发布时间:2022-05-14 04:10:45
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的1篇安全风险管理论文,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
建筑工程是施工是一个系统的工程,包括材料的采购、施工进度计划的制定、人员的安排调配、进度跟踪、质量检测等等,每一个环节都与整个工程的质量有着密切关系。近年来,我国建筑工程行业取得了巨大的发展,各地房地产业迅速崛起,公路、铁路、桥梁的建设也有很大的发展,这些建筑工程为国民经济做出了巨大贡献的同时,也存在着一定的安全隐患对工程的利益和人们的生命财产造成了损失,因而就必须加强对建筑工程的风险管理,建立一套全面的安全风险管理与评价体,保证施工过程的顺利完成。
一、安全风险管理与评价概述
(一)什么是安全风险管理与评价。所谓安全风险管理指的是研究风险发生时控制风险的有效方法和举措,安全风险管理的目的是减小风险造成的损失,一般而言安全风险管理是工程项目管理中的基本内容,是一种主动性的防范风险措施。安全风险评价则是对存在的风险因素进行评价分析的过程,他一般是采用相关的技术标准和指标,确定各个风险因素对项目可能造成的影响,对整个项目的安全水平做一个整体的评价。
(二)建筑工程安全风险管理的重要性和必要性。建筑工程项目一般规模大、建设周期长、建设环境较为复杂,因而在施工中也存在着一些不稳定、不确定因素,这些因素的存在使得建筑工程的安全风险性降低。进行安全风险管理可以提升建筑工程的安全等级,保证建筑工程顺利完工,有利于保证工程质量、保证施工人员安全和保护施工企业的利益;另一方面,安全风险管理也是现代企业进行自我管理的方式之一,进行安全风险管理可以排除企业在经营管理中的风险因素,有利于企业的长远发展,使企业在激烈的市场竞争中占据有利地位。
二、建筑工程风险种类与形成原因
(一)安全风险种类。建筑工程是一项系统工程,涉及到许多环节,其风险的产生也出现在某一环节或众多环节之中,一般而言,建筑工程的风险种类主要有机械伤害、高空坠落、触电事故、建筑倒塌、物体打击,等等。
(二)安全风险形成原因。建筑工程的风险因素主要来自以下几点:一是施工人员操作的不规范,部分人员由于操作不当造成机械设备出现故障对施工场地的人员形成伤害;二是设备的质量和状态问题,建筑工程需要大量的机械设备,有些设备年久失修,发生线路老化等现象造成的危险;三是施工环境造成的风险,建筑工程在施工过程中经常会遇到雷暴、雨雪天气,在给施工造成困扰的同时还有可能造成安全事故;四是其他方面的原因,有些工程由于设计上的不合理或是综合作业安排不当造成的安全问题。
三、建筑工程加强安全风险管理的举措
(一)建立完善的安全风险评价体系。风险评价体系是安全风险管理的基础和直接依据,因此要加强建筑工程的风险管理就必须完善安全风险评价体系。运用专业的风险管理人才,能够对工程施工过程中可能遇到的风险进行全面的分析,并就存在的风险提出相应的风险解决对策,保证建筑工程施工过程中尽量少地受风险因素影响,将风险造成的损失降到最低程度,最大限度地保障施工单位的利益。
(二)做好施工现场安全管理。现场管理是建筑工程管理的重要方面,在施工现场之中,涉及到原料的准入安全、人员的施工安全、机械的操作安全等等,任何环节的安全事故都会对整个建筑工程造成影响。为此,在安全管理之中,做好施工现场的安全管理工作十分必要。首先,在材料准入方面,坚决按照相关的质量标准进行,对于不符合质量的原料坚决退回,保证施工材料的安全性;其次,在人员管理上,采取严格的管理制度,进入施工场地,必须佩戴安全帽,对一些严禁烟火的施工场地,禁止施工人员抽烟,一经发现,坚决处理;最后,在相关机械的操作上,聘请专业操作人员进行操作,在大型机械运行过程中,机械下方严禁站人,在部分机械施工区域设立围栏,等等。
(三)加强安全教育。在许多建筑工程中,安全事故的发生是由于人们的安全意识不强造成的,因而在施工过程中,还要加强对施工人员的安全教育。对于施工过程中存在的危险因素,要向施工人员讲明,让施工人员了解这些因素,在施工过程中尽量避免触发这些因素。同时,对于一些由自然因素造成的危险如雷暴、雨雪天气等,要向施工人员讲解灾害的预防措施,保证施工人员的安全,并列出规避风险的办法。
作者: 李连合 单位:北京中宏基建筑工程有限责任公司
1供热企业安全管理问题概述
1.1供热新技术推广普及不够
因为发展水平不一,市场不均衡导致的人才流动,有些供热企业技术不足,人才不足,对新兴的供热技术不了解,不掌握,或者说摆在眼前也不会使用,新技术新理念推广不足,特别是对已在实践中被反复验证了的、可提高供热质量、提高系统安全性和节约能源的先进供热技术没有人员操作,也不采用。有些先进技术就无法达到推广的目的。比如热水管网的直埋无补偿技术、简单可靠的自力式流量控制阀调网技术、多热源联合供热技术以及水泵超常规节电技术等都是成熟的技术。但企业因为种种原因还在使用老办法,导致企业一直处在能源消耗大、供热效果差、投入成本高、简单劳动等的的落后状态。
1.2供热监督与管理力度不够
我国经济发展不均,行业发展速度不同,有些快速发展的行业已经意识到节约能源的作用,相关行业已发起了节能运动。供热企业虽然集中在三北地区,但也在市场经济大潮中得到快速发展。能源的节约关乎各个方面,在供热流程中起到重要作用,对供热的认识角度、从供热技术、供热质量及供热安全管理等方面,都能看到存在的影子。供热企业消耗大量能源,对于能源的合理使用,关乎国家命脉,直接影响着企业的供热质量,关系到企业的生存发展和热用户利益。特别是十八大以来,举国实现中国梦的前提下,供热好坏牵扯到社会安全与稳定。
1.3落后的供热系统存量较大
供热发展已有二十多年,通过发展和更新,一些新建的供热系统使用上了新技术,但在实践工作中,却理念不新,观念落后,仍在走老套路。比如,可称之为原始型的直供不混水系统,虽然在小型的供热系统中采用是恰当的,但在一些中型的供热系统中仍被广泛的采用,而且一些还超过了200万m2供热面积,甚至地形高差较大的供热系统中也在采用;还有的供热系统把直供、直供混水和间供混乱在一起使用,并由热源供出统一供水温度。
1.4供热系统存在许多技术缺陷,供热合格率不高
造成建设投资高、运行费用高、能源浪费的主因是,热源、热网和热力站都普遍存在着许多技术缺陷和设备选型明显不合理的现象。特别是有些供热企业基础力量弱,当时建设用地是政府免费提供的,建设资金是银行借贷来的,供热收益不足,使一些企业无法翻身,没有办法及时偿还货款,有的多年转运都是亏损,供热企业生存和发展成了大问题,就别谈什么技术更新、人才储备了。这样的现象直接导致供热质量差、热用户冷热不均现象,由于资金短缺,不少供热企业解决低温用户的方法简单粗暴,这样的错误做法恶性循环,从而进一步恶化了处境,浪费了能源,提供的是不合格的供热服务。
2供热企业的安全管理问题的分析
2.1供热企业的安全技术管理
(1)水力失调:热力网系统的技术通病是系统水力失调,这主要是最初设计或运营调控设备选择上存在巨大问题,人才不足的问题直接显现出来了。直埋补偿不当措施增加了运行不安全隐患。不同参数使用同一管网,不匹配不协调就会出现,这样就不利于整体运行调节,极容易发生水力失调,导致不安全的发生。可以说供热是一个技术性相当强的系统工程,不但要搞好系统设计和施工,而且要按科学办法运行,要想达到良好的供热效果,必须加强供热运行。(2)锅炉问题:锅炉燃烧系统的主要问题在于锅炉的炉墙、排渣口和除尘器等漏风,引风机是否使用变频调节,加强程序控制和过程调节,有效措施可以节能环保。锅炉热力系统问题主要出在循环水量偏大、锅炉进出口管径偏小、压力表数量少、稳压点位置偏离及设置分集水器等方面,这些问题影响的主要因素是增加循环阻力和不利于运行管理和节电。(3)终端用户:终端用户是重要节点,用户网堵塞、积气都极容易造成安全管理上的难度。只有从设计、施工入手,采取相应对策,提高施工人员技术能力和从业素质,加强责任心理念建设,才能认真做好终端用户安装和改造,合格的施工能够防患未然,让人们安居生活,安全生产,舒适的环境保证人体健康。(4)循环水泵:选型循环水泵如果是不当的,或者安装不适合,也会造成一定的安全问题,而且这是一个相当普遍的问题。各供热企业和热电厂循环水泵是供热行业中电能浪费最严重的地方,盲目使用变频技术、安装止回阀和水泵进出口配管等,是最容易出现的安装问题,这些问题都影响着供热安全,不论是哪个环节出了问题,轻则会造成经济损失,重则会损害人们的健康和生命。
2.2供热企业的安全监督
供热系统是一个敞开式的循环系统,连接着家家户户,这就是安全管理和监督上造成了麻烦,复杂性可想而知。只有从用户到企业都严格遵守操作规程,加强安全教育的督导,合理使用供热系统,保护供热器材和设备,用户和企业的安全才能得以完全保障。
3供热企业安全风险管理问题的思考
3.1老思想老习惯适应不了新形势
供热安全技术管理和供热安全监督管理两个大问题,从技术标准到管理制度和安全法规的执行,都有具体环境,应该按事物发展的实际规律,具体问题多做具体分析,灵活应用,而往往许多供热企业新进人员较少,多年形成习惯,墨守陈规,硬套规范,在安全管理上意识不强,实际操作中出现的集水器设置就是不适应现代操作规范的老套路,这样的老规范就不能一成不变的套用,要在实际工作中,加强流程更新,改变旧观念,进行技术改造,以满足现代企业发展的需要,达到服务用户的目的。
3.2信息不畅通造成企业和人员固步自封
网络技术的的发展,给人们生活带来巨大便利,许多企业为了宣传自己、服务用户,都建立了自己的网站和网页。但目前来看,各地供热信息网还多数在起步阶段,就算是有自己的网站,也长期处于弃管状态。企业只顾着闭门抓生产,没有很好的进行自身宣传和建设,用户不了解企业情况,企业不知道自己的用户是谁,相互不了解,造成企业与用户的分离,用户信息得不到有效反馈,企业也很少了解别的企业现状,更不能及时更新技术,无法得到应有提高,形成一种不良状态。
3.3供热法规和知识宣传不够
供热企业往往存在经验主义,供热多年,自己有许多经验,认为实践大于书本,其实这样的想法是错误的。专业出身,得到过系统培养的供热专业人员在企业配备不足,常识、知识、新形势普及程度普遍偏低。通过长期观察和出现的问题总结,发现供热企业基本知识的普及是目前需要全面解决的首要工作,企业和员工必须给予充分重视,资源的浪费、环保节能不利等问题,就出现在企业和人员不懂常识上。随着企业不断发展,新形势的出现和新技术的应用,企业的落后与正规供热专业教育的工程技术人员严重短缺造成了另一个矛盾的出现。许多供热企业从事技术工作的人对供热的基本知识掌握不够,一知半解或根本不懂供热技术的人占相当的比例。只有有计划地组织技术培训,如进行员工的安全技术宣传、考评、竞赛等活动,内容和形式不限,但活动紧扣企业建设的主题,才能迅速提高所有从事供热技术和供热管理人员的技术知识水平,保证供热工作顺利。
3.4安全和技术管理人员的素质建设
员工是企业的生命,是企业得以生存发展的动力。供热企业能否安全运行的一个重要因素,就是安全和技术管理人员素质的高低。只有管理人员的素质提高了,就能树立责任心,树立职业精神,更好的检查与督促各部门工作,把握流程管理,认真落实安全生产责任制,发现不当行为,能够严肃认真的及时制止,从根本上治理事故隐患,将发生事故的概率降到最低;如果管理人员的素质不高,或者低下,就不能及时发现和治理事故隐患,也就不能保证供热设备的安全运行。
作者:李建军 单位:乌鲁木齐铁路局库尔勒房产公寓段
一、信息安全风险管理的流程
立足于上述对于信息安全风险管理的界定,可以看出,就企业而言,信息安全风险管理就是企业通过对信息安全风险进行识别和评估,采取有效的措施控制信息安全风险管理的过程,以实现企业生产经营过程中的安全目标。基于此,信息安全风险的识别、信息安全风险的评估以及信息安全风险的控制是企业信息安全风险管理的主要步骤。具体而言,企业信息安全风险管理的流程包括四个步骤。第一步:确定信息安全风险管理的对象,从企业信息安全业务的目标和特点出发,确定信息安全风险管理的对象。第二步:信息安全风险评估。针对信息安全风险管理的对象,对企业信息安全风险进行识别和评价。第三步:信息安全风险控制。从企业信息安全风险评估的结果出发,选取合理的措施,对企业信息安全存在的风险进行控制。第四步:信息安全风险监控与反馈。通过测试、检查等手段,检验信息安全风险控制是否达到既定目标。如果与既定目标出现偏离,采取相应的措施进行修正,以不断完善信息安全风险控制手段。当企业受保护的信息安全系统所面临的外部环境发生变化之时,或者面临新的风险之时,需要再次进入上述四个步骤,形成新的一次循环。因此,上述四个步骤在保护企业信息安全的过程中,必须形成一个相对稳定的循环运动过程,以满足企业新的安全需求和应对信息的信息安全风险。
二、信息安全风险管理的标准
1.国际标准信息安全风险管理标准也是与信息安全风险管理密切相关的要素,当前,无论是国际上还是国内,针对信息安全风险管理,都出台了相应的标准,以指导信息安全风险管理工作。英国制定的BS7799标准可以说是当前世界范围内应用较广的信息安全风险管理标准,该标准由英国标准协会(BSI)在1995年第一次提出,并于2000年通过ISO的认可,成为了国际通用的标准。从内容维度上看,该标准分为两个部分,第一部分为《信息安全管理实施规则》,在该规则中提供了一套系统的信息安全管理实施规则,为信息安全的管理人员在采取信息安全管理措施时提供了参考。第二部分为《信息安全管理体系规范》,其中详细说明了信息安全管理体系与信息安全控制的要求,对于广大企业形成体系化的信息安全管理制度和组织架构起到了很好的推动作用。从两个部分的关系来看,BS7799标准提出了信息安全具体的控制措施,第二部分提出了信息安全控制的要求,因此可以确定该标准的第一部分为第二部分的具体实施提供了参考和指南。除了英国的BS7799标准,国际上通用的信息安全管理标准还有ISO/IEC15408-1999和OCTAVE标准。ISO/IEC15408-1999标准是当前国际上最通行的信息安全评估准则,该标准从信息的完整性、可用性以及机密性出发,论述了信息安全维护过程中所应遵循的标准为可控性、可审计性(责任可追查性),这对于企业进行信息安全系统的开发、生产、运营以及维护都具有很大的借鉴意义。而OCTAVE标准的重点为信息安全风险评估标准,该标准提出以资产驱动的评估方法来评估信息安全风险,依据组织所处的具体环境来构造信息安全系统组织的风险标准框架。但OCTAVE标准中的评估标准较为抽象,且极为繁琐,不利于相关企业在实际操作中采用。
2.国内标准在我国国内,信息安全风险管理所参照的标准主要是GB17859《安全保护等级划分准则》,这是我国目前计算机信息安全等级保护系列标准的优秀,是我国以等级划分为依据保护信息安全制度建设的根基,同时也是信息安全风险评估参照的重要标准之一。在该标准中,从信息安全的等级出发,从低到高将信息安全等级分为5个等级,第一级是用户自主保护级,第二级是系统审计保护级,第三级是安全标记保护级,第四级是结构化保护级,第五级是访问验证保护级。其中高级别的信息安全要求是低级别要求的集合,信息安全等级越高,对于计算机系统的安全性要求越高。针对不同的级别,信息安全保护的指标主要有身份认同、数据完整性、责任审计、自主访问控制、强制访问控制、可信路径等,这些涵盖了不同级别的信息安全标准。从该标准来看,其信息安全保护的本质是从不同信息资产的等级出发,针对不同等级的信息资产采取不同程度的措施。对于企业来说,可以参照此种方法,通过将信息资产进行分类,对不同类别的信息采取不同的保护标准,以突出不同信息的重要程度。
作者:杨姗姗单位:武汉大学信息管理学院
[摘要]本文分析了畜产品安全质量的问题,我们提出了畜产品质量安全保障措施的运用:一是要提高畜产品专项执法检查工作的落实到位;二是要保障畜产品质量的法律法规构建与完善;三是畜产品质量安全管理机制的运用;四是注重于对畜产品质量安全管理工作的全程把控;五是信息内容的及时公开来将舆情监测运用到位。
[关键词]畜产品;质量安全;风险管理
随着社会主义市场经济的不断发展,社会大众的收入提升了,使得居民的生活质量也随之提升了。人们往往不会过于关注商品的价格与数量,而更为在乎商品的质量。其中,畜产品的需求递增,使得畜产品的黑色产业链条发展十分迅猛。畜产品的质量安全成为了整个社会关注焦点。本文将通过对畜产品质量安全的深入认识,从畜产品的质量问题出发,来寻求更为有效的解决对策。
1畜产品安全质量的问题分析
1.1监管体系的问题存在。畜产品的质量监管工作是由动物卫生防疫监督机构来开展的,其应该确保畜产品的生产、流通以及销售的安全性,促使其得以在生产、屠宰、加工的各项环节都能被及时、有效地监督。这也就需要提高监管队伍的专业化程度与科技运用水平。当前在我国,畜产品的安全性缺乏来自于法律内容的保障。管理部门在开展管理时候,所选择的检疫方法还需做到进一步的完善。例如,针对于畜产品的检测标准不够清晰,使得其监测手段显得较为落后。畜产品在养殖的过程中,有着多样化的饲料添加剂与药品类型可供选择,其名称复杂多变,如果只是依靠以往的检测手段已经很难满足当前的检测需求。一些区域在检测中发现问题,但是因为缺乏相应的判定标准,无法进行正确判定,查处工作缺乏依据。由于缺乏检测工作经费,监管部门检疫、检测手段落后,缺乏先进的仪器设备影响监测工作的正常开展。1.2畜产品生产和加工环节的落后。目前,畜产品的生产加工工艺的发展存在着严重的不平衡现象,一些加工企业的生产标准化程度较低,导致其在组织生产加工的时候,存在着诸多的问题,如卫生问题、运输稳定性、污染源隔绝等等。其中,当无法做到对污染源的隔绝,将会使得畜产品携带大量的细菌、霉菌和寄生虫,与此同时,活畜禽市场交易给病源微生物传播提供了机会,污染了交易环境。在对肉、蛋、奶等畜产品进行加工、包装、贮藏、运输、销售以及使用的过程中,由于其中某个或某几个环节受到物理、化学、生物等因素的二次污染,从而影响食品质量。一些畜产品屠宰加工企业卫生条件差、设备落后,致使畜产品在加工过程中二次污染。另外,畜产品中生鲜产品在包装、运输、贮存过程中很容易腐败变质,失去色、香、味和原有的营养品质。一些销售者和生产者片面追求商业利益,大量使用有害或有毒的化学试剂充当添加剂、防腐剂、保鲜剂,严重威胁消费者身体健康和生命安全。1.3生产环节中存在的问题分析。一是饲养环节的质量保障未能达到。在一些养殖地区的养殖活动选择的是散养的模式,其规模化程度较低,饲养达不到标准化养殖条件,防疫条件差,管理落后,设施不配套等问题,所以生产出的畜产品质量安全难以保证。二是生产者法律意识淡薄,对兽药、饲料专业知识缺乏养殖者是畜产品质量安全的第一责任人,一些养殖户本身在思想上未能加强对其的重视,使得其本身缺乏专业化的养殖知识,存在着滥用饲料添加剂、兽药的问题。
2畜产品质量安全保障措施的运用
2.1提高畜产品专项执法检查工作的落实到位。畜产品的质量安全问题往往会出现在生产环节,这也就需要动物卫生监督机构应当从源头出发来对质量安全隐患,早发现、早解决,加大整治畜产品质量安全的力度,重点对生产有毒有害的畜产品违法行为进行打击,充分发挥动物卫生监管职责。通过对动物疫病防范措施的完善来增强防疫系统的基础设施建设,选择综合化的防治手段做到提前预防。将重点疾病进行提前预测与诊断,实现防疫成效的加强。例如,疫苗免疫工作的诊断需要将疫苗免疫的规范操作、免疫人员的安全防护以及牲畜的安全落实到位,并且将免疫档案科学制作,按序归纳,促使常规工作的开展成效得以达到最佳。2.2保障畜产品质量的法律法规构建与完善。近年来,我国相继出台了《动物防疫法》《兽药管理条例》《畜牧法》《饲料和饲料添加剂管理条例》等法律、法规。同时,为保障畜产品质量安全,出台了《动物性食品中兽药最高残留限量》和《中华人民共和国动物及动物源性食品中残留物质监控计划和官方取样程序》,该项法律的出台给畜产品的安全管理提供了法律依据,但是因为在我国目前尚未拥有一部涵盖多个领域,能够对畜产品养殖活动科学管理、严格把控,确保动物防疫检疫工作能够从养殖活动到销售活动都被有效监控的法律法规,导致畜产品的管理工作本身还存在着诸多的漏洞。当然,畜产品的安全质量需要畜产品的管理部门将养殖户与供应者的责任明确到位,且不断地完善相关法律内容,让责任制度得以通过法律条文的形式体现出来。尽快起草颁布《畜产品质量安全管理条例》,通过有法可依,为解决畜产品质量安全问题提供有力保障。2.3畜产品质量安全管理机制的运用。一是对畜产品安全预警机制的完善。通过对畜产品安全质量预警价值的运用来将畜产品的监督管理内容定期地进行检测。对畜产品监督抽查与安全检测的结果,要及时公布于社会,评估畜产品安全状况,形成科学统一的畜产品安全风险评估预警体系。二是畜产品的质量安全保障工作需要从预防机制出发来做到第一时间的及时控制,让畜产品的质量安全动态能够被实时监督。同时,结合于畜产品的质量安全问题方法体系来将制度内容的价值体现出来。三是畜产品的安全事件处理,需要建立安全事故应急处理机制,积极应对并及时控制重大畜产品质量安全事故,把危机的影响降低到最低程度,保障人民身体健康,维护正常的社会秩序。要启动危机管理机制,各相关部门相互协调,调配社会资源,确保必须物资发放;要是信息公开化,与媒体紧密沟通,及时相关信息,避免引起公众恐慌;要建立紧急处理机构,负责整个事件的协调,制定处理程序和方法,处理物资储备等。四是畜产品安全追究机制。2.4注重于对畜产品质量安全管理工作的全程把控。畜产品的产品质量管理工作需要从源头做起,将生产活动的初期,即饲养、原料环节作为工作开展的源头,然后将屠宰、加工、销售的各个环节严格地控制起来。只有加大监控各环节的力度,才能确保畜产品的质量安全。各环节控制的好坏,既取决于各环节的标准完善程度和执行程度,又取决于法制维护的状况和技术水平的运用。所以,制定高水平的标准体系。采用先进的科学控制手段,在有效的法律框架内,对其进行监控,是实现畜产品质量安全全程控制的基本条件。2.5信息内容的及时公开来将舆情监测运用到位。监测信息的不充分、不透明将会直接加剧畜产品安全质量问题的频发。信息公开是保障社会大众能够享有知情权,促使公众的关注得以成为畜产品安全质量的保障因素,发挥出社会舆论效应,让相关部门针对于畜产品的处理事件,可以被动态监测,让信息通报工作引起社会反响,当然,也要杜绝别有用心之人进行恶意炒作。在这个过程中,政府需提高资金投入力度,使得畜产品质量安全保障工作得以获得现代科技的支持,满足对相关设备的需求,实现畜产品检测技术的优化升级,让技术发展带动检测成效的提升。
3结语
畜产品需求量的提升需要市场监管部门加强监管力度,选择多形式的畜产品质量安全监督检查工作来提升监督力度,只有监督力度搞上去,违法经营饲料添加剂、收售不合格畜产品的不良商家才能被严惩,最终让畜产品市场得以实现更好的质量提升。
作者:丁希军 单位:肇庆高新区农林水利管理中心
1企业信息安全风险管理的主要内容
开放、互联的信息技术与信息安全就像一把双刃剑。一方面,企业需要借助信息技术或信息系统集中信息并开放共享;另一方面,企业的优秀信息资产又在不断外泄,引发无数信息安全问题。一谈到信息安全,首先想到的是网络安全,比如防火墙、入侵检测、漏洞扫描、数据加密等传统意义上的网络底层安全防护。但从广义上来讲,随着信息化建设的不断深入,企业的信息资产对经营的贡献比重越来越大。尤其在信息访问越加便捷的前提下,根据市场竞争的需要,企业需要源源不断地将信息不同程度地开放给客户、供应商、员工等,企业的信息资产也越来越暴露在更多的威胁之中。信息的三个安全特性,即完整性、保密性和可用性。(1)信息完整性风险管理。一方面,要保证信息在收集、加工过程中不能被恶意篡改、不能丢失、被窃取、损坏等;另一方面,也常为人忽视的是加工过程本身的科学性,需要防范因不恰当的加工方式而导致的数据失效或结果错误。(2)信息保密性风险管理。主要是指要保障没有被授权的用户无法使用信息系统,访问相应的资源。防止该类用户访问、通过非法手段攻击破坏企业信息资产。(3)信息可用性风险管理。主要是指保障被授权用户可以顺利、快速访问信息资产,保障信息系统稳定性和可用性。以上三个特性,同时也是信息安全风险管理的主要内容,管理过程包括风险识别、风险评估和风险控制三个步骤。
2企业信息安全风险识别
由于涉及企业的优秀信息资产,所以相应的信息安全风险点分布在企业管理的各个环节和层面。但是由于种种原因,目前国内企业对信息安全风险管理的认识仍不到位。总体来说,有以下主要问题,也是常见的信息安全风险管理的风险点。(1)信息安全组织和制度保障不足。没有有效的信息安全管理组织机构,就无法有效地制定、执行安全管理策略,更无法进行有效的信息安全协作。信息安全管理制度通常都有,但很少有单位能够严格执行,信息安全的政策制定也常常不符合标准,导致可操作性比较差或者达不到控制的目的。(2)信息安全相关人员意识不足。信息安全虽然已经被很多企业提到战略高度,但更多停留在口头上和管理层。大部分企业人员比较缺乏信息安全意识,安全事件报告不及时;对各自岗位相关的信息资产职责了解不清,对信息系统的错误操作导致信息泄密的事件屡有发生;部门单位还存在因人员流动导致的信息资产不连续等问题。(3)传输、存储信息资产的设备与网络存在安全隐患。部分企业存在网络有安全漏洞、存储设备老旧、数据资产缺乏备份机制等常见问题,一旦受到网络入侵、病毒攻击,或者发生硬件及性能问题,会导致信息资产大量泄漏或损坏。(4)访问控制及用户权限管理存在漏洞。在信息系统的实施阶段,为了便于用户测试或其他目的,部分用户权往往限过大。随着系统正式上线及应用,相应权限又由于种种原因没有调整,对信息安全也留下了比较大的隐患。(5)软件系统及业务持续性风险。因为国产化和自主开发的趋势逐渐确立,大量企业选择自行开发软件系统,由于软件开发技术而导致软件本身存在一定漏洞,相应的开发质量存在隐患,连带的如运维、业务持续性风险均应相应考虑。
3企业信息安全风险评估和控制
考虑到每个企业均有自身特点,面临的信息安全风险点也不同。按照通常的信息安全风险管理理论,在完成上节所述的风险识别之后,需要进行详细的风险评估和风险控制。信息安全风险评估是指确认风险大小程度的过程,主要是要借用适当的风险评估工具和模型,包括定量的或者定性的方法,对信息安全风险点造成的影响进行评估,以确定风险的大小和控制方式。其主要目的是为了确定风险的大小并量化,从而可以采取适当的控制目标和控制方式开展风险控制工作。信息安全风险控制的作用体现在对组织信息安全的保障上,其有效性体现在当企业面临信息安全风险时对风险控制的有效程度,换句话说,在信息安全风险评估的基础上,考验控制力度的有效性就是损失的程度,损失的越少越有效。反之,则控制无效。另一方面,信息安全风险控制也是需要成本的,控制力度大小与成本通常成正比关系,而且在达到一定程度之后,控制力度增长比例较小可能带来成本大幅增加。因此,信息安全风险控制的总体目标,是以最小的投入将信息安全面临的风险控制在组织可接受的范围内。
4结语
信息安全已经上升为国家战略。对于国内企业来说,信息安全也日益重要,尤其对于高科技企业及涉及国计民生的大型国有企业,信息往往是企业的优秀资产。拿笔者所在企业来说,大量的研发成果日益依赖信息技术,大量的内部经营决策通过信息系统流转。任何一个数据或者信息的泄漏,一旦被竞争者窃取,将给公司带来不可估量的损失。有效做到信息安全可知、可控、可承受,关系到企业的生死存亡,需要引起所有企业管理者和员工的充分重视,并采用一切可能手段加以保护。
作者:张艺 单位:中国海洋石油总公司
1行车安全方面
1.1人为因素
一是要从思想上进行深度教育,通过不断学习、思考和自我警示,将“安全生产大如天”、“三个重中之重”“、三点共识”等安全理念植根于乘务员脑海深处,从候班-出勤-上车-运行-下车-退勤,整个流程都要进行风险研判,制定安全风险管控措施;二是要从日常发生的违章违纪方面问题着手,进行汇总分析,找出影响安全的风险因素,从而有针对性的进行风险研判,制定安全风险管控措施。三是要切实抓好乘务员标准化作业。这是风险管理的重要任务,也是铁路“三化”建设的重点项目之一。因此保证乘务员认真落实好标准化作业和执行好规章制度则是确保行车安全的重中之重。在实际的行车过程中,一些乘务员经常把自己工作中不好的习惯当成了标准,这也是为什么行管干部天天抓安全,天天有问题的原因,也是行车事故重复发生的原因所在。因此,在全面推行安全风险管理中,应该不断要求乘务员学习标准化,作业过程标准化,把乘务员日常的一些习惯性作业转变为标准化作业,有效杜绝惯性违章违纪。
1.2环境因素
环境因素就是天气不良或行车线路状况因素。铁路行车过程全天候暴露于自然环境之下,暴风、雨、雪、霜冻、线路塌方、滑坡等风险因素,随时都有可能对铁路行车安全造成危害或埋下安全隐患。因此,作为铁路机务部门,要建立机车乘务员出勤预想系统。一是出勤前要做好预想,开好小组会,预想包括当时当地的天气因素和具体线路状况因素,每一项都要认真分析其风险因素,制定风险防范措施;二是出勤调度员要及时传达天气不良情况下的安全行车措施和应急处置办法。这样乘务员在实际运行中,才能灵活自如的应对变化多端的环境因素,从而达到超前防范,确保行车安全。
1.3管理因素
管理因素主要是对规章制度执行和上级指示精神方面。首先,要从制度和管理上将安全风险管理与传统安全管理区分开,更快更好的去适应这种新的管理模式,是值得机车乘务员积极思考和探究的一个重要问题。安全风险管理主要是针对未知的不安全因素提前进行预测和控制,强调问题的超前防范。这就要求机车乘务员必须对执乘过程中的各种不安全因素进行深度分析和研究,通过不断探索和反思,找出风险点,进行研判,按照“干什么、学什么;缺什么、补什么;弱什么、强什么”的原则,做到提早预防、提前防范。其次,要对管理者或上级安排和工作要求具体落实到实际工作当中,不能“左耳进,右耳出”,事情发生了才知道“不听上级言,吃亏在眼前”,追悔莫及。
1.4素质和能力因素
如何全面掌控和消除行车过程中的安全风险,对于机车乘务员来说,实际上就是自身业务素质和能力的问题。为此,要通过不断提高自身理论水平、实践技能和应急处置能力,充分掌握基础规章制度、安全卡控措施、LKJ操作、非正常行车办法、机车故障处理等专业知识,练就过硬的技术本领,消除工作过程中人员、设备、环境三大要素带来的安全隐患。这就要求在平时学习不能敷衍了事、参加培训不能走过场、班前休息不能“偷工减料”、执乘过程不能“开小差”,必须以良好的精神状态投入运输生产,时刻紧绷安全这根弦。
2设备安全方面
设备安全是保障铁路行车安全的物质基础,质量良好的设备,既是安全生产的物质基础,又是行车的重要保障。风险重点包括机车走行部裂损脱落、制动系统故障、车顶高压电器设备失效、直供电装置故障、监控装置故障、其他电器线路及安全装备故障。设备质量的好坏,直接关系着行车安全。因此,首先要从设备质量源头进行控制,规避设备安全风险,提升设备质量;其次,通过引进新设备、新技术,不断完善对行车设备、列车运行、现场作业、外部环境等关键作业过程的动态实时检测,来确保行车安全。目前无论是电力还是内燃机车,都不同程度的安装了一些新技术设备,如机车防火视频、6A系统、CIR、LBJ、STP装置等。对于机车乘务员保证设备安全来说,要做到在出库前确认安全装备和其他设备的状态良好,并且有检测部门出具的合格证后,方可出库。
3劳动安全方面
劳动安全风险重点主要包括电击伤害、车辆伤害、机械伤害、高空坠落等。通过改善劳动条件和采取具体安全措施,来保证机车乘务员的劳动安全。一是要加强作业安全、劳动安全、人身安全培训教育,制定劳动安全各项措施,强化现场作业“自控、互控、他控”。二是要提高乘务员自身的劳动安全意识。翻阅近期各铁路局发生的劳动安全事故,不难看出这些事故大多因为乘务员违反劳动安全制度和规章造成的,他们在作业过程中盲目、随意简化程序,图省事,结果造成了人身伤害。铁路全面实施安全风险管路,是在现有安全管理基础上对安全意识的强化、安全理念的提升、工作思路的优化,有利于管理理性化、决策科学化、防范超前化。通过对列车运行、劳动安全、设备安全方面进行风险研判,找出风险点,制定安全防范措施,达到降低和或消除行车安全风险的目的,实现闭环管理,防止行车安全事故的发生。
作者:郭辉单位:湖东电力机务段
1软件安全问题日益突出
随着互联网的触角深入到生产生活中的各个层面,软件已经不像以前那样只是支持办公和家庭娱乐这两大主题了,而是成为现代商业的灵魂。软件安全问题主要围绕着软件漏洞和易被攻击脆弱点,它们都来自于软件的设计和实现。Internet催生了电子商务,移动互联网使得APP变得如火如荼,未来物联网也许可以将生活中的一切元素都纳入到通信网络中去。因此软件安全问题将成为计算机安全的优秀,而非防火墙等网络硬件,或是诸如加密等手段。软件安全是一切计算机安全性问题的根源,如果软件行为出现异常,与之相关的可靠性、可用性等方面问题就会随之暴露。软件安全问题并不是互联网出现后才有的,只不过互联网是目前最容易攻击软件的途径罢了。
2软件安全的现状
2.1人们的认知
随着黑客攻击的新闻时常见诸媒体,人们对计算机安全问题有了一定认识。但不幸很多计算机安全人员和计算机教育培训人员都忽视了软件安全的问题。一味地推崇某种软件平台是安全的,单纯大力增加对网络安全硬件和软件的投入,这些做法是盲目甚至荒谬的。一切安全性都不是静态特性,也没有任何软件是绝对安全的。软件安全问题的关键节点是软件的设计。
2.2软件安全设计的先天不足
世界上知名的软件厂商并不是不了解软件安全设计安全性的重要性,而是商业模式让软件安全方面存在着先天不足。稍纵即逝的商业机会、敏捷的软件开发过程和短暂的软件开发周期使得安全性方面的设计在很多时候都是被舍弃的。随之而来的处理方式则是常见的penetrate-and-pach方法,即不停地补丁。这种做法从长远来看,其成本与作用远不及一开始就做好安全性的设计和审计。
3软件安全设计应引入风险管理
从项目管理的角度看,风险指损失或损害的可能性。软件项目涉及到的是:项目中可能发生的潜在问题和它们如何妨碍项目成功。风险管理则是对应软件项目生命周期内的风险的科学和艺术。软件安全性的设计与软件设计的其他一些质量性能是互相抵触的,例如冗余性、高效性。而软件开发过程中的风险管理与软件开发的诸如时间、范围、成本等因素也是相互抵触的。但是绝不能因为这些可能发生的抵触行为而放弃对安全性和风险管理的考虑,反而应该将软件安全性设计纳入到风险管理的范畴中去。事实表明,93%的失控项目都忽视了风险管理。
4软件安全设计风险管理的实施
目前国际上对软件安全方面的风险管理存在着一个共同的认知,那就是采用高质量的软件工程的方法论可以在一定程度上解决这方面的问题,欧美一些国家也在试图制定或修订相关的一些“通用准则”来指导软件安全性设计的实践。但是这只是从科学技术方面做出努力,我们可以学习借鉴。而在管理技术和艺术方面需要做出的努力则应该尝试本地化做法。完整的风险管理的过程应该包括以下几个环节:风险管理计划的编制、风险识别、风险定性分析、风险定量分析、风险应对计划编制和风险监督控制。将整个流程都走完的项目和企业都不多,一般来自于所谓的学院派。而时下大多数国内外企业的做法是将这个7个流程简化为谁来识别风险、谁来对风险负责这两个环节。原因则是上文所提到的先天不足所致。从技术上讲,风险管理的效益来自于潜在风险最小化和潜在回报的最大化。而这个技术的应用则一定需要经历风险定量分析的过程。在这个过程中,可以使用的主要技术是决策树分析、蒙特卡罗分析、PERT分析等等。这些技术都是建立在一定的数学和会计基础之上。而令人遗憾的是,很多决策者本身对这些技术的认知或理解欠缺,以至于会抵触这种方法。大多数做法是采用小团队开发小软件的做法,即采用访谈和敏感性分析来帮助风险定量分析。然而我们并不是要反对这种简化做法,只是一定不能在简化的做法之上再次简化或敷衍了事。首先要做的工作是做好需求管理,在建立一组需求输入的时候,一定要将安全性作为一个重要需求考虑进去。有一个比较好的方法是,在软件设计时采用螺旋模型,需求的输入可以在螺旋模型的各个生命周期中进行,而有关安全性的需求输入则最好是在最初的一个螺旋中进行。之后要做的工作是确定最大风险。不可避免的要使用风险定性和风险定量分析的各种技术和方法。这个工作一定要有软件设计师、项目决策者和用户的参与,采用头脑风暴和专家访谈是不错的选择。而这个工作恰恰是现实生活中中小企业乃至客户最容易忽略的。企业要考虑成本问题,而客户的参与往往难以落实,认为软件的设计和开发应该由软件公司负责,客户付款只关心最后软件是否可以使用。而一旦由于软件安全性问题造成了一定后果后将演变成各种纠缠不清的官司,这是企业和客户都不想看到的结果。
5结语
软件安全问题并非无可救药,软件安全设计的灵丹妙药是将风险管理深入到软件生命周期的各个时期中去,而且越早越好,利用科学的软件工程和项目管理的技术,构建安全的软件基础框架。软件企业和客户都应该提高对软件安全设计中的风险管理的重视。
作者:李建辉单位:湘西民族职业技术学院
一、我国银行在信息安全风险管理中存在的问题
(一)识别风险的能力有待提高。改革开放之后,我国的经济和社会呈现飞速发展状态,尤其是近十年来银行业的信息化水平和自动化水平得到大幅度提升。但是伴随着新形势的到来,银行面临着越来越多的外部风险,电子商务的盛行和网络资讯的发达使得网络渠道的业务比例提升,银行的信息安全面临着严峻的外部风险挑战。这使得银行业本身乃至整个社会对财产和信息的安全指数要求越来越高,在内外部因素的影响下,银行业加强信息安全风险管理是必然和必要的。但是现阶段,银行业信息安全风险管理受人才、技术、体系乃至设备的制约,整体的风险识别水平还比较低,亟待提高。
(二)信息安全风险形式严峻。我国银行业面临的信息安全风险相较于其他行业来说比较严峻,银行系统的开放性和电子商务数量和规模的大幅度增长使得其受到攻击的可能性大幅度上升。银行在发展的过程中为了更大程度地满足客户的需求,往往对信息技术存在着严重的依赖,使得信息系统受到木马攻击、病毒侵害和钓鱼网站危害的可能性大大增加。
二、银行信息安全风险管理的建议
(一)银行要重视信息安全风险识别体系的构建。信息安全风险识别是一项系统的工程,银行要想及时、完整地识别出其在生产经营过程中的风险,就必须重视信息安全风险管理识别体系的建设,从起点上提升系统的整体安全系数标准。银行要定期对信息安全风险管理体系的可靠性进行评估,严格按照全面风险管理的原则对风险进行识别和应对。
(二)银行要建立重大信息安全风险预警和应急方案。重大信息安全风险预警和应急方案能使得银行的信息风险保持在可控的范围之内,在新的金融时期,完善的银行信息安全应急方案给金融系统的稳定上了一层重要的保险。完善的银行信息安全风险预警和应急方案是一种事前控制措施,是银行信息安全风险管理的重要举措。
(三)国家要加大银行信息安全犯罪的惩治力度。国家相关职能部门应该加大力度对信息安全犯罪进行打击。相关部门应该从根本上对这种犯罪进行严肃管理,将常规化管理落实下去,坚决杜绝形式化管理,一旦发现问题要给予严厉的惩罚。对于银行信息安全的重大犯罪要严惩不贷,对网络金融犯罪要高压打击。这样整个银行系统才会意识到信息安全风险管理的重要性,注重维护自身的信息安全。
(四)建立银行信息安全风险控制机制。首先,建立完善的风险责任机制。重点在于在银行信息安全风险控制体系要将各个环节各个部门的责任进行细化,做到每一个环节都有专门人员对重要事项进行负责,做到对风险负责、对安全负责。其次,建立完善的风险通报机制。通报包括对上级通报和对下级通报,对上级通报要客观真实准确,对下级通报要严肃认真,既不夸大也不隐瞒。最后,建立银行信息安全风险管理团队。人才是银行信息安全风险管理的关键,要充分发挥人才的作用,银行信息安全风险管理团队是银行信息安全风险管理的主力军,他们在银行信息安全风险的识别、评估、应对等过程中扮演着十分重要的角色。
总而言之,信息安全风险管理体系的构建对商业银行的安全运作具有重要的意义。银行要重视信息安全风险管理识别系统的构建,把握运营过程中重要的风险,建立风险预防和预警机制,确保金融系统的安全。银行信息安全风险体系的构建关系到整个国家金融的安全,只有加强防护、重视保护,严格预防,才能给信息安全体系构建良好的运行环境,才能为社会主义市场经济发展创造良好的环境。
作者:裴立公单位:中国人民银行宿州市中心支行
1、电力企业建立安全生产风险管理体系的程序
实施安全生产风险管理体系需要经过体系建立和体系认证审核两个基本程序。电力企业建立安全生产风险管理体系的基本程序如下。
1.1管理承诺
电力企业的最高管理者做出承诺:自愿接受并带头学习理解安全生产风险管理体系标准;遵守法律、法规;保证提供足够的资源来建立和运作安全生产风险管理体系,使决策付诸实践。
1.2宣贯与培训
学习与培训是建立安全生产风险管理体系的第一步。培训工作分为2个阶段:内审员培训。是以体系建立、文件编写和内部审核等为主要内容,由外部咨询单位对企业的管理层和工作班子进行培训;安全生产风险管理体系的宣传贯彻。以安全生产风险管理体系背景知识和基本知识为主要内容,要求全员培训,由企业自己完成。
1.3制定贯标计划
制定工作计划是建立安全生产风险管理体系的基础。建立安全生产风险管理体系是一项十分复杂和涉及面很广的工作,通常情况下,建立安全生产风险管理体系需要1年以上的时间,因此需要制定详细的工作计划和时间表。与此同时,制定计划的另一重要内容是落实资源需求。
1.4初始评审
初始评审主要包括调查企业现有的安全健康管理机构、管理规章制度、适用的法律法规、组织活动中存在的风险,关键是危险因素的识别、危险评价和危险控制计划的制定。评审的信息将是安全生产风险管理体系设计的基础。危害辨识及风险评价包括:确定危险源(哪些因素会导致事故);判断谁会受到伤害、严重程度如何;判断事故发生的可能性;确定这些风险如何消除或降低(通过对设施、作业方法、设备或培训的改进是否能够消除或降低这些风险)。以电厂为例,电厂的危险因素主要包括:高处作业、高温环境作业、起重作业、压力容器与管道检修、设备动火作业、电气倒闸操作、锅炉炉膛内检修和升压站维护、油系统作业、金属探伤、化学危险品管理与使用、车辆运输等。根据以上作业活动风险的大小、所覆盖人员的数量等,制订完善的控制措施,以便在作业过程中让员工遵守或督促员工执行。
1.5安全生产风险管理体系设计
企业根据初始评审的结果,确定职业安全健康方针,制订职业安全健康目标和管理方案,确定机构和职能分配,确定体系文件层次结构,提出体系文件清单,体系文件的编写、审定与批准。职业安全健康方针为企业规定了明确的承诺、目标、职责和程序,它是整个体系的灵魂。
1.6文件编写
结合组织初始评审的结果和现有的管理制度,按照安全生产风险管理体系标准的要求进行文件编写。安全生产风险管理体系是一套文侯新文中电投集团南方电力有限公司广东广州510130件化、程序化的管理机制,因此,文件编写是企业建立安全生产风险管理体系不可缺少的内容。一般把安全生产风险管理体系文件分为3个层次:管理手册(包含17个要素)、程序文件、作业文件。编写的文件将作为体系运作的依据。
1.7试运行
安全生产风险管理体系的试运行是将安全生产风险管理体系文件予以实施,检验其适用性、充分性和符合性。在试运行期间,企业应进行协调、监督、考核和信息反馈,并有组织、有计划地进行内部审核和管理评审,通过对试运行中发现的问题采取纠正和预防措施,达到安全生产风险管理体系的初步完善。内部审核是企业对其自身的安全生产风险管理体系所进行的审核,是对体系是否正常运行以及是否达到预定的目标等所做的系统性的验证过程,是安全生产风险管理体系的一种自我保证手段。内部审核一般1年1次。管理评审则是企业领导亲自对体系的现状是否有效地适应安全生产风险管理体系方针要求,以及体系环境变化后确定的新目标是否合适等所作的综合评价。管理评审每年至少进行1次。需要强调的是,安全生产风险管理体系并非抛开企业传统的安全管理模式而独创,它只是把企业原有的职业安全健康管理工作中的计划、组织、实施和检查、监控等活动,集中、归纳、分解和转化为相应的目标、程序和作业文件。
2、电力企业安全生产风险管理体系的认证程序
在建立了安全生产风险管理体系之后,就可以开始策划安全生产风险管理体系认证工作。
2.1体系认证的基本条件
凡申请认证的企业应具备下列条件:认真贯彻执行我国有关安全生产的法律、法规和标准;已建立安全生产风险管理体系,并运行达3个月以上;在过去2年中,每个年度的千人重伤率和千人死亡率低于同行业水平。
2.2认证申请
符合上述认证条件的企业才能以书面形式向认证机构提出申请。书面材料包括:申请认证的范围;申请人同意遵守认证要求,提供评价所需要的信息;企业的一般情况:如名称、地址、性质、法律地位以及有关的人力资源和技术资源等;企业安全健康工作情况简介,包括近2年的事故发生情况;企业安全生产风险管理体系的运行情况等。认证机构在收到申请材料后,对申请材料进行审查。对未通过审查的企业,认证机构会通知申请方进行补充、纠正或重新申请;对通过审查的企业,认证机构确认受理后,将向申请方发放《安全生产风险管理体系审核登记表》,并编制一份审核计划提交给申请方。
2.3认证审核
属于外部审核,它是由国家认可的专门的安全生产风险管理体系认证机构(如国家安全生产风险管理体系认证中心)来进行。根据审核的层次和深度,认证审核又分为初始审核和正式审核。对审核组织推荐通过的企业,认证机构的管理(或技术)委员会在1个月内要专门组织有关成员进行讨论,对其是否能够注册进行审定。对审定通过的企业,则批准注册并签发认证证书;如果审定时不能通过,认证机构向其发放《审核结果通知书》,将审定结果通知受审核的受审核企业。认证机构将每年对获证企业进行1次年度监督审核,获证后的第一年监督审核为2次。此外,安全生产风险管理体系认证证书的有效期一般为3年,3年后将进行复评,复评程序与正式审核认证相同。
3、结语
实践证明,建立安全生产风险管理体系是提高企业安全管理水平、规范企业安全管理过程的有效手段和方法,由此提高了企业的影响力和市场竞争力。但通常情况下,企业单纯依靠自己的力量,很难在较短的时间里打破原有的管理方式,迅速有效的建立起符合标准要求的安全生产风险管理体系并使其真正运行,往往需要外部的协助。
作者:侯新文单位:中电投集团南方电力有限公司
编者按:本论文主要从金融资产对经济的影响;金融风险管理保障金融安全;BaselⅡ框架下的风险计量;国内银行风险管理建设现状及问题;探索中国金融风险管理模式等进行讲述,包括了金融的安全和稳定离不开有效的金融风险管理、建设现状、存在问题、掌握优秀的数据、突破关键的技术等,具体资料请见:
摘要:随着金融危机在全球的蔓延,商业银行风险管理日益成为一个重要的内容,银行、金融的稳定关系着民生、关系着中国的发展。在国内金融机构即将接轨巴赛尔新资本协议的背景下,我国商业银行风险管理工作目前是一个什么样的状况、存在什么样的问题,在新阶段下如何更为高效的开展风险管理工作,是本文分析阐述的出发点和落脚点。
关键词:银行风险风险管理巴塞尔新资本协议金融安全
一、金融资产对经济的影响
2009年6月,财政部金融司管理的中国金融资产近70万亿,在国民经济总量中日益占据重要位置。如何保障巨额金融资产的安全和稳定,已经是维护国家经济安全的重要内容。
二、金融风险管理保障金融安全
近年来美国次贷危机的发生与国际金融市场的动荡,使得世界各国尤其是发展中国家愈来愈关注金融安全的问题。金融安全是国家经济安全的优秀,关系到国家政治稳定、经济发展和人民群众的切身利益。
金融的安全和稳定离不开有效的金融风险管理。金融业应正确处理防范和化解金融风险与支持经济发展的关系,才能保持资金正常运转,为经济发展提供支持和服务,实现自身的持续发展。
金融风险管理分两个层面,一是提高金融机构的内部风险管理;二是加强监管部门的监管体系建设。二者相辅相成,缺一不可。相比而言,金融机构的内部风险管理侧重于架构的设计和方法的确定;而监管机构的监管体系建设侧重于模式的选择和政策的制定。
巴塞尔新资本协议(简称“BaselⅡ”)的推广和实施,兼顾了金融机构和监管机构的风险管理要求,使金融风险管理更规范化,也更有效率。
三、BaselⅡ框架下的风险计量
BaselⅡ较之Basel,更强调风险的计量,而风险计量最突出的表现是以内部评级法(简称“内评法”)为优秀。内评法信用风险下的高级法涉及对贷款违约概率(简称“PD”)、违约损失率(简称“LGD”)和风险暴露(简称“EAD”)的确定,其中LGD的估值一直是高级法实施中的重点和难点。
BaselⅡ的三大支柱中均涉及到风险参数的计量,其中第一支柱中的高级法鼓励商业银行自行估算PD、LGD和EAD,第二支柱要求商业银行对外披露风险参数的确定方法,第三支柱要求监管部门能够对商业银行风险参数的确定进行评估和校验,因此可以说BaselⅡ是围绕着风险计量管理为优秀的。
四、国内银行风险管理建设现状及问题
(一)建设现状
目前国内银行业基于BaselⅡ的银行风险管理建设,从框架到模块都借助于Moody’sKMV、S&P、Fitch、OliverWyman等外资咨询机构。外资咨询机构为国内银行提供的风险管理服务,大多是协助银行实施涵盖风险管理各方面的全局性改革。
不可否认,外资咨询机构在金融风险管理领域,其所拥有的品牌效应和国际经验,使得欠缺独立完成整体规划专业能力的国内银行纷纷抛出“橄榄枝”,投入不菲的费用,全权委托外资机构进行本行新资本协议实施项目的总服务商。然而,在BaselⅡ领域,外来的“和尚”真的能念好“经”吗?
(二)存在问题
BaselⅡ实施的关键:一是数据,二是模型,但国内目前在这两个方面的准备依旧存在很大的问题。
1.数据基础方面
银行BaselⅡ的推行,离不开对其信用数据有效的归集和整理。新资本协议对数据质量、完整性和历史观察期有明确要求。但目前,进入中国市场从事银行风险管理建设的各家国际知名咨询机构,自身所积累的信用数据均不包含中国的数据,因此无法进行借鉴和引用;而国内金融机构正在进行历史数据的收集清理工作,在数据标准、数据质量、数据定义、数据逻辑等方面,才刚刚起步,离实施新资本协议还存在一定差距。
2.模型建立方面
关于内评法中所涉及的优秀参数PD、LGD和EAD的确定,目前国外业界在PD建模经验方面较为成熟,但是对于LGD和EAD的计量,因普遍缺乏分析数据,故基本都处于起步阶段,还在进行理论方面的探索。
从欧美国家以及亚洲发达国家的经验可知,单纯地依赖国际知名风险咨询机构进行BaselⅡ的框架建立和推行实施,对于现阶段的中国银行业而言,并非成熟的模式。探索有中国特色的金融风险管理之路,应立足自身选择风险管理模式和方法。
五、探索中国金融风险管理模式
实施新资本协议不存在最先进的模式,只有最适合的模式。建立适合自身特点的实施模式是新资本协议项目成功的关键。银行必须首先理解自己——包括理解自己的国情环境、历史未来、组织架构、管理流程,理解自己的业务和数据,才能选择最适合自己的模式。因此,商业银行应避免从形式上套用新资本协议,应首先评估风险管理现状,评估IT和数据基础,适当借助而不是完全依赖外资咨询机构力量,更多的立足本国资源,将所借鉴的国外经验逐步转化为内部能力。
(一)掌握优秀的数据
在实施BaselⅡ过程中,对数据基础的建设,应该以自力开发为主。
首先,将中国银行业的数据和系统向国外咨询机构开放,会涉及较为敏感的金融安全问题;其次,对中国数据的理解和应用,国内的银行和机构更有话语权;第三,优秀数据的建设,并不是一朝一夕的短期行为,而是贯穿实施新资本协议的始终,所以外资咨询机构的阶段性辅助并不能支持该项工作长期有效的实施。
(二)突破关键的技术
BaselⅡ的制定,代表了国际金融市场规则的发展方向,同时也是欧美发达国家在控制金融机构风险管理和风险监管的最佳做法;但从发展中国家的角度看,尚不完善的基础条件制约协议作用的发挥。这些制约包括公司和银行破产制度和程序、法律和诉讼体系、资本市场、信用评级体系、会计体系、科技支持、数据库、公司治理结构,甚至包括人们对于风险和风险管理的基本态度等等。
(三)探索中国金融风险管理之路
笔者认为,中国的金融风险管理可以选择如下的发展途径:
1.建立统一的数据联盟
数据不足是困扰各家银行风险建模工作、推进新资本协议工作普遍存在的问题。2004年12月,由于缺乏信用风险统计研究的历史数据,欧洲几家大银行建立了泛欧洲信用数据联盟PECDC(Pan-EuropeanCreditDataConsortium)。截止2008年底,已经拥有37家成员国银行。各成员按照PECDC的数据标准和规范提交自己拥有的信贷数据、违约损失数据样本点,PECDC按照各成员的样本贡献率来分配数据共享量,在很大程度上缓解了各成员银行数据不足的困境。
这一数据联盟为各成员银行提供了创造和分析不同信用风险参数的统计样本基础,也可以用来度量各成员银行的信用风险组合,有利于计量经济资本和新资本协议所要求的资本充足率,也为各国、各家银行解决风险建模工作数据不足提供了思路。
2.建立统一的数据信息平台,加强商业银行IT系统建设
在推进实施新资本协议过程中,银行的首要工作是有效地整合银行内部各业务部门系统的数据资源,实现数据的集中存储和展现,为数据清洗、标准化整合工作提供统一的基础风险数据。
3.风险管理建模工作要与银行实际业务紧密结合,加强业界多方交流
风险管理部门研发模型最终要运用于银行日常风险跟踪及管理中,因此建模工作一定要与实际应用紧密结合,不断与信贷部门、监控部门进行沟通,使模型接近于实际业务需要,具有实践上的可操作性。
4.依靠自身力量推进巴塞尔实施进程
欧洲和日本先进银行均坚持利用自身或本国咨询机构的技术和数据,培养本土的优秀技术团队,在推进实施BASELⅡ的过程中,充分体现出自身的资产特征和文化内涵。
摘要:
随着宽带网络和用户规模的不断增长,用户对宽带接入业务的高可用性要求不断增强,对电信运营商在IP城域、接入网络和支撑系统提出了更高的安全性要求。本文从信息安全管理的理念、方法学和相关技术入手,结合电信IP城域网,提出电信IP城域网安全管理、风险评估和加固的实践方法建议。
关键字(Keywords):
安全管理、风险、弱点、评估、城域网、IP、AAA、DNS
1信息安全管理概述
普遍意义上,对信息安全的定义是“保护信息系统和信息,防止其因为偶然或恶意侵犯而导致信息的破坏、更改和泄漏,保证信息系统能够连续、可靠、正常的运行”。所以说信息安全应该理解为一个动态的管理过程,通过一系列的安全管理活动来保证信息和信息系统的安全需求得到持续满足。这些安全需求包括“保密性”、“完整性”、“可用性”、“防抵赖性”、“可追溯性”和“真实性”等。
信息安全管理的本质,可以看作是动态地对信息安全风险的管理,即要实现对信息和信息系统的风险进行有效管理和控制。标准ISO15408-1(信息安全风险管理和评估规则),给出了一个非常经典的信息安全风险管理模型,如下图一所示:
目前,宽带IP网络所接入的客户对网络可用性和自身信息系统的安全性需求越来越高,且IP宽带网络及客户所处的信息安全环境和所面临的主要安全威胁又在不断变化。IP宽带网络的运营者意识到有必要对IP宽带网络进行系统的安全管理,以使得能够动态的了解、管理和控制各种可能存在的安全风险。
由于网络运营者目前对于信息安全管理还缺乏相应的管理经验和人才队伍,所以一般采用信息安全咨询外包的方式来建立IP宽带网络的信息安全管理体系。此类咨询项目一般按照以下几个阶段,进行项目实践:
3.1项目准备阶段。
a)主要搜集和分析与项目相关的背景信息;
b)和客户沟通并明确项目范围、目标与蓝图;
c)建议并明确项目成员组成和分工;
d)对项目约束条件和风险进行声明;
e)对客户领导和项目成员进行意识、知识或工具培训;
f)汇报项目进度计划并获得客户领导批准等。
3.2项目执行阶段。
a)在项目范围内进行安全域划分;
b)分安全域进行资料搜集和访谈,包括用户规模、用户分布、网络结构、路由协议与策略、认证协议与策略、DNS服务策略、相关主机和数据库配置信息、机房和环境安全条件、已有的安全防护措施、曾经发生过的安全事件信息等;
c)在各个安全域进行资产鉴别、价值分析、威胁分析、弱点分析、可能性分析和影响分析,形成资产表、威胁评估表、风险评估表和风险关系映射表;
d)对存在的主要风险进行风险等级综合评价,并按照重要次序,给出相应的防护措施选择和风险处置建议。
3.3项目总结阶段
a)项目中产生的策略、指南等文档进行审核和批准;
b)对项目资产鉴别报告、风险分析报告进行审核和批准;
c)对需要进行的相关风险处置建议进行项目安排;
4IP宽带网络安全风险管理实践要点分析
运营商IP宽带网络和常见的针对以主机为优秀的IT系统的安全风险管理不同,其覆盖的范围和影响因素有很大差异性。所以不能直接套用通用的风险管理的方法和资料。在项目执行的不同阶段,需要特别注意以下要点:
4.1安全目标
充分保证自身IP宽带网络及相关管理支撑系统的安全性、保证客户的业务可用性和质量。
4.2项目范畴
应该包含宽带IP骨干网、IP城域网、IP接入网及接入网关设备、管理支撑系统:如网管系统、AAA平台、DNS等。
4.3项目成员
应该得到运营商高层领导的明确支持,项目组长应该具备管理大型安全咨询项目经验的人承担,且项目成员除了包含一些专业安全评估人员之外,还应该包含与宽带IP相关的“业务与网络规划”、“设备与系统维护”、“业务管理”和“相关系统集成商和软件开发商”人员。
4.4背景信息搜集:
背景信息搜集之前,应该对信息搜集对象进行分组,即分为IP骨干网小组、IP接入网小组、管理支撑系统小组等。分组搜集的信息应包含:
a)IP宽带网络总体架构
b)城域网结构和配置
c)接入网结构和配置
d)AAA平台系统结构和配置
e)DNS系统结构和配置
f)相关主机和设备的软硬件信息
g)相关业务操作规范、流程和接口
h)相关业务数据的生成、存储和安全需求信息
i)已有的安全事故记录
j)已有的安全产品和已经部署的安全控制措施
k)相关机房的物理环境信息
l)已有的安全管理策略、规定和指南
m)其它相关
4.5资产鉴别
资产鉴别应该自顶向下进行鉴别,必须具备层次性。最顶层可以将资产鉴别为城域网、接入网、AAA平台、DNS平台、网管系统等一级资产组;然后可以在一级资产组内,按照功能或地域进行划分二级资产组,如AAA平台一级资产组可以划分为RADIUS组、DB组、计费组、网络通信设备组等二级资产组;进一步可以针对各个二级资产组的每个设备进行更为细致的资产鉴别,鉴别其设备类型、地址配置、软硬件配置等信息。
4.6威胁分析
威胁分析应该具有针对性,即按照不同的资产组进行针对性威胁分析。如针对IP城域网,其主要风险可能是:蠕虫、P2P、路由攻击、路由设备入侵等;而对于DNS或AAA平台,其主要风险可能包括:主机病毒、后门程序、应用服务的DOS攻击、主机入侵、数据库攻击、DNS钓鱼等。
4.7威胁影响分析
是指对不同威胁其可能造成的危害进行评定,作为下一步是否采取或采取何种处置措施的参考依据。在威胁影响分析中应该充分参考运营商意见,尤其要充分考虑威胁发生后可能造成的社会影响和信誉影响。
4.8威胁可能性分析
是指某种威胁可能发生的概率,其发生概率评定非常困难,所以一般情况下都应该采用定性的分析方法,制定出一套评价规则,主要由运营商管理人员按照规则进行评价。
4.9风险处置
针对IP城域网风险分析结果,在进行风险处置建议的时候,需要综合考虑以下多方面的因素:效用、成本、对业务、组织和流程的影响、技术成熟度等。
一配网工程施工安全风险管理的潜在隐患
在配网施工过程中,其存在的主要安全隐患主要包括以下三个方面:
1相关工作人员缺乏必要的安全观念
当前在电力企业中,不论是企业相关领导及管理人员,还是其他工作人员,其更注重企业经济效益的增长,电力技术的提高,而普遍缺乏对施工安全足够重视,其安全观念十分淡薄,这导致相关工作人员在工作过程中,疏忽大意,从而导致安全风险,如在电力故障抢修中忘记携带必要的工具,抢修效率低下,导致安全隐患的发生。
2管理水平低下由于管理人员安全观念淡薄
对管理工作缺乏热情和积极性,导致其管理水平低下,对于施工过程不予以严格的监督管理,一旦出现问题,则相互推诿责任,甚至有部分管理人员为了个人利益,而对施工过程中的违规现象视而不见,管理水平的低下,也是配网施工中最主要的隐患之一。
3相关工作人员专业素质低下
当前在电力行业,有相当一部分工作人员专业素养不高,企业又缺乏相应的培训机制,员工由于缺乏扎实的专业技能,导致其在施工及故障抢修等过程中出现技术不过关的问题,从而造成潜在隐患。
二配网工程施工安全风险管理的危险源
在配网施工过程中,其危险源主要指的是能够引发人员伤亡及造成财产损失等的所有危险因素的统称,其主要包括以下两种:
1实体危险源
其主要指的是施工中所需要用到的设备器械以及场所等。设备机械类的分为两类:一类是由于设备的安装摆放不当造成的安全隐患,而这些装置却具有很大的能量,如发电机等;另一类是在施工过程中因设备操作不当而引发的安全隐患,如起重机等。场所类的也分为两类:一类是某些场所因为环境等因素所造成的安全隐患,如施工现场由于恶劣天气而出现泥石流等自然灾害而引发的安全事故;另一类是具有风险的场所,如企业的油库等,由于工作人员不慎而引发火灾等。
2虚体危险源
此类危险源主要指的是由于人为因素及环境变化等所引发的安全隐患,人为因素如起重机操作中疏忽大意造成的风险,环境因素如温度的变化,而影响到设备的正常运行等。
三配网工程施工安全风险管理的有效措施
1提升相关人员的安全观念
在配网施工中,要想提高安全风险管理水平,首先要加强相关领导的足够重视,加深其对安全管理工作重要性的深刻认识,从而提升其安全管理观念,只有领导带头加大对安全管理工作的重视,才能在企业全体员工中形成一种安全管理的氛围。因此相关领导要定期组织全体员工开展安全教育工作,引起员工对施工安全问题的重视程度,加深其对安全管理工作的深刻认知,从而有效提升其安全管理观念,在整个企业中构建一个安全管理的良好氛围,督促员工在实际工作中践行安全管理相关制度,同时对其他员工的安全作业进行监督促进,从而有效促进配网施工安全风险管理工作水平的提升。
2完善安全风险管理制度
配网施工要想实现安全管理水平的提升,就必须完善安全管理的相关制度,严格要求员工按照相关制度进行施工,对施工过程进行严格的监督管理,促进其管理水平的提升。同时做好风险的预防工作,并做好相关应对预案,避免安全事故的进一步扩大化。企业在配网工程施工前,要将该施工所需进行的施工项目全部列出来,并一一对各施工项目的施工流程及方法等进行详细阐述,对于存在的可能安全隐患一一进行说明,让相关施工人员做好心理及理论上的储备,以有效避免及应对施工过程中的安全隐患,可以通过给员工发放《作业指导书》的形式实施。同时严格作业票的发放及审核机制,每个施工人员只能发一张相关的作业票,并由相关管理人员,施工前予以严格审核,审核通过方能进行作业,并由持票人予以签名,加强对施工过程的严格监管,督促相关工作人员严格按照“四措施及两票”等制度进行安全施工。我们在提升配网工程安全风险管理中就采取了四步法、八步骤的方式进行管理,并取得了显著成效,极大地提升了其安全管理水平,其通过《作业指导书》《电网建设安全施工作业票》《安全基准风险分析指南》等,对工作人员的工作流程进行规划化,定期对配网工程存在的风险进行评价,及时排查其危险源,严格规范其管理过程,所有员工凭票作业,并严格对其进行审核,实现“两票、三保(保护用具)、四措施(技术措施)、一交底”(即凭票工作、凭票操作、穿工作服、戴安全帽、系安全带、停电、验电、接地、挂牌装遮拦和现场安全技术交底)。
3提升工作人员专业素养
完善考核机制要想配网施工安全管理工作能够有效实施,提升相关工作人员的素养是关键,因此企业相关领导要定期给予工作人员予以专业知识及技能的培训,提升其专业技能,对于新引进的设备,要及时给予工作人员培训,加强其对新设备的了解,熟悉其操作流程及相关规范等,从而有效地防止安全隐患的发生。此外,企业在对承包商进行招标时,为了提升施工质量及施工安全管理水平,还需要引入相应的竞争以及考核机制,可以在承包商考核机制中引入扣分制度,其内容主要有:其扣分考核以一年度为一周期实施,时间从每年元旦到12月最后一日的24点截止,并对其扣分进行归零处理,同时其扣分情况实现信息化系统管理,相关监管人员要在两天内将承包商的扣分情况输入信息系统中,各相关方可随时予以查询,最后相关部门对扣分情况进行统计分析,按照相关标准,对扣分达到一定数值的承包商,予以相应处罚,并定期对其结果进行公告。其具体扣分划分如下:小于6分为可控状况;6~9分之间需进行通报批评;9~12分之间,需对承包商予以1~3分的扣分处理,其有效时间为1~4个季度;大于12分的,则给予承包商予以拒绝其参加任何形式的南网招投标活动,有效时间为1~4个季度;扣分9~12且连续2次及以上的,其处罚情况同扣分大于12分的情况。
4严格审查停电计划
作业前准备充分,提前把关、作业中认真督察,过程管控、作业后总结,奖惩分明、加强材料需求准确性及供应及时性,以及加强对承包商工程管理考核的执行等。
四结语
由以上可以看出,配网工程施工中存在不少安全管理问题,其严重阻碍电力行业的健康可持续发展,因而加大对其安全管理的研究有着深远意义。
作者:谢荣彬单位:广东电网韶关乳源供电局
1建筑工程施工安全风险管理策略
建筑工程安全风险管理方式是多样化的,结合不同特点的施工安全风险管理环节,积极采用相应的建筑工程施工安全风险管理策略,是很有必要的。建筑工程安全风险控制和应对的过程中,积极通过建筑施工安全风险的识别,评估的方式,从数据统计的角度去界定建筑施工安全风险发生的概念,损失程度,危害程度,由此制定切实的建筑施工安全风险控制和应对措施。一般情况下,对于风险进行管理和控制的方式分为:消除风险,减轻风险,预防风险,回避风险和转移风险。上述的几种方式可以切实的被运用到建筑工程施工安全管理工作中去。基于这样的理论,积极结合建筑工程施工安全风险管理特点,实现理论与实践的相互融合。具体来讲,需要从以下角度入手:
1.1消除建筑施工安全风险
消除建筑施工安全风险,可以尝试多样化的方式去达到这样的效能。一般情况下,使用更加先进的施工技术或者施工方法,解决原来技术缺陷和弊端,以尽可能的实现建筑施工安全风险隐患的规避。为此,应该积极做好以下几方面的工作:其一,组建建筑施工安全风险管理小组,对于建筑施工安全管理工作进行分析和总结,找到现阶段建筑施工安全管理工作的缺陷和不足;其二,结合实际建筑施工安全风险管理情况,鼓励进行技术创新,工艺改善的方式实现部分建设施工环节风险的管理和控制。
1.2减轻建筑施工安全风险
所谓减轻建筑施工安全风险,是指以技术手段措施实现建筑施工安全风险的减轻,从而避免风险带来的不利影响。从本质上来讲,减轻建筑施工安全风险的过程,是将可预测的安全风险控制在可以承受的范围内的过程。对此,应该积极做好以下工作:针对于现阶段建筑施工安全风险情况,对于建筑施工安全风险情况进行全面分析,在此基础上制定相应的策略进行风险降低。
1.3预防建筑施工安全风险
预防建筑施工安全风险,是一种主动出击的建筑施工安全风险处理策略,简单来讲,就是通过对于众多建筑施工安全风险源的分析,确定其可能出现的建筑施工风险,采用一定的技术措施使得建筑施工风险不会发生。对于建筑施工安全风险的预防来讲,应该注重以下内容:其一,树立建筑施工安全风险防范意识,营造良好的建筑施工安全风险预防氛围;其二,加大对于建筑施工安全风险防范的投入,从设备,人力,财力等角度给予充足的支持,保证各项防护工作都能够切实发挥效能。
1.4回避建筑施工安全风险
对于建筑施工过程中的安全风险,以回避的方式进行处理,是最佳的处理方式,也是比较彻底的施工安全管理策略。但是在此过程中要主动放弃或者改变项目施工方式,在确定规避方案的时候,要积极去思考这样的改变是否会对于整个建筑项目的经济效益构成危害,这就要求对于回避建筑施工风险的方案进行全面的评价,从风险源入手,展开分析,并且最终确定建筑施工安全风险方案,将其执行到建筑施工安全风险管理中去。
1.5转移建筑施工安全风险
所谓转移建筑施工安全风险,就是将风险环节集中的项目分给其他的单位来承担,以最大化的降低风险的发生概率,使得自己不用去承受不利后果。一般情况下,当公司技术能力,管理素质不强的时候,就会以工程建设承包的方式进行分包,以便弥补自身在技术和管理方面的缺陷,将风险转移给了承包商和分包商。或者以购买保险的方式,一旦发生施工安全风险,由保险公司去进行承担,也是很常见的一种转移风险的做法。
2结束语
综上所述,建筑工程施工安全风险管理是现代建筑工程管理的重要内容。正视现阶段建筑工程项目安全风险管理现状,探析其中存在的缺陷和不足,并且在此基础上积极构建完善的建筑工程施工安全风险管理体系,是当前建筑工程企业应高度重视的问题。
作者:郝会娟 高继威 单位:河南建筑职业技术学院 河南省建筑工程学校 郑州中兴工程监理有限公司
1资料和方法
收集我院2011年6月至2014年6月儿科上报的用药错误护理不良事件和院科两级护理质量检查中发现的用药安全隐患共32例,分析其原因并提出对策。
2结果
32例儿科护理用药错误引起的不良事件或安全隐患的原因为:执行医嘱错误11例(34.4%),未严格执行查对制度8例(25.0%),操作不规范6例(18.8%),护士职业素质因素4例(12.5%),实习带教不严格2例(6.3%),药品过期1例(3.1%)。
3讨论
3.1原因分析3.1.1执行医嘱错误(1)主班护士处理医嘱时注意力不集中,常被其他事情干扰(如接待来访者、接听电话、处理呼叫器等),将医嘱转抄到执行单和输液卡时,易误抄漏抄;(2)儿科医嘱复杂、变化多,特别是临时医嘱多时医护疏于沟通,导致医嘱处理不及时或护士执行错误;(3)责任护士正忙时,有临时医嘱需其执行的,主班护士未交待清楚;(4)个别护士违规执行口头医嘱。此外,儿科护士工作强度大也是医嘱执行错误的一个重要原因[4]。
3.1.2未严格执行查对制度(1)护士未能做到每班认真查对医嘱,或查对时未做到医嘱单、电脑、执行单、输液卡或口服药卡的四核对,导致不能及时发现医嘱执行错误;(2)配制药物时未认真查对,导致药品拿错、配错;(3)在给药前、中、后未认真查对药品和患儿身份,导致发错药、打错针、换错液体等。
3.1.3操作不规范(1)儿科输液分组多,有的护士常简化操作程序,一次配制多组液体,导致配制好的药物放置时间长,增加输液反应风险;(2)儿科用药剂量计算复杂,容易计算错误而致剂量不准确;(3)溶媒选用不当;(4)使用双头输液器时,同时开放两组液体,导致药物相互作用,如酚妥拉明与地塞米松、果糖二磷酸钠与10%葡萄糖酸钙同时输入会出现混浊、变色现象;(5)静脉滴注速度控制不合理,如脱水患儿需快速补液,而新生儿、心肺疾病患儿则需严格控制滴速,过快会发生肺水肿等严重后果;(6)药物用法不适宜[5];(7)在未询问清楚药物过敏史的情况下,未行药物过敏试验。
3.1.4护士职业素质因素(1)责任护士对分管患儿病情、用药不完全了解,未向患儿进行用药指导,使患儿用药依从性下降;(2)口服药未做到监督用药,患儿易漏服;(3)护士交接班不详细,对特殊时间用药、特殊用药或未及时用药的患儿未认真交接,导致换班后患儿药品漏用或错用;(4)儿科护士药学知识欠缺,对药品注意事项、不良反应、配伍禁忌等了解不够,不能科学地指导患儿用药,不能合理地安排静脉输液顺序,不能及时、全面地观察药物治疗效果及不良反应。
3.1.5实习带教不严格有的实习生带教老师不严格,常让实习生单独操作,增加了用药安全风险。
3.1.6病房药品管理因素(1)科室药品未按要求进行管理,备用药品未进行不定期清点、检查,导致药品过期;(2)应该冷藏的药品未放入冰箱保存,需避光的未避光保存,使药品失效;(3)急救药品未按“四定”管理,班班交接,影响急救用药;(4)高浓度药品未单独分类保管,药物未入原装盒或多种药混放一起,容易出错;(5)毒性、麻醉药品未专柜、专锁管理,存在隐患。
3.1.7其他如工作环境因素等。儿科护士在操作中常伴随着患儿的哭闹和躁动,除要付出较大的体力外,还要承担沉重的心理压力,影响其判断力和操作准确性[6,7]。
3.2管理对策
3.2.1加强规章制度的落实力度贯彻落实规章制度是保障用药安全的前提,具体措施:(1)重新优化医嘱核对及处理流程,各班护士认真落实执行医嘱制度和查对制度;(2)进一步明确主班护士工作职责,对重整医嘱、新医嘱、特殊用药及在转抄执行单和输液卡时实行双人核对;(3)加强医护沟通,在执行医嘱时遇到疑问必须询问清楚,一般不执行口头医嘱,必需执行口头医嘱时,要求复述两遍双方确认无误后方能执行;(4)加强责任护士责任意识,尽量让患儿不出病房就能解决问题,减少呼叫器响铃和患儿家长到护士站询问的次数,减少主班护士处理医嘱时的干扰因素;(5)每天做到对全病区所有医嘱认真查对,同时核对第二天输液卡后再行摆药,摆药时要双人查对,尤其注意查对早、中、夜班产生的新医嘱,及时发现、补救用药问题;(6)用药前、中、后要严格落实“三查七对”,杜绝错、少、漏用药发生;(7)在护士站,全院统一制作了安全信息提示板,把需在下一班使用的特殊用药、特殊时间用药在上面作好登记,每班交班前要认真查对所有药物治疗落实情况,同时做好床边交接班,严防遗漏。
3.2.2严格遵守用药操作规范(1)认真执行无菌操作规范,液体现配现用,预防药物污染、变质;(2)配制液体时注意配伍禁忌,使用双头输液器输液时严禁一个通道两组液体同时开放;(3)准确计算药物剂量,特殊用药(如地西泮、氨茶碱等)需双人核算,<1mL的药量,须用1mL注射器抽吸;(4)根据患儿年龄、药物性质、病情合理安排输液顺序及调整输液速度,对需要严格控制滴速的药物使用微量泵或输液泵;(5)勤巡视病房,严密观察用药过程中患儿病情变化,注意有无液体渗漏,输注完毕及时更换;(6)做药物过敏试验前要认真评估患儿有无过敏史,如有过敏史者严禁做皮试。
3.2.3加强护士职业素质管理(1)护士正确认识安全护理的重要性和树立较强的法制观念是安全用药的重要保障,故应经常组织护士学习相关法律知识,利用典型案例进行教育,加强护士责任感和自我约束力,提高其慎独精神与风险意识;(3)责任护士要充分了解分管患儿的病情、药物治疗方案,做好患儿家长用药健康指导,让患儿或其家长知晓所用药品名称及药理作用,提高用药依从性;(4)加强口服药品管理,制定口服药品发放流程,做到“看服到口”;(5)科室要加强护士药学知识的培训和学习,儿科用药复杂,护士应拓宽自己的药学知识,掌握儿科常用药物的治疗作用、不良反应及注意事项,在使用新药、特殊药品前应详细阅读药品说明书。
3.2.4加强病区日常管理(1)护士长要加强病区管理,尽量保持环境安静,倡导使用静脉留置针,减轻护士工作强度和焦躁情绪;(2)每天做好“五查”,随时检查全病区护理质量,重点关注新进护士的工作情况;(3)中班、夜班、节假日要合理搭配值班人员,新老互补,实时监管各班次用药治疗情况,及时发现安全隐患;(4)加强实习护士管理,要求带教老师“放手不放眼”。
3.2.5加强药品安全管理(1)科室设专人管理药品,定期检查药品质量,避免药品积压、过期,病房药品每周清点一次,3个月内要过期的药品使用红色笔记录失效日期以示提醒;(2)药品定位存放,入原装盒、统一标签,合理制定药品基数,严格按说明书要求存放;(3)遵循“先进先出、近期先用”的原则,急救药品使用完毕及时补充;(4)高危、毒、麻药品专柜专锁管理,应有警示标识。章飞雪等[8]建议使用合理用药监测系统(PASS),对高危药品医嘱进行重点监测和管理,确保用药安全。
3.2.6加强科室护理不良事件上报管理我院实行护理不良事件奖励性上报制度,要求科室一旦发生护理用药错误,应24h内上报护理部,科室在1周内进行讨论分析,提出整改方案,从制度落实、工作流程和人员管理等方面加以改进,护理部追踪整改效果。自2011年以来,通过不断总结经验,持续改进,儿科用药不良事件逐年下降,用药安全隐患也越来越少。儿科用药安全风险可发生在护理工作中任何环节,从备药、配药、给药至给药后,一点疏漏都可能酿成严重后果。因此,只有运用科学的管理方法,提高护士的专业素质和安全意识,加强工作责任心,不断优化临床用药工作流程,才能降低临床用药风险,保证患儿用药的安全性和有效性。
作者:段桂仙 单位:湖北省十堰市郧县人民医院
科学发展观为21世纪中国经济和社会发展指明了道路。科学发展观是中国共产党的重大战略思想,也是推动中国各行各业发展的方法论。在我国国民经济组成中,建筑业是非常重要的行业之一。近年来,随着我国基础设施建设的大规模投资和房地产行业的蓬勃发展,建筑行业的安全风险堪忧,各类安全事故不断,严重威胁着人民群众的生命财产安全。虽然目前各级政府加强了建筑安全的管理力度,但仍然缺乏长效机制,管理漏洞不断,安全生产形势不容乐观。同时,除了发挥政府部门的安全监督管理职能外,还应充分发挥勘察设计单位、建设单位、监理单位、施工单位的安全管理主动性,并不断提高从业人员的安全意识,把人的安全始终放在首位,多位一体建立基于科学发展观的建筑安全风险管理体系。
1以科学发展观统领建筑安全风险管理的重要性
随着人类的进步和社会的发展,人的生命财产安全变得越来越重要。如果人的生命财产安全都得不到保障,那么再好再快的发展都失去了意义。而科学发展观的优秀正是坚持以人为本,促进经济社会和人的全面发展,使经济社会的发展与人的发展高度和谐统一。改革开放以来,我国建筑业快速发展,已经成为国民经济的支柱产业,对于拉动经济发展具有极其重要的地位。然而,由于长期以来受制于行业特点、社会发展水平、管理乏力、工人素质、文化观念、监管不够等因素的影响,建筑业从业人员素质整体较低,建筑业安全生产形势非常严峻。根据住建部的统计,2013年前三季度,全国共发生房屋市政工程生产安全事故384起、死亡478人,比2012年同期事故起数增加20起、死亡人数增加25人,同比分别上升5.49%和5.52%。有效解决工程建设过程的安全问题,是摆在各个建设参与主体面前的一项艰巨课题。由此可见,以科学发展观统领建筑安全风险管理非常重要。必须按照“全覆盖、零容忍、严执法、重实效”的总体要求,高度重视建筑安全生产工作,加大重大环节的安全检查力度,确保较好的建筑安全生产形势。以科学发展观统领建筑安全风险管理迫在眉睫,具有极其显著的经济效益和社会效益。
2建立基于科学发展观的建筑安全风险管理体系
根据我国的现状,结合科学发展观的方法论,建筑安全风险管理应该是全员参与,全过程介入,全方位控制,集中各方面的力量消除安全风险的影响。因此,基于科学发展观的建筑安全风险管理体系如图1所示。从图1可以看出,基于科学发展观的建筑安全风险管理体系的优秀是以人为本,方法是全员参与、贯穿全程和全面管控。只有建立全员、全过程、全方位的建筑安全风险管理体系,以科学发展观为指导,逐渐建立长效机制,才能走出一条具有中国特色的建筑安全风险管理之路。
3建筑安全风险管理体系的应用分析
应用建筑安全风险管理体系,关键在于从法律上界定各个责任主体在建筑安全管理中应该承担的责任和义务范围,充分利用各种手段调动各个主体进行建筑安全风险管理的积极性。其中,政府是建筑安全风险管理各个责任主体的优秀。从政府的角度出发,牵头建立适合风险管理模式的高效管理体系,并制定配套的法律法规,同时加大建筑安全风险监管力度,有效约束建筑安全参与各方的安全行为。从建设单位、勘察单位、设计单位、施工单位、监理单位的角度来看,首先应增强建筑安全风险管理意识,建立建筑安全风险应对措施,把握好安全与质量、进度、投资之间的关系,各自履行建筑安全风险管理主体职责,始终把建筑安全风险管理作为主要任务来抓。从社会公众的角度来看,全社会都应高度关注建筑安全生产问题,始终将广大人民群众的生命财产安全放在第一位,同时发挥舆论监督的作用,形成人人都重视建筑安全的良好社会风气。做好建筑安全风险管理,不仅具有十分重要的经济意义,更具有非常深远的社会意义。现阶段,新的安全生产法已经实施,正在推行落实建筑安全生产责任制和注册安全工程师制度,并实行安全生产一票否决制,质量安全终身负责制,极大地提高了重视安全生产的积极性。各级政府行政首长是安全生产监管责任的第一责任人,各参建单位法人代表是安全生产实施责任的第一责任人。每一起建筑安全事故不仅会带来巨大的经济损失和恶劣的社会影响,而且对于相关家庭都是无法接受的悲痛。建筑安全风险管理的重要性不言而喻,我们要做的工作还有很多很多。基于科学发展观的建筑安全风险管理体系只是一个框架性的模式,在实际过程中需要不断完善,具体问题具体分析,努力将建筑安全风险控制到无限接近于零的最低限度。
4我国建筑安全风险管理
未来发展趋势长期以来,在我国工程建设领域,建筑安全风险管理都是非常迫切的重要任务。近几年,随着科学发展观的提出,对人民群众的生命财产安全越来越重视。一方面,广大建筑业从业人员的安全风险意识不断增强,主动参与到安全预防,做到事前控制、事中控制与事后控制相统一,将可能的安全隐患降低到最低限度。另一方面,建筑安全主管部门不断完善相关法律法规,将安全文明措施费纳入专项费用管理,有效保证安全费用投入,提供了一定的安全屏障。由于建筑安全事故具有不确定性,受到的影响因素很多,既有人为的因素,也有客观的因素,因此完全根除建筑安全问题难度相当大。从长远来看,需要借鉴学习西方发达国家的先进经验,建立适应我国国情的解决建筑安全风险问题的长效机制。只有建筑安全预防意识与建筑安全预防手段同时提高,建筑安全制度标准和建筑安全奖罚机制同时建立,才能不断完善建筑安全风险管理体系,为实现中华民族伟大复兴的中国梦保驾护航。
作者:秦基胜
风险管理指的是为将风险降至最低,通过风险识别和风险评估,选择、优化和实施有效控制风险方法的管理科学[1]。医疗风险管理是指医院有系统、有组织地对医疗风险进行识别、评估,并采取及时有效的处理措施,从而降低乃至消除医疗风险[2]。近年来,随着人们对医疗护理需求的不断提高和法律维权意识的逐渐加强,全国各地出现的医患矛盾、医疗纠纷以及引发的伤医事件越来越多,护理工作面临的风险愈来愈大,特别是对风险系数较高的精神科而言,由于其护理对象的特殊性及操作的复杂性,使精神科护理安全面临非常大的挑战[3]。对精神科护理不安全因素及其原因分析,落实科学有效的风险管理策略,降低精神科护理风险。
1资料与方法
1.1一般资料:选择我院2011年12月~2013年12月住院治疗期间发生护理安全问题的精神疾病患者76例,男49例,女27例,年龄15~66岁。所患疾病包括抑郁症、情感障碍、精神分裂症以及强迫症等。
1.2方法:通过对76例精神疾病患者发生的护理安全问题进行回顾性分析和总结,得出精神科护理安全问题的主要问题及其分布情况。1.3统计学处理:将统计所得到的数据录入Excel中建立数据库,并对护理安全事故分布进行数理统计。
2结果
将所选的76例精神疾病患者在住院治疗期间发生的护理安全问题分布进行统计:冲动伤人21例,毁坏物品17例,自杀自伤14例,意外受伤(如跌倒等)12例,出走外逃7例,其他行为5例。精神科护理中患者发生的安全问题主要包括冲动伤人、毁坏物品、自杀自伤、意外受伤以及出走外逃等。
3讨论
根据对精神疾病患者在住院治疗期间发生的护理安全问题分布进行统计结果,深入分析精神科护理发生安全问题的原因,并提出加强精神科护理安全与风险管理的具体措施,切实降低精神科护理工作的风险。
3.1精神科护理发生安全问题的原因分析:①精神疾病患者及家属因素分析:由于精神疾病的特殊性,患者大多存在行为、认知、思维和情感等方面的偏差,对自身行为缺乏自制力,导致不配合治疗,容易受妄想、幻觉的影响引发自杀自伤、冲动伤人、出走外逃以及情绪上大起大落等行为,是造成护理安全问题的主要原因之一。患者家属由于缺乏有效的医疗知识和沟通不畅,很容易引发医护人员与患者家属的矛盾与纠纷。②护理人员因素分析:由于日常护理工作的护士大多比较年轻,相关专业培训和护理经验不足,同时对精神科护理安全缺乏足够的认识和法律维权知识。容易由于操作不当,缺乏护理技巧和耐心以及看护不严等原因,造成护理安全问题的发生。③医院设备、环境和制度等管理因素分析:由于医院在医疗器械、药品等方面管理不当,封闭式管理的治疗环境等都可能导致患者意外情况的发生。此外,由于医院规章制度不完善,执行力不足,护理人员配置不合理,缺乏有效的护理风险管理组织和监督机制,也是造成护理安全问题的重要原因。
3.2加强精神科护理安全与风险管理的具体措施:①强化对护理对象的人文关怀,加强护理人员专业培训和法律维权意识:护理人员应本着以人为本的职业精神对精神疾病患者提供人性化护理。同时,通过加强护理人员法律知识的学习,提高精神科护理人员安全意识和自我保护能力。加强对护理人员的专业培训,规范护理行为,严格执行操作规程,并对患者病情了然于胸,做到及时发现问题和解决问题,防患于未然。②完善医院环境设备、管理制度建设,提高风险管理监督水平:建立健全医院护理风险管理规章制度,改善精神科病房环境设备使其更加人性化,合理分配医护人员,增加精神科护理人员比例。建立护理风险管理组织,完善护士长督导巡检机制,积极推行护理风险管理奖惩工作,在病房区域安装监控系统,加强护理风险监督水平。③同患者及家属进行有效沟通,建立和谐健康的医患关系:护理人员应根据精神疾病患者的心理问题,及时做好患者心理护理工作。同时与病患家属进行及时有效的沟通,使家属了解精神疾病的特殊性并取得家属的理解和支持,避免不必要的医疗纠纷。积极推进精神疾病科普宣传,建立和谐的医患关系,提高精神科护理工作的安全性和风险管理水平。
作者:罗颖 单位:四川省复员退伍军人医院