决风险问题,但是着实面临成本消耗,此类风险安全管理的方式,在高层房屋建筑工程中不常用。风险内消的基本特点为:掌握全面的风险来源,实施力强,对应性高,基本可以正确辨别风险,以成本管理的角度理解,则会降低评价性。
4总结
工程风险管理不是单靠某一阶段、某些风险管理者就能得到实施,不同的参与者,在不同的阶段,根据自己面临的风险,制定风险管理计划,运用风险管理手段,实现有效控制风险的目标。
(1)风险管理是项目全过程、全面的管理:在工程的各个阶段,从工程项目的决策阶段到工程项目的交付使用,不同的参与者,保证风险管理实施的连贯性。
(2)风险管理是全方位的管理。针对每一阶段,每一种风险,项目管理者应系统、全面的分析风险因素对项目各方面的影响,制定风险计划。
(3)风险管理的措施全面,包括技术、经济、性质、合同及管理等手段。建筑承包商作为建筑产品实体的最终实现者,在项目施工阶段,与建设单位承担着巨大的风险,是施工风险的主要承担者。在面对市场竞争日益加剧的情况下,施工难度的增加要求施工企业不断创新提高。如何在竞争中脱颖而出,施工企业提高自己的施工管理和专业水平才是企业生存和发展的根本。针对工程项目的风险,合理运用风险管理技术,重视和发挥风险管理的作用,强化风险意识和风险规避手段,运用风险管理尽可能的识别风险,评估风险,从而恰当使用风险管理工具,将会有效控制风险,减少风险的损失,使风险降到最低,如期保证工程的顺利交付使用,达到工程进度、质量和投资的目标的统一,投资商和承包商均获得最佳的社会和经济效益。
参考文献:
[1]王有志.现代工程项目风险管理理论与实践[M].北京:中国水利水电出版社,2009(03).
[2]陈津生.建设工程保险实务与风险管理[M].北京:中国建材工业出版社,2008(09).
[3]陈伟.工程项目风险管理[M].北京:人民交通出版社,2008(07).
[4]刘书玲.高层建筑施工细节详解[M].北京:机械工业出版社,2009(4).
[5]《建筑工程项目经理实用手册》编委会,建筑上程项目经理实用手册[M].天津:天津大学出版社,2009(04).
【关键字】 指挥自动化 安全管理
随着信息技术在军事领域的广泛应用,我军指挥自动化水平取得了长足的进步,但是信息安全问题日益突出,信息安全已经成为制约我军指挥自动化系统建设的瓶颈。研究和实践证明,70%以上的安全问题是由于安全管理不善造成,而其中95%可以通过科学的安全管理来避免,因此指挥自动化系统安全管理工作应当引起我们的高度重视。
一、指挥自动化系统安全管理的基本概念
指挥自动化系统安全管理是管理的一种,具备安全管理的一般概念,指挥自动化系统安全管理是指为完成指挥自动化系统安全这一核心任务,设置一个高效的组织机构,建立一套完善的管理制度,充分调动该系统内部人员的积极性和创造性,发挥现有的信息安全技术条件,以期最大限度保证指挥自动化系统以及指挥自动化信息安全的过程。
指挥自动化系统安全管理包括的范围较广,主要包括以下内容:落实安全管理机构以及安全管理人员,明确角色与职责,制定安全规划;开发安全策略;实施风险管理;制定业务连续性计划和灾难恢复计划;选择与实施安全措施;保证配置、变更的正确与安全;进行安全审计;保证维护支持;进行监控、检查,处理安全事件;安全意识与安全教育;人员安全管理等。
二、指挥自动化系统安全管理问题分析
2.1指挥自动化系统安全管理机构不完善
信息安全管理机构是信息安全管理制度制定和实施的有力保障,这个安全机构分为三个层次,领导层、管理层和执行层。我军各级指挥自动化系统在领导层缺乏一个统一的信息安全领导机构;在管理层绝大多数是参谋兼职人员;在执行层更是专业技术人员匮乏。
2.2指挥自动化系统相关人员缺乏信息安全教育
首先信息安全管理人员发生信息安全问题时,完全依靠于技术部门,信息安全管理意识缺乏;其次忽视了对广大系统用户的安全知识和安全意识的教育,导致用户不清楚指挥自动化系统的信息安全的标准和要求,最终导致内部安全事件频发。
2.3指挥自动化系统风险管理得没有有效开展
我军各级指挥自动化系统风险管理工作还处于起步阶段,对指挥自动化系统及其承载的信息等不了解,对系统所面临的威胁不清楚。由于对其信息系统整体安全状况不了解,风险管理和评估工作无法有效开展。
2.4指挥自动化系统安全管理制度不完善
各级指挥自动化系统安全管理制度不完善。一是安全管理内容不全面,如网络安全、设备安全权责不清、责任不明等;二是安全管理制度层次不清,可操作性不强,在实际工作中很难逐级落实。
三、指挥自动化系统安全管理应该把握的几个问题
3.1完善指挥自动化系统安全管理机构
指挥自动化系统安全管理机构是安全管理工作的基本组织保证。在指挥自动化系统管理机构中建立安全管理机构,一是要根据该系统安全工作的具体情况而定,不同安全等级的安全管理机构由于管理任务和要求不一样,管理机构组成也不一样。二是要建立健全管理信息安全工作的职能部门。三是要为信息安全管理配备专职或兼职的安全管理人员。
3.2大力加强指挥自动化系统相关人员的安全教育
目前我军信息安全知识匮乏,人才质量参差不齐。信息安全技术只有通过人的操作才能发挥应有的作用,如果对操作和配置指挥自动化系统的用户没有相应的安全管理,再好的安全技术也难以发挥应有的效力,因此人员安全知识和安全意识的教育是指挥自动化系统安全管理的核心。
3.3扎实推进指挥自动化系统风险管理工作
风险管理是信息安全中非常重要的一环,风险管理工作必须严格按照风险识别、风险评估、风险控制以及效果评价四个步骤进行。风险识别是准确的对资产进行识别,评估资产可能面临的威胁。风险评估主要对识别的风险进行分析和分级。风险控制是通过避免、转移、缓解或承认等策略来控制漏洞所产生的威胁。效果评价是检验风险评估和风险控制的结果是否满足信息系统的安全要求,在目前条件下,这部分工作亦可委托专业机构来完成。
3.4把握好指挥自动化系统安全管理的动态特性
指挥自动化系统安全管理是风险管理的一种,自然离不开管理的动态特性。指挥自动化系统中存在威胁、风险和脆弱性并不是一成不变的,因此安全管理必须因内外环境的变化而做出相应的改变,最大限度达成管理目的。指挥自动化系统安全必须一动态的眼光来看待问题,不仅仅停留在安全策略、计划、规划等描述性的文档上,需要在实践中不断地反馈、修改和完善。
参 考 文 献
[1]戴宗坤,罗万伯,唐三平,黄元飞,刘永澄,《信息系统安全》,金城出版社,2001
1工程项目安全管理难点
1.1施工不安全因素
建筑工程规模的多样,决定了结构的多样,由此决定了建筑功能、所用材料、工艺方法、施工机具的多样。除此以外,不同的人员操作同样设备,在不同的环境下,都可能存在意想不到的安全隐患。这些隐患因素如果不提前识别确认,都可能成为事故多发的关键。
1.2施工过程中安全管理的难点
施工企业与项目部分离,使安全措施不能得到充分的落实,施工现场安全管理存在以下难点:①工程项目机构的临时性和施工人员的流动性。②多个建设主体(总包、分包及劳务分包)的参与及其关系的交叉性,决定了安全管理的难度复杂化[1]。③施工人员具有的不同安全操作技能、安全意识及安全文化,造成安全约束没有统一标准。④建设工程施工中的管理主要表现为业主方的目标导向的管理,无形中轻视了现场安全管理的目标。⑤作业人员的文化及业务素质相对普遍较低,易出现违章操作的现象。就是这些不安全因素成为安全事故发生的重大隐患。
2工程施工风险及监理管理
2.1安全管理存在的缺陷及对策
建筑施工中通常会存在的缺陷:①没有危险作业、关键工序的作业程序,或者有作业程序,但实施中执行落实不到位;②作业组织不合理。一是人员安排不合理:劳务工人不具备施工安全生产的基本知识和预防能力;二是从事危险作业时无专人现场监督。针对上述缺陷,监理工程师应根据监理规范,采取措施:①对工程技术进行层层把关,确保技术的安全可靠性,运用工程技术手段消除不安全因素,实现生产工艺、机械设备等生产条件的安全。例如,对施工组织技术方案进行审查,对危险性大、复杂的部位的要求编制施工方案;对可操作性不强、不合理的方案要求整改,强化安全防护技术;对隐蔽部位的施工严格按照验收程序实施现场监理,必要时采取多种监理方式:巡视、平行检查和旁站。对施工作业全过程的控制,通过检测、跟踪、反馈等途径有效地消除施工安全隐患。②利用各种形式的教育和训练,使施工人员和监理工程师树立“安全第一”的思想,掌握安全生产所必须的知识和技能。例如,督促项目部做好项目部、作业队、班组定期或不定期的安全教育,及对执行的情况的跟踪检查。③对不适宜从事某种作业的人员进行调整,严格要求作业人员持证上岗。例如,对于职工技术不足的问题,应该加强教育和训练,提高其知识水平和操作技能;在分配工作任务时要考虑心理学和医学方面的要求,并尽可能从工程技术上改进;对于不良的物理环境,则应采取恰当的工程技术措施来改进。④严格按照监理规范实施监理工作流程,借助于规章制度、法规等必要的行政、乃至法律的手段约束施工现场人员的行为。
2.2现场风险管理的监理对策
工程项目的风险就是指那些在项目实施过程中可能出现的灾难性事件或不满意的结果。任何风险都包括两个基本要素:一是风险因素发生的不确定性;二是风险发生带来的损失。安全风险管理的目的是消除或减少风险,避免或控制安全事故的发生[2]。施工中监理的责任就是恰当运用风险控制技术,进行全方位、全过程的安全监理,做到事前预防,事中跟踪落实、事后总结。①工程监理管理决策制定。全过程风险管理的决策制定是关键,主动控制起到防患于未然的作用。风险管理人员在选择风险对策时,要根据建设工程的自身特点,从系统的观点出发,从整体上考虑风险管理的思路和步骤,制定一个与建设工程总体目标相一致的风险管理原则。这一原则需要指出风险管理各基本对策之间的联系,为风险管理人员进行风险对策提供收集资料,估计项目潜在影响,估计项目风险概率大小或分布,评价项目风险潜在后果。例如,在建设工程施工前,监理工程师要根据施工现场内、外部条件,例如,对施工总包单位与专业分包、劳务单位名称与人数、项目部机构与人数、工程概况以及周边区域内企业、村落、重要基础设施、道路等基本情况进行调查,以及统计已有类似工程安全风险资料信息,按照工程实施各阶段组织分工、项目组成的风险因素分类,对施工作业和管理活动中的危险源进行风险确认,制定相应监理安全管理策略。②实施决策的内容。按照实际情况制定安全计划、损失控制计划、应急计划。施工现场周边区域重要危险源主要包括邻近周围居民聚集区的深基坑、山体开挖、隧道、大型管沟的施工因施工支护。施工现场内重要危险源主要包括施工各分部、分项工程,施工装备(设施、机械)。单独编制施工方案和安全计划。尤其是针对例如,焊接、金属切割作业,严格执行“十不烧”规范,对吊装作业,严格执行“十不吊”规范,等等诸如此类的重点环节,加强监督管理和规范。隐患整改的效果反映了监理工程师进行跟踪检查、反馈信息的有效性。通过督促项目部根据安全保证计划,组织定期和专项安全检查相结合的方式,随时发现安全隐患,随时要求施工单位整改。③安全跟踪检查。在安全风险管理的过程中,首要的工作是在项目实施过程中,不断检查以上的实施情况,以实践效果评价决策效果。还要确定在条件变化时的风险处理方案,检查是否有被遗漏的风险项目。对新发现的风险应及时提出对策。例如,检查现场文明生产是否符合要求;工程材料、构件及设备堆放是否和施工现场平面图一致;危险源周围可利用的安全、消防、个体防护设备、器材及其分布是否满足规范。
3结束语
论文摘 要:阐述了我国建筑业职业健康安全管理现状,提出了我国建筑业职业健康安全管理目前存在的主要问题。
建筑业是国民经济的高危行业之一,随时面临着职业安全健康风险的严重挑战。职业安全和健康一直是影响我国建设行业和企业发展的重要因素。
1.建筑业职业健康安全管理现状
在今天这个快速发展的时代,随着人们对居住环境和生存条件要求的不断提高,国内建筑市场规模将长期处于持续增长状态,建筑行业成为国家的基础行业之一。随着国内经济的持续繁荣提升,国内建筑市场规模不断扩大,大中型城市加快了城市建设开发的进程。与之伴随着施工技术的不断创新,一大批“高、大、精、新”的项目不断涌现,成为城市的亮点,建筑行业在国民经济中占有越来越重要的地位。另一方面,建筑行业也存在与社会发展不相协调的背景。国家或地区间的技术、经济、文化发展不平衡,建筑施工管理手段落后,从业人员素质偏低,生产投入不足,生产技术的管理和开发落后于市场发展,安全保证能力低,环境保护意识差等,都严重制约了行业的健康发展,特别是一些重大安全生产事故频发,给人民生命财产安全等造成重大损失。
建筑工程项目由于其规模大、周期长、生产的单件性和复杂性等特点,在实施过程中存在着许多不确定的因素,比其他产品生产具有更大的风险。特别是对于现代建设项目,无论是在规模、技术复杂性、资金投入、资源消耗量、还是在影响范围方面都比以往任何时期要大得多,所存在的风险也比以前增加了许多,导致的损失也越来越大,从而使得国内外许多科研人员和企业管理人员开始重视对其进行所谓的“建筑工程风险管理”。
风险管理(Risk management)最早是由美国在19世纪30年代提出的,其目标是努力防范、减少和分散风险,但是最终不可能消除风险。经过70多年的发展,已形成系统的理论,国外甚至还出现了专门从事风险管理工作的所谓风险管理公司。我国的风险管理起步较晚,项目风险管理水平与国外发达国家相比还存在很大的差距,特别是在建筑工程项目领域的应用差距就更为明显。建筑工程风险是不可能完全避免的,建筑工程风险管理的目的是降低发生风险的频率并尽量减轻影响。危险源辨识和风险评价作为安全风险决策的基础,它们可以使工程中的实际风险得到有效控制。
从安全生产事故数量及造成的损失统计分析来看,我国从建国以来已经历了四次事故频发高峰。近年来,我国的安全生产形势十分严峻。随着建筑市场规模的成倍扩大,施工企业的安全管理资源增长速度远远赶不上承接工程规模的增长速度。有专家认为,我国正在经历第五次安全事故频发高峰期。近年来,国家对建筑安全法制建设越来越重视,政府建筑安全主管部门也大大加强了建筑安全监督管理的力度。这种监督检查是督促建筑施工企业完善基本的安全管理系统,使安全管理依法办事,同时政府主管部门也不断提高对建筑施工企业安全管理工作的要求。
2.建筑业职业健康安全管理存在的主要问题
目前,我国建筑施工行业在危险源辨识、风险评价工作上存在的主要问题:
(1)对危险源辨识和风险评价的认识还相当落后。
受传统思维和旧有习惯的影响,大部分工程建设企业从管理人员到操作人员,对风险管理都满足于经验型的粗放控制,依赖于感官印象和主观判断,对如何科学进行危险源辨识、风险评价认识不足,尤其是危险源辨识、风险评价应有哪些要求、适用哪些方法,如何适宜于行业和企业的特点等等更是不予重视,主动应用科学的辨识、评价方法以及实现辨识、评价范围的全面覆盖更是十分薄弱。
(2)危险源辨识和风险评价在内容和方法上还存在缺陷。
我国企业对危险源辨识和评价在内容和方法的研究、应用还处于自发阶段,随着安全健康事故的增多,各行各业日益关注辨识、评价内容与方法的科学性、合理性、有效性和适宜性。但是,通过评审和研讨,人们发现过去零散的、自发的辨识、评价方法,在可靠性、充分性方而存在明显不足,一些从国外引进的方法在中国出现“水土不服”、不好应用等问题,尤其是立足于建筑行业特点,如何强化辨识、评价内容与方法的针对性、适宜性和匹配性,如何确定内容与方法的应用准则、可靠程度等更是难上加难。由于经验法简单可行,而科学方法复杂得无从下手,导致目前大部分企业应用的多种辨识、评价方法存在经验和科学之间的错位,往往最后采用经验方式决定辨识和评价结果。
(3)现有的辨识和评价内容与方法不利于风险预防和控制。
由于施工企业的特殊性和所面临风险的复杂性,各种辨识和评价方法的有效应用相当困难,粗放的辨识和评价结果,不适宜的应用方法,不仅导致风险管理缺乏系统手段和成效,而且还导致了人们对科学辨识、评价方法的实际作用产生怀疑,不利于风险的预防和控制,从管理理念和实施方法上产生了大量的人为缺陷。
3.结语
当前我国正在大力建设和谐社会,建筑业的安全健康管理已经成为人们关注的焦点。但是长期以来,工程建设企业的安全健康风险一直处于严峻态势,各种事故的持续发生,严重阻碍了正常的生产和管理铁序,产生了恶劣的社会影响,引发企业的责任危机、生存危险和社会危机。分析事故原因可以看出,大部分企业的风险预防机制存在严重问题,尤其是危险源辨识、风险评价的充分性、准确性和及时性受到质疑,对危险源辨识和风险评价相关内容及方法的研究和应用,已经成为建筑企业职业健康安全管理的紧迫课题。
关键词:送电线路风险管理安全管理风险评估风险收益
中图分类号:TU714 文献标识码:A 文章编号:
一、引言
送电线路工程的施工管理涉及送电设施与电网的工程设计与设备制造等核心内容,还包括送电设备设施以及各种材料的选型、采购和运输等环节,并且这一系列的过程会受到许多来自工程以外的其他因素的影响。
送电线路工程的施工管理的特点是资金和技术等一系列资源相对密集,可以说,送电线路的施工管理是一项非常复杂的系统性工作。在送电线路工程施工的前期准备、开工建设、竣工投产等各个环节中,每时每刻都存在着风险以及安全问题。送电线路工程项目的施工现场包含着错综复杂的风险因素与安全隐患,相关人员需要针对不同环节的风险管理与安全管理的需要,采取有效的方法,做到有的放矢,有效识别风险,保障安全生产。
二、送电线路风险管理的特征与措施
送电线路风险管理是指对送电线路施工过程以及运行过程中存在的各类风险因素进行识别、分析及评估等活动,并根据这些内容制定有效的防范对策的一系列管理过程。风险识别是风险管理工作的基础内容,它涉及的范围比较广泛,是一项非常繁重而复杂的工作。对于风险识别,需要尽量做到在突出重点的同时,不漏项目。风险识别工作的好坏将直接影响对风险的估计和评价,进而影响决策者对风险所采取的措施,影响整个送电线路工程项目的施工进度。在风险评估过程中,需要参与评估的人员运用概率论、数理统计等数学方法,结合系统理论进行汇总和分析,从而对风险进行比较准确的预测。
从工程的角度来看,风险管理具有客观性和多样性的普遍特征,同时它还能够影响到工程的全局,也遵循着一定的客观规律而存在。除此之外,送电线路工程项目因为受到施工地域的水文环境、地质结构以及施工材料和工艺的不同,表现出较为特殊的特征。不同地域的地质与水文环境有着明显的差异,这往往会给送电线路工程施工的风险预测带来一定的难度,如果不能够提前准确识别这类风险,将会导致送电线路工程因此而改变方案或者更换施工设备,延长工程工期,增加工程成本。在送电线路的施工阶段,由于工期安排一般都比较紧凑,上下工序之间的衔接也非常紧密,各个风险因素的相互关联也非常突出,因此其中任何一项风险的发生有可能导致一连串风险指标发生变化,严重时甚至会直接导致项目停工,带来巨大的经济损失。通俗地说,施工阶段的风险管理就是要用最小的风险管理成本来获得最大的风险管理收益,尽可能地避免风险损失。
我国送电线路施工企业的管理水平相对较低,加强该类工程的风险管理能够获得较高的风险管理收益。我认为,加强送电线路风险管理首先要提高管理人员与技术人员的业务能力,加强培训,提高送电线路施工队伍的整体素质,提高工程施工管理水平。其次是要推广和普及科学的风险管理方法,使用现代化管理系统来提高管理效率。相关企业可以运用现代化的专业风险管理软件,用科学的方法来分析现有送电线路工程项目的各种风险条件,并做出合理的风险评估,为整个工程项目提供合理的数据资料。通过对数据的分析,可以及时掌握施工进度,实现施工费用和各项资源的控制与管理。
三、加强送电线路工程项目安全管理的方法与途径
相比其他的工程项目而言,送电线路工程的安全管理难度相对比较大,并且其安全性关系到建设公司的兴衰,也关系着国计民生问题。根据笔者多年经验,结合送电专业的理论,我认为安全管理需要从制度、队伍、现场等方面着手。
(一)严厉履行各项规章制度,加强法治化办理。
在送电线路工程项目的安全管理中,制度的执行与实施应该是放在第一位的,有了各项规章制度,我们才能够依法管理工程项目的各个环节。在各项规章制度中,要推广和实施安全管理,最大限度地避免安全事故的发生。在实际中,由于安全工作往往不与经济效益挂钩,因此很容易被忽视。然而,长期的忽视,必然会造成不良的后果,很多施工管理者往往是在出现问题之后,才开始着手寻找补救办法,容易造成较大的损失。因此,送电线路工程安全管理要防微杜渐,不断完善和补充相应的规章制度,并根据有关法律法规进行法制化管理方式,确保各项规章制度得到良好地实施和运行,起到重要的作用。
(二)加强对施工队伍建设,提高员工安全意识。
送电线路的施工队伍贯穿于整个工程建设,是确保整个工程安全完成的关键。抓好施工队伍的安全问题,从管理层到技术层,再到一线的工作人员,在完成本环节工作时,都充分考虑到安全因素。这样,才能有效实施送电线路施工设计方案,搞好工程建设。送电线路工程的安全人员首先要对施工人员进行岗前的安全知识和专业技能训练,确保一切到岗的工人都牢记安全第一的思想,认真履行“安全教育在前,施工操作在后”的思路。对于施工过程中出现的违章作业现象,要及时安排技术人员剖析现场实际状况,查找危险点并对相关的危险源进行剖析,拟定相应的防范办法,确保安全作业。
就我国目前状况而言,施工过程中的人员流动性比较大,因此需要根据施工现场的人、机、料、法、环等因素对施工现场进行动态安全管理。安全管理离不开施工队伍,因此要注重培育施工队伍,争取培养和留住一批施工质量高、安全操控能力强的施工人员,以此来确保施工部队的相对稳定性。
(三)强化现场安全管理。
送电线路施工现场的安全管理是确保整个工程项目顺利进行的基础,也是保障每一位参与到施工现场的人员人身安全的重要因素。从送电线路施工项目的部署与计划,到现场方案的具体实施,各级领导和施工人员都要高度注重安全问题,合理处理好安全与施工进度、施工质量、经济效益之间的相互促进和转化。要严格管理好送电线路施工所采用的工具,消除工具存在的隐患问题,提高工具的可靠性。在各种设备与工具进入施工现场之前,必须经由专门的人员进行检验,检查合格后方准予使用;正在使用的各种设备和工具,也要按照维护保养的周期进行预防性的修护,以保证其最大限度地运转。对各种工具的登记管理也是限产管理的一项重要内容,可有效防止工具因违章作业而造成的损坏和丢失现象。
四、总结语
总而言之,加强送电线路工程的风险管理和安全管理都是搞好送电工程的基础性工作。相关单位和企业要将风险管理与安全管理的意识提高,充分认识到这二者是经济效益和社会效益的有机一致,不管是对施工单位、送电公司仍是国家都有十分重要的意义。
参考文献
1.杨勤;电力系统事件识别与安全防御基础研究[D];华北电力大学(北京);2005年
2.丁益民;基于多技术的电力战略防御系统理论研究[D];华北电力大学(北京);2005年
关键词 铁路隧道;施工;安全风险管理
中图分类号 TU74 文献标识码 A 文章编号 1673-9671-(2012)122-0108-01
铁路隧道施工是铁路工程建设的重要环节,具有技术含量高、投资规模大、施工周期长、安全风险高等特点。在铁路隧道施工过程中之所以突发事件较多,甚至造成工程安全事故,正是因为铁路隧道工程本身是一项风险指数大、不稳定因素较多所决定的,而且在施工过程中存在的管理和技术问题,使安全风险人为加大,这不仅可能导致施工人员产生过大的工作压力和心理负担,也可能给国家造成严重的经济损失。因此,提高工程部门的安全风险管理意识和管理水平,事先评估安全风险系数积极预防,在施工中及时发现问题并予以解决,是降低施工安全风险的不二法门。
1 铁路隧道施工安全风险管理的重要意义
铁路隧道工程的特点,决定了安全风险管理水平的高低是铁路隧道施工能否安全顺利进行的关键性因素,也是确保工期控制精度、质量控制水平以及人身安全的重要措施。隧道工程技术的难度系数评估、安全事故的可能性、事故发生的概率及后果损失程度、施工突发事件的预防措施及紧急预案等,均是施工安全风险管理的核心内容。因此,铁路隧道工程项目风险管理与一般工程的管理功能有所差异,对隧道工程系统总体效益最大化的实现具有十分重要的意义。做好安全风险管理工作,有利于增强隧道工程项目参与方的的风险管理意识和风险管理能力,有效控制风险、降低风险、减少经济损失。在施工准备期,可以增强项目参与方防范事故意识和协作精神,明确工程目标、任务和工程风险,以利于风险管理企业科学决策,准确地评估工程工期及建设成本,为进一步优化施工方案提供理论依据,进而做好隧道施工过程中的风险分配工作,使每个施工人员带着强烈的安全和质量意识贯穿施工始终,确保隧道工程建设的圆满完成。
2 铁路隧道施工安全风险管理的主要问题
2.1 缺乏专门的安全风险管理机构
从目前我国铁路隧道施工的组织体系来看,最大的问题是缺乏专门的安全风险管理机构,往往按照传统的组织形式实施安全管理,很容易将施工的进度和效益放在首位而忽视安全管理。特别是某些承包商把工程分包给民间施工队,缺乏必要的指导与监督,很难保障施工安全。
2.2 缺乏专业的安全风险管理人才
随着我国铁路建设的快速发展,隧道建设工程的规模扩大和数量增多,对隧道专业人才和安全风险管理人才的需求越来越迫切。但目前我国对工程监测单位资格、监测人员专业水平没有相应的管理标准,出现专业人才不足或安全风险监测队伍非专业化现象,以致安全风险管理团队内部结构不合理、隧道工程建设团队的管理水平和专业水准普遍不高,对施工监测信息的真实性以及评估预测的指导性产生了较大的影响,进而使隧道施工存在较大的安全风险隐患。
2.3 缺乏完善的安全风险管理体系
从铁路隧道施工的现有安全风险管理体系看,在技术管理、安全管理和经费管理方面还有待完善。部分铁路隧道施工企业缺乏基层管理人员,专业技术人员力量不足,施工人员技术水平较低,安全风险管理人员组织能力弱,以致施工现场工人纪律松散、无知蛮干、有章不循,锚喷支护不合要求或支护不及时、衬砌远落后于掘进、掘进尺度过大,通风除尘不畅等现象时有发生,施工安全难以确保。在铁路隧道施工预算中,也存在一定的问题。如低价取标的意识根深蒂固、无安全风险管理资金费用标准、隧道安全风险管理经费不足或被挪用等等,导致安全事故预警能力弱,一旦发生事故则无法挽救和弥补。
2.4 缺乏合理的安全风险应急预案
缺乏合理有效安全风险应急预案,是当前铁路隧道工程承建方存在的普遍问题。在以往出现的重大安全事故调查中发现,预见性不足、依据经验处理安全事故是承建方的重大缺陷,当突发事件发生时,不合理的应急处置方式使重大的人身伤害和经济损失成为必然。
3 铁路隧道施工安全风险管理的有效措施
3.1 增强安全风险管理责任意识
增强铁路隧道工程管理部门的安全风险管理意识,是确保隧道工程项目安全施工的前提条件。应分事先、事中、事后三个阶段做好安全施工宣传工作,将安全风险责任细分落实到个人并及时跟踪监督。在现场管理中,应提前做好风险监测、信息传达、异常警示、多套风险应对方案的工作,明确施工分配、现场维护、过程检测在工程中的具体实施方法,力促铁路隧道风险管理的科学化和规范化,不断提高现场施工风险管理水平。
3.2 建立安全风险专门管理机构
为确保铁路隧道施工的安全,防范施工风险,铁路相关管理部门应建立安全风险专门管理机构,制定严格的安全风险管理制度,确立风险管理目标,以“安全施工”为原则,把安全风险管理工作责任到人。同时,对于地质、岩土等环境因素较为复杂的隧道工程项目,应进行专项风险评估研讨,选择科学有效的施工技术,制定明确有效的实施方案和多个风险应急预案,在施工过程中严把安全关和质量关,及时监督检查,对发现的安全隐患立即组织整改,防范于未然。
3.3 培养安全风险管理人才
安全风险管理人才是铁路隧道建设工程的决定性因素。在目前安全风险管理人才缺乏的现状下,应重视内部培训和外派深造工作,通过强化技术与管理培训,树立员工终身学习观念,不断提高管理者的专业水平和安全生产知识,打造高素质的安全风险管理人才,担纲施工人员的岗前培训指导工作,在施工中督导施工人员严格遵守安全风险管理的相关法律法规和规章制度,落实施工安全措施,保障隧道工程的质量安全。
3.4 完善安全风险管理体系
安全风险管理体系是通过分析、评价、干预、监督和管理企
业运营各环节中有可能出现损害人身、财产安全的因素,达到预防企业发生安全事故的一种管理方法。因此,铁路隧道管理部门应建立完善的安全风险管理体系,主要包括设计阶段安全风险管理、建设施工阶段安全风险管理、生产阶段安全风险管理和交付使用阶段安全风险管理四部分,特别应对安全风险管理经费以及隧道工程安全风险预测进行设计,使铁路隧道施工过程中的风险控制管理发挥应有的功效,事实证明,这是避免事故发生的有效方法。
4 结束语
安全风险管理是铁路隧道施工管理的关键,其核心是分析、评价危险有害的因素。铁路隧道施工无论是在前期、中期还是后期维护中都可能出现各种突发事件,需要建设参与方以高度的责任心和强烈的安全意识,探索铁路隧道安全风险管理的最佳方案,认真抓好施工中的每个环节,发挥安全生产风险管理体系的作用,才能防范事故安全生产,保证隧道工程质量。
参考文献
[1]李明,王占龙.高速铁路隧道施工风险管理技术探索[J].铁道标准设计,2010,S1:99-103.
[2]李明.高速铁路隧道施工风险管理技术探索[J].隧道建设,2010,02:173-178.
