風險評估培訓全文(5篇)

摘要：實驗室安全教育是高校實驗室安全運行的首要環(huán)節(jié)。研究生作為實驗室中參與科研工作的主體力量，其安全意識、安全行為和安全技能對保障實驗室安全至關重要。文章結(jié)合我國高校實驗室安全管理現(xiàn)狀，針對高校實驗室安全事故主要起源于科學實驗過程中安全意識不高、實驗操作不當?shù)囊蛩?，借鑒新加坡國立大學實驗室風險評估培訓模塊，設計并實施了符合南京工業(yè)大學材料學科特點的實驗風險評估培訓，讓研究生在開展實驗之前就學會有效辨識危險源、正確預估實驗風險、找出最佳應對策略，以達到提高研究生安全素質(zhì)，降低實驗風險，保障實驗室安全的目的。

關鍵詞：風險評估；安全教育；實驗室；研究生

高校實驗室是我國培養(yǎng)研究生的重要陣地，他們都將活躍在科研、生產(chǎn)和管理的一線崗位，充分的安全意識和過硬的安全技能對他們尤為重要。近年來，媒體報道的典型高校實驗室安全事件，有70%來自國內(nèi)高校，52%的安全事件起因于違反實驗操作規(guī)程和實驗操作不慎[1]。國內(nèi)高校實驗室安全事故分析結(jié)果表明有80%的事故發(fā)生在科研實驗過程，且引發(fā)事故的群體有89%來自學生[2]。因此，加強研究生的實驗室安全教育，特別是實驗過程的安全教育，使其在開展科學實驗之前就掌握識別、評估和控制風險的能力，對于預防和減少實驗室安全事件的發(fā)生，具有重要意義。

一國內(nèi)外研究生實驗室安全教育現(xiàn)狀

高校實驗室中人的不安全行為始終是高校實驗室管理工作的一大難題，也是引發(fā)安全事故的主要因素。事故致因理論認為由人的不安全行為引發(fā)的安全事故占有很大比例。海因里希事故因果連鎖論認為大多數(shù)的工業(yè)傷害事故都是由人的不安全行為引起的，人的不安全行為誘發(fā)了約85％-90％的安全事故[3-5]。因此，加強人的安全教育，提高實驗室安全準入門檻，已成為國內(nèi)外高校加強實驗室安全管理的主要途徑之一。國外高校和科研院所歷來高度重視實驗室安全教育，較早實施實驗室安全學習與準入制度。美國密西根大學新生在進入實驗室前必須接受一系列安全培訓并通過考試，實驗室有組長（一般為研究生）進行監(jiān)督提醒[6]。美國佐治亞理工學院EHS部門開發(fā)了實驗室與化學品安全、環(huán)境安全等安全項目，為師生提供專業(yè)的監(jiān)督、咨詢和培訓服務[7]。加拿大材料技術研究所對通過安全學習的發(fā)放“準入卡”，限定進入實驗室權(quán)限和使用設備權(quán)限，“刷卡即責”[8]。澳大利亞同步輻射中心新進人員必須通過安全培訓后才能進入科研機構(gòu)，中心經(jīng)常組織疏散演習和實際撤離[9]。牛津大學的實驗人員通過安全培訓后，還要導師和實驗室負責人同意，才能進入實驗室[10]。我國高校實驗室安全教育起步較晚，近年來隨著重視度日益提高，已取得較大進步。江南大學2011年開始對全校師生實施強制性實驗室安全知識考試和準入制度，并通過本科生選課、研究生畢業(yè)論文開題和新教工領取教師資格證等環(huán)節(jié)設置約束門檻，取得了良好效果[11]。清華大學化工系在2015年建立了化學實驗室準入制度，在常規(guī)安全學習基礎上，增加實驗室安全“告知＋分析”環(huán)節(jié)，并通過門禁授權(quán)進行約束管理[12]。但是，實驗室安全準入僅是安全管理的第一步，要充分保障實驗室安全，還需要加強實驗過程管理。

二新加坡國立大學實驗室風險評估管理的優(yōu)勢

新加坡國立大學是新加坡首屈一指的世界級頂尖大學，一直都將安全與健康譽為其核心價值之一。本文作者之一曾在該校工程學院訪學，親歷其嚴謹?shù)膶嶒炇野踩逃贫群团嘤栿w系，感觸頗深。例如，每個實驗室必須配備一名有安全資質(zhì)的專職教師作為實驗室安全員，監(jiān)督和管理實驗室活動。實驗人員在開展實驗項目前須填寫《風險評估報告》，由實驗室安全員評估通過后，方可開展相關工作。學院開展風險評估應用培訓，要求人人參與，目的是讓大家學會對危險源進行風險評估，并采取措施最大化降低風險等級，減少傷害。危險源識別是風險評估的第一步。首先將一項工作分解成幾個連續(xù)步驟，再努力識別每個步驟中各項操作任務的可預見危險和處于潛在危險中的人，最后將每個操作任務中的危險源單獨列出，并詳盡描述其對應的危害后果，只有已被識別的危險源才可以得到控制。識別出危險源后，就是確定風險等級。通過審視現(xiàn)有的風險控制措施，評估危險源帶來風險的嚴重程度和發(fā)生可能性，將嚴重性和可能性量化后進行乘積，就得到風險等級（詳見表1）。確定了風險等級，最后就是采取控制措施，降低風險，并持續(xù)檢查以確保風險控制的有效性。只有高風險被降低到允許或可接受的風險水平后，才能執(zhí)行相應的操作任務。當風險等級等于1或2時，表明該任務屬于可以接受的低風險水平，可以直接開展工作，但需要經(jīng)?；仡櫼源_保風險等級的精準；當風險等級等于3或4時，表明該任務屬于中級風險水平，要對危險源進行仔細評估以確保在一定時間內(nèi)能降低風險，或采取加強管理等臨時性措施，才能開展工作；當風險等級在4以上時，表明該任務屬于高風險水平，必須立即采取措施將高風險降至中級風險水平及以下，才能開始工作，臨時性措施在此不適用，也不能過度依賴于個人防護設備。風險控制的措施或行為要具有可操作性。一般來說，控制風險最好是嘗試消除危害或采用危害性更小的替代性辦法。當消除及替代方案都不可行時，再選擇一個較強的干預措施，其次就是建立管理機制，最后是增加個人保護裝置。個人防護用品僅是應對風險的最后一道防護，不能作為首選的風險控制辦法。

1前言

查找信息資產(chǎn)存在的漏洞，結(jié)合現(xiàn)有控制措施，分析這些威脅被利用的可能性和造成的影響，根據(jù)可能性和影響評估風險的大小，提出風險控制措施的過程?！秶倚畔⒒I導小組關于加強信息安全保障工作的意見》在2003年9月被提上日程（簡稱27號文），提出了“信息安全風險評估是信息安全保障的重要基礎性工作之一”。為了貫徹27號文的精神，進一步識別信息系統(tǒng)存在的風險，并對其進行控制，很多單位啟動了風險評估項目。而風險評估項目又不同于一般的IT項目，有其自身的特點。

2信息安全風險評估項目的過程管理

可以從五個方面解釋信息安全風險評估項目的生命周期，即數(shù)據(jù)收集、計劃準備、數(shù)據(jù)分析、項目驗收、報告撰寫，其中一三五是風險評估的主要實施階段。

2.1計劃準備階段

（1）制定項目章程。在信息安全風險評估項目中，應盡早確認并任命項目經(jīng)理，最好在制定項目章程時就任命。項目經(jīng)理的職責首先就在于應該參與制定項目章程，而該章程則具有授權(quán)的作用，即它能夠使得經(jīng)理能夠運用組織資源來進行項目的實施。顯而易見，項目經(jīng)理是被授權(quán)的一方，必然不能成為授權(quán)項目運行有效的一方。授權(quán)項目啟動的人一般而言能夠提供實施項目所需要的資金等資源，他們能夠參與章程的編制。

（2）確定風險評估范圍。確定風險評估范圍即要了解什么方面或者對象具有風險爆發(fā)的可能，例如公司的服務器數(shù)目、電腦操作系統(tǒng)的安全性和穩(wěn)定性、應用的防火墻種類和數(shù)目等，甚至一些人為的因素也是重要的參考。

摘要：利用網(wǎng)絡安全漏洞進行有組織、有目的的網(wǎng)絡攻擊形勢愈加明顯，一方面留給應急響應的時間窗口越來越小，另一方面應急響應所需的威脅知識、專業(yè)技能、熟練程度等卻不斷增加。本文提出了網(wǎng)絡運營者作為防守方開展應急響應的簡明流程及響應步驟，為相關單位提供實踐參考。

關鍵詞：網(wǎng)絡安全關鍵信息基礎設施攻防演練

1引言

伴隨著信息技術在社會發(fā)展中的重要性越來越高，網(wǎng)絡空間已經(jīng)成為大國博弈的新戰(zhàn)場。網(wǎng)絡安全攻防演練作為檢驗關鍵信息基礎設施的網(wǎng)絡安全防護、提升網(wǎng)絡運營者應急響應水平等關鍵工作的重要手段，以實戰(zhàn)和對抗的方式促進提升網(wǎng)絡安全保障能力，具有重要意義。本文站在網(wǎng)絡運營者視角，以參與組織的一次政府網(wǎng)站實戰(zhàn)攻防演練過程為例，簡述攻防演練中防守方如何開展工作，為相關單位提供組織應對經(jīng)驗。

2演練內(nèi)容

某單位組織網(wǎng)絡安全專業(yè)技術人員組成若干攻擊隊伍，對管轄范圍內(nèi)二級機構(gòu)的官方網(wǎng)站及業(yè)務系統(tǒng)進行持續(xù)5天的安全攻擊測試，驗證目標系統(tǒng)安全防護能力的有效性，每天固定時間在統(tǒng)一演練平臺提交防守方報告。筆者所在單位作為目標網(wǎng)站及業(yè)務系統(tǒng)運營單位，需確保目標信息系統(tǒng)的實體安全、運行安全和數(shù)據(jù)安全，最大限度地減輕網(wǎng)絡安全突發(fā)事件的危害。

3組織架構(gòu)

摘要：通過分析國際食品法典委員會（CodexAlimentariusCommission，CAC）框架下食品安全風險分析過程中的食品安全風險交流機制，并分析食品安全風險交流的基本特性，明確其基本概念、風險交流形式及基本原則，同時探討CAC食品安全風險交流的監(jiān)管工作及風險交流的注意事項，以期從風險交流的主體、參與平臺以及國際合作多個角度為我國食品安全監(jiān)管中風險交流工作提供參考。

關鍵詞：食品安全；風險交流；國際食品法典委員會；啟示

1食品安全風險交流的基本特性

1．1風險交流的基本概念

“風險交流”從英文riskcommunication翻譯而來。國際食品法典委員會在《食品法典委員會框架下實施風險分析工作原則》中指出，風險交流的定義是在風險分析過程中，風險評估人員、風險管理者、消費者、業(yè)界、學術界和其他有關各方之間對于風險、風險的相關因素和風險的看法，包括風險評估結(jié)果的解釋和風險管理決策的基礎。在國際食品法典委員會關于《現(xiàn)代生物技術食品安全風險分析準則》中強調(diào)了風險交流，即風險交流是用來解釋如何和為什么作出決定，它明確回應利益相關方及公眾提出的任何疑慮，解釋為何這些問題被關注，風險交流是一個利益相關方和被影響方反復交流的過程。國際食品法典委員會列出的特性指出，在風險分析過程中應包括風險交流，它與政府組織結(jié)構(gòu)緊密聯(lián)系。風險交流是包含理解科學和技術風險的一門科學，分為2個主要組成部分：技術部分一般包括對風險評估過程中的危害進行科學評估，非技術部分包括政府、監(jiān)管機構(gòu)處理文化和社會倫理問題［3］。風險分析過程中，風險交流須在重點關注健康和環(huán)境安全的同時用一個簡單綜合的方式交流，避免涉及細節(jié)的技術問題，溝通的細節(jié)應著眼于確保技術安全和用戶受益的各項監(jiān)管過程。同時，風險交流的主要功能應該是確保所有的信息和觀點有效地納入風險管理的決策過程，這些信息與觀點應包括：風險分析過程中，對具體問題的認識和理解；制定風險管理備選方案／建議中的一致性和透明度；為風險管理決策提供一個良好基礎；提高風險分析的整體效益和效率；加強參與者之間的共事關系；促進公眾對風險分析過程的認知，提高他們對食品供應安全的信任和信心；促進有關各方的適當參與；交換信息，以便與有關方面關注與食品相關的風險。風險交流應對風險評估政策和風險評估中的不確定性給出一個清晰的解釋，相關的要求如具體的標準、相關文本、后續(xù)決策的程序須要明確解釋。應指明任何制約因素、不確定性等對風險分析的影響。

1．2風險交流的形式

食品安全風險交流包括風險評估機構(gòu)間的交流，也包括和公眾的交流。二者有不同的目的、形式，因此也有不同的內(nèi)容、方式。如風險評估機構(gòu)間的交流是雙向互動過程，交流信息主要包括食品、食用農(nóng)產(chǎn)品安全風險監(jiān)測信息以及食品、食用農(nóng)產(chǎn)品安全風險評估結(jié)果等信息2個方面，其目的是政府部門間協(xié)同治理。而公眾交流是指食藥監(jiān)部門及其他監(jiān)管部門、風險評估專家委員會及技術機構(gòu)食品安全風險評估結(jié)果和食品安全監(jiān)管信息，并搜集利益相關者的反饋。

一、我國中央銀行內(nèi)部審計發(fā)揮風險管理作用的現(xiàn)狀分析

（一）我國中央銀行內(nèi)部審計以及風險管理的現(xiàn)狀

我國中央銀行內(nèi)審部門自1998年成立以來，緊跟內(nèi)審行業(yè)發(fā)展步伐，積極學習、借鑒國際、國內(nèi)內(nèi)部審計準則和先進內(nèi)部審計實務經(jīng)驗，內(nèi)審工作得到了長足發(fā)展。內(nèi)審工作從成立之初至今，經(jīng)歷了以財務審計為主，逐步進入到業(yè)務審計、績效審計、風險導向?qū)徲嫷葘徲嬆Ｊ讲粩嗳诤习l(fā)展的階段，審計覆蓋面不斷拓寬，涵蓋中央銀行業(yè)務的方方面面。特別是自中央銀行內(nèi)審轉(zhuǎn)型提出以來，2011年起內(nèi)審工作確立了“風險導向、控制驅(qū)動、關注績效、服務治理、增加價值”理念，進一步推進了內(nèi)審發(fā)展步伐。其中：在審計內(nèi)容上，由單純關注制度執(zhí)行的合規(guī)性審計，逐步向關注流程運轉(zhuǎn)的風險管理審計轉(zhuǎn)變；在審計評價上，由簡單的“對與錯”評價，逐步向更多地關注控制強弱、風險高低、危害大小以及效率、效果情況的評價上轉(zhuǎn)變。經(jīng)過二十年的發(fā)展，我國中央銀行內(nèi)部審計在內(nèi)部控制、風險管理、組織治理中的作用日益突顯。目前，我國中央銀行風險管理尚未形成完善的工作機制，主要依靠各職能部門通過完善制度、崗位復核、內(nèi)部監(jiān)督等方式進行風險管理和應對。內(nèi)審部門主要通過開展風險評估工作來推動風險管理工作。2013年8月，中國人民銀行內(nèi)審司正式出臺了《中國人民銀行內(nèi)審部門風險評估工作試行辦法》，其中規(guī)定由內(nèi)審部門對中央銀行各項職能和業(yè)務領域開展風險評估，通過風險識別、固有風險評估、控制有效性評估、剩余風險計算，確定評估對象的風險級別；還制定了風險評估對象基本清單、中央銀行的主要風險事件等。2016年10月，我國中央銀行內(nèi)審部門風險評估管理系統(tǒng)正式上線。內(nèi)審部門的風險評估工作需各業(yè)務部門配合開展風險識別和評價工作，但其初衷是為實現(xiàn)“風險引導審計、審計關注風險”，即內(nèi)審部門可根據(jù)風險評估結(jié)果制定審計計劃，配置審計資源，是為實施審計服務的。雖然風險評估工作具有風險管理的雛形，但并非真正意義上的風險管理工作。據(jù)此，本文認為我國中央銀行風險管理尚處在不成熟發(fā)展階段，內(nèi)審在風險管理中的作用尚待進一步挖掘。

（二）我國中央銀行內(nèi)部審計在發(fā)揮風險管理作用中存在的問題

1.風險管理意識薄弱。風險管理工作能否取得成效，觀念轉(zhuǎn)變與否是關鍵。而目前我國中央銀行各級行對風險管理存在不同程度的錯誤認識，尚未意識到其對單位生存和發(fā)展的重要性，這些造成了各部門風險概念缺失、風險管理不到位。另外，很多單位沒有認識到內(nèi)審工作能夠有效推動風險管理工作開展的作用，認為大多數(shù)內(nèi)審工作僅僅是起到監(jiān)督的作用，對內(nèi)審工作的風險導向理念并不認同，內(nèi)審工作推進風險管理工作時并不順暢。如在審計過程中，內(nèi)審人員在提示無制度規(guī)定的潛在風險問題時，常常不為審計對象所理解。目前內(nèi)審工作的重點仍然是傳統(tǒng)的內(nèi)審基礎工作，主要職能范圍是審核財務、業(yè)務工作是否合規(guī)、真實，風險審計相關概念難以在實際工作中推進。2.內(nèi)審獨立性不足。我國中央銀行內(nèi)審部門既接受本行行長領導，又接受上級內(nèi)審部門的管理，這種雙重領導體制制約了內(nèi)審職能和獨立性的發(fā)揮。在沒有權(quán)利保障的情況下，風險審計工作難以有效開展，主要表現(xiàn)在：一是由于內(nèi)審部門和被審計部門處于同一級，內(nèi)審工作很難站在高層的位置上開展，審計計劃和開展審計工作時也缺乏全局性；二是在內(nèi)部工作的開展過程中，經(jīng)常會受到各式各樣的干擾和不配合，內(nèi)審工作不能有效開展和進行計劃實施，也影響內(nèi)審人員的積極性，故而很難客觀地對存在的風險和問題提出預測和建議；三是審計建議的執(zhí)行缺乏有力保障，執(zhí)行速度緩慢如內(nèi)審查處問題的整改制度尚不完備，對整改不力的缺乏具有約束力的處理，不利于審計建議的落實。綜上所述，內(nèi)審工作沒有權(quán)威性和獨立性，只能進行基礎性的監(jiān)督、審查工作，更談不上整體的風險評估了。3.風險評估工作的組織管理模式不完善。目前我國中央銀行內(nèi)審部門主要通過風險評估工作發(fā)揮風險管理作用，若風險評估工作能進一步發(fā)展完善，則更好地發(fā)揮風險管理作用。但目前在風險評估工作實踐中，評估組織方式并不完善，影響工作成效。中國人民銀行內(nèi)審司在《中國人民銀行內(nèi)審部門風險評估工作試行辦法》中要求，風險評估組織方式要采用專家法，通過成立風險評估工作組或召開風險研討會等方式，綜合考慮各成員意見，確定評估對象的風險級別，保證評估效果。但在實際評估組織中，存在將風險評估工作交由個別人去做、內(nèi)審部門關門搞評估等問題，由于評估領域較多，個人專業(yè)能力有限，難以獲得有效的評估結(jié)果。還存在不加分析直接將業(yè)務部門的風險自評估結(jié)果作為內(nèi)審部門的評估結(jié)果使用，影響評估結(jié)果的準確性。此外，盡管有的單位非常重視風險管理工作，并在全行范圍內(nèi)開展了業(yè)務部門風險自評估，但由于業(yè)務人員風險意識和評估標準掌握的差異，導致自評估結(jié)果難以滿足內(nèi)審部門的需要。4.內(nèi)審人員素質(zhì)參差不齊。隨著我國中央銀行業(yè)務發(fā)展以及風險預測和評估需求的提高，對內(nèi)審人員的素質(zhì)提出了更高要求。內(nèi)審人員必須熟悉中央銀行業(yè)務工作，具備良好的風險分析、信息處理技能，掌握財務經(jīng)濟等相關知識，才能勝任風險管理工作。目前，總體來看，從事內(nèi)審工作的大多為財務人員，缺乏有其他業(yè)務領域工作背景的專業(yè)人才以及熟悉多項業(yè)務的復合型人才。在內(nèi)審人員的培訓中也存在諸多問題，培訓深度低，針對性不強，缺乏整體的職業(yè)規(guī)劃和職業(yè)指導。審計人員自身也缺乏良好的批判性思維和信息綜合分析能力。此外，內(nèi)審人員大多出于慣性思維把自己定位為監(jiān)督人員而非創(chuàng)造價值的人員，難以有效地發(fā)揮服務管理的作用。5.對內(nèi)審工作成果重視不足。在我國，內(nèi)審工作是在經(jīng)濟體制改革不斷深入過程中行政命令的產(chǎn)物，目的在于建立監(jiān)督體系和約束企業(yè)行為，而不像西方國家是隨著經(jīng)濟發(fā)展企業(yè)須加強管理的需要產(chǎn)生的。中央銀行內(nèi)審部門的產(chǎn)生背景也大致如此，這種背景下難免會產(chǎn)生內(nèi)審機構(gòu)發(fā)展內(nèi)部動力不足、各層級忽視內(nèi)審工作結(jié)果的重要性等問題。內(nèi)審工作不受管理層的重視、得不到業(yè)務部門的認可，會嚴重挫傷內(nèi)審人員的工作積極性，同時也會嚴重阻礙內(nèi)審工作的開展。一方面，鑒于管理層不重視內(nèi)審工作，工作支持力度不大，一定程度上影響高質(zhì)量、有建設性結(jié)果的審計報告的產(chǎn)生；另一方面，高質(zhì)量的審計報告一般都會對長期存在的各種問題提出整改意見，假如這些意見不被重視，那么長期存在的弊病就難以徹底消除。

二、國外內(nèi)部審計參與風險管理的經(jīng)驗借鑒與啟示

（一）IIA關于內(nèi)部審計在風險管理中作用的意見