信息安全風險管理制度范文

時間:2023-09-10 15:22:27

導語:如何才能寫好一篇信息安全風險管理制度,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

篇1

關鍵詞:信息;安全;風險管理

引言

對于企業(yè)單位而言,信息資源是支撐工作正常運行的關鍵,囊括了企業(yè)的知識產權、重要數(shù)據(jù)、工作人員、信息處理設施等。信息安全風險管理成為企業(yè)單位的重要管理工作。但是目前我國企業(yè)單位的信息安全風險管理中存在著大量的問題,亟待解決,須采取有效的策略,才能保障企業(yè)單位的綜合發(fā)展。

1信息安全風險管理中存在的問題

國內的企業(yè)單位在信息安全風險管理方面都存在著一定的技術引導性,缺乏必要的流程控制和制度保障。認為信息安全的建設只要有高科技的安全技術設備,就萬無一失了。但事實并非如此,信息技術的發(fā)展雖然促進了信息安全風險問題的解決,但是沒有嚴格有效的管理,依舊會產生風險問題。所以說只依賴于科學技術并不能從根本上解決所有的信息安全風險問題,只有技術和相應的流程有效配合才能完成企業(yè)單位的信息安全風險管理工作[1]。

1.1信息風險意識不強

企業(yè)單位對于信息安全風險的問題和影響缺乏認識,管理層的重視程度不夠,通常只有在出現(xiàn)問題時,才會采取相應的策略,沒有持續(xù)性。目前,我國許多企業(yè)單位的信息安全風險管理方面的財力和人力投入太小,嚴重忽視了相關資源的投入,原有風險和新風險逐漸積累,攢下了許多的風險隱患。還有部分企業(yè)單位過于注重信息系統(tǒng)的運行階段,忽視了隱藏在系統(tǒng)開發(fā)和建設階段的風險,在系統(tǒng)的穩(wěn)定性和安全性方面留下嚴重的隱患。而且,企業(yè)單位對于信息安全風險的認識嚴重不足,沒有切實意識到業(yè)務和客戶數(shù)據(jù)的集中也會引發(fā)風險的集中,缺乏對于控制風險和分散風險的慎重考慮。

1.2缺少風險管理人才

信息安全風險管理不僅要依靠技術,更依靠于人才。信息安全風險管理工作的最終效果根本上還是取決于人才。信息安全風險管理人才不僅要具備風險管理才能,還要具有良好的綜合素質和專業(yè)素養(yǎng)。我國企業(yè)單位嚴重缺乏這樣的風險管理專業(yè)人才,大多數(shù)管理人才由于缺乏信息技術專業(yè)知識,對于信息資產和脆弱性的識別不能做出準確的判斷,無法對信息安全風險狀況進行正確判斷,從而對企業(yè)單位的信息安全風險管理造成一定的影響。

1.3缺乏風險統(tǒng)一管理

我國大多企業(yè)單位都十分重視風險事項的具體管理,卻嚴重忽視了風險的整體控制和管理。在實施信息安全風險管理的過程中,將主要精力和時間投入到了具體事項的風險管理中,卻忽略了整體把握,沒有切實關注信息安全風險流程管理和技術之間的密切聯(lián)系。所以,最終導致信息安全風險管理的資源分配嚴重不均勻,缺乏統(tǒng)一的風險管理,從而對企業(yè)單位的整體信息安全風險管理的效果造成了嚴重影響。

1.4忽視信息風險預防和應急

現(xiàn)階段,我國的大部分企業(yè)單位的信息安全風險管理基本上是憑借自身的長期經驗加以管理,一般是事后風險管理。采取這種就事論事的管理方式,已經無法適應我國企業(yè)單位對信息化技術的依賴需求了。對于信息安全風險的預防和應急管理形同虛設,基本上停留在已有的規(guī)章制度檢查階段,風險評估工作也始終停滯在定性評估上,嚴重缺乏對風險的定量分析,這樣的風險預防和應急策略,將會嚴重影響企業(yè)單位的發(fā)展。

2信息安全風險管理的有效策略

2.1樹立信息安全風險觀念

樹立信息安全風險觀念主要從四方面進行,即優(yōu)化配置,積極防御,全面統(tǒng)籌,強化內控。我國大多數(shù)企業(yè)單位的相關配置還不夠完善、優(yōu)化,因此首先必須要優(yōu)化配置,做到標準化和規(guī)范化,消除其中存在的隱患。而且,要積極建立有效的防御機制,控制未發(fā)生風險事件和已發(fā)生風險事件帶來的影響。同時,企業(yè)單位還要強化內部控制,明確系統(tǒng)開發(fā)人員和風險管理人員的職責,保證內部控制工作的有效開展。另,信息安全風險管理工作的開展,須自上而下,建立領導重視、部門協(xié)同參與的工作機制,發(fā)揮優(yōu)勢,積極配合,將信息安全風險管理工作貫徹落實。

2.2建立健全的信息安全風險控制機制

在信息安全風險管理工作中,風險控制機制起著基礎性的根本作用,只有具備了良好的風險控制機制,才能使整個管理系統(tǒng)與自適應系統(tǒng)更加接近,從而在外部條件不發(fā)生變化的同時,能夠迅速地做出反應,進行策略調整,實現(xiàn)優(yōu)化目標,保持良好的管理水平,保證信息安全風險管理作用的順利開展。風險控制主要包括六個方面,即基礎工作、責任機制、預防機制、通報機制、應急機制、團隊建設[2]。

2.3建立完善的信息安全風險管理體系

完善的信息安全風險管理體系,主要包括六個部分,有風險管理制度體系、標準規(guī)范體系、風險管理組織體系、風險管理策略體系、技術支持體系、應急處置體系。風險管理制度體系是有效規(guī)范企業(yè)單位信息系統(tǒng)開發(fā)運行等過程中的組織和個人行為的基礎,應切實根據(jù)自身情況,針對風險管理控制中的薄弱環(huán)節(jié),制定相應的管理方式方法和規(guī)章制度,從而對關鍵過程進行有效監(jiān)管。風險管理組織體系是指企業(yè)單位設置的專門的信息安全風險管理組織機構,是將管理部門細化到具體崗位,保證信息安全風險管理工作順利開展的關鍵[3]。技術支持體系,是運用網(wǎng)絡安全控制、系統(tǒng)安全控制、系統(tǒng)加密控制等高科技技術手段,建立不受外界侵害的保障系統(tǒng),從而保證企業(yè)信息安全。除此之外,還必須建立健全的應急處置體系,這是企業(yè)單位信息安全風險管理體系中最關鍵的部分,只有全面建立完善的信息安全風險管理體系,才能保證企業(yè)單位的信息安全。信息安全風險管理工作是一項長期的工作,所涉及的范圍十分廣泛,其中包括員工和信息科技的每一個環(huán)節(jié)。信息安全風險管理體系只有在全員維護下,才能將安全體系落實到信息科技建設的具體環(huán)節(jié),帶來真正意義上的信息安全。

參考文獻

[1]吳世忠.信息安全風險管理的動態(tài)與趨勢[J].計算機安全,2007(5):1-7

[2]包同崗,趙捷琴,祁之強.基于突變理論電網(wǎng)企業(yè)信息安全風險管理模型研究[J].山西電力,2014(4):45-49

篇2

關鍵詞:電力公司;營銷安全;風險評價;管理體系;研究

中圖分類號:F272 文獻標識碼:A

營銷管理體系的建立是電力公司發(fā)展的必然選擇,因為在電力市場中,各個電力公司如果沒有制定相應的規(guī)避風險的對策,其在市場競爭中終會被淘汰,因此說對電力公司來說,營銷安全風險評價非常重要,但是建立營銷管理體系更重要。營銷管理體系包含很多內容,從管理機構的建立到流程優(yōu)化,都需要相關人員認真的完成,以此保證管理體系的科學合理。

一、電力公司營銷安全風險評價

電力公司營銷是市場競爭的需要,但是營銷本身存在著一定的風險,在電力公司進行電力產品營銷時,首先要明確其存在的風險,之后對這些風險進行評價,按照評價標準來決定選擇哪種適合的營銷策略,以便在市場競爭中獲得最大的營銷效益。其安全評價體系如下:

1市場風險評價。市場風險是電力公司營銷面臨的最重要的風險問題,因為隨著電力市場環(huán)境的改變,電力公司也會發(fā)生相應的改變,比如某些政策發(fā)生了變化,或者電力公司在面臨市場需求時沒有對此做出正確的分析評價,所以出現(xiàn)了供不應求或者供大于求的現(xiàn)象。市場環(huán)境中,電力公司需要考慮很多問題,比如消費群、市場信息以及國家的與之相關的政策變化,尤其是貸款政策的變化等,這些因素是電力公司需要對市場風險進行評價的關鍵點,只有掌握關鍵點,才能保證市場安全風險評價準確,為公司領導制定決策提供依據(jù)。

2經營操作風險評價。任何形式的經營操作都存在一定程度的風險,有些安全風險能夠為公司帶來發(fā)展的契機,但是有些風險則會使電力公司陷入困境,這是對經營操作風險進行安全評價的主要原因,如果經營操作風險已經超過了電力公司自身的經營的承受力,則需要盡可能的避免。其中有些經營操作風險存在的安全隱患非常突出,比如用戶信息安全隱患、用電檢查等問題,這些操作帶來的風險具有累積效應,一旦累積到一定程度,將會使電力公司陷入絕境,因此需要對此進行預先評價。

3電費安全風險評價。電能是電力公司主要的電力產品,也是主要經濟收入,但是在電費管理期間,因為管理人員沒有按照要求規(guī)范進行管理,比如抄核收電表等,進而產生了電費管理風險,除此之外,某些電力公司并沒有認真執(zhí)行國家電費政策,所以用電用戶與公司之間出現(xiàn)了很多的電費糾紛,這些問題嚴重影響了電力公司的形象,因此在電力公司領導制定決策時,要盡可能避免這些風險,但是也需要將這些風險考慮進去,并且做好相應的應對策略。

4供電服務風險評價。電力公司的營銷就是希望能夠為用戶提供更多更優(yōu)良的服務,但是我國的一部分電力公司卻沒有服務的意識,這是產生供電服務風險的根本原因,因為沒有相應的意識,所以其服務的質量難以保證,而且沒有建立相應的服務體系,因此出現(xiàn)了很多風險,其中最常見的就是客戶投訴等。

二、電力公司營銷管理體系研究

正是因為電力公司存在上述各種風險,導致其營銷效果并不佳,為了能夠在營銷管理中將風險控制在公司可以承受的范圍內,則需要建立營銷管理體系,針對風險類型進行營銷管理,將風險發(fā)生的機率降到最低,其主要采取的措施如下:

1建立并且完善營銷安全管理機制。任何一個公司企業(yè)的營銷管理都存在一定的風險,而風險管理是一件非常復雜的工作,因此需要建立一定的管理機制,將各個管理細節(jié)部門明確規(guī)定,從風險管理條款制定到風險管理具體的執(zhí)行,都需要在管理機制體現(xiàn)出來。安全管理機制的制定需要結合電力公司的實際情況,不能脫離實際去制定。要想制定的條款能夠非常明確的落實下去,則需要建立專門管理機構,并且給予其一定的權利,提高其執(zhí)行力。

2優(yōu)化管理流程。電力公司營銷安全風險管理不僅需要質量,更需要效率,尤其是在面對突發(fā)的風險,需要具有快速有效的解決能力,否則風險就會變?yōu)楝F(xiàn)實,而提高管理效率的重要措施就是優(yōu)化管理流程,一些不必要的流程要省略掉,既要明確責任,有要保證責任效率,動態(tài)管理與靜態(tài)管理相結合的方式,全方位、全角度對其進行管理。從縱向上方法進行優(yōu)化,指的是整合垂直工作,對營銷安全風險管理的實施步驟進行安排,對那些不必要的監(jiān)督和控制環(huán)節(jié)進行減少,提高工作效率;橫向上指的是整合水平工作,促使各個責任部門的工作人員可以對自己工作范疇內的風險進行有效的處理和控制,集中分散的資源,減少不必要的溝通。

3供電營銷安全風險管理制度標準保障。要想促進企業(yè)更好的發(fā)展,提高管理的規(guī)范化程度,非常重要的一個方面就是進行制度建設。對于電力公司營銷安全風險管理也是一樣的道理,需要構建相關的制度標準,在構建的時候,需要遵循這些原則,首先是完整性原則,指的是保證安全風險管理制度可以對公司經營管理的各個層面實現(xiàn)覆蓋,保證全體工作人員都可以積極參與進來,將控制作用充分發(fā)揮出來;其次是合理性原則,指的是要充分結合目前的管理體系以及公司具體情況,來優(yōu)化和改善現(xiàn)有制度,對相關原則進行優(yōu)化和細化,更加合理的制定風險管理制度,提高制度的可操作性。

結語

綜上所述,可知對電力公司營銷安全風險評價與管理體系進行研究非常必要,尤其是在電力市場發(fā)展的今天,對其進行研究具有一定的指導作用。從電力營銷的角度來說,我國電力公司面臨的最要風險就是供電服務風險,而產生這種風險的主要是因為電力公司沒有服務的意識,以此經常出現(xiàn)服務糾紛,這對電力公司的發(fā)展來說非常不利,因此在營銷管理時,要盡量的規(guī)避這些風險。

參考文獻

[1]李軼敏.工業(yè)企業(yè)營銷風險預警指標體系及綜合評價方法[J]. 時代經貿(下旬刊),2007(02) .

篇3

【關鍵詞】 工程設計企業(yè) 風險管理 對策

隨著企業(yè)的發(fā)展壯大,新情況、新事項逐漸增多,加之內外部市場環(huán)境的不斷變化,企業(yè)所面臨的風險日益加大。所以當今企業(yè)必須全面有效地開展風險管理工作,才能做到未雨綢繆,防微杜漸,保持和增強企業(yè)的競爭優(yōu)勢。本文基于工程設計企業(yè)風險管理的工作實踐,認為風險管理工作可以從風險管理體系建設、風險信息識別與評估、風險管理策略和措施、監(jiān)督與改進等方面來開展。

一、風險管理體系建設

企業(yè)風險,指未來的不確定性對企業(yè)實現(xiàn)其經營目標的影響。企業(yè)風險管理,指企業(yè)圍繞總體經營目標,通過在管理的各個環(huán)節(jié)和經營過程中執(zhí)行風險管理的基本流程,培育良好的風險管理文化,建立健全風險管理體系,從而為實現(xiàn)風險管理的總體目標提供合理保證的過程和方法。

做好企業(yè)風險管理工作對提高企業(yè)風險防范能力、增強市場競爭力至關重要,有效的風險管理可以確保企業(yè)把風險控制在可承受范圍之內;確保真實、可靠的數(shù)據(jù)信息與溝通;確保遵守有關法律法規(guī)、企業(yè)有關規(guī)章制度和重大經營管理措施的貫徹執(zhí)行;確保企業(yè)不因災害性事件或人為失誤而遭受重大損失。因此,企業(yè)應從上到下高度重視此項工作,應以現(xiàn)有的管理流程和規(guī)章制度為基礎,建立符合企業(yè)實際的風險管理組織體系和制度體系。

首先,根據(jù)企業(yè)組織架構特點建立整體覆蓋的風險管理組織體系,成立由企業(yè)領導擔任組長的風險管理領導小組,全面領導企業(yè)風險管理工作,并明確指定企業(yè)各職能部門及下屬各單位領導為本部門、單位的風險管理第一責任人。指定領導親自負責有利于明晰責任,提高對風險管理工作的重視程度。同時,為促進日常工作的有序開展,需在風險管理領導小組下設置具體職能部門為風險管理歸口部門,全面組織協(xié)調企業(yè)風險管理的日常工作,包括負責組織企業(yè)風險管理體系的建立、日常維護及改進,建立健全組織機構、工作流程和規(guī)章制度;組織收集風險信息,建立風險事件庫;辨識、分析、評價風險,完善內部控制系統(tǒng);組織建立公司重大風險監(jiān)控預警機制;指導、監(jiān)督所屬各單位建立健全風險管理體系等等。企業(yè)其他各職能部門則負責對其職責范圍內存在的各類風險進行管理,下屬各單位應全面貫徹落實企業(yè)總體風險管理制度,按照整體要求做好風險管理工作。

其次,除了建立風險管理組織體系之外,企業(yè)還應根據(jù)自身情況制定風險管理制度體系,制定完善的相關制度和基本工作流程,為全面開展風險管理工作提供制度保證和工作依據(jù)。一般說來,企業(yè)風險管理制度包括:風險管理工作辦法、不同風險事項應急預案、風險控制程序等。風險管理基本工作流程為:收集風險管理初始信息進行風險評估制定風險管理策略提出和實施風險應對措施風險管理監(jiān)督與改進。

二、風險信息識別與評估

有效的風險管理體系是企業(yè)順利地開展風險識別與評估工作的重要保障。企業(yè)應充分識別內外部情況,找準和找全現(xiàn)階段面臨的主要風險事項,并對其進行分類。一般來說,以管理要素為標志,工程設計類企業(yè)的風險可劃分為戰(zhàn)略風險、運營風險、財務風險、資金風險、投資風險、法律風險、海外風險七大類,每一類中又分別包含若干不同的風險事項。

各類風險包含的主要風險事項如下。戰(zhàn)略風險:包括戰(zhàn)略制訂、戰(zhàn)略實施、戰(zhàn)略動態(tài)調整等;運營風險:包括公司治理、重大決策、機構設立與注銷、市場經營、管理創(chuàng)新、合同管理、質量管理、技術管理、項目管理、人力資源管理、安全生產、節(jié)能減排、職業(yè)健康、國家安全與保密、宣傳與信息安全等;財務風險:包括會計核算、財務管理、資產管理、經費管理等;資金風險:包括融資、金融工具使用、資金結算、擔保、外匯管理等;投資風險:包括股權投資、項目投資等;法律風險:包括合同管理、合規(guī)審查、重大法律糾紛、知識產權保護、勞動用工管理等;海外風險:包括市場經營、市場環(huán)境、運營監(jiān)控、海外投資等。

企業(yè)可根據(jù)識別出的風險事項建立風險事件庫,以便在風險管理過程中隨時查找、對照、評估效果、完善措施。同時,由于企業(yè)所處內外部環(huán)境的不斷變化,應對風險信息進行動態(tài)監(jiān)控,風險管理歸口部門要根據(jù)不同階段風險事件的變化及時更新企業(yè)風險事件庫。風險事件庫應包含風險名稱、風險類別、風險描述、發(fā)生條件、風險后果、風險應對措施幾個方面。以工程設計類企業(yè)最常面臨的幾個風險事項為例,列舉風險事件庫相關內容(見表1)。

在實際操作中,風險識別和評估可采用問卷調查、集體討論、專家咨詢和調查研究等方法。企業(yè)各部門和下屬各單位處在企業(yè)生產經營管理活動的第一線,應注意在實際工作中查找和收集風險信息,分析風險發(fā)生的條件及可能性的高低,評估風險對企業(yè)的影響程度,提出重大風險,建立風險監(jiān)控預警指標體系。企業(yè)風險管理歸口部門應在結合各單位、各部門提出的重大風險和風險監(jiān)控預警指標體系的基礎上,提出整個企業(yè)層面上的重大風險和風險監(jiān)控預警指標體系。

經過評估的風險,按照發(fā)生的可能性可分為經常、很大、中等、偶爾、極少五種情況;按照對企業(yè)的影響程度可分為災難性、重大、中等、輕微、可忽略五種情況。風險發(fā)生可能性很大并且會產生重大影響的,就應判斷為重大風險,需要引起企業(yè)高度重視。

三、風險管理策略和措施

依據(jù)風險評估結果,企業(yè)可結合自身條件、外部環(huán)境和發(fā)展戰(zhàn)略,根據(jù)自身風險承受能力,選擇風險承擔、風險規(guī)避、風險控制、風險分擔等適合的風險管理策略,并針對各類風險特點,確定風險應對措施。應對措施應滿足合規(guī)要求,滿足風險控制與運營效率及效果相平衡的原則,具有適用性、可操作性,并堅持在實際工作中嚴格貫徹執(zhí)行。例如,對于日常流程和制度無法預控,一旦發(fā)生損失較大的重大風險,應制定專項風險應對方案;對于日常經營及管理活動中的重大風險,應針對風險所涉及的所有環(huán)節(jié),制定或完善內控制度和涵蓋各個環(huán)節(jié)的全流程控制措施,由事后控制變事前、事中及事后全過程風險控制;對于其他風險,應針對風險所涉及的各項流程,把關鍵環(huán)節(jié)作為控制點,建立或完善內控制度和流程,將風險控制在可承受的范圍內。特別要注意的是,對于企業(yè)重大風險事項,均應在充分進行風險分析的基礎上,上報公司高級管理層(設有董事會的公司還應對上報董事會審議的事項進行規(guī)定)討論、決策,并由監(jiān)事會(監(jiān)事)進行監(jiān)督。

風險管理的內控措施一般包括重要崗位權力制衡控制、授權審批控制、績效考評控制、利益沖突回避控制、經營活動分析控制、財產保護控制、重大風險預警控制等。風險管理措施的制定可采取定性和定量相結合的方法,并積極借助信息化手段推進風險管理措施的實現(xiàn)。

現(xiàn)以工程設計企業(yè)戰(zhàn)略制訂及調險為例,論述其管理措施。企業(yè)應制訂具有引領性和可執(zhí)行性的發(fā)展戰(zhàn)略,否則可能會導致企業(yè)盲目發(fā)展,喪失機遇和動力,難以形成競爭優(yōu)勢,甚至造成經營失敗。針對這類風險,企業(yè)制定了明確的控制要求:戰(zhàn)略規(guī)劃制訂前需進行詳細調研;應具有保障實現(xiàn)發(fā)展目標的實施路徑、保障措施;對戰(zhàn)略規(guī)劃實施情況進行分析,當外部環(huán)境發(fā)生重大變化時,履行適當程序調整規(guī)劃。再根據(jù)各項要求制定了具體的控制措施:首先,由各相關職能部門對分管領域業(yè)務進行分析預測,制定分目標,根據(jù)公司近年主要經濟指標情況和上級要求,在全面分析現(xiàn)狀和預測內外部環(huán)境變化趨勢的基礎上制定總目標;其次,根據(jù)發(fā)展目標確定重點任務和保障措施,要求具有指導性和可行性;最后,分析戰(zhàn)略執(zhí)行情況和內外部市場環(huán)境變化情況,評估調整規(guī)劃要求,經決策層審批后年度工作計劃。

企業(yè)戰(zhàn)略規(guī)劃的制定和動態(tài)調整過程均嚴格執(zhí)行控制措施,避免了因發(fā)展戰(zhàn)略脫離實際、偏離中心而導致過度擴張、經營失敗;也避免了發(fā)展戰(zhàn)略因主觀原因頻繁變動而導致資源浪費,甚至危及企業(yè)的生存和持續(xù)發(fā)展。

四、監(jiān)督與改進

企業(yè)只有對風險管理工作進行監(jiān)督和改進,才能實現(xiàn)整個管理環(huán)節(jié)的閉合。應建立全面風險管理監(jiān)督機制,制定監(jiān)督制度,明確檢查對象、內容、方法,明確各部門在風險管理監(jiān)督中的職責權限、程序、方法和要求。應定期總結和分析已制定的風險管理策略、內控措施及專項風險應對方案的有效性和合理性,結合實施情況不斷修訂和完善。在重大風險,如公司發(fā)展戰(zhàn)略、組織結構、重要經營活動和業(yè)務流程、關鍵崗位員工等發(fā)生較大調整或變化時,還應組織對相關風險管控的專項監(jiān)督檢查。

此外,企業(yè)還應從風險信息溝通、風險管理培訓、風險文化營造三方面為順利開展風險管理工作提供支持。注重風險管理信息的溝通,建立風險管理信息報送體系,明確風險管理相關信息的收集、處理及傳遞程序,確保信息及時溝通,促進風險管理工作有效運行;加大風險管理的培訓,在全面風險管理基礎知識及基本技能培訓的基礎上,建立高風險崗位的崗前培訓制度,加強對關鍵崗位風險管理理念、管控核心內容、操作規(guī)程的培訓;在內部各個層面營造風險管理文化氛圍,各級領導應在培育風險管理文化中起表率作用,積極傳播風險管理文化,牢固樹立風險無處不在、無時不在意識和理念。

【參考文獻】

篇4

銀行IT審計意義

目前,信息系統(tǒng)的正常運行已經成為銀行業(yè)務正常運營的最基本條件之一,信息科技在有力提升銀行核心競爭力的同時,信息科技風險也愈發(fā)突出和集中,信息科技風險控制已成為銀行業(yè)風險管理的重要內容,而IT審計作為銀行業(yè)風險管理體系的重要組成部分,其重要性和必要性已經日益得到銀行業(yè)管理層的關注。同時,國家相關部門對信息系統(tǒng)的管控也越來越重視,自2006年8月《銀行業(yè)金融機構信息系統(tǒng)風險管理指引》開始,銀監(jiān)會正式對銀行科技風險進行監(jiān)管,近年來推出一系列制度和措施(見表1),監(jiān)管工作逐步走向規(guī)范化。通過IT審計來保證和監(jiān)控全行的信息科技管控對各級監(jiān)管政策法規(guī)的合規(guī)性,也成為銀行業(yè)實施IT審計的重要目的之一。

因此,銀行業(yè)加強和規(guī)范IT審計,既是自身發(fā)展和獲取競爭優(yōu)勢的內在需要,也是監(jiān)管當局的外部要求。

銀行IT審計標準

準確地運用標準和參照,成為順利開展IT審計工作的重要前提之一。

COBIT

COBIT(Control Objectives for Information and related Technology) 是由信息系統(tǒng)審計與控制基金會最早在1996年制定的IT治理模型。這是一個在國際上公認的、權威的安全與信息技術管理和控制的標準,也是目前國際上通用的信息系統(tǒng)審計的標準之一。COBIT是一個基于控制的IT治理模型,其制定的宗旨是跨越業(yè)務控制和IT控制之間的鴻溝,從而建立一個面向業(yè)務目標的IT控制框架。

COBIT本身并非針對IT審計的專門論述,其面向的使用者可以是企業(yè)中想通過改善IT過程實現(xiàn)經營目標的管理者,也可以是業(yè)務過程的所有者,即用戶,也可以為IT審計師。它在商業(yè)風險、控制需要和技術問題之間架起了一座橋梁,以滿足管理的多方面需要。在最新的COBIT5.0版本中,COBIT已經被稱作“一個治理和管理企業(yè)IT的業(yè)務框架”。

COBIT4.1版本中經典的體系框架一直為眾多使用者參考使用,它包括了實施簡介、實施工具集、高層控制目標框架、管理指南、具體控制目標、審計指南等一系列文檔(見圖1)。管理指南為每個過程提供了關鍵成功因素、關鍵目標指標和關鍵績效指標等,并根據(jù)這些指標對每個過程進行了成熟度模型的劃分;而審計指南,則就審計的控制目標、調查對象、需要掌握的證據(jù)及如何進行測試和評估做出了詳細的說明。

COBIT4.1版本中的流程參考模型將所有與信息系統(tǒng)相關的活動進行了劃分,主要包括34個流程,分屬4個域。而COBIT 5.0的參考模型涵蓋了治理和管理流程的完整集合,共分為37個流程。COBIT5.0流程參考模型是COBIT4.1流程參考模型的繼承者,同時也融合了風險IT、價值IT流程模型。COBIT的廣泛通用性也造就了它在應用上的弱點和難點,即COBIT中對相關流程和控制目標的描述過于籠統(tǒng)普適,需要使用者結合企業(yè)的實際情況和專業(yè)經驗進行較大的定制化方可實施。

因此,COBIT模型的最大作用是將IT過程、IT資源與企業(yè)的策略和目標聯(lián)系了起來,保障了企業(yè)的IT戰(zhàn)略目標和其業(yè)務發(fā)展目標的一致性,也在IT管理層、IT技術人員/用戶和IT審計師之間搭建了橋梁。

《商業(yè)銀行信息科技風險管理指引》

近年來,隨著銀監(jiān)會信用風險、商業(yè)風險和操作風險管理指引的,以及“巴塞爾協(xié)議II”在銀行業(yè)內的逐步實施,推動了銀行內部風險管理機制的建立和健全。但是,在全面風險管理的框架下,目前銀行的信息科技風險管理機制滯后于業(yè)務風險管理體系的發(fā)展,并未建立體系化的風險管控機制,成為了銀行風險管理體系中的短板。這主要體現(xiàn)在,信息科技風險治理組織不健全、風險管理制度不完善、風險處理過程規(guī)劃依據(jù)不充分以及風險監(jiān)控指標不明確等方面。

2009年的《商業(yè)銀行信息科技風險管理指引》(以下簡稱《指引》),定義了商業(yè)銀行信息科技風險的總體框架,即在當前商業(yè)銀行普遍的信息科技現(xiàn)狀下,可能存在的重大信息科技風險的范圍,使商業(yè)銀行的風險管理過程,能夠集中精力在相關領域中。

《指引》確定了九大管理領域,即:信息科技治理;信息科技風險管理;信息安全;信息系統(tǒng)開發(fā)、測試和維護;信息科技運行;業(yè)務連續(xù)性管理;外包;內部審計;外部審計。這些領域覆蓋了信息科技管理的大多數(shù)重要活動,這些活動中存在的風險,可能會對業(yè)務產生重大影響,因此對這些領域的風險識別和管理,應當在信息科技風險管理中優(yōu)先對待。

在這九大領域中,IT審計占兩個,分別是內部審計和外部審計。而《指引》本身,就是一個針對銀行的框架完整的IT審計標準,銀行可以參考這個標準,開展IT審計工作。

IT審計標準選擇

實踐中使用的標準遠不止上述兩個,而且,這兩個標準建立本身就參照了很多IT相關的較為成熟的標準。如,COBIT制定時參照的標準就有ISO系列的相關IT技術標準、審計行為準則等等;《指引》其中“信息安全”管理領域的內容建立就是參照信息安全管理體系的國際標準ISO27001。

篇5

【關鍵詞】電力企業(yè)信息安全管理;組織管理;失誤因素

1 電力企業(yè)信息安全管理中組織管理失誤的分析方法

電力企業(yè)信息安全管理中的組織管理失誤分析法(英文:Cognitive Relia-bility andErrorAnalysisMethod,即CREAM),是可靠性分析法的典型代表,具有追溯分析功能。通過CREAM的應用,可以將失誤事件的外在表現(xiàn)形式稱為失效模式,并且將引起這些失誤事件的直接原因定義為前因。實踐中,前因可分為具體的前因、一般性前因,CREAM分析法是以失效模式作為出發(fā)點。首先,通過分析失效模式的一般前因、具體前因,得到失效模式前因表,在表中選定一個前因作為后果,然后分析引起這一后果的可能前因,最終得到包含這一后果、可能的前因追溯表;再以該可能前因為后果,分析可能的前因,通過連續(xù)不斷的尋找,最終找到引起事件失誤的根本原因。

2 在電力電力企業(yè)信息組織管理過程中,開展多項管控措施、分三步走

第一步,從思想上加強重視。實踐中,應當認真學習貫徹違規(guī)外聯(lián)、外網(wǎng)郵箱發(fā)送的要求,嚴格按照“業(yè)務工作誰主管,保密工作誰負責”以及“統(tǒng)一領導、分級負責”的原則,將信息安全保密職責有效地落實到人,讓每個員工熟悉、掌握保密工作的基本要求和規(guī)范。

第二步,深入檢查,全面整改。實踐中,應當嚴格按照檢查內容檢查,一定不能留死角、搞形式。在檢查中發(fā)現(xiàn)的問題,要立即糾正,認真整改,對存在嚴重問題的單位要監(jiān)督整改,并組織復查;發(fā)生泄密、違規(guī)問題時,一定要嚴肅查處,必要時還要追究責任人的責任。

第三步,嚴格管理,務求實效。要進一步落實保密工作責任制,堅持標本兼治、系統(tǒng)治理,把檢查活動與日常保密工作安排結合起來,邊檢查邊整改,以查促管、以查促改、以查促教、以查促防,確保檢查取得實效。

3 電力企業(yè)信息系統(tǒng)安全管理的必要性

電力企業(yè)信息系統(tǒng)安全管理,是企業(yè)在一定范圍內建立起來的信息安全目標和方針,并通過努力完成目標。對于電力企業(yè)信息安全管理而言,可表示為方法、目的、基本原則和實施過程等要素集合,作為直接的信息安全管理結果。2014年8月,某技術質管部專責高某通過電子郵箱將創(chuàng)新成果--《電力設計企業(yè)基于桌面云技術的信息》以附件形式經壓縮、更名后在沒有經過加密的情況下,發(fā)送到某部門專家評審組;由于附件內容出現(xiàn)“保密”等敏感詞,該郵件被公司外網(wǎng)郵件攔截系統(tǒng)攔截。經現(xiàn)場查實,郵件均不涉商業(yè)秘密,但違反了“工作郵件只限于公司內網(wǎng)郵箱發(fā)送”規(guī)定。由此可見,電力企業(yè)信息系統(tǒng)安全管理工作非常重要,也非常有必要。通常情況下,電力企業(yè)信息安全管理工作主要包括制定信息安全管理的策略,合理、科學的對電力企業(yè)信息安全工作進行組織管理,具有非常重要的作用。電力企業(yè)應當提高全體員工的信息安全意識,加強電力電力企業(yè)信息內外網(wǎng)安全管理。第一,內、外網(wǎng)電腦都必須安裝三種軟件,即北信源、天以及趨勢殺毒。軟件有內、外網(wǎng)版本之別,而且客戶端也不同;第二,遵守專機、專網(wǎng)之規(guī)定,內網(wǎng)電腦不能與外網(wǎng)相連接,外網(wǎng)電腦不能連接內網(wǎng),家用電腦不能接入內網(wǎng)使用,尤其是來歷不明、使用背景不明的電腦,一律禁止接入內網(wǎng)系統(tǒng)。

4 電力企業(yè)信息安全管理中組織管理常見失誤

近年來,隨著市場經濟體制改革的不斷深化,雖然電力企業(yè)信息安全管理水平有了很大程度的提升,但電力企業(yè)信息安全管理過程中依然存在著一些問題與不足,總結之,主要表現(xiàn)在以下幾個方面:

第一,信息安全措施和技術手段不成熟。對于大多數(shù)企業(yè)而言,在信息系統(tǒng)建設過程中欠缺完善的安全手段和措施,嚴重影響了安全措施的制定與執(zhí)行。

第二,電力企業(yè)信息安全風險控制不到位。實踐中可以看到,很多企業(yè)在信息化規(guī)劃與建設過程中,對信息安全的前期分析比較欠缺,將分析對象主要集中在技術層面研究上,很難有效解決企業(yè)安全信息系統(tǒng)操作失誤、缺陷與不足等安全問題。

第三,信息安全意識不強,缺乏有效的安全管理機制。對于部分企業(yè)領導層而言,對信息安全的重視不夠,對潛在的各種風險和安全隱患問題分析不到位。

5 電力企業(yè)信息安全管理體現(xiàn)構建的有效策略

基于以上對當前企業(yè)安全管理中的問題分析,筆者認為要想減少和控制電力企業(yè)信息安全管理中組織管理失誤現(xiàn)象, 應當根據(jù)企業(yè)實際生產運營狀況,以IS027001信息安全管理體系標準為基礎,從組織、技術、管理以及運行和監(jiān)督這等方面入手,對現(xiàn)有的信息安全管理架構進行改進和完善,增加運行、監(jiān)督環(huán)節(jié)。

5.1 提高對電力企業(yè)信息安全的認知度

針對企業(yè)員工對信息安全知識掌握不足的現(xiàn)狀和問題,通過宣傳、教育和培訓等方法,提高企業(yè)全體員工對信息安全的認知度。首先,加強信息安全宣傳教育。電力企業(yè)信息安全宣傳的目的在于讓全體員工清楚地認識到信息安全管理工作的重要性,了解信息安全管理目標,以此來提高企業(yè)員工的信息安全管理意識。

5.2 建立健全信息安全審計機制

內部審計是對電力企業(yè)信息安全管理體系建設與實施情況的評價,定期組織審計活動,以此來促進安全管理體系的改進與完善。企業(yè)的信息安全政策、規(guī)范制度是信息安全管理工作得以有效開展的重要依據(jù),因此審計工作的主要內容是檢驗信息安全標準的符合性、執(zhí)行情況。在審計過程中,主要包括如下內容,即檢驗是否按照要求制定規(guī)章制度、執(zhí)行細則;檢驗員工對的規(guī)章制度執(zhí)行狀況,對審計結果的整改落實情況進行核查;同時,還要對信息安全控制措施的應用效果進行全面檢查,確保評估的有效性。

5.3 建立和完善信息安全風險管理制度

信息安全風險,即威脅利用系統(tǒng)弱點對相關信息資產造成破壞、損失的可能性,信息系統(tǒng)安全與否,主要取決于其風險是否己在現(xiàn)有措施條件下實現(xiàn)了最小化,而非絕對沒有風險。

篇6

關鍵詞:商業(yè)銀行;信息資產;風險管理

中圖分類號:F832

文獻標識碼:A

文章編號:1006-1428(2006)07-0030-03

一、銀行信息資產風險管理概念及其現(xiàn)狀

銀行信息資產,是指銀行業(yè)金融機構運用信息技術處理業(yè)務活動的信息系統(tǒng)及其所產生的生產經營信息、研發(fā)和服務能力、管理水平以及其他與信息化相關的各種有形和無形資產。銀行信息資產風險。是指信息資產在形成、運用、管理過程中產生的各類風險。在銀行業(yè)務與信息化高度融合的業(yè)務處理系統(tǒng)、信息‘;680987257L;’管理系統(tǒng)和決策支持系統(tǒng)中,存在大量信息資產風險。它不僅涵蓋了傳統(tǒng)的操作風險、信譽風險,而且還包含了在銀行的經營管理過程中,所表現(xiàn)出的許多與信息化相關聯(lián)的其他類型風險。

商業(yè)銀行的內控應該以風險管理為中心,尤其是銀行信息資產的風險管理。目前雖然各銀行都有自己的信息安全主管部門,并作為信息安全的建設者和維護者,對信息安全有著豐富的現(xiàn)場經驗與專業(yè)經驗,但由于他們身兼運動員和裁判員雙重身份,所以很難向最高管理層保證信息安全的有效性。因此,建立科學的信息風險監(jiān)督機制,對加強銀行風險管理,確保銀行信息系統(tǒng)的安全穩(wěn)定、持續(xù)有效地運行,顯得尤為重要。

新巴塞爾協(xié)議對商業(yè)銀行的風險管理提出了更高的要求,即銀行業(yè)不僅要在宏觀管理層面上,有統(tǒng)一的風險管理戰(zhàn)略、風險管理政策、風險管理制度、風險管理文化,也要在微觀操作層面上,全面考慮包括信用風險、市場風險、操作風險等在內的各種風險管理。風險管理必須逐步應用于信貸決策、資本配置、貸款定價、經營績效考核等方面,貫穿于業(yè)務經營管理的全過程。對于操作風險的管理,直接涉及到對銀行信息系統(tǒng)的安全管理,因此,加強操作風險的管理,就必須高度重視銀行的信息資產風險管理。

根據(jù)新巴塞爾資本協(xié)議的精神,世界上已有不少國家的監(jiān)管當局已經開始探索銀行信息資產風險監(jiān)管的新方法,我國也不例外。

在2004年2月出臺的銀行業(yè)監(jiān)督管理法中明文規(guī)定:“要對銀行業(yè)金融機構運用電子計算機管理業(yè)務數(shù)據(jù)系統(tǒng)進行檢查?!边@成為銀行信息資產風險監(jiān)督的最初起源。信息風險監(jiān)督是指對特定環(huán)境中的信息系統(tǒng)及其處理的傳輸和存儲的信息的保密性、完整性和可用性等進行監(jiān)督,進而對其安全性進行風險分析、評估,找出潛在的致命缺陷和易被忽略的問題,為信息系統(tǒng)的安全設計,選擇合理的安全產品和安全管理提供可靠的依據(jù)。信息風險監(jiān)督的內容包括信息系統(tǒng)的物理安全、系統(tǒng)安全、網(wǎng)絡安全、技術安全保障和安全管理控制五個部分。

2005年初,銀監(jiān)會提出了《銀行業(yè)信息資產風險監(jiān)管暫行辦法(送審稿)》。從最初的《銀行業(yè)金融機構運用電子計算機管理業(yè)務數(shù)據(jù)系統(tǒng)的監(jiān)管檢查辦法(征求意見稿)》,到后來的《銀行業(yè)金融機構計算機信息風險監(jiān)管暫行辦法》,再到如今的《銀行業(yè)信息資產風險監(jiān)管暫行辦法(送審稿)》,可以看出,銀監(jiān)會對商業(yè)銀行信息資產風險管理的監(jiān)管思路在不斷走向成熟和趨向系統(tǒng)化。這既是我國金融業(yè)適應金融全球化趨勢和新巴塞爾資本協(xié)議強調金融風險管理的要求,也是我國金融業(yè)迎接跨國銀行的競爭,提高核心競爭力的需要。

當前,我國商業(yè)銀行信息資產存在以下風險:

1.信息系統(tǒng)軟硬件本身存在著很大的脆弱性。

一方面表現(xiàn)在設備的自然損耗、制造缺陷和不可預測的自然環(huán)境因素,如火災、水災、地震、戰(zhàn)爭等不可抗拒的自然災難。另一方面表現(xiàn)在由于技術發(fā)展的局限和人類的能力限制,面對龐大的操作系統(tǒng)、復雜的應用程序,在設計之初人們不能認識所有的問題,失誤和考慮不周在所難免。

2.銀行數(shù)據(jù)傳輸網(wǎng)絡的脆弱性。

隨著金融網(wǎng)上業(yè)務的拓展,網(wǎng)上銀行、移動銀行、電子商務等,已成為銀行追逐的利潤增長點。銀行業(yè)務系統(tǒng)要順應開放和互連的趨勢,其信息安全范疇已經突破了以業(yè)務系統(tǒng)物理隔離和協(xié)議隔離為基礎的傳統(tǒng)銀行信息安全,在公網(wǎng)環(huán)境下防止黑客、病毒的破壞,在Internet上保證金融數(shù)據(jù)的安全采集、安全存儲、安全傳輸和安全處理,將是金融信息系統(tǒng)建設面臨的重要挑戰(zhàn)。

3.安全技術保障的欠缺。

當前,我國金融業(yè)信息安全建設,在整體安全系統(tǒng)、內部網(wǎng)絡安全監(jiān)控與防范的、智能與主動性安全防范體系、全面集中安全管理策略平臺定制等方面,都有很多不足之處。

4.信息資產的結構和質量存在不足。

目前,我國諸多商業(yè)銀行大多是國有銀行,并且按地區(qū)按部門分割現(xiàn)象嚴重,其信息資產的功能和結構也比較僵化,業(yè)務流程不暢,組織結構和風險管理缺乏彈性,快速反應能力不足,不能及時適應競爭環(huán)境的變遷和客戶需求的變化。

二、實施商業(yè)銀行信息資產風險管理的措施

1.要有前瞻性的信息資產設計戰(zhàn)略。

即首先要建立集中統(tǒng)一的面向業(yè)務目標的端到端的信息資產戰(zhàn)略及解決方案。其包含的主要內容有:支持業(yè)務戰(zhàn)略的明確的信息資產戰(zhàn)略;以優(yōu)化的技術方案實現(xiàn)業(yè)務功能;彈性的、靈活的信息資產基礎設施;信息資產投資計劃、信息資產規(guī)劃和管理。尤其是信息系統(tǒng)的設計要具有超前眼光,能支撐起銀行未來的業(yè)務發(fā)展。因此,總行領導和相關信息資產主管必須具備非凡的洞察力和專業(yè)勝任能力,必須明確當前和未來客戶的類型及需求特征。

此外,總行應對財務管理信息系統(tǒng)實行統(tǒng)一核算模式,打破原來財務系統(tǒng)按部門或地區(qū)分割的模式,總行的信息管理要隨時能夠反映和監(jiān)控全行所有部門、所有網(wǎng)點的運營狀況。

2.建立適應客戶需求變化的信息資產風險管理統(tǒng)一框架。

內容包括風險管理框架的統(tǒng)一設計;風險管理業(yè)務及信息技術流程的建立;信用風險管理、資產負債管理、反洗錢及智能預警等信息資產系統(tǒng)的建立和實施。還包括全面支持核心業(yè)務能力和全行風險管理、全行單一的客戶視圖及多渠道整合解決方案;面向服務架構(SOA,Service-or-ientedArchitecture)的信息資產系統(tǒng)設計;提供強大的新產品創(chuàng)新支持等。

在完成信息資產系統(tǒng)基礎設施的集中后,商業(yè)銀行的業(yè)務流程整合、業(yè)務信息整合、應用整合和業(yè)務控管應進一步向總行、省行集中。實施優(yōu)質資源的整合,提高風險管理的整體經濟效果和效率。

3、建立與現(xiàn)代銀行治理結構相對接的信息資產日常風險管理規(guī)范。

隨著銀行業(yè)務跨地區(qū)跨國家的發(fā)展和銀行客戶業(yè)務的日趨復雜化。銀行承擔的責任和風險也日益加大,尤其是信息資產的風險日趨集中,那么有效的內部控制系統(tǒng)和公司治理規(guī)范就成為化解銀行風險的有效工具。

因此,根據(jù)國內外關于銀行公司治理的規(guī)范要求,建立運行有效的內部控制制度,提高信息透明度和受托責任問責機制。加強常規(guī)性的風險管理,是保證銀行穩(wěn)健經營的根本保證。根據(jù)IMF的公告,內部控制是一套按持續(xù)性基礎控制組織活動的機制,這些活動來自組織的中心、部門或分部,有效內部控制的關鍵元素是牢固會計和信息系統(tǒng)的有效運行。并擁有良好的適應性的控制文化。

商業(yè)銀行信息資產風險管理應根據(jù)相關法規(guī)的要求,建立有效的激勵約束機制,按照股東大會、董事會和監(jiān)事會等機構的職能和性質,構建多重防御體系,并將風險監(jiān)控和增強信息透明度相結合,綜合運用現(xiàn)場檢查、非現(xiàn)場分析與評價、規(guī)章指引、強化市場約束等手段,提高風險管理水平。

4.設立信息資產風險監(jiān)控指標。

首先對銀行業(yè)務過程按照控制規(guī)范的要求,進行風險控制點的分解,并設立相應監(jiān)控指標作為風險預警信號,由系統(tǒng)自動檢查和評價,并在狀態(tài)異常下自動報警。主要指標可分為三類。分別是關鍵業(yè)績指標KPIs(key perlormance indicators),過程主管指標POIs(process owner indicators)and風險分析指標RAIs(risk analytical indicators),這三類指標可持續(xù)適用于銀行業(yè)務微觀過程和交易方法,并通過比較銀行風險點監(jiān)控目標與實際指標的差異,來加強信息資產過程控制。

如可將銀行信息資產監(jiān)控過程劃分為一體化監(jiān)督控制、審計跟蹤、風險分析和履約事項監(jiān)控等過程,每個監(jiān)控過程通過包含信息自動更新的現(xiàn)場知識管理系統(tǒng)實施在線評價和過程審計,以促進銀行業(yè)務內部規(guī)則的溝通和過程變革的管理。

各風險控制點指標由過程監(jiān)控人采集,并負責進行風險等級劃分和報告,風險控制點主管按照事件發(fā)生的概率評價各風險程度和預計損失大小,這種信息被及時傳遞到相關業(yè)務決策部門,以幫助銀行各級部門提前作好風險防范。

5.加強對信息資產的過程審計和風險驗證。

銀行可在信息系統(tǒng)當中。對信息資產的各環(huán)節(jié)設立微處理器進行記錄和控制。銀行內部審計師使用微處理器的步驟作為審計清單。并評價過程負責人所作的風險自我分析,評估執(zhí)行的過程,和風險自我分析的準確性。這種方法有利于審計師及時跟蹤重大風險和異常狀況。提高審計的成本效益比。

如銀行的經營風險矩陣可按0到5五級風險矩陣排列,這種風險評級要求有風險因子概率和潛在的損失數(shù)量。并按照銀行的風險分類調整這些數(shù)字,對業(yè)務線的風險水平作出估計。一旦按業(yè)務線的估計完成,一張風險及其暴露表就生成。按照巴塞爾協(xié)議計算的資本分配條款及其風險大小也自動顯示出來,這些風險分析及分解方法是重要的審計計劃和審計資源分配工具。

銀行可將業(yè)務處理的廣泛文件記錄都分解給不同的微處理器。使用這些微處理器作為控制工具的一個前提是這些微處理器的都在公司的內部網(wǎng)上。這些微處理器的圖示可描繪風險結構中的不同風險,并進行風險預警。

銀行信息資產分類指標分別是指關鍵業(yè)績顯示指標、過程主管顯示指標和風險分析顯著指標。其中關鍵業(yè)績顯示是指有助于戰(zhàn)略監(jiān)督和審計分析評價的宏觀指標。如凈資產報酬率、毛利率和銷售成本率;過程主管顯示指標是指在功能績效中支持過程主管的分析指標,如一段時間單位客戶的接待次數(shù),客戶、產品交易的總量;風險分析顯示指標是對每個具體的局部單元風險的量化,如錯誤數(shù)、微處理器的有效記錄數(shù),后臺徼處理器在一段時間的差錯數(shù)。從目前來看,越來越多的銀行在信息資產中使用SAP系統(tǒng)和它的關系數(shù)據(jù)庫來進行計量和方便系統(tǒng)監(jiān)督和例外事項的報告。根據(jù)SAP和其他公司系統(tǒng)所得的關鍵計量指標逐漸出現(xiàn)在為微觀過程、交易和戰(zhàn)略轉移監(jiān)督服務的指數(shù)形式中,例外事項預警也根據(jù)精心擬定的協(xié)議提供,決定它們是否被傳遞到下列實體,如過程主管、高管人員、內部審計師或外部審計師。

參考文獻:

[1]秦尚民:掌控全成本,構建商業(yè)銀行盈利能力,中國商業(yè)銀行經營管理高層論壇,http://省略 2005年4月9日,新浪科技

[2]Bell,T.B.,Mars,F(xiàn).O.,Solomon,I.,and Thomas,H.,Auditing Organizations Through aStrategic-Systems Lens:the KPMG Business Measurement Process,KPMG,Peat Marwick LLP,Montvale,NJ 1997

[3]CICA/AICPA.1999.Continuous Auditing,Reseamh Report.The Canadian Institute of Chartered Accountants,Toronto,0ntario

[4]Secretariat of the Basel Committee on Banking Supervision,Bank for International Settlements,The New Basil Capital Accord,January 2001

篇7

一、我國商業(yè)銀行風險管理存在的問題

現(xiàn)代商業(yè)銀行風險管理的三駕馬車是體制、技術、文化。體制是風險管理實施的組織保證,技術能夠有效地控制風險,文化理念則可以保證技術、體制的正常實施。目前來看,我國商業(yè)銀行風險管理存在如下問題:

(一) 缺乏完善的風險管理體制

良好的公司治理結構和明晰的產權制度是風險管理體制的關鍵所在,也是國外商業(yè)銀行在風險控制和管理中的制勝法寶。發(fā)達國家商業(yè)銀行都是按照嚴格的法律程序組建的股份制商業(yè)銀行,運作規(guī)范,具有良好的公司治理結構、完善的產權制度、有效的激勵機制、約束機制以及較高的風險控制和管理能力。

我國現(xiàn)代商業(yè)銀行制度還未真正確立,現(xiàn)代公司治理結構也不盡完善。與之相應的是風險管理體系不夠健全,實施有效的風險管理的基礎比較薄弱,表現(xiàn)為:商業(yè)銀行風險管理體制的獨立性差,風險管理受外界因素干擾較多;風險管理制度缺乏系統(tǒng)性和操作性;風險管理隊伍不強,特別缺乏精通風險管理理論和風險計量技術的專業(yè)人才等。

(二) 風險管理方法及技術水平落后

目前國際金融市場上,各種金融衍生工具層出不窮,金融創(chuàng)新業(yè)務在銀行業(yè)務中占據(jù)著越來越大的比重。這種情況導致了金融風險與市場不確定性因素的不斷增大,使銀行風險管理日趨復雜。為此國際銀行大量運用數(shù)理統(tǒng)計模型、金融工程等先進方法進行風險管理。與上述相比,我國商業(yè)銀行風險的突出缺陷是重定性分析、主觀性強,缺乏量化分析手段。在風險識別、度量、監(jiān)測等方面客觀性弱,在信用風險測量方面存在工作量過大、成本過高、外部評級資料缺乏等現(xiàn)實問題,在市場風險、操作風險的測量方面也存在著巨大困難。因此,把握風險管理的發(fā)展趨勢,提高風險管理方法,是當前我國銀行業(yè)風險管理面臨的重要工作。

風險管理文化是商業(yè)銀行內部控制體系的重要因素,它決定了商業(yè)銀行經營管理過程中的風險觀念和行為模式,滲透于銀行業(yè)務的各個環(huán)節(jié)。我國商業(yè)銀行在風險管理上出現(xiàn)問題,很大程度上不是因為缺乏風險管理系統(tǒng)、政策和程序,而是風險管理文化的缺失不能使這些系統(tǒng)、政策和程序發(fā)揮應有的作用。具體表現(xiàn)為:

第一,不能正確處理業(yè)務發(fā)展和風險管理的關系,在強調業(yè)務發(fā)展時往往忽視風險管理,而在強調風險管理和控制時,又通過少拓展業(yè)務來逃避風險。

第二,風險管理理念不全面,仍以信用風險管理為主,對市場風險、系統(tǒng)風險和操作風險重視不夠。

第三,沒有全員風險管理和銀行業(yè)務全過程風險管理的意識,只把風險管理看作是風險控制部門的工作。

(三)會計人員素質低下

會計人員本身素質低下,不求進取。有些會計人員業(yè)務不精,法律意識不強;有的會計人員沒有受過正規(guī)的教育或培訓,默守陳規(guī),不求上進,缺乏鉆研業(yè)務、精益求精的精神,缺乏職業(yè)理想和敬業(yè)精神。業(yè)務知識貧乏或知識老化,專業(yè)技術水平低下,無法按照新規(guī)定開展工作,同時,由于不學法,不懂法,對會計準則、會計制度也知之甚少。所謂無知者無畏,由于他們不懂業(yè)務、不懂法,因此一些會計人員既談不上遵紀守法,更不能依法辦事了。有些會計人員缺乏職業(yè)道德。像上述所講的第一類會計人員其本身就愛占小便宜,所以這一類會計人員勢必會在經濟上犯錯誤,尤其在建立市場經濟體制的過程中,社會不良風氣給會計人員職業(yè)道德造成了重要的影響。人們在追求物質利益時,個人主義、利己主義、享樂主義等不良思想逐步抬頭,私欲不斷膨脹,削弱了愛國主義、集體主義、全心全意為人民服務的思想,部分會計人員不顧會計行業(yè)實事求是、客觀公正的道德規(guī)范。在個人利益的驅使下,不顧一切地故意偽造、變造、隱匿、毀損會計資料,他們利用職務之便監(jiān)守自盜,大肆貪污、挪用公款,以滿足自己的私欲,最終以身試法,甚至走向斷頭臺。

二、會計風險控制的具體措施

(一)建立多層次會計控制體制,明確各層次會計控制的具體目標

控制系統(tǒng)是一個有組織的系統(tǒng),根據(jù)內外部的各種變化而進行調節(jié),使系統(tǒng)保持某種特定狀態(tài),從這個意義上講,控制是一種聯(lián)系與調節(jié),是保證系統(tǒng)在變化著的外部條件下,完成某種目標的行為。因此,目標是控制的前提,是先決條件,也是促成內部控制的要件,沒有目標,就談不上控制。

銀行有著自己的經營目標,也有著明確的內部控制目標?!都訌娊鹑跈C構內部控制的指導原則》中明確提出:銀行機構內部控制目標是“有利于查錯防弊,堵塞漏洞,消除隱患,保證業(yè)務穩(wěn)健運行,確保將各種風險控制在規(guī)定的范圍內,確保自身發(fā)展戰(zhàn)略和經營目標的全面實施?!睘榱舜_??傮w目標的實現(xiàn),應在統(tǒng)一認識、明確總體目標的基礎上,將目標責任層層分解、細化,確立各層次會計控制的具體目標,形成一個明確、具體、完整的目標體系;建立多層次的會計控制體制,使每個群體和個人的行為都處在他人的監(jiān)督之下,同時以利于不同的人從不同的視角關注企業(yè)內控的不同方面,使內部控制目標具體化,以保證總體控制目標的實現(xiàn)。

(二)按照相互制約原理,建立科學的內控制度體系

內控制度是內控目標得以實現(xiàn)的充分必要條件。應根據(jù)人民銀行《加強金融機構內部控制的指導原則》及財政部《內部會計控制規(guī)范》,按照分工牽制、授權制約原則,結合自身經營的規(guī)模和業(yè)務特點,制定科學合理的內控制度,并制定內控制度實施細則,使內控制度形成體系。

內控制度無論是單獨設置還是繼續(xù)在會計制度中體現(xiàn),設計時均應充分考慮制度的嚴密性、有效性、先進性和可操作性,并充分發(fā)揮“四性”之間的能動作用。制度建設時,在思想上要樹立三個觀念:一是從防止業(yè)務人員工作差錯為主轉變?yōu)橐苑婪躲y行風險為主;二是要樹立信息安全觀念,使計算機信息安全管理成為內部控制的關鍵環(huán)節(jié);三是要有全局觀念,各項制度既相對穩(wěn)定,又能隨環(huán)境與業(yè)務的變化能動應變,形成有機整體。

所以銀行業(yè)必須嚴格按照會計規(guī)章制度,合理確定會計人員崗位和崗位職責,制定具有較強的實用性、針對性、可操作性和規(guī)范性的崗位操作規(guī)程,確保會計安全,無事故和案件發(fā)生。加強對會計崗位人員的工作授權。如辦理銀行匯票的授權、信用卡限額的授權、資金劃撥的授權等,使可能的貪污犯罪現(xiàn)象得到有效的遏制。完整的內部會計控制制度體系至少應包括管理層次、操作層次兩個方面。管理層次會計控制制度建設,應根據(jù)有關法律法規(guī)的要求,以金融企業(yè)自身業(yè)務情況為出發(fā)點,從改進經營方式的角度對會計內控制度提出要求,對會計風險進行全面防范和控制。

(三)分析重點控制環(huán)節(jié),完善會計核算程序

會計是銀行業(yè)務的基礎,完善的會計核算體系、核算程序是內部控制系統(tǒng)的中心。要按照銀行業(yè)務發(fā)展和科技進步的要求,分析核算程序中的重點控制環(huán)節(jié),尤其對聯(lián)行結算等要建立一套嚴密的、呈剛性約束的會計操作程序和賬務處理系統(tǒng),以強化會計內部控制的約束力。一方面要規(guī)范會計核算流程,提高控制技術,強化會計核算流程的硬性約束。另一方面會計核算必須嚴格遵守銀行會計制度及支付結算辦法的規(guī)定。正確使用會計科目,遵守記賬規(guī)則,準確反映表內表外業(yè)務,密押、印章、憑證、賬表必須嚴格管理,聯(lián)行印押必須分管,并建立交接登記制度;各種有價單證和重要空白憑證均要設簿登記,表外核算,專人保管,嚴格執(zhí)行會計業(yè)務操作規(guī)程。以真實、有效的憑證為依據(jù),進行賬務處理,要有賬有據(jù),當時記賬、當日結賬,達到賬賬、賬款、賬據(jù)、賬實、賬表、內外賬務全部相符。正確計算存、貸款利息,合理合規(guī)地列支各項費用及稅金,正確反映各項收入,確保會計核算期間數(shù)據(jù)的真實、完整。

(四)按照自律、激勵與控制原則,進一步強化人員素質和行為準則

篇8

第一條 為規(guī)范和促進互聯(lián)網(wǎng)支付業(yè)務發(fā)展,防范支付風險,保護當事人的合法權益,根據(jù)《中華人民共和國中國人民銀行法》、《非金融機構支付服務管理辦法》等法律制度,制定本辦法。

第二條 支付機構提供互聯(lián)網(wǎng)支付服務,適用本辦法。

本辦法所稱支付機構是指依據(jù)中國人民銀行《非金融機構支付服務管理辦法》規(guī)定,取得《支付業(yè)務許可證》,獲準辦理互聯(lián)網(wǎng)支付業(yè)務的非金融機構。

本辦法所稱互聯(lián)網(wǎng)支付是指客戶為購買特定商品或服務,通過計算機等設備,依托互聯(lián)網(wǎng)發(fā)起支付指令,實現(xiàn)貨幣資金轉移的行為。

第三條 按照支付機構提供的支付服務方式不同,互聯(lián)網(wǎng)支付分為銀行賬戶模式和支付賬戶模式。

銀行賬戶模式是指付款人通過支付機構向開戶銀行提交支付指令,直接將銀行賬戶內的貨幣資金轉入收款人指定賬戶的支付方式。

支付賬戶模式是指付款人直接向支付機構提交支付指令,將支付賬戶內的貨幣資金轉入收款人指定賬戶的支付方式。

第四條 支付機構開展互聯(lián)網(wǎng)支付業(yè)務,應擁有并運營獨立、安全、可靠的支付業(yè)務處理系統(tǒng),該系統(tǒng)及其備份系統(tǒng)的服務器應設置在中華人民共和國境內。

第五條 支付機構應當遵循“了解你的客戶”原則,建立健全和執(zhí)行客戶身份識別制度。

第六條 支付機構不得為客戶提供賬戶透支、現(xiàn)金存取和融資服務。

第七條 支付機構應按照中國人民銀行相關規(guī)定,履行反洗錢和反恐怖融資義務。

第八條 支付機構應遵循安全、效率、誠信和公平競爭的原則,為客戶提供可靠、便捷的互聯(lián)網(wǎng)支付服務,對提供互聯(lián)網(wǎng)支付服務中獲取的客戶身份信息和交易信息予以保密。

第九條 支付機構開展互聯(lián)網(wǎng)支付業(yè)務,應建立有效的業(yè)務管理制度、內部控制制度和風險管理制度。

第十條 支付機構開展互聯(lián)網(wǎng)支付業(yè)務,應遵守相關法律制度,不得損害國家利益、社會公共利益和客戶合法權益。

第二章 支付賬戶管理

第十一條 支付賬戶是指支付機構根據(jù)客戶申請,為客戶開立的具有記錄客戶資金交易和資金余額功能的電子賬簿。

根據(jù)賬戶開立主體不同,支付賬戶分為單位支付賬戶和個人支付賬戶。

單位支付賬戶是指客戶憑機關、團體、部隊、企業(yè)、事業(yè)單位、其他組織等組織資質以單位名稱開立的支付賬戶;個人支付賬戶是指客戶憑個人身份證件以自然人名稱開立的支付賬戶。

個體工商戶憑營業(yè)執(zhí)照以字號或經營者姓名開立的支付賬戶納入單位支付賬戶管理。

第十二條 支付機構應根據(jù)審慎性原則,確定開立支付賬戶客戶的資質。

第十三條 支付賬戶的開立實行實名制。支付機構對客戶身份信息的真實性負責。支付機構不得為客戶開立匿名、假名支付賬戶。

第十四條 個人客戶申請開立支付賬戶時,支付機構應登記客戶的姓名、性別、國籍、職業(yè)、住址、聯(lián)系方式以及客戶有效身份證件的種類、號碼和有效期限等身份信息,并對客戶姓名、性別、有效身份證件的種類和號碼等基本身份信息的真實性進行審核。

個人支付賬戶單筆收付金額超過1萬元,個人客戶開立的所有支付賬戶月收付金額累計超過5萬元或資金余額連續(xù)10天超過5000元的,支付機構還應留存?zhèn)€人客戶的有效身份證件的復印件或者影印件。

第十五條 客戶申請開立單位支付賬戶時,支付機構應登記以下基本信息:

(一)單位名稱、地址、經營范圍、稅務登記證號碼、組織機構代碼(按規(guī)定無須取得稅務登記證或無法取得組織機構代碼證的除外);

(二)可證明該客戶依法設立或者依法開展經營、社會活動的執(zhí)照、證件或者文件的名稱、號碼和有效期限;

(三)法定代表人(負責人)和授權辦理業(yè)務人員的姓名、有效身份證件的種類、號碼和有效期限。

支付機構應核對單位及其法定代表人(負責人)和授權辦理業(yè)務人員的有效身份證件信息,并留存其復印件或者影印件。

第十六條 支付機構為客戶開立支付賬戶,應與客戶簽訂書面協(xié)議。協(xié)議內容包括但不限于:

(一)支付賬戶的開立、使用、掛失、止付和撤銷的條件;

(二)身份驗證和支付授權方式;

(三)客戶對支付機構核驗其銀行賬戶信息和身份信息真實性的授權;

(四)支付賬戶使用規(guī)則,以及違規(guī)使用的處置和責任;

(五)支付賬戶資金變動通知方式;

(六)發(fā)現(xiàn)支付賬戶被盜用后的通知和處置方式;

(七)客戶身份信息和交易信息的保密責任;

(八)雙方的其他權利和義務。

第十七條 同一客戶在同一支付機構開立多個支付賬戶的,支付機構應采取有效措施確保多個支付賬戶為同名賬戶,且多個支付賬戶中登記的客戶基本身份信息一致。

支付機構應為同一客戶建立唯一的客戶身份識別號,對該客戶開立的所有支付賬戶進行統(tǒng)一管理。

第十八條 客戶在同一支付機構開立的所有支付賬戶須關聯(lián)本客戶銀行賬戶,支付賬戶的名稱應與該客戶所關聯(lián)的銀行賬戶名稱一致。

支付機構應通過有效方式,對支付賬戶所關聯(lián)的銀行賬戶信息和客戶身份信息進行核驗。

個人客戶向在同一支付機構開立的所有支付賬戶月累計充值金額合計小于1000元的,可不關聯(lián)銀行賬戶。未關聯(lián)銀行賬戶的支付賬戶可用于付款、接受交易退款,但不得用于收款。

第十九條 支付機構通過合理、有效方式確認客戶真實身份并履行通知義務后,支付賬戶方可生效。按規(guī)定應關聯(lián)銀行賬戶的支付賬戶,支付機構應在采取有效方式驗證該支付賬戶與銀行賬戶為同一客戶持有并至少完成一個銀行賬戶關聯(lián)后方可生效。

第二十條 客戶應通過關聯(lián)銀行賬戶為支付賬戶充值。未關聯(lián)銀行賬戶的,可通過非關聯(lián)銀行賬戶或經中國人民銀行批準的“僅限線上實名支付賬戶充值”的同一支付機構預付卡為支付賬戶充值。

通過非關聯(lián)銀行賬戶或同一支付機構預付卡充值的,同一客戶的充值金額月累計不得超過1000元。通過同一支付機構預付卡充值的資金僅限用于互聯(lián)網(wǎng)支付,不得贖回。

客戶不得利用信用卡透支為支付賬戶充值。

第二十一條 支付機構可提供銀行賬戶模式和支付賬戶模式服務。

(一)銀行賬戶模式下,付款人銀行賬戶向收款人銀行賬戶或支付賬戶轉出;

(二)支付賬戶模式下,付款人支付賬戶向收款人銀行賬戶或支付賬戶轉出。

第二十二條 同一客戶在同一支付機構開立多個支付賬戶的,支付賬戶內的資金可互相劃轉。

不同支付機構的支付賬戶內的資金不得互相劃轉。

第二十三條 客戶辦理充值資金退回業(yè)務時,應將支付賬戶內的充值未用資金按照后充先退原則,原路退回至銀行賬戶。

第二十四條 除電子商務交易付款、公用事業(yè)繳費、信用卡還款、購買特定金融產品及交易退款外,客戶支付賬戶內的資金應通過劃轉關聯(lián)銀行賬戶的方式實現(xiàn)資金轉出支付機構。

第二十五條 支付機構應提醒客戶將支付賬戶的資金余額保持在合理水平,不得以任何形式引導、鼓勵客戶在支付賬戶存放資金。

個人客戶在同一支付機構開立的所有支付賬戶日終資金合計余額連續(xù)10天超過5000元、單位客戶在同一支付機構開立的所有支付賬戶日終資金合計余額連續(xù)10天超過5萬元的,支付機構應及時提醒客戶降低支付賬戶資金余額。

第二十六條 支付機構不得為任何單位或個人查詢支付賬戶信息資料,不得隨意凍結、扣劃支付賬戶內的資金。國家法律法規(guī)另有規(guī)定或與客戶另有約定的除外。

第二十七條 客戶申請支付賬戶查詢、掛失、止付、撤銷的,應由本人向支付機構提出申請。支付機構應在確認客戶身份后予以及時辦理。

客戶申請撤銷支付賬戶的,應確認該支付賬戶項下所有款項均已結清。

第二十八條 客戶的基本身份信息發(fā)生變更的,應及時通知支付機構,支付機構應在核實客戶身份后予以更新??蛻羯矸葑C件逾有效期的,支付機構應要求客戶重新提供有效的身份證件信息,支付機構應予以核驗,并按本辦法規(guī)定留存有效身份證件的復印件或影印件。

第二十九條 客戶或支付機構發(fā)現(xiàn)支付賬戶被盜用的,應按雙方約定的方式和程序及時通知對方,并按約定進行處理。

第三十條 客戶未遵守支付賬戶管理規(guī)定的,支付機構應按雙方協(xié)議對支付賬戶的使用采取限制措施。

第三十一條 支付賬戶只能由本人使用,不得出租、出借支付賬戶。

第三章 業(yè)務管理

第三十二條 支付機構為客戶提供銀行賬戶模式服務,單筆資金金額在人民幣1萬元以上的,應在提供服務前要求客戶登記本人的姓名、有效身份證件種類、號碼和有效期限,并通過合理手段核對客戶有效身份證件信息的真實性。

第三十三條 支付機構應為支付賬戶提供安全可靠的密碼、密鑰或電子簽名等身份驗證和支付授權方式??蛻魭焓Щ蛑刂妹艽a、密鑰或數(shù)字證書,支付機構應在確認客戶身份后予以及時辦理。

第三十四條 支付機構只能為電子商務交易、公用事業(yè)繳費、信用卡還款、購買特定金融產品或經中國人民銀行批準的其他業(yè)務提供互聯(lián)網(wǎng)支付服務。

第三十五條 支付機構要求客戶提供有關資料信息時,應告知客戶所提供信息的使用目的和范圍、安全保護措施、以及客戶未提供信息或提供虛假信息的后果。

第三十六條 支付機構提供互聯(lián)網(wǎng)支付服務,應與客戶簽訂書面協(xié)議。協(xié)議內容包括但不限于:

(一)互聯(lián)網(wǎng)支付業(yè)務的類型和基本規(guī)則;

(二)身份驗證方式和支付授權方式;

(三)資金結算時間和方式;

(四)向客戶提供交易記錄的時間和方式;

(五)收費項目和標準;

(六)爭議及差錯處理和損害賠償責任;

(七)服務終止的情形;

(八)雙方的其他權利和義務。

第三十七條 互聯(lián)網(wǎng)支付指令應記載下列事項:

(一)付款人名稱,銀行賬戶賬號或支付賬戶賬號;

(二)收款人名稱,銀行賬戶賬號或支付賬戶賬號;

(三)確定的金額;

(四)付款人與支付機構約定的身份驗證和支付授權信息;

(五)支付指令的發(fā)起時間;

(六)業(yè)務類型;

(七)付款人的開戶銀行名稱或開戶支付機構名稱;

(八)收款人的開戶銀行名稱或開戶支付機構名稱;

(九)客戶有效身份證件種類和號碼。

欠缺記載上述前五項事項之一的,支付指令無效。

第三十八條 在支付賬戶模式下,支付機構應采取有效措施,在客戶發(fā)出支付指令前,提示客戶對支付指令的準確性進行確認。

第三十九條 客戶發(fā)出的支付指令經支付機構確認后產生支付效力。

第四十條 在銀行賬戶模式下,支付機構應及時傳遞、記錄支付指令信息,并將結果及時通知客戶。

在支付賬戶模式下,支付機構應在確認客戶真實身份和該支付指令真實后,借記客戶支付賬戶,記錄支付指令信息,并及時將結果通知客戶。

第四十一條 支付機構應建立確保支付指令被正確傳遞和執(zhí)行的支付業(yè)務處理系統(tǒng),保證支付指令的完整性、一致性和不可抵賴性。

第四十二條 由于超時、無響應或系統(tǒng)故障等原因無法正常處理支付指令的,支付機構應及時向客戶發(fā)出提示。

第四十三條 客戶發(fā)現(xiàn)自身未按規(guī)定操作,或由于自身其他原因造成支付指令未執(zhí)行、未適當執(zhí)行、延遲執(zhí)行的,應在協(xié)議約定的時間內,按照約定程序和方式通知支付機構。支付機構應積極調查并告知客戶調查結果。

支付機構發(fā)現(xiàn)因客戶原因造成支付指令未執(zhí)行、未適當執(zhí)行、延遲執(zhí)行的,應主動通知客戶改正或配合客戶采取補救措施。

第四十四條 支付機構應按照據(jù)實、準確和及時的原則處理差錯交易,指定相應部門和人員負責互聯(lián)網(wǎng)支付業(yè)務差錯處理,并明確相關人員的操作權限和職責。

第四十五條 客戶根據(jù)有關業(yè)務規(guī)則辦理退款的,支付機構應將相應款項劃回原發(fā)出支付指令的付款人賬戶。因付款人銷戶等原因而無法退回原賬戶的,可根據(jù)有關規(guī)定退回到付款人的同名銀行賬戶或付款人在同一支付機構的同名支付賬戶。

第四十六條 支付機構應免費為客戶提供上溯一年的支付信息查詢服務。

第四十七條 支付機構調整互聯(lián)網(wǎng)支付服務的收費項目、收費標準時,應通過有效方式提前30天通知客戶。

第四十八條 支付機構提供互聯(lián)網(wǎng)支付服務,應向客戶公開披露以下信息:

(一)支付機構名稱、營業(yè)地址和聯(lián)系方式;

(二)所提供的互聯(lián)網(wǎng)支付業(yè)務類型、操作規(guī)程、收費項目和收費標準;

(三)辦理互聯(lián)網(wǎng)支付業(yè)務可能產生的風險,提醒客戶妥善保管密碼、密鑰、數(shù)字證書等警示性信息;

(四)退款規(guī)則及處理流程;

(五)爭議及差錯處理方法;

(六)中國人民銀行規(guī)定的其他需要公開披露的信息。

第四十九條 支付機構對客戶的基本信息和支付指令信息應按會計檔案要求,以紙質或電子方式妥善保存,并便于調閱。

第四章 特約商戶管理

第五十條 支付機構只能發(fā)展互聯(lián)網(wǎng)特約商戶。

互聯(lián)網(wǎng)特約商戶(以下簡稱特約商戶)是指基于互聯(lián)網(wǎng)信息系統(tǒng)直接向消費者銷售商品或提供服務,并接受支付機構互聯(lián)網(wǎng)支付服務完成資金結算的法人、其他組織或自然人。

支付機構負責發(fā)展特約商戶、發(fā)放支付插件、處理相關交易并承擔相關支付風險。

第五十二條 支付機構應在付款人確認付款的當日至遲下一工作日將相應資金轉入特約商戶的銀行賬戶或支付賬戶。

支付機構與特約商戶另行約定結算時間的,從其約定。

第五十三條 支付機構不得發(fā)展以下特約商戶:

(一)非法設立的;

(二)從事非法經營活動的;

(三)商戶或其法定代表人、負責人已被列入中國人民銀行指定的不良信息系統(tǒng)的。

第五十四條 支付機構應制定特約商戶審批流程和審批制度,明確審批權限,指定專人負責特約商戶審批工作。特約商戶審批崗位不得與特約商戶拓展等相關崗位兼崗。

第五十五條 支付機構發(fā)展特約商戶要落實實名制,要嚴格審核特約商戶申請材料的真實性、完整性、有效性,并留存特約商戶有效身份證件影印件或復印件。對于申請材料虛假、缺失、要素不全或不合規(guī)的,不得審批通過。

對企業(yè)單位及個體工商戶應至少核驗營業(yè)執(zhí)照、稅務登記證、單位銀行結算賬戶開戶許可證、法定代表人或負責人有效身份證件。無稅務登記證的企業(yè)單位及個體工商戶,應出示無需辦理稅務登記證的證明文件或經營期間的完稅證明材料。

行政事業(yè)單位和社會團體,應至少核驗組織機構代碼證或事業(yè)單位法人證書、法定代表人或負責人有效身份證件。

月累計銷售金額高于5萬元的個人商戶,支付機構應予以重點關注,必要時應采取實地調查、核驗個人有效身份證件原件等更嚴格的風險管理措施。

第五十六條 支付機構應與特約商戶直接簽訂收款服務協(xié)議,并將款項直接結算至雙方在收款服務協(xié)議中約定的賬戶。支付機構和特約商戶不得委托他人簽約、結算。

第五十七條 支付機構應測試特約商戶網(wǎng)店網(wǎng)絡統(tǒng)一資源定位符(URL)及網(wǎng)絡通訊地址(IP地址)的有效性和安全性,檢查站點提供的商品及服務內容、服務條款是否符合國家相關法律法規(guī)規(guī)定。

第五十八條 支付機構應尊重特約商戶對支付機構的自由選擇權,不得干涉或變相干涉特約商戶與其他支付機構的合作。

第五十九條 支付機構應按照《金融零售業(yè)務商戶類別代碼》(GB/T 20548-2006)正確設置商戶類別碼。對同時銷售多種商品和服務的特約商戶,支付機構應區(qū)分經營業(yè)務的類別分別設置商戶類別碼。對經營業(yè)務類別相互不獨立、無法嚴格區(qū)分的特約商戶,應按照其主營業(yè)務設置特約商戶類別碼。不同特約商戶不得共用同一商戶編碼。

在銀行賬戶模式下,支付機構應在客戶通過其向銀行機構發(fā)出的支付指令后,準確附上標識特約商戶的商戶名稱、商戶類別碼(MCC)、商戶編碼等特約商戶基本信息。

第六十條 除自然人外的特約商戶應使用單位賬戶作為收款賬戶。對使用個人支付賬戶和個人銀行結算賬戶作為收款賬戶的特約商戶,信用卡交易受理、額度和使用頻率等由發(fā)卡行與支付機構根據(jù)審慎原則確定。

第六十一條 支付機構應按照收款服務協(xié)議約定為特約商戶提供資金結算及對賬服務,妥善、及時處理互聯(lián)網(wǎng)支付業(yè)務產生的差錯和爭議,保障客戶資金安全。

支付機構應將交易的差錯、退貨資金,退回至原支付賬戶或銀行賬戶,不得截留或退至其他賬戶。原賬戶已銷戶時,支付機構應主動聯(lián)系客戶或發(fā)卡機構,確保將相關款項退回本人賬戶。

第六十二條 支付機構應建立特約商戶風險評級制度,劃分商戶風險等級。對風險等級較高的商戶,應通過設置特約商戶單筆或當日交易限額、強化交易監(jiān)測、建立商戶風險準備金、延遲清算等風險管理措施,防范交易風險。

第六十三條 支付機構應建立特約商戶檢查、評估制度。根據(jù)特約商戶的風險等級,制定不同的檢查、評估頻率和方式,并保留相關記錄。

第六十四條 支付機構不得以任何形式存儲客戶銀行卡卡片驗證碼、個人標識代碼(PIN)、卡片有效期以及銀行交易密碼,并應采取有效措施防止特約商戶和外包服務機構存儲銀行卡卡片驗證碼、個人標識代碼(PIN)及卡片有效期等交易驗證信息。

第六十五條 支付機構為公用事業(yè)繳費、信用卡還款業(yè)務、購買特定金融產品提供貨幣資金代收服務的,適用本章對特約商戶的管理。

第五章 風險管理

第六十六條 支付機構開展互聯(lián)網(wǎng)支付業(yè)務采用的信息安全標準、技術標準等應符合中國人民銀行關于信息安全和技術標準的有關規(guī)定。

第六十七條 支付機構為客戶開立支付賬戶接受的備付金的存放、劃轉和監(jiān)督,應符合《支付機構客戶備付金存管暫行辦法》的規(guī)定。

第六十八條 支付機構應制定全面的互聯(lián)網(wǎng)支付風險管理制度,設立風險管理部門或崗位,。

第六十九條 支付機構應制定有效的應急計劃、業(yè)務連續(xù)性計劃和風險處理預案,并定期進行演練。

第七十條 支付機構應建立內部審計機制,定期對互聯(lián)網(wǎng)支付業(yè)務及相關系統(tǒng)進行審計。

第七十一條 支付機構應采取有效安全措施保護支付指令及所附信息的安全傳輸,防止客戶信息泄露、支付指令被篡改。

第七十二條 支付機構應采取必要措施確保支付信息的完整性和可靠性:

(一)制定相應的風險控制策略,防止支付業(yè)務處理系統(tǒng)發(fā)生危害支付交易數(shù)據(jù)完整性和可靠性的變化;

(二)防止支付信息在傳送、處理、存儲、使用中被非法篡改,且任何非法篡改的行為都能被及時發(fā)現(xiàn)并記錄。

第七十三條 支付機構對客戶身份信息和支付信息等信息的使用,不得超出法律許可和客戶授權的范圍,并應采取必要措施為客戶信息保密:

(一)客戶信息須以安全方式保存和傳輸,并防止其被擅自查看或非法截??;

(二)對客戶信息的訪問應經合法授權和確認,并須登記且確保該登記不被篡改。

第七十四條 除法律法規(guī)另有規(guī)定或客戶書面同意外,支付機構不得向其他機構和個人提供客戶信息。

第七十五條 支付機構應確保對互聯(lián)網(wǎng)支付業(yè)務處理系統(tǒng)的操作人員、管理人員以及系統(tǒng)服務商有合理的授權控制:

(一)確保進入賬戶系統(tǒng)等核心系統(tǒng)所需的認證數(shù)據(jù)免遭篡改和破壞。對此類篡改都應是可偵測的,而且審計監(jiān)督應能恰當?shù)胤从吵鲞@些篡改行為;

(二)對認證數(shù)據(jù)進行的任何查詢、添加、刪除或更改都應得到必要授權,并具有不可篡改的日志記錄。日志記錄按會計檔案的管理要求進行保存。

第七十六條 支付機構采用電子簽名方式進行客戶身份認證和支付交易授權的,應由合法的第三方認證機構提供認證服務。

第七十七條 支付機構可根據(jù)有關規(guī)定將互聯(lián)網(wǎng)支付業(yè)務的賬戶管理和業(yè)務處理等核心業(yè)務以外的業(yè)務外包給合法的專業(yè)化服務機構,但其對客戶的義務及相應責任不因外包關系的確立而轉移。

支付機構應與開展互聯(lián)網(wǎng)支付外包業(yè)務的專業(yè)化服務機構簽訂協(xié)議,并確立一套綜合性、持續(xù)性的程序,以管理其外包關系。

支付機構應確保與其簽約的專業(yè)化服務機構不得從事或變相從事支付業(yè)務,但該機構取得相應支付業(yè)務許可的除外。

第七十八條 客戶提供的身份信息和銀行賬戶信息經多次驗證仍未通過的,支付機構應予以重點關注,并暫停相關業(yè)務處理;支付機構發(fā)現(xiàn)銀行賬戶信息或支付賬戶信息被盜取、欺詐、洗錢等風險事件的,應對客戶采取暫停交易、限制賬戶使用等相關措施;對于涉嫌犯罪的,應立即向當?shù)毓矙C關報案,同時向所在地中國人民銀行分支機構報告。

第六章 監(jiān)督管理

第七十九條 中國人民銀行依法對支付機構互聯(lián)網(wǎng)支付業(yè)務活動、內部控制、信息安全、風險狀況等進行定期或不定期現(xiàn)場檢查和非現(xiàn)場檢查。

第八十條 支付機構應協(xié)助配合中國人民銀行及其分支機構開展現(xiàn)場檢查及非現(xiàn)場檢查,定期報送互聯(lián)網(wǎng)支付業(yè)務統(tǒng)計報表和相關信息。

第八十一條 互聯(lián)網(wǎng)支付業(yè)務自律組織應制定業(yè)務自律規(guī)范,通過現(xiàn)場檢查和非現(xiàn)場檢查等手段,督促支付機構遵守自律規(guī)范,維護市場秩序、促進公平競爭。

第八十二條 支付機構應提前15日向所在地中國人民銀行分支機構報告如下事項:

(一)向客戶提供新的互聯(lián)網(wǎng)支付業(yè)務產品和服務;

(二)新增、變更收費項目、收費標準;

(三)對客戶服務規(guī)則的變更;

(四)互聯(lián)網(wǎng)支付業(yè)務系統(tǒng)停運、升級換版;

(五)其他可能對客戶、互聯(lián)網(wǎng)支付市場產生重要影響的事項。

第八十三條 支付機構應建立互聯(lián)網(wǎng)支付業(yè)務運作重大事項報告制度,及時向所在地中國人民銀行分支機構報告業(yè)務經營過程中發(fā)生的風險事件。重大事項包括但不限于:

(一)發(fā)現(xiàn)業(yè)務系統(tǒng)安全存在重大隱患或發(fā)現(xiàn)互聯(lián)網(wǎng)支付業(yè)務系統(tǒng)被惡意攻擊并出現(xiàn)10戶(含)以上客戶損失;

(二)發(fā)生因支付機構原因導致客戶或交易信息泄露等信息安全事件的,涉及客戶數(shù)量在20戶(含)以上;

(三)發(fā)現(xiàn)客戶利用互聯(lián)網(wǎng)支付進行洗錢、套現(xiàn)且涉嫌金額較大、客戶較多或已移交司法機關的;

(四)因突發(fā)事件導致業(yè)務中止超過1小時的;

(五)產生司法糾紛或輿論風波可能影響聲譽的。

重大事項報告不得超出案件和事件發(fā)生后48小時。

第八十四條 支付機構應建立自我評估制度,定期對本機構的互聯(lián)網(wǎng)支付業(yè)務開展、支付業(yè)務處理系統(tǒng)運營、風險管理、業(yè)務外包等情況進行全面評估,并每年向所在地中國人民銀行分支機構提交評估報告。

第八十五條 支付機構因機構解散、依法被撤銷、被宣告破產,或經中國人民銀行批準終止業(yè)務的,應自解散、被撤銷、被宣告破產或被批準終止業(yè)務之日起,在大眾媒體、支付機構營業(yè)場所及其網(wǎng)站顯著位置至少公告30日以下事項:

(一)互聯(lián)網(wǎng)支付業(yè)務終止原因;

(二)互聯(lián)網(wǎng)支付業(yè)務終止時間;

(三)客戶債權債務清算事項;

(四)中國人民銀行要求公告的其他事項。

第七章 紀律與責任

第八十六條 任何單位和個人不得使用虛假資料開立支付賬戶,不得利用互聯(lián)網(wǎng)支付業(yè)務從事洗錢、信用卡套現(xiàn)等違法犯罪活動。

第八十七條 客戶應妥善保管和正確使用支付賬戶及其密碼、密鑰或數(shù)字證書。

第八十八條 支付機構應及時為客戶辦理互聯(lián)網(wǎng)支付業(yè)務,不得延壓客戶資金。

第八十九條 支付機構未盡審核責任,為其客戶開立非實名賬戶,并由此造成付款人損失的,由支付機構承擔相應賠償責任。

第九十條 客戶有下列情形之一的,支付機構應當停止為其提供互聯(lián)網(wǎng)支付服務:

(一)使用虛假資料開立支付賬戶的;

(二)利用互聯(lián)網(wǎng)支付從事違法犯罪活動的;

(三)中國人民銀行規(guī)定的其他違規(guī)情況。

第九十一條 支付機構有下列情形之一的,由中國人民銀行分支機構依據(jù)《非金融機構支付服務管理辦法》第四十二條予以處罰:

(一)未建立有效的業(yè)務管理制度、內部控制制度和風險管理制度的;

(二)未制定有效的應急計劃、風險處理預案和內部審計機制的;

(三)未公開披露相關信息的;

(四)未及時向中國人民銀行及其分支機構報送信息資料的。

第九十二條 支付機構有下列情形之一的,由中國人民銀行及其分支機構依據(jù)《非金融機構支付服務管理辦法》第四十三條予以處罰:

(一)未按本辦法規(guī)定使用、止付、撤銷支付賬戶或為支付賬戶關聯(lián)非本人銀行賬戶的;

(二)未經客戶授權擅自將客戶信息發(fā)送銀行驗證的;

(三)運營的支付業(yè)務處理系統(tǒng)及其備份系統(tǒng)的服務器未按規(guī)定設置在中華人民共和國境內的;

(四)未按本辦法規(guī)定記錄、保存、使用客戶身份信息和支付信息的;

(五)未按本辦法規(guī)定處理互聯(lián)網(wǎng)支付業(yè)務差錯的;

(六)違反本辦法的其他行為。

第九十三條 支付機構未按實名制原則為客戶開立支付賬戶和發(fā)展特約商戶的,由中國人民銀行及其分支機構依據(jù)《非金融機構支付服務管理辦法》第四十四條予以處罰。

未取得互聯(lián)網(wǎng)支付相關業(yè)務資質,擅自或變相開展互聯(lián)網(wǎng)支付業(yè)務的,由中國人民銀行及其分支機構責令終止其互聯(lián)網(wǎng)支付業(yè)務;涉嫌犯罪的,依法移送公安機關立案偵查;構成犯罪的,依法追究刑事責任。

第八章 附則

第九十四條 本辦法由中國人民銀行負責解釋和修訂。

第九十五條 本辦法自之日起實施。

篇9

關鍵詞:商業(yè)銀行;風險管理

中圖分類號:F832.2 文獻標識碼:B 文章編號:1007-4392(2011)06-0030-04

銀行是經營風險的特殊企業(yè)。風險管理是銀行經營的永恒主題,是銀行經營管理的價值源泉。風險管理能力不僅已成為銀行綜合競爭力的重要組成部分,也是能否長期可持續(xù)發(fā)展的關鍵。在風險管理戰(zhàn)略既定的前提下,風險管理模式決定了商業(yè)銀行的發(fā)展方式和運營模式。巴塞爾新資本協(xié)議及其補充協(xié)議的簽定,為銀行業(yè)的監(jiān)管提出了明確的標準,在推動銀行監(jiān)管技術進步的同時,也對商業(yè)銀行的風險管理提出了更高的要求,促使其由單純的信貸風險管理模式轉向信用風險、市場風險、操作風險并舉,組織流程再造與技術手段創(chuàng)新并舉的全面風險管理模式。下面,結合農業(yè)銀行經營管理實際,談一談自己對商業(yè)銀行加強全面風險管理的認識。

一、全面風險管理在銀行經營管理中的地位和作用

全面風險管理是一種以先進的風險管理理念為指導,以全球的風險管理體系、全面的風險管理范圍、全新的風險管理方法、全員的風險管理文化為核心的新型管理模式,涉及發(fā)展戰(zhàn)略、公司治理、組織架構、管理流程、信息系統(tǒng)、企業(yè)文化等多方面的重新組合,是一項長期復雜的系統(tǒng)工程。全面風險管理具有全面性、全程性、全員性的特征,是商業(yè)銀行的一項基礎性、系統(tǒng)性工作。所謂全面性,主要體現(xiàn)在除傳統(tǒng)信貸業(yè)務外,對信用風險、市場風險、操作風險等各種風險,對表內外、境內外、本外幣等各項業(yè)務,都要納入風險管理范圍。全程性,就是風險管理要貫穿經營管理的全過程,它不只是個別部門和個別崗位的問題,而是體現(xiàn)在一個完整的流程中,流程中的每個環(huán)節(jié)、每個步驟都要明確相關職責。全員性,就是從董事會、高管層、監(jiān)事會到每一位員工,都是風險管理的參與者,都有各自的風險管理職責。

全面風險管理在商業(yè)銀行的經營管理中具有無可替代的戰(zhàn)略意義。風險的不確定性決定了銀行業(yè)的全面風險管理工作最終目的不是單純地消滅風險,而是控制和防范風險,實現(xiàn)“劣勢最小化、機會和利益最大化、績效和決策最優(yōu)化”。其實質作用是幫助銀行把握發(fā)展的“度”。商業(yè)銀行全面風險管理本質上是研究金融風險發(fā)生的規(guī)律和風險管理的技術,通過風險組合最優(yōu)化,促進銀行盈利模式轉變和經營行為理性化,推動銀行穩(wěn)健運行和可持續(xù)發(fā)展,全面提升發(fā)展品質。因此,全面風險管理水平也是商業(yè)銀行核心競爭力的最終體現(xiàn)。

二、我國商業(yè)銀行風險管理與國際管理標準和實踐的差距

脫胎于計劃經濟的中國銀行業(yè)長期以來習慣依靠計劃指令,忽視風險控制,直接將未經風險調整的名義收益作為業(yè)績衡量標準和經營目標,而對風險評級、資產組合、風險緩沖等國際先進的風險管理技術缺乏了解。在過去相當長的時間里,由于對風險的認識不足,風險控制乏力,導致我國商業(yè)銀行經營中業(yè)務規(guī)??焖贁U張與風險過度控制不斷交替的惡性循環(huán)。

以農業(yè)銀行為例,近年來,為滿足股改上市和完善公司治理的要求,對風險管理給予前所未有的重視,開始把風險管理融入經營管理的戰(zhàn)略思考、流程設計、組織架構和產品服務中,推行全面風險管理,從風險管理的戰(zhàn)略偏好、政策制度、組織體系、工具方法、企業(yè)文化等多個層面進行深層次調整轉變,立足建立政策明確、責任到位、手段科學、監(jiān)控全面、處置及時的全面風險管理體系。但從總體上看,與國際通行的管理標準和國際金融業(yè)的良好實踐相比,農行風險管理還存在著較大的差距,主要表現(xiàn)為:

一是從管理理念上看,良好的風險文化尚未形成,全面風險管理理念和風險意識有待進一步增強,風險管理對業(yè)務發(fā)展的約束和引導作用尚未得到充分有效的發(fā)揮。

二是從管理機制上看,雖然設立了兩級風險管理委員會和專業(yè)的管理部門,但風險管理的組織體系、工作流程、制度銜接等方面都存在缺口,全面風險管理的體系框架仍待健全。

三是從管理手段上看,風險管理的政策制度尚不完善,業(yè)務經營管理辦法不能充分體現(xiàn)風險管理的要求,業(yè)務經營與風險管理“兩張皮”矛盾還較為突出;風險計量工具在實際業(yè)務經營活動中的應用還剛剛起步,風險控制的手段還較為單一。

四是從管理隊伍看,專業(yè)管理人才缺乏,風險管理隊伍整體素質不高,風險管理的獨立性、專業(yè)性尚未完全體現(xiàn),影響對風險的真實反映和有效控制。

三、加快商業(yè)銀行全面風險管理建設的建議

2010年7月,巴塞爾委員會監(jiān)督委員會審議通過了關于資本和流動性的改革文件,在資本的定義、交易對手信用風險的處理、杠桿率、全球的流動性標準等四個方面形成了一致意見,對“巴塞爾資本協(xié)議II”的個別條款做了修改和妥協(xié)。新資本協(xié)議涉及的根本變革在于針對資本充足率的計量和管理建立了一整套完全有別于老協(xié)議的體系,從一定意義上講,現(xiàn)在全球的銀行業(yè)真正進入全面推進“巴塞爾資本協(xié)議II”的時期。

當前,我國商業(yè)銀行全面風險管理體系建設仍處于起步階段,應積極借鑒國際先進經驗,結合發(fā)展實際,加快全面風險管理建設。重點要抓好以下幾方面工作:

(一)明確風險管理總體目標,健全風險管理政策制度

風險管理始于經營戰(zhàn)略和風險管理政策,服務于既定風險管理目標,將風險識別、評估計量、緩釋和控制、監(jiān)測、報告等活動貫穿于銀行經營的全過程,以確保對風險進行有效的管理。因此,首先要制定明確的、分層次的風險管理目標,根據(jù)既定的風險偏好,通過合理的程序和一定的計量方法確定量化的總體風險容忍度和分年度的不良貸款率控制目標、扣除風險損失后的盈利目標、資產組合管理目標以及單一客戶或業(yè)務流程的風險控制目標等具體的管理目標,逐步形成概念清晰、架構完整、分風險類型的偏好與相關指標體系。根據(jù)既定的風險管理戰(zhàn)略、目標,風險管理部門要建立和完善風險管理的政策制度,形成覆蓋信用、市場、操作風險識別、評估、監(jiān)測、緩釋、報告等各個環(huán)節(jié)的具體業(yè)務管理制度,形成職能明確、責任清晰、與業(yè)務流程相互融合、有機統(tǒng)一的風險管理制度體系,引導各業(yè)務條線、各部門圍繞風險管理的要求進行經營管理,來確保風險管理目標的實現(xiàn)。

近年來,農業(yè)銀行根據(jù)自身實際,先后制定出臺了《風險管理政策綱要》、《風險管理體系建設規(guī)劃》等一系列管理政策,明確了全行風險管理應遵循的基本原則,包括信用風險、市場風險、操作風險管理政策,以及實現(xiàn)風險管理目標的職責分工、工作機制、管理方法、信息系統(tǒng)建設和相應要求。政策綱要成為全行風險管理的根本制度、基本準則和制定業(yè)務管理辦法的主要依據(jù),據(jù)此制定和完善行業(yè)信貸政策、專業(yè)審批政策、風險分類政策、交易控制政策、行為規(guī)范政策、資本保障政策等六大類風險管理政策,基本涵蓋了風險管理的主要領域。

實際工作中,落實風險管理政策最為重要的就是要把風險管理政策與業(yè)務發(fā)展、日常管理工作有機結合、有效嵌入。要做到風險管理政策與業(yè)務流程相統(tǒng)一,需要按照風險管理的原則和機理對業(yè)務和管理工作流程進行再造和優(yōu)化,使之最終體現(xiàn)風險管理的要求。這也決定了全面風險管理的推行工作是一項長期的系統(tǒng)性工程,必須遵循自上而下、強力推進的工作原則。

(二)完善風險管理組織架構,構建有效的風險管理運行機制

獨立的風險管理組織架構是風險管理戰(zhàn)略得以落實、政策得以實施、過程得以體現(xiàn)的保障。要按照“關口前移、重心下垂、三道防線、層層過濾”原則,構建全面、獨立、垂直的風險管理組織架構,實現(xiàn)前、中、后臺的分離,形成職能明確、責任清晰、分工負責的風險管理組織體系,為風險管理提供組織保障。對于農業(yè)銀行而言,就是要根據(jù)組織架構調整、業(yè)務流程再造的方向,結合實際,分步實施對風險管理組織架構的改造:一是在現(xiàn)有框架的基礎上,進一步強化各級機構和部門的風險管理職責,構筑起前臺業(yè)務部門、風險管理職能部門以及審計部門組成的風險管理“三道防線”。突出前臺業(yè)務部門作為“第一道防線”的重要責任,著重強調各級機構負責人對風險管理的第一責任,以及每個崗位、每位員工風險管理和承擔者的責任。風險管理板塊是風險管理的第二道防線,重點發(fā)揮對風險進行系統(tǒng)性、規(guī)范化管理的作用。其中,風險管理部是全面風險管理的牽頭部門,承擔風險管理工作的抓總職能,主要承擔全行風險管理的政策制定、風險計量、工具模型開發(fā)及風險敞口的控制等總體性、系統(tǒng)性、基礎性工作;各條線主管部門,應根據(jù)既定的風險管理目標,專業(yè)管理措施及流程,將各類風險管理政策內嵌于經營管理的條線專業(yè)工作流程及制度要求之中,實現(xiàn)風險的識別、評估、計量、報告的標準化操作,真正將統(tǒng)一的風險管理政策落實到各個管理環(huán)節(jié)。審計監(jiān)察部門是風險管理的第三道防線,履行監(jiān)督評價等職責。二是全面落實風險經理制,加快實施風險經理派駐制,建立兼職的業(yè)務風險經理崗位,明確崗位職責及報告路徑,強化風險管理的獨立性,把風險管理滲透到全行的各項業(yè)務過程和各個操作環(huán)節(jié),形成縱橫結合、覆蓋全行各業(yè)務條線、各部門的,垂直、獨立的風險經理隊伍。三是建立有效的風險管理運行機制,就商業(yè)銀行而言,關鍵在于轉變業(yè)務發(fā)展方式,應從過去平衡風險和收益,向平衡風險、收益和資本轉變,妥善處理好資本、風險和收益之間的關系。根據(jù)資本多少和風險管理水平決定業(yè)務發(fā)展目標,構建與落實風險管理戰(zhàn)略、政策相適應的業(yè)務運行機制。通過經濟資本計量、分配和考核貫徹風險管理戰(zhàn)略,落實資本約束要求,將經濟資本、財務資源分配到最能創(chuàng)造價值的地方,將風險管理和業(yè)務經營緊密結合,實現(xiàn)“風險管理創(chuàng)造價值”的目標。在決策管理層面,要增強資本意識,確立資本消耗的概念,構建完善的資本管理體系,確保在危機情況下資本充足率能夠保持充足合理水平;在經營層面要轉變高資本消耗的經營模式,走資本集約化道路,著力提升資本配置和組合風險管理的能力,通過資本優(yōu)化配置、資產合理擺布,降低資本消耗,提高資本回報水平。同時,要研究建立與之相配套的產品定價管理、資本預算管理、經營績效評價考核等管理機制和工作流程,確保業(yè)務運行與風險管理戰(zhàn)略目標相統(tǒng)一。

(三)推進以風險量化為核心的金融技術創(chuàng)新,改進提升風險管理手段

風險管理的基礎在于對風險的有效識別和計量,從監(jiān)管要求和銀行業(yè)風險管理方面的實踐看,注重技術創(chuàng)新,開發(fā)運用全面風險管理工具是有效達成風險管理既定戰(zhàn)略及目標的必備條件。在風險識別與計量方面,巴塞爾新資本協(xié)議提供了很好的參照系,商業(yè)銀行應以實施新資本協(xié)議為主線,加快建設以信用風險內評法、操作風險損失和自我評估(RCSA)、關鍵風險指標(KRI)、損失數(shù)據(jù)庫(LED)為核心的風險量化技術體系,內嵌風險管理政策,實現(xiàn)風險的識別、評估、計量、報告的標準化操作,真正將統(tǒng)一的風險管理政策落實到各個管理環(huán)節(jié)。當前,國際銀行業(yè)風險管理技術已經從量化單筆貸款風險逐漸演變到針對單筆業(yè)務和資產組合兩個層面,涵蓋信用、市場、操作風險計量三個角度,由單維淺度計量向模型多維深度計量方式過渡,國內各家大型銀行正積極按照銀監(jiān)會“分類實施、分層推進、分步達標”的要求,大力推進新資本協(xié)議的實施。

截至目前,農行已經啟動信用風險、市場風險及操作風險的計量模型開發(fā)工作,信用風險方面,非零售業(yè)務內部評級模型已通過監(jiān)管部門驗收,進入全面推行階段,該系統(tǒng)在單筆資產層面對違約概率、違約損失率、違約風險暴露進行測量,開發(fā)了客戶、債項、行業(yè)、區(qū)域多維度的評級模型,為業(yè)務部門細分市場、度量風險、制定標準構建了統(tǒng)一、清晰的操作標準。市場風險方面,以市場風險數(shù)據(jù)集市為基礎,運用敞口、缺口、久期、敏感性、VaR等風險計量分析方法,開發(fā)內部計量模型。通過設置限額指標體系,設置交易授權機制,實現(xiàn)對業(yè)務部門的“窗口式”監(jiān)控和管理。操作風險方面,同時推進操作風險高級計量法和操作風險識別與控制自我評估、關鍵操作風險指標、操作風險損失數(shù)據(jù)庫建設。這些風險管理工具模型的開發(fā)及應用都需要以真實完整的歷史數(shù)據(jù)和完善的數(shù)據(jù)處理系統(tǒng)做支撐。國際同業(yè)的經驗表明,大多數(shù)銀行在風險管理工具模型的建立過程中,70%~80%的精力消耗在數(shù)據(jù)清洗和數(shù)據(jù)結構整合方面。我國商業(yè)銀行風險管理的基礎數(shù)據(jù)儲備不足、來源渠道不一、數(shù)據(jù)不真實且數(shù)據(jù)形式缺乏規(guī)范性,制約了風險量化管理工具的開發(fā)與應用,必須盡快建立統(tǒng)一的數(shù)據(jù)倉庫和高效的管理信息系統(tǒng),從而保證構建全面風險管理體系中所有量化研究的數(shù)據(jù)需要。要充分利用現(xiàn)有客戶資源和歷史數(shù)據(jù),在保證信息安全的前提下,使風險管理信息系統(tǒng)與業(yè)務系統(tǒng)終端聯(lián)網(wǎng),實現(xiàn)風險管理信息的收集、整理、分析、評價、預警等生成自動化、傳輸網(wǎng)絡化,盡量減少人工操作,提高信息使用效能。當前,要充分利用風險報告制度,明確相關部門報告職責、報告路徑和報告時限,建立起縱橫結合、有統(tǒng)有分、覆蓋全面的報告體系,實現(xiàn)內部風險信息的及時共享。

篇10

關鍵詞:創(chuàng)新發(fā)展理念;能力提升;檢驗檢疫系統(tǒng);經濟社會;發(fā)展能力 文獻標識碼:A

中圖分類號:F124 文章編號:1009-2374(2016)35-0245-02 DOI:10.13535/ki.11-4406/n.2016.35.120

黨的第十八屆中央委員會第五次全體會議強調,實現(xiàn)“十三五”時期發(fā)展目標,必須牢固樹立并切實貫徹創(chuàng)新、協(xié)調、綠色、開放、共享的發(fā)展理念,其中創(chuàng)新發(fā)展是“十三五”時期經濟結構實現(xiàn)戰(zhàn)略性調整的關鍵驅動因素,是實現(xiàn)“五位一體”總體布局下全面發(fā)展的根本支撐和關鍵動力。對于出入境檢驗檢疫系統(tǒng)而言,圍繞創(chuàng)新發(fā)展需要大力推進簡政放權、放管結合、優(yōu)化服務,推動新產業(yè)新業(yè)態(tài)發(fā)展、加快實現(xiàn)發(fā)展動力轉換,加快質量供給創(chuàng)新、真正發(fā)揮質量在供給側結構性改革中的關鍵作用,促進經濟提質增效升級。本文嘗試從以下三個方面,探索提升檢驗檢疫系統(tǒng)服務經濟社會發(fā)展能力的各種有效途徑。

1 打造服務創(chuàng)新檢驗檢疫

宏觀質量管理體制中,政府的質量監(jiān)管包括政府的公共服務在其中起著主導性的作用。政府的公共服務本身就是總體質量的重要構成部分,只有政府公共服務質量水平的提高,也就是被服務對象,即公眾滿意度水平的提高,才能促進總體質量水平的提高。根據(jù)以上思路,檢驗檢疫系統(tǒng)可以嘗試創(chuàng)新工作思路,力爭在簡環(huán)節(jié)、優(yōu)流程、轉作風、提效能、強服務方面取得突破性進展:

第一,實施“多證合一”檢驗檢疫資質登記準入改革,對企業(yè)實現(xiàn)“一表申請、一口受理、專窗發(fā)證”,對檢驗檢疫內部實現(xiàn)部門之間“信息共享、監(jiān)管互認、聯(lián)動審批”。

第二,進一步落實精簡行政審批權限工作,對保留的行政審批事項優(yōu)化流程,實現(xiàn)一個窗口辦理,強化對審批流程的監(jiān)督,并向社會公開審批事項的受理、過程及結果。

第三,以依法行政、方便企業(yè)辦事、降低行政成本為出發(fā)點,按照“服務便企利民、辦事依法依規(guī)、信息公開透明、數(shù)據(jù)開放共享”的總體要求,進一步清理規(guī)范行政許可收費,對保留的中介服務實行清單管理并向社會公布。

第四,進一步推進“權力清單、責任清單”制度建設,實行動態(tài)管理,用權力清單和責任清單規(guī)范行政執(zhí)法行為,做到職責法定、權責統(tǒng)一。積極推動職能轉變,規(guī)范行政許可和審批行為,推行放管結合,優(yōu)化服務,行政審批服務實現(xiàn)“減量化、扁平化、集約智能化”。

第五,搭建“單一窗口”數(shù)據(jù)交換主渠道,建設若干具有檢驗檢疫制度創(chuàng)新和管理變革特征的新型業(yè)務應用系統(tǒng),實現(xiàn)與地方相關信息化系統(tǒng)和基礎信息資源數(shù)據(jù)庫的互聯(lián)互通和信息共享,推動地方政府加大信息化建設投入,進一步拓展數(shù)據(jù)、信息采集渠道,推進網(wǎng)站集約化建設,強化信息安全保障。

2 打造制度創(chuàng)新檢驗檢疫

制度創(chuàng)新指的是新制度安排替代舊制度安排或者一個新制度安排被構造的過程,這個過程所帶來的預期凈收益大于預期成本。制度創(chuàng)新只有在這樣兩種情況下發(fā)生:一種情況是創(chuàng)新改變了潛在利潤;另一種情況是創(chuàng)新成本的降低使安排的變遷變得合算。從內外需求來看,檢驗檢疫系統(tǒng)也迫切需要通過制度創(chuàng)新,避免陷入僵化、保守、落后的境地,以達到跟隨時展的脈搏、提升檢驗檢疫系統(tǒng)服務經濟社會發(fā)展能力的目的。

2.1 以重點區(qū)域、特殊領域為突破口,打造制度創(chuàng)新檢驗檢疫

第一,以對臺工作為突破口,深度對接福建自貿試驗區(qū)、平潭綜合實驗區(qū)、福州新區(qū)、海絲核心區(qū)、生態(tài)文明先行示范區(qū)等中央重大戰(zhàn)略決策,支持平潭綜合實驗區(qū)與福州新區(qū)聯(lián)動、一體化發(fā)展,豐富涉臺檢驗檢疫領域“福建樣本”的內涵,努力探索最靈活、最便捷、最寬松的福建檢驗檢疫監(jiān)管新模式。

第二,以自貿試驗區(qū)為突破口,創(chuàng)造性地提出并形成一批叫得響、可復制、可推廣、有實效的經驗措施,打造檢驗檢疫改革創(chuàng)新的升級版。加速通關體制機制改革,深入推進檢驗檢疫通關一體化建設,促進科學監(jiān)管與提升貿易便利化水平的協(xié)調統(tǒng)一,處理好監(jiān)管和服務的關系,提高服務發(fā)展的質量和效益。

第三,創(chuàng)新對臺檢驗檢疫監(jiān)管模式。圍繞“風險管理、有效預防、重點監(jiān)管、積極促進”的涉臺檢驗檢疫監(jiān)管要求,繼續(xù)探索促進對臺小額貿易健康發(fā)展和便利兩岸人員往來的措施和對策。在對臺口岸復制推廣食品農產品“源頭管理、口岸驗放”模式,促進兩岸雙向貿易發(fā)展。

第四,開展兩岸檢驗檢疫證書、認證認可結果和檢測結果等電子數(shù)據(jù)的交換和互認工作,整合和分析兩岸檢驗檢疫業(yè)務信息及發(fā)展動態(tài),為領導決策提供支持;研究將兩岸檢驗檢疫信息變成社會資源,促進信息的深入利用以及相關部門的業(yè)務協(xié)同協(xié)作。

2.2 以助推供給側結構性改革為重點,打造創(chuàng)新檢驗檢疫

第一,推行“同線同標同質”模式,提升質量供給水平。檢驗檢疫部門可以發(fā)揮出口食品企業(yè)備案注冊管理、第三方認證等質量基礎保障作用,促進企業(yè)出口、內銷產品在同一生產線、按相同的標準生產,使內外銷產品達到同樣的質量水準(即“同線同標同質”)。推行該模式,有利于改善我國消費者的生活品質,也有利于國內企業(yè)提升產品和服務質量,促進產業(yè)轉型升級。

第二,開展消費品質量提升專項行動,加強消費品質量監(jiān)督。圍繞消費者普遍關注、反映強烈、要求迫切的突出質量問題,集中力量加以解決;開展消費品質量狀況調查,運用標準、檢測、認證等手段,幫助企業(yè)發(fā)現(xiàn)和解決產品質量提升的制約因素,培育發(fā)展消費品品牌;嚴厲打擊消費品制假售假行為,加大消費品執(zhí)法打假力度,嚴查徹辦質量違法大案要案。

3 打造綜合性創(chuàng)新檢驗檢疫

綜合性創(chuàng)新就制造業(yè)而言,是完全利用已有的技術和產品來實現(xiàn)創(chuàng)新產品,即充分利用和掌握當代現(xiàn)有工藝技術和市場上可提供的產品,通過剖析和研究,“綜合”成為新產品。從這個角度來說,“綜合就是創(chuàng)造”或“綜合就是創(chuàng)新”。而綜合性創(chuàng)新之于政府部門,則完全可以在現(xiàn)有技術和制度的基礎上,對現(xiàn)有制度進行重新整合和優(yōu)化,以實現(xiàn)創(chuàng)新制度建設。

3.1 在基礎保障平臺上實現(xiàn)綜合性創(chuàng)新

推動“智慧質檢”建設,準確把握“互聯(lián)網(wǎng)思維”“智慧型監(jiān)管”“大數(shù)據(jù)決策”“協(xié)同化辦公”“云信息服務”這五個“智慧質檢”建設的基本內容,對現(xiàn)有業(yè)務系統(tǒng)及設備設施進行整合創(chuàng)新、改造完善和優(yōu)化升級,推動管理創(chuàng)新、促進職能轉變:

第一,通過高新信息技術與業(yè)務的融合創(chuàng)新,全面探索“互聯(lián)網(wǎng)+”在口岸出入境檢驗檢疫“大車流、大貨流、大人流”中的應用,逐步打造“智慧口岸”,構建新型智能監(jiān)管模式,努力實現(xiàn)既在“非傳統(tǒng)安全”威脅中確保國門安全、維護好場域安全,又在“經濟新常態(tài)”形勢下提升通關便利、促進外貿發(fā)展。

第二,建設和完善信息化基礎設施平臺暨云計算基礎保障平臺。整合并充分利用現(xiàn)有資源,實現(xiàn)基礎設施的互聯(lián)互通;依托云計算、大數(shù)據(jù)等新興技術,建設物理基礎設施支撐環(huán)境和廣域網(wǎng)絡支撐環(huán)境以及統(tǒng)一的云服務大平臺管控中心支撐全省的核心應用。

第三,運用大數(shù)據(jù)整合信息資源應用渠道。統(tǒng)籌推進與檢驗檢疫相關的基礎數(shù)據(jù)、業(yè)務數(shù)據(jù)及交換數(shù)據(jù)庫建設,制定完善信息資源采集、維護、共享、等相關制度和標準;完善檢驗檢測認證、口岸檢疫、原產地、通報及退運等專項數(shù)據(jù)庫建設,為業(yè)務工作提供全面、及時、準確的信息資源。

第四,建立“智慧口岸”支撐體系。以ECIQ檢驗檢疫主干系統(tǒng)應用為主線,整合檢驗檢疫業(yè)務的口岸電子監(jiān)管功能,建立“智慧口岸”相關的數(shù)字化、智能化、集約化支撐體系。實施“智慧質檢”工程,強化大數(shù)據(jù)的分析研判,建立一套進出口商品質量安全風險預警及快速反應體系。

3.2 在監(jiān)管手段上實現(xiàn)綜合性創(chuàng)新

作為政府質量監(jiān)管部門,在宏觀質量管理中應該充分發(fā)揮其他質量監(jiān)管體系,如市場質量監(jiān)管體系、社會質量監(jiān)管體系的作用,整合其他質量信息參與主體如質量供應方、質量需求方和質量第三方的信息渠道,綜合采用現(xiàn)有成熟的多種技術手段,以實現(xiàn)質量監(jiān)管手段的綜合性創(chuàng)新:

第一,關注新業(yè)態(tài)質量監(jiān)管發(fā)展動向,強化綜合性創(chuàng)新手段。按照加快發(fā)展與完善管理相結合、有效監(jiān)管與便利進出相結合的原則,突出跨境電商產品質量提升,加快提升適應新業(yè)態(tài)特點的檢驗監(jiān)管能力;充分運用“互聯(lián)網(wǎng)+”理念,綜合運用移動互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等手段加強質量監(jiān)測和分析,服務經濟發(fā)展決策和業(yè)務管理需要。

第二,綜合運用現(xiàn)有成熟理念,積極打造全新的監(jiān)管模式。打破傳統(tǒng)法檢目錄束縛,著力在科學監(jiān)管、依法監(jiān)管和質量監(jiān)管上下功夫,綜合運用目前運作相對成熟的風險管理、信用管理和分類管理理念,積極探索第三方結果采信、分類差異化的監(jiān)管模式,建立“登記公示+事中監(jiān)管+事后追責”的第三方檢驗機構監(jiān)管機制。

第三,集合全社會力量,健全和創(chuàng)新進口質量風險信息采集手段。學習借鑒歐美等發(fā)達國家和地區(qū)對于進口消費品管理的成功經驗,建立健全完善的消費品投訴、舉報、傷害數(shù)據(jù)收集系統(tǒng),并與各級政府部門通報信息、媒體輿情信息、醫(yī)院傷害報告信息、消防事故信息一起納入質量風險信息收集范圍,為創(chuàng)新檢驗監(jiān)管體制奠定質量風險評估的基石。

第四,在健全質量風險信息采集基礎上繼續(xù)完善風險管理制度,推動進口質量管理從重產品檢驗向重第三方監(jiān)管和監(jiān)督抽查轉變,構建統(tǒng)一的產品質量安全風險監(jiān)測網(wǎng)絡,建立聯(lián)動的風險識別、評估、預警、布控、處置等風險管控和處置機制,提高產品質量安全風險預警處置能力。

參考文獻

[1] 程虹.宏觀質量管理[M].武漢:湖北人民出版社,2009.