第一篇:对关联企业交易与多头授信风险防范的思考
对关联企业交易与多头授信风险防范的思考
发布日期:2010-08-10 随着关联企业逐渐盛行,关联企业以及关联交易的发展,给农发行的风险管理和监管带来了巨大的挑战。
一、关联企业及其运作特点
关联企业是指与其他企业之间存在直接或间接控制关系或重大影响关系的企业,是根据这种关系可能转移资产和利润并从中获取利益的企业。关联企业的形式主要有:企业集团、合营企业、联营企业。其中企业集团是最典型的关联企业形式,本文也将着重分析企业集团中存在的关联交易。企业集团的运作特点主要表现在以下四个方面:
(一)企业集团内关联企业投资关系复杂。企业集团的关联企业主要是通过投资链条形成的,投资形式主要有三种:全资、控股和参股。在多元化投资时,集团通常的做法是每有一个新项目就设立一个新公司,这样既能扩大集团规模,又能免受债务牵连。
(二)企业集团的财务管理模式以集权型为主。多数集团的财务管理集中于集团总部,由集团财务部门对融资和投资进行同一计划安排。通过这种方式可使财务费用得到有效降低,同时也为关联交易创造了有利条件。
(三)企业集团的发展模式以融资促投资,以投资带融资。企业集团的多元化投资是以其独特的融资能力为基础的,并与其融资能力相互助长。集团控制的关联企业越多,集团可用的借款主体和担保主体就越多,集团可控制的金融资源也越多,融资能力也越强。
(四)企业集团的融资以银行贷款为主。由于股权融资的成本较高,并且对融资企业的要求较严,因此企业集团更趋向于债务融资,且以银行贷款为主。
二、关联企业交易及其对债权人的危害
关联企业交易是指关联企业之间发生转移资源或义务的事项,是一种不为法律禁止的客观存在。然而,由于关联企业之间存在的特定利益关系,关联交易不可避免地存在着不公平及滥用的巨大风险。因此,关注和规制关联企业交易显得尤为必要和迫切。关联企业交易的存在,对债权人的利益可能带来以下几个方面的损害:居于被控制或被重大影响的从属公司利益遭到不当损害给债权人带来的损害;关联企业相互投资出现资本虚增给债权人带来的损害;控制公司与从属公司抵消债权给债权人带来的损害;不当增加从属公司负债给债权人带来的损害;关联企业相互担保给债权人带来的损害。
三、目前对集团客户的授信中由于关联交易所带来的风险
从已发生的并造成重大损失的许多案件中发现,一些企业集团及关联企业往往利用相互担保,或者各自独立分别向同一银行或不同银行取得授信,大量套取银行信贷资金。当其中的某一企业或某些企业发生经营和财务问题时,就会使银行的风险突然暴露,形成风险的高度集中和信贷资金的严重损失。银行在集团客户授信中对关联企业交易风险的控制情况目前存在以下问题。一是银行与企业间的信息严重不对称导致银行的贷前调查、审查容易出现偏差。二是银行对借款人是否按借款合同约定的用途使用贷款缺乏有效的监督机制。三是银行无法完全规避借款人通过关联交易逃废银行债务的风险。
四、防范关联企业交易风险的措施
(一)建立有效识别借款人关联关系的甄别机制,通过建立“集团客户关联关系信息库”,动态监测集团客户授信风险。银行在受理企业客户授信申请时,应要求企业提供全面、详细的集团内部企业或关联企业的资料,并建立和完善相应的客户信息系统,动态把握关联企业的管理体制、组织结构、治理结构,及时掌握客户、重大关联方的主要业务往来情况,理顺集团成员之间的法律关系。
(二)克服信息不对称带来的被动,尽量多的了解和掌握集团企业的经营情况和非财务信息。充分利用信贷信息系统、人行征信系统和工商、税务等有关部门的信息,搜集整理基础资料。准确查实客户和重大关联企业资本结构,及时了解客户及重大关联企业注册资金、股权分布、资金来源、核心资产及净资产的重大变动、对外融资情况,以及大额资金流向、应收账款信息、非正常关联交易情况等。
(三)深化财务指标研究分析。充分运用关联交易剔除法,将来自关联企业的营业收入和利润总额从企业合并利润表中予以剔除,从而较为真实的了解企业的实际盈利能力,判断关联交易对企业实际盈利能力的影响程度,判断其利润来源是否稳定、未来的成长性是否可靠等。
(四)充分利用有关法律规定,维护银行自身利益。银行给集团客户贷款时,应在贷款合同中约定,若贷款对象利用与关联方之间的虚假合同,套取银行资金及授信,或者通过关联交易,有意逃废银行债权的,贷款人有权单方决定停止支付借款人尚未使用的贷款,并提前收回部分或全部贷款本息,从而取得防止贷款风险扩大的主动权。
(五)建立针对集团关联企业相互担保贷款的风险控制机制。应避免由关联企业提供连环保证担保,对集团公司为其子公司或参股公司提供担保的,要审查集团公司实际担保能力,防止资金实力和规模被夸大的情况。对于不存在投资关系的集团成员提供担保的,应充分注意担保人的法人治理结构、财务状况、对外负债、担保能力等情况的核查,并严格依照法律和公司章程的规定办理。
(六)在强化银行自我约束和风险控制的同时,应建立公开、公正、公平的竞争秩序,防止恶意经营和恶性竞争行为。要建立良好的竞争秩序和信用文化,各家银行必须在经营机制和管理制度上约束自己的经营行为,经受住同业竞争的压力和授信收益的诱惑,在对集团客户授信审核和决策过程中实行严格的问责制,在客户信息不充分或不符合授信条件的情况下,坚决按原则办理。(王建民)
第二篇:关于加强企业防范腐败风险管理的思考
关于加强企业防范腐败风险管理的思考
为进一步落实建立健全惩治和预防腐败体系实施纲要,扎实推进惩治和预防腐败体系建设,中共中央下发了《建立健全惩治和预防腐败体系2008-2012年工作规划》。《工作规划》明确提出了今后5年党风建设和反腐败工作的指导思想、基本要求和工作目标,是当前和今后一个时期推进惩治和预防腐败体系建设的指导性文件。从社会现实情况来看,企业发生的许多腐败现象,是企业领导干部从违反廉洁自律规定、管理人员不廉洁开始而导致的腐败。所以,在新的形势下,企业推进惩治和预防腐败体系建设,要以科学发展观为指导,全面履行纪检监察职责,除加强反腐倡廉教育、完善制度建设、强化监督约束和严惩腐败行为外,还要从预防经营管理人员易发生腐败行为的风险方面着手,加强腐败风险防范管理,为企业科学发展提供强有力的防范腐败风险保障。
一、企业管理人员腐败的成本效应
企业廉洁经营、领导干部廉洁自律、各层次员工廉洁从业是社会追求公平、正义对企业和企业员工的基本要求。企业员工特别是掌握经营管理权力的员工一旦发生腐败,对其个人家庭、企业、社会和国家都将产生不同程度的负面成本效应。这种负面效应首先体现在个人和家庭付出的成本方面。对个人而言,因不廉洁一时满足了非分之想的欲望,若其行为持续发生,必然导致腐败。而因怕败露和被追究,腐败者精神必然生产焦虑和内心恐惧,一旦败露必被追究,带来的是身败名裂或生命的赎罪,随之带来的是家庭必付出稳定生活的丧失、成员心理扭曲、经济地位下降或家败人亡的成本代价。
其二,企业员工工作在企业,成长在企业,因不廉洁而导致 腐败的行为是以牺牲企业利益而获得个人非法利益,在这一行为实施过程中,必然破坏企业内部正常的管理体系和规定工作程序;对外,必然使企业形象受损。为此,企业员工产生腐败,企业付出的是直接的经济成本、间接的管理成本和对外的信誉负面效应成本。第三,企业作为社会经济组织,其成员的腐败行为,必然会影响社会经济秩序和社会公共权力,社会将付出负面的诚实、信用成本。
二、企业内部生产腐败的风险分析
任何形式的腐败行为,都需要借助于权力与资源、主观动机和适当机会三个必要条件才能完成。企业内部管理的各类人员,都掌握着不同程度的企业权力和企业资源,如果有主观动机和机会,每个权力岗位都有可能产生不廉洁行为和腐败,这就意味着每个权力岗位和每个工作环节存在着发生不廉洁和腐败的风险。从许多企业管理人员发生腐败的诱因来看,企业内部产生腐败的风险主要来自思想道德、制度机制(权力、资源流转环节)、岗位职责风险三个方面。
(一)思想道德风险。历史的经验和现实生活证明,产生腐败都有一个心理过程。贪欲是腐败的思想动因,贪欲若与权力结合就必然产生腐败。为此,思想道德风险要从个人的道德观念和各种心理等方面去识别。道德对于人来说,不仅有一种外在的约束力量,同时也有一种人自身固有的驱动力量。正确的道德观念一方面规定要求人们的言行,另一方面又驱动着人们的创造行为,激励人们去追求真善美的统一。而不廉洁行为的发生,首先是道德观念的不健康、人生观的扭曲,在心灵深处追求的是对财富满足的贪欲,这是产生不廉洁和腐败最主要的主观动机。其二,侥幸心理、从众心理等不健康心理也是产生不廉洁和腐败的动 机。对于一个私欲膨胀的人来说,总想通过钻政策、制度、管理、法律的空子,打擦边球,趁机捞一把,总是用侥幸心态来对待自己的作为,侥幸心理的存在就意味着风险的存在。同时,在不良风气的影响下,一些意志薄弱者虽不愿涉足污浊,但不善于控制自己,面对来自周围的影响和压力,在受到他人腐败影响时,就会跟着做,这种从众心理也是产生腐败的心理风险。除此之外,企业内外人文氛围的好坏,也是不廉洁和腐败行为发生与否的一个风险控制方面,好的人文氛围对人既是思想的熏陶,又是行为的引导,反之则会诱导人的不良行为发生。
(二)制度机制风险。企业人员的不廉洁和腐败行为总是借助于一定的资源和权力而发生,要想有效预防不廉洁和腐败行为的发生,就要从企业资源与权力流转过程和监督盲区等方面的制度机制上对腐败风险进行识别。在企业资源和权力流转方面,首先要弄清楚企业不同资源的家底和分布状况及其管理分配权限,从企业的人力资源、资金资源和技术资源三个方面分析其流转的过程、进出的关口、管理的权力、制度的控制、运行的机制,查找出容易生产腐败行为的风险“空当”和“灰色地带”。从经营管理和查处的腐败案件过程来看,在大的方面来说,企业资源和权力流转过程中易产生腐败风险的环节主要表现在如下几方面:一是涉及企业“三重一大”事项决策的范围和权限存在自由度;二是资金资源对外、对内两个运行点的筹资、调度、使用、分配环节管理失控和体外循环;三是技术、设备等资产引进购买或转让环节的变相操作;四是工程项目的入围对象选择和招投标定标过程的违规;五是掌握一定权力的人自由裁量权的活动范围限制不严;六是对外业务交往活动中的一些“潜规则”的交往。
第二,企业内部监督盲区存在的风险。企业制度机制的不完 善会导致监督管理的一些盲区,监督盲区的存在,就意味着腐败风险发生的可能。从企业内部现实来看,存在如下盲区风险:一是思想认识上的片面性产生的风险。在企业内部部分干部职工对加强内部监督在控制经营风险方面的作用认识不足,认为监督只是防治领导干部个体腐败,有的领导干部自身缺乏接受监督意识,认为监督是与领导过不去。而现实社会生活告诉我们,企业领导干部个体的不廉洁和腐败往往和企业经营风险同在。二是内部制度设置缺乏相互牵制性监控机制带来的风险。在企业内部多数管理制度只是注重了本部门专业的管理职能,将业务决策、业务执行、结果检查兼容,缺乏不同职能之间的相互制约和监督。三是监督与被监督存在的矛盾会产生风险。监督的实质是对人的行为监督,对其权力的制衡。但在企业内部监督与被监督是下级与上级或平级的关系,监督者本身会产生顾虑,也存在难于监督或不好监督的矛盾。四是企业内部对重点控制面和控制点的过程监督不力。
(三)岗位职责风险。腐败问题的发生,有时候并不是人的主观故意,制度的不完善和岗位职责操作标准不具体往往会“诱导”人犯错误。从企业各类人员岗位特点来看,易发生腐败行为的岗位职责操作风险存在于如下岗位工作的环节之中:一是掌握着企业决策权力的岗位层面。这一层面的岗位对企业各种资源的支配具有决定权,因而易发生不廉洁和腐败行为的风险也就最大。二是对企业人、财、物资源有相对支配权的岗位层面。这一层面的岗位虽然没有决定权,但是他们在授权下,对企业人、财、物资源有相对支配权和自由裁量空间。三是根据管理职责划分,对企业某一类资源有管理权的岗位层面,他们直接管理着这类资源在企业的出入,也有对物的自由裁量空间。四是经企业授权直 接从事对外业务交往岗位层面。从社会现实情况来看,这一层面的岗位在履行对外业务职责过程中,易发生不廉洁和腐败行为的机会相对较多。五是因某项工作需要,被委派的项目负责岗位层面。这类层面的岗位职责往往是比较集中,临时性普遍,相对而言存在的腐败风险机率较大。以上五个层面的岗位职责,都对企业的资源有不同程度的自由裁量权和空间,如果对这个裁量权和空间没有一个明确的操作标准和规定程序,监督检查又不到位,裁量权就会被滥用,从而就会形成岗位职责腐败风险。
三、企业内部防范腐败风险的控制措施
现代管理学中的风险管理和全面质量管理理论,通过选择最有效的方式,控制各个生产环节中的质量风险,消除了许多潜在的质量隐患。同样,在预防腐败工作中,针对因思想教育、制度机制、检查监督不到位和不廉洁自律而产生的腐败风险,实行风险控制管理,将会起到有效预防腐败行为的作用。
(一)风险预防措施。对任何风险的预防必须选择重点加强针对性。企业对腐败风险的前期预防也必须选准重点,要针对思想道德风险、制度机制风险、岗位职责风险采取相应措施加以预防。根据全面质量管理经验,腐败风险前期预防应采取如下措施:
1、查找腐败具体风险点。每个有权力的岗位都有可能产生腐败,这只是对腐败风险的预测判断。腐败会在什么时段、什么环节发生,还需要针对企业生产经营实际情况查找具体的风险点。不同的企业生产经营特点不同,但在思想道德风险方面具有一定的共性。所以,查找风险点的重点放在岗位职责风险上,要在每个权力岗位上,每个工作环节中,每一道程序流程间查找易出现不廉洁和腐败行为具体问题,采取自己查、同事帮助找、领导提、部门审等形式,把每个岗位的风险点一一列出,并分析风 险点所存在问题的性质,找出薄弱环节,为完善制度机制提供具体支撑。
2、针对思想道德风险强化廉洁从业教育。虽然思想教育的效果不能量化,但受教育者会在一定频率、数量和密度中通过量变促进质变。所以,企业的反腐倡廉教育要抓住权力岗位这个重点,保持一定的教育频率。同时要制定企业人文关怀制度,从政治、思想、工作、生活上关心爱护处在腐败风险岗位上的人员,开展有益身心健康的文化娱乐活动,倡导积极向上的生活情趣,在企业营造良好的廉洁从业氛围。
3、针对岗位职责风险推行廉洁从业公开承诺制。处在腐败风险岗位上的人员,所从事的业务领域,既是预防腐败的重点,又是公众关注的焦点,在他们履行职责和工作中对企业员工、对用户、对社会实行廉洁从业公开承诺,不仅是一种自律,而且可以接受用户、企业员工的监督,从而能减少发生不廉洁行为的机会,有效避免岗位职责腐败风险。同时,在企业内部对岗位职责风险定期进行述职述廉、民主测评,不仅能查找工作中的不足,加强工作的针对性,而且也能促进自身的廉洁自律。
4、针对风险点完善制度机制。根据查找出来的风险点,在每个岗位中相应建立积极的防范措施,明确具体职责标准,查漏补缺,建章立制,防治出错。推行听证质询,实行办事公开,采取权力制衡,并制定企业预防腐败风险管理办法,界定腐败风险,明确目标责任,加强考核,把各风险点的风险降低到最低程度。
(二)风险监控措施。加强监督,关口前移不仅是有效预防腐败重要保障,也是控制企业经营风险的有效措施,防范腐败风险更需要强有力的监控措施。企业在预防腐败风险管理的过程中,要注重对各风险点的监控。首先,企业要建立腐败风险信息 监测网,通过信访举报、行风热线、职责作为投诉、群众评议等形式收集信息,根据信息提供的情况有针对性地采取监督措施。其二,对各风险点进行风险指数评估,确定风险等级,对容易出现腐败风险的,由纪检监察部门进行重点监控;对可能出现苗头的,由专业职能部门加强监控;对有可能转变为风险苗头的,由本部门领导进行监控,使对腐败风险的监控有重点、有目标、有责任。第三,对各风险点岗位履职尽责情况进行定期自查,不定期垂直抽查。同时对重点项目、大型工程进行专项监督检查,并开展同步效能监察和专项审计,在企业内部建立起动态的监督约束机制。
(三)风险问题处置措施。对可能出现的风险采取各种预防措施,虽然能够尽可能地消除风险隐患,但现实中还可能出现风险险情或问题,企业的腐败风险也会这样,这就需要对出现的险情和问题采取相应处置措施。在处置腐败风险的险情和问题上,要根据问题的性质、后果、影响程度等采取不同的措施。对已经违反廉洁从业规定,又触犯相关法律法规的,要彻底严查,严惩不贷,增强惩治的威慑作用;对属于苗头性的问题,要诫勉纠错、告诫劝勉、限期整改;对有可能转化为风险苗头的问题,要加强教育、警示提醒、纠正偏差。
(四)建立健全整体防范体系。企业实行腐败风险控制管理,是反腐倡廉建设的一项治本措施,要以科学发展观为指导,按照党的“十七大”提出的更加注重治本,更加注重预防,更加注重制度建设的要求,结合企业生产经营特点,抓好《建立健全惩治和预防腐败体系2008-2012年工作规划》的落实,在企业内部内控制度建设上下工夫,把预防腐败风险落实到各业务部门职责之中,固化到各项经营管理制度之中,融入到业务流程之中。首先 要抓好教育这项基础性工作,明确重点教育对象,规定教育内容,加大教育频率,加强思想道德风险防范。第二把存在腐败风险的岗位职责操作标准进行细化,体现出权力受约束、办事有程序、行为有规范、监督有依据,在设计和修改制度时,要努力形成用制度管权、管事、管人的有效机制,预防决策失误、权力失控、行为失范、监督缺位,加强制度机制约束防范。第三加强监督制约防范体系建设,切实强化对权力运行的监督,充分发挥监督的制衡作用,形成不能腐败的制约机制,促进各级领导干部和重要岗位人员正确用权。在检查考核上不断完善措施,实行腐败风险责任追究,使企业人员不廉洁和腐败风险得到及时有效防范,健全企业预防腐败风险的管理体系。
第三篇:对地税廉政风险防范的认识与思考
对廉政风险防范的认识与思考
一、廉政风险及其防控的概念
(一)风险的概念
(百度)通俗地讲,风险就是发生不幸事件的概率。换句话说,风险是指一个事件产生我们所不希望的后果的可能性。
风险无处不在。
(二)地税机关和地税干部的风险来自哪里
地税干部作为政府行政执法机关,对外面对广大纳税人,行使税收的征、管、查等公共权力,对内涉及干部队伍、财务管理等行政管理权力。
有权力就意味着有风险,在行使行政管理权和税收执法权的同时,也伴随着风险的出现。
税务部门和税务人员的风险从来源分析主要产生于四个方面:
一是制度体制风险。地税部门虽然是一个垂直管理的执法部门,但同时作为地方上的一个部门,有时还需要取得当地政府的支持和帮助,所以在组织收入时要兼顾到地方党委、政府的需求,如果操作不当,就会形成一定的廉政风险。从制度执行上,有些政府行为也令单位和个人无法将政策落实到位,形成一定的风险。
二是岗位职责风险。无论是行政管理还是税收执法方面,如果干部本身业务不熟、程序不严、手续不规范、把关不认真,就
结合我们的工作实际,按照《国家税务总局关于加强税务系统廉政预警工作的意见》的要求,我们应该从“税收执法权”和“行政管理权”两个方面入手开展防范工作。
(一)税收执法权
以前的观念范畴:征、管、查、减、免、罚。
本质:征、管、查三个环节所涉及的所有业务(未按照具体事项分类)。
(二)行政管理权
内容:人、财、物。(因涉及法律法规较多,所以按照事项来分类条理比较清晰)
(中间举例说明)
三、怎么防?
(一)明确目的和原则
以“切实保护每名税务干部的政治生命和整体工作的顺利开展”为目的。
原则:主动性原则、简易性原则、动态性原则。
(二)具体方法
以“风险识别、风险评估、风险控制”三个环节为主线,抓住容易产生风险的关键岗位、环节,建立:动态查找风险点→综合评估风险责任等级→科学制定防控措施→动态监督考核“四位一体”的税收执法风险防范工作机制。
1.排查风险点。
两少”。即查找共性、原则性、普遍性风险点较多,查找个性、针对性、特殊性的风险点较少;对眼前的廉政和监管风险点分析查找较多,对以往已经过去但仍然没有消除的风险点查找少。三是查找方式“一代多”。在查找风险的策略上,由一人大包大揽为多人查找风险的“扩散”法取代多人用多种方法为一人查找的风险的“汇聚”法,很大程度上导致查找出的风险点不准、不全、不细、不实,而提出的应对措施就事论事,与廉政风险防范管理不能有机结合。
2.进行风险等级评估。
区分标准:按岗位进行区分:同一岗位负责不同风险等级的事项,按最高风险等级认定后进行防范。按事项进行区分:同一岗位负责不同风险等级的事项,按不同风险等级认定采取不同防范措施。
认定标准:一般采取“三级”评定标准。按照风险危害损失程度或发生几率,将查找界定的风险点分别确定为一级风险、二级风险和三级风险(或A/B/C或123*),为了更加直观,对不同级别风险采取不同颜色区分。
其中:一级风险为发生时会违反党纪国法,产生严重的不良后果,或风险发生几率高的风险点;二级风险为发生时会违反上级有关规章制度,产生较为严重的不良后果,或风险发生几率较高的风险点;三级风险为发生时会违反本局有关规章制度,产生一定的不良后果,或风险发生几率较底的风险点。
为点,以程序为线,以制度为面,以机控和人防相结合的廉政风险防控机制。
事实上,各岗位初步判定风险点和风险等级的同时,就应同时提出防范措施,一并上报;县区局相关机构和人员,在评定风险点和风险等级的同时,对防范措施也进行初步审定;报局里审核把关后,下发执行。
注:风险点、风险等级的评估认定。防范措施的制定工作实行动态管理、定期调整、同步进行。
5.实施与监控
针对不同风险,由有关部门实施具体的风险管理措施,通过前期防范、中期监控和后期处置,防止腐败行为的发生,及时纠正不当行为,避免苗头性、倾向性问题演变为违纪违法行为。
四、保障措施
(一)组织领导
为保证廉政风险防范工作全面开展,确保工作方案有效落实,各局应成立廉政风险防控工作领导小组,明确办事机构,做好组织联系、工作协调、信息沟通等工作。还可以建立相关部门参与的联席会议制度(因监察部门的身份主要是组织者),负责风险点认定、风险等级审核、防范措施审核、日常监控和考核评估等工作。
(二)考核评估 1.考核评估内容和标准
第四篇:对电子银行安全与风险防范的思考
弱技术配强管理的电子银行安全效果,与强技术配弱管理的安全效果是一样令人担忧的。银行要通过强技术强管理的组合来保证电子银行的安全。
由于方便、快捷,电子银行越来越为银行和客户所青睐,其业务量在银行业务中的占比逐渐增加。与此同时,电子银行的安全问题也引起了越来越多的关注。近两年,网上银行发生的安全事件增加了人们对
电子银行安全性的担心,英国破获黑客盗划2.2亿英镑的新闻,让客户疑虑自己的财富是否会在眨眼间化为乌有,所以不少人选择了小规模、低频率使用网上银行的下策。而对于银行来说,安全事件给银行造成声誉和经济上的重大损失,而且今后还可能面对赔偿诉讼。如何保证电子银行的安全、有效防范风险成为各银行的头等大事。
电子银行的安全问题千头万绪,要分析清楚,还得从电子银行的系统架构和风险点说起(见图1)。
图1 电子银行技术实现的网络原理
电子银行风险点
操作系统的安全
操作系统安全的主要考虑有:(1)连续无故障运行天数。(2)超级用户指令保管与使用。操作系统的口令是系统安全的命门,一旦超级用户指令被人知晓,该知情者就可以远程控制计算机,进而修改数据库用户的密码,从而无障碍地进入数据库系统进行任何操作。(3)压力指标。操作系统提供的缓冲空间、进程数等是数据库、应用软件运行的基础参数,需要根据运行情况进行参数最优化配置。通常操作系统要与应用系统一起进行压力测试,以便测出业务量等极限值。针对极限值,把系统装备相应的预防、处理、应急机制,如自动或人为分流流量、报警等,避免系统瘫痪。
数据库的安全
数据库安全的主要考虑有:(1)操作系统登录时的用户名与口令如果泄密将危及整个数据库的安全,数据的修改将无法控制。(2)数据库的用户名和密码不要简单得让人猜出来,不少系统就使用用户名sa和口令sa,这样做不但使数据库安全受威胁,操作系统的安全也受到威胁。因为可以通过一种数据库远程控制机制控制远程操作系统。(3)数据库操作审计,将运行主机上所有数据库操作及数据变更写入日志。这个日志将迅速膨胀,需要专门的日志管理员进行外部备份和清理,否则系统硬盘过一段时间就会涨满。但是,中小银行可能会屏蔽数据库审计功能,以减少日志清理和管理的麻烦。这样,数据库安全失去了重要的、可跟踪恢复的操作监视手段。(4)数据同步、一致性问题。数据操作是以事件驱动的,事件没有完成,则数据库将自动恢复到事件前状态。软件编程要注意应用数据表之间的逻辑一致性,否则,数据挖掘就得浪费大量的时间清理无效数据。
核心系统的安全
第二代核心系统主要有信贷、柜台、账务、现金管理等,第三代核心业务系统模型则包括了客户关系管理、风险管理、市场营销分析等模块。第四代核心系统正在建设当中,思路更加清晰,更加强调数据共享和soa架构,更好地进行业务流程整合与信息管理整合。
核心系统安全的考虑包括:(1)源程序是否有漏洞、后门和错误代码。由于当代银行软件主要采用的是黑匣子测试,而不是白匣子测试,因而大量“死角”无法发现,隐藏的风险是较大的。2007年底,一客户在广州市某银行atm机上取现金1000元,而账户却只扣一元,客户因取现17.5万元被判重刑而引起争议。其实在这个案件中,银行过错在先,因为银行软件测试没有发现程序错误。(2)系统压力测试。如某银行的基金理财平台属于核心系统,由于股市行情的井喷,致使2007年8月的一天网上银行占用主机资源过多,主机down机几个小时。这种现象断断续续持续约一个月时间,银行其他业务也受到影响。事后,该银行制定了应对策略,让分行分流部门网上理财业务。分行业务数据通过电信、网通专网与总行相连,避免流量都挤在公网入口的局面。高峰期,专网的传输速度比公网快,速度有保证。另外,在分行增设业务流控制界面,一旦全国行情井喷,则由分行控制流量,避免由于理财产品等边缘业务导致整个核心系统瘫痪的恶性事件。(3)核心系统的管理员用户名和密码。(4)核心系统的易维护性、易扩展性。如果元数据标准等标准化建设达到了一定的水平,则外围系统容易扩展核心系统的功能,共享核心系统的数据。同时,核心系统如果获得越多的外围子系统的数据,则越可能做数据挖掘等建模工作,而风险管理、管理决策、客户分析等都离不开数据挖掘和商务智能。(5)版本升级、新产品上线、定期系统在线清理、操作运行主机等操作行为的风险控制。在核心系统down机的严重故障中,部分原因恰是系统切换、系统升级或新产品上线欠周全造成的。操作运行主机要有一定的程序要求,要求双人共同操作,且不可进行试验性操作。试验性操作要在备份机器上进行,确认无误后才可在运行主机上
操作。另外,主机长年累月地运行,不可避免地会出现内存、进程等方面的问题,需要人为适当干预。随着硬件功能越来越强大,以及soa设计理念和设计能力的普及,核心系统的能力范围会逐渐扩大,安全性也越来越有保证。(6)数据备份与系统备份。大银行都有南北两个异地数据中心,每个数据中心有本地同步备份,共有四套系统。目前,监管部门强调在数据中心灾
备就属于核心系统安全的重要范畴。
路由器、入侵检测、防火墙的安全
路由器提供了网络连接的路径。入侵检测可以对非法访问内部网络的数据包进行检测并预警。防火墙是通过对网络层传输的数据包中的目标地址进行检测,控制数据包的流向,从而避免对核心系统的非正常访问。如果路由器的端口密码被人攻破,则黑客可以通过直接添加路由,使得外来的访问变得合法。这时,获得的内网访问能力是十分危险的。
区分外网与内网是重要的安全方法。一般对外网的防护要严格些,而对内网的防护则简单得多。某证券公司严禁客户在内网上炒股,就是担心客户反复试验出总部主机的密码。因为内网没有设置相应的安全防护措施。
网上银行包括个人网银和企业网银。由于个人网上银行功能日益丰富,如汇款、基金买卖、外汇买卖、黄金买卖、银证通、代缴费、网上商家等,数量庞大的客户群的集中操作给核心系统造成了巨大压力。
应用软件服务器
应用软件服务器处在客户端和核心系统之间,解决渠道的多变与核心系统稳定之间的关系。花旗银行的产品达6000个左右,这种方式明显保持了核心系统的稳定。我国银行核心系统每五六年重新设计一次,达到核心系统稳定性与灵活性的统一,每过五六年银行的硬件就要更新一次。
应用服务器通过数据接口与核心系统相连,也需要有相应审计措施跟踪人为操作。否则,由于超级权限造成的对客户数据的直接、非法修改,会危及系统的安全。黑客也可以攻击应用服务系统,从而修改重要客户资料。内网用户也可以攻破应用服务器的关键密码,以获得超级权限。
应用服务器一般采用双备份、双线路方式,一旦由于硬件损坏等原因造成系统故障,可以迅速切换到正常系统。
网络传输的安全
现有网络安全技术不少是用来解决网络传输数据安全问题的,如数据加密、数字认证、安全标准。数据加密主要有对称加密算法des和非对称加密算法rsa。从理论上说,有些现行算法已经被数学家攻破,能够在现有条件下解密,所以随着计算机芯片速度的不断提升,有些算法需要淘汰。
数字认证技术,包括数字签名、数字证书、生物特征识别等,正面很难攻破。但是每一种技术都存在软肋,通常这些认证证书的保管等是软肋。
安全标准有ssl、set。这些标准保证了交易的不可否认性,以及网络传输数据的不可修改性。
客户端的安全
终端用户的安全是最脆弱的,攻破的成本也最低。主要问题有:
数字证书文件被病毒窃走。这种软证书比硬证书的安全性低,存在硬盘和外设中,病毒可以将证书文件通过网络传给主人。数字证书的弱点在于证书的保管,如硬件证书被挪用,软证书被复制。
网银密码被木马程序窃走。网银大盗病毒可以窃取客户在键盘上输入的账号和密码,并通过邮件发给病毒的主人。英国最近破获的金额达2.2亿英镑的国际大案,就是黑客知道客户的账号和密码后,转出客户资金。对付这类病毒的方法除杀毒、系统打补丁外,可以采用软键盘,即在屏幕上出现键盘界面,用鼠标点击屏幕上的相应键符来代替手工键盘输入。用这种方法,病毒无法捕捉键盘输入信息。
信用卡账户和密码被窃取。现在信用卡采用的是磁条技术,极易仿造。由于信用卡都是标准化的,其磁条信息的格式是已知的。如果知道了卡号,就可以使用专用的写卡器,写入卡号,伪造出一张信用卡。知道了密码,该信用卡可以在取款机上取款。要想从根本上解决这个问题,只有采用更新的emv2000技术。这是一种多操作系统的ic卡技术,携带不可复制的加密区,保证ic卡的不可复制。但是,从目前的磁条信用卡标准向emv2000智能卡标准过渡,成本很高。尽管我国监管机构积极推进信用卡向emv2000标准迁移,但实际进展不大。
pos系统。如果设法通过客户输入密码的操作来获得客户的密码,则客户资金就危险了。
客户对账号、密码、证书的管理是网银、手机银行、atm机、pos系统等薄弱之处,此外还有钓鱼网站法,如骗子网站www.xiexiebang.com,其页面通常做得与实际网站www.xiexiebang.com的页面几乎完全相同,以欺骗信用卡客户输入用户和密码。他们的主要作案手法,是篡改公网上指向实际银行的链接地址,指向钓鱼网站地址;或者在bbs论坛等网页空间设置钓饵,文字上看是某某银行,实际链接地址却是钓鱼网站地址。由于钓鱼网站域名与真实网址域名相似,没有警惕性的人是注意不到这些细微差别的。客户一旦受骗输入账户和密码,账号和密码就被窃取了。
客户端的安全方面,银行有义务教育、协助客户保持账号、密码、证书的安全。建议建立反钓鱼网站法律、组织、技术措施,动态跟踪钓鱼网站。客户使用简单但可靠的安全方法,如输入网址、使用动态口令卡、取款短信提醒服务、支付的计算机绑定等。对于中小银行的企业银行业务来说,生物指纹识别是一种可靠的和使用简单的方法。但这种方法对大银行不适用,因为目前指纹识别的技术还不很成熟,采样多,识别时间长。对于大银行来说,几亿客户量的指纹读写是系统繁重的负担。
电子银行安全不止包括技术安全,还包括信息安全。敏感数据被删除、窃取、篡改、非法访问,用户身份被冒充,交易被抵赖,机密信息被公开等等,都是信息安全。我国还缺少对公开客户信息方面的法律惩戒措施,如果与国际惯例接轨,则要颁布隐私保护法等相应法律。
风险防范对策
银行转变观念,主动承担起电子银行各个环节的安全义务。以前我国银行在客户资金被盗问题上采取了拒绝赔偿的立场,使银行声誉到影响。所以,银行不能采取驼鸟政策,应该主动采取措施保证电子银行的安全,而不能将责任全部推给终端客户。
技术和管理并重。弱技术配强管理的电子银行安全效果,与强技术配弱管理的安全效果是一样的。银行要通过强技术强管理的组合来保证电子银行的安全。
所有小型机、大型机的登录密码,数据库登录密码都要复杂得让人记不住。可以采用双人或多人复合密码的形式,各人记一段,分段保密。但是也要避免密码保管过于复杂,以免导致密码遗失。要加强对密码保管方式的研究,可以适用保密级别的方法。当然,再怎么保密,还得基于对人的信任。如果对所有人都不信任,那么密码保管成本将相当高,使用起来也相当麻烦。
运行主机上的所有操作都要有可追踪的记录。无论是操作系统操作,还是数据库操作,都要由系统自动记载。对于应用软件的操作,在数据表中要有相应的操作记录,供操作风险审计员使用。一旦发生重大问题,可以依靠这些记录来确定责任人和责任原因。否则,责任无法定位的系统从根本上就不是安全的系统,是十分可怕的。
运行机双人操作、版本升级管理、备份等的管理制度。运行机双人操作,避免操作人因为情绪激动和侥幸原因而人为导致重大操作失误。各银行在版本升级管理方面是交了学费才总结出一套操作规程经验的。备份有灾备、备份数据中心、系统热备份等不同级别的方法和措施。
不断就最新的安全技术进行实验使用,跟踪国际电子银行安全技术,参与国际交流。灾备中心平时就是实验中心,可以就最新的安全技术进行实验性使用。银行对于软硬件的使用,偏好于稳定性好的技术系统,而不是技术最新的不稳定技术。银行通常要等新技术通过其他实际部门一段时间有效使用后,才大规模地使用。新技术有入侵检测技术、防火墙技术、加密技术、反病毒技术、数字认证技术、安全标准等等,银行要加强对这些技术的弱点的研究和把握,以便分析电子银行安全所处的态势,并研究实际中发生的安全问题的原因,提出对策。矛与盾总是此消彼长,任何一门技术总有破解的新方法。同样,新技术被破解之后,更新的技术又会出现,而且风险防范的技术也相应演化。对于安全态势和技术的研究是目前我国银行的弱点,需要建立相应的合作机制。银行要独立、自主地关注电子银行的安全问题,而不能完全依赖第三方安全公司。银行要在电子银行的安全领域有所作为,有自主知识产权的产品和理念。
设置客户端电子银行安全保障岗位。银行总行应有相应的岗位就目前客户端的电子银行的安全问题进行调查、分析,提出对策,并反馈、主导建立电子银行客户端安全保障机制。安全既是技术又是管理,可以通过强化技术来改善安全管理的预见性、可控性,在保证整体安全效果的情况下,降低安全管理的难度和风险。
备份和应急机制。在市场成熟技术条件下,投入越大,安全水平越高。但是,投入水平与安全水平并不成线性关系,而是非线性关系。当安全要求达到阀值时,市场上没有相应的安全产品,此时需要进行研发,或者为了把安全水平提高一点,需要几倍的投入。在一套系统的运行故障率是a的情况下,两套系统热备份运行时的故障概率是a2。工行要保障系统运行的正常率是99.99%,从概率学来说,若两套系统同行运行,自动切换,一套系统的故障率就能容忍达到1%的较高故障水平。
正是由于高安全的高成本,银行应该有计划地加大对安全的研究性投入,包括安全产品、技术、标准的投入。从机会成本上说,这是划算的。电子银行应用的首要问题就是安全问题,银行有义务在此领域保持领先地位。
绝对的安全是不存在的。所以,要建立应急机制。应急机制有技术应急和管理应急。笔者认为,没有必要建立千年虫那种级别的应急机制,成本太高,而可以建立中等级别的应急机制,比如说切换系统演练。对于异地备份系统来说,由于数据不同步,系统切换就面临着无从考证的数据包丢失问题。这将使银行面临复杂的举证责任。如果是客户取钱没有入账,客户可能不会主动找银行退钱。但若是客户的系统入账没有收到,而出账已经划账的情形,客户必然要求银行核实并纠正错误。银行可以考察账户的资金划出流向,一般来说是可以追踪的,通过横向不同账户和纵向不同时间的对账,可以发现账户的真实改变情形。一套运行系统,银行基本上需要四套系统配套,本地备份一套,异地备份一套和异地的本地备份一套。这就是电子银行安全的备份成本。
在银证通、银期通等系统中,常会出现单边账情况,如2007年第三方存管业务的高峰期时,银行系统无法满足证券交易系统的大量交易和实时性要求,反复出现单边账情形,双方日终对账要对到午夜十二点,有时甚至到凌晨三四点。
图2 电子银行安全投入与安全水平的关系
制定标准与法律,加强监管。借鉴国外标准,修改完善现有电子银行安全标准,包括安全建设、运行管理、安全组织设置等。企业的软件开发、安全达标,以及监管机构的安全监管都依据此标准,以此提高电子金融的安全水平。我们要做以下方面的工作:完善信息安全的行业规范与法规;系统安全评估;信息系统战略规划;系统和网络安全;业务持续性经营计划;外包业务监控。不止安全标准,基础标准、技术标准、管理标准、应用标准等都会对电子银行的安全产生影响。颁布《电子银行安全法》,以便对电子银行安全的义务与权利认定、犯罪量刑等做出框架性的规定。业已生效的《电子合同法》、《电子签名法》为电子银行的发展奠定了基础。加大对电子银行犯罪的打击力度,保护消费者的权益,将是电子银行再一次爆发式增长的重要推动力。短期内,借鉴《萨班斯法案》加强对上市银行的信息化监管。
利用itil进行信息技术基础设施建设。作为银行信息化的参考模型,可以指导包括网络建设在内的银行基础技术设施升级改造。软硬件方面的基础性投入如存贮系统、入侵检测系统、网络管理监控系统等,是必要的,而多条专网则保证了稳定的带宽。这些投入通常是很大的。对于那些中小银行,可以探索外包方式。
加强对电子银行开发、维护、呼叫中心、银行业务、atm运维等外包风险的管理,制定相应的外包风险控制程序,并加强对金融服务提供商的监管。对于银行来说,要制定外包的边界,核心数据、关键系统等不能外包,银行必须保持对电子金融的控制力。这方面要加强行业经验交流。不同银行在外包管理中确实积累了一些经验,如某银行软件开发坚持银行开发人员与企业开发人员共同组成开发小组的模式,你中有我,我中有你,制约金融it公司对电子金融项目的实际控制能力。由于一部分技术掌握在银行员工手中,金融it公司想把开发队伍全部拉走,从而实现对产品的控制就变得不太现实了。经验表明,如果电子金融产品由金融it公司全部负责设计开发,则银行必然处于被动地位。对外包的管理包括法律层面、技术层面和体制层面。银行要与外包公司签定保密协议,一旦发生泄密,金融it公司要承担法律后果。
第五篇:关于对我队廉政风险防范管理的思考
关于对我队廉政风险防范管理工作的一些认识和思考
***
廉政风险防范管理工作是我局在2010年至2011年开展的一项重要工作。根据局纪检组和大队党委的安排部署,我队于2011年开展了此项工作。回顾一年来的工作,在收获的同时也有很多困惑,现在谈谈工作中遇到的问题和对廉政风险管理工作的一点认识。
廉政风险管理工作理论的提出首先是纪检监察工作的一大创新和进步,它把现代企业风险管理理论和质量管理方法结合起来,应用到反腐倡廉工作中,是一次大胆创新。当2010年6月收到局关于开展廉政风险防范工作的文件时,我就被这一新的工作理论和思路所吸引,廉政风险防范工作是一项系统的工程,它以廉政风险为抓手,站在企业管理的平台上,深入到单位的每一个岗位、每一个部门,工作思路严谨、清晰,逻辑性极强。我曾经畅想如果一个单位能把廉政和管理结合起来认真梳理、查找,这应该是一举多得的好事啊,可以解决单位长期存在的很多问题。
但是工作一旦开展,就遇到很多问题。廉政风险防范管理查找工作不仅仅需要纪检工作人员的努力,还需要各单位、个人齐心协力,统一认识,共同完成。
一、工作中遇到的问题
一是作为一名纪检监察工作人员从自身素质来说,存在不 足。要组织单位、职工开展好此项工作,知识储备量还远远不够,管理学知识欠缺,不能有机地把廉政风险和管理工作相结合;从工作开展的角度来说,这一工作本来就是新生事物,从认知到开展,都遇到很多困惑。由于没有经验,过多地关注管理工作中存在的问题,廉政风险问题反而查找的较为粗泛,工作开展得较为仓促,实际效果还不是很明显。
二是基层单位从思想上不够重视。很多单位(部门)不能认真按照文件精神组织干部职工细致查找,上报材料敷衍了事,不按规定程序操作。尽管在工作开展之前,纪委专门组织干部职工召开了动员会,但是在检查过程中,仍然发现很多单位负责人对此项工作不够重视,不学习文件,不知道廉政风险防范管理工作的具体内容,没有组织单位职工认真按照自己找、领导提、群众帮、集体定等程序查找。有些单位(部门)将这项工作安排给专人负责,或“闭门造车”,或“照猫画虎”;从上报材料上看,部分单位(部门)的廉政风险查找不按工作流程查找,不够严谨、细致。其次是过于简单,从思想上不愿深挖细想,敷衍了事,应付差事。
三是一些领导干部和重要岗位工作人员对廉政风险排查工作有顾虑,不愿暴露缺点;或认为纪委安排的工作就是走走过场,没必要太认真。
四是一些单位(部门)领导对大队现有制度不学习、不了解,造成工作的随意性。因此,在这次廉政风险防控管理工作 中,梳理制度流程,加深对制度的学习了解,就显得尤为必要。
五是制度清理工作难度大。廉政风险防范管理工作要求针对暴露的制度缺失,有针对性地制定切实可行的防控措施,对有些不合适的制度要适时进行清理,建立管用、有效的制度体系。但是实际工作难度较大,对制度清理、重建是一项系统工作,对制度设计、制定都有较高要求,工作很难一步到位。
六是廉政风险防范措施不具体,没有做科学的、深入细致的研究。从上报材料上看,许多基层单位在制定风险点防范措施时,很笼统,提不出具体措施;其次是,各部门在制定防范措施和制度时,只站在自己的立场上考虑问题,不能全盘考虑同其他部门的协调关系,制度不系统不科学;监督制约机制不健全,监督制度不闭合,监督工作就会有漏洞;第三是单位缺乏懂科学管理的人才,制度缺乏科学性、系统性。一个单位的制度是否科学、系统、协调,监督机制是否闭合,能够充分反映这个单位和部门的管理能力和水平。为建立健全惩治和预防腐败体系,近年来全局各单位均加强了制度建设工作,我队也不例外,每年都有不少制度出台。但从运行情况和此次廉政风险查找工作来看,很多制度都存在执行难、制度流于形式等问题,究其原因,原因之一是在制度制定、设计考虑不全面、不科学,执行过程缺少监督、制约,部门和部门之间责任不明确,互相推诿扯皮。因此各单位还应该加强领导干部在管理知识方面的教育培训,切实提高领导干部的管理能力和理论水平。
二、解决的办法
针对领导干部和重要岗位工作人员思想的顾虑问题。一方面工作中力争做好耐心解释工作;另一方面查找问题做到有理有据、认真细致;三是做好廉政风险防范管理工作的检查、督导工作,通过面对面地探讨,使各基层单位的干部、职工能清楚地认识到工作中存在的廉政风险点,通过查找风险点、制定防范措施,更好地改进工作、解决问题。
针对如何制定科学、系统、合理的制度问题,我个人有几点认识和建议:一方面是需要加强纪检监察工作人员自身学习和能力的培养,要做好各单位建章立制的督导和建议工作;另一方面是建议大队党委建立重大事项工作前期论证制度,将制度的制定划入论证机制范畴。一个新制度的出台,必须是站在一定的高度去通盘考虑,经大队领导、管理专家、业务骨干、管理部门负责人、监察等相关工作人员组成的论证小组反复推敲、仔细论证、严格把关后下发执行。第三是加强同兄弟单位之间的业务交流,学习兄弟单位先进的管理经验。许多兄弟单位在廉政风险防控、科学管理和有效监督等方面都走在我队的前面,有许多值得我们学习和借鉴的地方。同时还希望在制度建设方面得到局上级相关部门的帮助和指导。
三、对推进廉政风险防范管理工作的几点认识
通过近一年多的学习和工作,我深深地体会到这一新工作的实施对我们纪检监察工作人员提出了更高要求,它要求我们 不仅要有坚定的政治立场、敏锐的洞察力,还需要我们掌握一定的科学管理知识。其次,廉政风险防范机制建设工作是一项长期的、不断除旧立新的工作,不可能一蹴而就,更不可能一劳永逸。需要逐步建立健全风险预警、纠错整改、内外监督、考核评价和责任追究机制等一整套行之有效的廉政风险防控制度体系;同时还要注重廉政风险的动态化管理,识别新的廉政风险点,及时补充和调整廉政风险内容和完善防控措施。第三,廉政风险管理,是一项极其复杂的系统工程。在这项工作中,纪检监察部门仅仅是一个重要组成部分,必须坚持党委统一领导,党政齐抓共管,纪委组织协调,部门各负其责的原则,才能真正开展好廉政风险防范管理工作。
2012年2月6日
点击咨询 