时间:2022-07-04 03:28:54
引言:寻求写作上的突破?我们特意为您精选了12篇人员风险评估报告范文,希望这些范文能够成为您写作时的参考,帮助您的文章更加丰富和深入。
下城区疾控中心的32个病原微生物检测项目。
1.2方法
1.2.1评估内容
根据《实验室生物安全通用要求》(GB19489—2008)及其他相关法律、法规和世界卫生组织等权威机构的指南,对病原微生物危害程度分类、特性、来源、传染性、传播途径、易感性、潜伏期、剂量—效应关系、致病性、在环境中的稳定性、流行病学特征,预防措施和治疗措施,实验室设施和设备,人员、实验方法、危险材料、实验器材、废弃物处理和突发事件应急控制等要素进行风险评估。
1.2.2评估过程
微生物检测人员收集病原微生物背景资料和信息,进行风险评估,确定风险控制措施,并编制风险评估报告。中心生物安全委员会对风险评估报进行校核,并组织专家评审。
1.2.3风险评估方法
从采样到分离、检测、鉴定等整个实验过程和实验活动中每个环节可能产生的风险进行一一识别,针对存在的风险,逐项进行分析、评估,并提出相应的风险控制措施,包括必须使用国家标准、行业标准等经过确认的方法进行检测,病原微生物感染性材料操作必须在生物安全柜内进行,采样检测时必须正确穿戴个人防护用品,检测人员必须具备专业背景知识和满足生物安全培训要求,生物安全设备和检测设备的正确使用、检定、校准及维护,菌(毒)株使用、保存、销毁及运输的规范,不同废弃物具体分类处理要求等。
1.2.险评估报告模式
以病原微生物概述、病原微生物检测相关实验活动风险识别及风险评估、人员风险识别及风险评估、其他风险识别及风险评估、控制风险的措施以及评估结论为主线,编写病原微生物实验活动风险评估报告。评估结论主要明确所涉及病原微生物的危害等级、需要的实验室防护等级以及个体防护等级等,并对整个实验活动过程中的风险,如人员、设施设备、实验方法、防护措施及自然灾害等方面是否能确保实验活动正常安全地完成进行简要总结。
1.2.5专家评审
组织浙江省熟悉相关病原微生物特征、实验设施设备、操作规程及个体防护设备的不同领域专家,对风险评估报告进行评审,并不断修订完善。
2结果
2.1风险评估报告
根据收集的病原微生物相关资料和实际评估内容,编制了风疹病毒、麻疹病毒、人类免疫缺陷病毒、乙型脑炎病毒、汉坦病毒和甲、乙、丙、丁、戊型肝炎病毒、霉菌和酵母菌、梅毒螺旋体、钩端螺旋体、肠球菌、溶血性链球菌、金黄色葡萄球菌、单核细胞增生李斯特菌、霍乱弧菌、副溶血性弧菌、变形杆菌、沙门菌、志贺菌、致泻性大肠埃希菌、蜡样芽孢杆菌、军团菌、小肠结肠炎耶尔森菌、脑膜炎奈瑟菌、淋病奈瑟菌、致病性嗜水气单胞菌、空肠弯曲菌、铜绿假单胞菌、类志贺邻单胞菌共32个病原微生物实验活动风险评估报告,包括10个病毒、19个细菌、2个螺旋体和1个真菌。
2.2专家评审结果
2013年12月邀请省、市级疾控中心病毒、微生物、毒理、流行病学和实验室质量管理领域的7名资深专家对32个病原微生物风险评估报告进行评审。专家们肯定了课题组风险评估方法的先进性、评估内容的完整性、风险评估报告的规范性和评估体系的可行性,并提出4条修改意见和建议:
(1)风险评估与风险控制活动复杂程度取决于实验活动实际的危险特性,并不一定都需要复杂的风险评估和风险控制,应根据各种危险源特征和强度适宜地开展风险评估和风险控制活动;
(2)风险评估既要识别各种风险源,提出科学的防范措施,将风险控制在最低水平,也应避免过度、盲目的防护;
(3)应注意到同一种病原微生物在不同实验活动时潜在的危险性不同;
(4)危害程度分类相同的不同种病原微生物对工作人员可能产生的危害不同。课题组按照专家意见重新进行风险评估,对评估报告进行修订并邀请专家再次审核修订的评估报告,认为这32个病原微生物实验活动风险评估报告对目前生物安全实验室,特别是疾控系统的二级生物安全实验室具有普遍指导意义。
3讨论
在近代,随着工农业的飞速发展,人们燃烧煤、石油、天热气等,向大气中释放二氧化碳(CO2)、甲烷(CH4)、氧化亚氮(N2O)等温室气体,使大气升温,大气中积聚的能量增加,雷暴强度和雷暴次数明显上升。特别在近十年,丽水市地区城市化发展非常迅速,人口和高层建筑密集,精密仪器和电子设备大量增多,致使雷电灾害和雷击事件频繁,已影响到城市的现代化建设。雷击风险评估是科学设计防雷的前提和重要依据。由于以前对雷击风险评估的认识及技术、人才的不足,故这项工作目前正处于探索发展阶段。
1 关于雷击风险评估的法律法规
为了防御气象灾害,避免或减轻灾害造成的损失,保障人民的生命财产安全,根据《中华人民共和国气象法》,国务院颁发了《气象灾害防御条例》;中国气象局制定了《防雷减灾管理办法》和《防雷装置设计审核和竣工验收规定》,为雷击风险评估工作的开展提供了法律法规依据。
2 加强雷击风险评估的宣传工作
雷击风险评估是防雷装置设计前所必须取得的技术资料,是防雷工程设计科学合理的关键环节,是保证防雷工程设施安全的前提。近几年丽水地区各级政府加大了招商引资的力度,一系列政府投资项目、重点工程和工业项目陆续建设,为雷击风险评估工作的开展提供了难得的契机,初步开展了雷击风险评估工作,但开展评估的项目不多,成效并不显著,这主要与人们对雷击风险评估工作的重要性认识不足,觉得没有必要,因此必须加强宣传,同时对施工单位要进行及时的沟通和耐心的解释。可以通过电视、发放宣传材料和悬挂标语等各种途径尽可能广泛的宣传雷击风险评估的必要性和重要性,尽快形成普遍的社会共识,使人们重视此项工作。也可以建立自己的网站,把相关的法律法规文件在网站上,以提高社会对此项工作的重视程度。
3 加强管理和协调
雷电灾害与被保护物所处的地理位置、地理环境及被保护物性质等有关,因此对被保护物应采取几级防雷措施做出判定,对采取这种措施后存在的风险进行雷击模拟,做出雷击风险评估报告,为防雷设计的准确可靠提供技术参考,使防雷图纸设计更加科学合理,防患于未然,以避免防雷装置设计不科学、不合理而带来的经济损失。雷击风险评估必须是建设项目在出施工图纸之前完成,才能发挥其重要的作用,因此必须加强管理和协调,对需进行雷击风险评估的项目提出评估的意义及法律法规依据,把形成的书面意见递交有关主审单位,明确在项目出施工图纸之前,必须进行必要的雷击风险评估。利用行政审批服务中心,把雷击风险评估纳入行政审批程序中,把雷击风险评估的条款要求加入行政审批规范表、行政审批服务手册和行政审批指南中,明确雷击风险评估报告是防雷设计审核前必须提供的申报材料。
4 雷击风险评估现存在的问题及措施
4.1 雷击风险评估开展的范围小,效果不明显
自丽水地区开始对新建、改建、扩建建设项目展开雷击风险评估以来,只是对高层建筑、大型商场、大型厂房等新建项目进行了评估,因已建项目开展难度大,到目前为止还未大力开展,评估的项目不多,成效不是很明显。
4.2 法律法规不够完善
从开展此项工作的法律法规依据来看,虽然《气象灾害防御条例》、《防雷减灾管理办法》和《防雷装置设计审核和竣工验收规定》等都初步规定了雷击风险评估工作的部门及评估的相关范围,但对雷击风险评估的法律制度只是作了概要性规定。故急需加强法律法规的建设,对评估行为的性质及评估的具体项目和具体范围进一步作出明确的规定。
4.3 雷击风险评估运行模式不统一
目前丽水地区各县运行的模式不统一,有按行政许可事项进行运作的,有按政府运转行为进行操作的,也有按市场行为进行运作的,故造成了收费行为不规范。将雷击风险评估按行政许可事项进行运作,并纳入地方政府考核最为妥当。
4.4 雷击风险评估报告格式不统一
从各县完成的报告来看,格式不统一,内容的表达形式多种多样,评估标准也不一样,故很难体现报告的严肃性以及权威性,急需采用统一的格式和标准。在评估时尽量使用更多的雷电探测资料,以保证报告内容的科学性和客观性。
4.5 雷击风险评估报告易流于形式
雷击风险评估是为防雷装置的设计提供科学依据的,故其工作应在项目方案初步设计阶段完成,才能真正在施工图中得以引用。但现在情况是在施工图纸防雷审核时才去补办雷击风险评估报告,故易使雷击风险评估流于形式。这就需要气象部门加强宣传的同时及时与业主和施工图设计单位沟通,要求其在出施工设计图前就要到气象局申请进行雷击风险评估,只有这样雷击风险评估业务才能真正被人们认识和接受,才能广泛的开展下去。
4.6 加强人才的培养
雷击风险评估工作目前正处于摸索发展阶段,因此专业人才较为缺乏。雷击风险评估业务目前由防雷中心图纸审核人员兼任,专业人员不足,任务繁重。应加大雷击风险评估业务的专业技能培训,培养一批优秀的雷击风险评估专业人员充实到业务中,为雷击风险评估业务的开展提供人员技术支撑。各级气象部门应加强技术交流,加强科技创新,避免雷击风险评估报告脱离实际、流于形式的情况。
5 结语
开展雷击风险评估工作,是履行气象法律法规的需要,也是增强气象部门公共气象服务能力的需要。要推进雷击风险评估业务跨越式发展,必须加强宣传,加强管理和协调,加强科技创新,加强专业人才的培养,切实增强科技服务人员的责任意识和业务能力,优化环境和政策。
参考文献:
第二条 本办法所称雷电灾害风险评估,是指以实现系统防雷为目的,根据大气雷电环境、地理地质条件等参数,对防护对象可能遭受雷击的概率及雷击后产生后果的严重程度进行分析计算,为防雷工程设计提供依据的专业技术活动。
第三条 本办法适用于本市行政区域内的雷电灾害风险评估活动。
第四条 市气象主管机构负责本市行政区域内雷电灾害风险评估活动的监督管理。
长安区、临潼区及市辖县气象主管机构在市气象主管机构的指导下具体负责本行政区域内雷电灾害风险评估活动的监督管理。
发展改革、规划、建设、安监、民政、公安等行政管理部门应当按照职责,协同做好雷电灾害风险评估工作。
第五条 气象主管机构应当组织民政等部门,对本行政区域内发生的雷电灾害和造成的损失等情况开展普查,建立雷电灾害基础数据库,编制雷电灾害风险区划,并向社会公布。
第六条 下列建(构)筑物、场所和设施应当在防雷装置设计前,进行雷电灾害风险评估:
(一)国家、省和本市确定的大型建设工程、重点工程和重点文物保护工程;
(二)新建、改建、扩建的危险化学品、民爆物品和易燃物品生产、输送、储存工程;
(三)高度超过50米或者单体建筑面积超过2万平方米或者群体面积超过30万平方米的建(构)筑物;20层(不含20层)以上居住建筑;
(四)大型体育场馆、医院、学校、商场和旅游景点等人员密集场所;
(五)其他需要进行雷电灾害风险评估的建(构)筑物、场所和设施。
第七条 雷电灾害风险评估应当由建设单位委托防雷减灾专业机构(以下简称评估机构)进行,并签订服务协议。
第八条 评估机构应当在接受委托后按照国家、省相关规定和技术标准编制建设工程雷电灾害风险评估报告,并对评估结论负责。
第九条 评估机构进行雷电灾害风险评估,应当使用气象主管机构所属气象台站直接提供的气象资料或者经过当地气象主管机构审查的气象资料。
第十条 雷电灾害风险评估报告应当包括下列内容:
(一)建设工程概况;
(二)评估所依据的标准、规范、规程和方法;
(三)评估所用数据代表性、可靠性说明;
(四)建设工程所在区域的气候背景、雷电环境分析;
(五)雷电灾害风险性分析,极端雷击事件出现概率;
(六)预防或者减轻影响的措施和建议;
(七)其他需要报告的事项。
第十一条 市气象主管机构应当组织专家对雷电灾害风险评估报告进行评审。评审可以采取书面评审或者会议评审的方式进行。
长安区、临潼区及市辖县行政区域内雷电灾害风险评估报告的评审工作,由所在地区县气象主管机构组织实施。
雷电灾害风险评估报告应当经过专家评审后方可使用。经评审通过的雷电灾害风险评估报告不得随意更改。
第十二条 需要进行雷电灾害风险评估的建设项目,建设单位在申请防雷设计审核时应当提供符合规定的雷电灾害风险评估报告。
雷电灾害风险评估报告作为建设工程防雷装置设计审核的依据。不能提供符合规定的雷电灾害风险评估报告的,气象主管机构不予受理防雷设计审核申请。
第十三条 建设单位应当配合气象主管机构和评估机构做好雷电灾害风险评估工作,自觉接受当地气象主管机构的监督管理。
第十四条 建设单位违反本办法规定,应当进行雷电灾害风险评估而拒不评估的,由所在地气象主管机构给予警告并限期责令改正。
第十五条 气象主管机构和评估机构工作人员在雷电灾害风险评估工作中滥用职权、徇私舞弊、玩忽职守的,由所在单位依法给予行政处分;构成犯罪的,依法追究刑事责任。
第十六条 本办法自20xx年2月11日起施行。
一、风险评估活动组织情况
(一)工作机制
本次风险评估活动,是在局内部控制工作领导小组的领导下,由财务室具体组织实施的。为完成工作,经局领导同意,财务室从办公室、思想政治和益维护科、移交安置科、优抚科、军休所、烈士陵园抽调相关工作人员组成内部控制风险评估小组,专门从事此次风险评估活动。
(二)风险评估范围
本次风险评估所涉及的业务范围分为:单位层面风险和业务活动层面风险。
1.单位层面风险主要包括以下三个方面:
组织架构风险:单位内部机构设置不合理、部门职责不清晰、内部控制管理机制不健全等情况导致的风险;
经济决策风险:单位经济活动决策机制不科学,决策程序不合理或未执行导致的风险;
人力资源风险:单位岗位职责不明确、关键岗位胜任能力不足等导致的风险。
2.业务活动层面风险。本单位经济活动业务层面的风险主要包括预算管理风险、收支管理风险、政府采购管理风险、资产管理风险、建设项目管理风险、合同管理风险以及其他风险。
(三)风险评估的程序和方法
1.风险评估程序。本次风险评估活动,风险评估小组先研究制定了风险评估工作计划,明确风险评估的目标和任务;其次组织召开了由各科室负责人参加的动员会,对风险评估活动做出了动员和安排,要求各科室先进行自查,查找风险点,研究整改措施,向风险评估小组汇报自查情况;再次,风险评估领导小组根据各科室的自查情况,选择关键科室和自查风险点少的科室进行重点检查,对其他科室也进行了快速检查;最后,根据各科室自查情况和现场检查的工作底稿和收集到的资料,进行风险分析,组织编写风险评估报告。
2.风险评估方法。本次风险评估活动,采用了风险清单法、文件审查、实地检查法、流程图法、财务报表分析法以及小组讨论和访谈等方法以识别风险;采用了概率分析法、情景分析法和风险坐标图法以分析风险。
(四)收集的资料和证据等情况
支持本风险评估报告的主要有风险评估工作底稿,相关文件、会计凭证、账本复印件,以及各科室的自查情况等。
二、风险评估活动发现的风险因素
(一)单位层面风险因素
单位的部分内控关键岗位的工作人员没有定期轮岗(风险点A1)。
(二)业务层面风险因素
1.单位预算未分解下达至各科室及业务部门,可能导致预算权威性不足,执行力不够;
2.单位未按规定建立票据台帐,不符合财务管理要求;
中图文分类号:TP393.08文献标识码:A文章编号:1009-3044(2008)29-0366-02
Research on Network Security Risk Assessment Appraisal Flow
XING Zhi-jun
(Railway Wagon Transport Branch Co. of China Shenhua Energy, Yulin 719316, China)
Abstract: Along with the network information age development, the Internet becomes people’s work gradually and lives the essential constituent, but also let the people face the multitudinous secret network threat at the same time. In the network security problem is not allow to neglect. This paper introduced the network security risk assessment appraisal flow in detail.
Key words: network security;risk assessment;appraisal flow
1 引言
网络安全风险评估就是通过对计算机网络系统的安全状况进行安全性分析,及时发现并指出存在的安全漏洞,以保证系统的安全。网络安全风险评估在网络安全技术中具有重要的地位,其基本原理是采用多种方法对网络系统可能存在的已知安全漏洞进行检测,找出可能被黑客利用的安全隐患,并根据检测结果向系统管理员提供详细可靠的安全分析报告与漏洞修补建议,以便及早采取措施,保护系统信息资源。
风险评估过程就是在评估标准的指导下,综合利用相关评估技术、评估方法、评估工具,针对信息系统展开全方位的评估工作的完整历程。对信息系统进行风险评估,首先应确保风险分析的内容与范围应该覆盖信息系统的整个体系,应包括:系统基本情况分析、信息系统基本安全状况调查、信息系统安全组织、政策情况分析、信息系统弱点漏洞分析等。
2 风险评估的准备
风险评估的准备过程是组织进行风险评估的基础,是整个风险评估过程有效性的保证。机构对自身信息及信息系统进行风险评估是一种战略性的考虑,其结果将受到机构的业务需求及战略目标、文化、业务流程、安全要求、规模和结构的影响。不同机构对于风险评估的实施过程可能存在不同的要求,因此在风险评估的准备阶段,应该完成以下工作。
1) 确定风险评估的目标
首先应该明确风险评估的目标,为风险评估的过程提供导向。支持机构的信息、系统、应用软件和网络是机构重要的资产。资产的机密性、完整信和可用性对于维持竞争优势、获利能力、法规要求和一个机构的形象是必要的。机构要面对来自四面八方日益增长的安全威胁。一个机构的系统、应用软件和网络可能是严重威胁的目标。同时,由于机构的信息化程度不断提高,对基于信息系统和服务技术的依赖日益增加,一个机构则可能出现更多的脆弱性。机构的风险评估的目标基本上来源于机构业务持续发展的需要、满足相关方的要求、满足法律法规的要求等方面。
2) 确定风险评估的范围
机构进行风险评估可能是由于自身业务要求及战略目标的要求、相关方的要求或者其他原因。因此应根据上述具体原因确定分险评估范围。范围可能是机构全部的信息和信息系统,可能是单独的信息系统,可能是机构的关键业务流程,也可能是客户的知识产权。
3) 建立适当的组织结构
在风险评估过程中,机构应建立适当的组织结构,以支持整个过程的推进,如成立由管理层、相关业务骨干、IT技术人员等组成的风险评估小组。组织结构的建立应考虑其结构和复杂程度,以保证能够满足风险评估的目标、范围。
4) 建立系统型的风险评估方法
风险评估方法应考虑评估的范围、目的、时间、效果、机构文化、人员素质以及具体开展的程度等因素来确定,使之能够与机构的环境和安全要求相适应。
5) 获得最高管理者对风险评估策划的批准
上述所有内容应得到机构的最高管理者的批准,并对管理层和员工进行传达。由于风险评估活动涉及单位的不同领域和人员,需要多方面的协调,必要的、充分的准备是风险评估成功的关键。因此,评估前期准备工作中还应签订合同和机密协议以及选择评估模式。
3 信息资产识别
资产是企业、机构直接赋予了价值因而需要保护的东西,它可能是以多种形式存在的,无形的、有形的,硬件、软件,文档、代码,或者服务、企业形象等。在一般的评估体中,资产大多属于不同的信息系统,如OA系统、网管系统、业务生产系统等,而且对于提供多种业务的机构,业务生产系统的数量还可能会很多。
资产赋值是对资产安全价值的估价,不是以资产的帐面价格来衡量的。在对资产进行估价时,不仅要考虑资产的成本价格,更重要的是要考虑资产对于机构业务的安全重要性,即由资产损失所引发的潜在的影响来决定。为确保资产估价时的一致性和准确定,机构应按照上述原则,建立一个资产价值尺度(资产评估标准),以明确如何对资产进行赋值。资产赋值包括机密性赋值、完整性赋值和可用性赋值。
4 威胁识别
安全威胁是一种对机构及其资产构成潜在破坏的可能性因素或者时间。无论对于多么安全的信息系统,安全威胁是一个客观存在的事物,它是风险评估的重要因素之一。
5 脆弱性识别
脆弱性评估也称为弱点评估,是风险评估中的重要内容。弱点是资产本身存在的,它可以被威胁利用、引起资产或商业目标的损害。弱点包括物理环境、机构、过程、人员、管理、配置、硬件、软件和信息等各种资产的脆弱性。
6 已有安全措施的确认
机构应对已采取的控制措施进行识别并对控制措施的有效性进行确认,将有效的安全控制措施继续保持,以避免不必要的工作和费用,防止控制措施的重复实施。对于那些被认为不适当的控制应核查是否应被取消,或者用更合适的控制代替。安全控制可以分为预防性控制措施和保护性控制措施两种。预防性控制措施可以降低威胁发生的可能性和减少安全脆弱性;而保护性控制措施可以减少因威胁发生所造成的影响。
7 风险识别
根据策划的机构,由评估的人员按照相应的职责和程序进行资产评估、威胁评估、脆弱性评估,在考虑已有安全措施的情况下,利用适当的方法与工具确定威胁利用资产脆弱性发生安全事件的可能性,并结合资产的安全属性受到破坏后的影响来得出资产的安全风险。
8 风险评估结果记录
根据评估实施情况和所搜集到的信息,如资产评估数据、威胁评估数据、脆弱性评估数据等,完成评估报告撰写。评估报告是风险评估结果的记录文件,是机构实施风险管理的主要依据,是对风险评估活动进行评审和认可的基础资料,因此,报告必须做到有据可查,报告内容一般主要包括风险评估范围、风险计算方法、安全问题归纳以及描述、风险级数、安全建议等。风险评估报告还可以包括风险控制措施建议、参与风险描述等。
由于信息系统及其所在环境的不断变化,在信息系统的运行过程中,绝对安全的措施是不存在的。攻击者不断有新的方法绕过或扰乱系统中的安全措施,系统的变化会带来新的脆弱点,实施的安全措施会随着时间而过时等等,所有这些表明,信息系统的风险评估过程是一个动态循环的过程,应周期性的对信息系统安全进行重新评估。
参考文献:
(一)探索意义
我国城市公共安全风险评估作为风险评估中国化的一个具体实践范畴,具有世界城市公共安全风险评估的一般性特征,同时又是一种有着特定内涵背景与现实要求的举措。
开展公共安全风险评估,是我国城市对接世界先进城市公共安全管理大趋势的主动作为。随着经济全球化和互联网时代的到来,人类社会已进入了高风险时期。城市更是处于“风险胶囊”之中,人口高度密集、快速流动,经济要素高度积聚,政治、文化及国际交往活动频繁,往往成为公共安全风险的重灾区。世界先进城市是一个全面且本质安全的城市,虽然它们的公共安全管理措施各有千秋,但将风险评估纳入政府管理职能体系,把风险评估作为风险管理的第一道防线和核心分析框架[1]却是共同选择。英国伦敦、日本东京、美国纽约等国际化大都市结合各自的市情,建立了各具特色的城市风险评估体系,[2]其常态运作效用显著。我国城市正在朝着“安全发展示范城市”这一目标努力,然而,城市公共安全领域仍存在着诸多不安全的因素,屡屡发生重大安全事件。这些事件暴露了在公共安全风险评估上存在的诸多问题。开展公共安全风险评估,正是基于对风险评估发展趋势的前瞻预判,因势而谋,顺势而为。
开展公共安全风险评估,是城市政府落实国家法律规定,履行政府社会管理和公共服务职能的根本要求。中央从国家长治久安的高度,强调开展风险评估的重要性及迫切性,对风险评估作了明确部署。2007年11月施行的《中华人民共和国突发事件应对法》第5条规定“国家建立重大突发事件风险评估体系,对可能发生的突发事件进行综合性评估,减少重大突发事件的发生,最大限度地减轻重大突发事件的影响”。第20条要求“省级和设区的市级人民政府应当对本行政区域内容易引发特别重大、重大突发事件的危险源、危险区域进行调查、登记、风险评估”。这就需要城市政府对照中央的新要求,找出城市政府职能存在的短板,拿出有效举措,力争有所突破。
(二)探索概貌
一些城市对风险评估进行了积极实践并取得了一定经验,探索主要从五个方面展开。
一是专项风险评估。一些城市早在上个世纪90年代就组织专业团队或第三方机构对城市安全进行专项风险评估(如火灾风险)。近年来主要集中在两个领域。其一是社区灾害风险评估。2009~2011年,上海市民政局探索建立上海市社区综合风险评估模型,包括社区风险评估模型的开发以及社区风险地图的绘制两部分。社区风险评估模型的开发主要包括社区脆弱性评估、社区致灾因子评估以及社区减灾能力评价三部分。社区风险地图包括五类内容:危险源、重要区域、脆弱性区域、安全场所以及应对措施。[3]其二是安全生产领域。天津港“8・12”爆炸事故后,2015年11月滨海新区启动城市安全风险评估。2016年8月完成全区城市安全风险评估,形成滨海新区《城市安全风险评估报告》《城市安全风险电子地图》以及多套方案。《城市安全风险评估报告》主要对滨海新区的危险化学品工业风险单元、危险品运输风险单元、人员密集场所风险单元、其他风险单元等4大类35小类的城市安全风险源进行了定性定量分析,在风险评估的基础上对各类风险源进行了分级,评估了各区域中各类安全风险的安全分布。根据评估结果,制作形成了《滨海新区城市安全风险电子地图》,将各类、各级别的风险源绘制在一张电子地图上。广州市安监局历时1年时间于2016年6月完成《广州城市安全风险评估》,这是全国范围内首次针对城市级别安全生产全领域开展的风险评估工作。评估将广州市的城市安全单元分解为工业风险单元、城市人员密集场所单元、城市公共设施单元等3类风险单元,34种风险源进行了风险评估和分级,辨识出各种风险源中的一级特别高风险单元和二级高风险单元,并采用科学的方法评估了广州市城市整体和各区的安全风险水平,明晰了重大事故风险构成,并绘制了广州市城市安全风险地图。
二是大型公共活动风险评估。风险评估作为一种有效的管理手段,在最近几年我国大型公共活动中得到了广泛运用。2008年北京奥运会首次引入了风险评估,形成了73份风险评估报告。[4]北京奥组会依据这些风险评估报告,构成了多层次、全方位的“五个一”(一个根本、一个原则、一个机制、一个保障、一个关键)的奥运风险管理体系。2010年上海世博会的风险评估[5]也卓有成效。评估分为自然灾害、事故灾害、公共卫生、社会安全和新闻管理五大类,每一大类都内含若干小类。专业管理部门根据自身的职责范围,开展专项的风险识别和评估。例如,上海气象局完成了《上海世博会气象灾害风险初始评估报告》《上海世博会恶劣天气风险评估报告》《世博轴阳光谷气象灾害安全评估报告》《上海世博会开幕式恶劣天气风险评估报告》等风险评估报告,为相关部门及时整改提供依据。
2011年第26届世界大学生夏季运动会在深圳市举办。按照统一部署,各区、各部门和单位针对辖区和工作领域范围内各类风险进行全面排查,分析评估。深圳市气象部门全面开展气象灾害风险评估。大运会主赛区龙岗赛区委员会组织专门的科研学术机构对赛区内各类风险和重大危险源(点)进行了全面调查和深入分析,对可能发生的30种风险进行评估,完成了《龙岗赛区突发事件风险评估报告》。医疗卫生指挥部形成《大运会突发公共卫生事件风险评估技术报告》。其他专项指挥部和赛区均开展了风险分析和评估工作,为总指挥部的决策提供了有力支持。[6]
三是重大工程、重大决策和重大事项风险评估。2004年汉源事件发生后,四川省遂宁市于次年在全国率先探索率先建立重大工程建设项目稳定风险评估制度。2007年4月,中央维护稳定工作领导小组决定在全国推广遂宁经验。随后,很多城市把重大事项社会稳定风险评估制度建设引入维稳工作中,在组织领导体制、评估内容和流程等方面具有不同的特色,形成了不同特点的评估模式。
四是中德灾害风险管理合作项目试点风险评估。国家行政学院和有关地方政府通过项目试点,引入了德国等发达国家在风险评估工作中的先进做法,并且将国外经验本土化,从风险评估参数体系、各参数临界值设定、风险发生可能性判定到风险矩阵图标绘,形成了一整套适应试点地的风险评估体系。公共风险治理与预案优化子项目于2010年12月在重庆市九龙坡区启动,九龙坡区对辖区内自然灾害类、事故灾害难的风险点、危险源进行全面排查、识别和登记。[7]另一个子项目于2011年10月在深圳市宝安区启动,形成了宝安区的风险评估模型。该模型将整个风险管理流程有机串联起来,而且在风险损害计量中充分考虑各类影响,创新提出风险值和风险图谱概念。[8]
五是城市全区域全类别的风险评估。2012年10月,深圳启动全市公共安全评估,成为我国最早开展城市公共安全评估的地区。市应急办组织四家专业机构,对全市自然灾害、公共卫生、事故灾难、社会安全等公共安全领域进行评估,于2013年4月完成了各类别评估报告、《城市公共安全白皮书》的编制工作。[9]对识别出的每一项风险,综合分析风险发生的可能性和后果严重性,对照风险矩阵图,评定风险等级,确定风险大小。风险发生的可能性,由低到高分为低等级、中等级、高等级、极高等级4个等级。评估结果是共识别公共安全风险源138项,其中,中低等级风险87项,高等级风险46项,极高等级风险5项,全市公共安全总体风险为中等偏高水平,在洪涝灾害、地质灾害、火灾事故、交通事故、生产安全事故、等方面,面临较高风险。
二、城市公共安全风险评估的现实难题
(一)风险评估缺少顶层设计,准备工作不到位
由于我国城市公共安全管理的重点在于应急管理,导致对风险评估的重要性认识不足、重视不够,仅将风险评估作为应急管理的一种手段,没有从城市公共安全管理战略高度对风险评估进行统一谋划和系统化设计。
一是基础理论研究供给不足。我国学术界对城市公共安全风险评估的研究还在探索阶段,没有提出一套成熟的理论框架,尤其是通过经验研究的方式展现评估机制在理论和实践两方面存在问题的研究还比较少,缺少能够进入政府决策的应用性、实战性的成果。开展风险评估的城市很少组织专门的课题研究,评估缺乏科学系统的理论支撑和指导,评估原则、评估指标体系、评估模型、评估依据、评估技术与方法、评估程序等没有规范化、标准化。
二是制度供给不足。我国还没有出台一部公共安全风险评估的法律法规,只是在《突发事件应对法》《安全生产法》等法律的个别条文中有所涉及。城市风险评估只是政府系统内部的工作指导类的规则制度,并非由立法机关等部门制定的正式法律法规。
三是人才供给不足。政府部门自身力量并不足以开展风险评估工作,从事风险评估的人员大多数是临时抽调的,不具有专业背景。风险评估业务培训少方式单一,政府部门工作人员对风险评估业务了解不深、流程不熟,难以满足评估需求。特别是培训内容主要讲评估怎么操作、风险等级分数怎么划定等技术性问题,评估的理论依据很少涉及,很多评估工作者对风险评估的内在逻辑与学理基础缺乏必要的认识,在实际评估中“知其然而不知其所以然”,容易造成评估的盲目性。
(二)风险评估主体单一,落实“政府主导、专业评估、公众参与”原则不严
一是出现了评估的决策者与实施者合二为一的现象。安全评估工作领导小组、市应急办、相关职能部门和各区政府主导和掌控整个评估,既负责提出评估动议,也负责召集专家学者和基层代表参与评估,难免会将自己的倾向性意见渗透其中,使评估陷入“既当运动员又当裁判员”窘境,必然影响风险评估的客观性、中立性。
二是专业团队和专业机构的独立性和客观性不够。牵头开展专项风险评估工作的是由市应急委、安委会各成员单位的各类专家、专业人员为骨干组成评估队伍,他们来自体制内,存在着附和政府决策的可能性。通过政府采购的方式,引入了专业机构,但它们的评估经费来源于政府,主要利用相关部门和各区的各类风险评估的结果,只是对存在空白和模糊的领域和区域进行补充调研和评估。
三是公众的角色只是被动的意见的收集对象,而不是主动的评估参与者。政府部门通过政府网站和新闻媒体,公开征集深圳市公共安全评估和公共安全体系的建设意见和建议。然而这种方式过于简单,没有多途径、多渠道广泛征求意见,公众对评估结果的影响力极为有限。评估报告没有公开供公众和媒体查询,公众只能从报纸电视等媒介了解到的评估结果信息往往是零星的、不及时的、不完整的、不连续的。政府对评估结果运用情况的公开就更少了。
(三)评估体系不完善,影响了风险评估的科学性
一是评估方法的局限性。中华人民共和国国家标准《风险管理风险评估技术》(标准编号:GB/T27921-2011)中列出的风险评估技术共有31种,有定量的、半定量的、定性的及其组合。城市公共安全风险评估所采用的方法以宏观定性为主,具体有比较分析法、专家打分法、风险矩阵法。专家打分法依靠专家的主观判断,会因专家专业背景、工作经验的不同以及对自己研究领域内容特别的关注,导致风险判断的偏移和评估结果的偏倚。风险矩阵法虽通过对风险因素发生的概率和影响程度进行量化评分,使得风险评估从定性分析转向半定量分析,但对事件发生可能性及影响因素的定量分级仍为经验性判断,分级缺少量化指标。这些方法与定量分析相比虽然简单且易于操作,但却影响到评估结果的精确度。
二是没有建立统一的风险评估指标体系。由于影响城市公共安全因素的不确定性和复杂性,对城市公共安全风险评估指标选取与设置、评估指标的权重衡量确实有难度,但这并不意味着不需要建立统一的风险评估指标体系。一些城市虽然统一了风险评估的技术路线、风险确定的基本方法,但没有建立统一的评估指标体系和评估模型,这势必影响对风险的评价精度,使评估结果难以具有可预测性与权威性。
(四)评估有空白
一是城市的重大风险源没有纳入评估范围。最大的风险就是不知道风险,深圳光明“12・20”滑坡事故印证了这句话。深圳的淤泥渣土临时受纳场成了风险评估的“漏网之鱼”,说明没有做到“应评尽评”,导致在决策方案中没有考虑采取有效措施予以防控。
二是忽视风险变化。每年由于内外部环境的变化,城市风险是流动的,旧风险消失了,新风险却出现了。因此,风险评估并不是一个线性的过程,而是根据情形不断改变,不可以一评了之。但很多城市政府由于缺乏风险动态捕获机制,对新出现的风险变化,忽视了动态监测与跟踪评估。
(五)把控评估的“结果导向”不牢,评估结果的应用“虚化空转”
风险评估只是一种管理手段,其目的和价值不仅要发现风险,而且要建立机制,制定风险减缓的决策和措施,[12]有效控制、化解风险。城市公共安全风险评估在这方面存在的缺陷有:评估中落实防范、化解和处置措施的牵头部门和配合部门仍不明确,容易造成评估后的防范化解和动态跟踪等工作难以有效落实;风险评估是制定应急预案的基础和依据,然而,应急预案并没有按照评估结果进行修订;分析和开发利用不够,评估的功能作用难以发挥。
三、完善城市公共安全风险评估的对策建议
为解决城市公共安全风险评估中出现的上述问题,我们提出以下几点对策性建议。
(一)深化认识,筑牢城市公共安全风险评估的“地基”
城市政府要从落实“安全第一,预防为主”原则的高度来认识城市公共安全风险评估的战略地位,增强打牢城市公共安全风险评估“地基”的内生动力。
一是加强学术研究,为城市公共安全风险评估持续、健康发展提供理论保障。加快对国外先进评估理论、方法的吸收和消化。在借鉴国外先进理论、方法的基础上,构建中国城市特色的公共安全风险评估理论体系。城市政府应该通过政策扶持、课题扶持等手段引导城市的学术力量进入风险评估领域,对发表的基础理论和方法研究成果给予奖励。
二是完善法律法规体系,为城市公共安全风险评估持续、健康发展提供制度保障。城市政府要依据国家公共安全法制的要求,针对风险源的特点,适时把风险评估这一行政行为逐步上升为法规,同时颁布风险评估配套文件,规范评估事项、主体、指标内容、流程、结果运用及责任认定等具体的环节与内容,形成完整的制度框架。
三是尽快健全教育和培训体系,为城市公共安全风险评估持续、健康发展提供人才保障。在城市高校设立专门的“城市公共安全风险科技评估”专业,鼓励高校、科研院所培养城市公共安全风险评估方面的高层次人才。城市党校和行政学院把城市公共安全风险评估作为一门主要课程来建设,加强对各级领导干部的培训,让干部自觉把风险评估作为一种重要的工作方法和工作技能。
(二)实行“开放透明”评估,将一元主导的行政化评估转型升级为多元化评估
一是建立一个良好的协同评估模式。建立决策与评估职能相分离制度,保证评估的独立性、客观性。城市政府要破除“一元评估”思维,改善评估的开放性,通过制定相应的政策措施,引导公众和专业机构有序参与风险评估和提供评估服务,让更多的社会主体进入评估体系。
二是提高专业评估机构的公信力。一方面,专业机构要坚持公共利益最大化的价值取向,加强行业自律,增强评估的责任心和使命感,使评估不受自身利益和政府利益的驱使。另一方面,政府要加强对专业机构的监管,建立针对专业机构的“黑名单制度”,对评估机构进行跟踪监测,将不能胜任的评估机构纳入黑名单,通过淘汰机制净化第三方评估环境。
三是以完善的法律制度提高风险评估的透明度,避免吸纳公众参与风险评估的随意性与主观选择性。从评估的目标规划、指标设计、实际评估,到结果反馈等环节和过程中的公众参与,都要科学规范一系列制度化的程序,最大限度地让公众真正参与评估,充分保障公众的知情权、表达权和监督权。遵循“公开是原则、不公开是例外”的原则,开展精细化风险沟通,除不宜公开的敏感信息外,将风险评估报告通过本区域内的主流电视台、报社和广播电台配合政府门户网站消息,并且在公示日期范围内多时段、多频率地重复,以达到公众充分知晓的目的,确保在“阳光”下防范和纠正评估中可能出现的偏见或错误。
(三)完善评估体系,提高风险评估的科学性
一是积极探索风险评估方法。城市公共安全风险强调空间异质性、综合性,注重多重风险的分析。因此,风险评估方法应坚持定量分析与定性分析相结合的原则,综合运用风险矩阵分析、分析流程图、数学建型、情景构建等方法,对城市可能承受的各种风险进行分析和计算。充分运用无线通讯技术(GPRS)、地理信息技术(GIS)、数据库技术等信息技术,开发风险评估工具,将可规范化的内容如评估表格、评估要素、评估流程、评估模型等,开发形成辅助评估框架或评估工具,不断提高风险评估质量。
二是构建“双维度”指标体系。目前在国际上有三种主要的公共安全评价框架:单纯能力评价、单纯脆弱性评价、能力与脆弱性综合评价。[10]城市公共安全风险评估涉及到多种类型的事件事故,同时还体现了城市系统对突发状况做出的反应。所以在构建城市公共安全风险评估指标体系时,需要从公共安全涉及领域与影响两个维度综合考虑。领域维度方面采用公共安全突发事件的分类方法,将其分为自然灾害、事故灾害、公共卫生、社会安全,每一类又分若干种。影响维度细分脆弱性与能力两个方面。脆弱性评估是针对人类社会经济系统对致灾因子的敏感(反映)程度。能力评估指可能受到危害的城市系统,通过抵御或变革,从而在职能和结构上达到或保持可接受水平的适应水平。分别从上述两个维度上对城市公共安全指标进行筛选,得到一套有可操作性、针对性强的城市公共安全风险评估指标体系。
(四)动态化精准化追踪风险,切实做到“应评尽评”
一是开展详细的风险调查,确保风险评估的全面性。全面开展城市风险点、危险源的普查工作,对所有可能影响城市公共安全的风险源、风险类型、可能危害、发生概率、影响范围等做到“情况清、底数明”,防止“想不到”的问题引发的安全风险。整合各类信息资源,完善城市隐患、风险数据库,编制城市安全风险清单,绘制城市安全风险分布电子地图,为城市安全决策提供可靠的信息支持。
二是追踪识别风险,确保评估的前瞻性。风险评估不仅是对已知风险的分析,更重要的是要前瞻性地考察风险的变化趋势以及可能出现的新的风险类别和性质。[11]要根据城市最新形势发展变化,不断查找公共安全风险评估的空白,组织专业机构定期、不定期开展风险评估工作,并使之成为政府的常规管理职能,每年编制和公布《风险登记册》,及时反馈风险变化的信息,持续优化改进风险评估。
(五)建立健全评估结果应用机制,避免评估报告“束之高阁”
一是将风险评估机制擢升为一种城市公共安全管理治道变革的重要工具。这就需要我们以风险评估为契机,着眼于政府治理方式创新,围绕政府职能转变,助推一种以风险防范为核心的新的治理范式的形成。[12]这种新的治理范式,化过程控制为结果导向,将风险评估融入城市公共安全管理乃至政府决策科学化、民主化、法治化建设的各项举措中,使风险评估机制真正成为政府自我纠错的倒逼机制。
二是选择适当的技术处置风险。根据薄弱评估结果,选择风险处置的办法。风险处置的4T策略主要包括风险保留、风险转移、风险降低、风险规避。[13]根据风险等级,采取不同的策略,“一风险一策”或多措并举,实现风险的标本兼治。
三是风险评估与应急预案要紧密衔接联动。应急预案的编制应与风险源辨识和风险评价形成前后对应的逻辑关系,要根据风险评价确定哪些是不可接受的风险,针对筛选出的不可接受的风险,再根据风险源的大小及城市的现实条件,建立起点、线、面相结合的预案体系,提高应急预案的针对性和操作性。
参考文献:
[美]保罗・布莱肯,等.突发事件战略管理:风险管理与风险评估[M].北京:中央编译出版社,2014.2.
钟开斌.国际化大都市风险管理:挑战与经验[J].中国应急管理,2011(4).
上海市民政局.加强社区风险评估工作[J].中国减灾,2013(3).
闪淳昌.应急管理:中国特色的运行模式与实践[M].北京:北京师范大学出版社,2011.244.
容志.风险防控视阈下的城市公共安全管理体系构建――基于上海世博会的实证分析[J].理论月刊,2012(4).
潘俊杰.大力提升安全发展质量为建设现代化国际化先进城市筑牢安全保障[J].中国应急管理,2014(10).
邹积亮.政府突发事件风险评估研究与实践[M].北京:国家行政学院出版社,2013.123.
孙玉卫,等.风险评估模型在深圳市宝安区中德灾害风险管理试点项目中的应用研究[J].中国应急管理,2012(4).
深圳市应急管理办公室.强化风险管理夯实安全基础――深圳市开展城市公共安全风险评估并公共安全白皮书[J].中国应急管理,2014(10).
朱正威,等.中国区域公共安全评价及其相关因素分析[J].中国行政管理,2006(1).
中图分类号:F272 文献标识码:A 文章编号:1001-828X(2014)010-00-01
风险评估工作与内部控制体系的建设相互促进、有机结合,是企业围绕总体经营目标,识别企业各业务单元、各项重要经营活动及其重要业务流程中的风险,并对风险发生的可能性和影响程度进行分析、评价和应对的过程。
总体而言,风险评估报告的结构至少应包括四部分内容:其一,企业情况概述,本部分就企业风险评估项目背景、定位与目标、理念与方案三大内容进行概括与总结,便于报告使用者理解本次风险评估工作的基本目标与方法;其二,风险评估实施过程,本部分是整个风险与内控体系建设工作的起点,旨在构建一个具有代表性又有扩展性的通用风险管理标准,从风险管理知识宣传、风险分类与定义、风险评估标准三大方面初步构建企业风险管理基础平台;其三,识别企业面临的重大风险,根据风险调查问卷和风险调研访谈,识别出企业面临的重大风险,以供企业管理层参考;其四,风险管理体系的建设,结合企业风险管理的现状,提出相应的改进措施,包括风险管理组织结构设置、职能设置、工作流程及工作防范建议。
以上四部分在风险评估报告中层层推进,构成完整的风险评估过程,以下作详细说明。
一、风险评估项目概述
(一)风险评估项目背景
本部分重点介绍企业的成立、发展沿革,行业背景,分子公司情况以及业务架构、组织结构等。编制企业风险评估报告的重要意义在于企业管理层希望借助风险评估项目,有效识别和评估影响本企业战略和经营目标的内外部风险源,并通过健全重大风险的应对与管控机制,有效地平衡好风险与收益,提高企业风险防范能力,从而防范和降低各类风险对企业经营的冲击,为企业实现战略和经营目标保驾护航。
(二)关于风险评估项目定位与目标
风险评估项目旨在达成三大目标:其一,建立风险管理基础,构建一个具有代表性又有扩展性的通用风险管理标准,统一企业的风险管理语言和标准;其二,明确重大风险领域,采用全面梳理与重点分析相结合的方式,识别和分析企业战略、经营、财务与合规领域中的重大风险,协助管理层统一对风险的认识;其三,团队能力建设与知识培养,加强和提高企业总部和各业务群管理团队对风险管理工作的参与度和认知,最大程度实现知识转移。
二、风险评估项目实施过程
(一)关于判断风险分类与定义
应从企业战略出发,参考COSO内部控制整合框架、行业风险数据库以及企业的风险管理实务,并结合企业的战略目标、实际情况等因素,建立适用于本企业的风险数据模型(即风险地图),从战略风险、运营风险、合规风险及财务风险四大方面对企业所面临的风险进行分类和定义,从而为统一公司的风险管理语言奠定基础。
(二)关于设立风险评估标准
为了对上述四大类风险的重要性进行评定并据此明确风险管理的优先次序和资源配置方向,应从风险发生可能性和风险影响程度两个维度建立符合企业实际情况的风险评估标准,以反映风险发生可能性由极低至极高,和风险影响程度由极轻微至灾难性的不同等级。
(三)关于实施风险评估过程
为了协助管理层更好地理解和评估风险,应以风险数据库和评估标准为基础,通过风险调查问卷的发放、收集与统计,风险调研与风险访谈等多种形式,在企业总部和业务群开展多层次、全方位的风险识别与评估工作。通过上述工作,不仅协助企业管理层评估重大风险领域所在,而且还能分析其可能影响的战略及经营目标,从而为企业明确风险责任,改进相关重点业务领域中的风险管控措施明确方向。
三、针对企业风险评估的调研结果
结合风险调查问卷与风险调研访谈的结果,企业管理层对影响本企业战略和经营目标实现的众多风险进行客观评估,并由此明确前几大风险的优先次序。这些风险可能是:产业(产品)战略和多元化、战略规划、市场营销、风险管理体系建设、公司高层的基调、品牌及声誉管理、销售模式、客户结构风险、人力资源规划及政策、组织结构等等。这些风险并不是独立存在,在实际经营环境中,各类风险往往互相影响、互相牵制,共同对企业实现经营目标产生影响。为此,还应对上述重大风险及其内在关系进行相应的逻辑分析,以协助管理层梳理各项重大风险之间的关系。
四、企业风险管理体系搭建
一套成熟完善的风险管理框架包括战略(目标)、风险以及流程与控制。企业战略处于企业管理及风险管理体系的最高层,是企业风险管理以及流程内控建设的出发点,风险管理体系必须紧紧围绕企业战略。风险则是影响企业战略管理体系的实施与战略目标达成的不确定因素,企业需要将外部环境、内部经营与战略目标进行对比,以识别出影响企业战略的重要风险。企业流程与管控体系则是风险管理体系的重要落脚点,完善的风险管理体系可以从企业的流程、制度等管控体系中识别出影响,并从风险管理体系的制度及流程建立风险应对措施。
(一)风险管理体系现状分析
一套完善的风险管理体系通常由业务部门、风险管理部门和内部审计部门组成的“三道防线”共同构成。通常,企业均能初步搭建起风险管控体系的三道防线,如:1.各业务部门负责关注各业务领域内的风险并采取相应的控制措施降低风险;2.企业管理部负责公司运营风险管理,对运营风险进行预警和控制,为公司的经营、管理决策提供可行性、合法性分析和法律风险分析;3.审计监察部主要负责集团的财务审计、经营活动审计及其他专项审计。
(二)风险管理工作规划
风险管理与内部控制体系的建设密切相关,相辅相成,没有完善配套的内控体系,风险管理就如同纸上谈兵、空中楼阁;而缺少风险管理的内控体系建设,会由于缺乏足够的针对性而效率低下、浪费资源。
无论是《企业内部控制基本规范》或是COSO ERM模型,都将企业的目标分为四大类别,包括:战略目标、经营目标、财务目标和合规目标。风险是影响企业目标实现的不确定性,而内部控制则是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。因此,企业有目标就会有风险,而针对每个风险就会有相应的内部控制,以管理风险,从而合理保证目标的实现。
风险评估项目实施过程中,应协助企业初步搭建结合先进理论基础、契合企业实际情况、符合国家监管要求的内部控制体系框架,将风险匹配到内控体系框架,并完成对该体系框架的评估、梳理和建设工作。
在此基础上,需要进一步开展风险管理工作,逐步完善风险管理和内部控制体系,依据风险分层管理、分类管理和集中管理的要求,建立符合企业自身特点的全面风险管理组织体系。另外,在充分考虑企业规模以及业务发展需要的基础上,针对近期及未来风险管理工作的重点,提出相应的参考及建议。如:完善企业风险管理组织架构中各管理层级的岗位职责。完善三道防线,其一,各风险责任部门的日常管理工作,包括,风险责任人、风险联络员等;其二,风险管理部门的管理工作,风险管理涉及公司的方方面面,建议由总裁、执行总裁等高级管理人员组成的风险管理委员会,负责公司整体风险管理工作,风险管理委员会下设风险管理部门,负责各业务部门风险管理工作的协调;其三,审计监督工作,审计监察部应对风险管理进行审查和评价,对风险管理工作进行监督,即对风险管理过程的设计和执行的有效性进行评价,并给出评价意见;审查和评价重大风险的评估和管理是否适当,将评价结果向审计委员会汇报。
风险评估工作结束后,形成风险评估报告,反映企业的风险及其分布状况,为领导决策提供支持。通过风险辨识、风险分析及风险评价,形成风险评估初步结果后,就风险评估结果的真实性、准确性向企业风险管理委员会征求意见,并根据反馈的意见,调整、修正企业的风险评估结果,编写出企业的风险评估报告,上报风险管理委员会或董事会进行审议。
参考文献:
总则
第一条
为加强大洼恒丰村镇银行风险管理,及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险承受度和风险应对策略,根据有关法律法规和《企业内部控制基本规范》等的有关规定,结合我行实际情况,制订本制度。
第二条
本制度所称风险是指我行经营活动中与我行实现内部控制目标相关的风险,包括信息风险、财务风险、市场风险、运营风险和法律风险等。
本制度所称风险评估是指通过对基于事实的信息进行分析,就如何处理特定风险以及如何选择风险应对策略进行科学决策。
第二章
组织机构及职责
第三条
各部门为我行风险评估管理工作的责任机构,具体职责:
(一)对我行经营活动中的风险进行识别;
(二)
对识别的风险进行评估,辨识评估出风险等级并将中、高风险以书面形式上报我行管理层,上报内容应包括:风险发生地、发生原因、可能造成的损失和影响、拟采取的应对措施等。
(三)
执行审批后的风险应对预案,并及时反馈风险的应对、解决结果;
(四)
对识别的风险进行监控,发生变化时重新评估,并根据新辨识评估的风险等级进行相应的处理;
(五)
年中、年度对风险评估管理工作进行总结。
第四条
我行企划部门为我行风险评估管理工作的组织机构,具体职责:
(一)负责制定我行的风险评估方案;
(二)负责组建风险评估工作小组;
(三)负责审核风险清单、应对预案;
(四)拟定我行风险评估报告,上报我行管理层。
(五)负责建立经营环境监控体系,切实监控并记录内、外部经营环境和条件的变化,以修正风险识别与评估。
(六)负责建立风险预警指标体系,要求各具体部门定期提供数据,进行指标分析;
对于超过风险预警值的指标,应确定相应的整改措施。
第五条
财务部门的风险评估
(一)负责建立流程识别和应对会计法规、准则、制度的变化,评估对会计信息的影响。
(二)负责建立沟通渠道和流程参与我行业务操作流程的变化,评估对会计核算的影响。
第六条
我行管理层主要职责为:
(一)审定我行各部门风险管理工作职责;
(二)批准风险应对预案;
(三)研究、确定我行重大风险事项及应对预案;
(四)审定内部审计部门提交的我行风险管理方面的报告,并报董事会审议。
第七条
董事会负责审议我行管理层提交的我行风险评估报告报告,批准风险管理其他重大事项。
第三章
风险评估的频率
第八条
风险评估每年至少进行一次,并根据实际需要增加评估的频率。
第九条
当出现下述情况时,应考虑重新进行风险评估:
(一)企业经营模式发生重大变动;
(二)企业所使用的信息技术发生重大变动;
(三)关键人员变动;
(四)企业所适用的会计准则发生重大变动;
(五)购并的发生、金融工具的使用等等涉及到复杂的会计处理要求的事项发生;
(六)其他。
第四章
控制目标的设定和传达
第十条
企业董事会应当按照战略目标,设定相关的经营目标、财务报告目标、合规性目标与资产安全完整目标,并根据设定的目标合理确定企业整体风险承受能力和具体业务层次上的可接受的风险水平。
第十一条
我行董事会应定期更新和修正我行的战略目标、经营目标、风险管理目标;
第十二条
我行管理层应向各部门清晰传达了我行的战略目标、经营目标和风险管理目标(如通过工作准备会等),并进行目标分解。
第十三条
我行企划部负责风险评估方案的制订,风险评估方案须经我行总经理办公会审批后执行,风险评估工作由企划部组建风险评估小组负责风险评估的具体工作。
第五章
风险识别
第十四条
我行各部门应当根据风险评估方案的要求,全面系统持续地收集相关信息,结合实际情况,及时进行风险评估,准确识别与实现控制目标相关的内部风险和外部风险。
第十五条
我行各部门在进行风险识别时,可以采取座谈讨论、问卷调查、案例分析、咨询专业机构意见等方法识别相关的风险因素,特别应注意总结、吸取企业过去的经验教训和同行业的经验教训,加强对高危性、多发性风险因素的关注。
第十六条
各部门及子我行应广泛、持续不断地收集与本我行风险和风险管理相关的内外部信息,包括历史数据和未来预测。
第十七条
我行识别内部风险,应当关注下列因素:
1.董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。
2.组织机构、经营方式、资产管理、业务流程等管理因素。
3.研究开发、技术投入、信息技术运用等自主创新因素。
4.财务状况、经营成果、现金流量等财务因素。
5.营运安全、员工健康、环境保护等安全环保因素。
6.其他有关内部风险因素。
第十八条
我行识别外部风险,应当关注下列因素:
1.经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。
2.法律法规、监管要求等法律因素。
3.安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。
4.技术进步、工艺改进等科学技术因素。
5.自然灾害、环境状况等自然环境因素。
6.其他有关外部风险因素。
第六章
风险分析
第十九条
我行各部门应当针对已识别的风险因素,从风险发生的可能性和影响程度两个方面进行分析。企业应当根据实际情况,针对不同的风险类别确定科学合理的定性、定量分析标准。具体如下:
表一:风险发生的可能性
程度
描述
说明
I
大致确定
事件可能在多数情况下发生
II
可能
事件有时可能发生
III
可能性不高
事件只在少数情况下可能发生
IV
罕见
事件仅在很少的情况下发生
V
极不可能
事件极少的情况下发生
表二:
风险的后果或影响
程度
描述
说明
1
微不足道
没有经济损失
2
轻微
轻微经济损失
3
中度
可以得到控制,经济损失不大
4
高度
经济损失较大
5
灾难性
经济损失巨大
第二十条
企业应当根据风险分析的结果,依据风险的重要性水平,运用专业判断,按照风险发生的可能性大小及其对企业影响的严重程度进行风险排序,确定应当重点关注的重要风险。
风险程度定性分析表
可能性
后果
微不足道
1
轻微
2
中度
3
高度
4
灾难性
5
大致确定
I
C
C
D
E
E
可能
II
B
C
C
D
E
可能性不高
III
A
B
C
D
E
罕见
IV
A
A
B
C
D
极不可能
V
A
A
B
C
C
注:
E
=
极高;要立刻停止有关工作,直到风险减低。在风险减低前有关工作须完全禁止进行。
D
=
高风险;要停止有关工作,直到风险减低。如有关工作现正在进行中,须提供有效监控及紧急应变程序。
C
=
中等风险;须规定有关管理职责及指引把危害控制,或在可行下进一步减低风险,如有关风险可能产生严重的危害,应作进一步危害评估及加强控制。
B
=
可接受的风险;按正常运作程序管理,在不影响成本下可作进一步改善。
A
=
微不足道的风险;无须作任何行动,按惯常运作。
第七章
风险汇总及应对预案
第二十一条
企业各部门应当根据风险分析情况,结合风险成因、企业整体风险承受能力和具体业务层次上的可接受风险水平,确定风险应对策略。风险应对策略主要包括风险回避、风险承担、风险管理和风险分担经营。
第二十二条
我行各部门应根据风险分析的结果编制风险清单,并制订相应的应对预案,风险清单、应对预案须报我行风险评估工作小组审核后,报总经理办公会审批。
第八章
风险评估报告及执行
第二十三条
我行风险评估工作小组负责编制风险评估报告,风险评估报告经我行总经理办公会审核后,报我行董事会审议。
第二十四条
风险评估报告应包括以下内容:1、风险评估的范围;2、风险评估的方法;3、风险清单;4、风险应对预案;
第二十五条
各部门应根据董事会批准的风险评估报告进行实施,对风险应对预案的执行情况进行实时监控,并及时反馈风险应对、解决的执行情况。
第二十六条
内部审计部门(或协同风险管理部门或小组)负责定期或不定期检查具体部门风险控制措施的实施、整改情况,形成检查记录。
第九章
附则
第二十七条
本制度未尽事宜,按国家有关法律、法规和我行章程的规定执行;如与国家日后颁布的法律、法规或经合法程序修改后的我行章程相抵触时,按国家有关法律、法规和我行章程的规定执行,并及时修订本制度,报董事会审议通过。
第二十八条
本制度由我行董事会负责解释。
第二十九条
本制度自我行董事会审议通过之日起实施。
大洼恒丰村镇银行
二〇一五年十月十六日
中图分类号:P429 文献标识码:A 文章编号:1671-7597(2014)10-0197-01
1 气象灾害风险评估定义与意义
1)定义。气象灾害风险评估是根据规划、建设项目所在地的气象要素空间、时间分布特征及其衍生灾害特征,结合现场实际情况,对各类气象灾害可能导致的人身财产损失、社会影响危害等进行综合风险计算分析,为规划建设项目的选址、功能布局、气象灾害防护等级与措施、应对灾害事故方案等方面提出建设性意见的一种评价方法。
2)意义。开展工程建设项目的气象灾害风险评估工作可以有效避免或减轻气象灾害造成的损失,从而有效地保障人们生命财产安全,并有效提高工程建设项目的防灾减灾能力。防御气象灾害一直是国家公共安全工作的重要课题之一,因此开展气象灾害风险评估是气象部门履行政府社会化管理和公共服务职能的重要体现。
2 吉林市开展评估的必要性
1)吉林市地处长白山向松嫩平原的过渡地带,属温带大陆性季风气候,地形复杂,山区、半山区、丘陵、平原、盆地、谷地和湖泊交错分布,气候多样,气象灾害发生频繁,气象灾害风险评估尤为重要。
2)贯彻国家地方法律法规的规定要求。《气象灾害防御条例》《吉林省气象条例》《吉林省气象灾害防御条例》及《吉林市气象灾害防御条例》从国家法律到地方性法规分别规定了建设项目应当充分全面地考虑其在气候方面的可行性和可能受到的气象灾害风险性,尽力避免、减轻气象灾害的影响。吉林市的气象灾害风险评估是贯彻国家法律法规履行部门职能的必然要求。
3 评估现状
吉林市的气象灾害风险评估工作开展于2012年,是由雷电灾害风险评估发展而来,现已形成了以雷电、暴雨、暴雪、大风、大雾、冰雹、高温、严寒等吉林市主要气象灾害对项目可能造成的风险评估。评估范围涉及有大型建设项目、爆炸火灾危险环境、普通住宅、重点工程、人员密集场所等新建、改建及扩建项目,至今已完成了百余个项目的评估。
4 评估报告内容与地位
4.1 评估报告的内容
1)规划或者建设项目概况。根据发改立项确认书、规划建设许可证等相关证件及风险评估现场勘查情况综合得出评估对象概况。
2)气象资料来源及其代表性、可靠性说明。评估使用经省气象主管机构审查通过的气象资料,吉林市城郊气象站因有较长的观测记录,在资料年代和气候环境上其均均有代表性,故选为评估中参证站。
3)吉林市气象灾害历史与现状分析及发展趋势预测。
4)规划、建设项目可能受到的雷电、暴雨、暴雪、大风、大雾、冰雹、高温、严寒等其中一种或多种极端气象灾害并存的危险程度评估,预防及减轻气象灾害影响的措施。
5)规划、建设项目选址地点的气候条件背景分析,极端气象灾害出现的概率,通过对暴雨、雪压、风压等不同重现期的计算得出安全有效、经济合理的设计方案及防灾减灾措施。
6)进行气象灾害风险评估的规划或者建设项目的评估结论及建议,提出应对气象灾害,预防或者减轻影响的意见和建议。
7)其他有关内容。关于评估报告的说明、结束语及开展气象灾害风险评估工作的法律依据等。
4.2 评估报告的地位
气象灾害风险评估结论及建议作为项目建设设计方案的重要依据,并已纳入政府行为,成为建设项目立项阶段行政审批中非行政许可审查的必备要件。
5 几点建议
1)细化评估范围。作为本地化法规,《吉林省气候可行性论证若干规定》及《吉林省气象灾害防御条例》(2013年11月1日起施行)虽都规定了与气候条件密切相关的国家重点建设工程、重大区域性经济开发项目及城市规划、气候资源开发利用项目等应当由气象主管机构组织进行气候可行性论证,但《吉林省气候可行性论证若干规定》也同时规定了气候可行性论证项目的范围,即由县级以上气象主管机构与当地发改委、住建、交通运输以及其他相关部门依法确定。目前吉林市的气象灾害风险评估针对的是所有新、改、扩建建筑物,不区分项目大小及性质,这样容易造成受气象灾害影响较小的小型建设项目对评估工作的错误认识。
2)充分利用气象数据。目前所利用气象台站多年观测记录多是进行气候分析统计及气象极值出现概率统计,应加入闪电定位数据、大气电场及卫星雷达产品的使用,充分体现出气象数据的全面性及科学性。
3)完善丰富评估方法。目前尚未出台气象灾害风险评估方面的技术规范,开展评估只针对规划或建设项目整体,缺乏项目分区评估,如一建设项目内部各个单元的自身参数及周边环境取值不尽相同,所面临的风险值是不同的,相应评估的技术结论意见也不同。
4)建立气象灾害数据库。气象相关部门应当对气象灾害的种类及强度、出现次数和造成损失等情况开展普查,建立完备的气象灾害数据库,使气象灾害风险评估工作能够准确地按照气象灾害的种类和分区进行。
5)提出针对性的评估建议。针对不同的项目,选择其面临的主要气象灾害种类进行评估,选择符合其特性的评估方法和标准,并应根据评估对象特性提出有针对性的评估建议。
6)加强相关部门交流协作。气象灾害风险评估工作是一项技术性很强的工作,涉及的知识面非常广,应加强与城市建设、规划、国土及水利等部门的学习交流,使得评估报告更具科学性。
吉林市的气象灾害风险评估工作开展较早,发展较快,目前已形成了成熟的操作流程,原始气象数据详实可靠,内容全面,评估思路清晰,计算分析精密,结论科学合理的评估报告模板。但评估工作中仍存在一些薄弱的环节,需要通过不断的发展完善来保障评估工作的健康有序开展,为吉林市防灾减灾工作,保障人民的福祉安康作出积极地贡献。
关键词:财务报表;舞弊;成因;审计对策
在市场经济条件下,对企业财务报告进行有效审计是国家经济的审计主题。近几年,国内外爆发几件重大的财务报表舞弊事件,比如,世界通信,银广厦等。财务报表舞弊对社会发展产生了不利影响,因此,需要深入分析财务报表舞弊原因,制定有效措施进行处理。
1.财务报表舞弊原因分析
第一,为了高管人员的个人利益进行舞弊。目前,我国大部分公司在评价高管人员业绩时,一般是以财务指标为依据,比如,资本保值增值率、利润、净资产收益率等。高管人员的业绩一般和职位晋升、工资待遇等挂钩。许多高管人员是上级部门派遣的,公司经营状况与其职位晋升密切相关,有的高管人员为了自身利益,才暗示财务人员实施财务舞弊,从而提高自身业绩,满足自身需求。
第二,弥合融资要求的动机。资金对企业发展有着重要作用,为了获取足够的资金,有的企业可能会虚报财务报告,误导投资者,从而获得更多的投资。另外,有的企业经营不善、业绩较差的企业,为了获得银行贷款,也会虚设财务报告。
第三,会计准则灵活性和真空地带。会计准则具有很强的灵活性,会计准则的制定和修改有一定的滞后性,许多新行业、新领域往往很难找到合适的会计准则为依据。另外,会计准则和会计制度都是原则性的规定,在具体实践中,主要依靠会计人员的职业判断和专业理解。面多诸多选择,有的高管人员为了企业利益,利用会计准则的灵活性,篡改财务报告。
第四,公司内部治理结构不完善。有的公司股权结构非常复杂,尤其是上市公司,股权高度集中,且无法上市流通,从而出现各种制度性缺陷。股东较少参与企业经营,权益意识不强。具体表现是:所有者代表被经营者同化、国有股权缺位、公司大权由个别股东独揽、股权集中、缺乏有效监督、缺乏多元股权制衡等,从而导致公司个别管理人员凌驾于内部控制之上,从而为财务舞弊提供了条件。
第五,审计独立性不强。根据目前我国大型企业的发展现状来看,大股东是董事会的重要成员,凭借自身股东优势,和经理层共同管理和控制财务信息生成和披露。国有股占据了较大比重,中小股东影响力较小,没有充分行使自己的投票权,股东大会具有聘请外部审计师的权力,但实际是由经理层和董事会代为行使这一权力。在这种环境下,是由企业内部人行使聘请会计师事务所的权力,股东大会形同虚设。由内部人委托事务所进行审计,大大削弱了审计人员的独立性。另外,很多会计师事务所不仅提供审计服务,还提高公司交易和设计经济交易咨询等服务,有的审计人员需要协助企业管理层编制财务报告,这样大大降低了注册会计师的社会责任感。由于注册会计师在我国的地位比较低,不具备取证权,也不能通过海关、税务、征管以及工商等部门取证,不能保证审计原始凭据的准确性和真实性。
2.财务报表舞弊的审计对策
2.1风险评估
了解和掌握被审计客户的相关资料,制定合理的风险评估,利用风险评估来指导审计工作。要想提高审计的有效性,必须科学分析被审计单位的社会环境、经济环境以及行业环境,理解其制定的总体发展战略,深入分析其在组织或者外部实体中的地位。审计师研究客户和外部环境间的关系,找出潜在的战略风险。对于已发现的战略风险,审计师需要分析客户如何应对和监控战略风险。同时,审计师还需要分析企业内部各经营环节。客户通过改善内部经营来降低战略风险,导致各经营环节也存在风险,即环节风险。对于对企业发展有着重要影响的关键经营环节,需要从环节控制和环节风险监控两个方面加强管理。
第一,战略分析。根据企业发展战略理论以及财务报表舞弊原因,审计人员需要通过被审计企业的内部控制信息、外部经营环境以及经营信息等方面来了解和分析其发展战略。被设计客户的内部控制信息主要包括控制环境、信息系统和沟通、对控制活动的监控、管理层风险评估程序以及控制活动的监督等五大要素;外部经营环境主要包括管制环境和行业环境;经营信息主要包括筹资、投资、基本经营状况以及与财务报表相关的事项等。一般采用POTER进行行业分析以及PEST的宏观分析法,预期行业利润,如果被审计客户采取多元化经营模式,则需要进行行业分析。通过战略分析,审计师能了解和掌握市场上的主要产品、竞争者、产品价格、替代产品、技术和工艺等信息。
第二,环节分析。审计师通过战略分析,找出客户重大战略风险,确定关键环节后,需要详细地分析每个具体环节。在分析关键环节的初始阶段,审计师必须整理与关键环节相关的战略风险和重大交易类别。一旦确定关键环节,则需要深入研究和分析,理解关键环节目标、经营风险,为降低风险建立控制机制,分析风险对财务报表的影响,在分析关键环节过程中,审计师必须能够识别可能出现的重大风险交易类别。
2.2制定审计计划
审计师应该根据风险评估报告,对重大错报风险做出正确反应,尽量将审计风险降低到可接受水平。对于财务报表中的重大错报风险评估,设计师在收集、评价审计信息时,应该保持职业怀疑态度。在必要情况下,需要采取以下措施:邀请具有丰富实践经验或者专业技能较高的专家、设计师加入到审计队伍中;在选择审计程序时,设计一些独特且具有针对性的审计程序;合理调整审计程序的范围、时间和性质,从而更好地适应重大错报风险水平。
对于认定层次的重大风险评估,审计师应该根据审计程序的范围、时间和性质,将风险评估和审计程序联系起来。在设计审计程序时,需要考虑交易类别、披露财务信息、风险的重要性、账户余额、内部控制性质以及重大错报发生的可能性等因素。
2.3实施审计
第一,控制测试。在现代审计模式下,进行控制测试是为了确定程序设计是否有效、设计方案是否落实、内部控制政策是否有效等。但是控制测试的最终目标是证实财务报表的认定。虽然控制测试不是必须的程序,但是审计人员在评估风险时,如果想判断内部控制是否有效,或者想为某项认定提供可靠的审计证据,则必须进行控制测试。
第二,实质性测试。审计人员进行控制测试后,则应该进行实质性测试。实质性测试是审计人员判断财务报表上各项认定是否有效的重要程序。虽然风险评估报告具有很强的专业性,但是也有可能遗漏某些重大错报风险,而且企业内部控制也受到一定限制,因此,审计人员必须对账户余额、信息披露以及各县重大交易类型进行实质性测试。
2.险再评估以及修改审计计划
在开展审计过程中,随着所获得的审计证据的不断增加,审计人员做出的风险评估报告也不断变化。因此,审计人员需要及时调整和修改风险评估报告和审计计划,逐渐扩大审计范围、改进审计程序,为审计工作的开展创造有利条件。
3.总结
综上所述,造成企业财务舞弊现象的原因较多,如为了高管人员的个人利益、弥合融资要求的动机、会计准则灵活性和真空地带、公司内部治理结构不完善、审计独立性不强等。因此,需要加强审计,利用风险评估来指导审计工作,深入分析企业发展战略各经营各环节的财务活动,根据风险评估报告,对重大错报风险做出正确反应,实施有效的审计措施。(作者单位:甘肃省商业学校)
参考文献:
雷电灾害风险评估是确保防雷安全的重要基础性工作之一,是运用科学的原理方法,对可能遭受雷电灾害的概率及雷电灾害产生后的严重程度进行分析计算,提出相应技术防范措施。因此,组织开展雷电灾害风险评估工作是依法履行防雷减灾管理职责的重要组成部分,也是防雷工程设计和施工最基本的科学依据。各级政府及有关部门要高度重视雷电灾害风险评估工作,各级气象和安全监管部门应把开展雷电灾害风险评估工作作为日常安全生产检查的重要内容,科学有效地预防和遏制雷击事故的发生。
二、全面做好雷电灾害风险评估工作
雷击风险评估作为社会公共安全保障的一项重要工作,涉及面广、责任重大,各有关部门要按照职责分工,加强协调配合,共同做好相关工作。各级气象主管机构要加强监督管理和指导,依法履行雷击风险评估工作的组织管理职责。各级发展改革、规划建设、安全监管等行政主管部门应当按照各自职责,协同气象主管机构做好雷击风险评估监督管理工作。承担雷电灾害风险评估工作的机构,必须根据委托单位的需要,客观、科学、准确地提供评估结果。评估范围内的业主单位、项目设计单位应主动配合雷电灾害风险评估机构做好雷击风险评估工作。
三、规范实施雷电灾害风险评估工作
在本市行政区域内的大型建设工程、重点工程、危险易燃易爆环境等建设项目,建设单位在项目可行性研究阶段,必须同步做好雷电风险评估工作,设计单位应当把雷电风险评估报告作为施工图的设计依据,根据报告要求、防雷技术规范和标准进行防雷装置设计,切实从源头把好防雷安全关,以确保社会公共安全。
(一)在本行政区域内应进行雷电灾害风险评估的建设项目包括:
1、城市桥梁、燃气、轨道、供水、供热等公共设施;
2、输电线路、变电站、发电厂等电力设施、电气装置;
3、石油、化工、矿山等易燃易爆物资和剧毒物质生产车间与仓储设施等爆炸危险环境;
4、医院、商场、学校、影剧院和体育馆等人员集中的公共场所;
5、城市火车站与铁路枢纽的主体工程;
6、重点建设项目及高层建筑(建筑高度≥米的建(构)筑物),建筑面积万平方米及以上的住宅小区;
7、高速公路的高架桥、Ⅱ类以上的机场;
8、其他应当进行雷击风险评估的重大建设工程。
承担雷电灾害风险评估工作的机构,必须依法取得相应资质证书,并严格执行建设工程雷电灾害风险评估技术规范等相关标准,对评估结论负责。
(二)雷电灾害风险评估工作的机构出具的评估报告应当包括下列内容:
1、建设项目概况;
2、基础资料来源及其代表性、可靠性说明,通过现场探测所取得的资料,还应当对探测仪器、探测方法和探测环境进行说明;
3、评估所依据的标准、规范、规程和方法;
4、建设项目所在区域的气候背景分析;
5、雷击风险性的评估,极端雷电事件出现概率;
6、预防或者减轻影响的对策和建议;
7、评估结论和适用性说明;
8、其他有关内容。
四、切实抓好防御雷电灾害安全责任制落实
T石油勘探公司是以石油勘探业务为主体,集物探主业、多元开发、公共事业为一体的跨国经营企业。截至2010年9月30日,T公司拥有5个事业部、3个经理部、1个研究院和5个支持中心。其勘探技术在国内同类型企业中处于一流水平,有10多项技术获得国家专利授权,研究院每年承担多项国家研究项目。通过对T石油勘探公司风险管理经验的总结,并参照国外成功实施风险管理的因素,探讨借鉴其成功经验来改善目前风险管理的薄弱环节,进一步做好风险管理,进而提高企业的管理水平。
一、风险评估
企业风险评估,是对所收集的风险管理初始信息和企业各项业务管理及其重要业务流程进行的风险评估,具体包括风险识别、风险分析和风险评价3个步骤,其目的在于查找和描述企业风险,评价所识别出的各种风险对企业实现目标的影响程度和风险价值,给出风险控制的优先次序等。
(一)风险识别
风险识别是进行有效风险管理的基础和关键,风险管理第一步,就是要对企业面临的各种风险进行识别,将风险分门别类并追溯导致风险产生的各种因素。由于企业面临风险的多种多样,企业不能穷尽所有风险,而且风险识别在很大程度上是一种主观判断。所以,为使重要的风险不被遗漏,并将“识别风险”降至最低,需要采用适当的方法,在识别风险时,实际工作中常用的方法主要有:访谈法、问卷调查、制度流程梳理和案例梳理等。
石油资源的勘探开发包含着极大的风险性,它的主要特点是经常在对很多复杂情况没有确切掌握前就要进行投资决策。由于石油勘探开发需要的最初投资起点高,而且往往是巨额的,再加上勘探开发过程经历的时间往往长达几年甚至更长,期间存在很多的不确定性和风险因素,所以油气勘探具有高投入、高风险的特点。而随着我国在油气勘探开发领域上海外市场的不断开拓,各公司在争取最大利益的同时所面临的风险也不断加大。与其他行业相比,所面临的风险类型除政治风险、法律风险、经营风险外,由于勘探的特殊性,公司的风险也与一般公司具有不同之处:
1.技术风险
技术是公司的核心竞争力、是公司的灵魂,由于技术失误对前期工程导致的判断错误会对后期工程施工形成不利,最终会影响工程质量,甚至对公司的形象造成影响, 毁坏公司声誉。为应对技术风险,T公司一直不断努力增强研发能力、提高公司的技术水平,具有领先于同行业的先进技术,同样也能给企业带来发展机会。在技术革新方面,T石油勘探公司将石油勘探技术应用于煤层气勘探,开拓勘探业务领域。在环保方面,采用新技术把二氧化碳输入地底层储存,在需要的时候又从底层抽出,从而达到循环使用的效果。T石油勘探公司在石油勘探技术方面的领先地位给公司带来了良好的发展机遇。
2.工农风险
勘探项目可能会占用当地居民的耕地、房屋及其他财产,涉及到对居民的补偿。除了遵照国家《石油地震勘探损害补偿规定》、参考公司关于《工农补偿工作管理暂行办法》外,在实际的工作中更多需要与当地政府和居民进行沟通协商。因此在前期的市场调研时,需要详细访谈当地风俗习惯、多与当地居民进行沟通,充分关注这方面的风险,尽可能地在项目开始前达到消除风险的目的。
(二)风险分析和评价
对企业面临的风险进行有效识别后,采用定性和定量相结合的方法,对各种风险发生的可能性及其对公司运营造成威胁的大小进行衡量和评估。按重要性、严重性或者对企业影响的大小,对风险进行排序,形成企业风险评估报告为风险控制决策提供科学依据。
风险分析和评价后可以根据风险发生可能性的大小、对企业影响程度的高低,将风险由高到低分为A、B、C、D 4个等级,用既定的标准对风险水平“评级”或“打分”。
(三)形成风险评估报告
风险评估报告是对风险识别和风险评估工作的总结和归纳,应该运用通用风险语言、合理的评估方法,为企业全面风险管理提供一个整体的参照,是企业以前经验的积累,可以为企业在面临相同风险时提供参考。风险评估报告应尽可能地涵盖企业面临的所有风险类别、风险事件和损失程度并指出问题的所在,在为企业管理决策提供依据的同时,也让员工对自己面临的风险有整体的了解,让他们更加直观地了解到自己处在企业风险的哪个环节,从而有利于他们更加积极的参与到风险管理中来。风险评估报告的另一个目的,是希望通过定期的风险辨识、分析、评价等检测手段,对企业已经存在的各类风险,尤其是重大风险做到早发现、早化解。
二、风险应对策略和风险数据库
(一)风险应对策略
管理层可针对已评估的关键性风险做出回应,可选的应对风险策略有风险降低、风险消除、风险转移和风险保留。管理层可以选择一个或多个策略结合使用。
风险降低的应对策略,亦称作风险缓解。不同的情况适用不同的风险降低方法。常用的一种形式是风险分散,即通过分散的形式来降低风险,比如在多种股票而非单一股票上投资,不把鸡蛋放在一个篮子里。
风险消除,就是避险,是为了免除风险的威胁,采取试图使损失发生概率等于零的风险应对策略,也就是不进行会给企业带来风险的活动。例如不承接未来风险过大的项目。
风险转移,采用风险转移的目的是将风险转移给另一家企业、公司或机构。合同及财务协议是转移风险的主要方式。转移风险并不会降低其可能的严重程度,只是从一方移除后转移给另一方。如寻求投资伙伴共同分担风险,通过企业保险使风险转移,建立工程保险和担保制度、实施总承包与分包、设立风险基金等。
风险保留包括风险接受、风险吸收和风险容忍。采取风险保留的策略,或者是因为这是比较经济的策略,或者是因为没有其他备选方案(比如降低、消除或转移)。
值得注意的是针对同一项风险可能采用不同的应对策略,例如同样是工农风险,可能根据与当地政府和居民沟通的情况采用风险保留(接受该项风险)、风险消除(不承接该项目)或是其他应对策略。应对策略运用正确与否取决于项目组对风险的了解、项目经验的积累等,因而更能考验企业的风险管理能力。
(二)风险数据库
风险数据库是以前风险的积累,可以将风险评估和风险应对策略结合起来,还能为企业在以后的经营管理过程中面临相同或相似的风险时作为制定风险应对措施的依据。T公司的风险数据库将控制目标、针对控制目标存在的机遇、风险识别、风险评价、风险等级划分、风险策略、风险应对措施和相应责任部门结合起来,识别风险并制定应对风险的措施。T公司风险数据库模板简化形式如下(见表1):
在风险管理过程中,风险识别和风险评估可能是由内控部门的人员来执行,缺乏部门间的沟通,容易忽视运营目标和战略目标,也很难将内部控制目标与企业的经营管理和战略发展相结合,难以调动企业完善内部控制系统建设的积极性。建立风险数据库则要靠企业各部门员工共同努力,因而能有效地解决这个难题。另外,风险数据库建立的目的在于:一方面,每个部门的人员可能只对自身所处的部门面临的风险有所了解,而不了解整个企业所处的风险,建立风险数据库能帮助员工特别是中层管理者了解企业面临的风险,在做出决策时能更全面考虑所面临的风险,有助于最终做出更有利于企业的决策。另一方面,各部门员工可识别风险与机遇,将重大项目的成功与失败的经验与他人分享,在遇到相同或类似情况时能相互借鉴,也有助于增强企业面对风险的能力。
三、实施与后考核
勘探项目的开始阶段,风险评估和应对策略非常重要,而在正确决策后具体的实施则十分重要。在执行过程中应对实施情况进行控制,因为项目开始阶段识别的风险,可能不发生;可能已经发生;可能出现误差,影响的范围或者损失扩大或者减小等;也可能出现新的风险。这都需要管理者不间断地对风险进行跟踪,及时反馈并在必要时调险管理计划和相应的风险对应资源,改变应对策略。另外,还应对实施的效果及差异进行考核,以便于以后风险管理的实施。
(一)实施
在项目实施阶段,采用动态数据系统对风险进行监控,项目组在每周末、月末、季末和年末分别向上报送周报、月报、年报。对于需要公司领导及时决策的信息随时直接报送公司领导和生产协调部。
(二)考核
在项目的验收阶段,除了对项目工程质量进行验收考核外,还在验收报告中把风险管理作为一项重要的考核指标对项目的风险管理情况进行考核。每年公司内控审计部或者是聘请会计师事务所进行至少一次评估并形成评估报告。人力资源部根据验收报告和评估报告对项目组进行考核,考核的结果作为奖金的发放依据之一。
四、启示和建议
根据安永会计公司对成功实施风险管理企业的调查,被调查者认为影响企业成功实施风险管理的因素包括:植根于组织的风险文化,对员工就风险管理的重要性实施教育,准确地传递企业风险管理的目标,董事会拥有恰当的、明晰的有关风险的信息,将员工的报酬与风险管理挂钩等。T勘探公司在风险管理上,应在以下几个方面加强管理:
(一)培育适合企业的风险文化
风险文化是通过制定风险管理目标、政策、制度,形成统一规范的风险管理观念、态度和行为,使风险管理成为人们的一项自觉行为。风险文化是保证风险管理有效性的坚实基础,风险管理也离不开风险文化。营造公司风险文化能够增强公司的凝聚力,进而增强企业抗风险能力,提高公司的竞争力,是公司风险管理活动中一只看不见的手。T公司目前尚未形成根植于该组织的风险文化,而且该公司管理层也没有采取任何行动来培育适合该组织的风险文化。缺乏风险管理文化的抗风险能力是不能让人放心的,必然会造成一些人疲于拼命,而另一部分人员却置身事外,这样的风险管理也是不成功的。因此,在风险管理文化建设中,要根据企业自身的特点,倡导和强化“全员、全程、全部风险管理意识”,通过各种途径将风险管理理念传递给每一个员工,并内化为其职业态度和工作习惯;要在公司内部形成风险控制的文化氛围和职业环境,使企业能敏锐地感知风险、分析风险、防范风险。
(二)加强对员工的风险管理教育和培训
风险管理需要每个员工的积极参与,特别需要中、基层管理人员的积极配合。在进行自我评估时,员工的参与积极性并不高,公司大多数员工仍是应付的态度,认为在检查时不出什么差错就可以,并没有认识到风险控制措施会起到什么作用,应该采取什么行动去积极防范风险,这些都将不利于公司的风险管理工作。为了提高员工,特别是技术部门和业务部门对风险管理的积极性和主动性,公司管理层要加强对各部门员工风险管理教育,强调风险管理的重要性,健全、科学的风险防范体系需要各部门积极配合工作。
(三)完善风险数据库
建立风险数据库识别风险的动态,企业应建立系统、有效、动态的风险识别体系,时刻注意识别和评估原有风险的变化情况以及新产生的风险,从而帮助企业决策者进行风险的比较与汇总,并为以后的风险识别建立风险数据库。T公司目前完成的数据库由企业风险管理部门协同相关职能部门,并聘请具有资质和专业能力的中介机构协助完成。该公司目前还不具备独立完成风险评估的能力,其风险评估和风险管理的能力有待提高。而且刚刚建立完成风险数据库处于起步阶段,数据库的更新和完善是需要长时期坚持的。
(四)针对重大风险开展流程管控,并从决策机制上强化风险管理和重视程序
在应对风险时,首先要开展流程管控,针对主要风险特别是重大风险,按照重要性和示范性原则,确定重要管理和业务流程,明确流程中的主要风险、控制重点、控制活动及其评价方法和责任主体。另一方面,要从决策机制上强化风险管理和重视程序,作为企业领导者必须在管理上确保风险管理基本意识的正确性,认识到风险管理是一项变革;同时要很好的把握变革的程度,充分重视和参与,注重部门间的积极配合,把公司的风险防范体系做得健全、科学。
主要参考文献: