风险管理的实施步骤篇1
关键词计算机;网络风险;防范模式;防范流程
中图分类号F062.5[KG*2]文献标识码a[KG*2]文章编号1002-2104(2011)02-0096-04
在信息时代,信息成为第一战略资源,更是起着至关重要的作用。因此,信息资产的安全是关系到该机构能否完成其使命的大事。资产与风险是天生的一对矛盾,资产价值越高,面临的风险就越大。信息资产有着与传统资产不同的特性,面临着新型风险。计算机网络风险防范的目的就是要缓解和平衡这一对矛盾,将风险防范到可接受的程度,保护信息及其相关资产,最终保证机构能够完成其使命。风险防范做不好,系统中所存在的安全风险不仅仅影响系统的正常运行,且可能危害到政府部门自身和社会公众,严重时还将威胁国家的安全。论文提出了在选择风险防范策略时如何寻找合适的风险防范实施点并按照实施风险防范的具体过程来进行新技术下的风险防范,从而帮助完成有效的风险管理过程,保护组织以及组织完成其任务。
1计算机网络风险管理
计算机网络风险管理包括三个过程:计算机网络属性特征分析、风险评估和风险防范。计算机网络属性特征分析包括风险管理准备、信息系统调查、信息系统分析和信息安全分析4个阶段。在计算机网络风险防范过程中,计算机网络属性的确立过程是一次计算机网络风险防范主循环的起始,为风险评估提供输入。风险评估过程,包括对风险和风险影响的识别和评价,以及降低风险措施的建议。风险防范是风险管理的第三个过程,它包括对在风险评估过程中建议的安全控制进行优先级排序、评价和实现,这些控制可以用来减轻风险。
2网络风险模式研究
2.1风险防范体系
计算机风险防范模式包括选择风险防范措施(风险假设、风险规避、风险限制、风险计划、研究和了解、风险转移)、选择风险防范策略(包括寻找风险防范实施点和防范控制类别的选择)、实施风险防范3个过程。在实施风险防范的过程中包括对行动进行优先级排序、评价建议的安全控制类别、成本-收益分析、选择风险防范控制、分配责任、制定安全措施实现计划、实现被选择的安全控制,最后还要进行残余风险分析。
2.2风险防范措施
风险防范是一种系统方法,高级管理人员可用它来降低使命风险。风险防范可以通过下列措施实现:
(1)风险假设:接受潜在的风险并继续运行it系统,或实现安全控制以把风险降低到一个可接受的级别。
(2)风险规避:通过消除风险的原因或后果(如当识别出风险时放弃系统某项功能或关闭系统)来规避风险。
(3)风险限制:通过实现安全控制来限制风险,这些安全控制可将由于系统弱点被威胁破坏而带来的不利影响最小化(如使用支持、预防、检测类的安全控制)。
(4)风险计划:制定一套风险减缓计划来管理风险,在该计划中对安全控制进行优先排序、实现和维护。
(5)研究和了解:通过了解系统弱点和缺陷,并研究相应的安全控制修正这些弱点,来降低风险损失。
(6)风险转移:通过使用其他措施补偿损失,从而转移风险,如购买保险。
在选择风险防范措施中应该考虑机构的目标和使命。要解决所有风险可能是不实际的,所以应该对那些可能给使命带来严重危害影响的威胁/弱点进行优先排序。同时,在保护机构使命及其it系统时,由于每一机构有其特定的环境和目标,因此用来减缓风险的措施和实现安全控制的方法也各不相同。最好的方法是从不同的厂商安全产品中选择最合适的技术,再伴以适当的风险防范措施和非技术类的管理措施。
2.3风险防范策略
高级管理人员和使命所有者在了解了潜在风险和安全控制建议书后,可能会问:什么时候、在什么情况下我们该采取行动?什么时候该实现这些安全控制来进行风险防范,从而保护我们的机构?
如图1所示的风险防范实施点回答了这个问题。在图1中,标有“是”的地方是应该实现风险防范的合适点。
总结风险防范实践,以下经验可以对如何采取行动来防范由于故意的人为威胁所带来的风险提供指导:
杨涛等:计算机网络风险防范模式研究中国人口•资源与环境2011年第2期(1)当存在系统漏洞时,实现保证技术来降低弱点被攻击的可能性;
(2)当系统漏洞被恶意攻击时,运用层次化保护、结构化设计以及管理控制将风险最小化或防止这种情形的发生;
(3)当攻击者的成本比攻击得到更多收益时,运用保护措施,通过提高攻击者成本来降低攻击者的攻击动机(如使用系统控制,限制系统用户可以访问或做些什么,这些措施能够大大降低攻击所得);
(4)当损失巨大时,运用设计原则、结构化设计以及技术或非技术类保护措施来限制攻击的程度,从而降低可能的损失。
上面所述的风险防范策略中除第三条外,也都可运用来防范由于环境威胁或无意的人员威胁所带来的风险。
2.4风险防范模式的实施
在实施风险防范措施时,要遵循以下规则:找出最大的风险,然后争取以最小的代价充分减缓风险,同时要使对其他使命能力的影响最小。实施措施通过以下七个步骤来完成,见图2。
2.4.1对行动进行优先级排序
基于在风险评估报告中提出的风险级别,对行动进行优先级排序。在分配资源时,那些标有不可接受的高风险等级(如被定义为非常高或高风险级别的风险)的风险项目应该最优先。这些弱点/威胁需要采取立即纠正行动以保护机构的利益和使命。步骤一输出―从高到低优先级的行动。
2.4.2评价建议的安全控制
风险评估过程中建议的安全措施对于具体的机构和it系统可能不是最适合和可行的。在这一步中,要对建议
图1网络风险防范实施点
Fig.1networkimplementationpointofriskprevention
图2实施风险防范措施流程及其输入输出
Fig.2implementationofriskpreventionmeasuresand
theinputandoutputprocesses
的安全控制措施的可行性(如兼容性、用户接受程度)和有效性(如保护程度和风险防范级别)进行分析。目的是选择最适当的安全控制措施以最小化风险。步骤二输出―可行安全控制清单。
2.4.3实施成本-收益分析
为了帮助管理层做出决策并找出性价比好的安全控制,要实施成本―收益分析。第三步输出―成本-收益分析,其中描述了实现或者不实现安全控制所带来的成本和收益。
2.4.4选择安全控制
在成本-收益分析的基础上,管理人员确定性价比最好的安全控制来降低机构使命的风险。所选择的安全控制应该结合技术、操作和管理类的控制元素以确保it系统和机构适度的安全。步骤四输出―选择好的安全控制。
2.4.5责任分配
遴选出那些有合适专长和技能来实现所选安全控制的人员(内务人员或外部签约人员),并分配以相应责任。步骤五输出―责任人清单。
2.4.6制定一套安全措施实现计划
在这一步,将制定一套安全措施实现计划(或行动计划)。这套计划应该至少包括下列信息:
(1)风险(弱点/威胁)和相关的风险级别(风险评估报告输出)。
(2)建议的安全控制(风险评估报告输出)。
(3)优先排序过的行动(标有给那些有非常高和高风险级别的项目分配的优先级)。
(4)被选择的计划好的安全控制(基于可行性、有效性、机构的收益和成本来决定)。
(5)实现那些被选择的计划好的安全控制所需要的资源。
(6)负责小组和人员清单。
(7)开始实现日期。
(8)实现完成的预计日期。
(9)维护要求。
2.4.7实现被选择的安全控制
根据各自的情况,实现的安全控制可以降低风险级别但不会根除风险。步骤七输出―残余风险清单。
3网络风险防范案例
以某市政府官方门户网络应用系统为例,首先要对网络应用系统进行属性分析,风险评估,然后根据风险评估报告和承受能力来决定风险防范具体措施。
3.1风险评估
该计算机网络应用系统安全级别要求高,根据手工和自动化网络风险评估,结果如下所示:
数据库系统安全状况为中风险等级。在检查的33个项目中,共有9个项目存在安全漏洞。其中:3个项目为高风险等级,占总检查项目的9%;1个项目为中风险等级,占总检查项目的3%;5个项目为低风险等级,占总检查项目的15%。
3.2风险防范具体措施
选择风险防范措施中的研究和了解同时进行风险限制。确定风险防范实施点,该数据库的设计存在漏洞并且该漏洞可能被利用,所以应该实施风险防范。实施步骤如下:
步骤一:对以上扫描结果中的9个漏洞进行优先级排序,确立每个项目的风险级别。
步骤二:评价建议的安全控制。在该网站主站数据库被建立后针对评估报告中的安全控制建议进行分析,得出要采取的防范策略。
步骤三:对步骤二中得出相应的若干种防范策略进行成本收益分析,最后得出每种防范策略的成本和收益。
步骤四:选择安全控制。对上述扫描的9个漏洞分别选择相应的防范策略。
步骤五:责任分配,输出负责人清单。
步骤六:制定完整的漏洞修复计划。
步骤七:实施选择好的防范策略,按表1对这9个漏洞进行一一修复。
表1防范措施列表
tab.1Listofpreventivemeasures
漏洞iD
Vulnerability
iD漏洞名称
Vulnerability
name级别
level风险防范策略
Riskprevention
strategiesaXtSGL1006Guest用户检测高预防性技术控制aXtSGL1008登录模式高预防性技术控制aXtSGL3002审计级别设置高监测和恢复技术控制aXtSGL3011注册表存储过程权限中支持和预防性技术控制aXtSGL2001允许远程访问低预防性技术控制aXtSGL2012系统表访问权限设置低预防性技术控制aXtSGL3003安全事件审计低监测恢复技术控制aXtSGL3004黑盒跟踪低恢复管理安全控制aXtSGL3006C2审计模式低监测和恢复技术控制
4总结
在进行计算机网络风险管理分析的基础上,提出了新技术下的风险防范模式和体系结构,同时将该防范模式成功应用到某市官方网站的主站数据库中。应用过程中选择了恰当的防范措施,根据新技术下风险防范实施点的选择流程确立了该数据库的防范实施点并严格按照风险防范实施步骤进行风险防范的执行,成功地使风险降低到一个可接受的级别,使得对机构的资源和使命造成的负面影响最小化。
虽然该防范模式在一定程度上降低了风险的级别,但是由于风险类型的不可预见性和防范策略的局限性,该模式未必使机构或系统的风险降到最低,因此风险防范有待于进一步改进和完善,这将是一个长期的任务。
参考文献(References)
[1]蔡昱,张玉清.风险评估在电子政务系统中的应用[J].计算机工程与应用,2004,(26):155-159.[CaiYu,ZhangYuqing.RiskassessmentinegovernmentSystem[J].Computerengineeringandapplications:2004(26):155-159.]
[2]张平,蒋凡.一种改进的网络安全扫描工具[J].计算机工程,2001.27(9):107-109,128.[Zhangping,Jiangfan.improvednetworkSecurityScanner.Computerengineering[J].2001,27(9):107-109,128.]
[3]卿斯汉.网络安全检测的理论和实践[J].计算机系统应用,2001,(11):24-28.[QingSihan.networkSecurityDetectiontheoryandpractice[J].ComputerSystemapplication,2001,(11):24-28.]
[4]戴志峰,何军.一种基于主机分布式安全扫描的计算机免疫系统模型[J].计算机应,2001,21(10):24-26,29.[DaiZhifeng,Hejun.HostbasedDistributedSecuritymodeloftheimmuneSystemScantheComputer[J].Computerapplication,2001,21(10):24-26,29.]
ResearchonRiskprecentionmodelofComputernetwork
YanGtao1LiShuren1DanGDepeng2
(1.ComputernetworkinformationCenter,ChineseacademyofSciences,Beijing100190,China;
2.CollegeofinformationScienceandtechnology,BeijingnormalUniversity,Beijing100875,China)
风险管理的实施步骤篇2
关键词:升压试验、危害因素辨识、风险评估、风险控制措施
中图分类号:p435文献标识码:a
1、引言
在天然气进入深圳市以前,主要气源为液态液化石油气经区域气化站或瓶组站强制或自然气化后输入地下燃气管网,LpG管网中压运行压力为0.07mpa,而天然气管网设计运行压力为0.3mpa。为确保转换为天然气后的管网安全可靠性,深圳市燃气集团股份有限公司(以下简称深圳燃气)在转换前对所有地下燃气管道进行升压试验(0.07mpa升至0.3mpa),以检验现役埋地燃气管道及其附属设施(阀门、凝液缸等)是否满足输送0.3mpa天然气的需要。升压试验涉及面广、影响范围大,很有必要事先进行危害分析和风险评估,制定风险控制措施,以确保人员安全、结果的可靠性和升压试验作业顺利,根据试验结果对现役埋地燃气管道作出合理的评估。本文从升压试验作业所要遵循的法律法规着手,运用工作危害分析(JHa)方法对升压试验作业的危害因素进行识别和风险评估,并制定相应的控制措施。
2、法律法规
升压试验作业必须执行国家、行业以及企业有关标准、规定、操作规程和安全制度,主要有:《埋地燃气管网升压试验总则》、《用火动焊规程》、《施工现场用电安全》、《自然气化系统操作规程》、《瓶组站钢瓶更换操作规程》、《地下燃气管网巡检工作规程》等。
3、危害因素辨识和风险评估
对于生产作业活动一般都采用工作危害分析法(JHa)。工作危害分析是一种通过表格形式较细地分析作业过程中存在的危害的方法,把一项作业活动分解成若干步骤,识别每一步骤中的危害和可能的事故,设法消除危害。
危害辨识、风险评估和风险控制策划的步骤如下:
3.1升压试验作业的步骤
升压试验的主要步骤如下:
技术部门确定升压试验作业范围――技术部门和安全管理部门到现场勘察――共同制定试验方案――确定需落实安全的措施――相关部门进行机具材料检查和人员准备――进行升压试验作业――现场安全监护――升压试验作业结束,清理现场等各步骤组成,任何一个步骤出现问题,都可能出现违章,留下隐患,甚至发生事故。
3.2升压试验作业的风险评估模型
升压试验作业的风险评估包括升压试验作业危害发生的可能性,评估升压试验危害及影响后果的严重性和风险评估三个板块组成,升压试验作业危害发生的可能性(L)由偏差发生频率、管理制度及操作规程、员工胜任程度和监测、联锁等设备设施四项内容组成,每次内容分别对应五个“等级”。同样升压试验作业危害及影响后果的严重性(S)也是由对人的危害程度、财产损失、法规及规章制度符合情况和形象受损程度四项内容组成,每一项内容分别对应五个等级。风险评估模型为风险值R=L*S,具体情况如表1、2、3所示。
表1:可能性(L)因素表
等级偏差发生率管理制度及操作规程员工胜任程度(意识、技能、经验)监测、控制、报警、联锁等设施设备
5经常发生没有规章制度或有规章制度但从不执行不胜任(无任何培训、无任何经验、无上岗资格证)无任何措施,或有措施从未使用
4多次发生有,但只是偶尔执行;规章制度有但不完善不够胜任(有上岗资格证,但没有接受有效培训)有措施,但只是一部分,尚不完善
3偶尔发生有规章制度但执行不严一般胜任(有上岗证,有培训,但经验不足,多次出差错)防范控制措施比较有效、全面、充分,但经常没有有效使用
2曾经发生有规章制度但偶尔执行不严胜任,但偶然出差错防范控制措施有效、全面、充分,偶尔失去作用或出差错
1从未发生有规章制度,而且执行状况良好高度胜任(培训充分,经验丰富,安全意识强)防范控制措施有效、全面、充分
表2:危害及影响后果
表3:风险值R=L*S
严重性可能性
1
2
3
4
5
112345
2246810
33691215
448121620
5510152025
3.3升压试验作业危害分析及风险评估
3.3.1事故数据参考和分析
由于公司在此以前从未进行升压试验工作,但各步骤各环节操作都是日常工作有的,如临时供气、巡查、探测等,有关操作规程、标准是符合国家法律法规及其它要求,但在执行中经常出现偏差,如巡查未按规定时间,警戒范围不够等。
3.3.2风险评估
风险控制措施及实施期限见表4
表4:风险控制措施及实施期限
风险度等级应采取的行动/
控制措施实施期限
20-25不可容忍在采取措施降低危害前,不能继续作业,对改进措施进行评估立刻
15-16巨大风险采取紧急措施降低风险,
建立运行控制程序,
定期检查、测量及评估。立即或近期整改
9-12中等可考虑建立目标、建立操作规程,加强培训及沟通2年内治理
4-8可容忍可考虑建立操作规程、作业指导书但需定期检查有条件、有经费时治理
保存记录
根据升压试验作业风险评估模型和参考数据,进行风险评估,具体分析见表5。
表5:工作危害分析(JHa)记录表
工作/任务:燃气管道升压试验区域/工艺过程:市政道路或小区燃气管道
分析人员:日期:
序号工作步骤危害潜在事件或后果现有安全控制措施LS风险度(R)建议改正/控制措施
1安装临时气化装置和临时供气装置连接不严密泄漏或爆燃试漏检查224
2
安装压力表
连接不严密泄漏或爆燃、无法监测试验过程试漏检查224
表不准确无法监测试验过程定期检测133制定规程,要求使用XX次后,必须检测。
3关闭试验段的阀门关闭不严或内漏试验失败放散一段时间后再次关闭阀门236对什么时间关闭阀门需要根据经验来制定规程。
4升压试验过程临时供气不足影响正常供气,遭到投诉236指定专人巡查监督。
钢瓶曝晒泄漏或爆炸、人员伤亡2510采取遮阳措施,特别情况下采取淋水降温。
升压过快不满足试验要求试验方案
法兰松动泄漏或爆燃管网抢修预案224
管道微漏爆燃管网抢修预案224
管道破裂试验失败、爆燃或爆炸应急预案2510抢险人员参与试验作业,抢修车辆、工具设备在场。
行人、车辆以及意外火源等影响试验作业或泄漏燃气爆燃326方案中增加沿线巡查,提醒进入作业场所的无关人员,疏导车辆;增加警示标志等;小区内试验通知增加作业期间居民回避的内容。
5试验结束拆除装置余气挥发职业病伤害414
6试验后巡查巡查不力泄漏或爆燃规定加强巡查236规定时间段、频次、指定人员,严格记录;并增加对邻近管沟等巡查,进行检测的内容。
风险管理的实施步骤篇3
关键词:吊篮作业;风险分析;作业危害分析
theGondolaJobHazardanalysis
abstract:inthispaper,everystepofthegondolaoperatingactivitiesJobHazardanalysisanalysistoidentifypotentialhazardsanddevelopsafetymeasures.thebriefjobhazardanalysisprinciplerecognizedbytheoccupationalSafetyandHealthwillhelpintheimplementationofthespecificjob,andtodevelopcountermeasurestoeliminateorcontrolhazards.Keywords:jobhangingbaskets;riskanalysis;JobHazardanalysis
中图分类号:tU198文献标识码:a文章编号:
1引言
吊篮作业是室外高处作业的常见形式之一,它具有适用范围广、日常作业量大、作业条件危险等特征。对吊篮作业进行风险分析给了安全管理工作者一个新课题、一种新思路。
作业危害分析(JobHazardanalysis,JHa),又称作业安全分析(JobSafetyanalysis,JSa)、作业危害分解(JobHazardBreakdown),是一种定性风险分析方法。实施作业危害分析,能够识别作业中潜在的危害,确定相应的安全措施,提供适当的个体防护装置,以防止事故发生,这种方法适用于涉及手工操作的各种作业。
本着最大限度预防事故发生和最大程度减小事故伤害的目的,本文拟应用作业危害分析的安全评价方法对常见的吊篮作业进行危害分析。
2作业危害分析概述
作业危害分析[1]将对作业活动的每一步骤进行分析,从而辨识潜在的危害并制定安全措施。作业危害分析有助于将认可的职业安全健康原则在特定作业中贯彻实施。这种方法的基点在于职业安全健康是任何作业活动的一个有机组成部分,而不能单独剥离出来。
1、开展作业危害分析的目的
开展作业危害分析能够辨识原来未知的危害,增加职业安全健康方面的知识,促进操作人员与管理者之间的信息交流,有助于得到更为合理的安全操作规程。作为操作人员的培训资料,并为不经常进行该项作业的人员提供指导。作业危害分析的结果可以作为职业安全健康检查的标准,并协助进行事故调查。
2、作业危害分析的主要步骤是:
(1)确定待分析的作业;
(2)将作业划分为一系列的步骤;
(3)辨识每一步骤的潜在危害;
(4)确定相应的预防措施。
3、吊篮作业危险分析过程及对策
3.1分析作业的选择
基于事故可能性和后果严重性的考虑,选择吊篮作业活动作为分析对象。
3.2将作业划分为若干步骤
将吊篮作业活动划分为若干步骤。每一个步骤都应是作业活动的一部分。划分作业步骤之前,应仔细观察研究操作人员的操作过程。观察人通常是操作人员的直接管理者,被观察的操作人员应该有工作经验并熟悉整个作业工艺。观察应当在正常的时间和工作状态下进行。划分的步骤不能太笼统,否则会遗漏一些步骤以及与之相关的危害。同时,步骤划分也不宜太细,以致出现过多的步骤。根据经验,一项作业活动的步骤一般不超过10项,并要保持各个步骤正确的顺序。由此,如表1所示,将吊蓝作业活动划分为确定施工方案及作业存在的危险、培训操作者和方案交底、准备作业用具、在作业区下方划出警戒区、准备进入吊篮、进入吊篮、吊篮内中压管道动焊作业、离开吊篮、清理现场等9个步骤。
3.3辨识危害
根据对作业活动的观察、掌握的事故(伤害)资料以及经验,依照危害辨识清单[1]依次对每一步骤进行危害的辨识。辨识的危害列入分析表1中。
为了辨识危害,需要对作业活动作进一步的观察和分析。辨识危害应该思考的问题是:可能发生的故障或错误是什么?其后果如何?事故是怎样发生的?其他的影响因素有哪些?发生的可能性?以下是危害辨识清单[1]的部分内容:
・是否穿着个体防护服或配戴个体防护用品?
・操作环境、设备及危险的操作是否有有效的防护?
・现场是否有能引起伤害的固定物体,如锋利的设备边缘?
・操作者能否触及带电设备?
・操作者是否会处于失去平衡(失稳)的状态?
・操作者是否管理着带有潜在危险的装置?
・操作者是否需要从事可能使头、脚受伤或被扭伤的活动?
・操作者是否会由于提升、拖拉物体或运送物品而受到伤害?
・作业时是否有环境因素的危害――粉尘、化学物质、放射线、电焊弧光、热、高噪音?
3.4确定相应的对策
危害辨识以后,需要制定消除或控制危害的对策。
确定对策时,应从工程控制、管理措施和个体防护三个方面加以考虑。具体对策依次为:
消除危害消除危害是最有效的措施,有关这方面的技术包括:改变施工工艺、修改现行工艺、以危害较小的物质替代、改善环境(通风)、完善或改换设备及工具。
控制危害当危害不能消除时,采取隔离、防护、工作鞋等措施控制危害。
修改作业程序完善危险操作步骤的操作规程、改变操作步骤的顺序以及增加一些操作程序。
减少暴露这是没有其他解决办法时的一种选择。减少暴露的一种办法是减少在危害环境中暴露的时间,如配戴合适的个体防护器材等,为了减少事故的后果,设置应急设备。
对策的描述应具体,说明应采取何种做法以及怎样做,避免过于原则的描述。根据上述原理,结合施工实际,表1给出了9个步骤对应的安全对策。
表1吊篮作业危害分析表
结束语
(1)风险分析给了安全管理工作者在具体到某一个特种作业某一环节安全管理新思路,具有较强的预防和减少事故发生的作用。
(2)职业安全健康是任何作业活动的一个有机组成部分,而不能单独剥离出来。
参考文献:
风险管理的实施步骤篇4
[关键词]油田企业;HSe;基层;危害辨识;风险控制
中图分类号:tp311.52文献标识码:a文章编号:1009-914X(2015)20-0235-01
一、HSe风险管控工作中存在的亟待解决问题
过去由于受认知所限,HSe风险管控存在着主体责任不明、方法缺乏、标准不统一、与生产实际结合不紧密等问题,主要表现在:危害辨识、风险评估和控制由安全环保管理人员负责,基层风险管理没有落实直线责任,没有实现全员参与。危害辨识、风险评估缺少适用于基层、针对不同专业特点的方法。危害因素描述、风险等级划定执行标准五花八门,难以统计、分析。危害辨识、风险评估和控制与隐患排查治理,规章制度、操作规程和应急处置程序制修订,以及基层HSe培训、HSe监督检查等脱节。这些问题是HSe风险管控工作中最大的“风险点”和“出血点”,如不采取有效措施加以解决,很难保证企业安全发展、清洁发展。
二、开展基层HSe风险管控的研究
基层是企业的基石,也是安全环保管理的重点,因此抓HSe风险管控首先要从基层入手,首先要明确基层各级管理者的责任。站队长作为基层行政最高管理者,承担危害辨识、风险评估和控制的第一责任,对基层风险管控全面负责。基层安全管理人员是基层HSe管理的咨询师、培训师,承担危害辨识、风险评估和控制的咨询、辅导和监督工作。其他管理人员按照直线责任组织和开展危害辨识、风险评估和控制工作。岗位员工按照属地管理要求,在从事生产作业和其它相关活动时,预先或按规定时间、规定周期和方法进行危害辨识、风险评估和控制。通过明晰和落实责任,保证了危害辨识、风险评估和控制工作做到全员参与、分工负责。
技术路线:以风险控制为核心,根据集团公司“识别、评估、控制和应急”四条风险管理基本框架,立足于基层,着眼于各层面,从行为安全、工艺安全、系统安全入手,应用工作前安全分析(JSa)、工作循环分析(JCa)等工具,按照每个操作项目、单台设备辨识危害,运用简捷方法评估风险,探索适用于油气田的危害辨识、风险评估与控制的方法、标准和程序,解决风险管控存在的瓶颈问题,补齐短板,建立融操作、设备设施和系统管理于一体的HSe风险管控系统。
本着“从实践中来、到实践中去”的原则,总结工作经验,发挥基层员工积极性和创造性,制定了《基层危害辨识、风险评估与控制指南》和《典型危害分类和术语》、《典型危害因素描述规范》标准,明确基层站队各级人员开展危害辨识、风险评估与控制的职责,规定单元划分、操作及设备设施危害辨识、风险评估的工作流程和方法,统一、规范危害辨识、风险评估和控制的基本术语,固化基层风险管控模式,指导基层有效开展风险管控工作。
三、从岗位入手划分单元,确保危害辨识与岗位相符
在危害辨识前首先应开展岗位设置情况调查,根据每个岗位的工作性质和职责,对负责管理的工作区域、工艺流程、设备设施进行梳理,划分管理单元。针对每个管理单元,按照生产运行、工艺流程及设备设施管理要求,确定操作项目和管理的设备设施,确保危害辨识目标、过程和结果相统一。在划分危害辨识单元过程中,充分考虑采油、集输和修井专业各自的特点,采用了不同的单元划分方法,如采油、集输应以设备为主线结合工作任务划分单元;修井应以工序为主线结合工艺的方式划分单元,为系统辨识各专业危害奠定了基础。各站队工艺、设备、技术管理人员、生产骨干等组成危害因素辨识与风险评价小组,以生产工艺过程、工作区域、工作任务为主线,列出所有的工艺环节、操作工序和作业活动,划分出一至四级作业活动单元。岗位员工参照操作规程、工艺流程、生产参数、设备说明等,对最末级单元操作步骤进行分解,具体到开关阀门、检测仪表、拆卸法兰等操作节点,建立《作业活动清单》,然后再对本单位作业活动所涉及的所有相关设备设施进行调查统计,建立《设备设施清单》,作为风险识别的重要依据。
在充分考虑“人、机、料、法、环”各方面因素的条件下,以操作步骤和设备部件为抓手,开展危害辨识。应用工作前安全分析(JSa),对每个操作项目进行操作步骤分解,按每个步骤的操作动作、涉及设备设施和以往发生事故事件辨识危害。应用安全检查表法(SCL),把单台设备设施按照由内到外、从上到下拆分成若干部件,结合设备设施生命周期,辨识每个部件可能存在的缺陷或偏差及带来的危害。首先,由班组长组织进行工作前安全分析,识别每个作业步骤中可能存在的不安全行为和不安全状态。然后,由每名员工识别自身岗位所存在的风险,并依据个人经验进行初步风险评价。最后,各站队危害因素辨识与风险评价小组针对各班组识别情况,通过查阅操作规程、作业指导书、“三违”记录、相关事故(事件)分析报告、现场观察等方式,对每个作业步骤中可能存在的危害因素进行再识别、再确认,进行再评价。
针对辨识出的危害,采用便于基层员工掌握的经验法评估风险。考虑员工在本岗工作时间较长,操作经验丰富,成立由管理人员、技术人员和操作骨干组成的评估小组,结合以往发生的事故、未遂事件、违章及发现的隐患进行分析,集体讨论判定风险等级。针对经验法难以评估的风险,采用矩阵法进行评估;针对复杂的工艺流程或生产装置,采用危害可操作性分析(HaZop)进行风险评估。各站队根据风险评价的结果,对照操作规程、制度标准等进行有效性分析,将风险提示、操作标准、制度要求、应急处置等融入到每个操作步骤中,实行标准化操作,并对管理方案、规章制度、作业指导书、现场检查表、教育培训、监督检查等进行补充完善。
按照中油集团公司“辨识、评估、控制、应急”风险管理四原则,根据存在风险确定应急种类和范围,针对重大风险制定应急预案,从现场可操作和技术措施出发,修订应急完善处置程序,使处置程序既具有可操作性,又便于员工掌握。各站队利用岗位练兵、班前会和交接班等时机,按照每次工作任务的具体操作步骤,结合识别出的风险和操作规程,组织员工不间断地反复讲风险,分享风险内容,使岗位风险入脑、入心,“动手之前先动脑,操作之前先思考”。
把HSe风险管控作为员工培训的基础性内容,让每名员工认知风险,掌握危害辨识、风险评估和控制的方法,并运用到工作实际中。根据操作规程制修订完善岗位“需求型”培训矩阵,使矩阵与操作技能要求、操作规程与风险管控相统一。通过这些措施,岗位员工主动参与安全工作的积极性大幅提升,即便是文化水平不高的老员工,也都争先恐后,以口述的方式讲述身边的风险,实现了由“岗位操作者”向“属地管理者”的转变。
四、结语
通过开展HSe风险管控系统建设,使我们深刻体会到:风险管控的过程就是HSe管理体系有效运行的过程;落实风险管控职责就是落实岗位HSe职责;只有在基层HSe风险管控方面狠下功夫,把风险管控融贯于各个管理环节,才能以基层HSe风险管控推进企业风险分级防控,有效提升HSe管理绩效和能力,建立安全环保的长效机制,实现企业的安全发展、清洁发展。
风险管理的实施步骤篇5
1风险分析的柜架
风险分析(riskanalysis)是最近30年间发展起来的一种的系统化、规范化方法,旨在为食品安全决策提供参考。国际粮农组织和世界卫生组织将风险分析定义为“由风险评估、风险管理和风险交流3个部分组成的一个过程”。“危害”和“风险”是风险分析的2个基础概念,危害是指食品中存在或因条件改变而产生的对健康不良作用的生物、化学和物理等因素,风险是指食品中的危害因子产生对健康不良作用和严重后果的概率函数。风险分析的内容具体为通过对影响食品安全的各种物理、化学和生物危害进行鉴定,定性或定量的描述风险的特征,在参考有关因素的前提下,提出和实施风险管理措施,并与利益攸关者进行交流。风险分析框架(见图1)形象描述了食品安全风险分析的整个过程,更进一步的信息请参考Fao/wHo的食品安全分析出版物。
2风险评估
作为风险分析的核心环节,风险评估(riskassessment)是对食品中各种危害的风险高低进行科学评估的过程,包括危害识别、危害特征描述、暴露评估和风险特征描述4个步骤;风险评估是风险管理,即政府制定和实施食品安全控制措施(包括法规、标准和监督)的科学基础,也是风险交流的重要信息来源与依据。
3风险管理
风险管理(riskmanagement)是根据风险评估的结果,考虑风险评估结果与其他保护消费者健康和促进贸易公平的相关因素,通过与所有利益相关方会商,权衡各种备选政策措施的过程;其目标是形成一系列的食品安全标准、指南和建议。风险管理可以分为4个部分:风险评价、风险管理选择评估、执行评估、监控和回顾。
险交流
根据CaC的定义,风险交流(riskcommunication)是指在风险分析过程中就危害、风险、风险相关因素和风险认知在风险相关各方中(包括风险评估者、风险管理者、消费者、业界、学术团体和其他利益相关方)相互交换或交流有关信息和观点的过程,其内容包括对风险评估结果的解释和制定风险管理政策的依据。进行风险交流的要素包括:风险的性质、利益的性质、风险评估的不确定性以及风险管理的选择。从风险管理的过程来看,风险交流是风险评估结果和风险管理意见的传递及表现形式,也是风险管理的延伸。综上所述,风险评估、风险管理、风险交流3部分相互依赖,并各有侧重,组成了一个相互补充且高度统一的连续、动态整体。风险评估是整个风险分析体系的核心和基础,强调所引入的数据、模型、假设的科学性;风险管理是政府机构根据风险评估结果制定相应的政策和采取管理措施,注重所出的风险管理决策的实用性;风险交流是食品安全利益攸关者之间交换意见的过程,强调在风险分析中的信息互动。
食品安全风险评估
1风险评估的步骤
CaC对风险评估的定义是“对特定时期内因对某一危害的暴露而对生命和健康产生潜在不良影响的特征性描述”。通常包含危害识别、暴露评估、危害特征描述和风险特征描述4个基本步骤(见图2)。具体为利用现有的资料,对食品中某种生物、化学或物理因素的暴露对人体健康产生的不良后果进行鉴定、确认和定量。继危害识别之后,这些步骤的执行顺序并不固定;通常情况下,随着数据和假设的进一步完善,整个过程要不断重复,其中有些步骤也要重复进行。
2危害识别
危害识别是识别可能对人体健康和环境产生不良效果的风险源(可能存在于某种或某类食品中的生物性、化学性和物理性风险因素),并对其特性进行定性、定量描述的过程。识别危害因素的主要方法包括流行病学研究、毒理学研究、食源性疾病监测、食品污染物监测等。流行病研究资料是危害与人体健康损害关系最直接、确切的反映,但成本昂贵且数据较难获得,因此在实际工作中毒理学研究(特别是动物试验)往往是危害识别的主要依据。
3危害特征描述
危害特征描述是定性和(或)定量的评价与食品中可能存在的生物、化学和物理因素有关的健康不良效果的性质。一般来讲,在此步骤应建立消费环节中食品危害不同暴露水平与各种不良健康影响可能性之间的剂量-反应关系。可以用来建立剂量-反应关系的资料类型包括动物毒性试验、临床人体暴露研究以及由疾病调查得到的流行病学数据。大多数情况下是使用毒理学或流行病学数据来进行主要效应的剂量-反应关系分析及数学模型的模拟。合理的剂量-反应关系的建立与分析取决于可得的实验室数据(如剂量水平、毒性或有害反应测量终点等)和所采用的数学及统计学方法。通过剂量-反应模型分析,可获得基于健康水平的推荐量值,如每日允许摄入量(aDi)、暂定每日可耐受摄入量(ptDi)、暂定每周可耐受摄入量(ptwi)和急性参考剂量(aRfD)等;与暴露评估结合还可以对危害因素的暴露边界值(moe)急性估计,量化在特定暴露水平下的风险/健康效应。
4暴露评估
暴露评估是指对于通过食品可能摄入和通过其他有关途径接触的生物性、化学性和物理性因素的摄取量的定性和(或)定量评价。暴露评估所需的基本数据为食品中微生物、化学物或物理性危害因素的含量及食品消费量。根据所关注的不良健康影响的不同,膳食暴露评估可分为急性暴露评估和慢性暴露评估,对化学性危害因素的评估通常是考虑慢性暴露(评估整个生命周期内的每日暴露状况),对于某些污染物、农残和兽残等则还要考虑急性暴露(主要针对24h内食品中有害因素的暴露情况进行评估)。通过比较膳食暴露结果和相应的化学性危害因素的健康指导值,可确定该危害因素的风险程度。而微生物暴露评估主要是描述在消费当时的食品中致病性微生物的分布及消费量,通常针对一种受污染食品的单一暴露。在消费过程中各类环境条件(如温度、湿度等)甚至是存放时间都可使致病菌危害水平发生显著变化,因此会增加评估的复杂性。
5风险特征描述
风险特征描述是指根据危害识别、危害特征描述和暴露评估这3个步骤的结果,对某一给定人群的已知的或潜在健康不良效果的发生可能性和严重程度进行定性和(或)定量的估计,其中包括伴随的不确定性。对于有阈值的化学物,人群危险性取决于暴露量与aDi、ptDi、ptwi等测量值的比;对于没有阈值的化学物则需要计算人群危险性,即评价根据摄入量估计出所增加的癌症病例数是否是可以接受的(不构成危险)或不可接受的(构成危险)。微生物的风险估计可以是定性描述,如把某种致病菌的风险分为高、中、低3个等级;也可以表述为定量形式,如每份食品中风险的累计频数分布、目标人群每年发生的风险、不同食品或致病菌的相对风险等。风险特征描述还需要说明风险评估过程中每一步所涉及的不确定性,将动物实验的结果外推到人可能存在质和量两方面的不确定性,在实际工作中,这些不确定性可以通过专家判断和进行额外的实验(如人体试验)加以克服。
食品安全风险评估结果的应用
风险评估结果可以用于制(修)订食品安全标准和制定其他管理措施、确定国际食品安全监管优先领域、评估监管措施实施效果,并为风险交流提供科学信息。例如,对各种危害因素的评估得出的健康指导值是作为制定食品标准安全指标限值的依据,CaC明确规定在制定食品法典标准时必须以风险评估结果为依据;wHo的SpS协议也规定,各国食品安全标准制订应以风险评估为基础。另外,把风险评估和经济学评估结合起来可确立用于决策的单一模型,这些模型能够将评估结果、健康影响、经济成本和其他成本等转换成可以直接比较的单位(如美元、伤残调整寿命年或质量调整寿命年),以便于对风险管理者决策产生的后果进行更真实的描述。
国内外风险评估工作概况
1国际及其他国家的风险评估工作开展现状
目前国际上正对食品中化学性污染物、生物性污染物、食品添加剂、营养素补充剂等均已建立相应的评估方法。表1列出的是主要的国际专家组织。虽然尚未有专门开展营养素评估的机构,但在2005年日内瓦会议上CaC通过了《建立营养素和相关物质的可耐受最高摄入量的模型》,标志着以科学为基础,制定营养素及相关物质安全摄入量上限工作的开始。各个组织所开展过的评估工作及其工作报告可在其官方网站进行浏览。即使国际组织已经对多种危害因素进行了评估,但鉴于国民健康状况、生产加工工艺及食品消费模式的差异,每个国家都需要开展本国的风险评估工作,才能制定适合国情、保障国民健康的食品安全标准等风险管理措施,并在国际贸易中争取更有利的条件。欧盟、美国、澳大利亚、日本等先进国家与地区都已设置了专门的评估机构(见表2)。美国是最早把风险分析引入食品安全管理领域的国家之一,可以开展食品安全风险评估的机构非常多,表中列出了其最主要的几个部门。
2我国食品安全风险评估工作开展现状
风险管理的实施步骤篇6
【关键词】信息系统;安全风险;win2003;加固方案
theStudyofwin2003SafetyStrengtheningScheme
LiHuan-shuangpanpingLuoHui
(CollegeofComputerScience&information,GuizhouUniversityGuizhouGuiyang550025)
【abstract】informationsystemsecuritystrengtheningessenceistosolvetheinformationsystemsecurityriskassessmentprocesswasfoundintheinformationsysteminthepresenceofpotentiallypreventable,canbecontrolled,canavoid,cantransferthesecurityrisks,accordingtothenationalrelatedstandardtocarryonthereasonablesafetyconfiguration,inordertoimprovethesafetyofoperatingsystemoperation.FromthesecurityofthemostbasicBaselineSecurity–technicalmanagementofwin2003serverpresentsasafetystrengtheningscheme.
【Keywords】informationsystem;securityrisk;win2003;strengtheningscheme
0引言
随着全球信息化进程的不断推进,网络安全问题已成为信息安全领域探讨和研究的热点问题。目前,信息安全风险评估项目已经提升到一定的高度,通过评估尽早认识、发现和解决问题,防患于未然。
操作系统是一个平台,要支持各种各样的应用,用的人越多,找出漏洞的可能性越大;用的越广泛,漏洞曝光的概率就越大。黑客攻击防火墙或内部主机,一般都是先攻击操作系统。我国绝大多数的计算机安装了win2003操作系统,win2003操作系统也是安全加固人员最有可能遇到的操作系统。任何信息系统都存在安全风险,在针对win2003系统安全加固的过程中,加固人员通常根据系统本身的特点确定相应的安全加固方法,使系统残余风险降低到可接受的范围内。
1win2003安全加固背景
通过对2011年重大安全事故回顾,信息系统安全加固方案的提出成为一项势在必行的事情。安全加固人员通过分析对win2003安全加固的目的和意义,实施安全加固的依据和具体的安全加固流程来细化整个方案。
此加固方案的设计依据是国家相关信息安全服务器操作系统测评要求,结合信息系统安全风险评估报告所发现的潜在安全隐患(如表1所示)而设计。
信息系统安全加固的目的是对信息系统安全风险评估活动中发现的潜在风险进行安全操作,在综合考虑成本与效益的前提下,通过安全措施来控制风险,使残余风险降低到可接受的范围内。通过对win2003安全加固可以进一步改善其所在网络环境,保证系统信息正常传输及网络设备正常运行。
2win2003安全加固方案
为了有效地减轻、转移、分散、规避信息系统中的潜在安全风险,安全加固方案以对最基本的技术管理的潜在风险进行安全设置为例,使之达到系统的基本安全要求,减轻系统的安全风险。
2.1win2003安全加固流程及步骤
图1为win2003服务器安全加固流程图。用户对于流程的了解总是多于对其他策略和标准的了解,这是因为流程所提供的流程就是实施安全工程各个环节的操作细节。由图可清晰看出整个安全加固过程的操作环节。
根据win2003服务器安全加固流程得出安全加固步骤,如表2所示;同时我们以贵州省某厅级单位win2003服务器安全加固为例,来说明理论方法的可行性。
安全加固是一种战略性考虑。主要包括六个步骤,即应急响应、数据备份、杀毒与补丁、进行安全配置、再次杀毒、进行测试。应急响应是整个信息安全加固过程的准备阶段。简单对安全配置中的注册表配置的必要性进行阐述,注册表是windows系统的核心,是一个有层次结构的庞大数据库,存储着系统本身以及所有硬件、软件和组件的信息。修改注册表可达到开启远程终端的目的,而且使用这种方法有很大的优势,无须上传任何文件,适用于win2003系统。因此加固人员应关注对注册表的安全配置。
2.2案例分析
根据2011年某月对贵州省某厅进行的非信息系统安全风险评估报告所发现的安全隐患,结合《GB/t25063-2010信息安全技术服务器安全测评要求》,如下所示依次进行win2003服务器安全加固。
1)加固人员自带针对win2003系统的应急响应预案。
2)首先在贵州省某厅机房管理员以及第三监理方共同陪同下,加固人员对贵州省某厅局5台win2003服务器进行数据备份,本地备份和异地备份。
3)对5台win2003服务器启用瑞星杀毒软件进行全盘杀毒,结果显示无高风险漏洞存在。
4)具体加固事项。
①账户安全策略配置。
步骤:开始——控制面板——管理工具——本地安全策略——账户策略——密码策略
密码复杂性要求启用
密码长度要求8位
(此项配置完由安全管理员进行密码重新设置)
步骤:开始——控制面板——管理工具——本地安全策略——账户策略——账户锁定策略
账户锁定阈值3次
账户锁定时间30分钟
账户锁定计数器30分钟
②本地策略。
步骤:开始——控制面板——管理工具——本地安全策略——本地策略——审核策略
审核策略更改成功、失败
审核登录事件成功、失败
审核对象访问失败
步骤:开始——控制面板——管理工具——本地安全策略——本地策略——安全选项
关机:清理内存页面文件启用
③注册表安全配置。
a)抑制Dr.watsonCrash
HKeY_LoCaL_maCHine\Software\microsoft\Drwatson\CreateCrashDump(ReG_DwoRD)0
b)用星号掩藏任何的口令输入
HKeY_LoCaL_maCHine\Software\microsoft\windows\CurrentVersion\policies\network\HideSharepwds(ReG_DwoRD)1
c)源路由欺骗保护
HKeY_LoCaL_maCHine\System\CurrentControSet\Services\tcpip\parameters\DisableipSourceRouting(ReG_DwoRD)2
d)防止SYnFlood攻击
HKeY_LoCaL_maCHine\System\CurrentControSet\Services\tcpip\parameters\Synattackprotect(ReG_DwoRD)2
e)防止碎片包攻击
HKeY_LoCaL_maCHine\System\CurrentControSet\Services\tcpip\parameters\enablepmtUDiscovery(ReG_DwoRD)1
f)SYn攻击保护-管理tCp半开sockets的最大数目
HKeY_LoCaL_maCHine\System\CurrentControSet\Services\tcpip\parameters\tcpmaxHalfopen(ReG_DwoRD)100或5001F4
④关闭不必要的服务。
步骤:开始——控制面板——管理工具——服务
alerter禁用
ComputerBrowser禁用
internetConnectionSharing禁用
RemoteRegistryService禁用
telnet禁用
⑤对实施安全加固的服务器进行再次杀毒,无异常发生。
⑥通过重启服务器对残余风险进行评估,无异常发生。
3结论
信息系统安全风险评估是一项不断更新的动态的活动,随着科技的进步和各类软件的更新,攻击人员技术水平的提高,对win2003安全加固的工作也要持续不断的改进。为防止重大安全事故的发生,建议定期对网络环境进行人工检测和软件扫描,加强对win2003安全加固方案的改善,确保网络运营环境的安全。
参考文献
[1]武春岭,李贺华.信息安全产品配置与应用[m].北京:电子工业出版社,2010;118-119.
[2]范红.信息安全风险评估规范国家标准理解与实施[m].北京:中国标准出版社,2008;1-2..
[3]YusufBhaiji,CCie#workSecuritytechnologiesandSolutions[m].北京:人民邮电出版社,2011;6-8.
[4]杨永川,顾益军,张培晶.计算机取证[m].北京:高等教育出版社,2008:191-195.
[5]肖遥.网络渗透攻击与安防修炼[m].北京:电子工业出版社,2009;438.
基金项目:
教育部信息安全类教育教学改革项目(no:JwZ201011)。
作者简介:
李换双(1986-),女,硕士研究生;主要研究方向:信息安全。
风险管理的实施步骤篇7
关键词:建材价格;风险管理;风险因素;风险应对
1建材价格风险管理概述
风险管理过程分为风险识别、风险评估以及风险应对三个主要方面。科学、有效地风险管理,一般是把各种风险影响因素按其影响程度进行优先次序的排序,把其中最有可能发生严重性危害的影响因素放在首位,进行优先防范与处理,把风险影响较低的因素排在后面,较后进行处理。在建材价格风险管理过程中,这个优化的过程通常难以决定,有时风险因子相对较高的影响因素其可能发生的概率并不是很高,所以,在建材价格风险管理的过程中,也要仔细权衡二者的比重,以此得出最合理的决策。
2建材价格的风险因素分析
无论是建材供应方还是使用方,都需要认真分析建材价格对工程的影响,在保持高度的敏感性的同时,对各种能够引发建材价格波动的影响因素做出正确的风险分析,做好建材价格的预判,不断增强对建材价格的风险管理意识。
2.1经济、市场风险。经济因素风险是引发建材价格风险的主要方面,其影响范围最大。从经济学理论看,建材商品的价格波动涉及其在市场上的供求关系、原材料市场、替代品的数量及价格等。同时,建材商的选择、材料购款支付方式等因素也会不同程度地发生影响。另外从更大范围来看,建材市场的恶性竞争以及进口材料的汇率波动等因素,都会引发不同程度的价格风险。
2.2自然环境风险。自然环境对建材价格的影响,主要体现在自然灾害和自然环境的局限性方面。一方面,自然灾害是指是指因自然力的不规则变化产生的现象所导致危害经济活动,其突发性和多样性,使建材的价格变得很复杂,且难以预测建材的价格变动。另一方面,一些商人对一些源自于自然环境的建筑材料过度开采,同时替代品市场也还的尚未成熟,这就导致部分建材的价格直线上升。
2.3合同风险。在有些工程合同中,项目因素等未考虑周全,文字的措辞不严谨以及涉外工程项目翻译版本的差异等,都会不同程度地引发项目工程的造价风险。另外在部分招标投标合同中,中标时确定的金额、经审批的概算投资中与承包内容相应部分的投资(包括相应的不可预见费)等多种不同的工程造价定额计算方法,都会引发巨大的价款差额。且只要合同引发的价格风险发生,其影响结果也就很难再进行挽回。
2.4政策制度的因素风险。政治制度会对建材价格产生直接或间接影响。20世纪90年代以来,我国逐步确立起市场经济体制、逐渐与世界接轨。伴随而来的经济危机和财政赤字、通货膨胀等问题,直接导致建材价格的快速上涨。政策的调控、变化是根据经济形式以及环境的变化动态进行的,这就可能导致工程项目开始和结束时建材价格的不一致性,且这种风险很难避免。
2.5其它因素风险。造成建材价格的风险因素除了上述的一些具体原因外,还包括项目所在国的政治因素、社会环境因素以及法律因素,甚至是某些当前还没有引起人们足够重视的其它各类隐性因素等,都会对建材价格的浮动造成巨大影响。因此,一定要科学分析造成价格风险的各种因素,以采取具体步骤进行建材价格风险管理。
3建材价格风险管理的具体步骤
建材价格风险管理具体分为因素总结、因素识别、后果评价、制定措施、及时控制和结果检查几个步骤,且该具体步骤是循环往复的。以下主要概括为建材价格的风险识别、风险分析和风险应对三个主要方面进行阐述。
3.1建材价格的风险识别。这一步骤是整个建材价格风险管理过程的开端。风险识别即是指,准确确定哪一种风险可能会对建材的价格产生影响。这就需要对引起建材价格的风险因素进行总结与分析,找出具体的风险因素,并对其影响程度进行准确把握。
3.2建材价格的风险分析。风险分析需要在客观的调查数据、准确预测和科学估计的基础上进行,同时需要对竞争对手情况以及自身承受能力与期望进行主观判断与把握。而由上述可知,建材价格受到各个领域的影响,通常难以使用一种单纯的标准和方法对建材价格的风险因素进行准确、合理的评估。虽然建材供应商和使用方都很重视建材价格风险的影响,但是都难以用一种科学的方法对其所引发的风险进行有效的评估。当前工程项目风险评价的方法主要有定性评价方法以及定量评价方法。前者主要包括调查分析法、专家评分法、层次分析法以及蒙特卡洛法等;后者主要包括模糊数学法、敏感性分析法、随机网络法盈亏平衡分析法以及决策树法等。建材价格的风险分析,需要根据建材市场的实际情况,综合选择、运用以上定性和定量分析方法,以对建材价格的风险程度进行准确的判断。
3.3建材价格的风险应对。建材价格的风险应对就是指在科学确定影响建材价格波动的众多风险因素后,准确分析其引发风险的概率与影响程度,在此以基础之上,根据每种风险性质与决策主体所具备的各种风险的承受能力所制定出的回避、承受、降低或者分担风险等的相应防范计划。在这一过程中,一般需考虑价格风险因素的可转移性、可规避性、可缓解性以及可接受性,其具体措施包括风险规避、风险降低、风险转移以及风险自留四类。
首先,风险规避主要通过及时变更价格计划,来消除风险或消除风险发生的条件,以此切断风险的发生,主要分为事先控制和事后补救。对于超出规避范围内的价格风险,可以通过事先借助防范风险的措施来降低价格风险发生的概率,即风险降低。其次,风险转移是通过合同或非合同的方式,将风险转嫁给另一个单位或部门的风险处理。主要包括财务型非保险转移与财务型保险转移。最后,风险自留是把价格风险保留在风险管理主体内部,借助内部控制措施来降低风险,或对价格风险不采取任何措施。
综上所述,建材价格的风险管理涉及到经济、自然、合同和政策制度等多种风险因素的干扰,需要整合整个工程项目的进度、质量等各方面的风险因素进行严谨、全面的识别与分析,准确比较每种风险因素的严重性,然后采取科学适当的风险应对策略,把发生建材价格风险的概率和后果严重性降到最低程度。
参考文献
[1]徐悦.基于系统分析方法的建材价格风险管理研究[D].上海交通大学,2013.
[2]费海鑫,何静.建材价格异动对固定价格合同履行影响的研究[J].工程管理学报,2010(04).
[3]冯闻,胡昊.浅析主要建材价格变化对房价的影响[J].建筑施工,2006(01).
[4]柳国军.保障性住宅建材的成本控制与风险管理[J].住宅科技,2009(04).
风险管理的实施步骤篇8
当前,中国大部分的环境风险评价和管理一般仅限于某一具体的工程建设项目,不涉及政府部门的总体发展规划或某一领域的发展计划,这样常常导致政府在制定规划或决策时,很少或甚至没有考虑过其环境风险的影响[1]。然而,项目环境风险评价的对象及时间、空间的范围过窄,难以影响决策。
任何一个决策必然会通过各种途径对环境产生作用,而决策失误的环境影响具有长期性、复杂性和不可弥补的严重性[2]。历史教训告诉我们,如果决策时不考虑环境风险问题,往往会造成灾难性的后果。由于决策失误造成的风险往往是十分重大的,比项目造成的风险大得多。因此,如何避免决策在环境风险上的失误,决策环境风险评价成为了一种必不可少的工具。目前世界上利用相关决策风险理论在决策层面进行环境风险评价,并以此作为决策参考依据的相关研究仍然有限[3]。
本文对环境风险评价的基本概念、发展历程以及主要的技术路线和方法作了简要介绍,在此基础上结合比较风险评价的概念,总结了决策环境风险评价的应用状况,指出当前相关研究中存在的主要问题。
1 环境风险评价的发展及其常用的技术路线与方法
1.1 环境风险的概念和类型
1.1.1 概念
毛小苓和刘阳生认为:传统的环境风险评价广义上是指对人类的各种社会经济活动所引发或面临的危害(包括自然灾害)对人体健康、社会经济、生态系统等所造成的可能损失进行评估,并据此进行管理和决策的过程;狭义上传统的环境风险评价常指对有毒有害物质(包括化学品和放射性物质)危害人体健康和生态系统的影响程度进行概率估计,并提出减小环境风险的方案和对策[4]。
1.1.2 类型
传统的环境风险评价(environmentalRiskassessment,eRa)按风险源划分一般分为三类:自然灾害风险评价、有毒有害化学品环境风险评价、生产过程与建设项目的环境风险评价[5]。目前应用的比较多的有事故风险评价、健康风险评价、区域性综合环境风险评价、自然灾害风险评价以及生态风险评价[3]。除此之外,另外一种应用于决策层面的风险评价类型——比较风险评价(ComparativeRiskassessment,CRa)是一种在通过风险的分析并确定优先风险的基础上,为决策的选择和改善提供服务的一种工具。
1.2 环境风险评价的发展历程
1.2.1 国外
环境风险评价兴起于20世纪70年代,发达的工业国家,特别是美国的研究尤为突出[6]。国外环境风险评价的发展大致分为以下三个阶段。第一阶段:20世纪30年代到60年代,风险评价处于萌芽阶段,主要采用毒物鉴定方法进行健康影响分析,以定性研究为主,直到1960年代,毒理学家才开发了一些定量的方法进行低浓度暴露条件下的健康风险评价;第二阶段:20世纪70年代到80年代,环境风险评价研究处于高峰期,评价体系基本形成,主要研究集中在事故和健康风险评价方面;第三阶段:20世纪90年代以后,随着事故与健康风险评价不断发展和完善,生态风险评价和区域性综合环境风险评价逐渐成为新的研究热点。
20世纪80年代末以后,随着事故风险评价、健康风险评价、生态风险评价和区域性综合环境风险评价不断发展和完善,在决策层面上开展环境风险评价并以此来支持决策方面的研究也逐渐受到重视,但相关的研究仍然很少。其中与决策风险评价相关并具有代表性的是CRa的提出和应用。
1.2.2 国内
中国的环境风险评价研究起步于20世纪90年代,且主要以介绍和应用国外的研究成果为主,还没有一套适合中国的有关风险评价程序和方法的技术性文件[7]。1990年代以后在一些部门的法规和管理制度中已经明确提出风险评价的内容。具有代表性的是2004年国家环保局颁发了《建设项目环境风险评价技术导则(HJ/t169-2004)》。国内到目前未见有关CRa的研究成果。
1.3 传统环境风险评价的技术路线和方法
传统环境风险评价常用的技术路线和方法如下:
(1)健康风险评价的技术路线多采用:①危害判定→②剂量-反应评估→③暴露评估→④风险表征(可接受水平)→⑤风险管理措施[8-10]。
(2)事故风险评价的技术路线:在核电、油库和石油化工风险方面一般步骤是:①历史数据分析→②风险识别和危害分析→③概率的估算和后果预测→④风险的计算和评价→⑤事故预防措施和应急方案[11-12];有毒有害物质污染的风险评价的一般步骤与健康风险评价相似:①风险识别→②源项分析→③暴露-剂量计算→④风险评价和表征→⑤风险管理和应急措施[13-14];在海上事故和船舶溢油风险评价方面的一般步骤为:①回顾性评价→②风险源识别→③预测未来船舶发展数→④估算风险概率值和理论值→⑤分析和估算影响和范围→⑥提出管理的措施[15-16]。
(3)自然灾害风险评价技术路线的一般步骤为:①致灾风险(因子的识别和分析→②承灾体易损性的评价→③自然灾害风险损失的评估→④灾害风险的管理。
(4)区域综合环境风险评价的一般步骤为:①搜集工程资料→②源项分析→③环境风险识别和危害后果评估→④单个风险因素评价→⑤风险综合评价→⑥环境风险管理。
传统环境风险评价研究常用的评价方法有:故障树分析法、决策树法、层次分析法、情景分析法、模糊综合评价法、蒙特卡罗模拟法和危险指数法等。
2 决策环境风险评价的技术路线和方法
2.1 比较风险评价的概念及其应用
2.1.1 基本概念
CRa研究起步的时间较晚,目前国内外对其尚未有明确的定义。ijjasz和tlayie认为:在宏观上,比较风险评价是在掌握大量正确数据的基础上对决策中的风险进行排序比较,并以风险的大小作为决策方案的选择依据,从而形成一个包含有科学家、决策者与利益相关者的开放、公平的相互交流的结构。Keane认为CRa是一个在将风险管理与区域环境容量结合的基础上进行环境规划与决策的工具。
微观研究领域,CRa主要是通过对所存在环境威胁进行排序和比较,确定首要的环境威胁,从而提出并修正管理的措施。宏观研究领域,CRa是通过比较决策方案风险大小的方式来为决策提供依据。在CRa的过程中,不仅要考虑各个风险之间的排序,也要考虑关于减少风险措施的排序,即在众多减少风险的措施中,确定最佳的减少风险的措施。
2.1.2 应用范围及应用状况
美国是开展CRa研究最多的国家,也是最早将CRa的概念用于环境决策中,但主要集中于微观研究领域。1986年,USepa开展了对当前各地区存在的各种环境威胁进行相互的比较评价,以确定哪些是当前政策仍未解决的环境问题。USepa(1987)在《UnfinishedBusiness》一书中公布了上述评价中的研究成果。1987年,第一批比较风险评价开始在washingtonD.C.和Vermont等州进行,其目的是为了确定当时环境的优先决策。1988-1998年间,24个州结合《UnfinishedBusiness》一书中的成果和本州的实际情况开展了大量的CRa研究。
虽然当前CRa已经有了自己的体系,但主要还是集中应用于有毒化学物质、人体健康风险方面的评价,并通过这些评价对原有的决策进行改进,在决策时考虑环境和生态方面的风险,即在决策层面上开展真正意义上的环境风险评价的研究尚不完善。mcDaniels指出,CRa与多准则决策分析理论(mCDa)的结合已经成为当今决策风险评价的一种趋势,它是解决复杂的决策问题的合适的系统工具。
2.2 比较风险评价及其与决策相关的技术路线
到目前为止,学术界还未形成统一的将CRa应用于决策过程中的技术路线。Linkov在其著作《比较风险评价与环境决策(ComparativeRiskassessmentandenvironmentalDecisionmaking)》一书中将CRa及其在决策中应用的过程归纳为以下三个步骤[3]:
(1)识别主要的风险并对风险进行定性或定量的估算和排序;
(2)根据排序和比较的结果确定首要风险,以风险的形式来进行决策分析;
(3)通过比较选择最佳的决策方案。
美国陆军工程兵团(USaCe)、美国国家环保局(USepa)以及美国能源部(Doe)先后提出了将CRa应用于环境决策中的一般步骤,其中以USepa和Doe的技术路线最具代表性。
USepa将CRa应用于环境决策中的一般步骤是:
①根据相关法律,将当前环境决策未解决的问题具体化;
②搜集相关的数据资料并进行分析;
③充分考虑社会政治因素,明确而具体地表达决策中可供选择的几种新方案;
④决策者根据各种指标,包括社会、经济、环境风险等给不同的决策方案赋予权重,从而评价不同方案的效果;
⑤比较不同的备选方案;
⑥方案的选择和最佳决策确定;
⑦检验选择的决策是否可以解决原先的问题。
但这一技术路线存在着一些不足:①只有专门的利益相关者参加,却并没有综合所有利益相关者的意见;②将自然科学与社会科学脱离,过分强调社会指标,忽略了自然科学指标的重要性,尤其是没有充分考虑相关的环境风险指标;③采用了一些非定量的社会和政治上的意见来排除一些决策。
Doe提出的将CRa应用于环境决策中的一般步骤是:
①决策中问题的确定;
②决定要解决这些问题的要求;
③建立起解决这些问题的目标;
④确定可以解决这些问题的备选方案;
⑤在上述目标的基础上确定决策评价需要的标准,其中包括社会、经济、环境风险等方面的指标;
⑥选择决策的工具;
⑦应用这些工具并结合CRa的原理进行决策备选方案的分析和选择;
⑧检验选择的决策是否可以解决原先的问题。
Doe的技术路线与其他两者的区别就在于重视环境决策分析工具的选用,而这些环境决策分析工具包括了简单的成本-效益分析,正反面分析、CRa原理以及mCDa中的多属性效用分析理论(maUt)和层析分析法(aHp)等,以此用于不同条件下的决策分析,具有很大的灵活性。
2.3 传统环境风险评价和CRa在决策中应用的方法
传统的环境风险评价方法一般可分为定性、定量、定性与定量相结合三类,对项目进行风险评价的方法很多,但主要应用于决策方面的有故障树分析法、主观评分法、决策树法、层次分析法、情景分析法(Scenariosanalysis)、模糊风险综合评价、蒙特卡罗模拟法(monteCarloSimulation)等。
而CRa在决策中的应用中除了使用上述提到的环境风险评价的基本方法以外,还要与mCDa的相关方法相结合共同来解决这一难题。所以,CRa在决策中应用的主要方法还包括正反面分析法(prosandCosanalysis)。
正反面分析法就是通过定性地比较备选方案的优点(正面)和缺点(反面),其中优点得分最高且缺点得分最低的方案作为最佳的决策方案。
Swot(S-优势,w-弱势,o-机会,t-威胁)分析法源自一种企业内部决策的分析方法,即根据企业自身的既定内在条件进行分析,找出企业的优势、劣势及核心竞争力之所在,最后根据分析结果找出解决方案。
贝叶斯决策就是在不完全情报下,对部分未知的状态用主观概率估计,然后用贝叶斯公式对发生概率进行修正,最后再利用期望值和修正概率做出最优决策。
多属性效用理论就是在多目标决策分析中,将所要达到的各个决策目标用效用大小程度的效用函数来表示,通过效用函数构成多目标的综合效用函数,以此来判断各个可行方案的优劣。
层次分析法就是把复杂问题中的各种因素通过划分为相互联系的有序层次,使之条理化,根据对一定客观现实的主观判断结构(主要是两两比较)把专家意见和分析者的客观判断结果直接而有效结合起来,对每一层次元素两两比较的重要性进行定量描述。而后,利用数学方法计算反映每一层次元素的相对重要性次序的权值,通过所有层次之间的总排序计算所有元素的相对权重并进行排序。在决策分析中,层次分析法的基本原理为先分解后综合。整理和综合人们的主观判断,使定性分析与定量分析有机结合,实现定量化决策。
3 结论
3.1 总结
传统环境风险评价技术路线的一般步骤主要可以归纳为四个部分:风险识别、风险分析、风险表征与风险管理,但根据评价的对象与范围的不同,各步骤的具体内容也不尽相同。健康风险评价主要侧重于危险物质剂量与人体健康反应之间的关系从而确定风险防范的措施;事故风险评价主要侧重于事故发生的概率与其后果来表征风险的大小;自然灾害的风险评价起步较晚,主要是通过致灾因子分析、承灾体易损性评价、灾情损失评估来提出减灾的对策,但其技术路线的实施中却只注重于经济损失的计算,忽略了生态环境和自然资源的保护;区域环境风险的综合评价已经上升到了战略环境评价的层次,是上述三种风险评价技术路线的一种综合形式。
CRa及其在决策中应用的技术路线一般为:①决策中问题的确定→②决定要解决这些问题的要求→③建立起解决这些问题的目标→④确定可以解决这些问题的新决策→⑤在上述目标的基础上确定决策评价需要的标准,其中包括社会、经济、环境风险等方面的指标→⑥选择决策的工具→⑦应用这些工具并结合CRa的原理进行决策的分析和选择→⑧检验选择的决策是否可以解决原先的问题。CRa在决策风险评价中应用的主要方法包括多属性效用理论(maUt)和层次分析法(aHp),此外还有分层序列法、目标规划法、多目标群决策和多目标模糊决策等方法。
3.2 存在的问题
(1)虽然传统的环境风险评价理论已经趋于成熟,但是决策的环境风险评价开展不够成熟,尤其是从决策的源头开展环境风险评价的研究仍然很少,尚未见较为完善的决策环境风险评价体系。
(2)当前CRa主要在美国开展研究,已经有了自己的体系,但主要应用还是集中于有毒化学物质、人体健康风险方面的评价,并通过这些评价对原有的决策进行改进。在决策时考虑环境和生态方面的风险,即在决策层面上开展真正意义上的环境风险评价的研究尚少见。
(3)目前在国外开展的一些研究中,大部分是在决策制定之后才对其存在的风险进行比较分析,在决策前将不同的决策中存在的风险进行比较并最终确定决策的研究尚未见报道。
(4)环境风险评价的基本特征之一就是不确定性。虽然当前CRa在决策风险评价的应用不断完善,但由于决策一般涉及区域性问题,评价中所需的许多基础资料往往比项目层次的环境风险评价更缺乏,使评价过程和结果具有更大的不确定性,使决策环境风险评价结果的科学性和可靠性受到影响。
风险管理的实施步骤篇9
2006年,世界客户组织(worldCustomsorganization,wCo)以wCoSaFF(FrameworkofStandardstoSecurityandFacilitateGlobal,SaFe)标准架构实行优质企业(authorizedeconomicoperator,aeo)安全认证,以提供更加安全的供应链管理系统,针对国际贸易交易上的所有参与者,通过各国海关设定准则的aeo安全认证资格,以确保货物从原产地至目的地的全球供应链安全。在这种背景下,国际间各国已陆续实行“优质企业安全认证”计划,国际贸易是我国经济发展的重要组成部分,应配合国际贸易安全发展趋势,以提升我国经济贸易的竞争力。
我国的aeo优质企业安全认证制度对申请的企业有基本的门槛要求。对于进口业、出口业、制造业、仓储业、运输业、货运承揽业、港口经营业等十大行业,各有其应符合的项目。想要取得aeo认证的企业,必须建立一套安全管理的制度,对于曾经通过国际标准化组织(internationalorganizationforStandardization,So)认证的企业,会相对容易的将aeo要求转换为企业内要求。其中,优质企业安全审查项目及验证基准共包括十四大项审查,具体内容包括200余项的验证基准。天水星火机床有限责任公司走上国际化经营的道路,先后收购法国索玛公司、意大利高嘉公司、参股德国亨利安公司等,在欧洲建立了销售、研发中心,产品也销往全球,那企业风险管理与安全控制就很重要,为此企业从销售,技术,生产,服务各环节加强控制,确保企业高效运行。
二、风险管理的需求及步骤
(一)风险管理
wCoSa规范内容中的主要精神就是要求各国海关以风险管理为基础展开各项导入工作的建议,以确实维护货物全程供应链的安全。风险被定义是某项足以影响目标达成的事件发生的可能,以影响程度及发生机几率加以衡量。风险不完全有害,因为风险往往伴随着机会。但风险容易或影响阻碍管理者和组织实现其经营目标,在极端情况下甚至能够摧毁组织。然而,货物在供应链的移动过程中,安全管理环节众多,相关业者所提供的服务及人员复杂,货物在不同界面中移转,若仅依靠法令规范或待由执法单位稽查,难以全面性的防止货物于供应链上遭到非法活动介入或破坏。
风险也不仅是“发生坏事",有的风险是失去了的潜在的业务机会,对组织来说,不仅代价昂贵,也是致命的。实质上,成功的经营需要把组织的资产和资源与风险结合起来,以实现组织策略和经营目标。因此,有效的风险管理是帮助组织理解和提前对经营风险做出响应,以便更好地实现目标。
(二)步骤
一般来说风险管理的实施,主要分为五大步骤:
(1)建立风险管理执行背景体系。此步骤主要为建立企业策略及组织的关联性,包含:建立环境要素、建立机会要素、建立风险管理架构、发展风险评量标准、定义风险分析对象。
(2)风险辨识。辨识风险方面,1932年美国政治学家加拉斯维尔最早提出的一套传播模式,经过人们不断应用逐步形成一套成熟的"5w+1H"模式,亦称六何分析法,是一种思考方法,也可以说是一种创造技术,都要以原因、对象、地点、时间、人员、方法等六个方面提出问题进行思考。例如,风险为何发生、何种风险会发生、何处发生、何时发生、谁造成的及如何发生的,以作为更进一步的分析。
(3)风险分析。首先确认既有的风险控管机制,并计算出风险发生的几率及评估风险等级后,即可评量事件发生所产生的影响。
(4)风险评量。风险层级可以最普遍的高、中、低三种层面显示,在比较复杂的环境可以1~100显示其层级的高低。
(5)风险处理。列出、评估及选择风险对策,接受并监督不须优先处理的较低风险,对于须优先处理的高风险则衡量人力、财力及技术资源订定管理计划,并据以执行实施。
三、风险评估
风险评估是指在风险事件发生之后,对于风险事件给人们的生活、生命、财产等各个方面造成的影响和损失进行量化评估的工作。从我国情况来看,自2009年底起开始导入实施aeo以来,已构建起“须就其营业事项涉及的供应链安全”、“定期从事风险评估”、“建立适当机制,以减少风险发生的几率”等规定,实行国际通用供应链安全风险评估工具,并且搭配供应链商业伙伴管理机制,建构起了一套完整的风险评估作业方式。
虽然风险评估的精确性很重要,但对风险作精密、详尽的量化也可能是不利的,因为这样的风险衡量过程,容易使评估工作变得复杂并延迟了评估进程。所以,以“风险对实现组织目标影响”和“风险发生的可能性”作为基础,对风险进行量化和分级将是较有助益的方式。安全风险评估的五大因子包括:资产价值(asset)、威胁等级(threat)、弱点(Vulnerability)、后果(Consequence)和可能性(Likelihood)。评分标准设定依据五项风险评估因素进行评分标准设定,将等级划分为5个等级,即极低度风险、低度风险、中度风险、高度风险与极高度风险,最低等级1分至最高等级5分。
对于其它的风险,可用复杂的财务或日常的方法来为组织衡量风险。风险的量化在风险管理过程中,可能也是非常重要的。极高度风险应该放在被关注的首位,并需要立即采取行动;当风险被定位成低度风险时,就可以很少提交给有关人员进行检查,控制也可能会由此减少。按照这样一个简单的风险优先排列顺序,企业在风险管理上就可充分的利用时间、资金和资源,完成更好的风险管理的目标。
四、结语
风险管理的实施步骤篇10
关键词:pDCa;风险管理;工程施工;应用
前言
风险管理是人们对潜在意外损失的评估,以达到提前预防、有效控制的目的。规模较大、工程复杂等均属于建筑工程的特点,同时,建筑工程建筑周期较长,加之具有生产的单件性,导致施工工程中存在诸多不确定因素,使得建筑施工面临巨大风险,由此可见,工程施工的风险管理具有不可磨灭的意义。因此,相关施工企业必须在国家相关政策的指导下,采用科学手段,加强施工风险管理,达到高效防范风险的目的,促使工程顺利、有序进行,为企业带来更大的经济效益。
一、工程施工风险基本概述
工程施工风险指在建筑工程施工的基础上,以具体施工时间为基准,在特定的自然环境、社会环境以及法律环境影响下,发生损害合同当事人或合同双方利益的可能性,其具有不可确定性。换言之,工程施工风险指建筑工程施工发包人与承包人在正式施工期间可能发生的不可测事件,例如,现场人员伤亡、安装设备遭到损害、工程材料出现问题、自然灾害导致工期耽误、由于人为原因导致工程质量缺陷等意外事故。
二、pDCa风险管理具体步骤分析
图一pDCa风险管理流程图pDCa风险管理具体步骤包括四个方面的内容,即风险规划、实施执行、检查反馈以及管理评审。在具体工程中执行风险管理,以检查反馈为基础,及时获得相关有效信息,致使风险控制进入新的发展阶段。在此前提下,来往反复,实现执行过程秩序化、系统化,从而达到提高经济效益的目的。
三、pDCa风险管理在工程施工中的应用探究
(一)pDCa风险管理内容
针对pDCa风险管理,其在不同阶段存在不同的任务。首先,针对风险规划阶段,其主要任务包括风险辨识、风险分析、风险评价以及风险处置。其次,针对实施执行阶段,主要工作内容包括组织结构与责任、教育与培训,同时需开始实施风险管理计划。再次,针对检查反馈阶段,其主要工作内容包括风险监督以及反馈和改进。最后,针对管理评审阶段,管理层评审是该阶段主要工作内容。
(二)风险规划阶段
在风险规划阶段,相关人员应准确分析施工工程管理过程中存在的不确定因素以及可能产生的风险问题,并研究风险和不确定因素可能造成的影响力度。在此基础上,拟定行之有效的预防措施,以达到降低风险影响的目的,从而节约工程施工成本。(1)风险辨识:风险辨识属于风险管理的第一步,是整个风险管理的基础,其主要在于确认工程中可能存在的风险。在风险辨识的基础上,明确需控制的变量,探究风险可能造成的风险。(2)风险分析:风险分析是在已确定风险个案的基础上,构建具有一定联系的风险分析模型,探讨各类风险可能造成的影响,并分析影响程度。一般情况下,风险分析必须以实际项目为基础,在研究项目需求、策略以及项目时间和预算经费的前提下,制定行之有效的风险预防方案。然而,在实际工程施工中,风险发生概率以及影响程度是风险分析的重难点。其中工程施工风险主要包括合同风险、建筑风险两大方面,自然风险、政治风险、社会风险、经济风险、工期风险、费用风险以及质量风险等均属于建筑风险范畴。(3)风险评价:风险评价是在掌握风险影响大小以及风险可能性等信息的基础上,以实际项目成本、项目工期等为依据,采用决策树、期望货币价值等措施,达到现有分析结果与可能性结果的高度融合,制定正确的风险因素处理优先级,达到高效调配资源的效果。(4)风险处置:风险处置即采用正确的风险处理方法,针对可能发生的风险,预先制定对应措施。风险规避、风险降低、风险转移和风险保留属于风险处置的四种基本方式。
(三)实施执行阶段
实施执行阶段,是在风险规划拟定的风险管理计划基础上,项目管理人员将计划付诸实施的过程,其中包括组织机构、教育培训以及实施落实三方面内容。(1)组织机构:为保证风险管理系统得到有效实施,提高风险管理效率,需明确相关工作人员的工作与职责,尽量细化职能,保证工作质量有所提高,迫使组织机构更部门各司其职,共同配合。(2)教育培训:为提升风险管理工作人员的专业知识与工作能力,为提高风险管理质量提供保障,需定期开展风险管理教育培训,确保风险管理工作人员顺应时展需求,达到提高风险管理工作人员综合能力的目的。(3)实施落实:在风险规划拟定的风险管理计划的基础上,项目风险管理人员严格控制风险,掌握风险实施计划、资源需求以及时间安排等内容,且在总结实际情况的前提下,将相关信息及时反馈于上级部门。
(四)检查反馈阶段
构建风险监察制度是工程施工中的重要环节,通过指派专人对风险进行监察、控制,并及时反馈监察结果,达到风险重认的目的,从而判定项目是否存在其他风险。在不断重认、评估、矫正、改善的基础上,提高风险管理的效率。与此同时,在监察管理过程中,判断是否产生新的风险,一旦发现新风险,需及时对其进行评估,且分析其可能存在的影响,进而改善风险规划,保证全面规避工程风险。
(五)管理评审阶段
管理评审环节主要工作内容在于定期开展风险管理评审工作,以正确、有效的风险管理措施为保障,检查评估管理系统是否发生异常。针对风险管理评审内容主要包括以下几方面:风险管理办法、风险管理目标、风险管理成果、风险管理技术以及风险监督过程等。
参考文献:
[1]孟宪魁.pDCa风险管理在工程施工中的应用[J].铁道工程学报,2006,04:101-104.