企业风险管理案例范文

时间:2023-08-30 17:06:49

导语:如何才能写好一篇企业风险管理案例,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

企业风险管理案例

篇1

风险管理理论发展至今,不同的学科、不同的专业机构、团体、研究学者有不同的认识和理解,于是产生了不同的理论派别。本文的理论框架主要来源于美国COSO委员会制定的《企业风险管理——整合框架》。

二、公司简介

某集团有限公司是中国最大的肉制品生产企业之一,其产品包括冷鲜肉、冷冻肉、以及以猪肉为主的低温肉制品、高温肉制品。

集团总部设于中国江苏省南京市,拥有多处冷鲜肉、冷冻肉生产基地及深加工肉制品生产基地。集团拥有最先进的生产设备和工艺技术,以其独有的技术方法,研制出一系列符合消费者口味的优质产品。基于肉制品业务的经验,集团于1997年开展冷鲜肉和冷冻肉业务。2002、2003年,冷鲜肉、冷冻肉的市场占有率分别位列中国大陆第二名、第三名。低温肉制品,自2002年至2004年,其市场占有率连续三年位居中国大型零售商销售首位。

对某集团而言,企业的迅速壮大是成功的标志,但更是企业所面临的挑战。作为一家迅速发展中的企业,集团深刻意识到专业化管理对于企业壮大的重要性。因此,集团时刻致力于强化企业的专业化管理,增强企业的核心竞争力。

三、某集团风险管理流程存在的问题及对策建议

(一)风险管理文化

1.存在的问题。某集团虽然在香港联合证券交易所上市,但其实质仍是一中国民营企业,该企业按照香港的《上市规则》建立了法人治理结构,建立健全了一系列“法治”的规章制度,但其“人治”的色彩非常浓厚。内部控制对高级管理层的约束力较弱。

2.对策建议。在风险管理方面,首先要做的工作是在全公司范围内自上而下进行一次风险管理的宣传、教育、培训,增强员工风险管理意识,董事和高级管理人员应在培育风险管理文化中起表率作用。重要管理及业务流程和风险控制点的管理人员和业务操作人员,应成为培育风险管理文化的骨干。与薪酬制度和人事制度相结合进行风险管理文化建设,增强各级管理人员特别是高级管理人员风险意识,防止盲目扩张、片面追求业绩、忽视风险等行为的发生。加强员工法律素质教育,制定员工道德诚信准则,形成人人讲道德诚信、合法合规经营的风险管理文化。

(二)风险管理组织体系

1.存在的问题。在公司现有的组织结构里,没有专职的风险管理机构。董事会下既没有设风险管理委员会,也没有设审计委员会。风险管理职能由其他部门(如总经办、审计部、投资发展部)根据需要分散承担,由于风险管理职责不明确,缺少对各种风险的整合管理。

2.对策建议。董事会就全面风险管理工作的有效性对股东大会负责。在董事会下设风险管理委员会,整合现有风险管理资源。明确总经理对全面风险管理工作的有效性向董事会负责。总经理委托的高级管理人员负责主持全面风险管理的日常工作,成立风险管理部,负责组织协调全面风险管理日常工作,除一至两个专职人员外,其他人员可暂由其他部门派人兼任。内部审计部门在风险管理方面主要负责研究提出全面风险管理监督评价体系,制定监督评价相关制度,开展监督与评价,出具监督评价审计报告。

(三)风险识别、评估、排序

1.存在的问题。现在进行重点管理的十三种风险,还是一年前管理层通过讨论识别、评估确认的,一年来没有重新进行识别、评估、排序。而一年来公司内外部环境都发生了很大的变化,原来识别的风险范围是否充分、评估排序是否恰当,亟需进行重新审视。

2.对策建议。在进行风险管理宣传的同时,设计、发放调查问卷,发动公司所有员工对公司面临的风险和机会进行识别,对调查结果进行统计、分析、总结,筛选出主要风险后,在管理层范围内对这些风险进行打分,评估重要性后排序。而对于识别出来的机会,管理层要考虑如何加以充分利用。

(四)风险管理策略与方法

1.存在的问题。公司现有的针对十三种风险采取的防范措施几乎全部可归结为抑制与控制策略,以期降低损失发生的可能性、频率,缩小损失程度。这十三种风险范围之外的风险可以说是采取了风险接受策略。而对于风险规避策略、风险转移策略、风险利用策略则极少采用。在风险管理策略与方法的选择上显得比较保守,缺乏灵活性。而对于机会,则没有明确的策略进行利用。

2.对策建议。在对公司面临的风险进行重新识别、评估后,在风险规避、风险转移、风险抑制与控制、风险接受、风险利用等策略上灵活选择,可通过保险、契约、合同、金融工具等形式将风险转移出去。同时要对机会加以利用,并反映到战略目标、经营目标的制定上。

(五)风险管理监控与检查

1.存在的问题。公司目前没有专职人员对风险管理进行监控,对风险管理的监控依赖于对日常经营活动进行监控的日报、月报系统,而在日报、月报内容中并无专门对风险管理情况进行报告。内部审计系统在执行审计任务时,偏重于财务审计、舞弊审计、经营管理审计,而对于风险管理审计尚处于探索阶段,尚未全面开展风险管理专项审计。高级管理层则没有对风险管理进行专门的监控与检查。

2.对策建议。内部审计部门开展风险管理专项审计,研究提出全面风险管理监督评价体系,制定监督评价相关制度,开展监督与评价,出具监督评价审计报告。可结合例行审计、任期审计或专项审计工作一并开展风险管理审计;在日报、月报系统中增加对各单位风险管理状况自查报告的内容。高级管理层每年至少一次对风险管理状况进行评估。新晨

(六)风险管理沟通与咨询

1.存在的问题。公司缺乏专业的高水平的风险管理师,缺少专门的风险管理沟通渠道,而沟通与咨询存在于风险管理的各个环节当中,这也是风险管理难以有效开展的重要原因。

2.对策建议。公司公开招聘风险管理师,或聘请有资质、信誉好、风险管理专业能力强的中介机构对企业全面风险管理工作进行评价,出具风险管理评估和建议专项报告,培训风险管理人员;在现有的信息系统中开辟专门的风险管理沟通渠道。

四、结语

企业要想在市场经济的大潮中基业长青,必须对面临的各种风险进行系统地、全面地管理,这已是不争的事实。借鉴西方先进的风险管理理念、理论、方法、工具,结合本企业具体实际情况,对内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控八个风险管理要素逐一进行分析和评价,查找问题和不足,对风险管理文化、风险管理组织体系、风险识别、评估、排序、风险管理策略与方法、风险管理监控与检查、风险管理沟通与咨询等关键的风险管理流程采取措施不断完善,逐步建立企业风险管理系统,是解决风险管理问题的最佳实务。企业应当增强风险意识,逐步建立风险管理系统,为企业保驾护航,这样企业才能在市场经济的大海中劈波斩浪,远航。

【参考文献】

篇2

【关键词】电力企业;安全风险管理;应用

电力系统在我国经济社会发展和人们生产生活中发挥着重要作用。近年来,随着经济社会的发展,我国对电力的需求不断增加。在这种形势背景下,电力企业要加强对电力系统的管理,提高电力资源的利用效率,以满足新时期的发展需要。在电力企业管理中,安全风险管理是其中一个重要组成部分,在领导的科学决策和保证电力企业安全运行方面发挥着重要作用。因此,我们要高度重视安全风险管理,实现电力企业的可持续发展。

一、安全风险的特点

随着市场经济的深入发展,电力企业中的风险越来越多,严重影响了电力企业的发展。具体来讲,电力企业中的风险包括自然环境风险、政策法规风险、经济财政风险、科学技术风险、工程维护风险以及安全风险等多种类型。其中,安全风险就是一种在电力企业发展过程中由于各种因素而形成的一种对电力生产、企业财产以及人身等安全造成威胁的一种风险。在现实中,人员因素、机械设备因素以及作业环境因素等都会引发安全风险。因此,我们要把握安全风险的特点,从而加强对电力企业中安全风险的管理。具体来讲,安全风险具有以下特点。

第一,客观实在性特点。在电力企业中,安全风险是客观存在的,不以人的意志为转移。

第二,隐蔽性特点。电力企业中的安全风险很隐蔽,有些是潜在的,不易被发现,这就增加了安全风险管理的难度。

第三,可评估和可控性特点。电力企业中的安全风险虽然隐蔽,但是,它还具有可评估性和可控性,我们可以根据相关的评估理论,对其进行评估,分析不同安全风险的程度,同时采取相应的措施对其进行控制,减少安全风险给电力企业造成的损失。

二、安全风险管理在电力企业中的应用

1、安全风险管理在电力企业中的重要作用

在电力企业中,安全风险的发生给电力企业造成了严重的经济损失。因此,加强电力企业中的安全风险管理意义重大。具体来讲,它的作用主要表现在以下几个方面。

第一,有利于提高电力企业决策的科学性。科学的决策可以使电力企业向着正确的方向发展。一般来说,电力企业领导都是在对信息数据分析的基础上而做出的决定,而风险分析是其中一个重要部分。通过安全风险管理,提高风险分析水平,可以保证企业领导决策的科学合理性。

第二,有利于减少安全事故的发生。安全风险管理中分析了电力企业发展中可能存在的各种安全隐患,以便我们及时地采取措施,把一些安全隐患消灭在萌芽状态,这样就在一定程度上降低了安全事故发生的几率,减少了安全事故给电力企业造成的经济损失。

2、安全风险管理在电力企业中的具体应用

正如上文所述,安全风险管理在电力企业发展中具有重要作用。因此,为了更好地推动电力企业的发展,我们必须做好安全风险管理工作。在具体的应用过程中,安全风险管理包括以下步骤。

第一,开展教育培训工作。为了做好安全风险管理工作,首先要对工作人员进行相关的教育培训工作。通过教育培训工作,一方面让工作人员了解安全风险管理的重要作用,增强他们的安全意识;另一方面让工作人员掌握安全风险管理的工作内容以及管理方法等,提高他们的安全风险管理技能。

第二,对安全风险进行识别。所谓风险识别就是按照相关的标准和规范对电力企业发展中可能存在的各种风险进行查找和识别,具体来讲,它包括人员风险识别、工作环境风险识别、机械设备风险设备以及建立风险数据库等几个方面的内容。安全风险识别可以为风险控制和风险评估提供数据信息依据,是风险管理工作的前提条件和基础。

第三,对安全风险进行控制。在安全风险识别的基础上,结合电力企业实际情况,我们要要针对可能存在的各种安全风险制定一定的措施,从而保障电力企业的安全发展。具体来讲,安全风险控制的工作内容包括制定安全机制,实施安全作业控制以及对安全工作进行监督和检查等。

第四,对安全风险进行评估。所谓风险评估就是对电力企业中存在的各种风险的等级和程度进行评估,比如,哪些风险是致命的,哪些风险是严重的,哪些风险是可以忽略的等等。通过安全风险评估,从而为今后的改进工作提供一定的依据。

第五,对安全风险问题进行改进。在对安全风险进行评估之后,还要建立风险预警机制对其进行改进管理。所谓风险预警机制就是当电力企业在生产过程中出现问题时预警机制就会自动进行风险预报,这时我们可以采取相应的措施,避免安全事故的发生。

由此可见,预警机制的建立对于改善安全风险管理具有重要作用。因此,在电力企业发展中,我们要针对不同等级的安全风险制定不同的风险预警机制,从而有效控制安全事故的发生,确保电力企业的安全运行。

三、结束语

综上所述,安全风险管理是电力企业管理中一个重要组成部分,对于提高电力企业决策的科学性和减少安全事故的发生具有重要意义。在市场经济环境下,电力企业中的安全风险不断增加,不利于电力企业的稳定发展。鉴于此,为了保证电力企业的安全高效运行,我们需要对电力企业中的各种风险进行识别、控制、评估并建立相应的预警机制进行改善,不断提高安全风险管理水平,促进电力企业的健康发展,使电力企业更好地为我国经济社会发展和人们生产生活提供电力服务。

参考文献

[1]张卉.浅析电力企业风险管理[J].企业家天地(理论版),2011,04(08):59-60.

篇3

关键词:安全风险;成本管理;建议对策

1煤矿企业安全风险种类

通常情况下,区分煤炭企业安全风险种类是一个综合性的也是多维度的复杂的问题。一般而言,学者通过不同的侧面进而对煤炭企业的安全风险种类进行区分,比如风险指标系统、指标权重、预警指标、预警机制等。通过这些更为细致的类别划分,可以实现对煤矿企业安全风险种类全面的分析。

1.1煤炭安全风险评价指标

煤矿安全的风险评价指标体系做为整个煤矿企业安全风险评价及预警的关键和基础,在整个煤炭企业安全风险与成本管理的框架下占有举足轻重的地位。通过设计科学合理的煤炭安全风险评价指标可以为决策者提供更为权威的数据参考,也便于进行风险安全的监督与调控。不过,目前我国主要采用的安全风险指标还主要停留在表层的、定性的研究和刻画上。这种安全风险指标很容易让决策者忽略一些重要的事实,如百万吨死亡率,千人死亡率等。这类安全风险指标很难有效地反应全面的煤矿当前安全运行状态。比如,数据显示,近几年来,我国煤矿事故总量发生数量在较少人次上呈现出较为明显的下降趋势,但在大规模的煤矿事故中,这一数量并未减少,相反比重反而在增加。如果决策者只关注煤矿事故的总数,难免会掉以轻心,心存侥幸。

1.2煤矿安全风险评价指标权重

在有了较为科学的煤矿安全风险评价指标后,需要确定不同安全风险评价指标的权重,只有赋予合理科学的权重,才能让安全风险评价指标发挥最大的作用。而安全风险评价指标权重的确定方法主要包括主观法和客观法及二者相结合的方法。不同的分析的确定方法有着各自的优缺点,在此基础上层次分析方法可以进一步提升安全风险评价指标。

1.3煤矿安全风险预警方法

在有了科学的安全风险评价指标及一定的权重值之后,如何根据这些安全风险指标及时地发现风险并做出合理快速的预警措施是另一个值得仔细分析讨论的问题。简单说来,必须要满足日常性、灵敏性、及时性、参照性,以及便于操作的原则。因此,煤炭企业在制定安全风险预警方法的同时要兼顾自身的人力、物力,从人力资源、安全投入及安全管理制度等多方面综合考虑。并在此基础上,建立煤矿安全风险预警判别与应对机制。

2煤矿安全管理成本现状

2.1煤炭企业保证性安全投资成本高

由于保证性的安全投资难以短时间内给企业带来丰厚的利润,因此作为长期投资往往不受企业的青睐。尤其是对于中小企业而言,巨大的保证性安全投资成本使得这些企业望而却步,忽略安全管理,进而为安全问题埋下隐患。

2.2事故的外部性严重

经济学中,“看不见的手”失效的一种情况就是存在的外部性,也即是成本没有完全内生化。这点对于煤炭企业的安全管理尤为明显。煤炭企业的安全有着巨大的正的外部性,可以使得周边的居民、企业等享受到这种外部性的好处,但是由于这种安全管理成本全部需要煤炭企业自己承担,因此,经济学的理论告诉人们,均衡数量会小于最优数量,也即是说企业对于安全管理的投入是严重不足的。

2.3煤炭企业的安全成本没有单独核算

我国目前运行的会计核算体系中,对于安全成本一项并没有单独的科目。这导致企业对于自己的成本支出没有一个清晰明确的认识,进而主动强化自己的安全管理成本意识得不到加强,从而使得内生动力不足。

3煤炭企业安全风险成本管理

3.1建立健全煤炭企业安全保证金制度

通过成立煤炭企业安全保证金制度,可以预先划拨出部分资金作为准备金以应对突发事件,同时这部分资金可以部分用来完善改进现有的安全保险机制,起到一举多得的效果。对于明文规定的一些安全措施,企业应该严格遵守,同时对于一些没有明确规定、但是可能存在风险的,要及时进行防范。

3.2优化煤炭企业安全成本核算体系

通过完善我国的会计核算体系,使得煤炭企业的安全成本可以作为单独的一个会计科目体现在财务报表中,使得企业可以对于自己的成本花销一目了然,并且作为一个可以横向比较的资产单元成为企业自身管理的一种激励措施。由于目前关于安全成本的核算和分析只是局限于理论分析阶段,因此对于我国目前的运行现状,可以考虑进行一定的缓冲处理。建议建立安全成本率、产量安全成本率、利润安全成本率及保证成本率等综合指标评价体系。

3.3完善煤炭企业安全成本核算程序

煤炭企业安全成本核算程序通畅与否可以作为衡量我国煤炭企业发展程度的重要标志之一。完整通畅的安全成本核算程序是煤炭企业能否科学进行安全成本管理的问题关键。同时制定统一的安全成本核算方法,避免目前存在于市场上的多体系造成的混乱。

3.4加强各部门之间的沟通

积极促进会计部门及税收部门等的沟通,有助于加强会计准则和税务制度对安全费用规定的沟通和协调。推行全面的安全质量标准化管理,增强企业、员工及社会各界人士对于安全风险的意识的认识,是我国煤炭企业真正实现现代化、安全化的重要标志之一。

4结语

煤炭企业的安全风险与成本管理问题是一个关系到企业甚至是整个行业发展的核心问题。近年来,虽然我国对于煤炭企业的安全风险进行了重点治理,取得了阶段性成果,但还不能掉以轻心。目前我国已然存在着保证性投资成本高,事故外部性严重及管理成本没有进行单独的核算等一系列问题,只有针对这些问题采取对应的措施,才能让我国的煤炭行业更上一层楼。

作者:文静 单位:陕西工业职业技术学院

参考文献:

[1]马国流.浅析我国煤炭企业的风险管理及控制措施[J].商场现代化,2010,49(11):28-29.

[2]张晓会.煤炭企业安全成本管理问题及对策[J].企业导报,2011,32(9):95-96.

[3]丛剑钊.市场经济环境下煤炭企业成本管理存在的问题和对策[J].煤炭技术,2008,27(8):165-166.

篇4

风险管理是指在一定的管理模式下,对企业生产经营活动中的潜在风险进行分析评估,并及时采取有效的应对措施,以最小的成本获得最大化的安全保障。企业的安全生产风险管理涵盖了企业生产的风险识别、评估和衡量以及应对,针对所识别的安全生产风险制定应对策略,未雨绸缪,及时排除事故潜在发生的可能性。安全生产的风险管理是企业管理的重要组成部分,有效的安全生产风险管理不仅可以减少事故的发生,而且可以更好保障单位从业人员的生命财产安全,履行企业的社会责任,对企业运营的稳定性和可持续性都有着不可替代的作用。因此,企业必须对安全生产风险管理加以重视,积极探索风险管控模式,从而保障企业的安全稳定运营。

2建筑施工企业安全生产风险管理的特点

(1)风险管理的客观性因素复杂。建筑施工企业的生产环境多为室外,生产活动受气候、地理条件影响较大。除此之外,建筑企业的施工不仅涉及到人的操作,大型机械的正常运作对安全生产也有着重要影响,而往往这些客观因素的发生都具有偶发性,安全风险防控难度较大。(2)风险管理的人为因素管理复杂。建筑施工行业从业人员大多文化素质不高,安全意识不强,在进行风险管理时,从业人员的意识不到位。由于建筑行业的项目建设活动分散,涉及部门广泛,各部门管理层次繁杂,管理权限不明,管理人员的安全意识也有待加强。

3建筑施工安全生产风险出现的原因

(1)企业安全风险管控能力有待加强。很多建筑施工企业在项目实施之前,尚未做好详备的风险评估,对存在的潜在风险没有清晰的认识,未能提前对潜在风险进行排除,甚至从观念上没有重视安全生产的风险管理问题,对企业安全生产应急预案应付了事,安全应急预案存在与实际情况不适应的现象。很多安全生产问题的出现都与项目管理人员的安全意识不高,风险管控能力不够有着重要联系。(2)建筑施工企业管理机构复杂,管理权限不明晰。建筑施工企业把工作重心放在了经济效益方面,对安全生产没有足够重视,在管理机构的设置上,尚无一个明确机构进行重点管理,安全生产的风险控制上存在严重的管理缺位。(3)从业人员文化水平低,安全意识和自我保护意识不够。建筑施工企业的从业人员大多文化水平不高,在进行建筑施工时,对安全风险没有清晰明确的认识,对自我权益的保护意识也明显不足,这使得部分建筑施工企业在未做好安全检查以及安全防护的前提下开展了生产活动,为安全事故的发生埋下了隐患。

4建筑施工企业安全生产风险应对

(1)建立有效的内部控制机制。企业的内部控制是企业管理的重点,加强企业自身的内部控制,合理架构企业管理体系,对企业管理有着重要意义。建筑施工企业内部的部门布局要充分体现对安全生产的重视,确保“专职有专人,专人有专责”,明晰安全生产风险控制责任人,确保各项安全措施的准确落实,并建立有效的监督机制,对企业的安全风险管控进行有效监督。(2)落实企业风险管理举措。对建筑施工企业所实施的安全管控措施,要加强落实。在项目施工前,对项目施工环境进行全面的调查,全面掌控施工环境的复杂性,勘察地形监测天气,并对施工现场的环境进行详细检查,排除安全隐患,对从业人员应加强安全教育和安全防护培训,重视从业人员的岗前培训,强化从业人员的工作能力和自我保护能力,并加大企业内部安全保障的资金投入,防控安全事故的发生。(3)强化风险管理的责任追究。建筑施工企业的安全生产至关重要,不仅关系到从业人员的生命财产安全,更关系着建筑施工企业的可持续发展,必须强化责任机制,对相关责任人强化责任追究,增强风险管控管理人员的责任意识,从而更好地防控建筑施工过程中的安全风险。(4)聚集性活动安全风险管理。聚集性活动安全管理即根据安全性活动的直接参与人数以及安全事故发生可能波及的人数情况对生产活动进行分级,从而根据分级情况制定应对策略。生产活动的参与人数以及相关人的数量直接反映了生产活动的复杂性以及安全事故发生的严重性,该生产活动所涉及的安全人数越多,安全风险越大,其管理难度也越大。引入聚集性活动分级管理,明确相关风险管理活动的管理难度和管理方案,正是有效进行安全生产内部控制的重要举措,也是明晰建筑施工企业内部安全风险管理责任的有效方法。

5结语

建筑施工企业必须把安全保障作为企业生产活动的战略重点,在进行安全风险管理活动中,必须结合企业本身的生产特点,分析企业安全风险出现的具体原因,制定相关的安全风险管理条例,由于生产活动和安全防控的复杂性,引入聚集性活动风险管理办法,提高风险防控的有效性,有着重要的借鉴意义。

作者:蓝李红 胡越城 沈晓达 朱立军 单位:八丰控股集团有限公司

参考文献:

[1]王雪妮,韩国锋.建筑企业的安全生产风险管理[J].科技信息,2013.

篇5

关键词:国有企业;人事档案;电子化管理;风险

人事档案管理工作开展得好坏,直接关系到企业自身发展情况,开展高效的档案管理工作,能够促进国企向着更加良好的方向发展。这一背景下,国企为了更好地开人事档案管理工作,纷纷引入了信息化手段,以促进人事档案电子化管理方向转变,这一转变有效提升了整个工作的质量与效率。但通过大量实践表明,开展电子化人事档案管理时,很可能出现一些风险,导致整个工作并未体现出最大的价值,在一定程度上制约了国企的发展。所以,国企需要针对人事档案电子化管理中存在的风险,制定出相应的防范措施,降低各类风险的发生率,为国企更好的发展奠定良好基础。

一、人事档案电子化管理的优势

以往阶段,企业开展人事档案管理工作时,通常以人员手工与纸质管理模式为主,管理效果较差,不利于企业对人事档案的使用,在一定程度上干扰企业正常运行,而人事档案电子化管理的出现,则有效改善的这一情况,具体来说,主要体现在下述四个方面:

1.易于分类

对于国有企业来说,人员数量较多,人事档案信息较为庞大,其中涉及很多方面的信息,如人员姓名、联系方式、薪酬待遇、以往工作经验、所处岗位等,对于这些档案来说,需要分门别类地管理,只有这样,才会使档案发挥出最大的作用。以往阶段,通过人员手工管理时,由于档案信息庞大,导致管理人员难以准确掌握档案的真实情况,影响档案的分类,使档案杂乱无章的堆放到一起。而应用信息化管理手段时,会有专业的软件设计人员设计出性能良好、功能较为完善的人事档案管理平台。整个平台由多个功能模块构成,其中包括分类功能,将人事资料导入到该平台后,只需要简单点击“分类功能”,平台会自动对人事资料予以分析,根据分析结果,结合前期设置的分类标准,将人事资料划分到相应类型当中,操作简单,无需人员过度参与,使得人事档案分类更加科学、合理。

2.储存量较多

纸质管理模式是在获取职工信息后,书写到纸张上,通过对纸张的保管,以达到人事档案管理的目的。对于这一管理模式来说,所用的纸张具有边界,只能在边界范围内书写,因而存储的信息量并不是很大,若对大量人事档案进行管理,则需要采用很多纸张,为管理工作带来麻烦。以A4纸为例,尺寸为210×397mm,而人正常写字时,1cm2约为1个字,也就是说,在一张A4纸上仅可书写600字左右,字符较小一些,书写字数可增加一些,但相对于庞大的人事档案信息来说,这些字数依然仅占其中非常小的一部分。而采用电子化管理模式后,则可改善这一问题,大大提升信息的存储量。在电子化管理模式当中,以计算机硬盘为主要的存储场所。对于硬盘的存储空间来说,是虚拟存在的,无须将信息记录到实物上,因而存储量非常高。目前,在计算机领域内,硬盘容量最高已达10T以上,日常常用的硬盘容量也有数百G,能够存储数亿的文字、数字信息,远远高于以往的纸质存储模式。

3.应用方便

对于以往的纸质管理模式来说,将人事档案记录到纸张之后,会将其放置到相应的位置存储,在需要使用档案信息时,由管理人员从庞大的资料当中寻找出来。这样需要消耗很长的时间,导致档案信息的应用并不是很方便。而采用电子化管理模式后,则可有效改变这一问题。该管理模式当中,主要通过计算机完成信息录入、存储以及提取等工作,只需要在电脑管理系统内,录入所需要查找的关键词,计算机可以在较短的时间内将所有与该关键词相关的信息提取出来,并展示在用户眼前,用户只需要根据具体需求,选择出最终的档案信息即可。同时,在信息检索时,录入的关键词越多、越准确,所检索出来的档案信息也会越少,进而对人事档案的应用提供了方便。

4.提升工作效率

对于传统纸质管理模式来说,主要是人员管理为主,任何工作的开展,均需要由人员完成,如由人员抄录信息,由人员查找信息等,而人的精力与时间有限,不仅会出现一些错误,而且工作效率也不是很高,导致整个工作效率有待提升。同时,对纸张存储时,很容易受到外界因素的影响而破坏,如放置到潮湿环境当中,会加快纸张的腐烂速度,还会使纸张上的文字变得模糊;若存储场所出现火灾,将会导致资料内容完全消失等。受到这些因素的影响,使企业无法有效对档案资料进行应用。而应用电子化管理模式时,通过计算机代替了人员,无需人工抄录信息等工作,人员只需要对计算机进行操作,即可在最短的时间内,完成整个人事档案管理工作,大大提升了该项工作的效率。同时,信息存储到计算机硬盘当中,不会受到潮湿、火灾等因素的影响,即便硬盘损坏,也可通过相关技术将其修复,提升了档案信息的安全性。此外,电子化管理无需采用纸张,具有一定的环保作用,有利于社会可持续发展。

二、国有企业人事档案电子化管理常见风险

虽然,相对于传统人事档案管理模式来说,电子化管理模式具有较多的优势,但通过大量实践表明,电子化管理依然会出现一定的风险,导致档案信息损坏,或者是被不法分子所窃取,不仅对职工个人生活与经济财产带来一定隐患,同时还会威胁到国有企业的发展。具体来说,国企人事档案电子化管理中常见风险包括下述几个方面:

1.物理网络安全风险

在电子化管理模式当中,需要应用很多物理硬件设施,如计算机、硬盘、键盘、鼠标等,这些硬件设施性能的好坏,直接关系到档案管理的效果。然而在实际应用时,这些硬件设施很可能受到一些因素的影响而损坏,进而影响在电子化管理中的作用。具体来说,主要体现在两个方面:一是自然方面。自然界作为人们生存的主要场所,一些自然事件很可能对计算机等硬件设施造成损坏,如在雷雨天气下,计算机未做好避雷措施,由于在短时间内电压迅速上升,会将计算机芯片烧坏;在地震、暴风等天灾情况下,也可使硬件设施产生损坏,严重情况下,甚至会出现毁灭性的破坏。二是人员方面。开展电子化人事档案管理工作时,虽然无需人员直接参与进来,但是计算机的操作依然由人员完成,若人员对计算机知识不了解,或是未能正确操作计算机,也会带来一定的风险。如操作人员随意断电,可能会损坏内存、硬盘、电源等原件,对资料造成破坏。

2.内部网络安全风险

在整个网络体系当中,可划分成两个组成部分,一个为外部网络,另一个为内部网络,即局域网,在局域网运行的过程中,可能受到多方面因素的影响而出现信息安全风险,具体来说,体现在下述几个方面:(1)员工安全理念缺失。人员作为局域网的操作与管理者,只有具备较高的安全理念,才会防止各种安全风险的出现。但对于很多国企来说,并未对人事档案电子化管理产生应有的重视程度,没有聘用高素质管理人员,导致人员的安全意识相对较低,进而经常诱发各种信息安全事件。比如,人员应用完计算机后,未及时将系统关闭而离开,为其他人员的观看提供了机会;利用企业局域网浏览一些不健康的网站;未能及时对计算机系统更新等,这些情况均会导致信息泄露。(2)随意安装各种硬件装置。现代计算机领域,存在很多移动硬件,这些移动硬件的出现,为人们的工作提供了方便。但是对硬件使用时,很可能会被植入一些病毒,若将植入病毒的硬件插到企业计算机后,这些病毒就会传输到计算机内,进而对计算机内存储的数据进行破坏或窃取,对国企人事档案管理造成严重影响。

3.外部网络安全风险

对于国有企业来说,通常都有规定表明,网络不可与外网连接到一起,以防止内部信息泄露的事件发生。但职工进入企业后,为了确保职工有效完成本职工作,企业通常会赋予职工自主拨号上网的权利,所以在实际当中,很难防止员工将内网与外网连接到一起,进而对人事档案资料带来了安全隐患。一方面,在系统运行时,会出现一些漏洞,这些漏洞的存在将计算机完全向其他人展示出来,进而为不法人员信息的窃取提供了帮助。另一方面,若在计算机中未能应用安全防护措施,则会在信息管理、传输等活动过程中被各种方式所攻击,如木马、病毒等,轻者会使信息泄露或损坏,严重情况下甚至会导致整个计算机瘫痪,无法正常运行,对整个人事档案管理工作造成非常巨大的危害。同时,需要注意的是,若出现了外网病毒攻击,危害性巨大,很难在企业内部寻找出根源,因而需要严格预防这一问题的出现。

三、国有企业人事档案电子化管理风险的防范策略

1.提升对物理网络的保护

通过上述分析可知,国企人事档案电子化管理过程中,很容易受到自然、人员两个方面因素的影响,导致档案信息出现安全隐患,进而降低整个工作的开展效果,对国企发展造成一定干扰。所以,国企开展该项工作时,一定要提升对物理网络的保护力度,具体来说,应从下述两方面着手:首先,针对自然因素来说,地震、暴风等天灾人们无法予以控制,因而只能时时关注自然天气状况,及时发现可能出现的情况,应及时将信息主要存储装置—硬盘转移到安全位置,待天灾过去之后,重新组装计算机,以保证人事档案的完整性。针对雷雨天气,可采用一些避雷措施,如屋顶装设避雷针,或采用避雷机箱等,以降低雷电对计算机造成破坏;其次,对于人员因素来说,应定期开展计算机相关的培训活动,通过这些培训活动的开展,使人员了解计算机的正确操作方式,避免人员出现随意关闭计算机等现象,进而减少由人员因素而引发的信息安全风险。

2.强化内部网络安全防范意识

内部网络作为人事档案管理的主要管理场所,确保内部网络安全,能够直接提升整个档案管理的质量,减少档案信息的泄露与损坏。所以,国企运营过程中,应强化职工的内部网络安全防范意识,防止出现由人员导致的内部安全风险。首先,提升职工的安全理念。国企运营时,通过会议、培训活动、网络教育等多种途径,向职工传授内部网络安全相关的理论知识,转变职工的落后观念,加强对内部网络安全重要性的了解程度,确保其在日常工作当中,能够有效约束与规范自身行为,使用计算机后,能够按照要求关闭;在工作时间内,不浏览与工作无关的网页与网站;利用专业的技术手段,定期对系统进行更新与维护等,以保证整个计算机系统处于健康状态下,减少信息泄露的机会。其次,在使用移动硬件使用时,也应注意规范性,将生活U盘与工作U盘区分出来,生活U盘仅限于企业外部使用,而工作U盘仅限于企业内部使用,以防网址、U盘交叉使用而被植入各种病毒,降低病毒入侵企业内部网络的机会。

3.加强对外部网络的监管与防控

除上述两个方面之外,国企还应加强对外部网络的监管与防控,具体来说,从下述两个方面着手:首先,制定出完善的网络使用制度,详细明确职工不可将内网与外网连接到一起,并针对这一情况,制定出相应的惩罚制度,以约束职工行为,确保职工工作时不会主动与外网连接,从而减少了外网病毒侵入内网的机会。其次,在计算机中安装各种安全软件,如杀毒软件,自动对计算机进行检查,确定系统内是否出现病毒。若发现,及时向工作人员报告,并将其灭杀;病毒拦截系统,分析想要进入企业内网的所有信息,若发现信息中存在病毒或不良代码,直接将其阻拦下来,禁止其进入内网;设置密钥,在人事档案管理系统上,设置相应的密码,并针对档案信息的重要程度,赋予内部人员相应的查看权利,不同权利的职工,仅能查看相应的信息,进而加强对人事档案的保护力度。

四、总结

综上所述,国企人事档案电子化管理的应用,有效提升了整个工作的质量与效率,为国企发展奠定良好基础,但需要注意的是,受到人员、自然情况、以及黑客等因素的影响,导致电子化管理中经常出现一些安全隐患,使人事档案损坏或泄露,危害国企发展。所以,国企人事档案电子化管理过程中,应加强对物理硬件以及内外网的保护力度,以降低安全隐患的发生率。

参考文献:

[1]王英迪.国有企业人事档案管理信息化发展趋向的探讨[J].经济与社会发展研究,2019

[2]孙攀.试论国企人事档案管理水平的提升空间及其对策[J].魅力中国,2019

[3]陈纯艳.数字化干部人事档案管理的安全风险与对策[J].档案天地,2019

[4]刘凌云,卢莎莎,齐云飞,等.国企改制中的人力资源管理风险及防范建议[J].企业改革与管理,2019

[5]高岩.电子档案管理工作中的风险与不安全因素分析及防范[J].数码设计(上),2019

[6]谢明彧.国有企业人事档案管理的现状与对策分析[J].企业改革与管理,2020

[7]仲杰.新形势下国有企业人事档案管理工作研究[J].办公室业务,2019

[8]李晶,王秋蓉.医院人事电子档案管理的SWOT分析[J].中国卫生标准管理,2018

[9]丁丽娜.人事档案电子化管理及其存在问题和相关措施之管见[J].科技创新导报,2019

篇6

关键词:风险管理;电力;安全生产

现代社会的发展需要电能的稳定供应,电力企业在电能输送的过程中会受到多种因素的影响,采用安全风险管理技术能够有效保障电能安全、稳定的输送。

1管理中的问题

(1)风险预防工作落实不到位。目前我国电力安全风险管理过程中,只要实施“预防为主”的管理思想,但是在具体管理过程中对于风险管理事故的预防措施和管理办法制定过程中,多以自身实际情况和经验作为理论依据,所以在风险预防过程中没有综合其他企业的经验,造成了实际工作中被动预防状态,这样的风险管理制度并不完善,也不适用于企业的现代化风险管理,制定的管理制度没有前瞻性,在工作过程中如果出现超出经验的故障发生就会无法冷静判断处理。在制定风险管理制度的过程中,领导没有积极与员工进行沟通交流,所以,制度的制定过程中会脱离实际情况,也不利于领导的先进管理思想有效传达给员工,上下沟通不顺畅,造成了风险管理制度的执行障碍,不利于生产环节中进行风险规避工作。

(2)责任划分不科学。在电力企业的风险管理过程中,企业没有对风险管理工作进行科学划分,工作责任制度不明确,安风要素责任人只由部门、班组部分人员担任,未能达到“全员、全业务、全过程”参与,造成了风险管理工作混乱,具体工作没有落实到人,出现具体故障时,无法寻找到具体的工作责任人,在风险预防工作中也没有办法有效开展,不利于电力企业的风险管控工作顺利实施。

(3)评估系统不完善。在电力企业的生产过程包含了电力安全生产、电力运输、电力资源营销三个环节组成,在电力生产过程中不能仅限于生产环节,在电力资源运输和营销的过程都会存在极大的安全隐患,电力企业没有及时制定动态管理制度,在电力企业运营环节中没有得到良好的科学管控,造成了职责划分不详细、不科学,严重影响了电力企业的安全运营,电力企业在管理过程中没有进行科学的管理人员责任划分,再出现问题的过程中没有更好的风险预估,所有的工作重心都放到了电力生产工作环节中,很难做到及时有效的排查电力安全风险问题,为电力企业的安全生产埋下了隐患。

2构建策略

(1)建立风险管理理念。在电力企业的安全生产过程中,提出如何立足当前,把安风体系核心思想推广到“全员、全业务、全过程”,通过重视风险管理促进企业生产安全,无论是对管理者和普通基层工作人员都是非常重要的,通过建立科学的风险管理理念,有效将风险管理理念有效融入到电力生产过程中,实施科学的风险管控办法,制定严谨的风险管控管理制度,通过严格监督管理促进风险管控制度的顺利实施,有效减少电力生产活动中生产风险问题。实现持续改进安全生产风险控制是实现安全生产的重要保证,从而实现提高安全风险控制能力,提升安全管理水平和管理绩效,把安风体系建设真正融入工作中。

(2)搭建完善管理体系。风险管控的主要内容包含风险项目识别、风险程度衡量、风险预估评估、风险处理等等。风险管理制度的顺利实施需要加强风险管理工作人员的全局观培养,全面开展风险管控培训工作。在企业的风险管理过程中,不断改进风险管理制度,并且制定科学严明的风险管理制度和具体执行方法,建立合理的风险管理目标,保障风险管理具体内容的科学性、有效性。通过协调电力企业各部分对风险管理工作进行配合,能够有效保障风险管理工作的顺利进行,并且通过科学监管工作内容有效提高了企业内部的风险管控意识,通过抽查管理能够有效落实风险管理工作的有效性,提高了电力生产工作效率提高,保证了电力系统的正常运行。

(3)重视实际应用。在电力企业生产过程中,要加强风险管理的实施,有效提高企业的安全生产力,保障了社会经济发展所需要的电量。电力企业通过将安全生产机制和风险管理机制融合在一起,依据电力企业的实际生产情况进行及时调整,能够积极保障电力企业的安全生产。企业的管理者要经常与员工进行紧密沟通,通过与普通基层工作人员沟通能够快速解决实际工作环境中在的问题,精准掌握电力生产过程,有效掌握电力安全生产的整个环节,制定严格、科学的管理制度,有效降低企业生产运营风险。

(4)细化责任。在电力企业生产过程中,领导者要掌握电力生产管理环节,制定科学的电力生产制度流程,细化安全生产过程中的责任,通过明确生产部门和监管部门之间具体的工作责任,加强部门之间的沟通,有效提升电力安全生产环节中的风险管控效率。

(5)重视风险管理持续性。在电力企业安全生产环节中,要结合实际生产管理环境和生产进度制定不同的风险管控制度,保障电力企业的安全运转,依据可持续性发展观进行安全生产过程中的风险管理,保障电力企业的生产效率,满足社会经济发展的电力需求。通过有效执行风险管理的具体实施办法,有意识的进行可持续性风险管理能够保障电力企业的长远发展,企业应该加强对员工的风险管理意识培训,降低风险发生的频率,保证各个生产环节的安全有序进行,为我国社会经济发展奠定坚实基础。

3结束语

电力企业的安全生产管理直接关系到社会经济的发展和国家民生等工作内容,所以风险管理体系的有效运用能够有效提高电力企业安全管理生产水平,所以依据电力企业的风险管理机制的建立,结合风险管理的环节管控,能够有效控制电力企业生产过程中的风险隐患,有效促进电力企业的健康发展。

参考文献:

[1]冯斌,余里程,邢国杰.浅谈安全生产风险管理体系与电力企业的融合[J].电力技术,2010(04).

[2]田丰.基于安全生产理念的供电企业设备检修管理与风险控制研究[J].科技资讯,2012(01).

篇7

Abstract: Electricity business is the foundation business in China, and whether can ensure the safe production work be carried out smoothly or not directly determines the stability and operation of China, and determines the sound development of China's economy. In this paper, the security management status of China's power companies is analyzed, and the construction principles and countermeasures for safety risk management system are proposed.

关键词: 电力企业;安全生产;风险管理

Key words: electricity company;safe production;risk management

中图分类号:F279.23 文献标识码:A 文章编号:1006-4311(2014)16-0210-02

0 引言

安全生产是电力企业生产的重要原则,也是保证电力企业正常运转的重要前提。电力行业属于高风险行业,其生产的过程中涉及的专业技术与设备较多,对于从业人员有着较高水平的要求。电力生产的过程中,安全与风险是相对的,只有对风险进行有效的控制,才可以保证安全管理工作正常的开展。随着现代社会经济水平不断发展,电力企业生产的安全问题也得到了社会各界的广泛重视,企业如何对于自身安全管理工作进行创新,构建完善的风险管理体系,成为了电力企业发展过程中所必须解决的问题。

1 安全生产风险管理体系的内容

安全生产风险管理体系根据其评分规则,可以分为18个等级,不同的等级具有不同的标准。评判标准主要由工伤事故率、过程管理、供电可靠率等一系列指标组成,是电力企业自身风险管理水平的有效反应。安全生产风险管理体系作为一套新的管理模式,主要以预防为管理理念,并且与我国电力行业的发展水平密切相关,在传统安全管理的基础上,提出了新的风险分析与控制理念,并且制定了新的管理内容,重视对生产的事前安全评估,有效的将以往的事后控制转变为事前控制,真正的实现了动态、前瞻性的风险管理。安全生产风险管理体系具有多个管理节点与标准,并且将企业的风险管理与安全管理进行有效的结合,因地制宜的制定风险评估策略,并且制定有效的预案,最大限度的限制安全生产事故的发生,提高了电力企业安全管理工作的经济、规范与科学的发展。

2 电力企业安全生产风险管理体系的建设与应用的意义

现阶段,我国电力企业的内部安全管理工作相对粗放,不够精细,管理工作缺乏一套行之有效的管理标准,管理工作执行还存在很多的问题,整体安全生产工作依然面临着较为严峻的形式。要想真正的解决安全管理工作中所存在的一系列问题,就必须建立与应用有效的安全生产风险管理体系,更好的推进企业的持续发展。安全生产风险管理体系的产生,是电力企业发展的重要需求,也是电力企业管理内容、理念与方法的发展的集合,可以有效的提高企业的内部管理能力,具有较强的战略意义与现实意义。安全生产风险管理体系提出了新的管理方式与管理模式,对于安全生产中的内容进行了明确的规定,提高了对相应安全风险的管控能力。安全生产风险管理体系的应用,有效的将生产过程中的安全隐患进行消除,减少了事故的发生率,有效的控制了安全事故的发生,提高了成本管控能力,具有良好的经济效益,在电力企业生产的管理中,具有明确的意义。

3 电力企业安全生产风险管理体系的建设和应用

3.1 构建良好的管理组织 有效的管理组织是实现安全管理工作的重要基础,而进行电力企业安全生产风险管理体系的建设和应用也需要良好的管理组织作为执行基础。在体系建设的过程中,要保证建设方案的科学性,并且明确不同部门的工作职责,对资金的投入与目标进行合理的评估。建设方案的实用性与科学性,直接影响了后续工作的开展效果,是整体风险管理体系建设的核心级内容,为后续工作的开展指明了目标。在后续工作的划分上,要保证后续工作不同环节有序的进行,并且考虑相关资金、人力、时间以及物力等各方面的投入,对现有资源进行科学的配置。

3.2 开展有效的风险评估 在事故发生时,造成安全事故的因素有很多,必须针对于生产过程中的既存风险进行有效的评估。造成事故的因素主要包括了人员行为不安全、机械设备不安全等不同的因素。人员行为不安全的发生,是由人员自身技术水平、工作态度、工作环境、身体状态等不同方面来决定的。在开展电力企业安全生产风险管理体系的建设过程中,要秉承人性化的管理理念,以人为本的对风险进行深入的评估与分析,根据风险评估结果来制定行之有效的防范策略,对于人员的不安全行为进行控制,降低安全事故的发生几率。风险评估工作主要是针对于内部风险与外部风险进行评估,评估过程主要是由危害辨识、风险评估、风险概述、风险评估结果的应用几个环节组成,是电力企业安全生产风险管理体系重要组成部分,具有十分重要的意义。电力企业生产过程中所面临的风险主要是由作业风险、设备风险、电网风险、职业健康风险以及环境风险来组成的,其所面临的危害主要包括了机械危害、物理危害、人机功效、生物危害、化学危害、能源危害、行为危害、心理危害以及环境危害等内容。在进行风险评估的过程中,要通过科学的计算方式,对风险进行深入的评估,进而制定相应的体系文件。由于风险评估与分析工作是一项较为复杂的工作,并且工作周期较长,电力企业管理部门必须要为其提供有效的支持。

3.3 加强体系文件的编写 在进行体系文件的编写上,要保证文件与实际情况相符合,保证体系文件具有良好的可操作性与可执行性。体系文件一般来说针对于技术标准、管理标准以及作业表单进行了明确的规定,提出了相应的技术与管理要求,规定了作业流程。体系文件编写的完善,保证了管理工作的有效衔接,并且实现了管理工作的细化,提高了安全管理的执行水平。另外,在编写体系文件时,要保证体系文件具有良好的稳定性、权威性、长期性与可行性,并且不同的体系文件之间可以相互监督与包容,保证管理过程中的缺陷被有效的克服。

3.4 落实体系文件的执行 在完成体系文件编写之后,要对体系文件进行严格的执行。电力企业的管理者要为体系文件的执行创造良好的环境,并且严格的执行相关体系文件。体系文件为电力企业的安全管理工作制定了一系列的标准,所规定范围内的人员必须严格遵守与执行。

3.5 开展人才培养工作 有效的教育培训是提高整体管理水平的重要前提,电力企业内部的培训工作主要分成人员培训、体系建设培训以及基础知识培训等。培训工作需要与企业的管理体系进行融合,并且制定合理的培训计划,保证培训工作的实效性和培训质量。管理人员必须要对企业内部的管理流程以及安全管理工作有着高程度的掌握,才可以保证后续安全管理工作得以顺利的开展。基层员工要了解安全生产风险管理体系的意义,对于自身职责进行明确。培训工作的开展可以通过邀请专业人员指导、不同企业相互交流以及参加培训机构等来完成。电力企业要结合自身的需求以及具体情况,选择合理的培训方式。

4 结束语

现代社会不断发展,企业在市场竞争的过程中,难免会遇到不同的风险。电力企业在发展过程中,由于其自身的特殊性,更应该对于所面对的风险进行科学的分析与评估,有效的监测与控制风险,提高自身风险应对能力。现阶段的安全生产风险管理体系,围绕着电力企业的生产流程,制定了行之有效的管理目标,并且有助于电力企业更好的开展安全生产文化建设,帮助企业建立长效的管理制度,对于企业的长期稳定发展具有良好的意义。

参考文献:

[1]褚利丽.论如何加强电力行业安全管理工作[J].当代经济,2013(24):101-102.

[2]冯锐祥.电力工程监理企业开展安全生产风险管理体系建设的关键[J].价值工程,2013(01):129-131.

篇8

关键词:企业运维管理;信息系统;安全风险

随着信息时代的来临,信息系统和技术已经成为当下各个领域不可或缺以及赖以生存的基础性建设。现今信息已经成为衡量一个企业综合竞争水平的重要标志。但是,信息技术在不断支撑着企业业务开展的同时,其在运维方面也会产生相应的安全风险,主要表现为非法访问、信息篡改以及信息泄露。这些风险就会对企业的信息安全带来巨大的隐患。

1信息系统安全风险的控制难点

近年来随着网络技术的不断更新,企业也通过各种安全措施加强了信息系统安全风险的防护措施,但仍存在两个难点,首先是信息系统的高风险性,由于当下信息系统较为复杂,且漏洞较多,就会使得系统处于高风险性,使得运维人员很难进行控制。其次是当下IP管理以及信息系统的规模逐渐增加,也就使得攻击源变得多样化,运维人员无法进行有效的追踪,也无法进行有效的防护。

2企业运维管理中信息系统安全风险分析

近年来,信息时代的脚步逐渐加快,信息化的水平也在与日俱增。信息技术也以其方便、实用等特点广泛地应用在各企业之间。而为了更好地将信息技术的最大作用发挥出来,就需要定期对其维护。但是随着信息系统的应用需求逐渐增加,网络规模的不断扩大,使得信息系统的结构愈加复杂,也使得技术漏洞逐渐增加,这就会对企业的信息系统带来安全隐患。在现今运维管理中信息系统的安全风险主要包括下述几个方面。

2.1服务器终端层面的风险

服务器终端层面的风险主要分为下述几个部分:①信息系统的基本安全保密配置不够完善,管理不够成熟,这就使得用户可以私自更改BIOS的启动顺序,使得安全防护产品的失效,从而进行信息的窃取和篡改;②安全风险的报警装置不够成熟,不能够达到预期的效果,通常会由于安全产品之间的兼容性问题失去应用的效用,出现误报或者漏报的情况。然后就是系统含有漏洞,信息系统最主要的部分就是系统,在当下的企业中应用的操作系统基本上都为Windows系列,而一些停止补丁升级的Windows系统就存在着漏洞,很容易受到侵蚀,进而造成数据的丢失。2.2网络层面的风险在网络层面安全风险主要为网络设备的安全配置不当,通常会开启多余的服务或者端口,这就存在了被非法访问的隐患。同时在访问控制方面不能对接入进行有效的控制,会造成设备非法接入的风险。另外,企业通常不会对用户进行分层、分级,这就会导致网络拓扑混乱,使得企业重要的信息资源存在被非法授权访问的安全隐患。

2.3硬件层面的风险

现今,企业都拥有大量的硬件,且都是采用的国外进口。企业根本无法知晓底层硬件的工作机制,其是否含有隐藏通道等。例如惠普的某型号服务器已经被证实存在后门,这些设备的运维都需要专业的工作人员进行,这也就会使得维修过程容易发生信息篡改或者信息窃取的风险。2.4应用层面的风险应用层面的风险主要就是身份认证的管理不够完善。管理员的口令较弱、用户名和密码过于简单等都会被攻击者利用。甚至在当下一些企业还有用户名公用、滥用的现象,这就更给攻击者提供了良好的机会,攻击者可以通过这些漏洞进行水平提权,进而对信息进行窃取,甚至其可以获取管理者的权限,对系统进行控制,这就会给企业造成巨大的经济损失。

2.5安全审计层面的风险

在当下的信息系统风险管理都会部署一些安全监测产品,例如防火墙、杀毒软件等。这些产品只能针对某类安全问题有效,这就使得信息系统的审计工作变得松散,不能形成完整的体系。而且由于系统的兼容性等原因,总会出现误报、漏报的现象,这就会对审计的作用带来巨大的影响,使其无法发挥其应有的效用。另外,企业虽然相应的部署了安全管理平台进行日志的收集,但在当下的信息系统中智能分析能力较弱,不能够对全局进行有效的监控,也就没有办法实现综合监控和安全风险的态势分析。

3企业运维管理中信息系统安全风险的控制策略

通过对上述安全风险的问题进行有效的分析,基于信息的特点,本文提出了下述信息系统安全风险的控制策略。

3.1加强信息系统数据资源的安全风险控制

数据资源的风险控制主要从三个方面进行:①存储安全,可以采用先进的加密技术对信息数据库进行加密处理,从数据资产产生的源头进行安全防护体系的构建;②标识安全,通过标识技术对信息进行去区分标注,经过审计后,让标识与信息系统密不可分,这样就不会出现信息篡改的问题;③访问安全,可以采用强制访问控制的方式,对访问主体进行限制。例如,某些数据非管理员权限仅能读取,不能够打印或者重新编辑,而一些重要信息限制再无权观看。

3.2加强信息系统的信息安全风险控制

信息安全主要就是对应用安全进行控制,通过对系统的需求进行有效的分析,设计开发指导验收运维过程中进行安全保障。同时还要定期对系统进行渗透测试,如果企业的技术较为先进,还可以通过源代码进行安全风险分析,仔细地对漏洞进行查找,如果发现及时进行修复,长此以往就会不断提高系统的整体安全性。另外还要将运维过程中出现的问题进行整体分析,这样就能够形成较为完善的风险控制规范,为后续的系统安全提供可行性较高的参考数据。

3.3构建运维风险控制平台

针对认证管理和孤岛等问题,就可以亿堡垒机为中间体进行控制平台的构建,形成对企业信息系统全面的安全监控。通过安全防护产品的报警日志和应用系统的审计日志,构建威胁事件的审计模型,构建完善的综合安全事件分析统计平台,这样才能对风险事件进行关联审计分析,最终实现实时报警的效果。

3.4加强信息系统的管理和梳理

要想切实地提高企业的信息系统运维管理能力,必须要加强信息安全专项检查,要制定详细的规范来明确信息系统日常需要进行的管理操作,还要对日常管理的具体细节进行定义,这样才能使信息系统日常管理规范、明确,继而使其信息化和制度化。还要闭环管理信息安全风险和运维实践,防止低层次的信息安全问题发生。另外还要加强专项检查整体提高信息系统的安全运维能力。同时还要对信息资源进行有效的分类整理,要构建完善的应急备灾能力,还要定期对应急备灾的能力进行检测,例如可以临时构建信息丢失的问题,看其恢复能力,只有这样才能有效地保障备份能够及时地恢复。

3.5构建完善的信息风险防护体系

正与邪、矛与盾、攻与防,永远都是相对存在的。在信息系统风险控制上也是一样的,要想预防攻击者的非法入侵,就必须要建立完善的信息风险防护体系。所以,企业要培养构建一支团队,让其不断进行学习,掌握攻击的技术,然后让其对企业的防护系统进行破坏,进而完善,只有不断地从攻击者的角度去思考,才能够构建完善的防护体系,只有不断进行攻防,才能够更好地提升信息风险防护体系,让其更好地保护信息系统,防止信息窃取和篡改的问题出现。

4结语

综上所述,虽然当下企业对信息安全风险的防护工作不断重视,也构建了许多防护的措施,具备了一些防护能力,但由于信息技术的不断发展,使漏洞变得更加隐蔽。所以,企业要想稳定发展,必须要采取措施对信息系统安全风险进行运维控制,只有这样才能有效的保障企业的经济利益,为企业的发展做出有力的支撑。

作者:徐美霞 单位:广东电网有限责任阳江供电局

参考文献:

[1]上官琳琳.企业信息系统的管理与运维研究[J].管理观察,2014(18):100-101+104.

[2]何芬.企业运维管理中信息系统安全风险控制探究[J].信息技术与信息化,2014(5):208-210+212.

[3]石磊,王刚.关于企业信息安全风险管理系统的研究[J].华北电力技术,2013(9):65-70.

篇9

[关键词]石油企业,安全管理,风险管理,措施

中图分类号:C93 文献标识码:A 文章编号:1009-914X(2015)23-0147-01

1 安全管理上的问题

1.1 技术和设备的陈旧

在一定程度上,企业在技术和设备上的落后会给企业带来安全上的威胁,引起一些安全事故。在实际生产中,许多企业的生产设备一直处于超负荷运转的工作状态,而且,由于石油企业更换生产设备耗资巨大,一些企业还会出现内部生产设备年久失修的现象,这不仅给企业带来安全隐患,还大大降低了生产效率,对企业来说是个很大的损失。因此,石油企业应充分认识到安全管理的重要性,及时更换有问题的旧设备,防止出现设备老化、仪表指示不准等现象,增加对生产设备的投入资金,降低石油企业的安全危机,同时加强管理,防止设备更新改造资金被无故占用挪用等不良现象。

1.2 管理经验不更新

时代在发展,技术在进步,理念在更新,在这个一切都在前进的时代,企业必须也要做出改进,也要更新管理经验,这样才不会被快速发展的社会所抛弃。然而,石油企业管理者却惯于使用在历史发展中积累的安全管经验,一味地依靠过去的经验,不善于接受现代的诸多有关企业安全管理的专业理论,很少思考如何提前预防事故的发生。而且,一些管理方法没有理论的支撑,或者是拥有专业的安全管理理论,但在管理中惯用陈旧的管理思想,对专业理论置之不理,造成管理上的疏忽,增加了安全隐患,对石油企业安全管理的进步和发展非常不利。所以,企业有必要建立一整套适合石油行业特点的安全管理体系,结合新生的安全管理经验等对生产进行指导,运用科学归纳和合理分析能力,不断加强企业的安全生产能力,从而降低企业事故的发生率。

1.3 员工缺乏安全意识

安全管理意识薄弱是石油化工企业安全管理问题的主要原因。一些员工缺乏安全意识、知识,安全管理意识普遍不高,实行内部安全标准的责任感不强,在生产技术方面存在很大缺陷,安全操作的意识比较薄弱,这些情况都会造成企业的安全事故的发生。然而,对于员工缺乏安全意识这一情况,一些企业的管理人员却仍然不加理会,仍然采取粗放式的管理模式,不让员工接受良好的管理培训,不设立合理的安全管理制度,一味地追求企业经济效益,最终造成安全事故的发生,酿成严重后果。

1.4 不完善安全管理体系

为了提高安全管理效率,企业应当提高安全组织体系的严密性,设置一系列安全管理机构,完善企业安全生产制度,通过分级负责的方法,结合风险共担以及各司其职、统一管理的理念,对安全生产进行全面的指导。除此之外,企业要明晰各级部门以及具体到个人的权利和义务职责,提高生产过程中的有序性,保证规章制度在实践过程中不断完善,以满足生产需求。

2 安全管理的解决措施

2.1 加大设施的投入和技术的提升

注重资金投入和项目建设、规范硬件设施是保障石油企业安全运行的基础,因此,企业必须要制定科学而又完备的设备安全管理机制,不断改进和更新企业的装备,引进先进的生产设备,为安全生产提供设备支持。还要定时检查设备运行状况,重视对设备进行维修和保养,以保证企业运行过程安全可靠。同时,一旦发现设备的安全隐患,应及时处理,不能放任不管。当然,企业还应该不断进行生产技术的创新,注重先进技术的引进,这样,才能更好地解决生产过程中出现的安全问题。

2.2 提高安全管理意识

一个合格的管理者应该具有很强的安全管理意识,能够统筹管理,突出重点,在安全管理意识上有的放矢。所以,企业管理者应该不断提高自身的安全管理意识,不断将自己打造成一个合格的安全管理者。提高各级领导的安全意识,是企业安全管理必不可少的一个重要部分,只有各级领导注重安全意识了,企业的各层工作人员才会提高对安全意识的重视程度,才会采取实际行动,提高安全意识。所以,高层管理者必须要先将安全放在首位,杜绝安全事故的发生。

2.3 建立安全体系,完善安全制度

要做好石油化工行业的安全工作,首先就要建立一套科学完善的安全管理制度。企业应该建立健全管理监督机制,大力推行外部监督与内部管理密切结合的机制,预防各种安全事故的发生,不断地强化监督的作用,强化对生产设备的安全监督检察职能,对安全管理制度的规定进行补充、调整和完善,保证安全生产的管理工作高效到位,提高企业的生产力,做好生产工作的有效管理和监督。另外,企业应该把责任量化,实施安全生产的责任管理制度,严格执行责任追究,将安全生产责任层层落实到每一名员工身上。

3 风险管理存在的问题

3.1 风险管理意识薄弱

企业面临着许许多多的风险,企业必须对这些风险加大管理力度,才能保证企业的顺利发展。为了防止这些风险对企业经济利益造成伤损害,企业内部有必要建立起一个可以对风险进行分析识别的机制,不仅要加强对企业大规模扩张发展所带来的经营风险以及控制风险的防范,还要应对传统的财务风险,要针对性地对企业要面临的高风险领域进行识别和管理。然而,现在的企业大多缺少风险意识,对于风险的管理意识很差,不够重视企业内部的风险管理,对控制风险以及金融风险等新型风险的关注较少,没有形成自上而下的风险管理文化,对可能带来的风险没有进行严格的管控,这很容易导致企业在风险到来的时候束手无策,无法应对。因此,企业要严格按照风险管理的要求对各项经营业务活动进行严格的控制,提高风险管理意识。

3.2 防范措施不够好

有时,企业能够对即将到来的风险做一个大致的确定,但却因为防范措施没有做好,因为缺乏有效的风险防范措施,而使企业经济利益受到损失。所以,企业应该认识到自身需要对存在的风险问题进行分析和识别的重要性,建立一个科学可行的防范风险措施,将风险控制在一个可控的范围之内,防止风险的扩大。

4 相应的解决措施

4.1 加强风险管理意识

强化风险识别意识是风险管理的关键环节,也是开展全面风险管理工作的基础。因此,企业要制定风险清单,在内部树立良好的风险管理理念,培养员工的风险意识和危机意识,让员工认识到风险管理工作的重要性。可以说,企业的风险管理理念不仅决定了企业的战略经营目标能否得到顺利的实现,还对企业的经营风格和文化氛围产生影响。所以,企业一定要在企业内部树立良好的风险管理理念,提升风险管理意识和理念,保证企业的快速发展。

4.2 完善相关体系和制度

国有企业要不断地对风险管理体系进行完善,不断建立健全风险评估和控制机制,完善风险管理组织体系,实现内部控制和风险管理一体化。同时,还要制定科学合理的风险管理制度和流程,对企业各类风险的管理情况进行跟踪监控,对风险管理工作的开展进行控制和监督,从而形成有效的整体外部监督体系。

参考文献

篇10

【关键词】风险;评估;企业;信息管理

1.企业信息安全评估的内容

企业在运行中会产生大量的运营数据,这些数据既有日常办公方面的数据,也有涉及企业生产和研发方面的数据。随着企业规模的扩大,对这些信息的管理大都是建立在一定的信息管理系统基础上的,如ERP资源管理系统、MES系统等。这些管理系统管理的内容包含了企业运行中的各类信息,就涉及到如何保障系统运行中信息安全的问题。不同的信息管理模式会伴随不同的信息泄露风险,因此需要对企业的信息管理风险程度进行评估,在此基础上寻找弥补信息安全隐患的策略。对企业信息安全的评估主要有以下几个方面的内容。

1.1 评估企业的管理制度

企业管理制度是企业有序运行的基础,企业的信息安全也和此密切相关。很多企业信息外泄的案例都和企业管理制度漏洞直接联系。因此在评估企业信息安全时企业的管理制度是必要的环节之一。在这个层面上评估企业信息安全主要是评估以下几类基本的管理制度。①企业信息系统的使用制度;②企业信息系统的维护制度;③企业信息系统操作人员培训制度;④系统设备和文件管理制度。

1.2 企业信息系统计算机安全评估

实践表明大量的企业信息外泄都和计算机系统的安全漏洞有关系,因此对企业信息系统的安全评估是必不可少的环节。这类问题的评估需要专业计算机人员来进行,弥补系统安全漏洞是保障企业信息安全的重要手段。定期或不定期的对企业信息系统的运行日志和统计资料进行检查是一种行之有效的方法。

2.企业信息安全风险定量评估方法

对上述几类评估内容的定量估计是衡量企业信息安全的量化手段,其衡量得出的数值就是企业信息安全的风险值或安全程度指标。企业信息安全的定量风险评估考虑因素主要有三个:资产价值、威胁和脆弱性。在定量评估中这三类因素都需要用定量数据采集的方式来进行合成计算,安全风险的数学表达式为:。其中为风险指标,表示企业资产指标,为代表威胁,为脆弱性指标。上述三类因素的基础数据都需要从实践中通过调研和测试来获得。

2.1 企业信息安全估价的描述方法

企业的资产既包括有形的资产,也包括无形的资源,表现形式也从机械设备到软件文档等多种多样。企业信息安全又有其特殊性。企业信息安全的安全属性估价需要从资产的保密性、完整性和可用性三个方面来展开评估。由于企业各类资产的形式各异,资产的安全级别无法用通用的量化标准来记性评估,因此采用的方法为定性的CIA模糊集合方式来描述,如“资产安全级别”={“很高”、“高”、“中等”、“低”、“较低”}等模糊语言来描述,对应的论域为{5、4、3、2、1}。企业信息安全安全的保密性、完整性和可用性三个方面的属性都可以用上述模糊语言来定性描述,综合上述三类安全属性的公式为:。上式中分别为企业信息安全的保密性、完整性和可用性的赋值,取值为1,2…5,为综合评定指标。笔者这里提供一些评价指标的选取标准:

(1)信息保密性的评定标准

①很高:这类级别的企业信息包含企业的核心关键决策信息,信息泄漏将严重影响企业的利益;②高:这类级别的企业信息泄露会对到企业经济效益造成明显损害;③中等:企业的一般性的经营、决策信息,泄露对企业不利;④低:这类企业信息一般指企业内部部门的局部信息;⑤较低:企业可对外界公布的信息类型。

(2)信息完整性的评定标准

①很高:这类级别的企业信息包含企业的核心关键决策信息,其完整性直接决定企业的业务完整性,一旦缺失就无法弥补;②高:这类信息修改必须经过高层授权,一旦缺失将严重影响业务,一旦缺失弥补难度很大;③中等:企业的一般性的经营、决策信息,其修改需授权,缺失后可弥补;④低:这类企业信息一般指企业内部部门的局部信息,缺失后对企业运行影响较小,易于弥补;⑤较低:企业可对外界公布的信息类型,缺失后对企业运行无明显影响。

(3)信息可用性的评定标准

①很高:这类信息具有最重要的实用性,企业的运作必须依照运行的信息类型;②高:这类信息的可用性价值较高,企业运作对其依赖性较高;③中等:这类信息属于可部分不可用的类型,部分不可用不影响企业的正常运作;④低:这类企业信息一般指企业内部部门的局部信息,信息不可用不会造成明显影响;⑤较低:这类信息使用性不高,信息不可用的影响可以忽略。

2.2 企业信息安全威胁程度的量化方法

企业信息安全的威胁通常定义为潜在的破坏性因素或突发事件。威胁是客观存在的,既可能来自于系统的用户(合法用户或非法入侵)操作,也可能来自于系统的物理组件的损坏。这两类威胁中最大也最常见的是系统用户在操作方面的失误、非法用户利用系统漏洞来窃取企业机密信息,以及计算机病毒对信息系统的侵袭等。但这些事件都不易量化,在做风险评估时需要依赖专家经验,对各种潜在的威胁因素给出一定的概率值,对各类威胁因素可按照和上节类似的方法,用形如:“威胁程度”={“很高”、“高”、“中等”、“低”、“较低”}等模糊集合来表达,对应于相应的论域{5、4、3、2、1}。建议评定标准如下:①很高:风险事件发生的频率很高,或对企业信息安全具有明显的威胁,但又很难避免的情形;②高:风险事件发生的可能性较大或有发生先例;③中等:风险事件有可能发生,但尚未实际发生过的情形;④较低:风险事件发生的可能性较小,通常情况下不会发生;⑤很低:几乎不可能发生的风险事件类型;

2.3 信息系统脆弱性的量化方法

信息系统脆弱性的评估和系统面临的威胁是紧密相关的,所有的实际威胁都是利用系统安全的薄弱环节来发挥破坏性作用的,因此信息系统的脆弱性和威胁存点对点或单点对多点的关系。为便于计算,也采用和衡量系统威胁程度时相同的表示方法,“系统脆弱性”={“很高”、“高”、“中等”、“低”、“较低”},对应于相应的论域{5、4、3、2、1}。建议评定标准为:①很高:这类评定往往要基于企业信息系统存在明显而易于攻击的技术漏洞或者是管理规范上的缺陷,极易被非法使用的情形;②高:企业信息系统存在一定的技术漏洞或管理规范上的缺陷,容易被攻击和利用;③中等:企业信息系统存在不易被发现(下转第125页)(上接第121页)的技术漏洞,或必须经过人为非法操作才能被攻击的管理规范上的漏洞;④低:企业信息系统不存在明显的技术漏洞,或企业信息管理制度较为完善,不易被攻击利用;⑤较低:企业信息系统技术较为完善,管理制度也较为合理,被攻击点可能性很小。

2.4 信息安全的风险计算

按照风险的定义,风险包括风险事件发生的可能性和相应的后果。在企业信息系统中,各组成部分发生风险事件后的后果是不一样的,其严重程度也存在差异。因此在风险计算时需要明确两个方面的内容,一是风险的计算方式,二是对风险计算量化数值的评价。各因素风险值的计算按:来计算,即按资产价值、资产脆弱性和资产面临的威胁性的乘积来衡量某种信息资产的风险值。上述几类因素的取值按照评价论域中的取值来作为乘积因子。在计算出风险值之后,还需要建立起以风险值为基础的风险评价体系。

由前文的分析可见,风险的定量估计是一个由三类风险因素的线性乘积得出的。每一类信息的最高等级论域数值为5,最低为1,因此组合情况下风险值的最高值为125,最低值为1。由此可建立其与之对应的风险定量评价体系。笔者建议采用与之对应的5级评定方式:①很高:风险值估计范围在100~125之间,表明企业信息系统存在很高的安全风险,发生信息泄露的可能性非常高;②高:风险估计值在75~100之间,表明企业信息系统存在较大的安全风险,发生信息泄露的可能性较大;③中等:风险估计值在50~75之间,企业信息系统的安全风险一般,经过审查后能够避免风险事件;④低:风险估计值在25~50之间,企业信息系统发生信息泄露的可能性很小;⑤很低:风险估计值在0~25之间,企业信息系统比较安全,但需要定期维护。

3.结语

企业信息系统安全管理关系到企业的内部运营数据的安全,是需要引起高度重视的问题。本文将企业信息安全评估中几类常用的信息类型进行了风险量化评估,给出了以线性乘积为基础的风险量化方法,最后给出了分等级的企业信息安全综合评定。

参考文献

[1]沈昌样.关于强化信息安全保障体系的思考[J].信息安全与通信保密,2009,06.

[2]沈昌祥,马东平,等.信息安全工程学导论[M].电子工业出版社,2009,9.