【关键词】风险导向审计;主要特征;审计条件
现代风险导向审计是崭新的审计技术方法,它是审计技术方法的重大创新。它以被审计单位经营风险为导向,通过“战略分析―经营环节分析―剩余风险分析”的基本思路,将会计报表重大错报风险与企业经营风险之间的关系紧密联系起来,从而提出了审计人员从源头分析和发现会计报表重大错报的观念。
一、现代风险导向审计的主要特征的分析
与传统风险导向审计模式相比,现代风险导向审计将风险评估的范围从微观拓展到了被审单位的宏观背景下,审计理念有了质的飞跃。具体说来凸现以下特点:
1、从以审计测试为中心到以风险评估为中心。传统风险导向审计不能适应现代报表审计的需要,就在于其原有的风险评估不到位,未能有效发现高风险审计领域,造成审计过量或审计不足,现代风险导向审计大大加强了风险评估程序,真正体现了现代风险导向审计的理念。对风险的根源进行评估,从本质上看问题,才不会被问题的现象所迷惑,而做出错误的判断。也可以说基本完成了由被动审计到主动审计的转变。
2、由固有风险、控制风险二因素的风险评估转向重大错报风险的综合影响因素的分析评估。传统的审计风险模型是审计风险=固有风险×控制风险×检查风险。但是,随着企业与内外部环境联系的日益增强,引起审计风险的因素就不只局限于审计过程中了,被审计单位所处的宏观环境也会对审计风险控制产生重大影响,传统审计风险模型逐渐表现出其缺陷和不足。现代风险导向审计确定了新的审计风险模型:审计风险=重大错报风险×检查风险。新的审计风险模型是随着审计环境和审计实践的发展应运而生的,更符合审计的实际工作情况,有利于执行风险评估程序。
3、风险评估以分析性复核为中心。尽管风险评估包括检查、调查、询问、穿行测试等多种审计取证手法,但核心是分析性复核的运用。传统风险导向审计的分析性复核程序主要用于财务报表分析,往往会忽略非财务信息;现代风险导向审计的指导下,分析性复核开始走向功能上的多样化,不再是只对财务数据进行分析,对非财务数据的信息也进行分析,而且要将现代管理方法中的某些先进的分析工具运用到工作当中去。
4、审计测试程序个性化。传统审计程序标准化,这种标准化审计程序存在很大问题,一是不能对症下药,没有贯彻现代风险导向审计思想;二是无法突破客户预先设置的障碍或防范措施。审计测试程序个性化就是为了克服传统审计测试的缺陷,针对风险不同的客户、客户不同的风险领域,采用个性化的审计程序。
二、实施风险导向审计所需要的条件
(一)开展风险导向审计对审计人员胜任能力的要求
现代风险导向审计对审计从业人员的业务素质提出了新要求,不仅要具备丰富的审计理论和实践经验,还要具备必需的管理学知识和经济学知识,能够运用系统的、战略的观点充分了解、分析企业所处的宏观经济环境和行业发展状况,对有可能导致企业会计报表错报风险的内外部因素进行客观、系统的分析与评价,将审计视角扩展到内部控制以外,从较高层面上评估风险,而不是仅仅注重企业会计处理的细节。这就要求审计人员不仅熟悉审计和公司财务、会计专业的相关知识,而且要掌握战略管理、营销分析、业绩评价、金融分析等一切与公司运作相关的现代管理学,金融学,营销学知识和信息系统技术。
(二)开展风险导向审计所需要的方法
现代风险导向审计以分析评估重大错报风险为核心,因此,分析性复核程序起着极其重要的作用。分析性复核程序一般包括四个步骤:确定要执行的计算机比较,估计期望值,执行计算及比较,分析数据及确认重大差异。从实际操作来看,审计人员必须把现代风险导向审计和传统的审计综合到一起,以减少审计风险,但是最重要的还是要保证审计质量。风险和财务报表的联系实际上是一个成本和效率的问题,应当尽快地找到经营风险过程当中与财务报表有关的部分,而不是把所有的经营风险全部追查下去。在具体实施过程中应在所有的审计阶段都实施风险评估程序,将评估的风险与可能发生的错报相联系,不得不经过风险评估直接将风险设定为高水平,识别和评估的风险还要与实施的程序挂钩。新的审计方法所获得的证据很多都是定性的而不是定量的证据,无论评估的重大错报风险结果如何,都应针对重大的各类交易、账户余额、列报和披露实施实质性的程序。识别评估和应对风险的关键程序都应形成审计工作记录,以保证执业质量和明确职业责任。
(三)开展风险导向审计所需要的技术工具与数据挖掘技术
现代风险导向审计不仅依靠传统审计技术,而且注重新型的审计技术。具体的分析技术主要从管理咨询领域以及营销分析领域借鉴而来,主要包括:战略风险分析技术、经营风险分析技术和经营业绩评价技术。现代风险导向审计方法中分析性程序占据非常重要的地位,辅助审计软件的使用在其中发挥着重要的作用。西方发达国家大量运用分析性程序的条件是辅助审计程序的开发和运用,它可以直接对数据库进行加工分析,依据软件模型自行处理数据,使运用分析性测试程序成为节约成本的重要手段。另外,采用审计软件使统计抽样的样本更具代表性,审计抽样风险可控,为风险导向审计提供了技术支持。
由此可见,现代风险导向审计模式主要采用战略分析和系统分析工具,可以大大提高发现问题,识别风险的能力,因而可以最大限度地降低由于风险识别错误而导致的审计失败。
三、结术语
现代风险导向审计的发展是审计职业为了应对内外部环境的变化,重新塑造和完善本职业抽象知识体系,从而保护审计职业职责范围的客观需要。现代风险导向审计运用了自上而下的思路,从企业的战略分析入手,通过对经营风险及经营控制的逻辑推理,推导和落实审计的范围和重点,确定相关的审计目标和审计程序;然后通过实施实质性测试审计程序,结合重要性的判断,来自下而上归纳和判断整个会计报表重大错报风险,并形成最终的审计意见,是对传统风险导向审计理论进行继承与扬弃。
参考文献:
[1]马贤明、郑朝晖,现代风险导向审计探讨[J],审计与经济研究,2005年20卷1期,9- 13页。
关键词:企业;廉洁风险;防范机制
一、抓风险排查,切实找准找全廉洁风险点
我们立足“四个围绕”,采取多种形式,进行多层次、多角度、拉网式的排查。
(一)围绕工作流程查
按照“明确企业工作事项―对照岗位职责―梳理岗位事权―找准廉洁风险―确定控制措施―公示接受监督”的流程,全面排查廉洁风险,重点查找并分析出在履行岗位职责、执行制度规定、行使管理权限和现场即决权、结算签字权等方面存在的或潜在的廉洁风险。
(二)围绕岗位职责查
对于领导岗位,重点查找“三重一大”方面容易产生腐败行为的廉洁风险;对于科室负责人的岗位,重点查找资金管理、权利行使、执纪和内部管理等重要环节发生或可能产生的廉洁风险;对其它重要岗位,重点查找在履行职责、执行制度、遵守程序等方面存在的或潜在的廉洁风险。
(三)围绕既发案例查
认真分析中国石油天然气集团公司党组纪检组印发了《贪欲无厌 自毁前程》等十二篇典型案例剖析材料,以及我厂及兄弟单位近年来发生的违纪违法案件,分析腐败行为产生的环节、根源,分析制度、监管上的缺失,确定风险点。
(四)围绕权重人员查
按照“人人参与查找,人人找出风险”的要求,以领导干部和权重科室及相关人员为重点,广泛开展个人自查、部门评查、交叉互查、评估审查的“四查”活动。通过全面排查、梳理归纳,共查找出不同层次的风险点1089多个,基本做到了全面、准确。
二、抓风险防控,确保监督管理工作到位
针对风险点,我们采取“等级管理、过程控制、分级负责”的方法,不断落实风险防控责任。
(一)等级管理
根据风险可能发生的频率和危害,划分“重大风险、较大风险、轻度风险”三个等级,实行有区别的管理和防控。重大风险防控,由党委、纪委及党支部共同监管;较大风险防控,由纪委和基层单位共同管理;轻度风险防控,由基层单位负责监管。纪委负责协助厂党委落实廉洁风险防控牵头责任,建立统一的廉洁风险库,实行动态监控。
(二)过程控制
采取“前期预防、中期监控和后期处置”的措施,有效控制和处理廉洁风险和不廉洁问题。前期预防,主要是从思想道德、制度机制的层面主动做好防范,最大限度地排除不廉洁问题隐患;中期监控,主要是对各岗位行为管理、制度落实、权力运行过程进行动态监控,加强执行力监督检查,及时发现和解决苗头性、倾向性问题;后期处置,对群众有反映、检查核实有问题的,及时采取谈话提醒、诫勉,岗位交流、免职,纪律处分等手段,帮助和督促干部及时纠正,汲取教训,减少危害或影响。
(三)分级落实
按照三个层次落实管理责任,厂里负责抓全面与重点,科室负责抓专业与系统,基层单位负责抓内部岗位及人员。一是厂党委负总责,党政主要领导重点抓好厂、作业区(所、站)两级领导班子和党员干部队伍建设,确保两级领导班子及成员不发生违纪违法案件;二是科室负责所管辖业务范围和专业系统内的风险防控工作。抓好自身和管辖业务范围内的廉洁风险防范管理,把廉洁风险管理融入到业务工作的全过程;三是基层单位负责本单位内部的风险防控工作。包括风险排查、评估、监督管理等。
三、抓评估考核,提高风险防控管理水平
通过建立切实可行的考核评价机制,既可以检验我们查找的风险点是否准确全面、构建的廉洁风险防范管理制度是否健全,又可以发现我们在廉洁风险防范管理中存在的问题,提高廉洁风险防范管理水平。
(一)督导交流,促进工作落实
在每季度未月的党群工作例会上,各支部要重点汇报廉洁风险防范管理工作情况。通过前期充分的调研、筹备,我们组织召开了“惩防体系建设推进会”和廉洁风险防范评估考核工作交流推进会”,有7家基层单位以“廉洁风险排查、防控”为重点进行了汇报,交流了廉洁风险防范管理评估考核机制方面的做法,促进了我厂廉洁风险防范评估考核工作的发展。
(二)量化考核,增强责任意识
一是按照“个性化评估,差异性考核”的原则,实施“自我评估、民主评议、考核小组评估”的“三级评估考核法”,进行量化评估考核;二是阶段性量化考核,以自我评估考核和考核小组评估考核为主,每季度一次,采用“浮动奖励机制”,对表现好的单位进行奖励;三是民主评议,采用“自我评价、群众评价、参与廉洁教育、谈心、互帮互助”等活动进行评议,充分发挥群众监督作用。
(三)责任追究,加大惩戒力度
【关键词】重大事项社会稳定风险评估第三方评估
当前,我国工业化、城镇化快速发展,社会转型不断推进,而由于管理理念及管理方式存在滞后性,社会管理与社会矛盾陷入一种疲于应付、被动治理的状态。因此,不论从理论还是从现实的角度出发,社会管理方式和理念的调整创新势在必行。近年来,社会管理领域的重大创新就是对重大事项开展社会稳定风险评估。
1.建立重大社会稳定风险评估制度的时代价值性
现如今社会矛盾日益凸显,贫富差距不断加大、分配不公、司法执行难、拆迁和征地等引起的、矿难和交通事故频发、信用危机、交易不安全、电信及信用卡诈骗等各类问题影响着社会稳定。探究其最根本原因是市场经济体系的逐步建立和社会各领域改革的不断深化导致利益冲突加剧,而我国体制加速了国家权力与公民权利失衡。党和政府对维稳工作高度重视,全国各地开始探索建立重大工程项目建设和重大政策制定的社会稳定风险评估机制。
通过“遂宁模式”对“重大事项”定义的界定可知,重大事项包括事关广大人民群众切身利益的重大决策,牵扯较多群众切身利益并被政府拟定为重点工程的重大项目,涉及相当数量群众切身利益的重大改革等。重大事项社会稳定风险评估制度是指,通过信息搜集、研判、制定预案等科学的分析预测方法,对可能出现的社会稳定风险提前进行预测、评估、研判、化解,并将评估结论作为各级党委政府及其部门推进改革建设的主要依据,以确保经济社会健康发展。
从2005年至今我国各级政府积极开展重大事项社会稳定风险评估制度的探索,取得了一定的成绩,但也存在诸多不足。中央只就政策层面提出了指导意见,还没有出台全国范围的、标准化的评估实施办法。各市、县(区)两级党委政府的相关部门主要负责制定风险评估实施细则、开展项目风险评估等具体工作主。这使得各地制定的方案更加科学、合理、因地制宜。促使在重大事项社会稳定风险评估机制领域涌现很多地方性的实践模式,如遂宁模式、淮安模式、平阳模式、沈阳模式、烟台模式等。同时各地对社会稳定风险评估的高度重视,甚至将维稳情况纳入到领导综合考核项目,提升维稳的时效性,从源头上解决社会矛盾,把被动维稳变为主动维稳。
虽然工作成效显著但存在的问题仍不容忽视。首先是评估范围及对象不确定,存在“当评不评”和“无须评而评”的现象。其次是与现行法律法规衔接存在漏洞。各地多将社会稳定风险评估作为一种行政行为,有些事项超出了行政许可项目及法规的范围,重大事项的社会稳定风险评估面临现行法律法规相衔接的问题。然后是社会评估主体资格不合理。评估主体运动员兼裁判员的多重身份,降低了评估结果的客观性、准确性与真实性。使得评估机制的优势没有得到充分的发挥。最后,由于评估程序不严格,评估质量很难得到保证。通过问卷调查、个体访谈、群体访谈等形式了解相关人群的诉求,组织公安、、司法等部门召开联合会议,针对风险的措施及可控性进行论证后,这一过程才能算是一个完整、规范的评估过程。但在实际落实中,往往没有规范实施或“走过场”,使得评估程序形同虚设。忽视人本原则,单纯对事不对人。
2.建立重大社会稳定风险评估制度的可行性路径
(1)进一步明确社会稳定风险评估在重大决策和建设项目中的重要性和必要性。
现阶段的社会稳定风险评估存在滞后性,即重大政策和建设项目的决策在前,社会稳定风险评估在后。而重大事项社会稳定风险评估中涉及的对重大政策和项目实施的合法性、合理性、重要依据具备的程度、重大事项实施过程对社会稳定的影响程度等多方面。重大事项社会稳定风险评估有力于政府重大决策和建设项目的决策符合国家的大政方针、符合执政理念、符合相关的法律、法规、现行政策、符合决策程序、符合合理的审批手续等。所以,提升社会稳定风险评估的地位尤为重要,要把其“略占地位”提到“战略地位”。全国各级政府应贯彻落实先进行社会稳定风险评估,在做出决策,使社会稳定风险评估制度真正服务于百姓、政府及全社会。各政府及相关部门在思想上要达成统一,明确建立重大事项社会稳定风险评估制度的意义,高度重视重大事项社会稳定风险评估的工作,结合地方实际情况完善制定重大事项社会稳定风险评估工作实施方案。杜绝少数地区工作缺乏主动性、敷衍了事的现象,消除部分地区重机制建设、轻运行操作的情况,防止推诿扯皮、工作“走过场”。
(2)培育第三方评估机构,确保评估主体更加合理。
社会稳定风险评估机制要实现其建立的目的,各级政府应将社会稳定风险评估任务委托给具有一定资质的第三方专业机构进行。重大事项社会稳定风险评估需要评估机构对该重大事项面临的社会风险等级作出准确的评估并提出合理的解决方案。要想作出合理的评估,前期就需要对该重大事项进行全面、真实的了解。这就需要一个具有中立身份和专业素养、业务能力的专业机构与利益群体进行有效的沟通,获得利益群体的信任及积极参与,进一步掌握相关群体态度、意见及建议。所以将社会稳定风险评估委托给具有资质的第三方专业评估机构,有利于提升社会稳定风险评估的公信力,更有利于提高社会稳定风险评估的专业化保障。第三方专业评估机构的介入,更有利于社会稳定风险评估的开展,但评估机构资格的确定也要同样引起重视。专业评估机构必须拥有一定数量的具有专业评估资格的评估师。这就需要各地方政府及相关部门建立风险评估的教育培训、考核考试体系。评估师的考核需要经过严格的资格认证考试。只有通过维稳部门组织的资格考试并获得由维稳部门颁发的资质证明的人员才可持证上岗。
(3)加快社会稳定风险评估中思想道德风险点和防范工作的确立。
由于时代的新变化和社会对人的全面发展的新要求,风险意识的浓郁及风险社会的到来,思想政治教育的社会价值应该如何体现出来已经成为一个重要的课题。当下我们清醒的认识到以人为本是风险社会中思想政治教育的社会价值。在社会稳定风险评估制度的建立中要高度重视思想道德风险点的确立,及时防范思想道德风险,才能更有利于社会稳定。在防范思想道德风险的工作中,要着力抓好党员干部的经常性学习教育、落实先进性教育长效机制、加强人文关怀,实施对各级领导干部思想作风、学风、工作作风、领导作风、生活作风方面的日常化监督。使各级干部群众争做“思想纯,守岗位;思想清,业务精;思想明,评估正”的合格公职人员。在防范思想道德风险,必须端正五种心态:一是对社会主义核心价值观要有坚定的信心。二是对评估事业要有热爱之心。三是对评估要有敬畏之心。坚持依法行政,秉公执法。四是对社会要有感恩之心。常怀感恩之心,才能自觉做好工作,回报社会。五是对腐败现象要有警惕之心。而如何体现思想政治教育的社会价值还要从多方面开展工作。首先,广泛听取意见。要采取召开座谈会、重点走访、问卷调查、民意测评等多种方法,广泛听取利益各方的意见,特别是要听取广大人民群众的意见和建议。其次,准确把握群众对评估事项的反应及心理动态。对风险社会中的思想政治教育的社会价值以新的诉求。侧重道德教育,稳定社会秩序。注重心理健康教育,促进人的全面健康。最后,在重大事项社会稳定风险评估中按照思想政治教育的原则,制定合理全面的风险评估的内容,有利于减少风险发生的机率,从而提高了社会稳定风险评估的效率。
(4)加强对社会稳定风险评估主体和决策主体的问责。
社会稳定风险评估领域的问责制是保证社会稳定风险评估不“走过场”的重要途径。建立健全“属地管理、分级负责”的社会稳定风险评估责任主体认定原则。建立责任倒查制度,保证评估机制落到实处。专业机构进行评估的项目,要报维稳部门进行备案,同时维稳部门还要定期对专业机构进行检查,定期组织评估师进行学习。如果专业评估机构上报的评估材料存在严重错误同时引发群访、群聚等严重事件后,维稳部门要对专业评估机构进行处罚,事件严重的情况可吊销机构的评估资格。同时要追查到人,严重者可取消其评估师资格。在评估过程中存在搞形式主义、弄虚作假的现象,维稳部门也要对专业评估机构提出警告,严重者吊销其评估资格。
这次会议是经县委、县政府批准召开的一次重要会议,也是在7月份以来,全省接连发生几起影响社会稳定的和个人极端事件的背景下召开的一次重要会议。会议的主要任务是,深入贯彻落实全省淮安工作会议精神,研究部署当前和今后一个时期全县深入推进社会稳定风险评估工作。刚才,卢县长作了一个很好的报告,认真分析了当前社会稳定工作所面临的严峻形势,并对下一步如何做好社会稳定风险评估工作作了动员和部署,我完全赞同,请各地、各部门认真抓好贯彻落实。开发区、丰利镇作为我县风险评估工作试点单位,前期进行了大量的探索和实践,给我们积累了很多宝贵的经验,刚才两家单位的交流汇报,一定也带给大家很多的启发。
近期来,省、市、县对当前社会稳定和安全生产工作高度重视,8月2日,省里召开各市主要负责人会议,省委常委、政法委书记林祥国通报了我省社会稳定形势,指出了我省征地拆迁矛盾突出、企业干部等涉军群体活动频繁、涉及企业的不稳定因素明显增多、个人极端事件是有发生等主要社会矛盾和问题,重点通报了无锡“7.4”客车放火案件(7月4日晚11点,无锡雪丰钢铁有限公司职工董某,因琐事滋生怨恨,对公司夜班接送车纵火,当场死亡24人,19人不同程度受伤,自身也在纵火作案中身亡)、因征地拆迁补偿引发的(高新区通安镇等地部分老动迁户因因对该镇拆迁补偿政策变动不满,多次聚集在镇政府和集镇上,要求当地政府对他们前几年的拆迁以现行政策给予差额补偿,引发,党委书记和镇长被就地免职)、南京“7.28”丙烯管理泄漏爆燃重大事故(原南京塑料四厂的丙烯泄露明火引发特大爆炸,造成13人死亡、120多人住院治疗,初步认定事故发生的主要原因是,施工安全管理缺失,施工队伍盲目施工,挖穿地下丙烯管道,造成管道内存有的液态丙烯泄漏。泄漏的丙烯蒸发扩散后,遇到明火引发大范围空间爆炸,同时在管道泄漏点引发大火),会上罗省长对当前社会稳定和安全生产工作作了具体部署,梁书记也作了重要讲话。8月3日,市委召开常委扩大会议,丁市长传达了省里会议精神,罗书记作了重要讲话,要求各地、各部门要充分认清形势,居安思危,在以上重大事件中汲取教训、举一反三,对社会稳定及安全生产工作要抓早、抓小、抓细、抓紧、抓严、抓实。8月5日,县委召开常委扩大会议,周书记传达了省市会议精神,要求各地、各部门高度重视社会稳定工作,真正做到入心入脑,要立足当前,深入排查化解各类社会矛盾和安全隐患,在重点行业、重点部门全面建立社会稳定风险评估机制,防患于未然。下面,我结合的形势,再讲三点意见:
一、统一思想,站在政治和全局的高度充分认识开展社会稳定风险评估工作的重要意义
开展社会稳定风险评估工作,是从根本上维护群众切身利益,促发展促和谐,从源头上预防并减少社会矛盾和不稳定因素的有效措施,是将“矛盾发现在早、纠纷处置在小、问题解决在无声无息”的前置动作。中央和省、市对开展社会稳定风险评估工作提出了一系列明确要求。总书记、同志多次在会议上强调,要求抓紧建立社会稳定风险评估机制,提高对社会矛盾早发现、早化解、早处置的能力。4月份,省委、省政府在淮安专题召开全省深入推进社会稳定风险评估工作会议,要求各地紧紧围绕解决影响社会和谐稳定的源头性问题,建立“党委统一领导、政府组织实施、主管部门具体负责、综治维稳部门指导考核”的组织领导体制和运行机制。对此,县两办也专题下发了东办发[2010]87号《关于积极开展社会稳定风险评估工作意见的通知》,对如何开展社会稳定风险评估工作提出了明确要求。各地、各部门要从维护社会和谐稳定的大局出发,进一步统一思想,更新观念,充分认识开展社会稳定风险评估工作的重要性、必要性,把风险评估作为科学决策、项目实施的前置条件,摆上与环评、安评同等重要的位置,切实增强工作的责任感和使命感。
开展社会稳定风险评估工作,是实现全县经济社会健康可持续发展的客观要求。近年来,在国内外经济形势十分复杂的情况下,我县经济社会始终保持了良好的发展态势,招商引资、工业经济、港口开发、城市和交通基础设施建设、新农村建设等重点工作稳步推进,经济总量不断攀升。长安建设、法治建设扎实推进,大调解、大防控、基层基础建设、政法队伍建设进一步加强,社会形势平稳可控。但我们也应清醒地看到,伴随着经济转轨、社会转型和利益格局和不断调整,影响社会和谐稳定和源头性、根本性、基础性问题还大量存在,各种利益诉求引发的社会矛盾多发高发,各种不安定因素、不稳定因素明显增多。近期发生在苏南的几起事件,既是全省发展阶段性特征在社会领域的集中反映,也暴露出工作中的薄弱环节和不容忽视的问题,这些沉痛的教训昭示我们,经济发展好了,不等于社会就自然而然稳定了;今天平安无事,不等于以后永远太平。这就要求我们要未雨绸缪,全面建立社会稳定风险评估机制,把维稳的关口前移,从政策制定、项目审定等决策环节,对可能引发影响社会稳定的问题,进行先期预测、先期研判和先期应对,通过充分预测风险、预防化解风险,不仅能最大限度地避免和减少因决策不慎重、时机不成熟操作不规范引发社会矛盾和,而且有利于决策项目的顺利实施,真正从源头上有效预防和减少社会矛盾,保障和促进经济社会又好又快发展。
开展社会稳定风险评估工作,是提高各级党委、政府决策科学化和民主化水平的重要途径。反观一些地区发生的,我们不难发生,有些事件就是由于一些地区、部门、单位在作决策、上项目、定事项考虑不周全,决策不科学、不民主造成的。这些决策性、政策性矛盾一旦发生,仅仅依靠事后调解,解决问题的难度很大,而且耗费成本高,有时还会造成不良的社会影响,云南孟连事件、贵州瓮安事件、河北定州事件等等,哪一件不是处理了好多年还得不到根本解决,给当地的发展和群众的生活造成了巨大的影响。开展社会稳定风险评估,对涉及群众利益的重大决策事项可能出现的不稳定因素,开展事前科学系统的预测、分析、论证,广泛征求意见,进行稳定风险评估,使制定的各项政策能够立足现实、着眼长远,既符合新形势新任务的要求,又切合本地区、本部门的客观实际,有利于各级党委和政府科学决策、民主决策、依法决策,提高执政能力、改善执政方式,切实做到权为民所用、情为民所系、利为民所谋。
开展社会稳定风险评估工作,是预防和解决突出问题的重要保证。定政策、作决策不尊重客观规律,不符合本地区实际,损害人民群众利益,是引发问题的重要原因。对涉及群众利益的重大决策事项进行稳定风险评估,始终把人民赞成不赞成、拥护不拥护、满意不满意作为检验党委和政府决策正确与否的根本标准,有利于查找造成问题的原因,从源头上预防和解决突出问题,有利于正确反映和兼顾不同方面群众的利益,最大限度地增加和谐因素,最大限度地减少不和谐因素,实现人与自然的和谐、人与社会的和谐、人与人的和谐。
二、明确任务,准确把握深入推进社会稳定风险评估工作的指导思想和基本要求
当前和今后一段时期,全县深入推进社会稳定风险评估工作的指导思想是:以邓小平理论和“三个代表”重要思想为指导,深入贯彻落实科学发展观,按照中央关于深入推进社会矛盾化解工作的要求,紧紧围绕解决影响社会和谐稳定的源头性问题,建立“党委统一领导、政府组织实施、主管部门具体负责、综治维稳部门指导考核”的组织领导体制和运行机制,将社会稳定风险评估作为出台重大决策、项目、事项的前置程序,从源头上预防社会矛盾纠纷的发生,最大限度地增加和谐因素,最大限度地减少不和谐因素,真正变“保稳定”为“促稳定”。
深入推进社会稳定风险评估工作的目标任务:一是实现社会稳定风险评估对重大决策、项目、事项的全覆盖。在企业改制、征地拆迁、涉农利益、教育、医疗、环境保护、安全生产、食品药品安全、城乡建设、劳动保障、社会管理等容易引发社会矛盾的重点领域全面实施社会稳定风险评估。二是社会稳定风险评估工作制度全面建立。社会稳定风险评估的事项范围、评估内容、程序方法、结果运用得到规范,形成社会稳定风险评估工作长效机制。三是从源头上预防社会矛盾的能力明显增强。对重大决策、项目、事项的社会稳定风险因素实现预知预防,做到“四个不出台、一个最低限度”,即违反法律法规、违和国家方针政策的不出台,侵犯群众利益、与民争利的不出台,存在大量矛盾和问题又不能解决的不出台,群众思想工作没有做好、可能引起局部社会震动的不出台;因出台实施重大决策、项目、事项引发的社会矛盾减少到最低限度。
深入推进社会稳定风险评估工作,要正确把握以下基本原则:(一)党委、政府主导原则。各级党委要把开展社会稳定风险评估工作作为执政为民的重要体现,作为维护社会稳定、促进社会和谐的重要举措,切实加强领导。要进行正确引导,坚持把工作的出发点放在维护群众切身利益、促进改革发展上,放在解决影响社会和谐稳定的源头性问题上。各级政府要加大社会稳定风险评估工作的实施力度,组织相关部门研究建立社会稳定风险评估工作制度和机制,及时解决工作中遇到的困难和问题,提供必要的工作保障。(二)“谁主管谁负责”原则。重大决策、项目、事项的主管部门是社会稳定风险评估的责任主体,即由重大决策的决策部门、重大项目的审批部门、重大事项的决定部门,负责对重大决策、项目或事项开展社会稳定风险评估,并对评估结论负责。政府决定的重大决策、项目、事项,由政府直接组织实施社会稳定风险评估。(三)客观公正原则。要充分听取利益相关方的意见,进行科学的分析研判和预测论证,如实反映重大决策、项目、事项的社会稳定风险程度,统筹兼顾各方利益,实事求是、客观公正地作出评估意见。
开展社会稳定风险评估工作,要突出以下三个方面:一是容易引发社会矛盾的重大决策。包括涉及重点领域的重大政策、改革改制方案、社会管理措施以及建设规划的出台等。二是容易引发社会矛盾的重大项目。包括重大基础设施项目、公益性项目、工业项目,房地产开发项目以及其他重大工程建设项目等。三是容易引发社会矛盾的其他重大事项。包括涉及面广、情况比较复杂的大型活动,上级确定的重大决策、项目在本地实施的方案等。对重大决策、项目、事项,要围绕以下主要内容开展社会稳定风险评估:第一,要对合法性进行评估。主要看这些重大决策、项目、事项符不符合法律法规的规定,符不符合党和国家的方针政策等。第二,要对合理性进行评估。主要评估重大决策、项目、事项符不符合科学发展观的要求,是不是保持了政策的连续性、稳定性和协调性,是否反映了绝大多数群众的意愿,是不是兼顾到各方面群体的利益,有没有平衡群众的现实利益与长远利益,会不会引起相关地区、部门、行业及类似群体的攀比等。第三,要对可行性进行评估。主要评估重大决策、项目、事项出台的时机成熟不成熟,与本地经济社会发展总体水平是否相适应,所需人力、财力、物力在不在可承受范围内等。第四,要对安全性进行评估。主要评估重大决策、项目、事项出台实施后会不会引发重大社会矛盾等影响社会稳定的隐患,这些隐患能不能得到有效消除等。
开展社会稳定风险评估工作,要按照规范化的要求,明确方法步骤,严密工作程序,确保评估质量。工作中要注重抓好以下几个主要环节:一是制定评估方案。科学合理的评估方案是做好社会稳定风险评估的重要前提。对需要进行社会稳定风险评估的重大决策、项目、事项,要由评估责任主体牵头,组织有关部门和单位,成立专门的评估小组,根据评估的要求、原则和评估事项的特点,认真制定评估方案,明确评估具体内容、方法步骤和时限要求,保证评估工作有效开展。二是广泛听取意见。充分听取、了解利益各方、社会各界和广大群众对重大决策、项目、事项的反应,是做好社会稳定风险评估的基础。只有全面掌握各方面对评估事项的意见,才能预知预防社会稳定风险。要采取召开座谈会、重点走访、问卷调查、民意测评等多种方法,广泛听取利益各方的意见,特别是要听取广大人民群众的意见和建议。对专业性较强的评估事项,要按照有关法律法规的规定,组织相关群众和专家进行听证论证。要充分发挥人大代表、政协委员和基层组织联系群众的优势,准确把握群众对评估事项的反应及心理动态。三是分析研判预测风险。这是做好社会稳定风险评估的关键。要在全面收集掌握情况信息的基础上,对评估事项可能引发的社会矛盾所涉及的人员、范围和剧烈程度进行稳定风险分析预测和等级评估。要提高分析预测的准确性、科学性,有的可以组织相关专家进行分析研判,对于特别重大事项,可以综合运用多种研判方式,相互印证。矛盾化解部门、风险处置部门、维稳部门要积极参与,对评估事项产生稳定风险的可能性和风险的可控性进行深入分析研判。必要时可以吸收有关利益方参与研判,使分析研判预测风险的过程,成为统一思想、增进共识、消除分歧的过程。四是作出评估结论。对经社会稳定风险评估的重大决策、项目和事项,由评估小组形成评估报告,根据社会稳定风险大小和可控程度提出评估意见,评估责任主体部门或单位对评估报告进行审核。五是制定风险化解方案。凡决定实施的重大决策、项目和事项,都要制定风险化解方案,落实工作责任和措施,对存在的矛盾隐患进行有效化解,同时,要针对实施过程中可能出现的风险,制定处置预案,做好应对准备。六是跟踪督查督办。对经社会稳定风险评估后付诸实施的重大决策、项目和事项,有关责任部门、单位要全程跟踪掌握稳定风险化解和维稳预案落实情况,对评估事项在实施过程中出现的新矛盾、新问题,主管责任部门要及时研究,及时调整完善维稳措施,确保将各类不稳定隐患消除在萌芽状态和初始阶段。
要特别注重强化社会稳定风险评估的结果运用,对经评估确定社会稳定风险较小、实施条件比较成熟、已决定实施的重大决策、项目和事项,要统一思想认识,加强宣传发动,依照风险控制预案有计划地推进实施;对经评估认为存在一定社会稳定风险、实施条件尚不具备的,要暂缓决策或审批,有关方面要调整完善原有方案,待条件成熟、风险因素消除后重新报请实施;对于一些较为紧迫、客观上确需付诸实施,但又存在较大风险的,要在落实预防化解措施的基础上稳妥推进;对经评估认为存在重大社会稳定风险、不符合相关条件的,坚决不予实施。
三、严格责任,切实加强对社会稳定风险评估工作的组织领导
开展社会稳定风险评估是化解社会矛盾的源头预防工程,任务重,要求高,难度大。各地、各部门一定要高度重视,精心组织,周密部署,狠抓落实,确保全县社会稳定风险评估工作取得新成效、迈上新台阶。
一要加大组织推进力度。从现在起,全县力争用半年时间,建立健全社会稳定风险评估工作机制,年底前全县消除空白地区,要在所有容易引发社会矛盾的重点领域全面实施社会稳定风险评估工作,努力做到“应评尽评”;各地、各有关部门要认真贯彻东办发[2010]87号文件精神,迅速动员、强力推进,确保今年这项工作全面推开。各地要结合实际,加强组织领导,分解目标任务,把工作落实到具体部门和单位。要明确分管领导,确定相关人员承担这项工作,不断提高风险评估工作水平。要建立社会稳定风险评估项目报备制度,相关部门和单位要定期梳理,确定需要评估的项目,制定评估方案,并及时向县维护稳定工作领导小组办公室报备。
二要加大工作指导力度。各地、各部门领导要经常深入基层,加强检查指导,及时研究解决工作中存在的实际困难和问题。要积极探索风险评估方法、工作运行机制,注意发现和培育典型,总结推广经验,充分发挥先进典型的示范、引领作用。通过组织开展社会稳定风险评估工作示范镇(区)、示范部门(行业)建设等活动,引领社会稳定风险评估工作向纵深发展。发改委、经信委、住建局、人社局、卫生局、国土局、教育局、交通运输局、环保局等部门都要根据行业特点,研究制定本部门、本系统开展社会稳定风险评估工作的具体意见和实施办法,加强工作指导,积极组织实施。对涉及多个部门的重大决策、项目和事项,相关部门要配合主管部门,共同做好评估工作。
Information Security Management of Digital Libraries Based on the ISO 27001:2013 and ISO 27002:2013
Abstract The 2013 version of ISO 27000 standards was compared with that of 2005 and the influence of the standards change on risk assessment and risk control of digital library information security was analyzed, and then it is pointed out that the information security risk assessment method and model of digital library based on version 2005 can be used in version 2013. Based on the analysis of the core control elements and reference ones one by one, this article built the information security risk control method of the digital library according to the new version standards.
Key words digital library; information security; ISO 27000; ISO 27001; ISO 27002; risk management
1 引言
ISO 27000标准族是目前国际上最为通行的信息安全管理体系指导标准和最佳实践。在ISO网站能查到的最新统计数据截止到2013年底,全球通过ISO 27000认证的机构总共有22293个,涉及100多个国家,且认证数量保持每年两位数的增长速度[1]。2008年,ISO 27000标准族的主标准ISO 27001:2005和ISO 27002:2005分别对应转化为中国国家标准GB/T 22080-2008和GB/T 22081-2008,用于国内机构的信息安全管理体系建设和认证[2]。综合考虑数字图书馆的业务流程和信息安全管理要求,遵循ISO 27000是数字图书馆信息安全管理实践包括落实信息安全等级保护条例的最佳选择[3]。按照ISO 27000的思想,数字图书馆信息安全管理应该包括风险评估和风险控制两大过程。其中,风险评估用于识别数字图书馆所面临的安全风险,并计算具体风险的等级值作为实施风险控制的依据。风险控制则根据风险评估的结果选择和实施适合的安全控制措施,目的是将风险始终控制在数字图书馆可以接受的范围内[4]。风险评估和风险控制在ISO 27000标准族中分别对应于ISO 27001和ISO 27002两个主标准,在已的版本中有2005和2013两个版本。此前,根据2005年的ISO 27001:2005与ISO 27002:2005的思想和原则,国内已经在数字图书馆信息安全风险管理的过程方法、风险评估方法模型以及核心控制要素等方面提出了一系列的解决方案[5-8]。
而在2013年的ISO 27001:2013和ISO 27002:2013中,对信息安全风险管理又提出了新的要求。数字图书馆信息安全管理有必要适应新版标准的变化,根据2013版ISO 27000标准族的要求对风险评估与风险控制过程进行相应的调整。
本文的研究目的在于对比2013版与2005版ISO 27000标准族的差异,分析2013版ISO 27000的思想、特点、框架、内容等方面的变化及对数字图书馆信息安全风险评估和风险控制的影响,进而指导新版国际标准下的数字图书馆信息安全风险管理的具体实践。
2 2013版ISO27000标准族的特点
2013年10月19日,在ISO 27001:2005使用了8年后,业界期待已久的新版信息安全管理体系ISO 27001:2013正式,ISO 27002:2005也随后同步更新为ISO 27002:2013,ISO 27000标准族的两个主标准都更新到位。ISO 27003、27004、27005等相关标准亦正在修订之中。较之2005版,ISO 27001:2013和ISO 27002:2013标准从框架、结构、内容、逻辑、要求等方面均有大幅改进,为指导组织建立、实施、保持和持续改进信息安全管理体系规定了要求,并提供了更加灵活的实施空间[9]。相比之下,新标准更贴合实际,具备更强的可操作性,其主要特点有:
(1)结构上有重大变动。新版ISO 27001:2013采用了标准化的ISO Annex SL通用架构――ISO导则83 作为整个标准的结构性要求(同ISO 22301)[9]。ISO 27001从2008版的8章拓展到2013版的10章,并且对于PDCA过程方法的展开从章节架构上进行了调整。在ISO 27001:2013中,除了前三章节(范围、规范性引用文件、术语和定义)没有大的变化外,其它章节都进行了调整,包括完整的Plan(计划)、Do(运行)、Check(检查)、Act(改进)四个环节[10]。经过上述调整,ISO 27001:2013的结构更为清晰、严谨,在管理体系间的兼容性方面得到加强,有利于不同管理体系间的接轨与整合。ISO 27002:2013则删除了ISO 27002:2005中的第4章“风险评估与处置”,新增加了第2章“规范性引用文件”,使得安全控制域分章描述前的章节仍保持为4章。同时,因为增加了3个控制域,总章节数从15章增加到18章。
(2)定位上有所区别。ISO 27001:2005指出,组织的信息安全管理应由该组织的管理层负责,而ISO 27001:2013则强调,信息安全由组织的最高管理者负责。两个版本用词上的细微区别,反映的却是新版标准对信息安全的定位在战略意义上的提升[11]。另外,在信息安全管理体系构建主体方面,ISO 27001:2005以资产和技术为主体,而ISO 27001:2013以组织业务关系为主体[12]。以组织业务关系为主体,将使信息安全管理体系的构建流程更为连贯合理,并且可以减少交叉重复。老版标准浓墨重彩地强调了过程方法和PDCA,而新版标准在继续遵循PDCA框架的前提下不再花大量的篇幅说明过程方法、模型这些其它标准中定义过的通用概念,而是重在提出目标要求,对PDCA框架下具体方法的选择不作规定[11]。同样,在风险评估的方法方面,新标准不再强调对资产、威胁、脆弱性等风险要素的识别,组织可以根据自身情况,灵活自由地选用任意可行的风险评估方法,或继续使用现行的方法[9]。可见,新版标准从管理者、主体、方法流程方面都做了重新定位,新的定位使操作更加实用、方便、灵活和有效。
(3)要求上有所改进。2005版共有11个控制域、39个安全类别、133项控制要素,而ISO 27001:2013附录A和ISO 27002:2013的正文严格对应,包含了14个控制域、35个安全类别、113项控制要素。新版标准对老版中的部分控制域进行了分解,对相近或类似的控制要素进行了整合,同时删除了部分过时的、过于具体的控制要素[9]。另外,针对近几年信息技术的发展,新增了部分控制要素,使得控制域和控制要素更加简洁明了并突显重点。同时,对检查的要求也更加明确和严格,要求包括监视、测量、分析、评价等环节,并以5W1H(测什么、如何测、何时测、何时分析、谁来分析、谁负责评价)等方式提出了监视和测量的要求[9]。整体而言,新版标准减少了对技术实现的关注,增加了对管理控制的要求,与信息安全领域“三分技术、七分管理”的黄金定律更加吻合。
3 新标准要求下的数字图书馆信息安全风险评估
2005版和2013版的ISO 27000标准族都把信息安全风险管理划分为风险评估和风险控制两个过程。而且,新老版本的标准又都把风险评估概括为建立准则、选择方法、识别风险、分析风险、评价风险5个环节。在ISO 27001:2005中,对风险评估的具体方法没有作详细规定,但整个风险识别与风险分析过程是依托于对资产价值、威胁、脆弱性、已实施的风险控制措施4种风险要素的识别、赋值和计算展开的。实际评估过程中,常常把已实施的风险控制措施的效果合并到脆弱性的识别、赋值与计算中。因此,遵循ISO 27001:2005标准实施的风险评估过程是以资产、威胁、脆弱性的识别、赋值、计算为核心的。在此基础上,可以再依据选定的风险评估方法和模型计算出各风险项的风险值,并确定可接受风险与不可接受风险,对不可接受风险依照ISO 27002:2005规定的方法进入风险控制过程。
依据ISO 27001:2005的规范,已经有学者对数字图书馆的信息安全风险评估制定了详细的资产、威胁、脆弱性素识别、赋值与计算方法[4-5]。通过理论分析与实际评估结果的比较,还选定了与ISO 27001:2005相容的GB/T 20984-2007中的相乘法作为数字图书馆风险评估的具体方法与计算模型[7]。可以说,以ISO 27001:2005的要求、原则与规范为准绳,数字图书馆已经形成了以资产、威胁、脆弱性等风险要素为核心的包括信息安全风险评估全过程的完整行为准则、操作规范及具体评估方法与计算模型。
与ISO 27001:2005不同,ISO 27001:2013在风险识别和风险分析过程中不再强调资产价值、威胁、脆弱性、已实施的控制措施等风险要素,这意味着任何组织在依照ISO 27001:2013评估信息安全风险时,只须最终结果达到ISO 27001:2013的要求即可,在具体方法的选用方面可以更加宽泛和灵活。换句话说,符合ISO 27001:2013评估目的与要求的任意方法都是允许和可接受的,选用之前的方法包括ISO 27001:2005中推荐方法当然也是可行的。ISO 27001:2013在指导制定和实施信息安全管理体系过程中多次强调组织需要、组织要求,风险评估的过程方法可繁可简,完全取决于组织的需要和要求。组织可以根据自身的情况,选用合适的风险评估方法,或继续使用现行的方法[9]。
ISO 27001:2013虽然放弃了对风险评估具体方法和过程的推荐,并多次强调只须达到组织的需要与要求即可,但对ISO 27001:2005中的方法却并不排斥。具体到数字图书馆的信息安全风险评估,既然依照ISO 27001:2005中的方法已经形成了完整和可操作的风险评估具体方法,并经过实际评估证明可行,同时又满足了ISO 27001:2013的所有要求,因此,在新版ISO 27000标准族要求下,数字图书馆信息安全风险评估无需变动,可采用之前依据ISO 27001:2005制定的方法与过程。
4 新老标准中的信息安全风险控制及数字图书馆控制要素的选取
4.1 新老标准中的控制域、安全类别与控制要素对比
2005版标准中共有11个控制域,2013版改为14个控制域。其中,保持不变的有“安全方针”“信息安全组织”“资产管理”“人力资源管理”“物理和环境安全”“访问控制”“信息安全事件管理”“业务连续性管理”“符合性”等9个控制域,“通信与操作管理”控制域在新标准中被拆分为“操作安全”和“通信安全”2项,“信息系统获取、开发和维护”在新标准中被拆分成“密码”与“系统获取、开发和维护”两项。新标准还新增了“供应关系”控制域[10-11]。
在安全类别方面,2005版共有39项安全类别,2013版减少为35项安全类别。在新版标准中,2005版中的安全类别有的完全保留、有的被拆分成多个、有的多个被整合成一个,还有的被直接删去。2013版标准中完全新增的安全类别有3项,它们是:移动设备和远程办公、供应商关系中的信息安全、冗余。
在控制要素方面,2005版共有133项控制要素,2013版减少为113项控制要素。同样,在新版标准中,2005版中的控制要素有的完全保留、有的名称或内容略有变化、有的被拆分成多个、有的调整了所属控制域,还有的被直接删去。
4.2 数字图书馆风险控制要素的筛选及在新老标准中的对应关系
基于2005版ISO 27001的附录A和ISO 27002的正文,通过对30家数字图书馆的实际调查,文献[4]得到了适合数字图书馆的风险控制87项核心控制要素,分布于11个控制域和33个安全类别,另有参考控制要素34项,分布于10个控制域和22个安全类别。所谓核心控制要素,是指对数字图书馆信息安全风险控制非常重要、作用很大的控制要素。而参考控制要素,则是重要性一般、有时会有一定作用的控制要素。除此之外的即为ISO 27002中对数字图书馆不起作用或没有应用场所的控制要素,不应该出现在数字图书馆风险控制的控制要素列表中。数字图书馆控制要素选取的目标就是区分这三类控制要素,数字图书馆风险控制要素列表中仅包含核心控制要素与参考控制要素[4]。
对2013版与2005版ISO 27001的附录A和ISO 27002的正文经过逐条、逐项进行关联对照和分析,寻找上述87项核心控制要素、34项参考控制要素在新版标准中的对应位置,再对2013版的新增控制要素作认真分析,并结合数字图书馆信息安全管理的现实情况,最终得到ISO 27002:2013标准下数字图书馆的核心控制要素和参考控制要素。其中,核心控制要素75项,分布于13个控制域和29个控制类别,参考控制要素32项,分布于11个控制域和17个安全类别(见表1、表2)。
5 新老标准中的数字图书馆风险控制要素对比分析
5.1 新老标准中的数字图书馆信息安全管理核心控制要素对比分析
数字图书馆核心控制要素在新老标准中的变化共有4种情况:删除、保留、新增和调整。
因为已经从2013版中被删除,那些已删除的核心控制要素在表1并没有出现。之前根据2005版标准得到的87项数字图书馆核心控制要素中,有21项未收入2013版标准,因此,数字图书馆的核心控制要素应该将这21项删去。21项被删去的核心控制要素具体名称为:
信息安全的管理承诺、信息安全协调、与政府部门的联系、服务交付、控制移动代码、信息处理规程、系统文件安全、业务信息系统、监视系统的使用、故障日志、外部连接的用户鉴别、远程诊断和配置端口的保护、网络连接控制、网络路由控制、用户标识和鉴别、敏感系统隔离、输入数据确认、内部处理的控制、消息完整性、信息泄露、业务连续性和风险评估。
保留的核心控制要素在表1中用“完全对应”表示。在基于新版标准的75项数字图书馆核心控制要素中共有42项的名称、详细内容、控制目标及控制域归类等与老版标准完全一致。按照老版标准的筛选依据[6],该42项控制要素仍旧属于数字图书馆的核心控制要素(见表1)。
新增的核心控制要素在表1中用“新增”表示。2013版新增各项控制要素中,有7项应该作为数字图书馆的核心控制要素。具体内容与理由如下:
(1)用户访问设置。数字图书馆的用户类型多样,如馆员和读者,馆员和读者又可以再分为多种类型,每一类用户都存在对应的访问权限设置问题。明确规定不同用户的访问权限并有正式的用户设置过程非常有必要。因此,将“用户访问设置”确定为核心控制要素。
(2)供应商关系的信息安全策略、供应协议中的安全问题、信息与通信技术供应链。数字图书馆的电子资源、硬件设备、系统平台以及网络服务等工作均涉及采购或外包,期间与各类供应商的合作非常密切,应该与供应商就信息安全问题达成一致并形成文件,建立相关的信息安全要求,并在协议中确定相关的信息安全风险要求,以确保数字图书馆与供应商合作关系中的信息安全。因此,将“供应商关系的信息安全策略”“供应商协议中的安全问题”“信息与通信技术供应链”确定为核心控制要素。
(3)信息安全事件的评估和确定、信息安全事件的响应。对于任何组织而言,都应该对已经发生的信息安全高度重视。数字图书馆也不例外,应该及时地评估确定已发生的信息安全事件并按照一定的程序予以处理,使信息安全事件的影响和损失最小化。因此,将“信息安全事件的评估和确定”“信息安全事件的响应”确定为核心控制要素。
(4)信息处理设施的可用性。与数字图书馆有关的服务器、存储、网络、电源等信息处理设施都应该有充分冗余,以确保在任何变化和状况下都能满足其可用性的要求。因此,将“信息处理设施的可用性”确定为核心控制要素。
调整的情况最复杂,在表1中的“名称变化、内容一致”“名称变化、描述略变”“调整归类”“拆分”4种情况都属于调整。基于2005版ISO 27001和ISO 27002得到的数字图书馆信息安全87项核心控制要素中,有26项经过一定的调整后依旧出现在2013版的标准中,这些控制要素仍是数字图书馆信息安全管理的核心控制要素。调整变化主要有三种形式:名称改变而内容表述完全一致、名称改变且内容表述略有变化、控制要素的控制域归类发生变化。
名称改变、内容表述完全一致、控制域归类也完全一致的核心控制要素共有8项(见表1)。
名称改变且内容表述也略有变化、但控制域归类完全一致的核心控制要素共有7项。包括有(括号前的为2013版中的编号与名称,括号中为2005版中的编号与名称):①3.3.1终止或责任变更(4.2.1终止职责),新标准中强调对于责任终止和变更情况不仅要有规定,还应该传达给所有相关人员知晓;②5.2.4用户秘密认证信息的管理(7.2.3用户口令管理)、5.3.1秘密认证信息的使用(7.3.1口令使用),新标准中用户认证信息的范围不仅包括口令,还包括密钥数据和其他存储在产生认证码的硬件(如智能卡)的数据;③5.4.4特权实用程序的使用(7.5.4系统实用工具的使用),新标准中将限制和严格控制的范围缩小在可能超越、有特权的系统和应用程序中;④11.1.6从信息安全事件中学习(9.2.2对信息安全事件的总结),老的标准强调从安全事件中学习总结的方法,而新标准强调的是结果,要从中获取知识、减少未来相关事件发生的可能性;⑤12.1.1计划信息安全连续性(10.1.1在业务连续性管理过程中包含信息安全),新标准更加细化,强调即便在不利的情况下(如危机或灾难)也要确保信息安全管理的连续性;⑥12.1.2实施信息安全的连续性(10.1.3制定和实施包含信息安全的连续性计划),老标准强调在关键业务流程中断和失效时要保持信息安全,而新标准则强调在任何不利的情况下都要保持信息安全的连续性。
控制域归类发生变化的核心控制要素共有11项(见表1)。其中,“2.1.2职责分割”是将老标准中“2信息安全组织”中的核心控制要素“信息处理设施的授权过程”和“6通信和操作管理”中的参考控制要素“责任分割”中的要求进行合并,且改名为“职责分割”,统一置放于控制域“2信息安全组织”中,该项控制要素从组织的宏观层面强调各类职责和权限的分割,以降低对组织资产的滥用。而“2.2.1移动设备策略”是将老标准中“7访问控制”中的参考控制要素“移动计算和通讯”调整到控制域“2信息安全组织”中,且改名为“移动设备策略”。对于数字图书馆而言,随着移动网络的发展普及,数字图书馆的业务流程也逐步到移动终端,应该加强相关管理措施,因此调整为核心控制要素。其他9项控制要素的名称和内容没有变化,而其控制域归类发生了变化(见表3)。该9项控制要素在2005版中就属于核心控制要素,因此在2013版中仍保留为数字图书馆的核心控制要素。
5.2 新老标准中的数字图书馆信息安全管理参考控制要素对比分析
数字图书馆参考控制要素在新老标准中的变化共有5种情况:删除、保留、新增、拆分和调整。
2005版的数字图书馆参考控制要素中有10项未出现在2013版的数字图书馆参考控制要素中。其中,“移动计算和通讯”“责任分割”2项在2013版中被调整为核心控制要素。“处理与顾客有关的安全问题”“防止滥用信息处理设施”“会话超时”“联机时间的限定”“输出数据确认”“网络上的设备标识”“信息系统审计工具的保护”“业务连续性计划框架”8项被2013版标准删除,故也未出现在新版的数字图书馆参考控制要素中。
保留的参考控制要素用“完全对应”表示,共有16项。
新增的参考控制要素用“新增”表示,共有7项。具体内容与理由如下:
(1)项目管理中的信息安全、安全开发策略、安全系统工程原则、安全开发环境、系统安全测试。上述5项控制要素更倾向于在系统工程、项目开发或软件研发的过程中对信息安全管理、环境、测试等方面的要求,而数字图书馆本身自行开发的项目工程比较少,无须在这方面作严格的要求。因此,上述5项控制要素列入参考控制要素。
(2)时钟同步。对于系统的监视与日志分析有较大的帮助,“时钟同步”可以作为参考控制要素加以限制。
(3)限制软件安装。该项控制要素要求组织制定软件安装管理规则,并严格执行和监督,而数字图书馆的员工因工作性质的不同对软件安装的要求差异较大,实际工作中可以列出禁止安装的软件清单(如游戏软件)或必须安装的软件清单(如安全防护软件),不需要规定只能安装哪些软件。因此,“限制软件安装”可作为参考控制要素。
拆分的参考控制要素用“拆分”表示。2005版的数字图书馆参考控制要素中只有“信息标识与处置”存在这种情况,该项控制要素在2013版中被拆分为“信息的标记”“资产的处置”2项。
调整参考控制要素有“名称变化,描述略变”和“名称变化,内容一致”两种表现,共有7项。其中,“名称变化,描述略变”的有2项,“名称变化,内容一致”的有5项。
关键词:深化 风险评估 实践 探索
一、风险评估开展背景
杭州华电半山发电有限公司(以下简称“半电公司”)是一家有着50多年历史的发电企业,长期以来,重视风险防范工作,逐步建立了一系列内控制度,加强风险管控,采取一些积极措施应对风险,如定期召开经济活动分析会,对年度目标完成情况、预算执行情况及面临的燃料供应及价格、电价、用电需求等经营形势变化情况进行深入、全面分析,制订相应的风险应对措施,化解经营风险、降低经营风险。各有关职能部门在日常工作中也注重风险管理,及时收集相关信息,了解有关方面情况,及时报告公司管理层,提出一些建议供公司领导决策,并采取相关措施防范风险。
在安全生产方面,公司制订各种安全管理制度和预案,开展安全生产大检查,防范安全风险等;在廉洁自律方面,开展廉洁风险防控工作,防范廉洁风险;在内部控制方面,建立健全内控管理机制,每年开展内控评价工作,提升内控管理和风险管理水平。半电公司通过采取一系列措施保障安全生产目标和经营目标的实现。
但是多年来,半电公司规范化、常态化的风险评估机制并没有真正建立。近年来,公司内外部环境不断发生深刻变化,面临的形势错综复杂,存在着方方面面的风险。在半电公司内部,煤机逐步淘汰或关停,燃机发电规模不断取得新发展,但员工总数不断减少,并出现老龄化趋势,难以满足企业快速发展。在经营上,燃料价格、电价、发电利用小时等影响企业效益的关键性因素不能得到稳定保障。在半电公司外部,国家不断深化改革,电力市场竞争日益激烈,政府对环保的要求越来越高,上级公司对企业的管控越来越严,对管理和效益提出更高的要求,半电公司在经营等方面所面临的问题和矛盾越来越突出。在这样的复杂形势和严峻环境下,仅通过定期召开经济活动分析会等方式方法,以及缺乏对风险进行科学化、规范化、常态化的评估,难以很好地识别风险、分析风险、评估风险,防范经营风险和其他面临的种种风险,半电公司整体风险管理水平难以显著提高。对企业来说,面临的风险很多,从大类来说,有安全风险、经营风险、廉洁风险等,从具体来说,有法律风险、资金风险、人力资源风险、采购风险等等。因此,从上述现状看,很有必要建立健全风险评估机制,有效开展风险评估工作。同时,对风险评估工作进行监督与客观评价,提出风险评估工作存在的问题或不足,促进风险评估工作形成制度化、规范化、常态化,从而提升风险管理水平,以达到防范风险的目的。
二、风险评估工作开展情况
风险评估就像有效的刹车系统,能够保障企业安全、高速运行、基业长青。公司风险评估工作实行2+1+5管理模式(2是指全覆盖、全流程;1是指内控评价;5是指五道防线,岗位、部门、职能部室、审计部、风险管理委员会),该模式从火电企业现实出发,它以基于风险控制为导向的流程控制为核心,将风险评估工作嵌入经营管理活动中,支持企业可持续发展。
全覆盖是指从制度、流程手册、风险数据库、评价手册等方面实现全覆盖。整个企业自上而下各相关部门通过积极参与、互相配合、统筹兼顾,全员参与、分级负责的方式,全面复审、修订、编制规章制度和流程手册,形成有效的标准制度清单、管理流程手册及风险数据库。
全流程是指从企业整体角度审视各项业务和管理活动,对全部业务流程进行分析、梳理和完善,形成包含管理业务模块和具体业务流程《管理业务流程控制手册》,包括控制范围、控制目标、流程主要风险、相关政策或制度依据、业务流程图和流程说明六个部分。管理流程是按业务顺序的逻辑关系对企业制度的进一步阐释,既确保了制度有效执行,又预防了风险的发生。
内控评价就像给人查体看病一样。经过对流程控制情况进行评价后,有无缺陷和剩余风险一目了然。半电公司缜密的内部控制评价为内部控制体系规范运行提供了保障,也是基于风险管理为导向的内部控制运行模式取得效果的保证。内部控制评价是按照内部控制五要素,遵循风险导向原则对重要性业务及重要管理环节进行评价,最后形成内控评价报告,内控评价报告是内控评价的主要成果。
风险管理的五道防线,企业依托内部控制,筑牢风险管理五道防线。这五道防线分别是:岗位、部门、职能部室、审计部、风险管理委员会即公司领导班子。通过五道防线的层层防控,各类风险被有效化解,风险可控在控。五道防线,互相牵制、互相促进,“严防死守”紧抓内控牛鼻子,把风险控制在企业可承受的程度之内。
为全面提升风险管理水平,推进公司风险评估工作,有效防范和化解风险,确保公司持续、稳定、健康发展,实现风险防范目的,公司于2014年经过充分研究和酝酿后,决定推进公司风险评估工作。为使各部门学习、掌握风险评估知识,开展好风险评估工作,总经理工作部于2014年6月份举办了风险评估实务知识培训班,在培训的基础上,总经理工作部于当年3季度组织各职能部门开展了首次风险评估工作。为保障风险评估工作的规范性、有效性,审计部对风险评估工作进行了检查与客观评价,公司风险评估工作迈出了实质性步伐。
从评估工作检查情况看,各职能部门虽开展了风险评估工作,评估的风险事项符合要求,运用了有关评估方法和标准,编写了风险评估报告,但也存在规范性、正确性、准确性等问题。问题主要有以下几个:
采用的评估方式单一。在评估方式上,仅有一个部门采用访谈方式,其他部门均采用会议讨论方式,各部门都未综合运用会议讨论、访谈、问卷调查等评估方法。无论采用访谈方法还是采用会议讨论方法的部门,参与人员基本为本部门人员。由于评估方式单一和缺乏人员参与的广泛性,对评估结论的正确性可能产生一定的影响。
界定标准不够明确。评估的界定标准不够明确,如确定“是否重大风险”没有很明确的界定标准(即如何由风险发生可能性和风险损失度两个维度标准确定是否为重大风险)。
评估结论的随意性较大。本次评估虽然采用定性方法,但多数部门对于评估结论没有有效结合实际或缺乏历年发生的有关情况及历史数据等,特别是对“风险损失度”中的直接经济损失的评估随意性较大,缺乏支撑依据。
评估过程阐述不具体。一些部门在风险评估报告中对于风险评估情况的阐述过于简单,没有具体阐述风险评估过程等。
措施、方案不够具体。一些部门对于主要风险的防控措施和重大风险的解决方案比较粗略或空洞,缺乏详细的应对措施和具体实施计划。
明年风险评估方向不明确。个别部门在评估报告中虽然分析了一些面临的风险,但对明年的重点风险评估方向不够明确。
三、总结经验,不断改进,加强实践
2015年3月公司继续启动年度重大风险评估工作,在去年开展的基础上,不断加以完善,明确评估方法,根据不同方面的风险,完善风险评估中“是否重大风险”和“风险损失度”的界定标准和依据。本次风险评估综合运用多种方式,保障风险评估的真实性和评估结论的准确性。同时加强监督评价工作,形成“三道监督防线”,包括事前、事中、事后的监督。
(一)事前监督
评估工作实施前开展风险事项调查,了解当前面临的关键性风险有哪些,在此基础上分析确定各部门风险评估事项,提高风险评估的实效性。公司各相关部门认真组织、深入研究,根据当前内外部形势变化、生产实际情况,从安全、经营等多角度分析识别本部门当前重点面临的风险。各部门在分析面临重点风险时,牢牢把握准确性、全面性、时效性三项原则。
本次开展风险评估信息收集工作的部门主要有总经理工作部、财务部、物资部、燃料管理部、人事部、政治部、安保部、生产营运部、生产技术部、基建管理部、纪委监察办等职能部门。上报的风险评估信息主要包括税务风险、队伍稳定风险、维稳风险、廉洁风险、泄密风险、职业危害风险、安全监督风险、环境保护风险、能耗指标管理风险、天然气价调整风险、工程质量管理风险、电子商务风险等。
风险评估信息的准确收集,是风险评估工作的第一步,是做好该项工作的基础,在此之后,才能识别和评估影响目标实现的风险。并且采取必要的措施对这些风险进行控制。通过风险评估工作,不断增强公司风险管控实效性,深化公司风险管理工作。
(二)事中监督
各部门评估工作综合运用会议讨论、访谈和问卷调查三种方法,根据上述三项方法得出的结论来确定风险等级及应对措施,避免评估工作简单化、形式化。
本次评估工作在去年开展的基础上,不断加以改进,首先参与人员广泛,不仅局限于本部门;其次综合运用三种方法,使得评估结果更为准确。最大的亮点是内控管理办公室派员参加部门风险评估的会议讨论,加强过程监督。
风险评估部门在确定好会议讨论时间后,将会议时间和地点报内控管理办公室备案,内控管理办公室根据风险内容派员参加,起到指导、咨询、监督作用,会后汇报讨论情况。
同时部门及时通知与会人员,与会人员充分做好与风险讨论相关的准备工作。讨论时,与会人员围绕风险产生的原因、应对措施等方面积极发言,各部门讨论会要形成规范的会议纪要。本次风险评估工作中,内控管理办公室派员参加了天然气价格调整、安全监督、环境保护、信息系统安全、能耗指标管理及网络采购等风险评估讨论会。
内控管理办公室对各部门风险评估报告及相关评估资料的规范性、真实性等进行审查,对不符合要求的风险评估报告予以退回,并要求当事部门及时纠正和完善。
(三)事后监督
各部门制订的风险应对措施、方案应具体、可行,符合实际,能起到防范风险作用,并在日常工作中予以落实。落实措施必须形成相关材料,总经部和审计部组织内控评价人员对措施落实情况进行检查。
建立责任追究制度。在公司《风险评估管理办法》中增加追究责任的规定,对由于不认真开展风险评估,导致评估结论不准确,影响公司决策,造成公司经济损失或其他方面不利影响等,追究当事部门负责人的责任。
【关键词】电力营销;营销稽查;风险管理
电力营销风险管理是指在电能产品销售、供电服务等环节运用风险管理方法,防范营销管理中风险的发生。营销稽查作为营销管理的日常监督机制,目的是强化营销及服务管理的可控、在控能力,增强防错和纠偏功能,促进营销和服务管理的规范化,是营销风险管理的有效途径之一。
1.风险管理
1.1风险识别
风险识别是指对面临及潜在的风险加以判断、分类和鉴定的过程。
1.1.1服务风险识别
电力服务风险的关键点在服务规范、服务质量、服务安全。(1)规范化服务。各类业务是否按规定时限内办结,是否按程序办理,有无违规收费行为,是否存在违反十项承诺及十个不准的行为,是否有违反有关法律规章的行为。(2)服务质量。是否建立服务质量分析制度,是否有服务质量责任追究制度,对各类投诉、举报的处理及答复程序是否合理、是否有服务改进的举措等。(3)客户安全服务。合同中是否明确供用电双方的安全责任、是否有对客户端安全检查评价的措施、是否建立客户安全防范措施等。
1.1.2经营风险识别
电力营销经营风险的关键点在量、价、费、损等基本环节,这也是供电企业经营和发展的基础。(1)电费回收。是否制定有电费回收内部管控制度,是否按期编制电力产品销售明细表,电费应收、实收、未收统计表准确性有无监控措施,营销部门是否随时掌握未收电费情况,对欠费情况是否定期统计并制定合理催缴措施,电费回收是否进入专用帐户,电费延期缴纳、违约用电等是否按规定加收电费及违约金,电费发票管理是否建立制度、合同中对电费缴纳是否约定明确等。(2)电价管理。是否按核准的电价收费,电价执行有无监督和考核办法,电价检查是否按期开展,对违价行为是否有处罚措施、电价业务队伍素质是否满足要求等。(3)电量和线损管理。线损管理制度是否健全,用电管理内控制度是否健全,抄核收管理结构和职责是否科学,定期抄表及抄表质量是否符合要求,各供电关口、线路、台变、用户电能计量装置配置、管理是否符合要求,窃电查处是否有效开展等。
1.2风险估测
风险估测是在风险识别的基础上,估计和预测风险发生的概率和损害程度。对电力营销工作而言,风险估测的步骤可依照上述风险识别的条目有针对性地进行调研,根据调研结果,预测发生的可能性,并按程度排列优先队列。估测的方法可采取综合检查、专项检查、自评和外部评估、对目标管理和基础管理情况进行常态检查等方法实现,并对结果进行分析评估,衡量风险的程度,以确定是否需要处理及处理程序,对需处理的问题采取提示、预警、限期整改等措施。可以对一个周期内客户反映较多的问题进行重点调查,如缴费难问题,是个案还是普遍存在,评估导致事件发生的内控制度上的深层次原因,并对处理效果进行评估。
1.3风险处理
风险处理是解决风险评估中发现的问题,从而消除预知风险。随着营销模式的确立,电力营销工作专业化分工日益加强,营销管理部门应加大对营销各专业部门风险处理结果的检查、考核、反馈力度,以点评、排序、专项报告、整改意见书等形式及时告知,解决在制度建设和管理行为上存在的深层次原因,从而实现风险的有效控制。
1.险管理效果评价
是指对风险管理技术实用性及其收益性情况的定期分析检查、修正与评估,可以保证风险管理技术适应变化了的情况的需要,使风险管理效益最佳。通过不断的评价修正,使风险管理处于循环上升的状态,从而促进风险管理的效果。
2.营销稽查是营销风险管理的有效途径
实现营销业务和供电服务工作内部监督机制的健全完善。成立营销稽查处,将营销稽查明确为继审计、监察、安全之后的第四种监督,定位在对营销服务工作的过程和结果的质量监督。从营销稽查的工作内容及方法中可以看得很清晰,它与营销风险管理的内容与过程是一一对应的。
2.1营销稽查的风险识别功能
风险识别最重要的途径是对客观资料进行大量的统计分析整理。通过营销稽查,使管理人员识别其中的风险。
2.2营销稽查的风险估测功能
基于常态营销稽查记录的整理分析,下一步是对每个周期内发现的各类预知风险作进一步调研,对异常现象发生的概率、损害程度等统计分析排序。采取的形式可以是月度分析、季度分析、专项分析等。
2.3营销稽查的风险处理功能
营销稽查的目的就是为促进营销和服务管理水平,增强纠错和防控功能。对稽查中发现的问题,依据相关法律法规、各类标准规范,通过文件下达相关部门,将稽查中发现问题及其整改情况作为各部门经济责任考核和绩效考核的重要依据。对稽查情况还应以简报、分析等形式及时向相关部门反馈,促进其提高管理水平。
3.依据风险管理理论,开展好常态稽查
营销稽查是营销风险管理的有效途径。营销稽查的内部监控职能得到加强,也就相当程度上防范了各类营销风险的发生。一般来说,稽查的方法有常态稽查和专项稽查两类,但从过程控制的角度来看,常态稽查是最基本也是最有效的方法。
3.1常态稽查的必要性
这是由风险是客观存在的特点所决定的,旧的风险消除,新的风险产生,风险管理的几个步骤要连续不断的进行下去,才能形成有效的监控机制。
3.2常态稽查的重要性,掌握常态稽查的方法
常态稽查是对营销中风险的过程控制,开展得好,可以用最小的成本获得最大的安全保障。常态稽查本身也要注重过程管理,即首先要有“量”作保证,要完成相应的稽查采样量,分析是否准确就是以常态稽查中大量的调研资料为基础的;其次要对资料、记录进行及时的整理、筛选,找出引起评估指标变化的关键原因,找到风险点和关键控制点,为选择科学的风险处理技术提供依据。
3.3要着眼于促进管理上的完善
风险不可能降为零,电力营销管理涉及面广,工作繁杂且具有重复性,营销稽查不可能期望发现所有的具体问题,处理所有的风险。风险管理是要最大程度预防风险的发生,减少损害的程度,营销稽查的最终目的也是要促进营销和服务管理的完善,而不是发现、处理具体问题。
3.4对管理效果及时评价修正
风险管理的步骤是一个不断循环的过程,对采取的管理技术是否有效要及时评价,这样才能促进其效果循环上升。营销稽查要注重评价分析,要善于对稽查成效进行定期总结,如采用季度综合分析等形式,及时修正,使管理更有成效。
4.结束语
营销风险管理的涵盖面比营销稽查更广,但营销稽查是强化营销风险管理的一项有效举措。以风险管理理论为指导,开展好营销稽查,不仅可以很大程度上防范、处理营销风险,促进营销管理的规范化、标准化,提升管理水平。
参考文献:
[1]编写组.现代电力企业营销手册[M].北京:水利电力出版社,2010.08.
关键词: 油田企业;业务外包;风险;评估
中图分类号: F2
文献标识码: A
文章编号: 16723198(2013)06002702
1 概述
1.1 业务外包概念
不同的学者从不同的角度对业务外包的概念进行了阐述,比如从外包的形式上来看,有学者将其定义为:外包主要是指一家公司与其他公司签订合同并由该公司为委托公司提品或服务,而这些产品或服务委托公司自己本来是可以生产的。从外包的目的来看,外包是企业在充分发展自身核心竞争力的基础上,整合、利用外部最优秀的专业化资源,从而达到降低成本、提高生产效率、增加资金运用效率和增强企业对环境的迅速应变能力的一种管理模式。本研究基于“油公司”管理模式,倾向将业务外包界定为:油田企业将一项或多项原来由内部运作或控制的产品生产或服务转交给外部承包商,承包商提供本企业所需的产品或服务以满足企业需求的一种特殊的合作模式。
1.2 业务外包风险研究的理论基础
1.2.1 核心竞争力理论
企业将自身不具备核心能力的业务以合同的形式外包给较好的专业公司,一方面可以把更多的资源和时间投入到核心业务;另一方面,由于对方企业一般拥有专门的知识和技术,因而所提供的产品或服务的质量好而成本也低。因此,企业如何找准自身核心业务和对核心竞争力的恰当界定、划分,如何选择适当的非核心业务进行外包,将是对业务外包决策中不可忽略的风险因素。
1.2.2 交易费用理论
通常企业在自制和外包之间犹豫不决,由于交易费用的存在,当企业组织内部生产的费用远远高于外包交易的费用时,企业将选择外包。根据此理论在选择外包战略过程中,对于交易成本的考虑是不可避免的,因为由交易成本带来的风险也是值得警惕的。
1.2.3 委托理论
业务外包实际上外包商和承包商在一定的约束条件下追求个人利益的最大化,确定经济合同关系,实现双赢的过程。由于合同的签订具有不完备性,不可能将所有的权利与义务都规定完备,同时对前瞻性的问题肯定考虑有所不足,但双方对利益最大化的追求都是一致的,因此在契约签订及后续执行的过程中承担的风险理应充分考虑。
2 油田企业业务外包风险分析
2.1 核心竞争力丧失风险分析
国内有学者指出,外包战略所造成的最重要的潜在风险是有关公司学习机会和核心能力培养机会的丧失问题。业务外包的根本目的就是通过资源的优化配置和价值链的整合,实现企业核心竞争力的提升。油田企业价值链主要包括勘探开发、油气开采、集输销售三个主要环节,而在实现这三个环节过程中需配置物资供给、科研创新、道路运输、财务管理、人力资源管理以及后勤保障管理等辅助业务。因此油田企业如果对核心业务界定不恰当以及承包商选择不合理,会引发专业能力、创新能力等核心竞争力构成成分的丧失。
2.2 服务质量下降风险分析
由于承包商企业经营能力、技术技能能力与外包商的要求可能存在一定的差距,或者达不到的合同约定水平,导致服务质量的下降。具体可表现为服务速度的减慢或延迟、不能达到令企业满意的水平,以及外包业务执行人员技能的降低等。比如在油田企业中采油现场业务外包过程中,参数录取不及时、录取错误、技能操作水平欠缺、现场安全管理不达标等都是服务质量下降的体现。
2.3 成本费用增加风险分析
企业业务外包只有在企业外包交易成本、管理成本和承包商供应成本之和小于自己的生产成本时才会发生,而业务外包的发生必然会产生成本费用增加的风险,具体而言可包括谈判合同细节时发生的成本;合同变更所需花费的成本;监督执行费用;以及违约解决机制时所需的争议成本等。
2.4 承包商锁定风险分析
当分包方将业务外包给承包商后,随着业务交易的深入,相关业务的主动权交由承包商,特别是在油田工区市场竞争力不充分,油田企业相关业务能力缺失等相关背景下,被承包商锁定的风险大大增加。一旦承包商被锁定后,无论是在契约订立过程中还是在交易成本提高的过程中,承包商占有优势,占有主动权,进而给油田企业带来损失。
2.5 整体运作不畅风险分析
由于双方企业在管理层面、制度层面以及员工层面都具有差异,双方企业文化的融合需要过程和努力,给企业整体运作带来不畅。因为双方企业文化的不相容使得双方目标不能统一,不能就有关问题达成理解,也会引发冲突。此外,承包商如果不能将该业务的一些最新信息及时反馈给外包企业,也将使得外包企业在与对手的竞争中处于不利的位置,并且将影响到外包企业核心竞争力的发展与提高。
2.6 法律纠纷风险分析
由于大部分契约都是不完全的,一方面经营环境充满着各式各样的不确定性,企业不可能搜集到所有与外包契约安排相关的信息,从而无法把外包服务需求规范下来并列入契约条款中。同时大多数的契约缺乏前瞻性,对未来可能发生的变化,如未来外包服务的定价、新技术的开发、服务的质量和等级等都缺乏明确的解决机制。契约的不确定性不仅增加了外包的事后成本,在客观上助长了承包服务商的机会主义行为。此外,各种法律纠纷的发生对分包企业,尤其是国有油田企业的社会形象也会带来一定的负面影响。
3 业务外包风险的量化评估
3.1 外包风险影响等级及量化评估
外包风险影响等级主要反映的是某项业务外包出去对分包方企业的影响程度,引用徐姝(2006)等已有研究,按照美国空军电子系统中心(ESC,Electronic Systems Center)采办工程小组1995年提出的风险矩阵方法,对外包风险进行等级划分。本处共分为五个等级,分别为“关键”、“重要”、“一般”、“轻微”和“可忽略”,每个风险等级对应相应的程度描述并予以赋值。即“关键”为5分,表示风险一旦发生外包业务宣告失败,外包终止;“重要”为4分,表示风险一旦发生,如果要维持外包业务分包方企业将产生很大的损失,有可能引发外包的失败;“一般”为3分,表示风险一旦发生,分包方企业为可能会造成一定的损失,但外包业务基本能够维持;“轻微”为2分,表示风险一旦发生,对分包方企业产生的影响不大,外包业务的各项指标基本正常;“可忽略”为1分,表示风险一旦发生,对分包方企业及外包业务几乎不产生影响,可以忽略不计。
3.2 外包风险发生概率及量化评估
外包风险发生的概率也就是指风险发生的可能性,ESC同样对风险发生概率划分了5类并给出了相应的百分比区间。具体如下:“非常不可能发生”对应百分比为“0%-10%”、“不太可能发生”为“11%-40%”、“可能在实施中期发生”为“41%-60%”、“可能发生”为“61%-90%”以及“极有可能发生”为“91%-100%”按照风险发生概率的区间大小同样赋予不同等级的分值,与风险等级赋值相似,按风险概率区间分别赋予1-5分。
3.3 业务外包风险评估量化矩阵
对业务外包风险的评估由两方面因素共同决定,即风险影响等级×风险发生概率,因此业务外包风险的量化评估由上述两个因素乘积构成风险量化矩阵见表1。
根据表1我们可以将其划分为三个风险等级,结合各等级得分节点划分为低危风险等级1-4分,中危风险等级5-14分,高危风险等级为15-25。此矩阵为5×5矩阵,共25个项目,根据矩阵分布可见,低危等级的项目共有8项,分布共占有总数的32%,中危等级有11项占44%,高危等级有6项占24%。基本符合“两头小,中间大”的统计分布规律。
3.4 外包风险评估类型及量化区间
据表1可见,矩阵中25个项目的加权和为225,平均值为9分。根据风险等级及矩阵平均分值对应的外包状态可规划为四种类型,分别为适合外包、能够外包、考虑外包和慎重外包。按照前文已分析的业务外包风险点,共计6个项目,因此四种外包类型对应的风险临界点得分分别为24分、54分、84分和150分。外包类型及风险得分区间构成如表2所示,依据表2作为业务外包风险量化评估的对照表,将评估分归入相应的风险区间,以此来确定外包类型并作为决策的参考依据。。
4 案例分析
以油田企业中采油现场作业业务外包为例,对不同风险因素从风险影响等级和风险发生概率两个维度进行量化评估,最终得出该项业务外包风险评估的总分。具体公式如下:风险因素得分=风险影响等级×风险发生概率得分;外包风险评估分=∑风险因素得分。下面以某位评估者对采油现场作业业务外包风险评估为例,具体的评分示例及评估计算如表3所示。
对影响油田企业业务外包6个主要风险因素分别从风险影响等级和风险发生概率进行评估,并根据对应赋值分进行统计,得出采油现场业务外包的评估总分为43分,根据表2外包类型与风险区间段来看,属于能够外包类型,但企业需要对部分因素要进行关注与控制。单个因素中成本费用增加风险因素得分最高为16分,属于高危风险点,企业应重点关注并利用相关的制度、约定等手段加以控制,防止因业务外包而导致相关成本费用的增加。上述只是某个评估者的评估意见,现实工作中可通过集体决策的途径,取集体平均值求的评估总分,并按照风险因素单项得分高低予以排序,确定需重点关注的风险因素,为后续保障性工作提供参考方向。
5 结论与不足
油田企业业务外包决策中存在一定的风险,对风险的评估是可以通过量化途径的;量化评估提高了决策的实效性,在集体决策过程中能够产生对比,风险防控的目标更明确。不足之处在于,本研究主要是针对业务外包的决策阶段提供的风险分析和量化评估,对于已组织实施的业务外包项目分析和评估没有涉及,同时对风险等级和发生概率的赋值,以及风险区间划分仍需实践的论证。
参考文献
[1] 吕巍,郑勇强.外包战略:企业获得竞争优势的新途径[J].经济理论与经济管理,2001,(8):56.
[2]金辉,杨帆.企业,你外包了吗?[M].北京:中国时代经济出版社,2001:40.
【关键词】HSE审核;评估工具;审核原则
集团公司从2012年开始,每年对集团公司内部企业开展HSE审核评估两次,到目前已经开展了三次HSE审核评估工作,各企业不同程度的提高了HSE体系管理意识,集团公司HSE管理体系不断得到提升。
1.审核评估过程中的需要把握的原则和理念
1.1直线责任原则
直线责任原则是在审核过程中首先应掌握的原则,审核分管业务的领导和直线部门,查验是否按照“直线责任”的原则履行HSE职责,是评估HSE体系是否有效实施的主要客观依据。如果各部门均认为业务的HSE管理应由安全总监和安全部门负责,则说明其HSE管理是有问题的,说明集团公司理念在该单位没有得到推行。
1.2 HSE评估工具O-P-P-T
OPPT是HSE评估的一个工具,在做咨询时,首先使用该工具对企业某项业务进行评估,从该项业务有无组织机构对其负责,有没有管理流程,涉及的相关人员是否具备相应的能力,有没有合适的工具与方法等四个方面进行评估。
1.3全面的风险识别的原则
开展HSE审核时,要考虑该单位有哪些专业和活动,这些活动和专业是否进行了管理,这是横向的风险识别;每个专业和活动是否进行了生命周期每一个环节的风险识别管理,这是纵向风险识别。集团公司三年来的审核,基本上在电的管理和零星维修两个方面存在问题比较多。
1.4戴明原理P-D-C-A
这是体系管理最基本的原理,对某项业务进行管理一般都要做到这四个环节,先策划,然后实施,再检查、整改提高。
1.5风险管理的原则
在审核过程中,如果某项活动风险不大,就可以暂不管;如果风险较大,则要重点关注;这是比较务实的做法。这么做可以避免迎审方提出异议,认为你挑刺。审核员在审核时一定要做功课,审核前一定要分析单位的专业较大风险点,以及了解专业上的一些事故事件案例,以便于顺利的开展审核。
1.6 5W1H原则
这个原则与OPPT有些类似,也叫六何分析法,5W+1H就是对工作进行科学地分析,对某一工作在调查研究的基础上,就其工作内容(What)、责任者(Who)、工作岗位(Where)、工作时间(When)、怎样操作(How)以及为何这样做(Why),进行书面描述,并按此描述进行操作,达到完成职务任务的目标。简单的说就是“写你所做、做你所写的”。
1.7现场模拟验证的原则
目前集团公司以及各企业都建立了很多规章制度和操作规程、应急处置措施等等,但现场是否真的按这些规章制度执行,我们可以到现场进行验证,到现场对规章制度和操作规程、应急处置措施等去模拟,你会有意外的发现,而不按规章制度办事在有些企业很普遍,基本上能够发现一些问题。
1.8自下而上审核原则
三次集团公司审核,有时计划安排是按自下而上审核,有时安排的自上而下审核,但从审核出的效果来看,自下而上的审核更容易发现管理上的问题,更能让被审核方承认和认可;而自上而下审核则必须套集团公司、板块公司管理规范,有些企业根本就没有推行这些规范,有种强迫企业去执行的感觉,从被审核方内心里很难接受。而自下而上审核,是带着基层问题追溯到管理上的,面对问题被审核方一般都能够接受。
1.9安全观察与沟通
作为审核员一般对专业知识能够掌握的也就2-3种,审核一般都要靠专业来发现问题,而审核员有时不是专业人员怎么办?这就要靠安全观察与沟通,与操作层沟通现场操作和四懂三会方面问题,与管理层沟通管理流程方面问题,然后再结合现场进行模拟。
1.10帮助企业管理提升的原则
审核员要有帮助企业意识,到现场要表情友善,耐心沟通,虽然有时被审核方与你有斗智斗勇倾向,只要审核员采取的方式方法合理,还是能够让受审方接受的;审核的问题要与对方沟通,得到对方确认,以免造成误会,影响审核组印象。如果有些问题都是同类问题,可以在后面审核时尽量不在关注这方面问题,或合成一个问题,减小企业和单位压力。如在某企业审核时,发现了企业办公场所吸烟现象比较严重,而吸烟后不灭烟头就扔现象比较普遍,已经作为了一项问题,结果在后面审核基层部门时,发现办公楼内烟头将垃圾筒内纸张点着冒烟,如果这时把这个问题记上并通报的话,很可能造成该属地负责人受责罚。因此在建议中提出在办公场所禁烟,杜绝办公场所因吸烟造成火灾现象发生。
2.HSE审核存在的典型问题
作为审核员,需要掌握的知识点很多,包括:两书一表管理、操作规程管理、应急处置措施管理以及集团公司新规范等等。在开展审核时,因审核方式方法原因,常造成审核方与受审方的矛盾冲突。审核中不可取的审核方式方法列举如下,以供大家诫勉。
2.1一到现场就查阅资料方式:这种方式普遍被用在外审以及认证审核当中,我们中的有些审核员也采取这些方式,而这种方式基本上查不到真的,资料基本都在审核前进行了完善,或后面编写。
2.2审核过程中态度不端正:不与对方沟通,现场记了一堆问题,不问为什么,仅凭自己感觉。这种审核基本都停留在现场问题上了,而管理上的问题很难找到,审核完的问题被审核方也很难接受。
2.3沟通的方式有问题:在现场或看资料时发现问题往往以一种反问句为主,质问对方,如:你怎么能这么做呢?等等,造成对方的情绪对立。
2.4不实事求是:在审核时往往有一些审核员在现场没有依据的指导,不实事求是,如:某企业审核员在我们这审核时就要求我们的承包商员工培训后的考试卷子必须是满分,而在实际操作过程中,根本就不可能达到的,所以我们审核时要求做指导,但千万不要给被审单位添麻烦。
3.小结
HSE体系的有效运行是一个长期艰巨的任务,非朝夕之功可完成,需要持续改进、不断完善。有效推进体系需要加强内外部审核,HSE审核需要审核员掌握一定的审核原则和理念,并在实践的过程中不断积累审核经验,丰富审核技巧,运用科学的方法,因地制宜地制定解决企业存在的问题,有效推进体系运行的持续改进,使其更加适应企业发展需要。
购物车(0)