信用风险管理服务篇1
abstract:Financialserviceoutsourcinghasbecomeanincreasinglyimportantwayforcommercialbankstoenhancetheircompetition,butthevariousriskshiddenintheserviceoutsourcingactivitieswillaffecttheoutcomegreatly;thereforeitposesaquestionforthedecision-makersofcommercialbankstobeawareandtakeeffectivemeasurestoavoidtherisks.thepaperdiscussestheoriginsandformsoftherisksfromthefoursides:theemployers(banks),theclients(suppliers),interactionbetweenthemandexternalsurroundings,onthebasisofwhichcountermeasuresagainstrisksarediscussedaboutinternalmanagementandexternalsupervisioninserviceoutsourcingofcommercialbanks.
关键词:商业银行;服务外包;风险;对策分析
Keywords:commercialbanks;serviceoutsourcing;risks;analysisofcountermeasures
中图分类号:F83文献标识码:a文章编号:1006-4311(2013)02-0171-03
0引言
近年来,随着金融行业竞争的加剧、服务外包业快速发展,中国商业银行的服务外包业务也加快了发展速度。自90年代商业银行服务外包业务开始发展至今,目前我国五大国有商业银行的软件开发、技术研究、支持推广业务均外包给了隶属于总行的软件开发中心,其他中小商业银行则多采用将信息技术服务外包给专业公司[1]。然而目前国内商业银行服务外包基本限于it服务外包,另外后勤服务属于商业银行的传统服务外包业务,业务形式单一。同时,由于中国商业银行受制于体制弊端、不健全的风险管理控制体系、尚待完善的法律监管等,其服务外包业务在开始后便出现了一个外包业务面狭窄和发展缓慢的状态。
《金融服务外包征求意见稿》将金融服务外包定义为:“受监管实体在持续经营的基础上,利用外包服务商来实施原由受监管实体进行的业务活动。”[2]目前,针对金融服务外包风险管理的研究可归结为定性和定量为主两大类。定性研究着重分析金融服务外包风险类型和相关对策建议,而定量分析更多侧重于风险评价与度量。
定性研究方面:曹淑艳[3]分析了常见的四大金融服务外包业务中存在的风险,并认为四大风险主要来源于:外包合同、商业银行业务变更、银行机密信息外泄、产生依赖性。陈福明[4]针对金融服务外包中存在的外包失败风险、外包收益分配的不确定性风险、信息不对称诱发的道德风险等提出了:提升自我防范、外包商信用评级、完善配套法律框架、利用合同控制外包风险、改善法律制度环境的五大策略。曾康霖[5]认为在外包过程中有3个环节需要注意,即选择外包业务、选择外包商、管理外包双方的伙伴关系,并对健全我国金融服务外包监管制度提出政策建议。
定量研究方面:蒋欢[6]运用战略风险的理论与方法构建了风险评价指标体系,并利用风险矩阵分析法对具体风险事件的重要性进行排序,以此进行风险管理。J·p·morgan[7]运用风险值测定法,将风险对项目的影响分为5个等级。通过定量化的调查,对服务外包过程中的具体风险事件的影响程度和发生概率进行加权平均,得出各项指标的风险发生概率和损失大小,以此控制风险。刘小军等[8]建立了基于完全信息的金融服务外包静态博弈模型,强调了完善金融服务外包配套法律框架及健全相应的监管制度对控制金融服务外包风险的重要性。江畅等[9]运用结构方程模型(Sem),通过因素分析与路径分析相结合的统计方法,对商业银行服务外包过程中存在的风险与绩效之间的关系进行了研究,最终根据所得的风险与绩效的相关性数据,确定主要风险,进行风险管理。
综合以上文献可见,由于中国金融服务外包起步较晚,且仍处于发展阶段,在服务外包风险管理的研究方面以定性研究居多,且多是基于巴塞尔委员会归纳的十种风险进行研究的;定量研究虽较为严谨,但对风险的测量结果仍然难以准确量化,对实际的服务外包活动的参考作用有限;同时,已有研究对金融机构内部治理鲜有涉及,而成功的金融服务外包需达到战略、战术、运营、人员等多方面的融合,其风险管理必将涉及内部治理层面。本文基于不同的风险来源对风险进行分类,进而探讨商业银行如何通过机构内部治理进行风险防范与管理。
1商业银行服务外包的主要风险来源
巴塞尔联合论坛在《金融服务外包》文件中将金融服务外包的主要风险归纳为以下十种:战略风险,声誉风险,合规风险,操作风险,退包风险,信用风险,国家风险,履约风险,监管障碍风险,集中和系统性风险。同时,巴塞尔新资本协议指出了银行业的三大风险(信用风险、市场风险和操作风险)的内容,对各国对银行服务外包风险的界定有着深刻影响。然而,存在的弊端是,巴塞尔协议是从监管者角度定义三大风险的内容的,因此更多地满足了监管当局的实际需要,但不能完全满足银行自身对风险管理的需求。笔者根据商业银行服务外包风险的不同来源,总结出存在于商业银行服务外包中的主要风险,以便进一步有针对性地进行风险防范对策研究。
来自银行的主要风险:战略风险。它是指银行在决定是否要开展服务外包及选择服务外包内容的决策过程中存在的风险。具体引起该风险的因素有:商业银行未准确定位合适的金融服务外包业务,商业银行与外包商的战略目标不一致,商业银行对外包商的了解、检查和监控不力等。
来源于外包商的主要风险:操作风险,信用风险,履约风险。操作风险是外包商因技术故障、操作差错、内控不严导致客户资料保密性受损或无充足的财力来完成外包工作。信用风险是主要由外包商信誉不佳或者经济环境变化等原因引起的外生性风险。履约风险是外包商完成服务外包的能力强弱在银行服务外包执行阶段存在的风险。
来源于双方交互过程的主要风险:合规风险,退包风险。合规风险是指在服务外包的制定、履行合同过程中存在的风险,具体的风险因子包括合同条款的准确度(对归责等情况说明准确)、合同条款的完善度(对违约情况等说明完善)等。退包风险是指银行综合考虑评估后决定中断外包服务的风险,具体风险因子包括继续外包的成本增加、外包商违约中断等。
来源于外部环境的主要风险:监管障碍风险,法律风险,国家风险。监管障碍风险是指由于国家缺乏专门的监管机构监管金融服务外包的各交易环节或其监管力度不够,导致银行在交易过程中存在的风险。法律风险是指由于国家相关金融服务外包法律法规不健全不完善,致使银行在交易过程中存在风险。国家风险是指由于外部市场环境影响,导致商业银行在决策、交易过程中存在风险,具体包括债务国政治、经济、金融及社会环境发生变化,从而可能给债权国金融机构权益造成损失的风险等。
2我国商业银行服务外包风险规避与管理对策
2.1完善商业银行服务外包的内部治理
2.1.1识别最合适的金融外包业务识别最合适外包的业务,确定自身业务经营的核心产品和核心市场,是实现业务外包的前提和基础。商业银行在进行外包决策时,应结合自身机构的现状,包括商业银行的核心竞争力、自身业务水平等,综合考虑银行信息安全、外包商信誉等风险因素,权衡利弊,选择合适的业务进行外包,在保证信息安全、外包商与银行自身都保持正常运作的状况下,求得利益最大化。
2.1.2合理地选择服务商外包商的业务水平直接关系到外包活动的成败,因此服务商的选择对商业银行的管理层来说至关重要。服务外包决策者应听取来自内部或外部法律、人力资源、财务专家的意见,结合自身的业务需求,通过市场调研对外包商信用及技术水平、管理水平评级,做出最优选择。此外,加强与外包商的沟通,使其能正确理解了商业银行的需求,同时管理外包双方的伙伴关系。通过对商业银行与供应商关系的有效管理,同时充分考虑到外包商的利益,促进金融机构与外包商结成稳固的、有弹性的伙伴关系,达到双赢。
2.1.3设立专门的服务外包监管委员会CoSo的报告、澳大利亚证券交易所(australianStockexchange)及相关文献指出了内部控制、公司治理与风险管理三者间的关系:内部控制是公司治理的基础,而风险管理包含内部控制;公司治理是内部控制的环境要素之一,是内部控制的前提,而风险管理包含内部控制;内部控制与公司治理是嵌合关系,而风险管理包含内部控制;风险管理是公司治理的核心,二者相互制衡。笔者认为,风险管理是公司治理的重要部分,应加大风险管理的力度,成立专门的服务外包监管委员会,同时,让董事会了解金融机构风险管理的质量信息,以达到有效的内部控制。
服务外包监管委员会应明确其自身的以下职责:分析外包环境,识别风险因素;对外包商信誉、管理水平、技术水平等进行全面评估;对服务外包过程的各个环节进行监督控制以求在源头上对风险进行识别和控制;掌握与金融服务外包相关的法律条文,保障自身的权益;随时掌握市场的相关信息,并以此及时对外包服务策略进行调整。
2.2加强商业银行服务外包的外部监管商业银行在实施服务外包中,不仅受自身特殊性和内部环境影响,外部环境也将在外包服务中产生关键风险,阻碍金融服务外包的发展。在本文对商业银行服务外包过程中风险分析可以了解到,法律风险和国家风险是两个主要外部影响风险,下文将具体对这两项风险提出相关规避对策和建议。
2.2.1建立和完善相关法律法规在外包过程中,金融机构将自己的部分或全部信息提供给外包服务商开发、运行和管理,其间外包服务商及其员工有获准接触金融机构秘密及机密资料的权力,这样金融机构的商业秘密及其相关信息就极有可能会泄漏给竞争对手,从而使金融机构面临着战略泄漏和知识产权纠纷风险。以欧盟为例,其于1995年通过了《个人数据资料处理和自由转移的命令》(即95指令),使得欧盟会员国纷纷按照该指令对个人资料保护立法进行修订[10]。鉴于此,笔者认为,国内相关部门也应建立和完善相关法律法规,防止信息泄露、合同纠纷和知识产权纠纷等事件,具体需要做到:对商业银行信息资料保密做出具体、严格的规定,如加大泄露信息人员的具体刑责处罚力度,防止银行内部和外包商违背职业道德,泄露信息造成双方物质和声誉的损失;完善商业银行服务外包相关《合同法》规定,使银行能够在如服务质量标准、外包执行程序、款项支付、知识产权规定、后续合同延续等合同内容引起纠纷时受具体的法规保护。
2.2.2建立安全网络并建立危机处理机构从上文的风险分析中我们可以知道,商业银行服务外包过程中也将面临外部市场环境的影响。市场环境的不确定性,如国家风险:由于债务国政治、经济、金融及社会环境等发生变化,以至其不愿意或无力偿还债权国金融机构的贷款本息、国际结算款项,或使投资收益无法汇回国内,而给债权国金融机构权益造成损失的风险[10]。因此,面对在外包过程中,因市场环境变化而产生的突发、偶发事件,如造成商业银行财务风险,国家应采取适当的财政措施,同时建立一个危机处理机构,帮助银行度过危机。上文的内部控制对策中提到,相关部门应掌握市场的实时信息,这不仅仅可以帮助管理者随时做出外包服务的决策,还可以辅助国家危机处理部门提前防范可能发生的风险。
此外,国家应提出相关政策,鼓励商业银行和外包商双方培训内部人员的风险管理、风险应对技能。外部环境存在不确定性,防范风险的同时,相关部门更应该培训能够处理风险、面对风险的人才,配合相关培训机构,共同改善金融服务外包的整体环境。
3结束语
金融服务外包行业目前正处于行业生命周期的高速成长期,商业银行服务外包虽然有利于提高商业银行的核心竞争力,但也会带来失败。因此,加强商业银行对服务外包的风险防范与治理有着深刻的理论背景和现实意义。本文根据商业银行服务外包中存在的风险的不同来源,对风险进行了分类,进而将责任归集,认为商业银行内部治理在服务外包风险管理体系中占据责任主体地位,商业银行应通过识别最合适的的外包业务、选择信誉度高、技术水平高的外包商来做出最有利于银行发展及盈利的战略决策,同时建立银行内部的服务外包监管委员会对金融服务外包的市场环境进行分析、识别风险因素进行全要素全过程的风险管理,及时传达风险管理的质量信息给银行董事会,更好地进行内部控制。同时,本文对商业银行服务外包的外部治理提出了几点建议包括建立和完善相关法律法规和建立安全网络并建立危机处理机构以促进形成良好的金融服务外包发展氛围。总而言之,商业银行服务外包风险管理应将内部治理与外部治理紧密联合,使商业银行和外包商能够相互制衡同时互利共赢,这为金融服务外包风险管理的研究提供了一种新的思路。
参考文献:
[1]李庭辉.加快我国金融服务外包发展的思考[J].新金融,2011,(7):60-63.
[2]巴塞尔银行监管委员会.金融服务外包征求意见稿(中文摘要)[n].李文龙编译.金融时报,2004-10-26(4).
[3]曹淑艳,张莉.商业银行金融服务外包现状与风险监管研究[J].中央财经大学学报,2009,(12):43-47.
[4]陈福明.中国金融服务外包发展风险和策略分析[J].浙江金融,2010,(06):52-53.
[5]曾康霖,余保福.金融服务外包的风险控制及其监管研究[J].金融论坛,2006,(6):20-25.
[6]蒋欢.金融服务外包及其风险研究[D].长沙:湖南大学硕士学位论文,2005:27-37.
[7]吴国新,李元旭.金融服务外包风险识别、度量与规避[J].国际金融,2010,(4):48-53.
[8]刘小军,陈君杰.金融服务外包风险的静态博弈分析及对策[J].广西社会科学,2010,(2):68-71.
信用风险管理服务篇2
关键词:金融外包;风险防范;监管机构
一、金融服务外包研究意义
作为第三产业的服务业,社会影响力越来越大,与人们的生活环境密切相关。而服务外包作为我国服务业发展的一个重要标志,在我国已经呈现加速发展的态势。现代金融服务外包是服务外包产业的重要组成部分。现代的金融服务外包,已经发展到知识处理外包(Kpo)、业务流程外包(Bpo),并开始涉及知识流程外包(Kpo)、第三方管理(tpa)等高端外包形式,各金融机构和服务商也因此受益巨大。市场在壮大,必须要建立健全相关的风险防范机制,灵活、有效的应对各种风险,才能实现良性的发展。受监管实体越来越多的依赖外包业务,可能会影响到其管理风险及服从监管要求的能力,并对受监管实体的可持续性及其履行客户责任的能力产生重大不利影响。鉴于此,应对金融服务外包风险进行了较为深入的研究,其意义在于:系统研究我国金融服务外包的现状和问题,为识别当前我国金融服务外包领域中的风险做好理论铺垫;通过对我国金融服务外包风险防范的研究,为我国金融行业良性发展提出可行性建议。
二、我国金融服务外包风险的具体体现
(一)不良贷款清收外包及其风险
对于金融机构产生的不良个人消费贷款,传统的清收方法成本高、耗时长,部分金融机构将不良贷款外包给专门的清收机构。外包清收的品种包括个人住房按揭贷款、汽车消费贷款、助学贷款、工程机械贷款等,清收的范围主要是可疑类和损失类贷款。目前,清收外包业务中存在的风险主要有两点。一是外包清收资金控制存在风险漏洞。二是客户资料存在一定的安全隐患。
(二)信用卡账单制作外包及其风险
信用卡信息外泄事件现今已经屡见不鲜,美国某信用卡服务商曾受到了黑客攻击,造成近4000万持卡人的个人信息泄漏。据统计,我国至少有一半以上的银行将信用卡账单制作业务外包给第三方的专业机构。外包服务商承担了信用卡账单信函的打印、封装和投递功能。这首先会引发数据外泄的风险。外包服务商配置的打印封装系统往往为分体式,操作人员就有机会接触到打印在纸张上的客户隐私信息。其次,存在着持卡人信息泄露的风险,例如外包服务商有可能将持卡人的个人信息泄露给广告公司。
三、我国金融服务外包风险防范
(一)合理确定金融服务外包的业务范围和服务商
(1)实行业务外包以前,金融机构应制定外包的具体政策和标准,主要包括对哪些业务适合外包做出评估。同时,应该全面考虑业务外包的程度问题、风险集中问题,以及将多项业务外包给同一个服务商时的风险问题。
(2)外包服务商的业务水平直接关系到外包活动的成败。在做出外包决策后,金融机构的管理层应听取来自内部或外部的法律、财务专家、人力资源的意见,然后才可以按照自身的需求去寻找擅长该业务的所有高级公司,通过仔细的调查、分析和比较,选择最合适的外包服务商。此外,也要考虑外包服务商的财务状况。
(二)外包风险内部评估
在开始实施金融服务外包之后,为了确保及时将风险消灭在萌芽之中,或者在风险来临之前获得信号,把风险带来的损失降低最小,必须在外包的过程中时刻对风险进行内部评估。
(1)派专人到外包服务商的公司任职,及时与外包服务商沟通在外包业务中存在的问题,特派员作为一个中间人协调和处理在业务中可能出现的矛盾。这种方法相对比较可靠,但容易受到地域等因素的影响。
(2)缩短金融机构和外包服务商沟通的周期。由于外包业务的关系,外包服务商肯定要定期向金融机构汇报业务报表或有关业务的进展情况。尽量控制一个合理而有效的沟通周期以便于及早发现问题。
(三)完善金融外包监管制度
(1)金融监管当局应采取不同的监管程序。金融监管当局针对不同的业务和不同的外包服务商应采取不同的监管程序。对于明确规定可以外包的业务,只需要经过备案程序即可,而对于规定之外的业务,则应经过监管机构的审查与批准程序。对于不同的外包服务商,也应采取有差别的监管程序。
(2)金融监管当局应进行外包业务的持续监管和系统性风险监管。为了实现持续监管,可借鉴国际监管组织制定的监管原则,要求金融机构在外包合同中制定相关条款,确保监管当局随时可获得监管所需的资料。
(3)金融机构及外包服务商均应制订应急计划。金融机构应该尽力要求外包服务商制订应急计划,保证信息技术的安全性,以及发生意外情况时灾难恢复能力。对业务外包的各种意外情形,外包商应设计必要的应急计划。
四、结论
我国金融外包业务的风险,第一类业务,主要集中在人力风险和管理风险中。需要时刻注意外包服务商的内部人员可能出现的不稳定所带来的风险。第二类业务,即金融机构非核心业务的外包,因其涉及it系人力资源和内部审计等业务,则需要对内部风险中的财务风险、决策风险、管理风险、和外部风险中的技术风险及外包服务商风险加强监控和管理。第三类业务,属于支持性的核心业务,由于触及公司的一些核心内容,对于风险的控制则最为重要,其可能遇到的风险主要在财务风险、决策风险和管理风险的内部风险,以及外部服务商风险的外部风险等方面。
要防范金融服务外包过程中各种风险,我国须重视在岸服务外包市场开发,走有中国特色的“内外结合”发展道路。要想更好地发展中国的金融服务外包需要做到以下几个方面:1.建立并完善外包服务商的资格审查和信用评级制度,以及有效的外包监管制度。2.制定相关法律。完善的法律可以保证外包市场健康有序的发展。3.政府合理规划和建设金融服务外包园区和城市。充分发挥政府前瞻性的长远规划,应将各大城市分开管理,给予差别的政策,以最大程度充分发挥各城市的优势,避免各城市之间的盲目竞争。
[参考文献]
[1]刘莉,吴绒,李楠。金融外包管理。北京:化学工业出版社,2012年.
[2]杨琳,王佳佳。金融服务外包:国际趋势与中国选择。北京:人民出版社,2008年.
信用风险管理服务篇3
随着信息通信技术(iCt)的发展和外包服务的成熟,iCt与供应链的融合越来越紧密。iCt供应链的健康运营和信息安全,对提高供应链节点企业的长期竞争力具有很大的推动作用。但是,由于iCt产品或服务的质量缺陷及供应链的脆弱性,往往导致iCt供应链面临着严峻的信息安全风险的考验。为了加强iCt供应链风险的管理和控制,欧美等国家相继制定了iCt供应链风险管理的标准。目前,关于iCt供应链的相关标准体系有两个:(1)iSo/ieC27000信息安全管理体系中iSo/ieC27036-3,该标准是iCt供应链信息安全指南的国际标准,其明确了供应链关系中信息安全风险的评估和应对措施;(2)2013年美国国家标准与技术研究院(niSt)的联邦信息系统和组织的供应链风险管理实践指导草案Sp800-161。该指导草案是对iSo/ieC27036-3标准的完善,是通过iCt供应链风险具体路径、供应链风险管理指标以及其他风险缓解活动将iCt供应链风险管理整合到联邦组织采购iCt产品或服务的风险管理体系中,并形成iCt供应链风险管理标准Sp800-161。因为Sp800-161主要为联邦机构量身定做,具有一定的局限性,而iSo/ieC27036是具有普适性的国际主流标准,且具有权威性,故我们主要对供应链信息安全标准iSo/ieC27036进行分析研究。
2iSo/ieC27036标准体系概述
iSo/ieC27036标准体系由多个标准族集合而成,用于评价和处理供应商在提供服务或产品过程中可能面临的信息安全风险。该标准的制定起因于B2B商业关系中与信息相关产品所产生的信息风险。随着标准的发展,我们认为,只要组织内、外的两个个体存在相互交流或信息交换的情形,都应遵守该信息安全标准体系的要求;但双方不一定产生交易行为,如组织内员工之间的交流或任务的交接等没有产生交易的行为,也应遵守信息安全标准的要求。下面,我们从iSo/ieC27036标准体系的范围和内容两个方面对iSo/ieC27036标准进行介绍。
2.1iSo/ieC27036标准体系的范围
根据国际标准化组织的文件,iSo/ieC27036标准体系的范围包括:it产品和服务范围、标准内容、信息安全控制和组织间关系四个方面。
2.1.1it产品和服务范围
it产品和服务包括:it外包和云计算服务,其他专业服务(例如,防火墙设置、设备清洁、通讯设备的维护与保养、专家咨询、知识管理、产品或服务的研发、制造、配送及源代码托管服务等),iCt硬件、软件和服务的供应,定制化的产品和服务,以及水电等产品。
2.1.2标准内容
标准覆盖的内容包括:实施iCt产品和服务时,确保组织战略目标和商业需求的信息安全,降低对供应商的过度依赖。
2.1.3信息安全控制
要对信息安全的内容进行控制,例如均衡事前准备与分析过程中信息安全的成本、风险和利益;产品和服务供应商是否符合iSo/ieC27001认证;合作开发和运营中的风险分析、安全设计与识别、资产和事故管理等;信息资产的问责制和责任保护制;明确奖惩及审计制度等。
2.1.4组织间关系
组织生命周期内的组织关系管理,包括:(1)初始业务范围分析,即自产还是外包决策、多元化还是单一产品决策,以及信息安全需求的定义;(2)产品或服务的采购分析,如组织的运营管理;(3)产品或服务的更新;(4)终止或结束业务关系,或者重新定义企业的业务范围等。
2.2iSo/ieC27036标准体系的内容
根据国际标准化组织的相关文件,iSo/ieC27036《信息技术安全技术供应商关系的信息安全》标准体系主要包括四部分:第1部分:概述和相关概念(iSo/ieC27036-1);第2部分:要求(iSo/ieC27036-2);第3部分:iCt供应链安全指南(iSo/ieC27036-3);第4部分:云服务安全指南(iSo/ieC27036-4)。iSo/ieC27036-1和iSo/ieC27036-2是基本规定,iSo/ieC27036-3和iSo/ieC27036-4则是具体操作规范与应用。
2.2.1iSo/ieC27036标准的概念与相关问题
iSo/ieC27036-1对iCt供应链所涉及的各个利益相关者和流程进行了规范和定义。例如,需求者是指从另一方获得产品和服务的利益相关者(iSo/ieC15288:2008,4.1);获取是指获得产品或服务的过程(iSo/ieC15288:2008,4.2);协议是指工作合作中共同确认的条款和条件(iSo/ieC15288:2008,4.4);生命周期是指产品或服务从概念到淘汰的全过程(iSo/ieC15288:2008,4.11);流程是指一组将输入转化为输出的相互关联或相互作用的活动(iSo9000:2005,3.4.1)。其他的相关概念还有,下游组织和上游组织(iSo28001:2007,3.10)、外包、利益相关者、供应商、供应商关系、供应链、系统、信任、可跟踪性等。
通过上述概念,iSo/ieC27036分析了供应商关系中的几个问题:(1)供应商关系形成的动机,iCt产品或服务外包不仅可以使企业集中核心业务,减少成本,提高服务水平,还能及时更新iCt产品或服务。(2)供应商关系的类型,主要包括购买iCt产品、iCt服务和云计算三类。(3)供应商关系中的信息安全风险与管理,包括以契约和协议的形式降低供应商关系的信任风险;以严格的质量审查减少产品或服务缺陷;监控与识别组织治理的流程,上下级的沟通,以及组织成员的社会文化差异。(4)iCt供应链管理问题,即完善iCt产品或服务的标准采购流程,且iCt产品或服务必须达到要求的信息安全水平。
2.2.2iSo/ieC27036标准的结构
由图1可知,iSo/ieC27036提供了在供应商关系中,如何确保信息安全的多层级国际标准体系。iSo/ieC27036-1描述了供应商关系中信息安全管理的范围、概念和问题,为iSo/ieC27036标准体系构建了基本框架。iSo/ieC27036-2指定了供应商关系中基本的信息安全定义、实现、操作、监控、评估、维护和改善等要求。这些要求支持任何采购和供应的产品和服务,如产品的制造或装配、业务流程采购、软件和硬件的组件、知识流程采购和云计算服务等。iSo/ieC27036-3提供了具体实施iCt供应链信息安全管理的标准流程。iSo/ieC27036-4指出云计算在iCt供应链产品和服务中,其应用可能产生的信息安全风险及其管理方法。iSo/ieC27036标准四个部分的关系如图1所示。
3iSo/ieC27036-3——iCt供应链信息安全标准
iCt供应链是iCt产品和服务供应关系的集合,有着多样性的物流和多层次的外包。一般而言,这种网链系统是由组织、人员、流程、产品以及与系统开发生命周期配套的服务和基础设施构成。图2描述了组织、上游供应商和下游需求商组成的iCt供应链。图2中相邻的两个组织,一个称为服务或产品的供应商,另一个称为需求客户。在iCt供应链末端的客户又称为消费者,且消费者一般无法控制上游直接供应商或间接供应商的信息安全要求。
3.1iCt供应链相关风险
iCt供应链中往往因个别供应商产品或服务的信息安全风险,而导致整条iCt供应链的需求方和供应商面临风险。同时,因需求方不能干涉供应商的相关程序,而使得需求方无法通过沟通、监视和加强信息安全管理来控制上游供应商的信息安全风险。然而,供应商和需求方共同面临的信息安全风险,往往直接与控制意识不足、iCt产品或服务的拥有权及责任不清等有关。由于供应链中iCt产品和iCt服务所面临的风险有所不同,我们就iCt产品和iCt服务可能的风险进行如表1和表2的分类描述。
3.2iCt供应链的信息安全要求
需求方之所以接受供应商的产品、配送和服务,是因为需求方期望获得高于自身信息安全水平的标准。这些标准如下所述:
(1)管理影响企业信息连续、信息系统和服务等信息安全的,且与企业环境相关的政策、法律和信息等安全风险。
(2)管理材料和设备的完整性,例如,独特标记和保护标签等。
(3)管理软件和其他电子信息的完整性,例如,哈希函数的加密和数字水印等确保供应商产品不被盗用。
(4)管理配送中产品和服务等设备的物理安全。
(5)管理所有与供应商有商务往来客户、其他客户、与供应商往来的供应商,以及所有需求方的信息安全。
此外,为了合理管理iCt供应链的信息安全,需求方对获得的产品或服务应在组织层面采纳以下标准框架:①建立信息共享和交换的信息安全规章制度;②评价和监督与供应链相关的信息安全风险;③建立iCt供应链协议和信息安全协议的谈判流程;④持续监测并报告iCt供应链内成员的绩效、信息安全和供应商关系的变化。
3.3iCt供应链安全标准的相关内容
在供应链中,供应商和需求方之间信息安全管理和控制的实施,并未使产品或服务的信息安全风险得到充分的管理。需求方对供应商产品和服务的管理是信息安全的关键,因为这需要需求方对供应商的系统具有一定的可见性。同样,供应商也经常因与需求方和供应商的关联性而增加了iCt供应链的信息安全风险。iSo/ieC27036-3为需求方和供应商提供了iCt产品和服务的信息安全风险管理指南,其相关标准条款是基于iSo/ieC27036-2、iSo/ieC15288、iSo/ieC12207和iSo/ieC27002,并为iSo/ieC27036-2提供了相应的管理实践。
除上述相关标准的内容外,iCt供应链标准也有针对it产品和服务的内容,例如,产销监管链、最小特权访问、职责分离、防篡改与证据、持续保护、责任管理、代码评估和验证、安全培训、漏洞评估与响应、定义安全预期、知识产权和责任、避免灰色市场、采购流程管理、质量管理、人力资源管理、项目管理、供应商关系管理、风险和安全管理、配置和变更管理、信息管理、安全架构设计、iCt实施、iCt集成、iCt测试、恶意软件防护、iCt管理、维修和处理。上述iCt供应链特有内容和已有的相关标准共同组成iCt供应链信息安全标准体系,如图3所示。
4我国实施iCt供应链信息安全的建议
由于我国iCt供应链实施背景与欧美等发达国家有所不同,就会导致iCt供应链信息安全的国际标准在国内实施时有水土不服的现象。鉴于此,结合国际标准,我们对国内实施iCt供应链信息安全的管理实践提出以下建议:
(1)融合iSo/ieC27036-3标准和Sp800-161标准。iSo/ieC27036-3侧重从实施流程的角度对iCt供应链中it产品和iCt服务的信息安全风险管理分别进行描述和分析,并指出iCt供应链信息安全的架构设计、实施、集成、测试、恶意软件防护、管理、维修和处理。与iSo/ieC27036-3不同,Sp800-161是从组织层面分析不同组织层次面临的信息安全风险问题。Sp800-161标准从组织内部到外部服务商和系统集成商,再到iCt产品和服务的提供商,通过组织内外的脆弱性分析和威胁因素分析,明确了组织面临的iCt供应链信息安全风险。通过对比iSo/ieC27036-3标准和Sp800-161标准的异同,我们认为我国在实施iCt供应链信息安全风险管理过程中要点、线结合,即:以组织的信息安全管理为点,以整条iCt供应链为线,同时从两个角度全面分析iCt供应链所面临的全部可能的信息安全风险,并对安全隐患加以控制。
信用风险管理服务篇4
关键词国资监管财务风险通信中间件数据引擎
中图分类号:tp31文献标识码:a
0引言
2011年,上海市国资委下发《关于做好2011年度市属国有企业财务监管工作的通知》,要求各出资企业2011年进一步拓展风险预警工作的广度和深度,提高工作成效,提升企业整体竞争力,要求在完善集团层面财务风险预警体系建设的基础上,进一步推进子公司层面财务风险预警体系的全覆盖。
2012年11月4日至5日,浦东新区国资委召开的直属公司三季度财务监管工作例会,指出企业风险预警是2011年财务监管的工作重点之一,重点建立覆盖直属公司及其子企业的财务风险预警体系。
1国资财务风险管理现状
从国内的国资财务风险的发展来看,该领域主要为以财务软件为主,以国资委层面的来进行财务风险管控的较少。从上海市而言,主要是市国资委和区国资委在进行国资监管信息化的工作,针对国资委的日常工作要求,从事前事中事后根据信息系统进行监管。
目前,国内大多数国资监管财务风险预警系统仍然停留在手动信息录入阶段,这种模式下对财务数据的收集完全依赖于手工操作,使用系统的大量时间是财务数据录入,这样的国资监管财务风险预警系统大量的时间花费在财务报表信息录入上。财务数据完全依赖手工输入,不仅操作繁琐、维护工作量大,而且造成财务数据上报不及时,严重滞后于企业的真实情况,使得财务风险预警工作效率低下,无法体现国资财务风险的实际应用价值。针对当前国资财务风险领域存在的问题,近些年出现了通过对财务软件的对接思路,给出了将国资监管财务风险预警系统与企业财务信息系统进行整合,实时获取财务数据的动态数据,自动生成财务风险的应用模式。这种模式将财务数据的手动输入改为实时获取,可以针对企业的面临的风险及时的给出变更风险后续策略。同时对财务风险的进行实时监控,使得国资委人员可以随时了解企业的财务情况,及早发现异常情况和可能出现的问题,最大限度减少国资资产的流失,降低企业运营风险。
2国资监管财务风险预警系统设计
基于iCe通信的财务风险预警系统基于.net、iCe和sqlserver开发,数据采集前端使用.net和iCe开发,数据处理服务端为sqlserver开发。应用服务器使用iiS,aJaX作为异步消息方案,有效地解决了从企业财务机到系统数据库的数据传输问题。该系统有效解决了传统监管系统难以获得有效数据、人力投入多、升级难度大、维护困难的缺陷,充分满足了现代国资委对下属企业的监管需求。本章结合基于iCe的数据引擎的使用,阐述财务风险预警系统结构设计、软件架构设计以及核心子系统的实现。
3国资监管财务风险预警系统系统架构
系统服务器和客户端都运行在internet内,客户端以ie游览系统为主、以windows平台上运行的.net应用程序为辅。客户端通过net使用iCe中间件与服务端通信。此外由于历史原因,大部分的系统工作都是通过ie等游览器完成,主要以c#和windows终端为主。系统的服务器分为两台,一台为web服务器,一台为DB服务器,各自独立,互不干扰,而且服务器之间通过aDo,net交互数据。系统由统一的web服务器通过互联网与外部系统进行交互。
基于iCe的财务风险预警系统软件架构中,系统服务端基于+SQL的框架。程序开发上,主要使用Facade设计模式,系统采用Facade设计模式,四层架构分别是数据层(access)、实体层(Common.Data)、业务层(Rules)、管理层(Facade)、表示层(web层),并提炼出公共部分,可以供各层调用,也可以独立于本系统,在后续的系统中使用。使数据存储和展示都更加便利。表示层通过使用DataGrid控件,使程序的可读性和可维护性更加完善。各种业务功能在业务层管理,大大减小系统耦合度。数据库访问方式或者采用的实体类和数据适配器做映射。
服务端与数据采集工具之间采用iCe进行数据交互。iCe是基于tCp、ip和UDp传输协议开发的,客户端和服务器代码都不需要了解底层的传输机制,服务器的位置只需要保存在iCeGrid的注册表中即可,iCeGrid管理底层的传输机制,记录对应的各节点的信息和服务器端信息,通过指令来打开和关闭通信连接,发送数据等,配置这些信息,那么客户端与服务器之间的交互看上去就会显得十分的简单,服务器可以迁移到不同的物理地址。本文采用了集成第三方的加密设备使客户和服务器之间建立一条安全的通道。
本系统的结构如图1财务数据采集系统结构图所示。主要包含三大部分,数据提取组件、客户端通信应用和数据整合服务。数据提取组件负责将财务数据转换为XmL格式数据和加密,客户端通信应用负责可视化的界面和将XmL数据、压缩和通信。后台服务器的数据整合服务则监听数据的传输,如果有新的任务则对数据库服务器进行数据的插入或更新。
4结论
基于iCe的财务风险预警系统是定位于专业监管国有国资资产的软件。系统基于B/S和C/S混合模式的架构开发保证了系统访问的便利性,又实现了数据通讯的特殊性,满足了监管人对监管者在信息实时性、可追溯性、专业性和正确性的需求。在整个系统开发过程中的主要技术的选择和框架的搭建,对今后系统功能和架构上都预留了很好的发展的空间,也对进一步的系统发展都有着良好的铺垫作用。
参考文献
[1]何峭.国有资产管理工作[Z].东川年鉴,2003.
[2]王长胜.中国电子政务发展报告[R].北京:社会科学文献出版社,2005.
[3]朱毅.浅谈企业内部控制与财务风险管理[J],技术与市场,2010.11.
[4]郝晓燕.实施有效的内部控制,加强财务风险管理[J].时代经贸(中旬刊),2008.S8.
[5]ChrisHart,JohnKauffman,DavidSussman,ChrisUllman.Beginning2.0withC#.wileypublishing,inc,2006.24-78.
[6]anGeLao,GiLBeRtR,JaYB.wiresharkandetherealnetworkprotocolanalyzertoolkit[m].[Si]:Syngress,2006:25-30.
[7]杨放春.异构网络中间件与开放式api技术[m].北京邮电大学出版社有限公司,2007.
信用风险管理服务篇5
【关键词】财富管理商业银行风险管理
一、关于财富管理业务的理解
(一)财富管理的含义
财富管理是指以客户为中心,设计出一套全面的财务规划,通过向客户提供现金、信用、保险、投资组合等一系列的金融服务,将客户的资产、负债、流动性进行管理,以满足客户不同阶段的财务需求,帮助客户达到降低风险、实现财富增值的目的。
财富管理的核心是:以客户为中心,合理分配资产和收入,不仅要考虑财富的积累,更要考虑财富的保障。在外延上可以包括对个人的财富管理和对企业的资产管理。
(二)财富管理业务与一般意义上的理财业务的区别
“财富管理”是近年来在我国金融服务业中出现的一个新名词。“财富管理”,顾名思义,就是管理个人和机构的财富,也可以简单概括为“理财”,但有区别于一般的理财业务。“财富管理”的出现划分了我国金融服务业的两个不同的理财业务时代:一个是早期的理财业务时代;另一个则是经过发展与改进的成熟的理财业务时代——财富管理时代。
一般意义上的理财业务属于早期的理财概念,它的营销模式是以产品为中心,金融机构(主要指商业银行)通过客户分层、差别化服务培养优质客户的忠诚度,从而更好地销售自己的产品;而财富管理业务则是以客户为中心,金融机构(商业银行、基金公司、保险公司、证券公司、信托公司等)根据客户不同人生阶段的财务需求,设计相应的产品与服务,以满足客户财富管理需要,这些金融机构成为客户长期的财富管理顾问。财富管理业务属于成熟的理财业务。
财富管理与一般意义上理财业务的区别主要有三点。
其一,从本质上看,财富管理业务是以客户为中心,目的是为客户设计一套全面的财务规划,以满足客户的财务需求;而一般意义上的理财业务是以产品为中心,目的是更好的销售自己的理财产品。
其二,从提供服务的主体来看,财富管理业务属于成熟意义上的理财业务,它的主体众多,不仅限于银行业,各类非银行金融机构都在推出财富管理业务。一般意义的理财业务多局限于商业银行所提供的传统业务和中间业务。
其三,从服务对象上说,财富管理业务不仅限于对个人的财富管理,还包括对企业、机构的资产管理,服务对象较广;而一般意义的理财业务处于理财业务发展的较早阶段,作为我国商业银行的一类金融产品推出,主要指的是银行个人理财业务产品的打包,服务对象多为私人。财富管理的三个鲜明特征“以客户为中心”、“服务主体众多”以及“服务对象较广”,使它区别于一般意义的理财业务,成为理财服务的成熟阶段。
(三)我国商业银行财富管理业务的主要内容
目前各家商业银行的财富管理业务品种丰富,品牌各具特色,然而服务内容大多类似,主要集中在以下几方面:
首先,账户管理服务。利用银行便利的短期融资条件和先进的电子清算系统,为客户提供存取款、投资、贷款、结算、智能转账等服务。这是财富管理服务中最基本、最简单的内容。对于银行的财富管理客户,这些服务基本上免收服务费用。
账户管理服务是以信用卡作为载体的。现阶段招行“金葵花”理财也是紧密结合其领先国内同业的信用卡的技术优势,同时与网上银行、手机银行、电话银行等多条服务渠道配合推出的。财富卡体现了财富管理业务的第一大要素——资金集中,财富卡的推出一方面推进了财富管理业务的发展,同时也带动了消费、透支等信用卡业务的发展。
其次,交易类服务。这是目前银行用来吸引客户的主要财富管理业务,也是银行财富管理业务中的强项。包括人民币理财业务和外汇理财业务。
(1)人民币理财,是指银行用散户集合的大基数本金购买收益高于普通凭证式国债的记账式国债、政策性银行金融债券、央行票据等收益更高的产品。由于银行在操作上涉及了一些普通投资者无法投资的业务,像银行间债券市场产品等,其预期收益率一般高于传统的短期储蓄存款。中行、工行、建行最近推出的人民币理财产品起点金额都是5万元,收益各有所不同,但利率都高于相应期限的储蓄存款。
(2)银行所拥有的庞大的外汇交易平台和金融衍生业务的交易资格是其能够设计出丰富的外汇理财产品的前提条件。外汇理财产品实质是银行利用衍生产品交易帮助客户提高资产的收益率。对于商业银行来说,外汇理财业务一方面有利于在激烈的同业竞争中留住外汇存款客户;另一方面银行可以充分利用已有技术、人力、客户资源,通过开发外汇理财业务潜力,拓展新的盈利空间。
再次,财富管理顾问服务。银行依靠自身在资讯和人才方面的优势,以及和证券、保险、基金等金融机构的广泛合作,为客户提供理财规划、投资建议、金融咨询等一系列的理财顾问服务。财富管理顾问服务是财富管理的高级阶段。其实施载体是一对一、一站式的客户经理服务。提供的是针对客户的预期收益率和自身的风险承受能力,所量身定做的、独一无二的财富管理计划。财富管理计划中为客户设计的投资产品多为银行特有的金融产品,如储蓄、外汇买卖,以及银行的各种国债、基金、保险产品。
第四,各种优先优惠措施。这是银行为稳定财富管理客户资源、争取更多的客户而设计的附带服务,可以视为餐前小食、餐后甜点。这些服务均是免费提供。作为银行的财富管理客户,一般可以享受到优先办理各项业务,优先提供各种紧俏投资理财产品(如预留国债额度),享受多项业务费用减免等服务。银行的财富管理客户多属于社会中高级收入阶层,这些彰显身份的优惠服务和贵宾待遇对他们来说还是具有相当吸引力的。
最后,企业资产管理业务。目前我国商业银行的企业资产管理业务还处于起步阶段。主要集中在为企业提供日常财务监理、资金调拨等账户管理服务,以及为企业兼并收购、债券及票据发行、基金托管、工程造价咨询等提供顾问服务。
二、对商业银行风险管理的认识
商业银行风险是指在货币经营和信用活动中,由于各种事先无法预料的因素的影响,使银行的实际收益与预期收益发生背离招致经济损失的可能性。商业银行风险管理是银行业务发展和人们对金融风险认识不断加深的产物。最初,商业银行的风险管理主要偏重于资产业务的风险管理,强调保持银行资产的流动性,这主要是与当时商业银行业务以资产业务,如贷款等为主有关。20世纪60年代以后,商业银行风险管理的重点转向负债风险管理方面,强调通过使用借入资金来保持或增加资产规模和收益,既为银行扩大业务创造了条件,但也加大了银行经营的不确定性。20世纪70年代末,国际市场利率剧烈波动,单一的资产风险管理或负债风险管理已不再适用,资产负债风险管理理论应运而生,突出强调对资产业务、负债业务的协调管理,通过偿还期对称、经营目标互相替代和资产分散实现总量平衡和风险控制。80年代之后,随着银行业竞争的加剧、存贷利差变窄、衍生金融工具被广泛使用,银行风险管理有了新的内容。表外风险管理理论、金融工程学等一系列思想、技术逐渐应用于商业银行风险管理,在风险管理方法上更多地应用数学、信息学、工程学等方法,进一步扩大了商业银行风险管理的内涵。1988年,《巴塞尔资本协议》正式出台并不断完善,标志着商业银行风险管理和金融监管理论的进一步完善和统一。
在1997年9月颁布的《有效银行监管的核心原则》中,商业银行风险分类为信用风险、国家和转移风险、市场风险、利率风险、流动性风险、操作风险、法律风险和声誉奉献。其中信用风险、市场风险和操作风险是目前商业银行风险管理的主要对象。
(1)信用风险,是指合同的一方不履行义务的可能性,包括贷款、拆借、贴现及结算等过程中交易对手违约所带来损失的风险。
(2)市场风险,是指市场价格的变化使头寸蒙受损失的风险,包括利率、汇率、价格的波动风险及金融产品价格风险等。
(3)操作风险,是指由于不完善或有问题的内部程序(或规章制度),人员及系统或外部事件所造成损失的风险。
三、财富管理业务中的信用风险管理
商业银行财富管理业务中的信用风险主要来源于信用体系的缺失,导致商业银行无法全面了解客户的资信。因此,建立和完善社会信用体系以及行内的征信系统,是财富管理业务中信用风险管理的有效途径。
从财富管理业务下游的客户端来说,由于财富管理业务中的短期融资业务离不开对个人和企业信用评估,因此要尽快建立完善的社会信用体系和商业银行内部的征信系统,便于商业银行选择优质的目标客户,减少融资性业务的风险。
首先,从整个市场环境上说,要动员整个社会的资源,建立一套系统的自信调查制度和信用评估制度。上海等一些地方近几年对此进行了认真探索,取得了一些积极成果。应当进一步扩大试点城市的范围,由中央银行、财政税务部门和劳动人事部门共同配合,并与保险公司、担保公司合作,建立健全的消费信贷保证体系。通过各种监控保证措施,有效地提高工作效率和防范化解风险。
其次,针对我国缺乏完善的信用体系的现实情况,商业银行应当全面整理客户资料,筹组和完善行内征信系统。商业银行还可以在和非银行金融机构进行兼业合作的同时,做到咨询共
享,利用合作机构的客户信息,扩充行内的征信系统。
四、财富管理业务中的市场风险管理
我国商业银行财富管理业务的风险主要体现在市场风险上。按照有关规定,银行、证券、基金、信托等理财方式都不允许承诺最低收益,而商业银行在最初宣传销售理财产品时,为了吸引客户,所推出的理财产品普遍以保本、收益保底来招揽客户,过于强调对“保底收益”的承诺。这就要求产品发售银行必须在瞬息万变的债市和票据市场上,具有足够的风险承受能力,否则将会使银行被迫承担价格与利率波动的相应风险。同时,产品的同质化与激烈的市场竞争,使得各家银行不可避免地陷入价格战,理财产品的预期收益率不断走高。收益率持续走高的理财产品需要在市场上找到足以支撑的投资组合,如果不能达到预期的收益率,亏损的差额就必须由银行自己承担。
防范和管理市场风险就是要求商业银行注意财富管理业务创新中蕴涵的风险,在经济全球化的背景下,首先将市场风险的监管对象延伸到由本币到外币,由境内到境外,由表内到表外,由简单产品到复杂的衍生产品。其次,在表内业务与表外业务、自营与、前中后台之间建立有效的风险隔离带。特别要将商业银行开立在中央结算公司的自营资金账户和代客理财资金账户实行严格的分离,建立风险防火墙。此外,要建立严格的信息披露制度,及时、准确的向客户披露财富管理业务中各项创新产品可能发生的风险,不要误导客户,只谈收益、不谈风险。
财富管理业务的风险管理除了在业务操作办法和制度中予以防范外,需要从风险总量上予以控制,制定财富管理业务的风险额度管理制度,即确定某项中间业务能够承担的风险总额。该风险额度的确定应当与该业务在一段时期内的收益水平结合起来考虑。
五、财富管理业务中的操作风险管理
目前,我国不少商业银行为了大力发展财富管理业务,对员工下达一定的客户数量指标,按任务完成情况来评判员工的业绩。这就导致商业银行出现了只重客户数量、不重客户质量,大批招揽客户的局面。这从表面上看是扩大了银行的客户群体,增加了银行财富管理业务的市场占有率,实际上却无形中加大了商业银行自身的经营风险。从业务的操作风险角度看,这一业绩考核机制不符合商业银行财富管理业务的长远发展。因此,应当建立一套科学合理的财富管理业绩考核机制。
商业银行的财富管理部门是直接面对客户的营销服务部门,具备资源整合的功能,而不是用来推销某一种或几种特定的产品。因此,银行考核财富管理从业人员的标准不是拉存款数和拉客户数,而应当是销售各种理财产品给银行带来的利润数。这样,财富管理从业人员的自由度比较大,可以根据自己的特长和客户的需要推荐产品,客户的满意度也会比较高。总之,对于银行财富管理部门的考核适宜直接和其效益挂钩,在按照区域、业务和客户三种进行考核方式中选择按照客户贡献度来考核,并同具体业务经办部门区别对待。
此外,商业银行还要加强和完善财富管理业务的风险控制授权制度,建立健全一整套规章制度权限和财富管理业务评审小组。该小组可由相关业务处室的专家组成,对新的财富管理业务的客户进行全面评估与审核,寻求客户利益、特点与产品的最佳结合点,使财富管理业务给银行和客户所带来的风险最小化。特别是对于涉及到有关个贷方面的操作,要充分考虑其从审批、发放、跟踪管理等一系列操作过程中的遵循性要求,努力实现全程电脑规范化管理操作要求。
六、加强兼业合作的风险管理
从业务合作方看,应当加强财富管理业务中的银证、银基、银保、银信等兼业合作的风险管理,建立有效的防火墙。
对于财富管理业务上游的理财产品端来说,其风险主要体现在兼业合作上。
兼业合作一方面带来了财富管理业务的创新,另一方面也加大了风险在各金融机构之间传递的可能性。商业银行应当在兼业合作方之间建立一个防火墙,将风险有效隔离在商业银行之外,从而有效的预防跨行业风险传染。
(1)银证、银保联合,以及银行同基金、信托合作开发理财产品时,首先应当充分了解、掌握证券市场、保险市场、信托市场本身所具有的风险。
(2)其次,要全面了解作为合作方的有关证券公司、保险公司、基金管理公司、信托公司的资信,以及具体的经营、盈利情况。
(3)再次,要对合作事宜进行深入的可行性研究,充分考虑合作时银行自身所能承受的风险和所期望的利润。
(4)在进行兼业合作之前,应当明确商业银行在合作中的地位,规定商业银行在合作中的职责,同时明确规定财富管理业务产品出现意外时商业银行的责任有哪些,防止发生跨行业风险传染。
(5)财富管理业务的兼业合作还应当重视合作中和合作后的监管,监督资金的流向,防止合作方挪用资金,阻止合作方违规操作;同时通过事后监管,了解客户对理财业务的反馈意见,为兼业合作的继续开展打下基础。
我国商业银行的财富管理业务才刚刚起步,面临着基金、证券、保险、信托等非银行金融机构激烈的市场竞争,存在着一些问题和困难。我国商业银行应当充分认识并发挥自身的优势,树立正确的市场定位,从客户价值最大化出发,和非银行金融机构进行深层次合作,共同设计财富管理业务产品,注重风险防范,推行财富管理中心加财富管理专家的服务模式,实行差别化服务,分阶段、稳步的推进财富管理业务的健康发展。
信用风险管理服务篇6
关键词:农村信用社;小额信贷;风险管理
1概述
我们国家的农村信用社是经中国人民银行批准设立的,由社员入股组成,实行民主管理,旨在为社员提供金融服务的农村合作金融机构。它的财产、合法权益和其合法的业务活动都受到国家法律的保护。农村信用社的主要任务包括农村闲散资金筹集,为农户和农村经济发展提供金融服务等。在它的诸多职能中,一项很重要的服务就是提供小额信贷。小额信贷是一种以城乡低收入阶层为服务对象的小规模的金融服务方式。小额信贷的目的是通过金融服务为贫困农户或微型企业提供自我就业和自我发展的机会,促进其实现自我生存和发展。它既是一种金融服务的新思路,又是一种扶贫的重要方式。
2农村信用社小额信贷的风险
农村信用社作为我国银行业的重要组成部分,其存在的风险尤为突出。在过去的几十年里,农村信用社的管理多以自发形式存在,内部管理不完善,规章制度建设薄弱,基层社执行能力差,有禁不止、有令不行等现象层出不穷,再加上农村信用社核查监督能力有限,使得大量风险、隐患长期存在,已经成为农村信用社可持续发展的主要障碍。事实上,农村信用社和大多数的商业银行有相似之处,都面临着信用风险、利率风险、操作风险等诸多风险。其中,信用风险是由于借款人的不良表现造成。借款人因为不愿意按照合同规定履行其职责,或者没有还款能力,从而导致银行遭受损失。农村信用社主要是面向农村的金融机构,由于受社会文化因素的影响,在人口流动性小的农村,大多数贷款农户都出于“面子”的考量不愿拖欠贷款,然而仍然存在一些原因导致农户不能及时、足额地偿还贷款,如天灾、减产等。利率风险主要是指由于利率的变化导致的资产回报率降低或负债增加的风险。这种风险主要针对利率敏感型资产和敏感型负债而言,它直接影响利差,从而影响盈利。操作风险,即贷款操作不当引发的风险,是农信社体制变迁长期积累的结果,也是目前农村信用社在贷款业务管理中存在的最大风险。操作风险的产生与农信社缺乏稳定的内外经营环境有一定的关系,但更多的是主观因素,往往由于信贷人员对操作风险的认知水平有限、不能严格遵守规章制度和操作流程等原因产生。
3农村信用社小额信贷的风险管理
针对以上这些方面的风险,本文主要针对信用风险、利率风险和操作风险这三个方面进行风险管理措施的介绍。
3.1农村信用社小额信贷信用风险管理
信用风险的问题一直困扰着农村信用社的小额贷款,如何实现对小额贷款的信用风险管理,可以从以下几个方面着手:首先,可以通过正确的舆论导向,来提高农户的信用意识,大力弘扬信用观念。小额贷款的发放是基于农户的信用来进行的,所以为了降低信贷风险,就必须建立良好的信用环境,提高农户的信用意识。其次,建立激励机制,鼓励农户自觉维护自己的信用。具体说来,可以建立一种贷款到期(或即将到期)通报制度,通过舆论压力来促使农户及时偿还贷款;还可以根据不同信用等级的农户设置不同的贷款利率,信用等级越高利率越低。还有,在追债方面必须加大措施,对不守信用的人,要采取有效的手段进行制裁,让不讲信用的人没有立足之地。此外,在要求贷款人建立信用等级的基础上,农村信用社本身也应该建立良好的信誉。具体说来,不能只要求贷款人守信用,信用社本身也应该讲信用,对农户承诺的信贷资金要按规定及时发放。
3.2农村信用社小额信贷利率风险管理
利率风险主要是由于利率的波动产生的。对于农村信用合作社而言,在利率风险管理过程中,可以从以下几个方面着手应对:3.2.1建立政策性的农业保险制度通过这种方式可以将自然灾害经济损失转嫁给社会,这种方式也比较符合风险分摊的互助原则。3.2.2建立小额信贷的风险补偿机制风险补偿主要包括两个方面:内部补偿和外部补偿。前者是通过提高贷款利率来实现;后者是通过建立地方财政补偿机制,由政府提供部分风险补偿。3.2.3加强经营管理工作,最大限度降低小额信贷的经营管理成本从资源配置、操作规程、定期定点服务三个方面提高工作效率,降低经营管理成本。3.2.4通过对经营管理成本的核算,建立利率定价机制即确定后的小额信贷执行过程中的基本利率,要至少能够覆盖成本和损失部分。3.3农村信用社小额信贷操作风险管理操作风险与人的意识和行为不可分割,受贷款人综合素质、业务技能和操作方式等影响,而这些影响因素均具在一定程度上可控。因此要降低和避免农村信用社小额信贷操作风险,可以从以下几个方面着手:3.3.1强化人员管理,提高综合素质防范信贷操作风险最为首要的问题就是加强人的管理。对高管而言,要认清政策形势,把握贷款投向,优化信贷结构,把贷款安全摆在突出位置;对于信贷员,则要选拔一批政治强、业务精、作风正的优秀人才,强化信贷员资格评审,分级管理。3.3.2要落实信贷管理制度,健全操作风险管理体系从防范内部风险出发,建立一套完整的信贷规章制度,明确部门岗位职责,分解、识别、防范岗位操作风险,在绩效考评体系中增加操作风险指标权重,建立风险防范长效机制,构建多层次、多目标、多环节的操作风险控制体系。3.3.3丰富管理手段,规范操作流程根据农信社自身特点进一步梳理和再造各项业务管理流程,规范运作,严格执行,真正使每笔贷款、每个操作环节都有人负责,确保制度无漏洞,执行无弹性,严密防范操作风险的发生。
4总结
信用风险管理服务篇7
改革开放三十年,我国银行业经历了重大制度变革,从中国人民银行单一银行体制到人民银行加专业银行的体制,再发展到中央银行、监管当局、国有商业银行、政策性银行、全国性股份制商业银行、地方中小商业银行、村镇银行布局完整的现代银行体系。金融全球一体化,金融产品与服务市场化对我国商业银行管理提出了更高要求,从以往重点追求规模和市场份额,逐渐过渡到通过优质的客户服务创造价值,商业银行更加注重管理精细化,竞争差异化,更加关注企业核心竞争力培养。在现代高新it技术迅猛发展推动下,商业银行已将信息化作为企业重要发展战略和推动力之一。纵观当前国际金融形势,从2008年以来金融动荡不断,美国次级债、欧债、美债等热点问题此起彼伏,被西方经济界推崇的凯恩斯主义仿佛束手无策,按照哈耶克的周期理论全球经济面临着衰退周期风险。国内商业银行在资本约束、流动性管理、去杠杆化方面面临挑战,而各商业银行在财务管理、风险管理、决策支持领域的技术进步使管理信息化成为有效提升经营管理水平和抵御风险的重要手段。
一、商业银行管理信息化范畴
如何确保经营管理与风险管控的先进和高效是我国商业银行面临的主要挑战之一。经营管理能力是商业银行业务运营与创新发展的核心能力之一。我国商业银行管理在精细化、科学化等诸多方面与国际化的现代商业银行存在一定差距,在实践中需要将管理信息化作为有力抓手和手段,健全和完善银行内部的管理控制机制,实现资源的有效配置、管理流程的全面落实、风险管理的全面覆盖、业务经营的合法依规、信息披露的真实可靠,为经营管理提供优质服务和支持,从而提高商业银行的市场竞争力。按照波士顿咨询(BCG)的观点,现代商业银行的it信息化建设涵盖了交付渠道、客户管理、产品管理、财务管理、风险管理、决策支持等六个领域,各家银行的it应用架构基本可以包括以上几个方面的功能要求。从商业银行实际运作情况来看,属于管理信息化业务范畴的领域则包括了财务管理、风险管理、管理决策几个方面,简要分析如下:
(一)财务管理商业银行财务管理的业务范围包括了会计管理、财务管理、管理会计、资产负债管理、信息统计等,其中:1.会计管理:根据会计准则的要求,建立银行适用的会计政策框架,制定会计核算办法、业务管理办法、细则和制度,以及管理会计总账、会计报表。2.财务管理:包括大额支出管理、财务费用报销、应收、应付、固定资产管理等。3.管理会计:依托管理会计方法,推进以经济利润为核心、以产品为基点的财务预算和绩效考核体系,采用Ftp、预期损失、成本分摊、资本分配等管理会计的基本方法论,推动银行盈利水平的扎实提高。4.资产负债管理:加强本外币流动性风险管理,完善资产负债日常报告体系,通过资产负债日常与专题等系列报告制度,及时分析银行业务经营中面临利率风险、汇率风险、流动性风险状况,并结合外部金融市场形势,分析利率、汇率变动趋势,提出资产负债组合结构优化调整方案和相关风险管理对策,为银行经营管理决策提供参考意见。5.信息统计:包括人民银行、银监会等监管机构的统计报送,以及内部管理报表的统计分析工作。
(二)风险管理近年来,各银行在风险方面的认知逐渐加强,特别是2008年爆发全球性的金融危机以来,全面风险管理成为各银行的发展方向,全面风险管理是指围绕各银行自身发展战略及风险偏好,建立和完善覆盖所有主要风险的全面风险管理体系,全面、有效地实施风险管理,确保发展战略、经营目标的实现。根据全面风险管理要求,银行应建立和完善风险管理技术体系,在实践经验和科学理论有效结合的基础上设计和开发各类技术工具,并将其应用于包括风险识别、风险计量、风险监测、风险缓释、风险控制和风险组合管理在内的全面风险管理过程。通过风险识别机制,定期对所面对的各类风险进行全面识别,并在各类风险中认定主要风险,对于主要风险,在相应的领域引进和利用领先技术,在管理实践和科学理论的基础上,通过定量和定性结合的分析方法,设计开发风险计量工具,并将其有效应用于业务实践。中国银监会在下发的资本充足率监督检查指引中,也明确提出应覆盖以下各类风险:(1)新资本协议第一支柱中涉及且已覆盖的信用风险、市场风险和操作风险;(2)新资本协议第一支柱中涉及但没有完全覆盖的风险,如集中度风险;(3)新资本协议第一支柱中未涉及的风险,如银行账户利率风险、流动性风险、声誉风险、战略风险和对商业银行有实质性影响的其他风险;(4)外部经营环境引发的风险。
(三)管理决策依托数据仓库和Bi应用技术,实现数据的集中共享并逐步打造银行数字化管理能力为目标,以规范的形式集中全行的信息资源,形成数据在银行全辖范围的一致有效和充分共享,为银行经营管理科学化提供基础信息,满足多种业务分析的需求。发挥数据仓库优势,从支持监管报送、丰富统计分析应用、加强数据服务、应用数据接口支持等方面开展工作,支持银行业务管理、客户关系管理、市场营销、经营决策。特别是在商业银行中充分利用数据仓库和数据挖掘技术建立客户关系管理应用,为商业银行决策提供准确的客户分类、忠诚度、盈利能力及潜在客户等有用信息,指导制定最优的银行营销策略、降低银行运营成本、增加利润、加速我国商业银行的健康发展。
二、银行管理信息化的路径选择
(一)商业银行管理信息化目标架构鉴于商业银行管理信息化的业务范畴,建议目标架构并具备必须的it能力,从而使管理能力得以提升(图略)
(二)商业银行管理信息化路径选择各商业银行在实现了系统大集中工作之后,在统一的业务数据基础上开始研究和加快实施管理信息化的应用工作。结合国外最佳实践,商业银行的管理信息化建设应选择以下建设路径:1.确定目标架构。价值链是将市场、客户、企业相互关联的纽带,自从美国著名战略管理学家迈克尔•波特(michaele.porter)首次提出价值链理论以来,已被世界各国商业银行作为挖掘企业竞争优势的有效工具。管理信息化目标架构以商业银行的业务价值链为主线,将业务范畴内的应用模块按照逻辑的方式组织安排在价值链的各组成部分内。整个架构基本覆盖未来一段时间内支持银行业务发展所需要的内部管理能力,可在未来作为规划及建设的指引。2.设计迁移计划。为完成向整体目标架构的迁移,应该对银行的现有管理能力进行健康状况检查,结合目标架构设计迁移计划,并考虑业务发展的优先性以及架构的相互依赖性制定实施方案。3.业务价值量化评估。根据迁移计划,运用业务价值评估模型,对项目进行成本收益评估,主要考虑项目产生收益(收入收益、成本收益、风险管理收益)、成本(it投入成本、人力成本)、净现值(npV)计算,进行业务优先级排序,明确银行在短、中、长期应考虑建设的管理信息化项目。4.组织实施。按照项目优先级排序,分阶段组织实施管理信息化项目,并在实施中根据业务变化,及时进行动态重检和调整。在短期实现基本的现代化银行管理模式,中期实现支持前台业务单元为客户提供灵活的差别化产品和服务,长期发展全方位的管理能力。
(三)管理信息化的应用分析1.围绕新资本协议合规工作实现风险管理信息化。巴塞尔协议的合规实施是银行风险管理信息化的必由之路:(1)1988年7月在瑞士“巴塞尔委员会”通过了第一版的《巴塞尔协议》即Baseli;(2)2004年6月《新巴塞尔资本协议》即Baselii面世;(3)2007年2月28日中国银监会下发了《中国银行业实施新资本协议指导意见》,要求大型商业银行必须实施新资本协议;(4)2010年9月《巴塞尔协议iii》达成共识;(5)2011年8月15日中国银监会了《商业银行资本管理办法》公开征求意见稿,按照银监会的初步计划,将会于2012年1月1日开始推行修订后的《商业银行资本管理办法》。商业银行的风险管理工作在当前的经济金融形势下,需要切实加强风险技术水平,可以围绕新资本协议合规工作以及中国银监会正在修订的《商业银行资本管理办法》这两项工作展开。按照新协议和监管当局的要求,在识别认定主要风险的基础上,计算资本充足率必须对信用风险、市场风险和操作风险进行统筹考虑。信用风险要实现权重法、初级内部评级法或高级内部评级法(内评法下未覆盖的采用权重法),市场风险要实现标准法或内部模型法,操作风险要实现标准法、基本指标法。根据国内银行现状,信用风险内部评级法普遍采用初级内部评级法,市场风险普遍采用标准法,操作风险采用标准法。商业银行的风险管理,绝不仅仅只是为了满足巴塞尔新协议的要求和监管当局的监管要求,更是商业银行自身内部管理的迫切需求。通过建立完善的全面风险管理系统及信用风险计量工具,包含信贷风险识别、信贷风险量化以及信贷风险控制,可以正确判断风险类型,准确寻找风险根源,科学的量化风险,衡量各种风险导致损失的可能性大小以及损失发生的范围和程度,从而采取有效措施减少风险暴露、将风险损失控制在可承受的范围内。通过实现风险加权资产计量及风险信息披露,可以及时有效地为高级管理层提供准确量化的定量数据,为高层决策提供支持依据。风险数据集市是风险数据治理的载体。通过建设风险数据集市,推动各银行的数据治理,改善数据质量,以提高风险管理的精确性、敏感性和标准化程度。2.结合新会计准则实施,推进财务管理信息化。商业银行在陆续完成财务会计、管理会计体系建设基础上,下一步可以结合新会计准则实施进一步提高财务管理能力。早在2006年财政部颁发新《企业会计准则》,2007年银监会下发《中国银监会关于银行业金融机构全面执行〈企业会计准则〉的通知》,要求上市银行执行新会计准则。新会计准则从基本观念到具体处理方式,从确认计量方法到信息披露要求,从价值重估到风险管理,都表明会计的职能不仅仅是事后的总结和反映,而是延伸贯穿至业务经营过程之中。实施新会计准则,不仅是为了适应监管和上市信息披露要求,也是为了推动银行会计管理更加规范化、风险管理更加精细化、业务经营管理水平更上台阶。新会计准则的实施是一项复杂的系统工程,涉及各项业务、各个层次。按照银监会的要求,执行新会计准则,必须与完善各项业务流程、改善会计信息处理系统、强化风险识别和管理措施、提高风险管理水平等有机结合起来,确保执行新会计准则后的会计信息质量明显提高。各商业银行应当确定新会计准则全面实施的总体目标,建立适应实际的、符合新准则要求的财务会计报告体系,对现有业务系统和财务报表和分析系统进行改造,在业务流程和账务核算层面实施新准则,同时实现财务预算、分析、管理和考核评价的全面信息化,充分满足上市银行的信息披露要求。3.利用数据仓库技术,提高决策支持能力。数据仓库是管理信息和分析型应用的有效方式,数据仓库技术与其他软件有机结合,可以支持银行进行风险管理、绩效评估、盈利分析和客户关系管理,衡量各类客户的需求、忠诚度、满意度、赢利能力、潜在价值、信用度和风险度等指标,为银行识别不同的客户群体,确定目标市场,实施差异化服务的策略提供技术支持,为经营管理、决策分析提供准确、一致的量化信息。进入新世纪以来,国内银行业开始引进数据仓库技术,利用数据仓库进行数据整合,实现各种报表、管理型分析和客户关系管理。通过几年数据仓库系统的建设,国内银行业在数据仓库上直接或间接支持的应用日益广泛。根据统计,截止2010年,国内银行在数据仓库的应用总计超过40个。决策支持应用主要集中在客户关系管理、运营管理、风险管理、资产负债管理和绩效管理五个方面,实现以下几个方面的需求:一是监管需求,比如银监会1104监管报表、人民银行集中金融统计、人行征信、人行反洗钱等;二是信息披露需求,目前国内银行相继上市,信息披露需要集中的统计信息;三是风险管理需求,为适应新Baselii的要求,国内一些银行已初步尝试实现内部评价法、资本金管理、违约概率模型和市场风险等;四是资产负债管理需求,各个商业银行相继实现资产负债管理应用;五是客户关系管理需求,利用数据挖掘支持客户营销;六是决策分析需求,业务报表、Kpi、平衡计分卡、绩效考核等。伴随着金融脱媒,互联网技术发展,以客户为中心的服务创新要求,商业银行决策支持应用在现阶段对于基于数据仓库的数据挖掘、信息服务提出更高要求。商业银行已经从行动上开始推行以客户为中心的先进经营理念,但要真正落实这一理念,商业银行必须加快客户关系管理进程,加强数据挖掘等高端技术的应用,增强商业银行开发、创新和营销金融产品的能力,推动银行整体的信息化。我国商业银行在推行中应逐步推动数据仓库与综合业务处理系统、管理信息系统的整合,实现数据管控和数据服务,创造数据、信息的商业价值,带动产品创新和服务创新。
三、主要策略建议
(一)管理信息化需要银行高层重视和支持管理信息化工作是从深层面提升银行的综合实力,一是需要银行内部组织架构、管理机制与之相适应,二是需要银行上下统一认识,在人力资源、财务资金上大力投入,只有银行董事会和经营管理层的有力支持才能够确保工作的顺利开展,取得预期效果。
(二)加大科技创新力度管理信息化建设方兴未艾,具备可持续发展能力,科技创新能力从一定层面反映了商业银行的经营决策能力和竞争能力,在银行的财务管理、风险管理和决策支持能力等领域,发挥管理信息化优势,强化科技创新能力已成为必然趋势。
(三)管理信息化需要统一规划,分步实施管理信息化不能将系统建设成为信息孤岛,需要统一的数据架构和应用架构支持,需要统一的应用规划和体系建设,只有这样才能避免出现系统实施各自为政、竖井式系统、系统过度条线化、小而全的状况。(四)管理信息化需要培养专业化的建设队伍管理信息化需要既懂技术又懂业务的复合性人才,需要财务、风险、商业智能技术、数据分析等方面的专业人员,所以要加大所需各类人才引进培养力度,通过专业化的培训和学习,提升团队成员的专业化能力,逐步培养一支过硬的队伍,才能够真正适应和满足建设的需要。
信用风险管理服务篇8
论文摘要:文章首先分析了信息安全外包存在的风险,根据风险提出信息安全外包的管理框架,并以此框架为基础详细探讨了信息安全外包风险与管理的具体实施。文章以期时信息安全外包的风险进行控制,并获得与外包商合作的最大收益。
1信息安全外包的风险
1.1信任风险
企业是否能与信息安全服务的外包商建立良好的工作和信任关系,仍是决定时候将安全服务外包的一个重要因素。因为信息安全的外包商可以访问到企业的敏感信息,并全面了解其企业和系统的安全状况,而这些重要的信息如果被有意或无意地对公众散播出去,则会对企业造成巨大的损害。并且,如若企业无法信任外包商,不对外包商提供一些关键信息的话,则会造成外包商在运作过程当中的信息不完全,从而导致某些环节的失效,这也会对服务质量造成影响。因此,信任是双方合作的基础,也是很大程度上风险规避的重点内容。
1.2依赖风险
企业很容易对某个信息安全服务的外包商产生依赖性,并受其商业变化、商业伙伴和其他企业的影响,恰当的风险缓释方法是将安全服务外包给多个服务外包商,但相应地会加大支出并造成管理上的困难,企业将失去三种灵活性:第一种是短期灵活性,即企业重组资源的能力以及在经营环境发生变化时的应变能力;第二种是适应能力,即在短期到中期的事件范围内所需的灵活性,这是一种以新的方式处理变革而再造业务流程和战略的能力,再造能力即包括了信息技术;第三种灵活性就是进化性,其本质是中期到长期的灵活性,它产生于企业改造技术基本设施以利用新技术的时期。进化性的获得需要对技术趋势、商业趋势的准确预测和确保双方建立最佳联盟的能力。
1.3所有权风险
不管外包商提供服务的范围如何,企业都对基础设施的安全操作和关键资产的保护持有所有权和责任。企业必须确定服务外包商有足够的能力承担职责,并且其服务级别协议条款支持这一职责的履行。正确的风险缓释方法是让包括员工和管理的各个级别的相关人员意识到,应该将信息安全作为其首要责任,并进行安全培训课程,增强常规企业的安全意识。
1.4共享环境风脸
信息安全服务的外包商使用的向多个企业提供服务的操作环境要比单独的机构内部环境将包含更多的风险,因为共享的操作环境将支持在多企业之间共享数据传输(如公共网络)或处理(如通用服务器),这将会增加一个企业访问另一企业敏感信息的可能性。这对企业而言也是一种风险。
1.5实施过程风险
启动一个可管理的安全服务关系可能引起企业到服务外包商,或者一个服务外包商到另一个外包商之间的人员、过程、硬件、软件或其他资产的复杂过渡,这一切都可能引起新的风险。企业应该要求外包商说明其高级实施计划,并注明完成日期和所用时间。这样在某种程度上就对实施过程当中风险的时间期限做出了限制。
1.6合作关系失败将导致的风险
如果企业和服务商的合作关系失败,企业将面临极大的风险。合作关系失败带来的经济损失、时间损失都是不言而喻的,而这种合作关系的失败归根究底来自于企业和服务外包商之间的服务计划不够充分完善以及沟通与交流不够频繁。这种合作关系在任何阶段都有可能失败,如同其他商业关系一样,它需要给予足够的重视、关注,同时还需要合作关系双方进行频繁的沟通。
2信息安全外包的管理框架
要进行成功的信息安全外包活动,就要建立起一个完善的管理框架,这对于企业实施和管理外包活动,协调与外包商的关系,最大可能降低外包风险,从而达到外包的目的是十分重要的。信息安全外包的管理框架的内容分为几个主体部分,分别包括企业协同信息安全的外包商确定企业的信息安全的方针以及信息安全外包的安全标准,然后是对企业遭受的风险进行系统的评估.并根据方针和风险程度.决定风险管理的内容并确定信息安全外包的流程。之后,双方共同制定适合企业的信息安全外包的控制方法,协调优化企业的信息安全相关部门的企业结构,同时加强管理与外包商的关系。
3信息安全外包风险管理的实施
3.1制定信息安全方针
信息安全方针在很多时候又称为信息安全策略,信息安全方针指的是在一个企业内,指导如何对资产,包括敏感性信息进行管理、保护和分配的指导或者指示。信息安全的方针定义应该包括:(1)信息安全的定义,定义的内容包括信息安全的总体目标、信息安全具体包括的范围以及信息安全对信息共享的重要性;(2)管理层的目的的相关阐述;(3)信息安全的原则和标准的简要说明,以及遵守这些原则和标准对企业的重要性;(4)信息安全管理的总体性责任的定义。在信息安全方针的部分只需要对企业的各个部门的安全职能给出概括性的定义,而具体的信息安全保护的责任细节将留至服务标准的部分来阐明。
3.2选择信息安全管理的标准
信息安全管理体系标准BS7799与信息安全管理标准iS013335是目前通用的信息安全管理的标准:
(1)BS7799:BS7799标准是由英国标准协会指定的信息安全管理标准,是国际上具有代表性的信息安全管理体系标准,标准包括如下两部分:BS7799-1;1999《信息安全管理实施细则》;BS7799-2:1999((信息安全管理体系规范》。
(2)iS013335:iS013335《it安全管理方针》主要是给出如何有效地实施it安全管理的建议和指南。该标准目前分为5个部分,分别是信息技术安全的概念和模型部分;信息技术安全的管理和计划部分;信息技术安全的技术管理部分;防护和选择部分以及外部连接的防护部分。3.3确定信息安全外包的流程
企业要根据企业的商业特性、地理位置、资产和技术来对信息安全外包的范围进行界定。界定的时候需要考虑如下两个方面:(1)需要保护的信息系统、资产、技术;(2)实物场所(地理位置、部门等)。信息安全的外包商应该根据企业的信息安全方针和所要求的安全程度,识别所有需要管理和控制的风险的内容。企业需要协同信息安全的外包商选择一个适合其安全要求的风险评估和风险管理方案,然后进行合乎规范的评估,识别目前面临的风险。企业可以定期的选择对服务外包商的站点和服务进行独立评估,或者在年度检查中进行评估。选择和使用的独立评估的方案要双方都要能够接受。在达成书面一致后,外包商授予企业独立评估方评估权限,并具体指出评估者不能泄露外包商或客户的任何敏感信息。给外包商提供关于检查范围的进一步消息和细节,以减少任何对可用性,服务程度,客户满意度等的影响。在评估执行后的一段特殊时间内,与外包商共享结果二互相讨论并决定是否需要解决方案和/或开发计划程序以应对由评估显示的任何变化。评估所需要的相关材料和文档在控制过程中都应该予以建立和保存,企业将这些文档作为评估的重要工具,对外包商的服务绩效进行考核。评估结束后,对事件解决方案和优先级的检查都将记录在相应的文件中,以便今后双方在服务和信息安全管理上进行改进。
3.4制定信息安全外包服务的控制规则
依照信息安全外包服务的控制规则,主要分为三部分内容:第一部分定义了服务规则的框架,主要阐明信息安全服务要如何执行,执行的通用标准和量度,服务外包商以及各方的任务和职责;第二部分是信息安全服务的相关要求,这个部分具体分为高层服务需求;服务可用性;服务体系结构;服务硬件和服务软件;服务度量;服务级别;报告要求,服务范围等方面的内容;第三部分是安全要求,包括安全策略、程序和规章制度;连续计划;可操作性和灾难恢复;物理安全;数据控制;鉴定和认证;访问控制;软件完整性;安全资产配置;备份;监控和审计;事故管理等内容。
3.5信息安全外包的企业结构管理具体的优化方案如下:
(1)首席安全官:CSo是公司的高层安全执行者,他需要直接向高层执行者进行工作汇报,主要包括:首席执行官、首席运营官、首席财务官、主要管理部门的领导、首席法律顾问。CSo需要监督和协调各项安全措施在公司的执行情况,并确定安全工作的标准和主动性,包括信息技术、人力资源、通信、法律、设备管理等部门。
(2)安全小组:安全小组的人员组成包括信息安全外包商的专业人员以及客户企业的内部it人员和信息安全专员。这个小组的任务主要是依照信息安全服务的外包商与企业签订的服务控制规则来进行信息安全的技术性服务。
(3)管理委员会:这是信息安全服务外包商和客户双方高层解决问题的机构。组成人员包括双方的首席执行官,客户企业的Cio和CSo,外包商的项目经理等相关的高层决策人员。这个委员会每年召开一次会议,负责审核年度的服务水平、企业的适应性、评估结果、关系变化等内容。
(4)咨询委员会:咨询委员会的会议主要解决计划性问题。如服务水平的变更,新的技术手段的应用,服务优先等级的更换以及服务的财政问题等,咨询委员会的成员包括企业内部的ti’人员和安全专员,还有财务部门、人力资源部门、业务部门的相关人员,以及外包商的具体项目的负责人。
(6)安全工作组:安全工作组的人员主要负责解决信息安全中某些特定的问题,工作组的人员组成也是来自服务外包商和企业双方。工作组与服务交换中心密切联系,将突出的问题组建成项目进行解决,并将无法解决的问题提交给咨询委员会。
(7)服务交换中心:服务交换中心由双方人员组成,其中主要人员是企业内部的各个业务部门中与信息安全相关的人员。他们负责联络各个业务部门,发掘出企业中潜在的信息安全的问题和漏洞,并将这些问题报告给安全工作组。
(8)指令问题管理小组:这个小组的人员组成全部为企业内部人员,包括信息安全专员以及各个业务部门的负责人。在安全小组的技术人员解决了企业中的安全性技术问题之后,或者,是当CSo了关于信息安全的企业改进方案之后,这些解决方案都将传送给指令问题管理小组,这个小组的人员经过学习讨论后,继而将其到各个业务部门。
(9)监督委员会:这个委员会全部由企业内部人员组成。负责对外包商的服务过程的监督。
信用风险管理服务篇9
[关键词]金融风险管理服务创新
国际金融危机的阴霾仍然没有彻底消散的今天,金融企业作为金融危机的最直接受害者,加强金融管理,不断创新服务方式手段,对于提高金融业抵御风险的能力,确保国家金融安全,更好地服务经济社会发展具有十分重要而现实的意义。
一、金融业面临的主要金融风险分析
金融是国家经济的命脉与核心,在资源配置中起着主导作用。准确把握金融业所面临的风险,进一步强化金融管理,不断创新金融服务,有效防范和化解金融风险,对确保金融稳定与安全意义重大。
1.金融布局与发展单一扩大银行风险。尽管近年来,我国推出了一系列鼓励中小金融企业发展的政策措施,中小金融机构得到快速发展,但由于我国资本市场、中小金融机构发展滞后,国有银行在资金配置上的绝对支配地位没有改变。广大百姓缺乏多样化的投资渠道,同时,随着衣食住行教医保成本的不断攀升,老百姓只有选择将钱放在银行里。另一方面,企业的发展对外部资金的依赖度很高,在直接融资得不到有效支持的情况下,不得不主要依赖银行贷款。这种结构的失衡与融资形式的单一化发展,加大了银行风险。
2.地下金融规模庞大危及金融安全。随着人民群众生产、生活水平的不断提升,老百姓手中的资金越来越多,一些人纷纷采用各种手段来吸收老百姓手中的资金,用于发展地下金融服务。多年来,中小企业从正规金融渠道筹集发展资金十分困难的情况,往往被迫寻求非正规金融渠道。地下金融服务由于不具合法性,缺乏有效监管,各方的权利和义务很难得到保障,这种庞大的非正规金融规模已经成为影响正规金融机构的发展,甚至会危及金融安全。
3.利率风险影响日益显现。由于我国利率市场化进程缓慢,管制仍然比较严格,商业银行不能自主调整利率,面临着较大的系统性利率风险。随着我国利率市场化进程的不断推进,利率波动会不断加剧,而金融机构管理利率风险的能力不足,也会面临较大的风险。利率风险利率的变动会对金融产品的持有者或投资者造成收益或价值的波动,这就产生了利率风险。由于银行的资产和负债主要都是以金融产品的形式存在,所以受利率变动影响较大。
4.信用风险时刻存在。信用风险由来以久,信用风险的管理是银行风险管理的首要目标。由于政策、业务扩展等的推动,导致银行领域积累大量不良贷款,往往会自然抬高银行信用风险等级,如果不能得到有效扼制,就会提高银行的经营风险,使银行面临经营困难的境地。因此,信用风险时刻存在,是金融业要时刻认真关注的问题,要采取切实可行的对策措施,强化对信用风险的防范与控制。
5.金融机构操作风险。操作风险是在银行的日常业务操作运行过程中产生的风险,主要表现为人员素质风险、操作规程不规范、合规性差等方面。比如:银行对个人住房贷款把关不严,就有可能导致假按揭现象的发展,增加银行的风险;对抵押品的审核把关不严,有可能使银行蒙受损失等。因此,金融机构必须要强化对操作风险的防范,重点是加大对银行从业人员教育管理入手,提高从业人员的职业素养和业务水平,有效降低金融风险。通过规范有序的常态性业务培训,提高从业人员的业务素质,优化知识结构,提高胜任新形势下金融发展的本领。同时,要强化对从业人员的监管和自律,提高从业人员的职业道德,防范金融犯罪。
二、金融管理与服务创新对策探讨
金融业面临诸多风险和挑战,有效应对这些风险和挑战,除了要强化金融业内部管理与控制外,还要积极开拓视野,不断创新金融管理与服务的方式方法,以创新来防范和化解风险,以创新来推动金融业可持续发展。
1.创新服务理念与服务方式。金融机构面临市场多元化,客户需求多层次化,金融市场的竞争更趋激烈,在这种形势下,要坚决树立和贯彻“以市场为导向,以客户为中心”的经营理念,牢固树立起“面向市场,了解市场,服务市场,开拓市场”的经营策略,将“以客户为本”落到实处。要通过创改变金融行业、金融机构的服务能力,来向客户提供更好的产品和服务,进而获得企业的收益。客户是金融机构发展壮大的基础,金融机构要实现盈利,就离不开客户。随着科技进步和社会发展,只有不断进行金融创新,才能最大限度地满足客户对金融服务的需要。转贴于
2.创新金融服务产品。金融产品服务创新主要指金融行业为客户提供的价值凝聚形态,包括种类用于投资、避险,或者金融操作便利工具,以及附加在这些产品上的其他劳动价值。金融工具是金融产品的一部分,传统的金融行业主要通过提供各种劳动,为客户获利、避险、支付便利提供帮助。金融机构要积极创新服务产品与领域,金融机构提供的产品和服务远不止金融工具,还应当包括咨询、信息服务等,并进下发挥金融工具如:股票、债券、支票、汇票、银行卡、保单、期货等的作用,以新的模式促进服务的增值升值。同时,要进一步优化服务环境,尽可能为客户提供舒适、整洁、大方、美观、庄重的服务环境,提升金融企业服务形象。
3.创新金融管理。管理出效益、出战斗力。金融机构要建立健全金融管理服务激励机制,创新为提供更有效地金融产品和服务所需的组织、岗位、流程、培训与考核,以及市场营销方式、商业模式等。积极探索设立独立的信用卡公司、小额贷款公司等,引入风险管理一票否决制、贷款终身责任制。信用卡的收费模式要打破传统的向受益客户收费的模式,转向了以向商户费为主的商业模式,扩大信用卡的使用范围,使信用卡像手机一样普及和便捷。同时,要加强金融技术创新,采取有计划、有步骤地加大对个人金融业务的科技投入和项目开发力度,使个人金融业务电子化服务水平接近国际先进水平。
参考文献
信用风险管理服务篇10
管理层来自于医院的业务管理人员,对基本医疗的风险评估管理相对较好,对基本医疗的风险进行识别,建立风险预警机制,建立一系列医疗核心制度等风险降低措施,也采用购买“医疗责任险”进行风险分担的方法。但是对于作为基层医疗卫生机构的另一主要职责--基本公共卫生服务的风险评估比较薄弱,对风险控制目标、风险识别、风险分析和风险应对大都是被忽视的状态,国家也没有像“医疗责任险”一样的风险应对制度安排。
二、基层医疗机构对基本公共卫生服务业务风险控制活动的不足
1.社会责任风险控制方面社会责任风险表面看来其范畴比较大,紧急程度不那么高。但是这些风险一旦发生,对单位的经济利益流出可能性更大、利益流出的量也可能更大,且影响到居民的信任度、满意度,也影响其他业务的开展。2.业务安全风险控制方面管理层对业务安全风险认识不足,没有建立相应的管控制度,主要风险有:(1)业务信息安全风险。基本公共卫生服务涉及到健康、身份、住址、职业等居民隐私信息,这些信息的收集、整理、保管、利用等过程参与人员比较多,哪个环节都有泄露的可能。随着电子信息技术的进一步推广使用,电子信息还面临着系统漏洞被“黑客”攻击的风险、系统数据不稳定的风险等。(2)职工权益的保护风险。基本公共卫生大都要上门服务,需要控制的人身安全风险点也比较多,主要有:交通安全风险,上门服务的交通工具有限,基本上没有汽车等比较安全的交通工具。为了工作的便利性,电动自行车等成为出行的主要工具,这给交通带来很大的安全隐患。人身安全风险,工作人员上门服务也有一系列的人身安全风险。如提供重性精神病人管理服务时,面临受到精神病人的攻击;卫监协管中对非法行医和非法采血等监督协管的工作人员,就容易受非法者的攻击或打击报复;女性工作人员更易受到攻击和侵犯等。在对传染病人管理时,保护措施的不足容易受到传染的风险。公共秩序安全风险,聚众做健康教育讲座,或者义诊服务等服务项目,就隐含了公共秩序安全的风险,例如人员密集发生踩踏、天气炎热中暑等。3.服务质量风险方面(1)信息质量风险。大部分基本公共卫生服务项目是围绕着健康信息开展的。工作人员收集、更新信息的工作量比较大,市民对基本公共卫生服务还有不了解和不配合的情绪,这些影响到健康信息的真实性和准确性。(2)与医疗相关风险。临床医疗风险的应对一般都有多年积累起来的经验和方法,但针对于基本公共卫生服务中的与医疗相关风险管理比较少,特别是上门服务时产生医疗业务应急事件的处理风险。比如,老年人管理或者慢病管理服务对象的疾病都容易急性发作,有疾病突发不适处置不当的风险。4.收支业务控制风险方面(1)收入管理和票据管理风险。基本公共卫生服务是全免费服务,部分服务仅由一两个人上门提供,存在不用收费而“被收费”的风险。在服务对象需要超出基本公共服务之外服务确需收费的,有存在超范围收费、收费不提供票据等风险。(2)项目资金管理风险。国家对基本公共卫生服务提供了大量的项目资金,基本上整个机构的部门都参与基本公共卫生服务工作,都需要使用项目资金。对项目资金管理的面广而复杂,对支出的控制稍有不严就容易违规使用资金。5.资产管理风险上门服务需要携带医疗设备设施,药品、卫生材料,移动终端等办公设施设备,这些资产经常处于不规律的运动之中,与一般财产物资管理安全风险不同。一般财产物资管理的归口管理、限制接触等控制措施都难于实施,资产在运动过程容易流失、使用不恰当、人为损坏和维修维护不够及时等。6.合同控制风险有些基本公共卫生服务项目需要外单位协作完成,比如由卫生站派发通知、计划免疫查漏补种等。大部分外协业务都是口头协议,没有正式签订相关协议,明确双方的权利义务、质量要求、考核验收、劳务计价和支付等。
三、对建立基本公共卫生服务业务内部控控制制度的建议
(一)加强人员培训,强化内部控制责任
加强对全体员工内部控制基本理论的培训和《行政事业内部控制规范(试行)》等法律法规的学习,特别对是管理层的培训。让管理层明白其在单位内部控制中应负的责任,让机构负责人深知其是单位内部控制的第一责任人。单位上下职员都应树立良好的内控意识,单位负责人应真正的重视和支持单位内部控制的实施。
(二)建立相应的组织,保障内部控制的有效实施
成立专门的内控职能部门对基层医疗机构不现实,应指定财务部门或者其他部门为内部控制的牵头部门,建立包含各业务部门在内的协调机构。合理分配各部门的内控职责,使各部门能够形成有效的制衡。由牵头部门组织风险评估或者配合好中介机构做好风险评估。
(三)对业务进行全面梳理,系统评估业务各环节风险
组织人员对单位的业务进行全面综合的梳理,逐个环节进行风险点的识别、分析,单位在相关法律法规和主管部门规定的框架下设置风险目标,选择风险应对措施。但内部控制触及的内容非常全面,工作量大,风险评估也应注意实效性和渐进性。
(四)建立和完善内部控制制度体系,规范单位的经济行为
完善的内部控制制度体系,是对单位内部控制有效实施的根本保证。但是基本公共卫生服务内容广泛,制定内部控制制度既要实现制衡原则,又要充分考虑到基层医疗机构人力资源状况;既要实现内部控制的有效性,又要注意控制成本原则。内部控制制度应抓住各环节关键风险点,我们认为建立制度的重点有:1.在现有的基本公共卫生服务项目管理制度基础上进行修订完善,使之符合内部控制的原则要求确实可行有效。目前的项目管理制度仅保障了服务项目的指标完成,而基本没有考虑内部控制的需要,需新建目前基本处于忽视状态的社会责任风险控制等相关制度。2.修订现有的资产物资管理制度,特别关注处于不规律运动状态资产的管理。建立例如团队(部门)资产管理总负责人制度,落实总负债人的资产管理责任;资产外运的审批制度,资产流转台账登记制度,设备搬运保障制度,消耗物资的流向登记制度等。加大对资产物资的盘点清查频度。关键控制点是资产外运的申请和审批分开,资产(物资)的使用与归还(核销)分开,物资的使用与保管分开。3.修订现有的收支管理制度(1)鉴于外带票据的管理风险,应修订或废除对现有票据管理制度不适用部分,增加外带票据使用、交接、复核的管控制度,增加对外出服务执行物价的监管制度。关键控制点是外带票据的申请与审批分开、票据的开立与复核分开、票据的使用与核销分开。(2)修订基本公共卫生服务项目经费使用管理制度。加强基本公共卫生服务项目经费的管理,把预算细化到每个服务大项。加强项目经费支付流程控制,充分利用信息化管理手段,例如利用国库集中支付系统的预算指标管理、支付审核功能,来加强对每笔项目经费支出的管理。特别注意支出申请与审批岗位分开,完善预算与执行控制、会计系统控制、信息系统控制。4.建立业务合同管理制度,制度应包括需要合同签订的情形、合同谈判、签订权限、合同的审核、合同保管、合同履行和合同纠纷处理等。
(五)建立对内部控制执行的监督、评价机制