时间:2023-06-12 14:46:59
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇风险评估分析方法,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:危险化学品;企业;安全生产风险;评估;分级
引言:危险化学品由于自身的特征,使得在生产过程中有着巨大的风险及隐患,一旦发生泄漏后,不单单对经济有着一定的影响,对人身安全也有着巨大的危害。这就要求我国要对危险化学品企业在安全生产中作出一定的风险评估,这不单单对企业生产更加安全有着主要的引导作用,这也可以促使我国经济可以更快发展。
一、危险化学品企业安全生产风险的分析
危险化学品行业是具有极大的危险性,其危险性的主要来源是由物品原料、生产工艺及方式所导致的。
(一)物品原料
在危险化学品企业中,往往会存在具有易燃及易爆的特征,例如石油、汽油、H2、CO、CH4等。甚至在物品原料中都含有毒,甚至是剧毒,例如CO、Cl2、H2S、COCl2等。甚至有些原料还有一定的腐蚀性,例如HCl、H2SO4等。
(二)生产工艺
在危险化学品企业中,有着非常复杂的生产工艺,并且生产条件也极为严苛,这使得在工艺中需要进行高温、高压或深度制冷等等多种形式。
(三)生产方式
(1)在危险化学品企业中,有着多样化的生产方式。例如在进行石油炼制及相关产业生产所选择的生产方式是大型的、连续并且自动化的;在进行化工染料及农药的生产方式是间歇的,但产量较少、品种较多;在进行钻井及采油工作时,由于是要进行野外操作,这使得气候条件无法得到保障。在进行危险化学品安全生产的核心及主要内容就是,要对危险化学品进行一定的危险辨识、危险系数的评估及采取怎样控制。依照危险化学品企业安全生产风险的理论,可以将员工在生产中受到伤害的风险可以通过企业所处于的特性、企业所选用的危险设备、及其企业所在的危险的环境来将其反应,风险模型如图1所示。
二、危险化学品企业综合风险的评估分级模型
我国在进行系统设计时,其完成标准预期及测试方法,都是依照系统性和科学性相融合发展的原则,将企业综合风险一般分有固有风险及动态风险(如图2所示),固有风险主要是指企业中最为基础的风险,一般是由于危险化学品殊含量所导致的;动态风险,主要是对企业进行安全生产进行管理和效益水平的一种反应,这就使得由于标准的不同,企业类型的不同,导致评估动态风险的标准也有所不同。
图2企业综合风险
一般情况下,企业会将危险化学品中的物理量、环境及安全措施作为固有风险,然后将评估的因素将其风险按照由低到高的进行有序排列;另外,将基础管理及现场管理作为动态风险,然后将评估的因素依照好坏进行有序排列;使其得到一个评估矩阵,依照这个矩阵,可以将企业进行一定的安全生产风险评估分级。
三、评估分级标准的选取的分析
在进行企业安全生产风险评估分级标准的选取时,要遵循以下四种准则:
(一)科学性准则
要清楚的意识到,所选择的标准要能够正确的反应危险化学品企业安全生产的面貌及内容,并且评估标准的有一定的层次感,既有表现出大体的标准,也要有细微的标准。
(二)系统性准则
在进行选取评估标准时,要确保选择到全面的及系统的,可以先从总体目标着手,然后将其要点进行一定的分解,使其可以建立一个健全的评估标准的体系,有效的防止过度着重一点,进而会将其他忽视的问题。
(三)合理性准则
要选择一个合理的标准,首先要将影响巨大的因素选择出来,使得保障了选择标准具有一定的代表性,并且与危险化学品企业安全生产风险有较大的关联性。
(四)可行性准则
在进行标准选取时,要切合实际的状况,选择数据来源较为稳定的企业,使其在进行对照评估时操作便捷。
[关键词] 中小企业;内部控制;风险评估体系
[中图分类号] F276.3 [文献标识码] B
企业内部控制风险评估体系是企业内部控制体系的重要组成部分。中小型企业内部控制风险评估体系不但是适应国家对中小企业的监管需要,同时也是企业加强风险管理、实现全面发展的重要手段。近些年来,随着中小型企业在国民经济发展中作用的日益突出,规范中小企业管理,增强中小企业抗风险能力已经成为摆在我们面前的重要课题。
一、调研对象的基本情况
我们共对湘中地区37家中小企业进行了调研,涉及农业、工业、商业、建筑业、餐饮业、交通运输业、旅店业等7大行业,全部为民营企业。3家为3名以上不同家族股东合股经营,9家为2个不同家族股东合股经营,其余全部为同一家族成员持股或独资。除2家餐饮旅店业企业外,35家企业建立有的内部控制书面制度,其中29家企业聘请过外部专家进行过内部控制制度设计,9家企业长期接受注册会计师事务所的审计咨询,4家企业聘请了长期的法律顾问。
二、中小型企业内部控制风险评估体系存在的主要问题
(一)风险评估意识尚在萌芽
大多数中小企业实行的是家族式管理或是一人决策领导型管理模式,管理者对于企业内部控制风险问题有较大忧虑,确无力构建企业内部控制风险评估制度体系。在起步阶段的管理者甚至认为自己经营的就是一个小企业,人数较少,业务单一,企业主对于业内形势洞若观火,风险一目了然。更多初有规模的中小企业管理者尽管对企业内部控制风险评估体系建设有一些粗略的认识,也做了可贵的探索和实践,但缺乏系统化。
(二)参与评估主体相对单一
从37家中小企业的整体情况看,多数企业在进行内部控制风险评估的主题是企业内部财务或审计人员,外部专家来企业调研基本上是走马观花,没有潜心研究企业的自身特点。同时由于中小企业内部审计缺乏独立性,内部审计评估未能真正发挥作用,很难有效的实施工作,保证内部控制风险发挥作用。
(三)评估前期信息基础欠缺
不少中小企业由于成立时间较短,内部管理尚待加强,对内部控制所需的基础数据统计不到位。目前,多数中小企业对于国家政策等外部风险因素信息较为重视,而对于组织风险、决策风险、经营风险、财务风险等内部风险信息的搜集、整理、利用方面存在短板。在3家股份制企业和6家有限责任公司中,大小股东之间存在严重的信息不对称,小股东对于企业经营的状况了解甚少。
(四)评估指标体系尚待完善
中小企业内部控制风险因素中存在大量的往往无法量化或不便量化的定性指标,这就使风险因素得不到有效和确切的评估,进而影响对企业内部控制风险评估的准确性。即使采用专家打分法来将无法量化的定性指标进行定量估计时,由于基础条件较差,导致专家对于大量的评价指标数量难以把握,评估结果有效性较差。而在企业内部控制风险定量衡量指标的选择方面,中小企业在资产负债率、资产收益率、销售利润率等短期、显性财务指标考虑较多,对债务保障率、资产周转率、社会贡献率等长期、隐性发展指标等重要的财务指标考虑较少。这样,财务危机预警分析系统的功能常打折扣。
三、构建和完善中小型企业内部控制风险评估体系的建议
(一)增强中小企业内部控制风险评估意识
中小企业进行风险评估一般需要经历风险辨别、分析、管理、控制等过程,这些环节中无论哪一个环节的实施,都需要管理人员和员工以强烈的风险评估意识为指导才能有效开展工作。中小企业管理层要高度重视企业内部控制风险评估体系建设,要充分认识其在企业内部控制中、企业发展的作用,将企业内部控制风险评估当成一项常新的工作来抓。要经常开展企业内部控制风险评估方面的学习、教育、培训等,深入学习这方面的知识,将理论与实践结合起来,并将其内化为风险评估文化,为后期工作的开展打下思想基础。
(二)丰富中小企业内部控制风险评估主体对象类型
针对评估主体不全的现象,中小企业在构建内部控制风险评估体系的时候,有必要丰富评估主体类型,加强对内部控制风险评估的监督。一是要加强内部审计队伍建设,保障内部审计的独立性。要聘用专业的内部审计人员,确保内部控制质量。二是要在内部控制管理框架下加强自我评估。参与风险评估自我评估的人员应包括管理人员和普通员工,采用的办法可以是结构化的方式,其评估对象为业务过程和控制效果。定期或不定期的自我评估活动,有助于经常发现和解决内部控制风险评估过程中出现的问题。同时,聘请相关专家或第三方机构对自身现有的内部控制风险评估体系进行评价,全面改进和优化,集思广益,促进自身评估体系的健康发展。
(三)夯实企业内部控制风险评估前期信息来源基础
一方面,要加强风险评估信息的共享。要建立有效的信息采集、沟通机制,避免因信息不畅所带来的风险。另一方面,要提高重点领域以下领域的信息搜集的质量,保障风险信息的全面性。
1.财务风险方面。重点调查负债、或有负债、负债率、偿债能力,现金流、应收账款及其占主营业务收入的比重、资金周转率,应付账款及其占购货额的比重,成本和管理费用、财务费用、营业费用,成本核算、资金结算和现金管理业务中曾发生或易发生错误的业务流程或环节。
2.市场风险方面。重点调查产品(服务)的价格及供需变化,产品供应的充足性、稳定性和价格变化,主要客户、主要供应商的信用情况,潜在竞争者、竞争者及其主要产品情况。
3.运营风险方面。重点掌握新市场开发、市场营销策略,企业组织效能、管理现状、企业文化、中、高层管理人员和重要业务流程中专业人员的知识结构、专业经验,质量、安全、环保、信息安全等管理中曾发生或易发生失误的业务流程或环节,因企业内、外部人员的道德风险致使企业遭受损失或业务控制系统失灵,企业风险管理的现状和能力。
(四)健全企业内部控制风险评估定性定量指标体系
一方面,对于定性的指标,可以采用专家打分法和问卷调查法进行科学合理的评估。专家团的组成人员需要涵盖企业内部一线管理人员,也需要聘请一定数量的企业外部管理咨询专家。另一方面,对于定量指标的评估,在采用单变量方式进行分析的基础上,采用APH分析法和指标对比法进行分析。中小企业内部控制风险定量衡量指标如下表所示:
中小企业内部控制风险评估定量衡量指标表
该指标直接反映企业收益的质量,如果比率小于1,说明净利润中存在尚未变现的收入。此时即使企业盈利,也可能发生现金短缺,严重时会导致企业破产
(五)加强中小企业内部控制风险评估分析过程管理
一方面,中小企业需要全面认识企业所面临的风险,通过进行SWOT分析,做到知己知彼。另一方面,要提高对风险反映的灵敏度。如可建立风险分析模型,通过关键风险指标管理方法、压力测试和情景分析等定量技术手段和会谈、工作组会议等定性评价技术对风险发生的条件因素进行分析。这样不仅可以全面了解风险发生的条件,同时也能提高评估分析效率。在此过程中,要将企业自查与外部检查、事前与事后检查相结合。
湘中地区是我国中部地区中小企业较为发达的地区,从一定程度上反映了我国中小企业发展的现状。随着中小企业的迅速发展和壮大,其对企业内部控制体系建设的要求越来越高。加强企业内部风险评估,不仅是中小企业应对市场风险和挑战的需要,同时也是企业提高竞争力的必然要求。中小型企业必须高度重视企业内部控制风险评估工作的开展,建立健全企业内部控制风险评估体系,使各项制度规范化和制度化,有效促进企业控制目标的实现。
[参 考 文 献]
[1]任齐伟.企业内部控制风险评估标准系统构建问题的研究[J].中国乡镇企业会计,2012(2)
[2]李慧敏,王小英.企业内部控制与风险管理研究[C].中国会计学会高等工科院校分会第十八届学术年会(2011)论文集,2011
风险评估指标体系
管道风险评估的核心是风险指标的确定。这里所采用的模糊综合评估是对受多种因素影响的事物做出全面评估的有效的多因素决策方法,其特点是评估结果不是绝对地肯定或否定,而是以一个模糊集合来表示。根据影响管网运行安全的各种因素,可以将危险因素分为5大类:老化指标,第三方破坏,腐蚀,设计,误操作。风险评估指数体系是一个多级体系,每个危险指标可以再进一步细分为分指标,如腐蚀可以分为管道内部腐蚀、大气腐蚀、埋地管道土壤腐蚀等。各级体系的因素要结合实际在风险评估过程中不断地完善,使风险评估结果能够更加真实地反映管道风险状况。如图1所示,U={老化指标,第三方破坏,腐蚀指数,设计指数,错误指数},V={安全,一般,安全隐患,次危险,危险。
风险评估指数体系的各级指标的权重直接影响评估结果,指标权重要参考国内外相关资料和文献及专家经验制定权重标准。指标权重要在风险评估工作中不断完善,使得评估结果能更加真实反映管道风险状况。评估结果如表1所示。这说明管道风险对模糊评语“安全”的隶属度为0.26,“一般”的隶属度为0.31,“安全隐患”的隶属度为0.07,“次危险”的隶属度为0.13,“危险”的隶属度为0.06。按最大隶属度原则,对模糊评语提取Max(Bi)(i=1,…,5)的值。即模糊评估值为0.31,得到对该管道的综合评估为“一般”。
风险评估流程
为了保证管道风险评估过程的完整性和系统性,建立风险评估主要流程如下:①前期评估模型设计,主要是确定引起管道危险的因素、各因素的分指标和一些评估模型技术方案;②收集数据,主要是收集与分析管道风险评估相关的图形和属性信息,如管道施工、管道巡线频率、管道防腐措施等;③选取评估模型进行评估实施,根据评估值划分管道危险性等级;④根据评估结果进行统计分析,利用GIS技术得到相应的管道危险性专题图。考虑到风险评估指数体系的各级指标的权重的主观性,模块设计了相应的对话框,通过自定义选择来设置各个指标的权重,在确定了这些风险指标权重后,读取数据库管道风险数据信息,结合风险评估模型计算管道风险值,并基于GIS技术对管道风险值进行专题显示,如图2所示。图2显示评估机制的流程
实验与分析
天然气管道风险评估模块以ArcGIS为平台,利用CJHJ.NET开发实现。实验数据为某市天然气管网地形图及管道风险调查数据。按照管道风险评估流程对管道进行分析评估,风险评估分析过程如图3所示,一级指标及二级指标可以根据实际需要添加,所对应的指标权重可动态修改,计算得到风险评估结果如图4所示,并根据管道风险等级将管道以5种颜色进行相对风险评估结果的专题可视化显示(见图5),图中沿道路的管道风险等级呈现为次危险,应引起足够重视。
结束语
通过天然气管道风险评估体系研究,建立了多级模糊风险评估模型,能够对管道进行风险评估,并利用GIS技术实现了管道风险评估结果可视化,能够直观地了解管道运行风险程度,并自动划分管道重点风险监测区段,并将管道风险评估结果存储于管网数据库中,技术管理人员可以实时掌握现有管道安全运营情况。同时,还能够从GIS数据库中查找管网设施的空间位置、相关属性及安全隐患等信息。在天然气管道评估过程中,还需要不断对有关指标体系进行修正、完善,使评估结果更加切合实际,从而提高天然气管道运行的安全性。
作者:李卓李永树梁磊单位:西南交通大学地理信息工程中心
改革开放以来,我国社会经济得到了长足的发展,人民物质文化生活水平不断提高,用电量亦直线增涨,电力行业获得了前所未有的发展机遇。随着电力行业的不断发展壮大和信息网络技术日新月异的发展,电力行业和电力企业也面临着一系列的挑战,电力信息网络风险管理和防御显得日益重要,信息网络风险量化评估成为重中之重。由于我国电力信息化技术起步较晚,发展也比较滞后,电力信息网络风险管理与风险防御是一个新的课题,电力信息网络风险量化评估在最近几年才被重视,所以存在不少的问题急待完善。
1电力信息网络风险量化评估的必要性
随着信息技术的不断发展,电力信息网络存在的风险越来越大,电力企业不得不提高信息网络风险防控意识,重视电力信息网络的风险评估工作。进行电力系统信息网络风险量化评估意义体现在许多方面,可以提高电力企业管理层和全体员工的信息网络安全意识,促进电力企业不断完善电力信息网络技术的研发与提升,防范广大电力用户个人信息泄露,为电力企业今后的良好发展保驾护航。近年来,电力企业迎来了黄金发展时期,电力网络覆盖面不断扩大,电力企业管理理念也不断提升,电力系统也随之步入了数字化时代,信息网络安全防范成为当务之急。目前电力系统信息网络安全防范一般为安装防病毒软件、部署防火墙、进行入侵检测等基础性的安全防御,缺乏完整有效的信息安全保障体系。风险量化评估技术能够准确预测出电力信息网络可能面临的各种威胁,及时发现系统安全问题,进行风险分析和评估,尽最大可能地协助防御电力系统安全威胁。
2电力系统信息网络安全风险评估中存
在的问题我国电力信息网络安全风险评估是近几年才开始的,发展相对滞后,目前针对电力信息网络安全风险评估的相关研究特别少。2008年电力行业信息标准化技术委员会才讨论通过了《电力行业信息化标准体系》,因此电力信息网络安全风险评估中存在不少的问题和难题有待解决。
2.1电力信息网络系统的得杂性
电力行业,电力企业,各电网单位因为工作性质不同,对电力信息网络安全风险的认识各不相同,加上相关标准体系的不健全,信息识别缺乏参考,电力信息网络安全风险识别存在较大的困难。此外电力信息网络安全风险评估对象难以确定,也给评估工作带来了很大的困难。2.2电力信息网络安全风险量化评估方法缺乏科学性我国部分电力企业的信息网络安全风险评估方法比较落后简单,其主要方式是组织专家、管理人员、用户代表根据一些相关的信息数据开会研讨,再在研讨的基础上进行人为打分,形成书面的文字说明和统计表格来评定电力信息网络系统可能面临的各种风险,这种评估方法十分模糊,缺乏科学的分析,给风险防范决策带来了极大风险,实在不可取。
2.3传统的电力信息网络安全风险评估方法过于主观
目前用于电力信息网络安全风险分析计算的传统方法很多,如层次分析、模糊理论等方法。可是因为电力网络安全信息的复杂性、不确定性和人为干扰等原因,传统分析评估方法比较主观,影响评估结果。在评估的实际工作中存在很多干扰因素,如何排除干扰因素亦是一大难点。电力信息网络安全风险量化评估要面对海量的信息数据,如何采用科学方法进行数据筛选,简约数据简化评估流程是当前的又一重大课题。
3电力信息网络所面临的风险分析
电力信息网络系统面临的风险五花八门,影响电力信息网络系统的因素错综复杂,需要根据实际情况建立一个立体的安全防御体系。要搞好电力信息网络系统安全防护工作首先要分析电力信息网络系统面临的风险类别,然后才能各个突破,有效防范。电力信息网络系统面临的安全风险主要有两面大类别:安全技术风险和安全管理风险。
3.1电力信息网络安全技术风险
3.1.1物理性安全风险是指信息网络外界环境因素和物理因素,导致设备及线路故障使电力信息网络处于瘫痪状态,电力信息系统不能正常动作。如地震海啸、水患火灾,雷劈电击等自然灾害;人为的破坏和人为信息泄露;电磁及静电干扰等,都能够使电力信息网络系统不能正常工作。3.1.2网络安全风险是指电力信息系统内网与外网之间的防火墙不能有效隔离,网络安全设置的结构出现问题,关键设备处理业务的硬件空间不够用,通信线缆和信息处理硬件等级太低,电力信息网络速度跟不上等等。3.1.3主机系统本身存在的安全风险是指系统本身安全防御不够完善,存在系统漏洞,电力企业内部人员和外部人员都可以利用一定的信息技术盗取用户所有的权限,窃走或破坏电力信息网络相关数据。电力信息网络安全风险有两种:一是因操作不当,安装了一些不良插件,使电力信息网络系统门户大开,被他人轻而易举地进行网络入侵和攻击;二是因为主机硬件出故障使数据丢失无法恢复,以及数据库本身存在不可修复的漏洞导致数据的丢失。
3.2电力信息网络安全管理中存在的风险
电力信息网络是一个庞大复杂的网络,必须要重视安全管理。电力信息网络安全管理风险来源于电力企业的内部,可见其风险威胁性之大。电力信息网络安全管理中存在风险的原因主要是企业内部管理混乱,权责划分不清晰,操作人员业务技能不过关,工作人员责任心缺乏,最主要还是管理层对电力信息网络安全管理中存在的风险意识薄弱,风险管理不到位所致。
4电力信息网络风险评估的量化分析
4.1电力信息网络风险评估标准
目前我国一般运用的电力信息网络风险评估标准是:GB/T20984-2007《信息安全技术:信息安全风险评估规范》,该标准定义了信息安全风险评估的相关专业术语,规范了信息安全风险评估流程,对信息网络系统各个使用寿命周期的风险评估实施细节做出了详细的说明和规定。
4.2电力信息网络安全风险计算模型
学界认为电力信息网络的安全风险与风险事件发生概率与风险事件发生后造成的可能损失存在较高的相关性。所以电力信息系统总体风险值的计算公式如下:R(x)=f(p,c)其中R(x)为系统风险总值,p代表概率,c为风险事件产生的后果。由此可知,利用科学的计算模式来量化风险事件发生的概率,和风险事件发生后可能产生的后果,即可演算出电力信息网络安全的风险总值。
4.3电力信息网络安全风险量化评估的方法
4.3.1模糊综合评判法模糊综合评判法采用模糊数学进行电力信息网络安全风险量化评估的一种方法,利用模糊数学的隶属度理论,把对风险的定性评估转化成定量评估,一般运用于复杂庞大的电力信息网络安全防御系统的综全性评估。利用模糊综合评判法时,要确定好因数集、评判集、权重系数,解出综合评估矩阵值。模糊综合评判法是一种线性分析数学方法,多用于化解风险量化评估中的不确定因素。4.3.2层次分析法电力信息网络风险量化评估层次分析法起源于美国,是将定性与定量相结合的一种风险量化评估分析方法。层次分析法是把信息网络风险分成不同的层次等级,从最底层开始进行分析、比较和计算各评估要素所占的权重,层层向上计算求解,直到计算出最终矩阵值,从而判断出信息网络风险终值。4.3.3变精度粗糙集法电力信息网络风险量化评估变精度粗糙集法是一种处理模糊和不精确性问题的数学方法,其核心理念是利用问题的描述集合,用可辨关系与不可辨关系确定该问题的近似域,在数据中寻找出问题的内在规律,从而获得风险量化评估所需要的相关数据。在实际工作中,电力信息网络风险量化评估分析会受到诸多因素的影响和干扰,变精度粗糙集法可以把这些干扰因素模糊化,具有强大的定性分析功能。电力信息网络风险量化评估是运用数学工具把评估对象进行量化处理的一种过程。在现实工作中,无论采用哪种信息网络风险评估的量化分析方法,其目的都是为了更好地进行风险防控,为电力企业的发展保驾护航。
5总结
电力信息网络安全对保证人民财产安全和电力企业的日常营运都具有非常重要的意义,电力企业领导层必须要加以重视,加大科研投入,定向培养相关的专业人才,强化电力信息网络安全风险评估工作,为电力企业的良好发展打下坚实的基础。
参考文献
[1]庞霞,谢清宇.浅议电力信息安全运行维护与管理[J].科技与企业,2012(07):28.
[2]王申华,蒋健.电力信息安全运行维护及管理探讨[J].信息与电脑(理论版),2014(11):45.
关键词:网络安全;风险评估;安全措施
中图分类号:TP393文献标识码:A 文章编号:1009-3044(2008)06-11012-01
A Survey of Network Security Risk Assessment
CHEN Jun-wei
(Dept. of Computer, Nanjing University of Posts and Telecommunications, Nanjing 210003,China)
Abstract:To assess the security condition of a network system, is one of the most important technologies in security area. In this paper, we will point out the shortcomings of the present security guard, in the discussion of the standards and measures of existing risk assessment, and propose methods and directions which are beneficial in perfecting the assessment systems.
Key words:Network security; risk assessment; security measures
1 引言
频频发生的信息安全事件正在日益引起全球的关注,列举的近年来的网络突发事件,不难发现,强化提升网络安全风险评估意识、强化信息安全保障为当务之急。所谓风险评估,是指网络安全防御中的一项重要技术,它的原理是,根据已知的安全漏洞知识库,对目标可能存在的安全隐患进行逐项检查。然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告,为提高网络安全整体水平提供重要依据。完成一个信息安全系统的设计与实施并不足以代表该信息安全事务的完结。随着新技术、新应用的不断出现,以及所导致的信息技术环境的转变,信息安全工作人员要不断地评估当前的安全威胁,并不断对当前系统中的安全性产生认知。
2 网络安全风险评估的现状
2.1 风险评估的必要性
有人说安全产品就是保障网络安全的基础,但有了安全产品,不等于用户可以高枕无忧地应用网络。产品是没有生命的,需要人来管理与维护,这样才能最大程度地发挥其效能。病毒和黑客可谓无孔不入,时时伺机进攻。这就更要求对安全产品及时升级,不断完善,实时检测,不断补漏。网络安全并不是仅仅依靠网络安全产品就能解决的,它需要合适的安全体系和合理的安全产品组合,需要根据网络及网络用户的情况和需求规划、设计和实施一定的安全策略。通常,在一个企业中,对安全技术了如指掌的人员不多,大多技术人员停留在对安全产品的一般使用上,如果安全系统出现故障或者黑客攻击引发网络瘫痪,他们将束手无策。这时他们需要的是安全服务。而安全评估,便是安全服务的重要前期工作。网络信息安全,需要不断评估方可安全威胁。
2.2 安全评估的目标、原则及内容
安全评估的目标通常包括:确定可能对资产造成危害的威胁;通过对历史资料和专家的经验确定威胁实施的可能性;对可能受到威胁影响的资产确定其价值、敏感性和严重性,以及相应的级别,确定哪些资产是最重要的;准确了解企业网的网络和系统安全现状;明晰企业网的安全需求;制定网络和系统的安全策略;制定网络和系统的安全解决方案;指导企业网未来的建设和投入;通过项目实施和培训,培养用户自己的安全队伍。而在安全评估中必须遵循以下原则:标准性原则、可控性原则、整体性原则、最小影响原则、保密性原则。
安全评估的内容包括专业安全评估服务和主机系统加固服务。专业安全评估服务对目标系统通过工具扫描和人工检查,进行专业安全的技术评定,并根据评估结果提供评估报告。
目标系统主要是主流UNIX及NT系统,主流数据库系统,以及主流的网络设备。使用扫描工具对目标系统进行扫描,提供原始评估报告或由专业安全工程师提供人工分析报告。或是人工检查安全配置检查、安全机制检查、入侵追查及事后取证等内容。而主机系统加固服务是根据专业安全评估结果,制定相应的系统加固方案,针对不同目标系统,通过打补丁、修改安全配置、增加安全机制等方法,合理进行安全性加强。
系统加固报告服务选择使用该服务包,必须以选择ISMR/SSMR/HME服务包为前提,针对评估分析报告,提出加固报告。系统加固报告增强服务选择使用该服务包,必须以选择ISMR/SSMR/HME服务包为前提,针对评估分析报告,提出系统加固报告,并将系统加固报告、加固步骤、所需补丁程序以光盘形式提交客户。系统加固实施服务选择使用该服务包,必须以选择 ISMR/SSMR/HME服务包为前提,针对评估分析报告,提出系统加固报告,并将系统加固报告、加固步骤、所需补丁程序以光盘形式提交客户,并由专业安全工程师实施加固工作。
3 网络安全风险评估系统
讨论安全评定的前提在于企业已经具有了较为完备的安全策略,这项工作主要检测当前的安全策略是否被良好的执行,从而发现系统中的不安全因素。当前计算机世界应用的主流网络协议是TCP/IP,而该协议族并没有内置任何安全机制。这意味着基于网络的应用程序必须被非常好的保护,网络安全评定的主要目标就是为修补全部的安全问题提供指导。
评定网络安全性的首要工作是了解网络拓扑结构,拓扑描述文档并不总能反映最新的网络状态,进行一些实际的检测是非常必要的。最简单的,可以通过Trackroute工具进行网络拓扑发现,但是一些网络节点可能会禁止Trackroute流量的通过。在了解了网络拓扑之后,应该获知所有计算机的网络地址和机器名。对于可以访问的计算机,还应该了解其正在运行的端口,这可以通过很多流行的端口发现工具实现。当对整个网络的架构获得了足够的认知以后,就可以针对所运行的网络协议和正在使用的端口发现网络层面的安全脆弱点了。通常使用的方法是对协议和端口所存在的安全漏洞逐项进行测试。
安全领域的很多专家都提出边界防御已经无法满足今天的要求,为了提高安全防御的质量,除了在网络边界防范外部攻击之外,还应该在网络内部对各种访问进行监控和管理。企业组织每天都会从信息应用环境中获得大量的数据,包括系统日志、防火墙日志、入侵检测报警等。是否能够从这些信息中有效的识别出安全风险,是风险管理中重要一环。目前的技术手段主要被应用于信息的收集、识别和分析,也有很多厂商开发出了整合式的安全信息管理平台,可以实现所有系统模块的信息整合与联动。
数据作为信息系统的核心价值,被直接攻击和盗取数据将对用户产生极大的危害。正因为如此,数据系统极易受到攻击。对数据库平台来说,应该验证是否能够从远程进行访问,是否存在默认用户名密码,密码的强度是否达到策略要求等。而除了数据库平台之外,数据管理机制也应该被仔细评估。不同级别的备份措施乃至完整的灾难备份机制都应该进行有效的验证,不但要检验其是否存在安全问题,还要确认其有效性。大部分数据管理产品都附带了足够的功能进行安全设定和数据验证,利用这些功能可以很好的完成安全评定工作并有效的与安全策略管理相集成。攻击者的一个非常重要目的在于无需授权访问某些应用,而这往往是获得系统权限和数据的跳板。事实上大部分的安全漏洞都来自于应用层面,这使得应用程序的安全评定成为整个工作体系中相当重要的一个部分。与更加规程化的面向体系底层的安全评定相比,应用安全评定需要工作人员具有丰富的安全知识和坚实的技术技能。
4 结束语
目前我国信息系统安全风险评估工作,在测试数据采集和处理方面缺乏实用的技术和工具的支持,已经成为制约我国风险评估水平的重要因素。需要研究用于评价信息安全评估效用的理论和方法,总结出一套适用于我国国情的信息安全效用评价体系,以保证信息安全风险评估结果准确可靠,可以为风险管理活动提供有价值的参考;加强我国信息安全风险评估队伍建设,促使我国信息安全评估水平得到持续改进。
参考文献:
[1] 陈晓苏,朱国胜,肖道举.TCP/IP协议族的安全架构[N].华中科技大学学报,2001,32-34.
[2] 贾颖禾.国务院信息化工作办公室网络与信息安全组.信息安全风险评估[J].网络安全技术与应用,2004(7),21-24.
[3] 刘恒,信息安全风险评估挑战[R],信息安全风险评估与信息安全保障体系建设研讨会,2004.10.12.
[4] [美]Thomas A Wadlow.网络安全实施方法.潇湘工作室译.北京:人民邮电出版社,2000.
[5] 张卫清,王以群.网络安全与网络安全文化[J].情报杂志,2006(1),40-45
[6] 赵战生,信息安全风险评估[R],第全国计算机学术交流会,2004.7.3.
关键词:安全风险管控 风险管控措施
中图分类号:TP311 文献标识码:A 文章编号:1672-3791(2012)12(c)-0110-02
长期以来,电力企业始终坚持“安全第一、预防为主、综合治理”的方针,着力提升安全生产管理水平,安全生产总体平稳。但是,在安全稽查过程中发现的屡禁不止的违章行为表明,在“电网、作业、班组”三方面仍然存在较多安全风险隐患,安全生产管理仍然存在不少薄弱环节,离标准化、精益化的要求还有不小的差距,安全发展的基础仍然不够扎实。具体体现在以下方面。
(1)生产计划主要通过生产MIS进行管理,存在工作量大、临时变动大,未能与安全风险管控有效结合,计划的刚性管理欠缺。
(2)未建立统一的评估标准,评估人的主观影响较大,到岗到位计划,只能根据工作量的大小来判断,依据较单一,同时也不能进行全面统计分析。
(3)近年来,随着经济发展势头迅猛,作业现场点多面广,检修技改任务繁重。然而,保证体系和监督体系的人员不可能对全部现场进行督导和检查,作业现场的危险点预控措施落实情况不能很好的得到监控。
(4)班组安全生产的基础较薄弱,用工机制较多,人员安全意识、技能水平参差不齐,作业违章难以根除。班组安全生产承载力的分析,仅停留于某个周期内是否存在违章、是否受到过处分和班组的安全活动开展情况上,不能充分发现班组安全生产管理和过程中存在的危险因素。
为解决上述问题,上虞市供电局建立了基于PMS的作业项目安全生产风险管控系统,该系统建立了完善的风险评估库,评估人只要通过选择评估要素进行评估,评估分和风险等级由系统自动生成。系统在对风险评估过程进行规范的同时,还通过对班组的安全承载能力分析实现了检修计划的闭环管理,相关的风险管控措施被严格地规范在业务流程中,极大地提高了检修计划管理的效率和水平,以管理创新推动了安全生产水平的提升。
1 系统功能
1.1 风险评估库
风险评估库包括电网风险评估库、变电检修风险评估库、线路检修风险评估库、操作风险评估库、班组风险评估库等。每个风险评估库包括评价因素、评估项目、评估要素三个层次,风险评估库的设置遵循最大风险法则。风险等级用星级表示,从一星到五星,以分值衡量,星级越高,风险越大。在系统中,可对各风险评估库的星级评定标准进行管理,同时也可设置各个星级的同进同出、到岗到位的管理要求,以便在生成风险评估报告时,根据评估的星级生成同进同出、到岗到位的要求。对评估项目,可设置相关信息供风险评估时参考,可显示的信息包括设备台帐信息、缺陷和隐患、检修相关信息等。对评估要素,可设置自动判断的条件,这些条件来源于设备台帐、缺陷、隐患和检修相关信息,在进行风险评估时,系统将对评估要素进行自动判断。电网风险评估库内容如(表1)所示。
1.2 作业项目风险评估
在进行作业项目风险评估之前,生产班组需要进行作业项目三维风险辨识。为提高生产班组作业风险辨识的针对性,系统在生产班组进行作业项目三维风险辨识前,提供以下辅助:(1)根据作业设备从设备环境风险库中搜索与该作业相关的风险事件。(2)根据作业班组从班组风险库中搜索相关班组及人员素质风险。(3)根据作业内容从风险辨识范本库中搜索相关的风险辨识范本。(4)班组可根据类别等关键字搜索风险事件、班组风险、风险辨识范本。
班组导出打印所有相关的作业风险,进行现场踏勘,对风险事件、班组风险、风险辨识范本中的内容进行确认并评估风险等级。对于风险事件,其风险等级直接来自作业安全库LEC评估的结果,对于班组及人员素质风险和根据风险辨识范本辨识的动态风险,生产班组需要进行PR评估。工区或班组基于作业项目风险评估标准进行评估,对每项评估项目进行打分或者选择评估选项,系统自动根据评分规则计算作业项目的评估分和风险等级。同时,系统为作业项目风险评估提供以下支持:(1)基于作业项目风险评估标准库中的评估判据,对评估项目的得分进行自动计算或自动选择评估选项,如自动查找与作业项目相关的风险事件并计算得分,并且在此基础上,评估人可对风险事件库进行搜索,选择相关的风险事件,系统根据计分规则计算得分。(2)显示关联信息供评估人参考,如设备台帐、检修计划、班组及人员等相关信息。(3)系统根据评估结果自动生成风险评估报告,生产控制措施卡,指导作业班组的现场作业,现场作业完成后必须将安全措施执行情况反馈到系统中,完成闭环。
风险评估界面如图1所示。
1.3 安全承载能力分析
系统基于作业班组及人员安全承载能力评估标准和评估流程,实现作业班组、班组人员安全承载能力评估的闭环管理,同时实现作业班组、人员安全承载能力可量化的指标,为作业项目风险评估、安全承载能力分析和生成控制措施卡提供辅助支持。
安全承载能力分析界面如图2所示:
1.4 查询统计
通过系统,各部门可方便地对风险事件、班组风险、风险评估标准、风险辨识范本、作业项目风险评估、风险预警进行查询。同时,系统基于多维在线分析技术,实现对风险事件、班组风险、作业项目风险的全面统计分析,统计分析结果以表格、图表等形式展现。
2 系统实现
2.1 系统架构
本系统基于J2EE技术架构,用户无需安装客户端即可使用系统的所有功能,在极大程度上降低了系统的维护和管理成本。
系统实现了组件化设计理念,采用浏览器+中间件+应用服务器+数据库服务器的多层结构,显示逻辑、业务处理逻辑和数据访问逻辑分开,拥有完备的安全控制结构和通用的数据访问结构,运行稳定,性能较高,易于维护并具有良好的可扩展性和安全性。
2.2 流程引擎
为保证系统流程稳定、高效的流转,本系统实现了符合WFMC标准的通用工作流平台,实现所有业务流程的定义、驱动、监控的集中管理:(1)流程引擎支持图形化实现复杂业务逻辑,提供图形化流程组织结构,支持各种角色、关系、相对关系等功能,具有良好的易用性和扩展性;(2)系统管理器提供各种异常管理功能,比如重新激活停滞流程,重新指派,提供各种协同功能,支持流程动态功能,比如客户端支持指派、重新提交流程等:(3)工作流平台提供多层次的流程监控功能,流程参与人员、管理员可以图形化的形式直观地监控流程的状态和进度。(4)管理员可方便对地流程异常进行监控、干预。(5)高度可扩展及集成能力,支持图形化配置即可集成各种应用系统,支持包括客户端定制、表单定制、集成第三方系统等接口,流程规则、表单、步骤条件等均可调用XML、Web services等。
3 系统应用情况
经过1年的研究和开发,作业项目安全风险管控系统在2012年10月开始在上虞市供电局上线运行,同时根据用户的需求,系统功能不断得到改善和加强。通过本系统的实施和应用,上虞市供电局建立了完善的风险评估库和风险事件库,提高了风险评估的科学性、客观性;系统结合PMS生产计划,实现生产任务和班组人员安全承载能力的匹配和优化;构建了完善的风险管控体系,实现与电力企业安全管理相关制度的充分结合,充分发挥风险评估结果对安全生产管理和现场作业的指导作用。
4 结语
综上所述,上虞市供电局作业项目安全风险管控系统是一个全面、综合的作业项目安全风险评估和风险管控信息化解决方案,不仅为电网风险评估、作业风险评估、班组安全承载能力分析提供全面的智能化、信息化支持,实现科学、实时、准确的安全风险评估,同时PMS生产计划与安全风险管控有效结合,不断夯实了安全生产基础,提升了安全生产管理水平,真正实现了安全生产的可控、能控、在控。
参考文献
[1] 国家电网公司.供电企业安全风险评估规范[M].北京:中国电力出版社,2008.
[2] 国家电网公司.供电企业作业安全风险辨识防范手册[M].北京:中国电力出版社,2008.
关键词:雷电灾害;风险评估;途径;对策
中图分类号:U674.74文献标识码:A
引言
雷电能造成人员伤亡,能使建筑物起火、击毁。近年来随着我市经济的快速发展,雷击造成的损失也呈逐年上升趋势,雷电过电压、过电流和脉冲电磁场会通过供电线、通信线、接收天线、金属管道和空间辐射等途径侵入建筑物内,威胁室内电子设备的正常工作和安全运行。通过雷击风险评估可为评估对象提供雷电防护的科学设计、灾害风险控制、经济投资、应急管理等方面服务,保证防雷工程安全可靠、技术先进、经济合理。雷击风险评估是开展综合防雷的必经程序,也是实现科学防雷的必要条件,体现了预防为主,防治结合的理念。
雷击风险评估的目的和意义
法律法规和各级政府规范性文件对气象灾害风险评估早就提出了明确要求,我市在2010年后陆续开展了重大建设项目雷击风险评估工作。雷击风险评估是根据项目所在地雷电活动时空分布特征及其灾害特征,结合现场情况进行分析,对雷电可能导致的人员伤亡、财产损失程度与危害范围等方面的综合风险计算,从而为项目选址、功能分布布局、防雷类别与防雷措施确定、雷灾事故应急方案等提出建设性意见的一种评价方法,是一项科学、、严谨、复杂的技术工作,依赖于监测手段的进步、技术标准的完善。
系统风险评估的目的是认识和评价风险,进而进行风险控制和管理。雷击风险评估是根据项目所在地雷电活动时空分布特征及其灾害特点,结合现场情况进行分析,对雷电可能导致的人员生命损失、公众服务损失、文化遗产损失和经济损失与危害范围等方面的综合风险估算,从而为项目选址、功能分区布局、科学设计、灾害风险控制、防雷类别与防雷措施确定、经济投入、应急管理等方面提出建设性意见的一种评价方法。雷击风险评估是防雷工作的一个重要组成部分,是开展综合防雷的必经程序,也是实现科学防雷的必要条件,体现了预防为主,防治结合的理念和安全可靠、技术先进、经济合理的原则。
二、龙里县雷击风险评估工作现状
通过调查了解,现在全国各地均在开展雷击风险评估工作,发展还很不平衡,开展较好的已有百余个项目,较差的刚起步。评估范围涉及有大型建设项目、爆炸火灾危险环境、普通住宅、重点项目、人员密集场所等。下面分析一下我县雷击风险评估工作。
(一)多没有进行现场勘察、测试,也没有统一的勘察报告或调查表。仅靠平面规划图是不能全面了解局地地形、地质、周围环境、雷击历史、小气候等来分析对雷击的影响。缺少必要的评估工作流程和技术流程。
(二)评估采用标准不规范,部分将已废止的标准或过期的规章和已转化为国标的国际标准还在引用,现行国际标准只能参考,不宜直接采用。相关法律法规规章多没有在《报告》中列明。
(三)对住宅小区评估没有分区,对于工厂密集建筑没有总体等效为一个建筑物或分区或分装置来进行评估。
(四)评估分析损失类型不全面。部分只作建筑物中人员生命损失类型风险评估,而未进行经济损失和可能引起其他损失的风险评估。其实规范要求仅对具有爆炸火灾危险的建筑物或医院以及其他内部系统的失效马上会危及人员生命的建筑物,才进行全部人员生命损失风险分量的分析,否则仅对个别分量分析。
(五)对住宅燃气管道的雷击风险没有考虑,特别是管道法兰间非金属衬垫因雷击电火花穿孔,有可能造成火灾或爆炸的风险没有进行风险分析和评估。
三、雷击风险评估的分类和一般程序
(一)现场勘察原始记录应有内容
现场勘察原始记录应有评估工程名称、委托单位名称地址、工程项目名称位置、联系人电话、建筑面积、总投资额,勘察日期天气环境、使用仪器设备及编号、附近雷击史、土壤电阻率测试记录,工程项目的数据、结构类型及电磁特性、附近雷击大地密度、防接触与跨步电压损害措施,地板类型、防火等级、火灾风险、特殊损害度,强弱电系统电缆及设备特性、各建筑间关联性、项目平面示意图、电气布线总平面图,项目存放原料、产品、经营物品和生产设备等,还应对现场拍摄必要的影像资料,还必须有现场勘察人、委托单位陪同人等签名。
(二)项目预评估
项目预评估是根据建设项目初步规划的建筑物参数、选址、总体布局、功能分区分布,结合当地的雷电资料、现场的勘察情况,对雷电灾害的风险量进行计算分析,给出选址、功能布局、重要设备的布设、防雷类别及措施、风险管理、应急方案等建议, 为项目的可行性论证、立项、核准、总平规划等提供防雷科学依据。
(三)方案评估
方案评估是对建设项目设计方案的雷电防护措施进行雷电灾害风险量的计算分析,给出设计方案的雷电防护措施是否能将雷电灾害风险量控制在国家要求的范围内,给出科学、经济和安全的雷电防护建议措施,提供风险管理、雷灾事故应急方案指导施工图设计。
关键词:小额贷款 贷款风险 风险评估
一、小额贷款公司贷款风险的类型
小额贷款公司贷款风险分类,按照信贷风险产生的原因分析,可以判断贷款资金遭受损失的可能性,从而为贷款评估分析提供依据,常见的有以下几种类型:
(一)信用风险
又称为违约风险,是指获得贷款的债务人,未能履行契约中的义务而造成贷款公司经济损失的风险,信用风险是贷款风险中最主要的风险形式,可分为道德风险和企业风险,前者是指借款人有意骗取贷款用于投资或其他不正当的经济目的,后者是来自于贷款对象经营情况的不确定性,譬如水灾、旱灾、地震等各种不可抗力风险,再如不能或延期偿还借款等主观行为风险。
(二)利率风险
市场利率变动的不确定性给小额贷款公司带来造成损失的不确定性,公司在发放贷款以后,市场利率出现上下波动,导致贷款的机会成本也随着不同,从而增加不同程度的贷款风险。
(三)流动性风险
小额贷款公司由于金融资产的流动性的不确定,进而使经济主体面对遭受损失的可能性。这是一种综合性的风险,流动性风险管理应当做好贷款流动性合理安排,并综合体现出小额贷款的整体经营状况。例如,出现大量存款人的挤兑行为,贷款公司就可能面临流动性危机。
(四)经营风险
小额贷款公司的决策人员和管理人员在经营管理过程中出现了失误,造公司的盈利情况出现变化,譬如贷款投放方向失误,而且规模掌握不正当,造成贷款的呆账和坏账。
二、小额贷款公司贷款风险的评估
鉴于小额贷款公司存在的贷款风险,笔者认为有必要对贷款风险进行合理评估,以便为贷款风险控制提供科学依据。小额贷款公司应该站在长远发展的视角,基于贷款管理制度,构建贷款风险评估的体系,并制定详细的贷款风险控制措施。
(一)贷款风险评估体系
贷款风险评估体系的内容包括贷款授权管理、授信管理、尽职调查、审贷分离制度等内容:
1、授权管理
关于贷款授权,必须遵循几方面的原则:首先是上级赋予下级机构权限的大小、时限、行使对象、行使内容等都必须明确;其次是不同的业务部门或者分支机构,其得到的授权大小,都在一定的限制范围内容;再次是权责一致,即得到多少授权,就需要承担多少责任;最后给予授权人的授权可以根据的实际进行灵活调整,譬如适当增加权限、延长时限、改变行使对象等。
2、授信管理
小额贷款公司将信用支持分为统一和公开两种模式。前者通过统一评估客户的信用,总体控制客户的总体风险,并总体考核客户的信用状况等,在确定能够控制和监控公司的信用支持风险之后,才能够授信于客户,这种授信模式就是统一授信模式。后者是公司授信的业务部门和分支机构在权限方面的范围能力,结合自身的承办能力,根据客户的风险限额,与客户公开签订协议,然后为客户提供一定条件要求,譬如承诺的多种信用支持,这就是公开授信模式。
3、尽职调查
风险管理和贷款业务分工的结果,小额贷款公司风险管理部门需要通过贷款尽职调查机制,调查业务部门的信贷初评和风险初审情况。譬如调查某一笔贷款,需要调查客户资金需求和信贷结构调整方向是否一致,是否违背国家的相关信贷政策等,另外还需要调查业务部门出具的风险评估方案的风险分析内容是否全面合理,相关的分析资料是否真实齐全,法律分析、行业分析和财务分析是否符合信贷的风险评级参数的取值要求等,旨在提供贷款的质量最优化。
4、审贷分离制度
审贷分离指的是在贷款调查、贷款审查、贷后检查过程中,小额贷款公司适当分离自身的职责,并根据不同层次的部门和负责人的岗位职责,将授信同时所需要承担的责任由这些部门和个人承担。从市场营销的角度,负责贷款业务的营销人员和调查人员,需要调查和评估贷款的申请,以及准备承担调查和评估失误的责任。具体来说,审查人员需要负责的风险是贷款审查的风险和审查失误的责任;贷款检查人员需负责的风险是贷款检查和清收的风险,以及贷后检查失误和清收不利的责任。
(二)贷款风险控制措施
小额贷款公司贷款风险是客观存在的,尽管风险必不可免,但可以通过后期的努力加以控制,并规避风险的发生,常见的贷款风险控制方法如下:
1、避免风险法
这种风险的原理是拒绝风险的发生,指的是小额贷款公司在贷款的过程中,采用拒绝高风险贷款业务的开展,来规避贷款风险的发生,这种方法可以有效避免风险的发生,但风险可能带来的利益,也将不可能得到,因此属于一种消极的贷款风险控制方法,在万不得已的情况下,不能够使用这种特殊的控制方法。
2、减少风险法
风险的减少,是在贷款业务发生后,对已经存在的贷款风险进行管理,从人为因素方面的角度对贷款风险进行如下控制:首先是信贷配给,一方面根据借款人申请和希望获得的贷款数额,审批时少于该数额。另一方面是根据借款人的基本情况,不要满足全部的借款要求,对其中的某些方法予以批准即可。其次是担保低押,担保抵押包括包括保证贷款和抵押贷款两种。从上个世纪90年代开始,这两种贷款方式就在贷款公司的贷款当中,占据很大的比例,能够有效防止贷款风险的出现。再次是签订限制性契约,这种风险控制方式的原理是签订合同之后,严格履行合同的条款,对于损害贷款公司利益的风险活动,在合同条款中予以明确禁止。主要的做法有:合同条款明确规定借款人的风险投资项目,在申请贷款之后,要求将贷款资金投入到规定的风险投资项目当中,如果发现贷款用于其他用途,可以要求中止贷款合同并提前收回贷款处理;如果借款人要将贷款资金用于其他用途,需要提前跟贷款公司商议,只要贷款公司认为其他用途的资金使用方式可以获得客观利益,即可允许贷款资金作为他用;要求借款人以报表的形式,将借款的详细信息披露,并严格监督借款人,以降低道德的风险。最后是与客户保持长期联系与借款人保持长期的联系,以便减少信息收集的成本,并提高信用风险的识别度,以及减少对借款人监控的成本。
3、转移风险法和分散风险法
为了提高自己自身的利益,将风险以保险交易、转让、互换交易、套期交易等方式转移给其他人,这是贷款公司控制风险损失的最常见方式。而风险分散兼顾借款和贷款双方的风险,前者是引导借款方不要将贷款资金投向同一个目标,而通过调整产业、行业、区域、贷款客户等信贷结构的方式,减少贷款风险。
三、结束语
综上所述,小额贷款公司贷款风险分类,按照信贷风险产生的原因分析,可以判断贷款资金遭受损失的可能性,从而为贷款评估分析提供依据。小额贷款公司贷款风险常见的有信用风险、利率风险、流动性风险、经营风险几种,笔者认为有必要对贷款风险进行合理评估,以便为贷款风险控制提供科学依据。小额贷款公司应该站在长远发展的视角,基于贷款管理制度,构建贷款风险评估的体系,并制定详细的贷款风险控制措施。
参考文献:
[1]申韬.基于软集合的小额贷款公司信用风险评估[J].南方金融,2010,(8):79-82
【关键词】农业气象 灾害 影响评估 发展趋势
一、国内农业气象灾害的评估现状
农业气象灾害对农业造成的破坏和影响主要是依据农业气象灾害指标体系对其进行评价的,我国的学者通过多种控制条件、实验和对气象灾害数据的统计分析,逐渐形成了以农业为主的气象灾害指标体系,并以此为基础,建立了各种农业气象灾害评价的数学模型,使我国的气象灾害逐渐由定性评价向定量评级进行转变。其中,主要的研究对象包含洪涝、干旱、台风、暴雨、寒潮等农业气象灾害。目前,我国国内外对农业气象灾害的评估内容主要有灾害风险区划及管理、人类社会经济损失和作物产量损失等,评估的模型主要有灾害风险评估、作物模型评估和综合模型评估。
1.农业气象灾害风险评估
灾害风险分析最早起源于国外,分析领域主要集中在重大自然灾害和经济领域,而对农业气象灾害的风险分析相对较少,起步较晚,我国的农业气象灾害风险分析,经过几十年的发展,现在主要是通过灾害影响评估的风险化、数量化技术和方法,构建风险评估的技术体系,主要内容包含了气象灾害的风险分析,后期的跟踪与评价,灾后的评估以及应对的措施等等。农业气象灾害风险评估是一项综合性的、多因子的评估分析工作,主要涉及对气象灾害的危害性、危险程度,对灾害的预测、承载体系的承受能力以及降低灾害措施的分析等方面。
2.农业作物模型评估
目前,在国际上的农业作物模型评估类型比较多,例如澳大利亚的APSIM模型、美国的DSSAT模型、荷兰de W it学派的系列模型等,而我国目前采用的主要是CCSODS模型。该模型主要面向国内的农田管理者以及农业管理者,具有通用性和机理性的特点,经实践证明,在气象灾害评估方面具有较强的实用性,能够提供作物的优化栽培体系。
3.综合模型评估
综合模型评估所要考虑的因素主要有灾害的覆盖面积、灾害的强度、农作物对灾害的敏感度、农作物的防御能力以及当地在某一时间段所拥有的生产力水平等,在此基础上构建气象灾害评估的指标体系,然后通过模糊数学方法、回归分析法、层次分析法,以及灰色聚类分析和BP神经网络等方法的选择与利用,建立农业气象灾害的综合评估模型,以此实现对农业气象灾害的定量分析和定性分析。目前,我国的很多专家和学者都根据当地气象灾害和农业发展的实际,对综合评估模型进行创新和发展,确定了科学的评估手段和方法。在该模型中,农业气象灾害定量评估主要依据对农作物受灾后产量的损失评估,农业部门主要是计算受灾面积、成灾面积和绝收面积对粮食的损失。
二、国内农业气象灾害评估的发展趋势
1.农业气象灾害评估中将加强作物模型的应用
农业作物模型主要是对农作物的生理过程和土壤、气象等一系列影响因素进行数值模拟,把农作物的成长过程进行模拟再现,对农作物的生长过程与环境因素的相互关系做定量的描述,这对于农业气象灾害的评估有非常重要的价值。基于作物模型的特殊作用,在我国的农业气象灾害评估系统中将会得到广泛应用。从作物模型的发展来看,将依据简单、精准、大众化为基本准则,研究方向将有专业的上层研究转向基层的广大生产用户。农业评估模型也将结合数学模型融合专家知识模型,最终建立成综合系统的评估专家系统,实现作物模拟的专业化和可视化。
2.农业气象灾害风险评估将得到进一步完善
随着经济的进步和科学技术的发展,许多新的理论和方法都将被引入到农业气象灾害的风险评估体系中,并将得到进一步发展和完善。首先,通过农业灾害相关机理的研究,对于承灾体的易损伤性、致灾因子的不稳定性以及区域防灾能力的脆弱性将得到深入分析和研究。其次,因为不同的自然环境孕育出不同类型的气象灾害,而在风险评估过程中不同的风险因素的影响效果也是不一样的,对不同的风险模型评估和风险指标体系的看法也是千差万别,这就导致风险评估结果的不统一,所以,通过不断构设标准统一的风险评估体系,在未来的风险评估指标和风险评估模型的标准方面会得到进一步的统一和规范。
3.农业气象风险综合评估技术将朝向多元化方向发展
农业气象灾害是受多方面的因素影响的,然而在对农业受灾损失进行定量评估时,一般都比较看重给农业带来的经济方面的损失,对于生态环境、社会生活等方面的损失关注力度不够。随着经济社会的不断发展,农业气象灾害评估将朝向多元化方向发展,与之相配套的风险综合评估技术也将出现多元化。对于气象灾害的影响,除了灾害性天气之外,植被地标状况、区域地形结构等也成为气象灾害的影响因素。综合来看,农业气象灾害评估将发展成为地面监测与3S技术相融合的一体化的灾害评估系统,对农业气象灾害进行全面评估。
三、总结
综上所述,通过我国农业气象灾害评估的现状分析和对未来发展趋势的研究可以看出,我国要不断加强对农业气象灾害的评估与相关作物模型的分析研究,切实提高农业生态环境的气象保障能力,使作为我国基础性产业的农业能够持续、稳定、健康的发展,为我国这个人口大国提供可靠的保证,这也是我国能够实现独立自主发展的先决条件。只有加强农业气象灾害的评估,才能为农业的长远发展保驾护航。
参考文献:
[1] 常彦军,董津瑞.我国农业气象灾害评估现状和发展趋势[J].黑龙江科技信息,2011,(06).
[2] 余卫东,张弘,刘伟昌.我国农业气象灾害评估研究现状和发展方向[J].气象与环境科学,2009,(03).
1.1需求分析
通过德尔菲法、访谈法、SWOT分析等风险管理技术,向学院各职能部门和其它渠道收集风险信息,分类总结,然后列出风险系统开发的大功能模块,每个大功能模块有哪些小功能模块;描述实现具体模块所涉及到的主要算法、数据结构、类的层次结构及调用关系,需要说明软件系统各个层次中每个模块或子程序的设计考虑,以便进行编码测试。系统平台可以实现以下功能:自动输出风险评估报告和建议报告,有效监控预防风险;对风险进行定量分析,实现以图表直观形式输出显示,并展示相应的数据指标;用户以个人账户或部门账户,登录到风险评估输入列表,选择相应的职能部门、行业类型、风险级别指标、以问答的形式选择相应的内置风险条目,根据登陆权限,可自拟增加、删除风险条目;可实现日常工作重要环节和重点风险过程的时间提醒功能,通过手机短信或网页提示窗提示等手段,提醒重点工作的正常开展,防范工作疏忽引起的风险;风险级别指标制定,可参考相应的国家或行业标准,也可自拟;系统平台内有评估标准,根据评估标准设计评估模型,利用评估模型对风险评估报告进行评估,得出评估结果供风险决策者参考;校领导和各职能部门负责人可根据管理权限查询相应的风险数据;B/S架构,实现新闻即时,可及时更新各高校风险管理中的经验交流文章、理论知识。
1.2程序编码实现
开始具体的编写程序工作,分别实现各模块的功能,从而实现对目标系统的功能、性能、接口、界面等方面的要求;开发过程中,边开发边测试,系统完工后,通过内部外部测试、模块测试、整体联调等测试方法,验证系统的整体稳定性,不断完善。
1.3具体应用
软件开发完成,做成相关的技术文档,系统上线;在具体应用中发现问题及时登记到问题记录册,反馈到开发人员,为以后的系统平台升级提供依据。
2平台功能模块
信息安全风险评估平台的开发环境为/MSSQL,基于SOA软件系统架构解决学院各信息系统集成,通过PDCA循环模型具体实施。信息安全风险评估系统平台建设主要包括评估公告、用户管理、指标设置、综合评估、综合查询、报表系统,数据导出七大模块。
2.1评估公告模块
评估公告模块实现新闻即时,可及时更新各高校风险管理中的经验交流文章、理论知识;可实现日常工作重要环节和重点风险过程的时间提醒功能,提醒重点工作的正常开展,防范工作疏忽引起的信息系统风险。
2.2用户管理模块
用户管理模块的功能是管理用户信息,主要包括用户的用户名、密码和权限,同时支持显示所有注册用户信息和删除用户功能;模块可以添加系统管理员、评估人和评估单位,评估人员可以设置不同的权限,限制评估范围;用户以个人账户或部门账户,登录到风险评估输入列表,选择相应的职能部门、行业类型、风险级别指标、以问答的形式选择相应的内置风险条目;不同的用户登录系统显示的模块不一样,根据登陆权限,可自拟增加、删除风险条目。
3.3指标设置模块
指标设置模块主要是依据国家有关信息安全风险评估指标,实现信息系统风险评估的指标体系设置,划分两级指标细化评估体系,一级指标划分为信息资产、威胁性、脆弱性,二级指标从硬件、软件、风险识别等细化指标体系;实现指标库的设置,可以分配不同的被评估单位相应的评价指标。
2.4综合评估模块
综合评估模块包括评估列表、评估历史。评估列表显示所有被评估单位,某一单位用户登录以后,系统自动调用相应的指标库,回答相应的信息系统安全问题,系统自动给出指标分数;评估历史是不同的账户登录,显示的列表不同,管理员能查询所有的用户评估历史,单位用户只能查询本系部的评估历史。
2.5综合查询模块
综合查询模块实现不同单位评估次数、评估成绩、各评估对象不同时间段等的评估查询。
2.6报表系统模块
报表模块实现了不同单位评估次数、评估成绩、各评估对象的柱状图的形式直观展示。
2.7数据导出模块
数据导出模块实现了评估单位当前总成绩或历史评估成绩的数据导出功能,支持PDF、Word、Excel文档格式。
3系统评估操作流程
系统管理员首先在系统后台对不同的用户设置相应的评估指标库;用户通过用户名和密码登录系统后台;登录成功后系统会自动调用相应的评价指标,用户回答相应的问题;回答结束后,用户点击提交,系统自动给出相应的评估分值;用户打印或存储评估数据报告。
4平台应用效果
4.1为我国高校的信息系统风险预防和应急处理提供建设性的意见
目前关于我国高校风险评估研究的大多停留在某些具体领域,主要是对宏观风险管理和财务风险状况进行探讨,对信息系统安全的研究较少。信息安全风险评估系统平台对高校信息安全风险进行定量分析评估,为我国高校信息系统风险评估提供了一个重要平台,为高校的信息系统风险预防和应急处理提供一些建设性的意见。
4.2为高校各级信息系统管理者提供了处理信息系统
风险的决策依据系统实现各级信息系统管理者可实时查询部门风险评估,针对高校日常管理中可能面临的各类信息系统安全风险、建议应对措施、突发事件、应急预案、法律法规等相关风险管理文档查询,为科学决策提供依据。
4.3信息系统安全风险处理更迅速
信息系统安全风险评估平台与学院网络安全教育平台、运维网站数据整合,当网络遭受攻击、病毒肆虐时,能第一时间获得相关信息,为快速解决信息系统安全风险创造了条件。
4.4提高了全校师生网络安全防范和参与意识
通过信息系统安全风险评估平台,全院师生提高了网络安全防范和参与意识,为河南牧业经济学院网络信息化建设出谋划策,促进学校领导和有关职能部门制定和完善网络有关管理制度。
4.5规范了全校师生的上网行为,减少了网络攻击
全校师生通过平台了解学校网络管理相关制度和管理方式,认识到自己的上网行为在学校监督管理中,从而自觉规范自身的上网行为。平台为引导师生正确使用网络、规避风险,保障校园网网络良好正常运转起到了积极的作用。通过信息系统风险评估的漏洞查找,各系部加强了网络安全知识普及、全员参与、相关规章制度的约束,一直困扰我院网管人员的网络非法攻击,特别是破坏后果更难预测的内部网络攻击得到了有效的遏制。
5结束语
关键词:现代风险导向审计 商业银行 内部审计
一、现代风险导向审计的内涵
现代风险导向审计是职业界在对传统风险导向审计改进的过程中,创造出来的一种新的审计方法。它基于战略管理理论和系统理论,以重大错报风险为导向,从审计对象的战略风险分析入手,按照“战略分析――经营环节分析――会计报表剩余风险分析”的基本思路,对可能引起审计对象重大错报的内外部风险因素进行评估,来确定审计的重点和范围,将有限的审计资源集中在高风险领域,合理配置审计资源,以提高审计效率和效果的一种审计方法。现代风险导向审计不仅仅是审计技术方法的一大变革,更是审计理念的更新。相对于传统风险导向审计,现代风险导向审计主要呈现以下优点:
1. 风险评估范围扩大。现代风险导向审计对风险的评估由账户、报表的微观层次转向社会环境、行业背景、战略目标等宏观层面,注重对企业整个经营环境和经营过程的分析,将企业置于社会经济体系中,分析与其重大错报风险相关的内外部环境及其它风险因素。
2. 风险评估重心发生转移。传统的风险导向审计人为将风险评估分为固有风险和控制风险评估,因固有风险不可直接评估,导致固有风险评估不到位,从而使风险评估以评估控制风险为中心。而现代管理层舞弊往往绕过或逾越内控,从而导致控制风险很低而实际审计风险很高,所以现代风险导向审计重新认识到固有风险评估的重要性,直接评估固有风险和初步控制风险的联合风险。
3. 风险导向发生改变。传统的风险导向审计仍以内部控制为导向,根据内部控制测试的结果确定实质性测试的性质、时间和范围。现代风险导向审计则以企业的经营风险为导向,根据对经营风险的评估及随后各步骤的评估测试,执行相应的实质性测试。
4. 充分运用分析性复核方法。风险评估的核心是分析性程序的利用,在现代风险导向审计中,审计师通过运用经营策略分析、绩效分析、财务分析等现代管理中的分析工具,使风险评估结果相互印证,帮助审计师发现重大错报的领域,减少细节测试的数量,提高审计效率。
二、现代风险导向审计是银行内部审计的必然选择
1.现代风险导向审计有利于银行风险管理
商业银行是经营货币的特殊企业,具有不稳定性、高风险性和负外部性,这种高风险特点决定了商业银行相对于其他行业对风险管理的要求更高、更严格。现代风险导向审计以“风险”为导向,以战略系统观,从微观、中观乃至宏观层面上对被审商业银行进行更加科学分析与评估,准确判断重大风险点,针对高风险点实施审计,及时有效防范各种经营风险,迎合了商业银行对风险管理的需求。
2.现代风险导向审计有助于提高银行内部审计效率
商业银行业务量大、业务环节复杂、资金往来频繁,会计资料及相关信息繁杂。所以无论是外部审计还是内部审计,审计资源的供需矛盾都比较突出。在有限的审计资源前提下,提高审计效率,保证审计质量,就成为审计部门的当务之急。在商业银行内部审计中运用现代风险导向审计,能够科学地解决业务数据“海量”的问题,它以全面评估风险为基础,经过科学分析与评估,将审计重点锁定在高风险领域,并依据风险排序合理配置审计资源,保障风险靠前的业务与区域得到优先审计,促进审计资源的有效分配和利用,提高了银行内部审计效率。
3.商业银行具备开展现代风险导向审计的基础条件
一是我国商业银行已经建立比较完整的风险评估体系,全面风险管理的理念已逐步渗透进银行企业管理文化中。经过多年的金融体制改革及发展,我国商业银行已经基本建立起覆盖各个业务系统的风险管理框架,研发了一系列风险评估指标和模型,风险管理方法及手段日益成熟,为现代风险导向审计的运用提供了理论基础;二是银行信息技术起步早发展快,完善的信息化系统与程序利于数据采集,以满足审计人员充分了解被审银行的业务操作及其内部控制等需要,为现代风险导向审计开展提供了技术基础。
三、目前我国商业银行现代风险导向内部审计应用现状
总体而言,我国商业银行现代风险导向内部审计尚处于起步阶段,尤其是实务状况与国外银行相比还存在较大差距,主要表现在以下方面:
1.风险管理体系不完善。开展现代风险导向内部审计,不仅只是引进一种新概念,还需要从组织架构、风险评估体系、人员配置、审计手段等方面需要进行革新和完善。有些商业银行虽然也是在“风险导向”下开展内部审计,但更多的只是“形似”,风险评估多采用定性分析方法,主要依靠经验判断或银行工作重点来确定风险所在,与国际先进银行运用数理统计模型、金融工程等前沿方法进行风险管理相比,我国风险管理方法较为落后。同时,审计人员的知识结构单一,财务会计人员占多数,而来自法律、管理、计算机、工程或其他专业领域的人才较少,具备“一专多能”的综合性素质的人才更少。落后的风险管理方法、难以胜任的审计人员、不健全的风险评估体系直接导致内部审计难以对银行进行全面的风险管理和内部治理。
2.审计关注的风险类型狭窄。我国商业银行目前执行的内部审计项目关注的风险基本集中在合规风险、操作风险和内部舞弊风险上,对于信用风险、国家风险和转移风险、市场风险、利率风险、流动性风险、法律风险、声誉风险等则几乎没有涉及。并且,目前商业银行的内部审计所关注的合规风险、操作风险等均为内源性风险,而对于社会信用风险、政府干预风险、利率风险等外源性风险则基本未考虑,更未对一些重要的深层次问题如战略及其管理制度、政策法规、社会环境、监督体系等方面进行研究。
3.内部审计在风险管理中未能充分发挥作用。一直以来内部审计作为监督部门主要扮演查错找弊,纠正违规的“经济警察”的角色,这种理念下的内部审计只强调其监督职能,而不注重充当内部风险管理专家,为银行的风险管理及经营决策提供咨询及建设,未充分挖掘内部审计在银行风险管理中的作用。
4.审计工具软件开发和信息库建设滞后。目前,我国大部分商业银行都具备了运用计算机及相关软件进行内部审计的条件,审计过程基本实现了电子化,但审计软件的功能尚需进一步完善,比如数据的提取和加工、风险评估、审计抽样、审计模型等方面还需继续提高使用的准确性和效率,并增加分析性复核、审计指导等功能。同时,因审计人员在风险评估阶段需要从内外部取得大量的信息,以充分了解银行整体经营环境,识别银行面临的经营风险。这就需要审计部门建立一个功能强大审计信息库,自动或人工收集全行各业务品种和作业条线的相关数据信息。而现阶段我国商业银行内部审计信息库刚建立,有的甚至还未开始,数据积累不足,信息库的建设还达不到现代风险导向内部审计的要求。
四、推进我国商业银行现代风险导向内部审计的建议
1.推广现代风险导向内部审计理念。一是银行管理高层要重视现代风险导向审计的宣传,从制度制订及财务资源上给予支持,从上到下营造现代风险导向审计应用氛围;二是各层级审计人员应勇于接收新事物,迎接新挑战,积极学习运用现代风险导向审计理念于实践,促进商业银行现代风险导向内部审计的开展。
2. 加强风险评估系统建设。结合我国商业银行风险评估现状,首先,应构建全面风险评估框架,从风险识别、预警、决策、处理、监控等环节全过程对商业银行各类风险实施有效、连贯的监管。其次,可以借鉴国外银行先进方法和手段,结合我国商业银行监管指标和已有的风险评价指标,运用数理统计模型、金融工程等先进方法,构建以定量分析为主的风险识别、度量、监测的风险评估体系。最后,加强对风险评估体系的优化建设,根据实际情况适时调整相关模型、指标,保障体系结果的准确性。
3. 重新定位内部审计职能。内部审计必须重新定位自己的职能,应从以监督为主向监督与服务并重方面发展。工作重点也应从传统的“查错防弊”转向为银行内部的管理、决策及效益服务,其作业范围也应扩展到银行经营管理的各个方面,使内部审计从风险管理的角度参与公司治理,从而帮助企业实现经营目标,为企业提供增值服务。
4.打造高素质的内部审计团队。第一,商业银行应当要求审计人员持证上岗,并鼓励审计人员参加注册会计师、国际注册内部审计师等各种专业资质考试,培养与国际接轨的专业人才。第二,可以采取脱岗学习、专家讲座、经验交流、到业务部门挂职锻炼等方式,针对性给予内部审计人员经济、法律、计算机等相关知识的培训,促进内部审计人员及时更新知识结构和内容。第三,商业银行还应增强内部审计力量,人员配备至少应达到员工总数的2%,并不断引进新生力量,保持队伍年轻化。
5.革新内部审计技术和方式。首先,商业银行应大力推行非现场审计和远程审计。利用计算机手段,在银行内部搭建一个完善、高效的审计信息化系统和审计操作平台,对银行各项业务实施有效监控与评价。再次,推进审计信息库建设,做好数据收集和整理工作。银行可以建立专供计算机辅助审计服务的审计数据服务器,定期从业务生产系统、管理信息系统抽取数据,自动下载到审计数据服务器中。最后,不断完善审计软件功能。银行应根据自身的特点和需要开发符合自身实际的审计软件,并在实践中不断完善软件功能,逐步增强数据分析和模型查找的精确性。
参考文献:
〔1〕蔡春,赵莎.现代风险导向审计论.北京:中国时代经济出版社,2006,37-49
〔2〕谢荣,吴建友.现代风险导向审计理论研究与实务发展.会计研究,2004,(4):47
〔3〕耿慧敏.风险导向内部审计相关理论问题.大连海事大学学报,2009,(4):73
[关键词] 胸外科手术;风险评估;Thoracoscore;死亡率
[中图分类号] R655 [文献标识码] A [文章编号] 1674-4721(2013)08(a)-0055-03
胸科手术中围术期的风险评估是对每个危险因素进行量化评估并得出具体的预测值,以更准确地预测手术的风险及预后,有利于指导手术的开展,降低并发症的发生率和死亡率[1]。选取本院2000年1月~2006年12月收治的348例胸外科手术患者进行临床研究,现报道如下。
1 资料与方法
1.1 一般资料
选取2000年1月~2006年12月348例胸外科手术(食管手术除外)患者作为研究对象,其中,男性213例,女性135例。年龄32~72岁,平均51.5岁。
1.2 测评工具标准
依据美国麻醉学家协会分级标准,ASA评分包括6个等级。Ⅰ级:正常健康,局部可有病患,但并无系统性疾病;Ⅱ级:有轻度或中度系统性疾病;Ⅲ级:有严重系统性疾病,日常活动受限,但未丧失社会能力;Ⅳ级:有严重系统性疾病,已丧失社会能力,并威胁到生命安全;Ⅴ级:危重病患者,生命难以维持。如系急诊手术,在评定上述某级前标注“急”或“E”。
采用胸外科手术数字化风险评估系统(Thoracoscore中文版)严格根据美国麻醉学家协会分级标准进行评分。在胸外科手术数字化风险评估系统以≤第2等级和≥第3等级进行划分,相对应的计分0、0.6057。
WHO行为状况包括5个等级:①正常活动;②有症状,但还是几乎能完全正常活动;③部分时间需卧床,但卧床时间少于正常日间活动时间的50%;④需要卧床的时间多于正常日间活动时间的50%;⑤需长期卧床。在胸外科手术数字化风险评估系统中以≤第2等级和≥第3等级进行划分,相对应的计分0、0.689[2]。
英国医学研究会呼吸困难评分包括6个等级:①无呼吸困难;②轻微程度呼吸困难(在平地快步走或爬小高地时会有气促);③中等程度呼吸困难(由于气促,在平地步行速度慢于相同年龄的人);④中等严重程度呼吸困难(由于气促,在平地按自身步伐走必须停下来);⑤严重呼吸困难(在平地上走100码或几分钟就必须停下来);⑥非常严重呼吸困难(严重气促而无法外出或无法穿脱)。在胸外科手术数字化风险评估系统中以≤第2等级和≥第3等级进行划分,相对应的计分0、0.9075。
合并的其他疾病状态胸外科手术数字化风险评估系统附加说明列出10种疾病:①吸烟成瘾;②癌症病史;③慢性阻塞性肺疾病(COPD);④主动脉高压;⑤心脏病;⑥糖尿病;⑦外周血管疾病;⑧肥胖;⑨酒精中毒;⑩高血糖症。按合并疾病个数进行划分,0个为0、≤2个为1、≥3个为2,相对应的计分为0、0.7447、0.9065[3]。
1.3 手术方式
前瞻性研究选择2007年9月~2008年3月汕头市中心医院所开展的胸外科手术病例,收集患者相关病情资料。所有患者在知情同意的情况下进行相关治疗,对纳入研究的患者进行评估分组,依据患者组别、合并疾病及心肺功能情况进行术前准备和内科治疗。如针对患者心肺功能情况进行强心、利尿、应用心血管药物等治疗,进行抗炎、祛痰治疗;提高患者心肺功能储备,降低ASA分级、行为状况、呼吸困难等因素的分值;同时治疗合并疾病,要求患者戒烟戒酒等。入院后每天对患者进行一次评估,调整加强术前准备和内科治疗至术前,依据患者情况选择合适的手术时机、手术方式;术后随访30 d或至其出院,了解并发症、死亡率等疾病转归情况。据统计,42例患女性患者的ASA等级为Ⅱ级,行为状态为2,病理为恶性,择期行左上肺叶切除治疗;70例男性患者的ASA等级为Ⅱ级,行为状态为2,病理为恶性,择期行右下肺叶切除治疗;40例男性患者的ASA等级为Ⅱ级,行为状态为2,病理为恶性,择期行左上肺叶切除治疗;69例男性患者的ASA等级为Ⅱ级,行为状态为3,病理为良性,择期行左上肺叶切除治疗;48例女性患者的ASA等级为Ⅲ级,病理为良性,择期左上肺叶切除治疗;39例男性患者的ASA等级为Ⅱ级,行为状态为3,病理为恶性,择期行右上肺叶切除治疗;40例女性患者的ASA等级为Ⅲ级,行为状态为3,病理为良性,择期行肺大疱切除治疗[4]。
1.4 数据处理和统计学方法
按胸外科手术数字化风险评估系统胸科手术评分系统提供的计算公式计算每个个体的预期死亡率(predictive death rate,PDR)。计算公式为:预期死亡率(PDR)=odds/(1+odds),odds=exp(-7.3737+年龄得分+性别得分+ASA得分+行为状况得分+呼吸困难得分+手术时机得分+手术方式得分+病理结果得分+合并疾病得分)。
按PDR进行分组:低风险组(PDR ≤1%)、轻度风险组(1%
2 结果
2.1 回顾性研究结果分析
本组纳入研究标准的病例为348例,根据胸科手术评分系统计算得出不同风险组情况。各风险组人数及预期死亡率和实际死亡率见表1。各风险组人数占总人数比例见图1。采用ROC曲线对胸外科手术数字化风险评估系统预测死亡率的准确性进行评价(表1、图2)。不同风险组患者变量得分情况见表2。
由表1可知,以胸外科手术数字化风险评估系统进行预测的死亡率与实际死亡率的差异无统计意义。由表1和图2可见,胸外科手术数字化风险评估系统预测死亡率的ROC 曲线下面积即C指数为0.857(P
2.2 前瞻性研究结果分析
前瞻性研究的10个病例,入院时Thoracoscore评分有6例为低风险组、3例为轻度风险组、1例为中度风险组。入院后每天进行一次评估,调整加强术前准备和相应的内科治疗,依据患者情况选择合适的手术时机、手术方式。至手术前3例轻度风险组降低为低风险组、1例中度风险组降低为轻度风险组,手术过程顺利,术后随访至其出院,未见严重并发症。
3 讨论
本研究的样本数较少,除了受研究范围小的限制外,数据缺失也是其中一个原因,因为只要有一个变量无记录,该病例就必须剔除[6-7]。胸外科手术数字化风险评估系统并没有具体说明能否评估中期或远期的死亡率,但是本研究仅用其评估术后30 d内死亡率,虽然有文献[5]用该系统评估中期死亡率,但是笔者认为评估30 d以上的死亡率要特别谨慎,因为会出现较多人为的不可预料的干扰因素。
尽管胸外科手术数字化风险评估系统的应用初步显示其对死亡率的预测具有良好的能力,同时也可应用于前瞻性研究,符合我国胸科手术治疗状况,但是由于国内外手术水平、治疗水平、疾病分布情况等方面的差异,有可能导致手术危险因素的不同或危险因素权重的不同,另外由于本研究样本数较少,资料收集集中在一个单位,存在偏倚,所以需要进行多中心的研究,提高样本量,通过大量临床实际工作来进一步证实其在临床应用的价值,调整危险因素得分,开发研制适用于我国人群的胸科手术评估系统[9]。
[参考文献]
[1] 张延龄,项建斌. 外科手术的风险预测与临床评价[J].临床外科杂志,2006,14(9):540-541.
[2] Falcoz PE,Conti M,Brouchet L. The Thoracic Surgery Scoring System (Thoracoscore):Risk model for in-hospital death in 15,183 patients requiring thoracic surgery[J]. J Thorac Cardiovasc Surg,2007,133(2):325-332.
[3] 方积乾.医学统计学与电脑实验[M].上海:上海科学技术出版社,2001:115-117.
[4] Chamogeorgakis TP,Connery CP,Bhora F,et al. Thoracoscore predicts midterm mortality in patients undergoing thoracic surgery[J]. J Thorac Cardiovasc Surg,2007,134(4):883-887.
[5] Kristi LP,William MD,Nancy AP,et al. A report of two hundred twenty cases of regional anesthesia in pediatric cardiac surgery[J].Anesth Analg,2000,90(24):1014-1019.
[6] James MS,Francis X. Neuraxial blockade for pediatric cardiac surgery: lessons yet to be learned[J]. Anesth Analg,2000,90(5):1011-1013.
[7] Pastor MC,Sanchez MJ,Casas MA,et al. Thoracic epidural analgsia in coronary artery bypass graft surgery:seven years′ experience[J].J Cardiothorac Vasc Anesth,2003,17(2):154-159.
[8] Glenn PG. Epidural analgesia and coronary artery bypass grafting: the controversy continues[J].J Cardiothac Vasc Anesth,2003,17(24):151-153.