时间:2023-09-13 17:13:42
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇信息安全风险管理制度,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
一、构建专业风险管理框架
1、公司成立负责风险管控的专业部门(如风险管理委员会),明确风险管理委员会及各专业委员会,风险管控部、各渠道部门,后援部门和资源部门等在风险管理工作中的角色及工作职责,通过不断修订和完善风险管理制度、流程、加强分公司风险管理体系建设,保证风险管理目标的实现。
2、公司各部门结合部门的风险类别,建立并完善相应的内部控制制度,实现风险管理的制度化,标准化,推动分公司风险管理制度建设。各部门要通过对日常业务进行风险监控,收集风险管理信息,对风险点提出整改建议并及时报送风险管控部。依据风险管控部下发的风险管理建议书完成整改。
4、公司明确将风险管理纳入各部门日常经营的各个环节,各部门负责人为本部门风险管理第一责任人,对于违反相关内容的部门和个人,依据公司下发的规定结合自身的实际情况,给予追究和处罚。
二、公司各部门有效配合风险管理工作
1、风险管控部牵头组织,定期收集整理各部门上报的各类风险信息,以及外部监管信息,通过分析汇总,由公司风险管理委员会审批后发放至各部门遵照执行。该部在年度风险识别和评估的基础上,对“内险分类标准”、“内险识别和评估方法”不断进行补充和完善,建立公司风险管理库。制定年度计划,组织开展风险排查和制度执行检查工作,对各部门、各机构的风险管理和内控合规效果进行评估,对需要整改的事项下达风险管理建议书。风险管控部年中、年末组织召开风险管控工作建议,总结公司风险管控工作开展情况,并提出改进建议上报风险管理委员会。
2、人力资源部负责建立绩效考核制度,对各级管理人员的考核,薪酬、奖惩、晋升等决定与风险管理和内控合规成效相挂钩。配合风险管控部每月定期组织开展风险排查和内部审计检查工作,对检查中发现的各级人员的违规情况报备人力资源部,人力资源部记入人员档案并纳入各层级绩效考核。
3、计划财务部根据下发的会计制度进行日常会计处理;依据预算体系,完成预算的编制、执行、调整、分析与考核的工作;建立财产日常管理制度和定期清查制度,确保财产安全,配合风险管控部进行财务数据相关调查。
4、销售管理工作由营销业务部,培训部、银行业务部、团体业务部、健康保险部、保费部、财富管理业务部、各机构共同完成,主要负责建立并保持书面程序,对销售人员的甄选、签约、薪酬、考核、档案、品质管理、宣传材料管理等进行控制;定期对销售人员进行专业培训和职业道德教育,建立销售人员失信惩戒机制;对于销售过程中已识别的风险,建立并保持控制程序;执行公司的风险管理制度。
5、运营管理部和法人运营部主要负责核保核赔,单证管理及保全管理,建立明确有核保,核赔标准,实施权责明确、分级授权,相互制约,规范操作的承保理赔管理机制;明确核保核赔人员的适任条件,定期对核保核赔人员进行培训,确保核保核培人员具有专业操守并勤勉尽职;对单证的印刷、保管、领用、作废和核销及档案的保管实施控制。
6、客户服务部主要负责客户的咨询投诉管理、客户的回访、客户服务及柜面管理。建立并保持咨询投诉处理程序,对咨询投诉处理中发现的问题进行核实、分析、反馈、进行整改和跟踪监督,并对公司业务品质管理进行原则确定、统一管理;建立并实施业务操作标准和服务质量标准,对柜面活动的服务质量进行规范管理,并建立客户服务质量考评机制;按照有关规定确定客户回访范围和内容,对客户反馈信息进行分析整改并定期跟踪。
7、信息技术部主要负责信息安全管理、建立信息安全管理体系、对硬件、操作系统,应用程序和操作环境实施控制,确保信息的完整性,安全性和可用性;出入计算机机房有严格的审批程序和出入记录;对系统数据资料采取加密措施,建立健全网络管理系统,对网络安全,故障、性能、配置等进行有效管理;对完络设备,操作系统,数据库系统,应用程序等设置必要的日志。
8、办公室主要负责行政管理,负责建立并保持书面程序,对公司的印鉴,合同档案,职场管理,招标投标、文件、品牌宣传、固定资产及物料管理等环节进行控制,定期对固定资产及物料进行清查,保证财产的安全,对工作当中已经识别出的风险保持控制。
9、企划部主要根据公司的战略规划,统一制定分支机构组织设置,职责权限,建立健全分支机构管控制度,实现对分支机构的全面、动态、有效管理、包含公司经营目标,经营计划的督导追踪、分支机新设、撤销、变更、晋级等业务。
三、树立良好的企业风险管理文化
记者:为什么说信息科技风险管理对于商业银行是特别重要的一环?
徐徽:近年来,风险管理已成为商业银行经营管理活动的主旋律,信息科技风险作为银行风险的重要组成部分,受到越来越多的重视。从商业银行的角度看,这源于两方面的驱动因素。
一是内在驱动因素。目前信息技术已深入到商业银行经营管理的各个领域,几乎所有的改革发展任务都与信息技术密切相关,不管是业务的发展,还是管理的提升,都需要信息技术的配套支持。但是,信息技术固有的风险,包括信息系统软硬件本身的脆弱性、数据集中导致的风险集中等,是客观存在且难以完全规避的。由于技术原因造成区域性和系统性的金融风险进而带来严重的社会影响,在国内外都有很多案例。因此,信息技术在促进银行业务发展、推动金融创新的同时,也使银行业务面临巨大的安全隐患,信息科技风险牵一发而动全身,信息系统的安全性和可靠性关系到商业银行整体经营管理活动的稳定,应该得到而且已经得到了所有商业银行的重视。
二是外在驱动因素。近几年,中国人民银行、银监会等监管机构对于商业银行信息科技风险的监管要求越来越严、越来越细。银监会2009年3月下发的《商业银行信息科技风险管理指引》,从IT治理、风险管理策略、信息安全、开发测试和生产运行管理等方面对商业银行提出了具体而细致的风险管理要求,对于商业银行加强信息安全管理、防范信息技术风险起到了重要的指导作用。同时,银监会将商业银行的信息系统纳入现场和非现场监管,大力开展信息科技风险现场检查,对商业银行的信息科技风险防范工作提出了更髙的标准和要求。监管力度的加大,促使商业银行针对信息技术风险防控制定出更强有力的措施,不断提髙信息安全风险管理水平。
在上述内部要求和外部环境的双重要求和驱动下,商业银行信息科技风险管理的重要性日益凸显,信息安全管理成了各行科技工作的主题。
记者:现阶段,我国金融机构面临的信息科技风险主要来源于哪些方面?
徐徽:要严控信息科技风险,就要先弄清楚风险的来源,并根据不同来源对症下药。概括来说,信息科技风险主要来自四个方面:一是自然原因导致的风险,包括地震、台风等自然灾害造成的风险,这类风险往往很难主动防范,只能被动防御,通过事前建立完善的业务连续性方案和应急预案,事后及时启动应急方案和补救措施来弥补;二是系统风险,是由信息系统相关软硬件的缺陷引起的,包括基础设施和硬件设备老化、系统软件缺陷、应用软件开发测试质量缺陷等,需要通过改善软硬件环境、完善应用软件来防范;三是管理缺陷导致的风险,是由管理制度的缺失或组织架构的制衡机制不完善引起的,需要从IT治理架构和管理机制上弥补管理和制度的空白及漏洞;四是人员违规操作风险,是由人员有意或无意的违规操作引起的,需要加强员工的安全培训和操作培训,提髙人员的信息安全意识和操作水平。其中,后三类风险需要以主动防范为主要安全管理措施,要建立风险事前防范、事中控制、事后监督和纠正的机制。
记者:为保障银行业务的安全,广发行信息科技风险管控采取了哪些具体措施?
徐徽:严控风险是我行2009年工作的主旋律之一,这也是行长辛迈豪在1月全行工作会议上确立的指导思想,在信息技术方面的定位就是“加强信息技术风险管控,将信息技术风险纳入银行全面风险管理体系”。信息安全管理工作是2009年全行科技工作的重点任务,是优先投入资源、重点保障的工作目标。由此可见我行对于信息科技风险管理的重视。
现阶段,根据我行技术和管理的实际情况,信息科技风险管理采用“广度优先、逐步提升”的策略,重点在管理、技术、人员等方面提升信息安全管理水平和管理能力,建立管理与技术结合的全方位的风险管理体系,变被动应对为主动防范。具体说来,主要采取以下几方面的措施开展信息安全工作。
第一,将信息科技风险管理和信息安全纳入我行五年科技战略规划的实施目标。为了提髙信息技术整体核心竞争力,提升信息技术对业务战略发展的长期可持续支持能力,我行于2008年完成了五年科技战略规划目标和实施路径的制定,信息科技风险管理和信息安全是科技规划的重要组成部分之一。科技规划中明确了信息安全工作的中长期目标,定义了信息安全机制建设、信息安全相关系统和管理平台建设等多方面的信息安全管理实施路径,我行在未来几年内将根据科技规划的实施路径逐步开展信息安全建设,提升信息风险防控能力。
第二,完善信息科技治理,大力开展信息科技风险管理机制建设,建立信息科技风险管理制度基础。以前,国内商业银行的信息安全管理普遍存在一个误区,认为部署了髙性能的硬件设备、实现了双机热备份、做好了生产运行风险控制,就算完成了信息科技风险控制的工作。其实不然,因为信息安全不单是技术问题,更是管理问题,只有持续完善信息科技治理架构,从组织架构和制度等管理层面采取防范措施,才能真正实现信息安全管理的目标。我行在信息科技治理方面的措施主要包括三个方面。首先,认真学习和领会监管机构对信息技术风险控制的要求,吸收借鉴同业经验,将监管要求和同业经验转化为行内工作规范,建立系统完善的信息技术风险管理组织架构和机制,建立了三道防线、三个小组和三项机制。三道防线是明确了信息技术部、合规部、稽核部为主体的信息技术风险三道防线的职能分工;三个小组是成立了信息系统突发事件应急领导小组、应急处置小组和支持保障小组,做好突发事件应急处理;三项机制是信息技术风险管理保障机制、信息技术风险评估和预警机制及信息技术风险应急处置机制。
其次,建立健全信息科技规章制度。为了做好制度建设,我行信息技术部专门制定了《科技规章制度管理办法》,明确了信息科技相关制度制定、修订、废止的流程和审批制度。在管理办法的指引下,切实抓好制度建设,近两年每年制定、修订的制度都在20项以上,形成了总数达到60余个的全行科技规章制度体系。同时加强制度的宣讲、检查、整改机制。对于新建立的制度,制定一项,宣讲一项,检查一项,违章整改一项。再次,加强信息安全队伍建设,提髙员工信息安全风险防范意识和水平,通过理论和实践的结合,培养髙素质的信息安全管理团队。去年我行在总行各部门和各分行科技部设立了信息安全岗,专门负责组织、落实本单位的信息安全管理工作。为了提髙信息安全岗人员的知识水平和操作技能,我行与广州市信息安全协会共同设计了培训课程,组织总行信息安全岗人员和总行信息技术部相关岗位人员分批参加了信息安全继续教育培训,实现总行信息安全岗满足《广东省公安厅关于计算机信息系统安全保护的实施办法》中关于持证上岗的监管要求,今年将实现分行信息安全岗全部持证上岗。我们同时认识到,信息科技风险防范不仅是信息安全岗的事情,而且是全体员工的基本任务。因此正在组织编写全员信息安全手册,对于桌面电脑安全、信息保密等基础信息安全知识开展普及教育,届时将人手一册,确保全体员工了解并遵守信息安全管理要求。
第三,采取有效的信息科技风险管理的手段防范和化解信息安全风险。首先,持续开展信息科技风险检查、评估、整改这一不断循环、螺旋上升的工作。一方面认真开展内部审计和外部审计工作,通过审计发现制度、流程、操作等方面中的风险;另一方面积极组织信息技术部的风险自查,每月定期开展总分行数据中心机房现场检查,每季度开展数据库操作、用户管理等髙风险操作的专项检查。根据审计要求和自查结果,严格落实风险整改工作,将整改任务落实到每季度、每月、每周的科技工作计划中。同时逐步扩大风险检查的广度和深度,主动发现并积极防范风险,通过风险整改实现持续改进。其次,严抓四方面的生产运行安全管理工作:一是完善基础设施建设,化解机房环境、硬件设备等基础设施的风险;二是建立和完善灾难备份中心,做好业务连续性建设;三是提升运行管理的水平,推进运行流程化和集中化管理,防范操作风险,确保信息系统的安全稳定运行。四是完善应急预案,积极组织开展应急演练,切实提髙风险防控水平。
记者:信息科技风险管理有时会影响效率,您如何看待这两个因素的平衡?
一、滥用银行相关系统接口,违规开展业务
银行基于方便自身客户支付的目的,一般向非金融机构的互联网支付收取很低或基本为零的交易手续费,部分非金融机构利用与商业银行的互联网支付接口、公共事业缴费接口、信用卡还款接口分别对接的便利,将本机构系统与商业银行相关系统接口进行整合,之后用于银行卡收单。因此,非金融机构以线下转线上的收单方式进行实体商户银行卡收单业务拓展时,银行卡收单手续费成本几乎为零或极低。此外,部分非金融机构以存款及客户拓展的方式吸引商业银行对其开放银行卡的POS收单业务接口,从而事实上形成了一个跨行清算平台,而且业务处理不按现行规则执行,而是各自为政,各行其是。如某中医门诊部,其主营业务为“中医门诊”,但某非金融机构为其设置的商户编码为,终端编码为,经查持卡人单据中显示的商户编号不合规,为无效的商户编号。这种做法逃避了风险监控体系的监管,增加了银行卡交易风险,形成银行卡风险侦测和监管盲区。
二、业务操作不规范,带来技术和资金风险
非金融机构作为新兴的支付机构,往往更重视市场的拓展和份额的扩大,忽视业务规范、合规操作等方面的工作,加之业务从业人员较多、人员构成较复杂、业务水平参差不齐等,由此产生很多不规范的收单行为。例如,有的非金融机构设置一个大商户,下挂多个小商户,采取二级清算的方式,用单一商户编号在全国范围内拓展收单业务;有的非金融机构为了降低扣率以及逃避监管,违规填报商户32域,形成收单资金空中转接。此外,部分非金融机构为提高其特约商户签约审核效率,加快POS程序灌装和安装速度,从商业银行取得POS密钥,以POS转加密的方式,自行进行POS密钥管理、下载、程序灌装,并为其他特约商户布放POS机具。这些行为增加了持卡人、商户信息泄露的危险,潜在的信息安全风险较大,易形成资金风险,且不利于收单业务的属地化管理。对于跨区域的收单业务违规行为,监管部门无法直接处理,导致违规问题处理滞后。
三、新法规出台对收单业务的要求
为了促进和规范新形势下收单市场的良性竞争,推动银行卡收单产业持续健康发展,2013年7月,人民银行在前期充分讨论调研的基础上,实施了《银行卡收单业务管理办法》(以下简称《办法》)。作为人民银行规范支付服务市场行为的重要业务管理制度,《办法》立足尊重市场及其长远发展,充分发挥市场在资源配置中的基础性作用,以建立公平、有序、开放的市场竞争环境为目标,按照促进创新、规范发展、防范风险、维护各方合法权益的原则,对银行卡收单业务中各市场主体应遵循的业务规则、风险管理要求等作出了明确规定。此外,《办法》清晰界定了银行卡收单业务的内涵,对收单机构的特约商户资质审核、业务检查、交易监测、信息安全及资金结算等环节的风险管理进行全面规范,提出严格的监管要求,以防范支付风险,促进市场有序发展。一是界定了银行卡收单业务的含义及范围,明确银行卡收单业务包括银行卡受理协议签订和收单机构按约定承担银行卡交易资金结算责任两项核心业务。将线上线下收单业务、银行与非金融机构统一纳入银行卡收单业务范畴并予以监管。二是强化了收单机构的责任与义务。《办法》要求收单机构了解拟拓展的特约商户,确保商户依法设立和从事合法经营活动,并承担特约商户收单业务管理责任。确立了拓展特约商户应遵循的原则,细化了对特约商户资质审核管理的内容,要求收单机构对特约商户实行实名制、本地化管理,严格审核特约商户的证件材料。对特约商户开展业务培训,建立特约商户信息管理系统和档案资料管理制度。《办法》规范了银行卡受理协议的基本内容,从信息安全、收费、服务等方面就特约商户应履行的义务作了特别规定。《办法》完善了银行卡收单业务的风险管理制度,建立了特约商户风险评级机制、特约商户检查制度等制度规定,完善了银行卡收单业务的风险管理制度,明确了监督管理与罚则内容。三是规定了特约商户的合法权益,保障特约商户对收单服务相关信息的获取权以及资金结算权益,同时,还通过监督管理与罚则的相关规定和要求,反向促使特约商户的合法权益能够得到落实与保障。四是保护持卡人的合法权益。《办法》规定收单机构应通过协议要求特约商户不得歧视或拒绝同一银行卡清算品牌的不同发卡银行的持卡人,确保了银行卡清算机构的品牌卡在其清算网络内的通用性,使持卡人可自愿、平等地使用银行卡。《办法》还规定收单机构不得向持卡人转嫁特约商户应承担的刷卡手续费,且应通过协议要求特约商户不得因持卡人使用银行卡而向其收取或变相收取附加费用或降低服务水平。五是保障持卡人的信息安全。《办法》规定收单机构应确保持卡人交易和信息的安全,且在特约商户协议、外包协议等法律协议中明确信息安全保护义务和违约责任。因特殊业务需要,收单机构确需存储银行卡敏感信息的,应当经持卡人本人同意且只能用于持卡人授权的范畴。通过监督管理与罚则的相关规定和要求,也反向促使持卡人的合法权益能够得到落实与保护。本文来自于《金融论坛》杂志。金融论坛杂志简介详见
四、促进支付市场健康发展的相关建议
相关部门在对非金融机构进行规范监管的过程中,要严格落实《办法》的各项要求,建议在以下几方面重点开展工作,促进支付市场的健康持续发展。1.严格非金融机构银行卡收单准入管理在核准非金融机构进行银行卡收单业务资质时,相关部门应加强对非金融机构风险意识、规范意识、责任意识的培训;对其银行卡收单业务商户交易数据与业务风险防控系统、业务风险防控监测及评估系统、业务信息安全系统等必要的技术保障进行审查;对跨区域开展银行卡收单业务的非金融机构的分公司组织架构进行实地考核;对其自我约束机制的建设情况进行综合考察和评定,以保障非金融机构资质。2.加强银行卡收单业务监管力度相关部门应强化非金融机构银行卡收单业务的规范和管理,通过现场和非现场手段,加大对非金融机构银行卡收单业务的检查,其分公司在非注册地开展银行卡业务应接受当地人民银行分支机构的管理。促进其内部制度、风险防范体系、系统建设、客户权益保障制度的健全与完善。对检查发现的问题,要落实整改并追究相关责任,推动落实非金融机构退出机制,维护良好的银行卡市场秩序。目前,获得支付牌照的非金融机构逐渐增多,业务发展提速,行业自律显得尤为重要。中国支付清算协会作为非金融机构的专业行业协会,应尽快制定行业规范和标准,完善行业自律机制,加强对成员单位的业务指导,规范行业内的竞争行为,鼓励行业成员之间的相互监督。对欺诈客户、恶意竞争等行为进行曝光,并按照有关章程要求,对非金融机构进行自律约束。实现有层次、有秩序的科学管理体系,促进非金融支付机构的健康发展。
作者:郭强 单位:中国人民银行营业管理部支付结算处
随着商业银行业务的快速发展,信息系统在促进商业银行提高工作效率、提升服务水平、拓展业务范围等方面的作用越来越明显。信息系统在带来便利的同时,也带来了一定的风险。信息系统安全问题日渐成为商业银行内、外部监管的重点。研发风险是在信息系统研发阶段可能引入的,导致信息系统出现安全性问题的风险。研发风险管理工作是从安全和风险角度对信息系统安全设计、实施情况进行统筹管理的一项工作,旨在保障和提高新研发信息系统的安全性。
研发风险管理工作特点
商业银行信息系统所承载的业务服务和数据都很重要,一旦受到破坏将对商业银行及其客户的利益造成严重损害。因此商业银行对信息系统的安全性、稳定性要求很高。但随着业务的快速发展,商业银行信息系统的种类和数量也在快速增加。这些信息系统需要采用不同的语言、平台和架构来实现,其关联关系和技术复杂度越来越高。同时,随着IT技术的发展和互联网开放程度的加深,新的攻击手段不断出现,安全攻防技术不断演变,且有愈演愈烈之势。因此商业银行研发风险管理工作具有管理要求高,管理难度大的特点。
为加强对商业银行的风险管理,人民银行、银监会等监管机构了一系列指引,其中包括了信息系统研发相关的合规性要求。这些要求也是监管机构进行检查的重点,如果未能在研发阶段落实,信息系统上线后仍需进行整改,将增加不必要的成本和变更风险。因此,研发风险管理工作不但应落实信息系统的安全性要求,还应将合规性要求纳入考虑范围之内。
研发风险的分类
《巴塞尔新资本协议》已将操作风险纳入资本监管,并将信息科技风险划归操作风险范畴。研发风险属于信息科技风险的组成部分,具体细分,又可以分为管理风险和技术风险。
管理类风险是指由于未做好研发风险管理相关工作,间接对信息系统安全性造成影响的风险,主要有合规性风险、管理环节缺失、管理力度不足等。合规性风险是指未落实监管部门关于研发风险的监管要求而形成的风险,例如未落实《银监会非现场监管报表》对“项目代码安全检查完成率”、“代码安全检查方法”的要求等。
技术类风险是指因各种技术原因引入的,影响信息系统安全性的风险,主要包括安全设计问题、代码漏洞。安全设计问题是指信息系统安全设计不到位,例如用户口令复杂度不足、敏感数据未加密存储等;代码漏洞是指由于开发人员疏忽或者编程语言的局限性,导致程序存在可以被黑客利用的逻辑错误,例如SQL注入、跨站脚本、缓冲区溢出等。
我国商业银行研发风险管理工作现状
我国商业银行虽然在规模、业务特性与管理模式上存在差异,但由于同处于我国经济大环境下,其信息系统研发风险管理工作面临相似的环境和挑战。目前我国银行的系统研发模式有自主研发、合作开发、外包和外购等几种。大型国有商业银行一般以自主研发为主,大中型股份制商业银行一般采用合作开发方式为主,大多数小型和地方性金融机构则主要采用外包或外购的方式。
随着我国商业银行信息化建设的不断深入,目前大多数商业银行都加强了信息科技风险管理,建立了包括组织、制度、技术等方面的信息科技风险管理体系,涵盖了基础架构、研发、测试、运维、外包、应急等各方面。在研发风险管理方面,采用了必要的管理和技术手段,加强了系统安全设计,在一定程度上满足了业务连续性需求。但是由于起步较晚和重视程度不够,研发风险管理水平整体滞后于信息科技管理水平,因安全设计不充分所引发的安全事件或整改仍不时出现,危害着商业银行的安全。因此,我国商业银行信息系统研发风险管理水平还有待进一步提高。
存在的问题和不足
研发风险管理组织不完善、流程机制不健全。研发风险管理工作的开展需要相关的组织和角色作为支撑。目前,各商业银行的整体信息科技风险管理组织较为完善,但很少能够深入到研发风险管理环节,主要表现在缺少研发风险管理的统筹部门,缺少对研发风险管理进行决策的组织机构,项目组中缺少研发风险管理角色等方面。我国商业银行信息系统研发工作大多以项目的形式进行,普遍拥有完整的项目管理流程,但流程中涉及安全和风险的内容较少,对系统安全设计、实现的审核机制不健全,难以保证在研发阶段提高信息系统安全性。
研发风险管理依据多、信息系统安全设计不规范。当前商业银行的信息系统面临着多方面的监管要求,既有行内的,也有行外的;既有监管机构的,也有业界的;既有管理要求,也有技术要求。这些要求的来源不同,侧重点不同,粗细颗粒度不同,甚至有的相互冲突,给研发人员造成一定困扰,亟待统筹规范。现有信息系统一般都有身份鉴别、访问控制等设计,能够满足基本的安全需要。但由于缺乏整体规范指导,信息系统研发过程中难以避免安全需求不完整,安全设计水平良莠不齐,安全编码不规范等问题,导致信息系统仍然可能存在安全漏洞。
安全技术不能重复利用、安全技术支持服务不足。商业银行信息系统具有一些共性的安全设计,例如身份认证、数据加密、日志审计等。在现有模式下,各个项目组缺少沟通协调,往往自行开发,造成重复开发和资源浪费,也不利于企业安全架构整合与管理。研发出安全的信息系统,必须以相应的技术手段作为支撑,但现有商业银行研发团队往往缺少这方面的支持和服务,影响了信息系统安全研发水平。
此外, 为了应对业务的发展变化,商业银行必须不断提高信息系统研发速度。在业务需求紧急和工作量的压力下,研发团队往往会不自觉地重效率轻安全,形成了安全工作人员的数量不足,开发人员的安全意识和安全技能不足等问题。
研发风险管理目标及主要依据
研发风险管理工作是从安全和风险角度对信息系统安全设计、实施情况进行统筹管理的一项工作,主要目标是提升信息系统的安全性,避免安全事件发生,保证商业银行业务连续性。同时,也应关注信息系统合规性,避免系统上线后因各类检查发现问题而进行整改,减少不必要的变更。商业银行开展研发风险管理工作的最理想状态,是实现对所有信息系统研发风险的统筹管理和良性循环,实现外部监管要求、信息安全技术发展变化与信息系统研发之间的有效衔接,做到对最新安全要求的快速响应、准确解读、全程跟踪、有效落地。
为做好研发风险管理工作,有效提升信息系统的安全性、合规性,商业银行在信息系统研发过程中需遵从多方面的要求。这些要求一方面是对研发风险管理工作的指导和规范,另一方面也是开展研发风险管理工作的依据。从大的方面来说,我国关于商业银行信息安全、保密等方面的法律法规均属于研发风险管理依据范围,这些法律法规的层次较高,不适合指导具体工作开展。从执行角度来看,研发风险管理工作的依据主要有监管要求和信息安全标准,同时还应参考业界最佳实践。
监管要求。《巴塞尔新资本协议》将信息科技风险划归操作风险,而研发风险属于信息科技风险范畴。因此,当前我国商业银行遵从的信息科技风险监管要求,包括:《商业银行信息科技风险管理指引》、《商业银行内部控制指引》、《中国银行业信息科技“十二五”发展规划监管指导意见》等,通常涵盖研发风险管理相关内容,是开展研发风险管理工作的有力依据。人民银行、银监会等监管机构对商业银行开展的信息科技检查,以及商业银行接受的其他内外部科技审计、风险评估发现的问题,是从各个角度对现有监管要求的细化和解读,属于未来新建信息系统应规避的问题,也应纳入研发风险管理工作依据范围。
信息安全标准。信息系统安全问题是整个IT行业普遍关注的问题,经过业界多年探索和经验积累形成的信息安全标准,是商业银行开展信息系统研发风险管理工作的另一重要依据。目前国内外信息安全标准种类、数量较多,比较有代表性和有指导意义的包括:信息系统安全等级保护标准、ISO27001标准、CC标准、Cobit标准等。此外,我国国家密码管理部门、人民银行等部委针对各专业技术领域颁布的标准,例如《网上银行系统信息安全通用规范》、《银行卡联网联合安全规范》、国产加密算法标准等,可作为各专业领域信息系统研发风险管理的工作依据。
业界最佳实践。随着IT行业对信息系统安全问题的越来越重视,各大公司和机构纷纷进行了广泛而积极的探索,积累了许多最佳实践和解决方案,对商业银行信息系统研发风险管理工作具有一定的启发和借鉴意义。其中,微软的SDL方法关于全生命周期安全管理的理念,值得研发风险管理工作借鉴;OWASP的CLASP方法将安全融入现有项目开发流程的理念,与商业银行在现有条件下推动研发风险管理工作开展的需求相吻合;McGraw的TouchPoints方法在关键点切入安全管理的理念,对研发风险管理工作具有借鉴意义。
研发风险管理策略分析
构建研发风险管理体系、全生命周期防范研发风险。针对商业银行研发过程风险管理工作特点和现状,要想从根本上解决当前存在的问题,应统筹考虑,博采众长,从体系化的角度进行整体规划,构建符合商业银行自身实际情况的研发风险管理体系。在具体操作上,建议从组织、管理、技术三个方面入手。其中,组织方面应由专职部门牵头,设置项目安全员、安全专家等角色,分别履行评审、督导、执行等工作职责;管理方面做好管理制度、安全开发标准的制定维护,以及培训考核等整体推动工作;技术方面要采取多种手段,为项目组提供安全公共组件、安全技术平台、安全工具等技术支持和服务。信息系统安全问题是整个系统级的问题,包括物理、网络、系统、应用等很多方面。同时,安全问题也是一个连续不断地出现的问题,在信息系统研发生命周期的每一个阶段都有可能引入风险,无论是选择的工具、实现技术还是编码的质量。因此,研发风险防控工作应贯穿信息系统建设全生命周期,在信息系统研发过程中同步做好安全需求分析、安全设计、安全编码、安全测试、安全审核等工作,使研发风险管理活动与项目管理流程紧密结合,避免引入风险隐患。
做好关键阶段的安全审核、坚持定制化和个性化原则。商业银行信息系统种类多、数量多,从安全和合规的角度来看,每个信息系统均应落实研发风险管理要求,但商业银行的投入和能力毕竟有限,必须结合信息系统研发工作特点,准确把握工作重点。在信息系统研发生命周期中,需求分析阶段处于初始阶段,且与业务联系紧密,并为后续工作量估算、系统设计等工作奠定基础。做好需求分析阶段的安全评审,能够保证安全要求在后续工作中得到贯彻执行,具有特别的重要性。同时,在信息系统测试阶段,应对信息系统整体安全情况进行审核,以验证安全需求实现情况,及时修复发现的问题。通过一头一尾两个关键阶段的安全审核,有效保证新研发信息系统的安全性。
虽然研发风险管理工作的管理依据多,可参考标准多,但是现代商业银行发展迅速,信息科技发展也是日新月异,任何一个标准或指引均不能保证普遍适用,永不过时。商业银行在开展研发过程风险管理工作中,应准确把握和灵活运用各类工作依据和标准,坚持定制化和个性化原则,结合自身工作特点,制定符合自身实际情况的管理办法和技术标准。对于各类安全工具或服务,也应根据工作需要做出选择,并在实际工作中进行个性化改进,尤其是对安全工具的个性化配置维护,将成为研发风险管理工作的主要内容之一。
安全与效率兼顾、管理和技术相结合。商业银行的业务扩张和发展速度很快。为抢占市场先机,商业银行信息科技服务的变化速度也很快,且时效性要求很高。这就使得商业银行必须提高信息系统研发效率。研发风险管理工作属于提升信息系统安全性的强化工作,主要表现在增加信息系统的非功能性需求,增加研发工作量,因此可能会影响研发效率。商业银行在开展研发过程风险管理工作时,要紧紧围绕信息系统研发这个核心工作任务,坚持服务研发、防控风险的原则,妥善处理安全和效率之间的关系,找到安全和效率之间的最佳结合点,争取以最小的投入产生最大的安全效益。
研发风险管理工作的主要落脚点是加强信息系统研发全生命周期的风险管理,做好需求、设计、编码、测试等阶段风险管理工作,落实安全技术措施。因此,与传统的项目风险管理不同,研发风险管理不但重视风险管理,还重视安全技术设计和实现。这就要求在开展研发风险管理工作过程中,必须将管理和技术相结合,在提出研发风险管理要求的同时,必须为项目组提供安全技术支持和服务,指导和协助项目组解决技术难题,使研发风险管理要求得到切实贯彻执行。
一、企业开展电子商务内生风险防范
企业开展电子商务内生风险防范体系是指企业内部建立的风险防范机制、对策、方法、措施等的综合,主要范围是电子商务企业内部。
1.战略评估
战略是企业发展生存的第一步,起着至关重要的作用,错误的战略会使企业满盘皆输,成功的战略会使企业起死回生,因此,战略风险的防范应放在传统企业开展电子商务的风险防范的首位,战略评估是有效的避免战略风险的方法,评估的结果是传统企业电子商务实施效果的直接反映。目前常用的战略评估方法是“SWOT”分析法,机会和威胁属于外部环境,通常不在企业高层管理人员的短期控制之内,与企业的优势和劣势组成如表1所示。
通过SWOT分析,传统企业可对外分析外部的机会和威胁,对内分析自身的优势与劣势,充分认识到企业自身所处的环境,考虑自己的生存发展。同时,传统企业在开展电子商务时不仅要在战略目标的制定过程中要进行“SWOT”分析,而且这种分析方法应该时刻应用在企业日常的运作过程中,只有这样,才能将企业战略风险降至最低,更好的保证企业目标的完成。
2.内部网风险防范
传统企业在开展电子商务时,内部风险主要是由于企业本身的员工对企业系统的攻击所产生的,所以这种情况可采取以下手段:(1)对企业内部的各种资料信息设置秘密等级,并予以明确的标识,在实际信息管理中分等级操作,派专人管理重要的商业秘密信息,制定制度,上级主管定期监督检查。(2)规定员工的具体权限,不同的员工有不同接触秘密的权限,包括不同业务的主管不得接触自己无权接触密级的档案资料,并且企业员工要对自己使用的密码经常更换,以防止窃密者有机可乘。(3)采取加密措施。对于员工在网络上传输的商业机密信息,可使用加密计算机程序;同时,密钥要定期更换,否则可能使“黑客”通过积累加密文件增加破译机会。
3.避免技术风险
在进行电子商务交易前要通过各种网络技术手段(如加密技术和认证技术)确定交易双方身份的可靠性;在电子商务交易过程中要通过加密解密等手段确保传递信息的安全保密;在通信连接上采用服务器、防火墙及虚拟专用网络等技术,保证通信过程的安全。技术风险的规避是以信息管理平台为基础,为了避免技术风险的发生,提高企业的抗风险能力。应注意:(1)要保证软件平台的可靠性。传统企业可自行开发也可购买软件,但绝不能使用未经授权的软件,这是电子商务系统可靠运行的前提和保障。若请人开发电子商务系统,要确认开发商是否具有成功的经验。系统开发完成后,传统的系统和新开发的系统要同时运行一段时间,不断地修改完善,以保证系统的可靠性、安全性和完整性。(2)防范关键数据存取的风险。程序控制在电子商务程序设计时,应充分采用多种方法避免操作失误,建立健全电子商务操作中的规章制度,明确分工,加强使用人员的考核与管理,定期对电子商务系统数据的可靠性进行检查,保管好相关文档,关键数据及时备份等。
4.内部管理机制应加强
传统企业开展电子商务管理风险的防范应该主要依靠内部管理制度的建立,在电子商务的风险管理中有“三分技术、七分管理”的这种说法,企业在具体实施电子商务的时候应该将这种理念转化为具体的操作,具体包括:(1)安全管理制度。此制度是用文字对各项安全要求的规定,应该明确具体对在传统企业开展电子商务的过程中的各种情况作出明确的规定,在实施过程中要严格执行,安全管理制度的建立和执行是保证企业网上经营管理能够成功的基础,非常重要。(2)人员管理制度。根据具体的电子商务实施情况,建立有效的约束机制和激励机制。首先,将要上岗的人员要进行严格的岗前培训,并且要进行考核,并且规定考核不合格者不能上岗。另外,在具体的操作过程中明确每一个员工的工作职责,并且要严格执行,及时处理违反安全管理制度相关人员,并让其加以改正。第三,要严格执行网上交易安全规则,在运作过程中要双人负责,做到任期有限,还要实行最小权限原则。(3)保密制度。首先要确定安全防范重点,这就需要划分信息安全级别,并根据实际情况,提出相应的保障措施;另外,对密钥的管理还要重点加强,大量的交易必然使用大量的密钥,控钥管理贯穿于密钥产生、传递和销毁的全过程,只有对密钥做好足够的保护,才能保证整个系统的安全。
5.投资风险的防范
传统企业在进行电子商务投资的过程中,可通过考察一些先进企业的电子商务开展状况,寻求最佳技术方案;同时,也可定期派企业自身人员进行相关技术学习,使传统企业的电子商务技术不断更新发展,以防范投资过程中电子商务技术落后而造成风险的发生,先进的电子商务技术和有效的电子商务方案是确保传统企业开展电子商务获益的有力保障,并且可以节约电子商务的后续支出,能够尽快获得投资回报。
6.人力资源管理
传统企业要有效开展电子商务,一定要重视电子商务人才培养,将人才视为企业之本,做到用事业激励人,用感情凝聚人,用待遇吸引人,从而有效地预防人才流失,更好的发展电子商务事业。并且传统企业也要敢于主动出击,搜寻自己所需的电子商务人才。同时,传统企业应创造人性化的人事机制,创造良好的工作环境,培养或招募既懂经济管理又懂电子商务技术的专门人才,将电子商务人才培养提升到企业战略层上,以使所有人员都能积极参与到电子商务实施中来,使传统企业业务流程的每个环节都能够适应电子商务发展的要求,并且为传统企业的电子商务成功开展和实施做好人才储备工作。
二、企业开展电子商务外生风险防范
企业开展电子商务外生风险防范体系是指对企业电子商务风险起防范作用的相关法律、信用、信息管理等社会体系的总和。企业想依靠单个的自身力量很难弥补或降低企业外部风险,必须要依赖于大环境的改变,传统企业在开展电子商务活动时候,一定要在充分认识的基础上尽可能采取措施规避这些风险。
1.竞争风险的防范
(1)传统企业在开展电子商务项目时,不应该盲目就上电子商务项目,而是应该在充分考虑企业自身优势与劣势的具体情况的基础上去建立符合本身情况的电子商务平台。电子商务虽是时展的趋势,但并不是每一个企业都适合或者并不具备开展电子商务的有利时机,因此,传统企业应在知己知彼的基础上展开竞争。(2)客户流失的竞争风险。传统企业在开展电子商务项目时经常遇到客户或合作伙伴流失的风险,这种风险危害性比较大,可能会影响企业对客户忠诚度的培养,在这方面可采取一些法律手段来防止顾客或合作伙伴的流失,保证企业电子商务的顺利进行;为留住客户,还可通过技术手段与客户建立良好的合作关系,建立定期交流机制,保证良好的信息沟通等手段留住客户或合作伙伴;最重要的一点是传统企业在选择合作对象的时候,要选择那些信誉良好的企业,尽量满足客户的合理要求,及时有效的和合作伙伴沟通等。(3)创新的竞争策略。企业的持续创新是防范竞争风险最重要的策略,传统企业开展电子商务要想取得成功一定要敢于采取新的商业模式和经营策略,并且要持续投入,同时要做好合理的可行性分析。
2.电子商务安全的法制建设
现在传统企业应认识到法律风险给企业带来的影响,要学会用法律手段来保证电子商务的正常运行,因此需要逐步建立和完善一个法律风险防范的控制系统。
3.建立完善的信用体系环境与信用制度
(1)建立信用评价体系,营造社会信用环境。电子商务交易涉及厂家、商家、网站、银行、消费者等多方面利益的信用问题,必须建立一个完整的社会信用体系环境,信用风险才能有防范的基础。其次,参考电子商务发达国家的先进经验,建立完善的信用评价体系。第三,借鉴发达国家的信用卡制度,建立符合自身情况的电子商务交易规则。(2)加强自身诚信建设。首先,传统企业应将诚信建设落实到实际行动中去,慎重对待电子商务平台上的每笔交易、每个订单、每个客户,并且要特别要重视搞好电子商务环境下消费者最关注的产品质量、售后服务、付款方式及退货换货等相关事宜。其次,企业还应在思想上树立诚信为本的传统,上到领导下到基层员工,做到待人以诚,交易为信,这才是由传统企业内部规避信用风险的根本所在。(3)电子商务企业要健全完善的信用制度,并且通过设置合理的运行标准和运行机制,并通过公正的第三方的监督机构,保证交易各方按期按质按量支付货款与货物,保证交易的顺利进行。
4.建立信息管理平台
传统企业在开展电子商务的过程中,缺乏整体的信息应用规划,对信息的处理往往得不到足够的重视,特别是符合传统企业发展战略和管理现状的少之又少,与企业资源适度配合的整体规划更是缺乏,因此,应该从信息管理的角度来进行信息风险的防范,完整而有效的信息管理系统是现阶段传统企业开展电子商务的信息基础。在具体的实施过程中,传统企业应有一个完善的管理思想和一个系统的工作流程管理(如ERP等系统),然后利用互联网上的电子商务平台来实现业务,传统企业才能从基础到高端完成电子商务转变的过程。
5.灾难性风险的防范
传统企业不可以避免的可能遭受自然灾害的破坏,所以我们要必须预先做好防范措施,并对外界变化采用现代化手段进行时刻关注,如:天气预报等,提前做好相应的准备,将灾害危害尽力减到最小;另一方面,对于人为因素而造成的灾难风险,要运用技术手段进行监控,并做好灾害预案,减少发生灾害的几率。企业还应经常检测信息系统,并随时注意对其进行维护,以减少灾难风险的发生。
三、企业开展电子商务内外协同防范
企业开展电子商务内外协同防范体系是需要企业自身和外部共同来完成的,它是技术研究、人才培养、协调机制建设和联盟建立等方面的总和。
1.加强电子商务安全技术的研究
政府的有关部门应组织一支精干的安全技术研究队伍,集中力量尽快解决电子商务的安全技术问题,包括认证技术、加密技术、数字签名等,并能随着计算机网络技术和电子商务的发展不断改进这些技术;建立具有权威性、公正性的值得信赖的第三方电子商务CA认证机构和电子商务安全体系结构;另外还要建立相应的电子商务国家级安全控制中心系统,这一系统主要应包括密钥管理、电子交易证书授权、和病毒检测等分中心。
2.人才培养
传统企业必须加强对电子商务人才的培养、大力推广普及有关电子商务的知识,同时加快风险投资人才的培养。风险投资不同于一般投资,风险投资家的素质要求远高于传统投资家。“请进来”,引进境外的风险投资家到我国组建风险投资机构、创办风险投资企业,虽是一条捷径,但终究是靠不住的。建议政府采取措施,加快风险投资人才培养:一是从投资公司中挑选出优秀人才分期分批“走出去”,到国外学习考察,借鉴国际风险投资公司的运作惯例与操作技术;二是在风险投资人员中全面实施继续教育,提高他们的理论水平与专业能力;三是从学校教育入手,通过高校教育培养各层次的风险投资人才;四是加大教育、科研、人才等方面的体制改革,为培养造就人才提供保障。
3.建立协调机制
政府相关职能部门,要和信息安全行业协会和各级信息安全保障中心密切配合,建立安全完善的信息沟通机制,能够做到互通风险预警信息,机密联系,从而共同维护电子商务交易的安全性。
4.风险战略联盟建设
战略联盟不单是在获取利益、实现市场机会方面发挥着重要作用,在分担风险、防范风险方面同样也起着重要作用。传统企业电子商务业务的开展自控的内生风险防范体系、他律的外生风险防范体系和联防的内外协同防范体系,三者缺一不可,相互补充和完善,共同对电子商务企业风险起着重要的防范作用。人们应本着联系市场、应用主导、资源共享、技术创新、网络共建和竞争开放的方针,政府方面尽快建立健全相关法律法规,专业的电子商务企业方面开发关键的技术和产品,尽快形成适合各国国情的电子商务运营机制。只有电子商务企业的风险防范措施得当,加上长久连续的风险防范,才能使电子商务健康快速地发展,并成为未来商务的主流形式,使电子商务企业实现相应的效益,并提高竞争力。
【关键词】网络银行 风险管理 防范策略
网络银行的发展为客户办理业务带来了较多的便利,而且也推动了银行业务的创新与发展。当然,在享受网络银行所带来的各项好处的同时,不得不重视网络银行所引发的一系列风险。相比较传统商业银行,网络银行因其信息性与虚拟性使得风险更为复杂,其不仅包括了传统商业银行的流动性风险、利率风险、市场风险以及信用风险外,还涵盖了法律风险、信息安全风险等等。网络银行的风险管理不单单是影响其自身的发展,而且还对客户利益与国际金融体系的稳定有着不可忽视的影响。近年来,关于网络银行的风险事件也是层出不穷,如:2011年,中国银行网上银行出现千万资金被盗事件。因此,网络银行的风险管理不得不提升到战略高度,这对全国金融体系的安全也有着积极的作用。
一、网络银行风险的定义与分类
网络银行风险是指网络银行在经营中由于各种不确定因素的存在而招致经济损失的可能。与传统银行相比,虽然网络银行依靠不同的服务方式和途径,但其仍然是传统银行的延伸,需要依靠吸收存款、发放、办理结算业务以及提供各种金融产品而盈利。因此,网络银行在经营过程中必然面临传统银行的各种风险。不仅如此,网络银行是传统银行的发展创新,是虚拟化的网络化的运作模式,这些特点决定了网络银行需要面临其他各种风险。因此,网络银行除了面临传统银行经营过程中存在的流动性风险、市场风险和利率风险等之外,还由于特殊性面临着其他各类风险。
二、国内对网络银行风险管理存在的问题
近年来国内网络银行的发展速度较快,而且在可以预见的时间里,网络银行还将以较快的速度发展。与网络银行快速发展不匹配的是,网络银行的风险管理存在着还未健全与完善,主要表现在以下几方面:
(一)缺乏网络银行法律法规的保障
目前,国内针对网络银行的法规主要是《网上银行业务管理暂行办法》、《股份制商业银行非现场监管规程(试行》、《电子银行业务管理办法》等,但这些法规制定与的时间均在2005年前。在近年来金融市场环境突变的背景下,这些法规面临着与现实环境不适应的缺陷,而且这些法规对网络银行风险管理的责任与义务未进行明确,这导致网络银行风险管理推进的缓慢。
(二)内部控制机制有待提高
在网络银行的风险管理体系中,内部控制机制非常重要。简单来说,内部控制是网络银行风险管理的出发点与落脚点。相比较国外网络银行,国内网络银行的内部控制机制有待提高与完善。首先,网络银行的内部审计无法发挥应有的功效,对网络银行业务缺乏有效的监督与控制;另一方面,关于网络银行的内部控制制度较少,且工作人员缺乏风险管理与内部控制意识,使得网络银行的风险管理力度不足。
(三)监管体系与手段急需完善
伴随着网络银行业务与其他金融机构业务的融合,传统的监管手段已经无法跟上网络银行的发展。一方面,业务的创新与多元化使得网络银行的业务风险不断加大,对网络银行风险监管体系与手段的停滞不前使得无法有效监管网络银行的业务风险;另一方面,网络银行对我国而言还是新兴事物,部门之间存在着利益纠葛,这导致网络银行风险监管的协调难度加大,无法通过统一的标准体系与方法进行监管。当然,网络银行是高风险的行业,对其蕴藏的风险必须要加强监管,建立公正、公平、公开的风险管理环境,优化监管手段。
三、完善对策与建议
针对目前国内网络银行风险管理存在的这些问题,本文对此提出相应的完善对策与建议,主要为以下三点:
(一)加强网络银行的风险控制
网络银行的风险管理首先要从自身入手,加强对风险的控制。网络银行的风险控制是基于微观层面的风险防范与控制,主要是网络银行对经营管理过程中各个环节的风险防范与控制。针对网络银行的风险,必须从风险衡量与风险防范两方面入手进行控制。首先,风险衡量主要包括识别风险和衡量风险,对于识别风险,在前面网络银行的风险分类中进行了详细的说明,包括了法律风险、技术风险、管理风险等等,对于网络银行而言,如何准确衡量与评估风险是做好风险管理控制的前提。
(二)做好网络银行的外部监管
网络银行的风险管理除了自身的要求外,还需要依靠外部监管群体对网络银行进行风险控制,其中主要是指监管部门。目前,网络银行还处于新兴发展阶段,对网络银行的监管也还在探索之中。从西方发达国家的经验来看,一方面,要做好市场准入工作。要加强事前审批,在设备、技术以及网络安全等方面进行事前检查,保证网络银行开展的顺利;另一方面,加强日常监管;在完善了市场准入机制后,日常监管是网络银行风险管理的重要途径。在网络银行的日常监管中,一般强调交易数据的安全性检查和统计分析、消费者保护措施和风险管理制度等。
(三)完善网络银行风险管理的外部环境
当然,网络银行的风险管理除了自身的风险控制与外部监管外,还需要整个环境氛围的支持。目前,国内网络银行在风险管理上存在着法律建设落后、社会信用体系缺失这两方面问题。因此,完善网络银行风险管理的外部环境必须从这两方面入手。一方面,完善网络银行相关的法律法规,加强法制建设;另一方面,加强社会信用体系的建设,提高信用意识。
参考文献
[1]李艳.网络银行现状和发展趋势探析[J].企业经济,2008(1l).
[2]黄柳.我国网络银行发展面临的风险与对策[J].金融监管,2008(06).
近年来,我国保险企业集团迅速发展,保险行业企业的分支机构遍布全国各地,保险行业企业集团经营发展逐步呈现出了组织结构复杂、集团管理跨度大、业务内容广泛、企业资金链较长以及资产规模巨大的特点,对于企业的财务管理工作也提出了较高的要求。因此,很多的保险企业集团为了规范集团的业务流程,降低财务管理成本,提高资金使用管理效率,而强化了对于分支机构的财务管理控制,采取了财务集中管理模式。财务集中管理模式虽然整合了集团内部的所有财务资源,但与此同时,也将所有风险隐患因素集聚到了集团的财务中心,对于财务风险控制管理提出了新的更高要求,在财务集中管理模式下,强化企业的财务风险控制,已经成为现阶段保险企业集团财务管理的重要内容,这对于提高企业经营管理水平,确保企业稳步发展也具有重要的作用。
二、保险企业集团财务集中管理概述
财务集中管理是现代化企业集团财务治理的重要模式,企业集团通过对总部以及下属子公司的财权集中控制和分配,以集成化、动态、直接、实时的方式对整个集团财务工作进行的控制管理。企业集团财务集中管理主要是依托财务管理信息系统,通过将企业的财务管理信息系统以及银行结算业务打造成为财务信息管理平台,完成财务管理工作。财务集中管理的目标主要是通过集中化的管理实现企业内部资金收付、会计核算的集中控制,同时对各分支机构的财务人员进行垂直管理,并将各分支机构的预算、资金、业务、账务核算以及票据处理工作统一的集成。保险企业集团财务集中管理的内容主要包括以下几方面:
(1)财务人员的集中管理。现阶段保险企业集团的财务集中管理,大多采取的是设置财务核算中心,对全体财务人员进行垂直管理,并通过定期轮岗、述职报告以及末位淘汰等制度进行人员管理。
(2)财务审批集中管理。实施财务集中管理以后,企业集团的所有分支机构的财务支出项目都需要经过财务中心的统一审核,根据财务支出的类别、额度,明确相应的审批权限以及审批流程。
(3)财务支付集中管理。企业集团的所有分支机构的费用以及业务支出由财务中心统一完成支付,而分支机构主要设置支付税金的基本户与收取保费等费用的收入户。
(4)财务核算集中管理。通过财务管理信息系统,依靠专门的财务管理软件对所有分支机构的账套在数据库内完成明细账的核算与管理,各分支机构可以对核算情况进行查询。此外,还可以通过会计集中核算完成凭证生成与系统对账等功能。
(5)资金集中管理。在财务集中管理模式下,企业的在资金管理实现“收支两条线”的管理模式,资金使用的安全性与合规性更有保障,同时财务中心资金池的效应更加明显,有助于资金使用效率的提高。
三、财务集中管理模式下的财务风险问题分析
财务集中管理模式下,在降低企业财务管理成本,提高资金管理效率以及规避风险方面发挥了重要的作用,但与此同时,在财务管理工作中,也出现了一些新的风险点,主要表现在以下几方面:
(1)财务数据安全性不高易致财务风险。保险企业集团财务集中管理现阶段主要是采取的省级财务集中,财务集中的基础就是信息技术系统,但是由于信息系统管理中存在着易感染病毒、非授权人员违规操作、数据容易窃取等问题,造成数据安全性不高,很容易由于敏感、保密财务信息泄露,影响企业的经营管理,尤其是可能对集团上市公司的股价造成不利影响。
(2)财务凭证传递链大幅拉长。在财务集中管理模式下,由于扫描件难以辨别真假,出于会计谨慎性的原则,财务原始凭证仍需要采用实物传递的方式,这就造成了报账以及部分资金支付周期的延长,同时也容易出现凭证遗失的风险。
(3)增加了审计工作的难度。财务审计是企业集团规避防范财务风险的重要手段,在财务集中管理以后,由于审计客体发生了变化,财务中心不参与分支机构经济事项。因此,对于经济事项的真实性的审计难度增加,影响了审计效率,也容易造成审计工作难以发现风险隐患。
四、财务集中管理模式下强化风险防范措施
(1)健全企业的财务风险管理体系。针对财务集中化管理下集团的财务风险防范,必须建立完善的财务风险管理体系,首先,应该结合企业集团各分支机构的主要业务情况以及经营特点,形成财务风险识别系统,重点对影响到集团财务的风险进行识别与跟踪分析。其次,对财务风险进行专业的评估和度量,尤其是准确把握财务风险发生后可能对集团企业财务管理所造成的影响。第三,针对财务风险类型的不同,按照融资风险、投资风险、资金营运风险、利润分配风险、产权管理风险、内部价格转移风险等不同风险类型,合理地制定风险的预防和规避措施,以确保财务管理的稳健。
(2)优化保险企业集团的财务集中管理流程。在财务集中管理的流程改造上,重点应该做好财务管理的集权、分权以及授权管理,要通过建立完善的监督机制,形成适当分权、适时授权的格局,特别是避免由于财务集中管理造成反馈流程过长,信息传递时效过低的问题。同时,应该重点加强对财务集中管理的完善,特别是进一步的完善财务原始凭证的扫描以及直接导入技术,开发凭证资料影像的采集、处理、真伪鉴别以及存储调阅等功能,提高财务业务处理流程的整体效率。
(3)制定完善的信息系统风险管理制度。财务集中管理的实现,很大程度上依赖于财务信息管理系统的支持。因此,防范财务数据安全风险问题,是财务集中管理模式下财务风险控制的重要内容。对于财务集中管理信息系统,首先,应该加强信息安全与系统安全的风险防范技术管控,通过设置入侵检测、入侵预防以及漏洞扫描等手段,打造财务数据信息风险监控平台。其次,应该充分完善财务集中管理中的双网隔离、异地灾备等相关的技术手段,确保财务中心数据发生异常以后,能够及时地恢复。
(4)进一步改进内部审计手段。内部审计是确保经济活动合法合规的重要手段,同时也是控制风险问题的主要措施。在财务集中管理模式下,对于保险企业集团的内部审计工作,首先,应该改进内部审计手段,重点是改变以前的查看财务报表、翻阅会计凭证等审计手段,结合财务集中管理中的资金、费用、预算以及资产等信息管理形式,重点对财务信息数据库以及系统进行跟踪审计,通过对不合常规数据的监督分析,提高审计工作的深度。其次,在审计工作中,应该强化对于风险点的识别,特别是在分支机构银行账户开设的合规性、收付款业务管理的合规性、费用报销审核的合规性等几方面,对重点风险环节制定针对性的审计程序以及方法,强化对于风险的识别防范能力。
我国银行收单网络早期主要采取闭合型模式。在该模式下,发卡银行各自发展收单业务,收单机构与发卡机构实为同一机构(银行),收单银行受理终端仅能受理本行发行的银行卡,不支持跨行交易转接。为改善银行卡收单受理环境,我国实施“联网通用”工程,实现了银联卡跨行交易转接,银行卡收单网络模式由原来的“闭合型”转为“共享型”收单模式,其中充当第三方网络联接机构的是中国银联。根据我国收单市场实际,银联参与的共享型收单网络模式可细分银联直联模式和银联间联模式。在银联直联模式下,持卡人在特约商户POS终端交易后,该交易信息后不经过收单机构系统,而是径直发送至银联,并通过银联将交易信息传送至发卡银行。发卡银行对交易信息进行确认后,按原路径通过银联反馈至收单机构。在银联间联模式下,特约商户POS受理终端通过收单机构系统连接后再与银联系统连接。持卡人交易信息经由收单机构系统处理后,再根据不同情况将有关交易信息转至银联系统。对于本行机构发行的银行卡,收单机构可以通过本行交易清算系统进行清算。若为非本行卡,收单机构需通过银联系统将交易信息转送至发卡银行,交易被发卡银行确认后,按原路径返回。
银行卡收单业务相关法律问题
银行卡收单业务监管的重合与冲突问题
对于我国银行卡收单业务,中国人民银行及银监会等均有一定监管权,但监管标准和监管对象有所区别,监管合力尚未形成。银监会《商业银行信用卡业务监督管理办法》关于商业银行收单业务的监管规定比较明确细致,可操作性较强。中国人民银行《非金融机构支付服务管理办法》等规定,主要从业务准入等方面对非银行类收单机构实施监管,有关监管标准及要求还不够细化和明确。因此,需要监管部门之间加强协调,解决银行卡收单业务监管重合与冲突问题,克服多头管理体制的缺陷,制定适用于所有收单业务机构的银行卡收单业务监管规定,确保银行类收单机构与非金融收单机构收单业务监管口径趋于一致,营造公平的竞争环境。
银联直联收单模式的相关问题
银联与收单银行的收单责任界定问题。在银联直联模式下,如何界定收单风险管理责任,是国内从事银联卡收单业务的商业银行普遍遇到的一个难题。在银联直联收单模式下,收单交易链中包括特约商户、银联和发卡银行三个“节点”,其不同于间联模式下四个“节点”(另加收单机构)的交易结构。在间联模式下,作为收单机构的商业银行能够对交易进行实时监控,并能对可疑交易进行实时拦截,切实履行收单风险防控义务。但在直联模式下,银联机构(如“银通商务”)直接参与商户拓展、商户培训、机具布放及维护等服务,成为专业收单机构,而商业银行“仅提供后台资金结算服务”,若要求商业银行承担收单风险管理职责,则不合逻辑。因此,在直联收单模式下,收单风险管理主体当属何方有明确的必要,否则倘若收单主体不明确,直联收单风险损失的责任归属不明确,将直接影响直联收单风险的防控。
收单业务价格竞争规制问题。《中国银联入网机构银行卡跨行交易收益分配办法》的分润比例体现了向发卡银行倾斜鼓励发卡的目的,发卡银行也有动力积极拓展商户,并以收单银行身份受理本行卡,无需经过银联清算,从而提高收单业务手续费分润。因此,从收单银行角度分析,银行一般倾向于以间联网络模式办理收单业务。但是,在间联模式下,因囿于“一柜一机具”的监管限制,部分收单银行为维系商户关系,采取以降低商户手续费等方式不当竞争,放宽了对商户准入及业务风险的监督管理,影响了收单市场的健康发展。为规范市场竞争,部分地方银行监管机构强制要求商业银行采取直联模式,并要求在规定时间内终止间联签约商户,并全部重签直联商户,却有矫枉过正之嫌。银行卡收单市场各方应有权根据市场需求,选择采用间联收单还是直联收单,而不宜采用行政命令的方式强制性要求。从规范收单市场发展角度看,既要防止市场无序竞争,也要防范行政垄断,否则,不仅可能恶化银行卡产业链,甚至导致产业整体处于不能盈利的窘境。银行卡收单市场属典型的“双边市场”,为规范银行卡收单业务市场竞争规制,有必要制定合理的银行卡交易手续费和商户扣率的定价机制,完善特约商户、收单机构、发卡银行和银行卡组织等相关主体的利益分配协调机制。
银行卡组织仲裁的法律效力问题
在银行卡收单业务中,收单机构与发卡银行之间可能因交易授权、欺诈、清算差错、跨行信息转接失误、账单错误、一方违反银行卡组织运行规则等发生争议。在发生争议时,收单机构及发卡银行应当通过自主协商方式解决;自主协商不成的,则可依据双方共同参加的银行卡组织制定的运行规则或争议解决机制在银行卡组织内部解决。在银行卡收单争议中,发卡机构与收单机构作为银行卡组织的成员或协议入网机构,应当接受并遵守银行卡组织的有关业务规章及争议解决规则,其中包括仲裁条款。在发生争议时,发卡机构与收单机构在平等基础上将争议提交银行卡组织以非诉方式解决,并依据银行卡组织的规则进行裁定,该裁定应对争议双方具有约束力。对于银行卡组织主持的仲裁,其表面上看是合意性仲裁,实际上为强制性仲裁,凡接受银行卡组织的业务规则的参与方,均须承认该仲裁条款及仲裁裁定的法律效力。
关于银行卡组织等商事调解机构所作裁定的法律效力问题,最高人民法院有关司法解释也特别指出,经商事调解组织、行业调解组织或者其他具有调解职能的组织调解后达成的具有民事权利义务内容的调解协议具有民事合同性质,当事人可申请公证机关赋予其强制执行效力;债务人不履行或者不适当履行具有强制执行效力的公证文书的,债权人可以依法向有管辖权的人民法院申请执行。
银行卡收单业务法律风险防控
建立健全收单业务风险管理体系。收单机构特别是银行类收单机构应建立完善稳健的公司治理架构及相关制度,规定收单业务发展战略、收单业务风险管理组织架构、内部控制体系、收单机构管理层对银行卡收单业务承担的职责等内容。收单机构的公司治理相关政策制度应与收单机构承担的风险状况相匹配。同时,收单机构应建立与其收单业务市场规模及地位相匹配的全面风险管理制度,有效识别、评价、监测、控制银行卡收单业务中可能面临的信用风险、流动性风险、操作风险、合规风险以及信誉风险。
加强特约商户风险管理。一是强化特约商户准入资质审核。收单机构在拓展特约商户时应该严格落实特约商户实名制制度,充分利用人民银行征信系统及公安部公民身份核查系统,核实特约商户及特约商户法定代表人或负责人、授权经办人的个人身份,查询中国银联风险信息共享系统及同业往来风险信息共享系统,不发展有不良记录的商户。对于采用直联模式拓展商户的,应特别明确银联商务应承担对特约商户的入网审核职责。二是加强现场检查及业务监控。收单机构应定期对商户进行现场检查,及时发现商户风险隐患收单机构可以在对商户进行风险等级分类的基础上,通过对不同风险等级商户进行定期及不定期现场检查的方式,掌握特约商户的经营状况,检查信用卡受理是否规范,及时发现商户风险隐患,并采取有效措施杜绝风险的发生。三是建立健全风险信息共享机制,实现系统内商户风险信息共享,并加强与同业机构以及银行卡组织之间的信息交流与协调合作,共享风险信息和风险案例,共建联合防控机制。四是妥善处理商户风险事件,防止资金损失。五是开展账户信息安全评估,防范信息泄露风险。六是加大对特约商户的业务培训。
关键词:会计信息化;企业;内部控制
中图分类号:F272文献标志码:A文章编号:1673-291X(2015)22-0110-02
作者简介:吴海燕(1977-),女,山东莒南人,会计师,从事政府预算会计与企事业单位内部控制研究
引言
数据处理技术的不断进步使得会计系统逐渐演变为会计信息处理系统,其一方面为企业的财务会计工作提供了很大便利,便利企业的经营管理效率有了较大提升,另一方面也对企业传统内部控制等管理手段与方法提出了更高的要求。在会计信息化的大背景之下,传统内部控制会受到何种影响以及在会计信息化条件下如何对企业内部控制进行改进是值得研究的问题。
一、会计信息化对企业内部控制的影响探讨
1995年COSO了《内部控制指导纲要》,这份纲要用更为动态与简洁的术语对内部控制的基本架构进行了阐述。随着企业会计信息水平的不断提升,与财务会计密切相关的内部控制有关活动都发生了较大变化。现将从内部控制五大要素来对会计信息化对内部控制的影响进行阐述。
(一)会计信息化对控制环境的影响
对于传统企业而言,其财务组织架构均呈金字塔型,财务经理与会计人员之间形成了较为密切的关系,财务经理通过财务人员搜集信息进行决策。然而,随着会计信息化的不断推进,之前信息在企业人员之间的流动状态发生了改变,会计信息能够更为方便地被获取,进而使得企业组织形态更为扁平。此外,信息化的推进对企业内部信息沟通的速度提出了更高的要求,之前垂直型的组织结构已经不能适应市场的快速变化,进而促进企业组织结构朝着扁平化的方向调整。会计信息化使得财务会计管理人员更快地处理信息,进而做出决策,对其自身的信息处理与分析能力提出了更高的要求。因而需要促进企业内部控制环境质量的提升,将更为先进的管理手段与方法在内部控制中运用。
(二)会计信息化对风险评估的影响
会计信息化使得企业的财务会计信息能够更为方便地进行浏览与编辑,这种改变通常不留痕迹,这也构成了企业的风险点,财务信息安全受到更多因素的影响,一旦这一影响在企业中落实,必然会给企业带来损失。在这一环境下,企业需要对风险进行重新评估,进而加大了企业风险评估的范围。
(三)会计信息化对控制活动的影响
在会计信息化的背景之下,企业的资源能够更为方便地得以在企业内部进行共享与管理。企业的控制活动关键点在这一情况下应该进行调整。在信息化的大环境下,企业的控制活动可以分为自动化业务控制与会计信息系统业务控制两个部分。对于自动化业务控制而言,财务处理流程仍然是其处理对象,但是处理的方法与形式均有了改变。会计信息系统控制着重从全局出发,为信息系统的安全与完整提供保障。
(四)会计信息化对信息系统与沟通的影响
在会计信息化的支撑之下,财务部门能够与企业的管理部门更为顺畅地进行沟通,为管理人员履行职责提供了较大便利。通过会计信息化的帮助,企业财务人员能够将生产与管理人员的责任更为方便、快捷与有效地进行传达,而且还可以与企业的外部利益相关者构建良好的沟通渠道。
(五)会计信息化对监督的影响
会计信息化的不断推进能够大幅提升监督的效率,进而使得监督的效果能够有所提高。内部审计部门监督职责的履行可以通过日常和持续的监督活动来完成,同时还可以通过单独评估予以实现。此外,会计信息化的实施对企业财务流程会产生影响,由于监督经验较为欠缺,极大地增加了监督的难度。
二、会计信息化条件下内部控制的改进建议
(一)提升控制环境质量
在优化控制环境层面,首先应该加强内部审计在企业内部控制中应该发挥的作用,内部审计在企业中的地位应该得到提升,只有这样才能够对其独立性与权威性予以保障。内部审计的目标应该予以明确,在发挥其原有的查错纠弊的功能之外,还应该对企业生产经营与管理的合规予以保证。在审计方法层面,应该将事前与事中审计在企业的审计工作中展开,在原有的手工审计的基础之上,将计算机网络审计方法在企业中运用。在对企业的生产管理进行评价的同时,还应该积极发挥其监督作用,拓展内部审计的服务范围。其次,政府有关部门在立法层面应该加快节奏,针对会计信息化舞弊制度更为严厉与有效的法案。当前,相关法律法规对于会计信息化舞弊的案例并没有详细的规定,更多的法律法规是站在传统财务会计的角度来对财务会计中的有关行为进行规范。这也就给会计信息化舞弊提供了可乘之机,只有在外部法律制度上对相关违法行为进行规范,才能够起到对潜在违法者的警示作用以及对违法者的惩戒功能。此外,还应该建立健全企业的激励方针与政策,对于工作中表现优秀的员工予以重用,进而优化企业文化的氛围。会计信息化条件下企业需要在组织结构和人力资源层面进行较大的调整,根据当前信息化时代的背景来对企业的管理与经营进行有效调整,才能够为企业的生产经营提供保障。企业实施会计信息化需要以高素质人才作为依托,企业应该及时从外部引进会计信息化所需人才,并加强对现有人员的培训,进而提升人员业务素质与职业道德水平。因而,企业人力资源管理工作应该得到加强,使得在信息化条件下会计人员的才能能够拥有充分释放的平台,为企业内部控制的完善提供支持。
(二)大力完善风险管理制度
如果对会计信息化条件下的企业风险不能够进行及时准确的评估,会计信息化所带来的风险势必会在企业内部积聚,使得企业面临着较大损失的风险。企业应该对会计信息化所带来的风险予以高度重视,积极采取措施对风险进行应对,这其中既包括为控制强度的增大而增加的人工成本,也包含预防支出的增加。与预防和控制有关的控制增加会导致风险爆发的可能性下降,事故的总体支出也会随之减少。风险管理应该遵从成本收益原则,在风险管理能够获取的收益与应付出的成本间权衡,这就要求企业应该建立风险评价分析体系,使得企业在会计信息化条件的控制成本能够有所减少,并对风险及时评估与应对,为监督的有效实施提供保障。与此同时,应该建立健全内部会计控制,将预算与责任控制落到实处。会计信息化系统是在不断发展,这与科技不断创新具有较大关系,企业在会计信息化系统下运行具有一定风险,企业的生产经营活动需要相应的内部控制制度创新做保证。所以通过借助信息技术,对信息资源及时利用,将资本市场、产品市场、供求状况与顾客信息等信息进行收集和整理,通过计算机模拟,进行敏感度分析,对经营风险及时调控,完善投资决策,创新内部会计控制,建立健全预算及责任控制。
(三)通过硬件与网络建立良好的控制活动
在会计信息系统或者企业ERP开发的过程中,需要对操作日志进行完整的记录,并积极引入安全稽核制度,进而能够对远程具有不同权限的用户请求进行精准识别。网络安全防火墙的设置能够为企业实时的安全监督提供保障,依据管理人员的权限,运用预设的控制规则对会计账套的有关数据进行管理,并通过重新组合的方法对相关会计数据进行加密,为防止企业的数据库被非法打开,还应该安装控制软件,对用户的访问身份进行核实,并对相关内容进行检查。还可以通过制定财务软件的业界协议,协议对财务软件的不同部分如何交互进行规定,为不同财务软件之间能够实现数据传递或交换提供保证。会计信息化主管部门应该对数据结构、数据传递方式、数据保密等进行统一规定,既可以为不同财务软件之间数据共享提供使得,也能够进一步完善内部数据安全。加强企业信息系统硬件与网络安全的控制,能够降低由于外部环境的变化使得系统不安全运行的可能性。
(四)构建良好的信息沟通机制
良好的信息系统有助于提高企业运行的效率和效果,企业管理层能够及时掌握营运状况,为管理提供及时可靠的信息,并在有关部门和人员之间进行传递。首先,信息化战略性计划应当与公司的整体战略紧密相连,管理当局应对信息系统开发给予大力支持,确保各职能部门信息系统能够相互协作。其次,各部门应按控制系统的需要识别使用者需要的信息,在此基础上收集和加工信息,并将这些信息准确地传递给企业相关人员,使其能够顺利履行其职责。最后,通过内部控制框架的构建,完善公司的法人治理结构,建立健全会计及相关信息的报告负责制度,使企业内部的员工能够清楚地了解企业的内部控制制度,明确其所承担的责任,并及时取得和交换他们所掌握的有关信息。
(五)构建第三方审计机构完善监督机制
会计信息化系统首先在美国推行,AlCPA和CICA在1997年网站审计所遵循的规范,主要从三个方面确保审计师能够发表公允无偏的审计意见,以完善会计信息化条件下的监督机制。当前,我国的网站审计的发展仍处在初级时期,如何建立切实可行的网站审计规范,对于完善信息化环境下监督管理机制具有重要意义。在进行社会审计时,以借鉴美国等西方国家对内部控制审计的一些做法,要求企业对外界公众出具内部控制报告,并要求注册会计师对其进行审计,出具审计报告,这就加强了企业管理当局和注册会计师的责任,既可以降低企业的营运风险,提高企业经营效益进而保护投资者的权益,同时又提高了企业对外出具的财务报告及其他披露信息的可靠性。
参考文献:
[1]李敏.会计信息化环境下企业内部控制制度的完善[J].中国管理信息化,2012,(2).
【关键词】互联网金融 金融风险 风险管理
互联网金融正逐渐成为当今时展的主题。网络支付、P2P网贷、阿里小贷、移动支付等各种互联网金融新业态如雨后春笋般涌现,使得互联网金融市场模式更加丰富,形式更加多样。但由于存在虚拟化、技术依赖、安全系统保障以及法律法规缺失等问题,对互联网金融的管理及监控变得更加复杂和困难,或将对我国经济金融安全形成挑战。本文通过分析、总结当前中国互网金融市场存在的各项风险,提出有针对性的管理及防范互联网金融风险的对策,以促进互联网金融市场更规范、稳健的发展。
一、互联网金融概述
互联网金融是以互联网(包括PC互联网和移动互联网)、云计算、大数据以及各类智能化终端等新一代信息技术为载体,实现金融业与互联网产业、现代信息技术产业的相互融合,创新金融业态、构建金融业务新模式的过程。2013年是中国互联网金融的“元年”,余额宝的火爆上线引领其高速起步进而全方位渗透。当前我国互联网金融的主要模式包括第三方支付(如支付宝、财付通、快钱支付等)、网络融资(如P2P网贷、电商小贷、众筹等)、网络投资理财(如余额宝、理财通等)和基于大数据的金融服务平台模式等。《中国互联网络发展状况统计报告》显示,截至2015年12月,中国网民规模已达6.88亿,联网普及率达50.3%。中国企业计算机使用比例、互联网使用比例与固定宽带接入比例,同比分别上升了4.8个、10.3个和8.9个百分点,达到95.2%、89.0%和86.3%。互联网金融借助互联网的大面积普及及其技术的不断完善得到了飞速发展。
在“十三五”期间,笔者认为互联网金融未来发展将出现如下三大趋势:1.互联网金融法律体系将愈加规范。以2015年7月18日十部委《指导意见》为标志,互联网金融步入规范发展阶段。在鼓励创新,防范风险,趋利避害,健康发展的总体要求下,相关互联网金融监管法律法规将更加具体、规范。2.在金融业对内对外不断开放的背景下,当前跨行业投资规模正日益扩大,互联网金融交叉性产品不断涌现,未来将呈现更多互联网金融综合经营模式。3.互联网金融大众化带动业务模式不断分散化、小额化。我国网民和手机网民用户规模庞大且增长迅速,互联网金融平台的搭建将全面促进全民交易、投融资和理财等。
二、互联网金融的风险分析
互联网金融既没有改变互联网的本质也没有改变金融的本质,因此互联网金融风险既包括互联网层面上的操作安全等风险,也包含传统金融风险。在此双重风险表现形式下,互联网金融风险具有如下特性:一是多元性。互联网金融模式五花八门且不断创新发展,风险来源广泛且多样;二是复杂性。互联网金融系统信息量大且庞杂,在当前混业经营的趋势下,其风险相互交织,愈加复杂;三是连锁传染性。互联网金融将个人、企业资产与活跃的金融交易串联起来,一旦一方资金遭遇风险,全链条的安全性都将受到威胁。而且在应用互联网支持的技术服务下,网络网点的微小错误都可能传染到整个互联网金融系统并造成瘫痪。
根据前文所述的互联网金融风险特性,如果不能够及时识别其风险来源、种类及规模并进行监控和管理,有可能造成多米诺骨牌现象,直接冲击甚至威胁整个中国金融市场体系的安全和稳固。以下是笔者对当前互联网金融业存在的各项风险的分析:
(一)信用风险
狭义的信用风险是指在货币资金借贷交易中交易对方还款违约的风险,即有关主体在享有债权时,因债务人不能如期、足额还本付息,而蒙受经济损失的可能性。广义的信用风险是指在所有交易中交易对方背信弃义、违反约定的风险。传统金融中,通常通过完备的债务人信用评级制度,结合实地调查与标准化分析判断,评定债务人的信用等级情况,并据此发放贷款。而互联网金融交易打破了传统的地域限制和交易对象限制,这虽然带来了很多机遇,但由于缺乏有效全面的征信管理系统,互联网金融交易双方的违约成本较低,相关信用违约风险发生的概率大大增加,尤其是在当前P2P网贷模式中,一方面无能力还款的借款方跑路的情况频频出现,另一方面在没有完善的退出机制下,P2P平台倒闭也时常发生。
(二)操作性风险
互联网金融操作风险是指企业员工或金融消费者不熟悉计算机网路操作系统或未按内控制度操作引发的金融风险或产生的金融损失。互联网金融企业如未能及时对员工与流程管理存在的缺陷进行管理和改进,未能及时建立其针对操作风险的识别、评估和监控体系,就会引发互联网金融企业操作风险。然而在互联网金融交易中,操作主体大多数是客户,这就极可能出现操作不按照具体的规范和要求的情况,引起资金损失。在现如今移动互联网飞速发展的时代中,消费者已经被四面八方的网络所覆盖,给一些不法分子提供了违法犯罪的机会。他们利用广大消费者对随时随地接通互联网的需求,建立假冒的Wi-Fi热点,当消费者连接上这些热点以后,输入的银行账号、密码或是其他的一些个人信息就都暴露在不法分子的视线中,在不法分子获取这些信息后,可以轻松地对消费者的资金进行各种操作。此外,也有不法分子通过发送短信等方式诱骗消费者登录某些网站,从而操作、盗取消费者资金。
(三)信息安全风险
互联网金融引领着大数据信息时代的到来,个人用户和企业用户的各项基本信息、信用信息等均存储于互联网系统中,但是互联网金融企业对于客户的信息使用情况并没有规范的约束机制,客户信息的安全性无法得到可靠的保证,存在被滥用的风险。一方面,信息的泄露可能对个人和企业的私生活和日常经营造成不便或骚扰,而且一旦信息被恶意使用,甚至可能造成重大经济财产损失;另一方面,信用信息的泄漏或者被篡改会影响客观公正的信用评估的进行,进而加剧信用风险的危害。
(四)法律法规风险
互联网金融的法律法规风险是指由于企业业务不符合相关法律规定、监管规则以及道德规章等,导致盈利水平或者资本充足率水平下降的风险。其风险主要表现为互联网金融的创新性与现行法律制度的滞后性之间的矛盾,具体包括以下三点:一是现有的法律法规在互联网金融领域难以适用,导致在互联网金融的交易过程中容易出现交易主体间权利义务模糊,不利于互联网金融的稳定发展;二是由于我国互联网金融发展时间较短,现有的法律法规不能有效地适用于这一新生事物的需要,比如电子数据有效性的认定、网上证据的采集等,并不完善,当参与各方利益受损、陷入纠纷时,处理起来会非常棘手;三是存在监管缺位风险,由于互联网金融涉及面十分广泛,与现有的监管体制并不能完全重合,负责管辖的部门模糊不清,出现责任互相推诿。
三、互联网金融风险防范及监督对策
(一)建立全面信用风险管理体系
针对信用风险,建立信用风险的管理体系十分重要。首先,互联网金融企业要加强内部控制的机制建设,建立起相应的风险管理制度,并设立专门的风险控制团队,将风险控制在其发生的源头;其次,完善我国个人征信系统建设,以央行征信系统的基础数据为依据,以互联网企业的业务数据为补充,利用大数据、云计算等新兴技术,统一信用评价机制和信用管理办法,同时将企业的信用评级机制引入进来,促进互联网金融业务的开展;最后,互联网金融企业需要加强与传统金融机构之间的合作,传统金融机构有良好的个人信用记录,互联网金融企业需要通过与它们的合作,打通信用评级渠道,来更好地服务平台和自身的用户。
(二)多层面、多角度控制操作风险
首先,从消费者的角度来说,应提高自我防范意识。不要随意把自己的私人信息、银行卡密码等暴露在各种网站上,较高的安全意识是必可少的防范利器。其次,从互联网企业及企业员工来说,互联网金融企业应及时对员工与流程管理存在的缺陷进行管理和改进,及时建立其针对操作风险的识别、评估和监控体系。最后,金融机构、电信运营商、公安机关也应从不同角度加强对消费者安全意识的培养教育,如金融机构应完善对业务的风险和常见欺诈行为的警示、完善事中和事后的风险防控机制,电信运营商应该完善通信号码买卖管理规范、对通信软件的安全管理规范,公安机关应及时将具有普遍意义的资金欺诈行为通过电视报纸等媒体通告教育消费者。
(三)大力完善互联网金融法律体系
我国互联网金融的法律法规建设,可以从以下三个层面加大力度:一是整理与互联网相关的现有法律法规,结合互联网金融特点加大基础性立法工作,如明确互联网金融交易主体的责权利、行业准入门槛、交易行为规范等;二是修订和完善互联网金融的配套法律体系,如修订现有法律体系中对互联网金融不适用的条款,完善对互联网犯罪责任追究的法律规范;三是补充制定有利于互联网健康发展的行业法规,如互联网公平交易规则、消费者权利保护以及安全法规等。
(四)完善互联网金融的监管体系
首先,要理顺各类互联网金融模式的业务范围,并在此基础上明确互联网金融的监管主体、监管对象和监管范围,在监管模式上应根据我国金融市场特性,建立跨部门的监管机制,协调分业和混业创新监管模式;其次,建立互联网金融企业信息披露机制。要通过建立日常监督机制,及时、全面的监督指导互联网金融企业披露互联网金融信息。最后,要建立惩罚机制,对虚假披露和未按要求进行信息披露的互联网金融企业进行惩罚处理。
⒖嘉南
[1]黄文妍,段文奇.互联网金融:风险、监管与发展[J].上海经济研究,2015(08):20-26.
[2]姚国章,赵刚.互联网金融及其风险研究[J].南京邮电大学学报(自然科学版),2015,35(2):8-21.
[3]何文虎.我国互联网金融风险监管研究[J].南方金融,2014(10):45-49.
[4]王峥.我国互联网金融的风险分析及防范措施[J].时代金融,2014(8):82-83.
关键词:中小企业 内部控制 意义 现状 对策
一、引言
为了促使中小企业顺利开展内部控制工作,我们首先对中小企业发展的现状以及强化内部控制的重要意义进行阐述。
二、我国中小企业发展的现状分析
自从我国实行改革开放之后,我国的中小企业面临着前所未有的发展机遇及挑战,并且已经日益成为促进经济增长以及维护经济发展及社会稳定的一个重要力量。据相关统计资料显示,在全国的工商注册企业之中,中小企业就占了90%以上,中小企业的利润以及分别占50%、70%。此外,中小企业为全国80%的城镇人民气功提供较好的就业机会,并且在出口的总额中,就占了60%以上的份额。再有,我国中小企业为我国培养了众多企业家、创造了多种新技术、满足了人们的多样需求。由此可见,我国的中小企业在在很大程度上促进了地区,甚至是国家经济的发展以及社会生活的稳定。然而,需要重视的的一个问题是:随着中小企业内部发展和外部环境的变化,其的内部控制工作存在的问题日益突出,在很大程度上制约企业的长远发展。
在市场竞争日益激烈的的形势之下,我国的中小企业唯有高度重视内部控制工作,才能为企业的长期生存发展提供保障。此外,还能有效抵御多种生产经营风险的侵袭。中小企业的的内部控制涵盖企业相关管理者展开各项经营活动的方式,这样才利于管理者进行经济决策及指挥。内部控制业还包含审核、分析以及核对不同的经济信息资料。除此之外,内部控制还对各项经济活动展开综合规划、评价以及控制而制定得相关规章制度。总之,中小企业的各项经营生产活动的各个环节均无法脱离内部控制,内部控制是确保企业各项经营活动效益、经济信息以及财务报告的真实、完整、可靠的基础。
三、中小企业加强内部控制的重要意义
1.加强内部控制是中小企业确保内部财产物质的完整及安全的基本条件
中小企业加强内控,对内部财产物资的记录、验收、核算以及领用、保管、核对等各个环节运用多种控制手段,预防或者减少企业财产物资无端浪费或者被贪污、挪用及盗窃等现象的出现,进而确保发生,从而确保中小企业内部财产物质的完整及安全。
2.加强内部会计控制是中小企业落实我国新会计准则的基本前提
现阶段,随着我国会计改革进程的不断加快,再加上会计体系的构建是将新会计准作为主要内容,所以加强内部控制必然是发展大势所需。由于部分陆续颁布的新会计准则,受自身的可选择性以及概括性等因素的限制,致使中小企业相关的会计使用主体在实际运用会计政策过程中,必须是要结合中小企业实际发展的情况,这是构建符合我国中小企业会计制度的必然要求,也是确保有关的会计工作高效展开的需要。
3.加强内部会计控制是中小企业贯彻执行相关会计法律法规的体现
近些年来,我国为规范各大企业的会计发展,不断会计的相关法律、法规,为进行各项内部会计控制方面的工作提供很好的依据,不但体现了国家意志,好体现了中小企业今后的会计工作方向。当前,我国的中小企业再建立财会制度时,必要要考虑到所建立的制度是否和国家相关会计法规相适应,因为这是中小企业贯彻执行相关会计法律法规的最佳体现。
四、中小企业加强内部控制的措施
1.树立正确的内控制意识以及管理观念
从中小企业的发展现状来看,当前,中小企业自身内控工作存在较多问题,这主要是由于中小企业高层管理者及经营者没有重视内控工作的开展,内控意识淡薄、内控管理观念落后。目前,要促使中小企业充分发挥内控的作用,促使内部的经济活动顺利开展,中小企业相关管理者必须要树立正确的内控意识以及管理观念。中小企业的相关领导以及全体职工必须要提高思想认识,认识到实施内控的现实意义及重要性,进而改进及完善企业内部控制的相关制度,从而促使中小企业的经济效益与管理水平均能够得以提高。
2.完善中小企业的内控制度
完善中小企业的内控制度,是确保中小企业各项工作与章可循、有法可依。中小企业内控制度的完善,必须要结合中小企业具体的发展状况,要全面考虑我国中小企业内部和外部相关管理组织部门的设置。内控制度应该包括如下几个制度:风险管理制度、人力资源管理制度以及内部审计制度等。在现阶段,中小企业在展开各项内部财务会计核算时,通常是进行集中式的核算,而所得出的结果也只是简单的数据,没有对数据展开深层分析,无法从数据上了解企业的经济活动发展状况、员工近期的实际发展动态以及风险的预防控制情况等,而这些会对中小企业财务资产的完整安全产生严重的危害。要处理好此类问题,中小企业需要设置专门内控部门,并且要分配专职人员担任部门主管,进而划分部门职员的相关职责,需要注意的一点是,职责划分必须是互相分离而且是不相容的。
3.设立独立的内审部门,加强审计监督工作
监督是随着时间变化对制度执行的相关质量进行评估的一种过程。通常我国中小企业内部的审计及监督工作是由内审部门全部负责的,通过加强内部的审计,可以有效监督中小企业相关内部控制制度的执行情况,还能够帮助中小企业及时发现在内控过程中存在的薄弱环节,进而及时根据变化的相关情况做出内控的调整策略,从而为企业管理者提供相关的有效的决策依据。需要强调的问题是,中小企业的内部审计,实质上是作为相关会计行为主体的一种再监督,内审部门应该独立出会计机构,有自身的独立地位,这样才能制约企业经营者、管理者的行为。
4.构建一支高素质的中小企业内控队伍
为切实贯彻落实我国中小企业的相关内控制度,笔者认为应该构建一支高素质的中小企业内控队伍。主要是因为内控人员通常是执行企业内部各项经济财务活动的行为主体,应掌握相关业务知识和相关业务技能。除此之外,职业道德更是不可或缺。内控人员必须能够以企业内外部环境的具体变化,不断地进行知识更新以及知识充电。中小企业还应定期对内控人员进行专业知识、专业技能的培训,通过培训来宣传以及推广国家各项新颁发的相关会计法律法规和经济政策,这有助于中小企业全体职工及时了解并掌握最新的知识和政策,进而结合本企业的实际发展,做出科学合理的经济决策。
五、结束语
总之,对于中小企业来说,加强内部控制是为维持日常生产发展活动,维护自身信息安全及实现生产产品价值而必须实施的一项工作。有效内部控制能够确保各项资金的流通顺畅,是中小企业从事经营生产的一个血脉,也是企业发展的主要动力,更是降低中小企业成本、提高中小企业经济效益的根本保证。
参考文献:
[1]杨有红,陈凌云.2007年沪市公司内部控制自我评价研究――数据分析与政策建议[J].会计研究.2009(06)
[2]毛新述,杨有红.内部控制与风险管理――中国会计学会2009内部控制专题学术研讨会综述[J].会计研究.2009(05)
[3]李志斌.内部控制的规则属性及其执行机制研究――来自组织社会学规则理论的解释[J].会计研究.2009(02)
[4]沈卫东,韩宏新,徐凤彦.论在COSO框架下实施ERP系统内部控制[J].北京石油管理干部学院学报.2009(04)
[5]刘智.ERP环境下实现企业内控制度有效性的研究――基于A公司的案例分析[J].知识经济.2011(18)
(上接第74页)
2.加快政府职能转变,建立一个高效廉洁的政府行政体系
长期以来,政企不分是造成会计信息真实性无法保障的重要因素之一,而政府职能的转变是实现政企分开的根本前提,政府应更新观念,树立服务意识,完善各种法规,提高办事效率、勤政廉政,扫除腐败现象,净化社会风气,为企业营造宽松的外部环境,同时找准政府在市场经济中的位置,明确政府各部门的职责,深化改革政府机构,建立健全科学的操作可行的行政运行机制,政府职能转变了,行政的过多干预也消除了,会计信息的真实性和可靠性才会大大的提高。
3.强化会计监督体系
当前要建立以税务监督、审计监督和行政监督为主的外部监督体系和以内部审计为主的内部监督体系,完善内部控制机制,确保会计信息在初始阶段的准确和真实性,在整个监督过程中,各方要协调沟通、密切配合、通力合作,不仅要执法尺度不一和重复监督的情况出现,还要避免在监督中形成的“盲点”。对于那些挂靠在政府机关下的事业单位,应该将其脱钩,使之成为真正独立的社会中介机构,从而充分发挥其社会监督作用。还要加强对社会会计事务所的监督管理,对出具虚假会计审计报告的事务所要进行严肃的处理。情节严重的可吊销其营业执照。与此同时定期对注册会计师进行后续培训和职业道德教育,一方面提高其业务水平,另一方面在思想政治素质上也有提升。要建立一支专业素质能力过硬、职业道德良好、社会信誉度高的注册会计师队伍,使其能够以公正客观的立场对企业财务报告提供见证服务,并及时发现虚假或者舞弊行为,确保会计信息的真实性。
4.提高企业负责人和会计人员的综合素质
企业相关领导负责人应该增强法制观念,在市场经济体制下,只有依法经营才是企业发展的长远之道,在提升自身素质的同时,也要注重对企业会计队伍的建设,重视对会计人员专业知识的深入教育,鼓励会计人员不仅要掌握专业知识,对于计算机操作、电算化程序都应熟悉的掌握,确保其工作中的会计信息真实性,提高会计工作规范化程度。同时会计人员学会应用计算机等现代先进管理手段,不断提高会计信息质量加强网络技术在会计中的应用,以及在网络和计算机这种新环境下的会计系统设计,提高会计信息的质量。同时加强对其职业道德的教育,使其具备强烈的社会责任感,在履行职责中能够遵纪守法,不论何种情况下都不丧失职业道德原则,不图谋私利。
参考文献:
[1] 董辉唐.浅议如何提高会汁信息的真实性[J].商场现代化,2010,(33)
[2] 王锦蕾.关于会计信息真实性的思考[J].经营者管理,2008,(15)
[3] 祝丽宏.会计信息失真问题的成因及对策研究[J].金融经济,2010,(12)
【关键词】互联网金融 问题 政策建议
一、我国互联网金融的发展
互联网金融是金融与互联网技术相结合的产物,自20世纪90年代中期以来,我国互联网金融开始出现并不断创新发展,其中以网络银行、网络证券和网络保险业务的兴起为标志,我国互联网金融经历了第一轮发展阶段。此后,随着以社交网络、移动支付、云计算和搜索引擎等互联网现代科技的快速发展,以及金融创新步伐的加快,互联网技术与金融业务在广度和深度上进一步融合发展,第三方支付、网络信贷、众筹融资和整合销售金融产品等互联网金融模式开始实现快速发展。以第三方支付为例,2012年市场规模超过10万亿元,其中支付机构互联网支付业务达6.9万亿元,移动支付业务1811.9亿元,处理收单业务3.8万亿元,预付卡业务575.6亿元。目前,互联网金融已从单纯的支付业务,向转账汇款、跨境结算、小额信贷、现金管理、资产管理、供应链金融、基金和保险代销、信用卡还款等传统银行业务领域迅速渗透。2013年,以阿里巴巴为代表的互联网企业介入金融业,通过深入支付、信贷融资和理财等金融领域,开始了在互联网金融领域的拓展,2013年6月,阿里巴巴推出“余额宝”产品,仅10多天就吸收资金60亿元。互联网金融正冲击着银行业务、客户和传统的金融观念。
以互联网为代表的现代信息科技也逐步对传统的金融模式产生根本影响,这种以移动支付替代传统支付业务、P2P替代传统存贷款业务和众筹融资替代传统证券业务等金融模式,既不同于商业银行间接融资,也不同于资本市场直接融资,构成了“互联网金融模式”。互联网金融模式主要由三个核心部分组成:支付方式、信息处理和资源配置。一是在支付方式方面,以移动支付为基础。个人和机构都可在中央银行的支付中心(超级网银)开账户(存款和证券登记),即不再完全是二级商业银行账户体系;证券、现金等金融资产的支付和转移通过移动互联网络进行;支付清算电子化,替代现钞流通。二是在信息处理方面,社交网络生成和传播信息,特别是对个人和机构没有义务披露的信息;搜索引擎对信息进行组织、排序和检索,能缓解信息超载问题,有针对性地满足信息需求;云计算保障海量信息高速处理能力。三是在资源配置方面,资金供需信息直接在网上并匹配,供需双方可以直接联系和交易。借助于现代信息技术,个体之间直接金融交易这一人类最早金融模式会突破传统的安全边界和商业可行性边界,焕发出新的活力。
2013年,中国人民银行在的《第二季度货币政策执行报告》中对互联网金融的存在给予了高度评价,“互联网金融业在资金需求方与资金供给方之间提供了有别于传统银行业和证券市场的新渠道,提高了资金融通的效率,是现有金融体系的有益补充。互联网金融业依赖大数据分析有助于解决信息不对称和信用问题,提供更有针对性的特色服务和更多样化的产品,交易成本的大幅下降和风险分散提高了金融服务覆盖面,尤其是使小微企业、个体创业者和居民等群体受益。”不过,随着互联网金融市场的高速发展,互联网金融的虚拟化、跨国界经营、高技术装备水平、法律缺位等问题也开始出现,也使其比传统金融的风险。管理具有更大的复杂性,监管难度加大对我国的金融安全防范体系乃至经济安全都构成了重大的挑战。对此,本文探讨了我国互联网金融的发展情况、面临的主要风险,并提出促进互联网金融可持续发展的政策建议。
二、当前互联网金融发展面临的问题
(一)互联网金融法规缺位
目前,我国的法律没有针对互联网金融业专门立法,银行法、证券法和保险法等法律规章制度都是基于传统金融而制定,没有通过规范一般的互联网金融业务法规对该领域的业务进行规制,互联网金融业务的广度和跨界特征也使其开展的业务不适用所涉及行业的法律法规,这不仅会造成交易主体之间的权利与义务不明确,也会最终导致金融风险的出现。例如,互联网金融平台是否应取得相关金融业务许可、设立互联网金融平台的资质和技术标准、资金监管、信用管理、个人信息保护、平台开立第三方账户是否属于第三方支付平台业务范围等领域并没有法规做出具体的规定,一旦出现互联网金融平台破产倒闭和网络借贷诈骗等案件,互联网金融平台和参与者的权利都难以得到法律的有效保护。
(二)互联网金融业务风险显现
互联网金融业在快速发展的同时,由于制度、法规、监管和内控体系不健全,其在发展过程中面临着不少风险,例如资金链断裂引发的信用风险、挪用第三方账户资金形成的操作风险、资金诈骗导致的声誉风险和非法集资风险等问题。2013年,深圳的网赢天下、武汉的中财在线和浙江的非诚勿贷等知名P2P互联网金融平台相继出现挤兑事件,引发了流动性风险事件。而交易过程中有意或者无意的操作失误,无论是对于客户还是互联网金融机构而言,都会构成互联网金融发展过程中的风险累积。此外,互联网金融企业的客户资金和信息安全、隐私保护、互联网授权机制、身份认证机制、反洗钱以及计算能力等问题也会使互联网金融在发展中面临各类风险。
(三)互联网金融监管体系不健全
目前,由于我国的互联网金融发展尚处于初级发展阶段,互联网金融作为新兴的金融发展模式,现有的金融监管体系尚无法完全覆盖,无论是中国人民银行和金融监管部门,都缺乏对互联网金融业务的监管依据,其他的电信部门和工商部门等一般只是负责备案或工商登记等行政管理事项,并不直接掌控和监管互联网金融平台的具体业务。随着大数据的应用和不断更新的互联网技术与商业创新模式,互联网金融的快速发展在改变传统金融格局的同时,也给互联网金融的监管带来一定的挑战。而互联网金融在发展过程中不时出现的信贷诈骗、非法集资和平台挤兑等风险事件,说明有必要构建互联网金融监管体系以控制互联网金融的系统性风险,从而促进其可持续健康发展。
三、促进互联网金融可持续健康发展的对策建议
(一)制定互联网金融领域法律法规及管理办法
首先,应尽快开展互联网金融领域的立法工作,制定适用的法律法规,出台有关业务管理办法,对互联网金融企业的性质、地位和经营范围做出规定,明确资金流动与退出方面的规则。其次,要建立互联网金融业务准入标准和退出机制,并对现有的互联网金融平台进行清理,对不符合标准、风险较高的平台要坚决予以关闭。第三,要制定互联网金融行业规范,政府部门不仅要出台有关管理办法,还应推动建立相关的互联网金融行业协会,制定行业规则,规范和引导互联网金融平台的健康发展,由此强化自身建设,提高其抵御风险的能力和盈利能力。第四,借鉴国外互联网金融立法的经验,完善对消费者隐私保护、电子合同的合法性以及交易证据确认等方面的规定,最终营造权责分明、法理明确的互联网金融市场。
(二)提升对互联网金融风险的防范能力
第一,加强社会信用体系建设,使个人资信状况日益透明化,提高客户资信审核的准确性,建立互联网金融平台信用体系,发展信用评级服务市场,解决参与各方的信息不对称问题。第二,开展互联网金融消费教育和保护工作,针对目标群体进行有针对性的教育,提高互联网金融消费者的风险意识和自我保护能力,同时严肃查处互联网金融信息的不实宣传,严密防范互联网金融平台从事违规吸收公众存款和非法集资等活动。第三,完善各项风险管理制度,强化风险控制,例如建立资金监管和反洗钱制度等,防范互联网金融平台发生资金挪用和洗钱等风险事件的发生。第四,加大信息披露的程度,构建更加人性化的计算机网络安全体系,增强互联网金融操作的规范和流程,形成相互信任的互联网金融交易市场。
(三)构建互联网金融监管体系
一是可以成立互联网金融监管委员会,由中国人民银行、金融监管部门、公安部、商务部和工信部等单位组成,形成监管合力,联合监管互联网金融业务发展;二是建立互联网金融监管信息交流平台,促进监管部门的监管信息交流和资源共享,降低监管成本,提高监管透明度和监管效率;三是构建互联网金融业务统计监测指标体系,要求互联网金融企业定期向有关监管部门报送数据信息,实现对互联网金融平台的风险监测分析和风险预警;四是要成立专门的互联网金融风险处理机构,及时处理违法、违规和发生风险的互联网金融企业,从而防范互联网金融风险的蔓延。
参考文献
[1]货币政策司.《第二季度货币政策执行报告》.中国人民银行,2013年8月.
[2]冯娟娟.迎互联网金融背景下商业银行竞争策略研究[J].现代金融,2013年4期.
[3]伍兴龙.我国网络借贷发展现状与监管路径探析[J].金融管理2013年第3期.
