信息安全风险管理制度范文

时间:2023-09-10 15:22:27

导语:如何才能写好一篇信息安全风险管理制度,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

信息安全风险管理制度

篇1

关键词:信息;安全;风险管理

引言

对于企业单位而言,信息资源是支撑工作正常运行的关键,囊括了企业的知识产权、重要数据、工作人员、信息处理设施等。信息安全风险管理成为企业单位的重要管理工作。但是目前我国企业单位的信息安全风险管理中存在着大量的问题,亟待解决,须采取有效的策略,才能保障企业单位的综合发展。

1信息安全风险管理中存在的问题

国内的企业单位在信息安全风险管理方面都存在着一定的技术引导性,缺乏必要的流程控制和制度保障。认为信息安全的建设只要有高科技的安全技术设备,就万无一失了。但事实并非如此,信息技术的发展虽然促进了信息安全风险问题的解决,但是没有严格有效的管理,依旧会产生风险问题。所以说只依赖于科学技术并不能从根本上解决所有的信息安全风险问题,只有技术和相应的流程有效配合才能完成企业单位的信息安全风险管理工作[1]。

1.1信息风险意识不强

企业单位对于信息安全风险的问题和影响缺乏认识,管理层的重视程度不够,通常只有在出现问题时,才会采取相应的策略,没有持续性。目前,我国许多企业单位的信息安全风险管理方面的财力和人力投入太小,严重忽视了相关资源的投入,原有风险和新风险逐渐积累,攒下了许多的风险隐患。还有部分企业单位过于注重信息系统的运行阶段,忽视了隐藏在系统开发和建设阶段的风险,在系统的稳定性和安全性方面留下严重的隐患。而且,企业单位对于信息安全风险的认识严重不足,没有切实意识到业务和客户数据的集中也会引发风险的集中,缺乏对于控制风险和分散风险的慎重考虑。

1.2缺少风险管理人才

信息安全风险管理不仅要依靠技术,更依靠于人才。信息安全风险管理工作的最终效果根本上还是取决于人才。信息安全风险管理人才不仅要具备风险管理才能,还要具有良好的综合素质和专业素养。我国企业单位严重缺乏这样的风险管理专业人才,大多数管理人才由于缺乏信息技术专业知识,对于信息资产和脆弱性的识别不能做出准确的判断,无法对信息安全风险状况进行正确判断,从而对企业单位的信息安全风险管理造成一定的影响。

1.3缺乏风险统一管理

我国大多企业单位都十分重视风险事项的具体管理,却严重忽视了风险的整体控制和管理。在实施信息安全风险管理的过程中,将主要精力和时间投入到了具体事项的风险管理中,却忽略了整体把握,没有切实关注信息安全风险流程管理和技术之间的密切联系。所以,最终导致信息安全风险管理的资源分配严重不均匀,缺乏统一的风险管理,从而对企业单位的整体信息安全风险管理的效果造成了严重影响。

1.4忽视信息风险预防和应急

现阶段,我国的大部分企业单位的信息安全风险管理基本上是凭借自身的长期经验加以管理,一般是事后风险管理。采取这种就事论事的管理方式,已经无法适应我国企业单位对信息化技术的依赖需求了。对于信息安全风险的预防和应急管理形同虚设,基本上停留在已有的规章制度检查阶段,风险评估工作也始终停滞在定性评估上,严重缺乏对风险的定量分析,这样的风险预防和应急策略,将会严重影响企业单位的发展。

2信息安全风险管理的有效策略

2.1树立信息安全风险观念

树立信息安全风险观念主要从四方面进行,即优化配置,积极防御,全面统筹,强化内控。我国大多数企业单位的相关配置还不够完善、优化,因此首先必须要优化配置,做到标准化和规范化,消除其中存在的隐患。而且,要积极建立有效的防御机制,控制未发生风险事件和已发生风险事件带来的影响。同时,企业单位还要强化内部控制,明确系统开发人员和风险管理人员的职责,保证内部控制工作的有效开展。另,信息安全风险管理工作的开展,须自上而下,建立领导重视、部门协同参与的工作机制,发挥优势,积极配合,将信息安全风险管理工作贯彻落实。

2.2建立健全的信息安全风险控制机制

在信息安全风险管理工作中,风险控制机制起着基础性的根本作用,只有具备了良好的风险控制机制,才能使整个管理系统与自适应系统更加接近,从而在外部条件不发生变化的同时,能够迅速地做出反应,进行策略调整,实现优化目标,保持良好的管理水平,保证信息安全风险管理作用的顺利开展。风险控制主要包括六个方面,即基础工作、责任机制、预防机制、通报机制、应急机制、团队建设[2]。

2.3建立完善的信息安全风险管理体系

完善的信息安全风险管理体系,主要包括六个部分,有风险管理制度体系、标准规范体系、风险管理组织体系、风险管理策略体系、技术支持体系、应急处置体系。风险管理制度体系是有效规范企业单位信息系统开发运行等过程中的组织和个人行为的基础,应切实根据自身情况,针对风险管理控制中的薄弱环节,制定相应的管理方式方法和规章制度,从而对关键过程进行有效监管。风险管理组织体系是指企业单位设置的专门的信息安全风险管理组织机构,是将管理部门细化到具体岗位,保证信息安全风险管理工作顺利开展的关键[3]。技术支持体系,是运用网络安全控制、系统安全控制、系统加密控制等高科技技术手段,建立不受外界侵害的保障系统,从而保证企业信息安全。除此之外,还必须建立健全的应急处置体系,这是企业单位信息安全风险管理体系中最关键的部分,只有全面建立完善的信息安全风险管理体系,才能保证企业单位的信息安全。信息安全风险管理工作是一项长期的工作,所涉及的范围十分广泛,其中包括员工和信息科技的每一个环节。信息安全风险管理体系只有在全员维护下,才能将安全体系落实到信息科技建设的具体环节,带来真正意义上的信息安全。

参考文献

[1]吴世忠.信息安全风险管理的动态与趋势[J].计算机安全,2007(5):1-7

[2]包同岗,赵捷琴,祁之强.基于突变理论电网企业信息安全风险管理模型研究[J].山西电力,2014(4):45-49

篇2

关键词:电力公司;营销安全;风险评价;管理体系;研究

中图分类号:F272 文献标识码:A

营销管理体系的建立是电力公司发展的必然选择,因为在电力市场中,各个电力公司如果没有制定相应的规避风险的对策,其在市场竞争中终会被淘汰,因此说对电力公司来说,营销安全风险评价非常重要,但是建立营销管理体系更重要。营销管理体系包含很多内容,从管理机构的建立到流程优化,都需要相关人员认真的完成,以此保证管理体系的科学合理。

一、电力公司营销安全风险评价

电力公司营销是市场竞争的需要,但是营销本身存在着一定的风险,在电力公司进行电力产品营销时,首先要明确其存在的风险,之后对这些风险进行评价,按照评价标准来决定选择哪种适合的营销策略,以便在市场竞争中获得最大的营销效益。其安全评价体系如下:

1市场风险评价。市场风险是电力公司营销面临的最重要的风险问题,因为随着电力市场环境的改变,电力公司也会发生相应的改变,比如某些政策发生了变化,或者电力公司在面临市场需求时没有对此做出正确的分析评价,所以出现了供不应求或者供大于求的现象。市场环境中,电力公司需要考虑很多问题,比如消费群、市场信息以及国家的与之相关的政策变化,尤其是贷款政策的变化等,这些因素是电力公司需要对市场风险进行评价的关键点,只有掌握关键点,才能保证市场安全风险评价准确,为公司领导制定决策提供依据。

2经营操作风险评价。任何形式的经营操作都存在一定程度的风险,有些安全风险能够为公司带来发展的契机,但是有些风险则会使电力公司陷入困境,这是对经营操作风险进行安全评价的主要原因,如果经营操作风险已经超过了电力公司自身的经营的承受力,则需要尽可能的避免。其中有些经营操作风险存在的安全隐患非常突出,比如用户信息安全隐患、用电检查等问题,这些操作带来的风险具有累积效应,一旦累积到一定程度,将会使电力公司陷入绝境,因此需要对此进行预先评价。

3电费安全风险评价。电能是电力公司主要的电力产品,也是主要经济收入,但是在电费管理期间,因为管理人员没有按照要求规范进行管理,比如抄核收电表等,进而产生了电费管理风险,除此之外,某些电力公司并没有认真执行国家电费政策,所以用电用户与公司之间出现了很多的电费纠纷,这些问题严重影响了电力公司的形象,因此在电力公司领导制定决策时,要尽可能避免这些风险,但是也需要将这些风险考虑进去,并且做好相应的应对策略。

4供电服务风险评价。电力公司的营销就是希望能够为用户提供更多更优良的服务,但是我国的一部分电力公司却没有服务的意识,这是产生供电服务风险的根本原因,因为没有相应的意识,所以其服务的质量难以保证,而且没有建立相应的服务体系,因此出现了很多风险,其中最常见的就是客户投诉等。

二、电力公司营销管理体系研究

正是因为电力公司存在上述各种风险,导致其营销效果并不佳,为了能够在营销管理中将风险控制在公司可以承受的范围内,则需要建立营销管理体系,针对风险类型进行营销管理,将风险发生的机率降到最低,其主要采取的措施如下:

1建立并且完善营销安全管理机制。任何一个公司企业的营销管理都存在一定的风险,而风险管理是一件非常复杂的工作,因此需要建立一定的管理机制,将各个管理细节部门明确规定,从风险管理条款制定到风险管理具体的执行,都需要在管理机制体现出来。安全管理机制的制定需要结合电力公司的实际情况,不能脱离实际去制定。要想制定的条款能够非常明确的落实下去,则需要建立专门管理机构,并且给予其一定的权利,提高其执行力。

2优化管理流程。电力公司营销安全风险管理不仅需要质量,更需要效率,尤其是在面对突发的风险,需要具有快速有效的解决能力,否则风险就会变为现实,而提高管理效率的重要措施就是优化管理流程,一些不必要的流程要省略掉,既要明确责任,有要保证责任效率,动态管理与静态管理相结合的方式,全方位、全角度对其进行管理。从纵向上方法进行优化,指的是整合垂直工作,对营销安全风险管理的实施步骤进行安排,对那些不必要的监督和控制环节进行减少,提高工作效率;横向上指的是整合水平工作,促使各个责任部门的工作人员可以对自己工作范畴内的风险进行有效的处理和控制,集中分散的资源,减少不必要的沟通。

3供电营销安全风险管理制度标准保障。要想促进企业更好的发展,提高管理的规范化程度,非常重要的一个方面就是进行制度建设。对于电力公司营销安全风险管理也是一样的道理,需要构建相关的制度标准,在构建的时候,需要遵循这些原则,首先是完整性原则,指的是保证安全风险管理制度可以对公司经营管理的各个层面实现覆盖,保证全体工作人员都可以积极参与进来,将控制作用充分发挥出来;其次是合理性原则,指的是要充分结合目前的管理体系以及公司具体情况,来优化和改善现有制度,对相关原则进行优化和细化,更加合理的制定风险管理制度,提高制度的可操作性。

结语

综上所述,可知对电力公司营销安全风险评价与管理体系进行研究非常必要,尤其是在电力市场发展的今天,对其进行研究具有一定的指导作用。从电力营销的角度来说,我国电力公司面临的最要风险就是供电服务风险,而产生这种风险的主要是因为电力公司没有服务的意识,以此经常出现服务纠纷,这对电力公司的发展来说非常不利,因此在营销管理时,要尽量的规避这些风险。

参考文献

[1]李轶敏.工业企业营销风险预警指标体系及综合评价方法[J]. 时代经贸(下旬刊),2007(02) .

篇3

【关键词】 工程设计企业 风险管理 对策

随着企业的发展壮大,新情况、新事项逐渐增多,加之内外部市场环境的不断变化,企业所面临的风险日益加大。所以当今企业必须全面有效地开展风险管理工作,才能做到未雨绸缪,防微杜渐,保持和增强企业的竞争优势。本文基于工程设计企业风险管理的工作实践,认为风险管理工作可以从风险管理体系建设、风险信息识别与评估、风险管理策略和措施、监督与改进等方面来开展。

一、风险管理体系建设

企业风险,指未来的不确定性对企业实现其经营目标的影响。企业风险管理,指企业围绕总体经营目标,通过在管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全风险管理体系,从而为实现风险管理的总体目标提供合理保证的过程和方法。

做好企业风险管理工作对提高企业风险防范能力、增强市场竞争力至关重要,有效的风险管理可以确保企业把风险控制在可承受范围之内;确保真实、可靠的数据信息与沟通;确保遵守有关法律法规、企业有关规章制度和重大经营管理措施的贯彻执行;确保企业不因灾害性事件或人为失误而遭受重大损失。因此,企业应从上到下高度重视此项工作,应以现有的管理流程和规章制度为基础,建立符合企业实际的风险管理组织体系和制度体系。

首先,根据企业组织架构特点建立整体覆盖的风险管理组织体系,成立由企业领导担任组长的风险管理领导小组,全面领导企业风险管理工作,并明确指定企业各职能部门及下属各单位领导为本部门、单位的风险管理第一责任人。指定领导亲自负责有利于明晰责任,提高对风险管理工作的重视程度。同时,为促进日常工作的有序开展,需在风险管理领导小组下设置具体职能部门为风险管理归口部门,全面组织协调企业风险管理的日常工作,包括负责组织企业风险管理体系的建立、日常维护及改进,建立健全组织机构、工作流程和规章制度;组织收集风险信息,建立风险事件库;辨识、分析、评价风险,完善内部控制系统;组织建立公司重大风险监控预警机制;指导、监督所属各单位建立健全风险管理体系等等。企业其他各职能部门则负责对其职责范围内存在的各类风险进行管理,下属各单位应全面贯彻落实企业总体风险管理制度,按照整体要求做好风险管理工作。

其次,除了建立风险管理组织体系之外,企业还应根据自身情况制定风险管理制度体系,制定完善的相关制度和基本工作流程,为全面开展风险管理工作提供制度保证和工作依据。一般说来,企业风险管理制度包括:风险管理工作办法、不同风险事项应急预案、风险控制程序等。风险管理基本工作流程为:收集风险管理初始信息进行风险评估制定风险管理策略提出和实施风险应对措施风险管理监督与改进。

二、风险信息识别与评估

有效的风险管理体系是企业顺利地开展风险识别与评估工作的重要保障。企业应充分识别内外部情况,找准和找全现阶段面临的主要风险事项,并对其进行分类。一般来说,以管理要素为标志,工程设计类企业的风险可划分为战略风险、运营风险、财务风险、资金风险、投资风险、法律风险、海外风险七大类,每一类中又分别包含若干不同的风险事项。

各类风险包含的主要风险事项如下。战略风险:包括战略制订、战略实施、战略动态调整等;运营风险:包括公司治理、重大决策、机构设立与注销、市场经营、管理创新、合同管理、质量管理、技术管理、项目管理、人力资源管理、安全生产、节能减排、职业健康、国家安全与保密、宣传与信息安全等;财务风险:包括会计核算、财务管理、资产管理、经费管理等;资金风险:包括融资、金融工具使用、资金结算、担保、外汇管理等;投资风险:包括股权投资、项目投资等;法律风险:包括合同管理、合规审查、重大法律纠纷、知识产权保护、劳动用工管理等;海外风险:包括市场经营、市场环境、运营监控、海外投资等。

企业可根据识别出的风险事项建立风险事件库,以便在风险管理过程中随时查找、对照、评估效果、完善措施。同时,由于企业所处内外部环境的不断变化,应对风险信息进行动态监控,风险管理归口部门要根据不同阶段风险事件的变化及时更新企业风险事件库。风险事件库应包含风险名称、风险类别、风险描述、发生条件、风险后果、风险应对措施几个方面。以工程设计类企业最常面临的几个风险事项为例,列举风险事件库相关内容(见表1)。

在实际操作中,风险识别和评估可采用问卷调查、集体讨论、专家咨询和调查研究等方法。企业各部门和下属各单位处在企业生产经营管理活动的第一线,应注意在实际工作中查找和收集风险信息,分析风险发生的条件及可能性的高低,评估风险对企业的影响程度,提出重大风险,建立风险监控预警指标体系。企业风险管理归口部门应在结合各单位、各部门提出的重大风险和风险监控预警指标体系的基础上,提出整个企业层面上的重大风险和风险监控预警指标体系。

经过评估的风险,按照发生的可能性可分为经常、很大、中等、偶尔、极少五种情况;按照对企业的影响程度可分为灾难性、重大、中等、轻微、可忽略五种情况。风险发生可能性很大并且会产生重大影响的,就应判断为重大风险,需要引起企业高度重视。

三、风险管理策略和措施

依据风险评估结果,企业可结合自身条件、外部环境和发展战略,根据自身风险承受能力,选择风险承担、风险规避、风险控制、风险分担等适合的风险管理策略,并针对各类风险特点,确定风险应对措施。应对措施应满足合规要求,满足风险控制与运营效率及效果相平衡的原则,具有适用性、可操作性,并坚持在实际工作中严格贯彻执行。例如,对于日常流程和制度无法预控,一旦发生损失较大的重大风险,应制定专项风险应对方案;对于日常经营及管理活动中的重大风险,应针对风险所涉及的所有环节,制定或完善内控制度和涵盖各个环节的全流程控制措施,由事后控制变事前、事中及事后全过程风险控制;对于其他风险,应针对风险所涉及的各项流程,把关键环节作为控制点,建立或完善内控制度和流程,将风险控制在可承受的范围内。特别要注意的是,对于企业重大风险事项,均应在充分进行风险分析的基础上,上报公司高级管理层(设有董事会的公司还应对上报董事会审议的事项进行规定)讨论、决策,并由监事会(监事)进行监督。

风险管理的内控措施一般包括重要岗位权力制衡控制、授权审批控制、绩效考评控制、利益冲突回避控制、经营活动分析控制、财产保护控制、重大风险预警控制等。风险管理措施的制定可采取定性和定量相结合的方法,并积极借助信息化手段推进风险管理措施的实现。

现以工程设计企业战略制订及调险为例,论述其管理措施。企业应制订具有引领性和可执行性的发展战略,否则可能会导致企业盲目发展,丧失机遇和动力,难以形成竞争优势,甚至造成经营失败。针对这类风险,企业制定了明确的控制要求:战略规划制订前需进行详细调研;应具有保障实现发展目标的实施路径、保障措施;对战略规划实施情况进行分析,当外部环境发生重大变化时,履行适当程序调整规划。再根据各项要求制定了具体的控制措施:首先,由各相关职能部门对分管领域业务进行分析预测,制定分目标,根据公司近年主要经济指标情况和上级要求,在全面分析现状和预测内外部环境变化趋势的基础上制定总目标;其次,根据发展目标确定重点任务和保障措施,要求具有指导性和可行性;最后,分析战略执行情况和内外部市场环境变化情况,评估调整规划要求,经决策层审批后年度工作计划。

企业战略规划的制定和动态调整过程均严格执行控制措施,避免了因发展战略脱离实际、偏离中心而导致过度扩张、经营失败;也避免了发展战略因主观原因频繁变动而导致资源浪费,甚至危及企业的生存和持续发展。

四、监督与改进

企业只有对风险管理工作进行监督和改进,才能实现整个管理环节的闭合。应建立全面风险管理监督机制,制定监督制度,明确检查对象、内容、方法,明确各部门在风险管理监督中的职责权限、程序、方法和要求。应定期总结和分析已制定的风险管理策略、内控措施及专项风险应对方案的有效性和合理性,结合实施情况不断修订和完善。在重大风险,如公司发展战略、组织结构、重要经营活动和业务流程、关键岗位员工等发生较大调整或变化时,还应组织对相关风险管控的专项监督检查。

此外,企业还应从风险信息沟通、风险管理培训、风险文化营造三方面为顺利开展风险管理工作提供支持。注重风险管理信息的沟通,建立风险管理信息报送体系,明确风险管理相关信息的收集、处理及传递程序,确保信息及时沟通,促进风险管理工作有效运行;加大风险管理的培训,在全面风险管理基础知识及基本技能培训的基础上,建立高风险岗位的岗前培训制度,加强对关键岗位风险管理理念、管控核心内容、操作规程的培训;在内部各个层面营造风险管理文化氛围,各级领导应在培育风险管理文化中起表率作用,积极传播风险管理文化,牢固树立风险无处不在、无时不在意识和理念。

【参考文献】

篇4

银行IT审计意义

目前,信息系统的正常运行已经成为银行业务正常运营的最基本条件之一,信息科技在有力提升银行核心竞争力的同时,信息科技风险也愈发突出和集中,信息科技风险控制已成为银行业风险管理的重要内容,而IT审计作为银行业风险管理体系的重要组成部分,其重要性和必要性已经日益得到银行业管理层的关注。同时,国家相关部门对信息系统的管控也越来越重视,自2006年8月《银行业金融机构信息系统风险管理指引》开始,银监会正式对银行科技风险进行监管,近年来推出一系列制度和措施(见表1),监管工作逐步走向规范化。通过IT审计来保证和监控全行的信息科技管控对各级监管政策法规的合规性,也成为银行业实施IT审计的重要目的之一。

因此,银行业加强和规范IT审计,既是自身发展和获取竞争优势的内在需要,也是监管当局的外部要求。

银行IT审计标准

准确地运用标准和参照,成为顺利开展IT审计工作的重要前提之一。

COBIT

COBIT(Control Objectives for Information and related Technology) 是由信息系统审计与控制基金会最早在1996年制定的IT治理模型。这是一个在国际上公认的、权威的安全与信息技术管理和控制的标准,也是目前国际上通用的信息系统审计的标准之一。COBIT是一个基于控制的IT治理模型,其制定的宗旨是跨越业务控制和IT控制之间的鸿沟,从而建立一个面向业务目标的IT控制框架。

COBIT本身并非针对IT审计的专门论述,其面向的使用者可以是企业中想通过改善IT过程实现经营目标的管理者,也可以是业务过程的所有者,即用户,也可以为IT审计师。它在商业风险、控制需要和技术问题之间架起了一座桥梁,以满足管理的多方面需要。在最新的COBIT5.0版本中,COBIT已经被称作“一个治理和管理企业IT的业务框架”。

COBIT4.1版本中经典的体系框架一直为众多使用者参考使用,它包括了实施简介、实施工具集、高层控制目标框架、管理指南、具体控制目标、审计指南等一系列文档(见图1)。管理指南为每个过程提供了关键成功因素、关键目标指标和关键绩效指标等,并根据这些指标对每个过程进行了成熟度模型的划分;而审计指南,则就审计的控制目标、调查对象、需要掌握的证据及如何进行测试和评估做出了详细的说明。

COBIT4.1版本中的流程参考模型将所有与信息系统相关的活动进行了划分,主要包括34个流程,分属4个域。而COBIT 5.0的参考模型涵盖了治理和管理流程的完整集合,共分为37个流程。COBIT5.0流程参考模型是COBIT4.1流程参考模型的继承者,同时也融合了风险IT、价值IT流程模型。COBIT的广泛通用性也造就了它在应用上的弱点和难点,即COBIT中对相关流程和控制目标的描述过于笼统普适,需要使用者结合企业的实际情况和专业经验进行较大的定制化方可实施。

因此,COBIT模型的最大作用是将IT过程、IT资源与企业的策略和目标联系了起来,保障了企业的IT战略目标和其业务发展目标的一致性,也在IT管理层、IT技术人员/用户和IT审计师之间搭建了桥梁。

《商业银行信息科技风险管理指引》

近年来,随着银监会信用风险、商业风险和操作风险管理指引的,以及“巴塞尔协议II”在银行业内的逐步实施,推动了银行内部风险管理机制的建立和健全。但是,在全面风险管理的框架下,目前银行的信息科技风险管理机制滞后于业务风险管理体系的发展,并未建立体系化的风险管控机制,成为了银行风险管理体系中的短板。这主要体现在,信息科技风险治理组织不健全、风险管理制度不完善、风险处理过程规划依据不充分以及风险监控指标不明确等方面。

2009年的《商业银行信息科技风险管理指引》(以下简称《指引》),定义了商业银行信息科技风险的总体框架,即在当前商业银行普遍的信息科技现状下,可能存在的重大信息科技风险的范围,使商业银行的风险管理过程,能够集中精力在相关领域中。

《指引》确定了九大管理领域,即:信息科技治理;信息科技风险管理;信息安全;信息系统开发、测试和维护;信息科技运行;业务连续性管理;外包;内部审计;外部审计。这些领域覆盖了信息科技管理的大多数重要活动,这些活动中存在的风险,可能会对业务产生重大影响,因此对这些领域的风险识别和管理,应当在信息科技风险管理中优先对待。

在这九大领域中,IT审计占两个,分别是内部审计和外部审计。而《指引》本身,就是一个针对银行的框架完整的IT审计标准,银行可以参考这个标准,开展IT审计工作。

IT审计标准选择

实践中使用的标准远不止上述两个,而且,这两个标准建立本身就参照了很多IT相关的较为成熟的标准。如,COBIT制定时参照的标准就有ISO系列的相关IT技术标准、审计行为准则等等;《指引》其中“信息安全”管理领域的内容建立就是参照信息安全管理体系的国际标准ISO27001。

篇5

【关键词】电力企业信息安全管理;组织管理;失误因素

1 电力企业信息安全管理中组织管理失误的分析方法

电力企业信息安全管理中的组织管理失误分析法(英文:Cognitive Relia-bility andErrorAnalysisMethod,即CREAM),是可靠性分析法的典型代表,具有追溯分析功能。通过CREAM的应用,可以将失误事件的外在表现形式称为失效模式,并且将引起这些失误事件的直接原因定义为前因。实践中,前因可分为具体的前因、一般性前因,CREAM分析法是以失效模式作为出发点。首先,通过分析失效模式的一般前因、具体前因,得到失效模式前因表,在表中选定一个前因作为后果,然后分析引起这一后果的可能前因,最终得到包含这一后果、可能的前因追溯表;再以该可能前因为后果,分析可能的前因,通过连续不断的寻找,最终找到引起事件失误的根本原因。

2 在电力电力企业信息组织管理过程中,开展多项管控措施、分三步走

第一步,从思想上加强重视。实践中,应当认真学习贯彻违规外联、外网邮箱发送的要求,严格按照“业务工作谁主管,保密工作谁负责”以及“统一领导、分级负责”的原则,将信息安全保密职责有效地落实到人,让每个员工熟悉、掌握保密工作的基本要求和规范。

第二步,深入检查,全面整改。实践中,应当严格按照检查内容检查,一定不能留死角、搞形式。在检查中发现的问题,要立即纠正,认真整改,对存在严重问题的单位要监督整改,并组织复查;发生泄密、违规问题时,一定要严肃查处,必要时还要追究责任人的责任。

第三步,严格管理,务求实效。要进一步落实保密工作责任制,坚持标本兼治、系统治理,把检查活动与日常保密工作安排结合起来,边检查边整改,以查促管、以查促改、以查促教、以查促防,确保检查取得实效。

3 电力企业信息系统安全管理的必要性

电力企业信息系统安全管理,是企业在一定范围内建立起来的信息安全目标和方针,并通过努力完成目标。对于电力企业信息安全管理而言,可表示为方法、目的、基本原则和实施过程等要素集合,作为直接的信息安全管理结果。2014年8月,某技术质管部专责高某通过电子邮箱将创新成果--《电力设计企业基于桌面云技术的信息》以附件形式经压缩、更名后在没有经过加密的情况下,发送到某部门专家评审组;由于附件内容出现“保密”等敏感词,该邮件被公司外网邮件拦截系统拦截。经现场查实,邮件均不涉商业秘密,但违反了“工作邮件只限于公司内网邮箱发送”规定。由此可见,电力企业信息系统安全管理工作非常重要,也非常有必要。通常情况下,电力企业信息安全管理工作主要包括制定信息安全管理的策略,合理、科学的对电力企业信息安全工作进行组织管理,具有非常重要的作用。电力企业应当提高全体员工的信息安全意识,加强电力电力企业信息内外网安全管理。第一,内、外网电脑都必须安装三种软件,即北信源、天以及趋势杀毒。软件有内、外网版本之别,而且客户端也不同;第二,遵守专机、专网之规定,内网电脑不能与外网相连接,外网电脑不能连接内网,家用电脑不能接入内网使用,尤其是来历不明、使用背景不明的电脑,一律禁止接入内网系统。

4 电力企业信息安全管理中组织管理常见失误

近年来,随着市场经济体制改革的不断深化,虽然电力企业信息安全管理水平有了很大程度的提升,但电力企业信息安全管理过程中依然存在着一些问题与不足,总结之,主要表现在以下几个方面:

第一,信息安全措施和技术手段不成熟。对于大多数企业而言,在信息系统建设过程中欠缺完善的安全手段和措施,严重影响了安全措施的制定与执行。

第二,电力企业信息安全风险控制不到位。实践中可以看到,很多企业在信息化规划与建设过程中,对信息安全的前期分析比较欠缺,将分析对象主要集中在技术层面研究上,很难有效解决企业安全信息系统操作失误、缺陷与不足等安全问题。

第三,信息安全意识不强,缺乏有效的安全管理机制。对于部分企业领导层而言,对信息安全的重视不够,对潜在的各种风险和安全隐患问题分析不到位。

5 电力企业信息安全管理体现构建的有效策略

基于以上对当前企业安全管理中的问题分析,笔者认为要想减少和控制电力企业信息安全管理中组织管理失误现象, 应当根据企业实际生产运营状况,以IS027001信息安全管理体系标准为基础,从组织、技术、管理以及运行和监督这等方面入手,对现有的信息安全管理架构进行改进和完善,增加运行、监督环节。

5.1 提高对电力企业信息安全的认知度

针对企业员工对信息安全知识掌握不足的现状和问题,通过宣传、教育和培训等方法,提高企业全体员工对信息安全的认知度。首先,加强信息安全宣传教育。电力企业信息安全宣传的目的在于让全体员工清楚地认识到信息安全管理工作的重要性,了解信息安全管理目标,以此来提高企业员工的信息安全管理意识。

5.2 建立健全信息安全审计机制

内部审计是对电力企业信息安全管理体系建设与实施情况的评价,定期组织审计活动,以此来促进安全管理体系的改进与完善。企业的信息安全政策、规范制度是信息安全管理工作得以有效开展的重要依据,因此审计工作的主要内容是检验信息安全标准的符合性、执行情况。在审计过程中,主要包括如下内容,即检验是否按照要求制定规章制度、执行细则;检验员工对的规章制度执行状况,对审计结果的整改落实情况进行核查;同时,还要对信息安全控制措施的应用效果进行全面检查,确保评估的有效性。

5.3 建立和完善信息安全风险管理制度

信息安全风险,即威胁利用系统弱点对相关信息资产造成破坏、损失的可能性,信息系统安全与否,主要取决于其风险是否己在现有措施条件下实现了最小化,而非绝对没有风险。

篇6

关键词:商业银行;信息资产;风险管理

中图分类号:F832

文献标识码:A

文章编号:1006-1428(2006)07-0030-03

一、银行信息资产风险管理概念及其现状

银行信息资产,是指银行业金融机构运用信息技术处理业务活动的信息系统及其所产生的生产经营信息、研发和服务能力、管理水平以及其他与信息化相关的各种有形和无形资产。银行信息资产风险。是指信息资产在形成、运用、管理过程中产生的各类风险。在银行业务与信息化高度融合的业务处理系统、信息‘;680987257L;’管理系统和决策支持系统中,存在大量信息资产风险。它不仅涵盖了传统的操作风险、信誉风险,而且还包含了在银行的经营管理过程中,所表现出的许多与信息化相关联的其他类型风险。

商业银行的内控应该以风险管理为中心,尤其是银行信息资产的风险管理。目前虽然各银行都有自己的信息安全主管部门,并作为信息安全的建设者和维护者,对信息安全有着丰富的现场经验与专业经验,但由于他们身兼运动员和裁判员双重身份,所以很难向最高管理层保证信息安全的有效性。因此,建立科学的信息风险监督机制,对加强银行风险管理,确保银行信息系统的安全稳定、持续有效地运行,显得尤为重要。

新巴塞尔协议对商业银行的风险管理提出了更高的要求,即银行业不仅要在宏观管理层面上,有统一的风险管理战略、风险管理政策、风险管理制度、风险管理文化,也要在微观操作层面上,全面考虑包括信用风险、市场风险、操作风险等在内的各种风险管理。风险管理必须逐步应用于信贷决策、资本配置、贷款定价、经营绩效考核等方面,贯穿于业务经营管理的全过程。对于操作风险的管理,直接涉及到对银行信息系统的安全管理,因此,加强操作风险的管理,就必须高度重视银行的信息资产风险管理。

根据新巴塞尔资本协议的精神,世界上已有不少国家的监管当局已经开始探索银行信息资产风险监管的新方法,我国也不例外。

在2004年2月出台的银行业监督管理法中明文规定:“要对银行业金融机构运用电子计算机管理业务数据系统进行检查。”这成为银行信息资产风险监督的最初起源。信息风险监督是指对特定环境中的信息系统及其处理的传输和存储的信息的保密性、完整性和可用性等进行监督,进而对其安全性进行风险分析、评估,找出潜在的致命缺陷和易被忽略的问题,为信息系统的安全设计,选择合理的安全产品和安全管理提供可靠的依据。信息风险监督的内容包括信息系统的物理安全、系统安全、网络安全、技术安全保障和安全管理控制五个部分。

2005年初,银监会提出了《银行业信息资产风险监管暂行办法(送审稿)》。从最初的《银行业金融机构运用电子计算机管理业务数据系统的监管检查办法(征求意见稿)》,到后来的《银行业金融机构计算机信息风险监管暂行办法》,再到如今的《银行业信息资产风险监管暂行办法(送审稿)》,可以看出,银监会对商业银行信息资产风险管理的监管思路在不断走向成熟和趋向系统化。这既是我国金融业适应金融全球化趋势和新巴塞尔资本协议强调金融风险管理的要求,也是我国金融业迎接跨国银行的竞争,提高核心竞争力的需要。

当前,我国商业银行信息资产存在以下风险:

1.信息系统软硬件本身存在着很大的脆弱性。

一方面表现在设备的自然损耗、制造缺陷和不可预测的自然环境因素,如火灾、水灾、地震、战争等不可抗拒的自然灾难。另一方面表现在由于技术发展的局限和人类的能力限制,面对庞大的操作系统、复杂的应用程序,在设计之初人们不能认识所有的问题,失误和考虑不周在所难免。

2.银行数据传输网络的脆弱性。

随着金融网上业务的拓展,网上银行、移动银行、电子商务等,已成为银行追逐的利润增长点。银行业务系统要顺应开放和互连的趋势,其信息安全范畴已经突破了以业务系统物理隔离和协议隔离为基础的传统银行信息安全,在公网环境下防止黑客、病毒的破坏,在Internet上保证金融数据的安全采集、安全存储、安全传输和安全处理,将是金融信息系统建设面临的重要挑战。

3.安全技术保障的欠缺。

当前,我国金融业信息安全建设,在整体安全系统、内部网络安全监控与防范的、智能与主动性安全防范体系、全面集中安全管理策略平台定制等方面,都有很多不足之处。

4.信息资产的结构和质量存在不足。

目前,我国诸多商业银行大多是国有银行,并且按地区按部门分割现象严重,其信息资产的功能和结构也比较僵化,业务流程不畅,组织结构和风险管理缺乏弹性,快速反应能力不足,不能及时适应竞争环境的变迁和客户需求的变化。

二、实施商业银行信息资产风险管理的措施

1.要有前瞻性的信息资产设计战略。

即首先要建立集中统一的面向业务目标的端到端的信息资产战略及解决方案。其包含的主要内容有:支持业务战略的明确的信息资产战略;以优化的技术方案实现业务功能;弹性的、灵活的信息资产基础设施;信息资产投资计划、信息资产规划和管理。尤其是信息系统的设计要具有超前眼光,能支撑起银行未来的业务发展。因此,总行领导和相关信息资产主管必须具备非凡的洞察力和专业胜任能力,必须明确当前和未来客户的类型及需求特征。

此外,总行应对财务管理信息系统实行统一核算模式,打破原来财务系统按部门或地区分割的模式,总行的信息管理要随时能够反映和监控全行所有部门、所有网点的运营状况。

2.建立适应客户需求变化的信息资产风险管理统一框架。

内容包括风险管理框架的统一设计;风险管理业务及信息技术流程的建立;信用风险管理、资产负债管理、反洗钱及智能预警等信息资产系统的建立和实施。还包括全面支持核心业务能力和全行风险管理、全行单一的客户视图及多渠道整合解决方案;面向服务架构(SOA,Service-or-ientedArchitecture)的信息资产系统设计;提供强大的新产品创新支持等。

在完成信息资产系统基础设施的集中后,商业银行的业务流程整合、业务信息整合、应用整合和业务控管应进一步向总行、省行集中。实施优质资源的整合,提高风险管理的整体经济效果和效率。

3、建立与现代银行治理结构相对接的信息资产日常风险管理规范。

随着银行业务跨地区跨国家的发展和银行客户业务的日趋复杂化。银行承担的责任和风险也日益加大,尤其是信息资产的风险日趋集中,那么有效的内部控制系统和公司治理规范就成为化解银行风险的有效工具。

因此,根据国内外关于银行公司治理的规范要求,建立运行有效的内部控制制度,提高信息透明度和受托责任问责机制。加强常规性的风险管理,是保证银行稳健经营的根本保证。根据IMF的公告,内部控制是一套按持续性基础控制组织活动的机制,这些活动来自组织的中心、部门或分部,有效内部控制的关键元素是牢固会计和信息系统的有效运行。并拥有良好的适应性的控制文化。

商业银行信息资产风险管理应根据相关法规的要求,建立有效的激励约束机制,按照股东大会、董事会和监事会等机构的职能和性质,构建多重防御体系,并将风险监控和增强信息透明度相结合,综合运用现场检查、非现场分析与评价、规章指引、强化市场约束等手段,提高风险管理水平。

4.设立信息资产风险监控指标。

首先对银行业务过程按照控制规范的要求,进行风险控制点的分解,并设立相应监控指标作为风险预警信号,由系统自动检查和评价,并在状态异常下自动报警。主要指标可分为三类。分别是关键业绩指标KPIs(key perlormance indicators),过程主管指标POIs(process owner indicators)and风险分析指标RAIs(risk analytical indicators),这三类指标可持续适用于银行业务微观过程和交易方法,并通过比较银行风险点监控目标与实际指标的差异,来加强信息资产过程控制。

如可将银行信息资产监控过程划分为一体化监督控制、审计跟踪、风险分析和履约事项监控等过程,每个监控过程通过包含信息自动更新的现场知识管理系统实施在线评价和过程审计,以促进银行业务内部规则的沟通和过程变革的管理。

各风险控制点指标由过程监控人采集,并负责进行风险等级划分和报告,风险控制点主管按照事件发生的概率评价各风险程度和预计损失大小,这种信息被及时传递到相关业务决策部门,以帮助银行各级部门提前作好风险防范。

5.加强对信息资产的过程审计和风险验证。

银行可在信息系统当中。对信息资产的各环节设立微处理器进行记录和控制。银行内部审计师使用微处理器的步骤作为审计清单。并评价过程负责人所作的风险自我分析,评估执行的过程,和风险自我分析的准确性。这种方法有利于审计师及时跟踪重大风险和异常状况。提高审计的成本效益比。

如银行的经营风险矩阵可按0到5五级风险矩阵排列,这种风险评级要求有风险因子概率和潜在的损失数量。并按照银行的风险分类调整这些数字,对业务线的风险水平作出估计。一旦按业务线的估计完成,一张风险及其暴露表就生成。按照巴塞尔协议计算的资本分配条款及其风险大小也自动显示出来,这些风险分析及分解方法是重要的审计计划和审计资源分配工具。

银行可将业务处理的广泛文件记录都分解给不同的微处理器。使用这些微处理器作为控制工具的一个前提是这些微处理器的都在公司的内部网上。这些微处理器的图示可描绘风险结构中的不同风险,并进行风险预警。

银行信息资产分类指标分别是指关键业绩显示指标、过程主管显示指标和风险分析显著指标。其中关键业绩显示是指有助于战略监督和审计分析评价的宏观指标。如净资产报酬率、毛利率和销售成本率;过程主管显示指标是指在功能绩效中支持过程主管的分析指标,如一段时间单位客户的接待次数,客户、产品交易的总量;风险分析显示指标是对每个具体的局部单元风险的量化,如错误数、微处理器的有效记录数,后台徼处理器在一段时间的差错数。从目前来看,越来越多的银行在信息资产中使用SAP系统和它的关系数据库来进行计量和方便系统监督和例外事项的报告。根据SAP和其他公司系统所得的关键计量指标逐渐出现在为微观过程、交易和战略转移监督服务的指数形式中,例外事项预警也根据精心拟定的协议提供,决定它们是否被传递到下列实体,如过程主管、高管人员、内部审计师或外部审计师。

参考文献:

[1]秦尚民:掌控全成本,构建商业银行盈利能力,中国商业银行经营管理高层论坛,http://省略 2005年4月9日,新浪科技

[2]Bell,T.B.,Mars,F.O.,Solomon,I.,and Thomas,H.,Auditing Organizations Through aStrategic-Systems Lens:the KPMG Business Measurement Process,KPMG,Peat Marwick LLP,Montvale,NJ 1997

[3]CICA/AICPA.1999.Continuous Auditing,Reseamh Report.The Canadian Institute of Chartered Accountants,Toronto,0ntario

[4]Secretariat of the Basel Committee on Banking Supervision,Bank for International Settlements,The New Basil Capital Accord,January 2001

篇7

一、我国商业银行风险管理存在的问题

现代商业银行风险管理的三驾马车是体制、技术、文化。体制是风险管理实施的组织保证,技术能够有效地控制风险,文化理念则可以保证技术、体制的正常实施。目前来看,我国商业银行风险管理存在如下问题:

(一) 缺乏完善的风险管理体制

良好的公司治理结构和明晰的产权制度是风险管理体制的关键所在,也是国外商业银行在风险控制和管理中的制胜法宝。发达国家商业银行都是按照严格的法律程序组建的股份制商业银行,运作规范,具有良好的公司治理结构、完善的产权制度、有效的激励机制、约束机制以及较高的风险控制和管理能力。

我国现代商业银行制度还未真正确立,现代公司治理结构也不尽完善。与之相应的是风险管理体系不够健全,实施有效的风险管理的基础比较薄弱,表现为:商业银行风险管理体制的独立性差,风险管理受外界因素干扰较多;风险管理制度缺乏系统性和操作性;风险管理队伍不强,特别缺乏精通风险管理理论和风险计量技术的专业人才等。

(二) 风险管理方法及技术水平落后

目前国际金融市场上,各种金融衍生工具层出不穷,金融创新业务在银行业务中占据着越来越大的比重。这种情况导致了金融风险与市场不确定性因素的不断增大,使银行风险管理日趋复杂。为此国际银行大量运用数理统计模型、金融工程等先进方法进行风险管理。与上述相比,我国商业银行风险的突出缺陷是重定性分析、主观性强,缺乏量化分析手段。在风险识别、度量、监测等方面客观性弱,在信用风险测量方面存在工作量过大、成本过高、外部评级资料缺乏等现实问题,在市场风险、操作风险的测量方面也存在着巨大困难。因此,把握风险管理的发展趋势,提高风险管理方法,是当前我国银行业风险管理面临的重要工作。

风险管理文化是商业银行内部控制体系的重要因素,它决定了商业银行经营管理过程中的风险观念和行为模式,渗透于银行业务的各个环节。我国商业银行在风险管理上出现问题,很大程度上不是因为缺乏风险管理系统、政策和程序,而是风险管理文化的缺失不能使这些系统、政策和程序发挥应有的作用。具体表现为:

第一,不能正确处理业务发展和风险管理的关系,在强调业务发展时往往忽视风险管理,而在强调风险管理和控制时,又通过少拓展业务来逃避风险。

第二,风险管理理念不全面,仍以信用风险管理为主,对市场风险、系统风险和操作风险重视不够。

第三,没有全员风险管理和银行业务全过程风险管理的意识,只把风险管理看作是风险控制部门的工作。

(三)会计人员素质低下

会计人员本身素质低下,不求进取。有些会计人员业务不精,法律意识不强;有的会计人员没有受过正规的教育或培训,默守陈规,不求上进,缺乏钻研业务、精益求精的精神,缺乏职业理想和敬业精神。业务知识贫乏或知识老化,专业技术水平低下,无法按照新规定开展工作,同时,由于不学法,不懂法,对会计准则、会计制度也知之甚少。所谓无知者无畏,由于他们不懂业务、不懂法,因此一些会计人员既谈不上遵纪守法,更不能依法办事了。有些会计人员缺乏职业道德。像上述所讲的第一类会计人员其本身就爱占小便宜,所以这一类会计人员势必会在经济上犯错误,尤其在建立市场经济体制的过程中,社会不良风气给会计人员职业道德造成了重要的影响。人们在追求物质利益时,个人主义、利己主义、享乐主义等不良思想逐步抬头,私欲不断膨胀,削弱了爱国主义、集体主义、全心全意为人民服务的思想,部分会计人员不顾会计行业实事求是、客观公正的道德规范。在个人利益的驱使下,不顾一切地故意伪造、变造、隐匿、毁损会计资料,他们利用职务之便监守自盗,大肆贪污、挪用公款,以满足自己的私欲,最终以身试法,甚至走向断头台。

二、会计风险控制的具体措施

(一)建立多层次会计控制体制,明确各层次会计控制的具体目标

控制系统是一个有组织的系统,根据内外部的各种变化而进行调节,使系统保持某种特定状态,从这个意义上讲,控制是一种联系与调节,是保证系统在变化着的外部条件下,完成某种目标的行为。因此,目标是控制的前提,是先决条件,也是促成内部控制的要件,没有目标,就谈不上控制。

银行有着自己的经营目标,也有着明确的内部控制目标。《加强金融机构内部控制的指导原则》中明确提出:银行机构内部控制目标是“有利于查错防弊,堵塞漏洞,消除隐患,保证业务稳健运行,确保将各种风险控制在规定的范围内,确保自身发展战略和经营目标的全面实施。”为了确保总体目标的实现,应在统一认识、明确总体目标的基础上,将目标责任层层分解、细化,确立各层次会计控制的具体目标,形成一个明确、具体、完整的目标体系;建立多层次的会计控制体制,使每个群体和个人的行为都处在他人的监督之下,同时以利于不同的人从不同的视角关注企业内控的不同方面,使内部控制目标具体化,以保证总体控制目标的实现。

(二)按照相互制约原理,建立科学的内控制度体系

内控制度是内控目标得以实现的充分必要条件。应根据人民银行《加强金融机构内部控制的指导原则》及财政部《内部会计控制规范》,按照分工牵制、授权制约原则,结合自身经营的规模和业务特点,制定科学合理的内控制度,并制定内控制度实施细则,使内控制度形成体系。

内控制度无论是单独设置还是继续在会计制度中体现,设计时均应充分考虑制度的严密性、有效性、先进性和可操作性,并充分发挥“四性”之间的能动作用。制度建设时,在思想上要树立三个观念:一是从防止业务人员工作差错为主转变为以防范银行风险为主;二是要树立信息安全观念,使计算机信息安全管理成为内部控制的关键环节;三是要有全局观念,各项制度既相对稳定,又能随环境与业务的变化能动应变,形成有机整体。

所以银行业必须严格按照会计规章制度,合理确定会计人员岗位和岗位职责,制定具有较强的实用性、针对性、可操作性和规范性的岗位操作规程,确保会计安全,无事故和案件发生。加强对会计岗位人员的工作授权。如办理银行汇票的授权、信用卡限额的授权、资金划拨的授权等,使可能的贪污犯罪现象得到有效的遏制。完整的内部会计控制制度体系至少应包括管理层次、操作层次两个方面。管理层次会计控制制度建设,应根据有关法律法规的要求,以金融企业自身业务情况为出发点,从改进经营方式的角度对会计内控制度提出要求,对会计风险进行全面防范和控制。

(三)分析重点控制环节,完善会计核算程序

会计是银行业务的基础,完善的会计核算体系、核算程序是内部控制系统的中心。要按照银行业务发展和科技进步的要求,分析核算程序中的重点控制环节,尤其对联行结算等要建立一套严密的、呈刚性约束的会计操作程序和账务处理系统,以强化会计内部控制的约束力。一方面要规范会计核算流程,提高控制技术,强化会计核算流程的硬性约束。另一方面会计核算必须严格遵守银行会计制度及支付结算办法的规定。正确使用会计科目,遵守记账规则,准确反映表内表外业务,密押、印章、凭证、账表必须严格管理,联行印押必须分管,并建立交接登记制度;各种有价单证和重要空白凭证均要设簿登记,表外核算,专人保管,严格执行会计业务操作规程。以真实、有效的凭证为依据,进行账务处理,要有账有据,当时记账、当日结账,达到账账、账款、账据、账实、账表、内外账务全部相符。正确计算存、贷款利息,合理合规地列支各项费用及税金,正确反映各项收入,确保会计核算期间数据的真实、完整。

(四)按照自律、激励与控制原则,进一步强化人员素质和行为准则

篇8

第一条 为规范和促进互联网支付业务发展,防范支付风险,保护当事人的合法权益,根据《中华人民共和国中国人民银行法》、《非金融机构支付服务管理办法》等法律制度,制定本办法。

第二条 支付机构提供互联网支付服务,适用本办法。

本办法所称支付机构是指依据中国人民银行《非金融机构支付服务管理办法》规定,取得《支付业务许可证》,获准办理互联网支付业务的非金融机构。

本办法所称互联网支付是指客户为购买特定商品或服务,通过计算机等设备,依托互联网发起支付指令,实现货币资金转移的行为。

第三条 按照支付机构提供的支付服务方式不同,互联网支付分为银行账户模式和支付账户模式。

银行账户模式是指付款人通过支付机构向开户银行提交支付指令,直接将银行账户内的货币资金转入收款人指定账户的支付方式。

支付账户模式是指付款人直接向支付机构提交支付指令,将支付账户内的货币资金转入收款人指定账户的支付方式。

第四条 支付机构开展互联网支付业务,应拥有并运营独立、安全、可靠的支付业务处理系统,该系统及其备份系统的服务器应设置在中华人民共和国境内。

第五条 支付机构应当遵循“了解你的客户”原则,建立健全和执行客户身份识别制度。

第六条 支付机构不得为客户提供账户透支、现金存取和融资服务。

第七条 支付机构应按照中国人民银行相关规定,履行反洗钱和反恐怖融资义务。

第八条 支付机构应遵循安全、效率、诚信和公平竞争的原则,为客户提供可靠、便捷的互联网支付服务,对提供互联网支付服务中获取的客户身份信息和交易信息予以保密。

第九条 支付机构开展互联网支付业务,应建立有效的业务管理制度、内部控制制度和风险管理制度。

第十条 支付机构开展互联网支付业务,应遵守相关法律制度,不得损害国家利益、社会公共利益和客户合法权益。

第二章 支付账户管理

第十一条 支付账户是指支付机构根据客户申请,为客户开立的具有记录客户资金交易和资金余额功能的电子账簿。

根据账户开立主体不同,支付账户分为单位支付账户和个人支付账户。

单位支付账户是指客户凭机关、团体、部队、企业、事业单位、其他组织等组织资质以单位名称开立的支付账户;个人支付账户是指客户凭个人身份证件以自然人名称开立的支付账户。

个体工商户凭营业执照以字号或经营者姓名开立的支付账户纳入单位支付账户管理。

第十二条 支付机构应根据审慎性原则,确定开立支付账户客户的资质。

第十三条 支付账户的开立实行实名制。支付机构对客户身份信息的真实性负责。支付机构不得为客户开立匿名、假名支付账户。

第十四条 个人客户申请开立支付账户时,支付机构应登记客户的姓名、性别、国籍、职业、住址、联系方式以及客户有效身份证件的种类、号码和有效期限等身份信息,并对客户姓名、性别、有效身份证件的种类和号码等基本身份信息的真实性进行审核。

个人支付账户单笔收付金额超过1万元,个人客户开立的所有支付账户月收付金额累计超过5万元或资金余额连续10天超过5000元的,支付机构还应留存个人客户的有效身份证件的复印件或者影印件。

第十五条 客户申请开立单位支付账户时,支付机构应登记以下基本信息:

(一)单位名称、地址、经营范围、税务登记证号码、组织机构代码(按规定无须取得税务登记证或无法取得组织机构代码证的除外);

(二)可证明该客户依法设立或者依法开展经营、社会活动的执照、证件或者文件的名称、号码和有效期限;

(三)法定代表人(负责人)和授权办理业务人员的姓名、有效身份证件的种类、号码和有效期限。

支付机构应核对单位及其法定代表人(负责人)和授权办理业务人员的有效身份证件信息,并留存其复印件或者影印件。

第十六条 支付机构为客户开立支付账户,应与客户签订书面协议。协议内容包括但不限于:

(一)支付账户的开立、使用、挂失、止付和撤销的条件;

(二)身份验证和支付授权方式;

(三)客户对支付机构核验其银行账户信息和身份信息真实性的授权;

(四)支付账户使用规则,以及违规使用的处置和责任;

(五)支付账户资金变动通知方式;

(六)发现支付账户被盗用后的通知和处置方式;

(七)客户身份信息和交易信息的保密责任;

(八)双方的其他权利和义务。

第十七条 同一客户在同一支付机构开立多个支付账户的,支付机构应采取有效措施确保多个支付账户为同名账户,且多个支付账户中登记的客户基本身份信息一致。

支付机构应为同一客户建立唯一的客户身份识别号,对该客户开立的所有支付账户进行统一管理。

第十八条 客户在同一支付机构开立的所有支付账户须关联本客户银行账户,支付账户的名称应与该客户所关联的银行账户名称一致。

支付机构应通过有效方式,对支付账户所关联的银行账户信息和客户身份信息进行核验。

个人客户向在同一支付机构开立的所有支付账户月累计充值金额合计小于1000元的,可不关联银行账户。未关联银行账户的支付账户可用于付款、接受交易退款,但不得用于收款。

第十九条 支付机构通过合理、有效方式确认客户真实身份并履行通知义务后,支付账户方可生效。按规定应关联银行账户的支付账户,支付机构应在采取有效方式验证该支付账户与银行账户为同一客户持有并至少完成一个银行账户关联后方可生效。

第二十条 客户应通过关联银行账户为支付账户充值。未关联银行账户的,可通过非关联银行账户或经中国人民银行批准的“仅限线上实名支付账户充值”的同一支付机构预付卡为支付账户充值。

通过非关联银行账户或同一支付机构预付卡充值的,同一客户的充值金额月累计不得超过1000元。通过同一支付机构预付卡充值的资金仅限用于互联网支付,不得赎回。

客户不得利用信用卡透支为支付账户充值。

第二十一条 支付机构可提供银行账户模式和支付账户模式服务。

(一)银行账户模式下,付款人银行账户向收款人银行账户或支付账户转出;

(二)支付账户模式下,付款人支付账户向收款人银行账户或支付账户转出。

第二十二条 同一客户在同一支付机构开立多个支付账户的,支付账户内的资金可互相划转。

不同支付机构的支付账户内的资金不得互相划转。

第二十三条 客户办理充值资金退回业务时,应将支付账户内的充值未用资金按照后充先退原则,原路退回至银行账户。

第二十四条 除电子商务交易付款、公用事业缴费、信用卡还款、购买特定金融产品及交易退款外,客户支付账户内的资金应通过划转关联银行账户的方式实现资金转出支付机构。

第二十五条 支付机构应提醒客户将支付账户的资金余额保持在合理水平,不得以任何形式引导、鼓励客户在支付账户存放资金。

个人客户在同一支付机构开立的所有支付账户日终资金合计余额连续10天超过5000元、单位客户在同一支付机构开立的所有支付账户日终资金合计余额连续10天超过5万元的,支付机构应及时提醒客户降低支付账户资金余额。

第二十六条 支付机构不得为任何单位或个人查询支付账户信息资料,不得随意冻结、扣划支付账户内的资金。国家法律法规另有规定或与客户另有约定的除外。

第二十七条 客户申请支付账户查询、挂失、止付、撤销的,应由本人向支付机构提出申请。支付机构应在确认客户身份后予以及时办理。

客户申请撤销支付账户的,应确认该支付账户项下所有款项均已结清。

第二十八条 客户的基本身份信息发生变更的,应及时通知支付机构,支付机构应在核实客户身份后予以更新。客户身份证件逾有效期的,支付机构应要求客户重新提供有效的身份证件信息,支付机构应予以核验,并按本办法规定留存有效身份证件的复印件或影印件。

第二十九条 客户或支付机构发现支付账户被盗用的,应按双方约定的方式和程序及时通知对方,并按约定进行处理。

第三十条 客户未遵守支付账户管理规定的,支付机构应按双方协议对支付账户的使用采取限制措施。

第三十一条 支付账户只能由本人使用,不得出租、出借支付账户。

第三章 业务管理

第三十二条 支付机构为客户提供银行账户模式服务,单笔资金金额在人民币1万元以上的,应在提供服务前要求客户登记本人的姓名、有效身份证件种类、号码和有效期限,并通过合理手段核对客户有效身份证件信息的真实性。

第三十三条 支付机构应为支付账户提供安全可靠的密码、密钥或电子签名等身份验证和支付授权方式。客户挂失或重置密码、密钥或数字证书,支付机构应在确认客户身份后予以及时办理。

第三十四条 支付机构只能为电子商务交易、公用事业缴费、信用卡还款、购买特定金融产品或经中国人民银行批准的其他业务提供互联网支付服务。

第三十五条 支付机构要求客户提供有关资料信息时,应告知客户所提供信息的使用目的和范围、安全保护措施、以及客户未提供信息或提供虚假信息的后果。

第三十六条 支付机构提供互联网支付服务,应与客户签订书面协议。协议内容包括但不限于:

(一)互联网支付业务的类型和基本规则;

(二)身份验证方式和支付授权方式;

(三)资金结算时间和方式;

(四)向客户提供交易记录的时间和方式;

(五)收费项目和标准;

(六)争议及差错处理和损害赔偿责任;

(七)服务终止的情形;

(八)双方的其他权利和义务。

第三十七条 互联网支付指令应记载下列事项:

(一)付款人名称,银行账户账号或支付账户账号;

(二)收款人名称,银行账户账号或支付账户账号;

(三)确定的金额;

(四)付款人与支付机构约定的身份验证和支付授权信息;

(五)支付指令的发起时间;

(六)业务类型;

(七)付款人的开户银行名称或开户支付机构名称;

(八)收款人的开户银行名称或开户支付机构名称;

(九)客户有效身份证件种类和号码。

欠缺记载上述前五项事项之一的,支付指令无效。

第三十八条 在支付账户模式下,支付机构应采取有效措施,在客户发出支付指令前,提示客户对支付指令的准确性进行确认。

第三十九条 客户发出的支付指令经支付机构确认后产生支付效力。

第四十条 在银行账户模式下,支付机构应及时传递、记录支付指令信息,并将结果及时通知客户。

在支付账户模式下,支付机构应在确认客户真实身份和该支付指令真实后,借记客户支付账户,记录支付指令信息,并及时将结果通知客户。

第四十一条 支付机构应建立确保支付指令被正确传递和执行的支付业务处理系统,保证支付指令的完整性、一致性和不可抵赖性。

第四十二条 由于超时、无响应或系统故障等原因无法正常处理支付指令的,支付机构应及时向客户发出提示。

第四十三条 客户发现自身未按规定操作,或由于自身其他原因造成支付指令未执行、未适当执行、延迟执行的,应在协议约定的时间内,按照约定程序和方式通知支付机构。支付机构应积极调查并告知客户调查结果。

支付机构发现因客户原因造成支付指令未执行、未适当执行、延迟执行的,应主动通知客户改正或配合客户采取补救措施。

第四十四条 支付机构应按照据实、准确和及时的原则处理差错交易,指定相应部门和人员负责互联网支付业务差错处理,并明确相关人员的操作权限和职责。

第四十五条 客户根据有关业务规则办理退款的,支付机构应将相应款项划回原发出支付指令的付款人账户。因付款人销户等原因而无法退回原账户的,可根据有关规定退回到付款人的同名银行账户或付款人在同一支付机构的同名支付账户。

第四十六条 支付机构应免费为客户提供上溯一年的支付信息查询服务。

第四十七条 支付机构调整互联网支付服务的收费项目、收费标准时,应通过有效方式提前30天通知客户。

第四十八条 支付机构提供互联网支付服务,应向客户公开披露以下信息:

(一)支付机构名称、营业地址和联系方式;

(二)所提供的互联网支付业务类型、操作规程、收费项目和收费标准;

(三)办理互联网支付业务可能产生的风险,提醒客户妥善保管密码、密钥、数字证书等警示性信息;

(四)退款规则及处理流程;

(五)争议及差错处理方法;

(六)中国人民银行规定的其他需要公开披露的信息。

第四十九条 支付机构对客户的基本信息和支付指令信息应按会计档案要求,以纸质或电子方式妥善保存,并便于调阅。

第四章 特约商户管理

第五十条 支付机构只能发展互联网特约商户。

互联网特约商户(以下简称特约商户)是指基于互联网信息系统直接向消费者销售商品或提供服务,并接受支付机构互联网支付服务完成资金结算的法人、其他组织或自然人。

支付机构负责发展特约商户、发放支付插件、处理相关交易并承担相关支付风险。

第五十二条 支付机构应在付款人确认付款的当日至迟下一工作日将相应资金转入特约商户的银行账户或支付账户。

支付机构与特约商户另行约定结算时间的,从其约定。

第五十三条 支付机构不得发展以下特约商户:

(一)非法设立的;

(二)从事非法经营活动的;

(三)商户或其法定代表人、负责人已被列入中国人民银行指定的不良信息系统的。

第五十四条 支付机构应制定特约商户审批流程和审批制度,明确审批权限,指定专人负责特约商户审批工作。特约商户审批岗位不得与特约商户拓展等相关岗位兼岗。

第五十五条 支付机构发展特约商户要落实实名制,要严格审核特约商户申请材料的真实性、完整性、有效性,并留存特约商户有效身份证件影印件或复印件。对于申请材料虚假、缺失、要素不全或不合规的,不得审批通过。

对企业单位及个体工商户应至少核验营业执照、税务登记证、单位银行结算账户开户许可证、法定代表人或负责人有效身份证件。无税务登记证的企业单位及个体工商户,应出示无需办理税务登记证的证明文件或经营期间的完税证明材料。

行政事业单位和社会团体,应至少核验组织机构代码证或事业单位法人证书、法定代表人或负责人有效身份证件。

月累计销售金额高于5万元的个人商户,支付机构应予以重点关注,必要时应采取实地调查、核验个人有效身份证件原件等更严格的风险管理措施。

第五十六条 支付机构应与特约商户直接签订收款服务协议,并将款项直接结算至双方在收款服务协议中约定的账户。支付机构和特约商户不得委托他人签约、结算。

第五十七条 支付机构应测试特约商户网店网络统一资源定位符(URL)及网络通讯地址(IP地址)的有效性和安全性,检查站点提供的商品及服务内容、服务条款是否符合国家相关法律法规规定。

第五十八条 支付机构应尊重特约商户对支付机构的自由选择权,不得干涉或变相干涉特约商户与其他支付机构的合作。

第五十九条 支付机构应按照《金融零售业务商户类别代码》(GB/T 20548-2006)正确设置商户类别码。对同时销售多种商品和服务的特约商户,支付机构应区分经营业务的类别分别设置商户类别码。对经营业务类别相互不独立、无法严格区分的特约商户,应按照其主营业务设置特约商户类别码。不同特约商户不得共用同一商户编码。

在银行账户模式下,支付机构应在客户通过其向银行机构发出的支付指令后,准确附上标识特约商户的商户名称、商户类别码(MCC)、商户编码等特约商户基本信息。

第六十条 除自然人外的特约商户应使用单位账户作为收款账户。对使用个人支付账户和个人银行结算账户作为收款账户的特约商户,信用卡交易受理、额度和使用频率等由发卡行与支付机构根据审慎原则确定。

第六十一条 支付机构应按照收款服务协议约定为特约商户提供资金结算及对账服务,妥善、及时处理互联网支付业务产生的差错和争议,保障客户资金安全。

支付机构应将交易的差错、退货资金,退回至原支付账户或银行账户,不得截留或退至其他账户。原账户已销户时,支付机构应主动联系客户或发卡机构,确保将相关款项退回本人账户。

第六十二条 支付机构应建立特约商户风险评级制度,划分商户风险等级。对风险等级较高的商户,应通过设置特约商户单笔或当日交易限额、强化交易监测、建立商户风险准备金、延迟清算等风险管理措施,防范交易风险。

第六十三条 支付机构应建立特约商户检查、评估制度。根据特约商户的风险等级,制定不同的检查、评估频率和方式,并保留相关记录。

第六十四条 支付机构不得以任何形式存储客户银行卡卡片验证码、个人标识代码(PIN)、卡片有效期以及银行交易密码,并应采取有效措施防止特约商户和外包服务机构存储银行卡卡片验证码、个人标识代码(PIN)及卡片有效期等交易验证信息。

第六十五条 支付机构为公用事业缴费、信用卡还款业务、购买特定金融产品提供货币资金代收服务的,适用本章对特约商户的管理。

第五章 风险管理

第六十六条 支付机构开展互联网支付业务采用的信息安全标准、技术标准等应符合中国人民银行关于信息安全和技术标准的有关规定。

第六十七条 支付机构为客户开立支付账户接受的备付金的存放、划转和监督,应符合《支付机构客户备付金存管暂行办法》的规定。

第六十八条 支付机构应制定全面的互联网支付风险管理制度,设立风险管理部门或岗位,。

第六十九条 支付机构应制定有效的应急计划、业务连续性计划和风险处理预案,并定期进行演练。

第七十条 支付机构应建立内部审计机制,定期对互联网支付业务及相关系统进行审计。

第七十一条 支付机构应采取有效安全措施保护支付指令及所附信息的安全传输,防止客户信息泄露、支付指令被篡改。

第七十二条 支付机构应采取必要措施确保支付信息的完整性和可靠性:

(一)制定相应的风险控制策略,防止支付业务处理系统发生危害支付交易数据完整性和可靠性的变化;

(二)防止支付信息在传送、处理、存储、使用中被非法篡改,且任何非法篡改的行为都能被及时发现并记录。

第七十三条 支付机构对客户身份信息和支付信息等信息的使用,不得超出法律许可和客户授权的范围,并应采取必要措施为客户信息保密:

(一)客户信息须以安全方式保存和传输,并防止其被擅自查看或非法截取;

(二)对客户信息的访问应经合法授权和确认,并须登记且确保该登记不被篡改。

第七十四条 除法律法规另有规定或客户书面同意外,支付机构不得向其他机构和个人提供客户信息。

第七十五条 支付机构应确保对互联网支付业务处理系统的操作人员、管理人员以及系统服务商有合理的授权控制:

(一)确保进入账户系统等核心系统所需的认证数据免遭篡改和破坏。对此类篡改都应是可侦测的,而且审计监督应能恰当地反映出这些篡改行为;

(二)对认证数据进行的任何查询、添加、删除或更改都应得到必要授权,并具有不可篡改的日志记录。日志记录按会计档案的管理要求进行保存。

第七十六条 支付机构采用电子签名方式进行客户身份认证和支付交易授权的,应由合法的第三方认证机构提供认证服务。

第七十七条 支付机构可根据有关规定将互联网支付业务的账户管理和业务处理等核心业务以外的业务外包给合法的专业化服务机构,但其对客户的义务及相应责任不因外包关系的确立而转移。

支付机构应与开展互联网支付外包业务的专业化服务机构签订协议,并确立一套综合性、持续性的程序,以管理其外包关系。

支付机构应确保与其签约的专业化服务机构不得从事或变相从事支付业务,但该机构取得相应支付业务许可的除外。

第七十八条 客户提供的身份信息和银行账户信息经多次验证仍未通过的,支付机构应予以重点关注,并暂停相关业务处理;支付机构发现银行账户信息或支付账户信息被盗取、欺诈、洗钱等风险事件的,应对客户采取暂停交易、限制账户使用等相关措施;对于涉嫌犯罪的,应立即向当地公安机关报案,同时向所在地中国人民银行分支机构报告。

第六章 监督管理

第七十九条 中国人民银行依法对支付机构互联网支付业务活动、内部控制、信息安全、风险状况等进行定期或不定期现场检查和非现场检查。

第八十条 支付机构应协助配合中国人民银行及其分支机构开展现场检查及非现场检查,定期报送互联网支付业务统计报表和相关信息。

第八十一条 互联网支付业务自律组织应制定业务自律规范,通过现场检查和非现场检查等手段,督促支付机构遵守自律规范,维护市场秩序、促进公平竞争。

第八十二条 支付机构应提前15日向所在地中国人民银行分支机构报告如下事项:

(一)向客户提供新的互联网支付业务产品和服务;

(二)新增、变更收费项目、收费标准;

(三)对客户服务规则的变更;

(四)互联网支付业务系统停运、升级换版;

(五)其他可能对客户、互联网支付市场产生重要影响的事项。

第八十三条 支付机构应建立互联网支付业务运作重大事项报告制度,及时向所在地中国人民银行分支机构报告业务经营过程中发生的风险事件。重大事项包括但不限于:

(一)发现业务系统安全存在重大隐患或发现互联网支付业务系统被恶意攻击并出现10户(含)以上客户损失;

(二)发生因支付机构原因导致客户或交易信息泄露等信息安全事件的,涉及客户数量在20户(含)以上;

(三)发现客户利用互联网支付进行洗钱、套现且涉嫌金额较大、客户较多或已移交司法机关的;

(四)因突发事件导致业务中止超过1小时的;

(五)产生司法纠纷或舆论风波可能影响声誉的。

重大事项报告不得超出案件和事件发生后48小时。

第八十四条 支付机构应建立自我评估制度,定期对本机构的互联网支付业务开展、支付业务处理系统运营、风险管理、业务外包等情况进行全面评估,并每年向所在地中国人民银行分支机构提交评估报告。

第八十五条 支付机构因机构解散、依法被撤销、被宣告破产,或经中国人民银行批准终止业务的,应自解散、被撤销、被宣告破产或被批准终止业务之日起,在大众媒体、支付机构营业场所及其网站显著位置至少公告30日以下事项:

(一)互联网支付业务终止原因;

(二)互联网支付业务终止时间;

(三)客户债权债务清算事项;

(四)中国人民银行要求公告的其他事项。

第七章 纪律与责任

第八十六条 任何单位和个人不得使用虚假资料开立支付账户,不得利用互联网支付业务从事洗钱、信用卡套现等违法犯罪活动。

第八十七条 客户应妥善保管和正确使用支付账户及其密码、密钥或数字证书。

第八十八条 支付机构应及时为客户办理互联网支付业务,不得延压客户资金。

第八十九条 支付机构未尽审核责任,为其客户开立非实名账户,并由此造成付款人损失的,由支付机构承担相应赔偿责任。

第九十条 客户有下列情形之一的,支付机构应当停止为其提供互联网支付服务:

(一)使用虚假资料开立支付账户的;

(二)利用互联网支付从事违法犯罪活动的;

(三)中国人民银行规定的其他违规情况。

第九十一条 支付机构有下列情形之一的,由中国人民银行分支机构依据《非金融机构支付服务管理办法》第四十二条予以处罚:

(一)未建立有效的业务管理制度、内部控制制度和风险管理制度的;

(二)未制定有效的应急计划、风险处理预案和内部审计机制的;

(三)未公开披露相关信息的;

(四)未及时向中国人民银行及其分支机构报送信息资料的。

第九十二条 支付机构有下列情形之一的,由中国人民银行及其分支机构依据《非金融机构支付服务管理办法》第四十三条予以处罚:

(一)未按本办法规定使用、止付、撤销支付账户或为支付账户关联非本人银行账户的;

(二)未经客户授权擅自将客户信息发送银行验证的;

(三)运营的支付业务处理系统及其备份系统的服务器未按规定设置在中华人民共和国境内的;

(四)未按本办法规定记录、保存、使用客户身份信息和支付信息的;

(五)未按本办法规定处理互联网支付业务差错的;

(六)违反本办法的其他行为。

第九十三条 支付机构未按实名制原则为客户开立支付账户和发展特约商户的,由中国人民银行及其分支机构依据《非金融机构支付服务管理办法》第四十四条予以处罚。

未取得互联网支付相关业务资质,擅自或变相开展互联网支付业务的,由中国人民银行及其分支机构责令终止其互联网支付业务;涉嫌犯罪的,依法移送公安机关立案侦查;构成犯罪的,依法追究刑事责任。

第八章 附则

第九十四条 本办法由中国人民银行负责解释和修订。

第九十五条 本办法自之日起实施。

篇9

关键词:商业银行;风险管理

中图分类号:F832.2 文献标识码:B 文章编号:1007-4392(2011)06-0030-04

银行是经营风险的特殊企业。风险管理是银行经营的永恒主题,是银行经营管理的价值源泉。风险管理能力不仅已成为银行综合竞争力的重要组成部分,也是能否长期可持续发展的关键。在风险管理战略既定的前提下,风险管理模式决定了商业银行的发展方式和运营模式。巴塞尔新资本协议及其补充协议的签定,为银行业的监管提出了明确的标准,在推动银行监管技术进步的同时,也对商业银行的风险管理提出了更高的要求,促使其由单纯的信贷风险管理模式转向信用风险、市场风险、操作风险并举,组织流程再造与技术手段创新并举的全面风险管理模式。下面,结合农业银行经营管理实际,谈一谈自己对商业银行加强全面风险管理的认识。

一、全面风险管理在银行经营管理中的地位和作用

全面风险管理是一种以先进的风险管理理念为指导,以全球的风险管理体系、全面的风险管理范围、全新的风险管理方法、全员的风险管理文化为核心的新型管理模式,涉及发展战略、公司治理、组织架构、管理流程、信息系统、企业文化等多方面的重新组合,是一项长期复杂的系统工程。全面风险管理具有全面性、全程性、全员性的特征,是商业银行的一项基础性、系统性工作。所谓全面性,主要体现在除传统信贷业务外,对信用风险、市场风险、操作风险等各种风险,对表内外、境内外、本外币等各项业务,都要纳入风险管理范围。全程性,就是风险管理要贯穿经营管理的全过程,它不只是个别部门和个别岗位的问题,而是体现在一个完整的流程中,流程中的每个环节、每个步骤都要明确相关职责。全员性,就是从董事会、高管层、监事会到每一位员工,都是风险管理的参与者,都有各自的风险管理职责。

全面风险管理在商业银行的经营管理中具有无可替代的战略意义。风险的不确定性决定了银行业的全面风险管理工作最终目的不是单纯地消灭风险,而是控制和防范风险,实现“劣势最小化、机会和利益最大化、绩效和决策最优化”。其实质作用是帮助银行把握发展的“度”。商业银行全面风险管理本质上是研究金融风险发生的规律和风险管理的技术,通过风险组合最优化,促进银行盈利模式转变和经营行为理性化,推动银行稳健运行和可持续发展,全面提升发展品质。因此,全面风险管理水平也是商业银行核心竞争力的最终体现。

二、我国商业银行风险管理与国际管理标准和实践的差距

脱胎于计划经济的中国银行业长期以来习惯依靠计划指令,忽视风险控制,直接将未经风险调整的名义收益作为业绩衡量标准和经营目标,而对风险评级、资产组合、风险缓冲等国际先进的风险管理技术缺乏了解。在过去相当长的时间里,由于对风险的认识不足,风险控制乏力,导致我国商业银行经营中业务规模快速扩张与风险过度控制不断交替的恶性循环。

以农业银行为例,近年来,为满足股改上市和完善公司治理的要求,对风险管理给予前所未有的重视,开始把风险管理融入经营管理的战略思考、流程设计、组织架构和产品服务中,推行全面风险管理,从风险管理的战略偏好、政策制度、组织体系、工具方法、企业文化等多个层面进行深层次调整转变,立足建立政策明确、责任到位、手段科学、监控全面、处置及时的全面风险管理体系。但从总体上看,与国际通行的管理标准和国际金融业的良好实践相比,农行风险管理还存在着较大的差距,主要表现为:

一是从管理理念上看,良好的风险文化尚未形成,全面风险管理理念和风险意识有待进一步增强,风险管理对业务发展的约束和引导作用尚未得到充分有效的发挥。

二是从管理机制上看,虽然设立了两级风险管理委员会和专业的管理部门,但风险管理的组织体系、工作流程、制度衔接等方面都存在缺口,全面风险管理的体系框架仍待健全。

三是从管理手段上看,风险管理的政策制度尚不完善,业务经营管理办法不能充分体现风险管理的要求,业务经营与风险管理“两张皮”矛盾还较为突出;风险计量工具在实际业务经营活动中的应用还刚刚起步,风险控制的手段还较为单一。

四是从管理队伍看,专业管理人才缺乏,风险管理队伍整体素质不高,风险管理的独立性、专业性尚未完全体现,影响对风险的真实反映和有效控制。

三、加快商业银行全面风险管理建设的建议

2010年7月,巴塞尔委员会监督委员会审议通过了关于资本和流动性的改革文件,在资本的定义、交易对手信用风险的处理、杠杆率、全球的流动性标准等四个方面形成了一致意见,对“巴塞尔资本协议II”的个别条款做了修改和妥协。新资本协议涉及的根本变革在于针对资本充足率的计量和管理建立了一整套完全有别于老协议的体系,从一定意义上讲,现在全球的银行业真正进入全面推进“巴塞尔资本协议II”的时期。

当前,我国商业银行全面风险管理体系建设仍处于起步阶段,应积极借鉴国际先进经验,结合发展实际,加快全面风险管理建设。重点要抓好以下几方面工作:

(一)明确风险管理总体目标,健全风险管理政策制度

风险管理始于经营战略和风险管理政策,服务于既定风险管理目标,将风险识别、评估计量、缓释和控制、监测、报告等活动贯穿于银行经营的全过程,以确保对风险进行有效的管理。因此,首先要制定明确的、分层次的风险管理目标,根据既定的风险偏好,通过合理的程序和一定的计量方法确定量化的总体风险容忍度和分年度的不良贷款率控制目标、扣除风险损失后的盈利目标、资产组合管理目标以及单一客户或业务流程的风险控制目标等具体的管理目标,逐步形成概念清晰、架构完整、分风险类型的偏好与相关指标体系。根据既定的风险管理战略、目标,风险管理部门要建立和完善风险管理的政策制度,形成覆盖信用、市场、操作风险识别、评估、监测、缓释、报告等各个环节的具体业务管理制度,形成职能明确、责任清晰、与业务流程相互融合、有机统一的风险管理制度体系,引导各业务条线、各部门围绕风险管理的要求进行经营管理,来确保风险管理目标的实现。

近年来,农业银行根据自身实际,先后制定出台了《风险管理政策纲要》、《风险管理体系建设规划》等一系列管理政策,明确了全行风险管理应遵循的基本原则,包括信用风险、市场风险、操作风险管理政策,以及实现风险管理目标的职责分工、工作机制、管理方法、信息系统建设和相应要求。政策纲要成为全行风险管理的根本制度、基本准则和制定业务管理办法的主要依据,据此制定和完善行业信贷政策、专业审批政策、风险分类政策、交易控制政策、行为规范政策、资本保障政策等六大类风险管理政策,基本涵盖了风险管理的主要领域。

实际工作中,落实风险管理政策最为重要的就是要把风险管理政策与业务发展、日常管理工作有机结合、有效嵌入。要做到风险管理政策与业务流程相统一,需要按照风险管理的原则和机理对业务和管理工作流程进行再造和优化,使之最终体现风险管理的要求。这也决定了全面风险管理的推行工作是一项长期的系统性工程,必须遵循自上而下、强力推进的工作原则。

(二)完善风险管理组织架构,构建有效的风险管理运行机制

独立的风险管理组织架构是风险管理战略得以落实、政策得以实施、过程得以体现的保障。要按照“关口前移、重心下垂、三道防线、层层过滤”原则,构建全面、独立、垂直的风险管理组织架构,实现前、中、后台的分离,形成职能明确、责任清晰、分工负责的风险管理组织体系,为风险管理提供组织保障。对于农业银行而言,就是要根据组织架构调整、业务流程再造的方向,结合实际,分步实施对风险管理组织架构的改造:一是在现有框架的基础上,进一步强化各级机构和部门的风险管理职责,构筑起前台业务部门、风险管理职能部门以及审计部门组成的风险管理“三道防线”。突出前台业务部门作为“第一道防线”的重要责任,着重强调各级机构负责人对风险管理的第一责任,以及每个岗位、每位员工风险管理和承担者的责任。风险管理板块是风险管理的第二道防线,重点发挥对风险进行系统性、规范化管理的作用。其中,风险管理部是全面风险管理的牵头部门,承担风险管理工作的抓总职能,主要承担全行风险管理的政策制定、风险计量、工具模型开发及风险敞口的控制等总体性、系统性、基础性工作;各条线主管部门,应根据既定的风险管理目标,专业管理措施及流程,将各类风险管理政策内嵌于经营管理的条线专业工作流程及制度要求之中,实现风险的识别、评估、计量、报告的标准化操作,真正将统一的风险管理政策落实到各个管理环节。审计监察部门是风险管理的第三道防线,履行监督评价等职责。二是全面落实风险经理制,加快实施风险经理派驻制,建立兼职的业务风险经理岗位,明确岗位职责及报告路径,强化风险管理的独立性,把风险管理渗透到全行的各项业务过程和各个操作环节,形成纵横结合、覆盖全行各业务条线、各部门的,垂直、独立的风险经理队伍。三是建立有效的风险管理运行机制,就商业银行而言,关键在于转变业务发展方式,应从过去平衡风险和收益,向平衡风险、收益和资本转变,妥善处理好资本、风险和收益之间的关系。根据资本多少和风险管理水平决定业务发展目标,构建与落实风险管理战略、政策相适应的业务运行机制。通过经济资本计量、分配和考核贯彻风险管理战略,落实资本约束要求,将经济资本、财务资源分配到最能创造价值的地方,将风险管理和业务经营紧密结合,实现“风险管理创造价值”的目标。在决策管理层面,要增强资本意识,确立资本消耗的概念,构建完善的资本管理体系,确保在危机情况下资本充足率能够保持充足合理水平;在经营层面要转变高资本消耗的经营模式,走资本集约化道路,着力提升资本配置和组合风险管理的能力,通过资本优化配置、资产合理摆布,降低资本消耗,提高资本回报水平。同时,要研究建立与之相配套的产品定价管理、资本预算管理、经营绩效评价考核等管理机制和工作流程,确保业务运行与风险管理战略目标相统一。

(三)推进以风险量化为核心的金融技术创新,改进提升风险管理手段

风险管理的基础在于对风险的有效识别和计量,从监管要求和银行业风险管理方面的实践看,注重技术创新,开发运用全面风险管理工具是有效达成风险管理既定战略及目标的必备条件。在风险识别与计量方面,巴塞尔新资本协议提供了很好的参照系,商业银行应以实施新资本协议为主线,加快建设以信用风险内评法、操作风险损失和自我评估(RCSA)、关键风险指标(KRI)、损失数据库(LED)为核心的风险量化技术体系,内嵌风险管理政策,实现风险的识别、评估、计量、报告的标准化操作,真正将统一的风险管理政策落实到各个管理环节。当前,国际银行业风险管理技术已经从量化单笔贷款风险逐渐演变到针对单笔业务和资产组合两个层面,涵盖信用、市场、操作风险计量三个角度,由单维浅度计量向模型多维深度计量方式过渡,国内各家大型银行正积极按照银监会“分类实施、分层推进、分步达标”的要求,大力推进新资本协议的实施。

截至目前,农行已经启动信用风险、市场风险及操作风险的计量模型开发工作,信用风险方面,非零售业务内部评级模型已通过监管部门验收,进入全面推行阶段,该系统在单笔资产层面对违约概率、违约损失率、违约风险暴露进行测量,开发了客户、债项、行业、区域多维度的评级模型,为业务部门细分市场、度量风险、制定标准构建了统一、清晰的操作标准。市场风险方面,以市场风险数据集市为基础,运用敞口、缺口、久期、敏感性、VaR等风险计量分析方法,开发内部计量模型。通过设置限额指标体系,设置交易授权机制,实现对业务部门的“窗口式”监控和管理。操作风险方面,同时推进操作风险高级计量法和操作风险识别与控制自我评估、关键操作风险指标、操作风险损失数据库建设。这些风险管理工具模型的开发及应用都需要以真实完整的历史数据和完善的数据处理系统做支撑。国际同业的经验表明,大多数银行在风险管理工具模型的建立过程中,70%~80%的精力消耗在数据清洗和数据结构整合方面。我国商业银行风险管理的基础数据储备不足、来源渠道不一、数据不真实且数据形式缺乏规范性,制约了风险量化管理工具的开发与应用,必须尽快建立统一的数据仓库和高效的管理信息系统,从而保证构建全面风险管理体系中所有量化研究的数据需要。要充分利用现有客户资源和历史数据,在保证信息安全的前提下,使风险管理信息系统与业务系统终端联网,实现风险管理信息的收集、整理、分析、评价、预警等生成自动化、传输网络化,尽量减少人工操作,提高信息使用效能。当前,要充分利用风险报告制度,明确相关部门报告职责、报告路径和报告时限,建立起纵横结合、有统有分、覆盖全面的报告体系,实现内部风险信息的及时共享。

篇10

关键词:创新发展理念;能力提升;检验检疫系统;经济社会;发展能力 文献标识码:A

中图分类号:F124 文章编号:1009-2374(2016)35-0245-02 DOI:10.13535/ki.11-4406/n.2016.35.120

党的第十八届中央委员会第五次全体会议强调,实现“十三五”时期发展目标,必须牢固树立并切实贯彻创新、协调、绿色、开放、共享的发展理念,其中创新发展是“十三五”时期经济结构实现战略性调整的关键驱动因素,是实现“五位一体”总体布局下全面发展的根本支撑和关键动力。对于出入境检验检疫系统而言,围绕创新发展需要大力推进简政放权、放管结合、优化服务,推动新产业新业态发展、加快实现发展动力转换,加快质量供给创新、真正发挥质量在供给侧结构性改革中的关键作用,促进经济提质增效升级。本文尝试从以下三个方面,探索提升检验检疫系统服务经济社会发展能力的各种有效途径。

1 打造服务创新检验检疫

宏观质量管理体制中,政府的质量监管包括政府的公共服务在其中起着主导性的作用。政府的公共服务本身就是总体质量的重要构成部分,只有政府公共服务质量水平的提高,也就是被服务对象,即公众满意度水平的提高,才能促进总体质量水平的提高。根据以上思路,检验检疫系统可以尝试创新工作思路,力争在简环节、优流程、转作风、提效能、强服务方面取得突破性进展:

第一,实施“多证合一”检验检疫资质登记准入改革,对企业实现“一表申请、一口受理、专窗发证”,对检验检疫内部实现部门之间“信息共享、监管互认、联动审批”。

第二,进一步落实精简行政审批权限工作,对保留的行政审批事项优化流程,实现一个窗口办理,强化对审批流程的监督,并向社会公开审批事项的受理、过程及结果。

第三,以依法行政、方便企业办事、降低行政成本为出发点,按照“服务便企利民、办事依法依规、信息公开透明、数据开放共享”的总体要求,进一步清理规范行政许可收费,对保留的中介服务实行清单管理并向社会公布。

第四,进一步推进“权力清单、责任清单”制度建设,实行动态管理,用权力清单和责任清单规范行政执法行为,做到职责法定、权责统一。积极推动职能转变,规范行政许可和审批行为,推行放管结合,优化服务,行政审批服务实现“减量化、扁平化、集约智能化”。

第五,搭建“单一窗口”数据交换主渠道,建设若干具有检验检疫制度创新和管理变革特征的新型业务应用系统,实现与地方相关信息化系统和基础信息资源数据库的互联互通和信息共享,推动地方政府加大信息化建设投入,进一步拓展数据、信息采集渠道,推进网站集约化建设,强化信息安全保障。

2 打造制度创新检验检疫

制度创新指的是新制度安排替代旧制度安排或者一个新制度安排被构造的过程,这个过程所带来的预期净收益大于预期成本。制度创新只有在这样两种情况下发生:一种情况是创新改变了潜在利润;另一种情况是创新成本的降低使安排的变迁变得合算。从内外需求来看,检验检疫系统也迫切需要通过制度创新,避免陷入僵化、保守、落后的境地,以达到跟随时展的脉搏、提升检验检疫系统服务经济社会发展能力的目的。

2.1 以重点区域、特殊领域为突破口,打造制度创新检验检疫

第一,以对台工作为突破口,深度对接福建自贸试验区、平潭综合实验区、福州新区、海丝核心区、生态文明先行示范区等中央重大战略决策,支持平潭综合实验区与福州新区联动、一体化发展,丰富涉台检验检疫领域“福建样本”的内涵,努力探索最灵活、最便捷、最宽松的福建检验检疫监管新模式。

第二,以自贸试验区为突破口,创造性地提出并形成一批叫得响、可复制、可推广、有实效的经验措施,打造检验检疫改革创新的升级版。加速通关体制机制改革,深入推进检验检疫通关一体化建设,促进科学监管与提升贸易便利化水平的协调统一,处理好监管和服务的关系,提高服务发展的质量和效益。

第三,创新对台检验检疫监管模式。围绕“风险管理、有效预防、重点监管、积极促进”的涉台检验检疫监管要求,继续探索促进对台小额贸易健康发展和便利两岸人员往来的措施和对策。在对台口岸复制推广食品农产品“源头管理、口岸验放”模式,促进两岸双向贸易发展。

第四,开展两岸检验检疫证书、认证认可结果和检测结果等电子数据的交换和互认工作,整合和分析两岸检验检疫业务信息及发展动态,为领导决策提供支持;研究将两岸检验检疫信息变成社会资源,促进信息的深入利用以及相关部门的业务协同协作。

2.2 以助推供给侧结构性改革为重点,打造创新检验检疫

第一,推行“同线同标同质”模式,提升质量供给水平。检验检疫部门可以发挥出口食品企业备案注册管理、第三方认证等质量基础保障作用,促进企业出口、内销产品在同一生产线、按相同的标准生产,使内外销产品达到同样的质量水准(即“同线同标同质”)。推行该模式,有利于改善我国消费者的生活品质,也有利于国内企业提升产品和服务质量,促进产业转型升级。

第二,开展消费品质量提升专项行动,加强消费品质量监督。围绕消费者普遍关注、反映强烈、要求迫切的突出质量问题,集中力量加以解决;开展消费品质量状况调查,运用标准、检测、认证等手段,帮助企业发现和解决产品质量提升的制约因素,培育发展消费品品牌;严厉打击消费品制假售假行为,加大消费品执法打假力度,严查彻办质量违法大案要案。

3 打造综合性创新检验检疫

综合性创新就制造业而言,是完全利用已有的技术和产品来实现创新产品,即充分利用和掌握当代现有工艺技术和市场上可提供的产品,通过剖析和研究,“综合”成为新产品。从这个角度来说,“综合就是创造”或“综合就是创新”。而综合性创新之于政府部门,则完全可以在现有技术和制度的基础上,对现有制度进行重新整合和优化,以实现创新制度建设。

3.1 在基础保障平台上实现综合性创新

推动“智慧质检”建设,准确把握“互联网思维”“智慧型监管”“大数据决策”“协同化办公”“云信息服务”这五个“智慧质检”建设的基本内容,对现有业务系统及设备设施进行整合创新、改造完善和优化升级,推动管理创新、促进职能转变:

第一,通过高新信息技术与业务的融合创新,全面探索“互联网+”在口岸出入境检验检疫“大车流、大货流、大人流”中的应用,逐步打造“智慧口岸”,构建新型智能监管模式,努力实现既在“非传统安全”威胁中确保国门安全、维护好场域安全,又在“经济新常态”形势下提升通关便利、促进外贸发展。

第二,建设和完善信息化基础设施平台暨云计算基础保障平台。整合并充分利用现有资源,实现基础设施的互联互通;依托云计算、大数据等新兴技术,建设物理基础设施支撑环境和广域网络支撑环境以及统一的云服务大平台管控中心支撑全省的核心应用。

第三,运用大数据整合信息资源应用渠道。统筹推进与检验检疫相关的基础数据、业务数据及交换数据库建设,制定完善信息资源采集、维护、共享、等相关制度和标准;完善检验检测认证、口岸检疫、原产地、通报及退运等专项数据库建设,为业务工作提供全面、及时、准确的信息资源。

第四,建立“智慧口岸”支撑体系。以ECIQ检验检疫主干系统应用为主线,整合检验检疫业务的口岸电子监管功能,建立“智慧口岸”相关的数字化、智能化、集约化支撑体系。实施“智慧质检”工程,强化大数据的分析研判,建立一套进出口商品质量安全风险预警及快速反应体系。

3.2 在监管手段上实现综合性创新

作为政府质量监管部门,在宏观质量管理中应该充分发挥其他质量监管体系,如市场质量监管体系、社会质量监管体系的作用,整合其他质量信息参与主体如质量供应方、质量需求方和质量第三方的信息渠道,综合采用现有成熟的多种技术手段,以实现质量监管手段的综合性创新:

第一,关注新业态质量监管发展动向,强化综合性创新手段。按照加快发展与完善管理相结合、有效监管与便利进出相结合的原则,突出跨境电商产品质量提升,加快提升适应新业态特点的检验监管能力;充分运用“互联网+”理念,综合运用移动互联网、云计算、大数据、物联网等手段加强质量监测和分析,服务经济发展决策和业务管理需要。

第二,综合运用现有成熟理念,积极打造全新的监管模式。打破传统法检目录束缚,着力在科学监管、依法监管和质量监管上下功夫,综合运用目前运作相对成熟的风险管理、信用管理和分类管理理念,积极探索第三方结果采信、分类差异化的监管模式,建立“登记公示+事中监管+事后追责”的第三方检验机构监管机制。

第三,集合全社会力量,健全和创新进口质量风险信息采集手段。学习借鉴欧美等发达国家和地区对于进口消费品管理的成功经验,建立健全完善的消费品投诉、举报、伤害数据收集系统,并与各级政府部门通报信息、媒体舆情信息、医院伤害报告信息、消防事故信息一起纳入质量风险信息收集范围,为创新检验监管体制奠定质量风险评估的基石。

第四,在健全质量风险信息采集基础上继续完善风险管理制度,推动进口质量管理从重产品检验向重第三方监管和监督抽查转变,构建统一的产品质量安全风险监测网络,建立联动的风险识别、评估、预警、布控、处置等风险管控和处置机制,提高产品质量安全风险预警处置能力。

参考文献

[1] 程虹.宏观质量管理[M].武汉:湖北人民出版社,2009.