企业合规培训方案范文

时间:2023-11-07 17:28:17

导语:如何才能写好一篇企业合规培训方案,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

企业合规培训方案

篇1

关键词:承包商;安全管理

1引言

《中华人民共和国安全生产法》规定:生产经营单位应当与承包单位、承租单位签订专门的安全生产管理协议,或者在承包合同、租赁合同中约定各自的安全生产管理职责;生产经营单位对承包单位、承租单位的安全生产工作统一协调、管理,定期进行安全检查,发现安全问题的,应当及时督促整改。水泥企业应根据国家、行业和地方主管部门规定,结合自身实际需要,合法选择合格的承包商,并将承包商纳入自身安全管理体系,明确从入场选择到完工退场的管理程序,确保安全管理覆盖全过程,预防生产安全事故发生。

2承包商识别

水泥企业常见承包商主要是设备设施安装、调试、检修、维护单位、包装运输、施工单位等。

3承包商安全管理要求

3.1承包商的选择

严把准入关,选择有资质、各项条件均符合国家法律法规和标准的承包商进驻水泥企业。由水泥企业项目主管部门和安全管理部门对拟用承包商进行安全综合能力评估,审核内容包括企业资质能力、相关工作业绩、安全管理组织机构合规性、主要负责人和安全管理人员取证、安全管理制度、岗位责任制和岗位安全操作规程是否健全、安全投入和资源保障情况、应急预案和应急救援组织机构、特种作业人员持证上岗情况、特种设备和特种设备作业人员证件资料完善情况、到厂作业人员是否依法缴纳各类保险、入厂作业人员是否全员接受安全教育培训并考核合格等。综合能力审核通过后,承包商方可进入招、投标的程序。

3.2招、投标

通过招、投标流程,对准入企业优中选优,选择工期短、造价低、质量高、信誉好的承包商承接企业项目,充分体现“公开、公平、公正”的市场原则。招、投标工作由水泥企业分管负责人组织项目属地主管部门、安全管理部门、审计部门等相关人员共同完成。招、投标文件中要求承包商制定项目安全生产管理目标,明确项目负责人、安全管理人员、技术人员等,明确变更后的报备,确定安全管理信息沟通的方法和渠道,施工期间的安全奖惩办法等,保证项目顺利进行。

3.3安全管理协议

根据《中华人民共和国安全生产法》规定,水泥企业应与承包商签订安全管理协议,具体内容由项目主管部门和安全管理部门与承包商依据国家法律法规和项目实际,共同协商确定安全管理协议内容和条款,明确双方的安全生产职责和义务。安全管理协议应把施工资质或等级证书、安全生产许可证、主要负责人和安全管理人员教育培训合格证、特种作业操作证和特种设备作业人员证、作业人员参保凭证和体检证明、施工装备和工器具的完好性检查记录、近三年同行业安全施工业绩等材料作为附件备查。

3.4施工安全方案

由承包商基于项目特定风险编制施工安全方案,方案符合国家、地方以及行业相关法律法规和标准的要求。项目主管部门和安全管理部门对施工安全方案进行审核,审核通过之后,组织承包商作业人员进行全面交底。

3.5安全教育培训

承包商作业人员应接受安全教育培训,经考核通过后,方可上岗作业。由水泥企业安全管理部门负责公司级培训,就国家法律法规、企业安全管理制度、相关事故案例等进行培训;项目属地主管部门负责部门级培训,包括现场安全管理规定、危险作业管理要求、项目安全风险及控制措施、应急处置措施、安全防护设施和个体防护用品的使用等内容;承包商负责作业前培训,针对作业人员开展安全操作规程和安全施工方案等内容的培训,所有的培训要进行相应的考核并合格。承包商应将培训记录交到水泥企业安全管理部门进行备案。

3.6开工安全审查

企业安全管理部门应对承包商进行开工前安全审查,经审查合格后,承包商方可办理开工手续并组织施工。开工安全审查包括项目施工安全方案是否经过企业相关部门审查通过;作业人员是否熟悉施工安全方案具体内容和要求;作业人员是否熟悉项目安全风险及相关控制措施;作业人员是否接受安全教育培训并考核合格;项目安全管理人员、特种设备作业人员和特种作业人员是否持证上岗,且齐全有效;设备、工器具是否完好;劳动防护用品是否配备,且符合国家或行业标准。

3.7现场管理

企业应将承包商纳入统一安全管理,由项目主管部门明确施工现场安全负责人,要求承包商按照施工安全方案的要求组织施工,落实各项安全控制措施。项目主管部门和安全管理部门指定安全员负责对承包商施工期间安全管理进行监督和考核,定期对施工现场进行安全检查,发现安全隐患及时通知承包商进行整改。安全员发现承包商作业人员变更后,要求从新开展安全教育培训,经考核合格后方可上岗作业。在危险性较大或与正在生产运行设备、区域施工或存在交叉作业的情况下,双方应设置专职的安全监护人员。

4评估与续用

水泥企业应制定承包商安全绩效评估制度,在作业过程当中,定期对企业开展安全绩效评定,通过安全绩效评定的方式促使承包商安全管理达到相关法律法规以及安全管理协议要求,根据安全绩效评定结果对承包商进行奖励和处罚,形成激励机制,并将安全绩效评定结果作为承包商续用的重要参考依据,建立合格承包商名录。

5结束语

篇2

针对云攻击范围不断扩大

赛门铁克的调查显示,云安全成为中国CISO所面临的棘手问题。绝大数的CISO(92%)都认为,确保云应用符合合规要求是他们所面临的最大的工作压力之一。在行业合规性方面,中国CISO最担心自身企业是否能够充分跟踪已批准的云应用中的活动(29%),以及公司员工是否使用未被批准的云应用(23%)。

此外,中国CISO针对云安全的担忧还包括:在云应用中广泛分享合规所管控的敏感数据 (21%),对企业所属移动设备的管理(16%) 以及遵守国家和地区特定的数据保留和管理条例(11%)。

随着云应用的广泛部署,以及企业缺乏对高风险用户行为的深入了解,都进一步导致了更大范围的面向云的网络攻击。赛门铁克调研显示,中国CISO预计,自身企业所使用的基于云的应用中,30% 为未经批准的应用,或者为“影子应用”。不仅如此,70%的受访CISO都认为,无论是有意还是无意的举动,CEO在某些情况下可能破坏了企业的内部安全协议。

对端到端解决方案的需求

随着企业愈加依赖云来改善协作和灵活性,中国首席信息安全官面临越来越多的挑战。赛门铁克的调研显示,为了加强信息安全,所有受访的中国CISO(100%)表示,计划在今年增加IT人T安全培训的支出,确保企业数据在本地系统、移动应用和云服务之间传输的安全性。新加入的IT员工在入职培训期间将接受平均13个小时的安全培训。 值得提出的是,中国CISO所计划的支出高于所有其他受调研的国家。

网络罪犯组织在进行犯罪活动时往往伺机而动,他们会利用合法的操作系统、工具和云服务中的漏洞来破坏企业网络。

为了有效地对抗这些犯罪行为,首席信息安全官需要拥有卓越的可见性和管控力,对用户通过云上传、存储和共享的敏感内容进行管理。出色的CISO不会依靠一次性修复和被动的补丁来保护机密信息,而是通过主动部署端到端解决方案来消除可被利用的潜在漏洞和威胁。

整体方案应对云安全问题

篇3

一、指导思想和目标任务

(一)指导思想:以科学发展观为指导,坚持以科学的人才观统领商务领域人才工作,建设一支高素质商务人才队伍。围绕企业需求,积极开展各类培训工作,提高我省商务人才熟练运用经贸政策法规、贸易惯例和规则解决商务问题的能力,促进我省企业经营尽快与国际规则接轨,提升企业进出口业务能力和企业竞争力,化解各类贸易风险,增强发展后劲。

(二)目标任务:各级政府、口岸通关查验部门、中介组织和企业四位一体,做好企业进出口业务培训工作。一是推动我省不断扩大外贸规模,优化外贸结构,促进进出口平衡发展。二是促进一批具备产业龙头地位的进出口企业快速成长,成为我省外贸发展的主力军。三是帮助企业掌握国际市场动态,掌握最新的进出口法律法规和政策规定,有效开拓海外市场。四是指导企业提升操作管理技能,促进外贸业务发展。五是帮助企业熟悉WTO规则和国际贸易惯例,把握国际贸易关键,建立良性操作流程。六是培养一批具有现代管理和国际化经营理念的商贸企业家。七是培养一批掌握国际贸易规则,精通国际贸易业务,善于开拓国际市场,有效应对各类贸易摩擦的专业人员。

二、工作重点和实施方式

(一)工作重点

1.重点培训WTO有关知识、市场经济理论与实务、国际经贸理论与实务、国际经济合作、国际商务谈判、国际投资、国际金融、国际税收、国际市场开拓、产品国际认证、信用保险制度、电子商务与政务、海关报关、检验检疫、国际贸易摩擦和国外技术性贸易壁垒、现代管理和现代科技知识。

2.发挥商务专业人员职业资格考试的作用,加强商务专业技术人才队伍建设。做好商务专业技术人员的评聘和管理工作,加快商务专业技术队伍的建设步伐。

3.近期培训主要课题。分为基础类、政策类、应对类。(详见附件)

(二)实施方式:采取研修类培训、业务类培训和专业资格类培训相结合的方式。

1.研修类培训。主要针对企业中高层负责人,以培训进出口基本知识和国际化经营理念为主,为参加培训人员做好经营管理方面的知识储备。

2.业务类培训。主要针对企业业务人员,以培训与进出口业务有关的最新法律、法规、政策为主,让参加培训人员尽快了解相关规定,及时作出反应。

3.专业技术资格类培训。主要针对企业专业技术人员,以培训商务类专业技术资格考试内容为主,帮助参加培训人员获得专业技术资格,提高业务素质和工作能力。

三、工作机制和工作安排

(一)工作机制

1.建立福建省企业进出口业务培训工作联席会议制度。联席会议由省外经贸厅、经贸委、科技厅、财政厅、农业厅、信息产业厅、质监局、福州海关、福建检验检疫局、省国税局、外汇管理局、人行福州中心支行、银监会福建监管局、中国出口信用保险公司福建分公司、中国进出口银行福州代表处,以及省属相关行业商会、协会等单位组成。联席会议由省外经贸厅负责牵头召集,工作办公室设在省外经贸厅。联席会议原则上每半年举行一次全体成员会议,通报企业进出口业务培训工作开展情况,研究部署下一阶段工作。

联系会议各成员单位各指派一名联络员,负责日常联络工作。根据实际工作需要,适时召开联络员工作会议,协调具体培训事宜。

2.职责分工。省外经贸厅、经贸委、科技厅、财政厅、农业厅、信息产业厅、质监局、福州海关、福建检验检疫局、省国税局、外汇管理局、人行福州中心支行、银监会福建监管局、中国出口信用保险公司福建分公司、中国进出口银行福州代表处等部门,根据各自职能,认真落实相应的企业进出口业务培训。各商会、协会等行业中介组织应根据行业特点,重点培训企业所需的进出口业务和政策知识,突出培训内容的实务性和操作性。各设区市要尽快建立所在地企业进出口业务培训工作联席会议机制,加强部门配合,形成工作合力。

各单位应将下一年度的培训计划,包括培训内容、培训对象、培训时间、费用支出等,报联席会议讨论通过后统筹实施,以避免互相交叉和重复。培训工作要因地制宜、分级分类、就地就近、求实求效地开展。各单位要细化工作方案,建立信息通报制度,将所开展的工作或有关情况及时向联席会议工作办公室通报,实现信息共享。省外经贸厅、经贸委将定期对各单位开展此项工作的情况进行联合检查。

(二)工作安排

1.工作部署阶段(2007年6月前):建立工作机制,成立工作机构,细化行动方案。各设区市要建立所在地企业进出口业务培训工作联席会议机制,并将方案上报省外经贸厅。

2.组织实施阶段(2007年6月后):各级政府各有关部门按照职责分工,负责培训工作的具体实施,落实行动方案,并定期组织检查,不断改进完善,切实提高工作实效。

四、工作要求和保障措施

(一)工作要求

1.理论联系实际。要将理论学习与解决实际问题结合起来,提高企业开展进出口业务水平和创新能力。

2.紧扣企业需求。要通过网上问卷调查、工作调研、召集会议、日常沟通等渠道,了解企业的培训需求,以服务企业为着眼点,区分不同层次、不同类别的培训对象,确定不同的培训内容和重点,有针对性地进行教育培训。

3.科学安排培训。做好科学的课程设置,精心编制培训方案,强化培训管理,建立教师、学员、培训时间、培训内容和培训效果的跟踪制度。

4.创新培训模式。在培训形式上,脱产集中与半脱产分散相结合,自学、集中辅导和自学考试等相结合。经常性开展进出口业务咨询日活动,为企业提供面对面的个性化服务。进一步扩大商务人才培训的国际交流与合作,积极开辟国(境)外培训渠道。探讨制定商务专业技术人才定期进修、出国深造的培训政策,不断完善国际教育培训合作。有步骤地积极引入国外权威的认证机构,提高商务专业队伍的水平。开发利用信息网络技术,充分发挥网络优势,建立外经贸培训信息平台,改进企业培训手段。

5.拓宽培训渠道。发挥行业商会、协会等中介组织和高校、科研院所的优势,开展对企业的培训。

6.形成长效机制。实现培训工作的经常化、长期化。

(二)保障措施

1.落实组织保障。各级政府各有关部门要建立和完善教育培训工作领导责任制,指定一位分管领导具体负责企业进出口业务培训工作,做好统筹规划、宏观指导、沟通协调、综合管理等工作。各级政府各有关部门要按照本行动方案的总体要求,结合本地区、本部门的实际情况,明确培训工作的进度和目标要求,采取有效措施,确保落实到位。要加强对培训实施情况的跟踪管理,做好督促检查,每年底要对落实情况进行一次全面检查,评估培训的进度和质量。达不到要求的,要认真查找原因,总结问题,并提出改进意见和措施。

2.加大经费支持。各级政府各有关部门要将企业进出口业务培训经费列入本地区、本部门年度经费预算予以保证,规范经费支出,提高教育培训经费的使用效益。要逐年增加对企业进出口业务培训的经费投入,确保稳定的资金支持。

3.发挥社会力量。要加强与中介组织的联系,充分发挥其教育培训和协调服务功能,把中介组织作为承担教育培训工作的重要组成部分,有计划、有针对性地开展各项培训。

4.提高师资质量。要扶持我省商务职业学校的发展,建立专家智力支持系统。要从具有较深理论功底和丰富实践经验的领导干部、企事业管理人员以及国内外高校、科研单位的专家学者中,选聘专职或兼职教师对企业培训人员进行授课。按照规模适当、结构合理、素质优良、专兼结合、动态管理的原则,建立商务人才培训师资库,为企业进出口业务培训提供强有力的师资力量。

附件:1.福建省企业进出口业务培训一览表(略)

2.福建省企业进出口业务培训课

附件2

福建省企业进出口业务培训课

根据《福建省企业进出口业务培训行动方案》,近期拟开展下列课题培训。

一、基础类:

1、中小企业进出口实务

2、企业如何开始进出口业务

3、如何建立海外客户关系和推销网

4、海外客户管理

5、新备案登记企业与市场开拓

6、鳗鱼安全用药

7、“两用物项”许可

8、出口信用保险基本介绍

9、纺织品出口国际环保标准认证

10、进出口合同主要条款的磋商

二、政策类:

1、科技兴贸政策

2、贸易收付汇管理新法规和新系统

3、进出口银行支持港澳台企业扩大出口的相关措施

4、进出口银行支持外向型经济的相关措施

5、进出口银行支持资源设备进出口政策性融资业务

6、进出口退免税申报与管理

7、出口信贷

8、海外承包工程及海外投资项目

9、良好农业规范(GAP)

10、生态纺织品知识培训

三、应对类:

1、国际贸易摩擦预警应诉

2、贸易壁垒应对

3、如何利用出口信用保险扩大出口

4、出口信用保险保单融资业务介绍

5、国际贸易中各种结算方式利弊分析及风险规避

6、国际贸易合同签订中的风险防范及纠纷解决建议

篇4

一、对象和要求

法制宣传教育的对象是局全体干部职工、全市卷烟零售户、消费者及社会公众等。重点是领导干部、专卖行政执法人员、企业经营管理人员和法规人员,同时结合行业特色,加强对卷烟零售户、消费者进行烟草专卖法律法规的宣传教育。

(一)领导干部法制宣传教育,着力提高依法行政、依法管理和依法决策的能力。领导干部是学法用法,模范遵守宪法和法律带头人,树立在宪法和法律范围内活动的观念,把依法行政、依法管理和依法决策当作是领导干部的基本执政能力。

(二)加强烟草专卖管理人员法制宣传教育,着力提高依法行政、依法管理和公正执法的能力。引导和组织烟草专卖执法人员深入学习与烟草专卖管理密切相关的法律知识;深入开展社会主义法治教育,使广大烟草专卖管理人员牢固树立执法为民、公平正义、服务大局等法治文化理念,树立有权必有责、用权受监督、违法要追究的法治文化观念,促进严格执法、公正执法、文明执法,确保烟草专卖法律法规的正确实施。

(三)加强企业经营管理人员法制宣传教育,着力提高依法管理、依法经营的能力。结合构建现代化流通企业、转型发展的要求,采取多种形式,有针对性地开展法治教育和培训,培养企业经营管理人员诚信守法、依法经营和依法办事的观念,促进企业诚信守法、依法经营、依法管理、依法解决纠纷,维护企业的合法权益,维护国家利益和消费者利益。

(四)面向社会开展烟草专卖法律法规的宣传教育,着力提高公众对烟草专卖制度的了解和理解程度。重点宣传国家对烟草依法实行专卖专营管理,烟草行业依法保障国家利益和消费者利益。突出烟草行业依法维护卷烟零售户和卷烟消费者利益的典型事例和模范人物,体现现阶段实施烟草专卖制度的必要性,促进行业和社会之间的和谐。

二、主要形式及方法

法制宣传教育着重自学与培训相结合,采取分对象、分层次、分阶段,有针对、重实效、多形式的原则开展培训。

(一)对专卖行政执法人员、企业经营管理人员的培训

结合专卖、营销、物流等重点工作,通过组织法律知识竞赛、岗位大练兵、现场模拟等形式,与队伍建设、岗位技能鉴定工作结合起来,制定相关法律法规知识培训计划、方案、或提供培训资料等方式针对性开展培训,并通过考试或其他方式对培训效果进行定期或不定期的检验。

方法:以自学为主,辅以专题讲座、集中培训提高一线工作人员法律素养和业务技能。通过案例评析、模拟听证、知识竞赛等方式,提高培训的灵活性和参与度,进一步增强培训效果。加强对专卖岗位新进人员的培训,确保取得行政执法资格,持证上岗。

(二)对卷烟零售户、及消费者(社会公众等)的培训

篇5

一、指导思想

坚持以党的十精神为指导,认真贯彻落实全国、全省、全市和县政法工作会议精神,紧紧围绕建设平安、法治的目标,整合宣传资源、丰富宣传形式,拓宽宣传渠道,扩大宣传范围,注重宣传效果,努力营造浓厚的综治工作舆论氛围,进一步促进综治工作齐抓共管局面的形成,促进综治各项工作措施的落实,为建设新时期的“模范”营造良好的社会环境。

二、宣传重点

县综治委下发的宣传月实施方案中主要有十一个方面的重点,结合本局实际,重点宣传以下几个方面的内容:

1、宣传党的十以来中央、省、市、县关于推进平安建设、法治建设和创新社会治理的重要决策部署。

2、宣传《法治建设规划纲要(2014-2020年)》精神。

3、宣传加强和创新社会管理,促进社会和谐平安建设的经验。

4、宣传企业整改安全隐患、治理重大危险源的成效。

5、宣传安全生产领域开展“打非治违”活动的意义。

6、开展安全生产法律法规、操作规程的宣传教育和培训。

7、宣传各股室、执法监察大队在综合治理工作中的好经验、好做法、勇于同各种安全生产违法非法行为作斗争的先进典型。

三、宣传形式

1、利用报纸、广播、电视和网络等媒体进行宣传。

2、深入基层进行教育培训,提高企业广大从业人员对平安建设的知晓率和参与度。

3、开展集中宣传咨询活动,营造宣传氛围。

四、活动安排及分工

1、参与平安校园建设宣传活动。参与校园周边环境领导小组办公室组织的校园周边环境座谈会,积极提出合理化建议;协同教育部门对校园周边环境的安全状况进行摸排,提出整改意见。由局综合股负责。

2、参与法律知识集中宣传咨询活动。3月21日上午,到县广场开展综治法律知识宣传咨询活动。由执法监察大队负责。

3、开展安全生产教育培训活动。组织非煤矿山、危化品企业、烟花爆竹企业的管理人员和从业人员进行安全生产法律法规教育培训。由教育培训股负责。

4、搞好活动学结。认真总结开展平安建设和创新社会治理的先进经验。

五、要求

1、加强领导,精心组织。我局是综治工作成员单位,维护社会稳定、搞好社会管理综合治理工作是我局义不容辞的责任。此次宣传月活动由局综治工作领导小组组织安排,全体干部职工要结合分管工作认真将活动开展好。

篇6

关键词:HSE管理体系;风险评价;管理措施

中图分类号:X937 文献标识码:A 文章编号:1006-8937(2013)18-0155-02

当下,为了使国内石油和天然气工业的健康、安全与环境管理模式符合国际通行惯例,提高石油企业在国际上的竞争能力,石油和天然气企业都建立HSE管理体系。但在HSE管理体系的建立、运行与实践中仍存在很多问题。

1 企业建立和实施HSE管理体系尚存在的问题

1.1 法律法规收集、分析缺乏可操作性

通常情况下,企业在建立HSE以及实施的过程中,单位部门内部没有很好地收集与分析法律法规,从而导致总结出来的法律法规缺乏实际的操作性,缺乏细化到具体的条款条例。

企业基本不能及时整体国家新出台的相关法律法规,对于这些新出台的法律法规的评价与更新措施也不到位。所以在具体实施的过程,就很难将这些法律法规应用于实践之中,这也在一定程度上影响了HSE管理体系有效运行。

1.2 风险控制具体措施不完善

对于风险的控制措施不完善,也是当下该管理体系中存在的问题之一。因为对这个体系执行或者理解上的出入,企业往往很重视重大风险以及对重大风险的控制措施,忽视一些不可承受的风险及其控制措施。如此一来就没有相关的消除风险以及降低风险的措施,导致HSE管理体系在运行的过程中存在潜在的风险。

1.3 人员安全意识与知识缺乏

企业的员工的安全意识淡薄,人员认识不足,造成环境因素识别不充分、不全面,有遗漏的现象,这意识当先该管理体系不能通常运行的一个重要因素。

2 完善HSE管理体系相关对策

2.1 必须注重HSE管理体系实用性与可操作性

企业要想完善HSE管理体系,在建立该管理体系的过程中就必须要注重其体系的操作性与实用性。要立足实际,具体问题具体分析,只有在充分结合企业自身特点的基础上,充分考虑体系的整体性和实用性,才能保证体系的有效运行。因此笔者认为企业应该定期对企业内部员工进行培训,在培训中让员工深刻地了解上HSE管理体系之间要素间的关系,只有员工深刻了解到了,在于自身相结合,二者相辅相成,才可以建立一个真生适合企业的科学的管理体系。

除此之外,企业还要注意HSE管理体系的可操作性,这个可操作性的是建立在企业认真研究要建立哪些程序文件以及相关的支持性文件基础上的,将HSE个要素之间的具体要求通入到企业的日常管理中去,注重管理体系的时效性,做到实践与体系要求相统一。

2.2 风险控制措施要有针对性

企业在满足相关法律法规的基础上,还应该根据自身的实际情况,制订评价准则。利用这些评价准则的确定来控制企业的风险。反过来这些评价结果也会影响或者说指导企业日常的HSE管理。换句话说,就是企业的日常管理的过程中应该防止手忙脚乱现象发生,要抓住主要问题的主要方面,消除因为主要矛盾带来的风险或者潜在的危害。在企业确定要控制风险之后,可以根据风险的等级来采取相应的措施,这些相应措施的提出一定要有针对性,没有针对性措施的提出只能形成风险偏高的因素,另外针对一些泛泛而说的措施,诸如加强企业管理与培训,定期检查等等措施,因为太过于空泛,从而很难达到预期的控制风险的效果。在这里笔者结合自身的工作经验,提出了一下几点措施控制风险发生的可能性,具体如下:

第一,指定的目标指标要满足标准要求。在企业指定目标指标的时候,要充分地考虑企业发展的实际情况,要考虑法律法规的要求,立足于风险评价结果,科学指定。第二,要具体明确地规定管理方案的方法,对于管理方法的规定不能含糊不清。要知道指定的目标指标最终是要实现的,不是空口说说,管理方案的方法确定最终也是为了实现管理目标服务的。当下很多企业在制定指标目标以及确定管理方法的过程中,都要采用记录的形式将管理方案的内容罗列起来,以便于在实行运用的过程中使用。但是很多企业管理方案方法都过于简单,这应该是我们尽力避免的。第三,隐患治理针对性要强。危及安全生产的不安全因素;可能发生事故的装置、设施;可能造成职业病或职业中毒的作业环境;或者造成环境污染和生态破坏的因素等,通过隐患治理予以解决,即制订隐患治理方案。这些方案可以包涵完成时间与治理措施,包涵所需要的资金、负责人等等。

2.3 加强培训,提高员工的认知力度与安全水平

加强培训,提高员工的认知力度与安全水平,使得企业内部员工可以自觉地运行这一套管理体系。要知道HSE管理体系运行的根本目的是为了充分地调动员工的主观能动性与积极性,创造性,借助这一套管理体系可以让员工主动地识别风险与风险评价,树立一种“我为人人”的奉献意识。这些观念的形成需要对员工进行培训。在培训的过程中,提高员工全面而有彻底地掌握生产活动中的风险,并且员工还可以清除地了解到如何消除或者减少这些风险。

3 HSE管理体系运行中仍须重视问题及实施方案

在HSE管理体系运行、实践的过程中,除要解决以上三点普遍存在的问题外,笔者根据实际工作经验总结以下两点在体系运行中需重视的问题。

3.1 推行过程中应处理好三种关系

3.1.1 正确认识HSE管理体系的本质,推陈出新

当前的很多企业都确定了也制定了与本企业相关的HSE管理措施,这一方面得益于该管理体系的推广应用,一方面还得益于该体系的科学性。虽然企业在推动实行该管理体系的过程中,制定了与之相关的管理政策,但是也还存在一些问题。与传统的安全管理模式相比,新推行的HSE管理体系是推陈出新,是具有一定的新思想与新方法,但是传统的安全管理模式中也存在比较合理的部分,对于这一部分的态度不应该是完全摒弃不用,对此正确的方法应该立足传统,推陈出新,革旧鼎新,立而不破,相互结合,以便于共同促进。此外为了全面提升管理水平而引进的HSE管理体系,必须与传统管理相融合,与生产实情相结合,才会更有生命力,这也是HSE管理体系运行的必经之路。

3.1.2 正确把握“删繁就简”,立足实际进行管理

对于HSE管理体系是一个简化还是繁琐的问题,每个人看问题的脚步不同,也会有不同的理解。HSE管理体系作为一个全新的管理机制,它的运行必要要有一个包括程序文件、运行控制文件以及记录清单等等在内的管理平台。这个平台内部形式的建立都应该有相应的具体的体现形式。所谓HSE管理体系让人感到繁琐的地方就在其从安全、环境与健康三个方面对生产活动进行要求,标准高,执行难度就大,反过来我们想象,这又何尝不是HSE管理体系系统性、规范性的体现,笔者认为这些地方是该管理体系先进性与规范性的体现,是不能精简的。

除此之外,我们换一个角度也可以看到HSE管理体系中比较简单的地方,比如企业的整个生产管理过程已经通过程序文件、管理手册以及运行控制文件等做出了要求,各个单位需要做的仅仅是执行,而且在执行的过程中,任何一项工作的执行思路都是很明确的,很系统的,这些过程都是简化过了的,这也给感觉HSE管理体系繁琐的想要退缩的人打了了一剂强心针。

3.1.3 赏罚分明,保证HSE体系的实际效果

我们尚且不论何种管理体系,管理方法,这种管理习题与方法的实施必要要有配套的保证制度,诸如奖励与惩戒制度,检查与监督体制等等,这也是我们纵观那些成功的管理体系得以成功的关键与重要环节。因此笔者提出了赏罚分明,只有公平公正,才能保证员工工作的积极性与热情。但是对于赏罚的举措,我们不应该简单地通过或者以来金钱来完成,还可以寻找一些可以尽可能提高工作管理水平的措施来完成,最后要把握好赏罚的力度与频率。

3.2 重视未遂事件管理,对存在隐患做好预警

HSE管理体系的建立对未遂事件的管理未提到应有的高度。根据海恩法则虽有未遂事件并没有造成经济损失或者人员伤亡,可是因为未遂事件发生的原因或者其发生的过程就造成了极大的事故与伤害。签于此,我们必须要对未遂事件进行更进一步的研究,尽可能低消除或者斩断导致事故发生的可能性,从而达到预防与控制未遂事件发生的目的。

3.2.1 科学及时有效地处理未遂事件报告

作为安全部分的一项极为重要的工作任务――处理未遂事件,安其应该及时有效、科学地进行,妥善地处理。此外安全部门还应该从那些未遂事件中分析前因后果,找到未遂事件发生的间接原因与直接原因,从而归结自身,找出薄弱环节,加以整改与处理。

3.2.2 建立健全未遂事件报告制

企业需要建立健全未遂事件的报告制度。对于未遂事件的管理是企业的管理组织通过对已经发生过的未遂事件进行分析,整改以及推广的过程中。这些未遂事件的发生需要当事人或者目击者及时报告与反馈到安全部门去。

3.2.3 处理未遂事件时,要体现人本思想

在一些合资公司内,对于未遂事件管理的相关做法是值得我们思考与学习的。这个体现“四全管理”的措施是对未遂事件的管理不仅仅要管理到员工的8个小时之内,还要管到员工的8个小时之外。根据这样的做法,如果我们想提高HSE管理体系的工作成绩,也应该将未遂事件的管理扩大到8个小时外。在员工上下班以及家庭生活中发生的未遂事件都编写早未遂事件报告书中,这样对提高安全意识与预防事故能力是百利而无一害的。

4 结 语

作为一个科学合理的具有一定规范性的管理体系,HSE管理体系的推广是一项意义重大的工程。而且在推广的过程中,我们还会遇到各种各样的问题,对这些问题的处理,我们应该理清思路,正确处理各种关系,管理可能存在的安全隐患,让HSE管理体系健康平稳的发展下去。

参考文献:

[1] 于风清.夯实体系基础避免“两张皮”现象[J].安全、健康和环境.2006,(5).

[2] 彭继轩,穆龙新,吕功训.HSE管理中的风险分析方法[J].中国安全生产科学技术,2006,(6).

[3] 丁浩.石油企业实施HSE管理体系研究[J].中国安全科学学报,2004,(10).

篇7

加强职业健康监护,保障劳动者健康权益。

二、目的意义与目标要求

认真贯彻落实《职业病防治法》、卫生部《职业健康监护管理办法》和《职业健康监护技术规范》等法律法规及规章和《潍坊市卫生局关于印发<潍坊市职业健康监护专项整治工作方案>的通知》(,进一步加大职业卫生监督执法力度,提高用工单位责任意识,加强职业健康监护管理,提升职业健康查体率,完善职业卫生与职业健康监护档案,保障劳动者职业健康安全。

通过专项整治,辖区内企业接害职工职业健康检查率2014年底达到95%以上。

三、检查内容

市卫生局将对辖区内存在职业病危害因素的用人单位,逐一进行监督检查。重点检查用人单位是否掌握本单位接毒接害职工人数;是否为职工进行上岗前、在岗期间、离岗时职业健康检查,职工职业健康检查率是否符合要求,是否为职工开展职业卫生知识培训,培训内容是否符合要求;是否按法律、法规要求对职工给予职业病危害及职业健康检查结果告知;职业卫生档案是否齐全、符合要求;职业健康监护档案是否齐全、符合要求,职业史与职业接触史是否清楚;需要复查的劳动者是否已安排复查;职业禁忌症患者、疑似职业病患者、职业病患者是否已妥善安置等。

四、工作步骤

㈠启动阶段(5月)。各有关用人单位要按照方案要求,结合本单位存在的职业危害实际,启动专项整治工作。

㈡监督检查阶段(5月-9月中旬)。市卫生局将按照职业健康监护监督管理有关法律法规、规范和本工作方案,开展专项检查,并认真填写检查表和汇总表。对违法行为下达整改意见,对不能如期整改到位的用人单位依法给予行政处罚。

㈢总结阶段(9月30日前)。各有关用人单位对专项整治工作情况进行总结,并于10月31日前将工作总结(电子版和纸质版)报市卫生局卫生监督大队。市卫生局将对全市职业健康监护专项整治工作情况进行通报。

五、工作要求

㈠提高认识,加强领导。此次专项整治涉及范围广,整治要求高。各用人单位要高度重视,切实加强组织领导,结合我市开展的职业卫生“四个一”工程、职业病溯源调查活动,认真制定实施方案,明确重点,落实责任,精心组织,周密安排,推动专项整治工作有序进行。

篇8

关键词:煤矿;安全培训;管理体系

DOI:10.16640/ki.37-1222/t.2017.14.059

1 引言

二十一世纪的今天我国针对煤矿行业的安全培训先后出台了多部法律文件,这些法律法规的推出有效的促进了整体体系的构建,有效的促进了我国煤矿的安全体系建设。不过在实际的推行过程中,仍然存在着许多问题,在培训的过程中效果不明显,并未达到预期的效果。针对现阶段的情况,为了进一步的提升我国煤矿安全培训体系的管理工作,对其进行研究,并为煤矿企业开发出一套完善的安全培训体系势在必行。

2 我国煤矿安全培训管理体系的问题分析

2.1 相关法律法规不健全

每一个行业都有其所特有的一套法律法规,健全的法律法规能够有效的保证整体行业的运行。对于我国煤矿行业来讲,通过高质量的安全培训后才上岗的人能够具有更高的专业素养与技术,从而有效的提升整体煤矿行业工作人员的整体运送。不过就现阶段的具体情况来看,在针对安全培训的体系规定上并没有成文的法律法规对其者约束,现阶段大多数企业所依据的都是煤矿作业的相关法律法规,这些法律法规在制定时并不是专门针对安全培训体系而建立的,同时一些内容也都是在出现了相关的事故后又新添加上去的。这样一来,整体的规定就较为零乱,在指导意义上并没有太好的效果。

2.2 培训模式陈旧

就目前我国的煤矿企业安全管理培训工作来看,与国外还有着很大的差别,在模式上不仅陈旧,而且较为固定,并没有太大的可操作性。一般情况下,相关企业在培训的过程中都会根据自身的等级与资质制定出相应的培训方案来。这种根据自身等级与资质而制定的培训方案看上去较为合理,不过就实际的推行过程来看,不利于企业更加自主的选择培训机构为员工进行培训,另外,这种已经划分好的模式也没办法让各个企业间在培训的模式上形成竞争,这种方法对于那些自身已经掌握了较高安全技能的企业来讲,实质上会造成一定的资源浪费。

2.3 整体安全培训体系不平衡

随着改革开放的不断深入,各行各业都有许多中小型企业建立并发展。就煤矿行业来看,现阶段我国的一些大型国有煤矿企业在安全培训模式上较为全面,会根据需要对员工进行相应的培训工作,整体的体系建立较健全,能够很好的满足需求。但是那些私营的中小型煤矿企业由于种种条件的限制,其对培训上并不愿意投入较多的资金,为了节约成本,还会有一些企业铤而走险,对员工不进行相应的培训工作,即便是进行培训工作也多是做表面文章,并未真正对其进行系统而全面的培训。这样一来,当工作人员在井下工作的时候就会具有潜在的隐患。

2.4 培训经费缺失

由于煤矿行业在众多行业中被视为高危工作,现阶段我国在该方面的财政经费上有着十分明确的规定,不过规定中所提及的安全培训经费则比较模糊,并没有在使用多少以及占比上有较为明确的规定。所以,一些企业在安全培训的经费使用上则会较少的使用这部分资金。在该原因的作用下,许多企业在安全培训方面常常会出现拖延时间,减少规模,更有甚者会直接取消培训工作,这一现象的存在严重的影响到了整体工作人员的素养与工作的态度。据相关统计资料显示,在安全事故中,许多问题的造成都是由于工作人员的操作不安全性而造成的,而之所以会出现不安全的操作,多数情况下都是由于工作人员并未接受系统且全面的安全培训,在安全的意识与习惯方面有所欠缺。

由于以上种种问题的存在,对我国煤矿企业的安全培训工作来讲有必要进行改革。因此,针对以上问题,为了更好的促进我国煤矿行业的发展,笔者提出了以下对策。

3 促进我国煤矿安全培训管理体系建设的对策分析

3.1 加强相关法律法规的建设

通过对众多事故的分析可以看出,在这些事故中,之所以会发生甚至扩大,最根本的一个原因是由于工作人员综合素养较差,一旦出现问题,工作人员并不具备快速解决与应对的方法,没人办法在第一时间对事故进行处理。所以,煤矿企业应当根据自身以及行业的特点,制定出相应的制度来,通过合理的安全培训为员工竖立起健全的安全意识,让他们能够真正的理解安全操作,一旦出现紧急情况,能够根据培训对事故进行处理。

3.2 实施安全培训责任制

为了更好的落实安全培训工作,应当将该事项纳入到公司的生产计划与考核中,为该方面提供充足的资金支持。设立专门的培训部门,建立相应的档案,进行宣传工作,让每一位员工都能够意识到安全培训的重要性从而主动的参加。另外,对进行安全培训的工作人员应当落实到人,加强对他们的监管以及奖励,从而有效的促进整体安全培训体系的发展。

3.3 加强建设以提升培训质量

培训工作在推行过程中也应当与国家的相关教育理念相协调,根据因材施教的思想进行。在实际的推行过程中,根据培训对象的不同,制定出不同的培训计划与方案来,灵活的选择培训的方法与方式,采取多种教学方法共举的模式,从而有效的为学生提供最佳的教学方式。根据企业民具有的特征,与国家的相关要求相结合,引入国外的先进经验,在推行的过程中不断的进行试验与改进,从而建立起一套切实可行、符合我国基本国情的安全培训模式来。

4 结语

为了更好的保证煤矿行业的安全发展,安全培训管理体系在整体流程中占据着重要的地位。建立起完善且健全的体系能够更好的帮助我们培训具有高素养与技术的专业型人才,能够更好的帮助整体行业的发展,从而有效的促进我国煤矿行业更上一层楼。

参考文献:

[1]黄平,李晋杰,杨珊.中国煤矿安全生产事故统计分析[A].国际安全科学与技术学术研讨会论文集[C].沈阳,2012.

[2]张伟,孙彦磊,杨列进.关于煤矿安全培训工作的现状和思考[J].山东煤炭科技,2011,29(05):228-229.

[3]张莉.煤矿安全培训体系设计与实践[J].经济研究导刊,2010,06(28):215-216.

篇9

【关键词】重组;咨询;服务

经过二十多年的发展,会计师事务所的主要业务——审计服务市场已经相对成熟,市场份额比较稳定,竞争日益激烈。如何发展多元化服务,成为当前我国会计师事务所扩大规模、提高竞争能力、增强服务水平亟待解决的一个问题。因此,会计师事务所应在传统审计服务的基础上,积极探索开展各种咨询服务。笔者曾参与国内某投资公司对外收购、兼并、改制重组其他企业的财务咨询业务五年多,深刻体会到注册会计师在企业重组中担负着重要的职能,具有越来越大的作用。

在企业资产重组中,注册会计师既可以扮演审计查账的角色,又可担负购并双方财务顾问咨询的职能。注册会计师充当财务顾问,可以把重点放在协助企业制定改制重组方案、购并双方的账务处理、税收筹划、重组后新公司各项内控制度的建立等咨询方面,这些咨询业务,注册会计师具有不可替代的作用。具体来说,注册会计师在企业资产重组中可以在以下九个方面发挥其重要作用。

一、为企业并购和重组提供全程咨询服务,协助相关人员做好各项工作

企业并购和重组涉及的法律、法规相当广泛,包括市场营销、财务规章、特许经营等等,而企业在进行并购和重组时往往经验不足,很难全面地了解并购和重组过程中的法律、法规,有些企业聘请律师参与解决并购和重组中的法律问题,但苦于很多律师对企业财务会计方面问题以及财务会计涉及的法律、法规不太熟悉,很难提供全面的咨询服务。因此,市场需要既熟悉法律又精通财务会计的人参与企业并购和重组的全过程,对企业相关人员进行全过程的辅导、培训,许多高水平的注册会计师可以胜任这一工作。协助企业财务会计人员对有关经济事项进行检查,对不符合规范的业务进行账务调整,协助企业和律师制订时间表。作为一名注册会计师,在市场经济日益发展的今天,仅仅精通财务会计方面的知识是远远不够的,除了本专业以外,至少还应当熟悉与本专业有关的法律、法规,并进行充分的运用。某权威调查机构曾预测,在21世纪,既懂财务又懂法律的人才将非常抢手。

二、帮助企业进行重组前的准备工作

企业重组需要进行相当长的准备工作,这一阶段,注册会计师首先可对企业的高级管理人员进行资产重组方面的培训,使其对资产重组和并购有一些认识,同时规范企业内部管理制度,这也为注册会计师在往后的重组中顺利工作打下良好的基础;其次,可协助企业拟定或独立完成重组方案,重组方案是企业重组工作的主线,之后的一切重组方面的工作都应以方案为中心,所有资产的进入或剥离均要围绕方案来进行,所以在制订方案时要多与企业沟通,充分考虑企业的重组思想,同时考虑法律上的可行性、财务税收上的可操作性;最后,协助企业收集资料,整理上报企业重组申请报告,重组申请报告的内容应包括:公司重组方案、资产和负债的划分及债权债务的处理、有关效益及利税测算数据、公司重组计划及时间安排等。

三、帮助企业完成重组的可行性分析

随着市场经济的进一步完善和发展,企业对资产重组变得越来越慎重,一旦操作不当,可能背上沉重的包袱,所以,企业在进行重组前均要进行经济上的可行性分析,该部分工作可完全由注册会计师来完成。可行性研究报告的结构和具体内容如下:1.重组前相关企业概况,包括机构设置与人员构成、资产配置及资金来源、企业主要经济指标分析、企业财务状况分析、近几年企业经营业绩及企业内部控制制度执行情况等;2.相关企业的现状和存在问题;3.相关企业发展规划和投资需求、资金投向和效益分析;4.重组成本和效益分析;5.筹资方式的比较和选择;6.重组方案及结论。注册会计师在制作经济可行性方案时,要多考虑技术上的可行性,比如:被并购企业有无生产瓶颈问题和技术改造问题,企业的分析是否具有准确性、必要性,注册会计师还应当充分利用专家的工作,听取专家的意见,这与可行性分析密切相关,否则,可行性分析是不准确的。

四、协助被收购方制定改制重组方案

由于改制工作的法律性和政策性很强,注册会计师可以发挥其熟悉国家及地方法律法规的优势,协助被收购方制定改制重组方案。实务中,注册会计师应根据被收购方的具体情况,确定方案的内容。一般来说,注册会计师可从以下方面协助企业制定改制方案:

1.了解改制企业基本情况。包括了解:(1)企业名称、企业住所、法定代表人、经营范围、注册资金、主办单位或实际投资人。(2)企业的财务状况与经营业绩,包括资产总额、负债总额、净资产、主营业务收入、利润总额及税后利润。(3)职工情况,包括现有职工人数、年龄及层次结构。

2.分析企业改制的必要性和可行性。必要性包括企业的业务发展情况及阻碍企业进一步发展的障碍和问题。可行性包括企业改制所具备的条件和改制后给企业带来的正面影响。

3.确定企业重组方案。(1)业务重组方案,注册会计师可协助企业根据生产经营的实际情况,并结合企业改制目标,采取合并、分立、转产等方式对原业务范围进行重新整合,确定业务重组方案。(2)人员重组方案,注册会计师可协助企业根据国家及地方法律法规的规定,解决企业职工的安置问题,包括职工的分流、离退休人员的管理等。(3)资产重组方案,注册会计师可协助企业根据改制企业产权界定结果及评估确认额,确定股本设置的基本原则,包括企业净资产的归属、处置,是否有增量资产投入,增量资产投资者情况等。(4)拟改制方向及法人治理结构,注册会计师可利用自己的专业知识,协助企业确定改制后所选择的企业组织形式和组织结构及其职权。

4.摸清下属企业情况。根据“企业改制,其下属企业资产列入改制范围的应一并办理改制登记”的要求,注册会计师应协助企业摸清下属单位的数量、具体名单、经济性质和登记形式,如下属单位有两层以上结构,还要详细列出层次、结构。并提醒企业对其全资设立的法人、非法人及与他人共同设立的联营企业都要一并参加改制,其改制方案中应包含这些单位。

五、注册会计师可就资产评估结果进行咨询、评价

资产评估是指对资产价值的重估,它是在财产清查的基础上,对账面价值与实际价值背离较大的资产的价值进行重新评估,以保证资产价值与实际相符,促进实现资产价值的足额补偿。企业在进行改制时,应根据国家有关法律、法规的规定,选择并委托有资格的资产评估机构进行资产评估的有关工作。这对维护各方利益、提高重组质量作用极大。但在实际工作中,一些评估人员的业务能力和素质较差,不能严格遵守相关的评估法规和标准,加之受许多因素的制约,造成评估价值高低随意性非常大。为了维护购并双方的利益,由注册会计师对资产评估价值的公允性再进行咨询评价就显得非常重要。一方面有利于维护购并双方的利益,另一方面也有利于提高净资产价值的可靠性、可信性。

六、为购并双方协商谈判充当顾问,并为确定收购价格提供咨询意见

在购并双方进入谈判阶段后,注册会计师如果未执行审计等鉴证性业务,则可以向购并双方提供咨询,为双方谈判充当专家顾问,并以被购并方经评估后的净资产价值为基础,结合对被购方各项资产质量、品牌价值、市场前景、企业发展潜力的分析,为双方提出公正、客观的收购价格方案提供咨询意见。

七、为购并双方的账务处理和重组后新公司的建账提供咨询意见

新的会计准则对企业的并购和重组有着严格的规定,并购和重组至少涉及到“债务重组”、“长期股权投资”、“非货币易”等新的企业会计准则,而企业的财务人员由于平常接触这些业务较少,账务处理难以规范。此时,注册会计师可充分发挥其财务专长,指导企业财务人员进行正确的账务处理。此外,企业改制重组后,会涉及到一系列的账务处理问题,比如企业改制时,评估基准日与被评估企业的调账日不一致时如何进行处理,评估基准日与被评估企业调账日之间的净资产变动如何处理,购并方如何编制合并会计报表等。由于改制重组业务在企业中较少发生,所以一般企业的财务人员对业务发生后如何进行账务处理并不熟悉。注册会计师可利用其掌握的国家有关资产重组的法律法规等专业知识,为购并双方的账务处理、新公司的建账、购并方编制合并会计报表等提供具体的财务咨询意见。

八、为企业重组业务提供税收方面的咨询意见

关于资产重组中的税收问题,国家制定了相关的税收政策,这些政策总的原则和精神为:股权转让应计缴企业所得税。如:合并分立时视为按公允价值转让、处置资产,计算资产转让所得,缴纳所得税的,合并企业接受资产,计税时可以按经评估确认的价值确定成本;反之,须以原企业原账面价值为基础确定。企业资产、债权、债务及劳动力整体转让被视作企业产权转让,不征收增值税和营业税。注册会计师应认真学习掌握这些政策,为购并方进行税收筹划,对减免税、资产置换、停息、减息等方面提供税务咨询意见,使企业能够用好、用足国家的税收政策,做到会计处理、税务处理合法、合规。

九、重组实现后,可为企业经营发展提供全面的管理咨询

经过重组成立新公司后,作为对企业提供的一项增值服务业务,注册会计师可为企业提供全面的管理咨询,比如可提供企业经营战略咨询,通过预测企业环境的未来变化,指明企业经营活动的方向;可提供市场营销咨询,帮助企业增强生存能力和竞争能力;可协助企业做好并购后财务与会计的管理整合,包括财务政策管理整合、企业税收政策的管理整合和会计政策管理整合;此外,注册会计师还可以协助企业制定一系列的内部管理制度,使新公司实现规范化管理,步入良性发展的轨道。

综上所述,注册会计师在资产重组中的咨询作用,可以促进企业对外收购、兼并、改制重组业务的规范健康发展。但这就要求注册会计师要不断提高专业水准,遵守职业道德,具备渊博的知识和丰富的经验,熟练掌握国家有关资本市场、资产重组的法律法规、会计准则、审计准则、税收规定以及企业管理、金融、外汇、市场营销、计算机等方面的知识,以不断拓展自己的业务领域。

【参考文献】

[1]高允斌.企业重组的会计处理与纳税处理[M].东北财经大学出版社,2004.

[2]财政部企业司.企业改制重组运作与管理[M].经济科学出版社,2004.

[3]于延琦.验资:理论与实务[M].东北财经大学出版社,2003.

篇10

打造符合中国国情的IT GRC

从合规角度来看,近年来,公安部、国资委、银监会、证监会、保监会都曾专门过针对信息安全或科技风险管理的具有行业特色的法规或指引要求,体现出企业应对IT风险管理及合规要求的紧迫性和特殊性。同时,企业内部管理规范(被称为中国版“萨班斯法案”)对企业内部管理和风险防范提出了更加明确的要求,这极大推动了企业风险管理、合规管理类工具(IT GRC)的发展。针对这一市场,包括IBM、SAP、Oracle 、CA等在内的国外GRC解决方案提供商,包括德勤、普华永道等在内的咨询公司,以及慧点、用友、金蝶、浪潮等国内ERP厂商们都开始积极布局,GRC产业在国内迅速崛起。

实际上,IT GRC的概念并不新颖,作为一个早被业界认可的通用术语,GRC代表一种思想和理念,是企业逐渐从分散管理模式向跨业务单位、跨IT平台的集中模式发展,从而全面而高效地应对治理、风险管理和合规三个方面挑战的解决方案。而事实上,国外绝大多数IT GRC软件都不适合中国的管理模式与法律规范要求,国内企业亟待一款真正符合中国国情、技术管理方面都适合中国企业特点的全新产品。

上海安言信息技术有限公司是国内最早从事信息安全管理咨询的机构,由一批具有信息安全专业技能与管理实践经验的专家构成,在国内最早开展ISO27001、ISO20000、PCI等国际信息安全标准的咨询工作,先后完成了交通银行、农业银行、国家电网等大型企业的信息安全管理体系建设。

安言信息一直关注相关领域厂商和用户单位的市场动向。长期服务企业的过程中,安言发现企业迫切地需要将管理制度、流程等要求切实落实到日常工作中去,需要IT GRC工具进行支持。其决策层认为:国内IT GRC应用市场存在巨大的潜在,国内应有理由挺进这一蓝海、向“洋品牌”叫板。基于此,安言信息于2011年设计并实现了一套用于支撑企业、特别是银行金融企业的IT治理、合规与风险管理落地的平台化软件系统ITRMS。

IT GRC需求分析

在设计ITRMS之初,上海安言信息技术有限公司从技术层面、应用层面和合规角度对国内产品进行了周密分析,提出产品一定要有自己的特色,要有创新的风格,这是该产品开发的出发点和落脚点。

通常意义上,GRC应用或解决方案大都具备以下功能:定义企业风险与控制框架;设计风险管理流程;与ERP、SCM、CRM等系统对接,实现应用控制的自动监控;提供数据自动采集和智能分析;自动化系统审计测试;提供报表信息;提供其他附加功能,如身份管理、访问控制、流程控制、数据安全等控制措施。这些功能体现了GRC作为一种集中管理模式,对企业运营过程中各类风险进行集中监测、预警和控制,并与法律合规及审计进行紧密关联以提供管理层决策的设计思想。

尽管以各类GRC软件或解决方案为代表的产业发展已经风生水起,但作为其中非常重要的一支――IT GRC,却并不显山露水。

一方面,传统GRC应用更多是从企业EPM、ERP、CRM、SCM等管理模式中抽取、延伸并集成,侧重企业运营和财务,并不特别针对IT,其无论是管理模式、操作方式、结果展示还是知识系统,都没有考虑IT的特殊性。

另一方面,企业IT又面临极大的合规压力和操作风险,特别是一些极度依赖信息系统的行业或领域,如金融、电力、通信等,层出不穷的监管要求、屡屡发生的信息科技事故、“救火队员”一样尴尬的角色扮演,都使得企业IT急需在IT GRC方面找到更有针对性也更具实效的答案。

就风险管理来说,以银行金融业为例,无论《新巴塞尔资本协议》还是银监会《商业银行信息科技风险管理指引》,都强调对以信息科技风险为主体的操作风险的管理。信息科技风险,无论是从来源、范围、形态、特点还是影响上,都与战略风险、声誉风险、国家风险、法律风险、信用风险、市场风险、流动性风险等传统风险有着很大区别。

首先,信息科技风险存在于企业各个领域和层面,只要有信息或信息系统的存在,都涉及信息科技风险。

其次,信息科技风险有着明显的时间性,从信息系统规划、设计、运行、更新到报废,信息科技风险存在于信息系统的全生命周期。

另外,信息科技风险有人为和自然因素,也有管理和技术之别,从起因上表现出多源性。

此外,信息科技风险覆盖IT战略、IT治理、IT绩效、IT规划和架构、项目管理、系统开发、运营流程、基础设施、信息安全、业务连续性、外包管理等各个领域,具有形态的多样性。

最后,信息科技风险影响广泛,除信息系统外,还会对员工个人、业务运营、法律合规以及企业声誉造成直接影响。

近年来,公安部颁布的等级保护相关系列标准、银监会的《商业银行信息科技风险管理指引》、证监会的《证券期货业信息安全保障管理办法》、保监会的《保险公司信息系统安全管理指引》,都纷纷体现出企业应对IT风险管理及合规要求方面的特殊性。

IT GRC规划设计实施

通常来讲,IT GRC会出现两类情况:其一是以IT支持GRC,即基于IT来实施企业GRC,将GRC作为一个电子化的整合平台,这还是传统GRC概念;其二是针对IT实施GRC,即针对IT或在IT领域实施治理、风险管理和合规。我们在产品设计时特别强调后一种情况。

IT GRC作为针对企业IT治理、风险管理和合规管理的一整套解决方案,在规划设计和实施操作中必须要考虑以下三方面问题。

首先,IT GRC必须考虑到自上而下的治理问题。IT治理是企业治理在信息时代的重要发展,是描述企业是否采用有效机制,使得信息系统及IT应用能够完成企业赋予它的使命,同时平衡信息化过程中的风险,确保实现企业战略目标的过程。IT治理的使命在于:保持IT与业务目标一致,推动业务发展,促使收益最大化,合理利用IT资源,并适当管理与IT相关的各类风险。

其次,在统一的IT治理框架下,IT GRC必须建立起完备的IT风险管控机制,这是IT GRC最为核心的内容,具体包括:1)明确IT风险管理范围,构建IT风险库;2)建立IT风险管理流程,包括风险识别、风险评价、风险控制、风险监测等关键活动,同时确定识别时机和监测途径,确定风险偏好和可接受水平;3)参考监管要求和国际规范(如COSO-ERM、CobiT、ISO27001、ISO31000、RISK IT等)建立风险控制框架和基线;4)对风险进行持续监测;5)制定信息与沟通策略,建立风险报告机制。

另外,IT GRC在展示和报告方面需充分考虑IT法律合规方面的要求,一方面应建立合规管理框架,包括识别合规要求,评估合规现状,建立合规映射,落实合规责任,推动合规检查,提供合规报告等活动。另一方面,还应形成风险与合规的联动机制,确保任何风险监测或事故报告都能追溯到相关管理对象和合规要求,并能提供合规证据。

除上述三个大的方面,IT GRC还应建立支撑相关工作的流程操作和运行保障机制,并尽可能与企业信息系统和应用进行关联,最终实现信息科技风险和合规的全过程与实时性管理。

先进的IT GRC管理理念要想在企业中得到实践,并有针对性地为企业服务,咨询是其中的重要一环;企业信息安全与IT治理咨询服务是GRC理念在实际企业中的个性化实践。

安言ITRMS助力企业实现IT GRC

安言ITRMS是一个集合规管理、人员管理、风险管理、制度(体系文件)管理、流程管理、意识提升、安全检查、绩效评价、报告管理、知识管理等功能的全面的、可扩展的IT GRC应用平台。其面向包括高级管理层、风控部门、合规部门、审计部门、IT部门、安全管理部门等在内的企业各个领域,以IT风险库为基础,通过持续的IT风险监测和联动机制,实现IT全生命周期的风险管理,并将人员职责、制度规范、操作流程、意识培训等日常控制工作融入其中。

借助该平台,企业围绕IT规范化管理开展的各项工作,特别是之前被广泛接受的基于ISO20000标准的IT服务管理体系、基于ISO27001标准的信息安全管理体系、基于CMMI的软件开发过程管理,以及基于BS25999标准的业务持续性管理体系,都可以进行有效整合并嵌入其中,从而改变以往各自为政分散式的管理模式,基于信息科技风险管理与合规这一核心思想,形成集中化的管理模式。

管理对象:ITRMS支持全面的IT风险库,各类IT风险就成为平台管理的对象。作为信息科技风险管理的配置基础,据此可呈现基于系统、运营业务、岗位或IT基础设施的风险视图。

驱动机制:ITRMS覆盖业务相关的信息全生命周期,从需求分析到系统开发、系统上线、运维支持,涵盖开发和运维部门,涉及企业内部管理和供应商管理,通过风险监测及预警来驱动整个风险管理过程。

控制功能:信息科技风险管理落实到位,体现在各种流程化的日常工作当中,如信息安全事件管理、日志集中管理、访问控制和权限管理、业务连续性预案演练等,所有这些可能嵌入在其他专用系统和应用中的控制流程,都可以与ITRMS进行接口,以便与风险联动。

支持保障:通过制度文件场所化、人员职责明确化、检查工作常态化、绩效评价可量化、培训推广多样化以及有效的知识管理,为信息科技风险管理提供支持保障,这也是传统信息安全及信息科技管理最事务性的日常工作。

内外呈现:信息科技风险管理需要对外合规、对内追责。一方面,通过即时呈现,提供合规报告,从容应对合规检查。另一方面,落实责任,追溯到人,可随时展示工作业绩。

具体实现上,ITRMS采用层次化的软件架构,各层之间关系松耦合,下层通过接口为上层提供服务,如下图所示。其中,基础设施层为平台提供支撑,驱动层控制业务逻辑的流转,业务层为平台提供管理所需要的基本功能,展示层提供各种对外视图。

ITRMS采用层次化的软件架构

实际上,通过ITRMS的规划设计和部署实施,企业可借此构建一个较为完整的信息科技风险和信息安全管理的工作流平台和知识管理系统,并形成企业内部一个专业化的PORTAL。