银行财务管理信息思考(精选12篇)
银行财务管理信息思考 第1篇
一、财务管理信息化的涵义
关于财务管理信息化, 站在不同的角度和立场, 会有不同的解释和定义。笔者认为, 虽然是将信息技术引入传统财务管理模式, 但绝不是简单地在财务管理中使用几台电脑, 架设几条网线就可以解决的, 必须对财务管理信息化的内涵进行深刻理解。它不仅是计算机等信息技术的采用, 更是企业流程重组, 人力资源潜能充分得以调动的一个过程。财务管理信息化应该是“三分靠技术, 七分靠管理”。参考各种文献对财务管理信息化的解析, 可以将财务管理信息化定义为:财务管理信息化是指企业财务人员利用现代信息技术手段, 对企业流程重组, 调动财务人力资源的信息潜能, 挖掘企业各种财务信息资源, 更好地组织企业财务活动, 处理财务关系, 从而实现企业财务目标的过程。财务管理信息化可以极大地规范财务管理工作, 提高企业财务管理水平、管理质量、经济效益和企业的市场竞争力。
要真正实现财务管理信息化, 必须依靠若干个信息系统模块的集成。一般来说, 财务管理信息化应该包括会计事务处理信息系统、财务管理信息系统、财务决策支持系统、财务经理信息系统以及组织互连信息系统五个部分。这些系统的成功建立以及相互之间的集成管理是财务管理信息化成功的体现, 他们之间的关系密不可分。
(一) 会计事务处理信息系统
它是为满足企业财务部门会计核算工作需要而建立起来的系统, 主要解决财务人员的手工记账和报表问题, 将会计人员从繁重的日常工作中解放出来。系统以账务处理、报表管理和日常会计事务处理为主, 通常按功能可以分为会计核算信息子系统和会计管理信息子系统。
(二) 财务管理信息系统
它是以现代化计算机技术和信息处理技术为手段, 以财务管理提供的模型为基本方法, 以会计信息系统和其他业务系统提供的数据为主要依据, 对企业财务管理的程序化问题进行自动或半自动的实时处理, 从而实现对有关业务活动的控制功能。例如, 对产品订购的管理, 系统可以提示企业的经济订购批量是多少, 显示出哪些产品库存已降至最低储备量需要及时订购补充。
(三) 财务决策支持系统
财务决策支持系统是一种非常灵活的交互式信息系统, 它可以用来解决事前难以准确预测或者是随机变化的问题。一般说来, 财务决策支持系统通过其良好的交互性, 使财务人员能够进行一系列“what-if”分析, 再运用不同的模型, 列举可能方法, 通过协助分析问题、估计随机事件的各种可能结果、预测未来状况等方式, 为企业决策者制订正确科学的经营决策提供帮助, 同时对企业财务风险起到事先防范的作用。
(四) 财务经理信息系统
这种系统是一种将会计事务处理系统、财务管理信息系统、财务决策支持系统相结合的高度交互式信息系统。它能帮助财务经理充分利用企业数据仓库, 对其进行数据挖掘, 发现数据的特征, 预测企业内外环境的变化趋势, 使企业的财务主管能够灵活、方便地从更多视角了解问题和发现机遇。
(五) 组织互连信息系统
组织互连信息系统可以使企业的财务部门与其他部门、本企业与其他关联企业之间的财务信息自动流动, 用以支持企业财务管理的计划、组织、控制、分析、预测、决策等各个环节, 以支持企业的生产与经营。
二、我国银行财务管理信息化的实践
我国商业银行做为资金、技术、人才密集型企业, 随着公司结构治理、股份制改革、境内外战略投资者引入的不断深入以及竞争的日渐激烈, 简单的财务管理并不能满足银行业竞争的要求, 目前银行业的竞争中需要战略财务管理的思维。所谓战略财务管理, 就是要求银行的财务部门必须转变观念和思路, 提升财务管理的理念, 从财务核算信息深入到财务管理信息, 从财务管理信息全面透析到业务经营管理, 始终站在战略的高度, 通过财务管理全面掌控全行的经营与管理工作。而如果不搭建先进管理所需的技术平台, 一切都只能是“纸上谈兵”。也正因内外力的共同作用, 在我国企业财务管理信息化的过程中, 银行业走在了前列。
(一) 发展回顾
总体来说, 我国银行财务管理信息化经历了三个发展时期。一是用计算机手段做账。使用财务会计软件, 进行记账、核算、制作会计报表和进行财务分析, 实现会计电算化, 这个阶段只能基本满足单个经营网点的需要。二是在会计电算化的基础上, 运用统一的、有集成和综合功能的计算机财务软件和网络, 将总、分支机构的财务收支联系起来, 实现整个财务环节管理的信息化。三是使用比较先进的计算机管理技术, 达到“统一计算机平台、统一规章制度、统一信息及业务编码、统一管理、统一监督”的财务与业务一体化的要求, 实现财务系统与营销、信贷、风险等系统的信息集成和数据共享, 通过建立内部局域网或直接利用互联网, 使总分支行能及时反映、传递会计信息, 为决策者和报表使用者服务。这三个时期是个渐进发展的过程, 只有第三个时期才称得上是真正的财务管理信息化。目前, 我国大部分银行财务管理信息化水平还停留在第二阶段, 只有个别银行 (如中国光大银行) 已经在第三阶段摸索前进, 并初见成效。
(二) 光大银行的实践
自2003年起, 光大银行启动了全行经营管理系统总框架中至关重要的财务管理平台———“财务管理信息化项目”。该项目选取国外金融业普遍使用的ERP软件, 建设了具有光大银行特色的, 基于独立总账、责任会计、以资金转移定价、全面成本分摊和风险资本分摊为主要内容的绩效分析和财务评价系统。
该系统在成功构建独立总账 (将总账与交易系统分离) 的基础上, 应用责任会计的基本理念, 将成本信息按照“成本中心、内部订单”予以归集, 并将行内构建的全面成本分摊框架和流程成功运用到系统内, 形成生动的银行“成本信息流”, 实现了产品成本的准确核算。同时, 将银行全部业务系统的单笔交易信息, 经过中间件的抽取、清洗、压缩后以符合业务分析需要的格式传入“数据池”, 在接入市
场数据等外部数据的基础上, 按照内部资金转移定价体系的设计, 实现产品账面收支、机会收支的测算。在获取了准确的成本和收支信息的基础上, 辅以税收、资本成本、预期损失等其他关键业务信息, 单个产品乃至单笔交易的盈利分析均可以应用“报表系统 (BW) ”完美地展示出来。并在此基础上出具机构、条线、客户、产品乃至于客户经理的盈利分析报告和绩效评价报告, 整体上完成了该行财务管理信息化方法和架构的应用。
该行财务管理信息化系统, 月末1日内能提供总账财务会计报表, 3日内能提供分机构、分产品、分业务条线财务管理信息化报表。该系统上线后, 可以适应外部监管需要及时提供各类会计报表。更有价值的是, 系统为建立以经济利润为核心的绩效考核机制和分产品、分业务条线的预算体系提供了数据支持平台。“这对于光大银行提升管理水平和提高经营业绩无疑会有很大帮助。这种探索对整个中国银行业发展都有非常积极的意义” (汇丰银行语) 。
此外, 光大银行还开发实施了行政经费报销 (FA) 系统, 通过将预算指标设定在账务系统中, 对每一笔经费开支都能通过系统实行严格的预算控制, 并通过账务集中管理, 将修改预算指标的权限掌握在本部人员手中, 保证预算的刚性。所有审批也都通过计算机系统完成。这对内部财务费用管理产生了积极影响。
三、我国银行财务管理信息化的重点
推进我国银行财务管理信息化体系, 在今后较长一段时间内, 应该围绕以下方面进行重点建设。
(一) 统一财务会计平台
财务会计是财务管理信息化的基础, 应建立一个全行统一的大集中的财务会计平台, 实行财务大集中, 集中全行数据, 以规范操作流程, 节约人力资源。
(二) 实行全面成本管理
成本核算是实施财务管理信息化的第一步, 也是实施财务管理信息化的核心内容。如何定义责任中心, 如何将成本费用核算到责任中心, 如何将成本费用通过驱动因素分摊到部门、产品、客户, 如何推行更科学的作业成本法, 如何将成本费用管理与预算、考核紧密结合, 这些问题是我国银行成本核算过程中急待解决的问题。
(三) 推行整合、滚动预算管理
预算管理, 大体可以分为财务预算、全面预算、整合预算三种。目前, 国内仍然有少部分银行在实行财务预算, 大部分银行已经执行或者正在摸索全面预算, 暂时还没有实行整合预算。所谓财务预算, 预算主体是财务部门, 预算指标基本上就是财务指标, 没有做出企业的生产改造经营计划, 预算完成与否, 与各个部门没有多大关系。而全面预算是全主体预算, 股东大会提出目标利润, 总经理把预算分解落实到各个岗位上, 确保完成。其最大的缺点就是没有组织再造、没有流程再造。第三就是整合预算。这也应该是未来银行预算的方向。整合预算的特点就是要解决全面预算的毛病。其本质不在于“算”, 而在于对整个业务体系 (生产体系、技术体系) 全部按照预算来“定”。比如, 一个银行网点要多少人, 这些人干哪些活儿, 这些活儿创造多大的价值等, 整合预算把所有预算目标合并起来, 分成真实作业、保值作业、减值作业, 然后, 再把减值作业除去。做预算必须建立经营管理中不同部门的责任边界、利益边界和权利边界。如果不清楚这一点, 考核时, 各个部门之间必然互相推诿, 导致考核无效。所以, 必须按照整合预算的要求, 对流程再造, 让各个环节的责任分解成若干个环节, 一是一, 二是二, 泾渭分明。此外, 在制订年度预算的情况下, 还要定期根据实际经营情况开展滚动预算, 以增强预算管理的及时性、准确性、透明性和前瞻性。
做预算必须要有信息前提。每年的预算目标到底定多少才合适, 预算实行的过程最需要注意的是什么, 预算与实际作业之间有多少差异, 差异的原因又是什么, 这些要求我们必须对企业的信息进行再造, 要满足预算实行差异分析和考核的要求。因此, 这也是银行财务管理信息化的重点之一。
(四) 实现分部门、分产品、分客户盈利分析
在成本核算的基础上, 才可能进行分部门、分产品、分客户的盈利分析, 从而为业绩评价奠定基础。我国银行目前普遍采用按机构的会计核算以及业绩评价和考核模式, 难以实现按部门、产品、客户的盈利分析和考核评价。如何在成本和风险分摊的基础上建立起银行分部门、分产品、分客户的业绩评价体系, 让银行管理层知道到底什么部门、什么产品、什么客户在为银行赚钱, 或给银行带来了亏损, 这对银行管理层进行决策是至关重要的。
四、我国银行财务管理信息化的难点
(一) 思想观念和认识问题
实施财务管理信息化就是引进国外一个系统, 开发一个项目, 或者是某个部门的工作, 等等, 这些认识是我国一些银行实施财务管理信息化未达到预期目标的主要原因之一。实施财务管理信息化是一项系统工程, 这个工程包括成本核算、盈利分析、业绩评价、资产负债管理、预算管理等丰富的内容, 涉及到银行战略目标确立、财务管理信息化系统构建、业务流程再造、管理模式调整、组织架构改革等复杂过程, 需要银行的各级管理层转变观念, 更需要银行上下、各个部门的共同参与, 绝非引进国外一个产品, 开发一个系统或依靠一个部门就能解决的问题。可以说, 实施财务管理信息化的过程是一个转换观念和统一思想认识的过程, 是一个重新梳理战略目标的过程, 是一个提高内部管理水平的过程, 也是银行变革管理的过程。
(二) 组织架构与管理模式问题
我国商业银行的组织架构与管理模式与国外先进银行有相当大的差距, 实施财务管理信息化会碰到很大困难。比如, 国外先进银行组织架构实行扁平化的事业部制, 业务按公司业务、私人业务、资金业务等条线进行管理, 事业部内部按产品线和营销线进行运作, 而我国银行主要按照总、分、支多级机构进行管理;又如, 国外先进银行实行资金集中管理, 而我国银行一般分支行都有一定的资金调度权。我国的组织架构和管理模式按国外的财务管理信息化方法进行核算、分析和评价, 会造成责任中心职责不清楚, 产品和客户的数据难以获得, 给财务管理信息化实施带来了相当大的难度。在组织架构未改革和资金未集中管理的情况下, 根据内部转移价格计算的盈利也只能作分析之用, 结果不容易被各级管理层所接受, 更难以作为考核所用。
(三) 数据质量和数据转换问题
数据质量是实施财务管理信息化的基本前提。财务管理信息化要计算内部转移价格和分析市场风险, 不仅需要说清楚过去和现在, 更需要说清楚未来, 要模拟未来交易的现金流, 以便进行产品定价和量化风险;财务管理信息化要进行产品、客户盈利分析, 就需要获得详细的产品收益成本信息以及客户交易信息和客户关系信息。这些信息是大多数我国银行核心业务系统和其他系统难以获得的信息, 数据质量将成为我国银行财务管理信息化的一个瓶颈。
(四) 精通财务管理信息化的高端人才问题
目前, 我国银行业内既懂银行经营管理, 又懂信息技术的高端人才并不多。而财务管理信息化建设对于这类高端人才的依赖性很大。
五、推进我国银行财务管理信息化建设应注意的几点
(一) 管理层的高度重视是成功实施财务管理信息化的组织保障
我行财务管理信息化项目的实施是银行高级管理层的集体决策, 主管行长亲自挂帅, 组织了多个部门的优秀人才进入项目组, 主管行长亲自参加每周的项目进度会, 协调解决项目实施过程中的各种问题, 保证了项目的顺利进行。
(二) 选择一个高度集成的产品和一个经验丰富的实施伙伴是成功实施财务管理信息化的重要手段
选择一家国际上ERP市场占有率最高的SAP公司产品, 可以满足管理不断深化的需求, 也有利于数据的集成。同时, 选择国外知名企业作为实施商, 可以分享国外财务管理信息化项目的实施经验。
(三) 适时进行变革管理是成功实施财务管理信息化的关键所在
我行财务管理体制的改革以及下一步拟采取的一系列管理模式和组织架构的改革, 为财务管理信息化实施提供了较好的外部环境。
(四) 数据质量是成功实施财务管理信息化的基本前提
可以考虑将财务管理信息化项目和核心业务系统作为一个项目统筹安排、同时启动, 更好地解决数据质量问题。
(五) 正视财务管理信息化的长期性是现实选择
建设银行信息安全实践与思考 第2篇
中国建设银行股份有限公司(以下简称“建行”)一直践行“以客户为中心”的理念,全力打造让客户放心的金融服务平台,在人民银行、银监会等监管部门的指导下,按照高管层“确保全行生产系统安全、稳定、持续运行”的要求,加大信息安全技术投入,完善信息安全管理流程,加强人员安全意识和安全技能提升,有效应对人为因素、信息系统自身缺陷、自然因素带来的不利影响,有力地保障了建行业务稳健发展和创新。
一、“十一五”期间建行信息安全建设成绩
2005年,建行实现了全行数据大集中,有力地支持建行重组上市、促进业务快速增长和业务创新,与此同时,信息系统自身风险和内外部攻击的风险也不断积聚,信息安全已不再是传统的防病毒、防火墙、入侵检测“三大件”,系统化进行信息安全建设已迫在眉睫。为此,“十一五”期间,建行从信息安全组织建设、完善信息安全技术保障体系、构建开发安全和运维安全管理流程、持续开展信息安全文化建设等方面,全面推进全行信息安全体系建设。
1.高层推动,建立健全全行信息安全管理组织体系
遵循监管部门信息科技管理要求,结合行内组织职能划分,建行构建了全面的信息安全管理组织,形成了“三个层面,三条防线”安全管理体系。三个层面是指,董事会负责制定全行信息安全管理战略、负责定期听取全行信息安全管理情况报告;高管层负责明确内部信息安全管理职责,负责重大信息安全管理决策;总行各业务部门和各级分行作为信息安全执行层,负责具体落实全行信息安全战略和决策。三条防线是指,执行层面中信息科技管理部门及相关业务部门是信息安全的第一道防线,信息科技管理部门负责制定信息安全管理制度、开发部署信息技术保障体系、提供信息安全管理咨询服务等,部内设安全管理处,承担日常信息安全管理工作;风险管理部门是信息安全管理的第二道防线,负责监管要求的传递和业务连续性管理工作,内设操作风险管理处和业务连续管理处,从事业务操作风险管理相关工作;审计部是安全管理的第三道防线,负责全行安全管理情况监督评价,内设IT审计处负责全行IT审计工作。
安全管理人员配置上,全行92人具有信息安全专业证书(CISP),94人具有国际IT审计证书(CISA)。
2.明确信息安全管理目标和策略,完善信息安全制度体系
“方向明晰是成功的基础”,建行十分注重整体信息安全管理策略建设。遵循监管要求,结合自身实际,建行确立了全行信息安全管理目标:一是有效保护信息及信息处理环境,支持业务持续运营;二是提高应对新型信息安全威胁的能力,支持业务创新;三是保护客户信息和资金安全,维护建行声誉;四是提高合规管理能力,满足监管要求。制定了“全面管理、预防为主、分级保护、合规审慎”的信息安全管理原则,确定了信息资产的等级划分策略,明确了对不同等级信息资产的信息安全管理偏好,为信息安全管理指明了方向。
在信息安全管理策略的指引下,建行结合信息科技检查以及内外部审计意见,组织完善信息安全制度框架体系,按照“全面防范,重点突出”的原则,先后制定发布了一系列涉及物理安全、网络安全、系统安全、桌面安全、应用安全、数据安全、开发安全、运行安全、风险评估、风险处置和应急管理、IT审计等方面的信息安全管理制度。具体内容包括:按照银监会《商业银行信息科技风险管理指引》,组织制定了配套的信息安全和业务连续性管理的政策、管理办法、操作规范和指南,构建了全行信息安全管理整体框架,明确了信息安全管理对象、管理角色及各对象全生命周期的安全管理要求,规范运维中的安全管理行为;统一全行安全评估的尺度和方法;明确应急管理要求,实行信息系统责任事故的责任认定,在员工行为准则中明确了违反信息科技管理原则的处罚办法。
通过上述工作,初步建立了以政策、制度、标准为导向的信息安全管理体系,建立了涵盖开发、运维、合规、治理全方位的信息安全管理制度体系。
3.以国家等级安全保护要求为指导,构建等级化信息科技安全技术保障体系
全面落实国家信息系统安全等级保护要求,根据国家信息安全等级划分标准,制定信息系统安全技术基线,明确了不同安全等级信息系统安全保护要求,编写了信息系统安全技术选用指南,明确了实现信息系统安全要求的技术实现方法,编写了信息系统安全产品选用指南,明确了信息技术所需安全产品的选用原则,从而建立了从需求、安全设计到安全实现的整体安全建设流程。
构建了信息系统安全技术架构,明确了信息系统共有安全技术基础平台的建设原则,明确了信息系统建设中使用基础平台的策略,为安全技术整合、优化提供了方向,为全行信息系统安全技术应用提供了指导原则。目前,已采用共性任务集中建设的策略构建全行性安全基础平台。统一开发了用户认证授权管理平台,面向全行网络、系统和应用提供统一身份认证和权限控制服务;统一开发了加密安全管理平台,为各应用系统提供加密服务;全行引进部署了数据安全传递和安全销毁工具,为全行重要生产数据提供覆盖全生命周期的统一安全策略、数据访问控制和数据防泄露等服务;在应用系统运维管理方面,建设运维安全管理平台、日志管理与安全事件监控系统,提供统一的运维操作授权、监控和审计等服务。
遵循等级化安全技术架构,建行采用纵深防御的策略构建信息运维安全保障体系,与电信、公安等部门建立协防机制,借助国家力量防范恶性及大规模攻击行为;统一规划互联网、外联网安全防护标准,部署防护墙、入侵检查系统、信息过滤系统、行为检测系统,防范边界风险隐患;加强网上银行安全威胁发展趋势的跟踪、分析和研究,推动新技术新产品在网上银行等互联网系统中的应用,加强安全渗透测试和假冒建行网站的检测。合理划分内部网络区域,有效隔离生产网、办公网和测试网;统一部署构建桌面安全防护体系,为全行计算机终端提供统一的病毒防范和漏洞补丁管理等服务。推进作业调度系统,改变通过手工或系统命令调度的方式,建设自动化运维管理平台,实现日常IT运维中重复性工作“自动化、集约化、规范化”,避免人为操作带来的安全隐患,建立运维监控系统,实现系统设备全方面动态监控。
采用全生命周期管理策略构建软件安全开发体系,建立软件安全需求识别模型和需求审核机制,把好软件安全需求审核关;制定软件安全编码指南,引入软件代码安全扫描工具,把好软件研制关;引入Web应用系统等渗透测试工具,建立软件安全测试流程和渗透扫描机制,把好软件上线管理关。
通过上述安全措施,建行初步建立了涵盖软件开发安全、运维安全的技术保障体系。
4.借鉴国际标准,完善信息
系统安全开发和运维管理流程在信息系统开发管理方面,对项目开发管理的可行性研究、需求分析、立项评审、编码安全、测试、投产上线等全过程进行了规范管理。在项目立项环节,加强方案的架构审核和安全评审,严格执行信息安全技术架构原则;在软件开发环节,大力推广使用代码检测技术和漏洞测试工具,提高软件编码质量,防范软件开发过程中存在的风险和漏洞。在测试管理上,成立了测试团队,负责跨系统的连接测试、集成的功能和性能测试以及上线版本检验测试,并对网上银行等重点系统开展安全渗透性测试。在投产上线前,强化上线集中审核制度,加强上线前的审核和控制,防范上线过程中和上线后出现的系统运行风险。
全面深入开展运行精细化管理,加强系统运维计划管理。推广ITIL管理流程,对系统运维工作进行全面梳理,明确主要问题和薄弱环节,部署系统运维计划管理系统,加强变更操作过程控制,完善变更审核流程等措施,控制变更操作风险;制定系统数据备份策略,建立备份数据验证环境,提高数据安全保障能力;细化系统运行事件分类,建立事件处理知识库,提高运行事件响应处理能力;优化岗位设置,细化岗位职责、报告路线、任职资格和绩效考核指标,不断提高运维人员的工作责任心。
5.持续开展信息安全管理文化建设,提高员工安全意识和安全技能
人是信息安全管理中最重要的因素,建行始终坚持员工合规管理和安全培训两手抓。加强合规管理,以流程管理引导员工做正确的事,以严格制度促使员工规避风险。加强信息安全知识培训,培训开发人员安全编码能力,提高软件安全质量;编印员工信息安全知识手册、信息安全实务手册及相关课件,开展全行信息安全知识竞赛,传递信息安全基础知识和基础技能,提高员工安全应用信息系统的能力;加强银监会风险提示宣传和内部风险警示教育,以典型事件教育、提升全员信息安全意识,以常规化的培训教育,促进信息安全管理文化的建设,营造“人人参与,全员共进”的良好信息安全管理氛围,保障建行信息系统的安全运营。
二、全面提升IT内控水平
系统复杂性、过度依赖外包及制度执行力不足是影响IT内控能力的关键因素,建行从加强架构管控和系统整合、加强自主运维和自主开发、加强信息科技检查等方面控制上述不利因素,全面提升IT内控能力。
1.加强架构管控和系统整合
建行从全行发展战略的高度,依据IT规划、架构标准以及现有的资源和能力,不断强化企业级架构的管控,规划、设计了企业级应用架构、数据架构、技术架构和安全架构。积极协调相关部门共同推动需求整合,在企业架构指导下进行具体系统的实施,并通过架构管控落实信息安全政策、标准和技术实现。
2.加强IT队伍建设,提高自主开发和运维能力
加强全行信息技术条线人员流动,从各中心选拔经验丰富的优秀人才充实管理队伍,新进员工补充到开发一线,形成合理的开发和管理梯队;适度调度分行开发人员参与总行项目的开发工作,优化全行信息技术资源配备。参照国际一流和国内最佳做法,建立IT自主开发、自主运维能力模型,量化IT自主开发、自主运维评价指标,组织开展IT自主开发、自主运维能力评价和考核,引导鼓励员工自主开发、自主运维,确保信息系统核心能力、安全生产运行等关键环节掌握在本行技术人员手中。
3.定期开展信息科技检查
为促进IT制度落实,规范IT合规的检查管理,组织制定印发了《中国建设银行信息科技工作检查管理办法》和《中国建设银行一级分行信息科技工作检查标准》,明确了全行信息科技检查范围、检查对象、检查频率及检查标准,并由总行信息技术管理部领导亲自带队开展现场检查,指导整改,将检查发现问题和经验交流结果通报全行,促进了信息科技各项制度的落实,有效防范了操作风险。
三、打造安全的基础环境,持续引入IT风险管控新技术
造成系统风险和业务风险的主要因素是信息系统基础环境隐患和信息系统自身稳定性不足。控制系统风险和业务风险需要打造安全的IT基础环境、需要提高信息系统自身的安全能力、需要持续引入IT风险管控工具和信息安全管控技术。
1.大力改善基础设施
近年来,建行持续推进灾备中心建设,组织制定了IT服务连续性建设近、中、远期目标,明确了生产与灾备中心布局策略及总、分行信息系统灾备建设策略,确定信息系统灾备分级及恢复策略,完成了IT系统灾备总体方案,明确了灾备体系实施路径。
目前,总行符合国家最新A类机房标准的机房已投入运行,改善了数据中心运行环境;投入大量资金用于分行机房改造、设备更新,消除了机房容量不足、设备老化、电力保障薄弱、缺乏双回路等隐患,改善了全行IT运行环境。
2.开展重要信息系统风险排查和整改优化
落实银监会发布的风险警示,吸取业界信息安全事件经验教训,对信息服务的关键系统进行了全面梳理,组织系统失效点排查、系统高可用性设计分析、服务接口安全风险分析,评析系统故障发生后的业务影响,制定系统优化改进方案,组织系统优化,增强系统可用性。
2011年,建行将进一步加大信息安全技术应用。一是继续推广统一认证授权系统,加强全行用户身份管理、认证管理和权限管理,在确保提高身份认证强度的同时,方便用户使用;二是推广网络接入准入系统,统一桌面安全配置、统一桌面安全软件,实施桌面标准化管控;三是推广实施数据安全管理系统和数据安全管理工具,加强对客户信息等敏感信息的安全防护,防范信息泄露;四是建立安全漏洞管理体系和恶意攻击行为识别模型,及时修补漏洞,识别和应对攻击,增强电子渠道交易环节的事前和事中防范能力,全面推进系统风险和业务风险防范。
四、新形势下银行业面临的信息安全问题和应对策略
1.银行业面临的信息安全挑战
银行与经济发展密切相关,银行信息系统建设也始终围绕更好地为客户经济活动提供金融服务展开。在企业走出去,客户全球化,交易电子化,服务随时随地化的大背景下,银行业将面对如何在更开放的环境中提供安全金融服务的挑战;信息技术的迅猛发展,打破了原有的业界信息安全基准,公认的验证完整性的MD5算法已被我国科学家王小云证明存在隐患,云计算的兴起,提供了充足的计算资源,使得暴力破解密码更为轻松,网上唾手可得的攻击工具以及有组织的金融犯罪等均对银行信息安全防护提出严峻挑战;同时,面对错综复杂的金融环境,合理平衡安全与易用的关系,在保障客户资金交易安全的同时兼顾客户便利也是银行业面对的长期挑战。
单纯的防御已显得力不从心,面对挑战,建行积极跟踪信息技术发展趋势,及时淘汰落后的信息安全技术和产品,更新信息安全技术和安全产品选用策略,完善信息安全技术和安全产品使用指南,提升信息安全防护能力。
一是将安全防线前移,在客户端引入安全扫描等机制,主动评价客户平台安全状况,加强客户平台准入管理,增强客户异常行为检查,通过识别客户交易时段、地点、交易频率及额度等信息,提前预警防范风险;加强纵深防御,在防线前移的同时,增加后台安全管理手段,建立业务安全监控机制,及时识别危险账户和客户异常行为,实现技术防范与业务交易安全监控联动,更有针对性地防范风险。
二是全面贯彻等级化保护思想,根据信息系统承载的价值、一旦失效对客户和社会的影响进行信息系统等级划分,针对不同等级的信息系统采取相应的安全等级保护。同时,应用等级化保护策略,对客户账户类型和客户风险承受能力进行安全等级划分,区别设置验证策略和监控防控手段,更人性化、更安全地提供金融服务。
2.商业银行面临的安全问题
(1)银行信息安全多头管理
目前,银行业信息安全管理由行政管理层面和银行监管层面实行双重管理。行政管理层面包括国资委、公安部、安全部、工业与信息化部、国家保密局、商用密码管理办公室等,行业监管层面包括人民银行、银监会、证监会、保监会等。多部门参与管理和监管致使银行信息安全管理缺乏整体协调,涉及信息安全的法规繁多,但出台的角度和管理的尺度不一,不利于遵循和执行;涉及信息安全的标准内容庞杂,但缺乏系统性,指导性不强。此外,由于多头管理,还造成对银行信息系统的管理要求与其他行业雷同,缺乏针对性,对银行信息系统实施重点管控的要求不能得到有效体现。
(2)核心软硬件技术基本依赖国外
目前,我国银行信息系统核心主机、骨干网络设备、大型存储系统主要是美国等发达国家IT巨头公司的产品,中后台业务主机上运行的操作系统、数据库等系统软件也基本上是国外产品一统天下;金融核心综合业务系统多为合作开发,合作的外方多有技术保留倾向,我方人员尚不能完全掌握核心技术,硬件、软件后续升级维护严重依赖国外厂商,既不利于系统安全运行,也影响业务自主创新。
(3)数据中心防护能力不足
目前我国银行业数据中心和灾备中心选址布局基本符合相关技术规范要求,但是从国家宏观战略角度来看,大型银行的数据中心和备份中心集中部署在北京、上海等少数大城市,致使风险也相对集中,一旦风险发生,可能危及国家经济和社会的整体安全。
另外,银行业数据中心和灾备中心的安全保卫基本还停留在雇用“经警保安”维持秩序的水平,不仅无力应对恐怖性质的攻击和破坏,即使群体性冲击事件都难以防范。2009年7月新疆乌鲁木齐骚乱期间,受到冲击的金融机构仅靠员工手持棍棒防卫设备机房和营业设施。目前,我国银行业的安保状况与被保卫目标的极端重要性极不相称。
3.银行业的应对策略
(1)统一监管银行业信息系统安全
建议银行业监管部门统筹规划,整合现有多部门、多头监管银行机构信息系统安全的职责,发布基础性信息系统安全管理方针政策,制定关键信息安全技术研究引导政策,明确银行信息系统灾备中心建设策略。组建具有权威性的信息安全技术研究队伍和信息系统安全测评队伍,承担重大信息安全技术攻关课题,定期对银行的信息系统开展信息安全风险评估。
(2)重视涉及信息安全关键技术的研发攻关
建议把研制涉及信息系统安全的关键硬件和软件列为提高自主创新能力的重点,由国家统一组织力量,协力攻关,争取早日突破。加快核心技术设备国产化进程,从根本上改变目前基本依赖国外的局面,构筑信息安全的必备基础。同时,对使用国产关键设备的金融企业给予政策上的支持和鼓励。建议组织专门力量对引进使用的关键硬件和软件中是否存在安全隐患进行检测诊断,研究提出有效的排除和处理措施。
(3)加强灾备管理体系和数据中心安全保卫管理体系建设
银行财务管理信息思考 第3篇
【关键词】信息化 内部审计 思考
一、人民银行内审信息化建设的必要性
(一)人民银行内审信息化建设是应对业务信息化的必然要求
随着计算机信息系统的建立完善,电子数据处理已广泛运用到人民银行货币金银管理系统、会计集中核算系统、国库核算系统等各项业务之中,基本实现了金融服务电子化、金融管理网络化、金融业务处理自动化。内审人员不仅需要掌握传统条件下的审计理论,还必须了解信息化条件下的审计技巧和方法,以适应新形势下内审转型的要求。
(二)完善內审信息化建设是提升审计效率的重要手段
在人民银行各项业务普遍采用电子数据处理的情况下,内审工作仍以现场核查为主,审计线索的搜集和分析等基本上人工完成,如对于国库会计核算、外汇管理等已系统化处理的业务,审计人员仍采用查阅报表、账册、凭证等手工方式进行数据的校验、核对和统计汇总。在手工操作为主的前提下,为了降低审计风险,保证审计效果,内审部门必须大量地投入人力、财力、物力,如此显然既增加审计成本,又降低审计效率。审计信息化建设可以有效减少审计的时间和人工成本,避免传统审计过程的低效率,提升审计质量。
(三)推动内审工作信息化是建设人民银行内控长效机制的有效途径
随着人民银行业务电子化运作水平的不断提升,人民银行各项业务的操作规程被添入了新的内容。由于货币金银、国库、支付结算等计算机信息系统操作具有较高的严密性、完整性和系统性,业务部门各要害岗位、各项操作环节之间的相互联系、相互制约机制的形成,标志着贯穿于业务操作与审计监督全过程节节相关、相互制约的动态内控机制逐步形成,这就要求有更高效的审计方式、审计技术与之衔接,但目前人民银行内审工作还处于对某一时段、某项业务的静态核查阶段,履职和专项审计也均为事后审计,以事前预防、风险导向为目的的动态审计力度不足,工作中隐含的潜在风险难以被及时发现,人民银行内部审计对风险的防范和控制职能并没有得到有效体现。
二、人民银行内部审计信息化建设的现状
(一)制度建设逐步完善
2000年以来,人民银行内审司陆续制定《中国人民银行计算机系统内部审计规程》和《中国人民银行计算机信息系统内审监督检查工作暂行规定》等一系列内审工作制度,为各级内审部门开展信息系统审计进行了及时指导。总行内审司专门成立了信息审计处,各分支内审部门也设立了信息审计科或信息审计岗位,并配备了具备一定信息系统审计能力的专业人员。
(二)审计定位逐步确立及审计范围逐步拓展
近年来,内审部门先后组织开展了征信管理系统、中央银行会计集中核算系统、国库会计核算等专项信息系统审计,同时还开展信息系统数据库审计和局域网审计,加强了对信息系统的组织开发、运行管理、使用维护等方面的风险评估工作。总行专门制定了系统运行管理和信息技术应用专项审计方案,涵盖了安全系统管理情况、科技网络管理情况等方面的内容。信息系统审计已经成为每年审计工作的重要任务之一,并确立为内部审计工作转型的重要推手。信息系统审计已经发展成为独立的审计类别,各级内审部门对信息系统审计的工作量和投入占比正在逐年提高,审计中反映出来的一些突出问题也得到相关审计部门管理层的高度重视。
(三)审计信息化平台逐步搭建
为适应审计信息化的发展趋势,2009年,人民银行内审业务综合管理系统开始推广,要求各级内审部门将每年开展的审计项目资料都录入系统统一管理,为内部审计信息的资源共享搭建了一个良好的平台。此外,内审工作依据电子手册不断完善,为内审工作人员查阅原始规范性文件提供了快捷方式,进一步提高了内审工作人员的审计效率。
三、人民银行内部审计信息化的发展方向
(一)建设人民银行内审实时监控网
目前,各级人行内审部门正在使用的内审业务管理系统在一定程度上改善了审计手工操作的落后局面,但该系统尚无法与人民银行各业务操作系统联接,无法直接从业务系统提取数据进行审计,无法对海量的审计信息进行及时搜集、分析、处理和反馈。内审部门应该围绕人民银行业务的发展要求,通过网络平台建立一个集信息分析、预警、报告为一体的内审实时监控网络,实现内审部门对人民银行各业务应用系统的实时监控,提高内审监督的实时性和有效性。内审部门要学习和参与业务应用系统探索、开发和升级,预置审计程序,在业务应用系统的各个环节嵌入审计实时监督专用模块,完成前台数据自动采集。
(二)开发和完善相应的非现场审计应用软件
为实现对各项业务实施动态监督,应在目前运行的重要业务系统中开发出审计接口程序,在各管理信息系统和业务系统程序上留有审计接口,建立起与被审计部门业务接口直接切入、数据信息共享的全方位信息系统,使内审人员通过该系统能调阅所有的信息记录资料,从而简化资料调阅程序,降低审计成本,提高审计效率。同时利用现有的计算机网络平台,在上、下级行协商授权后,上级行内审部门可以登录下级行业务系统,进行全面审计,促进审计工作由单一的事后审计向事后、事中、事前审计相结合转变;从单一的静态审计向静态审计与动态审计相结合转变;从单一的现场审计向现场审计与远程联网审计相结合转变。使内审部门在计算机环境下,查错纠弊、揭露问题、控制风险,更好地履行人民银行内审工作职责。
(三)践行风险导向审计理念,促进内审转型。
信息系统的复杂和多样性,决定了信息系统审计工作必须投入大量的人力物力,从提高审计效率和优化审计资源的角度,选取重点领域进行试点,必须要坚持以风险为导向的审计理念,将风险导向的理念融入到审计项目立项和审计工作程序中。要采用风险评估方法来确定审计资源分配、审计次序和审计频率,并据此制定全年审计计划。要对人民银行正在运行的信息系统进行全面风险评估比较,将信息系统风险划分为若干类别,科学确定权重,结合发生频率,计算出风险与控制矩阵。其次根据风险评估结果将各类信息系统进行风险级别划分。可以考虑对较高风险系统一到两年审计一次,对较低风险项目三到五年审计一次。
参考文献
[1]郭宗文.计算机审计技术与方法[M].北京:清华大学出版社,2004.
银行财务管理信息思考 第4篇
(一) 管理制度和内控制度未完善
内控制度跟管理制度起到了约束和控制作用, 很多情况下, 银行的犯罪案例都是由于信息管理疏忽, 或者管理机构懈怠引起的。这就说明, 银行的内部制约机制和规章制度的不完善, 再加上检查制度过于松懈, 没有严格按照制度进行监督和管理, 给了不法分子以可乘之机, 放任自流, 严重威胁着银行管理的安全性。
(二) 管理人员缺乏信息安全管理的认识
1.由于领导对信息安全管理没有较高的认识, 所以管理人员就认识不到银行信息安全管理的重要性;2.安全管理机构不够完善, 在设定结构中没有配备一定数量的管理人员;3.忽视了计算机工程的安全设施的问题和信息安全结构的管理问题;4.缺少信息管理方面的法律意识, 有章不依、有法不依等问题。
(三) 计算机系统管理制度不够科学和严密
计算机系统管理制度中很多都不具科学性, 1.计算机系统操作人员具有很高的技术水平, 但综合素质和职业道德较低, 甚至会重视应用, 轻视管理工作;2.减少了审查和监督力度, 缺乏了机密数据和文件的加密处理, 没有操作口令;3.计算机系统设备没有安排专门的人员进行管理, 很多情况下都会出现大量的违章和违规操作;4.缺少离岗的退出记录, 且没有具体的维护和管理的操作记录等数据。
(四) 缺少专业化的技术人才
影响基层银行信息安全管理的一个重要因素就是因为缺少专业技术水平高的人才, 很多情况下, 银行缺少了综合素质较高和专业化的管理人才, 使得这些工作人员的整体素质较低, 甚至缺少了对银行工作任务的了解。对信息安全管理问题不够重视, 在一定程度上阻碍了信息安全的进步的和发展, 同时对于银行信息管理不科学、不到位, 监督力度难以提高, 也没有做好预防信息安全的措施。
(五) 网络的安全漏洞
1.基层银行对于抗击外部安全影响因素的能力较弱, 由于基层银行没有先进的技术手段和防护设备, 所以难以保证信息的安全性;2.在很多基层银行中由于受资金和技术等因素的影响, 使得网络系统中没有设备的备份装置, 当基层银行的系统出现故障时, 就会直接影响到系统运行状态, 阻碍了系统的工作效率。在一些偏远的区域就会受气候、交通和区域环境的影响等, 若网络设备的硬件出现问题, 需要耗费很长的时间才得以解决;3.基层的网络技术设备都是由上级行跟供应商提供和安装, 所以基层银行的维护人员对网络设备跟技术理论的认识较少, 缺少管理和维护的能力, 这也是信息安全管理得不到保障的一个因素。
二、如何提高基层银行信息安全管理的水平和质量
(一) 提高基层银行领导对信息安全管理的认识
基层信息安全管理关系着全局工作的质量和水平, 因此基层银行的领导首先要明确信息安全管理的重要性, 意识到信息安全管理的危机感和责任感等, 将安全管理工作的责任和义务落实到具体的每个工作人员身上, 坚持“一把手”负责制的原则。
(二) 完善管理制度, 建立健全的管理组织和团队
要想提高信息安全管理的水平就需要从技术防范、制度建设和组织管理等方面来把握, 时刻坚持以“安全第一, 预防为主”的原则, 建立安全管理小组体系。建立和完善信息安全管理体系, 重点健全内部管理制度和约束内部管理人员的行为等。
(三) 加大信息安全管理教育和培训力度, 提高管理人员和业务人员的综合素质和技术水平
加大信息安全管理教育的培训和教育力度, 提高管理人员和业务人员的素质和水平, 首先要坚持信息安全管理为核心, 坚持择优上岗, 定期考核;然后要采取生动形象、行之有效的方式来加大对信息安全管理的宣传;加强法制宣传教育, 提高计算机系统管理人员的素质和水平。
(四) 保证基层银行的资金投入, 提高技术支持
基层银行在很多情况下缺少资金的支持, 很多设备和技术都需要资金的投入和支持。所以必须要正基层银行的资金投入, 保证计算机应用系统、机房技术、防火、防水、防电和防盗设施的建设, 重视计算机数据、技术、口令和技术文档材料的真实性。增大资金投入还可以提供计算机系统的抗病毒侵袭能力, 提高网络系统的安全性。同时要保证银行电子化中的应用系统、数据库系统和网络系统等的功能。
(五) 计算机信息安全管理的多样化, 提高修复系统的能力和水平
因为安全管理是相对变化的, 所以避免单一的方式进行管理和控制, 尽可能采取多种有效的方式进行管理, 提高信息安全管理的技术能力和水平。同时要保证系统的修复时间尽可能的减少, 避免维护期间出现安全漏洞等问题, 影响系统信息的安全性。
三、结束语
近几年, 随着信息技术和计算机网络技术的发展, 极大地改善了基层银行的信息管理模式, 在一定程度上提高了基层银行的管理效率和管理水平。但由于在管理中受各种因素的影响, 导致很多问题的出现, 降低了信息管理的安全性。所以需要加大基层银行信息安全管理影响因素的探究, 提高信息管理的水平和质量, 提高企业的工作效率和工作水平。
摘要:随着科技的发展和社会文明的进步, 经济局势日益严峻, 所以国家和政府越来越关注基层银行的建设和发展问题。随着电子化银行建设的快速进步, 计算机信息系统管理技术也被逐渐运用在金融信息管理行业。所以要想提高现代化的银行信息管理水平和管理质量, 就需要加大对基层银行安全管理的影响因素进行研究和探讨, 并根据存在的问题提出合理化的建议和措施。
关键词:基层银行,信息安全管理,研究探讨,建议措施
参考文献
[1]杨世文.对做好基层银行信息安全工作的思考[J].华南金融电脑, 2006, 09:20-22.
[2]张长林.中小型银行信息管理系统的研究与实践[D].天津大学, 2012.
[3]钟鸣.人民银行信息安全风险管理研究[D].湖南大学, 2010.
[4]陈静.人民银行信息安全保障体系建设目标与策略[J].中国金融家, 2003, 02:94-96.
银行财务管理信息思考 第5篇
引言
进入新千年,全球金融业面临一场史无前例的创新化、自由化、全球化大变革,促使发达国家的金融机构更加全能化、规模化,发展中国家的金融机构向市场化、多元化演进。这场金融业大变革背后的动力便是信息技术的发展,以及信息技术在金融业的应用和推广。在当前新的历史条件下,各类金融机构都正在努力通过应用信息技术来提高经营效果,为客户提供创新的产品和服务,并不断加强自身的抗风险能力。
1.商业银行信息化建设的现状
在过去20多年中,我国商业银行的信息化建设取得了较大进展,主要表现在:
一是初步实现了数据集中,将生产运行集中到现代化的数据中心,将独立发展的各类业务系统统一到新一代综合业务系统或全功能银行系统中,将多种服务渠道集成至综合应用前置平台中,构建了新的渠道应用支撑环境,基本形成了以综合业务系统、前置系统为核心的基础技术平台;
二是沿着精细化、科学化和集约化方向,IT管理体制改革步伐不断加快,IT管理的制度、标准、体系建设和执行力度有了较大发展;
三是以集中信贷管理系统、数据仓库技术等的顺利推进和应用为标志,信息技术应用从业务操作层提升到管理决策层,IT的管理决策支持作用得到充分发挥,已成为管理决策的关键因素;
四是依托信息技术,进行了持续的金融服务创新,比如,建立了覆盖全国的实时清算网络,大力发展了自助银行、电话银行、客户服务中心、网上银行和手机银行等虚拟服务渠道;
五是建立了较为完整的信息安全体系,建立和完善了信息安全保障体系,形成了注重可操作性的完整的安全制度体系,制定了注重信息安全的保障策略,实行了信息安全等级管理,通过安全基础设施建设和综合性安全技术措施,构建了安全技术防范的基本体系。
2.信息化建设对商业银行业务发展的主要作用
一是信息技术拓宽了银行服务渠道。随着通讯和计算机技术的发展及应用,由ATM、CDM、QM和POS等自助设备组成的自助服务渠道的出现突破了时间对银行服务的限制;“电话银行”、“手机银行”、“网上银行”和“居家银行”等电子服务渠道的出现打破了时间和空间对银行服务的限制,延伸了银行的服务,使其在任何时间(Anytime)、任何地点(Anywhere)、任何方式(Any style)都能为客户提供金融服务。
二是信息技术促进了商业银行内控机制的健全化。利用信息技术在提高风险管理效率的同时,更可有效防范金融风险的发生;可以根据授信客户信用评级、产品的风险度、担保方式、定价模式等来判断风险级别;可以建立各种分析模型,对信贷业务相关数据进行多维分析,结合金融数据模型,为授信决策提供支持。
三是信息技术推动银行组织结构的“扁平化”。服务前台和管理机构的信息能够实时传送到决策部门,实现智能化决策和快速反应,从而大大提高管理效率,扩大管理范围,减少管理层次。同时数据集中为管理信息系统的建设奠定了良好基础:收集完善的客户信息、交易信息及其他各种金融信息并进行数据挖掘,逐
步建立以信贷风险管理系统、客户关系管理、资产负债管理和金融监管系统为代表的决策支持平台,使信息技术的应用从业务操作层提升到管理决策层。
四是信息技术帮助银行实现“以客户为中心”的业务流程再造。信息技术可以帮助金融业从根本上重新思考和设计现有的业务流程。根据客户类别,将分散在各职能部门的工作,按照最有利于顾客价值创造的运营流程进行重组,使金融企业能有效适应市场的要求,从而建立“客户中心型”的流程组织,以期在成本、质量、顾客满意和反应速度等方面有所突破,进而在财务绩效指标与业绩成长方面有优异的表现。
五是信息技术成为金融工具创新的主要源泉。新的金融工具和服务方式的推行,往往是金融性质的市场行为同信息技术相互耦合的结果。信息技术为金融市场的参与者提供了充足的信息和基于知识的量化评价,辅助了决策行为,使得金融产品的交易更为简单,从而扩大了金融市场。
3.商业银行信息化建设存在的主要不足
与国际先进银行相比,我国商业银行在硬件设备、业务电子化程度和处理效率等方面已经与发达国家接近。但在科技手段保障、促进金融服务和管理科学化的深度和广度方面,还存在很大差距,主要不足体现在:
一是数据资源还没有开始真正整合和集中应用。各应用系统间缺乏信息沟通与整合,不能对数据资源进行有效的集成管理,也无从对数据资源进行深度挖掘与分析,集中数据的最大价值没有充分发挥出来。将金融服务需求信息有效收集,并及时准确地分析转化为产品需求能力较弱,产品总体创新能力不足。
二是息技术在风险管理中的应用水平不高。与国际先进银行大量运用数理统计模型、金融工程等先进方法相比,我国商业银行风险管理信息系统建设和信息
技术运用严重滞后,使得风险管理所需要的大量业务信息、市场信息缺失,而且无法建立相应的资产组合管理模型和各种风险管理模型,无法准确掌握风险敞口。风险管理信息失真,直接影响了风险管理的决策科学性,也为风险管理方法的量化增加了困难。
三是信息化建设面临的风险日益突出。当前,与数据大集中相配套的银行灾备中心、监控中心、应急处理体系等建设相对滞后,集约化的安全生产运行和管理模式尚处于摸索阶段,系统运行监控、故障诊断分析的自动化水平不高,应对突发事件和故障恢复能力较差,对电子银行等高风险信息系统缺乏规范的安全风险评估和监控指标体系。
四是信息化标准规范及相应的法律法规需加强。银行信息化标准规范和法律法规的完善化,滞后于银行信息化建设高速发展的需要,部分标准、规范存在时效性不足等现象,金融标准体系有待完善。
4.商业银行信息化建设的发展方向
如何将集中的数据进行深入挖掘为经营决策、风险管理提供科学依据,以及如何有效防范信息技术风险,是各大商业银行面临的重大课题,而当前应着重解决的几个方面是:
一、积极推进数据应用整合,强化运行安全管理。
应充分利用先进的信息技术,实现在数据集中基础上的深层次的数据
应用,加快综合业务系统与信贷管理系统、财务管理系统、客户关系
管理系统等管理信息系统的集成,配合银行改制与改革的要求,加大
技术体系调整、业务流程整合和组织结构调整的力度,将数据集中带
来的技术优势尽快转化为企业的竞争优势,并降低银行经营风险。同
时建立完善的信息安全应急处置机制和信息通报机制,制定应急预案
并进行演练,提升金融信息系统预警、应急处置和恢复能力,最大限
度地降低系统技术风险,保障金融业务的连续稳定运行。
二、建立“以客户为中心”的金融产品和服务渠道体系,提高银行服务水
平。
在传统的商业银行竞争活动中,信息技术一直作为后台支持存在,几
乎没有直接接触客户和市场的机会,对市场销售的支持,除了提供新的产品和服务外,没有提供直接的帮助。随着数据的高度集中,也带
来了海量客户信息的高度集中,特别是在“以客户为中心”的指导思
想下设计核心业务系统和CRM(客户关系管理)系统,可以提供并存
储丰富的客户基本信息和原始交易信息,在此基础上充分利用BI(商
业智能)的技术挖掘客户资源,利用数据库营销和微观细分市场,实
现交叉销售,就能对市场营销提供最直接的帮助。特别是近年来私人
业务迅速发展,从过去仅仅是存取款、国库券拓展到理财、信用卡、房贷、车贷、小企业贷款等多个品种,产生分层服务、多渠道客户交
互服务等多方面的需求,亟待商业银行CRM建设迅速跟进。
三、运用信息技术建立全面风险管理体系。
通过数据的集中,将分散在全国甚至全球的业务系统集中在一起,统一和固化业务处理流程,有效减少和杜绝了人为操作上的风险。但防
范操作风险仅仅是信息化创新在风险管理领域最初级的应用,只有真
正建立起全面风险管理的信息体系,才能有效防范信用风险、操作风
险、利率风险、汇率风险等各种风险的发生。应根据国际先进商业银
行风险管理的经验,结合我国商业银行的特点和要求,实现风险管理
技术由定性分析向定性、定量分析相结合的转变,以内部评级系统为
核心,开发全面风险管理系统,准确度量各种风险,使风险限额、经
济资本、产品定价、绩效考核等各种管理手段与银行风险更加匹配,相互衔接更加紧密。
四、加强IT治理,创建高可用性的信息系统。
必须从涉及IT价值链每一个环节进行整体的分析和规划。建立起适
应数据大集中技术环境和银行组织变革要求的信息组织体系,合理配
置科技资源,努力构建面向业务、服务导向、分工合理、协作紧密、运作高效的专业信息化组织架构,利用有效的资源解决关键问题,形
成风险和成本的最佳平衡。同时建立达到最佳管理实践的评价标杆,推行标准化,减少系统的复杂性,提高可维护性。健全信息系统安全
体系规范,基于国际安全标准BS7799,建立强有力管理支撑的技术
平台;基于服务水平管理和配置管理的最高层级,建立一系列集中硬
件监控、集中平台监控、集中应用监控的管理平台。
5.结束语
商业银行的信息科技风险管理 第6篇
关 键 词: 商业银行;信息科技;风险管理
中图分类号: F830.33 文献标识码:A 文章编号:1006-3544(2013)05-0031-02
一、商业银行信息科技风险
在信息技术与银行业务深度融合的今天,信息科技风险事件往往涉及范围广、客户多、金额大,在给银行造成经济损失的同时,也会带来很大的声誉损失。银监会前主席刘明康曾表示:“如果银行系统中断1小时,将直接影响该行的基本支付业务;中断1天,将对其声誉造成极大伤害;中断2~3天以上不能恢复,将直接危及其他银行乃至整个金融系统的稳定。”因此,可以毫不夸张地说信息科技安全运行和健康发展是银行业务正常开展的重要保障和基本前提, 关乎银行声誉、金融安全和社会稳定。表1显示了近年来商业银行发生的几起典型信息科技风险事件。
根据中国银监会发布的《商业银行信息科技风险管理指引》,信息科技风险是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。在巴塞尔新资本协议体系中,信息科技风险被视为操作风险的一种。它具有区别于一般操作风险的特殊性:(1)风险因素复杂,大量使用外包和新技术使得风险控制的复杂度大幅提高。(2)潜伏性、偶发性和不确定性突出。比如,通过充分风险论证的生产系统,短期内无风险隐患,而随着生产环境的压力逐步扩大, 系统的脆弱性就会逐步暴露;一个具有很高安全性的电子银行,随着病毒的不断变种,黑客技术的提高,新的安全问题就会出现。(3)信息科技风险一般不直接造成经济损失,其造成的间接损失难以计量且极可能引发声誉风险。(4)影响范围广。单个信息系统的故障就可能影响银行多项业务。 在银行数据大集中的形势和背景下,信息科技风险也趋于集中,成为惟一能使银行瞬间瘫痪的风险。
从国内的监管导向看,笔者认为信息科技风险管理有两个重要的目标:一是保证银行业务的稳定和连续;二是保护客户信息安全。如果不能实现这两个目标,则可能引发直接或间接的经济损失以及声誉风险和法律风险。
二、信息科技风险的影响因素
从前述信息科技风险管理的两个目标出发,可以通过分析影响目标实现的因素来了解引致信息科技风险的原因。影响银行业务的稳定和连续的因素主要有软硬件故障、人员误操作、关键人员离岗、系统超负荷运行、网络瘫痪、电力中断、病毒传播、应用系统及版本出现异常、数据缺失或丢失、外包服务不到位、自然灾害或人为损坏设备、缺少业务连续性计划、灾备基础设施不健全、日常应急演练不充分,等等。影响客户信息安全的因素主要有内部人员利用流程、权限漏洞盗用客户数据;外部人员运用技术手段侵入系统盗用客户信息;内外勾结盗用客户信息、外包服务商泄密等等。
以上这些因素在巴塞尔新资本协议中也有相关的描述。巴塞尔新资本协议对操作风险的损失事件形态分为7个类型,吴博(2010)将其中与信息科技风险的损失事件有关的三个类型整理后大致覆盖了引发信息科技风险的因素,见表2。
当然,上述这些影响信息科技风险管理目标实现的因素仍只是引发信息科技风险的中间变量,其本身也可被视作信息科技风险的表现形式。透过这些表现可以很容易发现管理不到位才是导致信息科技风险的最根本原因。
从实践来看,近年来信息科技快速发展有力支持了商业银行各项业务的快速扩张。但同时,管理、运行维护跟不上的矛盾也日渐突出,“重建设、轻管理、重开发、轻运维”的现象较为普遍。有监管部门研究表明,近年来发生的信息科技风险事件中,多数事件发生都源于制度不健全、流程不完善、落实不到位,很少有纯粹技术原因引发的事件。因此,可以说管理到位是防范信息科技风险的关键。
三、信息科技风险管理措施
信息科技风险管理应贯穿于信息科技工作的全流程,涉及到信息科技风险管理的“三道防线”,需要由信息科技部门和各业务部门共同完成。具体管理措施如下:
1. 完善风险治理架构,各司其职。构建和完善信息科技风险管理的三大防线,即信息科技管理、信息科技风险管理、信息科技风险审计,从三个不同角度、不同纬度,对风险进行立体防控。需要注意的是三大防线的安排不应是简单的对应信息科技风险管理的事前、事中、事后三阶段,风险管理部门、审计部门应积极参与到业务连续性计划制定、应急演练、系统开发、外包管理等信息科技日常风险管理工作中,实现风险管理的前移。
2. 健全管理制度体系,重在执行。建立、健全信息科技管理制度和业务操作流程并认真执行。制度建设要从新产品上线或新系统投产前开始,要建立完善的上线或投产方案以及上线或投产后相关的管理制度和业务流程,并制定回退机制或应急预案以应对意外情况。同时,要积极研究各类信息安全风险案例,总结归纳新的风险点,有针对性地完善制度。要建立制度执行的监督评价机制,商业银行的董事会、监事会、高级管理层以及审计部门要切实监督评价信息科技各项制度的执行情况,对制度执行不到位的责任人要进行问责或处罚。
3. 合理规划系统资源, 未雨绸缪。(1) 纵向规划发展进度。在系统规划设计阶段就要评估能否满足未来较长时间的业务需求,合理安排系统升级、版本切换等工作。(2)横向匹配系统资源。在系统资源短期内不变的情况下,合理分配资源,通过系統分级,将资源优先分配给等级高的系统以保障重要系统的稳健运行。
4. 密切监测系统运行,防患未然。通过技术平台对信息系统的运行状况进行全程监控。一、二级骨干网是否畅通、网点终端和自助设备是否运行正常、应用系统是否正常服务、是否有异常交易、网络是否遭到非法入侵等,都必须纳入实时监控范围,以确保在第一时间发现问题和风险点,及时采取应对措施,防患于未然。
5. 落实业务连续计划,加强演练。要在全行层面建立和完善可操作性强、覆盖各信息科技系统的业务连续性计划和应急预案,包括业务恢复机制、风险化解和转移措施、数据备份以及应对媒体的统一策略等。针对新发生的突发事件以及新发现的薄弱环节,要及时对预案进行总结更新。加强应急预案演练,以保障银行在突发重大事件面前,能从容应对,迅速恢复生产运营,尽可能降低损失。
6. 推进科技队伍建设,提升能力。首先,要明确岗位职责,因岗定人,岗位匹配,并落实岗位制衡。其次,要完善激励约束机制,以激发员工的主观能动性,并使科技队伍保持基本稳定。最后,要加强培训,培养员工风险防范意识和风险防范能力,提高员工的信息科技业务水平。
银行财务管理信息思考 第7篇
中国人民银行遵义市中心支行 (以下简称“遵义中支”) 自2012年11月至2013年4月间对辖区内14家全国性银行、地方性银行以及村镇银行进行了信息安全指导, 同时协助3个县支行对3家村镇银和1家地方性银行进行了信息安全指导。本文就基层人民银行如何开展信息安全指导工作提出几点建议。
一、开展银行业信息安全指导的步骤
(一) 建立制度规范, 明确工作职责
从遵义中支开展“两管理、两综合”工作以来, 我们就开始探索如何开展信息安全检查工作。根据人民银行的工作职责, 出台了《遵义市银行业机构信息安全评价办法 (试行) 》, 完善银行业信息安全联系会议制度, 通过发布《遵义市银行业信息安全风险提示》, 开展银行业机构信息系统安全等级保护等工作, 强化人民银行在遵义市银行业信息化建设和信息安全工作的具体协调和指导。
(二) 严格按照规定开展信息安全指导工作
开展信息安全指导工作, 应严格按照《中国人民银行执法检查程序规定》2010第1号行长令的要求, 如在对银行业机构进行现场检查时, 必须进行立项审批、编写现场检查大纲以及现场检查表、先期向被检查单位发送现场检查通知单。进场开展工作时, 应向检查单位出示资料调阅清单, 通过查阅资料, 在实地查看以后对现场情况检查结果进行汇总, 向被检查单位出具“现场事实认定书”, 并要求检查单位负责人签字及盖章确认。
二、银行业信息安全存在的问题
(一) 信息安全意识淡薄
在检查中, 我们明显感受到部分银行存在“重业务、轻科技”的思想, 对信息安全工作的重要性认识不到位, 认为信息安全就是技术部门的工作, 无整体工作意识。
(二) 组织机制和人员配置严重不足
检查中发现部分银行信息安全领导小组发布的文件形同虚设, 文件中无人员名单, 仅仅以“主要领导任组长, 部门负责人为成员”这样的语句作为信息安全领导小组的文件, 并且文件长时间未做修订更改。现场询问时无法答复谁担任领导小组组长, 且无法提供召开信息安全领导小组的会议记录。
检查中只有部分国有银行设立信息科技部, 很多银行只有科技岗而且大都是兼任, 信息安全岗虽有人员担任, 但基本上无法自行开展工作信息安全检查工作。
(三) 机房 (网络设备间) 基础设施落后
由于数据大集中, 各银行都以网络设备间等称谓将机房标准等级降低, 以回避检查中提出整改机房的要求。部分新设置分支机构的银行的机房建设更加薄弱, 机房无法进行封闭管理, 业务人员可以自由出入, 甚至在机房直接操作业务, 机房也未安装空调或中央空调等必要设备。
另外, 村镇银行等独立法人机构, 虽进行了机房建设和规划, 但是由于人员、经费等原因, 建设很不规范。
(四) 网络安全管理培训重视程度不够
由于系统大集中, 网络管理权限上移, 地市银行业只承担着设备实物的管理, 因此上级对网络安全、系统运维培训更加不重视, 长年不进行业务培训, 管理人员的水平无法得到提高。
(五) 安全信息共享力度不足, 信息交流不畅
纵使人民银行对银行业信息安全工作有着指导和协调职责, 并编写了《银行业信息安全风险提示》, 但是作为基层银行业很难收到这样的信息提示。我们在检查中发现, 银行业获得安全信息的渠道一般集中在自己上网看新闻或阅读报纸, 上级一般都未转发安全信息报告。
三、开展银行业信息安全指导的建议
遵义中支开展银行信息安全现场检查, 对辖内银行业信息安全工作起到了较好的促进作用, 通过现场走访以及与银行业主要负责人交谈, 进一步改变领导层原有的认识, 加强机构的风险防范意识, 通过将提出的指导意见进行整改或列入下一步整改计划, 降低了发生信息安全事件的可能性。
人民银行科技司王永红司长在“贵州省金融信息化发展研讨会”上的讲话就明确指出, 信息安全风险是一个单位的全面风险管理体系, 需要业务部门和技术部门形成有效的协同机制, 共建信息安全保障体系, 共同提高业务的连续性, 将信息安全纳入全面风险管理。银行信息安全将是一个长期性的工作, 为此我们根据检查的情况, 提出如下建议加强银行业信息安全工作。
(一) 健全组织机构, 切实落实标准信息化信息指导工作
建议组织人民银行、各银行机构的专家成立银行业信息安全指导小组, 根据人民银行总行的银行业标准和规范指引, 结合当地实际情况, 制定辖内银行业信息安全实施细则, 加强行业信息安全指导工作, 将银行信息安全工作的指导和监督规范化。
(二) 建立高效的信息安全共享机制
建议人民银行信息安全保障联席会议制度持续推广发展, 从一年一会的形式会, 变成务实会、学习会、培训会或是交流会。建立信息安全协调机制, 增加银行业间的协同配合, 达到优化资源配置和提高信息沟通效率的目的。
另外, 建议人民银行构建信息交流平台, 定期召开银行业信息安全工作交流会, 及时了解和掌握各单位的系统安全运行情况, 通过《遵义市银行业信息安全风险提示》, 将人民银行总行和遵义辖内银行业发生的风险提示, 以及政府、公安和保密局发布的风险提示通过遵义市银行业网间互联邮件系统转发给各银行机构, 以提高遵义市银行业信息安全从业人员的整体素质和水平。
(三) 将信息安全工作纳入人民银行综合评价体系
信息安全要引起重视, 考核起到非常重要的作用。为了引导各机构开展信息安全保障工作, 我们出台了《遵义市银行业银行业机构综合评价办法 (试行) 》遵银发【2011】153号文, 将信息安全工作纳入银行业机构综合考核管理, 通过对银行业机构信息安全工作进行综合评价考核, 提高和促进银行业机构的信息安全工作。
(四) 指导微小银行业机构的信息化发展规划
微小银行业机构建立初期基本以保障业务运行为前提, 信息安全基本空白, 如与发起行的网络链接未有任何防护手段;业务数据保存在代理行, 自己从未做数据备份;网络等重要设备的管理完全依赖于外包企业等。我们对其检查时, 基于其业务发展以及运营情况, 建议微小银行业机构明确先以建设业务系统为重点, 信息系统安全等则逐年建立, 如补丁分发、病毒服务器、网络监控以及流量分析等, 争取早日满足信息安全的要求。
银行财务管理信息思考 第8篇
关键词:商业银行,信息科技风险,防范对策
随着科技化水平的不断提高, 我国商业银行也将原有的分散式数据处理模式加速向数据大集中模式转换。我国金融电子化程度的日益提高以及数据集中体系建设力度的加大, 商业银行业务对信息科技的依赖度显著增强, 在复杂的市场环境中, 商业银行面临的风险, 除了信用风险、操作风险、市场风险、声誉风险外, 科技信息风险也是我国商业银行不容忽视的风险之一。在银监会发布的《银行业金融机构信息系统风险管理指引》中将信息系统风险定义为“是指信息系统在规划、研发、建设、运行、维护、监控及退出过程中由于技术和管理缺陷产生的操作、法律和声誉等风险。
一份2007年德勤全球金融服务业安全调查报告显示, 信息安全已成为金融机构面临的风险中的重要一环。调查报告范围覆盖全球169个主要金融机构的主管信息安全和IT的专业人士, 其中银行业占68%、保险占18%、投资和证券占12%、支付处理占2%。报告显示, 总体上, 中国的金融机构都制定了业务发展战略, 但缺乏与业务发展战略相一致的信息科技发展战略, 也缺乏信息科技风险战略, 以指导信息科技风险管控工作。正是在这种信息科技治理结构还不够完善的情况下, 我国银行业暴露了大量的信息科技风险。
一、信息科技风险产生的原因
1、IT风险管理水平低下
对照国际信息安全标准, 以及国外先进银行在IT风险管理方面的最佳实践, 国内银行确实存在不小的差距。我国金融行业尤其是银行的信息化系统需要监管的风险资产很大, 到目前为止, 我国还没有建立基本的专业化信息资产风险监管队伍和组织。
从国外经验看, 商业银行信息技术的运营与管理是相互分离的。但目前大多数国内银行现行的信息技术部门既具有十分明显的运营商特征, 同时又具有明显的行政管理属性, 是集运营、管理、监督于一身的技术垄断部门, 这样的运行机制蕴藏着很大的运行风险。一方面, 由于信息技术自身专业性极强, 高级管理层和风险控制部门无法对其实施有效监管。目前, 各家银行基本上还没有相应的专业管理部门负责信息业务系统的管理政策、技术标准、风险防范标准的制定, 以及监督、检查和绩效评估等工作。另一方面, 集行政管理与技术管理于一身, 信息技术部门本身难以胜任信息技术的监管职责, 而且容易产生责任推诿、自行其事的不良风气与行为。
到目前为止, 银行业信息安全的管理工作大部分停留在定性估计层, 缺乏对IT风险专业的定量分析。科技开发和其他业务管理一样, 热衷追求项目上线数量, 粗放经营情况普遍。在目前的考核机制下, 基层部门风险管理成绩和绩效考核有一定关系, 基层单位本能地尽量掩饰风险。在上报安全季报时, 统计数据可能失真。安全事件信息分散在总、分行各个系统中, 未形成关联性分析。银行内部也没有正规的风险分析团队, 尚不能提供对全行信息安全状况的分析、支持及风险预警信息。此外, 从IT风险管理手段来看, 基本停留在制度检查层面, 缺乏基础技术支撑。事后查出问题较多, 事前预防作用有限, 事中控制更难。银行对IT风险进行自我评估、自我加固的内在动力不足。
2、风险控制部门间的协调配合, 重视程度较差
金融机构内部大多数部门都认为信息科技工作是信息科技部门的事情, 同样信息科技风险管理也只是信息科技部门的责任, 导致了信息科技治理结构不够完善, 信息科技风险管理缺乏业务、风险管理、内部审计部门的有效支持。高级管理层在“口头上”都很重视, 但高级管理层很少履行切实的承诺, 在资金上给与足够的支持。
3、信息科技建设与业务协调不一致
基础建设滞后于业务高速增长。2007年12月末, 银行业金融机构总资产从2002年末的23.7万亿元增加到52.6万亿元, 银行业取得了长足进步。但在基础建设上, 按照国际惯例, 核心业务系统主机容量使用率如超过60%, 就需扩大系统容量, 但国内很多银行都已超过这个指标, 如工行等5大国有银行核心业务系统主机容量平均使用率为67%, 个别银行核心业务系统主机容量峰值使用率甚至高达90%。
4、软硬件及核心技术受制于人
目前, 各银行大多数高端软硬件设备都是进口的, 同时软件开发大多是外包给第三方。大量外包往往造成项目管理服务不到位, 产权转移不彻底, 核心技术受制于人, 而且存在严重的安全隐患。
5、队伍建设很不适应
随着银行信息化程度不断提高, 各银行科技队伍建设面临严峻考验。特别是尖端人才的短缺, 已成为制约银行信息科技建设和风险管控能力提高的重要瓶颈。
二、提升信息科技风险监管控制能力的举措
1、商业银行应对业务系统的管理能力提出明确的要求
例如要求确保在客户交易高峰时段做到对IT资源准确、合理地调配;要求IT业务管理部门需要在最大限度地满足业务需求的同时, 规避频繁版本更新对业务系统的潜在风险;要求在网上银行、银证通、银行卡等业务量翻番时, 监控和管理好关键业务应用, 保证生产系统的高可用性和高使用率。比如, 建设银行启动的基于ITIL流程建设服务管理体系明确其将经历三代。第一代, 即2007年年底, 完成覆盖全行的事件、问题和变更流程, 建立初步的知识库系统;第二代, 在优化完善现有流程的基础上, 建设CMDB (配置管理数据库) 、发布流程、资产流程和服务水平管理流程。在第三代规划中, 将不断完善ITIL流程, 全面提高建设银行IT服务管理质量。
2、建立信息科技风险管理保障机制
各行董事会和高管层要不断提高全面风险管理意识, 把信息科技风险管控工作摆上议事日程, 建立健全信息科技风险管理机构和岗位责任制度, 层层抓好落实。要吸纳国内外高层次专家充实信息科技队伍, 加强培训工作, 提高风险管控能力和应变能力。要强化信息科技合规建设, 把信息科技合规管理纳入到全行合规管理框架之中, 充分发挥技术部门安全检查、风险部门风险监控、IT审计部门审计监督“三道防线”的约束作用, 形成完备的违规监测和纠错体系。加大违规行为处罚力度, 提高管控措施的约束力。
3、建立信息科技风险评估和预警机制
商业银行应建立完整的信息系统外包风险评估检测程序。在系统开发时, 应秉承能由行内人员开发的交由行内开发, 确需外包的, 应分析外包服务队信息风险控制的直接、间接影响, 合理确定外包方, 与外包供应商签订书面完整的服务协议, 对安全、保密、风险等提出明确要求。
在信息安全日常管理上, 商业银行要加强业务系统网络安全管理, 实现业务系统与办公管理网络, 内部网络与外部互联网络隔离, 加强无线网, 互联网接入边界控制, 通过漏洞扫描、身份认证、防火墙, 病毒防范、数据加密等技术手段, 以有效降低信息受到外部攻击的风险。
加强业务数据授权管理。对重要密码应分等级管理, 定期更换。对自动柜员机等电子机具进行维护、升级等技术漏洞排查时, 应至少两人同时工作, 避免人为操作不当, 可能造成的系统不能正常工作情况发生。
4、建立并完善信息科技风险应急处置机制
当前, 突发事件频繁, 加强风险应急和处置机制建设已成为当务之急。各行都要按照《突发事件应对法》的要求, 加强风险应急和处置机制建设。要认真研究制定本单位信息科技风险应急管理的中长期规划, 结合本行实际, 稳步提高应急管理水平。要加强信息备份、灾难恢复以及业务连续性的管理, 彻底改变灾备中心成为摆设的局面。要定期进行各类应急预案的培训和演练, 把应急和灾备工作从技术管理层面提升到全方位、多部门齐抓共管、协调一致的全行工作层面, 确保极端事件发生时, 能够在最短的时间内按照既定方案有序处置。
业内专家认为, 信息科技风险管控把传统的银行信息安全与IT治理、风险审计和风险评估结合在一起, 银行需要重新思考IT治理的层次, 需要从信息资产的角度来看待信息科技风险, 尝试科技风险的计量, 建构适合自身的科技风险管理体系, 切实提升信息科技风险管控能力, 这样才能在抢占市场份额的同时降低IT风险, 平衡信息系统功能和安全之间的关系, 才能把风险控制在可承受的范围之内, 为社会提供安全、持续的金融服务和保持金融稳定。
参考文献
[1]、丁康吉.许霆案评析及启示.《中国信用卡》2008/10
[2]、万里鹏.我国商业银行信息化风险问题探讨, 现代经济信息 (学术版) 2008/03
[3]、尹昕.我国银行信息化呈现三大新热点, 金卡工程2006/08
[4]、郭海燕.科技引领金融信息化, 西部论丛2004/05
[5]、胡美军《最新银行计算机信息系统安全技术规范与网上银行风险监管防范实用手册》2004年5月天马出版社
银行财务管理信息思考 第9篇
(一) 以使用期限、单位价值和资产的物质形态为作为固定资产的确认标准
根据《中国人民固定资产管理办法》的规定, 人民银行的固定资产是指使用期限在1年以上、单位价值在2000元以上, 且在使用过程中基本保持原有物质形态的资产。不具备上述规定条件的物品为低值易耗品。
(二) 以历史成本作为固定资产的计价原则
根据《中国人民固定资产管理办法》的规定, 人民银行固定资产原则上以取得时的实际成本计价, 除根据国家有关规定对固定资产进行重新估价或原记录的固定资产价值有误以及对原暂估价值进行调整等情况外, 一般不得对已记录的固定资产进行调整。
(三) 购建支出、固定资产原值和固定资产耗损分别核算
人民银行购建获得的固定资产, 其购建固定资产形成的实际成本直接列入当期费用, 不进行资本化进行分摊处理。对于购建或通过其他渠道获得的固定资产, 设置“固定资产原值”和“固定资产基金”两个表内科目同时反映固定资产的原始价值, 两个科目的借贷方向相反, 金额相等;设置“累计折旧”表外科目对固定资产价值耗损情况进行辅助记录和反映。
(四) 不对固定资产计提折旧, 也不计提减值准备
根据《中国人民固定资产管理办法》的规定, 中国人民银行固定资产不计提折旧, 为反映现有固定资产净值, 按季计算固定资产折旧, 折旧金额在表外核算, 固定资产的折旧额按固定资产原值、预计净残值率 (4%) 和分类折旧年限计算确定, 固定资产计算折旧一律采用平均年限法。
(五) 未完工交付使用的建设项目不纳入表内核算
人民银行建设项目在完工交付使用前通过基建会计进行核算。根据《中国人民固定资产管理办法》的规定, 已征用但尚未施工建设的土地征用费在人民银行会计集中核算系统中通过“土地使用权”表外科目进行核算;已征用并已开工建设的土地征用费, 由表外“土地使用权”科目转入表外“在建工程”科目核算;建设项目已完工交付使用, 其土地征用费与交付使用的建设项目投资, 从表外“在建工程”科目核算转入表内“固定资产”和“固定资产基金”科目核算。
二、现行人民银行固定资产会计信息反映存在主要问题
(一) 固定资产的确认标准过于粗放, 使账面反映的固定资产与实物不相符
一是没有对固定资产进行分类界定, 使部分本应纳入固定资产管理的实物资产没有得到有效确认。一般情况下, 固定资产是根据重要性原则从实物资产中剔出来作为重点管理和控制的资产, 而各类资产在使用期限和单位价值上都有其自身的特点。笼统地从资产的使用期限和单位价值上对固定资产进行界定, 可能使一部分相对低值但使用期限较长实物资产游离于固定资产管理之外, 使实物资产的管理得不到更有效的提高。二是没有对“单位价值”中的“单位”进行细化界定, 使部分实物资产脱离固定资产的管理。如对办公桌椅的界定, 按“套”达到固定资产的确认标准, 但分拆为办公桌和办公椅后就不一定达到固定资产的确认标准。三是对固定资产修缮、装修费用是否调整固定资产原值的规定过于简单。按《中国人民固定资产管理办法》的规定, 固定资产修缮、装修费用超过原值10%才能对固定资产原值进行调整。如对房屋及建筑物类的固定资产, 其单位价值一般都较大, 对其进行修缮、装修的费用一般情况下很难超过原值的10%, 但修缮、装修的费用绝对额却很大, 这样就会使其实际价值没有得到有效的反映。四是没有遵循实质重于形式的原则, 将大量已房改的职工宿舍确认为人民银行固定资产, 事实上, 这些资产所有权已不再属于人民银行。
(二) 固定资产账务处理没有遵循划分收益性支出和资本性支出的确认和计量原则
根据划分收益性支出和资本性支出的确认和计量原则, 凡是支出的效益及于几个会计期间 (或几个营业周期) 的, 应当作为资本性支出, 将其计列于资产负债表中, 作为资产反映。很显然, 人民银行固定资产购建支出的效益及于几个会计期间, 其购建支出首先应进行资本化计列入资产负债表的固定资产项目中, 并在固定资产使用的过程中通过计提折旧的方式将固定资产的价值逐步转入各期费用当中。然而, 人民银行在购建固定资产时直接将购建支出直接确认为当期费用作为收益性支出列支。
(三) 固定资产在使用过程中的实际价值没有得到及时有效的反映
一是固定资产按历史成本计价, 没有采取国际惯例按照审慎性原则计提跌价准备, 一旦固定资产出现贬值现象, 固定资产账面价值低于市价, 就不能真实反映人民银行固定资产实际价值。二是人民银行固定资产折旧在表外核算, 使得表内资产和所有者权益在均出现虚增, 会计报表使用人也很难直观掌握固定资产的残余价值和耗损情况。三是土地使用权、在建工程没有纳入表内核算, 使未交付使用前建设项目在表内没有得到有效的反映, 从而在一定期限内使人民银行的资产和所有者权益同时出现虚减。四是固定资产折旧方法、折旧年限和预计净残值的确定不够科学合理, 从而使固定资产在使用期间的耗损情况没有得到合理有效的反映。如在折旧方法的选择上仅采用“年限平均法”, 其计算方法虽然简单, 但不符合谨慎性原则, 在固定资产各期负荷程度不同时, 提取折旧数就会与固定资产的实际耗损情况不相符。
三、提高人民银行固定资产会计信息反映质量的建议
(一) 优化固定资产的确认标准
一是进一步强化重要性原则在确认固定资产方面的作用。如对普通打印机、碎纸机、保险柜等单位价值较低而使用年限较长的资产, 应降低其确认为固定资产的价值标准, 将其纳入固定资产进行核算管理。再如房屋及建筑物的装修、修缮, 应着重从其绝对价值上进行界定, 将金额较大的装修、修缮支出调整固定资产原值。二是遵循实质重于形式原则确认固定资产。对所有权不属于人民银行的资产, 如职工宿舍, 不应确认为人民银行的固定资产, 不应在人民银行的表内反映。
(二) 采用权责发生制的会计核算基础
人民银行固定资产会计核算以收付实现制为基础, 虽然比较简便、直观, 但固定资产核算呈现出的特点和缺陷, 多半与其有关。采用权责发生制的会计核算基础, 收入和费用的确认不以款项是否收到或付出为标准, 而是以权利和义务是否发生为标准, 从而为固定资产计提累计折旧和减值准备提供了理论依据, 也能进一步完善资产、负债、收入、成本、费用之间的配比关系。
(三) 引入谨慎性原则, 对固定资产计提减值准备
一是结合人民银行实际制定固定资产的减值确认条件和标准, 并在年末进行减值测试, 对有迹象表明固定资产已发生减值的, 应提计减值准备。二是在“固定资产”科目下设置“固定资产减值准备”子科目作为固定资产原值的备低项目, 在发生固定资产减值时, 借记“固定资产减值准备”, 贷记固定资产基金, 真实反映固定资产的实际价值。
(四) 改变固定资产折旧核算方式和折旧方法
一是在“固定资产”科目下设置“累计折旧”子科目, 将原在表外核算的固定累计折旧纳入表内核算。在计提折旧时, 借记“固定资产基金”, 贷记“累计折旧”。二是适当引入其他折旧方法, 弥补现行平均年限法存在的缺陷。如对电子设备类固定资产可采用年数总和法进行加速折旧, 对运输工具类固定资产可采用工作量法计提折旧, 从而合理反映固定资产的实际耗损情况。三是进一步细化固定资产的分类标准, 并根据细化的固定资产分类, 结合实际的使用期限准确确定其折旧年限和预计净残值, 使固定资产的折旧年限和净残值与实际情况更相符, 从而更大程度避免实际已失去使用价值的固定资产长期摆在账面上或实际可使用的固定资产被提前报废。
参考文献
[1]蒋泽生.行政事业单位固定资产管理改革的思考[J].财会通讯, 综合 (下) .2009, (5) .
[2]彭正辉.不同制度下固定资产会计处理比较[J].事业财会, 2004, (4) .
[3]俞亚光.中央银行会计标准研究[J].金融纵横, 2008, (5) .
银行财务管理信息思考 第10篇
近两年来, 上市公司监管部门不断发声, 在逐步推进资本市场化的同时,保护投资者利益,并不断加强、完善对上市公司信息披露的监管。2013年12月27日,国务院办公厅发布《关于进一步加强资本市场中小投资者合法权益保护工作的意见》,对健全信息披露异常情形问责机制、建立限售股股东减持计划预披露制度等内容提出了更高要求。2014年6月20日,财政部发布《关于印发修订<企业会计准则第37号———金融工具列报>的通知》(财会 [2014]23号 ),在原有会计准则基础上对金融工具信息披露问题做出了更具体、更详细的规定。2014年证监会对期货公司的监管关注度较高,并于8月29日就《期货公司监督管理办法(征求意见稿)》公开征求意见,提出强化期货公司信息披露义务, 健全信息报送及公示制度等内容。银行业方面, 中国人民银行于2013年7月20日起全面放开金融机构贷款利率管制后, 给管理利率风险的衍生金融工具的运用带来了机遇和挑战。银行业的风险管理是运营和监管的重点内容, 衍生金融工具作为规避风险的产物,越来越受到上市银行的青睐,但由于自身的特殊性与复杂性, 其会计信息披露问题一直是学术界和实务界的研究热点。新的背景和新的制度环境,对上市银行衍生金融工具的会计信息披露提出了新的要求。
二、国内外研究现状
(一)国外研究现状
国外的会计准则制定机构中,较早涉及衍生金 融工具会计问 题的是美国财务会计准则委员会(FASB)。为了提高信 息披露的 透明度 ,FASB制定的SFAS 105、SFAS 107、SFAS 119、SFAS 133规定, 衍生金融工具持有者进行交易需要披露如下信息: 与交易相关的利得与损失, 衍生金融工具的名义本金,公允价值以及信用风险敞口等。同时,国际会计准则委员会(IASB)对衍生金融工具相关的披露也做出了明确的规定, 并多集中在IAS 32和IFRS 7准则中, 要求从金融工具对企业财务状况和经营业绩的重要性,以及金融工具风险的性质与程度两个方面进行会计信息披露。
国外学者对衍生金融工具会计信息披露的研究主要体现在以公允价值计量与会计信息披露的相关性及风险信息披露方面。Haima.Mozes(2002)提出了一种剩余价值利润表模式, 对在该模式下评价金融工具是否需要披露公允价值, 以及以公允价值披露衍生金融工具的财务报表在价值方面是否具有相关性等 问题进行研 究。WingW. Poon (2004) 提出应该对所有金 融资产和金融负债采用公允价值模式进行计量, 以便为各方面利益相关者提供足够多的相关信息。Triana(2007)认为, 由于SFAS 133和IAS 39中的相关规定过于复杂, 可能会损害非金融上市公司的利益, 在一定程度上增加企业的相关风险, 使非金融企业陷于不经济的衍生品交易活动中。
(二)国内研究现状
我国会计准则中对于衍生金融工具的披露要求主要是在2014年7月11日发布的新《金融工具列报 》准则(CAS 37) 中 ,CAS 37要求在2014年度及以后期间的财务报告中对金融工具进行列报。
国内学者主要从公允价值计量与信息披露相关性、风险信息、披露原则和披露方法、披露内容、披露的现状及对策等几 个方面进 行研究。 夏秋(2004)通过对巴塞尔委员会关于银行信息披露基本原则的研究, 分析了我国银行信息披露规范与巴塞尔协议的差距, 指出我国对于市场风险的披露要求基本空白, 在此基础上提出适合我国现阶段信息披露的理论方面的几点建议。吴成(2007)对新准则中衍生金融工具会计计量属性进行了研究,通过对在上海证券交易所和深圳证券交易所上市的银行的分析, 探究公允价值作为会计计量模式的可适用性,并对此计量模式的前景进行了展望。罗雯雯(2009)通过研究发现,新准则实施后, 我国上市银行虽然在衍生金融工具的披露质量和透明度方面取得了很大的进步, 但公允价值估值的可靠性和公允价值信息的波动性仍是亟待解决的问题。余芬(2012)分析了新企业会计准则对衍生金融工具信息披露的影响, 并从XBRL报告出发对衍生金融工具会计信息披露提出展望。赛娜(2013)对2010年上市银行的财务报告进行分析, 得出衍生金融工具会计信息披露的现状及相关思考。
由上可知, 近年来对衍生金融工具会计信息披露问题的研究较多。不仅国内外准则制定机构、监管机构对衍生金融工具会计信息披露问题进行了规定, 而且许多学者还从衍生金融工具信息披露的内容、形式、现状等多个角度进行研究。其中规范性研究较多,实证研究较少,这和衍生金融工具的特点、实证研究的复杂性以及银行业的特殊性有一定的关系。
三、现状分析
(一)统计分析
由于对上市银行衍生金融工具会计信息披露规范性研究较多, 为了对现状有较为准确的定量认识, 本文运用统计分析方法,以我国16家上市银行2012-2013年年报为样本, 通过综合查找年报中衍生金融工具的会计信息披露情况来进行比较和分析。在参考阅读了大量文献的基础上, 本文选用的项目包括会计政策、基本信息、公允价值、信用风险、利率风险、汇率风险、流动性风险和套期活动八个方面。统计结果如上页表1所示。
注:(1)“√”表示有披露,“×”表示未披露,“-”表示本期没有符合套期会计处理的项目。 (2)以上数据来源于沪深两市证券交易所网站公布的上市银行 2012-2013 年财务报告。 (3)定量信息是指缺口分析、久期分析、敏感性分析、情景模拟及压力测试等。 (4)银行披露指数=已披露的项目数/要求披露项目总数,反映对衍生金融工具披露的广度;项目披露比率(某一项目)=披露的银行数/银行总数,反映上市银行对某一项目的披露水平
通过表1可以看出以下几点:
1. 随着对信息披露要求的加强 ,各大上市银行对衍生金融工具的会计信息披露越来越规范, 银行披露指数2012年均达到86%以上 ,2013年达到90%以上。
2.在会计政策、基本信息、公允价值方面,2012-2013年16家上市银行均进行了基本符合要求的披露。
3. 在信用风险方面 , 在2012年 ,有15家银行做了管理方法和风险敞口的披露, 招商银行未披露衍生金融工具的信用风险敞口, 只对信用风险的管理办法进行了文字披露。在2013年,有16家上市银行均对管理方法和风险敞口做出了披露。
4.在利率风险方面 ,2012-2013年16家银行均做了管理方法和定量信息的披露。
5. 在汇率风险方面 ,2012年 , 有15家银行做了管理方法和定量信息的披露, 北京银行未披露衍生金融工具的利率风险定量信息, 只对管理办法进行了文字描述。2013年,北京银行做出了修正,16家上市银行均做了管理方法和定量信息的披露。
6.在流动性风险方面 ,2012-2013年16家银行均对到期期限、管理方法和定量信息有所披露。
7. 在套期活 动方面 ,2012 -2013年, 存在套期活动的银行均做了套期关系描述、套期工具描述、套期工具公允价值这三方面的披露。但是2012年,仅有工商、交通银行对被套期风险性质进行披露,招商、中国银行未对套期有效性评价进行披露。2013年,仅有招商银行一家未披露被套期风险性质,建设、浦发、招商和中国银行都未对套期有效性评价进行披露。
8. 总体来说 , 与2012年相比 ,2013年上市银行衍生金融工具披露水平有所提高(银行披露比率),仅套期有效性评价指标的项目披露比率有所下降。
(二)可能存在的问题
虽然我国上市银行衍生金融工具会计信息披露越来越规范, 披露质量越来越高, 但是笔者认为还可能存在以下问题:
1.衍生金融工具信息披露的使用效率低。由于上市银行对衍生金融工具的披露都是在表外进行, 在整个财务报告中分布较为分散, 使得投资者在查阅时必须翻阅整份报告才能汇总分析,浪费了大量的时间和精力,不利于做出正确决策。但是这种情况并不是上市银行 所特有的而 是普遍存在的, 国内会计准则及各方均将衍生金融工具放置于表外。
2.衍生金融工具信息披露的广度和深度有限。由于信息披露是有成本的, 增加了持有 者选择性披 露的可能,致使披露的内容可能并非实际应该披露的全部信息。这不仅对投资者市场价格形成理性预期产生影响,而且不利于金 融衍生产品市 场的健康发展。
3.对衍生金融工具信息披露的规定没有统一模式, 多为规范性、概括性, 对上市银行在衍生金融工具信息披露的具体细节上存在较多差异,包括披露的内容、侧重点、格式等。这种情况的存在一方面不利于规范、统一的披露, 另一方面对分析银行业衍生金融工具会计信息披露存在的问题也会产生较大阻碍, 研究人员需要花费大量的时间和精力去研读各上市银行年报。
4.衍生金融工具信息披露的及时性问题。由于银行仅每月或每季对其衍生金融工具进行信息披露, 而衍生金融工具的公允价值可能每天都在变动, 披露期限过长不利于上市银行透明度的提升, 不利于投资者和监管者及时获取相关信息。
(三)原因分析
通过进行统计及问题分析, 笔者认为,上述问题产生的原因如下:
1.衍生金融工具的特点决定了其信息披露必然是个复杂的问题。由于衍生金融工具的灵活性,企业常常为了战略发展 和规避风险的 需要而设计出新的衍生金融工具。在这种情况下,一方面会导致持有者对其的认识和理解不同 ,披露情况也不 同,另一方面会产 生信息不对称 和选择性披露的可能。 同时,衍生金融工具公允价值的不断 变动也给信息 披露带来了很大的困难。
2.我国银行衍生金融工具会计信息披露体系不健全。虽然我国会计准则对企业衍生金融工具会计信息披露做出了较具体的规定, 但由于银行的特殊性使得其衍生金融工具披露和一般企业存在差距, 而现实中又没有针对银行衍生金融工具信息披露的明确规范,因此对银行来说,会计准则缺乏一定的可操作性。同时,会计准则制定者与银行监管 机构之间缺乏 有效合作, 致使我国对于银行衍生金融工具的信息披露没有形成一套完整的、有层次的、互补的和可操作性强的规范体系。
3.信息披露成本高于其效益。这不仅包括显性成本,还包括隐形成本。显性成本包括在收集、处理、审计和传播过程中花费的人力、物力、财力成本等。隐形成本包括竞争劣势成本、谈判劣势成本等。这些成本的存在,尤其是隐形成本的存在使得上市银行在一定程度上并不情愿披露过多信息。
4.没有实施信息披露异常情形问责机制。问责机制是监管的重要手段之一。在之前的财务报表信息披露规定里虽 然规定了披露 的内容、 形式等,但并没有形成问 责机制 ,即使发生异常情况也很难给予相应的惩罚,这给了披露者选择性披露的空间,所以很多管理 者不乐于进行 有效的信息披露。
四、相关建议
(一)加强证监会和银监会的合作,健全银行衍生金融工具会计信息披露制度
在改进衍生金融工具交易监管这一问题上, 美国等发达国家认为准则的制定是推动信息披露改进的重要力量, 因此他们把主要精力放在了修改和完善会计信息披露制度上。我国一方面应该吸取发达国家的成功经验,进一步加强对衍生金融工具会计的研究和理解,完善会计信息披露制度,同时在银监会和证监会充分沟通合作的基础上结合我国银行衍生金融工具特点,制定更加详尽具体、可行的会计信息披露细则。
(二)加快落实信息披露异常情形问责机制
尽管监管机构提出要健全信息披露异常情形问责机制, 但具体实施还需时间。应该加快该机制的落实,从制度上保障银行利益相关者的权利,形成外部市场强有力的监督; 明确董事长、总经理、财务负责人和其他相关责任人员之间的责任分配, 对各种不同的违规行为规定具体的惩罚措施。
(三 )银行应在一定程度上及时 、充分披露相关信息
由于衍生金融工具的公允价值变动性大,增加了对其充分披露的难度。鉴于制定健全的银行衍生金融工具信息披露制度需要时间, 为了更好的满足投资者对 衍生金融工具 信息的需要, 建议我国上市银行近期应建立一套定期披露与重要性披露相结合的制度,一方面,定期披露衍生金融工具相关会计信息,另一方面,当公允价值发生较大变动时及时披露, 以在一定程度上提升信息披露水平。
(四)提高银行工作人员的综合素质
衍生金融工具的高复杂性对从事衍生金融工具交易和监管的人员提出了更高的要求, 他们不仅要有扎实的理论基础,更要有丰富的实践经验。此外, 上市银行的会计从业人员的工作状况除了受 其专业知识水 平的影响外, 还受其自身的个性、价值观的影响。所以,提高银行会计从业人员的综合素质, 进行衍生金融工具会计信息披露相关方面的培训非常重要。
五、结论与展望
本文以国内16家上市银行为对象, 通过2012-2013年财务报告的统计分析, 研究衍生金融工具会计信息披露程度。结果发现:与原来相比,现阶段上市银行衍生金融工具会计信息披露越来越规范, 但还是存在披露的有用性低、广度和深度有限、披露具体细节上存在较多差异以及及时性方面的问题。这些问题背后的原因可能是由于衍生金融工具的特点决定的,以及我国市场结构不完整、制度体系不健全、信息披露成本高于其效益等。最后, 提出了上市银行衍生金融工具会计信息披露体系的改进建议, 希望以此来提高银行对衍生金融工具会计信息披露的质量,保护投资者权益,进一步完善我国金融市场体系。
参考文献
[1] .Wing W.Poon,Using Fair Value Accounting For Financial Instruments[J].American Business Review,2004,(1).
[2] .夏秋.巴塞尔委员会关于银行信息披露的基本原则及对我国的启示[J].西南民族大学学报(人文社科版),2004,(03)93-96.
[3] .吴成.上市银行衍生金融工具会计计量模式研究[J].财会通讯(学术版),2007,(08):68 -69+76.
[4] .罗雯雯.上市银行衍生金融工具会计问题研究[J].时代金融,2009,(06):42-44.
[5] .余芬.浅析商业银行衍生金融工具的信息披露[J].时代金融,2012,(15):126.
银行财务管理信息思考 第11篇
一、当前基层人民银行财务预算管理的现状
从目前的实际情况看,基层人民银行的财务预算管理主要体现为费用支出的预算管理,即:根据上级行核定的年度费用指标,制定分月控制目标和项目支出计划,合理控制财务支出;以会计监督为主,以事后监督、纪检内审监督为辅的监督管理手段,加强财务预算监督。各项财务预算管理制度趋于完善,费用指标按项目进行分解和核定,强化财务预算的指标化,提高财务预算的科学性、合理性。
二、目前基层人民银行财务预算管理工作中面临的难点
(一)财务预算管理制度建设滞后。人民银行财务管理实行部门预算后,部分损益类科目进行了重新划分和调整,尽管财务计量和确认方法没有改变,但财务支出部分科目和核算内容有较大变化,由于《中国人民银行财务制度》没有及时修订,造成新预算科目与财务制度的规定不一致。如:邮政储蓄利息支出等项目已没有业务;职工医疗保险、临时工工资等费用支出没有列入财务预算计划,致使基层编制财务预算计划没有法规和规定可参考,财务预算管理缺乏健全完善的法规依据。
(二)人员经费指标和人事部门工资计划匹配不到位,造成损益报表不实。人员经费预算管理是基层人民银行的一项主要财务预算指标,其中的职工工资指标事关每一名职工的切身利益,大家对这一指标都非常关注,此项指标的科学与否会对基层人行员工的思想和工作状态产生直接影响。目前,基层人民银行的职工工资计划由上级行人事部门下达控制,人事部门下达的职工工资计划,高于会计财务部门下批的人员经费指标,而且两者之间的差距越来越大,导致人为调账,一方面造成财务损益报表不实,另一方面违反相关财务制度。
(三)预算科目、账户设置与人民银行实际职能不符。人民银行时国家的行政机关,具有履行国家赋予法定职能的重任;同时人民银行还需要经营自身的业务,为全社会提供相关的金融服务。人民银行的费用由行政管理预算费和履行社会公共服务职能所发生的费用两部分组成,从预算角度看,这两部分费用应该严格区分。财务部于2006年对人民银行的财务预算科目进行了调整,但由于调整力度不够,导致人民银行行政支出费用和业务费仍混杂不清。
1、列支渠道与银行的业务性支出匹配度不高。随着社会的不断发展,人民银行的职能也在不断转换,稳定金融、征信业管理以及反洗黑钱等新增业务没有对应的列支渠道,导致基层人民一按行在列支上述业务开支时,只能通过变通的方法解决,将各项费用全部纳入人民银行的公用经费当中。以上业务属于社会职责,若不对其进行对应的项目列支,而通过挤占公用经费的方式解决,就会导致银行费用支出失真。由于银行科目、账户设置与实际业务支出的匹配度不高,导致业务费用占用公用费的比重较大,给社会外界造成一种人民银行办公费用过高的错误认识,不利于人民银行的长远发展。
2、科目归属缺乏合理性。人民银行部分经费性质的支出项目设置不合理,如电子设备运转费、货币发行费以及网络租赁费等是维持银行业务运转必不可少的支出,属于常规性、稳定性的支出,在性质上更接近与办公设备购置等公用经费支出,但当前却仍将其列为项目支出。
3、工会经费还未实现独立核算。工会工作具有一定的独立性,工会工作产生的费用也应实现独立核算。当前各部门在预算管理时,将工会经费与公用经费并列到“其他”科目,不利于工会组织的财务核算。
4、部分账户核算内容不合理。如:预算科目将“反假货币、国库券宣传、反洗钱”等业务支出内容均放在“反假货币经费”账户内进行核算,不仅与账户名称不协调,而且不便于直观反映上述三项工作的支出情况。
三、对策建议
(一)加快相关财务立法,做到依法科学理财。根据《预算法》等财务预算管理法规制度,结合人民银行业务发展实际,修订和完善《中国人民银行财务制度》及相关制度规章,对各部门在预算编制和执行中的权力、义务进行明确,将法律管制作用纳入部门预算管理体系中,为人民银行预算编制、执行、监督提供完备的法律依据,使各项工作都能有法可依、有章可循。
(二)改进编制方法,提高预算水平。首先,建立完善的标准定额体系。银行部门应进一步细化各项预算指标,提高资源占用与费用定额之间的融合度。提高部门内部资产、人员等基础数据的收集、管理和使用水平,为制定科学、合理的预算编制提供详实的数据支撑。其次,预算编制流程规范化。按照科目、项目设计编制方法制定相应的工作流程,明确人民银行各部门的职责,加强对预算科目、核算内容、成本核算等方面进行监督,确保预算编制各个流程环节的规范化。再次,根据基层实际需要编制预算。对基层银行费用支出中的普遍性和特殊性需求差异进行深入分析和研究,使预算指标能保证基层银行日常的业务需求,具有足够的应对特殊状况的能力,在此基础上缩减预算指标,以达到预算指标分配客观需要与主观配置之间的相对平衡。最后,通过建立高效的激励约束机制来提高基层人民银行预算资金配置效率,有利于预算资金向履职能力强的支行、部门和员工倾斜。
银行财务管理信息思考 第12篇
一、中小银行信息科技外包现状
随着信息化和银行业务的高度融合,信息系统已经成为银行业务发展和创新的核心支撑,成为银行生存发展的生命线。同国内的大银行相比,中小银行大多数底子薄、实力弱、技术水平较低,为快速提高核心竞争力,主要采用外包方式开展信息化建设管理。
通过对区域城市商业银行、信用合作社(农商行)、村镇银行信息科技外包情况进行分析,目前中小银行信息科技外包主要有以下几种方式:一是系统建设和运行维护整体外包给科技公司,少数小银行以托管的方式将信息系统外包给科技公司,由科技公司建设和运维,部分银行将部分类别业务系统整体外包给科技公司;二是系统建设和运行维护整体外包给发起行,部分小银行的信息系统主要采取托管形式,直接利用发起行的信息系统,系统建设和运行维护都主要由发起行负责;三是系统建设采用外包模式,运行维护自主实施,部分科技能力较强的中小银行采用这种方式,即业务系统建设采取与外包公司合作建设或委托开发方式,运行维护全部自主开展,对外依赖程度相对较低。
二、中小银行信息科技外包面临的主要风险
信息科技外包是中小银行机构快速适应激烈市场竞争的重要策略之一,但给银行自身运营带来安全可控能力下降、信息泄露、业务服务水平较低等风险,并对信息科技监管带来了新的问题和挑战。
(一)银行运营管理风险
中小银行机构信息系统建设外包,或者是建设和运行维护整体外包,对外依赖程度较高,且内部安全管控体系建设不够完善,运营管理存在风险,主要表现在:
1. 业务运行风险防控能力较低。
中小银行外包服务机构服务水平差异化大,参差不齐,部分外包公司在中小银行机构所在地未设办事机构,也未安排工作人员,日常系统维护主要采取电话联系、远程处理,应急响应时间和处置效率不足。少数行将业务系统托管在外地,由于系统异地部署,维护外包,系统的安全运行基本上完全依赖托管方。
同时,中小银行对外包服务管理能力不高,管理内容有疏漏,日常监测管理不到位,存在因服务无法持续提供而影响业务连续性的风险,安全可控水平水平较低。
2. 信息泄密风险认识不到位。
外包单位在进行系统维护过程中,有机会接触银行客户信息甚至核心数据,管理不当引起的信息泄露可能导致银行业声誉风险及法律风险,从而使银行蒙受巨大损失。
对于信息泄露,主要采取签订保密协议强化管理,但存在未将保密责任落实到个人,对信息保密工作认识不到位的情况,特别是少数行未认识到发起行与本机构不同法人、不同法律主体下的区别,简单将发起行视为同一机构,信息保密基本上依赖发起行,保密风险高度集中,且管理手段单一。
3. 业务服务同质化且水平较低。
中小银行机构特别是小银行过度依赖外部资源,系统上线、运行维护以及后续优化均依赖于外包,失去对项目、技术的控制能力,影响业务发展,且当业务发展规划、业务管理制度与发起行(管理行)体系出现差异的时候,信息科技系统无法适时进行调整。
由于对信息系统建设、技术问题不具备太多的主动权,在银行业务与信息技术高度融合的趋势下,中小银行的业务往往与发起行(管理行)同质化明显,制约了服务能力的持续改善与提升。
(二)信息科技监管面临风险
目前信息科技的监管按照属地管理原则开展,采取纸质材料审核,现场检查和非现场检查相结合的方式开展,中小银行外包的普遍存在使信息科技监管面临了严峻挑战。
1. 监管要求落实困难。
由于外包,目前中小银行信息系统存在异地部署,针对系统标准符合性和系统安全性检查评估的重要关键内容,往往无法开展现场检查核实,主要通过参考其他地方已通过检查评估的,或者以关联密切的行(如由同一发起行发起的其它行)提供的相关材料为依据进行核实,监管要求有效落实存在困难。
2. 日常监管效率较低。
目前中小银行机构科技人员多数配备不足,从业人员运维实战经验不足,加之系统建设和运维由发起行或科技公司负责,在检查对接、系统问题排查过程中往往效率不高,同时由于不能实施现场检查而以非现场检查为主进行监管,可能存在监管盲区。
三、信息科技外包安全管理对策与建议
(一)规范外包服务机构准入
按照行业信息科技特点及管理要求,从财务状况、内控风险管理,IT服务水平、服务经验、人员技能水平等方面,建立银行业信息科技外包机构资质标准,梳理外包服务准入采购或商务谈判流程,规范外包机构准入,从源头控制提高外包服务水平,防范外包风险。
强化与工商管理部门、信息产业管理部门以及信息安全测评部门的沟通协调,共享信息,建立外包服务机构黑名单或推荐机构名单,多角度,多层次推动外包服务机构持续提升服务能力。
(二)规范中小银行信息科技外包管理内容
建立中小银行机构信息科技外包管理指南或标准,规范外包服务流程、监测评估、应急处置管理内容,细化外包合同和保密管理要求。
按照“技术可以外包,责任不能外包”的原则指导中小银行机构将信息科技外包管理纳入全面风险管理体系,建立与本机构信息科技战略目标相适应的外包管理体系,在开展综合管理的同时引入审计系统等技术手段提升外包管理效能,全过程、全方位做好外包提供商和外包服务人员管理,有效控制或降低由于外包而引发的安全风险。
(三)探索强化整体监管联动
一是强化联合监管。对于信息系统由异地银行业机构外包管理的,探索强化联合监管,确保检查核实有效实施。可由中小银行所在地监管机构委托其信息系统所在地监管机构开展检查,由信息系统所在地监管机构对负责外包的银行系统及数据实施现场检查,检查结果反馈到中小银行所在地监管机构;另外,必要时,可由中小银行所在地监管机构和信息系统所在地监管机构共同组成检查小组开展现场检查核实,通过双线监管,确保监管无死角。
二是强化跨区域科技监管信息交流。建立科技监管信息共享机制,以各省区信息科技监管活动为主要内容,搭建信息共享平台,共享现场检查和非现场检查信息,提示安全风险,交流相关经验。
三是强化与工商管理部门、信息产业管理部门以及信息安全测评部门的沟通协调,探索研究将提供银行信息系统外包服务的科技公司纳入监管范围。
(四)探索引进分级分类管理机制
按照金融机构服务范围、信息科技外包模式的不同,引入分级分类管理模式,有的放矢,提升监管针对性。
一是按照服务范围,对于仅在本地服务的机构和跨地区服务的机构采取不同的管理要求,即跨地区服务的机构采取较高级别的要求,增加检查频度和检查内容,适时引入第三方检测评估机构识别防范安全管理风险。
二是按照外包模式,对服务提供商是发起行(管理行)还是科技公司采取不同的管理要求,即对服务提供商是科技公司的机构采取较高级别的管理要求,强调准入资质,理清权责,强调外包服务监测评估,适时引入第三方检测评估机构识别防范管理风险;鉴于发起行(管理行)与银行机构是利益共同体,则对协同配合,安全内控管理提出更高要求。
(五)鼓励持续提升安全可控能力建设
以不妨碍核心能力建设、积极掌握信息科技关键技术为导向,通过政策指引,鼓励中小银行机构提升科技专业队伍能力建设,逐步提升系统研发能力,加强对信息系统特别是核心业务系统的自主研发。
【银行财务管理信息思考】相关文章:
银行财务管理信息思考论文04-22
银行财务管理信息思考论文提纲08-25
浅析对商业银行信息科技风险管理的思考09-11
银行财务07-16
财务管理银行论文05-17
银行财务论文提纲09-25
银行财务论文范文05-13
银行会计核算财务管理06-17
财务管理银行论文提纲08-30
银行财务管理部述职11-22