变更管理风险评估范文
时间:2024-03-01 17:53:58
导语:如何才能写好一篇变更管理风险评估,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
【关键词】制药企业;风险管理
风险管理起源于美国,是美国进行企业管理的科学方法,20世纪风险管理逐步发展成为一门学科。质量风险管理作为风险管理在发展过程中的衍生分支,其关注点是对产品或工艺质量风险的有效控制,2005年人用药物注册技术要求国际协调会(ICH)了《Q9 质量风险管理》,指南系统地阐述了质量风险管理的原则、范围、应用步骤以及潜在应用领域等,其目的是提供一套系统的风险管理方法。ICH Q9提供了风险管理原则和工具,并被我国明确纳入2011年3月1日生效的《药品生产质量管理规范(2010年修订)》中。
一、风险管理简介
1 风险管理基本原则:根据ICH Q9的要求,药品质量风险管理应当遵循以下两个基本原则:
1.1 对质量的风险评估应以科学知识为依据,并最终与保护患者相联系;
1.2 质量风险管理程序投入的水平、形式和文件应与风险水平相当。
2 质量风险管理的基本程序:质量风险管理是对药品整个生命周期的全过程进行质量风险的风险评估、控制、沟通和回顾。有效质量风险管理的4个阶段为:质量风险评价(包括质量风险的识别、分析和评估)、风险控制(包括质量风险的减低和接受)、质量风险沟通和质量风险回顾。
2.1 风险评价
风险评价是对危害的识别、对危害相关的风险的分析和评价,是质量风险管理的第一步,作为风险评估中明确定义风险的辅助,以下三个问题通常会用到:
a) 什么可能出错或发生故障?
b) 出错或发生故障的可能性(概率)有多大?
c) 因出错或发生故障而产生的后果的严重性?
风险评价有以下三个步骤:
d) 质量风险识别:解决“什么可能出错,其可能的后果是什么?”。
e) 质量风险分析:对危害发生的可能性和严重性的定型和定量的过程。
f) 风险评估:将已识别和分析的风险与给定的风险标准进行比较。
2.1 风险控制
风险控制包括对风险降低和/或接受的决策。一般会关注以下几个问题:
a) 质量风险是否超出了预定的可接受水平?
b) 如何降低或消除质量风险?
c) 利益、质量风险和资源之间的平衡点是什么?
d) 对已知风险的控制是否会引入新的质量风险?
质量风险控制主要包括质量风险降低和质量风险接受两部分:
a) 质量风险降低:当质量风险超过预定的可接受水平时,质量风险降低的重点则是降低或避免风险的过程。质量风险降低包括为降低损害的严重性和发生可能性所采取的措施。
b) 质量风险接受:是指做出接受质量风险的决定。
2.1 风险沟通
质量风险沟通是指风险决策人和其他人员分享交流的过程。风险管理过程任何阶段可进行沟通,沟通的信息可设计质量风险的存在、属性、形式、可能性、严重性、可接受性、控制、处理、可探测性或风险的其他方面。
2.2 风险回顾
风险管理是质量管理的持续性过程,应当定期进行回顾,以确认相关风险评价和控制步骤是否有效,总结新的只是和经验。风险回顾应以风险等级为基础。
二、质量风险管理的方法学及其应用
ICH Q9中不完全列举了一些风险管理工具:基本风险管理建议办法(流程图、检查表等)、故障模式的效应分析(FMEA)、故障树分析法等。
危害分析和关键控制点为:危害的可操作性分析、预先危害分析、风险排序和过滤、支持性统计工具。
药品生产的各领域根据特点采用这些风险评估工具,且不同工具的结合使用可以更加灵活的增强风险分析和管控的有效性,而无论使用何种方法,都依赖于分析人对所分析主题和对象的详尽了解和有效沟通,各工具以科学理论分析、经验数据积累等为基础引导思路的有效进行,从而形成完善的风险管理系统。
案例实证分析
以注射用无菌产品在洁净环境下生产过程为例,运用鱼骨图和故障模式的效应分析方法进行风险评估。
3.1 风险评估
a) 以无菌药品生产过程为主线,作出如下分解:
人:人员技能、人员健康
机:设计、确认、使用、维护
料:供应、放行、使用
法:工艺流程、执行切合度
环:环境控制、环境监测
以上5个提示因素为提纲(也是鱼骨图),逐级进行分解:例如人员技能还可细化为培训、人员执行力;人员健康还可细化为体检、病情上报制度等,每一项目可按照讨论主题复杂性依次拓展,从而完善风险分析的要素。
b) 根据鱼骨图,进行风险详细识别、分析和评价
风险系数定义
严重性(S):分数1、3、6、10,分别代表低、中、高和极高
可能性(P):分数1、2、4、8,分别代表低、中、高和极高
检测度 (D):分数1、2、4、6,分别代表高、中、低和极低
ORF: 总风险= S* P* D
总风险评估系数:
ORF
6≤ORF
ORF≥80,风险水平高,风险不可接受,或需要整改
3.2 风险控制
根据风险评价结果,对于风险不可接受或有待改善的项目,采取措施减少风险可能性,增加可检测性,从而降低风险,使其处于可接受水平。采取的措施可能引起变更控制程序,同时重新评估变更引起的风险,避免变更引发其他不可接受的风险。
对于风险严重性极高,例如可能引起病人死亡、厂房爆炸等极其严重后果的,应采取一切手段,避免发生。
3.3 风险沟通
风险评估应根据评估对象组建风险评估团队,团队内以及团队和风险相关人应进行风险沟通;
风险识别和评价以充分有效的风险沟通为基础,风险识别的项目和风险评分是风险评估的重要因素;
风险评估可借鉴风险评估团队的理论和经验,基于日常分析、偏差、变更、自查等总结;
风险沟通贯穿于整个风险评估过程,及时真实的了解实际运行状况。
篇2
【关键词】工程项目;合同管理;风险评估;防范措施
工程项目建设是个工期长、技术含量高及投资数量大的复杂工程,尤其是随着我国经济不断发展,工程项目建设规模不断增大,工程项目建设过程存在诸多不确定的模糊风险因素,合同管理作为工程项目建设进度、质量与投资控制的基本依据,合同管理受社会自然环境、规模与投资数量等因素影响较大,存在不确定风险,加强合同管理风险的防范,可有效保障工程项目经济效益。
一、合同风险形式
1.客观合同风险
客观合同风险一般是法律法规、国际惯例与合同条件所规定的,这种风险责任一般是合同双方所回避,而人的主观努力通常无法控制的,诸如合同所规定承包商应该承担的变更风险、时效风险与市场价格风险等。工程变更在15%合同金额内,而承包商无法得到任何补偿,此时即为工程的变更风险;当索赔事件出现后,在28d内承包商应该提出索赔的意向通知,否则索赔就会失效,这种风险发生便是时效风险;市场价格风险则是指合同价格规定不允许调整差价,在市场价格上涨后,承包商就要承担全部的风险。
2.主观合同风险
此种合同风险是由人为因素所引起,不过也可通过人为因素控制。在国内的许多施工合同里,业主运用自身有利条件,将苛刻条件隐含于工程合同条款之中,而有些承包商为承揽工程,制定工程项目合同时,对有利自身权利的理据不敢抗争,或者合同判断仅重视工期与价格,对于其他条款注意不够,在合同签订上存在较大随意性与盲目性,此时便会受制于业主,很容易被业主占据主导地位,合同平等性就很难体现,进而增加合同风险性。还有些承包商很容易轻信业主的许诺,草率签订没有法律效力的合同,当业主因资金不足出现工程拖款情况时,承包商自身经济利益就会受到影响。
二、合同管理风险评估方法
风险评估是指在风险识别后,采取合理科学方法对工程项目风险进行辨别量化,然后按照权重大小进行排序,综合考虑工程项目风险事件可能发生的概率与损失大小。项目风险权重不同,重视程度就应该不同,风险评估是合同管理风险中的重要组成,是合同管理风险控制必不可少的工作。在工程项目中,风险是必然存在的,加强合同风险评估,可有效控制不利风险因素,避免为工程项目建设带来影响,风险评估常用方法有下列几种。
1.模糊评估法
模糊评估法是指运用模糊集的理论对工程项目的风险给予评价,运用三角模拟或者蒙特卡洛等模拟方法对工程项目风险进行度量,通过改变参数,可对工程项目风险进行多次模拟,并运用模拟仿真的统计结果度量项目风险结果。
2.综合评估法
综合评估法是邀请评估专家,评估工程项目合同管理中可能出现的风险事件与风险水平,并依据整体风险水平进行排序,以次来度量合同管理中的风险。
3.外推法
此类评估方法是最常见的,可分成旁推、前推与后推等类型,旁推是运用类似的项目数据对工程项目合同风险给予分析评估,前推是依据历史经验数据对未来事件可能出现的后果与概率进行判断,而后推是没有历史数据状况下,将项目合同未来存在风险事件归结为有数据可查的初始风险事件上,从而对项目合同管理风险进行分析评估的一种方法。
在风险评估方法中,除了以上三种评估法外,还有故障树法、层次分析法等,在风险评估中,亦应考虑因资料不全及环境复杂等因素而使风险评估存在一定偏差的可能性。
三、合同管理风险防范措施
1.提高合同风险意识,加强合同管理
工程项目合同是工程管理的主要法律文件,对项目风险的管理具有保障作用。承包商应有很强的风险意识,尤其是合同风险意识,依据企业原有项目所遇风险问题,对其整理归类,并对其风险出现与影响范围给予分析评价。在新项目合同签订与条约履行中,对每个细节与条款的风险因素进行分析,让所有参与者都要参与,在思想上加强参与者的合同风险意识,在项目建设中,构建施工与企业经营不同层面风险的管理体系,完善合同风险的全过程分析与防范,并采取一定处理机制解除风险,确保工程项目顺利开展。
2.完善工程项目的合同管理制度
在工程项目建设过程中,合同管理的环节较多,主要包含合同洽谈草拟、评估签订、交底学习、履行跟踪与变更终止等,工程企业应不断规范本企业合同管理,将本企业经济利益在合同中尽量最大化体现,避免不必要的合同纠纷,并保障企业社会经济效益的获得,这就需要加强合同管理制度的可行性。
合同管理制度主要有责任分解、合同交底、审查批准与每日工作报送等,其中,责任分解制度是指合同管理者把各合同责任落实到每个工作小组,并明确其工作范围与责任,经过合同任务分解落实到相关责任人员,然后积极配合协调工程合同的履行;当合同签订后,相关管理人员应对各项目管理者与工作负责人实施合同交底,解释并说明合同主要内容,以形成工程项目的合同交底制度;为避免索赔费用不能及时纳入月付款要求的状况,并便于管理者审核进度款,可建立进度款的审查批准制度;每日工作报送制度所指的是每个职能部门把本部门工作状况与未来一周计划送到工程合同管理部门,让合同管理者及时了解项目信息,以便作出准确决策。
3.实施全过程的全面合同管理
工程项目的合同管理应该将合同作为主线来实施规范标准的制度化管理,制定与合同有关的工作规定,尤其是合同管理程序、组织、谈判、起草、签订与检查等工作环节,均要作出明确的规定。工程项目合同整体的实施过程中,每项工作均要严格按规定管理和执行,合同资料要记录收集齐全,尤其是索赔资料的收集。工程项目建设中,难免出现一些不确定风险,一旦发包商不能依照合同来履行责任,承包商就会因合同价款影响延误工期,这时承包商就应依法进行索赔,而索赔成功性主要取决于索赔强有力的证据与解释,加强合同资料收集,可避免一些不必要的合同纠纷,确保企业应得利益。
4.提高合同管理人才培养
工程合同管理者应是高素质的综合人才,不仅要有良好的工程技术素质,熟知相关法律法规与合同业务,还要胜任合同的拟稿、谈判、修改与解释,对工程的合同管理、索赔管理、工程造价与财会账务等也要非常熟悉。同时,合同管理者还要配备精通合同管理与熟悉业务知识的专业人士,以应对有些业主为避免承包商索赔,进而聘请专业工程技术顾问与法律专家来起草项目合同的情况,此类合同条款编制质量较高,隐含许多对承包商不利成份,承包商对业主的这些不利条款要避免盲目接受,应善于转移与限制合同风险,使风险在双方间合理分配。
总结:
随着我国经济不断发展,工程项目规模、工期与投资数量均不断增加,合同管理在工程项目的作用也越来越重要,合同管理风险一旦发生,将会给企业带来巨大损失,采取一定风险防范策略降低合同管理中的风险,可有效保障工程企业的经济利益不受损害,并获得最大经济与社会效益。
参考文献:
[1]钱峰.工程项目风险管理的分析与防范[J].内蒙古科技与经济,2008(12)
[2]闫爱勤.工程合同管理的风险防范与探析[J].中国商界(上半月),2009(08)
篇3
1 概述
随着科技发展,现代医疗器械越来越数字化、智能化,对于质量提出了更高要求。但风险是客观存在的,并且是不可能被消除的。对于医疗企业来说,实际生产中,避免产生质量问题的最有效措施便是预防。因此,风险规划管理和预测监控在医疗器械生产企业中对产品质量的保障起到极其重要的作用。科学地建立医疗器械质量控制管理体系,降低医疗器械开发和生产风险,避免和减少诊断差错和医疗事故的发生具有重要的意义。
而体外诊断医疗器械作为医疗器械的分支,不同国家和地区在医疗器械方面更有不同的法律制度,对于产品质量提出多种多样的要求。医疗器械的整个产品生命周期可以说是充满了风险。国际标准中,质量管理体系必须符合《医疗器械质量管理体系要求》(ISO 13485:2003),其中关于风险管理的要求是:组织应在产品实现全过程中,建立风险管理的形成文件的要求,应保持风险管理引起的记录。在产品的整个生命周期都有风险管理文件支持:在研发阶段有成品的可行性分析报告,每一个组成部件也有各自的风险分析报告。而量产之后的任何变更也都必须有风险规划和监控,避免更改造成失败的后果。医疗企业的风险管理一般遵循《医疗器械风险管理对医疗器械的应用标准》(ISO/IEC 14971:2012)来控制风险。ISO 14971要求企业在已经将一种医疗器械的所有单个风险降低到合理可接受程度后,必须建立全部风险等级。这种全部风险等级必须反映单个风险的累积效应。风险管理认为在产品开发周期中做出的风险估计必须是有可靠依据的猜测。根据工作经验不断更新初步风险分析,并且根据这些更新资料采取适当措施,控制或降低风险是十分必要的。
2 案例介绍
医疗器械中,结构件是器械的支撑部分,关系着产品功能是否能精确实现,是生产中重要的一环。一般医疗器械生产企业选择外协生产,因此在变更时,不仅涉及到技术层面,更关系到物流及供应商等各方面。本案例中,为降低供应风险和成本,需要再开发备用供应商,下面以此项目为例说明风险管理过程中失效模式和影响分析的应用。
失效模式及影响分析(Failure Modes and Effects Analysis,FMEA)是一种根据经验和原有认识来进行可靠性分析的方法。它研究产品每个零件可能存在的失效模式并确定各个失效模式对产品其他组成部分和功能的影响,用以在实际设计、生产时预防风险,通过不断评估、验证及改进再验证,使产品不断改善,最终得到可靠的产品满足客户的要求。结构件更换风险管理的任务正是通过积极主动而系统地对项目风险进行全过程的识别、评估及监控,以达到将正面的计划最大化,将负面的影响最小化的目的,确保针对所有的风险都有确定的行动。
3 风险识别
第一,根据WBS识别每一项任务在人员、技术、管理、合同、物资、供应商、保障等方面是否存在进度、质量、成本等风险。
第二,参考以前类似新开发结构件的风险分析报告。但是由于产品不同,对于结构件的要求不同,有时并不能完全照搬,需要仔细分析、区别对待。
第三,头脑风暴法。可以召集项目相关人员不受拘束地提出任何可能风险。
通过以上分析,得出结构件更换的风险有如下五类:(1)技术风险(尺寸变化、性能变化、设计缺陷、工艺缺陷等);(2)进度管理风险(项目拖延等);(3)外部风险(供应商的技术能力和生产能力、法律法规的变更);(4)物流风险(库存和新产品的过渡方法、新产品的供货是否及时等);(5)成本管理风险(超支)。
4 风险分析
4.1 定性分析
先将风险清单中的风险根据其后果分为非常严重、严重、一般等程度,一般后果分为对客户的影响和对生产组装的影响。在评估过程中优先考虑对于用户的影响,如果对于两者的影响同时存在,以严重度高的等级为准。供应商制造能力和法规风险为非常严重风险;关键尺寸和物流风险为严重风险;其余为一般风险。
4.2 定量分析
有三个因素决定风险重要值:严重度、发生频率、检测度。
风险评估系数=严重度×发生频率×检测度
对定性分析的结果进行详细分类,再使用主观评分法,参考评分标准,对每一项风险的严重度、可检测度、发生频率进行打分。对于这些新引入的风险项均提出了相应的整改措施,将在开发中进行验证及整改。定量分析结果如下:
通过以上方法,得出了风险分析报告。风险分析评估表显示,由于供应商变更,总共有7项风险。有1项的风险评估系数≤50,这是广泛可接受的。有4项的风险评估系数为≥51以及≤100,这些风险项是合理可行的,将会采取相应的建议性措施。有2项的风险评估系数高于100。因此,明确了需要采取的应对措施,尺寸对性能的影响需要在验证中进行验证,确保尺寸符合接收标准,并且由质量部进行控制跟踪。而材料变更造成的重新注册也必须尽快解决,才能符合法规要求。在模具正式量产后再填写跟踪报告,确认RPN值均低于50,并整理风险分析报告,以备以后的项目进行借鉴。
所采取的措施有:(1)和供应商充分沟通,保证供应商熟悉公司质量标准。图纸需通过公司审核;(2)根据近期订单量通知供应商提前备库存;(3)原料检测部门检测零件外观和尺寸;(4)供应商提供尺寸报告,匹配性测试和功能测试需通过验证;(5)供应商提供尺寸报告,匹配性测试和功能测试需通过验证;(6)由项目负责人和财务监控;(7)新零件和原封样确认一致方可生产,否则需要供应商调整后重新送样通过,并保存在质量部。
篇4
关键词:内控手册;内控管理;企业
中图分类号:F270 文献标志码:A 文章编号:1673-291X(2014)25-0023-02
引言
内部控制是指一个组织为实现战略和经营目标,确保资产的安全完整,确保财务信息的正确可靠,保证具体经营方针能得以贯彻执行,保证经营活动具备经济性、效率性和效果性,在组织内实施的一系列方法、手续与措施的总称。
内控手册是指在组织内部管理文件的基础上,结合内控审阅结果,以文字的形式对主要流程和子流程所涉及的关键业务风险、控制目标和关键控制活动进行表述,并用流程图、文字描述的形式列示各项关键控制活动。
一、理论基础和研究文献
现代意义上的内控概念,出现在20世纪。至今,已历经了四个阶段。第一阶段,是内部牵制阶段(20世纪40年代);第二阶段,是内部会计控制阶段(20世纪40年代至70年代);第三阶段,是财务管理控制阶段(20世纪40年代至70年代);第四阶段,内部控制阶段(20世纪80年代起)。
1992年,COSO委员会提出了《内部控制―整体框架》,该文件强调了内部控制是一个由董事长、经营层和员工共同实现的系统;认为内部控制具有五大要素,即控制环境、风险评估、控制活动、信息与沟通、内部监督。该框架于1994年得以进一步修订。1999年特恩布尔报告在COSO的基础上,分析了一个健全的内部控制系统所应具备的特征和构成要素,并于此基础上设计了评价内部控制有效性的一系列标准。2004年COCO对《内部控制―整体框架》再度做了扩充,将有关风险管理的概念加入了其中,指出企业可以从内控管理升级为风险管理对原来的内控五要素也实施了扩展,风险评估被进一步细化为:目标设定、风险识别、风险评估以及风险应对。内部控制由此被包纳进风险管理的范畴中。
中国的内部控制理论研究,可追溯到1996年中注协独立审计准则《内部控制与审计风险》。2001年证监会《证券公司内部控制指引》,同年财政部《内部控制会计控制》。2008年,财政部、证监会审计署、银监会、保监会联合颁布《企业内部控制基本规范》,为了加强和规范企业内部控制,提高企业经营管理水平和风险防范能力,促进企业可持续发展,维护社会主义市场经济秩序和社会公众利益。《企业内部控制基本规范》第三章“风险评估”具体要求“企业应当根据设定的控制目标,全面系统持续地收集相关信息,结合实际情况,及时进行风险评估。”2010年4月15日,财政部证监会、审计署、银监会、保监会联合发文《企业内部控制配套指引》(包括《企业内部控制应用指引》、《企业内部控制评价指引》、《企业内部控制审计指引》)。《企业内部控制配套指引》是《企业内部控制基本规范》的进一步细化,要求自2011年1月1日起在境内外同时上市的公司施行,自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行;在此基础上,择机在中小板和创业板上市公司施行。并鼓励非上市大中型企业提前执行。
二、内控手册的基本架构和内容
内控手册是公司内部控制体系的固化产物。它参照内部控制整体框架COSO模型,考虑贯穿于企业经营管理活动中的控制环境、风险评估、控制活动、信息与沟通、监督等内部控制框架等五要素。公司流程的控制程序,都应该反映并集中在内控手册中。内控手册的特点是,能对涉及到的公司主要业务的内部控制流程进行梳理,完善和加强公司的内部控制管理。内控手册一般应由流程图和流程描述组成。
(一)基本架构
1.流程图。流程图由流程名称、职能带及具体活动/决策图形等组成。(1)流程名称:是对流程图所反映活动的概括性介绍。(2)职能带:是对具体业务活动及控制活动责任人的界定,一般细化至岗位/机构。(3)活动/决策图形:是具体业务活动及控制活动的标识,由连接线衔接,依次编号显示顺序关系。
2.流程描述。流程描述是对流程图的文字性解释,由概括性介绍、具体活动描述和负责人组成。(1)概括性介绍:是对该业务流程的背景信息的描述,包括但不限于:流程涉及的职能架构、相关制度规定及以非活动形式体现的控制设置(如:不相容岗位职责分离、系统权限等)。(2)具体活动描述:对业务活动/控制活动的具体描述,描述原则应包含:时间、人员、方法、对象、原因/目的等。通过数字顺序编号,与流程图相应。(3)负责人:指每个业务活动/控制活动的负责人员,与流程图中的职能带相应。
一般用粗体文字突出关键控制活动。红色文字则用来表示当前公司相关业务流程尚未按照该流程描述进行,但管理层已确认将来会按照该流程描述相关内容改进现有内控措施。
(二)主要内容
内控手册应包含哪些内容?一般认为,应将企业的所有重要流程纳入内控手册,但并非所有制度都应纳入内控手册。实践中应考虑重要性和精简的原则。
从现有的实践来看,若以制造业企业为例,一个合格的内控手册,其必须纳入一系列的业务流程和子流程,包括但不少于以下内容:公司层面控制;房地产投资或生产成本管理;股权投资和项目管理;财务管理;资产管理;日常采购管理;市场营销管理;客户服务管理;合同管理;人力资源管理等。
所谓公司层面控制,是指从董事会、监事会、经营层的公司架构高度,明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序,确保决策、执行和监督相互分离,形成制衡的一套流程。与具体流程控制相比,公司层面控制显然具有宏观性与统领性。在构建公司层面控制时,也要从控制环境、信息与沟通、内部监督等三要素出发。公司层面控制要实现的内控目标,包括但不限于以下:(1)确保公司价值观、道德和行为准则得以贯彻执行。(2)确保对员工的能力要求符合公司经营目标。(3)明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序,确保决策、执行和监督相互分离,形成制衡。(4)确保董事会对管理层及公司的运行情况进行有效监督。(5)确保公司管理理念符合公司战略发展目标,并在公司范围内被广泛交流与推广。(6)确保公司业务流程服务于管理质量,实现公司效益最大化。(7)加强公司制度建设,实现企业诚信目标。(8)确保公司组织结构符合公司规模及业务活动。(9)确保公司对员工的管理、各部门岗位的职责等人力资源政策符合公司经营目标。(10)确保公司风险,特别是关键流程的关键风险点得到有效识别、评估和应对。(11)确保公司的举报机制有效运行,对举报的处理,反舞弊调查、执行和监督符合公司要求。(12)确保公司信息系统符合经营活动的特点和公司发展的需要,保证信息系统安全、稳定地运行。(13)确保公司信息在各管理层次及业务环节进行传递,同时保持与公司外部的沟通畅通。(14)确保信息披露符合证券交易委员会和证券交易所的要求以及其他监管要求;向所有市场参与者和监管部门提供及时、有序、一致、准确、完整、可靠和可信的信息。(15)确保公司内部审计制度符合独立性要求,并有效履行监控职责。
除公司层面控制,其他管理流程都可被视为具体业务流程控制。具体业务流程控制是从“控制活动”的要素出发,详细、具体构建制度措施,来实现控制目的。以人力资源管理流程为例,其建立的目标是建立并完善人力资源制度和流程,确保招聘、培训、绩效考核、薪酬福利的工作得到及时高效地开展,为公司管控和风险治理提供合理保障。其涵盖的子流程主要包括劳动关系管理、日常管理等。具体又可细分为员工招聘、员工调动、员工离职、培训管理、绩效考核管理、薪酬福利管理等。
三、内控手册的适用性及维护和变更要求
内控手册应该适用于公司各经营管理部门,以及各经营管理部门的具体控制流程。公司各部门对内部控制体系文件的实施负有完全的责任,由其负责依照内部控制体系文件的控制标准实施内部控制活动,并对内部控制活动设计和执行的结果和效率负责。
内控手册的修订执行应定期复核更新制度,复核频率为每年至少一次,以保证可适用性。然而在导致内部控制发生变更的情形出现时,有关负责部门应对变更作出及时的更新。变更情形包括:(1)公司新增业务/部门职能;(2)公司现有部门的业务流程/部门职能发生变化;(3)公司授权体系出现的重大变更;(4)其他重大变更(经公司领导授权审批)。
在公司内部,具体负责维护和更新内控手册的部门,若没有独立的内控部门,则可将内控手册更新和维护职责,委派给内部审计部门。
结论
内部控制应该固化在内控手册中。内控手册参照内部控制整体框架COSO模型,考虑贯穿于企业经营管理活动中的控制环境、风险评估、控制活动、信息与沟通、监督等内部控制框架五要素。COSO为企业内部控制管理提供整体性的框架体系,从各个层次对风险和内部控制进行分析和评估。公司的内部控制手册以此架构为基础,对涉及到公司主要业务的内部控制流程进行梳理,以完善和加强公司的内部控制管理。内部控制手册在公司内部管理文件的基础上,结合内控审阅结果,以文字的形式对主要流程和子流程所涉及的关键业务风险、控制目标和关键控制活动进行表述,并用流程图、文字描述的形式列示各项关键控制活动。是内部控制体系的具体体现和载体,也是实现内部控制措施的工具。
参考文献:
[1] H.法约尔.工业管理与一般管理[M].北京:团结出版社,1999.
[2] Anderson,S,W & Young,S,The impact of contextual andprocess factors on the evaluation of activity2based costingsystems[J].
篇5
关键词:计算机化系统 分步验证 风险评估 结构化方法
自动化控制的生产线、实验室分析设备或以信息技术为基础的企业管理平台(如ERP或MES)的引入,用于制药产品的生产、存储和医疗设备的控制,所有这些在医药方面都是GMP相关的,因此必须进行验证。这意味着在药品生产质量管理规范(GMP)和相应的附件中陈述的验证原则必须被严格遵守并实施。虽然这将是很多企业,特别是中小规模企业的一个巨大挑战,但它还是可以通过分步验证的方法被逐步解决。
1.计算机化系统验证的方法
如果用计算机系统代替一个同样GMP相关的手动操作,无论是产品质量还是安全都不会降低。大量的信息也不会由于降低人员参与而丢失。 21CFR Part 11中有个非常明确的要求就是对于电子记录和电子签名的处理,其前瞻性已经超越了其他国家,近年来,已日益成为人们关注的焦点。然而, 在其GMP指南内,对于计算机系统的验证,只提供了验证活动的要求,只是一个框架性的东西,而没有详细阐述如何去实施。对于这些要求,制药企业根本不知道采取哪种方法。
然而,关于计算机化系统验证的方法,反而可以在相关行业协会推荐的指南中找到。例如:GAMP5(优良自动化生产规范),国际制药工程协会(ISPE)的“工艺控制系统验证”,以及国际药品认证合作组织(PIC / S)的“GxP环境中的计算机化系统的质量管理规范”。对于计算机化系统的法规要求,这些验证指南为计算机化系统验证的合规化在第一时间提供了技术的支持。
2.在计算机化系统验证中引入风险评估
为了更好的执行计算机化系统验证,一个最重要的方法就是风险评估,这也是权威机构所要求的。通过所涉及的工艺及其产生的功能,风险评估有识别这些工艺的目的,并在个别的功能模块里,可以生成、显示、删除或修改GMP相关的数据。在大型的计算机化系统如ERP,GMP风险评估被分成两方面。一方面,识别需要验证的系统是否是所谓的遗留系统。另一方面,识别由公司或第三方编写的GMP相关的工艺流程。除借鉴计算机化系统验证的各类指南以外,工艺顺序方案提供了风险分类的基础,借此,单个的工艺流程可以被描述为功能相关的业务活动的一个工序。最终形成的工艺流程概述描述了如何将工艺单元嵌入期望功能。在这个风险分级的框架内,所有与ERP系统有交接面的第三方系统也必须被识别并分类。
3.基于风险评估的结构化方法
本文主要阐述了对于复杂的、整体的ERP系统如SAP、制造执行系统(MES)或文档管理系统的验证基于风险评估,采取分步的结构化方法将计算机化系统验证分为三个阶段进行,如图1。
第一阶段----起始准备
由于计算机化系统的复杂性,建议制订一个单独的验证总计划(VMP)专门用于计算机化系统的验证。在这个验证总计划中将包括验证的策略、程序、范围、职责等内容。与此同时,用户需求规格说明书(URS)将识别并记录GMP关键工艺参数和其它质量相关的所有要求。因此,URS应当描述所有计算机化系统的要求,不管是在系统的获得上还是在与供应商的一致性及组织配合上,包含的内容越详细越好。其中,以下几点需考虑:VMP关联性 ,相关工艺规则,尽可能考虑实际情况,工艺顺序的描述,新系统的引入及其变更的执行,硬件规格说明书(计算机,服务器,冗余系统等),安全概念(防火墙,病毒扫描等),业务流程的连续性(失效,死机等),退出方案(版本更新或系统出现故障时改进),GMP相关数据的存储概念,编程规则/指南的要求,源代码审核的要求,第三方系统的考虑,供应商评估及审核,供应商列表,维修服务协议,人员培训。
除了验证总计划和用户需求规格说明书,标准操作规程(SOP)也会在第一阶段被考虑。所有必要的操作与维护指令应列在其中。
图1 结构化验证策略
第二阶段----风险分析
所有被划分为GMP相关的工艺模块和工艺流程都要进行详细的风险分析及评估其潜在风险。然而, 这个步骤发生的前提条件是已经把用户需求规格说明书(URS)里面GMP相关的要求转化到供应商的规格说明书里面。因为只有这样,那些模块里的分项功能和程序执行单元的数量才能被精准的确认。风险分析可以基于失效模式影响分析 (FMEA) 的方法进行。
风险分析确认了风险的类别,它为规格说明书的编写提供了基础,这些规格说明书包括测试范围,测试深度和验证文档的水平。至关重要的是,对于每个单独的程序单元,其有效的验证测试记录必须形成文件证明。
此外,在风险分析中,程序单元与第三方系统之间的接口,由于他们的GMP相关性而被评估并检查。如果有必要, 在运行确认(OQ)期间,各个接口的有效性必须通过相应的操作测试而被确立和记录。
第三阶段----验证实施
用户特定的编程、工厂验收测试(FAT)和现场验收测试(SAT),以及安装确认(IQ)、运行确认(OQ)和性能确认(PQ) 等验证活动在产品开发、验证和生产体系中分别进行。其中包括编码审核、模块测试、软硬件的集成测试、验收、放行、投入使用等。当然,在运行阶段还包括变更管理、维护管理和可追溯性管理的支持流程。
4.结语
基于风险评估的结构化方法为计算机化系统验证提供了一个解决的方法,其逐步的分阶段的验证策略使计算机化系统验证变的不再难以逾越。
参考文献:
[1] 国家食品药品监督管理局.药品生产质量管理规范(2010年修订).2010.
篇6
[关键词]重大错报风险,识别;评估,模糊综合评价
近年来,企业外部环境的急剧变化直接影响到企业管理层的制度设计和业务开拓,致使会计师事务所客户的业务活动越发复杂、管理层的舞弊越发隐蔽,审计风险明显增加。国际审计委员会和我国已分别于2003年和2006年重新进行了审计准则的修订,显著加强了对审计风险的管理。
风险管理是对风险的事前预测和控制,是一种减小风险损失的管理工作,包括风险识别、风险评估、风险控制和风险转移等4个环节。其中:风险识别是确定可能发生的风险类型或风险所在领域;风险评估是对识别出的各种类型风险进行定量描述;风险控制是采取降低风险发生概率和风险损失的行为;而风险转移则是通过一些正当的手段将风险转移给保险公司,也可通过合作的方式将部分风险转移给合作伙伴。在风险管理中以风险识别最为重要,是风险管理的第一步,也是风险管理的基础,直接影响着风险评估、风险控制、风险转移的准确性和有效性。
审计风险是被审计客户财务报表存在重大错报而注册会计师发表不恰当审计意见的可能性。相对于其他类别、行业的风险来说,审计风险的存在不仅给直接从事审计业务的会计师事务所带来损失,而且还会给依赖于注册会计师审计意见的投资者带来损失。审计风险如果存在转移,要么转移给被审计客户,要么转移给拟信赖审计报告的投资者,但不管如何转移,最大的受害者最终还是投资者,这是违背注册会计师职业要求和资本市场发展需要的。所以,审计风险的管理工作应只包含风险识别、风险评估和风险应对,不再包含风险转移。
我国2006年审计准则的修订对传统的审计风险模型也进行了整合,将审计风险模型转变为:审计风险=重大错报风险×检查风险,其中重大错报风险是指财务报表在审计前存在重大错报的可能性。审计人员在具体应用和实施该模型时,首先是确定审计业务所达到的可信赖程度;其次是审计人员据此深入地了解被审计单位及其环境,始终对公司管理层的诚信、有无舞弊造假动机等保持一种合理的职业警觉,捕捉潜在的风险,谨慎进行重大错报风险的识别、评估;最后在重大错报风险评估的基础上采取相应的风险应对的措施,以控制检查风险至可接受的水平。由此可见,新风险模型的应用更加注重的是对重大错报风险的识别和评估,且自始至终贯穿于整个审计业务过程中,直接影响注册会计师所发表审计意见的准确性。而本文所探讨的就是在重大错报风险识别基础上关于审计识别、评估的衔接、评估方法的选择和应用的问题。
一、重大错报风险识别和评估的侧重点
重大错报风险的识别是注册会计师审计业务小组用感知、判断或归类的方式对大量和审计业务有关的信息资料进行系统了解和分析,认清被审计客户业务活动中潜在的各种风险和可能发生的各种损失,进而判断和鉴别审计业务所面临的重大错报风险及其性质,并把握其发展趋势的行为,即从错综复杂的环境中找出目标体所面临的主要风险。重大错报风险的识别一方面可以通过审计师对被审计客户的感性认识和根据多年积累的审计经验结合被审计客户自身内外部环境的变化等因素来判断;另一方面也可通过对各种客观的资料和风险事故的记录,在定性分析的基础上结合一定的定量分析技术来分析、归纳和整理。
重大错报风险的评估在重大错报风险识别的基础上,分析和评价损失对审计业务既定目标的影响程度,通过对由风险识别获得的资料和数据的处理,得到风险后果发生的概率、严重程度和大小,为选择应对措施进行正确的风险管理决策提供依据。
重大错报风险识别的重点是识别出风险存在的主要领域或公认的具体风险,而评估是进一步确定出关键领域的重大错报风险具体水平,为后期的应对策略提供具体的和较为准确的决策依据来尽量控制审计损失的发生。所以,风险评估也称为风险量化,它主要解决的是识别出关键领域的重大错报风险水平是多少的问题。
二、模糊综合评估方法的选择
审计风险评估的具体方法很多,常用的有风险因素分析法、模糊综合评价法、内部控制评价法、审计风险模型法、定性风险估计法、风险率评估法等。评估方法选择不仅要考虑方法的特点,而且要注意评估目标和评估对象的类型与评估方法的对应问题。从审计角度来看,重大错报风险评估是一个动态的过程,需要建立在对被审计单位的分析和评价的基础上,评价涉及较多因素,包含主观和客观因素,其评价过程表现出较大的模糊性;同时,在重要性水平的确定和审计风险的关系等审计风险评估方面也存在一定的模糊性。因此,本文在识别出被审计客户重大错报风险发生的领域之后,采用模糊综合评判法对识别出的重大错报风险进行评估。
模糊综合评价法是指针对评价对象的多样性、模糊性,采用模糊数学的理论与技术,对受影响评价对象的多种因素进行模糊综合评价,从而得到评价结果的方法。该方法既综合考虑了所有因素,同时又通过权重把各因素的重要程度区分开来,在判定因素影响程度方面更加客观、详细,避免了定性方法的主观随意性和弹性较大的弊端,更有利于风险判断的准确性,并可使用计算机进行计算,克服了其计算烦琐的缺点。
三、模糊综合评判决策的一般步骤
1.确立评价因素集
代表第i个影响因素,n代表因素的个数。如果因素较为复杂,可建立多级因素集。
2.确立权重集
权重是被评价对象的不同重要程度的定量分配,每个指标在整体评价中的相对重要程度即为权重。评价指标的权重应为U上的模糊子集,用A表示,即:A={a1,a2,…,
3.建立评判集
评判集是对各种评价指标做出的评语等级和层次,用V表示,即:V={v1,v
4.单因素评判
对U中所有因素分别进行单因素评价可得到模糊矩阵R,表示为Ri={ri1,业人员对评判对象进行打分,并归属于相应的评语集,按归属某一评语的人数占总人数的百分比作为这一因素的评判结果。
5.综合评判
M(∧,∨)计算,可得综合评判B=A•R,即对两个模糊矩阵各元素之间最小值运算:将权重集A中处于第i列的ai与R矩阵中相对应的第i行中的每一个数值进行比较,取两者中较小的一个作为结果矩阵中的用来比较的R矩阵数值对应位置的新元素,由此组成一个新的矩阵,然后取新矩阵中每一列的最大数值作为模糊矩阵B中的第j个数,得:6.确定因素重大错报风险水平由B和V计算重大错报风险评价水平=BVT。
四、重大错报风险评估的应用实例
1.确立评价因素集、权重集和评语集
重大错报风险的评估是在识别的基础上来进行的,所以,评估阶段的评价因素集、权重集和评语集与识别阶段相对应(见表1所示)。
假定在重大错报风险的识别阶段识别出的关键领域为战略规划变更风险U2,其二级评价指标有:开发新产品或提供新服务、进入新业务领域U21,新的经营场所U实务中量化为V={90%,70%,50%,30%,10%}。
2.进行单因素评判
用M(∧,∨)计算得B=A•R,A=(0.2727,0.2273,0.2273,0.1364,0.0909,0.0454),
B=A•R=(00.27270.22730.13640)=归一化=00.430.360.210。
3.计算战略规划变动风险的重大错报风险水平
BVT=00.430.360.210
(90%70%50%30%10%)=0.544=54.4%。
通过以上对已识别出的该审计客户重大错报风险存在领域的企业战略规划变更风险的模糊评估,说明该类风险可能发生的概率为54.5%,假定审计组所估计的可信赖程度为95%,即审计风险为5%,则根据审计风险=重大错报风险×检查风险,可以计算出该审计组需要将检查风险水平控制在9.19%的范围之内(5%÷54.4%),属于较低水平。由此,审计人员在制订风险应对策略时,考虑在有必要的情况下实施控制测试,否则需要实施较大范围的实质性测试。
主要参考文献
[1]中国注册会计师协会.审计[M].北京:经济科学出版社,2007.
篇7
一、美国风险为本反洗钱检查方法对我国的启示
(一)美国风险为本反洗钱检查简介美国联邦金融机构检查委员会2005年了《银行保密法/反洗钱检查手册》(以下简称BSA/AML检查),2007年进行了修改。该手册对不同监管机构的反洗钱检查进行了全面指导,是以风险为导向的反洗钱检查方法。BSA/AML检查主要包括三部分内容,即风险评估、核心检查和扩展检查。1.风险评估。BSA/AML风险评估一般包括两个步骤:一是针对特定的金融机构,确定具体的风险类别(例如产品、服务、客户、实体、交易和所处地区等);二是进行详细的数据分析,以更好的评估这些类别的风险。检查人员在进行风险评估审查时,首先确认金融机构是否针对具体的风险类别自行进行了评估。如果金融机构未开展风险评估,或风险评估不够充分,检查人员则必须基于可用的信息完成风险评估。评估应考虑金融机构的资产、客户群体、产品、服务和地区等因素,采取查看《银行保密法》报告数据库信息、与管理层谈话、分析经营状况和业绩报告等方式进行。检查人员要通过评估识别潜在的高风险业务,确定金融机构的风险概况,评估金融机构的BSA/AML合规程序是否能够管理并缓解风险,从而确定其整体风险概况和内部控制有效性。2.核心检查。BSA/AML的核心检查包括客户身份识别、客户尽职调查、可疑交易报告、现金交易报告(在美国大额交易报告主要指现金交易报告)、资金划转和货币工作涉及的买卖交易记录保存等内容,即对金融机构应履行的反洗钱核心义务进行检查。以客户尽职调查检查为例,检查程序包括两项:一是有效性评估。评估金融机构客户尽职调查政策、程序和流程的适当性和全面性,并评估上述客户信息在发现、监控及报告可疑交易方面的价值。具体包括四个方面:1.确定金融机构的客户尽职调查政策、程序和流程是否与该机构的风险状况相匹配。确定其在开户时是否具有相应流程获取客户信息,并确保信息留存的客户信息的有效性。2.确定政策、程序和流程允许变更客户的风险等级或状况。确定由专人负责审阅或批准此类变更。3.审核金融机构用于识别为其带来较高洗钱风险或恐怖融资风险的客户的深入尽职调查程序和流程。4.确定金融机构是否制定客户尽职调查调查流程相关分析的指引,包括指导解决客户信息获取不足或不准确问题的指引。二是交易测试。在审阅风险评估报告、以往检查报告和金融机构审计结果的基础上,抽取高风险客户的尽职调查样本。确定金融机构是否收集了恰当的客户信息并将信息用于可疑交易监测。在完成风险评估和交易测试基础上,就客户尽职调查政策、程序和流程的适当性、全面性得出结论。3.扩展检查。扩展检查包括对金融机构提供的20类产品和服务的检查和对政治敏感人物、非居民等8类自然人和实体的检查。以政治敏感人物检查为例,检查程序与上述客户尽职调查检查类似,也包括对制度、流程的有效性评估和交易测试两部分,不再详述。
(二)对我国反洗钱检查的启示1.注重评估。美国反洗钱检查十分注重风险评估,既有针对金融机构风控架构的整体性评估,又有渗透到金融机构履行的核心反洗钱义务及各个业务条线的具体评估。每个业务条线检查时,首先进行政策、程序、流程方面的评估,然后进行交易测试。从手册的指导思想看,核心检查和扩展检查程序都可针对不同金融机构的情况选择适用,但风险评估却是必须的。2.深入业务。除风险评估和核心义务检查外,《银行保密法/反洗钱检查手册》十分注重针对产品/服务的扩展检查。手册中列明了对关联银行、账户、贷款业务等20类产品/服务的扩展检查。这些扩展检查详细列明了针对不同业务的特点进行检查的重点,既给检查人员提供了工作指引,也给金融机构明确了反洗钱工作的方向。
二、以客户为中心检查的概念及方法
(一)以客户为中心检查的概念和内涵在部分借鉴美国反洗钱检查方法基础上,结合我国反洗钱监管实际,本文提出了从我国反洗钱发展的规律出发,以客户为切入点,全流程了解反洗钱风控措施在客户办理各项业务的渗透情况的以客户为中心检查模式。具体可表述为:以客户为中心、条线检查为纽带,流程控制为主线、高风险业务/客户为重点、有机连接内控制度、客户身份识别、大额可疑交易报告等内容的检查模式。该模式下,针对客户的全流程检查与风险评估并重,旨在发现被检查单位的反洗钱系统性、整体性风险。
(二)以客户为中心检查的特点与方法1.以客户为中心,有效解决随机抽样代表性不足问题以客户为中心检查侧重分析金融机构业务特点和客户风险状况,以特定标准挑选高风险客户作为重点检查对象,标准随不同金融机构及不同时期洗钱特征进行动态调整。以对辖区某商业银行检查为例,针对该行业务特点和客户风险状况,按照5条定量标准和4条定性标准从3.7万个客户中,选取高风险客户300个,样本数量大幅减少,大幅提高检查效率。2.以条线检查为纽带,有效解决模块化检查忽略反洗钱工作间联系问题以对辖区某商业银行检查为例,针对该行100名对公高风险客户、200名对私高风险客户,分别沿对公、对私业务线条,从内控制度与组织机构建设、大额交易和可疑交易报告、客户身份识别与资料保存三个方面同时检查,综合反映其整体反洗钱工作,避免按不同条块检查、不能反映整体风险的问题。3.以高风险业务为重点,有效解决模块化检查与金融机构业务脱节问题根据金融机构业务特点,将反洗钱检查融入被检查单位业务条线,对相应高风险业务进行重点检查。以对某外资银行和某中资银行检查为例,根据被检查单位特点不同,对中资银行重点检查客户贵金属交易、大额人民币现金交易和非面对面交易;对某外资银行重点检查客户外币现金交易及跨境汇兑、NRA账户管理等高风险业务。4.以流程控制为主线,有效解决模块化检查忽视风险控制过程问题在对公、对私两条线检查中,针对金融机构与客户建立业务关系、业务关系存续、业务关系结束三个阶段的反洗钱流程控制措施实施连贯检查,发现流程设计和风险控制陷,整体评估金融机构反洗钱工作风险。一是“五步检查法”对建立业务关系阶段的反洗钱流程控制措施进行检查(见表3)。二是在业务关系存续期间,对被查单位涉及高风险客户和高风险业务的国际业务、信贷管理、会计、营业部等部门就该阶段履行客户重新识别、风险等级调整、大额交易和可疑交易报告等反洗钱义务情况实施检查。三是在业务关系终止阶段,主要对客户资料和交易记录保存和客户资料的回溯利用等方面进行审查。
三、以客户为中心检查的成效
(一)全面准确评价被查单位反洗钱风控体系有效性以客户为中心检查既可以发现被检查金融机构大额可疑交易漏错报、客户身份识别不到位等合规性问题,又可以发现问题产生的原因和风控隐患,形成对被查单位反洗钱工作有效性的准确判断。
(二)大幅提升反洗钱检查工作效率以客户为中心检查采取标准化、流程化检查方式,且高风险客户挑选标准、每个阶段检查内容、检查方法均相对固定,有效缩短检查周期,工作效率大幅提高。
篇8
首先通过风险识别,明确企业网络安全风险的存在,找到主要的风险因素,为后面的风险评估和风险规避奠定基础,在风险识别之后须进行风险评估,确定其对企业发展影响的严重性,以便下一步采取相应的措施,然后根据企业内外部风险的实际情况,采取相应的对策、措施或方法进行风险规避,使风险损失对企业生产经营活动的影响降到最小限度,最后应及时或定期进行跟踪,辨识是否有新的风险因素产生,并针对发现的新问题和新风险,采取或者变更应对措施,通过不断的循环,确保风险管理的充分性、适宜性和实效性。
1风险识别
网络安全防护工作主要包括以下几方面:(1)网络与信息安全管理机制,包括组织机构的设置和信息通报制度的建立等;(2)与网络相关的各种设备设施,主要包括服务器、网络设备、存储设备、终端设备和各种操作系统及软件等;(3)支撑网络运行的基础设备设施,主要包括机房电源、UPS、空调、防火设施以及温度感应器、湿度感应器和视频监控等监控设备;(4)网络应急备份设备设施。明确网络安全防护主要内容后,需要对各项内容存在的安全隐患进行逐一识别并加以分析。其中,管理机制可能存在的安全问题有:组织机构的建立以及机构建立后的完善程度,信息通报制度的建立以及通报渠道通畅性,各种管理制度的落实及执行力等。网络相关设备设施存在的主要安全问题有:自然灾害(如火灾、雷击)、环境事故(如断电、鼠患)、人为对硬件破坏、数据库和操作系统等软件的漏洞以及人为等原因造成的安全隐患。支撑网络运行的基础设备设施可能存在的安全问题主要是:机房电源、UPS、空调和防火设施配备是否齐全;由于地震、爆炸、大火等灾害造成通信线路断裂;网络连接接口松动或网络设备损坏等。网络应急备份设备可能存在安全问题主要是:应急预案和应急支援队伍的建立及完善程度;应急演练开展的情况;重要数据和系统是否进行备份和备份的及时性等。
2风险评估
在对网络安全保障工作中可能存在的风险和隐患进行识别后,通过对所收集的识别资料加以分析,进行风险估计。风险评估按照严重性、可能性和风险系数3个影响因素进行划分。(1)风险严重性等级的划分依据是进度延误或者费用超支。延误或超支指标按照每多5个百分点为1级划分,共分为5个等级,分别用1~5数字表示。(2)风险可能性等级依据风险发生的概率进行划分,共分为5个等级,也分别用1~5数字表示,概率<20%的为1级,发生概率每多出20%,即多一个等级。(3)风险系数通过对风险严重性和风险可能性的等级来确定,当风险严重性等级为5,可能性等级为5,那么它的风险系数是5×5=25,当风险严重性等级为1,可能性等级为1,那么它的风险系数是1×1=1,这样风险系数共分为1~25等级。风险系数为1时,风险等级最低,属于小风险,在一定程度上不会造成重大事故的发生,风险系数为25时,风险等级最高,属于重大风险,一旦发生,会造成人员伤亡、财产损失、严重影响生产等后果,带来不良的社会效应,需要引起高度的重视。
3风险规避
在对网络安全防护工作存在的风险进行评估之后,网络部门的管理者已经对网络安全防护工作中存在的种种风险和严重程度有了一定的把握。这时需要找到风险发生的原因或者引起风险的触发条件,并在此基础上,从众多的风险应对策略中,结合工作实际,选择行之有效的方法和规避措施,把风险转化为机会或将风险所造成的负面效应降低到最低的程度。比如,网络安全管理机制的建立及完善是网络安全防护的首要任务。首先,企业需要建立起完善的组织机构,包括领导小组和工作小组。领导小组的组成应该由企业的主要领导及各部门的主要负责人组成,一旦发生隐患和事故时,企业能够做出快速响应;工作小组主要由企业的网络管理员和各部门的相关技术人员组成,除了做好日常网络与信息安全监督和管理工作,还要配合企业做好各项网络安全的检查工作。其次,企业需要建立并完善信息通报制度,并保障通报渠道的通畅性,发生事故时,利用通报渠道,可以迅速把发生事件及严重程度传达到各级部门,使领导能够迅速做出决策并把决策和方案传递到各部门,日常工作中,信息通报渠道也是相关人员学习和交流的平台。再比如,关于某企业下属企业的网络相关设备设施和支撑网络运行的基础设备设施,当网络通道中断时,引发中断的原因可能有3点:网络外部链路故障、企业内电话班或机房设备故障、下属企业内部网络链路故障。根据上述网络通道中断的3个触发条件,需要采取的规避措施是:通过各系统的监控系统对网络状况进行实时监控,发现问题立刻与铁通、电信通等相关单位联系;敦促电话班、上级企业网络中心检查设备,并建立共同的应急机制;检查企业内部网络链路上的关键设备状况;对关键线路上的关键设备进行备份;梳理并熟知应急预案等。
险跟踪
风险管理是一个动态变化的过程。网络安全工作在开展的过程中,本身存在很多不确定的因素,有些甚至可能与分析的风险和预定的计划存在冲突,尤其是针对某些复杂和庞大的生产系统的网络安全防护工作,很多风险是难以预知的。因此,应及时或是定期地进行跟踪,明确风险发生的时间、解决状态、责任人,辨识是否有新的风险因素产生,各类风险的发生概率和严重程度是否有变化,风险规避的措施是否适宜,实施是否有效等。针对发现的新问题和新风险,及时采取或者变更应对措施,这样才能确保风险管理的充分性、适宜性和实效性。
篇9
关键词:药品;物料供应;质量危害;风险管理
中图分类号:F270文献标识码:A
文章编号:1005-913X(2014)07-0210-01
近十年,各大药害事件屡见报端,其中不乏因物料供应管理的问题造成的药害事故,如“齐二药”、“毒胶囊”事件。为此,政府部门出台了相应的管理规定以期减少和预防此类事件的发生。本文通过分析制药企业物料供应环节的风险因素,提出预防物料供应短缺及物料质量危害的措施,以期将物料供应引起的企业经营风险和产品质量风险降低至可接受的水平。
一、物料供应
(一)物料的风险级别
1.高风险:直接影响药品质量的原料、辅料和直接接触药品的包装材料等直接影响药品内在质量的物料以及某些不合格服务会威胁到用户或病人的安全。
2.中风险:对药品质量有一定影响的辅料或外包装印刷材料、服务可能造成产品性能不良或不能达到期望值。
3.低风险:对药品质量没有直接影响的物料或服务,其不合格将不直接影响产品的安全性或功能。
对于高风险物料,通常都实行比较严格的行政许可制度,变更供应商需要做充分可靠的质量研究工作,必要时需要报药监部门的批准。此类物料的供应风险和质量风险更大,本文将重点介绍此类物料的供应风险管理。
(二)供应商评估
对于高风险物料,通常应实行现场审计,审计内容包括质量体系评估,生产产能,合规管理和环保管理问题,若是独家供应商,[1]还需增加财务状况,上游供应商的供应情况等信息的了解。在通过现场审计但还有尚未完成纠正措施的供应商的后续审计,以及产品质量趋势良好的国外供应商的定期审计,可实行邮政审计供应商,此类物料须与供应商签订质量协议。
(三)供应短缺风险分析[2]
通过以上供应商审计中的发现并结合历年产品的供应趋势对某物料的供应进行可能性(供应短缺)及严重性(后果)的风险评估。RPN≥10的,为高风险水平,应优先采取措施降低风险至可接受水平,6≤RPN
(四)供应物料质量风险分析
通过供应商审计中的发现并结合历年供应物料的质量趋势对某供应商提供的某种物料进行可能性,严重性,可检测性的风险评估。
当RPN≤12,为低风险水平,无需采取行动;当12
二、风险供应风险控制(风险降低,风险接受)
物料供应短缺风险和质量风险通常会相互作用,以下是常用的降低物料供应短缺及质量风险的措施。
通过采用以上供应风险评估及风险控制措施的应用,可以有效预防因物料供应短缺及物料质量危害导致的企业经营风险及质量事故。
参考文献:
[1] 郝贵峰,王波.单一来源物料供应的风险管理.中国高新技术企业,2011(8):134-135.
篇10
关键词:油轮管理TMSA统计分析
1 TMSA形成
TMSA(Tanker Management and Self Assessment)即油轮管理与安全评估,是进入国际主要石油公司业务的必迈门槛,受到越来越多的油运公司的广泛关注和采纳。早在上世纪70年代,石油巨鳄便聚集一堂,成立了石油公司国际海事论坛,简称OCIMF(Oll Company Inte rnationalMarine Forum),该组织经过了几十年运作,OClMF已发展成为一个以国际石油巨头为主,由59个成员组成的国际行业组织。1998年,ISM规则开始强制实施。由于各缔约国主管机关对ISM规则实施的具体要求不同,导致各航运公司及其船舶安全和环境保护水平参差不齐,给石油公司租赁船舶营运带来了很大风险。于是,在本世纪初,TMSA首先在个别大石油公司中采用,但随即被OClMF的其他会员认同,目前TMSA已在OCIMF组织内统一作为各大石油公司对油轮公司及其船舶检查标准。目前在行业内,大家普遍认同:TMSA是一种可以帮助船舶营运人测量并改进其管理体系的工具;它可使船舶营运人对照列出的关键绩效指标及行业最好做法评估其安全管理体系;它是对照行业最好做法解决问题最有效的方法,使营运人在诸如追求安全和环保卓越等一些关键领域中发现机遇并优化其自身的经营业绩;它使公司致力于通过持续地改进其过程和程序将行业的最好做法转化到其船队管理中来的一个准则。
2 TMSA基本要素与实施要求
TMSA目前是油轮管理行业基于lSM规则建立的行业管理标准,其目的是为油轮管理公司提供可以被衡量的初始基准和主要评估指数,为船舶管理者对管理体系的评估提供了一个标准的框架。TMSA主要由12项关键要素组成:管理、领导作用和责任;岸基人员招聘及管理;船员招聘及管理;可靠性与维修保养标准;航行安全;货物、压载及系泊作业;变更管理(即对制定、执行程序的变化进行管理,确保现有标准不降低);事故调查及其分析;安全管理;环保管理;应急准备及计划;测量、分析和改进。
每个要素分成A和B两个部分,管理标准分为四个等级,按照循序渐进的方式由最基本的一个等级提升至最高的四级,不断整改和完善,满分为4分,目前国际大石油公司对油轮管理公司比较认可和满意的TMSA分数是2.5分及其以上。
TMSA实施要求重视自我评估,讲求诚信。油轮公司在实施TMSA过程中,要求油轮公司定期按照此导则逐项对照公司的综合管理体系进行自我评估定级后,明确其管理水平及发展趋势,找出差距,制定完善措施,以实现持续改进,并向OCIMF提交评估符合报告。
3 TMSA的特点
TMSA的特点体现在:TMSA是油轮管理者根据固有标准衡量自己表现的准则;TMSA鼓励管理者根据关键要素找出最优管理方法;TMSA是根据lSM规则制定,是ISM的补充但并不代替ISM;油轮船东要接受石油公司检查,而绝大多数检查官是具有OClMF认可资质的独立第三方,具有社会权威性;TMSA要求异常严格,要求非常具体,随意性和变通的余地很少,它非常注重统计分析这一工具,非常重视风险评估和管理的变更、等级制相关的规定等,并要求船东讲求诚信。
1)要求的高标准性。TMSA作为当前海事界最为“苛刻”的规则之一,包含安全、质量、健康和环保管理等内容,其要求已超越lSM、ISO9001、IS014001标准。
2)要素标准规定的具体性。ISM、IS09001、IS014001都是从整个航运环境来定义的,具有原则性和概括性的特点,而TMSA是专门针对油轮公司及其管理而言的,某些要素的要求都非常具体,随意性和变通的余地小,实施评价的针对性强。
3)注重对数据的统计分析。TMSA非常注重利用统计分析这一工具,以便发现共性问题及其发展趋势,而其中要求的一些管理措施必须首先统计分析,然后根据分析结果再制定管理措施,如要求改进船舶航行弱点,就必须先进行弱点趋势的统计分析。
4)重视风险评估。针对油轮运输存在的高风险性,TMSA要素9专门对风险评估做了规定,要求船岸定期及在开展涉及风险的项目前都必须进行风险评估,制定措施,将风险项目的风险降低到可接受的程度。
5)变更的管理。TMSA充分考虑了因设备、人员、程序等的变更可能导致的事故风险,为此要素7要求对所有的临时变更和持久变更必须进行风险评估,明确进行变更所需的权限,并制定预防措施。
6)重视自评与油公司的认可。TMSA要求油轮公司定期(一般为每季度一次)组织对管理状况进行自我评估,明确其管理水平及发展趋势,依据最佳指南找出差距,制定改善措施,实现持续改进。当自我评估达到一定的等级水平时可向OClMF提交油轮公司自我评估报告,申请相应的管理等级。
7)持续提高的管理等级制度。TMSA依据最佳指南将管理分为四个等级,油轮公司在实施TMSA2_初并不要求达到第四等级,而是从最基本的第一级标准为目标做起,逐步提高,持续改进,最终实现“零污染、零事故”的管理要求。
8)动态管理,追求卓越。TMSA对管理的要求并不是一成不变的,OClMF会根据行业管理的发展水平,定期对TMSA中的最佳指南及关键评估指标(KPl)进行完善,以实现通过不断的自我完善达到卓越管理的目标。
总体来说,TMSA的实施填补了国际安全管理规则(1SM)最低船舶管理要求和油轮管理工作特殊性之问的空缺,为油轮公司完善其体系,减少对环境、人员的危害,最终实现卓越管理,提供了一种方便而实用的评估准则。
4 TMSA实施对船舶管理要求
4.1对油轮公司高层管理者要求
通过公司高层强而有力的管理能够提高公司各阶层对安全和环保的理念,确保和增加油轮营运的安全性。
1)高层领导对公司安全职责清晰的自我认识、确保安全管理工作的明确实施、对公司安全环保管理理念的清晰了解、良好的船岸沟通能力以及对以往险情的经验教训的总结等有助于高层领导在对油轮管理团队的掌控,是领导和管理能力体现的重要方面。
2)自身条件较好的高层领导通过建立明确合理的安全目标,并对安全目标的实施落实过程进行考核和监控,能督促各阶层的安全工作和安全环保意识,进而促进油轮营运的安全。
3)高层领导在完成目标的制定后,还要建立促使各阶层认真落实的管理决策办法。通过建立各阶层安全书面文件流程,保证安全指令能够顺利执行。严格控制公司安全政策全面涵盖油轮安全营运的各个方面,做到不遗不漏,不放过任何安 全细节。建立畅通的政策下达通道,保证油轮能及时接到高层领导的安全指示。建立油轮管理的安全体系,并根据日常管理中的问题和新的实际情况,及时对公司安全管理体系进行更新和考察,保证公司营运始终处于最安全的领导模式下。
4.2对油轮公司岸基管理人员要求
通过招聘及管理岸基人员,形成符合资格、高水平的管理人员团队,保证合理的管理油轮船队。通过合理的程序选拔岸基管理人员,能够保障相关任务的正确实施,减少不应有的失误,增加油轮的安全性,减少因岸基管理人员的工作失误而造成的经济和人员损失。对岸基人员的管理包括:岸基人员的招聘、岸基人员的培训、岸基人员的考核、岸基人员流失控制四个方面。
1)在岸基人员招聘时,要严格把关,对申请人员进行资格审查,同时要有辨别申请人员资料真伪的程序。防止不合格的人员蒙混过关。还要对招聘的岸基人员进行严格体检,确保公司招录的新人能够胜任工作的需要。
2)对新招聘的岸基管理人员,要进行严格的上岗培训,在职培训,以确保他们能适任工作。同时要保证培训资料、课程、资源的充足,保证培训的有效性。对于主要的岸基管理人员,要经常组织他们参加行业讲座、会议、论坛等,并接受更新知识培训,以保证他们具备要求的技术、技能,工作中做出正确的决策,保障油轮运营安全。船上的四位高级船员对油轮生产实践认识深刻,对生产管理有直接的认识,要保证他们要有机会调任公司,一方面促进岸基管理制定出针对性的决策,另一方面提高高级船的积极性,增加油轮运输中的安全系数。
3)要建立健全岸基人员工作的考核制度,通过定期的工作考核,对考核过程发现的问题及时处理,减少安全隐患。对考核结果进行总结,对优秀的员工进行晋升和参加更高层次培训,从而促进岸基人员工作的积极性。
4)要严格控制岸基人员流失率,两年内的流失率不能超过30%,过大的人员流失会造成工作生疏,不能密切配合,做成失误过多,影响油轮的营运安全。
4.3对油作人员要求
通过对船员的选拔和管理,使油轮船员能够符合资格要求,专业技能过硬,对其职责和功能明确。能够准确合理地完成油轮的日常工作,在紧急情况下,能够做出正确判断,从而减少事故发生,降低事故的损失。按照规定的培训、考核制度,不断提高船员的技能,增加油作的安全性。并且严格控制公司船员队伍的流失率,减少因船员变更过大对油作安全的影响。
1)船员招录时要严格审核船员资历和证书,并严格进行上船前的体检工作。按照既定的船员招聘、筛选、提职程序对船员进行管理。
2)对船员进行充足的入职培训、高级船员的安全培训等,增加他们的工作技能和安全意识。
3)对船员的工作进行考核,对不合格的船员进行再培训或者解除合同,对优秀船员进行奖励,增加其工作积极性。并有合理的晋升程序,保证优秀船员能够做到更高的位置。
4)要控制船员团队的流失率,两年内不得大于20%,尽量保证船员团队的完整性。
4.4对油轮管理模式与理念的要求
在完成人员配置后,为保证管理的有效性,促进油轮的安全,必须建立各种规章制度,并保证规章制度的落实。这些规章制度包括对油轮的维修保养制度,航行安全、货油、压载水和系泊作业,管理因素的变更,事故调查及分析,应急预案及应急部署等六个主要方面。
1)油轮的维修保养制度。每艘油轮都要配备详细的维修计划书及缺陷报告系统。公司应定期检查维修保养计划书是否有效。除船上,公司应能监控船舶证书的有效性,机务总管应跟随所有维修保养,并上船以审核船上维修保养及缺陷报告的计划。公司政策应包括保持船舶备件库存及流水账等。
2)航行安全。安监室应按公司所制定的程序对船舶安全航行进行评估,并将安全航行程序纳入公司安全管理体系。确保海图的更新,英语认可的海图供应商签订合同并自动供应所需海图。确保所有航海仪器正常运作,公司应记录所有缺陷及修正行动。大副升船长前务必再次接收船舶模拟操控培训。
3)公司因对装卸货油及压载水作业的规范有书面的计划,每次作业均需获得船长的批准。船上应有资深高级船员(大副)负责货油装卸及压载水作业。要用公司的格式报告书并定期检查货油舱和压载舱,通常压载舱每六个月一次,货舱一年或坞修时检查一次并做好相关记录。大型油轮装载货油量大,靠泊时系泊程序严格。一般要求零航速抛深锚。公司要对系泊设备有书面的维修保养程序,有书面程序以确保所有的系泊设备和其作业方式符合OCIMF指引及有关规定。
4)管理因素的变更。但管理因素变更时,应建立一个有效的管理程序以减低风险;管理人员变更时,要进行必要的培训,保证变更后的工作正常执行。设备变更和接新船时要加快对新设备的熟悉。公司应使用正确方法评估变更管理因素所带来的影响,并每年都对管理因素变更造成影响进行检讨。
5)事故调查及分析。利用有效的事故调查报告及跟进措施,从中吸取教训,减少事故发生。当船队涉及安全事故,公司应有迅速的通报机制,并对事故进行调查分析,找出事故原因得出结论。对船/岸人员进行培训,增强其调查分析能力。
6)应急预案及应急部署。船岸各部门应有详细的应急预案,对人员进行详细分工。确保有足够的应急设备,并且严格按照规定进行应急演习,总结经验教训。
5 TMSA检查情况分析
5.1TMSA检查缺陷分布情况统计
某油轮船队近几年共有近百艘次船舶接受了石油公司检查,总通过率为90%以上,无缺陷通过率相当少。检查缺陷总计有500多条,缺陷的分布为TMSA第1要素1项,第2要素37项,第3要素19项,第4要素57项,第5要素113项,第6要素51项,第8要素71项,第9要素章53项,第10要素10项,第11要素74项,第12要素章30项;重复缺陷210项占缺陷总数的40.7%,高风险21项占缺陷总数的4.1%。
按船舶上管理部门分,甲板部的缺陷占总数的70%;轮机部的缺陷占总数的30%左右来看,应该注意到这与我国传统的船舶管理要求中重技术、轻管理有关,这是值得我国航运企业船舶高层管理者应该重视的问题。
5.2缺陷原因分析
1)航行管理占缺陷总数的11%,从近几年对比看,属于上升的,而目前石油公司很关注航行管理方面的缺陷,一旦查出即为高风险缺陷,需要引起我们重视。产生的重复缺陷主要集中在航海图书资料的有效改正,同时,航海日志和车钟记录簿的规范记载问题也逐渐增多。
2)安全管理缺陷占总数的21.9%,是缺陷高发项目,几年来变化不大,也真实反映我们的安全管理水平。主要的重复缺陷的项目有:船岸安全检查表填写不规范、封闭场所进入许可证没有按照体系要求进行实施、船舶的便携式气体探测仪校验问题依旧是重复次数较多的缺陷,船舶对配备标准不清楚,岸基地也没有定期跟踪船舶仪器的状况。
3)货物与压载系统占总数的13.8%,总的来说进步明显,公司在进一步规范货物操作的同时,还应注意货物质量安全。主要缺陷有专用压载舱的有效充惰问题,真空压力释放阀的维护和记录方面需要制定相应的管理措施,统一维护要求。MSDS不完整、货舱压力报警值的正确设定、P/V BREAKER的防火网等缺陷也多次重复出现。
4)机舱管理方面缺陷(VlQ第1 1章)占总数的14.3%,船舶的计划维护系统(PMS)没有船级社的批准在检查缺陷中出现了20次,但随着船队船舶管理系统(SMlS)在船使用的推进,这类问题会基本得到解决。但值得注意近年共有11艘次船舶被开出“经认可的无人机舱处于有人值班状态”这样的缺陷,因为检查官认为“无人机舱处于有人值守是船上代表机舱设备的运行存在安全隐患的一种表现”,这与我国航运企业至今还存在着“有人在总比无人在要好”的传统管理理念有关,这需要船舶管理者在管理理念上的转变。
- 上一篇:社区医院建设工作总结
- 下一篇:会计信息披露质量要求
