时间:2023-03-10 14:54:08
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇系统风险管理工作计划,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
记者:为什么说信息科技风险管理对于商业银行是特别重要的一环?
徐徽:近年来,风险管理已成为商业银行经营管理活动的主旋律,信息科技风险作为银行风险的重要组成部分,受到越来越多的重视。从商业银行的角度看,这源于两方面的驱动因素。
一是内在驱动因素。目前信息技术已深入到商业银行经营管理的各个领域,几乎所有的改革发展任务都与信息技术密切相关,不管是业务的发展,还是管理的提升,都需要信息技术的配套支持。但是,信息技术固有的风险,包括信息系统软硬件本身的脆弱性、数据集中导致的风险集中等,是客观存在且难以完全规避的。由于技术原因造成区域性和系统性的金融风险进而带来严重的社会影响,在国内外都有很多案例。因此,信息技术在促进银行业务发展、推动金融创新的同时,也使银行业务面临巨大的安全隐患,信息科技风险牵一发而动全身,信息系统的安全性和可靠性关系到商业银行整体经营管理活动的稳定,应该得到而且已经得到了所有商业银行的重视。
二是外在驱动因素。近几年,中国人民银行、银监会等监管机构对于商业银行信息科技风险的监管要求越来越严、越来越细。银监会2009年3月下发的《商业银行信息科技风险管理指引》,从IT治理、风险管理策略、信息安全、开发测试和生产运行管理等方面对商业银行提出了具体而细致的风险管理要求,对于商业银行加强信息安全管理、防范信息技术风险起到了重要的指导作用。同时,银监会将商业银行的信息系统纳入现场和非现场监管,大力开展信息科技风险现场检查,对商业银行的信息科技风险防范工作提出了更髙的标准和要求。监管力度的加大,促使商业银行针对信息技术风险防控制定出更强有力的措施,不断提髙信息安全风险管理水平。
在上述内部要求和外部环境的双重要求和驱动下,商业银行信息科技风险管理的重要性日益凸显,信息安全管理成了各行科技工作的主题。
记者:现阶段,我国金融机构面临的信息科技风险主要来源于哪些方面?
徐徽:要严控信息科技风险,就要先弄清楚风险的来源,并根据不同来源对症下药。概括来说,信息科技风险主要来自四个方面:一是自然原因导致的风险,包括地震、台风等自然灾害造成的风险,这类风险往往很难主动防范,只能被动防御,通过事前建立完善的业务连续性方案和应急预案,事后及时启动应急方案和补救措施来弥补;二是系统风险,是由信息系统相关软硬件的缺陷引起的,包括基础设施和硬件设备老化、系统软件缺陷、应用软件开发测试质量缺陷等,需要通过改善软硬件环境、完善应用软件来防范;三是管理缺陷导致的风险,是由管理制度的缺失或组织架构的制衡机制不完善引起的,需要从IT治理架构和管理机制上弥补管理和制度的空白及漏洞;四是人员违规操作风险,是由人员有意或无意的违规操作引起的,需要加强员工的安全培训和操作培训,提髙人员的信息安全意识和操作水平。其中,后三类风险需要以主动防范为主要安全管理措施,要建立风险事前防范、事中控制、事后监督和纠正的机制。
记者:为保障银行业务的安全,广发行信息科技风险管控采取了哪些具体措施?
徐徽:严控风险是我行2009年工作的主旋律之一,这也是行长辛迈豪在1月全行工作会议上确立的指导思想,在信息技术方面的定位就是“加强信息技术风险管控,将信息技术风险纳入银行全面风险管理体系”。信息安全管理工作是2009年全行科技工作的重点任务,是优先投入资源、重点保障的工作目标。由此可见我行对于信息科技风险管理的重视。
现阶段,根据我行技术和管理的实际情况,信息科技风险管理采用“广度优先、逐步提升”的策略,重点在管理、技术、人员等方面提升信息安全管理水平和管理能力,建立管理与技术结合的全方位的风险管理体系,变被动应对为主动防范。具体说来,主要采取以下几方面的措施开展信息安全工作。
第一,将信息科技风险管理和信息安全纳入我行五年科技战略规划的实施目标。为了提髙信息技术整体核心竞争力,提升信息技术对业务战略发展的长期可持续支持能力,我行于2008年完成了五年科技战略规划目标和实施路径的制定,信息科技风险管理和信息安全是科技规划的重要组成部分之一。科技规划中明确了信息安全工作的中长期目标,定义了信息安全机制建设、信息安全相关系统和管理平台建设等多方面的信息安全管理实施路径,我行在未来几年内将根据科技规划的实施路径逐步开展信息安全建设,提升信息风险防控能力。
第二,完善信息科技治理,大力开展信息科技风险管理机制建设,建立信息科技风险管理制度基础。以前,国内商业银行的信息安全管理普遍存在一个误区,认为部署了髙性能的硬件设备、实现了双机热备份、做好了生产运行风险控制,就算完成了信息科技风险控制的工作。其实不然,因为信息安全不单是技术问题,更是管理问题,只有持续完善信息科技治理架构,从组织架构和制度等管理层面采取防范措施,才能真正实现信息安全管理的目标。我行在信息科技治理方面的措施主要包括三个方面。首先,认真学习和领会监管机构对信息技术风险控制的要求,吸收借鉴同业经验,将监管要求和同业经验转化为行内工作规范,建立系统完善的信息技术风险管理组织架构和机制,建立了三道防线、三个小组和三项机制。三道防线是明确了信息技术部、合规部、稽核部为主体的信息技术风险三道防线的职能分工;三个小组是成立了信息系统突发事件应急领导小组、应急处置小组和支持保障小组,做好突发事件应急处理;三项机制是信息技术风险管理保障机制、信息技术风险评估和预警机制及信息技术风险应急处置机制。
其次,建立健全信息科技规章制度。为了做好制度建设,我行信息技术部专门制定了《科技规章制度管理办法》,明确了信息科技相关制度制定、修订、废止的流程和审批制度。在管理办法的指引下,切实抓好制度建设,近两年每年制定、修订的制度都在20项以上,形成了总数达到60余个的全行科技规章制度体系。同时加强制度的宣讲、检查、整改机制。对于新建立的制度,制定一项,宣讲一项,检查一项,违章整改一项。再次,加强信息安全队伍建设,提髙员工信息安全风险防范意识和水平,通过理论和实践的结合,培养髙素质的信息安全管理团队。去年我行在总行各部门和各分行科技部设立了信息安全岗,专门负责组织、落实本单位的信息安全管理工作。为了提髙信息安全岗人员的知识水平和操作技能,我行与广州市信息安全协会共同设计了培训课程,组织总行信息安全岗人员和总行信息技术部相关岗位人员分批参加了信息安全继续教育培训,实现总行信息安全岗满足《广东省公安厅关于计算机信息系统安全保护的实施办法》中关于持证上岗的监管要求,今年将实现分行信息安全岗全部持证上岗。我们同时认识到,信息科技风险防范不仅是信息安全岗的事情,而且是全体员工的基本任务。因此正在组织编写全员信息安全手册,对于桌面电脑安全、信息保密等基础信息安全知识开展普及教育,届时将人手一册,确保全体员工了解并遵守信息安全管理要求。
第三,采取有效的信息科技风险管理的手段防范和化解信息安全风险。首先,持续开展信息科技风险检查、评估、整改这一不断循环、螺旋上升的工作。一方面认真开展内部审计和外部审计工作,通过审计发现制度、流程、操作等方面中的风险;另一方面积极组织信息技术部的风险自查,每月定期开展总分行数据中心机房现场检查,每季度开展数据库操作、用户管理等髙风险操作的专项检查。根据审计要求和自查结果,严格落实风险整改工作,将整改任务落实到每季度、每月、每周的科技工作计划中。同时逐步扩大风险检查的广度和深度,主动发现并积极防范风险,通过风险整改实现持续改进。其次,严抓四方面的生产运行安全管理工作:一是完善基础设施建设,化解机房环境、硬件设备等基础设施的风险;二是建立和完善灾难备份中心,做好业务连续性建设;三是提升运行管理的水平,推进运行流程化和集中化管理,防范操作风险,确保信息系统的安全稳定运行。四是完善应急预案,积极组织开展应急演练,切实提髙风险防控水平。
记者:信息科技风险管理有时会影响效率,您如何看待这两个因素的平衡?
**年,在**分行的正确领导和人行及上级行科技部门的指导、帮助下,全行科技工作始终把保证各项系统安全、稳定、高效运行放在首位,以规范基础管理,强化服务意识,提高软硬件设施运行效能,防范信息科技风险为重点开展工作,较好地发挥了科技职能作用,为分行各项业务发展提供可靠的技术保障。现将**年度的科技工作简要总结如下:
一、共同配合,顺利完成业务系统上线
在上级行信息科技部的指导下,积极与营运、营业等部门共同配合,制定业务系统上线工作计划,层层落实,相互协调,明确分工。上线前的系统测试落实到位,及时处理测试中发现的问题,为一次性成功上线提供了保障。今年先后顺利完成了远程集中授权作业平台、交互式终端、自助设备流水无纸化功能、公文加密等系统的上线工作,有力地支持了相关业务的发展。
年初经过市人民银行中心支行科技科组织的金融同城网技术环境检查与复查,达到人行要求的网络接入标准,顺利接入市金融同城网,为我行开展同城业务奠定了技术基础。
二、深化内部管理,规范内部运作,提高管理水平
为防范风险,确保计算机系统安全、高效运行,遵照监管部门和上级行有关文件要求,不断完善规章制度和内控制度建设,通过认真组织学习文件精神,促进分行计算机管理水平的提高。在日常计算机系统安全管理上坚持预防为主、安全第一、依法办事、综合治理。
配合上级行内控合规检查组对分行计算机信息系统进行全面检查,通过落实整改措施来进一步规范计算机系统操作,防范计算机信息安全风险。
加强“内、外”沟通联系,进一步提高服务水平。主动加强与监管单位、上级行与分行各部门的工作联系,注重沟通,做到相互配合,共同协调,使工作中的问题得到及时解决,全面推进各项工作的顺利开展。
做好设备管理工作,合理进行设备的规划和分配,使计算机设备资源在我行能够得到合理的配置。配合财务部做好全年IT类固定资产盘点工作,重点核实固定资产编号、使用人或责任人、使用部门、存放地点、使用状态以及账实核对等情况,确保账实、账卡、账账相符。
三、做好系统维护工作,全力保障各项系统正常稳定运行
为保障分行网络信息系统安全、可靠运行,在9月份进行了一次信息系统应急演练。通过演练更加明确和熟悉了故障应急处理方法和流程,全面检验了紧急突发事件的快速处置能力,提高了系统风险防范水平。
做好主机房安全管理,安排监控室每天两次检查机房环境、设备是否正常,并做好记录。保持机房整洁有序,使设备始终处于良好的运行状态。
配合营业部做好自助设备维护工作,及时了解机器的服务状态,快速响应排除故障,保障设备正常工作。加强对自助设备运行状态的监控,发现设备出现故障及时通知维护商进行处理,保障我行良好的用卡环境。
四、加强科技创新力度,做好技术支持
发挥科技参谋助手的作用,利用先进的科技手段为全行服务是科技人员一直以来的工作目标。今年自主开发了额度押品管理系统与借款合同票据套打程序,为分行风险管理门和零售部提供了准确高效的技术手段,解决了以前手工登记填写繁琐难核对的问题,大大提高了工作效率。平时为财务部、人力资源部等管理部门提供各类统计数据和报表,给管理工作带来了许多便利,得到这些部门人员的肯定。
为进一步提升我中心社会保险经办机构风险管理能力,有效防范社会保险经办的各种潜在风险,按照我中心《社会保险经办风险管理工作计划》与《xx社保中心经办风险管理实施细则》的相关要求,现将2019年市社保中心经办风险管理工作开展情况汇报如下:
一、继续加强稽核内控组织建设,完成本年经办风险工作规划
为进一步加强稽核内控组织机构建设,按照人社部关于风险防控等有关文件的要求,加强经办机构内控力量,加强日常工作管理。明确监察科为风险管理科室,负责日常监督考核,加强日常工作管理,严格执行内控制度,内控人员要认真履职,严格执行各项工作流程,监察科人员专职履行风险防控职责。2019年2月制定出台xx市社会保险经办风险2019年工作计划,并与各县区及各科室签订目标责任书,各县区社保经办机构指定出台社会保险经办风险专项行动实施方案或实施办法。4月对各县区落实风险管理工作情况及各项重点工作推进情况进行一轮督导检查,对上一年年风险管理中薄弱环节进一步提升,完善和新出台相关管理制度。督促各县区社会保险经办机构在社会保风险管理制度、工作机制、内部防控体系、高危风险点防控等方面的梳理排查,逐一找出不足和存在的问题,制定整改的具体方案和措施办法。7月份对全市风险管理进一步自查,并根据我中心一窗式经办服务改革,对现有流程进一步简化,梳理风险防控点,完善监督管理机制并出具了调研报告。10月总结全市2019年度风险管理工作开展情况。
二、进一步加强制度建设,优化经办流程,提升服务水平
结合养老保险业务的调整进一步细化经办流程,将制度寓于经办业务中,寓于信息系统中,寓于风险防控中。严格履行经办人员审核、签字程序。同时紧紧围绕务实、高效、便民、快捷的一站式服务宗旨,以优质高效服务为目标,坚持以制度抓管理,以创新抓服务,以纪律作保证,勇于实践,不断探索,进一步强化窗口建设,规范各项管理,增强服务意识,提升服务水平。一是根据“放管服”改革要求,开发了“智慧社保”系统,为实现“一窗办”业务奠定了基础;二是实行网上申报制度,实现了参保登记、缴费核定、人员增减变动网上办理,有效缓解了前台办事压力,减少了企业经办人员奔波的负担;三是取消了企业职工基本养老保险关系市内跨经办机构转移业务,减少了办事流程,方便群众办事;四是对照省人社厅关于全省人社领域的28项赌点问题逐项自查解决了涉及社保办理的7项赌点问题;五是在社保业务经办中取消了11项证明事项;六是实行大厅咨询台和抽号机双重值班制度,有效分流办事人员,提供精准、到位的社保服务。
三、逐级逐条梳理经办风险点,做到风险防控明晰有力
目前市社保中心经办业务采用社保经办系统统一办理,我们以各个经办环节为主线,兼顾人员操作失误、人员恶性操作、流程问题、IT系统故障或设计及缺陷、内部欺诈、外部欺诈和不执行或者不按照规定执行政策等一系列风险问题,对我社保中心经办中存在的风险进行综合梳理。
(一)参保缴费的风险
1、参保单位增加、减少参保人员所需证明材料把关不严;
2、参保单位增加、减少参保人时未认真核对参保人个人信息,具体包括姓名、性别、身份证号码、个人社保编号等导致参保人被错误添加或减少;
3、社保基数审核过程中未按照《社会保险法》、《社会保险费申报缴纳管理规定》等法律法规要求严把基数审核关;
4、违反《甘肃省社会保险费征缴违章处罚暂行办法》的规定,擅自延长社保缴费核定业务期;
5、对已进行当期社会保险费核定的参保单位擅自取消当期核定;
6、对未进行参保人员增减申报的参保单位随意进行人员增减操作;
8、随意修改参保单位参保人社会保险缴费基数或随意封锁参保单位社会保险账户,影响参保人正常享受社会保险权益;
9、对未及时足额缴纳社会保险费被社保管理系统列入封锁名单的参保单位违规进行解除封锁操作;
10、未确认查验参保单位缴纳社会保险税票,随意进行参保单位养老保险视同到账操作、未认真查验或未提供参保人《养老退休审批表》情况下办理参保人医疗保险在职转退休业务;
11、办理参保人医疗保险在职转退休业务时对于缴费年限不足的参保人未进行退休一次性补收处理;
12、在职死亡参保人员办理养老保险个人账户退费时退款账号填写错误;
13、在职死亡参保人员办理养老保险个人账户退费时未在3个工作日内将退款明细报送至计划财务科;
14、到龄退休人员打印指数认证表时退休日期录入错误导致参保人指数表错误;
15、办理参保单位破产社会保险一次性核定时,未对参保人年龄、缴费基数等信息进行认真核对即办理破产一次性核定;
16、办理参保单位注销时未核对参保单位是否存在社会保险欠费即办理注销手续;
17、社会保险核定管理各业务流程经办未按照人社部发〔2019〕20号、甘人社通〔2019〕134号、市社保局〔2018〕47号文件要求取消的规范性文件设定的证明材料办理业务,擅自增设环节和材料。
(二)关系转移的风险
1、经办环节中需出具的《联系函》、《参保缴费凭证》、《信息表》未通过《兰州市社会保险管理信息系统》生成,擅自通过手工操作生成;
2、正常转移业务经办环节未执行初审、复审程序,特殊转移业务经办环节未执行初审、复审、审批或集体研究决策程序;
3、正常转移业务经办未按照人社部发〔2019〕20号、甘人社通〔2019〕134号、市社保局〔2018〕47号文件要求取消的规范性文件设定的证明材料办理业务,擅自增设环节和材料;
4、正常转移业务经办未按省政府政务服务网录入的群众和企业到政府办事事项承诺的流程和时限办理;
5、财务未执行和基金转入银行每月2次对帐、记帐规定,致使转入业务办理滞后;
6、财务未执行和业务每月2次移交转入资金银行回单,致使转入业务办理滞后;
7、财务业务未按月对转入基金办理情况进行对帐;转出业务办结后,业务未及时提交财务转移基金;
8、业务提交财务转移基金后,财务未及时转移基金;对异常转入资金,财务未经业务审核发起资金回退;
9、业务经办岗位和财务经办岗位由同一人兼任。
(三)财务管理的风险
1、基金财务与业务对账环节基金管理风险和廉政风险:
(1)业务与财务未按月对当期基金应收应付和实收实付情况进行对帐,致使业务流与资金流不匹配;
(2)业务未按月提供当期保险费征缴收入分账报表,致使财务会计核算不满足科目要求;
(3)正常待遇支付业务经办环节未严格执行初审、复审程序,特殊待遇支付业务经办环节未执行初审、复审、审批或集体研究决策程序;
(4)业务经办岗位和财务经办岗位由同一人兼任。
2、社保基金财务与银行对账业务办理环节基金管理安全风险和廉政风险。
(1)财务与财政专户银行对账不及时,致使会计核算滞后;
(2)财务与支出户银行对账不及时,致使会计核算不准确;
(3)财务未按时编制银行存款余额调节表,致使账表不符、账账不符;
(4)财务未按时与财政部门进行社保基金财政专户的对账工作,致使双方账务不一致。
3、社保基金财务报表管理环节基金管理风险和廉政风险
(1)财务未按月和基金账户银行、财政部门完成对账工作,致使账账不符、账表不符;
(2)市就业局和县区上报的基金报表存在报表数据质量不高,逻辑性审核不严密的现象;
(3)上报基金财务报表时未履行审批程序,致使报表数据质量不高、时效性不强;
(4)向有关部门提供我市社保基金财务报表数据时,存在未履行报备程序、数据前后不一致的现象。
(四)待遇支付的风险
1、离退休人员待遇支付的风险主要表现为养老金发放相关政策规定执行不规范,养老保险政策执行有偏差;
2、各项待遇审核把关不严,业务流程不严谨,致使离退休人员养老保险待遇的核发产生错误;
3、与金融机构每月进行养老金数据传递流程不规范,传递数据过程中未按相关流程进行加密处理,造成养老金发放数据产生风险;
4、在养老基金拨付环节处理不及时,养老金不能按时发放造成不良影响;
5、各项养老待遇支付业务(死亡待遇审核、养老金待遇调整、养老金待遇停发、续发、补发)等把关不严,造成基金流失的,对离退休人员未进行养老金领取资格认证的,养老金继续发放未采取相应措施,造成养老金继续领取的。
(五)退休资格认定的风险
1、在退休档案审核过程中初审、复审把关不严格,造成拟退休人员符合法定退休年龄和参加工作时间认定错误或者造成拟退休人员特殊工种年限认定错误;
2、在待遇计算中没有仔细核定工龄导致养老金计算错误;在退休资料核定中,没有仔细核对退休人员所提交的材料,造成存档有遗漏;
3、经办人员对所执行的政策理解有偏差、执行不到位,造成参保职工在办理退休过程存在认定不一致的现象;在退休人员信息修正过程中存在审核疏忽、把关不严或者系统模块进入错误导致养老金补退发有误等。
【关键词】商业银行;内部审计体系转型;研究
一、商业银行内部审计体系转型的理论基础与国际经验
(一)基本定义商业银行内部审计是指在董事会的领导下,以独立机构和专职人员为基础,以相关法规、制度为依据,运用专业化审计技术和规范化审计流程,针对银行内部控制有效性及风险治理状况所进行的客观的监督、评价和确认、咨询活动,是银行全面风险管理体系的重要组成部分。商业银行内部审计体系是商业银行为保证内部审计活动顺利开展而提供的相关体制、机制、制度和各种工作要素的整体,包含内部审计的管理体制、工作职能、运行机制、工作标准、工作流程以及审计技术、人员保障等有机组成部分,涵盖了内部审计从管理、思路到执行、运作的各个方面。本文所指的商业银行内部审计体系转型,是商业银行为提高内部审计效能,所采取的一系列改革、创新、调整措施,是一项综合型的系统工程,对保障商业银行内部控制有效性、加强全面风险管理将产生重要影响。(二)商业银行内部审计体系转型的理论基础1.转型经济学在关注国家、社会和文明发展转型的同时,也强调微观经济主体在发展中要注重转型和改革。转型经济学是20世纪80年代末90年代初,适应前苏联和东欧各国经济转型需要而发展起来的经济学研究学科,虽然其研究对象主要为体制的转型、国家或社会的转型以及文明的转型,但作为一门综合性学科,其理论涉及经济转型过程中的各种具体经济问题,包括企业的转型与改革,并把企业转型的研究领域涵盖到企业产权改革、绩效改革、组织结构、激励机制等一系列重要问题。当前我国经济正经历着市场化、现代化和国际化的深刻转型。商业银行作为金融企业的一员,要在经济新常态和信息化潮流中生存和发展,同样需要推行自身的市场化、现代化和国际化转型,而一个适应银行新的发展战略和风险控制状况的内部审计体系,对保障商业银行转型目标的实现非常重要。因此,商业银行内部审计体系的主动转型,是商业银行深化改革,实现健康可持续发展的必然选择。2.全面风险管理理论强调企业有效识别和管理风险应覆盖企业各项活动的全过程。2004年4月,美国执业会计协会下面的柯恩委员会颁布《全面风险管理框架》(ERM框架),提出企业要确定自身的风险偏好,并有效识别和管理可能影响其发展的潜在风险,保证既定战略目标的实现,而对风险的管理应包含从战略制定到各项活动的全过程①。ERM框架适用于各种类型的企业或机构的风险管理,是贯穿整个组织的持续性的过程,用以识别、评估并确定如何应对及报告影响组织实现目标的机遇和威胁。商业银行是经营风险的特殊企业,发展中面临战略风险、信用风险、市场风险、操作风险、国别风险、科技风险、声誉风险等诸多风险,且在社会深化转型的过程中,所面对的风险的复杂化和聚集化程度也大幅上升。商业银行实施内部审计体系转型,促进内部审计与转型发展战略相适应,有助于商业银行构实施有效的全面风险管理,保障战略目标的达成。3.银行再造理论强调银行要对传统流程进行重新思考和设计,提升银行的整体的竞争力。20世纪90年代,美国管理学家迈克尔•哈默和詹姆斯•钱皮提出企业再造理论,认为企业应以一种再生的思想对自身进行审视以打破原有分工理论的束缚,推崇流程导向。1994年,保罗•阿伦的《银行再造———存活和兴旺的蓝图》一书,将企业流程再造理论引入银行业,认为银行流程再造是“围绕流程核心的再思考和再设计,目的在于实现成本、质量、反应速度等组织绩效方面的巨大改变②”。银行再造的核心是通过对银行传统流程系统的审视和重构,调整经营策略,改变银行绩效,提升银行的整体竞争力。我国商业银行要参与国际、国内金融业竞争,必须将西方银行再造成果与我国实际相结合,通过开展具有自身特色的银行再造,提升整体竞争力。在商业银行流程再造中,风险的表现形式也会发生新的变化,必然要求建立新的内部审计体系,来帮助商业银行实现有效的内部控制,这也是商业银行加强全面风险管理的必然选择。(三)国外商业银行的内部审计经验国外先进商业银行的内部审计普遍独立性强,重视审计方法和技术的完善,同时十分重视审计人员的培养和选拔。根据巴塞尔委员会对国外商业银行内部审计经验的调查总结,国际银行内部审计工作正在出现一些新的趋势③:以往对于财务审计工作及财务信息可靠性和完整性的评价职责逐渐转由注册会计师等银行外部审计师来履行,内部审计的作用则是为外部审计师财务报告审计工作提供支持;对法律和监管要求的遵循情况评价职责逐步转向由独立的法律和合规职能部门来履行;首席审计执行官的主要任务在于提高内部审计部门的质量和效率,包括提高审计师的专业性以便更好地跟踪那些被审计活动,强化内部模型的审计和评估,以及更加重视风险为本的审计,以提升内审部门的质量和效率。国外先进商业银行的以下经验也很重要:1.必须建立良好的公司治理结构,提升审计独立性。内部审计是公司治理的重要控制和监督力量,而公司治理则为内部审计提供了控制环境和制度基础。先进商业银行的董事会普遍高度重视内部审计工作,设立专门的审计委员会,通过垂直化管理的审计组织体系,实现内部审计机构与被查机构利益的完全分离。内部审计部门直接对董事会负责,确保独立的人、财、物等审计资源配置权。同时,可以参与到商业银行经营管理的各个方面,保证了内部审计工作的独立性。2.必须调整内部审计导向,改进审计方法和技术。当前,国外先进商业银行的内部审计已经实现向风险导向型审计思路的转型,大多以内部控制评价为基础,针对重点业务或内部控制系统风险开展审计,在审计工作中注重推行风险管理理念,同时也通过有价值的TimesFinance2017年第01期中旬刊(总第648期)时代金融TimesFinanceNO.01,2017(CumulativetyNO.648)Times建议,帮助银行提高价值创造。在审计手段上,非常重视电子化建设,通过运用现代化信息技术,提升审计工作的效率。3.必须重视人员综合素质,打造专业化内部审计队伍。国外商业银行一般会通过强化内部审计人员的培训及后续教育等手段,保证内部审计人员具备专业胜任能力。随着银行业务复杂化程度的提高,全面风险管理的要求越来越高,商业银行应该保证内部审计人员具备宽泛的知识结构和丰富的经验,以保持风险识别的敏锐力。同时,也要想办法增强内部审计人员考核、激励制度的针对性,以维护审计队伍的工作积极性。
二、我国商业银行内部审计体系存在的问题与转型必要性
我国商业银行内部审计工作由最初的合规审计、舞弊审计发展到现在的风险审计、管理审计、信息化审计,经历了漫长的发展阶段④。但国内商业银行开始重视并设立独立的内部审计机构,是在1995年《审计法》颁布之后,时间并不长。2006年,银监会《银行业金融机构内部审计指引》出台,商业银行内部审计的专项法规才真正确立。随着银行公司治理机制的日益健全,内部审计在商业银行全面风险管理中的地位更加重要。当前,在我国经济深化转型的大背景下,各银行纷纷加快改革创新步伐,所面临的各类风险更加复杂,而内部审计体系在运转过程中,也暴露出越来越多的缺陷和问题,影响了风险的防范和控制。(一)内部审计体制不健全,审计独立性和权威性缺乏很多商业银行在向现代化商业银行转型的过程中,由于治理结构不合理,对内部审计的职能定位不清晰,内部审计体制不健全,审计独立性和权威性未能得到保障。一方面,部分商业银行管理层对内部审计工作的重要性缺乏正确认识,认为内部审计部门不直接参与利润和价值的创造,没有必要配备充足的审计资源,有的内审人员与被审计单位之间甚至存在利益依附关系,难以保证审计的独立性。另一方面,部分商业银行的内部审计体系还未完全实现董事会垂直、独立管理,缺乏相应的审计资源分配权限,无法获得被审计单位的有效配合,内部审计的权威性无从保障。(二)内部审计职能履行不充分,审计考核机制不健全由于我国商业银行内部审计起步较晚,发展进程缓慢,加之外部经济环境因素的影响,当前,仍有很大一部分商业银行内部审计还主要停留在数据真实性审计、合规性审计阶段,以履行监督检查职能为主,而对内部审计的咨询服务职能重视不够,与国际银行业当前盛行的风险导向审计理念差距明显。同时,我国大部分商业银行审计人员参照中后台人员进行考核和发放薪酬,普遍未建立独立的薪酬绩效机制,造成人员考核与日常审计工作脱节,影响了审计队伍的稳定和审计效能的发挥。(三)内部审计制度体系不完善,审计标准流程不规范很多商业银行内部审计制度不系统、不完善,未形成健的内部审计制度体系;在日常审计工作中,审计人员主要依赖经验总结来制定下一步审计方案,审计工作底稿不统一、问题词条不规范,未能形成规范化的审计工作流程和审计标准,审计工作的随意性较强。参差不齐的人员素质和审计具体操作中较大程度的随意性直接影响了审计工作的效率和质量。(四)内部审计技术落后随着信息化和大数据时代的来临,国内商业银行纷纷加强数据化信息技术的运用,加快建立贯穿各级机构、覆盖各个业务领域的数据库和管理信息系统,推动实现数据标准统一、信息系统整合,提升经营管理工作的信息化。但这些信息技术并没有深入、有效地运用到内部审计体系。很多商业银行的内部审计部门还没有建立独立的系统数据获取渠道,以实现对运行数据的快速收集和整理分析,还没有建立专门的审计模型和审计系统以实现对风险的准确揭示、预判和对其形成原理、发展趋势的分析,造成信息系统内的数据被大量闲置、浪费,影响了内部审计工作的质量与效率。(五)内部审计人员力量薄弱目前我国大多数商业银行内审人员的占比为1%左右,国外商业银行一般为5%,而中国人民银行则曾经发文,要求银行类金融机构内部审计人员达到员工总数2%⑤。同时,由于很多商业银行对内部审计工作不重视,在审计人员的选拔、培养方面没有严格要求,造成审计队伍所需要的复合型人才严重缺乏,员工知识结构单一,专业胜任能力弱,而培训机制的不健全,和独立考核、激励机制的缺失,让这一问题迟迟得不到解决,与银行发展需求形成较大差距。(六)内部审计的质量控制与成果运用不足很多商业银行内审部门仍采用传统的手工化审计工作方式,未建立专业化的内部审计计算机平台,在审计预警、审计管理和审计作业分析等时效性上存在明显滞后。审计管理工作没有相应的信息系统进行固化,在对审计资源的统筹配置上较混乱,难以实现对审计项目节奏的实时有效控制,同时,在审计结果、审计建议的跟踪督办等方面也不及时,不利于与被审计机构间加强沟通交流,影响了审计成果的运用,有可能消弱内部审计的价值增值作用。商业银行的内部审计体系转型,既是在我国经济深化转型大背景下,银行应对整体经济市场化、现代化、国际化转型的客观需要,也是银行克服现有困难和不足,充分发挥内部审计作为银行第三道风险防线的重要作用,积极提升内部控制有效性,加强全面风险管理能力,推动银行再造工程的重要措施,对于提升银行综合竞争力有着非常重要的意义。
三、成都农商银行内部审计体系的转型实践
成都农商银行由原成都市农村信用合作联社改制而成,于2010年挂牌开业,2011年引入战略投资者,注册资本100亿元,2015年末资产规模达6400亿元。作为一家在西部特大中心城市成立的股份制商业银行,该行近年来发展迅速,资本规模和资产规模位居全国农商银行系统前列,以其为样本,研究我国商业银行特别是中小商业银行内部审计的转型问题,有较强的借鉴意义。从2012年以来,该行按照董事会的要求,加快内部审计体系转型步伐,在管理体制、组织架构、管理模式、审计职能、技术手段、考核激励等方面实施了一系列改革和调整,取得了明显的成效。(一)确立转型目标———建立“集中化、垂直化、标准化、精细化、专业化、信息化”的现代内部审计体系1.集中化、垂直化。是指依靠内部审计机构的集中、垂直管理对内部审计资源和工作加以统筹,通过规范化的内部审计体制机制实现内部审计资源的集中管理、充分整合,充分挖掘、有效运用内部审计潜力,提升审计效能。2.标准化、精细化。是指通过构建标准化的内部审计制度体系,规范工作流程,明确审计人员的工作职责、作业标准和管理要求,加强对审计工作的全流程管理,实现各项管理要求的标准化、精细化。3.专业化、信息化。是指依托银行开放、智能、互联的数据信息平台,通过信息系统和技术工具的使用,实现对银行经营管理信息的全方位获取、整合、应用和共享,提升审计发现能力,扩展审计覆盖范围,实现审计效率与质量的大幅提升。(二)确定转型思路———以风险为导向的增值型审计有了转型目标,如何确定转型思路便成为转型的关键。成都农商银行在深入研究国际内部审计的内涵变迁与发展趋势之后,决定推行以风险为导向的增值型审计,即将风险控制和增加价值作为评价内部审计转型成效的终极目标。1.贯彻风险导向型审计理念。风险导向审计是审计人员以规避、控制和防范审计风险为出发点,对审计风险进行系统分析、研究,确定多样化的审计战略的一种审计思路。内审部门通过风险识别,帮助管理部门规避风险,采取正确的行动来防止高级管理层。该类审计是以对风险的系统分析为出发点,对企业风险管理和内部控制制度的完整性与有效性进行独立的评价⑥。它是较之财务审计和合规审计更为先进、科学和全面的风险审计。2.实施增值型内部审计。商业银行的目标是价值最大化。内部审计作为商业银行内控管理工作的一部分,虽然不直接参与经营活动,但可以通过提出有价值的审计建议,帮助银行降低风险,规避资时代Times2017年第01期中旬刊(总第648期)产损失,增加获利机会,从而帮助商业银行增加价值创造。增值型内部审计通过大力拓展高增值的审计业务,形成有价值的审计结论和建议,帮助组织增加价值,它以利润中心作为自身定位,既记录耗费的成本,又衡量和记录为组织增加的价值⑦。将增值型审计作为内部审计体系的转型方向,有利于提升内部审计价值,在帮助银行防风险的同时提高盈利水平。(三)转型实践———持续深入的系统工程根据确立的转型目标与基本思路,几年来,成都农商银行内部审计体系在转型过程中采取了一系列持续深入的工作举措。1.组织开展内部审计垂直化改革,建立垂直化的组织体系和报告路径。历时半年,完成职能上收与人员分流,于2012年6月底全面完成内部审计垂直化管理体系建设。内部审计垂直化管理后,取消了郊县支行的稽核审计部,而在总行直属的稽核审计部下设直属室和片区审计中心,统一对总行职能部门和各分支机构开展审计活动,并定期、直接向董事会汇报工作。内部审计体系包括审计制度及流程建设、人事任免、薪酬福利、工作计划以及绩效考核等均由总行统一管理,凸显了内部审计工作的独立性。2.通过实施确认咨询服务,强化审计监督服务职能。按照“以风险为导向的增值型审计”工作思路,大力拓展内部审计职能。通过经营情况审计,反映各机构和相关业务的经营状况及风险控制情况,为管理层加强管理、优化决策提供参考;配合机构建设需求,开展相关人员经济责任审计,为机构发展与人员任用提供支持;配合内控体系建设需要,开展各领域专项审计,着重从内部控制的健全性和有效性进行评价并提出建议,促使内部控制更加完善。这些审计不仅确认了问题,强化了监督,更提出了改进建议,经过良性沟通与合作,促进了被审计对象的价值创造。3.通过开展绩效薪酬改革,建立现代化的内部审计机制。在转型的过程中,同步开展了内部审计绩效薪酬改革。一是根据银监对内部审计人员薪酬不低于全行平均薪酬水平的制度规定,将内部审计人员从后台部门人员的360度常规考核改为独立的考核机制,使做出实绩的审计人员薪酬水平得到提升。二是研究制定了审计人员绩效考核标准,从工作过程、质量、成果、执行力和纪律等多个维度对审计人员进行综合考评,同时完善审计人员激励、晋升、评估机制,提升了审计人员的工作积极性。4.完善内部审计制度体系,梳理规范内部审计工作流程。按照“标准化、精细化”的管理要求,推动内部审计制度建设与流程规范。一是按审计管理制度、案件防控制度、责任追究制度三个维度完善制度体系,建立新的审计工作标准;二是梳理审计工作流程,制定《内部审计实务准则》,统一计划、立项、准备、实施、报告、终结、档案管理等流程规定;同时制定审计人员行为规范,强化对审计人员的行为约束;三是制定项目时限管理、整改跟踪、审计费用管理、员工绩效考核等规范性文件,强化审计效能管理;四是在现场审计中推行“三级复核制”、审计组长负责制等规程,完善了责任机制。5.改善内部审计方法,提升内部审计技术。一是强化对高风险业务的审计力度,持续关注重点领域、重要业务、重点环节,形成对主观故意、弄虚作假等严重违规行为持续有力的监督效应。二是设立非现场审计室,通过非现场经营数据抽样采集、分析技术的应用,建立非现场审计分析模型,为现场审计提供信息参考,提高现场审计的效率。三是建立风险监测模型并定期对重要业务领域开展监测分析,就发现的风险点和疑点有针对性地开展实地调研及审计,挖掘揭示了大量借名贷款、搭桥贷款、多头授信、抵押物悬空、资产流失、与客户发生资金借贷等隐蔽性较强的问题,有效释放了潜在风险。四是重视对董事会的审计工作汇报,加强与高级管理层和被审计单位的审计沟通,推动问题整改和风控措施的落实,并实时开展后续审计工作。6.加强审计人才选拔培养,提升审计队伍的整体素质。一是以垂直化建设为契机,在原有内部审计队伍中全面开展考试、考核和岗位竞聘工作,对人员进行优选与岗位调整。二是在行内、行外同步开展招聘工作,补充高素质的专业人才。三是持续抓好人员培训。推行“周培训-季度专题培训-年度集中培训”的递进式培训机制,提高员工审计能力。四是以项目质量控制为基础,通过审前培训、以老带新、审后总结等办法帮助员工积累审计经验。五是鼓励员工考取各种资格证书,通过专门的激励制度对员工自学行为进行奖励。7.建设推广稽核审计及风险预警系统,搭建现代化的审计工作平台。成都农商银行内部审计部门垂直化管理后,即启动了稽核审计及风险预警系统建设工作,并于2014年推动该系统投产上线。该系统的上线,为内部审计工作搭建了一个具备大数据处理能力的集信息采集、数据处理、风险预警、作业控制和绩效考核等功能为一体的服务平台,大大提升了审计工作的专业化水平。该平台实现了对主要风险的持续监测,能够为现场审计高效挖掘风险信息提供技术支持。同时,该平台也是现代化的审计工作管理平台,通过建立项目管理功能菜单,实现审计作业的流程化管理,还能以图表方式展现全行主要经营管理指标,可以直观地为高级管理层提供动态经营信息。8.健全审计管理体制机制,加强审计质量控制。一是加强审计管理体制机制建设。成立审计执委会,定期或不定期就重大事项集中审议;建立审计计划管理机制,按年、按月控制审计布局,促进审计资源的有效配置;坚持每周集中汇报项目进度,督导工作进程;建立重点项目督办机制,强化对项目质量的把控。二是重视对审计结果的运用。通过下发审计意见书、建议书,督促被审计对象全面掌握审计结果,彻底整改存在的问题;通过开展整改专题培训、收集责任人整改承诺书、制定整改进度跟踪表和典型性违规问题通报等方式,督促被审计对象务实有效地落实整改措施。良好的沟通、严格的整改,有利于巩固审计成果,确保实现控制风险、增加价值的目的。
四、商业银行内部审计转型经验及启示
关键词 商业银行 信息服务体系 信息科技
中图分类号:F832.2
文献标识码:A
以会计电算化为基础的信息化水平随着信息化技术的不断发展而日益提高,从而改变了商业银行会计核算的服务方式和服务质量。这种改变创造了良好的社会效益和经济效益,包括信息化对于商业银行金融创新、经营模式、交易方式、经营形式和管理体制等带来的巨大的改变。在使用会计电算化后,信息科技系统替代了银行会计业务的运转,人工操作变成了信息处理的上机操作,与此同时信息科技系统对于商业银行的经营管理和决策产生了非常重大的作用。这时银行的操作风险、法律风险、战略风险和声誉等新的风险形态尤其要注意。
一、商业银行信息服务体系的现状和趋势
正逐步向集约化管理和决策支持的高级阶段发展的商业银行从建立模仿手工作业的单项会计业务应用系统开始经历了多项业务应用集成处理阶段。会计电算化可以分为三个发展阶段。初级阶段是计算机处理开始代替手工操作生成电子数据的从20世纪80年代到90年代初;第二阶段是全国范围内计算机联网、业务管理、互联互通、大小额实现计算机处理的90年代中后期到现在的数据集中阶段;第三阶段是从现在开始的数据应用阶段。这个阶段是银行运用互联网的技术与环境进行金融创新,完成业务的集中处理,开拓网络金融服务的时代。目前正处于数据集中部分完成、数据应用刚刚开始的阶段的商业银行正处于关键的时刻,对于未来的竞争起着重大的作用。
目前商业银行的信息服务的趋势是实现金融的信息服务化。通过完备的信息系统,给银行的业务重组、金融产品创新和金融管理模式的变革带来深层次的变革个才是真正金融信息服务化。要实现银行从提供单一业务转变为面向客户综合服务以及银行业形成产品化和服务化,商业银行需要具备既精通银行业务又精通信息技术的专家统筹信息化建设。
二、商业银行在信息服务体系建设中存在的风险及问题
(一)信息科技治理方面。
确保信息科技战略和目标与业务的策略一致是信息科技的目标。只有实现了这个目标才能够使得信息科技更好地为商业银行提供服务和支持,使得信息科技资源得到最恰当的应用。其中的风险以及问题如下:
第一,可能导致的法律风险、战略风险以及信誉风险:错误的信息资源的分配以及对法律法规的违背;信息系统无法满足业务的需求;信息科技战略无法与业务的发展需求相一致;缺乏完善的管理信息系统导致的低效率管理决策;较差的信息系统支持导致的市场竞争力低下。
第二,可能导致的问题:由低效率的信息科技资源配置所导致的项目延误;员工素质和技能达不到信息科技专业要求的水平;独立的科技风险管理部门的缺乏;企业内部“风险文化”认知的缺乏;会计专业和信息科技人员等对技术风险存在很差的意识;信息科技人员存在着职责的冲突;高级管理层未参加到信息科技督导委员会;信息科技项目发展与业务战略不一致;信息科技内控制度和措施缺乏定期检查和更新。
(二)安全管理方面。
确保关键信息系统和数据得到充分保护,使得非授权的进入和意外的中断能够得到避免是安全管理的目标。其中的风险和问题如下:
第一,可能导致的法律、操作和信誉风险:保密信息泄露;损失金融机构的重要资料;电脑病毒,蠕虫程序的爆发;不遵守监管规定;工作时间业务停运和数据损失;未经授权的金融交易。
第二,可能存在的问题:不恰当的个人存取权限设置;特权用户和紧急用户代码的使用;敏感信息存储未加密;客户敏感性信息由于较差的移动设备管理而泄露;定期安全监测的缺乏;末及时进行补丁升级导致电脑病毒感染爆发。
(三)系统开发和变更管理方面。
确保开发及维持高质量的信息科技系统.并充分配合及满足业务需求是系统开发和变更管理的目标。其中存在的风险和问题如下:
第一,可能导致的操作风险、战略风险、信誉和法律风险:长时问的系统停运;泄露了保密信息;达不到银监会的管理要求;数据不完整;推出科技信息系统的时间受到延误;低质量的信息系统不能实现业务发展要求;系统未经授权而导致风险增加。
第二,可能存在的问题:测试环节直接使用业务数据;对系统变更和相关批准程序没有审计跟踪和记录;正式项目质量确认和生命周期规程评估程序的缺乏所导致的项目延误;缺乏全面测试和不协调的系统变更所导致的会计电算化综合业务系统停运。
(四)信息处理方面。
确保信息科技服务和信息处理的连续性是信息处理方面的目标。只有实现了这个目标,才能更好地保证会计电算化综合业务系统主要业务服务不发生中断。其中存在的风险和问题如下:
第一,可能导致的法律、操作风险和信誉风险:系统无法满足业务增长的需要;关键设备以及信息因非授权收取而影响;保密信息被泄露;系统长时闻停运。
第二,可能存在的问题:缺乏对重要的环境控制的定期维护;缺乏对敏感的操作环节进行控制;系统中心机的物理安全和环境控制措施不足;容量无法达到业务增长的要求。
(五)通讯网络管理方面。
确保网络连接和服务的连续性是通讯网络管理的目标。其中存在的风险和问题如下:
第一,可能导致的法律、操作风险和信誉风险:如“阻绝服务攻击”等的网络停运;保密信息因外部网络而泄露;网络连接未经过授权;网络瘫痪导致长时间业务停运;未遵守银监会的监管要求。
第二,可能存在的问题:网络抗冲击性脆弱;缺乏对关键的组件的监测;缺乏对内部网络的远程的安全控制措施;对需要在外部通讯网络上传输的数据未进行加密。
(六)技术服务提供商管理方面。
确保外包的信息科技服务能够获得有效和持续的管理是技术服务提供商管理的目标。其中存在的风险和问题如下:
第一,可能导致的法律、操作风险和信誉风险:将核心程序设计外包或者直接采用专业公司套装软件,过度依赖外部服务供应商;缺乏对需求要求改变时的修改和维护能力;外包设计人员管理留下风险隐患和外包软件本身设计缺陷;系统因低质量的服务而中断。
第二,可能存在的问题:外包管理不充分;数据隔离和区别不充分;服务水平协议不充分;缺乏对服务供应商经常性的服务状态评估;对外包的营运职能缺乏有效的应急方案和解除服务方案。
三、完善商业银行信息服务体系建设的措施
(一)抓好信息服务体系建设的风险管理工作。
首先,要明确责任。科技安全第一责任人的风险意识要加强,董事和监事会以及高级管理层都必须要对信息科技的风险负责,全系统由上到下的信息科技风险体系都应该是他们的责任。董事必须对于信息科技风险的战略规划、工作任务以及工作目标进行层层负责,评价分析审计结果,督促和落实整改方案。监事会必须对全过程的合理性、科学性以及充分有消息进行审计和评价,并调查董事会以及专职委员会以及高管人员的履职情况,以此同时质疑内部审计和外部审计工作。高层管理人员必须认真听取内部审计和外部审计的工作汇报,亲自抓好具体的组织实施工作,并且对于工作进行差距分析和敏感性分析,然后将工作方案进行及时调整,充分向董事会和监事会反馈和沟通对工作计划和工作任务的建议和意见。
(二)设立信息科技督导委员会。
信息科技督导委员会的任务是:对长期和短期信息科技战略规划进行制定和不断更新;提供日常的运行技术和科技服务支持,这个由信息科技督导委员会统一负责银行信息系统规划、研发、建设、运行、维护和监控来实现;建立实施恰当职责分离的信息科技组架构,制定清晰的岗位职责;提供充分的培训给信息科技从业人员;协助会计业务部门以及信息科技部门严格执行建立的有效的会计信息安全保障体系和内部控制规程;明确专门和独立的科技风险管理部门的岗位责任制度,并进行监督落实;对信息科技稽核审计部门配备适量地合格人员以及建立健全的会计信息系统风险审核制度方便风险审核。
(三)制定系统开发和变更项目管理体系和规则。
对开发项目生命周期的管理规则进行制定以及独立确认评价其中的主要技术相关项目。同时,隔离开发测试环境和实际使用环境,将用于测试的业务敏感数据进行删除,有充分的风险控制措施应对紧急变更,变更管理规程要有适当的措施。
(四)与客户资金、会计等业务部门签订服务水平协议。
制定正式的信息科技操作规程。制定充分地容量规划以适应本行的业务发展需要;持续性预防和矫正信息科技设施和装备;建立充分地咨询服务台和操作支持,及时检测和报告异常操作和事件。
(五)加强网络系统安全管理,强化网络性能监测。
隔离会计电算化综合业务信息系统与外部网络和办公管理网络;对控制互联网以及无线网的接入边界;有效降低信息泄露以及外部攻击,这可以通过进行身份认证、内容过滤、防火墙、病毒防范、数据加密等技术手段实现;网络分析工具的使用要进行严格控制;对无线内部网络制定安全控制措施;网络设施有充分地抗冲击性;定期评估网络设施的安全设置;审计跟踪以及记录监察关键网络设施中的日常活动;
(六)有效管理信息的采集、存贮、传输、使用、备份、恢复、抽检、清理、销毁等环节。
严格按照授权优化系统和数据库的安全设置和使用;对于信息的采集加工、传输以及存取不脱离会计综合业务。
(七)该消除“信息资源孤岛”,实现应用层面的互联互通。
要打破林立和由于数据内容缺乏应用形成的数据和资源的单独应用的情形。通过应用智能搜索引擎、建立目录索引指南、逐步搭建利用网格平台等多种方式收集信息,开发网络资源,共享数据资源。
(八)改进信息流管理方式,主动适应经营模式的变化。
为了使管理会计以及账务核算的信息采集和系统设计内核全面转向以用户、客户为中心,必须要适应矩阵式管理架构和组织扁平化的发展。根据中后台集约以及前后台分离的新
运营模式,管控数据,非线性的信息流转得以实现,加速信息的共享和兼容。
(九)加强信息服务创新,统筹把握信息价值。
信息服务必须坚持用创新来从容应变。要注重积累、提炼和运用文本信息中的关键要素,懂得借鉴国内外的先进经验,量化分析预测分类分层业务,重点支持差别化的挖掘服务,真正结合电脑和人脑,真正做到满足用户的需求,努力使数据、信息、知识和实践融为一体。
(十)加大信息科技资金投入。
加大对信息科技的资金投入是银行信息化系统服务建设的物质基础和基本条件。只有投入了充足的资金,才能够更好地建立起手段过硬、技术先进、保障有力的信息科技风险防范体系。银行需要结合银行存在的声誉、法律以及操作、战略风险,以实现前瞻性防范为目标,通过关注信息服务体系风险的新动向,加强技术风险的防范工作。
(十一)加强对资源系统研发、运行、维护过程中形成的各类技术文档资料和系统环境说明文件、以及重要数据的备份管理。
加强对应急处理机制以及信息通报机制的完善和安全监控的实行,演练、评审和修订应急预案;保留并异地存放副本,按照规定的年限保存,经过严格授权再调用;异地保存省域以下的数据,异地备份全国性的数据;通过提升信息服务系统的预警、应急处置和恢复能力,保证信息服务系统的稳定运行;通过对信息安全应急恢复系统的完善,保证系统的安全稳定运行。
(作者单位:中国社科院金融所,兴业银行信息中心)
参考文献:
[1]王小燕,田小丹,周建民.构建流程银行加速我国商业银行管理信息化建设.江苏商论,2008.2.
[2]张戚虎等.金融信息化建设与金融信息化教育.中国金融.2006.
[3] 尤川川.我国商业银行金融信息化脱状与展望.统计与决策.2006(17).
[4]郝向荣,李爱军.中国银行业金融信息化过程中的风险及其防范.价值工程2007年第10期.
关键词:企业税收;税收筹划;经营管理
中图分类号:F810.42 文献标识码:A 文章编号:1672-3198(2009)24-0209-02
目前,无论在理论还是实践中,人们对税收筹划都有不同的理解和表述。严格意义上的税收筹划,应该是以适应政府的税收政策导向为前提,以节税(tax saving)为主要手段的一种管理活动。但在实践中,纳税人的筹划方法往往与避税方法交叉在一起,以共同筹划实现财务目标,在这种情况下,税收筹划的基础就扩大到以不违背税收法律为前提,这样一来,就有了广义和狭义之分。广义是指纳税人为实现税后收益最大化为财务目标,在不违背税法的前提下,运用一定的技巧和手段,对自己的生产经营活动进行科学、合理、周密的安排,以达到少缴税款目的的一种财务管理活动。重点强调在不违背税法的前提下达到少缴税款的目的。它的内涵比狭义要大一些,通过税收筹划活动带给纳税人的利益比较大,纳税人也容易接受。狭义是指纳税人为实现税后收益最大化的财务目标,在税法允许的范围内以适应政府税收政策导向为前提,采用税法所赋予的税收优惠或选择机会,对自身经营、投资和分配等财务活动进行科学、合理的事先规划与安排,以达到节税目的一种财务管理活动。它的内涵要比广义较小:即在不违法的基础上必须符合税收政策导向,筹划的空间只能是税收优惠政策或选择机会,而不能利用政府的税收政策缺陷,筹划的手段局限于节税,而不能采用避税手段。因此.我国所推崇的税收筹划是一种狭义的理解,即节税筹划。
1 税收筹划的意义
在市场经济条件下。减轻企业税负是提高企业竞争力的一个重要手段,如何在国家法律允许范围内合理筹划企业的各种税金,使企业税负最轻,成为目前企业面临的关键问题之一。这就产生了企业如何筹划纳税问题。而竞争优势的形成按照波特竞争优势理论.主要靠降低成本和细分市场来获得,各种税金作为企业成本费用的一项主要来源,对企业的会计收益和企业目标的实现,有着重要的影响,又由于国家在经济发展上存有不同的政策倾向性,以及在不同地区、行业之间存在很大的税收政策差异性。这些都为税收筹划提供了广阔的空间和条件。这里从三个方面加以归纳;
一是可以提高企业的纳税意识,减少企业的税收负担,提高企业的经营管理水平和会计管理水平,实现纳税人财务利益最大化。
二是可以充分发挥税收政策的宏观调节作用。通过对纳税方案的择优.尽管在主观上是为了减轻企业的税收负担,但客观上却是在国家税收经济杠杆作用下,逐步走向优化产业结构和合理配置资源的道路,体现了国家的产业政策,从而发挥国家的税收宏观调控职能,有利于促进资本的合理流动和资源共享。
三是有利于促进不断调整和完善税收法律法规政策。国家的税收法律法规虽然经过不断完善,但在不同时期,由于经济的不断发展。仍可能存在一定的漏洞和不足之处。又由于税收筹划的反作用力,为国家进一步完善税收法律法规提供了依据,并起到了对它的验证作用。也促使税务部门及时了解税收法律法规和征收管理方面的不尽合理和完善之处,及时调整和完善,引导企业投资、经营、消费等方面按照国家宏观政策和市场规律去运作,推动依法治税的进程。
2 企业财务管理下的税收筹划应注意的问题
2.1 税收筹划必须遵守国家的税收法律、法规
具体表现在;第一,企业开展税收筹划只能在税收法律许可的范围内进行。必须依法对各种纳税方案进行选择,而不能违反税收法律规定,逃避税收负担。第二,企业税收筹划不能违背国家财务会计法规及其他经济法规。第三,企业税收筹划必须密切关注国家法律法规环境的变更。企业筹划方案是在一定时间、一定法律环境下,以一定的企业经营活动为背景来制定的,随着时间的推移,国家的法律法规可能发生变更,企业财务管理人员就必须对筹划方案进行相应的修正和完善。只有在这个前提下,才能保证所设计的经济活动、纳税方案为税收主管部门所认可。否则会受到相应的惩罚,并承担法律责任,给企业带来不必要的损失。
2.2 税收筹期应从总体上系统地进行考虑
税收筹划的最终目的是实现税后利润最大化财务管理目标,即取得“节税”的税收利益。这表现在两个方面。一是选择低税负,即降低税收成本,提高资本回收率;二是迟延纳税。不管是哪一种,其结果都可以实现税收支出的节约。要进一步考虑的是,作为企业财务管理的一个子系统,税收筹划应始终围绕企业财务管理的总体目标来进行。筹划的目的在于降低企业的税收负担。但并不一定带来企业总体成本的降低和收益水平的提高。例如,税法规定企业负债利息允许在企业所得税前扣除,因而负债融资对企业来说具有节税的财务杠杆效应,有利于降低企业的税收负担。但随着负债比率的提高,企业的财务及融资风险成本也随之增加,当负债成本超过了息前的投资收益率,负债融资就呈现出负杠杆效应,这时权益资本的收益率就会随着负债比例的提高而下降。因此,企业进行税收筹划时,如不考虑企业财务管理的总体目标,只以税负轻重作为选择纳税方案的唯一标准,就可能会影响到财务管理总体目标的实现。
2.3 税收筹划要服从于财务决策过程
企业税收筹划是通过对企业经营的安排来实现的,它直接影响到企业的投资、融资、生产、分配。如果企业的税收筹划脱离企业财务决策,必然会影响到财务决策的科学性和可行性,甚至导致企业做出错误的财务决策。
2.4 税收筹划应进行成本一效益分析
税收筹划的根本目标就为了取得效益。所以,要重点分析对其财务利益有重大影响的筹划显性和隐性成本,只有筹划成本低于收益时,方案才可行。一项成功的税收筹划必然是多种税收方案的优化选择。必须综合考虑。
2.5 税收筹划应考虑货币的时间价值
企业的税收筹划不是企业税收负担的简单比较,必须充分考虑到资金的时间价值,因为一个能降低当前税收负担的纳税方案可能会增加企业未来的税收负担。这就要求企业财务管理人员在评估纳税方案时,要引进资金时间价值观念,把不同纳税方案、同一纳税方案中不同时期的税收负担折算成现值来加以比较。
2.6 税收筹划应在纳税义务发生之前进行
企业进行税收筹划时,必须在国家和企业税收法律关系形成以前。根据国家税收法律的差异性,对企业的经营、投资、理财活动进行事先筹划和安排;尽可能地减少应税行为的发生,降低企业的税收负担,才能实现税收筹划的目的。如果企业的经营、投资、理财活动已经形成。纳税义务已经产生,再想减轻企业的税收负担,那就只能进行偷税、欠税,而不是真正意义的税收筹划。税收筹划需在应税经济行为之前进行,并指导经济活动的运行。
2.7 税收筹划应注意风险的防范
购物车(0)
