风险管理工作计划
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇风险管理工作计划范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
风险管理工作计划范文第1篇
以科学发展观为指导,坚持围绕中心、服务大局,标本兼治、纠建并举,健全和完善维护群众权益机制,认真解决人民群众反映强烈的突出问题,为实现县委、县政府提出的“保增长、保民生、保稳定、保生态”的目标任务提供坚强保证。
二、主要任务
(一)推进三项工作
《关于转发〈关于加强民主评议基层站所工作的指导意见〉的通知》(云政纠办〔〕03号)和纠风办《关于印发〈年民主评议市县政府职能部门实施方案〉的通知》(西政纠办〔〕02号)要求,用三年左右的时间广泛开展民主评议基层站所的工作,今年结合我县“作风建设年”和“效能政府”建设,重点推进县政府职能部门的民主评议政风行风工作,促进作风建设,提高行政效能和服务质量。
《省监察厅贯彻落实〈关于加快非公有制经济发展的决定〉的实施意见》(云监〔〕40号)要求,在深入开展调查摸底的基础上,对符合挂牌保护条件的非公有制企业实行挂牌保护。
结合新时期新任务要求,强化对部门、单位政风行风有效监督,及时发现和收集群众反映强烈的突出问题,加大预防和源头治理力度,建立群众反映问题的受理、整改和反馈机制,建立和完善政风行风监督员和政风行风监测点制度。
(二)突出三个重点
一是突出强农惠农资金落实为重点,减轻农民负担。加强对财政支农惠农资金的监督检查,促进中央、省、和县强农惠农政策落实到位。坚决纠正农村土地承包、流转、征地拆迁中的违规行为,严格落实被征地农民补偿措施,切实维护农民土地承包经营权益;继续对“家电下乡”等补贴政策落实情况进行监督检查,确保农民得到实惠;加强涉农收费监管,防止农民负担反弹;严厉打击制售假劣农资坑农害农等问题。
二是突出清理涉企收费和各种摊派为重点,减轻企业负担。全面清理涉企的各种收费,取消不合理收费项目,降低过高收费标准,坚决纠正面向企业乱收费、乱摊派、乱罚款等问题,完善涉企收费相关政策法规,逐步建立加强企业负担监管的长效机制。
三是突出清理规范检查、考核活动为重点,减轻基层组织负担。巩固和深化清理规范评比达标表彰活动成果。清理和规范县级面向基层的检查考核活动。严格控制和规范庆典、研讨会和论坛活动。坚决查处利用庆典、研讨会和论坛活动为单位和个人谋取私利等问题。
(三)继续开展六项治理工作
一是继续治理食品药品安全突出问题。继续开展打击违法添加非食用物质和滥用食品添加剂专项整治行动,严厉打击制售假劣食品、药品行为;严肃查处食品药品安全监管中的失职、渎职行为;完善食品药品监管制度,建立健全食品药品安全监督网络平台,认真受理解决群众对食品药品安全问题的举报投诉。
二是继续治理教育乱收费。加强对教育经费投入和使用的监督检查,确保教育惠民政策落实到位;认真解决义务教育阶段择校乱收费和教辅材料散滥和强行征订的问题;严格执行公办普通高中招收择校生“三限”(限分数、限人数、限钱数)政策;严禁高中招收借读生收取借读费;严禁中小学补课收费;严禁挤占、挪用、截留、平调教育经费;进一步规范中小学代收费、服务性收费行为。
三是继续治理医药购销和医疗服务中的不正之风。进一步推进以政府为主导、以省为单位的网上药品集中采购工作,完善监管办法,规范网上药品集中采购工作;规范诊疗服务行为,扩大按病种付费范围;全面推行院务公开和医德医风考评机制,加强医药领域诚信建设。
四是继续治理行业协会、市场中介组织服务和收费中不正之风;加大力度推进行业协会与政府主管部门在机构、职能、人员、财务等方面彻底分开;坚决纠正和严肃查处行业协会、市场中介组织乱收费、乱摊派、垄断服务、强制收费,以及参与造假、贿赂等违法违纪行为。
五是建立健全对“四项资金”(社保基金、住房公积金、扶贫资金和救灾救济资金)等政府专项资金监管机制,加强对大额资金的实时监控;认真纠正和查处资金分配、管理、使用过程中的违法违纪行为,确保资金安全,提高资金使用效率。
六是继续深化治理公路“三乱”。进一步落实治理公路“三乱”服务承诺制,巩固我县所有公路无“三乱”工作成果。加强治超站(点)管理,落实源头监管措施,规范路上执法特别是治理超限超载执法行为,坚决纠正违规执法及乱收费、乱罚款等问题;落实鲜活农产品运输“绿色通道”政策,提高鲜活农产品运输车辆通行效率。
二、工作要求
(一)强化组织,落实责任。各职能部门要把纠风工作摆在更加突出的位置,切实加强组织领导。要坚持“谁主管谁负责”和“管行业必须管行风”的原则,切实认真抓好本部门、本系统的纠风工作。各派驻监察分局,要督促所联系部门抓好纠风工作。县纠风办要充实力量做好督促、协调和监督、检查工作,确保各项任务落到实处。
(二)强化案件查处,严格实行责任追究。要把查处各种乱收费、乱罚款和不给好处不办事、给了好处乱办事等作为查处重点,进一步加大工作力度,务求取得新的成效。对群众举报投诉要及时受理、认真办理、按时办结;对严重损害群众利益、社会影响恶劣的典型案件以及带有苗头性和倾向性的案件,要严肃查办。
风险管理工作计划范文第2篇
中石油克拉玛依石化有限责任公司销售总公司新疆克拉玛依834003
摘要:销售经营风险管理,就是结合公司年度销售经营业绩目标,进行重大风险评估及监督管理,形成风险管理的长效机制,确保销售经营目标实现。本文对如何加强销售经营风险评估管理与监督防范途径、方法进行初步探索,提出了加强和改进建议。
关键词 :销售经营风险;评估;监督;管理
全面风险管理就是要求国有企业提高风险意识,规避风险,减少风险带来的损失,提高经济效益和社会效益。现就克拉玛依石化公司销售总公司如何加强销售过程经营风险评估管理与监督防范途径、方法进行探索与总结。
1 销售经营风险管理现状
1.1 全面风险管理是一门新兴学科,大家的风险意识还比较淡薄,对开展风险管理工作的意义认识不足。
1.2 大家对QHSE 体系中的风险管理,诸如安全风险识别、防范、管理等过程、目的比较熟悉,认知度较高,但对经营风险管理的意义、途径认知度有待提高。
1.3 从实践上看,尽管销售经营风险管理工作已开展起来,但与其他各项管理工作还未能达到全面系统和有机结合,销售经营风险管理工作的风险预警、风险防范作用还未真正发挥。
2 销售经营风险评估管理途径尧方法
2.1 明确年度销售经营目标。销售风险评估管理的目标就是确保销售经营目标的实现。因此首先要根据国、内外环境因素、国家产业政策导向、中石油整体发展战略等确定公司的生产、销售经营指标,明确公司年度销售经营目标。
2.2 确定风险标准。根据《集团公司风险分类框架》,结合历年销售工作运行情况,分析影响风险的因素,确定《风险发生可能性等级标准》、《风险影响程度等级标准》。
2.3 评估风险等级。依据工作实际,加强对每一种风险的风险源、风险成因、发生的可能性、影响程度进行分析,对风险产生的可能影响,对年度销售目标实现的影响程度进行评估,形成《风险数据库》,为风险管理工作提供依据、参考。
2.4 评估产生重大风险。通过对风险的分析、评估,产生得分较高的前十大或前三大风险,在实际工作中尤其予以重视,要严密关注,加大管控力度。
3 风险监督防范途径尧方法
3.1 重大风险防控措施制定。重大风险评估出来之后,制定相应的防范对策是主要任务。要分析风险成因,制定风险管理策略,针对每一种可能存在的销售风险确定相应的风险管理应对措施。
3.2 月度工作风险评估及风险预警应对。为确保公司生产经营活动的有序开展,在实际销售经营工作中,认真做好风险防控工作,严密关注一般风险,严格控制重大风险,按月进行风险评估、分析、评价、预警,形成《* 月工作风险评估及风险预警应对》、《* 月风险评估及风险预警应对执行进度》,通过分析、检查及时发现问题,及时解决问题,不断改进、提高销售经营风险管理水平,确保各项销售经营业绩目标的顺利实现。
3.3 建立风险事件库。每季度收集风险事件,包括已发生在企业的日常生产经营及管理过程中,因内部或外部因素导致在财务、声誉、合规、安全、环境、营运中一个或多个方面产生损失的事件和具有的潜在的事故隐患或险情,发生或发现后得到了及时、有效处理的未遂事件,建立起《风险事件库》,以警示大家不再发生类似事件。3.4 年度总结并制定下一年度风险管理计划。及时进行年度风险评估管理工作总结,并初步制定下一年度风险防控计划。建议主要从以下方面进行总结并制定相应计划:严格防控国家产业政策导向风险,有效避免国家相关政策的变化给公司经营带来的不确定性;紧盯市场需求风险,准确抓住市场机遇,有效推进销售经营工作;关注竞争风险,适时调整生产销售方案,不断开拓市场新需求;严格防控销售风险,合理利用有限的运输资源实现出厂销售,确保生产后路畅通;价格风险密切跟踪分析市场行情变化,积极做好价格研究与推价工作。
3.5 2015 年上半年风险管控成效。在实际工作中,销售总公司密切关注、严格控制可能影响销售业绩指标实现的各类风险的发生,坚持做好月度风险评估及风险预警应对工作,收集汇总各科室、单位当月销售各环节风险,并进行风险原因分析、评估可能产生的影响、确定风险等级、制定风险防控措施等,注意跟踪风险防控管理工作进展情况,并于次月总结、公布风险防控管理进度,切实做好计划管理、产销协调和装车、运输组织等销售各环节工作,有效地保障了产销平衡和生产后路畅通,确保了各项销售经营业绩目标的实现,2015 年上半年完成销售计划的102.97%,未发生大的风险损失事件。
4 进一步加强销售经营风险管理的建议
4.1 鉴于全面风险管理是一门新兴学科,注重全员参与,因此,要适时加强风险管理知识培训,促使员工及时掌握风险管理的理论知识,不断提高风险防范意识和风险防控水平。
4.2 建立风险管理的监督与改进机制,及时监督检查、及时改进完善,并形成风险管理工作报告,确保企业整体管理水平的不断提升,使企业全面风险管理工作步入畅通的闭环管理模式。
4.3 销售风险评估、监督管理工作应与日常销售管理工作密切结合。将销售风险管理工作纳入月、年重点工作计划及月、年工作总结中,在具体的销售工作及环节中,有针对性地加强风险防控,确保将风险控制在与销售业绩目标相适应并可承受的范围内,确保企业不因灾害性风险或人为失误而遭受重大损失。
4.4 应建立信息管理系统。及时将风险评估结果、月度风险预警、月度风险监督、月度销售业绩进展情况在一定的范围内公开,比如传送至相关领导、销售业务人员的信箱中,或上传于公司网页上,尽可能多地为领导及销售业务人员提供相关决策信息,为领导决策及销售业务人员实现销售指挥提供有效依据。
风险评估管理工作是公司加强企业内部管理的一项重要工作,它的有效实施,使影响企业经营目标的风险得到有效控制,使管理更加精细化和科学化。要进一步提高员工风险控制意识、规范操作意识,继续加强风险评估管理工作,切实将内控管理制度落实到位,及时堵塞管理漏洞,真正实现风险实时有效监控,努力规避企业的各种风险,确保销售业务健康稳定发展。
参考文献
[1《] 管理学家》,2013年第10期.
[2]2014 年中国石油集团公司《. 关于开展重大风险评估暨风险管理报告编制工作的通知》.
风险管理工作计划范文第3篇
一、企业存在的财务风险
企业存在的财务风险是多方面的,从当前实际情况看,主要存在印章管理风险、大额现金支付风险、坏账风险和现金流风险。印章在我国企业中广泛应用,印章不仅仅是权力与身份的象征,更是企业对外进行社会经济活动的诚信凭证与法律依据,如果印章管理不善,都有可能在一纸文件上给企业带来或大或小、或明或暗的风险。大额现金支付一方面增加了企业成本和工作量,另一方面在当前复杂的社会形势下,也使企业承担着较大的风险。坏账实质是应收款问题,应收款过多,不仅占用企业资金,影响企业资金流转,而且时间一长,容易形成坏账,给企业造成较大的经济损失。现金流风险是指企业现金流出与现金流入在时间上不一致所形成的风险。当企业的现金净流量出现问题,可能会导致企业生产经营陷入困境、收益下降,也可能给企业带来信用危机,使企业的形象和声誉遭受严重损失,最终陷入财务困境,甚至导致破产。
二、推进财务风险管理
财务风险给企业造成财务困境,严重影响企业的正常生产经营工作,我们必须按照企业内部控制制度、企业会计准则、税务管理法则的要求,扎实推进财务风险管理,减少资产安全风险、降低运营成本,提高企业经济效益。
1、加强印章管理风险管理
在印章管理上,要做到专人保管,未经领导审批同意,不得带出企业;确需带出企业办事,经领导审批同意后,由印章保管人随同前往,按领导审批意见使用印章。企业内部严格实行“先授权、再盖章、后审核”的授权用印模式,防止出现“多盖滥用,偷盖盗用”印章的现象。
2、加强大额现金支付风险管理
大额现金支付存在较大风险,要尽量少采用大额现金支付,必须采用大额现金支付,严格按照大额现金支付制度执行,严格审查大额现金支付用途,验明大额现金领用人的身份,确实无误方可支付大额现金,防范出现大额现金支付风险。
3、加强坏账风险管理
在坏账风险上,要重视对应收款的管理,定期进行清理,制定应收款收回计划,采取坚决措施,把应收款及时收回,防止出现坏账,给企业造成损失。同时,加强产品销售管理,防止赊帐过多,对赊帐要确定一定比例,超出比例要坚决停止赊帐销售,以防应收款过多,产生坏账风险。
4、加强现金流风险管理
在现金流风险上,要采取切实有效的预警方法,防范在营运资金风险、信用风险、流动性风险、投资风险和连带风险上发生现金流风险。对现金流出现异常情况,要及时分析原因,采取措施,加以纠正,把现金流风险降到最低点。
5、加强资产的统计考核
加强资产统计考核才能防范财务风险发生,在做好资产统计工作的同时,要加强资产考核,重点考核资产投入产出比:净资产收益率、总资产贡献率、固定资产收益率等;重点考核资产的日常营运能力:存货周转率、应收帐款周转率等;重点考核资产盈利能力:成本费用率等;这里面总资产贡献率、成本费用率作为考核的重点。
风险管理工作计划范文第4篇
(一)全面风险管理工作完成情况。
设备维修中心(以下简称中心)面临的风险主要是内部风险,内部风险又主要是安全风险及内控风险。
1.安全管理方面:2017年,中心坚持“安全第一,预防为主,综合治理,动态防控”的安全管理方针。完善安全管理制度体系:下达安全1号文件、落实包保责任5号文件、成立安委会6号文件、安全账户7号文件、强化安全管理21号文等文件,不断夯实安全管理制度体系;以维修站质量标准化为重点,提升班组定置定点管理,突出精细化,安全文明生产再上台阶;严格落实隐患排查制度,强化每月三查,动态巡查工作,共排查整改隐患629条;结合“党员干部每周一课”活动,深入开展案例教学、视频教学,建立定期培训与专项培训常态机制,开展安全形势循环宣讲13次,安全知识、技术标准、操作规程等系列培训91课时,持续提升班组自我管理能力;设置专职安全员2名,兼职安全员3名,全面落实安全作业动态监管、流动监控机制,下达中心领导及管理人员三违查处指标,确保每天现场都有专人巡查;落实安全联保互保机制,签订《安全目标责任书》、《联保互保责任书》;全面落实“夏季三防”及“冬季三防”各项措施,安全保障能力得到持续加强。
2.内控管理方面:年度修订完善21项内控管理制度,涉及安全、考核、分配、结算、材料、计划、质量、设备、运输等各个方面,进一步提升管理的制度化、流程化;下功夫狠抓流程管理、票据管理,将业务落实到流程,将流程落实到人,所有业务有据可查、有票可依,用票生产、用票结算;开展设备核查一次、清查一次,确保账物相符,落实设备档案管理,杜绝遗失;实现全员计件,每月逢5核查,制定完善定额370余件,推动计件考核全员铺开;以成本核算为基础,加大成本考核力度,做好定置管理,强化领用,降低材料消耗,尤其针对大型租赁设备的检修,将材料消耗核算到单台设备。
截至2017年12月底,中心未发生轻伤及以上安全事故,未发生财务、工资分配、计件考核、材料验收采购等内部控制失控风险,维护了中心健康稳定的生产经营环境。
(二)企业重大风险管理情况。
2017年度,中心未发生重大管理风险。
(三)建立健全风险管理体系有关情况。
1.专项风险管理情况
(1)资产损失风险:中心加强防控资产缺件少件及丢失风险,年初安排资产专项清查一次,确保了账物相符,同时加强资产账目的管理,针对新增资产、报废资产、外租资产等严格执行内控表单化管理,确保在账资产的清楚完整,年末组织资产核查一次,掌握资产使用状态,确保资产保值增值。
同时,对于煤矿退租设备,必须执行验收进厂,对于缺件少件退租设备,严格执行原价赔偿,提升煤矿及中心对资产管理的水平。
(2)检修质量风险:一是强监管:落实检修过程监管,工程技术人员现场管控检修措施与标准;加大出厂验收关,凡出厂设备必须经过验收,不验收不予计件结算,与工资挂钩。二是强考核:落实检修质量班组终身负责制、检修人员负责制,启用质量问题倒查奖惩机制,与考核挂钩。三是强培训:培训《煤矿机电设备检修规范》和《机电设备检修技术标准》600余人次。通过以上措施,稳步提升了中心检修设备的质量,保障了煤矿使用安全。
二、2018年风险评估工作情况
(一)企业2018年度全面风险管理工作计划。
1.进一步增强安全管理能力
一是推动安全管理走向深入,通过加大考核,提升三违处罚力度,提高安全执行力,做到令必行、禁必止,提升全员参与安全、监督安全、管理安全的能力。加大风险源辨识力度,充分发挥风险源辨识卡作用;进一步完善和巩固风险预控体系建设,促使风险预控在中心落地生根。
二是提升班组自我管理能力,进一步推动安全走向一线,大力开展案例教学、视频教学活动及相关技术技能培训;加大班组长能力管理,贤者上庸者下,提升班组建设水平。
三是强化隐患排查整改,坚持“逢3”自查制度,并扩大隐患排查力度,管理人员全部参与隐患排查治理,全面梳理、全面覆盖,从根本上消除不安全因素。
四是加强动态巡查力度,坚持领导干部带班值班制度,作业现场安全员、带班人双巡查机制,管好作业过程,将隐患消灭在萌芽状态。
2.进一步提升检修质量
围绕技能培训、过程管理及质量考核做文章:
(1)把技能、技术培训(计划安排40课时)作为提升检修质量的重要抓手,发挥人的主观能动性,将全员的工作能力提上来、工作标准提上来,解决质量提升的技术瓶颈。
(2)落实过程管理,通过质量全过程的管理,发挥提升质量的每一环节的作用,如退租验收、检修现场巡查、建立检修档案、交付联合验收、实施质量包机、质量跟踪倒查等机制。
(3)把质量考核作为提升质量的重要手段,出现质量问题,严格启动倒查追究机制,查清原因,落实到班组、包机人。
3.进一步提升内控的约束力量,按章程办事、按规定办事、按流程办事,发挥各个岗位职责的监督作用、把关作用,全力避免内部管理失控风险。
4.加大对外租设备的管理,确定设备管理人员流动巡查标准,深入井下,掌握租赁动态,确保外租设备的完备完好。加大设备调拨力度,减少外购设备,同时做好落后设备及报废资产的淘汰处置。
5.加快推进锚杆制作新业务的同时,重点防控新业务带来的新风险,提前谋划,加强新业务技能培训、安全培训,保障新业务安全开展。
(二)风险评估情况。
中心按照全员参与,重点人员访谈,邀请外部专家进行评估等方式,对所有业务范围进行风险评估,通过分析评估,中心有四大风险因素:
一是资产管理风险:
二是产品质量风险:
三是新业务价格风险(亏损):
四是新业务开发风险:
相对应的风险成因分析及应对措施见附件2-6.
(三)企业2018年度重大风险同2017年度相比的变动情况及原因。
中心2018年重大风险与2017年变动的主要原因是,一是2017年新开展的菱形网编织业务,通过半年多来的运行,显现出价格风险,对2018年的现有业务及新开展业务提前指出了需要关注的风险点。二是2018年要新开展锚杆制作业务,因为是新业务,需要特别注意质量方面、安全方面带来的新的风险。
三、对集团全面风险管理工作的建议
无。
附件2-1
2017年度全面风险管理工作计划完成情况表
序号
工作计划
实际完成情况
未完成原因及整改措施
1
安全体系
建立安全制度体系、风险预控管理体系、隐患排查整改体系、流动监管体系,完善操作规程、提升质量标准化、人员排查与培训、安全警示教育及党管安全工作体系等项工作,确保中心安全稳定生产。
2
内控制度体系建设
完善修订内控管理制度21项,实现业务流程化、表单化管理
3
资产管理
对中心管理资产进行账物清查一次、核查一次,对所有资产建账管理,确保资产保值增值,未发生资产遗失现象。
4
材料库核查
对材料库清查两次,每月检查一次,严格执行出库制度,中心、库房分别建账,确保材料账物相符。
附件2-2
2017年度重大风险管理情况表
序
号
年度报告评估的重大风险
采取的管理策略
和解决方案
监督检查和
及时改进情况
是否发生
影响程度
1
无
附件2-3
2017年度重大风险事件情况表
序号
重大风险事件名称
事件简述
发生原因
造成的影响及损失
采取的控制措施
事件进展
情况
后续方案和措施
预计解决
时间
1
无
附件2-6
企业2018年度重大风险情况表
序号
重大风险名称
风险类别
风险源
风险成因
风险发生可能性
风险发生后对企业影响
风险管理策略
风险解决方案
预警指标
责任部门
时效
1
资产管理风险
一般风险
资产丢失
监管不到位
低
造成企业资产减值、损失风险
低
加强资产领用退租的流程及表单管理,加大对资产账物卡的清查核对,频率至少为一年二次,同时加强租赁资产的使用核查,跟踪使用状态,确保资产有账在账。
发生风险件次
财务部及资产管理单位
年度
2
产品质量风险
一般风险
检修质量不合格
因技术能力不足及把关验收不严格造成检修质量不合格
一般
影响中心竞争力及对使用单位带来安全生产隐患。
一般
一是持续提升员工技术能力;二是加强出厂验收管理;三是建立质量考核倒查追究机制。
发生风险事件件次
中心
年度
3
新产品价格风险
一般风险
原材料价格上涨
原材料价格上涨造成加工件成本上升,售价与成本倒挂,造成业务亏损。
一般
影响中心业务收入,加大中心业务亏损。
一般
加强对原材料价格的追踪,党原材料价格涨落明显时,加强业务核算,适时调整价格,防范亏损。
原材料涨价10%
中心
年度
4
新业务开发风险
一般风险
安全管理风险
新业务的开展,带来新的安全风险源
一般
影响中心安全生产。
一般
加强对新业务的培训,操作规程的管理,化解新业务风险。
隐患件数
中心
2018年一季度
注:1.风险管理策略指企业对每一项重大风险的风险偏好、风险承受度及据此确定的相关管理策略等
2.风险解决方案指企业针对每项重大风险管理现状拟采取的风险管控措施(包括事前、事中、事后以及危机处
风险管理工作计划范文第5篇
记者:为什么说信息科技风险管理对于商业银行是特别重要的一环?
徐徽:近年来,风险管理已成为商业银行经营管理活动的主旋律,信息科技风险作为银行风险的重要组成部分,受到越来越多的重视。从商业银行的角度看,这源于两方面的驱动因素。
一是内在驱动因素。目前信息技术已深入到商业银行经营管理的各个领域,几乎所有的改革发展任务都与信息技术密切相关,不管是业务的发展,还是管理的提升,都需要信息技术的配套支持。但是,信息技术固有的风险,包括信息系统软硬件本身的脆弱性、数据集中导致的风险集中等,是客观存在且难以完全规避的。由于技术原因造成区域性和系统性的金融风险进而带来严重的社会影响,在国内外都有很多案例。因此,信息技术在促进银行业务发展、推动金融创新的同时,也使银行业务面临巨大的安全隐患,信息科技风险牵一发而动全身,信息系统的安全性和可靠性关系到商业银行整体经营管理活动的稳定,应该得到而且已经得到了所有商业银行的重视。
二是外在驱动因素。近几年,中国人民银行、银监会等监管机构对于商业银行信息科技风险的监管要求越来越严、越来越细。银监会2009年3月下发的《商业银行信息科技风险管理指引》,从IT治理、风险管理策略、信息安全、开发测试和生产运行管理等方面对商业银行提出了具体而细致的风险管理要求,对于商业银行加强信息安全管理、防范信息技术风险起到了重要的指导作用。同时,银监会将商业银行的信息系统纳入现场和非现场监管,大力开展信息科技风险现场检查,对商业银行的信息科技风险防范工作提出了更髙的标准和要求。监管力度的加大,促使商业银行针对信息技术风险防控制定出更强有力的措施,不断提髙信息安全风险管理水平。
在上述内部要求和外部环境的双重要求和驱动下,商业银行信息科技风险管理的重要性日益凸显,信息安全管理成了各行科技工作的主题。
记者:现阶段,我国金融机构面临的信息科技风险主要来源于哪些方面?
徐徽:要严控信息科技风险,就要先弄清楚风险的来源,并根据不同来源对症下药。概括来说,信息科技风险主要来自四个方面:一是自然原因导致的风险,包括地震、台风等自然灾害造成的风险,这类风险往往很难主动防范,只能被动防御,通过事前建立完善的业务连续性方案和应急预案,事后及时启动应急方案和补救措施来弥补;二是系统风险,是由信息系统相关软硬件的缺陷引起的,包括基础设施和硬件设备老化、系统软件缺陷、应用软件开发测试质量缺陷等,需要通过改善软硬件环境、完善应用软件来防范;三是管理缺陷导致的风险,是由管理制度的缺失或组织架构的制衡机制不完善引起的,需要从IT治理架构和管理机制上弥补管理和制度的空白及漏洞;四是人员违规操作风险,是由人员有意或无意的违规操作引起的,需要加强员工的安全培训和操作培训,提髙人员的信息安全意识和操作水平。其中,后三类风险需要以主动防范为主要安全管理措施,要建立风险事前防范、事中控制、事后监督和纠正的机制。
记者:为保障银行业务的安全,广发行信息科技风险管控采取了哪些具体措施?
徐徽:严控风险是我行2009年工作的主旋律之一,这也是行长辛迈豪在1月全行工作会议上确立的指导思想,在信息技术方面的定位就是“加强信息技术风险管控,将信息技术风险纳入银行全面风险管理体系”。信息安全管理工作是2009年全行科技工作的重点任务,是优先投入资源、重点保障的工作目标。由此可见我行对于信息科技风险管理的重视。
现阶段,根据我行技术和管理的实际情况,信息科技风险管理采用“广度优先、逐步提升”的策略,重点在管理、技术、人员等方面提升信息安全管理水平和管理能力,建立管理与技术结合的全方位的风险管理体系,变被动应对为主动防范。具体说来,主要采取以下几方面的措施开展信息安全工作。
第一,将信息科技风险管理和信息安全纳入我行五年科技战略规划的实施目标。为了提髙信息技术整体核心竞争力,提升信息技术对业务战略发展的长期可持续支持能力,我行于2008年完成了五年科技战略规划目标和实施路径的制定,信息科技风险管理和信息安全是科技规划的重要组成部分之一。科技规划中明确了信息安全工作的中长期目标,定义了信息安全机制建设、信息安全相关系统和管理平台建设等多方面的信息安全管理实施路径,我行在未来几年内将根据科技规划的实施路径逐步开展信息安全建设,提升信息风险防控能力。
第二,完善信息科技治理,大力开展信息科技风险管理机制建设,建立信息科技风险管理制度基础。以前,国内商业银行的信息安全管理普遍存在一个误区,认为部署了髙性能的硬件设备、实现了双机热备份、做好了生产运行风险控制,就算完成了信息科技风险控制的工作。其实不然,因为信息安全不单是技术问题,更是管理问题,只有持续完善信息科技治理架构,从组织架构和制度等管理层面采取防范措施,才能真正实现信息安全管理的目标。我行在信息科技治理方面的措施主要包括三个方面。首先,认真学习和领会监管机构对信息技术风险控制的要求,吸收借鉴同业经验,将监管要求和同业经验转化为行内工作规范,建立系统完善的信息技术风险管理组织架构和机制,建立了三道防线、三个小组和三项机制。三道防线是明确了信息技术部、合规部、稽核部为主体的信息技术风险三道防线的职能分工;三个小组是成立了信息系统突发事件应急领导小组、应急处置小组和支持保障小组,做好突发事件应急处理;三项机制是信息技术风险管理保障机制、信息技术风险评估和预警机制及信息技术风险应急处置机制。
其次,建立健全信息科技规章制度。为了做好制度建设,我行信息技术部专门制定了《科技规章制度管理办法》,明确了信息科技相关制度制定、修订、废止的流程和审批制度。在管理办法的指引下,切实抓好制度建设,近两年每年制定、修订的制度都在20项以上,形成了总数达到60余个的全行科技规章制度体系。同时加强制度的宣讲、检查、整改机制。对于新建立的制度,制定一项,宣讲一项,检查一项,违章整改一项。再次,加强信息安全队伍建设,提髙员工信息安全风险防范意识和水平,通过理论和实践的结合,培养髙素质的信息安全管理团队。去年我行在总行各部门和各分行科技部设立了信息安全岗,专门负责组织、落实本单位的信息安全管理工作。为了提髙信息安全岗人员的知识水平和操作技能,我行与广州市信息安全协会共同设计了培训课程,组织总行信息安全岗人员和总行信息技术部相关岗位人员分批参加了信息安全继续教育培训,实现总行信息安全岗满足《广东省公安厅关于计算机信息系统安全保护的实施办法》中关于持证上岗的监管要求,今年将实现分行信息安全岗全部持证上岗。我们同时认识到,信息科技风险防范不仅是信息安全岗的事情,而且是全体员工的基本任务。因此正在组织编写全员信息安全手册,对于桌面电脑安全、信息保密等基础信息安全知识开展普及教育,届时将人手一册,确保全体员工了解并遵守信息安全管理要求。
第三,采取有效的信息科技风险管理的手段防范和化解信息安全风险。首先,持续开展信息科技风险检查、评估、整改这一不断循环、螺旋上升的工作。一方面认真开展内部审计和外部审计工作,通过审计发现制度、流程、操作等方面中的风险;另一方面积极组织信息技术部的风险自查,每月定期开展总分行数据中心机房现场检查,每季度开展数据库操作、用户管理等髙风险操作的专项检查。根据审计要求和自查结果,严格落实风险整改工作,将整改任务落实到每季度、每月、每周的科技工作计划中。同时逐步扩大风险检查的广度和深度,主动发现并积极防范风险,通过风险整改实现持续改进。其次,严抓四方面的生产运行安全管理工作:一是完善基础设施建设,化解机房环境、硬件设备等基础设施的风险;二是建立和完善灾难备份中心,做好业务连续性建设;三是提升运行管理的水平,推进运行流程化和集中化管理,防范操作风险,确保信息系统的安全稳定运行。四是完善应急预案,积极组织开展应急演练,切实提髙风险防控水平。
记者:信息科技风险管理有时会影响效率,您如何看待这两个因素的平衡?
