時間:2023-06-15 17:04:11
導語:在工程風險評估的核心問題的撰寫旅程中,學習并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優秀范文,愿這些內容能夠啟發您的創作靈感,引領您探索更多的創作可能。
檔案信息資產是與檔案信息系統有關的所有資產,包括檔案信息系統的硬件、軟件、數據、人員、服務及組織形象等,是有形和無形資產的總和。脆弱性是檔案信息系統自身存在的技術和管理漏洞,可能被外部威脅利用,造成安全事故;威脅是外部存在的、可能導致檔案信息系統發生安全事故的潛在因素。威脅、脆弱性及檔案信息資產的相互影響造成檔案信息系統面臨安全風險,最后計算出風險值。
檔案信息安全風險評估總體方法
檔案信息安全風險評估的核心問題之一是風險評估方法的選擇,風險評估方法包括總體方法和具體方法。總體方法是從宏觀的角度確定檔案信息安全風險評估大致方法,包括:風險評價標準確定方法;風險評估中資產、威脅和脆弱性的識別方法;風險評估輔助工具使用方法及風險評估管理方法等。事實上,信息安全風險評估方法經歷了一個不斷發展的過程,“經歷了從手動評估到工具輔助評估的階段,目前正在由技術評估到整體評估發展,由定性評估向定性和定量相結合的方向發展,由基于知識(或經驗)的評估向基于模型(或標準)的評估方法發展。”。隨著信息安全技術與安全管理的不斷發展,目前信息安全風險評估方法已發展到基于標準的、定性與定量相結合的、借用工具輔助評估的整體評估方法。檔案信息安全風險評估總體方法應采用目前最先進方法,即采用依據合適風險評估標準、定性與定量結合、借助評估工具或軟件來實現不僅進行檔案信息安全技術評估,而且進行檔案信息安全管理評估的整體評估方法。
1 檔案信息安全風險評估標準的確定
信息安全風險評估標準主要分為國際國外標準和國家標準。國際國外標準有:《ISO/IEC 13335 信息技術 IT安全管理指南》、《ISO/IEC 17799:2005信息安全管理實施指南》、《ISO/IEC27001:2005信息安全管理體系要求》、《NIST SP 800-30信息技術系統的風險管理指南》系列標準等,這些標準在國外已得到廣泛使用,而我國信息安全風險評估起步較晚,在吸取國外標準且根據我國國情的基礎上于2007年制定了國家標準((GB/T 20984-2007信息安全技術信息安全風險評估規范》,并在全國范圍內推廣。國家發展改革委員會、公安部、國家保密局于2008年了“關于加強國家電子政務工程建設項目信息安全風險評估工作的通知(發改高技[2008]2071號)”,該文件要求國家電子政務工程建設項目(以下簡稱電子政務項目),應開展信息安全風險評估工作,且規定采用《GB/T 20984-2007信息安全技術信息安全風險評估規范》。檔案信息系統屬于電子政務系統,檔案信息安全風險評估也應該采取OB/T 20984-2007標準。
2 檔案信息安全風險評估需定性與定量相結合
定性分析方法是目前廣泛采用的方法,需要憑借評估者的知識、經驗和直覺,為風險的各個要素定級。定性分析法操作相對容易,但也可能因為分析結果過于主觀性,很難完全反映安全現實情況。定量分析則對構成風險的各個要素和潛在損失水平賦予數值或貨幣金額,最后得出系統安全風險的量化評估結果。
定量分析方法準確,但由于信息系統風險評估是一個復雜的過程,整個信息系統又是一個龐大的系統工程,需要考慮的安全因素眾多,而完全量化這些因素是不切實際的,因此完全量化評估是很難實現的。
定性與定量結合分析方法就是將風險要素的賦值和計算,根據需要分別采取定性和定量的方法,將定性分析方法和定量分析方法有機結合起來,共同完成信息安全風險評估。檔案信息安全風險評估應采取定性與定量相結合的方法,在檔案信息系統資產重要度、威脅分析和脆弱性分析可用定性方法,但給予賦值可采用定量方法。具體脆弱性測試軟件可得出定量的數據,最后得出風險值,并判斷哪些風險可接受和不可接受等。
3 檔案信息安全風險評估需借用輔助評估工具
目前信息安全風險評估輔助工具的出現,改變了以往一切工作都只能手工進行的狀況,這些工作包括識別重要資產、威脅和弱點發現、安全需求分析、當前安全實踐分析、基于資產的風險分析和評估等。其工作量巨大,容易出現疏漏,而且有些工作如系統軟硬件漏洞檢測等無法用手工完成,因此目前國內外均使用相應的評估輔助工具,如漏洞檢測軟件和風險評估輔助軟件等。檔案信息安全風險評估也需借助相應的輔助工具,直接可用的是各種系統軟硬件漏洞測試軟件或我國依據《GB/T 20984-2007信息安全技術信息安全風險評估規范》開發的風險評估輔助軟件,將來可開發專門的檔案信息安全風險評估輔助工具軟件。
4 檔案信息安全風險評估需整體評估
信息安全風險評估不僅需進行安全技術評估,更重要的需進行安全管理等評估,我國已將信息系統等級保護作為一項安全制度,對不同等級的信息系統根據國家相關標準確定安全等級并采取該等級對應的基本安全措施,其中包括安全技術措施和安全管理措施,因此評估風險時同樣需進行安全技術和安全管理的整體風險評估,檔案信息安全風險評估同樣如此。
檔案信息安全風險評估具體方法
根據檔案信息安全風險評估原理。從資產識別到風險計算,都需根據信息系統自身情況和風險評估要求選擇合適的具體方法,包括:資產識別方法、威脅識別方法、脆弱性識別方法、現有措施識別法和風險計算方法等。
1 資產識別方法
檔案信息資產識別是對信息資產的分類和判定其價值,因此資產識別方法包括資產分類方法和資產賦值方法。
(1)資產分類方法
在風險評估中資產分類沒有嚴格的標準,但一般需滿足:所有的資產都能找到相應的類;任何資產只能有唯一的類相對應。常用的資產分類方法有:按資產表現形式分類、按資產安全級別分類和按資產的功能分類等。
在《GB/T 20984-2007信息安全技術信息安全風險評估規范》中,對資產按其表現形式進行分類,即分為數據、軟件、硬件、服務、人員及其他(主要指組織的無形資產)。這種分類方法的優點為:資產分類清晰、資產分類詳細,其缺點為:資產分類與其安全屬性無關、資產分類過細造成評估極其復雜,因為目前大部分風險評估
都以資產識別作為起點,一項資產面臨多項威脅,—項威脅又與多項脆弱性有關,最后造成針對某一項資產的風險評估就十分復雜,缺乏實際可操作性。這種分類方法比較適合于初次風險評估單位對所有信息資產進行摸底和統計。
風險評估中資產的價值不是以資產的經濟價值來衡量,所以信息資產分類應與信息資產安全要求有關,即依據信息資產對安全要求的高低進行分類,這種方法同時也滿足下一環節即信息資產重要度賦值需求。任何一個檔案信息資產無論是硬件、軟件還是其他,其均有安全屬性,在《GB/T 20984-2007信息安全技術信息安全風險評估規范》中要求:“資產價值應依據資產在保密性、完整性和可用性上的賦值等級,經過綜合評定得出”。可選擇每個資產在上述三個安全屬性中最重要的安全屬性等級作為其最后重要等級。但檔案信息安全屬性應該更多,除上述屬性外還包括:真實性、不可否認性(抗抵賴)、可控性和可追溯性,所以可以根據檔案信息的七個安全屬性中最重要屬性的等級作為該資產等級。
目前信息資產安全屬性等級如保密性等級可分為:很高、高、中等、低、很低,因此信息資產按安全等級也可分為:很高、高、中等、低、很低,即如果此信息資產保密性等級為“中”,完整性等級為“中”,可用性等級為“低”,則取此信息資產安全等級最高的“中”級。
按信息資產安全級別分類法符合風險評估要求,因為體現了安全要求越高其資產價值越高的宗旨,在統計資產時也可按表現形式和安全等級結合的方法進行,如下表1所示。“類別”為按第一種分類方法中的類別,重要度為第二種方法中的五個等級。
但如果風險評估時按表1進行資產分類時,每個檔案信息系統將具有很多資產,這樣針對每一項資產進行評估的時間和精力對于評估方都難以接受。因此,在《信息安全風險評估——概念、方法和實踐》一書中提出:“最好的解決辦法應該是面對系統的評估”,信息資產安全等級分類的起點可以認為是系統(或子系統),這樣可以在資產統計時用資產表現形式進行分類,在資產安全等級分類時按系統或子系統進行大致分類,即同一個系統或子系統中的資產的安全等級相同,這樣滿足了組織進行風險評估時“用最少的時間找到主要風險”的思想。
(2)資產賦值方法
由于信息資產價值與安全等級有關,因此對資產賦值應與“很高、高、中等、低、很低”相關,但這是定性的方法,結合定量方法為對應“5、4、3、2、1”五個值,同時將此值稱為“資產等級重要度”。
2 威脅識別方法
(1)威脅分類方法
對檔案信息系統的威脅可從表現形式、來源、動機、途徑等多角度進行分類,而常用的為按來源和表現形式分類。按來源可分為:環境因素和人為因素,人為因素又分為惡意和無意兩種。基于表現形式可分為:物理環境影響、軟硬件故障、無作為或操作失誤、管理不到位、惡意代碼、越權或濫用、網絡攻擊、物理攻擊、泄密、篡改和抵賴等。由于威脅對信息系統的破壞性極大,所以應以分類詳細為宗旨,按表現形式方法分類較為合適。
(2)威脅賦值方法
威脅賦值是以威脅出現的頻率為依據的,評估者應根據經驗或相關統計數據進行判斷,綜合考慮三個方面:“以往安全事件中出現威脅頻率及其頻率統計,實踐中檢測到的威脅頻率統計、近期國內外相關組織的威脅預警”。。可以對威脅出現的頻率進行等級化賦值,即為:“很高、高、中等、低、很低”,相應的值為:“5、4、3、2、1”。
3 脆弱性識別方法
脆弱性的識別可以以資產為核心,針對每一項需要保護的資產,識別可能被威脅利用的弱點,同時結合已有安全控制措施,對脆弱性的嚴重程度進行評估。脆弱性識別時來自于信息資產的所有者、使用者,以及相關業務領域和軟硬件方面的專業人員等,并對脆弱性識別途徑主要有:問卷調查、工具檢測、人工核查、文檔查閱、滲透性測試等。
(1)脆弱性分類方法
脆弱性一般可以分為兩大類:信息資產本身脆弱性和安全控制措施不足帶來的脆弱性。資產本身的脆弱性可以通過測試或漏洞掃描等途徑得到,屬于技術脆弱性。而安全控制措施不足的脆弱性包括技術脆弱性和管理脆弱性,管理脆弱性更容易被威脅所利用,最后造成安全事故。檔案信息系統脆弱性分類最好按技術脆弱性和管理脆弱性進行。技術脆弱性涉及物理層、網絡層、系統層、應用層等各個層面的安全問題,管理脆弱性又可分為技術管理脆弱性和組織管理脆弱性兩方面。
(2)脆弱性賦值方法
根據脆弱性對資產的暴露程度(指被威脅利用后資產的損失程度),采用等級方式可對已經分類并識別的脆弱性進行賦值。如果脆弱性被威脅利用將對資產造成完全損害,則為最高等級,共分五級:“很高、高、中等、低、很低”,相應的值為:“5、4、3、2、1”。
脆弱性值(已有控制措施仍存在的脆弱性)也可稱為暴露等級,將暴露等級“5、4、3、2、1”可轉化為對應的暴露系數:100%、80%、60%、40%、20%,再將“脆弱性”與“資產重要度等級”聯系,計算出如果脆弱性被威脅利用后發生安全事故的影響等級。
影響等級=暴露系數×資產等級重要度
4 已有控制措施識別方法
(1)識別方法
在識別脆弱性的同時應對已經采取的安全措施進行確認,然后確定安全事件發生的容易度。容易度描述的是在采取安全控制措施后威脅利用脆弱性仍可能發生安全事故的容易情況,也就是威脅的五個等級:“很高、高、中等、低、很低”,相應的取值為:“5、4、3、2、1”,“5”為最容易發生安全事故。
同時安全事件發生的可能性與已有控制措施有關,評估人員可以根據對系統的調查分析直接給在用控制措施的有效性進行賦值,賦值等級可分為0-5級,
“0”為控制措施基本有效,“5”為控制措施基本無效。
(2)安全事件可能性賦值
安全事件發生的可能性可用以下公式計算:
發生可能性=發生容易度(即威脅賦值)+控制措施
5 風險計算方法
風險計算方法有很多種,但其必須與資產安全等級、面臨威脅值、脆弱性值、暴露等級值、容易度值、已有控制措施值等有關,計算出風險評估原理圖中的影響等級和發生可能性值。目前一般而言風險計算公式如下:
風險=影響等級×發生可能性
綜上所述,可將信息資產、面臨威脅、可利用脆弱性、暴露、容易度、控制措施、影響、可能性、風險值構成表2,最終計算出風險值。下表以某數字檔案館為例,其主要分為館內檔案管理系統和電子文件中心,評估資產以子系統作為分類和賦值為起點,并只以部分威脅、脆弱性列出并計算風險。
上表中暴露等級值體現了脆弱性,容易度體現了威脅,以表2第一行為例計算檔案管理系統數據泄密的風險值,過程如下:
影響等級=暴露系數×資產等級重要度=(3/5)*5=3
可能性=容易度(威脅值)+控制措施值=3+3=6
風險=影響等級×可能性=3×6=18
持續推動的等級保護
信息化技術標準委員會副主任委員崔書昆認為,在基礎信息網絡和重要信息系統的安全嚴重關系到國家安全、社會穩定以及人民群眾切身利益的今天,信息安全問題已然成為事關全局的戰略性問題。近年來,有關部門圍繞信息安全保障體系建設,在信息安全等級保護、風險評估、標準制定、產品開發及打擊各種網絡違法犯罪活動等方面取得了積極進展。在這種情勢下,將信息安全等級保護確定為提高國家信息安全保障能力,維護國家安全、社會穩定和公共利益的一項基本制度,是非常必要的。
可以這樣理解,我國信息安全各項工作快速推進,信息安全風險評估工作和保障體系建設、信息安全管理工作、信息安全法制化和規范化建設、信息化基礎設施和體系建設取得了重要的成效。特別是從2007年7月20號開始,全國重要信息系統定級工作已經開始,并在各行業、各部門、各單位的支持下,取得了豐碩的成果。
從2008年開始,公安部會同國家保密局等部門,在重要信息系統定級工作的基礎之上,部署和開展深入推進信息安全等級保護工作,它主要分為三個方面:
第一,依據國家行業標準,從管理和技術兩個方面,開展信息系統安全建設整改,建立并落實安全管理制度,落實安全責任制。
第二,根據等級保護標準開展風險評估、災難備份、應急處置、安全檢查等工作。
第三,對信息系統應用的一些重要單位,開展等級保護工作檢查。
公安部網絡安全保衛局郭啟全處長說:“目前全國范圍內,大規模的重要系統定級工作已經基本完成,相關資料目前集中到公安部進行管理。定級工作的主要成效是了解重要信息系統的底數,掌握國家信息安全的基本情況,為全面貫徹落實信息安全等級保護制度,推動國家信息安全保障等工作的深入發展奠定堅實的基礎。同時,某些地方、企業或者單位沒有完成定級工作,但會納入到我們下一階段的檢查工作當中完成。另外,有些企業會隨后逐步執行該工作,不會影響國家等級保護制度的大規模推動。”
實施等級保護,充分體現了“適度安全、保護重點”的目的,可以把國家的重要網絡、重要系統挑出來,把國家有限的精力、財力投入到信息保護當中去,提高國家基礎網絡和重要信息系統的安全保護水平,同時提高信息安全保障工作的整體水平。
奧運留下的財富
“2008年北京奧運會的信息網絡安全工作給我們留下了很多財富。”郭啟全曾經說過,奧運會對我們國家的信息網絡安全工作進行了一次大考。它既考驗了我們國家信息網絡安全的工作,同時也考驗了等級保護主管部門、公安部和很多部委的行業主管部門的信息安全工作。在這次大考中,各部門均表現得很優秀。在北京奧運會期間,無論是核心網絡還是信息系統,都遭受了大規模的攻擊和入侵,卻沒有出現相關安全事故,支撐北京奧運會順利舉辦,這是我國信息網絡安全領域經歷的考驗。
實際上,奧運會取得的經驗和公安部下一步等級保護工作之間存在密切的相關性。公安部和有關部委會借鑒奧運會信息安全網絡經驗,充分利用好奧運留下的財富,進一步開展今后的工作。
記者了解到,在北京奧運會之前,成立了以公安部牽頭的包括海關、銀行、廣電等14個部委參加的信息網絡安全指揮部。由于有了這樣的指揮部,使得各項工作的落實有了一個組織保障。如果沒有這個指揮部,大家各干各的,在北京奧運會期間便無法保證重要系統和網絡的安全。
在2008年,國家安全的核心問題便是保障奧運的安全,奧運安全采取的第一個措施就是等級保護。郭啟全介紹說:“公安部把奧運核心網絡和涉及奧運會的系統都定級、備案,針對風險和重要性搞等級測評和風險評估,反復查找問題、漏洞、脆弱性和安全風險。從歷史經驗來看,總會有一些黑客試圖攻擊奧運系統。所以,在這些黑客攻擊之前,我們就需要開始做嚴格的攻擊性自測。找到問題后進行系統加固,并且是有針對性地進行加固。這種安全建設、整改、加固還有等級測評,提升了我們的系統防范能力。”
郭啟全強調:“我們當時還專門針對北京奧運會提出了風險評估的指南。北京奧運會期間最大的風險是什么?其實就是來自黑客的攻擊破壞,所以搞風險評估要針對最大的風險去做。舉個例子,我到國家體育總局去了三次,就是研究他們的網絡安全問題、網站安全問題,這就有針對性,搞等級保護、風險評估非常有針對性。這使得我們的風險找得準,漏洞找得準,問題找得準,因此相關措施就有針對性。”
2009年的新工作
中國工程院院士沈昌祥指出,目前我國信息與網絡安全的防護能力還處于發展的初級階段,有些應用系統處于不設防狀態。國防科技大學的一項研究表明,我國與互聯網相連的網絡管理中心有95%都遭到過境內外黑客的攻擊或侵入,其中銀行、金融和證券機構是攻擊重點。
由于奧運網絡和信息系統開展了等級保護工作,并對等級保護工作的政策標準、工作環節進行了檢驗,所以等級保護下一步的工作部署將充分借鑒北京奧運會的經驗,健全完善等級保護領導體制和協調配合機制,例如等級保護原來有些領導體制可能還要進行補充,明確重點工作對象,比如說拿三級系統作為重點工作對象。
郭啟全說:“我們會嚴格落實責任制,認真抓好三點工作,計劃三年內完成安全系統的整改工作,總的目標就是:能力提高,事故降低,等級保護制度得到落實,國家信息網絡安全基本得到保障。”
開展的重點工作主要分為三個方面。第一個方面是全面開展等級保護安全建設整改工作,要建設安全設施,落實安全措施,建立并落實安全管理制度,落實責任制。第二個方面是各單位建立安全整改工作規劃,完成定級系統整改規劃和制定具體實施方案。第三個方面是以三級以上系統為重點,確定安全需求,制定安全方案。“當然,一些單位可能不太明白具體的操作辦法,屆時我們會選擇有代表性的信息系統進行安全建設試點、示范,結合行業特點制定行業標準規范,按照有關工作實施的規范要求組織實施信息系統安全建設工程。”
關鍵詞:商業銀行公司治理風險管理風險審計
全面風險管理是從戰略目標制定到目標實現的全過程風險管理,隨著現代商業銀行所承擔風險的增加,商業銀行內部審計關注的重點也逐漸轉移到風險管理上來,當今風險審計作為一種新的審計理念,成為備受人們關注的熱點。與其說銀行是在經營貨幣的企業,不如說銀行是經營風險,從風險管理中獲取收益的企業。商業銀行一直在利潤與風險之間做著謹慎和僥幸的選擇,防范和控制經營中的風險,實施全面風險管理戰略,是商業銀行面臨的現實而緊迫的任務。作為現代商業銀行的審計部門,如何由傳統的合規性審計向風險預警和防范為目標的風險審計轉變,合理配置有限的審計資源,提高審計效率與效益,有效發揮審計監督在防范和控制風險中的積極作用,已成為現代商業銀行內部審計面臨的焦點課題。
風險審計的涵義
風險審計,也稱風險基礎審計或者風險導向審計,它是在傳統的賬項基礎和內部控制制度基礎審計上發展起來的一種審計模式,是指審計人員在對被審單位的內部控制充分了解和評價的基礎上,綜合分析、判斷被審計單位的風險狀況及其風險程度,從而把有限的審計資源集中到高風險的審計領域,針對不同風險程度采取相應的審計對策,重點對高風險點進行實質性測試,從而伎內部審計的剩余風險降至可接受的最低水平。與賬項基礎審計、內部控制制度基礎審計相比,風險審計關注點在于對被審單位的風險評估,其審計重心向風險評估轉移,更加關注的是企業的風險管理活動一一是否建立清晰的風險管理戰略、完善的管理架構、全面的風險管理過程和良好的風險管理文化,最終實現風險管理效率和價值的最大化,不但可以保證充分的審計覆蓋面,而且對每一個領域都會根據其風險評價結果有不同的審計頻率與深度,增強了對風險的預防控制作用,風險審計方法的重點是識另q、預防與控制風險。因此,風險審計理論的核心是從分析審計風險入手,通過建立科學的審計風險分析模型,采取定性定量分析方法,量化確定固有保證程度系數,并控制保證程度系數,確定可接受的檢查風險水平,以確保審計質量。
商業銀行實施風險審計方法的壩實重要牲格林斯潘曾經說過:“銀行的基本職能是預測、承擔和管理風險。”風險審計的本質和根本目標是促進和保障商業銀行業務的穩健發展,促進商業銀行樹立全面的風險管理理念,堅持發展與防范風險并重;適應市場和業務需要,不斷完善風險管理手段,健全風險管理體制,培育風險管理文化,提高風險管理水平,促進業務發展,目標是優化資源配置,將風險控制在商業銀行可以承擔的范圍內,實現風險調整后的收益最大化。
(一)風險審計的理念和方法是商業銀行實施全面風險管理的現實選擇,進一步提升了內部審計的增值服務?風險是商業銀行與生俱來的產物,存在于商業銀行業務的每一個環節當中,商業銀行提供金融服務的過程也是承擔和控制風險的過程,因此,風險管理是商業銀行永恒的主題。在現代金融領域中,能建立良好的風險管理架構和體系,對風險進行全面有效的管理,并以良好的風險定價策略實現價值增長,是影響商業銀行核心競爭力的重要因素,也是實施風險審計的必然要求。國有商業銀行上市后,要在提高全面風險管理能力的前提下保持持續的價值創造能力。
巴塞爾新資本協議和美國反舞弊財務報告委員會的發起組織委員會fCOSO)的《企業全面風險管理框架》將全面風險管理概括為對商業銀行各個層次的業務單位和各種類型的風險進行統籌管理,這種管理要求將包含信用風險、市場風險、操作風險和其他風險的各種金融資產與資產組合,承擔這些風險的各個業務單位納入到統一的管理體系中,對各類風險依據統一的標準進行測量并加總,依據全部業務的相關性對風險進行全程的控制和管理。風險審計正是以全面評估風險為基礎,從重要風險點上人手,在深入分析判斷不同層面和業務單位風險狀況的基礎上,確定審計重點,對風險高的業務集中資源重點審計,通過評估銀行風險識別的充分性、風險衡量的恰當性及風險防范的有效性,并在此基礎上提出相應的改進措施和建議,直接影響商業銀行經營戰略的制定,確保商業銀行實現業務發展、風險控制和效益增長的有機統一.
(二)采用風險審計的理論和技術、是現代商業銀行審計發展的目標和方向,實現增值型審計轉型需要:當前國際內審發展已進入一個以風險管理和公司治理為標志的新的發展階段,西方的絕大部分商業銀行在內部審計均采用了風險審計的理論和技術。國際審計師協會主席捷奎林?瓦格娜曾提出:“環境的變化給內部審計師帶來增加價值的機會最多的領域是風險管理的公司治理。”2003年國際內部審計協會對2001年新的《內部審計實務標準》(以下簡稱《標準》)修改后,在內容上也自始至終都貫穿著風險審計的主導思想。
一是在對內部審計的定義中要求內部審計采用一種系統化、規范化的方法來對機構的風險管理、控制及監管過程進行評價進而提高它的效率,幫助機構實現它的目標。二是內部審計的目標要求內部審計參與風險管理。三是內部審計的工作重點要求內部審計參與風險管理。四是標準對審計計劃、審計測試、審計結果、后續審計各個方面都作了和風險相關的明確規范。五是關于剩余風險,《標準》做出了在審計執行主管認為高級管理層接受的剩余風險水平對于機構來說是無法接受時就報告董事會加以解決的規定。這些規定和要求將內部審計的范圍延伸到風險管理和公司治理,所以風險管理已經成為內部審計的主要工作。隨著風險管理導向內部控制時代的來臨,內部審計的工作重點也發行了變化,現代內部審計突破了傳統的監督、鑒證、評價職能的范圍,更多地介入商業銀行有效的風險管理機制和健全的公司治理結構領域。
風瞼審計在項代商業銀行風瞼管理中的作用
(一)風險審計有利于提高商業銀行風險管理水平,促進風險文化建設。風險基礎審計主動發現和控制各項風險,通過對商業銀行業務部門進行風險評估,并按照次序排列風險,集中高風險的項目優先審計。前者試圖阻止不期望的行為發生,這種事先的控制有助于阻止損失的發生;后者試圖檢查出不期望發生的行為,檢查性的控帶l目的是提供損失發生的證據。這兩種類型的控制都是必要的內部控制系統,使商業銀行的內控機制完善、管用。同時,風險審計關注的重點是業務過程中的每一個風險點,涉及所有員工和管理者,這樣有助于形成商業銀行風險文化,從而提高商業銀行全面風險管理水平。
(二)風險審計有利于對風險事件的識別風險審計采用通用風險分析模板及方法,識別商業銀行業務過程的風險和外部環境風險。風險審計人員運用某些分析方法,創造性地進行分析,判斷管理層是否完全識別了企業的所有風險,若有遺漏的風險要提醒管理層加以考慮。
(三)風險審計有利于對風險的反應和控制。在風險反應活動中,商業銀行要根據不同的風險決定要采取的策略和方法,決定是避免風險、接受風險、還是降低風險。如對有相對的風險回報的風險,商業銀行可以考慮接受,但要采取控制措施,才能將風險降低到可以接受的水平,獲得希望的回報。對于這部分風險,商業銀行會采取減少風險、轉移風險或分擔風險的辦法以降低商業銀行承受的風險。風險審計人員的主要工作在于分析、評價風險回報的合理性、減少風險的措施的有效性、以及接受風險轉移和風險分擔的那一方的風險。
(四)風險審計有利于對風險信息溝通和風險管理系統的監控。在風險信息溝通活動中,商業銀行的風險管理要將風險及時有效地傳遞給內部相關人員,以便及時采取相應的控制措施。風險審計人員可以通過評價報告系統證明風險信息被準確、及時地傳遞到相關人員,內部審計報告可以向董事會和審計委員會傳遞風險是否得到有效管理的信息。在監控活動中,商業銀行要對風險管理進行持續監控,通過對內部控制系統的運行的監控和對定期檢查結果及意外事項的處理結果的評價,保證商業銀行對風險管理是一直有效的。風險審計人員可以通過分析環境和風險變化,檢查內部控制系統是否已更新,是否能控制新的風險。還可以通過后續審計管理層對審計中發現的問題及對意外事項的處理情況,檢查新的控制措施是否有效,將分析結果和建議提供給管理層以便改進控制措施。
風險審計在捕國商業銀行規劃與存在問題
(一)風險基礎審計的法制化、制度化規范化建設的道路還很漫長。一是商業銀行內部制度調整工作量大,相關業務制度和操作流程也要進行相應調整;二是支持系統建設難度大,因長期需要具備相應功能的電子化系統作支持,要求商業銀行改進現有業務系統,并開發建設風險評估系統,風險評估系統的建設包括業務流程、歷史數據收集、參數選擇等需要大量投資和時間準備。三是短期內風險審計人員素質難以提高。風險審計人員需要精通包括審計、會計財務、法律、邏輯學、信息學、系統論、管理學等專業知識,懂得運用經濟、數理、計算機等專用分析手段來預知和減少風險,每位風險審計人員達到運用自如的水準尚需時日。
(二)審計證據的較高要求增加風險審計取證的難度風險基礎審計必須獲取充足的、可靠的相關的證據以判斷,而目前我國商業銀行風險基礎審計缺少可供遵循的標準和程序,且審計取證的渠道和方式多樣,因此,審計人員一般都需要提高調查樣本代表性和增大調查樣本的方法,以增強對總體風險推斷的準確性。
(三)風險審計技術手段落后,難以適應工作需要。計算機會計信息系統、信貸管理系統的廣泛應用和發展,大大增強了審計的及時性,事后審計;逐步被實時審計所代替,這與針對經營全過程的風險基礎審計不謀而合。在我國,商業銀行審計人員大多數對計算機輔助審計不太熟悉,許多還停留在傳統手工查賬的基礎上,在新技術面前還有些無所適從.審計手段落后,不但增加了審計難度,而且效率低、準確差,嚴重影響了審計作用的發揮,無法滿足商業銀行風險基礎審計工作的需要
(四)協調配臺欠缺,降低了審計結果的運用日常審計中很少利用紀檢、人事及其他部門掌握的信息,審計結束后,除個別項目外一般也不與這些部門交換,致使審計成果在干部考核、任用、獎懲等方面沒有發揮應有的作用,相應削弱了審計的威懾力。
我國商業銀行發展和完善風險審計的對策
(一)正確認識風險基礎審計在銀行公司治理結構的重要作用,為風險審計的發展刨造良好的環境商業銀行公司治理的核心問題是委托人(股東、投資者、管理者)如何激勵和約束人(經理層)、積極有效地完成受托經營管理責任,以確保股東或投資者財富最大化。顯然僅僅通過財務審計,委托人難以全面了解人是否有效履行其受托責任,而風險基礎審計有利于減少信息不對稱性,較為全面地提供委托人所需要的有關經營管理活動方面信息,大大遏制了“道德風險”的發生,增強了經營管理的透明度,從而達到控制和抑制“內部人控制”的目的,同時,通過風險審計可以有效地判斷人的業績和能力,評價人對受托人責任履行情況,促進人提高經營管理效率因此,風險審計是商業銀行公司治理結構的重要組成部分,是完善公司治理結構的“四大基石”之一。
(二)抓緊制定風瞼基蒯{計;,立則盡快完善評價標:停體系要吸收借鑒美國、英國、典等發達國家的先進經驗,抓緊研究制定我國的風險基礎審計準則,這是開展風險審計的當務之急。風險基礎審計準則的制定要遵循“銜接”、“配套”、“務實”的原則,注意解決好前瞻與現實的矛盾,接軌與國情的矛盾。逐步探索和完善風險審計的評價標準體系,量化評價指標,為不同項目之間的比較提供依據.
(三)認真搞好風險基礎審計研究,探索先進審計技術方法。先進的審計技術和方法,是提高審計效率和質量的重要保證要通過傳統方法與現代信息技術的結合,加大風險審計技術的研究力度,特別要注重探索完善審計抽樣、內控測評、風險評估等方面的方法和技術產。在風險審計的方法和技術的研究中,要實行科研人員與實務人員、科研與調研、審計人員與項目工程人員相結合的辦法開展,以增強實用性、指導性和前瞧性。
關鍵詞:網絡安全 意識 發展趨勢 防火墻
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9416(2013)09-0171-01
當前,網絡安全問題比較嚴峻。人們開始注重關心自己網絡的安全。隨著用戶對網絡安全意識的提高,人們已經不再僅僅滿足于低層次網絡平臺的搭建,人們開始把更多地把精力放在如何建立或者研發相關的軟件來保證自己計算機網絡安全、可靠。然而,什么是計算機網絡呢?簡單的說計算機網絡就是一種網絡能夠識別的、以網絡協議為基礎的一些應用之間比較完整的組合,但是在這個里面協議的應用本身都可能會存在一定弊端,增加網絡安全的風險。當然,它還包括了對網絡鎖的使用的一些協議的相關的設計的問題。
1 網絡的安全技術概括
網絡安全技術主要分為兩種。一是加密技術,這種技術是EC中使用的主要措施,這種技術能夠在貿易方進行信息交換時候使用。當前,加密技術主要有對稱加密和非對稱加密技術兩種。第二種是防火墻的技術。通常我們所說的防火墻技術是一種應用性的安全技術,這種技術主要是建立在信息的安全技術以及通信技術基礎之上,普遍應用于公用、專用網絡的某些互聯環境當中,接入一種Internet網絡是最為流行的。
從邏輯上來看,防火墻是一個分離器,也可以叫做是分離器,它能夠有效地保證和控制互聯網和內部網絡之間安全的進行交易。此外,根據防火墻的側重點以及防范方式的不同,將防火墻技術分為很多種,其中具有代表性的為:(1)分組過濾:這種技術能夠在傳輸層和網絡層起作用,它根基端口號和目的地址、協議的類型、分組的包頭源的地址等標志,來確定其是否讓數據包在此通過。當數據包(過濾邏輯)得到滿足后,這些數據包相應的轉發到目標出口端,其余的數據包則丟棄,沒用了。(2)應用:通常也叫做網關,網關主要在應用層發揮作用,它能夠阻隔網絡的通信,并根據不同的應用服務來編寫其專門的程序,從而有效的控制和監視應用層通信的交流。
2 網絡安全技術中主要存在的缺陷
目前,人們在日常及工作中使用的網絡安全技術主要是針對某個或某種網絡的安全問題而設計的。因此,在某種程度上,這些網絡安全技術只能夠相應解決某個或某種網絡安全問題,但是這些網絡安全技術沒有辦法解決其他與之有關的問題,更別說對整個的網絡系統進行有效地保護。比如說,人們網絡技術中使用的訪問控制以及身份認證技術,只能解決網絡用戶身份的確認問題,但是卻無法保證用戶與用戶之間信息傳遞的安全性。
當前,隨著計算機技術的不斷發展,現代防火墻技術也取得了一定的發展,也能夠在現有技術基礎上解決一些基本的網絡安全問題。但是,防火墻這種技術主要在應用層發揮作用,但是防火墻技術仍然存在許多局限性。其中,防火墻技術組最大的局限性就是防火墻技術不能夠本計算機內保存放數據的安全性。當然它也存在著很多弱點:(1)這種技術不能夠防范一些惡意入侵的知情者;(2)這種技術不能防御一些來自計算機內部的攻擊;(3)這種防火墻不能夠防御一些能夠繞過防火墻的攻擊;(4)這種技術不能防御來自對數據的攻擊。
當然,在新的、有效的網絡安全產品研發出來之前,很多用戶更會選擇一些主流的安全技術與防火墻等技術聯合起來使用,從而保障自己的網絡安全。
3 網絡安全技術發展趨勢
網絡安全是比較復雜的,從它的概念、內容、框架等。為了保證網絡安全的有效性,對于網絡安全的管理必須采用相應的管理才能管理員,這樣才能夠有效的保證網絡安全控制,從而能夠有效的保證預期資源的安全。因此,網絡安全的主要核心問題是建立起組織的一些安全管理的體系。而這個安全管理體系又是由許多動態安全分析的相應的過程和靜態安全控制相應的措施組成。
(1)安全需求的分析。客戶只有真正了解自己所需要的安全需求,才能夠根據自身的需要創建一些符合自己需要的安全結構,這樣客戶才能夠有效地保證自己的網絡系統安全。
(2)安全風險的管理。安全風險的管理主要是對在安全需求的分析結果中出現的一些業務需求和安全威脅進行適當的風險評估,通過一些企業或相應組織能夠接受的一些投資,來最大程度地實現網絡的安全。風險評估主要為構架一些部門和組織的安全體系的結構以及制定其安全性策略提供了很多直接的相應的依據。
(3)網絡環境中制定一些安全措施。根據部門和組織的風險評估和安全需求的結論,制定部門和組織的一些計算機的網絡安全的相關策略。
(4)定期進行安全審核。對于安全審核,其首要任務是審核其組織的那些安全性策略是否是被其有效執行。
綜上所述,網絡環境是一個復雜的、多變的、各種資源能夠相互共享的虛擬環境,但是這個環境又是脆弱的,這些性質都決定了網絡患者中的安全隱患。隨著我國計算機技術的不斷發展,網絡對于一個國家、一個企業而言有著舉足輕重的作用。因此,在信息化社會中,如果沒有安全、穩定的信息化網絡,整個國家就不可能有安全的屏障。
參考文獻
[1]千一男.關于計算機網絡安全風險的分析與防范對策的研究[J].電腦知識與技術,2011年29期.
[關鍵詞] 電子政務 信息安全 等級保護 風險評估
1 概述
電子政務是政府管理方式的革命,它是運用信息以及通信技術打破行政機關的組織界限,構建一個電子化的虛擬機關,使公眾擺脫傳統的層層關卡以及書面審核的作業方式,并依據人們的需求、人們可以獲取的方式、人們要求的時間及地點等,高效快捷地向人們提供各種不同的服務選擇。政府機關之間以及政府與社會各界之間也經由各種電子化渠道進行相互溝通。
電子政務的建立將使政府社會服務職能得到最大程度的發揮,但也使政府敏感信息暴露在無孔不入的網絡威脅面前。由于電子政務信息網絡上有相當多的政府公文在流轉,其中不乏重要信息,內部網絡上有著大量高度機密的數據和信息,直接涉及政府的核心政務,它關系到政府部門、各大系統乃至整個國家的利益,有的甚至涉及國家安全。因此,電子政務信息安全是制約電子政務建設與發展的首要問題和核心問題,是電子政務的職能與優勢得以實現的根本前提。如果電子政務信息安全得不到保障,不僅電子政務的便利與效率無從保證,更會給國家利益帶來嚴重威脅。
2 電子政務信息系統面臨的威脅
電子政務涉及對政府機密信息和敏感政務的保護、維護公共秩序和行政監管的準確實施以及為保障社會提供公共服務的質量。電子政務作為政府有效決策、管理、服務的重要手段,必然會遇到各種敵對勢力、恐怖集團、搗亂分子的破壞和攻擊。尤其是,電子政務在基于互聯網的網絡平臺上,他包括政務內網、政務外網和互聯網,而互聯網是一個無行政主管的全球網絡,自身缺少設防,安全隱患很多,使得不法分子利用互聯網進行犯罪有機可乘,這就使得基于互聯網開展的電子政務應用面臨著嚴峻的挑戰。
對電子政務的安全威脅包括網上黑客入侵和犯罪、病毒泛濫和蔓延,信息間諜的潛入和竊密,網絡恐怖集團的攻擊和破壞,內部人員的違規和違法操作,網絡系統的脆弱和癱瘓,信息安全產品的失控等,對于這些威脅,電子政務的建設和應用應引起足夠警惕,采取果斷的安全措施,應對這種挑戰。
3 電子政務信息安全管理體系的構建
要有效維護電子政務信息系統的安全,就需要構建電子政務安全管理體系,從而使政務的信息基礎設施、信息應用服務能夠具有保密性、完整性、真實性和可用性。電子政務安全管理體系包括安全技術體系、安全管理體系和安全服務體系,涉及從管理到組織,從網絡到數據,從法規標準到基礎設施等各個方面。
3.1 加強安全技術力量是實現電子政務安全的基本方法
安全技術體系是利用技術手段實現技術層面的安全保護,是對電子政務安全防護體系的完善,包括網絡安全體系、數據安全傳輸與存儲體系,功能主要是通過各種技術手段實現技術層次的安全保護。
網絡安全體系包括網閘、入侵檢測、漏洞檢測、外聯和接入檢測、補丁管理、防火墻、身份鑒別和認證、系統訪問控制、網絡審計等;數據安全與傳輸與存儲體系包括數據備份恢復、PKI/CA、PMI等。整個電子政務的安全,涉及信息安全產品的全局配套和科學布置,產品選擇應充分考慮產品的自和自控權。在關鍵技術、經營管理、生產規模、服務觀念等方面,要集中人力、物力,制訂相關政策,大力發展自主知識產權的計算機芯片、操作系統等信息安全技術產品,以確保關鍵政府部門的信息系統的網絡安全。加強核心技術的自主研發,并盡快使之產品化和產業化,尤其是操作系統技術和計算機芯片技術。現階段各地政府部門目前所選用的高端軟硬件平臺,很多都是國外公司的產品,這也對政務安全帶來了許多隱患。因此,在構建電子政務系統的時候,在可能的情況下,我們應盡量選用國產化技術和國內公司的產品。
3.2 構建安全管理體系是電子政務安全實施的重要基礎
安全管理是解決電子政務的安全問題在技術以外的另一有力保障和途徑。由于安全的防范技術與破壞技術總是“勢均力敵”、“相互促進”的。作為防范者就更應該在安全防范的管理上下更大的工夫。安全管理主要涉及三個方面:法律法規、安全防護體系以及等級保護政策。
3.2.1法律政策、規章制度和標準規范
電子政務的工作內容和工作流程涉及到國家秘密與核心政務,它的安全關系到國家的、國家的安全和公眾利益,所以電子政務的安全實施和保障,必須以國家法規形式將其固化,形成全國共同遵守的規約。目前,世界上很多國家制定了與網絡安全相關的法律法規,如英國的《官方信息保護法》等。我國雖然頒發了一些與網絡安全有關的法律法規,如《計算機信息系統安全保護條例》、《計算機信息系統保密管理暫行規定》等等,但顯得很零散,還缺乏關于電子政務網絡安全的專門法規。此外,在完善法律法規的同時,還應該加大執法力度,嚴格執法,這一目標的實現不僅需要政府組織的努力,更要國家立法機構的參與和支持。
3.2.2電子政務防護體系
貫穿整個電子政務的安全防護體系,對電子政務安全實施起全面的指導作用,具體包括三個方面的內容:安全組織機構、安全人事管理、以及安全責任制度。建立安全組織機構,其目的是統一規劃各級網絡系統的安全、制定完善的安全策略和措施、協調各方面的安全事宜,主要職責包括制定整體安全策略、明確規章制度、落實各項安全措施實施,以及制訂安全應急方案和保密信息的安全策略;安全人事管理,其主要內容包括:人事審查與錄用、崗位與責任范圍的確定、工作評價、人事檔案管理、提升、調動與免職、基礎培訓等;制定和落實安全責任制度,包括系統運行維護管理制度、計算機處理控制管理制度、文檔資料管理制度、操作和管理人員管理制度、機房安全管理制度、定期檢查與監督制度、網絡通信安全管理制度、病毒防治管理制度、安全等級保護制度、對外交流安全維護制度,以及對外合作制度等。
3.2.3等級保護制度
通過全面推行信息安全等級保護制度,逐步將信息安全等級保護制度落實到信息系統安全規劃、建設、測評、運行維護和使用等各個環節,使信息安全保障狀況得到基本改善。通過加強和規范信息安全等級保護管理,不斷提高信息安全保障能力,為維護信息網絡的安全穩定,促進信息化發展服務。
4 完善安全服務是維護電子政務安全實施的有力保障
4.1 安全等級測評和風險評估管理
電子政務信息系統安全測評服務,其實質是通過科學、規范、公正的測試和評估向被測評單位證實其信息系統的安全性能符合等級保護的要求。
由于信息安全直接涉及國家利益、安全和,政府對信息產品、信息系統安全性的測評認證要更為嚴格。對信息系統和信息安全技術中的核心技術,由政府直接控制,在信息安全各主管部門的支持和指導下,依托專業的職能機構提供技術支持,形成政府的行政管理與技術支持相結合、相依賴的管理體制。 風險管理是對項目風險的識別、分析和應對過程。它包括對正面事件效果的最大化及對負面事件影響的最小化。電子政務安全風險管理的主要任務是電子政務信息系統的風險評估并提出風險緩解措施,前者是識別并分析系統中的風險因素,估計可能造成的損失,后者是選擇和實施安全控制,將風險降低到一個可接受的水平。
4.2 安全培訓服務
根據不同層次的人才需求,社會化的信息安全人才培養體系應分為專業型教育、應用型教育和安全素養教育三個層次。專業型教育主要是培養信息安全領域的專業研發、工程技術、戰略管理等方面的人才。應用型(半專業)教育則是以從事現代信息管理工作的人作為對象,培養目標是要求學生具備信息安全的基本知識、網絡和信息系統安全防范技能、組織機構或系統安全管理的能力等。這種應用型的信息安全教育要求受教育對象數量要多,覆蓋面要廣,基本信息技能要強。通過課程、講座、宣傳等多種形式,達到讓每一個人都具備必要的安全意識和常規的信息安全自我防范技術的目的。要求單位領導應具備必要信息安全意識和安全知識;信息管理人員應具備一定的信息安全知識和基本技能;從事信息服務或信息安全服務的有關人員應具備必要的信息安全知識和技術基礎等。
構建安全穩定的政務信息系統,技術、管理、服務作為支撐體系的三大要素,缺一不可。只有這三方面都做好了,才能實現海西政務信息管理體系的全面提升。
參考文獻:
[1] 何玲,電子政務環境下政府電子文件管理新探索[D].成都:四川大學碩士學位論文,2008.
關鍵詞:模糊 Petri 網 信貸風險 審計預警
一、引言
近年,隨著信息技術與互聯網金融的高速發展,P2P網絡信貸的興起在世界范圍內產生沖擊。Lending Club 2007年在美國成立,七年間作為美國P2P網絡信貸的領先企業,目前已經成功撮合40億美元的借貸交易。與此同時,我國P2P網絡信貸成長迅速,最新出爐的中國P2P網貸指數顯示,截至2014年12月30日上午11時,全國P2P網貸平臺共2 358家,其中活躍平臺(納入中國P2P網貸指數統計)1 680家。眾所周知,由于網絡信貸的高速成長,網絡信貸企業水平參差不齊。2014全年問題企業達275家,僅2013年12月份,由于投資人撤資,行業兌付壓力驟升所導致的問題企業就高達92家。網絡信貸企業失敗的原因總結起來,除了自身因素外,絕大部分都是由于平臺內部風險控制較差,一些借款客戶不能正常還款,使得貸款壞賬率過高,而平臺承諾投資人的收益過高,實際的優質業務很少,導致平臺資金鏈斷裂所致。因此對于網絡信貸公司而言,降低信貸風險迫在眉睫。
審計作為內部控制風險管理的有力武器,查錯糾弊、警示預險是其功能。隨著網絡信貸P2P日益迅速的發展,企業面臨的信貸風險越來越多,這需要內部審計承擔更多的治理和管理職能,對重要風險進行預警。由于P2P網絡信貸建立在互聯網數據化的基礎上,網絡信貸風險的審計預警應當利用網絡信貸業務內部外部相關因素數據進行準確評價,將內外部風險因素傳導、風險識別、預警提示等結合起來,形成量化的風險評估結果,以準確判斷業務風險高低,識別風險控制重點,形成審計預警,幫助審計人員實現事前風險控制。基于此,本文針對信貸業務流程中的信貸風險因素,模擬各風險因素間的因果關系,采用 Petri 網構建信貸風險模型,計算出各風險因素之間的傳導概率,從而量化描述風險因素的傳導機制,幫助審計人員更好地管控風險傳導過程。
二、文獻綜述
目前國內外對于P2P網絡信貸風險的研究主要集中在對P2P網絡信貸模式的探討。P2P網絡信貸屬于微型金融領域,陌生人通過互聯網進行借貸交易,這種模式必然存在比傳統金融機構借貸模式更大的風險。如何消除互聯網環境下網絡信貸風險所造成的負面影響,已經成為微型金融領域研究的一項核心問題。沈良輝、陳瑩認為,我國P2P網絡信貸行業存在借款人信用信息識別難、借款用途真實性辨別難、借款抵押擔保難等問題,而且網絡信貸公司沉淀資金安全性差,網絡信貸業務領域的可控性差,線上業務量少,自身特點導致的風險性也大。雷艦認為,對 P2P 行業的監管應該采取行業自律與外部監管相結合的原則,建立統一的行業準入機制,規范行業運行機制。黃葉危、齊曉雯認為P2P網絡信貸存在法律缺失、平臺用戶使用不當、平臺自身導致的風險等問題,并認為風險管理應以信用風險控制為主,建議建立共同信用評級系統。由上可見,國內外對P2P網絡信貸風險的相關研究,大多為定性研究信貸風險的相關影響因素,或只是提出風險管理的建議,并沒有將網絡信貸的風險管理與審計預警結合起來。
從理論上講,對金融風險的處理和控制當然是越早越好。以往,只有當借款人償還不力時,網絡信貸企業才會采取針對性的行動,但此時問題已經發生并惡化至不可收拾,這種滯后處理對充滿風險的信貸行業是非常不利的,會造成巨大損失,如能建立審計預警系統,在前期就根據各筆貸款業務風險程度實施預警審計方案,將大大降低企業風險。審計預警系統是主動的控制防御,根據風險相關影響因素的因果關系,系統地進行風險評估,對高風險項目實現審計預警,風險越高的貸款項目預警越敏感,相應的審計措施越周密。如控制貸款審批將不良貸款率將至最低,調整過高的投資回報率等,以及時降低企業風險,實現企業審計風險控制。魯愛民、孟志青認為審計預警應在明確預警、排警的前提下,結合被審計單位內外部環境狀況,對公司運行的重要影響因素(包括管理機制與制度執行等)進行評價,將風險識別及信息傳遞、預警提示等有機結合,以保證預警系統目標的實現。國內的預警研究往往集中在危機已經發生或者危機發生后,且研究重點主要集中在定性研究,如對危機應對的建議或是對風險的評估。研究的方法也主要是分析風險相關因素的因果關系并通過圖表描述,然后通過計算或者演算尋找規律從而進行預測。但是這類研究也存在一定的缺陷,即僅僅著眼于因果聯系在實際應用中顯然不夠,還需要能夠事先根據外部數據及時反應,通過定量分析,迅速得出準確的風險評價結果,有效預警。Petri網建模能夠隨著外界輸入信息的變化作出相應的調整,及時通過風險影響因素的因果聯系,準確評價風險高低,有利于審計人員事先對P2P網絡信貸風險的控制,預防信貸風險造成的危害。
三、基于Petri網的審計預警系統模型
從前人各類審計預警系統的構想中不難看出,大多數設想都是基于工作流程創造的,這些按照工作流程設想的框架都缺少系統模型。在工作流的過程建模中,要求所建立的模型具有較強的描述能力,建模過程簡便、直觀,所建立的模型易于使用,同時還要求模型易于修改和擴充,以適應不斷變化的工作環境。進一步地,模型還要求能夠便于被驗證,進行性能評價。Petri網作為一種描述并發系統動態行為的有力工具,能夠很好地滿足上述這些要求,準確描述信貸審批流程。基于此,本文在闡述P2P網絡信貸審批過程的基礎上,根據互聯網金融企業開展網絡信貸業務的經驗教訓,突出內外部因素在審批過程中與風險的因果關系,建立風險評價指標;給出基于模糊Petri網的評價方法,為定量評價網絡信貸風險提供參考手段,為審計預警提供依據,確保互聯網金融企業網絡信貸風險的控制。
(一)信貸審批審計預警系統流程
簡要描述:借款人提出申請并提交材料,將借款人材料信息傳遞給資格審核部門并進行審核,初審通過,傳遞相關信息進一步認證信息是否真實,根據獲得信息進行風險評估,將評估結果傳遞到審計部門選擇相應預警方案,在網上提供貸款,跟蹤借款人履約情況,根據履約與否相應處理(詳見圖1)。
(二)建立互聯網信貸風險審計預警模型
通過對互聯網信貸風險因素的分析,可以看出信貸主要風險因素來自于第三方因素、互聯網企業內部因素、借款人因素、貸款人因素等多個方面。并且這些風險因素之間存在著一定的關聯性。例如:在第三方因素中,對申請人抵押物的評估結果,將直接影響申請人互聯網信貸審批;公司內部人員工作能力也會影響貸款審核情況,處理稍有不慎,都將導致信貸風險的產生,甚至危機網絡信貸企業的生存。可以說,在信貸風險環境中,大部分影響因素都存在著因果關系。這種因果關系符合模糊 Petri 網應用范圍。因此,本文在互聯網信貸風險模型建立過程中,主要運用模糊 Petri 網相關知識對互聯網信貸風險影響因素進行圖形化處理,并利用最長路徑算法得到關鍵影響因素,直觀、簡便地實現對信貸風險環境中各影響因素的定量分析評價,并將信貸風險量化表達,對高風險項目提前預警,起到實現審計預警的作用。
1.基于模糊 Petri 網互聯網信貸風險審計預警評價模型。根據模糊 Petri 網基本原理和對互聯網信貸風險環境的分析,可以得到基于模糊 Petri 網互聯網信貸風險評價模型 FPN。
2.FPN 網建立的步驟。FPN 網的構建詳細過程如下:
(1)確定致因因素。詳細了解互聯網信貸的特征,分析導致最終事件發生的基本因素,得到互聯網信貸風險致因因素含義及庫所表示(詳見表1)。
(2)確定中間因素。由上一步分析確定的致因因素,總結出一系列相關的信貸風險影響因素,根據相互之間的因果關系分析確定各因素在整個 Petri 網中位置,最終得到某互聯網信貸風險中間因素含義及庫所表示,見表2。
(3)根據互聯網信貸環境的分析和FPN 中各影響因素含義及庫所表示,得到互聯網信貸風險模型中各命題含義(詳見表 3)。
(4)確定變遷意義(見下頁表4)。建立模糊 Petri 網,從最終事件分析尋找其致因因素或相關影響因素,并按因果關系進行模糊 Petri 網繪制。根據模糊 Petri 網的基本推理規則及觸發規則,得到各因素及命題的結構位置及相關聯事件之間的邏輯關系。依據對模型 FPN 中各影響因素分析及相關命題含義總結,繪制出基于 FPN 的互聯網信貸風險模型(詳見下頁圖 2)。
模型FPN中的相關數據:在模型 FPN 中,結合對實際情況的分析,根據模糊Petri網的理論,得出模型各因素中有數據的為 p1、p2、p3、p4、p5、p6,這些因素的模糊發生概率可以通過相關數據及分析資料得出,而其他無實測或數據、分析資料事件的模糊發生概率可根據相關推理規則及模型計算方法得出。
3.模型FPN的推理規則。
(4)規則四。IF dkTHEN dl1AND dl2AND…AND dl(CF =μi)。變遷發生后,命題 dli(j =1,2,…,l) 的真實度的值為β(pj)×μi。 如果圖2基于 FPN 的互聯網信貸風險模型有相一致的表示,其庫所對應命題真實度的值按照該算法得出。
步驟五:pj成為已檢查過的庫所,重復步驟四,直至所有點都被檢查為止。
步驟六:按目標庫所的第一個標記反向追蹤最長路徑及最長路徑上的所有庫所,則該路徑上的致因因素即為引發信貸風險的關鍵因素,路徑長度的含義即為導致其信貸風險因素的可能性。
四、結束語
網絡信貸風險防范已引起了社會越來越多的關注,隨著網絡信貸企業日趨成熟,而風險管理已成為網絡信貸交易和整個行業發展過程中的關鍵所在,正確評估風險,掌握風險的特征和變動趨勢,執行審計預警系統是防范和化解風險的有效途徑。而防范信貸風險最關鍵的就是在信貸交易達成之前對風險做出正確的預測,選擇相應的審計預警方案。以Petri網為工具建立的信貸風險模型可以簡潔、直觀地描述各風險因素之間的關系及其對信貸運作的影響,利用模糊Petri網的推理算法可以計算得出各風險因素之間的傳導概率,將風險因素的傳導規律量化表達,幫助互聯網信貸企業詳細了解風險的傳導過程,有針對性地采取審計措施,為企業更有效地預測和控制信貸風險提供新的思路。在此基礎上也可以靈活運用互聯網信息技術,如數據挖掘、大數據技術將極大減少系統整理資料與評估的時間,提高結果準確度。這是保障信貸質量和促進行業健康持續發展的必要手段。
參考文獻:
1.沈良輝,陳瑩.美國P2P網貸信用風險管理經驗及對我國的啟示[J].征信,2014,(06):61-65.
2.雷艦.我國P2P網貸行業發展現狀、問題及監管對策[J].國際金融,2014,(08):71-76.
3.馬運全.P2P網絡信貸的發展、風險與行為矯正[J].微型金融研究,2012,(2):46-49.
4.黃葉苊,齊曉雯.網絡信貸中的風險控制[J].工作論壇,2012 ,(4):101-105.
5.孫英雋,蘇顏芹.微金融的發展趨勢:網絡信貸[J].科技與管理,2012,(1):92-95.
6.魯愛民,孟志青.審計預警系統的構建研究[J].會計之友,2012,(29):97-98.
7.陽潔,胡靜.金融風險預警系統評價與分析[J].經濟問題,1999,(05):48-51.
8.陳文夏.次貸危機對我國政府金融審計的啟示――基于國家審計發揮“免疫系統”功能的思考[J].審計研究,2009,(02):22-25.
9.陳文夏.金融審計預警體系構建研究[J].審計研究,2011,(02):33-38.
關鍵詞:房屋;征收與補償;相關問題;政策;法律
中圖分類號:DF453文獻標識碼: A
一、國有土地上房屋征收與補償工作的問題
《國有土地上房屋征收與補償條例》雖然將房屋征收工作提到了法律的高度上,但是過于寬泛,缺少落實細則。雖然《國有土地上房屋征收與補償條例》的頒布和實施為房屋征收工作提供了法律保障,但過于寬泛,缺少具體的操作細則,使得房屋征收工作沒有統一的操作行為。隨著經濟和形勢的發展,因時而動、因地而變的情況時有發生,需要準備和提交的材料不統一,導致征收工作實施過程中,被征收人房屋證明資料不完整或自然人的情況不明確,令征收工作無法順利、穩定地開展和完成。
《國有土地上房屋征收與補償條例》中公共利益的范疇和外延伸縮性、彈性過大,使得部分為謀取個人利益的人有機可乘。《國有土地上房屋征收與補償條例》雖然明確規定了征收條件是為了公共利益的需要,但在實際征收中,一些人為謀取個人私利,混淆概念,把私人建廠或開發小區等都貼上“為促進國民經濟和社會發展的需要”的標簽,打著“公共利益”的招牌,掛著“公共利益”的幌子,稱其是符合政府納入國民經濟發展規劃的項目,使公共利益的范圍更加模糊,公共利益的外延更加龐大。
征收補償不及時,公民的產權調換的回遷權缺乏有力的保障。在房屋征收過程中,一些市、縣因財政資金不足或人為原因造成征收補償不及時的現象時有發生,以致公民的產權調換的回遷權缺乏有力的保障。這樣也給房屋征收工作帶來了很不好的影響,使房屋征收工作很難大范圍地展開,并致使后續工作無法進行。給一部分百姓造成房屋征收補償款放在政府手里可不能放得下心,只有放在自己手里才是最可靠的的印象。征收補償不及時現象的存在使政府失去了公信力。
征收補償條例過分強調了行政機關的主導地位,并且缺乏有效的監督。在《國有土地上房屋征收與補償條例》中,過分強調了行政機關的主導性,使征收的許多事項都掌控在政府的手中,缺乏有效的監督,這樣就使得一些人為謀取個人私利而放棄原則和失去黨性,致使暗箱操作頻出,腐敗滋生,使社會矛盾激化,房屋征收與補償糾紛越來越多,越來越激烈,影響了經濟的發展和社會的穩定,并且導致了不可估量的后果。
征收補償標準的制定存在矛盾。征收工作的核心問題是補償標準問題,這也是從拆遷時代開始,兩個相對主體之間,爭議最大、矛盾最突出的問題。目前的征收補償標準較拆遷時已有大幅提高。但是作為兩方爭議最大的土地使用權的補償問題仍未解決。房屋征收的目的表面上是取得房屋所有權,實質是取得國有土地使用權,這是不爭的事實。現行的征收補償政策中明確對被征收人的補償包括被征收人房屋價值的補償及搬遷補償、臨時安置補償和停產停業損失補償等,對土地使用權的補償只字未提。但事實上大部分被征收人認為,土地使用權是房屋的附著物,如果政府不來征收,附加了土地價值的房屋,特別是城市中心地段房屋會隨著地價上漲價值不斷攀升,但政府征收后地產的增值部分價值就被政府或者之后摘牌的地產商侵吞了,這是明顯不合理不公平的。這個問題不解決將會嚴重阻礙征收工作的順利推進。
二、如何加強國有土地上房屋征收與補償工作
1、依法征收是做好房屋征收補償工作的前提
嚴格依照《征收條例》等法律法規開展征收工作,既是維護公共利益、被征收房屋所有權人合法權益的需要,又是順利開展征收和保護征收從業人員的需要。故此,以依法征收為主線,嚴格執行征收條件和程序,有序地實施征收工作尤為重要。首先要符合六個征收前置條件:1.符合公共利益的需要;2.符合我市國民經濟和社會發展規劃;3.符合土地利用總體規劃;4.符合城市規劃;5.符合專項規劃;6.如以保障性安居工程建設、舊城區改建名義申報,則該項目應當納入市國民經濟和社會發展年度計劃。其次,征收程序要不含糊:征收申報、初步審定、調查登記、擬定方案、組織論證、征求意見、公布修改情況、組織聽證、風險評估、作出決定、公告、通知停辦手續一步也不能少。再次,補償程序要到位:確定評估機構、簽訂評估合同、提出分戶價格、公示評估結果、提供評估報告、復核評估報告、組織技術鑒定、訂立補償協議、作出補償決定、申請強制執行、公布補償情況、公布審計結果每個環節都要到位。
2、高位推進是做好房屋征收補償工作的關鍵
房屋征收工作難度大,需要解決的問題多,只有堅強的領導作后盾才能順利推動。在房屋征收過程中,各地主要領導親力親為,通過電視講話,現場巡查,召開動員會、推進會、調度會等形式,甚至親自掛帥包戶做動遷,顯現出政府的堅強決心和表率作用,有力地推動了房屋征收工作。同時,實行社會穩定風險評估。在作出房屋征收決定前,征收部門都能結合本地實際和征收項目的個性,進行社會穩定風險評估,對可能出現的風險進行識別,在征收過程中盡可能做到規避風險,征收條件不具備或風險系數高的項目實行暫緩。
3、安置到位是做好房屋征收補償工作的后盾
為做好征收工作,各地都能多方籌措資金,做到錢不到帳、安置房不開工就不正式啟動房屋征收。實行補償款專款專用,全額撥入征收辦的專戶,由征收辦統一把關,做到即簽即付,使被征收人放心,沒有“打白條”的現象。針對安置房未完工的情況,采用先給予貨幣補償,待安置房建好后再購買的辦法,有效地觶決了被拆遷人的后顧之憂。
安置到位還要體現公平公正。在征收的執行過程中,應嚴格按照政策標準,奉行公平、公正、公開,合情、合理、合法的原則,做到一碗水端平、一把尺子量到底的工作方法。嚴格落實拆前拆后一個樣、拆大拆小一個樣、拆官拆民一個樣、拆富拆窮一個樣、拆生拆熟一個樣的征收準則,杜絕“先簽約吃虧,后簽約受益”、“多叫的鳥兒多吃食”、私情補償等不公平現象的發生,從而贏得被征收戶的充分信任和積極配合。安置到位還要體現優先保障,只要被征收人符合住房保障條件,就可按簽約拆除先后順序優先享受保障性住房。如玉山縣七星街棚戶區改造項目安置保障性住房24戶,解放中路棚戶區改造項目安置保障性住房5戶,萬年縣安置保障性住房4戶。
4、補償合理是做好房屋征收補償工作的保障
為了制定出科學合理、操作性強的征收補償方案,則要改變往日“先結婚,后戀愛”的做法,工作人員要逐一登門入戶,充分了解被征收戶的房屋狀況、基本要求、思想動態、家里的特殊情況等,在做到“胸有成竹”的基礎上,依據相關法律法規,制定出扎根實際、便于操作的房屋征收補償方案。如:玉山、德興、萬年、波陽等縣由于充分吸納了被征收群眾合情合理的意見和建議,遵循了市場規律,補償方案凸顯出客觀、公正、惠民等基本特性,為整個征收工作的順利開展奠定了堅實基礎。同時,還制定了《房屋征收補償信息公開制度》。確保房屋征收的相關法律、法規政策常年向社會公布;房屋征收決定、房屋征收補償方案、房屋征收補助獎勵政策和標準、補償決定在征收范圍內公布;房屋調查結果、初步評估結果、分戶補償情況等能在征收范圍內向被征收人及時公布。如凡是支持配合征收工作,按時完成搬遷的被征收人應當給予諸如階段搬遷獎、快速搬遷獎、安置房公攤面積差獎等,讓先搬者多受益,晚搬者少受益。做到拆官拆民一個樣、拆富拆窮一個樣、拆生拆熟一個樣,杜絕“多叫的鳥兒多吃食”等不公平現象的發生。
5、部門配合是做好房屋征收補償工作的靠山
在征收實施過程中,各部門各單位應牢固樹立“上下一盤棋”思想,無條件服從和服務于征收工作這一大局,通力協作,切實履職。在停辦業務中,工商、稅務、規劃、建設、房管等部門要予以配合;在房屋拆除過程中,管線、電力、自來水、城管、交警等部門要全力支持;在動遷過程中,凡是涉及到有被征收人的單位,更應全力配合,協助做通被征收人的思想工作。在房屋征收過程中,各地沒有出現采取停水、停電、阻斷交通等野蠻手段逼迫搬遷現象,也沒有出現采取“株連式拆遷”和暴力征收的行為,沒有出現貪污、截留、挪用征收補償款的現象。故此,征收工作得到了絕大多數群眾的支持和理解,沒有發生因征收而引起的群體和惡性事件,沒有出現被征收人赴省進京上訪的現象,也沒有申請過人民法院實施強制執行的情況,房屋征收工作中沒有出現違法違規案件。
結束語
隨著經濟的快速發展,城市進程的步伐也不斷加快,在國有土地上的房屋征收變得越來越頻繁。房屋征收工作的開展為城市的發展開拓了道路。房屋征收工作涉及的范圍廣,人數多,涉及到不同的利益主體,并且都牽扯到百姓的切身利益,因此房屋征收與補償工作已經成為政府工作的重點之一。房屋征收與補償工作要以法律為依據,積極開展和完善房屋征收與補償工作,使房屋征收與補償工作為城市發展提供良好的社會環境。
參考文獻
[1]劉禹.國有土地上房屋征收與補償中的財產權保護研究[D].遼寧大學,2013.
[2]何江南.國有土地上房屋征收決定程序[D].中國社會科學院研究生院,2013.
關鍵詞:模糊評判法 煤礦風險等級 商業保險費率 浮動費率
0 引言
商業保險業與煤礦安全生產工作相結合,保險機構主動介入工傷預防,是國外的一條成功經驗。保險業發育比較成熟的兩個代表性國家是德國和日本。在我國,商業保險的產品還沒有真正進入煤炭領域,煤礦一旦發生事故基本是政府買單。我國雖然強制推行了工傷保險制度,但事故的賠付非常低,事故傷亡人員及其相關方得不到根本保障,煤炭生產企業仍舊存在非常高的風險。商業保險進入煤炭領域可以很好地解決這些問題。商業保險進入煤炭領域,必須探討一種有關煤礦安全生產的綜合量化指標與費率浮動之間的科學系數關系,即建立煤炭領域商業保險費率制度,商業保險對安全生產的促進作用才能真正發揮出來。目前,我國有各類性質的煤礦一萬多家,其自然條件、地質條件、開采技術條件、裝備水平、災害類型、管理水平等千差萬別,其風險水平不一,風險的大小沒有一個可靠的評估方法,災害后果的嚴重程度無法準確預測。煤礦生產系統是一個由人-機-環境構成的復雜系統,影響煤礦工傷風險的因素錯綜復雜,各個因素之間相互關聯,相互影響,是典型的灰色模糊系統,所以可以考慮運用模糊綜合評判方法對煤礦工傷風險綜合評價。
1 模糊綜合評判方法
煤礦開采系統是由人員管理、機械設備和地質條件等組成的。影響礦井安全的因素眾多,大部分評價指標具有不確定性、模糊性,難以進行準確的定量分析和評價。而且,煤礦開采涉及的因素較多,包括開采、通風、地質、機械、人員培訓等,這些因素往往相互影響,相互制約。眾所周知,要評價一件由單因素確定的事物是比較容易的,但如果涉及的因素多了,就會出現從這個因素出發對它做出一種判斷,而從另一種因素出發又可以對它做出另一種判定的局面,這樣就產生一個綜合各方面因素做出一個更接近實際的綜合評判的問題,這就是綜合評判方法。模糊評價是利用模糊數學的基本理論來將模糊信息定量化,它合理地選擇因素域值,再利用傳統數學方法對多因素進行定量評價,從而科學地得出評價結論,該評價方法的優點在于不會忽略因素在程度上的差異[1]。進行模糊評價的過程是首先要建立影響評價因素集,并對各因素賦予相應的權數,然后由評價者建立評價集并對各因素進行評價,從而得出評價矩陣。最后由相應的權數與評價矩陣計算形成系統隸屬度,按最大隸屬度原則從評判級中確定系統的安全等級。模糊綜合評判決策的具體方法與步驟如下:①建立綜合評價的因素集。因素集是以影響評價對象各種因素為元素所組成的集合,用U來表示,即U={u1,u2,…un}為n種因素(或指標)。②確定因素權重。由于各種因素所處地位不同,作用也不一樣,可用權重A={a1,a2,…an}來描述。③建立綜合評價的評價集。評價集是評價者對評價對象可能做出的各種結果所組成的集合,用V表示,即V={v1,v2,…vm}為m種評判(或等級)。④建立模糊綜合評判矩陣。用rij(0≤rij≤1)表示vj對因素ui所作的評判,得到模糊綜合評判矩陣R=(rij)n×m。⑤建立綜合評價模型。確定R、A之后,通過變換得到B=A°R=(b1,b2,…bm),它是V上的一個模糊子集。其中,“°”為綜合評價合成算子。⑥確定系統總得分及評價安全狀況。綜合評價模型確定以后,可得出系統總得分。根據系統總得分,對照安全等級表就可以評價出安全狀況。
2 煤礦安全風險綜合評價指標體系
評價指標是風險評價的核心問題,不同的指標體系結構就會得出不同的評價結論。礦井安全風險評價中,并非評價指標越多越好,關鍵是評價指標在評價中所起作用的大小。結合影響煤礦安全的風險因素分析以及企業運行的實踐,嚴格按照煤礦安全風險指標體系的設計步驟和流程,將該指標體系分為自然地質條件及環境指標體系、人員素質及人身傷害情況指標體系、安全綜合管理指標體系和安全技術及措施指標體系四大體系。該指標體系能反映煤礦生產系統的所有主要影響因素,也能適應評價模型的需要,而且所有的定性指標和定量指標可量化。
煤礦風險綜合評價指標體系見圖1。其中,各指標的權重采用層次分析法(AHP)確定。
3 煤礦安全風險等級及煤礦商業保險費率制度
對煤礦個體而言,安全事故具有偶發性,若僅根據過去一至三年的事故發生率或工傷保險賠付情況,難以準確測算未來事故發生率或工傷保險賠付情況,從而難以進一步確定合理的浮動費率。若綜合考慮其它相對穩定的影響因素,如地質條件、機械化程度、管理水平等,對煤礦進行工傷風險綜合評價,再根據綜合評價的結果結合往年工傷保險賠付情況來確定各個煤礦浮動費率,將更全面。
3.1 煤礦安全風險等級的確定 采用模糊綜合評判方法,對煤礦的安全風險進行綜合評價,根據綜合評價量化結果確定煤礦風險等級,得分越多,煤礦的風險越小,反之,風險越大。煤礦安全風險分級見表1。
3.2 煤礦商業保險費率制度 按照高風險高費率的原則,商業保險公司根據表1中煤礦安全風險等級的劃分結果,一一對應地制定科學的費率標準,風險等級高的煤礦執行高費率標準,風險等級低的煤礦執行低費率標準,形成有別于其他行業的商業保險費率制度。同時,商業保險公司要建立一整套科學的煤礦安全績效考核機制,確定上浮或下調費率的條件和調整幅度,與煤礦商業保險費率制度配套使用。商業保險公司在對煤礦出售保險產品前,首先對煤礦進行風險等級評估,根據評估結果結合煤礦安全生產績效調查結果,綜合確定煤礦首次執行的保險費率標準。對于浮動費率,借鑒國外商業保險費率浮動經驗,根據煤礦企業安全風險評價等級進行劃檔,70分以上的降低費率,60-70之間的不變,60分以下的提高費率。發達國家保險費率浮動范圍一般在10%至40%之間,根據我國目前安全生產狀況還遠遠落后于這些國家的國情,為了促使企業更加注意安全、減少生產安全事故,可以將浮動范圍擴大到50%。
4 實證分析
本文選取了長春羊草煤業股份有限公司二井作為煤礦安全風險綜合評價研究的實例。
4.1 煤礦概況 長春羊草煤業股份有限公司二井,核定能力90萬t/a。斜井開拓,兩段主副井筒為礦井輔助提升,東側的兩段大傾角皮帶井為礦井主提升。現生產水平標高為-220m~-140m,東西兩翼各有一個炮采工作面,05年產量48.5萬t。平均走向長415m,平均傾斜長70m。上部為采空區,其余均為實體煤。羊草礦為高瓦斯礦井,相對瓦斯量10.83m3/t。礦井涌水量15m3/h,雨季時礦井涌水量最大可達30m3/h。本采區無鉆孔通過,與地面無水力聯系,地表也無導水裂隙。
4.2 安全風險評價因素集確定 本文數據來自該礦的調查數據,是由專家組(共4人)進行調研,對各種因素進行獨自評測,然后得出結果,安全技術及措施評判結果如表2。其他指標類似。
5 結論
①根據國外的經驗,商業保險產品進入煤炭生產領域,保險公司參與煤礦安全生產的監督與管理工作,有利于實現煤礦安全生產形勢的根本好轉。商業保險的事故賠付可以保障相關人員的利益,降低企業的生產風險,減輕國家的經濟和管理負擔。②商業保險產品進入煤炭生產領域,必須建立科學的煤礦風險評估體系和煤礦安全績效考核體系,以降低商業保險公司的經營風險。③科學合理的煤礦商業保險費率制度和浮動費率機制,有利于催進煤礦法制化、標準化、機械化等建設工作的發展。
參考文獻:
[1]李炎杰.我國實施煤礦業強制雇主責任保險的必要性及可行性研究[D].東北財經大學,2007.
[2]梁美健,楊光.保險業介入煤礦安全生產需解決的幾個問題[J].煤礦安全,2006.
[3]徐然.商業保險在煤炭業中發展問題的探討[J].金融與投資,2010,8.
[4]孟超.淺談構建煤礦本質安全管理體系的思考[J].神華科技,2010,2.
[5]徐桂香.煤礦工傷保險的現狀分析[J].產業經濟,2010,7.
[6]蔡和平.中德工傷保險法律制度比較研究[D].北京大學,1996.
[7]劉仲力.發展我國工程保險的對策研究[D].天津財經大學,2008.
[8]王文.工傷保險實行差別費率和費率浮動的設想[J].中國勞動,2003(2):15~16.
基金項目:
北京市職業院校教師素質提高工程資助項目(Funding Project of Competence Development Program for Beijing VET Teachers)。
作者簡介:
內部控制工作是最高管理層為保證經營目標的實現而制定并實施的,對銀行內部各部門與人員相互制約和協調的一系列制度、措施、程序和方法。根據巴塞爾協議《有效銀行監管的核心原則》,銀行內部控制主要包括三個方面的內容:(1)組織結構(職責的界定、審批權限的分離和決策程序);(2)會計規則(對賬、月季報告、定期試算等);(3)“雙人原則”(不同職責的分離、交叉核對、資產雙重控制和雙人簽字等)。隨著我國經濟和金融逐步融入國際大環境,這些規范的推行對于強化金融企業內部監督,整頓和規范行業秩序,都有著十分重要的意義。企業內部控制制度劃分為內部管理控制制度與內部會計控制制度兩大類。縱觀國內外,無論金融企業還是其他企業,財務會計工作一直是內部控制工作的一個非常重要的環節,本文將就如何進一步完善銀行財會工作內部控制工作談幾點看法。
一、銀行財務會計內控工作的難點
財務會計內部控制工作是財會人員根據制度和授權對本單位財務會計行為進行規范和制約的過程。有效的財會內部控制工作應該達到以下標準:其一,控制觸角攝入企業經營的各個環節和各個方面,不留下控制死角,即企業的各項經營管理活動均應納入財務會計控制范圍,用規范的會計語言核算、反映;其二,事權劃分明確具體,具有很強的操作性,即財會內部控制工作作為企業內控工作的關鍵環節能真正成為企業管理者的行為規范,操作性強;其三,控制程序規范,過程控制受到特別重視,即財會內部控制要形成科學的機制,尤其是把對經營管理過程的控制放在突出的地位,通過控制,能防患于未然;其四,具有良好的控制效果,財會內部控制的功能得到有效發揮。
而從目前銀行財會內部控制工作的實際操作來看,要達到上述標準,實施有效的內部控制,必須研究和解決以下四個問題:
(一)如何把握授權的度
事物變化的一般規律是由量變到質變。在這里“量”上的度起決定作用,當量的變化到了極限時,必然引起質的變化。內部控制制度的度量界定也就成為實踐中的一個難點。對于銀行負責人,既要保證其經營決策的相對獨立性和權威性,又要保證其經濟行為的效益性和廉潔性,權力的度量界定是關鍵一環。授權寬泛、權力過大,且控制不力,必然帶來管理上的漏洞,內部控制制度的效能不能得到有效發揮。因此,對內部控制執行人員的授權也有“度”的問題,對不同的控制環節要有不同權力授予,才能使內部控制制度有效運行。
(二)如何提高被控對象的受控度
有效的內部控制制度是對企業經營的現在所有環節和從事經營管理活動的所有個人實施全方位控制。這里就存在一個控制與反控制的問題。控制過松,內控工作形同虛設;控制過嚴,必然帶來受控對象的反作用力。提高被控對象的受控度顯然成為了內部控制制度實施中的難點。一般而言,內部控制的對象是企業的權力操縱者,是對權力操縱者的權力約束,也是對權力操縱者之間的權力制衡。這種獨特的控制對象決定了提高受控度的艱巨性,提高被控對象的受控度關鍵有三點:一是內部控制制度的科學性;二是主要決策者的受控程度是重點;三是要營造一個健康積極的內控工作環境,提高被控對象接受監督的自覺性。
(三)如何規范內部控制工作
提起內部控制制度,人們往往想起會計工作崗位在設置上管錢的不管賬,管報銷的不管稽核等。其實內部控制制度內容極為豐富,涉及到企業經營管理的所有方面和所有環節。對于一個復雜系統工程的控制,不能靠人治,也不能靠簡單的出納控制、財務管理來實現目標,而要靠一套科學規范的內部控制制度,用制度來規范管理者的行為,讓管理者在從事經營管理活動中,知道干什么、怎么干,按照規定的程序來完成工作任務、接受規定的控制管理。這里的重點是管理人員針對企業不同的經營管理活動制定出具體的標準,而要完成這個任務,就要有豐富的知 識、超前的意識、廣闊的視野和扎實的作風,這無疑又是一個難點。
(四)如何提高控制人員的熟練程度
財務會計控制是企業內部控制制度的中心,承擔內部控制職責的主要是財會人員。因此,財會人員要能真正擔當起內部控制的重任,更新知識、提高操作能力就顯得刻不容緩。
二、進一步加強銀行財務會計內部控制工作的幾點建議
銀行的財務會計工作必須緊緊圍繞中心工作開展,為中心工作服務。財會內部控制工作應在防范風險的前提下對業務工作的開展起積極的推動和促進作用。針對銀行財務會計內控工作存在的問題及難點,內控工作的改革應從以下幾個方面著手。
(一)從制度上明確規范財務會計工作的職責、程序和操作方法
制度是財會工作者的“圣經”,程序是財會工作的生命線。沒有科學、規范的財務會計規章制度,做好內控工作無異于無源之水,無本之木。大多數銀行已制定了比較系統的財務會計規章制度,但就現有的制度來看,仍需進一步完善:(1)內部組織機構。它是銀行各項業務活動計劃、實施和控制的組織基礎,其核心問題是合理的職責分工;(2)進一步規范財務會計崗位設置,完善內部牽制制度。明確與經濟業務事項和會計事項有關的人員職責,實行崗位分離,相互制約,保證財務會計內部控制制度有效實施;(3)重大的對外投資、資產的處置、資金的調度和其他重要的經濟業務事項的決策和執行應有明確的相互監督、相互制約的程序。應做到決策透明,流程公開,招標投標公平公正,從源頭上堵塞漏洞;加強對實物固定資產的管理,明確規定財產清查盤點制度。進一步完善實物資產購置、入庫、領用制度,完善固定資產報廢、核銷程序,堅持固定資產永續盤存辦法核對賬實;(4)制定統一的會計憑證規范,進一步完善會計檔案整理、裝訂、歸檔程序,保證會計憑證和會計記錄的完整性。
(二)控點與控面相結合,重視流程管理
點是割裂的,是局部;而面則是連續的,是系統,是整體。通過對各個財務會計業務風險點的控制固然可以明確責任,加強自律,提高核算質量,而加強流程管理則可以從更加廣泛的角度使內控制度相互銜接又相互制約的作用得以充分發揮。許多銀行現已投入使用的經費會計核算系統(如NC)已基本實現了點面結合,流程管理的作用非常明顯,而業務會計核算系統需要盡快進行升級改造,并與其他業務管理系統整合。
(三)強化和規范計算機系統在財務會計內控工作中的作用
電算化可以大大提高會計工作效率和水平,減少手工操作的隨意性。對電算化系統的管理是會計系統安全、正常運行的前提。要明確系統管理人員、維護人員不得兼任出納、會計工作;任何人不得利用工具軟件直接對數據庫進行操作;程序設計人員還應對數據庫采用加密技術進行處理;嚴格按會計電算化系統的設計要求配置人員,健全數據輸入、修改、審核等內部控制制度,保障系統設計的處理流程不走樣變型。
(四)建立內部風險評估、監測和快速反應系統
銀行要針對經營中存在的高風險業務,如資金業務、債券交易、項目開發、信貸管理等方面建立風險評價和監測機制。對每筆貸款、拆借、投資、外匯交易以及業務活動中涉及的不同交易對象、部門、行業、地區和國家,在開展業務之前,都應當事先測定風險指標或比率:對業務發生后的風險狀況要進行追蹤。健全風險信息反饋、評估機制,管理層要能夠隨時掌握自己所面臨的風險情況及可能的風險損失,對可能面臨的風險種類、內容、風險程度、風險發生等制定反應預案。
(五)相對保持財會機構、人員、制度的穩定性
近年來,銀行多次變更會計核算系統和內設機構,會計力量嚴重不足且流動性大,會計政策連貫性差,銀行會計人員疲于應付,財務會計內控工作的效能沒有得到充分發揮。在銀行改革取得階段性成果后,應相對保持財會機構、人員、制度的穩定性,避免因改革頻繁而增加成本,效率下降。
(六)加強財務會計工作的業務交流,切實重視財會人員知識的學習和更新,進一步提高財會人員的職業道德修養
會計人員自身素質是影響實施會計內部監督制度的重要因素:通過“他控”和“自控”,促使職業會計人員進一步樹立并增強正確的會計職業良心和職業責任感,進而達到會計職業道德不斷完善與升華的一種狀態。從某種意義上而言,內部會計控制的過程,也是會計職業道德的自律過程。職業道德要求會計人員具有客觀、公正、嚴謹的工作態度,敢于堅持原則和勇于執法、守法、護法,但會計人員是在復雜的會計環境下工作的,現實使會計人員常常面臨非常尷尬的處境,這客觀上也制約了財會人員在內部控制工作中的作用,因此,法律意識和職業道德培養問題是一項長期的、艱巨復雜的系統工程,對會計內部監督制度的有效實施非常重要,應常抓不懈,高度重視。