前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇安全风险评估与管理制度范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
【关键词】风险管理;上市公司;公司价值
一、引言
企业风险管理是我国近年来较为热门的话题,尤其在现阶段国内经济下行压力加大、外部环境存在较大不确定性等诸多困难下,加强全面风险管理工作显得尤为迫切。研究成果表明,风险管理可以通过降低盈利和股价的波动性、减少额外的资本支出、增加资本效率和发挥风险管理策略的协同效应等方式来增加公司价值[1]。作为中国企业的佼佼者,上市公司集中了我国的优势企业和优质资产,是我国经济建设的主力军,在国民经济发展中发挥着中流砥柱的作用。风险贯穿于企业经营决策的全过程之中,如果上市公司风险大量积聚、显化及蔓延,不但会导致公司价值毁损,影响资本市场的健康发展,甚至还会危害到整个国民经济的稳定发展。尽管目前不少上市公司已经启动风险管理工作,然而,现有风险管理多是基于内控规范基础上的合规化的风险管理,还没有达到以企业价值最大化为目标的风险管控。由此,本文针对2007—2013年上市公司披露的《风险管理制度》中存在的不足进行分析,探讨如何完善上市公司全面风险管理制度建设,从而提高风险管理的有效性。
二、已披露上市公司《风险管理制度》概况
国务院国资委2006年开始在央企试点全面风险管理,2010年全面推行。自2007年以来,上市公司也开始关注和重视风险管理工作,制定了诸如《全面风险管理制度(办法)》《内部控制及全面风险管理办法》《风险评估管理制度(方法)》等规章制度(以下统一简称“风险管理制度”)。截至2013底,有74家上市公司自发对外披露了《风险管理制度》,其中有19家上市公司披露了《全面风险管理办法》,年份分布情况见表1。鉴于现阶段上市公司公布风险管理相关信息仍属于企业自发行为,目前披露风险管理制度的上市公司数量很少,但可喜的是呈逐年递增趋势,说明上市公司已从制度层面入手提高企业整体风险管理水平和效率。但从近四年披露的总家数占总样本的比例(87.8%),可以看出,我国当前上市公司风险管理制度的建立时间比较短,加上建立全面风险管理体系的企业只约占样本的25.6%,说明我国上市公司整体上处于风险管理的初级阶段。在风险管理制度制定权上,为体现公司风险管理的战略性、整合性和全局性,一般是由董事会来制定风险管理制度并向股东大会负责。从样本可以发现,在披露了风险管理制度的74家上市公司中,有48家公司(占65%)是由董事会制定的,有15家公司(占20%)注明是由董事会下属的审计委员会制定的,说明董事会在风险管理中的重要地位,是企业风险管理管理的决策领导机构。鉴于金融行业的特殊性,样本中的6家金融企业将予以剔除。
三、已披露上市公司《风险管理制度》重点内容解析
(一)风险管理组织架构体系
有效进行风险管理的前提是拥有一个职责清晰的风险管理组织架构体系[2]。风险管理是一个系统工程,需由主体内的一个有机的组织来实施并执行各自的职责,才能实现风险管理的目标。风险管理组织架构体系主要是明确风险管理相关部门、岗位及其相应的职责。从68家样本公司中,发现有33家上市公司采用的“三层级”的风险管理组织架构:各职能部门和业务为单位风险管理第一道防线;内部审计部门和董事会下设的审计委员会为风险管理第二道防线;董事会及股东大会为风险管理第三道防线。只有云煤能源一家公司设立“五层级”的风险管理体系:董事会为第一层级,全面风险管理委员会为第二层级,风险管理部门为第三层级,各职能部门为第四层级,各子、分公司为第五层级。风险管理体系设置的层级越多,职责划分越明确,越有利于风险管理工作的细化,但也可能会使得风险信息传递及风险处理的效率降低等等。进一步分析发现,样本公司中有24家只说明公司各部门的风险管理职责,忽略了风险管理决策机构和核心管理机构的职责,7家公司没有涉及风险管理各层级的职责,这显然不利于企业对风险管理的具体实施和风险绩效考核。
(二)风险管理流程
风险管理流程是确保风险管理制度行之有效的重要基础。从风险管理流程与方式来看,68家样本公司存在一定的差异。其中,大多数公司借鉴了《中央企业全面风险管理指引》(以下简称《指引》)中风险管理流程的五个环节:收集风险管理初始信息;进行风险评估;制定风险管理策略;提出和实施风险管理解决方案;风险管理的监督与改进。有的公司设置了四个流程环节,是将风险管理策略纳入风险评估环节,如德赛电池、江南高纤、久立特材等;长春一东只设立了风险评估与应对两个流程。而出版传媒在其风险管理制度中介绍了筹资、采购等六项风险控制的重点,没有从整体上设立风险管理流程。整体来看,风险管理流程在形式上已初具雏形,但仔细研读每份风险制度后发现,很多公司对风险管理流程的内容是直接引用《指引》中相关指导,并没有根据公司自身特征对流程进一步强化和细化,在风险管理应对措施方面缺乏针对性,往往达不到事前控制的目标。
(三)危机与重大风险事件的应对
近年来,上市公司虽然整体实力明显增强,但重大风险事件时有发生,如投融资风险、生产安全风险等,给企业和股东带来巨大损失。重大风险的信息反馈、沟通机制有利于董事会有效及时地获取风险管理信息,从而提高企业风险预警能力。然而,在68家样本公司风险管理制度中,单独制定危机及重大突发风险事件应对处理程序的公司只有7家,通常由公司审计(法务或监察)部在接到公司其他部门或分、子公司的突发风险报告后,组织评价突发事件的影响,制定风险应对方案。重大风险应对措施都是常规性的管理改善,并没有很好地针对风险的特点,制定相应解决方案。
(四)风险管理辅助系统
风险管理制度的顺利实施需要相关辅助系统的配备与支持,如风险管理信息系统的建设、风险管理文化的形成、考核制度明确奖惩措施。很多公司风险管理文化还远远没有形成,大部分人员认为风险管理仅仅是形象工程,并没有将风险管理理念完全领会,最终导致诸多“低级风险”。没有考虑风险管理在实施过程中需要其他相关辅助系统的支持,这将不利于风险管理有效性的发挥。
四、完善上市公司风险管理制度的对策建议
(一)战略层面构建风险管理体系,厘清风险管理部门职责定位
风险管理是企业战略管理的重要组成部分,需要企业决策层给予充分的重视,应当由最高层自上而下从战略上把控,从全局观看待和处理企业面临的风险问题。为避免风险管理流于形式,有条件的企业可以考虑设立风险管理专职机构,作为传递、沟通风险信息和及时指令的平台和窗口,实现公司层面对风险控制的常规化和实时性。其次,风险管理是一个系统工程,需由主体内的一个有机的组织来实施并执行各自的职责,才能实现风险管理的目标。但是,对于风险管理的组织构成层级及范围没有统一的标准,同时,各个企业大小不等、规模不一,风险管理组织也会有较大的区别,但明确风险管理部门的职责定位和工作要求是成功实施风险管理的重要基础。为保证风险管理体系运行顺畅,风险管理职能部门的定位应与现有业务流程相融合。
(二)建立专项风险评估制度,动态监控重大风险管理
风险管理流程的制定尤其是应对措施需要结合公司自身情况,加强针对性,达到事前控制的目标。在根据风险评估的结果确定重大风险后,没有规定如何对重大风险预防、监控及动态管理。由此,企业要进一步健全风险评估机制,董事会负责督导企业进一步完善风险评估常态化机制,企业高风险业务以及重大海外投资并购等重要事项应建立专项风险评估制度,在提交决策机构审议的重要事项议案中必须附有充分揭示风险和应对措施的专项风险评估报告,风险管理职能部门要坚持对上述重要事项的风险评估进行程序性、合规性审核。另外,要逐步建立健全重大风险监测预警指标体系,实现对重大风险管理全过程的动态监控,确保重大风险可控。
(三)实施年度风险管理报告制度,加强价值与风险信息披露
虽然上市公司没有强制性实施《指引》,很大程度上只是“参照执行”,但要想进一步深入推动,可以鼓励开展风险管理的年度报告制度,将《指引》的相关要求细化到报告要求中去,推动和引导企业开展全面风险管理。另外,推动建立上市公司价值与风险管理信息披露制度,将价值管理和风险管理情况及时向社会公众披露,接受股东的监督和评价。
(四)注重风险管理辅助系统支持,培养全员风险管理意识
上市公司应当把风险管理工作建成一项长效机制,做到主动防范和预警风险,为企业的长远发展保驾护航。这就需要不断加强相关制度建设,如风险信息化管理,重大风险公开、风险管理考核、风险管理奖惩制度,真正落实全面风险管理工作。由于风险管理涉及各个部门、各个岗位、各个业务模块、各个管理流程,属于全员管理,需要全体员工都参与进来,如此,就需要公司具备风险管理的文化,这是一个长期而持续的建设过程。
作者:林 琳 单位:青岛农业大学经济与管理学院
【参考文献】
【关键词】风险;评估;企业;信息管理
1.企业信息安全评估的内容
企业在运行中会产生大量的运营数据,这些数据既有日常办公方面的数据,也有涉及企业生产和研发方面的数据。随着企业规模的扩大,对这些信息的管理大都是建立在一定的信息管理系统基础上的,如ERP资源管理系统、MES系统等。这些管理系统管理的内容包含了企业运行中的各类信息,就涉及到如何保障系统运行中信息安全的问题。不同的信息管理模式会伴随不同的信息泄露风险,因此需要对企业的信息管理风险程度进行评估,在此基础上寻找弥补信息安全隐患的策略。对企业信息安全的评估主要有以下几个方面的内容。
1.1 评估企业的管理制度
企业管理制度是企业有序运行的基础,企业的信息安全也和此密切相关。很多企业信息外泄的案例都和企业管理制度漏洞直接联系。因此在评估企业信息安全时企业的管理制度是必要的环节之一。在这个层面上评估企业信息安全主要是评估以下几类基本的管理制度。①企业信息系统的使用制度;②企业信息系统的维护制度;③企业信息系统操作人员培训制度;④系统设备和文件管理制度。
1.2 企业信息系统计算机安全评估
实践表明大量的企业信息外泄都和计算机系统的安全漏洞有关系,因此对企业信息系统的安全评估是必不可少的环节。这类问题的评估需要专业计算机人员来进行,弥补系统安全漏洞是保障企业信息安全的重要手段。定期或不定期的对企业信息系统的运行日志和统计资料进行检查是一种行之有效的方法。
2.企业信息安全风险定量评估方法
对上述几类评估内容的定量估计是衡量企业信息安全的量化手段,其衡量得出的数值就是企业信息安全的风险值或安全程度指标。企业信息安全的定量风险评估考虑因素主要有三个:资产价值、威胁和脆弱性。在定量评估中这三类因素都需要用定量数据采集的方式来进行合成计算,安全风险的数学表达式为:。其中为风险指标,表示企业资产指标,为代表威胁,为脆弱性指标。上述三类因素的基础数据都需要从实践中通过调研和测试来获得。
2.1 企业信息安全估价的描述方法
企业的资产既包括有形的资产,也包括无形的资源,表现形式也从机械设备到软件文档等多种多样。企业信息安全又有其特殊性。企业信息安全的安全属性估价需要从资产的保密性、完整性和可用性三个方面来展开评估。由于企业各类资产的形式各异,资产的安全级别无法用通用的量化标准来记性评估,因此采用的方法为定性的CIA模糊集合方式来描述,如“资产安全级别”={“很高”、“高”、“中等”、“低”、“较低”}等模糊语言来描述,对应的论域为{5、4、3、2、1}。企业信息安全安全的保密性、完整性和可用性三个方面的属性都可以用上述模糊语言来定性描述,综合上述三类安全属性的公式为:。上式中分别为企业信息安全的保密性、完整性和可用性的赋值,取值为1,2…5,为综合评定指标。笔者这里提供一些评价指标的选取标准:
(1)信息保密性的评定标准
①很高:这类级别的企业信息包含企业的核心关键决策信息,信息泄漏将严重影响企业的利益;②高:这类级别的企业信息泄露会对到企业经济效益造成明显损害;③中等:企业的一般性的经营、决策信息,泄露对企业不利;④低:这类企业信息一般指企业内部部门的局部信息;⑤较低:企业可对外界公布的信息类型。
(2)信息完整性的评定标准
①很高:这类级别的企业信息包含企业的核心关键决策信息,其完整性直接决定企业的业务完整性,一旦缺失就无法弥补;②高:这类信息修改必须经过高层授权,一旦缺失将严重影响业务,一旦缺失弥补难度很大;③中等:企业的一般性的经营、决策信息,其修改需授权,缺失后可弥补;④低:这类企业信息一般指企业内部部门的局部信息,缺失后对企业运行影响较小,易于弥补;⑤较低:企业可对外界公布的信息类型,缺失后对企业运行无明显影响。
(3)信息可用性的评定标准
①很高:这类信息具有最重要的实用性,企业的运作必须依照运行的信息类型;②高:这类信息的可用性价值较高,企业运作对其依赖性较高;③中等:这类信息属于可部分不可用的类型,部分不可用不影响企业的正常运作;④低:这类企业信息一般指企业内部部门的局部信息,信息不可用不会造成明显影响;⑤较低:这类信息使用性不高,信息不可用的影响可以忽略。
2.2 企业信息安全威胁程度的量化方法
企业信息安全的威胁通常定义为潜在的破坏性因素或突发事件。威胁是客观存在的,既可能来自于系统的用户(合法用户或非法入侵)操作,也可能来自于系统的物理组件的损坏。这两类威胁中最大也最常见的是系统用户在操作方面的失误、非法用户利用系统漏洞来窃取企业机密信息,以及计算机病毒对信息系统的侵袭等。但这些事件都不易量化,在做风险评估时需要依赖专家经验,对各种潜在的威胁因素给出一定的概率值,对各类威胁因素可按照和上节类似的方法,用形如:“威胁程度”={“很高”、“高”、“中等”、“低”、“较低”}等模糊集合来表达,对应于相应的论域{5、4、3、2、1}。建议评定标准如下:①很高:风险事件发生的频率很高,或对企业信息安全具有明显的威胁,但又很难避免的情形;②高:风险事件发生的可能性较大或有发生先例;③中等:风险事件有可能发生,但尚未实际发生过的情形;④较低:风险事件发生的可能性较小,通常情况下不会发生;⑤很低:几乎不可能发生的风险事件类型;
2.3 信息系统脆弱性的量化方法
信息系统脆弱性的评估和系统面临的威胁是紧密相关的,所有的实际威胁都是利用系统安全的薄弱环节来发挥破坏性作用的,因此信息系统的脆弱性和威胁存点对点或单点对多点的关系。为便于计算,也采用和衡量系统威胁程度时相同的表示方法,“系统脆弱性”={“很高”、“高”、“中等”、“低”、“较低”},对应于相应的论域{5、4、3、2、1}。建议评定标准为:①很高:这类评定往往要基于企业信息系统存在明显而易于攻击的技术漏洞或者是管理规范上的缺陷,极易被非法使用的情形;②高:企业信息系统存在一定的技术漏洞或管理规范上的缺陷,容易被攻击和利用;③中等:企业信息系统存在不易被发现(下转第125页)(上接第121页)的技术漏洞,或必须经过人为非法操作才能被攻击的管理规范上的漏洞;④低:企业信息系统不存在明显的技术漏洞,或企业信息管理制度较为完善,不易被攻击利用;⑤较低:企业信息系统技术较为完善,管理制度也较为合理,被攻击点可能性很小。
2.4 信息安全的风险计算
按照风险的定义,风险包括风险事件发生的可能性和相应的后果。在企业信息系统中,各组成部分发生风险事件后的后果是不一样的,其严重程度也存在差异。因此在风险计算时需要明确两个方面的内容,一是风险的计算方式,二是对风险计算量化数值的评价。各因素风险值的计算按:来计算,即按资产价值、资产脆弱性和资产面临的威胁性的乘积来衡量某种信息资产的风险值。上述几类因素的取值按照评价论域中的取值来作为乘积因子。在计算出风险值之后,还需要建立起以风险值为基础的风险评价体系。
由前文的分析可见,风险的定量估计是一个由三类风险因素的线性乘积得出的。每一类信息的最高等级论域数值为5,最低为1,因此组合情况下风险值的最高值为125,最低值为1。由此可建立其与之对应的风险定量评价体系。笔者建议采用与之对应的5级评定方式:①很高:风险值估计范围在100~125之间,表明企业信息系统存在很高的安全风险,发生信息泄露的可能性非常高;②高:风险估计值在75~100之间,表明企业信息系统存在较大的安全风险,发生信息泄露的可能性较大;③中等:风险估计值在50~75之间,企业信息系统的安全风险一般,经过审查后能够避免风险事件;④低:风险估计值在25~50之间,企业信息系统发生信息泄露的可能性很小;⑤很低:风险估计值在0~25之间,企业信息系统比较安全,但需要定期维护。
3.结语
企业信息系统安全管理关系到企业的内部运营数据的安全,是需要引起高度重视的问题。本文将企业信息安全评估中几类常用的信息类型进行了风险量化评估,给出了以线性乘积为基础的风险量化方法,最后给出了分等级的企业信息安全综合评定。
参考文献
[1]沈昌样.关于强化信息安全保障体系的思考[J].信息安全与通信保密,2009,06.
[2]沈昌祥,马东平,等.信息安全工程学导论[M].电子工业出版社,2009,9.
关键词:故障库;ERP 系统;完整性;闭环化
引言
输气站场的设备是输气站安全平稳地完成正常输气活动的物质基础,同时它也是构成分公司企业生产力的基本要素。因此,加强输气站场的设备管理,对于输气站场完成正常的输气任务,保证整个输气工作的安全,乃至最终提高分公司的经济效益都有着非常重要的意义。
1.规范化设备管理制度和体系的重要性
输气站场建立完善的设备管理制度和体系,是完成设备的操作、维护保养、检修及考核标准制定的指导性文件。管理人员制定和规范所辖输气站场设备的管理标准和规定,提高设备的管理力度。依照制度建立规范的管理规定、依照管理规定建立规范的管理记录,依照管理记录建立规范的考核标准,规范设备的运行、操作和维护保养、资料记录、故障处理、备件管理等,才能不断促进设备管理的标准化、规范化和制度化。
2.设备管理分析
涵盖所有分类设备的管理制度,包含设备的选型、购买、使用、维护维修、调拨、报废等整个流程进行日常的管理。是设备管理中最重要的工作环节之一,具有工作量大、重复性强、所涉及规定和规程多的特点。
上级主管部门应加强设备管理人员技术培训,并确保设备管理人员的技术更新。输气站场设备管理由过去以人员密集型向科技密集型转变,管理方式也发生了很大变化,随着自动化控制技术在设备管理中的广泛应用,对站场设备管理人员的技术要求更高了,管理人员不仅要有很强的责任心,而且要具备专业技术素质,设备的管理说是对设备的管理,归根结底还是对人的管理,调动起人在设备管理中的积极因素,达到人与设备的和谐统一。
3.完整性设备管理方案
站场资产完整性管理如下图所示,主要工作流程包括:数据收集与整理、RBM分析、执行检测、维护或测试、对资产进行状态评估确定修复与减缓措施,进行效能评估。站场资产完整性管理是一个持续循环和不断改进的过程。
图1 站场资产完整性管理流程
制定方案以RBI、RCM、SIL分析方法为基础,依据相关法规、标准,建立基于风险的、优化的资产完整性管理方案。针对站场设备类型及工作状态,将站场设备分为承压设备、转动设备、安全仪表系统三类。每种类型的设备根据其适应的不同类型的分型方法(RBI、RCM、SIL)分别制定完整性管理方案,其中承压设备又分为站内工艺管道和压力容器两部分,其完整性管理主要以检验为主要手段,通过检测,对出现问题的部分进行维修;转动设备以故障库和状态监测为基础,以RCM风险评估技术为手段,为日常的维护和维修计划的制定提供有力支撑。由于安全仪表非设备专业,本文对仪表设备的完整性管理不进行论述。
3.1.承压设备完整性管理
承压设备的完整性管理应该通过对其基本数据以及信息进行管理和分析,并通过风险评估以及评定结果进行方案制定
评估结果应能给出每个设备项的损伤机理、风险驱动因子数值、失效可能性等级、失效后果等级、总经济风险等级和安全风险等级,并以表格的形式进行分类汇总,得出风险评估的综合结论。对失效可能性等级较高的设备项,应该出下次评估日期的检验前后可能性等级对比,以显示风险的发展趋势和检验的有效性。
3.2.压力管道完整性管理
基本数据及信息来自站场设备档案、现场实测和专家设定,数据收集应遵循数据的真实、有效、可控和可追溯的原则,保证数据及信息的准确、完整、和可靠,满足分析与评估的要求。数据包括设计建造资料、工艺操作参数、运行状况、完好情况、检维修记录和其他相关信息,如失效分析报告、安全评估报告等。
评估结果应能给出每条管道/段的损伤机理、风险驱动因子数值、失效可能性等级、失效后果等级、总经济风险等级和安全风险等级,并已表格的形式进行分类汇总,得出风险评估的综合结论。对失效可能性等会较高的设备项,应该给出下次评估日期的检验前后的可能性等级对比,以显示风险的发展趋势和检验的效应。风险评估的目的是为了制定基于风险的检验计划提供基础,故应明确定义管道/段可能涉及的损伤机理所需进行的具体检验的有效性等级划分,并相应确定针对风险评估结果实际采取的检验有效性等级。
3.3.转动设备完整性管理
转动设备的基本数据及信息来自站场设备档案、现场实测和专家设定,数据收集应遵循真实、有效、可控和可追溯的原则,保证数据及信息的准确、完整和可靠,满足分析与评估的要求。数据包括设备的设计建造资料、工艺操作参数、设备运行状况、设备完好情况和设备检维修记录和其他相关信息,如设备的失效模式、失效原因和风险结果等。
风险评估基于DNV的RCM分析方法,RCM分析是一个持续改进的维护策略程序,结合站场设备的具体情况、工艺条件的变化以及失效记录的更新等,应该考虑定期对设备风险进行重新评估,对维护保养任务等进行适当的调整。
由于目前分公司没有开展基于可靠性的风险评估(RCM),动设备的维护保养各站场仍严格执行厂家推荐或相关设备维护保养规程所要求的维护保养周期及任务。对发现隐患或故障设备的相关维护保养任务应根据实际情况对维护保养周期及任务进行相应调整。维护保养结束后,应如是填写设备维护保养记录。
4.结束语
通过对以上各类设备检验、维护、维修过程的有效性评价,不断改进完善企业的体系、制度和设备维检修工作,使设备管理更上一层楼。总而言之,作为输气管理者,应该本着对人民群众高度负责的精神,从构建社会主义和谐社会大局出发,切实做好城镇输气的相关工作,加强生产过程中的监督检查,寻找造成安全隐患的薄弱环节,运用先进的管理经验,做好设备管理和安全管理工作,以高度的责任感、事业心,健全制度,完善法规,规范操作,不断提高企业的管理水平和技术水平,坚决杜绝重大安全事故的发生。
参考文献:
摘 要 企业应当借助信息化平台,实现内部控制信息化,从控制风险出发,针对信息化环境下内部控制风险的新特点,权衡风险与收益,制定出相应的风险防范策略,以保障信息系统数据和信息安全可靠,从而更好地实现内部控制目标。其次,加强企业信息系统开发、运行和维护的控制。开发前应进行可行性研究和需求分析;开发中要对现有业务流程进行优化,并结合内部控制管理需求,对系统设计进行分析,对企业发展需求评估,更新方案要有可行性研究;后期要对系统的软件及硬件进行完善性维护,维护要做到会计数据的连续和安全,并由有关人员进行监督。第三,加强网络安全控制。重点发展第三方认证机构,企业之间发生业务来往时必须由第三方公证确认才可交易;在企业信息系统中分离出操作与监控两个岗位,通过经济业务多方备份的方式实现岗位间的有效牵制。
关键词 信息系统 内部控制 风险管理
一、信息系统对内部控制的影响
信息系统对内部控制的影响主要体现在四个方面:包括对对信息与沟通的影响、控制环境的影响、对风险评估的影响以及对监控的影响。
(一)对信息与沟通的影响
信息流是信息的传播与流动,其包括信息采集、信息传递以及信息加工处理。信息系统对提高企业信息质量,加强信息流动具有至关重要的影响。一方面,信息系统大大提升了企业处理信息的能力。若干个子系统共同构成信息系统,企业运用信息系统将有助于促进企业物流、资金流和信息流的集成,使企业具有处理内部信息和外部环境、活动信息的能力。另一方面,信息系统大大提升了企业内部信息传递的能力。企业内部沟通直接影响到内部控制状况,通常情况下,企业内部沟通包括部门内部之间的沟通和企业各部门之间的沟通,沟通是实现企业各部门、各职员信息互换,优势互补的关键环节。信息系统为企业各部门之间的沟通构建了良好的平台,对提高企业的运营效率和增强决策的高效性具有十分重要的现实意义。
(二)对控制环境的影响
一方面,信息管理系统完善了员工知识和技能结构。员工知识和技能水平直接关系到内部控制工作的高效性,随着信息技术的突飞猛进发展,员工传统的知识和技能结构已经不能够满足现行企业内部控制工作需求。运用信息系统有助于增强计算机操作技能及其信息管理软件的使用等,有效保证了企业管理者掌握真实、可靠的信息,大大提升了企业决策的正确性。另一方面,信息管理系统强化了企业管理制度的执行力。各项管理制度是企业顺利开展内部控制工作的基础。企业将各项管理制度并入信息管理系统中,实现其制度管理和应用的信息化和现代化,有助于强化各项管理制度的执行力,充分体现其价值。
(三)对风险评估的影响
企业为防范各种风险,开展风险评估工作。目前,我国相当一部分企业风险评估尚未能够全面落实到位,信息系统的实施进一步扩大了企业风险评估的范围,有助于保证企业各项生产经营工作顺利高效开展。总结而言,信息系统对风险评估的影响主要表现在两个方面:一方面是企业整体层面。基于信息系统的不稳定性或人员操作失误的影响,极易造成有效数据的丢失,从而,造成信息失真现象,企业在搭建信息系统时促进了其系统的升级,大大提高了硬件和数据的安全性。另一方面是业务层面。传统企业信息的传递均以纸张为主,其信息极易被人盗取,信息系统的实施,使信息传递载体逐渐由纸张向电子信息平台转变,以此,大大增强了信息的安全性和数据的有效性。
(四)对监控的影响
监督控制是指企业相关部门对内部控制的执行状况做出检查与考核,切实确保将内部控制落实到位。由于信息系统具有自动化与流程化等特征,且其为企业持续开展健康控制营造了良好的外部环境。因此,信息系统不仅实现了实时监督,提高了监督的效率和效果,而且受企业内部控制制度本身缺陷和信息系统本身漏洞的影响,给予企业顺利实施监督控制带来了极大的挑战。
二、企业内部控制信息化带来的系列风险
(一)企业信息化给企业经营带来的新风险
一是拓宽了风险评估范围。企业信息化的实现将所有企业信息集中起来,由数据处理系统统一管理和支配,该系统一旦被竞争企业其侵入,势必将使全部的企业信息展露在竞争企业面前,以至于企业遭受巨大的风险。二是加大了设备使用风险。硬件和软件共同构成了企业信息管理系统,硬件存在的问题给企业内部控制带来了严峻的挑战,软件中的稳定性低、切实度低等问题给予企业带来了新的运行风险。三是加大了道德风险。企业信息化的实现必须建立在内部系统与外部系统的连接基础之上,即加大了企业内部人员与黑客的合作机会,若黑客反向攻击,势必将给企业造成不可估量的损失。
(二)信息化与内部控制相辅相成,彼此影响与制约
企业信息化管理系统对信息数据进行有效的收集、控制以及管理,通过实现资源的合理配置,大大提升企业生产效率和决策水平,从而,促进企业的可持续发展。通常情况下,企业信息化水平与内部控制呈现正相关,即企业信息化越高,内部控制质量越高;反之亦然。
(三)信息化推进企业实现内部结构扁平化
就传统企业管理而言,其内部结构主要是以管理层级制度为依据的金字塔式结构,这种结构主要服务于中层管理人员,企业信息化管理的实现对企业信息及时更新和传递,有助于企业高级管理人员更能全面的把握企业整体经营管理状况。
【关键词】 资源型企业 疲劳风险 疲劳风险管理系统
疲劳是指由于长期熬夜、工作繁重、过度刺激、疾病或者压力所造成的部分或全部丧失生理和心理功能的状态。这一状态通常可以通过休息、睡眠或者治疗得到缓解。疲劳风险是指由于员工疲劳而可能导致的工作效率低下、工作失误增加、发生安全事故进而造成财产、环境甚至生命损失的可能性。疲劳风险管理系统(Fatigue Risk Management Systems,FRMS)是指通过建立评价系统,即时评估并发现员工疲劳,及时采取有效措施改善员工疲劳状态,进而防范疲劳风险的管理系统。
一直以来,很多执行24/7工作时间的行业、企业,都在关注员工疲劳给工作效率甚至工作安全带来的威胁。如何及时发现并衡量员工疲劳?如何改善由于员工疲劳导致的低效率?这些问题不仅困扰着企业管理者,也是企业股东和研究者极为关注的话题。
一、疲劳风险管理系统概念的演进
严格来讲,关于疲劳风险管理的研究并不是一个全新的命题,也不是一个单纯的管理学命题。它的演进伴随着社会学、医学、心理学及生理学的研究发展。
自电灯的发明在各个行业实现了广泛的商业化运用之后,每周7天,每天24小时的工作安排成为可能,也使得由于长时间工作所导致的职场疲劳成为一个主要的社会问题。20世纪初的劳工运动最终实现了对限定工作时间的制度化约定,并逐渐得到法律体系的认可和保护。这可以算作是疲劳风险管理发展的初端。自此之后,职场疲劳与劳工报酬和权利问题相互交织,成为20世纪工业企业管理发展过程中的主要推动力量,并最终在大多数行业和职位都形成了限制工作时间的管理制度。但是这一基于限制工作时间的疲劳管理制度也存在缺陷,它仅仅控制了系统的输入变量(如限制了工作的时间),但是却没有对系统的输出变量进行应有的评价(如实际的疲劳状态;由于疲劳造成的事故损失等)。
随着生理学关于人体生物钟以及睡眠活动研究的兴起和不断深入,基于限制工作时间的疲劳管理制度缺陷日渐明显。实验研究证明了人体生物钟对于人体生理及心理系统的极大控制力和影响力,同时也证明了在人体生物钟的作用之下,疲劳状态的缓解并不完全取决于睡眠时间的长短。也就是说,人体生物钟控制下的工作时间以及睡眠时间等,这些影响员工疲劳的重要因素没有在目前的工作时间管理制度中得到反映。由此可能导致的不良后果是,某一员工并没有违反连续工作时间的制度规定,但身体却处于严重的疲劳状态。对企业来说,若员工长时间处于这种状态,则会产生员工士气低下、生产效率降低、安全事故多发等不良影响。对员工个人来说,这一状态不仅会影响其身体健康,更会损害其心理健康并进而影响其家庭生活,导致其他社会问题的产生。这在倒班工人(shift workers)的生存状况中体现尤为明显。
如何准确的捕捉到员工的疲劳状态,进行更为科学有效的生产管理,这一问题不仅困扰着企业管理人员,也成为吸引众多学者的热门研究领域。而FRMS直至最近才成为一个被普遍认可的科学概念,其中一个主要的原因就是在各种研究活动中没有统一的术语。在近30年的研究过程中,不同术语用于描述针对疲劳进行的管理活动,包括警觉性保证(Alertness Assurance)、警觉管理(Alertness Management)、人本管理(Human-Centered Management)以及疲劳管理(Fatigue Management)等等。直到最近5年,较为完善统一的研究体系逐渐形成,疲劳风险管理这一概念被广泛接受并一举成为管理学界的一个新的研究热点。
二、资源型企业应用疲劳风险管理系统的必要性
FRMS首先在交通运输、航空以及核设施操作管理等行业实现了广泛应用。美国联邦铁路安全法案(The Federal Rail Safety Act)对执行FRMS进行了强制要求。欧洲航空安全管理局(EASA)已经要求在欧洲的航线必须执行FRMS。2011年9月,联合国专门机构国际民用航空组织召集了首次“疲劳风险管理制度”研讨会暨论坛。会议讨论制定了新的“疲劳风险管理制度”作为目前“飞行和执勤时间限制”的替代做法。
2010年4月,美国石油学会(American Petroleum Institute,API)出版了美国国家标准ANSI/API 755-2010《炼油和石油化工人员疲劳风险管理体系/Fatigue Risk Management Systems for Personnel in the Refining and Petrochemical Industries》,该标准适用于炼油、化工、化学工业和LNG接收站的设备运行操作人员。
我国资源型企业非常重视其生产活动对环境以及职工健康的影响,已建立了较为完善的HSE管理系统,但对疲劳所导致的风险仍没有给予必要的关注。殊不知FRMS在企业管理中的实践最初就是在资源型企业进行的。早在上世纪末,哈佛大学的Moore-Ede和Czeisler,C.A.以及斯坦福大学的Richard Coleman等人受邀在大盐湖矿产和化工公司进行了实验研究。实验开展当年,这家公司的生产率提高了22%,工作过程中的失误大量减少,员工流动率显著下降。同时健康调查也显示,员工由于胃肠道症状而就医的比例大幅下降。在研究项目结束后,这家公司的生产率仍持续提高,从而证明了上述改进并非“霍桑效应”。
由于资源型企业所从事劳动活动的特殊性,其所面临的疲劳管理问题是相当突出的,并且处于产业链条不同位置的资源型企业所面临的疲劳诱因极具复杂性。具体来说,处于产业链上游领域的资源型企业,如资源勘探、测绘等企业,一线员工通常需要进行长时间的野外作业,工作场所往往地处偏僻且不固定,工作环境恶劣。野外作业时,食物摄取较为单一,容易造成营养失衡,这些都是导致身体疲劳的直接因素。另外,野外作业期间远离家庭与社交网络,极易产生沮丧等负面情绪,从而造成隐性疲劳的状况。处于产业链中游领域的资源型企业,如资源开发、开采等企业,劳动操作较为简单、劳动强度较大、劳动场所噪音干扰严重、工作环境恶劣等等,这些都是导致员工身体疲劳的主要因素。处于产业链下游领域的资源型企业,如炼油、化工、管道运输、天然气储运等企业,大型设备的运行监控执行24/7工作时间,工作时人员较少、工作环境过于安静、舒适,在人体生物钟的作用下,极易产生反应延迟、困倦等疲劳症状。
总的来说,我国资源型企业亟需引入FRMS。同时由于疲劳诱因的差异性,企业需要采用的具体疲劳测量及管理方法也应不同。
三、资源型企业疲劳风险管理系统的建立
资源型企业FRMS应以疲劳评价系统为核心,同时建议辅以培训竞赛、风险评估以及医学辅助等支撑模块。
1、疲劳评价系统
疲劳评价系统主要是对可能产生疲劳风险的相关因素进行评价。这些因素既包括与工作活动直接相关的,也包括与工作活动间接相关的。具体内容见表1。
表1简要列示了疲劳评价指标及其评价内容,这些指标贯穿了整个工作活动的事前、事中和事后,基本实现了全过程管理。在具体应用时,还应注意根据作业的实际状况补充相关指标。在所列示的指标中,工作时间的测定指标易于量化并且可以通过实际测量获得;工作疲劳敏感度、工作环境等指标难以量化,一般要通过层级评价体现其与疲劳风险的关联度;睡眠时间、睡眠质量等指标则需要依靠员工报告获得。
另外,不同类型的资源型企业各指标的评价标准也会有所差别。如对工作环境是否封闭的评价中,并不应局限于工作活动范围的封闭。例如,石油天然气管输调度室,其工作环境是较为密闭的中央控制机房,这属于一种封闭环境。而海上平台作业或者物探小组的野外作业,这些工作活动范围较大,但是缺乏与亲人朋友的接触,也属于一种封闭环境。因此,在指标运用中一定要结合企业实际。
2、系统支撑模块
核心模块的运行离不开相关辅助模块的支撑。FRMS系统支撑模块主要由风险评估、医疗辅助和培训竞赛三部分组成。
风险评估是在动态监测疲劳风险的基础上,进一步做出是否进行干预的疲劳风险控制过程。它的具体内容应该包括:辨识潜在的危害;评估现有疲劳风险控制活动的有效性;做出是否进行干预的判断。疲劳风险评估可以采取多种形式并且按详略程度分成不同的层次。最为基础的风险评估应该在工作现场通过实际测定的方式进行,具体测定在工作执行过程中疲劳的产生、累积过程以及这一疲劳状态对员工作业效率的影响。资源型企业应定期进行风险评估活动,并制定具体的预防性措施。
医疗辅助是对疲劳评价系统提供科学支撑的模块设计。其具体内容包括:定期开展体能检查;由医务工作者针对员工反馈的疲劳问题进行专业的治疗方案拟定、实施。条件允许时,还应建立对慢性病(尤其是睡眠失调)的跟踪管理。
培训竞赛是推广执行FRMS并不断完善强化疲劳评价系统的模块设计。通过这一模块的活动,员工应该能够充分认识工作中的疲劳风险;了解人体生物钟理论的科学原理;主动报告疲劳状态;掌握减缓疲劳以及科学睡眠的方法策略等等。
3、FRMS各模块运行关系
管理系统的成功运行其实是信息充分沟通和共享、不断反馈交换的结果。FRMS各模块的运行也不例外,其各模块之间的信息交换关系如图1所示。
其中,疲劳评价系统与风险评估模块的关系最为紧密。通过动态监测及信息反馈,风险评估模块保障了疲劳评价系统的有效运行。医学辅助模块主要对疲劳评价系统所识别出的员工疲劳问题进行治疗干预,从而实现对整个FRMS的科学支持。培训竞赛模块希望通过对疲劳风险及管理知识的普及,深化企业及员工对于疲劳风险管理的重视。因为相较于传统的管理系统,FRMS更依赖员工的参与,疲劳状态的信息主要来自于员工的主动报告。
四、结论
目前,通过建立疲劳风险管理系统来有效监控和防范员工疲劳风险,已成为一个广泛的国际共识。国外的相关实验研究取得了显著的成效并得到积极推广,我国的FRMS研究推广才刚刚起步。本文在文献研究的基础上初步构建了资源型企业的FRMS,希望能够引起资源型企业对疲劳管理问题的重视,并对FRMS在资源型企业的应用有所裨益。
(注:基金项目:本文得到陕西省教育厅专项科研计划项目(项目编号:2010JZ18);西安石油大学科技创新基金项目(编号: Z08048)的资助。)
【参考文献】
[1] 不列颠百科全书[M].北京:中国大百科全书出版社,1999.
[2] Moore-Ede,M.C..The Twenty-Four Hour Society:Understanding Human Limits in a World That Never Stops[D].Boston:Addison-Wesley,1993.
[3] Czeisler,C.A.,Weitzman,E.D.,Moore-Ede,M.C.,Zimmerman,J.C.,Kronauer,&R.S..Human Sleep:Its Duration and Organization Depend on Its Circadian Phase[J]. Science,1980(210).
[4] Philippa Gandera,Laurence Hartleyb,David Powellc,Philippe Cabond,Edward Hitchcocke,Ann Millsf,Stephen Popking,Fatigue risk management:Organizational factors at the regulatory and industry/company level[J].Accident Analysis&Prevention,2011(43).