风险评估分析方法范文

时间:2023-06-05 17:59:00

导语:如何才能写好一篇风险评估分析方法,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

风险评估分析方法

篇1

[关键词]信息系统;风险评估;基于知识的定性分析;风险管理

中图分类号:F062.5 文献标识码:A 文章编号:1009-914X(2013)06-0100-02

随着计算机信息系统在各军工企业的科研、生产和管理的过程中发挥巨大作用,部分单位提出了军工数字化设计、数字化制造、异地协同设计与制造等概念,并开展了ERP、MES2~PDM等系统的应用与研究。这些信息系统涉及大量的国家秘密和企业的商业秘密,是军工企业最重要的工作环境。因此各单位在信息系统规划与设计、工程施工、运行和维护、系统报废的过程中如何有效的开展信息系统的风险评估是极为重要的。

一、风险评估在信息安全管理体系中的作用

信息安全风险评估是指依据国家风险评估有关管理要求和技术标准,对信息系统及由其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。风险评估是组织内开展基于风险管理的基础,它贯穿信息系统的整个生命周期,是安全策略制定的依据,也是ISMS(Information Security Management System,信息安全管理体系)中的一部分。风险管理是一个建立在计划(Plan)、实施(D0)、检查(Check)、改进(Action)的过程中持续改进和完善的过程。风险评估是对信息系统进行分析,判断其存在的脆弱性以及利用脆弱性可能发生的威胁,评价是否根据威胁采取了适当、有效的安全措施,鉴别存在的风险及风险发生的可能性和影响。

二、信息系统安全风险评估常用方法

风险评估过程中有多种方法,包括基于知识(Knowledge based)的分析方法、基于模型(Model based)的分析方法、定性(Qualitative)分析和定量(Quantitative)分析,各种方法的目标都是找出组织信息资产面临的风险及其影响,以及目前安全水平与组织安全需求之间的差距。

1、基于知识的分析方法

在基线风险评估时采用基于知识的分析方法来找出目前安全状况和基线安全标准之间的差距。基于知识的分析涉及到对国家标准和要求的把握,另外评估信息的采集也极其重要,可采用一些辅的自动化工具,包括扫描工具和入侵检测系统等,这些工具可以帮助组织拟订符合特定标准要求的问卷,然后对解答结果进行综合分析,在与特定标准比较之后给出最终的报告。

2、定量分析方法

定量分析方法是对构成风险的各个要素和潜在损失的水平赋予数值或货币金额,当度量风险的所有要素(资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等)都被赋值,风险评估的整个过程和结果就都可以被量化。定量分析就是从数字上对安全风险进行分析评估的一种方法。定量分析两个关键的指标是事件发生的可能性和威胁事件可能引起的损失。

3、定性分析方法

定性分析方法是目前采用较为广泛的一种方法,它具有很强的主观性,需要凭借分析者的经验和直觉,或国家的标准和惯例,为风险管理诸要素的大小或高低程度定性分级。定性分析的操作方法可以多种多样,包括讨论、检查列表、问卷、调查等。

4、几种评估方法的比较

采用基于知识的分析方法,组织不需要付出很多精力、时间和资源,只要通过多种途径采集相关信息,识别组织的风险所在和当前的安全措施,与特定的标准或最佳惯例进行比较,从中找出不符合的地方,最终达到消减和控制风险的目的。

理论上定量分析能对安全风险进行准确的分级,但前提是可供参考的数据指标是准确的,事实上随着信息系统日益复杂多变,定量分析所依据的数据的可靠性也很难保证,且数据统计缺乏长期性,计算过程又极易出错,给分析带来了很大困难,因此目前采用定量分析或者纯定量分析方法的比较少。

定性分析操作起来相对容易,但也存在因操作者经验和直觉的偏差而使分析结果失准。定性分析没有定量分析那样繁多的计算负担,但却要求分析者具备一定的经验和能力。定量分析依赖大量的统计数据,而定性分析没有这方面的要求,定量分析方法也不方便于后期系统改进与提高。

本文结合以上几种分析方法的特点和不足,在确定评估对象的基础上建立了一种基于知识的定性分析方法,并且本方法在风险评估结束后给系统的持续改进与提高提供了明确的方法和措施。

三、全生命周期的信息系统安全风险评估

由于信息系统生命周期的各阶段的安全防范目的不同,同时不同信息系统所依据的国家标准和要求不一样,使风险评估的目的和方法也不相同,因此每个阶段进行的风险评估的作用也不同。

信息系统按照整个生命周期分为规划与设计、工程实施、运行和维护、系统报废这四个主要阶段,每个阶段进行相应的信息系统安全风险评估的内容、特征以及主要作用如下:

第一阶段为规划与设计阶段,本阶段提出信息系统的目的、需求、规模和安全要求,如信息系统是否以及等级等。信息系统安全风险评估可以起到了解目前系统到底需要什么样的安全防范措施,帮助制定有效的安全防范策略,确定安全防范的投入最佳成本,说服机构领导同意安全策略的完全实施等作用。在本阶段标识的风险可以用来为信息系统的安全分析提供支持,这可能会影响到信息系统在开发过程中要对体系结构和设计方案进行权衡。

第二阶段是工程实施阶段,本阶段的特征是信息系统的安全特征应该被配、激活、测试并得到验证。风险评估可支持对系统实现效果的评价,考察其是否满足要求,并考察系统运行的环境是否是预期设计,有关风险的一系列决策必须在系统运行之前做出。

第三阶段是运行和维护阶段,本阶段的特征是信息系统开始执行其功能,一般情况下系统要不断修改,添加硬件和软件,或改变机构的运行规则、策略和流程等。当定期对系统进行重新评估时,或者信息系统在其运行性生产环境中做出重大变更时,要对其进行风险评估活动,了解各种安全设备实际的安全防范效果是否有满足安全目标的要求;了解安全防范策略是否切合实际,是否被全面执行;当信息系统因某种原因做出硬件或软件调整后,分析原本的安全措施是否依然有效。

第四阶段是系统报废阶段,可以使用信息系统安全风险评估来检验应当完全销毁的数据或设备,确实已经不能被任何方式所恢复。当要报废或者替换系统组件时,要对其进行风险评估,以确保硬件和软件得到了适当的报废处置,且残留信息也恰当地进行了处理,并且要确保信息系统的更新换代能以一个安全和系统化的方式完成。对于是信息系统的报废处理时,应按照国家相关保密要求进行处理和报废。

四、基于评估对象,知识定性分析的风险评估方法

1、评估方法的总体描述

在信息系统的生命周期中存在四个不同阶段的风险评估过程,其中运行和维护阶段的信息系统风险评估是持续时间最长、评估次数最多的阶段,在本阶段进行安全风险评估,首先应确定评估的具体对象,也就是限制评估的具体物理和技术范围。在信息系统当中,评估对象是与信息系统中的软硬件组成部分相对应的。例如,信息系统中包括各种服务器、服务器上运行的操作系统及各种服务程序、各种网络连接设备、各种安全防范设备和产品或应用程序、物理安全保障设备、以及维护管理和使用信息系统的人,这些都构成独立的评估对象,在评估的过程中按照对象依次进行检查、分析和评估。通常将整个计算机信息系统分为七个主要的评估对象:(1)信息安全风险评估;(2)业务流程安全风险评估;(3)网络安全风险评估;(4)通信安全风险评估;(5)无线安全风险评估;(6)物理安全风险评估;(7)使用和管理人员的风险评估。

在对每个对象进行评估时,采用基于知识分析的方法,针对互联网采用等级保护的标准进行合理分析,对于军工企业存在大量的信息系统,采用依据国家相关保密标准进行基线分析,同时在分析的过程中结合定性分析的原则,按照“安全两难定律”、“木桶原理”、“2/8法则”进行定性分析,同时在分析的过程中,设置一些“一票否决项”。对不同的评估对象,按照信息存储的重要程度和数量将对象划分为“高”、“中”、“低”三级,集中处理已知的和最有可能的威胁比花费精力处理未知的和不大可能的威胁更有用,保障系统在关键防护要求上得到落实,提高信息系统的鲁棒性。

2、基于知识的定性分析

军工企业大多数信息系统为信息系统,在信息系统基于知识分析时,重点从以下方面进行分析:物理隔离、边界控制、身份鉴别、信息流向、违规接入、电磁泄漏、动态变更管理、重点人员的管理等。由于重要的信息大多在应用系统中存在,因此针对服务器和用户终端的风险分析时采用2/8法则进行分析,着重保障服务器和应用系统的安全。在风险评估中以信息系统中的应用系统为关注焦点,分析组织内的纵深防御策略和持续改进的能力,判别技术和管理结合的程度和有效性并且风险评估的思想贯穿于应用的整个生命周期,对信息系统进行全面有效的系统评估。在评估过程中根据运行环境和使用人群,判别技术措施和管理措施互补性,及时调整技术和管理措施的合理性。在技术上无法实现的环节,应特别加强分析管理措施的制定和落实是否到位和存在隐患。

3、注重纵深防御和持续改进

篇2

关键字:房地产风险、风险评估、层次分析法

中图分类号: F293 文献标识码: A

一、引言

房地产行业是一个高风险的行业,风险因素复杂,难以量化。从国家的政策走向看,房地产仍是主要的调控对象, 2011年开始全国大中城市实施限购;2013年“国五条”出台,其中针对“二手房交易收取20%的个人所得税”;2013下半年十八届三中全会确定对居住房产征收房产税等一系列政策,不断调控市场,抑制需求。面对政策的不确定和多变性,房地产开发的风险也日趋增加。

在这种背景下,引入房地产投资风险评估,运用定量的方法确定房地产开发中的关键风险因素,帮助决策者有效地规避风险,提高决策者的能力和水平,改进项目管理水平,减少项目运营风险,提高房地产产项目的投资效益,为政府完善政策、科学决策提供重要依据,进而有利于建立稳定、繁荣和谐的房地产市场。

二、风险评估

风险评估是指应用各种风险评估技术和方法,对在房地产项目开发过程中可能遭遇到的风险及其影响进行估计和评价的过程。风险评估是制定风险应对措施的依据,是风险管理决策的基础,是风险管理的关键环节。

风险评估的主要任务:一方面可以有效的识别风险,判断项目的可实施性,从而使得投资者进行正确的决策;另一方面通过风险评估,识别风险类型,抓住主要风险,为投资者实施项目提前制定好应对措施。

三、层次分析法在房地产风险评估中的应用

1、层次分析法的基本原理

层次分析法(Analytic Hierarchy Process,简称AHP法)是美国数学家A.L.Saaty教授于1980年在他的《层次分析法AHP》一书中第一次提出来的。AHP最大的长处是可以处理定性与定量相结合的问题,可以将决策者的主观判断与政策经验导入模型,并加以量化处理。

在AHP法中首先要明确所要解决问题的目标,然后利用数学手段确定每一层各因素相对重要性的权值,再把上一层信息传递到下一层,最后给出各因素相对重要性的总排行。根据总排序(及权值)确定出各因素相对目标的影响程度,以此分析确定影响项目风险隐患的因素,实施有效的控制。

(1)因素集的建立

建立所研究问题的递阶层次结构。递阶层次结构的最高层一般是决策目标:决策层;往下一层就是准则层。递阶层次结构的最低层通常是备选方案,这些备选方案通过子准则、准则与决策目标建立联系。

(2)因素两两比较评分和判断矩阵。

工程项目风险评价模型确定后,请具有项目风险管理经验的人员对各风险因素进行两两比较评分。

以"金融风险"中各组成因素的权系数的确定为实际判断对象,说明判断矩阵权系数的确定过程,其相对重要程度评判结果见表1.

表1 评判结果

备注:1,i因素与j因素同样重要;3,i因素比j因素略重要;5,i因素比j因素稍重要;7,i因素比j因素重要得多;9,i因素比j因素重要很多;2,4,6,8,i与j两因素重要性比较结果处于以上结果的中间。

(3)一致性检验

第一,计算判断矩阵的最大特征根λmax。

由于

= 3.0183

第二,一致性检验

计算一致性指标 CI,CI=(λmax-n)/(n-1)=(3.0183-3)/(3-1)=0.009

计算一致性比例 CR,CR = CI/RI,如果 CR< 0.1,就可以人为判断矩阵的一致性是可以接受的,其中随机一致性指标RI由表2查得,对于此判断矩阵 CR = 0.009/0.9 = 0.01 < 0.1 ,所以接受.

表 2 随机一致性指标 RI 数值

(4)把所求出的各子因素相对风险程度值统一起来,即可求出该项目活动中风险所处的水平以及发生概率的大小;把项目的所有风险活动都如此分析评估,并把各项目的风险程度统一起来,就可得出项目的风险水平,由此判断该项目的风险程度。

四、结语

近年来房地产的快速增长,一方面给开发商带来了巨大的利润,另一方使其风险加剧,本文从房地产投资企业的角度出发,对房地产投资风险评估进行分析。运用层次分析法定量的分析房地产风险,能有效的帮助房地产开发企业识别主要风险,有效控制风险。

参考文献

[1] 张勇.浅析房地产开发企业资金风险及其控制[J].财政监督2011(20)37-38

[2] 刘彬.浅析房地产开发项目风险管理[J].管理科学,2010(08)183-184

[3] 薛楠.我国房地产开发项目风险管理研究[D].硕士学位论文,2010,32-36

篇3

【关键词】电力系统 安全风险评估 分析

随着我国电力系统规模的扩大,可能引发大面积停电的因素也不断增多,因此在全面考虑各种因素的基础上对复杂电力系统进行安全风险评估的需求更加迫切。因此,在加强电力系统安全稳定控制研究的同时,也必须注重对电力系统进行安全风险评估分析,以使相关人员可以及时地了解整个系统的安全风险,从而有针对性地提出防范对策。

1 电力系统安全风险评估的指标体系

电力系统运行的安全性,是指在突发性故障引起的扰动下,系统保证避免发生严重供电中断的能力。电力系统复杂,需要构建一定的风险评估指标体系。风险评估指标是风险评估的关键,只有建立科学、合理、实用的评估指标体系,才能对电力系统的安全风险进行客观、准确的评估,评估结果才具有实际指导意义。电力系统的安全性评估研究主要有 3 类方法,即确定性评估、概率评估、风险评估。电力系统由大量的发电机、变压器、母线、架空输电线路、断路器、隔离开关负荷等元件组成。设备停运是系统失效的根本原因,系统风险评价首要工作就是要确定元件的停运模型。

由于风险按每一个元件、每一起事故和每一类安全性问题进行计算,因此可以将对系统的整体风险评价进行分解,分解为对各类安全性问题的评估,并分类计算风险指标值,来反映系统安全问题的不同方面。在本文中定义了四类安全性问题,分别是过负荷风险、低电压风险、电压崩溃风险和功角失稳风险。根据这些风险建立一套具有科学性、实用性、完整性的安全风险评估体系。该体系包含了结构、技术、设备三大方面的风险指标。

2 基于状态检修的电力系统故障概率模型

本文基于状态评估推算设备故障率的方法,在此基础上,按各状态量对线路安全运行影响程度的轻重进行权重,通过对历史数据进行统计和当前设备进行评分以及权重系数建立了系统元件状态量评价表,从而对电力系统线路元件故障率进行评价。并依据2008年初国家电网公司颁布了《输变电设备状态检修试验规程》和相关设备的状态评价导则,该导则为输变电一次设备的状态量拟定了扣分标准。具体的基于状态检修的电力系统故障概率模型如下:

研究表明,设备状态评分与故障率之间存在如式(2-1)所示的指数关系:

P = Ke- (2-1)

式中:I :设备状态评分值,即通过设备状态评价导则获得的状态评价得分;

K:比例系数;

C:曲率系数;

p:平均故障率,其取值范围O~1。

由上式可见,状态评分的数值越大,设备故障率也就越高。

关于公式(2-1)中K、C值的求取,需根据各电力企业所辖电网的线路元件状

态和平均故障率进行统计计算,求得适合于该区域电网的K、C值,统计计算方法如下:

根据收集数据的统计,可以由年故障线路元件数与线路元件总数得出线路元件的年故障发生率,即

P= x 100% (2-2)

式中:n:故障线路元件数;

N:线路元件总数。

基于历史统计数据的最小二乘拟合公式为:

P= x 100% (2-3)

式中:p:线路元件的年故障发生概率;C ×I

Ni:某一分类的线路元件数;

N:线路元件总数;i为线路元件的分类,i=1~4;

I :根据i的分类按照对应于I 分值上下限的平均值代入。

只要获得某地区电网2年及以上的线路元件故障率p的统计数据及线路元件状态评分I ,就可以通过反演计算获取适合于该区域电网的比例系数K和曲率系数C。

3电力系统安全风险评估分析

电力系统安全风险评估分析首先要根据上文构建的指标体系和电力系统模型来计算和分析。具体操作包括风险指标计算和系统安全风险评估分析。

在计算流程中,如下图1。

图1 风险指标计算流程图

首先确立初始计算条件以及研究对象,包含所有需要计算的可能发生故障的元件;利用已知历史数据计算目标集内每个故障发生的概率。对于设备停运故障,计算每个故障发生。后系统的潮流分布情况,从潮流结果中运用有效数据按照上面所建立的模型计算过负荷风险指标、低电压风险指标。对于电压崩溃指标中的有功裕度值,计算的是所研究区域中所有负荷同时按一定比例增长的结果;其中负荷增长过程中,设负荷功率因数不变。功角失稳指标只计算线路两端发生短路故障的情况。求出每个故障下的各种风险指标。最后,当集内的所有故障全部计算完后,通过风险指标的整合对系统安全性进行风险评估分析。

4 结语

本文首先提出了一套电力系统风险评估的评价指标体系,针对状态检修电力系统风险评估的量化需求,提出了一套的概率模型。最后,给出该评价指标计算路径和评价方法流程在电力系统安全风险评估中的应用的步骤,可为电力人员提供借鉴与参考作用。但电力系统安全风险评估通常是在政府的监管下进行的,因此评估体系必须符合便于政府监管部门开展评估工作的原则。

参考文献:

[1]陈亦平,洪军.巴西“11.10”大停电原因分析及对我国南方电网的启示[J].电网技术,2010,34(5): 77-82.

篇4

【关键词】网络 安全风险 评估 关键技术

结合我国近年来的互联网应用经验可知,用户的互联网使用过程很容易受到恶意软件、病毒及黑客的干扰。这种干扰作用可能引发用户重要数据信息的丢失,为用户带来一定的经济损失。因此,利用综合评估技术、定性评估技术等开展网络安全风险评估具有一定的现实意义。

1 常见的网络攻击手段

目前较为常见的网络攻击手段主要包含以下几种:

1.1 IP欺骗攻击手段

这种攻击手段是指,不法分子利用伪装网络主机的方式,将主机的IP地址信息复制并记录下来,然后为用户提供虚假的网络认证,以获得返回报文,干扰用户使用计算机网络。这种攻击手段的危害性主要体现在:在不法分子获得返回报文之前,用户可能无法感知网络环境存在的危险性。

1.2 口令攻击手段

口令攻击手段是指,黑客实现选定攻击主机目标之后,通过字典开展测试,将攻击对象的网络口令破解出来。口令攻击手段能够成功应用的原因在于:黑客在利用错误口令测试用户UNIX系统网络的过程中,该系统网络不会对向用户发出提示信息。这种特点为黑客破解网络口令的过程提供了充裕的时间。当黑客成功破解出网络口令之后,可以利用Telnet等工具,将用户主机中处于加密状态的数据信息破解出来,进而实现自身的盗取或损坏数据信息目的。

1.3 数据劫持攻击手段

在网络运行过程中,不法分子会将数据劫持攻击方式应用在用户传输信息的过程中,获得用户密码信息,进而引发网络陷入瘫痪故障。与其他攻击手段相比,数据劫持攻击手段产生的危害相对较大。当出现这种问题之后,用户需要花费较长的时间才能恢复到正常的网络状态。

2 网络安全风险评估关键技术类型

网络安全风险评估关键技术主要包含以下几种:

2.1 综合评估技术

综合评估技术是指,在对网络安全风险进行定性评估的同时,结合定量评估的方式提升网络安全风险评估的准确性。

2.2 定性评估技术

定性评估技术向网络安全风险评估中渗透的原理为:通过推导演绎理论分析网络安全状态,借助德尔菲法判断网络中是否存在风险以及风险的类型。这种评估技术是我国当前网络安全评估中的常用技术之一。

2.3 定量评估技术

这种评估方式的评估作用是通过嫡权系数法产生的。定量评估技术的评估流程较为简单,但在实际的网络安全风险评估过程中,某些安全风险无法通过相关方式进行量化处理。

3 网络安全风险评估关键技术的渗透

这里分别从以下几方面入手,对网络安全风险评估关键技术的渗透进行分析和研究:

3.1 综合评估技术方面

结合我国目前的网络使用现状可知,多种因素都有可能引发网络出现安全风险。在这种情况下,网络使用过程中可能同时存在多种不同的风险。为了保证网络中存在的安全风险能够被全部识别出来,应该将综合评估技术应用在网络安全风险的评估过程中。在众多综合评估技术中,层次分析法的应用效果相对较好。评估人员可以将引发风险的因素及功能作为参照依据,将既有网络风险安全隐患分成不同的层次。当上述工作完成之后,需要在各个层次的网络安全风险之间建立出一个完善的多层次递接结构。以该结构为依据,对同一层次中处于相邻关系的风险因素全部进行排序。根据每个层次风险因素的顺序关系,依次计算网络安全风险的权值。同时,结合预设的网络安全风险评估目标合成权重参数,进而完成对网络安全风险评估的正确判断。

3.2 定性评估技术方面

定性评估技术的具体评估分析流程主要包含以下几个步骤:

3.2.1 数据查询步骤

该步骤是通过匿名方式完成的。

3.2.2 数据分析步骤

为了保证网络安全风险评估结果的准确性,定性评估技术在数据分析环节通过多次征询操作及反馈操作,分析并验证网络安全风险的相关数据。

3.2.3 可疑数据剔除步骤

网络安全风险具有不可预测性特点。在多种因素的影响下,通过背对背通信方式获得的网络安全风险数据中可能存在一些可疑数据。为了避免这类数据对最终的网络安全风险评估结果产生干扰作用,需要在合理分析网络安全现状的情况下,将可疑数据从待分析数据中剔除。

3.2.4 数据处理及取样步骤

通过背对背通信法获得的数据数量相对较多,当数据处理工作完成之后,可以通过随机取样等方法,从大量网络安全风险数据中选出一部分数据,供给后续评估分析环节应用。

3.2.5 累计比例计算及风险因素判断步骤

累计比例是风险因素判断的重要参考依据。因此,评估人员应该保证所计算累计比例的准确性。

3.2.6 安全系数评估步骤

在这个步骤中,评估人员需要根据前些步骤中的具体情况,将评估对象网络的安全风险系数确定出来。

与其他评估技术相比,定性评估技术的评估流程较为复杂。但所得评估结果相对较为准确。

3.3 定量评估技术方面

这种评估技术的评估原理为:通过嫡权系数法将评估对象网络的安全数据参数权重计算出来。这种评估方法的应用优势在于:能够度量网络系统中的不确定因素,将网络安全风险量化成具体数值的形式,为用户提供网络安全状态的判断。

4 结论

目前用户运用互联网的过程主要受到数据劫持攻击、口令攻击、IP欺骗攻击等手段的干扰。对于用户而言,网络安全风险的存在为其正常使用带来了一定的安全隐患。当隐患爆发时,用户可能会面临极大的经济损失。这种现象在企业用户中有着更为明显的体现。为了改善这种现象,促进互联网应用的正常发展,应该将定量评估技术、定性评估技术以及综合评估技术等,逐渐渗透在网络安全风险评估工作中。用户除了需要通过防火墙、病毒r截软件等工具改善网络环境之外,还应该加强对网络安全风险评估的重视。当获得网络安全风险评估结束之后,应该需要通过对评估资料的分析,有针对性地优化自身的网络系统,降低数据丢失或损坏等恶性事件的发生概率。

参考文献

[1]陈雷.网络安全态势评估与预测关键技术研究[D].郑州:信息工程大学,2015.

[2]李靖.网络安全风险评估关键技术研究[J].网络安全技术与应用,2014(05):82-84.

[3]覃宗炎.网络安全风险评估关键技术研究[J].网络安全技术与应用,2014(04):168-170.

[4]毛捍东.基于逻辑渗透图模型的网络安全风险评估方法研究[D].北京:国防科学技术大学,2008.

[5]宣蕾.网络安全定量风险评估及预测技术研究[D].北京:国防科学技术大学,2007.

篇5

关键词:高致病性蓝耳病;风险评估;体系;方法;分析值

中图分类号:S851.2 文献标识码:B 文章编号:1007-273X(2013)08-0049-01

蓝耳病是由猪繁殖与呼吸障碍综合征病毒变异毒株引起的一种急性高致病性传染病,病毒致病力强,传播速度快,猪群发病率和死亡率高。该病还可引起猪的免疫抑制,损害机体免疫功能,导致免疫失败,常造成猪瘟、大肠杆菌病等多种疫病混合或继发感染,引起生猪大批死亡,是严重危害世界养猪业的猪病之一。如何做好区域性高致病性猪蓝耳病风险评估至关重要。

1 蓝耳病发生风险因素层次分析法

从流行病学三要素着手,通过咨询专家确定影响蓝耳病疫情发生的各种风险因素,再运用层次分析法分析,通过建立层次分析结构模型,构造判断矩阵,然后确定蓝耳病发生风险因子的相对重要性。

2 蓝耳病发生风险评估方法的建立

目前,生猪养殖状况对预防与控制蓝耳病流行存在如下困难:第一,个别养殖场(户)不按规定执行免疫程序,疫苗使用剂量不足,存在漏防漏免现象;第二,外引动物控制监管不够,外引带毒猪只或病猪引入后引起猪成片发病;第三,市场监管不到位。

2.1 蓝耳病疫病发生风险评估指标体系

根据流行病学特点,结合蓝耳病病原学、流行病学、环境学、组织管理学等学科,建立起蓝耳病风险评估指标体系。风险评估指标体系包括准则层3项风险因素,指标层12项风险因素。风险因素遵循目的明确、系统全面、联系紧密、相对稳定可靠、可操作性及可行性六项原则。

2.2 蓝耳病发生风险评估模型构建

此模型由目标层、准则层和指标层组成。依据评估指标的建立原则分析蓝耳病发生风险性评估指标的基本性质、指标之间的相互关联以及层次隶属关系,通过咨询专家及结合实际,将蓝耳病发生风险因素进行归类。

3 蓝耳病发生风险因素权重表

根据风险评估模型,建立风险的判断矩阵,结合相关领域专家对影响蓝耳病发生风险相关因素相对重要程度定量赋值,计算出各层权重。

4 建立风险评估等级制度

将发生风险划分为3个等级,即高风险区、中度风险区和低风险区。高风险区:风险值≥0.6,风险系数1;中度风险区:0.3≤风险值

利用风险评估函数来计算高致病性猪蓝耳病发生的风险评估综合值,即将12个子风险因素的分析值相加,以分析值确定风险等级。

5 蓝耳病发生风险评估分析

5.1 传染源相关因素发生风险分析值

传染源相关因素发生风险分析值=疫情分布子风险因素绝对权重×风险系数+野鸭子风险因素绝对权重×风险系数+病原学监测子风险因素绝对权重×风险系数+季节子风险因素绝对权重×风险系数+妊娠母猪和1月龄内仔猪子风险因素绝对权重×风险系数。

篇6

关键词:信息安全;信息熵;风险评估;SoS体系;风险要素;评估模型;资产价值

中图分类号:TH814;TP212.9文献标志码:A

0引言

近年來,随着信息技术的快速发展,互联网的普及率超过70%,网民的数量超过10亿,手机上网的比例高达98%[1]。并且在线购物、移动支付、共享单车等应用渗透人们生活的方方面面[2],网站数量增长到544万个[3],其中,网络信息安全存在着巨大的风险,黑客、病毒以及芯片等等技术的破坏。因此非常有必要在信息安全方面进行风险评估,预防潜在的危害。科学的风险评估方法可以得出精确、合理的风险评估结果,一般分为定性分析、定量分析和定性定量相结合分析的3种方式[4]。风险评估是多学科、多领域结合的学科,基于SoS体系的多维度分析可以将这些抽象的变量客观化[5],针对复杂系统组合展开研究,其涉及到网络化、无边界、自适应等特性,保证风险评估结果的准确性。

1信息安全风险评估

1.1理论模型简介

信息安全风险的评估具有复杂的实现过程,为了计算出风险等级的公式方法,需要讨论有关于信息安全风险的理论模型,这涉及到ISO17799评估模型、ISO15408评估模型以及GBT20984-2007评估模型[6]。ISO17799模型着重体现资产价值与信息安全风险的关系,信息系统中的信息资料以资产价值来体现,风险的发生会损毁信息资产的价值[7],其模型示意图如图1所示。

威胁和系统脆弱性的增加以及安全措施的减少会导致系统风险的增加,进而会提出安全需求来改善。而ISO15408评估模型则着重于考虑风险的动态变化,在信息安全风险变化中避免资产价值受到影响,它的结构图如图2所示。

ISO15408评估模型分析了信息所有者与攻击者的状态,由于各自的动作状态导致风险的减少或增加,以至于影响到信息资产是否收到破坏。而针对于我国的信息安全风险的国家标准则是GB/T20984-2007的评估模型,该模型侧重于风险的各个要素与风险原理的相互作用,信息系统的脆弱性会将安全威胁演变成安全事件[8],同时安全措施一旦控制不了残余风险,也会诱发安全事件[9]。风险评估最后导出到安全需求上,整体的风险评估都依赖于资产价值,要素关系图如图3所示。

对潜在的风险问题进行评估分析是十分必要的,在此基础上才能得出准确、合理的风险原因,风险评估的步骤一般由评估前期准备、风险因素评估、风险确定、风险评级以及风险控制来组成[10],如图4所示。

1.2SoS体系理论基础

SoS体系是指实现复杂任务系统的组合,SoS体系意味着该复杂系统是由多个独立的实现单一目的系统组成,这些分离的系统组合在一起有机地形成具有整体能力的体系。该体系的特征十分丰富,具有大规模、复杂接口、动态性、网络化等等特点[11],各个子系统会包含人员、设备、原料、环境、管理等因素。由此可以知道SoS整体具备操作独立性、管理独立性、地理分布、涌现行为[12]。采用多维度的思维分解复杂组合系统,对这些子系统的归纳总结从而得到全面的风险评估结果。从传统的定性方式,层次分析法与模糊综合评价法上,已经不足以满足复杂信息系统的跨区域影响,且考虑因素不全面,容易导致评估结果不正确。

2基于SoS体系的多维度分析

2.1熵的原理

熵的概念是由德国物理学家克劳修斯提出的[13],主要是为了解决热力学的问题,后续玻尔兹曼又阐述了物理熵的统计学意义[14],随后香农在此基础上又将其推广到了信息技术领域,称为信息熵,信息熵的意义在于测量信息源的不确定度,信息源的不确定性与信息熵值保持一致性,即熵增加,不确定性也随之增加。信息熵具有对称性、非负性、确定性、可加性和极值性[15]。信息熵的定义如下所示,假设系统具有n种状态,分别为S1,S2,S3,…,Sn。每種状态的概率为pi,如式(1)。

传统的风险评估方式依据风险威胁的来源或者威胁的破坏性来划分,在引入SoS体系后,应按照SoS体系的特征,考虑系统操作性、系统管理性和地理分布特性[16]。从多个维度出发,依据系统受众的差异,分析这些方法。根据这3个维度的权重和影响,得到误差更低的分析结果。熵值是度量不确定性和无序性的变量[17],当系统遇到系统威胁,风险性增加后,熵值就会增加,安全性也会降低。在这个过程中涉及信息流的纵向流动和横向流动。依据这些理论思想的研究,可以做出熵值的分析方法示意图,具体如图5所示。

为了量化指标,对信息系统安全的风险评估可采用风险度来衡量,为了有利于熵值的计算,引入系统破坏度、可控制度以及脆弱程度。其取值如表1所示。

3基于SoS体系的多维度分析的应用

3.1多维度分析模型构建

从上述的分析中,将风险度的衡量分成3个维度,依次是指脆弱度F、破坏度D和可控度C,那么对于信息系统的安全风险度的公式如公式(4)所示,其范围数值是2~50,共49个数值,按照7等分,分成7个风险等级,每个风险等级可以囊括风险要素出现的可能性,并且能够保证每个等级的范围宽度是相同的,有利于模型的构建。事件的风险度等级值表格,如表2所示。

3.3风险熵的计算

将上述矩阵的权重向量值依据公式(8)进行风险熵值和熵权重的计算。为了比较出本文中改进方法的有效性,对发电厂的信息系统进行传统信息熵方法的风险评估,将其结果同本文改进方法的风险评估结果进行比较,便于分析。该种方法是对传统信息熵的简单应用[18]本文中不再详细介绍该方法的具体步骤,仅进行该类方法的计算。利用该方法对发电厂信息系统进行风险评估得到的熵值结果和权重,如表7所示。

新旧熵值的对比差异度十分明显,传统熵值的计算方式变化幅度较小,当面对不同权重的风险事件时,无法体现出安全威胁的破坏程度,而通过合理地改进后,熵值的变化复合客观规律,对不同等级的事件体现出合理性。

篇7

风险导向审计是指以被审计单位的风险评估为基础,综合分析影响被审计单位经济活动的各种风险因素,并根据量化的风险水平确定实施审计的范围、重点,进而进行实质性审查的一种审计方法。这种方法最显著的一个诉求就是降低审计风险,降低审计风险是对注册会计师的最起码要求。在接受委托之前,注册会计师会对项目的审计风险进行确认,若是认为其风险多大,便不会答应聘请要求;若是确认之后,风险能?虺惺埽?注册会计师便会签订审计聘约,占领风险“高地”,降低诉讼风险。

风险导向审计有两个特点:一个就在于其强调审计的全过程风险性,另一个就是评估固有风险。明确了固有的风险,科学评估,能够帮助注册会计师确定财务报表发生错弊的可能性,以便注册会计师分配审计资源,集中主要力量解决主要矛盾,提高审计效率。

2风险导向审计模式的现状

跨国企业的独立审计建立在传统审计风险模型的基础上,传统审计风险主要包括四个组成部分,其中不但包括审计风险、控制风险,还包括检查风险、固有风险。基于这个模型的独立审计有很大的局限,那就是注册会计师是否实施审计程序以及在多大范围内实施,完全取决于对检查风险的评估,而评估检查风险又依赖于对固有风险和控制风险的评估。

在实践中,关于固定风险的研究虽然不少,但要对其进行准确评估却并不简单,在这样的情况下进行风险评估,主要的精力需要集中在控制风险评估上。若是将控制风险控制得较低,实质性测试工作就可以减少许多,但这种做法显然存在隐患。之所以会出现隐患是因为存在内部操纵的可能,一旦出现了员工、管理层操纵,之前所做的工作将失效,势必对后续的审计工作产生消极影响,提高审计风险。此外,我们还需要看到,企业使社会经济生活的一部分,企业的会计报表受到诸多因素的影响,其中不但包括行业状况、企业性质、经营风险,还包括监管环境、经营及发展战略等。在复杂的经济活动中,若是出现了重大舞弊,且通过企业的内部控制难以有效对其进行控制,内部控制就会失效。对注册会计师来说,在进行审计的时候,若是局限于内部控制,不能拓展审计视角,遭到蒙蔽、欺骗是在所难免的。

3现代风险导向审计模式的转变

现代风险导向审计和传统风险导向审计的本质区别于审计理念和审计技术方法的不同。传统风险导向风险审计存在审计隐患,风险评估体系不够完善,很难对高风险审计领域进行有效的识别,出现了审计过量或不足的情况,对后续的审计程序、结果产生了不利影响。相较于传统风险导向审计,现代风险导向审计有如下几点转变。

31审计重心转变

现代风险导向审计与以往的审计有了诸多的变化,其中最为明显的要属审计重心的转变,在引入“重大错报风险”概念之后,现代风险导向审计优化、调整了自身的审计风险模型。在传统风险导向审计中,测试是整个审计的重心,风险评估效力偏弱;而调整之后,风险评估重新作为整个审计的重心。这个转变并非形式上的改变,而是植根于风险导向理念的改变。在新的风险导向理念下,审计更注重对风险源的评估,将一切审计归于本质,有效地避免了假象的迷惑,对做出正确的判断和审计结论起到了积极的作用,真正实现了“主动审计”。

32风险评估重心转变

在以往的风险导向审计中,控制风险评估是整个审计的重心,而调整之后的“现代审计”则确立了以重大错报风险为重心的综合分析评估方法。确立了现代企业制度的企业,若是出现了舞弊的情况,其中绝大部分要归咎于管理层,因为制度的完善使员工舞弊的可能性无限降低,而管理层的舞弊“敞口”要大得多。企业出现的重大错报风险,和企业管理舞弊关系紧密。之所以对风险评估的重心进行调整,就是为了更好地消除、应对重大错报风险,积极应对、发现、整治企业的管理舞弊现象。现代风险导向审计将审计作为一个大系统,十分注重于管理当局、治理当局的沟通,对企业的管理舞弊出示了“警示牌”。

33风险评估结构转变

传统的风险导向审计风险评估比较零散,而调整之后的现代导向审计更为结构化。结构化的改变让审计业务流程得到了优化,使审计能够更好地贯彻现代风险导向审计理念。在传统风险导向审计的审计体系中,源于审计对象的关键风险被分割,形成了固有风险、控制风险,分别对两个风险进行分析评估,虽然看似更为明确,但是审计的整体性却大为下降。为了更好地体现出审计的整体性,现代风险导向审计将其合并为重大错报风险,在系统分析的基础上,对其进行综合评估分析。在这种新的评估分析结构中,更多的风险因素被引入,对宏观、整体地评估、分析审计风险有重要意义。

4对完善跨国企业审计技术方法启示

41调整跨国企业审计理念

相较于民间审计,跨国企业审计的职责具有很强的公共性,审计的范围虽然也是经济领域,但是审计的内容却涉及跨国企业和民众利益,跨国企业审计机构需要做的就是对涉及这些内容的权力运行过程进行监督。就目前的情况来看,跨国企业审计涉及四个重点,其中不但包括财政资金审计监督、金融资产审计监督,还包括国有资产审计监督、社保资金审计监督。这四个方面对跨国企业经济领域影响重大,财政资金与经济政策制定息息相关;金融资产关系直接关系到金融风险水平;社保关系则影响到社会福利制度建设和社会稳定;国有资产对跨国企业经济基础的重要性不言自明。如上几个方面的内容都是跨国企业审计的重点,一旦与腐败相连,势必会对经济领域产生严重的负面影响,为此,我们需要对重点内容加大审计力度。

审计监督的重点在于资金的审查,在审计的过程中,不但要了解审计资金的分配、支出情况,还需要对资金的使用情况、合规性等进行审查。一旦发现其中不符合规定程序的操作,要按照有关规定处理,只有如此,才能规避暗箱操作,起到抑制腐败的作用。跨国企业已经进入市场经济改革深水区,计划经济和市场经济存在根本的区别,固有的经济问题也不尽相同。在市场经济转轨时期,跨国企业出现了很多比较特殊的经济现象,一些部分、单位,在利益的驱使下钻了改革的“空子”,给跨国企业和人民造成了很大的损失。此外,部分权力制约失效问题也应该引起我们的关注,在权力未得到有效制约的情况下,难免会出现钱权交易的情况。总而言之,在市场经济转型的特殊背景下,跨国企业出现的腐败问题是复杂的、多样的、顽固的,若不开展前瞻性、全面性、系统性的审计,势必会造成严重的负面影响。

42前移跨国企业审计重心

目前,跨国企业审计机构主要使用两种审计模式,一种是制度基础审计模式,另一种是账户基础审计模式。这两种模式侧重的是对错差风险的审计,对其他风险的关注较少,审计的局部性比较强,在财务报表整体审计及把握上存在很大的局限,只能由局部到整体。在这种审计模式下,审计人员对风险的认识会混乱,不能对风险进行全面、系统的人事,实施有力、有效的控制,势必会影响审计效果。

现代风险导向审计模式则确立了新的审计模式,从风险源分析入手,以风险源为导向,结合被审计对象所处的环境进行分析并进行严密的逻辑推理,进而一步一步地推导和落实审计的范围和重点,确定相关的审计目标和审计程序,给审计人员把握、控制审计风险创造了良好的条件。在这种审计模式下,??计人员的审计可以从整体到局部,因为准确抓住了风险源,审计人员的思路更加清晰,对审计风险的认识、判断更为清晰、准确,只要在接下来的审计程序中完成好取证、调查工作,就可以高质量、高效率完成审计工作。总的来说,跨国企业审计工作重心必须前移,只有树立整体、系统观点,确立以风险为导的审计模式,实施由整体到局部再由局部到整体的审计战略,才能更好地促进跨国企业审计的发展。

43完善跨国企业审计程序机制

在新准则中,审计程序被重新确定,包括风险评估、控制测试、实质性测试三个方面,以下分别对这三个方面进行阐述:其一,风险评估程序。这个程序主要是对审计单位及其环境进行全面、翔实的了解,被审计单位的内部控制也包含其中。之所以确定这个程序,目的有两点:一点是评估财务报表层次,另一点是确定重大错报风险的等级。其二,控制测试程序。完成了风险评估程序后需要需要开展控制测试,所谓的控制测试就是对内部控制(目的是为了测试内部控制在防止、发现和纠正认定层次重大错报方面的有效性,并据此一并评估重大错报风险)。三是实质性测试程序。完成了如上两个程序,就需要进行实质性测试环程序,改程序是为了对前面认定的重大错报风险进行检查,并确定相应的审计程序。

传统的审计建立在审计测试的基础上,随着风险导向审计模式的建立和应用,传统审计暴露出很多的问题,风险评估为中心的审计模式体现出更大的优越性。该模式建立、应用之后,加强了风险评估程序,贯彻、执行了风险导向审计的理念。在跨国企业审计技术方法完善的过程中,可以借鉴民间审计的程序。上文已经提到,管理舞弊也是跨国企业审计的高风险区,在实际的审计程序确立过程中,跨国企业审计机构还是应该将管理舞弊风险评价作为切入点,开展全面的风险评估,并且对管理层的诚信度进行评价。完成评估评价流程的基础上,要根据结果,判断被审计单位内控风险、管理舞弊风险的层次和等级;依据确定的层次和等级,制订审计计划,审计计划的制订除了依据层次、等级认定,还需要考虑到管理层诚信度、内控效度,致力于实现审计资源配置利用最大化。在这里需要注意的是,管理舞弊风险属于固有风险,在审计过程中,通过直接评估很难有所发现,所以应该将重点放在账外,辅以必要的间接评估手段,只有如此,才能达到理想的效果。

篇8

关键词:企业 风险控制 实施策略

企业在生产经营过程中,不可避免的要受到经济环境、法律政策、金融制度等外部因素以及企业的治理结构、战略文化、管理体系等内部因素的影响,在这些因素中存在着较多的风险隐患,如果管理控制不当容易影响企业的自身战略发展。特别是在当前企业经营发展所面临的内外环境复杂多变的时期,建立风险监督管理系统,对企业的经营管理潜在风险因素进行全面系统的分析,强化企业的风险管理控制能力,确保企业风险控制目标的实现,已经成为企业管理工作的重点,对于提高企业的经营管理水平以及市场环境适应能力也具有重要的作用。

一、企业经营发展的风险类型分析

对企业的风险进行管理控制,必须明确企业生产经营的主要风险类型,在当前市场经济环境下,企业风险可以分为外部风险以及内部风险两类。

(一)外部风险

外部风险主要是指企业在市场环境下生产经营过程中所面临的客观风险,主要包括政治风险、法律政策风险、合规风险、技术风险、市场环境风险、产业风险、社会文化风险以及信用风险等几种类型。

(二)内部风险

内部风险主要是与企业的战略目标、管理体系以及治理结构相关的风险因素,主要包括企业的战略风险、操作风险、运营风险、财务风险等几种类型,其中企业风险管理控制主体就是企业财务风险的管理控制,即对企业财务结构、会计活动以及投资项目所开展的风险管理控制活动。

二、当前企业风险控制管理存在的问题分析

(一)全面预算管理基础薄弱

全面预算管理已经成为现代企业管理体系中应用较为广泛的管理手段,系统完善的全面预算管理体系可以对企业的经营管理尤其是资金管理进行整体的规划安排,对于降低企业的财务风险以及资金流动性风险具有重要的作用。但是目前我国企业的全面预算管理基础薄弱,难以真正发挥其实际职能,对于降低企业经营风险以及指导企业财务管理工作作用不大。

(二)内部控制力度较弱

内部控制作为企业风险管理体系的重要内容,对于评估分析以及防范控制风险具有重要的作用。但是由于部分企业内部控制制度的系统性较差,缺乏重点性以及风险导向性,削弱了内部控制在风险管理工作中的实际效果。

(三)风险监督机制失效

由于部分企业风险控制管理意识薄弱,因此对于风险管理并没有制定系统全面的监督机制,同时也缺乏风险管理工作激励措施,由于监督职能的失效,因此风险管理体系也无法实现事前预警分析、事中控制防范以及事后问责,这种权责不明的制度造成风险控制管理效果较差。

三、提高企业风险控制能力的具体策略

(一)完善预算管理体系,强化内部控制体系的建设

全面预算管理体系建设不仅可以起到分配控制以及考核企业资源的作用,对于组织企业经营活动,降低经营风险也具有重要的作用。因此企业应该完善预算管理制度,同时采取自上而下、自下而上以及上下结合的方式进行企业预算的编制,并通过强有力的执行措施,发挥全面预算管理在降低企业风险工作中的作用。其次,企业应该认识到内部控制与风险管理工作之间的密切联系,并通过完善内部控制体系以及制度建设,为有效的风险控制管理工作提供基础保障作用。

(二)做好企业的风险评估以及应对工作

由于企业的风险具有不确定性以及突发性,因此必须做好风险评估以及应对工作。首先企业应该全面深入了解企业经营发展过程中存在的各类风险,细致分析有可能造成企业出现风险问题的各种因素。然后按照定性风险评价法或者是风险率风险评价法等方法对风险频率进行准确的评估,通过对风险因素、风险类型以及企业数据的细致分析,准确的评价风险发生概率以及风险等级,进而对风险管理工作的重点进行排序。其次,在完成风险分析以及评估之后,应该按照风险等级、发生概率、企业的战略以及企业承受能力等相关内容,制定具体的风险应对方法。在风险管理控制方法的制定上,应该注重管理方法的连续性以及动态性,通过积极的应对来提高企业的风险防范控制能力。

(三)优化信息系统建设,强化对风险管理的监督考核

优化企业的信息系统建设, 可以强化企业的信息集成以及共享能力,因而能够将涉及到企业经营活动的各项信息及时准确的传递至决策部门以及风险管理部门,进而确保企业风险监测、风险评估分析以及风险等级管理等工作的顺利开展。同时,企业应该完善风险监督机制,督促相关部门严格按照风险管理措施执行风险管理控制工作。此外,企业风险监督管理部门应该做好风险管理绩效评价工作,通过绩效评价为企业风险管理工作的持续开展与改进提供准确的依据。

四、结束语

企业在市场经济环境下开展经营活动,就必然存在着风险问题,企业内外环境中的各种风险因素都有可能对企业正常经营发展造成不利影响。因此企业管理部门必须充分认识到风险管理控制工作的重要性,将风险管理控制作为一项系统工程,结合企业行业特点以及业务活动特点,对风险管理控制环境进行优化,完善企业风险管理控制制度,并通过细致的评估分析,提高企业风险控制能力,确保企业的稳健发展。

参考文献:

[1]许国兵.基于案例推理的企业物流外包风险预警系统[J].物流技术,2007

篇9

关键词:安全风险管控 风险管控措施

中图分类号:F530文献标识码: A

一、前沿

供电公司基于PMS的作业项目安全风险管控系统改进了以往以计划为主要流程的风险管控模式,去掉了复杂的计划管理步骤,直接以PMS作业项目为导向,以风险管理为基点,将安全生产管理关口前移,实现对电网和作业风险初评、评定、复评和后评估全面的信息化支持。系统基于风险评估数据库,为科学、准确、有效的风险评估提供辅助,并基于风险评估结果实现更具针对性的风险管控,相关的风险管控措施被严格地规范在业务流程中,执行的过程可控、在控、能控,为电力企业安全生产风险管控提供了一种新模式和思路,全面推进了安全生产标准化和精益化,切实提升了企业安全发展、科学发展的水平。

二、安全生产风险具体体现

(1)生产计划主要通过生产MIS进行管理,存在工作量大、临时变动大,未能与安全风险管控有效结合,计划的刚性管理欠缺。

(2)未建立统一的评估标准,评估人的主观影响较大,到岗到位计划,只能根据工作量的大小来判断,依据较单一,同时也不能进行全面统计分析。

(3)近年来,随着经济发展势头迅猛,作业现场点多面广,检修技改任务繁重。然而,保证体系和监督体系的人员不可能对全部现场进行督导和检查,作业现场的危险点预控措施落实情况不能很好的得到监控。

(4)班组安全生产的基础较薄弱,用工机制较多,人员安全意识、技能水平参差不齐,作业违章难以根除。班组安全生产承载力的分析,仅停留于某个周期内是否存在违章、是否受到过处分和班组的安全活动开展情况上,不能充分发现班组安全生产管理和过程中存在的危险因素。

为解决上述问题,供电公司建立了基于PMS的作业项目安全生产风险管控系统,该系统建立了完善的风险评估库,评估人只要通过选择评估要素进行评估,评估分和风险等级由系统自动生成。系统在对风险评估过程进行规范的同时,还通过对班组的安全承载能力分析实现了检修计划的闭环管理,相关的风险管控措施被严格地规范在业务流程中,极大地提高了检修计划管理的效率和水平,以管理创新推动了安全生产水平的提升。

三、 系统功能

1.1 风险评估库

风险评估库包括电网风险评估库、变电检修风险评估库、线路检修风险评估库、操作风险评估库、班组风险评估库等。每个风险评估库包括评价因素、评估项目、评估要素三个层次,风险评估库的设置遵循最大风险法则。风险等级用星级表示,从一星到五星,以分值衡量,星级越高,风险越大。在系统中,可对各风险评估库的星级评定标准进行管理,同时也可设置各个星级的同进同出、到岗到位的管理要求,以便在生成风险评估报告时,根据评估的星级生成同进同出、到岗到位的要求。对评估项目,可设置相关信息供风险评估时参考,可显示的信息包括设备台帐信息、缺陷和隐患、检修相关信息等。对评估要素,可设置自动判断的条件,这些条件来源于设备台帐、缺陷、隐患和检修相关信息,在进行风险评估时,系统将对评估要素进行自动判断。

1.2 作业项目风险评估

在进行作业项目风险评估之前,生产班组需要进行作业项目三维风险辨识。为提高生产班组作业风险辨识的针对性,系统在生产班组进行作业项目三维风险辨识前,提供以下辅助:(1)根据作业设备从设备环境风险库中搜索与该作业相关的风险事件。(2)根据作业班组从班组风险库中搜索相关班组及人员素质风险。(3)根据作业内容从风险辨识范本库中搜索相关的风险辨识范本。(4)班组可根据类别等关键字搜索风险事件、班组风险、风险辨识范本。

班组导出打印所有相关的作业风险,进行现场踏勘,对风险事件、班组风险、风险辨识范本中的内容进行确认并评估风险等级。对于风险事件,其风险等级直接来自作业安全库LEC评估的结果,对于班组及人员素质风险和根据风险辨识范本辨识的动态风险,生产班组需要进行PR评估。工区或班组基于作业项目风险评估标准进行评估,对每项评估项目进行打分或者选择评估选项,系统自动根据评分规则计算作业项目的评估分和风险等级。同时,系统为作业项目风险评估提供以下支持:(1)基于作业项目风险评估标准库中的评估判据,对评估项目的得分进行自动计算或自动选择评估选项,如自动查找与作业项目相关的风险事件并计算得分,并且在此基础上,评估人可对风险事件库进行搜索,选择相关的风险事件,系统根据计分规则计算得分。(2)显示关联信息供评估人参考,如设备台帐、检修计划、班组及人员等相关信息。(3)系统根据评估结果自动生成风险评估报告,生产控制措施卡,指导作业班组的现场作业,现场作业完成后必须将安全措施执行情况反馈到系统中,完成闭环。

1.3 安全承载能力分析

系统基于作业班组及人员安全承载能力评估标准和评估流程,实现作业班组、班组人员安全承载能力评估的闭环管理,同时实现作业班组、人员安全承载能力可量化的指标,为作业项目风险评估、安全承载能力分析和生成控制措施卡提供辅助支持。

1.4 查询统计

通过系统,各部门可方便地对风险事件、班组风险、风险评估标准、风险辨识范本、作业项目风险评估、风险预警进行查询。同时,系统基于多维在线分析技术,实现对风险事件、班组风险、作业项目风险的全面统计分析。

2、系统呈现

2.1 系统架构

本系统基于J2EE技术架构,用户无需安装客户端即可使用系统的所有功能,在极大程度上降低了系统的维护和管理成本。

系统实现了组件化设计理念,采用浏览器+中间件+应用服务器+数据库服务器的多层结构,显示逻辑、业务处理逻辑和数据访问逻辑分开,拥有完备的安全控制结构和通用的数据访问结构,运行稳定,性能较高,易于维护并具有良好的可扩展性和安全性。

2.2 流程引擎

为保证系统流程稳定、高效的流转,本系统实现了符合WFMC标准的通用工作流平台,实现所有业务流程的定义、驱动、监控的集中管理:(1)流程引擎支持图形化实现复杂业务逻辑,提供图形化流程组织结构,支持各种角色、关系、相对关系等功能,具有良好的易用性和扩展性;(2)系统管理器提供各种异常管理功能,比如重新激活停滞流程,重新指派,提供各种协同功能,支持流程动态功能,比如客户端支持指派、重新提交流程等:(3)工作流平台提供多层次的流程监控功能,流程参与人员、管理员可以图形化的形式直观地监控流程的状态和进度。(4)管理员可方便对地流程异常进行监控、干预。(5)高度可扩展及集成能力,支持图形化配置即可集成各种应用系统,支持包括客户端定制、表单定制、集成第三方系统等接口,流程规则、表单、步骤条件等均可调用XML、Web services等。

四、结语

综上所述,作业项目安全风险管控系统是一个全面、综合的作业项目安全风险评估和风险管控信息化解决方案,不仅为电网风险评估、作业风险评估、班组安全承载能力分析提供全面的智能化、信息化支持,实现科学、实时、准确的安全风险评估,同时PMS生产计划与安全风险管控有效结合,不断夯实了安全生产基础,提升了安全生产管理水平,真正实现了安全生产的可控、能控、在控。

参考文献

[1] 国家电网公司.供电企业安全风险评估规范[M].北京:中国电力出版社,2008.

篇10

关键字: 雷电灾害;风险评估;现状;完善

中图分类号:TK288文献标识码:A

引言

依据漯河市防雷减灾中心提供的雷电灾害资料,结合历史资料,漯河市共发生雷击事件100多次,其中雷击死亡8人,伤2人。由此可见,雷击的频繁发生,对人民的生命财产安全构成了巨大的威胁。随着高层建筑物的不断增多,雷击的发生频率有所提高,而且严重化程度以及多样化不断增加。气象部门近年来逐渐重视,漯河市气象局在其部门职能中对此就做出过明确的指示,各部门要积极探索顺利开展雷击灾害风险评估工作的途径和对策。

如何开展雷击风险评估,首先要认识和了解雷击风险评估。雷击风险评估是研究系统性防雷和区域性防雷的技术支持,是准确定位防雷建(构)筑物类别及合理设计防雷工程技术方案的必然要求。简单来说,雷击风险评估根据项目所在地雷电活动时空分布特征及其灾害特征,结合现场情况进行分析,对雷电可能导致的人员伤亡、财产损失程度与危害范围等方面的综合风险计算,从而为项目选址、功能分区布局、防雷类别(等级)与防雷措施确定、雷灾事故应急方案等提出建设性意见的一种评价方法。

雷击风险评估现状

(一)、依据法律法规开展雷击风险评估

《气象灾害防御条例》;(2)中国气象局第20号令《防雷减灾管理办法》;(3)中国气象局第21号令《 防雷装置设计审核和竣工验收规定》,以及地方的气象和物价部门的法律、法规。依法办事,有法可依,对开展雷击风险评估的发展起到一定的促进作用。但是各个地区政策参差不齐,部分省份的收费不够明确,这对于评估必定会产生很大的影响。因此应当抓紧制定出台相应的政策文件和雷击风险评估收费标准。

(二)、雷电风险评估方式及内容

1、工作形式:根据气象管理部门的要求,并得到气象部门的许可,指定风险评估单位,然后依据一系列的评估标准进行评估。

2、雷电灾害风险评估分为项目的预评估、方案评估及现状评估。由于雷电风险评估,国内仍属于初级阶段,因此现在主要只是做建设项目方案的评估。对大型厂房、高层建筑等等雷电危险系数大的建筑物,进行雷电灾害分析,防雷设计的指导,并给出防护措施和应急预案。

(三)、防雷评估的推广问题

1、、宣传、认识不足:根据日常受理的经验来看,绝大部分建设方在办理防雷相关手续时并不知道有雷击风险评估这一项目的存在。即使工作人员做出说明,通常也会对其必要性提出异议。经常将前期可行性评估与雷击风险评估混为一谈,因此在宣传上有很大的欠缺。

2、在建设施工方面,绝大多数存在到气象窗口报批施工图防雷设计审核前施工图已经出了,才补办雷击风险评估。评估的最终目标是为建筑防雷提供科学的依据,这样做的话就不能真正的发挥雷击风险评估对设计的指导作用。

(四)、设备落后、人员缺乏

1、由于对雷击风险评估重视不足,导致设备缺乏或者是设备更新不及时,各个地方闪电定位材料的不齐全,造成整体技术水平偏低,最终导致这项工作的质量达不到要求水平。

2、专业技术人才是做好雷击风险评估的重要保障。关于人员问题,由于开展雷击风险评估的时间较短,技术水平有限,实践经验缺乏,如果再没有专业技术人员的指导,那么在技术这一块就会达不到标准。

对开展雷击风险评估的思考

从核心问题出发,从根本上解决,保证雷击风险评估的技术质量和水平,解放思想,大胆创新,积极推动雷击风险评估工作的开展,拓展防雷技术服务新领域。还要对雷击风险评估有正确的定位和清醒的认识,统筹兼顾,在全市范围内实行合理可行的运行机制。

、关于仪器设备以及人员管理

1、仪器设备方面:政府应当加大扶植力度,对一些先进设备的引进是技术保证的前提。对基层设备要及时进行更新,因为基层是提供基础数据的重要来源。

2、人员方面:要招贤纳士,多引进雷击风险评估方面的人才,学习使用先进的科技手段,提升风险评估的效率与准确性。提高工作人员的工作认真程度,办事效率,保证每个评估报告都有质量的完成。我们也应该因地制宜的研发出适合本地区的雷击风险评估管理系统。积极研发和推广雷击风险评估管理系统,使复杂、繁琐的计算过程简化。

3、完善制度:由于雷击风险评估发展时间短,制度也都有一些漏洞,因此应当建立有效的制度,以提高评估的质量和水平。每个从业人员必须都要有相应的从业资格证书,并且要定期对工作人员的业务水平进行考核,确保雷击风险评估的质量和服务都达到标准。

(二)、关于制度的完善

1、雷击风险评估制度的完善:有些地方的法律法规仍然不够完善,收费模糊,工作的内容不够明确。对此政府部门要提高重视,对不合理的制度进行补充完善,细节制度清楚。进而促进雷击风险评估工作的顺利开展。

2、雷击风险评估机构制度:机构内部制度的完善,工作流程制度、用人制度、考核制度的完善工作。

、推广宣传工作:由于大众对雷电灾害风险评估的陌生,造成了对其的不理解,使其在推广上遇到了很大的阻力。需要各个部门的协调配合,利用宣传材料、网络以及其他的媒介进行宣传工作,使更多的人了解、认识雷电的风险评估的重大意义。从而提高对评估的全面认识。全社会重视起来了,实施落实起来就相对容易多了。

结束语:气象事业的发展与气象法律体系的建设相辅相成。防雷事业的发展同样也离不开有关防雷法律法规的出台与落实而得以保障。雷电灾害风险评估在防雷相关法律法规中的重要程度仍有待提高,以使其重要性与其在法律上的体现相匹配。在提升雷击风险评估在法律中的重要性的同时,更要加强其细致化规范进程。

通过雷电灾害风险评估可为评估对象提供雷电防护的科学设计、灾害风险控制、经济投资、应急管理等方面服务,保证防雷工程安全可靠、技术先进、经济合理。雷击风险评估是开展综合防雷的必经程序,也是实现科学防雷的必要条件,体现了预防为主,防治结合的理念。雷电风险评估需要较高的科技含量,要避免盲目性,保证数据的科学准确,评估报告具有权威性。让更多的人知道,雷电风险评估是雷电风险灾害管理的关键措施,具有控制和消除隐患的重大作用。

参考文献:

[1]杨仲江.雷击风险评估与管理基础[M].北京:中国气象出版社,2010:21-25.