导语:在工程风险评估的核心问题的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
档案信息资产是与档案信息系统有关的所有资产,包括档案信息系统的硬件、软件、数据、人员、服务及组织形象等,是有形和无形资产的总和。脆弱性是档案信息系统自身存在的技术和管理漏洞,可能被外部威胁利用,造成安全事故;威胁是外部存在的、可能导致档案信息系统发生安全事故的潜在因素。威胁、脆弱性及档案信息资产的相互影响造成档案信息系统面临安全风险,最后计算出风险值。
档案信息安全风险评估总体方法
档案信息安全风险评估的核心问题之一是风险评估方法的选择,风险评估方法包括总体方法和具体方法。总体方法是从宏观的角度确定档案信息安全风险评估大致方法,包括:风险评价标准确定方法;风险评估中资产、威胁和脆弱性的识别方法;风险评估辅助工具使用方法及风险评估管理方法等。事实上,信息安全风险评估方法经历了一个不断发展的过程,“经历了从手动评估到工具辅助评估的阶段,目前正在由技术评估到整体评估发展,由定性评估向定性和定量相结合的方向发展,由基于知识(或经验)的评估向基于模型(或标准)的评估方法发展。”。随着信息安全技术与安全管理的不断发展,目前信息安全风险评估方法已发展到基于标准的、定性与定量相结合的、借用工具辅助评估的整体评估方法。档案信息安全风险评估总体方法应采用目前最先进方法,即采用依据合适风险评估标准、定性与定量结合、借助评估工具或软件来实现不仅进行档案信息安全技术评估,而且进行档案信息安全管理评估的整体评估方法。
1档案信息安全风险评估标准的确定
2档案信息安全风险评估需定性与定量相结合
定性分析方法是目前广泛采用的方法,需要凭借评估者的知识、经验和直觉,为风险的各个要素定级。定性分析法操作相对容易,但也可能因为分析结果过于主观性,很难完全反映安全现实情况。定量分析则对构成风险的各个要素和潜在损失水平赋予数值或货币金额,最后得出系统安全风险的量化评估结果。
定量分析方法准确,但由于信息系统风险评估是一个复杂的过程,整个信息系统又是一个庞大的系统工程,需要考虑的安全因素众多,而完全量化这些因素是不切实际的,因此完全量化评估是很难实现的。
定性与定量结合分析方法就是将风险要素的赋值和计算,根据需要分别采取定性和定量的方法,将定性分析方法和定量分析方法有机结合起来,共同完成信息安全风险评估。档案信息安全风险评估应采取定性与定量相结合的方法,在档案信息系统资产重要度、威胁分析和脆弱性分析可用定性方法,但给予赋值可采用定量方法。具体脆弱性测试软件可得出定量的数据,最后得出风险值,并判断哪些风险可接受和不可接受等。
3档案信息安全风险评估需借用辅助评估工具
目前信息安全风险评估辅助工具的出现,改变了以往一切工作都只能手工进行的状况,这些工作包括识别重要资产、威胁和弱点发现、安全需求分析、当前安全实践分析、基于资产的风险分析和评估等。其工作量巨大,容易出现疏漏,而且有些工作如系统软硬件漏洞检测等无法用手工完成,因此目前国内外均使用相应的评估辅助工具,如漏洞检测软件和风险评估辅助软件等。档案信息安全风险评估也需借助相应的辅助工具,直接可用的是各种系统软硬件漏洞测试软件或我国依据《GB/T20984-2007信息安全技术信息安全风险评估规范》开发的风险评估辅助软件,将来可开发专门的档案信息安全风险评估辅助工具软件。
4档案信息安全风险评估需整体评估
档案信息安全风险评估具体方法
根据档案信息安全风险评估原理。从资产识别到风险计算,都需根据信息系统自身情况和风险评估要求选择合适的具体方法,包括:资产识别方法、威胁识别方法、脆弱性识别方法、现有措施识别法和风险计算方法等。
1资产识别方法
档案信息资产识别是对信息资产的分类和判定其价值,因此资产识别方法包括资产分类方法和资产赋值方法。
(1)资产分类方法
在风险评估中资产分类没有严格的标准,但一般需满足:所有的资产都能找到相应的类;任何资产只能有唯一的类相对应。常用的资产分类方法有:按资产表现形式分类、按资产安全级别分类和按资产的功能分类等。
在《GB/T20984-2007信息安全技术信息安全风险评估规范》中,对资产按其表现形式进行分类,即分为数据、软件、硬件、服务、人员及其他(主要指组织的无形资产)。这种分类方法的优点为:资产分类清晰、资产分类详细,其缺点为:资产分类与其安全属性无关、资产分类过细造成评估极其复杂,因为目前大部分风险评估
都以资产识别作为起点,一项资产面临多项威胁,—项威胁又与多项脆弱性有关,最后造成针对某一项资产的风险评估就十分复杂,缺乏实际可操作性。这种分类方法比较适合于初次风险评估单位对所有信息资产进行摸底和统计。
风险评估中资产的价值不是以资产的经济价值来衡量,所以信息资产分类应与信息资产安全要求有关,即依据信息资产对安全要求的高低进行分类,这种方法同时也满足下一环节即信息资产重要度赋值需求。任何一个档案信息资产无论是硬件、软件还是其他,其均有安全属性,在《GB/T20984-2007信息安全技术信息安全风险评估规范》中要求:“资产价值应依据资产在保密性、完整性和可用性上的赋值等级,经过综合评定得出”。可选择每个资产在上述三个安全属性中最重要的安全属性等级作为其最后重要等级。但档案信息安全属性应该更多,除上述属性外还包括:真实性、不可否认性(抗抵赖)、可控性和可追溯性,所以可以根据档案信息的七个安全属性中最重要属性的等级作为该资产等级。
目前信息资产安全属性等级如保密性等级可分为:很高、高、中等、低、很低,因此信息资产按安全等级也可分为:很高、高、中等、低、很低,即如果此信息资产保密性等级为“中”,完整性等级为“中”,可用性等级为“低”,则取此信息资产安全等级最高的“中”级。
按信息资产安全级别分类法符合风险评估要求,因为体现了安全要求越高其资产价值越高的宗旨,在统计资产时也可按表现形式和安全等级结合的方法进行,如下表1所示。“类别”为按第一种分类方法中的类别,重要度为第二种方法中的五个等级。
(2)资产赋值方法
2威胁识别方法
(1)威胁分类方法
(2)威胁赋值方法
3脆弱性识别方法
(1)脆弱性分类方法
脆弱性一般可以分为两大类:信息资产本身脆弱性和安全控制措施不足带来的脆弱性。资产本身的脆弱性可以通过测试或漏洞扫描等途径得到,属于技术脆弱性。而安全控制措施不足的脆弱性包括技术脆弱性和管理脆弱性,管理脆弱性更容易被威胁所利用,最后造成安全事故。档案信息系统脆弱性分类最好按技术脆弱性和管理脆弱性进行。技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题,管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面。
(2)脆弱性赋值方法
根据脆弱性对资产的暴露程度(指被威胁利用后资产的损失程度),采用等级方式可对已经分类并识别的脆弱性进行赋值。如果脆弱性被威胁利用将对资产造成完全损害,则为最高等级,共分五级:“很高、高、中等、低、很低”,相应的值为:“5、4、3、2、1”。
脆弱性值(已有控制措施仍存在的脆弱性)也可称为暴露等级,将暴露等级“5、4、3、2、1”可转化为对应的暴露系数:100%、80%、60%、40%、20%,再将“脆弱性”与“资产重要度等级”联系,计算出如果脆弱性被威胁利用后发生安全事故的影响等级。
影响等级=暴露系数×资产等级重要度
4已有控制措施识别方法
(1)识别方法
在识别脆弱性的同时应对已经采取的安全措施进行确认,然后确定安全事件发生的容易度。容易度描述的是在采取安全控制措施后威胁利用脆弱性仍可能发生安全事故的容易情况,也就是威胁的五个等级:“很高、高、中等、低、很低”,相应的取值为:“5、4、3、2、1”,“5”为最容易发生安全事故。
同时安全事件发生的可能性与已有控制措施有关,评估人员可以根据对系统的调查分析直接给在用控制措施的有效性进行赋值,赋值等级可分为0-5级,
“0”为控制措施基本有效,“5”为控制措施基本无效。
(2)安全事件可能性赋值
安全事件发生的可能性可用以下公式计算:
发生可能性=发生容易度(即威胁赋值)+控制措施
5风险计算方法
风险计算方法有很多种,但其必须与资产安全等级、面临威胁值、脆弱性值、暴露等级值、容易度值、已有控制措施值等有关,计算出风险评估原理图中的影响等级和发生可能性值。目前一般而言风险计算公式如下:
风险=影响等级×发生可能性
综上所述,可将信息资产、面临威胁、可利用脆弱性、暴露、容易度、控制措施、影响、可能性、风险值构成表2,最终计算出风险值。下表以某数字档案馆为例,其主要分为馆内档案管理系统和电子文件中心,评估资产以子系统作为分类和赋值为起点,并只以部分威胁、脆弱性列出并计算风险。
上表中暴露等级值体现了脆弱性,容易度体现了威胁,以表2第一行为例计算档案管理系统数据泄密的风险值,过程如下:
影响等级=暴露系数×资产等级重要度=(3/5)*5=3
可能性=容易度(威胁值)+控制措施值=3+3=6
风险=影响等级×可能性=3×6=18
持续推动的等级保护
信息化技术标准委员会副主任委员崔书昆认为,在基础信息网络和重要信息系统的安全严重关系到国家安全、社会稳定以及人民群众切身利益的今天,信息安全问题已然成为事关全局的战略性问题。近年来,有关部门围绕信息安全保障体系建设,在信息安全等级保护、风险评估、标准制定、产品开发及打击各种网络违法犯罪活动等方面取得了积极进展。在这种情势下,将信息安全等级保护确定为提高国家信息安全保障能力,维护国家安全、社会稳定和公共利益的一项基本制度,是非常必要的。
可以这样理解,我国信息安全各项工作快速推进,信息安全风险评估工作和保障体系建设、信息安全管理工作、信息安全法制化和规范化建设、信息化基础设施和体系建设取得了重要的成效。特别是从2007年7月20号开始,全国重要信息系统定级工作已经开始,并在各行业、各部门、各单位的支持下,取得了丰硕的成果。
从2008年开始,公安部会同国家保密局等部门,在重要信息系统定级工作的基础之上,部署和开展深入推进信息安全等级保护工作,它主要分为三个方面:
第一,依据国家行业标准,从管理和技术两个方面,开展信息系统安全建设整改,建立并落实安全管理制度,落实安全责任制。
第二,根据等级保护标准开展风险评估、灾难备份、应急处置、安全检查等工作。
第三,对信息系统应用的一些重要单位,开展等级保护工作检查。
实施等级保护,充分体现了“适度安全、保护重点”的目的,可以把国家的重要网络、重要系统挑出来,把国家有限的精力、财力投入到信息保护当中去,提高国家基础网络和重要信息系统的安全保护水平,同时提高信息安全保障工作的整体水平。
奥运留下的财富
记者了解到,在北京奥运会之前,成立了以公安部牵头的包括海关、银行、广电等14个部委参加的信息网络安全指挥部。由于有了这样的指挥部,使得各项工作的落实有了一个组织保障。如果没有这个指挥部,大家各干各的,在北京奥运会期间便无法保证重要系统和网络的安全。
在2008年,国家安全的核心问题便是保障奥运的安全,奥运安全采取的第一个措施就是等级保护。郭启全介绍说:“公安部把奥运核心网络和涉及奥运会的系统都定级、备案,针对风险和重要性搞等级测评和风险评估,反复查找问题、漏洞、脆弱性和安全风险。从历史经验来看,总会有一些黑客试图攻击奥运系统。所以,在这些黑客攻击之前,我们就需要开始做严格的攻击性自测。找到问题后进行系统加固,并且是有针对性地进行加固。这种安全建设、整改、加固还有等级测评,提升了我们的系统防范能力。”
2009年的新工作
中国工程院院士沈昌祥指出,目前我国信息与网络安全的防护能力还处于发展的初级阶段,有些应用系统处于不设防状态。国防科技大学的一项研究表明,我国与互联网相连的网络管理中心有95%都遭到过境内外黑客的攻击或侵入,其中银行、金融和证券机构是攻击重点。
由于奥运网络和信息系统开展了等级保护工作,并对等级保护工作的政策标准、工作环节进行了检验,所以等级保护下一步的工作部署将充分借鉴北京奥运会的经验,健全完善等级保护领导体制和协调配合机制,例如等级保护原来有些领导体制可能还要进行补充,明确重点工作对象,比如说拿三级系统作为重点工作对象。
郭启全说:“我们会严格落实责任制,认真抓好三点工作,计划三年内完成安全系统的整改工作,总的目标就是:能力提高,事故降低,等级保护制度得到落实,国家信息网络安全基本得到保障。”
开展的重点工作主要分为三个方面。第一个方面是全面开展等级保护安全建设整改工作,要建设安全设施,落实安全措施,建立并落实安全管理制度,落实责任制。第二个方面是各单位建立安全整改工作规划,完成定级系统整改规划和制定具体实施方案。第三个方面是以三级以上系统为重点,确定安全需求,制定安全方案。“当然,一些单位可能不太明白具体的操作办法,届时我们会选择有代表性的信息系统进行安全建设试点、示范,结合行业特点制定行业标准规范,按照有关工作实施的规范要求组织实施信息系统安全建设工程。”
关键词:商业银行公司治理风险管理风险审计
风险审计的涵义
商业银行实施风险审计方法的坝实重要牲格林斯潘曾经说过:“银行的基本职能是预测、承担和管理风险。”风险审计的本质和根本目标是促进和保障商业银行业务的稳健发展,促进商业银行树立全面的风险管理理念,坚持发展与防范风险并重;适应市场和业务需要,不断完善风险管理手段,健全风险管理体制,培育风险管理文化,提高风险管理水平,促进业务发展,目标是优化资源配置,将风险控制在商业银行可以承担的范围内,实现风险调整后的收益最大化。
(一)风险审计的理念和方法是商业银行实施全面风险管理的现实选择,进一步提升了内部审计的增值服务风险是商业银行与生俱来的产物,存在于商业银行业务的每一个环节当中,商业银行提供金融服务的过程也是承担和控制风险的过程,因此,风险管理是商业银行永恒的主题。在现代金融领域中,能建立良好的风险管理架构和体系,对风险进行全面有效的管理,并以良好的风险定价策略实现价值增长,是影响商业银行核心竞争力的重要因素,也是实施风险审计的必然要求。国有商业银行上市后,要在提高全面风险管理能力的前提下保持持续的价值创造能力。
(二)采用风险审计的理论和技术、是现代商业银行审计发展的目标和方向,实现增值型审计转型需要:当前国际内审发展已进入一个以风险管理和公司治理为标志的新的发展阶段,西方的绝大部分商业银行在内部审计均采用了风险审计的理论和技术。国际审计师协会主席捷奎林瓦格娜曾提出:“环境的变化给内部审计师带来增加价值的机会最多的领域是风险管理的公司治理。”2003年国际内部审计协会对2001年新的《内部审计实务标准》(以下简称《标准》)修改后,在内容上也自始至终都贯穿着风险审计的主导思想。
风睑审计在项代商业银行风睑管理中的作用
(二)风险审计有利于对风险事件的识别风险审计采用通用风险分析模板及方法,识别商业银行业务过程的风险和外部环境风险。风险审计人员运用某些分析方法,创造性地进行分析,判断管理层是否完全识别了企业的所有风险,若有遗漏的风险要提醒管理层加以考虑。
(三)风险审计有利于对风险的反应和控制。在风险反应活动中,商业银行要根据不同的风险决定要采取的策略和方法,决定是避免风险、接受风险、还是降低风险。如对有相对的风险回报的风险,商业银行可以考虑接受,但要采取控制措施,才能将风险降低到可以接受的水平,获得希望的回报。对于这部分风险,商业银行会采取减少风险、转移风险或分担风险的办法以降低商业银行承受的风险。风险审计人员的主要工作在于分析、评价风险回报的合理性、减少风险的措施的有效性、以及接受风险转移和风险分担的那一方的风险。
风险审计在捕国商业银行规划与存在问题
(三)风险审计技术手段落后,难以适应工作需要。计算机会计信息系统、信贷管理系统的广泛应用和发展,大大增强了审计的及时性,事后审计;逐步被实时审计所代替,这与针对经营全过程的风险基础审计不谋而合。在我国,商业银行审计人员大多数对计算机辅助审计不太熟悉,许多还停留在传统手工查账的基础上,在新技术面前还有些无所适从.审计手段落后,不但增加了审计难度,而且效率低、准确差,严重影响了审计作用的发挥,无法满足商业银行风险基础审计工作的需要
(四)协调配台欠缺,降低了审计结果的运用日常审计中很少利用纪检、人事及其他部门掌握的信息,审计结束后,除个别项目外一般也不与这些部门交换,致使审计成果在干部考核、任用、奖惩等方面没有发挥应有的作用,相应削弱了审计的威慑力。
我国商业银行发展和完善风险审计的对策
(一)正确认识风险基础审计在银行公司治理结构的重要作用,为风险审计的发展刨造良好的环境商业银行公司治理的核心问题是委托人(股东、投资者、管理者)如何激励和约束人(经理层)、积极有效地完成受托经营管理责任,以确保股东或投资者财富最大化。显然仅仅通过财务审计,委托人难以全面了解人是否有效履行其受托责任,而风险基础审计有利于减少信息不对称性,较为全面地提供委托人所需要的有关经营管理活动方面信息,大大遏制了“道德风险”的发生,增强了经营管理的透明度,从而达到控制和抑制“内部人控制”的目的,同时,通过风险审计可以有效地判断人的业绩和能力,评价人对受托人责任履行情况,促进人提高经营管理效率因此,风险审计是商业银行公司治理结构的重要组成部分,是完善公司治理结构的“四大基石”之一。
(二)抓紧制定风睑基蒯{计;,立则尽快完善评价标:停体系要吸收借鉴美国、英国、典等发达国家的先进经验,抓紧研究制定我国的风险基础审计准则,这是开展风险审计的当务之急。风险基础审计准则的制定要遵循“衔接”、“配套”、“务实”的原则,注意解决好前瞻与现实的矛盾,接轨与国情的矛盾。逐步探索和完善风险审计的评价标准体系,量化评价指标,为不同项目之间的比较提供依据.
(三)认真搞好风险基础审计研究,探索先进审计技术方法。先进的审计技术和方法,是提高审计效率和质量的重要保证要通过传统方法与现代信息技术的结合,加大风险审计技术的研究力度,特别要注重探索完善审计抽样、内控测评、风险评估等方面的方法和技术产。在风险审计的方法和技术的研究中,要实行科研人员与实务人员、科研与调研、审计人员与项目工程人员相结合的办法开展,以增强实用性、指导性和前瞧性。
关键词:网络安全意识发展趋势防火墙
1网络的安全技术概括
网络安全技术主要分为两种。一是加密技术,这种技术是EC中使用的主要措施,这种技术能够在贸易方进行信息交换时候使用。当前,加密技术主要有对称加密和非对称加密技术两种。第二种是防火墙的技术。通常我们所说的防火墙技术是一种应用性的安全技术,这种技术主要是建立在信息的安全技术以及通信技术基础之上,普遍应用于公用、专用网络的某些互联环境当中,接入一种Internet网络是最为流行的。
从逻辑上来看,防火墙是一个分离器,也可以叫做是分离器,它能够有效地保证和控制互联网和内部网络之间安全的进行交易。此外,根据防火墙的侧重点以及防范方式的不同,将防火墙技术分为很多种,其中具有代表性的为:(1)分组过滤:这种技术能够在传输层和网络层起作用,它根基端口号和目的地址、协议的类型、分组的包头源的地址等标志,来确定其是否让数据包在此通过。当数据包(过滤逻辑)得到满足后,这些数据包相应的转发到目标出口端,其余的数据包则丢弃,没用了。(2)应用:通常也叫做网关,网关主要在应用层发挥作用,它能够阻隔网络的通信,并根据不同的应用服务来编写其专门的程序,从而有效的控制和监视应用层通信的交流。
2网络安全技术中主要存在的缺陷
目前,人们在日常及工作中使用的网络安全技术主要是针对某个或某种网络的安全问题而设计的。因此,在某种程度上,这些网络安全技术只能够相应解决某个或某种网络安全问题,但是这些网络安全技术没有办法解决其他与之有关的问题,更别说对整个的网络系统进行有效地保护。比如说,人们网络技术中使用的访问控制以及身份认证技术,只能解决网络用户身份的确认问题,但是却无法保证用户与用户之间信息传递的安全性。
当前,随着计算机技术的不断发展,现代防火墙技术也取得了一定的发展,也能够在现有技术基础上解决一些基本的网络安全问题。但是,防火墙这种技术主要在应用层发挥作用,但是防火墙技术仍然存在许多局限性。其中,防火墙技术组最大的局限性就是防火墙技术不能够本计算机内保存放数据的安全性。当然它也存在着很多弱点:(1)这种技术不能够防范一些恶意入侵的知情者;(2)这种技术不能防御一些来自计算机内部的攻击;(3)这种防火墙不能够防御一些能够绕过防火墙的攻击;(4)这种技术不能防御来自对数据的攻击。
当然,在新的、有效的网络安全产品研发出来之前,很多用户更会选择一些主流的安全技术与防火墙等技术联合起来使用,从而保障自己的网络安全。
3网络安全技术发展趋势
网络安全是比较复杂的,从它的概念、内容、框架等。为了保证网络安全的有效性,对于网络安全的管理必须采用相应的管理才能管理员,这样才能够有效的保证网络安全控制,从而能够有效的保证预期资源的安全。因此,网络安全的主要核心问题是建立起组织的一些安全管理的体系。而这个安全管理体系又是由许多动态安全分析的相应的过程和静态安全控制相应的措施组成。
(1)安全需求的分析。客户只有真正了解自己所需要的安全需求,才能够根据自身的需要创建一些符合自己需要的安全结构,这样客户才能够有效地保证自己的网络系统安全。
(2)安全风险的管理。安全风险的管理主要是对在安全需求的分析结果中出现的一些业务需求和安全威胁进行适当的风险评估,通过一些企业或相应组织能够接受的一些投资,来最大程度地实现网络的安全。风险评估主要为构架一些部门和组织的安全体系的结构以及制定其安全性策略提供了很多直接的相应的依据。
(4)定期进行安全审核。对于安全审核,其首要任务是审核其组织的那些安全性策略是否是被其有效执行。
综上所述,网络环境是一个复杂的、多变的、各种资源能够相互共享的虚拟环境,但是这个环境又是脆弱的,这些性质都决定了网络患者中的安全隐患。随着我国计算机技术的不断发展,网络对于一个国家、一个企业而言有着举足轻重的作用。因此,在信息化社会中,如果没有安全、稳定的信息化网络,整个国家就不可能有安全的屏障。
参考文献
[1]千一男.关于计算机网络安全风险的分析与防范对策的研究[J].电脑知识与技术,2011年29期.
[关键词]电子政务信息安全等级保护风险评估
1概述
电子政务的建立将使政府社会服务职能得到最大程度的发挥,但也使政府敏感信息暴露在无孔不入的网络威胁面前。由于电子政务信息网络上有相当多的政府公文在流转,其中不乏重要信息,内部网络上有着大量高度机密的数据和信息,直接涉及政府的核心政务,它关系到政府部门、各大系统乃至整个国家的利益,有的甚至涉及国家安全。因此,电子政务信息安全是制约电子政务建设与发展的首要问题和核心问题,是电子政务的职能与优势得以实现的根本前提。如果电子政务信息安全得不到保障,不仅电子政务的便利与效率无从保证,更会给国家利益带来严重威胁。
2电子政务信息系统面临的威胁
电子政务涉及对政府机密信息和敏感政务的保护、维护公共秩序和行政监管的准确实施以及为保障社会提供公共服务的质量。电子政务作为政府有效决策、管理、服务的重要手段,必然会遇到各种敌对势力、恐怖集团、捣乱分子的破坏和攻击。尤其是,电子政务在基于互联网的网络平台上,他包括政务内网、政务外网和互联网,而互联网是一个无行政主管的全球网络,自身缺少设防,安全隐患很多,使得不法分子利用互联网进行犯罪有机可乘,这就使得基于互联网开展的电子政务应用面临着严峻的挑战。
对电子政务的安全威胁包括网上黑客入侵和犯罪、病毒泛滥和蔓延,信息间谍的潜入和窃密,网络恐怖集团的攻击和破坏,内部人员的违规和违法操作,网络系统的脆弱和瘫痪,信息安全产品的失控等,对于这些威胁,电子政务的建设和应用应引起足够警惕,采取果断的安全措施,应对这种挑战。
3电子政务信息安全管理体系的构建
要有效维护电子政务信息系统的安全,就需要构建电子政务安全管理体系,从而使政务的信息基础设施、信息应用服务能够具有保密性、完整性、真实性和可用性。电子政务安全管理体系包括安全技术体系、安全管理体系和安全服务体系,涉及从管理到组织,从网络到数据,从法规标准到基础设施等各个方面。
3.1加强安全技术力量是实现电子政务安全的基本方法
安全技术体系是利用技术手段实现技术层面的安全保护,是对电子政务安全防护体系的完善,包括网络安全体系、数据安全传输与存储体系,功能主要是通过各种技术手段实现技术层次的安全保护。
3.2构建安全管理体系是电子政务安全实施的重要基础
安全管理是解决电子政务的安全问题在技术以外的另一有力保障和途径。由于安全的防范技术与破坏技术总是“势均力敌”、“相互促进”的。作为防范者就更应该在安全防范的管理上下更大的工夫。安全管理主要涉及三个方面:法律法规、安全防护体系以及等级保护政策。
3.2.1法律政策、规章制度和标准规范
3.2.2电子政务防护体系
贯穿整个电子政务的安全防护体系,对电子政务安全实施起全面的指导作用,具体包括三个方面的内容:安全组织机构、安全人事管理、以及安全责任制度。建立安全组织机构,其目的是统一规划各级网络系统的安全、制定完善的安全策略和措施、协调各方面的安全事宜,主要职责包括制定整体安全策略、明确规章制度、落实各项安全措施实施,以及制订安全应急方案和保密信息的安全策略;安全人事管理,其主要内容包括:人事审查与录用、岗位与责任范围的确定、工作评价、人事档案管理、提升、调动与免职、基础培训等;制定和落实安全责任制度,包括系统运行维护管理制度、计算机处理控制管理制度、文档资料管理制度、操作和管理人员管理制度、机房安全管理制度、定期检查与监督制度、网络通信安全管理制度、病毒防治管理制度、安全等级保护制度、对外交流安全维护制度,以及对外合作制度等。
3.2.3等级保护制度
通过全面推行信息安全等级保护制度,逐步将信息安全等级保护制度落实到信息系统安全规划、建设、测评、运行维护和使用等各个环节,使信息安全保障状况得到基本改善。通过加强和规范信息安全等级保护管理,不断提高信息安全保障能力,为维护信息网络的安全稳定,促进信息化发展服务。
4完善安全服务是维护电子政务安全实施的有力保障
4.1安全等级测评和风险评估管理
电子政务信息系统安全测评服务,其实质是通过科学、规范、公正的测试和评估向被测评单位证实其信息系统的安全性能符合等级保护的要求。
由于信息安全直接涉及国家利益、安全和,政府对信息产品、信息系统安全性的测评认证要更为严格。对信息系统和信息安全技术中的核心技术,由政府直接控制,在信息安全各主管部门的支持和指导下,依托专业的职能机构提供技术支持,形成政府的行政管理与技术支持相结合、相依赖的管理体制。风险管理是对项目风险的识别、分析和应对过程。它包括对正面事件效果的最大化及对负面事件影响的最小化。电子政务安全风险管理的主要任务是电子政务信息系统的风险评估并提出风险缓解措施,前者是识别并分析系统中的风险因素,估计可能造成的损失,后者是选择和实施安全控制,将风险降低到一个可接受的水平。
4.2安全培训服务
根据不同层次的人才需求,社会化的信息安全人才培养体系应分为专业型教育、应用型教育和安全素养教育三个层次。专业型教育主要是培养信息安全领域的专业研发、工程技术、战略管理等方面的人才。应用型(半专业)教育则是以从事现代信息管理工作的人作为对象,培养目标是要求学生具备信息安全的基本知识、网络和信息系统安全防范技能、组织机构或系统安全管理的能力等。这种应用型的信息安全教育要求受教育对象数量要多,覆盖面要广,基本信息技能要强。通过课程、讲座、宣传等多种形式,达到让每一个人都具备必要的安全意识和常规的信息安全自我防范技术的目的。要求单位领导应具备必要信息安全意识和安全知识;信息管理人员应具备一定的信息安全知识和基本技能;从事信息服务或信息安全服务的有关人员应具备必要的信息安全知识和技术基础等。
构建安全稳定的政务信息系统,技术、管理、服务作为支撑体系的三大要素,缺一不可。只有这三方面都做好了,才能实现海西政务信息管理体系的全面提升。
参考文献:
[1]何玲,电子政务环境下政府电子文件管理新探索[D].成都:四川大学硕士学位论文,2008.
关键词:模糊Petri网信贷风险审计预警
一、引言
近年,随着信息技术与互联网金融的高速发展,P2P网络信贷的兴起在世界范围内产生冲击。LendingClub2007年在美国成立,七年间作为美国P2P网络信贷的领先企业,目前已经成功撮合40亿美元的借贷交易。与此同时,我国P2P网络信贷成长迅速,最新出炉的中国P2P网贷指数显示,截至2014年12月30日上午11时,全国P2P网贷平台共2358家,其中活跃平台(纳入中国P2P网贷指数统计)1680家。众所周知,由于网络信贷的高速成长,网络信贷企业水平参差不齐。2014全年问题企业达275家,仅2013年12月份,由于投资人撤资,行业兑付压力骤升所导致的问题企业就高达92家。网络信贷企业失败的原因总结起来,除了自身因素外,绝大部分都是由于平台内部风险控制较差,一些借款客户不能正常还款,使得贷款坏账率过高,而平台承诺投资人的收益过高,实际的优质业务很少,导致平台资金链断裂所致。因此对于网络信贷公司而言,降低信贷风险迫在眉睫。
二、文献综述
三、基于Petri网的审计预警系统模型
从前人各类审计预警系统的构想中不难看出,大多数设想都是基于工作流程创造的,这些按照工作流程设想的框架都缺少系统模型。在工作流的过程建模中,要求所建立的模型具有较强的描述能力,建模过程简便、直观,所建立的模型易于使用,同时还要求模型易于修改和扩充,以适应不断变化的工作环境。进一步地,模型还要求能够便于被验证,进行性能评价。Petri网作为一种描述并发系统动态行为的有力工具,能够很好地满足上述这些要求,准确描述信贷审批流程。基于此,本文在阐述P2P网络信贷审批过程的基础上,根据互联网金融企业开展网络信贷业务的经验教训,突出内外部因素在审批过程中与风险的因果关系,建立风险评价指标;给出基于模糊Petri网的评价方法,为定量评价网络信贷风险提供参考手段,为审计预警提供依据,确保互联网金融企业网络信贷风险的控制。
(一)信贷审批审计预警系统流程
(二)建立互联网信贷风险审计预警模型
1.基于模糊Petri网互联网信贷风险审计预警评价模型。根据模糊Petri网基本原理和对互联网信贷风险环境的分析,可以得到基于模糊Petri网互联网信贷风险评价模型FPN。
2.FPN网建立的步骤。FPN网的构建详细过程如下:
(1)确定致因因素。详细了解互联网信贷的特征,分析导致最终事件发生的基本因素,得到互联网信贷风险致因因素含义及库所表示(详见表1)。
(3)根据互联网信贷环境的分析和FPN中各影响因素含义及库所表示,得到互联网信贷风险模型中各命题含义(详见表3)。
3.模型FPN的推理规则。
(4)规则四。IFdkTHENdl1ANDdl2AND…ANDdl(CF=μi)。变迁发生后,命题dli(j=1,2,…,l)的真实度的值为β(pj)×μi。如果图2基于FPN的互联网信贷风险模型有相一致的表示,其库所对应命题真实度的值按照该算法得出。
步骤五:pj成为已检查过的库所,重复步骤四,直至所有点都被检查为止。
步骤六:按目标库所的第一个标记反向追踪最长路径及最长路径上的所有库所,则该路径上的致因因素即为引发信贷风险的关键因素,路径长度的含义即为导致其信贷风险因素的可能性。
四、结束语
参考文献:
1.沈良辉,陈莹.美国P2P网贷信用风险管理经验及对我国的启示[J].征信,2014,(06):61-65.
2.雷舰.我国P2P网贷行业发展现状、问题及监管对策[J].国际金融,2014,(08):71-76.
3.马运全.P2P网络信贷的发展、风险与行为矫正[J].微型金融研究,2012,(2):46-49.
4.黄叶苊,齐晓雯.网络信贷中的风险控制[J].工作论坛,2012,(4):101-105.
5.孙英隽,苏颜芹.微金融的发展趋势:网络信贷[J].科技与管理,2012,(1):92-95.
6.鲁爱民,孟志青.审计预警系统的构建研究[J].会计之友,2012,(29):97-98.
7.阳洁,胡静.金融风险预警系统评价与分析[J].经济问题,1999,(05):48-51.
8.陈文夏.次贷危机对我国政府金融审计的启示――基于国家审计发挥“免疫系统”功能的思考[J].审计研究,2009,(02):22-25.
9.陈文夏.金融审计预警体系构建研究[J].审计研究,2011,(02):33-38.
中图分类号:DF453文献标识码:A
一、国有土地上房屋征收与补偿工作的问题
《国有土地上房屋征收与补偿条例》虽然将房屋征收工作提到了法律的高度上,但是过于宽泛,缺少落实细则。虽然《国有土地上房屋征收与补偿条例》的颁布和实施为房屋征收工作提供了法律保障,但过于宽泛,缺少具体的操作细则,使得房屋征收工作没有统一的操作行为。随着经济和形势的发展,因时而动、因地而变的情况时有发生,需要准备和提交的材料不统一,导致征收工作实施过程中,被征收人房屋证明资料不完整或自然人的情况不明确,令征收工作无法顺利、稳定地开展和完成。
《国有土地上房屋征收与补偿条例》中公共利益的范畴和外延伸缩性、弹性过大,使得部分为谋取个人利益的人有机可乘。《国有土地上房屋征收与补偿条例》虽然明确规定了征收条件是为了公共利益的需要,但在实际征收中,一些人为谋取个人私利,混淆概念,把私人建厂或开发小区等都贴上“为促进国民经济和社会发展的需要”的标签,打着“公共利益”的招牌,挂着“公共利益”的幌子,称其是符合政府纳入国民经济发展规划的项目,使公共利益的范围更加模糊,公共利益的外延更加庞大。
征收补偿不及时,公民的产权调换的回迁权缺乏有力的保障。在房屋征收过程中,一些市、县因财政资金不足或人为原因造成征收补偿不及时的现象时有发生,以致公民的产权调换的回迁权缺乏有力的保障。这样也给房屋征收工作带来了很不好的影响,使房屋征收工作很难大范围地展开,并致使后续工作无法进行。给一部分百姓造成房屋征收补偿款放在政府手里可不能放得下心,只有放在自己手里才是最可靠的的印象。征收补偿不及时现象的存在使政府失去了公信力。
征收补偿条例过分强调了行政机关的主导地位,并且缺乏有效的监督。在《国有土地上房屋征收与补偿条例》中,过分强调了行政机关的主导性,使征收的许多事项都掌控在政府的手中,缺乏有效的监督,这样就使得一些人为谋取个人私利而放弃原则和失去党性,致使暗箱操作频出,腐败滋生,使社会矛盾激化,房屋征收与补偿纠纷越来越多,越来越激烈,影响了经济的发展和社会的稳定,并且导致了不可估量的后果。
征收补偿标准的制定存在矛盾。征收工作的核心问题是补偿标准问题,这也是从拆迁时代开始,两个相对主体之间,争议最大、矛盾最突出的问题。目前的征收补偿标准较拆迁时已有大幅提高。但是作为两方争议最大的土地使用权的补偿问题仍未解决。房屋征收的目的表面上是取得房屋所有权,实质是取得国有土地使用权,这是不争的事实。现行的征收补偿政策中明确对被征收人的补偿包括被征收人房屋价值的补偿及搬迁补偿、临时安置补偿和停产停业损失补偿等,对土地使用权的补偿只字未提。但事实上大部分被征收人认为,土地使用权是房屋的附着物,如果政府不来征收,附加了土地价值的房屋,特别是城市中心地段房屋会随着地价上涨价值不断攀升,但政府征收后地产的增值部分价值就被政府或者之后摘牌的地产商侵吞了,这是明显不合理不公平的。这个问题不解决将会严重阻碍征收工作的顺利推进。
二、如何加强国有土地上房屋征收与补偿工作
1、依法征收是做好房屋征收补偿工作的前提
严格依照《征收条例》等法律法规开展征收工作,既是维护公共利益、被征收房屋所有权人合法权益的需要,又是顺利开展征收和保护征收从业人员的需要。故此,以依法征收为主线,严格执行征收条件和程序,有序地实施征收工作尤为重要。首先要符合六个征收前置条件:1.符合公共利益的需要;2.符合我市国民经济和社会发展规划;3.符合土地利用总体规划;4.符合城市规划;5.符合专项规划;6.如以保障性安居工程建设、旧城区改建名义申报,则该项目应当纳入市国民经济和社会发展年度计划。其次,征收程序要不含糊:征收申报、初步审定、调查登记、拟定方案、组织论证、征求意见、公布修改情况、组织听证、风险评估、作出决定、公告、通知停办手续一步也不能少。再次,补偿程序要到位:确定评估机构、签订评估合同、提出分户价格、公示评估结果、提供评估报告、复核评估报告、组织技术鉴定、订立补偿协议、作出补偿决定、申请强制执行、公布补偿情况、公布审计结果每个环节都要到位。
2、高位推进是做好房屋征收补偿工作的关键
房屋征收工作难度大,需要解决的问题多,只有坚强的领导作后盾才能顺利推动。在房屋征收过程中,各地主要领导亲力亲为,通过电视讲话,现场巡查,召开动员会、推进会、调度会等形式,甚至亲自挂帅包户做动迁,显现出政府的坚强决心和表率作用,有力地推动了房屋征收工作。同时,实行社会稳定风险评估。在作出房屋征收决定前,征收部门都能结合本地实际和征收项目的个性,进行社会稳定风险评估,对可能出现的风险进行识别,在征收过程中尽可能做到规避风险,征收条件不具备或风险系数高的项目实行暂缓。
3、安置到位是做好房屋征收补偿工作的后盾
为做好征收工作,各地都能多方筹措资金,做到钱不到帐、安置房不开工就不正式启动房屋征收。实行补偿款专款专用,全额拨入征收办的专户,由征收办统一把关,做到即签即付,使被征收人放心,没有“打白条”的现象。针对安置房未完工的情况,采用先给予货币补偿,待安置房建好后再购买的办法,有效地觯决了被拆迁人的后顾之忧。
安置到位还要体现公平公正。在征收的执行过程中,应严格按照政策标准,奉行公平、公正、公开,合情、合理、合法的原则,做到一碗水端平、一把尺子量到底的工作方法。严格落实拆前拆后一个样、拆大拆小一个样、拆官拆民一个样、拆富拆穷一个样、拆生拆熟一个样的征收准则,杜绝“先签约吃亏,后签约受益”、“多叫的鸟儿多吃食”、私情补偿等不公平现象的发生,从而赢得被征收户的充分信任和积极配合。安置到位还要体现优先保障,只要被征收人符合住房保障条件,就可按签约拆除先后顺序优先享受保障性住房。如玉山县七星街棚户区改造项目安置保障性住房24户,解放中路棚户区改造项目安置保障性住房5户,万年县安置保障性住房4户。
4、补偿合理是做好房屋征收补偿工作的保障
5、部门配合是做好房屋征收补偿工作的靠山
在征收实施过程中,各部门各单位应牢固树立“上下一盘棋”思想,无条件服从和服务于征收工作这一大局,通力协作,切实履职。在停办业务中,工商、税务、规划、建设、房管等部门要予以配合;在房屋拆除过程中,管线、电力、自来水、城管、交警等部门要全力支持;在动迁过程中,凡是涉及到有被征收人的单位,更应全力配合,协助做通被征收人的思想工作。在房屋征收过程中,各地没有出现采取停水、停电、阻断交通等野蛮手段逼迫搬迁现象,也没有出现采取“株连式拆迁”和暴力征收的行为,没有出现贪污、截留、挪用征收补偿款的现象。故此,征收工作得到了绝大多数群众的支持和理解,没有发生因征收而引起的群体和恶性事件,没有出现被征收人赴省进京上访的现象,也没有申请过人民法院实施强制执行的情况,房屋征收工作中没有出现违法违规案件。
结束语
随着经济的快速发展,城市进程的步伐也不断加快,在国有土地上的房屋征收变得越来越频繁。房屋征收工作的开展为城市的发展开拓了道路。房屋征收工作涉及的范围广,人数多,涉及到不同的利益主体,并且都牵扯到百姓的切身利益,因此房屋征收与补偿工作已经成为政府工作的重点之一。房屋征收与补偿工作要以法律为依据,积极开展和完善房屋征收与补偿工作,使房屋征收与补偿工作为城市发展提供良好的社会环境。
[1]刘禹.国有土地上房屋征收与补偿中的财产权保护研究[D].辽宁大学,2013.
[2]何江南.国有土地上房屋征收决定程序[D].中国社会科学院研究生院,2013.
关键词:模糊评判法煤矿风险等级商业保险费率浮动费率
0引言
1模糊综合评判方法
2煤矿安全风险综合评价指标体系
评价指标是风险评价的核心问题,不同的指标体系结构就会得出不同的评价结论。矿井安全风险评价中,并非评价指标越多越好,关键是评价指标在评价中所起作用的大小。结合影响煤矿安全的风险因素分析以及企业运行的实践,严格按照煤矿安全风险指标体系的设计步骤和流程,将该指标体系分为自然地质条件及环境指标体系、人员素质及人身伤害情况指标体系、安全综合管理指标体系和安全技术及措施指标体系四大体系。该指标体系能反映煤矿生产系统的所有主要影响因素,也能适应评价模型的需要,而且所有的定性指标和定量指标可量化。
煤矿风险综合评价指标体系见图1。其中,各指标的权重采用层次分析法(AHP)确定。
3煤矿安全风险等级及煤矿商业保险费率制度
对煤矿个体而言,安全事故具有偶发性,若仅根据过去一至三年的事故发生率或工伤保险赔付情况,难以准确测算未来事故发生率或工伤保险赔付情况,从而难以进一步确定合理的浮动费率。若综合考虑其它相对稳定的影响因素,如地质条件、机械化程度、管理水平等,对煤矿进行工伤风险综合评价,再根据综合评价的结果结合往年工伤保险赔付情况来确定各个煤矿浮动费率,将更全面。
3.1煤矿安全风险等级的确定采用模糊综合评判方法,对煤矿的安全风险进行综合评价,根据综合评价量化结果确定煤矿风险等级,得分越多,煤矿的风险越小,反之,风险越大。煤矿安全风险分级见表1。
3.2煤矿商业保险费率制度按照高风险高费率的原则,商业保险公司根据表1中煤矿安全风险等级的划分结果,一一对应地制定科学的费率标准,风险等级高的煤矿执行高费率标准,风险等级低的煤矿执行低费率标准,形成有别于其他行业的商业保险费率制度。同时,商业保险公司要建立一整套科学的煤矿安全绩效考核机制,确定上浮或下调费率的条件和调整幅度,与煤矿商业保险费率制度配套使用。商业保险公司在对煤矿出售保险产品前,首先对煤矿进行风险等级评估,根据评估结果结合煤矿安全生产绩效调查结果,综合确定煤矿首次执行的保险费率标准。对于浮动费率,借鉴国外商业保险费率浮动经验,根据煤矿企业安全风险评价等级进行划档,70分以上的降低费率,60-70之间的不变,60分以下的提高费率。发达国家保险费率浮动范围一般在10%至40%之间,根据我国目前安全生产状况还远远落后于这些国家的国情,为了促使企业更加注意安全、减少生产安全事故,可以将浮动范围扩大到50%。
4实证分析
本文选取了长春羊草煤业股份有限公司二井作为煤矿安全风险综合评价研究的实例。
4.1煤矿概况长春羊草煤业股份有限公司二井,核定能力90万t/a。斜井开拓,两段主副井筒为矿井辅助提升,东侧的两段大倾角皮带井为矿井主提升。现生产水平标高为-220m~-140m,东西两翼各有一个炮采工作面,05年产量48.5万t。平均走向长415m,平均倾斜长70m。上部为采空区,其余均为实体煤。羊草矿为高瓦斯矿井,相对瓦斯量10.83m3/t。矿井涌水量15m3/h,雨季时矿井涌水量最大可达30m3/h。本采区无钻孔通过,与地面无水力联系,地表也无导水裂隙。
4.2安全风险评价因素集确定本文数据来自该矿的调查数据,是由专家组(共4人)进行调研,对各种因素进行独自评测,然后得出结果,安全技术及措施评判结果如表2。其他指标类似。
5结论
[1]李炎杰.我国实施煤矿业强制雇主责任保险的必要性及可行性研究[D].东北财经大学,2007.
[2]梁美健,杨光.保险业介入煤矿安全生产需解决的几个问题[J].煤矿安全,2006.
[3]徐然.商业保险在煤炭业中发展问题的探讨[J].金融与投资,2010,8.
[4]孟超.浅谈构建煤矿本质安全管理体系的思考[J].神华科技,2010,2.
[5]徐桂香.煤矿工伤保险的现状分析[J].产业经济,2010,7.
[6]蔡和平.中德工伤保险法律制度比较研究[D].北京大学,1996.
[7]刘仲力.发展我国工程保险的对策研究[D].天津财经大学,2008.
[8]王文.工伤保险实行差别费率和费率浮动的设想[J].中国劳动,2003(2):15~16.
基金项目:
北京市职业院校教师素质提高工程资助项目(FundingProjectofCompetenceDevelopmentProgramforBeijingVETTeachers)。
作者简介:
内部控制工作是最高管理层为保证经营目标的实现而制定并实施的,对银行内部各部门与人员相互制约和协调的一系列制度、措施、程序和方法。根据巴塞尔协议《有效银行监管的核心原则》,银行内部控制主要包括三个方面的内容:(1)组织结构(职责的界定、审批权限的分离和决策程序);(2)会计规则(对账、月季报告、定期试算等);(3)“双人原则”(不同职责的分离、交叉核对、资产双重控制和双人签字等)。随着我国经济和金融逐步融入国际大环境,这些规范的推行对于强化金融企业内部监督,整顿和规范行业秩序,都有着十分重要的意义。企业内部控制制度划分为内部管理控制制度与内部会计控制制度两大类。纵观国内外,无论金融企业还是其他企业,财务会计工作一直是内部控制工作的一个非常重要的环节,本文将就如何进一步完善银行财会工作内部控制工作谈几点看法。
一、银行财务会计内控工作的难点
而从目前银行财会内部控制工作的实际操作来看,要达到上述标准,实施有效的内部控制,必须研究和解决以下四个问题:
(二)如何提高被控对象的受控度
有效的内部控制制度是对企业经营的现在所有环节和从事经营管理活动的所有个人实施全方位控制。这里就存在一个控制与反控制的问题。控制过松,内控工作形同虚设;控制过严,必然带来受控对象的反作用力。提高被控对象的受控度显然成为了内部控制制度实施中的难点。一般而言,内部控制的对象是企业的权力操纵者,是对权力操纵者的权力约束,也是对权力操纵者之间的权力制衡。这种独特的控制对象决定了提高受控度的艰巨性,提高被控对象的受控度关键有三点:一是内部控制制度的科学性;二是主要决策者的受控程度是重点;三是要营造一个健康积极的内控工作环境,提高被控对象接受监督的自觉性。
(三)如何规范内部控制工作
提起内部控制制度,人们往往想起会计工作岗位在设置上管钱的不管账,管报销的不管稽核等。其实内部控制制度内容极为丰富,涉及到企业经营管理的所有方面和所有环节。对于一个复杂系统工程的控制,不能靠人治,也不能靠简单的出纳控制、财务管理来实现目标,而要靠一套科学规范的内部控制制度,用制度来规范管理者的行为,让管理者在从事经营管理活动中,知道干什么、怎么干,按照规定的程序来完成工作任务、接受规定的控制管理。这里的重点是管理人员针对企业不同的经营管理活动制定出具体的标准,而要完成这个任务,就要有丰富的知识、超前的意识、广阔的视野和扎实的作风,这无疑又是一个难点。
(四)如何提高控制人员的熟练程度
财务会计控制是企业内部控制制度的中心,承担内部控制职责的主要是财会人员。因此,财会人员要能真正担当起内部控制的重任,更新知识、提高操作能力就显得刻不容缓。
二、进一步加强银行财务会计内部控制工作的几点建议
银行的财务会计工作必须紧紧围绕中心工作开展,为中心工作服务。财会内部控制工作应在防范风险的前提下对业务工作的开展起积极的推动和促进作用。针对银行财务会计内控工作存在的问题及难点,内控工作的改革应从以下几个方面着手。
(一)从制度上明确规范财务会计工作的职责、程序和操作方法
制度是财会工作者的“圣经”,程序是财会工作的生命线。没有科学、规范的财务会计规章制度,做好内控工作无异于无源之水,无本之木。大多数银行已制定了比较系统的财务会计规章制度,但就现有的制度来看,仍需进一步完善:(1)内部组织机构。它是银行各项业务活动计划、实施和控制的组织基础,其核心问题是合理的职责分工;(2)进一步规范财务会计岗位设置,完善内部牵制制度。明确与经济业务事项和会计事项有关的人员职责,实行岗位分离,相互制约,保证财务会计内部控制制度有效实施;(3)重大的对外投资、资产的处置、资金的调度和其他重要的经济业务事项的决策和执行应有明确的相互监督、相互制约的程序。应做到决策透明,流程公开,招标投标公平公正,从源头上堵塞漏洞;加强对实物固定资产的管理,明确规定财产清查盘点制度。进一步完善实物资产购置、入库、领用制度,完善固定资产报废、核销程序,坚持固定资产永续盘存办法核对账实;(4)制定统一的会计凭证规范,进一步完善会计档案整理、装订、归档程序,保证会计凭证和会计记录的完整性。
(二)控点与控面相结合,重视流程管理
点是割裂的,是局部;而面则是连续的,是系统,是整体。通过对各个财务会计业务风险点的控制固然可以明确责任,加强自律,提高核算质量,而加强流程管理则可以从更加广泛的角度使内控制度相互衔接又相互制约的作用得以充分发挥。许多银行现已投入使用的经费会计核算系统(如NC)已基本实现了点面结合,流程管理的作用非常明显,而业务会计核算系统需要尽快进行升级改造,并与其他业务管理系统整合。
(三)强化和规范计算机系统在财务会计内控工作中的作用
电算化可以大大提高会计工作效率和水平,减少手工操作的随意性。对电算化系统的管理是会计系统安全、正常运行的前提。要明确系统管理人员、维护人员不得兼任出纳、会计工作;任何人不得利用工具软件直接对数据库进行操作;程序设计人员还应对数据库采用加密技术进行处理;严格按会计电算化系统的设计要求配置人员,健全数据输入、修改、审核等内部控制制度,保障系统设计的处理流程不走样变型。
(四)建立内部风险评估、监测和快速反应系统
银行要针对经营中存在的高风险业务,如资金业务、债券交易、项目开发、信贷管理等方面建立风险评价和监测机制。对每笔贷款、拆借、投资、外汇交易以及业务活动中涉及的不同交易对象、部门、行业、地区和国家,在开展业务之前,都应当事先测定风险指标或比率:对业务发生后的风险状况要进行追踪。健全风险信息反馈、评估机制,管理层要能够随时掌握自己所面临的风险情况及可能的风险损失,对可能面临的风险种类、内容、风险程度、风险发生等制定反应预案。
(五)相对保持财会机构、人员、制度的稳定性
近年来,银行多次变更会计核算系统和内设机构,会计力量严重不足且流动性大,会计政策连贯性差,银行会计人员疲于应付,财务会计内控工作的效能没有得到充分发挥。在银行改革取得阶段性成果后,应相对保持财会机构、人员、制度的稳定性,避免因改革频繁而增加成本,效率下降。
(六)加强财务会计工作的业务交流,切实重视财会人员知识的学习和更新,进一步提高财会人员的职业道德修养
会计人员自身素质是影响实施会计内部监督制度的重要因素:通过“他控”和“自控”,促使职业会计人员进一步树立并增强正确的会计职业良心和职业责任感,进而达到会计职业道德不断完善与升华的一种状态。从某种意义上而言,内部会计控制的过程,也是会计职业道德的自律过程。职业道德要求会计人员具有客观、公正、严谨的工作态度,敢于坚持原则和勇于执法、守法、护法,但会计人员是在复杂的会计环境下工作的,现实使会计人员常常面临非常尴尬的处境,这客观上也制约了财会人员在内部控制工作中的作用,因此,法律意识和职业道德培养问题是一项长期的、艰巨复杂的系统工程,对会计内部监督制度的有效实施非常重要,应常抓不懈,高度重视。