时间:2022-03-02 15:27:18
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇社会风险评估报告,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
2005年初,针对当时最易引发的一些重大建设工程,**市出台了《重大工程建设项目稳定风险预测评估制度》,明确规定凡新开工工程未经稳定风险评估不得盲目开工,评估出的严重隐患未得到妥善化解不得擅自开工。
新出台的规定,立即在实践中发挥出了积极效应。当年,**市船山区对“猫儿洲”立项整体开发,考虑到涉及2700余名村民整体搬迁,存在不稳定事件隐患,市里邀请了国家、省、市、区有关专家对项目进行风险评估。最终,这个项目被改为了结合新农村建设实施开发,得到了绝大多数群众认可和支持。
2006年,尝到了“甜头”的**市又进一步完善了风险评估机制,建立了《**市重大事项社会稳定风险评估化解制度》等八项工作机制,要求在重大政策、重大改革措施和其他事关人民群众切身利益的办法出台之前,均要认真组织开展风险评估。
“所谓风险评估,就是群众不受益、不支持的事,坚决不做!”**说。据统计,截至目前,**市共对281件重大事项进行评估,群众拥护并顺利实施156件占56%,暂缓实施33件、占12%,完善后实施68件、占24%,被否决的24件、占8%,经评估后实施的重大事项没有发生较大影响稳定问题。
“否决还是实施,每一次评估都要讲科学”
重大工程、改革、决策涉及利益面广,问题错综复杂,科学评估尤为重要。为抓好社会稳定风险评估,**市经过调查研究、实践探索,从内容到办法、从目的到责任追究等,都建立了一套完整、周密、细致的政策规定和工作体系。
**说:“否决还是实施,每一次评估都要讲科学。否则,也可能会损害老百姓利益,造成不良社会影响。”
为确保风险评估科学性,在开展风险评估的过程中,**市始终坚持着“五步走”:第一步,确定评估对象,全面掌握情况;第二步,分析预测、评估风险;第三步,形成社会稳定风险评估报告;第四步,通过对显性风险、潜在风险和可能诱发风险的因素进行综合研判,确定风险系数,提出四级预警的分类处置意见,作出不准实施,暂缓实施、分步实施、准予实施的决定;第五步,各级维稳办负责抓好本地社会稳定风险评估工作、化解工作的督促和协调。
**年12月,**市**县水电气安装部门要求提高安装费用。作为一项涉及到老百姓切身利益的决策,**市立即对此展开风险评估。
12月25日,市物价部门举行了听证会,邀请消费者、经营者、其他利益相关方、专家学者参加,接着又开展群众满意度测评。最终认定,提价依据不充足、群众满意度测评支持率很低、方案不详实、配套措施不完善,否决了提价要求。
为全面贯彻落实风险评估机制,**市还规定,对贯彻执行社会稳定风险评估化解机制不力、酿成重大不稳定事件的,要坚决实施责任追究。如“凡发生重大的,取消责任部门、县区及主要领导当年评优、评先资格”、“发生重大不稳定事件造成严重后果的,主要领导应引咎辞职”等。
一条条“铁令”,成了“悬”在领导干部头上的一把“利剑”,也使“风险评估”成为**市家喻户晓的一个词汇。“现在啥事都要风险评估,改个桥梁名字都要听听我们的意见。但只要能通过评估的,那绝对是能让我们受益的,肯定要支持!”49岁的**区月山村村民罗贤丰说。
“民生配套”让风险评估插上“双翼”
**市维稳办主任侯贤松说,社会稳定风险评估机制变“保稳定”为“创稳定”,是“源头维稳”的一种表现形式,但风险评估只是针对重大项目和决策。为实现整个社会的和谐稳定,**市还配套出台了一系列民生政策,以解决特殊群体的实际困难,给“风险评估”插上了“双翼”。
在改善民生、维护社会稳定的过程中,**市倾力打造了“政务服务中心”、“惠民帮扶中心”和“群众接待中心”。如今,这三个中心被当地群众亲切地称为“政务超市、幸福驿站、群众之家”。
**市52岁下岗工人袁晓林的爱人**不久前得子宫肌瘤住院,花了3000多元钱,23岁的女儿**待岗在家。惠民帮扶中心了解到这一情况后,给他们申请了每月70元的困难补助金,并安排他们的女儿参加技能培训,帮助她顺利找到了一份工作。
**市总工会副主席何春林说,解决困难群众的实际困难,也是把稳定工作前移,杜绝可能出现的不稳定因素。
与惠民帮扶中心
一、评估范围及责任主体
全县各类建设项目涉及土地征收或者农用地、未利用地转用的,在建设用地报批前必须开展社会稳定风险评估工作。未开展社会稳定风险评估的项目,一律不得上报建设用地审批。
按照“属地管理、分级负责”的原则,由建设项目所在镇政府(管委会)负责开展社会稳定风险评估工作,并出具风险评估报告。建设项目涉及多个镇政府(管委会)的,由所涉及的镇政府(管委会)分别进行本辖区的社会稳定风险评估工作,并出具风险评估报告。县国土资源局等相关部门配合做好社会稳定风险评估工作。
建设项目所在镇政府(管委会)维护稳定工作领导小组办公室应全程跟踪征地项目社会稳定风险评估的组织实施过程并进行指导。各镇政府(管委会)出具的风险评估报告,由县维护稳定工作领导小组办公室负责审核并作出明确的备案意见。
县国土资源部门根据征地项目社会稳定风险评估报告和县维护稳定工作领导小组办公室的备案意见,对评估决定实施的项目及时开展建设用地报批。
二、评估内容
土地征收或者农用地转用项目的社会稳定风险评估工作主要内容包括:
(一)拟实施土地征收或者农用地、未利用地转用是否符合有关法律、法规、政策的要求。
(二)土地征收或者农用地、未利用地转用的各项准备工作是否充分,如:征地补偿安置政策的宣传是否到位,被征地农民安置途径和安置情况能否落实等。
(三)实施土地征收或者农用地、未利用地转用是否会引起被征地农民、周边居民及相关权利人的严重不满。
(四)是否因实施土地征收或者农用地转用,可能引发激烈冲突、群体性上访等不稳定事件。
(五)实施土地征收或者农用地、未利用地转用的社会稳定风险防范对策和预案措施。
三、评估程序
建设项目所在镇政府(管委会)在申报土地征收或农用地转用前,应组织专门的工作班子,科学制定社会稳定风险评估方案,启动风险评估程序,在广泛征求社情民意、综合各方意见的基础上,对土地征收或者农用地、未利用地转用进行科学预测分析和论证研究,制定相应的防范、应急预案,形成专项评估报告,作出总体评估结论,提出意见和建议,并将评估报告报送县维护稳定领导小组办公室进行审查。对评估结论作出实施决定的项目,申报用地单位应将专项评估报告、维护稳定工作领导小组办公室的审查意见作为申报土地征收、农用地、未利用地转用的必备材料,一并提交国土资源部门。
对已经评估并付诸实施的土地征收、农用地转用项目,所在地政府要坚持全程跟踪并做好后续评估工作,及时发现和化解实施过程中遇到或新生的矛盾和问题,完善相应措施,确保社会稳定。
四、评估报告
土地征收或者农用地、未利用地转用项目社会稳定风险评估专项报告的评估结论应明确作出实施、暂缓实施、暂不实施的决定。对评估中存在以下一种或多种情况及可能的,评估结论应明确暂不办理或暂缓办理:1、绝大多数群众不赞成、不支持;2、已经发生群体性上访事件并且没有息访;3、群众反映强烈的问题没有得到妥善处理,矛盾没有解决;4、可能引发恶性事件;5、可能引发群访、集访、大规模或者恶性事件的其他情况。
五、相关要求
(一)各镇(区)应全面建立和落实征地项目社会稳定风险评估制度,每年年终应将该项工作开展情况纳入目标管理考核内容。具体考核按《县维护稳定工作领导小组考核办法》执行。
(二)各镇(区)在开展征地项目社会稳定风险评估时,要提前介入、并联运行、提高效率,不能因为风险评估影响征地工作正常开展,确保各类项目特别是重点工程及时、顺利建设。为简化手续,征地项目社会稳定风险评估可以在项目立项前,与拆迁等其他社会稳定风险评估同时开展。
一、组织领导
成立局社会稳定风险评估工作领导小组
二、风险评估的范围
国有土地上涉及房屋征收与补偿项目的房屋登记中涉及大额抵押。在建工程抵押与预抵押。土地与房屋分押登记和撤销登记等类型的,行政处罚涉及停产停业、没收非法所得以及罚款等适于一般程序的均应实行社会稳定风险评估。
三、风险评估的内容
1、国有土地上涉及房屋征收与补偿项目。实施是否符合法律、法规、政策的要求;是否按照法定程序逐一逐次落实;征收补偿标准是否符合房地产市场行情;征收资金、补偿方案是否落实和通过;征收区域内民情民意满意度;征收过程中可能引发的其他不稳定因素分析;防范对策和处置预案。
2、房屋登记项目。房屋抵押中的大额抵押、土地与房屋分押、在建工程抵押与预抵押是否严格按照相关法律、规章办理;受理要件是否齐备;适用法律是否得当;是否会带来较大风险和社会风险。撤销登记中是否调查取证达到证据充分;程序合法;适用法律得当;是否告知当事人或与当事人进行事前沟通;可能带来的行政风险、经济风险和司法风险预测。
3、行政处罚案件。行政处罚是否严格依法定程序实施;相对人对处罚事先告知的反映;可能带来的司法风险预判。
四、工作制度
1、明确责任主体。按照“谁管理、谁负责”和分级负责原则,对属于风险评估范围内的项目由具办部门的负责人或分管局长提出评估申请和初步意见,局社会稳定风险评估工作领导小组负责审定。
2016年4月28日,国务院安委办了《标本兼治遏制重特大事故工作指南的通知》(安委办〔2016〕3号)(以下简称《通知》),《通知》提出对易发重特大事故的行业领域采取风险分级管控、隐患排查治理双重预防性工作机制,并要求到2018年,构建形成点、线、面有机结合,无缝对接的安全风险分级管控和隐患排查治理双重预防性工作体系。
为配合《通知》要求,中国安全生产科学研究院(以下简称“中国安科院”)在广州、哈尔滨、天津等地开展了城市风险评估工作,查找城市风险源、加强风险源头治理,协助政府监管部门有的放矢地进行安全生产监管工作。
风险总体情况
2015年11月―2016年10月,经过近一年的调研,天津市滨海新区率先完成了城市风险评估工作,最终形成了《滨海新区城市安全风险评估报告》(以下简称《评估报告》)、《滨海新区城市安全风险电子地图》《滨海新区安全发展示范城市创建规划》《滨海新区创建安全发展示范城市实施方案》等成果。针对评估提出的问题和建议,滨海新区进行梳理,研究制定了《滨海新区城市安全风险评估报告涉及问题整治方案》,提出了19项问题、38条建议措施,并已针对部分项目开展了整治工作,预计将于2017年底完成全部整治。
自天津港“8・12”特别重大火灾爆炸事故(以下简称“‘8・12’事故”)发生后,滨海新区痛定思痛,及时启动风险评估。2015年11月,滨海新区政府与中国安科院签订了合作协议,共同成立了“滨海新区城市安全风险评估和城市安全规划工作领导小组”,有效推进城市安全风险评估的各项工作。
中国安科院组织7个调研组先后开展了9批次现场调研和3批次函件调研,涉及滨海新区辖区内的21个部门、18个街道(乡镇)、7个功能区、6个重点区域、天津港及大型中央企业。
通过收集滨海新区2010―2015年的事故统计资料,对其安全生产整体情况、不同行业领域、不同区域的安全生产情况进行了分析。
2010―2015年,滨海新区共发生各类生产安全事故768起,死亡1 061人,其中包括1起特别重大事故,即“8・12”事故。自2010年以来,各类事故起数总体呈下降趋势,2015年较2010年下降11.41%,死亡人数上升72.97%。
从事故行业类型来看,2010年以来,交通运输业死亡203人、占比59.01%,制造业死亡58人、占比16.86%,建筑业死亡55人、占比15.99%。即使不考虑“8・12”事故,上述三个行业依然是滨海新区生产安全事故多发的关键。
根据生产安全事故统计分析结果,调研组开始了现场调研评估工作。调研组将滨海新区城市安全风险划分为危险化学品工业风险单元、危险品运输风险单元、城市人员密集场所单元、城市其他风险单元进行评价,并将风险分级为一级特别高风险源、二级高风险源。
一级特别高风险源为个人风险或社会风险超出个人或社会容许标准的风险源,二级高风险源为一级以外构成危险化学品重大危险源的风险源。最终确认滨海新区存在一级特别高风险源企业30家,二级高风险源1 382家。
风险评估方法
以危险化学品工业风险单元评估工作为例。危险化学品工业风险源主要指危险化学品企业和涉及危险化学品的工业企业,主要包括危险化学品生产企业、危险化学品储存企业、涉氯企业、烟花爆竹仓库、加油站等目标。
通过查看资料及现场调研,发现滨海新区共有上述目标企业511家,在开发区、中塘镇、大港街、天津港地区的上述企业数量最多,共占全区企业数量的40.7%。风险评估辨识一级特别高风险企业17家,二级高风险企业120家,分别占全区的56.7%、8.68%。
调研发现,在危险化学品工业风险单元内,滨海新区的涉氨企业存在一级特别高风险源最多,为12家,占全部涉氨企业的17.4%,且其中8家位于寨上街。其他一级特别高风险源分别为危化品生产企业1家,位于大沽街;危化品经营企业1家,位于茶淀街;涉氯企业1家,位于塘沽街;烟花爆竹仓库2家,位于茶淀街和中塘镇。
从危化工业风险源潜在生命损失来看,塘沽街最高,占全区的19.73%,主要来源于天津塘沽中法供水有限公司新村水厂,由于其附近有河华里、长春里、福建里、碧海鸿庭等住宅区,一旦发生事故,最严重的可能导致7 000人死亡。
对以滨海新区辖区内企业为端点的危险货物运输规模进行统计,结果显示,滨海新区道路危险货物运输量约为3 148.39万 t(过路的有2 000多万 t)。按类别分,易燃液体、易燃气体和易燃固体道路运输量最大,占总道路危险货物运输量的84.16%;按区域分,天津港、临港经济区、海滨街等区域危险货物道路运输量最大,占总道路危险货物运输量的68.60%。
危险货物跨省际、跨区域的长距离运输主要选择高速公路,且原则上应该避免穿过人员密集场所。在滨海新区范围内,共有南北走向的海滨高速和长深高速及东西走向的京津高速、京津塘高速、京滨高速。
其中,海滨高速沿途经过南港危货运输集中区、临港危货运输集中区、天津港区、天津港南疆港^四大危货运输集中区,沿途还有很多零星企业分布。海滨高速在危货运输的过程中发挥了重要作用,承载的危货运输量十分巨大。
但海滨高速在南疆港区北侧越过海河后,途经住宅小区、体育场馆、商贸中心等人员密集场所,在临港经济区南侧路西途经天津塘沽机场(农用),且距离海滨大道的最小距离小于40 m,在到达这些目标前没有其他通路可以对这些集中区的危险货物进行分流,运输风险较大。当运输自来水厂用液氯钢瓶达到10 t时,其最大中毒半径可达到152 m。
结合火灾高危单位、火灾消防重点单位情况,在人员密集场所共辨识梳理出一级特别高风险13处,二级高风险1 262处。其中海滨街、大港街、开发区和塘沽街4个区域火灾潜在生命损失在全区处于较高水平,均超过1人/年。滨海街和大港街具有最高的个人事故死亡风险值和较多的人口数量;开发区虽然其个人风险值较低,但人口数量最多;塘沽街则是二者都处于较高水平。
问题与对策
城市风险评估结果表明,天津市滨海新区作为环渤海经济带和京津冀城市群的交汇点,人口规模和经济总量较大,生产经营单位众多,城市运行压力巨大,安全基础比较薄弱,正处于生产安全事故易发多发的高峰期,面临安全生产整体形势复杂、安全生产监管体制机制不到位、风险源管控仍需加强等3大类19项问题。
从调研过程中可以看出,当地中央企业、大型地方企业以及天津港集团在发展过程中存在大量企业办社会现象,由企业代行部分街道、政府的职能;目前行政管理职能正逐步向街镇移交,但由于政府人力、财力和监管水平的局限,移交过程缓慢,出现大量监管空白。
滨海新区部分区域还没有按照化工园区的模式管理,“化工围城”和“城围化工”的问题仍在不断发生并逐渐凸显。
大型易燃液体储罐、危险货物码头堆场、危险化学品管道、液氨液氯储罐等危险化学品生产、储存设施数量大且相对集中,发生重大事故的风险较高,企业分布范围广,缺乏针对危险化学品事故的专业应急装备储备库。
滨海新区危险货物道路运输量大,其安全管理涉及的环节多、部门多,各企业各单位的责任职责交叉,还不能实现危险货物运输信息采集的统一标准和集中平台。部门间信息不能互联互通,在实际监管中遇到信息掌握不全,监督执法手段缺乏,缺少危险化学品卸载基地和专业的滞留危险化学品运输车辆停车场,难以采取合理措施实施有效安全监管等。
针对上述问题,《评估报告》中提出了38条建议。
如:建议研究制定并落实天津港政企分离方案,落实天津港安全监管职责,加强天津港、海关、公安、市场监管等部门信息共享和部门联动配合,严格落实天津港区域内企业的安全监督管理,杜绝超范围、超量等违法违规经营,并严格港口危险货物堆场的安全准入条件。
针对滨海新区涉氨冷冻企业多的特点,建议推动全区涉氯企业开展安全设施强化和工艺升级改造工作,组织专家专题研究论证,为液氨装置加装紧急切断装置等安全设施、设备的可行性,减少液氨、液氯等有毒气体的使用,降低安全风险。
建议依托现有应急专业队伍,以化工区和港区为依托,从人员素质水平、应急实训培训、装备针对性和专业性等方面,强化建设危险化学品应急综合队伍,尤其是在管道泄漏应急抢险、大型储罐(液体、气体)火灾应急救援、液氨液氯泄漏应急抢险等专业队伍方面,重点加强应急救援队伍能力。针对滨海新区沿海大型油库和石化装置集中的情况,增设水上消防力量和大流量移动炮。加强泡沫、干粉、围油栏、吸油毡、沙袋等应急物资的储备,增强事故应对能力。
【关键词】中小学安全教育情景剧 风险评估 应急能力
一、国内外校园风险评估与能力提升的现状
欧美一些发达国家在这方面的先进成熟经验也值得我们学习借鉴。美国在推行学校教育社会风险的过程中,由学区来制定学校教育社会风险评估的指标,美国学区安全标准包括7个一级指标,29个二级指标以及相应的三级指标,每个指标下面均有相关法律的规定和实施细则。目前,中国风险研究更多集中在自然灾害和工业生产的风险源识别与评估方面,对于中小学校园安全风险的研究相对比较薄弱,且重点大多集中在地震、火灾、人员密集场所、暴恐防范和公共卫生等单因素风险评估理论与标准化方法研究,不足以从宏观上系统的分析校园突发事件的风险,更没有一套比较全面的风险源识别与评估体系。在校园应急能力提升方面也存在着教学内容缺乏针对性、缺少系统教学设计、教学形式单一、对学生单纯灌输防灾知识、忽略学生和教师的参与和体验等问题。综上所述,借鉴国际先进的全面学校安全(CSS)风险评估体系,结合我国校园实际情况,研制一套科学合理的校园安全风险评估与能力提升工具,不仅有利于提高师生对校园安全的意识和应急能力水平,更有利于教育管理部门提高校园安全管理的科学化、制度化和规范化,推动平安校园的建设。
项目报批分为审批、核准或备案三种类型。
1.项目审批:目前主要有两类:一是政府投资项目,审批项目建议书、可行性研究报告、初步设计和概算。二是申请国债资金。投资补助和贷款贴息方式项目,审批资金申请报告。
2.项目核准:依据《政府核准的投资项目目录》,是指企业不使用政府性资金投资建设的重大和限制类固定资产投资项目。
3.项目备案:企业不使用政府性资金投资建设《政府核准的投资项目目录》以外的项目,除国家法律法规和国务院专门规定禁止投资的项目外,实行备案管理。
二、项目立项审批基本程序
按照省政府关于开展转变政府职能工作的总体要求,从我县实际处罚,最大限度减少对生产经营活动许可,最大限度缩小投资项目审批、核准、备案的范围。对于项目单位提出的内容完整、要件齐备的审批、核准和备案申请,政府投资主管部门在接到申请当日,明确告知其是否符合受理条件。对具备受理条件的,应当自受理之日起5个工作日内审批、核准或出具备案意见。
1.项目单位立项申请文件。
2.城市规划部门的选址意见。
3.环境保护部门的环境影响审批意见。
4.国土资源部门的用地预审意见。
5.具有行业资质的工程咨询机构编制的可行性研究报告。
6.节能评估。依据《固定资产投资项目节能评估和审查管理暂行办法》提供有关节能措施及文件资料。
7.县政府会议纪要。按项目性质及行业管理要求需提供我县人民政府会议纪要及相关补充资料。
8.社会风险评估报告。重大固定资产投资项目需编制社会风险评估报告等文件资料。
9.项目单位经营执照及法人证书、开发单位资质证明、资金证明、配套资金承诺、真实性承诺、相关行业论证报告等。
10.法律、法规规定的其他材料。
三、向上申报项目审批程序
1.县直各行业主管部门向上级对口部门申报中央、省投资的项目,需要投资主管部门审批的,在申报审批项目前,项目行业主管部门要事先报请县政府,再到投资主管部门履行审批程序。
2.项目单位向上申报中央预算内投资项目,在向发改申报审批项目前,项目申报单位或行业主管部门要与规划、环保、国土、财政等部门会签,经报请县政府,再到投资主管部门履行审批程序。
3.县直行政企事业单位使用自筹资金的基本建设项目,在到投资主管部门申报审批项目申请报告或可研前,项目申报单位要先经行业主管部门报请县政府,再到投资主管部门履行审批程序。
4.县投资主管部门会同县行业主管部门联合申报中央或省级投资主管部门和省相关部门的项目,在申报审批前,需先报请县政府,再到投资主管部门履行联合申报程序。
关键词:法律 风险管理 过程
一、何谓企业法律风险管理
企业法律风险管理是指通过对企业经营管理活动中潜在的风险进行排查、评估、监控,并有针对性的制定相关应对方案,从而管理风险的活动总称。
总体来讲,风险管理历经了两大阶段:
一是传统的风险管理阶段。20世纪90年代以前,风险管理的侧重点主要在于关注纯粹风险,其目标着重于损失的最小化,这个阶段被称之为传统风险管理阶段。
第二个阶段是现代风险管理阶段。进入21世纪发展起来的,人们通过实践发现,过分强调风险将丧失若干的机会,特别是自然科学的发展也促进了人们更加清晰的认识了风险,即除了可能造成损失的纯粹风险以外,风险还存在着另一种概率分布的形态,即机会风险。也就是说,有些风险只有一种可能的结果,那就是造成损失;还有一类风险其损失和收益的可能性是并存的,对待这一类的风险如果一味的强调规避、防范的话,将使企业丧失发展的基础。随着人们对机会风险认识的不断深入和发展,绩效最大化管理、收益平衡管理等现代风险管理理念逐步树立并不断发展。
随着对法律作用的不断认识和市场经济的不断发展,法律的指引、评价、预测作用更加突出。这些作用在法律风险的管理方面也得到了快速发展。法律风险的管理工作也进入了一个全新的时期,由过去只管理纯粹法律风险上升到纯粹与机会风险共同管理阶段。
二、企业法律风险管理的基本步骤及要点
在纯粹法律风险管理阶段,对法律风险的管理主要依赖于经验法或教训法,即依靠管理人员的个人经验或者自身/其他企业的教训进行管理。这种风险管理方法的最大弊端在于:其管理效果完全受制于管理人员的自身经验和道德水平。在这种法律风险管理中最突出的表现在于:
1.对法律风险的认识受专业、经验的制约;
2.导致法律风险管理与其他风险管理脱节;
3.发现法律风险存在的时候或许已经距离损失不远;
4.滞后的管理效果导致法律风险的管理功能日益淡化;
5.后果通常体现为法律强制作用的实施。
事实上,企业的法律风险主要来源于以下两大方面:
1.法律自身。包括不恰当的法律、法律间的冲突、司法腐败等,也就是立法或者执法层面的法律风险。这一方面的法律风险无一例外的均属于系统性风险,也就是单一企业无法通过自身力量改变的风险。
2.经营管理活动自身。这一方面的风险主要体现为合规风险,即遵守法律的风险。遵守法律应该从两个方面理解:一是违法行为的禁止;二是合法行为的实施。不管禁止还是实施,都围绕着行为进行。因此对待此类风险的管理主要立足点是行为本身,即企业经营管理活动的各种行为。要把握住企业经营管理活动的风险,就需要深入理解并分析、评价各种行为,需要将法律风险的管理融入到这些行为之中,对其中涉及违法的行为应采取禁止措施;对其中涉及合法的行为应引导、鼓励实施。
基于上述对法律风险的认识,对其进行管理过程中主要实施如下步骤:
(一)法律风险的识别
风险本身不可怕,可怕的是不知道风险在哪里,以及面对风险如何应对。风险识别是所有风险管理的最基础性工作,法律风险管理当然也不例外。通过法律风险的识别发现风险是法律风险管理的出发点,也是制定风险管理措施以及监控风险的核心点。
在以经验或教训为出发点的法律风险管理模式下,无论是企业内部法务人员,还是外部的律师机构,当面对资产庞大、业务复杂、员工众多的企业时,想要排查出潜在的法律风险无异于老虎吃天无从下口。
如何有效的识别风险呢?就是沿着企业的经营管理流程走下去,一步一步,一个环节一个环节的去发现风险。简单来说,对待法律自身的风险,需要企业法律顾问不断的充实法律专业知识以及律师服务机构不同专业的密切配合,通过个人专业+团队专业共同去发现;对待企业经营管理活动自身的风险,需要企业法律顾问广泛了解国家产业政策、企业行业状况的基础上深入企业全面熟悉经营管理流程和环节,在此基础上细致的进行排查,从而发现潜在的法律风险。
法律风险识别的工作方法通常包括:
1.问卷调查;2.访谈或座谈;3.集体讨论;4.专家咨询;5.情景分析;6.行业标杆比较;7.其他方法。
(二)法律风险的评估
法律风险评估是对个别或总体法律风险的发生概率及其影响程度从定性和定量两个方面给出评价的活动。目前,在财务风险管理方面,定性评估与定量评估做的比较好,评估工具也比较成熟。但在法律风险评估方面,通常只关注于定性评估,很少使用定量评估,由此大大降低了法律风险评估对企业决策的参考价值。事实上,企业除了关注法律风险的定性评估结果之外,同样希望获得定量评估方面的参考信息。
法律风险的定性评估是评价某一行为的法律性质及其合法性与非法性。法律风险的定量评估是评价某一行为发生的概率以及该行为可能给企业带来的影响。同样强调的是,这种影响不应该理解为负面的,还应包括正面的。例如,企业申报高新技术企业认定的行为具有合法性,申报一旦获批对企业的影响表现为:1.税收上的减免。 2.财政上的支持。 3.融资上的支持。
法律风险定量评估的方法可以采用统计推论法、影响分析法、事件树分析法等。
进行法律风险评估应事先设定统一的度量标准。度量标准可以使用数据标示,也可以使用描述性的词语,如严重、一般、较轻等。通过度量标准可以将经评估的风险进行归类,从而除了直观、快速的查询风险之外,也可以为风险管理策略及措施的制定提供帮助。
法律风险评估的成果体现为评估报告。
(三)法律风险管理方案的制定
通过法律风险排查发现法律风险之后,运用相关工具对各个风险点进行评估,接下来就进入法律风险管理方案的制定。
在传统法律风险管理阶段,管理方案主要侧重于防范和控制的角度。这一出发点对于纯粹法律风险的管理是有效的,也是对路的。但是对于机会风险而言,则并不恰当。对机会风险一味采取防范和控制措施将导致企业丧失交易机会,进而无法获得收益。造成损失是企业不愿看到的,同样,丧失收益也违背了企业的根本目的。
法律风险管理方案的制定应特别注意如下几个问题:
1.管理方案应当紧密围绕企业总体经营目标。在法律与经济的关系上,应当清晰的认识到:是法律服务于经济,而不是简单的经济服从于法律。
2.管理方案应当对不同性质的风险区别对待。对待纯粹风险,应该强化防范与控制,以降低、减少损失影响为目标;但对机会风险则不应该简单的说不,而更应该在说不的同时提出可行、能够帮助企业实现预期目标的方案。
3.管理方案应当依据企业的风险偏好制定。不同企业企业有不同的风险偏好,即使同一个企业在不同的发展时间也可能会有不同的风险偏好。不顾及企业风险偏好而制定的风险管理方案不能说不是最好的,但至少不是符合企业实际需要的。
4.管理方案不应当理解为简单的建章立制,而更应该倾向于机制的建设。再好的制度,如果没有好的机制保障,也难以实施,无法满足制度的规定。
(四)法律风险的监控与管理改进
如前所述,企业的法律风险主要来源于法律自身和经营管理活动自身两大方面,这两大方面都并非一成不变,而是动态发展的。此外,法律风险管理方案执行情况及效果等都需要进行相关的监控。通常情况下,监控工作需要由一个组织来完成,而不是单一的法务部,其原因很简单,众多的风险潜藏在经营管理活动的环节之中。
为了提高法律风险监控的及时性和有效性,可以通过计算机信息系统和网络系统辅助实现。
【关键词】风险管理;建立背景;风险评估;风险处置;批准监督;监控审查;沟通咨询;系统生命周期
当今我们是如何看待网络与信息化?对个人,人需要信息化还是信息化“绑架”人?对企事业单位和社会团体,组织依赖信息化还是信息化成就组织?对经济发展,经济发展带动了信息技术还是信息技术促进了经济发展?对社会稳定,信息化的发展对社会稳定的影响是正面的还是负面的?对国家安全,信息化是国家安全的利器还是祸害?没有标准答案,但值得思考。检察业务系统风险管理的内容有哪些呢?我们作了以下的探讨:
1.风险管理的基本架构与概念
1.1 风险管理的基本架构(如图1-1所示)
1.2 风险管理工作内容
1.2.1 风险管理工作主要内容有:建立背景、风险评估、风险处置、批准监督、监控审查、沟通咨询(如图1-2所示)。
1.2.2 系统生命周期中的风险管理:掌握系统规划阶段的风险管理工作;掌握系统设计阶段的风险管理工作;掌握系统实施阶段的风险管理工作;掌握系统运行维护阶段的风险管理工作;掌握系统废弃阶段的风险管理工作(如图1-3所示)。
信息安全风险管理是信息安全保障工作中的一项基础性工作,是需要贯穿信息系统生命周期,持续进行的工作。我们的检察业务系统是顺应信息化发展及业务需求的实际情况,经过检察系统多部门合作开发的符合全国检察业务需求的背景下建立的。那么我们应该要掌握一套完善的管理方式去做好这件事。那就是要学会风险管理运用好风险管理的实质内容。
1.3 相关概念
1.3.1 通用风险管理定义是指如何在一个肯定有风险的环境里把风险减至最低的管理过程。风险管理包括对风险的量度、评估和应变策略。理想的风险管理,是一连串排好优先次序的过程,使引致最大损失及最可能发生的事情优先处理、而相对风险较低的事情则押后处理。
1.3.2 检察业务系统信息安全工作为什么需要风险管理方式?
常见问题:安全投资逐年增加,但看不到收益;按照国家要求或行业要求开展信息安全工作,但安全事件仍出现;IT安全需求很多,有限的资金应优先拨向哪个领域;当了CIO,时刻担心系统出事,无法预见可能会出什么事。
问题根源浅析:没有根据风险优先级做安全投资规划,没有抓住主要矛盾,导致有限资金的有效利用率低;没有根据企业自身安全需求部署安全控制措施,没有突出控制高风险。决策者没有看到安全投资收益报告,资金划拨无参考依据。没有残余风险清单,在什么条件可被触发,如何做好控制。总的来说可以概括为以下三点:(1)信息安全风险和事件不可能完全避免,没有绝对的安全。(2)信息安全是高技术的对抗,有别于传统安全,呈现扩散速度快、难控制等特点。(3)因此管理信息安全必须以风险管理的方式,关键在于如何控制、化解和规避风险,而不是完全消除风险。
风险管理是信息安全保障工作有效工作方式。好的风险管理过程可以让机构以最具有成本效益的方式运行,并且使已知的风险维持在可接受的水平。好的风险管理过程使组织可以用一种一致的、条理清晰的方式来组织有限的资源并确定优先级,更好地管理风险。而不是将保贵的资源用于解决所有可能的风险。风险管理是一个持续的PDCA管理过程,即计划-做-检查-执行循环的管理过程。也可以这样理解,在全国使用统一的检察业务系统,做需求分析计划组织开发业务系统--全国各省市部分基层院试运行使用--检查业务系统的可行性及需要完善的报告--执行需要完善的地方继续开发完善。一个持续的不断完善的管理过程。
在全国使用统一的检察业务系统,也就会出现数据大集中,数据大集中天生的脆弱性就是数据集中的销毁或丢失,这就是它与生俱来的风险,那么我们认识了这一点,就应该采用相应的技术措施来控制风险。什么是信息安全风险管理?了解风险+控制风险=管理风险。定义一:GB/Z 24364《信息安全风险管理指南》指:信息安全风险管理是识别、控制、消除或最小化可能影响系统资源的不确定因素的过程。定义二:在组织机构内部识别、优化、管理风险,使风险降低到可接受水平的过程。
1.3.3 正确的风险管理方法是前瞻性风险管理加反应性风险管理。
(1)前瞻性风险管理:评估风险、实施风险决策、风险控制、评定风险管理的有效性。(2)反应性风险管理:保护人身安全、遏制损害、评估损害、确定损害部位、修复损害部位、审查响应过程并更新安全策略。风险管理最佳实践。简单的例子:流行性感冒是一种致命的呼吸道疾病,美国每年都会有数以百万计的感染者。这些感染者中,至少有100,000人必须入院治疗,并且约有36,000人死亡。您可能会选择通过等待以确定您是否受到感染,如果确实受到感染,则采用服药治疗这种方式来治疗疾病。此外,您也可以选择在流行性感冒病发季节开始之前接种疫苗。二者相结合才是最佳风险管理方法。
1.3.4 全国使用统一的检察业务系信息安全风险管理的目标是它能做好:保密性、完善性、可用性、真实性、抗抵赖性。GB/T 20984的定义,信息安全风险:人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。信息安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性。信息安全风险是指信息资产的保密性、完整性和可用性遭到破坏的可能性。信息安全风险只考虑那些对组织有负面影响的事件。
2.风险管理的工作内容
2.1 背景建立是信息安全风险管理的第一步骤,确定风险管理的对象和范围,确立实施风险管理的准备,进行相关信息的调查和分析。风险管理准备:确定对象、组建团队、制定计划、获得支持。信息系统调查:信息系统的业务目标、技术和管理上的特点。信息系统分析:信息系统的体系结构、关键要素。信息安全分析:分析安全要求、分析安全环境。如图2-1所示。
2.2 信息安全风险评估就是从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施;为防范和化解信息安全风险,将风险控制在可接受的水平,从而最大限度地保障信息安全提供科学依据。
信息系统的安全风险信息是动态变化的,只有动态的信息安全评估才能发现和跟踪最新的安全风险。所以信息安全评估是一个长期持续的工作,通常应该每隔1-3年就进行一次全面安全风险评估。风险评估是分析确定风险的过程。风险评估的目的是控制风险。风险评估是风险管理的起点和基础环节。风险管理是在倡导适度安全。
2.3 风险处理是为了将风险始终控制在可接受的范围内。现存风险判断:判断信息系统中哪些风险可以接受,哪些不可以。处理目标确认:不可接受的风险需要控制到怎样的程度。处理措施选择:选择风险处理方式,确定风险控制措施。处理措施实施:制定具体安全方案,部署控制措施。常用的四类风险处置方法如下:
2.3.1 减低风险:通过对面临风险的资产采取保护措施来降低风险。首先应当考虑的风险处置措施,通常在安全投入小于负面影响价值的情况下采用。保护措施可以从构成风险的五个方面(即威胁源、威胁行为、脆弱性、资产和影响)来降低风险。减低风险办法:减少威胁源:采用法律的手段制裁计算机犯罪,发挥法律的威慑作用,从而有效遏制威胁源的动机;减低威胁能力:采取身份认证措施,从而抵制身份假冒这种威胁行为的能力;减少脆弱性:及时给系统打补丁,关闭无用的网络服务端口,从而减少系统的脆弱性,降低被利用的可能性;防护资产:采用各种防护措施,建立资产的安全域,从而保证资产不受侵犯,其价值得到保持;降低负面影响:采取容灾备份、应急响应和业务连续计划等措施,从而减少安全事件造成的影响程度。
2.3.2 转移风险:通过将面临风险的资产或其价值转移到更安全的地方来避免或降低风险。通常只有当风险不能被降低或避免、且被第三方(被转嫁方)接受时才被采用。一般用于那些低概率、但一旦风险发生时会对组织产生重大影响的风险。在本机构不具备足够的安全保障的技术能力时,将信息系统的技术体系(即信息载体部分)外包给满足安全保障要求的第三方机构,从而避免技术风险。通过给昂贵的设备上保险,将设备损失的风险转移给保险公司,从而降低资产价值的损失。
2.4 批准监督。批准:是指机构的决策层依据风险评估和风险处理的结果是否满足信息系统的安全要求,做出是否认可风险管理活动的决定。监督:是指检查机构及其信息系统以及信息安全相关的环境有无变化,监督变化因素是否有可能引入新风险。
2.5 监控审查的意义,监控与审查可以及时发现已经出现或即将出现的变化、偏差和延误等问题,并采取适当的措施进行控制和纠正,从而减少因此造成的损失,保证信息安全风险管理主循环的有效性。
3.安全风险评估实践与国家相关政策
3.1 国家对开展风险评估工作的政策要求
3.1.1 信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)中明确提出:“要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估,综合考虑网络与信息系统的重要性、程度和面临的信息安全风险等因素,进行相应等级的安全建设和管理”
3.1.2 《国家网络与信息安全协调小组〈关于开展信息安全风险评估工作的意见〉》(国信办【2006】5号文)中明确规定了风险评估工作的相关要求:风险评估的基本内容和原则;风险评估工作的基本要求;开展风险评估工作的有关安排。
3.2 《关于开展信息安全风险评估工作的意见》的实施要求
3.2.1 信息安全风险评估工作应当贯穿信息系统全生命周期。在信息系统规划设计阶段,通过信息安全风险评估工作,可以明确信息系统的安全需求及其安全目标,有针对性地制定和部署安全措施,从而避免产生欠保护或过保护的情况。
3.2.2 在信息系统建设完成验收时,通过风险评估工作可以检验信息系统是否实现了所设计的安全功能,是否满足了信息系统的安全需求并达到预期的安全目标。
3.3 《关于开展信息安全风险评估工作的意见》的管理要求
3.3.1 信息安全风险评估工作敏感性强,涉及系统的关键资产和核心信息,一旦处理不当,反而可能引入新的风险,《意见》强调,必须高度重视信息安全风险评估的组织管理工作。
3.3.2 为规避由于风险评估工作而引入新的安全风险,《意见》提出以下要求:(1)参与信息安全风险评估工作的单位及其有关人员必须遵守国家有关信息安全的法律法规,并承担相应的责任和义务。(2)风险评估工作的发起方必须采取相应保密措施,并与参与评估的有关单位或人员签订具有法律约束力的保密协议。(3)对关系国计民生和社会稳定的基础信息网络和重要信息系统的信息安全风险评估工作必须遵循国家的有关规定进行。
3.3.3 加快制定和完善信息安全风险评估有关技术标准,尽快完善并颁布《信息安全风险评估指南》和《信息安全风险管理指南》等国家标准,各行业主管部门也可根据本行业特点制定相应的技术规范。
3.4 2071号文件对电子政务提出要求
为落实《国家电子政务工程建设项目管理暂行办法》(发改委[2007]55号令)对风险评估的要求,发改高技【2008】2071号文件《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》提出了具体要求:(相当于“信息安全审计”)电子政务工程建设项目应开展信息安全风险评估工作;评估的主要内容应包含:资产、威胁、脆弱性、已有的安全措施和残余风险的影响等;项目建设单位应在试运行期间开展风险评估工作,作为项目验收的重要依据;项目验收申请时,应提交信息安全风险评估报告;系统投入运行后,应定期开展信息安全风险评估。
参考文献
[1]信息安全测评中心.信息安全保障[Z].
购物车(0)
