第一篇:信息系统风险评估作业指导书
中科园智能网络系统有限责任公司 信息系统风险评估作业指导书
1、作业目的
信息系统风险评估作业是我公司的主要服务内容之一,其目的是通过发现客户系统中的安全风险和威胁,对客户系统进行真实、可靠的安全评估,为客户信息系统的安全整改提供依据和建议,从而帮助客户切实改进自身信息系统,使客户系统顺利达到相关安全接入标准。
2、作业范围
信息系统风险评估作业的范围主要包括: 2.1 信息系统用户访问
针对信息系统的风险评估作业的主要依据和方法是对信息系统的用户访问,通过访问发现系统资产的重要性、操作方法、业务流程、依赖程度、受攻击情况、安全管理制度、人员管理制度、管理机构设置以及管理状况等等。2.2 信息系统现场勘察
针对信息系统的现场勘察作业,可以发现系统的物理安全环境、实际拓扑结构以及实际的管理状况,并可通过现场勘察验证资产信息和配置状况。对于内网系统,现场勘察过程中也可进行必要测试和验证作业。
2.3 信息系统远程测试 针对信息系统的远程测试主要目的是通过远程方式,在时间相对宽裕的条件下通过善意扫描和渗透,测试客户信息系统的安全状况和安全程度,并提出适当报告和相关建议。但远程测试并非每个评估作业项目都必需的作业方式,除非经过用户许可或现实条件允许,否则不应采用远程测试方式进行评估作业。2.4 信息系统威胁分析
通过人员访问、现场勘察、远程测试等途径,从客户资产识别、脆弱性识别以及威胁性识别三个方面出发,基于信息系统的可用性、完整性、安全性三原则出发,根据资料对比、客户沟通结果进行分析和验证。
2.5 信息系统评估报告
针对客户信息系统威胁分析结果生成评估报告并附加安全整改建议。
2.6 信息系统安全演练
信息系统安全演练的主要目的是基于作业员工的评估素质出发,进行日常训练。内容包括评估方法训练、测试技术训练、资料分析训练等等。
3、职责划分
3.1 评估管理小组
因为信息系统的风险评估工作本身带有一定的风险,因此加强作业管理、重视客户沟通就必然成为评估作业首要的保障手段。评估管理小组的主要职责正是通过对作业人员、作业行为、作业工具、作业结果、历史档案以及客户资料的管理,保证整个评估项目的顺利进行和成功交付。3.2 评估作业小组
评估作业小组的主要职责包括:针对资产的依赖性识别、重要性识别等;针对系统脆弱性的用户访问、历史资料分析、拓扑结构分析、稳定性分析等;针对系统威胁的历史资料分析和用户访问。以及通过分析历史资料、安全环境、用户习惯、测试结果、标准规范等形成风险评估报告和整改建议。3.3 技术测试小组
技术测试小组的主要职责包括:在获得客户许可的前提下对客户信息系统进行现场技术测试和模拟攻击,在远程通过善意扫描和渗透测试模仿非法行为等方式更好的确定系统存在的漏洞和风险,为评估作业分析提供详实、可靠的技术依据。3.4 风险控制小组
风险控制小组的主要职责包括:根据系统的重要程度和用户对系统的业务依赖程度,确定整个系统的测试方法,并对测试方法进行认真审核和控制以防止对用户系统产生破坏作用影响客户正常的业务使用。并在测试之前形成风险控制计划和应急响应计划及相应措施。
4、作业流程
4.1 管理作业流程
首先:同客户进行接触,了解客户自身信息以及客户对于信息安全风险评估的和目的,形成《客户档案》。其次:明确风险评估的范围,并向客户说明风险评估的过程和可能产生的意外情况。形成《风险评估范围说明书》及《客户意见表》。并根据所了解情况撰写客户《评估方案书》。
再次:与客户签订风险评估服务合同和信息系统资料保密协议。争取获得客户对于信息系统进行现场测试和远程测试的授权书。再次:审查、保管由测试组、评估组、风控组提交的《测试方案》、《评估方案》、《风控方案》。若发现所接收方案存在问题,应及时填写《方案审查结果》并通知方案提供者,进行修正或变更。再次:在接到测试组、评估组、风控组递交的《沟通请求报告》后和客户进行及时沟通,解决随机发生的各种矛盾,形成《客户沟通记录表》。
再次:审查、保管由测试组、评估组、风控组提交的《测试报告》、《评估报告》、《整改建议》、《评估过程监督报告》。若发现所接收方案存在问题,应及时填写《报告审查结果》并通知方案提供者,进行修正或变更。
最后:向用户出具《评估报告》和《整改建议》,并进行解释、说明。4.2 测试作业流程
首先:根据管理组撰写的《范围说明》、《客户意见表》、《评估方案》以及《测试授权书》制定《测试方案》。
其次:进行现场或远程测试。生成《测试报告》。在需要与客户配合时,向管理组递交《沟通请求报告》。
再次:根据分析《测试报告》,生成包含有可接受风险、不可接受风险统计信息的《风险说明书》以及包含不可接受风险防范措施的《整改建议》。
最后:将《测试报告》、《风险说明书》、《整改建议》交付评估作业组,并进行必要的解释和说明。4.3 评估作业流程
首先:根据管理组提供的《客户档案》、《范围说明》、《客户意见表》、《评估方案书》制定《信息系统安全评估方案》。
其次:准备《客户访谈记录表》,该表应包括《客户资产访谈记录表》、《目标系统调查表》、《客户系统安全配置记录表》、《客户系统管理措施记录表》、《历史威胁访谈记录表》、《客户所在行业所面临安全风险历史记录表》、《信息系统安全风险形式分析表》以及国家有关于信息系统安全评估的法律、法规、政策、标准。
再次:进入评估现场。访谈客户,填写《客户访谈记录表》。再次:根据《客户访谈记录》和测试组递交的《测试报告》、《风险说明书》和历史资料库,对客户系统所存在的安全风险进行分析对比,生成《客户信息系统安全风险评估报告》。通过整理分析测试组递交的《整改建议》和《客户信息系统安全风险评估报告》生成《客户信息系统安全风险整改建议书》,并提交管理组交付客户。4.4 风控作业流程
首先:接受管理组提交的《评估范围说明书》、《客户意见》、《评估方案书》和评估组提交的《目标系统调查表》、《客户所在行业所面临安全风险历史记录表》,通过分析产生《潜在评估风险记录表》。其次:根据《潜在评估风险记录表》,进行现场勘察和客户访谈,产生《风险控制现场调查记录》,通过分析产生《潜在评估风险控制方案》。
再次:将《潜在评估风险控制方案》提交管理组和评估组、测试组进行方案修订。
再次:审查评估组和测试组的相关方案,控制其中的潜在风险。当需与客户沟通时,填写《沟通请求报告》,交由管理组同客户沟通协调。最后:对测试组的测试过程进行监督,生成《评估过程监督报告》,并提交管理组审查。
5、成果约束
5.1 过程文档
管理组:《评估方案书》、《方案审查结果》、《报告审查结果》 测试组:《沟通请求报告》
评估组:《沟通请求报告》、《客户访谈记录表》 风控组:《沟通请求报告》 5.2 分析文档
管理组:《客户意见表》 测试组:《风险说明书》
评估组:《目标系统调查表》、《客户系统安全配置记录表》、《客户系统管理措施记录表》、《历史威胁访谈记录表》、《客户所在行业所面临安全风险历史记录表》、《信息系统安全风险形式分析表》以及国家有关于信息系统安全评估的法律、法规、政策、标准。
风控组:《潜在评估风险记录表》 5.3 最终文档
管理组:《风险评估服务合同》、《评估测试授权书》、《客户档案》、《评估范围说明书》、《风险评估报告三》、《整改建议三》。
测试组:《测试方案》、《测试报告一》、《风险说明书》、《整改建议一》 评估组:《评估方案》、《评估报告二》、《整改建议二》 风控组:《风控方案》、《评估作业监督报告》、
第二篇:信息系统的内部控制与风险评估
浅谈如何加强信息系统内控建设防范安全风险
仲婕
江苏省电信有限公司苏州分公司
摘要:如何保证信息系统处理流程规范,系统数据安全完整准确,内控制度落到实处,本文从信息系统的开发建设、运行维护、审计检查几个方面论述如何加强内控制度建设防范安全风险。关键词:信息系统、内控制度
随着电信企业各项生产运营系统的建立与使用,各类信息系统的内部控制是否健全、风险是否得到有效控制就成为了内部审计关注的重要课题。
近年来电信企业上线运行的重要信息系统有BSS业务受理系统、OA办公自动化系统、资源管理系统、综合调度系统、智能网管理系统、计费账务系统、计划建设管理系统等等。这些信息系统的建立运用能解决人工难以及时处理大量信息数据、难以及时进行复杂运算分析的难题,利用信息系统可以将人工处理的程序、模型预先设计好,帮助企业高效率地管理生产过程,帮助企业及时获取并提炼重要的信息,以利于提高企业综合竞争力。但这些系统是否安全、是否符合内控要求,信息数据是否完整准确,却无人来回答。内审部门作为企业的内部控制监督检查部门有责任有义务对信息系统的内控制度进行评估检查,分析系统的安全风险,堵塞系统漏洞,切实发挥信息系统在企业发展决策方面的支撑作用。
日前获悉,某电信运营企业因小灵通预付费系统超级密 码被盗,导致被非法制作了1000多万元的小灵通充值卡,至案发时已全部充值消费,给电信企业造成了巨大的经济损失。由此看出信息系统的安全与否直接影响着企业的经济利益,对企业是至关重要的。
本文将就信息系统如何加强内部控制、防范安全风险谈几点看法:
一、信息系统从开发建设起就必须建立一套完整的内控流程
1、信息系统程序设计必须健全数据核对环节,保证数据准确
信息系统能提高企业管理效率,提升企业服务水平,提高企业竞争应变能力,但这一切是建立在信息系统能提供完整、真实、准确数据的基础上的。如果数据经过信息系统的一系列加工处理流程,其中发生了部分溢出、丢失或变异,那么信息系统会输出错误的数据,经营管理者依靠错误的数据肯定不会得出正确的结论。因此信息系统的数据完整准确是首先要保证的。如何保证数据准确呢,一般情况下采用在重要数据输入前和处理输出后进行总量比对、结构比对、逻辑验证等方法验证数据是否完整准确。
2、信息系统建设必须考虑数据安全存放,保证数据安全
一般情况下数据是否安全主要考虑两个方面,一是数据库是否安全,能否防止非法访问,如果发生有非法访问,或是发生恶意修改、篡改数据情况的,系统是否会留下记录,能否及时告警。另外一方面是数据存放介质是否可靠,有无备份,重要数据是否异地存放,防止自然灾害对数据安全的危害。
根据电信企业信息系统数据对企业生产经营、财务报告等的影响程度分别对数据进行ABC分类,A类数据库如会计核算系统、计费账务系统必须要具备可靠的存储介质,严格建立实时的异地备份,以保证数据安全。B、C类数据根据机房容量、建设成本情况分别制定备份计划,采用两种以上介质存储、两个不同机房存放等方法。
3、信息系统开发要考虑设置严谨的密码策略,杜绝非法入侵
信息系统必须建立用户身份的验证机制,对信息系统的访问必须使用用户名和密码,而且每个用户帐号被授予唯一的用户。同时要制定严谨的密码政策,并根据密码政策在系统固化相应的设置,以避免用户使用安全级别低的密码。密码政策具体包括: 用户密码长度不得低于6位、密码应至少每90天进行更新、不得使用最近的密码。以上称为’6901’密码策略,对于超级用户则需要按照’8901’来设置密码,位长不少于8位,更新周期同普通用户。
在对电信企业信息系统进行内控评估时,发现较多的系统存在用户名、密码共用的现象,不符合内控要求。共用账号、密码会影响密码的定期更换、不能防止非法访问,发生 问题时也无法落实责任。因此有此现象的应当确认为重要缺陷,必须立即整改。
二、信息系统运行维护要严格遵守内控规定
1、用户账号变更严格履行审批
对信息系统的用户创建和授权必须通过信息系统主管部门主管人员审批后,方可由系统管理员在系统中创建用户帐号,以避免未经授权帐号及权限的创建或修改。在员工工作调动或离职等工作职能发生变化时,由人力资源部或用户所在部门及时正式书面通知系统维护部门,由系统管理员更新或删除其相应的访问权限。
在对某电信企业信息系统进行内控评估时,发现用户账号的创建、修改缺少书面审批资料,无法证明是否经过必要的授权,因此被认定为内控执行缺陷。
2、重要操作要严格执行复核、审批制度
对信息系统的重要操作如涉及数据增加、修改、变更等需要坚持复核、审批制度,即一人操作、一人复核再加上主管审批,防止误操作,影响信息数据准确。在大家都熟悉的会计核算系统中凭证制作必须要经过复核才能记账,这也是遵循内控规定的重要体现。以电信企业的计费系统为例,系统操作人员需要根据营销政策对批量用户进行赠送话费操作,此操作会影响一大批用户的预存款余额,不能发生任何 4 差错。操作人员要将营销政策的文字信息转化为计算机语言,既不能送错对象,也不能多送或少送,所以此类重要操作就必须严格执行复核、审批制度。
3、系统操作要有完善的记录
一般信息系统本身会具有记录的功能,将维护人员的维护操作全部记录下来,生成专门的维护日志,供主管定期审阅。但也存在个别信息系统在程序开发时未提供完善的记录功能,不是所有重要操作都能记录系统中,在这种情况下,必须要求系统操作人员作好手工记录,记录的内容包括操作员姓名、操作指令、依据、时间、结果等信息。对重要的操作指令先要履行上述第2条规定复核程序。
4、不相容职务严格分离
《内部会计控制规范》中只是说“不相容职务主要包括:授权批准、业务经办、会计记录、财产保管、稽核检查等职务”。事实上,一个企业或一个组织因业务种类、机构设置不同,所要明确的不相容职务是不尽相同的,既涉及不同部门的不相容职务又涉及同部门不同岗位的不相容职务。在此仅讨论涉及信息系统的不相容职务分离的问题,如上文所提的用户创建、修改操作与审批、数据录入与审核、系统操作与复核、数据维护与统计记账等。将这些职责分离是为了保证信息系统数据处理的合法合规性,谨防信息系统本身出现重大风险。以电信企业为例,信息系统运用广泛之后,产生了许多电子化虚拟货币如Q币、电子卡等有别于传统货币的实物,无法按照原来实物管理的模式进行到货验收、保管记录、月度盘点等工作,但作为系统管理的虚拟实物还必须要建立这样的职务分离制度,负责管理虚拟实物部门(即系统维护部门)与购买、销售部门分离,实物管理部门与会计记账部门分离,建立相互核对、相互监督的内控工作制度,以两个不同系统的数据核对,或以人工计算核对等方法来验证信息系统数据的完整。以Q币为例,在电信企业就经历购买、入库、销售、计费、记账等诸多环节,购买与入库、销售与计费、计费与记账就必须按照不相容职务分离规定执行,相互之间建立进行定期对账机制,以保证Q币的购销存业务流程闭环管理。
我们都知道不相容职务分离是内部控制的核心,在信息化环境下,更加需要强调不相容职务分离原则,因为业务管理流程经过信息系统固化之后,所有人员都会在系统中承担一个或多个角色,角色分配结果在一段时间内是不会发生变化的,这些角色之间是否是不相容职务,是否会存在因分工不当导致舞弊行为的发生,都直接影响信息系统的安全性。
三、内审部门要加强信息系统的内控评估,堵塞漏洞防范风险
1、信息系统审计评估需要关注的重点内容 对照以上所述的在信息系统开发建设、运行维护中所要落实的各项内控要求,认真开展检查评估。
在评估过程中既要关注信息系统本身对数据处理的控制流程是否规范,用户权限设置是否经过授权,是否存在数据安全风险,又要关注不同信息系统之间有无建立数据接口,是否进行数据核对,是否将不相容职务分离,相互之间是否存在监督关系。评估要重点关注与财务报告相关的信息系统数据的安全情况。
2、信息系统审计评估需要运用的方法
信息系统评估方法与业务流程内控评估方法基本相同,主要有:询问、文件检查、重新履行、观察、问卷调查等。其中文件检查、重新履行是内控评估常用的重要方法,像前面所述的用户权限审批、重要操作审批、系统操作记录、复核检查等都需要运用文件检查方法,通过审阅相关文档记录来判断各项内控措施是否得到有效执行。
3、信息系统审计评估重要目的是落实缺陷整改
通过对信息系统内控制度的检查评估,发现内控缺陷,目的是针对内控缺陷制定合理的整改方案,确保缺陷得到修正,风险得到控制。信息系统数据的安全完整准确是内审部门开展内控评估的唯一目的。
第三篇:信息系统检测评估协议书
甲方:_________
地址:_________
法定代表人:_________
乙方:中国信息安全产品测评认证中心_________测评中心
地址:_________
法定代表人:_________
受_________委托,由乙方即中国信息安全产品测评认证中心_________测评中心(该中心系由国家授权履行对信息安全产品,信息系统及信息安全服务进行测评认证的第三方权威,公证机构。)对甲方即进行测评。为保证信息系统检测评估过程的顺利进行,提高信息系统的安全性,现经甲、乙双方平等协商,自愿签订本协议,共同遵守如下条款:
1.经甲乙双方协商,于_________年_________月_________日起(时间约为_________周)由乙方对甲方网络系统的安全性进行检测评估。
2.测评范围为_________。
3.在检测评估过程中,甲方应协助并向乙方提供有关网络系统检测评估所需的文档。
4.乙方在对甲方的网络系统进行检测评估中必须严格依照信息系统检测评估要求与标准执行。信息系统检测评估过程如下:
(1)甲方向乙方提交系统检测评估申请文档;
(2)乙方对甲方提交的文档进行形式化审查;
(3)乙方对甲方提交的文档进行技术审查;
(4)乙方确定现场核查方案及计划;
(5)乙方对甲方申请检测的系统进行现场核查检测;
(6)乙方整理分析检测数据并撰写检测报告;
(7)乙方向甲方提交系统检测报告。
5.乙方在检测评估完毕后_________个工作日内向甲方提交网络系统检测评估报告。
6.乙方有义务对甲方提交的任何文档资料以及检测评估数据与结果保密,严格依照《中华人民共和国保密法》相关事宜执行,以确保任何相关技术及业务文档不得泄露。
7.甲方应在本协议生效之日起_________个工作日内将系统检测评估费用人民币_________元转入乙方指定的银行账户中。
8.本协议未尽事宜,双方协商解决,与国家法律法规相抵触的按国家规定执行。
9.本协议自签订之日起生效,一式三份,甲方持一份,乙方持两份。
甲方(盖章):_________乙方(盖章):_________
代表(签字):_________代表(签字):_________
_________年____月____日_________年____月____日
第四篇:风险评估报告
风险评估报告 风险评估(Risk Assessment)是指,在风险事件发生之后,对于风险事件给人们的生活、生命、财产等各个方面造成的影响和损失进行量化评估的工作。风险评估报告是对信息资产面临的威胁、存在的弱点、造成的影响,以及三者综合作用而带来风险的可能性的评估。作为风险管理的基础,风险评估是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。
目 录
1介绍
2撰写说明
3报告模板 1介绍
概述
风险评估报告,是专业评估人员根据项目主办单位提供的项目可行性研究报告,通过对目标项目的全面调查、综合分析和科学判断,确定目标项目是否可行的经济文书。它是项目主管部门决定项目取舍的重要依据,是银行向项目主办方提供资金保障的有力凭证,也是项目建设施工过程中必需的指导文件。一般由作为项目评估方的国家项目管理部门或者项目主办方的上级部门,组织有关专家,或者授权委托专业咨询公司、意向上为目标项目提供贷款的银行来实施项目评估并制作项目评估报告。
种类
风险评估报告的种类
1、投资风险评估报告;
2、企业风险评估报告;
3、项目风险评估报告;
4、合规风险评估报告;
5、银行风险评估报告;
6、信息安全风险评估报告;
7、法律风险评估报告。
投资风险评估报告
项目投资风险评估风险评估的重要组成部分。
项目投资风险评估报告是分析确定风险的过程,在国际投资领域中,为减少投资人的投资失误和风险,每一次投资活动都必须建立一套科学的,适应自己的投资活动特征的理论和方法。项目投资风险评估报告是利用丰富的资料和数据,定性和定量相结合,对投资项目的风险进行全面的分析评价,采取相应的措施去减少、化解、规避风险的途径。
研究内容
项目投资风险评估报告是在全面系统分析目标企业和项目的基础上,按照国际通行的投资风险评估方法,站在第三方角度客观公正地对企业、项目的投资风险进行分析。投资风险评估报告包含了投资决策所关心的全部内容,如企业详细介绍、项目详细介绍、产品和服务模式、市场分析、融资需求、运作计划、竞争分析、财务分析等内容,并在此基础上,以第三方角度,客观公正地对投资风险进行评估。[1]
2撰写说明
综述
评估报告有长有短,有繁有简,在结构上一般都包括“编制说明”、“目录”、“正文”和“附件”四个部分,具体情况视目标项目的重要程度及难易程度而定。目前,国家尚无确定统一的撰写资质规定,国内风投公司比较认可具备中国招商引资研究院颁发的风险评估资格证书甲级资质的单位来撰写(此是一种市场认定行为)。同时评估报告的制作必须遵循两个基本原则,把握两个重点内容。下面以项目风险评估报告为例进行说明:
原则及内容
原则之一是客观性,项目评估是在项目主办单位可行性研究的基础上进行的再研究,其结论的得出完全建立在对大量的材料进行科学研究和分析的基础之上。在评估实施过程中,既要对可行性研究报告的编制依据及全部数据进行查证核实,又要根据项目评估的内容和分析要求,深入企业和现场进行调查,以搜集新的数据和材料,以专家的学识确保所有项目资料客观详实。同时项目评估涉及项目投资的工艺设备、技术物资支持、财务分析以及未来市场预测等多个领域,评估人员必须以宏观地理解和掌握相关学科知识为前提,客观公正地评价和处理评估中的每一个细节,并在评估报告中客观公正地表述出来。
原则之二是科学性。首先要有一个科学的态度。项目评估是项目建设前的一项决定性工作,它的任何失误都可能给企业、给国家带来不可估量的损失,因此评估人员必须持有对国家、对企业高度负责的、严肃的、认真的、务实的精神,以战略家的眼光,将项目置于整个国际国内大市场进行纵向分析和横向比较,坚决避免盲目建设、重复建设等现象的发生,使项目建成后确实能够创造良好的效益,发挥应有的作用。同时要使用科学的方法,在评估工作中,注意全面调查与重点核查相结合,定量分析与定性分析相结合,经验总结与科学预测相结合,以保证相关项目数据的客观性、使用方法的科学性和评估结论的正确性。
重点内容之一是必要性。必要性评价又称背景分析,即分析项目在科学研究和经济建设中的意义和地位,从而明确目标项目是否有建设的必要。该指标突出考察的是项目对国民经济和社会发展所能做出的贡献大小。在这方面它要重点评估两个子指标:
1.项目的投资方向。一个好的项目必须做到四个“符合”和三个“有利于”:即符合国家的方针政策和国民经济的战略部署;符合项目所属行业的发展要求和方向;符合项目实施地区的经济发展特点和总体规划;立项的所有手续要符合国家有关项目管理的规定。项目的建设要有利于项目实施地区、所在行业乃至国家宏观经济结构的调整;要有利于开发利用新的科学技术和新的产品;要有利于扩大对外贸易和出口创汇。
2.产品的市场需求。无论是新建项目,还是改建、扩建项目,其目的不外乎引进新的设备和技术,扩大生产规模和改进生产工艺,以增加产品产量和提高产品质量。但其最终落脚点都是赢得市场以追求企业效益最大化。因此,项目评估的一个重点内容,就是科学地评价项目的市场前景。要通过对项目市场调查和市场预测有关数据的综合分析,客观地评价产品质量、性能、价格、市场分布状况及未来相当长一段时期内的发展走向,从而为项目建设的正确决策奠定基础。重点内容之二就是可行性。即考察项目是否具有建设的可能。如果项目缺乏建设的技术、经济或其他物质基础,那么一切都是空话。1983年国家颁布的《关于建设项目可行性研究的试行管理办法》规定,建设项目可行性研究的内容应包括八个方面:①市场需求调查分析;②拟建或改扩建规模;③技术工艺设备和生产条件研究;④厂址方案与建厂条件;⑤劳动力的来源、素质及职工业务技术培训;⑥工程建设实施计划及生产计划;⑦技术经济指标及财务效益分析;⑧投资效益和社会影响研究。对照上述内容,项目可行性评估的重点主要有两个子指标:
二是经济的可行性。依据1993年国家计划委员会颁布的《建设项目经济评价方法与参数》,在新建、改建或扩建项目的财务效益和国民经济效益方面,“投资利润率”、“投资利税率”、“内部收益率”和“净现值”四个指标必须达到规定的衡量标准,这些都要一一作出分析和评价。在项目经费管理方面,要重点考察投资估算的准确性和项目资金的落实情况,并且要对项目的投资风险作出科学的评估,以避免出现重大投资失误。
项目评估报告的结尾非常重要,它包括两项议题。一是要在上述因素分析的基础上,对项目是否可行作出结论;二是对可行的项目建设提出合理化的改进建议,以保证项目建设的顺利进行;或对不可行的项目指明存在的问题,为项目主办单位改进下一步的项目设计工作提供指导和参考。
3报告模板
第一章项目概况
一、项目建设单位概况。
二、项目概况
第二章重大建设项目的合法性分析
一、发展规划分析
二、产业政策分析
三、行业准入分析
第三章 重大建设项目的合理性分析
一、项目选址及用地方案
二、土地利用合理性分析
三、征地拆迁安置方案
四、生态环境影响分析
第四章 重大建设项目的可行性分析
一、项目建设条件分析
二、经济费用效益或费用效果分析
三、宏观经济影响分析
第五章 重大建设项目的安全性分析
一、社会影响效果分析
二、社会适应性分析
三、社会稳定风险及对策分析
第六章 综述
第五篇:风险评估预警
北京市检察院第二分院采取三项措施切实加强执法办案风险评估预警近年来,北京市检察院第二分院将风险评估预警工作贯彻到执法办案的全过程,成立机构,健全制度,加强协作,努力构建科学规范的执法办案风险评估预警工作机制,实现了执法办案与化解矛盾的同步推进,取得较好效果。
一、设立机构,明确责任,提高风险评估预警专业化水平。一是成立执法办案风险评估预警管理办公室,制定了《执法办案风险评估预警管理办公室工作规程》、《执法办案风险评估预警工作办法》等文件,对风险评估预警的工作原则、工作方法等做出明确规定。二是将评估预警的对象扩展到执法办案整个过程,对业务部门办理的所有案件都进行评估,尤其对在社会上有重大影响的案件,涉众型案件,拟不批捕、不起诉、不抗诉等10类重点案件必须按特别重大、重大、较大、一般等四个风险等级进行评估并说明理由,做到“一案一评,每案必评”,确保评估预警工作的全面覆盖。三是明确评估责任。确定了“谁承办、谁评估、谁负责”的工作原则,由案件承办人对所办案件可能存在的风险进行评估,确定风险等级,提出处置方案,连同案件审查意见报部门负责人审核后,由分管检察长审批,实现了风险评估责任主体与办案主体的统一。
二、健全制度,强化管理,提高风险评估预警规范化水平。一是建立联络员制度。加强风险评估预警管理办公室与各业务部门的沟通联系。每个业务部门设立一名执法办案风险评估预警联络员,负责督促本部门承办人进行风险评估以及本部门与风险评估预警办公室的沟通、联络和信息传递工作。二是实行班前分析会制度。每个工作日上午在检务接待大厅开门前召开班前分析会,风险评估预警管理办公室工作人员及检务接待大厅前后两班的接待值班干警为固定参会人员,会议的主要内容是对前一天来访当事人及接待情况进行沟通,分析研判可能存在的风险,并及时向相关部门反馈,从而促进风险评估与控申工作有机结合起来,确保工作无缝衔接。三是实行风险提示制度。对于经评估确定存在风险的案件,风险评估预警管理办公室及时将风险等级、处置预案等情况告知下一环节办案部门和检务接待大厅。对于经评估不存在风险的案件,检务接待大厅在接待中一旦发现来访人出现情绪激动、言辞激烈等情形,及时向案件承办部门发出风险提示,要求其对案件重新评估,较好地实现了与业务部门的良性互动。
三、整合资源,协调联动,提高风险评估预警一体化水平。一方面,实行“左右联动”,形成全院“一盘棋”。充分发挥风险评估预警管理办公室的协调、指导、管理作用,形成在检察长和检委会领导下,以风险评估预警管理办公室为核心,辐射九个业务处室的管理模式。执法办案部门要对所办理案件进行认真评估,确定是否存在风险及风险等级,并有针对性地制定处置预案,报风险评估预警管理办公室。风险评估预警管理办公室经审查提出意见建议,及时向相关处室发出预警,通报风险种类、等级、处置预案,并协调各相关责任主体共同开展矛盾化解工作。另一方面,实行“上下一体”,构筑辖区内“一张网”。加强与辖区基层检察院在评估、预测风险以及化解矛盾方面的资源整合与协同运作,实现“信息共享、工作共担”。如,平谷区检察院在办理郝某某申诉案时,及时对案件存在的风险进行评估、预警,并上报二分院。二分院对此高度重视,专门召开检委会,研究制定了补偿预案和化解方案。之后,二分院分管院领导与平谷县检察院领导一同前往张家口与信访人见面,共同开展释法说理,最终妥善化解了这起历时十七年的涉检信访积案。