導語:在工程風險評估的核心問題的撰寫旅程中��,學習并吸收他人佳作的精髓是一條寶貴的路徑�����,好期刊匯集了九篇優(yōu)秀范文���,愿這些內(nèi)容能夠啟發(fā)您的創(chuàng)作靈感���,引領您探索更多的創(chuàng)作可能���。
第1篇
檔案信息資產(chǎn)是與檔案信息系統(tǒng)有關的所有資產(chǎn)���,包括檔案信息系統(tǒng)的硬件、軟件��、數(shù)據(jù)��、人員�����、服務及組織形象等�����,是有形和無形資產(chǎn)的總和�����。脆弱性是檔案信息系統(tǒng)自身存在的技術和管理漏洞���,可能被外部威脅利用�����,造成安全事故���;威脅是外部存在的��、可能導致檔案信息系統(tǒng)發(fā)生安全事故的潛在因素��。威脅���、脆弱性及檔案信息資產(chǎn)的相互影響造成檔案信息系統(tǒng)面臨安全風險,最后計算出風險值���。
檔案信息安全風險評估總體方法
檔案信息安全風險評估的核心問題之一是風險評估方法的選擇��,風險評估方法包括總體方法和具體方法��?����?傮w方法是從宏觀的角度確定檔案信息安全風險評估大致方法�����,包括:風險評價標準確定方法���;風險評估中資產(chǎn)、威脅和脆弱性的識別方法���;風險評估輔助工具使用方法及風險評估管理方法等���。事實上,信息安全風險評估方法經(jīng)歷了一個不斷發(fā)展的過程���,“經(jīng)歷了從手動評估到工具輔助評估的階段��,目前正在由技術評估到整體評估發(fā)展��,由定性評估向定性和定量相結合的方向發(fā)展��,由基于知識(或經(jīng)驗)的評估向基于模型(或標準)的評估方法發(fā)展��?����!?��。隨著信息安全技術與安全管理的不斷發(fā)展��,目前信息安全風險評估方法已發(fā)展到基于標準的��、定性與定量相結合的��、借用工具輔助評估的整體評估方法�����。檔案信息安全風險評估總體方法應采用目前最先進方法��,即采用依據(jù)合適風險評估標準�����、定性與定量結合�����、借助評估工具或軟件來實現(xiàn)不僅進行檔案信息安全技術評估��,而且進行檔案信息安全管理評估的整體評估方法��。
1 檔案信息安全風險評估標準的確定
信息安全風險評估標準主要分為國際國外標準和國家標準���。國際國外標準有:《ISO/IEC 13335 信息技術 IT安全管理指南》���、《ISO/IEC 17799:2005信息安全管理實施指南》、《ISO/IEC27001:2005信息安全管理體系要求》��、《NIST SP 800-30信息技術系統(tǒng)的風險管理指南》系列標準等���,這些標準在國外已得到廣泛使用,而我國信息安全風險評估起步較晚��,在吸取國外標準且根據(jù)我國國情的基礎上于2007年制定了國家標準((GB/T 20984-2007信息安全技術信息安全風險評估規(guī)范》��,并在全國范圍內(nèi)推廣��。國家發(fā)展改革委員會�����、公安部���、國家保密局于2008年了“關于加強國家電子政務工程建設項目信息安全風險評估工作的通知(發(fā)改高技[2008]2071號)”�����,該文件要求國家電子政務工程建設項目(以下簡稱電子政務項目)�����,應開展信息安全風險評估工作��,且規(guī)定采用《GB/T 20984-2007信息安全技術信息安全風險評估規(guī)范》���。檔案信息系統(tǒng)屬于電子政務系統(tǒng)�����,檔案信息安全風險評估也應該采取OB/T 20984-2007標準�����。
2 檔案信息安全風險評估需定性與定量相結合
定性分析方法是目前廣泛采用的方法��,需要憑借評估者的知識�����、經(jīng)驗和直覺��,為風險的各個要素定級��。定性分析法操作相對容易���,但也可能因為分析結果過于主觀性�����,很難完全反映安全現(xiàn)實情況�����。定量分析則對構成風險的各個要素和潛在損失水平賦予數(shù)值或貨幣金額���,最后得出系統(tǒng)安全風險的量化評估結果���。
定量分析方法準確�����,但由于信息系統(tǒng)風險評估是一個復雜的過程�����,整個信息系統(tǒng)又是一個龐大的系統(tǒng)工程���,需要考慮的安全因素眾多�����,而完全量化這些因素是不切實際的�����,因此完全量化評估是很難實現(xiàn)的���。
定性與定量結合分析方法就是將風險要素的賦值和計算,根據(jù)需要分別采取定性和定量的方法�����,將定性分析方法和定量分析方法有機結合起來��,共同完成信息安全風險評估�����。檔案信息安全風險評估應采取定性與定量相結合的方法,在檔案信息系統(tǒng)資產(chǎn)重要度�����、威脅分析和脆弱性分析可用定性方法�����,但給予賦值可采用定量方法�����。具體脆弱性測試軟件可得出定量的數(shù)據(jù)���,最后得出風險值�����,并判斷哪些風險可接受和不可接受等�����。
3 檔案信息安全風險評估需借用輔助評估工具
目前信息安全風險評估輔助工具的出現(xiàn),改變了以往一切工作都只能手工進行的狀況���,這些工作包括識別重要資產(chǎn)��、威脅和弱點發(fā)現(xiàn)�����、安全需求分析���、當前安全實踐分析��、基于資產(chǎn)的風險分析和評估等���。其工作量巨大,容易出現(xiàn)疏漏���,而且有些工作如系統(tǒng)軟硬件漏洞檢測等無法用手工完成���,因此目前國內(nèi)外均使用相應的評估輔助工具,如漏洞檢測軟件和風險評估輔助軟件等�����。檔案信息安全風險評估也需借助相應的輔助工具���,直接可用的是各種系統(tǒng)軟硬件漏洞測試軟件或我國依據(jù)《GB/T 20984-2007信息安全技術信息安全風險評估規(guī)范》開發(fā)的風險評估輔助軟件�����,將來可開發(fā)專門的檔案信息安全風險評估輔助工具軟件��。
4 檔案信息安全風險評估需整體評估
信息安全風險評估不僅需進行安全技術評估���,更重要的需進行安全管理等評估�����,我國已將信息系統(tǒng)等級保護作為一項安全制度�����,對不同等級的信息系統(tǒng)根據(jù)國家相關標準確定安全等級并采取該等級對應的基本安全措施���,其中包括安全技術措施和安全管理措施,因此評估風險時同樣需進行安全技術和安全管理的整體風險評估���,檔案信息安全風險評估同樣如此�����。
檔案信息安全風險評估具體方法
根據(jù)檔案信息安全風險評估原理�����。從資產(chǎn)識別到風險計算�����,都需根據(jù)信息系統(tǒng)自身情況和風險評估要求選擇合適的具體方法���,包括:資產(chǎn)識別方法、威脅識別方法��、脆弱性識別方法���、現(xiàn)有措施識別法和風險計算方法等��。
1 資產(chǎn)識別方法
檔案信息資產(chǎn)識別是對信息資產(chǎn)的分類和判定其價值���,因此資產(chǎn)識別方法包括資產(chǎn)分類方法和資產(chǎn)賦值方法。
(1)資產(chǎn)分類方法
在風險評估中資產(chǎn)分類沒有嚴格的標準��,但一般需滿足:所有的資產(chǎn)都能找到相應的類;任何資產(chǎn)只能有唯一的類相對應��。常用的資產(chǎn)分類方法有:按資產(chǎn)表現(xiàn)形式分類���、按資產(chǎn)安全級別分類和按資產(chǎn)的功能分類等��。
在《GB/T 20984-2007信息安全技術信息安全風險評估規(guī)范》中��,對資產(chǎn)按其表現(xiàn)形式進行分類��,即分為數(shù)據(jù)�����、軟件�����、硬件�����、服務���、人員及其他(主要指組織的無形資產(chǎn))��。這種分類方法的優(yōu)點為:資產(chǎn)分類清晰��、資產(chǎn)分類詳細�����,其缺點為:資產(chǎn)分類與其安全屬性無關、資產(chǎn)分類過細造成評估極其復雜���,因為目前大部分風險評估
都以資產(chǎn)識別作為起點��,一項資產(chǎn)面臨多項威脅��,—項威脅又與多項脆弱性有關�����,最后造成針對某一項資產(chǎn)的風險評估就十分復雜��,缺乏實際可操作性�����。這種分類方法比較適合于初次風險評估單位對所有信息資產(chǎn)進行摸底和統(tǒng)計��。
風險評估中資產(chǎn)的價值不是以資產(chǎn)的經(jīng)濟價值來衡量��,所以信息資產(chǎn)分類應與信息資產(chǎn)安全要求有關���,即依據(jù)信息資產(chǎn)對安全要求的高低進行分類��,這種方法同時也滿足下一環(huán)節(jié)即信息資產(chǎn)重要度賦值需求��。任何一個檔案信息資產(chǎn)無論是硬件���、軟件還是其他,其均有安全屬性���,在《GB/T 20984-2007信息安全技術信息安全風險評估規(guī)范》中要求:“資產(chǎn)價值應依據(jù)資產(chǎn)在保密性�����、完整性和可用性上的賦值等級��,經(jīng)過綜合評定得出”�����?����?蛇x擇每個資產(chǎn)在上述三個安全屬性中最重要的安全屬性等級作為其最后重要等級�����。但檔案信息安全屬性應該更多��,除上述屬性外還包括:真實性��、不可否認性(抗抵賴)�����、可控性和可追溯性���,所以可以根據(jù)檔案信息的七個安全屬性中最重要屬性的等級作為該資產(chǎn)等級。
目前信息資產(chǎn)安全屬性等級如保密性等級可分為:很高��、高�����、中等��、低、很低�����,因此信息資產(chǎn)按安全等級也可分為:很高��、高��、中等���、低��、很低���,即如果此信息資產(chǎn)保密性等級為“中”,完整性等級為“中”��,可用性等級為“低”���,則取此信息資產(chǎn)安全等級最高的“中”級���。
按信息資產(chǎn)安全級別分類法符合風險評估要求,因為體現(xiàn)了安全要求越高其資產(chǎn)價值越高的宗旨��,在統(tǒng)計資產(chǎn)時也可按表現(xiàn)形式和安全等級結合的方法進行,如下表1所示���?����!邦悇e”為按第一種分類方法中的類別���,重要度為第二種方法中的五個等級。
但如果風險評估時按表1進行資產(chǎn)分類時�����,每個檔案信息系統(tǒng)將具有很多資產(chǎn)�����,這樣針對每一項資產(chǎn)進行評估的時間和精力對于評估方都難以接受���。因此,在《信息安全風險評估——概念�����、方法和實踐》一書中提出:“最好的解決辦法應該是面對系統(tǒng)的評估”,信息資產(chǎn)安全等級分類的起點可以認為是系統(tǒng)(或子系統(tǒng))��,這樣可以在資產(chǎn)統(tǒng)計時用資產(chǎn)表現(xiàn)形式進行分類��,在資產(chǎn)安全等級分類時按系統(tǒng)或子系統(tǒng)進行大致分類��,即同一個系統(tǒng)或子系統(tǒng)中的資產(chǎn)的安全等級相同��,這樣滿足了組織進行風險評估時“用最少的時間找到主要風險”的思想���。
(2)資產(chǎn)賦值方法
由于信息資產(chǎn)價值與安全等級有關��,因此對資產(chǎn)賦值應與“很高��、高�����、中等�����、低��、很低”相關���,但這是定性的方法��,結合定量方法為對應“5��、4��、3�����、2���、1”五個值��,同時將此值稱為“資產(chǎn)等級重要度”�����。
2 威脅識別方法
(1)威脅分類方法
對檔案信息系統(tǒng)的威脅可從表現(xiàn)形式�����、來源��、動機、途徑等多角度進行分類�����,而常用的為按來源和表現(xiàn)形式分類�����。按來源可分為:環(huán)境因素和人為因素�����,人為因素又分為惡意和無意兩種���?��;诒憩F(xiàn)形式可分為:物理環(huán)境影響、軟硬件故障��、無作為或操作失誤�����、管理不到位、惡意代碼�����、越權或濫用��、網(wǎng)絡攻擊���、物理攻擊��、泄密���、篡改和抵賴等。由于威脅對信息系統(tǒng)的破壞性極大���,所以應以分類詳細為宗旨����,按表現(xiàn)形式方法分類較為合適���。
(2)威脅賦值方法
威脅賦值是以威脅出現(xiàn)的頻率為依據(jù)的,評估者應根據(jù)經(jīng)驗或相關統(tǒng)計數(shù)據(jù)進行判斷����,綜合考慮三個方面:“以往安全事件中出現(xiàn)威脅頻率及其頻率統(tǒng)計�,實踐中檢測到的威脅頻率統(tǒng)計����、近期國內(nèi)外相關組織的威脅預警”。�。可以對威脅出現(xiàn)的頻率進行等級化賦值����,即為:“很高、高���、中等�����、低����、很低”�����,相應的值為:“5、4���、3�、2�����、1”�。
3 脆弱性識別方法
脆弱性的識別可以以資產(chǎn)為核心,針對每一項需要保護的資產(chǎn)���,識別可能被威脅利用的弱點���,同時結合已有安全控制措施,對脆弱性的嚴重程度進行評估����。脆弱性識別時來自于信息資產(chǎn)的所有者、使用者���,以及相關業(yè)務領域和軟硬件方面的專業(yè)人員等��,并對脆弱性識別途徑主要有:問卷調(diào)查���、工具檢測、人工核查��、文檔查閱���、滲透性測試等����。
(1)脆弱性分類方法
脆弱性一般可以分為兩大類:信息資產(chǎn)本身脆弱性和安全控制措施不足帶來的脆弱性���。資產(chǎn)本身的脆弱性可以通過測試或漏洞掃描等途徑得到����,屬于技術脆弱性�。而安全控制措施不足的脆弱性包括技術脆弱性和管理脆弱性,管理脆弱性更容易被威脅所利用�,最后造成安全事故。檔案信息系統(tǒng)脆弱性分類最好按技術脆弱性和管理脆弱性進行����。技術脆弱性涉及物理層、網(wǎng)絡層���、系統(tǒng)層�����、應用層等各個層面的安全問題���,管理脆弱性又可分為技術管理脆弱性和組織管理脆弱性兩方面�����。
(2)脆弱性賦值方法
根據(jù)脆弱性對資產(chǎn)的暴露程度(指被威脅利用后資產(chǎn)的損失程度)����,采用等級方式可對已經(jīng)分類并識別的脆弱性進行賦值��。如果脆弱性被威脅利用將對資產(chǎn)造成完全損害�����,則為最高等級����,共分五級:“很高、高���、中等�����、低���、很低”,相應的值為:“5��、4�����、3���、2���、1”。
脆弱性值(已有控制措施仍存在的脆弱性)也可稱為暴露等級�����,將暴露等級“5�����、4、3�����、2���、1”可轉化為對應的暴露系數(shù):100%��、80%���、60%、40%�����、20%����,再將“脆弱性”與“資產(chǎn)重要度等級”聯(lián)系,計算出如果脆弱性被威脅利用后發(fā)生安全事故的影響等級����。
影響等級=暴露系數(shù)×資產(chǎn)等級重要度
4 已有控制措施識別方法
(1)識別方法
在識別脆弱性的同時應對已經(jīng)采取的安全措施進行確認��,然后確定安全事件發(fā)生的容易度。容易度描述的是在采取安全控制措施后威脅利用脆弱性仍可能發(fā)生安全事故的容易情況���,也就是威脅的五個等級:“很高��、高�����、中等、低��、很低”���,相應的取值為:“5���、4、3���、2�����、1”���,“5”為最容易發(fā)生安全事故��。
同時安全事件發(fā)生的可能性與已有控制措施有關�����,評估人員可以根據(jù)對系統(tǒng)的調(diào)查分析直接給在用控制措施的有效性進行賦值��,賦值等級可分為0-5級��,
“0”為控制措施基本有效����,“5”為控制措施基本無效���。
(2)安全事件可能性賦值
安全事件發(fā)生的可能性可用以下公式計算:
發(fā)生可能性=發(fā)生容易度(即威脅賦值)+控制措施
5 風險計算方法
風險計算方法有很多種�����,但其必須與資產(chǎn)安全等級�����、面臨威脅值�、脆弱性值、暴露等級值�����、容易度值����、已有控制措施值等有關,計算出風險評估原理圖中的影響等級和發(fā)生可能性值�����。目前一般而言風險計算公式如下:
風險=影響等級×發(fā)生可能性
綜上所述�����,可將信息資產(chǎn)���、面臨威脅、可利用脆弱性�����、暴露、容易度�����、控制措施����、影響、可能性�、風險值構成表2,最終計算出風險值�。下表以某數(shù)字檔案館為例,其主要分為館內(nèi)檔案管理系統(tǒng)和電子文件中心��,評估資產(chǎn)以子系統(tǒng)作為分類和賦值為起點���,并只以部分威脅�����、脆弱性列出并計算風險���。
上表中暴露等級值體現(xiàn)了脆弱性����,容易度體現(xiàn)了威脅���,以表2第一行為例計算檔案管理系統(tǒng)數(shù)據(jù)泄密的風險值���,過程如下:
影響等級=暴露系數(shù)×資產(chǎn)等級重要度=(3/5)*5=3
可能性=容易度(威脅值)+控制措施值=3+3=6
風險=影響等級×可能性=3×6=18
第2篇
持續(xù)推動的等級保護
信息化技術標準委員會副主任委員崔書昆認為,在基礎信息網(wǎng)絡和重要信息系統(tǒng)的安全嚴重關系到國家安全����、社會穩(wěn)定以及人民群眾切身利益的今天,信息安全問題已然成為事關全局的戰(zhàn)略性問題�。近年來,有關部門圍繞信息安全保障體系建設��,在信息安全等級保護�、風險評估、標準制定����、產(chǎn)品開發(fā)及打擊各種網(wǎng)絡違法犯罪活動等方面取得了積極進展�����。在這種情勢下,將信息安全等級保護確定為提高國家信息安全保障能力�,維護國家安全、社會穩(wěn)定和公共利益的一項基本制度���,是非常必要的��。
可以這樣理解�,我國信息安全各項工作快速推進��,信息安全風險評估工作和保障體系建設���、信息安全管理工作��、信息安全法制化和規(guī)范化建設����、信息化基礎設施和體系建設取得了重要的成效���。特別是從2007年7月20號開始�,全國重要信息系統(tǒng)定級工作已經(jīng)開始��,并在各行業(yè)����、各部門�、各單位的支持下��,取得了豐碩的成果���。
從2008年開始���,公安部會同國家保密局等部門,在重要信息系統(tǒng)定級工作的基礎之上�����,部署和開展深入推進信息安全等級保護工作���,它主要分為三個方面:
第一�,依據(jù)國家行業(yè)標準��,從管理和技術兩個方面����,開展信息系統(tǒng)安全建設整改����,建立并落實安全管理制度���,落實安全責任制。
第二��,根據(jù)等級保護標準開展風險評估�����、災難備份��、應急處置����、安全檢查等工作。
第三�����,對信息系統(tǒng)應用的一些重要單位��,開展等級保護工作檢查����。
公安部網(wǎng)絡安全保衛(wèi)局郭啟全處長說:“目前全國范圍內(nèi)�����,大規(guī)模的重要系統(tǒng)定級工作已經(jīng)基本完成����,相關資料目前集中到公安部進行管理���。定級工作的主要成效是了解重要信息系統(tǒng)的底數(shù)�����,掌握國家信息安全的基本情況���,為全面貫徹落實信息安全等級保護制度,推動國家信息安全保障等工作的深入發(fā)展奠定堅實的基礎���。同時��,某些地方����、企業(yè)或者單位沒有完成定級工作,但會納入到我們下一階段的檢查工作當中完成�����。另外����,有些企業(yè)會隨后逐步執(zhí)行該工作��,不會影響國家等級保護制度的大規(guī)模推動�����?����!?/p>
實施等級保護�����,充分體現(xiàn)了“適度安全�����、保護重點”的目的,可以把國家的重要網(wǎng)絡���、重要系統(tǒng)挑出來���,把國家有限的精力、財力投入到信息保護當中去�����,提高國家基礎網(wǎng)絡和重要信息系統(tǒng)的安全保護水平�����,同時提高信息安全保障工作的整體水平�����。
奧運留下的財富
“2008年北京奧運會的信息網(wǎng)絡安全工作給我們留下了很多財富��?��!惫鶈⑷?jīng)說過����,奧運會對我們國家的信息網(wǎng)絡安全工作進行了一次大考。它既考驗了我們國家信息網(wǎng)絡安全的工作���,同時也考驗了等級保護主管部門����、公安部和很多部委的行業(yè)主管部門的信息安全工作���。在這次大考中,各部門均表現(xiàn)得很優(yōu)秀����。在北京奧運會期間,無論是核心網(wǎng)絡還是信息系統(tǒng)�,都遭受了大規(guī)模的攻擊和入侵,卻沒有出現(xiàn)相關安全事故�����,支撐北京奧運會順利舉辦����,這是我國信息網(wǎng)絡安全領域經(jīng)歷的考驗。
實際上���,奧運會取得的經(jīng)驗和公安部下一步等級保護工作之間存在密切的相關性�。公安部和有關部委會借鑒奧運會信息安全網(wǎng)絡經(jīng)驗,充分利用好奧運留下的財富�����,進一步開展今后的工作����。
記者了解到,在北京奧運會之前��,成立了以公安部牽頭的包括海關�、銀行、廣電等14個部委參加的信息網(wǎng)絡安全指揮部�����。由于有了這樣的指揮部�,使得各項工作的落實有了一個組織保障。如果沒有這個指揮部����,大家各干各的,在北京奧運會期間便無法保證重要系統(tǒng)和網(wǎng)絡的安全���。
在2008年����,國家安全的核心問題便是保障奧運的安全,奧運安全采取的第一個措施就是等級保護�。郭啟全介紹說:“公安部把奧運核心網(wǎng)絡和涉及奧運會的系統(tǒng)都定級、備案����,針對風險和重要性搞等級測評和風險評估,反復查找問題��、漏洞����、脆弱性和安全風險��。從歷史經(jīng)驗來看�,總會有一些黑客試圖攻擊奧運系統(tǒng)。所以���,在這些黑客攻擊之前�����,我們就需要開始做嚴格的攻擊性自測�。找到問題后進行系統(tǒng)加固,并且是有針對性地進行加固��。這種安全建設���、整改���、加固還有等級測評,提升了我們的系統(tǒng)防范能力��?!?/p>
郭啟全強調(diào):“我們當時還專門針對北京奧運會提出了風險評估的指南。北京奧運會期間最大的風險是什么���?其實就是來自黑客的攻擊破壞���,所以搞風險評估要針對最大的風險去做。舉個例子��,我到國家體育總局去了三次���,就是研究他們的網(wǎng)絡安全問題��、網(wǎng)站安全問題���,這就有針對性�,搞等級保護���、風險評估非常有針對性���。這使得我們的風險找得準,漏洞找得準�����,問題找得準��,因此相關措施就有針對性��?����!?/p>
2009年的新工作
中國工程院院士沈昌祥指出�,目前我國信息與網(wǎng)絡安全的防護能力還處于發(fā)展的初級階段���,有些應用系統(tǒng)處于不設防狀態(tài)����。國防科技大學的一項研究表明,我國與互聯(lián)網(wǎng)相連的網(wǎng)絡管理中心有95%都遭到過境內(nèi)外黑客的攻擊或侵入��,其中銀行�、金融和證券機構是攻擊重點。
由于奧運網(wǎng)絡和信息系統(tǒng)開展了等級保護工作�����,并對等級保護工作的政策標準��、工作環(huán)節(jié)進行了檢驗�����,所以等級保護下一步的工作部署將充分借鑒北京奧運會的經(jīng)驗�,健全完善等級保護領導體制和協(xié)調(diào)配合機制,例如等級保護原來有些領導體制可能還要進行補充���,明確重點工作對象�����,比如說拿三級系統(tǒng)作為重點工作對象�。
郭啟全說:“我們會嚴格落實責任制,認真抓好三點工作��,計劃三年內(nèi)完成安全系統(tǒng)的整改工作�����,總的目標就是:能力提高�,事故降低,等級保護制度得到落實���,國家信息網(wǎng)絡安全基本得到保障����?�!?/p>
開展的重點工作主要分為三個方面�����。第一個方面是全面開展等級保護安全建設整改工作��,要建設安全設施�����,落實安全措施���,建立并落實安全管理制度����,落實責任制����。第二個方面是各單位建立安全整改工作規(guī)劃,完成定級系統(tǒng)整改規(guī)劃和制定具體實施方案��。第三個方面是以三級以上系統(tǒng)為重點��,確定安全需求����,制定安全方案?����!爱斎唬恍﹩挝豢赡懿惶靼拙唧w的操作辦法���,屆時我們會選擇有代表性的信息系統(tǒng)進行安全建設試點��、示范��,結合行業(yè)特點制定行業(yè)標準規(guī)范�����,按照有關工作實施的規(guī)范要求組織實施信息系統(tǒng)安全建設工程��?�!?/p>
第3篇
關鍵詞:商業(yè)銀行公司治理風險管理風險審計
全面風險管理是從戰(zhàn)略目標制定到目標實現(xiàn)的全過程風險管理���,隨著現(xiàn)代商業(yè)銀行所承擔風險的增加,商業(yè)銀行內(nèi)部審計關注的重點也逐漸轉移到風險管理上來�����,當今風險審計作為一種新的審計理念���,成為備受人們關注的熱點�。與其說銀行是在經(jīng)營貨幣的企業(yè)��,不如說銀行是經(jīng)營風險����,從風險管理中獲取收益的企業(yè)。商業(yè)銀行一直在利潤與風險之間做著謹慎和僥幸的選擇��,防范和控制經(jīng)營中的風險�����,實施全面風險管理戰(zhàn)略��,是商業(yè)銀行面臨的現(xiàn)實而緊迫的任務��。作為現(xiàn)代商業(yè)銀行的審計部門��,如何由傳統(tǒng)的合規(guī)性審計向風險預警和防范為目標的風險審計轉變���,合理配置有限的審計資源�,提高審計效率與效益�����,有效發(fā)揮審計監(jiān)督在防范和控制風險中的積極作用,已成為現(xiàn)代商業(yè)銀行內(nèi)部審計面臨的焦點課題�����。
風險審計的涵義
風險審計��,也稱風險基礎審計或者風險導向審計�,它是在傳統(tǒng)的賬項基礎和內(nèi)部控制制度基礎審計上發(fā)展起來的一種審計模式,是指審計人員在對被審單位的內(nèi)部控制充分了解和評價的基礎上�����,綜合分析���、判斷被審計單位的風險狀況及其風險程度��,從而把有限的審計資源集中到高風險的審計領域����,針對不同風險程度采取相應的審計對策���,重點對高風險點進行實質(zhì)性測試�����,從而伎內(nèi)部審計的剩余風險降至可接受的最低水平����。與賬項基礎審計��、內(nèi)部控制制度基礎審計相比��,風險審計關注點在于對被審單位的風險評估���,其審計重心向風險評估轉移���,更加關注的是企業(yè)的風險管理活動一一是否建立清晰的風險管理戰(zhàn)略、完善的管理架構�、全面的風險管理過程和良好的風險管理文化,最終實現(xiàn)風險管理效率和價值的最大化�����,不但可以保證充分的審計覆蓋面�,而且對每一個領域都會根據(jù)其風險評價結果有不同的審計頻率與深度,增強了對風險的預防控制作用���,風險審計方法的重點是識另q���、預防與控制風險���。因此,風險審計理論的核心是從分析審計風險入手����,通過建立科學的審計風險分析模型,采取定性定量分析方法�,量化確定固有保證程度系數(shù),并控制保證程度系數(shù)��,確定可接受的檢查風險水平�,以確保審計質(zhì)量。
商業(yè)銀行實施風險審計方法的壩實重要牲格林斯潘曾經(jīng)說過:“銀行的基本職能是預測��、承擔和管理風險�����?�!憋L險審計的本質(zhì)和根本目標是促進和保障商業(yè)銀行業(yè)務的穩(wěn)健發(fā)展����,促進商業(yè)銀行樹立全面的風險管理理念��,堅持發(fā)展與防范風險并重�����;適應市場和業(yè)務需要��,不斷完善風險管理手段�����,健全風險管理體制,培育風險管理文化���,提高風險管理水平�����,促進業(yè)務發(fā)展����,目標是優(yōu)化資源配置���,將風險控制在商業(yè)銀行可以承擔的范圍內(nèi)���,實現(xiàn)風險調(diào)整后的收益最大化�����。
(一)風險審計的理念和方法是商業(yè)銀行實施全面風險管理的現(xiàn)實選擇����,進一步提升了內(nèi)部審計的增值服務?風險是商業(yè)銀行與生俱來的產(chǎn)物�����,存在于商業(yè)銀行業(yè)務的每一個環(huán)節(jié)當中��,商業(yè)銀行提供金融服務的過程也是承擔和控制風險的過程�,因此,風險管理是商業(yè)銀行永恒的主題����。在現(xiàn)代金融領域中,能建立良好的風險管理架構和體系���,對風險進行全面有效的管理��,并以良好的風險定價策略實現(xiàn)價值增長�����,是影響商業(yè)銀行核心競爭力的重要因素��,也是實施風險審計的必然要求����。國有商業(yè)銀行上市后,要在提高全面風險管理能力的前提下保持持續(xù)的價值創(chuàng)造能力�。
巴塞爾新資本協(xié)議和美國反舞弊財務報告委員會的發(fā)起組織委員會fCOSO)的《企業(yè)全面風險管理框架》將全面風險管理概括為對商業(yè)銀行各個層次的業(yè)務單位和各種類型的風險進行統(tǒng)籌管理,這種管理要求將包含信用風險�����、市場風險��、操作風險和其他風險的各種金融資產(chǎn)與資產(chǎn)組合���,承擔這些風險的各個業(yè)務單位納入到統(tǒng)一的管理體系中,對各類風險依據(jù)統(tǒng)一的標準進行測量并加總���,依據(jù)全部業(yè)務的相關性對風險進行全程的控制和管理�����。風險審計正是以全面評估風險為基礎��,從重要風險點上人手����,在深入分析判斷不同層面和業(yè)務單位風險狀況的基礎上,確定審計重點�����,對風險高的業(yè)務集中資源重點審計��,通過評估銀行風險識別的充分性���、風險衡量的恰當性及風險防范的有效性����,并在此基礎上提出相應的改進措施和建議���,直接影響商業(yè)銀行經(jīng)營戰(zhàn)略的制定���,確保商業(yè)銀行實現(xiàn)業(yè)務發(fā)展、風險控制和效益增長的有機統(tǒng)一.
(二)采用風險審計的理論和技術、是現(xiàn)代商業(yè)銀行審計發(fā)展的目標和方向�����,實現(xiàn)增值型審計轉型需要:當前國際內(nèi)審發(fā)展已進入一個以風險管理和公司治理為標志的新的發(fā)展階段��,西方的絕大部分商業(yè)銀行在內(nèi)部審計均采用了風險審計的理論和技術��。國際審計師協(xié)會主席捷奎林?瓦格娜曾提出:“環(huán)境的變化給內(nèi)部審計師帶來增加價值的機會最多的領域是風險管理的公司治理�。”2003年國際內(nèi)部審計協(xié)會對2001年新的《內(nèi)部審計實務標準》(以下簡稱《標準》)修改后�,在內(nèi)容上也自始至終都貫穿著風險審計的主導思想。
一是在對內(nèi)部審計的定義中要求內(nèi)部審計采用一種系統(tǒng)化��、規(guī)范化的方法來對機構的風險管理����、控制及監(jiān)管過程進行評價進而提高它的效率���,幫助機構實現(xiàn)它的目標。二是內(nèi)部審計的目標要求內(nèi)部審計參與風險管理��。三是內(nèi)部審計的工作重點要求內(nèi)部審計參與風險管理�����。四是標準對審計計劃、審計測試�、審計結果、后續(xù)審計各個方面都作了和風險相關的明確規(guī)范����。五是關于剩余風險,《標準》做出了在審計執(zhí)行主管認為高級管理層接受的剩余風險水平對于機構來說是無法接受時就報告董事會加以解決的規(guī)定����。這些規(guī)定和要求將內(nèi)部審計的范圍延伸到風險管理和公司治理,所以風險管理已經(jīng)成為內(nèi)部審計的主要工作��。隨著風險管理導向內(nèi)部控制時代的來臨��,內(nèi)部審計的工作重點也發(fā)行了變化����,現(xiàn)代內(nèi)部審計突破了傳統(tǒng)的監(jiān)督、鑒證���、評價職能的范圍�����,更多地介入商業(yè)銀行有效的風險管理機制和健全的公司治理結構領域�����。
風瞼審計在項代商業(yè)銀行風瞼管理中的作用
(一)風險審計有利于提高商業(yè)銀行風險管理水平����,促進風險文化建設。風險基礎審計主動發(fā)現(xiàn)和控制各項風險���,通過對商業(yè)銀行業(yè)務部門進行風險評估��,并按照次序排列風險�����,集中高風險的項目優(yōu)先審計���。前者試圖阻止不期望的行為發(fā)生,這種事先的控制有助于阻止損失的發(fā)生�����;后者試圖檢查出不期望發(fā)生的行為��,檢查性的控帶l目的是提供損失發(fā)生的證據(jù)����。這兩種類型的控制都是必要的內(nèi)部控制系統(tǒng),使商業(yè)銀行的內(nèi)控機制完善���、管用��。同時����,風險審計關注的重點是業(yè)務過程中的每一個風險點���,涉及所有員工和管理者���,這樣有助于形成商業(yè)銀行風險文化,從而提高商業(yè)銀行全面風險管理水平�。
(二)風險審計有利于對風險事件的識別風險審計采用通用風險分析模板及方法,識別商業(yè)銀行業(yè)務過程的風險和外部環(huán)境風險�。風險審計人員運用某些分析方法,創(chuàng)造性地進行分析�����,判斷管理層是否完全識別了企業(yè)的所有風險,若有遺漏的風險要提醒管理層加以考慮���。
(三)風險審計有利于對風險的反應和控制�。在風險反應活動中���,商業(yè)銀行要根據(jù)不同的風險決定要采取的策略和方法�,決定是避免風險��、接受風險��、還是降低風險���。如對有相對的風險回報的風險�����,商業(yè)銀行可以考慮接受���,但要采取控制措施,才能將風險降低到可以接受的水平����,獲得希望的回報����。對于這部分風險��,商業(yè)銀行會采取減少風險����、轉移風險或分擔風險的辦法以降低商業(yè)銀行承受的風險����。風險審計人員的主要工作在于分析、評價風險回報的合理性����、減少風險的措施的有效性、以及接受風險轉移和風險分擔的那一方的風險���。
(四)風險審計有利于對風險信息溝通和風險管理系統(tǒng)的監(jiān)控���。在風險信息溝通活動中,商業(yè)銀行的風險管理要將風險及時有效地傳遞給內(nèi)部相關人員���,以便及時采取相應的控制措施�����。風險審計人員可以通過評價報告系統(tǒng)證明風險信息被準確��、及時地傳遞到相關人員�����,內(nèi)部審計報告可以向董事會和審計委員會傳遞風險是否得到有效管理的信息��。在監(jiān)控活動中��,商業(yè)銀行要對風險管理進行持續(xù)監(jiān)控���,通過對內(nèi)部控制系統(tǒng)的運行的監(jiān)控和對定期檢查結果及意外事項的處理結果的評價��,保證商業(yè)銀行對風險管理是一直有效的����。風險審計人員可以通過分析環(huán)境和風險變化���,檢查內(nèi)部控制系統(tǒng)是否已更新�����,是否能控制新的風險����。還可以通過后續(xù)審計管理層對審計中發(fā)現(xiàn)的問題及對意外事項的處理情況,檢查新的控制措施是否有效���,將分析結果和建議提供給管理層以便改進控制措施。
風險審計在捕國商業(yè)銀行規(guī)劃與存在問題
(一)風險基礎審計的法制化����、制度化規(guī)范化建設的道路還很漫長。一是商業(yè)銀行內(nèi)部制度調(diào)整工作量大�����,相關業(yè)務制度和操作流程也要進行相應調(diào)整����;二是支持系統(tǒng)建設難度大,因長期需要具備相應功能的電子化系統(tǒng)作支持�,要求商業(yè)銀行改進現(xiàn)有業(yè)務系統(tǒng),并開發(fā)建設風險評估系統(tǒng)����,風險評估系統(tǒng)的建設包括業(yè)務流程�����、歷史數(shù)據(jù)收集�����、參數(shù)選擇等需要大量投資和時間準備�。三是短期內(nèi)風險審計人員素質(zhì)難以提高���。風險審計人員需要精通包括審計�、會計財務���、法律�、邏輯學��、信息學�����、系統(tǒng)論�����、管理學等專業(yè)知識,懂得運用經(jīng)濟����、數(shù)理、計算機等專用分析手段來預知和減少風險��,每位風險審計人員達到運用自如的水準尚需時日��。
(二)審計證據(jù)的較高要求增加風險審計取證的難度風險基礎審計必須獲取充足的���、可靠的相關的證據(jù)以判斷,而目前我國商業(yè)銀行風險基礎審計缺少可供遵循的標準和程序��,且審計取證的渠道和方式多樣����,因此,審計人員一般都需要提高調(diào)查樣本代表性和增大調(diào)查樣本的方法���,以增強對總體風險推斷的準確性����。
(三)風險審計技術手段落后,難以適應工作需要����。計算機會計信息系統(tǒng)、信貸管理系統(tǒng)的廣泛應用和發(fā)展��,大大增強了審計的及時性�����,事后審計���;逐步被實時審計所代替���,這與針對經(jīng)營全過程的風險基礎審計不謀而合。在我國��,商業(yè)銀行審計人員大多數(shù)對計算機輔助審計不太熟悉���,許多還停留在傳統(tǒng)手工查賬的基礎上��,在新技術面前還有些無所適從.審計手段落后��,不但增加了審計難度���,而且效率低���、準確差,嚴重影響了審計作用的發(fā)揮�����,無法滿足商業(yè)銀行風險基礎審計工作的需要
(四)協(xié)調(diào)配臺欠缺��,降低了審計結果的運用日常審計中很少利用紀檢����、人事及其他部門掌握的信息,審計結束后��,除個別項目外一般也不與這些部門交換���,致使審計成果在干部考核、任用��、獎懲等方面沒有發(fā)揮應有的作用��,相應削弱了審計的威懾力��。
我國商業(yè)銀行發(fā)展和完善風險審計的對策
(一)正確認識風險基礎審計在銀行公司治理結構的重要作用,為風險審計的發(fā)展刨造良好的環(huán)境商業(yè)銀行公司治理的核心問題是委托人(股東�����、投資者�����、管理者)如何激勵和約束人(經(jīng)理層)��、積極有效地完成受托經(jīng)營管理責任����,以確保股東或投資者財富最大化。顯然僅僅通過財務審計�����,委托人難以全面了解人是否有效履行其受托責任�����,而風險基礎審計有利于減少信息不對稱性��,較為全面地提供委托人所需要的有關經(jīng)營管理活動方面信息�����,大大遏制了“道德風險”的發(fā)生,增強了經(jīng)營管理的透明度����,從而達到控制和抑制“內(nèi)部人控制”的目的,同時�,通過風險審計可以有效地判斷人的業(yè)績和能力,評價人對受托人責任履行情況�,促進人提高經(jīng)營管理效率因此,風險審計是商業(yè)銀行公司治理結構的重要組成部分��,是完善公司治理結構的“四大基石”之一���。
(二)抓緊制定風瞼基蒯{計���;,立則盡快完善評價標:停體系要吸收借鑒美國���、英國、典等發(fā)達國家的先進經(jīng)驗�����,抓緊研究制定我國的風險基礎審計準則,這是開展風險審計的當務之急����。風險基礎審計準則的制定要遵循“銜接”、“配套”���、“務實”的原則���,注意解決好前瞻與現(xiàn)實的矛盾,接軌與國情的矛盾�。逐步探索和完善風險審計的評價標準體系,量化評價指標��,為不同項目之間的比較提供依據(jù).
(三)認真搞好風險基礎審計研究���,探索先進審計技術方法��。先進的審計技術和方法����,是提高審計效率和質(zhì)量的重要保證要通過傳統(tǒng)方法與現(xiàn)代信息技術的結合����,加大風險審計技術的研究力度��,特別要注重探索完善審計抽樣���、內(nèi)控測評、風險評估等方面的方法和技術產(chǎn)�����。在風險審計的方法和技術的研究中�,要實行科研人員與實務人員、科研與調(diào)研����、審計人員與項目工程人員相結合的辦法開展,以增強實用性��、指導性和前瞧性�。
第4篇
關鍵詞:網(wǎng)絡安全 意識 發(fā)展趨勢 防火墻
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9416(2013)09-0171-01
當前,網(wǎng)絡安全問題比較嚴峻���。人們開始注重關心自己網(wǎng)絡的安全�����。隨著用戶對網(wǎng)絡安全意識的提高�����,人們已經(jīng)不再僅僅滿足于低層次網(wǎng)絡平臺的搭建��,人們開始把更多地把精力放在如何建立或者研發(fā)相關的軟件來保證自己計算機網(wǎng)絡安全�����、可靠�。然而���,什么是計算機網(wǎng)絡呢��?簡單的說計算機網(wǎng)絡就是一種網(wǎng)絡能夠識別的��、以網(wǎng)絡協(xié)議為基礎的一些應用之間比較完整的組合��,但是在這個里面協(xié)議的應用本身都可能會存在一定弊端���,增加網(wǎng)絡安全的風險。當然�����,它還包括了對網(wǎng)絡鎖的使用的一些協(xié)議的相關的設計的問題。
1 網(wǎng)絡的安全技術概括
網(wǎng)絡安全技術主要分為兩種�����。一是加密技術�,這種技術是EC中使用的主要措施,這種技術能夠在貿(mào)易方進行信息交換時候使用����。當前,加密技術主要有對稱加密和非對稱加密技術兩種��。第二種是防火墻的技術��。通常我們所說的防火墻技術是一種應用性的安全技術�����,這種技術主要是建立在信息的安全技術以及通信技術基礎之上�,普遍應用于公用、專用網(wǎng)絡的某些互聯(lián)環(huán)境當中���,接入一種Internet網(wǎng)絡是最為流行的�。
從邏輯上來看,防火墻是一個分離器���,也可以叫做是分離器,它能夠有效地保證和控制互聯(lián)網(wǎng)和內(nèi)部網(wǎng)絡之間安全的進行交易�。此外,根據(jù)防火墻的側重點以及防范方式的不同�����,將防火墻技術分為很多種�,其中具有代表性的為:(1)分組過濾:這種技術能夠在傳輸層和網(wǎng)絡層起作用,它根基端口號和目的地址���、協(xié)議的類型�����、分組的包頭源的地址等標志�,來確定其是否讓數(shù)據(jù)包在此通過����。當數(shù)據(jù)包(過濾邏輯)得到滿足后,這些數(shù)據(jù)包相應的轉發(fā)到目標出口端����,其余的數(shù)據(jù)包則丟棄�,沒用了�。(2)應用:通常也叫做網(wǎng)關,網(wǎng)關主要在應用層發(fā)揮作用�,它能夠阻隔網(wǎng)絡的通信,并根據(jù)不同的應用服務來編寫其專門的程序�����,從而有效的控制和監(jiān)視應用層通信的交流��。
2 網(wǎng)絡安全技術中主要存在的缺陷
目前����,人們在日常及工作中使用的網(wǎng)絡安全技術主要是針對某個或某種網(wǎng)絡的安全問題而設計的。因此�,在某種程度上,這些網(wǎng)絡安全技術只能夠相應解決某個或某種網(wǎng)絡安全問題�,但是這些網(wǎng)絡安全技術沒有辦法解決其他與之有關的問題,更別說對整個的網(wǎng)絡系統(tǒng)進行有效地保護��。比如說�����,人們網(wǎng)絡技術中使用的訪問控制以及身份認證技術,只能解決網(wǎng)絡用戶身份的確認問題�,但是卻無法保證用戶與用戶之間信息傳遞的安全性。
當前�����,隨著計算機技術的不斷發(fā)展�,現(xiàn)代防火墻技術也取得了一定的發(fā)展��,也能夠在現(xiàn)有技術基礎上解決一些基本的網(wǎng)絡安全問題��。但是����,防火墻這種技術主要在應用層發(fā)揮作用,但是防火墻技術仍然存在許多局限性�����。其中����,防火墻技術組最大的局限性就是防火墻技術不能夠本計算機內(nèi)保存放數(shù)據(jù)的安全性。當然它也存在著很多弱點:(1)這種技術不能夠防范一些惡意入侵的知情者���;(2)這種技術不能防御一些來自計算機內(nèi)部的攻擊�����;(3)這種防火墻不能夠防御一些能夠繞過防火墻的攻擊��;(4)這種技術不能防御來自對數(shù)據(jù)的攻擊��。
當然���,在新的���、有效的網(wǎng)絡安全產(chǎn)品研發(fā)出來之前,很多用戶更會選擇一些主流的安全技術與防火墻等技術聯(lián)合起來使用�,從而保障自己的網(wǎng)絡安全。
3 網(wǎng)絡安全技術發(fā)展趨勢
網(wǎng)絡安全是比較復雜的�,從它的概念、內(nèi)容�����、框架等�。為了保證網(wǎng)絡安全的有效性,對于網(wǎng)絡安全的管理必須采用相應的管理才能管理員��,這樣才能夠有效的保證網(wǎng)絡安全控制,從而能夠有效的保證預期資源的安全�。因此,網(wǎng)絡安全的主要核心問題是建立起組織的一些安全管理的體系����。而這個安全管理體系又是由許多動態(tài)安全分析的相應的過程和靜態(tài)安全控制相應的措施組成。
(1)安全需求的分析���?����?蛻糁挥姓嬲私庾约核枰陌踩枨螅拍軌蚋鶕?jù)自身的需要創(chuàng)建一些符合自己需要的安全結構���,這樣客戶才能夠有效地保證自己的網(wǎng)絡系統(tǒng)安全�。
(2)安全風險的管理���。安全風險的管理主要是對在安全需求的分析結果中出現(xiàn)的一些業(yè)務需求和安全威脅進行適當?shù)娘L險評估���,通過一些企業(yè)或相應組織能夠接受的一些投資,來最大程度地實現(xiàn)網(wǎng)絡的安全�。風險評估主要為構架一些部門和組織的安全體系的結構以及制定其安全性策略提供了很多直接的相應的依據(jù)����。
(3)網(wǎng)絡環(huán)境中制定一些安全措施���。根據(jù)部門和組織的風險評估和安全需求的結論�����,制定部門和組織的一些計算機的網(wǎng)絡安全的相關策略���。
(4)定期進行安全審核。對于安全審核����,其首要任務是審核其組織的那些安全性策略是否是被其有效執(zhí)行。
綜上所述���,網(wǎng)絡環(huán)境是一個復雜的�����、多變的���、各種資源能夠相互共享的虛擬環(huán)境��,但是這個環(huán)境又是脆弱的��,這些性質(zhì)都決定了網(wǎng)絡患者中的安全隱患����。隨著我國計算機技術的不斷發(fā)展�����,網(wǎng)絡對于一個國家����、一個企業(yè)而言有著舉足輕重的作用。因此���,在信息化社會中,如果沒有安全����、穩(wěn)定的信息化網(wǎng)絡,整個國家就不可能有安全的屏障��。
參考文獻
[1]千一男.關于計算機網(wǎng)絡安全風險的分析與防范對策的研究[J].電腦知識與技術����,2011年29期.
第5篇
[關鍵詞] 電子政務 信息安全 等級保護 風險評估
1 概述
電子政務是政府管理方式的革命,它是運用信息以及通信技術打破行政機關的組織界限,構建一個電子化的虛擬機關,使公眾擺脫傳統(tǒng)的層層關卡以及書面審核的作業(yè)方式,并依據(jù)人們的需求�、人們可以獲取的方式�����、人們要求的時間及地點等,高效快捷地向人們提供各種不同的服務選擇���。政府機關之間以及政府與社會各界之間也經(jīng)由各種電子化渠道進行相互溝通��。
電子政務的建立將使政府社會服務職能得到最大程度的發(fā)揮,但也使政府敏感信息暴露在無孔不入的網(wǎng)絡威脅面前�����。由于電子政務信息網(wǎng)絡上有相當多的政府公文在流轉,其中不乏重要信息,內(nèi)部網(wǎng)絡上有著大量高度機密的數(shù)據(jù)和信息,直接涉及政府的核心政務,它關系到政府部門�、各大系統(tǒng)乃至整個國家的利益,有的甚至涉及國家安全����。因此,電子政務信息安全是制約電子政務建設與發(fā)展的首要問題和核心問題,是電子政務的職能與優(yōu)勢得以實現(xiàn)的根本前提。如果電子政務信息安全得不到保障,不僅電子政務的便利與效率無從保證,更會給國家利益帶來嚴重威脅��。
2 電子政務信息系統(tǒng)面臨的威脅
電子政務涉及對政府機密信息和敏感政務的保護����、維護公共秩序和行政監(jiān)管的準確實施以及為保障社會提供公共服務的質(zhì)量����。電子政務作為政府有效決策�、管理、服務的重要手段,必然會遇到各種敵對勢力��、恐怖集團���、搗亂分子的破壞和攻擊�����。尤其是,電子政務在基于互聯(lián)網(wǎng)的網(wǎng)絡平臺上,他包括政務內(nèi)網(wǎng)�����、政務外網(wǎng)和互聯(lián)網(wǎng),而互聯(lián)網(wǎng)是一個無行政主管的全球網(wǎng)絡,自身缺少設防,安全隱患很多,使得不法分子利用互聯(lián)網(wǎng)進行犯罪有機可乘,這就使得基于互聯(lián)網(wǎng)開展的電子政務應用面臨著嚴峻的挑戰(zhàn)����。
對電子政務的安全威脅包括網(wǎng)上黑客入侵和犯罪����、病毒泛濫和蔓延,信息間諜的潛入和竊密,網(wǎng)絡恐怖集團的攻擊和破壞,內(nèi)部人員的違規(guī)和違法操作,網(wǎng)絡系統(tǒng)的脆弱和癱瘓,信息安全產(chǎn)品的失控等,對于這些威脅,電子政務的建設和應用應引起足夠警惕,采取果斷的安全措施,應對這種挑戰(zhàn)。
3 電子政務信息安全管理體系的構建
要有效維護電子政務信息系統(tǒng)的安全,就需要構建電子政務安全管理體系,從而使政務的信息基礎設施���、信息應用服務能夠具有保密性���、完整性、真實性和可用性��。電子政務安全管理體系包括安全技術體系�����、安全管理體系和安全服務體系,涉及從管理到組織,從網(wǎng)絡到數(shù)據(jù),從法規(guī)標準到基礎設施等各個方面���。
3.1 加強安全技術力量是實現(xiàn)電子政務安全的基本方法
安全技術體系是利用技術手段實現(xiàn)技術層面的安全保護,是對電子政務安全防護體系的完善,包括網(wǎng)絡安全體系���、數(shù)據(jù)安全傳輸與存儲體系,功能主要是通過各種技術手段實現(xiàn)技術層次的安全保護。
網(wǎng)絡安全體系包括網(wǎng)閘���、入侵檢測�����、漏洞檢測���、外聯(lián)和接入檢測��、補丁管理�����、防火墻����、身份鑒別和認證�����、系統(tǒng)訪問控制���、網(wǎng)絡審計等;數(shù)據(jù)安全與傳輸與存儲體系包括數(shù)據(jù)備份恢復��、PKI/CA��、PMI等����。整個電子政務的安全,涉及信息安全產(chǎn)品的全局配套和科學布置,產(chǎn)品選擇應充分考慮產(chǎn)品的自和自控權�。在關鍵技術、經(jīng)營管理��、生產(chǎn)規(guī)模���、服務觀念等方面,要集中人力�����、物力,制訂相關政策,大力發(fā)展自主知識產(chǎn)權的計算機芯片�����、操作系統(tǒng)等信息安全技術產(chǎn)品,以確保關鍵政府部門的信息系統(tǒng)的網(wǎng)絡安全��。加強核心技術的自主研發(fā),并盡快使之產(chǎn)品化和產(chǎn)業(yè)化,尤其是操作系統(tǒng)技術和計算機芯片技術?���,F(xiàn)階段各地政府部門目前所選用的高端軟硬件平臺,很多都是國外公司的產(chǎn)品,這也對政務安全帶來了許多隱患�����。因此,在構建電子政務系統(tǒng)的時候,在可能的情況下,我們應盡量選用國產(chǎn)化技術和國內(nèi)公司的產(chǎn)品�����。
3.2 構建安全管理體系是電子政務安全實施的重要基礎
安全管理是解決電子政務的安全問題在技術以外的另一有力保障和途徑。由于安全的防范技術與破壞技術總是“勢均力敵”���、“相互促進”的����。作為防范者就更應該在安全防范的管理上下更大的工夫����。安全管理主要涉及三個方面:法律法規(guī)、安全防護體系以及等級保護政策�����。
3.2.1法律政策�����、規(guī)章制度和標準規(guī)范
電子政務的工作內(nèi)容和工作流程涉及到國家秘密與核心政務,它的安全關系到國家的��、國家的安全和公眾利益,所以電子政務的安全實施和保障,必須以國家法規(guī)形式將其固化,形成全國共同遵守的規(guī)約�。目前,世界上很多國家制定了與網(wǎng)絡安全相關的法律法規(guī),如英國的《官方信息保護法》等。我國雖然頒發(fā)了一些與網(wǎng)絡安全有關的法律法規(guī),如《計算機信息系統(tǒng)安全保護條例》���、《計算機信息系統(tǒng)保密管理暫行規(guī)定》等等,但顯得很零散,還缺乏關于電子政務網(wǎng)絡安全的專門法規(guī)���。此外,在完善法律法規(guī)的同時,還應該加大執(zhí)法力度,嚴格執(zhí)法,這一目標的實現(xiàn)不僅需要政府組織的努力,更要國家立法機構的參與和支持���。
3.2.2電子政務防護體系
貫穿整個電子政務的安全防護體系,對電子政務安全實施起全面的指導作用,具體包括三個方面的內(nèi)容:安全組織機構���、安全人事管理�����、以及安全責任制度����。建立安全組織機構,其目的是統(tǒng)一規(guī)劃各級網(wǎng)絡系統(tǒng)的安全�、制定完善的安全策略和措施、協(xié)調(diào)各方面的安全事宜,主要職責包括制定整體安全策略�、明確規(guī)章制度、落實各項安全措施實施,以及制訂安全應急方案和保密信息的安全策略;安全人事管理,其主要內(nèi)容包括:人事審查與錄用���、崗位與責任范圍的確定����、工作評價���、人事檔案管理���、提升����、調(diào)動與免職�����、基礎培訓等;制定和落實安全責任制度,包括系統(tǒng)運行維護管理制度�����、計算機處理控制管理制度�����、文檔資料管理制度�、操作和管理人員管理制度、機房安全管理制度����、定期檢查與監(jiān)督制度、網(wǎng)絡通信安全管理制度、病毒防治管理制度�����、安全等級保護制度��、對外交流安全維護制度,以及對外合作制度等��。
3.2.3等級保護制度
通過全面推行信息安全等級保護制度,逐步將信息安全等級保護制度落實到信息系統(tǒng)安全規(guī)劃���、建設、測評��、運行維護和使用等各個環(huán)節(jié),使信息安全保障狀況得到基本改善�����。通過加強和規(guī)范信息安全等級保護管理,不斷提高信息安全保障能力,為維護信息網(wǎng)絡的安全穩(wěn)定,促進信息化發(fā)展服務��。
4 完善安全服務是維護電子政務安全實施的有力保障
4.1 安全等級測評和風險評估管理
電子政務信息系統(tǒng)安全測評服務,其實質(zhì)是通過科學���、規(guī)范���、公正的測試和評估向被測評單位證實其信息系統(tǒng)的安全性能符合等級保護的要求。
由于信息安全直接涉及國家利益、安全和,政府對信息產(chǎn)品�����、信息系統(tǒng)安全性的測評認證要更為嚴格���。對信息系統(tǒng)和信息安全技術中的核心技術,由政府直接控制,在信息安全各主管部門的支持和指導下,依托專業(yè)的職能機構提供技術支持,形成政府的行政管理與技術支持相結合�����、相依賴的管理體制��。 風險管理是對項目風險的識別�����、分析和應對過程�����。它包括對正面事件效果的最大化及對負面事件影響的最小化�����。電子政務安全風險管理的主要任務是電子政務信息系統(tǒng)的風險評估并提出風險緩解措施,前者是識別并分析系統(tǒng)中的風險因素,估計可能造成的損失,后者是選擇和實施安全控制,將風險降低到一個可接受的水平���。
4.2 安全培訓服務
根據(jù)不同層次的人才需求,社會化的信息安全人才培養(yǎng)體系應分為專業(yè)型教育�、應用型教育和安全素養(yǎng)教育三個層次���。專業(yè)型教育主要是培養(yǎng)信息安全領域的專業(yè)研發(fā)��、工程技術��、戰(zhàn)略管理等方面的人才��。應用型(半專業(yè))教育則是以從事現(xiàn)代信息管理工作的人作為對象,培養(yǎng)目標是要求學生具備信息安全的基本知識�����、網(wǎng)絡和信息系統(tǒng)安全防范技能、組織機構或系統(tǒng)安全管理的能力等�����。這種應用型的信息安全教育要求受教育對象數(shù)量要多,覆蓋面要廣,基本信息技能要強�。通過課程、講座���、宣傳等多種形式,達到讓每一個人都具備必要的安全意識和常規(guī)的信息安全自我防范技術的目的���。要求單位領導應具備必要信息安全意識和安全知識;信息管理人員應具備一定的信息安全知識和基本技能;從事信息服務或信息安全服務的有關人員應具備必要的信息安全知識和技術基礎等���。
構建安全穩(wěn)定的政務信息系統(tǒng),技術、管理����、服務作為支撐體系的三大要素,缺一不可。只有這三方面都做好了,才能實現(xiàn)海西政務信息管理體系的全面提升�。
參考文獻:
[1] 何玲,電子政務環(huán)境下政府電子文件管理新探索[D].成都:四川大學碩士學位論文,2008.
第6篇
關鍵詞:模糊 Petri 網(wǎng) 信貸風險 審計預警
一、引言
近年�����,隨著信息技術與互聯(lián)網(wǎng)金融的高速發(fā)展�����,P2P網(wǎng)絡信貸的興起在世界范圍內(nèi)產(chǎn)生沖擊���。Lending Club 2007年在美國成立����,七年間作為美國P2P網(wǎng)絡信貸的領先企業(yè)��,目前已經(jīng)成功撮合40億美元的借貸交易。與此同時���,我國P2P網(wǎng)絡信貸成長迅速���,最新出爐的中國P2P網(wǎng)貸指數(shù)顯示,截至2014年12月30日上午11時����,全國P2P網(wǎng)貸平臺共2 358家,其中活躍平臺(納入中國P2P網(wǎng)貸指數(shù)統(tǒng)計)1 680家����。眾所周知,由于網(wǎng)絡信貸的高速成長��,網(wǎng)絡信貸企業(yè)水平參差不齊���。2014全年問題企業(yè)達275家,僅2013年12月份���,由于投資人撤資�����,行業(yè)兌付壓力驟升所導致的問題企業(yè)就高達92家�。網(wǎng)絡信貸企業(yè)失敗的原因總結起來,除了自身因素外�����,絕大部分都是由于平臺內(nèi)部風險控制較差��,一些借款客戶不能正常還款���,使得貸款壞賬率過高���,而平臺承諾投資人的收益過高,實際的優(yōu)質(zhì)業(yè)務很少���,導致平臺資金鏈斷裂所致���。因此對于網(wǎng)絡信貸公司而言,降低信貸風險迫在眉睫���。
審計作為內(nèi)部控制風險管理的有力武器�����,查錯糾弊��、警示預險是其功能����。隨著網(wǎng)絡信貸P2P日益迅速的發(fā)展,企業(yè)面臨的信貸風險越來越多��,這需要內(nèi)部審計承擔更多的治理和管理職能��,對重要風險進行預警����。由于P2P網(wǎng)絡信貸建立在互聯(lián)網(wǎng)數(shù)據(jù)化的基礎上,網(wǎng)絡信貸風險的審計預警應當利用網(wǎng)絡信貸業(yè)務內(nèi)部外部相關因素數(shù)據(jù)進行準確評價��,將內(nèi)外部風險因素傳導�����、風險識別���、預警提示等結合起來,形成量化的風險評估結果��,以準確判斷業(yè)務風險高低,識別風險控制重點����,形成審計預警�,幫助審計人員實現(xiàn)事前風險控制?���;诖?��,本文針對信貸業(yè)務流程中的信貸風險因素���,模擬各風險因素間的因果關系�����,采用 Petri 網(wǎng)構建信貸風險模型,計算出各風險因素之間的傳導概率���,從而量化描述風險因素的傳導機制,幫助審計人員更好地管控風險傳導過程��。
二、文獻綜述
目前國內(nèi)外對于P2P網(wǎng)絡信貸風險的研究主要集中在對P2P網(wǎng)絡信貸模式的探討��。P2P網(wǎng)絡信貸屬于微型金融領域���,陌生人通過互聯(lián)網(wǎng)進行借貸交易���,這種模式必然存在比傳統(tǒng)金融機構借貸模式更大的風險。如何消除互聯(lián)網(wǎng)環(huán)境下網(wǎng)絡信貸風險所造成的負面影響���,已經(jīng)成為微型金融領域研究的一項核心問題���。沈良輝�����、陳瑩認為���,我國P2P網(wǎng)絡信貸行業(yè)存在借款人信用信息識別難、借款用途真實性辨別難�����、借款抵押擔保難等問題,而且網(wǎng)絡信貸公司沉淀資金安全性差�����,網(wǎng)絡信貸業(yè)務領域的可控性差���,線上業(yè)務量少,自身特點導致的風險性也大���。雷艦認為���,對 P2P 行業(yè)的監(jiān)管應該采取行業(yè)自律與外部監(jiān)管相結合的原則���,建立統(tǒng)一的行業(yè)準入機制,規(guī)范行業(yè)運行機制���。黃葉危����、齊曉雯認為P2P網(wǎng)絡信貸存在法律缺失��、平臺用戶使用不當�����、平臺自身導致的風險等問題,并認為風險管理應以信用風險控制為主�,建議建立共同信用評級系統(tǒng)����。由上可見,國內(nèi)外對P2P網(wǎng)絡信貸風險的相關研究���,大多為定性研究信貸風險的相關影響因素,或只是提出風險管理的建議����,并沒有將網(wǎng)絡信貸的風險管理與審計預警結合起來��。
從理論上講,對金融風險的處理和控制當然是越早越好��。以往��,只有當借款人償還不力時��,網(wǎng)絡信貸企業(yè)才會采取針對性的行動���,但此時問題已經(jīng)發(fā)生并惡化至不可收拾,這種滯后處理對充滿風險的信貸行業(yè)是非常不利的�,會造成巨大損失�,如能建立審計預警系統(tǒng)���,在前期就根據(jù)各筆貸款業(yè)務風險程度實施預警審計方案���,將大大降低企業(yè)風險���。審計預警系統(tǒng)是主動的控制防御����,根據(jù)風險相關影響因素的因果關系��,系統(tǒng)地進行風險評估���,對高風險項目實現(xiàn)審計預警��,風險越高的貸款項目預警越敏感��,相應的審計措施越周密�。如控制貸款審批將不良貸款率將至最低����,調(diào)整過高的投資回報率等�����,以及時降低企業(yè)風險�,實現(xiàn)企業(yè)審計風險控制�����。魯愛民�、孟志青認為審計預警應在明確預警��、排警的前提下��,結合被審計單位內(nèi)外部環(huán)境狀況���,對公司運行的重要影響因素(包括管理機制與制度執(zhí)行等)進行評價,將風險識別及信息傳遞�����、預警提示等有機結合��,以保證預警系統(tǒng)目標的實現(xiàn)。國內(nèi)的預警研究往往集中在危機已經(jīng)發(fā)生或者危機發(fā)生后��,且研究重點主要集中在定性研究����,如對危機應對的建議或是對風險的評估。研究的方法也主要是分析風險相關因素的因果關系并通過圖表描述�����,然后通過計算或者演算尋找規(guī)律從而進行預測。但是這類研究也存在一定的缺陷��,即僅僅著眼于因果聯(lián)系在實際應用中顯然不夠�,還需要能夠事先根據(jù)外部數(shù)據(jù)及時反應����,通過定量分析���,迅速得出準確的風險評價結果,有效預警�����。Petri網(wǎng)建模能夠隨著外界輸入信息的變化作出相應的調(diào)整��,及時通過風險影響因素的因果聯(lián)系����,準確評價風險高低�,有利于審計人員事先對P2P網(wǎng)絡信貸風險的控制�,預防信貸風險造成的危害��。
三��、基于Petri網(wǎng)的審計預警系統(tǒng)模型
從前人各類審計預警系統(tǒng)的構想中不難看出,大多數(shù)設想都是基于工作流程創(chuàng)造的�����,這些按照工作流程設想的框架都缺少系統(tǒng)模型�。在工作流的過程建模中�����,要求所建立的模型具有較強的描述能力�����,建模過程簡便��、直觀,所建立的模型易于使用��,同時還要求模型易于修改和擴充�,以適應不斷變化的工作環(huán)境�����。進一步地,模型還要求能夠便于被驗證�����,進行性能評價��。Petri網(wǎng)作為一種描述并發(fā)系統(tǒng)動態(tài)行為的有力工具�����,能夠很好地滿足上述這些要求�,準確描述信貸審批流程���。基于此��,本文在闡述P2P網(wǎng)絡信貸審批過程的基礎上��,根據(jù)互聯(lián)網(wǎng)金融企業(yè)開展網(wǎng)絡信貸業(yè)務的經(jīng)驗教訓,突出內(nèi)外部因素在審批過程中與風險的因果關系�����,建立風險評價指標;給出基于模糊Petri網(wǎng)的評價方法�����,為定量評價網(wǎng)絡信貸風險提供參考手段����,為審計預警提供依據(jù)�����,確?�;ヂ?lián)網(wǎng)金融企業(yè)網(wǎng)絡信貸風險的控制。
(一)信貸審批審計預警系統(tǒng)流程
簡要描述:借款人提出申請并提交材料����,將借款人材料信息傳遞給資格審核部門并進行審核�����,初審通過�,傳遞相關信息進一步認證信息是否真實���,根據(jù)獲得信息進行風險評估,將評估結果傳遞到審計部門選擇相應預警方案,在網(wǎng)上提供貸款����,跟蹤借款人履約情況���,根據(jù)履約與否相應處理(詳見圖1)。
(二)建立互聯(lián)網(wǎng)信貸風險審計預警模型
通過對互聯(lián)網(wǎng)信貸風險因素的分析�,可以看出信貸主要風險因素來自于第三方因素���、互聯(lián)網(wǎng)企業(yè)內(nèi)部因素、借款人因素����、貸款人因素等多個方面���。并且這些風險因素之間存在著一定的關聯(lián)性。例如:在第三方因素中����,對申請人抵押物的評估結果��,將直接影響申請人互聯(lián)網(wǎng)信貸審批�;公司內(nèi)部人員工作能力也會影響貸款審核情況����,處理稍有不慎�����,都將導致信貸風險的產(chǎn)生�����,甚至危機網(wǎng)絡信貸企業(yè)的生存?���?梢哉f�����,在信貸風險環(huán)境中,大部分影響因素都存在著因果關系�����。這種因果關系符合模糊 Petri 網(wǎng)應用范圍�。因此����,本文在互聯(lián)網(wǎng)信貸風險模型建立過程中����,主要運用模糊 Petri 網(wǎng)相關知識對互聯(lián)網(wǎng)信貸風險影響因素進行圖形化處理���,并利用最長路徑算法得到關鍵影響因素,直觀��、簡便地實現(xiàn)對信貸風險環(huán)境中各影響因素的定量分析評價��,并將信貸風險量化表達,對高風險項目提前預警����,起到實現(xiàn)審計預警的作用。
1.基于模糊 Petri 網(wǎng)互聯(lián)網(wǎng)信貸風險審計預警評價模型����。根據(jù)模糊 Petri 網(wǎng)基本原理和對互聯(lián)網(wǎng)信貸風險環(huán)境的分析�����,可以得到基于模糊 Petri 網(wǎng)互聯(lián)網(wǎng)信貸風險評價模型 FPN。
2.FPN 網(wǎng)建立的步驟�����。FPN 網(wǎng)的構建詳細過程如下:
(1)確定致因因素�����。詳細了解互聯(lián)網(wǎng)信貸的特征,分析導致最終事件發(fā)生的基本因素��,得到互聯(lián)網(wǎng)信貸風險致因因素含義及庫所表示(詳見表1)�����。
(2)確定中間因素���。由上一步分析確定的致因因素,總結出一系列相關的信貸風險影響因素����,根據(jù)相互之間的因果關系分析確定各因素在整個 Petri 網(wǎng)中位置�,最終得到某互聯(lián)網(wǎng)信貸風險中間因素含義及庫所表示��,見表2�����。
(3)根據(jù)互聯(lián)網(wǎng)信貸環(huán)境的分析和FPN 中各影響因素含義及庫所表示,得到互聯(lián)網(wǎng)信貸風險模型中各命題含義(詳見表 3)�����。
(4)確定變遷意義(見下頁表4)�����。建立模糊 Petri 網(wǎng)���,從最終事件分析尋找其致因因素或相關影響因素�,并按因果關系進行模糊 Petri 網(wǎng)繪制����。根據(jù)模糊 Petri 網(wǎng)的基本推理規(guī)則及觸發(fā)規(guī)則�,得到各因素及命題的結構位置及相關聯(lián)事件之間的邏輯關系�����。依據(jù)對模型 FPN 中各影響因素分析及相關命題含義總結���,繪制出基于 FPN 的互聯(lián)網(wǎng)信貸風險模型(詳見下頁圖 2)���。
模型FPN中的相關數(shù)據(jù):在模型 FPN 中�,結合對實際情況的分析���,根據(jù)模糊Petri網(wǎng)的理論,得出模型各因素中有數(shù)據(jù)的為 p1����、p2��、p3��、p4、p5�����、p6��,這些因素的模糊發(fā)生概率可以通過相關數(shù)據(jù)及分析資料得出,而其他無實測或數(shù)據(jù)���、分析資料事件的模糊發(fā)生概率可根據(jù)相關推理規(guī)則及模型計算方法得出��。
3.模型FPN的推理規(guī)則���。
(4)規(guī)則四。IF dkTHEN dl1AND dl2AND…AND dl(CF =μi)�����。變遷發(fā)生后�,命題 dli(j =1,2�����,…����,l) 的真實度的值為β(pj)×μi�����。 如果圖2基于 FPN 的互聯(lián)網(wǎng)信貸風險模型有相一致的表示���,其庫所對應命題真實度的值按照該算法得出��。
步驟五:pj成為已檢查過的庫所�,重復步驟四�,直至所有點都被檢查為止��。
步驟六:按目標庫所的第一個標記反向追蹤最長路徑及最長路徑上的所有庫所���,則該路徑上的致因因素即為引發(fā)信貸風險的關鍵因素����,路徑長度的含義即為導致其信貸風險因素的可能性�。
四、結束語
網(wǎng)絡信貸風險防范已引起了社會越來越多的關注�,隨著網(wǎng)絡信貸企業(yè)日趨成熟��,而風險管理已成為網(wǎng)絡信貸交易和整個行業(yè)發(fā)展過程中的關鍵所在�,正確評估風險��,掌握風險的特征和變動趨勢���,執(zhí)行審計預警系統(tǒng)是防范和化解風險的有效途徑�����。而防范信貸風險最關鍵的就是在信貸交易達成之前對風險做出正確的預測����,選擇相應的審計預警方案。以Petri網(wǎng)為工具建立的信貸風險模型可以簡潔��、直觀地描述各風險因素之間的關系及其對信貸運作的影響���,利用模糊Petri網(wǎng)的推理算法可以計算得出各風險因素之間的傳導概率����,將風險因素的傳導規(guī)律量化表達�,幫助互聯(lián)網(wǎng)信貸企業(yè)詳細了解風險的傳導過程��,有針對性地采取審計措施,為企業(yè)更有效地預測和控制信貸風險提供新的思路��。在此基礎上也可以靈活運用互聯(lián)網(wǎng)信息技術���,如數(shù)據(jù)挖掘�����、大數(shù)據(jù)技術將極大減少系統(tǒng)整理資料與評估的時間��,提高結果準確度。這是保障信貸質(zhì)量和促進行業(yè)健康持續(xù)發(fā)展的必要手段�����。
參考文獻:
1.沈良輝����,陳瑩.美國P2P網(wǎng)貸信用風險管理經(jīng)驗及對我國的啟示[J].征信�,2014���,(06):61-65.
2.雷艦.我國P2P網(wǎng)貸行業(yè)發(fā)展現(xiàn)狀���、問題及監(jiān)管對策[J].國際金融,2014���,(08):71-76.
3.馬運全.P2P網(wǎng)絡信貸的發(fā)展���、風險與行為矯正[J].微型金融研究�,2012����,(2):46-49.
4.黃葉苊���,齊曉雯.網(wǎng)絡信貸中的風險控制[J].工作論壇,2012 ��,(4):101-105.
5.孫英雋���,蘇顏芹.微金融的發(fā)展趨勢:網(wǎng)絡信貸[J].科技與管理���,2012��,(1):92-95.
6.魯愛民,孟志青.審計預警系統(tǒng)的構建研究[J].會計之友�����,2012�����,(29):97-98.
7.陽潔,胡靜.金融風險預警系統(tǒng)評價與分析[J].經(jīng)濟問題�����,1999����,(05):48-51.
8.陳文夏.次貸危機對我國政府金融審計的啟示――基于國家審計發(fā)揮“免疫系統(tǒng)”功能的思考[J].審計研究�����,2009�,(02):22-25.
9.陳文夏.金融審計預警體系構建研究[J].審計研究���,2011��,(02):33-38.
第7篇
關鍵詞:房屋���;征收與補償�;相關問題��;政策��;法律
中圖分類號:DF453文獻標識碼: A
一�����、國有土地上房屋征收與補償工作的問題
《國有土地上房屋征收與補償條例》雖然將房屋征收工作提到了法律的高度上�����,但是過于寬泛�,缺少落實細則�����。雖然《國有土地上房屋征收與補償條例》的頒布和實施為房屋征收工作提供了法律保障�����,但過于寬泛,缺少具體的操作細則�,使得房屋征收工作沒有統(tǒng)一的操作行為����。隨著經(jīng)濟和形勢的發(fā)展����,因時而動��、因地而變的情況時有發(fā)生�����,需要準備和提交的材料不統(tǒng)一����,導致征收工作實施過程中��,被征收人房屋證明資料不完整或自然人的情況不明確,令征收工作無法順利、穩(wěn)定地開展和完成�。
《國有土地上房屋征收與補償條例》中公共利益的范疇和外延伸縮性�、彈性過大�,使得部分為謀取個人利益的人有機可乘��?��!秶型恋厣戏课菡魇张c補償條例》雖然明確規(guī)定了征收條件是為了公共利益的需要����,但在實際征收中����,一些人為謀取個人私利���,混淆概念����,把私人建廠或開發(fā)小區(qū)等都貼上“為促進國民經(jīng)濟和社會發(fā)展的需要”的標簽,打著“公共利益”的招牌����,掛著“公共利益”的幌子��,稱其是符合政府納入國民經(jīng)濟發(fā)展規(guī)劃的項目���,使公共利益的范圍更加模糊�����,公共利益的外延更加龐大�。
征收補償不及時�����,公民的產(chǎn)權調(diào)換的回遷權缺乏有力的保障。在房屋征收過程中�,一些市、縣因財政資金不足或人為原因造成征收補償不及時的現(xiàn)象時有發(fā)生���,以致公民的產(chǎn)權調(diào)換的回遷權缺乏有力的保障。這樣也給房屋征收工作帶來了很不好的影響����,使房屋征收工作很難大范圍地展開,并致使后續(xù)工作無法進行���。給一部分百姓造成房屋征收補償款放在政府手里可不能放得下心,只有放在自己手里才是最可靠的的印象�。征收補償不及時現(xiàn)象的存在使政府失去了公信力�����。
征收補償條例過分強調(diào)了行政機關的主導地位����,并且缺乏有效的監(jiān)督���。在《國有土地上房屋征收與補償條例》中,過分強調(diào)了行政機關的主導性�����,使征收的許多事項都掌控在政府的手中,缺乏有效的監(jiān)督����,這樣就使得一些人為謀取個人私利而放棄原則和失去黨性����,致使暗箱操作頻出���,腐敗滋生,使社會矛盾激化�����,房屋征收與補償糾紛越來越多����,越來越激烈�����,影響了經(jīng)濟的發(fā)展和社會的穩(wěn)定�,并且導致了不可估量的后果��。
征收補償標準的制定存在矛盾。征收工作的核心問題是補償標準問題�,這也是從拆遷時代開始�,兩個相對主體之間��,爭議最大、矛盾最突出的問題����。目前的征收補償標準較拆遷時已有大幅提高���。但是作為兩方爭議最大的土地使用權的補償問題仍未解決�。房屋征收的目的表面上是取得房屋所有權��,實質(zhì)是取得國有土地使用權���,這是不爭的事實?,F(xiàn)行的征收補償政策中明確對被征收人的補償包括被征收人房屋價值的補償及搬遷補償���、臨時安置補償和停產(chǎn)停業(yè)損失補償?shù)?����,對土地使用權的補償只字未提。但事實上大部分被征收人認為�����,土地使用權是房屋的附著物����,如果政府不來征收�,附加了土地價值的房屋,特別是城市中心地段房屋會隨著地價上漲價值不斷攀升��,但政府征收后地產(chǎn)的增值部分價值就被政府或者之后摘牌的地產(chǎn)商侵吞了�,這是明顯不合理不公平的�����。這個問題不解決將會嚴重阻礙征收工作的順利推進�。
二���、如何加強國有土地上房屋征收與補償工作
1�����、依法征收是做好房屋征收補償工作的前提
嚴格依照《征收條例》等法律法規(guī)開展征收工作,既是維護公共利益�����、被征收房屋所有權人合法權益的需要�����,又是順利開展征收和保護征收從業(yè)人員的需要��。故此��,以依法征收為主線,嚴格執(zhí)行征收條件和程序���,有序地實施征收工作尤為重要���。首先要符合六個征收前置條件:1.符合公共利益的需要�����;2.符合我市國民經(jīng)濟和社會發(fā)展規(guī)劃�;3.符合土地利用總體規(guī)劃��;4.符合城市規(guī)劃;5.符合專項規(guī)劃�;6.如以保障性安居工程建設、舊城區(qū)改建名義申報�,則該項目應當納入市國民經(jīng)濟和社會發(fā)展年度計劃。其次��,征收程序要不含糊:征收申報�����、初步審定、調(diào)查登記���、擬定方案、組織論證��、征求意見����、公布修改情況�����、組織聽證、風險評估��、作出決定���、公告����、通知停辦手續(xù)一步也不能少���。再次,補償程序要到位:確定評估機構�、簽訂評估合同��、提出分戶價格��、公示評估結果、提供評估報告��、復核評估報告�����、組織技術鑒定�����、訂立補償協(xié)議、作出補償決定�、申請強制執(zhí)行、公布補償情況�、公布審計結果每個環(huán)節(jié)都要到位���。
2�����、高位推進是做好房屋征收補償工作的關鍵
房屋征收工作難度大����,需要解決的問題多,只有堅強的領導作后盾才能順利推動�����。在房屋征收過程中,各地主要領導親力親為�����,通過電視講話��,現(xiàn)場巡查,召開動員會�����、推進會、調(diào)度會等形式�����,甚至親自掛帥包戶做動遷���,顯現(xiàn)出政府的堅強決心和表率作用,有力地推動了房屋征收工作�。同時���,實行社會穩(wěn)定風險評估�����。在作出房屋征收決定前,征收部門都能結合本地實際和征收項目的個性����,進行社會穩(wěn)定風險評估,對可能出現(xiàn)的風險進行識別�����,在征收過程中盡可能做到規(guī)避風險�����,征收條件不具備或風險系數(shù)高的項目實行暫緩�。
3��、安置到位是做好房屋征收補償工作的后盾
為做好征收工作�,各地都能多方籌措資金�,做到錢不到帳���、安置房不開工就不正式啟動房屋征收���。實行補償款??顚S?,全額撥入征收辦的專戶,由征收辦統(tǒng)一把關�,做到即簽即付��,使被征收人放心,沒有“打白條”的現(xiàn)象���。針對安置房未完工的情況���,采用先給予貨幣補償�����,待安置房建好后再購買的辦法,有效地觶決了被拆遷人的后顧之憂�。
安置到位還要體現(xiàn)公平公正��。在征收的執(zhí)行過程中,應嚴格按照政策標準��,奉行公平�����、公正���、公開���,合情�����、合理、合法的原則�����,做到一碗水端平����、一把尺子量到底的工作方法�。嚴格落實拆前拆后一個樣、拆大拆小一個樣�����、拆官拆民一個樣、拆富拆窮一個樣���、拆生拆熟一個樣的征收準則�,杜絕“先簽約吃虧�����,后簽約受益”、“多叫的鳥兒多吃食”��、私情補償?shù)炔还浆F(xiàn)象的發(fā)生,從而贏得被征收戶的充分信任和積極配合�。安置到位還要體現(xiàn)優(yōu)先保障,只要被征收人符合住房保障條件���,就可按簽約拆除先后順序優(yōu)先享受保障性住房��。如玉山縣七星街棚戶區(qū)改造項目安置保障性住房24戶��,解放中路棚戶區(qū)改造項目安置保障性住房5戶�,萬年縣安置保障性住房4戶。
4�����、補償合理是做好房屋征收補償工作的保障
為了制定出科學合理�����、操作性強的征收補償方案����,則要改變往日“先結婚,后戀愛”的做法�����,工作人員要逐一登門入戶����,充分了解被征收戶的房屋狀況、基本要求、思想動態(tài)����、家里的特殊情況等����,在做到“胸有成竹”的基礎上,依據(jù)相關法律法規(guī)�����,制定出扎根實際、便于操作的房屋征收補償方案��。如:玉山���、德興、萬年�、波陽等縣由于充分吸納了被征收群眾合情合理的意見和建議,遵循了市場規(guī)律,補償方案凸顯出客觀���、公正���、惠民等基本特性,為整個征收工作的順利開展奠定了堅實基礎��。同時��,還制定了《房屋征收補償信息公開制度》���。確保房屋征收的相關法律����、法規(guī)政策常年向社會公布�;房屋征收決定、房屋征收補償方案���、房屋征收補助獎勵政策和標準���、補償決定在征收范圍內(nèi)公布;房屋調(diào)查結果���、初步評估結果����、分戶補償情況等能在征收范圍內(nèi)向被征收人及時公布。如凡是支持配合征收工作�����,按時完成搬遷的被征收人應當給予諸如階段搬遷獎���、快速搬遷獎����、安置房公攤面積差獎等��,讓先搬者多受益�,晚搬者少受益。做到拆官拆民一個樣��、拆富拆窮一個樣����、拆生拆熟一個樣,杜絕“多叫的鳥兒多吃食”等不公平現(xiàn)象的發(fā)生��。
5���、部門配合是做好房屋征收補償工作的靠山
在征收實施過程中���,各部門各單位應牢固樹立“上下一盤棋”思想,無條件服從和服務于征收工作這一大局����,通力協(xié)作,切實履職�。在停辦業(yè)務中,工商���、稅務�����、規(guī)劃�����、建設�����、房管等部門要予以配合��;在房屋拆除過程中���,管線�、電力�����、自來水�、城管�����、交警等部門要全力支持��;在動遷過程中,凡是涉及到有被征收人的單位,更應全力配合,協(xié)助做通被征收人的思想工作����。在房屋征收過程中�,各地沒有出現(xiàn)采取停水、停電��、阻斷交通等野蠻手段逼迫搬遷現(xiàn)象��,也沒有出現(xiàn)采取“株連式拆遷”和暴力征收的行為��,沒有出現(xiàn)貪污��、截留��、挪用征收補償款的現(xiàn)象��。故此���,征收工作得到了絕大多數(shù)群眾的支持和理解����,沒有發(fā)生因征收而引起的群體和惡性事件,沒有出現(xiàn)被征收人赴省進京上訪的現(xiàn)象,也沒有申請過人民法院實施強制執(zhí)行的情況����,房屋征收工作中沒有出現(xiàn)違法違規(guī)案件��。
結束語
隨著經(jīng)濟的快速發(fā)展���,城市進程的步伐也不斷加快�����,在國有土地上的房屋征收變得越來越頻繁�。房屋征收工作的開展為城市的發(fā)展開拓了道路。房屋征收工作涉及的范圍廣,人數(shù)多���,涉及到不同的利益主體���,并且都牽扯到百姓的切身利益�,因此房屋征收與補償工作已經(jīng)成為政府工作的重點之一���。房屋征收與補償工作要以法律為依據(jù)���,積極開展和完善房屋征收與補償工作�����,使房屋征收與補償工作為城市發(fā)展提供良好的社會環(huán)境。
參考文獻
[1]劉禹.國有土地上房屋征收與補償中的財產(chǎn)權保護研究[D].遼寧大學,2013.
[2]何江南.國有土地上房屋征收決定程序[D].中國社會科學院研究生院,2013.
第8篇
關鍵詞:模糊評判法 煤礦風險等級 商業(yè)保險費率 浮動費率
0 引言
商業(yè)保險業(yè)與煤礦安全生產(chǎn)工作相結合�,保險機構主動介入工傷預防����,是國外的一條成功經(jīng)驗�。保險業(yè)發(fā)育比較成熟的兩個代表性國家是德國和日本�����。在我國,商業(yè)保險的產(chǎn)品還沒有真正進入煤炭領域,煤礦一旦發(fā)生事故基本是政府買單。我國雖然強制推行了工傷保險制度,但事故的賠付非常低���,事故傷亡人員及其相關方得不到根本保障����,煤炭生產(chǎn)企業(yè)仍舊存在非常高的風險。商業(yè)保險進入煤炭領域可以很好地解決這些問題�����。商業(yè)保險進入煤炭領域����,必須探討一種有關煤礦安全生產(chǎn)的綜合量化指標與費率浮動之間的科學系數(shù)關系,即建立煤炭領域商業(yè)保險費率制度��,商業(yè)保險對安全生產(chǎn)的促進作用才能真正發(fā)揮出來。目前�,我國有各類性質(zhì)的煤礦一萬多家,其自然條件�����、地質(zhì)條件����、開采技術條件、裝備水平����、災害類型、管理水平等千差萬別�����,其風險水平不一���,風險的大小沒有一個可靠的評估方法,災害后果的嚴重程度無法準確預測���。煤礦生產(chǎn)系統(tǒng)是一個由人-機-環(huán)境構成的復雜系統(tǒng)����,影響煤礦工傷風險的因素錯綜復雜,各個因素之間相互關聯(lián)���,相互影響����,是典型的灰色模糊系統(tǒng)�����,所以可以考慮運用模糊綜合評判方法對煤礦工傷風險綜合評價�����。
1 模糊綜合評判方法
煤礦開采系統(tǒng)是由人員管理��、機械設備和地質(zhì)條件等組成的��。影響礦井安全的因素眾多�����,大部分評價指標具有不確定性�����、模糊性,難以進行準確的定量分析和評價����。而且,煤礦開采涉及的因素較多��,包括開采��、通風����、地質(zhì)、機械����、人員培訓等,這些因素往往相互影響����,相互制約。眾所周知����,要評價一件由單因素確定的事物是比較容易的,但如果涉及的因素多了����,就會出現(xiàn)從這個因素出發(fā)對它做出一種判斷,而從另一種因素出發(fā)又可以對它做出另一種判定的局面�,這樣就產(chǎn)生一個綜合各方面因素做出一個更接近實際的綜合評判的問題,這就是綜合評判方法���。模糊評價是利用模糊數(shù)學的基本理論來將模糊信息定量化�����,它合理地選擇因素域值��,再利用傳統(tǒng)數(shù)學方法對多因素進行定量評價�,從而科學地得出評價結論���,該評價方法的優(yōu)點在于不會忽略因素在程度上的差異[1]���。進行模糊評價的過程是首先要建立影響評價因素集,并對各因素賦予相應的權數(shù)���,然后由評價者建立評價集并對各因素進行評價��,從而得出評價矩陣��。最后由相應的權數(shù)與評價矩陣計算形成系統(tǒng)隸屬度��,按最大隸屬度原則從評判級中確定系統(tǒng)的安全等級���。模糊綜合評判決策的具體方法與步驟如下:①建立綜合評價的因素集��。因素集是以影響評價對象各種因素為元素所組成的集合���,用U來表示,即U={u1�,u2,…un}為n種因素(或指標)���。②確定因素權重��。由于各種因素所處地位不同�,作用也不一樣����,可用權重A={a1��,a2�����,…an}來描述。③建立綜合評價的評價集�����。評價集是評價者對評價對象可能做出的各種結果所組成的集合����,用V表示,即V={v1���,v2��,…vm}為m種評判(或等級)�����。④建立模糊綜合評判矩陣��。用rij(0≤rij≤1)表示vj對因素ui所作的評判���,得到模糊綜合評判矩陣R=(rij)n×m����。⑤建立綜合評價模型�����。確定R�、A之后,通過變換得到B=A°R=(b1�����,b2����,…bm),它是V上的一個模糊子集���。其中��,“°”為綜合評價合成算子�����。⑥確定系統(tǒng)總得分及評價安全狀況�。綜合評價模型確定以后,可得出系統(tǒng)總得分����。根據(jù)系統(tǒng)總得分,對照安全等級表就可以評價出安全狀況���。
2 煤礦安全風險綜合評價指標體系
評價指標是風險評價的核心問題,不同的指標體系結構就會得出不同的評價結論�����。礦井安全風險評價中��,并非評價指標越多越好����,關鍵是評價指標在評價中所起作用的大小。結合影響煤礦安全的風險因素分析以及企業(yè)運行的實踐���,嚴格按照煤礦安全風險指標體系的設計步驟和流程�����,將該指標體系分為自然地質(zhì)條件及環(huán)境指標體系����、人員素質(zhì)及人身傷害情況指標體系、安全綜合管理指標體系和安全技術及措施指標體系四大體系���。該指標體系能反映煤礦生產(chǎn)系統(tǒng)的所有主要影響因素����,也能適應評價模型的需要����,而且所有的定性指標和定量指標可量化。
煤礦風險綜合評價指標體系見圖1��。其中��,各指標的權重采用層次分析法(AHP)確定���。
3 煤礦安全風險等級及煤礦商業(yè)保險費率制度
對煤礦個體而言�����,安全事故具有偶發(fā)性����,若僅根據(jù)過去一至三年的事故發(fā)生率或工傷保險賠付情況,難以準確測算未來事故發(fā)生率或工傷保險賠付情況����,從而難以進一步確定合理的浮動費率。若綜合考慮其它相對穩(wěn)定的影響因素����,如地質(zhì)條件、機械化程度��、管理水平等��,對煤礦進行工傷風險綜合評價�,再根據(jù)綜合評價的結果結合往年工傷保險賠付情況來確定各個煤礦浮動費率��,將更全面��。
3.1 煤礦安全風險等級的確定 采用模糊綜合評判方法�,對煤礦的安全風險進行綜合評價,根據(jù)綜合評價量化結果確定煤礦風險等級�����,得分越多,煤礦的風險越小��,反之�����,風險越大�����。煤礦安全風險分級見表1��。
3.2 煤礦商業(yè)保險費率制度 按照高風險高費率的原則���,商業(yè)保險公司根據(jù)表1中煤礦安全風險等級的劃分結果�����,一一對應地制定科學的費率標準��,風險等級高的煤礦執(zhí)行高費率標準�,風險等級低的煤礦執(zhí)行低費率標準����,形成有別于其他行業(yè)的商業(yè)保險費率制度���。同時,商業(yè)保險公司要建立一整套科學的煤礦安全績效考核機制����,確定上浮或下調(diào)費率的條件和調(diào)整幅度,與煤礦商業(yè)保險費率制度配套使用���。商業(yè)保險公司在對煤礦出售保險產(chǎn)品前����,首先對煤礦進行風險等級評估�,根據(jù)評估結果結合煤礦安全生產(chǎn)績效調(diào)查結果,綜合確定煤礦首次執(zhí)行的保險費率標準���。對于浮動費率���,借鑒國外商業(yè)保險費率浮動經(jīng)驗�����,根據(jù)煤礦企業(yè)安全風險評價等級進行劃檔���,70分以上的降低費率����,60-70之間的不變,60分以下的提高費率�����。發(fā)達國家保險費率浮動范圍一般在10%至40%之間����,根據(jù)我國目前安全生產(chǎn)狀況還遠遠落后于這些國家的國情,為了促使企業(yè)更加注意安全�、減少生產(chǎn)安全事故,可以將浮動范圍擴大到50%��。
4 實證分析
本文選取了長春羊草煤業(yè)股份有限公司二井作為煤礦安全風險綜合評價研究的實例�����。
4.1 煤礦概況 長春羊草煤業(yè)股份有限公司二井��,核定能力90萬t/a�。斜井開拓,兩段主副井筒為礦井輔助提升,東側的兩段大傾角皮帶井為礦井主提升?��,F(xiàn)生產(chǎn)水平標高為-220m~-140m��,東西兩翼各有一個炮采工作面�,05年產(chǎn)量48.5萬t�����。平均走向長415m�,平均傾斜長70m。上部為采空區(qū)�����,其余均為實體煤�����。羊草礦為高瓦斯礦井����,相對瓦斯量10.83m3/t����。礦井涌水量15m3/h���,雨季時礦井涌水量最大可達30m3/h。本采區(qū)無鉆孔通過��,與地面無水力聯(lián)系����,地表也無導水裂隙。
4.2 安全風險評價因素集確定 本文數(shù)據(jù)來自該礦的調(diào)查數(shù)據(jù)���,是由專家組(共4人)進行調(diào)研�����,對各種因素進行獨自評測�,然后得出結果����,安全技術及措施評判結果如表2。其他指標類似�����。
5 結論
①根據(jù)國外的經(jīng)驗,商業(yè)保險產(chǎn)品進入煤炭生產(chǎn)領域����,保險公司參與煤礦安全生產(chǎn)的監(jiān)督與管理工作,有利于實現(xiàn)煤礦安全生產(chǎn)形勢的根本好轉���。商業(yè)保險的事故賠付可以保障相關人員的利益���,降低企業(yè)的生產(chǎn)風險,減輕國家的經(jīng)濟和管理負擔���。②商業(yè)保險產(chǎn)品進入煤炭生產(chǎn)領域�����,必須建立科學的煤礦風險評估體系和煤礦安全績效考核體系��,以降低商業(yè)保險公司的經(jīng)營風險��。③科學合理的煤礦商業(yè)保險費率制度和浮動費率機制��,有利于催進煤礦法制化���、標準化���、機械化等建設工作的發(fā)展��。
參考文獻:
[1]李炎杰.我國實施煤礦業(yè)強制雇主責任保險的必要性及可行性研究[D].東北財經(jīng)大學���,2007.
[2]梁美健���,楊光.保險業(yè)介入煤礦安全生產(chǎn)需解決的幾個問題[J].煤礦安全,2006.
[3]徐然.商業(yè)保險在煤炭業(yè)中發(fā)展問題的探討[J].金融與投資��,2010�����,8.
[4]孟超.淺談構建煤礦本質(zhì)安全管理體系的思考[J].神華科技����,2010,2.
[5]徐桂香.煤礦工傷保險的現(xiàn)狀分析[J].產(chǎn)業(yè)經(jīng)濟�����,2010����,7.
[6]蔡和平.中德工傷保險法律制度比較研究[D].北京大學���,1996.
[7]劉仲力.發(fā)展我國工程保險的對策研究[D].天津財經(jīng)大學,2008.
[8]王文.工傷保險實行差別費率和費率浮動的設想[J].中國勞動��,2003(2):15~16.
基金項目:
北京市職業(yè)院校教師素質(zhì)提高工程資助項目(Funding Project of Competence Development Program for Beijing VET Teachers)��。
作者簡介:
第9篇
內(nèi)部控制工作是最高管理層為保證經(jīng)營目標的實現(xiàn)而制定并實施的����,對銀行內(nèi)部各部門與人員相互制約和協(xié)調(diào)的一系列制度、措施���、程序和方法���。根據(jù)巴塞爾協(xié)議《有效銀行監(jiān)管的核心原則》,銀行內(nèi)部控制主要包括三個方面的內(nèi)容:(1)組織結構(職責的界定�����、審批權限的分離和決策程序)���;(2)會計規(guī)則(對賬��、月季報告�����、定期試算等)��;(3)“雙人原則”(不同職責的分離�、交叉核對����、資產(chǎn)雙重控制和雙人簽字等)。隨著我國經(jīng)濟和金融逐步融入國際大環(huán)境�����,這些規(guī)范的推行對于強化金融企業(yè)內(nèi)部監(jiān)督���,整頓和規(guī)范行業(yè)秩序�,都有著十分重要的意義�����。企業(yè)內(nèi)部控制制度劃分為內(nèi)部管理控制制度與內(nèi)部會計控制制度兩大類��。縱觀國內(nèi)外�,無論金融企業(yè)還是其他企業(yè),財務會計工作一直是內(nèi)部控制工作的一個非常重要的環(huán)節(jié)���,本文將就如何進一步完善銀行財會工作內(nèi)部控制工作談幾點看法�。
一���、銀行財務會計內(nèi)控工作的難點
財務會計內(nèi)部控制工作是財會人員根據(jù)制度和授權對本單位財務會計行為進行規(guī)范和制約的過程���。有效的財會內(nèi)部控制工作應該達到以下標準:其一,控制觸角攝入企業(yè)經(jīng)營的各個環(huán)節(jié)和各個方面���,不留下控制死角���,即企業(yè)的各項經(jīng)營管理活動均應納入財務會計控制范圍,用規(guī)范的會計語言核算���、反映���;其二,事權劃分明確具體,具有很強的操作性��,即財會內(nèi)部控制工作作為企業(yè)內(nèi)控工作的關鍵環(huán)節(jié)能真正成為企業(yè)管理者的行為規(guī)范���,操作性強����;其三��,控制程序規(guī)范�����,過程控制受到特別重視�����,即財會內(nèi)部控制要形成科學的機制���,尤其是把對經(jīng)營管理過程的控制放在突出的地位,通過控制���,能防患于未然��;其四��,具有良好的控制效果����,財會內(nèi)部控制的功能得到有效發(fā)揮。
而從目前銀行財會內(nèi)部控制工作的實際操作來看��,要達到上述標準����,實施有效的內(nèi)部控制,必須研究和解決以下四個問題:
(一)如何把握授權的度
事物變化的一般規(guī)律是由量變到質(zhì)變�����。在這里“量”上的度起決定作用���,當量的變化到了極限時���,必然引起質(zhì)的變化。內(nèi)部控制制度的度量界定也就成為實踐中的一個難點�。對于銀行負責人,既要保證其經(jīng)營決策的相對獨立性和權威性����,又要保證其經(jīng)濟行為的效益性和廉潔性���,權力的度量界定是關鍵一環(huán)。授權寬泛���、權力過大���,且控制不力,必然帶來管理上的漏洞�����,內(nèi)部控制制度的效能不能得到有效發(fā)揮��。因此���,對內(nèi)部控制執(zhí)行人員的授權也有“度”的問題,對不同的控制環(huán)節(jié)要有不同權力授予���,才能使內(nèi)部控制制度有效運行��。
(二)如何提高被控對象的受控度
有效的內(nèi)部控制制度是對企業(yè)經(jīng)營的現(xiàn)在所有環(huán)節(jié)和從事經(jīng)營管理活動的所有個人實施全方位控制�����。這里就存在一個控制與反控制的問題�。控制過松�����,內(nèi)控工作形同虛設��;控制過嚴����,必然帶來受控對象的反作用力。提高被控對象的受控度顯然成為了內(nèi)部控制制度實施中的難點��。一般而言�,內(nèi)部控制的對象是企業(yè)的權力操縱者,是對權力操縱者的權力約束�����,也是對權力操縱者之間的權力制衡�。這種獨特的控制對象決定了提高受控度的艱巨性,提高被控對象的受控度關鍵有三點:一是內(nèi)部控制制度的科學性��;二是主要決策者的受控程度是重點;三是要營造一個健康積極的內(nèi)控工作環(huán)境�����,提高被控對象接受監(jiān)督的自覺性�。
(三)如何規(guī)范內(nèi)部控制工作
提起內(nèi)部控制制度,人們往往想起會計工作崗位在設置上管錢的不管賬�����,管報銷的不管稽核等���。其實內(nèi)部控制制度內(nèi)容極為豐富��,涉及到企業(yè)經(jīng)營管理的所有方面和所有環(huán)節(jié)�。對于一個復雜系統(tǒng)工程的控制���,不能靠人治���,也不能靠簡單的出納控制��、財務管理來實現(xiàn)目標����,而要靠一套科學規(guī)范的內(nèi)部控制制度��,用制度來規(guī)范管理者的行為��,讓管理者在從事經(jīng)營管理活動中��,知道干什么�、怎么干���,按照規(guī)定的程序來完成工作任務���、接受規(guī)定的控制管理。這里的重點是管理人員針對企業(yè)不同的經(jīng)營管理活動制定出具體的標準��,而要完成這個任務���,就要有豐富的知 識��、超前的意識��、廣闊的視野和扎實的作風�����,這無疑又是一個難點�。
(四)如何提高控制人員的熟練程度
財務會計控制是企業(yè)內(nèi)部控制制度的中心,承擔內(nèi)部控制職責的主要是財會人員����。因此,財會人員要能真正擔當起內(nèi)部控制的重任�����,更新知識�����、提高操作能力就顯得刻不容緩��。
二�����、進一步加強銀行財務會計內(nèi)部控制工作的幾點建議
銀行的財務會計工作必須緊緊圍繞中心工作開展�����,為中心工作服務��。財會內(nèi)部控制工作應在防范風險的前提下對業(yè)務工作的開展起積極的推動和促進作用���。針對銀行財務會計內(nèi)控工作存在的問題及難點�����,內(nèi)控工作的改革應從以下幾個方面著手���。
(一)從制度上明確規(guī)范財務會計工作的職責、程序和操作方法
制度是財會工作者的“圣經(jīng)”����,程序是財會工作的生命線。沒有科學���、規(guī)范的財務會計規(guī)章制度���,做好內(nèi)控工作無異于無源之水,無本之木��。大多數(shù)銀行已制定了比較系統(tǒng)的財務會計規(guī)章制度��,但就現(xiàn)有的制度來看����,仍需進一步完善:(1)內(nèi)部組織機構����。它是銀行各項業(yè)務活動計劃��、實施和控制的組織基礎���,其核心問題是合理的職責分工���;(2)進一步規(guī)范財務會計崗位設置,完善內(nèi)部牽制制度���。明確與經(jīng)濟業(yè)務事項和會計事項有關的人員職責��,實行崗位分離����,相互制約����,保證財務會計內(nèi)部控制制度有效實施;(3)重大的對外投資、資產(chǎn)的處置���、資金的調(diào)度和其他重要的經(jīng)濟業(yè)務事項的決策和執(zhí)行應有明確的相互監(jiān)督�����、相互制約的程序。應做到?jīng)Q策透明���,流程公開��,招標投標公平公正����,從源頭上堵塞漏洞�����;加強對實物固定資產(chǎn)的管理�,明確規(guī)定財產(chǎn)清查盤點制度。進一步完善實物資產(chǎn)購置����、入庫、領用制度,完善固定資產(chǎn)報廢�����、核銷程序�����,堅持固定資產(chǎn)永續(xù)盤存辦法核對賬實����;(4)制定統(tǒng)一的會計憑證規(guī)范,進一步完善會計檔案整理�、裝訂、歸檔程序�����,保證會計憑證和會計記錄的完整性���。
(二)控點與控面相結合���,重視流程管理
點是割裂的,是局部�����;而面則是連續(xù)的,是系統(tǒng)���,是整體��。通過對各個財務會計業(yè)務風險點的控制固然可以明確責任����,加強自律�,提高核算質(zhì)量����,而加強流程管理則可以從更加廣泛的角度使內(nèi)控制度相互銜接又相互制約的作用得以充分發(fā)揮。許多銀行現(xiàn)已投入使用的經(jīng)費會計核算系統(tǒng)(如NC)已基本實現(xiàn)了點面結合�����,流程管理的作用非常明顯��,而業(yè)務會計核算系統(tǒng)需要盡快進行升級改造���,并與其他業(yè)務管理系統(tǒng)整合����。
(三)強化和規(guī)范計算機系統(tǒng)在財務會計內(nèi)控工作中的作用
電算化可以大大提高會計工作效率和水平,減少手工操作的隨意性��。對電算化系統(tǒng)的管理是會計系統(tǒng)安全���、正常運行的前提�。要明確系統(tǒng)管理人員�����、維護人員不得兼任出納����、會計工作;任何人不得利用工具軟件直接對數(shù)據(jù)庫進行操作��;程序設計人員還應對數(shù)據(jù)庫采用加密技術進行處理�;嚴格按會計電算化系統(tǒng)的設計要求配置人員,健全數(shù)據(jù)輸入��、修改���、審核等內(nèi)部控制制度����,保障系統(tǒng)設計的處理流程不走樣變型。
(四)建立內(nèi)部風險評估���、監(jiān)測和快速反應系統(tǒng)
銀行要針對經(jīng)營中存在的高風險業(yè)務����,如資金業(yè)務�、債券交易、項目開發(fā)�����、信貸管理等方面建立風險評價和監(jiān)測機制���。對每筆貸款、拆借�、投資、外匯交易以及業(yè)務活動中涉及的不同交易對象���、部門�����、行業(yè)�����、地區(qū)和國家�,在開展業(yè)務之前,都應當事先測定風險指標或比率:對業(yè)務發(fā)生后的風險狀況要進行追蹤�����。健全風險信息反饋�����、評估機制�����,管理層要能夠隨時掌握自己所面臨的風險情況及可能的風險損失�����,對可能面臨的風險種類�����、內(nèi)容、風險程度���、風險發(fā)生等制定反應預案�����。
(五)相對保持財會機構��、人員���、制度的穩(wěn)定性
近年來,銀行多次變更會計核算系統(tǒng)和內(nèi)設機構����,會計力量嚴重不足且流動性大,會計政策連貫性差���,銀行會計人員疲于應付,財務會計內(nèi)控工作的效能沒有得到充分發(fā)揮����。在銀行改革取得階段性成果后,應相對保持財會機構�����、人員、制度的穩(wěn)定性��,避免因改革頻繁而增加成本�,效率下降。
(六)加強財務會計工作的業(yè)務交流��,切實重視財會人員知識的學習和更新��,進一步提高財會人員的職業(yè)道德修養(yǎng)
會計人員自身素質(zhì)是影響實施會計內(nèi)部監(jiān)督制度的重要因素:通過“他控”和“自控”�,促使職業(yè)會計人員進一步樹立并增強正確的會計職業(yè)良心和職業(yè)責任感,進而達到會計職業(yè)道德不斷完善與升華的一種狀態(tài)�。從某種意義上而言,內(nèi)部會計控制的過程�����,也是會計職業(yè)道德的自律過程���。職業(yè)道德要求會計人員具有客觀���、公正、嚴謹?shù)墓ぷ鲬B(tài)度����,敢于堅持原則和勇于執(zhí)法��、守法����、護法�,但會計人員是在復雜的會計環(huán)境下工作的,現(xiàn)實使會計人員常常面臨非常尷尬的處境�����,這客觀上也制約了財會人員在內(nèi)部控制工作中的作用��,因此��,法律意識和職業(yè)道德培養(yǎng)問題是一項長期的�、艱巨復雜的系統(tǒng)工程,對會計內(nèi)部監(jiān)督制度的有效實施非常重要���,應常抓不懈,高度重視�����。
