风险管理的主要步骤范文1
摘要:文章分析了项目风险管理与风险管理审计的关系以及建筑工程项目风险管理审计的自身特点和现状,阐述了建筑工程项目风险管理审计的一般原理和审计步骤,对几类工程风险管理审计进行了探讨。
风险是指组织内部受到某些不确定因素的影响而遭受某种损失的可能性。建筑工程项目一般具有投入资金多、规模大、周期长、不确定性因素多、易受自然条件及地质水文情况和社会环境因素影响等特点,在工程建设期间,工程项目管理组织将不可避免地面临各种各样的风险。随着现代建筑工程项目逐步大型化,国内一些管理组织在20世纪90年代末不断将工程项目风险管理理论应用于工程实践,以使工程项目最大程度上避免各种风险给工程带来的损失,提高管理效率,促进经济效益。
本文论述的建筑工程项目风险管理审计是指业主内部审计部门采用一种系统化、规范化的方法,对工程投资决策、财务管理、工程质量、工期、造价、技术等风险的识别、分析、评价、处理等管理行为的一系列审核活动,是对工程项目风险管理的控制、监督及评价的过程。
一、工程项目风险管理与风险管理审计
工程项目风险管理是项目管理人员对可能导致损失的项目不确定性进行预测、识别、分析、评估和有效地处置,以最低成本为项目的顺利完成提供最大安全保障的科学管理方法。
建筑工程项目风险管理审计是指工程项目组织内部审计部门、内部审计人员采用一种系统化、规范化的方法,对组织内部风险管理程序、对策及体制、机制的合理性、有效性进行审查和评价,是对工程项目风险管理系统的控制、监督及评价的过程。
关于风险管理与风险管理审计二者的关系《,内部审计具体准则第16号-风险管理审计》中提出“风险管理是组织内部控制的一部分,内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一”。可以看出,风险管理是风险管理审计的前提和基础,风险管理审计注重确认和测试风险管理部门为降低风险而采取的方式和方法及相关制度和程序,与风险管理本身有所区别。但从工作步骤、工作方法上看,二者有很多相似,其功能和最终目的都是减少组织风险损失,提高组织管理效益,因而风险管理内部审计从某种意义上说又是风险管理的组成部分和重要内容。
二、开展建筑工程项目风险审计的自身特点和现状
1.建筑工程项目风险审计的自身特点。第一,审计范围广。工程项目风险管理审计注重确认和测试风险管理部门为降低风险而采取的方式和方法,因此审计工作涉及整个工程项目管理系统。第二,审计专业性要求更强。审计人员的审计工作由原来的内部控制审计扩展到所有工程风险管理技术审计,工程项目风险管理审计还要求广泛运用统计分析、计算机等技术方法,因此,对审计人员专业技能要求较高。第三,开展工程项目风险管理审计要求有较完备的管理系统及其子系统,如风险管理系统、合同管理系统等,为风险管理审计提供支持。
2.我国开展建筑工程项目风险审计现状。近些年,一些大中型建筑工程项目管理者开始认识到风险管理在现代项目管理中的重要作用,逐步将风险管理理论应用于工程管理实践。但就总体而言,项目管理者风险意识淡薄,缺乏积极、主动、系统的风险管理行为。工程项目管理过程中的风险管理活动往往是瞬时的或者间断性的,缺乏对风险进行定期的复核和再评估。另外,大部分工程项目管理组织的风险管理组织架构还不完善,缺乏现代意义上独立的风险管理部门。这里我们引用风险管理研究与开发项目合作组提出的项目风险管理成熟度模型的四个等级标准,即临时级、初始级、可重复级、管理级。可以看出,风险管理实践在我国建筑工程管理实践中的应用还处在初始级或可重复级。
而风险管理审计工作作为一种现代审计模式,在建筑工程管理实践中,受到管理者风险意识程度、组织内部机构设置、内部审计技术力量等因素的影响,在大多数工程项目中还未全面开展,工程项目风险管理审计尚处在理论研究与初步实践阶段。
三、工程项目风险管理审计的一般原则和审计步骤
1.一般原则。建筑工程项目的风险管理审计应当坚持依法审计、实事求是、独立客观、职业审慎、保守秘密等原则。内部审计人员应认真贯彻执行国家的方针政策、法律法规、规章制度和实务标准,充分考虑工程项目风险管理审计的复杂性、艰巨性,遵循适当程序,采用先进方法和手段,科学有序地按步骤开展审计工作。风险管理审计工作应有利于工程项目生产与管理,增加企业效益。
2.审计步骤。建筑工程项目风险审计的工作要求高、专业性强、责任重、审计风险大。要做好建筑工程项目风险审计工作,防范审计风险,一般要按以下步骤开展各项风险管理审计工作。第一,识别风险。制定工程项目风险管理审计计划,包括制定工程项目财务风险管理、施工生产风险管理、建筑市场风险管理、项目组织人事风险管理和其他风险管理审计计划,确定风险管理审计的位置和背景。第二,分析风险。对工程风险迹象进行深入了解、做好记录,并对风险进行分类。第三,评估风险。分析工程风险的成因及其影响,确定风险程度及等级。第四,监控风险。对可能发生的风险和损失进行跟踪检查或后评估。跟踪已识别风险的发展变化情况,包括在整个工程项目生命周期内,风险产生
的条件和导致的后果变化。第五,处置风险。
以上审计步骤,是开展建筑工程项目的各项风险管理审计具体工作的一般步骤,同时也是风险管理审计的基础性工作,它与各业务部门风险管理的具体工作既有所联系,又有所区别。内部审计机构、内部审计人员应协调各业务部门严格按照以上审计步骤,扎实地做好风险管理审计的基础性工作,有效防范审计风险。
四、建筑工程项目的几类风险管理审计
建筑工程项目的风险管理审计主要包括工程风险管理体制审计、工程风险管理机制审计、工程风险管理程序审计、工程风险管理对策审计。工程项目组织内部审计机构、内部审计人员可以针对建筑工程项目的特点,在工程项目进展的不同阶段应有重点地、有计划地、分步骤地开展以上几类风险管理审计工作。之间并不是彼此分开的,而是相互联系、互为一体的,都是开展风险管理审计工作的重要组成部分,只是在工程项目的不同阶段审计工作的侧重点不同。
1.工程风险管理体制审计。工程风险管理体制审计主要在工程项目组织成立初期开展,审查、评价风险管理体制的合理性和完善性。重点审查、评价建立风险管理制度是否经过充分论证,财务管理体制、考核评价体制和责任追究制度等制度是否健全。
2.工程风险管理机制审计。工程风险管理机制审计一般同风险管理体制审计在项目组织成立初期同期开展,主要审查评价风险管理机制的结构性和尽责性。重点审查、评价高层管理人员和重要岗位业务人员的风险管理理念及对风险管理的重视程度;审查评价工程风险管理人员的结构和素质,是否具备胜任风险管理的能力,有无高度的事业心和责任心;审查评价全员风险管理的情况,包括工程管理人员在风险管理中岗位的设定和责任的明确性。
以上两项审计是从组织建设方面对风险管理系统的审查和评价,目的是为组织决策层提供组织建设决策依据。虽然这两项审计相对于后面叙述的工程风险管理程序与对策审计,从技术层面上来讲要相对简单,更加侧重于对组织的定性评价,但完善、合理的组织建设是风险管理的基础,同时,也为风险管理程序与对策审计提供组织方面的支持,因此风险管理体制与机制审计工作要认真做到科学、客观、公正、有效。
3.工程风险管理程序审计。工程风险管理程序审计贯穿于工程项目管理的始终,审查、评价内容包括从工程项目的可行性研究、设计,直到项目施工、验收、后期服务等工程项目风险管理框架结构内的所有内容,主要审查、评价风险管理程序的科学性和合理性。内部审计机构应有重点地、有较强针对性地开展审计工作。比如,工程招投标阶段,重点审查、评价招投标过程中风险管理部门是否采取了规范化程序规避风险,规避风险程序是否有效运行;施工过程中,风险管理程序是否有效地通过管理信息系统使得规避风险措施在工程管理中得到落实;组织之间、组织与外部之间财务往来核算办法是否能够通过风险管理程序有效规避风险等。风险管理程序审计和后面叙述的风险管理对策审计涉及到内部审计机构与组织内部各业务部门之间的协调,同时也需要组织内部各部门间的配合,还需要合同管理系统、施工管理系统等其他管理子系统的协作,是开展建筑工程项目的风险管理风险审计的工作重点,也是工作难点。
4.工程风险管理对策审计。工程风险管理对策审计重点审查、评价工程风险管理对策的周密性,即风险应对计划是否对已经发现的风险的每个层面均作了应对的安排,制定风险防范对策有否考虑风险的可规避性、可转移性、可缓解性、可接受性;审查、评价工程风险管理对策的可行性,即风险应对策略是否对已经发现的风险的每个层面采取了有效的措施,是否采取了风险控制、风险自留、风险转移等对策。利用合同条款规避工程风险是工程中最经常、最广泛采用的风险管理办法,因此结合工程实际,工程风险管理对策审计可以通过对工程各级阶段签订合同以及合同实施情况的审查,并结合其他审计程序来完成,已达到对风险管理对策周密性和可行性的审查、评价。
工程风险管理对策审计更加侧重技术审计,工程项目实施阶段各种技术应用复杂、繁多,审计人员不可能对每一项风险规避技术做到充分了解、掌握。内部审计机构可以在各具体业务部门聘请兼职审计员,充实到审计队伍中,增强技术力量,提高工作效率。
五、审计报告
工程风险管理审计报告是风险管理审计的结果,主要包括以下几个内容:第一,审计情况介绍。包括工程项目风险管理审计的范围、内容、方式、时间等。第二,工程项目目前进展的实际状态以及未来状态。第三,风险分析和风险管理评价。第四,工程项目关键的管理问题。第五,最终结论及建议。
审计报告由内部审计机构、内部审计人员撰写,要求做到客观公正、重点突出、专业性强,在征求被审计单位意见后提交工程项目组织管理层审核和应用。
六、工程风险管理审计的注意事项
1.注意建立内部审计机构、内部审计人员与组织其他部门的信任。可以通过聘请兼职审计员,增强技术力量的同时,加强组织内部横向、纵向的联系,增强组织间信任。
2.工程项目风险管理审计要求内部审计机构能够及时、准确地获得与工程项目实施相关的工程信息,要求组织有较完备的信息系统作为工程项目风险管理审计的支持。
3.工程项目风险管理审计作为一种新型的复合型边缘管理实践,它要求审计人员不仅要具有良好的专业素质,更要求相关人员具有对复杂环境的洞察力和减少环境复杂性的能力。
工程项目组织应不断提高审计人员综合素质,培养高层次的复合型人才。
参考文献:
1.邱菀华.现代项目风险管理方法与实践[M].科学出版社,2003
风险管理的主要步骤范文2
关键词:IT服务管理,变更管理,模型,流程
Change Management 是IT 服务管理框架中的重要组成部分。
IT 服务管理中所谓变更change,即可能对IT 服务造成影响的对任何事物的增加、更改或移除。其涵盖范围包括所有的IT 服务、配置项、流程、文档等。这些change 可能是IT 内部发起的,也可能来自用户的要求;既可能是主动发起的改进,也可能是incident、problem 所导致的;既可能是服务改变、应用系统开发启动这样高层次变更,也可能是具体的操作,比如办公室搬家、服务器替换。
负责控制所有change 生命周期的流程就是变更管理流程Change Management Process。Change Management 的首要目的是使有益的Change 发生,同时最小化IT 服务的中断。它通过采用标准化的方法和过程快速高效地处理change。实际上,Change Management 的过程就是用可控的方式保证change 被记录、评估、授权、优先级划分、计划、测试、部署、归档和回顾检查的过程。在这个过程中,相关的信息被记录至配置管理系统,整体的业务风险获得优化。
在ITIL v3 中,v2 时原有的10个流程被进一步分化、加强,Service Strategy 阶段以及Transition Planning and Support 等流程的引入,使得对投资和风险的优化可以更加专业的发生在多个层次上,使Change Management 可以更加专注于处理操作层面change 或是对高层次change 进入实践的最后一步控制,从某种程度上为Change Management 减负,也使这套IT 服务管理架构获得了更好的适应性,以应对更大规模的或是业务管理灵活的组织。
1. 变更管理中变更请求受理及评估过程的意义
按照change 的定义,所谓“可能对IT 服务造成影响的”“对任何事物的增加、更改或移除”,意味着IT 服务管理中涉及的change 无处不在,新员工账号的创建、离职员工账号的删除、新电脑的加入、会议室网口的增加、新应用系统的上线、老应用系统或是服务器的下线、服务器密码的统一修改、Windows 系统的定期补丁升级或其他应用系统更新、办公室搬迁、新型号打印机的引入、文件服务器上share folder 的调整、服务合同的续签、对某些网站访问的屏蔽、leased line 带宽升级等等,还包括那些难以分类界定的和IT 有关的需求。
实践中的change数量巨大,而Change Management 要求快速高效地处理change 同时还要控制风险, 在某些组织中还希望尽可能优化资源投入,难度可想而知,于是采用标准化的方法和过程成为必然。同时,change 又是多种多样的,为了达到标准化处理的目的,首先就需要采取分类处理的办法。
Normal change 处理的主要过程为,
1. 接受并核查RFC;
2. 评估Change,记录风险和影响;
3. 计划及授权;
4. 准备Change 执行;
5. 执行Change;
6. 检查并结束Change。
此外对于standard change 可以建立单独的处理流程,
7. Standard Change 流程
分类的过程发生在步骤1. 接受并核查RFC。在所需信息基本完整的情况下,尽早进行分类,可以使后续工作的标准化更加容易。例如可以在步骤1 处选择是否进入standard change 流程以及判断属于哪类standard change。信息收集和分类,是所有后续Change Management 活动的基础,应细腻适度。
步骤2. 评估Change,记录风险和影响,这步是change 授权决策及执行的最重要的基础,也是Change Management 实现其价值的重要步骤。Change Management 的价值不仅体现在change 的实施结果、多个change 间的安排和执行中的资源调度优化上,也体现在通过影响和风险的分析,提出良好的实施方案,以及对风险的避免或弱化,这部分的价值是无论change最终是否实施都存在的。
2. 方法和模型
步骤1. 接受并核查RFC
鉴于change 的复杂性,Change Management 所接收的RFC (Request for Change) 可能有各种不同的来源,包括发起自IT 组织本身的,也包括源自客户或是最终用户的。由于Service Desk 是最终用户与IT 组之间的主要联络点(Primary Point of Contact),因此绝大部分直接来自最终用户的变更需求都会是经由Service Desk 及其所主要工作在的Incident Management 流程转至Change Management。此外,其他IT 服务管理流程,如Service Design 中的Service Level Management,Service Transition 中的Transition Planning and Support,Service Operation 中的Problem Management 等等,几乎所有流程,只要涉及变更,都需要触发Change Management,即生成RFC 发送至Change Management,并由Change Management 完成相应的授权及管理控制。
步骤1.1 接收和过滤RFC。RFC 的提交不同的组织中可以采取不同的方式,可以通过电子邮件附带特定格式的word 或是excel 文件、可以通过网页或是InfoPath 提交、也可以采用专用的IT 服务管理信息系统如Remedy 等。无论采用何种方式,一般来说,RFC 中都会包含以下内容,申请者信息、变更的描述、原因、相关记录(incident、problem 或其他change 等)、已知的影响和风险、建议的优先级、建议的实施时间、预期的时间和费用消耗等。
除了明确定义为属于service request 或其它流程处理范围的,或是明确定义为不属于change 或IT 服务范围的,其他所有包含变更的请求都有可能会被发送至Change Management。Change Management 小组成员需要根据相关政策、要求确认所接收到的请求是否为Change Management 处理范围,如果不是,则返还给请求的发送者,或是转发给正确的处理者。如果初步判定为在Change Management 处理范围内,则需确认所需信息是否完整齐备。
步骤1.2 核对相关合同。来自用户的对信息、设备、标准变更、或服务使用权等的请求,如要求重置密码、新用户申请邮件账号等,属于合同范围你的标准服务请求,通常归为service request,由Service Desk 在Request Fulfillment 流程中完成,此类请求不会进入Change Management,或是在1.1 接收和过滤RFC 阶段中即被退回。对于没有被当前服务合同所完全涵盖、同时有必要通过合同进行处理的变更请求,一般首先需要进行进行项目的开发、准备,而不是直接进入Change Management 审批。这种类型的变更请求往往意味着含有较大的商业机会、变更规模或影响较大、现有IT 运营层面的操作无法满足。此外其他的请求,通常Change Management 可以直接受理,其中既可以包括IT 服务合同已包含的服务项目,也可以包括合同中没有但也不必需要合同的服务项目。
步骤1.3 分类。根据已有信息进行分类,依据不同的类别,可以采取不同的处理方式的响应级别。例如对于有固定的操作模式、经常发生、成本和风险都在可控范围内的standard change 应用对应的standard change 流程;对于紧急的变更请求,则须加快响应速度并在后续操作中采取应急的处置方式。进入此步同时意味着正式接受该RFC,因此,如果有应用Change Management 的管理信息系统,应此步或此步之前完成change ticket 的录入。
步骤2 评估Change,记录风险和影响
步骤2.1 识别所需的变更。指识别在此change 中要求变更哪些配置项,需要考虑到其他正在执行或已经计划的change。
步骤2.2 识别受影响的服务和潜在收益。根据2.1 所识别出的配置项识别受影响的服务和潜在收益。
步骤2.3 识别所有受影响的配置项。根据2.2 中识别出的受影响的服务进一步挖掘会受影响的所有配置项,需要考虑到其他正在执行或已经计划的change。
步骤2.4 如果涉及多项变更,可创建多个change 记录。
步骤2.5 评估并记录影响和高风险。可以采用组织中已有的风险管理方法来完成此步,seven Rs 的方法可以帮助风险评估者完成此项工作。7个R 对应着7个问题,它们有助于进一步理解此变更的风险和价值。
Who RAISED the change? 谁提交的此项变更?
What is the REASON for the change? 变更的原因是什么?
What is the RETURN required from the change? 希望达成何种结果?
What are the RISKS involved in the change? 牵扯了哪些风险?
What RESOURCES are required to deliver the change? 需要哪些资源来完成此项变更?
Who is RESPONSIBLE for the build, test and implementation of the change? 谁负责构建、测试和实施此项变更?
What is the RELATIONSHIP between this change and other changes? 此项变更与其他变更间有什么关系?
步骤2.6 联系发起者补充信息。
步骤2.7 拒绝该RFC 并告知发起者。
3. 总结
Change Management 流程的实现要求通过标准化的方式,其中的每一个步骤也应尽量做到标准化,并考虑到前一步是下一步的准备,同时避免无效的活动、以全局利益的实现为根本。在Change Management 的实施中,应严格禁止未授权变更的出现。同时,ITIL 的核心方法论是PDCA,流程和规则都不是死的,需要不断改进,Change Management流程步骤也需要根据业务发展不断调整。
参考文献:
1.Sharon Taylor, et al. ITIL Service Transition[M]. UK: TSO, 2007.
风险管理的主要步骤范文3
关键词:安全;风险;体系;评估;控制
中图分类号:F426.61 文献标识码:A 文章编号:1674-7712 (2014) 12-0000-02
电力企业的安全生产事关国计民生。电力企业长期不懈地狠抓安全生产,但安全事故依然频频发生,始终无法根除。如何采取措施从根本上做好安全生产管理,已成为企业重点关注的焦点。本文在分析了当前电力企业全文化,重点介绍了安全生产风险管理体系的应用,并就如何做好体系建设展开探讨。
一、当前电力企业安全文化思考
据调查,企业生产过程中出现的事故95%以上都是违章操作、违章指挥和违反劳动纪律造成的。事故调查统计表明,安全事故的发生与个人的行为和素质有很大关联,与企业安全体系是否完善息息相关。我国电力企业经长期发展,已形成了企业内部独特的安全文化,由制度、正策、法规、规程、规范及标准等构成了企业安全生产体系,《电业安全工作规程》和“两票三制”成为了电力企业安全文化的基石,是指导电力企业安全生产和保障员工生命安全的法宝,但安全生产事故仍然接连不断,未能从根本上防范和杜绝,这与电力企业安全体系建设不足紧密相关。
第一,电力企业安全体系不完善,安全文化尚未能充分发挥作用,在生产活动过程中员工未能自觉遵守规程、制度。每次发生电力安全事故后,事故防范措施才得到进一步完善、强化,事故防控手段才更完备,安全处于“亡羊补牢”的被动局面。
第二,风险辨识意识严重不足。长期以来,我们大力倡导提高员工安全意识,却忽略了如何有效辨识生产活动过中各环节、每个作业存在或潜在的危害并形成有效的防控体系。增强安全意识天天讲、人人喊,但在生产活动中,如何有效辨识各种危害,从而采取措施避免安全生产事故,如何保证员工的安全意识,值得深思。
第三,企业对安全文化内涵理解不透,风险评估及管控能力不足。长期以来,营造浓厚的安全氛围,促使员工实行安全自主管理、规范其生产行为,提高安全技能,形成良好的安全生产环境,制度管人、流程管事、标准化作业,成为了电力企业安全文化的重要内涵。但是,生产作业缺乏系统的风险评估及管控,危害及风险描述空泛、无量化,控制措施针对性不强。
二、为什么要建立安全生产风险管理体系
电力安全风险仍然是企业面临的最大风险,生产过程中还存在不少安全问题。风险意识、责任意识和安全基础工作还需要强化,管理还比较粗放,系统性管理不够、标准不高、要求不严、管理不到位的问题依然存在。解决好这些问题,是把企业做强做优、实现又好又快发展的重要基础。安全生产风险管理体系是基于目前安全生产管理现状和企业发展要求而建立的。体系关注“五要素”(人、系统、设备、环境、管理)和“安健环”(安全、健康、环境),不仅要考虑人的安全,还要考虑生产的安全、系统的安全、设备的安全、环境对人的影响。从管理理念、管理内容、管理方法等方面规范我们的安全生产管理,提高管理软实力,既有现实意义,又有战略意义。体系从风险控制出发,提出了一套安全生产管理模式和方法,解决安全生产“管什么、怎么管,做什么、怎么做”的问题,它从管理理念、内容和方法上确保安全生产风险可控在控。
三、危害辨识与风险评估的特点、作用
开展危害辨识、风险评估与控制,是安全生产风险管理体系建设的主要内容。危害辨识渗透着全方位安全管理的思想,“人的不安全行为,物的不安全状态、作业环境的缺陷和安全健康管理的缺陷”是应用系统科学理论,在体系建立之初所做的一项科学、具体而且必要的工作。风险评估是用可量化的指标,科学评价出危害的风险级别。
危害辨识指辨识出执行每一步骤中存在的可能危及人员、设备和企业形象的危害。操作时应注意一个作业步骤可能存在多个危害,危害的一般表述形式:“副词+名词或动名词”;风险评估指辨识危害引发特定事件的可能性、暴露和结果的严重程度,并将现有风险水平与规定的标准、目标风险水平进行比较,确定风险是否可以容忍的全过程。
危害辨识与风险评估,可以根据风险评估结果选择风险管理工具,制定风险控制计划,实施风险管理并评价风险管理结果,其意义在于鉴别潜在和显露的风险并加以控制,以期预防损失;其次,在损失发生后采取补偿措施,减少损失的危害性,保障安全生产。她能促使安全生产变被动管理为主动管理,将“安全第一、预防为主”理念变成了可操作的具体步骤,使安全和预防两大任务变成现实。
四、如何开展危害辨识与风险评估
如何有效地遏制事故的发生,降低事故隐患及存在的风险,开展危害辨识与风险评估,探索实现安全生产的风险防范体系,从事故中汲取经验教训,落实安全措施,已是电力企业不可回避的重要问题。
通过开展危害辨识、风险评估,可以最经济合理的方式消除风险导致的各种灾害后果;此外,危害辨识、风险评估是职业安全体系建设的基础。企业的安全管理体系运行的主线是风险防范与风险控制的过程,其基础是危害辨识、风险评估与控制。为了控制风险,企业必须认真做好以下几方面工作。
第一,要对企业所有作业活动中存在的危害加以识别,然后评价每种危害性事件的风险等级,确定不可承受的风险,再对不可承受的风险予以控制。
第二,对所有辨识的各级各类风险进行量化,并依据规程、标准、法规、企业状况等制订危害和风险防控措施,并一一汇合形成完备的安全作业防范体系。
第三,必须充分认识到危害辨识、风险评估对电力企业安全管理的重要作用、长期性、系统性,任务艰巨,必须充分发挥企业职工合力、智慧,在企业生产作业活动和安全管理中不断总结、完善、长期锤炼,才能完成安全体系建设。
第四,为保证危害辨识、风险评估能够满足实际需要,电力企业必须认真做到:
(1)高层领导重视,成立领导实施组织,指定单位内的一名高级管理人员负责督促和管理活动;
(2)集思广益,确定具体计划,明确责任人、完成期限、督察对象、任务分解、落实阶段等具体事项;
(3)确定活动人员对于危害辨识、风险评估的培训需求,实施适当的培训计划;
(4)评审评价的充分性,判定评价是否合适、是否充分;
(5)将管理的具体内容和评价的重要发现形成文件。
第五,明确危害辨识、风险评估实施的基本步骤和方法,基本步骤:
(1)确定专业工种,编制作业任务;
(2)分解作业步骤:按照作业任务执行过程的功能进行分解、归类为若干个功能阶段。如“220kV线路停电操作”可分解为操作准备、开关操作、刀闸操作、二次设备操作、安全措施布置、记录与归档等几个步骤;分解作业步骤时,一般按照完成一个功能单元进行划分。作业方法、作业要求、作业环境相一致的几个功能阶段也可以归纳为一个作业步骤;
(3)辨识危害:辨识与各项业务活动有关的主要危害。考虑会受到伤害的对象以及如何受到伤害;
(4)确定风险:在假定计划或现有计划的措施适当的情况下,对各项危害有关的风险做出主观评价。评价人员还应考虑控制的有效性以及一旦失败所造成的后果;
(5)确定风险等级,进行评分,按分值大小明确风险是否可承受;
(6)制定风险控制措施:编制控制措施以处理评估中发现的、需要重视的任何问题,组织应确保新的和现行控制措施的适当和有效;
(7)建议措施的采纳:根据经济分析判断结果以及现场的可操作性、适宜性、资源情况等综合进行判别后确定建议的措施是否采纳;
(8)形成风险评估报表库:根据危害辨识与风险评估结果,填写“风险评估报表”,形成单位、部门、班组级的风险概述库,作为班组现场工作、编制作业指导书、标准作业程序卡、工作方案的依据。
五、结束语
风险管理建设已成为现代电力企业安全体系建设的重要内容,危害辨识与风险评估控制是风险管理的核心,是提高企业安全健康管理水平的必然选择,可使“安全第一、预防为主”理念变为现实,提高企业经济效益,保障员工在电力企业作业活动的生命安全。
参考文献:
风险管理的主要步骤范文4
【 关键词 】 信息系统;安全风险;Win2003;加固方案
The Study of Win2003 Safety Strengthening Scheme
Li Huan-shuang Pan Ping Luo Hui
(College of Computer Science & Information ,Guizhou University GuizhouGuiyang 550025)
【 Abstract 】 Information system security strengthening essence is to solve the information system security risk assessment process was found in the information system in the presence of potentially preventable, can be controlled, can avoid, can transfer the security risks,according to the national related standard to carry on the reasonable safety configuration, in order to improve the safety of operating system operation. From the security of the most basic Baseline Security –technical management of Win2003 server presents a safety strengthening scheme.
【 Keywords 】 information system; security risk; win2003; strengthening scheme
0 引言
随着全球信息化进程的不断推进,网络安全问题已成为信息安全领域探讨和研究的热点问题。目前,信息安全风险评估项目已经提升到一定的高度,通过评估尽早认识、发现和解决问题,防患于未然。
操作系统是一个平台,要支持各种各样的应用,用的人越多,找出漏洞的可能性越大;用的越广泛,漏洞曝光的概率就越大。黑客攻击防火墙或内部主机,一般都是先攻击操作系统。我国绝大多数的计算机安装了Win2003操作系统,Win2003操作系统也是安全加固人员最有可能遇到的操作系统。任何信息系统都存在安全风险,在针对Win2003系统安全加固的过程中,加固人员通常根据系统本身的特点确定相应的安全加固方法,使系统残余风险降低到可接受的范围内。
1 Win2003安全加固背景
通过对2011年重大安全事故回顾,信息系统安全加固方案的提出成为一项势在必行的事情。安全加固人员通过分析对Win2003安全加固的目的和意义,实施安全加固的依据和具体的安全加固流程来细化整个方案。
此加固方案的设计依据是国家相关信息安全服务器操作系统测评要求,结合信息系统安全风险评估报告所发现的潜在安全隐患(如表1所示)而设计。
信息系统安全加固的目的是对信息系统安全风险评估活动中发现的潜在风险进行安全操作,在综合考虑成本与效益的前提下,通过安全措施来控制风险,使残余风险降低到可接受的范围内。通过对Win2003安全加固可以进一步改善其所在网络环境,保证系统信息正常传输及网络设备正常运行。
2 Win2003安全加固方案
为了有效地减轻、转移、分散、规避信息系统中的潜在安全风险,安全加固方案以对最基本的技术管理的潜在风险进行安全设置为例,使之达到系统的基本安全要求,减轻系统的安全风险。
2.1 Win2003安全加固流程及步骤
图1为Win2003服务器安全加固流程图。用户对于流程的了解总是多于对其他策略和标准的了解,这是因为流程所提供的流程就是实施安全工程各个环节的操作细节。由图可清晰看出整个安全加固过程的操作环节。
根据Win2003服务器安全加固流程得出安全加固步骤,如表2所示;同时我们以贵州省某厅级单位Win2003服务器安全加固为例,来说明理论方法的可行性。
安全加固是一种战略性考虑。主要包括六个步骤,即应急响应、数据备份、杀毒与补丁、进行安全配置、再次杀毒、进行测试。应急响应是整个信息安全加固过程的准备阶段。简单对安全配置中的注册表配置的必要性进行阐述,注册表是Windows系统的核心,是一个有层次结构的庞大数据库,存储着系统本身以及所有硬件、软件和组件的信息。修改注册表可达到开启远程终端的目的,而且使用这种方法有很大的优势,无须上传任何文件,适用于Win2003系统。因此加固人员应关注对注册表的安全配置。
2.2 案例分析
根据2011年某月对贵州省某厅进行的非信息系统安全风险评估报告所发现的安全隐患,结合《GB/T 25063-2010信息安全技术服务器安全测评要求》,如下所示依次进行Win2003服务器安全加固。
1) 加固人员自带针对Win2003系统的应急响应预案。
2) 首先在贵州省某厅机房管理员以及第三监理方共同陪同下,加固人员对贵州省某厅局5台Win2003服务器进行数据备份,本地备份和异地备份。
3) 对5台Win2003服务器启用瑞星杀毒软件进行全盘杀毒,结果显示无高风险漏洞存在。
4)具体加固事项。
① 账户安全策略配置。
步骤:开始——控制面板——管理工具——本地安全策略——账户策略——密码策略
密码复杂性要求 启用
密码长度要求 8位
(此项配置完由安全管理员进行密码重新设置)
步骤:开始——控制面板——管理工具——本地安全策略——账户策略——账户锁定策略
账户锁定阈值 3次
账户锁定时间 30分钟
账户锁定计数器 30分钟
② 本地策略。
步骤:开始——控制面板——管理工具——本地安全策略——本地策略——审核策略
审核策略更改 成功、失败
审核登录事件 成功、失败
审核对象访问 失败
步骤:开始——控制面板——管理工具——本地安全策略——本地策略——安全选项
关机:清理内存页面文件 启用
③ 注册表安全配置。
a) 抑制Dr. Watson Crash
HKEY_LOCAL_MACHINE\Software\Microsoft\Dr Watson\Create Crash Dump (REG_DWORD) 0
b) 用星号掩藏任何的口令输入
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Network\HideSharePwds (REG_DWORD) 1
c) 源路由欺骗保护
HKEY_LOCAL_MACHINE\System\CurrentControSet\Services\Tcpip\Parameters\DisableIPSourceRouting (REG_DWORD) 2
d) 防止SYN Flood攻击
HKEY_LOCAL_MACHINE\System\CurrentControSet\Services\Tcpip\Parameters\SynAttackProtect (REG_DWORD) 2
e) 防止碎片包攻击
HKEY_LOCAL_MACHINE\System\CurrentControSet\Services\Tcpip\Parameters\EnablePMTUDiscovery (REG_DWORD) 1
f) SYN攻击保护-管理TCP半开sockets的最大数目
HKEY_LOCAL_MACHINE\System\CurrentControSet\Services\Tcpip\Parameters\TcpMaxHalfOpen (REG_DWORD)100或500 1F4
④ 关闭不必要的服务。
步骤:开始——控制面板——管理工具——服务
Alerter 禁用
Computer Browser 禁用
Internet Connection Sharing 禁用
Remote Registry Service 禁用
Telnet 禁用
⑤ 对实施安全加固的服务器进行再次杀毒,无异常发生。
⑥ 通过重启服务器对残余风险进行评估,无异常发生。
3 结论
信息系统安全风险评估是一项不断更新的动态的活动,随着科技的进步和各类软件的更新,攻击人员技术水平的提高,对Win2003安全加固的工作也要持续不断的改进。为防止重大安全事故的发生,建议定期对网络环境进行人工检测和软件扫描,加强对Win2003安全加固方案的改善,确保网络运营环境的安全。
参考文献
[1] 武春岭,李贺华.信息安全产品配置与应用[M].北京:电子工业出版社,2010;118-119.
[2] 范红.信息安全风险评估规范国家标准理解与实施[M].北京:中国标准出版社,2008;1-2..
[3] Yusuf Bhaiji,CCIE#work Security Technologies and Solutions [M].北京:人民邮电出版社,2011;6-8.
[4] 杨永川,顾益军,张培晶.计算机取证[M].北京:高等教育出版社,2008:191-195.
[5] 肖遥.网络渗透攻击与安防修炼[M].北京:电子工业出版社,2009;438.
基金项目:
教育部信息安全类教育教学改革项目(NO:JWZ201011)。
作者简介:
李换双(1986-),女,硕士研究生;主要研究方向:信息安全。
风险管理的主要步骤范文5
金融服务业对IT的依赖程度非常高。2003年,全球的金融服务企业在IT方面的投资金额超过2350亿欧元,占大型银行整体非利息支出的15%至22%,但遗憾的是,这些投资常常没有达到预期的效益,许多企业甚至无法量化实际的IT投资收益。
面对这样的挑战,金融服务业的CIO们必须找出一套更好的方法,有效地管理IT投资项目。毋需舍近求远,金融服务企业自家的金融资产经理人(asset manager)就能给出这一问题的解决方案,即对IT项目进行“投资组合管理”(portfolio theory)。
风险管理是关键
过去由于金融机构利润丰厚,IT预算多,对创造更高的投资回报并未感受压力。随着世界经济大环境的日趋严峻,在资源有限的情况下,金融机构亦开始感到压力。特别在巴塞尔新资本协议极重视投资回报与运营效率的前提下,提升IT项目的投资绩效尤为重要。
对于金融机构来说,要提升IT项目绩效,最迫切的挑战就是改善项目管理、风险评估与资本管理,而这恰恰是它们的专长所在。一些金融机构已经开始尝试将“投资组合管理”工具运用于自身的IT项目管理中。
实际上,“投资组合管理”并非什么新理念,多年来它一直被金融服务机构用来降低资产的投资风险,提高投资回报率。“投资组合管理”工具被用于IT项目的管理时,公司高层与IT主管就能从企业战略目标的高度看待所有IT项目,以稳健保守的投资方案弥补风险较高的项目,并通过集中处理表现极佳或表现不佳的项目,降低预备资金的需求,大幅提升短期与长期的IT投资绩效。
“投资组合管理”工具的核心在于对风险的管理。对于金融机构来说,风险可能来自项目管理方法、跨区域合作与管理支持等各个层面,而持续管理项目可能面临的风险,主要包括以下几个方面的工作:
进行有系统的风险重新评估、从商业案例中找出避险措施,并定期报告项目状况;
透过加强管理与建立扎实的流程,确实执行风险管理计划;
在项目的每个阶段结束时签署“风险评估矩阵”(risk assessment matrix);
当IT项目不再符合企业的战略目标,或是当风险大于预期回报时,必须暂缓执行;
针对风险公开交换意见,以革除企业内部互相推诿的不良习惯;
用财务数据的方式显示所有风险,将焦点放在最具影响力的因素上。
IT投资,战略先行
IT项目的风险管理是当务之急,但企业治理却是一个长期的任务。面对双重挑战,金融服务企业的CIO们在进行IT投资时,必须从公司战略的高度考虑问题,应遵从以下4个步骤:
步骤一,全盘整合。“投资组合管理”的基本特色就是为企业整体、不同产品、服务或业务项目分别制订投资组合,如此不但能明确责任归属,也能衡量整个方案的商业成效,增进部门之间的沟通协调,使其与企业战略目标一致,同时还能规划组织变革管理。
步骤二,了解成效。管理者可以针对企业本身的IT投资组合管理表现评分,并将分数与业界其它领导者比较,找出需要改善之处。
步骤三,逐步找出适合自己的最佳做法。想要达成管理IT投资的终极目标,最好秉持“婴儿学步”的精神。善用投资组合的先决条件是建立强有力的项目管理能力。
优良的项目管理包括:相关人员负起责任,为组织所有成员定义角色并分配责任,找出改善缺失或现况的作法;执行良好的项目管理方法,可利用像“能力成熟度模型”(CMM)这类工具,找出项目管理的优缺点,提升整个组织的成熟度;衡量绩效,制订衡量标准以评估项目品质与效益,例如透过可用的KPI,使用正确的工具追踪项目。
风险管理的主要步骤范文6
关键词:输电线路、状态检修、项目管理
中图分类号:TM726文献标识码: A 文章编号:
引言
状态检修是一种先进的设备检修管理机制,是社会生产力的发展在检修领域的具体体现。状态检修的技术基础是设备状态的准确评价,依据设备的重要程度而采用不同的检修策略,并合理地安排检修时间和检修项目,保证电力设备安全经济运行。
一、输电线路状态检修的质量管理
1、利用全面质量管理进行质量控制
充分利用PDCA循环的S个步骤与所用方法,对状态检修的具体项目的检修质量和安全质量进行分析和改进,通过对检修完线路的发生的缺陷件数来评价检修的作业的方法是否有效,质量是否合格。
2、利用标准化作业卡进行质量控制
利用标准化作业卡进行状态检修作业的分步控制,从作业的各个细节进行控制,列出作业的具体步骤和执行标准,并进行质量的验收,特别对质量和安全的保证特别有效,这也是电力系统开展最广泛的控制手段。
3、质量检验
检修质量检验方式主要有自检、互检和交接验收,即前后工序或检修过程进行检修交接时的质量检查,建立质量检验对策图。综合以上质量检验的手段分析,来明确各检验方法,供管理人员使用时进行决策,良好的管理制度设计是保证责任心提高和检修质量的最有效的措施,需要在工作中不断地完善和修改,让制度建设真正成为管理的助手。
输电线路状态检修的风险管理
1、风险分析
目前风险分析的方法主要包括:决策树法、事故树等方法。利用以上方法可以了解运行设备的故障模式、影响因素、故障传递关系、风险扩散途径,进而开展风险评估,得到决策的依据。风险分析提供了状态检修的科学性,对设备的状态估计的严格性、数据的准确性提出了更严谨的约束。
2、风险对策制定
(1)人的风险对策
人的风险控制是整个作业的关键,任何人的不安全因素都必须进行有效控制,为提高人的作业风险需要加强培训,提高作业人员技能水平,在作业前进行体力、精神状态检查,定期对人员进行安全培训,使作业人员熟悉安全规程。
(2)检修的作业方案风险对策
检修的作业方案对作业起到指导作用,在作业前要认真进行方案的制定,并对制定作业方案的进行认真审核:每一项作业检修项目的开展都必须经过技术组和决策组的审核,・并履行审核手续.充分利用标准化作业方案不断的完善作业指导书,提高作业的方案的安全度。
(3)检修质量的风险对策
质量是设备安全的基础,通过制定标准化作业指导书,按各种规程和规范要求作业质量标准,开展自检、互检、专业检验和交接验收,确保检修的质量安全。提高职工的责任心也是提高质量的有效手段,开展设备承包制度和责任追究制度,二可以一定程度的提高作业质量。质量风险对策采用质量管理研究所确定的方法进行控制。
(4)设备运行风险对策
设备运行风险对策按全寿命周期管理来选取质优价廉的设备,减少设备维护或少维护,这是今后设备选型的主要依据和成本控制基础;大力开展在线监测系统的应用,提高对设备运行状况的及时了解,提高科学决策依据。设备电网运行风险对策要充分利用可靠性管理和同业对标管理来提高设备的确可用系数,增加电网安全性。
(5)经济风险对策
经济风险对策主要是加强成本控制,充分利用二维对标的结果每年对成本进行调整,成本需要与进度、质量管理有效结合。
三、输电线路状态检修的进度管理
1、进度控制指标
为更好的控制进度,设计一个进度控制效率指标,就是实际进度与目标进度的比例关系,来体现进度控制的效果。
利用甘特图制定具体项目进度表
甘特图表示活动的开始、完成日期及预期的活动历时,主要用于具体某个项目的时间进度控制,以盐密测量项目为例,分析甘特图进度表在具体项目管理的应用。
完成盐密测量项目需要分步骤来完成,每步骤都需要一定的时间,通过对每步骤的时间的统计和累计,就形成这一项目的需要完成的具体时间。
3、利用网络图制定状态检修整体进度表
网络图是利用时差来规定和调整整个项目的进度,实现效率提高。根据对输电线路的状态检修项目分析,必须开展的项目分地面巡视可结合的项目和需要登塔的工作项目。
根据本单位人员结构、工作能力分析后形成每项检修项目的整体工时,综合全年的工作、季节特点,形成状态检修全年的工作计划安排或连续多年的进度安排。这样就使我们对全年的工作安排有个详细的计划,各项工作就可以按计划有步骤的实施,实现状态检修的进度控制。
根据本单位人员结构、工作能力分析后,形成每项检修项目的整体工时,综合全年的工作、季节特点、春秋检任务编排每项检修项目的实施时间,见图1所示,形成状态检修全年的工作计划网络图。
图1 全年状态检修项目网络图
4、状态检修进度控制
作业项目进度控制采取的主要措施有组织措施、技术措施和信息收集等。组织措施主要是指落实各层次的进度控制人员具体任务和工作责任;建立组织系统;按施工项目的组织结构进行项目分解,确定其进度目标;对影响进度的因素进行分析和预测。
技术措施主要是采取加快作业进度的技术方法来实现进度目标。对于检修进度的影响因素,一般认为有人为因素是最主要的干扰因素。
结论
本文从输电线路目前的检修现状出发,认真分析了输电线路的特点以及日常工作,通过开展项目管理在输电线路状态检修中的应用研究,将项目管理有效的控制方法应用到检修作业的关键环节,保证了电力设备安全经济运行。
参考文献
