安全管理报告总结范文
时间:2024-03-18 11:59:09
导语:如何才能写好一篇安全管理报告总结,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
自2012年大学毕业以来,我一直在鸿云公司从事安全管理工作,作为一名安全员,我能够严格要求自己,认真履行职责,兢兢业业,不断提高专业技能和综合素质。在本次公开竞聘中,很荣幸能竞聘上安监部副经理一职,这既是公司对我以往工作的肯定,更是对我前进道路上的激励和鞭策。现将本人近两年工作表现总结如下:
一、主要工作表现情况
1、完善安全管理制度,健全安全管理体系。
随着公司的转型升级,实现由修船到造船质的飞跃,为了满足造船安全管理的需要,自2017年底,在原有的安全管理制度的基础上,我主动学习造船安全管理标准规范,起草增加了26项造船相关安全管理规定,为公司建立了一套比较完善的修造船安全管理制度体系,其中安全管理制度72项,操作规程62项,涉及公司的安全管理流程和船舶修造现场作业安全,为安全生产工作打牢了制度基础。
安全生产标准化建设,一直以来都是公司安全管理的重要工作,在部门经理的指导下,我主要负责公司安全生产标准化的建立和有效运行,依据安全生产标准化的十三大要素,我为公司建立了比较齐全的安全生产台账资料,参与组织开展好安全教育培训、隐患排查治理、应急救援演练、消防安全、职业卫生等工作,同时现场作业也在安全标准化运行的要求下,逐渐实现安全管理、操作行为、设备设施和作业环境的标准化。在今年7月份,公司三级安全生产标准化工作顺利通过复评,安全标准化水平不断得到提高。
2、兢兢业业,不怕吃苦,抓好现场安全管理。
作为一名安全管理人员,抓好现场安全管理,遏制安全事故发生是自己的本职工作。在公司拖轮建造工作中,我积极主动参与,协助部门经理,修订完善船舶建造安全管理制度,编制造船重大节点工程安全生产策划书,落实安全交底和防控措施,深入现场排查整改事故隐患,查处违章违纪行为,确保造船安全风险有效控制。
在现场安全工作中,我不仅参与造船安全监管,有时根据部门经理安排调配 ,还要参与修船业务的安全监管,为坞修船舶制定风险评估和控制措施,并向生产施工部门、班组、外包施工队进行安全交底,做好外包施工队入厂前安全教育培训,每天深入现场检查自己所主管船舶的安全状况,向作业人员详细告知作业中的危险有害因素,督促安全措施的落实,现场巡查中下油舱、爬高处,经常加班加点,自己毫无怨言,正是对工作认真负责的态度,近两年我所主管的坞修船舶实现了安全无事故,保障了船舶修造安全生产工作。
在做好本职安全管理工作的同时,我还努力开拓创新,积极参与公司的其他工作,如撰写通讯报告、制作公司宣传画册等,认真完成领导交办的任务,并获得过轮驳公司多项科技创新管理类奖项及“优秀通讯员”、“优秀团干”、“党员示范岗”等荣誉称号。
二、存在问题和不足
1、在安全管理工作中,自己有时不够大胆,缺少“狠”劲。例如,在施工队安全管理中,存在不符合公司安全规定的地方,自己在解决问题时,未能坚持到底,放松警惕和要求,存在畏手畏脚现象。
2、在工作中只注重专业业务知识的学习,对不熟悉的其他修造船业务知识掌握不够,在思想上存在一定畏难情绪等。
三、下一步工作打算和努力方向
1、在安全管理工作上,自己要继续增强主人翁心态,大胆创新管理,虚心听取领导和同事的意见和建议,总结经验教训,改进工作方法,提升自己的管理能力。
2、今后工作中,要做到一专多能,注重业务知识的全面性,不断学习,提升自己的综合素质,实现全面发展的意识。
3、随着公司快速发展、业务量大及用工模式转变,劳务用工不断增加,劳务施工队安全风险增大,今后工作中,自己在消除现场“看得到的风险”同时,还要注重“看不到的风险”控制,协助公司对施工队使用合法合规,逐步提高公司风险防范能力。
篇2
摘 要:在现阶段的发展中,已经完全进入到网络时代,几乎所有的工作实施,都是依靠网络设备、网络技术来进行实施的。为了能够在今后的网络环境下,实现工作水平的大幅度提升,必须将企业信息安全管理更好的巩固,要求在管理的策略和具体手段上,告别既往的多项不足,要创造出较高的价值。文章就此展开讨论,并提出合理化建议。
关键词:网络环境;企业;信息安全;管理
从客观的角度来分析,企业信息安全管理在开展的过程中,有很多工作的实施,都不能利用单一的手段来完成。现如今的信息安全,已经成为了全社会都非常瞩目的内容,如果在最终的工作上表现为缺失现象,不仅容易造成强烈的隐患和冲突,还会对很多领域的发展构成严重的威胁,这是需要在日后工作中积极面对的,不能有任何的严重损失。
一、网络环境下企业信息安全管理现状
1.建立信息安全管理体系框架
从已经掌握的情况来看,很多地方的企业信息安全管理,都在不断的建立信息安全管理w系框架,希望由此来对网络环境做出更好的优化处理,实现企业信息安全管理的更大进步。我国在现阶段的发展中,正处于一个非常重要的阶段,企业更加是国家的核心组成部分,为了更好应对网络环境所带来的挑战,在相关的政策、规范颁布上是比较突出的。例如,国务院办公厅在现下的工作中,对于网络环境开展了深入的分析,同时先后颁布了特别多的政策、法令,对于信息安全等级评估保护的具体措施、检查核实方法等,都做出了明确的规范;对于使用单位信息安全管理制度,做出了进一步的深化处理;直接引导、推进了信息安全系统的持续应用,在发展空间上得到了明显的扩大。
2.信息安全管理体系的审核
企业信息安全管理在开展的过程中,必须在网络环境方面深入的关注,绝对不能有任何的违背现象发生。从既往的工作来看,有些企业对于信息安全管理,总是追求短期上的效果,对长期的规划表现不足,虽然很大程度上对网络环境做出了充分的利用,但实际上创造的价值,还是有待提升的。鉴于这种现象的发生,网络环境下的企业信息安全管理,开始不断的做出变革,特别是在信息安全管理体系的审核上,基本上是按照最严格的方法来完成的。例如,在ISMS审核过程中,其主要指的是,机构为验证所有安全程序,采用的系统的、独立的检查和评价。通过开展ISMS审核处理,能够对申请认证的单位,提供较多的支持与帮助,在企业信息安全管理方面有综合的判定与分析。除此之外,ISMS审核工作的开展,还表现为突出的自我保证手段,其能够将多项问题做出一个明确的分析,无论是在波及范围上,还是在具体的处理方式上,都能够给予较多的参考和指导,很少出现严重的偏差。
二、网络环境下企业信息安全管理的对策
1.物理安全管理
在现阶段的发展中,网络环境已经成为了不可扭转的趋势,想要在今后的企业信息安全管理中取得理想的效果,必须将网络环境有效的利用,在硬性规范下,针对物理安全管理持续的加强,这是实践方面的工作,不能有任何的忽视。简单而言,物理安全管理在开展的过程中,会将信息系统开展全面的检查分析,包括信息系统的保密性、完整性、可用性等等,会在相关的硬件设施上、线路上,都做出详细的分析,而后提交相应的物理安全管理报告。企业根据这份报告,再结合客观实际以后,决定具体的改善办法。在除此之外,物理安全管理在开展的过程中,对于企业网络工程的设计、施工等,都会产生较大的帮助。现下的很多企业信息安全管理,都会在网络工程方面投入较多的努力,为了更好的协调网络工程的硬件设备、网络体系等,必须在网络设备的安全性、可靠性方面提升。例如,通过物理安全管理的实施,能够针对网络设备、系统的运作空间做出分析,在温度、湿度等物理因素上积极的把控,避免造成严重的损失。
2.人员安全管理
在企业信息安全管理当中,网络环境下的诱惑较多,同时在相关的影响因素上,也在不断的增加。为了确保在企业信息安全管理方面,能够按照科学的方向来前进,有必要将人员安全管理更好的改善,针对多项工作的实施,都要从长远的角度来出发,这样才能更好的提高管理水平。首先,所有的工作人员,在相应的权限上都要积极的设定,要避免企业信息安全管理的员工权限混乱现象,达到相互之间的制衡效果,避免在信息方面出现严重的泄漏。其次,对于人员安全管理,有必要开展技术性的专业培训,要求列举大量的技术案例分析,让所有的工作人员意识到,错误的工作方法,以及某些极端的行为,会给企业带来严重的损失,部分情况下,甚至会产生法律上的责任和问题,要求员工在态度上,以及工作实践上,都可以严格的要求自己,而后对将来的工作负责。第三,必须积极的招聘、引进网络人才,将企业信息安全管理的体系不断健全,尤其是在网络平台的打造、客户端的建设、日常信息管理措施的实施上,都要形成良性工作循环。
3.软件应用和系统安全管理
网络环境下的企业信息安全管理,表现为持续进步的特点,根本不可能长久维持在固有的水平上。我们在实施企业信息安全管理的过程中,对于软件应用和系统安全管理,必须不断的加深研讨,要从多个角度出发,创造出较高的价值。首先,软件应用上,企业必须根据自身的需求,为不同层级、不同部门的员工,选定差异化的工作软件,要提高工作质量和工作效率。同时,对于软件本身的分析要不断的拓展,从是否付费、是否存在软件冲突、是否具备较高的兼容性等方面,均要进行大量的探讨,要防止造成工作上的严重疏漏,提高工作效率。其次,对于系统安全管理而言,必须坚持定期维护、更新,要求从外部聘请专业人员,进行系统的积极分析和测试,发现问题后,及时的采用网络技术来弥补,同时增加相应的软件防护和程序补丁,促使系统的日常运营,能够达到更加稳定的目标。
4.设备的运行与安全管理
除了上述的几项工作内容外,企业信息安全管理在实施的过程中,还需要在设备的运行与安全管理上投入较多的努力。当下的设备研究力度有所加深,特别是在重要元件上,市场上的更新换代速度不断的加快,企业必须对设备本身、设备元件开展积极的分析,不能盲目的跟风更换,也不能长久的维持在既有的水准上,要确保设备的运行,能够长期保持在高效状态,可以将安全管理工作更好的改善,减少矛盾。网络系统稳定高效的运行,对于企业来说是非常重要的。企业要加强对网络的科学管理,及时排除网络故障,对设备、运行安全进行全方位管理,是保障信息系统安全的重要前提。设备、运行安全管理包括设备的选型、检测、安装、登记、使用、维修、储存以及故障管理、性能管理、变更管理和排障工具等。随着网络普及和企业信息化业务的不断拓展,信息成为一种重要的战略资源,信息安全保障能力成为一个企业综合能力的重要组成部分。
三、总结
本文对网络环境下企业信息安全管理展开讨论,现阶段的工作实施中,整体上得到的效果比较显著,未表现出严重的隐患。日后,应该在网络环境方面不断的优化,将企业信息安全管理的体系不断的健全。除此之外,在开展企业信息安全管理时,一定要持续性的实施,要不断的跟随国家倡导内容,对社会潮流做出把控,在重点工作上积极的提升。
参考文献:
[1]于倩,李灵君.网络环境下企业信息安全管理的对策分析[J].网络安全技术与应用,2017,(01):16-17.
[2]钱浓林,洪芳华,朱利军,肖锋,徐F欣.”互联网+“环境下企业信息安全管理策略[J].经营与管理,2017,(01):128-130.
[3]张黎明.网络环境下企业信息安全管理的对策分析[J].商,2016,(19):2.
[4]宋晴.网络环境下企业信息安全管理对策研究[J].通讯世界,2015,(14):256.
篇3
本标准规定了xx企业(以下简称企业)hse管理规范和编制企业hse管理体系实施程序的基本要求,适用于企业hse管理工作。
2引用标准
下列标准包含的条文,通过在本标准中引用而构成为本标准的条文。在标准出版时,所示版本均为有效。所有标准都会被修订,使用本标准的各方应探讨、使用下列标准最新版本的可能性。
gb/t6067—1985起重机械安全规程
gb6441—86企业职工伤亡事故分类
gb10827—89机动工业车辆安全规范
gb16297—1996大气污染物综合排放标准
dl409—91电业安全工作规程
sy5087—93含硫油气田安全钻井法
sy5131—87放射性测井安全防护
sy5225—1994石油与天然气钻井、开发、储运防火防爆安全管理规定
sy5436—1998石油射孔和井壁取心用爆炸物品的储存、运输和使用规定
sy5445—1999石油机械企业安全生产规定
sy5720—1995司钻安全技术考核规则
sy5726—1995石油测井作业安全规程
sy5727—1995井下作业井场用电安全要求
sy5728—1995滩海石油地震队安全生产管理规定
sy5737—1995原油管道输送安全规程
sy5747—1995滩海石油建设工程安全规则
sy5845—93油田专用容器安全管理规定
sy5856—93油气田带电作业安全规程
sy5857—93地震勘探爆炸物品安全管理
sy5868—93陆上石油地震队安全生产管理规定
sy5876—93石油钻井队安全检查规定
sy5920—94原油库运行管理规范
sy5974—94钻井作业安全规程
sy6023—94石油井下作业队安全生产检查规定
sy6037—1997浅海钻井安全规程
sy6043—94钻井设备拆装安全规定
sy6047—94沙漠地震队野外作业安全生产管理规定
sy6048—94电法队野外作业安全生产管理规定
sy6186—1996石油天然气管道安全规程
sy6203—1996油气井井喷着火抢险作法
sy6204—1996滩海测井作业安全规程
sy/t6228—1996油气井及修井作业职业安全推荐做法
sy6278—1997天然气净化厂安全规范
sy6309—1997钻井井场照明、设备颜色、联络信号安全规范
sy6320—1997陆上油气田油气集输安全规程
sy6321—1997浅海采油与井下作业安全规程
sy6348—1998地质录井作业安全规程
sy6349—1998地震勘探钻机作业安全规程
sy6350—1998油气田射孔用多级自控安全起爆器安全技术规程
sy6353—1998油气田变电所安全管理规程
sy6355—1998石油天然气生产专用安全标志
sy6433—1999浅海石油作业安全应急计划编制要求
sy6442—XX石油钻井井架分级评定规范
sy6444—XX石油工程建设施工安全规定
sy6456—XX含硫天然气集气站安全生产规定
sy6457—XX含硫天然气管道安全规程
sh3024—95石油化工企业环境保护设计规范
sh3024—95石油化工企业环境保护设计规范
hgj21—89化工企业爆炸和火灾危险环境电力设计规程
q/shs0001.1—XX中国石油化工集团公司安全、环境与健康(hse)管理体系
q/shs0001.10—XX管理职能部门hse实施计划编制指南
《关于转发<石油与天然气钻井井控规定>的通知》中国石化[1999]油技字16号
《关于印发<企业安全检点和安全检查报告编制要点>的通知》中国石化[1999]安监字18号
《职业安全卫生管理制度》中国石化[1999]安字467号
《中国石油化工集团公司环境保护工作条例》中国石化[1999]安字756号
《中国石油化工集团公司环境监测工作条例》中国石化[XX]安环字8号
《中国石油化工集团公司建设项目环境保护管理实施细则》中国石化[1999]安字758号
《关于印发<安全承诺制度>(试行)的通知》中国石化[XX]安监字6号
3定义
本标准采用下列定义:
3.1要素
安全、环境与健康管理中的关键因素。
3.2事故
造成死亡、职业并伤害、财产损失或环境破坏的事件。
3.3危害
可能造成人员伤害、职业并财产损失、环境破坏的根源或状态。
3.4风险
发生特定危害的可能性或发生事件结果的严重性
3.5风险评价
依照现有的专业经验、评价标准和准则,对危害分析结果做出判断的过程。
3.6审核
判别管理活动和有关过程是否符合计划安排,这些安排是否得到有效实施,系统地验证企业实施安全、环境与健康方针目标的过程。
3.7评审
高层管理者对安全、环境与健康管理体系的适应性及其执行情况进行正式评审。评审包括有关安全、环境与健康管理中存在的问题,方针、法规以及因外部条件改变而提出的新目标。
3.8资源
实施安全、环境与健康管理体系所需的人员、资金、设施、设备、技术等。
3.9安全、环境与健康管理体系
指实施安全、环境与健康(以下简称hse)管理的组织机构、职责、做法、程序、过程和资源等而构成的整体。
3.10不符合
任何能够直接或间接造成伤亡、职业并财产损失、环境污染事件;违背作业标准、规程、规章的行为;与管理体系要求产生的偏差。
3.11管理者代表
由最高领导者任命,在企业内代表最高领导者履行hse管理职能的人员。
3.12业主
合同情况下的接受方,即在一定的区域内签订租约,并按租约要求付款的个人、伙伴、公司或团体
3.12承包商
合同情况下的供方,即由业主或操作者雇佣来完成某些工作或提供服务的个人、部门或合作者。
3.13供应商
合同情况下的供方,即为业主或操作者提供原料、材料、设施、设备等供应的个人、部门或合作者。
4hse管理体系要素
hse管理体系由十项要素构成(见图1)。
图1不断改进的hse管理体系
这十项要素之间紧密相关,相互渗透,以确保体系的系统性、统一性和规范性。
企业应建立并遵守国家有关hse方面的法律、法规和标准的程序。
企业是hse管理体系实施的主体,企业及二级单位的最高管理者应依据本标准的要求,明确hse管理者代表和hse管理体系组织机构;组建hse管理委员会和hse管理部门;明确和落实各级组织和人员的hse职责。在开展hse现状调查分析的基础上,编制出简明、适用的《企业hse管理体系实施程序》。当体系标准和hse规范没有相关规定时,可选用企业内部合适的企业标准或规章制度。
企业应建立各级组织和人员的hse目标、hse表现、hse职责、hse业绩的考核奖惩制度。
企业应通过开展各种形式和层次的hse培训,将《企业hse管理体系实施程序》的具体要求传达给全体员工和相关方,企业员工和相关方应贯彻执行。
《企业hse管理体系实施程序》经企业最高管理者批准并投入运行。企业应通过审核、评审,实现持续改进,不断提高hse管理水平。
4.1领导承诺、方针目标和责任
4.1.1总则
公司在hse管理上应有明确的承诺和形成文件的方针目标,高层管理者通过提供资源,通过考核和审核,不断改善公司的hse业绩。
4.1.2领导承诺
4.1.2.1承诺的原则
a)企业及二级单位的最高管理者是hse的第一责任人,对hse应有形成文件的承诺,确保承诺转变为人、财、物的支持,并向员工和社会保证,本单位建立的hse管理程序行之有效。
b)各级管理者通过岗位的hse表率,树立正确的行为榜样,不断强化和奖励正确的hse行为。
c)各级管理者应确保全体员工、承包商和其他有关人员做到信息反馈及时,积极参与到hse不断改进的过程中。
4.1.2.2承诺要求
a)企业分为五个管理层次提供hse承诺。依据国家和当地政府的法律、法规、规定和资源条件,按照合法、可行的原则,向社会和员工提供公开、明确的承诺。
b)企业可按中国石油化工集团公司(以下简称公司)总体承诺原则独立向社会和员工提供承诺。各二级单位、三级单位、项目经理部和施工作业队原则上对内提出承诺,当其独立对外组织项目时,经授权可向外提出承诺。
4.1.2.3承诺的内容
a)遵守所在国家和地区的法律、法规,尊重当地的风俗习惯和宗教信仰,在所有的业务领域对hse的态度始终如一;
b)企业的各级管理者、每位员工对企业的hse事务都负有义不容辞的责任,hse表现是企业奖励和聘用员工和承包商的重要依据;
c)hse管理的最终目的,是最大限度地不发生事故、不损害员工健康、不破坏环境;
d)保护生态环境,建设清洁生产企业,实现可持续发展;
e)向社会公开我们的hse表现,广泛征求社会各界的意见,不断提高企业的hse管理水平;
f)为保证hse管理体系的实施和目标的实现,提供必要的人力、物力和财力资源支持。
4.1.2.4承诺的形式
a)企业、二级单位的承诺应在各自的hse管理文件中以书面形式提出;
b)三级单位、项目部和施工作业队独立对外提供承诺时,其承诺应在hse管理实施计划书或实施程序中以书面形式提出;
c)各级承诺应由相应的最高管理者签字,报上级hse管理部门备案。
4.1.3方针目标
4.1.3.1制定hse方针目标的要求
a)hse方针目标由企业最高管理者;
b)企业所有的生产经营活动都应满足hse管理的各项要求;
c)与企业其它方针保持一致,并具有同等重要性;
d)能够得到各级组织的贯彻和实施;
e)公众易于获得;
f)符合或严于相关法律和法规的要求;
g)尽可能有效地减少企业的业务活动对hse带来的风险和危害;
h)方针目标后,由hse管理部门组织相关职能部门分解成具体指标,各职能部门应将方针目标纳入年度工作计划,组织实施并定期审核和评审。
4.1.3.2企业hse方针
安全第一,预防为主;
全员动手,综合治理;
改善环境,保护健康;
科学管理,持续发展。
4.1.3.3hse目标
a)通过对员工进行hse宣传教育和培训,不断促进员工的hse意识,提高自救、互救能力和专业技能;
b)最大限度地查出隐患,使事故发生率逐年降低;杜绝重大、特大事故;创造良好的工作和生活环境,确保员工的健康与安全;
c)尽可能减少环境污染,保护生态平衡,将环境影响降低到最低程度,杜绝重大、特大污染事故;
d)通过hse管理体系的有效实施,努力实现或实现无事故、无污染、无人身伤害,在hse管理上成为国际一流的企业。
4.1.3.4企业hse管理原则
全员、全过程、全天候、全方位。
4.1.4责任
a)企业的最高管理者作为hse管理工作的第一责任人,应建立hse管理体系,实施安全、环境与健康一体化管理;
b)企业的各级管理者应通过岗位的hse表率,树立正确的行为榜样,不断强化和奖励正确的hse行为;
c)企业的各级职能部门应为hse的管理活动的提供具体的行动支持,并定期对管理体系进行审核,不断完善管理体系。
d)企业的各级职能部门应定期编制年度hse管理报告,总结取得的进展并规划将采取的措施;
e)企业的高层管理者要建立明确的hse目标、职责和hse业绩考核办法,并配置相应的资源。
f)企业的hse管理工作应从设计抓起,最高管理者应组织制定设计部门高层管理者和专业设计人员的hse职责,并建立设计审查保障体系。
g)企业的最高管理者应重视风险评价和隐患治理工作,保证资金技术投入。
h)企业的最高管理者应致力于企业的可持续性发展,组织生产符合环保要求的清洁产品,保护生产、生活和生态环境。
4.2组织机构、职责、资源和文件控制
4.2.1总则
a)企业应建立组织机构并明确职责,合理配置人力、财力和物力资源;
b)企业应制定严格的培训考核制度,广泛开展培训,提高全体员工的意识和技能;
c)企业应有效地控制hse管理文件,为实施hse管理提供切实可行的依据。
4.2.2组织机构
4.2.2.1机构设置
篇4
一、2013年度全面风险管理工作回顾
(一)全面风险管理工作情况
1、强化组织领导,完善管理制度。根据2013年度全面风险管理实际需求,对内部控制与风险管理领导小组进行了调整,明确了各部门职责分工,在机关本级建立了内控与风险管理联络员制度,在所属各子、分公司和直管项目部明确了风险管理主责部门,切实加强了风险管理工作的组织领导,完善了信息沟通机制。同时,进一步完善风险管理相关制度,结合自身实际,制定了《XXX公司重大风险事件分析报告制度》、《XXX公司风险信息收集管理办法》、《XXX公司风险评估实施细则》等规章制度,规范了风险信息收集、风险评估、重大风险分析报告的工作程序和方法。
2、全面推进内控与风险管理体系建设。为进一步加强内部控制与风险管理工作,提高公司治理水平和风险管理能力,集团公司全面启动了以全面风险管理为导向的内部控制体系建设,制定了《实施方案》,聘请外部咨询机构专家进行专业指导,组织机关各部门对集团公司业务流程和规章制度进行全面梳理,对流程进行了优化,对制度进行了完善,编制了《内部控制管理手册》和《制度手册》。针对近150个业务流程开展了业务层面的风险评估,收集和分析相关风险信息,制定了合理、有效的风险管理方案及内部控制措施,保证了体系的完整性和有效性。
3、深入开展风险内控宣贯工作。坚持多渠道、多形式、多场合开展风险内控学习和宣传教育工作,分别于6月份和11月份举办了两期培训班,对内控和风险管理相关知识和业务进行了培训和宣贯。同时,将工作重心下移,集团公司分管领导亲自带队,组织人员深入各子公司和直管项目部,对内控与风险管理工作进行现场指导,通过上下联动共同推进和完善风险管理工作。通过培训和辅导,营造了风险管理的氛围,提升了全员风险意识,也大大提高了各部门、各单位参与风险内控工作的主动性和积极性,推动了内部控制与风险管理各项工作的有序开展。
4、加大对重大、重要风险的管控力度。针对2013年度集团公司重大、重要风险组织制订了具体管控方案和整改计划,明确了整改责任部门、责任人员、时间节点、整改方案和措施等,对企业发展运营中存在的风险、问题和短板进行整改和完善,切实加强重大、重要风险的管控。
5、全面风险管理专项提升取得显著成效。集团公司以开展“管理提升活动”为契机,全力推进全面风险管理专项提升。在健全和完善内部控制与风险管理组织体系、编制《内部控制手册》、抓好风险内控业务培训及风险评估等工作的基础上,重点以风险为导向,开展了重大、重要风险与业务流程的对接,明确了各部门应完善的重点业务流程和管理制度,指导各部门梳理业务流程,编制权限指引表,确保了内控风险各项工作的实用性。同时,建立信息沟通平台,持续收集风险信息,不断完善内外部风险信息的报告制度、预警体系、应对处理机制以及内部监督体系等,保证了风险管理工作的实效性和全面性。
(二)2013年度重大、重要风险管控情况
通过对2013年度重大、重要风险评估情况进行统计分析,集团公司确定了本年度重点管控的8项风险分别为安全风险、财务风险、项目管理风险、人力资源风险、法律风险、价格风险、竞争风险、成本费用风险,并制定了管控实施方案,明确了相关责任部门,对风险管控和整改情况进行了全程监控,确保了重大、重要风险管控工作在集团上下得到有效落实。
1、安全风险。2013年国内重大安全事故频发,安全形势严峻,集团公司对安全风险重点加强防控。一是全面深化安全教育,提升全员安全意识。于3月份召开了安全生产培训视频会议,邀请了铁道部安监司及股份公司安质部领导现场授课,明确了年度安全工作目标,确定了重点监管项目,提出通过抓“三基”(基本、基础、基层),提升全员安全的行为能力、各级领导干部的履职能力和安全事故的防范能力,培育良好的企业安全文化,为企业持续稳定发展保驾护航。二是强化安全管理干部业务培训,打造专家型安全管理队伍。6月份与石家庄铁路职业技术学院联合举办了安全管理干部培训班,邀请专家教授讲课,培训各级安全管理干部人员54人,提升了集团安全管理队伍的整体素质。三是深入开展安全大检查。为应对严峻的安全生产形势,集团公司下发了全面排查整治工程建设隐患的紧急通知,在全集团部署为期3个月的安全大检查工作,成立了11个检查组,由集团公司领导带队,深入施工一线,查安全意识、查安全管理、查现场安全,全面排查各类安全隐患,做到了不留死角,不留盲区,确保了集团公司施工安全持续稳定。
2、财务风险。重点从全面预算管理和资金管控两个方面加大风险防控力度。预算管理方面,一是坚持“开源节流、多收缓支”的原则,严格做到预算与成本费用控制相匹配,与资金收支相统一。二是采取“自下而上、逐级审核,自上而下、细化分类”的措施,统一编制规则,统一表单格式,统一数据口径。三是应用信息系统业务事项申请占用预算、网上审批刚性控制等功能,强化事前预测、过程控制、动态监测、分析预警等。四是解决了预算编制数据不准确、编报不及时、业务量大的问题,提高了预算编制质量和效率。资金管控方面,一是强力推进清欠清收,以工程款回收为源头,紧盯“四类”款项(合同预付款及进度款、尾工款及质保金、其他应收款、逾期债权), 实施“五定”措施,狠抓催收,确保早收、多收、快收;于九月底召开了清欠收款专题会议,对当前企业经济运行中存在的债权债务风险进行了深入分析,研究部署了四季度清欠清收工作,在全集团发起“大干90天、收款65亿元”的攻坚战。二是优化资金运作,推行“个人信用卡先支付后报销”,实施“报销款强制归还备用金”等措施,加大“备用金、周转金、保证金、往来款”等清理力度,压减无效占用。三是优化备用金、劳务款、材料款、经费、其他款项等五项资金支付流程,固化植入系统,降低了货币资金占用。四是上收大额资金支付审批权限,集团公司上收直管项目单笔支付资金500万元以上审批权限,工程公司上收项目单笔支付资金10万元以上审批权限。
3、项目管理风险。重点防控因项目管理不科学、过程监控不到位带来的一系列风险,包括工程进度延误、安全和质量事故、成本失控、大面积亏损等。集团公司通过“一项目一考核,一考核一兑现”,对项目管理进行全过程监控,坚持标准化管理,以科学的技术、管理、作业标准为基础,以完善的制度体系为抓手,精心组织,精心施工,确保所有工程项目实现闭环管理,有序可控。通过超前谋划方案,合理调配资源,重点布控关键环节,确保完成节点工期等措施来防控工期延误风险。通过加大培训力度,深入开展安全和质量大检查活动,防控安全质量风险,确保项目平稳有序运行。通过加强成本管理,加大对工程违规外包、设备违规租赁、物资管理混乱等惩处力度,防控成本失控、大面积亏损的风险。通过加强信用评价工作,打造良好的企业品牌形象,防范企业信用风险。
4、人力资源风险。随着集团公司经营规模不断扩张,经营领域不断延伸,对人才的需求更加多元,因此,公司更加注重优化人才队伍的结构,预防因人才结构性短缺或失衡带来的风险,不仅做好人才数量上的平衡,更从“质”上从严要求。一是树立正确的用人导向,突出业绩和能力因素,提拔重用自我要求严格、管理才能突出、群众评议良好的干部,对那些阿谀奉承、不说实话、不干实事的干部形成导向压力,做到宁缺毋滥。二是着力加快人才培养,坚持眼睛向内,围绕铁路四电及相关专业,做好人才发展规划,强化人才培养;注重培养那些能干事、干成事的全面管理人才,给他们压成才成长的担子、搭展现才华的舞台,增强责任意识,提高管理能力;以一线作业班组建设为重点,强化各专业一线实作人员培养工作,发展壮大技能人才队伍。三是积极营造良好的人才发展环境,突出“德才兼备、以德为先”的用人标准和“五湖四海、任人唯贤”的用人原则,不断完善和改进以业绩和能力为导向的考核评价机制、干部考评办法和用人程序,探索建立符合企业长远发展的人才建设渠道。
5、法律风险。主要通过创新风险防范机制,严格“五项”法律审核,提升企业防范法律风险能力。一是建立了重大合同法律风险告知制度,对重大合同中存在的法律风险问题,由法律事务部门以“法律风险告知书”的形式告知履约单位,通过沟通协商加以解决。二是建立了合同风险交底制度,对集团公司新中标项目合同中存在的法律风险问题进行梳理分类,确定合同风险把控单位和把控部门,面对面与项目进行交底,共同商讨应对措施。三是建立了知识产权保护和研发配套管理机制,成立了知识产权保护领导小组,对知识产权加强保护,在处理软件侵权诈骗案件中发挥了积极作用,如在处理西门子西安公司与集团公司共同拥有的“高速铁路列控系统地面应答器”专利技术主体转让有关事项谈判过程中,有效规避了西门子西安公司企图将专利技术转让给西门子公司背后的陷阱,维护了企业利益。四是健全了涉外合同评审机制,选派4人参加了股份公司组织的涉外法律和英语培训,充实了涉外法律人才队伍,并在乌兹别克斯坦铁路、坦桑尼亚电力成套项目、乌干达输电线路、智利圣地亚哥地铁3号线和6号线、尼日利亚等海外项目施组和合同评审中发挥了作用。五是认真做好规章制度、经济合同、重要决策、授权委托、合同专用章使用等法律审核工作,做到严谨化、程序化和规范化,2013年集团全面“五项”法律审核率达到100%,审核规章制度76个、审核合同文本1786份、审核合同用印34826个、办理法人授权委托书157份,均无一差错,全年没有发生法律审核不严而产生的诉讼案件。
6、价格风险。主要从项目投标报价及物资集中采购两方面预防价格波动风险。首先是项目定价方面,坚持以效益为核心,对投标项目进行严格把关,针对项目定价,制定了严格的评审程序和办法,投标前充分评估项目报价风险,严控因定价不合理造成的效益不佳、赔本赚吆喝的风险,甚至给企业带来声誉上的损失。其次,在物资采购方面,一是坚决落实集中采购各项规章制度,全面运用内部商务平台,以完善的供应网络和信息网络,形成批量价格优势,并不断强化监督考核力度,确保项目的预期效益。二是推行“法人一套帐”管理模式,确立集团公司、工程公司法人(承包人)的采购责任主体地位,搭建由工程公司、指挥部、项目部共同参与的两级物资设备集中采购平台,固化采购流程,落实集采责任,明确采购权限、采购范围,提升集采效能,把生产要素集中管控落到实处,实现降本增效的目标。三是发挥物资分公司招投标、采购服务、统购统销、剩余物资回收利用、设备维修职能和采购平台的作用,实现物资集中采购工作的制度化、规范化、常态化。
7、竞争风险。面对竞争激烈的市场环境,通过积极推进产业结构调整,加快转型升级,不断增强企业竞争能力。一是巩固优势市场,不断提高公司在铁路、公路“两大市场”的占有率,坚持把铁路经营作为集团公司经营承揽的重中之重,保持铁路市场的优势竞争地位。二是注重细分市场,强化公司在城市轨道交通、市政、房建、机场码头、水利电力等领域的经营力度。三是不断提高设计咨询、物流、工业和房地产业务等非工程承包业务的营销能力,推动企业结构调整。四是着力经营创新,积极促进产业升级、产品升级。四是坚持不懈地抓好基础管理,推动队伍建设上台阶、上水平,提升综合竞争能力。
8、成本费用风险。一是将成本费用控制环节前移至资金支付关口,强化了以资金预算控制成本费用支出,解决了借款费用处理不及时、资金支付与经费管控脱节等问题。二是在财务集中核算系统中增加了成本费用还原功能,统一核算口径,真实反映成本费用,加强了分析、评价的可比性。三是以责任主体和业务单元为对象,细化核算项目,强化成本精细分析。四是落实“八项”规定,严控非生产性开支,全年两级机关和项目经费同比下降超过10%。五是以“法人一套账”为手段,上收重大经济事项审批权限,集中配置项目人、财、物等资源,强化人员、账户、合同、预算、结算、支付、核算、劳务、物资、薪酬、成本、经费、税务、二次经营策划等集中管控,促进了成本费用降低。
二、2013年度重大、重要风险评估情况
(一)风险评估工作开展情况
为进一步加强企业重大、重要风险管控,集团公司于2013年12月份组织开展了2014年度企业重大、重要风险评估工作。风险评估采取调查问卷的方式,围绕战略风险、市场风险、财务风险、运营风险、法律风险等五大类一级风险领域中的45个二级风险类别分别进行了调查评估,共发出调查问卷50份,收回44份,调查评估范围覆盖集团公司机关部门负责人以上人员、各部门内部控制与风险管理联络员及关键岗位人员。
(二)风险变化情况及原因分析
从调查问卷统计结果来看,集团公司2014年度重大、重要风险共计25项,较2013年明显增多。之所以出现重大风险偏好激增的现象,有多方面的原因,首先,未来一年宏观经济环境仍存在诸多不确定因素,矛盾和隐患较多,困难和问题没有明显缓解,企业生产经营将面临更多挑战,具体到集团公司,主要表现在五个方面的挑战:一是经营能力的挑战,最大的难题是经营承揽能力不足,制约企业快速发展的一些瓶颈问题亟待解决。二是竞争能力的挑战,最大的难题是经营规模上不去,必须在保持利润优势的基础上研究应对之策。三是盈利能力的考验,最大的压力是挖潜增效,必须在目前人工成本持续增长、经营规模偏小的不利局面下保持净利润每年10%的增长目标。四是化解风险能力的挑战,社会的不和谐因素逐渐增多,企业发展还要保持稳中求进、进中求质,这给我们提出了更高的要求。五是各级领导干部把控矛盾和维稳能力的挑战,企业发展各种深层次矛盾不断凸现,需要我们不断提升把控能力。这五种挑战背后的诸多风险因素在本次风险评估中表现明显。但另一方面,随着集团公司内部控制与全面风险管理体系建设的深入推进及相关政策措施的陆续出台,企业应对重大、重要风险的能力和水平将持续提升,对风险的管控将更加科学、得力。
(三)2014年重点管控的重大、重要风险
通过对调查结果的进一步识别和分析,集团公司确定了以下10项重要风险为2014年度重点管控风险:
1、市场环境风险。主要是外部宏观经济形势的变化给企业带来的经营风险。2014年我国经济基本面总体向好,但外部环境仍存在很多不确定因素,劳动力成本上升、税负水平高、市场竞争激烈、企业负担重等问题依然存在。
2、工程安全风险。主要表现在安全管理制度建设与完善、措施落实与检查、事故处理等方面缺乏有效管理,导致施工生产存在安全隐患;施工人员责任心不强,违规违章操作,忽视劳动保护要求,导致发生安全、质量事故等。
3、成本费用风险,主要表现在人工成本、各种原材料价格上涨,生产过程中责任成本核算管理粗放,造成项目或产品成本未能得到有效控制,无法实现预期效益。
4、项目管理风险,主要表现在项目施工过程中,由于对工程进度、质量、成本、安全缺乏必要的、合理的监控,导致工程项目无法按照计划进行,工程进度延误、成本不可控、甚至出现质量问题和大面积亏损的风险。
5、社会舆情风险,主要表现在因缺乏有效的内部或外部沟通渠道,对社会舆论估计不足,应对被动,讯息传达不及时、不准确、不完整,给集团公司实现经营目标带来影响;对危机事件的处理不够及时或不够妥当,导致危机事件的负面影响扩大。
6、应收账款风险,主要表现在企业应收账款因市场变化或客户财务状况变化以及企业自身存在的问题等原因无法按时收回,应收账款周转率较低,对企业的现金流造成压力,导致资产负债率过高,加大企业运营风险。
7、诉讼法律风险,主要表现在经营管理过程中存在不合法行为或合同管理不规范等,引起法律诉讼纠纷;法律救济措施不及时,处理不当,造成损失扩大等。
8、投资决策风险,主要表现在企业投资信息收集不完整,对外部投资环境把握不准确,未能充分考虑投资潜在风险,或对投资项目缺乏科学的科研论证,退出方案不合理等,导致公司不能及时止损或损失扩大。
9、人力资源风险,主要表现在因用人导向不正确带来的选人用人失误;因干部评价体系不健全,选拔渠道单一,“任人唯亲”、“任人唯近”造成的干部队伍战斗力下降、凝聚力弱化等,不利于企业健康发展。
10、信息安全风险,随着集团公司信息化建设的深入推进,信息安全风险需要引起重视,主要表现在信息资料保存、备份不合理,导致信息损毁或灭失;企业关键信息泄露或丢失,给企业日常经营带来损失。
三、2014年度全面风险管理工作安排
(一)2014年全面风险管理工作计划
根据2014年度重大、重要风险评估情况,结合集团公司面临的形势和任务,确定未来一年主要从以下几方面继续推进集团公司全面风险管理工作:
1、做好重大、重要风险管控方案的策划工作。在股份公司重大、重要风险管控方案的基础上,结合集团公司2014年度重大、重要风险评估情况,针对确定的重大、重要风险制订管控方案和整改计划,明确整改责任部门、责任人员、时间节点、整改措施等,对集团公司重点管控的10个风险进行实时监控,确保风险得到有效防控。
2、持续开展风险信息收集和评估分析工作。建立合理有效的风险信息收集渠道,推进风险信息收集常态化、标准化和制度化,重点抓好各单位、各部门风险预警信息、风险事件和案例分析、风险工作动态等三个方面信息的收集,采取风险信息快报、重大风险分析报告、全面风险管理报告等形式上报集团公司管理层和股份公司。在对风险信息收集和评估分析的基础上,完善集团公司风险数据库及风险预警、监控体系。
3、推进内控与风险体系建设向纵深发展。在2013年集团公司风险内控体系建设的基础上,做好重大、重要风险与业务流程的对接,进一步完善风险管控措施。同时,推动风险内控体系建设的纵向深入发展,对工作方案进行完善后,指导所属各单位全面开展内控与风险管理体系建设,建立相应的考核评价机制,实时开展总结交流活动,促进风险管理工作全面发展。
4、加强全面风险管理教育和培训。采取专家集中授课、有奖竞赛等灵活多样的形式组织风险内控教育和培训。培训要更加注重系统性,从增强风险管理意识到全面掌握风险管理知识再到熟练运用风险评估、分析方法等,进行全方位的系统培训,营造全员参与风险管理的氛围,为风险工作的有序开展奠定基础。
5、推进全面风险管理信息化建设。抓住集团公司信息化建设的有利时机,研究探索全面风险管理信息化方案,将风险信息收集、风险评估、风险报告、风险预警等工作流程植入综合信息管理系统,建立相应的模块,达到信息共享与互通,实现对各类风险的实时监控,及时预警,提高风险管理工作效率。
(二)重大、重要风险管理策略及措施
1、市场环境风险管控。综合研判国内外经济形势,处理好企业经营能力不足、经营规模上不去等突出问题,增加企业积累,提升企业应对复杂外部环境的能力。一是从体制、机制方面加大改革力度,按照集团公司与工程公司之间的市场功能定位和市场分工的基本原则,逐步将生产资源向工程公司集中,经营资源向集团公司集中,做实六大区域经营指挥部,发挥好区域指挥部的阵地作用。二是多方施策,综合用力,坚定不移推进“5311”业务结构调整和转型升级战略,积极探索培育关联新兴业务领域的可行性和可能性,下大力气突破经营制约瓶颈,在稳健型经营的基础上接受更好更快发展的考验。三是发挥好专业局这个既有优势,继续巩固利润优势,在保证正常积累的同时,积极研讨新对策,补齐发展短板,提高经营规模支撑力度。四是加快培养经营人才,不断壮大经营队伍,力争到2015年全集团培养出300名以上的经营骨干人才队伍。
2、工程安全风险管控。从目前安全管理形势来看,我们的管理制度体系已经比较健全,关键是抓落实。2014年安全风险防控,一是要抓作风,重点从项目经理的责任心和工班长的责任心抓起。二是从易发群伤群亡的重大风险源和最不放心的工种先下手,包括起吊作业、汽车载人、带电作业、营区防火和既有线施工等。三是从基层工作和基础工作抓起,要不断提升基层干部的安全意识,避免上紧下松,力度层层衰减;要抓好基础,强化制度的执行力;要不断深化安全生产培训,提高职工的安全生产技能;要抓好架子队建设这个根本性问题,组织好专业施工等。四是严字当头,敢于较真,坚持铁腕治理、铁面问责,实行零容忍。
3、成本费用风险管控。一是加强预算二三次分解工作,确保责任传递到职能终端。二是督促各单位认真落实“一项目一推进、一推进六交底”制度,借鉴以往经验做法,层层推进,全面推广。三是狠抓并账、清算、决算、销号、移交等工作,逐个盯控,倒排工期,早关后门,严控支出。四是强化变更索赔,将变更索赔工作前移至责任成本管理前端,研究施工合同、经济政策、技术标准、现场差异等情况,抓好方案优化、物资量价差处理及虚量进蓝图等前期策划工作;围绕隐蔽、迁改、过渡、附属工程,“四新技术”、工期调整、与土建接口、电缆沟敷设与防护、光电缆及专用线引入、施工配合、看护巡视等,夯实资料收集、变更签认、差异消化等基础工作;紧抓投资检算、概算清理等环节,加大跟踪协调力度,提高索赔补差效益。各级经管部门要加强领导,制定目标,交底方法,过程督导。五是突出工程管理对经济运行的基础作用,借助信息系统,加强工程数量管理工作,特别是重点抓好“五量”(施工图、合同、定测、完工、变更工程数量),为编制责任成本预算、物资限额、验工计价、索赔补差等提供依据。六是突出物资管控对项目经济效益影响的重要作用,加大集中采购力度,加强合同管理,严格限额发料制度,加强材料消耗核对、核算与管控。
4、项目管理风险管控。主要解决好项目管理中的突出问题,一是合同中标价预算及时分劈的问题,项目中标后及时把预算分劈下去,着力从管理源头上解决对下计价无依据、拨款无依据、责任成本预算编制无依据、经济责任考核无依据而引发的乱计价、乱拨款和责任成本无从考核等经济运行秩序混乱的现象。二是进一步规范物资招标采购管理,认真解决乱围标、乱告状以及可能发生的暗箱操作等违规问题。三是提升重要管理制度的执行力,严格执行合同评审制度、工程计量支付制度、大额资金使用管理制度;严格授权经营,杜绝越权经营;严格执行法人管项目有关原则,确保重大问题、重要事项始终处于受控状态。四是强化二次经营,抓好索赔补差,要求各单位对铁路项目变更补差认真落实“四定”(定责任人、定目标值、定阶段工作完成时限、定考核奖惩标准),力争变更补差额能占到原合同额的15%以上。五是强化责任成本预算执行检查,加强成本费用对标,加强过程管控和考核,大力压缩非生产性开支,降低管理成本。
5、社会舆情风险管控。重视舆情控制,抓好舆情管理。坚持关口前移,从根本上消除产生负面信息的源泉,正确做好事,做好正确的事,真正筑起企业又好又快发展的“防火墙”。在当前形势下,要特别预防舆论事件的发生,一是抓好作风建设,教育广大干部职工对中央遏制“”及“八项规定”相关要求保持清醒头脑,引起足够重视,切实做到真抓真改,改出实效。二是要求领导干部必须以身作则,率先垂范,勤政廉政,守住道德底线,远离红线,不碰高压线,不做损公肥私、损人利已的事情。三是积极解决职工群众反映的热点问题和难点问题,对拖欠工资及工程款、材料款的问题进行排查,及时消除隐患和不稳定因素。
6、应收账款风险管控。千方百计追收欠款,把有效债权与刚性债务相对平衡作为改善资产质量的一项重要工作来抓。一是高度重视债权风险,特别关注老账、呆账、坏账等显性债权的清理清收,推动清收工作常态化。二是按照“闭环管理、责任落地”原则,健全目标责任制度、例会制度、月分析制度、逐级监管制度等,确保清收工作有组织、有岗位、有人员、有职责、有制度、有目标。三是综合用力,加速确权,分析应收客户工程款成因,并对症下药;同时要前移确权工作,完善基础资料,加强跟踪协调,狠抓过程签认,夯实确权证据。四是创新手段,持久作战,紧盯合同预付款及进度款、尾工款及质保金、其他应收款(押金、保证金、备用金、周转金)、逾期债权等。五是严格并账,及时清算,强化制度执行、计价结算、节点并账等工作。六是强化考核,严格奖惩,科学核定指标,严格责任交底,强化节点考核,及时奖惩兑现。
7、诉讼法律风险管控。一是执行好法律风险告知制度和合同风险交底制度,继续坚持“五项”法律审核,筑牢法律风险防范。二是继续加大法律法规宣传教育力度,增强法律法规意识,坚持市场经济就是法制经济,做到知法、懂法、守法,严格履约,诚信经营。三是在处理矛盾、纠纷和突发事件的过程中,讲究方式方法,在尊重法律、尊重事实的前提下,做到有理、有利、有节,积极妥善地与当事人主动沟通,就地及时化解矛盾,避免矛盾激化。四是建立合理的通报制度,对突发事件或重大纠纷案件,在第一时间逐级上报相关责任人及公司分管领导、主管领导,并同时向宣传部门如实通报情况。五是实施严格的考核奖惩措施,对法律纠纷事件处置不当、并由此引发媒体炒作,给企业造成恶劣影响的,追究相关单位和领导的责任。
8、投资决策风险管控。一是加强投资项目的可研论证工作,尤其对工业企业投资项目严格履行论证、审批程序,切实防范投资风险,明年将对科技公司钢铝复合轨生产线投资项目进行深入研究、论证,确保投资的可行性。二是提高投资项目的决策质量和决策效率。没有经过专题会议研究论证的项目,不安排上董事会研究决策;凡需由董事会决策的事项,须提前七天报董事会秘书处。三是按照中央及上级有关精神和要求,严格控制小轿车购买,原则上不准购买小轿车,各公司项目部、工程指挥部越野车确需新购的,单价必须控制在28万元以内。
9、人力资源风险管控。重点在干部选拔任用上加强管理,预防选人用人失误带来的风险。根据股份公司要求,在干部选拔上,坚持三个原则:一是坚持德才兼备、以德为先的原则,建立健全领导干部业绩评价和政治品德、职业道德、社会公德、家庭美德等评价标准,注重选用讲诚信、讲包容、讲团结、讲实干的人,选人与企业的核心价值观相一致。二是坚持“五湖四海”的原则,鼓励多渠道选拔干部,广开举贤荐能之路,不搞“近亲结婚”或“近亲繁殖”。三是坚持竞争择优的原则,加强各级领导班子建设,不断提高各级领导团队的凝聚力和战斗力,以适应企业结构调整、转型升级、加快发展的工作需要。
10、信息安全风险管控。坚持统筹规划、建管一体、注重实效、常抓不懈的原则,实施整体、合规、持续、先进的管理策略,建立健全完善的信息安全管控体系。一是在管理机制上实行分级管理和领导负责制,信息安全建设资金纳入信息化预算管理,并予以优先保障,信息安全绩效评价纳入信息化绩效评价指标体系。二是在人员管理上坚持任前审查,签署信息安全协议,加强任用中的信息安全培训及违规责任追究,并实施员工任用终止和变化时的信息系统权限变更等措施。三是在环境和资产管理上强化信息化机房和办公区域的物理安全保护、人员出入控制、用电安全控制、消防安全控制和人员日常行为规范等。四是在硬件和软件系统管理上对网络架构设计、网络边界控制、网络接入控制、网络设备使用管理等进行完善,对系统定级与备案、安全设计、软件开发、测试验收、系统交付、安全运维等进行规范,对主机的日常运维、账户、审计日志、补丁、数据备份、变更、病毒防范等加强控制。五是加强数据安全保护,完善数据存储与传输、数据备份、数据恢复管理,定期实施数据恢复演练,并负责数据恢复。六是在应急处置上完善信息安全应急预案,组织相关业务部门与第三方相关人员定期实施应急演练,并加强应急工作的宣传和培训,在应急通信保障、应急技术研究、应急物资配备等方面采取有效措施。
XXX公司
2019年度中央企业全面风险管理报告(报送国资委模板)
一、2018年企业全面风险管理工作回顾
(一)总体情况。
简要介绍本企业2018年全面风险管理工作情况及董事会对此项工作的总体评价情况。
(二)工作亮点。
选择1-2个角度,介绍风险管理的做法、经验和成效。包括:决策层对风险管理的顶层设计、战略引领;风险管理融入企业经营管理;重大风险的识别、分析、评价和应对;风险管理思路和方法创新;风险管理的体制机制建设、组织保障、信息化建设;风险管理的队伍和文化建设等。或介绍1-2个防范应对重大风险的典型案例,反映风险管理工作对企业经营发展的积极作用(如应急管理、风险转移、风险分担、减少损失、拓展机会、促成合作等)。
(三)风险事件。
按照重大风险事件等级标准,按附表2格式填报本年内企业发生的重大风险事件,并说明相应的产生原因、造成影响、控制措施、事件进展等情况。
二、2019年企业重大风险研判
结合企业实际、行业特点和国内外形势,评估本企业2019年面临的2-3个重大风险,请在附表3中填报,类别请严格按照附表4填写。
篇5
【摘要题】信息法学
【关键词】电子商务/网络/信息安全/信息安全技术/数字认证/信息安全协议/信息安全对策
美国著名未来学家阿尔温·托夫勒说:“电脑网络的建立和普及将彻底改变人类生存及生活的模式,控制与掌握网络的人就是未来命运的主宰。谁掌握了信息,控制了网络,谁就拥有整个世界。”的确,网络的国际化、社会化、开放化、个人化诱发出无限的商机,电子商务的迅速崛起,使网络成为国际竞争的新战场。然而,由于网络技术本身的缺陷,使得网络社会的脆性大大增加,一旦计算机网络受到攻击不能正常运作时,整个社会就会陷入危机。所以,构筑安全的电子商务信息环境,就成为了网络时展到一定阶段而不可逾越的“瓶颈”性问题,愈来愈受到国际社会的高度关注。
电子商务中的信息安全技术
电子商务的信息安全在很大程度上依赖于技术的完善,这些技术包括:密码技术、鉴别技术、访问控制技术、信息流控制技术、数据保护技术、软件保护技术、病毒检测及清除技术、内容分类识别和过滤技术、网络隐患扫描技术、系统安全监测报警与审计技术等。
1.防火墙技术。防火墙(Firewall)是近年来发展的最重要的安全技术,它的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络(被保护网络)。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略对其进行检查,来决定网络之间的通信是否被允许,并监视网络运行状态。简单防火墙技术可以在路由器上实现,而专用防火墙提供更加可靠的网络安全控制方法。
防火墙的安全策略有两条。一是“凡是未被准许的就是禁止的”。防火墙先是封闭所有信息流,然后审查要求通过的信息,符合条件的就让通过;二是“凡是未被禁止的就是允许的”,防火墙先是转发所有的信息,然后再逐项剔除有害的内容,被禁止的内容越多,防火墙的作用就越大。网络是动态发展的,安全策略的制定不应建立在静态的基础之上。在制定防火墙安全规则时,应符合“可适应性的安全管理”模型的原则,即:安全=风险分析+执行策略+系统实施+漏洞监测+实时响应。防火墙技术主要有以下三类:
包过滤技术(PackctFiltering)。它一般用在网络层,主要根据防火墙系统所收到的每个数据包的源IP地址、目的IP地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包中的各种标志位来进行判定,根据系统设定的安全策略来决定是否让数据包通过,其核心就是安全策略,即过滤算法的设计。
(Proxy)服务技术。它用来提供应用层服务的控制,起到外部网络向内部网络申请服务时的中间转接作用。内部网络只接受提出的服务请求,拒绝外部网络其它节点的直接请求。运行服务的主机被称为应用机关。服务还可以用于实施较强的数据流监控、过滤、记录等功能。
状态监控(StatcInnspection)技术。它是一种新的防火墙技术。在网络层完成所有必要的防火墙功能——包过滤与网络服务。目前最有效的实现方法是采用CheckPoint)提出的虚拟机方式(InspectVirtualMachine)。
防火墙技术的优点很多,一是通过过滤不安全的服务,极大地提高网络安全和减少子网中主机的风险;二是可以提供对系统的访问控制;三是可以阻击攻击者获取攻击网络系统的有用信息;四是防火墙还可以记录与统计通过它的网络通信,提供关于网络使用的统计数据,根据统计数据来判断可能的攻击和探测;五是防火墙提供制定与执行网络安全策略的手段,它可以对企业内部网实现集中的安全管理。
防火墙技术的不足有三。一是防火墙不能防止绕过防火墙的攻击;二是防火墙经不起人为因素的攻击。由于防火墙对网络安全实施单点控制,因此可能受到黑客的攻击;三是防火墙不能保证数据的秘密性,不能对数据进行鉴别,也不能保证网络不受病毒的攻击。
2.加密技术。数据加密被认为是最可靠的安全保障形式,它可以从根本上满足信息完整性的要求,是一种主动安全防范策略。数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据。通过使用不同的密钥,可用同一加密算法,将同一明文加密成不同的密文。当需要时可使用密钥将密文数据还原成明文数据,称为解密。
密钥加密技术分为对称密钥加密和非对称密钥加密两类。对称加密技术是在加密与解密过程中使用相同的密钥加以控制,它的保密度主要取决于对密钥的保密。它的特点是数字运算量小,加密速度快,弱点是密钥管理困难,一旦密钥泄露,将直接影响到信息的安全。非对称密钥加密法是在加密和解密过程中使用不同的密钥加以控制,加密密钥是公开的,解密密钥是保密的。它的保密度依赖于从公开的加密密钥或密文与明文的对照推算解密密钥在计算上的不可能性。算法的核心是运用一种特殊的数学函数——单向陷门函数,即从一个方向求值是容易的,但其逆向计算却很困难,从而在实际上成为不可能。
除了密钥加密技术外,还有数据加密技术。一是链路加密技术。链路加密是对通信线路加密;二是节点加密技术。节点加密是指对存储在节点内的文件和数据库信息进行的加密保护。
3.数字签名技术。数字签名(DigitalSignature)技术是将摘要用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务安全保密系统中,数字签名技术有着特别重要的地位,在电子商务安全服务中的源鉴别、完整、不可否认服务中都要用到数字签名技术。
在书面文件上签名是确认文件的一种手段,其作用有两点,一是因为自己的签名难以否认,从而确认文件已签署这一事实;二是因为签名不易仿冒,从而确定了文件是真的这一事实。数字签名与书面签名有相同相通之处,也能确认两点,一是信息是由签名者发送的,二是信息自签发后到收到为止未曾做过任何修改。这样,数字签名就可用来防止:电子信息因易于修改而有人作伪;冒用别人名义发送信息;发出(收到)信件后又加以否认。
广泛应用的数字签名方法有RSA签名、DSS签名和Hash签名三种。RSA的最大方便是没有密钥分配问题。公开密钥加密使用两个不同的密钥,其中一个是公开的,另一个是保密的。公开密钥可以保存在系统目录内、未加密的电子邮件信息中、电话黄页上或公告牌里,网上的任何用户都可获得公开密钥。保密密钥是用户专用的,由用户本身持有,它可以对公开密钥加密的信息解密。DSS数字签名是由美国政府颁布实施的,主要用于跟美国做生意的公司。它只是一个签名系统,而且美国不提倡使用任何削弱政府窃听能力的加密软件。Hash签名是最主要的数字签名方法,跟单独签名的RSA数字签名不同,它是将数字签名和要发送的信息捆在一起,所以更适合电子商务。
4.数字时间戳技术。在电子商务交易的文件中,时间是十分重要的信息,是证明文件有效性的主要内容。在签名时加上一个时间标记,即有数字时间戳(DigitaTimestamp)的数字签名方案:验证签名的人或以确认签名是来自该小组,却不知道是小组中的哪一个人签署的。指定批准人签名的真实性,其他任何人除了得到该指定人或签名者本人的帮助,否则不能验证签名。
时间戳(Time-Stamp)是一个经加密后形成的凭证文档,包括三个部分。一是需加时间戳的文件的摘要(Digest),二是DTS收到文件的日期与时间,三是DIS数字签名。
时间戳产生的过程是:用户首先将需要加时间的文件用HASH编码加密形成摘要,然后将该摘要发送到DTS,DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密(数字签名),然后送回用户。书面签署文件的时间是由签署人自己写上的,数字时间则不然,它是由认证单位DIS来加的,以DIS收到文件的时间为依据。
数字认证及数字认证授权机构
1.数字证书。数字证书也叫数字凭证、数字标识,它含有证书持有者的有关信息,以标识他的身份。数字证书克服了密码在安全性和方便性方面的局限性,可以控制哪些数据库能够被查看,因此提高了总体的保密性。
数字证书的内容格式是CCTTTX.509国际标准规定的,通常包括以下内容:证书所有者的姓名;证书所有者的公共密钥;公共密钥(证书)的有效期;颁发数字证书单位名称;数字证书的序列号;颁发数字证书单位的数字签名。
数字证书通常分为三种类型,即个人证书、企业证书、软件证书。个人证书(PersonalDigital)为某一个用户提供证书,帮助个人在网上安全操作电子交易。个人数字证书是向浏览器申请获得的,认证中心对申请者的电子邮件地址、个人身份及信用卡号等核实后,就发给个人数字证书,并安置在用户所用的浏览器或电子邮件的应用系统中,同时也给申请者发一个通知。企业证书,就是服务器证书(ServerID),是对网上服务器提供的一个证书,拥有Web服务器的企业可以用具有证书的Internet网站(WebSite)来做安全的电子交易。软件证书通常是为网上下载的软件提供证书,证明该软件的合法性。
2.电子商务数字认证授权机构。电子商务交易需要电子商务证书,而电子商务认证中心(CA)就承担着网上安全电子交易认证服务、签发数字证书并确认用户身份的功能。
CA主要提供下列服务:有效实行安全管理的设施;可靠的风险管理以及得到确认和充分理解。接受该系统服务的电子商务用户也应充分信任该系统的可信度。CA具有证书发放、证书更新、证书撤销、证书验证等四大职能。
若未建立独立的注册机构,认证中心则在完成注册机构的功能以外还要完成下列功能:接收、处理证书申请,确立是否接受或拒绝证书申请,向申请者颁发或拒绝颁发证书,证书延期,管理证书吊销目录,提供证书的在线状况,证书归档;提供支持服务,提供电话支持,帮助用户解决与证书有关的问题;审核记录所有同安全有关的活动;提供灵活的结构,使用户可以用自己的名字对服务命名;为认证中心系统提供可靠的安全支持;为认证中心的可靠运营提供一套政策、程序及操作指南。
电子商务信息安全协议
1.安全套接层协议。安全套接层协议(SecureSocketsLayer,SSL)是由NetscapeCommunication公司1994年设计开发的,主要用于提高应用程序之间的数据的安全系数。SSL协议的整个概念可以被总结为:一个保证任何安装了安全套接层的客户和服务器之间事务安全的协议,该协议向基于TCP/IP的客户/服务器应用程序提供了客户端与服务的鉴别、数据完整性及信息机密性等安全措施。
SSL安全协议主要提供三方面的服务。一是用户和服务器的合法性保证,使得用户与服务器能够确信数据将被发送到正确的客户机和服务器上。客户机与服务器都有各自的识别号,由公开密钥编排。为了验证用户,安全套接层协议要求在握手交换数据中作数字认证,以此来确保用户的合法性;二是加密数据以隐藏被传递的数据。安全套接层协议采用的加密技术既有对称密钥,也有公开密钥,在客户机和服务器交换数据之前,先交换SSL初始握手信息。在SSL握手信息中采用了各种加密技术,以保证其机密性与数据的完整性,并且经数字证书鉴别;三是维护数据的完整性。安全套接层协议采用Hash函数和机密共享的方法来提供完整的信息服务,建立客户机与服务器之间的安全通道,使所有经过安全套接层协议处理的业务能全部准确无误地到达目的地。
2.安全电子交易公告。安全电子交易公告(SET:SecureElectronicTransactions)是为在线交易设立的一个开放的、以电子货币为基础的电子付款系统规范。SET在保留对客户信用卡认证的前提下,又增加了对商家身份的认证。SET已成为全球网络的工业标准。
SET安全协议的主要对象包括:消费者(包括个人和团体),按照在线商店的要求填写定货单,用发卡银行的信用卡付款;在线商店,提供商品或服务,具备使用相应电子货币的条件;收单银行,通过支付网关处理消费者与在线商店之间的交易付款;电子货币发行公司以及某些兼有电子货币发行的银行。负责处理智能卡的审核和支付;认证中心,负责确认交易对方的身份和信誉度,以及对消费者的支付手段认证。
SET协议规范的技术范围包括:加密算法的应用,证书信息与对象格式,购买信息和对象格式,认可信息与对象格式。
SET协议要达到五个目标:保证电子商务参与者信息的相应隔离;保证信息在互联网上安全传输,防止数据被黑客或被内部人员窃取;解决多方认证问题;保证网上交易的实时性,使所有的支付过程都是在线的;效仿BDZ贸易的形式,规范协议和消息格式,促使不同厂家开发的软件具有兼容性与交互操作功能,并且可以运行在不同的硬件和操作系统平台上。
3.安全超文本传输协议(S-HTTP)。依靠密钥的加密,保证Web站点间的交换信息传输的安全性。SHTTP对HT-TP的安全性进行了扩充,增加了报文的安全性,是基于SSL技术的。该协议向互联网的应用提供完整性、可鉴别性、不可抵赖性及机密性等安全措施。
4.安全交易技术协议(STT)。STT将认证与解密在浏览器中分离开,以提高安全控制能力。
5.UN/EDIFACT标准。UN/EDIFACT报文是唯一的国际通用的电子商务标准。在ISO的IS09735(即UN/EDI-FACT语法规则)新版本中,包括描述UN/EDIFACT中实施安全措施的五个新部分,即:第五部分——批式电子商务(可靠性、完整性和不可抵赖性)的安全规则;第六部分——安全鉴别与确认报文(AUTACK);第七部分——批式电子商务(机密性)的安全规则;第九部分——安全密钥和证书管理报告(KEYMAN);第十部分——交互式电子商务的安全规则。
UN/EDIFACT的安全措施通过集成式与分离式两种途径来实现。集成式的途径是通过在UN/EDIFACT报文结构中使用可选择的安全头段和安全尾段来保证报文内容的完整性、报文来源的不可抵赖性;分离式途径是通过发送三种特殊的UN/EDIFACT报文(即AUTCK、KEYMAN和CI-PHER)来达到安全目的。
6.《电子交换贸易数据统一行为守则》(UNCID)。UNCID由国际商会制定,该守则第六条、第七条、第九条分别就数据的保密性、完整性及贸易双方签订协议等问题做了规定。
电子商务中的信息安全对策
1.提高对网络信息安全重要性的认识。信息技术的发展,使网络逐渐渗透到社会的各个领域,在未来的军事和经济竞争与对抗中,因网络的崩溃而促成全部或局部的失败,决非不可能。我们在思想上要把信息资源共享与信息安全防护有机统一起来,树立维护信息安全就是保生存、促发展的观念。我国公民中的大多数人还是“机盲”、“网盲”,另有许多人仅知道一些关于网络的肤浅知识,或仅会进行简单的计算机操作,对网络安全没有深刻认识。应该以有效方式、途径在全社会普及网络安全知识,提高公民的网络安全意识与自觉性,学会维护网络安全的基本技能。
2.加强网络安全管理。我国网络安全管理除现有的部门分工外,要建立一个具有高度权威的信息安全领导机构。只有在中央建立起这样一个组织,才能有效地统一、协调各部门的职能,研究未来趋势,制定宏观政策,实施重大决定。对于计算机网络使用单位,要严格执行《中华人民共和国计算机信息系统安全保护条例》与《计算机信息网络安全保护管理办法》,建立本单位、本部门、本系统的组织领导管理机构,明确领导及工作人员责任,制定管理岗位责任制及有关措施,严格内部安全管理机制。具体的安全措施如:把好用户入网关、严格设置目录和文件访问的权限,建立对应的属性措施,采用控制台加密封锁,使文件服务器安全可靠;用先进的材料技术,如低阻材料或梯性材料将隔离设备屏蔽起来,降低或杜绝重要信息的泄露,防止病毒信息的入侵;运用现代密码技术,对数据库与重要信息加密;采用防火墙技术,在内部网和外部网的界面上构造保护层。
3.加快网络安全专业人才的培养。我国需要大批信息安全人才来适应新的网络安全保护形势。高素质的人才只有在高水平的研究教育环境中迅速成长,只有在高素质的队伍保障中不断提高。应该加大对有良好基础的科研教育基地的支持和投入,多出人才,多出成果。在人才培养中,要注重加强与国外的经验技术交流,及时掌握国际上最先进的安全防范手段和技术措施,确保在较高层次上处于主动。要加强对内部人员的网络安全培训,防止堡垒从内部攻破。
4.开展网络安全立法和执法。一是要加快立法进程,健全法律体系。自1973年世界上第一部保护计算机安全法问世以来,各国与有关国际组织相继制定了一系列的网络安全法规。我国政府也十分重视网络安全立法问题,1996年成立的国务院信息化工作领导小组曾设立政策法规组、安全工作专家组,并和国家保密局、安全部、公安部等职能部门进一步加强了信息安全法制建设的组织领导与分工协调。我国已经颁布的网络法规如:《计算机软件保护条例》、《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国信息网络国际联网安全管理暂行规定》、《计算机信息网络国际联网管理办法》、《计算机信息系统国际联网保密管理规定》等。1997年10月1日起生效的新《刑法》增加了专门针对信息系统安全的计算机犯罪的规定:违犯国家规定,侵入国家事务、国防建设、尖端科学领域的计算机系统,处三年以下有期徒刑或拘役;违犯国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机系统不能正常运行,后果严重的处五年以下有期徒刑,后果特别严重的处五年以上有期徒刑;违犯国家规定,对计算机信息系统存储、处理或者传输的数据与应用程序进行删除、修改、增加操作,后果严重的应负刑事责任。这些法规对维护网络安全发挥了重要作用,但不健全之处还有许多。一是应该结合我国实际,吸取和借鉴国外网络信息安全立法的先进经验,对现行法律体系进行修改与补充,使法律体系更加科学和完善;二是要执法必严,违法必纠。要建立有利于信息安全案件诉讼与公、检、法机关办案的制度,提高执法的效率和质量。
5.抓紧网络安全基础设施建设。一个网络信息系统,不管其设置有多少道防火墙,加了多少级保护或密码,只要其芯片、中央处理器等计算机的核心部件以及所使用的软件是别人设计生产的,就没有安全可言;这正是我国网络信息安全的致命弱点。国民经济要害部门的基础设施要通过建设一系列的信息安全基础设施来实现。为此,需要建立中国的公开密钥基础设施、信息安全产品检测评估基础设施、应急响应处理基础设施等。
6.把好网络建设立项关。我国网络建设立项时的安全评估工作没有得到应有重视,这给出现网络安全问题埋下了伏笔。在对网络的开放性、适应性、成熟性、先进性、灵活性、易操作性、可扩充性综合把关的同时,在立项时更应注重对网络的可靠性、安全性评估,力争将安全隐患杜绝于立项、决策阶段。
7.建立网络风险防范机制。在网络建设与经营中,因为安全技术滞后、道德规范苍白、法律疲软等原因,往往会使网络经营陷于困境,这就必须建立网络风险防范机制。为网络安全而产生的防止和规避风险的方法有多种,但总的来讲不外乎危险产生前的预防、危险发生中的抑制和危险发生后的补救。有学者建议,网络经营者可以在保险标的范围内允许标保的财产进行标保,并在出险后进行理赔。
8.强化网络技术创新。如果在基础硬件、芯片方面不能自主,将严重影响我们对信息安全的监控。为了建立起我国自主的信息安全技术体系,利用好国内外两个资源,需要以我为主,统一组织进行信息安全关键技术攻关,以创新的思想,超越固有的约束,构筑具有中国特色的信息安全体系。特别要重点研究关键芯片与内核编程技术和安全基础理论。
9.注重网络建设的规范化。没有统一的技术规范,局部性的网络就不能互连、互通、互动,没有技术规范也难以形成网络安全产业规模。目前,国际上出现许多关于网络安全的技术规范、技术标准,目的就是要在统一的网络环境中保证信息的绝对安全。我们应从这种趋势中得到启示,在同国际接轨的同时,拿出既符合国情又顺应国际潮流的技术规范。
10.建设网络安全研究基地。应该把我国现有的从事信息安全研究、应用的人才很好地组织起来,为他们创造更优良的工作学习环境,调动他们在信息安全创新中的积极性。一是要落实相关政策,在收入、福利、住房、职称等方面采取优惠政策;二是在他们的科研立项、科研经费方面采取倾斜措施;三是创造有利于研究的硬环境,如仪器、设备等;四是提供学习交流的机会。
11.促进网络安全产业的发展。扶持具有中国特色的信息安全产业的发展是振兴民族信息产业的一个切入点,也是维护网络安全的必要对策。为了加速发展我国的信息安全产业,需要尽快解决资金投入、对外合作、产品开发、安全评测、销售管理、采购政策、利益分配等方面存在的问题。
【参考文献】
[1]屈云波.电子商务[M].北京:企业管理出版社,1999.
[2]赵立平.电子商务概论[M].上海:复旦大学出版社,2000.
[3]赵战生.我国信息安全及其技术研究[J].中国信息导报,1999,(8):5-7.
[4]郭晓苗.Internet上的信息安全保护技术[J].现代图书情报技术,2000,(3):50-51.
[5]吉俊虎.网络和网络安全刍议[J].中国信息导报,1989,(9):23-24.
