發布時間:2017-04-04所屬分類:經濟論文瀏覽:1次
摘 要: 隨著科技的不斷進步,在金融方面運用了很多的信息管理方式。但是,由于科技信息也存在眾多的漏洞,需要對此進行完善,來確保我們國家及個人的金融安全。下面是小編整理的金融安全管理方向論文(2篇),希望你能從中得到感悟! 》》》 在線投稿 《《《 金融安全
隨著科技的不斷進步,在金融方面運用了很多的信息管理方式。但是,由于科技信息也存在眾多的漏洞,需要對此進行完善,來確保我們國家及個人的金融安全。下面是小編整理的金融安全管理方向論文(2篇),希望你能從中得到感悟!
》》》在線投稿《《《
金融安全管理論文篇一
加強反洗錢管理工作 確保金融安全運行
洗錢具有很大的危害性,不僅影響金融業的健康發展,而且還會對經濟建設和社會穩定產生嚴重破壞。農村信用社應當充分認識到開展反洗錢工作的重要性,嚴格按照有關法律法規規定,采取必要措施,積極開展反洗錢工作,維護金融秩序的穩定? 從目前農村信用社反洗錢工作的開展情況來看,由于認識層次、內部控制、組織機構及技術手段等多方面的原因,反洗錢工作還存在一些問題。
一、農村信用社反洗錢工作存在的問題
(一)思想認識不到位,反洗錢意識淡薄
人民銀行總行先后發布了《反洗錢法》、《金融機構反洗錢規定》、《人民幣大額和可疑支付報告管理辦法》、《金融機構大額和可疑外匯資金交易報告管理辦法》,1997年我國新頒《刑法》191條明確了“反洗錢罪”。但是,這一系列條例、法規在農村信用社網點中的學習、貫徹、執行力度參差不齊,大部分僅停留在略知一二的層面上。一線員工反洗錢意識淡薄,普遍缺乏反洗錢工作經驗。而多數基層網點負責人也未能充分認識反洗錢的重要性,對反洗錢工作人員的教育還不夠深入,還有部分基層網點負責人認為,追求效益最大化是企業的目標,反洗錢工作不僅增加了工作流程、工作強度和經營成本,而且還可能因為制度的執行影響客戶關系,導致資源流失,影響自身經營和效益,因而這項工作對基層網點來說,當面臨監管職責和自身利益的矛盾時,他們往往還會在不違背大原則的前提下,為滿足客戶的需要而進行一些違規操作。
(二)銀行內控制度不健全或不能得到有效落實
部分農村信用社反洗錢內部控制制度不健全,反洗錢規章制度不詳細,內部制度建設流于形式,嚴重制約了反洗錢工作的效率。再加上基層網點反洗錢意識淡薄,未能嚴格執行“客戶身份識別”制度,對反洗錢客戶盡職調查工作敷衍了事,對客戶的認定僅限定于《公民聯網核查系統》,核查工作缺乏主動性;同時,由于對客戶的宣傳不夠,社會公眾仍然缺乏對反洗錢政策的了解,使金融機構進行客戶盡職調查時遇到較多阻力。很多客戶對反洗錢的重要性認識不足,對客戶盡職調查不理解,不愿意透露職業、收入狀況、資金來源和去向等和反洗錢工作密切相關的信息,而《反洗錢法》中,對客戶的義務規定僅限于應當提供真實有效的身份證明文件,難以給予銀行更多的法律支持,使客戶盡職調查工作難以達到要求。
(三)客戶身份識別存在難點
“了解你的客戶”是金融機構反洗錢工作的基本要求。無論是對公客戶還是對私客戶,在開戶時大部分會采用居民身份證作為身份證件,公安聯網核查系統的出現,為銀行識別客戶身份證件的真實性提供了保障。但是,其他合法個人證件難以識別。按照規定,在開立賬戶時,客戶提供的軍官證、警官證、外籍護照等也屬于合法證件,但一方面大部分金融機構營業網點沒有配置識別這些證件真實性的輔助設備,另一方面金融機構大多數的柜員對這類型證件既不熟悉它的防偽標志也沒掌握其識別要點,因此,大多數銀行柜員只能憑直觀感覺對這些證件的真偽進行判斷。目前已經有不法分子利用銀行不熟悉非常規證件鑒別的漏洞,采用非居民身份證證件辦理金融業務進行不法活動。而銀行對客戶的了解,也僅限于掌握客戶開戶資料的合規性內容,對客戶的經營狀況、關聯企業狀況、主要資金往來對象、經營范圍等信息缺乏真實的、詳細的了解。
二、農村信用社反洗錢工作的對策和建議
(一)強化反洗錢意識,培養反洗錢骨干隊伍
反洗錢培訓是銀行開展反洗錢工作必不可少的前提,是銀行內部控制制度的重要組成部分,其目的是保證銀行各個層級的工作人員都樹立洗錢風險意識、反洗錢法律意識及合規意識,明確自身應當承擔的責任,保證員工了解反洗錢法律法規的具體要求,掌握反洗錢工作必備的技能。以豐富多彩的形式,開展反洗錢宣傳活動,提高基層網點負責人對反洗錢工作的認識,促使他們對當前洗錢的嚴峻形勢及反洗錢的重要意義有所了解,讓他們能夠正確對待反洗錢在工作中形成的短期利益與長遠利益的關系,從而在工作中,自覺地履行反洗錢的工作義務。與此同時,通過制定和實施由淺入深的系列培訓計劃,從提高從業人員的反洗錢知識、技能出發,著重加強反洗錢專業知識培訓,培養一批具有反洗錢專業技能的業務骨干。培訓應遵循“不同對象、不同方式、不同層次、不同內容”的原則,可采取實地培訓、網絡培訓、舉辦培訓班、組織反洗錢有獎知識競賽、在基層網點開展巡回指導、案例剖析、以會代訓等豐富多樣的形式,以點帶面,豐富和提高金融從業人員的思想素質、反洗錢意識和反洗錢操作技能,全面提升銀行業反洗錢工作水平。
(二)建立健全反洗錢內控制度
反洗錢內部控制制度是銀行反洗錢工作順利開展的基礎。如果一個銀行的內部控制制度不健全,反洗錢工作將難以有效開展。在構建反洗錢內部控制的過程中,銀行應目標明確,有的放矢,使內部控制的方法、程序及措施在反洗錢工作中切實發揮保障作用。農村信用社應根據自身的特點和經營情況,制定適合本單位的反洗錢制度措施,將反洗錢法律、法規和部門規章要求,分解、細化落實到具體管理和業務流程當中去,并以此作為內部管理考核、獎勵和懲罰的依據,增強反洗錢制度的操作性和實效性,努力將各項制度、規定落到實處。并指導網點營銷人員正確認識和處理好反洗錢與業務發展的關系,依法經營,依法履行反洗錢的有關職責。
(三)全面推進客戶身份識別
客戶身份識別是我國反洗錢法律制度的強制性要求,是銀行及其工作人員必須履行的法律義務。是銀行做好客戶風險分類、大額交易和可疑交易報告、客戶身份資料和交易記錄保存及其他反洗錢工作的基礎。農村信用社應嚴格按照人民銀行《客戶身份識別和客戶身份資料及交易記錄保存管理辦法》等相關制度要求,開展客戶身份識別工作。執行銀行賬戶實名制,實行“了解你的客戶”的原則,充分利用居民身份聯網核查系統、身份證鑒別儀,做好客戶盡職調查,對居民的身份信息進行核實。了解客戶背景、交易目的、交易性質、資金來源和用途。保存身份文件和交易記錄,為司法和執法當局日后的追查提供翔實的金融信息資料,達到利用有效的金融信息控制洗錢的目的。四是重點審查高風險客戶,對于高風險客戶,金融機構內部審查的頻率應遠遠高于低風險客戶,盡職調查程序要得到客戶個人財產、資金來源等問題的答案。
金融安全管理論文篇二
金融機構信息資產安全與操作風險管理
金融機構操作風險具有不同于信用風險和市場風險的顯著特征,是其基礎性風險。巴塞爾委員會對操作風險的定義是:“操作風險是指由不完善或有問題的內部程序、人員及系統或外部事件所造成損失的風險。”它是指由于不當或不足的方式操作業務或外部事件而對銀行業務帶來負面影響的可能性。操作風險是與銀行業務操作緊密相聯系的風險,它和信用風險、市場風險共同構成商業銀行的三大風險。對于操作風險的監管。直接涉及銀行信息資產風險的監管,銀行信息資產風險監管與操作風險監管有著密切關系,加強操作風險的監管,就必須高度重視信息資產風險的監管。
一、IT環境下操作風險的挑戰
(一)IT環境下操作風險的隱患
當前由于銀行系統漏洞或缺陷導致的操作風險事件呈現出上升趨勢。據銀監會通報,2007年以來銀行業發生的5起典型信息系統風險事件,分別是:2007年3月21日,交通銀行因主機監控軟件存在缺陷,導致業務交易阻塞,系統癱瘓近4個小時,所有營業網點無法正常開展業務;2007年8月15日,中國工商銀行對計算機系統進行升級,由于沒有避開業務高峰期,導致個人業務系統運行不暢,業務辦理速度緩慢,部分代理證券業務受阻,在持續5個半小時后,系統才逐步恢復正常;2007年10月18日,中國建設銀行股民保證金第三方存管系統出現故障,與券商的交易無法正常進行,事故持續了兩個小時,在證券交易收盤后才恢復正常;2007年12月21日,招商銀行因運行中心核心網絡設備出現故障,造成業務無法正常進行,雖啟動了應急預案,但仍然中斷營業近1個小時:2008年1月7日,北京銀行因主干專線的入戶接入設備發生故障,造成在京117家支行所屬網點柜臺交易緩慢,業務無法正常進行,故障在1個多小時后才得以解決。上述案例中,既有信息系統自身原因引發的故障,也有人員操作失誤引發的故障,信息系統風險已成為商業銀行關注和防范的焦點。
(二)lT環境下操作風險的表現形式
技術導向型操作風險是指由于技術問題,特別是信息技術的應用對銀行的系統、流程、產品、服務和交易等產生不良影響而導致的操作風險,包括IT技術、網絡系統、產品的服務缺陷。以及外部法律、稅收和監管方面的變化對銀行沖擊而造成的風險。關于金融機構技術導向型操作風險涵蓋的范疇及其風險的含義,在2006年出臺的銀行業監督管理法中給出了明確定義:“主要包括總體風險,研發風險、運行維護風險、外包風險等信息系統生命周期幾個高風險點……其中,總體風險是指金融機構信息系統在策略、制度、機房、軟件、硬件、網絡、數據、文檔等方面影響全局或共有的風險;研發風險是指信息系統在研發過程中組織、規劃、需求、分析、設計、編程、測試和投產等環節產生的風險;運行維護風險是指信息系統在運行與維護過程中操作管理、變更管理、機房管理和事件管理等環節產生的風險;外包風險是指金融機構將信息系統的規劃、研發、建設、運行、維護、監控等委托給業務或外部技術供應商時形成的風險。”
二、金融機構信息資產安全的需求
金融機構信息系統是指銀行業金融機構運用現代信息、通信技術集成的處理業務、經營管理和內部控制的系統。金融機構信息系統具有如下特點:1.金融信息化的建設以及網上銀行業務的迅猛發展,使得銀行等金融機構的業務集中度非常高。2.數據大集中后,由于單筆交易所跨越的網絡環節越來越多,信息系統對網絡的依賴性越來越高。3.信息安全性要求高,信息系統的各種文檔資料和用戶資料均需保密。
(一)信息資產安全的邊界
有關信息資產的含義,目前眾說紛紜,本文借鑒屈延文(2006)給出的定義,即信息資產是由信息范疇資產、系統范疇資產和附加范疇資產組成。其中信息范疇資產是指信息存在形式、信息內容、內容價值;系統范疇資產是指系統存在形式、系統行為、行為價值;附加范疇資產則是不同的關注者(計劃者、擁有者、設計者、實施者和用戶等)對信息與系統兩個范疇關注的需求價值(附加價值)。例如包括開發、運營、管理、維護和服務等產生的關注性的資產。
隨著信息技術的發展與應用,信息安全的內涵也在不斷的延伸。從最初的信息保密性發展到信息的完整性、可用性、可控性和不可否認性,進而又發展為“攻(攻擊)、防(防范)、測(檢測)、控(控制)、管(管理)、評(評估)”等多方面的基礎理論和實施技術。
(二)信息資產安全性原則
信息,在ISO17799中被看作是一種資產,這種資產可以增加組織的價值,因而它也需要得到恰當的保護。信息資產安全需要保護信息資源,防止未經授權或偶然因素對信息資源的破壞、修改、非法利用或惡意泄露,以實現信息保密性、完整性與可用性的要求。在國際標準化組織的信息安全管理標準規范(1SO,IEC 17799)和其他一些機構的文
獻中,都定義了信息安全的基本特性:如保密性,完整性。有效性;另外也可包括諸如真實性,可審計性,不可否認性和可控性等。
三、金融機構信息資產操作風險監管的對策
風險監管是信息資產安全管理的核心。信息系統風險管理的目標是通過建立有效的機制。實現對信息系統風險的識別、計量、評價、預警和控制,推動銀行業金融機構業務創新,提高信息化水平,增強核心競爭力和可持續發展能力。
(一)信息資產操作風險管理的原則和目標
實施信息資產風險管理的原則為:1.針對性。對金融機構信息資產所面臨的安全需求進行認真全面地分析,找出具有針對性的安全威脅。有的放矢地做好安全工作:2.均衡性。對信息安全的各個環節進行安全強度分析,找出信息安全的脆弱點,提出強度均衡的設計方案;3.時效性。在實施信息安全管理時,要量力而行,安全投入與所需要的功效相適應。即對信息安全面臨的威脅及可能承擔的風險進行定性和定量的分析,從而制定出合理的安全策略;4.獨立性。信息安全所采用的技術均應立足國內,不得直接引用未經消化改造的境外安全保密技術和設備;5.綜合性。信息安全必須通過技術、管理和安全基礎設施的綜合實施才能奏效,即信息安全=風險分析+執行策略+基礎實施+漏洞監測+實時響應。
金融機構信息資產安全管理的目標為:一是對信息資產安全現狀做出正確判斷;二是較為準確地估計特定系統風險;三是建立相應的控制風險的機制,并把這些機制融為一體形成防護體系;四是最大限度地提高系統的可用性,并把系統帶來的風險控制在可接受范圍內。
(二)構建信息資產操作風險管理框架
信息安全風險是人為或自然的威脅利用系統存在的脆弱性引發的安全事件,并由于受損信息資產的重要性而對金融機構造成的影響。資產、威脅和脆弱性構成了風險的三個關鍵要素,而風險評估則是圍繞這些要素及其相關屬性依據國家有關管理要求和技術標準,對信息系統及其存儲、處理和傳輸的信息的機密性、完整性和可用性等安全屬性進行科學、公正的綜合評價的過程。本文借鑒MSF風險管理框架,建立以操作風險管理為核心的信息資產安全模型。即風險識別、風險分析和分級、風險計劃和調度、風險跟蹤和報告、風險控制以及風險學習六個步驟。
1 風險識別。風險識別的目的是發現潛在的威脅,預防某個特定威脅利用某個特定系統的脆弱性對系統造成損失,威脅可以通過威脅主體、資源、動機、途徑等多種屬性來描述。造成威脅的因素可分為人為因素和環境因素。風險識別應該在信息系統的生命周期中不斷地重復。
2 風險分析與分級。風險分析是對信息及信息處理設施的威脅、影響、脆弱性及三者發生的可能性的評估。它是確認安全風險及其大小的過程,即利用定性或定量的方法,借助于風險評估工具,確定信息資產的風險等級和優先風險控制。
3 風險計劃和調度。風險計劃提取風險分析中獲得的信息并用其明確表達策略、計劃和工作。風險調度可以確保計劃被認可并融入標準的日常信息資產安全管理進程和基礎設施中,從而確保風險管理作為日常工作的一部分執行。
4 風險跟蹤。風險跟蹤監控特定風險的狀況以及它們各自工作計劃中的進展情況。風險跟蹤也包含監控變化風險的概率、影響、暴露程度以及其他因素,這些變化可能改變優先級或風險計劃、信息資產特性、資源或是進度表。風險跟蹤從風險等級的角度定義風險管理過程在信息資產中的可見度。
5 風險控制。風險控制是執行風險工作計劃和相關現狀報告的過程。風險控制也包含項目變化控制請求的初始化,而風險狀況或風險計劃的更改可能導致信息資產特性、資源或進度表的更改。
6 風險學習。使知識和相應項目案例及工具正式化,并在團隊和企業內部以可再度使用的形式提取知識。
信息系統的安全性、可靠性、有效性直接關系到整個金融業的安全和穩健運行。在當前構建和諧社會的重要階段,金融業的安全變得更為關鍵。操作風險防范的重要內容就是從技術防范為主的被動信息安全轉移到以預防為主的主動風險管理框架中來,把風險控制在可承受的范圍之內,為社會提供安全、持續的金融服務。
SCISSCIAHCI
