第一篇:第七章 信息系統的風險、控制與安全概要
第七章 信息系統的風險、控制與安全
教案
Ⅰ 本章教學目的和要求
通過本章的學習,使學生了解會計信息系統可能遇到的風險,掌握內部控制的概念、作用、功能和分類,掌握會計信息系統的控制技術,了解網絡會計信息系統的安全技術。
II 本章重點
IT環境下信息系統的風險分析;會計信息系統的內部控制重點及其措施;會計信息系統的一般控制基本類型介紹;會計信息系統的應用控制;網絡信息時代的內部控制理論。
III 本章難點
會計信息系統的一般控制與應用控制的區別;網絡信息時代的內部控制理論;事件驅動會計信息系統的風險識別與控制;會計信息系統的安全策略。
Ⅳ 本章計劃使用教學課時:7課時(課堂講授5課時,實踐2課時)
V 教學內容及教學過程的組織
教學方法:采用課堂講授與實踐調查相結合的方式
〖教學內容引入〗信息技術是一把雙刃劍,隨著企業信息系統的應用和會計信息系統的普及,信息技術幫助企業改善了經營管理、強化了會計的反映和監控職能、整體提高了企業的營運效率和信息質量水平,這些都顯現出了信息技術的有利一面;但與此同時,惡意的數據竊取、計算機舞弊、病毒侵襲、黑客的肆意妄為、非法的程序變更等現象屢見不鮮,這又折射出了信息技術的不利一面。嚴峻的現實告訴我們,信息系統安全問題已經成為企業實施信息化戰略時不得不重視的一大問題,如何對信息系統的安全進行評價、如何對信息系統的風險進行科學評估并以此為基礎構建高效、合理的風險控制體系已然成為每一個建立信息系統的企業首先要面對的重大問題。
第一節 風險與控制之間的關系
信息系統的使用提高了工作效率和經濟效益,充分發揮了信息資源的作用,但信息系統在發揮其作用的同時也導致了眾多不安全因素的潛入,具有受到嚴重侵擾和損壞的風險,所以必須采取相應的策略進行系統控制,保證系統的安全。
一、IT環境下信息系統的風險分析
這里著重要講清楚三個問題:到底什么是風險;信息系統可以防范手工系統下可能面臨的哪些風險;IT環境下信息系統到底面臨哪些風險。第一個問題已是老生常談的問題,因此簡單介紹即可,抓住關鍵兩點:風險具有不確定性,風險可能導致損失。第二和第三個問題才是此處講解的重點。
由于采用了信息系統,它可以防范手工系統下可能面臨的以下風險:人工操作錯誤的風險、所加工的信息不能充分滿足管理需求的風險以及數據傳遞慢容易出現差錯的風險。
但與此同時,信息系統也可能帶來與手工環境下不同來源不同性質的風險,主要包括:
1、信息安全風險,具體表現4個方面:
(1)在信息系統環境下,如果對信息不加以特別保護,信息比較容易被非法修改、刪除、轉移和偽造且不留任何痕跡;
(2)通過網絡傳輸的信息比較容易被非法攔截、竊取和竄改;
(3)數據檔案往往存儲在磁、光介質中,這些設備對環境要求較高,如果環境不能滿足要求,比較容易遭受損害,并且如果不經常備份的話,也有可能會面臨數據丟失的風險;
(4)容易遭受計算機病毒的侵害與干擾從而導致信息系統中的數據被破壞。
2、信息處理差錯反復所帶來的風險。
這主要是基于計算機程序控制錯誤或者根本就不起作用所導致的風險。講解此點時,有必要提前簡單提一下信息系統環境下的信息系統內部控制的主要方式。
3、計算機交易授權風險。
4、IT本身帶來的風險。
IT無論多么先進,難免有其自身的局限性或者缺陷,人們在這方面的教訓也是深刻的。
〖課堂提問〗如何看待IT的利與弊?既然IT會導致新風險,那我們為何還要熱衷于運用IT改造傳統會計?
二、內部控制概述
此處主要是回顧以前已經在其他課程上學過的一些基本概念,比如控制概念、內部控制的涵義、內部控制的組成要素。
〖教學建議〗這些概念可以簡單介紹一下其要點,比如理解控制概念必須涉及到控制要素(控制標準、偏差識別、糾正差異),理解內部控制概念則必須知道其欲達成的目標(保護公司資產、提高公司營運效率、保證財務報告的準確可靠、保證嚴格遵循相關法令),而理解內部控制的組成要素則要結合COSO的內部控制要素模型來理解。
三、會計信息系統內部控制
此處需要講解4個問題:第一個問題,如何理解會計信息系統內部控制這一概念,其目的和功能到底是什么?第二個問題,會計信息系統的內部控制到底呈現出了哪些新問題,其控制重點在哪里?;第三個問題,會計信息系統內部控制如何分類;第四個問題,會計信息系統內部控制固有的局限性表現在哪些方面。
〖教學建議〗結合實際例子來講解會計信息系統的內部控制的具體目的以及主要功能,重點講解第二個問題和第三個問題,適當了解第四個問題。
第二節 會計信息系統的一般控制與應用控制
〖教學內容引入〗計算機信息處理環境下內部控制分類從“控制如何執行”的觀點來看,可分為人工控制(即使用者控制)和程序控制;而從“控制執行的范圍”來看,則可分為一般控制(general control)與應用控制(application control)。那么,到底什么是一般控制?一般控制又可細分為哪些控制類型?應用控制又是指的什么控制?它又包括哪些細分的控制類型呢?其控制目的與措施又是什么呢? 一、一般控制
一般控制通常是指各個應用系統均通用的控制,也叫基礎控制或者環境控制,而應用控制則專指那些專為某個應用系統設計且執行的控制。
(一)組織控制
組織控制的基本目標是減少發生錯誤和舞弊的可能性,其基本要求是職責分離,主要內容包括3個方面,即電算部門與用戶部門的職責分離、電算部門內部的職責分離以及人事控制。電算部門主要負責業務記錄及對數據進行處理和控制,而用戶部門主要負責批準執行各種業務交易。電算部門與用戶部門的具體職責分離可從5個方面去理解,而電算部門內部職責分離主要是做好兩個方面的職責分離(對系統開發職能與數據處理職能進行分離、對數據處理職能進行適當分離)。
組織控制一方面可以規章制度的形式明確每個部門及人員的職責,另一方面可通過會計軟件中口令控制和授權管理防止越權行為的發生。
〖教學建議〗教師可引導學生去理解電算部門與用戶部門為何要進行職責分離?怎樣進行職責分離?電算部門內部又為何要進行一定的職責分離?應如何分離?
(二)操作控制
操作控制實際上是對會計信息系統的使用操作進行規范控制的制度設計,通常,可采取以下一些具體操作控制措施:制定工作計劃并嚴格按章操作;管理人員和操作人員都應嚴格遵守相關規定(包括上機守則和操作規程等);作好日志記錄的登記;制定應急預案和物理安全規則。
〖教學建議〗這方面實踐性很強,授課時只需操作控制的主要目的以及主要控制措施,引起學生今后在實際工作中對此問題加以重視。
(三)硬件及系統軟件控制
〖教學建議〗這方面的內容可不作詳細講解。
(四)系統開發控制
〖教學建議〗授課時,要講清楚系統開發控制主要用于什么場合,可采取哪些具體的控制措施。
(五)系統文檔控制
系統文檔包括計算機會計信息系統中的證、賬、表以及所有系統開發中產生的數據文檔,如系統說明書,數據流程圖,源程序、系統使用手冊及編程說明等。系統文檔控制就是指要建立文檔管理制度及安全保密制度。系統文檔控制的主要規則包括4個方面。
〖教學建議〗這方面內容可著重點講解。
二、應用控制
應用控制應結合具體的業務,但由于會計數據處理都是由輸入、處理和輸出三個階段構成,所以一般將應用控制分為輸入控制、處理控制和輸出控制。應用控制由手工控制和程序化控制構成,但以程序化控制為主。
(一)輸入控制
這里,可適當介紹完整的數據輸入過程(包括數據產生階段、數據傳遞階段、數據準備階段以及數據輸入階段);重點介紹輸入控制可以采取的典型方法(可從數據采集方面和數據輸入方面分別講解)。
〖教學建議〗輸入控制是應用控制中的非常重要的一類控制,因此,它是計算機會計處理區別于手工會計處理的一個重要方面,正因為輸入控制的重要性,在會計信息系統程序設計時,通常會把基本的輸入控制關系考慮進去,這樣既方便用戶操作,又可提高輸入數據的正確性和可靠性。因此,輸入控制措施也必要在實踐教學中去運用,通過運用加深理解。
(二)處理控制
數據輸入計算機后,按照預定的程序進行加工處理,在數據處理過程中極少人工干預,一般控制和輸入控制對保證數據處理的正確和可靠起著非常重要的作用。但是針對計算錯誤、用錯文件、用錯記錄、用錯程序、輸入數據錯誤在輸入過程中沒檢查出來等情況,還必須在處理過程中設置處理控制。這些處理控制措施大都為糾正性和檢查性控制,而且多是程序控制。
處理控制包括的主要內容(即處理控制包括的具體控制措施或手段):業務時序控制、數據有效性檢驗、程序化處理有效性檢驗、錯誤更正控制、斷點技術、數據合理性檢查、平衡及鉤稽關系校驗等。
〖教學建議〗注意區別輸入控制中的某些控制措施與處理控制的某些控制措施之間的不同。
(三)輸出控制
適當講解輸出控制的目的,重點講解輸出控制的內容。
輸出控制主要包括對輸出內容和格式的控制和對輸出信息的傳送過程的控制。具體可以采取的手段包括:輸出授權控制;輸入過程的控制總數與輸出得到的控制總數相核對;審校輸出結果,檢查正確性、完整性;將正常業務報告與例外報告中有關數據做分析對比;設置輸出報告發送登記簿,記錄報告發送份數、時間、接受人等事項;制訂輸出錯誤糾正和對重要數據進行處理的規定;在會計報表輸出前,由計算機檢查報表間應有的鉤稽關系是否滿足,若不滿足,則給出錯誤信息。
〖教學建議〗輸出控制作適當介紹即可。
不同的單位和不同的計算機會計信息系統內部控制的技術方法會有很大差異。應用控制大部分通過程序實現,所以選用的會計軟件不同,應用控制的實現方式也不同。但是,不管系統的應用控制采用哪種技術方法,都必須保留審計線索。
第三節 網絡信息時代的內部控制理論 〖教學內容引入〗對傳統內部控制進行回顧。
傳統的會計和審計控制觀點是基于以下的概念和實踐:
1.大量使用硬拷貝文檔來收集會計交易的信息,頻繁打印會計過程中會計交易的中間結果。大量使用紙張來記錄、處理和維護歷史信息。這種做法符合大多數人的習慣,因為他們可以看到處理過程。
2.職責分離,使一個人檢查另一個人的工作。只要業務活動和信息處理都由人來執行,這種方法就是可行的。
3.會計數據的重復記錄和重復數據的大量調整工作。現行的信息系統中充滿著重復數據。同樣的銷售事件信息記錄在銷售發票、銷售日志中,并在總賬中匯集,若該銷售涉及信用,則分類賬中也記錄了該銷售信息。而且,銷售部門常常在自己的系統中按產品和地區保留銷售記錄。另外,人事部門也保留了同樣的銷售數據,以便于準確支付銷售人員的傭金。
4.注冊會計師認為其角色是獨立的、反映性的和檢查性的。獨立的概念正日益深入到會計的各個領域,這對會計師的驗證職能非常重要。會計師的反映性要多于主動性,檢查性要多于預防性。
5.嚴重依賴年末對財務報表的檢查,所需控制較多。
6.相對于運行效率而言,更加注重內部控制。這主要是由于外部財務報表審計的要求,促使會計師們主要考慮影響財務報表準確性的財務控制。
7.避開信息技術的進步。盡管會計首先大量使用計算機,使會計處理自動化,會計師們在開發IT的應用能力方面仍落在了后面。
傳統的控制觀點沒有考慮IT對與業務運行、對規則的復合程度和信息過程相關的風險的影響。在網絡信息時代,需要建立起一種新的控制觀念,將IT有效的集成到業務和信息過程中,把保護組織和促進組織有機結合起來。為此,可從以下幾方面加以落實。
一、明確預防商業風險是會計師的首要職責
二、正確對待風險和特定控制程序之間的關系
三、內部控制程序的設計應達到保護與高效并重的效果
四、IT可能帶來風險,但它更是控制風險的工具
五、信息的可見性與風險水平無關
六、小型組織同樣也可充分運用信息技術強化內部控制
七、網絡信息時代內部控制觀點總結
八、事件驅動會計信息系統的風險識別與控制
〖教學建議〗此八點是本章的學習重點,也是學習難點,授課時,需要進行較為深入的講解分析。
第四節
一、信息系統安全的含義
此處關鍵是理解信息系統安全的具體含義,適當與信息安全這個概念加以區分。從系統過程與控制角度看,信息系統安全就是信息在存取、處理、集散和傳輸中保持其機密性、完整性、可用性、可審計性和抗抵賴性的系統識別、控制、策略和過程。
信息系統安全是一個多維、多層次、多因素、多目標的體系,雖然信息系統安全的唯一和最終目標是保障信息內容在系統內的任何地方、任何時間和任何狀態下的機密性,完整性和可用性,但是離開了信息系統安全的體系,孤立的和單純的尋求直接保護信息內容的方法,顯然是舍本逐末。
二、影響信息系統安全性的主要因素
信息系統本身由于系統主體和客體的原因可能存在不同程度的脆弱性,這就為各種動機的攻擊提供了入侵、騷擾和破壞信息系統可利用的途徑和方法。影響信息系統安全的因素要有以下幾個方面:硬件組織、軟件組織、網絡和通信協議以及管理者。
信息系統的安全影響因素分析
〖教學建議〗授課時,需要分別講清楚上述四個方面的影響因素是如何影響信息系統的安全性的。
第五節 會計信息系統的安全問題及保障技術
一、會計信息系統安全問題的具體表現 會計信息系統是一種特殊的信息系統,它除了一般信息系統的安全特征外,還具有自身的一些安全特點。會計信息系統的安全風險是指由于人為的或非人為的因素使會計信息系統保護安全的能力的減弱,從而產生系統的信息失真、失竊,使單位的財產遭受損失,或系統的硬件、軟件無法正常運行等結果發生的可能性。會計信息系統的安全風險主要表現在以下幾個方面:會計信息的真實性、可靠性得不到保證;企業重要的數據泄密;會計信息存在被竄改的可能性。
〖教學建議〗實際上,會計信息系統的安全風險表現在許多方面,這里只是擇其重要方面進行介紹,教師可引導學生思考是否有其他方面的表現。
二、會計信息系統的安全策略 所謂對癥下藥,會計信息系統的安全策略當然要針對其所面臨的主要安全問題以及安全風險的具體表現來采取相應策略,概括起來就是從內部控制制度和技術控制手段兩方面著手解決影響會計信息系統的安全問題,具體來說,就是一方面要健全內部控制制度,另一方面加強實施技術控制手段。技術控制手段主要包括防火墻、密匙技術、數字簽名等。
〖教學建議〗授課時,健全內部控制制度只需簡單介紹一下,對實施技術控制手段中的防火墻和數字簽名技術可詳細講解,以便學生真正明白這些技術的用途和工作原理,今后在實際工作中能夠主動運用這些技術確保會計信息系統的安全可靠。
三、網絡會計信息系統的安全性評估指標
此處的網絡會計信息系統是指建立在互聯網環境基礎上的會計信息系統,是電子商務的重要組成部分;它將幫助企業實現財務與業務的協同遠程報表、報賬、查賬、審計等遠程處理,事中動態會計核算與在線財務管理,支持電子單據與電子貨幣,改變財務信息的獲取與利用方式。
影響網絡會計信息系統安全性的因素很多,對其驚醒評價時,主要考慮以下10個指標: 安全方針;安全組織;人員安全;物理與環境安全;計算機與網絡管理;系統訪問控制;系統開發與維護;業務持續管理;合規性。
〖教學建議〗網絡會計信息系統所面臨的安全問題顯然與普通的會計信息系統是不一樣的,教師在授課時,可引導學生思考網絡會計信息系統的環境與一般會計信息系統的環境有何不同,從信息系統所處環境出發來理解上述10個指標的評價作用和影響程度。
VI 本章小結
參見本章教學課件
VII 復習思考題
參見本章教學大綱
VIII 閱讀資料
參見本課程配套教材第385頁
第二篇:信息系統的內部控制與風險評估
淺談如何加強信息系統內控建設防范安全風險
仲婕
江蘇省電信有限公司蘇州分公司
摘要:如何保證信息系統處理流程規范,系統數據安全完整準確,內控制度落到實處,本文從信息系統的開發建設、運行維護、審計檢查幾個方面論述如何加強內控制度建設防范安全風險。關鍵詞:信息系統、內控制度
隨著電信企業各項生產運營系統的建立與使用,各類信息系統的內部控制是否健全、風險是否得到有效控制就成為了內部審計關注的重要課題。
近年來電信企業上線運行的重要信息系統有BSS業務受理系統、OA辦公自動化系統、資源管理系統、綜合調度系統、智能網管理系統、計費賬務系統、計劃建設管理系統等等。這些信息系統的建立運用能解決人工難以及時處理大量信息數據、難以及時進行復雜運算分析的難題,利用信息系統可以將人工處理的程序、模型預先設計好,幫助企業高效率地管理生產過程,幫助企業及時獲取并提煉重要的信息,以利于提高企業綜合競爭力。但這些系統是否安全、是否符合內控要求,信息數據是否完整準確,卻無人來回答。內審部門作為企業的內部控制監督檢查部門有責任有義務對信息系統的內控制度進行評估檢查,分析系統的安全風險,堵塞系統漏洞,切實發揮信息系統在企業發展決策方面的支撐作用。
日前獲悉,某電信運營企業因小靈通預付費系統超級密 碼被盜,導致被非法制作了1000多萬元的小靈通充值卡,至案發時已全部充值消費,給電信企業造成了巨大的經濟損失。由此看出信息系統的安全與否直接影響著企業的經濟利益,對企業是至關重要的。
本文將就信息系統如何加強內部控制、防范安全風險談幾點看法:
一、信息系統從開發建設起就必須建立一套完整的內控流程
1、信息系統程序設計必須健全數據核對環節,保證數據準確
信息系統能提高企業管理效率,提升企業服務水平,提高企業競爭應變能力,但這一切是建立在信息系統能提供完整、真實、準確數據的基礎上的。如果數據經過信息系統的一系列加工處理流程,其中發生了部分溢出、丟失或變異,那么信息系統會輸出錯誤的數據,經營管理者依靠錯誤的數據肯定不會得出正確的結論。因此信息系統的數據完整準確是首先要保證的。如何保證數據準確呢,一般情況下采用在重要數據輸入前和處理輸出后進行總量比對、結構比對、邏輯驗證等方法驗證數據是否完整準確。
2、信息系統建設必須考慮數據安全存放,保證數據安全
一般情況下數據是否安全主要考慮兩個方面,一是數據庫是否安全,能否防止非法訪問,如果發生有非法訪問,或是發生惡意修改、篡改數據情況的,系統是否會留下記錄,能否及時告警。另外一方面是數據存放介質是否可靠,有無備份,重要數據是否異地存放,防止自然災害對數據安全的危害。
根據電信企業信息系統數據對企業生產經營、財務報告等的影響程度分別對數據進行ABC分類,A類數據庫如會計核算系統、計費賬務系統必須要具備可靠的存儲介質,嚴格建立實時的異地備份,以保證數據安全。B、C類數據根據機房容量、建設成本情況分別制定備份計劃,采用兩種以上介質存儲、兩個不同機房存放等方法。
3、信息系統開發要考慮設置嚴謹的密碼策略,杜絕非法入侵
信息系統必須建立用戶身份的驗證機制,對信息系統的訪問必須使用用戶名和密碼,而且每個用戶帳號被授予唯一的用戶。同時要制定嚴謹的密碼政策,并根據密碼政策在系統固化相應的設置,以避免用戶使用安全級別低的密碼。密碼政策具體包括: 用戶密碼長度不得低于6位、密碼應至少每90天進行更新、不得使用最近的密碼。以上稱為’6901’密碼策略,對于超級用戶則需要按照’8901’來設置密碼,位長不少于8位,更新周期同普通用戶。
在對電信企業信息系統進行內控評估時,發現較多的系統存在用戶名、密碼共用的現象,不符合內控要求。共用賬號、密碼會影響密碼的定期更換、不能防止非法訪問,發生 問題時也無法落實責任。因此有此現象的應當確認為重要缺陷,必須立即整改。
二、信息系統運行維護要嚴格遵守內控規定
1、用戶賬號變更嚴格履行審批
對信息系統的用戶創建和授權必須通過信息系統主管部門主管人員審批后,方可由系統管理員在系統中創建用戶帳號,以避免未經授權帳號及權限的創建或修改。在員工工作調動或離職等工作職能發生變化時,由人力資源部或用戶所在部門及時正式書面通知系統維護部門,由系統管理員更新或刪除其相應的訪問權限。
在對某電信企業信息系統進行內控評估時,發現用戶賬號的創建、修改缺少書面審批資料,無法證明是否經過必要的授權,因此被認定為內控執行缺陷。
2、重要操作要嚴格執行復核、審批制度
對信息系統的重要操作如涉及數據增加、修改、變更等需要堅持復核、審批制度,即一人操作、一人復核再加上主管審批,防止誤操作,影響信息數據準確。在大家都熟悉的會計核算系統中憑證制作必須要經過復核才能記賬,這也是遵循內控規定的重要體現。以電信企業的計費系統為例,系統操作人員需要根據營銷政策對批量用戶進行贈送話費操作,此操作會影響一大批用戶的預存款余額,不能發生任何 4 差錯。操作人員要將營銷政策的文字信息轉化為計算機語言,既不能送錯對象,也不能多送或少送,所以此類重要操作就必須嚴格執行復核、審批制度。
3、系統操作要有完善的記錄
一般信息系統本身會具有記錄的功能,將維護人員的維護操作全部記錄下來,生成專門的維護日志,供主管定期審閱。但也存在個別信息系統在程序開發時未提供完善的記錄功能,不是所有重要操作都能記錄系統中,在這種情況下,必須要求系統操作人員作好手工記錄,記錄的內容包括操作員姓名、操作指令、依據、時間、結果等信息。對重要的操作指令先要履行上述第2條規定復核程序。
4、不相容職務嚴格分離
《內部會計控制規范》中只是說“不相容職務主要包括:授權批準、業務經辦、會計記錄、財產保管、稽核檢查等職務”。事實上,一個企業或一個組織因業務種類、機構設置不同,所要明確的不相容職務是不盡相同的,既涉及不同部門的不相容職務又涉及同部門不同崗位的不相容職務。在此僅討論涉及信息系統的不相容職務分離的問題,如上文所提的用戶創建、修改操作與審批、數據錄入與審核、系統操作與復核、數據維護與統計記賬等。將這些職責分離是為了保證信息系統數據處理的合法合規性,謹防信息系統本身出現重大風險。以電信企業為例,信息系統運用廣泛之后,產生了許多電子化虛擬貨幣如Q幣、電子卡等有別于傳統貨幣的實物,無法按照原來實物管理的模式進行到貨驗收、保管記錄、月度盤點等工作,但作為系統管理的虛擬實物還必須要建立這樣的職務分離制度,負責管理虛擬實物部門(即系統維護部門)與購買、銷售部門分離,實物管理部門與會計記賬部門分離,建立相互核對、相互監督的內控工作制度,以兩個不同系統的數據核對,或以人工計算核對等方法來驗證信息系統數據的完整。以Q幣為例,在電信企業就經歷購買、入庫、銷售、計費、記賬等諸多環節,購買與入庫、銷售與計費、計費與記賬就必須按照不相容職務分離規定執行,相互之間建立進行定期對賬機制,以保證Q幣的購銷存業務流程閉環管理。
我們都知道不相容職務分離是內部控制的核心,在信息化環境下,更加需要強調不相容職務分離原則,因為業務管理流程經過信息系統固化之后,所有人員都會在系統中承擔一個或多個角色,角色分配結果在一段時間內是不會發生變化的,這些角色之間是否是不相容職務,是否會存在因分工不當導致舞弊行為的發生,都直接影響信息系統的安全性。
三、內審部門要加強信息系統的內控評估,堵塞漏洞防范風險
1、信息系統審計評估需要關注的重點內容 對照以上所述的在信息系統開發建設、運行維護中所要落實的各項內控要求,認真開展檢查評估。
在評估過程中既要關注信息系統本身對數據處理的控制流程是否規范,用戶權限設置是否經過授權,是否存在數據安全風險,又要關注不同信息系統之間有無建立數據接口,是否進行數據核對,是否將不相容職務分離,相互之間是否存在監督關系。評估要重點關注與財務報告相關的信息系統數據的安全情況。
2、信息系統審計評估需要運用的方法
信息系統評估方法與業務流程內控評估方法基本相同,主要有:詢問、文件檢查、重新履行、觀察、問卷調查等。其中文件檢查、重新履行是內控評估常用的重要方法,像前面所述的用戶權限審批、重要操作審批、系統操作記錄、復核檢查等都需要運用文件檢查方法,通過審閱相關文檔記錄來判斷各項內控措施是否得到有效執行。
3、信息系統審計評估重要目的是落實缺陷整改
通過對信息系統內控制度的檢查評估,發現內控缺陷,目的是針對內控缺陷制定合理的整改方案,確保缺陷得到修正,風險得到控制。信息系統數據的安全完整準確是內審部門開展內控評估的唯一目的。
第三篇:計算機會計信息系統的風險及其控制
引言
信息系統作為會計信息系統控制的對象,是由計算機硬件和軟件部分、應用系統、各種數據和相關人員等要素構成的。會計信息系統控制目的是在信息系統風險分析和識別控制基礎上避免或減少風險危害。
為了使得會計信息系統正確的,可靠的和安全的運行,同時提高會計信息系統運行效率,就需要使用各種方法和相應的技術,對會計信息系統實施風險管理和風險規避。
1.計算機會計信息系統的簡介
1.1計算機會計信息系統的定義。計算機會計信息系統將電子計算機為主的當代電子技術和信息技術應運到會計實務中,是一個運用電子計算機實現的會計信息系統。它使傳統的手工會計信息系統逐漸轉化為電算化會計信息系統。計算機會計信息系統將電子計算機和現代數據處理技術相結合并且運用到會計工作中,是用電子計算機代替人工記賬、算賬和報賬,和部分代替人腦完成企業對會計信息的分析、預測、決策的過程,它的目的是使得企業財務管理水平和經濟效益得以提高。
1.2 計算機會計信息系統特點
(1)系統的龐大復雜性;(2)信息的真實可靠性。計算機會計信息系統應確保存放在系統中的會計信息的真實、公允、全面、完整、安全和可靠;(3)內部控制嚴格。計算機會計信息系統中的數據不僅要保證其正確性,還要保證;(4)會計核算程序的規范性和程序性。
1.3 計算機會計信息系統的應用及不足
(1)會計信息數據將會發生失真。如果會計信息系統的安全受到威脅,那么將會發生會計數據發生錯誤、數據將會丟失或被篡改,使信息發生失真;(2)企業重要信息發生泄露。比如,在各種網絡環境下,財務信息完全通過網絡進行傳遞,這時將不可避免的發生財務信息被不法分子截取或泄露;(3)計算機病毒侵襲使得系統不能正常運行。計算機病毒將會破壞計算機內部的程序、重要數據,有的甚至會破壞硬件。病毒通常會通過磁盤、光盤、網絡和電子郵件進行傳播。
2.我國計算機會計信息系統存在的風險
2.1 會計信息系統內在是脆弱的
(1)計算機的硬件存在很大風險。硬件的安全隱患大部分來自于程序設計,物理安全是最主要的表現方式;(2)會計軟件的系統是脆弱的。計算機軟件的風險一般來自于軟件設計和軟件工程實施中的遺留問題,一旦軟件設計中發生了疏忽,則可能留下安全漏洞;安全脆弱性還體現在軟件設計中不必要的冗余功能,和軟件本身較大;(3)網絡和通信協議存在一定的安全風險。由于支持因特網運行的TCP/IP協議棧在設計的當初將互聯互通和資源共享問題考慮了進去,從而導致了解決來自網際的安全問題無法被兼容。
2.2 計算機病毒引起的風險
(1)從存儲介質進入。
(2)從內聯網進入。內聯網上的郵件系統容易給病毒大量傳播的機會,而且在內聯網絡上傳播的病毒較新,大部分是新發現的病毒。
(3)從互聯網進入。計算機病毒大部分通過互聯網傳播,不管用戶在網上瀏覽網頁,還是收發電子郵件、或者是下載軟件,都比較容易使計算機染上病毒。
2.3 計算機舞弊引發的風險
(1)將會使得系統硬件發生破壞。比如不法分子蓄意對系統硬件設備進行破壞,最終導致系統運行發生中斷或癱瘓;(2)使得軟件系統發生破壞。不法分子威脅、攻擊及舞弊的主要對象是軟件系統,方法和手段是多樣的,常用方法有截尾術、越級法、程序天窗、邏輯炸彈及冒名頂替等等;(3)使得重要數據發生破壞。計算機舞弊中最常用的方法就是對輸入進行篡改,即在將數據輸入計算機之前或者輸入過程中對數據進行篡改;(4)網絡黑客。
2.4 內部控制存在的風險
(1)授權控制下降。(2)職責分離和監督不規范。(3)業務記錄效力降低。員工在紙質憑證上進行了簽字只是證明了他確實對交易進行了授權確認,但是系統的完整性、正確性和安全性影響了磁質交易記錄上的操作員信息的法律效力。
3.對我國計算機會計信息系統風險的規避控制
3.1 我國的計算機會計信息系統內在的防范對策
3.1.1 完善會計軟件的功能
3.1.2 加強內部審計
3.1.3 計算機舞弊引發風險的防范
不同企業對會計信息系統存在不同的安全要求,企業可以自主選擇合適的操作系統平臺。在會計軟件的開發設計過程中,通過運用操作系統提供的信息安全技術,使信息安全得以實現。此外,要監督審計人員,讓他們在執行審計工作的過程中查找計算機舞弊的痕跡。
3.1.4 提高應用與管理人員業務素質
企業可以通過內部培訓、績效考核、獎懲等各種方法,使會計人員的會計信息系統應用和管理人員的計算機知識、網絡技術安全知識、會計理論與實務知識有所增加,并同時增強會計人員的風險防范意識,提高他們的業務素質,使得計算機會計信息系統有效正常運行.3.2 我國計算機會計信息系統外部的防范對策
3.2.1安裝防火墻和使用加密技術
(1)企業可以通過安裝防火墻,使得內聯網上的企業信息系統躲過來自互聯網上的攻擊。防火墻具有限制網上會計信息的自由流動,從而使得網上訪問變的安全。
(2)企業可以使用非對稱加密機制,會計數據秘密得以保守。
3.2.2 采用數字簽名技術和仲裁制度,防范來自關聯方和社會道德風險
3.2.3采取多種網絡安全技術,保證系統的安全性
(1)企業應當適當使用安全檢測預警系統。
(2)企業應當適當采用加密技術。加密技術是最主要的網絡安全技術,它可以使得系統數據的保密性得以提高,而且能防止私密數據被破譯。保秘密鑰和公開密鑰是加密技術的兩大手段。
4.結 論
互聯網技術的飛速發展,導致了計算機會計信息系統進入了一個全新的發展階段,同時也使得目前的會計信息系統面臨著巨大的挑戰。網絡多功能化可以讓企業根據自身情況,考慮設置新的功能模塊,同時隨著電子技術的發展,系統也會逐步完善,發展成企業管理所期望的。
我們不可否認,會計信息系統的各種風險是客觀存在的,這就要求我們積極面對各種風險,對出現的問題認真思考,進而采取正確的防范措施,只要企業進行嚴密監督與控制,計算機會計信息系統的風險是可以減少與控制的,會計信息系統將會運行在正確的軌道上。
introduction As the object of accounting information system, information system is composed of computer hardware and software, application system, various data and related personnel.The purpose of accounting information system control is to avoid or reduce the risk of risk on the basis of information system risk analysis and identification control.In order to make the system of accounting information is correct, reliable and safe operation and improve the efficiency of accounting information system, you need to use a variety of approaches and corresponding technical, the accounting information system implementation of risk management and risk aversion.1 Introduction to computer accounting information system 1.1 the definition of computer accounting information system.Computer accounting information system www.tmdps.cn will be computer-based contemporary electronic technology and information technology to be shipped to accounting practice in, is a use of computer to realize the accounting information system.It makes the traditional manual accounting information system gradually transformed into computerized accounting information system.Computer accounting information system, electronic computer and modern data processing technology combined and applied to accounting work is by using a computer instead of manual bookkeeping, accounts and reimbursement, and some substitute for the human brain to complete the analysis of accounting information, forecasting, decision-making process, it is the level of enterprise's financial management and economy benefit can be improved.1.2 characteristics of computer accounting information system(1)the huge complexity of the system;(2)the true reliability of the information.Computer accounting information system should ensure that the accounting information stored in the system is true, fair, comprehensive, complete, safe and reliable;(3)strict internal control.Computer accounting information system in the data not only to ensure its correctness, but also to ensure that;(4)the standard of accounting procedures and procedures.1.3 computer accounting information system and its application(1)accounting information data will be distorted.If the security of the accounting information system is threatened, the accounting data will be wrong, the data will be lost or tampered, so that the information is distorted;(2)the important information of the enterprise leakage.For example, in the network environment, financial information completely pass through the network, then it will be inevitable occurrence of financial information is illegal interception or leaked;(3)computer virus invasion makes the system can not operate normally.Computer viruses will destroy the computer's internal procedures, important data, and some even destroy the hardware.Viruses usually spread by disk, disk, network, and email.2 the risk of computer accounting information system in our country 2.1 the accounting information system is fragile.(1)the hardware of the computer is very risky.Hardware security risks are mostly from programming, physical security is the most important way of expression;(2)the accounting software system is fragile.The risk of computer software from the remaining problems in software design and software engineering implementation, once design software in the negligence, it may leave a security vulnerability;vulnerability is also reflected in software design of unnecessary redundancy function, and the software itself larger;(3)network and communication www.tmdps.cn protocols exist certain security risks.Since the TCP/IP protocol stack that supports the Internet has been designed to account for interoperability and resource sharing, the security problem from the Internet can not be compatible.2.2 computer virus induced risk(1)entry from storage medium.(2)from the inside to enter.Online mail systems are easy to spread a lot of opportunities for the virus, but also in the spread of the virus on the intranet network, most of the newly discovered virus.(3)access to the Internet from the internet.Most computer viruses spread through the Internet, whether users browse the web page, or send e-mail, or download the software, are relatively easy to make computer infected with the virus.2.3 computer fraud risks(1)will make the system hardware failure.For example, unscrupulous elements of the system hardware equipment to destroy the system, eventually leading to the system to run the outage or paralysis;(2)the software system to destroy.Criminals threats, assault and fraud is the main target of software system, method and means is varied, commonly used methods have truncation operation, leapfrog method, program skylight, logic bombs and an imposter, and so on;(3)so that important data failure.Computer fraud is the most common way to tamper with the input, that is, before the data is entered into the computer or the input process to tamper with the data;(4)network hackers.2.4 the risk of internal control(1)authorization control decreased.(2)separation of duties and supervision is not standardized.(3)decrease in business records.Employees in paper documents the signature is to prove that he did to the transaction is authorized to confirm, but system integrity, correct and safe sex affected the legal effect of magnetic quality records information to operator.3 to avoid the risk of computer accounting information system in our country 3.1 China's computer accounting information system, the inherent preventive measures 3.1.1 to improve the function of accounting software 3.1.2 to strengthen internal audit 3.1.3 computer fraud risk prevention Different enterprises have different security requirements to the accounting information system, and the enterprise can choose the appropriate operating system platform.In accounting software.
第四篇:淺析國稅信息系統的安全風險
隨著計算機信息技術和網絡通訊技術的普遍應用,社會信息化程度不斷提高,信息系統已經滲透到社會的各個領域。信息系統的廣泛應用推動了人類社會的發展,但也帶來了一定的風險。一旦信息系統、通訊系統發生故障、停止運行或被惡意破壞,某領域的業務活動就不得不部分或完全終止,由此引起的直接或間接損失將是無法估量的。國內外大量信息化建設的實踐表明,信
息系統審計作為信息社會的安全對策,能有效地管理與信息系統有關的風險,從而確保信息系統的安全性、穩定性和有效性。
一、信息系統審計簡介
“審計”一詞起源于財務審計,人們比較熟悉的審計是對財務報表或會計賬冊的監督,好像和信息系統沒有必然聯系。但隨著經濟管理和科學技術的不斷結合以及日益滲透,現代審計已經遠遠超出了僅對財務會計進行審查的狹窄范圍,不斷向管理領域和技術領域滲透。
信息技術的廣泛應用使信息系統實際上已經成為企業及社會的中樞,在一定程度上左右著企業的命運。美國、日本等發達國家在信息化過程中率先意識到信息系統審計的必要性并對此進行了研究,目前已得到普及。在我國,雖然也早就提出了“計算機審計”的概念,但這種審計更多的是偏向于“利用計算機進行審計”。實際上我國的信息系統審計工作還處在摸索階段。
信息系統審計是技術審計的一個典型,它實質上是對計算機軟件、硬件及整個信息系統的審計,是指遵照普遍接受的信息系統審計標準和指南對信息系統及其應用的安全性、穩定性和有效性進行監測、評估和控制的過程,以確保預定的業務目標得以實現。
按國際上通行的規范,信息系統審計主要有6個方面的內容:評估信息系統的管理、計劃與組織方面的策略、政策、標準、程序和相關實務;評估技術基礎設施的管理和運行實踐方面的有效性及效率,以確保其充分支持組織的業務目標;評估信息資源在邏輯訪問、運行環境與信息技術基礎設施的安全性,以確保其滿足組織的業務需要,防止信息資產在未經授權的情況下被使用、披露、修改、損壞或丟失;評估系統災難恢復與保證業務連續性的能力,以確保組織能持續進行業務營運;評估應用系統開發、實施與維護的方式、方法及過程,以確保其滿足組織的業務需求;評估業務處理流程的風險管理水平,確保根據組織的業務目標對相應風險實施管理。
二、國稅信息系統面臨的風險
國稅部門作為行政執法部門,信息系統的安全與否直接關系到為納稅人提供服務的質量和效率,社會的和諧與穩定,因此國稅信息系統的安全保護顯得越來越重要。近年來,以數據省級集中為標志的新一輪國稅信息化建設已成效凸顯,為國稅系統優化納稅服務,加強科學管理提供了廣闊的技術平臺,直接帶來了稅收理念的更新,征管機制的創新、管理手段的提高,但在數據由分散到集中的同時,原來分散的風險也隨之集中。在這種模式下,雖然安全性事故、災難的發生頻率可能大大降低,但其潛在的風險不容忽視。
1、運行環境方面的風險。數據集中后,通過采用更高端的設備、技術等措施提高了系統的安全系數,故障概率大大低于分散式數據管理模式。但是應清醒地認識到數據集中后,其安全影響的范圍也呈幾何級數增長,一旦發生故障,可能影響全局。因此,必須建設、保障一流的運行環境,不僅要考慮供電、溫濕度、潔凈度、抗電磁干擾、火災等常規因素,還要考慮到地震、洪水等自然災害的影響。
2、數據備份中心及應急恢復機制方面的風險。電子化程度越高的行業,其對數據完整性和可用性的要求也越高。據美國的有關調查顯示,如果公司在災難過后兩個星期內無法完全恢復信息系統的使用,75%的公司業務將會完全停頓,43%的公司將再也無法開業。對于依賴信息系統進行日常運作的國稅部門而言,納稅人對于系統停機的可忍受時間甚至不能超過1天,而稅收數據的丟失和破壞可能會導致稅收秩序的混亂,影響社會的穩定與和諧。
3、軟件開發及應用方面的風險。由于我國稅收政策變動比較頻繁,加之軟件開發者水平參差不齊,軟件開發的時間較緊,一些稅收征管系統往往沒有進行縝密的測試,因此有可能存在一定的缺陷和漏洞,讓不法之徒有機可乘。
4、網絡安全方面的風險。internet的迅猛發展為電子商務、電子政務提供了運作平臺,但也帶來了許多不安全隱患。各種跡象表明,網上申報、手機申報等信息系統已成為日益猖獗的網絡攻擊和計算機犯罪活動的主要目標。
三、國稅信息系統審計的重點
國稅信息化經過多年的建設,已初具規模,各種系統十分復雜、龐大,如對全部信息系統進行審計的話,工作量巨大,且目前信息系統審計的人員缺乏,因此,應先從部分重點系統、重要環節著手進行審計,審計的重點應該考慮以下內容:
(一)運行管理審計
作為一種人機交互系統,信息系統的服務質量和安全是建立在“三分技術,七分管理”的基礎之上的,系統運行中的操作管理是否科學、規范直接影響到信息系統的服務質量和安全性。運行管理審計的重點包括:
1、機房管理審計。包括機房、設備間等重要運行環境選址、布局是否合理;是否設置了門禁、監控、氣體滅火、防水、防雷、報警等安全設施;機房內部的溫度、濕度、潔凈度、電磁干擾等技術指標是否合格;機房的進出是否有切實有
效的管理制度、是否有防止非正常行為的對策等。
2、操作管理審計。包括是否有詳盡的操作規范;是否對系統操作人員進行上崗前培訓;操作人員是否嚴格按規范進行操作;系統的登錄代碼及密碼是否具備一定的安全防護對策、是否按規定更新;是否記錄操作日志并保存一定期限;操作人員的交接是否按規定進行;是否及時發現、記錄、報告事故及故障;是否及時采取措施排除故障,防止再次發生等。
3、硬件管理審計。包括是否制定并遵守硬件管理規范;硬件的運行環境是否達到相應的技術要求;是否定期對硬件進行檢修、維護;對硬件故障的維修對策是否合理;是否有硬件維護日志;檢查業務設備送出修理時是否對設備所存業務數據進行刪除。
4、軟件管理審計。包括是否制定并遵守軟件管理規范;軟件的拷貝是否有嚴格的控制措施和技術防范對策;軟件的保管和廢止是否按機密資料予以保護;是否有完善的軟件版本管理規范;對軟件源程序的控制是否嚴格,生產環境與測試環境是否嚴格分開。
(二)系統開發審計
信息系統的開發審計通常應該包括系統規劃審計、系統分析審計、系統設計審計、系統編碼審計、系統測試審計和系統試運行審計等部分。當前國稅信息系統開發審計的重點包括:
1、預期效益審計。主要包括是否提供了新的服務;是否實現了新的功能;是否提高了納稅服務的質量;是否提高了本單位的工作效率等社會效益方面的評估;是否通過流程整合減少了人員、降低了稅收成本。
2、編碼及文檔管理審計。編碼審計主要包括編程語言、編程工具的選擇是否合理;是否制定了統一的編程規則;是否對數據的類型、結構、長度作統一的說明;程序邏輯是否清晰、易懂;是否按照結構化的方法進行編程等。文檔管理審計主要包括是否制定、遵守文檔管理規范并按規范編制文檔;文檔的數量是否齊全;文檔的編制內容是否完整、齊全;文檔的質量是否符合要求;文檔的版本管理是否嚴格;是否有文檔的保密管理對策等。
3、控制措施審計。包括將業務流程進行整合后,新系統是否重新設置了與之相適應的內部控制措施;是否遵循“職責分離”的原則,對人員的職責權限和變動進行合理的控制;信息系統是否具備一定的識別和防御攻擊的能力(如登錄控制、加密、拒絕訪問等手段);是否具備一定的自適應能力(如根據攻擊方的意圖調整控制措施,隔離破壞范圍的能力)和恢復能力;是否專門設計了系統審計功能或預留了系統審計接口等。
4、系統測試審計。包括有無完整的系統測試計劃;測試案例的編寫是否合理、全面;參與測試人員的選擇是否符合公正、客觀的要求;測試方法是否合理;測試結果是否得到參與人員的認可;測試文檔是否齊備等。
5、試運行審計。包括有無切實可行的試運行方案;針對新系統的人員培訓是否落實;新系統的運行環境(包括軟件、硬件、網絡等)是否符合實際運行要求;新系統的實際運行效率、功能是否達到預期設想等。
(三)網絡安全審計
網絡安全審計的根本目的就是防止通過計算機網絡傳輸的信息被非法占用。網絡安全審計應重點針對網絡安全管理、網絡安全技術、網絡安全策略等內容。
1、網絡安全管理審計。包括是否建立有效的網絡安全防御體系;安全及密碼產品是否具有合法性、是否經過國家有關管理部門的認可或認證;是否建立了有關網絡安全的規章制度、在實際工作中是否嚴格執行;是否進行了網絡安全教育、安全培訓;對網絡安全工作是否進行動態管理等。
2、網絡安全技術審計。包括是否使用了嚴格的身份驗證技術控制系統用戶;是否使用了訪問控制技術并配置訪問控制策略;是否利用密碼技術對數據進行安全加密;與外部單位連接時是否安裝了防火墻進行有效隔離以確保安全;是否使用了系統漏洞掃描技術來檢測系統的脆弱性;是否使用入侵檢測技術對網絡系統進行實時監測;是否制定了有效的防病毒策略,如不使用不明來歷的軟盤、光盤;是否安裝了有效的防、殺病毒軟件;是否及時更新最新的病毒碼以保證防病毒軟件的有效性;是否采用網絡安全審計措施等。
(四)災難對策審計
為保證信息系統的正常運行,開發人員在系統設計上已經采取了各種措施來防止信息系統被破壞,但這并不能完全杜絕系統的各種故障和一些不可抗力的災難,而災難一旦發生,往往導致信息系統完全癱瘓,造成巨大損失。所以,必須對信息系統的災難對策進行審計。國稅信息系統的災難對策審計應抓住以下重點:
1、災難應急對策審計。包括是否事先制定了災難應急對策;災難應急對策是否切實可行;災難應急對策是否定期進行演練;災難應急對策是否根據實際情況及時調整。
2、數據備份審計。包括是否制定信息系統及數據的備份策略;數據備份策略是否切實可行;數據備份的強度是否足夠;數據備份的范圍是否全面;數據備份的恢復方法及恢復效果是否經過驗證;使用備份數據進行恢復的時間是否可以控制在可以忍受的范圍之內;數據備份的存儲介質管理是否按要求執行等。
3、設備冗余審計。包括是否為信息系統提供冗余運行環境(災難備份中心,包括電力、通訊線路等設施);是否為信息系統的核心設備(生產機)提供冗余設備(備機);生產機和備機上的信息系統和數據是否同步;生產機和備機之間的切換方案是否可靠并經過驗證等。
四、開展信息系統審計需要解決的幾個問題
(一)組織問題
雖然,目前部分國內企業已經意識到利用信息系統審計可以有效地管理信息及與信息相關的技術,保障企業信息系統可靠運行,并開始關注信息系統審計,但整個社會對信息系統審計的認識還不夠,信息系統審計遠未達到普及的程度。國內還沒有專門的信息系統(技術)審計機構,在各單位內部目前也沒有設置相關的信息系統(技術)審計部門。國稅系統目前主要采取各級信息中心進行自查、互查的方式來解決信息系統的安全性問題,往往是就某一專項內容進行檢查,帶有一定的局限性,且一般情況下檢查的深度不夠,因此迫切需要具有專門知識和技術的、與系統沒有直接關系的信息系統審計專業機構和專職人員介入。
(二)標準化問題
目前,國內開展信息系統審計主要是參考信息系統審計與控制協會isaca(information system audit and control association)這個國際上唯一的信息系統審計師專業組織制定和頒布的信息系統審計標準。該標準是一套以管理為核心、以法律法規為保障、以技術為支撐的框架體系,為實施信息系統審計提供了一套執業規范和操作指南。但由于國內系統集成業發展的不成熟以及客觀應用環境的差異、法律法規上不完善等原因,處在起步階段的國內信息系統審計工作不能完全照搬此標準,必須盡快形成適合國稅系統的信息系統審計標準體系。
(三)人才問題
信息系統審計師不僅需要通曉信息系統的軟件、硬件、開發、運營、維護、管理,對網絡和信息系統安全等具有高度的敏感性,對財務會計和單位內部控制有深刻的理解,而且還必須能夠利用規范和先進的審計技術,對信息系統的安全性、穩定性和有效性進行審計、檢查、評價和改造。要對國稅信息系統的安全性、穩定性和有效性進行監控,就需要有經過專業訓練、經驗豐富、兼通技術和管理的信息系統審計師利用規范的審計手段,比較客觀和冷靜地分析、評價現有信息系統的運行,并從專業的角度提出建議。如此高的素質要求,一般的技術人員是無法達到的,所以可采取對國稅系統內部的計算機專業科技人員進行強化it審計培訓,使之具備執業能力的方式。因為此類型人才的優勢在于熟悉稅收業務,技術背景較好,開展工作時比較容易深入,但對此類型人才需重視培養其審計工作能力和良好職業道德,保證其開展審計工作時的獨立性。
第五篇:投資擔保公司法律實務及風險控制淺析概要
投資擔保公司法律實務及風險控制淺析
為了解決中小企業融資難問題,我國在全國各地建立起了為中小企業擔保的體系,信用擔保公司也隨著應運而生。
信用擔保公司是以中小企業信用評估為基礎,承擔銀行信貸調查與保證的企業,但也是高風險的行業。如何有效的防范和化解擔保風險,提高風險管理水平是確保信用擔保行業正常發展期待解決的問題。如何幫助信用擔保企業防范與化解法律風險?律師在這一方面應如何作為?筆者就此類問題聯系法律理論及平時的業務實際操作,提出幾點看法。
一、擔保公司目前業務中存在的法律風險
擔保公司在開展業務中存在的擔保風險主要就是擔保主體損失的可能性,這種可能性分為系統風險和隨機性風險兩類。系統風險是由整個社會的信用環境,法律環境和政策環境的變化而產生的風險,這種風險靠擔保機構自身的力量是無法解決的。而隨機性風險是擔保機構和擔保業務自身的風險,通過風險管理可以有效地防范和化解這種風險,減少不必要的風險損失。對擔保公司來說,最常見的隨機性風險是企業的信用風險,也稱代償風險,是指由于債務人無力或不愿意償還而造成擔保機構損失的風險。
二、擔保公司防范代償風險的幾點措施。
就以上存在的風險擔保公司必須采取措施積極主動避免風險產生,不能消極等風險產生再去做工作。擔保公司如何主動防范此類風險?筆者認為可以從以下幾個方面開展工作。
1、建立再擔保
再擔保是對擔保的擔保,即再擔保機構對擔保機構已承擔的擔保風險按照一定的比例再次進行擔保或強制再擔保,以分散和轉移已擔保的風險。再擔保機制是擔保體系中分散和轉移己擔保風險的重要保障方式。
2、建立反擔保
對于借款人申請擔保公司提供擔保的,擔保公司都要求借款人提供反擔保,根據《中華人民共和國擔保法》第四條規定:“第三人為債務人向債權人提供擔保時,可以要求債務人提供反擔保。”反擔保是指依照保證人與債務人事先的約定,如果債務人不履行債務時,保證人可以不經過訴訟或仲裁程序,就可以直接從債務人事先提供的反擔保措施中獲得履行或得到經濟上的補償,從而把信用風險的一部分分散給債務人,降低擔保機構的風險系數。擔保公司對于獲得批準擔保的企業可以根據企業和項目的實際情況采用一種或幾種保證措施。反擔保一般采用以下四種形式:(一以保證金形式提供反擔保。保證金是指在委托保證合同生效后交給保證人,用于債務人的借款債務支付的資金。當債務人不履行主合同時,保證人無須征得債務人的同意即可直接將保證金劃撥給債權人。保證金的多少一般由保證人與債務人協商確定,并在委托保證合同中確定。
(二以質押形式提供反擔保。企業以屬于自己的動產或有價證券申請質押時,擔保公司作為質物占管的質權人,負有保管質物的責任和義務,因此,選擇質物時,應嚴格遵循值高、體積小、易于保管的原則。由于我國金融系統信息共享程度極低,質權經常受到許多不確定因素威脅,故此質押過程中登記、保險、公證等措施具有重要意義。當企業的質押審查獲通過時,擔保公司出具“信用保證書”,企業憑此向金融機構融資。
(三以保證形式提供反擔保。保證反擔保又稱信用反擔保,是指債務人向擔保人提供第三人作為其信用保證人,當債務人不履行債務時,按照反擔保合同的約定,由該第三方作為保證人履行債務或者承擔連帶責任。從而把債務人到時可能不履行債務的信用風險分散出去,降低擔保機構的信用風險。
(四以抵押形式提供反擔保。抵押人將自己享有完整所有權的財產抵押給擔保公司,作為自己到期不能履行的保證。法律規定抵押應當辦理相應手續的,應當辦理,否則不能對抗第三人。
3、規定合理的風險控制指標,主要包括:(一控制資金放大倍數。擔保資金的放大倍數一般是指擔保總額與擔保資產總額的比例。由于擔保公司的資產僅是起擔保作用,而不發生實際的資金流出,因此其一定的資產可以承擔比自身資本數額更大的擔保。擔保機構的資金放大倍數是與擔保風險成正比的,比例越大,可能產生的風險也就越大,同時收益也越多。把擔保公司的資金放大比例控制在一個合理、恰當的比例上,是擔保公司防范風險的必要措施。代償率是擔保機構在一定期間內發生的代為清償總額與該期間內在保債務余額之比。代償率反映了擔保公司承擔的風險程度,代償率越高,則在保債務發生損失的可能性就越大,反之就越小。雖然代償的發生不完全決定于擔保機構自身,但擔保機構事先確定合理的代償率,有利于風險的防范。一般代償率控制在35%為宜。擔保公司在實施擔保業務操作中,當代償率超過控制比例時,就應采取措施,慎重處理。
(二控制擔保費率。擔保機構在開展擔保業務時,收取一定數額的擔保費是世界各國的通行做法。擔保費率的高低直接關系到擔保機構的收入,是擔保機構收入的主要來源。擔保費比例定得過低,就會影響到自身的生存和發展,擔保機構的擔保費比例定得過高,又勢必增加中小企業的貸款負擔,影響擔保業的發展。因此,擔保公司應當根據情況確定一個比較合適的擔保費率。
三、擔保公司業務中律師的法律實務。
1、關于擔保公司的擔保業務流程。律師為擔保公司提供法律服務就必須清楚地了解擔保公司的業務流程,了解其中產生哪些法律關系,以及法律關系中可能存在或出現的風險。擔保公司為中小企業向銀行等金融機構貸款提供保證擔保,其業務開展的流程是:①由債務人提供擔保申請②進行資信評估與擔保審核③在債權人與債務人簽訂合同時,由擔保公司與債權人簽訂保證合同;需要時,擔保公司與債務人簽訂反擔保合同④按約定支付但保費⑤主合同履行不能,由擔保公司按約定代償⑥擔保公司實施追償.2、擔保公司業務流程中存在的法律關系。通過以上的業務流程可以看出,擔保公司業務中存在以下的法律關系:①債務人與借款人之間的借款關系②借款人與擔
保公司之間的委托擔保關系③擔保公司與借款人之間的保證關系④擔保人與反擔保人(借款人或其它之間的反擔保關系
3、在擔保公司業務開展過程中,律師所可以介入的法律實務體現在: ①針對具體業務的需要制定合同,包括:擔保合同、委托擔保合同、反擔保合同、質押和抵押合同以及相關的協議書和法律文件
②制定業務操作流程表和相關的規章制度。③審查反擔保措施的足值性、合法性以及有效性。④參與業務談判
⑤針對不同業務設計不同的反擔保(組合措施 ⑥追償案件的代理
⑦向擔保公司業務人員講授業務和法律知識,并指導業務實踐。
我國的企業信用擔保公司從產生就具有“政策性”,國家也出臺許多政策對擔保企業給予支持,但就目前來看,擔保公司承擔了太多的風險。擔保公司需要的不僅僅是自身懂得如何去避免和化解風險,更需要的是良好的外部生存和發展環境,同時,擔保公司本身也要建立起嚴格的風險防范機制和內部約束與管理機制,自身要不斷的壯大。擔保公司決不能因為風險的存在,就不去做業務,善于經營風險,并從風險中獲益,才是擔保公司立于不敗之地的真正秘訣。
點擊咨詢 