信息安全風險管理制度范文

時間:2023-09-10 15:22:27

導語:如何才能寫好一篇信息安全風險管理制度,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

篇1

關鍵詞:信息;安全;風險管理

引言

對于企業單位而言,信息資源是支撐工作正常運行的關鍵,囊括了企業的知識產權、重要數據、工作人員、信息處理設施等。信息安全風險管理成為企業單位的重要管理工作。但是目前我國企業單位的信息安全風險管理中存在著大量的問題,亟待解決,須采取有效的策略,才能保障企業單位的綜合發展。

1信息安全風險管理中存在的問題

國內的企業單位在信息安全風險管理方面都存在著一定的技術引導性,缺乏必要的流程控制和制度保障。認為信息安全的建設只要有高科技的安全技術設備,就萬無一失了。但事實并非如此,信息技術的發展雖然促進了信息安全風險問題的解決,但是沒有嚴格有效的管理,依舊會產生風險問題。所以說只依賴于科學技術并不能從根本上解決所有的信息安全風險問題,只有技術和相應的流程有效配合才能完成企業單位的信息安全風險管理工作[1]。

1.1信息風險意識不強

企業單位對于信息安全風險的問題和影響缺乏認識,管理層的重視程度不夠,通常只有在出現問題時,才會采取相應的策略,沒有持續性。目前,我國許多企業單位的信息安全風險管理方面的財力和人力投入太小,嚴重忽視了相關資源的投入,原有風險和新風險逐漸積累,攢下了許多的風險隱患。還有部分企業單位過于注重信息系統的運行階段,忽視了隱藏在系統開發和建設階段的風險,在系統的穩定性和安全性方面留下嚴重的隱患。而且,企業單位對于信息安全風險的認識嚴重不足,沒有切實意識到業務和客戶數據的集中也會引發風險的集中,缺乏對于控制風險和分散風險的慎重考慮。

1.2缺少風險管理人才

信息安全風險管理不僅要依靠技術,更依靠于人才。信息安全風險管理工作的最終效果根本上還是取決于人才。信息安全風險管理人才不僅要具備風險管理才能,還要具有良好的綜合素質和專業素養。我國企業單位嚴重缺乏這樣的風險管理專業人才,大多數管理人才由于缺乏信息技術專業知識,對于信息資產和脆弱性的識別不能做出準確的判斷,無法對信息安全風險狀況進行正確判斷,從而對企業單位的信息安全風險管理造成一定的影響。

1.3缺乏風險統一管理

我國大多企業單位都十分重視風險事項的具體管理,卻嚴重忽視了風險的整體控制和管理。在實施信息安全風險管理的過程中,將主要精力和時間投入到了具體事項的風險管理中,卻忽略了整體把握,沒有切實關注信息安全風險流程管理和技術之間的密切聯系。所以,最終導致信息安全風險管理的資源分配嚴重不均勻,缺乏統一的風險管理,從而對企業單位的整體信息安全風險管理的效果造成了嚴重影響。

1.4忽視信息風險預防和應急

現階段,我國的大部分企業單位的信息安全風險管理基本上是憑借自身的長期經驗加以管理,一般是事后風險管理。采取這種就事論事的管理方式,已經無法適應我國企業單位對信息化技術的依賴需求了。對于信息安全風險的預防和應急管理形同虛設,基本上停留在已有的規章制度檢查階段,風險評估工作也始終停滯在定性評估上,嚴重缺乏對風險的定量分析,這樣的風險預防和應急策略,將會嚴重影響企業單位的發展。

2信息安全風險管理的有效策略

2.1樹立信息安全風險觀念

樹立信息安全風險觀念主要從四方面進行,即優化配置,積極防御,全面統籌,強化內控。我國大多數企業單位的相關配置還不夠完善、優化,因此首先必須要優化配置,做到標準化和規范化,消除其中存在的隱患。而且,要積極建立有效的防御機制,控制未發生風險事件和已發生風險事件帶來的影響。同時,企業單位還要強化內部控制,明確系統開發人員和風險管理人員的職責,保證內部控制工作的有效開展。另,信息安全風險管理工作的開展,須自上而下,建立領導重視、部門協同參與的工作機制,發揮優勢,積極配合,將信息安全風險管理工作貫徹落實。

2.2建立健全的信息安全風險控制機制

在信息安全風險管理工作中,風險控制機制起著基礎性的根本作用,只有具備了良好的風險控制機制,才能使整個管理系統與自適應系統更加接近,從而在外部條件不發生變化的同時,能夠迅速地做出反應,進行策略調整,實現優化目標,保持良好的管理水平,保證信息安全風險管理作用的順利開展。風險控制主要包括六個方面,即基礎工作、責任機制、預防機制、通報機制、應急機制、團隊建設[2]。

2.3建立完善的信息安全風險管理體系

完善的信息安全風險管理體系,主要包括六個部分,有風險管理制度體系、標準規范體系、風險管理組織體系、風險管理策略體系、技術支持體系、應急處置體系。風險管理制度體系是有效規范企業單位信息系統開發運行等過程中的組織和個人行為的基礎,應切實根據自身情況,針對風險管理控制中的薄弱環節,制定相應的管理方式方法和規章制度,從而對關鍵過程進行有效監管。風險管理組織體系是指企業單位設置的專門的信息安全風險管理組織機構,是將管理部門細化到具體崗位,保證信息安全風險管理工作順利開展的關鍵[3]。技術支持體系,是運用網絡安全控制、系統安全控制、系統加密控制等高科技技術手段,建立不受外界侵害的保障系統,從而保證企業信息安全。除此之外,還必須建立健全的應急處置體系,這是企業單位信息安全風險管理體系中最關鍵的部分,只有全面建立完善的信息安全風險管理體系,才能保證企業單位的信息安全。信息安全風險管理工作是一項長期的工作,所涉及的范圍十分廣泛,其中包括員工和信息科技的每一個環節。信息安全風險管理體系只有在全員維護下,才能將安全體系落實到信息科技建設的具體環節,帶來真正意義上的信息安全。

參考文獻

[1]吳世忠.信息安全風險管理的動態與趨勢[J].計算機安全,2007(5):1-7

[2]包同崗,趙捷琴,祁之強.基于突變理論電網企業信息安全風險管理模型研究[J].山西電力,2014(4):45-49

篇2

關鍵詞:電力公司;營銷安全;風險評價;管理體系;研究

中圖分類號:F272 文獻標識碼:A

營銷管理體系的建立是電力公司發展的必然選擇,因為在電力市場中,各個電力公司如果沒有制定相應的規避風險的對策,其在市場競爭中終會被淘汰,因此說對電力公司來說,營銷安全風險評價非常重要,但是建立營銷管理體系更重要。營銷管理體系包含很多內容,從管理機構的建立到流程優化,都需要相關人員認真的完成,以此保證管理體系的科學合理。

一、電力公司營銷安全風險評價

電力公司營銷是市場競爭的需要,但是營銷本身存在著一定的風險,在電力公司進行電力產品營銷時,首先要明確其存在的風險,之后對這些風險進行評價,按照評價標準來決定選擇哪種適合的營銷策略,以便在市場競爭中獲得最大的營銷效益。其安全評價體系如下:

1市場風險評價。市場風險是電力公司營銷面臨的最重要的風險問題,因為隨著電力市場環境的改變,電力公司也會發生相應的改變,比如某些政策發生了變化,或者電力公司在面臨市場需求時沒有對此做出正確的分析評價,所以出現了供不應求或者供大于求的現象。市場環境中,電力公司需要考慮很多問題,比如消費群、市場信息以及國家的與之相關的政策變化,尤其是貸款政策的變化等,這些因素是電力公司需要對市場風險進行評價的關鍵點,只有掌握關鍵點,才能保證市場安全風險評價準確,為公司領導制定決策提供依據。

2經營操作風險評價。任何形式的經營操作都存在一定程度的風險,有些安全風險能夠為公司帶來發展的契機,但是有些風險則會使電力公司陷入困境,這是對經營操作風險進行安全評價的主要原因,如果經營操作風險已經超過了電力公司自身的經營的承受力,則需要盡可能的避免。其中有些經營操作風險存在的安全隱患非常突出,比如用戶信息安全隱患、用電檢查等問題,這些操作帶來的風險具有累積效應,一旦累積到一定程度,將會使電力公司陷入絕境,因此需要對此進行預先評價。

3電費安全風險評價。電能是電力公司主要的電力產品,也是主要經濟收入,但是在電費管理期間,因為管理人員沒有按照要求規范進行管理,比如抄核收電表等,進而產生了電費管理風險,除此之外,某些電力公司并沒有認真執行國家電費政策,所以用電用戶與公司之間出現了很多的電費糾紛,這些問題嚴重影響了電力公司的形象,因此在電力公司領導制定決策時,要盡可能避免這些風險,但是也需要將這些風險考慮進去,并且做好相應的應對策略。

4供電服務風險評價。電力公司的營銷就是希望能夠為用戶提供更多更優良的服務,但是我國的一部分電力公司卻沒有服務的意識,這是產生供電服務風險的根本原因,因為沒有相應的意識,所以其服務的質量難以保證,而且沒有建立相應的服務體系,因此出現了很多風險,其中最常見的就是客戶投訴等。

二、電力公司營銷管理體系研究

正是因為電力公司存在上述各種風險,導致其營銷效果并不佳,為了能夠在營銷管理中將風險控制在公司可以承受的范圍內,則需要建立營銷管理體系,針對風險類型進行營銷管理,將風險發生的機率降到最低,其主要采取的措施如下:

1建立并且完善營銷安全管理機制。任何一個公司企業的營銷管理都存在一定的風險,而風險管理是一件非常復雜的工作,因此需要建立一定的管理機制,將各個管理細節部門明確規定,從風險管理條款制定到風險管理具體的執行,都需要在管理機制體現出來。安全管理機制的制定需要結合電力公司的實際情況,不能脫離實際去制定。要想制定的條款能夠非常明確的落實下去,則需要建立專門管理機構,并且給予其一定的權利,提高其執行力。

2優化管理流程。電力公司營銷安全風險管理不僅需要質量,更需要效率,尤其是在面對突發的風險,需要具有快速有效的解決能力,否則風險就會變為現實,而提高管理效率的重要措施就是優化管理流程,一些不必要的流程要省略掉,既要明確責任,有要保證責任效率,動態管理與靜態管理相結合的方式,全方位、全角度對其進行管理。從縱向上方法進行優化,指的是整合垂直工作,對營銷安全風險管理的實施步驟進行安排,對那些不必要的監督和控制環節進行減少,提高工作效率;橫向上指的是整合水平工作,促使各個責任部門的工作人員可以對自己工作范疇內的風險進行有效的處理和控制,集中分散的資源,減少不必要的溝通。

3供電營銷安全風險管理制度標準保障。要想促進企業更好的發展,提高管理的規范化程度,非常重要的一個方面就是進行制度建設。對于電力公司營銷安全風險管理也是一樣的道理,需要構建相關的制度標準,在構建的時候,需要遵循這些原則,首先是完整性原則,指的是保證安全風險管理制度可以對公司經營管理的各個層面實現覆蓋,保證全體工作人員都可以積極參與進來,將控制作用充分發揮出來;其次是合理性原則,指的是要充分結合目前的管理體系以及公司具體情況,來優化和改善現有制度,對相關原則進行優化和細化,更加合理的制定風險管理制度,提高制度的可操作性。

結語

綜上所述,可知對電力公司營銷安全風險評價與管理體系進行研究非常必要,尤其是在電力市場發展的今天,對其進行研究具有一定的指導作用。從電力營銷的角度來說,我國電力公司面臨的最要風險就是供電服務風險,而產生這種風險的主要是因為電力公司沒有服務的意識,以此經常出現服務糾紛,這對電力公司的發展來說非常不利,因此在營銷管理時,要盡量的規避這些風險。

參考文獻

[1]李軼敏.工業企業營銷風險預警指標體系及綜合評價方法[J]. 時代經貿(下旬刊),2007(02) .

篇3

【關鍵詞】 工程設計企業 風險管理 對策

隨著企業的發展壯大,新情況、新事項逐漸增多,加之內外部市場環境的不斷變化,企業所面臨的風險日益加大。所以當今企業必須全面有效地開展風險管理工作,才能做到未雨綢繆,防微杜漸,保持和增強企業的競爭優勢。本文基于工程設計企業風險管理的工作實踐,認為風險管理工作可以從風險管理體系建設、風險信息識別與評估、風險管理策略和措施、監督與改進等方面來開展。

一、風險管理體系建設

企業風險,指未來的不確定性對企業實現其經營目標的影響。企業風險管理,指企業圍繞總體經營目標,通過在管理的各個環節和經營過程中執行風險管理的基本流程,培育良好的風險管理文化,建立健全風險管理體系,從而為實現風險管理的總體目標提供合理保證的過程和方法。

做好企業風險管理工作對提高企業風險防范能力、增強市場競爭力至關重要,有效的風險管理可以確保企業把風險控制在可承受范圍之內;確保真實、可靠的數據信息與溝通;確保遵守有關法律法規、企業有關規章制度和重大經營管理措施的貫徹執行;確保企業不因災害性事件或人為失誤而遭受重大損失。因此,企業應從上到下高度重視此項工作,應以現有的管理流程和規章制度為基礎,建立符合企業實際的風險管理組織體系和制度體系。

首先,根據企業組織架構特點建立整體覆蓋的風險管理組織體系,成立由企業領導擔任組長的風險管理領導小組,全面領導企業風險管理工作,并明確指定企業各職能部門及下屬各單位領導為本部門、單位的風險管理第一責任人。指定領導親自負責有利于明晰責任,提高對風險管理工作的重視程度。同時,為促進日常工作的有序開展,需在風險管理領導小組下設置具體職能部門為風險管理歸口部門,全面組織協調企業風險管理的日常工作,包括負責組織企業風險管理體系的建立、日常維護及改進,建立健全組織機構、工作流程和規章制度;組織收集風險信息,建立風險事件庫;辨識、分析、評價風險,完善內部控制系統;組織建立公司重大風險監控預警機制;指導、監督所屬各單位建立健全風險管理體系等等。企業其他各職能部門則負責對其職責范圍內存在的各類風險進行管理,下屬各單位應全面貫徹落實企業總體風險管理制度,按照整體要求做好風險管理工作。

其次,除了建立風險管理組織體系之外,企業還應根據自身情況制定風險管理制度體系,制定完善的相關制度和基本工作流程,為全面開展風險管理工作提供制度保證和工作依據。一般說來,企業風險管理制度包括:風險管理工作辦法、不同風險事項應急預案、風險控制程序等。風險管理基本工作流程為:收集風險管理初始信息進行風險評估制定風險管理策略提出和實施風險應對措施風險管理監督與改進。

二、風險信息識別與評估

有效的風險管理體系是企業順利地開展風險識別與評估工作的重要保障。企業應充分識別內外部情況,找準和找全現階段面臨的主要風險事項,并對其進行分類。一般來說,以管理要素為標志,工程設計類企業的風險可劃分為戰略風險、運營風險、財務風險、資金風險、投資風險、法律風險、海外風險七大類,每一類中又分別包含若干不同的風險事項。

各類風險包含的主要風險事項如下。戰略風險:包括戰略制訂、戰略實施、戰略動態調整等;運營風險:包括公司治理、重大決策、機構設立與注銷、市場經營、管理創新、合同管理、質量管理、技術管理、項目管理、人力資源管理、安全生產、節能減排、職業健康、國家安全與保密、宣傳與信息安全等;財務風險:包括會計核算、財務管理、資產管理、經費管理等;資金風險:包括融資、金融工具使用、資金結算、擔保、外匯管理等;投資風險:包括股權投資、項目投資等;法律風險:包括合同管理、合規審查、重大法律糾紛、知識產權保護、勞動用工管理等;海外風險:包括市場經營、市場環境、運營監控、海外投資等。

企業可根據識別出的風險事項建立風險事件庫,以便在風險管理過程中隨時查找、對照、評估效果、完善措施。同時,由于企業所處內外部環境的不斷變化,應對風險信息進行動態監控,風險管理歸口部門要根據不同階段風險事件的變化及時更新企業風險事件庫。風險事件庫應包含風險名稱、風險類別、風險描述、發生條件、風險后果、風險應對措施幾個方面。以工程設計類企業最常面臨的幾個風險事項為例,列舉風險事件庫相關內容(見表1)。

在實際操作中,風險識別和評估可采用問卷調查、集體討論、專家咨詢和調查研究等方法。企業各部門和下屬各單位處在企業生產經營管理活動的第一線,應注意在實際工作中查找和收集風險信息,分析風險發生的條件及可能性的高低,評估風險對企業的影響程度,提出重大風險,建立風險監控預警指標體系。企業風險管理歸口部門應在結合各單位、各部門提出的重大風險和風險監控預警指標體系的基礎上,提出整個企業層面上的重大風險和風險監控預警指標體系。

經過評估的風險,按照發生的可能性可分為經常、很大、中等、偶爾、極少五種情況;按照對企業的影響程度可分為災難性、重大、中等、輕微、可忽略五種情況。風險發生可能性很大并且會產生重大影響的,就應判斷為重大風險,需要引起企業高度重視。

三、風險管理策略和措施

依據風險評估結果,企業可結合自身條件、外部環境和發展戰略,根據自身風險承受能力,選擇風險承擔、風險規避、風險控制、風險分擔等適合的風險管理策略,并針對各類風險特點,確定風險應對措施。應對措施應滿足合規要求,滿足風險控制與運營效率及效果相平衡的原則,具有適用性、可操作性,并堅持在實際工作中嚴格貫徹執行。例如,對于日常流程和制度無法預控,一旦發生損失較大的重大風險,應制定專項風險應對方案;對于日常經營及管理活動中的重大風險,應針對風險所涉及的所有環節,制定或完善內控制度和涵蓋各個環節的全流程控制措施,由事后控制變事前、事中及事后全過程風險控制;對于其他風險,應針對風險所涉及的各項流程,把關鍵環節作為控制點,建立或完善內控制度和流程,將風險控制在可承受的范圍內。特別要注意的是,對于企業重大風險事項,均應在充分進行風險分析的基礎上,上報公司高級管理層(設有董事會的公司還應對上報董事會審議的事項進行規定)討論、決策,并由監事會(監事)進行監督。

風險管理的內控措施一般包括重要崗位權力制衡控制、授權審批控制、績效考評控制、利益沖突回避控制、經營活動分析控制、財產保護控制、重大風險預警控制等。風險管理措施的制定可采取定性和定量相結合的方法,并積極借助信息化手段推進風險管理措施的實現。

現以工程設計企業戰略制訂及調險為例,論述其管理措施。企業應制訂具有引領性和可執行性的發展戰略,否則可能會導致企業盲目發展,喪失機遇和動力,難以形成競爭優勢,甚至造成經營失敗。針對這類風險,企業制定了明確的控制要求:戰略規劃制訂前需進行詳細調研;應具有保障實現發展目標的實施路徑、保障措施;對戰略規劃實施情況進行分析,當外部環境發生重大變化時,履行適當程序調整規劃。再根據各項要求制定了具體的控制措施:首先,由各相關職能部門對分管領域業務進行分析預測,制定分目標,根據公司近年主要經濟指標情況和上級要求,在全面分析現狀和預測內外部環境變化趨勢的基礎上制定總目標;其次,根據發展目標確定重點任務和保障措施,要求具有指導性和可行性;最后,分析戰略執行情況和內外部市場環境變化情況,評估調整規劃要求,經決策層審批后年度工作計劃。

企業戰略規劃的制定和動態調整過程均嚴格執行控制措施,避免了因發展戰略脫離實際、偏離中心而導致過度擴張、經營失敗;也避免了發展戰略因主觀原因頻繁變動而導致資源浪費,甚至危及企業的生存和持續發展。

四、監督與改進

企業只有對風險管理工作進行監督和改進,才能實現整個管理環節的閉合。應建立全面風險管理監督機制,制定監督制度,明確檢查對象、內容、方法,明確各部門在風險管理監督中的職責權限、程序、方法和要求。應定期總結和分析已制定的風險管理策略、內控措施及專項風險應對方案的有效性和合理性,結合實施情況不斷修訂和完善。在重大風險,如公司發展戰略、組織結構、重要經營活動和業務流程、關鍵崗位員工等發生較大調整或變化時,還應組織對相關風險管控的專項監督檢查。

此外,企業還應從風險信息溝通、風險管理培訓、風險文化營造三方面為順利開展風險管理工作提供支持。注重風險管理信息的溝通,建立風險管理信息報送體系,明確風險管理相關信息的收集、處理及傳遞程序,確保信息及時溝通,促進風險管理工作有效運行;加大風險管理的培訓,在全面風險管理基礎知識及基本技能培訓的基礎上,建立高風險崗位的崗前培訓制度,加強對關鍵崗位風險管理理念、管控核心內容、操作規程的培訓;在內部各個層面營造風險管理文化氛圍,各級領導應在培育風險管理文化中起表率作用,積極傳播風險管理文化,牢固樹立風險無處不在、無時不在意識和理念。

【參考文獻】

篇4

銀行IT審計意義

目前,信息系統的正常運行已經成為銀行業務正常運營的最基本條件之一,信息科技在有力提升銀行核心競爭力的同時,信息科技風險也愈發突出和集中,信息科技風險控制已成為銀行業風險管理的重要內容,而IT審計作為銀行業風險管理體系的重要組成部分,其重要性和必要性已經日益得到銀行業管理層的關注。同時,國家相關部門對信息系統的管控也越來越重視,自2006年8月《銀行業金融機構信息系統風險管理指引》開始,銀監會正式對銀行科技風險進行監管,近年來推出一系列制度和措施(見表1),監管工作逐步走向規范化。通過IT審計來保證和監控全行的信息科技管控對各級監管政策法規的合規性,也成為銀行業實施IT審計的重要目的之一。

因此,銀行業加強和規范IT審計,既是自身發展和獲取競爭優勢的內在需要,也是監管當局的外部要求。

銀行IT審計標準

準確地運用標準和參照,成為順利開展IT審計工作的重要前提之一。

COBIT

COBIT(Control Objectives for Information and related Technology) 是由信息系統審計與控制基金會最早在1996年制定的IT治理模型。這是一個在國際上公認的、權威的安全與信息技術管理和控制的標準,也是目前國際上通用的信息系統審計的標準之一。COBIT是一個基于控制的IT治理模型,其制定的宗旨是跨越業務控制和IT控制之間的鴻溝,從而建立一個面向業務目標的IT控制框架。

COBIT本身并非針對IT審計的專門論述,其面向的使用者可以是企業中想通過改善IT過程實現經營目標的管理者,也可以是業務過程的所有者,即用戶,也可以為IT審計師。它在商業風險、控制需要和技術問題之間架起了一座橋梁,以滿足管理的多方面需要。在最新的COBIT5.0版本中,COBIT已經被稱作“一個治理和管理企業IT的業務框架”。

COBIT4.1版本中經典的體系框架一直為眾多使用者參考使用,它包括了實施簡介、實施工具集、高層控制目標框架、管理指南、具體控制目標、審計指南等一系列文檔(見圖1)。管理指南為每個過程提供了關鍵成功因素、關鍵目標指標和關鍵績效指標等,并根據這些指標對每個過程進行了成熟度模型的劃分;而審計指南,則就審計的控制目標、調查對象、需要掌握的證據及如何進行測試和評估做出了詳細的說明。

COBIT4.1版本中的流程參考模型將所有與信息系統相關的活動進行了劃分,主要包括34個流程,分屬4個域。而COBIT 5.0的參考模型涵蓋了治理和管理流程的完整集合,共分為37個流程。COBIT5.0流程參考模型是COBIT4.1流程參考模型的繼承者,同時也融合了風險IT、價值IT流程模型。COBIT的廣泛通用性也造就了它在應用上的弱點和難點,即COBIT中對相關流程和控制目標的描述過于籠統普適,需要使用者結合企業的實際情況和專業經驗進行較大的定制化方可實施。

因此,COBIT模型的最大作用是將IT過程、IT資源與企業的策略和目標聯系了起來,保障了企業的IT戰略目標和其業務發展目標的一致性,也在IT管理層、IT技術人員/用戶和IT審計師之間搭建了橋梁。

《商業銀行信息科技風險管理指引》

近年來,隨著銀監會信用風險、商業風險和操作風險管理指引的,以及“巴塞爾協議II”在銀行業內的逐步實施,推動了銀行內部風險管理機制的建立和健全。但是,在全面風險管理的框架下,目前銀行的信息科技風險管理機制滯后于業務風險管理體系的發展,并未建立體系化的風險管控機制,成為了銀行風險管理體系中的短板。這主要體現在,信息科技風險治理組織不健全、風險管理制度不完善、風險處理過程規劃依據不充分以及風險監控指標不明確等方面。

2009年的《商業銀行信息科技風險管理指引》(以下簡稱《指引》),定義了商業銀行信息科技風險的總體框架,即在當前商業銀行普遍的信息科技現狀下,可能存在的重大信息科技風險的范圍,使商業銀行的風險管理過程,能夠集中精力在相關領域中。

《指引》確定了九大管理領域,即:信息科技治理;信息科技風險管理;信息安全;信息系統開發、測試和維護;信息科技運行;業務連續性管理;外包;內部審計;外部審計。這些領域覆蓋了信息科技管理的大多數重要活動,這些活動中存在的風險,可能會對業務產生重大影響,因此對這些領域的風險識別和管理,應當在信息科技風險管理中優先對待。

在這九大領域中,IT審計占兩個,分別是內部審計和外部審計。而《指引》本身,就是一個針對銀行的框架完整的IT審計標準,銀行可以參考這個標準,開展IT審計工作。

IT審計標準選擇

實踐中使用的標準遠不止上述兩個,而且,這兩個標準建立本身就參照了很多IT相關的較為成熟的標準。如,COBIT制定時參照的標準就有ISO系列的相關IT技術標準、審計行為準則等等;《指引》其中“信息安全”管理領域的內容建立就是參照信息安全管理體系的國際標準ISO27001。

篇5

【關鍵詞】電力企業信息安全管理;組織管理;失誤因素

1 電力企業信息安全管理中組織管理失誤的分析方法

電力企業信息安全管理中的組織管理失誤分析法(英文:Cognitive Relia-bility andErrorAnalysisMethod,即CREAM),是可靠性分析法的典型代表,具有追溯分析功能。通過CREAM的應用,可以將失誤事件的外在表現形式稱為失效模式,并且將引起這些失誤事件的直接原因定義為前因。實踐中,前因可分為具體的前因、一般性前因,CREAM分析法是以失效模式作為出發點。首先,通過分析失效模式的一般前因、具體前因,得到失效模式前因表,在表中選定一個前因作為后果,然后分析引起這一后果的可能前因,最終得到包含這一后果、可能的前因追溯表;再以該可能前因為后果,分析可能的前因,通過連續不斷的尋找,最終找到引起事件失誤的根本原因。

2 在電力電力企業信息組織管理過程中,開展多項管控措施、分三步走

第一步,從思想上加強重視。實踐中,應當認真學習貫徹違規外聯、外網郵箱發送的要求,嚴格按照“業務工作誰主管,保密工作誰負責”以及“統一領導、分級負責”的原則,將信息安全保密職責有效地落實到人,讓每個員工熟悉、掌握保密工作的基本要求和規范。

第二步,深入檢查,全面整改。實踐中,應當嚴格按照檢查內容檢查,一定不能留死角、搞形式。在檢查中發現的問題,要立即糾正,認真整改,對存在嚴重問題的單位要監督整改,并組織復查;發生泄密、違規問題時,一定要嚴肅查處,必要時還要追究責任人的責任。

第三步,嚴格管理,務求實效。要進一步落實保密工作責任制,堅持標本兼治、系統治理,把檢查活動與日常保密工作安排結合起來,邊檢查邊整改,以查促管、以查促改、以查促教、以查促防,確保檢查取得實效。

3 電力企業信息系統安全管理的必要性

電力企業信息系統安全管理,是企業在一定范圍內建立起來的信息安全目標和方針,并通過努力完成目標。對于電力企業信息安全管理而言,可表示為方法、目的、基本原則和實施過程等要素集合,作為直接的信息安全管理結果。2014年8月,某技術質管部專責高某通過電子郵箱將創新成果--《電力設計企業基于桌面云技術的信息》以附件形式經壓縮、更名后在沒有經過加密的情況下,發送到某部門專家評審組;由于附件內容出現“保密”等敏感詞,該郵件被公司外網郵件攔截系統攔截。經現場查實,郵件均不涉商業秘密,但違反了“工作郵件只限于公司內網郵箱發送”規定。由此可見,電力企業信息系統安全管理工作非常重要,也非常有必要。通常情況下,電力企業信息安全管理工作主要包括制定信息安全管理的策略,合理、科學的對電力企業信息安全工作進行組織管理,具有非常重要的作用。電力企業應當提高全體員工的信息安全意識,加強電力電力企業信息內外網安全管理。第一,內、外網電腦都必須安裝三種軟件,即北信源、天以及趨勢殺毒。軟件有內、外網版本之別,而且客戶端也不同;第二,遵守專機、專網之規定,內網電腦不能與外網相連接,外網電腦不能連接內網,家用電腦不能接入內網使用,尤其是來歷不明、使用背景不明的電腦,一律禁止接入內網系統。

4 電力企業信息安全管理中組織管理常見失誤

近年來,隨著市場經濟體制改革的不斷深化,雖然電力企業信息安全管理水平有了很大程度的提升,但電力企業信息安全管理過程中依然存在著一些問題與不足,總結之,主要表現在以下幾個方面:

第一,信息安全措施和技術手段不成熟。對于大多數企業而言,在信息系統建設過程中欠缺完善的安全手段和措施,嚴重影響了安全措施的制定與執行。

第二,電力企業信息安全風險控制不到位。實踐中可以看到,很多企業在信息化規劃與建設過程中,對信息安全的前期分析比較欠缺,將分析對象主要集中在技術層面研究上,很難有效解決企業安全信息系統操作失誤、缺陷與不足等安全問題。

第三,信息安全意識不強,缺乏有效的安全管理機制。對于部分企業領導層而言,對信息安全的重視不夠,對潛在的各種風險和安全隱患問題分析不到位。

5 電力企業信息安全管理體現構建的有效策略

基于以上對當前企業安全管理中的問題分析,筆者認為要想減少和控制電力企業信息安全管理中組織管理失誤現象, 應當根據企業實際生產運營狀況,以IS027001信息安全管理體系標準為基礎,從組織、技術、管理以及運行和監督這等方面入手,對現有的信息安全管理架構進行改進和完善,增加運行、監督環節。

5.1 提高對電力企業信息安全的認知度

針對企業員工對信息安全知識掌握不足的現狀和問題,通過宣傳、教育和培訓等方法,提高企業全體員工對信息安全的認知度。首先,加強信息安全宣傳教育。電力企業信息安全宣傳的目的在于讓全體員工清楚地認識到信息安全管理工作的重要性,了解信息安全管理目標,以此來提高企業員工的信息安全管理意識。

5.2 建立健全信息安全審計機制

內部審計是對電力企業信息安全管理體系建設與實施情況的評價,定期組織審計活動,以此來促進安全管理體系的改進與完善。企業的信息安全政策、規范制度是信息安全管理工作得以有效開展的重要依據,因此審計工作的主要內容是檢驗信息安全標準的符合性、執行情況。在審計過程中,主要包括如下內容,即檢驗是否按照要求制定規章制度、執行細則;檢驗員工對的規章制度執行狀況,對審計結果的整改落實情況進行核查;同時,還要對信息安全控制措施的應用效果進行全面檢查,確保評估的有效性。

5.3 建立和完善信息安全風險管理制度

信息安全風險,即威脅利用系統弱點對相關信息資產造成破壞、損失的可能性,信息系統安全與否,主要取決于其風險是否己在現有措施條件下實現了最小化,而非絕對沒有風險。

篇6

關鍵詞:商業銀行;信息資產;風險管理

中圖分類號:F832

文獻標識碼:A

文章編號:1006-1428(2006)07-0030-03

一、銀行信息資產風險管理概念及其現狀

銀行信息資產,是指銀行業金融機構運用信息技術處理業務活動的信息系統及其所產生的生產經營信息、研發和服務能力、管理水平以及其他與信息化相關的各種有形和無形資產。銀行信息資產風險。是指信息資產在形成、運用、管理過程中產生的各類風險。在銀行業務與信息化高度融合的業務處理系統、信息‘;680987257L;’管理系統和決策支持系統中,存在大量信息資產風險。它不僅涵蓋了傳統的操作風險、信譽風險,而且還包含了在銀行的經營管理過程中,所表現出的許多與信息化相關聯的其他類型風險。

商業銀行的內控應該以風險管理為中心,尤其是銀行信息資產的風險管理。目前雖然各銀行都有自己的信息安全主管部門,并作為信息安全的建設者和維護者,對信息安全有著豐富的現場經驗與專業經驗,但由于他們身兼運動員和裁判員雙重身份,所以很難向最高管理層保證信息安全的有效性。因此,建立科學的信息風險監督機制,對加強銀行風險管理,確保銀行信息系統的安全穩定、持續有效地運行,顯得尤為重要。

新巴塞爾協議對商業銀行的風險管理提出了更高的要求,即銀行業不僅要在宏觀管理層面上,有統一的風險管理戰略、風險管理政策、風險管理制度、風險管理文化,也要在微觀操作層面上,全面考慮包括信用風險、市場風險、操作風險等在內的各種風險管理。風險管理必須逐步應用于信貸決策、資本配置、貸款定價、經營績效考核等方面,貫穿于業務經營管理的全過程。對于操作風險的管理,直接涉及到對銀行信息系統的安全管理,因此,加強操作風險的管理,就必須高度重視銀行的信息資產風險管理。

根據新巴塞爾資本協議的精神,世界上已有不少國家的監管當局已經開始探索銀行信息資產風險監管的新方法,我國也不例外。

在2004年2月出臺的銀行業監督管理法中明文規定:“要對銀行業金融機構運用電子計算機管理業務數據系統進行檢查?!边@成為銀行信息資產風險監督的最初起源。信息風險監督是指對特定環境中的信息系統及其處理的傳輸和存儲的信息的保密性、完整性和可用性等進行監督,進而對其安全性進行風險分析、評估,找出潛在的致命缺陷和易被忽略的問題,為信息系統的安全設計,選擇合理的安全產品和安全管理提供可靠的依據。信息風險監督的內容包括信息系統的物理安全、系統安全、網絡安全、技術安全保障和安全管理控制五個部分。

2005年初,銀監會提出了《銀行業信息資產風險監管暫行辦法(送審稿)》。從最初的《銀行業金融機構運用電子計算機管理業務數據系統的監管檢查辦法(征求意見稿)》,到后來的《銀行業金融機構計算機信息風險監管暫行辦法》,再到如今的《銀行業信息資產風險監管暫行辦法(送審稿)》,可以看出,銀監會對商業銀行信息資產風險管理的監管思路在不斷走向成熟和趨向系統化。這既是我國金融業適應金融全球化趨勢和新巴塞爾資本協議強調金融風險管理的要求,也是我國金融業迎接跨國銀行的競爭,提高核心競爭力的需要。

當前,我國商業銀行信息資產存在以下風險:

1.信息系統軟硬件本身存在著很大的脆弱性。

一方面表現在設備的自然損耗、制造缺陷和不可預測的自然環境因素,如火災、水災、地震、戰爭等不可抗拒的自然災難。另一方面表現在由于技術發展的局限和人類的能力限制,面對龐大的操作系統、復雜的應用程序,在設計之初人們不能認識所有的問題,失誤和考慮不周在所難免。

2.銀行數據傳輸網絡的脆弱性。

隨著金融網上業務的拓展,網上銀行、移動銀行、電子商務等,已成為銀行追逐的利潤增長點。銀行業務系統要順應開放和互連的趨勢,其信息安全范疇已經突破了以業務系統物理隔離和協議隔離為基礎的傳統銀行信息安全,在公網環境下防止黑客、病毒的破壞,在Internet上保證金融數據的安全采集、安全存儲、安全傳輸和安全處理,將是金融信息系統建設面臨的重要挑戰。

3.安全技術保障的欠缺。

當前,我國金融業信息安全建設,在整體安全系統、內部網絡安全監控與防范的、智能與主動性安全防范體系、全面集中安全管理策略平臺定制等方面,都有很多不足之處。

4.信息資產的結構和質量存在不足。

目前,我國諸多商業銀行大多是國有銀行,并且按地區按部門分割現象嚴重,其信息資產的功能和結構也比較僵化,業務流程不暢,組織結構和風險管理缺乏彈性,快速反應能力不足,不能及時適應競爭環境的變遷和客戶需求的變化。

二、實施商業銀行信息資產風險管理的措施

1.要有前瞻性的信息資產設計戰略。

即首先要建立集中統一的面向業務目標的端到端的信息資產戰略及解決方案。其包含的主要內容有:支持業務戰略的明確的信息資產戰略;以優化的技術方案實現業務功能;彈性的、靈活的信息資產基礎設施;信息資產投資計劃、信息資產規劃和管理。尤其是信息系統的設計要具有超前眼光,能支撐起銀行未來的業務發展。因此,總行領導和相關信息資產主管必須具備非凡的洞察力和專業勝任能力,必須明確當前和未來客戶的類型及需求特征。

此外,總行應對財務管理信息系統實行統一核算模式,打破原來財務系統按部門或地區分割的模式,總行的信息管理要隨時能夠反映和監控全行所有部門、所有網點的運營狀況。

2.建立適應客戶需求變化的信息資產風險管理統一框架。

內容包括風險管理框架的統一設計;風險管理業務及信息技術流程的建立;信用風險管理、資產負債管理、反洗錢及智能預警等信息資產系統的建立和實施。還包括全面支持核心業務能力和全行風險管理、全行單一的客戶視圖及多渠道整合解決方案;面向服務架構(SOA,Service-or-ientedArchitecture)的信息資產系統設計;提供強大的新產品創新支持等。

在完成信息資產系統基礎設施的集中后,商業銀行的業務流程整合、業務信息整合、應用整合和業務控管應進一步向總行、省行集中。實施優質資源的整合,提高風險管理的整體經濟效果和效率。

3、建立與現代銀行治理結構相對接的信息資產日常風險管理規范。

隨著銀行業務跨地區跨國家的發展和銀行客戶業務的日趨復雜化。銀行承擔的責任和風險也日益加大,尤其是信息資產的風險日趨集中,那么有效的內部控制系統和公司治理規范就成為化解銀行風險的有效工具。

因此,根據國內外關于銀行公司治理的規范要求,建立運行有效的內部控制制度,提高信息透明度和受托責任問責機制。加強常規性的風險管理,是保證銀行穩健經營的根本保證。根據IMF的公告,內部控制是一套按持續性基礎控制組織活動的機制,這些活動來自組織的中心、部門或分部,有效內部控制的關鍵元素是牢固會計和信息系統的有效運行。并擁有良好的適應性的控制文化。

商業銀行信息資產風險管理應根據相關法規的要求,建立有效的激勵約束機制,按照股東大會、董事會和監事會等機構的職能和性質,構建多重防御體系,并將風險監控和增強信息透明度相結合,綜合運用現場檢查、非現場分析與評價、規章指引、強化市場約束等手段,提高風險管理水平。

4.設立信息資產風險監控指標。

首先對銀行業務過程按照控制規范的要求,進行風險控制點的分解,并設立相應監控指標作為風險預警信號,由系統自動檢查和評價,并在狀態異常下自動報警。主要指標可分為三類。分別是關鍵業績指標KPIs(key perlormance indicators),過程主管指標POIs(process owner indicators)and風險分析指標RAIs(risk analytical indicators),這三類指標可持續適用于銀行業務微觀過程和交易方法,并通過比較銀行風險點監控目標與實際指標的差異,來加強信息資產過程控制。

如可將銀行信息資產監控過程劃分為一體化監督控制、審計跟蹤、風險分析和履約事項監控等過程,每個監控過程通過包含信息自動更新的現場知識管理系統實施在線評價和過程審計,以促進銀行業務內部規則的溝通和過程變革的管理。

各風險控制點指標由過程監控人采集,并負責進行風險等級劃分和報告,風險控制點主管按照事件發生的概率評價各風險程度和預計損失大小,這種信息被及時傳遞到相關業務決策部門,以幫助銀行各級部門提前作好風險防范。

5.加強對信息資產的過程審計和風險驗證。

銀行可在信息系統當中。對信息資產的各環節設立微處理器進行記錄和控制。銀行內部審計師使用微處理器的步驟作為審計清單。并評價過程負責人所作的風險自我分析,評估執行的過程,和風險自我分析的準確性。這種方法有利于審計師及時跟蹤重大風險和異常狀況。提高審計的成本效益比。

如銀行的經營風險矩陣可按0到5五級風險矩陣排列,這種風險評級要求有風險因子概率和潛在的損失數量。并按照銀行的風險分類調整這些數字,對業務線的風險水平作出估計。一旦按業務線的估計完成,一張風險及其暴露表就生成。按照巴塞爾協議計算的資本分配條款及其風險大小也自動顯示出來,這些風險分析及分解方法是重要的審計計劃和審計資源分配工具。

銀行可將業務處理的廣泛文件記錄都分解給不同的微處理器。使用這些微處理器作為控制工具的一個前提是這些微處理器的都在公司的內部網上。這些微處理器的圖示可描繪風險結構中的不同風險,并進行風險預警。

銀行信息資產分類指標分別是指關鍵業績顯示指標、過程主管顯示指標和風險分析顯著指標。其中關鍵業績顯示是指有助于戰略監督和審計分析評價的宏觀指標。如凈資產報酬率、毛利率和銷售成本率;過程主管顯示指標是指在功能績效中支持過程主管的分析指標,如一段時間單位客戶的接待次數,客戶、產品交易的總量;風險分析顯示指標是對每個具體的局部單元風險的量化,如錯誤數、微處理器的有效記錄數,后臺徼處理器在一段時間的差錯數。從目前來看,越來越多的銀行在信息資產中使用SAP系統和它的關系數據庫來進行計量和方便系統監督和例外事項的報告。根據SAP和其他公司系統所得的關鍵計量指標逐漸出現在為微觀過程、交易和戰略轉移監督服務的指數形式中,例外事項預警也根據精心擬定的協議提供,決定它們是否被傳遞到下列實體,如過程主管、高管人員、內部審計師或外部審計師。

參考文獻:

[1]秦尚民:掌控全成本,構建商業銀行盈利能力,中國商業銀行經營管理高層論壇,http://省略 2005年4月9日,新浪科技

[2]Bell,T.B.,Mars,F.O.,Solomon,I.,and Thomas,H.,Auditing Organizations Through aStrategic-Systems Lens:the KPMG Business Measurement Process,KPMG,Peat Marwick LLP,Montvale,NJ 1997

[3]CICA/AICPA.1999.Continuous Auditing,Reseamh Report.The Canadian Institute of Chartered Accountants,Toronto,0ntario

[4]Secretariat of the Basel Committee on Banking Supervision,Bank for International Settlements,The New Basil Capital Accord,January 2001

篇7

一、我國商業銀行風險管理存在的問題

現代商業銀行風險管理的三駕馬車是體制、技術、文化。體制是風險管理實施的組織保證,技術能夠有效地控制風險,文化理念則可以保證技術、體制的正常實施。目前來看,我國商業銀行風險管理存在如下問題:

(一) 缺乏完善的風險管理體制

良好的公司治理結構和明晰的產權制度是風險管理體制的關鍵所在,也是國外商業銀行在風險控制和管理中的制勝法寶。發達國家商業銀行都是按照嚴格的法律程序組建的股份制商業銀行,運作規范,具有良好的公司治理結構、完善的產權制度、有效的激勵機制、約束機制以及較高的風險控制和管理能力。

我國現代商業銀行制度還未真正確立,現代公司治理結構也不盡完善。與之相應的是風險管理體系不夠健全,實施有效的風險管理的基礎比較薄弱,表現為:商業銀行風險管理體制的獨立性差,風險管理受外界因素干擾較多;風險管理制度缺乏系統性和操作性;風險管理隊伍不強,特別缺乏精通風險管理理論和風險計量技術的專業人才等。

(二) 風險管理方法及技術水平落后

目前國際金融市場上,各種金融衍生工具層出不窮,金融創新業務在銀行業務中占據著越來越大的比重。這種情況導致了金融風險與市場不確定性因素的不斷增大,使銀行風險管理日趨復雜。為此國際銀行大量運用數理統計模型、金融工程等先進方法進行風險管理。與上述相比,我國商業銀行風險的突出缺陷是重定性分析、主觀性強,缺乏量化分析手段。在風險識別、度量、監測等方面客觀性弱,在信用風險測量方面存在工作量過大、成本過高、外部評級資料缺乏等現實問題,在市場風險、操作風險的測量方面也存在著巨大困難。因此,把握風險管理的發展趨勢,提高風險管理方法,是當前我國銀行業風險管理面臨的重要工作。

風險管理文化是商業銀行內部控制體系的重要因素,它決定了商業銀行經營管理過程中的風險觀念和行為模式,滲透于銀行業務的各個環節。我國商業銀行在風險管理上出現問題,很大程度上不是因為缺乏風險管理系統、政策和程序,而是風險管理文化的缺失不能使這些系統、政策和程序發揮應有的作用。具體表現為:

第一,不能正確處理業務發展和風險管理的關系,在強調業務發展時往往忽視風險管理,而在強調風險管理和控制時,又通過少拓展業務來逃避風險。

第二,風險管理理念不全面,仍以信用風險管理為主,對市場風險、系統風險和操作風險重視不夠。

第三,沒有全員風險管理和銀行業務全過程風險管理的意識,只把風險管理看作是風險控制部門的工作。

(三)會計人員素質低下

會計人員本身素質低下,不求進取。有些會計人員業務不精,法律意識不強;有的會計人員沒有受過正規的教育或培訓,默守陳規,不求上進,缺乏鉆研業務、精益求精的精神,缺乏職業理想和敬業精神。業務知識貧乏或知識老化,專業技術水平低下,無法按照新規定開展工作,同時,由于不學法,不懂法,對會計準則、會計制度也知之甚少。所謂無知者無畏,由于他們不懂業務、不懂法,因此一些會計人員既談不上遵紀守法,更不能依法辦事了。有些會計人員缺乏職業道德。像上述所講的第一類會計人員其本身就愛占小便宜,所以這一類會計人員勢必會在經濟上犯錯誤,尤其在建立市場經濟體制的過程中,社會不良風氣給會計人員職業道德造成了重要的影響。人們在追求物質利益時,個人主義、利己主義、享樂主義等不良思想逐步抬頭,私欲不斷膨脹,削弱了愛國主義、集體主義、全心全意為人民服務的思想,部分會計人員不顧會計行業實事求是、客觀公正的道德規范。在個人利益的驅使下,不顧一切地故意偽造、變造、隱匿、毀損會計資料,他們利用職務之便監守自盜,大肆貪污、挪用公款,以滿足自己的私欲,最終以身試法,甚至走向斷頭臺。

二、會計風險控制的具體措施

(一)建立多層次會計控制體制,明確各層次會計控制的具體目標

控制系統是一個有組織的系統,根據內外部的各種變化而進行調節,使系統保持某種特定狀態,從這個意義上講,控制是一種聯系與調節,是保證系統在變化著的外部條件下,完成某種目標的行為。因此,目標是控制的前提,是先決條件,也是促成內部控制的要件,沒有目標,就談不上控制。

銀行有著自己的經營目標,也有著明確的內部控制目標?!都訌娊鹑跈C構內部控制的指導原則》中明確提出:銀行機構內部控制目標是“有利于查錯防弊,堵塞漏洞,消除隱患,保證業務穩健運行,確保將各種風險控制在規定的范圍內,確保自身發展戰略和經營目標的全面實施。”為了確保總體目標的實現,應在統一認識、明確總體目標的基礎上,將目標責任層層分解、細化,確立各層次會計控制的具體目標,形成一個明確、具體、完整的目標體系;建立多層次的會計控制體制,使每個群體和個人的行為都處在他人的監督之下,同時以利于不同的人從不同的視角關注企業內控的不同方面,使內部控制目標具體化,以保證總體控制目標的實現。

(二)按照相互制約原理,建立科學的內控制度體系

內控制度是內控目標得以實現的充分必要條件。應根據人民銀行《加強金融機構內部控制的指導原則》及財政部《內部會計控制規范》,按照分工牽制、授權制約原則,結合自身經營的規模和業務特點,制定科學合理的內控制度,并制定內控制度實施細則,使內控制度形成體系。

內控制度無論是單獨設置還是繼續在會計制度中體現,設計時均應充分考慮制度的嚴密性、有效性、先進性和可操作性,并充分發揮“四性”之間的能動作用。制度建設時,在思想上要樹立三個觀念:一是從防止業務人員工作差錯為主轉變為以防范銀行風險為主;二是要樹立信息安全觀念,使計算機信息安全管理成為內部控制的關鍵環節;三是要有全局觀念,各項制度既相對穩定,又能隨環境與業務的變化能動應變,形成有機整體。

所以銀行業必須嚴格按照會計規章制度,合理確定會計人員崗位和崗位職責,制定具有較強的實用性、針對性、可操作性和規范性的崗位操作規程,確保會計安全,無事故和案件發生。加強對會計崗位人員的工作授權。如辦理銀行匯票的授權、信用卡限額的授權、資金劃撥的授權等,使可能的貪污犯罪現象得到有效的遏制。完整的內部會計控制制度體系至少應包括管理層次、操作層次兩個方面。管理層次會計控制制度建設,應根據有關法律法規的要求,以金融企業自身業務情況為出發點,從改進經營方式的角度對會計內控制度提出要求,對會計風險進行全面防范和控制。

(三)分析重點控制環節,完善會計核算程序

會計是銀行業務的基礎,完善的會計核算體系、核算程序是內部控制系統的中心。要按照銀行業務發展和科技進步的要求,分析核算程序中的重點控制環節,尤其對聯行結算等要建立一套嚴密的、呈剛性約束的會計操作程序和賬務處理系統,以強化會計內部控制的約束力。一方面要規范會計核算流程,提高控制技術,強化會計核算流程的硬性約束。另一方面會計核算必須嚴格遵守銀行會計制度及支付結算辦法的規定。正確使用會計科目,遵守記賬規則,準確反映表內表外業務,密押、印章、憑證、賬表必須嚴格管理,聯行印押必須分管,并建立交接登記制度;各種有價單證和重要空白憑證均要設簿登記,表外核算,專人保管,嚴格執行會計業務操作規程。以真實、有效的憑證為依據,進行賬務處理,要有賬有據,當時記賬、當日結賬,達到賬賬、賬款、賬據、賬實、賬表、內外賬務全部相符。正確計算存、貸款利息,合理合規地列支各項費用及稅金,正確反映各項收入,確保會計核算期間數據的真實、完整。

(四)按照自律、激勵與控制原則,進一步強化人員素質和行為準則

篇8

第一條 為規范和促進互聯網支付業務發展,防范支付風險,保護當事人的合法權益,根據《中華人民共和國中國人民銀行法》、《非金融機構支付服務管理辦法》等法律制度,制定本辦法。

第二條 支付機構提供互聯網支付服務,適用本辦法。

本辦法所稱支付機構是指依據中國人民銀行《非金融機構支付服務管理辦法》規定,取得《支付業務許可證》,獲準辦理互聯網支付業務的非金融機構。

本辦法所稱互聯網支付是指客戶為購買特定商品或服務,通過計算機等設備,依托互聯網發起支付指令,實現貨幣資金轉移的行為。

第三條 按照支付機構提供的支付服務方式不同,互聯網支付分為銀行賬戶模式和支付賬戶模式。

銀行賬戶模式是指付款人通過支付機構向開戶銀行提交支付指令,直接將銀行賬戶內的貨幣資金轉入收款人指定賬戶的支付方式。

支付賬戶模式是指付款人直接向支付機構提交支付指令,將支付賬戶內的貨幣資金轉入收款人指定賬戶的支付方式。

第四條 支付機構開展互聯網支付業務,應擁有并運營獨立、安全、可靠的支付業務處理系統,該系統及其備份系統的服務器應設置在中華人民共和國境內。

第五條 支付機構應當遵循“了解你的客戶”原則,建立健全和執行客戶身份識別制度。

第六條 支付機構不得為客戶提供賬戶透支、現金存取和融資服務。

第七條 支付機構應按照中國人民銀行相關規定,履行反洗錢和反恐怖融資義務。

第八條 支付機構應遵循安全、效率、誠信和公平競爭的原則,為客戶提供可靠、便捷的互聯網支付服務,對提供互聯網支付服務中獲取的客戶身份信息和交易信息予以保密。

第九條 支付機構開展互聯網支付業務,應建立有效的業務管理制度、內部控制制度和風險管理制度。

第十條 支付機構開展互聯網支付業務,應遵守相關法律制度,不得損害國家利益、社會公共利益和客戶合法權益。

第二章 支付賬戶管理

第十一條 支付賬戶是指支付機構根據客戶申請,為客戶開立的具有記錄客戶資金交易和資金余額功能的電子賬簿。

根據賬戶開立主體不同,支付賬戶分為單位支付賬戶和個人支付賬戶。

單位支付賬戶是指客戶憑機關、團體、部隊、企業、事業單位、其他組織等組織資質以單位名稱開立的支付賬戶;個人支付賬戶是指客戶憑個人身份證件以自然人名稱開立的支付賬戶。

個體工商戶憑營業執照以字號或經營者姓名開立的支付賬戶納入單位支付賬戶管理。

第十二條 支付機構應根據審慎性原則,確定開立支付賬戶客戶的資質。

第十三條 支付賬戶的開立實行實名制。支付機構對客戶身份信息的真實性負責。支付機構不得為客戶開立匿名、假名支付賬戶。

第十四條 個人客戶申請開立支付賬戶時,支付機構應登記客戶的姓名、性別、國籍、職業、住址、聯系方式以及客戶有效身份證件的種類、號碼和有效期限等身份信息,并對客戶姓名、性別、有效身份證件的種類和號碼等基本身份信息的真實性進行審核。

個人支付賬戶單筆收付金額超過1萬元,個人客戶開立的所有支付賬戶月收付金額累計超過5萬元或資金余額連續10天超過5000元的,支付機構還應留存個人客戶的有效身份證件的復印件或者影印件。

第十五條 客戶申請開立單位支付賬戶時,支付機構應登記以下基本信息:

(一)單位名稱、地址、經營范圍、稅務登記證號碼、組織機構代碼(按規定無須取得稅務登記證或無法取得組織機構代碼證的除外);

(二)可證明該客戶依法設立或者依法開展經營、社會活動的執照、證件或者文件的名稱、號碼和有效期限;

(三)法定代表人(負責人)和授權辦理業務人員的姓名、有效身份證件的種類、號碼和有效期限。

支付機構應核對單位及其法定代表人(負責人)和授權辦理業務人員的有效身份證件信息,并留存其復印件或者影印件。

第十六條 支付機構為客戶開立支付賬戶,應與客戶簽訂書面協議。協議內容包括但不限于:

(一)支付賬戶的開立、使用、掛失、止付和撤銷的條件;

(二)身份驗證和支付授權方式;

(三)客戶對支付機構核驗其銀行賬戶信息和身份信息真實性的授權;

(四)支付賬戶使用規則,以及違規使用的處置和責任;

(五)支付賬戶資金變動通知方式;

(六)發現支付賬戶被盜用后的通知和處置方式;

(七)客戶身份信息和交易信息的保密責任;

(八)雙方的其他權利和義務。

第十七條 同一客戶在同一支付機構開立多個支付賬戶的,支付機構應采取有效措施確保多個支付賬戶為同名賬戶,且多個支付賬戶中登記的客戶基本身份信息一致。

支付機構應為同一客戶建立唯一的客戶身份識別號,對該客戶開立的所有支付賬戶進行統一管理。

第十八條 客戶在同一支付機構開立的所有支付賬戶須關聯本客戶銀行賬戶,支付賬戶的名稱應與該客戶所關聯的銀行賬戶名稱一致。

支付機構應通過有效方式,對支付賬戶所關聯的銀行賬戶信息和客戶身份信息進行核驗。

個人客戶向在同一支付機構開立的所有支付賬戶月累計充值金額合計小于1000元的,可不關聯銀行賬戶。未關聯銀行賬戶的支付賬戶可用于付款、接受交易退款,但不得用于收款。

第十九條 支付機構通過合理、有效方式確認客戶真實身份并履行通知義務后,支付賬戶方可生效。按規定應關聯銀行賬戶的支付賬戶,支付機構應在采取有效方式驗證該支付賬戶與銀行賬戶為同一客戶持有并至少完成一個銀行賬戶關聯后方可生效。

第二十條 客戶應通過關聯銀行賬戶為支付賬戶充值。未關聯銀行賬戶的,可通過非關聯銀行賬戶或經中國人民銀行批準的“僅限線上實名支付賬戶充值”的同一支付機構預付卡為支付賬戶充值。

通過非關聯銀行賬戶或同一支付機構預付卡充值的,同一客戶的充值金額月累計不得超過1000元。通過同一支付機構預付卡充值的資金僅限用于互聯網支付,不得贖回。

客戶不得利用信用卡透支為支付賬戶充值。

第二十一條 支付機構可提供銀行賬戶模式和支付賬戶模式服務。

(一)銀行賬戶模式下,付款人銀行賬戶向收款人銀行賬戶或支付賬戶轉出;

(二)支付賬戶模式下,付款人支付賬戶向收款人銀行賬戶或支付賬戶轉出。

第二十二條 同一客戶在同一支付機構開立多個支付賬戶的,支付賬戶內的資金可互相劃轉。

不同支付機構的支付賬戶內的資金不得互相劃轉。

第二十三條 客戶辦理充值資金退回業務時,應將支付賬戶內的充值未用資金按照后充先退原則,原路退回至銀行賬戶。

第二十四條 除電子商務交易付款、公用事業繳費、信用卡還款、購買特定金融產品及交易退款外,客戶支付賬戶內的資金應通過劃轉關聯銀行賬戶的方式實現資金轉出支付機構。

第二十五條 支付機構應提醒客戶將支付賬戶的資金余額保持在合理水平,不得以任何形式引導、鼓勵客戶在支付賬戶存放資金。

個人客戶在同一支付機構開立的所有支付賬戶日終資金合計余額連續10天超過5000元、單位客戶在同一支付機構開立的所有支付賬戶日終資金合計余額連續10天超過5萬元的,支付機構應及時提醒客戶降低支付賬戶資金余額。

第二十六條 支付機構不得為任何單位或個人查詢支付賬戶信息資料,不得隨意凍結、扣劃支付賬戶內的資金。國家法律法規另有規定或與客戶另有約定的除外。

第二十七條 客戶申請支付賬戶查詢、掛失、止付、撤銷的,應由本人向支付機構提出申請。支付機構應在確認客戶身份后予以及時辦理。

客戶申請撤銷支付賬戶的,應確認該支付賬戶項下所有款項均已結清。

第二十八條 客戶的基本身份信息發生變更的,應及時通知支付機構,支付機構應在核實客戶身份后予以更新??蛻羯矸葑C件逾有效期的,支付機構應要求客戶重新提供有效的身份證件信息,支付機構應予以核驗,并按本辦法規定留存有效身份證件的復印件或影印件。

第二十九條 客戶或支付機構發現支付賬戶被盜用的,應按雙方約定的方式和程序及時通知對方,并按約定進行處理。

第三十條 客戶未遵守支付賬戶管理規定的,支付機構應按雙方協議對支付賬戶的使用采取限制措施。

第三十一條 支付賬戶只能由本人使用,不得出租、出借支付賬戶。

第三章 業務管理

第三十二條 支付機構為客戶提供銀行賬戶模式服務,單筆資金金額在人民幣1萬元以上的,應在提供服務前要求客戶登記本人的姓名、有效身份證件種類、號碼和有效期限,并通過合理手段核對客戶有效身份證件信息的真實性。

第三十三條 支付機構應為支付賬戶提供安全可靠的密碼、密鑰或電子簽名等身份驗證和支付授權方式??蛻魭焓Щ蛑刂妹艽a、密鑰或數字證書,支付機構應在確認客戶身份后予以及時辦理。

第三十四條 支付機構只能為電子商務交易、公用事業繳費、信用卡還款、購買特定金融產品或經中國人民銀行批準的其他業務提供互聯網支付服務。

第三十五條 支付機構要求客戶提供有關資料信息時,應告知客戶所提供信息的使用目的和范圍、安全保護措施、以及客戶未提供信息或提供虛假信息的后果。

第三十六條 支付機構提供互聯網支付服務,應與客戶簽訂書面協議。協議內容包括但不限于:

(一)互聯網支付業務的類型和基本規則;

(二)身份驗證方式和支付授權方式;

(三)資金結算時間和方式;

(四)向客戶提供交易記錄的時間和方式;

(五)收費項目和標準;

(六)爭議及差錯處理和損害賠償責任;

(七)服務終止的情形;

(八)雙方的其他權利和義務。

第三十七條 互聯網支付指令應記載下列事項:

(一)付款人名稱,銀行賬戶賬號或支付賬戶賬號;

(二)收款人名稱,銀行賬戶賬號或支付賬戶賬號;

(三)確定的金額;

(四)付款人與支付機構約定的身份驗證和支付授權信息;

(五)支付指令的發起時間;

(六)業務類型;

(七)付款人的開戶銀行名稱或開戶支付機構名稱;

(八)收款人的開戶銀行名稱或開戶支付機構名稱;

(九)客戶有效身份證件種類和號碼。

欠缺記載上述前五項事項之一的,支付指令無效。

第三十八條 在支付賬戶模式下,支付機構應采取有效措施,在客戶發出支付指令前,提示客戶對支付指令的準確性進行確認。

第三十九條 客戶發出的支付指令經支付機構確認后產生支付效力。

第四十條 在銀行賬戶模式下,支付機構應及時傳遞、記錄支付指令信息,并將結果及時通知客戶。

在支付賬戶模式下,支付機構應在確認客戶真實身份和該支付指令真實后,借記客戶支付賬戶,記錄支付指令信息,并及時將結果通知客戶。

第四十一條 支付機構應建立確保支付指令被正確傳遞和執行的支付業務處理系統,保證支付指令的完整性、一致性和不可抵賴性。

第四十二條 由于超時、無響應或系統故障等原因無法正常處理支付指令的,支付機構應及時向客戶發出提示。

第四十三條 客戶發現自身未按規定操作,或由于自身其他原因造成支付指令未執行、未適當執行、延遲執行的,應在協議約定的時間內,按照約定程序和方式通知支付機構。支付機構應積極調查并告知客戶調查結果。

支付機構發現因客戶原因造成支付指令未執行、未適當執行、延遲執行的,應主動通知客戶改正或配合客戶采取補救措施。

第四十四條 支付機構應按照據實、準確和及時的原則處理差錯交易,指定相應部門和人員負責互聯網支付業務差錯處理,并明確相關人員的操作權限和職責。

第四十五條 客戶根據有關業務規則辦理退款的,支付機構應將相應款項劃回原發出支付指令的付款人賬戶。因付款人銷戶等原因而無法退回原賬戶的,可根據有關規定退回到付款人的同名銀行賬戶或付款人在同一支付機構的同名支付賬戶。

第四十六條 支付機構應免費為客戶提供上溯一年的支付信息查詢服務。

第四十七條 支付機構調整互聯網支付服務的收費項目、收費標準時,應通過有效方式提前30天通知客戶。

第四十八條 支付機構提供互聯網支付服務,應向客戶公開披露以下信息:

(一)支付機構名稱、營業地址和聯系方式;

(二)所提供的互聯網支付業務類型、操作規程、收費項目和收費標準;

(三)辦理互聯網支付業務可能產生的風險,提醒客戶妥善保管密碼、密鑰、數字證書等警示性信息;

(四)退款規則及處理流程;

(五)爭議及差錯處理方法;

(六)中國人民銀行規定的其他需要公開披露的信息。

第四十九條 支付機構對客戶的基本信息和支付指令信息應按會計檔案要求,以紙質或電子方式妥善保存,并便于調閱。

第四章 特約商戶管理

第五十條 支付機構只能發展互聯網特約商戶。

互聯網特約商戶(以下簡稱特約商戶)是指基于互聯網信息系統直接向消費者銷售商品或提供服務,并接受支付機構互聯網支付服務完成資金結算的法人、其他組織或自然人。

支付機構負責發展特約商戶、發放支付插件、處理相關交易并承擔相關支付風險。

第五十二條 支付機構應在付款人確認付款的當日至遲下一工作日將相應資金轉入特約商戶的銀行賬戶或支付賬戶。

支付機構與特約商戶另行約定結算時間的,從其約定。

第五十三條 支付機構不得發展以下特約商戶:

(一)非法設立的;

(二)從事非法經營活動的;

(三)商戶或其法定代表人、負責人已被列入中國人民銀行指定的不良信息系統的。

第五十四條 支付機構應制定特約商戶審批流程和審批制度,明確審批權限,指定專人負責特約商戶審批工作。特約商戶審批崗位不得與特約商戶拓展等相關崗位兼崗。

第五十五條 支付機構發展特約商戶要落實實名制,要嚴格審核特約商戶申請材料的真實性、完整性、有效性,并留存特約商戶有效身份證件影印件或復印件。對于申請材料虛假、缺失、要素不全或不合規的,不得審批通過。

對企業單位及個體工商戶應至少核驗營業執照、稅務登記證、單位銀行結算賬戶開戶許可證、法定代表人或負責人有效身份證件。無稅務登記證的企業單位及個體工商戶,應出示無需辦理稅務登記證的證明文件或經營期間的完稅證明材料。

行政事業單位和社會團體,應至少核驗組織機構代碼證或事業單位法人證書、法定代表人或負責人有效身份證件。

月累計銷售金額高于5萬元的個人商戶,支付機構應予以重點關注,必要時應采取實地調查、核驗個人有效身份證件原件等更嚴格的風險管理措施。

第五十六條 支付機構應與特約商戶直接簽訂收款服務協議,并將款項直接結算至雙方在收款服務協議中約定的賬戶。支付機構和特約商戶不得委托他人簽約、結算。

第五十七條 支付機構應測試特約商戶網店網絡統一資源定位符(URL)及網絡通訊地址(IP地址)的有效性和安全性,檢查站點提供的商品及服務內容、服務條款是否符合國家相關法律法規規定。

第五十八條 支付機構應尊重特約商戶對支付機構的自由選擇權,不得干涉或變相干涉特約商戶與其他支付機構的合作。

第五十九條 支付機構應按照《金融零售業務商戶類別代碼》(GB/T 20548-2006)正確設置商戶類別碼。對同時銷售多種商品和服務的特約商戶,支付機構應區分經營業務的類別分別設置商戶類別碼。對經營業務類別相互不獨立、無法嚴格區分的特約商戶,應按照其主營業務設置特約商戶類別碼。不同特約商戶不得共用同一商戶編碼。

在銀行賬戶模式下,支付機構應在客戶通過其向銀行機構發出的支付指令后,準確附上標識特約商戶的商戶名稱、商戶類別碼(MCC)、商戶編碼等特約商戶基本信息。

第六十條 除自然人外的特約商戶應使用單位賬戶作為收款賬戶。對使用個人支付賬戶和個人銀行結算賬戶作為收款賬戶的特約商戶,信用卡交易受理、額度和使用頻率等由發卡行與支付機構根據審慎原則確定。

第六十一條 支付機構應按照收款服務協議約定為特約商戶提供資金結算及對賬服務,妥善、及時處理互聯網支付業務產生的差錯和爭議,保障客戶資金安全。

支付機構應將交易的差錯、退貨資金,退回至原支付賬戶或銀行賬戶,不得截留或退至其他賬戶。原賬戶已銷戶時,支付機構應主動聯系客戶或發卡機構,確保將相關款項退回本人賬戶。

第六十二條 支付機構應建立特約商戶風險評級制度,劃分商戶風險等級。對風險等級較高的商戶,應通過設置特約商戶單筆或當日交易限額、強化交易監測、建立商戶風險準備金、延遲清算等風險管理措施,防范交易風險。

第六十三條 支付機構應建立特約商戶檢查、評估制度。根據特約商戶的風險等級,制定不同的檢查、評估頻率和方式,并保留相關記錄。

第六十四條 支付機構不得以任何形式存儲客戶銀行卡卡片驗證碼、個人標識代碼(PIN)、卡片有效期以及銀行交易密碼,并應采取有效措施防止特約商戶和外包服務機構存儲銀行卡卡片驗證碼、個人標識代碼(PIN)及卡片有效期等交易驗證信息。

第六十五條 支付機構為公用事業繳費、信用卡還款業務、購買特定金融產品提供貨幣資金代收服務的,適用本章對特約商戶的管理。

第五章 風險管理

第六十六條 支付機構開展互聯網支付業務采用的信息安全標準、技術標準等應符合中國人民銀行關于信息安全和技術標準的有關規定。

第六十七條 支付機構為客戶開立支付賬戶接受的備付金的存放、劃轉和監督,應符合《支付機構客戶備付金存管暫行辦法》的規定。

第六十八條 支付機構應制定全面的互聯網支付風險管理制度,設立風險管理部門或崗位,。

第六十九條 支付機構應制定有效的應急計劃、業務連續性計劃和風險處理預案,并定期進行演練。

第七十條 支付機構應建立內部審計機制,定期對互聯網支付業務及相關系統進行審計。

第七十一條 支付機構應采取有效安全措施保護支付指令及所附信息的安全傳輸,防止客戶信息泄露、支付指令被篡改。

第七十二條 支付機構應采取必要措施確保支付信息的完整性和可靠性:

(一)制定相應的風險控制策略,防止支付業務處理系統發生危害支付交易數據完整性和可靠性的變化;

(二)防止支付信息在傳送、處理、存儲、使用中被非法篡改,且任何非法篡改的行為都能被及時發現并記錄。

第七十三條 支付機構對客戶身份信息和支付信息等信息的使用,不得超出法律許可和客戶授權的范圍,并應采取必要措施為客戶信息保密:

(一)客戶信息須以安全方式保存和傳輸,并防止其被擅自查看或非法截取;

(二)對客戶信息的訪問應經合法授權和確認,并須登記且確保該登記不被篡改。

第七十四條 除法律法規另有規定或客戶書面同意外,支付機構不得向其他機構和個人提供客戶信息。

第七十五條 支付機構應確保對互聯網支付業務處理系統的操作人員、管理人員以及系統服務商有合理的授權控制:

(一)確保進入賬戶系統等核心系統所需的認證數據免遭篡改和破壞。對此類篡改都應是可偵測的,而且審計監督應能恰當地反映出這些篡改行為;

(二)對認證數據進行的任何查詢、添加、刪除或更改都應得到必要授權,并具有不可篡改的日志記錄。日志記錄按會計檔案的管理要求進行保存。

第七十六條 支付機構采用電子簽名方式進行客戶身份認證和支付交易授權的,應由合法的第三方認證機構提供認證服務。

第七十七條 支付機構可根據有關規定將互聯網支付業務的賬戶管理和業務處理等核心業務以外的業務外包給合法的專業化服務機構,但其對客戶的義務及相應責任不因外包關系的確立而轉移。

支付機構應與開展互聯網支付外包業務的專業化服務機構簽訂協議,并確立一套綜合性、持續性的程序,以管理其外包關系。

支付機構應確保與其簽約的專業化服務機構不得從事或變相從事支付業務,但該機構取得相應支付業務許可的除外。

第七十八條 客戶提供的身份信息和銀行賬戶信息經多次驗證仍未通過的,支付機構應予以重點關注,并暫停相關業務處理;支付機構發現銀行賬戶信息或支付賬戶信息被盜取、欺詐、洗錢等風險事件的,應對客戶采取暫停交易、限制賬戶使用等相關措施;對于涉嫌犯罪的,應立即向當地公安機關報案,同時向所在地中國人民銀行分支機構報告。

第六章 監督管理

第七十九條 中國人民銀行依法對支付機構互聯網支付業務活動、內部控制、信息安全、風險狀況等進行定期或不定期現場檢查和非現場檢查。

第八十條 支付機構應協助配合中國人民銀行及其分支機構開展現場檢查及非現場檢查,定期報送互聯網支付業務統計報表和相關信息。

第八十一條 互聯網支付業務自律組織應制定業務自律規范,通過現場檢查和非現場檢查等手段,督促支付機構遵守自律規范,維護市場秩序、促進公平競爭。

第八十二條 支付機構應提前15日向所在地中國人民銀行分支機構報告如下事項:

(一)向客戶提供新的互聯網支付業務產品和服務;

(二)新增、變更收費項目、收費標準;

(三)對客戶服務規則的變更;

(四)互聯網支付業務系統停運、升級換版;

(五)其他可能對客戶、互聯網支付市場產生重要影響的事項。

第八十三條 支付機構應建立互聯網支付業務運作重大事項報告制度,及時向所在地中國人民銀行分支機構報告業務經營過程中發生的風險事件。重大事項包括但不限于:

(一)發現業務系統安全存在重大隱患或發現互聯網支付業務系統被惡意攻擊并出現10戶(含)以上客戶損失;

(二)發生因支付機構原因導致客戶或交易信息泄露等信息安全事件的,涉及客戶數量在20戶(含)以上;

(三)發現客戶利用互聯網支付進行洗錢、套現且涉嫌金額較大、客戶較多或已移交司法機關的;

(四)因突發事件導致業務中止超過1小時的;

(五)產生司法糾紛或輿論風波可能影響聲譽的。

重大事項報告不得超出案件和事件發生后48小時。

第八十四條 支付機構應建立自我評估制度,定期對本機構的互聯網支付業務開展、支付業務處理系統運營、風險管理、業務外包等情況進行全面評估,并每年向所在地中國人民銀行分支機構提交評估報告。

第八十五條 支付機構因機構解散、依法被撤銷、被宣告破產,或經中國人民銀行批準終止業務的,應自解散、被撤銷、被宣告破產或被批準終止業務之日起,在大眾媒體、支付機構營業場所及其網站顯著位置至少公告30日以下事項:

(一)互聯網支付業務終止原因;

(二)互聯網支付業務終止時間;

(三)客戶債權債務清算事項;

(四)中國人民銀行要求公告的其他事項。

第七章 紀律與責任

第八十六條 任何單位和個人不得使用虛假資料開立支付賬戶,不得利用互聯網支付業務從事洗錢、信用卡套現等違法犯罪活動。

第八十七條 客戶應妥善保管和正確使用支付賬戶及其密碼、密鑰或數字證書。

第八十八條 支付機構應及時為客戶辦理互聯網支付業務,不得延壓客戶資金。

第八十九條 支付機構未盡審核責任,為其客戶開立非實名賬戶,并由此造成付款人損失的,由支付機構承擔相應賠償責任。

第九十條 客戶有下列情形之一的,支付機構應當停止為其提供互聯網支付服務:

(一)使用虛假資料開立支付賬戶的;

(二)利用互聯網支付從事違法犯罪活動的;

(三)中國人民銀行規定的其他違規情況。

第九十一條 支付機構有下列情形之一的,由中國人民銀行分支機構依據《非金融機構支付服務管理辦法》第四十二條予以處罰:

(一)未建立有效的業務管理制度、內部控制制度和風險管理制度的;

(二)未制定有效的應急計劃、風險處理預案和內部審計機制的;

(三)未公開披露相關信息的;

(四)未及時向中國人民銀行及其分支機構報送信息資料的。

第九十二條 支付機構有下列情形之一的,由中國人民銀行及其分支機構依據《非金融機構支付服務管理辦法》第四十三條予以處罰:

(一)未按本辦法規定使用、止付、撤銷支付賬戶或為支付賬戶關聯非本人銀行賬戶的;

(二)未經客戶授權擅自將客戶信息發送銀行驗證的;

(三)運營的支付業務處理系統及其備份系統的服務器未按規定設置在中華人民共和國境內的;

(四)未按本辦法規定記錄、保存、使用客戶身份信息和支付信息的;

(五)未按本辦法規定處理互聯網支付業務差錯的;

(六)違反本辦法的其他行為。

第九十三條 支付機構未按實名制原則為客戶開立支付賬戶和發展特約商戶的,由中國人民銀行及其分支機構依據《非金融機構支付服務管理辦法》第四十四條予以處罰。

未取得互聯網支付相關業務資質,擅自或變相開展互聯網支付業務的,由中國人民銀行及其分支機構責令終止其互聯網支付業務;涉嫌犯罪的,依法移送公安機關立案偵查;構成犯罪的,依法追究刑事責任。

第八章 附則

第九十四條 本辦法由中國人民銀行負責解釋和修訂。

第九十五條 本辦法自之日起實施。

篇9

關鍵詞:商業銀行;風險管理

中圖分類號:F832.2 文獻標識碼:B 文章編號:1007-4392(2011)06-0030-04

銀行是經營風險的特殊企業。風險管理是銀行經營的永恒主題,是銀行經營管理的價值源泉。風險管理能力不僅已成為銀行綜合競爭力的重要組成部分,也是能否長期可持續發展的關鍵。在風險管理戰略既定的前提下,風險管理模式決定了商業銀行的發展方式和運營模式。巴塞爾新資本協議及其補充協議的簽定,為銀行業的監管提出了明確的標準,在推動銀行監管技術進步的同時,也對商業銀行的風險管理提出了更高的要求,促使其由單純的信貸風險管理模式轉向信用風險、市場風險、操作風險并舉,組織流程再造與技術手段創新并舉的全面風險管理模式。下面,結合農業銀行經營管理實際,談一談自己對商業銀行加強全面風險管理的認識。

一、全面風險管理在銀行經營管理中的地位和作用

全面風險管理是一種以先進的風險管理理念為指導,以全球的風險管理體系、全面的風險管理范圍、全新的風險管理方法、全員的風險管理文化為核心的新型管理模式,涉及發展戰略、公司治理、組織架構、管理流程、信息系統、企業文化等多方面的重新組合,是一項長期復雜的系統工程。全面風險管理具有全面性、全程性、全員性的特征,是商業銀行的一項基礎性、系統性工作。所謂全面性,主要體現在除傳統信貸業務外,對信用風險、市場風險、操作風險等各種風險,對表內外、境內外、本外幣等各項業務,都要納入風險管理范圍。全程性,就是風險管理要貫穿經營管理的全過程,它不只是個別部門和個別崗位的問題,而是體現在一個完整的流程中,流程中的每個環節、每個步驟都要明確相關職責。全員性,就是從董事會、高管層、監事會到每一位員工,都是風險管理的參與者,都有各自的風險管理職責。

全面風險管理在商業銀行的經營管理中具有無可替代的戰略意義。風險的不確定性決定了銀行業的全面風險管理工作最終目的不是單純地消滅風險,而是控制和防范風險,實現“劣勢最小化、機會和利益最大化、績效和決策最優化”。其實質作用是幫助銀行把握發展的“度”。商業銀行全面風險管理本質上是研究金融風險發生的規律和風險管理的技術,通過風險組合最優化,促進銀行盈利模式轉變和經營行為理性化,推動銀行穩健運行和可持續發展,全面提升發展品質。因此,全面風險管理水平也是商業銀行核心競爭力的最終體現。

二、我國商業銀行風險管理與國際管理標準和實踐的差距

脫胎于計劃經濟的中國銀行業長期以來習慣依靠計劃指令,忽視風險控制,直接將未經風險調整的名義收益作為業績衡量標準和經營目標,而對風險評級、資產組合、風險緩沖等國際先進的風險管理技術缺乏了解。在過去相當長的時間里,由于對風險的認識不足,風險控制乏力,導致我國商業銀行經營中業務規??焖贁U張與風險過度控制不斷交替的惡性循環。

以農業銀行為例,近年來,為滿足股改上市和完善公司治理的要求,對風險管理給予前所未有的重視,開始把風險管理融入經營管理的戰略思考、流程設計、組織架構和產品服務中,推行全面風險管理,從風險管理的戰略偏好、政策制度、組織體系、工具方法、企業文化等多個層面進行深層次調整轉變,立足建立政策明確、責任到位、手段科學、監控全面、處置及時的全面風險管理體系。但從總體上看,與國際通行的管理標準和國際金融業的良好實踐相比,農行風險管理還存在著較大的差距,主要表現為:

一是從管理理念上看,良好的風險文化尚未形成,全面風險管理理念和風險意識有待進一步增強,風險管理對業務發展的約束和引導作用尚未得到充分有效的發揮。

二是從管理機制上看,雖然設立了兩級風險管理委員會和專業的管理部門,但風險管理的組織體系、工作流程、制度銜接等方面都存在缺口,全面風險管理的體系框架仍待健全。

三是從管理手段上看,風險管理的政策制度尚不完善,業務經營管理辦法不能充分體現風險管理的要求,業務經營與風險管理“兩張皮”矛盾還較為突出;風險計量工具在實際業務經營活動中的應用還剛剛起步,風險控制的手段還較為單一。

四是從管理隊伍看,專業管理人才缺乏,風險管理隊伍整體素質不高,風險管理的獨立性、專業性尚未完全體現,影響對風險的真實反映和有效控制。

三、加快商業銀行全面風險管理建設的建議

2010年7月,巴塞爾委員會監督委員會審議通過了關于資本和流動性的改革文件,在資本的定義、交易對手信用風險的處理、杠桿率、全球的流動性標準等四個方面形成了一致意見,對“巴塞爾資本協議II”的個別條款做了修改和妥協。新資本協議涉及的根本變革在于針對資本充足率的計量和管理建立了一整套完全有別于老協議的體系,從一定意義上講,現在全球的銀行業真正進入全面推進“巴塞爾資本協議II”的時期。

當前,我國商業銀行全面風險管理體系建設仍處于起步階段,應積極借鑒國際先進經驗,結合發展實際,加快全面風險管理建設。重點要抓好以下幾方面工作:

(一)明確風險管理總體目標,健全風險管理政策制度

風險管理始于經營戰略和風險管理政策,服務于既定風險管理目標,將風險識別、評估計量、緩釋和控制、監測、報告等活動貫穿于銀行經營的全過程,以確保對風險進行有效的管理。因此,首先要制定明確的、分層次的風險管理目標,根據既定的風險偏好,通過合理的程序和一定的計量方法確定量化的總體風險容忍度和分年度的不良貸款率控制目標、扣除風險損失后的盈利目標、資產組合管理目標以及單一客戶或業務流程的風險控制目標等具體的管理目標,逐步形成概念清晰、架構完整、分風險類型的偏好與相關指標體系。根據既定的風險管理戰略、目標,風險管理部門要建立和完善風險管理的政策制度,形成覆蓋信用、市場、操作風險識別、評估、監測、緩釋、報告等各個環節的具體業務管理制度,形成職能明確、責任清晰、與業務流程相互融合、有機統一的風險管理制度體系,引導各業務條線、各部門圍繞風險管理的要求進行經營管理,來確保風險管理目標的實現。

近年來,農業銀行根據自身實際,先后制定出臺了《風險管理政策綱要》、《風險管理體系建設規劃》等一系列管理政策,明確了全行風險管理應遵循的基本原則,包括信用風險、市場風險、操作風險管理政策,以及實現風險管理目標的職責分工、工作機制、管理方法、信息系統建設和相應要求。政策綱要成為全行風險管理的根本制度、基本準則和制定業務管理辦法的主要依據,據此制定和完善行業信貸政策、專業審批政策、風險分類政策、交易控制政策、行為規范政策、資本保障政策等六大類風險管理政策,基本涵蓋了風險管理的主要領域。

實際工作中,落實風險管理政策最為重要的就是要把風險管理政策與業務發展、日常管理工作有機結合、有效嵌入。要做到風險管理政策與業務流程相統一,需要按照風險管理的原則和機理對業務和管理工作流程進行再造和優化,使之最終體現風險管理的要求。這也決定了全面風險管理的推行工作是一項長期的系統性工程,必須遵循自上而下、強力推進的工作原則。

(二)完善風險管理組織架構,構建有效的風險管理運行機制

獨立的風險管理組織架構是風險管理戰略得以落實、政策得以實施、過程得以體現的保障。要按照“關口前移、重心下垂、三道防線、層層過濾”原則,構建全面、獨立、垂直的風險管理組織架構,實現前、中、后臺的分離,形成職能明確、責任清晰、分工負責的風險管理組織體系,為風險管理提供組織保障。對于農業銀行而言,就是要根據組織架構調整、業務流程再造的方向,結合實際,分步實施對風險管理組織架構的改造:一是在現有框架的基礎上,進一步強化各級機構和部門的風險管理職責,構筑起前臺業務部門、風險管理職能部門以及審計部門組成的風險管理“三道防線”。突出前臺業務部門作為“第一道防線”的重要責任,著重強調各級機構負責人對風險管理的第一責任,以及每個崗位、每位員工風險管理和承擔者的責任。風險管理板塊是風險管理的第二道防線,重點發揮對風險進行系統性、規范化管理的作用。其中,風險管理部是全面風險管理的牽頭部門,承擔風險管理工作的抓總職能,主要承擔全行風險管理的政策制定、風險計量、工具模型開發及風險敞口的控制等總體性、系統性、基礎性工作;各條線主管部門,應根據既定的風險管理目標,專業管理措施及流程,將各類風險管理政策內嵌于經營管理的條線專業工作流程及制度要求之中,實現風險的識別、評估、計量、報告的標準化操作,真正將統一的風險管理政策落實到各個管理環節。審計監察部門是風險管理的第三道防線,履行監督評價等職責。二是全面落實風險經理制,加快實施風險經理派駐制,建立兼職的業務風險經理崗位,明確崗位職責及報告路徑,強化風險管理的獨立性,把風險管理滲透到全行的各項業務過程和各個操作環節,形成縱橫結合、覆蓋全行各業務條線、各部門的,垂直、獨立的風險經理隊伍。三是建立有效的風險管理運行機制,就商業銀行而言,關鍵在于轉變業務發展方式,應從過去平衡風險和收益,向平衡風險、收益和資本轉變,妥善處理好資本、風險和收益之間的關系。根據資本多少和風險管理水平決定業務發展目標,構建與落實風險管理戰略、政策相適應的業務運行機制。通過經濟資本計量、分配和考核貫徹風險管理戰略,落實資本約束要求,將經濟資本、財務資源分配到最能創造價值的地方,將風險管理和業務經營緊密結合,實現“風險管理創造價值”的目標。在決策管理層面,要增強資本意識,確立資本消耗的概念,構建完善的資本管理體系,確保在危機情況下資本充足率能夠保持充足合理水平;在經營層面要轉變高資本消耗的經營模式,走資本集約化道路,著力提升資本配置和組合風險管理的能力,通過資本優化配置、資產合理擺布,降低資本消耗,提高資本回報水平。同時,要研究建立與之相配套的產品定價管理、資本預算管理、經營績效評價考核等管理機制和工作流程,確保業務運行與風險管理戰略目標相統一。

(三)推進以風險量化為核心的金融技術創新,改進提升風險管理手段

風險管理的基礎在于對風險的有效識別和計量,從監管要求和銀行業風險管理方面的實踐看,注重技術創新,開發運用全面風險管理工具是有效達成風險管理既定戰略及目標的必備條件。在風險識別與計量方面,巴塞爾新資本協議提供了很好的參照系,商業銀行應以實施新資本協議為主線,加快建設以信用風險內評法、操作風險損失和自我評估(RCSA)、關鍵風險指標(KRI)、損失數據庫(LED)為核心的風險量化技術體系,內嵌風險管理政策,實現風險的識別、評估、計量、報告的標準化操作,真正將統一的風險管理政策落實到各個管理環節。當前,國際銀行業風險管理技術已經從量化單筆貸款風險逐漸演變到針對單筆業務和資產組合兩個層面,涵蓋信用、市場、操作風險計量三個角度,由單維淺度計量向模型多維深度計量方式過渡,國內各家大型銀行正積極按照銀監會“分類實施、分層推進、分步達標”的要求,大力推進新資本協議的實施。

截至目前,農行已經啟動信用風險、市場風險及操作風險的計量模型開發工作,信用風險方面,非零售業務內部評級模型已通過監管部門驗收,進入全面推行階段,該系統在單筆資產層面對違約概率、違約損失率、違約風險暴露進行測量,開發了客戶、債項、行業、區域多維度的評級模型,為業務部門細分市場、度量風險、制定標準構建了統一、清晰的操作標準。市場風險方面,以市場風險數據集市為基礎,運用敞口、缺口、久期、敏感性、VaR等風險計量分析方法,開發內部計量模型。通過設置限額指標體系,設置交易授權機制,實現對業務部門的“窗口式”監控和管理。操作風險方面,同時推進操作風險高級計量法和操作風險識別與控制自我評估、關鍵操作風險指標、操作風險損失數據庫建設。這些風險管理工具模型的開發及應用都需要以真實完整的歷史數據和完善的數據處理系統做支撐。國際同業的經驗表明,大多數銀行在風險管理工具模型的建立過程中,70%~80%的精力消耗在數據清洗和數據結構整合方面。我國商業銀行風險管理的基礎數據儲備不足、來源渠道不一、數據不真實且數據形式缺乏規范性,制約了風險量化管理工具的開發與應用,必須盡快建立統一的數據倉庫和高效的管理信息系統,從而保證構建全面風險管理體系中所有量化研究的數據需要。要充分利用現有客戶資源和歷史數據,在保證信息安全的前提下,使風險管理信息系統與業務系統終端聯網,實現風險管理信息的收集、整理、分析、評價、預警等生成自動化、傳輸網絡化,盡量減少人工操作,提高信息使用效能。當前,要充分利用風險報告制度,明確相關部門報告職責、報告路徑和報告時限,建立起縱橫結合、有統有分、覆蓋全面的報告體系,實現內部風險信息的及時共享。

篇10

關鍵詞:創新發展理念;能力提升;檢驗檢疫系統;經濟社會;發展能力 文獻標識碼:A

中圖分類號:F124 文章編號:1009-2374(2016)35-0245-02 DOI:10.13535/ki.11-4406/n.2016.35.120

黨的第十八屆中央委員會第五次全體會議強調,實現“十三五”時期發展目標,必須牢固樹立并切實貫徹創新、協調、綠色、開放、共享的發展理念,其中創新發展是“十三五”時期經濟結構實現戰略性調整的關鍵驅動因素,是實現“五位一體”總體布局下全面發展的根本支撐和關鍵動力。對于出入境檢驗檢疫系統而言,圍繞創新發展需要大力推進簡政放權、放管結合、優化服務,推動新產業新業態發展、加快實現發展動力轉換,加快質量供給創新、真正發揮質量在供給側結構性改革中的關鍵作用,促進經濟提質增效升級。本文嘗試從以下三個方面,探索提升檢驗檢疫系統服務經濟社會發展能力的各種有效途徑。

1 打造服務創新檢驗檢疫

宏觀質量管理體制中,政府的質量監管包括政府的公共服務在其中起著主導性的作用。政府的公共服務本身就是總體質量的重要構成部分,只有政府公共服務質量水平的提高,也就是被服務對象,即公眾滿意度水平的提高,才能促進總體質量水平的提高。根據以上思路,檢驗檢疫系統可以嘗試創新工作思路,力爭在簡環節、優流程、轉作風、提效能、強服務方面取得突破性進展:

第一,實施“多證合一”檢驗檢疫資質登記準入改革,對企業實現“一表申請、一口受理、專窗發證”,對檢驗檢疫內部實現部門之間“信息共享、監管互認、聯動審批”。

第二,進一步落實精簡行政審批權限工作,對保留的行政審批事項優化流程,實現一個窗口辦理,強化對審批流程的監督,并向社會公開審批事項的受理、過程及結果。

第三,以依法行政、方便企業辦事、降低行政成本為出發點,按照“服務便企利民、辦事依法依規、信息公開透明、數據開放共享”的總體要求,進一步清理規范行政許可收費,對保留的中介服務實行清單管理并向社會公布。

第四,進一步推進“權力清單、責任清單”制度建設,實行動態管理,用權力清單和責任清單規范行政執法行為,做到職責法定、權責統一。積極推動職能轉變,規范行政許可和審批行為,推行放管結合,優化服務,行政審批服務實現“減量化、扁平化、集約智能化”。

第五,搭建“單一窗口”數據交換主渠道,建設若干具有檢驗檢疫制度創新和管理變革特征的新型業務應用系統,實現與地方相關信息化系統和基礎信息資源數據庫的互聯互通和信息共享,推動地方政府加大信息化建設投入,進一步拓展數據、信息采集渠道,推進網站集約化建設,強化信息安全保障。

2 打造制度創新檢驗檢疫

制度創新指的是新制度安排替代舊制度安排或者一個新制度安排被構造的過程,這個過程所帶來的預期凈收益大于預期成本。制度創新只有在這樣兩種情況下發生:一種情況是創新改變了潛在利潤;另一種情況是創新成本的降低使安排的變遷變得合算。從內外需求來看,檢驗檢疫系統也迫切需要通過制度創新,避免陷入僵化、保守、落后的境地,以達到跟隨時展的脈搏、提升檢驗檢疫系統服務經濟社會發展能力的目的。

2.1 以重點區域、特殊領域為突破口,打造制度創新檢驗檢疫

第一,以對臺工作為突破口,深度對接福建自貿試驗區、平潭綜合實驗區、福州新區、海絲核心區、生態文明先行示范區等中央重大戰略決策,支持平潭綜合實驗區與福州新區聯動、一體化發展,豐富涉臺檢驗檢疫領域“福建樣本”的內涵,努力探索最靈活、最便捷、最寬松的福建檢驗檢疫監管新模式。

第二,以自貿試驗區為突破口,創造性地提出并形成一批叫得響、可復制、可推廣、有實效的經驗措施,打造檢驗檢疫改革創新的升級版。加速通關體制機制改革,深入推進檢驗檢疫通關一體化建設,促進科學監管與提升貿易便利化水平的協調統一,處理好監管和服務的關系,提高服務發展的質量和效益。

第三,創新對臺檢驗檢疫監管模式。圍繞“風險管理、有效預防、重點監管、積極促進”的涉臺檢驗檢疫監管要求,繼續探索促進對臺小額貿易健康發展和便利兩岸人員往來的措施和對策。在對臺口岸復制推廣食品農產品“源頭管理、口岸驗放”模式,促進兩岸雙向貿易發展。

第四,開展兩岸檢驗檢疫證書、認證認可結果和檢測結果等電子數據的交換和互認工作,整合和分析兩岸檢驗檢疫業務信息及發展動態,為領導決策提供支持;研究將兩岸檢驗檢疫信息變成社會資源,促進信息的深入利用以及相關部門的業務協同協作。

2.2 以助推供給側結構性改革為重點,打造創新檢驗檢疫

第一,推行“同線同標同質”模式,提升質量供給水平。檢驗檢疫部門可以發揮出口食品企業備案注冊管理、第三方認證等質量基礎保障作用,促進企業出口、內銷產品在同一生產線、按相同的標準生產,使內外銷產品達到同樣的質量水準(即“同線同標同質”)。推行該模式,有利于改善我國消費者的生活品質,也有利于國內企業提升產品和服務質量,促進產業轉型升級。

第二,開展消費品質量提升專項行動,加強消費品質量監督。圍繞消費者普遍關注、反映強烈、要求迫切的突出質量問題,集中力量加以解決;開展消費品質量狀況調查,運用標準、檢測、認證等手段,幫助企業發現和解決產品質量提升的制約因素,培育發展消費品品牌;嚴厲打擊消費品制假售假行為,加大消費品執法打假力度,嚴查徹辦質量違法大案要案。

3 打造綜合性創新檢驗檢疫

綜合性創新就制造業而言,是完全利用已有的技術和產品來實現創新產品,即充分利用和掌握當代現有工藝技術和市場上可提供的產品,通過剖析和研究,“綜合”成為新產品。從這個角度來說,“綜合就是創造”或“綜合就是創新”。而綜合性創新之于政府部門,則完全可以在現有技術和制度的基礎上,對現有制度進行重新整合和優化,以實現創新制度建設。

3.1 在基礎保障平臺上實現綜合性創新

推動“智慧質檢”建設,準確把握“互聯網思維”“智慧型監管”“大數據決策”“協同化辦公”“云信息服務”這五個“智慧質檢”建設的基本內容,對現有業務系統及設備設施進行整合創新、改造完善和優化升級,推動管理創新、促進職能轉變:

第一,通過高新信息技術與業務的融合創新,全面探索“互聯網+”在口岸出入境檢驗檢疫“大車流、大貨流、大人流”中的應用,逐步打造“智慧口岸”,構建新型智能監管模式,努力實現既在“非傳統安全”威脅中確保國門安全、維護好場域安全,又在“經濟新常態”形勢下提升通關便利、促進外貿發展。

第二,建設和完善信息化基礎設施平臺暨云計算基礎保障平臺。整合并充分利用現有資源,實現基礎設施的互聯互通;依托云計算、大數據等新興技術,建設物理基礎設施支撐環境和廣域網絡支撐環境以及統一的云服務大平臺管控中心支撐全省的核心應用。

第三,運用大數據整合信息資源應用渠道。統籌推進與檢驗檢疫相關的基礎數據、業務數據及交換數據庫建設,制定完善信息資源采集、維護、共享、等相關制度和標準;完善檢驗檢測認證、口岸檢疫、原產地、通報及退運等專項數據庫建設,為業務工作提供全面、及時、準確的信息資源。

第四,建立“智慧口岸”支撐體系。以ECIQ檢驗檢疫主干系統應用為主線,整合檢驗檢疫業務的口岸電子監管功能,建立“智慧口岸”相關的數字化、智能化、集約化支撐體系。實施“智慧質檢”工程,強化大數據的分析研判,建立一套進出口商品質量安全風險預警及快速反應體系。

3.2 在監管手段上實現綜合性創新

作為政府質量監管部門,在宏觀質量管理中應該充分發揮其他質量監管體系,如市場質量監管體系、社會質量監管體系的作用,整合其他質量信息參與主體如質量供應方、質量需求方和質量第三方的信息渠道,綜合采用現有成熟的多種技術手段,以實現質量監管手段的綜合性創新:

第一,關注新業態質量監管發展動向,強化綜合性創新手段。按照加快發展與完善管理相結合、有效監管與便利進出相結合的原則,突出跨境電商產品質量提升,加快提升適應新業態特點的檢驗監管能力;充分運用“互聯網+”理念,綜合運用移動互聯網、云計算、大數據、物聯網等手段加強質量監測和分析,服務經濟發展決策和業務管理需要。

第二,綜合運用現有成熟理念,積極打造全新的監管模式。打破傳統法檢目錄束縛,著力在科學監管、依法監管和質量監管上下功夫,綜合運用目前運作相對成熟的風險管理、信用管理和分類管理理念,積極探索第三方結果采信、分類差異化的監管模式,建立“登記公示+事中監管+事后追責”的第三方檢驗機構監管機制。

第三,集合全社會力量,健全和創新進口質量風險信息采集手段。學習借鑒歐美等發達國家和地區對于進口消費品管理的成功經驗,建立健全完善的消費品投訴、舉報、傷害數據收集系統,并與各級政府部門通報信息、媒體輿情信息、醫院傷害報告信息、消防事故信息一起納入質量風險信息收集范圍,為創新檢驗監管體制奠定質量風險評估的基石。

第四,在健全質量風險信息采集基礎上繼續完善風險管理制度,推動進口質量管理從重產品檢驗向重第三方監管和監督抽查轉變,構建統一的產品質量安全風險監測網絡,建立聯動的風險識別、評估、預警、布控、處置等風險管控和處置機制,提高產品質量安全風險預警處置能力。

參考文獻

[1] 程虹.宏觀質量管理[M].武漢:湖北人民出版社,2009.