第一篇:第七章 信息系统的风险、控制与安全概要
第七章 信息系统的风险、控制与安全
教案
Ⅰ 本章教学目的和要求
通过本章的学习,使学生了解会计信息系统可能遇到的风险,掌握内部控制的概念、作用、功能和分类,掌握会计信息系统的控制技术,了解网络会计信息系统的安全技术。
II 本章重点
IT环境下信息系统的风险分析;会计信息系统的内部控制重点及其措施;会计信息系统的一般控制基本类型介绍;会计信息系统的应用控制;网络信息时代的内部控制理论。
III 本章难点
会计信息系统的一般控制与应用控制的区别;网络信息时代的内部控制理论;事件驱动会计信息系统的风险识别与控制;会计信息系统的安全策略。
Ⅳ 本章计划使用教学课时:7课时(课堂讲授5课时,实践2课时)
V 教学内容及教学过程的组织
教学方法:采用课堂讲授与实践调查相结合的方式
〖教学内容引入〗信息技术是一把双刃剑,随着企业信息系统的应用和会计信息系统的普及,信息技术帮助企业改善了经营管理、强化了会计的反映和监控职能、整体提高了企业的营运效率和信息质量水平,这些都显现出了信息技术的有利一面;但与此同时,恶意的数据窃取、计算机舞弊、病毒侵袭、黑客的肆意妄为、非法的程序变更等现象屡见不鲜,这又折射出了信息技术的不利一面。严峻的现实告诉我们,信息系统安全问题已经成为企业实施信息化战略时不得不重视的一大问题,如何对信息系统的安全进行评价、如何对信息系统的风险进行科学评估并以此为基础构建高效、合理的风险控制体系已然成为每一个建立信息系统的企业首先要面对的重大问题。
第一节 风险与控制之间的关系
信息系统的使用提高了工作效率和经济效益,充分发挥了信息资源的作用,但信息系统在发挥其作用的同时也导致了众多不安全因素的潜入,具有受到严重侵扰和损坏的风险,所以必须采取相应的策略进行系统控制,保证系统的安全。
一、IT环境下信息系统的风险分析
这里着重要讲清楚三个问题:到底什么是风险;信息系统可以防范手工系统下可能面临的哪些风险;IT环境下信息系统到底面临哪些风险。第一个问题已是老生常谈的问题,因此简单介绍即可,抓住关键两点:风险具有不确定性,风险可能导致损失。第二和第三个问题才是此处讲解的重点。
由于采用了信息系统,它可以防范手工系统下可能面临的以下风险:人工操作错误的风险、所加工的信息不能充分满足管理需求的风险以及数据传递慢容易出现差错的风险。
但与此同时,信息系统也可能带来与手工环境下不同来源不同性质的风险,主要包括:
1、信息安全风险,具体表现4个方面:
(1)在信息系统环境下,如果对信息不加以特别保护,信息比较容易被非法修改、删除、转移和伪造且不留任何痕迹;
(2)通过网络传输的信息比较容易被非法拦截、窃取和窜改;
(3)数据档案往往存储在磁、光介质中,这些设备对环境要求较高,如果环境不能满足要求,比较容易遭受损害,并且如果不经常备份的话,也有可能会面临数据丢失的风险;
(4)容易遭受计算机病毒的侵害与干扰从而导致信息系统中的数据被破坏。
2、信息处理差错反复所带来的风险。
这主要是基于计算机程序控制错误或者根本就不起作用所导致的风险。讲解此点时,有必要提前简单提一下信息系统环境下的信息系统内部控制的主要方式。
3、计算机交易授权风险。
4、IT本身带来的风险。
IT无论多么先进,难免有其自身的局限性或者缺陷,人们在这方面的教训也是深刻的。
〖课堂提问〗如何看待IT的利与弊?既然IT会导致新风险,那我们为何还要热衷于运用IT改造传统会计?
二、内部控制概述
此处主要是回顾以前已经在其他课程上学过的一些基本概念,比如控制概念、内部控制的涵义、内部控制的组成要素。
〖教学建议〗这些概念可以简单介绍一下其要点,比如理解控制概念必须涉及到控制要素(控制标准、偏差识别、纠正差异),理解内部控制概念则必须知道其欲达成的目标(保护公司资产、提高公司营运效率、保证财务报告的准确可靠、保证严格遵循相关法令),而理解内部控制的组成要素则要结合COSO的内部控制要素模型来理解。
三、会计信息系统内部控制
此处需要讲解4个问题:第一个问题,如何理解会计信息系统内部控制这一概念,其目的和功能到底是什么?第二个问题,会计信息系统的内部控制到底呈现出了哪些新问题,其控制重点在哪里?;第三个问题,会计信息系统内部控制如何分类;第四个问题,会计信息系统内部控制固有的局限性表现在哪些方面。
〖教学建议〗结合实际例子来讲解会计信息系统的内部控制的具体目的以及主要功能,重点讲解第二个问题和第三个问题,适当了解第四个问题。
第二节 会计信息系统的一般控制与应用控制
〖教学内容引入〗计算机信息处理环境下内部控制分类从“控制如何执行”的观点来看,可分为人工控制(即使用者控制)和程序控制;而从“控制执行的范围”来看,则可分为一般控制(general control)与应用控制(application control)。那么,到底什么是一般控制?一般控制又可细分为哪些控制类型?应用控制又是指的什么控制?它又包括哪些细分的控制类型呢?其控制目的与措施又是什么呢? 一、一般控制
一般控制通常是指各个应用系统均通用的控制,也叫基础控制或者环境控制,而应用控制则专指那些专为某个应用系统设计且执行的控制。
(一)组织控制
组织控制的基本目标是减少发生错误和舞弊的可能性,其基本要求是职责分离,主要内容包括3个方面,即电算部门与用户部门的职责分离、电算部门内部的职责分离以及人事控制。电算部门主要负责业务记录及对数据进行处理和控制,而用户部门主要负责批准执行各种业务交易。电算部门与用户部门的具体职责分离可从5个方面去理解,而电算部门内部职责分离主要是做好两个方面的职责分离(对系统开发职能与数据处理职能进行分离、对数据处理职能进行适当分离)。
组织控制一方面可以规章制度的形式明确每个部门及人员的职责,另一方面可通过会计软件中口令控制和授权管理防止越权行为的发生。
〖教学建议〗教师可引导学生去理解电算部门与用户部门为何要进行职责分离?怎样进行职责分离?电算部门内部又为何要进行一定的职责分离?应如何分离?
(二)操作控制
操作控制实际上是对会计信息系统的使用操作进行规范控制的制度设计,通常,可采取以下一些具体操作控制措施:制定工作计划并严格按章操作;管理人员和操作人员都应严格遵守相关规定(包括上机守则和操作规程等);作好日志记录的登记;制定应急预案和物理安全规则。
〖教学建议〗这方面实践性很强,授课时只需操作控制的主要目的以及主要控制措施,引起学生今后在实际工作中对此问题加以重视。
(三)硬件及系统软件控制
〖教学建议〗这方面的内容可不作详细讲解。
(四)系统开发控制
〖教学建议〗授课时,要讲清楚系统开发控制主要用于什么场合,可采取哪些具体的控制措施。
(五)系统文档控制
系统文档包括计算机会计信息系统中的证、账、表以及所有系统开发中产生的数据文档,如系统说明书,数据流程图,源程序、系统使用手册及编程说明等。系统文档控制就是指要建立文档管理制度及安全保密制度。系统文档控制的主要规则包括4个方面。
〖教学建议〗这方面内容可着重点讲解。
二、应用控制
应用控制应结合具体的业务,但由于会计数据处理都是由输入、处理和输出三个阶段构成,所以一般将应用控制分为输入控制、处理控制和输出控制。应用控制由手工控制和程序化控制构成,但以程序化控制为主。
(一)输入控制
这里,可适当介绍完整的数据输入过程(包括数据产生阶段、数据传递阶段、数据准备阶段以及数据输入阶段);重点介绍输入控制可以采取的典型方法(可从数据采集方面和数据输入方面分别讲解)。
〖教学建议〗输入控制是应用控制中的非常重要的一类控制,因此,它是计算机会计处理区别于手工会计处理的一个重要方面,正因为输入控制的重要性,在会计信息系统程序设计时,通常会把基本的输入控制关系考虑进去,这样既方便用户操作,又可提高输入数据的正确性和可靠性。因此,输入控制措施也必要在实践教学中去运用,通过运用加深理解。
(二)处理控制
数据输入计算机后,按照预定的程序进行加工处理,在数据处理过程中极少人工干预,一般控制和输入控制对保证数据处理的正确和可靠起着非常重要的作用。但是针对计算错误、用错文件、用错记录、用错程序、输入数据错误在输入过程中没检查出来等情况,还必须在处理过程中设置处理控制。这些处理控制措施大都为纠正性和检查性控制,而且多是程序控制。
处理控制包括的主要内容(即处理控制包括的具体控制措施或手段):业务时序控制、数据有效性检验、程序化处理有效性检验、错误更正控制、断点技术、数据合理性检查、平衡及钩稽关系校验等。
〖教学建议〗注意区别输入控制中的某些控制措施与处理控制的某些控制措施之间的不同。
(三)输出控制
适当讲解输出控制的目的,重点讲解输出控制的内容。
输出控制主要包括对输出内容和格式的控制和对输出信息的传送过程的控制。具体可以采取的手段包括:输出授权控制;输入过程的控制总数与输出得到的控制总数相核对;审校输出结果,检查正确性、完整性;将正常业务报告与例外报告中有关数据做分析对比;设置输出报告发送登记簿,记录报告发送份数、时间、接受人等事项;制订输出错误纠正和对重要数据进行处理的规定;在会计报表输出前,由计算机检查报表间应有的钩稽关系是否满足,若不满足,则给出错误信息。
〖教学建议〗输出控制作适当介绍即可。
不同的单位和不同的计算机会计信息系统内部控制的技术方法会有很大差异。应用控制大部分通过程序实现,所以选用的会计软件不同,应用控制的实现方式也不同。但是,不管系统的应用控制采用哪种技术方法,都必须保留审计线索。
第三节 网络信息时代的内部控制理论 〖教学内容引入〗对传统内部控制进行回顾。
传统的会计和审计控制观点是基于以下的概念和实践:
1.大量使用硬拷贝文档来收集会计交易的信息,频繁打印会计过程中会计交易的中间结果。大量使用纸张来记录、处理和维护历史信息。这种做法符合大多数人的习惯,因为他们可以看到处理过程。
2.职责分离,使一个人检查另一个人的工作。只要业务活动和信息处理都由人来执行,这种方法就是可行的。
3.会计数据的重复记录和重复数据的大量调整工作。现行的信息系统中充满着重复数据。同样的销售事件信息记录在销售发票、销售日志中,并在总账中汇集,若该销售涉及信用,则分类账中也记录了该销售信息。而且,销售部门常常在自己的系统中按产品和地区保留销售记录。另外,人事部门也保留了同样的销售数据,以便于准确支付销售人员的佣金。
4.注册会计师认为其角色是独立的、反映性的和检查性的。独立的概念正日益深入到会计的各个领域,这对会计师的验证职能非常重要。会计师的反映性要多于主动性,检查性要多于预防性。
5.严重依赖年末对财务报表的检查,所需控制较多。
6.相对于运行效率而言,更加注重内部控制。这主要是由于外部财务报表审计的要求,促使会计师们主要考虑影响财务报表准确性的财务控制。
7.避开信息技术的进步。尽管会计首先大量使用计算机,使会计处理自动化,会计师们在开发IT的应用能力方面仍落在了后面。
传统的控制观点没有考虑IT对与业务运行、对规则的复合程度和信息过程相关的风险的影响。在网络信息时代,需要建立起一种新的控制观念,将IT有效的集成到业务和信息过程中,把保护组织和促进组织有机结合起来。为此,可从以下几方面加以落实。
一、明确预防商业风险是会计师的首要职责
二、正确对待风险和特定控制程序之间的关系
三、内部控制程序的设计应达到保护与高效并重的效果
四、IT可能带来风险,但它更是控制风险的工具
五、信息的可见性与风险水平无关
六、小型组织同样也可充分运用信息技术强化内部控制
七、网络信息时代内部控制观点总结
八、事件驱动会计信息系统的风险识别与控制
〖教学建议〗此八点是本章的学习重点,也是学习难点,授课时,需要进行较为深入的讲解分析。
第四节
一、信息系统安全的含义
此处关键是理解信息系统安全的具体含义,适当与信息安全这个概念加以区分。从系统过程与控制角度看,信息系统安全就是信息在存取、处理、集散和传输中保持其机密性、完整性、可用性、可审计性和抗抵赖性的系统识别、控制、策略和过程。
信息系统安全是一个多维、多层次、多因素、多目标的体系,虽然信息系统安全的唯一和最终目标是保障信息内容在系统内的任何地方、任何时间和任何状态下的机密性,完整性和可用性,但是离开了信息系统安全的体系,孤立的和单纯的寻求直接保护信息内容的方法,显然是舍本逐末。
二、影响信息系统安全性的主要因素
信息系统本身由于系统主体和客体的原因可能存在不同程度的脆弱性,这就为各种动机的攻击提供了入侵、骚扰和破坏信息系统可利用的途径和方法。影响信息系统安全的因素要有以下几个方面:硬件组织、软件组织、网络和通信协议以及管理者。
信息系统的安全影响因素分析
〖教学建议〗授课时,需要分别讲清楚上述四个方面的影响因素是如何影响信息系统的安全性的。
第五节 会计信息系统的安全问题及保障技术
一、会计信息系统安全问题的具体表现 会计信息系统是一种特殊的信息系统,它除了一般信息系统的安全特征外,还具有自身的一些安全特点。会计信息系统的安全风险是指由于人为的或非人为的因素使会计信息系统保护安全的能力的减弱,从而产生系统的信息失真、失窃,使单位的财产遭受损失,或系统的硬件、软件无法正常运行等结果发生的可能性。会计信息系统的安全风险主要表现在以下几个方面:会计信息的真实性、可靠性得不到保证;企业重要的数据泄密;会计信息存在被窜改的可能性。
〖教学建议〗实际上,会计信息系统的安全风险表现在许多方面,这里只是择其重要方面进行介绍,教师可引导学生思考是否有其他方面的表现。
二、会计信息系统的安全策略 所谓对症下药,会计信息系统的安全策略当然要针对其所面临的主要安全问题以及安全风险的具体表现来采取相应策略,概括起来就是从内部控制制度和技术控制手段两方面着手解决影响会计信息系统的安全问题,具体来说,就是一方面要健全内部控制制度,另一方面加强实施技术控制手段。技术控制手段主要包括防火墙、密匙技术、数字签名等。
〖教学建议〗授课时,健全内部控制制度只需简单介绍一下,对实施技术控制手段中的防火墙和数字签名技术可详细讲解,以便学生真正明白这些技术的用途和工作原理,今后在实际工作中能够主动运用这些技术确保会计信息系统的安全可靠。
三、网络会计信息系统的安全性评估指标
此处的网络会计信息系统是指建立在互联网环境基础上的会计信息系统,是电子商务的重要组成部分;它将帮助企业实现财务与业务的协同远程报表、报账、查账、审计等远程处理,事中动态会计核算与在线财务管理,支持电子单据与电子货币,改变财务信息的获取与利用方式。
影响网络会计信息系统安全性的因素很多,对其惊醒评价时,主要考虑以下10个指标: 安全方针;安全组织;人员安全;物理与环境安全;计算机与网络管理;系统访问控制;系统开发与维护;业务持续管理;合规性。
〖教学建议〗网络会计信息系统所面临的安全问题显然与普通的会计信息系统是不一样的,教师在授课时,可引导学生思考网络会计信息系统的环境与一般会计信息系统的环境有何不同,从信息系统所处环境出发来理解上述10个指标的评价作用和影响程度。
VI 本章小结
参见本章教学课件
VII 复习思考题
参见本章教学大纲
VIII 阅读资料
参见本课程配套教材第385页
第二篇:信息系统的内部控制与风险评估
浅谈如何加强信息系统内控建设防范安全风险
仲婕
江苏省电信有限公司苏州分公司
摘要:如何保证信息系统处理流程规范,系统数据安全完整准确,内控制度落到实处,本文从信息系统的开发建设、运行维护、审计检查几个方面论述如何加强内控制度建设防范安全风险。关键词:信息系统、内控制度
随着电信企业各项生产运营系统的建立与使用,各类信息系统的内部控制是否健全、风险是否得到有效控制就成为了内部审计关注的重要课题。
近年来电信企业上线运行的重要信息系统有BSS业务受理系统、OA办公自动化系统、资源管理系统、综合调度系统、智能网管理系统、计费账务系统、计划建设管理系统等等。这些信息系统的建立运用能解决人工难以及时处理大量信息数据、难以及时进行复杂运算分析的难题,利用信息系统可以将人工处理的程序、模型预先设计好,帮助企业高效率地管理生产过程,帮助企业及时获取并提炼重要的信息,以利于提高企业综合竞争力。但这些系统是否安全、是否符合内控要求,信息数据是否完整准确,却无人来回答。内审部门作为企业的内部控制监督检查部门有责任有义务对信息系统的内控制度进行评估检查,分析系统的安全风险,堵塞系统漏洞,切实发挥信息系统在企业发展决策方面的支撑作用。
日前获悉,某电信运营企业因小灵通预付费系统超级密 码被盗,导致被非法制作了1000多万元的小灵通充值卡,至案发时已全部充值消费,给电信企业造成了巨大的经济损失。由此看出信息系统的安全与否直接影响着企业的经济利益,对企业是至关重要的。
本文将就信息系统如何加强内部控制、防范安全风险谈几点看法:
一、信息系统从开发建设起就必须建立一套完整的内控流程
1、信息系统程序设计必须健全数据核对环节,保证数据准确
信息系统能提高企业管理效率,提升企业服务水平,提高企业竞争应变能力,但这一切是建立在信息系统能提供完整、真实、准确数据的基础上的。如果数据经过信息系统的一系列加工处理流程,其中发生了部分溢出、丢失或变异,那么信息系统会输出错误的数据,经营管理者依靠错误的数据肯定不会得出正确的结论。因此信息系统的数据完整准确是首先要保证的。如何保证数据准确呢,一般情况下采用在重要数据输入前和处理输出后进行总量比对、结构比对、逻辑验证等方法验证数据是否完整准确。
2、信息系统建设必须考虑数据安全存放,保证数据安全
一般情况下数据是否安全主要考虑两个方面,一是数据库是否安全,能否防止非法访问,如果发生有非法访问,或是发生恶意修改、篡改数据情况的,系统是否会留下记录,能否及时告警。另外一方面是数据存放介质是否可靠,有无备份,重要数据是否异地存放,防止自然灾害对数据安全的危害。
根据电信企业信息系统数据对企业生产经营、财务报告等的影响程度分别对数据进行ABC分类,A类数据库如会计核算系统、计费账务系统必须要具备可靠的存储介质,严格建立实时的异地备份,以保证数据安全。B、C类数据根据机房容量、建设成本情况分别制定备份计划,采用两种以上介质存储、两个不同机房存放等方法。
3、信息系统开发要考虑设置严谨的密码策略,杜绝非法入侵
信息系统必须建立用户身份的验证机制,对信息系统的访问必须使用用户名和密码,而且每个用户帐号被授予唯一的用户。同时要制定严谨的密码政策,并根据密码政策在系统固化相应的设置,以避免用户使用安全级别低的密码。密码政策具体包括: 用户密码长度不得低于6位、密码应至少每90天进行更新、不得使用最近的密码。以上称为’6901’密码策略,对于超级用户则需要按照’8901’来设置密码,位长不少于8位,更新周期同普通用户。
在对电信企业信息系统进行内控评估时,发现较多的系统存在用户名、密码共用的现象,不符合内控要求。共用账号、密码会影响密码的定期更换、不能防止非法访问,发生 问题时也无法落实责任。因此有此现象的应当确认为重要缺陷,必须立即整改。
二、信息系统运行维护要严格遵守内控规定
1、用户账号变更严格履行审批
对信息系统的用户创建和授权必须通过信息系统主管部门主管人员审批后,方可由系统管理员在系统中创建用户帐号,以避免未经授权帐号及权限的创建或修改。在员工工作调动或离职等工作职能发生变化时,由人力资源部或用户所在部门及时正式书面通知系统维护部门,由系统管理员更新或删除其相应的访问权限。
在对某电信企业信息系统进行内控评估时,发现用户账号的创建、修改缺少书面审批资料,无法证明是否经过必要的授权,因此被认定为内控执行缺陷。
2、重要操作要严格执行复核、审批制度
对信息系统的重要操作如涉及数据增加、修改、变更等需要坚持复核、审批制度,即一人操作、一人复核再加上主管审批,防止误操作,影响信息数据准确。在大家都熟悉的会计核算系统中凭证制作必须要经过复核才能记账,这也是遵循内控规定的重要体现。以电信企业的计费系统为例,系统操作人员需要根据营销政策对批量用户进行赠送话费操作,此操作会影响一大批用户的预存款余额,不能发生任何 4 差错。操作人员要将营销政策的文字信息转化为计算机语言,既不能送错对象,也不能多送或少送,所以此类重要操作就必须严格执行复核、审批制度。
3、系统操作要有完善的记录
一般信息系统本身会具有记录的功能,将维护人员的维护操作全部记录下来,生成专门的维护日志,供主管定期审阅。但也存在个别信息系统在程序开发时未提供完善的记录功能,不是所有重要操作都能记录系统中,在这种情况下,必须要求系统操作人员作好手工记录,记录的内容包括操作员姓名、操作指令、依据、时间、结果等信息。对重要的操作指令先要履行上述第2条规定复核程序。
4、不相容职务严格分离
《内部会计控制规范》中只是说“不相容职务主要包括:授权批准、业务经办、会计记录、财产保管、稽核检查等职务”。事实上,一个企业或一个组织因业务种类、机构设置不同,所要明确的不相容职务是不尽相同的,既涉及不同部门的不相容职务又涉及同部门不同岗位的不相容职务。在此仅讨论涉及信息系统的不相容职务分离的问题,如上文所提的用户创建、修改操作与审批、数据录入与审核、系统操作与复核、数据维护与统计记账等。将这些职责分离是为了保证信息系统数据处理的合法合规性,谨防信息系统本身出现重大风险。以电信企业为例,信息系统运用广泛之后,产生了许多电子化虚拟货币如Q币、电子卡等有别于传统货币的实物,无法按照原来实物管理的模式进行到货验收、保管记录、月度盘点等工作,但作为系统管理的虚拟实物还必须要建立这样的职务分离制度,负责管理虚拟实物部门(即系统维护部门)与购买、销售部门分离,实物管理部门与会计记账部门分离,建立相互核对、相互监督的内控工作制度,以两个不同系统的数据核对,或以人工计算核对等方法来验证信息系统数据的完整。以Q币为例,在电信企业就经历购买、入库、销售、计费、记账等诸多环节,购买与入库、销售与计费、计费与记账就必须按照不相容职务分离规定执行,相互之间建立进行定期对账机制,以保证Q币的购销存业务流程闭环管理。
我们都知道不相容职务分离是内部控制的核心,在信息化环境下,更加需要强调不相容职务分离原则,因为业务管理流程经过信息系统固化之后,所有人员都会在系统中承担一个或多个角色,角色分配结果在一段时间内是不会发生变化的,这些角色之间是否是不相容职务,是否会存在因分工不当导致舞弊行为的发生,都直接影响信息系统的安全性。
三、内审部门要加强信息系统的内控评估,堵塞漏洞防范风险
1、信息系统审计评估需要关注的重点内容 对照以上所述的在信息系统开发建设、运行维护中所要落实的各项内控要求,认真开展检查评估。
在评估过程中既要关注信息系统本身对数据处理的控制流程是否规范,用户权限设置是否经过授权,是否存在数据安全风险,又要关注不同信息系统之间有无建立数据接口,是否进行数据核对,是否将不相容职务分离,相互之间是否存在监督关系。评估要重点关注与财务报告相关的信息系统数据的安全情况。
2、信息系统审计评估需要运用的方法
信息系统评估方法与业务流程内控评估方法基本相同,主要有:询问、文件检查、重新履行、观察、问卷调查等。其中文件检查、重新履行是内控评估常用的重要方法,像前面所述的用户权限审批、重要操作审批、系统操作记录、复核检查等都需要运用文件检查方法,通过审阅相关文档记录来判断各项内控措施是否得到有效执行。
3、信息系统审计评估重要目的是落实缺陷整改
通过对信息系统内控制度的检查评估,发现内控缺陷,目的是针对内控缺陷制定合理的整改方案,确保缺陷得到修正,风险得到控制。信息系统数据的安全完整准确是内审部门开展内控评估的唯一目的。
第三篇:计算机会计信息系统的风险及其控制
引言
信息系统作为会计信息系统控制的对象,是由计算机硬件和软件部分、应用系统、各种数据和相关人员等要素构成的。会计信息系统控制目的是在信息系统风险分析和识别控制基础上避免或减少风险危害。
为了使得会计信息系统正确的,可靠的和安全的运行,同时提高会计信息系统运行效率,就需要使用各种方法和相应的技术,对会计信息系统实施风险管理和风险规避。
1.计算机会计信息系统的简介
1.1计算机会计信息系统的定义。计算机会计信息系统将电子计算机为主的当代电子技术和信息技术应运到会计实务中,是一个运用电子计算机实现的会计信息系统。它使传统的手工会计信息系统逐渐转化为电算化会计信息系统。计算机会计信息系统将电子计算机和现代数据处理技术相结合并且运用到会计工作中,是用电子计算机代替人工记账、算账和报账,和部分代替人脑完成企业对会计信息的分析、预测、决策的过程,它的目的是使得企业财务管理水平和经济效益得以提高。
1.2 计算机会计信息系统特点
(1)系统的庞大复杂性;(2)信息的真实可靠性。计算机会计信息系统应确保存放在系统中的会计信息的真实、公允、全面、完整、安全和可靠;(3)内部控制严格。计算机会计信息系统中的数据不仅要保证其正确性,还要保证;(4)会计核算程序的规范性和程序性。
1.3 计算机会计信息系统的应用及不足
(1)会计信息数据将会发生失真。如果会计信息系统的安全受到威胁,那么将会发生会计数据发生错误、数据将会丢失或被篡改,使信息发生失真;(2)企业重要信息发生泄露。比如,在各种网络环境下,财务信息完全通过网络进行传递,这时将不可避免的发生财务信息被不法分子截取或泄露;(3)计算机病毒侵袭使得系统不能正常运行。计算机病毒将会破坏计算机内部的程序、重要数据,有的甚至会破坏硬件。病毒通常会通过磁盘、光盘、网络和电子邮件进行传播。
2.我国计算机会计信息系统存在的风险
2.1 会计信息系统内在是脆弱的
(1)计算机的硬件存在很大风险。硬件的安全隐患大部分来自于程序设计,物理安全是最主要的表现方式;(2)会计软件的系统是脆弱的。计算机软件的风险一般来自于软件设计和软件工程实施中的遗留问题,一旦软件设计中发生了疏忽,则可能留下安全漏洞;安全脆弱性还体现在软件设计中不必要的冗余功能,和软件本身较大;(3)网络和通信协议存在一定的安全风险。由于支持因特网运行的TCP/IP协议栈在设计的当初将互联互通和资源共享问题考虑了进去,从而导致了解决来自网际的安全问题无法被兼容。
2.2 计算机病毒引起的风险
(1)从存储介质进入。
(2)从内联网进入。内联网上的邮件系统容易给病毒大量传播的机会,而且在内联网络上传播的病毒较新,大部分是新发现的病毒。
(3)从互联网进入。计算机病毒大部分通过互联网传播,不管用户在网上浏览网页,还是收发电子邮件、或者是下载软件,都比较容易使计算机染上病毒。
2.3 计算机舞弊引发的风险
(1)将会使得系统硬件发生破坏。比如不法分子蓄意对系统硬件设备进行破坏,最终导致系统运行发生中断或瘫痪;(2)使得软件系统发生破坏。不法分子威胁、攻击及舞弊的主要对象是软件系统,方法和手段是多样的,常用方法有截尾术、越级法、程序天窗、逻辑炸弹及冒名顶替等等;(3)使得重要数据发生破坏。计算机舞弊中最常用的方法就是对输入进行篡改,即在将数据输入计算机之前或者输入过程中对数据进行篡改;(4)网络黑客。
2.4 内部控制存在的风险
(1)授权控制下降。(2)职责分离和监督不规范。(3)业务记录效力降低。员工在纸质凭证上进行了签字只是证明了他确实对交易进行了授权确认,但是系统的完整性、正确性和安全性影响了磁质交易记录上的操作员信息的法律效力。
3.对我国计算机会计信息系统风险的规避控制
3.1 我国的计算机会计信息系统内在的防范对策
3.1.1 完善会计软件的功能
3.1.2 加强内部审计
3.1.3 计算机舞弊引发风险的防范
不同企业对会计信息系统存在不同的安全要求,企业可以自主选择合适的操作系统平台。在会计软件的开发设计过程中,通过运用操作系统提供的信息安全技术,使信息安全得以实现。此外,要监督审计人员,让他们在执行审计工作的过程中查找计算机舞弊的痕迹。
3.1.4 提高应用与管理人员业务素质
企业可以通过内部培训、绩效考核、奖惩等各种方法,使会计人员的会计信息系统应用和管理人员的计算机知识、网络技术安全知识、会计理论与实务知识有所增加,并同时增强会计人员的风险防范意识,提高他们的业务素质,使得计算机会计信息系统有效正常运行.3.2 我国计算机会计信息系统外部的防范对策
3.2.1安装防火墙和使用加密技术
(1)企业可以通过安装防火墙,使得内联网上的企业信息系统躲过来自互联网上的攻击。防火墙具有限制网上会计信息的自由流动,从而使得网上访问变的安全。
(2)企业可以使用非对称加密机制,会计数据秘密得以保守。
3.2.2 采用数字签名技术和仲裁制度,防范来自关联方和社会道德风险
3.2.3采取多种网络安全技术,保证系统的安全性
(1)企业应当适当使用安全检测预警系统。
(2)企业应当适当采用加密技术。加密技术是最主要的网络安全技术,它可以使得系统数据的保密性得以提高,而且能防止私密数据被破译。保秘密钥和公开密钥是加密技术的两大手段。
4.结 论
互联网技术的飞速发展,导致了计算机会计信息系统进入了一个全新的发展阶段,同时也使得目前的会计信息系统面临着巨大的挑战。网络多功能化可以让企业根据自身情况,考虑设置新的功能模块,同时随着电子技术的发展,系统也会逐步完善,发展成企业管理所期望的。
我们不可否认,会计信息系统的各种风险是客观存在的,这就要求我们积极面对各种风险,对出现的问题认真思考,进而采取正确的防范措施,只要企业进行严密监督与控制,计算机会计信息系统的风险是可以减少与控制的,会计信息系统将会运行在正确的轨道上。
introduction As the object of accounting information system, information system is composed of computer hardware and software, application system, various data and related personnel.The purpose of accounting information system control is to avoid or reduce the risk of risk on the basis of information system risk analysis and identification control.In order to make the system of accounting information is correct, reliable and safe operation and improve the efficiency of accounting information system, you need to use a variety of approaches and corresponding technical, the accounting information system implementation of risk management and risk aversion.1 Introduction to computer accounting information system 1.1 the definition of computer accounting information system.Computer accounting information system www.xiexiebang.com will be computer-based contemporary electronic technology and information technology to be shipped to accounting practice in, is a use of computer to realize the accounting information system.It makes the traditional manual accounting information system gradually transformed into computerized accounting information system.Computer accounting information system, electronic computer and modern data processing technology combined and applied to accounting work is by using a computer instead of manual bookkeeping, accounts and reimbursement, and some substitute for the human brain to complete the analysis of accounting information, forecasting, decision-making process, it is the level of enterprise's financial management and economy benefit can be improved.1.2 characteristics of computer accounting information system(1)the huge complexity of the system;(2)the true reliability of the information.Computer accounting information system should ensure that the accounting information stored in the system is true, fair, comprehensive, complete, safe and reliable;(3)strict internal control.Computer accounting information system in the data not only to ensure its correctness, but also to ensure that;(4)the standard of accounting procedures and procedures.1.3 computer accounting information system and its application(1)accounting information data will be distorted.If the security of the accounting information system is threatened, the accounting data will be wrong, the data will be lost or tampered, so that the information is distorted;(2)the important information of the enterprise leakage.For example, in the network environment, financial information completely pass through the network, then it will be inevitable occurrence of financial information is illegal interception or leaked;(3)computer virus invasion makes the system can not operate normally.Computer viruses will destroy the computer's internal procedures, important data, and some even destroy the hardware.Viruses usually spread by disk, disk, network, and email.2 the risk of computer accounting information system in our country 2.1 the accounting information system is fragile.(1)the hardware of the computer is very risky.Hardware security risks are mostly from programming, physical security is the most important way of expression;(2)the accounting software system is fragile.The risk of computer software from the remaining problems in software design and software engineering implementation, once design software in the negligence, it may leave a security vulnerability;vulnerability is also reflected in software design of unnecessary redundancy function, and the software itself larger;(3)network and communication www.xiexiebang.com protocols exist certain security risks.Since the TCP/IP protocol stack that supports the Internet has been designed to account for interoperability and resource sharing, the security problem from the Internet can not be compatible.2.2 computer virus induced risk(1)entry from storage medium.(2)from the inside to enter.Online mail systems are easy to spread a lot of opportunities for the virus, but also in the spread of the virus on the intranet network, most of the newly discovered virus.(3)access to the Internet from the internet.Most computer viruses spread through the Internet, whether users browse the web page, or send e-mail, or download the software, are relatively easy to make computer infected with the virus.2.3 computer fraud risks(1)will make the system hardware failure.For example, unscrupulous elements of the system hardware equipment to destroy the system, eventually leading to the system to run the outage or paralysis;(2)the software system to destroy.Criminals threats, assault and fraud is the main target of software system, method and means is varied, commonly used methods have truncation operation, leapfrog method, program skylight, logic bombs and an imposter, and so on;(3)so that important data failure.Computer fraud is the most common way to tamper with the input, that is, before the data is entered into the computer or the input process to tamper with the data;(4)network hackers.2.4 the risk of internal control(1)authorization control decreased.(2)separation of duties and supervision is not standardized.(3)decrease in business records.Employees in paper documents the signature is to prove that he did to the transaction is authorized to confirm, but system integrity, correct and safe sex affected the legal effect of magnetic quality records information to operator.3 to avoid the risk of computer accounting information system in our country 3.1 China's computer accounting information system, the inherent preventive measures 3.1.1 to improve the function of accounting software 3.1.2 to strengthen internal audit 3.1.3 computer fraud risk prevention Different enterprises have different security requirements to the accounting information system, and the enterprise can choose the appropriate operating system platform.In accounting software.
第四篇:浅析国税信息系统的安全风险
随着计算机信息技术和网络通讯技术的普遍应用,社会信息化程度不断提高,信息系统已经渗透到社会的各个领域。信息系统的广泛应用推动了人类社会的发展,但也带来了一定的风险。一旦信息系统、通讯系统发生故障、停止运行或被恶意破坏,某领域的业务活动就不得不部分或完全终止,由此引起的直接或间接损失将是无法估量的。国内外大量信息化建设的实践表明,信
息系统审计作为信息社会的安全对策,能有效地管理与信息系统有关的风险,从而确保信息系统的安全性、稳定性和有效性。
一、信息系统审计简介
“审计”一词起源于财务审计,人们比较熟悉的审计是对财务报表或会计账册的监督,好像和信息系统没有必然联系。但随着经济管理和科学技术的不断结合以及日益渗透,现代审计已经远远超出了仅对财务会计进行审查的狭窄范围,不断向管理领域和技术领域渗透。
信息技术的广泛应用使信息系统实际上已经成为企业及社会的中枢,在一定程度上左右着企业的命运。美国、日本等发达国家在信息化过程中率先意识到信息系统审计的必要性并对此进行了研究,目前已得到普及。在我国,虽然也早就提出了“计算机审计”的概念,但这种审计更多的是偏向于“利用计算机进行审计”。实际上我国的信息系统审计工作还处在摸索阶段。
信息系统审计是技术审计的一个典型,它实质上是对计算机软件、硬件及整个信息系统的审计,是指遵照普遍接受的信息系统审计标准和指南对信息系统及其应用的安全性、稳定性和有效性进行监测、评估和控制的过程,以确保预定的业务目标得以实现。
按国际上通行的规范,信息系统审计主要有6个方面的内容:评估信息系统的管理、计划与组织方面的策略、政策、标准、程序和相关实务;评估技术基础设施的管理和运行实践方面的有效性及效率,以确保其充分支持组织的业务目标;评估信息资源在逻辑访问、运行环境与信息技术基础设施的安全性,以确保其满足组织的业务需要,防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失;评估系统灾难恢复与保证业务连续性的能力,以确保组织能持续进行业务营运;评估应用系统开发、实施与维护的方式、方法及过程,以确保其满足组织的业务需求;评估业务处理流程的风险管理水平,确保根据组织的业务目标对相应风险实施管理。
二、国税信息系统面临的风险
国税部门作为行政执法部门,信息系统的安全与否直接关系到为纳税人提供服务的质量和效率,社会的和谐与稳定,因此国税信息系统的安全保护显得越来越重要。近年来,以数据省级集中为标志的新一轮国税信息化建设已成效凸显,为国税系统优化纳税服务,加强科学管理提供了广阔的技术平台,直接带来了税收理念的更新,征管机制的创新、管理手段的提高,但在数据由分散到集中的同时,原来分散的风险也随之集中。在这种模式下,虽然安全性事故、灾难的发生频率可能大大降低,但其潜在的风险不容忽视。
1、运行环境方面的风险。数据集中后,通过采用更高端的设备、技术等措施提高了系统的安全系数,故障概率大大低于分散式数据管理模式。但是应清醒地认识到数据集中后,其安全影响的范围也呈几何级数增长,一旦发生故障,可能影响全局。因此,必须建设、保障一流的运行环境,不仅要考虑供电、温湿度、洁净度、抗电磁干扰、火灾等常规因素,还要考虑到地震、洪水等自然灾害的影响。
2、数据备份中心及应急恢复机制方面的风险。电子化程度越高的行业,其对数据完整性和可用性的要求也越高。据美国的有关调查显示,如果公司在灾难过后两个星期内无法完全恢复信息系统的使用,75%的公司业务将会完全停顿,43%的公司将再也无法开业。对于依赖信息系统进行日常运作的国税部门而言,纳税人对于系统停机的可忍受时间甚至不能超过1天,而税收数据的丢失和破坏可能会导致税收秩序的混乱,影响社会的稳定与和谐。
3、软件开发及应用方面的风险。由于我国税收政策变动比较频繁,加之软件开发者水平参差不齐,软件开发的时间较紧,一些税收征管系统往往没有进行缜密的测试,因此有可能存在一定的缺陷和漏洞,让不法之徒有机可乘。
4、网络安全方面的风险。internet的迅猛发展为电子商务、电子政务提供了运作平台,但也带来了许多不安全隐患。各种迹象表明,网上申报、手机申报等信息系统已成为日益猖獗的网络攻击和计算机犯罪活动的主要目标。
三、国税信息系统审计的重点
国税信息化经过多年的建设,已初具规模,各种系统十分复杂、庞大,如对全部信息系统进行审计的话,工作量巨大,且目前信息系统审计的人员缺乏,因此,应先从部分重点系统、重要环节着手进行审计,审计的重点应该考虑以下内容:
(一)运行管理审计
作为一种人机交互系统,信息系统的服务质量和安全是建立在“三分技术,七分管理”的基础之上的,系统运行中的操作管理是否科学、规范直接影响到信息系统的服务质量和安全性。运行管理审计的重点包括:
1、机房管理审计。包括机房、设备间等重要运行环境选址、布局是否合理;是否设置了门禁、监控、气体灭火、防水、防雷、报警等安全设施;机房内部的温度、湿度、洁净度、电磁干扰等技术指标是否合格;机房的进出是否有切实有
效的管理制度、是否有防止非正常行为的对策等。
2、操作管理审计。包括是否有详尽的操作规范;是否对系统操作人员进行上岗前培训;操作人员是否严格按规范进行操作;系统的登录代码及密码是否具备一定的安全防护对策、是否按规定更新;是否记录操作日志并保存一定期限;操作人员的交接是否按规定进行;是否及时发现、记录、报告事故及故障;是否及时采取措施排除故障,防止再次发生等。
3、硬件管理审计。包括是否制定并遵守硬件管理规范;硬件的运行环境是否达到相应的技术要求;是否定期对硬件进行检修、维护;对硬件故障的维修对策是否合理;是否有硬件维护日志;检查业务设备送出修理时是否对设备所存业务数据进行删除。
4、软件管理审计。包括是否制定并遵守软件管理规范;软件的拷贝是否有严格的控制措施和技术防范对策;软件的保管和废止是否按机密资料予以保护;是否有完善的软件版本管理规范;对软件源程序的控制是否严格,生产环境与测试环境是否严格分开。
(二)系统开发审计
信息系统的开发审计通常应该包括系统规划审计、系统分析审计、系统设计审计、系统编码审计、系统测试审计和系统试运行审计等部分。当前国税信息系统开发审计的重点包括:
1、预期效益审计。主要包括是否提供了新的服务;是否实现了新的功能;是否提高了纳税服务的质量;是否提高了本单位的工作效率等社会效益方面的评估;是否通过流程整合减少了人员、降低了税收成本。
2、编码及文档管理审计。编码审计主要包括编程语言、编程工具的选择是否合理;是否制定了统一的编程规则;是否对数据的类型、结构、长度作统一的说明;程序逻辑是否清晰、易懂;是否按照结构化的方法进行编程等。文档管理审计主要包括是否制定、遵守文档管理规范并按规范编制文档;文档的数量是否齐全;文档的编制内容是否完整、齐全;文档的质量是否符合要求;文档的版本管理是否严格;是否有文档的保密管理对策等。
3、控制措施审计。包括将业务流程进行整合后,新系统是否重新设置了与之相适应的内部控制措施;是否遵循“职责分离”的原则,对人员的职责权限和变动进行合理的控制;信息系统是否具备一定的识别和防御攻击的能力(如登录控制、加密、拒绝访问等手段);是否具备一定的自适应能力(如根据攻击方的意图调整控制措施,隔离破坏范围的能力)和恢复能力;是否专门设计了系统审计功能或预留了系统审计接口等。
4、系统测试审计。包括有无完整的系统测试计划;测试案例的编写是否合理、全面;参与测试人员的选择是否符合公正、客观的要求;测试方法是否合理;测试结果是否得到参与人员的认可;测试文档是否齐备等。
5、试运行审计。包括有无切实可行的试运行方案;针对新系统的人员培训是否落实;新系统的运行环境(包括软件、硬件、网络等)是否符合实际运行要求;新系统的实际运行效率、功能是否达到预期设想等。
(三)网络安全审计
网络安全审计的根本目的就是防止通过计算机网络传输的信息被非法占用。网络安全审计应重点针对网络安全管理、网络安全技术、网络安全策略等内容。
1、网络安全管理审计。包括是否建立有效的网络安全防御体系;安全及密码产品是否具有合法性、是否经过国家有关管理部门的认可或认证;是否建立了有关网络安全的规章制度、在实际工作中是否严格执行;是否进行了网络安全教育、安全培训;对网络安全工作是否进行动态管理等。
2、网络安全技术审计。包括是否使用了严格的身份验证技术控制系统用户;是否使用了访问控制技术并配置访问控制策略;是否利用密码技术对数据进行安全加密;与外部单位连接时是否安装了防火墙进行有效隔离以确保安全;是否使用了系统漏洞扫描技术来检测系统的脆弱性;是否使用入侵检测技术对网络系统进行实时监测;是否制定了有效的防病毒策略,如不使用不明来历的软盘、光盘;是否安装了有效的防、杀病毒软件;是否及时更新最新的病毒码以保证防病毒软件的有效性;是否采用网络安全审计措施等。
(四)灾难对策审计
为保证信息系统的正常运行,开发人员在系统设计上已经采取了各种措施来防止信息系统被破坏,但这并不能完全杜绝系统的各种故障和一些不可抗力的灾难,而灾难一旦发生,往往导致信息系统完全瘫痪,造成巨大损失。所以,必须对信息系统的灾难对策进行审计。国税信息系统的灾难对策审计应抓住以下重点:
1、灾难应急对策审计。包括是否事先制定了灾难应急对策;灾难应急对策是否切实可行;灾难应急对策是否定期进行演练;灾难应急对策是否根据实际情况及时调整。
2、数据备份审计。包括是否制定信息系统及数据的备份策略;数据备份策略是否切实可行;数据备份的强度是否足够;数据备份的范围是否全面;数据备份的恢复方法及恢复效果是否经过验证;使用备份数据进行恢复的时间是否可以控制在可以忍受的范围之内;数据备份的存储介质管理是否按要求执行等。
3、设备冗余审计。包括是否为信息系统提供冗余运行环境(灾难备份中心,包括电力、通讯线路等设施);是否为信息系统的核心设备(生产机)提供冗余设备(备机);生产机和备机上的信息系统和数据是否同步;生产机和备机之间的切换方案是否可靠并经过验证等。
四、开展信息系统审计需要解决的几个问题
(一)组织问题
虽然,目前部分国内企业已经意识到利用信息系统审计可以有效地管理信息及与信息相关的技术,保障企业信息系统可靠运行,并开始关注信息系统审计,但整个社会对信息系统审计的认识还不够,信息系统审计远未达到普及的程度。国内还没有专门的信息系统(技术)审计机构,在各单位内部目前也没有设置相关的信息系统(技术)审计部门。国税系统目前主要采取各级信息中心进行自查、互查的方式来解决信息系统的安全性问题,往往是就某一专项内容进行检查,带有一定的局限性,且一般情况下检查的深度不够,因此迫切需要具有专门知识和技术的、与系统没有直接关系的信息系统审计专业机构和专职人员介入。
(二)标准化问题
目前,国内开展信息系统审计主要是参考信息系统审计与控制协会isaca(information system audit and control association)这个国际上唯一的信息系统审计师专业组织制定和颁布的信息系统审计标准。该标准是一套以管理为核心、以法律法规为保障、以技术为支撑的框架体系,为实施信息系统审计提供了一套执业规范和操作指南。但由于国内系统集成业发展的不成熟以及客观应用环境的差异、法律法规上不完善等原因,处在起步阶段的国内信息系统审计工作不能完全照搬此标准,必须尽快形成适合国税系统的信息系统审计标准体系。
(三)人才问题
信息系统审计师不仅需要通晓信息系统的软件、硬件、开发、运营、维护、管理,对网络和信息系统安全等具有高度的敏感性,对财务会计和单位内部控制有深刻的理解,而且还必须能够利用规范和先进的审计技术,对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。要对国税信息系统的安全性、稳定性和有效性进行监控,就需要有经过专业训练、经验丰富、兼通技术和管理的信息系统审计师利用规范的审计手段,比较客观和冷静地分析、评价现有信息系统的运行,并从专业的角度提出建议。如此高的素质要求,一般的技术人员是无法达到的,所以可采取对国税系统内部的计算机专业科技人员进行强化it审计培训,使之具备执业能力的方式。因为此类型人才的优势在于熟悉税收业务,技术背景较好,开展工作时比较容易深入,但对此类型人才需重视培养其审计工作能力和良好职业道德,保证其开展审计工作时的独立性。
第五篇:投资担保公司法律实务及风险控制浅析概要
投资担保公司法律实务及风险控制浅析
为了解决中小企业融资难问题,我国在全国各地建立起了为中小企业担保的体系,信用担保公司也随着应运而生。
信用担保公司是以中小企业信用评估为基础,承担银行信贷调查与保证的企业,但也是高风险的行业。如何有效的防范和化解担保风险,提高风险管理水平是确保信用担保行业正常发展期待解决的问题。如何帮助信用担保企业防范与化解法律风险?律师在这一方面应如何作为?笔者就此类问题联系法律理论及平时的业务实际操作,提出几点看法。
一、担保公司目前业务中存在的法律风险
担保公司在开展业务中存在的担保风险主要就是担保主体损失的可能性,这种可能性分为系统风险和随机性风险两类。系统风险是由整个社会的信用环境,法律环境和政策环境的变化而产生的风险,这种风险靠担保机构自身的力量是无法解决的。而随机性风险是担保机构和担保业务自身的风险,通过风险管理可以有效地防范和化解这种风险,减少不必要的风险损失。对担保公司来说,最常见的随机性风险是企业的信用风险,也称代偿风险,是指由于债务人无力或不愿意偿还而造成担保机构损失的风险。
二、担保公司防范代偿风险的几点措施。
就以上存在的风险担保公司必须采取措施积极主动避免风险产生,不能消极等风险产生再去做工作。担保公司如何主动防范此类风险?笔者认为可以从以下几个方面开展工作。
1、建立再担保
再担保是对担保的担保,即再担保机构对担保机构已承担的担保风险按照一定的比例再次进行担保或强制再担保,以分散和转移已担保的风险。再担保机制是担保体系中分散和转移己担保风险的重要保障方式。
2、建立反担保
对于借款人申请担保公司提供担保的,担保公司都要求借款人提供反担保,根据《中华人民共和国担保法》第四条规定:“第三人为债务人向债权人提供担保时,可以要求债务人提供反担保。”反担保是指依照保证人与债务人事先的约定,如果债务人不履行债务时,保证人可以不经过诉讼或仲裁程序,就可以直接从债务人事先提供的反担保措施中获得履行或得到经济上的补偿,从而把信用风险的一部分分散给债务人,降低担保机构的风险系数。担保公司对于获得批准担保的企业可以根据企业和项目的实际情况采用一种或几种保证措施。反担保一般采用以下四种形式:(一以保证金形式提供反担保。保证金是指在委托保证合同生效后交给保证人,用于债务人的借款债务支付的资金。当债务人不履行主合同时,保证人无须征得债务人的同意即可直接将保证金划拨给债权人。保证金的多少一般由保证人与债务人协商确定,并在委托保证合同中确定。
(二以质押形式提供反担保。企业以属于自己的动产或有价证券申请质押时,担保公司作为质物占管的质权人,负有保管质物的责任和义务,因此,选择质物时,应严格遵循值高、体积小、易于保管的原则。由于我国金融系统信息共享程度极低,质权经常受到许多不确定因素威胁,故此质押过程中登记、保险、公证等措施具有重要意义。当企业的质押审查获通过时,担保公司出具“信用保证书”,企业凭此向金融机构融资。
(三以保证形式提供反担保。保证反担保又称信用反担保,是指债务人向担保人提供第三人作为其信用保证人,当债务人不履行债务时,按照反担保合同的约定,由该第三方作为保证人履行债务或者承担连带责任。从而把债务人到时可能不履行债务的信用风险分散出去,降低担保机构的信用风险。
(四以抵押形式提供反担保。抵押人将自己享有完整所有权的财产抵押给担保公司,作为自己到期不能履行的保证。法律规定抵押应当办理相应手续的,应当办理,否则不能对抗第三人。
3、规定合理的风险控制指标,主要包括:(一控制资金放大倍数。担保资金的放大倍数一般是指担保总额与担保资产总额的比例。由于担保公司的资产仅是起担保作用,而不发生实际的资金流出,因此其一定的资产可以承担比自身资本数额更大的担保。担保机构的资金放大倍数是与担保风险成正比的,比例越大,可能产生的风险也就越大,同时收益也越多。把担保公司的资金放大比例控制在一个合理、恰当的比例上,是担保公司防范风险的必要措施。代偿率是担保机构在一定期间内发生的代为清偿总额与该期间内在保债务余额之比。代偿率反映了担保公司承担的风险程度,代偿率越高,则在保债务发生损失的可能性就越大,反之就越小。虽然代偿的发生不完全决定于担保机构自身,但担保机构事先确定合理的代偿率,有利于风险的防范。一般代偿率控制在35%为宜。担保公司在实施担保业务操作中,当代偿率超过控制比例时,就应采取措施,慎重处理。
(二控制担保费率。担保机构在开展担保业务时,收取一定数额的担保费是世界各国的通行做法。担保费率的高低直接关系到担保机构的收入,是担保机构收入的主要来源。担保费比例定得过低,就会影响到自身的生存和发展,担保机构的担保费比例定得过高,又势必增加中小企业的贷款负担,影响担保业的发展。因此,担保公司应当根据情况确定一个比较合适的担保费率。
三、担保公司业务中律师的法律实务。
1、关于担保公司的担保业务流程。律师为担保公司提供法律服务就必须清楚地了解担保公司的业务流程,了解其中产生哪些法律关系,以及法律关系中可能存在或出现的风险。担保公司为中小企业向银行等金融机构贷款提供保证担保,其业务开展的流程是:①由债务人提供担保申请②进行资信评估与担保审核③在债权人与债务人签订合同时,由担保公司与债权人签订保证合同;需要时,担保公司与债务人签订反担保合同④按约定支付但保费⑤主合同履行不能,由担保公司按约定代偿⑥担保公司实施追偿.2、担保公司业务流程中存在的法律关系。通过以上的业务流程可以看出,担保公司业务中存在以下的法律关系:①债务人与借款人之间的借款关系②借款人与担
保公司之间的委托担保关系③担保公司与借款人之间的保证关系④担保人与反担保人(借款人或其它之间的反担保关系
3、在担保公司业务开展过程中,律师所可以介入的法律实务体现在: ①针对具体业务的需要制定合同,包括:担保合同、委托担保合同、反担保合同、质押和抵押合同以及相关的协议书和法律文件
②制定业务操作流程表和相关的规章制度。③审查反担保措施的足值性、合法性以及有效性。④参与业务谈判
⑤针对不同业务设计不同的反担保(组合措施 ⑥追偿案件的代理
⑦向担保公司业务人员讲授业务和法律知识,并指导业务实践。
我国的企业信用担保公司从产生就具有“政策性”,国家也出台许多政策对担保企业给予支持,但就目前来看,担保公司承担了太多的风险。担保公司需要的不仅仅是自身懂得如何去避免和化解风险,更需要的是良好的外部生存和发展环境,同时,担保公司本身也要建立起严格的风险防范机制和内部约束与管理机制,自身要不断的壮大。担保公司决不能因为风险的存在,就不去做业务,善于经营风险,并从风险中获益,才是担保公司立于不败之地的真正秘诀。
点击咨询 