安全风险评估的少数派报告
2003-07-28 00:00:
$()
■ 本报记者徐莉
如果说安全市场本身在中国仍处于方兴未艾的阶段,那么,安全风险评估就只能算作尚在萌芽的种子。因为,作为更高级别的服务,安全风险评估更像安全系统这道门上的一把锁,需要有个大前提。换句话说,只有企业的IT系统足够复杂,安全需求达到一定级别,这把锁才会派上用场。尽管很多人看好安全风险评估的未来,但是,目前国内提供真正安全风险评估服务的却只有少数企业。不过,通过对这些企业的采访,我们印证了大多数人的设想——安全风险评估确是一支开始萌芽的
“潜力股”。
提起2002年年底的互联网大会,启明星辰首席技术官刘恒至今印象深刻。在那次会议上,作为安全专题的讲演者之一,刘恒颇为有趣地体会了一回什么叫英雄所见,因为与刘恒一样,另外三名安全专家也不约而同选择了同一个演讲主题——安全风险评估管理。
在会后的交流中,四位“英雄”半开玩笑地指出:“既然大家都看好安全风险评估市场,那索性将2003年定名为安全风险评估年。”
半年多时间过去了,市场为这个带有玩笑性质的预测做了最好的注脚。“进入2003年后,公司关于安全风险评估的单子明显增多,200万以上的项目正在执行的有两个,”刘恒说。在记者的追问下,刘恒对市场做了一个保守估计:“以2003年上半年的落单情况看,安全风险评估市场的总额应该在八千万到一个亿的样子。”安络科技的CTO谢朝霞对这个问题的回答很干脆: “用在安全风险评估上的投资能占用户总投资的1%~5%,电信和金融用户能达到3%~5%。”按此比例换算,仅银行市场,每年用于网络安全评估的费用将超过几个亿。
我们无意求证这些数字的精确程度,因为这不重要。重要的是,从这些最前沿市场中人的判断,我们看到了安全风险评估正在从概念走向应用,从空中楼阁走向触手可及。而对那些已经开始这项业务却无斩获或将要开始却有迷茫的企业来说,先行成功者的体验无疑是最可宝贵的。
安全风险评估的内涵与外延
什么是安全风险评估夸张地讲,一千个人有一千个答案。这些答案或许没有本质区别,但是,因为现阶段的市场尚没有一个明确的定义,每个人对安全风险评估的理解,将会因为内涵与外延的不同,呈现溢出或缺损的现象。或许,从用户的需求角度,更容易将这个问题讲明白,也更具有现实意义。
作为一家电子商务公司的网管,小路深感责任重大。自从2001年成立以来,公司网络多次受到来自黑客的攻击,最严重的一次,业务因此
停顿了24小时。为此,小路需要经常上网查找最新安全动态。到目前为止,仅在IE浏览器上,小路就已经打了不下7个补丁。但是,从IE 浏览器、Apache HTTP Server、到域名软件BIND,都可能是下一个风险的发源地。“风险无处不在,”小路说,“如果想到种种可能性,真会让人晚上睡不着觉。”为了让小路和公司领导都能睡上好觉,2003年初,小路所在的公司请了一家专业公司为自己的网络系统作安全评估,合同期为一年,除了最开始两个月对系统、网络、应用作全面地扫描和评测外,在后面的10个月里,安全公司将全面检测小路公司网络流量的进出情况,并将最新发布的安全漏洞以及补丁情况及时通报给小路。一旦发生问题,服务商承诺在1个小时内做出反应。
小路公司的要求几乎涵盖了安全风险评估的大部分内容。如漏洞扫描,可以划归脆弱性分析; 评测过程,可以算作威胁分析、风险分析。通常来讲,风险咨询公司都会从资产调查开始,逐步进行脆弱性分析、威胁分析、风险分析,针对风险提出解决方案,并提供业务连续性综合办法。有些咨询公司,还会应客户的要求,为加固后的网络系统做二次评估。
从范围上看,安全风险评估又可分为基线风险评估、非正式(快速)风险评估、详细风险评估与综合风险评估。其中,基线评估通常会在启动一个系统建设项目之前开始。非正式评估是针对具体问题,通过工具和人的经验,找到问题,提出解决办法。详细评估则需从物理系统上、数据上以及管理等方面进行全面的评测。绿盟科技工程部安全工程师于慧龙认为,目前,国内第二种评估比较多。
从评估主体上看,安全风险评估又可分为自评、国家授权的专业评估机构评测和以服务商为主体的市场化评估行为。“目前,国内缺乏相关网络安全定级标准,因此,国家还没有设定这样的专业评估机构,”北京中科网威技术中心副总经理吴云坤说。
作为目前市场最主要的群体,安全服务公司提供的评估又可分为两大类:评估加固与评估咨询。“中小客户通常喜欢采用前者。”刘恒说,“他们通常会就网络现状做一个调查,从主机到网络到安全设备,全面查找安全漏洞,然后,要求咨询公司提供加固服务。大客户则需要全面掌握网络安全的情况,要求服务商从系统到管理,提出全面的风险管理办法。”
自测系统安全的几个渐进方法
细节之中见真章
很多情况下,细节决定结果。特定到安全风险评估领域,在完成最初的认知之后,今天的服务商们,又有谁,不是力争在细节上打败对手如果三年前,有人提到安全风险评估概念,那他多半是指漏洞扫描。即便在今天,很多企业仍将这个原本宏大的评估概念狭义地限定为漏洞扫描与修补。如果是这样,服务公司很难区分彼此,“现成的扫描工具与产品有很多,我们自己也可以买来工具做扫描,”作为用户,深圳电信的陈波对此狭义理解也很不能接受。
事实上,真正的安全评估服务价值远远超越简单的扫描。
最基本的,网络安全风险是动态的。仅从2001年12月到2002年12月,关于SQL服务器上的漏洞,就有11个报告。而这期间,跟踪漏洞报告及时与否,就显得格外重要。一些专家还明确指出,在使用SQL服
务器的时候,不要将1433端口和1434端口打开。如果一定要联接,就不要采用SQL服务器,除非你能保证在第一时间打补丁。为了这个“第一时间”,小路所在的公司才会找来专业公司帮忙。
除了硬件系统、网络、操作系统等的安全风险评估外,应用的安全评估更显“真功夫”。湖北移动梦网部的张明峻认为,应用系统安全隐患很多。
作为非标准化的软件产品,很多应用在开发过程中都缺乏对安全问题的统筹考虑。“版本的软件通常会有很多安全方面的问题,”一个专家警告说。在升级过程中,某证券公司的网络管理员发现,自从公司的股票交易系统升级后,用户投诉开始增多。很多用户反映,在输入账户、密码、端口号码以及代理服务器的地址后,却无法进入交易系统。经过查证,请来解决问题的安全服务公司发现,因为新版本与原来的网络环境,包括安全系统不匹配,用户无法通过防火墙。“因为证券公司有五个不同的防火墙。在这种情况下,只有在防火墙上新打开一个入口,用户才能进入系统,”服务工程师说。
最后,在服务公司的建议下,这个证券公司选择使用另外一个应用系统。“这是一个明智的选择,否则,这个应用将带来潜在的安全隐患,”谢朝霞评价说。
能在事前帮助用户排除风险固然不错,但并非每个用户都会做出同样的选择,当发生问题时,作为安全风险评估公司,是否能在最短的时间,排除其他可能性,从应用层面找到问题症结,同样至关重要。
另外,无论自己提供安全产品与否,作为提供服务的安全公司,不要忘了,网络安全产品本身同样可能存在漏洞。去年,在为政府部门检测一个安全评估工具时,一家安全风险评估公司发现了扫描软件自身存在漏洞,这个漏洞,在某种程度上,使整个网络暴露在危险之中。
实践者的方法论
实践需要理论指导,但市场往往等不得成熟理论的出台,就已经急切地凭着直觉向前奔去。不过,聪明的实践者总能在忽左忽右的摸索中找到平衡点,进而形成自己的方法论,高明的,更会在日后成为完整理论的奠基者。
在采访中,众多被调查者一致认为,眼下安全风险评估市场最大的问题之一是缺乏评估标准,这个答案几乎是此次采访中唯一例外的“标准”答案。
从目前的市场情况看,有关安全的标准已有一大堆,如美国TCSEC、BS7799、ISO15408、ISO/IEC17799和ISO13335等。但具体到安全风险评估上,每个标准却都有其局限性。按照于慧龙的说法,ISO15408,虽然在功能上比较全面,但却没有安全管理方面的规范,对系统评测方面的规范也不足;ISO13335,因为制订的时间早,与目前的市场情况有些脱节;BS7799,虽然详尽但非常复杂,虽然全面但不够有针对性。由BS7799派生出来的ISO17799,强调了针对性,却在安全评估方面比较简单,缺乏对照的标准。
来自实战的经验表明,在评估过程中,咨询工程师最常面对的问题是,资产多重要才算重要什么样的系统损失可能构成什么样的经济损失怎样的技术体系达到怎样的安全等级一个病毒中断了邮件系统,企业因此造成的经济损失和社会影响如何计算如果黑客入侵,尽管没有造成经济损失,但企业的名誉损失又该如何衡量
事实上,这些问题将从各个角度决定一个系统安全评估的结果。在没有一个相关标准的情况下,各家公司更多的是参考国外标准,凭借各自积累的经验、与用户多做沟通来解决。有心的公司,更是将这些经验累计下来,形成文档,总结出各自的咨询规范。谢朝霞说:“通过三年的时间,我们积累了一个巨大的知识库和工具库,新来的员工,借助这些手段,也能很快进入工作状态。”启明星辰则将这些宝贵的工作总结出来,与国际上的先进产品结合起来,做成有针对性的评估软件产品。
从发展过程看,国内安全风险评估市场经历了三个阶段:1、不注重标准,2、过于依赖标准,3、跨越标准。“我们现在处于第三阶段,在具有适应性特点的国家标准出台之前,我们先在内部制定具有可操作性的行为规范,”刘恒说。
清内忧难于除外患
在受过黑客攻击和病毒的“洗礼”之后,很多用户开始在防御外来风险方面提高了警戒,但是,在漏洞更多、管理更复杂的内部风险方面,大多数企业仍疏于防范,或缺少规则。与之相对应的,内部安全风险评估难度也就更高。
按照北京中科网威技术中心副总经理吴云坤的说法,系统越复杂,企业越需要风险评估,评估过程也会更有挑战性。
对一个B2B或B2C的网站来说,它的网络结构可以统一归类为单点对多点模式。但内部的网络结构,则通常属于多点对多点。业务部与业务部之间、业务部与办公室之间,每个人与每个人之间,都将连接在一起。“关联点越多,系统越复杂,”吴云坤说,“相应的工作流也呈现多样化和多角度的形态。”因此,在提供安全评估的过程中,服务商必须对企业内部的业务流程、管理模式有相当的了解,才能切中要害。
据有关机构统计,目前,国内银行与网络相关的经济犯罪100%属于内部作案或内外勾结。这样一个触目惊心的数字令人不禁想到,银行业内部的安全防范是怎样的脆弱。
通过为一些银行用户做评估,谢朝霞发现,很多风险出在管理上,如银行的生产环境与网络开发环境本应该严格分开,非业务操作人员进出营业现场应该有严格的登记制度。但是,在实际中,很多技术开发人员随便出入生产现场。最早的一起银行网络安全事故,就是因为开发人员偷看了操作人员登录密码,偷走了26万元现金。就是这样一些与网络、与技术没有本质关联的问题,造成了大量事实上的安全风险。还有一些银行,基础设施落后,有些甚至还在使用安全性很差的HUB,这种产品,只要随便连通到一个端口上,就可监看所有的信息流量。
这些问题其实反映出同一个本质,即用户内部安全防范意识淡薄。因此,对安全评估供应商来说,打破常规,改变观念也是评估过程中需
要解决的问题之一。
需求篇
多汁的酸桔子
柳传志曾说过一句话,利润像海绵里的水,是挤出来的。这句话放在任何一个成熟市场都很合适。不过,作为一个全新启动的领域,安全风险评估市场更像一个多汁但尚未成熟的桔子,汁液虽然丰富,但要想吃得好,需要先了解桔子的成分,然后想出各种新方法,或蒸或煮或加糖,重要的是,只有打破常规,才能提前品尝好味。
茶杯里的大象
从最初的市场需求看,国内的安全风险评估出产于安全事故。如黑客入侵,病毒发作,网络“无缘无故”的瘫痪,用户靠自己的力量解决不了,于是开始从外部寻求帮助。
但是,从这个需求点开始,服务公司往往帮助用户发现更多的安全隐患,就像“事故”这个小茶杯里装入了“评估”这头大象,拾遗补缺式的简单要求牵扯出的是一系列评测、分析与整体解决方案的需求。
随着网络大环境与企业小网络环境的日趋复杂,各种“茶杯”多了起来。如黑客大战爆发,网络投资前的安全评估,企业领导对不断扩大的网络安全现状的了解需求,行业领头羊或总部的拉动作用、大行业的引导作用等,都可能促成一个评估合同的产生。除此之外,政策的原因,如某个行业整体提升网络安全的需求,大事件的发生,如两会期间的网
络安全问题,也会诱发短期需求。但真正促成这个市场发展的因素仍来自企业认识的提高以及网络变得复杂后,为保证网络可用性、可靠性、保密性,不得不借助外部力量的切实要求。
“因为政策、因为各种外在因素促成的需求是不可靠的,这样的用户,即使签了单,未来开发潜力也不会很大,”刘恒说。事实上,安全评估市场的可重复性很强,就像检查身体一样,不可能一次检查,一劳永逸。因此,了解现有用户需求动机,洞察用户发展潜力,对供应者来说,是获得事半功倍效果的关键之一。
增加手中的筹码
相比较而言,国内的网络安全评估市场远比国外滞后。从根本上讲,网络整体发展阶段的不同造成了这种差异。从不少概念片里看到的,如用手机买票,通过机场免费系统查找出租车,无需见面就签合同、买卖商品(包括企业间的大订单),事实上已经成为很多美国人生活中的必要组成。而我们,尽管在信息获得上已经对网络构成依赖,但是,就买卖行为而言,更多的还是发生在网外,最多上网买个图书与CD,多数情况下,还会选择货到付款。
正是因为国外这种无处不在、随手可用的网络现状,带来方便的同时,也催生了意愿之外的副产品——网络安全隐患。当然,你无需低估人类的智慧,因为紧随其后的,就是各种针对安全的产品与服务的诞生和发展。
网络环境的区别,或许是国内外网络安全风险评估市场巨大差异的本质原因。因为这样的环境,由此衍生的各种服务又反过来对评估市场带来新的动力。
如B2B业务的发展。很多国外企业为了向客户证明自己的网络是安全的,在建立B2B业务之前,纷纷寻找第三方安全风险评估公司,为自己的网络安全做评估,有些在遵循评估公司的建议,修补网络后,还会进行二次评估,确定自己网络安全的等级,最终赢得用户的信任。
另外,随着近年来网络安全事件频繁发生,有关网络安全保险的业务开始萌芽。从保险公司的角度,费率的制定,与客户网络的安全等级大有关系,网络越安全,费率越低。如果企业能证明自己的网络非常安全,就有可能以极低的价格获得保险。而这一现象,同样促进安全风险评估市场的发展。作为国内安全风险评估供应商,或许可以通过与保险公司合作的方式,从侧面拉动市场的发展。
先摘够得着的果子
如果按照每年几个亿计算,今天的安全风险评估市场只能算作小菜。就国内市场来看,电信行业显然是“第一个吃螃蟹的人”。根据IDC的调查,2003年,亚太电信公司花在网络安全上的开支将占整个IT开支的15%。40%的受访者表示,他们面对的安全问题有所增加。对各种新技术、新服务体验的意愿,让中国的电信市场成为全世界供应商眼中“最可爱的人”。就安全风险评估市场来说,电信同样给了供应商希望,并起到了“带头”作用。“今年,我们几个大的评估单子都是来自电信,”
刘恒说。
紧随其后的是金融,包括银行、证券和保险。在这一点上,南北供应商认识不一,谢朝霞认为,银行在商务上的风险最大,因此,对网络评估的需求也最强烈。从安络科技的业务组成上看,来自银行与证券的用户最多,电信其次。刘恒则指出,在安全风险评估业务上,今年,电信市场真正启动了。金融领域零散的单子虽然不少,但整个行业的大规模启动应该在明年。而吴云坤则认为,未来,随着安全评估标准的确定,银行将会以自评为主。“因为银行的业务系统大多是自己开发完成的,交给外面的公司做评估,反而增加了安全风险。”
政府方面,总体来看,目前在安全风险评估上的需求还不很明确。但随着电子政务的进一步发展,与之相关的网络安全方面的需求必然会有所加强。
各种各样的网站对安全风险评估的需求也开始放大。除了自身技术能力比较雄厚的新浪、网易等,不少网站也开始借助外力,评估自己网络的安全情况。
产品服务化和服务产品化是两个发展趋势,我们希望在这其中找准自己的位置。
——北京中科网威吴云坤
越是新开发的应用,越需要进行安全评估。
——安络科技谢朝霞
服务篇
风口浪尖上的淘金者
概念多,服务少
早在2000年,绿盟科技就提出了NSPS安全服务体系,由此以后,市场上有关安全评估、安全服务的概念如雨后春笋,在各种各样的安全公司落地生根。
不过,提出概念容易,提供服务却难。而国内市场对有偿服务的接受程度过低也一直为企业界所诟病。在这样不利的外在环境和小我的局限面前,大部分企业更多地将评估等服务作为概念或者辅助手段,目的在于推进其主体业务——产品的销售。即便今天,无论是卖防火墙的,还是卖控制网关的,大部分以产品起家的安全公司,在安全风险评估这个环节,仍有“挂羊头,卖狗肉”之嫌。从采访的情况看,目前,能够提供完整而真实的安全风险评估的企业并不多。
坚定者的殊途同归
无论是最早提出安全服务概念的绿盟,还是爆发力十足的启明星辰,他们的共同之处在于是安全服务的坚定实践者。
在2000年就把服务作为自己的主营业务,绿盟无疑走过一段并不平坦的路。尽管在适应市场的过程中,绿盟也陆续推出相关的网络入侵检测产品、抗拒绝服务产品。但这些产品也多是围绕服务需要开发的,目的在于形成与服务的互动。应该说,绿盟自始至终都是安全服务的坚持
者。最为业界津津乐道的是,绿盟网罗了不少高手,这些网络安全的守护者,构成了绿盟最难被人超越的技术壁垒。
成立于1996年的启明星辰在安全检测产品方面一直有着骄人的成绩。迄今为止,已经承担了国家级、部级重点信息安全科研项目三十多项。从2002年开始,启明星辰开始逐渐加大安全风险评估服务的投入力度。“2003年上半年,安全风险评估的单子比预计的翻了一倍,”刘恒说。凭借多年的技术积累与良好的客户关系,启明星辰在评估市场可谓厚积薄发,雄厚的人才储备,使启明星辰一出手就占了先机。
服务好坏,响应速度显然是服务一个重要的衡量指标。因此,本地化在服务中更易突现其作用。地处深圳的安络科技在南方市场因此具有优势。而中国市场向来南方先行的特征,又让安络科技比别人更有机会积累宝贵的评估经验。“目前,来自评估的业务已经占到总收入的60%,”谢朝霞说,“客户多来自银行和电信,单子很多,规模一般在几万到几十万。”具体到评估内容,安络强调应用系统的安全评估与安全管理的规范上。而这一点,对供应商的行业理解要求很高。
另外,安氏在安全风险评估方面业务开展得也比较早,通过代理ISS 的几个检测工具,安氏早期获得了不错的市场口碑。与安氏类似,玛赛网络也曾在这个市场显山露水,并为业界培养了不少人才。但是,因为人事变动等原因,玛赛已经被投资方——亚信收回,它下一步的市场举动还有待观察。而原来以产品为主的中科网威,近期开始向服务倾斜,并召集了不少精英,意欲在这个潜力巨大的市场一展身手。
安全评估很重要,应该每年至少做一次。我们对目前得到的服务基本满意,但就是价格太贵了。
——深圳电信陈波
目前,数据业务占的比例还不高,相关的网络攻击虽然有,但并未构成太大的威胁。因此,安全风险评估对我们来说,还不是眼下最要紧
的事。
——湖北移动张明峻
育龙网 2009年05月21日来源:互联网
核心提示:信息的安全防范工作一直是整个信息系统安全防范工作中的重点之一。在本文中就以信息安全风险评估对象中的网络操作痕迹信息检查为
信息的安全防范工作一直是整个信息系统安全防范工作中的重点之一。在本文中就以风险评估对象中的网络操作痕迹信息检查为评估项目,来说明一次安全风险评估该如何具体地去做。
一、安全风险评估准备阶段
在每次风险评估开始之前,一个最好的保证评估过程顺利完成,评估结果真实有效的方法,就得为此制定一个风险评估策略。但如果只是对某个独立的或者是临时决定的小评估项目进行风险评估,而且你和你的评估团队以前经常对些小评估项目进行风险评估,那么,只要为它做一些相应的准备工作就可以直接进行评估了。
风险评估策略的具体内容是根据实际的评估对象和评估项目来决定的,因此,不同的评估对象的风险评估策略是不相同,就是同一评估对象,如果评估的具体项目不同,其风险评估策略也不会相同。
1、制定风险评估策略
一个好的风险评估策略,应当包括下列所示的内容:
(1)、指定评估小组成员
信息风险评估小组担负着机构的风险评估工作,其成员要能代表整个机构。同时,成员必需在人员安全评估(确定某个人员可以信任风险评估工作)通过后确定。具体的成员应当包括:IT部门主管、风险评估负责人、系统或网络管理员、技术人员,还可以包括安全产品供应商代表及合作伙伴代表等。
评估人员确定后,就要分配相应的评估任务给具体的人员。确定每个评估人员各自的职责,所要承担的法律责任,并做成文档分发到每个评估人员手中。同时,要为评估任务指定一个总的负责人,来监督整个评估过程,并协调处理评估过程中出现的临时状况。还要说明评估结果的填写和上报方式,如说明每个评估人员完成自己的评测任务,填上评测结果后,当上交给风险评估负责人时,还应当与负责人一同签名才能有效。
(2)、确定风险评估的范围和目的
确定风险评估的范围也就是指指定具体的评估对象和评估项目,风险评估的目的就是指此次风险评估要达到的期望值。风险评估的目的和范围是相辅相成的,只有指定了评估对象中评估项目的风险评估目的,才知道需要什么样的评估任务来达
到这个目的,也就圈定了具体的评估范围。也只有确定了风险评估的范围和目的,我们的风险评估才能有的放矢地进行。
在本例中,我们的评估对象是风险评估;评估项目是网络操作痕迹信息检查;评估的目的是检查网络中遗留的网络操作痕迹信息中是否含有机构内部机密;具体的评估任务有:
①、检查机构内部员工WEB和缓存中的内容;
②、检查机构内部员工是否通过个人主页、博客、论坛,以及发布网络求职简历的方式,透露了机构的组织结构,或其它机构内部机密信息;
③、调查机构内部员工是否在使用私人电子邮箱,并且在法律允许的条件下,检查员工是否通过机构分配的电子邮件发送机构内部机密信息;
④、了解机构内部员工的技术水平,以及了解技术水平较高的员工所处的部门及其操作权限;
⑤、调查机构内部员工是否在工作时间使用即时通信工具,并在法律条件允许的条件下监控即时通信的内容;
⑥、使用互联网搜索引擎查找网络中是否存在与机构相关的机密信息,或者可以在各种特定的新闻组、论坛及博客中搜索;
⑦、检查机构内部员工是否在使用P2P软件,在法律条件允许下审查P2P通信内容。
(3)、确定本次评估任务的开始和结束的具体日期和时间,如有可能,还有决定具体的风险评估时间,并在风险评估文档中留出相应的位置用来标明评估工作的开始和结束时间。
(4)、考虑一些在风险评估过程中可能发生的情况,以不影响正常的业务为基本条件。应当为此制定一个应对有可能造成业务中断,或造成真实安全事件发生事件时的应急措施。
2、根据评估项目和要完成的评估任务制作风险评估表单
风险评估表单就是在一张表单上将要评估的项目及评估任务一一列出,然后在进行具体的风险评估时,就可以按表单中的内容来依次进行。
图就是网络操作痕迹信息检查评估项目的风险评估表单。
图网络操作痕迹信息检查的风险评估表单
风险评估
评估项目:
网络操作痕迹信息检查
评估的目的:
检查网络中遗留的网络操作痕迹信息中是否含有机构内部机密
评估任务
红勾
顺序
评估任务描述
客户风险评估表
1. 借款单位的相对优势 1.1 借款单位所运营行业的相对增长率 1.2 借款单位相对于这个行业的增长率 2. 行业的竞争环境 名称占总销售额比 行业1 ______ ____________% 行业2 ______ ____________% 行业3 ______ ____________% 2.1 供求状况 行业1 行业2 行业3 2.2 产品替代性 行业1
行业2 行业3 2.3 行业壁垒 2.3.1 资金壁垒 行业1 行业2 行业3 2.3.2 技术和政策壁垒 行业1 行业2 行业3 2.4 供应商的讨价能力 行业1 行业2
行业3 2.5 借款单位在本行业的竞争地位 行业1 行业2 行业3 3 主营业务的重要性 3.1 借款单位的主营业务在总体业务中的重要性 4 借款单位本身的客户状况分析 4.1 客户集中程度 4.2 应收款的质量 4.2.1 应收款帐龄 4.2.2 应收款客户集中程度
4.3 客户群的稳定程度 5. 借款单位的最高领导者的素质5.1 领导者的可信程度 5.2 领导者的管理能力 5.3 领导者在位的稳定性 6. 借款单位的财务负责人的素质 6.1 财务负责人的可信程度 6.2 财务负责人的管理能力 6.3 资金成本意识 6.4 费用控制意识 6.5 财务负责人在位的稳定性
7. 借款单位的企业文化 7.1 员工整体素质 7.2 工作环境 8. 借款单位股东 8.1 借款单位股东的资信情况 9. 借款单位的财务报表的可信程度 9.1 所有权的清晰程度 9.2 财务报表中详细数据的可信程度 9.3 会计原则 9.4 报表审计情况 10. 借款单位的信贷历史情况 10.1 提供在其它银行借贷信息的意愿
高新技术企业风险评估指标体系研究 2012-3-15 8:36王继霞张珈嘉【大中小】【打印】【我要纠错】 摘要:企业所面对的内外部不确定性在不同程度上给企业生产经营带来了风险。高新技术企业由于投入大、技术含量高、产品更新换代快等特点,其所面临的风险尤其高,这一状况亟待将风险管理意识引入其管理体系中,建立风险评估指标体系并进行科学的风险管理。 关键词:高新技术企业;风险评估;评估模型 一、高新技术企业特点 高新技术企业是指在《国家重点支持的高新技术领域》内,持续进行研究开发与技术成果转化,形成企业核心自主知识产权,并因此为基础开展经营活动的经济实体。高新技术企业有着与传统企业明显的差异,最大不同就在于创新是形成高新技术企业核心竞争力和利润的源泉。这一特点决定了其生产经营活动的不确定性,进而演化出高新技术企业高风险的特点。 二、风险评估指标体系构建 高新技术企业的风险主要源于财务风险、市场风险、技术创新风险、人力资源风险、声誉风险和政策风险,因此本风险评估指标体系在构建过程中将以上风险作为一级风险指标予以反映,并用二级风险指标进一步拓展,形成了全面、系统的风险评估指标体系。 (一)指标设置的原则 高新技术企业风险评估指标体系的重构遵循了以下原则: 1、系统性原则 系统性原则要求在进行指标设置的过程中要从整体出发,全面考虑影响企业的各类风险因素,使指标体系全方面、系统的发挥风险评估与风险管理的作用。 2、重要性原则 重要性原则要求指标体系通过增加重要指标的权重等方式凸现重要风险因素对企业的影响,从而通过指标体系来引导企业风险管理工作。 3、敏感性原则 高新技术企业所面临的内外部环境具有高度不确定性,因此指标的设置需具有较高敏感度以及时、准确的反映风险的变化情况。 (二)指标及内涵
XX银行客户洗钱和恐怖融资风险评估及分类管理办法 第一章总则 第一条为规范客户洗钱和恐怖融资风险(以下简称洗钱风险)评估及分类管理,强化客户洗钱风险的持续监控和分析,预防洗钱活动,根据《金融机构洗钱和恐怖融资风险评估及客户分类管理指引》,结合本行实际,制定本办法。 第二条本办法所称的“客户洗钱和恐怖融资风险评估 及分类管理”(以下简称“客户风险分类管理”)系指根据 客户特性、地域、业务、行业等因素,通过识别、分析、判断等方式,将客户划分为不同洗钱风险等级,并采取相应风险管理措施的行为。 第三条本办法中的“客户”包括在本行开立账户的个人和机构客户以及在本行办理一次性金融业务的客户。 第四条客户风险分类管理工作应遵循以下原则: (一)风险相当原则。各级机构依据风险评估结果科学配置反洗钱资源,在洗钱风险较高的领域采取强化的反洗钱措施,在洗钱风险较低的领域采取简化的反洗钱措施。 (二)审慎性原则。各级机构应充分了解客户,通过对客户的身份、地域、业务、行业(职业)等方面采取定量与定性的方法进 行综合评价,审慎评定每一名客户的洗钱风险等级。 (三)同一性原则。各级机构在进行客户洗钱风险等级分
类时,应赋予同一客户在本行唯一的风险等级。 (四)动态管理原则。各级机构应根据客户洗钱风险状况的变化,及时调整其风险等级及所对应的风险控制措施。 (五)保密原则。各级机构不得向客户或其他与反洗钱工作无关的第三方泄露客户洗钱风险等级信息。 第二章组织与分工 第五条总行内控合规部是本行客户洗钱风险分类管理工作的主管部门,主要工作职责是:负责制定客户洗钱风险评估分类的管理制度;负责提出客户洗钱风险分类管理系统的业务需求;负责组织推动客户洗钱风险评估、分类及管理工作等。 第六条本行相关业务部门主要工作职责是:负责对本 业务领域的洗钱风险进行识别并采取有效风险控制措施,做好客户风险分类管理涉及的客户尽职调查;负责本条线客户风险分类工作的指导和管理;负责配合客户风险分类管理系统建设工作等。 第七条分行内控合规部门是本机构客户洗钱风险分类管理工作的主管部门,主要工作职责是:负责辖属机构客户风险分类工作的指导和管理;负责本机构高、较高、一般风险客户风险等级的审核;负责向总行汇报本机构客户风险分类的落实情况及重要事项等。 第八条营业网点是客户风险分类管理工作的直接责 任单位,主要工作职责是:负责收集客户风险分类管理所需信息;负责对客户进行尽职调查;负责本机构客户洗钱风险分类的人工评级工作;负责本机构低、较低风险客户的风险等级确定工作等。
1 目的 为及时识别、监控公司潜在风险及其发生概率,确定公司风险承受能力及限度,认定该等风险所可能带来的损失,制订本制度。 2 定义 本办法中所指风险是与公司生产经营、发展战略有关的各类风险,包括战略环境风险、程序风险(业务运作风险、财务风险、授权风险、信息与技术风险以及综合风险)和战略决策信息风险。 3 适用范围 本办法适用于公司以及公司下属各业务部门、子公司,要求每一位员工均应该具有风险意识。具体负责组织实施单位为发展战略部。 4风险评估管理组织体系结构及职责 4.1 公司设立风险评估及管理小组,为公司风险管理领导机构,负责评估公司各类风险,协助经理决策,消除危机,转嫁风险,以使公司获取生存发展的机会。 4.2 公司各职能部门与业务部门、下属子公司应当在本办法的框架下制订各自的风险评估管理办法,设立专人与发展战略部风险评估及管理小组沟通信息,汇报各自在运作过程中所出现的风险及其可能的解决方案。 4.3 内部其他部门协助综合管理部审核公司风险,为风险监控部门,在其进行内审工作过程中所发现的各类风险应及时通报综合管理部研讨、评估该等风险,综合管理部与其他部门密切合作,审核、监控并管理风险。 4.4 综合管理部负责组织评估各类业务部门的财务、运作风险,并对该等风险提出具体的管理方案。 4.5 经营财务部负责评估公司金融财务风险及公司经营管理风险状况,并向发展战略部通报提交有关风险评估文档。 4.6 各业务部门、下属子公司及具体项目运作小组负责评估本单元(或项目)的财务风险、运作风险及其他综合风险,向综合管理部提交有关风险评估文档。 4.7 工程部及技术中心就公司整体产品的技术性风险、技术创新风险及技术管理中所存在的各类风险进行评估,提交相应文档至发展战略部。 4.8 综合管理部汇总各职能部门及业务部门、下属子公司、具体项目小组的风险评估文档,展开相应的评估研究,向总经理及总经办公会提交风险评估报告及相应的防范措施。4.9风险评估CSR组织架构图见附件一
危害识别和风险评价管理程序 一、目的 二、范围 三、职责 HSE管理者代表:对危害识别与风险评价工作直接负责,确定及审批管理程序、危害识别及风险评价的结果。 安全环保部门和HSE管理人员:组织开展危害识别和风险评价工作,负责对各单位的工作进行指导、控制和更新。省公司安全环保部门负责编制发布和危害识别和风险评价管理程序,对全省工作进行指导,负责组织相关专业技术人员对全省的识别和评价结果进行总的分析和认证。各市地分公司的安全环保部门及HSE管理人员负责本公司各项工作的开展。 其它各部门:参与开展危害识别与风险评价的查找、分析、控制和更新工作。 所有员工:接受安全环保部门组织的培训,参与危害识别和风险控制的查找、分析、控制和更新工作。
四、定义 危害:可能造成人员伤害、职业病、财产损失、环境破坏或其组合的根源或状态。 危害识别:认知危害的存在并确定其特征的过程。 风险:特定危害事件发生的可能性及后果严重性的结合。 风险评价:依照现有的专业经验、评价标准和准则,评价风险程度并确定风险是否可容忍的全过程。 事故:造成死亡、职业病、财产损失、环境破坏的事件。 事件:导致或可能导致事故的事情。 五、工作程序 危害识别及风险评估程序流程,参照附录1,具体步骤概括如下: 1、成立评估小组 省、市、县公司及所属部门应成立有专业技术人员和操作人员参加的评估
小组,所有评估人员需经过专门培训并有能力、资格开展职业安全健康的危害识别、风险评估和指导工作,同时各部门也应要求其他员工参与危害的确定。 2、选择和确定评估范围和对象 评估小组应首先识别出公司从事的经营活动、产品或服务范围,包括规划、设计、建设、投用、采购、销售、产品、储运、设备、设施、服务、检维修、消防、合约商的服务和设备,以及行政和后勤等活动的全过程。所有可能导致重要危害的活动,包括非常规活动如检维修等都必须充分得到识别。 在确定评估范围后,评估小组可按下列方法,确定评估对象: ——按地理区域或部门; ——按装置、设备、设施; ——按作业任务。 对所确定的评估对象,可按作业活动进一步细分,以便对危害进行全面识别和评估。同时应对工作活动的相关信息有所了解,包括: ——所执行的任务的期限、人员及实施任务的频率;
雷电灾害风险评估法律法规依据 1、《中华人民共和国气象法》(中华人民共和国主席第23号令) 第三十一条各级气象主管机构应当加强对雷电灾害防御工作的组织管理,并会同有关部门指导对可能遭受雷击的建筑物、构筑物和其他设施安装的雷电灾害防护装置的检测工作。安装的雷电灾害防护装置应当符合国务院气象主管机构规定的使用要求。 2、《气象灾害防御条例》(国务院第570号令) 第十条县级以上地方人民政府应当组织气象等有关部门对本行政区域内发生的气象灾害的种类、次数、强度和造成的损失等情况开展气象灾害普查,建立气象灾害数据库,按照气象灾害的种类进行气象灾害风险评估,并根据气象灾害分布情况和气象灾害风险评估结果,划定气象灾害风险区域。 第二条本条例所称气象灾害,是指台风、暴雨(雪)、寒潮、大风(沙尘暴)、低温、高温、干旱、雷电、冰雹、霜冻和大雾等所造成的灾害。 3、《防雷减灾管理办法》(中国气象局第8号令) 第二十七条各级气象主管机构应当组织对本行政区域内的大型建设工程、重点工程、爆炸危险环境等建设项目进
行雷击风险评估,以确保公共安全。 4、防雷装置设计审核和竣工验收规定(中国气象局第11号令) 第八条申请防雷装置初步设计审核应当提交以下材料》: (四)防雷装置初步设计说明书、初步设计图纸及相关资料。需要进行雷击风险评估的项目,需要提交雷击风险评估报告。 5、《安徽省人民政府安全生产职责规定》(皖政〔2008〕69号) 第三十三条省气象主管机构负责本省行政区域内灾害性天气的监测、预报、预警,依法监督、指导防雷减灾工作。其主要职责是: (一)依法组织对防雷装置检测和防雷工程专业设计、施工单位资质认定; (二)依法组织对防雷装置设计审核和竣工验收; (三)依法组织对相关场所和设施的防雷安全监督检查,重点加强对公众聚集场所和易燃易爆场所、设施的防雷安全监督检查; (四)依法组织编制防御雷电灾害风险规划,开展雷电灾害影响评估等工作。
安全风险评估 编制单位:项目部编制人: 审批人: 编制时间: 颁布时间: 中铁*****局集团路桥有限公司
一、编制依据 1、《公路桥梁和隧道工程施工安全风险评估指南》(试行)交质监发【2011】217号; 2、交通部颂发的《公路工程标准施工招标文件(2009年版)》、现行《公路工程技术标准》、现行《公路隧道施工技术规范》、现行《公路工程施工安全技术规程》等相关规范; 3、《公路施工手册》、现行《工程建设标准强制性条文·公路工程部分》; 4、现场踏勘调查、搜集的实地资料; 5、我单位在类似工程中的施工经验和相关工程的技术总结、工法成果等。 6、依据以上文件、规范、标准及工程实地勘察情况,结合我公司现有技术装备、施工能力、管理水平,以及多年从事复杂地形地质条件隧道施工的丰富经验,并针对本工程施工特点,以“保质量、保工期、保安全、创精品”为目标,编制本梅岭隧道施工安全总体风险评估报告。 二、工程概况 (三)、公路设计技术标准 1、公路等级: 2、隧道设计行车速度:80km/h; 3、隧道建筑限界: 4、洞内路面设计荷载: 5、行车方式:双向行车;
6、通风方式:机械通风; 7、隧道防水等级: (四)、桥梁设计技术标准 1、设计基准期: 2、设计荷载: 3、地震动峰值:根据《中国地震动峰值加速度区划图》(GB18306-2001)场地地震动峰加速度(a)<0.05g,对应于地震基本烈度﹤6度。按6度设防; 4、桥面全宽: 5、斜交角: (五)、工程地质概况 1、地层岩性 根据区域地质、野外工程地质调查与测绘和钻孔揭露资料,并结合室内试验结果,隧址区地层可划分为第四系松散堆积物(Q4)和奥陶系新岭组(O3x)基岩。 (1)第四系松散堆积物(Q4) 第四系残、坡积层(Q4e1+d1):主要由灰色、黄灰色角砾石(含碎石、块石)混低液限粘土、低液限粘土混角砾石、低液限粘土组成,分布于山坡、山谷及基岩区表层,工程性质较差。 (2)奥陶系新岭组(O3x) 奥陶系新岭组(O3x):主要由灰、黄灰色砂岩和灰绿色、灰黑色页岩组成,其中分布有石英岩脉,工程性质相对较好。 2、地质构造和地震动参数 隧址区位于绩溪复背斜的西北翼。由于该地区经历了多次构造运动,岩层状况和地质构造尤为复杂。
雷电灾害现状风险评估实施方案 二〇一四年一月
1立项依据 1.1总体说明 雷电灾害是世界上最严重的自然灾害之一,具有突发性、多样性、复杂性、破坏性和选择性等特点,会引发火灾、爆炸、建筑物损坏、信息系统瘫痪等安全事故。它可导致整个建筑物(其构成部分及内部装臵)和公共设施受到损害,同时也可以使设备发生故障,尤其是电气及电子系统,这些损害及故障甚至可能会影响建筑物周围及其附近区域。 为防御雷电造成的灾害,国家和各级政府先后颁布了一系列防雷减灾的法律法规,补充修订了多项雷电防护技术标准和规范,对油、气、煤等易燃易爆场所的雷电防护提出更严格的要求,强化对雷电灾害的风险管理,最大限度降低雷电灾害风险。 1.2油田公司现状 2013年新疆油田公司共检测防雷接地点34323个,接地电阻值不合格点191个,合格率99.44%;重点站库二次检测防雷接地点4871个,不合格点14个,不规范点61个,合格率99.71%。 现场发现的问题主要是: 1、检测的接地电阻值超标。 造成检测的接地电阻值超标是由于有些设施安装的防雷接地装臵使用的年限较长,接地体腐蚀老化严重,导致接地阻值超出最大允许值,如油罐、管道接地的阻值要求小于10欧姆。 2、设施无接地或接地不合规范要求 根据《油(气)田容器、管道和装卸设施接地装臵安全检查规范》(SY5984—2007)要求,在检测过程中发现个别储油单罐
无接地或接地不合规范要求,如准东采油厂、采油一厂、彩南作业区的部分探井的60方储罐没有做接地或只做了一个接地点(规范要求:油罐必须作防雷接地,接地点不应少于2处)。 3、设施接地装臵的引下线与接地体断裂 由于设施接地装臵受地质影响发生下陷、地面施工等造成接地装臵的引下线与接地体断裂。 4、引下线的断接卡螺栓尺寸小或单螺丝连接 部分油罐和计量站存在断接卡连接螺栓偏小和单螺丝连接问题(规范要求:油罐接地引下线应设臵断接卡,断接卡应用2个大于等于M10的螺栓连接)。 5、引下线的断接卡被封埋在不符合规范、断接卡。 6、各单位普遍存在油罐上罐扶梯入口、油罐采样口处、装臵区、泵房、罐区入口、进站口、天然气站等处设臵的人体静电消除器,不是本安型人体静电消除器。 7、部分生产装臵中控制系统操作室没有设臵防静电地板,没有对仪器仪表控制系统采取综合的防雷措施。如在电源系统安装电涌保护器(SPD)。 1.3法律依据 ——《中华人民共和国气象法》 第三十四条各级气象主管机构应当组织对城市规划、国家重点建设工程、重大区域性经济开发项目和大型太阳能、风能等气候资源开发利用项目进行气候可行性论证。 ——《气象灾害防御条例》
恒鑫集团风险评估管理规定 一、概述 恒鑫铜业集团有限公司(以下简称“公司”)风险评估就是对公司目标实现产生负面影响的因素进行判断的过程。风险评估主要包括风险识别和风险分析两个方面。 二、风险评估的范围 按照公司内控体系阶段性建设计划,公司风险评估现阶段的范围是:公司层面风险和业务层面风险,业务层面风险主要针对关键业务流程的风险进行评估。 三、风险评估的基本程序和方法 公司风险评估主要经过确立风险管理理念和风险接受程度、目标制定、风险识别、风险分析和风险反应等五个基本程序来进行。 1、确立风险管理理念和风险接受程度 确立公司风险管理理念和风险接受程度是公司进行风险评估的基础。 (1)风险管理理念 公司风险管理理念是公司如何认知整个经营过程(从战略制定和实施到企业日常活动)中的风险为特征的公司共有的信念和态度。公司的风险管理理念反映出公司的价值,影响公司文化和经营风格,也会影响应用公司风险管理要素的方式,包括识别风险的方式、可接受的风险种类以及如何进行风险管理。 公司坚持“诚信、创新、业绩、和谐、安全”的核心经营管理理念,集中体现了公司经营管理决策和行为的价值取向,也反映出了公司实行稳健的风险管理理念。 (2)风险接受程度 风险接受程度是指公司在追求目标实现过程中愿意接受的风险程度。它反映了企业风险管理理念,反过来又影响企业文化和经营风格。在制定企业战略时要对风险接受程度加以考虑,同时,公司的风险接受程度选择也应与制定的公司战略相一致。一般来讲,风险接受程度分为三类:“高”、“中”或“低”。公司从定性角度考虑风险接受程度,整体上讲,公司把风险接受程度确定为“低”类,即公司在经营管理过程中,采取谨慎的风险管理态度,可以接受较低程度的风险发生。 2、目标制定 目标制定是风险识别、风险分析和风险对策的前提。公司必须首先制定目标,
《商业银行理财客户风险评估问卷基本模版》编写说明 本次编制的《商业银行理财客户风险评估问卷基本模版》遵照银监会的相关规定,结合各行实际情况,并综合考虑了客户使用的易读性与便利性等因素,涵盖了客户财务状况、投资经验、投资风格、投资目标和风险承受能力五大模块,对应10道问题;10道问题最高为100分,五个模块权重各占20%;分值越高表示客户可承受的风险越高,依照客户风险承受能力由低到高(对应得分由低到高),客户依次被划分为保守型、稳健型、平衡型、成长型和进取型五个类型,《商业银行理财客户风险评估问卷基本模版》依次列出了每一等级客户适合的产品类型。 根据各行实际,考虑操作可行性与客户便利性,建议评估有效期限为一年,即每年重新对客户进行一次风险评估。 一、客户财务状况 该模块主要测试客户的财务状况:包含客户年龄、家庭年收入、可用于投资的收入比例等内容。年龄位于31-50岁之间,家庭年收入较高、可用于投资的收入比例越高的客户,财务状况较为理想。 对应题目为:1、2、3 对应分值合计为:20 二、客户投资经验 本部分主要测试客户的投资经验:通过客户从事风险投资(股票、基金、外汇、金融衍生品等)的年限以及此前所投资产品的类
别和比例来判断客户的投资经验。客户从事风险投资的年限越长,投资产品的种类越广,风险投资品所占比例越高的,投资经验越丰富。 对应题目为:4.5 对应分值合计为:20 三、客户投资风格 本部分主要反映客户的的风险偏好:通过测试客户对产品可能出现亏损的容忍度、对投资收益的预期以及对不同收益方式的选择,反映出客户的风险偏好。 对应题目为:6.7 对应分值合计为:20 四、投资目标 本部分主要测评客户的投资目标:包括客户对产品流动性的要求以及预计投资周期等内容。 对应题目为:8、9 对应分值合计为:20 五、客户风险承受能力 本部分通过测评客户可接受的投资亏损上限来直接测评客户的风险承受能力。 对应题目为:10 对应分值合计为:20 此次编订的《商业银行理财客户风险评估问卷基本模版》是中
作业危害辨识与风险评估方法 1.目的 1.1为作业危害辨识和风险评估提供操作技术参考,系统地识别作业过程潜在的风险和指导作业风险的有效控制。 1.2规定了作业活动过程的危害识别及其危害导致的风险评估方法,适用于作业过程风险及其控制措施的评估工作。 2.引用文件 《中华人民共和国安全生产法》第三十六条、第四十五条 3.定义 3.1危害:可能导致伤害或疾病、财产损失、工作环境破坏或这些情况组合的条件或行为。 3.2风险:某一特定危害可能造成损失或损害的潜在性变成现实的机会,通常表现为某一特定危险情况发生的可能性和后果的组合。 3.3风险评估:辨识危害引发特定事件的可能性、暴露和结果的严重度,并将现有风险水平与规定的标准、目标风险水平进行比较,确定风险是否可以容忍的全过程。 4.要求与方法 4.1区域内部风险评估 区域内部风险评估是对作业的危害辨识与风险评估,主要针对作业任务执行过程进行,目的是掌握危害因素在各工种的分布以及各工种面临风险的大小。评估结果应填写《区域内部风险评估填报表》,该报表有关项目填写要求如下:4.1.1工种:是生产活动中专业作业活动的分类。 4.1.2作业任务:指各专业涉及的工作任务类别。 4.1.3作业步骤:即作业过程按照执行功能进行分解、归类的若干个功能阶段。在分解作业步骤时避免划分过细,以免增加分析的工作量,一般按照完成一个功能单元进行划分。 4.1.4危害名称:执行每一步骤中存在的可能危及人员、设备和企业形象的危害的具体称谓。危害一般填写格式为“副词+名词或动名词”,如:“压力不足的车胎”、“有尖角的设备”等。 4.1.5危害类别:分为9大类,包括:物理危害、化学危害、机械危害、生物危害、人机工效危害、社会-心理危害、行为危害、环境危害、能源危害。 4.1.6危害及有关信息描述:对辨识出的危害,在本单位范围内进行普查,确定其存在的数量、位置、时间以及相关的化学或物理特性,即说明在执行同类作业任务时,该危害存在于哪些地方?有多少?什么时间会涉及到?该危害的可能重量、强度、长度等如何?
雷电灾害风险评估报告 专业: 学号: 班级: 姓名:
第一章雷击风险评估概述 雷击风险评估的概念 雷击风险评估是一项复杂的工作,要考虑当地的气象环境、地质、地理环境,建筑物的重要性,结构特点和其内部结构、外部邻近区域的状况等。雷击风险评估就是将所有考虑到的诸多因素如雷击点的地理环境,天气气候状况、建筑物的状况、入户设施状况、电气电子系统状况,实体活体状况等罗列出来,分级分类赋值,然后用和或积的算法将其集合,最后按其总的指数来确定风险总量,将总风险值与可承受的风险最大值进行比较,并进行经济损失估算,来确定是否需要和需要什么等级的防护工程的一套系统的、严密的、复杂的技术工作。 雷击风险评估主要分为项目预评估、方案评估、现状评估三种。 1、项目预评估是根据建设项目初步规划的建筑物参数、选址、总体布局、功能分区分布,结合当地的雷电资料、现场的勘察情况,对雷电灾害的风险量进行计算分析,给出选址、功能布局、重要设备的布设、防雷类别及措施、风险管理、应急方案等建议,为项目的可行性论证、立项、核准、总平规划等提供防雷科学依据。 2、方案评估是对建设项目设计方案的雷电防护措施进行雷电灾害风险量的计算分析,给出设计方案的雷电防护措施是否能将雷电灾害风险量控制在国家要求的范围内,给出科学、经济和安全的雷电防护建议措施,提供风险管理、雷灾事故应急方案、指导施工图设计。 3、现状评估是对一个评估区域、评估单体现有的雷电防护措施进行雷电灾害风险量的计算分析,给出现有雷电防护措施是否能将雷电灾害的风险量控制在国家要求的范围内,给出科学、经济和安全的整改措施,提供风险管理、雷灾事故应急方案。 雷击风险评估所依据的原则 1)保证雷电灾害风险评估所依据历史资料的完整性和可靠性。 2)保证评估现场资料的完整性和可靠性。 3)应认真调查被评估对象雷击史(如果有的话),并加以认真分析,根据以往雷击史分析的结果最容易判断出雷电灾害危险源、雷电引入通道以及防雷环节的薄弱处。 4)针对不同的评估对象,选择符合其适用范围的评估标准。 5)重视风险承担者的参与。风险对于不同的评估主体具有不确定性,风险评估应该考虑主体的风险偏好和承受能力。但涉及人身伤害和环境危害的除外。 6)评估报告中风险控制对策应考虑雷电防护的必要性和经济合理性,大多数情况下应进行费用分析,使防雷工程设计方案和设计参数的选择剧本高效、合理和可操作性。
公司风险评估管理办法 第一章总则 第一条为及时识别、监控公司潜在风险及其发生概率,确定公司风险承受能力及限度,认定该等风险所可能带来的损失,制订本办法。 第二条本办法中所指风险是与公司投资发展战略有关的各类风险,包括战略环境风险、程序风险(业务运作风险、财务风险、授权风险、信息与技术风险以及综合风险)和战略决策信息风险。 第三条本办法适用于公司以及公司下属各业务单元、子公司,要求每一位员工均应该具有风险意识。具体负责组织实施单位为发展战略部。 第二章风险评估管理组织体系结构 第四条公司发展战略部设立风险评估及管理小组,为公司风险管理领导机构,负责评估公司各类风险,协助总裁决策,消除危机,转嫁风险,以使公司获取生存发展的机会。 第五条公司各职能部门与业务单元、下属子公司应当在本办法的框
架下制订各自的风险评估管理办法,设立专人与发展战略部风险评估及管理小组沟通信息,汇报各自在运作过程中所出现的风险及其可能的解决方案。 第六条内部审计部门协助发展战略部审核公司风险,为风险审计监控部门,在其进行内审工作过程中所发现的各类风险应及时通报发展战略部从战略上研讨、评估该等风险,发展战略部与内部审计部密切合作,审核、监控并管理风险。 第七条发展战略部负责评估管理公司战略环境风险、决策风险及各类业务单元的财务、运作风险,并对该等风险提出具体的管理方案。 第八条经营财务部负责评估公司金融财务风险及公司经营管理风险状况,并向发展战略部通报提交有关风险评估文档。 第九条各业务单元、下属子公司及具体项目运作小组负责评估本单元(或项目)的财务风险、运作风险及其他综合风险,向发展战略部提交有关风险评估文档。 第十条技术管理部及首信研究院就公司整体发展战略的技术性风险、技术创新风险及技术管理中所存在的各类风险进行评估,提交相应文档至发展战略部。
危害识别及风险评价程序 1、目的 对与公司及所属部门从事的经营活动、作业过程、服务,以及设备、设施、 检维修、承包商、供应商的服务等有关的危害进行识别,并对它们进行准确的评价分析。确定其危害程度和影响范围,以便采取有效的控制措施,把风险降到最低的程度,确保安全健康的目的。 2、范围 本程序适用于公司所属部门的采购、生产、储存、装卸运输、设施、设备、检维修、施工、基本建设、供应、销售等业务活动以及可以施加影响的承包商、供应商的活动或服务。 3、职责 4、工作程序 危害识别及风险评价程序(见附图) 4.1成立危害评价小组 公司应成立有专业技术人员和操作人员参加的评价小组,所有评价人员需经过专门培训并有能力、资格开展职业安全健康环境的危害识别、风险评价和指导工作,同时各部门也应要求其他员工参与危害的确定。 4.2选择和确定评价范围和对象 评价小组应首先识别出从事的经营活动、作业过程、服务范围,包括采购、销售、生产、储存、运输、设施、设备、服务、检维修、消防、承包商、供应商的服务和设备,以及行政和后勤等活动的全过程。经营范围应包括从规划、设计、建设、投产和商品销售的全过程。所有可能导致重要的危害和环境影响的活动,
包括非常规活动、检维修等都必须充分得到识别。 在确定评价范围后,评价小组可按下列方法,确定评价对象:——按作业流程的各阶段; ——按区域或公司、部门、基层单位;——按设备、设施; 对所确定的评价对象,可按职能管理、作业活动进一步细分,以便对危害和环境影响进行全面识别和评价。同时应对工作活动的相关信息有所了解,包括: ——所执行的任务的期限、人员及该任务实施的频率、特点;——可能涉及到的设备、设施、机械、工具和器材;——用到或遇到的物质及物理形态(油料、烟气、蒸气、液体、粉尘、固体)和化学性质; ——工作人员的能力和已接受任务的人员的培训;——作业程序或作业指导书,包括特种作业任务的执证、上岗的相关制度和规定; ——发生过的与该工作活动有关的事故、事件。――与现场所有关的HSE法律、法规及标准。 4.3 选择危害识别方法评价人员应根据所确定的评价对象的作业性质和危害复杂程度,选择一种或结合多种评价方法,包括安全检查表(SCL)、工作危害分析(JHA)等各种识别方法的应用简介参照附录。 在选择识别方法时,应考虑:――活动或作业性质; ――工艺过程或系统的发展阶段;――危害分析的目的; ――所分析的系统和危害的复杂程度及规模;――潜在风险度大小; ――现有人力资源、专家成员及其他资源;――信息资料及数据的有效性;――是否是法律法规和其它要求。 各部门应制定安全检查表(SCL对作业环境、设备设施进行危害识别,对
附件13: 商业银行风险评估标准 一、全面风险管理框架的评估 1、商业银行应当建立完善的全面风险管理框架,全面、有效实施风险管理。全面风险管理框架应当包括以下要素: (1)有效的董事会和高级管理层监督。 (2)适当的政策、程序和限额。 (3)全面、及时的识别、计量、监测、缓释和控制风险。 (4)良好的管理信息系统。 (5)全面的内部控制。 2、商业银行董事会和高级管理层对全面风险管理框架的有效性负主要责任,根据风险承受能力和经营战略确定风险偏好,并确保银行各项限额与风险偏好保持一致。 3、商业银行董事会和高级管理层应具备全面风险管理所需的知识和管理经验,熟悉主要业务条线特别是新业务领域的运营情况和主要风险,确保风险政策和控制措施有效落实。 商业银行董事会和高级管理层应充分了解风险计量、风险加总的主要假设和局限性,确保管理决策信息充分可靠。 4、商业银行董事会和高级管理层应当持续关注银行的风险状况,并要求风险管理部门及时报告风险集中和违反风险限额等事项。
5、商业银行董事会和高级管理层应当清晰确定业务部门和风险管理部门的职责划分和报告路线,并确保风险管理部门的独立性。 6、商业银行应当完善与自身发展战略、经营目标和财务状况相适应的全面风险管理政策及流程,针对主要风险设定风险限额,确保限额与资本水平、资产、收益及总体风险水平相匹配。风险政策、流程和限额应确保实现以下目标: (1)完善全行层面和单个业务条线层面的风险管理功能,确保全面及时地识别、计量、监测、缓释和控制信贷、投资、交易、证券化、表外等重要业务的风险。 (2)确保风险管理流程能够充分识别主要风险暴露的经济实质,包括声誉风险和估值不确定性等。 (3)确保各层次风险管理职能的独立性,清晰界定银行各业务职能部门和风险管理部门的风险管理职责。 (4)确保清晰的报告职责和报告线路,便于各级管理层及时掌握违反内部头寸限额情况,并根据设定程序采取措施。 (5)确保对新业务、新产品的风险管理和控制。业务开办前,应召集风险管理、内部控制和业务条线等部门对新业务、新产品进行评估,以确保银行事先具备足够的风险管控能力。 (6)建立定期评估和更新机制,确保风险政策、流程和限额的合理性。 7、商业银行应当建立与全面风险管理相适应的管理信息系统体系,相关管理信息系统应具备以下主要功能:
平安证券个人客户风险评估问卷 尊敬的客户: 为了更好的了解您的风险偏好与风险承受力,我们设计了以下问题,请您在做出任何投资决定前,认真填写此问卷。 一、个人及财务状况评估 1.您理财投资的年限? A.10年以上——5分B.5-10年——4分C.2-5年——3分D.1-2年——2分E.1年以下——1分 2、您家庭的就业状况是: A:您与配偶(如有)均有稳定收入的工作——5分B:您与配偶(如有)其中一人有稳定收入的工作——3分C:您与配偶(如有)均没有稳定收入的工作或者已退休——1分 3.您曾或现阶段持有过哪些金融产品? A:股票/期货/外汇交易、信托、基金/投资连接型保险、银行理财、银行储蓄/国债——5分B:信托、基金/投资连接型保险、银行理财、银行储蓄/国债——4分C:基金/投资连接型保险、银行理财产品、股票/期货/外汇交易——3分D:银行理财产品、基金/投资连接型保险——2分E:银行储蓄/国债——1分 4、一般情况下,在您的家庭年收入中,可用作投资? A:50%以上——5分B:35%—50% ——4分C:25%—35% ——3分D:10%—25% ——2分E:0%—10% ——1分
二、风险偏好评估 5、假设您有100万元人民币建立投资组合,您会选择: A:低风险(如银行存款、国债、货币市场基金)占10%,中等风险(如银行理财产品、基金、投资连接险)占40%,高风险(信托、股票、期货及外汇交易等)占50% ——5分B:低风险占30%,中等风险占40%,高风险占30% ——3分C:低风险占60%,中等风险占30%,高风险占10% ——1分 6、假设您目前有100万元,有一个投资产品,有80%的可能盈利200%,同样也有80%的可能血本无归。您会投资多少? A: 100万——5分B: 80-50万——4分C: 30-50万——3分D: 10-30万——2分E: 0-10万——1分 F : 0 ——-1分 7.您的投资理财目标是: A.资产迅速成长——5分B.资产稳健成长——3分C.避免财产损失——1分 三、风险承受力评估 8、根据您以往投资的经验,当有30%的可用资金被分配到高风险的股票或是其他不确定收益的项目中时,您通常: A:不太在意、较少关注——5分B:比较在意、经常关注——3分C:非常在意、频繁关注——1分 9.假设您有一笔庞大的金额投资在有价证券中,并且在短期内该投资呈现三级跳的跌幅———比如说:一个月下跌了20%,您是否感到压力,压力多大? A.没有任何压力,且增加投资金额——5分
风险评估标准 目的 建立风险评估标准的目的在于为IT 安全解决方案提供依据和参考 适用范围 适用于公司所有IT 安全的风险分析和评估。 1. 《Information technology - Security techniques -- Evaluation criteria IT security 》ISO/IEC15408-3 2. 《计算机信息系统安全保护等级划分准则》GB17859-1999 定义 保密性(confidentiality): 使信息不泄露给非授权的个人、实体或进程, 不为其所用 完整性(integrity): 信息系统中的数据与在原文档中的相同,未遭受偶然或恶意修改/ 破坏时所具有的性质;或者信息系统中的系统不能被非授权破坏或修改的性质可用性( Availability): 被授权实体所需的资源可被访问与使用,即攻击者不能占用相关资源而阻碍授权者的工作 抗抵赖性(repudiation): 防止在通信中涉及到的那些实体不承认参加了该通可审查性:有依据、有手段地对出现的信息安全问题提供跟踪和调查
内容 安全风险评估的基本步骤 确定需保护的资源,找出该资源的安全弱点和可能有的安全威胁,得出安全风险等级。然后列举可采取的降低风险的对策,直至风险减小至安全需求允许的范围。下图显示了风险评估中的各要素和工作步骤的关系: 凤险评估过程图 明确需安全保护资源 评估脆弱性,包括: 1. 场所安全 2. 安全流程 3. 系统安全 4. 网络安全 5. 应用安全 评估威胁 列举安全对策 损失评估
确定风险等级 细则 明确需安全保护资源 1. 网络设备:交换机、路由器、HUB网络布线等 2. 计算机设备:个人计算机、便携机、网络服务器、文件服务器、工作站等 3. 存储介质;软盘、硬盘、磁带、光盘、MO? 4. 软件:操作系统、数据库、工具软件、办公平台软件、开发用软件等 5. 网上应用系统:EMail 系统、In ternet Proxy 服务、Notes 系统、MRPII、SAP HR WWWFTP等 6. 网络服务:DNS DHCP WINS网络路由服务等 7. 数据资料:电子文档、数据库等 评估脆弱性 使用最好的测试工具和技术、使用不同的工作方法,对公司的整体资源系统的安全进行评估和审查(从技术和管理两方面),找出存在的安全隐患。 1. 场所安全评估 1) 对公司场所安全评估,信息安全监控须包含硬件监控。 2) 对公司信息安全部安全措施及相关文件评估,包括:场所安全、存储介质安全、硬件安全、紧急事故处理和信息保护等。 3) 分析公司安全标准并与业界最佳实践标准进行比较。 4) 总结安全措施优缺点及措施实用性。 2. 安全流程评估 1) 评估公司的安全管理流程的效率及效用,评估查安全信息保障系统是否真正保护了至关重要的业务信息,评估管理流程和安全技术是否同时在各方面发挥作用。 2) 针对已有的信息安全标准或规则,通过相关安全接口人员了解情况,审查各监控环节以确认该环节能够履行监控职责。 3) 对各环节中所使用的IT安全监控系统评估:安全决策,组织结构,硬件监 控,资产评估及控制,系统安全监控,网络和计算机管理,业务连续性,应用程序发展和维护,以及服从性。
危害识别和风险评价程序1目的 为了规范公司所属范围的经营活动、服务,以及设备设施、相关方的服务和设备等的危害识别,风险评估的过程,以便采取有效或适当的控制措施,实现持续改进公司HSE绩效。 2适用范围 本程序适用于公司所从事的化工石油、房屋建筑、市政工程、公路工程、电力工程等的监理及经营管理活动。 3职责 综合部:本程序的管理部门,负责本程序的制定、修订及解释。负责组织在公司范围内进行危害识别和风险评估,制订公司的重大危害因素清单,监督落实风险控制措施。 总监:负责组织监理活动前因地制宜开展危害识别和风险评价工作;实施组织本项目部监理过程中危害识别和风险评价工作。 所有员工:提供基础信息,参与本岗位危害和影响的确定,做好预防控制工作。 4工作程序 危害识别及风险评估流程,参照附录1)。 风险评价的组织 1)开展项目监理活动前,由总监负责组织,因地制宜的开展危害识别和风险评价工作。 2)对于重大的工程,应由公司总经理组织公司有关部门、总监开展危害识别和风险评 价工作。 3)风险评价的组织者应任命HSE监理工程师为评价组组长,并授权负责风险评价的全 过程; 评价小组成员应具备必要的HSE专业技术知识,具备与风险评价相关的技巧和能力;评价时尽可能使操作人员参与,提出建议。 选择和确定评估范围和对象 评估小组应首先识别出所监理项目的经营活动、施工作业过程,包括设计、改扩建施工、安装、设备、检维修、消防、合约商的服务和设备,及项目监理部的行政和后勤等活动的全过程。在确定评估范围后,评估人员可按下列方法,确定评估对象: 1)按作业流程的各阶段; 2)按区域; 3)按设备、设施; 或上述方法的结合。
反洗钱风险评估及客户分类管理办法 第一章总则 第一条为预防洗钱和恐怖融资活动,建立有效的客户风险管理体系,根据《中华人民共和国反洗钱法》、《非金融机构支付服务管理办法》、《金融机构大额和可疑交易报告管理办法》、《支付机构反洗钱和反恐怖融资和反恐怖融资管理办法》等法律、规章制度的规定,制定本实施细则。 第二条本实施细则所称的风险是指洗钱风险,即因未能遵循反洗钱法律法规或监管要求,客户尽职调查措施薄弱,未能觉察或报告涉嫌洗钱的行为而卷入洗钱案件所带来的各类声誉风险、法律风险和经营风险。 第三条反洗钱客户风险等级评定是指机构根据客户身份、风险等级分类标准,对客户按照高、中、低风险等级进行分类,目的是根据客户不同的风险等级采取不同的识别和监控措施,切实防范洗钱风险。 第四条客户风险等级评定的范围包括预付卡的发行和受理。 第五条反洗钱客户风险等级管理应遵循以下原则: (一)审慎性原则。客户风险等级评定对防范洗钱风险有重要意义,必须充分了解客户,提高对客户身份的识别能力,严谨地进行客户风险等级评定。 (二)风险相当原则。应依据风险评估结果科学配置反洗钱资源,在洗钱风风险较高的领域应当采取强化反洗钱措施,在洗钱风险较低的领域可以采取简化反洗钱措施。 (三)全面性原则。应全面考虑客户及地域、业务、行业(职业)等方面风险状况的基础上,科学合理地为每一位客户确定相应的风险等级。 (四)同一性原则。应建立合理的客户风险等级划分流程,引导不同不同条线(部门)参与客户风险评估工作,最终确定同一客户唯一的风险等级。 (五)动态管理原则。应定期或不定期故居客户尽职调查情况,及时调整客户风险等级及风控措施,确保客户风险等级符合实际情况。 (六)自主管理原则。经评估认定后,认定自行确定的风险评估标准或风险控制措施的实施效果不低于《金融机构洗钱和恐怖融资风险评估及客户风险分类管理指引》或其中某项要求的,可作出不遵循《金融机构洗钱和恐怖融资风险评估及客户分类管理指引》或其中某项要求决定,但应书面记录评估论证的方法、过程及结论,以备核查。
应收账款客户风险评估体系的建立与 完善分析 1
2
内容提要 伴随市场经济的发展,市场竞争愈演愈烈,赊销已成为企业间扩大销售、占领市场的重要手段,因而就产生了大量的应收账款。有调查显示,近年来中国应收账款的情况已有明显改进,各行业平均应收账款周转天数逐年降低,但这一指标与发达国家相比仍有较大差距,中国大多数企业尚缺乏系统规范的信用管理。 本文介绍了中国应收账款的现状,进而分析了应收账款产生的原因,主要在于企业的管理理念与管理方法上存在问题,如企业为应对市场竞争而盲目赊销产品,缺乏商业信用意识和法律观念,没有系统的信用管理标准和工具等。 本文以建立中小企业客户信用评估及管理体系为目标,从中小企业营销的角度出发,为中小企业提供一套客户信用评估及管理的理论和可操作的方法,使中小企业能够及时采取预防措施,加强客户信用管理,尽量减少因其客户信用缺失而造成的经济损失。 本文的研究方法主要采用定性的方法对中小企业客户信用评估和管理进行了一些探索性的研究。期望对解决应收账款问题有所帮助。 关键词:应收账款信用风险 5C 信用评估体系
目录 一、应收账款风险的形成原因以及影响因素 (1) (一)应收账款风险的形成原因 (1) (二)应收账款风险的影响因素 (1) 二、应收账款信风险评估体系的组成内容 (3) (一)”5C”的企业信用评价指标体系建立 (4) (二)建立基于”5C”的客户信用评价信息库 (4) (三)企业信用指标评审体系.............................. . . . . . . . . . . . . . . .8 (四)企业信用风险等级评定 . . . . . . . . . . . . . 11 三、应收账款客户风险控制的环节 (13) (一)签约前风险的控制侧重于客户选择 (13) (二)签约风险的控制应侧重于科学管理决策 (14) (三)履约风险的控制应侧重于加强监控力度 (14) 四、应收账款客户风险控制存在的问题 (14) (一)客户信用意识淡薄 (14) (二)信用法制不健全 (15) (三)中小企业未建立、健全完善的客户信用管理体系 (15) 五、对策和建议 (15) (一)企业客户信用调查管理程序的建立 (15) 1