第一篇:评估指引1
意外险风险评估指引
意外险的风险评估主要包括个人资料评估、职业风险评估、环境风险评估、经济风险评估及健康风险评估。
一、个人资料/信息评估
包括年龄、性别、受教育程度、业余嗜好和生活习惯。
(一)年龄
0-5岁婴幼儿,患病率、病死率及意外事故的发生率均较高,不宜承保。
6-15岁的少年群体,若投保金额较高时,要对被保险人的身体状况需要详细了解,还要了解投保动机、父母和家庭其他成员的投保情况、家庭背景、经济能力等,以防止逆选择和道德风险的发生。
16-39岁的青年群体,核保审核时,主要考虑其收入与其保险需求是否相适应。
40-60岁的中年群体,风险审核主要是体格和既往病史。
60岁以上的老年群体,重点审核投保动机是否纯正、保费由何人支付、投保人与被保险人的关系及受益人与被保险人的关系等。由于老年人的生理特点,在保险金额上要加以限制,并考虑费率的上浮。
(二)性别
一般来说,男性的社会活动较女性更频繁,从事工作的危险性相对较高,比女性更爱冒险,不良嗜好也多,因此,男性发生意外事故的几率比女性高。但女性在妊娠期,有一个短暂的高死亡率阶段,因此,在核保时,必须等待产后一个月后方可承保。
(三)受教育的程度
受教育程度高者其意外事故发生的概率较受教育程度低者低。
(四)业余爱好
1、驾驶
驾驶的风险主要来源于两个方面,一是客观条件。例如路况、天气、车辆数量、车辆性能等。二是主观原因。是因驾驶员自身的原因导致意外伤害发生率的增加。在对驾驶人员进行审核时,需要考虑以下因素:
(1)评估被保险人的驾驶能力
一般根据驾驶员的驾程、驾时及有无交通事故史等综合考虑。其
第二篇:合规有效性评估指引
证券公司合规管理有效性评估指引
第一章 总则
第一条 为指导证券公司开展合规管理有效性评估,有效防范和控制合规风险,制定本指引。
第二条 证券公司应当按照本指引的要求,对合规管理的有效性进行评估,及时发现和解决合规管理中存在的问题。
证券公司将合规管理有效性评估纳入内部控制评价的,其合规管理有效性评估工作应当符合本指引的要求,并单独出具合规管理有效性评估报告。
第三条 证券公司开展合规管理有效性评估,应当以合规风险为导向,覆盖合规管理各环节,重点关注可能影响合规目标实现的关键业务及管理活动,客观揭示合规管理状况。
第四条 证券公司合规管理有效性评估分为全面评估和专项评估。
除特别指明外,本指引所称合规管理有效性评估均指全面评估。
第五条 证券公司开展合规管理有效性评估,应当由董事会、监事会或董事会授权管理层组织评估小组或委托外部专
业机构进行。
证券公司委托外部专业机构开展合规管理有效性评估的,参照本指引的规定进行。
第六条 证券公司每年应当至少开展一次合规管理有效性全面评估。
证券公司可以自主决定开展合规管理有效性专项评估;但在证券监管机构或自律组织提出要求,或公司内部发生重大合规风险事件时,应当开展合规管理有效性专项评估。
第七条 证券公司应当按照本指引的要求,结合自身实际情况,制定本公司合规管理有效性评估工作的实施办法,对评估组织形式、评估范围、评估内容、评估程序和方法、评估报告、评估问责等作出明确规定。
第二章 评估内容
第八条 证券公司开展合规管理有效性评估,应当涵盖合规管理环境、合规管理职责履行情况、经营管理制度与机制的建设及运行状况等方面。
第九条 证券公司对合规管理环境的评估应当重点关注公司高层是否重视合规管理、合规文化建设是否到位、合规管理制度是否健全、合规管理的履职保障是否充分等。
第十条 证券公司对合规管理职责履行情况的评估应当
重点关注合规咨询、合规审查、合规检查、合规监测、合规培训、合规报告、监管沟通与配合、信息隔离墙管理、反洗钱等合规管理职能是否有效履行。
第十一条 证券公司对经营管理制度与机制建设情况的评估应当重点关注各项经营管理制度和操作流程是否健全,是否与外部法律、法规和准则相一致,是否能够根据外部法律、法规和准则的变化及时修订、完善。
第十二条 证券公司对经营管理制度与机制运行状况的评估应当重点关注是否能够严格执行经营管理制度和操作流程,是否能够及时发现并纠正有章不循、违规操作等问题。
第十三条 证券公司可以根据合规管理有效性专项评估的目的和需要,确定专项评估的内容。证券监管机构或自律组织另有要求的,从其要求。
第三章
评估程序和方法
第十四条 证券公司合规管理有效性评估的程序一般包括评估准备、评估实施、评估报告和后续整改四个阶段。
第十五条 证券公司自行组织开展合规管理有效性评估的,应当按照本指引第五条的要求成立评估小组,并对参与评估的人员开展必要的培训。
证券公司应当确保评估小组具备独立开展合规管理有效
性评估的权力,确保评估小组成员具备相应的胜任能力。
评估小组应当制定评估实施方案,明确评估目的、范围、内容、分工、进程和要求,制作评估底稿等评估工作文件。
第十六条 评估小组应当组织各部门开展合规自评,各部门应当如实填写评估底稿,提交评估相关材料。合规管理环境评估底稿应当由公司主要负责人签署确认,合规管理职责履行情况评估底稿、经营管理制度与机制的建设及运行状况评估底稿应当由自评部门负责人和分管自评部门的高级管理人员签署确认。
第十七条 评估小组应当收集评估期内外部监管检查意见、审计报告、合规报告、投诉、举报、媒体报道等资料,明确评估重点。
第十八条 评估小组应当对自评底稿进行复核,并针对评估期内发生的合规风险事项开展重点评估,查找合规管理缺陷,分析问题产生原因,提出整改建议。
评估小组成员对其所在部门或者分管部门的评估底稿的复核应当实行回避制度。
第十九条 证券公司合规管理有效性评估应当采取访谈、文本审阅、问卷调查、知识测试、抽样分析、穿行测试、系统及数据测试等方法。
第二十条 评估人员可以根据关注重点,对业务与管理事项进行抽样分析,按照业务发生频率、重要性及合规风险的高低,从确定的抽样总体中抽取一定比例的样本,并对样本的符合性做出判断。
第二十一条
评估人员可以对具体业务处理流程开展穿行测试,检查与其相关的原始文件,并根据文件上的业务处理踪迹,追踪流程,对相关管理制度与操作流程的实际运行情况进行验证。
第二十二条
评估人员可以对涉及证券交易的业务进行系统及数据测试,重点检查相关业务系统中权限、参数设臵的合规性,并调取相关交易数据,将其与相应的业务凭证或其他工作记录相比对,以验证相关业务是否按规则运行。
第二十三条 评估小组应当在评估工作结束前,与被评估部门就合规管理有效性评估的结果进行必要沟通,就评估发现的问题进行核实。被评估部门应当及时反馈意见。
第二十四条
评估小组应当根据评估实施情况及评估反馈意见撰写合规管理有效性评估报告。合规管理有效性评估报告至少应包括:评估依据、评估范围和对象、评估程序和方法、评估内容、发现的问题及改进建议、前次评估中发现问题的整改情况等。
证券公司可以参照附件所列合规管理有效性评估报告基本格式编制评估报告。
第二十五条
证券公司合规管理有效性评估报告应当按照公司内部规定履行内部报批程序。证券监管机构或自律
组织要求报送的,从其要求。
第二十六条
证券公司应当针对合规管理有效性评估发现的问题,制定整改方案,明确整改责任部门和时间表。整改责任部门应当及时向公司管理层报告整改进展情况。
第二十七条
证券公司管理层应当对评估发现问题的整改情况进行持续关注和跟踪,指导并监督相关部门全面、及时完成整改。
第二十八条
证券公司合规管理有效性专项评估的程序和方法可以参照本指引相关规定执行。
第四章 评估问责
第二十九条 证券公司应当将合规管理有效性评估结果纳入公司管理层、各部门和分支机构及其工作人员的绩效考核范围。
对合规管理有效性评估中新发现的违法、违规行为,证券公司应当及时对责任人采取问责措施。
第三十条 证券公司董事会、监事会、管理层、各部门及分支机构应当积极支持和配合合规管理有效性评估工作。
对在合规管理有效性评估过程中出现拒绝、阻碍和隐瞒的,证券公司应当采取相应的问责措施。
第五章 附则
第三十一条
本指引所称“公司主要负责人”是指公司董事长或总经理,或实际履行前述职务的人员。
第三十二条
证券公司在收集合规风险事项、评估合规管理环境、合规管理职责履行情况、重要业务的制度与机制的建设及运行状况时,可以参考附件所列合规管理有效性评估参考表编制工作底稿。评估参考表未涵盖证券公司合规管理有效性评估的全部评估内容,证券公司可以根据公司实际需要对表格内容加以适当调整和补充。
第三十三条
本指引由中国证券业协会负责解释。第三十四条
本指引自发布之日起施行。
附件:
1、证券公司合规管理有效性评估报告基本格式
2、证券公司合规管理有效性评估参考表
第三篇:公司风险评估工作指引
中石化中原油建工程有限公司
风险评估工作指引
1.概述
风险评估是通过风险识别、分析和评价,及时发现各类风险,深入分析风险成因和管理现状,明确风险管理重点的过程。风险评估是风险管理基本流程的重要环节,是风险应对的前提和基础。1.1 编制目的
为规范和统一公司风险评估工作程序,全面提升公司风险管理水平,落实公司《全面风险管理细则(暂行)》,特制订本指引。1.2 编制依据
本指引编制的依据为:国资委《中央企业全面风险管理指引》、国际风险管理标准ISO 31000:2009 《风险管理原则与指南》、国家标准委《风险管理原则与实施指南》(GB/T 24353-2009)、《风险评估技术》(GB/T 27921-2011)和《中国石化全面风险管理(暂行)办法》。
1.3 适用范围
公司机关各部门和公司所属各单位、各项目部、项目管理部开展风险管理工作以本指引为标准。2.风险评估目的和原则 2.1 风险评估目的
通过风险评估,全面、系统地梳理、识别公司面临的各类内、外部风险,明确风险管理重点,培育全员风险管理意识;通过风险表现及成因分析,为制定风险应对措施提供依据。
2.2 风险评估原则
(1)全面性原则:风险评估是一项系统性工作,应贯穿决策、管理及执行全过程,覆盖公司各种业务和事项,涉及全体员工。
(2)重要性原则:风险评估工作应关注重点领域及关键业务事项,合理配臵资源。
(3)时效性原则:风险评估工作应根据管理需要及时开展,第一时间为管理者提供风险信息。
(4)适用性原则:风险评估工作应充分考虑组织形式和业务特点,在公司统一框架下,结合实际细化制定针对性的风险评估标准,选择适当的评估方法。
3.风险评估基本步骤
风险评估应以充分的信息收集为基础,包括风险识别、风险分析和风险评价三个步骤。
风险评估与风险管理基本流程的关系如下图。
3.1 信息收集(建立环境)
信息收集也叫建立环境,是指在开展风险评估之前,应首先收集内、外部环境信息,建设风险案例库,制定风险管理目标和策略,明确风险分析评价标准,为有效开展风险评估提供依据。
3.1.1 收集内、外部环境信息
围绕本单位战略目标及经营管理目标,持续收集与风险及风险管理相关的内外部环境信息,包括历史数据和未来预测。
公司机关各部门重点负责收集各自职责范围内的已经发生的业务信息、国内外经济形势、石油石化行业运行态势
等风险信息。公司所属各单位重点收集已发生的各类风险案例、内控缺陷等运营层面风险信息。填写《信息收集表》及《风险案例表》(见附件1),逐级汇总,按规定上报全面风险管理办公室备案。
3.1.2 制定风险管理目标和策略
结合公司战略目标及经营管理目标,分析影响目标实现的各类风险。根据风险偏好及风险承受度,制定风险管理总体目标和策略(示例见附件2)。3.1.3 制定风险分析和评价标准
(1)风险分析标准。
风险分析的两个维度:风险发生的可能性和影响程度。风险发生的可能性以风险发生概率为分析标准;影响程度可以从财务、营运、合规、QHSE、声誉五个方面进行分析。以上两个维度按照从低到高分为:极低、低、中、高、极高五个级次,分别用1、2、3、4、5分表示(见附件3)。
(2)风险评价标准。
综合考虑风险偏好和风险承受度,以风险发生的可能性和影响程度为依据,确定风险评价等级。风险评价等级按重要性程度分为:重大风险、重要风险和一般风险三个等级。
如图一所示,红色区域代表重大风险,黄色区域代表重要风险,绿色区域代表一般风险。
图一:风险评价标准示意图
各单位在实际执行过程中,应针对风险评估对象,结合风险偏好及风险承受度,细化制定具体风险评价标准并报全面风险管理办公室备案。3.2 风险识别
风险识别是对收集的各类信息进行必要的筛选和分析,查找影响战略目标及经营管理目标实现的各类风险的过程。各单位开展风险识别原则上应按照以下步骤进行:
(1)确定风险识别方式:根据风险评估工作需要,确定风险识别的范围、方法、参与人员及组织形式等。确定风险识别方式应重点关注以下内容: 第一,风险识别人员范围:开展风险识别工作,应充分涵盖评估范围内各层级管理人员。参与风险识别的人员应具备必要的风险管理知识,熟悉相关业务。
第二,风险识别方法。常用的风险识别方法主要包括:问卷调查法、德尔菲法、敏感性分析法、情景分析法、头脑
风暴法等(见附件4),风险识别参与人员可结合具体评估对象灵活应用,可以选择一种或多种方法。建议各单位在开展风险管理初期进行常规风险识别,可采用问卷调查法;对财税、信用等具备量化条件的风险,可选择敏感性分析法等风险识别方法。
(2)组织开展风险识别:参与风险识别的人员,应按照有关要求,在筛选和分析各类信息的基础上,识别影响战略目标及经营管理目标实现的各类风险。初次开展风险管理工作的单位可采用风险识别调查问卷表进行问卷调查(见附件5风险识别调查问卷)。
(3)风险识别结果:对识别出来的各类风险进行整理汇总,建立风险库(见附件6)。
第一,风险名称:采用“目标或业务+风险”的描述方式。如:跨国经营风险,质量风险,税务风险等。
第二,风险概述:采取“成因+影响的业务/目标”描述方式。例如:跨国经营风险可描述为:公司“走出去”力度加大,国际局势不稳定,跨国经营经验不足等原因,导致跨国经营风险。
第三,风险描述:对风险发生的各种成因及其表现分类描述。3.3 风险分析
风险分析是指从风险发生的可能性和影响程度两方面,采用定性、定量方法分析,参照风险分析标准,分析未来一定时期内风险发生的可能性和对目标的影响程度。
风险分析要借鉴风险案例库(风险管理工作开展初期已经要求各单位根据公司的通知建设完成)中的风险案例,综合考虑风险成因,管理现状,风险涉及的业务领域、业务量、责任单位以及风险之间的相互关系等因素进行综合分析。
风险分析应把握以下要点:
第一,风险成因分析应结合内外部风险因素,针对风险影响的具体业务和目标具体分析(参见附件7)。
第二,应对各类风险进行关联分析,深入剖析风险之间的自然对冲、风险发生的正负相关性等组合效应,为各类风险的组合管理提供依据。
第三,应充分考虑风险管理现状,包括现行内控制度、专业管理制度等,分析制度设计及执行的有效性,风险管理责任落实情况等。
第四,应充分借鉴风险案例等,为风险分析的有效性提供保障。3.4 风险评价
风险评价是根据风险评价标准,对风险分析结果进行综合评价,确定风险等级,明确风险管理重点的过程。
风险评价的基本步骤:(1)初步风险评价。
根据风险评价标准,评价各类风险等级,按照评价结果进行排序。
(2)风险评价结果确认。
根据风险偏好和承受度,结合有关要求,对风险评价初步结果进行适当调整、确认。
根据以上分析过程及结果完善风险库。4.风险评估机制
公司风险评估分为风险评估、专项风险评估和日常(动态)风险评估三类,基本流程为:全面风险管理办公室确定专项风险评估范围→公司领导审定→各单位、各部门确定风险评估方法、分析和评价标准→单位、各部门开展风险评估→各单位、各部门编制专项或专业风险评估报告→全面风险管理办公室对各单位、各部门报送的风险管理报告进行程序性审核后报公司领导层审核→将审核信息反馈各单位、各部门,由各单位、各部门自行启动决策程序。4.1 风险评估
风险评估是围绕公司发展战略及经营管理目标,评估未来一年内影响目标实现的各类风险,确定风险管理重点,编制风险管理报告。
主要工作步骤如下:
(1)制定风险评估工作方案。
公司全面风险管理办公室统一制定风险评估工作方案。内容主要包括:风险评估的目标和依据,风险评估方式,参与单位及人员,风险评估标准和方法,时间安排等。
(2)开展风险评估。
各单位按照公司统一要求,结合具体评估对象,灵活采用问卷调查(见附件5风险识别问卷调查表和附件8风险评估调查问卷统计汇总表)、头脑风暴、风险矩阵等方法开展风险评估,逐级汇总上报公司全面风险管理办公室。
(3)确定风险评估结果。
公司全面风险管理办公室负责汇总分析风险评估结果,通过集体讨论等形式,初步确定重大、重要风险及一般风险。
(4)制定风险管理策略和应对措施。
公司全面风险管理办公室组织相关单位,针对重大、重要风险研究制定风险管理策略和应对措施,落实风险管理责任。
(5)编制全面风险管理报告。
公司全面风险管理办公室负责组织编制公司全面风险管理报告(模本见附件9),按规定程序审批后报公司全面风险管理领导小组。4.2 专项风险评估
公司机关各部门负责建立本专业管理职责范围内的专
项风险评估机制。专项评估范围包括:经营风险、财税风险、HSE风险、人力资源管理风险、质量技术风险、廉洁风险、法律风险、稳定风险、项目管理风险、全面风险管理领导小组决定的其他事项等。
主要工作步骤:
(1)确定专项风险评估范围。
公司机关各部门根据管理需要,确定专项风险评估范围及方案。公司所属各单位也可根据管理需要,确定本单位专项风险评估范围。
(2)确定专项风险评估方法和分析评价标准。结合专项风险的业务特点,选择适当的风险评估方法,研究设计专项风险分析、评价标准。
(3)开展专项风险评估。
根据专项风险涉及的业务管理目标,采用定性与定量相结合的方法,依据专项风险分析、评价标准,研究确定风险评估结果。
(4)编制专项风险评估报告。
根据专项风险评估结果,编制专项风险评估报告。(5)程序性审核。
纳入专项风险评估范围的业务事项,在提请决策层(管理层)审议之前,需编制专项风险评估报告,报全面风险管理办公室审核。
公司机关各部门每年至少组织一次专项风险评估,每年公司工作会议结束后一个月内前将本部门的专项风险评估报告报送全面风险管理办公室。
公司机关各部门自主确定开展专项风险评估的时间、范围、内容。
4.3 日常(动态)风险评估
日常风险评估,也就是动态风险评估,是指根据风险评估结果,结合日常经营管理活动,持续收集相关风险信息,对相关风险进行动态评估,及时改进完善风险管理策略和措施。
5.风险应对和改进
针对各类风险,分析现有管理措施是否有效。根据需要制定或完善风险管理策略和应对措施,持续开展风险监控预警,结合内外部环境变化及时调整和改进管理策略和应对措施。
第四篇:电子银行安全评估指引
【发布单位】中国银行业监督管理委员会 【发布文号】
【发布日期】2006-02-07 【生效日期】2006-03-01 【失效日期】 【所属类别】政策参考
【文件来源】中国银行业监督管理委员会
电子银行安全评估指引
第一章 总 则
第一条第一条 为加强电子银行业务的安全与风险管理,保证电子银行安全评估的客观性、及时性、全面性和有效性,依据《 电子银行业务管理办法》的有关规定,制定本指引。
第二条第二条 电子银行的安全评估,是指金融机构在开展电子银行业务过程中,对电子银行的安全策略、内控制度、风险管理、系统安全、客户保护等方面进行的安全测试和管控能力的考察与评价。
第三条第三条 开展电子银行业务的金融机构,应根据其电子银行发展和管理的需要,至少每2年对电子银行进行一次全面的安全评估。
第四条第四条 金融机构可以利用外部专业化的评估机构对电子银行进行安全评估,也可以利用内部独立于电子银行业务运营和管理部门的评估部门对电子银行进行安全评估。
第五条第五条 金融机构应建立电子银行安全评估的规章制度体系和工作规程,保证电子银行安全评估能够及时、客观地得以实施。
第六条第六条 金融机构的电子银行安全评估,应接受中国银行业监督管理委员会(以下简称中国银监会)的监督指导。
第二章 安全评估机构
第七条第七条 承担金融机构电子银行安全评估工作的机构,可以是金融机构外部的社会专业化机构,也可以是金融机构内部具备相应条件的相对独立部门。
第八条第八条 外部机构从事电子银行安全评估,应具备以下条件:
(一)具有较为完善的开展电子银行安全评估业务的管理制度和操作规程;
(二)制定了系统、全面的评估手册或评估指导文件,评估手册或评估指导文件的内容应至少包括评估程序、评估方法和依据、评估标准等;
(三)拥有与电子银行安全评估相关的各类专业人才,了解国际和中国相关行业的行业标准;
(四)中国银监会规定的其他从事电子银行安全评估应当具备的条件。
第九条第九条 金融机构内部部门从事电子银行安全评估,除应具备第八条规定的有关条件外,还应具备以下条件:
(一)必须独立于电子银行业务系统开发部门、运营部门和管理部门;
(二)未直接参与过有关电子银行设备的选购工作。
第十条第十条 中国银监会负责电子银行安全评估机构资质认定工作。
电子银行安全评估机构在开展金融机构电子银行安全评估业务前,可以向中国银监会申请对其资质进行认定。
第十一条第十一条 金融机构在进行电子银行安全评估时,可以选择经中国银监会资质认定的安全评估机构,也可以选择未经中国银监会资质认定的安全评估机构。
金融机构选择经中国银监会资质认定的安全评估机构时,有关安全评估机构的管理适用本指引有关规定。金融机构选择未经中国银监会资质认定的安全评估机构时,安全评估机构的选择标准应不低于第八条、第九条规定的条件要求,并应按照《电子银行业务管理办法》的有关规定,报送相关材料。
电子银行安全评估机构无论是否经过中国银监会资质认定,在开展电子银行安全评估活动时,都应遵守有关电子银行安全评估实施和管理的规定。
第十二条第十二条 中国银监会每年将组织一次电子银行安全评估机构资质认定工作,评定时间应提前1个月公告。
第十三条第十三条 申请资质认定的电子银行安全评估机构,应在中国银监会公告规定的时限内提交以下材料(一式七份):
(一)电子银行安全评估资质认定申请报告;
(二)机构介绍;
(三)安全评估业务管理框架、管理制度、操作规程等;
(四)评估手册或评估指导文件;
(五)主要评估人员简历;
(六)中国银监会要求提供的其他文件、资料。
第十四条第十四条 中国银监会收到安全评估机构资质认定申请完整材料后,组织有关专家和监管人员对申请材料进行评议,采用投票的办法评定电子银行安全评估机构是否达到了有关资质要求。
第十五条第十五条 中国银监会对评估机构资质评议后,出具《电子银行安全评估机构资质认定意见书》,载明评议意见,对评估机构的资质做出认定。
第十六条第十六条 中国银监会出具的《电子银行安全评估机构资质认定意见书》,仅供评估机构与金融机构商恰有关电子银行安全评估业务时使用,不影响评估机构开展其他经营活动。
评估机构不得将《电子银行安全评估机构资质认定意见书》用于宣传或其他活动。
第十七条第十七条 经中国银监会评议并被认为达到有关资质要求的评估机构,每次资质认定的有效期限为2年。
经评议不符合认定资质的,评估机构可在下一重新申请资质认定。
第十八条第十八条 在资质认定的有效期限内,电子银行安全评估机构如果出现下列情况,中国银监会将撤销已做出的评议和认定意见:
(一)评估机构管理不善,其工作人员泄露被评估机构秘密的;
(二)评估工作质量低下,评估活动出现重要遗漏的;
(三)未按要求提交评估报告,或评估报告中存在不实表述的;
(四)将《电子银行安全评估机构资质认定意见书》用于宣传和其他经营活动的;
(五)存在其他严重不尽职行为的。
第十九条第十九条 评估机构有下列行为之一的,中国银监会将在一定期限或无限期不再受理评估机构的资质认定申请,金融机构不应再委托该评估机构进行安全评估:
(一)与委托机构合谋,共同隐瞒在安全评估过程中发现的安全漏洞,未按要求写入评估报告的;
(二)在评估过程中弄虚作假,编造安全评估报告的;
(三)泄漏被评估机构机密信息,或不当使用被评估机构机密资料的。
金融机构内部评估机构出现以上情况之一的,中国银监会将依法对相关机构和责任人进行处罚。
第二十条第二十条 中国银监会认可的电子银行安全评估机构,以及有关资质认定、撤销等信息,仅向开展电子银行业务的各金融机构通报,不向社会发布。
金融机构不得向第三方泄露中国银监会的有关通报信息,影响有关机构的其他业务活动,也不得将有关信息用于与电子银行安全评估活动无关的其他业务活动。
第二十一条第二十一条 金融机构可以在中国银监会认定的评估机构范围内,自主选择电子银行安全评估机构。
第二十二条第二十二条 电子银行主要系统设置于境外并在境外实施电子银行安全评估的外资金融机构,以及需要按照所在地监管部门的要求在境外实施电子银行安全评估的中资金融机构境外分支机构,电子银行安全评估机构的选择应遵循所在国家或地区的法律要求。
所在国家或地区没有相关法律要求的,金融机构应参照本指引的有关规定开展安全评估活动。
第二十三条第二十三条 金融机构应与聘用的电子银行安全评估机构签订书面服务协议,在服务协议中,必须含有明确的保密条 款和保密责任。
金融机构选择内部部门作为评估机构时,应由电子银行管理部门与评估部门签订评估责任确定书。
第二十四条第二十四条 安全评估机构应根据评估协议的规定,认真履行评估职责,真实评估被评估机构电子银行安全状况。
第三章 安全评估的实施
第二十五条第二十五条 评估机构在开始电子银行安全评估之前,应就评估的范围、重点、时间与要求等问题,与被评估机构进行充分的沟通,制定评估计划,由双方签字认可。
第二十六条第二十六条 依据评估计划,评估机构进场对委托机构的电子银行安全进行评估。
电子银行安全评估应真实、全面地评价电子银行系统的安全性。
第二十七条第二十七条 电子银行安全评估至少应包括以下内容:
(一)安全策略;
(二)内控制度建设;
(三)风险管理状况;
(四)系统安全性;
(五)电子银行业务运行连续性计划;
(六)电子银行业务运行应急计划;
(七)电子银行风险预警体系;
(八)其他重要安全环节和机制的管理。
第二十八条第二十八条 电子银行安全策略的评估,至少应包括以下内容:
(一)安全策略制定的流程与合理性;
(二)系统设计与开发的安全策略;
(三)系统测试与验收的安全策略;
(四)系统运行与维护的安全策略;
(五)系统备份与应急的安全策略;
(六)客户信息安全策略。
评估机构对金融机构安全策略的评估,不仅要评估安全策略、规章制度和程序是否存在,还要评估这些制度是否得到贯彻执行,是否及时更新,是否全面覆盖电子银行业务系统。
第二十九条第二十九条 电子银行内控制度的评估,应至少包括以下内容:
(一)内部控制体系总体建设的科学性与适宜性;
(二)董事会和高级管理层在电子银行安全和风险管理体系中的职责,以及相关部门职责和责任的合理性;
(三)安全监控机制的建设与运行情况;
(四)内部审计制度的建设与运行情况。
第三十条第三十条 电子银行风险管理状况的评估,应至少包括以下内容:
(一)电子银行风险管理架构的适应性和合理性;
(二)董事会和高级管理层对电子银行安全与风险管理的认知能力与相关政策、策略的制定执行情况;
(三)电子银行管理机构职责设置的合理性及对相关风险的管控能力;
(四)管理人员配备与培训情况;
(五)电子银行风险管理的规章制度与操作规定、程序等的执行情况;
(六)电子银行业务的主要风险及管理状况;
(七)业务外包管理制度建设与管理状况。
第三十一条第三十一条 电子银行系统安全性的评估,应至少包括以下内容:
(一)物理安全;
(二)数据通讯安全;
(三)应用系统安全;
(四)密钥管理;
(五)客户信息认证与保密;
(六)入侵监测机制和报告反应机制。
评估机构应突出对数据通讯安全和应用系统安全的评估,客观评价金融机构是否采用了合适的加密技术、合理设计和配置了服务器和防火墙,银行内部运作系统和数据库是否安全等,以及金融机构是否制定了控制和管理修改电子银行系统的制度和控制程序,并能保证各种修改得到及时测试和审核。
第三十二条第三十二条 电子银行业务运行连续性计划的评估,应至少包括以下内容:
(一)保障业务连续运营的设备和系统能力;
(二)保证业务连续运营的制度安排和执行情况。
第三十三条第三十三条 电子银行业务运行应急计划的评估,应至少包括以下内容:
(一)电子银行应急制度建设与执行情况;
(二)电子银行应急设施设备配备情况;
(三)定期、持续性检测与演练情况;
(四)应对意外事故或外部攻击的能力。
第三十四条第三十四条 评估机构应制定本机构电子银行安全评定标准,在进行安全评估时,应根据委托机构的实际情况,确定不同评估内容对电子银行总体风险影响程度的权重,对每项评估内容进行评分,综合计算出被评估机构电子银行的风险等级。
第三十五条第三十五条 评估完成后,评估机构应及时撰写评估报告,并于评估完成后1个月内向委托机构提交由其法定代表人或其授权委托人签字认可的评估报告。
第三十六条第三十六条 评估报告应至少包括以下内容:
(一)评估的时间、范围及其他协议中重要的约定;
(二)评估的总体框架、程序、主要方法及主要评估人员介绍;
(三)不同评估内容风险权重的确定标准,风险等级的计算方法,以及风险等级的定义;
(四)评估内容与评估活动描述;
(五)评估结论;
(六)对被评估机构电子银行安全管理的建议;
(七)其他需要说明的问题;
(八)主要术语定义和所采用的国际或国内标准介绍(可作为附件);
(九)评估工作流程记录表(可作为附件);
(十)评估机构参加评估人员名单(可作为附件)。
在评估结论中,评估机构应采用量化的办法表明被评估机构电子银行的风险等级,说明被评估机构电子银行安全管理中存在的主要问题与隐患,并提出整改建议。
第三十七条第三十七条 评估报告完成并提交委托机构后,如需修改,应将修改的原因、依据和修改意见作为附件附在原报告之后,不得直接修改原报告。
第四章 安全评估活动的管理
第三十八条第三十八条 金融机构在申请开办电子银行业务时,应当按照有关规定对完成测试的电子银行系统进行安全评估。
第三十九条第三十九条 金融机构开办电子银行业务后,有下列情形之一的,应立即组织安全评估:
(一)由于安全漏洞导致系统被攻击瘫痪,修复运行的;
(二)电子银行系统进行重大更新或升级后,出现系统意外停机12小时以上的;
(三)电子银行关键设备与设施更换后,出现重大事故修复后仍不能保持连续不间断运行的;
(四)基于电子银行安全管理需要立即评估的。
第四十条第四十条 金融机构对电子银行外部安全评估机构的选聘,应由金融机构的董事会或高级管理层负责。
第四十一条第四十一条 已实现数据集中管理的银行业金融机构,其分支机构开展电子银行业务不需单独进行安全评估,在总行(公司)的电子银行安全评估中应包含对其分支机构电子银行安全管理状况的评估。
第四十二条第四十二条 未实现数据集中管理的银行业金融机构,其分支机构开展电子银行业务且拥有独立的业务处理设备与系统的,分支机构的电子银行系统应在总行(公司)的统一管理和指导下,按照有关规定进行安全评估。
第四十三条第四十三条 电子银行主要业务处理系统设置在境外的外资金融机构,其境外总行(公司)已经进行了安全评估且符合本指引有关规定的,其境内分支机构开展电子银行业务不需单独进行安全评估,但应按照本指引的有关要求,向监管部门报送安全评估报告。
第四十四条第四十四条 电子银行主要业务处理系统设置在境内的外资金融机构,或者虽设置在境外但其境外总行(公司)未进行安全评估或安全评估不符合本指引有关规定的,应按规定开展电子银行安全评估工作。
第四十五条第四十五条 电子银行安全评估工作,确需由多个评估机构共同承担或实施时,金融机构应确定一个主要的评估机构协调总体评估工作,负责总体评估报告的编制。
金融机构将电子银行系统委托给不同的评估机构进行安全评估,应当明确每个评估机构安全评估的范围,并保证全面覆盖了应评估的事项,没有遗漏。
第四十六条第四十六条 金融机构应在签署评估协议后两周内,将评估机构简介、拟采用的评估方案和评估步骤等,报送中国银监会。
第四十七条第四十七条 中国银监会根据监管工作的需要,可派员参加金融机构电子银行安全评估工作,但不作为正式评估人员,不提供评估意见。
第四十八条第四十八条 评估机构应本着客观、公正、真实和自主的原则,开展评估活动,并严格保守在评估过程中获悉的商业机密。
第四十九条第四十九条 在评估过程中,委托机构和评估机构之间应建立信息保密工作机制:
(一)评估过程中,调阅相关资料、复制相关文件或数据等,都应建立登记、签字制度;
(二)调阅的文件资料应在指定的场所阅读,不得带出指定场所;
(三)复制的文件或数据一般也不应带出工作场所,如确需带出的,必须详细登记带出文件或数据名称、数量、带出原因、文件与数据的最终处理方式、责任人等,并由相关负责人签字确认;
(四)评估过程中废弃的文件、材料和不再使用的数据,应立即予以销毁或删除;
(五)评估工作结束后,双方应就有关机密数据、资料等的交接情况签署说明。
第五十条第五十条 金融机构在收到评估机构评估报告的1个月内,应将评估报告报送中国银监会。
金融机构报送评估报告时,可对评估报告中的有关问题作必要的说明。
第五十一条第五十一条 未经监管部门批准,电子银行安全评估报告不得作为广告宣传资料使用,也不得提供给除监管部门以外的第三方机构。
第五十二条第五十二条 对未按有关要求进行的安全评估,或者评估程序、方法和评估报告存在重要缺陷的安全评估,中国银监会可以要求金融机构进行重新评估。
第五十三条第五十三条 中国银监会根据监管工作的需要,可以自己组织或委托评估机构对金融机构的电子银行系统进行安全评估,金融机构应予以配合。
第五十四条第五十四条 中国银监会根据监管工作的需要,可直接向评估机构了解其评估的方法、范围和程序等。
第五十五条第五十五条 对于评估报告中所反映出的问题,金融机构应采取有效的措施加以纠正。
第五章 附则
第五十六条第五十六条 本指引由中国银监会负责解释。
第五十七条第五十七条 本指引自2006年3月1日起施行。
本内容来源于政府官方网站,如需引用,请以正式文件为准。
第五篇:小水电站安全评估标准及安全评估指引
小水电站安全评估标准及安全评估指引
1前 言
大坝安全定期检查是政府行使大坝安全监察的一项重要制度,也是确保大坝安全运行的重要举措。大坝安全监察中心(以下简称“大坝中心”)从1987年开始,有计划、有步骤地对我国电力系统的水电站大坝安全开展首轮定期检查工作,到1998年为止共完成了96座水电站大坝的定期检查工作;通过首轮定期检查,基本上掌握了80年代前投入运行的水电站大坝的安全状况,查明了影响水电站大坝安全的一些缺陷和隐患,解决了一些多年来悬而未决的重大问题,查出了一些病坝、险坝,推动了大坝补强加固、监测系统更新改造等工作;同时,通过定期检查,增强了水电站运行管理人员的大坝安全意识,提高了管理水平和业务素质,为大坝安全管理打下了比较坚实的基础。第二轮大坝安全定期检查工作从1997年开始,规划安排了131座大坝,到目前为止共有121座大坝开展了二轮定期检查工作,已经完成的有105座,16座正在进行,第二轮定期检查工作计划于2005年结束。
目前,第二轮定期检查已接近尾声,第三轮定期检查工作正在酝酿策划中,并计划于2005年启动;现正值《水电站大坝运行安全管理规定》(以下简称《规定》)颁布之际,正确理解《规定》的要求,对做好大坝安全第三轮定期检查工作以及大坝安全管理工作,是十分重要的。
2大坝安全定期检查规划
首轮、第二轮定期检查规划,主要依据当时各大坝主管单位所辖水电站大坝的定期检查计划,经大坝中心平衡后,制订该轮定期检查规划。规划定期检查的大坝为已注册或正在办理注册的大坝。第三轮大坝安全定期检查规划,是在上轮规划基础上制定,并以此制定计划,明确各水电站开始启动大坝安全定期检查的时间,并按此计划督促水电站运行单位及时开展大坝安全定期检查工作。
关于定期检查频次和时间要求,《规定》第十九条明确规定:定期检查一般每五年进行一次,检查时间一般不超过一年。新建工程的第一次定期检查,在工程竣工安全鉴定完成五年后进行。
3大坝安全定期检查要点
每轮大坝安全定期检查都有其明确的检查要点,首轮定期检查强调全面性,二轮定期检查突出金属结构检测、水下检查及监测系统评价等。三轮定期检查的要点已在国家电力监管委员会的《关于组织开展第三轮水电站大坝安全定期检查工作的通知》(电监安全200439号文)中明确,既要全面检查,也要突出重点。全面检查不同于首轮定检,首轮定检是由于大多数大坝在70年代之前完建,面临技术规范不完善、施工技术较落后、材料短缺、档案资料不全等问题,因此有必要采取全面的设计复核、施工复查和运行检查,而三轮定检的全面检查则是对结构运行性态的检查、对比,同时确认外部荷载、规程规范的变化和影响程度;突出重点则是强调特殊性,针对不同的大坝、不同的问题做重点检查,而不象二轮定检强调金属结构检测和水下检查那样具有普遍性,应该说二轮定检强调的重点正是首轮定检未能顾得上的;因此可以说首轮和二轮定检形成了大坝的基本安全档案,为今后的检查提供了参照物。而三轮及其以后的定检就是一种标准化、程序化、制度化的工作,具有一定的共性。三轮定检的要点关键在于分析评价大坝的运行性态。通过定期检查,真正达到提高大坝安全状况和运行维护管理水平,确保水电站大坝安全运行。
4大坝安全定期检查组织形式
首轮大坝安全定期检查由水电站大坝主管单位组织;第二轮大坝安全定期检查有水电站大坝主管单位组织的形式,也有大坝中心组织的形式。对于第三轮定检,《规定》 第十九条明确规定:“定期检查由大坝中心负责。大坝中心可以委托水电站大坝主管单位组织实施定期检查”。大型或重要大坝的 定期检查由大坝中心组织,中型水电站大坝的定期检查,由水电站大坝主管单位向大坝中心提出申请,经大坝中心同意批复后,按规划和计划实施。
大坝中心组织定期检查,应当组成专家组。专家组根据水电站大坝的具体情况,确定专项检查项目和内容。水电站运行单位组织具有相应资质的单位进行专项检查,并向大坝中心提交有关专项检查情况的专题报告。大坝中心对专题报告进行审查,并根据水电站大坝实际运行情况,对水电站大坝的结构性态和安全状况进行综合分析,评定水电站大坝安全等级,提出定期检查报告,形成定期检查审查意见报电监会备案。
委托大坝主管单位组织的定检,改变不了大坝中心负责定检的性质,大坝中心同样面临监督、指导的任务。大坝中心将在运行单位配合工作要求、专家组组成、专项检查内容、专题承担单位选择、专家组报告大纲等方面进行监督和指导,大坝主管单位在上述几个方面应提前函报大坝中心,大坝中心如有不同意见会及时反馈。专家组向水电站大坝主管单位提出定期检查报告,由主管单位转报大坝中心。
《规定》 第二十条规定:特种检查由水电站运行单位提出,大坝中心组织实施。
当发生特大洪水、强烈地震或者发现可能影响水电站大坝安全的异常情况,水电站运行单位应当向大坝中心提出特种检查申请。大坝中心接到申请后,应当及时组织专家组确定检查项目和内容。对需要进行专项检查的项目,由水电站运行单位组织具有相应资质的单位进行专项检查,并向大坝中心提交有关专项检查情况的专题报告。大坝中心综合检查情况,提出特种检查报告。水电站运行单位应当根据特种检查报告进行整改。
5大坝安全定期检查专家组
大坝安全定期检查工作,是一项政策性、技术性很强的工作,因此,充分依靠专家的智慧是保证大坝安全定期检查质量的基础。通常根据工程规模,专家组一般由5~9人组成。与工程设计、施工、监理、运行管理有关的单位的专家一般不得超过1/3,这是基于评价的公正性来考虑的。为了保持大坝安全定期检查工作的连续性,专家组中尽可能要有一名参加过上次定期检查(或安全鉴定)的成员。专家组成员不仅要求有精湛的专业技术,还要求熟悉大坝安全管理的有关法规和规定,并熟悉大坝安全定期检查工作程序。专家组的组成要结合定期检查要点和工程特点,由各专业的专家组成。
专家组根据定期检查要点和水电站大坝的具体情况,确定专项检查项目和内容。对提交的专题报告进行审查,并根据水电站大坝实际运行情况,对水电站大坝的结构性态和安全状况进行综合分析,评定水电站大坝安全等级,提出定期检查报告。不论定检由谁组织,专家组的工作都对大坝中心负责。
为了确保大坝安全定期检查质量,大坝中心在总结前两轮大坝安全定期检查经验的基础上,准备成立大坝安全专家库,对库内专家进行大坝安全管理法规和规定的宣传,并组织专家研究讨论大坝安全定期检查的工作经验。对具体某一水电站大坝的定期检查,其专家成员中要求有规定数量的库内专家组成。
6水电站大坝安全等级评定
专家组提出定期检查报告后,大坝中心审查专家组提出的定期检查报告,必要时对有关的专题报告复审,评定水电站大坝安全等级,形成定期检查审查意见报电监会备案。
大坝中心每年将定期或不定期向电监会上报定期检查审查意见,在收到电监会回复后,大坝中心将定期检查审查意见批复各水电站大坝主管单位。
大坝安全定期检查时间跨度定义:以成立专家组并召开第一次专家组会议开始,至水电站大坝主管单位收到大坝中心对定期检查的审查意见时为结束。
水电站大坝主管单位在收到大坝中心对定期检查的审查意见后,应对照审查意见,组织有关单位认真落实审查意见中的各项意见和建议,必要时召开专家咨询会议,对已发现的异常情况或者存在的隐患、缺陷,提出补救措施和改进意见,落实单位和资金,及时整改和处理。
对定期检查评定为病坝、险坝的,应当限期除险加固、改造和维修,在评定为正常坝之前,应当改变运行方式或者限制运行条件。对重要大坝和存在重大缺陷和安全隐患的大坝,要进行大坝险情评估和制定大坝安全紧急行动计划。除险加固、改造和维修工程完成后,应当进行专项评价,评价除险加固、改造和维修工程的效果,是否具备正常坝的条件。如果具备正常坝的条件,涉及水电站大坝安全等级的变更,大坝中心应当将专项评价意见报电监会备案。
7其 它
为了及时评定水电站大坝安全等级,对由水电站大坝主管单位组织定期检查的大坝,水电站主管单位应在专家组工作结束后一个月内将专家组的定期检查报告、各专题报告和主管单位的意见一并上报大坝中心。
《规定》 第二十三条规定:从事水电站大坝安全定期检查和特种检查的相关技术服务单位,应当具备相应的资质和资格。大坝中心将定期公布具有相应资格的技术服务单位。
《规定》 第三条规定:本规定适用于电力系统投入运行的大、中型水电站大坝。小型水电站大坝可参考执行。■
点击咨询 