时间:2023-05-26 17:33:21
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇安全风险及防范,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
[中图分类号] F490.5 [文献标识码] A
企业信息化建设的脚步越来越快,伴随着快节奏的信息化之路所产生的安全风险也越来越多。没有安全风险意识对ERP系统是极其危险的,风险发生所导致的后果一般不可逆的且没办法补救。只有提前做好风险防范才能有效抑制风险的发生,从而避免不必要的损失。本文结合计算机技术及网络技术的最新发展分析了当前ERP软件系统使用中面临的人为因素和客观因素导致的风险,并提出了具体防范建议。希望本文的研究有助于企业加强ERP软件系统使用的安全性,从而帮助企业有效发挥使用ERP软件系统的作用。
一、计算机、网络技术及ERP软件发展现状
ERP是Enterprise Resource Planning的缩写(企业资源计划),20世纪90年代随着计算机技术发展以及在企业管理中的应用而提出的概念,它是以计算机技术和管理科学为基础而最新发展而来的。随着计算机技术、网络技术的不断发展进步,管理对数据准确性及时性的要求不断提高,ERP系统也在不断发展整合,由最早的库存管理,销售管理发展到如今囊括财务管理、生产管理、库存管理、客户管理、供应链管理、销售管理、质量管理等业务相关内容的管理。当前,随着电子商务的发展,互联网的发展,ERP的框架分化为C/S结构(客户端/服务器模式)和B/S(浏览器/服务器模式)结构。管理模式的不同和框架的不同所面临的风险也各有不同,防范方法也差异很大。本文从通用角度探讨风险及防范方法,不针对个例去研究。
二、人为因素导致ERP软件系统的风险
(一)手工录入差错风险
手工录入原始数据的时候,没有严格执行审核机制,录入错误导致后面一系列的计算和分析都是建立的错误的数据之上的。由于原始数据多是手写,录入员对数据的辨识存在主观因。录入过程中也是手工录入,也存在重复录入和遗漏内容等主观因素,这些都会导致录入错误。例如数字‘3’和‘8’的书写不规范就容易混淆,还有日期格式的不同比如5.9.2013有的人认为是5月9日,有的人认为是9月5日,这样就造成认识上的误差导致数据录入错误。
(二)数据篡改风险
出于某种目的,不按着正常软件操作流程进行数据更正,直接进入原始表更改数据导致表之间的关联关系失效。这样导致整个ERP的数据计算和分析都是错误的,更严重的有可能导致表格之间校验失败整个数据库无法使用。目前ERP作为企业经营分析的主要数据依据,一些管理者或使用者出于个人目的篡改原始数据又不想留下更改痕迹(正常数据更正程序都会记录数据更改过程),以达到影响数据分析结果目。例如,某日用百货公司向ERP系统供应商反映客户储值卡无交易记录,但余额变少的情况,系统供应商在认真核查所有ERP系统后发现无操作误差,最后在核查数据库事务日志的时候发现有人用系统管理员登录数据库直接修改储值卡余额,最后根据IP锁定某操作人员通过盗取数据库管理员密码篡改数据为自己谋利侧行为。
(三)病毒导致ERP系统的安全风险
移动存储设备、不安全的网络访问及恶意的网络攻击导致病毒对ERP系统的数据安全造成风险。互联网普及带来的后果之一就是病毒传播越来越快、越来越广泛。病毒伴随着计算机系统的发展,也由最初的以恶作剧为目的发展到当前以破坏软硬件系统及盗取用户信息资料和资金为目的。由最初少数技术能力强的个人制作发展到当前的团队批量制作,病毒导致的危害性变得更深更大。ERP系统上保存的客户、供应商资料及内部数据资料都有可能成为新型病毒攻击的目标。例如,颇具争议的‘灰鸽子病毒’。2007年国内很多不太懂电脑的人通过使用‘灰鸽子病毒’盗取他人网银密码、游戏账号密码、充值网站密码为自己谋利而违法落网的案例,‘灰鸽子病毒’名义上是远程控制软件,同时又具有好多病毒特征(可配置服务器端,监视记录键盘,截取屏幕,免杀功能等等),这样的工具被不法人员所利用就成为了盗窃工具。
三、客观因素导致ERP软件系统的风险
(一)网络不稳定导致数据存储不完全带来的安全风险
随着连锁企业及集团企业对ERP系统数据的及时性要求日益提高,现在大多数ERP系统都支持互联网访问或者专线数据传输,网络的质量直接决定着ERP系统的数据的完整性。同时由于多运营商的不同接入方式导致网络的实际传输和标称相差悬殊,致使ERP系统运行速度慢甚至产生网络连接错误。由于网络不稳定导致的数据存储不完全带来的安全风险,局域网老化,互联网拥堵,VPN接入速度等等方面原因导致数据错误,最终都导致ERP系统完整性的安全风险。
(二)服务器硬件损坏导致数据存储丢失带来的安全风险
由于企业对ERP系统重要性的认识不足及投资限制问题,一般企业都是单服务器运转,很少有企业能做到双机热备。单服务器运行导致数据存储危险性加大,机房的温度控制,是否配备长效的UPS(不间断电源)等因素都对服务器存储数据至关重要。同时地震、火灾、水灾、偷盗等不可抗因素对现代化机房的威胁也不可忽视的,服务器都集中存放在机房,机房的安全隐患导致了ERP系统的安全风险。
四、ERP软件系统安全风险的防范方法
(一)人为因素导致风险的防范方法
通过加强人员管理、提高风险意识,修补漏洞以达到防范人为因素造成的安全风险。具体可以从三个方面入手。
1.建立审计校验机制可有效防范数据录入错误风险。手工录入错误可以通过提高录入员自我检查、设置必要的审计人员来避免,也可以通过在ERP系统里设置原始数据录入的合理校验机制来防范风险,适当延长原始数据保存周期及录入登记手续,做到随时可以追溯数据来源,规范手工单据书写标准(可以参考财务数据的书写标准)、统一编码(ERP系统从建立之初就建立一整套编码体系,在系统运行过程中要严格执行编码标准,防止重码、误码对ERP系统的数据统计产生的风险)、统一格式(对于日期等容易产生差错的格式性数据,统一规范格式,比如日期格式YYYY-MM-DD4位年2位月2位日前面提到日期表述应该是2013-05-09),以达到避免手工录入给ERP系统带来的安全风险。
2.加强内部控制合理分配权限可有效防范数据篡改风险。针对不正常修改表格,可以严格管控数据库管理员、ERP系统管理员权限,对于数据库密码要设置足够强度并且定期修改,以防范密码盗取。明晰各管理员的权责,让数据管理员不参与营运管理,有效避免数据管理员参与篡改数据的风险。规范各岗位使用ERP系统安全意识,操作人员离开座位时,必须退出ERP系统或者锁定ERP系统,防范他人盗用用户名修改数据。在ERP服务器端设置数据校验功能对于没有按正常修改的数据提出异常警报,并保存数据库更改记录。
3.对于病毒所带来的风险可以通过以下方法封堵。使用上网行为管理的设备分别针对不同使用人员给予不同上网权限,过滤不安全网站,封闭USB端口、不得随意使用移动存储设备,通过域来管理用户,普通用户只分配操作权限不具有安装卸载软件和更改系统设置权限,安装正版杀毒软件并及时更新病毒库,及时更新系统安全补丁,设置网络防火墙隔离互联网和局域网,对操作人员培训上网常识,不要点击不确定安全的文件,建立杀毒服务器,监视整个网络防毒杀毒情况,通过这些手段来防范病毒对ERP系统造成的安全风险。
(二)客观因素导致安全风险的防范方法
客观因素导致的安全风险可以通过优化网络运行环境,多做备份来防范风险。
1.对于web的ERP建议及时更新服务器安全补丁,封闭不使用的端口,提高管理员密码强度,强制定期更换用户密码,来保护服务器的安全。定期检查网络运行环境,防止局域网产生链路、回路;检查服务器端口承压。对于中国南电信北联通的情况,建议VPN服务器使用多运营商宽带混合接入,以保障不同用户拨入时都能有稳定的网络环境。同时协调ERP软件系统开发商做好数据的网络校验以达到防范风险目的。
2.防范ERP服务器硬件的风险,选用优质服务器,同时硬盘采取RAID磁盘阵列(RAID1或者RAID5都是廉价解决方案,也可以考虑RAID0+1模式),资金充足可以使用双服务器热备份,同时数据库设置每天自动备份,如果条件允许最好采取异地保存数据,以避免水灾火灾地震等不可抗因素对ERP系统数据的风险,控制机房温度做好通风去静电措施,配备长效UPS防止意外断电造成服务器硬件损坏,建立不可抗因素应对方案,能在发生不可抗因素对机房灾难性毁灭后及时有效的恢复ERP系统。
五、结束语
提高风险意识,加强风险管理,总结经验教训,对于ERP系统的长效稳定运行提供了有利保障。只有这样才能使ERP系统正常运行,为经营管理者提供有效、及时、准确的数据,提供决策数据依据。前述从大家容易忽略、易发生的几种风险给予大家提醒和警示,并提供了一些防范方法供企业参考。使用EPR系统的企业能由上至下树立信息安全的观念,管理层从战略高度出发建立一整套安全风险防范体系,严格执行,必然使员工在处理ERP系统业务时,能依据相关规定做到安全控制和风险防范。
[参 考 文 献]
[1]林茂.ERP软件财务会计系统安全风险防范[J].财会月刊,2010(35)
关键词 电力调度 安全防范 防范措施
众所周知,在我们使用电的过程中电力调度是极其重要的环节,电力调度能够安全进行对于提高电的安全使用系数具有至关重要的作用。为了更好地将电应用到各个行业中,尤其是人们的日常生活中,确保电力使用的安全性,我们必须首先了解并认识到电力调度安全风险以及防范措施,并且尽可能地加大对电力调度安全风险以及防范措施的资金投入力度。尽管近几年来我国在电力调度安全风险及防范措施上取得了一系列的成就,但与其他一些发达国家相比较,我国在电力调度安全风险及防范控制方面始终存在诸多问题,进而大大增加了电力使用的危险性。为了尽快改变这一现状,提高电力调度的安全性,下面将对电力调度安全风险以及防范措施作详细的介绍。
一、电力调度运行的安全风险
(一)系统因素
影响电力调度安全运行的因素比较多,其中比较常见的因素就是系统因素,系统因素对于电力调度安全运行影响比较显著。在电力调度正常运行的过程中,必须利用各种仪器设备进行操作,然后对所有的电网进行统一的控制,只有保证所有仪器设备正常运行,才能更好地确保电力调度的安全性。在运行过程中任何仪器设备出现故障,都会影响电力调度的安全运行,使得电力调度工作不能正常进行。另外,电力调度运行的过程中,如果电力调度系统本身存在问题,也会大大增加电力调度运行中出现故障的概率。
(二)人为因素
在电力调度安全运行的过程中,工作人员扮演了极其重要的角色,他们是仪器设备正常运行的操作者,所以在电力调度运行的过程中,他们的工作能力会直接影响电力调度运行的安全风险。与其他行业相比较,电力调度的各个步骤都需要工作人员进行手动操作,在运行的过程中,一旦工作人员失误使得电力调度运行在某一个环节出现了故障,都会直接影响到整个电力调度系统的安全运行,甚至会使得整个电力调度系统处于瘫痪的状态。另外,许多工作人员的责任意识比较差,在工作过程中他们不能严格按照国家规定进行操作,进而大大增加了电力调度运行中出现故障的概率。
二、提高电力调度安全防范的措施
(一)加强对于电力调度操作人员的培训力度
为了更好地提高整个电力调度安全防范,首先要不断加强对于电力调度操作人员的培训力度,进而不断提高他们的工作能力和综合素养,将提高他们的工作能力作为电力调度企业的一个重要任务,并且尽可能加大对于电力调度操作人员培训工作的资金投入力度。例如,企业应该定期对所有电力调度操作人员进行培训,在培训的过程中首先对他们的理论基础进行培训,并且聘请专业的电力调度操作技术人员对他们进行培训。在培训时首先进行理论知识的培训,让他们对所有电力调度的技能以及电路系统进行全面的认识和了解。在他们掌握理论知识的基础之后进行实践学习,如企业可以增加一些安全事故案例的学习,在案例学习完成之后要求他们根据案例进行模拟演习,并要求所有工作人员必须参与实际的演习,在演习结束以后对他们的培训成果进行检验,对于考核成绩优秀的工作人员应该给予一定的奖励。
(二)不断建立健全操作规程
一个合理完善的操作规程对于确保整个电力调度安全运行具有极其重要的作用,因此为了降低电力调度运行风险,各个电力企业必须要尽快发现企业操作规程存在的问题,然后尽快建立健全操作规程。另外,操作规程是整个电力行业工作过程中不可或缺的一部分,并且一个合理完善的操作规程还可以更好地约束所有电力调度操作人员的工作行为。例如,对于电力企业而言,首先应该结合目前电力调度行业的发展趋势,了解企业电力调度操作规程存在的问题,然后及时修改落后的操作规程,并不断更新、完善操作规程。另外,对于一些因为新技术增加的操作规程,企业应该尽快补充,使得电力调度操作规程能够始终M足电力行业的发展需求。另外,企业还应该将操作规程展示在显眼的地方,使得所有电力调度操作人员可以随时了解操作规程。最后,电力企业还应该不断引进其他优秀企业的电力调度操作规程,并结合自身企业的发展情况对已有的操作规程进行适当的改革和创新。
(三)定期检查电力调度设施
为了更好地确保所有电力调度仪器设备正常运行,尽可能降低电力调度运行过程中的安全风险,各个电力企业必须要定期检查所有电力调度设施。例如,电力企业应该成立专门的电力调度仪器设备检查小组,然后要求各个检查小组必须要定期对所有的仪器设备进行认真的检查,在检查过程中,一旦发现仪器设备不能正常运行必须要及时进行维修,确保所有仪器设备的安全性。而对于一些完全无法使用的仪器设备必须及时进行更换。另外,在检查过程中一旦发现任何的故障问题必须立即向企业汇报。最后,企业还应该对这些检查人员进行培训,使得他们可以更好地了解并掌握所有与电力调度仪器设备检查有关的基础理论知识,并且不断提高他们的工作能力。
三、结语
随着我国社会和经济的不断发展,我国电力系统的规模也在不断扩大。电力调度在电力系统正常运行中发挥着重要的作用,但是,在电力调度实际工作过程中还存在很多问题,如安全管理机制不到位、操作人员综合素质低等,都增加了电力调度的风险。因此,企业应该有针对性地提出解决措施,不断提升电力调度工作人员的综合素质,依靠先进的科学技术,提高电力调度的自动化、信息化水平,促进我国电力行业快速发展。
(作者单位为国网福建永春供电公司)
参考文献
安全性评价与安全风险管理之间是紧密联系的。两者目的是一致的,都是以系统安全工程理论方法为指导,实施自下而上与自上而下相结合的基于风险辨识、风险评估、风险控制的闭环过程管理(实现“安全第一,预防为主,综合治理”。《国家电网公司安全风险管理体系实施指导意见》中,明确指出“企业安全风险管理的基础是企业安全风险评估、供电企业安全性评价、发电厂安全性评价等”。可以说安全性评价是安全风险管理的重要内容,是实现安全风险管理的一项具体手段。
供电企业安全性评价针对供电企业生产设备、劳动作业和作业环境以及安全生产管理三个方面可能引发的危险因素,以防止人身事故、特大和重大设备(电网)事故及频发事故为重点,采用危险评估的方法进行查评诊断。供电企业安全风险评估规范以防止人身伤害和人为责任事故为主线,评估企业安全管理和安全控制状况,评判企业安全风险程度。从安全风险管理应用对象和方法来说,安全性评价更多地针对电网结构、输变电设备、二次系统等“物的不安全状态”实施评估分析和控制,而安全风险管理是以“人的不安全行为”为重点,实施评估分析和控制。
安全事故的发生,归根结底是由于人的不安全行为、物的不安全状态、环境的不安全因素所致,这些因素的存在就是安全风险、就是事故隐患。安全管理的目的就是要分析、辨识和控制这些隐患和风险,最大限度地减少风险失控导致事故发生。实施安全风险管理,建立风险预控机制,是建立安全生产长效机制、规避和化解安全事故风险、提升企业安全工作水平的根本途径。
2开展安全风险管理应做好以下几个方面的工作
应做好教育培训。教育培训是风险管理体系建设的基础工作和重要内容。通过培训使各级人员特别是领导干部弄懂学会风险管理的基本知识,理解风险管理的意义、作用、内容和流程,提高自身安全风险分析和识别能力。
应开展作业风险辨识。以防控人身触电、高空坠落、物体打击、机械伤害和误操作等典型事故风险为重点,组织开展输电、变电、配电和调度等专业领域典型作业项目的危险因素边式,通过建立静态风险数据库、典型作业风险辨识范本库和编制标准化监督检查表,落实风险控制措施。
静态风险识别是指设备及工具材料、工况环境方面的危险因素,一般变动不太频繁,相对于人的作业行为而言是静态的,可以进行系统的辨识,并建立风险库进行动态维护,此风险库的建立,为具体作业前辨识作业环境、机具与防护存在的风险提供基础资料。
态风险库”框架。输配电检修、运行按每条线路建立“设备与环境风险库”;变电检修、运行按照每座变电站、每个设备间隔分专业建立;工器机具、防护设施按照保管单位建立。
识典型作业风险辨识范本库。辨识范本是反映各专业某项作业涵盖作业准备及作业过程可能存在的所有危险因素及其对应典型控制措施的文本,采用表格形式。作业风险辨识项目和辨识内容分公共部分和作业部分,公共部分主要辨识人员素质、作业组织、工期因素、气象条件等方面存在的危害因素,制订典型控制措施;作业部分以作业流程为主线,辨识作业中各流程存在的危害因素,制订典型控制措施。
编制现场标准化安全监督检查表。现场标准化安全监督检查表主要针对现场作业管理、防止各种事故发生控制措施的落实情况进行检查。作业现场标准化安全监督检查表的运用,为管理人员开展作业现场标准化的安全监督检查提供基础资料,减小不同人员检查效果的差异。
应开展风险评估、预警及干预,改进风险管理工作。
“风险评估”是对企业整体、局部的风险程度做定量或者定性的估测,评价风险等级,确定可接受的风险等级标准,为持续改进提供科学依据。
3安全生产风险管理在作业现场中的运用年,奎屯电业局按照新疆电力公司的工作思路,成立了安全风险管理工作组织,制定了安全风险管理总体方案和工作计划,将作业控制作为开展安全风险管理的切入点,以作业现场为核心,针对作业过程中人身事故和人员责任事故风险,深入开展作业安全风险辨识和防范工作。以防控人身触电、高空坠落、物体打击、机械伤害和误操作等典型事故风险为重点,使风险控制工作与已执行的“两票”、标准化作业指导书、安全、施工方案等各种风险控制手段有机结合,按照“突出现场作业、强化班组应用”的原则,在变电检修、变电运行、输电检修、输电运行、配电检修、配电运行个专业开展了安全生产风险管理工作。
稳步推进风险管理工作。奎屯电业局通过召开次安全风险管理工作推进会及次风险管理系统培训,各单位、工区利于安全日活动或召开安全风险专题会,组织本工区、班组员工对辨识手册进行培训,通过各级培训,使各级员工正确处理好风险管理与现有危险点分析、标准化作业、安全性评价等之间的关系,结合日常安全工作,学会自觉运用风险管理的方法,达到发现危害、控制风险、预防事故、保障安全的目的;个专业建立了静态风险库、典型作业风险辨识范本库和标准化监督检查表库。每次工作选取典型作业风险辨识范本中典型控制措施,调用相应的静态风险数据库控制措施,对措施措施明确责任人和控制时段,形成作业风险分析表。对风险数据库未形成或某项静态风险存在尚不清楚时,通过补充现场勘察等手段进行辨识,采取控制措施进行补充。根据“作业风险分析及控制表”中的控制时段要求,各责任人在开工前一天落实完成准备阶段的控制措施;标准化安全监督检查表与现场作业息息相关,按照各级领导干部和管理人员作业现场到岗到位管理规定的要求,针对到位监督的作业项目,到位人员对照“标准化安全监督检查表”进行监督检查,并记录监督情况。通过对每个作业项目不断积累经验,动态维护,推动安全监督工作。
整合常规安全管理工作。风险管理是在安全性评价和危险点分析预控基础上的拓展、改进和整合。奎屯电业局在开展风险管理工作同时,结合“三个不发生”百日安全活动、反违章斗争、隐患排查及安全大检查活动,把具体要求融入日常管理和监督工作中,通过自查、专项检查,不断总结持续改进;将风险管理和标准化体系管理结合起来,结合该局安全生产规章制度完善不断细化风险管理规范,学结风险管理先进经验,提高风险管理水平。#p#分页标题#e#
开展风险管理必须结合生产一线实际。只有与生产实际、一线实际相结合,将安全科学理论与生产实践、经验教训相结合,才能够发挥应有的作用,解决生产过程中遇到的安全问题,取得实效。在编制辨识范本和进行风险评估的过程中,应始终坚持理论联系实际,注重采纳一线管理者和生产者的意见、建议,吸取以往事故案例的宝贵经验教训,注重作业现场和过程管理与作业方式、事故类型等实际情况相结合。
开展风险管理必须注重实用、简便、高效。复杂繁琐的过程和方法,不但不会有助于安全工作,反而在一定程度上会起到相反的作用,甚至走向形式主义的极端。在开展风险管理试点工作中,把设备自身健康交由生产保证体系完成,安全监督体系则集中精力做好人身安全防范;提供参考标准,避免由于工作负责人业务水平不高、现场经验不足或工作疏忽而造成的重要危险因素遗漏、控制措施不到位;开发运用系统软件取代传统的现场书面化勾打分,始终强调作业前风险评估的结果,即重要危险点的控制措施落到实处并加以监控。
开展风险管理必须加强责任制建设。风险评估和检查只是风险管理的手段,发现的安全隐患只有及时整改或控制,才能达到确保安全的最终目标。风险管理要成为一个体系并长期运作,除了要求领导高度重视外,对流程各个节点的责任确定也十分重要。这些节点上的有关人员对待风险管理工作的积极性将直接决定该项工作的成败。对这些人员而言,风险管理工作的推广不仅有可能增加其工作量,而且还在一定程度上会改变他们习以为常的工作方法,因而,必须明确他们相应的责任要求和考核要求。
【关键词】会计信息化 意义 风险 特性 防范 对策
一、会计信息化的背景和意义
从 1979 年开始,财政部和第一机械工业部拨款500 万元,用于长春第一制造厂进行计算机辅助会计核算开始,我国会计信息化的发展已经走过了 30 多年的历程,IT成为常规性资源被企业广泛应用。随着经济的发展,竞争的加剧,在全球网络化的环境中,国内外的会计管理软件公司也纷纷推出基于互联网的会计信息系统,即现代会计信息系统。原来封闭的局域网会计信息系统被推上开放的互联网世界后,真正实现了业务与财务的集成、核算和管理的集成,为企业带来了前所未有的会计与业务一体化处理和实时监管的优越性。因此,对会计信息系统进行风险分析以及防范和控制风险,是当前急需解决的问题。本文的研究适应当前风险控制的发展,具有积极的意义,主要体现在以下几个方面:
(一)为企业构建简单有效的风险管理体系 。
随着信息时代的进一步发展,会计信息系统的风险问题日益突出,如何管理和控制会计信息系统风险是企业所必需面临的问题。仅仅依靠内部控制无法有效管理和控制风险。本文在对会计信息系统风险因素分析的基础上,通过构建适合我国企业的风险管理模式,来降低企业会计信息系统风险,使会计信息系统充分发挥其降低成本,提高效率的作用。
(二)为企业构建风险控制体系提供实施建议。
本文借鉴、COSO 的 ERM 和 COBIT 理论,通过对会计信息系统风险相关理论的梳理,提出自己的控制和管理思路,构建适合我国企业风险控制体系,进一步结合企业的特点和发展定位,为企业风险管理提供建议。
(三)为会计信息系统风险控制的效果评价提供了新的方法。
风险的控制对企业来说,极为重要,它为企业充分发挥信息系统的作用,从而提高企业效率,在激烈竞争中获胜提供了保障。但其实施的效果至今没有一个统一的标准。本文设计的“风险控制标准体系”可能为投资者评价上市公司、相关机构评价不同企业风险控制水平提供较为客观的量化依据
计算机及网络环境的发展,赋予了会计信息系统新的活力,使得会计信息系统具有了新的属性。会计信息系统风险是指在会计信息化投资和实施过程中,由于各种不确定、不可控因素的作用和各种风险性的存在,使得无法实现或达到预期结果的可能性,这种可能性的大小将直接影响财务人员的形象,甚至整个企业的命运。通过对会计信息系统风险的研究,可以激发财务人员的风险意识,强化会计信息化安全观念,可以全部或部分暴露一些问题并加以防范。会计信息系统具有以下风险特性:
(一)隐蔽性强 。会计信息系统风险的隐蔽性主要表现在以下几方面:
1.舞弊的手段更具隐蔽性。通过使用计算机及通讯设施等高技术工具,作案人不用亲自到现场就可以完成犯罪活动。
2.系统受到侵害后,不易被发现。由于所有的数据和程序都足以电子文件存储,数据史件受到篡改后可以不留下任何像手工业务处理下的笔迹、涂改,伪造之类的痕迹,同时由于数据存储在磁盘、光盘,胶片之类的信息媒体上,人的肉限无法直接识剐,因此,即使数据文件的内容已经有非法更改,程序已经有变化,操作者也难以发现,同时,操作者通过计算机读出的信息与媒体上存储的信息并不完全等同,即存在着输出的数据是正确的,而数据文件中存储的数据有问题的可能,使错弊难以被发现。
3.错误和舞弊人员不易被发现。无论是系统的合法用户还是非法破坏者,由于手段的隐蔽、作案后留下的线索和痕迹较少、系统内外部人员相互勾结以及远程破坏等原因都使系统安全遭到破坏后难以及时发现错弊者。
(二)风险损失及后果严重。
1.由于难以及时发现,错弊可以反复多次出现而不被察觉,一旦发现,已经损失巨大。
2.由于计算机病毒、黑客等不仅威胁数据甚至破坏程序、硬件系统等,可以造成单位计算机系统的瘫痪,系统难以恢复,从而导致数据丢失或系统无法进行正常业务处理,造成损害。
3.如果企业经营决策信息、技术机密,其他保密数据等重要信息被泄露的话,其损失和影响将难以计量;此外,由于水灾、火灾、地震等破坏性自然灾害造成计算机系统破坏,数据丢失,其后果严重。
(三)舞弊手段和方法先进。
网络环境下,由于各种信息都存储在非纸质媒体上,除非直接窃取或破坏有关媒体(如盗窃存放数据、程序、重要资料的软盘、撕毁原始凭证等),舞弊基本上都利用计算机、通讯设施等现代化工具通过修改软件、非法接入硬件、破坏传输系统、释放病毒、黑客袭击等隐蔽的方法和手段达到非法目的。比如,在网上设置陷阱,在用户不知不觉中截获用户密码,然后以合法身份进入系统进行非法操作等。
三、电算化会计信息系统的安全风险分析
(一)硬件固素所导致的风险分析。
电算化会计信息系统的可靠和稳定工作,必须依赖于计算机的正常运行,一旦计算机硬件系统(计算机机器及其辅助设备)遭到破坏或者是出现故障,将会导致电算化会计信息系统处理信息的失误或中断。与此同时.由于大量原始和处理后的会计信息都存储于光盘和磁盘等磁性介质上。一旦磁性介质受到湿度、温度或者是人为破坏,都将可能导致大量会计信息的丢失和难以恢复。这将给使用单位带来巨大的损失。
(二)软件因素所导致的风险分析。
作为支持和控制计算机进行财务核算的关键部分,财务软件的性能将直接影响到财务信息处理的效率和准确性,决定会计数据是否能够得到及时、合法和正确的处理。在这种背景下,一旦财务软件的性能和质量出现问题,或者是与其他应用软件存在冲突,都将严重影响到财务数据处理的速度和真实,并且危及到电算化会计信息系统的安全。
(三)工作环境和病毒所导致西风险分析。
电算化会计信息系统对工作环境要求较高,因此需要定期检查计算机的防水、防火、防震、防盗和清洁等措施是否到位,这样才能确保电算化会计信息系统能够有一个安全的工作环境。
四、网络环境下会计信息系统内部控制的风险防范对策
(一)评估风险。
利用信息资源进行风险控制。对于内部控制的研究不可能脱离其赖以存在的环境及企业内外部各种风险因素,因此必须全面评估和识别网络环境下会计信息系统可能存在的各种风险。建立新型的风险控制体系,制定相应的控制程序,有效规避或降低这些新的风险。借助于网络信息技术.利用信息资源,及时地将金融市场、资本市场、行业动态、供应商信息、客户信息等进行收集、整理,通过计算机的模型模拟,进行敏感性分析,投资融资决策分析,进行风险控制。
(二)加强信息流动与沟通。
增强企业的内部控制设立良好的内部控制活动。内部控制活动是针对组织目标而采取的必要防范措施。内部控制活动包括:批准程序、授权、审核、保障资产安全以及职务分工等多种活动。网络环境下,企业的内部控制活动包括政策和程序两个要素。政策是程序的基础,程序是政策的实现。政策和程序均应该前后一贯地、彻底地加以执行。增强内部控制系统的预防。有效的内部控制制度需要预防性的、检查性的和纠正性的控制。网络信息技术为支持决策和改善业务与信息转化过程提供了战略机会,也提供了预防检查和纠正错误的机会。有效利用网络信息技术可以建立多层次的安全控制体系。其技术包括:网络安全协议、数据传输控制、防病毒控制等。利用网络信息技术,将安全控制嵌入到会计信息系统中设置关键控制点,制定相应的控制手段,从传统的发现问题、事后补救的做法发展为做到事前预防和事中控制。
(三)加强风险防范意识。
加强风险防范意识,建立风险防范的预警机制。针对可能出现的技术风险和控制风险,建立风险预警指标,及时发现和评价所出现的风险。同时建立风险处理的快速反应部门,帮助企业迅速地对事故及故障做出反应,将其损害降到最小,并通过对已出现的风险进行分析,达到进一步防范风险的作用。要确保内部控制制度被切实地执行且执行效果良好,内部控制能够随时适应新情况等,内部控制就必须被监督。利用互联网对整个会计信息系统进行实时监督,网络实时监控和电子监视系统可以强化网络环境下的监督功能,解决网络环境会计信息系统内部控制出现的新问题。
(四)建立完善、高效的审计信息化系统和审计操作平台。
在网络环境下,企业的内部控制重点变成了人及其处理的业务、人机交互处理过程、计算机系统业务处理过程和不同系统之同信息的传递过程。只有对会计信息系统的内部控制实施审计,才能了解内部控制运行状况并由此确定改进措施。信息化环境下的审计从单一的静态审计转立力静态审计与动态审计相结合,从单一的现场审计转变为现场审计与远程审计、非现场审计相结合。通过对会计信息系统内部控制全过程的审查、监督与评价,发现薄弱环节和存在的问题,帮助企业建章立制、完善内部控制,防范风险。
(五)在思想上重新认识网络金融犯罪的极大危害。
为什么以往的惩罚力度不够呢?我认为一个根本原因是我们没有真正认识到网络金融犯罪的极大危害性,我们首先应该从思想上提升对网络犯罪,特别是与会计、金融领域相关的网络犯罪的认识。因为经济基础是一个社会物质基础的主要组成部分,而金融与经济是密不可分的,从某种角度说,它是经济的表现形式,也是经济活动的重要手段。如果干扰,甚至控制了一个部门的金融业务,可以说就基本控制了该部门的主要经济活动。在当今的网络时代:以互联网为主要载体及手段的发展趋势是必然的,因此,针对金融领域的网络犯罪是一种危害程度极为严重的犯罪。在战争年代,内奸是万恶之源;那么在和平年代,利用网络进行的金融犯罪则是轻则可以毁灭一个企业,重则可以动摇一个国家经济基础的犯罪行为。因此,必须予以极为严厉的惩罚,否则网络金融业务的安全就无从谈起,整个国家的金融及至经济秩序也无从谈起。只有从思想上、理念上真正认识到网络金融犯罪对国民经济的极大危害性,才可能从立法、执法、监督上有所行动,真正建立起有威力的企业内外部法律关联方的风险防范体系。
(六)针对网络金融犯罪的特点,不断完善、修正我们的相关法律法规。
随着互联网技术的日新月异,各种网络犯罪手段也在不断更新,许多旧的法律法规并不能明确的起到惩戒、威慑新的犯罪行为的作用。因此,我们不仅要从新的高度来立法、规范,还要在执法、执法等各环节上不断的与时俱进,深入研究最新的网络金融犯罪特征,才能完善已有的制度,制定出新的制度,真正起到法律关联方的威慑作用。
结束语
总之,安全风险关系到会计信息系统的是否正常运行.对于会计信息系统安全风险的防范,不仅要在硬件、软件和管理上加以重视和改善,更要上升到企业领导自身的意识身上。只有
企业商层领导加大重视,提高系统从业人员的职业素质和道德修养.建立健全各项管理制度和章程,并做到严格自觉按制度操作和执行,严格遵守规章制度和操作规程,才能减少实际工作中的差错,降低系统面临的安全风险。最后还要注重人才和知识,积极培养知识全面的网络系统管理人员,不断提高系统管理人员的技术水平.加强业务创新和管理创新,才能从根本上提高系统安全风险防范能力,来更好地迎接信息化时代。
参考文献:
[1]扬鸿海.网络环境下会计信息系统的内部控制[J].财会研究,2005,(5).
[2]许永斌.基于互联网的会计信息控制[J].会计研究,2005,(8).
[3]甄阜铭.网络环境下会计信息系统内部控制的探讨[J].财会通讯,2006,(5).
[4]王海林.试论会计电算化系统的安全风险和防范策略[J].商业研充,2006,(5).
关键词:网上银行安全性 网上银行安全风险 网上银行防范措施
网上银行是在互联网普及的社会大背景下产生的一种新型银行运营模式,因其高效性、便捷性、安全性受到了银行新老客户的青睐。网上银行的快速发展则需要其安全性的保障,网上银行安全性对我国经济发展有着重要意义。
一、网上银行基本概况及特点
20世纪90年代中期,随着因特网的普及应用,商业银行开始了网络服务方式并且得以快速发展壮大,银行经营方式也随之发生了巨大变化,至今已成为商业银行发展过程中不可或缺的一部分。我国网上银行的发展始于1997年,招商银行率先推出网上银行,随后中国工商银行、中国建设银行、交通银行、中国银行等也纷纷开通网上服务业务,自此网上银行在我国发展开来。网上银行不仅提供开户、销户、转账、网上证券、投资理财等传统银行业务,还产生了新的金融服务项目;包括电子商务的相关业务和企业银行为首的新型金融创新业务等。
与传统银行相比,网上银行的突出特点主要表现在交易时间短、交易成本低、交易灵活性强、客户群体更加广泛等,但其中最重要的特点就是它的快捷便利。其他方面则包括:
1.3A服务:即不受时间、空间限制,能实现随时(Anytime)、随地(Anywhere)、用任何方式(Anyhow)的网上支付功能
2.有效的结合了当前蓬勃发展的电子商务
为电子商务中的在线电子支付和转账等提供技术支持。例如,类似淘宝的商户对客户(B2C)模式购物,而且支持类似阿里巴巴的商户对商户(B2B)模式的网上采购等业务。
3.金融服务和管理的电子化,数字化
传统银行柜台业务办理所需的各种票据、票证、账单、交易记录等全面电子化,手写签名也实现了数字化签名。
二、 网上银行存在的安全风险
网上银行作为实体银行的一种虚拟服务方式,具有高技术性、瞬时性和开放性等特点,这导致其运营风险的增加和安全性能的降低。另外,现有的技术水平和立法制度也不尽完善,这些缺陷都导致了网上银行安全问题的日益严重。
1.银行网站中存在的安全风险
网上银行内部系统的不完善,使得监督和管理系统未能充分发挥其作用,由此导致银行内部风险的产生。最常见的内部风险包括:
(1) 由于技术人员的工作失误造成系统运行出现故障。
(2) 工作人员违法相关的法律规定,利用客户的账户进行违规投资,再出现风险之后将风险转嫁到客户身上。
(3)内部人员管理系统的不完善,各部门之间权利义务不清晰的现象,从而产生了内部操作风险。
2.用户安全防范意识较低
其主要表现是过于轻信别人,导致自己的账户用户名以及密码的泄露。一些违法乱纪份子,通过短信、电话或者是邮件等多种方式,利用现阶段网上银行使用普遍的现状,通常会谎称自己是银行工作人员或者国家监管部门工作人员,并告诉客户客户中奖或者是由于各种原因导致客户的资金被冻结,进而诱骗客户提供出自己的卡号以及密码,对客户的资金进行窃取。而且由于客户的防范意识低以及诈骗手法多种多样,导致客户上当受骗的现象经常发生。
3.客户端具有一定的安全隐含
造成客户端存在安全银行的问题主要是由于客户端系统本山可能存在漏洞以及用户使用习惯这两方面的原因,如果客户端系统在开发设计上存在着安全隐患,那就容易造成信息的泄露。此外,如果客户在使用客户端时,不够注意在网吧或者公用计算机上进行操作,则会使得数字证书等重要信息泄露 。
4.密码设置中存在的安全风险
密码设置过于简单,容易破解或不注意保密。这也给不法分子破解账号、密码提供了方便。
5.网络通讯的安全性
因为互联网的开放性,客户在网上传输的敏感信息 (如密码、交易指令等 )在通讯过程中存在被截获、被破译、被篡改的可能。
三、针对网上银行安全风险的防范措施
1.用户自身采取的安全措施
(1)下载安全防护软件。一般来说,系统自带的保护软件不能解决所有的网络安全问题,因此客户需要下载额外的安全防护软件,以此来保护个人网络信息。
(2)注意保护重要的私人信息。①确认网银运行的网站是安全的,警惕钓鱼网站。②在网络中传输敏感信息时,要注意加密保护。③不要在公共电脑上使用或存储个人网上信息。
(3)选择可信赖的交易网站。用户在进行网上交易的时候,应选择可信赖的或比较大型网站,以保证交易环境的安全性以及交易对象的真实性。
(4)设置安全的密码。一个安全有效的密码应该是比较长并且包含数字以外的其他字符或符号。另外,把个人账号和密码写下来或存储在电脑里也是不可取的。
(5)从正规网站下载应用程序。尽量避免在不熟悉的网站上下载电脑程序,因为这些下载程序上有可能保定了木马病毒或恶意插件;另外,不要随意打开网站自动跳出不知名的网站链接或附件。
(6)定期查询网银交易记录。网银用户定期查看“历史交易明细”、定期打印网上银行业务对账单,如发现异常交易或账务差错,立即与银行联系,避免损失。
2.银行采取的安全防范措施
为了更好地服务广大客户,保护网上用户的个人信息安全,银行机构采取了以下几种防范措施:
(1)网银系统安全性测试。网银系统属于应用系统,对于应用系统而言,安全性能测试是十分重要的一个环节。
(2)加强对银行内部业务工作人员的培训与监管。对业务人员进行严格培训,使其具备良好的职业道德。同时,规范系统的操作和管理权限,明确分工,设置合理的权限和职责。
(3)提供安全的网络交易环境。为保证网银交易环境的安全性,银行需定期进行技术升级。包括:①设立防火墙,分隔互联网与交易服务器以及交易服务器②高安全级的 Web应用服务器。
(4)手机动态密码。当客户登录网上银行时,系统将向客户绑定的手机发送一次性动态密码,客户在规定时间内输入此密码完成第二重验证,保证了登录系统的安全性。
(5)动态软键盘。动态软键盘可以有效地避免用户密码在输入过程中被检测,而且由于数字是成动态显示的,每次登录时数字在软键盘上的位置显示位置不同,因此可以有效的避免密码被记录窃取。
(6)动态口令卡。使用动态口令卡,实现了网上银行登陆的三重防护,只有正确的输入银行卡卡号、用户密码以及口令卡密码,才能登陆网上银行,因此随机变化的动态口令卡可以有效的保护客户的资金安全。
(7)USB Key 证书。USBKey是一种先进的网上银行数字签名工具,通过USB Key 证书这一专用性的U盘,将网银证书存入其中,而且无法向其中存入其他信息,因此既不会携带传播病毒,同时也可以确保客户账户的安全可靠。此外,由于这种专用性的U盘中的东西无法向外拷贝,因此能够有效的避免木马程序对于用户信息的窃取。
【关键词】云计算;数据安全;风险防范
前言
云计算,英文全称cloud computing,是一种以互联网为载体的IT服务,是继二十世纪八十年代大型计算机向服务器这一重大变革之后的又一举世瞩目的重大转变。现阶段,云计算技术已得到系统化发展,广泛应用到数字图书馆领域,并逐渐改变着数字图书馆的运行方式与服务理念,但在发展的同时云计算所带来的数据安全问题也不容忽视,云计算在安全管理方面还有待加强。
一、使用云计算所带来的安全问题
现阶段,使用云计算所带来的安全问题已受到全社会的广泛重视,大致可以将云计算的安全问题划分为以下层次:物理层,针对本地资源的网络数据安全风险;核心层,包括分布式管理缺陷、技术缺失等;网络通信服务层,包括通信安全与网络风险等;数据存储层,设计网络数据的完整性与私密性;计算层,针对计算过程中的相互影响;开发平台,包括平台的设计漏洞和可靠性等;软件层,涉及软件方面的相关漏洞[1]。
二、云计算所涉及的数据安全风险
(一)云计算的数据传输风险
云计算是一种对网络极度依赖的模式,网络中任何的失误或微小不足,都可能对云计算产生负面影响,给系统的网络数据安全带来威胁,而硬件系统也有可能产生数据信息泄漏的现象,虽然云计算系统看起来比较完善,但缺陷一旦产生,就会造成网络数据的安全风险。
(二)云计算的数据储存风险
数字图书馆在应用云计算的过程中,绝大多数重要的数据资源都储存于云端,在云端中,这些重要数据会被集中管理,实时监控,尽可能的保证数据的安全性。然而,云计算中的系统相当庞杂,很多时候很出现数据存储不完全、无法保证信息安全的现象。
(三)云计算的数据使用风险
云计算使当今社会的数据使用更加方便,但相应的,数据的非法访问风险也会随之增加。很多数字图书馆将自身的一些重要数据委托给云计算,但一些云服务商会利用制度上的漏洞非法使用这些数据,造成云计算服务的可信度降低,加大了数据的使用风险[2]。
(四)云计算的数据泄漏风险
云计算方式与传统系统最大的差别在于第三方管理的介入,在云系统接受数字图书馆委托数据时,便对数据有了控制权利,这就很容易造成数据保密性与完整性的缺乏。现阶段的云计算虽然有一定的安全措施,但仍然不够完善,还是会出现数据安全风险。
(五)云计算的云终端安全风险
云终端是云系统中非常重要的组成部分,为用户提供了一个获取云资源的平台,而云终端的安全性,也是云系统需要重视的主要方面。随着科技的发展,智能手机、平板电脑等智能终端越来越多,终端中的问题也层出不穷,极大的威胁着云终端的安全性。
三、解决云计算数据安全风险的措施
(一)建立起一套系统完善的云服务制度
想要云系统健康全面的应用,建立一套完善的云服务制度是非常有必要的。纵观欧美等发达国家,信息安全的制度都相当完善,在云系统中,也应该借鉴这些经验,利用我国的政府相关职能,建立起一套系统完善的云服务制度,以解决当前的云计算数据安全风险问题。
(二)利用科学的云安全技术
现阶段我国的云计算数据安全风险问题主要是因为云计算技术上的缺陷造成的,因此,要从根本上解决云计算数据安全风险问题,就要在云安全技术上加大投入力度,运用最先进的云安全技术手段,修复云系统中的安全漏洞,保证云系统的数据安全[3]。
(三)配置有效的云基础设施
云基础设施是实现云计算的基本条件,在未来发展中,云基础设施将会是整个云系统中的核心装置,因此,配置有效的云基础设施非常重要。在配置云基础设施时,不仅要符合数字图书馆未来的发展需要,还要装置强大的安全保障系统,阻挡恶意侵害系统的安全威胁,保障用户的信息安全。
(四)构建合理的云安全监控系统
云安全的监控系统也是云系统中比较重要的部分,它负责收集云服务中的各种信息,对非法闯入者或试图非法控制系统者会有及时的报警机制,以避免云系统中的数据遭到破坏。因此,在云系统中设置云安全监控系统非常重要,在设置云安全监控系统时,事前、事中与事后三个阶段的控制都不能忽视,才能有效保证数字图书馆的数据安全。
(五)设置完善的云安全评价机制
云安全评价是对云系统的安全性进行评估的机制,主要通过客户的反馈信息对云服务做出评价,为云系统的进一步完善提供理论依据,云系统的内部构成相当复杂,因此,需要多种评价方法共同操作,才能获得最佳的评价效果。
四、总结
云计算对数字图书馆的未来发展有非常重大的作用,而数字图书馆为云计算的进一步普及提供了一个良好的发展平台,在未来发展中,要加大对数字安全风险的管理,努力早日构建出一套系统完善的云系统管理体系,以促进云计算和数字图书馆的共同发展。
参考文献
[1]房秉毅,张云勇,吴俊,徐雷.云计算应用模式下移动互联网安全问题浅析[J].电信科学,2012,09(14):129-130.
关键词:网络财务;信息安全;防范措施
中图分类号:F23 文献标识码:A
收录日期:2011年12月21日
一、网络财务信息安全面临的主要风险
网络财务是信息技术在财务领域的具体应用,其信息安全风险来源于信息技术的一般风险和财务数据的特定风险,主要表现在以下几个方面:
1、硬件系统风险。任何计算机软件都必须通过硬件来运行,硬件是软件的承载体。硬件系统发生故障时,将会导致网络系统瘫痪,软件无法运行,业务处理停滞,给网络财务使用者造成很大损失。如果硬件中的存储系统发生严重损坏,所有数据将会面临全部丢失的风险,给财务工作带来灾难性后果。
2、软件系统风险。网络财务软件的正常运行,除需要硬件系统保障外,还需要操作系统、中间件和数据库等软件的支撑,这些软件系统是否存在漏洞,技术上是否成熟,运行是否稳定,直接影响财务信息安全程度和网络财务软件运行效率。
3、数据存储风险。在网络财务环境下,财务信息存储介质发生变化,由纸质转化为磁介质,所有财务数据以电子格式存储于服务器端,财务数据更易容丢失、被盗和损坏。此外,随着网络财务软件的应用,财务数据量不断增多,存储设备还面临着容量不够的风险。
4、信息传递风险。网络财务运行过程中,财务信息需要借助计算机网络在客户端和服务器端之间不断地进行数据传递和交换,并且这种数据传递和交换都是以广播的形式进行。理论上,任何联网计算机都有可能获取网络资源,窃听网络信息,这就大大增加了财务信息被截取、泄露、篡改的风险。
5、病毒破坏风险。随着网络迅速发展,计算机病毒的破坏能力不断提高,破坏范围不断扩大,并且呈现出了传播速度快、自我复制强、难以防范的特点,给财务信息安全造成了极大的威胁。
6、非法入侵风险。在网络环境中,任何联网计算机在理论上都是可以被访问到的,除非它们在物理上断开链接。一些人可能出于各种目的,利用黑客程序,破坏网络系统,进行黑客攻击。而且,黑客攻击比病毒破坏更具目的性和破坏性。
7、人员责任风险。计算机管理制度不健全,管理人员技术不精或者责任心不强;防范措施不严格,对网络系统未进行必要的安全配置和管理,对网络信息缺乏严密的监控;财务系统用户不注意口令保护,口令密码设置简单或长期不更改,致使别有用心的入侵者轻易冒充合法用户进入系统,窃取、篡改、破坏数据。
二、网络财务信息安全风险防范措施
网络财务信息安全风险防范是一项系统工程,需要财务和信息部门密切配合,通力协作,采取防范措施,增强系统抵御风险的能力,确保网络财务信息安全。
1、强化网络安全意识。加强网络信息安全重要性宣传和教育,使全体员工尤其是财务和信息部门人员在思想上时刻树立网络安全意识,深刻认识网络安全对于财务工作的极端重要性,自觉维护良好的网络安全环境,抵制一切影响网络安全的行为。
2、加强网络安全技术防范。网络安全技术防范是指综合运用防火墙、数据加密、数字签名和安全协议等专业技术对整个财务网络系统采取全方位的安全防范措施,建立多层次的网络安全体系,提高网络安全防护等级,提供全面的网络信息安全保护。加强网络安全技术防范,要保障资金投入,确保网络安全防范设备及时安装到位;要注重培养网络安全技术专业人才,不断提高网络安全技术人员的业务能力和工作水平。
3、加强财务数据管理。定期对财务数据进行异地备份,指定专人负责保管备份介质,未经审批不得对备份数据进行恢复操作。严格限定财务数据共享范围和权限,只允许其他系统在限定的范围内对财务数据库进行只读操作,不得赋予改写权限。严格数据录入审核,防止错误数据进入财务系统。妥善保管操作系统、数据库和财务软件等各类密码,增强密码设置安全程度,不定期进行更改,防止别人盗用密码进行非法操作。
4、加强财务信息化安全制度建设。建立健全和有效落实财务信息化安全制度是保障财务软件正常运行、财务数据安全完整的关键。这些制度包括财务系统软硬件管理和维护制度、系统管理人员和操作人员岗位责任制度、文档资料保管和使用制度、计算机病毒防范制度、操作权限分配规定、计算机和网络安全事故应急预案等,通过财务信息化安全制度建设,尽可能减少由于内部人员道德风险、系统资源风险、计算机病毒风险和意外风险造成的危害,确保网络财务系统安全运行。
5、加强对计算机病毒和黑客的防范。通常情况下,网络财务系统运行于单位内网之中。防范计算机病毒和黑客的最有效方法就是实行内外网严格分离制度,内外网之间进行物理隔离,使得外网计算机不能登录到内网。此外,在内网中的所有计算机都要安装杀毒软件,定期更新病毒库,及时查杀计算机病毒。加强网络安全监控,及时发现网络中的异常情况,果断进行处理,净化网络环境。建立访问列表,严格限定联网计算机对财务服务器的访问控制。
6、加强身份认证和权限控制。建立更为科学的CA数字认证体系,采用数字证书方式进行登录,确保系统数据的完整性、保密性和行为的不可否认性,杜绝数据在传送过程中可能出现的非法访问、非法篡改、假冒伪造等安全问题。严格进行权限分配和控制,根据实际工作需要,合理确定财务人员和管理人员操作权限。严格授权操作管理,未经批准,不相关人员不得接触财务软硬件系统,确保财务系统和数据信息的安全。
主要参考文献:
[1]刘峰成.网络财务信息安全问题.合作经济与科技,2007.3.
关键词:食品安全 风险防范机制 标准化体系
1、前言
食品是人类赖以生存和发展的物质基础,食品安全直接关系到人体健康和生命安全,关系到经济发展和社会稳定。然而我国目前食品安全状况并不乐观,随着现代农业生产和食品科技水平的不断提高,食品供给日趋复杂化、全球化,在给公众带来消费满足和巨大便利的同时,也造成了食品不安全的各种隐患,剧毒农药、添加剂的大量使用,工业污染、有害化学物质和微生物污染,食品生产者的不诚实行为等因素都直接影响着食品的安全性。本文就新形势下我国食品安全风险防范机制探析进行探讨。
2、食品安全风险的诱因
2.1环境保护工作滞后
“家家都种卫生地,化肥农药除草剂”,形象地反映出导致我国食品安全问题的根源,就在于农业生产的源头已经实现了“化学化”,而环境保护工作滞后使某些土壤、饮水中有害成分含量增高。
2.2食品从业人员的道德风险意识薄弱
滥用甚至违禁使用高毒农药,导致蔬菜、水果等农产品农药残留量和重金属含量超标;滥用饲料添加剂;非法使用生长激素及“瘦肉精”(盐酸克伦特罗);用非食品原料加工食品;滥用或超量使用食品添加剂;掺杂使假,生产假酒、劣质奶粉,用地沟油加工食用油等。
2.3管理体制不顺,食品市场失灵和政府规制失灵
由于食品投资人对食品质量安全的信息掌握要比消费者全面,消费者在选择食品时就较难作出正确判断,这就可能导致食品市场的“优胜劣汰”机制失灵;另一方面,由于政府的管理体制不顺,各行政主体的职权规定不尽明确,导致监管机制出现漏洞,食品市场失灵时政府的管制也出现真空状态,即政府规制也失灵。
2.4食品安全技术支撑体系落后
随着我国加入WTO,食品的进出口贸易量逐年增加,而在国际贸易中最为广泛的是利用技术法规和标准来设置贸易技术壁垒。我国是发展中国家,食品科学技术水平相对落后于西方发达国家,尤其在食品安全标准和食品检验检测方法方面相对滞后和老化。如每次洋品牌食品质量安全被媒体曝光后,监管部门作出“表示关注”、“正在研究”等表态的背后,是食品安全检验检测技术水平的现实制约。
2.5公众日常食品安全知识贫乏
我国是一个拥有十三亿人口的发展中国家,经济、文化发展相对落后,教育投入相对不足,公众科普教育方面更是缺失,导致公众食品安全知识贫乏。
3、新形势下如何建立我国食品安全风险防范机制
3.1建立科学、统一的食品安全标准化体系
随着科学技术进步和社会经济的发展,建立科学、统一的食品安全标准和检测标准体系,使其有法可依,有章可循就成为食品安全风险管理和食品工业现代化、高科技化的当务之急。
3.2建立科学、统一的食品安全检测体系
食品安全检验检测是食品安全风险管理的重要手段之一。它为食品安全风险管理提供重要的技术支持和管理政策依据。目前,中国食品安全检验检测体系的基础框架虽然已经初步形成,但是食品安全检验检测机制、设施、技术力量和手段等还不够完善,食品安全风险检验检测体系建设还需要不断加强。由此可以看出,建立科学、统一的食品安全检测体系强化技术监管,是加强食品安全风险管理必不可少的重要保证。
3.3组建协调统一的预警机构,加强食品安全预警体系建设
食品安全是一个“从农田到餐桌”的系统工程,涉及很多部门。我国目前食品管理机构分散,需要建立统一和协调的预警机制,做到职责分工明确,行动统一协调有力。为此,首先要进一步理顺农业、质检、工商、卫生、商务、进出口等部门的关系,明确职能分工,在分工的基础上进行协调,以逐步解决目前多头管理、权界不清、各自为政的局面。
3.4建立一套体系完备的预警监测系统
一是确定食品安全监测范围,分步骤、有重点地监测流通环节食品,对不同类别食品根据其对消费者日常生活的重要程度区分监测级别很有必要。对国家重点控制准入的食品实施重点监控,其他食品实行一般监测。二是规范完善信息采集系统。建立统一的信息报送电子平台,加强食品安全信息采集的渠道建设,强化经营检查制度,深化商品检测工作,扩大定性检测范围。三是规范完善食品安全信息处理系统。要加强食品安全信息分析工作,建立食品安全危害预警分级体系,科学设计预警分级标准,确定预警应急级别。预报预警评析系统是整个预警体系的核心,其输入端是“信息源”,输出端是“评析信息”。科学的评析模型是保证食品安全预报预警权威性和一致性的基本保证。
3.5构建全国统一高效的食品安全信息网络
利用现代网络技术,为沟通各级食品安全委员会、各级行政职能部门与消费者之间的食品安全信息,监督食品认证机构、食品检验机构、食品监管部门的工作效率和履责状况,设计一套相互制约、公开透明的工作流程,把消费者对有疑虑认证食品的送检情况、检验机构的检验结果、食品安全监管基金的赔付情况、食品监管部门对食品企业和认证机构的处罚情况,以及食品安全委员会和消费者的满意程度等等信息全部反应食品安全信息网上,按不同等级部门、不同等级身份分别查阅不同内容的食品安全信息,及时监控认证食品质量状况,食品监管部门行政效率,食品生产企业、认证机构、检验机构的履责状况,随时采取应对措施,确保优质食品得到优质价格,利用市场利益机制发动独立认证机构、独立检验机构和消费者来共同监管食品市场,逐步化解食品安全风险。
网络会计电算化安全风险防范措施
会计电算化作为现代企业财务管理的重要途径,与其及时、准确、高效的优势有着密不可分的关系,它利用计算机把传统的记账模式与经济管理相结合,大大提高了企业财务管理的水平和账务数据的质量,与此同时也给财会人员带来了诸多新的问题。
一、网络会计电算化信息安全风险
网络会计电算化的安全主要是指电算化系统能够保持正常稳定运行,系统数据、信息的安全和完整。会计电算化的安全性一直是财会人员所担心和考虑的问题,同时也是系统设计人员着重研究的重点。在传统会计信息数据管理方面,人们已经研究出一套较为完善的安全保障措施和防范办法,而财务管理实行会计电算化后,由于数据信息存储、输入、传送方式等变化,使财务数据的安全受到了严重的威胁,其存在的安全隐患主要有以下几点:
1、会计信息数据的失真
会计信息是指企业在生产经营过程中所产生财务数据,对于企业的的财务管理、财务分析、运营状况、资产负载等方面起着至关重要的作用。会计信息的完整、真实和准确是财务数据管理的基本要求,如果会计电算话系统受到损坏,会直接导致会计信息数据的错误、丢失或篡改,致使信息失真,其中的不安全因素主要表现为:(1)硬件问题,如计算机存储硬盘损坏,数据信息又没有进行备份造成的数据丢失。
(2)人为因素,恶意破坏导致的数据丢失或被篡改。
(3)环境的不安全因素,如网络环境下一些不法分子利用互联网入侵会计电算化系统导致重要信息的泄露、截取和篡改,也会造成会计信息的不安全。
2、人为的行为
一些会计从业人员为了个人利益非法转移资金、掩盖真实财务数据、向企业竞争对手泄露商业机密等行为。人为的破坏系统软件或数据故意造成财务账务数据的丢失,从而掩盖其非法目的,给企业带来严重损失。会计电算化的人为舞弊行为主要有以下两点:
(1)录入篡改。在会计信息录入时故意进行篡改或删除数据,造成企业财务信息与事实不符。
(2)软件篡改。在装有会计电算化系统的计算机中植入恶意程序,便于其达到某种不法目的。
3、工作人员的因素
在实际操作中往往由于会计电算化内部操作人员的一时疏忽、或者责任心不强等因素造成财务数据录入出现错误,最后导致会计信息不可靠。
4、病毒造成的系统错误、数据丢失
在网络科技飞速发展的今天,病毒的传播速度也越来越快,越来越隐蔽,除了通过传统的光盘、存储载体等设备进行传播以外,现在还可以通过互联网进行传播,在计算机联网的环境下,可以更隐蔽、更快速的进行病毒传播,同时其造成的破坏和危害也是极大的。目前的网络计算机病毒不仅能对计算机软件造成破坏,还可以对计算机硬件造成损坏,从而造成无法挽回的后果,因此,如何防范计算机病毒也是会计电算化从业人员必须掌握的一项技能。
二、防范会计电算化信息安全隐患的对策
随着我国经济的飞速发展和现代化建设的逐步推进,会计电算化行业也有了突飞猛进的发展。但是,由于网络会计电算化内的安全隐患没有得到很好解决,给企业造成了严重的损失。因此,做好网络会计电算化信息安全隐患的防范工作和对策对于我们今后的财务安全有着非常重要的意义。
1、提高会计电算化的网络技术安全
对于需要进入网络系统的信息必须得经过严格的审核,如果未经审核的信息一旦进入网络系统,将会造成电算化系统的不安全,从而影响会计信息的准确性和稳定性。要加强信息导入、输出时的监控管理力度,确保输入数据的安全性和准确性。由于网络环境下存在的诸多不安全因素,企业应该提升会计数据防火墙的防控力度,在企业的财务内部网络与外部公共网络之间设立一道屏障,对于需要访问内部网络的信息要进行多次认证,确保安全后方可进行访问。同时,也要做好会计数据网络传输过程中的安全防护,对于网络传输的数据信息要进行加密处理,防止不法分子中途截取后进行恶意利用,即使数据被截取也能保证信息不被泄露。
2、做好重要数据的备份和硬件的维护
企业会计人员要定期为核心的会计数据进行备份,保证会计电算化系统出问题时的原始数据恢复。在信息数据备份时要尽量缩短备份周期,这样可以在会计电算化系统或硬件出问题时减少数据的丢失。也可以通过拷贝功能将这些数据复制到一些可靠性较高的存储载体上进行妥善保管。如果计算机系统有自动备份功能的话要合理进行设置,尽量避免因人为的错误导致的会计数据丢失。
3、合理分配系统操作员权限
会计电算化系统的权限分配在会计数据安全方面也起着至关重要的作用。在会计电算化工作中,不同级别和不同职务之间操作员的工作范围也是各不相同的,他们操作系统的权限和访问的数据信息也是不同的,所以各操作员的权限和访问范围必须通过最高的系统管理员进行分配、授权才能进行操作,这样就避免了职务不同的操作员对软件的误操作,在一定程度上也杜绝和限制了操作员在系统中的行为。
4、做好计算机病毒的防护
随着计算机互联网技术的发展,计算机病毒也在不断地推陈出新。各个行业都在采取措施来防范计算机病毒带来的危害,针对层出不穷的计算机病毒攻击和侵害,目前主要采取的防范措施有:
三、结束语
网络会计电算化信息系统在给企业会计人员带来方便的同时大大提高了企业的财务管理水平。只有做好会计电算化系统安全防护,才能让会计电算化系统更好的为企业服务,所以,加强企业网络信息的安全防护是十分必要的。参考文献:
关键词:安全技术;技术防范;防范管理
一、生产企业工程安全技术防范的特点
(一)形成的阶段性。依据工程项目设计阶段不同可将工程安全技术防范划分为设计依据与设计成果两大类,设计依据主要体现为工程项目设计之前,政府部门提出的批文、任务书及设计要求等相关安全技术;设计成果体现为工程项目设计过程中涉及到的方案设计、施工图设计及图纸审查等安全技术。其中设计依据充分反映出工程项目设计的可行性;而设计成果直接反映出工程项目施工的可行性。
(二)内容的专业性。工程项目设计过程中,各阶段中所形成的设计安全技术均与相应专业紧密相联,可以说设计安全技术是各专业活动有关特点共同组合而成,以工程项目结构设计为例,结构是整个工程项目的骨架,结构好坏直接关系到工程项目施工质量,所以要求生产企业必须依据结构相关知识,结合工程项目施工特点科学合理设计工程项目结构。
(三)组成的成套性。工程项目设计流程:提出工程项目建议书――设计招标――方案设计――初步设计――施工图设计――修改设计――竣工图设计。由此可见,一个完整的工程安全技术防范由七部分构成,上述每个过程均在不同程度上影响着工程安全技术防范的完整性、有效性。
二、生产企业工程安全技术防范分类的现状
(一)生产、经营、质量等管理安全技术分类不清晰。目前,国内多数生产企业传统机关安全技术管理模式的束缚,仍将各种管理安全技术列入文书安全技术管理范畴。如生产企业将工程项目设计任务书与初步设计的审批安全技术列入文书安全技术中予以保存,以致工程安全技术防范缺失,无法保证其完整性,从而导致工程设计的高效性应用价值未能充分发挥。
(二)忽略了设计装备安全技术的重要性。近年来,国内科学技术水平飞速发展,使得越来越多先进的现代化设备出现在社会市场中,为生产企业构建设计装备安全技术,提高工程项目设计有效性,增强工程项目施工质量提供良好的基础。然而,国内多数生产企业设备装备安全技术意识不足,未能够充分认识到设计装备安全技术的重要性、先进性,以致对待构建设计装备安全技术的主观能动性不高。特别注意的是设计装备安全技术是生产企业购置、验收、安装、管理现代化设备的重要依据。
(三)基本建设安全技术与工程安全技术防范混淆不清。通常情况下,生产企业自行设计本单位办公楼、餐饮楼、宿舍楼等,其中,这些基本建设安全技术从性质、内容、作用等多方面均与工程安全技术防范存在较大区别,不应混同于一类。然而,多数生产企业违反相关规定,将本单位的基本建设安全技术与工程安全技术防范混同于一类予以编号,同时还将相关施工执照、合同、竣工验收有关安全技术分散至各部门,以此给予生产企业保管、利用基本建设安全技术造成严重的负面影响。
(四)工程安全技术防范与技术咨询技术服务安全技术混淆不清。技术咨询与服务是工程设计过程的一项重要环节,该项环节中涉及到工程项目建议书、可行性研究报告、招投标书及报价书等一系列安全技术材料。目前,西方多个国家已形成专业从事技术咨询与服务的机构,而我国大都由生产企业代为承担技术咨询与服务业务,以致工程安全技术防范与技术咨询技术服务安全技术掺杂于一起共同配套整理分类归档。实际上,无论从性质、作用、内容层面看,还是从结果、国家税收标准等层面看,工程安全技术防范与技术咨询技术服务安全技术之间均存在较显著区别,所以将其混淆为同一类安全技术不科学、不合理。
三、生产企业安全技术分类的指导思想及要求
安全技术分类是一项复杂且重要的业务,其复杂性体现在工程项目涉及到的安全技术种类较多,而且各类安全技术之间又存在着紧密的联系;其重要性体现在安全技术分类的有效性、科学合理性直接反映出生产企业安全技术管理水平,从而影响到工程项目施工质量,所以做好工程项目单位安全技术分类工作至关重要。
(一)生产企业安全技术分类指导思想。生产企业以自身性质、特点及管理职能为依据,以各类安全技术为对象,结合各类安全技术的内容及形成过程对全部安全技术予以科学合理分类,以此确保各类安全技术得以充分利用,促使其高效性利用价值得以充分发挥。
(二)生产企业安全技术分类要求。第一,客观性。生产企业严格依照自身专业性质与特点,结合安全技术形成规律,从内容、任务等多个方面对全部安全技术予以分类,以确保分类后的各类安全技术得以准确反映出生产企业职能活动历史全貌;第二,实用性。安全技术分类仅是一种手段,其分类目的在于更为有效的使用安全技术,所以生产企业以保证安全技术实用性为核心目的,以安全技术实际状况为出发点,结合生产企业业务范围及组织机构增减现状对全部安全技术进行分类;第三,合理性。生产企业应针对于不同门类的安全技术采取不同的分类方法,如依据问题对管理类安全技术予以分类、依据专业对设计技术工作安全技术予以分类、依据种类对装备安全技术予以分类等,即保证分类层次的分明性、类与属类概念的清晰性、分类标准的规范性及平行类相互排斥性等。
四、生产企业安全技术防范管理策略
解决风险问题不能单靠纯粹的安全技术系统,还必须进一步演化,从系统思维的视角,使其得到充分的优化。安全技术风险防范系统是“由与社会安全问题有关的相互联系、相互作用、相互制约的若干因素结合成的具有特定功能的有机整体。”从社会系统的角度来看,安全技术风险防范系统是社会系统的子系统;但是,从安全系统的角度来看,社会系统是安全技术风险防范系统的子系统。正因为有了这样的复杂性,因此我们必须对安全技术有充分理解,既要从自身系统内部结构,又要从社会系统的相互关联中来理解系统的优化问题,处理好安全技术风险防范系统的工作,推进安全防范工作的进程。
一般来说,优化安全技术防范系统建立管理上,通过加强管理确保各项规章、制度及措施的执行来达到目标。传统风险管理虽然考虑到了降低风险,但对于风险往管理人员上转移重视得不够,往往“头痛医头”、“脚痛医脚”、“事后诸葛亮”,常常出现“从事故中学习安全”的被动局面。这显然缺乏系统观的视角,因此必须从系统角度出发,而不必局限于具体事故的管理,使管理行为满足促进安全技术风险防范系统结构优化和安全技术风险防范系统运行优化。我国学者刘潜提出的“安全三要素”对安全技术风险防范系统结构的优化,即通过安全人体优化、安全设务优化及安全人机联系优化,使之融为一体成为全新的安全系统结构。
这种系统的优化具有吸纳处理各种安全好处且能有效应用于安全技术风险防范系统、在结构上存在着风险熵减的功能。安全技术风险防范系统运行优化着重于培育和发展人机环境的直辖机制与亲合程度,克服以往降低成本的安全技术风险防范系统的错误倾向,不以以牺牲安全来追求获利最大化而导致风险嫡增,而是以促进安全技术风险防范系统的风险熵减为宗旨,安全技术风险防范系统结构优化与安全技术风险防范系统运行优化的关键是吸纳和注入安全要素并应用于安全技术风险防范系统。从这个意义上讲,管理行为的主要任务是获取、处理与有效利用风险信息,保证有效利用的安全要素增长率始终大于安全技术风险防范系统最大风险的熵增长率,使安全要素的有效利用向系统注入负嫡,从而确立系统风险的通常增嫡过程变成为减嫡过程,充分地体现安全技术风险控制的精髓所在。(作者单位:中国联合网络通信有限公司宝鸡市分公司)
参考文献:
[1] 上海市公安局技术防范办公室关于对进口安全技术防范产品进沪销售实行登记备案制度的通知 沪公技防[2000]009号[J].中国安防产品信息.2000(06)
[2] 西安市安全技术防范管理暂行办法[J].中国安防产品信息.2000(06)
[3] 全国公安厅(局)安全技术防范管理办公室一览[J].中国安防产品信息.2001(04)
[4] 肖宏露.高校安全技术防范建设的探讨[J].科技信息.2009(14)
一、对学生顶岗实习劳动风险防范进行法律规范的必要性
(一)顶岗实习及其劳动风险的特征要求法律对其劳动风险防范进行专门规范
顶岗实习是以就业为导向,以提高毕业生应职应岗能力为目的,通过短期真实岗位工作形式来完成的职业院校培养高素质技能型专门人才的综合性教学环节,是学校和实习单位通过让学生与职业岗位“零距离”接触对学生进行所获知识、技能和技术的综合性应用训练。顶岗实习兼具教育性与职业性特征。顶岗实习的教育性表现在它与专业培养目标密切相关,是学校培养合格人才十分重要的一个教学环节;顶岗实习的职业性表现在它与职业岗位劳动密切相关,是学生通过实习单位在职业岗位上的职业操作。顶岗实习的特征表明,它既是一种实践学习过程,也是一种职业劳动过程。职业劳动不可避免地带来了劳动风险,但劳动风险是可以防范的。为有效防范劳动风险,世界各国都出台了很多的劳动保护法律制度,最大限度地保护了劳动者免遭劳动风险伤害。顶岗实习也是一种职业劳动过程,也存在劳动风险,同样,顶岗实习也需要以法律防范劳动风险。
但顶岗实习劳动风险又不同于一般劳动者所面临的劳动风险。第一,顶岗实习劳动风险的主体不是一般的劳动者,而是工学结合模式下职业教育的学生,也就是说,顶岗实习的学生不同于劳动者,他们对职业岗位与操作规程不熟悉,他们需要指导和帮助,他们比一般劳动者更容易发生劳动风险事故,他们需要特别保护;第二,顶岗实习劳动风险发生的过程并非一般的职业劳动过程,而是发生于工学结合模式下职业教育的学生顶岗实习过程,也就是说,顶岗实习劳动风险是发生在学生接受职业教育的过程中,对学生顶岗实习劳动风险的防范,学校和实习单位都有责任。顶岗实习劳动风险的特殊性表明,适用于规范用人单位一般劳动风险防范的法律制度不足以有效地保护学生顶岗实习劳动安全,顶岗实习劳动风险防范需要专门法律进行特别规范。
(二)顶岗实习的实践要求法律对其劳动风险防范进行专门规范
根据教育部相关文件,职业院校要“积极推行订单培养,探索工学交替、任务驱动、项目导向、顶岗实习等有利于增强学生能力的教学模式”;“高等职业院校要保证在校生至少有半年时间到企业等用人单位顶岗实习。”“中等职业学校三年级学生要到生产服务一线参加顶岗实习。”顶岗实习在职业教育中被广泛应用和推广,已成为职业教育十分重要的教学环节。
然而,在顶岗实习中,由于学生已实际参与到了职业劳动之中,而职业劳动总是伴随着劳动风险。随着顶岗实习教学环节的深入开展,学生顶岗实习中的劳动风险事故也与日俱增。一幕幕学生顶岗实习劳动伤害事故相继出现。据报道,目前,我国将近30%的大学生在实习过程中受到不同程度的伤害。学生顶岗实习存在劳动风险已是一个不争的事实。顶岗实习的实践表明,为切实保护顶岗实习学生免遭劳动风险事故伤害,我国急需出台专门的法律制度规范学校和实习单位等相关主体对学生顶岗实习劳动风险的防范,增强其防范这种特殊风险的法律责任。
二、我国缺乏对学生顶岗实习劳动风险防范的法律制度
(一)缺乏规范学校对学生顶岗实习劳动风险防范的法律制度
学校是学生顶岗实习的组织者,面对没有实践经验而初次尝试顶岗进行具有人身危害风险的职业劳动实习的学生,理所当然地应当对学生的实习安全问题切实地承担起责任。然而,学校对顶岗实习的学生是否进行了安全教育?采取了哪些安全措施?这些安全措施是否切实有效?发生了学生实习安全问题追究谁的责任?对这些问题,我国现有法律制度却缺乏具体明确的相应规定。从现有法律制度来看,规范学校组织学生顶岗实习的规定,仅有2007年教育部和财政部出台的《中等职业学校学生实习管理办法》,该《办法》规定学校“组织安排学生实习,要严格遵守国家有关法律法规,为学生实习提供必要的实习条件和安全健康的实习劳动环境。”并具体规定了五种不得安排学生顶岗实习的情形②,虽然这些规定对学校的实习管理具有一定的指导意义,但这毕竟还只是一部专门规定中等职业学校学生实习管理的规章,其适用范围仅限于中等职业学校,而且其效力层次也仅仅只是一般规章,对于迅速发展的数量庞大的高等职业院校的学生顶岗实习劳动风险防范难以产生有效的作用。教育部相关文件对学生顶岗实习劳动风险防范虽然也有所涉及,但也都只是一些原则性的规定,如教育部《关于职业院校试行工学结合、半工半读的意见》(教职成[2006]4号)规定:学校“要加强与企业的合作,有组织地安排学生到企业等用人单位顶岗实习,完善以学生实习补贴发放、劳动保护等为重点内容的实习管理制度。”这种原则性规定对指导和督促学校切实做好学生顶岗实习的劳动风险防范缺乏可操作性。
从实践来看,学校有关实习管理及实习安全问题的规定,均由学校自己作出,至于应规定的内容是什么、对相应内容应怎样规定等,法律并无相关强制性或指导性规定。根据我们的调查,学校有关实习管理及实习安全问题的规定,大多强调学生自己的责任,如一些学校要求学生与学校签订实习安全责任书,这对于增强学生的安全责任意识无疑能起到一定的督促作用,但顶岗实习劳动风险仅靠增强学生个人的安全意识是难以真正做到有效防范的。在顶岗实习中,学生处于被管理者地位,学生是根据学校和实习单位的安排来进行顶岗实习的,学校和实习单位对学生顶岗实习劳动风险防范的作用是不可替代的,其义务也是不可规避的。学生在顶岗实习中是弱势者,过分强调学生自己的安全责任,而忽视学校和实习单位的安全责任,这对学生来说也是不公平的。
(二)缺乏规范实习单位对学生顶岗实习劳动风险防范的法律制度
我国《劳动法》及相关法律规定,用人单位对保障劳动者劳动安全有不可推卸的法律责任。为保障劳动者的劳动安全,我国还专门制定了《安全生产法》、《职业病防治法》以及相关配套法律规章等,还有一系列的劳动安全技术规程和劳动卫生规程。实习生不同于一般的劳动者,他们初次尝试职业劳动,对他们的实习劳动应当更加强调安全保护。然而,实习单位对仍处于学习阶段的实习生的安全教育和风险防范是否必须有别于一般员工,法律并无明确规定。也就是说,从法律上讲,用人单位没有这方面的特别义务。虽然《中等职业学校学生实习管理办法》规定:“实习单位要指定专门人员负责学生实习工作,根据需要推荐安排有经验的技术或管理人员担任实习指导教师。”但实习单位安排与否并没有相应的法律责任追究制度予以约束。教育部对学生顶岗实习劳动风险防范的一些原则性规定,对企业来说,也几乎没有约束力。如教育部《关于职业院校试行工学结合、半工半读的意见》(教职成[2006]4号)规定:“实习期间,企业要与学校共同组织好学生的相关专业理论教学和技能实训工作,做好学生实习中的劳动保护、安全等工作。”而事实上,很少有企业按照教育部的这些规定去做好相关工作,教育部门的这种原则性规定很难对企业产生作用。
实践中,不仅国家对实习单位在学生顶岗实习劳动风险防范没有相关法律约束,而且由于实习单位难求,学校在与实习单位签订的实习协议中也很难要求实习单位承担更多的相关义务。也就是说,学生顶岗实习劳动风险的防范,对实习单位而言,既没有法律约束,也很少有合同约束。而一旦发生学生顶岗实习劳动风险事故,实习单位则往往以学生不是其劳动者为由拒绝承担相应的责任。学生确实不是实习单位的劳动者,也更非实习单位的熟练工,但顶岗实习却实实在在地是在进行一种职业劳动,而职业劳动总是与劳动风险相伴,因此,学生顶岗实习需要特别的劳动保护。作为学生顶岗实习的直接实施者,实习单位却对学生顶岗实习劳动风险缺乏特别的防范义务,这对学生来说是危险的。
三、对学生顶岗实习劳动风险防范进行法律规范的建议
顶岗实习是工学结合人才培养模式的重要教学环节,它需要学校、实习单位和学生等多方协作来具体实施,顶岗实习劳动风险的防范更需要学校、实习单位和学生等多方主体的共同努力。为切实保障顶岗实习学生的劳动安全与卫生,我国应尽快制定相关法律制度,从法律层面构建政府、学校、实习单位、学生多方联动的学生顶岗实习劳动风险防范机制。学生顶岗实习劳动风险防范法律制度的构建应考虑以下几个问题。
(一)明确学生顶岗实习劳动风险防范中各相关主体的权利义务
政府应主导学生顶岗实习劳动风险防范。一方面,政府应及时制定相关法律法规,指导和督促学校和实习单位切实做好学生顶岗实习劳动风险防范,规范学生顶岗实习劳动风险防范的管理。另一方面,政府还应加强学生顶岗实习劳动风险防范的监督,对学校和实习单位等相关主体实施学生顶岗实习劳动风险防范法律制度的行为给予相应评价,对违反者给予应有的制裁。
学校是学生顶岗实习的组织者,负有对学生顶岗实习进行恰当安排与组织的责任。学校应在实习内容、实习时间、实习岗位的选择等方面恰当地安排好学生的顶岗实习,应就学生顶岗实习劳动风险防范工作协调好与实习单位的关系,并对学生顶岗实习进行跟踪管理③。
实习单位是学生顶岗实习的实施者,负有对学生顶岗实习过程岗位安全管理的责任。实习单位应对顶岗实习学生进行比一般劳动者更具体、更细致的岗前教育和岗位管理,并确保学生顶岗实习环境的安全与卫生。
学生是顶岗实习的主体,在学校的组织安排下直接参与实习单位的岗位操作。学生在顶岗实习中应服从学校和实习单位的管理,严格遵守实习单位岗位安全操作规程和安全卫生制度;同时,学生也应享有保护自己在顶岗实习过程中人身安全的相应权利。
(二)建立学生顶岗实习劳动风险事故责任追究制度
在学生顶岗实习中,学校和实习单位分别是学生顶岗实习的组织者和实施者,学校和实习单位的安全教育与安全措施是防范学生顶岗实习劳动风险的两个关键环节。学生顶岗实习劳动风险防范法律制度应明确学校与实习单位的主要负责人为学生顶岗实习劳动风险防范责任的第一责任人。
为有效实施责任追究,学生顶岗实习劳动风险防范法律制度还应明确学生顶岗实习劳动风险事故责任的责任追究主体、责任承担主体、责任归责原则、责任承担方式等;对因责任人严重失职而造成的风险事故,还应规定对责任人的具体的制裁措施。只有建立了相应的风险事故责任追究制度,顶岗实习劳动风险防范不当的责任追究才能真正地落到实处。
(三)提高学生顶岗实习劳动风险防范法律制度的效力层次
如前所述,学生顶岗实习劳动风险防范需要学校、实习单位等多方主体的共同努力。而从现有相关规定来看,有关学生顶岗实习劳动风险防范的规定,主要是由教育行政部门来制定的。教育行政部门的规定,在法律制度的效力层次上,属于部门规章,根据《立法法》第82条的规定,各部门规章在各自的权限范围内施行。可见,教育行政部门制定的规章是难以有效适用于实习单位的,因为,绝大部分的实习单位并不属于教育行政部门的权限范围。因此,学生顶岗实习劳动风险防范法律制度要能实现有效规范学校和实习单位的行为,就必须突破部门规章的效力层次,其效力层次应当提高到行政法规以上。根据我国学生顶岗实习劳动风险防范法律制度的现状,考虑到学生顶岗实习劳动风险防范的紧迫性,我国目前可以由国务院以行政法规的形式制定专门的《学生顶岗实习管理条例》,并在该条例中以专章规定学生顶岗实习劳动风险防范问题。
(四)增强学生顶岗实习劳动风险防范法律制度的可操作性
关键词:隧道施工;风险控制
Abstract: the construction unit is the main body of responsibility for the safety of tunnel construction, therefore it is necessary to strengthen the process of tunnel construction risk prevention and risk management, implement measures to prevent risks. This paper introduces the high iron tunnel construction is the necessity of the study on the risk, the risk in the construction, and puts forward the risk control measures.
Keywords: tunnel construction; Risk control
中图分类号:U455文献标识码:A 文章编号:2095-2104(2013)
一、隧道施工风险研究的必要性
隧道与其他工程项目相比,由于具有隐蔽性、复杂性和不确定性等突出的特点,风险大,无论是设计、施工、决策都会遇到很多困难和障碍。尤其是在城市繁华地段或周围环境复杂的地带,隧道与地下工程的施工和运营要涉及到过多的拆迁、对周围环境及管线的影响,如果决策考虑不周,在其规划、设汁施工和运营中均会对社会和国家造成不必要的重大的损失和不可估量的社会负面影响。
例如:2007年3月28号早晨,北京苏州街附近的地铁10号线工程发生塌方事故,6名施工者被埋身亡。2008年1月17号下午,广州地铁5号线在施工中突然涌水,发生塌方,导致珠江大桥引桥下的双桥路旁地面突然下陷,出现一个面积大约100平方米的大窟窿,深约5米,事故没有造成人员伤亡。2008年4月1号,深圳龙岗区的地铁3号线工地进行桥墩浇铸混凝土施工时,母板突然发生坍塌,混凝土倾泄而下,5人被埋,最终三死两伤。多发的隧道施工事故使施工风险已经成为亟待解决的核心问题。为解决这一问题,就必然要借助风险评估和决策理论。风险评估可以对这些不确定因素进行系统全面地分析,将不可预见的风险因素转化为定量的指标,并通过计算风险效益来选择风险控制措施,降低各种工程风险.以达到安全、经济、高效的建设目标风险。
风险评估研究的最终目的是为工程建设领导层的决策提供依据,从领导层的角度来说,其价值可以体现在领导层决策时信心的增强、对工程进展情况的掌控以及对资金流向的有效控制上。而工程风险研究的最高境界应该是实现“工程精算”,即所有的风险子项均可由费用损失来表示。因此,对领导层来说,风险评估能够把决策变得简单化、准确化以及专业化,进而对风险实行有效地化解、转移或规避。如何对工程风险进行控制,在尽可能安全的情况下获取最大的利益,这也需要对风险控制措施的风险效益进行评估。
二、风险管理
风险管理是指通过识别生产经营活动中存在的危险、有害因素,并运用定性或定量的统计分析方法确定其风险严重程度,进而确定风险控制的优先顺序和风险控制措施,以达到改善安全生产环境、减少和杜绝安全生产事故的目标。
风险管理基本程序包括风险识别、风险衡量、风险评价、选择风险管理技术、贯彻执行风险管理决策和风险管理效果评价六个阶段。同时,风险管理是一个循环管理的过程,根据风险管理效果重新回到风险识别,开始新的风险识别。
风险控制根据风险评价的结果及经营运行情况等,确定优先控制的顺序,采取措施消减风险,将风险控制在可以接受的程度,预防事故的发生。
三、高铁隧道施工中存在的安全风险
(一)塌方危险
隧道施工最常发生的事故是塌方,每次塌方,轻则造成财产缺失,重则导致数人甚至数十人死亡,并伴随巨大财产损失,尤其是复杂地质条件下的隧道施工,是隧道施工的重大危险源。
(二)涌水危险
隧道施工的另一大危险源是涌水,特别是水底隧道和岩溶隧道,事故可以造成较多人员伤亡和巨大财产缺失,有的还会对所在地区的生态造成破坏,属于重大危险源。
(三)爆破风险
多数隧道需要实施爆破作业,洞内施工场地狭小,作业面分散,人员、车辆多,极易发生爆破伤害事故,属于较大危险源。
(四)施工临时用电
高压供电进洞,隧道内作业面有水,电动机械、设备、机具多,容易发生触电和火灾伤害事故,属于较大危险源。
(五)属地自然灾害
有的隧道所在地区有泥石流,有的有山体滑坡,有的地区有台风,如果防范不力,这些自然灾害也会给隧道施工造成较大缺失,属于较大危险源。
四、施工中安全风险控制措施
(一)组建风险管理制度,做好风险防范准备。
为了确保铁路隧道施工的安全,铁路建设部门要加强风险管理意识,确立风险管理目标,以“安全施工”为根本出发点,切实做好铁路隧道安全风险管理工作。首先要具体落实工程管理部门安全管理的主体职责,实行具体有效的实施方案。如,施工部门可以以条文的形式列出风险防范的多种办法,并定期检查执行状况,确保风险管理工作的正常运行。施工部门是隧道施工安全的主要承担者,关注隧道施工过程的风险防范和风险管理,实施各种风险防范方案,是施工部门义不容辞的责任。施工部门要加强对险风险源头的控制,注重隐性调查,加大隐患处理力度,同时对呈现出来的安全隐患要立刻组织整改,有效防范、防止施工安全事故的发生。对于较难施工的地质、岩土等隧道施工中可能出现的难题,必须开展专项风险评估计划,选择科学有效的施工技术,组建风险防范及突发安全事故应对措施,并督促实施。
加大安全投入。
加大安全生产投入,夯实安全生产工作的基础,是安全生产的重要保障。通过加大安全投入,淘汰危及安全的设施设备,抓好隐患整治,逐步完善安全生产设施,从源头上杜绝隐患的产生。认真落实安全生产经济政策,有关部门要全面落实安全费用提取和风险抵押金政策,做到应提尽提、应缴尽缴、专款专用。对不按规定提取使用安全费用的,要依法予以严肃查处。
危险源的辨识。
建筑工程中的危险源是导致安全事故的根本原因。危险源的辨识是安全风险管理的基础性工作,重大安全事故防范的首要任务即是危险源的辨认。按照我国《建筑工程安全生产管理条例》以及《重大危险源辨识》的相关规定,对建筑工程项目中的危险源进行辨识。结合施工项目的实际情况,从施工过程中诸如施工工艺、工序、材料以及机械设备等相互关联的因素入手,逐项观察、分析并研究施工过程中的潜在安全隐患,并适时掌握不同隐患导致危险事故的可能性。对施工过程中的危险性因素进行系统性分析最终得到施工现场安全等级及危害程度识别重大危险源。
施工现场的危险源事故风险评估。
在对建筑施工项目的危险源进行识别并确认之后,需要对各危险源可能招致的事故进行风险评估,并系统性的收集相关资料及信息。一般来讲对建筑工程施工项目的风险评价包括以下几个方面的内容:风险因素及其存在原因分析、风险因素导致的危险事故概率分析、安全事故的影响范围分析、事故风险的综合评价分析。在这一阶段需要对事故风险评价的结果及安全目标进行比较、分析并判断当前危险源的风险值是否在可接受的风险水平之内,在此基础上决定是否采取进一步措施控制风险水平。
危险源的安全管理控制。
危险源的安全管理是在对其进行辨识和评价基础上进行的。按照工程施工安全管理规范的基本内容,结合工程的实际,制定现场施工安全的危险源管理标准,并构筑现场施工危险源管理制度及应急反应制度。针对不同危险源制定相应的安全控制措施。针对不同项目所涉及的地域、施工条件的差别,施工单位应该首先确定施工过程的重大危险源及事故安全隐患,并对施工安全隐患的性质、关联性、后果等进行系统性的分析,最终提出切实有效地安全风险的预防与控制措施。
结束语
为保证隧道施工安全,施工企业应树立风险管理理念,组建风险管理制度,做好风险防范准备,加大安全生产投入。要加强对危险源的监控,加强隐患的排查,特别要加大隐患排查治理力度。加强施工现场的危险源事故风险评估,对查出的安全隐患必须立即组织整改,有效防范、遏制施工安全事故的发生。
参考文献
[1] 王家远、刘春乐.建设项目风险管理[M].北京:中国水利水电出版社,2004.(08).
[2] 俞富桥.工程风险及应对策略的探讨[J].工程造价管理,2005(01).
[3] 刘登新,张先员.浅谈建筑工程安全生产监理工作[J].山西建筑,2008(33).
[4] 陈言来.浅谈安全生产管理[J].山西建筑,2007,33(25).
[5] 路美丽,刘维宁,罗富荣,等.隧道与地下工程风险评估方法研究进展[J].工程地质学报,2006(4).
