時間:2023-05-26 17:33:21
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇安全風險及防范,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
[中圖分類號] F490.5 [文獻標識碼] A
企業信息化建設的腳步越來越快,伴隨著快節奏的信息化之路所產生的安全風險也越來越多。沒有安全風險意識對ERP系統是極其危險的,風險發生所導致的后果一般不可逆的且沒辦法補救。只有提前做好風險防范才能有效抑制風險的發生,從而避免不必要的損失。本文結合計算機技術及網絡技術的最新發展分析了當前ERP軟件系統使用中面臨的人為因素和客觀因素導致的風險,并提出了具體防范建議。希望本文的研究有助于企業加強ERP軟件系統使用的安全性,從而幫助企業有效發揮使用ERP軟件系統的作用。
一、計算機、網絡技術及ERP軟件發展現狀
ERP是Enterprise Resource Planning的縮寫(企業資源計劃),20世紀90年代隨著計算機技術發展以及在企業管理中的應用而提出的概念,它是以計算機技術和管理科學為基礎而最新發展而來的。隨著計算機技術、網絡技術的不斷發展進步,管理對數據準確性及時性的要求不斷提高,ERP系統也在不斷發展整合,由最早的庫存管理,銷售管理發展到如今囊括財務管理、生產管理、庫存管理、客戶管理、供應鏈管理、銷售管理、質量管理等業務相關內容的管理。當前,隨著電子商務的發展,互聯網的發展,ERP的框架分化為C/S結構(客戶端/服務器模式)和B/S(瀏覽器/服務器模式)結構。管理模式的不同和框架的不同所面臨的風險也各有不同,防范方法也差異很大。本文從通用角度探討風險及防范方法,不針對個例去研究。
二、人為因素導致ERP軟件系統的風險
(一)手工錄入差錯風險
手工錄入原始數據的時候,沒有嚴格執行審核機制,錄入錯誤導致后面一系列的計算和分析都是建立的錯誤的數據之上的。由于原始數據多是手寫,錄入員對數據的辨識存在主觀因。錄入過程中也是手工錄入,也存在重復錄入和遺漏內容等主觀因素,這些都會導致錄入錯誤。例如數字‘3’和‘8’的書寫不規范就容易混淆,還有日期格式的不同比如5.9.2013有的人認為是5月9日,有的人認為是9月5日,這樣就造成認識上的誤差導致數據錄入錯誤。
(二)數據篡改風險
出于某種目的,不按著正常軟件操作流程進行數據更正,直接進入原始表更改數據導致表之間的關聯關系失效。這樣導致整個ERP的數據計算和分析都是錯誤的,更嚴重的有可能導致表格之間校驗失敗整個數據庫無法使用。目前ERP作為企業經營分析的主要數據依據,一些管理者或使用者出于個人目的篡改原始數據又不想留下更改痕跡(正常數據更正程序都會記錄數據更改過程),以達到影響數據分析結果目。例如,某日用百貨公司向ERP系統供應商反映客戶儲值卡無交易記錄,但余額變少的情況,系統供應商在認真核查所有ERP系統后發現無操作誤差,最后在核查數據庫事務日志的時候發現有人用系統管理員登錄數據庫直接修改儲值卡余額,最后根據IP鎖定某操作人員通過盜取數據庫管理員密碼篡改數據為自己謀利側行為。
(三)病毒導致ERP系統的安全風險
移動存儲設備、不安全的網絡訪問及惡意的網絡攻擊導致病毒對ERP系統的數據安全造成風險。互聯網普及帶來的后果之一就是病毒傳播越來越快、越來越廣泛。病毒伴隨著計算機系統的發展,也由最初的以惡作劇為目的發展到當前以破壞軟硬件系統及盜取用戶信息資料和資金為目的。由最初少數技術能力強的個人制作發展到當前的團隊批量制作,病毒導致的危害性變得更深更大。ERP系統上保存的客戶、供應商資料及內部數據資料都有可能成為新型病毒攻擊的目標。例如,頗具爭議的‘灰鴿子病毒’。2007年國內很多不太懂電腦的人通過使用‘灰鴿子病毒’盜取他人網銀密碼、游戲賬號密碼、充值網站密碼為自己謀利而違法落網的案例,‘灰鴿子病毒’名義上是遠程控制軟件,同時又具有好多病毒特征(可配置服務器端,監視記錄鍵盤,截取屏幕,免殺功能等等),這樣的工具被不法人員所利用就成為了盜竊工具。
三、客觀因素導致ERP軟件系統的風險
(一)網絡不穩定導致數據存儲不完全帶來的安全風險
隨著連鎖企業及集團企業對ERP系統數據的及時性要求日益提高,現在大多數ERP系統都支持互聯網訪問或者專線數據傳輸,網絡的質量直接決定著ERP系統的數據的完整性。同時由于多運營商的不同接入方式導致網絡的實際傳輸和標稱相差懸殊,致使ERP系統運行速度慢甚至產生網絡連接錯誤。由于網絡不穩定導致的數據存儲不完全帶來的安全風險,局域網老化,互聯網擁堵,VPN接入速度等等方面原因導致數據錯誤,最終都導致ERP系統完整性的安全風險。
(二)服務器硬件損壞導致數據存儲丟失帶來的安全風險
由于企業對ERP系統重要性的認識不足及投資限制問題,一般企業都是單服務器運轉,很少有企業能做到雙機熱備。單服務器運行導致數據存儲危險性加大,機房的溫度控制,是否配備長效的UPS(不間斷電源)等因素都對服務器存儲數據至關重要。同時地震、火災、水災、偷盜等不可抗因素對現代化機房的威脅也不可忽視的,服務器都集中存放在機房,機房的安全隱患導致了ERP系統的安全風險。
四、ERP軟件系統安全風險的防范方法
(一)人為因素導致風險的防范方法
通過加強人員管理、提高風險意識,修補漏洞以達到防范人為因素造成的安全風險。具體可以從三個方面入手。
1.建立審計校驗機制可有效防范數據錄入錯誤風險。手工錄入錯誤可以通過提高錄入員自我檢查、設置必要的審計人員來避免,也可以通過在ERP系統里設置原始數據錄入的合理校驗機制來防范風險,適當延長原始數據保存周期及錄入登記手續,做到隨時可以追溯數據來源,規范手工單據書寫標準(可以參考財務數據的書寫標準)、統一編碼(ERP系統從建立之初就建立一整套編碼體系,在系統運行過程中要嚴格執行編碼標準,防止重碼、誤碼對ERP系統的數據統計產生的風險)、統一格式(對于日期等容易產生差錯的格式性數據,統一規范格式,比如日期格式YYYY-MM-DD4位年2位月2位日前面提到日期表述應該是2013-05-09),以達到避免手工錄入給ERP系統帶來的安全風險。
2.加強內部控制合理分配權限可有效防范數據篡改風險。針對不正常修改表格,可以嚴格管控數據庫管理員、ERP系統管理員權限,對于數據庫密碼要設置足夠強度并且定期修改,以防范密碼盜取。明晰各管理員的權責,讓數據管理員不參與營運管理,有效避免數據管理員參與篡改數據的風險。規范各崗位使用ERP系統安全意識,操作人員離開座位時,必須退出ERP系統或者鎖定ERP系統,防范他人盜用用戶名修改數據。在ERP服務器端設置數據校驗功能對于沒有按正常修改的數據提出異常警報,并保存數據庫更改記錄。
3.對于病毒所帶來的風險可以通過以下方法封堵。使用上網行為管理的設備分別針對不同使用人員給予不同上網權限,過濾不安全網站,封閉USB端口、不得隨意使用移動存儲設備,通過域來管理用戶,普通用戶只分配操作權限不具有安裝卸載軟件和更改系統設置權限,安裝正版殺毒軟件并及時更新病毒庫,及時更新系統安全補丁,設置網絡防火墻隔離互聯網和局域網,對操作人員培訓上網常識,不要點擊不確定安全的文件,建立殺毒服務器,監視整個網絡防毒殺毒情況,通過這些手段來防范病毒對ERP系統造成的安全風險。
(二)客觀因素導致安全風險的防范方法
客觀因素導致的安全風險可以通過優化網絡運行環境,多做備份來防范風險。
1.對于web的ERP建議及時更新服務器安全補丁,封閉不使用的端口,提高管理員密碼強度,強制定期更換用戶密碼,來保護服務器的安全。定期檢查網絡運行環境,防止局域網產生鏈路、回路;檢查服務器端口承壓。對于中國南電信北聯通的情況,建議VPN服務器使用多運營商寬帶混合接入,以保障不同用戶撥入時都能有穩定的網絡環境。同時協調ERP軟件系統開發商做好數據的網絡校驗以達到防范風險目的。
2.防范ERP服務器硬件的風險,選用優質服務器,同時硬盤采取RAID磁盤陣列(RAID1或者RAID5都是廉價解決方案,也可以考慮RAID0+1模式),資金充足可以使用雙服務器熱備份,同時數據庫設置每天自動備份,如果條件允許最好采取異地保存數據,以避免水災火災地震等不可抗因素對ERP系統數據的風險,控制機房溫度做好通風去靜電措施,配備長效UPS防止意外斷電造成服務器硬件損壞,建立不可抗因素應對方案,能在發生不可抗因素對機房災難性毀滅后及時有效的恢復ERP系統。
五、結束語
提高風險意識,加強風險管理,總結經驗教訓,對于ERP系統的長效穩定運行提供了有利保障。只有這樣才能使ERP系統正常運行,為經營管理者提供有效、及時、準確的數據,提供決策數據依據。前述從大家容易忽略、易發生的幾種風險給予大家提醒和警示,并提供了一些防范方法供企業參考。使用EPR系統的企業能由上至下樹立信息安全的觀念,管理層從戰略高度出發建立一整套安全風險防范體系,嚴格執行,必然使員工在處理ERP系統業務時,能依據相關規定做到安全控制和風險防范。
[參 考 文 獻]
[1]林茂.ERP軟件財務會計系統安全風險防范[J].財會月刊,2010(35)
關鍵詞 電力調度 安全防范 防范措施
眾所周知,在我們使用電的過程中電力調度是極其重要的環節,電力調度能夠安全進行對于提高電的安全使用系數具有至關重要的作用。為了更好地將電應用到各個行業中,尤其是人們的日常生活中,確保電力使用的安全性,我們必須首先了解并認識到電力調度安全風險以及防范措施,并且盡可能地加大對電力調度安全風險以及防范措施的資金投入力度。盡管近幾年來我國在電力調度安全風險及防范措施上取得了一系列的成就,但與其他一些發達國家相比較,我國在電力調度安全風險及防范控制方面始終存在諸多問題,進而大大增加了電力使用的危險性。為了盡快改變這一現狀,提高電力調度的安全性,下面將對電力調度安全風險以及防范措施作詳細的介紹。
一、電力調度運行的安全風險
(一)系統因素
影響電力調度安全運行的因素比較多,其中比較常見的因素就是系統因素,系統因素對于電力調度安全運行影響比較顯著。在電力調度正常運行的過程中,必須利用各種儀器設備進行操作,然后對所有的電網進行統一的控制,只有保證所有儀器設備正常運行,才能更好地確保電力調度的安全性。在運行過程中任何儀器設備出現故障,都會影響電力調度的安全運行,使得電力調度工作不能正常進行。另外,電力調度運行的過程中,如果電力調度系統本身存在問題,也會大大增加電力調度運行中出現故障的概率。
(二)人為因素
在電力調度安全運行的過程中,工作人員扮演了極其重要的角色,他們是儀器設備正常運行的操作者,所以在電力調度運行的過程中,他們的工作能力會直接影響電力調度運行的安全風險。與其他行業相比較,電力調度的各個步驟都需要工作人員進行手動操作,在運行的過程中,一旦工作人員失誤使得電力調度運行在某一個環節出現了故障,都會直接影響到整個電力調度系統的安全運行,甚至會使得整個電力調度系統處于癱瘓的狀態。另外,許多工作人員的責任意識比較差,在工作過程中他們不能嚴格按照國家規定進行操作,進而大大增加了電力調度運行中出現故障的概率。
二、提高電力調度安全防范的措施
(一)加強對于電力調度操作人員的培訓力度
為了更好地提高整個電力調度安全防范,首先要不斷加強對于電力調度操作人員的培訓力度,進而不斷提高他們的工作能力和綜合素養,將提高他們的工作能力作為電力調度企業的一個重要任務,并且盡可能加大對于電力調度操作人員培訓工作的資金投入力度。例如,企業應該定期對所有電力調度操作人員進行培訓,在培訓的過程中首先對他們的理論基礎進行培訓,并且聘請專業的電力調度操作技術人員對他們進行培訓。在培訓時首先進行理論知識的培訓,讓他們對所有電力調度的技能以及電路系統進行全面的認識和了解。在他們掌握理論知識的基礎之后進行實踐學習,如企業可以增加一些安全事故案例的學習,在案例學習完成之后要求他們根據案例進行模擬演習,并要求所有工作人員必須參與實際的演習,在演習結束以后對他們的培訓成果進行檢驗,對于考核成績優秀的工作人員應該給予一定的獎勵。
(二)不斷建立健全操作規程
一個合理完善的操作規程對于確保整個電力調度安全運行具有極其重要的作用,因此為了降低電力調度運行風險,各個電力企業必須要盡快發現企業操作規程存在的問題,然后盡快建立健全操作規程。另外,操作規程是整個電力行業工作過程中不可或缺的一部分,并且一個合理完善的操作規程還可以更好地約束所有電力調度操作人員的工作行為。例如,對于電力企業而言,首先應該結合目前電力調度行業的發展趨勢,了解企業電力調度操作規程存在的問題,然后及時修改落后的操作規程,并不斷更新、完善操作規程。另外,對于一些因為新技術增加的操作規程,企業應該盡快補充,使得電力調度操作規程能夠始終M足電力行業的發展需求。另外,企業還應該將操作規程展示在顯眼的地方,使得所有電力調度操作人員可以隨時了解操作規程。最后,電力企業還應該不斷引進其他優秀企業的電力調度操作規程,并結合自身企業的發展情況對已有的操作規程進行適當的改革和創新。
(三)定期檢查電力調度設施
為了更好地確保所有電力調度儀器設備正常運行,盡可能降低電力調度運行過程中的安全風險,各個電力企業必須要定期檢查所有電力調度設施。例如,電力企業應該成立專門的電力調度儀器設備檢查小組,然后要求各個檢查小組必須要定期對所有的儀器設備進行認真的檢查,在檢查過程中,一旦發現儀器設備不能正常運行必須要及時進行維修,確保所有儀器設備的安全性。而對于一些完全無法使用的儀器設備必須及時進行更換。另外,在檢查過程中一旦發現任何的故障問題必須立即向企業匯報。最后,企業還應該對這些檢查人員進行培訓,使得他們可以更好地了解并掌握所有與電力調度儀器設備檢查有關的基礎理論知識,并且不斷提高他們的工作能力。
三、結語
隨著我國社會和經濟的不斷發展,我國電力系統的規模也在不斷擴大。電力調度在電力系統正常運行中發揮著重要的作用,但是,在電力調度實際工作過程中還存在很多問題,如安全管理機制不到位、操作人員綜合素質低等,都增加了電力調度的風險。因此,企業應該有針對性地提出解決措施,不斷提升電力調度工作人員的綜合素質,依靠先進的科學技術,提高電力調度的自動化、信息化水平,促進我國電力行業快速發展。
(作者單位為國網福建永春供電公司)
參考文獻
安全性評價與安全風險管理之間是緊密聯系的。兩者目的是一致的,都是以系統安全工程理論方法為指導,實施自下而上與自上而下相結合的基于風險辨識、風險評估、風險控制的閉環過程管理(實現“安全第一,預防為主,綜合治理”。《國家電網公司安全風險管理體系實施指導意見》中,明確指出“企業安全風險管理的基礎是企業安全風險評估、供電企業安全性評價、發電廠安全性評價等”。可以說安全性評價是安全風險管理的重要內容,是實現安全風險管理的一項具體手段。
供電企業安全性評價針對供電企業生產設備、勞動作業和作業環境以及安全生產管理三個方面可能引發的危險因素,以防止人身事故、特大和重大設備(電網)事故及頻發事故為重點,采用危險評估的方法進行查評診斷。供電企業安全風險評估規范以防止人身傷害和人為責任事故為主線,評估企業安全管理和安全控制狀況,評判企業安全風險程度。從安全風險管理應用對象和方法來說,安全性評價更多地針對電網結構、輸變電設備、二次系統等“物的不安全狀態”實施評估分析和控制,而安全風險管理是以“人的不安全行為”為重點,實施評估分析和控制。
安全事故的發生,歸根結底是由于人的不安全行為、物的不安全狀態、環境的不安全因素所致,這些因素的存在就是安全風險、就是事故隱患。安全管理的目的就是要分析、辨識和控制這些隱患和風險,最大限度地減少風險失控導致事故發生。實施安全風險管理,建立風險預控機制,是建立安全生產長效機制、規避和化解安全事故風險、提升企業安全工作水平的根本途徑。
2開展安全風險管理應做好以下幾個方面的工作
應做好教育培訓。教育培訓是風險管理體系建設的基礎工作和重要內容。通過培訓使各級人員特別是領導干部弄懂學會風險管理的基本知識,理解風險管理的意義、作用、內容和流程,提高自身安全風險分析和識別能力。
應開展作業風險辨識。以防控人身觸電、高空墜落、物體打擊、機械傷害和誤操作等典型事故風險為重點,組織開展輸電、變電、配電和調度等專業領域典型作業項目的危險因素邊式,通過建立靜態風險數據庫、典型作業風險辨識范本庫和編制標準化監督檢查表,落實風險控制措施。
靜態風險識別是指設備及工具材料、工況環境方面的危險因素,一般變動不太頻繁,相對于人的作業行為而言是靜態的,可以進行系統的辨識,并建立風險庫進行動態維護,此風險庫的建立,為具體作業前辨識作業環境、機具與防護存在的風險提供基礎資料。
態風險庫”框架。輸配電檢修、運行按每條線路建立“設備與環境風險庫”;變電檢修、運行按照每座變電站、每個設備間隔分專業建立;工器機具、防護設施按照保管單位建立。
識典型作業風險辨識范本庫。辨識范本是反映各專業某項作業涵蓋作業準備及作業過程可能存在的所有危險因素及其對應典型控制措施的文本,采用表格形式。作業風險辨識項目和辨識內容分公共部分和作業部分,公共部分主要辨識人員素質、作業組織、工期因素、氣象條件等方面存在的危害因素,制訂典型控制措施;作業部分以作業流程為主線,辨識作業中各流程存在的危害因素,制訂典型控制措施。
編制現場標準化安全監督檢查表。現場標準化安全監督檢查表主要針對現場作業管理、防止各種事故發生控制措施的落實情況進行檢查。作業現場標準化安全監督檢查表的運用,為管理人員開展作業現場標準化的安全監督檢查提供基礎資料,減小不同人員檢查效果的差異。
應開展風險評估、預警及干預,改進風險管理工作。
“風險評估”是對企業整體、局部的風險程度做定量或者定性的估測,評價風險等級,確定可接受的風險等級標準,為持續改進提供科學依據。
3安全生產風險管理在作業現場中的運用年,奎屯電業局按照新疆電力公司的工作思路,成立了安全風險管理工作組織,制定了安全風險管理總體方案和工作計劃,將作業控制作為開展安全風險管理的切入點,以作業現場為核心,針對作業過程中人身事故和人員責任事故風險,深入開展作業安全風險辨識和防范工作。以防控人身觸電、高空墜落、物體打擊、機械傷害和誤操作等典型事故風險為重點,使風險控制工作與已執行的“兩票”、標準化作業指導書、安全、施工方案等各種風險控制手段有機結合,按照“突出現場作業、強化班組應用”的原則,在變電檢修、變電運行、輸電檢修、輸電運行、配電檢修、配電運行個專業開展了安全生產風險管理工作。
穩步推進風險管理工作。奎屯電業局通過召開次安全風險管理工作推進會及次風險管理系統培訓,各單位、工區利于安全日活動或召開安全風險專題會,組織本工區、班組員工對辨識手冊進行培訓,通過各級培訓,使各級員工正確處理好風險管理與現有危險點分析、標準化作業、安全性評價等之間的關系,結合日常安全工作,學會自覺運用風險管理的方法,達到發現危害、控制風險、預防事故、保障安全的目的;個專業建立了靜態風險庫、典型作業風險辨識范本庫和標準化監督檢查表庫。每次工作選取典型作業風險辨識范本中典型控制措施,調用相應的靜態風險數據庫控制措施,對措施措施明確責任人和控制時段,形成作業風險分析表。對風險數據庫未形成或某項靜態風險存在尚不清楚時,通過補充現場勘察等手段進行辨識,采取控制措施進行補充。根據“作業風險分析及控制表”中的控制時段要求,各責任人在開工前一天落實完成準備階段的控制措施;標準化安全監督檢查表與現場作業息息相關,按照各級領導干部和管理人員作業現場到崗到位管理規定的要求,針對到位監督的作業項目,到位人員對照“標準化安全監督檢查表”進行監督檢查,并記錄監督情況。通過對每個作業項目不斷積累經驗,動態維護,推動安全監督工作。
整合常規安全管理工作。風險管理是在安全性評價和危險點分析預控基礎上的拓展、改進和整合。奎屯電業局在開展風險管理工作同時,結合“三個不發生”百日安全活動、反違章斗爭、隱患排查及安全大檢查活動,把具體要求融入日常管理和監督工作中,通過自查、專項檢查,不斷總結持續改進;將風險管理和標準化體系管理結合起來,結合該局安全生產規章制度完善不斷細化風險管理規范,學結風險管理先進經驗,提高風險管理水平。#p#分頁標題#e#
開展風險管理必須結合生產一線實際。只有與生產實際、一線實際相結合,將安全科學理論與生產實踐、經驗教訓相結合,才能夠發揮應有的作用,解決生產過程中遇到的安全問題,取得實效。在編制辨識范本和進行風險評估的過程中,應始終堅持理論聯系實際,注重采納一線管理者和生產者的意見、建議,吸取以往事故案例的寶貴經驗教訓,注重作業現場和過程管理與作業方式、事故類型等實際情況相結合。
開展風險管理必須注重實用、簡便、高效。復雜繁瑣的過程和方法,不但不會有助于安全工作,反而在一定程度上會起到相反的作用,甚至走向形式主義的極端。在開展風險管理試點工作中,把設備自身健康交由生產保證體系完成,安全監督體系則集中精力做好人身安全防范;提供參考標準,避免由于工作負責人業務水平不高、現場經驗不足或工作疏忽而造成的重要危險因素遺漏、控制措施不到位;開發運用系統軟件取代傳統的現場書面化勾打分,始終強調作業前風險評估的結果,即重要危險點的控制措施落到實處并加以監控。
開展風險管理必須加強責任制建設。風險評估和檢查只是風險管理的手段,發現的安全隱患只有及時整改或控制,才能達到確保安全的最終目標。風險管理要成為一個體系并長期運作,除了要求領導高度重視外,對流程各個節點的責任確定也十分重要。這些節點上的有關人員對待風險管理工作的積極性將直接決定該項工作的成敗。對這些人員而言,風險管理工作的推廣不僅有可能增加其工作量,而且還在一定程度上會改變他們習以為常的工作方法,因而,必須明確他們相應的責任要求和考核要求。
【關鍵詞】會計信息化 意義 風險 特性 防范 對策
一、會計信息化的背景和意義
從 1979 年開始,財政部和第一機械工業部撥款500 萬元,用于長春第一制造廠進行計算機輔助會計核算開始,我國會計信息化的發展已經走過了 30 多年的歷程,IT成為常規性資源被企業廣泛應用。隨著經濟的發展,競爭的加劇,在全球網絡化的環境中,國內外的會計管理軟件公司也紛紛推出基于互聯網的會計信息系統,即現代會計信息系統。原來封閉的局域網會計信息系統被推上開放的互聯網世界后,真正實現了業務與財務的集成、核算和管理的集成,為企業帶來了前所未有的會計與業務一體化處理和實時監管的優越性。因此,對會計信息系統進行風險分析以及防范和控制風險,是當前急需解決的問題。本文的研究適應當前風險控制的發展,具有積極的意義,主要體現在以下幾個方面:
(一)為企業構建簡單有效的風險管理體系 。
隨著信息時代的進一步發展,會計信息系統的風險問題日益突出,如何管理和控制會計信息系統風險是企業所必需面臨的問題。僅僅依靠內部控制無法有效管理和控制風險。本文在對會計信息系統風險因素分析的基礎上,通過構建適合我國企業的風險管理模式,來降低企業會計信息系統風險,使會計信息系統充分發揮其降低成本,提高效率的作用。
(二)為企業構建風險控制體系提供實施建議。
本文借鑒、COSO 的 ERM 和 COBIT 理論,通過對會計信息系統風險相關理論的梳理,提出自己的控制和管理思路,構建適合我國企業風險控制體系,進一步結合企業的特點和發展定位,為企業風險管理提供建議。
(三)為會計信息系統風險控制的效果評價提供了新的方法。
風險的控制對企業來說,極為重要,它為企業充分發揮信息系統的作用,從而提高企業效率,在激烈競爭中獲勝提供了保障。但其實施的效果至今沒有一個統一的標準。本文設計的“風險控制標準體系”可能為投資者評價上市公司、相關機構評價不同企業風險控制水平提供較為客觀的量化依據
計算機及網絡環境的發展,賦予了會計信息系統新的活力,使得會計信息系統具有了新的屬性。會計信息系統風險是指在會計信息化投資和實施過程中,由于各種不確定、不可控因素的作用和各種風險性的存在,使得無法實現或達到預期結果的可能性,這種可能性的大小將直接影響財務人員的形象,甚至整個企業的命運。通過對會計信息系統風險的研究,可以激發財務人員的風險意識,強化會計信息化安全觀念,可以全部或部分暴露一些問題并加以防范。會計信息系統具有以下風險特性:
(一)隱蔽性強 。會計信息系統風險的隱蔽性主要表現在以下幾方面:
1.舞弊的手段更具隱蔽性。通過使用計算機及通訊設施等高技術工具,作案人不用親自到現場就可以完成犯罪活動。
2.系統受到侵害后,不易被發現。由于所有的數據和程序都足以電子文件存儲,數據史件受到篡改后可以不留下任何像手工業務處理下的筆跡、涂改,偽造之類的痕跡,同時由于數據存儲在磁盤、光盤,膠片之類的信息媒體上,人的肉限無法直接識剮,因此,即使數據文件的內容已經有非法更改,程序已經有變化,操作者也難以發現,同時,操作者通過計算機讀出的信息與媒體上存儲的信息并不完全等同,即存在著輸出的數據是正確的,而數據文件中存儲的數據有問題的可能,使錯弊難以被發現。
3.錯誤和舞弊人員不易被發現。無論是系統的合法用戶還是非法破壞者,由于手段的隱蔽、作案后留下的線索和痕跡較少、系統內外部人員相互勾結以及遠程破壞等原因都使系統安全遭到破壞后難以及時發現錯弊者。
(二)風險損失及后果嚴重。
1.由于難以及時發現,錯弊可以反復多次出現而不被察覺,一旦發現,已經損失巨大。
2.由于計算機病毒、黑客等不僅威脅數據甚至破壞程序、硬件系統等,可以造成單位計算機系統的癱瘓,系統難以恢復,從而導致數據丟失或系統無法進行正常業務處理,造成損害。
3.如果企業經營決策信息、技術機密,其他保密數據等重要信息被泄露的話,其損失和影響將難以計量;此外,由于水災、火災、地震等破壞性自然災害造成計算機系統破壞,數據丟失,其后果嚴重。
(三)舞弊手段和方法先進。
網絡環境下,由于各種信息都存儲在非紙質媒體上,除非直接竊取或破壞有關媒體(如盜竊存放數據、程序、重要資料的軟盤、撕毀原始憑證等),舞弊基本上都利用計算機、通訊設施等現代化工具通過修改軟件、非法接入硬件、破壞傳輸系統、釋放病毒、黑客襲擊等隱蔽的方法和手段達到非法目的。比如,在網上設置陷阱,在用戶不知不覺中截獲用戶密碼,然后以合法身份進入系統進行非法操作等。
三、電算化會計信息系統的安全風險分析
(一)硬件固素所導致的風險分析。
電算化會計信息系統的可靠和穩定工作,必須依賴于計算機的正常運行,一旦計算機硬件系統(計算機機器及其輔助設備)遭到破壞或者是出現故障,將會導致電算化會計信息系統處理信息的失誤或中斷。與此同時.由于大量原始和處理后的會計信息都存儲于光盤和磁盤等磁性介質上。一旦磁性介質受到濕度、溫度或者是人為破壞,都將可能導致大量會計信息的丟失和難以恢復。這將給使用單位帶來巨大的損失。
(二)軟件因素所導致的風險分析。
作為支持和控制計算機進行財務核算的關鍵部分,財務軟件的性能將直接影響到財務信息處理的效率和準確性,決定會計數據是否能夠得到及時、合法和正確的處理。在這種背景下,一旦財務軟件的性能和質量出現問題,或者是與其他應用軟件存在沖突,都將嚴重影響到財務數據處理的速度和真實,并且危及到電算化會計信息系統的安全。
(三)工作環境和病毒所導致西風險分析。
電算化會計信息系統對工作環境要求較高,因此需要定期檢查計算機的防水、防火、防震、防盜和清潔等措施是否到位,這樣才能確保電算化會計信息系統能夠有一個安全的工作環境。
四、網絡環境下會計信息系統內部控制的風險防范對策
(一)評估風險。
利用信息資源進行風險控制。對于內部控制的研究不可能脫離其賴以存在的環境及企業內外部各種風險因素,因此必須全面評估和識別網絡環境下會計信息系統可能存在的各種風險。建立新型的風險控制體系,制定相應的控制程序,有效規避或降低這些新的風險。借助于網絡信息技術.利用信息資源,及時地將金融市場、資本市場、行業動態、供應商信息、客戶信息等進行收集、整理,通過計算機的模型模擬,進行敏感性分析,投資融資決策分析,進行風險控制。
(二)加強信息流動與溝通。
增強企業的內部控制設立良好的內部控制活動。內部控制活動是針對組織目標而采取的必要防范措施。內部控制活動包括:批準程序、授權、審核、保障資產安全以及職務分工等多種活動。網絡環境下,企業的內部控制活動包括政策和程序兩個要素。政策是程序的基礎,程序是政策的實現。政策和程序均應該前后一貫地、徹底地加以執行。增強內部控制系統的預防。有效的內部控制制度需要預防性的、檢查性的和糾正性的控制。網絡信息技術為支持決策和改善業務與信息轉化過程提供了戰略機會,也提供了預防檢查和糾正錯誤的機會。有效利用網絡信息技術可以建立多層次的安全控制體系。其技術包括:網絡安全協議、數據傳輸控制、防病毒控制等。利用網絡信息技術,將安全控制嵌入到會計信息系統中設置關鍵控制點,制定相應的控制手段,從傳統的發現問題、事后補救的做法發展為做到事前預防和事中控制。
(三)加強風險防范意識。
加強風險防范意識,建立風險防范的預警機制。針對可能出現的技術風險和控制風險,建立風險預警指標,及時發現和評價所出現的風險。同時建立風險處理的快速反應部門,幫助企業迅速地對事故及故障做出反應,將其損害降到最小,并通過對已出現的風險進行分析,達到進一步防范風險的作用。要確保內部控制制度被切實地執行且執行效果良好,內部控制能夠隨時適應新情況等,內部控制就必須被監督。利用互聯網對整個會計信息系統進行實時監督,網絡實時監控和電子監視系統可以強化網絡環境下的監督功能,解決網絡環境會計信息系統內部控制出現的新問題。
(四)建立完善、高效的審計信息化系統和審計操作平臺。
在網絡環境下,企業的內部控制重點變成了人及其處理的業務、人機交互處理過程、計算機系統業務處理過程和不同系統之同信息的傳遞過程。只有對會計信息系統的內部控制實施審計,才能了解內部控制運行狀況并由此確定改進措施。信息化環境下的審計從單一的靜態審計轉立力靜態審計與動態審計相結合,從單一的現場審計轉變為現場審計與遠程審計、非現場審計相結合。通過對會計信息系統內部控制全過程的審查、監督與評價,發現薄弱環節和存在的問題,幫助企業建章立制、完善內部控制,防范風險。
(五)在思想上重新認識網絡金融犯罪的極大危害。
為什么以往的懲罰力度不夠呢?我認為一個根本原因是我們沒有真正認識到網絡金融犯罪的極大危害性,我們首先應該從思想上提升對網絡犯罪,特別是與會計、金融領域相關的網絡犯罪的認識。因為經濟基礎是一個社會物質基礎的主要組成部分,而金融與經濟是密不可分的,從某種角度說,它是經濟的表現形式,也是經濟活動的重要手段。如果干擾,甚至控制了一個部門的金融業務,可以說就基本控制了該部門的主要經濟活動。在當今的網絡時代:以互聯網為主要載體及手段的發展趨勢是必然的,因此,針對金融領域的網絡犯罪是一種危害程度極為嚴重的犯罪。在戰爭年代,內奸是萬惡之源;那么在和平年代,利用網絡進行的金融犯罪則是輕則可以毀滅一個企業,重則可以動搖一個國家經濟基礎的犯罪行為。因此,必須予以極為嚴厲的懲罰,否則網絡金融業務的安全就無從談起,整個國家的金融及至經濟秩序也無從談起。只有從思想上、理念上真正認識到網絡金融犯罪對國民經濟的極大危害性,才可能從立法、執法、監督上有所行動,真正建立起有威力的企業內外部法律關聯方的風險防范體系。
(六)針對網絡金融犯罪的特點,不斷完善、修正我們的相關法律法規。
隨著互聯網技術的日新月異,各種網絡犯罪手段也在不斷更新,許多舊的法律法規并不能明確的起到懲戒、威懾新的犯罪行為的作用。因此,我們不僅要從新的高度來立法、規范,還要在執法、執法等各環節上不斷的與時俱進,深入研究最新的網絡金融犯罪特征,才能完善已有的制度,制定出新的制度,真正起到法律關聯方的威懾作用。
結束語
總之,安全風險關系到會計信息系統的是否正常運行.對于會計信息系統安全風險的防范,不僅要在硬件、軟件和管理上加以重視和改善,更要上升到企業領導自身的意識身上。只有
企業商層領導加大重視,提高系統從業人員的職業素質和道德修養.建立健全各項管理制度和章程,并做到嚴格自覺按制度操作和執行,嚴格遵守規章制度和操作規程,才能減少實際工作中的差錯,降低系統面臨的安全風險。最后還要注重人才和知識,積極培養知識全面的網絡系統管理人員,不斷提高系統管理人員的技術水平.加強業務創新和管理創新,才能從根本上提高系統安全風險防范能力,來更好地迎接信息化時代。
參考文獻:
[1]揚鴻海.網絡環境下會計信息系統的內部控制[J].財會研究,2005,(5).
[2]許永斌.基于互聯網的會計信息控制[J].會計研究,2005,(8).
[3]甄阜銘.網絡環境下會計信息系統內部控制的探討[J].財會通訊,2006,(5).
[4]王海林.試論會計電算化系統的安全風險和防范策略[J].商業研充,2006,(5).
關鍵詞:網上銀行安全性 網上銀行安全風險 網上銀行防范措施
網上銀行是在互聯網普及的社會大背景下產生的一種新型銀行運營模式,因其高效性、便捷性、安全性受到了銀行新老客戶的青睞。網上銀行的快速發展則需要其安全性的保障,網上銀行安全性對我國經濟發展有著重要意義。
一、網上銀行基本概況及特點
20世紀90年代中期,隨著因特網的普及應用,商業銀行開始了網絡服務方式并且得以快速發展壯大,銀行經營方式也隨之發生了巨大變化,至今已成為商業銀行發展過程中不可或缺的一部分。我國網上銀行的發展始于1997年,招商銀行率先推出網上銀行,隨后中國工商銀行、中國建設銀行、交通銀行、中國銀行等也紛紛開通網上服務業務,自此網上銀行在我國發展開來。網上銀行不僅提供開戶、銷戶、轉賬、網上證券、投資理財等傳統銀行業務,還產生了新的金融服務項目;包括電子商務的相關業務和企業銀行為首的新型金融創新業務等。
與傳統銀行相比,網上銀行的突出特點主要表現在交易時間短、交易成本低、交易靈活性強、客戶群體更加廣泛等,但其中最重要的特點就是它的快捷便利。其他方面則包括:
1.3A服務:即不受時間、空間限制,能實現隨時(Anytime)、隨地(Anywhere)、用任何方式(Anyhow)的網上支付功能
2.有效的結合了當前蓬勃發展的電子商務
為電子商務中的在線電子支付和轉賬等提供技術支持。例如,類似淘寶的商戶對客戶(B2C)模式購物,而且支持類似阿里巴巴的商戶對商戶(B2B)模式的網上采購等業務。
3.金融服務和管理的電子化,數字化
傳統銀行柜臺業務辦理所需的各種票據、票證、賬單、交易記錄等全面電子化,手寫簽名也實現了數字化簽名。
二、 網上銀行存在的安全風險
網上銀行作為實體銀行的一種虛擬服務方式,具有高技術性、瞬時性和開放性等特點,這導致其運營風險的增加和安全性能的降低。另外,現有的技術水平和立法制度也不盡完善,這些缺陷都導致了網上銀行安全問題的日益嚴重。
1.銀行網站中存在的安全風險
網上銀行內部系統的不完善,使得監督和管理系統未能充分發揮其作用,由此導致銀行內部風險的產生。最常見的內部風險包括:
(1) 由于技術人員的工作失誤造成系統運行出現故障。
(2) 工作人員違法相關的法律規定,利用客戶的賬戶進行違規投資,再出現風險之后將風險轉嫁到客戶身上。
(3)內部人員管理系統的不完善,各部門之間權利義務不清晰的現象,從而產生了內部操作風險。
2.用戶安全防范意識較低
其主要表現是過于輕信別人,導致自己的賬戶用戶名以及密碼的泄露。一些違法亂紀份子,通過短信、電話或者是郵件等多種方式,利用現階段網上銀行使用普遍的現狀,通常會謊稱自己是銀行工作人員或者國家監管部門工作人員,并告訴客戶客戶中獎或者是由于各種原因導致客戶的資金被凍結,進而誘騙客戶提供出自己的卡號以及密碼,對客戶的資金進行竊取。而且由于客戶的防范意識低以及詐騙手法多種多樣,導致客戶上當受騙的現象經常發生。
3.客戶端具有一定的安全隱含
造成客戶端存在安全銀行的問題主要是由于客戶端系統本山可能存在漏洞以及用戶使用習慣這兩方面的原因,如果客戶端系統在開發設計上存在著安全隱患,那就容易造成信息的泄露。此外,如果客戶在使用客戶端時,不夠注意在網吧或者公用計算機上進行操作,則會使得數字證書等重要信息泄露 。
4.密碼設置中存在的安全風險
密碼設置過于簡單,容易破解或不注意保密。這也給不法分子破解賬號、密碼提供了方便。
5.網絡通訊的安全性
因為互聯網的開放性,客戶在網上傳輸的敏感信息 (如密碼、交易指令等 )在通訊過程中存在被截獲、被破譯、被篡改的可能。
三、針對網上銀行安全風險的防范措施
1.用戶自身采取的安全措施
(1)下載安全防護軟件。一般來說,系統自帶的保護軟件不能解決所有的網絡安全問題,因此客戶需要下載額外的安全防護軟件,以此來保護個人網絡信息。
(2)注意保護重要的私人信息。①確認網銀運行的網站是安全的,警惕釣魚網站。②在網絡中傳輸敏感信息時,要注意加密保護。③不要在公共電腦上使用或存儲個人網上信息。
(3)選擇可信賴的交易網站。用戶在進行網上交易的時候,應選擇可信賴的或比較大型網站,以保證交易環境的安全性以及交易對象的真實性。
(4)設置安全的密碼。一個安全有效的密碼應該是比較長并且包含數字以外的其他字符或符號。另外,把個人賬號和密碼寫下來或存儲在電腦里也是不可取的。
(5)從正規網站下載應用程序。盡量避免在不熟悉的網站上下載電腦程序,因為這些下載程序上有可能保定了木馬病毒或惡意插件;另外,不要隨意打開網站自動跳出不知名的網站鏈接或附件。
(6)定期查詢網銀交易記錄。網銀用戶定期查看“歷史交易明細”、定期打印網上銀行業務對賬單,如發現異常交易或賬務差錯,立即與銀行聯系,避免損失。
2.銀行采取的安全防范措施
為了更好地服務廣大客戶,保護網上用戶的個人信息安全,銀行機構采取了以下幾種防范措施:
(1)網銀系統安全性測試。網銀系統屬于應用系統,對于應用系統而言,安全性能測試是十分重要的一個環節。
(2)加強對銀行內部業務工作人員的培訓與監管。對業務人員進行嚴格培訓,使其具備良好的職業道德。同時,規范系統的操作和管理權限,明確分工,設置合理的權限和職責。
(3)提供安全的網絡交易環境。為保證網銀交易環境的安全性,銀行需定期進行技術升級。包括:①設立防火墻,分隔互聯網與交易服務器以及交易服務器②高安全級的 Web應用服務器。
(4)手機動態密碼。當客戶登錄網上銀行時,系統將向客戶綁定的手機發送一次性動態密碼,客戶在規定時間內輸入此密碼完成第二重驗證,保證了登錄系統的安全性。
(5)動態軟鍵盤。動態軟鍵盤可以有效地避免用戶密碼在輸入過程中被檢測,而且由于數字是成動態顯示的,每次登錄時數字在軟鍵盤上的位置顯示位置不同,因此可以有效的避免密碼被記錄竊取。
(6)動態口令卡。使用動態口令卡,實現了網上銀行登陸的三重防護,只有正確的輸入銀行卡卡號、用戶密碼以及口令卡密碼,才能登陸網上銀行,因此隨機變化的動態口令卡可以有效的保護客戶的資金安全。
(7)USB Key 證書。USBKey是一種先進的網上銀行數字簽名工具,通過USB Key 證書這一專用性的U盤,將網銀證書存入其中,而且無法向其中存入其他信息,因此既不會攜帶傳播病毒,同時也可以確保客戶賬戶的安全可靠。此外,由于這種專用性的U盤中的東西無法向外拷貝,因此能夠有效的避免木馬程序對于用戶信息的竊取。
【關鍵詞】云計算;數據安全;風險防范
前言
云計算,英文全稱cloud computing,是一種以互聯網為載體的IT服務,是繼二十世紀八十年代大型計算機向服務器這一重大變革之后的又一舉世矚目的重大轉變。現階段,云計算技術已得到系統化發展,廣泛應用到數字圖書館領域,并逐漸改變著數字圖書館的運行方式與服務理念,但在發展的同時云計算所帶來的數據安全問題也不容忽視,云計算在安全管理方面還有待加強。
一、使用云計算所帶來的安全問題
現階段,使用云計算所帶來的安全問題已受到全社會的廣泛重視,大致可以將云計算的安全問題劃分為以下層次:物理層,針對本地資源的網絡數據安全風險;核心層,包括分布式管理缺陷、技術缺失等;網絡通信服務層,包括通信安全與網絡風險等;數據存儲層,設計網絡數據的完整性與私密性;計算層,針對計算過程中的相互影響;開發平臺,包括平臺的設計漏洞和可靠性等;軟件層,涉及軟件方面的相關漏洞[1]。
二、云計算所涉及的數據安全風險
(一)云計算的數據傳輸風險
云計算是一種對網絡極度依賴的模式,網絡中任何的失誤或微小不足,都可能對云計算產生負面影響,給系統的網絡數據安全帶來威脅,而硬件系統也有可能產生數據信息泄漏的現象,雖然云計算系統看起來比較完善,但缺陷一旦產生,就會造成網絡數據的安全風險。
(二)云計算的數據儲存風險
數字圖書館在應用云計算的過程中,絕大多數重要的數據資源都儲存于云端,在云端中,這些重要數據會被集中管理,實時監控,盡可能的保證數據的安全性。然而,云計算中的系統相當龐雜,很多時候很出現數據存儲不完全、無法保證信息安全的現象。
(三)云計算的數據使用風險
云計算使當今社會的數據使用更加方便,但相應的,數據的非法訪問風險也會隨之增加。很多數字圖書館將自身的一些重要數據委托給云計算,但一些云服務商會利用制度上的漏洞非法使用這些數據,造成云計算服務的可信度降低,加大了數據的使用風險[2]。
(四)云計算的數據泄漏風險
云計算方式與傳統系統最大的差別在于第三方管理的介入,在云系統接受數字圖書館委托數據時,便對數據有了控制權利,這就很容易造成數據保密性與完整性的缺乏。現階段的云計算雖然有一定的安全措施,但仍然不夠完善,還是會出現數據安全風險。
(五)云計算的云終端安全風險
云終端是云系統中非常重要的組成部分,為用戶提供了一個獲取云資源的平臺,而云終端的安全性,也是云系統需要重視的主要方面。隨著科技的發展,智能手機、平板電腦等智能終端越來越多,終端中的問題也層出不窮,極大的威脅著云終端的安全性。
三、解決云計算數據安全風險的措施
(一)建立起一套系統完善的云服務制度
想要云系統健康全面的應用,建立一套完善的云服務制度是非常有必要的。縱觀歐美等發達國家,信息安全的制度都相當完善,在云系統中,也應該借鑒這些經驗,利用我國的政府相關職能,建立起一套系統完善的云服務制度,以解決當前的云計算數據安全風險問題。
(二)利用科學的云安全技術
現階段我國的云計算數據安全風險問題主要是因為云計算技術上的缺陷造成的,因此,要從根本上解決云計算數據安全風險問題,就要在云安全技術上加大投入力度,運用最先進的云安全技術手段,修復云系統中的安全漏洞,保證云系統的數據安全[3]。
(三)配置有效的云基礎設施
云基礎設施是實現云計算的基本條件,在未來發展中,云基礎設施將會是整個云系統中的核心裝置,因此,配置有效的云基礎設施非常重要。在配置云基礎設施時,不僅要符合數字圖書館未來的發展需要,還要裝置強大的安全保障系統,阻擋惡意侵害系統的安全威脅,保障用戶的信息安全。
(四)構建合理的云安全監控系統
云安全的監控系統也是云系統中比較重要的部分,它負責收集云服務中的各種信息,對非法闖入者或試圖非法控制系統者會有及時的報警機制,以避免云系統中的數據遭到破壞。因此,在云系統中設置云安全監控系統非常重要,在設置云安全監控系統時,事前、事中與事后三個階段的控制都不能忽視,才能有效保證數字圖書館的數據安全。
(五)設置完善的云安全評價機制
云安全評價是對云系統的安全性進行評估的機制,主要通過客戶的反饋信息對云服務做出評價,為云系統的進一步完善提供理論依據,云系統的內部構成相當復雜,因此,需要多種評價方法共同操作,才能獲得最佳的評價效果。
四、總結
云計算對數字圖書館的未來發展有非常重大的作用,而數字圖書館為云計算的進一步普及提供了一個良好的發展平臺,在未來發展中,要加大對數字安全風險的管理,努力早日構建出一套系統完善的云系統管理體系,以促進云計算和數字圖書館的共同發展。
參考文獻
[1]房秉毅,張云勇,吳俊,徐雷.云計算應用模式下移動互聯網安全問題淺析[J].電信科學,2012,09(14):129-130.
關鍵詞:網絡財務;信息安全;防范措施
中圖分類號:F23 文獻標識碼:A
收錄日期:2011年12月21日
一、網絡財務信息安全面臨的主要風險
網絡財務是信息技術在財務領域的具體應用,其信息安全風險來源于信息技術的一般風險和財務數據的特定風險,主要表現在以下幾個方面:
1、硬件系統風險。任何計算機軟件都必須通過硬件來運行,硬件是軟件的承載體。硬件系統發生故障時,將會導致網絡系統癱瘓,軟件無法運行,業務處理停滯,給網絡財務使用者造成很大損失。如果硬件中的存儲系統發生嚴重損壞,所有數據將會面臨全部丟失的風險,給財務工作帶來災難性后果。
2、軟件系統風險。網絡財務軟件的正常運行,除需要硬件系統保障外,還需要操作系統、中間件和數據庫等軟件的支撐,這些軟件系統是否存在漏洞,技術上是否成熟,運行是否穩定,直接影響財務信息安全程度和網絡財務軟件運行效率。
3、數據存儲風險。在網絡財務環境下,財務信息存儲介質發生變化,由紙質轉化為磁介質,所有財務數據以電子格式存儲于服務器端,財務數據更易容丟失、被盜和損壞。此外,隨著網絡財務軟件的應用,財務數據量不斷增多,存儲設備還面臨著容量不夠的風險。
4、信息傳遞風險。網絡財務運行過程中,財務信息需要借助計算機網絡在客戶端和服務器端之間不斷地進行數據傳遞和交換,并且這種數據傳遞和交換都是以廣播的形式進行。理論上,任何聯網計算機都有可能獲取網絡資源,竊聽網絡信息,這就大大增加了財務信息被截取、泄露、篡改的風險。
5、病毒破壞風險。隨著網絡迅速發展,計算機病毒的破壞能力不斷提高,破壞范圍不斷擴大,并且呈現出了傳播速度快、自我復制強、難以防范的特點,給財務信息安全造成了極大的威脅。
6、非法入侵風險。在網絡環境中,任何聯網計算機在理論上都是可以被訪問到的,除非它們在物理上斷開鏈接。一些人可能出于各種目的,利用黑客程序,破壞網絡系統,進行黑客攻擊。而且,黑客攻擊比病毒破壞更具目的性和破壞性。
7、人員責任風險。計算機管理制度不健全,管理人員技術不精或者責任心不強;防范措施不嚴格,對網絡系統未進行必要的安全配置和管理,對網絡信息缺乏嚴密的監控;財務系統用戶不注意口令保護,口令密碼設置簡單或長期不更改,致使別有用心的入侵者輕易冒充合法用戶進入系統,竊取、篡改、破壞數據。
二、網絡財務信息安全風險防范措施
網絡財務信息安全風險防范是一項系統工程,需要財務和信息部門密切配合,通力協作,采取防范措施,增強系統抵御風險的能力,確保網絡財務信息安全。
1、強化網絡安全意識。加強網絡信息安全重要性宣傳和教育,使全體員工尤其是財務和信息部門人員在思想上時刻樹立網絡安全意識,深刻認識網絡安全對于財務工作的極端重要性,自覺維護良好的網絡安全環境,抵制一切影響網絡安全的行為。
2、加強網絡安全技術防范。網絡安全技術防范是指綜合運用防火墻、數據加密、數字簽名和安全協議等專業技術對整個財務網絡系統采取全方位的安全防范措施,建立多層次的網絡安全體系,提高網絡安全防護等級,提供全面的網絡信息安全保護。加強網絡安全技術防范,要保障資金投入,確保網絡安全防范設備及時安裝到位;要注重培養網絡安全技術專業人才,不斷提高網絡安全技術人員的業務能力和工作水平。
3、加強財務數據管理。定期對財務數據進行異地備份,指定專人負責保管備份介質,未經審批不得對備份數據進行恢復操作。嚴格限定財務數據共享范圍和權限,只允許其他系統在限定的范圍內對財務數據庫進行只讀操作,不得賦予改寫權限。嚴格數據錄入審核,防止錯誤數據進入財務系統。妥善保管操作系統、數據庫和財務軟件等各類密碼,增強密碼設置安全程度,不定期進行更改,防止別人盜用密碼進行非法操作。
4、加強財務信息化安全制度建設。建立健全和有效落實財務信息化安全制度是保障財務軟件正常運行、財務數據安全完整的關鍵。這些制度包括財務系統軟硬件管理和維護制度、系統管理人員和操作人員崗位責任制度、文檔資料保管和使用制度、計算機病毒防范制度、操作權限分配規定、計算機和網絡安全事故應急預案等,通過財務信息化安全制度建設,盡可能減少由于內部人員道德風險、系統資源風險、計算機病毒風險和意外風險造成的危害,確保網絡財務系統安全運行。
5、加強對計算機病毒和黑客的防范。通常情況下,網絡財務系統運行于單位內網之中。防范計算機病毒和黑客的最有效方法就是實行內外網嚴格分離制度,內外網之間進行物理隔離,使得外網計算機不能登錄到內網。此外,在內網中的所有計算機都要安裝殺毒軟件,定期更新病毒庫,及時查殺計算機病毒。加強網絡安全監控,及時發現網絡中的異常情況,果斷進行處理,凈化網絡環境。建立訪問列表,嚴格限定聯網計算機對財務服務器的訪問控制。
6、加強身份認證和權限控制。建立更為科學的CA數字認證體系,采用數字證書方式進行登錄,確保系統數據的完整性、保密性和行為的不可否認性,杜絕數據在傳送過程中可能出現的非法訪問、非法篡改、假冒偽造等安全問題。嚴格進行權限分配和控制,根據實際工作需要,合理確定財務人員和管理人員操作權限。嚴格授權操作管理,未經批準,不相關人員不得接觸財務軟硬件系統,確保財務系統和數據信息的安全。
主要參考文獻:
[1]劉峰成.網絡財務信息安全問題.合作經濟與科技,2007.3.
關鍵詞:食品安全 風險防范機制 標準化體系
1、前言
食品是人類賴以生存和發展的物質基礎,食品安全直接關系到人體健康和生命安全,關系到經濟發展和社會穩定。然而我國目前食品安全狀況并不樂觀,隨著現代農業生產和食品科技水平的不斷提高,食品供給日趨復雜化、全球化,在給公眾帶來消費滿足和巨大便利的同時,也造成了食品不安全的各種隱患,劇毒農藥、添加劑的大量使用,工業污染、有害化學物質和微生物污染,食品生產者的不誠實行為等因素都直接影響著食品的安全性。本文就新形勢下我國食品安全風險防范機制探析進行探討。
2、食品安全風險的誘因
2.1環境保護工作滯后
“家家都種衛生地,化肥農藥除草劑”,形象地反映出導致我國食品安全問題的根源,就在于農業生產的源頭已經實現了“化學化”,而環境保護工作滯后使某些土壤、飲水中有害成分含量增高。
2.2食品從業人員的道德風險意識薄弱
濫用甚至違禁使用高毒農藥,導致蔬菜、水果等農產品農藥殘留量和重金屬含量超標;濫用飼料添加劑;非法使用生長激素及“瘦肉精”(鹽酸克倫特羅);用非食品原料加工食品;濫用或超量使用食品添加劑;摻雜使假,生產假酒、劣質奶粉,用地溝油加工食用油等。
2.3管理體制不順,食品市場失靈和政府規制失靈
由于食品投資人對食品質量安全的信息掌握要比消費者全面,消費者在選擇食品時就較難作出正確判斷,這就可能導致食品市場的“優勝劣汰”機制失靈;另一方面,由于政府的管理體制不順,各行政主體的職權規定不盡明確,導致監管機制出現漏洞,食品市場失靈時政府的管制也出現真空狀態,即政府規制也失靈。
2.4食品安全技術支撐體系落后
隨著我國加入WTO,食品的進出口貿易量逐年增加,而在國際貿易中最為廣泛的是利用技術法規和標準來設置貿易技術壁壘。我國是發展中國家,食品科學技術水平相對落后于西方發達國家,尤其在食品安全標準和食品檢驗檢測方法方面相對滯后和老化。如每次洋品牌食品質量安全被媒體曝光后,監管部門作出“表示關注”、“正在研究”等表態的背后,是食品安全檢驗檢測技術水平的現實制約。
2.5公眾日常食品安全知識貧乏
我國是一個擁有十三億人口的發展中國家,經濟、文化發展相對落后,教育投入相對不足,公眾科普教育方面更是缺失,導致公眾食品安全知識貧乏。
3、新形勢下如何建立我國食品安全風險防范機制
3.1建立科學、統一的食品安全標準化體系
隨著科學技術進步和社會經濟的發展,建立科學、統一的食品安全標準和檢測標準體系,使其有法可依,有章可循就成為食品安全風險管理和食品工業現代化、高科技化的當務之急。
3.2建立科學、統一的食品安全檢測體系
食品安全檢驗檢測是食品安全風險管理的重要手段之一。它為食品安全風險管理提供重要的技術支持和管理政策依據。目前,中國食品安全檢驗檢測體系的基礎框架雖然已經初步形成,但是食品安全檢驗檢測機制、設施、技術力量和手段等還不夠完善,食品安全風險檢驗檢測體系建設還需要不斷加強。由此可以看出,建立科學、統一的食品安全檢測體系強化技術監管,是加強食品安全風險管理必不可少的重要保證。
3.3組建協調統一的預警機構,加強食品安全預警體系建設
食品安全是一個“從農田到餐桌”的系統工程,涉及很多部門。我國目前食品管理機構分散,需要建立統一和協調的預警機制,做到職責分工明確,行動統一協調有力。為此,首先要進一步理順農業、質檢、工商、衛生、商務、進出口等部門的關系,明確職能分工,在分工的基礎上進行協調,以逐步解決目前多頭管理、權界不清、各自為政的局面。
3.4建立一套體系完備的預警監測系統
一是確定食品安全監測范圍,分步驟、有重點地監測流通環節食品,對不同類別食品根據其對消費者日常生活的重要程度區分監測級別很有必要。對國家重點控制準入的食品實施重點監控,其他食品實行一般監測。二是規范完善信息采集系統。建立統一的信息報送電子平臺,加強食品安全信息采集的渠道建設,強化經營檢查制度,深化商品檢測工作,擴大定性檢測范圍。三是規范完善食品安全信息處理系統。要加強食品安全信息分析工作,建立食品安全危害預警分級體系,科學設計預警分級標準,確定預警應急級別。預報預警評析系統是整個預警體系的核心,其輸入端是“信息源”,輸出端是“評析信息”。科學的評析模型是保證食品安全預報預警權威性和一致性的基本保證。
3.5構建全國統一高效的食品安全信息網絡
利用現代網絡技術,為溝通各級食品安全委員會、各級行政職能部門與消費者之間的食品安全信息,監督食品認證機構、食品檢驗機構、食品監管部門的工作效率和履責狀況,設計一套相互制約、公開透明的工作流程,把消費者對有疑慮認證食品的送檢情況、檢驗機構的檢驗結果、食品安全監管基金的賠付情況、食品監管部門對食品企業和認證機構的處罰情況,以及食品安全委員會和消費者的滿意程度等等信息全部反應食品安全信息網上,按不同等級部門、不同等級身份分別查閱不同內容的食品安全信息,及時監控認證食品質量狀況,食品監管部門行政效率,食品生產企業、認證機構、檢驗機構的履責狀況,隨時采取應對措施,確保優質食品得到優質價格,利用市場利益機制發動獨立認證機構、獨立檢驗機構和消費者來共同監管食品市場,逐步化解食品安全風險。
網絡會計電算化安全風險防范措施
會計電算化作為現代企業財務管理的重要途徑,與其及時、準確、高效的優勢有著密不可分的關系,它利用計算機把傳統的記賬模式與經濟管理相結合,大大提高了企業財務管理的水平和賬務數據的質量,與此同時也給財會人員帶來了諸多新的問題。
一、網絡會計電算化信息安全風險
網絡會計電算化的安全主要是指電算化系統能夠保持正常穩定運行,系統數據、信息的安全和完整。會計電算化的安全性一直是財會人員所擔心和考慮的問題,同時也是系統設計人員著重研究的重點。在傳統會計信息數據管理方面,人們已經研究出一套較為完善的安全保障措施和防范辦法,而財務管理實行會計電算化后,由于數據信息存儲、輸入、傳送方式等變化,使財務數據的安全受到了嚴重的威脅,其存在的安全隱患主要有以下幾點:
1、會計信息數據的失真
會計信息是指企業在生產經營過程中所產生財務數據,對于企業的的財務管理、財務分析、運營狀況、資產負載等方面起著至關重要的作用。會計信息的完整、真實和準確是財務數據管理的基本要求,如果會計電算話系統受到損壞,會直接導致會計信息數據的錯誤、丟失或篡改,致使信息失真,其中的不安全因素主要表現為:(1)硬件問題,如計算機存儲硬盤損壞,數據信息又沒有進行備份造成的數據丟失。
(2)人為因素,惡意破壞導致的數據丟失或被篡改。
(3)環境的不安全因素,如網絡環境下一些不法分子利用互聯網入侵會計電算化系統導致重要信息的泄露、截取和篡改,也會造成會計信息的不安全。
2、人為的行為
一些會計從業人員為了個人利益非法轉移資金、掩蓋真實財務數據、向企業競爭對手泄露商業機密等行為。人為的破壞系統軟件或數據故意造成財務賬務數據的丟失,從而掩蓋其非法目的,給企業帶來嚴重損失。會計電算化的人為舞弊行為主要有以下兩點:
(1)錄入篡改。在會計信息錄入時故意進行篡改或刪除數據,造成企業財務信息與事實不符。
(2)軟件篡改。在裝有會計電算化系統的計算機中植入惡意程序,便于其達到某種不法目的。
3、工作人員的因素
在實際操作中往往由于會計電算化內部操作人員的一時疏忽、或者責任心不強等因素造成財務數據錄入出現錯誤,最后導致會計信息不可靠。
4、病毒造成的系統錯誤、數據丟失
在網絡科技飛速發展的今天,病毒的傳播速度也越來越快,越來越隱蔽,除了通過傳統的光盤、存儲載體等設備進行傳播以外,現在還可以通過互聯網進行傳播,在計算機聯網的環境下,可以更隱蔽、更快速的進行病毒傳播,同時其造成的破壞和危害也是極大的。目前的網絡計算機病毒不僅能對計算機軟件造成破壞,還可以對計算機硬件造成損壞,從而造成無法挽回的后果,因此,如何防范計算機病毒也是會計電算化從業人員必須掌握的一項技能。
二、防范會計電算化信息安全隱患的對策
隨著我國經濟的飛速發展和現代化建設的逐步推進,會計電算化行業也有了突飛猛進的發展。但是,由于網絡會計電算化內的安全隱患沒有得到很好解決,給企業造成了嚴重的損失。因此,做好網絡會計電算化信息安全隱患的防范工作和對策對于我們今后的財務安全有著非常重要的意義。
1、提高會計電算化的網絡技術安全
對于需要進入網絡系統的信息必須得經過嚴格的審核,如果未經審核的信息一旦進入網絡系統,將會造成電算化系統的不安全,從而影響會計信息的準確性和穩定性。要加強信息導入、輸出時的監控管理力度,確保輸入數據的安全性和準確性。由于網絡環境下存在的諸多不安全因素,企業應該提升會計數據防火墻的防控力度,在企業的財務內部網絡與外部公共網絡之間設立一道屏障,對于需要訪問內部網絡的信息要進行多次認證,確保安全后方可進行訪問。同時,也要做好會計數據網絡傳輸過程中的安全防護,對于網絡傳輸的數據信息要進行加密處理,防止不法分子中途截取后進行惡意利用,即使數據被截取也能保證信息不被泄露。
2、做好重要數據的備份和硬件的維護
企業會計人員要定期為核心的會計數據進行備份,保證會計電算化系統出問題時的原始數據恢復。在信息數據備份時要盡量縮短備份周期,這樣可以在會計電算化系統或硬件出問題時減少數據的丟失。也可以通過拷貝功能將這些數據復制到一些可靠性較高的存儲載體上進行妥善保管。如果計算機系統有自動備份功能的話要合理進行設置,盡量避免因人為的錯誤導致的會計數據丟失。
3、合理分配系統操作員權限
會計電算化系統的權限分配在會計數據安全方面也起著至關重要的作用。在會計電算化工作中,不同級別和不同職務之間操作員的工作范圍也是各不相同的,他們操作系統的權限和訪問的數據信息也是不同的,所以各操作員的權限和訪問范圍必須通過最高的系統管理員進行分配、授權才能進行操作,這樣就避免了職務不同的操作員對軟件的誤操作,在一定程度上也杜絕和限制了操作員在系統中的行為。
4、做好計算機病毒的防護
隨著計算機互聯網技術的發展,計算機病毒也在不斷地推陳出新。各個行業都在采取措施來防范計算機病毒帶來的危害,針對層出不窮的計算機病毒攻擊和侵害,目前主要采取的防范措施有:
三、結束語
網絡會計電算化信息系統在給企業會計人員帶來方便的同時大大提高了企業的財務管理水平。只有做好會計電算化系統安全防護,才能讓會計電算化系統更好的為企業服務,所以,加強企業網絡信息的安全防護是十分必要的。參考文獻:
關鍵詞:安全技術;技術防范;防范管理
一、生產企業工程安全技術防范的特點
(一)形成的階段性。依據工程項目設計階段不同可將工程安全技術防范劃分為設計依據與設計成果兩大類,設計依據主要體現為工程項目設計之前,政府部門提出的批文、任務書及設計要求等相關安全技術;設計成果體現為工程項目設計過程中涉及到的方案設計、施工圖設計及圖紙審查等安全技術。其中設計依據充分反映出工程項目設計的可行性;而設計成果直接反映出工程項目施工的可行性。
(二)內容的專業性。工程項目設計過程中,各階段中所形成的設計安全技術均與相應專業緊密相聯,可以說設計安全技術是各專業活動有關特點共同組合而成,以工程項目結構設計為例,結構是整個工程項目的骨架,結構好壞直接關系到工程項目施工質量,所以要求生產企業必須依據結構相關知識,結合工程項目施工特點科學合理設計工程項目結構。
(三)組成的成套性。工程項目設計流程:提出工程項目建議書――設計招標――方案設計――初步設計――施工圖設計――修改設計――竣工圖設計。由此可見,一個完整的工程安全技術防范由七部分構成,上述每個過程均在不同程度上影響著工程安全技術防范的完整性、有效性。
二、生產企業工程安全技術防范分類的現狀
(一)生產、經營、質量等管理安全技術分類不清晰。目前,國內多數生產企業傳統機關安全技術管理模式的束縛,仍將各種管理安全技術列入文書安全技術管理范疇。如生產企業將工程項目設計任務書與初步設計的審批安全技術列入文書安全技術中予以保存,以致工程安全技術防范缺失,無法保證其完整性,從而導致工程設計的高效性應用價值未能充分發揮。
(二)忽略了設計裝備安全技術的重要性。近年來,國內科學技術水平飛速發展,使得越來越多先進的現代化設備出現在社會市場中,為生產企業構建設計裝備安全技術,提高工程項目設計有效性,增強工程項目施工質量提供良好的基礎。然而,國內多數生產企業設備裝備安全技術意識不足,未能夠充分認識到設計裝備安全技術的重要性、先進性,以致對待構建設計裝備安全技術的主觀能動性不高。特別注意的是設計裝備安全技術是生產企業購置、驗收、安裝、管理現代化設備的重要依據。
(三)基本建設安全技術與工程安全技術防范混淆不清。通常情況下,生產企業自行設計本單位辦公樓、餐飲樓、宿舍樓等,其中,這些基本建設安全技術從性質、內容、作用等多方面均與工程安全技術防范存在較大區別,不應混同于一類。然而,多數生產企業違反相關規定,將本單位的基本建設安全技術與工程安全技術防范混同于一類予以編號,同時還將相關施工執照、合同、竣工驗收有關安全技術分散至各部門,以此給予生產企業保管、利用基本建設安全技術造成嚴重的負面影響。
(四)工程安全技術防范與技術咨詢技術服務安全技術混淆不清。技術咨詢與服務是工程設計過程的一項重要環節,該項環節中涉及到工程項目建議書、可行性研究報告、招投標書及報價書等一系列安全技術材料。目前,西方多個國家已形成專業從事技術咨詢與服務的機構,而我國大都由生產企業代為承擔技術咨詢與服務業務,以致工程安全技術防范與技術咨詢技術服務安全技術摻雜于一起共同配套整理分類歸檔。實際上,無論從性質、作用、內容層面看,還是從結果、國家稅收標準等層面看,工程安全技術防范與技術咨詢技術服務安全技術之間均存在較顯著區別,所以將其混淆為同一類安全技術不科學、不合理。
三、生產企業安全技術分類的指導思想及要求
安全技術分類是一項復雜且重要的業務,其復雜性體現在工程項目涉及到的安全技術種類較多,而且各類安全技術之間又存在著緊密的聯系;其重要性體現在安全技術分類的有效性、科學合理性直接反映出生產企業安全技術管理水平,從而影響到工程項目施工質量,所以做好工程項目單位安全技術分類工作至關重要。
(一)生產企業安全技術分類指導思想。生產企業以自身性質、特點及管理職能為依據,以各類安全技術為對象,結合各類安全技術的內容及形成過程對全部安全技術予以科學合理分類,以此確保各類安全技術得以充分利用,促使其高效性利用價值得以充分發揮。
(二)生產企業安全技術分類要求。第一,客觀性。生產企業嚴格依照自身專業性質與特點,結合安全技術形成規律,從內容、任務等多個方面對全部安全技術予以分類,以確保分類后的各類安全技術得以準確反映出生產企業職能活動歷史全貌;第二,實用性。安全技術分類僅是一種手段,其分類目的在于更為有效的使用安全技術,所以生產企業以保證安全技術實用性為核心目的,以安全技術實際狀況為出發點,結合生產企業業務范圍及組織機構增減現狀對全部安全技術進行分類;第三,合理性。生產企業應針對于不同門類的安全技術采取不同的分類方法,如依據問題對管理類安全技術予以分類、依據專業對設計技術工作安全技術予以分類、依據種類對裝備安全技術予以分類等,即保證分類層次的分明性、類與屬類概念的清晰性、分類標準的規范性及平行類相互排斥性等。
四、生產企業安全技術防范管理策略
解決風險問題不能單靠純粹的安全技術系統,還必須進一步演化,從系統思維的視角,使其得到充分的優化。安全技術風險防范系統是“由與社會安全問題有關的相互聯系、相互作用、相互制約的若干因素結合成的具有特定功能的有機整體。”從社會系統的角度來看,安全技術風險防范系統是社會系統的子系統;但是,從安全系統的角度來看,社會系統是安全技術風險防范系統的子系統。正因為有了這樣的復雜性,因此我們必須對安全技術有充分理解,既要從自身系統內部結構,又要從社會系統的相互關聯中來理解系統的優化問題,處理好安全技術風險防范系統的工作,推進安全防范工作的進程。
一般來說,優化安全技術防范系統建立管理上,通過加強管理確保各項規章、制度及措施的執行來達到目標。傳統風險管理雖然考慮到了降低風險,但對于風險往管理人員上轉移重視得不夠,往往“頭痛醫頭”、“腳痛醫腳”、“事后諸葛亮”,常常出現“從事故中學習安全”的被動局面。這顯然缺乏系統觀的視角,因此必須從系統角度出發,而不必局限于具體事故的管理,使管理行為滿足促進安全技術風險防范系統結構優化和安全技術風險防范系統運行優化。我國學者劉潛提出的“安全三要素”對安全技術風險防范系統結構的優化,即通過安全人體優化、安全設務優化及安全人機聯系優化,使之融為一體成為全新的安全系統結構。
這種系統的優化具有吸納處理各種安全好處且能有效應用于安全技術風險防范系統、在結構上存在著風險熵減的功能。安全技術風險防范系統運行優化著重于培育和發展人機環境的直轄機制與親合程度,克服以往降低成本的安全技術風險防范系統的錯誤傾向,不以以犧牲安全來追求獲利最大化而導致風險嫡增,而是以促進安全技術風險防范系統的風險熵減為宗旨,安全技術風險防范系統結構優化與安全技術風險防范系統運行優化的關鍵是吸納和注入安全要素并應用于安全技術風險防范系統。從這個意義上講,管理行為的主要任務是獲取、處理與有效利用風險信息,保證有效利用的安全要素增長率始終大于安全技術風險防范系統最大風險的熵增長率,使安全要素的有效利用向系統注入負嫡,從而確立系統風險的通常增嫡過程變成為減嫡過程,充分地體現安全技術風險控制的精髓所在。(作者單位:中國聯合網絡通信有限公司寶雞市分公司)
參考文獻:
[1] 上海市公安局技術防范辦公室關于對進口安全技術防范產品進滬銷售實行登記備案制度的通知 滬公技防[2000]009號[J].中國安防產品信息.2000(06)
[2] 西安市安全技術防范管理暫行辦法[J].中國安防產品信息.2000(06)
[3] 全國公安廳(局)安全技術防范管理辦公室一覽[J].中國安防產品信息.2001(04)
[4] 肖宏露.高校安全技術防范建設的探討[J].科技信息.2009(14)
一、對學生頂崗實習勞動風險防范進行法律規范的必要性
(一)頂崗實習及其勞動風險的特征要求法律對其勞動風險防范進行專門規范
頂崗實習是以就業為導向,以提高畢業生應職應崗能力為目的,通過短期真實崗位工作形式來完成的職業院校培養高素質技能型專門人才的綜合性教學環節,是學校和實習單位通過讓學生與職業崗位“零距離”接觸對學生進行所獲知識、技能和技術的綜合性應用訓練。頂崗實習兼具教育性與職業性特征。頂崗實習的教育性表現在它與專業培養目標密切相關,是學校培養合格人才十分重要的一個教學環節;頂崗實習的職業性表現在它與職業崗位勞動密切相關,是學生通過實習單位在職業崗位上的職業操作。頂崗實習的特征表明,它既是一種實踐學習過程,也是一種職業勞動過程。職業勞動不可避免地帶來了勞動風險,但勞動風險是可以防范的。為有效防范勞動風險,世界各國都出臺了很多的勞動保護法律制度,最大限度地保護了勞動者免遭勞動風險傷害。頂崗實習也是一種職業勞動過程,也存在勞動風險,同樣,頂崗實習也需要以法律防范勞動風險。
但頂崗實習勞動風險又不同于一般勞動者所面臨的勞動風險。第一,頂崗實習勞動風險的主體不是一般的勞動者,而是工學結合模式下職業教育的學生,也就是說,頂崗實習的學生不同于勞動者,他們對職業崗位與操作規程不熟悉,他們需要指導和幫助,他們比一般勞動者更容易發生勞動風險事故,他們需要特別保護;第二,頂崗實習勞動風險發生的過程并非一般的職業勞動過程,而是發生于工學結合模式下職業教育的學生頂崗實習過程,也就是說,頂崗實習勞動風險是發生在學生接受職業教育的過程中,對學生頂崗實習勞動風險的防范,學校和實習單位都有責任。頂崗實習勞動風險的特殊性表明,適用于規范用人單位一般勞動風險防范的法律制度不足以有效地保護學生頂崗實習勞動安全,頂崗實習勞動風險防范需要專門法律進行特別規范。
(二)頂崗實習的實踐要求法律對其勞動風險防范進行專門規范
根據教育部相關文件,職業院校要“積極推行訂單培養,探索工學交替、任務驅動、項目導向、頂崗實習等有利于增強學生能力的教學模式”;“高等職業院校要保證在校生至少有半年時間到企業等用人單位頂崗實習。”“中等職業學校三年級學生要到生產服務一線參加頂崗實習。”頂崗實習在職業教育中被廣泛應用和推廣,已成為職業教育十分重要的教學環節。
然而,在頂崗實習中,由于學生已實際參與到了職業勞動之中,而職業勞動總是伴隨著勞動風險。隨著頂崗實習教學環節的深入開展,學生頂崗實習中的勞動風險事故也與日俱增。一幕幕學生頂崗實習勞動傷害事故相繼出現。據報道,目前,我國將近30%的大學生在實習過程中受到不同程度的傷害。學生頂崗實習存在勞動風險已是一個不爭的事實。頂崗實習的實踐表明,為切實保護頂崗實習學生免遭勞動風險事故傷害,我國急需出臺專門的法律制度規范學校和實習單位等相關主體對學生頂崗實習勞動風險的防范,增強其防范這種特殊風險的法律責任。
二、我國缺乏對學生頂崗實習勞動風險防范的法律制度
(一)缺乏規范學校對學生頂崗實習勞動風險防范的法律制度
學校是學生頂崗實習的組織者,面對沒有實踐經驗而初次嘗試頂崗進行具有人身危害風險的職業勞動實習的學生,理所當然地應當對學生的實習安全問題切實地承擔起責任。然而,學校對頂崗實習的學生是否進行了安全教育?采取了哪些安全措施?這些安全措施是否切實有效?發生了學生實習安全問題追究誰的責任?對這些問題,我國現有法律制度卻缺乏具體明確的相應規定。從現有法律制度來看,規范學校組織學生頂崗實習的規定,僅有2007年教育部和財政部出臺的《中等職業學校學生實習管理辦法》,該《辦法》規定學校“組織安排學生實習,要嚴格遵守國家有關法律法規,為學生實習提供必要的實習條件和安全健康的實習勞動環境。”并具體規定了五種不得安排學生頂崗實習的情形②,雖然這些規定對學校的實習管理具有一定的指導意義,但這畢竟還只是一部專門規定中等職業學校學生實習管理的規章,其適用范圍僅限于中等職業學校,而且其效力層次也僅僅只是一般規章,對于迅速發展的數量龐大的高等職業院校的學生頂崗實習勞動風險防范難以產生有效的作用。教育部相關文件對學生頂崗實習勞動風險防范雖然也有所涉及,但也都只是一些原則性的規定,如教育部《關于職業院校試行工學結合、半工半讀的意見》(教職成[2006]4號)規定:學校“要加強與企業的合作,有組織地安排學生到企業等用人單位頂崗實習,完善以學生實習補貼發放、勞動保護等為重點內容的實習管理制度。”這種原則性規定對指導和督促學校切實做好學生頂崗實習的勞動風險防范缺乏可操作性。
從實踐來看,學校有關實習管理及實習安全問題的規定,均由學校自己作出,至于應規定的內容是什么、對相應內容應怎樣規定等,法律并無相關強制性或指導性規定。根據我們的調查,學校有關實習管理及實習安全問題的規定,大多強調學生自己的責任,如一些學校要求學生與學校簽訂實習安全責任書,這對于增強學生的安全責任意識無疑能起到一定的督促作用,但頂崗實習勞動風險僅靠增強學生個人的安全意識是難以真正做到有效防范的。在頂崗實習中,學生處于被管理者地位,學生是根據學校和實習單位的安排來進行頂崗實習的,學校和實習單位對學生頂崗實習勞動風險防范的作用是不可替代的,其義務也是不可規避的。學生在頂崗實習中是弱勢者,過分強調學生自己的安全責任,而忽視學校和實習單位的安全責任,這對學生來說也是不公平的。
(二)缺乏規范實習單位對學生頂崗實習勞動風險防范的法律制度
我國《勞動法》及相關法律規定,用人單位對保障勞動者勞動安全有不可推卸的法律責任。為保障勞動者的勞動安全,我國還專門制定了《安全生產法》、《職業病防治法》以及相關配套法律規章等,還有一系列的勞動安全技術規程和勞動衛生規程。實習生不同于一般的勞動者,他們初次嘗試職業勞動,對他們的實習勞動應當更加強調安全保護。然而,實習單位對仍處于學習階段的實習生的安全教育和風險防范是否必須有別于一般員工,法律并無明確規定。也就是說,從法律上講,用人單位沒有這方面的特別義務。雖然《中等職業學校學生實習管理辦法》規定:“實習單位要指定專門人員負責學生實習工作,根據需要推薦安排有經驗的技術或管理人員擔任實習指導教師。”但實習單位安排與否并沒有相應的法律責任追究制度予以約束。教育部對學生頂崗實習勞動風險防范的一些原則性規定,對企業來說,也幾乎沒有約束力。如教育部《關于職業院校試行工學結合、半工半讀的意見》(教職成[2006]4號)規定:“實習期間,企業要與學校共同組織好學生的相關專業理論教學和技能實訓工作,做好學生實習中的勞動保護、安全等工作。”而事實上,很少有企業按照教育部的這些規定去做好相關工作,教育部門的這種原則性規定很難對企業產生作用。
實踐中,不僅國家對實習單位在學生頂崗實習勞動風險防范沒有相關法律約束,而且由于實習單位難求,學校在與實習單位簽訂的實習協議中也很難要求實習單位承擔更多的相關義務。也就是說,學生頂崗實習勞動風險的防范,對實習單位而言,既沒有法律約束,也很少有合同約束。而一旦發生學生頂崗實習勞動風險事故,實習單位則往往以學生不是其勞動者為由拒絕承擔相應的責任。學生確實不是實習單位的勞動者,也更非實習單位的熟練工,但頂崗實習卻實實在在地是在進行一種職業勞動,而職業勞動總是與勞動風險相伴,因此,學生頂崗實習需要特別的勞動保護。作為學生頂崗實習的直接實施者,實習單位卻對學生頂崗實習勞動風險缺乏特別的防范義務,這對學生來說是危險的。
三、對學生頂崗實習勞動風險防范進行法律規范的建議
頂崗實習是工學結合人才培養模式的重要教學環節,它需要學校、實習單位和學生等多方協作來具體實施,頂崗實習勞動風險的防范更需要學校、實習單位和學生等多方主體的共同努力。為切實保障頂崗實習學生的勞動安全與衛生,我國應盡快制定相關法律制度,從法律層面構建政府、學校、實習單位、學生多方聯動的學生頂崗實習勞動風險防范機制。學生頂崗實習勞動風險防范法律制度的構建應考慮以下幾個問題。
(一)明確學生頂崗實習勞動風險防范中各相關主體的權利義務
政府應主導學生頂崗實習勞動風險防范。一方面,政府應及時制定相關法律法規,指導和督促學校和實習單位切實做好學生頂崗實習勞動風險防范,規范學生頂崗實習勞動風險防范的管理。另一方面,政府還應加強學生頂崗實習勞動風險防范的監督,對學校和實習單位等相關主體實施學生頂崗實習勞動風險防范法律制度的行為給予相應評價,對違反者給予應有的制裁。
學校是學生頂崗實習的組織者,負有對學生頂崗實習進行恰當安排與組織的責任。學校應在實習內容、實習時間、實習崗位的選擇等方面恰當地安排好學生的頂崗實習,應就學生頂崗實習勞動風險防范工作協調好與實習單位的關系,并對學生頂崗實習進行跟蹤管理③。
實習單位是學生頂崗實習的實施者,負有對學生頂崗實習過程崗位安全管理的責任。實習單位應對頂崗實習學生進行比一般勞動者更具體、更細致的崗前教育和崗位管理,并確保學生頂崗實習環境的安全與衛生。
學生是頂崗實習的主體,在學校的組織安排下直接參與實習單位的崗位操作。學生在頂崗實習中應服從學校和實習單位的管理,嚴格遵守實習單位崗位安全操作規程和安全衛生制度;同時,學生也應享有保護自己在頂崗實習過程中人身安全的相應權利。
(二)建立學生頂崗實習勞動風險事故責任追究制度
在學生頂崗實習中,學校和實習單位分別是學生頂崗實習的組織者和實施者,學校和實習單位的安全教育與安全措施是防范學生頂崗實習勞動風險的兩個關鍵環節。學生頂崗實習勞動風險防范法律制度應明確學校與實習單位的主要負責人為學生頂崗實習勞動風險防范責任的第一責任人。
為有效實施責任追究,學生頂崗實習勞動風險防范法律制度還應明確學生頂崗實習勞動風險事故責任的責任追究主體、責任承擔主體、責任歸責原則、責任承擔方式等;對因責任人嚴重失職而造成的風險事故,還應規定對責任人的具體的制裁措施。只有建立了相應的風險事故責任追究制度,頂崗實習勞動風險防范不當的責任追究才能真正地落到實處。
(三)提高學生頂崗實習勞動風險防范法律制度的效力層次
如前所述,學生頂崗實習勞動風險防范需要學校、實習單位等多方主體的共同努力。而從現有相關規定來看,有關學生頂崗實習勞動風險防范的規定,主要是由教育行政部門來制定的。教育行政部門的規定,在法律制度的效力層次上,屬于部門規章,根據《立法法》第82條的規定,各部門規章在各自的權限范圍內施行。可見,教育行政部門制定的規章是難以有效適用于實習單位的,因為,絕大部分的實習單位并不屬于教育行政部門的權限范圍。因此,學生頂崗實習勞動風險防范法律制度要能實現有效規范學校和實習單位的行為,就必須突破部門規章的效力層次,其效力層次應當提高到行政法規以上。根據我國學生頂崗實習勞動風險防范法律制度的現狀,考慮到學生頂崗實習勞動風險防范的緊迫性,我國目前可以由國務院以行政法規的形式制定專門的《學生頂崗實習管理條例》,并在該條例中以專章規定學生頂崗實習勞動風險防范問題。
(四)增強學生頂崗實習勞動風險防范法律制度的可操作性
關鍵詞:隧道施工;風險控制
Abstract: the construction unit is the main body of responsibility for the safety of tunnel construction, therefore it is necessary to strengthen the process of tunnel construction risk prevention and risk management, implement measures to prevent risks. This paper introduces the high iron tunnel construction is the necessity of the study on the risk, the risk in the construction, and puts forward the risk control measures.
Keywords: tunnel construction; Risk control
中圖分類號:U455文獻標識碼:A 文章編號:2095-2104(2013)
一、隧道施工風險研究的必要性
隧道與其他工程項目相比,由于具有隱蔽性、復雜性和不確定性等突出的特點,風險大,無論是設計、施工、決策都會遇到很多困難和障礙。尤其是在城市繁華地段或周圍環境復雜的地帶,隧道與地下工程的施工和運營要涉及到過多的拆遷、對周圍環境及管線的影響,如果決策考慮不周,在其規劃、設汁施工和運營中均會對社會和國家造成不必要的重大的損失和不可估量的社會負面影響。
例如:2007年3月28號早晨,北京蘇州街附近的地鐵10號線工程發生塌方事故,6名施工者被埋身亡。2008年1月17號下午,廣州地鐵5號線在施工中突然涌水,發生塌方,導致珠江大橋引橋下的雙橋路旁地面突然下陷,出現一個面積大約100平方米的大窟窿,深約5米,事故沒有造成人員傷亡。2008年4月1號,深圳龍崗區的地鐵3號線工地進行橋墩澆鑄混凝土施工時,母板突然發生坍塌,混凝土傾泄而下,5人被埋,最終三死兩傷。多發的隧道施工事故使施工風險已經成為亟待解決的核心問題。為解決這一問題,就必然要借助風險評估和決策理論。風險評估可以對這些不確定因素進行系統全面地分析,將不可預見的風險因素轉化為定量的指標,并通過計算風險效益來選擇風險控制措施,降低各種工程風險.以達到安全、經濟、高效的建設目標風險。
風險評估研究的最終目的是為工程建設領導層的決策提供依據,從領導層的角度來說,其價值可以體現在領導層決策時信心的增強、對工程進展情況的掌控以及對資金流向的有效控制上。而工程風險研究的最高境界應該是實現“工程精算”,即所有的風險子項均可由費用損失來表示。因此,對領導層來說,風險評估能夠把決策變得簡單化、準確化以及專業化,進而對風險實行有效地化解、轉移或規避。如何對工程風險進行控制,在盡可能安全的情況下獲取最大的利益,這也需要對風險控制措施的風險效益進行評估。
二、風險管理
風險管理是指通過識別生產經營活動中存在的危險、有害因素,并運用定性或定量的統計分析方法確定其風險嚴重程度,進而確定風險控制的優先順序和風險控制措施,以達到改善安全生產環境、減少和杜絕安全生產事故的目標。
風險管理基本程序包括風險識別、風險衡量、風險評價、選擇風險管理技術、貫徹執行風險管理決策和風險管理效果評價六個階段。同時,風險管理是一個循環管理的過程,根據風險管理效果重新回到風險識別,開始新的風險識別。
風險控制根據風險評價的結果及經營運行情況等,確定優先控制的順序,采取措施消減風險,將風險控制在可以接受的程度,預防事故的發生。
三、高鐵隧道施工中存在的安全風險
(一)塌方危險
隧道施工最常發生的事故是塌方,每次塌方,輕則造成財產缺失,重則導致數人甚至數十人死亡,并伴隨巨大財產損失,尤其是復雜地質條件下的隧道施工,是隧道施工的重大危險源。
(二)涌水危險
隧道施工的另一大危險源是涌水,特別是水底隧道和巖溶隧道,事故可以造成較多人員傷亡和巨大財產缺失,有的還會對所在地區的生態造成破壞,屬于重大危險源。
(三)爆破風險
多數隧道需要實施爆破作業,洞內施工場地狹小,作業面分散,人員、車輛多,極易發生爆破傷害事故,屬于較大危險源。
(四)施工臨時用電
高壓供電進洞,隧道內作業面有水,電動機械、設備、機具多,容易發生觸電和火災傷害事故,屬于較大危險源。
(五)屬地自然災害
有的隧道所在地區有泥石流,有的有山體滑坡,有的地區有臺風,如果防范不力,這些自然災害也會給隧道施工造成較大缺失,屬于較大危險源。
四、施工中安全風險控制措施
(一)組建風險管理制度,做好風險防范準備。
為了確保鐵路隧道施工的安全,鐵路建設部門要加強風險管理意識,確立風險管理目標,以“安全施工”為根本出發點,切實做好鐵路隧道安全風險管理工作。首先要具體落實工程管理部門安全管理的主體職責,實行具體有效的實施方案。如,施工部門可以以條文的形式列出風險防范的多種辦法,并定期檢查執行狀況,確保風險管理工作的正常運行。施工部門是隧道施工安全的主要承擔者,關注隧道施工過程的風險防范和風險管理,實施各種風險防范方案,是施工部門義不容辭的責任。施工部門要加強對險風險源頭的控制,注重隱性調查,加大隱患處理力度,同時對呈現出來的安全隱患要立刻組織整改,有效防范、防止施工安全事故的發生。對于較難施工的地質、巖土等隧道施工中可能出現的難題,必須開展專項風險評估計劃,選擇科學有效的施工技術,組建風險防范及突發安全事故應對措施,并督促實施。
加大安全投入。
加大安全生產投入,夯實安全生產工作的基礎,是安全生產的重要保障。通過加大安全投入,淘汰危及安全的設施設備,抓好隱患整治,逐步完善安全生產設施,從源頭上杜絕隱患的產生。認真落實安全生產經濟政策,有關部門要全面落實安全費用提取和風險抵押金政策,做到應提盡提、應繳盡繳、專款專用。對不按規定提取使用安全費用的,要依法予以嚴肅查處。
危險源的辨識。
建筑工程中的危險源是導致安全事故的根本原因。危險源的辨識是安全風險管理的基礎性工作,重大安全事故防范的首要任務即是危險源的辨認。按照我國《建筑工程安全生產管理條例》以及《重大危險源辨識》的相關規定,對建筑工程項目中的危險源進行辨識。結合施工項目的實際情況,從施工過程中諸如施工工藝、工序、材料以及機械設備等相互關聯的因素入手,逐項觀察、分析并研究施工過程中的潛在安全隱患,并適時掌握不同隱患導致危險事故的可能性。對施工過程中的危險性因素進行系統性分析最終得到施工現場安全等級及危害程度識別重大危險源。
施工現場的危險源事故風險評估。
在對建筑施工項目的危險源進行識別并確認之后,需要對各危險源可能招致的事故進行風險評估,并系統性的收集相關資料及信息。一般來講對建筑工程施工項目的風險評價包括以下幾個方面的內容:風險因素及其存在原因分析、風險因素導致的危險事故概率分析、安全事故的影響范圍分析、事故風險的綜合評價分析。在這一階段需要對事故風險評價的結果及安全目標進行比較、分析并判斷當前危險源的風險值是否在可接受的風險水平之內,在此基礎上決定是否采取進一步措施控制風險水平。
危險源的安全管理控制。
危險源的安全管理是在對其進行辨識和評價基礎上進行的。按照工程施工安全管理規范的基本內容,結合工程的實際,制定現場施工安全的危險源管理標準,并構筑現場施工危險源管理制度及應急反應制度。針對不同危險源制定相應的安全控制措施。針對不同項目所涉及的地域、施工條件的差別,施工單位應該首先確定施工過程的重大危險源及事故安全隱患,并對施工安全隱患的性質、關聯性、后果等進行系統性的分析,最終提出切實有效地安全風險的預防與控制措施。
結束語
為保證隧道施工安全,施工企業應樹立風險管理理念,組建風險管理制度,做好風險防范準備,加大安全生產投入。要加強對危險源的監控,加強隱患的排查,特別要加大隱患排查治理力度。加強施工現場的危險源事故風險評估,對查出的安全隱患必須立即組織整改,有效防范、遏制施工安全事故的發生。
參考文獻
[1] 王家遠、劉春樂.建設項目風險管理[M].北京:中國水利水電出版社,2004.(08).
[2] 俞富橋.工程風險及應對策略的探討[J].工程造價管理,2005(01).
[3] 劉登新,張先員.淺談建筑工程安全生產監理工作[J].山西建筑,2008(33).
[4] 陳言來.淺談安全生產管理[J].山西建筑,2007,33(25).
[5] 路美麗,劉維寧,羅富榮,等.隧道與地下工程風險評估方法研究進展[J].工程地質學報,2006(4).
