时间:2022-12-29 17:07:33
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇安全风险评估论文,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
我国的信息安全标准化制定工作比欧美国家起步晚。全国信息化标准制定委员会及其下属的信息安全技术委员会开展了我国信息安全标准方面工作,完成了许多安全技术标准的制定,如GB/T18336、GB17859等。在信息系统的安全管理方面,我国目前在BS7799和ISO17799及CC标准基础上完成了相关的标准修订,我国信息安全标准体系的框架也正在逐步形成之中[1]。随着信息系统安全问题所产生的损失、危害不断加剧,信息系统的安全问题越来越受到人们的普遍关注,如今国内高校已经加强关于信息安全管理方面的研究与实践。
2高校信息安全风险评估模型
2.1信息安全风险评估流程
[2]在实施信息安全风险评估时,河南牧业经济学院成立了信息安全风险评估小组,由主抓信息安全的副校长担任组长,各个相关单位和部门的代表为成员,各自负责与本系部相关的风险评估事务。评估小组及相关人员在风险评估前接受培训,熟悉运作的流程、理解信息安全管理基本知识,掌握风险评估的方法和技巧。学院的风险评估活动包括以下6方面:建立风险评估准则。建立评估小组,前期调研了解安全需求,确定适用的表格和调查问卷等,制定项目计划,组织人员培训,依据国家标准确定各项安全评估指标,建立风险评估准则。资产识别。学院一卡通管理系统、教务管理系统等关键信息资产的标识。威胁识别。识别网络入侵、网络病毒、人为错误等各种信息威胁,衡量威胁的可发性与来源。脆弱性识别。识别各类信息资产、各控制流程与管理中的弱点。风险识别。进行风险场景描述,依据国家标准划分风险等级评价风险,编写河南牧业经济学院信息安全风险评估报告。风险控制。推荐、评估并确定控制目标和控制,编制风险处理计划。学院信息安全风险评估流程图如图1所示:
2.2基于PDCA循环的信息安全风险评估模型
PDCA(策划—实施—检查—措施)经常被称为“休哈特环”或者“戴明环”,是由休哈特(WalterShewhart)在19世纪30年代构想,随后被戴明(EdwardsDeming)采纳和宣传。此概念的提出是为了有效控制管理过程和工作质量。随着管理理念的深入,该循环在各类管理领域得到广泛使用,取得良好效果。PDCA循环将一个过程定义为策划、实施、检查、措施四个阶段,每个阶段都有阶段任务和目标,如图2所示,四个阶段为一个循环,一个持续的循环使过程的目标业绩持续改进,如图3所示。
3基于PDCA循环模型的信息安全风险评估的实现
[3-5]河南牧业经济学院信息系统安全风险评估的研究经验积累不足,本着边实践边改进,逐步优化的原则,学院决定采用基于PDCA循环的信息安全评估模型。信息安全风险评估模型为信息安全风险评估奠定了理论依据,是有效进行信息安全风险评估的前提。学院拥有3个校区,正在逐步推进数字化校园的建设。校园网一卡通、教务、资产、档案等管理系统是学院网络核心业务系统,同时各院系有自己的各类教学系统平台,由于网络环境的复杂性,经常会监控到信息系统受到内外部的网络攻击,信息安全防范问题已经很突出。信息安全风险评估小组依据自行研发的管理系统对学院各类信息系统进行全面的风险评估(图4),以便下一步对存在的风险进行有效的管理,根据信息系统安全风险评估报告,提出相应的系统安全方案建议,对全院信息系统当前突出的安全问题进行实际解决。
3.1建立信息安全管理体系环境风险评估(P策划)
风险规划是高校开展风险评估管理活动的首要步骤。学院分析内外环境及管理现状,制定包括准确的目标定位、具体的应对实施计划、合理的经费预算、科学的技术手段等风险评估管理规划。风险规划内容包括确定范围和方针、定义风险评估的系统性方法、识别风险、评估风险、识别并评价风险处理的方法。信息安全评估风险评估管理工作获得院领导批准,评估小组开始实施和运作信息安全管理体系。
3.2实施并运行信息安全管理体系(D实施)
该阶段的任务是管理运作适当的优先权,执行选择控制,以管理识别的信息安全风险。学院通过自行研发的信息安全风险管理工具,将常见的风险评估方法集成到软件之中,包括有信息资产和应用系统识别、风险识别与评估、风险处置措施及监测、风险汇总与报告生成等功能。通过使用信息安全风险管理工具,安全风险评估工作都得到了简化,减轻人员的工作量,帮助信息安全管理人员完成复杂的风险评估工作,从而提高学院的信息安全管理水平。
3.3监视并评审信息安全管理体系(C检查)
检查阶段是寻求改进机会的阶段,是PDCA循环的关键阶段。信息安全管理体系分析运行效果,检查到不合理、不充分的控制措施,采取不同的纠正措施。学院在系统实施过程中,规划各院系的信息安全风险评估由本系专门人员上传数据,但在具体项目实施中,发现上传的数据随意甚至杜撰,严重影响学院整体信息系统安全评估的可靠性,为了强化人员责任意识,除了加强风险评估的培训外,还制定相应的惩罚奖励制度,实时进行监督检查,尽最大可能保证风险评估数据的准确性[6]。
3.4改进信息安全管理体系(A措施)
经过以上3个步骤之后,评估小组报告该阶段所策划的方案,确定该循环给管理体系是否带来明显的效果,是继续执行,还是升级改进、放弃重新进行新的策划。学院在项目具体实施后,信息安全状况有了明显的改善,信息管理人员安全责任意识明显提升,遭受到的内外网络攻击、网络病毒等风险因素能及时发现处理。评估小组考虑将成果具体扩大到学院其他的部门或领域,开始了新一轮的PDCA循环持续改进信息安全风险评估。
4结语
关键词:网络安全 风险评估 方法
1网络安全风险概述
1.1网络安全风险
网络最大的特点便是自身的灵活性高、便利性强,其能够为广大网络用户提供传输以及网络服务等功能,网络安全主要包括无线网络安全和有线网络安全。从无线网络安全方面来看,无线网络安全主要是保证使用者进行网络通话以及信息传递的安全性和保密性,其能否保证使用者的通话不被窃听以及文件传输的安全问题都是当前研究的重要课题,由于无线网络在数据存储和传输的过程之中有着相当严重的局限性,其在安全方面面临着较大的风险,如何对这些风险进行预防直接关乎着使用者的切身利益。想要对无线网络安全进行全面正确的评估,单纯的定量分析法已经不能够满足当前的需求,因此,本文更推荐将层次分析法和逼近思想法进行双重结合,进一步对一些不确定因素进行全面的评估,确保分析到每一个定量和变量,进一步计算出当前无线网络的安全风险值。而对于有线网络,影响其安全风险的因素相对较少,但是依然要对其进行全面分析,尽最大可能得到最准确的数值。
1.2网络安全的目标
网络安全系统最重要的核心目标便是安全。在网络漏洞日益增多的今天,如何对网络进行全方位无死角的漏洞安全排查便显得尤为重要。在网络安全检测的各个方面均有着不同的要求,而借助这些各方面各个层次的安全目标最终汇集成为一个总的目标方案,而采取这种大目标和小目标的分层形式主要是为了确保网络安全评估的工作效率,尽最大可能减少每个环节所带来的网络安全风险,从而保证网络的合理安全运行。
1.3风险评估指标
在本论文的分析过程之中,主要对风险评估划分了三个系统化的指标,即网络层指标体系、网络传输风险指标体系以及物理安全风险指标体系,在各个指标体系之中,又分别包含了若干个指标要素,最终形成了一个完整的风险评估指标体系,进而避免了资源的不必要浪费,最终达到网络安全的评估标准。
2网络安全风险评估的方法
如何对网络风险进行评估是当前备受关注的研究课题之一。笔者结合了近几年一些学者在学术期刊和论文上的意见进行了全面的分析,结合网络动态风险的特点以及难点问题,最终在确定风险指标系统的基础上总结出了以下几种方法,最终能够保证网络信息安全。
2.1网络风险分析
作为网络安全第一个环节也是最为重要的一个环节,网络风险分析的成败直接决定了网络安全风险评估的成败。对于网络风险进行分析,不单单要涉及指标性因素,还有将许多不稳定的因素考虑在内,全面的彻底的分析网络安全问题发生的可能性。在进行分析的过程之中,要从宏观和微观两个方面进行入手分手,最大程度的保证将内外部因素全部考虑在内,对网络资产有一个大致的判断,并借此展开深层次的分析和研究。
2.2风险评估
在网络安全风险评估之中,可以说整个活动的核心便是风险评估了。网络风险的突发性以及并发性相对其他风险较高,这便进一步的体现了风险评估工作的重要性。在进行风险评估的过程之中,我们主要通过对风险诱导因素进行定量和定性分析,在此分析的基础上再加以运用逼近思想法进行全面的验证,从而不断的促进风险评估工作的效率以及安全性。在进行风险评估的过程之中,要充分结合当前网络所处的环境进行分析,将工作思想放开,不能拘泥于理论知识,将实践和理论相结合,最终完成整个风险评估工作。
2.3安全风险决策与监测
在进行安全风险决策的过程之中,对信息安全依法进行管理和监测是保证网络风险安全的前提。安全决策主要是根据系统实时所面对的具体状况所进行的风险方案决策,其具有临时性和灵活性的特点。借助安全决策可以在一定程度上确保当前的网络安全系统的稳定,从而最终保证风险评估得以平稳进行。而对于安全监测,网络风险评估的任何一个过程都离不开安全检测的运行。网络的不确定性直接决定了网络安全监测的必要性,在系统更新换代中,倘若由于一些新的风险要素导致整个网络的安全评估出现问题,那么之前的风险分析和决策对于后面的管理便已经毫无作用,这时候网络监测所起到的一个作用就是实时判断网络安全是否产生突发状况,倘若产生了突发状况,相关决策部门能够第一时间的进行策略调整。因此,网络监测在整个工作之中起到一个至关重要的作用。
3结语
网络安全风险评估是一个复杂且完整的系统工程,其本质性质决定了风险评估的难度。在进行网络安全风险评估的过程之中,要有层次的选择合适的评估方法进行评估,确保风险分析和评估工作的有序进行,同时又要保证安全决策和安全检测的完整运行,与此同时,要保证所有的突发状况都能够及时的反映和对付,最终确保整个网络安全的平稳运行。
参考文献
[1]程建华.信息安全风险管理、评估与控制研究[D].吉林大学,2008.
[2]李志伟.信息系统风险评估及风险管理对策研究[D].北京交通大学,2010.
[3]孙文磊.信息安全风险评估辅助管理软件开发研究[D].天津大学,2012.
关键词: 统计学习;风险评估;支持向量机
中图分类号:F224文献标识码:A文章编号:1671-7597(2012)0110102-01
0 引言
互联网络时代的到来使得网络重要性和人们对其依赖也日益增强。网络安全问题也不容乐观。网络安全风险评估是保证网络安全的重要环节。基于人工智能的评估方法是近些年发展起来的,其评估结果较为客观和准确,克服了传统方法的缺陷,为网络安全评估拓展新的空间。支持向量机[1]就是其中一种,其学习能力强,解决了在神经网络方法中无法避免的局部极值问题,具有较好的泛化推广能力。
1 风险评估及支持向量机
1.1 网络风险评估。准确进行网络安全风险评估并预测其发展趋势成为保障各种网络服务安全急需解决的问题。网络安全风险评估[2]是指依据国家有关网络信息安全技术标准,对网络信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程。风险计算是对通过对风险分析计算风险值的过程。风险分析中要涉及资产、威胁、脆弱性等基本要素,每个要素有各自的属性。
在完成了资产识别、威胁识别、脆弱性识别,以及对已有安全措施确认后,将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性,考虑安全事件一旦发生其所作用的资产的重要性及脆弱性的严重程度判断安全事件造成的损失对组织的影响,即安全风险。风险计算原理利用范式(1)给出:
风险值=R(A,T,V)=R(L(T,V),F(Ia,Va))(1)
其中,R表示安全风险计算函数;A表示资产;T表示威胁;V表示脆弱性;Ia表示安全事件所作用的资产重要程度;Va表示脆弱性严重程度;L表示威胁利用资产的脆弱性导致安全事件发生的可能性;F表示安全事件发生后产生的损失。
1.2 支持向量机理论。SVM是在统计学习理论基础上发展起来的,是根据Vapnik提出的结构风险最小化原则来提高学习机泛化能力的方法。SVM对小样本、非线性和高维特征具有很好的性能[4]。具有理论完备、适应性强、全局优化、训练时间短、泛化性能好等优点[6]。
假定训练数据 可以被超平面
无错误地分开,且距离超平面最近的向量与超平面间的距离最大,则称这个超平面为最优超平面。而SVM的主要思想就是:通过某种事先选择的非线性映射将输入向量x映射到一个高维特征空间Z,在这个空间中构造最优分类超平面。SVM就是解决如何求解得到最优分类超平面及如何解决高维空间常遇到的维数灾难问题。而通过核函数方法向高维空间映射时并不增加计算复杂度,又可以有效克服维数灾难问题。
SVM中不同的核函数将形成不同的算法,对于在具体问题中核函数的选定和构造也是SVM中的研究内容之一。
2 支持向量机的评估方法
支持向量机可以较好的解决小样本、非线性模式识别、过拟合、高维数等问题,具有学习能力强,全局最优以及很好的泛化能力和结果简单等优点,应用于风险评估具有其可行性及优势[3,5]。
2.1 算法可行性。将SVM运用到风险评估中,对目标网络进行安全风险评估具有其可行性。支持向量机是专门针对有限样本情况的,目标是得到现有信息下的最优解。其次,支持向量机能将分类问题最终转化成一个二次寻优问题。最后,风险评估对问题解决方法的泛化能力及简单性要求较高。支持向量机能将实际问题通过非线性变换转到高维特征空间,在高维特征空间中构造线性判别函数使得原始空间具有了非线性判别函数的功能。在保证模型推广性的同时也消除了维数灾难的问题。
2.2 基于SVM的评估模型。随着SVM的广泛应用及对其深入研究,结合具体需求将SVM与其他算法相结合进行优化,出现一些新型的SVM方法。在对SVM参数优化方法也有相关深入的算法研究。本论文结合SVM实际应用模型与网络风险评估要求及流程,提出基于SVM的评估模型。评估模型主要分四部分:评估观测期、风险分析期、基于SVM的评估期、防护措施调整期。该模型采用周期循环的理念,可以得到目标网络实时的安全状况,更好的保证网络安全可靠。
基于SVM的评估期对评估指标进行归一处理,作为SVM的输入。对数据初始化后通过对训练数据进行机器学习,最终获得SVM的训练模型。然后运用模型对测试数据进行处理,得到测试集中样本的分类结果即评估结果。
3 结束语
网络安全评估成为解决网络安全问题以及网络优化的关键手段之一。支持向量机能较好地解决传统评估方法不能解决的非线性、高维和局部极小等实际问题,克服了神经网络的过拟合、局部最优的缺陷,成为网络安全领域的又一研究热点。该领域仍需完善和改进SVM算法,结合其他学科提高SVM训练速度、降低算法复杂度和运算量等。
参考文献:
[1]邓乃扬、田英杰,支持向量机理论、算法与拓展[M].北京:科学出版社,2009.
[2]黄光球、朱擎等,基于信息融合技术的动态安全态势评估模型[J].微计算机信息,2010,26(1-3):27-29.
[3]党德鹏、孟真,基于支持向量机的信息安全风险评估[J].华中科技大学学报(自然科学版),2010,38(3):46-49.
[4]殷志伟,基于统计学习理论的分类方法研究[D].哈尔滨:哈尔滨工程大学,2009.
[5]王伟,AHP和SVM组合的网络安全评估研究[J].计算机仿真,2011,28(3):182-185.
[6]故亚祥、丁世飞,支持向量机研究进展[J].计算机科学,2011,38(3):14-17.
【关键词】海上石油平台 压力容器 压力管线 风险评估 RBI
1 前言
压力容器、压力管线等承压设备广泛应用于各行各业,一旦发生泄漏或断裂将有可能导致火灾、爆炸及中毒事故,是生产和经济遭受严重破坏,生命和财产蒙受重大损失。
当前,中海油海上平台建设发展迅速,海上压力容器和压力管线数量逐年增多,压力容器和压力管线的检测或检验市场份额巨大,研究海上压力容器和压力管线的风险评估是提高资源优化配置的有效途径,实现压力容器和压力管线的信息化管理,对促进设备管理水平进步、保证海上设备运行安全具有重要意义,且可减少对低风险设备和装置的维护和检验周期,从而降低检验风险,减低成本。因此,海上压力容器和压力管线的风险评估技术的应用前景非常广阔。
2 RBI技术
2.1 RBI的概述
R B I是英文“R I S K B A S E D INSPECTION”的缩写,我国翻译过来 称谓“风险评估”,目前国际上商业化的RBI软件都是基于API580标准。在API580中,RBI定义为:一种风险评估和管理的过程,重点放在压力容器和工业管道由于材料破坏导致的介质泄露。
RBI采用系统论的原理和方法对系统中固有的或潜在的危险及其程度进行定量分析和评估,它旨在找出薄弱环节,避免盲目检验;帮助企业筛选出较高危险的区域,确认高风险的设备,制定有效的检查计划,用来降低设备运行风险、提高设备运转可靠性、降低设备运行成本;同时RBI又是一个决策工具,在保证设备运转可靠、安全的前提下有效避免“检验不足”或“检验过剩”,从而优化检验的效率和频率,降低停机次数,减少日常检验及维修的成本。
2.2 RBI技术的原理
RBI技术奖设备在使用期间可能发生的风险与设备在用检验相联系。运用风险分析,将流程中所有的设备按照风险进行排序,从而得到风险分布,然后优化检验策略,对高风险设备按照其损伤的特点,采取有效的检验方法,显著降低其风险。
风险的级别可以用风险矩阵图表示,见图1及表1。无论失效后果或失效概率(失效频度)都可以用数字表示,把两组数字按照严重程度的次序分别划分为5个等级。失效概率(失效频度)划分为极高(very high)、高级(high)、中级(medium)、低级(low)和极低级(very low)概率(失效频度),简称特、高、中、低、微5级;失效后果同样也是五级。五个等级分别用A、B、C、D、E和1、2、3、4、5表示。这样,就可以在一个5×5的风险矩阵图上来确定分析对象的风险等级,并根据相应的风险等级采取相应的措施。
图1 RBI风险矩阵图
3 RBI技术在国内外的应用情况
上个世纪九十年代初期,欧美二十余家石化企业集团为了在安全的前提下降低运行成本,共同发起资助美国石油学会(API)开展RBI 在石化企业(主要是炼油厂)的应用研究工作。1996 年API 公布了RBI 基本资源文件API BRD 581 的草案,2000 年5 月又公布API 581 正式文件。2002 年5 月正式颁布了RBI 标准API RP 580 。十多年来,西方发达国家甚至亚洲的韩国、新加坡等国家和地区的石化炼油厂广泛应用了RBI 方法进行成套装置中的承压设备的检验与维修,使得风险和检验维修费用都大幅度下降。国际上,海上石油平台很早便已应用风险评估理念。到目前,挪威、英国等已拥有比较完善的RBI风险评估体系。
但我国的海上石油工业起步较晚,开始对平台的安全评估认识不足,已经发生了很多的海滩事故,造成重大人员伤亡和经济损失。近年来,科研工作者和生产企业逐渐认识到,成熟的RBI技术对我国的海上石油工业安全保障有十分重要的作用。目前,DNV和中石化青岛安全工程研究院致力于该方面的研究和应用,对胜利埕岛油田海上设施进行定量风险评估。
我国海上压力容器压力管线检验应用RBI刚刚开始,国内还未有应用和基础性研究。海上压力容器、压力管道在自然大气环境、空间布局及操作要求等方面与陆上设施存在较大差异。海上压力容器压力管线应用RBI时既要考虑海上设施在石化工艺、设施布局、配管布置及设备防腐等方面的特点,也要考虑海洋工程和海洋自然环境等方面的独特要求,还要考虑海上操作及安全管理的特点:高流量状态下流程含砂的磨蚀风险;海上盐雾导致设备外腐蚀风险;压力管线的振动疲劳风险;CO2大气腐蚀风险等。
其主要管理手段为它能有效提高检验的效率,优化检验计划和检验策略,减少设备不必要的例行检验内容,实施针对性的检验内容;避免“检验不足”带来的安全隐患或“检验过剩”造成的设备维修费用的浪费和设备在役运行时间的降低;对于保证海上压力容器、压力管线的运行安全、促进管理进步具有重要意义。
5 海上压力容器、压力管线风险评估产生的效益
5.1 经济效益
以中海石油技术检测有限公司为例:油公司(天津、上海、湛江)共计海上中心平台(含终端)约35个,每个中心平台的维修策略评估与制定项目平均费用为50万元,项目推广后每年可实施6-8个RBI项目,预计年收入可达到300-400万元。此外还有下游炼油厂(常减压、连续重整、加氢精制、加氢裂化、催化裂化、制氢、焦化等)、化工厂(乙烯裂解、醋酸乙烯、聚乙烯、聚丙烯、芳烃、橡胶、乙二醇、合成氨、尿素、PTA等)装置的关键设备,实现关键在役设备的在线检测具有广阔的市场。
5.2 社会效益
基于风险的检验技术(Risk Based Inspection,以下简称RBI检验技术)是在追求特种设备安全性与经济性统一的基础上建立的一种优化检验方案的方法。引入RBI检验技术,对于推进企业特种设备安全监察方式的改革创新,有效预防和整治特种设备事故隐患,降低政府和企业安全管理成本,促进中海油企业安全发展和科技进步具有重要的意义。
6 结论
综上所述,海上压力容器和压力管线的风险评估技术符合安全性和经济性相统一的发展趋势,必将在我国海洋石油行业得到迅速发展和普遍应用,为促进经济的可持续性发展,及降低设备风险和生产成本具有重要作用。随着RBI技术在海洋石油行业的技术研究和应用力度的加大,相信RBI技术一定能够在海洋石油行业发展的更加完善并发挥更大的作用。
参考文献
[1] 陈钢,左尚志,陶雪荣,等. 承压设备的风险评估技术机器在我国的应用和发展趋势[J].中国安全生产科学技术,2005,2(1):31-35
【关键词】消化内科;老年;护理风险
doi:10.3969/j.issn.1004-7484(x).2013.07.379文章编号:1004-7484(2013)-07-3823-01
现今老年消化内科住院患者逐渐增多,伴随并发症也较多,不仅仅是常见跌倒,烫伤之类的安全护理隐患,还出现了专科治疗引起的特殊风险[1]。回顾性分析我院从2010年12月至2012年12月接受诊治的年龄在65岁以上入住消化内科的老年患者100例,对其住院护理风险及护理措施进行研究。现今具体情况如下所示。
1资料与方法
1.1一般资料回顾性分析我院从2011年12月至2012年12月接受诊治的年龄在65岁以上入住消化内科的老年患者100例,其中男患者65例,女患者35例,患者的年龄在65至90岁,平均年龄为75岁。
1.2评估方法
1.2.1评估表通过将医师的临床治疗经验和病区的老年住院患者出现的护理安全事件及其导致因素关系的结合,再采用使用老年患者的风险评估Norton压疮风险评估表及跌倒/坠床风险评估表,将容易误服/服药错误/走失及导致窒息评估条目加入其中,总计四维度及29条目[2],以此筛选消化内科的老年患者在入院之后存在的护理风险。
1.2.2评估方法管床护士对入院二十四小时之内的消化内科老年患者作初评,记录分值,再由护士长或护理组长作进一步审核,根据患者的得分情况做出总结,之后再针对高危患者在其床尾卡上贴相应的标识。例如跌到危险患者在其床尾卡上贴“方形”标识,窒息危险患者在其床尾卡上贴“三角形”标识,压疮危险患者在其床尾卡上贴“圆形”标识,再通过颜色作进一步区分,将危险级别由高到低分别用红色,橙色及蓝色表示[3]。这样的标识可以让医生及家属一目了然。
2结果
通过综合护理风险评估表对接受诊治的全部老年患者进行护理风险的评估,评估结果为17例高危压疮风险,28例高危跌倒风险,11例高危用药/走失/误服风险以及4例高危窒息风险,见表1。
3结论
回顾性分析我院从2010年12月至2012年12月接受诊治的年龄在65岁以上入住消化内科的老年患者100例,对其住院护理风险及护理措施进行研究。在总结内科系列专科发生老年患者风险事件归因中可以看出,各个专科都需要制定详细的护理风险的评估指标,仔细找出存在的安全隐患,有效制定防范措施,增强对护理风险识别及防范的能力[4]。护理人员要重视细节的管理,做好前瞻控制,在发患者的口服药物时要将每次的口服药分配好,特殊药物如:心血管系统类、镇静类药物看患服下再离开;病房内张贴各种警示标识供患者及家属阅览,加备床栏、轮椅带等物资;病房内的各种物品摆放有序,位置相对固定;加强与患者及家属的沟通交流,与患者及家属建立良好合作的关系,合理安排陪护与探视;在患者住院期间护理人员要加强对患者疾病及用药知识的宣教;合理安排护理人力资源,严格按照《分级护理制度》对患者施护;确保急救物品的完好,加强意外事件的护理力量。
综上所述,对老年患者护理风险的评估是提高其护理质量的重中之重,而且老年护理是伴随终生的事,需要对患者及其家属进行正确指导,这能够减少风险发生率,提高生活质量。
参考文献
[1]韩清萍.心内科老年住院患者护理安全隐患原因及对策[J].齐齐哈尔医学院学报,2009,13(9):83-84.
[2]唐大年,韦军民,朱明炜,等.老年住院患者营养风险、营养不足发生率及营养支持应用状况的调查[J].中华老年医学杂志,2011,30(11):974-976.
【关键词】埋地钢制管道;管道检测;防腐层;风险评估
基于风险评估的检验是在充分地综合了系统安全性与经济性统一理论基础上建立的一种优化检验策略。它运用相关的检测手段对埋地钢制管道可能失效的部位进行检测,并综合多种可能造成埋地钢制管道失效的因素,再根据模糊数学风险评价方法,对埋地钢制管道进行风险评估。而传统的埋地钢制管道检验方法未能将管道的安全性、企业的经济性以及可能存在的失效风险有效地结合起来,检验的频率和程度与受检管道的风险并不相称,对埋地钢制管道可能失效的位置检测没有针对性。
1、管道外防腐层检测技术
目前,对埋地钢制管道外防腐层的检测方法有很多种,各种方法都有其优缺点,如何选择一种较为合理的检测方法,使检测的定位准确、精确度高、劣化状态得到准确判定、所需成本最少是检测最为关心的问题之一。对埋地钢制管道外防腐层和外腐蚀的检测,通常利用管道电流检测(PCM)评价技术和现场开挖核实等综合手段,来分析判断管道具体腐蚀情况。
当管道的防腐层存在破损时,所加载的电流信号会在防腐层破损点处泄漏到土壤,管道破损点与土壤间就会产生电势差,在电流衰减率曲线图上,Y值在该点表现为突然增大。而且距离破损点越近,电势差也就越大,此时在埋设管道的地面采用“A字架”便可检测到这种异常电位,从而实现对管道防腐层破损点的精确定位。根据所测定的数据来计算各管段外防腐层的绝缘电阻,最后依据所得出的值,再参照埋地管道外防腐层绝缘电阻的评估标准,实现对管道防腐层技术等级的划分,从而完成对管道防腐层整体质量状况的综合评估。
2、埋地钢制管道的风险评估方法
埋地钢质管道的风险评估是一门综合性的管理技术,不仅要考虑工程技术方面的各种影响因素,还需与国家的经济水平、社会保障条件以及有关安全技术法规等密切相关。风险评估技术是用来评价管道发生事故的可能性以及发生事故后的危害程度。风险评估的主要内容是:
(1)确定导致埋地钢制管道的风险影响因素,即发生事故和影响其后果程度的因素。
(2)确定失效可能性,即发生事故的可能性;
(3)确定事故的失效后果,即事故后果的严重程度;
(4)计算管道的区段风险,风险=失效可能性×失效后果;
(5)确定管道区段的风险等级,对高风险区段,提出的降险意见与措施。
3、案例分析
3.1管线基本情况概述
该管线为格尔木炼油厂30万吨甲醇天然气管道,2006年7月完成管道敷设工作。管道全长2.98km,工作压力3.3MPa,工作温度常温,介质为净化天然气,管道规格为Φ325×9.0mm、材质L210的无缝钢管,外防腐层采用沥青玻璃丝布。全线周围居民区,来往车辆、行人较多,人文活动发达。
3.2防腐层整体质量状况检测
利用电流衰减率评价方法对所该管线的外防腐层整体质量状况进行了分级评价,质量为一级防腐层长度为1780m,占这段总长的59.73%;质量为二级防腐层长度为1200m,占这段总长的40.26%。
3.3管道系统失效可能性评分
管道失效后果的不同主要是由管道沿线环境和人口密度决定的。该管道输送的介质为干净的天然气,因此,不需要考虑介质的内腐蚀,仅需考虑土壤腐蚀。腐蚀方面主要由大气腐蚀、管道外土壤腐蚀构成,土壤腐蚀又包括外防腐及阴极保护项。该项数据是通过现场检测结果及管线相关资料信息确定。
影响装置及操作不当评分主要有装置本体质量和功能、维护保养的规程及控制等因素。其中,各项评价得分是依据工作人员提供的信息以及资料完整性来确定,本文选择的分数相对保守,因为此管道沿线的设备装置基本相同,此评分项得分也相同。
本体安全项包括有设计、制造、施工及地质条件等相关内容。该项评价得分是依据检测获得信息和相关资料信息确定,对资料信息不完全及不详的项,选择相对保守的分数。
3.4失效后果计算
以3.3节中的计算原理计算出失效后果得分,其中失效后果得分为人员伤亡得分和经济直接损失得分中的高分值数,该条管线没有无形损失的得分调整。
失效后果得分为110.52~145,得分差异较大。失效后果最严重段为3处,它们主要为输气站、厂房,公路,这几处若发生事故人员伤亡、财产损失严重。管线风险绝对等级以中等风险为主;风险值较高的区段多为输气站、厂房附近。管道的风险相对等级表明同一管道上不同区段的相对差别,本条管线的相对风险等级以低风险相对等级为主,高风险相对等级主要为输气站、厂房附近区域。
4、结论
(1)总结埋地钢制管道检验技术体系框架,它包括管道防腐层等级检测、破损点检测等主要环节,详细论述埋地钢制管道检验与评价在各个环节中可能出现的质量问题,为埋地钢制管道安全运行提供参考意见。
(2)通过介绍管道系统进行风险评估的基础理论,可知埋地钢制管道的风险等级与风险评估的技术依据,风险的可接受度是根据潜在的危险发生概率来确定,从而决定是否有必要进行相关措施。
参考文献:
[1]胡士信;;“西气东输”工程埋地钢制管道的高可靠性和高耐久性研究[A];中国材料研讨会论文摘要集[C];2012年
关键词: 建筑火灾 综合评价 模糊层次分析法 风险分析
建筑火灾具有可燃物质多,火灾负荷大,人员流动大疏散困难、空间跨度大,上下贯通,容易形成立体燃烧等特点。由于各种建筑、聚集场所人员密度大、使用频率高、涉及危险因素复杂,火灾事故不断发生。因此,如何合理地对建筑物火灾危险性进行分析及火灾时人员的安全疏散,是一个值得研究的课题。
我国关于火灾危险性分析的研究相对一些发达国家起步较晚,但是随着近些年来与国外的相关研究机构的交流,也已经开展了火灾危险性评估方面的研究工作,并取得了一定的成果。
本文在分析建筑火灾发生、发展及蔓延等特征的基础上,运用事故致因理论,结合系统安全分析的理论和方法,对建筑火灾危险性的影响因素进行了深入的分析,建立了建筑火灾危险性分析的体系;然后运用基于模糊数学的模糊综合评价方法综合评价建筑火灾危险性,为建筑人员疏散研究提供可靠依据。
1、模糊数学的基本原理
模糊数学的诞生是从1965年美国加利福尼亚大学控制论专家查德发表的学术论文《模糊集合》开始的,从而架起了一座应用经典数学即精确数学处理模糊问题的桥梁。模糊性是模糊集合论中的一个最基本的概念,是指客观事物、概念处于共维条件下的差异在中介过渡时所呈现的亦此亦彼性 。对于建筑火灾危险,没有一个绝对的界限来界定其到底是危险的还是安全的,即具有亦此亦彼得过渡性质,因此它是一个模糊概念。
模糊数学评估方法是应用模糊数学的计算公式以及一些由专家确定的常数来确定火灾的各种影响。系统风险是由系统的不确定性引起的,所以在系统风险评估过程中如何考虑不确定性因素就成为风险评估的关键问题。传统的概率论方法是以与事故有关的基本事件的发生概率己知为前提的,当分析过程中由于各种各样的原因导致基本事件的概率未知时,基于概率论的方法就显得无能为力。此时,可以借助专家判断,引入模糊几个的概率,使得系统的风险评估成为可能。风险评估的特殊性和模糊方法的优势,使得模糊方法在系统风险评估中得到广泛应用。
2、系统危险性等级划分
系统危险性与安全性是相对的。传统的等级划分往往采用非此即彼的“一刀切”方法,过于绝对化,而且也很难与实际情况相符合。由于系统危险性与安全性之间存在着亦此亦彼的过渡性质,亦即有模糊性,所以从模糊数学来看,系统危险性是对安全性的隶属度,反之亦然。因此,系统危险程度的语言表达或评语应该充分考虑危险性或安全性的模糊性。 关于系统危险性的语言表达方式,人们对其语气的程度还存在不同认识。这里我们设定“较危险”所表示的危险性低于“危险”所表示的危险性。
3、商场建筑评价指标体系及火灾风险评价
(1) 商场火灾危险因素分析
①商场的自身状态:商场建筑的墙体、构件、内部装修的燃烧性质和耐火极限,对其控火能力有重要的影响。室内火灾载荷、防火间距以及商场周围的环境对火势蔓延也有一定的影响。
②商场的防火结构与布局:合理的防火结构与布局、防火、防烟分区,可靠的防火、防烟设备,以及通风、空调系统采用良好的防火设计,能够在火灾发生的初期阶段截断其蔓延的途径,将火灾控制在一定的范围之内。
③火源控制:商场中对电气设备进行防火处理极其重要,变配电室是容易发生火灾的最危险的部位之一,另外电线、电缆的铺设与耐火性能及严格的吸烟制度与动火规定也是必须考虑的因素。
④消防设备:火灾自动探测/ 报警、灭火系统应处于优先考虑的地位。火场缺水或没有完善的消防给水措施,是对当前灭火工作不利的重要因素。小型的手提式灭火器也是消灭早期火灾的利器。
⑤人员疏散:设计合理的疏散通道和疏散指示标志以及广播疏导系统、足够数量的安全出口以及足够宽敞的疏散通道,人群的安全意识与自救逃生技能,能够使人员伤亡降到最低。
⑥消防管理:完善的规章制度和火灾疏散预案、设置专人值班、定期对各种设备进行检修,是提前发现解决问题的最好手段。
(2) 建立评价指标体系 按照上述因素经过我的分析与研究运用层次分析法来确定各指标的权重,指标体系及各指标权重分配情况。建立了商场火灾危险性指标体系如表1所示:
4、结论
(1)根据各建筑的具体情况适当调整评价指标后还可以应用于其它建筑的火灾风险评价中。它可以为建筑物的“性能化”防火设计方法提供可靠的依据,使建筑火灾防治政策和措施更加科学、合理和有效。
【关键词】信息科技外包风险 风险评估 重点外包服务机构 优化控制
一、背景
随着信息科技技术应用的深入和信息科技外包服务的发展,近年来我国商业银行普遍将信息科技外包作为提高信息科技服务水平的重要手段,通过信息科技外包帮助银行提高管理和服务效率,节约信息科技建设和运维成本,实现战略升级。
随着外包服务范围的扩大和深入,商业银行对于信息科技外包商的依赖程度也逐渐加大,外包商自身的财务风险、经营风险、操作风险和道德风险都有可能传导至商业银行,引发商业银行的业务中断、信息泄露、系统失效、经济损失、声誉受损等一系列系统性风险;另一方面,由于银行自身外包管理能力的不善,也引发了一些外包风险事件的发生。
监管机构近年来高度重视信息科技外包风险,对商业银行外包管理提出了更明确的要求。因此,如何在信息科技外包过程中科学有效的评估外包商的风险,是商业银行目前信息科技外包风险管控迫待需要解决的问题。
二、商业银行信息科技外包风险评估模型建立
(一)商业银行信息科技外包风险识别
信息科技外包是一种通过将风险发生时所造成的全部或部分影响转移给第三方服务供应商的风险转移措施,它使商业银行通过风险转移在一定程度上降低了信息科技风险事件发生时对银行造成的损失。然而,在将信息科技活动风险转移给第三方的同时,也带来了外包活动的相关风险。据此,本文从风险来源的角度将商业银行信息科技外包风险划分为两类(见图1)。
图1 商业银行信息科技外包风险框架
对于A类风险(商业银行信息科技外包自有风险)与B类风险(外包商信息科技风险),本文识别了风险存在的领域,依据因子分析法进一步分解了各风险领域下的风险因子。
1.A类:商业银行信息科技外包自有风险。本文根据信息科技外包生命周期和管理主体,同时参考相关指引和通知,梳理了5个风险领域:外包管理组织架构及外包战略管理、外包风险管理、外包项目管理、外包商管理、监管报告管理。在每个风险领域下,根据因子分析法又分解了17个可能诱发风险事件的风险因子。
2.B类:外包商信息科技风险。本文参考了ISO27001、ITIL V3和积累的经验,结合国际知名咨询公司的风险知识库,共梳理出9个风险领域:运维管理、信息安全管理、服务管理、问题、事件管理、变更管理、业务连续性管理、转包分包管理、公司治理。在每个风险领域下,使用因子分析法进一步分解了34个风险因子。
(二)商业银行信息科技外包风险评估模型
信息科技外包风险事件大都产生于银行自身或外部服务提供商内部控制管理的不善、人员或系统外部事件引发的损失,因此外包风险常常被归类为操作风险的一个分支。目前管理操作风险主要有三大定性工具,包括风险控制自我评估(RCSA),损失数据收集(LDC)和关键风险(KRI)指标。
基于操作风险的三大工具,将信息科技外包风险评估模型分为为银行信息科技外包自有风险与外包商信息科技风险两块,通过识别风险领域及其风险因子,为每一个风险因子找到多个可应对它的控制活动,且通过控制活动识别关键风险考核指标,针对每个风险因子可能造成的财务、合规、声誉、资产安全、运营影响发生的可能,确定各风险因子的风险值。关键风险考核指标主要划分为是否型指标(定性考核)和数值性考核指标(定量考核)。评估者可利用风险因子的风险值权重乘上每个关键风险考核指标的考核值,加权平均得到各风险领域的得分,进而得到外包风险的评分。
信息科技外包风险评估计量模型如图2所示,信息科技外包活动中的风险权重(本文中以W为标识)与每项关键考核指标得分(本文中以Yn为标识)共同构成了信息科技外包风险管理得分的因子。
图2 信息科技外包风险评估模型
本文通过下面的计量公式得到信息科技外包风险管理总分:
其中,Sp表示信息科技外包风险管理总得分,Sp值越大,说明信息科技外包风险越高;W(A/B)表示A类或B类风险单个风险权重,由判断条件O1外包服务影响确定纳入计算范围的总体风险池,O1的选择不同将导致风险总数不同,进而导致单个风险权重不同;Ri是五个风险影响领域财务影响、合规影响、资产安全影响、声誉影响、运营影响的出现的平均次数得出的风险值;Y(A/B)n表示A类或B类风险单项关键考核指标得分,由判断条件O2考核指标级别确定纳入计算范围的关键考核指标池。Y(A/B)n取值越大,说明单项考核指标得分越高。
根据计算最终外包风险评估结果时,银行信息科技外包自有风险(A类)和外包商信息科技风险(B类)时α和β的权重确定方法不同,本文将信息科技外包险评估模型设计为单一权重信息科技外包风险评估模型和分层权重信息科技外包风险评估模型。
1.单一权重信息科技外包风险评估模型。在单一权重信息科技外包风险评估模型中,每个风险领域和风险因子都是用单一同样的风险权重,α和β的值分别为A类和B类各风险因子个数占总风险因子的占比。
单一权重信息科技外包风险评估模型的优点是计算简单,操作性较强,具有很强的实际操作价值。但也存在一定的缺点,例如存在一定的主观性,精度不够,导致风险因子间相对重要性得不到合理体现。
2.分层权重信息科技外包风险评估模型。分层权重信息科技外包风险评估模型主要依据层次分析法(AHP)确定各风险领域的权重。AHP法主要将目标结果分解成多个层次,通过两两比较下层元素对于上层元素的相对重要性,将人的主观判断用数量形式表达和处理以求得评估指标的权重。
本文创新性的采用了yaahp层次分析软件,建立了分层模型,并得到每个风险领域和因子的权重(具体见表1)。
表1 风险领域权重
基于APH法的分层信息科技外包风险评估模型主要将上述风险权重加入风险评分的计算中。AHP分析法最大的优点是实现了定量与定性相结合,精度高,能准确地确定评估指标的权重,因而使评估指标间相对重要性得到合理体现,评估结果可能更精准和科学。实际外包风险管控中,商业银行可根据自身的风险评估需求,选择单一权重信息科技外包风险评估模型或分层信息科技外包风险评估模型。
(三)信息科技外包风险评估模型的评级说明
银行信息科技外包自有风险与外包商信息科技风险评级分为1~5级。1级是最高评级表示银行信息科技外包风险管理方式最有力,需要最少的监管关注。5级是最低评级,表示银行信息科技外包风险管理方式最弱,因此需要最多的监管关注及管理层重视。根据银行信息科技外包自有风险与外包商信息科技风险评级的1~5分评级结果,可以得到总外包风险的评估等级。
图3 外包风险矩阵
三、外包风险评估实证研究
(一)银行信息科技外包自有风险管理
本文针对农村金融机构、城市商业银行、股份制商业银行与国有商业银行,并针对不同外包服务类型,包括驻场、非驻场集中式、非驻场独立式与跨境外包进行模型打分和访谈测试两个步骤来验证银行信息科技风险管理评估模型中银行信息科技外包自有风险管理的合理性。
选择某银行的驻场式外包管理进行模型验证,从A模型中筛选出5个风险领域、17个风险因子与40个关键考核指标,采用单一权重评分模型,并将A模型使用及评分方法发予该银行的外包服务管理部门进行自评,并对37条关键考核指标逐一进行控制活动设计与执行层面的测试。
由于模型与测试结果的偏离度大于5%,对模型进行了修正,降低对应的风险值的同时,调整了各项关键考核指标的划分。通过重复自评、验证、调整的步骤,保证模型与实际的偏离程度始终低于容差水平5%。
(二)外包商信息科技风险管理
本文针对不同外包服务机构,包括重点外包服务机构和非重点外包服务机构,并针对不同外包服务类型,包括应用系统托管、基础设施托管、系统软硬件平台维护、开发与人力外包、咨询服务类进行模型打分和访谈测试两个步骤来验证银行信息科技风险管理评估模型中外包商信息科技风险管理的合理性。
在模型矩阵中筛选出“应用系统托管”适用的9个风险领域,31个风险因子,56条关键考核指标,选择单一权重评分模型,并将模型使用及评分方法发予该重点外包服务机构的外包服务管理部门进行自评。并对55条关键考核指标逐一进行控制活动设计与执行层面的测试。
由于模型与测试结果的偏离度大于5%,对模型进行了修正,降低对应的风险值的同时,调整了各项关键考核指标的划分通过重复自评、验证、调整的步骤,保证模型与实际的偏离程度始终低于容差水平5%。
四、商业银行信息科技外包风险防范的建议
综合上述商业银行外包风险评估模型和实证研究结果,本文总结了进一步防范商业银行信息科技外包风险的建议,主要包括:
一是审慎选择信息科技外包项目。商业银行在确定是否外包时,应综合考虑业务需求、预期投入和未来成本效益分析,根据银行业务未来的发展方向和战略,选择外包项目。
二是建立严格的外包商准入评估机制。建议商业银行建立科学的外包商准入评估机制和方法,在准入前、项目过程和结项时对外包商做出科学的评价,并建立外包商信息库,更新外包商内部评级至信息库,作为下次外包服务的评价要素之一。
三是实施贯穿外包项目全生命周期的管理。建立外包项目的管理小组,明确管理小组的成员和职责,该管理小组监控外包项目进度,实施外包项目全生命周期的管理。并且此外包项目的管理小组需要真正的在每个里程碑及时监控和反馈项目情况。
四是建立信息科技外包项目的防火墙。需要建立真正的风险防火墙,分析传导范围,采取适当的控制措施,将风险传导范围控制在最小化的信息传递之内。
五是通过损失事件库的积累,科学评定风险发生的可能性和预计损失,实现外包风险的监控和计量。并根据每项业务的外包的依赖度,依据业务重要性水平,实现相关风险损失准备金的计提。
参考文献
[1]张金隆,丛国栋,陈涛.《基于交易成本理论的IT外包风险控制策略研究综述》.管理学报,2009年.
[2]郭亮.《商业银行IT外包项目风险评估的指标体系及方法》.上海交通大学(硕士论文),2012年.
[3]吴文忠.《IT外包模式选择与风险管控》.金融电子化,2011年.
[关键词]全面风险管理 风险组织体系 风险管理文化
风险管理是企业安全管理工作的重要内容,关系到企业发展。医院是国民经济重要的基础性行业,在经济发展过程中起着重要的作用。同时具有技术要求高、涉及范围广、系统复杂、维护费用高等特点,因此医院是一个风险性较高的行业。
全面风险管理作为一种现代企业管理手段,是企业安全运行的重要保障,建立完善的全面风险管理体系有利于促进企业健康发展。
一、全面风险管理概述
全面风险管理是企业全员参与,应用于企业战略制定和企业生产经营活动,用以确认可能影响企业的潜在事项并在其风险偏好范围内管理风险,对企业目标的实现提供合理的保证。[1]
构建医院全面风险管理体系,需要立足于医院的实际,分析医院风险管理环境、管理目标,对医院风险进行识别、评估,建立风险防控和监督机制,完善风险组织管理、强化文化管理等风险管理保障体系。其中核心是风险的防范和控制。
二、医院全面风险识别、评估与控制
(1)风险控制环境
风险环境分析是进行全面风险管理的基础。控制环境包括:员工诚信度和价值观;员工的能力;医院管理文化和管理理念;医院组织构架;权责分配、人力资源政策等。控制环境对医院目标设立、风险评估和风险控制有重要作用。它影响着员工的控制意识,是医院发展的基础。
(2)风险识别
综合性医院的经营活动复杂,各种风险相互联系、相互作用。医院的经营活动涉及到内外两方面的因素,因此风险可分为医院的内部风险和外部风险。
医院内部风险主要有医疗服务风险(医疗事故、医患关系风险等)、财务风险、组织设置风险(包括部门设置、部门间协调不顺畅等风险)、安全运行风险(设备运行、日常管理风险等)、人力资源风险、信息系统风险等。
医院的外部风险主要有自然环境风险(自然灾害)、政策法规风险(国家关于医疗机构的法律和政策风险)、行业风险(行业竞争风险)、技术风险(技术更新风险)等。
(3)风险评估
医院风险评估是通过运用科学有效的方法,对系统中存在的风险因素导致事故的可能性和风险程度进行定性和定量的描述,确定风险级别,进而实施风险预警与控制。进行评估首先要建立评估指标体系,并需要对风险进行综合性的评价,以弥补单一定性分析或定量分析的不足。
常用的风险评价方法有安全检查表分法、模糊综合评估法、作业条件危险性评估法、预先危险性分析、神经网络评估法等[2]。
2.4 风险控制
风险控制是医院根据自身条件和外部环境,为了实现风险管理目标,在风险识别和风险评估的基础上,确定风险管理有效标准,采用适当的风险控制措施以使风险损失最小化。常用的风险控制方法主要包括避免、预防、分散、抑制等[3]。
2.5 风险监督与改进
医院的风险会随着时间变化而改变,实施控制的方式也不断改变。曾经有效的风险应对措施可能变得不太有效了。导致这些现象发生的原因可能是由于新员工的到来,医院的培训和监控效果的变化,或者医院外部环境发生了变化等。面对这些变化,医院的管理层需要判定原来风险管理是否继续有效,也就是需要对风险管理体系进行监督和改进。
监督和改进可通过持续性的活动或独立的评估方式进行。持续性的监督和改进是对医院日常的、经常性的经营活动的监督和改进,是在不断变化的环境基础上动态地监督和改进。个别评价的频率依赖于医院管理者的主观判断。在作出判断时,需要考虑医院内部和外部环境变化发生的性质和程度以及相关的风险,员工的能力和经验、持续性监督和改进的效果等问题。一般地,为保证医院风险防控体系长期的有效性,需要将持续性的活动与独立的评估结合起来。
三、医院风险管理组织体系构建
为保证医院风险管理顺利实施,应建立健全包括风险管理委员会及风险管理职能部门、审计委员会及内部审计部门、法律事务部门及其他相关职能部门、业务单位的组织领导机构及其职责在内的风险管理组织体系。
四、医院全面风险管理文化构建
在管理实践中,对风险的全面管理,还需要构建风险管理文化。通过构建医院风险管理文化,使全面风险管理的理念深深根植于医院文化之中。开展全面风险文化管理,将风险意识和风险管理理念与医院文化相融合,在整个医院中贯彻落实风险管理精神,保障全面风险管理成功实施。
五、结语
全面风险管理作为一个现代企业管理手段,分析、开展全面风险管理,建立完善的全面风险管理体系有利于医疗行业健康发展。
参考文献:
[1]刘宁宁,蒋文崇.电力企业全面风险管理体系构建[J].魅力中国,2011, 4.
论文关键词:攻防实验技术;风险评估;信息安全
0引言
网络的开放性、黑客的攻击和系统本身的缺陷导致网络内的计算机并不安全,网络入侵也经常发生,往往造成严重的后果,为了尽早恢复网络或系统的正常运转,降低入侵的风险成为了急待解决的问题。由于攻防实验技术以入侵技术为前提,因此防御实验存在着时间滞后性。攻防实验也成螺旋状态不断地发展变化。本文通过对攻防技术的具体剖析来对攻防实验的一般方法和过程进行详细介绍。
l攻防实验与信息安全风险评估
根据国标(GB/T20984—2007信息安全技术信息安全风险评估规范》,信息安全风险评估被解释为“依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的西悉尼的保密性、完整性和可用性等安全屙陆进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响”。风险评估是对信息系统的安全属性进行评估,风险级别和评估范围决定评估的方式和方法,而评估方式和方法决定评估的手段。攻防实验技术是对风险评估工作的有效技术补充,是对系统保密性、完整性和可用性的系统评估分析手段,可降低安全事件发生的可能性,对修订安全策略、加强调整预防、监控和应急有着不可忽视的作用。
2攻防实验的目标和任务
在攻击和防御的对抗中,攻击方通常掌握着主动性,而防御方必须具备能够和攻击方相抗衡的智能。因此,攻防实验通常需要达到的目标是发现信息系统的脆弱性,提高信息系统的防御能力和信息系统的入侵响应能力,尽可能有效排除信息系统的威胁。
攻防实验的第一任务是掌握先进的入侵方法和手段,发现信息系统的潜在脆弱性,分析攻击的规律及轨迹,为反向工程提供实践依据。很多情况下,信息系统的入侵是由于管理员不知道黑客攻击的入侵手段和系统的潜在脆弱性,不能够快速反应。攻防实验的第二任务是收集积累准确的数据资料,为安全策略分析和系统改进提供依据。在攻防实验的过程中,要注意记录和保留相关的原始资料,为下一阶段的分析和总结提供良好的基础。
3攻防实验的主要技术
为了井然有序地进行攻防实验,攻防实验可以被分成人侵技术和防御技术。两者相辅相成,但防御技术比入侵技术发展滞后。入侵技术又可分为信息搜集技术和攻击技术,防御技术可分为监控技术、检测技术和蜜罐技术。通过对攻防实验的准确定位,达到让攻防实验可以较真实较全面地模拟网络人侵。同时依据信息安全风险评估规范,可以有针对性地对某类入侵进行详细的资料搜集和数据分析。
3.1入侵技术
基于对网络攻击行为过程性的认识,人侵技术以入侵目标网络为主要目的,通常以入侵为主要手段,以盗取信息或破坏系统为主要目的。对其进行分类研究,对于了解攻击的本质以更准确地对其进行检测和响应具有重要的意义。通常,入侵以信息搜集为前导,通过系统所暴露的脆弱性进行相应的入侵操作,可分为攻击技术和信息利用技术。
攻击技术包括攻击前期的信息搜集技术和后期的攻击技术。黑客的入侵过程通常在对目标主机的扫描探测后,针对系统所暴露的脆弱性和漏洞,对系统进行入侵操作。
3.1.1信息搜集技术
信息搜集技术通常包括扫描技术和网络嗅探技术。扫描技术是一种检测本地主机或远程主机安全性的程序。根据网络扫描的阶段性特征,可分为主机扫描技术、端口扫描技术以及漏洞扫描技术。其中端口扫描和漏洞扫描是网络扫描的核心。主机扫描的目的是确认目标网络上的主机是否处于启动状态及其主机的相关信息。端口扫描最大的作用是提供目标主机的使用端口清单。漏洞扫描则建立在端口扫描的基础之上,主要通过基于漏洞库的匹配检测方法或模拟攻击的方法来检查目标主机是否存在漏洞。此外,信息搜集型攻击还包括会话劫持、信息服务利用、电磁泄漏技术等。
网络嗅探技术主要指通过截获网络上传输的数据流来对目标网络进行分析的技术。网络嗅探技术要优于主要扫描技术,因为网络嗅探技术不易被发现,让管理员难以察觉。而嗅探的设备可以是软件,也可以是硬件。
3.1.2攻击技术
在攻击阶段,黑客利用信息搜集技术搜集来的信息,会采取攻击技术对目标进行攻击。攻击技术的种类很多,大致可分为拒绝服务攻击、信息利用攻击和恶意代码攻击。
拒绝服务DoS攻击指利用网络协议的缺陷或耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务或资源访问,使目标计算机停止响应甚至崩溃,而在此攻击中并不入侵目标设备。分布式拒绝服务DDoS攻击是在传统的DoS攻击基础之上产生的一类攻击方式。分布式拒绝服务DDoS通过占领傀儡机来实施,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。
信息利用攻击指并不对目标主机进行破坏,而是盗取或伪造存储的重要信息。信息利用攻击一般是通过协议缺陷,以冒充安全域欺骗主机的行为。
目前,一般分为欺骗攻击和伪造攻击两种。恶意代码攻击包括病毒和木马攻击。病毒是一种可以通过自我复制来感染其它程序的程序,并且具有传染性和不可预见性。木马程序是一种暗含某种功能的程序,内部含有隐蔽代码,其实质是通过隐藏端口进行通信,因此木马一般是C/S结构的。黑客以病毒攻击的方式对系统进行破坏,以木马的方式对系统留下后门,以便可以随时进人系统,对系统的权限和配置信息进行更改或破坏。
3.2防御技术
基于对入侵技术的识别,防御技术以应对入侵技术而产生。目前,防御技术以弥补漏洞为主,辅以检测设备,并设置防火墙等防护软件。通常防御技术包括监控技术、检测技术和蜜罐技术。
3.2.1监控技术
监控技术即监督控制技术,主要对目标主机或网络进行实时监控。监控以监控网络状态为主,通过数据包的收发,防止信息探测,也可对主机内进程监控,查看主机异常进程。通常,监控技术又可分为软监控和硬监控两种。软监控指通过软件来实现对目标网络实现监控的目的。如网络监控软件就是典型的软监控例子。而硬监控技术指通过硬件的方式来实现对目标网络实现监控的目的。物理隔离技术和人侵防护设备是硬监控技术的体现。监控技术主要针对人侵技术中的信息搜集技术,防止黑客对网络的信息搜集,也可阻止恶意代码对网络的攻击。
3.2。2检测技术
检测技术是近年来发展起来的一种防范技术,其作用是监控网络和计算机系统是否出现被人侵或滥用的征兆。核心是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。检测技术不同于监控技术,检测的第一要素是监听,因此,只要通过监视来自网络区域的访问流量和需要进行网络报文的统计。
3.2.3蜜罐
蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。这个定义表明蜜罐并无其他实际作用,因此所有流人/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。
蜜罐技术的优点包括:收集数据的保真度高,漏报率和误报率较低;使用蜜罐技术能够收集到新的攻击工具和攻击方法;不需要大量的资金投入;网络管理人员能够比较容易掌握。蜜罐技术也存在着一些缺陷,主要有需要较多的时间和精力投入;只能对针对蜜罐的攻击行为进行监视和分析;蜜罐技术不能直接防护有漏洞的信息系统;部署蜜罐会带来一定的安全风险。
蜜罐可以按照部署目的分为产品型蜜罐和研究型蜜罐两类。研究型蜜罐则是用于对黑客攻击的捕获和分析,通过部署研究型蜜罐,对黑客攻击进行反向追踪和分析,能够捕获黑客所使用的攻击工具及攻击方法,甚至能够监听到黑客之间的交谈,从而掌握他们的心理状态等信息。产品型蜜罐的目的是为网络提供安全保护,帮助管理员对攻击做出及时正确的响应等功能。产品型蜜罐一般容易部署,且不需要投人大量的工作。
论文摘要:目前来看,信息脆性风险已经成为网络通信系统亟待解决的问题。而要想更好解决网络通信系统信息脆性风险,就需要采取有效的管理方法对信息脆性风险进行分析,以保证网络通信系统正常运行,从而保证不同领域信息安全。本文主要从网络通信系统信息脆性风险概况、网络通信系统与脆性环境之间的联系、网络通信系统信息脆性风险评估等方面出发,对网络通信系统的信息脆性风险评估进行分析。
随着网通通信系统不断的发展,不仅其规模越来越大,其复杂程度也越来越高,系统之间的联系也逐渐密切起来。随之而来系统的不确定性也越来越大,而系统的复杂性使得网络通信系统易受环境的不确定性影响,从而使系统出现脆性风险,甚至给环境带来一定影响。在这种情况下,有必要基于网络系统脆性风险建立脆性风险评估体系,以减少不必要的网络脆性风险。如何更好的对网络通信系统信息脆性风险评估进行分析,已经成为相关部门值得思索的事情。
一、网络通信系统信息脆性风险概况
(一)脆性定义
脆性是系统受到外界打击时而产生的崩溃,这种崩溃在脆性产生之前并没有相应征兆。从某种意义上来讲,脆性是其系统自身特有属性,其是一种状态转化成另一种状态时才能显现出来的,一旦显现出来,就会给系统造成巨大的损失。
(二)脆性特点
脆性是伴随着复杂系统而存在的,基于脆性定义,系统脆性特点进行分析。现在网络通信系统中脆性不能明显的显现出来,只有当其受到强烈干扰之后,才能显现出来,并将脆性随时激发出来。随着网通通信系统不断的发展,其脆性可能随时被激发。因此,网络通信系统信息脆性问题是具有隐藏性的;因网络通信系统容易受复杂系统干扰,当其受一定条件限制时,其系统有脆性联系的系统就会受脆性的影响而产生崩溃;因网络通信系统进化方式较多,再加上受外界环境的影响,使其表现结果具有多样性,这也使得状态脆性变化形式更加多样化,系统脆性损失也变得多样化。在系统脆性的影响下,系统工作状态会呈现出混乱的状态,其脆性持续一段时间后会产生不同程度的危害性,甚至影响社会秩序的有序进行;网络通信系统子系统之间常会因为熵相互争夺,而使其熵值降低,从而使网络通信系统信息出现非合作博弈。此外,网络通信系统脆性也具有连锁性、延时性和整合性。网络通信系统在实际运行过程中一旦受外界干扰,其系统脆性就会随之产生逐渐崩溃,但是系统崩溃是可以延时一段时间的,毕竟系统有一定的开放性和组织性。再加上脆性是具有一定属性的,在对系统脆性进行研究时,需要全局分析。
二、网络通信系统与脆性环境之间的联系
在对网络通信系统信息脆性风险进行分析时,有必要对系统和脆性环境之间的联系进行分析。系统脆性风向与系统漏洞相似的,是风险客观存在的条件,而威胁和攻击则是风险的主观条件。不管是主管条件还是客观条件,主客观条件在时间相同条件下,其风险对整个通信系统安全是有一定破坏性的,甚至使整个通信系统处于不稳定且不安全状态中。一般系统与外部环境是有一定联系的,不仅相互影响,同时也存在一定外部规定性。也就是系统必须在特定的环境下进行,即便在环境因子不用情况下,其也会以一种特殊的方式将其组合在一起,从而进行不同的系统结构性质。但是系统实际运行过程中,会呈现一种特性甚至产生与环境相适应趋势。一旦环境发生变化,其系统涌和环境也有一定依存关系。而正是因为系统和脆性环境存在上述关系,可以将系统分为封闭式和开放式脆性系统两种。封闭式脆性系统在系统运行过程中,其与外部环境在信息和能量等方面没有相应沟通和交流的,而开放式脆性系统则与外部环境存有信息、能量及相关方面的沟通。从整体上来看,开放式脆性系统是易受脆性环境影响的,其脆性风险也相对较高。理论上封闭系统的风险性虽然低于开放性脆性系统,但是要想真正的降低系统风险并保证其安全,还需要最大限度的降低系统开放性,毕竟系统是变化的,而系统变化过程中是需要相应信息、能量及相关因素支持的。随着网络变化不断的发展,人们生产、生活对网络的依赖性越来越大,这就使得网络系统脆性安全变得越来越重要。这就需要对网络通信系统信息脆性风险进行相应分析并评估。
三、网络通信系统信息脆性风险评估
对网络通信系统脆性风险进行评估,除了了解系统信息脆性风险概况、与外部环境关系外,还应在上述内容基础上建立网络通信系统信息脆性风险结构模型,以便进一步对系统脆性风险进行评估。脆性系统受内外因的影响而易引发脆性事件。一般脆性事件是由不同因素构成的,一旦这些因素某一刻在系统上发挥作用,就可能引发一系列崩溃事件。而这一时刻内所有脆性事件构成的系统脆性事件而他将其制成脆性空间,也就是我们常说的系统脆性环境。当这些脆性事件在系统上产生作用,就会使脆性发生变化,甚至使其概率处于崩溃地步。而通信系统脆性风险结构就是在此基础上通过对脆性事件的可变性和不确定性的分析构建的。
脆性结构一般可分为脆性事件和脆性因子。脆性事件作为脆性环境的直接构成要素,其不仅具有重复性多边形,同时也具有难以预测性。而脆性因子则存在于脆性事件中,其具有隐藏性、稳定性和可预测性。因此,对脆性环境分析,可以基于脆性因子进行分析。脆性事件在某一时间内受外部环境干扰后会出现系统崩溃事件集。在实际分析中,可以通过假设空间系统n个脆性事件(I1,I2,……In),求出发生概率。正常情况下,当系统概率超过零0时,系统崩溃概率将会在0-1之间,在I1作用下,系统的脆性风险期望则为E[RI2]=Pipi,(i=1,2……,n),脆性风险则为E[RIi]=E[RIi]+…+E[RIn]。而构建这种线性叠加需要所有脆性事件来保证,但是在实际应用过程中,不同脆性事件是有多种联系的,这就加大了对具体脆性事件分析和预测难度,更无法对耦合关系进行分析和处理。在这种情况下,就应该对新对系统脆性事件进行分析,并辨别出脆性事件中存在的因子,再以不同脆性事件因子危害性为依据,对影响网络通信系统崩溃程度进行分析,以更好的得到脆性风险结果。为了使网络通信系统信息脆性风险评估更加准确,还需要对系统信息脆性熵进行进一步分析。熵作为度量脆性事件集,可以以脆性事件集空间概率形式来对平均函数进行分析。因脆性事件空间中的概率都有一定的风险,使得多有空间脆性事件都存有一定概率风险,再加上熵度量值是由脆性事件集空间概率决定的,使得熵成为整体结构的唯一决定。这样在实际应用过程中,就可以通过熵来减少脆性事件的不确定性,以降低脆性风险。
四、结束语
计算机网络通信技术不断的发展,网络通信技术向自动化、智能化水平方向发展,并被人们广泛应用在生活和社会不同领域中。而在网络通信系统运行过程中,其却常受内外环境的影响而出现网络系统信息脆性问题。因此,人们对计算机通信网络同风险越来越重视,相应网络通信系统研究人员为了更好解决上述问题,开始对网络系统信息脆性问题进行了上述研究。但随着时代的发展,网络通信系统信息脆性问题将会有新的体现,仍需要相应研究人员对网络通信系统脆性问题进行深入研究。
参考文献:
[1]陈为化,江全元,曹一家.基于风险理论的复杂 电力系统脆弱性评估[J].电网技术,2009,4
[2]薛萍,武俊峰,刘洋.网络通信系统的信息脆性结构的研究[J].计算机科学,2011,2
关键词:基层央行 风险导向审计 风险管理
一、风险导向审计和风险管理的含义
风险导向审计是建立在会计账项审计和制度基础审计基础之上的一种新的审计模式,是以被审计单位的风险评估为基础,审计人员充分了解、分析、判断被审计单位的各种风险及其风险程度,并根据量化的风险水平确定相应的审计策略,重点关注高风险点的实质性测试,进而将审计的剩余风险降低至最低水平。
早在2005年,我国内部审计协会第三批内部审计具体准则,将风险管理审计纳入内部审计准则体系中。该批准则的和实施,足见我国的内部审计已发展到了风险导向阶段。从1999年央行成立独立内审机构至今出台20多项审计制度来规范和发展内审工作,中国人民银行取得了很好的成绩,但是十几年的发展中央行一直侧重以监督者的身份来执行内部审计工作,无法高效的防范各种风险。随着人民银行职能的扩展,信息技术、电子技术应用日益广泛,金融风险不断加剧,传统账项审计和制度审计理论与方法已不能完全适应内审工作发展和需求,为改变这种状态各基层央行正积极向风险导向审计转型。
风险管理当中包括了对风险的量度、评估和应变策略。理想的风险管理,是一连串排好优先次序的过程,使当中的可以引致最大损失及最可能发生的事情优先处理、而相对风险较低的事情则押后处理。风险管理就是通过风险的识别、预测和衡量、选择有效的手段,以尽可能降低成本,有计划地处理风险,以获得企业安全生产的经济保障。这就要求企业应对可能发生的风险进行识别,预测各种风险发生后造成的消极影响,使生产能够持续进行。可见,风险的识别、风险的预测和风险的处理是风险管理的主要步骤。
对于承担着货币发行、支付清算和经理国库等金融服务职能,又承担着维护国家金融稳定职责的人民银行而言,在职责运行中同样面临着不确定性和内部业务运行的风险隐患。业务引发风险所造成的社会影响力和破坏力是极为严重的。基层央行的风险概括来说主要包括制度风险、操作风险、管理风险和道德风险四个方面。认清央行风险所在,是央行风险管理的前提和基础。
二、基层央行风险导向审计对风险管理的作用
(一)为管理者提供进行风险管理咨询服务和合理审计意见
完善的风险管理系统不仅需要建立从上而下的组织机构和人员,更需要这些专职人员积极有效的收集风险信息、进行风险评估、应对风险、监督和考核等等,高质量完成各个关键环节的工作,形成全过程管理,构建从不同级别风险管理到不同业务统一管理的管控模式和管理体系。风险导向审计的有效开展正恰好可以从高风险领域出发,针对性的提出合理审计意见,提供管理者咨询服务,从而帮助基层央行优化风险管理的内控流程,建立健全风险管理体系。
(二)强化央行风险管理意识,促进央行风险管理手段的发展
自金融危机以来,央行自身的风险管理也越来越得到大家的重视。但现实状况是其目前尚处于初步开展阶段,存在的问题主要表现在:一是对风险的认识不足,尚未形成完善的风险管理理念;二是央行尚未建立完善的风险管理体质、制度体系;三是央行风险管理的手段及方法迫切需要更新和发展。央行内部审计部门积极探索风险导向审计的研究应用,对基层央行形成更加浓烈的风险管理文化氛围起着不可磨灭的作用。同时,引进先进的风险评估模型量化央行业务风险,并在风险识别和评估方面设计了一些软件系统,将定量分析与定性分析相结合,大大促进了央行风险管理手段的发展,有利于建立健全央行的风险管理体系。
(三)大大提高监督管理的前瞻性和有效性
人民银行通过对被审计单位内控制度和风险管理状况进行分析和评价,不仅能够发现内控管理和业务操作过程中存在的问题和漏洞,更能够客观地分析问题和漏洞的产生给实现工作目标带来的影响,从而提出完善内控的措施和管理监督重点,促使被审计单位在日常监督管理中做到有的放矢,重点监控高风险业务领域和关键业务环节,突出高风险控制重点,减少盲目性,大大提高监督管理的前瞻性和有效性。
三、基层央行运用风险导向审计的途径
风险导向审计在风险管理中的运用颇多,如以风险管理为引导,制定年度审计工作计划,确定审计项目、在领导干部履职审计和离任审计中运用风险导向审计、在后续跟踪审计中运用风险导向审计等等。以审计工作开展顺序为线索,可以划分为以下风险导向审计准备、实施和出具报告三个阶段的运用。
风险管理需要识别风险,关键需要识别重大风险,而风险导向审计准备阶段刚好可以帮风险管理识别和评估风险。在风险导向审计准备阶段,考虑到风险管理的需求,在确定年度审计计划审计项目时,首先会对风险进行定性分析,识别有效风险,然后会对风险进行定量评估,确定各处室涉险业务的风险程度,将各个风险水平量化。风险管理着根据定性和定量相结合评估后的风险大小识别和控制风险。
风险导向审计实施阶段参与风险管理实际在于对各个部门开展内部控制状况的审计和评价。风险管理的基础和前提之一全面有效的内部控制。央行风险导向审计实施阶段对各个部门内部控制环境、内部控制活动、信息反馈、监督反映等内容进行审计和评价,查找疏漏。
在编制审计报告时应对风险管理状况进行评价,在报告中充分揭示风险控制中的薄弱环节和潜在风险。寻找消除风险根源的可能途径,及时提出防范风险的有效建议。尤其是对需要通过改进内部管理、健全内控制度来进行风险管理的内容提出建设性的意见;并可进一步提出全面防范或控制潜在风险的具体建议,为有效控制风险提供依据。
四、现阶段基层央行风险导向审计运用于风险管理中存在的问题
(一)风险意识淡薄,对风险导向审计认识不够
一方面,很多基层央行缺乏风险管理意识,没有积极地进行风险管理工作。其主要表现在两个方面:(1)风险管理活动往往是暂时的或间断性的,意识到了就进行管理,事后则放在一边,置之不理;(2)缺乏对风险进行定期复核和再评估,降低了央行适应环境变化、管理和规避风险的能力。另一方面,内部审计还是处于查错纠弊的合规性审计为主,在风险管理与控制的理念、制度、方法和手段等方面,还停留在一个较低的认识层次上,对风险导向审计的认识和运用远远不够。
(二)风险导向审计指引和方法不统一
目前,人民银行对风险导向审计尚未制定统一、完整、行之有效的指导意见或相关办法,风险导向审计的程序、方法、工具和模型还没有建立起来。一些支行虽然积极研究和运用风险导向审计,但是没有统一的标准而只是根据各行情况经行处理,导致标准不一,不利于风险导向审计的有效开展。
(三)数据收集困难,辅助设备落后
风险导向审计要求内审人员必须充分了解组织内外部环境和各项业务管理的控制系统,执行风险评估程序。目前人民银行虽然已建立了许多管理信息系统,但由于各系统在设计开发过程中存在限制,使得有关的基本信息难以实现共享,无法为内审部风险评估提供准确的基础信息。另外,随着形势和业务的发展,管理办法及风险状况发生了变化,内审部门未能及时跟进了解,影响了风险评估和实质性测试。
(四)内审人员缺乏开展风险导向审计所必须的能力和经验
开展风险评估和内部控制评价需要审计人员熟悉组织各项业务和管理,但目前人民银行内审人员的知识和业务比较单一,复合型人才少,缺乏对风险管理方面的专业知识和执业经验,对风险识别和判断能力不够,难以实现对人民银行风险管理、控制和治理过程进行伞面、正确的评价。
五、研究对策
(一)转变观念,提高风险管理意识
首先要求管理者、部门负责人彻底转变观念、增强风险管理意识、把风险导向审计摆在重要位置,把有效控制风险隐患作为根本目标,加强和改进内部管理,防范内部风险和责任事故,保障各类资源有效利用、各项资产安全完整以及各类业务和管理信息真实可靠,促使各项工作规范、有序、高效运行,确保基层央行依法、有效履行职责。
(二)研究风险导向审计模式,制定风险导向审计指引
要借鉴国际审计准则和其他西方发达国家开展风险导向审计的经验,制定适合我国人民银行特点的风险导向审计指引和操作程序,明确风险导向审计的目标、内容、方法和步骤。统一评价标准,指导人民银行各分支机构开展风险导向审计。
(三)注重技术和管理创新
为风险导向审计提供技术和信息支撑。一是要进一步完善网络信息系统,建立网络化信息系统资源共享机制,为人民银行上下级机构以及各部门之间进行信息交流搭建平台,保证风险信息在人民银行内部传递畅通;二是要积极推进风险管理工具的开发利用,充分运用计算机软件进行分析性测试、统计抽样和风险评估,进行风险预警,提出风险控制统计抽样和风险评估,进行风险预警,提出风险控制和防范的对策;三是要运用计算机建立风险档案资料库,储存人民银行的风险评估资料、规章制度、历次审计检查的报告以及业务运行和管理活动的相关历史资料,为内审部门开展风险评估提供基础。
(四)培养高素质的审计人员
审计师执行独立审计或提供咨询服务,专业性和技术性要求很高,客观上需要从业人员必须具备较高的业务素质。风险导向审计的实施,要求审计人员具有很高的分析问题及解决问题的能力,应用职业的判断,保持应有的谨慎和关注。为此,应该培养审计人员对影响宏观环境的把握能力,培养其统计、分析等综合能力,提高审计人员的综合素质。
参考论文:
【1】刘笑霞,李明辉.不同主体在现代企业风险管理中的作用与责任【J】审计与经济研究。2007,(4).
【2】曾蒙.我国开展风险导向审计应注意的几个问题【J】.财会月刊,2003,(8).
