安全风险评估与管理制度篇1
论文关键词食品安全风险分析比较行政法
近期,中央电视台推出“舌尖上的安全”系列报道,对食品安全乱象进行跟踪报道,食品安全问题又引起广泛关注。据中国新闻网2013年6月17日报道,实施四年的我国首部《食品安全法》即将启动修改,治乱用重典,加大食品违法行为惩处力度,建立最严格的食品安全监管制度,成为此次修法过程中公众关注的焦点。与我国食品安全事件频发形成鲜明对比的是,邻国日本长期拥有“食品安全的神话”,鉴于中日文化的相似性和法制的传承性,日本的成功经验或许可以为完善我国食品安全法律制度提供借鉴。
纵观各国的食品安全风险分析制度,都是在规定食品安全风险分析机构的组成和职责、进行风险分析的情形、风险分析的具体程序等等,这些内容主要属于行政法的范畴。因此,本文在行政法的视野下,比较研究中日食品安全风险分析制度,最后提出完善我国食品安全风险分析制度的建议。
一、食品安全风险分析制度概述
食品安全风险分析是指通过对影响食品安全质量的各种生物、物理和化学危害进行评估,定性或定量描述风险特征,并在参考了各种相关因素后,提出和实施风险管理措施,并对有关情况进行交流的过程。根据国际食品法典委员会对食品安全风险分析制度的定义,食品安全风险分析制度是由风险评估、风险管理和风险交流三部分构成的完整体系。
食品安全风险分析制度作为风险分析方法在食品安全领域的应用,具有以下几个方面的显著特征:
第一,食品安全风险分析制度具有科学性和客观性。食品安全风险是客观存在的,因此,食品安全风险分析制度应当遵循客观规律,运用科学方法,通过大量的科学研究得出风险评估结果,并以此为依据制定风险管理措施。它以科学为基础,每一环节都是依据科学研究结论,而不是某个人的主观臆断,具有显著的科学性和客观性。
第二,食品安全风险分析制度具有专业性和独立性。食品安全风险评估由医学、农业、食品等领域的专家组成的食品安全风险评估机构进行,具有极强的专业性。为了确保风险评估结果科学客观,很多国家都实行风险评估和风险管理相分离,提高风险评估机构的独立性。风险管理则由专门的食品安全监管部门负责,从而使风险分析制度具有了较强的专业性和独立性。
第三,食品安全风险分析制度具有公开性和透明性。食品安全风险分析制度是在严峻的食品安全形势下诞生的,很多国家也是在严重的食品安全危机下建立食品安全风险分析制度的,这就要求它不仅要从客观上保障食品的安全,还要从心理上重建公众对食品安全的信心。因此,食品安全风险分析制度非常强调分析过程的公开和透明,通过多种方式积极与社会公众加强风险交流。
二、我国食品安全风险分析制度的现状和问题
食品安全风险分析制度是保障食品安全的必然要求,是国际社会普遍遵循的原则,但是我国目前的食品安全风险分析制度尚不完善,与发达国家还有一定差距。
(一)我国食品安全风险分析制度的现状
在风险评估方面,农业部成立了国家农产品质量安全风险评估专家委员会,是对农产品质量进行风险评估的最高学术和咨询机构。卫生部组建了国家食品安全风险评估专家委员会,承担国家食品安全风险评估工作,并开展食品安全风险交流。2011年10月13日,筹备三年之久的国家食品安全风险评估中心在北京成立,该中心是我国第一家部级食品安全风险评估专业技术机构。
在风险管理方面,我国实行的是分段监管体制:卫生行政部门负责组织食品安全风险评估工作,承担综合协调职责;国家质量监督、工商行政管理和食品药品监督管理部门分别对食品生产、食品流通、餐饮服务活动实施监督管理。
在风险交流方面,我国对其重视不够,相关法律规定多为原则性的,如《食品安全法》第六条规定县级以上卫生行政、农业行政、质量监督、工商行政管理、食品药品监督管理部门应当加强沟通、密切配合,按照各自职责分工,依法行使职权,承担责任。
(二)我国食品安全风险分析制度存在的问题
1.食品安全风险评估机构过于分散。根据现行法律,农业部成立了农产品质量安全风险评估专家委员会,卫生部成立了食品安全风险评估专家委员会,并举办了国家食品安全风险评估中心。三个机构性质和职责相似,人员结构基本一致,但却属于不同的部门。造成食品安全风险评估机构过于分散,影响了食品安全风险评估的进行。
2.风险评估与风险管理机构合一受到质疑。我国现在承担食品安全风险评估工作的机构大多由风险管理部门组织,使得其提交的风险数据或决策建议有受到行政管理者意向影响的嫌疑,加之风险交流工作滞后,使公众对风险评估结论的真实可靠性产生了质疑,从而缺少了公信力。
3.食品安全风险管理部门协调性差。由于我国实行分段监管模式,由卫生部、农业部、质量监督、工商行政管理、食品药品监督管理等部门共同承担。但是现实中各部门沟通协调性较差,互相推诿扯皮现象时有发生,甚至出现了“十几个部门管不了一桌菜”的尴尬局面。
4.食品安全风险交流工作落后。尽管我国新制定的食品安全法律法规都要求加强风险交流,但我国食品安全风险交流工作依然落后,此前关于乳品安全标准的争论更证明了这一点。卫生部2010年3月颁布的乳品安全标准要求每百克的蛋白质含量大于等于2.80克,生鲜乳菌落总数允许每毫升200万个,而此前的1986年标准分别是不低于2.95克和不超过50万个。难怪媒体惊呼“一夜倒退了25年”,更有人认为乳品新标准是以保护奶农为借口,被个别大企业绑架的标准。面对公众的强烈质疑,卫生部只解释道:标准符合中国国情和产业实际,引发人们强烈不满,更突显出我国食品安全风险交流工作的落后。
三、日本食品安全风险分析制度的考察
为应对食品安全事件,保障食品安全,日本政府引进食品安全风险分析制度,修改食品安全相关法律,对食品安全监管机构也进行了改革。
(一)日本食品安全风险分析的法律制度
日本政府根据国内外食品安全形势发展需求,在2003年颁布了《食品安全基本法》,明确了制定与实施食品安全政策的基本方针是采用风险分析手段:第一,风险评估。在制定食品安全政策时,应当对食品本身含有或加入到食品中影响人体健康的生物、化学、物理上的因素,进行影响人体健康的评估。第二,风险管理。为了防止、抑制摄取食品对人身健康产生的不良影响,应考虑国民饮食习惯等因素,根据风险评估结果,制定食品安全政策。第三,风险沟通。为了将国民的意见反映到制定的政策中,政府在制定食品安全政策时,应采取必要措施,向国民提供相关政策信息,为其提供陈述意见的机会,并促进相关单位、人员相互之间交换信息和意见。
为了适应新的食品安全形势,制定于1947年的《食品卫生法》也于2006年进行了修改。该法是日本控制食品质量安全与卫生的重要法典,对几乎所有食品都有详细的规定,包括制定食品、添加剂、器具和食品包装的标准和规格等。此外,日本政府还对《农林水产省设置法》进行部分修改,把风险管理部门从产业振兴部门分离出来,并予以强化,成立产业·消费局。
(二)日本食品安全风险分析的管理机构
为加强政府对食品安全的管理,日本于2003年在内阁府增设食品安全委员会,与农林水产省和厚生劳动省共同对食品安全进行监管。
日本食品安全委员会隶属于内阁府,是专门负责食品安全风险评估的机构,主要职能是进行科学的风险评估,并根据评估结果对厚生劳动省、农林水产省等风险管理机构进行劝告和监督。厚生劳动省作为真正行使食品安全监管的部门,主要对进出口及国内市场的食品卫生实施监管。另外,随着食品安全委员会的建立,厚生劳动省的职能已由风险评估与风险管理并举转变为单纯的风险管理。农林水产省主要负责对生鲜农产品的监管,它与厚生劳动省的区别在于侧重对农产品生产和加工阶段进行风险管理。
四、完善我国食品安全风险分析制度的建议
通过对我国食品安全风险分析现状的分析,对比邻国日本食品安全风险分析制度的经验,我们应当从以下几个方面完善我国食品安全风险分析制度:
(一)整合现有的食品安全风险评估机构
我国现有的食品安全风险评估机构过于分散,不利于食品安全风险评估工作的开展。因此,有必要对其进行整合,把农产品质量安全风险评估专家委员会和食品安全风险评估专家委员会整合成新的食品安全风险评估专家委员会,由医学、农业、食品、营养、卫生等方面的专家组成,专门负责监督、审核食品安全风险评估工作。
(二)实现风险评估与风险管理的分离
在借鉴日本等发达国家的实践经验基础上,我国应当对食品安全风险评估机构进行改革,实现食品安全风险评估机构与食品安全风险管理机构的分离。由新成立的国家食品安全风险评估中心专门负责食品安全风险评估技术工作,把风险评估机构从风险管理部门分离出来,直属于国务院,以提高其地位和独立性。
(三)强化各风险管理部门的协作
由于我国实行分段监管的食品安全监督管理体制,因此,必须加强部门之间的密切协作,以免出现监管漏洞或交叉重复。首先,我们应当明确各部门的职责,完善责任追究制度,确保各监管部门按照自己的职责分工,切实履行职责。其次,在各部门设立专门沟通窗口,建立相互间畅通的沟通渠道,及时互通信息,实现信息共享。
安全风险评估与管理制度篇2
中国食品安全风险评估制度的法律基础
我国食品安全风险评估起步于20世纪90年代中后期,2002年,农业部畜牧兽医局建立了“动物疫病风险评估小组”,开启了我国食品安全风险评估机制。但是当时并没有食品安全风险评估相关法律文件,可以说在这方面的法律属于空白区域。直到2006年,随着《农产品质量安全法》的实施,明确规定了风险评估的法律地位,并规定风险评估的结果是制定农产品质量安全标准的重要依据。
随着经济和世界贸易的发展,以及我国食品安全问题频发,食品安全监管也逐渐被重视。为了从制度上更好的解决食品安全监管问题,我国也逐渐采用在国际食品安全风险规制方面通行的做法――食品安全风险分析。在2009年颁布的《食品安全法》中对食品安全风险监测和评估的基本原则和保障体系做出了明确规定。2015年新修订的《食品安全法》对食品安全风险监测和评估进行了更细致的规定和补充。如明确规定和增加了六大需要进行食品安全风险评估的具体情况。以及相应的《中华人民共和国食品安全法实施条例》和《食品安全风险评估管理规定(试行)》,较为具体的规定了食品安全风险评估的主体以及工作的开展,使其更具有规范性和可操作性。
我国在食品安全风险评估制度建设上,成立了食品安全风险评估专门机构。食品安全风险评估主体是国家卫生和计划生育委员会,具体工作由下属的国家食品安全风险评估专家委员会、国家食品安全风险评估中心以及农业部下属的国家农产品质量安全风险评估专家委员会来实行,承担国家食品安全风险评估工作的具体实施,参与制定与食品安全风险评估相关的监测和评估计划,拟定国家食品安全风险评估技术规则,解释食品安全风险评估结果,开展风险评估交流,以及承担卫生部委托的其他风险评估相关任务。但是目前我国食品安全风险评估制度的构建仍然不够完善,要使食品安全风险评估在我国发挥长效机制作用,还需要法律法规的进一步明确和细化。
美国食品安全风险评估制度的法律基础
美国对食品安全的监管采用食品分类“链条式”的监管模式,不同部门负责不同食品种类自上而下垂直监管,相互之间分工明确,避免空白和交叉,形式既独立又合作的“以品种监管为主,分段监管为辅助”的监管形式。其法律法规种类繁多、覆盖面广,与食品安全相关的法律体系有法令、法规等多种立法形式,涵盖了食品、药品、禽类、家畜类、动保保健、消费者安全等诸多方面,形成了比较健全的法律体系。为食品安全风险评估的实行奠定了法律基础。
目前,美国的食品安全法律包括:《FDa食品安全现代化法案》(FSma)、《联邦食品、药品与化妆品法》、《公共卫生服务法》(又称美国检疫法)、《联邦肉类检验法》、《禽肉制品检验法》、《蛋制品检验法》、《食品质量保护法》、《公共健康服务法》等。在食品安全风险评估制度方面的法律主要以《食品安全现代化法案》、《联邦食品、药品与化妆品法》、《美国食品法典》为法律基础。
食品安全现代化法案。《食品安全现代化法案》(FulltextoftheFoodSafetymodernizationact(FSma))于2011年1月4日奥巴马总统签署后生效,是美国70多年来食品安全法的最全面改革,此法案标志着从关注污染到预防污染的转变,旨在确保美国食品供应安全。其中涉及风险评估的主要有第103节、104节、106节、107节、108节、110节、112节、201节、202节和204节十个章节,详细地规定了危害分析涵盖的范围和具体内容。要求工厂所有者、经营者以及人在进行危害分析的时候,识别和评估与企业相关的已知或者可以合理预见的危害,包括生物、化学、物理和放射性危害;天然毒素、农药、药物残留、腐烂、寄生虫、过敏源,未经批准的食品和色素添加剂;以及可能蓄意引进的危害,如通过恐怖主义活动而引进的危害,并要编写危害书面分析。法案从绩效标准、财政、国力、进出口、实验室和可追溯记录等方面对食品风险评估制度的建立做出了详细规定。
联邦食品、药品与化妆品法。《联邦食品、药品与化妆品法》规定采用风险评估的方法来制定食品中农药残留的检测标准,是美国众议院制定、美国联邦政府颁布的“永久性综合性法典”,第7卷(农业)、第9卷(动物与动物产品)和第21卷(食品与药品)分别规定了与食品相关的内容。其中涉及风险评估的《联邦食品、药品和化妆品法案》第iV章主要有:错误标识的食品、食物中毒害物容许条例、杀虫剂化学残留物的容许和豁免以及食品添加剂。法规规定添加到任何食品中的任何有毒或有害物质应当被视为是不安全的,除非这种物质是生产必需的或按照良好生产规范仍无法避免的;但即使这种物质是必需的或不可避免的,部长也应当颁布条例限制其用量,任何超过规定限量的用量均应被视为是不安全的。
美国食品法典。《美国食品法典》在注重规范零售领域食品安全同时,将食品安全、食品卫生、正确标注食品标签内容有机地结合一起,实现了保障食品安全的基本目标。其中与食品风险评估相关的内容如:1.食源性疾病评估、风险因素和干预措施;2.pHS模型代码历史、目的和职权;3.食品保护经理认证和手消毒剂;4.关于食品的辐照生肉和肉制品标签指南、添加剂和安全食品、冷热保持时间/温度控制;5.设备、食品接触表面、非食品接触表面和餐具;6.开展基于风险的检验。涵盖内容全面具体,要求严格,比如:其规定须对食品添加剂进行严格地监管。过量使用或应用范围未经批准,添加剂会对消费者造成危害。无意的污染物或残留也会进入食品供应链中。此类化学物质所指定的容许限或安全限是根据基于毒性研究和预估食用量的风险评估确定的。
通过中美两国食品安全风险评估法律制度的研究,发现我国食品安全风险评估法律体系还不够完善,我国虽然已经出台了一些规定食品安全风险计估制度的法律法规,但是处于法律层面的《食品安全法》、《农产品质量安全法》以及处于行政法规位阶的《食品安全实施条例》仅仅对食品安全的风险评估制度做了些概括性的规定,对风险评估各阶段的具体规定只在《食品安全风险评估管理规定(试行)》中有说明,缺乏法律效力。同时,我国食品安全风险评估执行程序不完善,比如机构设置缺乏统一性和独立性。本文对美国食品安全风险评估法律基础进行了介绍,从中借鉴美国等发达国家宝贵经验和法律体系,对构建和完善我国食品安全风险评估制度具有重要的意义。
安全风险评估与管理制度篇3
关键词:档案安全风险评估;专家制度;专家;制度设计;机制
档案安全风险评估专家制度是档案安全风险评估制度保障体系中的重要组成部分。档案安全风险评估专家是指在档案安全风险评估过程中,在档案安全领域具有专业研究,拥有科学化、技术化的档案安全知识或者掌握档案安全风险评估的科学方法、工具的人,他们在档案安全风险评估中能够进行专业指导或是给出独立客观的意见,是档案安全风险评估科学性的重要保障。专家在档案安全风险评估工作中扮演着越来越重要的角色,但目前专家参与评估存在很大的主观性、随意性,且工作缺乏规范化、制度化的管理措施。本文主要探讨如何构建科学、完善的档案安全风险评估专家制度,以充分发挥专家作用,保障档案安全风险评估的科学性。
1档案安全风险评估对专家的需求
1.1评估指标体系的建立、修正与完善
档案安全风险评估指标是评估的工具,没有评估指标就无法开展评估工作,因此指标设计是开展评估工作的前提。档案安全工作贯穿档案管理全过程,涉及档案收集、保管、利用的每一个环节,因此构成档案安全风险的评估指标也很多,至少有几十种,如青岛市的档案安全风险评估指标就涉及了21种风险因素、70项风险因子。建立、修正并完善档案安全风险评估指标体系,必须熟知整个档案管理过程、掌握扎实的专业知识与专业技能,只有这样才能准确有效地找出各个档案安全风险点(风险因素),并对其发生的概率进行预测和判断。由此可见,建立健全科学、合理的档案安全风险评估指标体系,必须借助专家的智力支持。
1.2评估方案、评估结果的分析评价
评估工作的有效开展必须基于详细、科学、周全的评估方案,在评估方案的制定过程中,需要专家对评估方案的科学性进行分析评价,并协助参与方案的修正与完善工作。此外在评价评估结果的科学性、准确性时,也需要专家参与进来。
1.3档案安全风险的实地评估及评估过程中的技术指导
专家参与档案安全风险的实地评估,能够确保评估的科学性与技术性;专家在进行实地评估的过程中提供技术指导,包括对评估人员进行培训、统一评估的标准与尺度,保证评估结果的公平与公正。
1.4评估相关政策、制度的制定与完善
制定评估政策、制度,是实现档案安全风险评估规范化、制度化的重要要求。在政策、制度的制定与完善中,需要发挥专家参谋和智囊作用,对风险评估政策、制度制定中存在的难点问题、重点问题进行探讨,并提出建设性的意见和建议。
2档案安全风险评估专家制度的构建
档案安全风险评估专家制度构建,可从专家遴选机制、运行机制、咨询机制、激励机制、责任追究机制等几个方面展开。
2.1专家遴选机制
2.1.1专家结构构成情况第一,专业结构。为实现专业、专长配比组合的最优化,档案安全风险评估专家应包括以下几个专业的专家:档案学、风险管理、风险评估、档案保护技术、计算机技术、工程技术、信息化,等等。在实际工作中,不同专业结构的专家对于同一工作事项很可能会形成不同的观点,有时有些观点还会截然相反,因此建立专家组合并非把不同专业结构的档案安全风险评估专家简单地组合在一起开展工作,而是要建立机制,明确专家的职责分工,使不同专业结构的专家进行密切合作。第二,年龄结构。研究发现,专家的年龄段与其创造力有密切的关系。美国学者朱克曼对美国67位诺贝尔奖获得者首次做出重大贡献时的年龄进行分析,发现其中84%的人年龄集中在29岁至44岁之间,因此建议档案安全风险评估专家的年龄结构应以中、青年为主,并兼具老、中、青三个年龄段。第三,职称结构。专家职称反映了专家学术成就、专业技术水平和工作能力,为保证专家的整体学术研究与专业技术水平,在档案安全风险评估专家职称结构中,获得高级职称的专家应占绝大部分比例。第四,研究领域。档案安全风险评估所涉及的专业知识很广,且某些领域如档案信息系统安全风险评估的专业性极强,因此需要对专家的研究方向与研究领域做进一步要求,使得专家给出的意见与建议更有针对性与权威性、开展的工作指导更具有专业性与科学性。2.1.2专家遴选指标体系专家遴选指标体系主要由以下几个指标组成:一是基本指标,如学历、职称、荣誉等;二是职业道德修养指标,包括思想品德、职业修养、智能修养等;三是专业业绩指标,包括科研成果、档案管理实践经历、档案专业技能、档案技术研发推广等。在这些指标体系中容易忽视的是职业道德指标,这是由于个人的职业道德修养难以量化和考察所造成的,目前的专家推荐条件一般为学位、职称、科研成果等容易量化和考察的条件、标准,而职业道德修养指标鲜有问津。事实上,职业道德修养这一指标在保障专家作用的实际发挥方面起到很大的作用。专家往往身兼多职,如不具备较高的职业道德修养、缺乏责任意识,往往不会在档案安全风险评估工作中投入足够的时间与精力,使得专家制度形同虚设,造成资源的极大浪费,影响档案安全风险评估的科学性、技术性和准确性。2.1.3专家遴选的程序专家遴选的程序由遴选公告,个人申请、单位或专家推荐,档案部门审核、考察,聘任等几个环节构成。为了避免专家遴选评审考核形式化、走过场,评审团成员应严格遵守回避制度,如,一旦进入评审团的专家将不再作为推荐人进行推荐。在专家遴选的过程中,为了提高专家咨询论证的科学性,建议专家应来自不同地区、不同单位,并且规避相互之间存在学缘关系的现象。
2.2专家库运行机制
可设立专家库管理委员会负责专家库的管理,委员会具体负责专家的遴选、聘任、动态管理、考核、培训等。对入库专家实行聘期制管理,聘任期一般为2至3年,摈弃“终身制”;实行“能者上、庸者让”的原则,定期针对专家业绩和履职情况开展年度考核和届满考核,将考核结果告知通过考核的专家,以便其根据考核结果及时改进工作,并且及时清退业务水平停滞、工作成绩平庸、履职不力者;还要将考核材料整理归档,作为下一届专家评选的参考资料。
2.3专家咨询机制
专家咨询是档案安全风险评估工作中的一项主要内容。目前专家咨询的方式较为单一,多为召开座谈会或研讨会,这样的方式容易使专家产生从众心理,容易倾向于更加权威者的意见,或服从于大多数人的意见,削弱专家的客观性与独立性,影响专家咨询的科学性、客观性、权威性。因此笔者建议采取多种专家咨询方法,如德尔菲法、头脑风暴法、电子会议等,并综合各种方法的长处,不断提升专家咨询的效果。
2.4专家激励机制
第一,为专家的自我提升提供机遇与平台。在档案安全领域中引入风险管理、风险评估理论是近几年的事情,风险评估专业技术和管理人才相对匮乏;此外,现有档案安全风险评估专家的知识结构有待改善。基于这样的现状,有必要为专家自身专业素质的提升提供平台,可以提供给专家必要的出国、外地考察、交流、学习、培训的机会,不断提升专家的专业素质;还可以定期组织不同专业、不同领域之间的专家开展交流,进一步拓宽专家的思维与眼界。第二,对优秀专家进行表彰与奖励。对表现突出的专家进行表彰,有利于激发专家的积极性、充分调动他们的主观能动性,做好档案安全风险评估工作。应确保表彰与奖励的形式多样化,除了采用常规的奖励手段,还可采用资助专家的科研经费等办法。
2.5专家责任追究机制
安全风险评估与管理制度篇4
关键词:网络审计 历史财务报表审计 信息安全管理 风险评估
一、引言
从审计的角度,风险评估是现代风险导向审计的核心理念。无论是在历史财务报表审计还是在网络审计中,现代风险导向审计均要求审计师在执行审计工作过程中应以风险评估为中心,通过对被审计单位及其环境的了解,评估确定被审计单位的高风险领域,从而确定审计的范围和重点,进一步决定如何收集、收集多少和收集何种性质的证据,以便更有效地控制和提高审计效果及审计效率。从企业管理的角度,企业风险管理将风险评估作为其基本的要素之一进行规范,要求企业在识别和评估风险可能对企业产生影响的基础上,采取积极的措施来控制风险,降低风险为企业带来损失的概率或缩小损失程度来达到控制目的。信息安全风险评估作为企业风险管理的一部分,是企业信息安全管理的基础和关键环节。尽管如此,风险评估在网络审计、历史财务报表审计和企业信息安全管理等工作中的运用却不尽相同,本文在分析计算机信息系统环境下所有特定风险和网络审计风险基本要素的基础上,从风险评估中应关注的风险范围、风险评估的目的、内容、程序及实施流程等内容展开,将网络审计与历史财务报表审计和信息安全管理的风险评估进行对比分析,以期深化对网络审计风险评估的理解。
二、网络审计与历史财务报表审计的风险评估比较
(一)审计风险要素根据美国注册会计师协会的第47号审计标准说明中的审计风险模型,审计风险又由固有风险、控制风险和检查风险构成。其中,固有风险是指不考虑被审计单位相关的内部控制政策或程序的情况下,其财务报表某项认定产生重大错报的可能性;控制风险是被审计单位内部控制未能及时防止或发现财务报表上某项错报或漏报的可能性;检查风险是审计人员通过预定的审计程序未能发现被审计单位财务报表上存在重大错报或漏报的可能性。在网络审计中,审计风险仍然包括固有风险、控制风险和检查风险要素,但其具体内容直接受计算机网络环境下信息系统特定风险的影响。计算机及网络技术的应用能提高企业经营活动的效率,为企业的经营管理带来很大的优越性,但同时也为企业带来了一些新的风险。这些新的风险主要表现为:(1)数据与职责过于集中化。由于手工系统中的职责分工、互相牵制等控制措施都被归并到计算机系统自动处理过程中去了,这些集中的数据库技术无疑会增加数据纵和破坏的风险。(2)系统程序易于被非法调用甚至遭到篡改。由于计算机系统有较高的技术要求,非专业人员难以察觉计算机舞弊的线索,这加大了数据被非法使用的可能性。如经过批准的系统使用人员滥用系统,或者说,企业对接近信息缺乏控制使得重要的数据或程序被盗窃等。(3)错误程序的风险,例如程序中的差错反复和差错级联、数据处理不合逻辑、甚至是程序本身存在错误等。(4)信息系统缺乏应用的审计接口,使得审计人员在审计工作中难以有效地采集或获取企业信息系统中的数据,从而无法正常开展审计工作。(5)网络系统在技术和商业上的风险,如计算机信息系统所依赖的硬件设备可能出现一些不可预料的故障,或者信息系统所依赖的物理工作环境可能对整个信息系统的运行效能带来影响等。相对应地,网络审计的固有风险主要是指系统环境风险,即财务电算化系统本身所处的环境引起的风险,它可分为硬件环境风险和软件环境风险。控制风险包括系统控制风险和财务数据风险,其中,系统控制风险是指会计电算化系统的内部控制不严密造成的风险,财务数据风险是指电磁性财务数据被篡改的可能性。检查风险包括审计软件风险和人员操作风险,审计软件风险是指计算机审计软件本身缺陷原因造成的风险,人员操作风险是指计算机审计系统的操作人员、技术人员和开发人员等在工作中由于主观或客观原因造成的风险。
(二)风险评估目的无论在网络审计还是历史财务报表审计中,风险评估只是审计的一项重要程序,贯穿于审计的整个过程。与其他审计程序紧密联系而不是一项独立的活动。尽管如此,两者所关注的风险范围则有所不同。历史财务报表审计的风险评估要求审计人员主要关注的是被审计单位的重大错报风险――财务报表在审计前存在重大错报的可能性。由于网络审计的审计对象包括被审计单位基于网络的财务信息和网络财务信息系统两类,因此审计人员关注的风险应是被审计单位经营过程中与该两类审计对象相关的风险。(1)对于与企业网络财务信息系统相关的风险,审计人员应该从信息系统生命周期的各个阶段和信息系统的各组成部分及运行环境两方面出发进行评估。信息系统生命周期是指该信息系统从产生到完成乃至进入维护的各个阶段及其活动,无论是在早期的线性开发模型中还是在更为复杂的螺旋式等模型中,一个信息系统的生命周期大都包括规划和启动、设计开发或采购、集成实现、运行和维护、废弃等五个基本阶段。由于信息系统在不同阶段的活动内容不同,企业在不同阶段的控制目标和控制行为也会有所不同,因此,审计人员的风险评估应该贯穿于信息系统的整个生命周期。信息系统的组成部分是指构成该信息系统的硬件、软件及数据等,信息系统的运行环境是指信息系统正常运行使用所依托的物理和管理平台。具体可将其分为五个层面:物理层,即信息系统运行所必备的机房、设备、办公场所、系统线路及相关环境;网络层,即信息系统所需的网络架构的安全情况、网络设备的漏洞情况、网络设备配置的缺陷情况等;系统层,即信息系统本身的漏洞情况、配置的缺陷情况;应用层,即信息系统所使用的应用软件的漏洞情况、安全功能缺陷情况;管理层,即被审计单位在该信息系统的运行使用过程中的组织、策略、技术管理等方面的情况。(2)对于与企业基于网络的财务信息相关的风险,审计人员应着重关注财务信息的重大错报风险和信息的安全风险。重大错报风险主要指被审计单位基于网络的相关财务信息存在重大错报的可能性,它是针对企业借助于网络信息系统或网络技术对有关账户、交易或事项进行确认、计量或披露而言。网络审计中关注的重大错报风险与传统审Ctt的内涵基本上是一致的,审计人员在审计时应当考虑被审计单位的行业状况、经营性质、法律及监管环境、会计政策和会计方法的选用、财务业绩的衡量和评价等方面的情况对财务信息错报可能的影响。信息安全风险涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的风险,主要针对企业利用信息系统或一定的网络平台来存储、传输、披露相关财务信息而言。在审计过程中,审eta员应当主要关注相关财务信息被盗用、非法攻击或篡改及非法使用的可能性。当然,这两类风险并非完全分离的,评估时审计人员应将两者结合起来考虑。
(三)风险评估内容 广泛意义的风险评估是指考虑潜在事件对目标实现的影响程度。由于网络审计与历史财务报表审计风险评估的目的并不完全相同,因此两者在风险评估的内容上也是存在区别的。总的来说,网络审计的风险评估内容比历史财务报表审计的风险评估内容更广泛和深入。根据《中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风
险》,在历史财务报表审计中,审计人员的风险评估应以了解被审计单位及其环境为内容。为识别和评价重大错报风险,审计人员了解的具体内容包括被审计单位所在行业状况、法律环境与监管环境以及其他外部因素、被审计单位的性质、被审计单位对会计政策的选择和运用、被审计单位的目标、战略以及相关经营风险、被审计单位财务业绩的衡量和评价及被审it@位的内部控制等。在网络审计中。为了识别和评估上文所述的两类风险,审计人员除了从以上方面了解被审计单位及其环境外,还应该关注其他相关的潜在事件及其影响,尤其是企业的财务信息系统及基于网络的财务信息可能面l临的威胁或存在的脆弱点。其中,威胁是指对信息系统及财务信息构成潜在破坏的可能性因素或者事件,它可能是一些如工作人员缺乏责任心、专业技能不足或恶意篡改等人为因素,也可能是一些如灰尘、火灾或通讯线路故障等环境因素。脆弱点是指信息系统及基于网络的财务信息所存在的薄弱环节,它是系统或网络财务信息本身固有的,包括物理环境、组织、过程、人员、管理、配置、硬软件及信息等各方面的弱点。一般来说,脆弱点本身不会带来损失或信息错报,威胁却总是要利用网络、系统的弱点来成功地引起破坏。因此,我们认为网络审计申风险评估的内容应包括以下几方面:(1)识别被审计单位财务信息系统及其基于网络的财务信息可能面临的威胁,并分析威胁发生的可能性;(2)识别被审计单位财务信息系统及其基于网络的财务信息可能存在的脆弱点,并分析脆弱点的严重程度;(3)根据威胁发生的可能性和脆弱点发生的严重程度,判断风险发生的可能性;(4)根据风险发生的可能性,评价风险对财务信息系统和基于网络的财务信息可能带来的影响;(5)若被审计单位存在风险防范或化解措施,审计人员在进行风险评估时还应该考虑相应措施的可行性及有效性。
(四)风险评估程序《中国注册会计师审计准则第1211-----了解被审计单位及其环境并评估重大错报风险》中要求,审计人员应当实施询问、分析程序、观察和检查等程序,以获取被审计单位的信息,进而评估被审计单位的重大错报风险。这些程序同样适用于网络审计中的风险评估。但在具体运用时网络审计中更加注重了解和分析被审计单位与信息系统及网络技术使用相关的事项。在实施询问程序时,审计人员的询问对象围绕信息系统和基于网络的财务信息可大致分为管理人员、系统开发和维护人员(或信息编制人员)、系统使用人员(或信息的内部使用人员)、系统或网络技术顾问及其他外部相关人员(如律师)等五类,分别从不同角度了解信息系统和基于网络的财务信息可能存在的威胁和脆弱点。在实施分析程序时,除了研究财务数据及与财务信息相关的非财务数据可能的异常趋势外,审计人员应格外关注对信息系统及网络的特性情况,被审计单位对信息系统的使用情况等内容的分析比较。实施观察和检查时,除执行常规程序外,审计人员应注意观察信息系统的操作使用和检查信息系统文档。除此之外,针对特定系统或网络技术风险的评估,审计人员还需要实施一些特定的程序。技术方面如ioS取样分析、渗透测试、工具扫描、安全策略分析等;管理方面如风险问卷调查、风险顾问访谈、风险策略分析、文档审核等。其中,iDS取样分析是指通过在核心网络采样监听通信数据方式,获取网络中存在的攻击和蠕虫行为,并对通信流量进行分析;渗透测试是指在获取用户授权后,通过真实模拟黑客使用的工具、方法来进行实际漏洞发现和利用的安全测试方法;工具扫描是指通过评估工具软件或专用安全评估系统自动获取评估对象的脆弱性信息,包括主机扫描、网络扫描、数据库扫描等,用于分析系统、应用、网络设备存在的常见漏洞。风险问卷调查与风险顾问访谈要求审计人员分别采用问卷和面谈的方式向有关主体了解被审计单位的风险状况,使用时关键是要明确问卷或访谈的对象情况风险策略分析要求审计人员对企业所设定的风险管理和应对策略的有效性进行分析,进而评价企业相关风险发生的概率以及可能带来的损失;文档审核是一种事前评价方法,属于前置软件测试的一部分,主要包括需求文档测试和设计文档测试。这些特定程序主要是针对被审计单位信息系统和基于网络的财务信息在网络安全风险方面进行评价,审计人员在具体使用时应结合被审计单位的业务性质选择合适的程序。
三、网络审计与信息安全管理的风险评估比较
(一)风险评估的目的信息安全管理中的风险评估(即信息安全风险评估)是指根据国家有关信息安全技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程。作为信息安全保障体系建立过程中的重要的评价方法和决策机制,信息安全风险评估是企业管理的组成部分,它具有规划、组织、协调和控制等管理的基本特征,其主要目的在于从企业内部风险管理的角度,在系统分析和评估风险发生的可能性及带来的损失的基础上,提出有针对性的防护和整改措施,将企业面临或遭遇的风险控制在可接受水平,最大限度地保证组织的信息安全。而网络审计是由独立审计人员向企业提供的一项鉴证服务,其风险评估的目的在于识别和评价潜在事件对被审计单位基于网络的财务信息的合法性、公允性以及网络财务信息系统的合规性、可靠性和有效性的影响程度,从而指导进一步审计程序。因此,两者风险评估的目的是不一样。从评估所应关注的风险范围来看,两者具有一致性,即都需要考虑与信息系统和信息相关的风险。但是,具体的关注边界则是不一样的。信息安全风险评估要评估企业资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响,它要求评估人员关注与企业整个信息系统和所有的信息相关的风险,包括实体安全风险、数据安全风险、软件安全风险、运行安全风险等。网络审计中,审计人员是对被审计单位的网络财务信息系统和基于网络的财务信息发表意见,因此,风险评估时审计人员主要关注的是与企业财务信息系统和基于网络的财务信息相关的风险,而不是与企业的整个信息系统和所有的信息相关的风险。根据评估实施者的不同,信息安全风险评估形式包括自评估和他评估。自评估是由组织自身对所拥有的信息系统进行的风险评估活动;他评估通常是由组织的上级主管机关或业务主管机关发起的,旨在依据已经颁布的法规或标准进行的具有强制意味的检查。自评估和他评估都可以通过风险评估服务机构进行咨询、服务、培训以及风险评估有关工具的提供。因此。对审计人员而言,受托执行的信息安全风险评估应当归属于管理咨询类,即属于非鉴证业务,与网络审计严格区分开来。
(二)风险评估的内容在我国国家质量监督检验检疫总局的《信息安全风险评估指南》(征求意见稿)国家标准中,它将信息安全风险评估的内容分为两部分:基本要素和相关属性,提出信息安全风险评估应围绕其基本要素展开,并充分考虑与这些基本要素相关的其他属性。其中,风险评估的基本要素包括资产、脆弱性、威胁、风险和安全措施;相关属性包括业务战略、资产价值、安全需求、安全事件、残余风险等。在此基础上的风险计算过程是:(1)对信息资产进行识别,并对资产赋值;(2)对威胁进行分析,并对威
胁发生的可能性赋值;(3)识别信息资产的脆弱性,并对弱点的严重程度赋值;(4)根据威胁和脆弱性计算安全事件发生的可能性;(5)根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失;(6)根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即风险值。结合上文网络审计风险评估五个方面的内容可以看出,网络审计和信息安全风险评估在内容上有相近之处,即都需要针对信息系统和信息可能面临的威胁和存在的脆弱点进行识别。但是,信息安全管理作为企业的一项内部管理,其风险评估工作需要从两个层次展开:一是评估风险发生的可能性及其影响;二是提出防护或整改措施以控制风险。第一个层次的工作实质上是为第二层次工作服务的,其重点在第二层次。《信息安全风险评估指南》(征求意见稿)提出,企业在确定出风险水平后,应对不可接受的风险选择适当的处理方式及控制措施,并形成风险处理计划。其中,风险处理的方式包括回避风险、降低风险、转移风险、接受风险,而控制措施的选择应兼顾管理和技术,考虑企业发展战略、企业文化、人员素质,并特别关注成本与风险的平衡。网络审计的风险评估工作主要集中在第一个层次,即审计人员通过风险评估,为进一步审计中做出合理的职业判断、有效地实施网络审计程序和实现网络审计目标提供重要基础。因此,两者的评估内容是存在区别的。
安全风险评估与管理制度篇5
关键词:电梯风险管理安全三级教育pDCa
中图分类号:tn2文献标识码:a文章编号:1674-098X(2013)01(b)-0-01
随着我国建设事业的迅速发展,在企业的经营管理活动中,工程的风险管理日益受到重视;风险无处不在,电梯行业更是如此。面对复杂的经济环境和激烈的市场竞争,如何发现风险、评估风险、规避风险成为企业管理者不得不面对的一个重大课题。风险管理是指为了达到一个既定目标,对企业所承担的风险进行管理的系统过程,其采取的方法、措施应符合公众利益、人身安全、环境保护以及有关法规的要求。风险管理过程包括风险识别、风险评估、风险响应、风险控制四个方面。
1风险识别是前提
作为一个企业要想得到健康长足的发展,就应该注重安全生产,实施风险管理,收集相关风险信息,确定风险因素,编制风险识别报告。制定多种防范措施,减少风险给企业带来的各种损失。随着我国经济的快速发展,电梯行业迅速崛起,我国目前的电梯产、销量及电梯在用量已处在世界首位。电梯已成为与人们生活密不可分的特种设备,它的安全运行关系到人们的生命和财产安全。确保电梯在设计、生产、安装和运行过程中不发生安全事故,是电梯企业进行风险管理的首要问题。
2风险评估是理论支撑
风险评估就是利用已有的数据资料和相关专业方法,分析风险因素发生的概率和损失量,确定风险量和风险等级。电梯属于一种大型机电一体化特种设备,目前,国内还没有统一的和完整的电梯安全评估准则和程序,建立一套比较完善的电梯安全评估准则、程序和方法,已迫在眉睫。电梯安全风险评估是应用安全系统工程的原理和先进检测仪器设备,对在用电梯运行系统中存在的危险因素进行辨识、检测和分析,通过对潜在的影响电梯系统运行安全的危险因素进行定性、定量分析,预测电梯系统中存在的危险源、分布部位、数量、故障概率以及严重程度等影响电梯系统寿命周期内的安全状况,从而提出采取降低风险的对策和措施。
电梯作为大型特种机电设备有着其特殊性,它不是整机出厂而是需要在现场进行安装、调试。从设计、销售、运输、安装、维护等各个环节都存在一定的风险,它贯穿于各个环节。因此电梯风险评估过程要从电梯的安全要求出发,进行风险情节与风险源的识别;依据电梯的不同阶段划分为不同的评估单元,可分为设计制造评估、安装调试评估、使用管理与维护保养评估等几个大的单元。每个大的单元根据国家规范和相关标准分别包含不同的内容;设计制造评估单元主要依据《特种设备安全监察条例》、《电梯制造与安装安全规范》(GB7588-2003)、《电梯技术条件》(GB/t10058-2009)、《电梯试验方法》(GB/t10059-2009)等国家规范,参考世界发达国家现行的标准,对企业的资质、技术水平、管理能力等进行理论分析;安装调试评估单元主要依据《电梯安装验收规范》(GB/t10060-2011)、《电梯工程施工质量验收规范》(GB50310-2002)等国家规范,进行风险分析;使用管理与维护保养评估单元依据《电梯监督检验和定期检验规则―曳引与强制驱动电梯》(tSGt7001-2009)、《电梯使用管理与维护保养规则》(tSGt5001-2009)、《电梯、自动扶梯和自动人行道维修规范》(GB/t18775-2009)、《提高在用电梯安全性的规范》(GB24804-2009)等国家规范,分别进行曳引能力评估、制动能力评估、限速器一安全钳可靠性评估、电梯控制系统评估、轿层门与层站评估、主要零部件与安全装置评估、能耗评估、运行性能评估等;其目的就是对电梯运行系统中存在的危险因素进行辨识和分析。寻找与事故发生有关的原因、条件和规律,由此可辨识出电梯各个环节中导致事故发生的有关危险源;当条件发生变化时应重新进行评估。
3风险响应策略
风险响应是对预测可能发生的风险采取的策略,常用的对策包括风险规避、减轻、自留、转移、投保等,要有完善的风险管理计划。计划一般要包括以下几个方面(1)管理目标(2)管理范围(3)管理方法及依据(4)风险等级(5)管理职责及权限(6)风险跟踪(7)资源预算。针对电梯行业来讲,掌握好国家的政策和行业动态,运用新技术、新标准,本着节能、环保、安全、降低电梯成本,在研发设计时期,要搞好市场调研,满足不同的消费群体的需求;在运输过程中,对不可控制的意外风险,采取向保险公司投保进行风险转移;在安装维护阶段,要求施工人员要经过专业知识培训并考核合格,持证上岗;上岗前要进行三级安全教育,进入现场要遵守公司的安全规章制度,对使用的电动工具要定期安全检查,做好现场的安全防护,公司不定期进行自检和专检,督促落实好各项制度。
4风险控制措施
根据对危险源的识别,评估危险源造成的风险,确定风险等级,制定出不同风险水平的控制措施计划表。一般风险等级划分为五个等级,可忽略风险、可容许风险、中度风险、重大风险、不容许风险。
针对不同危险源采取相应降低风险的措施,将技术管理和程序控制有机结合起来,尽可能利用技术进步来改善安全控制措施;制定可行、有效、成本效益最佳的应急方案;提高各类设施的可靠性,增加安全系数,减少故障,设置安全监控系统,改善作业环境;加强员工培训,克服不良习惯,严格按章办事,帮助其保持良好的生理和心理状态。电梯安装过程中存在高处坠落、摔伤、触电、物体打击等风险,制定出相应的防范措施,进行安全交底和技术交底,按规定搭设脚手架并加装防护网,预留的洞口和厅门口按要求进行封堵并张贴安全警示标志。电梯每天在不停的运转,由于设备部件不断磨损,电气元件老化等原因,电梯不可避免的出现一些故障,有可能发生如停梯、关人、冲顶、蹲底等风险;因此在维修保养过程中,要严格按照国家规范,每半月进行一次清洁、、调整、检查,确保电梯各项性能满足使用要求。
5结语
随着社会对电梯安全需求的不断提高,电梯安全越来越被人们重视,为了充分认识电梯系统的危险性,就必须对电梯的各个环节进行细致、系统的分析;在此基础上,进行风险的综合评估,了解潜在的危险和薄弱环节,采取科学有效的控制措施,进行风险管理。规避显性和隐性的各种风险,按照计划-实施-检查-处置循环上升的pDCa模式进行风险控制,避免电梯事故的发生,提升企业的综合管理水平。
参考文献
安全风险评估与管理制度篇6
1风险分析的柜架
风险分析(riskanalysis)是最近30年间发展起来的一种的系统化、规范化方法,旨在为食品安全决策提供参考。国际粮农组织和世界卫生组织将风险分析定义为“由风险评估、风险管理和风险交流3个部分组成的一个过程”。“危害”和“风险”是风险分析的2个基础概念,危害是指食品中存在或因条件改变而产生的对健康不良作用的生物、化学和物理等因素,风险是指食品中的危害因子产生对健康不良作用和严重后果的概率函数。风险分析的内容具体为通过对影响食品安全的各种物理、化学和生物危害进行鉴定,定性或定量的描述风险的特征,在参考有关因素的前提下,提出和实施风险管理措施,并与利益攸关者进行交流。风险分析框架(见图1)形象描述了食品安全风险分析的整个过程,更进一步的信息请参考Fao/wHo的食品安全分析出版物。
2风险评估
作为风险分析的核心环节,风险评估(riskassessment)是对食品中各种危害的风险高低进行科学评估的过程,包括危害识别、危害特征描述、暴露评估和风险特征描述4个步骤;风险评估是风险管理,即政府制定和实施食品安全控制措施(包括法规、标准和监督)的科学基础,也是风险交流的重要信息来源与依据。
3风险管理
风险管理(riskmanagement)是根据风险评估的结果,考虑风险评估结果与其他保护消费者健康和促进贸易公平的相关因素,通过与所有利益相关方会商,权衡各种备选政策措施的过程;其目标是形成一系列的食品安全标准、指南和建议。风险管理可以分为4个部分:风险评价、风险管理选择评估、执行评估、监控和回顾。
险交流
根据CaC的定义,风险交流(riskcommunication)是指在风险分析过程中就危害、风险、风险相关因素和风险认知在风险相关各方中(包括风险评估者、风险管理者、消费者、业界、学术团体和其他利益相关方)相互交换或交流有关信息和观点的过程,其内容包括对风险评估结果的解释和制定风险管理政策的依据。进行风险交流的要素包括:风险的性质、利益的性质、风险评估的不确定性以及风险管理的选择。从风险管理的过程来看,风险交流是风险评估结果和风险管理意见的传递及表现形式,也是风险管理的延伸。综上所述,风险评估、风险管理、风险交流3部分相互依赖,并各有侧重,组成了一个相互补充且高度统一的连续、动态整体。风险评估是整个风险分析体系的核心和基础,强调所引入的数据、模型、假设的科学性;风险管理是政府机构根据风险评估结果制定相应的政策和采取管理措施,注重所出的风险管理决策的实用性;风险交流是食品安全利益攸关者之间交换意见的过程,强调在风险分析中的信息互动。
食品安全风险评估
1风险评估的步骤
CaC对风险评估的定义是“对特定时期内因对某一危害的暴露而对生命和健康产生潜在不良影响的特征性描述”。通常包含危害识别、暴露评估、危害特征描述和风险特征描述4个基本步骤(见图2)。具体为利用现有的资料,对食品中某种生物、化学或物理因素的暴露对人体健康产生的不良后果进行鉴定、确认和定量。继危害识别之后,这些步骤的执行顺序并不固定;通常情况下,随着数据和假设的进一步完善,整个过程要不断重复,其中有些步骤也要重复进行。
2危害识别
危害识别是识别可能对人体健康和环境产生不良效果的风险源(可能存在于某种或某类食品中的生物性、化学性和物理性风险因素),并对其特性进行定性、定量描述的过程。识别危害因素的主要方法包括流行病学研究、毒理学研究、食源性疾病监测、食品污染物监测等。流行病研究资料是危害与人体健康损害关系最直接、确切的反映,但成本昂贵且数据较难获得,因此在实际工作中毒理学研究(特别是动物试验)往往是危害识别的主要依据。
3危害特征描述
危害特征描述是定性和(或)定量的评价与食品中可能存在的生物、化学和物理因素有关的健康不良效果的性质。一般来讲,在此步骤应建立消费环节中食品危害不同暴露水平与各种不良健康影响可能性之间的剂量-反应关系。可以用来建立剂量-反应关系的资料类型包括动物毒性试验、临床人体暴露研究以及由疾病调查得到的流行病学数据。大多数情况下是使用毒理学或流行病学数据来进行主要效应的剂量-反应关系分析及数学模型的模拟。合理的剂量-反应关系的建立与分析取决于可得的实验室数据(如剂量水平、毒性或有害反应测量终点等)和所采用的数学及统计学方法。通过剂量-反应模型分析,可获得基于健康水平的推荐量值,如每日允许摄入量(aDi)、暂定每日可耐受摄入量(ptDi)、暂定每周可耐受摄入量(ptwi)和急性参考剂量(aRfD)等;与暴露评估结合还可以对危害因素的暴露边界值(moe)急性估计,量化在特定暴露水平下的风险/健康效应。
4暴露评估
暴露评估是指对于通过食品可能摄入和通过其他有关途径接触的生物性、化学性和物理性因素的摄取量的定性和(或)定量评价。暴露评估所需的基本数据为食品中微生物、化学物或物理性危害因素的含量及食品消费量。根据所关注的不良健康影响的不同,膳食暴露评估可分为急性暴露评估和慢性暴露评估,对化学性危害因素的评估通常是考虑慢性暴露(评估整个生命周期内的每日暴露状况),对于某些污染物、农残和兽残等则还要考虑急性暴露(主要针对24h内食品中有害因素的暴露情况进行评估)。通过比较膳食暴露结果和相应的化学性危害因素的健康指导值,可确定该危害因素的风险程度。而微生物暴露评估主要是描述在消费当时的食品中致病性微生物的分布及消费量,通常针对一种受污染食品的单一暴露。在消费过程中各类环境条件(如温度、湿度等)甚至是存放时间都可使致病菌危害水平发生显著变化,因此会增加评估的复杂性。
5风险特征描述
风险特征描述是指根据危害识别、危害特征描述和暴露评估这3个步骤的结果,对某一给定人群的已知的或潜在健康不良效果的发生可能性和严重程度进行定性和(或)定量的估计,其中包括伴随的不确定性。对于有阈值的化学物,人群危险性取决于暴露量与aDi、ptDi、ptwi等测量值的比;对于没有阈值的化学物则需要计算人群危险性,即评价根据摄入量估计出所增加的癌症病例数是否是可以接受的(不构成危险)或不可接受的(构成危险)。微生物的风险估计可以是定性描述,如把某种致病菌的风险分为高、中、低3个等级;也可以表述为定量形式,如每份食品中风险的累计频数分布、目标人群每年发生的风险、不同食品或致病菌的相对风险等。风险特征描述还需要说明风险评估过程中每一步所涉及的不确定性,将动物实验的结果外推到人可能存在质和量两方面的不确定性,在实际工作中,这些不确定性可以通过专家判断和进行额外的实验(如人体试验)加以克服。
食品安全风险评估结果的应用
风险评估结果可以用于制(修)订食品安全标准和制定其他管理措施、确定国际食品安全监管优先领域、评估监管措施实施效果,并为风险交流提供科学信息。例如,对各种危害因素的评估得出的健康指导值是作为制定食品标准安全指标限值的依据,CaC明确规定在制定食品法典标准时必须以风险评估结果为依据;wHo的SpS协议也规定,各国食品安全标准制订应以风险评估为基础。另外,把风险评估和经济学评估结合起来可确立用于决策的单一模型,这些模型能够将评估结果、健康影响、经济成本和其他成本等转换成可以直接比较的单位(如美元、伤残调整寿命年或质量调整寿命年),以便于对风险管理者决策产生的后果进行更真实的描述。
国内外风险评估工作概况
1国际及其他国家的风险评估工作开展现状
目前国际上正对食品中化学性污染物、生物性污染物、食品添加剂、营养素补充剂等均已建立相应的评估方法。表1列出的是主要的国际专家组织。虽然尚未有专门开展营养素评估的机构,但在2005年日内瓦会议上CaC通过了《建立营养素和相关物质的可耐受最高摄入量的模型》,标志着以科学为基础,制定营养素及相关物质安全摄入量上限工作的开始。各个组织所开展过的评估工作及其工作报告可在其官方网站进行浏览。即使国际组织已经对多种危害因素进行了评估,但鉴于国民健康状况、生产加工工艺及食品消费模式的差异,每个国家都需要开展本国的风险评估工作,才能制定适合国情、保障国民健康的食品安全标准等风险管理措施,并在国际贸易中争取更有利的条件。欧盟、美国、澳大利亚、日本等先进国家与地区都已设置了专门的评估机构(见表2)。美国是最早把风险分析引入食品安全管理领域的国家之一,可以开展食品安全风险评估的机构非常多,表中列出了其最主要的几个部门。
2我国食品安全风险评估工作开展现状
安全风险评估与管理制度篇7
[关键词]危险源辨识有效开展员工安全保障
中图分类号:tD77文献标识码:a文章编号:1009-914X(2015)47-0364-02
1、员工日常危险源辨识风险评估工作是风险预控安全管理体系的基础。
1.1、危险源、危险源辨识的概念
1.1.1、危险源的定义
可能造成人员伤亡或疾病、财产损失、工作环境破坏的根源或状态。
1.1.2、危险源的理解
危险源通常理解为能量物质,或者能量物质的载体。它的实质是具有潜在危险的源点或部位,是爆发事故的源头,是能量、危险物质集中的核心,是能量从那里传出来或爆发的地方。对于环境而言,危险源又常常被称作环境因素。通俗的讲就是危险危害因素是从哪里产生的,是什么东西,处于一种什么样子。
例如:洗煤厂洗煤用的水就是一种能量物质,它本身就是一种危险源,淋到电气设备上就会造成设备损坏或人员伤亡;风包是一种能量物质的载体,它本身也是一种危险源,超压就会爆炸;工作场所的煤尘也是一种危险源,得不到治理超标会使是人致病或发生爆炸。
1.2、风险评估的概念
风险评估是在危险源辨识的基础上,评估危险源发生风险的可能性以及可能造成的损失程度。内容包括、风险、风险后果、风险类型,风险等级、事故类型、危险源与风险的关系,风险评估工作流程。
危险源风险评估内容
风险评估的具体内容包括三个方面:首先要确定事故在一定时间内发生的可能性,即概率的大小;其次要估计一旦事故发生,可能造成损失的严重程度。最后,根据事故发生的可能性及损失的严重程度估计总期望损失的大小,确定风险等级。
1.3、危险源辨识风险评估重要意义
神东各选煤厂都是现代化程度较高,设备台数多,生产量大,各岗位员工劳动强度大,承包设备多的特点,在日常生产巡查、检修过程对于人员的安全防范是选煤厂安全工作中的重中之重。员工能持续做好日常危险源辨识、风险评估工作,是增强员工日常作业安全防范意识,提高风险预控能力,落实各岗位员工安全防护措施,保障员工安全作业的基础。
2、选煤厂员工日常工作危险源辨识风险评估存在的问题及原因分析
2.1、日常工作危险源辨识风险评估存在的问题
近年来,神东公司提出了危险源辨识和风险评估的理念和方法,对神东各选煤厂安全生产起到了极大地促进作用。但部分员工对危险源辨识和风险评估方法掌握不好,经常只停留在班前会上,辨识和评估不到位、不全面。在作业现场很少进行针对性的危险源辨识和风险评估,作业过程中常常把危险源辨识和风险评估忘在脑后。更没有在作业完毕后回头总结危险源辨识和风险评估是否到位,没有吸取经验教训,也没有对某项作业进行全员系统地危险源辨识和风险评估。这样会导致作业现场人员和设备不安全因素的增加。
2.2、选煤厂员工日常危险源辨识工作中存在问题的原因分析
2.2.1、部分员工安全意识淡薄、思想麻痹,有嫌麻烦图省事的心理。这些员工也是不安全行为发生的重点人群。
2.2.2、部分岗位技能差、文化素养低员工,新员工、劳务工、驻厂服务队等不稳定人员。这些员工的自身问题,危险源辨识不熟悉。
2.2.3、对员工危险源、风险评估知识的培训不到位,厂部及车间管理人员没有作好对员工的危险辨识方法的引导,员工的危险源辨识会无头绪,没有让员工认真理解危险源风险评估的方法。员工无法与自己的的实际工作紧密结合应用。
2.2.4、日常员工危险源辨识工作未建立有效的考核管理机制。这样缺少管理激励机制,上级部门及车间管理人员对员工危险源管控、现场落实情况监督、管理不到位。
3.如何开展好选煤厂员工日常危险源辨识风险评估工作,提高员工安全防范能力
针对员工在危险源辨识及风险评估工作中的不足,安全管理人员及车间管理人员如何组织好、管理好车间、班组员工风险源辨识及风险评估工作,充分调动员工自主安全管理的积极性。如何能切合每个车间、班组、岗位实际工作,能够有针对性开展好风险源辨识及风险评估工作,进行如下分析、探讨。
3.1、危险源辨识的内容
危险源辨识的内容主要是从人、机、环、管四个方面分别考虑,这样既能够保证危险源辨识结果的全面性和合理性,且方便对危险源进行分类控制和管理。危险源辨识还需要考虑三种状态及时态。三种状态分别指正常状态、异常状态、紧急状态;三种时态分别指过去、现在和将来。由于危险源具有潜在性,所以辨识危险源必须考虑各种情况下可能出现的不安全因素,同时还要考虑过去曾发生过什么事故或事故,从中吸取教训,找出事故的原因,考虑目前系统中存在或潜在什么不安全因素。
3.2、危险源辨识的方法
危险源辨识常用的方法可分为两大类:即直接经验分析法和系统安全分析法。常用的直接经验分析法主要包括:工作任务分析法;直接询问法;现场观察法;查阅记录法等。常用系统安全分析法主要包括:安全检查表法、事故树分析等。
对于车间岗位来说,辨识危险源比较实用的方法是工作任务分析法。
3.3、针对各岗位危险源辨识及风险评估方法
岗位危险源一般指生产岗点和作业场所潜在的对作业人员有直接危害的人、机、环不安全因素和管理缺陷。
岗位危险源辨识与分析原则上采用工作任务分析法,辨识时车间班组按工作场所进行。它可以针对所有的工作任务以及每项任务的具体工序,对照相关的规程、条例、标准,并结合实际工作经验,分析每道工序中可能存在的危险源。
对辨识出的危险源按人、机、环、管进行分类。风险评估原则上采用风险矩阵评价法进行,评估结果应按照特大、重大、中等、一般、低五个级别进行分类。一般按照如下步骤进行:
(一)工作任务梳理。从岗位入手,识别岗位的常规任务和非常规任务。
(二)工序梳理。将工作任务分解为具体工序步骤,一般从准备、执行和收尾3个阶段分解。
(三)识别每个步骤中的危害与风险。按照任务执行中所暴露的环境、设备和行为,确定潜在的危险。
(四)认定风险类型。按照危险源隶属的系统,分人、机、环、管四类。
(五)评估风险后果描述。判定辨识出的潜在危险源可能导致人员伤害、设备或设施损失的情况。
(六)确定可能导致的事故类型。
按照《企业职工伤亡事故分类》(GB6441―1986)分为20类,即:
1.物体打击;2.车辆伤害;3.机械伤害;4.起重伤害;
5.触电;6.淹溺;7.灼烫;8.火灾;
9.高处坠落;10.坍塌;11.冒顶片帮;12.透水;
13.放炮;14.瓦斯爆炸;15.火药爆炸;16.锅炉爆炸;
17.容器爆炸;18.其他爆炸;19.中毒和窒息;20.其他伤害。
(七)评估风险等级。结合工作实际情况,确定危害的严重性,通过下述方法计算风险等级:
风险等级=可能性×严重性
风险矩阵法:图略
员工风险评估举例:
更换重介浅槽刮板
1.停电、验电、上锁、作业前工器具要准备到位,防止出现误起设备伤人。风险类型:人
2.拆卸刮板:
2.1人员站立位置合适,以防在拆卸的过程当中摔倒受伤。风险类型:人
2.2拆卸刮板时作业人员相互要配合到位,防止在松动螺栓、防止刮板时造成人员伤害。
风险类型:人
2.3拆卸过程中严禁用大锤用力敲击刮板与链条连接处,以防损坏链条的相关部件。风险类型:机
2.4.现场照明不足,导致人员作业时由于光线暗造成人员意外伤害。
风险类型:环
3.装配刮板
如拆卸刮板进行逐一辨识
4.清理现场
4.1工器具或者其他物件清理不到位,导致刮板运行过程中出现卡阻等现象。风险类型:机
5.送电试车
5.1试车时,人员没有全部撤出造成人员伤害。风险类型:人
5.2试车时安全链没有解开造成刮板链拉断或者电机过热动作等。
风险类型:机
风险等级:F1×H5=5一般(由于每个人作业的安全考虑程度不同,风险等级可根据自己的实际情况进行确定。)
(八)确定风险管理对象。找出可能产生或存在风险的主体。根据危险源辨识划分的风险类型确定相应的管理对象。风险类型为“人”或“管”,管理对象为对应岗位人员;风险类型为“机”,管理对象为对应的设备、设施、工器具;风险类型为“环”,管理对象为对应的作业环境影响因素。
(九)制定风险管理标准。针对管理对象制定以消除或控制风险的准则,即要求做到什么程度。要符合相关法律法规、技术标准要求。
(十)明确管理人员。含主要责任人(管理对象或对象管理者)和直接管理人(主要责任人的直接上级)
(十一)制定风险管理措施。使管理标准得以落实的手段。要符合相关制度的要求,且具体、简洁、可操作性强。
3.5、全方位、全过程开展好车间班组员工的危险源辨识风险评估工作。
车间、班组主要采用非正式风险评估方法(对于暂时不能消除风险的危险源要纳入正式风险评估成果表中),至少包括班前、作业前和作业中动态组织的风险评估;必要时要保留记录。评估方法、记录形式不做限制,一般按如下方式开展:
3.5.1、班前风险评估
班前风险评估是指召开班前会过程中或之前,根据现场反馈信息及当班任务进行的安全风险评估。实践中,要与班前会工作任务布置、规程措施贯彻相结合。每班班前会,带班车间主任及班组长要组织当班人员对本班工作任务进行认真分析和风险评估,对异常情况(发现新危险源或已辨识出的危险源管理标准与措施不能满足管控需要)必须明确现行的管控措施。班前会可采用灵活多样的方法进行危险源辨识风险评估,提高员工的积极性,如先让作业人员对自己工作任务危险源风险评估,其他人员及班组长车间管理人员强调补充,进行危险源辨识风险评估评比活动等。
3.5.2作业前风险评估
作业前风险评估是指生产作作业前风险评估是指班前会后、上岗前及交接班过程中组织的安全风险评估。实践中要与现场交接班相结合;交接班除交待工作任务外,必须将存在的主要风险交待清楚。作业前,带班领导、车间主任及班组长要组织每个岗位人员对所在岗位作业环境、设备设施的安全状况进行风险评估,并落实管控措施。
3.5.3、作业过程中风险评估。
作业过程中,根据现场人、机、环管状态实施对现场安全状态进行的评价。实践中要与作业规程、操作规程、安全技术措施、标准化作业流程的执行相结合,逐步培育员工“五思而行”的习惯。即:
1.本项工作有什么风险?不知道不去做;
2.是否具备做此项工作的技能?不具备不去做;
3.做本项工作环境是否安全?不安全不去做;
4.做本项工作是否有合适的工具?不合适的不去做;
安全风险评估与管理制度篇8
关键词安全认证风险管理需求步骤评估
一、企业安全认证的发展
2006年,世界客户组织(worldCustomsorganization,wCo)以wCoSaFF(FrameworkofStandardstoSecurityandFacilitateGlobal,SaFe)标准架构实行优质企业(authorizedeconomicoperator,aeo)安全认证,以提供更加安全的供应链管理系统,针对国际贸易交易上的所有参与者,通过各国海关设定准则的aeo安全认证资格,以确保货物从原产地至目的地的全球供应链安全。在这种背景下,国际间各国已陆续实行“优质企业安全认证”计划,国际贸易是我国经济发展的重要组成部分,应配合国际贸易安全发展趋势,以提升我国经济贸易的竞争力。
我国的aeo优质企业安全认证制度对申请的企业有基本的门槛要求。对于进口业、出口业、制造业、仓储业、运输业、货运承揽业、港口经营业等十大行业,各有其应符合的项目。想要取得aeo认证的企业,必须建立一套安全管理的制度,对于曾经通过国际标准化组织(internationalorganizationforStandardization,So)认证的企业,会相对容易的将aeo要求转换为企业内要求。其中,优质企业安全审查项目及验证基准共包括十四大项审查,具体内容包括200余项的验证基准。天水星火机床有限责任公司走上国际化经营的道路,先后收购法国索玛公司、意大利高嘉公司、参股德国亨利安公司等,在欧洲建立了销售、研发中心,产品也销往全球,那企业风险管理与安全控制就很重要,为此企业从销售,技术,生产,服务各环节加强控制,确保企业高效运行。
二、风险管理的需求及步骤
(一)风险管理
wCoSa规范内容中的主要精神就是要求各国海关以风险管理为基础展开各项导入工作的建议,以确实维护货物全程供应链的安全。风险被定义是某项足以影响目标达成的事件发生的可能,以影响程度及发生机几率加以衡量。风险不完全有害,因为风险往往伴随着机会。但风险容易或影响阻碍管理者和组织实现其经营目标,在极端情况下甚至能够摧毁组织。然而,货物在供应链的移动过程中,安全管理环节众多,相关业者所提供的服务及人员复杂,货物在不同界面中移转,若仅依靠法令规范或待由执法单位稽查,难以全面性的防止货物于供应链上遭到非法活动介入或破坏。
风险也不仅是“发生坏事",有的风险是失去了的潜在的业务机会,对组织来说,不仅代价昂贵,也是致命的。实质上,成功的经营需要把组织的资产和资源与风险结合起来,以实现组织策略和经营目标。因此,有效的风险管理是帮助组织理解和提前对经营风险做出响应,以便更好地实现目标。
(二)步骤
一般来说风险管理的实施,主要分为五大步骤:
(1)建立风险管理执行背景体系。此步骤主要为建立企业策略及组织的关联性,包含:建立环境要素、建立机会要素、建立风险管理架构、发展风险评量标准、定义风险分析对象。
(2)风险辨识。辨识风险方面,1932年美国政治学家加拉斯维尔最早提出的一套传播模式,经过人们不断应用逐步形成一套成熟的"5w+1H"模式,亦称六何分析法,是一种思考方法,也可以说是一种创造技术,都要以原因、对象、地点、时间、人员、方法等六个方面提出问题进行思考。例如,风险为何发生、何种风险会发生、何处发生、何时发生、谁造成的及如何发生的,以作为更进一步的分析。
(3)风险分析。首先确认既有的风险控管机制,并计算出风险发生的几率及评估风险等级后,即可评量事件发生所产生的影响。
(4)风险评量。风险层级可以最普遍的高、中、低三种层面显示,在比较复杂的环境可以1~100显示其层级的高低。
(5)风险处理。列出、评估及选择风险对策,接受并监督不须优先处理的较低风险,对于须优先处理的高风险则衡量人力、财力及技术资源订定管理计划,并据以执行实施。
三、风险评估
风险评估是指在风险事件发生之后,对于风险事件给人们的生活、生命、财产等各个方面造成的影响和损失进行量化评估的工作。从我国情况来看,自2009年底起开始导入实施aeo以来,已构建起“须就其营业事项涉及的供应链安全”、“定期从事风险评估”、“建立适当机制,以减少风险发生的几率”等规定,实行国际通用供应链安全风险评估工具,并且搭配供应链商业伙伴管理机制,建构起了一套完整的风险评估作业方式。
虽然风险评估的精确性很重要,但对风险作精密、详尽的量化也可能是不利的,因为这样的风险衡量过程,容易使评估工作变得复杂并延迟了评估进程。所以,以“风险对实现组织目标影响”和“风险发生的可能性”作为基础,对风险进行量化和分级将是较有助益的方式。安全风险评估的五大因子包括:资产价值(asset)、威胁等级(threat)、弱点(Vulnerability)、后果(Consequence)和可能性(Likelihood)。评分标准设定依据五项风险评估因素进行评分标准设定,将等级划分为5个等级,即极低度风险、低度风险、中度风险、高度风险与极高度风险,最低等级1分至最高等级5分。
对于其它的风险,可用复杂的财务或日常的方法来为组织衡量风险。风险的量化在风险管理过程中,可能也是非常重要的。极高度风险应该放在被关注的首位,并需要立即采取行动;当风险被定位成低度风险时,就可以很少提交给有关人员进行检查,控制也可能会由此减少。按照这样一个简单的风险优先排列顺序,企业在风险管理上就可充分的利用时间、资金和资源,完成更好的风险管理的目标。
四、结语
从实务的角度来看,企业在建立风险情境时,建议须以集体会议意见法,先针对企业的资产检视并做分类,接着分清楚外部或内部的风险因子,再依据各部门对风险辨识所产生的后果做说明,最后针对资产价值、威胁等级、弱点、后果和可能性作等级评量,得出正确的分数,以建立过合企业自身的风险评估鉴别表。最后,列出、评估及选择风险对策,接受并监督不须优先处理的较低风险,以执行完成风险管理目标。在风险管理实施的流程中,不断地与供应链利益相关者进行协商与沟通,如员工、客户、商业伙伴等,以持续改进风险辨识、风险分析、风险评量等有关风险评估的工作,并应监督及检讨风险管理系统的效能,借助由美国学者爱德华兹・戴明提出“戴明环”模式来规划(plan)、实施与运作(Do)、检查与矫正(Check)、审查与改进(act),进行持续改善控制,最终实现实施成效,并使其成为下一个风险管理循环流程的基础。
(作者单位为天水星火机床有限责任公司)
参考文献
[1]张蕊.有效的风险管理要有可共享的个人信息的支持――访费埃哲公司董事总经理anthonyRouseKieffer[J].中国金融电脑,2007(10).
安全风险评估与管理制度篇9
1煤矿风险预控管理体系的运行过程
1.1对危险源进行辨识危险源是指在煤矿行业的生产过程中,可能会对煤矿工人的生命财产安全或是对煤矿的正常生产造成影响的根源,是导致煤矿企业生产与管理过程发生事故的根本原因。
1.2对危险源的风险程度进行评估在对危险源进行辨识后,需要及时对事故的风险程度进行评估。正常情况下,可使用安全检查表、事件树分析、事故树分析以及预先危险性分析等方法,对煤矿生产过程中存在的一些危险因素进行评估,并针对危险源的风险率与其可能造成影响进行量化处理,在风险评估完成之后,依据风险程度采取适当的安全措施,把风险控制在煤矿安全生产可允许的范围之内。
1.3制定风险管理标准风险管理的标准是指各项风险管控措施实施所需的相关依据。在煤矿企业对风险管理的标准进行制定时,应该严格依据相关法律法规、技术规程以及标准进行,再结合煤矿生产自身所具备的特点与企业风险管理的水平,制定出具体可行性与经济合理性都相对较高的风险管理标准,促进煤矿安全管理模式系统化、高效化、规范化的运行,避免危险源转化为安全事故。
1.4制定有效的风险管理措施以危险源辨识和风险评估得到的结果为依据,依照风险管理中的相关标准,制定出具体、可行的风险管理措施和方案,并采取可操作性较高的风险管理措施。由于煤矿安全生产的管理资源有限,无法对所有的风险进行全面的控制,因此,煤矿企业可以依据危险源的分级管理原则,将风险划分成为不同的级别,再针对不同级别的风险,采取对应的管控措施。
2风险预控体系在煤矿安全管理中的作用
2.1促进科学安全管理流程的建设风险预控体系通过对煤矿生产过程中的安全生产系统、作业环节以及工作岗位等方面存在的危险因素进行辨识,可明确安全管理的对象,并针对该对象的风险进行评估,且依据评估的结果对煤矿安全管理过中的重点环节进行确定。并结合煤矿生产安全的实际情况,依据国家相关的法律法规制定出合理的安全防控体系,因此,在煤矿安全管理中对风险预控体系进行合理的运用,能够在很大程度上促进煤矿科学安全管理流程的建设。
2.2推动超前预防管理的实现通过风险预控管理体系对危险源进行辨识,对煤矿生产过程中存在的风险进行评估,从而制定有效的风险控制标准和措施,将煤矿安全生产管理从传统模式转化为现代新型管理模式,即:风险的辨识与评估、风险的控制与降低、事故的预防与消除,利用信息网络,实现安全管理系统中的自动预警功能,达到对各类危险源进行跟踪管控的目的,以此来实现煤矿事故的超前防范,推动新型主动式风险预控安全管理模式的建立。
2.3降低煤矿企业安全事故的发生率1)将煤矿企业的各级领导干部与业务部门作为安全管理的主体,做好相应的风险辨识和评估工作,以加强煤矿企业安全生产整改措施的实施,降低煤矿生产过程中安全事故的发生率。2)将煤矿企业生产过程中的区队、班组及一线操作人员作为安全管理的主体,对各个工作岗位上的危险源进行有效辨识和评估,为煤矿企业风险管控措施的制定提供必要的依据,以避免煤矿生产过程中出现安全事故。
2.4有利于煤矿企业建立闭环管控体系风险预控管理体系严格按照pDCa循环管理办法执行,建立出一套从管理对象开始,一直到实现管理目标的自动循环、闭环管理及螺旋提升式的长效管理机制,不仅能将管理体系中的各个子系统进行合理的衔接,还能确保该管理体系可以进行独立式循环工作,有利于煤矿企业安全机制的改善和闭环式管理的形成。
3结语
安全风险评估与管理制度篇10
关键词:商业银行;信息系统风险;控制
为了有效防范银行信息系统风险监管,银监会正式颁布了《银行业金融机构信息系统风险管理指引》,以促进我国银行业信息系统安全、持续、稳健运行。作为基层银行,就要认真学习商业银行信息系统的特点,建立适合商业银行风险特征的评估模型,运用先进的风险评估方法,逐步完善信息系统风险评估的流程,并通过信息系统风险评估的手段,保障企业信息资产的安全,确保系统数据的完整,使商业银行适应复杂的运行环境,满足日益强化的风险管理需要。
一、商业银行信息系统风险模型
商业银行信息系统风险评估模型基本上可以划分为基于业务风险控制的风险评估模型和基于信息技术控制的风险评估模型。商业银行信息系统按业务划分,主要业务模块包括柜面业务系统,atm、poS、网上银行、电子商务支付和客服中心等,其中柜面业务子系统包括:存取款、贷款、信用卡、中间业务、国际业务、结算、代收代付等。其商业银行的业务功能结构如图1。
以上可以看出,基于业务风险控制的风险评估模型是针对业务流程的控制和业务的风险管理,是信息系统在规划、研发、建设、运行、维护、监控及退出过程中由于管理缺陷产生的操作、法律和声誉等风险[1]。
另一类是关于技术控制的风险评估模型。这类模型建立在相关的信息安全标准之上,主要考虑的是安全技术的实现架构和实现方式,并以此来评估系统的技术风险。银行的安全架构是由物理设备安全、网络安全、交易安全和数据完整性安全等,其中交易安全包括:密码技术、身份认证和安全交易技术。其层次结构如图2。
随着信息技术应用的普及,网上银行、手机银行飞速发展,随着银行业务的拓展,各种中间业务等银行新型业务和金融产品的出现,银行信息系统开始不同程度向外界开放,对银行开放信息系统的依赖越来越强。加上各商业银行实行数据大集中,将过去保存在基层的存贷款等业务数据集中到高层数据库存放,导致单笔交易所跨越的网络环节越来越多,银行信息系统对通信网络依赖程度越来越高。
电子金融服务的发展,使商业银行信息系统开放运行,与公共网络连接,暴露在公共网络具有各种威胁底下,网上银行、手机银行、电子商务支付等银行新业务,在成为商业银行利润增长点的同时,导致银行信息系统的风险剧增。商业银行对信息系统的安全性要求进一步提高。
二、商业银行信息系统风险评估方法
商业银行在面对实际的信息风险时,需要建立定位于信息全面管理的风险评估模型。信息系统风险管理的目标是通过建立有效的机制,实现对信息系统风险的识别、计量、评价、预警和控制,推动银行业金融机构业务创新,提高信息化水平,增强核心竞争力和可持续发展能力[1]。因此,必须兼顾业务风险模型和技术风险模型的相关方法,建立一种银行信息系统风险识别模式,用于发现系统自身内部控制机制中存在的薄弱环节和危险因素,发现系统与外界环境交互中不正常和有害的行为,找出系统的弱点和安全威胁的定性分析;必须建立一种银行信息系统风险评价模型,用于在银行信息系统风险各要素之间建立风险评估,计量风险的定量评价方法。
转贴于 根据商业银行信息系统风险模型,其中基于业务风险控制的风险评估模型主要针对银行业务具体处理,其风险识别是观察每一笔具体的业务数据,也可以转化为银行资产的差错;其中基于信息技术控制的风险评估模型主要针对安全保障技术,其风险识别是找出系统可能存在的不安全因素。据此,可以推理出系统风险评估模型为:
商业银行信息系统风险评估模型由四个模块组成:业务差错识别模块负责找出每一笔已经发生的差错业务,其方法是通过业务差错发现和资产调查寻找每一笔差错业务,修正商业银行信息系统运行错误;威胁分析模块负责寻找技术安全威胁,用安全扫描来找出安全漏洞,用入侵检测来发现受到的侵犯;安全分析模块负责对系统设置的安全策略进行分析,对系统内部运行的软件进行分析;系统安全评价模块在前面三个模块分析结论的基础上由银行风险因素诊断指标体系[2]得出系统安全评价量化指标。
该商业银行信息系统风险评估模型的特点主要是:1.业务风险评估和技术风险评估同一量化构成信息系统的风险,便于系统的横向比较;2.采用自动化的检测评价为主的方法,对于硬件的风险和人为的风险,可以加入人工评价修正,有利于实时监控;3.系统简洁,事前预防和事后发现相结合,可行适用。
三、商业银行信息系统风险控制措施
通过风险评估,可以进行风险计算,计算出大致成本,控制防范风险就是要采取行动,并得到资金的支持。银行业金融机构应根据信息系统总体规划,制定明确、持续的风险管理策略,按照信息系统的敏感程度对各个集成要素进行分析和评估,并实施有效控制[1]。
在硬件方面控制风险,首先要选择合适的供应商,选择满足安全要求的解决方案。在网络安全方面,要将银行内部网络与银行外部网络隔离,通过防火墙或者服务器连接。通过隔离连接容易实现数据检查,减少系统暴露面,发现问题系统及时报告及时处理。在银行信息系统建设上,可以借鉴成熟的运行系统,采用成熟的信息技术,银行业金融机构应重视知识产权保护,使用正版软件,加强软件版本管理,优先使用具有中国自主知识产权的软、硬件产品;积极研发具有自主知识产权的信息系统和相关金融产品,并采取有效措施保护本机构信息化成果。[1]
在银行信息系统运行方面,银行业金融机构应建立健全信息系统相关的规章制度、技术规范、操作规程等;明确与信息系统相关人员的职责权限,建立制约机制,实行最小授权。[1]
银行信息系统风险管理要坚持持续管理风险的理念,银行信息系统风险的存在是会随着时间和环境的变化而不断变化,持续管理就是要跟随环境的变化。建立持续管理策略,就是在银行信息系统中,不断地进行评估。不断地实施pDCa循环,即计划(plan)、实施(Do)、检测(Check)、改进(action)四个进程。安全控制的境界不能放在不断纠正错误上,应该放在预防上,就是要不断检测,不断发现不安全因素,不断地改进,使系统符合变化环境下安全需求。
参考文献
[1]中国银行业监督管理委员会.银行业金融机构信息系统风险管理指引.银监会313号文件,2006.11.1