安全風險等級劃分標準范文

時間:2023-06-04 10:02:40

導語:如何才能寫好一篇安全風險等級劃分標準,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

安全風險等級劃分標準

篇1

關(guān)鍵詞:空管;不安全事件;評估方法

隨著我國民航事業(yè)的飛速發(fā)展,空管保障受到了很大的壓力,我國對影響空管的不安全事件危險等級實施量化評估,根據(jù)空中不安全事件發(fā)生的狀況,對不安全事件進行統(tǒng)計分析,劃分不同嚴重程度和不同等級的不安全事件,具體可以分為一般不安全事件、一般事故征候及嚴重事故征候三個等級。不同的嚴重等級可利用相關(guān)指標進行界定,對于量化這些指標,就要參考國外的空中管理標準的界定,同時要對不安全事件危險等級的量化進行評估,為此,我國的空中管理必須要研究和建立適合本國的不安全事件的量化評估指標體系。

一、空管安全風險

空中交通管理風險的嚴重程度不一,危險程度可大可小,這主要是根據(jù)安全風險的特性來決定,空管安全風險具有動態(tài)性、復雜性、挑戰(zhàn)性等特點,這些不穩(wěn)定的因素導致整個空管系統(tǒng)的內(nèi)部和外部更難于管理,也決定了不同的安全風險可以劃分為不同的分類標準,具體的劃分是由不同的影響因素所決定,即人為因素風險、設(shè)備因素風險、環(huán)境因素風險、管理因素風險等,這是安全風險的四類系統(tǒng)風險。因此,空管安全風險系統(tǒng)中的內(nèi)外部環(huán)境決定了不安全事件發(fā)生的可能性,空管在特定的時間、環(huán)境下,會存在不確定的因素造成空管不安全事件的發(fā)生,嚴重的事件就會引發(fā)事故,甚至造成人員傷亡和財產(chǎn)損失。

二、空管安風險影響因素

空管風險因素是由不安全的事件所誘發(fā),不安全事件在空管風險中隨處可見,針對空管風險中的不安全因素,如果其處于萌芽狀態(tài),那么對空管安全系統(tǒng)來說,通常不會造成重大的故障問題。但當多種因素在同一地點、同一時間耦合后,各個因素就會互相產(chǎn)生影響,并產(chǎn)生相互作用,一旦這些產(chǎn)生共振作用就會擴大風險,對空管安全系統(tǒng)造成很大的威脅,甚至造成系統(tǒng)故障。

一是空管安全風險中的人為因素。在整個空管系統(tǒng)中,人為因素所導致的安全事故是可以避免的,在該系統(tǒng)中,人是安全的主導因素,在安全控制中,由人為行為控制的工作可以是管制、導航、氣象服務等業(yè)務,人為的生理、心里、技術(shù)等自身的因素變化,也會誘發(fā)一定的風險。人為的技術(shù)因素,由于其自身的安全意識不強,加之專業(yè)技能掌握的不夠牢靠,對規(guī)章制度不夠熟悉,特別是對空中的航行情報掌握的不夠全面,這些由于技術(shù)問題而引發(fā)的違規(guī)操作,就會導致不安全事件的發(fā)生。

二是空管安全風險中的設(shè)備因素??展茉O(shè)備隨著科學技術(shù)的進步,其功能也更加的強大,航空器所依賴的導航設(shè)備、飛行運用的照明設(shè)備、用于通信的設(shè)備以及地面對空中的監(jiān)控設(shè)備等,這些設(shè)備的自動化程度都很高。然而設(shè)備因素也會引發(fā)一些風險,例如設(shè)備自身的設(shè)計問題、設(shè)備效率、設(shè)備維修和維護、系統(tǒng)軟件等問題,這些問題都會導致設(shè)備故障,以致未能及時對航空器進行信號監(jiān)控,從而導致不安全事件的發(fā)生。

三是空管安全風險中的環(huán)境因素。環(huán)境因素往往是空管極力避免的誘發(fā)因素,環(huán)境因素比較復雜,包括了自然環(huán)境和社會環(huán)境。航空器在空中飛行難免會遇到惡劣的氣候條件,而且氣候變化多端,難以控制,加之空中交通運輸?shù)娜找娣泵?,空中交通流量過大、過密,會造成信號干擾,導致不安全風險的發(fā)生。另外,社會中的非法活動等也會造成不安全事件的發(fā)生。

四是空管安全風險中的管理因素。管理因素在空管的安全運行過程中起著重要卻又隱性的作用,管制人員的搭配、值班模式的輪換、管制現(xiàn)場的工作秩序和工作流程以及管制工作標準都是管理工作的內(nèi)容,直接影響到管制員地配合、精神狀態(tài)、管制工作效率及管制服務質(zhì)量等內(nèi)容,從而在一定程度上對空管運行的安全水平產(chǎn)生影響。

三、量化評估方法

空管要建立評估指標體系,首先要確立目標。不安全事件的發(fā)生可能由于多種因素所導致,其危險程度也不一樣。因此,對危險等級要進行衡量,根據(jù)危險等級所劃分出來的指標來確定各個級別的操作責任,對不安全事件危險程度的等級,依據(jù)風險影響因素,按照垂直間隔、水平間隔、接近率、航跡夾角、人員狀態(tài)等評估標準,可以將不安全事件危險量化在一定的范圍內(nèi),劃分為不同危險分值標準范圍。將危險程度分值范圍進行迭加,空管不安全事件危險等級就劃分為三個級別,包括低等級嚴重,即一般不安全事件,該級別的評估分值在75分以下;中等級嚴重,即一般事故征候,該評估分值在75-89分之間;高等級嚴重,即嚴重事故征候,該評估分值在90分以上。根據(jù)評估等級與分值,人們在對不安全事件進行調(diào)查時,其評估的主要事件是針對中等級嚴重和高等級嚴重,依據(jù)詳細的分值標準劃分,可以幫助人們準確的找到操作錯誤發(fā)生的原因和根源,并將其作為典型事例以免類似事件的再次發(fā)生,嚴格的控制了飛行安全與管理。

四、小結(jié)

空中管理的重要管理內(nèi)容是對不安全事件的管理與控制。首先要明確不安全事件的量化評估方法,由于空管不安全事件的誘發(fā)因素較多,所以要分析根據(jù)不同程度的誘導因素,而建立評估指標體系,通過對空管不安全事件的量化評估,來評定事件的嚴重程度,并在應用實例中證明該方法的可行性和合理性。

參考文獻:

篇2

關(guān)鍵詞:長輸天然氣管道;風險評估;失效可能性;失效后果

風險值長輸天然氣管道,在運行一定時間后,都可能發(fā)生因腐蝕、第三方破壞、設(shè)備及操作、本體安全等因素造成的泄露或破裂事故。天然氣具有易燃、易爆特點,發(fā)生事故后嚴重影響著人民群眾的正常生活和生命財產(chǎn)安全[1]。盡管使用單位在設(shè)計、安裝及運行維護期間采取各種方法防止事故的發(fā)生,但由于管線敷設(shè)環(huán)境的特殊性,一般的措施難以確保天然氣管線的長期安全運行。然而,風險評估技術(shù),作為埋地管道完整性管理的核心,其通過對管線的潛在危險源識別和失效后果分析,得出風險值,將風險進行量化,得出不同的風險等級,從而有針對性的制定出風險防控措施。該方法能夠合理運用有限的人力、物力、財力等資源條件,達到有效降低風險的目的[2]。目前,半定量的風險評估方法是我國使用較為普遍的風險評估方法。國內(nèi)現(xiàn)行有效的針對埋地管道的半定量風險評估標準有兩個,分別是GB/T27512-2011《埋地鋼質(zhì)管道風險評估方法》和SY/T6891.1-2012《油氣管道風險評價方法第一部分:半定量評價法》。這兩個標準均是以誘發(fā)管道事故的各種風險因素為依據(jù),以影響因素發(fā)展成危險事故的可能性為條件,以事故造成的綜合損失為考量指標,依據(jù)細則對管線的各區(qū)段進行評價,以風險值的大小來對管線不同區(qū)段的風險等級作出綜合評價,然而兩者在管段劃分原則、失效后果和失效可能性的評分體系、風險值計算、風險等級劃分等方面又各有特點[3]。本文主要依據(jù)GB/T27512-2011對待檢管道進行評估。

1待檢管線基本情況

某長輸天然氣管線長度104005m,設(shè)計壓力4.0MPa,設(shè)計溫度常溫,級別為GA2,投用日期2004年6月,設(shè)計規(guī)范為GB50251-2003、SY/T0015-1998、SY/T0019-1997,驗收規(guī)范為SY0401-1998、SY/T4079-1995、SY/T0019-1997,詳細參數(shù)如表1。沿途經(jīng)過了戈壁灘、公路、河流、農(nóng)田、鄉(xiāng)村、城鎮(zhèn)等,部分地區(qū)車流量和人流量較大。審查資料發(fā)現(xiàn),使用單位有專職部門和人員進行管線的巡檢,但安全管理制度不太完善,未提供壓力管道安全管理人員、巡檢人員上崗證,管線無使用登記證、監(jiān)督檢驗報告,未提供年度檢查報告,管線運行維護記錄不齊全,對管線沿線公眾教育不夠。

2半定量風險評估方法

GB/T27512-2011主要依據(jù)風險評估的基本原理,首先對待檢管線進行區(qū)段劃分,從事故發(fā)生的可能性和事故后果兩方面綜合評估埋地管道在實際使用工況和環(huán)境條件下的風險程度,是一種基于專家打分的半定量風險評估方法,以風險值的大小對管線各區(qū)段作出綜合評價。管道風險值(R)=失效可能性得分(S)×失效后果得分(C)。

2.1失效可能性的評分方法

待檢管線屬于在役階段,故本文采用在役埋地鋼質(zhì)管道基本模型進行失效可能性評分。輸氣管道在役階段失效可能性評分從第三方破壞得分(S1)、腐蝕得分(S2)、設(shè)備(裝置)及人員操作得分(S3)、管道本體安全得分(S4)四個方面進行評價。失效可能性得分S=100-(0.25S1+0.25S2+S3+S4)。第三方破壞主要影響因素有地面活動水平、埋深、占壓、地面裝置及保護措施、公眾對管道的保護意識、用戶對公眾宣傳情況、巡線、管道標識等;腐蝕由大氣腐蝕、內(nèi)腐蝕、土壤腐蝕組成;設(shè)備(裝置)及人員操作因子主要包括設(shè)備(裝置)功能及安全質(zhì)量、設(shè)備(裝置)的維護保養(yǎng)、設(shè)備(裝置)的操作、人員培訓考核、安全管理制度等構(gòu)成;管道本體安全主要涉及設(shè)計、制造、施工及地質(zhì)條件等相關(guān)內(nèi)容。

2.2失效后果的評分方法

在役階段埋地鋼質(zhì)管道失效后果評分,主要涉及介質(zhì)的短期危害性、介質(zhì)的最大泄露量、介質(zhì)的擴散性、人口密度、沿線環(huán)境、泄露原因和供應中斷對下游用戶影響七個方面,依據(jù)管線相關(guān)實際情況進行逐項半定量評分,失效后果得分為每個方面的得分之和。

3實例分析

本次評價依據(jù)檢測結(jié)果、人口密度、環(huán)境狀況等對管線進行區(qū)段劃分,共分為3段,結(jié)果如表2。

3.1失效可能性的評分

依據(jù)失效可能性評分方法,依次從第三方破壞得分(S1)、腐蝕得分(S2)、設(shè)備(裝置)及人員操作得分(S3)、管道本體安全得分(S4)四個方面進行評分,具體賦分參照GB/T27512-2011附錄D。3.1.1第三方破壞(S1)評分如上所述,第三方破壞由不同的影響因素構(gòu)成,各個因素得分總和才是第三方破壞總得分,如表3所示。3.1.2腐蝕(S2)評分在役輸氣管線腐蝕得分由大氣腐蝕、內(nèi)腐蝕、土壤腐蝕三部分組成,腐蝕得分為三部分評分之和,如表4所示。3.1.3設(shè)備(裝置)及操作(S3)的評分輸氣管道設(shè)備(裝置)及操作(S3)的得分由設(shè)備(裝置)功能及安全質(zhì)量、維護保養(yǎng)、操作、人員培訓與考核、安全管理制度、防錯裝置6部分組成,總得分為6部分得分之和,如表5所示。3.1.4管道本質(zhì)安全質(zhì)量(S4)的評分由上節(jié)可知,管道本質(zhì)安全質(zhì)量包括設(shè)計施工控制、檢測及評價、自然災害及防范措施和其他4部分,具體評分如表6所示。因此,該長輸天然氣管線在用階段失效可能性評估結(jié)果如表7所示,從失效可能性評分表可知:1)三區(qū)段第三方破壞的得分分別為60.5、50.5、35,此得分主要是由于沿線人口密度、建設(shè)活動、敷設(shè)區(qū)域的環(huán)境不同引起的;2)三區(qū)段腐蝕的得分為55.5、55、61,得分不同,主要是敷設(shè)環(huán)境不同;3)三區(qū)段設(shè)備(裝置)及操作得分均為56,說明管道按同一模式進行管理;4)三區(qū)段本體安全得分為65.5、68.5、68,得分不同,主要是敷設(shè)環(huán)境、是否處在地震帶等不同。

3.2失效后果計算

失效后果評分模型,從介質(zhì)的短期危害性、介質(zhì)的最大泄漏量、介質(zhì)的擴散性、人口密度、沿線環(huán)境、泄漏原因和供應中斷對下游用戶影響7個方面對在役埋地鋼質(zhì)管道失效后果進行半定量評分。失效后果得分為每個方面的得分之和,每個方面得分又為其下設(shè)的各子評分項之和。各區(qū)段失效后果的評價結(jié)果如表7所示。3.3風險值計算及風險等級劃分由上述可知,管道風險值(R)=失效可能性得分(S)×失效后果得分(C)。3.3.1依據(jù)GB/T27512-2011,風險絕對等級劃分如下:(1)低風險絕對等級:[0,3600];(2)中等風險絕對等級:[3600,7800];(3)較高風險等級:[7800,12600];(4)高風險絕對等級:[12600,15000]。3.3.2假設(shè)該條埋地管道風險最低得分為Min,最高得分為Max,則風險相對等級劃分如下:(1)低風險相對等級:R∈[Min,Min+(Max-Min)×6/25];(2)中等風險相對等級:R∈[Min+(Max-Min)×6/25,Min+(Max-Min)×13/25];(3)較高風險相對等級:R∈[Min+(Max-Min)×13/25,Min+(Max-Min)×21/25];(4)高風險相對等級:R∈[Min+(Max-Min)×21/25,Max]??芍?,所評價待檢管線各區(qū)段的風險值計算結(jié)果如表8所示。

4結(jié)論

根據(jù)上述風險評估結(jié)果,可見,所評價管線的風險絕對等級為低、中、中,風險相對等級為低、中、高。失效可能性方面,整體得分中等。沿線地面活動的影響、管道局部埋深不足、管道局部占壓、公眾教育、公眾保護意識、地面裝置狀況是第三方破壞的主要因素;敷設(shè)環(huán)境、是否定期檢測及維護,是管道腐蝕、本體安全的主要因素;該管道裝置較簡單且為統(tǒng)一管理,使得設(shè)備(裝置)及操作得分相同。失效后果方面,管線失效后經(jīng)濟損失較大,失效后果得分主要來源于人員傷亡的財產(chǎn)損失及停氣造成的民生和社會影響等。通過對風險的分析,結(jié)合現(xiàn)場檢驗檢測,提出如下建議:通過提高管理水平;進一步完善安全操作及維護保養(yǎng)規(guī)程;加強管道沿線公眾教育以提高公眾對管道的保護意識;對三樁一牌進行明確標識;解決管道占壓問題;定期進行檢驗(包括年度檢查);加強專業(yè)人員培訓及日常巡線;對已損壞及失效的測試樁進行修理并定期維護及檢測;定期進行外防腐層非開挖檢測及氣體泄漏檢測等。希望借助這些措施,能夠達到減少失效可能性,進一步降低管道風險等級的目的。

參考文獻

[1]何吉民,李艷紅,等.埋地燃氣管道的風險評估技術(shù)[J].煤氣與動力,2005,25(11):10-11.

[2]王磊,李佳木,張皋.淺析埋地長輸管道風險評估[J].內(nèi)蒙古石油化工,2015,(23、24):37-38.

篇3

關(guān)鍵詞:基層人民銀行;內(nèi)部控制;審計模式;評價方法

中圖分類號:F830.31 文獻標識碼:B 文章編號:1007-4392(2008)01-0057-03

近幾年,人民銀行總行和天津分行分別制定了《中國人民銀行分支機構(gòu)內(nèi)部控制指引》、《中國人民銀行天津分行內(nèi)部控制指引》、《中國人民銀行天津分行內(nèi)部控制評價辦法》?!吨袊嗣胥y行分支機構(gòu)內(nèi)部控制指引》(以下簡稱《指引》)將內(nèi)部控制定性為:人民銀行各分支機構(gòu)通過制定和執(zhí)行一系列具體的制度、程序和方法,對相關(guān)風險進行識別、分析和應對的機制和動態(tài)過程。指引的出臺,標志著人民銀行分支機構(gòu)內(nèi)部控制理論發(fā)展到一個嶄新的階段,為構(gòu)建分支機構(gòu)內(nèi)部控制框架提供了一套完整的標準,保障本單位依法、正確、有效履行職責。

一、基層人民銀行現(xiàn)行內(nèi)部控制審計模式

人民銀行分支機構(gòu)目前推行的內(nèi)部控制審計模式是依照《中國人民銀行分支機構(gòu)內(nèi)部控制指引》制定的全面型內(nèi)控審計模式。

(一)審計模式主要內(nèi)容

審計內(nèi)容分為內(nèi)部控制組織、內(nèi)部控制環(huán)境、內(nèi)部控制制度、內(nèi)部控制措施和內(nèi)部控制監(jiān)督五個部分,將上述五個部分歸納為兩大類,即宏觀類和微觀類,宏觀主要體現(xiàn)管理、環(huán)境、監(jiān)督等職能。具體由內(nèi)部控制組織、內(nèi)部控制環(huán)境、內(nèi)部控制制度、內(nèi)部控制監(jiān)督四個部分組成。微觀主要體現(xiàn)業(yè)務操作職能。包括:重大事項決策、風險點控制、領(lǐng)導層履行檢查職責、授權(quán)、不相容職務分離、重要事項報告、應急方案制定等。內(nèi)容基本涵蓋了基層人民銀行所有業(yè)務領(lǐng)域。

(二)審計方法

審計方法采取現(xiàn)場審計的方式。主要有:一是進點會談。二是問卷調(diào)查。三是被審計單位匯報。四是依據(jù)現(xiàn)場審計表逐一進行審計,對內(nèi)部控制的充分性、合規(guī)性和有效性做出“是”與“否”兩種判斷。五是檢查有效項數(shù)與檢查總項數(shù)之比得出被審計單位控制有效率。六是依據(jù)內(nèi)審工作程序形成審計結(jié)論、處理決定、整改意見及審計報告等。

(三)審計評價

根據(jù)綜合考評的分值對審計單位進行評價。具體劃分為A、B、C、D四個等級,A級(85分以上)表示被評價機構(gòu)內(nèi)部控制健全,能夠較好執(zhí)行內(nèi)部控制措施。B級(70分以上)表示被評價機構(gòu)內(nèi)部控制基本健全,某些控制措施存在缺欠。C級(60分以上)表示被評價機構(gòu)內(nèi)部控制薄弱,存在一定風險隱患。D級(59分以下)表示被評價機構(gòu)內(nèi)部控制缺失,存在較大風險隱患。

二、現(xiàn)行內(nèi)部控制審計模式及評價方法存在的缺陷

(一)現(xiàn)行內(nèi)部控制審計評價指標不完整

現(xiàn)行內(nèi)部控制審計評價指標體系未涵蓋內(nèi)部控制環(huán)境、風險評估、內(nèi)部控制的信息及其溝通、內(nèi)部控制監(jiān)督四方面內(nèi)容。在內(nèi)部控制審計過程中,上述四方面無具體的評價標準和依據(jù),審計人員難以做出客觀、公正的評價。例如,在對中支內(nèi)部控制環(huán)境的評價中,涉及職工教育、培訓內(nèi)容時,對應的形式多樣,有的采取集體學習,有的分層次進行。學習內(nèi)容、次數(shù)不同,學習效果不盡相同。評價時,既無量的評價指標,也無質(zhì)的評價指標,無法對學習的效果進行綜合評價。

(二)評價結(jié)果缺乏一致性

內(nèi)部控制活動的優(yōu)劣應與其它四項內(nèi)容有著內(nèi)在的必然的正向聯(lián)系。即內(nèi)部控制活動有效,則內(nèi)部控制環(huán)境優(yōu)良,風險識別及分析科學,信息溝通渠道順暢,內(nèi)部控制監(jiān)控有效。然而,目前的評價體系無法體現(xiàn)五項內(nèi)容的一致性。例如,在錫盟轄區(qū)的內(nèi)部控制審計中發(fā)現(xiàn),個別支行的內(nèi)控得分高于轄區(qū)平均分,內(nèi)控有效率卻低于平均有效率。內(nèi)部控制評價得分與內(nèi)部控制有效率不一致。

(三)評價指標未劃分風險級次

人民銀行總行《指引》要求“分支機構(gòu)進行風險分析時應充分考慮外部和內(nèi)部因素,可采用定性或定量的方法進行風險分析,將風險區(qū)分為高、中、低等不同的風險等級”。但現(xiàn)行審計模式未將風險劃分不同的風險等級進行評價,而是以指標控制有效項數(shù)與指標總項數(shù)之比的有效控制率為評價標準,不能明確反映存在問題風險程度。即使是風險程度不同,只要是控制有效項數(shù)相同,有效率就相同。

(四)缺乏對行政管理職能的審計、評價

現(xiàn)行審計模式側(cè)重對業(yè)務管理內(nèi)容的審計,對行政管理內(nèi)容缺少足夠的關(guān)注。內(nèi)部控制審計工作不應只停留在查錯糾弊的業(yè)務審計上,還應對領(lǐng)導層的行政管理職能進行審計。

(五)評價指標的分析方法單一

現(xiàn)行審計評價指標分析只有定性分析,缺乏必要的定量分析。評價指標體系通過“是”、“否”的簡單方法對風險控制進行定性,不能充分說明風險控制的程度。例如,評價審批業(yè)務中,審計期內(nèi),有些審批符合制度要求,有些審批不符合要求。這樣,在一個審計周期內(nèi),無唯一的評判結(jié)果,不能客觀進行評價。

三、建議實行“風險型”審計模式評價機構(gòu)風險狀況

(一)風險型審計模式目標

一是確保國家法律法規(guī)和內(nèi)部規(guī)章制度的貫徹執(zhí)行;二是堵塞漏洞、消除隱患,及時防止并發(fā)現(xiàn)、糾正錯誤,保護人民銀行資金、財產(chǎn)、人員的安全;三是規(guī)范人民銀行內(nèi)部各部門、各崗位行為,使各項工作及內(nèi)部管理規(guī)范化、標準化,提高工作效率。

(二)風險型審計模式堅持的原則

一是權(quán)威性原則。內(nèi)部控制須符合國家法律法規(guī)、上級行規(guī)章制度,以此約束單位所有人員,任何人不得擁有超越內(nèi)部控制的特權(quán)。二是全面性原則。內(nèi)部控制須涵蓋單位內(nèi)部各項工作及相關(guān)崗位,并針對人、財、物管理中的關(guān)鍵控制點,落實到?jīng)Q策、執(zhí)行、監(jiān)督、反饋等各個環(huán)節(jié)。三是制約性原則。內(nèi)部控制須保證人民銀行內(nèi)部各部門、各崗位的合理設(shè)置及其職責權(quán)限的合理劃分,堅持不相容職務相互分離,確保不同機構(gòu)和崗位之間權(quán)責明確、相互制約、相互監(jiān)督。四是效益性原則。內(nèi)部控制須遵循成本效益、效率優(yōu)先的原則,圍繞提高工作效率和確保內(nèi)控目標實現(xiàn),以合理的控制成本,達到最佳的控制效果。五是適用性原則。內(nèi)部控制須符合單位的實際情況,并隨著業(yè)務的變化、人員的調(diào)整和管理要求的提高,不斷修訂和完善。

(三)內(nèi)控審計評價內(nèi)容

1.領(lǐng)導班子審計評價。重點審計評價:認真履行領(lǐng)導班子職責情況,傳導貨幣政策,落實宏觀調(diào)控措施情況,重大事項決策方面堅持民主集中制原則情況,選拔任用干部情況,領(lǐng)導班子團結(jié)情況,金融風險處置情況,案件防范責任制落實情況,黨風廉政建設(shè)和廉潔自律情況,依法行政情況。

2.辦公室審計評價。重點審計評價:內(nèi)部管理制度建設(shè)和機關(guān)管理事項,要害崗位人員考核事項,密級文件管理事項,檔案管理事項,計算機安全管理事項,行政許可實施事項 ,印章管理事項,財產(chǎn)管理事項。

3.國庫會計評價內(nèi)容。重點審計評價:執(zhí)行國庫會計制度情況,國庫重大事項審批情況,國庫業(yè)務核算情況,中央銀行會計核算系統(tǒng)運行及管理情況,組織指導人民幣反洗錢工作情況,支付結(jié)算管理情況, 印章和重要空白憑證管理情況,賬戶管理情況, 財務管理情況。

4.貨幣金銀審計評價。重點審計評價:崗位設(shè)置是否符合監(jiān)督制約原則,查庫制度執(zhí)行情況,《發(fā)行庫管理子系統(tǒng)》運行情況,發(fā)行基金調(diào)撥情況,庫務管理情況,現(xiàn)金管理情況,反假人民幣管理情況,人民幣流通管理情況。

5.安全保衛(wèi)審計評價。重點審計評價:保衛(wèi)工作制度建設(shè)及落實情況,持槍人員管理情況,保衛(wèi)應急預案演練情況,守庫值勤情況,管庫人員監(jiān)督制約情況,電視監(jiān)控報警系統(tǒng)運行情況,槍彈管理情況,消防安全管理情況,技防設(shè)施管理情況。

6.金融管理評價。重點審計評價:貨幣政策傳導情況, 系統(tǒng)性金融風險監(jiān)測、預警情況,農(nóng)村信用社專項票據(jù)發(fā)行、兌付審查、考核情況,再貸款管理情況,風險處置情況。

7.調(diào)查統(tǒng)計審計評價。重點審計評價:金融統(tǒng)計監(jiān)測管理信息系統(tǒng)運行情況,金融統(tǒng)計監(jiān)督檢查情況,金融統(tǒng)計資料管理情況,征信管理情況。

8.紀檢、內(nèi)審、事后監(jiān)督評價。重點審計評價:黨風廉政建設(shè)情況,執(zhí)法監(jiān)察情況,糾風和行業(yè)作風建設(shè)情況,案件防范和檢查情況,工作管理情況,履行職責審計情況,離任審計情況,內(nèi)控審計情況,審計操作程序執(zhí)行情況,審計結(jié)論定性情況,審計責任落實情況。

9.人事工作評價。重點審計評價:人事檔案管理情況,養(yǎng)老統(tǒng)籌管理情況,干部任免、后備干部、專業(yè)技術(shù)人員管理情況。

10.宣傳群工評價。重點審計評價:黨費管理情況,工會經(jīng)費管理情況,評優(yōu)評先情況。

(四)風險控制點分類

風險型審計模式首先要對各個部門、每項業(yè)務、每個控制環(huán)節(jié)的風險進行分析,內(nèi)部控制的風險點就是內(nèi)控審計的重點,因此分析風險級次、采取相應措施才能有效控制風險,針對現(xiàn)行模式高風險問題失控與低風險問題失控在有效率上無法準確反映風險程度的情況下,按基層人民銀行業(yè)務內(nèi)容可能發(fā)生風險的程度,將控制內(nèi)容劃分為一類風險控制點、二類風險控制點和三類風險控制點。一類風險點包括領(lǐng)導班子、辦公室、國庫會計、貨幣金銀、保衛(wèi)、金融管理六大類,二類風險點包括調(diào)查統(tǒng)計、人事、紀檢內(nèi)審事后監(jiān)督三大類。三類風險點包括黨宣群工一大類。

(五)評價風險等級

采取計算分值的定量分析方法確定內(nèi)部控制風險等級。根據(jù)對各類風險控制點的現(xiàn)場審計結(jié)果及風險狀況,對被審計機構(gòu)做出風險等級劃分,分為低等級風險、中等級風險和高等級風險三個等級風險。

將一類風險控制點每大類總分確定為100分,共六大類,總分為600分;二類風險控制點每大類確定為50分,共三大類,總分為150分;第三類風險控制點每大類為50分,共一大類,總分為50分。

扣分標準:用每大類風險控制點總分除以每大類控制點得分計算,如某項控制無效將扣除本項得分。如國庫會計股共有81個風險點,國庫會計屬一類控制點,用100分除以81,得出每項檢查內(nèi)容分值為1.23,如果一個風險點控制無效則扣除1.23分。

對檢查發(fā)現(xiàn)的問題,以控制點為單位按扣分標準扣分。對部門評價,按其扣分比例確定其內(nèi)控狀況等級,對被審計機構(gòu)總體評價,按得分情況確定其內(nèi)控狀況等級。

1.部門風險等級。將部門內(nèi)控狀況按扣分比例劃分為低等級風險、中等級風險和高等級風險三個等級風險??鄯直壤?%(含5%)以下為低等級風險;扣分比例為25%以下(含25%)為中等級風險;扣分比例在25%以上風險級次為高級風險。

2.機構(gòu)風險等級。將支行總體內(nèi)控狀況等級按得分情況劃分為低等級風險、中等級風險和高等級風險三個等級風險。所有的控制點總分為800分(一類控制點總分600分,二類控制點總分150分,三類控制點50分)。得分在760分以上(含760分)為低等級風險;得分在680分以上(含680分)為中等級風險;得分在680分以下為高等級風險。

(六)劃分責任類別,實行責任追究

風險型審計模式采取定性與定量結(jié)合的方法,監(jiān)督部門根據(jù)檢查或掌握的情況,按內(nèi)部控制點與被監(jiān)督部門關(guān)聯(lián)人的責任進行定性歸類,根據(jù)該控制點的等級和責任性質(zhì)分為領(lǐng)導責任、部門責任、崗位責任和集體責任。

假定總分值為100分。

領(lǐng)導責任(10%):主管行長對所負責的部門工作承擔領(lǐng)導責任。

部門責任(20%):部門責任人對所負責的部門工作承擔領(lǐng)導責任。

崗位責任:崗位責任區(qū)分直接責任、間接責任。直接責任是指內(nèi)部控制點經(jīng)辦人員應主要承擔的責任,直接責任人員承擔該內(nèi)部控制點責任的40%;間接責任是指該內(nèi)部控制點復核人員、事后監(jiān)督人員應承擔的責任,間接責任人員按責任人數(shù)共同分擔余下的30%責任。

篇4

1 風險管理在電力生產(chǎn)管理中的應用流程

風險管理在電力生產(chǎn)管理中有很重要的作用,因而如果想要保證電力生產(chǎn)管理的高效化,就需要完善風險管理,提高企業(yè)的運營效率。如何應用電力生產(chǎn)企業(yè)的風險管理是電力企業(yè)必須要思考的一個重要問題。電力生產(chǎn)管理中的風險管理必須要遵循一定的流程。

1.1 電力生產(chǎn)管理的目標規(guī)劃

目標是一個企業(yè)發(fā)展的方向,只有確定好了目標才能夠保證企業(yè)未來的發(fā)展戰(zhàn)略以及風險管理具有正確性。電力生產(chǎn)管理中,如果想要完善風險管理,第一步就是規(guī)劃企業(yè)的目標。電力生產(chǎn)管理的目標規(guī)劃需要根據(jù)企業(yè)所處的環(huán)境來確定,企業(yè)外部環(huán)境的穩(wěn)定與否與內(nèi)部環(huán)境的協(xié)調(diào)與否都是規(guī)劃目標重要考量標準。在風險管理時期內(nèi),需要考慮企業(yè)的稅收問題,同時確定企業(yè)的未來發(fā)展方向、發(fā)展過程中的重心、發(fā)展方針、企業(yè)風險防控措施。這幾個方面決定了企業(yè)的生產(chǎn)管理的效率的高低。電力生產(chǎn)管理中目標規(guī)劃需要注重企業(yè)內(nèi)外環(huán)境的因素同時還要注重目標的可實施性,以及企業(yè)建設(shè)程度。

1.2 電力生產(chǎn)管理的風險識別

風險識別是電力生產(chǎn)管理中一項中心的環(huán)節(jié),需要企業(yè)管理者識別不同的風險,從而采取風險管理措施。風險識別一方面是要通過技術(shù)支持對相關(guān)專業(yè)內(nèi)容進行風險識別,另一方面也需要對企業(yè)管理層面的問題進行風險識別,這兩個方面相輔相成,具有相互配合的作用,在電力生產(chǎn)管理的風險管理中起到了決定性的作用。

1.3 電力生產(chǎn)管理的風險等級排序

風險等級排序是指根據(jù)對企業(yè)未來會面臨的風險做出相應的預判,然后評價風險的等級。風險等級排序所依據(jù)的因素包括風險發(fā)生的概率、風險產(chǎn)生的不良后果的程度等,根據(jù)這些因素我們可以確定風險的等級的高低,然后分別采取不同的措施。風險發(fā)生概率高、風險產(chǎn)生不良后果嚴重的劃分為等級高的風險,風險發(fā)生概率低、風險產(chǎn)生不良后果較輕的劃分為等級低的風險。風險等級排序需要真實公正的完成評估,減少自己主觀意愿對風險等級評估的影響,這樣才能確保風險等級排序科學合理,具有有效性。

1.4 電力生產(chǎn)管理的風險應對措施

根據(jù)風險等級排序我們需要采取不同的措施來預防風險,對于風險等級高的風險我們要采取更多的人力和物理來減少風險的發(fā)生可能性,針對風險等級較低的風險我們可以適當?shù)臏p小對該風險的預防投入,從而節(jié)約成本,風險應對措施時風險管理中根本性的內(nèi)容,如何合理的應對不同的風險是提高企業(yè)運營效率的重要舉措。我們無法做到完全的避開風險,但是我們可以盡量的減少風險給我?guī)淼膿p失,從而提高電力企業(yè)的盈利效率。

1.5 電力生產(chǎn)管理的風險管理評估

風險管理評估是對企業(yè)風險做出相應的評價,電力生產(chǎn)管理中的風險評估需要從多個方面入手,既要同時注重風險管理之后產(chǎn)生的后果,也要注重管理風險所投入的人力物力的價值。風險管理評估是對風險預防手段與帶來經(jīng)濟效益之比的評價,在完成風險評估過程中,可以及時的了解風險所帶來的影響,從而做出正確的判斷。風險管理的評估應當在風險管理之后及時的進行,對之前發(fā)生的風險管理進行公正的判斷,從而總結(jié)其中的出現(xiàn)的問題以及較好的舉措,這樣的評估可以提高之后風險管理的效率,同時給以后的風險預防提供豐富的經(jīng)驗指導。

2 電力生產(chǎn)管理過程中風險管理出現(xiàn)的問題

電力生產(chǎn)管理是我國重要的經(jīng)濟項目,關(guān)系著國際民生,因而為了提高電力生產(chǎn)管理的效率就需要完善風險管理制度,從而確保電力生產(chǎn)企業(yè)可以達到良好的經(jīng)營效率。但是現(xiàn)階段我國的電力生產(chǎn)管理中的風險管理制度還不夠完善,很多方面還存在著一定問題,下面我們就分析一下電力生產(chǎn)管理過程中存在的風險管理問題。

2.1 電力生產(chǎn)管理中風險管理的預防不夠到位

電力生產(chǎn)管理中風險管理的主要內(nèi)容就是風險預防,針對不同的風險,我們都需要打起精神,不可以松懈,但目前我國電力生產(chǎn)管理過程中普遍存在的問題就是預防不夠到位,例如:我們一直強調(diào)電力生產(chǎn)管理要義安全為主,把安全意識放在第一位,這樣才能夠預防安全事故的發(fā)生,但是很多電力企業(yè)并沒有注意這一問題,在安全方面存在僥幸心理,感覺安全問題不會發(fā)生在自己身上,這種心理想法往往就會導致安全事故的發(fā)生,造成不可估量的風險損失。

2.2 電力生產(chǎn)管理中風險管理以偏概全

電力生產(chǎn)管理中風險管理最切忌以偏概全,電力企業(yè)大多只抓住國家要求的部分風險管理內(nèi)容,把局部內(nèi)容拓展到全部內(nèi)容中,這對企業(yè)的風險防控有著不利的影響。電力生產(chǎn)管理是一個有機的整體,需要管理者從整體出發(fā),全方面的管理企業(yè)電力系統(tǒng)的風險預防工作,減少風險出現(xiàn)帶給企業(yè)的不良影響。我國電力生產(chǎn)管理中很多企業(yè)只是局部完成了風險管理,整個企業(yè)難以全面實現(xiàn)風險管理,這就減少了風險管理的有效性,損害了電力企業(yè)的利益。

篇5

關(guān)鍵詞:安全隱患管理;安全隱患定級;風險管理;風險評估;資產(chǎn)全壽命周期 文獻標識碼:A

中圖分類號:F276 文章編號:1009-2374(2017)02-0186-03 DOI:10.13535/ki.11-4406/n.2017.02.090

現(xiàn)代科學技術(shù)和工業(yè)生產(chǎn)的迅猛發(fā)展,一方面繁榮了經(jīng)濟和人們的生活;另一方面現(xiàn)代化大生產(chǎn)隱藏了眾多的潛在危險。就電力系統(tǒng)而言,電力網(wǎng)絡(luò)不斷擴展,網(wǎng)絡(luò)構(gòu)成及網(wǎng)絡(luò)控制更加復雜,自動化程度不斷提高,高電壓、大電流、長距離輸電使電網(wǎng)穩(wěn)定問題愈加突出?,F(xiàn)代化的工業(yè)和人民生活對電的依賴程度越來越高,對電力可靠性和電壓質(zhì)量的要求不斷提高,對電力設(shè)備的安全隱患排查工作的要求也越來越高。

國內(nèi)電力企業(yè)經(jīng)過多年的發(fā)展和總結(jié),已逐漸擁有完善的安全隱患排查治理方式。但是基層工作人員在進行隱患排查時或是根據(jù)主觀經(jīng)驗判斷或是依照范例進行對比,各種方法均存在一定的局限性,無法將隱患的嚴重程度量化。本文主要是借鑒基于資產(chǎn)全壽命周期的風險評估法,對事件發(fā)生可能性和影響程度進行量化分析,以定量方法確定安全隱患分級,可以更準確地反映安全隱患的嚴重情況。

1 安全隱患概述

1.1 安全隱患定義與分級

安全隱患具體指安全風險程度較高,可能導致事故發(fā)生的作I場所、設(shè)備設(shè)施、電網(wǎng)運行的不安全狀態(tài)、人的不安全行為和安全管理方面的缺失。

根據(jù)可能造成事故后果的影響程度,目前電力企業(yè)安全隱患分為Ⅰ級重大事故隱患、Ⅱ級重大事故隱患、一般事故隱患和安全事件隱患四個等級。其中,Ⅰ級重大事故隱患和Ⅱ級重大事故隱患合稱為重大事故隱患。

1.2 安全隱患定級方法

1.2.1 主觀判斷法。主觀判斷法是指工作人員在匯總現(xiàn)場情況后,征詢有關(guān)專家(一般是基層骨干)的意見,對意見進行統(tǒng)計、處理、分析和歸納,客觀地綜合多數(shù)專家經(jīng)驗與主觀判斷,做出合理估算,經(jīng)過反饋和調(diào)整后,對安全隱患進行定級的方法。主觀判斷法的優(yōu)點是方法簡便易行,定級較快。

但是,由于缺乏統(tǒng)一的“隱患標準”,基層工作人員在隱患判斷、認定、分級等具體工作中,往往只能依據(jù)自身專業(yè)知識進行主觀判斷,寬嚴程度隨人、隨單位而變,造成安全隱患定性不準、分級不當、判定標準不一致、隱患信息不翔實等問題。

1.2.2 范例辨識法。范例辨識法是指工作人員參照安全生產(chǎn)事故隱患范例,依據(jù)其中編制在列已確定的安全隱患,對比實例、分類樣本、描述、文字說明等形式的表述,在實際工作中排查認定安全隱患。

這種方法有效提高了相關(guān)工作人員,特別是一線員工和管理人員排查發(fā)現(xiàn)安全隱患、給隱患分級分類的準確性,切實促進了隱患排查治理工作的開展,范例辨識法本質(zhì)上仍屬于一種定性方法。

1.3 借鑒資產(chǎn)全壽命風險管理思路輔助定級

上述定性方法面臨的主要問題是,電力企業(yè)基層人員對隱患排查治理工作的認知程度有限、生產(chǎn)系統(tǒng)已有設(shè)備缺陷管理流程和隱患排查治理流程之間存在差別,所以無論是主觀判斷法還是范例辨識法均存在一定局限性。我們可以借鑒資產(chǎn)全壽命周期風險管理的思路,采用一種定量方法來輔助安全隱患定級。安全隱患具有安全風險程度較高的特征,因此就可以采用量化風險的基本思路,用資產(chǎn)全壽命周期的風險評估法為安全隱患定級。風險評估法較上述方法,主要在于合理考慮事件發(fā)生可能性,同時擴展事件影響程度的維度。

2 基于資產(chǎn)全壽命周期的風險評估方法

2.1 基于資產(chǎn)全壽命周期風險評估方法

按照風險評估標準,采取既定的評估方法,從風險發(fā)生的可能性與風險影響程度兩個方面進行量化,綜合評定風險值和風險等級:

風險(Risk)=風險發(fā)生的可能性(P)×風險影響程度(F)

式中:R為風險值;P為風險發(fā)生的可能性;F為風險影響程度。

2.2 定量計算風險

在風險評估過程中,各專業(yè)也可根據(jù)自身的專業(yè)特點對風險評估標準進行適當調(diào)整,選擇不同的維度或者增加風險評估模型進行識別和評估,但不同評估標準對風險等級的劃分應保持一致。本文將以全面風險評價為主要模型工具。

2.2.1 風險發(fā)生的可能性P。風險發(fā)生的可能性分為五個級別,分別是極低、低、中等、高、極高。對應業(yè)務發(fā)生頻率為:可能每5年以上發(fā)生該類風險(概率極低);可能每1~5年發(fā)生該類風險(概率低);可能每年發(fā)生該類風險(概率中等);可能每半年發(fā)生該類風險(概率高);可能每月發(fā)生該類風險(概率極高)。以上依次對應1~5分。

2.2.2 風險影響程度F。風險影響程度從電網(wǎng)安全、人員傷亡、社會形象、直接經(jīng)濟損失四個維度分析確定,選取四個因素的最高值作為損失度。每個維度的風險影響程度分為五個級別,并依次對應1~5分。該五個級別的取值參照《資產(chǎn)全壽命風險評估模型》所定義的取值范圍,結(jié)合公司對人身傷亡事故、經(jīng)濟損失的承受能力調(diào)整后確定。

即:

F=Fmax=Max(F1,F(xiàn)2,F(xiàn)3,F(xiàn)4)

電網(wǎng)和設(shè)備安全。將電網(wǎng)安全風險損失度分為五個級別,分別是較小、一般、較大、重大、嚴重。具體內(nèi)容執(zhí)行國家相關(guān)標準法規(guī)所定級別劃分標準,對應影響程度分別為《國家電網(wǎng)公司安全事故調(diào)查規(guī)程》中定義的七級至一級電網(wǎng)和設(shè)備事件;人員傷亡。將人員傷亡風險損失度分為五個級別,分別是較小、一般、較大、重大、嚴重。對應影響程度為人員從輕傷至一至四級人身傷亡事故。

社會影響。將社會形象風險損失度分為五個級別,分別為較小、一般、較大、重大、嚴重。對應影響程度為在縣域至國際范圍不等;直接經(jīng)濟損失。將直接經(jīng)濟損失風險損失度分為五個級別,分別為較小、一般、較大、重大、嚴重。對應影響程度為1000萬元至數(shù)億元不等。

2.3 確定風險等級

2.3.1 一般風險。風險發(fā)生的可能性較低或風險發(fā)生后對公司的綜合損失度較小的風險(1≤風險值≤4)。

2.3.2 中等風險。介于一般風險與重大風險之間的風險(4

2.3.3 重大風險。風險發(fā)生的可能性較高,且發(fā)生后對公司的綜合損失度較大的風險(9

Y軸:P(可能性)

X軸:F(影響程度)

圖1 風險評估矩陣

例如:上圖中A點風險值為2,屬于一般風險;B和C點風險值都為12,屬于重大風險。

2.4 安全隱患與風險分級對應

3 基于資產(chǎn)全壽命的風險評估

以下實例選自某電力企業(yè)安全隱患管理平臺,將對采用風險評估法定級的結(jié)果與傳統(tǒng)定級方法的結(jié)果做出比較。

3.1 實例簡介

某電力公司2014年7月15日檢修公司500kV XXXX5322線#45-#47桿塔(15米)100MW光伏項目施工隱患。500kV XXXX5322線#45-#47桿塔(15米)100MW光伏項目施工中,大型作業(yè)機具距離帶電導線較近,現(xiàn)場作業(yè)人員較多,且該隱患可能一定時期內(nèi)較長時間存在,易造成安全距離不夠?qū)е戮€路故障跳閘和人員群體傷亡事故發(fā)生。

3.2 傳統(tǒng)評估分級

可能導致后果:依據(jù)國家電網(wǎng)公司《安全事故調(diào)查規(guī)程》2.2.7.1條,35千伏以上輸變電設(shè)備異常運行或被迫停運,并造成減供負荷者,構(gòu)成七級電網(wǎng)事件。如果造成人員傷亡依據(jù)不同的人數(shù)構(gòu)成不同等級的人身事故。

采用范例辨識法,查詢“輸電專業(yè)”“違章施工”相關(guān)條目,條目描述“線路保護區(qū)內(nèi)起重作業(yè),不能保證安全距離:220kV ××線#36~#37,110kV ××線#29~#30塔間通過××鋼材市場,導線最低點離地僅15米,鋼材市場起吊作業(yè)頻繁,易造成線路跳閘和人員觸電事故”,屬于“一般隱患”。

3.3 采用基于資產(chǎn)全壽命的風險評估分級

計算風險值:

P取值4――公司可能每半年發(fā)生該類風險(概率低)

F1取值1――符合《國家電網(wǎng)公司安全事故調(diào)查規(guī)程》的七級及以下級電網(wǎng)事件(風險損失度較小)

F2取值4――3人及以上10人以下死亡或者10人及以上50人以下重傷(風險損失度較大)

F3取值2――在地市范圍內(nèi)受到影響,但該影響需要一定時間、付出一定代價消除(風險損失度一般)

F4取值1――100萬元以下(風險損失度較?。?/p>

F=Fmax=Max(F1,F(xiàn)2,F(xiàn)3,F(xiàn)4)=Max(1,4,2,1)=4

R=P*F=4*4=16

確定風險等級和隱患分級:風險值為16,介于(9,25),根據(jù)附表的劃分等級屬于重大風險。

3.4 比較和結(jié)論

風險評估得出的安全隱患分級和原系統(tǒng)錄入時評估的等級不一致,原因是本次事件評估人員未充分考慮事件發(fā)生可能性較高、長期存在且現(xiàn)場人員多等因素。同時,本事件可能引起較嚴重的人身傷亡事故,須引起充分重視,評估人員低估了其影響程度。

4 結(jié)語

電力企業(yè)安全隱患分級工作,是[患排查治理的基礎(chǔ)。安全隱患分級工作,目前普遍采用的主觀判斷法和范例辨識法,經(jīng)過不斷改良和完善,已經(jīng)可以較大滿足實際工作需要。采用基于資產(chǎn)全壽命的風險評估法,對事件發(fā)生可能性和影響程度進行量化分析,定性結(jié)合定量能更有效核證,可以更準確地反映實際情況。基于資產(chǎn)全壽命周期的風險評估法,將能重點應用于需要特別關(guān)注的、可能成為工作焦點的一些隱患的管理,可以更加準確、科學地對隱患進行定義和定級。

采用基于資產(chǎn)全壽命周期的風險評估法雖然能通過定量計算的方法對安全隱患輔助定級,但仍需注意其局限性:(1)雖然基于資產(chǎn)全壽命周期的風險評估法適用面較廣,但由于風險評估所采用的取值范圍的局限性和通用性,其評估結(jié)果有時不能準確反映出管理者期待的個性化結(jié)果,宏觀的變量取值可能難以反映微觀的事件本質(zhì),即客觀性和主觀性不能完全統(tǒng)一,有時應根據(jù)企業(yè)承受風險能力和實際情況對理論取值進行調(diào)整;(2)基于資產(chǎn)全壽命周期的風險評估法在實際使用過程中工作量較大,無法完全替代現(xiàn)有定級方法,其應用范圍受到一定的限制,所以應篩選出有上述特定隱患或存在爭議的實例加以運用。

相信在今后電力企業(yè)安全隱患分級工作不斷總結(jié)經(jīng)驗的基礎(chǔ)上,基于資產(chǎn)全壽命周期的風險評估法會得到進一步完善,更能確切的指導隱患排查治理工作的全面有效開展。

參考文獻

[1] 國家電網(wǎng)公司.國家電網(wǎng)公司安全事故調(diào)查規(guī)程(國家電網(wǎng)安監(jiān)[2011]2024號)[S].2011.

[2] 國家電網(wǎng)公司.國家電網(wǎng)公司安全生產(chǎn)事故隱患范例(一)(國家電網(wǎng)安監(jiān)[2010]68號)[S].2010.

篇6

關(guān)鍵詞:風險評估;信息安全;評估技術(shù)

中圖分類號:TP309文獻標識碼: A 文章編號:1007-9599 (2010) 11-0000-01

Information System Security Risk Assessment Methods StudyChen Liandong1,Lv Chunmei2

(1.Hebei Electric Power Research Institute,Shijiazhuang050000,China;2.North China Electric Power University,Baoding071003,China)

Abstract:The scientific risk assessment is essential to the protection of information systems security,the paper on information security risk management has been introduced,and the variety of risk assessment methods are analyzed and compared.

Keywords:Risk assessment;Information security;Assessment techniques

隨著計算機技術(shù)的發(fā)展,網(wǎng)絡(luò)攻擊、病毒破壞、電腦黑客等信息竊取和破壞事件越來越多,信息安全問題日益突出,因此進行信息系統(tǒng)安全管理具有重要意義。風險評估是信息安全管理的依據(jù),信息系統(tǒng)進行科學的風險分析和評估,發(fā)現(xiàn)系統(tǒng)存在問題,對于保護和管理信息系統(tǒng)至關(guān)重要。

一、信息安全技術(shù)風險管理

信息安全是保護信息系統(tǒng)抵御各種威脅的侵害,確保業(yè)務保密性和連續(xù)性,使系統(tǒng)遭受風險最小化[1]。信息系統(tǒng)安全包括安全管理技術(shù)、風險評估、策略標準以及實施控制等多方面的內(nèi)容。信息安全管理體系(Information Security Management System,ISMS)是信息系統(tǒng)管理體系的一個部分,包括建立、實施、操作、監(jiān)測、復查、維護和改進信息安全等一系列的管理活動,涉及策略準則、計劃目標、人員責任、過程和方法等諸多因素[1]。ISO27001是英國標準協(xié)會的關(guān)于建立和維護信息安全管理體系的標準。ISO27001要求建立ISMS框架過程為:確定管理體系范圍,制定安全策略,明確管理責任,通過風險評估確定信息安全控制目標和控制方式[2]。當信息管理體系建立起來,則可以循環(huán)實施、維護和持續(xù)改進ISMS,保持體系運作的有效性。

二、風險評估方法概述

風險評估能夠檢測系統(tǒng)面臨的威脅、潛在的安全漏洞和脆弱性,針對性地提出防護和整改措施,保障系統(tǒng)安全。完整的風險評估過程包括:前期調(diào)研,了解需求;制定項目計劃,明確范圍,確定各項評估指標體系,成立評估小組;識別并評估信息資產(chǎn);估算威脅發(fā)生的可能性;識別脆弱點及其嚴重成度;進行風險描述,計算風險值,劃分風險等級,得出評估分析報告;制定風險控制方法,進行風險處理。

風險計算描述如下:Risk=R(A,T,V)

其中R是安全評估風險函數(shù),A是資產(chǎn),T是威脅,V是脆弱性。由此公式可以計算風險值,估計信息系統(tǒng)的安全等級,以及風險對系統(tǒng)的破壞程度或者可能造成的損失程度。下面從不同的角度分析風險評估,得到劃分如下。

(一)基于技術(shù)評估和基于整體評估

基于技術(shù)評估是指對信息系統(tǒng)現(xiàn)有的技術(shù)水平進行評估,包括信息安全人員技術(shù)水平、網(wǎng)絡(luò)防護技術(shù)、信息系統(tǒng)抗攻擊能力等方面進行評估?;谡w評估是從信息系統(tǒng)整體分析,確定信息系統(tǒng)所屬等級,參照等級保護劃分規(guī)則,在對系統(tǒng)定級的基礎(chǔ)上進行風險評估。

(二)基于知識分析和基于模型分析

基于知識分析的風險評估方法是依靠評估者經(jīng)驗進行,采用獲取專家評估經(jīng)驗,對評估指標因素進行分析,評估信息系統(tǒng)安全?;谀P头治龅脑u估方法采用建模的方法,分析系統(tǒng)內(nèi)部以及和外部交互時可能產(chǎn)生的危險因素,從而完成資產(chǎn)、威脅和脆弱性的分析。

(三)定性評估、定量評估和綜合評估

定性評估是指對評估對象各個因素進行相應價值的判斷。需要評估者對評估對象進行定性描述,如只關(guān)注威脅事件帶來的損失,忽略了威脅發(fā)生的概率,因此得出的評估結(jié)果主觀性強,具有數(shù)量化水平低等特點。定量評估主要分析資產(chǎn)的價值,威脅發(fā)生概率和脆弱點存在的可能性,用量化的數(shù)據(jù)進行表示,但是量化數(shù)據(jù)具有不精確特點。綜合評估方法采用定量和定性結(jié)合的方法,通常是先進行總體性質(zhì)的確定,然后進行定量分析,在量化基礎(chǔ)上再進行定性分析。

三、典型評估方法比較

下面列出幾種典型風險評估方法,有故障樹分析、事件樹分析等,趨于定性分析,BP神經(jīng)網(wǎng)絡(luò)、風險評審技術(shù)方法趨于定量分析,還有一些綜合評估方法,如層次分析法[3]。

(一)故障樹分析:通過對可能造成系統(tǒng)危險的各種初始因素進行分析,畫出故障樹,計算整體風險發(fā)生概率。特點是簡明形象,邏輯關(guān)系復雜,適用于找出各種實效事件之間的關(guān)系。

(二)事件樹分析:是一種邏輯演繹法,它在給定的一個初因事件的前提下分析此事件可能導致的各種事件序列的結(jié)果,可用于找出一種實效引起的后果或各種不同的后果,提高業(yè)務影響分析的全面性和系統(tǒng)性。

(三)BP神經(jīng)網(wǎng)絡(luò):是一種按誤差逆向傳播算法訓練的多層前饋網(wǎng)絡(luò),具有自學習能力,能夠?qū)崿F(xiàn)輸入和輸出之間的復雜非線性關(guān)系。缺點是風險因素的權(quán)值確定較難,優(yōu)點是有自學能力,問題抽象化,適用于事故預測和方案擇優(yōu)。

(四)風險評審技術(shù)方法:通過模擬實際系統(tǒng)研制時間、費用及性能分布,針對不同條件對信息系統(tǒng)的風險進行預測,需多次訪問,數(shù)據(jù)準確性要求高。

(五)層次分析法:是一種多指標綜合評價方法。首先將相互關(guān)聯(lián)、相互制約的因素按它們之間的隸屬關(guān)系排成若干層次,再利用數(shù)學方法,對各因素層排序,最后對排序結(jié)果進行分析。特點是減少了主觀因素中的影響,需求解判斷矩陣的最大特征根以及對應的特征向量。適用于為決策者提供定量形式的決策依據(jù)。

四、結(jié)束語

本文介紹了信息系統(tǒng)安全管理,分析風險評估的流程,對風險評估方法整體從不同角度的進行劃分,其中對幾種典型的評估方法進行了比較和分析。風險評估對于信息安全管理具有重要的意義,相信以后還會出現(xiàn)新的,更加科學的風險評估方法。

參考文獻:

[1]宋曉莉,王勁松.信息安全風險評估方法研究[J].網(wǎng)絡(luò)安全技術(shù)與應用,2006,12:67-68

篇7

文章編號:1005-913X(2015)12-0113-03

一、人民銀行信息技術(shù)審計中風險導向內(nèi)審模式的構(gòu)建思路

隨著信息化的迅猛發(fā)展,信息技術(shù)已經(jīng)滲透到各個金融管理和服務領(lǐng)域。中央銀行的業(yè)務工作對信息技術(shù)的依賴程度不斷提高,信息安全和技術(shù)風險問題也日益受到關(guān)注,在人民銀行系統(tǒng)全面開展信息技術(shù)審計應得到各部門的高度重視。信息技術(shù)審計是面對計算機信息系統(tǒng)的審計,其目標是通過對計算機信息系統(tǒng)資產(chǎn)所面臨的威脅、脆弱性識別,以及管理和環(huán)境風險水平計算,來評估審計對象科技信息安全狀態(tài)和存在的不足的流程,探索建立人民銀行信息科技審計模型,發(fā)現(xiàn)和識別在科技信息系統(tǒng)的風險點和控制薄弱環(huán)節(jié),提出有針對性的意見和建議,促進和維護計算機系統(tǒng)的合規(guī)性、安全性、可靠性及有效性。

二、人民銀行信息技術(shù)審計風險評估指標體系構(gòu)建

(一)資產(chǎn)重要性識別

資產(chǎn)是具有價值的信息或資源,是安全策略保護的對象。它能夠以多種形式存在,有無形的、有形的,有硬件、軟件,有文檔、代碼,也有服務、形象等。機密性、完整性和可用性是評價資產(chǎn)的三個安全屬性。信息科技審計中資產(chǎn)的價值不僅僅以資產(chǎn)的賬面價格來衡量,而是由資產(chǎn)在這三個安全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的。安全屬性達成程度的不同將使資產(chǎn)具有不同的價值,而資產(chǎn)面臨的威脅、存在的脆弱性、以及已采取的安全措施都將對資產(chǎn)安全屬性的達成程度產(chǎn)生影響。根據(jù)資產(chǎn)的表現(xiàn)形式,可將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、文檔、服務、人員等類。

通過對資產(chǎn)的機密性、完整性和可用性綜合分析評定,可以對被審計資產(chǎn)的重要性給出一個評估結(jié)論。筆者將資產(chǎn)重要性劃分為五級,級別越高表示資產(chǎn)重要性程度越高。具體見表1。

(二)資產(chǎn)威脅識別

威脅是一種對組織及其資產(chǎn)構(gòu)成潛在破壞的可能性因素,是客觀存在的。造成威脅的因素可分為人為因素和環(huán)境因素。根據(jù)威脅的動機,人為因素又可分為惡意和無意兩種。環(huán)境因素包括自然界不可抗的因素和其它物理因素。威脅作用形式可以是對信息系統(tǒng)直接或間接的攻擊,例如非授權(quán)的泄露、篡改、刪除等,在機密性、完整性或可用性等方面造成損害;也可能是偶發(fā)的、或蓄意的事件。根據(jù)人民銀行科技信息工作實際,根據(jù)表現(xiàn)形式,威脅主要分為以下幾類。見表2。

判斷威脅出現(xiàn)的頻率是威脅識別的重要工作,審計人員應根據(jù)經(jīng)驗和(或)科技部門提供的有關(guān)的統(tǒng)計數(shù)據(jù)來進行判斷。根據(jù)人民銀行工作實踐,判斷依據(jù)主要包括以下三個方面。

1.以往安全事件報告中出現(xiàn)過的威脅及其頻率的統(tǒng)計。

2.實際環(huán)境中通過檢測工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計。

3.近一兩年來國際組織的對于整個社會或特定行業(yè)的威脅及其頻率統(tǒng)計,以及的威脅預警。

威脅頻率等級劃分為五級,分別代表威脅出現(xiàn)的頻率的高低。等級數(shù)值越大,威脅出現(xiàn)的頻率越高。表3提供了威脅出現(xiàn)頻率的一種賦值方法。

(三)資產(chǎn)脆弱性識別

脆弱性是對一個或多個資產(chǎn)弱點的總稱。脆弱性識別也稱為弱點識別,弱點是資產(chǎn)本身存在的,如果沒有相應的威脅發(fā)生,單純的弱點本身不會對資產(chǎn)造成損害。而且如果系統(tǒng)足夠強健,再嚴重的威脅也不會導致安全事件,并造成損失。即,威脅總是要利用資產(chǎn)的弱點才可能造成危害。

脆弱性識別將針對每一項需要保護的資產(chǎn),找出可能被威脅利用的弱點,并對脆弱性的嚴重程度進行評估。脆弱性識別時的數(shù)據(jù)應來自于資產(chǎn)的所有者、使用者,以及相關(guān)業(yè)務領(lǐng)域的專家和軟硬件方面的專業(yè)等人員。脆弱性識別所采用的方法主要有:問卷調(diào)查、工具檢測、人工核查、文檔查閱、滲透性測試等。

脆弱性識別主要從技術(shù)和管理兩個方面進行,技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應用層等各個層面的安全問題。管理脆弱性又可分為技術(shù)管理和組織管理兩方面,前者與具體技術(shù)活動相關(guān),后者與管理環(huán)境相關(guān)。具體識別內(nèi)容見表4。

可以根據(jù)對資產(chǎn)損害程度、技術(shù)實現(xiàn)的難易程度、弱點流行程度,采用等級方式對已識別的脆弱性的嚴重程度進行賦值。脆弱性由于很多弱點反映的是同一方面的問題,應綜合考慮這些弱點,最終確定這一方面的脆弱性嚴重程度。對某個資產(chǎn),其技術(shù)脆弱性的嚴重程度受到組織的管理脆弱性的影響。因此,資產(chǎn)的脆弱性賦值還應參考技術(shù)管理和組織管理脆弱性的嚴重程度。

脆弱性嚴重程度的等級劃分為五級,分別代表資產(chǎn)脆弱性嚴重程度的高低。等級數(shù)值越大,脆弱性嚴重程度越高。見表5。

(四)風險分析

審計人員在完成了資產(chǎn)識別、威脅識別、脆弱性識別,將采用適當?shù)姆椒ㄅc工具確定威脅利用脆弱性導致安全事件發(fā)生的可能性,考慮安全事件一旦發(fā)生其所作用的資產(chǎn)的重要性及脆弱性的嚴重程度判斷安全事件造成的損失對組織的影響,即安全風險。風險計算以下面的范式形式化加以說明:

風險值=R(A,T,V)= R(L(T,V),F(xiàn)(Ia,Va ))

其中,R表示安全風險計算函數(shù);A表示資產(chǎn);T表示威脅;V表示脆弱性; Ia表示安全事件所作用的資產(chǎn)重要程度;Va表示脆弱性嚴重程度;L表示威脅利用資產(chǎn)的脆弱性導致安全事件發(fā)生的可能性;F表示安全事件發(fā)生后產(chǎn)生的損失。有以下三個關(guān)鍵計算環(huán)節(jié)。

1.計算安全事件發(fā)生的可能性

根據(jù)威脅出現(xiàn)頻率及脆弱性狀況,計算威脅利用脆弱性導致安全事件發(fā)生的可能性,即:

安全事件發(fā)生的可能性=L(威脅出現(xiàn)頻率,脆弱性)=L(T,V )

在具體評估中,應綜合攻擊者技術(shù)能力(專業(yè)技術(shù)程度、攻擊設(shè)備等)、脆弱性被利用的難易程度(可訪問時間、設(shè)計和操作知識公開程度等)以及資產(chǎn)吸引力等因素來判斷安全事件發(fā)生的可能性。

2.計算安全事件發(fā)生后的損失

根據(jù)資產(chǎn)重要程度及脆弱性嚴重程度,計算安全事件一旦發(fā)生后的損失,即:

安全事件的影響=F(資產(chǎn)重要程度,脆弱性嚴重程度)=F(Ia,Va )

部分安全事件的發(fā)生造成的影響不僅僅是針對該資產(chǎn)本身,還可能影響業(yè)務的連續(xù)性;不同安全事件的發(fā)生對組織造成的影響也是不一樣的。在計算某個安全事件的損失時,應將對組織的影響也考慮在內(nèi)。

3.計算風險值

根據(jù)計算出的安全事件發(fā)生的可能性以及安全事件的損失,計算風險值,即:

風險值=R(安全事件發(fā)生的可能性,安全事件的損失)=R(L(T,V),F(xiàn)(Ia,Va ))

具體計算方法可以采用風險矩陣測量法。

這種方法的特點是根據(jù)以上過程事先估算的資產(chǎn)價值、威脅等級和脆弱性等級賦值建立一個對應矩陣,預先將風險等級進行了確定。然后根據(jù)不同資產(chǎn)的賦值從矩陣中確定不同的風險。資產(chǎn)風險判別矩陣如表6所示。

對于每一資產(chǎn)的風險,都將考慮資產(chǎn)價值、威脅等級和脆弱性等級。例如,如果資產(chǎn)值為3,威脅等級為“高”,脆弱性為“低”。查表可知風險值為5。如果資產(chǎn)值為2,威脅為“低”,脆弱性為“高”,則風險值為4。由上表可以推知,風險矩陣會隨著資產(chǎn)值的增加、威脅等級的增加和脆弱性等級的增加而擴大。

當一個資產(chǎn)是由若干個子資產(chǎn)構(gòu)成時,可以先分別計算子資產(chǎn)所面臨的風險,然后計算總值。例如:系統(tǒng)S有三種資產(chǎn)A1,A2,A3。并存在兩種威脅:T1,T2。設(shè)資產(chǎn)A1的值為3,A2的值為2,A3的值為4。如果對于A1和T1,威脅發(fā)生的可能性為“低”,脆弱性帶來的損失是“中”,則頻率值為1(見表1)。則A1的風險為4。同樣,設(shè)A2的威脅可能性為“中”,脆弱性帶來損失為“高”,得風險值為6。對每種資產(chǎn)和相應威脅計算其總資產(chǎn)風險值??傁到y(tǒng)分數(shù)ST=A1T + A2T + A3T。這樣可以比較不同系統(tǒng)來建立優(yōu)先權(quán),并在同一系統(tǒng)內(nèi)區(qū)分各資產(chǎn)。

(五)風險結(jié)果判定

風險等級劃分為五級,等級越高,風險越高。審計人員應根據(jù)所采用的風險計算方法為每個等級設(shè)定風險值范圍,并對所有風險計算結(jié)果進行等級處理,最終給予審計對象一個審計結(jié)果。見表7。

人民銀行應當綜合考慮風險控制成本與風險造成的影響,提出一個可接受風險閾值。對某些風險,如果評估值小于或等于可接受風險閾值,是可接受風險,可保持已有的安全措施;如果評估值大于可接受風險閾值,是不可接受風險,則需要采取安全措施以降低、控制風險。安全措施的選擇應兼顧管理與技術(shù)兩個方面,可以參照信息安全的相關(guān)標準實施。

在對于不可接受風險選擇適當?shù)陌踩胧┖螅瑸榇_保安全措施的有效性,可進行再審計,以判斷實施安全措施后的殘余風險是否已經(jīng)降低到可接受的水平。

某些風險可能在選擇了適當?shù)陌踩胧┖笕蕴幱诓豢山邮艿娘L險范圍內(nèi),應考慮是否接受此風險或進一步增加相應的安全措施。

三、人民銀行信息技術(shù)審計中應注意的問題

在信息技術(shù)審計中如何堅持風險導向?qū)徲嬍且粋€不斷摸索、不斷總結(jié)提高的過程。筆者認為,只有不斷積累風險數(shù)據(jù)信息,持之以恒的加強人才培養(yǎng),新舊審計模式互為補充,才能更進一步發(fā)揮好內(nèi)部審計職能。因此,應注意以下幾點。

(一)建立動態(tài)的風險信息數(shù)據(jù)庫,為運用現(xiàn)代風險導向?qū)徲嬆J教峁┬畔⒒A(chǔ)

由于內(nèi)部審計時間資源有限,不可能對所有的監(jiān)督內(nèi)容和所有的環(huán)節(jié)進行全面監(jiān)督,比較科學的辦法是建立一個完整的審計風險模型,對造成審計風險的多種因素進行全面分析和評估,發(fā)現(xiàn)被審計單位內(nèi)部控制中的薄弱環(huán)節(jié),確定審計的重點和范圍,從而制定更具有針對性的審計策略。

(二)新型審計模式的運用并不意味著舊審計模式的消亡

風險導向?qū)徲嬍窃趥鹘y(tǒng)審計模式基礎(chǔ)上發(fā)展起來的新型審計模式,立足于對被審計對象整體風險管理進行系統(tǒng)審查、分析和評價,并以此確定審計策略及審計計劃。因此,必須注重新舊審計模式的有機結(jié)合。將風險導向?qū)徲嬂砟钊谌雮鹘y(tǒng)審計模式,可以使傳統(tǒng)審計項目內(nèi)容得以擴展,審計更加靈活,更好地堅持全面審計、突出重點的原則。

(三)重視信息技術(shù)審計人才的培養(yǎng),為風險導向?qū)徲嬏峁┲橇χС?/p>

人民銀行運用風險導向?qū)徲嫹椒?,不僅要求內(nèi)部審計人員熟練掌握有關(guān)規(guī)章制度,還要求審計人員利用審計職業(yè)獨特的判斷力,在實際運用中對審計風險點加以判斷。因此,復合型人才培養(yǎng)與儲備是運用風險導向?qū)徲嫹椒ū夭豢缮俚那疤釛l件。要通過各類后續(xù)教育及培訓,進一步更新內(nèi)部審計人員業(yè)務知識,提升專業(yè)勝任能力,逐步建立起具有現(xiàn)代知識素養(yǎng)和職業(yè)水平的內(nèi)部審計干部隊伍。

篇8

關(guān)鍵詞:電子政務外網(wǎng) 安全保障體系 計算區(qū)域 網(wǎng)絡(luò)基礎(chǔ)設(shè)施 計算區(qū)域邊界 安全域 等級保護 風險評估

一、前言

國家電子政務外網(wǎng)(以下簡稱政務外網(wǎng))是中辦發(fā)[2002]17號文件明確規(guī)定要建設(shè)的政務網(wǎng)絡(luò)平臺。政務外網(wǎng)是政府的業(yè)務專網(wǎng),主要為黨委、人大、政府、政協(xié)、法院和檢察院各級政務部門服務,運行各級政務部門面向社會的專業(yè)業(yè)務和不需要在內(nèi)網(wǎng)上運行的業(yè)務。

為保證電子政務外網(wǎng)的安全運行,中辦發(fā)[2003]27號文和[2006]18號文明確提出,電子政務外網(wǎng)與政務內(nèi)網(wǎng)之間采用物理隔離,政務外網(wǎng)與互聯(lián)網(wǎng)之間采用邏輯隔離。政務外網(wǎng)的建設(shè)要按照信息安全等級保護的有關(guān)要求,分別采用相應的保護措施,通過建立統(tǒng)一的密碼和密鑰管理體系、網(wǎng)絡(luò)信任體系和安全管理體系,分級、分層、分域保障信息安全。

二、政務外網(wǎng)(一期工程)安全需求

⒈政務外網(wǎng)安全防護對象

政務外網(wǎng)的基礎(chǔ)網(wǎng)絡(luò)環(huán)境如圖1所示。

依據(jù)政務外網(wǎng)的網(wǎng)絡(luò)環(huán)境,政務外網(wǎng)的安全防護對象分為如下三類:計算區(qū)域、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和計算區(qū)域邊界。

⑴計算區(qū)域

政務外網(wǎng)所涉及的計算環(huán)境有:中央網(wǎng)絡(luò)管理中心計算區(qū)域、各省市節(jié)點的二級網(wǎng)絡(luò)管理中心計算區(qū)域、中央城域網(wǎng)接入單位計算區(qū)域以及外網(wǎng)骨干網(wǎng)接入的各省市節(jié)點的計算區(qū)域。

在各計算區(qū)域內(nèi)主要防護如下對象:

①數(shù)據(jù)資源,主要包括各應用系統(tǒng)管理的數(shù)據(jù)資源;

②軟件資源,包括系統(tǒng)軟件、網(wǎng)絡(luò)軟件、支撐軟件和應用系統(tǒng)等;

③中心計算機;

④存儲介質(zhì),包括數(shù)據(jù)備份磁帶、軟盤、可讀寫光盤等;

⑤用戶,包括普通操作員、業(yè)務管理員、高級業(yè)務管理員以及系統(tǒng)(數(shù)據(jù)庫)管理員和網(wǎng)絡(luò)管理員等。

⑵網(wǎng)絡(luò)基礎(chǔ)設(shè)施

政務外網(wǎng)所要防護的網(wǎng)絡(luò)基礎(chǔ)設(shè)施主要有:各計算區(qū)域的網(wǎng)絡(luò)基礎(chǔ)設(shè)施,以及實現(xiàn)各計算區(qū)域相聯(lián)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。

⑶計算區(qū)域邊界

由于計算區(qū)域與其他外部實體相聯(lián)而產(chǎn)生區(qū)域邊界,區(qū)域邊界與計算區(qū)域直接相關(guān),與計算區(qū)域相聯(lián)的外部實體的性質(zhì)直接決定區(qū)域邊界的保護的策略。

政務外網(wǎng)中的計算區(qū)域邊界主要有:與中央城域網(wǎng)相聯(lián)的各計算區(qū)域因與中央城域網(wǎng)相聯(lián)而產(chǎn)生的區(qū)域邊界以及這些區(qū)域與互聯(lián)網(wǎng)等外部實體相聯(lián)而產(chǎn)生的區(qū)域邊界、各省市節(jié)點計算區(qū)域因與政務外網(wǎng)骨干網(wǎng)相聯(lián)而產(chǎn)生的區(qū)域邊界以及這些區(qū)域與互聯(lián)網(wǎng)等外部實體相聯(lián)而產(chǎn)生的區(qū)域邊界。

⒉安全需求

根據(jù)政務外網(wǎng)的特點,政務外網(wǎng)的安全需求體現(xiàn)在如下幾方面:

①建設(shè)政務外網(wǎng)安全信任體系,確保政務外網(wǎng)資源不能被非法用戶訪問;

②建設(shè)政務外網(wǎng)數(shù)據(jù)交換中心,確保不同安全域之間的安全數(shù)據(jù)交換;

③確保政務外網(wǎng)的安全保障體系具有高可靠性,并具有可審計、可監(jiān)控性;

④實現(xiàn)政務外網(wǎng)統(tǒng)一的安全管理體系;

⑤確保政務外網(wǎng)與互聯(lián)網(wǎng)的安全互連。

三、政務外網(wǎng)安全保障體系框架

政務外網(wǎng)要為政務部門的業(yè)務系統(tǒng)提供網(wǎng)絡(luò)、信息、安全等支撐服務,為社會公眾提供政務信息服務。從政務外網(wǎng)的實際出發(fā),政務外網(wǎng)的安全保障體系設(shè)計應重點針對政務外網(wǎng)的如下特點:

①政務外網(wǎng)必須與互聯(lián)網(wǎng)邏輯隔離;

②政務外網(wǎng)主要運行面向社會的專業(yè)業(yè)務,這些業(yè)務所涉及的業(yè)務信息具有面向公眾的特性,所以保護業(yè)務信息的完整性、可鑒別性以及抗抵賴性十分重要;

③政務外網(wǎng)是國家電子政務的基礎(chǔ)性網(wǎng)絡(luò)環(huán)境,支持電子政務系統(tǒng)互聯(lián)互通、數(shù)據(jù)交換、信息共享、業(yè)務互動、便民服務的需求,所以政務外網(wǎng)要滿足公用網(wǎng)絡(luò)安全可信的需求;

根據(jù)以上分析,政務外網(wǎng)(一期工程)安全保障體系由網(wǎng)絡(luò)防護體系、網(wǎng)絡(luò)信任體系、安全管理體系、安全服務體系等構(gòu)成,邏輯模型如圖2所示。

⒈網(wǎng)絡(luò)安全防護體系

網(wǎng)絡(luò)安全防護系統(tǒng)是政務外網(wǎng)安全保障體系中最重要的安全設(shè)施,主要保護電子政務外網(wǎng)的各子網(wǎng)網(wǎng)絡(luò)節(jié)點及整個電子政務外網(wǎng),保證整個政務外網(wǎng)及相關(guān)業(yè)務系統(tǒng)的可用性、完整性、可控性等。網(wǎng)絡(luò)安全防護系統(tǒng)重點要考慮防火墻系統(tǒng)、入侵防御系統(tǒng)、防病毒系統(tǒng)、遠程安全接入系統(tǒng)、流量監(jiān)測系統(tǒng)等的配置和建設(shè)。

政務外網(wǎng)的網(wǎng)絡(luò)安全防護體系將涵蓋以下幾個方面:

⑴物理安全

保證政務外網(wǎng)中各種骨干設(shè)備的物理安全是整個政務外網(wǎng)安全的前提。物理安全是保護計算機網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災、火災等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。

⑵網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全主要考慮VPN、防火墻、入侵檢測系統(tǒng)、非法外聯(lián)監(jiān)控系統(tǒng)、PKI接入認證網(wǎng)關(guān)等安全設(shè)備在政務外網(wǎng)中的配置與部署。

⑶系統(tǒng)層安全

系統(tǒng)層安全主要包括漏洞掃描、操作系統(tǒng)安全加固、數(shù)據(jù)庫安全加固。

⑷應用層安全

應用層安全主要考慮應用系統(tǒng)的鑒別、授權(quán)和訪問控制等安全機制。

⒉網(wǎng)絡(luò)信任體系

網(wǎng)絡(luò)信任體系是為網(wǎng)絡(luò)用戶、設(shè)備提供信息安全服務的具有普適性的信息安全基礎(chǔ)設(shè)施。該體系在統(tǒng)一的安全認證標準和規(guī)范基礎(chǔ)上提供在線身份認證、授權(quán)管理和責任認定。其核心是要解決信息網(wǎng)絡(luò)空間中的信任問題,確定信息網(wǎng)絡(luò)空間中各種經(jīng)濟和管理行為主體(包括組織和個人)身份的唯一性、真實性和合法性,保護信息網(wǎng)絡(luò)空間中各種主體的安全利益。政務外網(wǎng)網(wǎng)絡(luò)信任體系的建設(shè)與政務外網(wǎng)的安全運營息息相關(guān),是電子政務安全運行的支撐基礎(chǔ)設(shè)施。

政務外網(wǎng)(一期工程)的網(wǎng)絡(luò)信任體系,主要是在國家主管部門的指導下,建設(shè)政務外網(wǎng)身份認證系統(tǒng),組建政務外網(wǎng)身份認證管理協(xié)調(diào)機構(gòu)和技術(shù)保障隊伍,制定有關(guān)政務外網(wǎng)身份認證的相關(guān)標準體系、管理運行規(guī)章制度和規(guī)范,逐步形成統(tǒng)一的政務外網(wǎng)網(wǎng)絡(luò)信任體系。

⒊安全服務體系

政務外網(wǎng)安全服務體系主要由安全評估和安全培訓組成。安全評估主要是對政務外網(wǎng)及其處理的傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學識別和掃描評估的過程。安全評估的主要目的是定期對網(wǎng)絡(luò)系統(tǒng)進行安全性分析,及時發(fā)現(xiàn)并修正動態(tài)運行的網(wǎng)絡(luò)系統(tǒng)中存在的弱點和漏洞,認清信息安全環(huán)境、信息安全狀況,明確責任,采取或完善安全保障措施,并使信息安全策略保持一致性和持續(xù)性。

⒋安全管理體系

安全并非只是一個技術(shù)問題,它也是一個關(guān)于人和管理的問題。安全不是個產(chǎn)品,它是一個完整的過程。作為一個過程,它有人、技術(shù)、流程這3個組成部分,這些組成部分匹配得越好,過程進展得就越順利。

安全管理在政務外網(wǎng)的安全保密中占有非常重要的地位,即使有了較完善的安全保密技術(shù)措施,如果管理的力度不夠,將會造成很大的安全隱患。因此,必須加強安全保密管理,設(shè)置安全保密管理機構(gòu),制定嚴格的安全保密管理制度,采用適當?shù)陌踩C芄芾砑夹g(shù)將政務外網(wǎng)中各種安全保密產(chǎn)品進行集成,并加強對人員的管理。

安全管理體系的建設(shè)包括安全保密管理機構(gòu)的建立、安全保密制度的制定、安全保密管理技術(shù)的使用以及人員的管理等幾方面內(nèi)容,這里不再予以贅述。只有通過建立科學、嚴密的安全管理體系,不斷完善管理行為,形成一個動態(tài)的安全過程,才能為政務外網(wǎng)提供制度上的保證。

四、幾個重要問題

在整個政務外網(wǎng)(一期工程)安全保障體系的規(guī)劃和建設(shè)當中,有幾個重要問題需要特別說明。

⒈安全域劃分

政務外網(wǎng)要為政務部門的業(yè)務系統(tǒng)提供網(wǎng)絡(luò)、信息、安全等支撐服務,為社會公眾提供政務信息服務,要滿足政府公用網(wǎng)絡(luò)安全可信的需求。所以,在政務外網(wǎng)內(nèi)有必要劃分不同的安全域,定義每個安全域的物理或邏輯邊界,形成隸屬于由單一安全策略權(quán)威定義和執(zhí)行的公共安全策略的安全要素的集合,有利于每個安全域共享相似的安全策略。

政務外網(wǎng)具有數(shù)據(jù)量龐大、業(yè)務復雜多樣、安全等級各異的特點,因此安全域的劃分遵循以下原則:

①根據(jù)信任等級劃分安全域。在政務外網(wǎng)中,要為政務信息資源和國家基礎(chǔ)信息資源的登記、備案、、交換和共享提供服務,同時相關(guān)的業(yè)務系統(tǒng)也要有連接到互聯(lián)網(wǎng)和有需求的其它單位,不同的系統(tǒng)由于處理的數(shù)據(jù)和交互的實體不同,需要在不同的位置或業(yè)務流程中,劃分不同的安全域。

②根據(jù)業(yè)務節(jié)點類型,對不同的節(jié)點劃分相應的安全域,并配置和節(jié)點業(yè)務量相匹配的安全措施和安全設(shè)備。在政務外網(wǎng)中,政務外網(wǎng)要連接不同類型的網(wǎng)絡(luò)節(jié)點,網(wǎng)絡(luò)節(jié)點的安全等級決定了安全域的劃分和安全設(shè)施的投資建設(shè)規(guī)模。

③依據(jù)數(shù)據(jù)的安全等級,在存儲和傳輸?shù)牟煌瑓^(qū)域,劃分安全域,并采用不同的安全策略,體現(xiàn)數(shù)據(jù)的分等級保護。

根據(jù)以上原則,在政務外網(wǎng)中,網(wǎng)絡(luò)各節(jié)點的局域網(wǎng)構(gòu)成相對獨立的安全域,并在各節(jié)點內(nèi)部進行安全域細化。政務外網(wǎng)中,按節(jié)點所劃分的安全域有中央網(wǎng)絡(luò)管理中心局域網(wǎng)、中央城域網(wǎng)接入節(jié)點單位、各省市節(jié)點的二級網(wǎng)絡(luò)管理中心局域網(wǎng)和各省市節(jié)點的各自的接入網(wǎng)絡(luò)。

⒉等級保護

根據(jù)公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室2007年聯(lián)合頒布的43號文件《信息安全等級保護管理辦法》的相關(guān)規(guī)定,為保障電子政務外網(wǎng)的網(wǎng)絡(luò)安全,對電子政務外網(wǎng)需采用等級保護機制。等級保護以網(wǎng)絡(luò)安全域劃分為基礎(chǔ),電子政務外網(wǎng)包括網(wǎng)絡(luò)基礎(chǔ)設(shè)施,包括眾多接入網(wǎng)絡(luò),各個子網(wǎng)絡(luò)又包括不同的應用系統(tǒng)。只有根據(jù)這些資產(chǎn)的重要性以及它們面臨的安全威脅的不同,結(jié)構(gòu)化地劃分為安全域,才能有效地進行安全保護。

根據(jù)政務外網(wǎng)的邏輯結(jié)構(gòu)、安全域劃分情況、面向?qū)ο蠹皯媚J?,中央網(wǎng)絡(luò)管理中心局域網(wǎng)、中央城域網(wǎng)接入節(jié)點單位二級網(wǎng)絡(luò)管理中心局域網(wǎng)和各省區(qū)市接入節(jié)點二級網(wǎng)絡(luò)管理中心局域網(wǎng),至少要達到第三級(監(jiān)督保護級)的要求。對于這類的安全域,將依照國家管理規(guī)范和技術(shù)標準進行自主保護,并接受信息安全監(jiān)管職能部門的監(jiān)督、檢查。

中央城域網(wǎng)接入節(jié)點單位接入網(wǎng)絡(luò)和各省區(qū)市接入節(jié)點單位接入網(wǎng)絡(luò)至少要達到第二級(指導保護級)的要求。對于這類安全域,將在信息安全監(jiān)管職能部門的指導下,依照國家管理規(guī)范和技術(shù)標準進行自主保護。

⒊風險評估

在政務外網(wǎng)(一期工程)安全保障體系規(guī)劃和設(shè)計時,國家信息中心網(wǎng)絡(luò)安全部將風險管理的思想引入到政務外網(wǎng)的建設(shè)中,獲取規(guī)劃和設(shè)計階段的政務外網(wǎng)的安全風險,提出并確定外網(wǎng)安全建設(shè)的要求,改進規(guī)劃中的不合理因素,為后續(xù)的網(wǎng)絡(luò)建設(shè)的實施提供安全建設(shè)依據(jù)。此次事前評估范圍主要是政務外網(wǎng)一期工程第一階段工程初步設(shè)計規(guī)劃方案,評估著重考慮外網(wǎng)規(guī)劃中系統(tǒng)平臺的安全性。為支持整個風險評估過程的推進,國家信息中心網(wǎng)絡(luò)安全部成立了由領(lǐng)導層、相關(guān)業(yè)務骨干、外網(wǎng)相關(guān)人員等組成的風險評估小組。評估結(jié)束后,針對不可接受的風險,風險評估小組對規(guī)劃和設(shè)計做了相應的修改,很好地兼顧了風險與成本的平衡。

五、結(jié)語

根據(jù)政務外網(wǎng)(一期工程)安全保障體系整體規(guī)劃和一期工程建設(shè)進度安排,政務外網(wǎng)中央節(jié)點安全保障體系已初步建成。通過幾個月的試運行,整個政務外網(wǎng)安全保障體系運轉(zhuǎn)良好,初步達到了預期的設(shè)計目標。下一步的工作重點將是:進一步完善政務外網(wǎng)安全保障體系,建立健全政務外網(wǎng)安全管理機制,明確各級網(wǎng)管部門安全管理責任;開展信息安全風險評估工作,按照信息安全等級保護的要求,對全網(wǎng)分級、分層、分域確定信息安全等級;從技術(shù)和管理兩方面入手,不斷完善信息安全保障體系,初步建成統(tǒng)一的政務外網(wǎng)信任體系,形成面向外網(wǎng)用戶的服務能力。

作者簡介:

王勇,男,漢族,1977年生,山東鄄城人,國家信息中心網(wǎng)絡(luò)安全部工程師;研究方向:網(wǎng)絡(luò)安全。

篇9

(一)安全風險識別在進行安全風險評價前,首先需要識別安全風險,安全風險識別應全面系統(tǒng)地分析公司目前安全生產(chǎn)現(xiàn)狀,根據(jù)安全生產(chǎn)業(yè)務或安全風險載體進行初步分類,對能導致風險事件的風險因素分類,然后對每項風險因素再進行細分,從而識別公司安全生產(chǎn)過程中存在的安全風險。〔3〕按照深圳燃氣負責地上管道燃氣系統(tǒng)維護與燃氣供應業(yè)務的管道氣客戶服務分公司(以下簡稱客服分公司)目前安全生產(chǎn)現(xiàn)狀,可能導致風險事件的風險因素包含6個一級風險因素,18個二級風險因素,若干個基本風險因素。一級、二級風險因素稱為綜合風險因素,基本風險因素對應日常生產(chǎn)業(yè)務基本單元。(二)安全風險分析參照公司有關(guān)安全數(shù)據(jù)信息及應急安全管理狀況,對每個安全風險因素存在的安全風險發(fā)生頻率和危害程度進行分析,初步判斷其安全風險狀況,為建立風險評價模型做好基礎(chǔ)工作。

安全風險評價

(一)建立安全風險評價模型依據(jù)風險識別和風險分析的結(jié)果,綜合考慮綜合風險因素和基本風險因素的風險狀況,建立安全風險評價模型,為開展安全風險評價和風險管理提供科學依據(jù)。建立風險評價模型可以采用以下兩種方法。1、風險檢查評分法針對各風險因素,設(shè)立事故控制、隱患控制、法律法規(guī)及安全管理制度、日常安全管理及措施落實、應急救援及事故處理等五個風險值評價指標,設(shè)定各項指標權(quán)重,制定檢查標準,編制風險檢查評分表,對需要進行風險評價的風險因素進行評分,對于每一項風險因素,各評價指標的權(quán)重設(shè)定可以是不同的,權(quán)重設(shè)定根據(jù)實際情況可以調(diào)整,最后計算出該風險因素的風險值(degree),用D表示。風險檢查評分法是通過安全檢查的形式進行評分,優(yōu)點是可以結(jié)合公司日常安全檢查工作開展,缺點是定量性不夠,更多依靠檢查人員的專業(yè)素質(zhì)。2、風險指數(shù)(風險度)計算法按照風險事件發(fā)生的頻率和該風險所導致的事故危險程度計算各基本風險因素的風險指數(shù),最后計算出綜合風險因素的綜合風險指數(shù)。風險指數(shù)(或風險度),指的是由于某種安全風險( 或危險) 因素導致的不安全程度或風險程度( degree),用Di表示:Di =PiCi?!癷 表示第i 種風險因素,Pi表示風險導致的事故發(fā)生頻率(probability),Ci表示風險導致的事故后果(consequence)?!备骰撅L險因素的安全風險指數(shù)Di 反映了該風險因素的安全風險程度,Di越高,說明該風險因素的安全風險越大?!?〕綜合風險因素的風險指數(shù)Dj由下一級風險因素的風險指數(shù)綜合而成,可以表示為:Dj = ΣD(j+1)i =ΣP(j+1)i C(j+1)i;i表示風險因素項,i = 1,2,…,n;j 表示風險因素級別,j = 0,1,2…,n。綜合風險因素的安全風險指數(shù)Dj 反映了該風險因素的安全風險程度,D 值越高,說明該項風險因素安全風險越大。風險指數(shù)(風險度)計算法是風險管理風險評價的傳統(tǒng)方法,優(yōu)點是可以比較準確地評價出該風險因素的風險指數(shù),難點是有關(guān)數(shù)據(jù)的收集和確定。(二)實施安全風險評價為了順利開展安全風險評價工作,在制定好風險評價管理辦法,確定好風險評價的依據(jù)和具體標準后,還應落實安全風險評價具體工作流程和評價小組機構(gòu)設(shè)置及安排,明確安全風險評價的具體工作要求。根據(jù)安全生產(chǎn)實際情況,選擇好需要評價的風險因素和合理的風險評價模型,便可以實施安全風險評價。根據(jù)風險因素的風險指數(shù)或風險值,對某種基本風險因素或綜合風險因素進行風險級別的評定,按照風險指數(shù)或風險值將風險劃分為高風險等級、中等風險等級和低風險等級三級,以便管理者按照不同的風險等級實施有針對性的管理。其劃分方法是給出Di和Dj 的各種風險等級的閾值。對高風險、中風險、低風險可以分別采取用紅、黃、綠三種色標,并以公開公示的方式實行分級掛牌管理?!?〕安全風險評價周期可以設(shè)定每年一次,具體根據(jù)安全管理實際需要可適當調(diào)整。風險評價小組選定需要進行評價的風險因素,選定評價模型,安全風險評價前評價小組應了解每個安全風險因素的操作流程和作業(yè)環(huán)節(jié),確定業(yè)務關(guān)鍵點作為安全評價的重點。安全風險評價時應確保數(shù)據(jù)的真實性和準確性,數(shù)據(jù)來源應可靠有效,可通過多種手段獲取基礎(chǔ)信息,包括安全數(shù)據(jù)統(tǒng)計分析、業(yè)務交流、各類現(xiàn)場安全檢查等?,F(xiàn)場檢查包括實地查看、抽查抽樣、現(xiàn)場測試等方式了解實際情況,收集匯總資料,如有抽樣的數(shù)據(jù)應考慮時間、區(qū)域等因素,抽取數(shù)據(jù)應具有代表性。為了確保安全風險評價的客觀性,安全風險評價小組成員應嚴格遵守評價管理辦法,以積極態(tài)度開展評價工作。

構(gòu)筑安全管理防線,做好風險的預警和控制

篇10

關(guān)鍵詞:哈薩克斯坦;資本流動;可拓物元模型;風險測度

中圖分類號:F733 文獻標識碼:A 文章編號:1001-148X(2017)03-0086-07

哈薩克斯坦是我國重要的經(jīng)貿(mào)合作伙伴,我國對哈薩克斯坦的資本輸出方式主要以直接投資、國際信貸為主,哈薩克斯坦宏觀經(jīng)濟環(huán)境不穩(wěn)定性、債務結(jié)構(gòu)不合理性,以及金融市場的脆弱性是中國對哈薩克斯坦資本流動所面臨的潛在風險。本文嘗試構(gòu)建多維可拓物元模型,以資本流動風險為預警對象生成物元矩陣,并對區(qū)間值進行可拓分析,結(jié)合關(guān)聯(lián)度計算方法達到對監(jiān)測樣本預警的目的,以期為該領(lǐng)域的研究提供參考。

一、資本流動風險可拓物元模型構(gòu)建及指標變量選擇

(一)資本流動風險可拓物元模型構(gòu)建

1.資本流動風險評價物元

物元由事物N、事物特征c及特征的取值v構(gòu)成的三元組,即R=(N,c,v)。資本流動風險預警評價模型是以資本流動為“事物”,以風險評價指標體系為特征,以各指標的取值為特征值,三者構(gòu)成了資本流動風險評價物元。假設(shè)資本流動風險評價指標體系數(shù)量為m,則其所對應的物元矩陣為:

2.資本流動風險預警評價經(jīng)典物元和節(jié)域物元

資本流動風險預警評價經(jīng)典物元是將資本流動風險有效地劃分為不同等級,使其成為定性、定量綜合評價的物元。假設(shè)對各資本流動風險評價指標進行等級數(shù)量劃分為s,則資本流動風險預警評價經(jīng)典物元矩陣為:

其中R0j代表資本流動風險處于第j級時的物元矩陣,N0j代表第j級時的安全系數(shù),a0jk,b0jk代表資本流動風險為第j級時第k個指標的取值范圍。

資本流動風險預警評價節(jié)域物元是由各風險評價指標的取值范圍構(gòu)成,即:

其中Rp表示資本流動風險預警綜合測度物元模型的節(jié)域,Np表示資本流動風險所屬等級, vpk=a0jk,b0jk表示風險評價指標xk的取值范圍,且有3資本流動風險預警等級的判斷

依據(jù)風險評價指標實際值構(gòu)成的物元矩陣和經(jīng)典物元矩陣之間的關(guān)聯(lián)函數(shù)來判斷資本流動風險預警所屬等級的大小,vk代表指標實際值,定義與區(qū)間a0jk,b0jk和區(qū)間apk,bpk的接近度:

則待評價物元第k個指標隸屬于第j預警等級的關(guān)聯(lián)度為:

kj(vk)=p(vk,v0jk)p(vk,vpk)-p(vk,v0jk),j=1,2,…,s;k=1,2,…,m

若kj(vk)>0,說明的風險等級屬于第j級,且kj(vk)取值越大,其屬于第j級風險的屬性就越多;若kj(vk)=0,表示xk的風險等級處于第j級與相鄰級別的臨界點上;若kj(vk)

資本流動風險評價的最終結(jié)果,即與第j級預警等級的關(guān)聯(lián)程度的計算公式為:

Kj(R)=∑mk=1wkkj(vk), j=1,2,…,s,wk指各指標的權(quán)重系數(shù)。

依據(jù)關(guān)聯(lián)性最大原則:K(p)=maxj=1,2,…sKj(R),可得到資本流動風險的最終評價值K(p)及其所處的預警等級j。

(二)指標變量選擇及數(shù)據(jù)來源

鑒于中國對哈薩克斯坦資本流動形式主要以直接投資和國際信貸為主,本文結(jié)合哈薩克斯坦的實際現(xiàn)狀,擬從經(jīng)濟風險、資本規(guī)模風險、資本結(jié)構(gòu)風險、資本市場風險、銀行市場風險、文化風險、政治風險及法律風險方面構(gòu)造指標評價體系(如表1所示),選取的研究期限為2002-2014年,數(shù)據(jù)均通過世界銀行、哈薩克斯坦中央銀行整理計算得來,政治風險指數(shù)來源于PRS Group。

二、中國對哈薩克斯坦資本流動風險測度分析

對指標數(shù)據(jù)進行標準化處理:對于正向指標按Xij=(xij-minxij1j13)/(maxxij1j13-minxij1j13)進行標準化處理,對于逆向指標按Xij=(maxxij-1j13xij)/(maxxij1j13-minxij1j13)進行標準化處理,標準化后的指標取值分布于[0,1]區(qū)間內(nèi)。

由于⒅泄對哈薩克斯坦資本流動風險水平劃分為五個等級,需將任意評價指標Xi的取值區(qū)間劃分為五個標準區(qū)間,即[ak1,bk1]、[ak1,bk1]、[ak1,bk1]、[ak1,bk1]、[ak1,bk1]??紤]到同步預警功能的重要性及預警操作的便利性,本文對各預警指標的標準區(qū)間進行同質(zhì)化處理,即對任意評價指標Xi(1i32)的標準區(qū)間設(shè)定為:[09,10]、[07,09]、[05,07]、[03,05]、[00,03],各標準區(qū)間所對應的預警等級及信號顯示分別為一級風險(綠燈)、二級風險(黃燈)、三級風險(橙燈)、四級風險(紅燈)、五級風險(紫燈)。

構(gòu)建中國對哈薩克斯坦資本流動風險預警的經(jīng)典域物元矩陣與節(jié)域物元矩陣如下:

以2002年為例,將評價指標標準化數(shù)據(jù)代入關(guān)聯(lián)度的計算公式,可得到各指標與風險等級的關(guān)聯(lián)度(如表2所示)。本文采用熵權(quán)法、變異系數(shù)法、相關(guān)系數(shù)法、CRITIC法對資本流動風險評價指標的權(quán)重進行測算,最后取測算結(jié)果的平均值可得評價指標的權(quán)重系數(shù)wk為:

由此可知2002年中國對哈薩克斯坦資本流動的風險等級為二級,風險水平相對較低,達到黃色預警。 采用這種計算方法可得到2003-2014年中國對哈薩克斯坦資本流動的風險狀態(tài)(如表3所示),從中可以看出中國對哈薩克斯坦資本流動的風險呈現(xiàn)出階段性特征,國際金融危機以前整體風險水平相對較低,風險級別基本處于三級以下,警情為黃色、橙色及綠色預警。國際金融危機爆發(fā)至今的風險水平有了突變,風險級別達到四級及以上,警情為紅色及紫色預警,其中2008年、2010年、2014年達到了五級水平。資本流動風險水平上升的深層次原因在于哈薩克斯坦產(chǎn)業(yè)結(jié)構(gòu)的單一性及全球經(jīng)濟的疲軟。作為依靠能源發(fā)展的哈薩克斯坦缺乏有效分散投資風險的渠道,一旦出現(xiàn)外部因素導致能源出口危機就可能引起資本流動的逆轉(zhuǎn)。

為了探索中國對哈薩克斯坦投資風險的主要來源,本文將資本流動風險的八種形式所屬指標與風險等級的關(guān)聯(lián)度及權(quán)重系數(shù)代入公式,分別測算出不同資本流動風險形式與預警等級的關(guān)聯(lián)度,依據(jù)最大化原則最后確定中國對哈薩克斯坦資本流動2002-2014年的風險狀態(tài)如表4所示:2008年以后,經(jīng)濟風險、資本流動規(guī)模風險、資本流動結(jié)構(gòu)風險、資本市場風險、銀行市齜縵占罷治風險是導致中國對哈薩克斯坦資本流動整體風險發(fā)生突變的主要因素,風險級別在四級以上,達到紅色及紫色預警;文化風險及法律風險水平相對較低,風險級別處于三級以下。

三、中國對哈薩克斯坦資本流動風險預警分析

為了把握中國對哈薩克斯坦資本流動風險的變化趨勢,合理分散資本流動風險,需要對未來年份資本流動的風險狀態(tài)進行預警分析。本文對2015-2019年資本流動風險評價指標進行數(shù)值預測,所選取的預測模型為GM(1,1)模型,具體步驟如下:

對預測后的指標數(shù)據(jù)進行標準化處理,結(jié)果如表5所示。依照資本流動風險測度模式構(gòu)造預警物元模型,采用同樣的計算方法得出2015-2019年中國對哈薩克斯坦資本流動整體風險及分類別風險水平的測算結(jié)果,見表6和表7。從表6可以看出未來五年中國對哈薩克斯坦資本流動整體風險依然較大,風險級別均為五級,達到紫色預警。從表7可以看出經(jīng)濟風險、資本結(jié)構(gòu)風險、資本市場風險、政治風險在預測年份均達到了紅色及以上預警,這是導致中國對哈薩克斯坦資本流動整體風險偏大的主要原因,也是未來五年中國對哈薩克斯坦資本流動需重點關(guān)注的風險種類。資本規(guī)模風險自2015年開始出現(xiàn)短暫的下降后,2018年和2019年重新達到五級水平,而銀行市場風險則呈不斷下降的趨勢;文化風險和法律風險依然較低,整體風險水平均處于三級及以下。

四、主要結(jié)論及啟示

本文從資本輸出國的研究視角分析了中國對哈薩克斯坦投資的風險現(xiàn)狀及變化趨勢,并對綜合風險進行了測度及預警分析,主要得到以下結(jié)論:

第一,中國對哈薩克斯坦資本流動風險易受到國際宏觀經(jīng)濟環(huán)境變化的沖擊,2008年以后整體風險水平相對較高,達到紅色及紫色預警,其中資本流動綜合風險在2008年、2010年、2014年均達到了紫色預警。

第二,經(jīng)濟風險、資本流動規(guī)模風險、資本流動結(jié)構(gòu)風險、資本市場風險、銀行市場風險及政治風險是導致中國對哈薩克斯坦資本流動整體風險發(fā)生突變的主要因素。

第三,預警結(jié)果顯示未來五年中國對哈薩克斯坦資本流動風險整體水平依然較高,均達到紫色預警,經(jīng)濟風險、資本結(jié)構(gòu)風險、資本市場風險、政治風險是未來五年我國對哈薩克斯坦資本流動需重點關(guān)注的風險種類。

由于世界經(jīng)濟運行依然處于深層次的調(diào)整之中,各國經(jīng)濟仍將面臨國際貿(mào)易和投資持續(xù)低迷等多種風險和挑戰(zhàn)。如何有效化解資本輸出在不確定性國際環(huán)境影響下的潛在風險,提高資本輸出效益是我國急需解決的難題。對于投資哈薩克斯坦而言,我國將面臨巨大的資本流動風險,如何防范及化解資本流動風險對于深化中哈多方面互利合作意義深遠。我國應在中哈關(guān)于“絲綢之路經(jīng)濟帶”建設(shè)與“光明之路”新經(jīng)濟政策對接合作的機制下,在深化能源資源合作的同時進一步擴大對非能源領(lǐng)域的投資,以分散對哈薩克斯坦的投資過度集中于能源領(lǐng)域的風險;同時,充分發(fā)揮行業(yè)協(xié)會、商業(yè)組織以及投資企業(yè)的協(xié)同力量,完善對哈薩克斯坦經(jīng)濟領(lǐng)域、社會領(lǐng)域等方面的信息共享機制,建立健全資本流動風險預警體系,防范資本流動風險帶來的危害,保持對哈薩克斯坦資本流動規(guī)模的有序穩(wěn)定及結(jié)構(gòu)的合理優(yōu)化。

參考文獻:

[1]劉文翠,楊錦平.人民幣實際匯率變動對中國在哈薩克斯坦FDI影響的實證分析[J].新疆社會科學,2015(2):88-94.

[2]Jeffrey Sachs, Aaron Tornell, and Andres Velasco. Financial Crises in Emerging Markets: The Lessons from 1995[J].Brookings Papers on EconomicActivity, 1996(1): 147-217.

[3]張元萍,孫剛.金融危機預警系統(tǒng)的理論透析與實證分析[J].國際金融研究,2003(10):32-38.

[4]Graciela L. Kaminsky, Saul Lizondo, and Carmen M. Reinhart. Leading Indicators of Currency Crises [J].IMF Staff Papers, 1998(45):1-48.

[5]Berg, Andrew and Catherine Pattillo. Are Currency Crises Predictable? A Test[R].IMF Staff Papers,1999.

[6]Jeffrey A. Frankel and Andrew K. Rose. Currency Crashes in Emerging Markets: An Empirical Treatment [J].Journal of International Economics, 1996(41).

[7]朱鈞鈞,謝識予,許祥云.基于空間Probit面板模型的債務危機預警方法[J].數(shù)量經(jīng)濟技術(shù)經(jīng)濟研究,2012(10):100-114.