時間:2023-11-21 11:13:37
序論:在您撰寫風(fēng)險評估與管理時,參考他人的優(yōu)秀作品可以開闊視野,小編為您整理的7篇范文,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導(dǎo)您走向新的創(chuàng)作高度。
關(guān)鍵詞:注冊會計師 風(fēng)險評估 風(fēng)險管理 內(nèi)部控制
一、引言
2010年美國公眾公司會計監(jiān)督委員會(Public Company Accounting Oversight Board,PCAOB)通過了新的審計準則(審計準則第8號至第15號),以規(guī)范審計師對審計風(fēng)險的評估和反應(yīng)。目的是監(jiān)督公眾公司的審計師編制信息量大、公允和獨立的審計報告,以保護投資者利益并增進公眾利益。在PCAOB此次行動之前,不斷有人發(fā)出強烈的信息,讓審計職業(yè)人員在風(fēng)險管理中扮演更積極的角色。而且PCAOB早在兩年前就已經(jīng)提出了實施具體風(fēng)險評估準則的信息,這些準則旨在解決從最初計劃到結(jié)果評估的審計過程問題。這些新準則是在審計促進成熟風(fēng)險評估中非常重要的一步,可以把審計師未能發(fā)現(xiàn)的重大錯報事故風(fēng)險降到最小。PCAOB執(zhí)行主席丹尼爾?格爾澤爾說一旦這些標準被采用,在審計財務(wù)申明中發(fā)現(xiàn),適當(dāng)計劃以及實施審計以解決這些風(fēng)險問題以增強投資者的信息是非常重要的。這些審計標準包括:審計風(fēng)險、審計計劃、審計參與監(jiān)督、計劃執(zhí)行審計中的思考、重大錯報事故的確認與評估、審計師對重大錯報事故的回應(yīng)、評估審計結(jié)果以及審計證據(jù)。它們貫穿了從初始計劃階段到審計結(jié)果評估的整個審計流程。PCAOB主席丹尼爾?高澤(DanielL,Goelzer)說:這些新準則的出臺意味著在促進精密的審計風(fēng)險評估與將審計人員未能發(fā)現(xiàn)重大誤報的風(fēng)險降至最低方面邁出了重要一步。識別風(fēng)險,并通過正確地審計計劃和開展審計活動來應(yīng)對風(fēng)險,對于提升投資者對經(jīng)審計財務(wù)報表的信心是至關(guān)重要的。
二、風(fēng)險評估、企業(yè)風(fēng)險管理與審計風(fēng)險
(一)注冊會計師風(fēng)險評估 風(fēng)險導(dǎo)向?qū)徲嫷暮诵氖菍徲嬶L(fēng)險,任何審計業(yè)務(wù)都必須將審計風(fēng)險控制在可接受的風(fēng)險水平內(nèi)。因此風(fēng)險導(dǎo)向?qū)徲嬕笞詴嫀熂訌妼Ρ粚徲媶挝患捌洵h(huán)境的了解,在審計的所有階段都要實施風(fēng)險評估程序,并將識別和的評估的風(fēng)險與實施的審計程序掛鉤,而且要求針對重大的各類交易、賬戶余額和列報實施實質(zhì)性程序,可以說風(fēng)險評估程序是風(fēng)險導(dǎo)向?qū)徲嬆J铰鋵嵉綄徲嫻ぷ鞯暮诵沫h(huán)節(jié),風(fēng)險導(dǎo)向?qū)徲嬒聦徲嬶L(fēng)險模型如下:審計風(fēng)險=重大錯報風(fēng)險×檢查風(fēng)險。審計風(fēng)險是指財務(wù)報表存在重大錯報而注冊會計師發(fā)表不恰當(dāng)審計意見的可能性。重大錯報風(fēng)險是指財務(wù)報表在審計錢存在重大錯報的可能性,檢查風(fēng)險是指某一認定存在錯報,該錯報單獨或連同其他錯報是重大的,但注冊會計師未能發(fā)現(xiàn)這種錯報的可能性。注冊會計師合理設(shè)計審計程序的性質(zhì)、時間和范圍,并有效執(zhí)行審計程序,以控制檢查風(fēng)險。注冊會計師采取以下方法展開審計工作:(1)注冊會計師應(yīng)當(dāng)針對財務(wù)報表層次的重大錯報風(fēng)險置頂總體應(yīng)對措施;(2)注冊會計師應(yīng)當(dāng)針對認定層次的重大錯報風(fēng)險設(shè)計和實施進一步審計程序,包括測試控制的執(zhí)行有效性以及實施實質(zhì)性程序;(3)注冊會計師應(yīng)當(dāng)評價風(fēng)險評估的結(jié)果是否適當(dāng),并確定是否已經(jīng)獲取充分、適當(dāng)?shù)膶徲嬜C據(jù);(4)注冊會計師應(yīng)當(dāng)將實施關(guān)鍵的程序形成審計工作記錄。我們發(fā)現(xiàn),注冊會計師以針對評估的財務(wù)報表層次重大錯報風(fēng)險為起點,確定總體應(yīng)對措施,并有針對評估的認定層次重大錯報風(fēng)險設(shè)計和實施進一步審計程序,以將審計風(fēng)險控制在可接受的低水平。風(fēng)險導(dǎo)向的核心是審計風(fēng)險,控制審計風(fēng)險的關(guān)鍵是風(fēng)險評估程序,另一方面,企業(yè)必須準確地評價和有效地管理各項與企業(yè)成功息息相關(guān)的風(fēng)險。管理層不但需要準確地了解各項業(yè)務(wù)風(fēng)險以及不良控制的后果,并且能夠根據(jù)所確認風(fēng)險的殘余影響的輕重程度分配資源和關(guān)注程度。所以注冊會計師的風(fēng)險評估將有利于企業(yè)的風(fēng)險管理。
(二)企業(yè)的風(fēng)險管理 每個企業(yè)在經(jīng)營中存在各種風(fēng)險,而我們這里討論的企業(yè)風(fēng)險管理中的風(fēng)險概念與金融市場的風(fēng)險概念有所不同,當(dāng)然金融風(fēng)險也是企業(yè)(特別是金融類企業(yè))面臨的風(fēng)險之一,企業(yè)風(fēng)險就是企業(yè)面臨的可能導(dǎo)致企業(yè)虧損的各種不確定性事件,降低企業(yè)的價值。所以風(fēng)險管理需要做的就是盡量避免這種不確定性事件的發(fā)生,或者是降低不確定性事件發(fā)生后對企業(yè)造成的損失。企業(yè)風(fēng)險管理包括四個環(huán)節(jié):風(fēng)險識別、風(fēng)險評估、風(fēng)險應(yīng)對、風(fēng)險監(jiān)察。第一,風(fēng)險識別是指盡力識別可能對企業(yè)取得成功產(chǎn)生影響的風(fēng)險,包括整個業(yè)務(wù)面臨的較大的風(fēng)險,以及與每個項目或較小的業(yè)務(wù)單位關(guān)系的風(fēng)險,識別潛在風(fēng)險可以認識到企業(yè)面臨的各種風(fēng)險類型,而且風(fēng)險識別程序應(yīng)該在企業(yè)內(nèi)的多個層級得以執(zhí)行,這與注冊會計師的風(fēng)險評估貫徹于整個審計過程一樣。第二,風(fēng)險評估是在識別了各種風(fēng)險后,對風(fēng)險的的性質(zhì)、風(fēng)險的類型、風(fēng)險的發(fā)生頻率等進行評價,這種評價最主要分為兩方面,一個是影響,另一個是可能性,企業(yè)可能還會采用敏感性分析或者決策樹等方法對風(fēng)險的性質(zhì)進行全面的認識。這與注冊會計師的風(fēng)險評估相似,不過更加具體、全面。第三,風(fēng)險應(yīng)對是指對上述評估的風(fēng)險采取相應(yīng)的措施,以避免該風(fēng)險對企業(yè)產(chǎn)生的損失,風(fēng)險應(yīng)對的策略包括風(fēng)險降低(如分散投資,就是一種降低風(fēng)險的措施),風(fēng)險消除(使得該風(fēng)險事件發(fā)生的概率降低為零),風(fēng)險轉(zhuǎn)移(將風(fēng)險的后果采用保險、合同等方式轉(zhuǎn)移出企業(yè)),風(fēng)險保留(定期風(fēng)險復(fù)核、控制風(fēng)險情境)。第四,風(fēng)險監(jiān)察是指企業(yè)監(jiān)測目標的實現(xiàn)過程,關(guān)注新的風(fēng)險和相關(guān)損失,企業(yè)需要對風(fēng)險進行監(jiān)察,并在需要時不斷作出調(diào)整。風(fēng)險檢查者定期檢查正在發(fā)生的虧損,以了解他們的控制建議得以實施,并設(shè)計過程來改善風(fēng)險管理的過程,制定一項戰(zhàn)略來應(yīng)對出現(xiàn)的新風(fēng)險。
(三)風(fēng)險評估與經(jīng)營風(fēng)險、審計風(fēng)險 企業(yè)的風(fēng)險識別是風(fēng)險管理的第一步,是指對企業(yè)面臨的,以及潛在的風(fēng)險加以判斷、歸類和鑒定風(fēng)險性質(zhì)的過程。企業(yè)的風(fēng)險一般可以分為兩類:系統(tǒng)風(fēng)險和非系統(tǒng)風(fēng)險。系統(tǒng)風(fēng)險是由公司之外的各種因素引起的,如戰(zhàn)爭、經(jīng)濟衰退、通貨膨脹、高利率等與政治、經(jīng)濟和社會相聯(lián)系的風(fēng)險,是不能通過多元化投資而分散的,因此又稱作不可分散風(fēng)險或市場風(fēng)險。非系統(tǒng)風(fēng)險也被稱作可分散風(fēng)險,它是由公司本身的商業(yè)活動和財務(wù)活動帶來的,如企業(yè)的管理水平、研究與開發(fā)、消費者需求的改變、市場營銷風(fēng)險以及法律訴訟等,其可以通過多元化投資組合而分散,是公司特有的風(fēng)險。而現(xiàn)代風(fēng)險導(dǎo)向?qū)徲媽L(fēng)險評估、風(fēng)險應(yīng)對與審計程序聯(lián)系起來,這就使得注冊會計師審計不僅僅是出具審計報告的鑒證業(yè)務(wù),也可以起到促進企業(yè)風(fēng)險管理的作用,注冊會計師審計過程中必須進行風(fēng)險評估,風(fēng)險評估的過程是為了能夠獲得盡可能準確的財務(wù)報表重大錯報風(fēng)險信息,以控制審計風(fēng)險,企業(yè)風(fēng)險管理的過程是為了控制企業(yè)經(jīng)營風(fēng)險,從審計風(fēng)險與企業(yè)經(jīng)營風(fēng)險的關(guān)系,我們發(fā)現(xiàn):其一,風(fēng)險評估是指評估被審計單位風(fēng)險,評估的過程是企業(yè)風(fēng)險管理中的一個環(huán)節(jié),所以在性質(zhì)上他們具有相似性。其二,風(fēng)險評估的程序包括:了
解被審計單位及其環(huán)境、了解被審計單位的內(nèi)部控制等,而風(fēng)險管理也需要進行這些工作,方法包括:觀察、檢查、分析程序,穿行測試等。風(fēng)險評估。其三,風(fēng)險評估的目的相同:對于注冊會計師而言,風(fēng)險評估的目的是為了了解被評估的財務(wù)報表重大錯報風(fēng)險,并且制定風(fēng)險應(yīng)對措施,有效地實施審計程序;對于企業(yè)而言,風(fēng)險評估的目的是為了控制企業(yè)的風(fēng)險點,防止企業(yè)出現(xiàn)虧損的不利情況而實現(xiàn)企業(yè)價值增值。風(fēng)險評估使企業(yè)考慮潛在事項如何影響目標的實現(xiàn)。管理當(dāng)局應(yīng)從兩個角度對事項進行評估:可能性和嚴重程度,并且通常采用定性和定量相結(jié)合的方法。在不要求定量化的地方,或者在定量評估所需的可靠數(shù)據(jù)無法取得或獲取和分析數(shù)據(jù)不具有成本效益時,管理者通常采用定性評估技術(shù)。定量技術(shù)精確度更高,通常應(yīng)用在更加復(fù)雜的活動中,以對定性技術(shù)進行補充。評估風(fēng)險時既要考慮固有風(fēng)險,也要考慮剩余風(fēng)險。固有風(fēng)險是管理當(dāng)局沒有采取任何措施來改變風(fēng)險的可能性或影響的情況下,一個企業(yè)所面臨的風(fēng)險。剩余風(fēng)險是在管理當(dāng)局應(yīng)對風(fēng)險后所殘余的風(fēng)險。審計中注冊會計師更多關(guān)注的是審計風(fēng)險以及企業(yè)的經(jīng)營風(fēng)險,但是對于企業(yè)其他風(fēng)險管理(如制度風(fēng)險管理、法律風(fēng)險管理)考慮不足,當(dāng)然這是注冊會計師收益成本分析后的結(jié)果,但是注冊會計師必須區(qū)分企業(yè)經(jīng)營風(fēng)險與審計風(fēng)險,經(jīng)營風(fēng)險是指實現(xiàn)不了經(jīng)營目標和戰(zhàn)略的可能性,經(jīng)營失敗是經(jīng)營風(fēng)險的擴大化,指企業(yè)由于經(jīng)濟或經(jīng)濟條件的變化而無法滿足投資者的預(yù)期,經(jīng)營失敗的極端情況是申請破產(chǎn)。誠然企業(yè)經(jīng)營失敗可能使得注冊會計師面臨審計訴訟,經(jīng)營風(fēng)險與審計風(fēng)險有一定的相關(guān)性,但風(fēng)險導(dǎo)向的核心是審計風(fēng)險,而不是企業(yè)的經(jīng)營風(fēng)險。
三、注冊會計師風(fēng)險評估與企業(yè)風(fēng)險管理關(guān)系
(一)二者時間發(fā)展順序 環(huán)境變化促使越來越多的企業(yè)實施全面風(fēng)險管理,也促進了風(fēng)險導(dǎo)向?qū)徲嫷陌l(fā)展:從20世紀90年代開始,隨著新的科技技術(shù)和經(jīng)濟全球化帶來企業(yè)組織結(jié)構(gòu)虛擬化、集約化、專業(yè)化及扁平化等新的商業(yè)特征,許多跨國公司開始實施全面風(fēng)險管理方法,一些國際咨詢公司和會計師事務(wù)所也開始運用這一概念并將其同咨詢或?qū)徲嫎I(yè)務(wù)相結(jié)合。全面風(fēng)險管理體系正在隨著企業(yè)治理的完善而越發(fā)受到重視,風(fēng)險管理的概念逐步引入到我國的企業(yè)中,使得我國企業(yè)的風(fēng)險管理工作納入了公司治理的范圍。2004年9月,COSO了《企業(yè)風(fēng)險管理框架》。該框架是在《內(nèi)部控制――整體框架》報告的基礎(chǔ)上,結(jié)合《薩班斯――奧克斯法案》在報告方面的要求,明確提出企業(yè)風(fēng)險管理是由企業(yè)董事會、管理層和其他員工共同參與,應(yīng)用于企業(yè)戰(zhàn)略制定,以及企業(yè)內(nèi)部各層次和部門,用于識別可能對企業(yè)造成影響的事項,管理風(fēng)險為企業(yè)目標的實現(xiàn)提供合理保證。同時該框架還指出:企業(yè)風(fēng)險管理框架由內(nèi)部環(huán)境、目標制定、事項識別、風(fēng)險評估、風(fēng)險反應(yīng)、控制活動、信息和溝通、監(jiān)控八個相互關(guān)聯(lián)的要素構(gòu)成。這也奠定了企業(yè)風(fēng)險管理系統(tǒng)的組織模式。風(fēng)險導(dǎo)向?qū)徲嫷陌l(fā)展也與全面的風(fēng)險管理系統(tǒng)構(gòu)建同步,2003年10月,國際會計師聯(lián)合會下屬的國際審計準則委員會了三個新的國際審計風(fēng)險準則,并從2004年12月15日或之后開始的期間財務(wù)報表審計起執(zhí)行這三個新準則。2004年10月,中國注冊會計師協(xié)會根據(jù)國際審計準則的最新發(fā)展,對已修訂的四個新審計風(fēng)險準則在全國范圍內(nèi)征求意見,并且于2007年1月1日開始實施。風(fēng)險導(dǎo)向?qū)徲嬕呀?jīng)深入了我國審計的實際工作,為審計業(yè)務(wù)的展開提供了指引。
(二)二者業(yè)務(wù)性質(zhì)相互影響 全面風(fēng)險管理為現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嬶L(fēng)險評估提供了更好的基礎(chǔ)為了評估客戶是否有效地監(jiān)督和控制了其戰(zhàn)略風(fēng)險及其他經(jīng)營風(fēng)險,注冊會計師必須識別、收集和處理大量與客戶經(jīng)營活動相關(guān)的證據(jù)。當(dāng)企業(yè)沒有實施全面風(fēng)險管理時,收集這些證據(jù)即使在理論上是可行的,但為此付出的成本對注冊會計師而言也常常是不經(jīng)濟的。注冊會計師的風(fēng)險評估程序?qū)ζ髽I(yè)風(fēng)險管理有以下益處:(1)了解企業(yè)的外部環(huán)境風(fēng)險以及內(nèi)部控制成為風(fēng)險評估的重要組成部分,注冊會計師也將公司內(nèi)部控制的有效性作為風(fēng)險應(yīng)對的考慮因素。所以注冊會計師關(guān)于企業(yè)內(nèi)部控制的評價將為企業(yè)的風(fēng)險管理提供建議。(2)注冊會計師在實施控制測試與實質(zhì)性測試時,會將交易的內(nèi)部控制目標與關(guān)鍵內(nèi)部控制聯(lián)系起來,然后將測試的結(jié)果與風(fēng)險評估的結(jié)果進行對比,這將有助于公司相關(guān)交易所涉及人員在業(yè)務(wù)流程中履行好自己的職責(zé),注冊會計師審計可以起到監(jiān)督作用,發(fā)現(xiàn)企業(yè)內(nèi)部控制的風(fēng)險點。企業(yè)風(fēng)險管理對注冊會計師的風(fēng)險評估有以下益處:第一,企業(yè)風(fēng)險管理的完善性與企業(yè)內(nèi)部控制系統(tǒng)有著很強的相關(guān)性,所以如果企業(yè)建立了一整套風(fēng)險管理的體系,那么注冊會計師的風(fēng)險評估程序就會減少程序,因為風(fēng)險評估在整個審計過程中的驗證過程都是可靠的。第二,企業(yè)風(fēng)險管理的方式與注冊會計師風(fēng)險評估。企業(yè)全員參與風(fēng)險管理,從整個企業(yè)組合的角度實施風(fēng)險管理,增強了企業(yè)風(fēng)險管理的有效性,注冊會計師能夠在更大程度上信賴企業(yè)的全面風(fēng)險管理,實施風(fēng)險評估。第三,企業(yè)風(fēng)險管理系統(tǒng)的完善性越不好,注冊會計師所涉及的這部分程序設(shè)計需要越謹慎,而風(fēng)險評估程序后提出建議的邊際貢獻越高,這二者之間的交互作用就在于風(fēng)險評估程序是對風(fēng)險管理的一種再監(jiān)察。
(三)二者存在的不同 當(dāng)然二者存在著以下區(qū)別:注冊會計師風(fēng)險評估更多是對內(nèi)部控制有效性的評估,這種評估是因為審計的效率所決定的,而企業(yè)的風(fēng)險管理需要覆蓋企業(yè)的整體層面和各個業(yè)務(wù)流程,所以我們注冊會計師的風(fēng)險評估結(jié)果對于企業(yè)而言是一種參考,注冊會計師的風(fēng)險評估只是對內(nèi)部控制水平高低的一個評價,這并不能完全說明企業(yè)風(fēng)險管理的有效性。注冊會計師可以通過對企業(yè)內(nèi)部控制系統(tǒng)有效性評價來評估客戶監(jiān)督和控制其戰(zhàn)略風(fēng)險及其他經(jīng)營風(fēng)險的情況,如果僅僅是審計過程,注冊會計師不需要提出風(fēng)險管理改進建議,他們評估的財務(wù)報表重大錯報風(fēng)險只是為了控制檢查風(fēng)險,進而控制審計風(fēng)險。所以注冊會計師審計過程的風(fēng)險評估與企業(yè)風(fēng)險管理過程中的風(fēng)險評估目的相似,但企業(yè)風(fēng)險管理的目的和注冊會計師的風(fēng)險評估還是存在不同。
四、企業(yè)風(fēng)險管理及風(fēng)險評估路徑
(一)風(fēng)險評估報告與企業(yè)風(fēng)險管理 (圖1)呈現(xiàn)了風(fēng)險導(dǎo)向?qū)徲嫷目蚣?,風(fēng)險導(dǎo)向?qū)徲嬜畲蟮囊c就在于實施基本審計程序前的風(fēng)險評估。而且后來的審計程序結(jié)果會不斷檢驗風(fēng)險評估的結(jié)果,不斷地修正與調(diào)險估計水平,在整個審計過程中都需要進行風(fēng)險評估過程,所以注冊會計師可以在審計完成后形成風(fēng)險評估的最終結(jié)果,形成風(fēng)險評估報告,以評價內(nèi)部控制的有效性及風(fēng)險管理控制的水平。該報告可能涉及內(nèi)部環(huán)境、企業(yè)風(fēng)險評估、風(fēng)險反應(yīng)、控制活動、信息和溝通、監(jiān)控等要素,對企業(yè)內(nèi)部控制的測試結(jié)果進行一個總結(jié)性陳述,形成風(fēng)險評估報告。風(fēng)險評估報告作為風(fēng)險導(dǎo)向?qū)徲嬰A段性成果在審計完成后反饋給被審計客戶,以幫助被審計客戶進一步完善內(nèi)部控制水平,但我們必須意識到:風(fēng)險評估報告不是審計報告的子報告,風(fēng)險評估報告僅僅為被審計單位進一步提高內(nèi)部控制水平而用,而非鑒證報告,注冊會計師不需要提供保證。
(二)風(fēng)險評估報告與信息系統(tǒng)風(fēng)險管理 注冊會計師評價內(nèi)部控制有效性的要求里就包括了評價信息系統(tǒng)的有效性,所以注
一、企業(yè)風(fēng)險管理概述
企業(yè)風(fēng)險管理有八個組成要素:目標設(shè)定、風(fēng)險識別、風(fēng)險評估、風(fēng)險對策、控制活動、信息與溝通、監(jiān)督,內(nèi)部環(huán)境.下面對其前四個方面的因素著重進行闡述:
[1]目標設(shè)定,即是在1960年之際,有國外的代洛克發(fā)現(xiàn)并且提出了相應(yīng)的理論,它的內(nèi)容是敘述具有一個向前的目標是完成某個事情的源泉和動力,所以可知,倘若確定了目標,就會增加靠近成功的幾率,當(dāng)一個具有挑戰(zhàn)性的目標被大眾認可并完成以后,取得的價值是非??捎^的。
[2]風(fēng)險識別是指在企業(yè)發(fā)生虧損,出現(xiàn)差錯之前,企業(yè)的管理人員根據(jù)自己以往的經(jīng)驗以及相應(yīng)的設(shè)備等辨識出對企業(yè)的威脅的因素以此來協(xié)助和維護企業(yè)達到既定目標的安全。這主要包括感知以及分析風(fēng)險兩個方面。
[3]風(fēng)險評估
從企業(yè)的相關(guān)資源的安全角度來分析可知,風(fēng)險評估主要是對企業(yè)內(nèi)部的資料進行相應(yīng)的分析,評估風(fēng)險的來源和對企業(yè)的危害度,企業(yè)進行風(fēng)險管理的前提,風(fēng)險評估是企業(yè)保證其內(nèi)部資源具有高的安全系數(shù)的主要措施,它將歸類于資源的安全管理這一企業(yè)經(jīng)營體系中。
二、企業(yè)開展風(fēng)險評估的過程分析
國家政府部門在2006年之際就已經(jīng)出版了《企業(yè)全中央面風(fēng)險管理指引》這一條款,其中的一條項目《指引》里面的主要內(nèi)容就指出了,每個企業(yè)或者公司都應(yīng)該對保存關(guān)于風(fēng)險管理方面的一些相關(guān)資料以及企業(yè)不同的項目管理業(yè)務(wù)過程開展一些針對實際情況的風(fēng)險評估。對于這些方面的風(fēng)險評估,企業(yè)就采取了三個方面的階段和內(nèi)容,首先是風(fēng)險辨識,其內(nèi)容主要是包含了和辨清企業(yè)開展什么項目或者進行什么措施會嚴重阻礙企業(yè)的發(fā)展,從而產(chǎn)生風(fēng)險。話句話說的就是對于企業(yè)的各個生產(chǎn)流程,部門管理流程和相關(guān)的業(yè)務(wù)流程以及公司的一些日常事務(wù)活動進行認真地檢查和評估,辨別其中是否具有風(fēng)險性以及具有的這些風(fēng)險內(nèi)容的癥狀在哪里,其次,對企業(yè)進行風(fēng)險分析,這主要就是為了確定企業(yè)能否產(chǎn)生風(fēng)險以及分清風(fēng)險的特點。換句話說就是根據(jù)相關(guān)的風(fēng)險具有的特征對這些風(fēng)險進行分門別類的定義,并且辨別其相關(guān)的風(fēng)險度和產(chǎn)生這些風(fēng)險的原因和條件。最后,對企業(yè)進行風(fēng)險評價,風(fēng)險評價也是極其重要的一個方面,即是預(yù)測企業(yè)的某個流程產(chǎn)生了風(fēng)險之后會對企業(yè)造成什么樣的影響,換句話說就是風(fēng)險評價對企業(yè)來講起著相當(dāng)重要的作用,可能會了解到風(fēng)險在企業(yè)實現(xiàn)其自身的目標方案中的影響程度等。
三、企業(yè)進行風(fēng)險評估的重要性
任何企業(yè)都具有一定的風(fēng)險性,并且企業(yè)的風(fēng)險性也是不可避免的,風(fēng)險評估是事實內(nèi)部控制的重要環(huán)節(jié),所以就要加強企業(yè)的風(fēng)險評估,讓企業(yè)的損失降到最低化,另外,在企業(yè)內(nèi)進行風(fēng)險評估還可以加強企業(yè)的管理人員與上級領(lǐng)導(dǎo)和企業(yè)員工之間的警惕風(fēng)險的意識,而且還能夠讓全體員工能夠懂得各司其職,加強企業(yè)的風(fēng)險評估能夠?qū)ζ髽I(yè)的生產(chǎn)經(jīng)營過程中出現(xiàn)的問題及時解決,防止其影響企業(yè)的既定目標,造成企業(yè)的正常營運處于癱瘓狀態(tài),由此企業(yè)加強風(fēng)險評估是最有效也是最直接的提高企業(yè)的經(jīng)濟的途徑。
四、企業(yè)進行風(fēng)險評估的策略
3.1控制活動策略
在企業(yè)的相關(guān)管理部門在察覺這種風(fēng)險,并且將這種風(fēng)險的影響程度進行了了解和清晰的分析之后,就可以對企業(yè)存在的這種風(fēng)險著手加派人手研究相應(yīng)的解決措施。這里的控制活動主要是針對管理階層而言,主要就是為了讓相關(guān)的管理人員在發(fā)現(xiàn)企業(yè)有了某些風(fēng)險之后能夠及時的發(fā)出響應(yīng)的指令,防止一些人員不停派遣和調(diào)崗的情況出現(xiàn),相當(dāng)于是授予管理人員的某種權(quán)利,這就包括了“核準、授權(quán)、驗證、調(diào)節(jié)”等等一系列的過程,控制活動的最大的作用就在于保障企業(yè)的既定目標能夠不夠風(fēng)險的影響,并且能夠順利的完成或者達到企業(yè)的既定目標。
3.2完險管理體系
全面風(fēng)險管理是對整個機構(gòu)內(nèi)各個層次,各個種類風(fēng)險的通盤管理。對企業(yè)實施全方位的整體風(fēng)險管理不僅可以使企業(yè)的整體員工合作協(xié)調(diào)起來,讓企業(yè)內(nèi)部數(shù)據(jù)之間deep收集、測量、處理三者有機的站在一條水平線上,能夠更好的協(xié)助企業(yè)的內(nèi)部的審計以及監(jiān)督。并且企業(yè)的相關(guān)上級領(lǐng)導(dǎo)以及相關(guān)的管理人員務(wù)必分清從整個企業(yè)的發(fā)展出發(fā),分清其中的利與弊,使得各部門的領(lǐng)導(dǎo)安排的相關(guān)程序都能夠及時的落到實處,其次有效、及時、準確的報告制度對于企業(yè)來講也是非常重要的,這就需要盡快恢復(fù)其現(xiàn)有的報告缺陷,保證企業(yè)的內(nèi)部信息暢通,即當(dāng)企業(yè)的內(nèi)部環(huán)境方面出現(xiàn)了某一方面的風(fēng)險和錯誤時,就應(yīng)該及時的上級領(lǐng)導(dǎo)揮或者部門報告,以便讓其能夠盡快得到解決,恢復(fù)正常的運營秩序。
3.3建立健全財務(wù)危機預(yù)警系統(tǒng)
企業(yè)財務(wù)預(yù)警機制系統(tǒng)是為防止企業(yè)偏離正常經(jīng)營軌道而建立的報警和控制系統(tǒng),它以企業(yè)信息化為基礎(chǔ),利用數(shù)據(jù)化管理方式,通過對各種財務(wù)數(shù)據(jù)資料的分析,對企業(yè)經(jīng)營管理活動中存在的財務(wù)危機及早警示,對潛在財務(wù)風(fēng)險進行實時監(jiān)控,為經(jīng)營決策提供可靠依據(jù)。
建立財務(wù)危機預(yù)警系統(tǒng),可對財務(wù)運營過程進行監(jiān)控、預(yù)測,及早發(fā)現(xiàn)財務(wù)危機信號,在其萌芽階段采取有效措施進行預(yù)防和控制,避免情況惡化造成更大的損失。
3.4設(shè)計一套科學(xué)的內(nèi)部控制行動指南
1、在機構(gòu)內(nèi)部廣泛開展“深化內(nèi)控理念,落實內(nèi)控措施”的創(chuàng)建活動,結(jié)合自身情況及上級單位的要求,通過確定風(fēng)險控制環(huán)節(jié),分解、落實機構(gòu)內(nèi)各部門、各崗位管理職責(zé),并對控制狀況進行檢查、評價和考核,強化風(fēng)險管理責(zé)任,提高全員風(fēng)險防范的意識和能力,從而全面有效地控制經(jīng)營風(fēng)險。設(shè)立一套科學(xué)的內(nèi)部控制行動指南,為管理者進行內(nèi)部控制有效性評價提供指引也是當(dāng)前急切需要解決的問題。并且要在內(nèi)部相應(yīng)的部門實施相應(yīng)的個人評估策略,即在企業(yè)實施的長時間的監(jiān)督過程中,在一般情況下,企業(yè)最好是聘請相應(yīng)的專業(yè)人員對其進行評估,以此來監(jiān)督企業(yè)內(nèi)部控制的實施有效性,這些是對長效監(jiān)督控制的一系列評估
關(guān)鍵詞 雷擊風(fēng)險評估;管理系統(tǒng);系統(tǒng)開發(fā);雷擊風(fēng)險評估工具
中圖分類號P429 文獻標識碼A 文章編號 1674-6708(2011)41-0053-02
0 引言
國外已逐漸形成一套完整的雷擊風(fēng)險評估體系,制定了多項防雷技術(shù)標準和評估方法。在美、英、德等多國也都開發(fā)出了相應(yīng)的雷擊風(fēng)險評估系統(tǒng)。但這些風(fēng)險評估系統(tǒng)參考的標準技術(shù)方法比較復(fù)雜,結(jié)構(gòu)龐大,而且大都建立在國外防雷工作經(jīng)驗基礎(chǔ)上,沒有能考慮到中國廣袤大地的情況差異以及中國的國情,因此其體系和相應(yīng)的評估系統(tǒng)只能被我們借鑒參考、學(xué)習(xí),不適宜完全照抄照搬或全盤引用。目前在國內(nèi)符合國家標準和評估規(guī)范的評估系統(tǒng)相對缺少尚且不夠成熟。
《雷擊風(fēng)險評估管理系統(tǒng)》遵循最新頒布的雷擊風(fēng)險評估規(guī)范――《雷電防護第2部分:風(fēng)險管理》GB/T 21714.2-2008 ,采用C#語言,結(jié)合國家氣象局已組建的閃電監(jiān)測預(yù)警網(wǎng)、谷歌GPS衛(wèi)星定位地圖等系統(tǒng),建立起一套完善的雷擊風(fēng)險評估管理系統(tǒng)。該系統(tǒng)能實現(xiàn)雷擊風(fēng)險評估過程科學(xué)化、計算過程自動化、計算結(jié)果客觀化。界面簡潔、操作簡單的系統(tǒng),統(tǒng)一化的評估技術(shù)報告不僅提高了雷擊風(fēng)險評估工作的效率,還利于在各地區(qū)開展雷電風(fēng)險評估工作。雷電風(fēng)險評估系統(tǒng)的先進性和技術(shù)報告的嚴密科學(xué)性可以在全國范圍內(nèi)推廣。
1 雷擊風(fēng)險評估管理系統(tǒng)功能模塊和主要功能說明
《雷擊風(fēng)險評估管理系統(tǒng)》遵循規(guī)范的基礎(chǔ),結(jié)合實際風(fēng)險評估工作的業(yè)務(wù)流程和特點設(shè)計,整個系統(tǒng)劃分為方案管理、系統(tǒng)工具、文檔管理、用戶管理4個主要模塊。
1.1 方案管理
1)原始評估記錄:用戶將要進行風(fēng)險評估的對象的具體勘測數(shù)據(jù)如實記錄入系統(tǒng)。對評估對象建立相應(yīng)存儲空間,并在需要時調(diào)出這些數(shù)據(jù)作為評估、對比等用途;
2)方案設(shè)計:對一個項目進行多種類型的風(fēng)險評估,如單獨對人身傷亡損失風(fēng)險R1、公眾服務(wù)損失風(fēng)險R2、文化遺產(chǎn)損失風(fēng)險R3、經(jīng)濟損失風(fēng)險R4 進行評估,也可以對其任何一種組合進行風(fēng)險評估;
3)效益分析:自動化生成的風(fēng)險分量百分比的表格,各種風(fēng)險所占總風(fēng)險的百分比一目了然;提供了多種(最多3種)防雷整改方案的評估,并與原始評估結(jié)果對比,智能經(jīng)濟損失風(fēng)險評估,自動判斷采取的防雷整改方案是否合理。
1.2 系統(tǒng)工具
1)GPS定位地圖:連接Internet,輕松找到被評估對象經(jīng)緯度;
2)中國雷電監(jiān)測預(yù)警網(wǎng):多種方式實時查詢?nèi)珖鞯乩纂姞顟B(tài),顯示詳細的雷電資料和密度分布圖;
3)中國防雷資料網(wǎng):評估過程中隨時查到所需技術(shù)資料;
4)雷電資料導(dǎo)入:將國家雷電監(jiān)測預(yù)警網(wǎng)實時雷電資料數(shù)據(jù)導(dǎo)入系統(tǒng);
5)字典維護:對風(fēng)險評估過程涉及參數(shù)進行維護;
6)數(shù)據(jù)庫維護:對當(dāng)前系統(tǒng)所連接的數(shù)據(jù)進行備份或恢復(fù)操作。
1.3 文檔管理
1)雷擊風(fēng)險評估報告模板:雷擊風(fēng)險評估報告模板;
2)雷擊風(fēng)險評估協(xié)議書 :雷擊風(fēng)險評估協(xié)議書。
1.4 用戶管理
1)系統(tǒng)登錄模塊:負責(zé)驗證各種用戶身份,根據(jù)不同的用戶權(quán)限決定其管理內(nèi)容;
2)權(quán)限設(shè)置模塊:此模塊只有管理員才有權(quán)限,管理員可以根據(jù)情況對各欄目的屬性進行基本的設(shè)置。
2 雷擊風(fēng)險評估管理系統(tǒng)的的實現(xiàn)技術(shù)
2.1 Client/Server 模式
C/S模式又稱為客戶機/服務(wù)器模式,是90 年展起來的一種主/從結(jié)構(gòu)的分布式處理環(huán)境,它的特點是將應(yīng)用分解為兩部分:客戶進程(Client Process)和服務(wù)進程(Server Process),即前臺和后臺??蛻暨M程與用戶打交道,一般運行在Microsoft Windows提供的GUI (Graphic Unit Interface)下;服務(wù)進程與數(shù)據(jù)庫打交道,一般通過SQL(Structured Query Language)查詢語言實現(xiàn),前端是對用戶的界面,后端是對數(shù)據(jù)庫的處理。這種對信息分布式處理的模式大大減少了網(wǎng)間數(shù)據(jù)的傳輸量,處理速度快,并能高效實現(xiàn)資源共享。其結(jié)構(gòu)如下:采用Client/Server 結(jié)構(gòu),Client 端只要將請求發(fā)給Server 端,而Server端在處理完請求之后,只是把結(jié)果返回給Client 端。實際上在網(wǎng)絡(luò)傳輸?shù)闹挥蠸QL 語句和結(jié)果數(shù)據(jù)。同時,Client 負責(zé)友好的界面與用戶交互。而Server 專門負責(zé)數(shù)據(jù)庫的操作、維護,提高了整個系統(tǒng)的吞吐量和響應(yīng)時間。
2.2 數(shù)據(jù)管理系統(tǒng)SQL Server2005
Microsoft SQL Server2005 是由一系列相互協(xié)作的組件構(gòu)成,能滿足最大的Web 站點和企業(yè)數(shù)據(jù)處理系統(tǒng)存儲和分析數(shù)據(jù)的需要。SQL Server2005 的客戶/服務(wù)器提供了許多傳統(tǒng)主機數(shù)據(jù)庫所沒有的先進功能。數(shù)據(jù)訪問并局限于某些已有的主機數(shù)據(jù)應(yīng)用程序。SQLServer2005 的一個主要優(yōu)點就是與主流客戶服務(wù)器開發(fā)工具和桌面應(yīng)用程序緊密集成。可以使用許多方法訪問SQL Server2005 數(shù)據(jù)庫。
SQL Server數(shù)據(jù)庫體系結(jié)構(gòu)的核心是服務(wù)器,即數(shù)據(jù)庫引擎。SQL Server 數(shù)據(jù)庫引擎負責(zé)處理到達的數(shù)據(jù)庫請求,并把相應(yīng)的結(jié)果反饋給客戶端系統(tǒng)。SQL Server 充分利用了可設(shè)置優(yōu)先權(quán)的多任務(wù)、虛擬內(nèi)存和異步I/O 功能。SQL Server 數(shù)據(jù)庫引擎可在多線程內(nèi)核上創(chuàng)建,這樣在處理多個事務(wù)的時候可獲得較高的性能。它包括的支持開發(fā)的引擎、標準的SQL語言、擴展的特性(如復(fù)制、OLAP、分析)等功能,以及像存儲過程、觸發(fā)器等特性。
SQL Server2005 數(shù)據(jù)庫系統(tǒng)的服務(wù)器負責(zé)創(chuàng)建和維護表和索引等數(shù)據(jù)庫對象,確保數(shù)據(jù)完整性和安全性,能夠在出現(xiàn)各種錯誤時恢復(fù)數(shù)據(jù)。SQL Server2005 的客戶端可完成所有的用戶交互操作,將數(shù)據(jù)從服務(wù)器檢索出來后生成副本,以便在本地保留,也可以進行操作。
由于SQL Server200_5 的強大功能,特別是其全文檢索功能,支持從純文本到二進制數(shù)據(jù)的檢索,如 WORD 文檔、EXCEL 電子表格等等,其文本性數(shù)據(jù)類型支持量相當(dāng)龐大,因此系統(tǒng)中主要利用SQL Server 進行文本保存,方便查詢和檢索,同時為進一步擴展其功能奠定基礎(chǔ)。
2.3 面向?qū)ο笙到y(tǒng)開發(fā)方法
面向?qū)ο螅∣O,Object Oriented)的系統(tǒng)開發(fā)方法,是近年來受到關(guān)注的一種系統(tǒng)開發(fā)方法。面向?qū)ο蟮南到y(tǒng)開發(fā)方法的基本思想是將客觀世界抽象地看成是若干相互聯(lián)系的對象,然后根據(jù)對象和方法的特性研制出一套軟件工具使之能夠映射為計算機軟件系統(tǒng)結(jié)構(gòu)模型和進程,從而實現(xiàn)信息系統(tǒng)的開發(fā)。
3 結(jié)論
《雷擊風(fēng)險評估管理系統(tǒng)》的設(shè)計遵循最新頒布的雷擊風(fēng)險評估規(guī)范,結(jié)合評估工作的業(yè)務(wù)流程和特點,依據(jù)被評估對象的數(shù)據(jù)自動計算出評測結(jié)果,并提供多種措施方案對比可對其進行經(jīng)濟效益評估,以表格和柱形等多種形式圖表的形式輔助用戶做出最符合實際的方案決策。本系統(tǒng)操作簡單、界面友好。系統(tǒng)實現(xiàn)雷擊風(fēng)險評估過程科學(xué)化、計算過程自動化、計算結(jié)果客觀化。界面簡潔、操作簡單的系統(tǒng),具有較強的實用性與通用性。
統(tǒng)一化的評估技術(shù)報告不僅提高了雷擊風(fēng)險評估工作的效率,還利于在各地區(qū)開展雷電風(fēng)險評估工作。本系統(tǒng)的開發(fā)拓展了雷電防護應(yīng)用技術(shù)的領(lǐng)域,項目完成并推廣以后會提高本地區(qū)防雷中心科技服務(wù)水平,并對提高經(jīng)濟效益起到很大的推動作用。
參考文獻
[1]GB 50057-94 建筑物防雷設(shè)計規(guī)范[S].
[2]GB 50343-2004 建筑物電子信息系統(tǒng)防雷技術(shù)規(guī)范[S].
[3]DB50/214-2006 雷電災(zāi)害風(fēng)險評佑技術(shù)規(guī)范[S].
[4][美]Greg Riccardi.數(shù)據(jù)庫系統(tǒng)原理[M].清華大學(xué)出版社,2002,11.
[5]李巖,張瑞雪.SQL Server 2005實用教程[M].清華大學(xué)出版社,2008,9.
[6]古樂,史九林.軟件測試案例與實踐教程[M].清華大學(xué)出版社,2007,2.
[7]劉波.信息管理系統(tǒng)中數(shù)據(jù)庫安全實現(xiàn)方法[J].計算機應(yīng)用,2005(10):77-78.
[8]劉志成.SQL Server 2005實例教程[M].電子工業(yè)出版社,2008,2.
一、總則
為及時識別、監(jiān)控公司保密潛在風(fēng)險及其發(fā)生概率,確定公司保密風(fēng)險承受能力及限度,認定該等風(fēng)險所可能帶來的損失,根據(jù)《上海市涉密信息系統(tǒng)集成資質(zhì)單位保密風(fēng)險評估工作細則》和《涉密信息系統(tǒng)集成資質(zhì)保密標準》結(jié)合公司實際,特制定本管理辦法。
二、職責(zé)分工
1、公司保密風(fēng)險評估與管理主管部門為風(fēng)險管理部。
2、各部門、各經(jīng)營單元協(xié)助風(fēng)險管理部實施本管理辦法。
3、公司各涉密經(jīng)營單元是保密風(fēng)險管理的第一道防線,負責(zé)本經(jīng)營單元和公司內(nèi)縱向歸口管理事項的保密風(fēng)險管理工作。
4、公司保密風(fēng)險評估工作小組(以下簡稱工作小組)是保密風(fēng)險管理的第二道防線,接受保密管理辦公室的監(jiān)督(以下簡稱保密辦),負責(zé)指導(dǎo)和檢查保密風(fēng)險評估工作的開展。
5、公司保密工作領(lǐng)導(dǎo)小組(以下簡稱領(lǐng)導(dǎo)小組)是保密風(fēng)險管理的第三道防線。作為保密風(fēng)險管理的決策機構(gòu),負責(zé)監(jiān)督保密風(fēng)險評估工作的開展,負責(zé)組織建立完善保密管理的持續(xù)改進機制。
三、工作內(nèi)容及流程。
1、領(lǐng)導(dǎo)小組授權(quán)風(fēng)險管理部組織成立工作小組。工作小組組長由分管保密工作的公司領(lǐng)導(dǎo)擔(dān)任,成員由保密辦、風(fēng)險管理部等部門負責(zé)人組成。領(lǐng)導(dǎo)小組應(yīng)組織對評估過程中出現(xiàn)的問題和結(jié)果做分析和研究,查找出在保密管理的制度、流程和執(zhí)行等方面的問題,組織對制度和流程進行修訂和完善。
2、工作小組至少每半年開展一次保密風(fēng)險評估,使用“上海市涉密信息系統(tǒng)集成資質(zhì)保密風(fēng)險評估及自查自評系統(tǒng)”開展保密風(fēng)險評估工作,按照業(yè)務(wù)流程對保密風(fēng)險進行識別、分析和評估,評估的范圍包括項目、人員、資產(chǎn)、場所等主要管理活動在保密方面所面臨的威脅、存在的弱點、造成的影響,以及三者綜合作用所帶來風(fēng)險的可能性的評估。
3、工作小組至少每年對《保密管理風(fēng)險點識別及防控措施》評估一次,從人員風(fēng)險、涉密載體風(fēng)險、涉密計算機、涉密場所、投標、項目實施等,對每個風(fēng)險點進行低、中、高等級識別,制定相應(yīng)的防范措施。
4、工作小組在評估過程中如發(fā)現(xiàn)問題,及時向領(lǐng)導(dǎo)小組匯報,《保密風(fēng)險評估報告》形成后,應(yīng)向領(lǐng)導(dǎo)小組報告評估情況。向相關(guān)涉密經(jīng)營單元和人員通報評估情況,監(jiān)督防控措施的落實。
5、工作小組不定期組織開展評估業(yè)務(wù)培訓(xùn),使相關(guān)人員了解掌握保密風(fēng)險形式、評估方法、評估工具、防控措施等知識。保密風(fēng)險管理納入保密教育培訓(xùn),以增強涉密人員防控保密風(fēng)險的意識。
6、《公司保密風(fēng)險評估報告》以及《公司保密管理風(fēng)險點識別及防控措施》由風(fēng)險管理部保存,作為年度審查申請的附件材料報市國家保密局資質(zhì)管理委員會辦公室。
四、獎懲機制
將評估工作履職情況納入部門和員工的年度績效考核評價體系。由領(lǐng)導(dǎo)小組對工作小組成員的保密工作進行考核評價;由工作小組負責(zé)對相關(guān)部門和人員的保密工作進行考核評價。對發(fā)現(xiàn)并上報重大保密風(fēng)險的部門和人員給予獎勵。對瞞報或未發(fā)現(xiàn)明顯保密風(fēng)險而導(dǎo)致發(fā)生泄密事件及嚴重違規(guī)行為的部門、人員給予重罰。
五、附則
關(guān)鍵詞:風(fēng)險評估;管理工具;分類;選擇;設(shè)計
中圖分類號:TP311文獻標識碼:A文章編號:1009-3044(2011)30-7388-02
Research on Risk Assessment and Management Tools
WANG Fu-hua,YAO Jie
(Chongqing Communication Institute, Chongqing 400035, China)
Abstract: This article has carried on the detailed introduction to the risk assessment management tools, and introduced how to choose and design risk assessment management tools.Finally,it offers some ideas for information security assessment practice.
Key words: risk assessment; management tools; classification; choice; design
目前,網(wǎng)絡(luò)安全問題已成為影響社會經(jīng)濟發(fā)展和國家發(fā)展戰(zhàn)略的重要因素,信息安全評估工作的重要性不言而喻。信息安全風(fēng)險評估工作是個極復(fù)雜又具有挑戰(zhàn)性的工作,需要細致的工作,大量的支持性的專業(yè)知識的支撐,項目管理也比較復(fù)雜,因此如果要更好的完成信息安全風(fēng)險評估工作就必須有一套非常實用的信息安全風(fēng)險評估管理工具。一套使用的風(fēng)險評估管理工具將極大地提高信息安全風(fēng)險評估工作的效率和結(jié)果的正確性。
1 風(fēng)險評估與管理工具分類
風(fēng)險評估與管理工具是根據(jù)系統(tǒng)關(guān)鍵信息資產(chǎn)、資產(chǎn)面臨的威脅以及威脅所利用的脆弱點來確定所面臨的威脅、對風(fēng)險情況進行全面考慮,估算出信息系統(tǒng)的風(fēng)險情況,且在風(fēng)險評估的同時根據(jù)面臨的風(fēng)險提供相應(yīng)的控制措施和解決方法。
1.1 基于國家、政府頒布的信息安全管理標準或指南
目前世界上存在多種不同的風(fēng)險分析指南和方法,不同的風(fēng)險分析方法其側(cè)重點和關(guān)注點各不相同。如:
NIST(National Institute of standard and Technology)的FIPS 65;
DOJ(Department of Justice)的SRAG;
GAO(Government Accounting Office)的信息安全管理的實施指南。
1.2 基于專家系統(tǒng)的風(fēng)險評估工具
基于專家系統(tǒng)的風(fēng)險評估工具主要通過建立專家系統(tǒng)和外部知識庫,以調(diào)查問卷的方式收集組織內(nèi)部信息安全的狀態(tài)。對重要資產(chǎn)的威脅和脆弱點進行評估,產(chǎn)生專家推薦的安全控制措施。
基于專家系統(tǒng)的風(fēng)險評估工具通??梢宰詣有纬娠L(fēng)險評估報告,根據(jù)風(fēng)險的嚴重程度提供風(fēng)險指數(shù),同時分析可能存在的問題,并提供相應(yīng)的處理方法。
COBRA(Consultative Objective and Bi-functional Risk Analysis)是一個著名的基于專家系統(tǒng)的風(fēng)險評估工具,它是一個問卷調(diào)查式的風(fēng)險分析工具,由三個部分組成:調(diào)查問卷生成、風(fēng)險測量和結(jié)果分析生成。
基于專家系統(tǒng)的風(fēng)險評估工具除COBRA之外,比較知名的還有@RISK、BDSS(The Bayesian Decision Support System)等工具。
1.3 基于定性或定量算法的風(fēng)險分析工具
風(fēng)險分析作為重要的信息安全保障措施,是信息安全體系不可或缺的一部分。而信息安全風(fēng)險評估的算法作為風(fēng)險評估的重要手段,很久以前就被提出并了大量的研究工作,其中一些算法已經(jīng)成為正式的信息安全標準的一部分。早期的風(fēng)險評估算法大部分僅僅作定性的分析,對風(fēng)險產(chǎn)生的可能性和風(fēng)險產(chǎn)生的后果只能按照高、中、低來區(qū)分,這種定性的方式無法準確地估算出風(fēng)險產(chǎn)生的可能性和損失量。隨著人們對信息安全風(fēng)險了解的不斷深入,獲得了更多的經(jīng)驗數(shù)據(jù),因此人們越來越希望用定量的風(fēng)險分析方法反映事故發(fā)生的可能性。定量的信息安全風(fēng)險管理標準包括美國聯(lián)邦標準FIPS31和FIPS191,提供定量風(fēng)險分析技術(shù)的手冊包括GAO和新版的NISTRMG。
由于數(shù)據(jù)收集的困難,目前還沒有完全定量的風(fēng)險評估工具,現(xiàn)有的風(fēng)險評估工具要么在定性方面有所側(cè)重,要么在定量方面有所側(cè)重。如CONTROL-IT、Definitive Scenario、JANBER都是定性的風(fēng)險評估工具,而@RISK、Risk-CALC、CORA是半定量的風(fēng)險評估工具。
2 常見的風(fēng)險評估管理工具比較
CRAMM:CRAMM是1985年由英國CCTA開發(fā)的風(fēng)險評估系統(tǒng)。CRAMM包括全面的風(fēng)險評估工具,并且完全遵循BS7799規(guī)范,包括依靠資產(chǎn)的建模、商業(yè)影響評估、識別和評估威脅和弱點、評估風(fēng)險等級、識別需求和基于風(fēng)險評估調(diào)整控制等。CRAMM評估風(fēng)險依靠資產(chǎn)價值、威脅和脆弱點,這些參數(shù)值是通過CRAMM評估者與資產(chǎn)所有者、系統(tǒng)使用者、技術(shù)支持人員和安全部門人員一起的交互活動得到,最后給出一套解決方案。
COBRA:COBRA是1991年由C&A System Security公司推出另外一個風(fēng)險評估工具,用來進行信息安全風(fēng)險管理方法,提供了一個完整的風(fēng)險分析服務(wù),并且兼容許多風(fēng)險評估方法學(xué)(如定性分析和定量分析等)。它可以看做一個基于專家系統(tǒng)和擴展知識庫的問卷系統(tǒng),對所有的威脅和脆弱點評估其相對重要性,并且給出合適的建議和解決方案。此外,它還對每個風(fēng)險類別提供風(fēng)險分析報告和風(fēng)險值。
@RISK是美國Palisade公司的一款軟件產(chǎn)品,在世界范圍內(nèi)廣泛使用,是構(gòu)架在微軟Excel之上的一套風(fēng)險分析工具。在@RISK中,提供了一套完整的風(fēng)險分析工具,包括可以自行修訂的統(tǒng)計分配模型、蒙特卡羅檢測、敏感性分析、環(huán)境分析、極限值測試等常用的風(fēng)險評估模型。@RISK建立的流程包括:
1) 在Excel上建立需要分析的問題模型;
2) 確定需要輸入模型的不確定值;
3) 通過模擬程序,對可能的參數(shù)范圍進行分析,以@RISK內(nèi)置的概率分布函數(shù)表示,然后確定模型的輸出結(jié)果;
4) 產(chǎn)生需要的資料圖表進行分析。
表1是對一些主要風(fēng)險評估工具的比較。
表1
3 選擇風(fēng)險評估工具的原則
1) 根據(jù)實際環(huán)境和企業(yè)的需求選擇
2) 風(fēng)險評估工具應(yīng)當(dāng)能夠精確地映射網(wǎng)絡(luò)、應(yīng)用以及進行攻擊測試
怎樣了解一個工具的實際功效?最有效的辦法是搜索Web,查看媒體的評論,要求廠商提供其他客戶的使用情況說明。正式購買之前最好測試一下工具的性能。大多數(shù)廠商都提供限制了功能的試用版本,通常是限制IP地址的范圍。
3) 不僅要注意風(fēng)險評估工具為目標平臺提供的攻擊腳本數(shù)量,而且要留意它們的更新速度。
純粹的數(shù)量有時不能說明問題,因為有些廠商可能把許多相關(guān)的漏洞看成一個,有的廠商則把它們算作多個漏洞。一些較為優(yōu)秀的風(fēng)險評估工具,如CVE,把每一種測試都鏈接到了一個標準的漏洞案例ID。留意風(fēng)險評估工具的更新頻率,看看它是自動更新還是需要手工執(zhí)行更新,還有,新的安全威脅發(fā)現(xiàn)之后它要多長的時間才能推出相應(yīng)的更新?
4) 報告數(shù)量的多少,內(nèi)容翔實程度,是否允許導(dǎo)出報表
只能內(nèi)部使用的掃描結(jié)果報表也許能夠滿足最初的需要,但如果經(jīng)常對系統(tǒng)進行風(fēng)險評估,最好能夠?qū)⑸傻膱蟊韺?dǎo)出到外部數(shù)據(jù)庫,以便執(zhí)行對比和分析。
5) 是否支持不同級別的入侵測試以避免系統(tǒng)掛起
所有風(fēng)險評估工具都有這樣的警告:入侵測試過程可能產(chǎn)生DoS攻擊,或者導(dǎo)致被測試的系統(tǒng)掛起。通常,在高訪問量期間對擔(dān)負關(guān)鍵任務(wù)的系統(tǒng)不應(yīng)該運行風(fēng)險評估工具,風(fēng)險評估工具本身可能帶來問題,引起服務(wù)中斷或系統(tǒng)被鎖死。大多數(shù)高質(zhì)量的風(fēng)險評估工具允許執(zhí)行侵害程度較小的入侵測試,避免造成系統(tǒng)運行中斷。
6) 是否需要在線服務(wù)?
有些風(fēng)險評估工具以在線服務(wù)的形式提供。這種形式的優(yōu)點是不占用硬件資源,可以從任何地方運行和獲取報表,自動執(zhí)行更新,一般而言總擁有成本也較低。缺點是服務(wù)的運行速度一般較慢,不象客戶端產(chǎn)品那樣容易定制。最后還有一點是,如果采用在線服務(wù),則掃描出來的網(wǎng)絡(luò)漏洞清單還將落入第三方的手中。
4 信息安全風(fēng)險評估管理工具設(shè)計
信息安全風(fēng)險評估管理工具的設(shè)計必須考慮到參考模型可能存在的變化,或者計算方法發(fā)生變化而導(dǎo)致的工具適應(yīng)性的問題,還應(yīng)該具有項目管理功能,統(tǒng)計分析,報表,輔助評估專家系統(tǒng),查詢,資產(chǎn)管理,更應(yīng)該加入風(fēng)險管理與控制模塊,如果能提供與其他資產(chǎn)管理軟件的接口就更好了。
為了適應(yīng)評估工作模式,信息安全風(fēng)險評估工具的架構(gòu)應(yīng)該選擇B/S結(jié)構(gòu),評估小組和評估人是最終用戶,系統(tǒng)管理員對信息安全風(fēng)險評估工具進行維護和管理。系統(tǒng)架構(gòu)如圖1。
信息安全風(fēng)險評估工具中應(yīng)該包含威脅參考庫、脆弱性參考庫、資產(chǎn)分類庫、可能性定義庫,后果定義庫、控制措施庫等評估輔助專家系統(tǒng)庫。這些庫都可以自己定義,便于使用。評估小組可以在評估的各個時期都能夠得到幫助。
資產(chǎn)管理模塊應(yīng)該包含資產(chǎn)的各種基本信息,包括位置、責(zé)任人、所屬系統(tǒng)以及各種相關(guān)信息。根據(jù)不同資產(chǎn)的分類,相關(guān)信息也不同,這些相關(guān)信息都是有助于系統(tǒng)安全的相關(guān)信息。如資產(chǎn)的生命周期、系統(tǒng)補丁信息等。
信息安全風(fēng)險評估工具需要實際使用的檢驗,將在不斷滿足客戶的需要的同時逐漸發(fā)展、成熟。通過不斷的改進和發(fā)展,相信信息安全風(fēng)險評估工具將極大地推動信息安全風(fēng)險評估工作的進行。
參考文獻:
[1] 陳友初.信息安全風(fēng)險評估的探討與實踐[J].廣西科學(xué)院學(xué)報,2006,22(4):367-369.
[2] 杜輝,劉霞,汪厚祥.信息安全風(fēng)險評估方法研究[J].艦船電子工廠,2006,26(4):65-69.
[3] 張建軍,孟亞平.信息安全風(fēng)險評估探索與實踐[M].北京:中國標準出版社,2005.
[4] 趙戰(zhàn)生,謝宗曉.信息安全風(fēng)險評估[M].北京:中國標準出版社,2007,8.
[5] 馮登國,張陽,張玉清. 信息安全風(fēng)險評估綜述[J].北京:通信學(xué)報,2004,25(7):10-18.
[6] 關(guān)義章,戴宗坤.羅萬伯,等.信息系統(tǒng)安全工程學(xué)[M].北京:電子工業(yè)出版社,2002,12.
Abstract: In the process of urbanization in China, the population density is getting higher and higher, which causes the travel difficult of people. In order to ensure the convenience of urban transport, many cities use the way to build the subway to alleviate the traffic pressure and ensure smooth traffic. However, in the operation of the subway, with the increase in the number of passengers, there will be some security risks, which have a serious threat to people's lives and property, so we need to make assessment and management of the safety risk in subway operations to avoid the security threats faced during subway operations. This paper analyzes the risk assessment and management of subway operational safety.
關(guān)鍵詞: 地鐵運營安全;風(fēng)險評估;風(fēng)險管理
Key words: subway operation safety;risk assessment;risk management
中圖分類號:F572 文獻標識碼:A 文章編號:1006-4311(2017)23-0054-03
0 引言
城市規(guī)模不斷擴大以及城市人口數(shù)量的增加,導(dǎo)致巨大的交通壓力成為困擾城市發(fā)展的主要因素。所以,在許多城市的規(guī)劃與建設(shè)中,都將地鐵建設(shè)作為重點內(nèi)容。近幾年,我國地鐵事故發(fā)生率逐漸升高,這些事故不僅為地鐵運營部門帶來重大經(jīng)濟損失,而且嚴重威脅了人們的生命財產(chǎn)安全。因此,在地鐵運營過程中,必須對存在的安全風(fēng)險進行評估與管理,提高地鐵運行的穩(wěn)定性與安全性,確保地鐵的作用能夠得以發(fā)揮。
1 地鐵運營風(fēng)險管理的基本流程與方法
運營風(fēng)險管理是研究風(fēng)險發(fā)生規(guī)律及風(fēng)控技術(shù)的一門科學(xué),具有前瞻性、目標性、計劃性、經(jīng)濟性和管理性等特點。一般來說,地鐵運營風(fēng)險管理過程不外乎風(fēng)險識別、風(fēng)險評估、風(fēng)險等級劃分和風(fēng)險控制四個關(guān)鍵環(huán)節(jié):
1.1 風(fēng)險識別
地鐵運營風(fēng)險識別就是找出地鐵運營過程中影響安全的主要因素,是風(fēng)險管理流程中的第一個步驟。在風(fēng)險識別的過程中,必須確定地鐵運營系統(tǒng)的組成、特點以及各組成部分的關(guān)系,并全面檢查這些環(huán)節(jié)中的不確定性。與此同時,還要分析不同種類風(fēng)險對地鐵正常運營造成的威脅,并確定風(fēng)險作用范圍,以便針對不同的風(fēng)險采取不同的措施。
1.2 風(fēng)險分析
地鐵運營風(fēng)險分析就是對地鐵運營風(fēng)險可能造成的后果進行全面分析。風(fēng)險分析需要對個別的風(fēng)險元素進行分析,并量化這些元素,形成一個風(fēng)險清單,以便針對這些風(fēng)險制定相應(yīng)的行動計劃。在科學(xué)技術(shù)不斷進步的同時,對地鐵運營分析的難度越來越高,只有不斷提高風(fēng)險分析水平,才能夠采取有效的措施降低風(fēng)險。
1.3 風(fēng)險評估
地鐵運營風(fēng)險評估就是對地鐵運營風(fēng)險能夠?qū)е碌暮蠊M行評價,并根據(jù)這些后果的嚴重程度進行排序,同時考慮與其對應(yīng)的處理措施,去頂風(fēng)險、成本與效益三者之間的關(guān)系,其關(guān)鍵在于考慮風(fēng)險對整體目標的影響。綜合評估地鐵運營風(fēng)險時,首先應(yīng)該充分預(yù)測管理決策在實施期間所伴生的后果及其可能產(chǎn)生的危害、后果是否可以被接受等等。風(fēng)險的嚴重程度不同,就會造成優(yōu)先處理的順序不同。
1.4 風(fēng)險決策
地鐵運營風(fēng)險決策就是以風(fēng)險分析與風(fēng)險評估的結(jié)果為基礎(chǔ),針對風(fēng)險制定相應(yīng)的措施,降低風(fēng)險對地鐵運營的影響。一般來講,風(fēng)險策略主要有以下兩種:第一,采取合理的措施,最大限度地降低風(fēng)險帶來的影與危害,對其進行有效的控制。第二,采取適當(dāng)?shù)拇胧┺D(zhuǎn)移風(fēng)險,降低風(fēng)險對運營主體的危害,但是,不是所有風(fēng)險都能夠被轉(zhuǎn)移。在風(fēng)險決策的過程中,必須考慮成本與效益之間的關(guān)系,確保風(fēng)險決策成為最佳效益方案。
此外,在地鐵運營風(fēng)險中,一些風(fēng)險并不是一成不變的,只有對這些風(fēng)險進行跟蹤,才能夠根據(jù)不同的情況進行風(fēng)險決策。
評估國庫資金操作的風(fēng)險就是鑒別在國庫業(yè)務(wù)辦理過程中出現(xiàn)的各種損失的可能性與嚴重性,一般可以采取定性評估方法、定量評估方法、定性與定量相結(jié)合的評估方法。
(一)定性評估方法
定性評估方法是一種多目標決策方法,它突破了傳統(tǒng)的數(shù)量分析限制,為更合理地制定決策開闊了思路。德爾菲法是定性評估方法中最具代表性的方法,這種方法具有廣泛的代表性,能夠可靠進行有目標的風(fēng)險評估與防范,但由于選擇合適的專家比較困難也可能得出比較草率的風(fēng)險評估結(jié)論。
(二)定量評估方法
定量分析是對各個風(fēng)險要素及損失的水平賦予一定數(shù)值,當(dāng)度量風(fēng)險的所有因素都被賦值,風(fēng)險評估的過程和結(jié)果都可以被量化了。常用的定量評估方法主要有基本指標法、標準法、內(nèi)部評級法等。
(三)定性與定量相結(jié)合評估方法
定性或定量的方法并不能有效且準確地對風(fēng)險進行評估,定量的方法通常過于嚴格,而定性的方法又過于模糊。因此,需要在定量和定性的基礎(chǔ)上結(jié)合兩種方法進行風(fēng)險評估,常用的定性與定量相結(jié)合的方法為層次分析法與模糊綜合評價法。層次分析法首先根據(jù)多目標決策的性質(zhì)和總的目標對所考慮的概念,分析其相互關(guān)聯(lián)、邏輯屬性及重要性級別進行分層排列,構(gòu)造成一個由上而下的遞階層次結(jié)構(gòu);其次在層次結(jié)構(gòu)模型中,決策人根據(jù)具體情況及實際要求通過兩兩因素的比較,用表1的標度打分,得到判斷矩陣;最后在得到判斷矩陣后按照以下公式進行排序及一致性檢驗。
二、國庫資金操作風(fēng)險識別
(一)操作性風(fēng)險
人民銀行總行《國庫會計管理規(guī)定》中規(guī)定,國庫業(yè)務(wù)操作人員應(yīng)嚴格控制資料交接、外來憑證審核、資料傳遞、記賬復(fù)核、退匯轉(zhuǎn)匯、編押核押、查詢查復(fù)、手工填制憑證等環(huán)節(jié)中的風(fēng)險。其風(fēng)險主要分以下三種:(1)操作失誤風(fēng)險。隨著財稅體制改革的深化,國庫業(yè)務(wù)發(fā)生了巨大變化,國庫單一賬戶體系的形成、資金匯劃渠道的驟增、預(yù)算收支核算方式的變化加快了國庫核算電子化的發(fā)展進程,國庫操作人員需要全面掌握涉及面廣、科技含量高、操作復(fù)雜的電子核算業(yè)務(wù),期間難免會出現(xiàn)操作風(fēng)險,如在掛賬或解掛方面存在的風(fēng)險、查詢復(fù)查操作手續(xù)出現(xiàn)錯誤、執(zhí)行流程時隨意簡化、替代或逆程序操作等差錯。(2)審查失誤風(fēng)險。國庫操作人員對外來的收支憑證審查出現(xiàn)偏差,造成一些憑證要素內(nèi)容缺失不全,不符合收支憑證的辦理要求,從而給國庫資金帶來風(fēng)險。(3)對賬風(fēng)險。對賬是國庫資金業(yè)務(wù)中的基礎(chǔ)環(huán)節(jié),國庫操作人員不能及時與征收機關(guān)、財政部門、銀行對賬或者上下級對賬不符合規(guī)范,出現(xiàn)賬證不符、賬表不符等差錯。
(二)管理性風(fēng)險
(1)崗位設(shè)置風(fēng)險。隨著國庫業(yè)務(wù)的快速發(fā)展,現(xiàn)有國庫人員設(shè)置已經(jīng)不能夠滿足其要求。受人民銀行當(dāng)前進入、用人制度的限制,各地國庫人員配備嚴重不足,一人身兼數(shù)職的現(xiàn)象普遍存在,相互制約機制的缺乏導(dǎo)致內(nèi)控制約出現(xiàn)“真空”地帶,國庫業(yè)務(wù)操作的質(zhì)量和風(fēng)險防范大打折扣。另外,國庫人員結(jié)構(gòu)不合理,表現(xiàn)為人員嚴重老化、人員變動頻繁等問題,這將對國庫操作工作帶來風(fēng)險。(2)日常管理風(fēng)險。在日常國庫業(yè)務(wù)操作過程中,由于沒有建立健全的管理制度,往往會出現(xiàn)小的失誤或差錯,如對操作員密鑰密碼沒有明確嚴格的更換時間,對系統(tǒng)的簽退程序沒有嚴格的管理規(guī)定等。(3)制度管理風(fēng)險。由于國庫電子化進程的推進,在國庫資金操作業(yè)務(wù)中,現(xiàn)行的國庫管理制度與實際國庫資金操作工作脫節(jié),進而給國庫資金帶來了一系列風(fēng)險。
(三)系統(tǒng)性風(fēng)險
1.系統(tǒng)網(wǎng)絡(luò)風(fēng)險國庫會計數(shù)據(jù)集中系統(tǒng)(TCBS)的保密性、不可篡改性都將直接影響國庫業(yè)務(wù)的正常賬務(wù),因此在國庫操作業(yè)務(wù)中,倘若國庫集中支付系統(tǒng)自身參數(shù)設(shè)置出現(xiàn)錯誤或者系統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)丟失會給國庫資金帶來不可避免的風(fēng)險。
2.外部事件風(fēng)險由于外部網(wǎng)絡(luò)運行環(huán)境出現(xiàn)異常導(dǎo)致感染病毒或非法入侵,致使國庫電子化流程癱瘓或無法正常運行,數(shù)據(jù)集中處理不能順利傳輸,給國庫資金帶來風(fēng)險。
3.功能缺陷性風(fēng)險國庫會計數(shù)據(jù)集中系統(tǒng)(TCBS)運行過程中,由于系統(tǒng)本身不能夠及時有效更正稅務(wù)部門錯誤的稅款科目、稅款級次等信息,從而影響正常入庫;一方在使用國庫集中支付系統(tǒng)內(nèi)劃轉(zhuǎn)資金時,接收方在系統(tǒng)中無法打印來賬信息,這樣給國庫日常核對和檢查帶來一定困難,給國庫資金帶來風(fēng)險隱患。
三、國庫資金操作風(fēng)險評估
(一)評估計算
由于國庫資金業(yè)務(wù)損失數(shù)據(jù)不全,至今也沒有健全的風(fēng)險管理框架。為了取得更好的風(fēng)險分析效果,構(gòu)建合理風(fēng)險評估模型。結(jié)合定性與定量分析方法個各自特點,現(xiàn)選用層次分析法和模糊綜合評價法相結(jié)合的方法,構(gòu)建國庫資金操作的風(fēng)險評估模型。
1.建立國庫資金風(fēng)險根據(jù)本文第二部分的分析,為簡便起見,將影響國庫操作資金風(fēng)險的目標層分為系統(tǒng)性風(fēng)險、操作性風(fēng)險、管理性風(fēng)險三個層次。
2.建立風(fēng)險評估判斷矩陣構(gòu)造國庫風(fēng)險評估判斷矩陣,需要用層次分析法對一定數(shù)量的專家進行問卷調(diào)查,這樣在調(diào)查評分的基礎(chǔ)上確定判斷矩陣。限于條件,本風(fēng)險模型在路勇、徐麗紅在《基層人民銀行國庫TCBS系統(tǒng)風(fēng)險導(dǎo)向?qū)徲嬆J降拇_立及成效》一文中所做的調(diào)查基礎(chǔ)上建立判斷矩陣,可按各風(fēng)險因素的強度及頻率將其分為以下四個等級。
(二)評估結(jié)果分析
從人民銀行A市國庫處現(xiàn)狀分析,2012年之前,該處國庫工作人員配備基本能夠滿足崗位需要,但仍存在少許記賬與復(fù)合崗位交叉作業(yè)情況、兼崗、替崗現(xiàn)象,在對賬及審查工作中,由于缺少專門的國庫會計核算專業(yè)人員,給國庫操作風(fēng)險帶來隱患。同時,在日常管理、制度管理方面,人民銀行A市國庫處推行目標管理責(zé)任制取得了一系列成效,但仍存在“重事后管理,輕事前防范”的問題,另外現(xiàn)行的制度不能涵蓋整個國庫核算業(yè)務(wù)的全過程,存在國庫信息業(yè)務(wù)的制度“盲區(qū)”,這些都是造成國庫風(fēng)險的重要因素。除此之外,由于國庫業(yè)務(wù)電子化業(yè)務(wù)的推廣,人民銀行A市國庫處通過推行國庫會計數(shù)據(jù)集中系統(tǒng)(TCBS)以來,積極修改崗位設(shè)置和完善橫向聯(lián)網(wǎng)系統(tǒng),網(wǎng)絡(luò)整體運行正常,系統(tǒng)升級能夠滿足業(yè)務(wù)流程需要,大大減少了風(fēng)險的可能?;陲L(fēng)險評估結(jié)果,操作性風(fēng)險因素與管理性風(fēng)險因素風(fēng)險等級為中等風(fēng)險,系統(tǒng)性風(fēng)險因素為低風(fēng)險,基本與人民銀行A市國庫處實際情況吻合。總之,國庫資金操作風(fēng)險的綜合評估結(jié)果與國庫管理人員及業(yè)務(wù)人員對風(fēng)險因素的主觀認識有很大關(guān)系,權(quán)重的選擇往往會直接影響風(fēng)險評價的最終結(jié)果。
四、國庫資金操作風(fēng)險管理對策
(一)探索新的用人機制,建設(shè)專業(yè)化國庫隊伍
穩(wěn)定的國庫人員隊伍是保證國庫正常工作進行的前提,是降低風(fēng)險最重要的一環(huán)。由于受人民銀行人員編制的原因,國庫部門會計核算專業(yè)人才較少,傳統(tǒng)解決人員緊缺的方式采用的是從其他部門借調(diào)人員,沒有形成穩(wěn)定的國庫人員隊伍。人民銀行總行結(jié)合國庫業(yè)務(wù)的實際情況,對國庫處部分人員逐步開始實行聘用制,這樣一方面能夠有選擇性招聘部分專業(yè)性較強的人才補充到國庫處,另外也能夠培養(yǎng)一批專業(yè)技能扎實、崗位持續(xù)穩(wěn)定的國庫操作人員,對于風(fēng)險的防控與降低有深遠影響。
(二)完善風(fēng)險管理制度,提高風(fēng)險防控意識
在日常的國庫業(yè)務(wù)中,要針對具體的國庫業(yè)務(wù)環(huán)節(jié),制定具體的實施方案和操作細則,逐步完善國庫資金風(fēng)險管理的制度,建立完整有效的風(fēng)險組織管理體系。同時,國庫事后監(jiān)督應(yīng)嚴格執(zhí)行《國庫會計事后監(jiān)督辦法》,并結(jié)合本辦法提出的國庫資金風(fēng)險控制要求,對國庫會計核算業(yè)務(wù)進行全面監(jiān)督,提高國庫整體風(fēng)險防控意識。
(三)強化國庫監(jiān)督規(guī)范,建立網(wǎng)絡(luò)系統(tǒng)監(jiān)控