时间:2023-11-21 11:13:37
序论:在您撰写风险评估与管理时,参考他人的优秀作品可以开阔视野,小编为您整理的7篇范文,希望这些建议能够激发您的创作热情,引导您走向新的创作高度。
一、引言
2010年美国公众公司会计监督委员会(Public Company Accounting Oversight Board,PCAOB)通过了新的审计准则(审计准则第8号至第15号),以规范审计师对审计风险的评估和反应。目的是监督公众公司的审计师编制信息量大、公允和独立的审计报告,以保护投资者利益并增进公众利益。在PCAOB此次行动之前,不断有人发出强烈的信息,让审计职业人员在风险管理中扮演更积极的角色。而且PCAOB早在两年前就已经提出了实施具体风险评估准则的信息,这些准则旨在解决从最初计划到结果评估的审计过程问题。这些新准则是在审计促进成熟风险评估中非常重要的一步,可以把审计师未能发现的重大错报事故风险降到最小。PCAOB执行主席丹尼尔・格尔泽尔说一旦这些标准被采用,在审计财务申明中发现,适当计划以及实施审计以解决这些风险问题以增强投资者的信息是非常重要的。这些审计标准包括:审计风险、审计计划、审计参与监督、计划执行审计中的思考、重大错报事故的确认与评估、审计师对重大错报事故的回应、评估审计结果以及审计证据。它们贯穿了从初始计划阶段到审计结果评估的整个审计流程。PCAOB主席丹尼尔・高泽(DanielL,Goelzer)说:这些新准则的出台意味着在促进精密的审计风险评估与将审计人员未能发现重大误报的风险降至最低方面迈出了重要一步。识别风险,并通过正确地审计计划和开展审计活动来应对风险,对于提升投资者对经审计财务报表的信心是至关重要的。
二、风险评估、企业风险管理与审计风险
(一)注册会计师风险评估 风险导向审计的核心是审计风险,任何审计业务都必须将审计风险控制在可接受的风险水平内。因此风险导向审计要求注册会计师加强对被审计单位及其环境的了解,在审计的所有阶段都要实施风险评估程序,并将识别和的评估的风险与实施的审计程序挂钩,而且要求针对重大的各类交易、账户余额和列报实施实质性程序,可以说风险评估程序是风险导向审计模式落实到审计工作的核心环节,风险导向审计下审计风险模型如下:审计风险=重大错报风险×检查风险。审计风险是指财务报表存在重大错报而注册会计师发表不恰当审计意见的可能性。重大错报风险是指财务报表在审计钱存在重大错报的可能性,检查风险是指某一认定存在错报,该错报单独或连同其他错报是重大的,但注册会计师未能发现这种错报的可能性。注册会计师合理设计审计程序的性质、时间和范围,并有效执行审计程序,以控制检查风险。注册会计师采取以下方法展开审计工作:(1)注册会计师应当针对财务报表层次的重大错报风险置顶总体应对措施;(2)注册会计师应当针对认定层次的重大错报风险设计和实施进一步审计程序,包括测试控制的执行有效性以及实施实质性程序;(3)注册会计师应当评价风险评估的结果是否适当,并确定是否已经获取充分、适当的审计证据;(4)注册会计师应当将实施关键的程序形成审计工作记录。我们发现,注册会计师以针对评估的财务报表层次重大错报风险为起点,确定总体应对措施,并有针对评估的认定层次重大错报风险设计和实施进一步审计程序,以将审计风险控制在可接受的低水平。风险导向的核心是审计风险,控制审计风险的关键是风险评估程序,另一方面,企业必须准确地评价和有效地管理各项与企业成功息息相关的风险。管理层不但需要准确地了解各项业务风险以及不良控制的后果,并且能够根据所确认风险的残余影响的轻重程度分配资源和关注程度。所以注册会计师的风险评估将有利于企业的风险管理。
(二)企业的风险管理 每个企业在经营中存在各种风险,而我们这里讨论的企业风险管理中的风险概念与金融市场的风险概念有所不同,当然金融风险也是企业(特别是金融类企业)面临的风险之一,企业风险就是企业面临的可能导致企业亏损的各种不确定性事件,降低企业的价值。所以风险管理需要做的就是尽量避免这种不确定性事件的发生,或者是降低不确定性事件发生后对企业造成的损失。企业风险管理包括四个环节:风险识别、风险评估、风险应对、风险监察。第一,风险识别是指尽力识别可能对企业取得成功产生影响的风险,包括整个业务面临的较大的风险,以及与每个项目或较小的业务单位关系的风险,识别潜在风险可以认识到企业面临的各种风险类型,而且风险识别程序应该在企业内的多个层级得以执行,这与注册会计师的风险评估贯彻于整个审计过程一样。第二,风险评估是在识别了各种风险后,对风险的的性质、风险的类型、风险的发生频率等进行评价,这种评价最主要分为两方面,一个是影响,另一个是可能性,企业可能还会采用敏感性分析或者决策树等方法对风险的性质进行全面的认识。这与注册会计师的风险评估相似,不过更加具体、全面。第三,风险应对是指对上述评估的风险采取相应的措施,以避免该风险对企业产生的损失,风险应对的策略包括风险降低(如分散投资,就是一种降低风险的措施),风险消除(使得该风险事件发生的概率降低为零),风险转移(将风险的后果采用保险、合同等方式转移出企业),风险保留(定期风险复核、控制风险情境)。第四,风险监察是指企业监测目标的实现过程,关注新的风险和相关损失,企业需要对风险进行监察,并在需要时不断作出调整。风险检查者定期检查正在发生的亏损,以了解他们的控制建议得以实施,并设计过程来改善风险管理的过程,制定一项战略来应对出现的新风险。
(三)风险评估与经营风险、审计风险 企业的风险识别是风险管理的第一步,是指对企业面临的,以及潜在的风险加以判断、归类和鉴定风险性质的过程。企业的风险一般可以分为两类:系统风险和非系统风险。系统风险是由公司之外的各种因素引起的,如战争、经济衰退、通货膨胀、高利率等与政治、经济和社会相联系的风险,是不能通过多元化投资而分散的,因此又称作不可分散风险或市场风险。非系统风险也被称作可分散风险,它是由公司本身的商业活动和财务活动带来的,如企业的管理水平、研究与开发、消费者需求的改变、市场营销风险以及法律诉讼等,其可以通过多元化投资组合而分散,是公司特有的风险。而现代风险导向审计将风险评估、风险应对与审计程序联系起来,这就使得注册会计师审计不仅仅是出具审计报告的鉴证业务,也可以起到促进企业风险管理的作用,注册会计师审计过程中必须进行风险评估,风险评估的过程是为了能够获得尽可能准确的财务报表重大错报风险信息,以控制审计风险,企业风险管理的过程是为了控制企业经营风险,从审计风险与企业经营风险的关系,我们发现:其一,风险评估是指评估被审计单位风险,评估的过程是企业风险管理中的一个环节,所以在性质上他们具有相似性。其二,风险评估的程序包括:了
解被审计单位及其环境、了解被审计单位的内部控制等,而风险管理也需要进行这些工作,方法包括:观察、检查、分析程序,穿行测试等。风险评估。其三,风险评估的目的相同:对于注册会计师而言,风险评估的目的是为了了解被评估的财务报表重大错报风险,并且制定风险应对措施,有效地实施审计程序;对于企业而言,风险评估的目的是为了控制企业的风险点,防止企业出现亏损的不利情况而实现企业价值增值。风险评估使企业考虑潜在事项如何影响目标的实现。管理当局应从两个角度对事项进行评估:可能性和严重程度,并且通常采用定性和定量相结合的方法。在不要求定量化的地方,或者在定量评估所需的可靠数据无法取得或获取和分析数据不具有成本效益时,管理者通常采用定性评估技术。定量技术精确度更高,通常应用在更加复杂的活动中,以对定性技术进行补充。评估风险时既要考虑固有风险,也要考虑剩余风险。固有风险是管理当局没有采取任何措施来改变风险的可能性或影响的情况下,一个企业所面临的风险。剩余风险是在管理当局应对风险后所残余的风险。审计中注册会计师更多关注的是审计风险以及企业的经营风险,但是对于企业其他风险管理(如制度风险管理、法律风险管理)考虑不足,当然这是注册会计师收益成本分析后的结果,但是注册会计师必须区分企业经营风险与审计风险,经营风险是指实现不了经营目标和战略的可能性,经营失败是经营风险的扩大化,指企业由于经济或经济条件的变化而无法满足投资者的预期,经营失败的极端情况是申请破产。诚然企业经营失败可能使得注册会计师面临审计诉讼,经营风险与审计风险有一定的相关性,但风险导向的核心是审计风险,而不是企业的经营风险。
三、注册会计师风险评估与企业风险管理关系
(一)二者时间发展顺序 环境变化促使越来越多的企业实施全面风险管理,也促进了风险导向审计的发展:从20世纪90年代开始,随着新的科技技术和经济全球化带来企业组织结构虚拟化、集约化、专业化及扁平化等新的商业特征,许多跨国公司开始实施全面风险管理方法,一些国际咨询公司和会计师事务所也开始运用这一概念并将其同咨询或审计业务相结合。全面风险管理体系正在随着企业治理的完善而越发受到重视,风险管理的概念逐步引入到我国的企业中,使得我国企业的风险管理工作纳入了公司治理的范围。2004年9月,COSO了《企业风险管理框架》。该框架是在《内部控制――整体框架》报告的基础上,结合《萨班斯――奥克斯法案》在报告方面的要求,明确提出企业风险管理是由企业董事会、管理层和其他员工共同参与,应用于企业战略制定,以及企业内部各层次和部门,用于识别可能对企业造成影响的事项,管理风险为企业目标的实现提供合理保证。同时该框架还指出:企业风险管理框架由内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控八个相互关联的要素构成。这也奠定了企业风险管理系统的组织模式。风险导向审计的发展也与全面的风险管理系统构建同步,2003年10月,国际会计师联合会下属的国际审计准则委员会了三个新的国际审计风险准则,并从2004年12月15日或之后开始的期间财务报表审计起执行这三个新准则。2004年10月,中国注册会计师协会根据国际审计准则的最新发展,对已修订的四个新审计风险准则在全国范围内征求意见,并且于2007年1月1日开始实施。风险导向审计已经深入了我国审计的实际工作,为审计业务的展开提供了指引。
(二)二者业务性质相互影响 全面风险管理为现代风险导向审计风险评估提供了更好的基础为了评估客户是否有效地监督和控制了其战略风险及其他经营风险,注册会计师必须识别、收集和处理大量与客户经营活动相关的证据。当企业没有实施全面风险管理时,收集这些证据即使在理论上是可行的,但为此付出的成本对注册会计师而言也常常是不经济的。注册会计师的风险评估程序对企业风险管理有以下益处:(1)了解企业的外部环境风险以及内部控制成为风险评估的重要组成部分,注册会计师也将公司内部控制的有效性作为风险应对的考虑因素。所以注册会计师关于企业内部控制的评价将为企业的风险管理提供建议。(2)注册会计师在实施控制测试与实质性测试时,会将交易的内部控制目标与关键内部控制联系起来,然后将测试的结果与风险评估的结果进行对比,这将有助于公司相关交易所涉及人员在业务流程中履行好自己的职责,注册会计师审计可以起到监督作用,发现企业内部控制的风险点。企业风险管理对注册会计师的风险评估有以下益处:第一,企业风险管理的完善性与企业内部控制系统有着很强的相关性,所以如果企业建立了一整套风险管理的体系,那么注册会计师的风险评估程序就会减少程序,因为风险评估在整个审计过程中的验证过程都是可靠的。第二,企业风险管理的方式与注册会计师风险评估。企业全员参与风险管理,从整个企业组合的角度实施风险管理,增强了企业风险管理的有效性,注册会计师能够在更大程度上信赖企业的全面风险管理,实施风险评估。第三,企业风险管理系统的完善性越不好,注册会计师所涉及的这部分程序设计需要越谨慎,而风险评估程序后提出建议的边际贡献越高,这二者之间的交互作用就在于风险评估程序是对风险管理的一种再监察。
(三)二者存在的不同 当然二者存在着以下区别:注册会计师风险评估更多是对内部控制有效性的评估,这种评估是因为审计的效率所决定的,而企业的风险管理需要覆盖企业的整体层面和各个业务流程,所以我们注册会计师的风险评估结果对于企业而言是一种参考,注册会计师的风险评估只是对内部控制水平高低的一个评价,这并不能完全说明企业风险管理的有效性。注册会计师可以通过对企业内部控制系统有效性评价来评估客户监督和控制其战略风险及其他经营风险的情况,如果仅仅是审计过程,注册会计师不需要提出风险管理改进建议,他们评估的财务报表重大错报风险只是为了控制检查风险,进而控制审计风险。所以注册会计师审计过程的风险评估与企业风险管理过程中的风险评估目的相似,但企业风险管理的目的和注册会计师的风险评估还是存在不同。
四、企业风险管理及风险评估路径
(一)风险评估报告与企业风险管理 (图1)呈现了风险导向审计的框架,风险导向审计最大的要点就在于实施基本审计程序前的风险评估。而且后来的审计程序结果会不断检验风险评估的结果,不断地修正与调险估计水平,在整个审计过程中都需要进行风险评估过程,所以注册会计师可以在审计完成后形成风险评估的最终结果,形成风险评估报告,以评价内部控制的有效性及风险管理控制的水平。该报告可能涉及内部环境、企业风险评估、风险反应、控制活动、信息和沟通、监控等要素,对企业内部控制的测试结果进行一个总结性陈述,形成风险评估报告。风险评估报告作为风险导向审计阶段性成果在审计完成后反馈给被审计客户,以帮助被审计客户进一步完善内部控制水平,但我们必须意识到:风险评估报告不是审计报告的子报告,风险评估报告仅仅为被审计单位进一步提高内部控制水平而用,而非鉴证报告,注册会计师不需要提供保证。
(二)风险评估报告与信息系统风险管理 注册会计师评价内部控制有效性的要求里就包括了评价信息系统的有效性,所以注
一、企业风险管理概述
企业风险管理有八个组成要素:目标设定、风险识别、风险评估、风险对策、控制活动、信息与沟通、监督,内部环境.下面对其前四个方面的因素着重进行阐述:
[1]目标设定,即是在1960年之际,有国外的代洛克发现并且提出了相应的理论,它的内容是叙述具有一个向前的目标是完成某个事情的源泉和动力,所以可知,倘若确定了目标,就会增加靠近成功的几率,当一个具有挑战性的目标被大众认可并完成以后,取得的价值是非常可观的。
[2]风险识别是指在企业发生亏损,出现差错之前,企业的管理人员根据自己以往的经验以及相应的设备等辨识出对企业的威胁的因素以此来协助和维护企业达到既定目标的安全。这主要包括感知以及分析风险两个方面。
[3]风险评估
从企业的相关资源的安全角度来分析可知,风险评估主要是对企业内部的资料进行相应的分析,评估风险的来源和对企业的危害度,企业进行风险管理的前提,风险评估是企业保证其内部资源具有高的安全系数的主要措施,它将归类于资源的安全管理这一企业经营体系中。
二、企业开展风险评估的过程分析
国家政府部门在2006年之际就已经出版了《企业全中央面风险管理指引》这一条款,其中的一条项目《指引》里面的主要内容就指出了,每个企业或者公司都应该对保存关于风险管理方面的一些相关资料以及企业不同的项目管理业务过程开展一些针对实际情况的风险评估。对于这些方面的风险评估,企业就采取了三个方面的阶段和内容,首先是风险辨识,其内容主要是包含了和辨清企业开展什么项目或者进行什么措施会严重阻碍企业的发展,从而产生风险。话句话说的就是对于企业的各个生产流程,部门管理流程和相关的业务流程以及公司的一些日常事务活动进行认真地检查和评估,辨别其中是否具有风险性以及具有的这些风险内容的症状在哪里,其次,对企业进行风险分析,这主要就是为了确定企业能否产生风险以及分清风险的特点。换句话说就是根据相关的风险具有的特征对这些风险进行分门别类的定义,并且辨别其相关的风险度和产生这些风险的原因和条件。最后,对企业进行风险评价,风险评价也是极其重要的一个方面,即是预测企业的某个流程产生了风险之后会对企业造成什么样的影响,换句话说就是风险评价对企业来讲起着相当重要的作用,可能会了解到风险在企业实现其自身的目标方案中的影响程度等。
三、企业进行风险评估的重要性
任何企业都具有一定的风险性,并且企业的风险性也是不可避免的,风险评估是事实内部控制的重要环节,所以就要加强企业的风险评估,让企业的损失降到最低化,另外,在企业内进行风险评估还可以加强企业的管理人员与上级领导和企业员工之间的警惕风险的意识,而且还能够让全体员工能够懂得各司其职,加强企业的风险评估能够对企业的生产经营过程中出现的问题及时解决,防止其影响企业的既定目标,造成企业的正常营运处于瘫痪状态,由此企业加强风险评估是最有效也是最直接的提高企业的经济的途径。
四、企业进行风险评估的策略
3.1控制活动策略
在企业的相关管理部门在察觉这种风险,并且将这种风险的影响程度进行了了解和清晰的分析之后,就可以对企业存在的这种风险着手加派人手研究相应的解决措施。这里的控制活动主要是针对管理阶层而言,主要就是为了让相关的管理人员在发现企业有了某些风险之后能够及时的发出响应的指令,防止一些人员不停派遣和调岗的情况出现,相当于是授予管理人员的某种权利,这就包括了“核准、授权、验证、调节”等等一系列的过程,控制活动的最大的作用就在于保障企业的既定目标能够不够风险的影响,并且能够顺利的完成或者达到企业的既定目标。
3.2完险管理体系
全面风险管理是对整个机构内各个层次,各个种类风险的通盘管理。对企业实施全方位的整体风险管理不仅可以使企业的整体员工合作协调起来,让企业内部数据之间deep收集、测量、处理三者有机的站在一条水平线上,能够更好的协助企业的内部的审计以及监督。并且企业的相关上级领导以及相关的管理人员务必分清从整个企业的发展出发,分清其中的利与弊,使得各部门的领导安排的相关程序都能够及时的落到实处,其次有效、及时、准确的报告制度对于企业来讲也是非常重要的,这就需要尽快恢复其现有的报告缺陷,保证企业的内部信息畅通,即当企业的内部环境方面出现了某一方面的风险和错误时,就应该及时的上级领导挥或者部门报告,以便让其能够尽快得到解决,恢复正常的运营秩序。
3.3建立健全财务危机预警系统
企业财务预警机制系统是为防止企业偏离正常经营轨道而建立的报警和控制系统,它以企业信息化为基础,利用数据化管理方式,通过对各种财务数据资料的分析,对企业经营管理活动中存在的财务危机及早警示,对潜在财务风险进行实时监控,为经营决策提供可靠依据。
建立财务危机预警系统,可对财务运营过程进行监控、预测,及早发现财务危机信号,在其萌芽阶段采取有效措施进行预防和控制,避免情况恶化造成更大的损失。
3.4设计一套科学的内部控制行动指南
1、在机构内部广泛开展“深化内控理念,落实内控措施”的创建活动,结合自身情况及上级单位的要求,通过确定风险控制环节,分解、落实机构内各部门、各岗位管理职责,并对控制状况进行检查、评价和考核,强化风险管理责任,提高全员风险防范的意识和能力,从而全面有效地控制经营风险。设立一套科学的内部控制行动指南,为管理者进行内部控制有效性评价提供指引也是当前急切需要解决的问题。并且要在内部相应的部门实施相应的个人评估策略,即在企业实施的长时间的监督过程中,在一般情况下,企业最好是聘请相应的专业人员对其进行评估,以此来监督企业内部控制的实施有效性,这些是对长效监督控制的一系列评估
关键词 雷击风险评估;管理系统;系统开发;雷击风险评估工具
中图分类号P429 文献标识码A 文章编号 1674-6708(2011)41-0053-02
0 引言
国外已逐渐形成一套完整的雷击风险评估体系,制定了多项防雷技术标准和评估方法。在美、英、德等多国也都开发出了相应的雷击风险评估系统。但这些风险评估系统参考的标准技术方法比较复杂,结构庞大,而且大都建立在国外防雷工作经验基础上,没有能考虑到中国广袤大地的情况差异以及中国的国情,因此其体系和相应的评估系统只能被我们借鉴参考、学习,不适宜完全照抄照搬或全盘引用。目前在国内符合国家标准和评估规范的评估系统相对缺少尚且不够成熟。
《雷击风险评估管理系统》遵循最新颁布的雷击风险评估规范――《雷电防护第2部分:风险管理》GB/T 21714.2-2008 ,采用C#语言,结合国家气象局已组建的闪电监测预警网、谷歌GPS卫星定位地图等系统,建立起一套完善的雷击风险评估管理系统。该系统能实现雷击风险评估过程科学化、计算过程自动化、计算结果客观化。界面简洁、操作简单的系统,统一化的评估技术报告不仅提高了雷击风险评估工作的效率,还利于在各地区开展雷电风险评估工作。雷电风险评估系统的先进性和技术报告的严密科学性可以在全国范围内推广。
1 雷击风险评估管理系统功能模块和主要功能说明
《雷击风险评估管理系统》遵循规范的基础,结合实际风险评估工作的业务流程和特点设计,整个系统划分为方案管理、系统工具、文档管理、用户管理4个主要模块。
1.1 方案管理
1)原始评估记录:用户将要进行风险评估的对象的具体勘测数据如实记录入系统。对评估对象建立相应存储空间,并在需要时调出这些数据作为评估、对比等用途;
2)方案设计:对一个项目进行多种类型的风险评估,如单独对人身伤亡损失风险R1、公众服务损失风险R2、文化遗产损失风险R3、经济损失风险R4 进行评估,也可以对其任何一种组合进行风险评估;
3)效益分析:自动化生成的风险分量百分比的表格,各种风险所占总风险的百分比一目了然;提供了多种(最多3种)防雷整改方案的评估,并与原始评估结果对比,智能经济损失风险评估,自动判断采取的防雷整改方案是否合理。
1.2 系统工具
1)GPS定位地图:连接Internet,轻松找到被评估对象经纬度;
2)中国雷电监测预警网:多种方式实时查询全国各地雷电状态,显示详细的雷电资料和密度分布图;
3)中国防雷资料网:评估过程中随时查到所需技术资料;
4)雷电资料导入:将国家雷电监测预警网实时雷电资料数据导入系统;
5)字典维护:对风险评估过程涉及参数进行维护;
6)数据库维护:对当前系统所连接的数据进行备份或恢复操作。
1.3 文档管理
1)雷击风险评估报告模板:雷击风险评估报告模板;
2)雷击风险评估协议书 :雷击风险评估协议书。
1.4 用户管理
1)系统登录模块:负责验证各种用户身份,根据不同的用户权限决定其管理内容;
2)权限设置模块:此模块只有管理员才有权限,管理员可以根据情况对各栏目的属性进行基本的设置。
2 雷击风险评估管理系统的的实现技术
2.1 Client/Server 模式
C/S模式又称为客户机/服务器模式,是90 年展起来的一种主/从结构的分布式处理环境,它的特点是将应用分解为两部分:客户进程(Client Process)和服务进程(Server Process),即前台和后台。客户进程与用户打交道,一般运行在Microsoft Windows提供的GUI (Graphic Unit Interface)下;服务进程与数据库打交道,一般通过SQL(Structured Query Language)查询语言实现,前端是对用户的界面,后端是对数据库的处理。这种对信息分布式处理的模式大大减少了网间数据的传输量,处理速度快,并能高效实现资源共享。其结构如下:采用Client/Server 结构,Client 端只要将请求发给Server 端,而Server端在处理完请求之后,只是把结果返回给Client 端。实际上在网络传输的只有SQL 语句和结果数据。同时,Client 负责友好的界面与用户交互。而Server 专门负责数据库的操作、维护,提高了整个系统的吞吐量和响应时间。
2.2 数据管理系统SQL Server2005
Microsoft SQL Server2005 是由一系列相互协作的组件构成,能满足最大的Web 站点和企业数据处理系统存储和分析数据的需要。SQL Server2005 的客户/服务器提供了许多传统主机数据库所没有的先进功能。数据访问并局限于某些已有的主机数据应用程序。SQLServer2005 的一个主要优点就是与主流客户服务器开发工具和桌面应用程序紧密集成。可以使用许多方法访问SQL Server2005 数据库。
SQL Server数据库体系结构的核心是服务器,即数据库引擎。SQL Server 数据库引擎负责处理到达的数据库请求,并把相应的结果反馈给客户端系统。SQL Server 充分利用了可设置优先权的多任务、虚拟内存和异步I/O 功能。SQL Server 数据库引擎可在多线程内核上创建,这样在处理多个事务的时候可获得较高的性能。它包括的支持开发的引擎、标准的SQL语言、扩展的特性(如复制、OLAP、分析)等功能,以及像存储过程、触发器等特性。
SQL Server2005 数据库系统的服务器负责创建和维护表和索引等数据库对象,确保数据完整性和安全性,能够在出现各种错误时恢复数据。SQL Server2005 的客户端可完成所有的用户交互操作,将数据从服务器检索出来后生成副本,以便在本地保留,也可以进行操作。
由于SQL Server200_5 的强大功能,特别是其全文检索功能,支持从纯文本到二进制数据的检索,如 WORD 文档、EXCEL 电子表格等等,其文本性数据类型支持量相当庞大,因此系统中主要利用SQL Server 进行文本保存,方便查询和检索,同时为进一步扩展其功能奠定基础。
2.3 面向对象系统开发方法
面向对象(OO,Object Oriented)的系统开发方法,是近年来受到关注的一种系统开发方法。面向对象的系统开发方法的基本思想是将客观世界抽象地看成是若干相互联系的对象,然后根据对象和方法的特性研制出一套软件工具使之能够映射为计算机软件系统结构模型和进程,从而实现信息系统的开发。
3 结论
《雷击风险评估管理系统》的设计遵循最新颁布的雷击风险评估规范,结合评估工作的业务流程和特点,依据被评估对象的数据自动计算出评测结果,并提供多种措施方案对比可对其进行经济效益评估,以表格和柱形等多种形式图表的形式辅助用户做出最符合实际的方案决策。本系统操作简单、界面友好。系统实现雷击风险评估过程科学化、计算过程自动化、计算结果客观化。界面简洁、操作简单的系统,具有较强的实用性与通用性。
统一化的评估技术报告不仅提高了雷击风险评估工作的效率,还利于在各地区开展雷电风险评估工作。本系统的开发拓展了雷电防护应用技术的领域,项目完成并推广以后会提高本地区防雷中心科技服务水平,并对提高经济效益起到很大的推动作用。
参考文献
[1]GB 50057-94 建筑物防雷设计规范[S].
[2]GB 50343-2004 建筑物电子信息系统防雷技术规范[S].
[3]DB50/214-2006 雷电灾害风险评佑技术规范[S].
[4][美]Greg Riccardi.数据库系统原理[M].清华大学出版社,2002,11.
[5]李岩,张瑞雪.SQL Server 2005实用教程[M].清华大学出版社,2008,9.
[6]古乐,史九林.软件测试案例与实践教程[M].清华大学出版社,2007,2.
[7]刘波.信息管理系统中数据库安全实现方法[J].计算机应用,2005(10):77-78.
[8]刘志成.SQL Server 2005实例教程[M].电子工业出版社,2008,2.
一、总则
为及时识别、监控公司保密潜在风险及其发生概率,确定公司保密风险承受能力及限度,认定该等风险所可能带来的损失,根据《上海市涉密信息系统集成资质单位保密风险评估工作细则》和《涉密信息系统集成资质保密标准》结合公司实际,特制定本管理办法。
二、职责分工
1、公司保密风险评估与管理主管部门为风险管理部。
2、各部门、各经营单元协助风险管理部实施本管理办法。
3、公司各涉密经营单元是保密风险管理的第一道防线,负责本经营单元和公司内纵向归口管理事项的保密风险管理工作。
4、公司保密风险评估工作小组(以下简称工作小组)是保密风险管理的第二道防线,接受保密管理办公室的监督(以下简称保密办),负责指导和检查保密风险评估工作的开展。
5、公司保密工作领导小组(以下简称领导小组)是保密风险管理的第三道防线。作为保密风险管理的决策机构,负责监督保密风险评估工作的开展,负责组织建立完善保密管理的持续改进机制。
三、工作内容及流程。
1、领导小组授权风险管理部组织成立工作小组。工作小组组长由分管保密工作的公司领导担任,成员由保密办、风险管理部等部门负责人组成。领导小组应组织对评估过程中出现的问题和结果做分析和研究,查找出在保密管理的制度、流程和执行等方面的问题,组织对制度和流程进行修订和完善。
2、工作小组至少每半年开展一次保密风险评估,使用“上海市涉密信息系统集成资质保密风险评估及自查自评系统”开展保密风险评估工作,按照业务流程对保密风险进行识别、分析和评估,评估的范围包括项目、人员、资产、场所等主要管理活动在保密方面所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性的评估。
3、工作小组至少每年对《保密管理风险点识别及防控措施》评估一次,从人员风险、涉密载体风险、涉密计算机、涉密场所、投标、项目实施等,对每个风险点进行低、中、高等级识别,制定相应的防范措施。
4、工作小组在评估过程中如发现问题,及时向领导小组汇报,《保密风险评估报告》形成后,应向领导小组报告评估情况。向相关涉密经营单元和人员通报评估情况,监督防控措施的落实。
5、工作小组不定期组织开展评估业务培训,使相关人员了解掌握保密风险形式、评估方法、评估工具、防控措施等知识。保密风险管理纳入保密教育培训,以增强涉密人员防控保密风险的意识。
6、《公司保密风险评估报告》以及《公司保密管理风险点识别及防控措施》由风险管理部保存,作为年度审查申请的附件材料报市国家保密局资质管理委员会办公室。
四、奖惩机制
将评估工作履职情况纳入部门和员工的年度绩效考核评价体系。由领导小组对工作小组成员的保密工作进行考核评价;由工作小组负责对相关部门和人员的保密工作进行考核评价。对发现并上报重大保密风险的部门和人员给予奖励。对瞒报或未发现明显保密风险而导致发生泄密事件及严重违规行为的部门、人员给予重罚。
五、附则
关键词:风险评估;管理工具;分类;选择;设计
中图分类号:TP311文献标识码:A文章编号:1009-3044(2011)30-7388-02
Research on Risk Assessment and Management Tools
WANG Fu-hua,YAO Jie
(Chongqing Communication Institute, Chongqing 400035, China)
Abstract: This article has carried on the detailed introduction to the risk assessment management tools, and introduced how to choose and design risk assessment management tools.Finally,it offers some ideas for information security assessment practice.
Key words: risk assessment; management tools; classification; choice; design
目前,网络安全问题已成为影响社会经济发展和国家发展战略的重要因素,信息安全评估工作的重要性不言而喻。信息安全风险评估工作是个极复杂又具有挑战性的工作,需要细致的工作,大量的支持性的专业知识的支撑,项目管理也比较复杂,因此如果要更好的完成信息安全风险评估工作就必须有一套非常实用的信息安全风险评估管理工具。一套使用的风险评估管理工具将极大地提高信息安全风险评估工作的效率和结果的正确性。
1 风险评估与管理工具分类
风险评估与管理工具是根据系统关键信息资产、资产面临的威胁以及威胁所利用的脆弱点来确定所面临的威胁、对风险情况进行全面考虑,估算出信息系统的风险情况,且在风险评估的同时根据面临的风险提供相应的控制措施和解决方法。
1.1 基于国家、政府颁布的信息安全管理标准或指南
目前世界上存在多种不同的风险分析指南和方法,不同的风险分析方法其侧重点和关注点各不相同。如:
NIST(National Institute of standard and Technology)的FIPS 65;
DOJ(Department of Justice)的SRAG;
GAO(Government Accounting Office)的信息安全管理的实施指南。
1.2 基于专家系统的风险评估工具
基于专家系统的风险评估工具主要通过建立专家系统和外部知识库,以调查问卷的方式收集组织内部信息安全的状态。对重要资产的威胁和脆弱点进行评估,产生专家推荐的安全控制措施。
基于专家系统的风险评估工具通常可以自动形成风险评估报告,根据风险的严重程度提供风险指数,同时分析可能存在的问题,并提供相应的处理方法。
COBRA(Consultative Objective and Bi-functional Risk Analysis)是一个著名的基于专家系统的风险评估工具,它是一个问卷调查式的风险分析工具,由三个部分组成:调查问卷生成、风险测量和结果分析生成。
基于专家系统的风险评估工具除COBRA之外,比较知名的还有@RISK、BDSS(The Bayesian Decision Support System)等工具。
1.3 基于定性或定量算法的风险分析工具
风险分析作为重要的信息安全保障措施,是信息安全体系不可或缺的一部分。而信息安全风险评估的算法作为风险评估的重要手段,很久以前就被提出并了大量的研究工作,其中一些算法已经成为正式的信息安全标准的一部分。早期的风险评估算法大部分仅仅作定性的分析,对风险产生的可能性和风险产生的后果只能按照高、中、低来区分,这种定性的方式无法准确地估算出风险产生的可能性和损失量。随着人们对信息安全风险了解的不断深入,获得了更多的经验数据,因此人们越来越希望用定量的风险分析方法反映事故发生的可能性。定量的信息安全风险管理标准包括美国联邦标准FIPS31和FIPS191,提供定量风险分析技术的手册包括GAO和新版的NISTRMG。
由于数据收集的困难,目前还没有完全定量的风险评估工具,现有的风险评估工具要么在定性方面有所侧重,要么在定量方面有所侧重。如CONTROL-IT、Definitive Scenario、JANBER都是定性的风险评估工具,而@RISK、Risk-CALC、CORA是半定量的风险评估工具。
2 常见的风险评估管理工具比较
CRAMM:CRAMM是1985年由英国CCTA开发的风险评估系统。CRAMM包括全面的风险评估工具,并且完全遵循BS7799规范,包括依靠资产的建模、商业影响评估、识别和评估威胁和弱点、评估风险等级、识别需求和基于风险评估调整控制等。CRAMM评估风险依靠资产价值、威胁和脆弱点,这些参数值是通过CRAMM评估者与资产所有者、系统使用者、技术支持人员和安全部门人员一起的交互活动得到,最后给出一套解决方案。
COBRA:COBRA是1991年由C&A System Security公司推出另外一个风险评估工具,用来进行信息安全风险管理方法,提供了一个完整的风险分析服务,并且兼容许多风险评估方法学(如定性分析和定量分析等)。它可以看做一个基于专家系统和扩展知识库的问卷系统,对所有的威胁和脆弱点评估其相对重要性,并且给出合适的建议和解决方案。此外,它还对每个风险类别提供风险分析报告和风险值。
@RISK是美国Palisade公司的一款软件产品,在世界范围内广泛使用,是构架在微软Excel之上的一套风险分析工具。在@RISK中,提供了一套完整的风险分析工具,包括可以自行修订的统计分配模型、蒙特卡罗检测、敏感性分析、环境分析、极限值测试等常用的风险评估模型。@RISK建立的流程包括:
1) 在Excel上建立需要分析的问题模型;
2) 确定需要输入模型的不确定值;
3) 通过模拟程序,对可能的参数范围进行分析,以@RISK内置的概率分布函数表示,然后确定模型的输出结果;
4) 产生需要的资料图表进行分析。
表1是对一些主要风险评估工具的比较。
表1
3 选择风险评估工具的原则
1) 根据实际环境和企业的需求选择
2) 风险评估工具应当能够精确地映射网络、应用以及进行攻击测试
怎样了解一个工具的实际功效?最有效的办法是搜索Web,查看媒体的评论,要求厂商提供其他客户的使用情况说明。正式购买之前最好测试一下工具的性能。大多数厂商都提供限制了功能的试用版本,通常是限制IP地址的范围。
3) 不仅要注意风险评估工具为目标平台提供的攻击脚本数量,而且要留意它们的更新速度。
纯粹的数量有时不能说明问题,因为有些厂商可能把许多相关的漏洞看成一个,有的厂商则把它们算作多个漏洞。一些较为优秀的风险评估工具,如CVE,把每一种测试都链接到了一个标准的漏洞案例ID。留意风险评估工具的更新频率,看看它是自动更新还是需要手工执行更新,还有,新的安全威胁发现之后它要多长的时间才能推出相应的更新?
4) 报告数量的多少,内容翔实程度,是否允许导出报表
只能内部使用的扫描结果报表也许能够满足最初的需要,但如果经常对系统进行风险评估,最好能够将生成的报表导出到外部数据库,以便执行对比和分析。
5) 是否支持不同级别的入侵测试以避免系统挂起
所有风险评估工具都有这样的警告:入侵测试过程可能产生DoS攻击,或者导致被测试的系统挂起。通常,在高访问量期间对担负关键任务的系统不应该运行风险评估工具,风险评估工具本身可能带来问题,引起服务中断或系统被锁死。大多数高质量的风险评估工具允许执行侵害程度较小的入侵测试,避免造成系统运行中断。
6) 是否需要在线服务?
有些风险评估工具以在线服务的形式提供。这种形式的优点是不占用硬件资源,可以从任何地方运行和获取报表,自动执行更新,一般而言总拥有成本也较低。缺点是服务的运行速度一般较慢,不象客户端产品那样容易定制。最后还有一点是,如果采用在线服务,则扫描出来的网络漏洞清单还将落入第三方的手中。
4 信息安全风险评估管理工具设计
信息安全风险评估管理工具的设计必须考虑到参考模型可能存在的变化,或者计算方法发生变化而导致的工具适应性的问题,还应该具有项目管理功能,统计分析,报表,辅助评估专家系统,查询,资产管理,更应该加入风险管理与控制模块,如果能提供与其他资产管理软件的接口就更好了。
为了适应评估工作模式,信息安全风险评估工具的架构应该选择B/S结构,评估小组和评估人是最终用户,系统管理员对信息安全风险评估工具进行维护和管理。系统架构如图1。
信息安全风险评估工具中应该包含威胁参考库、脆弱性参考库、资产分类库、可能性定义库,后果定义库、控制措施库等评估辅助专家系统库。这些库都可以自己定义,便于使用。评估小组可以在评估的各个时期都能够得到帮助。
资产管理模块应该包含资产的各种基本信息,包括位置、责任人、所属系统以及各种相关信息。根据不同资产的分类,相关信息也不同,这些相关信息都是有助于系统安全的相关信息。如资产的生命周期、系统补丁信息等。
信息安全风险评估工具需要实际使用的检验,将在不断满足客户的需要的同时逐渐发展、成熟。通过不断的改进和发展,相信信息安全风险评估工具将极大地推动信息安全风险评估工作的进行。
参考文献:
[1] 陈友初.信息安全风险评估的探讨与实践[J].广西科学院学报,2006,22(4):367-369.
[2] 杜辉,刘霞,汪厚祥.信息安全风险评估方法研究[J].舰船电子工厂,2006,26(4):65-69.
[3] 张建军,孟亚平.信息安全风险评估探索与实践[M].北京:中国标准出版社,2005.
[4] 赵战生,谢宗晓.信息安全风险评估[M].北京:中国标准出版社,2007,8.
[5] 冯登国,张阳,张玉清. 信息安全风险评估综述[J].北京:通信学报,2004,25(7):10-18.
[6] 关义章,戴宗坤.罗万伯,等.信息系统安全工程学[M].北京:电子工业出版社,2002,12.
Abstract: In the process of urbanization in China, the population density is getting higher and higher, which causes the travel difficult of people. In order to ensure the convenience of urban transport, many cities use the way to build the subway to alleviate the traffic pressure and ensure smooth traffic. However, in the operation of the subway, with the increase in the number of passengers, there will be some security risks, which have a serious threat to people's lives and property, so we need to make assessment and management of the safety risk in subway operations to avoid the security threats faced during subway operations. This paper analyzes the risk assessment and management of subway operational safety.
关键词: 地铁运营安全;风险评估;风险管理
Key words: subway operation safety;risk assessment;risk management
中图分类号:F572 文献标识码:A 文章编号:1006-4311(2017)23-0054-03
0 引言
城市规模不断扩大以及城市人口数量的增加,导致巨大的交通压力成为困扰城市发展的主要因素。所以,在许多城市的规划与建设中,都将地铁建设作为重点内容。近几年,我国地铁事故发生率逐渐升高,这些事故不仅为地铁运营部门带来重大经济损失,而且严重威胁了人们的生命财产安全。因此,在地铁运营过程中,必须对存在的安全风险进行评估与管理,提高地铁运行的稳定性与安全性,确保地铁的作用能够得以发挥。
1 地铁运营风险管理的基本流程与方法
运营风险管理是研究风险发生规律及风控技术的一门科学,具有前瞻性、目标性、计划性、经济性和管理性等特点。一般来说,地铁运营风险管理过程不外乎风险识别、风险评估、风险等级划分和风险控制四个关键环节:
1.1 风险识别
地铁运营风险识别就是找出地铁运营过程中影响安全的主要因素,是风险管理流程中的第一个步骤。在风险识别的过程中,必须确定地铁运营系统的组成、特点以及各组成部分的关系,并全面检查这些环节中的不确定性。与此同时,还要分析不同种类风险对地铁正常运营造成的威胁,并确定风险作用范围,以便针对不同的风险采取不同的措施。
1.2 风险分析
地铁运营风险分析就是对地铁运营风险可能造成的后果进行全面分析。风险分析需要对个别的风险元素进行分析,并量化这些元素,形成一个风险清单,以便针对这些风险制定相应的行动计划。在科学技术不断进步的同时,对地铁运营分析的难度越来越高,只有不断提高风险分析水平,才能够采取有效的措施降低风险。
1.3 风险评估
地铁运营风险评估就是对地铁运营风险能够导致的后果进行评价,并根据这些后果的严重程度进行排序,同时考虑与其对应的处理措施,去顶风险、成本与效益三者之间的关系,其关键在于考虑风险对整体目标的影响。综合评估地铁运营风险时,首先应该充分预测管理决策在实施期间所伴生的后果及其可能产生的危害、后果是否可以被接受等等。风险的严重程度不同,就会造成优先处理的顺序不同。
1.4 风险决策
地铁运营风险决策就是以风险分析与风险评估的结果为基础,针对风险制定相应的措施,降低风险对地铁运营的影响。一般来讲,风险策略主要有以下两种:第一,采取合理的措施,最大限度地降低风险带来的影与危害,对其进行有效的控制。第二,采取适当的措施转移风险,降低风险对运营主体的危害,但是,不是所有风险都能够被转移。在风险决策的过程中,必须考虑成本与效益之间的关系,确保风险决策成为最佳效益方案。
此外,在地铁运营风险中,一些风险并不是一成不变的,只有对这些风险进行跟踪,才能够根据不同的情况进行风险决策。
评估国库资金操作的风险就是鉴别在国库业务办理过程中出现的各种损失的可能性与严重性,一般可以采取定性评估方法、定量评估方法、定性与定量相结合的评估方法。
(一)定性评估方法
定性评估方法是一种多目标决策方法,它突破了传统的数量分析限制,为更合理地制定决策开阔了思路。德尔菲法是定性评估方法中最具代表性的方法,这种方法具有广泛的代表性,能够可靠进行有目标的风险评估与防范,但由于选择合适的专家比较困难也可能得出比较草率的风险评估结论。
(二)定量评估方法
定量分析是对各个风险要素及损失的水平赋予一定数值,当度量风险的所有因素都被赋值,风险评估的过程和结果都可以被量化了。常用的定量评估方法主要有基本指标法、标准法、内部评级法等。
(三)定性与定量相结合评估方法
定性或定量的方法并不能有效且准确地对风险进行评估,定量的方法通常过于严格,而定性的方法又过于模糊。因此,需要在定量和定性的基础上结合两种方法进行风险评估,常用的定性与定量相结合的方法为层次分析法与模糊综合评价法。层次分析法首先根据多目标决策的性质和总的目标对所考虑的概念,分析其相互关联、逻辑属性及重要性级别进行分层排列,构造成一个由上而下的递阶层次结构;其次在层次结构模型中,决策人根据具体情况及实际要求通过两两因素的比较,用表1的标度打分,得到判断矩阵;最后在得到判断矩阵后按照以下公式进行排序及一致性检验。
二、国库资金操作风险识别
(一)操作性风险
人民银行总行《国库会计管理规定》中规定,国库业务操作人员应严格控制资料交接、外来凭证审核、资料传递、记账复核、退汇转汇、编押核押、查询查复、手工填制凭证等环节中的风险。其风险主要分以下三种:(1)操作失误风险。随着财税体制改革的深化,国库业务发生了巨大变化,国库单一账户体系的形成、资金汇划渠道的骤增、预算收支核算方式的变化加快了国库核算电子化的发展进程,国库操作人员需要全面掌握涉及面广、科技含量高、操作复杂的电子核算业务,期间难免会出现操作风险,如在挂账或解挂方面存在的风险、查询复查操作手续出现错误、执行流程时随意简化、替代或逆程序操作等差错。(2)审查失误风险。国库操作人员对外来的收支凭证审查出现偏差,造成一些凭证要素内容缺失不全,不符合收支凭证的办理要求,从而给国库资金带来风险。(3)对账风险。对账是国库资金业务中的基础环节,国库操作人员不能及时与征收机关、财政部门、银行对账或者上下级对账不符合规范,出现账证不符、账表不符等差错。
(二)管理性风险
(1)岗位设置风险。随着国库业务的快速发展,现有国库人员设置已经不能够满足其要求。受人民银行当前进入、用人制度的限制,各地国库人员配备严重不足,一人身兼数职的现象普遍存在,相互制约机制的缺乏导致内控制约出现“真空”地带,国库业务操作的质量和风险防范大打折扣。另外,国库人员结构不合理,表现为人员严重老化、人员变动频繁等问题,这将对国库操作工作带来风险。(2)日常管理风险。在日常国库业务操作过程中,由于没有建立健全的管理制度,往往会出现小的失误或差错,如对操作员密钥密码没有明确严格的更换时间,对系统的签退程序没有严格的管理规定等。(3)制度管理风险。由于国库电子化进程的推进,在国库资金操作业务中,现行的国库管理制度与实际国库资金操作工作脱节,进而给国库资金带来了一系列风险。
(三)系统性风险
1.系统网络风险国库会计数据集中系统(TCBS)的保密性、不可篡改性都将直接影响国库业务的正常账务,因此在国库操作业务中,倘若国库集中支付系统自身参数设置出现错误或者系统网络数据丢失会给国库资金带来不可避免的风险。
2.外部事件风险由于外部网络运行环境出现异常导致感染病毒或非法入侵,致使国库电子化流程瘫痪或无法正常运行,数据集中处理不能顺利传输,给国库资金带来风险。
3.功能缺陷性风险国库会计数据集中系统(TCBS)运行过程中,由于系统本身不能够及时有效更正税务部门错误的税款科目、税款级次等信息,从而影响正常入库;一方在使用国库集中支付系统内划转资金时,接收方在系统中无法打印来账信息,这样给国库日常核对和检查带来一定困难,给国库资金带来风险隐患。
三、国库资金操作风险评估
(一)评估计算
由于国库资金业务损失数据不全,至今也没有健全的风险管理框架。为了取得更好的风险分析效果,构建合理风险评估模型。结合定性与定量分析方法个各自特点,现选用层次分析法和模糊综合评价法相结合的方法,构建国库资金操作的风险评估模型。
1.建立国库资金风险根据本文第二部分的分析,为简便起见,将影响国库操作资金风险的目标层分为系统性风险、操作性风险、管理性风险三个层次。
2.建立风险评估判断矩阵构造国库风险评估判断矩阵,需要用层次分析法对一定数量的专家进行问卷调查,这样在调查评分的基础上确定判断矩阵。限于条件,本风险模型在路勇、徐丽红在《基层人民银行国库TCBS系统风险导向审计模式的确立及成效》一文中所做的调查基础上建立判断矩阵,可按各风险因素的强度及频率将其分为以下四个等级。
(二)评估结果分析
从人民银行A市国库处现状分析,2012年之前,该处国库工作人员配备基本能够满足岗位需要,但仍存在少许记账与复合岗位交叉作业情况、兼岗、替岗现象,在对账及审查工作中,由于缺少专门的国库会计核算专业人员,给国库操作风险带来隐患。同时,在日常管理、制度管理方面,人民银行A市国库处推行目标管理责任制取得了一系列成效,但仍存在“重事后管理,轻事前防范”的问题,另外现行的制度不能涵盖整个国库核算业务的全过程,存在国库信息业务的制度“盲区”,这些都是造成国库风险的重要因素。除此之外,由于国库业务电子化业务的推广,人民银行A市国库处通过推行国库会计数据集中系统(TCBS)以来,积极修改岗位设置和完善横向联网系统,网络整体运行正常,系统升级能够满足业务流程需要,大大减少了风险的可能。基于风险评估结果,操作性风险因素与管理性风险因素风险等级为中等风险,系统性风险因素为低风险,基本与人民银行A市国库处实际情况吻合。总之,国库资金操作风险的综合评估结果与国库管理人员及业务人员对风险因素的主观认识有很大关系,权重的选择往往会直接影响风险评价的最终结果。
四、国库资金操作风险管理对策
(一)探索新的用人机制,建设专业化国库队伍
稳定的国库人员队伍是保证国库正常工作进行的前提,是降低风险最重要的一环。由于受人民银行人员编制的原因,国库部门会计核算专业人才较少,传统解决人员紧缺的方式采用的是从其他部门借调人员,没有形成稳定的国库人员队伍。人民银行总行结合国库业务的实际情况,对国库处部分人员逐步开始实行聘用制,这样一方面能够有选择性招聘部分专业性较强的人才补充到国库处,另外也能够培养一批专业技能扎实、岗位持续稳定的国库操作人员,对于风险的防控与降低有深远影响。
(二)完善风险管理制度,提高风险防控意识
在日常的国库业务中,要针对具体的国库业务环节,制定具体的实施方案和操作细则,逐步完善国库资金风险管理的制度,建立完整有效的风险组织管理体系。同时,国库事后监督应严格执行《国库会计事后监督办法》,并结合本办法提出的国库资金风险控制要求,对国库会计核算业务进行全面监督,提高国库整体风险防控意识。
(三)强化国库监督规范,建立网络系统监控