第一篇:我國中小商業(yè)銀行信息安全建設(shè)問題研究
我國中小商業(yè)銀行信息安全建設(shè)問題研究
我國銀行業(yè)信息系統(tǒng)建設(shè)持續(xù)發(fā)展,核心業(yè)務(wù)系統(tǒng)、網(wǎng)上銀行、自助終端、銀行卡等具有高科技含量的系統(tǒng)和設(shè)備被廣泛應(yīng)用,在提升金融服務(wù)效率和增加服務(wù)品種的同時(shí),信息系統(tǒng)潛在的風(fēng)險(xiǎn)也逐漸顯現(xiàn)。調(diào)查顯示,大多數(shù)中小商業(yè)銀行信息系統(tǒng)建設(shè)都存在滯后問題,系統(tǒng)運(yùn)行、網(wǎng)絡(luò)安全、數(shù)據(jù)集中、系統(tǒng)設(shè)計(jì)、外包、業(yè)務(wù)連續(xù)性以及技術(shù)操作等一系列新的信息系統(tǒng)風(fēng)險(xiǎn)正逐漸暴露在我們的面前,形成了一定的安全隱患。
一、我國中小商業(yè)銀行信息安全現(xiàn)狀
(一)建設(shè)趨規(guī)范:金融監(jiān)管延伸至信息化領(lǐng)地
在我國金融業(yè)從傳統(tǒng)運(yùn)作模式向現(xiàn)代運(yùn)作模式轉(zhuǎn)變的背景下,金融監(jiān)管開始適應(yīng)金融業(yè)的信息化運(yùn)作模式,更加具體細(xì)致地與信息技術(shù)聯(lián)系在一起。2007年,公安部、國家保密局、國家密碼管理局、國務(wù)院信息工作辦公室頒布了《信息安全等級(jí)保護(hù)管理辦法》。2006年人民銀行出臺(tái)了《關(guān)于進(jìn)一步加強(qiáng)銀行業(yè)金融機(jī)構(gòu)信息安全保障工作的指導(dǎo)意見》,2009年9月,人民銀行對(duì)全國66家銀行業(yè)金融機(jī)構(gòu)網(wǎng)銀系統(tǒng)安全進(jìn)行了現(xiàn)場檢查,并通過跟蹤整改,促進(jìn)各銀行提高對(duì)信息安全保障工作的重視程度,同月,人民銀行在銀行業(yè)信息安全通報(bào)會(huì)上表示,要將銀行信息安全納入考核。銀監(jiān)會(huì)制定的《電子銀行業(yè)務(wù)管理辦法》、《電子銀行安全評(píng)估機(jī)構(gòu)業(yè)務(wù)資格認(rèn)定工作規(guī)程》、《電子銀行安全評(píng)估指引》、《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》等法規(guī)制度相繼出臺(tái),各商業(yè)銀行也大力推動(dòng)了IT審計(jì)的進(jìn)程。歸納起來看,這幾部法規(guī)強(qiáng)調(diào)了三個(gè)重點(diǎn)。一是關(guān)于銀行業(yè)金融機(jī)構(gòu)完善IT治理結(jié)構(gòu)方面,通過構(gòu)建和完善金融機(jī)構(gòu)內(nèi)與信息技術(shù)應(yīng)用有關(guān)的組織架構(gòu)及工作程序,有效地識(shí)別、度量、跟蹤和控制信息技術(shù)風(fēng)險(xiǎn)。二是規(guī)定了從事某些嚴(yán)重依賴信息技術(shù)的銀行業(yè)務(wù)的資質(zhì)。三是對(duì)風(fēng)險(xiǎn)的識(shí)別、計(jì)量、管理,與國際銀行業(yè)的發(fā)展趨勢相一致。
(二)發(fā)展有差距:中小商業(yè)銀行信息安全建設(shè)整體水平落后于股份制商業(yè)銀行
近年來,我國各股份制商業(yè)銀行為了提高競爭力,相繼對(duì)核心業(yè)務(wù)系統(tǒng)和后臺(tái)管理系統(tǒng)進(jìn)行了改造開發(fā),信息化發(fā)展水平相對(duì)比較先進(jìn),且信息安全體系較為健全。目前,大部分股份制銀行或是穩(wěn)健引進(jìn)國外核心業(yè)務(wù)系統(tǒng),或是通過自身的研發(fā)力量,不斷地在原有系統(tǒng)基礎(chǔ)上,打造出更適合未來發(fā)展的新系統(tǒng),以全面提升信息化建設(shè)水平為落腳點(diǎn),在信息安全管理方面作出了令人矚目的成績。相比之下,中小商業(yè)銀行,特別是城市商業(yè)銀行、城信社、農(nóng)村商業(yè)銀行、農(nóng)村合作銀行及農(nóng)信社的信息化建設(shè)嚴(yán)重滯后于業(yè)務(wù)發(fā)展的需要,其信息安全管理亦存在較多隱患。
(三)防范多漏洞:中小商業(yè)銀行信息安全隱患驟增
中小型金融機(jī)構(gòu)信息系統(tǒng)眾多安全環(huán)節(jié)都存在漏洞,首先是核心數(shù)據(jù)的安全沒有保障,表現(xiàn)在:第一,核心計(jì)算機(jī)機(jī)房的建設(shè)符合標(biāo)準(zhǔn)的不多,在選址、供電、機(jī)房的建設(shè)標(biāo)準(zhǔn)、機(jī)房的安保措施都或多或少存在問題。第二,沒有能力建設(shè)自身的異地備份中心,所有的數(shù)據(jù)存在于一個(gè)點(diǎn)上,如果發(fā)生極端情況,后果將是災(zāi)難性的。其次,在建設(shè)過程中,因?yàn)闆]有統(tǒng)籌考慮,對(duì)于系統(tǒng)安全部分的硬件設(shè)施、軟件設(shè)計(jì)模塊缺乏,造成諸如審計(jì)、保密、數(shù)據(jù)傳輸中的完整性、數(shù)據(jù)正確性、對(duì)外來攻擊的預(yù)防等安全措施弱化或缺失。再次,在系統(tǒng)投入生產(chǎn)后的運(yùn)維周期,主要依靠系統(tǒng)承包商,自身的能力不足以做好運(yùn)維工作,人力風(fēng)險(xiǎn)明顯。
二、中小商業(yè)銀行信息安全風(fēng)險(xiǎn)分析
(一)IT外包風(fēng)險(xiǎn)-忽略業(yè)務(wù)連續(xù)性的無奈選擇
在國內(nèi)中小銀行IT外包迅速發(fā)展的同時(shí),也面臨諸多風(fēng)險(xiǎn)。一是市場風(fēng)險(xiǎn)。中國的IT服務(wù)市場仍不夠成熟,一旦IT外包后,商業(yè)銀行需要借助外包商的力量規(guī)避市場需求變化的風(fēng)險(xiǎn),且銀行也不可能輕易涉入外包商的經(jīng)營管理工作中,對(duì)中小銀行而言,市場的不確定性很大。二是技術(shù)風(fēng)險(xiǎn)。外包商研發(fā)能力與銀行現(xiàn)有的技術(shù)不匹配.就會(huì)嚴(yán)重阻礙銀行的信息化進(jìn)程;外包商采用的新技術(shù)不夠成熟,將危及整個(gè)計(jì)算機(jī)應(yīng)用系統(tǒng)的穩(wěn)定性和安全性。三是交易風(fēng)險(xiǎn)。由于外包市場的不成熟,服務(wù)標(biāo)準(zhǔn)的不完善,交易雙方市場信息的不對(duì)稱,商業(yè)銀行在價(jià)格、質(zhì)量、時(shí)間等方面承擔(dān)一定的風(fēng)險(xiǎn)。四是戰(zhàn)略風(fēng)險(xiǎn)。易造成核心信息外泄。
(二)災(zāi)備恢復(fù)風(fēng)險(xiǎn)-效益與成本之間的兩難選擇
災(zāi)備中心的運(yùn)營是構(gòu)建業(yè)務(wù)連續(xù)管理體系非常重要的一環(huán)。一個(gè)運(yùn)行良好、作用有效的災(zāi)難備份與恢復(fù)體系建設(shè)不僅涉及IT、業(yè)務(wù)、財(cái)務(wù)、后勤保障等部門,還需獲得消防、電力和電信行業(yè)等相關(guān)部門、單位的支持,以確保相應(yīng)的配套資源。2005年以來,為應(yīng)對(duì)因數(shù)據(jù)大集中而帶來的技術(shù)風(fēng)險(xiǎn)集中,以工商銀行為代表的國有商業(yè)銀行采取了自建災(zāi)備中心的措施,多數(shù)全國性股份制商業(yè)銀行也基本完成了災(zāi)備中心建設(shè)。但出于成本考慮,中小商業(yè)銀行的災(zāi)備建設(shè)還未出現(xiàn)良好的“中國模式”。中國的中小商業(yè)銀行,特別是城市商業(yè)銀行在系統(tǒng)災(zāi)難備份方面幾乎是空白。
(三)信息安全認(rèn)識(shí)偏差產(chǎn)生的風(fēng)險(xiǎn)-運(yùn)行機(jī)制不健全的產(chǎn)物
與國有商業(yè)銀行及股份制銀行相比,我國中小商業(yè)銀行的信息化進(jìn)程起步較晚,對(duì)隨之而來的信息安全問題一定程度上存在認(rèn)識(shí)偏差。以咸陽中小商業(yè)銀行為例,大部分對(duì)于信息安全與網(wǎng)絡(luò)安全的區(qū)別認(rèn)識(shí)不清,僅重視安全工具投資而忽視管理投資,大多信息安全工作不成體系。在當(dāng)前信息化由局部化應(yīng)用向一體化應(yīng)用演變、信息管理由分散化向集中化過度的背景下,這種由認(rèn)識(shí)偏差而產(chǎn)生的風(fēng)險(xiǎn)極易導(dǎo)致信息化建設(shè)重復(fù)投資、管理無序,由此而帶來的信息安全隱患亦隨著信息化進(jìn)程的加速而倍增。
三、我國中小商業(yè)銀行信息安全建設(shè)的戰(zhàn)略選擇
相較國有商業(yè)銀行及股份制銀行,中小商業(yè)銀行在信息安全建設(shè)方面處于后來者的地位,在自籌資金有限,管理水平較低,硬件設(shè)備投入不夠的緊迫壓力下,為避免重復(fù)投資、無序管理,一個(gè)科學(xué)合理的規(guī)劃尤為重要。可預(yù)見的一段時(shí)期,我國中小商業(yè)銀行的總體目標(biāo)應(yīng)是:通過建立完善的信息安全管理制度和安全防御技術(shù)手段,構(gòu)建一個(gè)包括管理體系、組織體系與技術(shù)體系相結(jié)合的全方位、多層次、可動(dòng)態(tài)發(fā)展的縱深安全防范體系,為金融業(yè)務(wù)的發(fā)展提供一個(gè)堅(jiān)實(shí)的基礎(chǔ)保障。為實(shí)現(xiàn)上述目標(biāo),我國中小商業(yè)銀行信息安全建設(shè)應(yīng)在戰(zhàn)略上作出以下策略選擇。
(一)以確保信息安全建設(shè)的協(xié)調(diào)性、開放性和持續(xù)性為戰(zhàn)略重點(diǎn)進(jìn)行遠(yuǎn)期規(guī)劃
中小商業(yè)銀行必須重視做好全面、系統(tǒng)的信息系統(tǒng)架構(gòu),將安全融入整個(gè)信息系統(tǒng)生命周期中,通過借鑒其他銀行的成功經(jīng)驗(yàn),明確階段性建設(shè)目標(biāo),力爭在前期以最少的資金投入獲得高標(biāo)準(zhǔn)的信息服務(wù)和安全保障。中小商業(yè)銀行信息安全遠(yuǎn)期規(guī)劃的首要任務(wù)是組織行內(nèi)外力量,結(jié)合本行信息化建設(shè)的中長期發(fā)展規(guī)劃和經(jīng)營管理戰(zhàn)略,在充分把握金融信息技術(shù)發(fā)展趨勢的基礎(chǔ)上,全面分析銀行外部經(jīng)營環(huán)境及內(nèi)部經(jīng)營環(huán)境,立足現(xiàn)實(shí)的資源能力,對(duì)銀行信息安全建設(shè)的總體目標(biāo)、實(shí)施步驟、關(guān)鍵技術(shù)、相關(guān)規(guī)范、階段劃分及費(fèi)用評(píng)估進(jìn)行統(tǒng)籌安排。
(二)以健全和完善IT安全治理機(jī)制為重點(diǎn),提高信息安全的管理績效
當(dāng)IT成為銀行業(yè)務(wù)發(fā)展和管理不可或缺的組成部分,并在提供收益的同時(shí)帶來風(fēng)險(xiǎn)時(shí),銀行對(duì)IT必須從管理走向治理。有效的IT安全治理需要解決三個(gè)方面的問題。首先是明確目標(biāo)。一是必須確保銀行IT安全治理與IT治理的目標(biāo)、內(nèi)容、步驟環(huán)環(huán)相扣,緊密銜接,并作為銀行公司治理整體的一部分和諧共存。二是明確IT治理的決策內(nèi)容,即IT原則、IT架構(gòu)、IT基礎(chǔ)設(shè)施、IT商業(yè)應(yīng)用及IT投資。三是根據(jù)自身實(shí)際情況制定IT安全治理計(jì)劃。其次是解決IT安全治理的組織性問題,關(guān)鍵是準(zhǔn)確定義銀行IT安全治理的角色和職責(zé)。最后是完善IT安全治理的控制機(jī)制。一是IT投資的控制機(jī)制。應(yīng)根據(jù)銀行IT安全管理的實(shí)際情況,針對(duì)薄弱環(huán)節(jié),按安全級(jí)別進(jìn)行排序,優(yōu)先把資金投入到銀行急需的IT安全資源中。二是IT安全治理的監(jiān)控機(jī)制。
(三)以加強(qiáng)IT風(fēng)險(xiǎn)管理為重點(diǎn),全面構(gòu)筑信息安全保障體系
一是加強(qiáng)組織管理體系建設(shè),落實(shí)風(fēng)險(xiǎn)管理和安全運(yùn)行責(zé)任制。重點(diǎn)在發(fā)現(xiàn)整個(gè)信息系統(tǒng)的薄弱環(huán)節(jié),區(qū)分業(yè)務(wù)風(fēng)險(xiǎn)和信息系統(tǒng)風(fēng)險(xiǎn),制定出相應(yīng)的風(fēng)險(xiǎn)防范辦法加以落實(shí)并對(duì)結(jié)果進(jìn)行檢查,建立起自身的風(fēng)險(xiǎn)防范機(jī)制。二是加強(qiáng)信息安全保障體系建設(shè),完善應(yīng)急反應(yīng)體系和商業(yè)銀行業(yè)務(wù)連續(xù)性計(jì)劃,加快建立災(zāi)備恢復(fù)體系,建設(shè)應(yīng)急儲(chǔ)備倉庫,倉庫中應(yīng)包括相關(guān)的硬件、軟件、人員、技術(shù)、文檔和所有的系統(tǒng)相關(guān)的外部資源。三是加強(qiáng)安全管理制度建設(shè),通過常規(guī)安全審計(jì)等方法對(duì)IT風(fēng)險(xiǎn)進(jìn)行排序,做好計(jì)算機(jī)運(yùn)行的安全檢查工作。四是完善與商業(yè)銀行數(shù)據(jù)集中相適應(yīng)的安全和管理體系,最大限度地降低系統(tǒng)運(yùn)行風(fēng)險(xiǎn),保障銀行業(yè)務(wù)處理系統(tǒng)的平穩(wěn)運(yùn)行。五是建立健全包括內(nèi)部員工、IT供應(yīng)商、安全責(zé)任人和保險(xiǎn)人在內(nèi)的風(fēng)險(xiǎn)消除機(jī)制。
(課題組組長:南楓 課題組成員:馬峰 趙濤 馬戰(zhàn)軍 張軼)
第二篇:我國商業(yè)銀行國際化問題研究(范文)
金
融 姓名:劉少宇班級(jí):5 學(xué)
論
文
學(xué)號(hào):
1201010504
摘要:商業(yè)銀行國際化是世界經(jīng)濟(jì)一體化和全球化的重要組成部分,也是當(dāng)今全球經(jīng)濟(jì)發(fā)展的大趨勢。特別是近幾十年來,這種趨勢更加明顯,越來越多的銀行加入國際化的行列,其國際業(yè)務(wù)的比重也逐年上升。商業(yè)銀行國際化不僅可以降低系統(tǒng)性風(fēng)險(xiǎn),而且可從其經(jīng)濟(jì)的高增長中獲得豐厚回報(bào),擴(kuò)大國際業(yè)務(wù)收入在銀行總收入中所占比重,提升銀行收入的多樣化和穩(wěn)定性。因此商業(yè)銀行國際化具有非常的現(xiàn)實(shí)意義和深遠(yuǎn)的戰(zhàn)略意義。
關(guān)鍵詞:商業(yè)銀行,國際化發(fā)展
一、我國商業(yè)銀行國際化發(fā)展的新趨勢
我國工、中、建、交等大型商業(yè)銀行通過股份制改革、境內(nèi)外公開上市,完成了從國有獨(dú)資銀行向股份制商業(yè)銀行,進(jìn)而向上市銀行的轉(zhuǎn)變。通過近年來的加速發(fā)展和股改上市,這幾家行資產(chǎn)質(zhì)量、經(jīng)營效益、業(yè)務(wù)結(jié)構(gòu)、管理效率和治理水平都有了明顯的改善和提高,這為商業(yè)銀行國際化發(fā)展奠定了堅(jiān)實(shí)的基礎(chǔ),也呈現(xiàn)出一些新的特點(diǎn),商業(yè)銀行國際化已成為銀行業(yè)發(fā)展的一個(gè)亮點(diǎn)。1.組織機(jī)構(gòu)集團(tuán)化。
年代初,特別是近幾年來,不僅中小銀行紛紛合并結(jié)盟組成緊密型銀行集團(tuán)與大銀行競爭抗衡,大銀行也主動(dòng)合并構(gòu)成超級(jí)大行稱雄國內(nèi)國際金融市場,以取得經(jīng)營中的主動(dòng)權(quán),增強(qiáng)抗風(fēng)險(xiǎn)能力。2.分支網(wǎng)絡(luò)全球化。
第二次世界大戰(zhàn)后,商業(yè)銀行向海外設(shè)立分支機(jī)構(gòu)興于60 年代,70~80 年代在和南亞國家發(fā)展很快。我國改革之初和東歐蘇聯(lián)變革之前,西方國家商業(yè)銀行互設(shè)網(wǎng)點(diǎn)基本形成格局。3.業(yè)務(wù)經(jīng)營綜合化。
年代以前,各國對(duì)商業(yè)銀行管制較嚴(yán)格,在業(yè)務(wù)范圍上有明確的限制,大多采用“分業(yè)式”管理。從70 年代始,在金融法規(guī)比較健全和商業(yè)銀行經(jīng)營較為規(guī)范的前提下,各國相繼放寬了商業(yè)銀行經(jīng)營范圍,不僅允許經(jīng)營債券和有條件地參與股票業(yè)務(wù),而且還開辦了信托、保險(xiǎn)、租賃、保管、代理、外匯、咨詢等多種新業(yè)務(wù)。可以說,凡是與貨幣信用有關(guān)的業(yè)務(wù),銀行都開始辦理。4.收益渠道多元化。商業(yè)銀行傳統(tǒng)的業(yè)務(wù)是存貸款,從存貸利差中獲取利潤是銀行主要收入來源。但90 年代以來,銀行利差在激烈的競爭中進(jìn)一步縮小,以便吸引存貸客戶。為了保持穩(wěn)定的收入,銀行把注意力轉(zhuǎn)向中間業(yè)務(wù)和其他業(yè)務(wù)。在金融創(chuàng)新中出現(xiàn)的大量新型交易工具,已成為投資獲利的重要來源。據(jù)統(tǒng)計(jì),現(xiàn)有金融衍生工具已多達(dá)上千種,經(jīng)營有方的銀行從中獲利甚豐,所以,銀行在保持表內(nèi)業(yè)務(wù)穩(wěn)定收入的同時(shí),十分重視表外業(yè)務(wù)的開拓。5.同業(yè)競爭激烈化。
當(dāng)今的銀行業(yè)競爭已不受國界的限制,世界貿(mào)易組織成員國必須相互金融市場,不得設(shè)置障礙,銀行將面對(duì)來自國內(nèi)和國外的競爭。6.對(duì)外服務(wù)周到化。
信譽(yù)是銀行生存的基礎(chǔ),信譽(yù)主要來自服 務(wù),服務(wù)質(zhì)量關(guān)鍵取決于效率。雖然微笑服務(wù)和規(guī)范用語必不可少,但現(xiàn)代化的業(yè)務(wù)處理設(shè)備、及時(shí)準(zhǔn)確的信息更受客戶歡迎。(1)
二、我國商業(yè)銀行國際化發(fā)展面臨的挑戰(zhàn)
在國際金融市場進(jìn)一步發(fā)展、經(jīng)濟(jì)全球化進(jìn)程加快以及我國銀行業(yè)改革迅速推進(jìn)的大背景下,我國大型商業(yè)銀行國際化進(jìn)程不斷加速,引起了國際社會(huì)的關(guān)注,在國際市場上成為不可忽視的新生力量。在快速發(fā)展的同時(shí),我們也應(yīng)該清楚的看到,還有一系列的考驗(yàn)都在等待著剛剛走向國際舞臺(tái)的我國商業(yè)銀行。我們要正視國際金融環(huán)境帶來的挑戰(zhàn),清醒的認(rèn)真在國際化過程中存在的不足并加以改進(jìn),才能不斷推進(jìn)我國商業(yè)銀行國際化的健康發(fā)展。
(一)國際金融環(huán)境復(fù)雜多變使我國商業(yè)銀行國際化道路并不平坦
20世紀(jì)90年代以來,國際金融局勢復(fù)雜多變,1994年爆發(fā)俄羅斯金融危機(jī)、墨西哥金融危機(jī),1997年東南亞金融危機(jī),2007年美國次貸危機(jī)席卷全球。特別是去年次貸危機(jī)爆發(fā)使我們更加清楚的認(rèn)識(shí)到金融風(fēng)險(xiǎn)的復(fù)雜性、突變性、傳播性。目前,次貸危機(jī)從信貸市場蔓延到貨幣市場和股票市場,對(duì)全球銀行業(yè)的發(fā)展帶來巨大的負(fù)面影響,給全球金融市場帶來不小的打擊。同時(shí)我們也應(yīng)該清醒的看到,雖然亞洲、中東和南非等地金融業(yè)務(wù)表現(xiàn)出良好的成長性,但是增長的勢頭并不穩(wěn)固,經(jīng)濟(jì)金融形勢受到地區(qū)局勢等各方面因素影響較為明顯,部分地區(qū)的市場經(jīng)濟(jì)的運(yùn)行并不規(guī)范。這些都增加了我國商業(yè)銀行國際化進(jìn)程的難度。
(二)我國商業(yè)銀行國際化程度偏低,海外機(jī)構(gòu)經(jīng)營層次有待提升
截至2007年12月31日,中國銀行的海外資產(chǎn)占全行總資產(chǎn)的22.58%,除港澳之外的其他境外地區(qū)資產(chǎn)占全行總資產(chǎn)的3.83%,工商銀行海外資產(chǎn)占全行總資產(chǎn)不足3%,與花旗、匯豐、德意志銀行50%左右的占比水平相差甚遠(yuǎn),反映出我國商業(yè)銀行國際化程度不高,國際化進(jìn)程尚處在起步階段(2)。我國商業(yè)銀行部分海外分支機(jī)構(gòu)經(jīng)營模式較為落后,規(guī)模有限,資產(chǎn)較少,人員不足,制約了經(jīng)營層次的提升,無法在與當(dāng)?shù)厣虡I(yè)銀行競爭中占有主動(dòng)。客戶本土化進(jìn)展也比較緩慢,多數(shù)境外機(jī)構(gòu)核心客戶基礎(chǔ)薄弱,沒有充分融入當(dāng)?shù)亟?jīng)濟(jì),成為當(dāng)?shù)刂髁縻y行;也沒能好中資企業(yè)和華人華僑等客戶資源,制約了零售業(yè)務(wù)和中間業(yè)務(wù)的發(fā)展;海外機(jī)構(gòu)的分散化導(dǎo)致業(yè)務(wù)發(fā)展呈現(xiàn)孤島效應(yīng),內(nèi)外聯(lián)動(dòng)層次較低,全球化經(jīng)營潛力未能充分發(fā)揮。
(三)銀行之間競爭過于激烈
競爭過激影響了整個(gè)銀行體系的有序發(fā)展由于我國經(jīng)濟(jì)長期依賴于貿(mào)易的發(fā)展,尤其是進(jìn)出口國際貿(mào)易,銀行的國際業(yè)務(wù)早已成為一個(gè)有力的利潤增長點(diǎn)。隨著全國貿(mào)易總額的急速增加,各大商業(yè)銀行紛紛擴(kuò)大開展國際業(yè)務(wù)的經(jīng)營,這也因此打破了中國銀行曾經(jīng)壟斷經(jīng)營的局面。雖然,從經(jīng)濟(jì)學(xué)的角度分析,競爭有利于整體服務(wù)質(zhì)量的提高,以及國際業(yè)務(wù)的創(chuàng)新,有利于達(dá)到社會(huì)總體效用的最大化。然而,隨著競爭的不斷擴(kuò)大,利潤空間被急速壓縮,各大銀行甚至采用了不正當(dāng)?shù)氖侄螌?shí)現(xiàn)業(yè)務(wù)方面的增長,而忽略了業(yè)務(wù)質(zhì)量的提高。如:某些銀行降低信用證的開征條件,或者接受信用擔(dān)保開征等等。這些行為一方面增加了業(yè)務(wù)的風(fēng)險(xiǎn),另一方面助長了市場的投機(jī)行為,不利于市場的穩(wěn)定發(fā)展。(3)
三、我國商業(yè)銀行國際業(yè)務(wù)的發(fā)展戰(zhàn)略
(一)認(rèn)清當(dāng)前形勢,樹立發(fā)展理念,當(dāng)前商業(yè)銀行雖然意識(shí)到國際業(yè)務(wù)的重要地位,但很少意識(shí)到這類業(yè)務(wù)也需要結(jié)合營銷策略,這就需要銀行不僅要分析客觀經(jīng)濟(jì)形勢,也許加強(qiáng)研究客戶需求,堅(jiān)持以客戶為核心的方針,樹立良好的品牌形象,從而通過有效競爭,以增加銀行業(yè)務(wù)的競爭力。
(二)加大人才培養(yǎng)力度,為我國商業(yè)銀行國際化提供智力保障 優(yōu)秀的國際化人才隊(duì)伍是商業(yè)銀行國際化發(fā)展的一個(gè)關(guān)鍵因素。當(dāng)今世界成功開展跨國 經(jīng)營的銀行,無不擁有一大批穩(wěn)定的復(fù)合型、專家型金融人才。為滿足我國商業(yè)銀行國際化要求,我們需要一支既通曉國際規(guī)則與慣例、又熟悉本地經(jīng)濟(jì)與文化的國際化人才隊(duì)伍。對(duì)于優(yōu)秀人才隊(duì)伍建設(shè),可以從以下幾個(gè)方面入手,第一,選拔人才要放眼全球,在全球范圍選拔具備國際化經(jīng)營視野、熟悉銀行經(jīng)營管理的中高級(jí)人才。第二,從國內(nèi)商業(yè)銀行員工中,通過選拔考試,有計(jì)劃地增加境內(nèi)中高級(jí)管理人員的境外培訓(xùn),開闊國際視野,增強(qiáng)國際化經(jīng)營的管理能力。第三,要繼續(xù)推進(jìn)境外經(jīng)營機(jī)構(gòu)薪酬制度的改革,完善各種保障措施,吸引、留住、用好國際化人才。(4)
(三)加快金融產(chǎn)品創(chuàng)新,提供金融服務(wù)的綜合競爭力近兩年來,我國商業(yè)銀行金融產(chǎn)品創(chuàng)新的速度和數(shù)量朝著有力于提升我國銀行競爭力的方向發(fā)展,但與國外先進(jìn)銀行還有明顯的差距。我國商業(yè)銀行海外機(jī)構(gòu)在繼續(xù)推廣現(xiàn)有的銀團(tuán)貸款、國際結(jié)算與貿(mào)易融資、存匯業(yè)務(wù)的同時(shí),結(jié)合當(dāng)?shù)貞T例,豐富現(xiàn)有業(yè)務(wù)產(chǎn)品種類。在此基礎(chǔ)上,緊跟國際上商業(yè)銀行業(yè)務(wù)由批發(fā)業(yè)務(wù)向零售業(yè)務(wù)轉(zhuǎn)型的大趨勢(5),注重?cái)U(kuò)大零售客戶數(shù)量,提高個(gè)人中高端客戶比重。海外機(jī)構(gòu)應(yīng)充分利用信息技術(shù)來提升競爭優(yōu)勢,通過發(fā)展ATM、銀行卡、網(wǎng)上銀行、電話銀行、手機(jī)銀行等業(yè)務(wù),拓寬低成本服務(wù)渠道,實(shí)現(xiàn)物理網(wǎng)點(diǎn)和虛擬服務(wù)渠道并舉,形成相互補(bǔ)充、共同發(fā)展的多元化服務(wù)網(wǎng)絡(luò),實(shí)現(xiàn)對(duì)客戶“任何時(shí)間、任何地點(diǎn)、任何方式”的無邊界全程服務(wù)。通過對(duì)客戶提供全方位的金融產(chǎn)品服務(wù),提升我國商業(yè)銀行在海外知名度。參考文獻(xiàn):
(1)《中國城市金融》
(2)工商銀行、中國銀行2007年年報(bào)
(2)《我國商業(yè)銀行國際化發(fā)展的現(xiàn)實(shí)與挑戰(zhàn)》 葛兆強(qiáng)(3)《銀行業(yè)國際化“漸入佳境”》 姜建清(5)《中國銀行業(yè)海外發(fā)展戰(zhàn)略的思考》 吳念魯
第三篇:我國商業(yè)銀行內(nèi)部控制問題研究
我國商業(yè)銀行內(nèi)部控制問題研究
摘 要:近年來,我國的商業(yè)銀行不斷對(duì)其內(nèi)部控制制度進(jìn)行探究深化,旨在健全和完善內(nèi)部控制體系。但是,就目前的發(fā)展形勢來看,商業(yè)銀行的內(nèi)部控制在實(shí)際工作中仍存在諸多問題。基于此,本文以巴塞爾協(xié)議為理論基礎(chǔ),參照人民銀行、銀監(jiān)會(huì)內(nèi)部控制指引,針對(duì)商業(yè)銀行內(nèi)部控制存在的問題進(jìn)行分析,從而提出相關(guān)性的解決對(duì)策,進(jìn)一步完善的構(gòu)建內(nèi)部控制體系。
關(guān)鍵詞:商業(yè)銀行;內(nèi)部控制;措施
金融企業(yè)作為現(xiàn)代經(jīng)濟(jì)的發(fā)展核心,對(duì)社會(huì)經(jīng)濟(jì)的發(fā)展起著關(guān)鍵性作用,而商業(yè)銀行作為金融業(yè)的重要組成部分,就必須不斷健全和完善內(nèi)部控制系統(tǒng),以此來適應(yīng)全新的金融環(huán)境。而從另一方面來說,內(nèi)部控制也是商業(yè)銀行的一種自律行為。加強(qiáng)內(nèi)部控制能夠有效地保護(hù)銀行資產(chǎn)的安全,預(yù)防金融風(fēng)險(xiǎn),保障會(huì)計(jì)信息數(shù)據(jù)的真實(shí)可靠,提高銀行的經(jīng)濟(jì)效益。所以,商業(yè)銀行應(yīng)該自覺主動(dòng)的建立完善內(nèi)部控制的各種規(guī)章制度,并對(duì)其工作人員的業(yè)務(wù)經(jīng)濟(jì)活動(dòng)進(jìn)行風(fēng)險(xiǎn)控制,才能夠真正的開拓銀行的市場之路。
一、我國商業(yè)銀行的內(nèi)部控制定義
內(nèi)部控制是保障銀行內(nèi)部正常運(yùn)營的保障,為保障經(jīng)營目標(biāo)的充分實(shí)現(xiàn)和各項(xiàng)業(yè)務(wù)的正常開展,防范和化解金融風(fēng)險(xiǎn)而制定并組織實(shí)施的,對(duì)內(nèi)部各部門和人員進(jìn)行相互制約和相互協(xié)調(diào)的一系列制度、措施、程序和方法。
內(nèi)部控制是商業(yè)銀行為確保經(jīng)營目標(biāo)的實(shí)現(xiàn)和各項(xiàng)業(yè)務(wù)的正常開展,防止和化解金融風(fēng)險(xiǎn)而制定并組織實(shí)施的,對(duì)內(nèi)部各個(gè)部門和員工進(jìn)行相互制約和相互協(xié)作和調(diào)節(jié)的一系列制度、措施、程序和方法。就內(nèi)部控制理論發(fā)展,它大致經(jīng)歷了萌芽期―內(nèi)部牽引階段、發(fā)展期―內(nèi)部控制階段、完善期―內(nèi)部控制結(jié)構(gòu)階段、成熟期―內(nèi)部控制整體框架階段。
1.控制的相關(guān)定義
COSO委員會(huì)提出了內(nèi)部控制的相關(guān)具體概念:“內(nèi)部控制是企業(yè)董事會(huì)、經(jīng)理當(dāng)局以及其他人員為達(dá)到財(cái)務(wù)報(bào)告的可靠性、經(jīng)營活動(dòng)的效率和效果、相關(guān)法律法規(guī)的遵循等三個(gè)目標(biāo)而提供合理保證的過程。”
2.內(nèi)部控制的構(gòu)成
報(bào)告認(rèn)為,內(nèi)部控制由五個(gè)相互聯(lián)系的要素:控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息和溝通、監(jiān)督。監(jiān)督是對(duì)內(nèi)部控制系統(tǒng)的運(yùn)行質(zhì)量不斷進(jìn)行評(píng)價(jià)的過程,即不斷地對(duì)內(nèi)部控制的設(shè)計(jì)、運(yùn)行和修正活動(dòng)進(jìn)行評(píng)價(jià)。
3.商業(yè)銀行內(nèi)部控制的目標(biāo)為
(1)確保國家法律法規(guī)及本行內(nèi)部規(guī)章制度的有效執(zhí)行;
(2)確保銀行內(nèi)部各個(gè)業(yè)務(wù)板塊各項(xiàng)經(jīng)營管理目標(biāo)的全面實(shí)施和充分實(shí)現(xiàn);
(3)確保實(shí)施全面風(fēng)險(xiǎn)管理,以健全的內(nèi)控制度和嚴(yán)密的控制措施為保障,以健康的內(nèi)部控制文化,先進(jìn)、安全的信息系統(tǒng)等要素為支撐,建立完善的風(fēng)險(xiǎn)管理體系;
(4)確保風(fēng)險(xiǎn)管理體系的有效性,能及時(shí)全面有效地識(shí)別、計(jì)量、評(píng)估、控制、監(jiān)測和化解各類風(fēng)險(xiǎn),確保因哈根內(nèi)部各個(gè)業(yè)務(wù)各項(xiàng)經(jīng)營管理活動(dòng)合規(guī)、穩(wěn)健、高效、持續(xù)地開展。
4.商業(yè)銀行內(nèi)部控制應(yīng)遵循“全面性、優(yōu)先性、制衡性、適當(dāng)性、適應(yīng)性、成本效益、有效性”的原則,具體包括:
(1)全面性原則
內(nèi)部控制應(yīng)覆蓋零售業(yè)務(wù)各項(xiàng)經(jīng)營管理活動(dòng)的所有流程及操作環(huán)節(jié),覆蓋實(shí)施經(jīng)營管理的所有部門、崗位及人員。所有參與經(jīng)營管理活動(dòng)的部門和人員都有相應(yīng)的內(nèi)部控制義務(wù)和職責(zé),任何人不得擁有不受內(nèi)部控制約束的權(quán)利,任何決策或操作均應(yīng)當(dāng)有案可查。
(2)優(yōu)先性原則
內(nèi)部控制以防范風(fēng)險(xiǎn)、審慎經(jīng)營為出發(fā)點(diǎn),銀行內(nèi)部業(yè)務(wù)各項(xiàng)經(jīng)營管理活動(dòng)應(yīng)事先制定有關(guān)政策、制度和程序,識(shí)別、計(jì)量和評(píng)估相關(guān)風(fēng)險(xiǎn),提出風(fēng)險(xiǎn)防范措施,以體現(xiàn)“內(nèi)控優(yōu)先”的要求。
(3)制衡性原則
內(nèi)部控制應(yīng)當(dāng)在治理結(jié)構(gòu)、機(jī)構(gòu)設(shè)置及權(quán)責(zé)分配、業(yè)務(wù)流程等方面形成互相制約和互相監(jiān)督。
(4)適當(dāng)性原則
內(nèi)部控制應(yīng)適當(dāng)有效,既能有效防范風(fēng)險(xiǎn)又不影響經(jīng)營效率,確保內(nèi)部控制不疏漏、不過度。
(5)適應(yīng)性原則
內(nèi)部控制應(yīng)當(dāng)與各項(xiàng)業(yè)務(wù)的經(jīng)營規(guī)模、業(yè)務(wù)范圍、競爭狀況和風(fēng)險(xiǎn)水平等相適應(yīng),并隨著情況的變化及時(shí)進(jìn)行調(diào)整。
(6)成本效益原則
內(nèi)部控制應(yīng)當(dāng)權(quán)衡實(shí)施成本與預(yù)期效益,以適當(dāng)?shù)某杀緦?shí)現(xiàn)有效控制。
(7)有效性原則
(8)內(nèi)部控制應(yīng)當(dāng)有效可行,內(nèi)部控制存在的問題應(yīng)當(dāng)能夠得到及時(shí)反饋和有效糾正。
二、我國商業(yè)銀行內(nèi)部控制存在的問題
1.內(nèi)部控制環(huán)境
在內(nèi)部控制環(huán)境上,主要存在管理人員對(duì)內(nèi)控的重視度不足,且對(duì)風(fēng)險(xiǎn)的認(rèn)知不夠,只是片面強(qiáng)調(diào)經(jīng)濟(jì)業(yè)務(wù)上的開拓,以實(shí)現(xiàn)利潤的最大化,卻忽視了內(nèi)部控制環(huán)境的重要性。比如法人代表的自我約束軟化、管理不健全,重建設(shè)輕管理等問題。而另一方面,我國的商業(yè)銀行在組織機(jī)構(gòu)的建立上也較不合理。比如在部門、崗位的職責(zé)劃分上就模糊不清,有的部門之間在出現(xiàn)問題之后,出現(xiàn)互推責(zé)任,使得內(nèi)部控制制度不能發(fā)揮其作用,最終導(dǎo)致了銀行業(yè)務(wù)流程的各個(gè)環(huán)節(jié)銜接不緊密,脫節(jié)現(xiàn)象頻發(fā)。
2.內(nèi)部控制活動(dòng)
一方面,我國商業(yè)銀行的控制制度的建立仍較不健全,管理部門之間的銜接也較不充分,使得銀行在控制分散和控制上存在不足。另一方面,由于商業(yè)銀行沒有明確的劃分各部門的風(fēng)險(xiǎn)防范職責(zé),就導(dǎo)致了部門業(yè)務(wù)環(huán)節(jié)在實(shí)施關(guān)鍵控制活動(dòng)上有所缺失,且大多數(shù)的銀行在內(nèi)控方式上也偏重于業(yè)務(wù)的事后補(bǔ)救和監(jiān)督,不夠重視風(fēng)險(xiǎn)的規(guī)避,也缺乏進(jìn)行連貫的整理搜集和綜合監(jiān)測銀行的監(jiān)督機(jī)構(gòu)或是組織。
3.監(jiān)督評(píng)價(jià)機(jī)制
只有通過連續(xù)的評(píng)價(jià)監(jiān)督,才能夠保障內(nèi)部控制機(jī)制的有效運(yùn)行,所以,必須監(jiān)督商業(yè)銀行的內(nèi)部控制。內(nèi)控制度主要是由內(nèi)部審計(jì)進(jìn)行連續(xù)的監(jiān)督和評(píng)價(jià),因此內(nèi)部審計(jì)就必須保持客觀獨(dú)立性,正確履行職能,揭露內(nèi)部控制制度中存在的問題,為決策者提供準(zhǔn)確的信息,以便及時(shí)提出應(yīng)對(duì)措施。但是,目前的監(jiān)督評(píng)價(jià)機(jī)制仍舊存在以下問題:一個(gè)是內(nèi)部審計(jì)工作的不規(guī)范及其審計(jì)手段較為落后,另一個(gè)是商業(yè)銀行的分支機(jī)構(gòu)在內(nèi)控制度的檢查評(píng)價(jià)上仍有不足。
4.風(fēng)險(xiǎn)評(píng)估
一方面,在經(jīng)營過程中,由于商業(yè)銀行沒有充分的考慮到可能遇到的各種對(duì)其不利的內(nèi)部影響及其外部因素變化所帶來的風(fēng)險(xiǎn),所以就可能導(dǎo)致銀行內(nèi)部結(jié)構(gòu)的變化其管理層的變動(dòng)或是經(jīng)濟(jì)周期的波動(dòng)等。另一方面,我國對(duì)于銀行風(fēng)險(xiǎn)的測評(píng)缺乏連續(xù)性,就導(dǎo)致了風(fēng)險(xiǎn)發(fā)生后,銀行才意識(shí)到制度上存在的漏洞或是經(jīng)營中隱藏的各項(xiàng)風(fēng)險(xiǎn),不能夠根據(jù)不斷變化的環(huán)境及時(shí)作出反映。最后,我國商業(yè)銀行也沒有針對(duì)經(jīng)營中所面臨的各項(xiàng)風(fēng)險(xiǎn)建立科學(xué)統(tǒng)一的風(fēng)險(xiǎn)體系,這就導(dǎo)致了我國部分銀行信貸業(yè)務(wù)的風(fēng)險(xiǎn)管理較為不足,且風(fēng)險(xiǎn)評(píng)估手段也極為單一。
5.信息交流與反饋
現(xiàn)如今,內(nèi)部信息傳遞在我國商業(yè)銀行,依然在一定程度上導(dǎo)致信息傳遞不暢通,在一定程度上還依靠著金字塔式的組織結(jié)構(gòu)來實(shí)現(xiàn)。關(guān)于信息傳遞的真實(shí)性準(zhǔn)確性,而信息傳遞的效率和信息的時(shí)效性也會(huì)被受到影響,原因是龐大的組織結(jié)構(gòu)、過長的傳遞鏈條,準(zhǔn)確的完整的信息、逐漸遞減,頂端管理層的指示很難準(zhǔn)確的傳遞到最基層,而基層機(jī)構(gòu)的經(jīng)營活動(dòng)狀況也難以準(zhǔn)確的傳遞到最高層。
三、完善我國商業(yè)銀行內(nèi)部控制的措施
1.協(xié)調(diào)社會(huì)環(huán)境,完善法人治理結(jié)構(gòu)
從廣義的視角來考察內(nèi)部控制環(huán)境,就必須考慮到西方市場經(jīng)濟(jì)的國家社會(huì)信用體系是否足夠完善。我國商業(yè)銀行能否穩(wěn)健運(yùn)行,不僅需要銀行內(nèi)部能夠有效控制,更需要社會(huì)環(huán)境尤其是社會(huì)信用制度的大力支持,才能夠協(xié)調(diào)好商業(yè)銀行的內(nèi)部發(fā)展。在市場經(jīng)濟(jì)發(fā)達(dá)的國家,其金融法律法規(guī)相對(duì)齊全,且信用制度也得到了廣發(fā)的建立及其嚴(yán)格遵守,使得商業(yè)銀行的抵御信用風(fēng)險(xiǎn)和交易風(fēng)險(xiǎn)等風(fēng)險(xiǎn)都有了較為堅(jiān)實(shí)的基礎(chǔ),而這種社會(huì)信用支持能夠保障我國商業(yè)銀行的健康發(fā)展,所我國應(yīng)該重視社會(huì)信用體系的建立,逐步完善和協(xié)調(diào)社會(huì)環(huán)境,健全法治社會(huì)。
2.加強(qiáng)合規(guī)管理,營造良好內(nèi)控環(huán)境
加強(qiáng)合規(guī)管理,就是指商業(yè)銀行應(yīng)該遵守包括監(jiān)管和立法機(jī)構(gòu)所規(guī)定的基本法律法規(guī)、行業(yè)協(xié)會(huì)所規(guī)定的行業(yè)規(guī)則及其適用于商業(yè)銀行職工的內(nèi)部行為準(zhǔn)則等。基于此,所謂的法律法規(guī)、行為準(zhǔn)則不僅僅是單純的包括具有法律約束的文獻(xiàn),更包括廣義上的誠實(shí)守信,公正客觀的道德行為規(guī)范準(zhǔn)則。而為了能夠打造一個(gè)良好的銀行內(nèi)控環(huán)境,我國自2000年以來也相繼成立了適應(yīng)金融業(yè)發(fā)展的合規(guī)部門,比如2004年工商銀行就將合規(guī)管理與內(nèi)控職能相結(jié)合,成立了內(nèi)控合規(guī)部門,這樣一來,使得我國商業(yè)銀行內(nèi)部控制便于管理,更營造了良好的內(nèi)控氛圍。
3.重視外部監(jiān)督,真實(shí)披露信息制度
銀行監(jiān)督會(huì)作為商業(yè)銀行的監(jiān)管部門能夠有效地對(duì)商業(yè)銀行的內(nèi)部控制情況進(jìn)行定期的評(píng)價(jià),并以外部監(jiān)管的視角,協(xié)助銀行找尋內(nèi)控中存在的缺陷和漏洞,在督促銀行的同時(shí)進(jìn)一步完善了內(nèi)控機(jī)制管理,提高內(nèi)控的管理水平。所以,在我國商業(yè)銀行不斷公開上市的情況下,商業(yè)銀行有必要重視起來自投資者和證券市場監(jiān)管者的外部監(jiān)督。基于此情況下,我國也強(qiáng)烈要求著上市公司必須設(shè)立并維持相應(yīng)的內(nèi)部控制結(jié)構(gòu),建立定期披露制度,真實(shí)客觀地反映上市公司的信息披露。而健全披露制度的同時(shí)也能夠有效的促進(jìn)商業(yè)銀行提高對(duì)內(nèi)控體系的建設(shè),并能夠充分利用外部監(jiān)督的優(yōu)勢,完善內(nèi)控體系。
4.有效發(fā)揮內(nèi)控,提高內(nèi)控效率
我國商業(yè)銀行的內(nèi)部控制制度主要著重分析了具體流程中的風(fēng)險(xiǎn),并據(jù)此采取適當(dāng)?shù)拇胧┻M(jìn)行風(fēng)險(xiǎn)控制。所以,在實(shí)際操作中,可能由于控制的需要就將業(yè)務(wù)操作流程設(shè)計(jì)得較為復(fù)雜,且處理環(huán)節(jié)也增多,控制成本相對(duì)較高,內(nèi)控效率低下。基于此,就必須對(duì)商業(yè)銀行的業(yè)務(wù)流程、管理流程及其企業(yè)文化等進(jìn)行重新構(gòu)造,以此展開全新的商業(yè)銀行管理模式,將客戶作為中心,輔之以市場經(jīng)濟(jì)為導(dǎo)向來進(jìn)行業(yè)務(wù)流程設(shè)計(jì),再根據(jù)具體的業(yè)務(wù)流程重新塑造商業(yè)銀行的管理流程,打造更加完善的企業(yè)文化理念。以此達(dá)到簡化業(yè)務(wù)流程步驟,降低控制成本,提高內(nèi)控效率的目標(biāo)。
5.內(nèi)控流程與操作和管理信息系統(tǒng)的有效結(jié)合
建立有效的信息溝通機(jī)制,確保董事會(huì)、監(jiān)事會(huì)、高級(jí)管理層及時(shí)了解本行的經(jīng)營和風(fēng)險(xiǎn)狀況,確保相關(guān)部門和員工及時(shí)了解與其職責(zé)相關(guān)的制度和信息。
就我國商業(yè)銀行而言,商業(yè)銀行內(nèi)部應(yīng)建立健全信息系統(tǒng)控制,通過內(nèi)部控制流程與業(yè)務(wù)操作系統(tǒng)和管理信息系統(tǒng)的有效結(jié)合,加強(qiáng)對(duì)業(yè)務(wù)和管理活動(dòng)的系統(tǒng)自動(dòng)控制。商業(yè)銀行應(yīng)建立健覆蓋所有業(yè)務(wù)和全部流程的管理信息系統(tǒng)和業(yè)務(wù)操作體系,確保及時(shí)、準(zhǔn)確記錄經(jīng)營管理的信息,確保信息的完整、連續(xù)、準(zhǔn)確和可追溯。應(yīng)當(dāng)加強(qiáng)對(duì)信息的安全控制和保密管理,對(duì)各類信息的實(shí)施應(yīng)該分等級(jí)的安全管理,對(duì)信息系統(tǒng)的訪問實(shí)施權(quán)限管理,確保信息安全。
四、結(jié)束語
我國商業(yè)銀行在實(shí)施內(nèi)部控制上仍存在較多不足之處,不僅在理論研究上起步晚,在實(shí)踐經(jīng)驗(yàn)上更為不足。所以,商業(yè)銀行就必須在建立內(nèi)控制度的過程中去慢慢摸索,不斷的去完善內(nèi)控機(jī)制,才能夠提高我國商業(yè)銀行內(nèi)部控制體系建設(shè)的最終效率,促進(jìn)我國商業(yè)銀行的長遠(yuǎn)發(fā)展。
參考文獻(xiàn):
[1]路開強(qiáng).我國商業(yè)銀行內(nèi)部控制問題研究[D].山東大學(xué),2014.[2]焦敏.我國商業(yè)銀行內(nèi)部控制研究[J].金融經(jīng)濟(jì),2010,08:39-40.[3]周莉莉,陳杰.我國商業(yè)銀行內(nèi)部控制研究[J].經(jīng)濟(jì)問題探索,2010,05:130-136.[4]黃為娥.內(nèi)部控制理論的新發(fā)展及其對(duì)我國的啟示[D].廈門:廈門大學(xué),2006.[5]Barton J,Waymire G.Investor Protection under Regulated Financial Reporting [J].Journal of Accounting and Economics,2004(1):35-38.[6]Bowen PL,Rohde FH.Fifth International research symposium on accounting information systems[J],International Journal of Accounting Information Systems,2005,6(3):157-158.[7]Angella Amudo,Eno L.Inanga.Evaluation of Internal Control Systems:A Case Study from Uganda[J].International Research Journal of Finance and Economics,2009,P125-P143.
第四篇:中小商業(yè)銀行信息安全體系構(gòu)架思路
中小商業(yè)銀行信息安全體系構(gòu)架思路
2009-03-24CBSi中國·PChome.net類型: 轉(zhuǎn)載來源: 睿商在線
中小銀行所面臨的信息安全風(fēng)險(xiǎn)
大多數(shù)中小商業(yè)銀行網(wǎng)絡(luò)系統(tǒng)是于近幾年規(guī)劃建設(shè)實(shí)施的生產(chǎn)、辦公、通信綜合系統(tǒng)網(wǎng)絡(luò)。隨著銀行業(yè)務(wù)范圍的不斷擴(kuò)展,業(yè)務(wù)應(yīng)用的不斷深入,IT 需求不斷增加,網(wǎng)絡(luò)系統(tǒng)逐步顯現(xiàn)出可管理性差、攻擊防護(hù)設(shè)備老化等安全隱患,監(jiān)管部門也進(jìn)行了信息安全風(fēng)險(xiǎn)的相關(guān)提示。為此,結(jié)合呼和浩特市商業(yè)銀行的現(xiàn)狀,談一談中小商業(yè)銀行信息安全體系建設(shè)的思路。
一、中小銀行所面臨的信息安全風(fēng)險(xiǎn)
隨著計(jì)算機(jī)技術(shù)和通訊技術(shù)的飛速發(fā)展,網(wǎng)絡(luò)正逐步改變著人們的工作方式和生活方式。隨著網(wǎng)絡(luò)技術(shù)在金融行業(yè)的全面應(yīng)用,大大提高了金融行業(yè)的業(yè)務(wù)處理效率和管理水平,促成了各項(xiàng)創(chuàng)新的金融業(yè)務(wù)的開展,改善了整個(gè)金融行業(yè)的經(jīng)營環(huán)境,增強(qiáng)了金融信息的可靠性,使金融服務(wù)于社會(huì)的手段更趨現(xiàn)代化。但是,同其他任何行業(yè)一樣,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)伴隨著網(wǎng)絡(luò)技術(shù)在金融行業(yè)的全面應(yīng)用而全面籠罩在金融行業(yè)的每個(gè)業(yè)務(wù)角落。
金融行業(yè)IT 系統(tǒng)由于涉及信息的敏感性自然會(huì)成為內(nèi)部和外部黑客攻擊的目標(biāo),面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)敘述如下八類:
1、非法訪問:現(xiàn)有網(wǎng)絡(luò)設(shè)備本身具備一定的訪問控制能力,而這些訪問控制強(qiáng)度較弱,攻擊者可以在任一終端利用現(xiàn)有的大量攻擊工具發(fā)起攻擊;另一方面金融行業(yè)(如銀行)開發(fā)的很多增值業(yè)務(wù)、代理業(yè)務(wù),存在大量與外界互連的接口,外部網(wǎng)絡(luò)可能會(huì)通過這些接口攻擊銀行,造成巨大損失。
2、失密和竊密:利用搭線竊聽竊收,使用協(xié)議分析儀器竊收計(jì)算機(jī)系統(tǒng)的操作密碼,破解系統(tǒng)的核心密碼,竊取用戶帳號(hào)、密碼等;或利用間諜軟件獲得敏感的金融信息。
3、信息篡改:利用信息篡改攻擊手段,非授權(quán)改變金融交易傳輸過程、存儲(chǔ)過程中的信息。
4、內(nèi)部人員破壞:內(nèi)部人員熟悉金融行業(yè)網(wǎng)絡(luò)系統(tǒng)的應(yīng)用業(yè)務(wù)和薄弱環(huán)節(jié),可以比較容易地篡改系統(tǒng)數(shù)據(jù)、泄露信息和破壞系統(tǒng)的軟硬件。
5、黑客入侵:利用黑客技術(shù)非法侵入金融行業(yè)的網(wǎng)絡(luò)系統(tǒng),調(diào)閱各種資料,篡改他人的資料,破壞系統(tǒng)運(yùn)行,或者進(jìn)行有目的的金融犯罪活動(dòng)。
6、假冒和偽造:假冒和偽造是金融行業(yè)網(wǎng)絡(luò)系統(tǒng)中經(jīng)常遇見的攻擊手段。如偽造各類業(yè)務(wù)信息,未授權(quán)篡改數(shù)據(jù),改變業(yè)務(wù)信息流的次序、時(shí)序、流向,破壞金融信息的完整性,假冒合法用戶實(shí)施金融欺詐等。
7、蠕蟲、病毒泛濫:蠕蟲、病毒泛濫可能導(dǎo)致金融行業(yè)的重要信息遭到損壞,或者導(dǎo)致金融行業(yè)網(wǎng)絡(luò)系統(tǒng)癱瘓。
8、拒絕服務(wù):拒絕服務(wù)攻擊使金融行業(yè)的電子商務(wù)網(wǎng)站無法為客戶提供正常服務(wù),造成經(jīng)濟(jì)損失,同時(shí)也使行業(yè)形象受到損害。
二、中小銀行信息安全體系建設(shè)的目標(biāo)
根據(jù)上述中小銀行所面臨的信息安全風(fēng)險(xiǎn),我認(rèn)為中小銀行信息安全體系建設(shè)的目標(biāo)是通過建立完善的信息安全管理制度和智能、深度的安全防御技術(shù)手段,構(gòu)建一個(gè)管理手段與技術(shù)手段相結(jié)合的全方位、多層次、可動(dòng)態(tài)發(fā)展的縱深安全防范體系,來實(shí)現(xiàn)信息系統(tǒng)的可靠性、保密性、完整性、有效性、不可否認(rèn)性,為金融業(yè)務(wù)的發(fā)展提供一個(gè)堅(jiān)實(shí)的信息系統(tǒng)基礎(chǔ)保障。信息安全防范體系的覆蓋范圍是整個(gè)信息系統(tǒng)。
中小銀行信息安全建設(shè)的主要工作內(nèi)容有:
1、建立銀行信息安全管理組織架構(gòu),專門負(fù)責(zé)信息系統(tǒng)的安全管理和監(jiān)督。
2、制訂金融安全策略和安全管理制度。安全管理部門結(jié)合銀行信息系統(tǒng)的實(shí)際情況,制訂合理的安全策略,對(duì)信息資源進(jìn)行安全分級(jí),劃分不同安全等級(jí)的安全域,進(jìn)行不同等級(jí)的保護(hù)。制訂并執(zhí)行各種安全制度和應(yīng)急恢復(fù)方案,保證信息系統(tǒng)的安全運(yùn)行。這些包括:密碼管理制度、數(shù)據(jù)加密規(guī)范、身份認(rèn)證規(guī)范、區(qū)域劃分原則及訪問控制策略、病毒防范制度、安全監(jiān)控制度、安全審計(jì)制度、應(yīng)急反應(yīng)機(jī)制、安全系統(tǒng)升級(jí)制度等。
3、設(shè)計(jì)并實(shí)施技術(shù)手段,技術(shù)手段要包括外網(wǎng)邊界防護(hù)、內(nèi)網(wǎng)區(qū)域劃分與訪問控制、端點(diǎn)準(zhǔn)入、內(nèi)網(wǎng)監(jiān)控與管理、移動(dòng)辦公接入、撥號(hào)安全控制、病毒防范、安全審計(jì)、漏洞掃描與補(bǔ)丁管理等諸多方面安全措施。
4、建立安全運(yùn)維管理中心,集中監(jiān)控安全系統(tǒng)的運(yùn)行情況,集中處理各種安全事件;統(tǒng)一制訂安全系統(tǒng)升級(jí)策略,并及時(shí)對(duì)安全系統(tǒng)進(jìn)行升級(jí),以保證提高安全體系防護(hù)能力。
三、中小銀行信息安全現(xiàn)狀及需求分析
下面以呼和浩特市商業(yè)銀行的網(wǎng)絡(luò)及應(yīng)用現(xiàn)狀,分析在不同層次的安全需求,大部分中小銀行具有共性。
(一)網(wǎng)絡(luò)層
為保證網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)目煽啃院桶踩裕W(wǎng)絡(luò)層存在的安全風(fēng)險(xiǎn)主要包括以下幾個(gè)方面:
1、網(wǎng)絡(luò)結(jié)構(gòu)以及網(wǎng)絡(luò)數(shù)據(jù)流通模式的風(fēng)險(xiǎn):
現(xiàn)有主要的網(wǎng)絡(luò)結(jié)構(gòu)為星形、樹形、環(huán)形以及網(wǎng)狀,隨著網(wǎng)絡(luò)節(jié)點(diǎn)間的連接密度的增加,整個(gè)網(wǎng)絡(luò)提供的線路冗余能力也會(huì)增加,提供的網(wǎng)絡(luò)數(shù)據(jù)的流動(dòng)模式會(huì)更靈活,整個(gè)網(wǎng)絡(luò)可靠性和可用性也會(huì)大大的增加。呼和浩特市商業(yè)銀行現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu),能夠滿足數(shù)據(jù)流動(dòng)模式的需求,為了保證網(wǎng)絡(luò)系統(tǒng)的可靠性,可以采取的有效可行的措施是加強(qiáng)網(wǎng)絡(luò)設(shè)備和線路備份措施的實(shí)施。
2、網(wǎng)絡(luò)設(shè)備安全有效配置的風(fēng)險(xiǎn):
網(wǎng)絡(luò)設(shè)備是網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)暮诵模钦麄€(gè)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施,各種網(wǎng)絡(luò)設(shè)備本身的安全與可靠性以及這些設(shè)備上應(yīng)用策略的安全都需要進(jìn)行合理的配置才能夠保證。
3、來自不同安全域的訪問控制的風(fēng)險(xiǎn):
網(wǎng)絡(luò)結(jié)構(gòu)越來越復(fù)雜,接入網(wǎng)絡(luò)的用戶也越來越多,必須能夠在不同的網(wǎng)絡(luò)區(qū)域之間采取一定的控制措施,有效控制不同的網(wǎng)絡(luò)區(qū)域之間的網(wǎng)絡(luò)通信,以此來控制網(wǎng)絡(luò)元素間的互訪能力,避免網(wǎng)絡(luò)濫用,同時(shí)實(shí)現(xiàn)安全風(fēng)險(xiǎn)的有效的隔離,把安全風(fēng)險(xiǎn)隔離在相對(duì)比較獨(dú)立以及比較小的網(wǎng)絡(luò)區(qū)域。
4、網(wǎng)絡(luò)攻擊行為的檢測和防范的風(fēng)險(xiǎn):
基于網(wǎng)絡(luò)協(xié)議的缺陷,尤其是TCP/IP 協(xié)議的開放特性,帶來了非常大的安全風(fēng)險(xiǎn),常見的IP 地址竊取、IP 地址假冒,網(wǎng)絡(luò)端口掃描以及危害非常大的拒絕服務(wù)攻擊(DOS、DDOS)等,必須能夠?qū)@些攻擊行為進(jìn)行有效的深度防御。
5、網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)臋C(jī)密性和完整性的風(fēng)險(xiǎn):
網(wǎng)絡(luò)數(shù)據(jù)在傳輸?shù)倪^程中,很可能被通過各種方式竊取,因此保證數(shù)據(jù)在傳輸?shù)倪^程中機(jī)密性(保證數(shù)據(jù)傳遞的信息不被第三方獲得),完整性(保證數(shù)據(jù)在傳遞過程中不被人修改)是非常重要的,尤其是在傳遞的信息的價(jià)值不斷提高情況下。
二)用戶層
1、用戶操作系統(tǒng)平臺(tái)安全漏洞的風(fēng)險(xiǎn):
大部分的網(wǎng)絡(luò)攻擊行為以及網(wǎng)絡(luò)病毒的傳播都是由于操作系統(tǒng)平臺(tái)本身存在的安全漏洞,微軟不斷發(fā)布系統(tǒng)補(bǔ)丁即是明證,因此必須有效避免系統(tǒng)漏洞造成的安全風(fēng)險(xiǎn),同時(shí)對(duì)操作系統(tǒng)的安全機(jī)制進(jìn)行合理的配置。
2、用戶主機(jī)遭受網(wǎng)絡(luò)病毒攻擊的風(fēng)險(xiǎn):
網(wǎng)絡(luò)給病毒的傳播提供了很好的路徑,網(wǎng)絡(luò)病毒傳播速度之快、危害之大是令人吃驚的,特別是流行的一些蠕蟲病毒,更是防不勝防,因此必須建設(shè)全面的網(wǎng)絡(luò)防病毒系統(tǒng),層層設(shè)防,逐層把關(guān),堵住病毒傳播的各種可能途徑。
3、針對(duì)用戶主機(jī)網(wǎng)絡(luò)攻擊的安全風(fēng)險(xiǎn):
目前Internet 上有各種完善的網(wǎng)絡(luò)攻擊工具,在局域網(wǎng)的環(huán)境下,這種攻擊會(huì)更加有效,針對(duì)的目標(biāo)會(huì)更加明確,據(jù)統(tǒng)計(jì),有97%的攻擊是來自內(nèi)部的攻擊,而且內(nèi)部攻擊成功的概率要遠(yuǎn)遠(yuǎn)高于來自于Internet 的攻擊,造成的后果也嚴(yán)重的多。
4、用戶網(wǎng)絡(luò)訪問行為有效控制的風(fēng)險(xiǎn):
首先需要對(duì)用戶接入網(wǎng)絡(luò)的能力進(jìn)行控制,同時(shí)需要更細(xì)粒度的訪問控制,尤其是對(duì)Internet 資源的訪問控制,比如應(yīng)該能夠控制內(nèi)部用戶訪問Internet 的什么網(wǎng)站。在此基礎(chǔ)之上,必須能夠進(jìn)行縝密的行為審計(jì)管理。
(三)業(yè)務(wù)層
1、服務(wù)器及數(shù)據(jù)存儲(chǔ)系統(tǒng)的可用性風(fēng)險(xiǎn):
業(yè)務(wù)系統(tǒng)的可靠性和可用性是網(wǎng)絡(luò)安全的一個(gè)很重要特性,必須保證業(yè)務(wù)系統(tǒng)硬件平臺(tái)(主要是大量的服務(wù)器)以及數(shù)據(jù)硬件平臺(tái)(主要是存儲(chǔ)系統(tǒng))的可靠性。
2、操作系統(tǒng)和網(wǎng)絡(luò)服務(wù)平臺(tái)的安全風(fēng)險(xiǎn):
通過對(duì)各種流行的網(wǎng)絡(luò)攻擊行為的分析,可以發(fā)現(xiàn)絕大多數(shù)的攻擊是利用各種操作系統(tǒng)和一些網(wǎng)絡(luò)服務(wù)平臺(tái)存在的一些已公開的安全漏洞發(fā)起,因此,杜絕各種操作系統(tǒng)和網(wǎng)絡(luò)服務(wù)平臺(tái)的已公開的安全漏洞,可以在很大程度上防范系統(tǒng)攻擊的發(fā)生。
3、用戶身份認(rèn)證及資源訪問權(quán)限的控制:
由于網(wǎng)絡(luò)中的各個(gè)應(yīng)用系統(tǒng)上有很多信息是提供給不同權(quán)限用戶查閱的,不同級(jí)別、不同部門、不同人員能夠訪問的資源都不一樣,因此需要嚴(yán)格區(qū)分用戶的身份,設(shè)置合理的訪問權(quán)限,保證信息可以在被有效控制下共享。
4、用戶對(duì)業(yè)務(wù)訪問的有效的記錄和審計(jì):
業(yè)務(wù)系統(tǒng)必須能夠?qū)τ脩舻母鞣N訪問行為進(jìn)行詳細(xì)的記錄,以便進(jìn)行事后查證。
四、中小銀行信息安全體系建設(shè)的思路
金融系統(tǒng)的網(wǎng)絡(luò)應(yīng)用比較復(fù)雜,對(duì)安全的要求也很高,根據(jù)中小銀行所面臨的風(fēng)險(xiǎn)以及上述安全現(xiàn)狀和需求,在信息安全體系建設(shè)過程中應(yīng)該關(guān)注以下幾個(gè)方面。
第一、進(jìn)行網(wǎng)絡(luò)安全區(qū)域設(shè)計(jì)
網(wǎng)絡(luò)安全區(qū)域設(shè)計(jì)是網(wǎng)絡(luò)安全建設(shè)的基礎(chǔ),其他的網(wǎng)絡(luò)安全建設(shè)措施全部都是基于這個(gè)基本設(shè)計(jì)展開的。當(dāng)然要根據(jù)銀行的實(shí)際情況進(jìn)行劃分,例如根據(jù)呼和浩特市商業(yè)銀行網(wǎng)絡(luò)和應(yīng)用的現(xiàn)狀,可以進(jìn)行如下安全區(qū)域的劃分:
數(shù)據(jù)中心區(qū):由呼和浩特市商業(yè)銀行生產(chǎn)服務(wù)群構(gòu)成,是呼和浩特市商業(yè)銀行一切生產(chǎn)活動(dòng)的基礎(chǔ)。這個(gè)區(qū)域的安全性要求最高,對(duì)業(yè)務(wù)連續(xù)性要求也最高。要求不能隨便進(jìn)行任何可能影響業(yè)務(wù)的操作,包括為服務(wù)器打補(bǔ)丁,管理起來也最為復(fù)雜。外聯(lián)邊界區(qū):與外聯(lián)單位進(jìn)行中間業(yè)務(wù)服務(wù)器構(gòu)成的安全區(qū)域。與外聯(lián)單位一般采用專線連接,由于業(yè)務(wù)具有一定的保護(hù)手段,對(duì)業(yè)務(wù)連續(xù)性要求不如數(shù)據(jù)中心區(qū)。外聯(lián)服務(wù)區(qū):開展對(duì)外服務(wù)的服務(wù)器所在的安全區(qū)域。由于直接與公網(wǎng)連接,同時(shí)又是比較敏感的金融業(yè)務(wù),因此安全性要求非常高,對(duì)業(yè)務(wù)連續(xù)性要求也較高。同時(shí)也最容易遭受包括DoS/DDoS 攻擊在內(nèi)的來自互聯(lián)網(wǎng)的威脅。
內(nèi)網(wǎng)辦公區(qū):辦公服務(wù)器所在的安全區(qū)域,主要用于內(nèi)部OA 系統(tǒng)等應(yīng)用。對(duì)安全的要求較前面講的各個(gè)安全區(qū)域低,業(yè)務(wù)持續(xù)性要求也相對(duì)較低。多采用Windows 服務(wù)器,比較容易遭受病毒等威脅的影響。
網(wǎng)絡(luò)管理區(qū):網(wǎng)管業(yè)務(wù)開展的區(qū)域,由網(wǎng)管類服務(wù)器和網(wǎng)管工作站構(gòu)成。封閉性較強(qiáng),這個(gè)區(qū)域的安全與否直接關(guān)系到網(wǎng)絡(luò)的穩(wěn)定運(yùn)行,某些方面的要求可能還要高于內(nèi)網(wǎng)辦公區(qū)。分支機(jī)構(gòu)區(qū):所有分支機(jī)構(gòu)共同構(gòu)成的安全區(qū)域,一般采用專線接入數(shù)據(jù)中心。對(duì)數(shù)據(jù)中心來說這個(gè)區(qū)域?qū)儆谕饩W(wǎng),一般是另外單獨(dú)考慮這個(gè)區(qū)域內(nèi)各個(gè)節(jié)點(diǎn)的安全。
第二、以安全為核心規(guī)劃網(wǎng)絡(luò)
現(xiàn)有網(wǎng)絡(luò)大多是以連通性作為中心進(jìn)行設(shè)計(jì)的,而很少考慮安全性。例如最典型的網(wǎng)絡(luò)三層架構(gòu)模型(核心層、匯聚層、接入層架構(gòu))中,網(wǎng)絡(luò)是向核心層集中的而并沒有考慮同一層不同節(jié)點(diǎn)之間的安全隔離問題。而在網(wǎng)絡(luò)安全改造中首先需要改變的就是將以連通性為中心的設(shè)計(jì)思路轉(zhuǎn)變?yōu)橐园踩珵橹行牡脑O(shè)計(jì)思路。并按照以安全為核心的設(shè)計(jì)思路的要求對(duì)網(wǎng)絡(luò)進(jìn)行重新設(shè)計(jì),這就好比要有好的網(wǎng)絡(luò)貼身保鏢。
第三、用防火墻隔離各安全區(qū)域
防火墻作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口,能根據(jù)安全策略控制出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。
第四、對(duì)關(guān)鍵路徑進(jìn)行深度檢測防護(hù)
深度檢測防御是為了檢測計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為。一般認(rèn)為違反安全策略的行為有入侵和濫用,深度檢測防御可以識(shí)別出任何不希望有的活動(dòng),從而限制這些活動(dòng),以保護(hù)系統(tǒng)的安全。深度檢測防御的應(yīng)用目的是在入侵攻擊對(duì)系統(tǒng)發(fā)生危害前,檢測到入侵攻擊,并利用報(bào)警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊。在入侵攻擊過程中,能減少入侵攻擊所造成的損失。
第五、對(duì)終端進(jìn)行安全訪問控制
目前,針對(duì)病毒、蠕蟲的防御體系還是以孤立的單點(diǎn)防御為主,并不能有效應(yīng)對(duì)病毒和蠕蟲的威脅,主要表現(xiàn)在被動(dòng)防御、單點(diǎn)防御、分散管理。只有從用戶的接入終端進(jìn)行安全控制,才能夠從源頭上防御威脅,而分散管理的安全體系無法徹底解決病毒和操作系統(tǒng)漏洞帶來的網(wǎng)絡(luò)安全威脅,只有集中管理、強(qiáng)制終端用戶執(zhí)行,才能夠起到統(tǒng)一策略、全局防范的效果。
第六、全網(wǎng)部署防病毒系統(tǒng)
在所有計(jì)算機(jī)安全威脅中,計(jì)算機(jī)病毒是最為嚴(yán)重的,它發(fā)生的頻率高、損失大、潛伏性強(qiáng)、覆蓋面廣。由于Internet 技術(shù)及信息技術(shù)的普及和發(fā)展,病毒的傳染速度越來越快。在銀行內(nèi)部的辦公系統(tǒng)、協(xié)同系統(tǒng)的使用,使得病毒在銀行內(nèi)部的傳染速度加快,各個(gè)員工在共享信息的同時(shí),有可能共享病毒。因此全網(wǎng)部署防病毒系統(tǒng)就顯得非常重要。
第七、根據(jù)實(shí)際需要部署其他安全系統(tǒng)
以上的安全系統(tǒng)部署基本可以涵蓋一般性網(wǎng)絡(luò)安全需求,但是很多特殊的應(yīng)用也需要特別的應(yīng)用保護(hù)系統(tǒng)。例如:移動(dòng)辦公VPN 系統(tǒng)、補(bǔ)丁管理系統(tǒng)、反垃圾郵件系統(tǒng)、漏洞掃描工具、網(wǎng)絡(luò)流量監(jiān)測與審計(jì)等等。第八、建立科學(xué)的安全管理機(jī)制
前面七個(gè)方面是從技術(shù)手段上考慮的思路,而信息安全體系的建設(shè)必須管理、技術(shù)兩手抓。從管理方面考慮,首先要提高意識(shí),時(shí)時(shí)刻刻具備防微杜漸的意識(shí);其次要完善制度,“三份技術(shù)七分管理”,完善的信息安全管理制度是IT 系統(tǒng)安全的基礎(chǔ)保證。由于自身的能力制約,中小銀行可以考慮聘請(qǐng)第三方專家與銀行相關(guān)人員組成聯(lián)合小組,借鑒相關(guān)企業(yè)的管理經(jīng)驗(yàn),進(jìn)行信息安全咨詢服務(wù),共同制定銀行的信息安全管理制度;同時(shí)信息安全建設(shè)并不是一蹴而就建設(shè)完成的,是分步實(shí)施、循序漸進(jìn)的過程,應(yīng)該定期進(jìn)行相關(guān)的安全評(píng)估,為不同階段信息安全建設(shè)提供參考。
第五篇:我國商業(yè)銀行信貸業(yè)務(wù)存在問題及對(duì)策研究
我國商業(yè)銀行信貸業(yè)務(wù)存在問題及對(duì)策研究
摘要:信貸業(yè)務(wù)是商業(yè)銀行的主體業(yè)務(wù),信貸業(yè)務(wù)的管理在銀行經(jīng)營管理中居于重要的地位。整體上來講我國商業(yè)銀行在取得快速發(fā)展的同時(shí),自身的內(nèi)部管理相對(duì)滯后,管理水平有待提高。特別是在信貸管理方面,缺乏貫穿從貨款調(diào)查到貸后管理整個(gè)信貸過程的精細(xì)化管理,信貸管理模式相對(duì)粗放,風(fēng)險(xiǎn)防范意識(shí)低,信貸風(fēng)險(xiǎn)預(yù)警不及時(shí),難以有效支持商業(yè)銀行信貸業(yè)務(wù)的深入開展和銀行的可持續(xù)發(fā)展。當(dāng)前我國商業(yè)銀行信貸管理中存在諸多問題,如:貸前審查不到位;事后資金監(jiān)控有待完善;對(duì)于信貸人員的管理有待強(qiáng)化。為進(jìn)一步完善我國商業(yè)銀行的信貸管理工作,應(yīng)更新信貸管理理念,樹立信貸風(fēng)險(xiǎn)意識(shí);完善信貸管理流程,做好貸前、貸中及貸后管理;提高管理水平,加強(qiáng)信貸隊(duì)伍的建設(shè)。對(duì)于我國商業(yè)銀行而言,實(shí)施信貸管理是我國商業(yè)銀行在激烈的競爭中提高自身實(shí)力,成為真正的國際性大銀行的必然選擇。在信貸管理項(xiàng)目前后,商業(yè)銀行必須立足自身實(shí)際,全盤考慮,放眼未來,這樣才能使信貸管理為商業(yè)銀行發(fā)揮更大的作用。
關(guān)鍵詞: 商業(yè)銀行;信貸管理;貸前審查;資金監(jiān)控;信貸人員;對(duì)策分析
一、我國商業(yè)銀行信貸業(yè)務(wù)
(一)商業(yè)銀行信貸業(yè)務(wù)簡述
信貸業(yè)務(wù)又稱為信貸資產(chǎn)或貸款業(yè)務(wù),是商業(yè)銀行最重要的資產(chǎn)業(yè)務(wù),通過放款收回本金和利息,扣除成本后獲得利潤,所以信貸是商業(yè)銀行的主要贏利手段。
信貸是體現(xiàn)一定經(jīng)濟(jì)關(guān)系的不同所有者之間的借貸行為,是以償還為條件的價(jià)值運(yùn)動(dòng)特殊形式,是債權(quán)人貸出貨幣,債務(wù)人按期償還并支付一定利息的信用活動(dòng)(通過轉(zhuǎn)讓資金使用權(quán)獲取收益)。信貸有廣義和狹義之分。廣義的信貸是指以銀行為中介、以存貸為主體的信用活動(dòng)的總稱,包括存款、貸款和結(jié)算業(yè)務(wù)。狹義的信貸通常指銀行的貸款,即以銀行為主體的貨幣資金發(fā)放行為。
由于放款脫離了銀行的控制,不能按時(shí)收回本息的風(fēng)險(xiǎn)較大,所以對(duì)信貸應(yīng)在遵守合同法和貸款通則的基礎(chǔ)上,建立嚴(yán)格的貸款制度,其主要內(nèi)容是:建立貸款關(guān)系,貸款申請(qǐng),貸前調(diào)查,貸款審批及發(fā)放,貸后檢查,貸款收回與展期,信貸制裁等制度。
(二)我國商業(yè)銀行信貸業(yè)務(wù)管理的現(xiàn)狀
1、貸前審查不到位
市場經(jīng)濟(jì)條件下,商業(yè)銀行貸款的投放需以市場需求作為其根本導(dǎo)向,因此在審核貸款發(fā)放與否,保障信息的真實(shí)性和有效性是關(guān)鍵。當(dāng)前我國正處于經(jīng)濟(jì)轉(zhuǎn)型的關(guān)鍵時(shí)期,統(tǒng)一的社會(huì)主義信用體系尚未健全,信息相對(duì)于閉塞。商業(yè)銀行對(duì)于申請(qǐng)貸款的企業(yè)或其他單位缺乏必要的信息溝通,各商業(yè)銀行間也缺少一個(gè)系統(tǒng)完善的信息交流與共享平臺(tái)。因此,從一定程度上來講貸前信息的來源及對(duì)其的把握都有賴于信貸人員的業(yè)務(wù)能力、經(jīng)驗(yàn)及職業(yè)道德水平的高低。
然而單憑個(gè)人是難以對(duì)于申報(bào)材料及受評(píng)者經(jīng)營情況的好壞、發(fā)展的前景、信用等級(jí)、償債能力等作出客觀全面的評(píng)價(jià),因此造成商業(yè)銀行在放貸時(shí)難以對(duì)于企業(yè)的組織結(jié)構(gòu)和資本情況有充分和深入的了解。部分商業(yè)銀行也存在著對(duì)于中介機(jī)構(gòu)的資信證明或相關(guān)審計(jì)報(bào)告過于信賴的情況而放松了對(duì)于企業(yè)貸款條件的審查。由于貸前缺少嚴(yán)格的論證,客戶和項(xiàng)目評(píng)價(jià)質(zhì)量不高,貸時(shí)的審查又流于形式,商業(yè)銀行的信貸風(fēng)險(xiǎn)程度不斷提升,前期把關(guān)有待加強(qiáng)。另外,風(fēng)險(xiǎn)分析工具較少,缺乏對(duì)于信貸風(fēng)險(xiǎn)評(píng)估的定量分析,量化標(biāo)準(zhǔn)和風(fēng)險(xiǎn)指標(biāo)體系建設(shè)落后,難以對(duì)受評(píng)對(duì)象的未來償債能力及特定風(fēng)險(xiǎn)做出有效的評(píng)估,對(duì)于潛在風(fēng)險(xiǎn)的事前控制和防范能力不強(qiáng)。
2、事后資金監(jiān)控有待完善
在實(shí)際信貸操作流程中,商業(yè)銀行“重貸輕管”的問題沒有得到根本性解決,在貸款發(fā)放后缺乏對(duì)借款人的持續(xù)監(jiān)控,加上監(jiān)控能力和手段的有限,商業(yè)銀行的貸后管理仍流于形式,貸后監(jiān)控依舊是制約商業(yè)銀行持續(xù)發(fā)展的薄弱環(huán)節(jié)。部分商業(yè)銀行沒有建立起獨(dú)立的貸款使用管理的崗位,難以有效掌握貸款的實(shí)際運(yùn)用情況,導(dǎo)致存在客戶未按照約定用途使用貸款的現(xiàn)象。信貸資金被挪用,甚至違規(guī)進(jìn)入股市房地產(chǎn)等市場,對(duì)于信貸資產(chǎn)安全造成嚴(yán)重威脅,給商業(yè)銀行的經(jīng)營管理體系帶來了危及安全的不良因素。
再者,我國商業(yè)銀行在發(fā)放貸款后,未能積極主動(dòng)地參與貸款企業(yè)的整個(gè)生產(chǎn)經(jīng)營中,與客戶建立長期的信貸合作關(guān)系。同時(shí),對(duì)于不良貸款處理的策略上,我國商業(yè)銀行的普遍作法是清收,而非積極促進(jìn)其轉(zhuǎn)化。當(dāng)借款人出現(xiàn)不利于還款因素時(shí),銀行往往不是及時(shí)采取有效措施盡量幫其搞好經(jīng)營以維護(hù)貸款安全,轉(zhuǎn)向依靠處置抵押物或訴諸司法途徑以抽出貸款。這樣一來,不僅加劇了借貸方的經(jīng)營困境,另一方面也有可能使不良資產(chǎn)變成真正的損失,不利于商業(yè)銀行資本的優(yōu)化和持續(xù)運(yùn)行。
3、對(duì)于信貸人員的管理有待強(qiáng)化
作為商業(yè)銀行信貸業(yè)務(wù)中最重要的主體之一,信貸人員工作的質(zhì)量直接關(guān)系到銀行信貸管理工作的有效性,因信貸人員個(gè)人因素造成銀行信貸風(fēng)險(xiǎn)的例子時(shí)有發(fā)生。部分基層信貸人員由于受業(yè)務(wù)能力、知識(shí)水平等的限制,在貸前對(duì)于信息真實(shí)性及有效性的把握不到位,難以提供準(zhǔn)確可靠的調(diào)查資料;有些信貸人員責(zé)任心不強(qiáng),對(duì)于貸款者的資質(zhì)調(diào)查,或草草了事,或盲目聽從借款人的自我介紹,導(dǎo)致信貸審查的低效率,極易造成大的信貸風(fēng)險(xiǎn)。與國外銀行相比,我國商業(yè)銀行用人機(jī)制不健全,存在諸多弊端。
對(duì)于商業(yè)銀行信貸人員的管理理念與手段落后,在人員制約方面更側(cè)重于對(duì)于人員的控制,激勵(lì)作用不明顯,信貸人力資源流失嚴(yán)重。特別是相當(dāng)數(shù)量的中小城市商業(yè)銀行仍未建立起完整有效的績效考核體系,甚至有的激勵(lì)措施本末倒置,不僅難以保障商業(yè)銀行信貸業(yè)務(wù)的順利和持續(xù)開展,同時(shí)是以削弱銀行信貸管理水平和風(fēng)險(xiǎn)識(shí)別能力為代價(jià)。
三、完善我國商業(yè)銀行信貸管理的對(duì)策(一)更新信貸管理理念,樹立信貸風(fēng)險(xiǎn)意識(shí)
商業(yè)銀行作為經(jīng)營風(fēng)險(xiǎn)的特殊企業(yè),實(shí)現(xiàn)對(duì)信貸風(fēng)險(xiǎn)的有效管理是促進(jìn)商業(yè)銀行正常發(fā)展不可或缺的重要因素。理念是行動(dòng)的先導(dǎo),只有我國商業(yè)銀行中普遍存在的不正確信貸管理理念得到糾正,信貸管理理念得到更新,我國商業(yè)銀行的信貸管理工作的完善和水平的提高才有進(jìn)一步的可能。
當(dāng)前,我國商業(yè)銀行要認(rèn)真貫徹“三個(gè)辦法一個(gè)指引”中的原則性規(guī)定,重新樹立正確的信貸風(fēng)險(xiǎn)觀念,自上而下改變傳統(tǒng)的信貸思維和信貸營銷觀念,正確處理好信貸風(fēng)險(xiǎn)管理與提高運(yùn)作效率的關(guān)系,化被動(dòng)式的風(fēng)險(xiǎn)防范為內(nèi)在式的主動(dòng)風(fēng)險(xiǎn)防御管理,提高商業(yè)銀行的信貸管理水平。
(二)完善信貸管理流程,做好貸前、貸中及貸后管理
通過各部門的全力配合,對(duì)于貸款流程進(jìn)行有效梳理和優(yōu)化,確定涉及貸款流程的各個(gè)環(huán)節(jié),包括賬戶開立、授信審批、發(fā)放支付審核等的詳細(xì)實(shí)施細(xì)則和操作規(guī)程,從制度上為信貸管理打好基礎(chǔ)。1. 強(qiáng)化貸前調(diào)查。
充分運(yùn)用風(fēng)險(xiǎn)分析工具和量化的標(biāo)準(zhǔn)化指標(biāo)體系,按照科學(xué)的計(jì)算方法,對(duì)企業(yè)的盈利能力和未來償債能力進(jìn)行分析,全面了解和掌握借貸者的財(cái)務(wù)及經(jīng)營狀況,有效預(yù)測企業(yè)發(fā)展前景和趨勢,實(shí)現(xiàn)信貸風(fēng)險(xiǎn)的正確評(píng)估。在綜合考慮客戶守信度、財(cái)務(wù)風(fēng)險(xiǎn)度、經(jīng)營風(fēng)險(xiǎn)度的基礎(chǔ)上確定對(duì)客戶的授信等級(jí)。推行嚴(yán)格的專家審批制度,強(qiáng)化貸款審批環(huán)節(jié),提高發(fā)放和支付的審核力度,最大限度地發(fā)揮支付審核在控制貸款資金流向方面的作用。2. 做好貸中管理。
建立健全客戶信貸的檔案管理機(jī)制,積極鼓勵(lì)提倡信貸人員深入客戶的日常經(jīng)營管理活動(dòng)中,密切關(guān)注客戶經(jīng)營狀況,幫助客戶進(jìn)行精細(xì)化管理、節(jié)約財(cái)務(wù)費(fèi)用,與客戶建立起長期共
贏的合作關(guān)系。對(duì)于不利于還款因素的出現(xiàn),要及時(shí)采取措施,控制和化解信貸風(fēng)險(xiǎn),使信貸資產(chǎn)處于優(yōu)化狀態(tài)。3. 注重貸后管理。
要充分意識(shí)到貸后管理的重要性,克服“重貸輕管”的錯(cuò)誤理念,提高對(duì)貸后管理的認(rèn)識(shí)。按照“一戶一策”原則,制定針對(duì)性強(qiáng)的差異化貸后跟蹤管理方案,實(shí)現(xiàn)貸后管理的精細(xì)化。
建立起動(dòng)態(tài)的監(jiān)控機(jī)制,提高對(duì)客戶的監(jiān)測頻率,變事后管理為超前管理,實(shí)現(xiàn)貸款風(fēng)險(xiǎn)管理監(jiān)控的到位。加強(qiáng)對(duì)貸后管理流程中關(guān)鍵性風(fēng)險(xiǎn)點(diǎn)的檢查力度,主動(dòng)查找信貸管理中存在的問題,一發(fā)現(xiàn)問題,落實(shí)好檢查整改工作。
(三)提高管理水平,加強(qiáng)信貸隊(duì)伍的建設(shè)
商業(yè)銀行信貸管理的核心是對(duì)人的激勵(lì),切實(shí)積極落實(shí)以人為本、激勵(lì)與約束并重的人力資源管理理念,提高商業(yè)銀行的信息經(jīng)營管理水平。建立長效的信貸培訓(xùn)機(jī)制,定期組織相關(guān)的培訓(xùn),內(nèi)容涉及業(yè)務(wù)能力、知識(shí)水平及職業(yè)道德建設(shè)各個(gè)方面等,提高信貸人員的綜合素質(zhì),防止由于個(gè)別信貸人員的個(gè)人因素而產(chǎn)生錯(cuò)誤的貸款決策。
加強(qiáng)信貸人員的選拔工作,為信貸隊(duì)伍不斷地注入新鮮的血液,提高其活力。同時(shí)可通過考試選拔的方式挑選專業(yè)的評(píng)估人員,保障評(píng)估人員隊(duì)伍的專業(yè)性。再者,建立健全合理有效的信貸績效考核和激勵(lì)機(jī)制,使得信貸工作人員的工作價(jià)值得到肯定和回報(bào),充分調(diào)動(dòng)信貸工作人員的工作積極性和主動(dòng)性。(四)強(qiáng)化內(nèi)控制度執(zhí)行的有效性
商業(yè)銀行內(nèi)控制度再好再嚴(yán)密若沒有得到認(rèn)真的貫徹執(zhí)行,或是執(zhí)行過程中出現(xiàn)各種各樣的偏差都會(huì)直接影響內(nèi)控機(jī)制建設(shè)的進(jìn)程和效果。在進(jìn)一步加強(qiáng)商業(yè)銀行內(nèi)控制度建設(shè)的基礎(chǔ)上,加快銀行內(nèi)部組織機(jī)構(gòu)的改革,各部門間逐步形成權(quán)責(zé)明確、相互牽制的統(tǒng)一體,為內(nèi)控制度的貫徹實(shí)施做好組織基礎(chǔ),確保內(nèi)控制度落實(shí)到每個(gè)個(gè)體避免有令不行,行而不嚴(yán)的現(xiàn)象。對(duì)于違反相關(guān)內(nèi)控規(guī)章制度規(guī)定的不良行為,根據(jù)其情節(jié)嚴(yán)重程度做出處罰決定,并做好系統(tǒng)內(nèi)部典型負(fù)面事件的宣傳以起到警戒作用,保障制度的嚴(yán)肅性和提高制度執(zhí)行的有效性。(五)強(qiáng)化監(jiān)督職能
商業(yè)銀行內(nèi)控機(jī)制的建設(shè)及完善必須有一個(gè)強(qiáng)有力的內(nèi)控機(jī)制監(jiān)管部門,對(duì)銀行各項(xiàng)經(jīng)營活動(dòng)進(jìn)行有效監(jiān)控和實(shí)時(shí)監(jiān)控,才能真正建立起商業(yè)銀行可持續(xù)發(fā)展的長效內(nèi)控機(jī)制。商業(yè)銀行要逐步推進(jìn)自身改革的不斷深入,建立起符合市場經(jīng)濟(jì)要求的現(xiàn)代公司治理結(jié)構(gòu),實(shí)現(xiàn)董事會(huì)、監(jiān)事會(huì)的雙重監(jiān)管。充分利用現(xiàn)代計(jì)算機(jī)技術(shù)在內(nèi)控機(jī)制建設(shè)中的積極作用,利用計(jì)算機(jī)輔助系統(tǒng)對(duì)于各項(xiàng)業(yè)務(wù)前、中、后過程進(jìn)行全過程的時(shí)時(shí)監(jiān)控,特別是要實(shí)現(xiàn)以補(bǔ)救為主的事后檢查向以預(yù)防為上的事前防范的轉(zhuǎn)變。明確確立內(nèi)部稽核工作的權(quán)威性地位,實(shí)現(xiàn)稽核監(jiān)督的獨(dú)立性、超脫性和超前性,對(duì)銀行內(nèi)控機(jī)制的建設(shè)進(jìn)行經(jīng)常性的檢查評(píng)價(jià),并及時(shí)檢查情況進(jìn)行反饋。
參考文獻(xiàn):
[1]沈琨.BCG矩陣在商業(yè)銀行信貸管理中的運(yùn)用[J].征信,2010(1).
[2]魏曉娜.商業(yè)銀行信貸管理的信息不對(duì)稱研究[J].經(jīng)濟(jì)論壇,2009(22).
[3]肖杰,杜子平.金融危機(jī)下我國商業(yè)銀行信貸管理度量方法新探索[J].時(shí)代金融,2009(11).
[4]雷龍龍.金融危機(jī)對(duì)我國商業(yè)銀行信貸管理的影響[J].東方企業(yè)文化,2010(3).
[5]胡貴.我國商業(yè)銀行信貸管理探討[J].總裁,2009(5)[6] 彭琳. 加強(qiáng)銀行內(nèi)控機(jī)制防范金融風(fēng)險(xiǎn)[J]. 山東廣播電視大學(xué)學(xué)報(bào),2009(2).
[7] 張波. 銀行業(yè)的雙重轉(zhuǎn)型與全面市場風(fēng)險(xiǎn)———以次貸危機(jī)中的花旗集團(tuán)為例[J]. 金融論壇,2008(5).
[8] 田爽. 我國商業(yè)銀行內(nèi)控機(jī)制存在的問題及對(duì)策研究[J]. 中國經(jīng)貿(mào),2010(10).
[9] 楊小麗. 關(guān)于商業(yè)銀行操作風(fēng)險(xiǎn)防范管理的幾點(diǎn)建議———基于內(nèi)部控制視角[J]. 中國集體經(jīng)濟(jì),2009(30).
[10] 姚琦. 對(duì)商業(yè)銀行內(nèi)部控制的幾點(diǎn)思考[J]. 金融與經(jīng)濟(jì),2009(3).
點(diǎn)擊咨詢 