安全風險等級劃分標準范文
時間:2023-06-04 10:02:40
導語:如何才能寫好一篇安全風險等級劃分標準,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
關鍵詞:空管;不安全事件;評估方法
隨著我國民航事業的飛速發展,空管保障受到了很大的壓力,我國對影響空管的不安全事件危險等級實施量化評估,根據空中不安全事件發生的狀況,對不安全事件進行統計分析,劃分不同嚴重程度和不同等級的不安全事件,具體可以分為一般不安全事件、一般事故征候及嚴重事故征候三個等級。不同的嚴重等級可利用相關指標進行界定,對于量化這些指標,就要參考國外的空中管理標準的界定,同時要對不安全事件危險等級的量化進行評估,為此,我國的空中管理必須要研究和建立適合本國的不安全事件的量化評估指標體系。
一、空管安全風險
空中交通管理風險的嚴重程度不一,危險程度可大可小,這主要是根據安全風險的特性來決定,空管安全風險具有動態性、復雜性、挑戰性等特點,這些不穩定的因素導致整個空管系統的內部和外部更難于管理,也決定了不同的安全風險可以劃分為不同的分類標準,具體的劃分是由不同的影響因素所決定,即人為因素風險、設備因素風險、環境因素風險、管理因素風險等,這是安全風險的四類系統風險。因此,空管安全風險系統中的內外部環境決定了不安全事件發生的可能性,空管在特定的時間、環境下,會存在不確定的因素造成空管不安全事件的發生,嚴重的事件就會引發事故,甚至造成人員傷亡和財產損失。
二、空管安風險影響因素
空管風險因素是由不安全的事件所誘發,不安全事件在空管風險中隨處可見,針對空管風險中的不安全因素,如果其處于萌芽狀態,那么對空管安全系統來說,通常不會造成重大的故障問題。但當多種因素在同一地點、同一時間耦合后,各個因素就會互相產生影響,并產生相互作用,一旦這些產生共振作用就會擴大風險,對空管安全系統造成很大的威脅,甚至造成系統故障。
一是空管安全風險中的人為因素。在整個空管系統中,人為因素所導致的安全事故是可以避免的,在該系統中,人是安全的主導因素,在安全控制中,由人為行為控制的工作可以是管制、導航、氣象服務等業務,人為的生理、心里、技術等自身的因素變化,也會誘發一定的風險。人為的技術因素,由于其自身的安全意識不強,加之專業技能掌握的不夠牢靠,對規章制度不夠熟悉,特別是對空中的航行情報掌握的不夠全面,這些由于技術問題而引發的違規操作,就會導致不安全事件的發生。
二是空管安全風險中的設備因素。空管設備隨著科學技術的進步,其功能也更加的強大,航空器所依賴的導航設備、飛行運用的照明設備、用于通信的設備以及地面對空中的監控設備等,這些設備的自動化程度都很高。然而設備因素也會引發一些風險,例如設備自身的設計問題、設備效率、設備維修和維護、系統軟件等問題,這些問題都會導致設備故障,以致未能及時對航空器進行信號監控,從而導致不安全事件的發生。
三是空管安全風險中的環境因素。環境因素往往是空管極力避免的誘發因素,環境因素比較復雜,包括了自然環境和社會環境。航空器在空中飛行難免會遇到惡劣的氣候條件,而且氣候變化多端,難以控制,加之空中交通運輸的日益繁忙,空中交通流量過大、過密,會造成信號干擾,導致不安全風險的發生。另外,社會中的非法活動等也會造成不安全事件的發生。
四是空管安全風險中的管理因素。管理因素在空管的安全運行過程中起著重要卻又隱性的作用,管制人員的搭配、值班模式的輪換、管制現場的工作秩序和工作流程以及管制工作標準都是管理工作的內容,直接影響到管制員地配合、精神狀態、管制工作效率及管制服務質量等內容,從而在一定程度上對空管運行的安全水平產生影響。
三、量化評估方法
空管要建立評估指標體系,首先要確立目標。不安全事件的發生可能由于多種因素所導致,其危險程度也不一樣。因此,對危險等級要進行衡量,根據危險等級所劃分出來的指標來確定各個級別的操作責任,對不安全事件危險程度的等級,依據風險影響因素,按照垂直間隔、水平間隔、接近率、航跡夾角、人員狀態等評估標準,可以將不安全事件危險量化在一定的范圍內,劃分為不同危險分值標準范圍。將危險程度分值范圍進行迭加,空管不安全事件危險等級就劃分為三個級別,包括低等級嚴重,即一般不安全事件,該級別的評估分值在75分以下;中等級嚴重,即一般事故征候,該評估分值在75-89分之間;高等級嚴重,即嚴重事故征候,該評估分值在90分以上。根據評估等級與分值,人們在對不安全事件進行調查時,其評估的主要事件是針對中等級嚴重和高等級嚴重,依據詳細的分值標準劃分,可以幫助人們準確的找到操作錯誤發生的原因和根源,并將其作為典型事例以免類似事件的再次發生,嚴格的控制了飛行安全與管理。
四、小結
空中管理的重要管理內容是對不安全事件的管理與控制。首先要明確不安全事件的量化評估方法,由于空管不安全事件的誘發因素較多,所以要分析根據不同程度的誘導因素,而建立評估指標體系,通過對空管不安全事件的量化評估,來評定事件的嚴重程度,并在應用實例中證明該方法的可行性和合理性。
參考文獻:
篇2
關鍵詞:長輸天然氣管道;風險評估;失效可能性;失效后果
風險值長輸天然氣管道,在運行一定時間后,都可能發生因腐蝕、第三方破壞、設備及操作、本體安全等因素造成的泄露或破裂事故。天然氣具有易燃、易爆特點,發生事故后嚴重影響著人民群眾的正常生活和生命財產安全[1]。盡管使用單位在設計、安裝及運行維護期間采取各種方法防止事故的發生,但由于管線敷設環境的特殊性,一般的措施難以確保天然氣管線的長期安全運行。然而,風險評估技術,作為埋地管道完整性管理的核心,其通過對管線的潛在危險源識別和失效后果分析,得出風險值,將風險進行量化,得出不同的風險等級,從而有針對性的制定出風險防控措施。該方法能夠合理運用有限的人力、物力、財力等資源條件,達到有效降低風險的目的[2]。目前,半定量的風險評估方法是我國使用較為普遍的風險評估方法。國內現行有效的針對埋地管道的半定量風險評估標準有兩個,分別是GB/T27512-2011《埋地鋼質管道風險評估方法》和SY/T6891.1-2012《油氣管道風險評價方法第一部分:半定量評價法》。這兩個標準均是以誘發管道事故的各種風險因素為依據,以影響因素發展成危險事故的可能性為條件,以事故造成的綜合損失為考量指標,依據細則對管線的各區段進行評價,以風險值的大小來對管線不同區段的風險等級作出綜合評價,然而兩者在管段劃分原則、失效后果和失效可能性的評分體系、風險值計算、風險等級劃分等方面又各有特點[3]。本文主要依據GB/T27512-2011對待檢管道進行評估。
1待檢管線基本情況
某長輸天然氣管線長度104005m,設計壓力4.0MPa,設計溫度常溫,級別為GA2,投用日期2004年6月,設計規范為GB50251-2003、SY/T0015-1998、SY/T0019-1997,驗收規范為SY0401-1998、SY/T4079-1995、SY/T0019-1997,詳細參數如表1。沿途經過了戈壁灘、公路、河流、農田、鄉村、城鎮等,部分地區車流量和人流量較大。審查資料發現,使用單位有專職部門和人員進行管線的巡檢,但安全管理制度不太完善,未提供壓力管道安全管理人員、巡檢人員上崗證,管線無使用登記證、監督檢驗報告,未提供年度檢查報告,管線運行維護記錄不齊全,對管線沿線公眾教育不夠。
2半定量風險評估方法
GB/T27512-2011主要依據風險評估的基本原理,首先對待檢管線進行區段劃分,從事故發生的可能性和事故后果兩方面綜合評估埋地管道在實際使用工況和環境條件下的風險程度,是一種基于專家打分的半定量風險評估方法,以風險值的大小對管線各區段作出綜合評價。管道風險值(R)=失效可能性得分(S)×失效后果得分(C)。
2.1失效可能性的評分方法
待檢管線屬于在役階段,故本文采用在役埋地鋼質管道基本模型進行失效可能性評分。輸氣管道在役階段失效可能性評分從第三方破壞得分(S1)、腐蝕得分(S2)、設備(裝置)及人員操作得分(S3)、管道本體安全得分(S4)四個方面進行評價。失效可能性得分S=100-(0.25S1+0.25S2+S3+S4)。第三方破壞主要影響因素有地面活動水平、埋深、占壓、地面裝置及保護措施、公眾對管道的保護意識、用戶對公眾宣傳情況、巡線、管道標識等;腐蝕由大氣腐蝕、內腐蝕、土壤腐蝕組成;設備(裝置)及人員操作因子主要包括設備(裝置)功能及安全質量、設備(裝置)的維護保養、設備(裝置)的操作、人員培訓考核、安全管理制度等構成;管道本體安全主要涉及設計、制造、施工及地質條件等相關內容。
2.2失效后果的評分方法
在役階段埋地鋼質管道失效后果評分,主要涉及介質的短期危害性、介質的最大泄露量、介質的擴散性、人口密度、沿線環境、泄露原因和供應中斷對下游用戶影響七個方面,依據管線相關實際情況進行逐項半定量評分,失效后果得分為每個方面的得分之和。
3實例分析
本次評價依據檢測結果、人口密度、環境狀況等對管線進行區段劃分,共分為3段,結果如表2。
3.1失效可能性的評分
依據失效可能性評分方法,依次從第三方破壞得分(S1)、腐蝕得分(S2)、設備(裝置)及人員操作得分(S3)、管道本體安全得分(S4)四個方面進行評分,具體賦分參照GB/T27512-2011附錄D。3.1.1第三方破壞(S1)評分如上所述,第三方破壞由不同的影響因素構成,各個因素得分總和才是第三方破壞總得分,如表3所示。3.1.2腐蝕(S2)評分在役輸氣管線腐蝕得分由大氣腐蝕、內腐蝕、土壤腐蝕三部分組成,腐蝕得分為三部分評分之和,如表4所示。3.1.3設備(裝置)及操作(S3)的評分輸氣管道設備(裝置)及操作(S3)的得分由設備(裝置)功能及安全質量、維護保養、操作、人員培訓與考核、安全管理制度、防錯裝置6部分組成,總得分為6部分得分之和,如表5所示。3.1.4管道本質安全質量(S4)的評分由上節可知,管道本質安全質量包括設計施工控制、檢測及評價、自然災害及防范措施和其他4部分,具體評分如表6所示。因此,該長輸天然氣管線在用階段失效可能性評估結果如表7所示,從失效可能性評分表可知:1)三區段第三方破壞的得分分別為60.5、50.5、35,此得分主要是由于沿線人口密度、建設活動、敷設區域的環境不同引起的;2)三區段腐蝕的得分為55.5、55、61,得分不同,主要是敷設環境不同;3)三區段設備(裝置)及操作得分均為56,說明管道按同一模式進行管理;4)三區段本體安全得分為65.5、68.5、68,得分不同,主要是敷設環境、是否處在地震帶等不同。
3.2失效后果計算
失效后果評分模型,從介質的短期危害性、介質的最大泄漏量、介質的擴散性、人口密度、沿線環境、泄漏原因和供應中斷對下游用戶影響7個方面對在役埋地鋼質管道失效后果進行半定量評分。失效后果得分為每個方面的得分之和,每個方面得分又為其下設的各子評分項之和。各區段失效后果的評價結果如表7所示。3.3風險值計算及風險等級劃分由上述可知,管道風險值(R)=失效可能性得分(S)×失效后果得分(C)。3.3.1依據GB/T27512-2011,風險絕對等級劃分如下:(1)低風險絕對等級:[0,3600];(2)中等風險絕對等級:[3600,7800];(3)較高風險等級:[7800,12600];(4)高風險絕對等級:[12600,15000]。3.3.2假設該條埋地管道風險最低得分為Min,最高得分為Max,則風險相對等級劃分如下:(1)低風險相對等級:R∈[Min,Min+(Max-Min)×6/25];(2)中等風險相對等級:R∈[Min+(Max-Min)×6/25,Min+(Max-Min)×13/25];(3)較高風險相對等級:R∈[Min+(Max-Min)×13/25,Min+(Max-Min)×21/25];(4)高風險相對等級:R∈[Min+(Max-Min)×21/25,Max]。可知,所評價待檢管線各區段的風險值計算結果如表8所示。
4結論
根據上述風險評估結果,可見,所評價管線的風險絕對等級為低、中、中,風險相對等級為低、中、高。失效可能性方面,整體得分中等。沿線地面活動的影響、管道局部埋深不足、管道局部占壓、公眾教育、公眾保護意識、地面裝置狀況是第三方破壞的主要因素;敷設環境、是否定期檢測及維護,是管道腐蝕、本體安全的主要因素;該管道裝置較簡單且為統一管理,使得設備(裝置)及操作得分相同。失效后果方面,管線失效后經濟損失較大,失效后果得分主要來源于人員傷亡的財產損失及停氣造成的民生和社會影響等。通過對風險的分析,結合現場檢驗檢測,提出如下建議:通過提高管理水平;進一步完善安全操作及維護保養規程;加強管道沿線公眾教育以提高公眾對管道的保護意識;對三樁一牌進行明確標識;解決管道占壓問題;定期進行檢驗(包括年度檢查);加強專業人員培訓及日常巡線;對已損壞及失效的測試樁進行修理并定期維護及檢測;定期進行外防腐層非開挖檢測及氣體泄漏檢測等。希望借助這些措施,能夠達到減少失效可能性,進一步降低管道風險等級的目的。
參考文獻
[1]何吉民,李艷紅,等.埋地燃氣管道的風險評估技術[J].煤氣與動力,2005,25(11):10-11.
[2]王磊,李佳木,張皋.淺析埋地長輸管道風險評估[J].內蒙古石油化工,2015,(23、24):37-38.
篇3
關鍵詞:基層人民銀行;內部控制;審計模式;評價方法
中圖分類號:F830.31 文獻標識碼:B 文章編號:1007-4392(2008)01-0057-03
近幾年,人民銀行總行和天津分行分別制定了《中國人民銀行分支機構內部控制指引》、《中國人民銀行天津分行內部控制指引》、《中國人民銀行天津分行內部控制評價辦法》。《中國人民銀行分支機構內部控制指引》(以下簡稱《指引》)將內部控制定性為:人民銀行各分支機構通過制定和執行一系列具體的制度、程序和方法,對相關風險進行識別、分析和應對的機制和動態過程。指引的出臺,標志著人民銀行分支機構內部控制理論發展到一個嶄新的階段,為構建分支機構內部控制框架提供了一套完整的標準,保障本單位依法、正確、有效履行職責。
一、基層人民銀行現行內部控制審計模式
人民銀行分支機構目前推行的內部控制審計模式是依照《中國人民銀行分支機構內部控制指引》制定的全面型內控審計模式。
(一)審計模式主要內容
審計內容分為內部控制組織、內部控制環境、內部控制制度、內部控制措施和內部控制監督五個部分,將上述五個部分歸納為兩大類,即宏觀類和微觀類,宏觀主要體現管理、環境、監督等職能。具體由內部控制組織、內部控制環境、內部控制制度、內部控制監督四個部分組成。微觀主要體現業務操作職能。包括:重大事項決策、風險點控制、領導層履行檢查職責、授權、不相容職務分離、重要事項報告、應急方案制定等。內容基本涵蓋了基層人民銀行所有業務領域。
(二)審計方法
審計方法采取現場審計的方式。主要有:一是進點會談。二是問卷調查。三是被審計單位匯報。四是依據現場審計表逐一進行審計,對內部控制的充分性、合規性和有效性做出“是”與“否”兩種判斷。五是檢查有效項數與檢查總項數之比得出被審計單位控制有效率。六是依據內審工作程序形成審計結論、處理決定、整改意見及審計報告等。
(三)審計評價
根據綜合考評的分值對審計單位進行評價。具體劃分為A、B、C、D四個等級,A級(85分以上)表示被評價機構內部控制健全,能夠較好執行內部控制措施。B級(70分以上)表示被評價機構內部控制基本健全,某些控制措施存在缺欠。C級(60分以上)表示被評價機構內部控制薄弱,存在一定風險隱患。D級(59分以下)表示被評價機構內部控制缺失,存在較大風險隱患。
二、現行內部控制審計模式及評價方法存在的缺陷
(一)現行內部控制審計評價指標不完整
現行內部控制審計評價指標體系未涵蓋內部控制環境、風險評估、內部控制的信息及其溝通、內部控制監督四方面內容。在內部控制審計過程中,上述四方面無具體的評價標準和依據,審計人員難以做出客觀、公正的評價。例如,在對中支內部控制環境的評價中,涉及職工教育、培訓內容時,對應的形式多樣,有的采取集體學習,有的分層次進行。學習內容、次數不同,學習效果不盡相同。評價時,既無量的評價指標,也無質的評價指標,無法對學習的效果進行綜合評價。
(二)評價結果缺乏一致性
內部控制活動的優劣應與其它四項內容有著內在的必然的正向聯系。即內部控制活動有效,則內部控制環境優良,風險識別及分析科學,信息溝通渠道順暢,內部控制監控有效。然而,目前的評價體系無法體現五項內容的一致性。例如,在錫盟轄區的內部控制審計中發現,個別支行的內控得分高于轄區平均分,內控有效率卻低于平均有效率。內部控制評價得分與內部控制有效率不一致。
(三)評價指標未劃分風險級次
人民銀行總行《指引》要求“分支機構進行風險分析時應充分考慮外部和內部因素,可采用定性或定量的方法進行風險分析,將風險區分為高、中、低等不同的風險等級”。但現行審計模式未將風險劃分不同的風險等級進行評價,而是以指標控制有效項數與指標總項數之比的有效控制率為評價標準,不能明確反映存在問題風險程度。即使是風險程度不同,只要是控制有效項數相同,有效率就相同。
(四)缺乏對行政管理職能的審計、評價
現行審計模式側重對業務管理內容的審計,對行政管理內容缺少足夠的關注。內部控制審計工作不應只停留在查錯糾弊的業務審計上,還應對領導層的行政管理職能進行審計。
(五)評價指標的分析方法單一
現行審計評價指標分析只有定性分析,缺乏必要的定量分析。評價指標體系通過“是”、“否”的簡單方法對風險控制進行定性,不能充分說明風險控制的程度。例如,評價審批業務中,審計期內,有些審批符合制度要求,有些審批不符合要求。這樣,在一個審計周期內,無唯一的評判結果,不能客觀進行評價。
三、建議實行“風險型”審計模式評價機構風險狀況
(一)風險型審計模式目標
一是確保國家法律法規和內部規章制度的貫徹執行;二是堵塞漏洞、消除隱患,及時防止并發現、糾正錯誤,保護人民銀行資金、財產、人員的安全;三是規范人民銀行內部各部門、各崗位行為,使各項工作及內部管理規范化、標準化,提高工作效率。
(二)風險型審計模式堅持的原則
一是權威性原則。內部控制須符合國家法律法規、上級行規章制度,以此約束單位所有人員,任何人不得擁有超越內部控制的特權。二是全面性原則。內部控制須涵蓋單位內部各項工作及相關崗位,并針對人、財、物管理中的關鍵控制點,落實到決策、執行、監督、反饋等各個環節。三是制約性原則。內部控制須保證人民銀行內部各部門、各崗位的合理設置及其職責權限的合理劃分,堅持不相容職務相互分離,確保不同機構和崗位之間權責明確、相互制約、相互監督。四是效益性原則。內部控制須遵循成本效益、效率優先的原則,圍繞提高工作效率和確保內控目標實現,以合理的控制成本,達到最佳的控制效果。五是適用性原則。內部控制須符合單位的實際情況,并隨著業務的變化、人員的調整和管理要求的提高,不斷修訂和完善。
(三)內控審計評價內容
1.領導班子審計評價。重點審計評價:認真履行領導班子職責情況,傳導貨幣政策,落實宏觀調控措施情況,重大事項決策方面堅持民主集中制原則情況,選拔任用干部情況,領導班子團結情況,金融風險處置情況,案件防范責任制落實情況,黨風廉政建設和廉潔自律情況,依法行政情況。
2.辦公室審計評價。重點審計評價:內部管理制度建設和機關管理事項,要害崗位人員考核事項,密級文件管理事項,檔案管理事項,計算機安全管理事項,行政許可實施事項 ,印章管理事項,財產管理事項。
3.國庫會計評價內容。重點審計評價:執行國庫會計制度情況,國庫重大事項審批情況,國庫業務核算情況,中央銀行會計核算系統運行及管理情況,組織指導人民幣反洗錢工作情況,支付結算管理情況, 印章和重要空白憑證管理情況,賬戶管理情況, 財務管理情況。
4.貨幣金銀審計評價。重點審計評價:崗位設置是否符合監督制約原則,查庫制度執行情況,《發行庫管理子系統》運行情況,發行基金調撥情況,庫務管理情況,現金管理情況,反假人民幣管理情況,人民幣流通管理情況。
5.安全保衛審計評價。重點審計評價:保衛工作制度建設及落實情況,持槍人員管理情況,保衛應急預案演練情況,守庫值勤情況,管庫人員監督制約情況,電視監控報警系統運行情況,槍彈管理情況,消防安全管理情況,技防設施管理情況。
6.金融管理評價。重點審計評價:貨幣政策傳導情況, 系統性金融風險監測、預警情況,農村信用社專項票據發行、兌付審查、考核情況,再貸款管理情況,風險處置情況。
7.調查統計審計評價。重點審計評價:金融統計監測管理信息系統運行情況,金融統計監督檢查情況,金融統計資料管理情況,征信管理情況。
8.紀檢、內審、事后監督評價。重點審計評價:黨風廉政建設情況,執法監察情況,糾風和行業作風建設情況,案件防范和檢查情況,工作管理情況,履行職責審計情況,離任審計情況,內控審計情況,審計操作程序執行情況,審計結論定性情況,審計責任落實情況。
9.人事工作評價。重點審計評價:人事檔案管理情況,養老統籌管理情況,干部任免、后備干部、專業技術人員管理情況。
10.宣傳群工評價。重點審計評價:黨費管理情況,工會經費管理情況,評優評先情況。
(四)風險控制點分類
風險型審計模式首先要對各個部門、每項業務、每個控制環節的風險進行分析,內部控制的風險點就是內控審計的重點,因此分析風險級次、采取相應措施才能有效控制風險,針對現行模式高風險問題失控與低風險問題失控在有效率上無法準確反映風險程度的情況下,按基層人民銀行業務內容可能發生風險的程度,將控制內容劃分為一類風險控制點、二類風險控制點和三類風險控制點。一類風險點包括領導班子、辦公室、國庫會計、貨幣金銀、保衛、金融管理六大類,二類風險點包括調查統計、人事、紀檢內審事后監督三大類。三類風險點包括黨宣群工一大類。
(五)評價風險等級
采取計算分值的定量分析方法確定內部控制風險等級。根據對各類風險控制點的現場審計結果及風險狀況,對被審計機構做出風險等級劃分,分為低等級風險、中等級風險和高等級風險三個等級風險。
將一類風險控制點每大類總分確定為100分,共六大類,總分為600分;二類風險控制點每大類確定為50分,共三大類,總分為150分;第三類風險控制點每大類為50分,共一大類,總分為50分。
扣分標準:用每大類風險控制點總分除以每大類控制點得分計算,如某項控制無效將扣除本項得分。如國庫會計股共有81個風險點,國庫會計屬一類控制點,用100分除以81,得出每項檢查內容分值為1.23,如果一個風險點控制無效則扣除1.23分。
對檢查發現的問題,以控制點為單位按扣分標準扣分。對部門評價,按其扣分比例確定其內控狀況等級,對被審計機構總體評價,按得分情況確定其內控狀況等級。
1.部門風險等級。將部門內控狀況按扣分比例劃分為低等級風險、中等級風險和高等級風險三個等級風險。扣分比例在5%(含5%)以下為低等級風險;扣分比例為25%以下(含25%)為中等級風險;扣分比例在25%以上風險級次為高級風險。
2.機構風險等級。將支行總體內控狀況等級按得分情況劃分為低等級風險、中等級風險和高等級風險三個等級風險。所有的控制點總分為800分(一類控制點總分600分,二類控制點總分150分,三類控制點50分)。得分在760分以上(含760分)為低等級風險;得分在680分以上(含680分)為中等級風險;得分在680分以下為高等級風險。
(六)劃分責任類別,實行責任追究
風險型審計模式采取定性與定量結合的方法,監督部門根據檢查或掌握的情況,按內部控制點與被監督部門關聯人的責任進行定性歸類,根據該控制點的等級和責任性質分為領導責任、部門責任、崗位責任和集體責任。
假定總分值為100分。
領導責任(10%):主管行長對所負責的部門工作承擔領導責任。
部門責任(20%):部門責任人對所負責的部門工作承擔領導責任。
崗位責任:崗位責任區分直接責任、間接責任。直接責任是指內部控制點經辦人員應主要承擔的責任,直接責任人員承擔該內部控制點責任的40%;間接責任是指該內部控制點復核人員、事后監督人員應承擔的責任,間接責任人員按責任人數共同分擔余下的30%責任。
篇4
1 風險管理在電力生產管理中的應用流程
風險管理在電力生產管理中有很重要的作用,因而如果想要保證電力生產管理的高效化,就需要完善風險管理,提高企業的運營效率。如何應用電力生產企業的風險管理是電力企業必須要思考的一個重要問題。電力生產管理中的風險管理必須要遵循一定的流程。
1.1 電力生產管理的目標規劃
目標是一個企業發展的方向,只有確定好了目標才能夠保證企業未來的發展戰略以及風險管理具有正確性。電力生產管理中,如果想要完善風險管理,第一步就是規劃企業的目標。電力生產管理的目標規劃需要根據企業所處的環境來確定,企業外部環境的穩定與否與內部環境的協調與否都是規劃目標重要考量標準。在風險管理時期內,需要考慮企業的稅收問題,同時確定企業的未來發展方向、發展過程中的重心、發展方針、企業風險防控措施。這幾個方面決定了企業的生產管理的效率的高低。電力生產管理中目標規劃需要注重企業內外環境的因素同時還要注重目標的可實施性,以及企業建設程度。
1.2 電力生產管理的風險識別
風險識別是電力生產管理中一項中心的環節,需要企業管理者識別不同的風險,從而采取風險管理措施。風險識別一方面是要通過技術支持對相關專業內容進行風險識別,另一方面也需要對企業管理層面的問題進行風險識別,這兩個方面相輔相成,具有相互配合的作用,在電力生產管理的風險管理中起到了決定性的作用。
1.3 電力生產管理的風險等級排序
風險等級排序是指根據對企業未來會面臨的風險做出相應的預判,然后評價風險的等級。風險等級排序所依據的因素包括風險發生的概率、風險產生的不良后果的程度等,根據這些因素我們可以確定風險的等級的高低,然后分別采取不同的措施。風險發生概率高、風險產生不良后果嚴重的劃分為等級高的風險,風險發生概率低、風險產生不良后果較輕的劃分為等級低的風險。風險等級排序需要真實公正的完成評估,減少自己主觀意愿對風險等級評估的影響,這樣才能確保風險等級排序科學合理,具有有效性。
1.4 電力生產管理的風險應對措施
根據風險等級排序我們需要采取不同的措施來預防風險,對于風險等級高的風險我們要采取更多的人力和物理來減少風險的發生可能性,針對風險等級較低的風險我們可以適當的減小對該風險的預防投入,從而節約成本,風險應對措施時風險管理中根本性的內容,如何合理的應對不同的風險是提高企業運營效率的重要舉措。我們無法做到完全的避開風險,但是我們可以盡量的減少風險給我帶來的損失,從而提高電力企業的盈利效率。
1.5 電力生產管理的風險管理評估
風險管理評估是對企業風險做出相應的評價,電力生產管理中的風險評估需要從多個方面入手,既要同時注重風險管理之后產生的后果,也要注重管理風險所投入的人力物力的價值。風險管理評估是對風險預防手段與帶來經濟效益之比的評價,在完成風險評估過程中,可以及時的了解風險所帶來的影響,從而做出正確的判斷。風險管理的評估應當在風險管理之后及時的進行,對之前發生的風險管理進行公正的判斷,從而總結其中的出現的問題以及較好的舉措,這樣的評估可以提高之后風險管理的效率,同時給以后的風險預防提供豐富的經驗指導。
2 電力生產管理過程中風險管理出現的問題
電力生產管理是我國重要的經濟項目,關系著國際民生,因而為了提高電力生產管理的效率就需要完善風險管理制度,從而確保電力生產企業可以達到良好的經營效率。但是現階段我國的電力生產管理中的風險管理制度還不夠完善,很多方面還存在著一定問題,下面我們就分析一下電力生產管理過程中存在的風險管理問題。
2.1 電力生產管理中風險管理的預防不夠到位
電力生產管理中風險管理的主要內容就是風險預防,針對不同的風險,我們都需要打起精神,不可以松懈,但目前我國電力生產管理過程中普遍存在的問題就是預防不夠到位,例如:我們一直強調電力生產管理要義安全為主,把安全意識放在第一位,這樣才能夠預防安全事故的發生,但是很多電力企業并沒有注意這一問題,在安全方面存在僥幸心理,感覺安全問題不會發生在自己身上,這種心理想法往往就會導致安全事故的發生,造成不可估量的風險損失。
2.2 電力生產管理中風險管理以偏概全
電力生產管理中風險管理最切忌以偏概全,電力企業大多只抓住國家要求的部分風險管理內容,把局部內容拓展到全部內容中,這對企業的風險防控有著不利的影響。電力生產管理是一個有機的整體,需要管理者從整體出發,全方面的管理企業電力系統的風險預防工作,減少風險出現帶給企業的不良影響。我國電力生產管理中很多企業只是局部完成了風險管理,整個企業難以全面實現風險管理,這就減少了風險管理的有效性,損害了電力企業的利益。
篇5
關鍵詞:安全隱患管理;安全隱患定級;風險管理;風險評估;資產全壽命周期 文獻標識碼:A
中圖分類號:F276 文章編號:1009-2374(2017)02-0186-03 DOI:10.13535/ki.11-4406/n.2017.02.090
現代科學技術和工業生產的迅猛發展,一方面繁榮了經濟和人們的生活;另一方面現代化大生產隱藏了眾多的潛在危險。就電力系統而言,電力網絡不斷擴展,網絡構成及網絡控制更加復雜,自動化程度不斷提高,高電壓、大電流、長距離輸電使電網穩定問題愈加突出。現代化的工業和人民生活對電的依賴程度越來越高,對電力可靠性和電壓質量的要求不斷提高,對電力設備的安全隱患排查工作的要求也越來越高。
國內電力企業經過多年的發展和總結,已逐漸擁有完善的安全隱患排查治理方式。但是基層工作人員在進行隱患排查時或是根據主觀經驗判斷或是依照范例進行對比,各種方法均存在一定的局限性,無法將隱患的嚴重程度量化。本文主要是借鑒基于資產全壽命周期的風險評估法,對事件發生可能性和影響程度進行量化分析,以定量方法確定安全隱患分級,可以更準確地反映安全隱患的嚴重情況。
1 安全隱患概述
1.1 安全隱患定義與分級
安全隱患具體指安全風險程度較高,可能導致事故發生的作I場所、設備設施、電網運行的不安全狀態、人的不安全行為和安全管理方面的缺失。
根據可能造成事故后果的影響程度,目前電力企業安全隱患分為Ⅰ級重大事故隱患、Ⅱ級重大事故隱患、一般事故隱患和安全事件隱患四個等級。其中,Ⅰ級重大事故隱患和Ⅱ級重大事故隱患合稱為重大事故隱患。
1.2 安全隱患定級方法
1.2.1 主觀判斷法。主觀判斷法是指工作人員在匯總現場情況后,征詢有關專家(一般是基層骨干)的意見,對意見進行統計、處理、分析和歸納,客觀地綜合多數專家經驗與主觀判斷,做出合理估算,經過反饋和調整后,對安全隱患進行定級的方法。主觀判斷法的優點是方法簡便易行,定級較快。
但是,由于缺乏統一的“隱患標準”,基層工作人員在隱患判斷、認定、分級等具體工作中,往往只能依據自身專業知識進行主觀判斷,寬嚴程度隨人、隨單位而變,造成安全隱患定性不準、分級不當、判定標準不一致、隱患信息不翔實等問題。
1.2.2 范例辨識法。范例辨識法是指工作人員參照安全生產事故隱患范例,依據其中編制在列已確定的安全隱患,對比實例、分類樣本、描述、文字說明等形式的表述,在實際工作中排查認定安全隱患。
這種方法有效提高了相關工作人員,特別是一線員工和管理人員排查發現安全隱患、給隱患分級分類的準確性,切實促進了隱患排查治理工作的開展,范例辨識法本質上仍屬于一種定性方法。
1.3 借鑒資產全壽命風險管理思路輔助定級
上述定性方法面臨的主要問題是,電力企業基層人員對隱患排查治理工作的認知程度有限、生產系統已有設備缺陷管理流程和隱患排查治理流程之間存在差別,所以無論是主觀判斷法還是范例辨識法均存在一定局限性。我們可以借鑒資產全壽命周期風險管理的思路,采用一種定量方法來輔助安全隱患定級。安全隱患具有安全風險程度較高的特征,因此就可以采用量化風險的基本思路,用資產全壽命周期的風險評估法為安全隱患定級。風險評估法較上述方法,主要在于合理考慮事件發生可能性,同時擴展事件影響程度的維度。
2 基于資產全壽命周期的風險評估方法
2.1 基于資產全壽命周期風險評估方法
按照風險評估標準,采取既定的評估方法,從風險發生的可能性與風險影響程度兩個方面進行量化,綜合評定風險值和風險等級:
風險(Risk)=風險發生的可能性(P)×風險影響程度(F)
式中:R為風險值;P為風險發生的可能性;F為風險影響程度。
2.2 定量計算風險
在風險評估過程中,各專業也可根據自身的專業特點對風險評估標準進行適當調整,選擇不同的維度或者增加風險評估模型進行識別和評估,但不同評估標準對風險等級的劃分應保持一致。本文將以全面風險評價為主要模型工具。
2.2.1 風險發生的可能性P。風險發生的可能性分為五個級別,分別是極低、低、中等、高、極高。對應業務發生頻率為:可能每5年以上發生該類風險(概率極低);可能每1~5年發生該類風險(概率低);可能每年發生該類風險(概率中等);可能每半年發生該類風險(概率高);可能每月發生該類風險(概率極高)。以上依次對應1~5分。
2.2.2 風險影響程度F。風險影響程度從電網安全、人員傷亡、社會形象、直接經濟損失四個維度分析確定,選取四個因素的最高值作為損失度。每個維度的風險影響程度分為五個級別,并依次對應1~5分。該五個級別的取值參照《資產全壽命風險評估模型》所定義的取值范圍,結合公司對人身傷亡事故、經濟損失的承受能力調整后確定。
即:
F=Fmax=Max(F1,F2,F3,F4)
電網和設備安全。將電網安全風險損失度分為五個級別,分別是較小、一般、較大、重大、嚴重。具體內容執行國家相關標準法規所定級別劃分標準,對應影響程度分別為《國家電網公司安全事故調查規程》中定義的七級至一級電網和設備事件;人員傷亡。將人員傷亡風險損失度分為五個級別,分別是較小、一般、較大、重大、嚴重。對應影響程度為人員從輕傷至一至四級人身傷亡事故。
社會影響。將社會形象風險損失度分為五個級別,分別為較小、一般、較大、重大、嚴重。對應影響程度為在縣域至國際范圍不等;直接經濟損失。將直接經濟損失風險損失度分為五個級別,分別為較小、一般、較大、重大、嚴重。對應影響程度為1000萬元至數億元不等。
2.3 確定風險等級
2.3.1 一般風險。風險發生的可能性較低或風險發生后對公司的綜合損失度較小的風險(1≤風險值≤4)。
2.3.2 中等風險。介于一般風險與重大風險之間的風險(4
2.3.3 重大風險。風險發生的可能性較高,且發生后對公司的綜合損失度較大的風險(9
Y軸:P(可能性)
X軸:F(影響程度)
圖1 風險評估矩陣
例如:上圖中A點風險值為2,屬于一般風險;B和C點風險值都為12,屬于重大風險。
2.4 安全隱患與風險分級對應
3 基于資產全壽命的風險評估
以下實例選自某電力企業安全隱患管理平臺,將對采用風險評估法定級的結果與傳統定級方法的結果做出比較。
3.1 實例簡介
某電力公司2014年7月15日檢修公司500kV XXXX5322線#45-#47桿塔(15米)100MW光伏項目施工隱患。500kV XXXX5322線#45-#47桿塔(15米)100MW光伏項目施工中,大型作業機具距離帶電導線較近,現場作業人員較多,且該隱患可能一定時期內較長時間存在,易造成安全距離不夠導致線路故障跳閘和人員群體傷亡事故發生。
3.2 傳統評估分級
可能導致后果:依據國家電網公司《安全事故調查規程》2.2.7.1條,35千伏以上輸變電設備異常運行或被迫停運,并造成減供負荷者,構成七級電網事件。如果造成人員傷亡依據不同的人數構成不同等級的人身事故。
采用范例辨識法,查詢“輸電專業”“違章施工”相關條目,條目描述“線路保護區內起重作業,不能保證安全距離:220kV ××線#36~#37,110kV ××線#29~#30塔間通過××鋼材市場,導線最低點離地僅15米,鋼材市場起吊作業頻繁,易造成線路跳閘和人員觸電事故”,屬于“一般隱患”。
3.3 采用基于資產全壽命的風險評估分級
計算風險值:
P取值4――公司可能每半年發生該類風險(概率低)
F1取值1――符合《國家電網公司安全事故調查規程》的七級及以下級電網事件(風險損失度較小)
F2取值4――3人及以上10人以下死亡或者10人及以上50人以下重傷(風險損失度較大)
F3取值2――在地市范圍內受到影響,但該影響需要一定時間、付出一定代價消除(風險損失度一般)
F4取值1――100萬元以下(風險損失度較小)
F=Fmax=Max(F1,F2,F3,F4)=Max(1,4,2,1)=4
R=P*F=4*4=16
確定風險等級和隱患分級:風險值為16,介于(9,25),根據附表的劃分等級屬于重大風險。
3.4 比較和結論
風險評估得出的安全隱患分級和原系統錄入時評估的等級不一致,原因是本次事件評估人員未充分考慮事件發生可能性較高、長期存在且現場人員多等因素。同時,本事件可能引起較嚴重的人身傷亡事故,須引起充分重視,評估人員低估了其影響程度。
4 結語
電力企業安全隱患分級工作,是[患排查治理的基礎。安全隱患分級工作,目前普遍采用的主觀判斷法和范例辨識法,經過不斷改良和完善,已經可以較大滿足實際工作需要。采用基于資產全壽命的風險評估法,對事件發生可能性和影響程度進行量化分析,定性結合定量能更有效核證,可以更準確地反映實際情況。基于資產全壽命周期的風險評估法,將能重點應用于需要特別關注的、可能成為工作焦點的一些隱患的管理,可以更加準確、科學地對隱患進行定義和定級。
采用基于資產全壽命周期的風險評估法雖然能通過定量計算的方法對安全隱患輔助定級,但仍需注意其局限性:(1)雖然基于資產全壽命周期的風險評估法適用面較廣,但由于風險評估所采用的取值范圍的局限性和通用性,其評估結果有時不能準確反映出管理者期待的個性化結果,宏觀的變量取值可能難以反映微觀的事件本質,即客觀性和主觀性不能完全統一,有時應根據企業承受風險能力和實際情況對理論取值進行調整;(2)基于資產全壽命周期的風險評估法在實際使用過程中工作量較大,無法完全替代現有定級方法,其應用范圍受到一定的限制,所以應篩選出有上述特定隱患或存在爭議的實例加以運用。
相信在今后電力企業安全隱患分級工作不斷總結經驗的基礎上,基于資產全壽命周期的風險評估法會得到進一步完善,更能確切的指導隱患排查治理工作的全面有效開展。
參考文獻
[1] 國家電網公司.國家電網公司安全事故調查規程(國家電網安監[2011]2024號)[S].2011.
[2] 國家電網公司.國家電網公司安全生產事故隱患范例(一)(國家電網安監[2010]68號)[S].2010.
篇6
關鍵詞:風險評估;信息安全;評估技術
中圖分類號:TP309文獻標識碼: A 文章編號:1007-9599 (2010) 11-0000-01
Information System Security Risk Assessment Methods StudyChen Liandong1,Lv Chunmei2
(1.Hebei Electric Power Research Institute,Shijiazhuang050000,China;2.North China Electric Power University,Baoding071003,China)
Abstract:The scientific risk assessment is essential to the protection of information systems security,the paper on information security risk management has been introduced,and the variety of risk assessment methods are analyzed and compared.
Keywords:Risk assessment;Information security;Assessment techniques
隨著計算機技術的發展,網絡攻擊、病毒破壞、電腦黑客等信息竊取和破壞事件越來越多,信息安全問題日益突出,因此進行信息系統安全管理具有重要意義。風險評估是信息安全管理的依據,信息系統進行科學的風險分析和評估,發現系統存在問題,對于保護和管理信息系統至關重要。
一、信息安全技術風險管理
信息安全是保護信息系統抵御各種威脅的侵害,確保業務保密性和連續性,使系統遭受風險最小化[1]。信息系統安全包括安全管理技術、風險評估、策略標準以及實施控制等多方面的內容。信息安全管理體系(Information Security Management System,ISMS)是信息系統管理體系的一個部分,包括建立、實施、操作、監測、復查、維護和改進信息安全等一系列的管理活動,涉及策略準則、計劃目標、人員責任、過程和方法等諸多因素[1]。ISO27001是英國標準協會的關于建立和維護信息安全管理體系的標準。ISO27001要求建立ISMS框架過程為:確定管理體系范圍,制定安全策略,明確管理責任,通過風險評估確定信息安全控制目標和控制方式[2]。當信息管理體系建立起來,則可以循環實施、維護和持續改進ISMS,保持體系運作的有效性。
二、風險評估方法概述
風險評估能夠檢測系統面臨的威脅、潛在的安全漏洞和脆弱性,針對性地提出防護和整改措施,保障系統安全。完整的風險評估過程包括:前期調研,了解需求;制定項目計劃,明確范圍,確定各項評估指標體系,成立評估小組;識別并評估信息資產;估算威脅發生的可能性;識別脆弱點及其嚴重成度;進行風險描述,計算風險值,劃分風險等級,得出評估分析報告;制定風險控制方法,進行風險處理。
風險計算描述如下:Risk=R(A,T,V)
其中R是安全評估風險函數,A是資產,T是威脅,V是脆弱性。由此公式可以計算風險值,估計信息系統的安全等級,以及風險對系統的破壞程度或者可能造成的損失程度。下面從不同的角度分析風險評估,得到劃分如下。
(一)基于技術評估和基于整體評估
基于技術評估是指對信息系統現有的技術水平進行評估,包括信息安全人員技術水平、網絡防護技術、信息系統抗攻擊能力等方面進行評估。基于整體評估是從信息系統整體分析,確定信息系統所屬等級,參照等級保護劃分規則,在對系統定級的基礎上進行風險評估。
(二)基于知識分析和基于模型分析
基于知識分析的風險評估方法是依靠評估者經驗進行,采用獲取專家評估經驗,對評估指標因素進行分析,評估信息系統安全。基于模型分析的評估方法采用建模的方法,分析系統內部以及和外部交互時可能產生的危險因素,從而完成資產、威脅和脆弱性的分析。
(三)定性評估、定量評估和綜合評估
定性評估是指對評估對象各個因素進行相應價值的判斷。需要評估者對評估對象進行定性描述,如只關注威脅事件帶來的損失,忽略了威脅發生的概率,因此得出的評估結果主觀性強,具有數量化水平低等特點。定量評估主要分析資產的價值,威脅發生概率和脆弱點存在的可能性,用量化的數據進行表示,但是量化數據具有不精確特點。綜合評估方法采用定量和定性結合的方法,通常是先進行總體性質的確定,然后進行定量分析,在量化基礎上再進行定性分析。
三、典型評估方法比較
下面列出幾種典型風險評估方法,有故障樹分析、事件樹分析等,趨于定性分析,BP神經網絡、風險評審技術方法趨于定量分析,還有一些綜合評估方法,如層次分析法[3]。
(一)故障樹分析:通過對可能造成系統危險的各種初始因素進行分析,畫出故障樹,計算整體風險發生概率。特點是簡明形象,邏輯關系復雜,適用于找出各種實效事件之間的關系。
(二)事件樹分析:是一種邏輯演繹法,它在給定的一個初因事件的前提下分析此事件可能導致的各種事件序列的結果,可用于找出一種實效引起的后果或各種不同的后果,提高業務影響分析的全面性和系統性。
(三)BP神經網絡:是一種按誤差逆向傳播算法訓練的多層前饋網絡,具有自學習能力,能夠實現輸入和輸出之間的復雜非線性關系。缺點是風險因素的權值確定較難,優點是有自學能力,問題抽象化,適用于事故預測和方案擇優。
(四)風險評審技術方法:通過模擬實際系統研制時間、費用及性能分布,針對不同條件對信息系統的風險進行預測,需多次訪問,數據準確性要求高。
(五)層次分析法:是一種多指標綜合評價方法。首先將相互關聯、相互制約的因素按它們之間的隸屬關系排成若干層次,再利用數學方法,對各因素層排序,最后對排序結果進行分析。特點是減少了主觀因素中的影響,需求解判斷矩陣的最大特征根以及對應的特征向量。適用于為決策者提供定量形式的決策依據。
四、結束語
本文介紹了信息系統安全管理,分析風險評估的流程,對風險評估方法整體從不同角度的進行劃分,其中對幾種典型的評估方法進行了比較和分析。風險評估對于信息安全管理具有重要的意義,相信以后還會出現新的,更加科學的風險評估方法。
參考文獻:
[1]宋曉莉,王勁松.信息安全風險評估方法研究[J].網絡安全技術與應用,2006,12:67-68
篇7
文章編號:1005-913X(2015)12-0113-03
一、人民銀行信息技術審計中風險導向內審模式的構建思路
隨著信息化的迅猛發展,信息技術已經滲透到各個金融管理和服務領域。中央銀行的業務工作對信息技術的依賴程度不斷提高,信息安全和技術風險問題也日益受到關注,在人民銀行系統全面開展信息技術審計應得到各部門的高度重視。信息技術審計是面對計算機信息系統的審計,其目標是通過對計算機信息系統資產所面臨的威脅、脆弱性識別,以及管理和環境風險水平計算,來評估審計對象科技信息安全狀態和存在的不足的流程,探索建立人民銀行信息科技審計模型,發現和識別在科技信息系統的風險點和控制薄弱環節,提出有針對性的意見和建議,促進和維護計算機系統的合規性、安全性、可靠性及有效性。
二、人民銀行信息技術審計風險評估指標體系構建
(一)資產重要性識別
資產是具有價值的信息或資源,是安全策略保護的對象。它能夠以多種形式存在,有無形的、有形的,有硬件、軟件,有文檔、代碼,也有服務、形象等。機密性、完整性和可用性是評價資產的三個安全屬性。信息科技審計中資產的價值不僅僅以資產的賬面價格來衡量,而是由資產在這三個安全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的。安全屬性達成程度的不同將使資產具有不同的價值,而資產面臨的威脅、存在的脆弱性、以及已采取的安全措施都將對資產安全屬性的達成程度產生影響。根據資產的表現形式,可將資產分為數據、軟件、硬件、文檔、服務、人員等類。
通過對資產的機密性、完整性和可用性綜合分析評定,可以對被審計資產的重要性給出一個評估結論。筆者將資產重要性劃分為五級,級別越高表示資產重要性程度越高。具體見表1。
(二)資產威脅識別
威脅是一種對組織及其資產構成潛在破壞的可能性因素,是客觀存在的。造成威脅的因素可分為人為因素和環境因素。根據威脅的動機,人為因素又可分為惡意和無意兩種。環境因素包括自然界不可抗的因素和其它物理因素。威脅作用形式可以是對信息系統直接或間接的攻擊,例如非授權的泄露、篡改、刪除等,在機密性、完整性或可用性等方面造成損害;也可能是偶發的、或蓄意的事件。根據人民銀行科技信息工作實際,根據表現形式,威脅主要分為以下幾類。見表2。
判斷威脅出現的頻率是威脅識別的重要工作,審計人員應根據經驗和(或)科技部門提供的有關的統計數據來進行判斷。根據人民銀行工作實踐,判斷依據主要包括以下三個方面。
1.以往安全事件報告中出現過的威脅及其頻率的統計。
2.實際環境中通過檢測工具以及各種日志發現的威脅及其頻率的統計。
3.近一兩年來國際組織的對于整個社會或特定行業的威脅及其頻率統計,以及的威脅預警。
威脅頻率等級劃分為五級,分別代表威脅出現的頻率的高低。等級數值越大,威脅出現的頻率越高。表3提供了威脅出現頻率的一種賦值方法。
(三)資產脆弱性識別
脆弱性是對一個或多個資產弱點的總稱。脆弱性識別也稱為弱點識別,弱點是資產本身存在的,如果沒有相應的威脅發生,單純的弱點本身不會對資產造成損害。而且如果系統足夠強健,再嚴重的威脅也不會導致安全事件,并造成損失。即,威脅總是要利用資產的弱點才可能造成危害。
脆弱性識別將針對每一項需要保護的資產,找出可能被威脅利用的弱點,并對脆弱性的嚴重程度進行評估。脆弱性識別時的數據應來自于資產的所有者、使用者,以及相關業務領域的專家和軟硬件方面的專業等人員。脆弱性識別所采用的方法主要有:問卷調查、工具檢測、人工核查、文檔查閱、滲透性測試等。
脆弱性識別主要從技術和管理兩個方面進行,技術脆弱性涉及物理層、網絡層、系統層、應用層等各個層面的安全問題。管理脆弱性又可分為技術管理和組織管理兩方面,前者與具體技術活動相關,后者與管理環境相關。具體識別內容見表4。
可以根據對資產損害程度、技術實現的難易程度、弱點流行程度,采用等級方式對已識別的脆弱性的嚴重程度進行賦值。脆弱性由于很多弱點反映的是同一方面的問題,應綜合考慮這些弱點,最終確定這一方面的脆弱性嚴重程度。對某個資產,其技術脆弱性的嚴重程度受到組織的管理脆弱性的影響。因此,資產的脆弱性賦值還應參考技術管理和組織管理脆弱性的嚴重程度。
脆弱性嚴重程度的等級劃分為五級,分別代表資產脆弱性嚴重程度的高低。等級數值越大,脆弱性嚴重程度越高。見表5。
(四)風險分析
審計人員在完成了資產識別、威脅識別、脆弱性識別,將采用適當的方法與工具確定威脅利用脆弱性導致安全事件發生的可能性,考慮安全事件一旦發生其所作用的資產的重要性及脆弱性的嚴重程度判斷安全事件造成的損失對組織的影響,即安全風險。風險計算以下面的范式形式化加以說明:
風險值=R(A,T,V)= R(L(T,V),F(Ia,Va ))
其中,R表示安全風險計算函數;A表示資產;T表示威脅;V表示脆弱性; Ia表示安全事件所作用的資產重要程度;Va表示脆弱性嚴重程度;L表示威脅利用資產的脆弱性導致安全事件發生的可能性;F表示安全事件發生后產生的損失。有以下三個關鍵計算環節。
1.計算安全事件發生的可能性
根據威脅出現頻率及脆弱性狀況,計算威脅利用脆弱性導致安全事件發生的可能性,即:
安全事件發生的可能性=L(威脅出現頻率,脆弱性)=L(T,V )
在具體評估中,應綜合攻擊者技術能力(專業技術程度、攻擊設備等)、脆弱性被利用的難易程度(可訪問時間、設計和操作知識公開程度等)以及資產吸引力等因素來判斷安全事件發生的可能性。
2.計算安全事件發生后的損失
根據資產重要程度及脆弱性嚴重程度,計算安全事件一旦發生后的損失,即:
安全事件的影響=F(資產重要程度,脆弱性嚴重程度)=F(Ia,Va )
部分安全事件的發生造成的影響不僅僅是針對該資產本身,還可能影響業務的連續性;不同安全事件的發生對組織造成的影響也是不一樣的。在計算某個安全事件的損失時,應將對組織的影響也考慮在內。
3.計算風險值
根據計算出的安全事件發生的可能性以及安全事件的損失,計算風險值,即:
風險值=R(安全事件發生的可能性,安全事件的損失)=R(L(T,V),F(Ia,Va ))
具體計算方法可以采用風險矩陣測量法。
這種方法的特點是根據以上過程事先估算的資產價值、威脅等級和脆弱性等級賦值建立一個對應矩陣,預先將風險等級進行了確定。然后根據不同資產的賦值從矩陣中確定不同的風險。資產風險判別矩陣如表6所示。
對于每一資產的風險,都將考慮資產價值、威脅等級和脆弱性等級。例如,如果資產值為3,威脅等級為“高”,脆弱性為“低”。查表可知風險值為5。如果資產值為2,威脅為“低”,脆弱性為“高”,則風險值為4。由上表可以推知,風險矩陣會隨著資產值的增加、威脅等級的增加和脆弱性等級的增加而擴大。
當一個資產是由若干個子資產構成時,可以先分別計算子資產所面臨的風險,然后計算總值。例如:系統S有三種資產A1,A2,A3。并存在兩種威脅:T1,T2。設資產A1的值為3,A2的值為2,A3的值為4。如果對于A1和T1,威脅發生的可能性為“低”,脆弱性帶來的損失是“中”,則頻率值為1(見表1)。則A1的風險為4。同樣,設A2的威脅可能性為“中”,脆弱性帶來損失為“高”,得風險值為6。對每種資產和相應威脅計算其總資產風險值。總系統分數ST=A1T + A2T + A3T。這樣可以比較不同系統來建立優先權,并在同一系統內區分各資產。
(五)風險結果判定
風險等級劃分為五級,等級越高,風險越高。審計人員應根據所采用的風險計算方法為每個等級設定風險值范圍,并對所有風險計算結果進行等級處理,最終給予審計對象一個審計結果。見表7。
人民銀行應當綜合考慮風險控制成本與風險造成的影響,提出一個可接受風險閾值。對某些風險,如果評估值小于或等于可接受風險閾值,是可接受風險,可保持已有的安全措施;如果評估值大于可接受風險閾值,是不可接受風險,則需要采取安全措施以降低、控制風險。安全措施的選擇應兼顧管理與技術兩個方面,可以參照信息安全的相關標準實施。
在對于不可接受風險選擇適當的安全措施后,為確保安全措施的有效性,可進行再審計,以判斷實施安全措施后的殘余風險是否已經降低到可接受的水平。
某些風險可能在選擇了適當的安全措施后仍處于不可接受的風險范圍內,應考慮是否接受此風險或進一步增加相應的安全措施。
三、人民銀行信息技術審計中應注意的問題
在信息技術審計中如何堅持風險導向審計是一個不斷摸索、不斷總結提高的過程。筆者認為,只有不斷積累風險數據信息,持之以恒的加強人才培養,新舊審計模式互為補充,才能更進一步發揮好內部審計職能。因此,應注意以下幾點。
(一)建立動態的風險信息數據庫,為運用現代風險導向審計模式提供信息基礎
由于內部審計時間資源有限,不可能對所有的監督內容和所有的環節進行全面監督,比較科學的辦法是建立一個完整的審計風險模型,對造成審計風險的多種因素進行全面分析和評估,發現被審計單位內部控制中的薄弱環節,確定審計的重點和范圍,從而制定更具有針對性的審計策略。
(二)新型審計模式的運用并不意味著舊審計模式的消亡
風險導向審計是在傳統審計模式基礎上發展起來的新型審計模式,立足于對被審計對象整體風險管理進行系統審查、分析和評價,并以此確定審計策略及審計計劃。因此,必須注重新舊審計模式的有機結合。將風險導向審計理念融入傳統審計模式,可以使傳統審計項目內容得以擴展,審計更加靈活,更好地堅持全面審計、突出重點的原則。
(三)重視信息技術審計人才的培養,為風險導向審計提供智力支持
人民銀行運用風險導向審計方法,不僅要求內部審計人員熟練掌握有關規章制度,還要求審計人員利用審計職業獨特的判斷力,在實際運用中對審計風險點加以判斷。因此,復合型人才培養與儲備是運用風險導向審計方法必不可少的前提條件。要通過各類后續教育及培訓,進一步更新內部審計人員業務知識,提升專業勝任能力,逐步建立起具有現代知識素養和職業水平的內部審計干部隊伍。
篇8
關鍵詞:電子政務外網 安全保障體系 計算區域 網絡基礎設施 計算區域邊界 安全域 等級保護 風險評估
一、前言
國家電子政務外網(以下簡稱政務外網)是中辦發[2002]17號文件明確規定要建設的政務網絡平臺。政務外網是政府的業務專網,主要為黨委、人大、政府、政協、法院和檢察院各級政務部門服務,運行各級政務部門面向社會的專業業務和不需要在內網上運行的業務。
為保證電子政務外網的安全運行,中辦發[2003]27號文和[2006]18號文明確提出,電子政務外網與政務內網之間采用物理隔離,政務外網與互聯網之間采用邏輯隔離。政務外網的建設要按照信息安全等級保護的有關要求,分別采用相應的保護措施,通過建立統一的密碼和密鑰管理體系、網絡信任體系和安全管理體系,分級、分層、分域保障信息安全。
二、政務外網(一期工程)安全需求
⒈政務外網安全防護對象
政務外網的基礎網絡環境如圖1所示。
依據政務外網的網絡環境,政務外網的安全防護對象分為如下三類:計算區域、網絡基礎設施和計算區域邊界。
⑴計算區域
政務外網所涉及的計算環境有:中央網絡管理中心計算區域、各省市節點的二級網絡管理中心計算區域、中央城域網接入單位計算區域以及外網骨干網接入的各省市節點的計算區域。
在各計算區域內主要防護如下對象:
①數據資源,主要包括各應用系統管理的數據資源;
②軟件資源,包括系統軟件、網絡軟件、支撐軟件和應用系統等;
③中心計算機;
④存儲介質,包括數據備份磁帶、軟盤、可讀寫光盤等;
⑤用戶,包括普通操作員、業務管理員、高級業務管理員以及系統(數據庫)管理員和網絡管理員等。
⑵網絡基礎設施
政務外網所要防護的網絡基礎設施主要有:各計算區域的網絡基礎設施,以及實現各計算區域相聯的網絡基礎設施。
⑶計算區域邊界
由于計算區域與其他外部實體相聯而產生區域邊界,區域邊界與計算區域直接相關,與計算區域相聯的外部實體的性質直接決定區域邊界的保護的策略。
政務外網中的計算區域邊界主要有:與中央城域網相聯的各計算區域因與中央城域網相聯而產生的區域邊界以及這些區域與互聯網等外部實體相聯而產生的區域邊界、各省市節點計算區域因與政務外網骨干網相聯而產生的區域邊界以及這些區域與互聯網等外部實體相聯而產生的區域邊界。
⒉安全需求
根據政務外網的特點,政務外網的安全需求體現在如下幾方面:
①建設政務外網安全信任體系,確保政務外網資源不能被非法用戶訪問;
②建設政務外網數據交換中心,確保不同安全域之間的安全數據交換;
③確保政務外網的安全保障體系具有高可靠性,并具有可審計、可監控性;
④實現政務外網統一的安全管理體系;
⑤確保政務外網與互聯網的安全互連。
三、政務外網安全保障體系框架
政務外網要為政務部門的業務系統提供網絡、信息、安全等支撐服務,為社會公眾提供政務信息服務。從政務外網的實際出發,政務外網的安全保障體系設計應重點針對政務外網的如下特點:
①政務外網必須與互聯網邏輯隔離;
②政務外網主要運行面向社會的專業業務,這些業務所涉及的業務信息具有面向公眾的特性,所以保護業務信息的完整性、可鑒別性以及抗抵賴性十分重要;
③政務外網是國家電子政務的基礎性網絡環境,支持電子政務系統互聯互通、數據交換、信息共享、業務互動、便民服務的需求,所以政務外網要滿足公用網絡安全可信的需求;
根據以上分析,政務外網(一期工程)安全保障體系由網絡防護體系、網絡信任體系、安全管理體系、安全服務體系等構成,邏輯模型如圖2所示。
⒈網絡安全防護體系
網絡安全防護系統是政務外網安全保障體系中最重要的安全設施,主要保護電子政務外網的各子網網絡節點及整個電子政務外網,保證整個政務外網及相關業務系統的可用性、完整性、可控性等。網絡安全防護系統重點要考慮防火墻系統、入侵防御系統、防病毒系統、遠程安全接入系統、流量監測系統等的配置和建設。
政務外網的網絡安全防護體系將涵蓋以下幾個方面:
⑴物理安全
保證政務外網中各種骨干設備的物理安全是整個政務外網安全的前提。物理安全是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。
⑵網絡安全
網絡安全主要考慮VPN、防火墻、入侵檢測系統、非法外聯監控系統、PKI接入認證網關等安全設備在政務外網中的配置與部署。
⑶系統層安全
系統層安全主要包括漏洞掃描、操作系統安全加固、數據庫安全加固。
⑷應用層安全
應用層安全主要考慮應用系統的鑒別、授權和訪問控制等安全機制。
⒉網絡信任體系
網絡信任體系是為網絡用戶、設備提供信息安全服務的具有普適性的信息安全基礎設施。該體系在統一的安全認證標準和規范基礎上提供在線身份認證、授權管理和責任認定。其核心是要解決信息網絡空間中的信任問題,確定信息網絡空間中各種經濟和管理行為主體(包括組織和個人)身份的唯一性、真實性和合法性,保護信息網絡空間中各種主體的安全利益。政務外網網絡信任體系的建設與政務外網的安全運營息息相關,是電子政務安全運行的支撐基礎設施。
政務外網(一期工程)的網絡信任體系,主要是在國家主管部門的指導下,建設政務外網身份認證系統,組建政務外網身份認證管理協調機構和技術保障隊伍,制定有關政務外網身份認證的相關標準體系、管理運行規章制度和規范,逐步形成統一的政務外網網絡信任體系。
⒊安全服務體系
政務外網安全服務體系主要由安全評估和安全培訓組成。安全評估主要是對政務外網及其處理的傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學識別和掃描評估的過程。安全評估的主要目的是定期對網絡系統進行安全性分析,及時發現并修正動態運行的網絡系統中存在的弱點和漏洞,認清信息安全環境、信息安全狀況,明確責任,采取或完善安全保障措施,并使信息安全策略保持一致性和持續性。
⒋安全管理體系
安全并非只是一個技術問題,它也是一個關于人和管理的問題。安全不是個產品,它是一個完整的過程。作為一個過程,它有人、技術、流程這3個組成部分,這些組成部分匹配得越好,過程進展得就越順利。
安全管理在政務外網的安全保密中占有非常重要的地位,即使有了較完善的安全保密技術措施,如果管理的力度不夠,將會造成很大的安全隱患。因此,必須加強安全保密管理,設置安全保密管理機構,制定嚴格的安全保密管理制度,采用適當的安全保密管理技術將政務外網中各種安全保密產品進行集成,并加強對人員的管理。
安全管理體系的建設包括安全保密管理機構的建立、安全保密制度的制定、安全保密管理技術的使用以及人員的管理等幾方面內容,這里不再予以贅述。只有通過建立科學、嚴密的安全管理體系,不斷完善管理行為,形成一個動態的安全過程,才能為政務外網提供制度上的保證。
四、幾個重要問題
在整個政務外網(一期工程)安全保障體系的規劃和建設當中,有幾個重要問題需要特別說明。
⒈安全域劃分
政務外網要為政務部門的業務系統提供網絡、信息、安全等支撐服務,為社會公眾提供政務信息服務,要滿足政府公用網絡安全可信的需求。所以,在政務外網內有必要劃分不同的安全域,定義每個安全域的物理或邏輯邊界,形成隸屬于由單一安全策略權威定義和執行的公共安全策略的安全要素的集合,有利于每個安全域共享相似的安全策略。
政務外網具有數據量龐大、業務復雜多樣、安全等級各異的特點,因此安全域的劃分遵循以下原則:
①根據信任等級劃分安全域。在政務外網中,要為政務信息資源和國家基礎信息資源的登記、備案、、交換和共享提供服務,同時相關的業務系統也要有連接到互聯網和有需求的其它單位,不同的系統由于處理的數據和交互的實體不同,需要在不同的位置或業務流程中,劃分不同的安全域。
②根據業務節點類型,對不同的節點劃分相應的安全域,并配置和節點業務量相匹配的安全措施和安全設備。在政務外網中,政務外網要連接不同類型的網絡節點,網絡節點的安全等級決定了安全域的劃分和安全設施的投資建設規模。
③依據數據的安全等級,在存儲和傳輸的不同區域,劃分安全域,并采用不同的安全策略,體現數據的分等級保護。
根據以上原則,在政務外網中,網絡各節點的局域網構成相對獨立的安全域,并在各節點內部進行安全域細化。政務外網中,按節點所劃分的安全域有中央網絡管理中心局域網、中央城域網接入節點單位、各省市節點的二級網絡管理中心局域網和各省市節點的各自的接入網絡。
⒉等級保護
根據公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室2007年聯合頒布的43號文件《信息安全等級保護管理辦法》的相關規定,為保障電子政務外網的網絡安全,對電子政務外網需采用等級保護機制。等級保護以網絡安全域劃分為基礎,電子政務外網包括網絡基礎設施,包括眾多接入網絡,各個子網絡又包括不同的應用系統。只有根據這些資產的重要性以及它們面臨的安全威脅的不同,結構化地劃分為安全域,才能有效地進行安全保護。
根據政務外網的邏輯結構、安全域劃分情況、面向對象及應用模式,中央網絡管理中心局域網、中央城域網接入節點單位二級網絡管理中心局域網和各省區市接入節點二級網絡管理中心局域網,至少要達到第三級(監督保護級)的要求。對于這類的安全域,將依照國家管理規范和技術標準進行自主保護,并接受信息安全監管職能部門的監督、檢查。
中央城域網接入節點單位接入網絡和各省區市接入節點單位接入網絡至少要達到第二級(指導保護級)的要求。對于這類安全域,將在信息安全監管職能部門的指導下,依照國家管理規范和技術標準進行自主保護。
⒊風險評估
在政務外網(一期工程)安全保障體系規劃和設計時,國家信息中心網絡安全部將風險管理的思想引入到政務外網的建設中,獲取規劃和設計階段的政務外網的安全風險,提出并確定外網安全建設的要求,改進規劃中的不合理因素,為后續的網絡建設的實施提供安全建設依據。此次事前評估范圍主要是政務外網一期工程第一階段工程初步設計規劃方案,評估著重考慮外網規劃中系統平臺的安全性。為支持整個風險評估過程的推進,國家信息中心網絡安全部成立了由領導層、相關業務骨干、外網相關人員等組成的風險評估小組。評估結束后,針對不可接受的風險,風險評估小組對規劃和設計做了相應的修改,很好地兼顧了風險與成本的平衡。
五、結語
根據政務外網(一期工程)安全保障體系整體規劃和一期工程建設進度安排,政務外網中央節點安全保障體系已初步建成。通過幾個月的試運行,整個政務外網安全保障體系運轉良好,初步達到了預期的設計目標。下一步的工作重點將是:進一步完善政務外網安全保障體系,建立健全政務外網安全管理機制,明確各級網管部門安全管理責任;開展信息安全風險評估工作,按照信息安全等級保護的要求,對全網分級、分層、分域確定信息安全等級;從技術和管理兩方面入手,不斷完善信息安全保障體系,初步建成統一的政務外網信任體系,形成面向外網用戶的服務能力。
作者簡介:
王勇,男,漢族,1977年生,山東鄄城人,國家信息中心網絡安全部工程師;研究方向:網絡安全。
篇9
(一)安全風險識別在進行安全風險評價前,首先需要識別安全風險,安全風險識別應全面系統地分析公司目前安全生產現狀,根據安全生產業務或安全風險載體進行初步分類,對能導致風險事件的風險因素分類,然后對每項風險因素再進行細分,從而識別公司安全生產過程中存在的安全風險。〔3〕按照深圳燃氣負責地上管道燃氣系統維護與燃氣供應業務的管道氣客戶服務分公司(以下簡稱客服分公司)目前安全生產現狀,可能導致風險事件的風險因素包含6個一級風險因素,18個二級風險因素,若干個基本風險因素。一級、二級風險因素稱為綜合風險因素,基本風險因素對應日常生產業務基本單元。(二)安全風險分析參照公司有關安全數據信息及應急安全管理狀況,對每個安全風險因素存在的安全風險發生頻率和危害程度進行分析,初步判斷其安全風險狀況,為建立風險評價模型做好基礎工作。
安全風險評價
(一)建立安全風險評價模型依據風險識別和風險分析的結果,綜合考慮綜合風險因素和基本風險因素的風險狀況,建立安全風險評價模型,為開展安全風險評價和風險管理提供科學依據。建立風險評價模型可以采用以下兩種方法。1、風險檢查評分法針對各風險因素,設立事故控制、隱患控制、法律法規及安全管理制度、日常安全管理及措施落實、應急救援及事故處理等五個風險值評價指標,設定各項指標權重,制定檢查標準,編制風險檢查評分表,對需要進行風險評價的風險因素進行評分,對于每一項風險因素,各評價指標的權重設定可以是不同的,權重設定根據實際情況可以調整,最后計算出該風險因素的風險值(degree),用D表示。風險檢查評分法是通過安全檢查的形式進行評分,優點是可以結合公司日常安全檢查工作開展,缺點是定量性不夠,更多依靠檢查人員的專業素質。2、風險指數(風險度)計算法按照風險事件發生的頻率和該風險所導致的事故危險程度計算各基本風險因素的風險指數,最后計算出綜合風險因素的綜合風險指數。風險指數(或風險度),指的是由于某種安全風險( 或危險) 因素導致的不安全程度或風險程度( degree),用Di表示:Di =PiCi。“i 表示第i 種風險因素,Pi表示風險導致的事故發生頻率(probability),Ci表示風險導致的事故后果(consequence)。”各基本風險因素的安全風險指數Di 反映了該風險因素的安全風險程度,Di越高,說明該風險因素的安全風險越大。〔4〕綜合風險因素的風險指數Dj由下一級風險因素的風險指數綜合而成,可以表示為:Dj = ΣD(j+1)i =ΣP(j+1)i C(j+1)i;i表示風險因素項,i = 1,2,…,n;j 表示風險因素級別,j = 0,1,2…,n。綜合風險因素的安全風險指數Dj 反映了該風險因素的安全風險程度,D 值越高,說明該項風險因素安全風險越大。風險指數(風險度)計算法是風險管理風險評價的傳統方法,優點是可以比較準確地評價出該風險因素的風險指數,難點是有關數據的收集和確定。(二)實施安全風險評價為了順利開展安全風險評價工作,在制定好風險評價管理辦法,確定好風險評價的依據和具體標準后,還應落實安全風險評價具體工作流程和評價小組機構設置及安排,明確安全風險評價的具體工作要求。根據安全生產實際情況,選擇好需要評價的風險因素和合理的風險評價模型,便可以實施安全風險評價。根據風險因素的風險指數或風險值,對某種基本風險因素或綜合風險因素進行風險級別的評定,按照風險指數或風險值將風險劃分為高風險等級、中等風險等級和低風險等級三級,以便管理者按照不同的風險等級實施有針對性的管理。其劃分方法是給出Di和Dj 的各種風險等級的閾值。對高風險、中風險、低風險可以分別采取用紅、黃、綠三種色標,并以公開公示的方式實行分級掛牌管理。〔5〕安全風險評價周期可以設定每年一次,具體根據安全管理實際需要可適當調整。風險評價小組選定需要進行評價的風險因素,選定評價模型,安全風險評價前評價小組應了解每個安全風險因素的操作流程和作業環節,確定業務關鍵點作為安全評價的重點。安全風險評價時應確保數據的真實性和準確性,數據來源應可靠有效,可通過多種手段獲取基礎信息,包括安全數據統計分析、業務交流、各類現場安全檢查等。現場檢查包括實地查看、抽查抽樣、現場測試等方式了解實際情況,收集匯總資料,如有抽樣的數據應考慮時間、區域等因素,抽取數據應具有代表性。為了確保安全風險評價的客觀性,安全風險評價小組成員應嚴格遵守評價管理辦法,以積極態度開展評價工作。
構筑安全管理防線,做好風險的預警和控制
篇10
關鍵詞:哈薩克斯坦;資本流動;可拓物元模型;風險測度
中圖分類號:F733 文獻標識碼:A 文章編號:1001-148X(2017)03-0086-07
哈薩克斯坦是我國重要的經貿合作伙伴,我國對哈薩克斯坦的資本輸出方式主要以直接投資、國際信貸為主,哈薩克斯坦宏觀經濟環境不穩定性、債務結構不合理性,以及金融市場的脆弱性是中國對哈薩克斯坦資本流動所面臨的潛在風險。本文嘗試構建多維可拓物元模型,以資本流動風險為預警對象生成物元矩陣,并對區間值進行可拓分析,結合關聯度計算方法達到對監測樣本預警的目的,以期為該領域的研究提供參考。
一、資本流動風險可拓物元模型構建及指標變量選擇
(一)資本流動風險可拓物元模型構建
1.資本流動風險評價物元
物元由事物N、事物特征c及特征的取值v構成的三元組,即R=(N,c,v)。資本流動風險預警評價模型是以資本流動為“事物”,以風險評價指標體系為特征,以各指標的取值為特征值,三者構成了資本流動風險評價物元。假設資本流動風險評價指標體系數量為m,則其所對應的物元矩陣為:
2.資本流動風險預警評價經典物元和節域物元
資本流動風險預警評價經典物元是將資本流動風險有效地劃分為不同等級,使其成為定性、定量綜合評價的物元。假設對各資本流動風險評價指標進行等級數量劃分為s,則資本流動風險預警評價經典物元矩陣為:
其中R0j代表資本流動風險處于第j級時的物元矩陣,N0j代表第j級時的安全系數,a0jk,b0jk代表資本流動風險為第j級時第k個指標的取值范圍。
資本流動風險預警評價節域物元是由各風險評價指標的取值范圍構成,即:
其中Rp表示資本流動風險預警綜合測度物元模型的節域,Np表示資本流動風險所屬等級, vpk=a0jk,b0jk表示風險評價指標xk的取值范圍,且有3資本流動風險預警等級的判斷
依據風險評價指標實際值構成的物元矩陣和經典物元矩陣之間的關聯函數來判斷資本流動風險預警所屬等級的大小,vk代表指標實際值,定義與區間a0jk,b0jk和區間apk,bpk的接近度:
則待評價物元第k個指標隸屬于第j預警等級的關聯度為:
kj(vk)=p(vk,v0jk)p(vk,vpk)-p(vk,v0jk),j=1,2,…,s;k=1,2,…,m
若kj(vk)>0,說明的風險等級屬于第j級,且kj(vk)取值越大,其屬于第j級風險的屬性就越多;若kj(vk)=0,表示xk的風險等級處于第j級與相鄰級別的臨界點上;若kj(vk)
資本流動風險評價的最終結果,即與第j級預警等級的關聯程度的計算公式為:
Kj(R)=∑mk=1wkkj(vk), j=1,2,…,s,wk指各指標的權重系數。
依據關聯性最大原則:K(p)=maxj=1,2,…sKj(R),可得到資本流動風險的最終評價值K(p)及其所處的預警等級j。
(二)指標變量選擇及數據來源
鑒于中國對哈薩克斯坦資本流動形式主要以直接投資和國際信貸為主,本文結合哈薩克斯坦的實際現狀,擬從經濟風險、資本規模風險、資本結構風險、資本市場風險、銀行市場風險、文化風險、政治風險及法律風險方面構造指標評價體系(如表1所示),選取的研究期限為2002-2014年,數據均通過世界銀行、哈薩克斯坦中央銀行整理計算得來,政治風險指數來源于PRS Group。
二、中國對哈薩克斯坦資本流動風險測度分析
對指標數據進行標準化處理:對于正向指標按Xij=(xij-minxij1j13)/(maxxij1j13-minxij1j13)進行標準化處理,對于逆向指標按Xij=(maxxij-1j13xij)/(maxxij1j13-minxij1j13)進行標準化處理,標準化后的指標取值分布于[0,1]區間內。
由于⒅泄對哈薩克斯坦資本流動風險水平劃分為五個等級,需將任意評價指標Xi的取值區間劃分為五個標準區間,即[ak1,bk1]、[ak1,bk1]、[ak1,bk1]、[ak1,bk1]、[ak1,bk1]。考慮到同步預警功能的重要性及預警操作的便利性,本文對各預警指標的標準區間進行同質化處理,即對任意評價指標Xi(1i32)的標準區間設定為:[09,10]、[07,09]、[05,07]、[03,05]、[00,03],各標準區間所對應的預警等級及信號顯示分別為一級風險(綠燈)、二級風險(黃燈)、三級風險(橙燈)、四級風險(紅燈)、五級風險(紫燈)。
構建中國對哈薩克斯坦資本流動風險預警的經典域物元矩陣與節域物元矩陣如下:
以2002年為例,將評價指標標準化數據代入關聯度的計算公式,可得到各指標與風險等級的關聯度(如表2所示)。本文采用熵權法、變異系數法、相關系數法、CRITIC法對資本流動風險評價指標的權重進行測算,最后取測算結果的平均值可得評價指標的權重系數wk為:
由此可知2002年中國對哈薩克斯坦資本流動的風險等級為二級,風險水平相對較低,達到黃色預警。 采用這種計算方法可得到2003-2014年中國對哈薩克斯坦資本流動的風險狀態(如表3所示),從中可以看出中國對哈薩克斯坦資本流動的風險呈現出階段性特征,國際金融危機以前整體風險水平相對較低,風險級別基本處于三級以下,警情為黃色、橙色及綠色預警。國際金融危機爆發至今的風險水平有了突變,風險級別達到四級及以上,警情為紅色及紫色預警,其中2008年、2010年、2014年達到了五級水平。資本流動風險水平上升的深層次原因在于哈薩克斯坦產業結構的單一性及全球經濟的疲軟。作為依靠能源發展的哈薩克斯坦缺乏有效分散投資風險的渠道,一旦出現外部因素導致能源出口危機就可能引起資本流動的逆轉。
為了探索中國對哈薩克斯坦投資風險的主要來源,本文將資本流動風險的八種形式所屬指標與風險等級的關聯度及權重系數代入公式,分別測算出不同資本流動風險形式與預警等級的關聯度,依據最大化原則最后確定中國對哈薩克斯坦資本流動2002-2014年的風險狀態如表4所示:2008年以后,經濟風險、資本流動規模風險、資本流動結構風險、資本市場風險、銀行市齜縵占罷治風險是導致中國對哈薩克斯坦資本流動整體風險發生突變的主要因素,風險級別在四級以上,達到紅色及紫色預警;文化風險及法律風險水平相對較低,風險級別處于三級以下。
三、中國對哈薩克斯坦資本流動風險預警分析
為了把握中國對哈薩克斯坦資本流動風險的變化趨勢,合理分散資本流動風險,需要對未來年份資本流動的風險狀態進行預警分析。本文對2015-2019年資本流動風險評價指標進行數值預測,所選取的預測模型為GM(1,1)模型,具體步驟如下:
對預測后的指標數據進行標準化處理,結果如表5所示。依照資本流動風險測度模式構造預警物元模型,采用同樣的計算方法得出2015-2019年中國對哈薩克斯坦資本流動整體風險及分類別風險水平的測算結果,見表6和表7。從表6可以看出未來五年中國對哈薩克斯坦資本流動整體風險依然較大,風險級別均為五級,達到紫色預警。從表7可以看出經濟風險、資本結構風險、資本市場風險、政治風險在預測年份均達到了紅色及以上預警,這是導致中國對哈薩克斯坦資本流動整體風險偏大的主要原因,也是未來五年中國對哈薩克斯坦資本流動需重點關注的風險種類。資本規模風險自2015年開始出現短暫的下降后,2018年和2019年重新達到五級水平,而銀行市場風險則呈不斷下降的趨勢;文化風險和法律風險依然較低,整體風險水平均處于三級及以下。
四、主要結論及啟示
本文從資本輸出國的研究視角分析了中國對哈薩克斯坦投資的風險現狀及變化趨勢,并對綜合風險進行了測度及預警分析,主要得到以下結論:
第一,中國對哈薩克斯坦資本流動風險易受到國際宏觀經濟環境變化的沖擊,2008年以后整體風險水平相對較高,達到紅色及紫色預警,其中資本流動綜合風險在2008年、2010年、2014年均達到了紫色預警。
第二,經濟風險、資本流動規模風險、資本流動結構風險、資本市場風險、銀行市場風險及政治風險是導致中國對哈薩克斯坦資本流動整體風險發生突變的主要因素。
第三,預警結果顯示未來五年中國對哈薩克斯坦資本流動風險整體水平依然較高,均達到紫色預警,經濟風險、資本結構風險、資本市場風險、政治風險是未來五年我國對哈薩克斯坦資本流動需重點關注的風險種類。
由于世界經濟運行依然處于深層次的調整之中,各國經濟仍將面臨國際貿易和投資持續低迷等多種風險和挑戰。如何有效化解資本輸出在不確定性國際環境影響下的潛在風險,提高資本輸出效益是我國急需解決的難題。對于投資哈薩克斯坦而言,我國將面臨巨大的資本流動風險,如何防范及化解資本流動風險對于深化中哈多方面互利合作意義深遠。我國應在中哈關于“絲綢之路經濟帶”建設與“光明之路”新經濟政策對接合作的機制下,在深化能源資源合作的同時進一步擴大對非能源領域的投資,以分散對哈薩克斯坦的投資過度集中于能源領域的風險;同時,充分發揮行業協會、商業組織以及投資企業的協同力量,完善對哈薩克斯坦經濟領域、社會領域等方面的信息共享機制,建立健全資本流動風險預警體系,防范資本流動風險帶來的危害,保持對哈薩克斯坦資本流動規模的有序穩定及結構的合理優化。
參考文獻:
[1]劉文翠,楊錦平.人民幣實際匯率變動對中國在哈薩克斯坦FDI影響的實證分析[J].新疆社會科學,2015(2):88-94.
[2]Jeffrey Sachs, Aaron Tornell, and Andres Velasco. Financial Crises in Emerging Markets: The Lessons from 1995[J].Brookings Papers on EconomicActivity, 1996(1): 147-217.
[3]張元萍,孫剛.金融危機預警系統的理論透析與實證分析[J].國際金融研究,2003(10):32-38.
[4]Graciela L. Kaminsky, Saul Lizondo, and Carmen M. Reinhart. Leading Indicators of Currency Crises [J].IMF Staff Papers, 1998(45):1-48.
[5]Berg, Andrew and Catherine Pattillo. Are Currency Crises Predictable? A Test[R].IMF Staff Papers,1999.
[6]Jeffrey A. Frankel and Andrew K. Rose. Currency Crashes in Emerging Markets: An Empirical Treatment [J].Journal of International Economics, 1996(41).
[7]朱鈞鈞,謝識予,許祥云.基于空間Probit面板模型的債務危機預警方法[J].數量經濟技術經濟研究,2012(10):100-114.
