時間:2023-09-07 17:41:22
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇風險管理和安全管理,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
摘要作為部隊建設的基礎工程,部隊安全管理與企業風險管理有著很大程度的類似性。企業風險管理作為一門科學,在幾十年的發展過程中,形成了一整套完整的并被實踐證明行之有效的理論體系。借鑒企業風險管理的最新成果,對于做好信息化條件下的部隊安全工作,提高部隊安全管理的科學性和實效性,促進部隊戰斗力的生成、維持、提升,具有重大意義。
關鍵詞部隊建設 基礎工程 風險管理
中圖分類號:f272.9 文獻標識碼:a 文章編號:1009-0592(2010)12-257-01
企業風險管理作為一門新興的科學,興起于20世紀50年代的美國。它是企業在對其生產中的風險進行識別、估測、評價的基礎上,優化組合各種風險管理技術,對風險實施有效的控制,妥善處理風險所致的結果,以期以最小的成本達到最大的安全保障的過程。它強調在損失發生前避免或減少風險事故發生的機會;在損失發生中控制風險事故的擴大和蔓延,盡可能減少損失;而在損失發生后則應該努力使損失的標的恢復到損失前的狀態。
2004年,國際權威組織美國發起人委員會(coso)出臺了《企業風險管理——整合框架》(erm),標志著企業風險管理發展到全面風險管理階段。erm框架對企業風險管理的屬性進行了明確地界定。它認為,企業風險管理是一個過程,持續流動于企業之內,應用戰略制定的過程中,旨在識別那些一旦發生將會影響企業的潛在事項,并把風險控制在風險容量以內。它貫穿企業整體,在各個層級和單元應用,并由組織中各個層級的人員來實施的。
在這一整合框架中,全面風險管理有三個維度:第一是風險管理目標維度。企業風險管理框架提出了四類目標:一是戰略目標,即高層次目標,它與使命相關聯并支撐使命;二是經營目標,高效率地利用資源;三是報告目標,追求企業各項報告的可靠性;四是合規目標,應該符合適用的法律和法規。第二是風險管理要素維度。企業風險管理包括八個與管理過程整合在一起的構成要素:內部環境、目標設定、風險識別、風險評估、風險應對、控制活動、信息與溝通、監控等等。這八個要素相互獨立、相互聯系又相互制約,共同構成了全面風險管理這一有機體系。第三是企業組織層級維度。企業的各個層級包括組織的高級管理層、各職能部門、各條業務線及下屬各子公司,組織里的每個人對全面風險管理都負有責任。在管理過程中,全面風險管理的八個要素都是為組織的四個目標服務,組織各個層級都要堅持同樣的四個目標,每個層級都必須從以上八個方面進行風險管理。
erm框架一經提出,就被國外很多知名的企業如杜邦公司、微軟公司、加利福尼亞聯合石油公司、曼哈頓銀行等采用。管理實踐證明,企業風險管理框架在企業的風險管理中發揮了重要作用,有力地促進了企業的健康、良性發展。
部隊安全管理和企業風險管理都是基于對不確定性因素的管理和控制,追求包括安全隱患在內的各種不確定性因素所導致的損失最小化。借鑒此理念和方法,加強部隊安全管理,就應該樹立起全面安全管理的理念,健全各項管理機制,形成完善的部隊安全管理體系。
第一,建立部隊安全管理目標體系。管理目標對管理實踐具有極強的導向和規范作用。部隊安全管理是一項涉及部隊建設各個方面的活動,必須具有明確的管理目標體系。完善的安全管理目標體系,應該是一個具有縱向梯次性和橫向并列性的目標體系。縱向上的梯次性是指管理目標具有層次性,有最高目標和基本目標之分。結合部隊安全管理自身的特點,其最高目標應該定位在戰斗力的維持和提升上,中間層次的目標則因該定位在保證軍事活動能夠順利進行;目標橫向上的并列性是指由于軍兵種的不同、安全管理的對象指向不同而產生不同的安全管理目標。因此,建立完善的管理目標體系,需要針對管理對象的不同特點制定不同的管理目標,這些管理目標自身應該包含不同層次的子目標,從而形成具有較強操作性的安全管理目標體系,為安全管理的實踐提供明確的導向。
第二,健全安全管理工作的各項機制。完善的部隊安全管理機制,應該包括隱患識別和評估機制、安全管理實施機制、安全管理應急處置機制和安全檢查監督機制。安全隱患識別和評估機制,是準確地確認安全隱患的存在及其性質。建立安全隱患識別和評估機制,首先需要形成科學的調查機制,其次,需要引進和借鑒風險管理常用的技術方法。安全管理實施機制是安全管理中的重要環節,主要包括實施主體和實施方法。在明確的主官責任制下,完善的安全管理機制在實施主體上還應該堅持最廣泛的群眾性,通過多種途徑把安全隱患止于萌芽之中。安全管理應急處置機制,重在形成針對不同類型安全事故的處置預案,明確事故發生時所應采取的各項措施,力求把安全事故造成的損失減到最小。完善的安全管理檢查監督機制主要包括檢查的內容、時間、方式、實施人員以及對檢查結果的處理等諸多方面,通過對這些方面的合理設計,確保安全管理監督檢查行之有效,促進安全管理工作的落實。
第三,完善安全管理法規體系。種種實施全面安全管理的機制得以建立和發揮作用,必須有相應的制度保證和支撐,這就需要建立健全適應不同軍兵種、不同裝備、不同軍事活動的安全管理規章制度,形成完善的管理法規體系。我軍安全管理的法規體系還不完善,現有的適合不同軍兵種、不同領域的安全管理法規過于分散,安全管理的法規體系還處于正在完善階段。這就需要相關部門進一步加大法規的統籌和建設力度,形成操作性強、覆蓋面廣、適合全面安全管理要求的法規體系,為部隊安全管理工作的實施提供了法規支撐。 編輯
關鍵詞:商業銀行;電子商務;風險管理
商業銀行從事金融業務面臨著市場風險、信用風險、以及操作風險等,而電子商務的出現則加劇了上述各類風險發生的可能性以及風險發生之后的破壞程度。2004年以來,我國面臨的網絡仿冒威脅正在逐漸加大,仿冒對象主要是金融網站和電子商務網站。2005年上半年共收到網絡安全事件報告65679件,超過2004年全年案件數,商業銀行電子商務安全風險管理策略已成為理論與實踐中必須重視的課題。
一、信息安全管理的策略大體遵循事件驅動(技術和管理脫節)-逐漸標準化(技術和管理逐漸結合)——安全風險管理(引入了風險分析)的發展路徑。
(一)以事件驅動的初級階段時期
19世紀70年代安全主要是指物理設備和環境的安全,人與計算機之間的交互主要局限在大型計算機上的啞終端,安全問題只涉及能訪問終端的少數人。安全管理策略處于初級階段,由事件驅動,沒有形成規范的管理流程。在此階段的前期,只重視技術手段。后期開始重視管理手段,但是技術和管理之間脫節。許多組織對信息安全制定了相應的規章和制度,但組織的信息安全管理基本上還處在一種靜態、局部、少數人負責、突擊式、事后糾正式的管理方式。
(二)標準化時期
企業開始將安全問題作為整體考慮,形成一套較為完整的安全管理策略,其中包括了安全管理的技術手段和管理制度(或稱運作管理)。幾乎所有從事電子商務的企業都擁有自己的安全策略,內容也包括了技術手段、安全管理制度、人員安全教育等等,基本上形成體系,技術和管理手段綜合統一,但是安全風險分析還存在不足之處。
(三)安全風險管理策略時期
隨著電子商務安全管理發展到一個比較高的層次,安全管理策略也演進到安全風險管理階段。主要特點如下:
1.安全風險管理成為主流趨勢;在安全管理策略的演進過程中,技術和管理手段綜合統
一、又融入了風險管理的分析、防范策略,從而安全管理進入了安全風險管理時期。西方商業銀行已對安全風險管理形成共識。如安氏公司(is—One),認為信息安全問題最終將歸結為風險管理問題,風險管理方法是建立良性的安全技術和管理體系的依據和基礎。
2.安全風險管理的國際標準和各國的規范逐漸形成并趨于完善。國際上關于安全風險管理的標準有巴塞爾銀行監管委員會的《電子銀行業務風險管理原則》、英國標準協會制訂的BS7799等。各國也日益重視安全風險管理,制定了許多規范。例如美國貨幣監理署(OCC)的《電子銀行最終規則》、香港金融管理局的《電子銀行服務的安全風險管理》等。中國銀行業監督管理委員也于2006年頒布了《電子銀行業務管理辦法》,對國內企業的電子商務安全風險管理給出了指導意見。
3.利用外部專業化機構對金融機構的安全性評估已成為大部分國家的選擇。電子銀行面臨的安全和技術風險,在相當程度上取決于采用的信息技術的先進程度,系統的設計開發水平,以及相關設施設備及其供應商的選擇等;銀行依靠傳統的風險管理機制已很難識別、監測、控制和管理相關風險。同樣,監管機構也難以完全依靠自身的力量對電子銀行的安全性進行準確評價和監控。因此,大部分國家都采用了依靠外部專業化機構定期對電子銀行安全性進行評估的辦法,加強對電子銀行安全性和技術風險的管理和監管。
4.在許多國家信息系統審計(IsAudit)作為一種信息技術服務被廣泛提供,許多知名的咨詢公司都提供類似的信息審計服務。業界的IT風險分析師也成為一種職業,專門從事電子商務的安全風險工作,從經濟學的角度出發分析風險,充分衡量保持安全的代價和收益之間的關系,尋求用最小的代價實現最大的效用,在風險分析中也形成一套較為成熟的模式。
二、我國商業銀行電子商務安全風險管理策略的薄弱點
(一)系統管理思想缺乏
目前的電子商務安全風險管理策略,在全局上缺乏系統論理論的指導,在實際操作中受到多種多樣的安全攻擊時會不可避免地出現安全漏洞,無法形成一張全面有序的安全網絡。
實踐中被采用的安全風險管理策略,以及作為指導意見的規則規范,如《信息安全管理實務準則》(IS017799)、《信息技術安全性評估準則》(GB/T18336.1)、巴塞爾銀行監管委員會的《電子銀行業務風險管理原則》,盡管提出了比較全面的安全風險管理方案,層次上也比較清晰,但是還不足以作為一個風險防范系統。實踐中,電子商務組織是一個復雜的系統組織,電子商務的安全風險管理體系和過程也是個復雜的系統。系統論、控制論的思想在電子商務安全風險管理中是不可或缺的。
(二)風險分析的模型與方法不成熟,定量分析不足
電子商務模式自身的發展歷史也不過20幾年,在風險分析的定量技術上并不成熟;如BS7799中推薦的電子商務安全風險管理中實施風險評估時,往往將威脅發生的可能性定性劃分為幾個級別,將威脅所造成的影響也定性劃分為1~5級,實質上是將一些按照概率發生的事件定義為不連續的幾個級別,在操作上易行,但造成了度量的不精確。在進行監控和審計之后,也存在無法量化、對比的問題。
(三)忽視與原有的傳統風險管理策略的結合
本質上,電子商務的安全風險無非是新興的商業模式對傳統的風險的改變,以及產生的在傳統風險控制領域暫時無法明晰的新風險;現有管理策略只從信息技術的角度、或者從偏重技術的角度看待問題,站在金融領域本身來分析研究較少。這種狀況導致了對電子商務安全風險管理的研究無法立足于一個比較高的層次;忽略了風險的整體性,只進行偏信息和技術的研究,導致了現有的電子商務安全風險管理策略與金融機構原有的傳統業務風險管理策略存在差距。對于商業銀行而言,傳統金融業務的風險控制與電子商務的技術風險控制,兩個方面存在脫節,同樣屬于商業銀行的風險,存在著不同的管理策略,導致多頭管理、資源浪費、機構之間的扯皮,乃至缺位管理。
(四)風險管理策略無法依賴外部的信息安全管理行業
在發達國家,信息系統審計(IsAudit)作為一種信息技術服務被廣泛提供,許多知名的咨詢公司都提供類似的信息審計服務。IT風險分析師也成為一種職業,專門從事電子商務的安全風險工作。商業銀行采用依靠外部專業化機構定期對電子銀行的安全性進行評估的辦法,提高對電子銀行安全性和技術風險的管理和監管。而國內初步建立了國家信息安全組織保障體系,制定和引進了一批重要的信息安全管理標準、法律法規,風險評估工作得到了一定重視,但與發達國家成熟完善的外部信息安全管理行業仍有很大差距。
(五)風險管理策略中商業銀行的內部風險控制能力薄弱
我國商業銀行目前均建立起統一的風險管理部門;但風險控制部門的職能、權限與花旗銀行等體制較為先進的銀行相比仍然存在較大差距,風險控制實質上仍然分散在各個子部門;風險的評估、防范與控制實質上完全依靠商業銀行的電子交易部門;風險管理部門、內審稽核部門實質上無法控制電子商務安全風險。例如,風險管理部門接受了電子交易部的風險控制報告,表面上履行的內控審核的流程,但審核作用有限,無法完成電子商務安全風險管理中的監控與審計環節。
三、商業銀行的電子商務安全風險管理策略的改進建議
(一)基于系統的思想構建商業銀行電子商務安全風險管理策略框架
利用系統理論作為總體的指導思想,將電子商務安全風險管理策略本身當作一個開放的自適應系統。將商業銀行電子商務安全風險管理中的各個環節組成循環上升的系統。
在商業銀行電子商務安全風險控制的流程中,經過信息安全的風險評估、資產識別和選擇、實施控制降低風險的措施、將風險控制在可接受的范圍內,然后進行監控和審計;尤其重要的是把監控和審計所得到的內容作為新一輪風險分析輸入,從而開始新一輪的風險管理過程。商業銀行電子商務安全風險管理的各個步驟為動態的循環系統。每完成一個循環,安全風險管理的有效性就上一個臺階,商業銀行的安全管理水平變得到了提高。新晨
(二)電子商務安全風險管理中定量分析中的改進思路
商業銀行可以借鑒成熟的傳統金融風險度量中的一些方法來改變電子商務安全風險管理中對資產進行粗略的優先級別排序的方法。實踐中,商業銀行對操作風險的管理與對電子商務安全風險管理有其相似之處。巴塞爾委員會對商業銀行的操作風險的內部計量法中規定,商業銀行內部估計風險敞口指標、損失事件發生的概率、風險損失,巴塞爾委員會制定資本要求的轉換系數;在度量損失的分布時,主要利用統計和精算技術。商業銀行應通過數據庫將威脅發生的頻率、威脅所造成的影響等精確記錄下來,利用現有的度量方法進行精確的風險定量分析的嘗試。
(三)將商業銀行電子商務安全風險納入商業銀行總體風險管理范疇
[關鍵詞]巴塞爾新資本協議;操作風險管 ;IS027001;信息資產
[中圖分類號]F831 [文獻標識碼]A [文章編號]1006-5024(2009)04-0167-04
[作者簡介]董紅,北京航空航天大學經濟管理學院博士生,研究方向為風險管理與決策;(北京100083)
邱菀華,中國光大銀行總行風險管理部教授,博士生導師,研究方向為決策、風險與項目管理;
林直友,中國光大銀行總行風險管理部業務經理、碩士,研究方向為金融風險管理。(北京100045)
金融業的全面開放和金融服務的管制放松,以及高端化的信息技術,使銀行的業務、產品日益多元化,這直接導致其面臨的風險更為復雜和多樣。國內外銀行業重大違規事件及美國金融海嘯影響的迅速擴大,迫切需要國內外金融監管部門和從業機構反思對操作風險的管理和防范,加強合規管理。2004年的巴塞爾新資本協議,將操作風險正式納入資本監管范圍,并進一步提出了明確的監管資本要求。2007年我國銀監會再次對其進行解讀和說明。然而,由于操作風險情況復雜,與銀行自身的規模、經驗、業務特征等密切相關,具有和動態變化等特點。因此,探索適合銀行不同類別操作風險特點的管理和計量方法,是一項十分重要而緊迫的課題。
一、操作風險管理的困惑與問題
到目前為止,有關操作風險的定義、管理及計量問題一直困擾著各家商業銀行和監管機構,國內外銀行也未對它形成統一的認識。本文采用至今已被大多數銀行所接受的巴塞爾銀行監管委員會有關操作風險的定義,即由于不完善或有問題的內部程序、人員和系統或因外部事件導致損失的風險。新資本協議從風險監管的角度將操作風險事件劃分為七種類型,包括內部欺詐,外部欺詐,雇員活動和工作場所的安全問題,客戶、產品和業務活動的安全問題,銀行維系經營的實物資產損壞,業務中斷和系統故障,執行、交付和過程管理等。就其風險成因可分為人員、流程、系統和外部事件四大類。此外,按產品線將商業銀行的業務劃分為公司金融、交易和銷售、零售銀行業務、商業銀行業務、支付和結算、業務、資產管理和零售經紀類,并對每一類產品分別規定不同的操作風險資本要求系數,籍以用標準法計算操作風險總體資本要求。
巴塞爾委員會給出了管理操作風險的十大原則,但這些原則都是從宏觀角度要求商業銀行應該建立什么
樣的組織、制度和流程,并未給出管理操作風險的詳細方法和手段。實際工作中,我們發現信息資產是商業銀行極其重要的一類資產,在信息時代,一個機構要利用其擁有的資產,特別是信息資產來完成其使命,因此,對信息資產的管理關系到該機構能否完成其使命的大事。然而,由于信息資產對IT系統的依賴性很強,絕大部分具有無形化、易變化、易傳播的特點,且風險存在于其產生、傳遞、使用和銷毀等各個環節,與一般銀行產品相比,具有很大的獨特性。所以,我們建議將此類資產作為商業銀行一類獨特的產品線來進行管理。在實踐中,我們發現ISO27001為有效管理組織的信息資產、確保信息安全提出了一整套要求和最佳實踐指南。它從11個方面對信息資產的安全管理提出要求,其管理思想完全符合操作風險的管理原則,并且是在其原則基礎上的細化,如高層管理的支持和承諾、資源管理、風險評估、內部審核、信息的溝通、有效性測量和改進,等等。可見,ISO27001不僅適用于多數IT軟硬件開發等企業,同時也適用于銀行、保險等信息化程度較高的金融行業。
因此,我們希望能夠使用ISO27001的管理標準來細化商業銀行信息資產類產品的風險管理,進而按照操作風險管理的總體原則與其他類產品進行融合,最終實現在總體框架要求下對信息資產類操作風險的細化管理。
二、ISO27001簡介
ISO/IEC27001源自英國標準協會制定的BS7799,包括兩部分內容:BS7799―1信息安全管理實施細則和BS7799-2信息安全管理體系規范。其中,BS7799-1被ISO組織吸納為ISO/IEC17799,BS7799-2升版并轉換為國際標準ISO/IEC2700I,它是建立信息安全管理體系ISMS(Information se-curity Management systems)的一套需求規范,其中詳細說明了建立、實施和維護信息安全管理體系的要求,指出組織應遵循的風險評估標準。
信息是一種資產,就像其他重要的業務資產一樣,對組織是不可或缺的,需要妥善保護。根據ISO/IEC27001的定義,資產是對組織有價值的任何東西。它能以多種形式存在,如有形資產(硬件、軟件、數據文件、人員等)、無形資產(聲譽、品牌、客戶關系等)、輔助資產(信息資產的制造、存儲、傳輸、處理、銷毀等)。信息安全就是指保持這些資產的機密性、完整性和可用性。另外,也可包括諸如真實性、可核查性、不可否認性和可靠性等。
1 機密性――信息具有不能被未授權的個人、實體或者過程利用或知悉的特性。
2 完整性――保護資產的準確和完整的特性。
3 可用性――根據授權實體的要求可訪問和利用的特性。
企業的業務戰略以企業的資產來得以體現,但資產自身不可避免地帶有漏洞,我們稱之為資產的脆弱性。外界的威脅則利用資產的脆弱性,給企業帶來風險。信息安全就是要保護信息資產免受威脅的影響,從而確保業務的連續性,縮減業務風險,最大化投資收益并充分把握業務機會。構建信息安全管理體系,就是通過對組織信息資產的風險評估,確定重要信息資產清單以及風險等級,從而采取相應的控制措施來實現信息資產的安全性。信息安全管理的核心是風險管理,其對象是組織的信息資產。我們將其作為操作風險管理產品線之外的第九類特殊產品線,評估其價值和風險,確定相應的安全需求,并制定安全措施來降低和控制資產的風險。
可見,信息安全風險,是指由于系統存在的脆弱性、人為或自然的威脅導致安全事件發生的可能性及其造成的影響,包括由于IT流程缺陷、系統的業務需求/流程控制缺陷、信息系統脆弱性、操作人員無意/蓄意失誤、外部事件等因素直接導致業務操作風險并間接導致信用、市場、聲譽等風險。它不僅存在于應用系統及IT基礎設施等信息資產中,而且存在于業務流程及管理流程中。ISMS是通過實施一整套適當的控
制措施來實現目標的,包括策略、過程、程序、組織結構和軟硬件功能,他們可以是行政、技術、管理、法律等方面的。IS017799包含了11個管理要項,既有偏重管理的信息安全方針、安全組織、資產管理、人員安全、物理和環境安全、事故管理、業務連續性管理、法律符合性等方面,也有偏重于技術的通信和操作管理、訪問控制、系統開發和維護等內容,每一部分都針對不同的主體或范圍,在這11個管理要項中,它又細分為39個控制目標和133個控制措施。可以說,ISO/IEC27001是目前國際上關于信息安全管理要求最全面、最完整的體系,可有效防范信息資產風險,從而進一步鞏固操作風險的駕馭能力,保證組織核心業務的持續運行。
三、基于風險的信息安全管理體系的構建
信息安全管理體系是基于業務風險方法建立、實施、運行、監視、評審、保持和改進信息安全,提出了基于戴明環的Plan-Do-Check-Act(PDCA)風險模型,強調全過程和動態的控制,如圖所示。它的設計思路充分體現了“過程方法”的特點,以過程為控制對象,在業務和風險管理過程中控制風險,實現持續改進,并達到監管方要求實現的事前、事中、事后全程控制。
(一)策劃并建立信息安全管理體系
1 確定安全方針和范圍
信息安全管理體系可覆蓋組織的全部或部分,組織需根據業務特征、地理位置、資產和技術等明確界定體系的范圍,并使之文件化。另外,要制定ISMS方針和策略,它是指導如何對組織信息資產進行管理的規則,是構建信息安全管理體系的宗旨。它表明了管理層的承諾,提出組織管理信息安全的方法,為組織的信息安全管理提供方向和支持。
2 資產的識別和評價
資產管理是實施有效ISMS的基礎,也是風險評估的核心內容。資產管理的優劣直接影響評估的效率和質量以及保持循環評估的連續性,而且有助于預見這些數據在之后風險分析中的重要作用。
資產識別A:為保證資產識別的合理性,建議組織從業務流程角度(縱向比較)和信息活動(橫向比較)兩個角度進行。在清晰識別資產后,組織應根據資產的重要性形成文件,建立資產清單,包含資產類型、格式、位置、責任人、備份信息和業務價值。
資產評價的目的是確保資產受到相應等級的保護,以保障在處理信息時指明保護的需求、優先級和期望程度。企業的所有資產都處在業務流程和相應的支持過程中,資產的重要程度,應根據其所處業務流程的位置,且與其它資產的比較中界定。通過分析資產的機密性、完整性、可用性及其它需求進行評估。對資產賦值時,一方面要考慮資產購買成本,另一方面也要考慮當這種資產的機密性、完整性和可用性受到損害時,對業務運營的負面影響程度。
3 風險評估
資產管理和風險評估是相輔相成,緊密相連的。在實際操作過程中,資產管理數據可為風險評估提供支持;而每次風險評估正是對資產管理數據進行修正和維護的過程。因此,定義全面合理的信息安全風險評估方法及風險可接受準則是十分關鍵的。評估方法要和組織既定的體系范圍、安全需求、法律法規相適應。另外,組織應建立風險評估文件,解釋和說明所選擇的風險評估方法,介紹所采用的技術和工具。
(1)威脅識別T:威脅是對組織及其資產構成潛在破壞的可能性因素或事件。評估者應根據經驗和有關統計數據判斷威脅發生的頻率或概率。
(2)脆弱性識別V:弱點是資產本身存在的,若被威脅利用將引起資產或目標的損害。我們將針對每一項要保護的信息資產,找出每一種威脅所能利用的脆弱性,并對其嚴重程度進行評估,為其賦值。
(3)對已有安全控制措施進行確認。
(4)建立風險測量的方法及風險等級評價原則,結合資產本身的價值、威脅發生的概率、威脅利用弱點的影響程度和已有控制等來確定風險的大小與等級R。即R=f(A,v,T)=f[Ia,L(Va,T)],其中Ia表示資產的重要程度;Va表示某資產本身的脆弱性,L表示威脅利用脆弱性對資產造成安全事件的可能性。
(5)識別并評價風險處理的方法,包括接受風險、降低風險、規避風險、轉移風險等。組織應加以分析,區別對待所識別的信息安全風險。若風險滿足組織可接受的風險準則,將接受風險。否則,考慮規避風險或轉移風險。若無法規避或轉移的風險,應采取適當的控制措施,將它降低到可接受水平。
(6)選擇控制目標和措施
選擇并建立文件化的控制目標和措施,制定風險處置計劃。ISO27001系列強調在風險處理方式及控制措施的選擇上,組織應考慮發展戰略、組織文化、人員素質,并特別關注成本與風險的平衡,以滿足法律法規及相關方的要求。另外,實施控制措施后仍會有殘余風險存在,我們需要密切監視這些風險,防止它誘發新的風險事件。
(7)獲得最高管理者的授權批準
風險識別和評估對后續可行的風險監測和控制至關重要。有效的風險識別要同時考慮內部因素(如企業結構、性質、文化以及人員的素質和流動性等)和外部因素(如環境的變化和技術的發展),他們可能對組織目標的實現造成重大不利影響。在識別絕大多數潛在的不利風險的同時,組織還應該評估自身對這些風險的承受能力。通過有效的風險評估,組織可以更好地掌握其風險狀況和最有效地使用風險管理資源。
(二)實施并運行信息安全管理體系
闡明并實施風險處置計劃。在此過程中,組織應指明和分配適當的管理措施、資源(人員、時間和資金)、職責和優先級。針對不同的管理層次、崗位和職責制訂不同的培訓計劃,記錄并考核培訓的效果。通過提高全員的信息安全意識,塑造企業的風險文化,保證意識和控制活動的同步,確保體系的持續有效性和實時性。同時,組織應搜集證據、記錄信息安全管理活動,為將來的評審、檢查做準備。
(三)監視并評審信息安全管理體系
監控、評審階段主要用來加強、修訂及改進已識別的控制措施和解決方案。對不合理、不充分的控制措施應及時采取糾正和預防。組織可通過多種方式檢查和監視信息安全管理體系的運行狀況,如收集安全審核的結果、事故、以及所有相關方的建議和反饋;定期評審殘余風險和可接受風險的等級;通過內部審核和管理評審檢查信息安全管理體系的有效性、符合性等。此外,組織應做好記錄,并報告影響信息安全管理體系有效性或業績的所有活動、事件。
(四)改進信息安全管理體系
基于評審結果或其他相關信息,采取糾正和預防措施,以持續改進信息安全管理體系,開始新一輪的PDCA循環。改進活動和措施必須獲得所有相關方的認可,并確保達到預期目的。
四、信息資產類操作風險管理的實施建議
ISO27001是文件化的體系,它把傳統的銀行信息安全與IT治理、風險審計和風險評估結合在一起,產生了一個新的管理維度和應用維度。在國際標準化的大潮流下,將基于風險評估的ISO27001體系要求引入業務流程和風險體系,規范現有業務運作,全面提升員工的風險意識和責任,從而有效地降低內部欺詐等各類風險發生的幾率,做到從源頭防范風險,保護客戶信息。
“企業正面臨著前所未有的IT治理與風險管理難題,傳統上基于局部的、純人工控制的安全防御措施已經顯得力不從心。在風險和法規遵從性的問題上,企業必須做到未雨綢繆。”IBM軟件集團Tivoli軟件總經理Alfred Zollar強調說。
2007年年初,IBM完成了對安全和法規遵從管理公司Consul的收購;同年6月,IBM又完成了對網絡應用安全公司Watchfire的收購。經過一系列的戰略收購(也包括MRO和Micromuse等),Tivoli將管理的外延從IT延伸到所有的企業資產。同時,這也實現了IT資源管理從原來的“系統管理”向“服務管理”的快速轉型。
現在,用戶可以將安全、遵從性和質量測試作為Web應用程序開發的一部分,而這就確保了應用程序在投入使用之前就具有業務的完整性。
安全管理邁向新高度
在今天越來越多的協作模式不斷涌現、各類攻擊越發猛烈以及復雜的IT基礎架構組成的IT環境中,企業的業務安全正在經歷巨大的挑戰。而如何通過應用IT的手段來防范和控制這些威脅和風險也成為了企業所面臨的重大難題。
“很多用戶都面臨著重大的威脅和風險,然而這些威脅并不一定完全都與安全掛鉤,很可能是來自于企業的內部。”IBM治理與風險管理戰略總監Kristin Lovejoy說。研究統計也表明,有85%威脅和風險問題是來自于企業的內部,而這其中又有很大一部分威脅是來自于企業內部跟IT相關的管理。也就是說,安全管理和防范已經不僅僅是構建一道外界防御的工具,而越來越多的人也已經認識到了這一點。
“事實上,治理與風險管理是一個由若干步驟組成的過程,企業的風險管理開始于發現風險,而這些風險將影響企業的核心業務流程,接著是根據這些風險對業務的沖擊力來評估風險,隨后是定義將采取的行動,最后就是配置控件并監控這些控件。”Kristin Lovejoy說: “而安全管理將提供跨越整個風險管理過程的能力,特別是在整個風險管理和操作過程中提供控件幫助減少風險。”
調查發現,79%的首席財務官(CFO)已經計劃將在今后三年內逐步構建IT治理架構來整合信息;與此同時,64%的首席信息官(CIO)認為,統一安全策略和保護數據安全是IT部門當前面臨的最大挑戰之一。在這樣的背景下,安全管理作為IT治理與風險管理的重要一環,已經走到了更高的戰略位置。
“在2008年,IBM計劃在與安全相關的領域投資15億美元,這些資金將被用于研發更尖端的安全產品和服務。同時,IBM在全球配備了200多位頂級的技術專家專門從事與安全相關的研究。”Alfred Zollar強調說。
ISS為安全管理添柴加火
現在,IBM全球信息科技服務部(GTS)也已經成為了IBM治理與風險管理的重要力量,特別是在收購了互聯網安全系統公司ISS后,GTS把ISS獨有的預防性安全解決方案帶給了用戶。
“面對企業越來越全面的風險管理和控制需求,IBM做了許多有選擇的戰略性收購。其實,IBM和ISS從1999年起就一直保持合作關系,收購完成后,我們將ISS的主動防御集成安全平臺融入到了IBM的產品組合中,以提供全面的、‘端到端’的安全解決方案。”IBM全球信息科技服務部亞太區企業IT安全服務總經理Maneesh Tripathi介紹說。
“很多企業都存在著安全問題。”IBM全球信息科技服務部ISS大中華區總經理黃德榮說,“隨著安全威脅的不斷升級,安裝單點解決方案消除隱患的時代早已過去了,已經不再是企業安全的保障了。”
此次,IBM綜合其服務、軟件和硬件的優勢,在對企業減少威脅和風險監控管理需求的整體分析的基礎上,了‘端到端’安全解決方案,其中包括:信息安全,通過對傳輸和靜止狀態的數據進行全生命周期的保護,將安全延伸到電子協作中去;威脅和攻擊管理,對網絡、服務器和戰略端等系統組件上的威脅提前采取行動;身份識別和訪問管理,確保合適的人因為合適的原因在合適的時候能訪問合適的信息系統;應用安全,確保應用和業務流程在整個軟件生命周期內的安全;物理安全等。
另外要強調的是,IBM正與全球眾多的業務合作伙伴開展協作,致力于為中小型企業(SMB)用戶提供最適用的安全解決方案。
評論
“安全”與“遵從”從軟件開發開始
2007年6月,IBM宣布收購了安全和遵從性測試軟件公司Watchfire。日前,IBM Rational已經完成了對Watchfire的技術整合,并把Rational的安全和遵從性測試功能進行了全面的升級。
收購Watchfire后,Rational將安全和遵從性的集成融入到了軟件的開發過程中,使客戶能夠把安全、遵從性和質量測試作為軟件開發的一部分包括進來,隨時測試并跟蹤,從而確保應用程序在投入使用之前就具有業務完整性。
可以說,IBM將IT治理和法規性遵從管理理念引入到了軟件開發領域。IBM大中華區Rational軟件總經理桂榮青表示: “基于對Watchfire的收購,IBM將安全和遵從引入到了Rational軟件生命周期管理平臺,使Rational在IT治理和風險管理方面的能力進一步增強。”
的確,隨著網絡復雜程度的日益加深,在線安全和隱私事件問題日益突出,這與法規遵從的欠缺一樣,都有可能會導致客戶信任度的喪失、代價高昂的技術和業務補救以及法律糾紛等。桂榮青認為: “網絡安全形勢的嚴峻和各種法律法規的出臺,對企業的軟件開發提出了更高的要求。為了保障軟件生產企業能交付出高質量、符合特定行業規范需求的軟件,我們必須在軟件開發階段就加強安全和法規性遵從管理。”
而安全和遵從性測試技術與軟件開發工具的結合將可能會導致軟件開發方式的一種變革。據桂榮青介紹,Rational與Watchfire的結合讓Rational走出了傳統軟件開發的框架,向IT治理與風險管理能力的軟件生命周期管理平臺邁出了重要的一步。
建筑工程安全風險管理方式是多樣化的,結合不同特點的施工安全風險管理環節,積極采用相應的建筑工程施工安全風險管理策略,是很有必要的。建筑工程安全風險控制和應對的過程中,積極通過建筑施工安全風險的識別,評估的方式,從數據統計的角度去界定建筑施工安全風險發生的概念,損失程度,危害程度,由此制定切實的建筑施工安全風險控制和應對措施。一般情況下,對于風險進行管理和控制的方式分為:消除風險,減輕風險,預防風險,回避風險和轉移風險。上述的幾種方式可以切實的被運用到建筑工程施工安全管理工作中去。基于這樣的理論,積極結合建筑工程施工安全風險管理特點,實現理論與實踐的相互融合。具體來講,需要從以下角度入手:
1.1消除建筑施工安全風險
消除建筑施工安全風險,可以嘗試多樣化的方式去達到這樣的效能。一般情況下,使用更加先進的施工技術或者施工方法,解決原來技術缺陷和弊端,以盡可能的實現建筑施工安全風險隱患的規避。為此,應該積極做好以下幾方面的工作:其一,組建建筑施工安全風險管理小組,對于建筑施工安全管理工作進行分析和總結,找到現階段建筑施工安全管理工作的缺陷和不足;其二,結合實際建筑施工安全風險管理情況,鼓勵進行技術創新,工藝改善的方式實現部分建設施工環節風險的管理和控制。
1.2減輕建筑施工安全風險
所謂減輕建筑施工安全風險,是指以技術手段措施實現建筑施工安全風險的減輕,從而避免風險帶來的不利影響。從本質上來講,減輕建筑施工安全風險的過程,是將可預測的安全風險控制在可以承受的范圍內的過程。對此,應該積極做好以下工作:針對于現階段建筑施工安全風險情況,對于建筑施工安全風險情況進行全面分析,在此基礎上制定相應的策略進行風險降低。
1.3預防建筑施工安全風險
預防建筑施工安全風險,是一種主動出擊的建筑施工安全風險處理策略,簡單來講,就是通過對于眾多建筑施工安全風險源的分析,確定其可能出現的建筑施工風險,采用一定的技術措施使得建筑施工風險不會發生。對于建筑施工安全風險的預防來講,應該注重以下內容:其一,樹立建筑施工安全風險防范意識,營造良好的建筑施工安全風險預防氛圍;其二,加大對于建筑施工安全風險防范的投入,從設備,人力,財力等角度給予充足的支持,保證各項防護工作都能夠切實發揮效能。
1.4回避建筑施工安全風險
對于建筑施工過程中的安全風險,以回避的方式進行處理,是最佳的處理方式,也是比較徹底的施工安全管理策略。但是在此過程中要主動放棄或者改變項目施工方式,在確定規避方案的時候,要積極去思考這樣的改變是否會對于整個建筑項目的經濟效益構成危害,這就要求對于回避建筑施工風險的方案進行全面的評價,從風險源入手,展開分析,并且最終確定建筑施工安全風險方案,將其執行到建筑施工安全風險管理中去。
1.5轉移建筑施工安全風險
所謂轉移建筑施工安全風險,就是將風險環節集中的項目分給其他的單位來承擔,以最大化的降低風險的發生概率,使得自己不用去承受不利后果。一般情況下,當公司技術能力,管理素質不強的時候,就會以工程建設承包的方式進行分包,以便彌補自身在技術和管理方面的缺陷,將風險轉移給了承包商和分包商。或者以購買保險的方式,一旦發生施工安全風險,由保險公司去進行承擔,也是很常見的一種轉移風險的做法。
2結束語
在全球經濟一體化進程不斷加快的背景下,我國的市場經濟體制逐漸完善。改革開放的不斷深化為我國企業的發展提供了良好的機遇,同時也帶來了嚴峻的挑戰。面對來自國內和國際市場的雙重競爭,國有能源企業應該采取切實有效的措施,加強對風險的管理和控制,提升投資決策的科學性,為企業創造出一個相對穩定的經營環境,提升企業的經濟效益。本文結合當前我國國有能源企業安全風險管理的現狀,對其財務風險管理中存在的問題進行了分析,并提出了風險管理的創新方法,希望能夠推動企業的發展創新。
二、企業安全風險管理現狀
安全風險管理與傳統的安全管理相比,更加先進,在管理模式和管理特點等方面存在著較大的區別。傳統的安全管理重要是以事后管理為主,屬于經驗型管理,注重對于安全責任的追究;而安全風險管理則強調事前管理,重視企業全體員工的共同參與,通過風險的評估和預防,對關鍵問題進行治理。
安全風險管理實現了風險管理和安全管理的相互結合,比安全管理具有更加廣泛的管理范圍和更加全面的管理內容,管理的主要目標是減少乃至消除安全事故,減少不必要的經濟損失。安全風險管理主要是從全局角度出發,對系統安全的觀點進行明確,在國有能源企業中有著非常廣泛的應用。[1]
從目前來看,在國有能源企業中,安全風險管理取得了非常顯著的成效,也存在著一些不足和問題,主要體現在以下幾個方面:
(一)缺乏風險管理意識
當前,許多國有能源企業管理層尚沒有意識到風險管理的重要性,缺乏相應的風險管理意識,從節約成本方面考慮,沒有進行企業內部控制制度的建設,也沒有設置相應的內部審計機構對企業管理人員的行為進行約束。這使許多國有企業管理人員在企業經營管理中抱著得過且過的思想,進而導致企業面臨著極高的財務風險和安全風險。
(二)缺乏內部管控制度
很大一部分國有能源企業并沒有進行內部控制制度的構建,或者沒有依照相關規定進行內控制度的構建。要想強化企業內部控制,提升企業的風險管理能力,構建完善的內控制度是非常必要的。但是,許多企業認為健全內控制度是一件費時費力的事情,因此并沒有重視,企業的內部控制和風險管理缺乏良好的制度保障。
(三)缺乏制度有效執行
要想確保企業內部控制制度的有效執行,需要考慮多方面的影響因素,如財會人員的專業素養、管理人員的綜合素質以及企業對于內部控制制度的推行力度等,如果僅僅構建了相應的內控制度,但是缺乏有效的執行,內部控制就會淪為空談,無法發揮實質性的作用。[2]
三、企業風險管理方法創新――以貿易為重點
(一)控制下游企業,穩定公司管理
對下游優質企業的控股和兼并,能夠進一步提升國有能源企業對于能源市場的掌控能力。在實際操作中,對下游產業的控制能夠保證資金的通暢性及安全性,了解目標市場的發展狀況,做到心中有數,取得經營戰略上的優勢。同時,還能夠影響后續生產狀況,提升能源供應的計劃性,實現以銷定產,穩定能源供應鏈。在黨的十八屆三中全會中,對混合所有制經濟進行了確定。這也使得能源企業的合作對象范圍有了很大的增加,通過對下游企業的控制,企業在日趨激烈的市場競爭中可以占據更加有利的位置。
(二)加強物流建設,增強公司流通能力
通常來講,能源企業的貿易不僅交易額巨大,而且交易周期相對較長,存在著大量的不確定因素。從風險管控角度看,應該強化對于物流鏈的管理和監督。國有能源企業應該立足自身的實際情況,進一步加大物流基地的建設,強化對于物流鏈的掌控能力,對貨物的存儲和轉運進行嚴格控制。利用現代化信息技術對物流基地進行建設和管理,能夠在實現傳統物流功能的基礎上,提升物流的效率,幫助企業降低成本、提升效益。同時,物流基地的建設還能夠發揮相應的輻射帶動作用,在保證自有貨物安全的前提下,方便對貨物的流向進行控制,提升經營范圍。不僅如此,加強物流建設,通過多方戰略合作,甚至能夠形成相應的交易中心,影響市場,爭取更多的行業話語權。[3]
(三)把握金融工具,控制資金成本
國有能源企業應該充分利用自身在資源、資本等方面的優勢,對資金流的運作進行把握和控制,在積累資金的同時,發揮信用優勢,并結合金融杠桿,通過參股銀行或者收購證券公司的形式,設立相應的財務公司、保險理財公司等,實現資金運作方式的多樣性。可以開展資本融資,利用國家信用評級,發行相應的票據和債券,降低融資成本。應該進一步利用金融工具,開發各種金融產品,組織與協調物流中的資金運作,減輕企業經營中的資金壓力,幫助上下游企業加快資金流轉速度。另外,可以利用期貨等金融工具,對市場風險進行規避,減少經營風險。[4]
(四)拓展企業海外業務,增加市場
在當前經濟全球化的背景下,我國的工業化進程不斷加快,對于能源的需求也在不斷增加,能源供需矛盾日益凸顯,成為制約我國經濟發展的一大障礙。因此,我國經濟能否實現快速增長,主要取決于能源進出口貿易的發展。自1993年開始,我國成為石油凈進口國,石油的進口量在世界石油出口總量中占據著越來越大的比重,對進口的依賴程度進一步提升。在這種情況下,國有能源企業面臨著新的發展形勢,貿易伙伴正在向著多元化的方向發展。而針對我國能源利用中存在的問題,面對能源供需矛盾,國有能源企業應該積極拓展海外業務,通過技術研發以及自主勘探,對海外資源進行拓展,從源頭上穩定能源產業鏈。
(五)開拓新領域,加快產業布局
從目前來看,我國經濟發展最為關鍵的任務之一,就是保障能源的可靠供應以及能源價格的穩定性。而現階段,單純依靠進口的能源形勢很容易受到能源出口國政治經濟局勢變動、國際能源價格波動等的影響,并非長久之計。對此,國有能源企業應該開拓新領域,加快新能源的產業布局,實現能源生產與消費的改革,提升能源的開發和利用效率,推廣清潔能源的使用,將發展新能源及節能環保產業作為促進消費、帶動競爭的重要切入點,推動我國經濟的可持續發展。[5]
四、結語
關鍵詞:高層建筑;風險管理;風險分析;施工單位
引言
現代的房屋建筑充分利用土地資源,節約土地資源為宗旨。因此,利用有效土地資源,向樓房高層發展。高層房屋建筑施工過程中的安全極其重要,對高層房屋建筑工程安全風險管理潛在隱患包括高處作業、地質、環境、設備、材料、人員等各方面的因素,屬于安全生產的高危之一的項目。不僅是結合房屋建筑施工技術精華和新工藝的應用,而且對高層房屋建筑工程的質量的要求標準高,同時安全管理風險也是并存。安全管理風險取決工作環境的的不利施工,較多處于露天高空作業,多種工種相互配合協調,機械設備的設置,電源線路的安置,在這狹小的空間極其擁擠,包括施工人員的專業化素質、不完善的作業條件等這些決定了安全管理風險潛在的隱患。建筑工程項目具有投資大、施工環節復雜、參與者多、周期長、風險因素多等特點,在土建施工過程中具有很高的災害事故風險率。所以在高層建筑的土建施工過程中,風險管理的過程就顯得更加重要。事實證明,在工程建設項目中,為風險管理而付出相應成本來挽回不必要的項目損失,這種努力是值得的,而且是必要的。
1風險管理的發展和現狀
風險管理思想的雛形源于公元前916年國外的共同海損(GeneralAverage)制度和公元前四百年的船貨押貸制度,雖然屬于保險思想的雛形,但因保險是風險管理技術,所以認為其是風險管理思想的雛形。18世紀產業革命,法國管理學家亨瑞?法約爾(HenriFyaol)在《一般管理和工業管理》書中正式把風險管理思想引入企業經營,到20世紀60年代,美國才將其發展為一門獨立的科學。工程的當事人風險意識淡薄,工程不確定性多,風險復雜多變,風險識別困難;工程項目具有不重復性,忽視工程施工資料的整理,造成工程施工數據的積累有限;風險評價的誤差大;風險管理手段的落后,風險手段只有風險回避、風險自留和風險轉移,種種原因制約工程風險管理的發展。
2高層建筑土建施工風險管理的特征
高層建筑的建設風險更大,風險發生的概率更高,其特點總結為:
1)前期投資大,前期資金運營風險比較大。
2)施工周期相對較長,比普通項目層數多很多,有很大的工程量。
3)火災在高層項目上已經上升為主要矛盾。
4)工程風險的責任承擔者相對較多。
5)土建施工的垂直運輸量很大,高空作業多,吊裝作業風險高,且在調試和安裝垂直運輸設備時安全風險大。
6)工程施工的協調工作難度大,作業的種類繁多,波及的范圍大,且工種和工種間的交叉配合很多。
7)結構復雜,施工和設計不僅量很大,技術難度也很大。
3管理施工風險的途徑
綜合高層房屋建筑工程建設過程中的風險因素,提出安全建設的途徑,發揮安全管理的價值,構建施工安全風險管理的途徑。
3.1風險立法
針對高層建筑安全風險的基本情況,構建法制環境,通過立法方式,體現風險管理的價值。根據高層房屋建設的實際,嚴格貫徹安全建設的法制、法規,履行立法要求,如此可以正確對待施工過程中的安全風險,提高規避能力。詳細研究立法制度內的風險源,對比實際工程,判斷是否有相同或類似的內在風險,提前做好風險防護的準備,體現風險管理的價值,結合風險立法的實際,制定風險管理的對策,加強風險法制建設,實現完善的立法環境。
3.2風險控制
站在施工安全管理的角度考慮,風險控制需要實現最終的風險規避,即使無法完全規避風險,也需將其控制在最小狀態。風險控制的過程中,以規范化的建設環境為主,防止來自各個方面的安全威脅,例如:對高層建筑工程內的每一項工程,實行規范化的處理,盡量多方面的排除安全風險的影響,然后制定流程化的施工方案,實際施工中,需要嚴格按照施工方案執行,保障施工內容的合理性,確保施工過程中,可以實現風險控制,避免風險影響,體現安全管理的價值。
3.3風險轉移
風險轉移是高層房屋建筑工程風險管理的常用方式,利用合作的方式,實現風險分擔。例如:施工企業將部分施工項目,以外包的方式承包給其他施工企業,簽訂責任合同,促使承包企業自行承擔施工部分的項目風險,由此施工企業不用承擔全部風險內容,既可以實現安全風險的控制,又可以將風險降到最低。近幾年,風險轉移在建筑工程中比較適用,保障各個參建單位的效益,維持風險平衡狀態,而且風險轉移不僅可以推進工程業務承包,還可以為承包單位提供效益獲取的方式。
3.險內消
風險內消屬于技術性的管理措施,具有直接、穩定的管理特性。風險內消將全部安全風險集中到施工企業內部,促使施工企業根據建筑工程可能發生的各項風險,進行策略研究,劃分風險預算,一旦出現在預算范圍內的安全風險,立即進行事故補償,風險損失由施工企業承擔。如此以來,雖然可以解決風險問題,但是著實面臨成本消耗,此類風險安全管理的方式,在高層房屋建筑工程中不常用。風險內消的基本特點為:掌握全面的風險來源,實施力強,對應性高,基本可以正確辨別風險,以成本管理的角度理解,則會降低評價性。
4總結
工程風險管理不是單靠某一階段、某些風險管理者就能得到實施,不同的參與者,在不同的階段,根據自己面臨的風險,制定風險管理計劃,運用風險管理手段,實現有效控制風險的目標。
(1)風險管理是項目全過程、全面的管理:在工程的各個階段,從工程項目的決策階段到工程項目的交付使用,不同的參與者,保證風險管理實施的連貫性。
(2)風險管理是全方位的管理。針對每一階段,每一種風險,項目管理者應系統、全面的分析風險因素對項目各方面的影響,制定風險計劃。
(3)風險管理的措施全面,包括技術、經濟、性質、合同及管理等手段。建筑承包商作為建筑產品實體的最終實現者,在項目施工階段,與建設單位承擔著巨大的風險,是施工風險的主要承擔者。在面對市場競爭日益加劇的情況下,施工難度的增加要求施工企業不斷創新提高。如何在競爭中脫穎而出,施工企業提高自己的施工管理和專業水平才是企業生存和發展的根本。針對工程項目的風險,合理運用風險管理技術,重視和發揮風險管理的作用,強化風險意識和風險規避手段,運用風險管理盡可能的識別風險,評估風險,從而恰當使用風險管理工具,將會有效控制風險,減少風險的損失,使風險降到最低,如期保證工程的順利交付使用,達到工程進度、質量和投資的目標的統一,投資商和承包商均獲得最佳的社會和經濟效益。
參考文獻:
[1]王有志.現代工程項目風險管理理論與實踐[M].北京:中國水利水電出版社,2009(03).
[2]陳津生.建設工程保險實務與風險管理[M].北京:中國建材工業出版社,2008(09).
[3]陳偉.工程項目風險管理[M].北京:人民交通出版社,2008(07).
[4]劉書玲.高層建筑施工細節詳解[M].北京:機械工業出版社,2009(4).
[5]《建筑工程項目經理實用手冊》編委會,建筑上程項目經理實用手冊[M].天津:天津大學出版社,2009(04).
【關鍵字】 指揮自動化 安全管理
隨著信息技術在軍事領域的廣泛應用,我軍指揮自動化水平取得了長足的進步,但是信息安全問題日益突出,信息安全已經成為制約我軍指揮自動化系統建設的瓶頸。研究和實踐證明,70%以上的安全問題是由于安全管理不善造成,而其中95%可以通過科學的安全管理來避免,因此指揮自動化系統安全管理工作應當引起我們的高度重視。
一、指揮自動化系統安全管理的基本概念
指揮自動化系統安全管理是管理的一種,具備安全管理的一般概念,指揮自動化系統安全管理是指為完成指揮自動化系統安全這一核心任務,設置一個高效的組織機構,建立一套完善的管理制度,充分調動該系統內部人員的積極性和創造性,發揮現有的信息安全技術條件,以期最大限度保證指揮自動化系統以及指揮自動化信息安全的過程。
指揮自動化系統安全管理包括的范圍較廣,主要包括以下內容:落實安全管理機構以及安全管理人員,明確角色與職責,制定安全規劃;開發安全策略;實施風險管理;制定業務連續性計劃和災難恢復計劃;選擇與實施安全措施;保證配置、變更的正確與安全;進行安全審計;保證維護支持;進行監控、檢查,處理安全事件;安全意識與安全教育;人員安全管理等。
二、指揮自動化系統安全管理問題分析
2.1指揮自動化系統安全管理機構不完善
信息安全管理機構是信息安全管理制度制定和實施的有力保障,這個安全機構分為三個層次,領導層、管理層和執行層。我軍各級指揮自動化系統在領導層缺乏一個統一的信息安全領導機構;在管理層絕大多數是參謀兼職人員;在執行層更是專業技術人員匱乏。
2.2指揮自動化系統相關人員缺乏信息安全教育
首先信息安全管理人員發生信息安全問題時,完全依靠于技術部門,信息安全管理意識缺乏;其次忽視了對廣大系統用戶的安全知識和安全意識的教育,導致用戶不清楚指揮自動化系統的信息安全的標準和要求,最終導致內部安全事件頻發。
2.3指揮自動化系統風險管理得沒有有效開展
我軍各級指揮自動化系統風險管理工作還處于起步階段,對指揮自動化系統及其承載的信息等不了解,對系統所面臨的威脅不清楚。由于對其信息系統整體安全狀況不了解,風險管理和評估工作無法有效開展。
2.4指揮自動化系統安全管理制度不完善
各級指揮自動化系統安全管理制度不完善。一是安全管理內容不全面,如網絡安全、設備安全權責不清、責任不明等;二是安全管理制度層次不清,可操作性不強,在實際工作中很難逐級落實。
三、指揮自動化系統安全管理應該把握的幾個問題
3.1完善指揮自動化系統安全管理機構
指揮自動化系統安全管理機構是安全管理工作的基本組織保證。在指揮自動化系統管理機構中建立安全管理機構,一是要根據該系統安全工作的具體情況而定,不同安全等級的安全管理機構由于管理任務和要求不一樣,管理機構組成也不一樣。二是要建立健全管理信息安全工作的職能部門。三是要為信息安全管理配備專職或兼職的安全管理人員。
3.2大力加強指揮自動化系統相關人員的安全教育
目前我軍信息安全知識匱乏,人才質量參差不齊。信息安全技術只有通過人的操作才能發揮應有的作用,如果對操作和配置指揮自動化系統的用戶沒有相應的安全管理,再好的安全技術也難以發揮應有的效力,因此人員安全知識和安全意識的教育是指揮自動化系統安全管理的核心。
3.3扎實推進指揮自動化系統風險管理工作
風險管理是信息安全中非常重要的一環,風險管理工作必須嚴格按照風險識別、風險評估、風險控制以及效果評價四個步驟進行。風險識別是準確的對資產進行識別,評估資產可能面臨的威脅。風險評估主要對識別的風險進行分析和分級。風險控制是通過避免、轉移、緩解或承認等策略來控制漏洞所產生的威脅。效果評價是檢驗風險評估和風險控制的結果是否滿足信息系統的安全要求,在目前條件下,這部分工作亦可委托專業機構來完成。
3.4把握好指揮自動化系統安全管理的動態特性
指揮自動化系統安全管理是風險管理的一種,自然離不開管理的動態特性。指揮自動化系統中存在威脅、風險和脆弱性并不是一成不變的,因此安全管理必須因內外環境的變化而做出相應的改變,最大限度達成管理目的。指揮自動化系統安全必須一動態的眼光來看待問題,不僅僅停留在安全策略、計劃、規劃等描述性的文檔上,需要在實踐中不斷地反饋、修改和完善。
參 考 文 獻
[1]戴宗坤,羅萬伯,唐三平,黃元飛,劉永澄,《信息系統安全》,金城出版社,2001
1工程項目安全管理難點
1.1施工不安全因素
建筑工程規模的多樣,決定了結構的多樣,由此決定了建筑功能、所用材料、工藝方法、施工機具的多樣。除此以外,不同的人員操作同樣設備,在不同的環境下,都可能存在意想不到的安全隱患。這些隱患因素如果不提前識別確認,都可能成為事故多發的關鍵。
1.2施工過程中安全管理的難點
施工企業與項目部分離,使安全措施不能得到充分的落實,施工現場安全管理存在以下難點:①工程項目機構的臨時性和施工人員的流動性。②多個建設主體(總包、分包及勞務分包)的參與及其關系的交叉性,決定了安全管理的難度復雜化[1]。③施工人員具有的不同安全操作技能、安全意識及安全文化,造成安全約束沒有統一標準。④建設工程施工中的管理主要表現為業主方的目標導向的管理,無形中輕視了現場安全管理的目標。⑤作業人員的文化及業務素質相對普遍較低,易出現違章操作的現象。就是這些不安全因素成為安全事故發生的重大隱患。
2工程施工風險及監理管理
2.1安全管理存在的缺陷及對策
建筑施工中通常會存在的缺陷:①沒有危險作業、關鍵工序的作業程序,或者有作業程序,但實施中執行落實不到位;②作業組織不合理。一是人員安排不合理:勞務工人不具備施工安全生產的基本知識和預防能力;二是從事危險作業時無專人現場監督。針對上述缺陷,監理工程師應根據監理規范,采取措施:①對工程技術進行層層把關,確保技術的安全可靠性,運用工程技術手段消除不安全因素,實現生產工藝、機械設備等生產條件的安全。例如,對施工組織技術方案進行審查,對危險性大、復雜的部位的要求編制施工方案;對可操作性不強、不合理的方案要求整改,強化安全防護技術;對隱蔽部位的施工嚴格按照驗收程序實施現場監理,必要時采取多種監理方式:巡視、平行檢查和旁站。對施工作業全過程的控制,通過檢測、跟蹤、反饋等途徑有效地消除施工安全隱患。②利用各種形式的教育和訓練,使施工人員和監理工程師樹立“安全第一”的思想,掌握安全生產所必須的知識和技能。例如,督促項目部做好項目部、作業隊、班組定期或不定期的安全教育,及對執行的情況的跟蹤檢查。③對不適宜從事某種作業的人員進行調整,嚴格要求作業人員持證上崗。例如,對于職工技術不足的問題,應該加強教育和訓練,提高其知識水平和操作技能;在分配工作任務時要考慮心理學和醫學方面的要求,并盡可能從工程技術上改進;對于不良的物理環境,則應采取恰當的工程技術措施來改進。④嚴格按照監理規范實施監理工作流程,借助于規章制度、法規等必要的行政、乃至法律的手段約束施工現場人員的行為。
2.2現場風險管理的監理對策
工程項目的風險就是指那些在項目實施過程中可能出現的災難性事件或不滿意的結果。任何風險都包括兩個基本要素:一是風險因素發生的不確定性;二是風險發生帶來的損失。安全風險管理的目的是消除或減少風險,避免或控制安全事故的發生[2]。施工中監理的責任就是恰當運用風險控制技術,進行全方位、全過程的安全監理,做到事前預防,事中跟蹤落實、事后總結。①工程監理管理決策制定。全過程風險管理的決策制定是關鍵,主動控制起到防患于未然的作用。風險管理人員在選擇風險對策時,要根據建設工程的自身特點,從系統的觀點出發,從整體上考慮風險管理的思路和步驟,制定一個與建設工程總體目標相一致的風險管理原則。這一原則需要指出風險管理各基本對策之間的聯系,為風險管理人員進行風險對策提供收集資料,估計項目潛在影響,估計項目風險概率大小或分布,評價項目風險潛在后果。例如,在建設工程施工前,監理工程師要根據施工現場內、外部條件,例如,對施工總包單位與專業分包、勞務單位名稱與人數、項目部機構與人數、工程概況以及周邊區域內企業、村落、重要基礎設施、道路等基本情況進行調查,以及統計已有類似工程安全風險資料信息,按照工程實施各階段組織分工、項目組成的風險因素分類,對施工作業和管理活動中的危險源進行風險確認,制定相應監理安全管理策略。②實施決策的內容。按照實際情況制定安全計劃、損失控制計劃、應急計劃。施工現場周邊區域重要危險源主要包括鄰近周圍居民聚集區的深基坑、山體開挖、隧道、大型管溝的施工因施工支護。施工現場內重要危險源主要包括施工各分部、分項工程,施工裝備(設施、機械)。單獨編制施工方案和安全計劃。尤其是針對例如,焊接、金屬切割作業,嚴格執行“十不燒”規范,對吊裝作業,嚴格執行“十不吊”規范,等等諸如此類的重點環節,加強監督管理和規范。隱患整改的效果反映了監理工程師進行跟蹤檢查、反饋信息的有效性。通過督促項目部根據安全保證計劃,組織定期和專項安全檢查相結合的方式,隨時發現安全隱患,隨時要求施工單位整改。③安全跟蹤檢查。在安全風險管理的過程中,首要的工作是在項目實施過程中,不斷檢查以上的實施情況,以實踐效果評價決策效果。還要確定在條件變化時的風險處理方案,檢查是否有被遺漏的風險項目。對新發現的風險應及時提出對策。例如,檢查現場文明生產是否符合要求;工程材料、構件及設備堆放是否和施工現場平面圖一致;危險源周圍可利用的安全、消防、個體防護設備、器材及其分布是否滿足規范。
3結束語
論文摘 要:闡述了我國建筑業職業健康安全管理現狀,提出了我國建筑業職業健康安全管理目前存在的主要問題。
建筑業是國民經濟的高危行業之一,隨時面臨著職業安全健康風險的嚴重挑戰。職業安全和健康一直是影響我國建設行業和企業發展的重要因素。
1.建筑業職業健康安全管理現狀
在今天這個快速發展的時代,隨著人們對居住環境和生存條件要求的不斷提高,國內建筑市場規模將長期處于持續增長狀態,建筑行業成為國家的基礎行業之一。隨著國內經濟的持續繁榮提升,國內建筑市場規模不斷擴大,大中型城市加快了城市建設開發的進程。與之伴隨著施工技術的不斷創新,一大批“高、大、精、新”的項目不斷涌現,成為城市的亮點,建筑行業在國民經濟中占有越來越重要的地位。另一方面,建筑行業也存在與社會發展不相協調的背景。國家或地區間的技術、經濟、文化發展不平衡,建筑施工管理手段落后,從業人員素質偏低,生產投入不足,生產技術的管理和開發落后于市場發展,安全保證能力低,環境保護意識差等,都嚴重制約了行業的健康發展,特別是一些重大安全生產事故頻發,給人民生命財產安全等造成重大損失。
建筑工程項目由于其規模大、周期長、生產的單件性和復雜性等特點,在實施過程中存在著許多不確定的因素,比其他產品生產具有更大的風險。特別是對于現代建設項目,無論是在規模、技術復雜性、資金投入、資源消耗量、還是在影響范圍方面都比以往任何時期要大得多,所存在的風險也比以前增加了許多,導致的損失也越來越大,從而使得國內外許多科研人員和企業管理人員開始重視對其進行所謂的“建筑工程風險管理”。
風險管理(Risk management)最早是由美國在19世紀30年代提出的,其目標是努力防范、減少和分散風險,但是最終不可能消除風險。經過70多年的發展,已形成系統的理論,國外甚至還出現了專門從事風險管理工作的所謂風險管理公司。我國的風險管理起步較晚,項目風險管理水平與國外發達國家相比還存在很大的差距,特別是在建筑工程項目領域的應用差距就更為明顯。建筑工程風險是不可能完全避免的,建筑工程風險管理的目的是降低發生風險的頻率并盡量減輕影響。危險源辨識和風險評價作為安全風險決策的基礎,它們可以使工程中的實際風險得到有效控制。
從安全生產事故數量及造成的損失統計分析來看,我國從建國以來已經歷了四次事故頻發高峰。近年來,我國的安全生產形勢十分嚴峻。隨著建筑市場規模的成倍擴大,施工企業的安全管理資源增長速度遠遠趕不上承接工程規模的增長速度。有專家認為,我國正在經歷第五次安全事故頻發高峰期。近年來,國家對建筑安全法制建設越來越重視,政府建筑安全主管部門也大大加強了建筑安全監督管理的力度。這種監督檢查是督促建筑施工企業完善基本的安全管理系統,使安全管理依法辦事,同時政府主管部門也不斷提高對建筑施工企業安全管理工作的要求。
2.建筑業職業健康安全管理存在的主要問題
目前,我國建筑施工行業在危險源辨識、風險評價工作上存在的主要問題:
(1)對危險源辨識和風險評價的認識還相當落后。
受傳統思維和舊有習慣的影響,大部分工程建設企業從管理人員到操作人員,對風險管理都滿足于經驗型的粗放控制,依賴于感官印象和主觀判斷,對如何科學進行危險源辨識、風險評價認識不足,尤其是危險源辨識、風險評價應有哪些要求、適用哪些方法,如何適宜于行業和企業的特點等等更是不予重視,主動應用科學的辨識、評價方法以及實現辨識、評價范圍的全面覆蓋更是十分薄弱。
(2)危險源辨識和風險評價在內容和方法上還存在缺陷。
我國企業對危險源辨識和評價在內容和方法的研究、應用還處于自發階段,隨著安全健康事故的增多,各行各業日益關注辨識、評價內容與方法的科學性、合理性、有效性和適宜性。但是,通過評審和研討,人們發現過去零散的、自發的辨識、評價方法,在可靠性、充分性方而存在明顯不足,一些從國外引進的方法在中國出現“水土不服”、不好應用等問題,尤其是立足于建筑行業特點,如何強化辨識、評價內容與方法的針對性、適宜性和匹配性,如何確定內容與方法的應用準則、可靠程度等更是難上加難。由于經驗法簡單可行,而科學方法復雜得無從下手,導致目前大部分企業應用的多種辨識、評價方法存在經驗和科學之間的錯位,往往最后采用經驗方式決定辨識和評價結果。
(3)現有的辨識和評價內容與方法不利于風險預防和控制。
由于施工企業的特殊性和所面臨風險的復雜性,各種辨識和評價方法的有效應用相當困難,粗放的辨識和評價結果,不適宜的應用方法,不僅導致風險管理缺乏系統手段和成效,而且還導致了人們對科學辨識、評價方法的實際作用產生懷疑,不利于風險的預防和控制,從管理理念和實施方法上產生了大量的人為缺陷。
3.結語
當前我國正在大力建設和諧社會,建筑業的安全健康管理已經成為人們關注的焦點。但是長期以來,工程建設企業的安全健康風險一直處于嚴峻態勢,各種事故的持續發生,嚴重阻礙了正常的生產和管理鐵序,產生了惡劣的社會影響,引發企業的責任危機、生存危險和社會危機。分析事故原因可以看出,大部分企業的風險預防機制存在嚴重問題,尤其是危險源辨識、風險評價的充分性、準確性和及時性受到質疑,對危險源辨識和風險評價相關內容及方法的研究和應用,已經成為建筑企業職業健康安全管理的緊迫課題。
關鍵詞:送電線路風險管理安全管理風險評估風險收益
中圖分類號:TU714 文獻標識碼:A 文章編號:
一、引言
送電線路工程的施工管理涉及送電設施與電網的工程設計與設備制造等核心內容,還包括送電設備設施以及各種材料的選型、采購和運輸等環節,并且這一系列的過程會受到許多來自工程以外的其他因素的影響。
送電線路工程的施工管理的特點是資金和技術等一系列資源相對密集,可以說,送電線路的施工管理是一項非常復雜的系統性工作。在送電線路工程施工的前期準備、開工建設、竣工投產等各個環節中,每時每刻都存在著風險以及安全問題。送電線路工程項目的施工現場包含著錯綜復雜的風險因素與安全隱患,相關人員需要針對不同環節的風險管理與安全管理的需要,采取有效的方法,做到有的放矢,有效識別風險,保障安全生產。
二、送電線路風險管理的特征與措施
送電線路風險管理是指對送電線路施工過程以及運行過程中存在的各類風險因素進行識別、分析及評估等活動,并根據這些內容制定有效的防范對策的一系列管理過程。風險識別是風險管理工作的基礎內容,它涉及的范圍比較廣泛,是一項非常繁重而復雜的工作。對于風險識別,需要盡量做到在突出重點的同時,不漏項目。風險識別工作的好壞將直接影響對風險的估計和評價,進而影響決策者對風險所采取的措施,影響整個送電線路工程項目的施工進度。在風險評估過程中,需要參與評估的人員運用概率論、數理統計等數學方法,結合系統理論進行匯總和分析,從而對風險進行比較準確的預測。
從工程的角度來看,風險管理具有客觀性和多樣性的普遍特征,同時它還能夠影響到工程的全局,也遵循著一定的客觀規律而存在。除此之外,送電線路工程項目因為受到施工地域的水文環境、地質結構以及施工材料和工藝的不同,表現出較為特殊的特征。不同地域的地質與水文環境有著明顯的差異,這往往會給送電線路工程施工的風險預測帶來一定的難度,如果不能夠提前準確識別這類風險,將會導致送電線路工程因此而改變方案或者更換施工設備,延長工程工期,增加工程成本。在送電線路的施工階段,由于工期安排一般都比較緊湊,上下工序之間的銜接也非常緊密,各個風險因素的相互關聯也非常突出,因此其中任何一項風險的發生有可能導致一連串風險指標發生變化,嚴重時甚至會直接導致項目停工,帶來巨大的經濟損失。通俗地說,施工階段的風險管理就是要用最小的風險管理成本來獲得最大的風險管理收益,盡可能地避免風險損失。
我國送電線路施工企業的管理水平相對較低,加強該類工程的風險管理能夠獲得較高的風險管理收益。我認為,加強送電線路風險管理首先要提高管理人員與技術人員的業務能力,加強培訓,提高送電線路施工隊伍的整體素質,提高工程施工管理水平。其次是要推廣和普及科學的風險管理方法,使用現代化管理系統來提高管理效率。相關企業可以運用現代化的專業風險管理軟件,用科學的方法來分析現有送電線路工程項目的各種風險條件,并做出合理的風險評估,為整個工程項目提供合理的數據資料。通過對數據的分析,可以及時掌握施工進度,實現施工費用和各項資源的控制與管理。
三、加強送電線路工程項目安全管理的方法與途徑
相比其他的工程項目而言,送電線路工程的安全管理難度相對比較大,并且其安全性關系到建設公司的興衰,也關系著國計民生問題。根據筆者多年經驗,結合送電專業的理論,我認為安全管理需要從制度、隊伍、現場等方面著手。
(一)嚴厲履行各項規章制度,加強法治化辦理。
在送電線路工程項目的安全管理中,制度的執行與實施應該是放在第一位的,有了各項規章制度,我們才能夠依法管理工程項目的各個環節。在各項規章制度中,要推廣和實施安全管理,最大限度地避免安全事故的發生。在實際中,由于安全工作往往不與經濟效益掛鉤,因此很容易被忽視。然而,長期的忽視,必然會造成不良的后果,很多施工管理者往往是在出現問題之后,才開始著手尋找補救辦法,容易造成較大的損失。因此,送電線路工程安全管理要防微杜漸,不斷完善和補充相應的規章制度,并根據有關法律法規進行法制化管理方式,確保各項規章制度得到良好地實施和運行,起到重要的作用。
(二)加強對施工隊伍建設,提高員工安全意識。
送電線路的施工隊伍貫穿于整個工程建設,是確保整個工程安全完成的關鍵。抓好施工隊伍的安全問題,從管理層到技術層,再到一線的工作人員,在完成本環節工作時,都充分考慮到安全因素。這樣,才能有效實施送電線路施工設計方案,搞好工程建設。送電線路工程的安全人員首先要對施工人員進行崗前的安全知識和專業技能訓練,確保一切到崗的工人都牢記安全第一的思想,認真履行“安全教育在前,施工操作在后”的思路。對于施工過程中出現的違章作業現象,要及時安排技術人員剖析現場實際狀況,查找危險點并對相關的危險源進行剖析,擬定相應的防范辦法,確保安全作業。
就我國目前狀況而言,施工過程中的人員流動性比較大,因此需要根據施工現場的人、機、料、法、環等因素對施工現場進行動態安全管理。安全管理離不開施工隊伍,因此要注重培育施工隊伍,爭取培養和留住一批施工質量高、安全操控能力強的施工人員,以此來確保施工部隊的相對穩定性。
(三)強化現場安全管理。
送電線路施工現場的安全管理是確保整個工程項目順利進行的基礎,也是保障每一位參與到施工現場的人員人身安全的重要因素。從送電線路施工項目的部署與計劃,到現場方案的具體實施,各級領導和施工人員都要高度注重安全問題,合理處理好安全與施工進度、施工質量、經濟效益之間的相互促進和轉化。要嚴格管理好送電線路施工所采用的工具,消除工具存在的隱患問題,提高工具的可靠性。在各種設備與工具進入施工現場之前,必須經由專門的人員進行檢驗,檢查合格后方準予使用;正在使用的各種設備和工具,也要按照維護保養的周期進行預防性的修護,以保證其最大限度地運轉。對各種工具的登記管理也是限產管理的一項重要內容,可有效防止工具因違章作業而造成的損壞和丟失現象。
四、總結語
總而言之,加強送電線路工程的風險管理和安全管理都是搞好送電工程的基礎性工作。相關單位和企業要將風險管理與安全管理的意識提高,充分認識到這二者是經濟效益和社會效益的有機一致,不管是對施工單位、送電公司仍是國家都有十分重要的意義。
參考文獻
1.楊勤;電力系統事件識別與安全防御基礎研究[D];華北電力大學(北京);2005年
2.丁益民;基于多技術的電力戰略防御系統理論研究[D];華北電力大學(北京);2005年
關鍵詞 鐵路隧道;施工;安全風險管理
中圖分類號 TU74 文獻標識碼 A 文章編號 1673-9671-(2012)122-0108-01
鐵路隧道施工是鐵路工程建設的重要環節,具有技術含量高、投資規模大、施工周期長、安全風險高等特點。在鐵路隧道施工過程中之所以突發事件較多,甚至造成工程安全事故,正是因為鐵路隧道工程本身是一項風險指數大、不穩定因素較多所決定的,而且在施工過程中存在的管理和技術問題,使安全風險人為加大,這不僅可能導致施工人員產生過大的工作壓力和心理負擔,也可能給國家造成嚴重的經濟損失。因此,提高工程部門的安全風險管理意識和管理水平,事先評估安全風險系數積極預防,在施工中及時發現問題并予以解決,是降低施工安全風險的不二法門。
1 鐵路隧道施工安全風險管理的重要意義
鐵路隧道工程的特點,決定了安全風險管理水平的高低是鐵路隧道施工能否安全順利進行的關鍵性因素,也是確保工期控制精度、質量控制水平以及人身安全的重要措施。隧道工程技術的難度系數評估、安全事故的可能性、事故發生的概率及后果損失程度、施工突發事件的預防措施及緊急預案等,均是施工安全風險管理的核心內容。因此,鐵路隧道工程項目風險管理與一般工程的管理功能有所差異,對隧道工程系統總體效益最大化的實現具有十分重要的意義。做好安全風險管理工作,有利于增強隧道工程項目參與方的的風險管理意識和風險管理能力,有效控制風險、降低風險、減少經濟損失。在施工準備期,可以增強項目參與方防范事故意識和協作精神,明確工程目標、任務和工程風險,以利于風險管理企業科學決策,準確地評估工程工期及建設成本,為進一步優化施工方案提供理論依據,進而做好隧道施工過程中的風險分配工作,使每個施工人員帶著強烈的安全和質量意識貫穿施工始終,確保隧道工程建設的圓滿完成。
2 鐵路隧道施工安全風險管理的主要問題
2.1 缺乏專門的安全風險管理機構
從目前我國鐵路隧道施工的組織體系來看,最大的問題是缺乏專門的安全風險管理機構,往往按照傳統的組織形式實施安全管理,很容易將施工的進度和效益放在首位而忽視安全管理。特別是某些承包商把工程分包給民間施工隊,缺乏必要的指導與監督,很難保障施工安全。
2.2 缺乏專業的安全風險管理人才
隨著我國鐵路建設的快速發展,隧道建設工程的規模擴大和數量增多,對隧道專業人才和安全風險管理人才的需求越來越迫切。但目前我國對工程監測單位資格、監測人員專業水平沒有相應的管理標準,出現專業人才不足或安全風險監測隊伍非專業化現象,以致安全風險管理團隊內部結構不合理、隧道工程建設團隊的管理水平和專業水準普遍不高,對施工監測信息的真實性以及評估預測的指導性產生了較大的影響,進而使隧道施工存在較大的安全風險隱患。
2.3 缺乏完善的安全風險管理體系
從鐵路隧道施工的現有安全風險管理體系看,在技術管理、安全管理和經費管理方面還有待完善。部分鐵路隧道施工企業缺乏基層管理人員,專業技術人員力量不足,施工人員技術水平較低,安全風險管理人員組織能力弱,以致施工現場工人紀律松散、無知蠻干、有章不循,錨噴支護不合要求或支護不及時、襯砌遠落后于掘進、掘進尺度過大,通風除塵不暢等現象時有發生,施工安全難以確保。在鐵路隧道施工預算中,也存在一定的問題。如低價取標的意識根深蒂固、無安全風險管理資金費用標準、隧道安全風險管理經費不足或被挪用等等,導致安全事故預警能力弱,一旦發生事故則無法挽救和彌補。
2.4 缺乏合理的安全風險應急預案
缺乏合理有效安全風險應急預案,是當前鐵路隧道工程承建方存在的普遍問題。在以往出現的重大安全事故調查中發現,預見性不足、依據經驗處理安全事故是承建方的重大缺陷,當突發事件發生時,不合理的應急處置方式使重大的人身傷害和經濟損失成為必然。
3 鐵路隧道施工安全風險管理的有效措施
3.1 增強安全風險管理責任意識
增強鐵路隧道工程管理部門的安全風險管理意識,是確保隧道工程項目安全施工的前提條件。應分事先、事中、事后三個階段做好安全施工宣傳工作,將安全風險責任細分落實到個人并及時跟蹤監督。在現場管理中,應提前做好風險監測、信息傳達、異常警示、多套風險應對方案的工作,明確施工分配、現場維護、過程檢測在工程中的具體實施方法,力促鐵路隧道風險管理的科學化和規范化,不斷提高現場施工風險管理水平。
3.2 建立安全風險專門管理機構
為確保鐵路隧道施工的安全,防范施工風險,鐵路相關管理部門應建立安全風險專門管理機構,制定嚴格的安全風險管理制度,確立風險管理目標,以“安全施工”為原則,把安全風險管理工作責任到人。同時,對于地質、巖土等環境因素較為復雜的隧道工程項目,應進行專項風險評估研討,選擇科學有效的施工技術,制定明確有效的實施方案和多個風險應急預案,在施工過程中嚴把安全關和質量關,及時監督檢查,對發現的安全隱患立即組織整改,防范于未然。
3.3 培養安全風險管理人才
安全風險管理人才是鐵路隧道建設工程的決定性因素。在目前安全風險管理人才缺乏的現狀下,應重視內部培訓和外派深造工作,通過強化技術與管理培訓,樹立員工終身學習觀念,不斷提高管理者的專業水平和安全生產知識,打造高素質的安全風險管理人才,擔綱施工人員的崗前培訓指導工作,在施工中督導施工人員嚴格遵守安全風險管理的相關法律法規和規章制度,落實施工安全措施,保障隧道工程的質量安全。
3.4 完善安全風險管理體系
安全風險管理體系是通過分析、評價、干預、監督和管理企
業運營各環節中有可能出現損害人身、財產安全的因素,達到預防企業發生安全事故的一種管理方法。因此,鐵路隧道管理部門應建立完善的安全風險管理體系,主要包括設計階段安全風險管理、建設施工階段安全風險管理、生產階段安全風險管理和交付使用階段安全風險管理四部分,特別應對安全風險管理經費以及隧道工程安全風險預測進行設計,使鐵路隧道施工過程中的風險控制管理發揮應有的功效,事實證明,這是避免事故發生的有效方法。
4 結束語
安全風險管理是鐵路隧道施工管理的關鍵,其核心是分析、評價危險有害的因素。鐵路隧道施工無論是在前期、中期還是后期維護中都可能出現各種突發事件,需要建設參與方以高度的責任心和強烈的安全意識,探索鐵路隧道安全風險管理的最佳方案,認真抓好施工中的每個環節,發揮安全生產風險管理體系的作用,才能防范事故安全生產,保證隧道工程質量。
參考文獻
[1]李明,王占龍.高速鐵路隧道施工風險管理技術探索[J].鐵道標準設計,2010,S1:99-103.
[2]李明.高速鐵路隧道施工風險管理技術探索[J].隧道建設,2010,02:173-178.
