風險評估風險點范文
前言:我們精心挑選了數篇優質風險評估風險點文章,供您閱讀參考。期待這些文章能為您帶來啟發,助您在寫作的道路上更上一層樓。
第1篇
Implementation of Government Information Systems Risk Assessment
Yu Ying-tao 1 Li Xin 1 Xue Jun 2
(1.North China Institute of Computing Technology Beijing 100083;
2. Solid Waste Management Center,Department of Environmental Protection Beijing 100029)
【 Abstract 】 This article describes the main points of the risk assessment of the implementation of the government information system, including risk assessment purpose, scope and risk assessment models, risk assessment project specific work processes and methods, tools, and related items necessary for the completion of the risk assessment projectmanagement requirements. Good reference for guiding the risk assessment of information systems project implementation.
【 Keywords 】 risk assessment; risk analysis; project management
0 引言
政務信息系統關系到國計民生,因此保障電子政務系統的信息安全是我國經濟與社會信息化的先決條件之一,是國家信息化建設的重要內容。如何保證政務信息系統的安全性,風險評估是一項很基礎的工作。通過對政務信息系統進行風險評估,可以了解信息與網絡系統目前與未來的風險所在,充分評估這些風險可能帶來的威脅與影響的程度,依據系統的風險和威脅,進行針對性的防范,做到“對癥下藥”,可以有效解決政務信息系統的安全問題。
1 政務系統風險評估概述
1.1 風險評估的概念
政務系統的信息安全關心的是保護政務信息資產免受威脅。風險評估是有效保證信息安全的前提條件,也是建立在網絡入侵防護系統、實施風險管理程序所開展的一項基礎性工作。其工作原理是對系統所采用的安全策略和管理制度進行評審,發現不合理的地方,采用模擬化攻擊的方式對系統可能存在的安全漏洞進行逐項檢查,確定存在的安全問題與風險級別。并根據檢查結果向系統管理員提供周密可靠的安全性分析報告,為提高網絡安全整體水平提供重要依據。
風險評估的目的是全面、準確地了解政務信息系統的安全現狀,發現系統的安全問題及其可能的危害,為后期進一步安全防護技術的實施提供了嚴謹的安全理論依據,為決策者制定網絡安全策略、構架安全體系以及確定有效的安全措施、選擇可靠的安全產品、建立全面的安全防護層次提供了一套完整、規范的指導模型。
1.2 風險評估的范圍
政務信息系統風險評估的內容與范圍需要涵蓋整個系統,包括系統安全管理的狀況、網絡及安全防護技術架構、通信鏈路、系統數據及業務系統加密情況、系統訪問控制狀況等。在政務信息系統的安全防護工作中,“人”是關鍵要素,無論系統所采用的安全技術、安全策略和安全手段多么現代化與智能化,都需要“人”去操作、運行和管理。如果信息系統的安全管理水平落后,人員素質不高,那么政務信息系統的安全性就會減弱,安全漏洞就會增加。
1.3 風險評估的原則和依據
1.3.1指導原則
由于政務信息系統風險評估涉及的內容較多,因此在進行評估時就需要本著多角度、多層面的原則,從軟件到硬件,從理論到實際,從技術到管理,從設備到人員,來具體制定詳細的評估計劃和分析步驟,避免遺漏。在評估時一般需遵循的如下幾個原則:標準性、可靠性、可控性、保密性、技術先進和成熟性、全面性、高效性、持續性。
1.3.2相關法規和政策
《中華人民共和國計算機信息系統安全保護條例》(國務院令147號);
《商用密碼管理條例》(國務院令 273號);
《計算機信息系統安全保護等級劃分準則》;
《計算機機房場地安全要求》(GB9361-88);
《信息安全技術-信息安全風險評估規范》( GB/T 20984—2007)。
2 政務信息風險評估工作流程
2.1 系統調查
開展政務信息系統風險評估的第一步就是進行系統調查。通過調查政務信息系統上運行的所有應用,了解系統主要業務的流程,清楚的掌握支持業務運行的硬件基礎設施的結構及安全系統現狀,收集風險評估所需的系統全部信息。在進行系統調查的同時,還需對系統風險評估的評估范圍進行分析、界定。對系統邊界進行明確定義,有助于防止不必要的工作,并對改進風險評估的質量都是很重要的。
第2篇
關鍵詞:風險評估;報告;內控體系
中圖分類號:F272 文獻標識碼:A 文章編號:1001-828X(2014)010-00-01
風險評估工作與內部控制體系的建設相互促進、有機結合,是企業圍繞總體經營目標,識別企業各業務單元、各項重要經營活動及其重要業務流程中的風險,并對風險發生的可能性和影響程度進行分析、評價和應對的過程。
總體而言,風險評估報告的結構至少應包括四部分內容:其一,企業情況概述,本部分就企業風險評估項目背景、定位與目標、理念與方案三大內容進行概括與總結,便于報告使用者理解本次風險評估工作的基本目標與方法;其二,風險評估實施過程,本部分是整個風險與內控體系建設工作的起點,旨在構建一個具有代表性又有擴展性的通用風險管理標準,從風險管理知識宣傳、風險分類與定義、風險評估標準三大方面初步構建企業風險管理基礎平臺;其三,識別企業面臨的重大風險,根據風險調查問卷和風險調研訪談,識別出企業面臨的重大風險,以供企業管理層參考;其四,風險管理體系的建設,結合企業風險管理的現狀,提出相應的改進措施,包括風險管理組織結構設置、職能設置、工作流程及工作防范建議。
以上四部分在風險評估報告中層層推進,構成完整的風險評估過程,以下作詳細說明。
一、風險評估項目概述
(一)風險評估項目背景
本部分重點介紹企業的成立、發展沿革,行業背景,分子公司情況以及業務架構、組織結構等。編制企業風險評估報告的重要意義在于企業管理層希望借助風險評估項目,有效識別和評估影響本企業戰略和經營目標的內外部風險源,并通過健全重大風險的應對與管控機制,有效地平衡好風險與收益,提高企業風險防范能力,從而防范和降低各類風險對企業經營的沖擊,為企業實現戰略和經營目標保駕護航。
(二)關于風險評估項目定位與目標
風險評估項目旨在達成三大目標:其一,建立風險管理基礎,構建一個具有代表性又有擴展性的通用風險管理標準,統一企業的風險管理語言和標準;其二,明確重大風險領域,采用全面梳理與重點分析相結合的方式,識別和分析企業戰略、經營、財務與合規領域中的重大風險,協助管理層統一對風險的認識;其三,團隊能力建設與知識培養,加強和提高企業總部和各業務群管理團隊對風險管理工作的參與度和認知,最大程度實現知識轉移。
二、風險評估項目實施過程
(一)關于判斷風險分類與定義
應從企業戰略出發,參考COSO內部控制整合框架、行業風險數據庫以及企業的風險管理實務,并結合企業的戰略目標、實際情況等因素,建立適用于本企業的風險數據模型(即風險地圖),從戰略風險、運營風險、合規風險及財務風險四大方面對企業所面臨的風險進行分類和定義,從而為統一公司的風險管理語言奠定基礎。
(二)關于設立風險評估標準
為了對上述四大類風險的重要性進行評定并據此明確風險管理的優先次序和資源配置方向,應從風險發生可能性和風險影響程度兩個維度建立符合企業實際情況的風險評估標準,以反映風險發生可能性由極低至極高,和風險影響程度由極輕微至災難性的不同等級。
(三)關于實施風險評估過程
為了協助管理層更好地理解和評估風險,應以風險數據庫和評估標準為基礎,通過風險調查問卷的發放、收集與統計,風險調研與風險訪談等多種形式,在企業總部和業務群開展多層次、全方位的風險識別與評估工作。通過上述工作,不僅協助企業管理層評估重大風險領域所在,而且還能分析其可能影響的戰略及經營目標,從而為企業明確風險責任,改進相關重點業務領域中的風險管控措施明確方向。
三、針對企業風險評估的調研結果
結合風險調查問卷與風險調研訪談的結果,企業管理層對影響本企業戰略和經營目標實現的眾多風險進行客觀評估,并由此明確前幾大風險的優先次序。這些風險可能是:產業(產品)戰略和多元化、戰略規劃、市場營銷、風險管理體系建設、公司高層的基調、品牌及聲譽管理、銷售模式、客戶結構風險、人力資源規劃及政策、組織結構等等。這些風險并不是獨立存在,在實際經營環境中,各類風險往往互相影響、互相牽制,共同對企業實現經營目標產生影響。為此,還應對上述重大風險及其內在關系進行相應的邏輯分析,以協助管理層梳理各項重大風險之間的關系。
四、企業風險管理體系搭建
一套成熟完善的風險管理框架包括戰略(目標)、風險以及流程與控制。企業戰略處于企業管理及風險管理體系的最高層,是企業風險管理以及流程內控建設的出發點,風險管理體系必須緊緊圍繞企業戰略。風險則是影響企業戰略管理體系的實施與戰略目標達成的不確定因素,企業需要將外部環境、內部經營與戰略目標進行對比,以識別出影響企業戰略的重要風險。企業流程與管控體系則是風險管理體系的重要落腳點,完善的風險管理體系可以從企業的流程、制度等管控體系中識別出影響,并從風險管理體系的制度及流程建立風險應對措施。
(一)風險管理體系現狀分析
一套完善的風險管理體系通常由業務部門、風險管理部門和內部審計部門組成的“三道防線”共同構成。通常,企業均能初步搭建起風險管控體系的三道防線,如:1.各業務部門負責關注各業務領域內的風險并采取相應的控制措施降低風險;2.企業管理部負責公司運營風險管理,對運營風險進行預警和控制,為公司的經營、管理決策提供可行性、合法性分析和法律風險分析;3.審計監察部主要負責集團的財務審計、經營活動審計及其他專項審計。
(二)風險管理工作規劃
風險管理與內部控制體系的建設密切相關,相輔相成,沒有完善配套的內控體系,風險管理就如同紙上談兵、空中樓閣;而缺少風險管理的內控體系建設,會由于缺乏足夠的針對性而效率低下、浪費資源。
無論是《企業內部控制基本規范》或是COSO ERM模型,都將企業的目標分為四大類別,包括:戰略目標、經營目標、財務目標和合規目標。風險是影響企業目標實現的不確定性,而內部控制則是由企業董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的過程。因此,企業有目標就會有風險,而針對每個風險就會有相應的內部控制,以管理風險,從而合理保證目標的實現。
風險評估項目實施過程中,應協助企業初步搭建結合先進理論基礎、契合企業實際情況、符合國家監管要求的內部控制體系框架,將風險匹配到內控體系框架,并完成對該體系框架的評估、梳理和建設工作。
在此基礎上,需要進一步開展風險管理工作,逐步完善風險管理和內部控制體系,依據風險分層管理、分類管理和集中管理的要求,建立符合企業自身特點的全面風險管理組織體系。另外,在充分考慮企業規模以及業務發展需要的基礎上,針對近期及未來風險管理工作的重點,提出相應的參考及建議。如:完善企業風險管理組織架構中各管理層級的崗位職責。完善三道防線,其一,各風險責任部門的日常管理工作,包括,風險責任人、風險聯絡員等;其二,風險管理部門的管理工作,風險管理涉及公司的方方面面,建議由總裁、執行總裁等高級管理人員組成的風險管理委員會,負責公司整體風險管理工作,風險管理委員會下設風險管理部門,負責各業務部門風險管理工作的協調;其三,審計監督工作,審計監察部應對風險管理進行審查和評價,對風險管理工作進行監督,即對風險管理過程的設計和執行的有效性進行評價,并給出評價意見;審查和評價重大風險的評估和管理是否適當,將評價結果向審計委員會匯報。
風險評估工作結束后,形成風險評估報告,反映企業的風險及其分布狀況,為領導決策提供支持。通過風險辨識、風險分析及風險評價,形成風險評估初步結果后,就風險評估結果的真實性、準確性向企業風險管理委員會征求意見,并根據反饋的意見,調整、修正企業的風險評估結果,編寫出企業的風險評估報告,上報風險管理委員會或董事會進行審議。
參考文獻:
[1]企業內部控制基本規范.財政部,證監會,審計署,銀監會和保監會聯合.
第3篇
關鍵詞:道路工程保險;風險評估;思考
隨著我國經濟的騰飛,加快了公路建設的發展。但公路建設的不確定性也很大,從風險管理和保險的角度進行考量,有助于我們清晰把握項目的風險特征,根據現場查勘的實際情況,進而對保險方案的制訂,風險標的的評估等各項內容應進一步的認識。
一、建設單位(或所有人),投資方(或責權人),承包人(或分包人)情況
對工程主要承包人要了解該公司的歷史,對類似的工程以往承建的經驗如何,承保人及其工程關系方的資信等情況。該項主要了解被保險人的情況,工程保險可以由多個共同被保險人,上述各項可以作為共同被保險人或單獨的被保險人。承包人作為最主要的被保險人,需要了解其以往建筑類似工程的經驗,據以判斷其承包該項目的風險程度;承包人及其工程關系方的資信將直接影響到工程資金的到位,進而關系到工程的進度,所以必要加以了解。
二、建設工程地址和自然地理條件
該項主要了解工程的施工地址,對該區域自然和人文情況有一個較為粗略的判斷,比如在城市和在農村、在平原和在山區、在我國的南方或在北方等就有很大的區別,同時自然地理情況,估計可能發生的自然災害或其它事故的可能性及預防措施,比如是否屬于瀉洪區,附近是否有水庫及河流,是否地震裂帶,是否容易發生風暴等。
三、提供工程合同,承保金額明細表,工程設計書,工程進度表,工程地質報告,工地略圖及危險單位劃分圖
工程合同中關于工程造價、工期及各關系方保險責任做出較詳細的規定,該規定對被保險人及保險人存在的風險有直接的影響,所以應了解合同有關的內容,承保金額明細表在承保時有助于確保總保險金額及分項金額,提醒被保險人足額投保;理賠時有助于受損金額的確定。工程設計書,工程進度表,工程地質報告,工程略圖有助于保險人了解與保險有關的工程進度、地貌等情況,危險單位劃分圖則可以直觀的了解風險單位的分布情況,有助于正確劃分危險單位,估計損失大小,測算MPL及安排分保。
四、意外事故風險
(一)隧道施工風險
隧道施工有常規風險和特殊風險兩部分,常規風險是指在無明顯地質災害的完整巖層中掘進,主要是爆破及通風不暢造成的人員傷害與設備損失風險。作為常規風險核心是爆破及支護兩個方面。而特殊風險則主要解決地質災害區段的隧道風險,其中主要包括巖體內裂隙水處理、裂隙危巖支護、滑坡段、斷層破碎帶、采空區、松散路段掘進中的塌頂等的防護,不同隧道的不良地質問題是不同的。
1.爆破作業風險。爆破作業客觀上歷來屬于高風險作業范疇,它包括對爆破材料的安全存放,爆破方式、爆破參數的選定、洞室爆破安全防范措施、警戒線的設置等。但核心是管理及爆破參數的選定。爆破材料的保管和安全風險主要在于選址和庫房結構是否由有關部門審批驗收;日常的安全管理工作(如避雷、防火、防盜、防爆),爆破材料的保管及運輸應有專人負責,未用完的爆破材料應經清點核實后,回庫保管,杜絕爆破材料的流失。因此,加強管理和作好人員安全意識教育,是防范這類風險發生的重要措施。爆破的專門設計和最佳爆破參數的選擇是行業的常規做法,最終爆破方案將取得業主和監理工程師的認可批準后,方可正式施工。一般來說,爆破工作雖然有發生各作業面施工交叉干擾及人員傷亡、設備損壞的可能性,但只要技術措施得當、安全管理到位、員工風險意識加強,則這種常規風險一般都可以控制在很小的范圍內。
2.不良地質區段風險。根據前述項目風險分析中涉及不良地質的描述,其中相當多的方面都是開挖時應防范的,如巖體內裂隙水、裂隙危巖支護、滑坡段、斷層破碎帶、淺埋段洞頂塌陷等,有些是在爆破后支護時應防護的如危巖支護、破碎帶處理、引排水措施等。
3.透水涌水風險。隧道工程地質勘察中如發現有巖溶及地下水不明情況,說明開挖中透水涌水的可能性是存在的,在施工需安排相應的防范及應對措施。基巖裂隙水在隧道施工中的影響與涌滲水量大小密切相關,因此在施工中只要合理采用以排為主,防、排、截、堵相結合的措施,則對隧道施工并不會構成大的災害。特別是涌水較大的情況均發生在夏季暴雨期,而在秋季降水補充不足時,涌水量會大大減少。
(二)橋梁施工風險
橋梁施工風險主要在于基礎施工,特殊橋型的上部結構施工、山區與隧道相連的高架橋施工以及橋梁輔助設施施工(如橋臺周邊的護坡、護岸施工等)。
橋梁基礎施工風險。橋梁基礎主要應防范的風險是在軟土地區鉆孔樁施工時施工質量與事故。這種事故主要發生在基樁的施工中可能出現的因意外事故主或泥漿配合比不合適,而造成施工中塌孔、縮頸、甚至斷樁等問題,這一風險對大直徑鉆孔樁出險概率很低,但一旦發生事故對后續施工及工期的影響較大,且清殘費用較高。基礎施工的另一個風險是夏季洪水或山區洪水突發可能造成對施工機具、施工平臺、鋼套管等及正在施工的標的物的損失,對橋梁鋪助設施(護堤、護坡施工)風險也同樣存在。控制這一風險的關鍵時避開山洪暴發期施工,如因搶工期必須在夏季施工,則應針對山洪暴發及泥石流采取有效的防范措施。對于高橋墩、長跨橋梁施工,一般具有橋高、施工場地狹窄、部分高架橋為橋隧相連的特征,從而造成:1.溝深山高,施工道路布置受雨季影響明顯;2.構件運輸條件差,施工機具設備作業面狹窄,吊裝工程難度大,易發生碰撞及傾覆事故;3.高橋數量多,高空作業風險明顯,特別對掛籃設備,現澆施工時,受風的影響較大,存在一定的安全隱患;4.隧橋相連,交叉作業有一定的干擾;5.基礎施工及橋上護岸、護堤、防護設施受山澗洪水影響較大。
(三)路基施工風險
路基施工風險除直接水毀外,比較重要的是高路堤施工和深路塹及高邊坡路基施工,兩者在風險方面比較相近。對于高路堤施工,主要風險源是坡面浸水,或洪水浸堤造成的路堤破壞、沖毀,或部分流失。需要合理安排施工順序及邊防護、邊堆高的施工工藝流程,以及堤下設排水溝及堤下留排水通道。目前,一般在充分了解當地暴雨滯留的地面水高底后,往往在施工中防護段高出地面水一定距離,防范作用明顯,一旦邊坡防護層施工完成后,只要排水通暢,事故率較低。對于深路塹及高邊坡路基施工,主要風險源是深路塹施工中的危石滾落或高邊坡未防護前的坍落,一旦發生大量坍塌,恢復原有斷面尺寸的填充費用往往比清理下瀉泥水土方、石方損失要大的多。
(四)其他工程施工風險
其他施工風險在常規施工中,仍潛伏著許多不為人們重視的風險。例如停電風險(引起混凝土輸送泵及管道中混凝土結塊,電動振動器無法工作,壓力灌漿中斷;設備防雨受潮損失;臨時電纜及架空電纜碰斷等);修筑聯絡線路損失;盜竊風險;工地火災風險等。只要在工程風險防范中加以重視,通常這些風險是可以回避的。
(五)施工設備風險
設備除可能遭受自然災害造成損失外,在運輸和運行中同樣存在風險。隧道開挖、道路、橋梁、路基鋪軌施工所用的設備多是大型設備。一旦發生災害(包括進場運輸)或在運行中發生意外事故,損失較大。對于以下四大類施工常用設備,現場施工設備及運輸設備出險概率要更大些。而混凝土拌和系統或附屬工廠設備風險相對較小(施工常用設備分類):1.土石方挖掘、回填、液壓鑿巖臺車、灌漿及混凝土施工的通用設備;2.附屬工廠及設施;3.混凝土生產系統及輸送設備;4.運輸設備。
五、自然災害風險
(一)暴雨、洪水風險
工程在隧道洞口施工、深路塹、高護坡施工、施工便道、高填土路基施工時,易使泥巖穩定遭到破壞,如不及時做好防護工作,一旦遇到暴雨,極有可能坍方和泥石流,造成標的物的損失或施工機器的損壞及第三者責任損失,為防止這一風險的發生,除應加強天氣預報觀測外,能及時做好邊開挖、邊防護是很重要的,減少和防止這些風險事故發生的根本是按正常的施工程序,及時做好防護設施的施工,盡量減少開挖填筑土面的時間,及時按標準做好施工期及使用期的排水設施。
(二)其他自然災害
其他自然災害如地震、雷擊、冰雹、冬季凍災等也發生的可能性。從保險角度出發,施工過程中所發生的大面積塌方、滑坡、泥石流、高護坡崩塌均屬于山崩的保險責任范圍。但并不能因此而放松風險防范應采取的技術措施。其原因是一旦風險發生后,工期損失、人員窩工損失、設備閑置損失、免賠額是無法彌補的。同時,恢復工程現狀所付出的費用和人力、物力,有時也很難得到全額補償。
六、第三者責任風險
第三者責任風險損失不僅包括財產及人身損失,更重要的是可能引的社會責任和社會影響,運這一點在公路建設項目也很突出。該項可根據被保險人對第三者責任風險的要求程度及周圍情況或可能發生的危險程度,保險人提出自己的保險建議(即賠償限額,費率和免賠額的大小等承保條件)及被保險人應注意的事項;例如:地處城市鬧區的工程可能發生的風險程度一般大大高于遠離市區的空曠地帶的工程。
七、管理風險
