时间:2023-06-15 17:04:11
导语:在工程风险评估的核心问题的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
档案信息资产是与档案信息系统有关的所有资产,包括档案信息系统的硬件、软件、数据、人员、服务及组织形象等,是有形和无形资产的总和。脆弱性是档案信息系统自身存在的技术和管理漏洞,可能被外部威胁利用,造成安全事故;威胁是外部存在的、可能导致档案信息系统发生安全事故的潜在因素。威胁、脆弱性及档案信息资产的相互影响造成档案信息系统面临安全风险,最后计算出风险值。
档案信息安全风险评估总体方法
档案信息安全风险评估的核心问题之一是风险评估方法的选择,风险评估方法包括总体方法和具体方法。总体方法是从宏观的角度确定档案信息安全风险评估大致方法,包括:风险评价标准确定方法;风险评估中资产、威胁和脆弱性的识别方法;风险评估辅助工具使用方法及风险评估管理方法等。事实上,信息安全风险评估方法经历了一个不断发展的过程,“经历了从手动评估到工具辅助评估的阶段,目前正在由技术评估到整体评估发展,由定性评估向定性和定量相结合的方向发展,由基于知识(或经验)的评估向基于模型(或标准)的评估方法发展。”。随着信息安全技术与安全管理的不断发展,目前信息安全风险评估方法已发展到基于标准的、定性与定量相结合的、借用工具辅助评估的整体评估方法。档案信息安全风险评估总体方法应采用目前最先进方法,即采用依据合适风险评估标准、定性与定量结合、借助评估工具或软件来实现不仅进行档案信息安全技术评估,而且进行档案信息安全管理评估的整体评估方法。
1 档案信息安全风险评估标准的确定
信息安全风险评估标准主要分为国际国外标准和国家标准。国际国外标准有:《ISO/IEC 13335 信息技术 IT安全管理指南》、《ISO/IEC 17799:2005信息安全管理实施指南》、《ISO/IEC27001:2005信息安全管理体系要求》、《NIST SP 800-30信息技术系统的风险管理指南》系列标准等,这些标准在国外已得到广泛使用,而我国信息安全风险评估起步较晚,在吸取国外标准且根据我国国情的基础上于2007年制定了国家标准((GB/T 20984-2007信息安全技术信息安全风险评估规范》,并在全国范围内推广。国家发展改革委员会、公安部、国家保密局于2008年了“关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技[2008]2071号)”,该文件要求国家电子政务工程建设项目(以下简称电子政务项目),应开展信息安全风险评估工作,且规定采用《GB/T 20984-2007信息安全技术信息安全风险评估规范》。档案信息系统属于电子政务系统,档案信息安全风险评估也应该采取OB/T 20984-2007标准。
2 档案信息安全风险评估需定性与定量相结合
定性分析方法是目前广泛采用的方法,需要凭借评估者的知识、经验和直觉,为风险的各个要素定级。定性分析法操作相对容易,但也可能因为分析结果过于主观性,很难完全反映安全现实情况。定量分析则对构成风险的各个要素和潜在损失水平赋予数值或货币金额,最后得出系统安全风险的量化评估结果。
定量分析方法准确,但由于信息系统风险评估是一个复杂的过程,整个信息系统又是一个庞大的系统工程,需要考虑的安全因素众多,而完全量化这些因素是不切实际的,因此完全量化评估是很难实现的。
定性与定量结合分析方法就是将风险要素的赋值和计算,根据需要分别采取定性和定量的方法,将定性分析方法和定量分析方法有机结合起来,共同完成信息安全风险评估。档案信息安全风险评估应采取定性与定量相结合的方法,在档案信息系统资产重要度、威胁分析和脆弱性分析可用定性方法,但给予赋值可采用定量方法。具体脆弱性测试软件可得出定量的数据,最后得出风险值,并判断哪些风险可接受和不可接受等。
3 档案信息安全风险评估需借用辅助评估工具
目前信息安全风险评估辅助工具的出现,改变了以往一切工作都只能手工进行的状况,这些工作包括识别重要资产、威胁和弱点发现、安全需求分析、当前安全实践分析、基于资产的风险分析和评估等。其工作量巨大,容易出现疏漏,而且有些工作如系统软硬件漏洞检测等无法用手工完成,因此目前国内外均使用相应的评估辅助工具,如漏洞检测软件和风险评估辅助软件等。档案信息安全风险评估也需借助相应的辅助工具,直接可用的是各种系统软硬件漏洞测试软件或我国依据《GB/T 20984-2007信息安全技术信息安全风险评估规范》开发的风险评估辅助软件,将来可开发专门的档案信息安全风险评估辅助工具软件。
4 档案信息安全风险评估需整体评估
信息安全风险评估不仅需进行安全技术评估,更重要的需进行安全管理等评估,我国已将信息系统等级保护作为一项安全制度,对不同等级的信息系统根据国家相关标准确定安全等级并采取该等级对应的基本安全措施,其中包括安全技术措施和安全管理措施,因此评估风险时同样需进行安全技术和安全管理的整体风险评估,档案信息安全风险评估同样如此。
档案信息安全风险评估具体方法
根据档案信息安全风险评估原理。从资产识别到风险计算,都需根据信息系统自身情况和风险评估要求选择合适的具体方法,包括:资产识别方法、威胁识别方法、脆弱性识别方法、现有措施识别法和风险计算方法等。
1 资产识别方法
档案信息资产识别是对信息资产的分类和判定其价值,因此资产识别方法包括资产分类方法和资产赋值方法。
(1)资产分类方法
在风险评估中资产分类没有严格的标准,但一般需满足:所有的资产都能找到相应的类;任何资产只能有唯一的类相对应。常用的资产分类方法有:按资产表现形式分类、按资产安全级别分类和按资产的功能分类等。
在《GB/T 20984-2007信息安全技术信息安全风险评估规范》中,对资产按其表现形式进行分类,即分为数据、软件、硬件、服务、人员及其他(主要指组织的无形资产)。这种分类方法的优点为:资产分类清晰、资产分类详细,其缺点为:资产分类与其安全属性无关、资产分类过细造成评估极其复杂,因为目前大部分风险评估
都以资产识别作为起点,一项资产面临多项威胁,—项威胁又与多项脆弱性有关,最后造成针对某一项资产的风险评估就十分复杂,缺乏实际可操作性。这种分类方法比较适合于初次风险评估单位对所有信息资产进行摸底和统计。
风险评估中资产的价值不是以资产的经济价值来衡量,所以信息资产分类应与信息资产安全要求有关,即依据信息资产对安全要求的高低进行分类,这种方法同时也满足下一环节即信息资产重要度赋值需求。任何一个档案信息资产无论是硬件、软件还是其他,其均有安全属性,在《GB/T 20984-2007信息安全技术信息安全风险评估规范》中要求:“资产价值应依据资产在保密性、完整性和可用性上的赋值等级,经过综合评定得出”。可选择每个资产在上述三个安全属性中最重要的安全属性等级作为其最后重要等级。但档案信息安全属性应该更多,除上述属性外还包括:真实性、不可否认性(抗抵赖)、可控性和可追溯性,所以可以根据档案信息的七个安全属性中最重要属性的等级作为该资产等级。
目前信息资产安全属性等级如保密性等级可分为:很高、高、中等、低、很低,因此信息资产按安全等级也可分为:很高、高、中等、低、很低,即如果此信息资产保密性等级为“中”,完整性等级为“中”,可用性等级为“低”,则取此信息资产安全等级最高的“中”级。
按信息资产安全级别分类法符合风险评估要求,因为体现了安全要求越高其资产价值越高的宗旨,在统计资产时也可按表现形式和安全等级结合的方法进行,如下表1所示。“类别”为按第一种分类方法中的类别,重要度为第二种方法中的五个等级。
但如果风险评估时按表1进行资产分类时,每个档案信息系统将具有很多资产,这样针对每一项资产进行评估的时间和精力对于评估方都难以接受。因此,在《信息安全风险评估——概念、方法和实践》一书中提出:“最好的解决办法应该是面对系统的评估”,信息资产安全等级分类的起点可以认为是系统(或子系统),这样可以在资产统计时用资产表现形式进行分类,在资产安全等级分类时按系统或子系统进行大致分类,即同一个系统或子系统中的资产的安全等级相同,这样满足了组织进行风险评估时“用最少的时间找到主要风险”的思想。
(2)资产赋值方法
由于信息资产价值与安全等级有关,因此对资产赋值应与“很高、高、中等、低、很低”相关,但这是定性的方法,结合定量方法为对应“5、4、3、2、1”五个值,同时将此值称为“资产等级重要度”。
2 威胁识别方法
(1)威胁分类方法
对档案信息系统的威胁可从表现形式、来源、动机、途径等多角度进行分类,而常用的为按来源和表现形式分类。按来源可分为:环境因素和人为因素,人为因素又分为恶意和无意两种。基于表现形式可分为:物理环境影响、软硬件故障、无作为或操作失误、管理不到位、恶意代码、越权或滥用、网络攻击、物理攻击、泄密、篡改和抵赖等。由于威胁对信息系统的破坏性极大,所以应以分类详细为宗旨,按表现形式方法分类较为合适。
(2)威胁赋值方法
威胁赋值是以威胁出现的频率为依据的,评估者应根据经验或相关统计数据进行判断,综合考虑三个方面:“以往安全事件中出现威胁频率及其频率统计,实践中检测到的威胁频率统计、近期国内外相关组织的威胁预警”。。可以对威胁出现的频率进行等级化赋值,即为:“很高、高、中等、低、很低”,相应的值为:“5、4、3、2、1”。
3 脆弱性识别方法
脆弱性的识别可以以资产为核心,针对每一项需要保护的资产,识别可能被威胁利用的弱点,同时结合已有安全控制措施,对脆弱性的严重程度进行评估。脆弱性识别时来自于信息资产的所有者、使用者,以及相关业务领域和软硬件方面的专业人员等,并对脆弱性识别途径主要有:问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。
(1)脆弱性分类方法
脆弱性一般可以分为两大类:信息资产本身脆弱性和安全控制措施不足带来的脆弱性。资产本身的脆弱性可以通过测试或漏洞扫描等途径得到,属于技术脆弱性。而安全控制措施不足的脆弱性包括技术脆弱性和管理脆弱性,管理脆弱性更容易被威胁所利用,最后造成安全事故。档案信息系统脆弱性分类最好按技术脆弱性和管理脆弱性进行。技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题,管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面。
(2)脆弱性赋值方法
根据脆弱性对资产的暴露程度(指被威胁利用后资产的损失程度),采用等级方式可对已经分类并识别的脆弱性进行赋值。如果脆弱性被威胁利用将对资产造成完全损害,则为最高等级,共分五级:“很高、高、中等、低、很低”,相应的值为:“5、4、3、2、1”。
脆弱性值(已有控制措施仍存在的脆弱性)也可称为暴露等级,将暴露等级“5、4、3、2、1”可转化为对应的暴露系数:100%、80%、60%、40%、20%,再将“脆弱性”与“资产重要度等级”联系,计算出如果脆弱性被威胁利用后发生安全事故的影响等级。
影响等级=暴露系数×资产等级重要度
4 已有控制措施识别方法
(1)识别方法
在识别脆弱性的同时应对已经采取的安全措施进行确认,然后确定安全事件发生的容易度。容易度描述的是在采取安全控制措施后威胁利用脆弱性仍可能发生安全事故的容易情况,也就是威胁的五个等级:“很高、高、中等、低、很低”,相应的取值为:“5、4、3、2、1”,“5”为最容易发生安全事故。
同时安全事件发生的可能性与已有控制措施有关,评估人员可以根据对系统的调查分析直接给在用控制措施的有效性进行赋值,赋值等级可分为0-5级,
“0”为控制措施基本有效,“5”为控制措施基本无效。
(2)安全事件可能性赋值
安全事件发生的可能性可用以下公式计算:
发生可能性=发生容易度(即威胁赋值)+控制措施
5 风险计算方法
风险计算方法有很多种,但其必须与资产安全等级、面临威胁值、脆弱性值、暴露等级值、容易度值、已有控制措施值等有关,计算出风险评估原理图中的影响等级和发生可能性值。目前一般而言风险计算公式如下:
风险=影响等级×发生可能性
综上所述,可将信息资产、面临威胁、可利用脆弱性、暴露、容易度、控制措施、影响、可能性、风险值构成表2,最终计算出风险值。下表以某数字档案馆为例,其主要分为馆内档案管理系统和电子文件中心,评估资产以子系统作为分类和赋值为起点,并只以部分威胁、脆弱性列出并计算风险。
上表中暴露等级值体现了脆弱性,容易度体现了威胁,以表2第一行为例计算档案管理系统数据泄密的风险值,过程如下:
影响等级=暴露系数×资产等级重要度=(3/5)*5=3
可能性=容易度(威胁值)+控制措施值=3+3=6
风险=影响等级×可能性=3×6=18
持续推动的等级保护
信息化技术标准委员会副主任委员崔书昆认为,在基础信息网络和重要信息系统的安全严重关系到国家安全、社会稳定以及人民群众切身利益的今天,信息安全问题已然成为事关全局的战略性问题。近年来,有关部门围绕信息安全保障体系建设,在信息安全等级保护、风险评估、标准制定、产品开发及打击各种网络违法犯罪活动等方面取得了积极进展。在这种情势下,将信息安全等级保护确定为提高国家信息安全保障能力,维护国家安全、社会稳定和公共利益的一项基本制度,是非常必要的。
可以这样理解,我国信息安全各项工作快速推进,信息安全风险评估工作和保障体系建设、信息安全管理工作、信息安全法制化和规范化建设、信息化基础设施和体系建设取得了重要的成效。特别是从2007年7月20号开始,全国重要信息系统定级工作已经开始,并在各行业、各部门、各单位的支持下,取得了丰硕的成果。
从2008年开始,公安部会同国家保密局等部门,在重要信息系统定级工作的基础之上,部署和开展深入推进信息安全等级保护工作,它主要分为三个方面:
第一,依据国家行业标准,从管理和技术两个方面,开展信息系统安全建设整改,建立并落实安全管理制度,落实安全责任制。
第二,根据等级保护标准开展风险评估、灾难备份、应急处置、安全检查等工作。
第三,对信息系统应用的一些重要单位,开展等级保护工作检查。
公安部网络安全保卫局郭启全处长说:“目前全国范围内,大规模的重要系统定级工作已经基本完成,相关资料目前集中到公安部进行管理。定级工作的主要成效是了解重要信息系统的底数,掌握国家信息安全的基本情况,为全面贯彻落实信息安全等级保护制度,推动国家信息安全保障等工作的深入发展奠定坚实的基础。同时,某些地方、企业或者单位没有完成定级工作,但会纳入到我们下一阶段的检查工作当中完成。另外,有些企业会随后逐步执行该工作,不会影响国家等级保护制度的大规模推动。”
实施等级保护,充分体现了“适度安全、保护重点”的目的,可以把国家的重要网络、重要系统挑出来,把国家有限的精力、财力投入到信息保护当中去,提高国家基础网络和重要信息系统的安全保护水平,同时提高信息安全保障工作的整体水平。
奥运留下的财富
“2008年北京奥运会的信息网络安全工作给我们留下了很多财富。”郭启全曾经说过,奥运会对我们国家的信息网络安全工作进行了一次大考。它既考验了我们国家信息网络安全的工作,同时也考验了等级保护主管部门、公安部和很多部委的行业主管部门的信息安全工作。在这次大考中,各部门均表现得很优秀。在北京奥运会期间,无论是核心网络还是信息系统,都遭受了大规模的攻击和入侵,却没有出现相关安全事故,支撑北京奥运会顺利举办,这是我国信息网络安全领域经历的考验。
实际上,奥运会取得的经验和公安部下一步等级保护工作之间存在密切的相关性。公安部和有关部委会借鉴奥运会信息安全网络经验,充分利用好奥运留下的财富,进一步开展今后的工作。
记者了解到,在北京奥运会之前,成立了以公安部牵头的包括海关、银行、广电等14个部委参加的信息网络安全指挥部。由于有了这样的指挥部,使得各项工作的落实有了一个组织保障。如果没有这个指挥部,大家各干各的,在北京奥运会期间便无法保证重要系统和网络的安全。
在2008年,国家安全的核心问题便是保障奥运的安全,奥运安全采取的第一个措施就是等级保护。郭启全介绍说:“公安部把奥运核心网络和涉及奥运会的系统都定级、备案,针对风险和重要性搞等级测评和风险评估,反复查找问题、漏洞、脆弱性和安全风险。从历史经验来看,总会有一些黑客试图攻击奥运系统。所以,在这些黑客攻击之前,我们就需要开始做严格的攻击性自测。找到问题后进行系统加固,并且是有针对性地进行加固。这种安全建设、整改、加固还有等级测评,提升了我们的系统防范能力。”
郭启全强调:“我们当时还专门针对北京奥运会提出了风险评估的指南。北京奥运会期间最大的风险是什么?其实就是来自黑客的攻击破坏,所以搞风险评估要针对最大的风险去做。举个例子,我到国家体育总局去了三次,就是研究他们的网络安全问题、网站安全问题,这就有针对性,搞等级保护、风险评估非常有针对性。这使得我们的风险找得准,漏洞找得准,问题找得准,因此相关措施就有针对性。”
2009年的新工作
中国工程院院士沈昌祥指出,目前我国信息与网络安全的防护能力还处于发展的初级阶段,有些应用系统处于不设防状态。国防科技大学的一项研究表明,我国与互联网相连的网络管理中心有95%都遭到过境内外黑客的攻击或侵入,其中银行、金融和证券机构是攻击重点。
由于奥运网络和信息系统开展了等级保护工作,并对等级保护工作的政策标准、工作环节进行了检验,所以等级保护下一步的工作部署将充分借鉴北京奥运会的经验,健全完善等级保护领导体制和协调配合机制,例如等级保护原来有些领导体制可能还要进行补充,明确重点工作对象,比如说拿三级系统作为重点工作对象。
郭启全说:“我们会严格落实责任制,认真抓好三点工作,计划三年内完成安全系统的整改工作,总的目标就是:能力提高,事故降低,等级保护制度得到落实,国家信息网络安全基本得到保障。”
开展的重点工作主要分为三个方面。第一个方面是全面开展等级保护安全建设整改工作,要建设安全设施,落实安全措施,建立并落实安全管理制度,落实责任制。第二个方面是各单位建立安全整改工作规划,完成定级系统整改规划和制定具体实施方案。第三个方面是以三级以上系统为重点,确定安全需求,制定安全方案。“当然,一些单位可能不太明白具体的操作办法,届时我们会选择有代表性的信息系统进行安全建设试点、示范,结合行业特点制定行业标准规范,按照有关工作实施的规范要求组织实施信息系统安全建设工程。”
关键词:商业银行公司治理风险管理风险审计
全面风险管理是从战略目标制定到目标实现的全过程风险管理,随着现代商业银行所承担风险的增加,商业银行内部审计关注的重点也逐渐转移到风险管理上来,当今风险审计作为一种新的审计理念,成为备受人们关注的热点。与其说银行是在经营货币的企业,不如说银行是经营风险,从风险管理中获取收益的企业。商业银行一直在利润与风险之间做着谨慎和侥幸的选择,防范和控制经营中的风险,实施全面风险管理战略,是商业银行面临的现实而紧迫的任务。作为现代商业银行的审计部门,如何由传统的合规性审计向风险预警和防范为目标的风险审计转变,合理配置有限的审计资源,提高审计效率与效益,有效发挥审计监督在防范和控制风险中的积极作用,已成为现代商业银行内部审计面临的焦点课题。
风险审计的涵义
风险审计,也称风险基础审计或者风险导向审计,它是在传统的账项基础和内部控制制度基础审计上发展起来的一种审计模式,是指审计人员在对被审单位的内部控制充分了解和评价的基础上,综合分析、判断被审计单位的风险状况及其风险程度,从而把有限的审计资源集中到高风险的审计领域,针对不同风险程度采取相应的审计对策,重点对高风险点进行实质性测试,从而伎内部审计的剩余风险降至可接受的最低水平。与账项基础审计、内部控制制度基础审计相比,风险审计关注点在于对被审单位的风险评估,其审计重心向风险评估转移,更加关注的是企业的风险管理活动一一是否建立清晰的风险管理战略、完善的管理架构、全面的风险管理过程和良好的风险管理文化,最终实现风险管理效率和价值的最大化,不但可以保证充分的审计覆盖面,而且对每一个领域都会根据其风险评价结果有不同的审计频率与深度,增强了对风险的预防控制作用,风险审计方法的重点是识另q、预防与控制风险。因此,风险审计理论的核心是从分析审计风险入手,通过建立科学的审计风险分析模型,采取定性定量分析方法,量化确定固有保证程度系数,并控制保证程度系数,确定可接受的检查风险水平,以确保审计质量。
商业银行实施风险审计方法的坝实重要牲格林斯潘曾经说过:“银行的基本职能是预测、承担和管理风险。”风险审计的本质和根本目标是促进和保障商业银行业务的稳健发展,促进商业银行树立全面的风险管理理念,坚持发展与防范风险并重;适应市场和业务需要,不断完善风险管理手段,健全风险管理体制,培育风险管理文化,提高风险管理水平,促进业务发展,目标是优化资源配置,将风险控制在商业银行可以承担的范围内,实现风险调整后的收益最大化。
(一)风险审计的理念和方法是商业银行实施全面风险管理的现实选择,进一步提升了内部审计的增值服务?风险是商业银行与生俱来的产物,存在于商业银行业务的每一个环节当中,商业银行提供金融服务的过程也是承担和控制风险的过程,因此,风险管理是商业银行永恒的主题。在现代金融领域中,能建立良好的风险管理架构和体系,对风险进行全面有效的管理,并以良好的风险定价策略实现价值增长,是影响商业银行核心竞争力的重要因素,也是实施风险审计的必然要求。国有商业银行上市后,要在提高全面风险管理能力的前提下保持持续的价值创造能力。
巴塞尔新资本协议和美国反舞弊财务报告委员会的发起组织委员会fCOSO)的《企业全面风险管理框架》将全面风险管理概括为对商业银行各个层次的业务单位和各种类型的风险进行统筹管理,这种管理要求将包含信用风险、市场风险、操作风险和其他风险的各种金融资产与资产组合,承担这些风险的各个业务单位纳入到统一的管理体系中,对各类风险依据统一的标准进行测量并加总,依据全部业务的相关性对风险进行全程的控制和管理。风险审计正是以全面评估风险为基础,从重要风险点上人手,在深入分析判断不同层面和业务单位风险状况的基础上,确定审计重点,对风险高的业务集中资源重点审计,通过评估银行风险识别的充分性、风险衡量的恰当性及风险防范的有效性,并在此基础上提出相应的改进措施和建议,直接影响商业银行经营战略的制定,确保商业银行实现业务发展、风险控制和效益增长的有机统一.
(二)采用风险审计的理论和技术、是现代商业银行审计发展的目标和方向,实现增值型审计转型需要:当前国际内审发展已进入一个以风险管理和公司治理为标志的新的发展阶段,西方的绝大部分商业银行在内部审计均采用了风险审计的理论和技术。国际审计师协会主席捷奎林?瓦格娜曾提出:“环境的变化给内部审计师带来增加价值的机会最多的领域是风险管理的公司治理。”2003年国际内部审计协会对2001年新的《内部审计实务标准》(以下简称《标准》)修改后,在内容上也自始至终都贯穿着风险审计的主导思想。
一是在对内部审计的定义中要求内部审计采用一种系统化、规范化的方法来对机构的风险管理、控制及监管过程进行评价进而提高它的效率,帮助机构实现它的目标。二是内部审计的目标要求内部审计参与风险管理。三是内部审计的工作重点要求内部审计参与风险管理。四是标准对审计计划、审计测试、审计结果、后续审计各个方面都作了和风险相关的明确规范。五是关于剩余风险,《标准》做出了在审计执行主管认为高级管理层接受的剩余风险水平对于机构来说是无法接受时就报告董事会加以解决的规定。这些规定和要求将内部审计的范围延伸到风险管理和公司治理,所以风险管理已经成为内部审计的主要工作。随着风险管理导向内部控制时代的来临,内部审计的工作重点也发行了变化,现代内部审计突破了传统的监督、鉴证、评价职能的范围,更多地介入商业银行有效的风险管理机制和健全的公司治理结构领域。
风睑审计在项代商业银行风睑管理中的作用
(一)风险审计有利于提高商业银行风险管理水平,促进风险文化建设。风险基础审计主动发现和控制各项风险,通过对商业银行业务部门进行风险评估,并按照次序排列风险,集中高风险的项目优先审计。前者试图阻止不期望的行为发生,这种事先的控制有助于阻止损失的发生;后者试图检查出不期望发生的行为,检查性的控带l目的是提供损失发生的证据。这两种类型的控制都是必要的内部控制系统,使商业银行的内控机制完善、管用。同时,风险审计关注的重点是业务过程中的每一个风险点,涉及所有员工和管理者,这样有助于形成商业银行风险文化,从而提高商业银行全面风险管理水平。
(二)风险审计有利于对风险事件的识别风险审计采用通用风险分析模板及方法,识别商业银行业务过程的风险和外部环境风险。风险审计人员运用某些分析方法,创造性地进行分析,判断管理层是否完全识别了企业的所有风险,若有遗漏的风险要提醒管理层加以考虑。
(三)风险审计有利于对风险的反应和控制。在风险反应活动中,商业银行要根据不同的风险决定要采取的策略和方法,决定是避免风险、接受风险、还是降低风险。如对有相对的风险回报的风险,商业银行可以考虑接受,但要采取控制措施,才能将风险降低到可以接受的水平,获得希望的回报。对于这部分风险,商业银行会采取减少风险、转移风险或分担风险的办法以降低商业银行承受的风险。风险审计人员的主要工作在于分析、评价风险回报的合理性、减少风险的措施的有效性、以及接受风险转移和风险分担的那一方的风险。
(四)风险审计有利于对风险信息沟通和风险管理系统的监控。在风险信息沟通活动中,商业银行的风险管理要将风险及时有效地传递给内部相关人员,以便及时采取相应的控制措施。风险审计人员可以通过评价报告系统证明风险信息被准确、及时地传递到相关人员,内部审计报告可以向董事会和审计委员会传递风险是否得到有效管理的信息。在监控活动中,商业银行要对风险管理进行持续监控,通过对内部控制系统的运行的监控和对定期检查结果及意外事项的处理结果的评价,保证商业银行对风险管理是一直有效的。风险审计人员可以通过分析环境和风险变化,检查内部控制系统是否已更新,是否能控制新的风险。还可以通过后续审计管理层对审计中发现的问题及对意外事项的处理情况,检查新的控制措施是否有效,将分析结果和建议提供给管理层以便改进控制措施。
风险审计在捕国商业银行规划与存在问题
(一)风险基础审计的法制化、制度化规范化建设的道路还很漫长。一是商业银行内部制度调整工作量大,相关业务制度和操作流程也要进行相应调整;二是支持系统建设难度大,因长期需要具备相应功能的电子化系统作支持,要求商业银行改进现有业务系统,并开发建设风险评估系统,风险评估系统的建设包括业务流程、历史数据收集、参数选择等需要大量投资和时间准备。三是短期内风险审计人员素质难以提高。风险审计人员需要精通包括审计、会计财务、法律、逻辑学、信息学、系统论、管理学等专业知识,懂得运用经济、数理、计算机等专用分析手段来预知和减少风险,每位风险审计人员达到运用自如的水准尚需时日。
(二)审计证据的较高要求增加风险审计取证的难度风险基础审计必须获取充足的、可靠的相关的证据以判断,而目前我国商业银行风险基础审计缺少可供遵循的标准和程序,且审计取证的渠道和方式多样,因此,审计人员一般都需要提高调查样本代表性和增大调查样本的方法,以增强对总体风险推断的准确性。
(三)风险审计技术手段落后,难以适应工作需要。计算机会计信息系统、信贷管理系统的广泛应用和发展,大大增强了审计的及时性,事后审计;逐步被实时审计所代替,这与针对经营全过程的风险基础审计不谋而合。在我国,商业银行审计人员大多数对计算机辅助审计不太熟悉,许多还停留在传统手工查账的基础上,在新技术面前还有些无所适从.审计手段落后,不但增加了审计难度,而且效率低、准确差,严重影响了审计作用的发挥,无法满足商业银行风险基础审计工作的需要
(四)协调配台欠缺,降低了审计结果的运用日常审计中很少利用纪检、人事及其他部门掌握的信息,审计结束后,除个别项目外一般也不与这些部门交换,致使审计成果在干部考核、任用、奖惩等方面没有发挥应有的作用,相应削弱了审计的威慑力。
我国商业银行发展和完善风险审计的对策
(一)正确认识风险基础审计在银行公司治理结构的重要作用,为风险审计的发展刨造良好的环境商业银行公司治理的核心问题是委托人(股东、投资者、管理者)如何激励和约束人(经理层)、积极有效地完成受托经营管理责任,以确保股东或投资者财富最大化。显然仅仅通过财务审计,委托人难以全面了解人是否有效履行其受托责任,而风险基础审计有利于减少信息不对称性,较为全面地提供委托人所需要的有关经营管理活动方面信息,大大遏制了“道德风险”的发生,增强了经营管理的透明度,从而达到控制和抑制“内部人控制”的目的,同时,通过风险审计可以有效地判断人的业绩和能力,评价人对受托人责任履行情况,促进人提高经营管理效率因此,风险审计是商业银行公司治理结构的重要组成部分,是完善公司治理结构的“四大基石”之一。
(二)抓紧制定风睑基蒯{计;,立则尽快完善评价标:停体系要吸收借鉴美国、英国、典等发达国家的先进经验,抓紧研究制定我国的风险基础审计准则,这是开展风险审计的当务之急。风险基础审计准则的制定要遵循“衔接”、“配套”、“务实”的原则,注意解决好前瞻与现实的矛盾,接轨与国情的矛盾。逐步探索和完善风险审计的评价标准体系,量化评价指标,为不同项目之间的比较提供依据.
(三)认真搞好风险基础审计研究,探索先进审计技术方法。先进的审计技术和方法,是提高审计效率和质量的重要保证要通过传统方法与现代信息技术的结合,加大风险审计技术的研究力度,特别要注重探索完善审计抽样、内控测评、风险评估等方面的方法和技术产。在风险审计的方法和技术的研究中,要实行科研人员与实务人员、科研与调研、审计人员与项目工程人员相结合的办法开展,以增强实用性、指导性和前瞧性。
关键词:网络安全 意识 发展趋势 防火墙
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2013)09-0171-01
当前,网络安全问题比较严峻。人们开始注重关心自己网络的安全。随着用户对网络安全意识的提高,人们已经不再仅仅满足于低层次网络平台的搭建,人们开始把更多地把精力放在如何建立或者研发相关的软件来保证自己计算机网络安全、可靠。然而,什么是计算机网络呢?简单的说计算机网络就是一种网络能够识别的、以网络协议为基础的一些应用之间比较完整的组合,但是在这个里面协议的应用本身都可能会存在一定弊端,增加网络安全的风险。当然,它还包括了对网络锁的使用的一些协议的相关的设计的问题。
1 网络的安全技术概括
网络安全技术主要分为两种。一是加密技术,这种技术是EC中使用的主要措施,这种技术能够在贸易方进行信息交换时候使用。当前,加密技术主要有对称加密和非对称加密技术两种。第二种是防火墙的技术。通常我们所说的防火墙技术是一种应用性的安全技术,这种技术主要是建立在信息的安全技术以及通信技术基础之上,普遍应用于公用、专用网络的某些互联环境当中,接入一种Internet网络是最为流行的。
从逻辑上来看,防火墙是一个分离器,也可以叫做是分离器,它能够有效地保证和控制互联网和内部网络之间安全的进行交易。此外,根据防火墙的侧重点以及防范方式的不同,将防火墙技术分为很多种,其中具有代表性的为:(1)分组过滤:这种技术能够在传输层和网络层起作用,它根基端口号和目的地址、协议的类型、分组的包头源的地址等标志,来确定其是否让数据包在此通过。当数据包(过滤逻辑)得到满足后,这些数据包相应的转发到目标出口端,其余的数据包则丢弃,没用了。(2)应用:通常也叫做网关,网关主要在应用层发挥作用,它能够阻隔网络的通信,并根据不同的应用服务来编写其专门的程序,从而有效的控制和监视应用层通信的交流。
2 网络安全技术中主要存在的缺陷
目前,人们在日常及工作中使用的网络安全技术主要是针对某个或某种网络的安全问题而设计的。因此,在某种程度上,这些网络安全技术只能够相应解决某个或某种网络安全问题,但是这些网络安全技术没有办法解决其他与之有关的问题,更别说对整个的网络系统进行有效地保护。比如说,人们网络技术中使用的访问控制以及身份认证技术,只能解决网络用户身份的确认问题,但是却无法保证用户与用户之间信息传递的安全性。
当前,随着计算机技术的不断发展,现代防火墙技术也取得了一定的发展,也能够在现有技术基础上解决一些基本的网络安全问题。但是,防火墙这种技术主要在应用层发挥作用,但是防火墙技术仍然存在许多局限性。其中,防火墙技术组最大的局限性就是防火墙技术不能够本计算机内保存放数据的安全性。当然它也存在着很多弱点:(1)这种技术不能够防范一些恶意入侵的知情者;(2)这种技术不能防御一些来自计算机内部的攻击;(3)这种防火墙不能够防御一些能够绕过防火墙的攻击;(4)这种技术不能防御来自对数据的攻击。
当然,在新的、有效的网络安全产品研发出来之前,很多用户更会选择一些主流的安全技术与防火墙等技术联合起来使用,从而保障自己的网络安全。
3 网络安全技术发展趋势
网络安全是比较复杂的,从它的概念、内容、框架等。为了保证网络安全的有效性,对于网络安全的管理必须采用相应的管理才能管理员,这样才能够有效的保证网络安全控制,从而能够有效的保证预期资源的安全。因此,网络安全的主要核心问题是建立起组织的一些安全管理的体系。而这个安全管理体系又是由许多动态安全分析的相应的过程和静态安全控制相应的措施组成。
(1)安全需求的分析。客户只有真正了解自己所需要的安全需求,才能够根据自身的需要创建一些符合自己需要的安全结构,这样客户才能够有效地保证自己的网络系统安全。
(2)安全风险的管理。安全风险的管理主要是对在安全需求的分析结果中出现的一些业务需求和安全威胁进行适当的风险评估,通过一些企业或相应组织能够接受的一些投资,来最大程度地实现网络的安全。风险评估主要为构架一些部门和组织的安全体系的结构以及制定其安全性策略提供了很多直接的相应的依据。
(3)网络环境中制定一些安全措施。根据部门和组织的风险评估和安全需求的结论,制定部门和组织的一些计算机的网络安全的相关策略。
(4)定期进行安全审核。对于安全审核,其首要任务是审核其组织的那些安全性策略是否是被其有效执行。
综上所述,网络环境是一个复杂的、多变的、各种资源能够相互共享的虚拟环境,但是这个环境又是脆弱的,这些性质都决定了网络患者中的安全隐患。随着我国计算机技术的不断发展,网络对于一个国家、一个企业而言有着举足轻重的作用。因此,在信息化社会中,如果没有安全、稳定的信息化网络,整个国家就不可能有安全的屏障。
参考文献
[1]千一男.关于计算机网络安全风险的分析与防范对策的研究[J].电脑知识与技术,2011年29期.
[关键词] 电子政务 信息安全 等级保护 风险评估
1 概述
电子政务是政府管理方式的革命,它是运用信息以及通信技术打破行政机关的组织界限,构建一个电子化的虚拟机关,使公众摆脱传统的层层关卡以及书面审核的作业方式,并依据人们的需求、人们可以获取的方式、人们要求的时间及地点等,高效快捷地向人们提供各种不同的服务选择。政府机关之间以及政府与社会各界之间也经由各种电子化渠道进行相互沟通。
电子政务的建立将使政府社会服务职能得到最大程度的发挥,但也使政府敏感信息暴露在无孔不入的网络威胁面前。由于电子政务信息网络上有相当多的政府公文在流转,其中不乏重要信息,内部网络上有着大量高度机密的数据和信息,直接涉及政府的核心政务,它关系到政府部门、各大系统乃至整个国家的利益,有的甚至涉及国家安全。因此,电子政务信息安全是制约电子政务建设与发展的首要问题和核心问题,是电子政务的职能与优势得以实现的根本前提。如果电子政务信息安全得不到保障,不仅电子政务的便利与效率无从保证,更会给国家利益带来严重威胁。
2 电子政务信息系统面临的威胁
电子政务涉及对政府机密信息和敏感政务的保护、维护公共秩序和行政监管的准确实施以及为保障社会提供公共服务的质量。电子政务作为政府有效决策、管理、服务的重要手段,必然会遇到各种敌对势力、恐怖集团、捣乱分子的破坏和攻击。尤其是,电子政务在基于互联网的网络平台上,他包括政务内网、政务外网和互联网,而互联网是一个无行政主管的全球网络,自身缺少设防,安全隐患很多,使得不法分子利用互联网进行犯罪有机可乘,这就使得基于互联网开展的电子政务应用面临着严峻的挑战。
对电子政务的安全威胁包括网上黑客入侵和犯罪、病毒泛滥和蔓延,信息间谍的潜入和窃密,网络恐怖集团的攻击和破坏,内部人员的违规和违法操作,网络系统的脆弱和瘫痪,信息安全产品的失控等,对于这些威胁,电子政务的建设和应用应引起足够警惕,采取果断的安全措施,应对这种挑战。
3 电子政务信息安全管理体系的构建
要有效维护电子政务信息系统的安全,就需要构建电子政务安全管理体系,从而使政务的信息基础设施、信息应用服务能够具有保密性、完整性、真实性和可用性。电子政务安全管理体系包括安全技术体系、安全管理体系和安全服务体系,涉及从管理到组织,从网络到数据,从法规标准到基础设施等各个方面。
3.1 加强安全技术力量是实现电子政务安全的基本方法
安全技术体系是利用技术手段实现技术层面的安全保护,是对电子政务安全防护体系的完善,包括网络安全体系、数据安全传输与存储体系,功能主要是通过各种技术手段实现技术层次的安全保护。
网络安全体系包括网闸、入侵检测、漏洞检测、外联和接入检测、补丁管理、防火墙、身份鉴别和认证、系统访问控制、网络审计等;数据安全与传输与存储体系包括数据备份恢复、PKI/CA、PMI等。整个电子政务的安全,涉及信息安全产品的全局配套和科学布置,产品选择应充分考虑产品的自和自控权。在关键技术、经营管理、生产规模、服务观念等方面,要集中人力、物力,制订相关政策,大力发展自主知识产权的计算机芯片、操作系统等信息安全技术产品,以确保关键政府部门的信息系统的网络安全。加强核心技术的自主研发,并尽快使之产品化和产业化,尤其是操作系统技术和计算机芯片技术。现阶段各地政府部门目前所选用的高端软硬件平台,很多都是国外公司的产品,这也对政务安全带来了许多隐患。因此,在构建电子政务系统的时候,在可能的情况下,我们应尽量选用国产化技术和国内公司的产品。
3.2 构建安全管理体系是电子政务安全实施的重要基础
安全管理是解决电子政务的安全问题在技术以外的另一有力保障和途径。由于安全的防范技术与破坏技术总是“势均力敌”、“相互促进”的。作为防范者就更应该在安全防范的管理上下更大的工夫。安全管理主要涉及三个方面:法律法规、安全防护体系以及等级保护政策。
3.2.1法律政策、规章制度和标准规范
电子政务的工作内容和工作流程涉及到国家秘密与核心政务,它的安全关系到国家的、国家的安全和公众利益,所以电子政务的安全实施和保障,必须以国家法规形式将其固化,形成全国共同遵守的规约。目前,世界上很多国家制定了与网络安全相关的法律法规,如英国的《官方信息保护法》等。我国虽然颁发了一些与网络安全有关的法律法规,如《计算机信息系统安全保护条例》、《计算机信息系统保密管理暂行规定》等等,但显得很零散,还缺乏关于电子政务网络安全的专门法规。此外,在完善法律法规的同时,还应该加大执法力度,严格执法,这一目标的实现不仅需要政府组织的努力,更要国家立法机构的参与和支持。
3.2.2电子政务防护体系
贯穿整个电子政务的安全防护体系,对电子政务安全实施起全面的指导作用,具体包括三个方面的内容:安全组织机构、安全人事管理、以及安全责任制度。建立安全组织机构,其目的是统一规划各级网络系统的安全、制定完善的安全策略和措施、协调各方面的安全事宜,主要职责包括制定整体安全策略、明确规章制度、落实各项安全措施实施,以及制订安全应急方案和保密信息的安全策略;安全人事管理,其主要内容包括:人事审查与录用、岗位与责任范围的确定、工作评价、人事档案管理、提升、调动与免职、基础培训等;制定和落实安全责任制度,包括系统运行维护管理制度、计算机处理控制管理制度、文档资料管理制度、操作和管理人员管理制度、机房安全管理制度、定期检查与监督制度、网络通信安全管理制度、病毒防治管理制度、安全等级保护制度、对外交流安全维护制度,以及对外合作制度等。
3.2.3等级保护制度
通过全面推行信息安全等级保护制度,逐步将信息安全等级保护制度落实到信息系统安全规划、建设、测评、运行维护和使用等各个环节,使信息安全保障状况得到基本改善。通过加强和规范信息安全等级保护管理,不断提高信息安全保障能力,为维护信息网络的安全稳定,促进信息化发展服务。
4 完善安全服务是维护电子政务安全实施的有力保障
4.1 安全等级测评和风险评估管理
电子政务信息系统安全测评服务,其实质是通过科学、规范、公正的测试和评估向被测评单位证实其信息系统的安全性能符合等级保护的要求。
由于信息安全直接涉及国家利益、安全和,政府对信息产品、信息系统安全性的测评认证要更为严格。对信息系统和信息安全技术中的核心技术,由政府直接控制,在信息安全各主管部门的支持和指导下,依托专业的职能机构提供技术支持,形成政府的行政管理与技术支持相结合、相依赖的管理体制。 风险管理是对项目风险的识别、分析和应对过程。它包括对正面事件效果的最大化及对负面事件影响的最小化。电子政务安全风险管理的主要任务是电子政务信息系统的风险评估并提出风险缓解措施,前者是识别并分析系统中的风险因素,估计可能造成的损失,后者是选择和实施安全控制,将风险降低到一个可接受的水平。
4.2 安全培训服务
根据不同层次的人才需求,社会化的信息安全人才培养体系应分为专业型教育、应用型教育和安全素养教育三个层次。专业型教育主要是培养信息安全领域的专业研发、工程技术、战略管理等方面的人才。应用型(半专业)教育则是以从事现代信息管理工作的人作为对象,培养目标是要求学生具备信息安全的基本知识、网络和信息系统安全防范技能、组织机构或系统安全管理的能力等。这种应用型的信息安全教育要求受教育对象数量要多,覆盖面要广,基本信息技能要强。通过课程、讲座、宣传等多种形式,达到让每一个人都具备必要的安全意识和常规的信息安全自我防范技术的目的。要求单位领导应具备必要信息安全意识和安全知识;信息管理人员应具备一定的信息安全知识和基本技能;从事信息服务或信息安全服务的有关人员应具备必要的信息安全知识和技术基础等。
构建安全稳定的政务信息系统,技术、管理、服务作为支撑体系的三大要素,缺一不可。只有这三方面都做好了,才能实现海西政务信息管理体系的全面提升。
参考文献:
[1] 何玲,电子政务环境下政府电子文件管理新探索[D].成都:四川大学硕士学位论文,2008.
关键词:模糊 Petri 网 信贷风险 审计预警
一、引言
近年,随着信息技术与互联网金融的高速发展,P2P网络信贷的兴起在世界范围内产生冲击。Lending Club 2007年在美国成立,七年间作为美国P2P网络信贷的领先企业,目前已经成功撮合40亿美元的借贷交易。与此同时,我国P2P网络信贷成长迅速,最新出炉的中国P2P网贷指数显示,截至2014年12月30日上午11时,全国P2P网贷平台共2 358家,其中活跃平台(纳入中国P2P网贷指数统计)1 680家。众所周知,由于网络信贷的高速成长,网络信贷企业水平参差不齐。2014全年问题企业达275家,仅2013年12月份,由于投资人撤资,行业兑付压力骤升所导致的问题企业就高达92家。网络信贷企业失败的原因总结起来,除了自身因素外,绝大部分都是由于平台内部风险控制较差,一些借款客户不能正常还款,使得贷款坏账率过高,而平台承诺投资人的收益过高,实际的优质业务很少,导致平台资金链断裂所致。因此对于网络信贷公司而言,降低信贷风险迫在眉睫。
审计作为内部控制风险管理的有力武器,查错纠弊、警示预险是其功能。随着网络信贷P2P日益迅速的发展,企业面临的信贷风险越来越多,这需要内部审计承担更多的治理和管理职能,对重要风险进行预警。由于P2P网络信贷建立在互联网数据化的基础上,网络信贷风险的审计预警应当利用网络信贷业务内部外部相关因素数据进行准确评价,将内外部风险因素传导、风险识别、预警提示等结合起来,形成量化的风险评估结果,以准确判断业务风险高低,识别风险控制重点,形成审计预警,帮助审计人员实现事前风险控制。基于此,本文针对信贷业务流程中的信贷风险因素,模拟各风险因素间的因果关系,采用 Petri 网构建信贷风险模型,计算出各风险因素之间的传导概率,从而量化描述风险因素的传导机制,帮助审计人员更好地管控风险传导过程。
二、文献综述
目前国内外对于P2P网络信贷风险的研究主要集中在对P2P网络信贷模式的探讨。P2P网络信贷属于微型金融领域,陌生人通过互联网进行借贷交易,这种模式必然存在比传统金融机构借贷模式更大的风险。如何消除互联网环境下网络信贷风险所造成的负面影响,已经成为微型金融领域研究的一项核心问题。沈良辉、陈莹认为,我国P2P网络信贷行业存在借款人信用信息识别难、借款用途真实性辨别难、借款抵押担保难等问题,而且网络信贷公司沉淀资金安全性差,网络信贷业务领域的可控性差,线上业务量少,自身特点导致的风险性也大。雷舰认为,对 P2P 行业的监管应该采取行业自律与外部监管相结合的原则,建立统一的行业准入机制,规范行业运行机制。黄叶危、齐晓雯认为P2P网络信贷存在法律缺失、平台用户使用不当、平台自身导致的风险等问题,并认为风险管理应以信用风险控制为主,建议建立共同信用评级系统。由上可见,国内外对P2P网络信贷风险的相关研究,大多为定性研究信贷风险的相关影响因素,或只是提出风险管理的建议,并没有将网络信贷的风险管理与审计预警结合起来。
从理论上讲,对金融风险的处理和控制当然是越早越好。以往,只有当借款人偿还不力时,网络信贷企业才会采取针对性的行动,但此时问题已经发生并恶化至不可收拾,这种滞后处理对充满风险的信贷行业是非常不利的,会造成巨大损失,如能建立审计预警系统,在前期就根据各笔贷款业务风险程度实施预警审计方案,将大大降低企业风险。审计预警系统是主动的控制防御,根据风险相关影响因素的因果关系,系统地进行风险评估,对高风险项目实现审计预警,风险越高的贷款项目预警越敏感,相应的审计措施越周密。如控制贷款审批将不良贷款率将至最低,调整过高的投资回报率等,以及时降低企业风险,实现企业审计风险控制。鲁爱民、孟志青认为审计预警应在明确预警、排警的前提下,结合被审计单位内外部环境状况,对公司运行的重要影响因素(包括管理机制与制度执行等)进行评价,将风险识别及信息传递、预警提示等有机结合,以保证预警系统目标的实现。国内的预警研究往往集中在危机已经发生或者危机发生后,且研究重点主要集中在定性研究,如对危机应对的建议或是对风险的评估。研究的方法也主要是分析风险相关因素的因果关系并通过图表描述,然后通过计算或者演算寻找规律从而进行预测。但是这类研究也存在一定的缺陷,即仅仅着眼于因果联系在实际应用中显然不够,还需要能够事先根据外部数据及时反应,通过定量分析,迅速得出准确的风险评价结果,有效预警。Petri网建模能够随着外界输入信息的变化作出相应的调整,及时通过风险影响因素的因果联系,准确评价风险高低,有利于审计人员事先对P2P网络信贷风险的控制,预防信贷风险造成的危害。
三、基于Petri网的审计预警系统模型
从前人各类审计预警系统的构想中不难看出,大多数设想都是基于工作流程创造的,这些按照工作流程设想的框架都缺少系统模型。在工作流的过程建模中,要求所建立的模型具有较强的描述能力,建模过程简便、直观,所建立的模型易于使用,同时还要求模型易于修改和扩充,以适应不断变化的工作环境。进一步地,模型还要求能够便于被验证,进行性能评价。Petri网作为一种描述并发系统动态行为的有力工具,能够很好地满足上述这些要求,准确描述信贷审批流程。基于此,本文在阐述P2P网络信贷审批过程的基础上,根据互联网金融企业开展网络信贷业务的经验教训,突出内外部因素在审批过程中与风险的因果关系,建立风险评价指标;给出基于模糊Petri网的评价方法,为定量评价网络信贷风险提供参考手段,为审计预警提供依据,确保互联网金融企业网络信贷风险的控制。
(一)信贷审批审计预警系统流程
简要描述:借款人提出申请并提交材料,将借款人材料信息传递给资格审核部门并进行审核,初审通过,传递相关信息进一步认证信息是否真实,根据获得信息进行风险评估,将评估结果传递到审计部门选择相应预警方案,在网上提供贷款,跟踪借款人履约情况,根据履约与否相应处理(详见图1)。
(二)建立互联网信贷风险审计预警模型
通过对互联网信贷风险因素的分析,可以看出信贷主要风险因素来自于第三方因素、互联网企业内部因素、借款人因素、贷款人因素等多个方面。并且这些风险因素之间存在着一定的关联性。例如:在第三方因素中,对申请人抵押物的评估结果,将直接影响申请人互联网信贷审批;公司内部人员工作能力也会影响贷款审核情况,处理稍有不慎,都将导致信贷风险的产生,甚至危机网络信贷企业的生存。可以说,在信贷风险环境中,大部分影响因素都存在着因果关系。这种因果关系符合模糊 Petri 网应用范围。因此,本文在互联网信贷风险模型建立过程中,主要运用模糊 Petri 网相关知识对互联网信贷风险影响因素进行图形化处理,并利用最长路径算法得到关键影响因素,直观、简便地实现对信贷风险环境中各影响因素的定量分析评价,并将信贷风险量化表达,对高风险项目提前预警,起到实现审计预警的作用。
1.基于模糊 Petri 网互联网信贷风险审计预警评价模型。根据模糊 Petri 网基本原理和对互联网信贷风险环境的分析,可以得到基于模糊 Petri 网互联网信贷风险评价模型 FPN。
2.FPN 网建立的步骤。FPN 网的构建详细过程如下:
(1)确定致因因素。详细了解互联网信贷的特征,分析导致最终事件发生的基本因素,得到互联网信贷风险致因因素含义及库所表示(详见表1)。
(2)确定中间因素。由上一步分析确定的致因因素,总结出一系列相关的信贷风险影响因素,根据相互之间的因果关系分析确定各因素在整个 Petri 网中位置,最终得到某互联网信贷风险中间因素含义及库所表示,见表2。
(3)根据互联网信贷环境的分析和FPN 中各影响因素含义及库所表示,得到互联网信贷风险模型中各命题含义(详见表 3)。
(4)确定变迁意义(见下页表4)。建立模糊 Petri 网,从最终事件分析寻找其致因因素或相关影响因素,并按因果关系进行模糊 Petri 网绘制。根据模糊 Petri 网的基本推理规则及触发规则,得到各因素及命题的结构位置及相关联事件之间的逻辑关系。依据对模型 FPN 中各影响因素分析及相关命题含义总结,绘制出基于 FPN 的互联网信贷风险模型(详见下页图 2)。
模型FPN中的相关数据:在模型 FPN 中,结合对实际情况的分析,根据模糊Petri网的理论,得出模型各因素中有数据的为 p1、p2、p3、p4、p5、p6,这些因素的模糊发生概率可以通过相关数据及分析资料得出,而其他无实测或数据、分析资料事件的模糊发生概率可根据相关推理规则及模型计算方法得出。
3.模型FPN的推理规则。
(4)规则四。IF dkTHEN dl1AND dl2AND…AND dl(CF =μi)。变迁发生后,命题 dli(j =1,2,…,l) 的真实度的值为β(pj)×μi。 如果图2基于 FPN 的互联网信贷风险模型有相一致的表示,其库所对应命题真实度的值按照该算法得出。
步骤五:pj成为已检查过的库所,重复步骤四,直至所有点都被检查为止。
步骤六:按目标库所的第一个标记反向追踪最长路径及最长路径上的所有库所,则该路径上的致因因素即为引发信贷风险的关键因素,路径长度的含义即为导致其信贷风险因素的可能性。
四、结束语
网络信贷风险防范已引起了社会越来越多的关注,随着网络信贷企业日趋成熟,而风险管理已成为网络信贷交易和整个行业发展过程中的关键所在,正确评估风险,掌握风险的特征和变动趋势,执行审计预警系统是防范和化解风险的有效途径。而防范信贷风险最关键的就是在信贷交易达成之前对风险做出正确的预测,选择相应的审计预警方案。以Petri网为工具建立的信贷风险模型可以简洁、直观地描述各风险因素之间的关系及其对信贷运作的影响,利用模糊Petri网的推理算法可以计算得出各风险因素之间的传导概率,将风险因素的传导规律量化表达,帮助互联网信贷企业详细了解风险的传导过程,有针对性地采取审计措施,为企业更有效地预测和控制信贷风险提供新的思路。在此基础上也可以灵活运用互联网信息技术,如数据挖掘、大数据技术将极大减少系统整理资料与评估的时间,提高结果准确度。这是保障信贷质量和促进行业健康持续发展的必要手段。
参考文献:
1.沈良辉,陈莹.美国P2P网贷信用风险管理经验及对我国的启示[J].征信,2014,(06):61-65.
2.雷舰.我国P2P网贷行业发展现状、问题及监管对策[J].国际金融,2014,(08):71-76.
3.马运全.P2P网络信贷的发展、风险与行为矫正[J].微型金融研究,2012,(2):46-49.
4.黄叶苊,齐晓雯.网络信贷中的风险控制[J].工作论坛,2012 ,(4):101-105.
5.孙英隽,苏颜芹.微金融的发展趋势:网络信贷[J].科技与管理,2012,(1):92-95.
6.鲁爱民,孟志青.审计预警系统的构建研究[J].会计之友,2012,(29):97-98.
7.阳洁,胡静.金融风险预警系统评价与分析[J].经济问题,1999,(05):48-51.
8.陈文夏.次贷危机对我国政府金融审计的启示――基于国家审计发挥“免疫系统”功能的思考[J].审计研究,2009,(02):22-25.
9.陈文夏.金融审计预警体系构建研究[J].审计研究,2011,(02):33-38.
关键词:房屋;征收与补偿;相关问题;政策;法律
中图分类号:DF453文献标识码: A
一、国有土地上房屋征收与补偿工作的问题
《国有土地上房屋征收与补偿条例》虽然将房屋征收工作提到了法律的高度上,但是过于宽泛,缺少落实细则。虽然《国有土地上房屋征收与补偿条例》的颁布和实施为房屋征收工作提供了法律保障,但过于宽泛,缺少具体的操作细则,使得房屋征收工作没有统一的操作行为。随着经济和形势的发展,因时而动、因地而变的情况时有发生,需要准备和提交的材料不统一,导致征收工作实施过程中,被征收人房屋证明资料不完整或自然人的情况不明确,令征收工作无法顺利、稳定地开展和完成。
《国有土地上房屋征收与补偿条例》中公共利益的范畴和外延伸缩性、弹性过大,使得部分为谋取个人利益的人有机可乘。《国有土地上房屋征收与补偿条例》虽然明确规定了征收条件是为了公共利益的需要,但在实际征收中,一些人为谋取个人私利,混淆概念,把私人建厂或开发小区等都贴上“为促进国民经济和社会发展的需要”的标签,打着“公共利益”的招牌,挂着“公共利益”的幌子,称其是符合政府纳入国民经济发展规划的项目,使公共利益的范围更加模糊,公共利益的外延更加庞大。
征收补偿不及时,公民的产权调换的回迁权缺乏有力的保障。在房屋征收过程中,一些市、县因财政资金不足或人为原因造成征收补偿不及时的现象时有发生,以致公民的产权调换的回迁权缺乏有力的保障。这样也给房屋征收工作带来了很不好的影响,使房屋征收工作很难大范围地展开,并致使后续工作无法进行。给一部分百姓造成房屋征收补偿款放在政府手里可不能放得下心,只有放在自己手里才是最可靠的的印象。征收补偿不及时现象的存在使政府失去了公信力。
征收补偿条例过分强调了行政机关的主导地位,并且缺乏有效的监督。在《国有土地上房屋征收与补偿条例》中,过分强调了行政机关的主导性,使征收的许多事项都掌控在政府的手中,缺乏有效的监督,这样就使得一些人为谋取个人私利而放弃原则和失去党性,致使暗箱操作频出,腐败滋生,使社会矛盾激化,房屋征收与补偿纠纷越来越多,越来越激烈,影响了经济的发展和社会的稳定,并且导致了不可估量的后果。
征收补偿标准的制定存在矛盾。征收工作的核心问题是补偿标准问题,这也是从拆迁时代开始,两个相对主体之间,争议最大、矛盾最突出的问题。目前的征收补偿标准较拆迁时已有大幅提高。但是作为两方争议最大的土地使用权的补偿问题仍未解决。房屋征收的目的表面上是取得房屋所有权,实质是取得国有土地使用权,这是不争的事实。现行的征收补偿政策中明确对被征收人的补偿包括被征收人房屋价值的补偿及搬迁补偿、临时安置补偿和停产停业损失补偿等,对土地使用权的补偿只字未提。但事实上大部分被征收人认为,土地使用权是房屋的附着物,如果政府不来征收,附加了土地价值的房屋,特别是城市中心地段房屋会随着地价上涨价值不断攀升,但政府征收后地产的增值部分价值就被政府或者之后摘牌的地产商侵吞了,这是明显不合理不公平的。这个问题不解决将会严重阻碍征收工作的顺利推进。
二、如何加强国有土地上房屋征收与补偿工作
1、依法征收是做好房屋征收补偿工作的前提
严格依照《征收条例》等法律法规开展征收工作,既是维护公共利益、被征收房屋所有权人合法权益的需要,又是顺利开展征收和保护征收从业人员的需要。故此,以依法征收为主线,严格执行征收条件和程序,有序地实施征收工作尤为重要。首先要符合六个征收前置条件:1.符合公共利益的需要;2.符合我市国民经济和社会发展规划;3.符合土地利用总体规划;4.符合城市规划;5.符合专项规划;6.如以保障性安居工程建设、旧城区改建名义申报,则该项目应当纳入市国民经济和社会发展年度计划。其次,征收程序要不含糊:征收申报、初步审定、调查登记、拟定方案、组织论证、征求意见、公布修改情况、组织听证、风险评估、作出决定、公告、通知停办手续一步也不能少。再次,补偿程序要到位:确定评估机构、签订评估合同、提出分户价格、公示评估结果、提供评估报告、复核评估报告、组织技术鉴定、订立补偿协议、作出补偿决定、申请强制执行、公布补偿情况、公布审计结果每个环节都要到位。
2、高位推进是做好房屋征收补偿工作的关键
房屋征收工作难度大,需要解决的问题多,只有坚强的领导作后盾才能顺利推动。在房屋征收过程中,各地主要领导亲力亲为,通过电视讲话,现场巡查,召开动员会、推进会、调度会等形式,甚至亲自挂帅包户做动迁,显现出政府的坚强决心和表率作用,有力地推动了房屋征收工作。同时,实行社会稳定风险评估。在作出房屋征收决定前,征收部门都能结合本地实际和征收项目的个性,进行社会稳定风险评估,对可能出现的风险进行识别,在征收过程中尽可能做到规避风险,征收条件不具备或风险系数高的项目实行暂缓。
3、安置到位是做好房屋征收补偿工作的后盾
为做好征收工作,各地都能多方筹措资金,做到钱不到帐、安置房不开工就不正式启动房屋征收。实行补偿款专款专用,全额拨入征收办的专户,由征收办统一把关,做到即签即付,使被征收人放心,没有“打白条”的现象。针对安置房未完工的情况,采用先给予货币补偿,待安置房建好后再购买的办法,有效地觯决了被拆迁人的后顾之忧。
安置到位还要体现公平公正。在征收的执行过程中,应严格按照政策标准,奉行公平、公正、公开,合情、合理、合法的原则,做到一碗水端平、一把尺子量到底的工作方法。严格落实拆前拆后一个样、拆大拆小一个样、拆官拆民一个样、拆富拆穷一个样、拆生拆熟一个样的征收准则,杜绝“先签约吃亏,后签约受益”、“多叫的鸟儿多吃食”、私情补偿等不公平现象的发生,从而赢得被征收户的充分信任和积极配合。安置到位还要体现优先保障,只要被征收人符合住房保障条件,就可按签约拆除先后顺序优先享受保障性住房。如玉山县七星街棚户区改造项目安置保障性住房24户,解放中路棚户区改造项目安置保障性住房5户,万年县安置保障性住房4户。
4、补偿合理是做好房屋征收补偿工作的保障
为了制定出科学合理、操作性强的征收补偿方案,则要改变往日“先结婚,后恋爱”的做法,工作人员要逐一登门入户,充分了解被征收户的房屋状况、基本要求、思想动态、家里的特殊情况等,在做到“胸有成竹”的基础上,依据相关法律法规,制定出扎根实际、便于操作的房屋征收补偿方案。如:玉山、德兴、万年、波阳等县由于充分吸纳了被征收群众合情合理的意见和建议,遵循了市场规律,补偿方案凸显出客观、公正、惠民等基本特性,为整个征收工作的顺利开展奠定了坚实基础。同时,还制定了《房屋征收补偿信息公开制度》。确保房屋征收的相关法律、法规政策常年向社会公布;房屋征收决定、房屋征收补偿方案、房屋征收补助奖励政策和标准、补偿决定在征收范围内公布;房屋调查结果、初步评估结果、分户补偿情况等能在征收范围内向被征收人及时公布。如凡是支持配合征收工作,按时完成搬迁的被征收人应当给予诸如阶段搬迁奖、快速搬迁奖、安置房公摊面积差奖等,让先搬者多受益,晚搬者少受益。做到拆官拆民一个样、拆富拆穷一个样、拆生拆熟一个样,杜绝“多叫的鸟儿多吃食”等不公平现象的发生。
5、部门配合是做好房屋征收补偿工作的靠山
在征收实施过程中,各部门各单位应牢固树立“上下一盘棋”思想,无条件服从和服务于征收工作这一大局,通力协作,切实履职。在停办业务中,工商、税务、规划、建设、房管等部门要予以配合;在房屋拆除过程中,管线、电力、自来水、城管、交警等部门要全力支持;在动迁过程中,凡是涉及到有被征收人的单位,更应全力配合,协助做通被征收人的思想工作。在房屋征收过程中,各地没有出现采取停水、停电、阻断交通等野蛮手段逼迫搬迁现象,也没有出现采取“株连式拆迁”和暴力征收的行为,没有出现贪污、截留、挪用征收补偿款的现象。故此,征收工作得到了绝大多数群众的支持和理解,没有发生因征收而引起的群体和恶性事件,没有出现被征收人赴省进京上访的现象,也没有申请过人民法院实施强制执行的情况,房屋征收工作中没有出现违法违规案件。
结束语
随着经济的快速发展,城市进程的步伐也不断加快,在国有土地上的房屋征收变得越来越频繁。房屋征收工作的开展为城市的发展开拓了道路。房屋征收工作涉及的范围广,人数多,涉及到不同的利益主体,并且都牵扯到百姓的切身利益,因此房屋征收与补偿工作已经成为政府工作的重点之一。房屋征收与补偿工作要以法律为依据,积极开展和完善房屋征收与补偿工作,使房屋征收与补偿工作为城市发展提供良好的社会环境。
参考文献
[1]刘禹.国有土地上房屋征收与补偿中的财产权保护研究[D].辽宁大学,2013.
[2]何江南.国有土地上房屋征收决定程序[D].中国社会科学院研究生院,2013.
关键词:模糊评判法 煤矿风险等级 商业保险费率 浮动费率
0 引言
商业保险业与煤矿安全生产工作相结合,保险机构主动介入工伤预防,是国外的一条成功经验。保险业发育比较成熟的两个代表性国家是德国和日本。在我国,商业保险的产品还没有真正进入煤炭领域,煤矿一旦发生事故基本是政府买单。我国虽然强制推行了工伤保险制度,但事故的赔付非常低,事故伤亡人员及其相关方得不到根本保障,煤炭生产企业仍旧存在非常高的风险。商业保险进入煤炭领域可以很好地解决这些问题。商业保险进入煤炭领域,必须探讨一种有关煤矿安全生产的综合量化指标与费率浮动之间的科学系数关系,即建立煤炭领域商业保险费率制度,商业保险对安全生产的促进作用才能真正发挥出来。目前,我国有各类性质的煤矿一万多家,其自然条件、地质条件、开采技术条件、装备水平、灾害类型、管理水平等千差万别,其风险水平不一,风险的大小没有一个可靠的评估方法,灾害后果的严重程度无法准确预测。煤矿生产系统是一个由人-机-环境构成的复杂系统,影响煤矿工伤风险的因素错综复杂,各个因素之间相互关联,相互影响,是典型的灰色模糊系统,所以可以考虑运用模糊综合评判方法对煤矿工伤风险综合评价。
1 模糊综合评判方法
煤矿开采系统是由人员管理、机械设备和地质条件等组成的。影响矿井安全的因素众多,大部分评价指标具有不确定性、模糊性,难以进行准确的定量分析和评价。而且,煤矿开采涉及的因素较多,包括开采、通风、地质、机械、人员培训等,这些因素往往相互影响,相互制约。众所周知,要评价一件由单因素确定的事物是比较容易的,但如果涉及的因素多了,就会出现从这个因素出发对它做出一种判断,而从另一种因素出发又可以对它做出另一种判定的局面,这样就产生一个综合各方面因素做出一个更接近实际的综合评判的问题,这就是综合评判方法。模糊评价是利用模糊数学的基本理论来将模糊信息定量化,它合理地选择因素域值,再利用传统数学方法对多因素进行定量评价,从而科学地得出评价结论,该评价方法的优点在于不会忽略因素在程度上的差异[1]。进行模糊评价的过程是首先要建立影响评价因素集,并对各因素赋予相应的权数,然后由评价者建立评价集并对各因素进行评价,从而得出评价矩阵。最后由相应的权数与评价矩阵计算形成系统隶属度,按最大隶属度原则从评判级中确定系统的安全等级。模糊综合评判决策的具体方法与步骤如下:①建立综合评价的因素集。因素集是以影响评价对象各种因素为元素所组成的集合,用U来表示,即U={u1,u2,…un}为n种因素(或指标)。②确定因素权重。由于各种因素所处地位不同,作用也不一样,可用权重A={a1,a2,…an}来描述。③建立综合评价的评价集。评价集是评价者对评价对象可能做出的各种结果所组成的集合,用V表示,即V={v1,v2,…vm}为m种评判(或等级)。④建立模糊综合评判矩阵。用rij(0≤rij≤1)表示vj对因素ui所作的评判,得到模糊综合评判矩阵R=(rij)n×m。⑤建立综合评价模型。确定R、A之后,通过变换得到B=A°R=(b1,b2,…bm),它是V上的一个模糊子集。其中,“°”为综合评价合成算子。⑥确定系统总得分及评价安全状况。综合评价模型确定以后,可得出系统总得分。根据系统总得分,对照安全等级表就可以评价出安全状况。
2 煤矿安全风险综合评价指标体系
评价指标是风险评价的核心问题,不同的指标体系结构就会得出不同的评价结论。矿井安全风险评价中,并非评价指标越多越好,关键是评价指标在评价中所起作用的大小。结合影响煤矿安全的风险因素分析以及企业运行的实践,严格按照煤矿安全风险指标体系的设计步骤和流程,将该指标体系分为自然地质条件及环境指标体系、人员素质及人身伤害情况指标体系、安全综合管理指标体系和安全技术及措施指标体系四大体系。该指标体系能反映煤矿生产系统的所有主要影响因素,也能适应评价模型的需要,而且所有的定性指标和定量指标可量化。
煤矿风险综合评价指标体系见图1。其中,各指标的权重采用层次分析法(AHP)确定。
3 煤矿安全风险等级及煤矿商业保险费率制度
对煤矿个体而言,安全事故具有偶发性,若仅根据过去一至三年的事故发生率或工伤保险赔付情况,难以准确测算未来事故发生率或工伤保险赔付情况,从而难以进一步确定合理的浮动费率。若综合考虑其它相对稳定的影响因素,如地质条件、机械化程度、管理水平等,对煤矿进行工伤风险综合评价,再根据综合评价的结果结合往年工伤保险赔付情况来确定各个煤矿浮动费率,将更全面。
3.1 煤矿安全风险等级的确定 采用模糊综合评判方法,对煤矿的安全风险进行综合评价,根据综合评价量化结果确定煤矿风险等级,得分越多,煤矿的风险越小,反之,风险越大。煤矿安全风险分级见表1。
3.2 煤矿商业保险费率制度 按照高风险高费率的原则,商业保险公司根据表1中煤矿安全风险等级的划分结果,一一对应地制定科学的费率标准,风险等级高的煤矿执行高费率标准,风险等级低的煤矿执行低费率标准,形成有别于其他行业的商业保险费率制度。同时,商业保险公司要建立一整套科学的煤矿安全绩效考核机制,确定上浮或下调费率的条件和调整幅度,与煤矿商业保险费率制度配套使用。商业保险公司在对煤矿出售保险产品前,首先对煤矿进行风险等级评估,根据评估结果结合煤矿安全生产绩效调查结果,综合确定煤矿首次执行的保险费率标准。对于浮动费率,借鉴国外商业保险费率浮动经验,根据煤矿企业安全风险评价等级进行划档,70分以上的降低费率,60-70之间的不变,60分以下的提高费率。发达国家保险费率浮动范围一般在10%至40%之间,根据我国目前安全生产状况还远远落后于这些国家的国情,为了促使企业更加注意安全、减少生产安全事故,可以将浮动范围扩大到50%。
4 实证分析
本文选取了长春羊草煤业股份有限公司二井作为煤矿安全风险综合评价研究的实例。
4.1 煤矿概况 长春羊草煤业股份有限公司二井,核定能力90万t/a。斜井开拓,两段主副井筒为矿井辅助提升,东侧的两段大倾角皮带井为矿井主提升。现生产水平标高为-220m~-140m,东西两翼各有一个炮采工作面,05年产量48.5万t。平均走向长415m,平均倾斜长70m。上部为采空区,其余均为实体煤。羊草矿为高瓦斯矿井,相对瓦斯量10.83m3/t。矿井涌水量15m3/h,雨季时矿井涌水量最大可达30m3/h。本采区无钻孔通过,与地面无水力联系,地表也无导水裂隙。
4.2 安全风险评价因素集确定 本文数据来自该矿的调查数据,是由专家组(共4人)进行调研,对各种因素进行独自评测,然后得出结果,安全技术及措施评判结果如表2。其他指标类似。
5 结论
①根据国外的经验,商业保险产品进入煤炭生产领域,保险公司参与煤矿安全生产的监督与管理工作,有利于实现煤矿安全生产形势的根本好转。商业保险的事故赔付可以保障相关人员的利益,降低企业的生产风险,减轻国家的经济和管理负担。②商业保险产品进入煤炭生产领域,必须建立科学的煤矿风险评估体系和煤矿安全绩效考核体系,以降低商业保险公司的经营风险。③科学合理的煤矿商业保险费率制度和浮动费率机制,有利于催进煤矿法制化、标准化、机械化等建设工作的发展。
参考文献:
[1]李炎杰.我国实施煤矿业强制雇主责任保险的必要性及可行性研究[D].东北财经大学,2007.
[2]梁美健,杨光.保险业介入煤矿安全生产需解决的几个问题[J].煤矿安全,2006.
[3]徐然.商业保险在煤炭业中发展问题的探讨[J].金融与投资,2010,8.
[4]孟超.浅谈构建煤矿本质安全管理体系的思考[J].神华科技,2010,2.
[5]徐桂香.煤矿工伤保险的现状分析[J].产业经济,2010,7.
[6]蔡和平.中德工伤保险法律制度比较研究[D].北京大学,1996.
[7]刘仲力.发展我国工程保险的对策研究[D].天津财经大学,2008.
[8]王文.工伤保险实行差别费率和费率浮动的设想[J].中国劳动,2003(2):15~16.
基金项目:
北京市职业院校教师素质提高工程资助项目(Funding Project of Competence Development Program for Beijing VET Teachers)。
作者简介:
内部控制工作是最高管理层为保证经营目标的实现而制定并实施的,对银行内部各部门与人员相互制约和协调的一系列制度、措施、程序和方法。根据巴塞尔协议《有效银行监管的核心原则》,银行内部控制主要包括三个方面的内容:(1)组织结构(职责的界定、审批权限的分离和决策程序);(2)会计规则(对账、月季报告、定期试算等);(3)“双人原则”(不同职责的分离、交叉核对、资产双重控制和双人签字等)。随着我国经济和金融逐步融入国际大环境,这些规范的推行对于强化金融企业内部监督,整顿和规范行业秩序,都有着十分重要的意义。企业内部控制制度划分为内部管理控制制度与内部会计控制制度两大类。纵观国内外,无论金融企业还是其他企业,财务会计工作一直是内部控制工作的一个非常重要的环节,本文将就如何进一步完善银行财会工作内部控制工作谈几点看法。
一、银行财务会计内控工作的难点
财务会计内部控制工作是财会人员根据制度和授权对本单位财务会计行为进行规范和制约的过程。有效的财会内部控制工作应该达到以下标准:其一,控制触角摄入企业经营的各个环节和各个方面,不留下控制死角,即企业的各项经营管理活动均应纳入财务会计控制范围,用规范的会计语言核算、反映;其二,事权划分明确具体,具有很强的操作性,即财会内部控制工作作为企业内控工作的关键环节能真正成为企业管理者的行为规范,操作性强;其三,控制程序规范,过程控制受到特别重视,即财会内部控制要形成科学的机制,尤其是把对经营管理过程的控制放在突出的地位,通过控制,能防患于未然;其四,具有良好的控制效果,财会内部控制的功能得到有效发挥。
而从目前银行财会内部控制工作的实际操作来看,要达到上述标准,实施有效的内部控制,必须研究和解决以下四个问题:
(一)如何把握授权的度
事物变化的一般规律是由量变到质变。在这里“量”上的度起决定作用,当量的变化到了极限时,必然引起质的变化。内部控制制度的度量界定也就成为实践中的一个难点。对于银行负责人,既要保证其经营决策的相对独立性和权威性,又要保证其经济行为的效益性和廉洁性,权力的度量界定是关键一环。授权宽泛、权力过大,且控制不力,必然带来管理上的漏洞,内部控制制度的效能不能得到有效发挥。因此,对内部控制执行人员的授权也有“度”的问题,对不同的控制环节要有不同权力授予,才能使内部控制制度有效运行。
(二)如何提高被控对象的受控度
有效的内部控制制度是对企业经营的现在所有环节和从事经营管理活动的所有个人实施全方位控制。这里就存在一个控制与反控制的问题。控制过松,内控工作形同虚设;控制过严,必然带来受控对象的反作用力。提高被控对象的受控度显然成为了内部控制制度实施中的难点。一般而言,内部控制的对象是企业的权力操纵者,是对权力操纵者的权力约束,也是对权力操纵者之间的权力制衡。这种独特的控制对象决定了提高受控度的艰巨性,提高被控对象的受控度关键有三点:一是内部控制制度的科学性;二是主要决策者的受控程度是重点;三是要营造一个健康积极的内控工作环境,提高被控对象接受监督的自觉性。
(三)如何规范内部控制工作
提起内部控制制度,人们往往想起会计工作岗位在设置上管钱的不管账,管报销的不管稽核等。其实内部控制制度内容极为丰富,涉及到企业经营管理的所有方面和所有环节。对于一个复杂系统工程的控制,不能靠人治,也不能靠简单的出纳控制、财务管理来实现目标,而要靠一套科学规范的内部控制制度,用制度来规范管理者的行为,让管理者在从事经营管理活动中,知道干什么、怎么干,按照规定的程序来完成工作任务、接受规定的控制管理。这里的重点是管理人员针对企业不同的经营管理活动制定出具体的标准,而要完成这个任务,就要有丰富的知 识、超前的意识、广阔的视野和扎实的作风,这无疑又是一个难点。
(四)如何提高控制人员的熟练程度
财务会计控制是企业内部控制制度的中心,承担内部控制职责的主要是财会人员。因此,财会人员要能真正担当起内部控制的重任,更新知识、提高操作能力就显得刻不容缓。
二、进一步加强银行财务会计内部控制工作的几点建议
银行的财务会计工作必须紧紧围绕中心工作开展,为中心工作服务。财会内部控制工作应在防范风险的前提下对业务工作的开展起积极的推动和促进作用。针对银行财务会计内控工作存在的问题及难点,内控工作的改革应从以下几个方面着手。
(一)从制度上明确规范财务会计工作的职责、程序和操作方法
制度是财会工作者的“圣经”,程序是财会工作的生命线。没有科学、规范的财务会计规章制度,做好内控工作无异于无源之水,无本之木。大多数银行已制定了比较系统的财务会计规章制度,但就现有的制度来看,仍需进一步完善:(1)内部组织机构。它是银行各项业务活动计划、实施和控制的组织基础,其核心问题是合理的职责分工;(2)进一步规范财务会计岗位设置,完善内部牵制制度。明确与经济业务事项和会计事项有关的人员职责,实行岗位分离,相互制约,保证财务会计内部控制制度有效实施;(3)重大的对外投资、资产的处置、资金的调度和其他重要的经济业务事项的决策和执行应有明确的相互监督、相互制约的程序。应做到决策透明,流程公开,招标投标公平公正,从源头上堵塞漏洞;加强对实物固定资产的管理,明确规定财产清查盘点制度。进一步完善实物资产购置、入库、领用制度,完善固定资产报废、核销程序,坚持固定资产永续盘存办法核对账实;(4)制定统一的会计凭证规范,进一步完善会计档案整理、装订、归档程序,保证会计凭证和会计记录的完整性。
(二)控点与控面相结合,重视流程管理
点是割裂的,是局部;而面则是连续的,是系统,是整体。通过对各个财务会计业务风险点的控制固然可以明确责任,加强自律,提高核算质量,而加强流程管理则可以从更加广泛的角度使内控制度相互衔接又相互制约的作用得以充分发挥。许多银行现已投入使用的经费会计核算系统(如NC)已基本实现了点面结合,流程管理的作用非常明显,而业务会计核算系统需要尽快进行升级改造,并与其他业务管理系统整合。
(三)强化和规范计算机系统在财务会计内控工作中的作用
电算化可以大大提高会计工作效率和水平,减少手工操作的随意性。对电算化系统的管理是会计系统安全、正常运行的前提。要明确系统管理人员、维护人员不得兼任出纳、会计工作;任何人不得利用工具软件直接对数据库进行操作;程序设计人员还应对数据库采用加密技术进行处理;严格按会计电算化系统的设计要求配置人员,健全数据输入、修改、审核等内部控制制度,保障系统设计的处理流程不走样变型。
(四)建立内部风险评估、监测和快速反应系统
银行要针对经营中存在的高风险业务,如资金业务、债券交易、项目开发、信贷管理等方面建立风险评价和监测机制。对每笔贷款、拆借、投资、外汇交易以及业务活动中涉及的不同交易对象、部门、行业、地区和国家,在开展业务之前,都应当事先测定风险指标或比率:对业务发生后的风险状况要进行追踪。健全风险信息反馈、评估机制,管理层要能够随时掌握自己所面临的风险情况及可能的风险损失,对可能面临的风险种类、内容、风险程度、风险发生等制定反应预案。
(五)相对保持财会机构、人员、制度的稳定性
近年来,银行多次变更会计核算系统和内设机构,会计力量严重不足且流动性大,会计政策连贯性差,银行会计人员疲于应付,财务会计内控工作的效能没有得到充分发挥。在银行改革取得阶段性成果后,应相对保持财会机构、人员、制度的稳定性,避免因改革频繁而增加成本,效率下降。
(六)加强财务会计工作的业务交流,切实重视财会人员知识的学习和更新,进一步提高财会人员的职业道德修养
会计人员自身素质是影响实施会计内部监督制度的重要因素:通过“他控”和“自控”,促使职业会计人员进一步树立并增强正确的会计职业良心和职业责任感,进而达到会计职业道德不断完善与升华的一种状态。从某种意义上而言,内部会计控制的过程,也是会计职业道德的自律过程。职业道德要求会计人员具有客观、公正、严谨的工作态度,敢于坚持原则和勇于执法、守法、护法,但会计人员是在复杂的会计环境下工作的,现实使会计人员常常面临非常尴尬的处境,这客观上也制约了财会人员在内部控制工作中的作用,因此,法律意识和职业道德培养问题是一项长期的、艰巨复杂的系统工程,对会计内部监督制度的有效实施非常重要,应常抓不懈,高度重视。