时间:2023-06-11 09:33:47
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇安全风险评价报告,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
1 安全评价机构面临的风险
对安全评价工作进行分析的意义就是能够使被评价对象运营风险降低或控制,但评价机构属于企业性的组织,一定的风险也存在于其本身之中。以风险产生的主体为依据,把委托方和国家政策等导致的风险列为安全评价机构外部风险;而安全评价机构内部风险就是由资金和人员等方面导致的风险。安全评价机构内、外部风险具有可变性,随着评价过程中的深入会发生改变或消失。
2 安全评价各评价阶段的风险分析
一般针对评价整个过程,把评价分为初期和中期,以及后期和后一段时期。在评价业务各个阶段分散着这些风险,有时候在评价的各阶段存在着同一种风险。由于各个阶段的工作具有不同的主要内容,其所面临的风险紧要程度也就存在差别。
2.1 外部风险
外部风险是评价初期风险的主要方面,委托方存在的风险是评价机构开展业务初期特别需要引起重视的,需要对其进行重点考虑。
2.2 内部风险
内部风险在评价初期属于次要地位。外部评价对象和企业内部是评价中期风险的主要部分,在该阶段对风险的主要考虑是在全面把握外部评价对象资料基础上,确定评价人员和评价方法。
2.3 技术风险
评价后期的主要风险源自技术风险,不同的评价方法将会导致结论的差异性,委托方也会极为关注。在不断深入评价的情况下,新的风险也会暴露出来,从而使风险更加复杂,最后可能出现不能及时提交评价报告现象发生,致使评价机构增加投入,产生资金风险。
2.4 国家监管环境变更引发的风险
就国家宏观环境来看,一直处于相对比较稳定状态,此类风险相对来说是最小的,但是政府部门和评价机构需要重视法律和法规变更造成的风险,也是安全评价机构重视分析的对象。比如《安全评价机构管理规定》在新修订后,规定安全评价师和注册安全工程师把必要的继续教育必须列入每年参加的内容,重视安全评价水平等的不断提高,才具备从事安全评价活动的资格。
3 安全评价机构的风险管理与控制
3.1 风险管理与控制常用的几种方法
风险管理是在对风险进行识别和评估以及分析的基础上,对风险进行有效地控制,处置风险的方法以最经济和最合理为标准,从而使活动得到最大限度的安全保障。风险控制就是风险管理者通过对各种措施和方法的运用,把发生风险事件的各种可能性消灭或者减少,或者把发生风险事件产生的后果减轻。风险管理与控制是针对一件事情所进行的两个过程。有效运用资源是风险管理面对的难题,而机会成本因素是其中的主要内容。在风险管理中运用资源,可能会减少其他活动资源分配。而尽可能对资源消耗最少的前提下,最大限度化解危机,这就是理想的风险管理方式。风险控制就是把风险管理体系建立起来,通过对风险管理组织机构的明确,从可行性的角度对各项风险预控措施进行分析。因此,风险管理与控制就是权衡决定采取何种措施把风险降低并确保成本的过程。在对风险进行识别和评估基础上,以风险的大小和频率以及强度为依据,确定的对策也不同。以下为几种常用的方法:
(1)预防和控制风险。采取措施,把风险发生的因素减少或者消除。这种方式为大多数情况下所采用的方式。
(2)自保风险。这种风险形式具有两种。一是无计划自留,从收入中支出风险损失;二是自我保险被纳入计划。企业在平时就把适当资金预留,当发生损失时,风险由企业自己承担。
(3)风险转移。在危险发生前,以出售和转让等方法,转移风险。有两种形式转移风险:一是合同转移。通过签订合同向其他参与者转移部分或者全部风险。二是保险转移,该转移风险的方式为最常见。
(4)逃避风险。由于风险的存在把项目放弃。这种方式极为消极。使用这种方式是万不得已之举。企业把风险行为放弃就意味着把可能的收益放弃。
3.2 建立安全评价机构的风险管理体系
在风险管理体系中建立安全评价机构,这样有利于安全评价机构对风险进行主动预防和控制。任何企业都应该运用组织和监督机制构建风险管理信息系统以支持风险管理体系。安全评价尽管具有相对较为简单的过程,但是存在社会责任风险,因此安全评价机构对自身的风险管理体系也需要不断的进行完善,从而为每次评价业务的顺利开展提供保障。兼职的形式也可以在机构的风险管理组织中被运用,但管理和监督职责必须履行。
3.3 制定标准化评价流程降低风险
安全评价机构在重视把风险管理与控制体系建立的同时还应该充分的重视评价流程的标准化问题,从而减少评价人员过失导致的风险。评价流程要想实现标准化,首先由经验丰富的技术负责人充分分析技术能力等自我能力,同时对评价对象的要求等因素进行分析,在此基础上把项目的可行性确定下来。然后组织专业的评价人员勘查现场,现场记录结果,最后需要评价对象陪同人员对其进行签字,并把现场的图片等电子资料保存下来,作为观摩研究的依据。现场被勘查完后,以合同为依据把具体的工作计划制定出来,从而为按时完成评价工作提供保障。在完成评价报告后,组织组内、组外人员以及专家,从划分评价单元和辨识危险有害因素等方面,开展三级审核,从而使报告的质量得到保障。
3.4 强化安全评价机构的人员管理
就整个评价业务来看,其开展的核心决定因素在于安全评价机构人员综合能力。评价机构在构建评价小组时就应把评价人员的各方面素质进行综合考虑,注重专业互补,实现层次搭配。专业互补有利于在匮乏某些专业技能的情况下,使评价人员分析评价对象的危险因素的局限性被弥补;而层次搭配主要有利于组合实际经验丰富的人才,这样有利于在认识新材料和新技术等方面的不足,导致评价结果的不正确或者整改措施的不合理进行预防,这样能够确保企业的社会效益。知识型企业特点应该是安全评价机构注重发挥的功能,应积极的开展与行业专家的交流,把教授或学者等引进来是最好的举措,这样有利于促进企业业务水平的提高。
参考文献:
[1]王凯全,徐庆松,袁雄军.安全评价机构对化工企业的监督作用[J].安全生产与监督,2008(01).
为加快推进“科技兴安”战略,切实提高化工生产过程本质安全水平,有效控制化工企业事故的发生,逐步实现化工生产过程安全自动化控制,确保我市危险化学品安全生产形势根本好转,根据《中华人民共和国安全生产法》、《浙江省安全生产条例》等法律法规和浙江省人民政府批转省安委会《关于进一步加强危险化学品安全生产工作的指导意见》【浙政发(2009)27号】要求,结合我市实际,就推行化工生产过程自动化安全控制系统提出以下实施意见:
一、充分认识自动化安全控制系统在化工生产过程中的重要作用
化工生产过程大多涉及高温高压、易燃易爆和有毒有害,一些化工反应工艺过程复杂且蕴含着巨大的能量,一旦生产过程出现异常且控制不当,将会给人身和财产安全造成严重后果。安全科技是安全生产的重要基础和技术保障,自动化安全控制系统能对化工生产装置和设备可能发生的危险或措施不当行为致使继续恶化的状态进行及时响应和保护,使生产装置和设备进入一个预定义的安全停车工况,从而使风险降低到可以接受的最低程度,保障人员、设备和生产装置的安全。这类安全控制系统以其可靠适用的设备和先进的控制技术已被发达国家石油和化工企业普遍采用,为此,在化工相关行业中推行自动化安全控制系统对有效控制事故的发生,对我市危险化学品安全生产形势根本好转具有十分重要的战略意义。
二、推行自动化安全控制系统的总体要求和主要目标
(一)总体要求
对自动化安全控制系统总体要求为,一要具有很高的可靠性和灵敏度,当生产装置出现紧急情况时,安全控制系统能在允许的时间内作出响应,及时发出保护联锁信号,对现场设备及装置区域进行安全保护;二是根据不同装置工艺安全等级的保护需要,选择相应安全等级的安全控制系统;三是不管是独立设置还是混合设置的安全控制系统,其安全联锁保护功能模块在生产过程中始终处于静态,不需要人工动态操作。
(二)主要目标
到2010年末,全市已建或新建、改建和扩建化工生产项目涉及硝化、氯化、氟化、磺化、加氢、重氮化、过氧化以及聚合、裂解等且有高温高压、放热或深冷等工艺过程的;对其它装置或项目工艺过程,采用道化学公司火灾、爆炸危险指数评价法(第七版)评价,经现有的安全措施补偿后,其危险等级仍在很大及以上(火灾爆炸指数≥128)的;对不适用道化学法评价的项目可采用危险度评价法,其危险等级在高度及以上(危险度分值≥16)的,要根据安全风险程度等级选择安装不同类型的安全控制系统。
到2013年末,其他项目或装置特别是涉及易燃易爆介质、剧毒、高毒和极度危害介质,或构成重大危险源的生产储存设施,其危险等级为中等程度及以上(火灾爆炸指数≥97),或其危险度评价法危险等级为中度及以上(危险度分值≥11)的,均要安装相应的自动化安全控制系统。对项目工艺(装置)确实安全、稳定等特殊情况不需要安装的,须经设计单位或安全评价机构出具不需要安装的技术报告。
涉及上述情况的新建、改建、扩建项目,必须同时设计、安装相应的自动化安全控制系统。
三、加快化工生产自动化安全控制系统推行步伐的工作措施
(一)新建、改建、扩建化工建设项目,其设立评价报告应对建设项目工艺及装置进行安全风险等级评价划分,对符合化工生产自动化安全控制系统安装要求的,项目建设单位在委托安全设施设计时应同时进行生产过程自动化安全控制系统的设计。
设计单位在编制《危险化学品建设项目安全设施设计专篇》时,要根据建设项目设立评价报告对项目工艺及装置的安全风险分析、风险级别和安装自动化安全控制系统的技术建议,设计中要充分体现重要参数的测量、报警、自动联锁保护及事故状态下的紧急停车等自动化安全控制措施。
(二)进入施工和试生产阶段的新建、改建、扩建化工建设项目,建设单位要委托相关技术机构在《项目设立安全评价报告》和《安全设施设计专篇》中补充有关自动化安全控制系统方面的专项评价报告和专项设计专篇,并在本《意见》规定的期限内作出安装自动化安全控制系统的承诺。
(三)对已建成项目工艺及装置的企业应对对照本《意见》,对安装装置、工艺和依据安评机构按照道化学火灾爆炸危险指数评价法或危险度评价法得出的结果进行自评自报,并须经安评机构和设计单位确认,报当地安全生产监管部门。符合安装要求的,当地安全生产监管部门要按照本《意见》要求督促企业限期完成安装。
(四)2009年12月底后危险化学品安全生产许可证到期的企业,符合化工生产自动化安全控制系统安装要求的,换发许可证前必须安装自动化安全控制系统。
(五)本《意见》下发之日起,生产装置发生化学品爆炸、火灾、泄漏,致使人员伤亡事故的化工企业,且符合化工生产自动化安全控制系统安装要求的,必须安装自动化安全控制系统。
(六)在本《意见》规定的期限内符合安装自动化安全控制系统要求的而未安装的所有化工企业,规定期满后,视为安全设施配置不符合安全生产要求。
(七)自动化安全控制系统安装完成后,安装业务技术机构要向建设单位提交自动化安全控制系统安装技术报告书,内容主要为:设计和安装期限、该企业的生产工艺、安全工艺控制参数及控制点、安全控制工作原理、采用的逻辑控制单元、检测变送单元等、能达到何种生产安全控制要求、安全质量保证责任范围以及系统日常维护要求等。为便于对自动化安全控制系统推行工作的管理,报告书同时报送当地安全监管部门。
(八)2009年后受理的危险化学品安全行政许可申请,其安全评价报告必须有专题内容对其项目工艺及装置开展自动化安全控制系统安装方面的评价。
1.新改扩危险化学品建设项目设立评价报告,要对项目工艺及装置的安全风险进行分析,采用道化学火灾爆炸危险指数评价法或危险度评价法评估其风险级别,按照本《意见》提出是否需要安装自动化安全控制系统的技术建议。
2.新改扩危险化学品建设项目竣工验收评价报告,要对建设项目是否按建设项目设立评价和安全设施设计专篇的要求安装自动化安全控制系统作出评价。内容包括:安全工艺控制参数及控制点、安全控制工作原理、采用的逻辑控制单元、检测变送单元等;其设计、安装单位名称及资质,并分析评价控制系统在试生产期间的调试、运行情况等。
关键词 信息工程安全系统 风险评估 控制
中图分类号:X92 文献标识码:A
对项目风险管理来说,风险评估是对信息工程安全资产所面临的威胁、存在的弱点、造成的影响及三者综合作用所带来风险的可能性的评估。作为项目风险管理的基础,风险评估是确定信息工程安全需求的一个重要途径,属于信息工程安全管理体系策划的过程。
1 风险评估概述
风险评估是在综合考虑成本效益的前提下,通过安全措施控制风险,使残余风险降低到可以控制的程度。因为任何信息系统都会有安全风险,所谓安全信息系统,实际上指信息系统在实施了风险评估以后做出了风险控制,仍然存在残余风险是可被接受的信息系统我们就称为安全信息系统。追求信息系统安全就不能脱离全面完整的信息系统安全评估,就必须运用信息系统安全风险评估的思想和规范对信息系统进行安全评估。
风险评估的主要任务包括:(1)识别面临的各种风险。(2)评估风险概率和可能带来的负面影响。(3)确定承受风险的能力。(4)确定风险消减和控制的优先等级。(5)推荐风险消减对策。
1.1 信息工程安全系统项目风险评估概述
信息工程安全系统项目风险管理是围绕信息工程安全系统项目风险而展开的评估、处理和控制的活动。其中最重要的基本要素是风险评估,因为基于风险评估可以对政府部门信息工程安全系统项目有系统全面的了解,找出潜在问题,分析原因,判断严重性和相关影响,以此确定信息工程安全系统建设的需求。项目是一个过程,从项目的开始到结束,风险评估要求风险评估贯穿到信息系统的整个生命周期提出了三个环节要进行风险评估:一是信息系统规划设计阶段,二是系统验收阶段,三是信息系统运维阶段。管理的不确定性,有限的资源和千变万化的危险和漏洞,使得所有的风险不可能完全缓解。一个信息系统的项目专业人员必须要协同用户、项目经理对信息系统各种潜在的影响进行评估,使其达到一个合理水平。
由于种种原因,信息安全系统存在着很多漏洞及缺陷,如黑客攻击或系统本身的原因,会造成系统安全事件,给系统带来不好的影响。因此,要对项目的信息安全风险进行相应的评估,评估的主要内容包括系统的安全漏洞和系统可能带来的负面影响,根据相应的等级来进行划分,评估出可能发生的安全风险。
1.2 信息工程安全系统项目风险评估过程
一般来说,系统信息工程安全项目风险评估分为四个不同的阶段。
第一个阶段:风险评估准备阶段。
(1)根据相应的风险评估准则,调研项目的实际情况,然后制定风险评估的计划表。按照实际操作来看,计划通常要由三个重要的表格组成,这三个表分别是:《信息工程安全系统的描述报告》、《信息工程安全系统的分析报告》和《信息工程安全系统的安全要求报告》。通过这些表格及具体的计划表,要对项目的风险评价进行计划。计划的内容一般要设计如下范围:目的、范围、目标、组织架构、经费预算、进度安排。制定好计划书后要及时汇报给决策层。如果决策层有异议,应该及时根据意见加以修改。只有获得决策层的审核和同意后,计划书才能获得批准,才能够获得相应的资源加以执行。
(2)结合项目的具体实际,对整个风险评估流程加以确定。不同的项目风险评估流程是不一样的,必须要结合具体的项目实际对评估的流程加以确定,如何工作,如何评估,评估结果如何衡量等。这个步骤,通常应该形成一个书面的《风险评估程序》,便于后面工作人员的具体操作。
(3)根据项目具体实际,选择特定的风险评估方法和工具。风险评估方法和工具千差万别,具体的某个项目,有针对性地 选择成本低,效果好,结合项目实际的具体方法和工具。
第二个阶段:风险因素识别。
(1)对所有需要保护的信息资产加以清点。根据上文确定的三个相关报告,对单位或项目所有的资产加以清点,找出重要的、对安全有重大影响的信息资产并造册,形成书面的《需要保护的资产清单》。(2)结合相关工具,识别出可能面临的威胁。一般来说,目前信息安全行业都有相应的较为全面的威胁或漏洞库,结合这些数据库,对单位的具体资产进行详细的清点和评估,就能找出可能面临的威胁,编制书面的《威胁列表》。(3)根据上面的工作,参照漏洞库,可以对整个单位信息资产面临的脆弱性加以评估,形成书面的《脆弱性列表》。
第三个阶段:风险程度分析。
(1)确认单位目前已经采用的安全防范措施。通过书面形式,对单位目前已经有的具体防范措施加以总结,填写到《已有安全措施分析报告》。(2)对可能面临的威胁的动机加以分析。面临的威胁的动机一般分为:涉及利益者的攻击、对系统好奇、对自己的技术自负等,要形成书面的《威胁动机分析报告》。(3)分析单位可能面临的威胁行为的能力。这一步主要是对可能面临威胁的具体评估,包括强度、广度、深度等。(4)分析信息资产的价值。信息自查的价值主要从以下几个方面来评估:关键性,价格,敏感性等。(5)分析可能面临的影响的程度。具体包括:资产损失,任务妨害,人员伤亡等。
第四个阶段:风险等级评价阶段。
(1)对威胁的动机加以评价,采用五级划分,分别是:“很高、较高、中等、较低、很低”。(2)对威胁的行为能力加以评价,采用五级划分,分别是:“很高、较高、中等、较低、很低”。(3)对系统脆弱性加以评价,采用五级划分,分别是:“很高、较高、中等、较低、很低”。(4)对资产价值加以评估,采用五级划分,分别是:“很高、较高、中等、较低、很低”。(5)对影响程度加以评价,采用五级划分,分别是:“很高、较高、中等、较低、很低”。(6)对所有因素加以综合评价,采用五级划分,分别是:“很高、较高、中等、较低、很低”。
一般来说,有公认的具体算法。但各单位具体实际情况不一而足。所以,对于公认的算法可以进行修改,或者提出自己认为更符合实际情况的算法。
2 信息工程安全系统项目风险控制
2. 1 风险控制概述
风险评估的目的是进行风险控制,进而最大可能排除系统面临的风险。所以,在信息风险评估之后,就要进行风险控制,其目的是为了尽可能降低系统面临的风险和漏洞。而系统的风险和漏洞,是不可能完全排除的,不论下多么大的成本。只能在一定范围内,尽可能控制在可以接受的范围。一般来说,为了控制可能发生的风险,主要采用以下几种方式:(1)规避风险。规避就是避免使用。例如有一些信息资产面临很大的风险,如果完全消除风险,需要很大的成本,需要更多的经济投入等。那么,一个比较可行的办法就是避免使用这样的资产,或者一些敏感的、需要保密的数据,不在这些资产上使用,从而规避掉可能发生的风险。(2)转移风险。这种方式的思路,就是将已经面临风险的资产转移到风险较低,或者没有风险的资产上。如某单位需要处理技术上足够复杂,没有能力处理的业务时,可以通过寻求外包给第三方专业机构的形式,要求对方做好风险处理,从而达到转移风险的目的。(3)降低风险。降低风险就是在资产面临风险时,通过各种手段和方法来降低其面临的风险。
2.2 信息工程安全系统项目风险控制过程
在信息工程安全项目管理中,风险控制可以划分为四个阶段,分别是:现有风险判断、确定风险控制目标、采取选择和实施具体的风险控制措施。
在不同的阶段,进行不同的工作流程和具体内容,分别如下:
第一阶段:预备阶段。在本阶段,主要是对单位现有的信息资产激进型识别、编号、评估并造册,形成书面报告。
第二阶段:现存风险判断。在本阶段,通过各种工具和方法,对系统信息资产面临的风险加以评级。一般来说,风险的评级主要分为两种:可接受的系统风险和不可接受的系统风险。然后,对系统目前存在的一些风险加以判断,到底是否能够接受。
第三阶段:确定风险控制目标。本阶段主要的工作流程和内容包括:(1)分析风险控制需求。针对上面提出的不可接受的风险,分析其具体需求;并分析哪些是可以做到,哪些不能做到;如果做到,需要具体的成本和措施等。(2)确立风险控制目标。完全搞清楚其具体需求后,就可以确定风险控制的目标。
第四阶段:控制措施选择与实施。
控制措施选择阶段的工作流程和内容如下:(1)选择风险控制方式。确定目标后,就可以采用具体的风险控制方式。选择方式时必须考虑到单位的具体情况,能否实现以及经济投入成本、投入产出比等。(2)选择风险控制措施。控制措施实施阶段的工作流程和内容如下:①制定风险控制实施计划:选择好相应的风险控制方式后,即可制定具体的实施计划。实施计划必须为书面,便于后面的审查以及对照。②实施风险控制措施:采用规避、降低、转移等具体方式来控制。实施过程应该遵循相应的工作流程和标准,并书面记录在案。
3 结语
当前网络信息安全技术发展迅速,任何信息系统都会有安全风险。没有任何一种解决方案可以防御所有危及网络信息安全的攻击。因此我们需要不断跟踪新技术,对所采用的网络信息安全防范技术进行升级完善,以确保相关利益不受侵犯。
参考文献
[1] Stuart McClure 等.黑客大曝光――网络安全机密与解决方案[M].北京:清华大学出版社,2006:140.
[2] 魏仕民等.信息安全概论[M].北京:高等教育出版社,2005:40-41.
[3] 曲平.安全信息管理技术的研发与运用[J].信息通信,2013.
关键词:风险评价/分析/要素/类别、电梯额定载重量/面积/人数相互关系、风险评定、降低风险、风险分布
中图分类号: C35 文献标识码: A
1、前言:
1、1基于公正的立场,而无任何偏见。
1、2电梯风险评价依据的标准:
电梯是特种设备。我国对电梯管理所颁发的法律、法规及相关的管理规定是本风险评价的依据。
1、3风险分析、评价叙述的目的:(以下分析、评价、叙述均为本案例)
1、4电梯轿厢追加装潢对电梯安全运行造成的影响实施风险评价及风险分布的描述,对日后电梯用户进行整改现状的电梯做出有关安全方面的决定提供方法;
2、主题:用户自行对电梯轿厢追加装潢后安全风险评价、风险分布
2、1 以下为现场实际测定超出设计重量的安全评价相关重量数值:
2、2风险、安全的概念
a)风险
伤害发生的概率与伤害的严重程度的综合。
b)安全
是指消除了不可接受的风险。但不可能有绝对的安全,一些风险是会残留的即遗留风险。相对的安全是通过能够充分降低风险来实现。
3、信息(包括数据的获得)来源----经过实际测量、整理获得:
3、1电梯轿厢的相关子系统频发故障
3、1、1
a)轿厢导靴的导滑片短时间内磨损严重;
b)轿厢的称量装置发生位移及形变;
c)轿厢倾斜;
d)造成现状的电梯载重量小于额定载重量。能源浪费、设备损耗,无用功浪费在387.35KG装潢随轿厢上下运行,影响乘用人员数量,降低电梯乘用效率;
e)电梯曳引轮(主驱动轮)、主曳引钢丝绳磨损加速;
f)电梯部件、系统故障易发生;
g)轿厢内追加的装潢各部位重量超标,造成相关部件、装置发生形变;
h)安全隐患:为了防止由于人员的超载,轿厢的有效面积应予以限制。额定重量、乘客数量与轿厢最大、最小有效面积之间的关系国标GB7588-2003 8.2.1及8.2.3中已严格规范。
轿厢设计、制造出厂时厂商按照国家相关标准确定了有效乘用面积。追加装潢后,现状轿厢侧所承受的载重量=不可排除的乘用人员满载(或超载)1000KG(或大于额定载重量)+后加轿厢装潢超出设计重量237KG≥1237KG。其结果大于国标GB7588-2003 8.2.1及8.2.3中已严格规范的轿厢有效面积一定所限制的载重量值,即:电梯载重量1000KG时,对应轿厢面积为2.4 m2电梯相关系统的标准设置,轿厢侧乘用面积不变,则载重量为1000KG+237KG>1000KG所对应的国标规范要求。详见以下:
3、2 电梯额定载重量/面积/人数相互关系
GB7588-2003 8.2.1中规定的电梯额定载重量对应的轿厢最大有效面积允许增加不大于下列值5%的面积
4、风险要素:
5伤害的严重程度
5、1对人身、财产环境造成的后果
――伤害程度“1”高
――伤害程度“2”中
5、1、1附表:伤害程度说明表
5、1、2 在2、1中电梯伤害所影响到的对象
a)人员
b)财产
c)环境
d)其他社会因素
5、1、3 在2、1中电梯上可能伤害发生的范围
a)一个人;
b)多个人;
6、在2、1中电梯伤害发生的概率
a)等级“A"频发生;
见3、1、1的叙述;
b)等级“B"很可能发生
6、1附表: 电梯伤害发生的概率等级说明表
6、2可能发生的事件
a)轿厢导靴断裂,造成轿厢倾斜难以控制,撞击到相对高速运行运动的对重装置上或井道的相关装置上,人员、设备形成剪切;
b)原状:后追加的电梯轿厢装潢,以力臂约L=850mm,作用力超出出厂设计大约F≈387.35KG的力倾斜地作用在轿厢的后部,造成轿厢在扭曲、形变、不规则地运行中;
现状:作用在轿厢上的力矩:M=F*L M=0KG*850MM≈0牛顿.米(轿厢四周力矩平衡中);
c)原状:后追加的电梯轿厢装潢,造成轿厢的称量装置的位移量设施发生形变,很可能造成人员进入电梯的重量控制装置失效,当电梯轿厢超载一定量时大于曳引轮(主驱动轮)与主钢丝绳摩擦力时,主钢丝绳与曳引轮形成定滑轮形式运动,电梯的轿厢以自由落体或以初速度为1.75米/秒*秒加速度下滑,结果很难想象;
现状:作用在轿厢上的力矩:M=F*L轿厢四周力矩平衡;
7 避免或降低伤害的可能发生
7、1电梯公司提交的报告《电梯轿厢追加装潢后安全风险评价》须经过电梯公司专业技术人员充分考虑到现场信息的数据采集而得到:
a)5、1、1伤害所影响到的对象;
b)5、1、2、电梯上可能伤害发生的范围特向产权单位发出本次风险评价报告,望引起高度重视;拆除后追加的不合理的电梯装潢,恢复或改造成符合国家规定设计出厂的轿厢设置及轿厢系统合理的、具有平衡配置的装潢;
7、1、2产权单位应在考虑到现状的电梯存在的诸多风险及安全隐患的同时应立即组织相关部门研究对策,实施避免伤害的发生。
7、1、3 电梯风险评定---国家相关规定已明确划分如下风险类别:
8、降低风险----本案例对应措施
a)拆除后追加的电梯装潢,恢复出厂时的装潢设计及其配置;
b)或按照客户需求,由生产厂重新设计、制造,满足电梯安全、舒适、满足用户需求的电梯轿厢装潢等;
c)恢复出厂时的各项安全保护装置,
d)满足电梯系统安全 = 安全系统1*安全系统2*……*安全系统n+1;
9、 风险评价报告
10、风险分布图
参考文献
GB7588-2003 电梯制造与安装安全规范
GBT10060-2011 电梯安装验收规范
特种设备安全监察条例
GB24803.1-2009/ISO/22559-1:2004 电梯安全要求
GB20900―2007/ISO/TS 14798:2006 电梯、制动扶梯和自动人行道 风险评价和降低的方法
GB/T 10058―2009 电梯技术条件
关键词:内控管理;煤矿;安全风险;预控
煤矿是一个事故多发地,随着社会的不断发展,人们对这一方面的关注也越来越多。因此,加强煤矿的安全已俨然成为一个人们瞩目的焦点。本文针对内控管理进行全方位的描述,对基于内控管理的煤矿安全风险预控进行研究。
1煤矿安全风险
煤矿安全风险预警管理系统以危险源辨识和风险评估为基础,以风险预控制为核心,对不安全行为管理的重点,通过制定控制标准和措施,对“人、机、环境和管理”的最佳匹配,以实现煤矿安全生产。其核心是通过风险识别和风险评估,明确煤矿安全管理的对象和关键;通过安全机制,促进实施安全生产责任制的实施和风险控制标准和措施;通过危险源监测和预警的风险,风险源从开始到结束在一个受控状态。煤炭行业是一个高风险行业,安全是煤炭企业管理的第一个和核心命题。为有效遏制煤矿安全事故多发的现状,积极研究和探讨运河煤矿企业生产安全预控管理系统的实现,确保战略的长期稳定性;实现全过程的、无缝的预控管理,确保安全生产的底线不能突破;从源头上预防各类事故发生,确保安全生产。
2内控管理工作
通过实施内部控制工作,完善和规范管理:
(1)利用计算机技术提高内部控制。利用计算机技术建立信息管理系统,有机结合内部控制过程和信息系统,实现自动控制业务和事项,降低或消除人为控制因素。
(2)内部控制中实施激励约束机制。对全部员工通过内部控制进行绩效考核激励制度,从而促进内部控制的全面实施。
(3)赋予内部控制所有机构的权利。在授权时,需要考虑权利的范围、程序、责任以及权限,确保授权的合理性。不同级别的管理人员只可在权利管辖范围内行驶职权。对于重大的业务以及决策,需要企业内部进行集体决策,任何人不可擅自做出决定或改变集体确定的结果。
(4)会计工作规范化。公司需要严格要求会计部门支持国家统一的会计制度,加强会计基础工作,对会计事项确定明确的操作流程,如会计核算、财务会计报告等,确保会计信息的完整性与真实性。
(5)制定保护财产安全机制。建立物业管理系统,定期对企业内部进行盘点,查看物业记录、实物管理、账户检查等情况,保证物业安全性。避免财产在未经授权的情况下被访问或处理。
(6)预算控制体系。对企业实行全面预算管理,明确管理部门在预算管理中的责任权限,对预算编制、审批、等程序使用规范化处理,提高预算约束力。
(7)建立运营分析机制。管理人员需要对生产、营销、投资、财务等方面的信息综合管理,通过因素分析、对比分析、趋势分析等方式,发现企业运营过程中存在的问题,查明原因并处理问题。
(8)构建完善的绩效考核制度。利用评价指标与定期考核的方式来构建绩效考核体系,对企业部门员工与车间员工的绩效进行客观评价。考核结果可以为员工薪资、职位晋升、等级评选的有效依据,如考核结果始终较差的,可作为解雇依据。
(9)建立风险防范与应急机制体系。根以内部控制的目标为基础,以风险应对措施与控制策略,对各类存在风险的业务与事项进行有效控制。对重大风险建立预警机制以及应急处理措施,明确风险处理标准,对可能发生的重大风险或突发事件,制定应急预案,明确人员责任,规范处置程序,确保突发事件及时妥善处理。
(10)建立内部审计和监督机制,形成合理的审计监督体系。在内部控制实施过程中,需要明确和完善内部审计部门和其他内部部门在内部监督职责和权力,规范程序、方法和要求,对内部监督、监督实施内部控制的规范化管理。
3煤矿安全风险分析
(1)不安全行为控制。对不安全行为的主要规定进行了分析和控制机制和正确的,它的作用是确保每一个岗位严格执行正确的安全程序和标准,防止人为失误,可能导致事故和伤害。
(2)生产系统控制。在主要规定的生产活动,特别是消防和控制用水和控制系统的要求,其作用是全面实施安全生产法律、法规和标准的安全生产和质量标准,在各部门,实现动态遵守。
(3)管理的综合要素。本生产系统的主要规定外生产辅助系统的安全管理的要求,其作用是实现安全管理的全过程,全方位,全员参与。
(4)安全机制的控制。主要规定了系统运行组织及其安全责任制、系统政策和目标、系统文件和系统评价等,其作用是保证系统能够促进和运行。
4实现安全管理策略
煤矿企业的安全生产高于一切。在安全管理理论运河煤矿的基础上进行研究,以科学的理论为指导,以创建“本质安全型矿井”为主线,预控管理的规范化、标准化生产安全预控管理和规范煤矿工作实践的理论体系,融合的煤矿技术标准,管理标准、工作标准,形成一套可操作的安全防范和控制评价体系的实施标准,为企业的健康、快速发展的基础和保证。
(1)工作程序回路。以时间为单位,一天、一周、一个月、一年是形成一个闭环系统的过程。即:会议组织、进行现场监督、补充完善、会议反馈。
(2)目标责任闭环。在这个阶段,目标是实现近期目标,逐步实现安全目标的闭环管理。也就是说,动机的目标、分解、评估反馈的目标、落实责任-荣誉奖励和惩罚。
(3)质量管理闭环。从工程设计和施工,到质量的全过程的闭环管理。即:工程设计-编制程序-组织实施的施工-安全监督检查-项目质量验收。
(4)隐患管理闭环。从隐患消除隐患到消除闭环控制系统的形成。即:隐患排查、分类整理、进行整改、审查和验收、信息反馈。煤矿管理人员和安全监督人员每天检查发现的各种隐患,总结报告的评估报告,并将有一个隐藏的转变输入计算机,在日常生产会议简报的专业领导和所有的风险必须在规定时间内消除。
(5)“违反”人员和封闭式循环。从“三违规”的人员,接受的教训,并形成了严格的重新任命的闭环系统。
(6)安全事故管理闭环。对于整个事故周期,系统的组成从闭环系统的开始和结束,即:事故报告-事故分析-事故处理-事故报告-事故预防。
5结束语
可以看出,对于内控管理制度来说,是对煤矿安全风险预控的一种有效的措施。在不断的对内控管理进行分析下可以明白,减少煤矿事故的发生是大家所希望的,所以,有关部门对这一项必须严抓实打。
参考文献:
[1]杨春宁.基于内控管理的煤矿安全风险预控体系研究[J].中国煤炭,2015,7.
[2]辛龙.论煤矿安全风险预控理管理体系的实践研究[J].中国科技纵横,2013,14:290-291.
[3]谢涛.基于企业税务风险的内部控制体系建设研究[J].中国内部审计,2015,7:44-47.
关键词:安全风险 管理机制 管理流程 主要工作
中图分类号:F273 文献标识码:A 文章编号:1672-3791(2014)10(c)-0133-02
盘锦供电公司认真贯彻国家电网公司安全风险管理要求,充分吸取国内外先进风险管理经验,在电力生产实际中开展了从安全风险工作探索,目标、理念明确,工作思路清晰,效果明显。下面总结一下该公司开展的风险管理工作。
1 安全风险管理的目标
1.1 理念
能够控制所有风险。
1.2 基本原则
注重实效、实事求是、以人为本、稳步推进。
1.3 工作思路
分层次、分专业、理流程、抓培训、建机制、搞落实。
1.4 工作目标
逐步建立基于闭环管理的安全风险管理体系,把安全管理由严格监督阶段转变成自主管理阶段,实现安全“三控”目标,即能控、可控、在控。
2 安全风险管理的内容
2.1 结构体系
(1)安全风险管理体系、事故调查体系、应急管理体系,这三个工作体系属于安全管理体系,安全风险管理体系只是其中一个。监督体系、责任体系、保证体系这三个组织体系是三个工作体系的执行主体,其管理对象是企业、电网、作业活动等。(2)分层次风险防控机制的建立。不同管理层次根据各自工作特点、管理职责负责和控制不同级别的安全风险,一步一步落实好安全责任。供电企业的主要目标是让员工安全意识和风险防范能力得到提高,供电中断、设备损坏、人身伤亡等是其重点防控的事故风险。其作业安全风险包括各个阶段的作业过程中的人身伤害、误操作、违章等。(3)分专业风险防控机制的建立。根据各部门的工作特点和管理职责,形成各专业既合作又分工的安全风险防控机制,同时发挥安全监督体系与保证体系两者的作用。公司安监部带头制定安全风险管理整体方案,同时制订实施方案的计划,积极组织宣贯培训,评估风险,让风险防控措施能够全面落实;按照“谁主管,谁负责”原则,各部门识别、分析、防控自己范围内的各类安全风险的工作(电网、设备、人等),认真履行自己的义务和职责。
2.2 安全风险管理的组织机构
(1)成立安全风险管理工作领导组。由行政正职任组长,分管副职任副组长,安全管理、生产管理、人力资源、教育培训和生产单位负责人为成员,其主要职责是:对安全风险管理工作进行部署和开展;对安全风险管理实施方案和工作计划审阅评定;确保人、财、物要投入到安全风险管理中;审定公司安全风险评估报告;布置风险控制对策及处理措施;评价、考核各单位安全风险管理工作开展情况。(2)成立生产安全风险管理工作组。由分管生产的副职任组长,安全、生产部门人员人副组长,相关部门负责人及专责人员为成员,负责风险管理工作的组织协调、检查指导、评价考核等日常管理。公司安监部牵头,负责组织风险管理工作的实施;各相关部门履行日常管理及风险管理制度所明确的职责。其工作职责是:安全风险实施方案和工作计划的制定;安全风险管理工作的检查和指导;安全风险管理规范与方法的完善;开展风险管理知识和应用方法的培训;审核各生产单位的风险管理上报材料;负责公司风险信息的统计、管理;开展风险评估工作;制定风险控制对策、风险处理措施;总结、改进安全风险管理工作。风险管理工作组下设变电、输电与配电、调度与二次三个专业组,各专业组职责是:审核各专业作业活动的风险分析结果;开展各专业作业活动的风险评估工作;计算各专业的作业活动风险度、固有风险度;编制评估报告,分析薄弱环节和变化趋势,提出处理措施。(3)各生产工区、所成立安全风险管理相应组织,其相应工作职责是:组织开展本单位安全风险管理工作;开展安全风险教育培训工作;开展作业活动风险分析工作;编制相应规范;开展静态危险因素辨识、风险评价和风险控制工作;负责本单位风险信息的统计、管理;编制本单位风险评估报告。
2.3 安全风险管理的基本流程
(1)主要工作内容。安全性评价、运行方式分析、事故隐患排查治理、作业安全风险管理、安全检查等是公司级安全风险管理的主要工作。
(2)基本流程。风险识别(分析)、风险预警、风险控制(整改、治理)、检查与改进等是安全风险管理的基本流程。实现PDCA循环的不断完善的工作机制,包括:制定工作计划和实施方案(Plan),严格执行工作计划和方案(Do),监督和纠正实施过程中的偏差(Check),总结前面工作,根据总结制定相应的完善措施,使下一轮工作得到改进(Action)。
(3)安全性评价。一般以2~3年为周期,按照“制定评价计划、开展自评价、组织专家查评、实施整改方案”过程,建立闭环动态管理工作机制,实现安全性评价工作的持续改进和提高。
(4)治理和排查隐患。要治理和排查不同领域、不同专业的隐患,就要依据“全面覆盖、全程闭环”和“谁主管、谁负责”的原则;事故隐患等级的确定首先要预评估,再评估,最后核定;隐患闭环管理的进行要遵循“发现、评估、报告、治理、验收、销号”的步骤;建立公司总部、网省公司、地市公司三级事故隐患排查治理工作机制,要遵循“落实责任、统一领导、分类指导、分级管理、全员参与”要求。
(5)运行方式分析。年度方式分析应全面评估本年度电网运行情况、安全稳定措施落实情况及其实施效果,分析预测次年电网安全运行面临的风险和生产运行实际需求,提出电网建设、技术改造等措施建议,指导次年电网规划、建设、生产和运行,提高电网安全工作的系统性、针对性和有效性。
(6)安全检查。按照“自查、互查、督查相结合”以及“边检查、边整改”原则,组织开展常规(季节性)安全检查和专项安全检查(督查);按照“制定检查大纲、组织实施检查、通报检查情况、督促落实整改”环节,实施安全检查的闭环管理。
(7)作业安全风险管理。本部门作业风险管理和控制要策划好、落实好,就必须遵循“谁组织、谁负责”的原则。这项工作的任务很重,比如要认真审核工作计划、制定有效的措施、详细分析承载力、协调好重大事项、准确评估风险等。安监部门负责生产作业风险开展和执行情况的监督和检查。
计划编制风险管控:生产计划编制贯彻状态检修、综合检修的基本要求,严格计划管理,避免重复停电,减少操作次数,保证检修质量,提高安全可靠水平。分管生产领导牵头组织召开好运行方式分析会、检修计划协调会和停电计划平衡会,保证工作安排合理有序。下达的计划中应注明主要风险,并制定相应的防范措施和预案。
管理和控制作业组织风险:要严格按照月计划和周计划完成安排的任务,合理调配人、材、物,全面分析速度、质量、安全和时间的关系,合理安排每日的工作,安全顺利完成工作。安排人员要认真分析班组承载力,给每个部门安排的作业量要合理。各工作负责人能够按时且高质量地完成其任务,技术操作员的技术能力要达到工作需要,管理人员要按时上岗。组织统一办理停电手续,保证动态风险预警措施落实到位,做好与其他配合单位(包括外协单位)的联系工作。材料设备、机械、备件备品、作业机具、车辆、安全工器具等资源要配备齐全,以满足现场工作的资源调配。仔细勘察现场,准确填写现场勘察单,对停电范围、作业现场的条件或环境、保留的带电部位、其他作业风险都要全面掌握。制定科学严谨的方案。制订的作业指导书和施工“三措”要针对现场勘察情况,而且还要具有可操作性。有的项目作业非常危险,程序复杂,难度很大,此类项目作业要经过本单位总工程师(分管生产领导)批准后,才能根据现场情况执行。施工设计交底。由施工单位组织,在管理单位专业工程师的指导下,主要介绍施工中遇到的问题和经常性犯错误的部位,要使施工人员明白该怎么做、规范上是如何规定的,明确工作任务和范围、技术和安全措施、作业风险及其处理措施。
管理和控制现场实施风险:经过交底,作业前作业人员完全掌握方案。有的作业项目很危险,复杂程度高,难度大,作业前一定要勘察现场,认真填写现场勘察单,对作业内容、条件及注意事项要牢记。操作票制度要严格执行。只有经过审批手续,解锁操作才能执行,并且执行过程中要有专人监护。保证操作票、工作票与接地线编号一致。遵照工作票的要求,相应的工作人员要给带电设备四周(即工作地点)围上栅栏,隔开带电设备和停电设备,且要把安全警示标示牌竖在醒目的地方。工作票制度要严格执行,就要对工作票、二次安全措施票、动火工作票与事故应急抢修单正确使用。开工会由上级组织召开,组织要把工作内容、带电部位、人员分工、危险点、现场安全措施等全部交底。检测施工机械、作业机具、安全工器具,合格后,专业作业人员和专业设备操作人员方可持证上岗。总工作协调人要协调好各专业的工作,使多班组配合有序、高效,保证作业顺利进行;设立专职监护人员负责交叉、复杂、有触电危险或者地段危险等风险较大的工作。
3 安全风险管理取得的实效
盘锦供电公司坚持“安全第一、预防为主、综合治理”的安全生产工作方针,深入贯彻国家电网公司和辽宁省电力有限公司的各项工作部署,不断夯实安全生产管理工作基础,落实安全责任,强化安全风险管控,实现安全生产整体工作水平的持续提升。截至2013年12月31日,盘锦供电公司连续安全生产4315天,实现第10个安全年。创造历史最高纪录,并在全省地市公司中名列前茅。
4 结语
盘锦供电公司在电力生产实践中全面贯彻“安全第一,预防为主,综合治理”的方针,通过安全风险管控的一系列有效探索,充分证明风险管理是安全管理的实质,制定安全预控机制是风险管理的核心,预防风险失控、维持安全状态是风险管理的目的,最终确保安全“可控、能控、在控”。
参考文献
[1] 安全管理工作基本规范(试行)[M].北京:中国电力出版社,2011.
[2] 生产作业风险管控工作规范(试行)[M].北京:中国电力出版社,2011.
关键词:风电场;安全评价;信息安全
中图分类号:TM315文献标识码: A 文章编号:
1 引言
我国风电场现在正朝着规模化发展,增大装机容量。现代化的电力信息传输网络来保证电力系统的安全可靠,若电力调度机构想要更好的调度与调配各钟风电场的快速运转,必须保证风电场具备一定的自动化与信息化水平。因为网络和信息系统本身存在的缺点、脆弱性和面对的威胁,潜在风险也存在信息系统的客观运行上。所以,风电场的信息安全是现在所关注的重要问题。
伴随安全评价工作的迅速开展,安全评价逐渐趋向专业化道路,评价的内容不但提到安全管理、作业环境,而且还会提到设备设施的性能安全,这也是目前安全评价技术的发展目标。为了使风电场安全稳定运行,在风电场安全评价中建议增多信息安全的评价内容。
2风电场“三同时"安全评价概况
多年来我国有关风力发电建设项目安全“三同时”的安全评价得到了较好的评价,组织有顺序,发展稳定。中国水电水利规划设计总院编写《风电场工程安全预评价报告编制规定》,表明评价报告的内容、评价报告范围以及格式等等。在海南省三亚市,国家安全生产监督管理总局举办了两期“可再生能源发电建设项目安全“三同时”技术宣传训练班”。另外,全国各省、市安全生产监督管理部门提出了有关风电建设项目“三同时”监管工作的有关文件。上述工作都能有利于我国风电场进行“三同时”安全评价的开展。现在全国各地风电场都不同程度实施“三同时”的安全i耳价,装机容量超过IOOMW的风电场行情况更好,保证了风电场建设施工以及运行安全。
3风电场发展特点与信息安全存在的问题
3.1 风电场发展特点
风电是节能环保的绿色新能源,多年来获得了历史性的发展机遇。风电场的发展有以下特点:风电场发展迅速,极其注重规模,忽视基础工作;风电场的装机容量逐渐增大;高科技在风电场的应用很多;设备设施的自动化与信息化程度逐渐升高;出现越来越多无人值守风电场。
3.2信息安全存在的问题
因为风电场对信息安全的了解不足,使其系统网络内部,会存在访问控制不谨慎、网络异常状态解决不及时、预警手段缺乏、缺乏安全风险宏观检测以及控制手段等问题。在信息安全方面风电场存在的风电场信息安全管理意识浅薄
不管是管理人员还是技术人员,大多注霞网络的效应,忽略信息安全的重要性。一涉及信息安全,问题主要有:
(1)只要有防火墙或者杀毒软件就可以了,还有的人,依照设计要求,风电场装设了有关单向隔离装置关和硬件防火墙,咨询有关技术人员或管理者都表示不清楚。
(2)未重视互联网的安全威胁
风电场大多建在地点相对偏僻,远离城市。目的使工作与业余生活便捷,基本上所有风电场的网络都使用各种方式和互联网连接。方便的同时也带来了风险。黑客基本上能对网络上连接的计算机系统与设备实施进行入侵、攻击,影响网络上信息的传播,毁坏软件系统与数据,获取企业的机密信息以及商业秘密,非法运用网络资源,对风电场有巨大的损失。
(3)未建立信息安全专项管理体系
很多风电场未建立信息安全管理体系,也未制定专项管理制度以及防护措施。从而导致信息安全责任人得不到及时解决,所以可能出现私自滥用优盘、移动硬盘从服务器传输资料,未索要有硬件防火墙的检查报告或说明书;不与控制系统开发商签订保密合同;未定期实施主机加固等情况。
电力调度数据网的维护不够
伴随计算机网络技术的快速发展,数据通信网使各级风电场连在一起,落实了电网和风电场间信息系统相互联系、资源共用。根据《电力二次系统安全防护规定》(电监会5号令)规范,许多风电场都装备电力调度数据网,电网公司负责据网的维护,因为风电场特殊的地理环境,电力调度数据网一出现故障,在短时间内很难进行修复。
未定期对风电场信息安全进行评估
根据《关于开展信息安全风险评估工作的意见》(国信办[2006]5号)和《电力二次系统安全防护规定》(电监会5号令)的要求,风电场必须经常进行信息安全评估,经过评估能发现存在的缺点,有利于及时改进,保证信息安全。但是根据数字统计,风电场信息安全评估基本是零,明显看出此项问题未引起风电场的相应重视。
4 电力系统强化信息安全的要求
4.1 电力系统强化信息安全的文件规定
为了增强电力二次系统的安全防护水平,确保电力系统的安全稳定进行,国家电监会根据《电力二次系统安全防护规定》(电监会5号令),制定了《电力二次系统安全防护总体方案》、《省级以上调度中-L,--次系统安全防护方案》、《变电站二次系统安全防护方案》等。条款要求各单位必须完善和落实二次系统安全防护责任制,把电力二次系统安全保护收入到电力安全生产管理体系当中。建立完善的电力二次系统联合防护与应急方案,实施并且完善应急预案。
4.2 电力二次系统安全防护的重点
风电场安全防护是为了防止黑客、病毒等使用各种形式而引发的恶意破坏与攻击,特别是集团式攻击,以保护电力实时闭环监控系统和调度数据网络安全为重点,避免由于这项而导致的电力系统事故,进而确保风电场和整个电力系统的安全稳定进行。
5在风电场安全评价中增多信息安全评价内容的建议
从风险管理角度风电场信息安全评价就是运用科学的手段以及方法,详细地分析网络和信息系统将面临的威胁和具有的脆弱性,评价安全事件如果发生将会使危害程度大大提高,为此要想出有目的性的抵御威胁的防护方法以及整改的对策。并且为了预防与解决信息安全风险,或将风险控制在最小的情况下,能够最大限度地保护网络与信息安伞提供科学根据。
5.1 风电场信息安全评价根据
主要根据《电力二次系统安全防护规定》(电监会5号令)和它配套安全防护措施。
5.2评价原则
风电场信息安全风险评估工作必须要“严密组织、规范操作、注重实效、讲求科学”的基本原则进行开展。重视与强化风电场信息安全风险评估工作的领导,改进相应的评估制度,形成以预防为主、不断改进信息的安全风险评估机制。并且必须遵守保密制度,若有提到国家秘密的信息,按有关保密规定的要求必须严格遵循。
5.3评价方式
分为俩种评价的方式:一是要求风电场提供第三方评价报告,在信息安全的方面作为风电场“三同时”评价的依据;二是评价机构针对风电场实际情况,根据“网络专用、安全分区、纵向认证、横向隔离”的基本原则,可以评价信息安全方面的专项管理与配备的防火墙系统,把评价结果直接体现和反映在评价报告中。
5.电场信息安全评价内容
在风电场“三同时”安全评价中,信息安全评价的内容有以下几点:
(1)是否制定安全防护方案,并且合理安全分区。
(2)是否装备电力调度数据网,在专用通道上是否使用独立的网络设备组网,在物理层面上安全隔离电力企业其它数据网和外部公共信息网
(3)是否在管理信息大区和生产控制大区之间安置通过国家指定部门检查认证的电力专用横向单向安全隔离装置。是否在生产控制大区内部的安全区间使用具有访问控制功能的设备、防火墙或有关功能的设施,有效地实施逻辑隔离。
(4)是否在生产控制大区和广域网的纵向交接处设置通过国家指定部门检查认证的电力专用纵向加密认证装置或加密认证网关和有关设备。
(5)专项安全管理形势。是否建立电力信息安全管理系统,建立完善电力二次系统安全管理制度,把电力二次系统安全防护工作和信息报送放到平日的安全生产管理体系中,实施分级负责责任制;是否建立健全电力二次系统安全的联合保护以及应急措施,制定应急方案;电力二次系统有关设备和系统的供应商、开发单位是否通过合同条款或者保密合同的方法来保证所提供的设备和系统符合有关规定的要求,在生命周期内承担设备及系统的责任。
6结论
在风电场“三同时”安全评价中,信息安全的评价在这只是―个提议与有利的设想若可以加强信息安全方面的评价内容,在实际评价中还需要加强探索与研究,总结经验,逐渐加强风电场电力二次系统的安全防护水平,确保系统的正常稳定运行。
参考文献
[1] 段斌,林嫒源,黄凌翔,等.风电场监控通信安全解决方案[J].电力系统自动化.2009,33(12):97.102
内部控制评价是指由企业董事会和管理层实施的,对企业内部控制有效性进行评价,形成评价结论,出具评价报告的过程。上海证券交易所与深圳证券交易所分别从2006年和2007年开始,要求上市公司在年度报告中进行内部控制评价。财政部等五部委制定的《企业内部控制评价指引》即将颁布,并于2009年7月1日起开始实施。
要使内部控制评价产生期望的效果,必须透彻认识内部控制评价的初衷,做好评价中的关键性工作。
评价意图 :防范风险与树立投资者信心
在复杂环境下经营的企业,投资者对投资行为的选择,不仅仅基于财务数据和相关信息,还要基于对公司内部控制系统设计与运行质量的分析,以判断企业的抗风险能力。
企业的风险来自于两大类:一是来自于违背外部强制性规定,包括合规性、财务报告及相关信息的真实可靠、资产的安全;二是来自于内部管理系统的适应性,包括战略定位与实施手段、管理的效率与经营的效果。第一类风险的发生将使企业承担违规成本,导致企业价值下降,第二类风险的发生将直接影响企业获取现金流的能力,增加投资回报的不确定性。企业建立内部控制系统就是为了防范上述风险。
企业的经营环境、经营业务、公司规模和组织结构是处于变化之中的,因此无论是公司层面的,还是业务层面的内部控制也应随之改变,内部控制系统的有效性体现为设计的科学性和运行的有效性的高度统一。董事会和管理层通过实施内部控制评价,评估内部控制系统对环境变化的适应性,并从设计和执行两个角度不断完善。在披露2007年年报的862家沪市上市公司中,虽然只有144家上市公司披露了内部控制评价报告,但从效果看,这144家上市公司出现重大会计差错、被出具非标准审计意见报告以及受证监会处罚的比例远远低于未披露内部控制评价报告的公司。
尽管我国目前已经出台且即将出台一系列有关内部控制的规定,但作为系统工程,内部控制达到预想的效果并非一日之功。监管部门颁布的内部控制规范是通用性内部控制框架,企业需要据此建立针对特定企业的内控操作系统。内部控制框架具体化的过程也是企业行使内部控制剩余控制权的过程,企业对通用版内部控制框架的遵循程度以及剩余控制权行使的恰当与否十分关键。通过内部控制评价,企业可以向控制者传递相关信息,以便其判断被投资企业的风险度以及投资回报的把握性。
评价组织 :打造具有合力的组织体系
董事会是内部控制制度建设和评价的核心。但是内部控制评价过程是一个涉及面广、内容繁多的工作,必须改变监事会、审计委员会、审计部之间的松散关系,做好董事会、监事会、审计委员会、审计部(或独立的内部控制评价机构)相关部门的功能定位与职责分工:董事会领导内部控制评价、监事会对董事会领导的内部控制评价过程进行监督、审计委员会负责组织内部控制评价、审计部(或独立的内部控制评价机构)具体实施内部控制评价。对于规模庞大、辐射面广的大型企业,应该将内部控制评价职能从审计部独立出来,设立单独的内部控制评估机构。
评价内容 :有效性与经济性
内部控制评价是紧密围绕目标进行的。既可以按强制性法律法规的要求,围绕合规性、财务报告及相关信息的真实可靠、资产的安全三个目标进行评价,也可以围绕战略实施手段、管理的效率和经营效果进行评价,还可能是在年报中围绕内部控制五个目标进行全方位评价。此外,在保证有效性前提下追求经济性也是不可忽略的。因此,内部控制评价应同时评价以下三方面内容:
1、内部控制系统设计的有效性。评价内部控制设计有效性是指评估为实现控制目标所必需的内部控制要素是否都存在并且设计恰当,从而判断其中是否存在设计缺陷、是否缺少为实现控制目标所必需的控制。
2、内部控制运行的有效性。评价设定的内部控制系统是否按照规定程序得到了正确执行,是否存在设计完好的控制未按设计意图运行,或执行者没有获得必要授权或缺乏胜任能力。
关键词:风险管理;安全管理;分析
风险管理方法已广泛应用于新加坡建筑现场安全管理,成为项目管理的重要组成部分。通过新加坡所采取的各种措施来看,采用风险管理对现场安全事故的发生起到了有效预防作用。因此对我国而言,有必要也将风险管理运用到施工现场。
1、安全管理的原则
1.1从管理事故转变到要在事故发生前识别出危险并将其消灭在萌芽状态,即从源头上控制事故的发生。
1.2主动规划,积极采取预防措施来营造安全的工作环境,改变以遵守法律为准绳的被动管理。
1.3对于糟糕的现场安全管理采取高额罚款来阻止事故的发生,让管理者意识到糟糕的现场安全管理所付出的代价比事故发生后所付出的代价还要高。
1.4将安全管理的概念融入到建筑产业链的各个环节中去,强调从发展商、设计者、主承包商、分承包商、现场安全管理人员、技术人员到生产人员各个环节贯彻安全管理的概念。
2、安全管理中引入风险管理的程序
现场安全管理引入了全套风险管理的方法,主要内容包括: (1)现场工作活动的风险评估; (2)控制及监控风险; (3)把风险传达到现场所有人员。其中风险评估是风险管理中最为重要的环节,也是现场安全管理的核心内容。风险评估的基本程序如图1所示。
图1风险评估程序
风险评估的方法多种多样,但都包括了3个基本步骤,即危险识别、风险评价和风险控制。风险评估的最终结果就是要找到有效的风险控制措施。所有控制措施均以“层级控制方法”为原则。
2.1准备工作
准备工作主要包括:研究现场平面布置图、作业流程;列出现场所有工作活动;列出现场所用到的化学药品;列出使用的机械设备和工具;学习相关法律法规;查找以往事故记录;学习相关技术规范;查找检查记录;学习现场风险控制的方法;准备安全及健康审计报告;研究从员工、客户、供应商及其他人员方面得到的安全反馈信息;建立安全工作程序;准备其它信息(如产品手册);准备以往相关安全评估报告。
2.2危险识别
危险识别是风险评估中最为重要的环节,因为只有首先识别出了危险,才能谈到如何控制危险。危险识别要考虑到以下4个方面的内容:
2.2.1现场危险,按性质不同可分为:化学品危险(如酸、碱和溶剂),生物危险(如细菌、真菌和病毒),电器危险(破损的电线),人体机能损伤(重复工作、单一工作姿势,长期站立等),机械危险(使用已损坏的设备、叉车、吊车、动力挤压设备等),物理危险(噪音、热及辐射等),人为造成的危险(超时工作、监督不善)。
2.2.2现场危险的识别,从下列方面进行考虑:工作方法,使用的机电设备、工具,人工加工材料,化学品的使用(在现场应有化学品安全技术说明书MSDS),使用的机械设备,临时结构,工作环境条件,设备的布置和摆放。
2.2.3酿成的事故或对健康的损害,主要有:高空跌落,高空坠物,水平滑倒,电击,窒息,溺水,噪音致耳聋,皮肤病,结构倒塌,火患和爆炸,物体撞击,软组织受伤等。
2.2.4危险可能对4类人造成伤害:现场直接生产工人员,现场非生产人员,到访人员和公众。
2. 3风险评价
风险评价主要是对风险等级和接受程度进行评价,这是控制现场危险,保证工作安全和健康的基础,风险评价包括4个方面的内容:
2.3.1现有风险控制措施的评价,如现场人员配带基本安全装备(安全帽、安全鞋、安全背带、防护服等),要对这些基本安全装备的有效性、可造成的后果及可酿成的事故进行评价。
2.3.2评价潜在危险的严重程度,按危险造成伤害的程度划分为3个等级。具体可分为轻度(低)、中度(中)、高度(高)。
2.3.3判断危险发生的机率
危险发生的机率分为3种,包括:罕见(发生的机率极少);偶尔(可能或有时会发生);经常(时常发生)。判断危险发生的机率应考虑到以往事故记录、现场经验判断及公开的信息3个方面因素。
2.3.险等级
一旦确定风险严重程度和发生机率后,我们可以判定其风险等级,根据不同的风险等级,采用不同的方法予以消除。
2.险控制
确定现场活动风险等级后,就可以采取相应的风险控制措施将危险降低到可以接受的程度,这主要通过减少风险的严重程度和发生机率来实现,如表1所示。
表1风险种类及控制措施
风险等级 接受程度 推荐措施
低等风险 接受 不必采取额外的控制措施,但需要经常检查确认定义的风险等级是否确切,保证风险等级不会随着时间的推移而升高
中等风险 可以接受 要对危险进行详细的评估,确保风险等级被降到在规定的时间内最低
高等风险 不接受 工作开始前,至少要将高等风险降至中等风险;特点是:没有临时风险控制措施,也不能仅依靠个人保护配备来控制危险;如有需要,应在工作开始前,将其消除;工作开始后,要立即采取管理措施来阻止危险发生
风险控制的最基本原则就是从危险产生的源头上消除或降低危险。危险的控制或降低应按照“层级控制方法”来实施,可归纳为5种方法:消除、替代、工程措施、管理措施和个人保护配备。以上各种方法一般不可交互使用,除非是工程措施和管理措施可在一起使用。具体的“层级控制方法”介绍如下:
2.4.1消除
消除是指将可能发生的危险或事故彻底根除,从而将已识别出的可能发生的事故变为不可能发生,这是一种永久的解决措施,也是应首先考虑使用的控制措施。一旦危险被根除,其它的风险管理措施也就不需要了,例如:现场监控、监督、培训、安全审计、过往记录参考等。
2.4.2替代
替代是指用风险等级较低的控制措施来替代较高等级的风险,如:用非石棉材料取代石棉材料,用溶剂性油漆替代水基油漆。
2.4.3工程措施
工程措施是采取物理的方法来限制危险的发生,包括改变工作环境及工作程序、隔离危险等。
2.4.4管理措施
管理措施主要是指通过建立工作程序、说明、规章制度等来减少或消除可能发生的危险,强调在施工的各工序、工作步骤间做好文件记录,适时判断分析,以采取适当安全措施。例如:在工地建立工作准入系统,进行职业健康及安全(OSH)培训,张贴海报、警告标识,工作培训等。
2.4.5个人保护配备
这是在已考虑到所有其它危险控制措施后实施的最后一项措施,也是一项额外保护措施,主要取决于配备是否适合、正确使用及坚持配带。即使已采取了所有安全及健康措施后,现场也会存在一些常驻危险,现场风险评估小组就要高度重视这些常驻危险,以将它们控制在可以接受和可以管理的程度内。
【关键词】内部控制 内部控制指数 模型
一、引言
2010年4月26日,五部委联合的《企业内部控制配套指引》,是内部控制建设、评价和审计的完整体系。随着企业内部控制制度的建设,如何评价内部控制有效性成了一个重要的课题,本文内部控制指数的研究为评价内部控制有效性提供了一个新思路。
二、文献研究
国外关于内部控制指数的研究文献中关于内部控制指数设计的依据有以下三个方面,一是以会计师事务所的以内部控制重大缺陷为依据;二是以企业自愿披露的关于内部控制的信息为基础设计的指数;三是以内部控制目标的实现程度为基础设计的指数。
Leone(2007)总结了前人的观点,列出了内部控制缺陷的风险指标,有如下四个方面:一是风险因素,包括组织的复杂性和变革;二是内部控制相关投资,如财务困境;三是其他相关风险;四是发现与披露内部控制缺陷的激励因素。Botosan(1997)较早较完整地定量化了公司水平的披露指数,该指数分为五个部分。Moerland(2007)以内部控制目标为导向,分别从国家层面和公司层面构建了内部控制指数。Chil-Yang Tseng(2007)基于《企业风险管理--整合框架》,以企业风险管理的四大目标为基础,构建了企业风险管理指数。
国内的文献中,陈汉文(2010)总结了现有内部控制评价方法,主要分为三种形式:一是根据会计师事务所和公司披露的有关内部控制的报告来评价内部控制质量。二是通过调查问卷的方式来评价内部控制质量。三是通过构造指数来评价内部控制质量。
陈汉文(2010)以内部控制五要素为基础,坚持全面性、系统性、重要性、可比性、定性与定量结合的原则,构建了内部控制指数。该内部控制指数有四级指标构成。内部控制五大要素内部环境、风险评估、控制活动、信息与沟通、内部监督为一级指标。张先治、戴文涛(2011)认为,“董事会内部控制评价+注册会计师财务报告内部控制审计+政府监管部门(或非盈利性机构)内部控制综合评价”是较适合我国制度环境的内部控制评价模式。深圳市迪博企业风险管理技术有限公司的内部控制披露指数分为两层指标,第一层为五大内部控制要素,第二层根据五大要素下设置63个二级指标。
三、构建内部控制指数的基本思路
目前国内构建内部控制指数有两种思路,一种是以内部控制要素为基础,一种以内部控制目标的实现程度为基础。以内部控制要素为基础构建的内部控制指数关注的重点在于企业是否实施了内部控制体系,指数变量的选取来源于企业出具的内部控制自我评价报告和会计师事务所出具的内部控制审计报告,其指数所反映的实际上是内部控制披露指数,而不是内部控制有效性的指数。以内部控制目标的实现程度为基础的内部控制指数关注的重点在于企业实现内部控制体系的有效性,指标变量的选取来源于企业的战略、经营、报告、合规和资产安全这五个方面,全面反映内部控制体系实施的效果。
四、内部控制指数的构建
《企业内部控制基本规范》指出:内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果、促进企业实现发展战略。根据内部控制五大目标,我们把内部控制指数分为战略指数、经营指数、报告指数、合规指数和资产安全指数,这是内部控制指数的第一层次,每一层次下的分变量时第二层次。
企业的战略目标是指企业营业收入的实现或者企业盈利能力超出行业均值能力的实现。而市场份额指的是一家企业的销售收入在市场同类产品中所占的比重,直接反映消费者对企业所提供的商品和劳务的满意程度,表明了企业的商品在市场上所处的地位。贝塔系数是上市公司股票系统风险的度量,反映了企业的竞争优势。因此市场份额和贝塔系数可以衡量战略目标变量。经营目标是提高企业日常经营效率和效果,即营运能力和盈利能力的综合性提高。投资资本回报率反映了企业经营的效率和效果,销售净利润率是公司盈利能力的重要指标。这两项指标综合反映了经营目标。报告目标变量是指会计师事务所的审计意见和财务重述这两个变量。合法合规目标的实现可以用企业是否违法违规和被诉讼来衡量。资产安全即资产的保值增值,应考虑企业净资产的增加、发放给股东的现金红利和缴纳的税收。以上五大变量下的分变量构成了内部控制基本指数。
内部控制指数模型设计运用标准化法无量钢化内部控制指数变量。标准化法是将上市公司的内部控制评价指标的数值与行业平均水平对比,然后再除以标准差对数值进行无量钢化处理,并用算数平均法计算指标的权重。采用标准化法能够反映出上市公司的内部控制水平在整个行业中所处的位置,使内部控制具有行业可比性。
综上所述:我国上市公司的内部控制综合评价模型即内部控制指数模型是由内部控制基本模型和内部控制修正模型构成,如下公式:
其中:ICI为上市公司的内部控制指数
Strategy 为战略指数
Operation 为经营指数
Reporting 为报告指数
Compliance 为合规指数
Assetsafe 为资产安全指数
从我国现状来看,企业的内部审计部门和人员的建设与现代企业制度的要求还不相适应,内部审计还未能充分发挥其评价和改进单位风险管理,提高控制管理效率,从而为实现企业的经营管理目标服务的职能作用。因此,我国的内部审计仍处在转型的三岔口。
踏入21世纪,安然及世通事件的相继爆发,导致了美国“萨班斯法案”、纽约证券交易所的新上市准则等涉及公司治理改革措施的纷纷出台,我国证监会亦于2002年1月了《上市公司治理准则》,规范中国上市公司的公司治理建设,2006年6月上海证券交易所出台了《上市公司内部控制指引》,强制要求上市公司在年度报告的同时披露年度内部控制自我评估报告,公众开始前所未有地关注公司治理,同时更加关注作为公司治理必备要素的内部审计在公司治理质量的提升方面所起到的积极作用。
虽然内部审计越来越引起企业管理者的重视,但是从我国现状来看,企业的内部审计部门和人员的建设与现代企业制度的要求还不相适应,内部审计还未能充分发挥其评价和改进单位风险管理,提高控制管理效率,从而为实现企业的经营管理目标服务的职能作用。因此在这种创业知识、信息提供与创新能力快速发展、提高的背景下,内部审计也应从观念上和方法上进行更新。本文拟结合案例并从内审观念的变化与更新、内部审计人员的新角色、内部审计职能的转变以及IT时代的内部审计等四个方面对此问题进行阐述。
一、 内审观念的变化与更新
在公众日益关注公司治理的新形势下,我们的内部审计在概念、范畴和方法上已经发生了很大变化,内部审计的目的已经由过去的对公认会计准则遵守情况的检查督促转变为一种独立、客观的确认和咨询活动,其目的是增加组织价值和改善组织的运营,通过应用系统、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标(国际内部审计师协会关于内部审计的定义)。
这就要求企业内部人员包括内部审计人员和非内审人员均需要在内审观念上实现质的转变,非内审人员应充分认识到一个有效的公司治理机制是由股东会、董事会、管理层、外部审计和内部审计组成的,并以内部控制、风险管理机制以及信息披露制度为基础的有机结合体,而内部审计在其中更是起到最后把关以及确保各组成员有效地履行其职责的重要作用,从而真正意识和感受到内部审计是公司内部管理的切实需要和必要组成部分。
而内部审计人员则应该根据国际内部审计师协会对内部审计的定义以及本企业的实际情况,制订适应本企业发展,能够为决策层提供咨询服务以及为提高本企业经济效益的内部审计目标。如果企业内部人员包括内审人员和非内审人员均能转变内审的观念,意识到内部审计在内部经营管理服务方面所起到的作用,而且在这种理念转变的驱动下,内部审计人员能够做到少些简单性披露不足,深入分析问题原因所在,采用建议性语气报告;非内审人员能够做到与内部审计人员就审计中发现的问题进行分析讨论,共同探讨改进的可行性措施,那么困扰我们的内部审计环境太差的难题将迎刃而解。
二、内部审计人员的新角色和新要求
内部审计人员在上述内审观念转变的同时,其角色也在相应的作出变化,国际内部审计师协会(IIA)通过的内部审计新定义,不再过于强调内部审计人员的内部监督者身份,而是强调内部审计人员参与内部控制评价和风险管理,帮助企业实现目标,将内部审计人员定位为企业咨询顾问和风险管理专家。
例如内部审计人员可以通过内部控制的健全性评价以及控制测试来确定内控缺陷,并就内控缺陷提出流程再造的建议;内部审计人员亦可以通过风险识别和评估的方法揭示企业所面临的各种风险,从而提出有效的回避及减少风险的建议。无疑这种定位的提出同时也对内部审计人员提出了更高标准的要求。内部审计人员要想成为这样的咨询顾问和风险管理专家,不仅要掌握会计、审计及相关法律法规,还必须具备以下素质:
①要有组织系统的大局观,并确立风险在企业无处不在的意识,把风险管理放在整个内部审计过程最核心的部分,通过风险识别和评估,辨别出影响本企业整个经营活动的各类风险。
②系统和创新的思维方法,不要让现有的内部审计标准和技术限制了我们的创新思维,而是要更多地站在不断改善企业经营机制的高度上去分析问题和提出建议。
③要有良好的沟通技巧,内部审计人员只有充分地与内部管理层进行沟通,取得他们的理解和合作,共同探讨问题的原因,才能提出能够为内部管理机制提供服务的有效建议和措施,内审的工作才能为内部管理层所接受和理解,所以良好的沟通和表达能力是内部审计人员所必备的。
三、内部审计职能由经济监督职能为主转向管理职能为主
由于企业的内部审计不再是传统的以财务报表为中心的财务收支审计,而是以评估高风险流程、评估公司重大决策是否异常、确认管理层在财务报告与公司透明度方面是否勤勉尽职等为代表,融合了风险管理审计、内部控制审计和公司治理审计的综合审计。
内部审计职能已经由过去的以经济监督职能为主转向更多地以提供内部管理机制咨询服务的管理职能上,因此内部审计的模式亦相应地由传统的被动式的控制导向审计转向新的主动式的风险导向审计,审计的重点不再是简单的确认错误和测试控制的有效性,而是强调确认风险并测试这些风险是否得到有效管理。
例如内部审计在对公司作金融投资方面的审计时,不仅需要对金融投资的整个内控流程是否健全和有效进行评价,而且更应着重分析风险是否已经被有效识别和评估,现有的风险控制措施是否能够保证风险得到有效控制,同时向管理层提出内部控制以及风险管理改进计划。
四、IT对传统内部审计的冲击
IT环境下的会计系统相比传统的簿记手工会计系统在以下几个方面发生了重大变化:会计数据的存储介质、数据计算和生成的变化、交易轨迹的缺失、数据库建设安全性以及网络的应用,均给内部审计人员带来非常大的冲击。内部审计人员需要对计算机操作系统、应用程序和操作环境,以及各种计算机管理技术的控制措施是否能够确保信息的完整性、安全性和可用性,以及信息系统风险管理措施是否能够保证风险能够被识别和控制进行评估,这就要求我们的内部审计人员必须具备更高的计算机专业知识,如果所在企业的会计系统高度依赖于计算机以及其他管理技术,那么内部审计的审计范围就需要扩充到对信息系统的项目立项、设计、开发、测试、运行和维护上,以及系统安全、配置管理、数据库管理、操作管理、备份管理、管理层监控和问题应急措施等涉及计算机系统控制措施的健全和有效性进行评估,这时候内部审计人员结构就需要作些变化,计算机信息审计师的加入可能是必要的。
案例分析
下面是一家保险公司在新形势下内部审计建设方面的一些做法,具有代表性,可作为借鉴。
公司概况
该保险公司为中型的中外合资保险公司,外方股东为一家著名的跨国保险公司,年保费收入达到10亿元人民币,主要从事个人和团体寿险业务,在全国有10个分支机构。
明确的内部审计目标
公司内部审计融合风险管理、内控和合规性审计,以向管理层报告确认结果和风险所在、评价并改善风险管理、控制和治理过程的效果,帮助组织实现价值目标为目的。
一个专业的团队建设
内部审计部门直属于公司董事会下设的审计及风险委员会,由10个具有专业技术能力背景和良好沟通能力的综合素质人才组成,负责除新产品设计、计算机系统以外的各项内控运作、风险管理和管治运作的审计工作,而保险新产品设计以及计算机系统的评价则限于本部门缺乏熟悉该方面的审计成员,因此该流程的评价由公司的外方股东派出此方面的专家,包括精算师和信息系统审计师参与工作。
内部审计的模式和流程
内部审计部门采用风险导向审计模式,让有限的审计资源重点投放到高风险领域。内部审计部门在制订总体审计计划之前,会先向管理层成员和各分公司负责人派发一份包含各类风险因素的风险评估调查问卷,通过与管理层及各分公司和各部门负责人讨论和实施初步测试,确定各审计区域的风险值并进行排序,从而确定高风险审计区域,确保每年的内部审计均能够覆盖到这部分高风险区域。对分公司的审计,则根据分公司的风险评估结果,对风险较高的分公司每两年实施一次全面审计,对风险较低的每三年实施一次全面审计。
内部审计部门向管理层以及审计和风险管理委员会汇报内容
关键词:风险导向 环境管理 管理会计 信息披露 绩效评价
一、引言
企业风险导向型环境管理会计,是将环境管理会计建立在企业环境风险内部环境、识别环境风险、应对环境风险、控制环境风险、环境风险管理绩效评价等企业风险管理体系基础上的一种会计核算方法,它充分考虑了企业经营过程中的环境风险。在面临环保压力的情况下,企业要运用风险管理体系中的标准对环境污染加以预防,同时运用全面风险管理体系对企业的风险因素和环境绩效加以管理,并根据企业环境会计信息的分析结果,为企业决策层提供更为可行的风险管理服务,最终实现企业财务目标和环境目标的双赢。
虽然我国在环境成本归集、分配及相应成本计算方面取得了一定研究成果,但与国际环境管理会计的理论研究相比尚存在很大差距。为了帮助企业更好地运用环境管理会计理论指导其投资决策,在我国必须建立健全风险导向型环境管理会计体系。而且,环境管理会计主要是为企业内部决策服务,政府不可能通过制定统一的环境管理会计准则将其推广。从目前各国实践来看,推动企业实施环境管理会计的外部压力一般为间接影响,不能直接作用于环境管理会计本身。因此,构建风险导向型环境管理会计体系,由企业自愿参照执行,并设计出符合企业自身生产工艺、流程及其管理信息需求的环境管理会计体系,使企业发现采用环境管理会计理论与方法的优越性,从而积极主动地去加以应用,才是解决问题的关键。
二、环境管理会计体系构建思路
首先,在环境管理会计实施前建立一套完整的环境风险管理体系,也即对企业内部环境、环境信息披露两要素的要求。企业应广泛收集与本企业环境风险、财务风险等和ISO14000体系、全面风险管理体系相关的内外部信息,包括历史数据和预测数据,经过必要的筛选提炼、分类组合、对比分析,形成风险信息数据库,尽可能的预测企业经营过程中的各类风险。
其次,根据所需会计指标建立环境风险评估系统,针对收集的各类环境风险初始信息,结合企业的业务流程和经营活动,运用现行的风险管理手段,定性定量的进行风险辨识、风险分析,对各项风险进行比较,确定对各项风险的管理控制顺序,同时提出合理有效的应对策略,并对所采取的应对策略进行评价。
最后,将风险管理体系融入环境管理会计中,在财务报告中充分披露环境风险对企业绩效的影响。同时,风险管理部门、财务会计部门、内部审计部门和法律事务部门以及其他有关职能部门互相配合,以规范企业治理结构(如图1)。整个过程中,环境管理会计自始至终都起着监督和管理作用,使环境风险管理与环境管理会计相互融合,最终达到经济绩效和环境绩效双赢的效果。
三、环境管理会计体系构建步骤
(一)健全的企业内部环境
内部环境是企业经营活动的基础,也是风险导向型环境管理会计体系建立的首要基础。COSO《企业风险管理――整合框架》认为,内部环境是企业风险管理其他要素发挥作用的基础,内部环境提供了风险管理的原则与结构,并受企业历史文化的影响。
内部环境包含组织的基调,它影响组织中人员的风险意识,为主体中的人们如何看待风险和着手控制确立了基础,是企业风险管理所有其他构成要素的基础,并赋予了企业风险管理中较准确的名字――内部环境,扩充了其范围,使企业内部环境成为一个系统化的有机整体。企业内部环境因素包括主体的风险管理理念、风险偏好、风险容量、董事会的监督、组织结构、权责分派,以及人力资源政策等。
(二)环境信息充分披露
对于环境管理会计信息披露,一方面可以借鉴传统财务报告的做法,利用会计报表、报表附注以及财务情况说明书来揭示因环境问题而产生的财务影响;另一方面可以编制独立的环境报告来披露企业的环境绩效。
环境信息披露既是企业内部管理的要求,也是构建风险导向型环境管理会计体系的需要。由于我国企业普遍采用的是一种资源消耗高、资源利用率低、废弃物排放量多的粗放型发展模式,所以,为了实现经济的可持续发展,企业应重视环境保护,树立“绿色”生产经营理念,并披露相关的环境会计信息,编制环境会计报告,保证企业实现最佳的经济效益和环境效益。
风险导向下的环境管理会计,要求对环境信息的披露尽可能实用和详细。环境信息的载体是环境会计报告,所以为了适应信息披露的要求,财务报告应采用定性和定量披露相结合的方式,增加相应的披露内容。定性披露主要揭示那些难以量化的环境事项和环境成本,如负责环境问题的人员配置、环境教育、企业对社会环境项目的资助以及企业举办的公益环保活动等;定量披露主要报告企业的环境资产、环境费用、环境成本和环境效益的增减变动情况。
(三)环境风险的识别评价
环境风险识别是指风险管理人员收集有关环境风险因素、风险事故和损失暴露、危害等方面的信息,运用相关知识和方法,系统、全面、连续地发现环境风险管理单位面临的财产、责任和人身损失等环境风险。
环境风险识别是风险管理的基础,也是本体系构建的关键一步。企业只有在正确识别自身所面临风险的基础上,才能主动选择有效的方法进行处理。环境风险识别的内容主要包括:国家宏观经济政策变化使企业受到意外的风险损失,企业的生产经营活动与外部环境的要求相违背而受到的制裁风险,社会文化、风俗习惯的改变使企业的生产经营活动受阻而导致经营困难等。
(四)环境风险管理控制
环境风险管理是根据环境风险评价的结果,按照相关环境法规,利用有效的控制技术,进行削减风险的成本费用和效益分析,确定可接受的风险度和损害水平并进行政策分析,以及考虑社会经济和政治因素,采用恰当的管理措施并付诸实施,以降低或消除事故的风险度,保护人身健康与生态系统安全。
环境风险管理控制需要采用恰当的方法:首先要了解环境风险管理控制的构成要素,即控制环境、会计系统、控制管理程序,采用相应的环境风险规避技术,一般根据环境风险呈现的状态划分四种不同的规避技术,即风险避免、风险减少、风险自留、风险转嫁;其次要关注环境风险信息的质量和层级;最后要加强环境风险管理的基础性工作,从源头上防范环境事故的发生。
(五)环境风险应对
环境风险凸显、事故频发是环境与发展矛盾的典型表现,如何解决这个突出矛盾即环境风险的应对,已成为我国现代化战略成败的关键,同时也是构建风险导向型环境管理会计体系的关键。对于环境风险事故的应对措施,最根本的就是将风险管理与全局管理相结合,针对识别的环境风险采取具有针对性的具体措施,以实现企业“整体安全”。
(六)环境风险管理的绩效评价
环境风险评价是环境影响评价的补充与完善,是使环境影响评价真正成为协调经济发展和环境保护、贯彻实施可持续发展的有力工具,有助于为决策者防控污染、保护环境提供思路,并明确项目建设者的环境保护责任。应把环境风险度作为管理环境的重要依据,对不同风险级别的企业采用不同的管理方式,特别是对于环境风险高的相关行业,必须加大监管力度,同时落实绿色信贷、环境污染责任险、差别化电价等环境经济政策,不断完善激励约束机制。
环境管理会计的环境绩效评价体系能够帮助环境资源所有者和管理者了解环境资源的流量和存量,以及资源资产的分布和变动情况,能够反映企业履行环境责任、治理自身所产生环境污染的资源投入情况,通过对企业每个环节的具体实施行为进行监控,找出与环境标准之间的差异,分析原因并提出改进建议,从而保证企业不受或少受环境风险威胁,不断提高企业的经济效益和环境绩效。
四、关于环境风险绩效评价的进一步要求
一是公司环境资产和资源要达到有效利用。环境事故减少或被避免,资产减值降低,排污费、罚款、赔付支出减少,或有负债和或有损失降低,机会收益增大。二是环境管理控制制度建立健全并有效的执行。三是环境风险信息及其相关的信息载体可靠。四是环境法定责任得到较好履行。
目前我国的环境影响评价大多不能满足从源头防范环境风险的要求,而环境风险绩效评价是对环境管理的监督,衡量企业的环境管理是否有效,其具体应用程序主要体现在:坚持环境风险评价的基本方法,树立环境风险评价的正确态度,明确环境风险评价的一般目的,把握环境风险评价的重点,遵循环境风险评价的基本步骤(比如,了解环境风险资讯;环境风险资料的收集与整理;辨识环境风险源;分析和判断环境风险;做出环境评价结论;提出环境保护意见)。
参考文献:
1.Cormac Butler. 2006. Mastering Value at Risk[M].Pearson Education.
2.Christmann Taylor. Globalization and the environment:Determinants of firm self-regulation in China[J].Journal of International Business Studies,2001,(32):439-458.
3.宋国君.论环境风险及其管理制度建设[J].环境污染与防治,2006,(4).
4.干胜道,钟朝宏.国外环境管理会计发展综述[J].会计研究,2004,(1).
5.赵丽萍,刘媛媛.环境管理会计体系构建与实施的对策研究[J].商业会计,2011,(11).
