前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇征信信息安全管理实践范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
信息安全等级保护是国家在信息安全保障工作的一项基本制度,人民银行根据国家关于信息安全等级保护工作的相关制度和标准,制定了金融行业信息系统信息安全等级保护系列标准,2012年以由金融标准化技术委员会以中华人民共和国金融行业标准对外。即:《金融行业信息系统信息安全等级保护实施指引》(JR/T 0071-2012)、《金融行业信息系统信息安全等级保护测评指南》(JR/T 0072-2012)、《金融行业信息安全等级保护测评服务安全指引》(JR/T 0073-2012)。其中:
第一,《金融行业信息系统信息安全等级保护实施指引》(JR/T 0071-2012)依据国家《信息系统安全等级保护基本要求》和《信息系统等级保护安全涉及技术要求标准》,结合金融行业特点以及信息系统安全建设需要,对金融行业信息安全体系架构采用分区分域设计、对不同等级的应用系统进行具体要求,以保障将国家等级保护要求行业化、具体化,提高金融机构重要网络和信息系统信息安全防护水平。
第二,《金融行业信息系统信息安全等级保护测评指南》(JR/T 0072-2012)规定了金融行业对信息系统安全等级保护测评评估的要求,包括对第二级信息系统、第三级信息系统和第四级信息系统进行安全测评评估的单元测评要求和信息系统整体测评要求等。根据金融行业信息系统的定级情况,不存在五级系统,而一级系统不需要去公安机关备案,不作为测评重点。
第三,《金融行业信息安全等级保护测评服务安全指引》(JR/T 0073-2012)总结了金融行业应用系统多年的安全需求和业务特点,并参考国际、国内相关信息安全标准及行业标准,明确等级保护测评服务机构安全、人员安全、过程安全、测评对象安全、工具安全等方面的基本要求。
二、金融行业信息安全系列管理标准应用
人民银行昆明中心支行在金融信息安全等级保护系列标准的基础上,按照标准化技术和方法,制定《银行业金融机构信息安全检查规范》(简称《规范》),作为落实等级保护管理要求的检查标准。
(一)以标准化方法细化检查依据
金融信息安全管理体系范围与内容复杂庞大,研究表明,金融信息安全等级保护系列标准规范涵盖金融机构信息化安全管理的基本管理要求和基本技术要求,应以信息安全等保制度作为检查依据。目前,根据人民银行总行和公安部的统一部署,银行业金融机构有序开展网络及信息系统的定级、评审、备案、测评和整改工作。
(二)以标准化技术明确检查内容
以金融信息安全等级保护的管理要求为基础,同时,从实际工作出发,需要增加以下内容:
1.增加信息安全概况的内容。按照统一的标准化方式统计各银行机构信息化发展规划、人员资金投入、开发建设、专项治理、安全保障等情况。便于检查人员掌握了解被查行信息化建设的基本层面。
2.增加银行卡联网联合技术管理的内容。当前,银行卡犯罪呈上升趋势,人民银行总行高度重视银行卡联网联合及其带来的信息安全管理工作,在《规范》中应增加相关检查内容。
3.增加金融业机构信息管理的内容。金融机构代码在我国实施的金融标准化战略中,具有重要的基础作用,人民银行通过检查金融机构代码证申领、年检、变更和撤销,确保金融机构信息的真实、准确、有效。因此,在《规范》中应增加相关检查内容。
(三)以标准化手段细化检查流程
一是标准化的检查方案。由于银行金融机构分为法人和非法人机构,金融信息化发展水平不均衡。省、市、县、营业网点金融信息化发展不均衡。制定的《规范》作为通用工作规范,并按照信息安全等级保护定级分别标注出来。检查单位要根据被检查银行信息安全等级保护定级情况,在通用规范的基础上定制检查方案。
二是标准化的检查内容。由于各银行金融机构的基础、投入、核心系统等不同,导致各行信息安全管理具有独立性,金融信息安全管理组织、资料名称、归聚存在差异。检查单位应关注被检查单位的信息安全管理的实质内容,忽略具体表现形式。
三是标准化的机房核查流程。网络和信息系统正常运行是业务开展的基础,机房属于银行核心区域。因此,检查人员进入机房应注意按照相应管理制度执行。
四是标准化的协查规定。信息安全涵盖机房、网络、系统、安全、银行卡、机构信息等,检查人员需要与不同的技术人员交流,被检查单位应指定专人全程陪同,负责协调。
五是标准化的禁止规定。为了避免检查人员登陆被查单位信息系统出现误操作,造成重大损失,检查人员应与联络人进行充分的沟通,由被查单位人员具体上机操作,严禁检查人员直接登陆被查单位信息系统操作。
六是标准化的通报格式。检查人员应分析查出问题的性质,标识风险隐患的类别(高风险、中风险、低风险),根据问题的性质不同,分别以限期整改、风险提示、暂停服务进行处理,并结合实际情况,提出整改时限。
三、金融行业信息安全系列管理标准实践
(一)首次实施统一的监管标准
2013年5月,人民银行昆明中心支行制定并对全省《规范》(昆银发〔2013〕139号),首次统一了金融信息安全检查标准。全省16个地区人民银行各级机构依据《规范》,组织了综合执法检查金融业信息安全调查,对机房及基础设施管理、网络管理、信息系统管理、信息安全管理、金融机构信息管理、银行卡联网联合技术管理、网上银行信息安全管理7个大类254个调查项,204个检查项实施了信息安全检查。
1.2013年依据《规范》开展检查发现问题统计。
2.2013年依据《规范》开展检查结果处理情况统计。
3.2013年依据《规范》开展检查整改情况统计。
全省首次实施上下统一的监管标准、统一的检查尺度,首次在一个标准下实现全省检查发现问题数、检查结果处理方式的统计、对比分析,使上级行能够更加准确地掌握辖区信息安全状况。
(二)首次统一各类金融信息安全检查
目前,人民银行对辖内银行业金融机构开展的信息安全类检查工作,包括执法检查、信息安全调查、新设机构准入审批、新业务系统开通审批及银行金融机构信息安全自查。各类金融信息安全检查都将《规范》作为一个基础性规范,在使用《规范》时,根据实际情况,酌情增减检查内容。如:信息安全调查内容可酌情增加,新设机构准入审批和新业务系统开通审批的检查内容可酌情减少。专项信息安全检查同时遵守专项信息安全检查要求。人民银行对金融机构的要求具有统一性,连续性,有效提升了人民银行对全省地方法人机构监管的透明度、程序的公开化,对促进全省地方性商业银行信息安全管理向规范化发展起到了重要作用。
(三)首次集中解决检查中的难点
基层人民银行对于检查结果整改及处理一直是金融信息安全检查中的难点,与现金管理、征信、国库等人民银行传统监管业务相比,梳理金融信息安全管理制度后会发现相关处罚规定模糊且操作性不强。对于屡查屡犯、造成城市金融网严重安全风险等行为,缺乏处罚措施。《规范》首次提出检查人员应分析查出问题的性质,标识风险隐患的类别(高风险、中风险、低风险),根据问题的性质不同,按照限期整改、风险提示、暂停接入人民银行网络和信息系统服务、暂停新设机构准入审批及新业务系统开通审批等方式分别处理,在实践中具有很强的操作性。解决了金融信息安全检查中的难点。
《规范》的实施是人民银行昆明中心支行应用标准化理念和方法,贯彻金融行业信息安全等级保护系列标准规范的实践,也是人民银行昆明中心支行应用金融标准化方法构建金融信息安全体系的初步探索。这一模式,对于金融标准化的推广应用具有借鉴价值。
区域信息生态系统是一个具有多样性、复杂性的有机系统。近几年来,我国许多区域的信息污染、信息垄断、信息超载、信息孤岛、信息侵犯、网络安全等问题较为严重。加深对区域信息生态系统及服务体系的研究,有利于其保持良性运行,也有助于信息生产和消费之间的平衡,完善媒体信息资源公益性开发机制。
区域信息生态系统概念模型
区域信息生态系统是一个在某一地区信息生态循环中,由信息人、信息和信息环境三大要素及其内部各生态因子组成的动态而开放的系统。其中,信息人不仅包括参与信息活动的单个个体,也包括从事信息工作的政府、媒体机构、民间团体、行业协会、社区等,这是信息生态系统的核心。其参与信息活动是使生态系统维持“平衡失衡平衡”螺旋式上升的主导力量。信息主要指区域内所有的数据资源,也包括与之相关的区域外信息资源,其具有价值性、时效性、传递性、可处理性、服务性、共享性、增值性等特征。信息环境涵盖信息基础设施、信息资源、信息技术、信息政策与法规等,其中,信息技术是获取、传递、处理、存储、再生和利用信息的主导因子,包括计算机技术、网络技术、通信技术、感测技术、自动控制技术、数据库技术和多媒体技术,以及由这些技术分解出的其他相关技术。区域信息生态系统内部各生态因子之间相互联系、相互作用、相互依存、共生共进。在系统中,信息人、信息与信息环境之间存在着动态的相互适应过程,持续的动态适应过程维持着系统的有序平衡。
基于上述认知,本课题建立了区域信息生态系统的概念模型(如下页图1)。
在系统中,信息人是生态的主体,信息资源是生态的客体,信息环境不仅是生态的背景和场所,而且是所有与信息相互关联的外部因素之和。信息人从其所处的信息环境中获取与利用信息资源,又发挥自己的能动性通过实践活动改造信息环境,从而实现不断变化的目标。事实上,信息社会是以信息的收集、开发、传播、利用为主要特征的,信息作用的发挥必须借助于信息技术,同时也由于信息技术的进步促进信息生态系统的改善。信息人通过一定的信息技术与外界信息环境之间进行信息交换,构成了一个信息生态循环。
区域信息生态系统服务体系构建
本课题构建的区域信息生态系统服务体系框架,包括四大平台和两大体系(如图2)。
四大平台包括:1.数字政府。改革政府行政管理方式,建设统一的政务网络平台。通过网上审批、网上审计、网上、网上监督考核等多种信息技术手段,降低行政成本,提高行政效能,实现网上互动;建设完善一批重点业务下台,并将以传统载体保存的政务信息资源数字化、网络化。2.数字企业。以建设区域先进制造业基地为目标,加快信息化带动工业化,提升产业集群、企业及产品信息化水平,加强自主创新,掌握信息化核心技术,从而促进企业生产经营和管理方式变革。3.数字城市。围绕着如何提高城市综合管理能力和公共服务水平这个目标,完善城市信息基础设施建设,发展技术含量高、关联度大的现代服务行业,促进政府公共管理、社会公共服务和便民商业服务的融合。同时注重数字图书馆建设。4.数字新农村。为了增强服务“三农”的能力,在农村建立信息网络服务体系,加快现代农业信息技术应用,并积极开展农业信息技术培训服务,不断提高农民信息应用技能,切实加强农户、农村合作社与企业的联系,促进农产品的销售、深加工,提高农民收入。
两大体系包括:1.信息安全体系。在各级政府有关部门的统一领导下,根据国家有关信息安全的法律法规,建立起信息安全监管机制及其保障体系。有关人员要提高对电子政务、电子商务、信息资源开发利用、信息服务、信息市场、资源共享等方面的安全风险管控能力,强化等级保护和风险评估,使得信息安全管理更加科学有效。2.社会诚信体系。建立涉及社会诸多领域的信用信息记录、信用产品使用、守信受益及失信惩戒的信用制度,形成各部门协同推进、社会和企业广泛参与的诚信工作格局;诚信体系覆盖信用服务产业链各个环节,包括社会信用制度建设、信用服务体系建设、个人信用联合征信系统、企业联合征信系统和信用服务行业协会等。
关键词:信用服务;信用信息;信用市场;信用监管
中图分类号:F719 文献识别码:A 文章编号:1001-828X(2016)015-000-04
一、信用服务业的内涵及行业特征
(一)内涵
在《辞海》中,“信用”有三种解释:一是信任使用;二是遵守诺言,实践成约,从而取得别人对他的信任;三是价值运动的特殊形式。当前,业界对信用的理解主要有两种:一是社会学意义上的“诚信”,泛指一种社会契约关系,即人(群体)与人(群体)之间做出承诺并兑现承诺的社会关系,或者共同遵守某方面成文、不成文社会规则的行为规范,不守时、不守法、道德败坏等都属于失信行为;二是经济学意义上的“征信”,代表一种金融借贷关系,即在市场交易活动中由基于实物的物物交换、基于货币的商品交易演化为基于信用的信用交易,授信人在充分信任受信人能够实现其承诺的基础上,用契约关系向受信人放贷,并保障自己的本金能够回流和增值的价值运动,表现出来的是信用主体获得借贷的能力与按时还款、履约的能力。
信用服务本质上是帮助市场交易主体解决信息不对称的一种信息咨询活动。国民经济行业分类将信用服务业设在商务服务业目录下,指专门从事信用信息采集、整理和加工,并提供相关信用产品和信用服务的活动,包括信用评级、商账管理等。国外信用服务业可细分为十个分支行业,即企业资信调查(企业征信)、消费者征信(个人征信)、财产征信、资信征信、商账追收、信用保险、保理、信用管理咨询、市场调查、利用电话查询票据等。本文信用服务业是指以经营信用数据为主业,根据市场需求提供企业征信、个人征信、信用评级及其衍生服务的中介行业。
(二)行业特征
1.兼具经济效益和社会效益。市场信用数据可以交易,具有商品属性;政府信用数据具有公共产品特性,属于社会公共服务的重要内容。信用服务业一方面可以降低市场交易成本、促进信用交易、优化营商环境、提高资源配置效率;另一方面又有利于推动政府职能转变、强化事中事后监管,营造良好的社会诚信氛围,促进社会和谐。
2.知识和技术密集型行业。信用服务业涉及信用数据的挖掘、采集、处理、建模、分析、评估和运用等工作,需要专业的数据处理技术和信息安全技术,涵盖法律、金融、计算机、行政管理、社会学等多学科的知识,属于知识和技术密集型的新兴服务业。
3.行业自律要求高。信用服务机构作为独立的第三方,为客户提供各种信用产品和服务,必须保持中立、客观、公正,不能与政府、征信对象或受评单位发生经济关系。同时,信用从业人员需要较高的职责道德和综合素质,对客户的信用信息具有严格保密责任,也不得利用自身服务获取或协助他人获取不正当利益。
4.企业边际成本递减。信用企业经营的的是信用数据,而数据具有“一次征集、多次应用、多领域应用”的特点,首次采集数据的成本较高,但使用数据的成本却越来越低,呈现边际成本递减的特点,这一特点也导致信用市场的相对集中。
5.信用消费者同时是生产者。政府、企业、个人甚至是信用服务机构本身,都既是信用数据的消费者,同时也是信用数据的生产者。如企业,在市场交易中需要依托信用服务机构来了解对方的信用情况,是信用的消费者;同时它的合同履约情况又将作为信用信息纳入信用服务机构的数据库,是信用的生产者。
二、国外信用服务业发展模式对比
(一)美国:高度市场化的信用服务业
美国信用服务起源于19世纪末的消费者信用局,由早期零售商成立,主要目的是为了汇集其客户的历史信用记录以协助它们进行赊销账款的收集。目前,美国信用服务已经渗透到经济及生活的各个领域,90%以上的市场交易都是信用交易,98%的企业都有内部信用风险管理制度,大中型企业均设有独立于销售部门的信用管理部门。美国地方性信用局有1000多家,追账公司有6000多家。美国征信机构的数据库覆盖大约90%的潜在信贷人口,人均信贷账户数约为13个。美国信用服务业已形成个人征信、商业征信、信用评级“三足鼎立”局面。
主要特点:一是以市场化信用服务机构为主导。完全依靠市场经济的法则和信用管理行业的自我管理来运作,信用服务机构都拥有庞大的数据库、成熟的信用评估模型、先进的计算机处理系统和后台服务系统。如邓白氏,全球最大的商业数据库,1993年仅有2800万家企业数据,到2010年就超过1.8亿家企业数据,包括550万家中国企业数据。二是政府部门实行“有限联合监管”。政府不提供任何商业性的信用产品,仅负责提供立法支持和监管信用管理体系的运转,保护消费者权益和维护市场公平竞争。美国没有专门负责征信业监管的行政部门,由相关法律对应的主管部门实行有限监管。如财政部货币监理局、联邦储备系统和联邦储备保险公司等主要负责监管金融机构的授信业务,司法部、联邦贸易委员会和国家信用联盟总局等主要规范征信业和商账追收业。三是行业协会发挥重要作用。美国行业内同业信用信息交换协会、中小企业服务信用协会等在信用数据的交换共享、行业自律方面发挥重要作用,如美国国家化工信用协会协会(NCCA)、金融、信用及国际商业协会(FCIB)和专业信用研究咨询机构(CRF)等。四是完善的信用法律法规。美国的征信法律制度有《公平信用报告法》、《信息自由法》、《平等信用机会法》、《公平信用账单法》、《公平债务催收法》、《金融隐私权法》、《信用卡发行法》等近20 部法律,其中仅《公平信用报告法》,从1970年颁布以来就历经17次修订和三次重大修改。
(二)欧洲:政府和央行主导的信用服务业
欧洲最早的征信机构出现在英国,成立于1830年,也是世界第一家征信公司。欧洲大部分国家的信用服务业都是以政府和中央银行为主导的,政府通过建立公共的征信机构,强制性地要求企业和个人向这些机构提供信用数据,并通过立法保证这些数据的真实性。
主要特点:一是以公共征信机构为主导。公共征信机构由政府或者央行设立,负责公共信用信息的归集和使用。如德国、意大利的公共信用机构是由中央银行建立,法国、希腊和土耳其的征信机构是由政府监管部门出资设立。二是政府实施严格监管。欧盟国家普遍成立了专业监管机构,负责数据保护和征信机构的监管工作。如英国由独立的公共行政部门――信息专员署负责征信业管理。德国采取中央信贷登记系统为主体的社会信用管理模式,联邦政府及各州政府均设立了个人数据保护监管局,对掌握个人数据的政府机构和信用服务机构进行监督和指导。三是公共信用信息的强制归集。如英国企业信用登记系统是以月为周期,向所有金融机构采集他们向公司发放超过一定额度的贷款信息,采集的范围既包括正面信息,也包括负面信息;而个人信用登记系统强制向所有的信用金融机构采集个人在租赁、贷款和透支方面的不良行为信息。德国所有的信用机构及国外分支机构都要按季向德意志银行上报3年中借款在一定额度以上的企业的负债数据。四是健全的信用法律法规。欧洲国家特别注重对个人隐私的保护,因此有完备的信用法律法规。如英国制定了《消费信用法》和《数据保护法》等,以保护消费者隐私、监督管理征信机构、规范征信业发展。德国规定,信息主体有权了解征信机构收集、保存的本人信用档案;只有在法律允许或经用户同意的情况下,征信机构才能提供用户的信用数据;禁止在消费者信用报告中公开消费者收入、银行存款、消费习惯等有关信息。
(三)日本:行业协会主导的信用服务业
日本最早的企业征信公司为商业兴信所,成立于1892 年,有会员31家,主要面向银行提供资信调查。在日本,行业协会在信用服务业的发展中发挥了重大作用。目前,信用服务机构除了“全国银行个人信用信息中心”系统,邮购系统的“CIC”以及消费金融系统的“全国信用信息联合会”三大机构外,还有跨越各行业系统的横向个人征信机构CCB、株式会社等。日本征信市场已发展到相当规模,呈现出集中垄断性,帝国数据银行和东京商工两家占据了 60-70%的市场份额。
主要特点:一是由行业协会主导。信用信息机构的信息主要是通过行业会员提供,如全国银行个人信用信息中心,158家会员中包括131家商业银行,1230家非银行金融机构,220家银行附属公司和l家信用卡公司。其信息主要来源于会员银行,至1999年底,该个人信息中心收集的3600万人信息中,来自银行的信息占60.9%。二是协会信用信息共享交换。日本三大信用机构于 1987 年 3月合资建立了信用信息网络系统,实现信用信息的交换共享,防止发生多重借债等的恶性个人信用缺失问题。仅2002 年,该系统的被查询次数就已经达到 5289 万次。三是信用信息应用领域广泛。日本普通百姓的日常工作、生活、消费和娱乐,从大到房地产、小到手机的商品买卖服务,以及上学、医疗、养老、就业、保险等社会保障,几乎每时每刻都需要应用个人信用信息。四是完备的信用立法。日本于2003 年出台了《个人信息保护法》,对尊重个人人格的基本理念、国家以及地方公共团体对个人信息的处理职责、个人信息保护措施的基本事项等予以明确,对个人信息处理者(包括征信机构)应遵守的义务等进行了详细规定。日本还颁布了保护行政机关、独立行政法人等持有个人信息的法律规定,并通过《信息公开与个人信息保护审查会设置法》以及《对〈关于保护行政机关所持有之个人信息的法律〉等的实施所涉及的相关法律进行完善等的法律》保证实施。
三、我国信用服务业发展现状及存在问题
(一)发展现状
我国是信用之邦。最早可以追溯到春秋时期,《左传・晤公八年》有载“君子之言,信而有征,故怨远于其身”,《左传・宣公十二年》有载“王曰:‘其君能下人,必能信用其民矣,庸可几乎?’”,历朝历代在治理国政、生活言行等方面都非常重视信用。
我国征信业的发展,自1932 年第一家征信机构――“中华征信所”诞生算起,已经有84年历史。从改革开放以后,随着国内信用交易的发展和扩大、金融体制改革的深化和社会信用体系建设的深入推进,我国征信业得到迅速发展。1988年,第一家信用评级公司――上海远东资信评级有限公司成立,主要做企业债券发行和管理。1993 年,对外经济贸易部计算中心和国际企业征信机构邓白氏公司合作,成立专门从事企业征信的新华信国际信息咨询有限公司,相互提供中国和外国企业的信用报告。1999 年,经中国人民银行批准上海市进行个人征信试点,上海资信有限公司成立,开始从事个人征信与企业征信服务。2003 年,国务院赋予中国人民银行“管理信贷征信业,推动建立社会信用体系”职责,批准设立征信管理局。2004 年,人民银行建成全国集中统一的个人信用信息基础数据库,2005 年银行信贷登记咨询系统升级为全国集中统一的企业信用信息基础数据库。2008 年,国务院将中国人民银行征信管理职责调整为“管理征信业”并牵头社会信用体系建设部际联席会议,2011 年牵头单位中增加了国家发展改革委员会。2013 年3 月,《征信业管理条例》正式实施,明确中国人民银行为征信业监督管理部门,征信业步入了有法可依的轨道。目前,由国家发改委和中国人民银行双牵头,推进社会信用体系建设和信用服务业发展,取得一定成效。
1.公共信用数据库开始运行。中国人民银行征信中心建设运营的央行征信系统,自2006年1月正式运行。数据显示,截至2015年底,该系统分别为2120.3万户企业和其他组织及8.8亿自然人建立了信用档案,企业和个人征信系统的日均查询量分别达到24.2万次和172.6万次。2015年10月,国家发改委牵头建设的全国信用信息共享平台投入运行,截至2015年底,平台已联通37个部门及31个省区市,累计归集各部门和各地方自然人、法人和其他社会组织的各类信用信息2.5亿多条,信用共享目录4191条,实现了信用查询、红黑名单、异议投诉、守信联合激励和失信联合惩戒等功能。信用中国网于2015年6月1日开通,当日访问量突破120万人次,累计突破1400万人次,归集信用信息1500万条,受到社会广泛关注和好评。
2.信用服务机构不断增加。据不完全统计,全国各类信用服务机构已从2006年的约500家增长到2012年的近6000家,从业人员约13万人,其中中小企业信用担保机构将近5000家。截至2015年5月,全国共有17个省(市)的78家企业征信机构、116家信用评级机构在人民银行分支行完成备案,年收入20多亿元。人民银行要求8家机构做好个人征信业务的准备工作,个人征信业即将开放。
3.信用法规建设逐步完善。目前,企业信用信息的采集和应用主要依据2007年4月颁布的《中华人民共和国政府信息公开条例》。信用服务行业监管主要依据2013年出台的《征信业管理条例》。信用评级方面主要依据人民银行、证监会和国家发改委研究起草的《信用评级业管理暂行办法》以及商务部、国资委印发的《关于进一步做好行业信用评价工作的意见》。
4.信用应用领域不断拓展。一是政府应用领域,江苏、浙江、辽宁等地政府已经探索在招投标、政府采购、财政补助、评奖评优等行政管理领域开展信用审查,应用企业信用报告。二是企业应用领域,截至2015年11月底,全国金融机构运用纳税信用信息发放贷款1300多亿元,其中为5.1万户小微企业发放贷款580亿元,受到广大纳税人好评。三是个人应用领域,个人征信报告也已经广泛用于信用交易、招聘求职、租房、商业赊购甚至婚恋相亲等领域。2007-2014年,中国信用卡存量增长了4倍,从2007年的0.9亿张增长至2014年的4.6亿张。持卡者人均持卡2.4张,持卡人口比例达13.8%。
5.信用服务人才加快培养。教育部在全国24所高校开设信用管理本科专业,河北、江苏等地开展信用管理师职业资格培训和鉴定工作,培育了一批专业人才。如江苏,2011年至2015年期间组织了培训班41个,培养了助理信用管理师2478人和中级信用管理师105人,为信用服务市场培养了一批综合素质过硬的专业化人才。
(二)存在问题
总体上说,我国信用服务市场属于“政府和央行主导”的,市场化程度不高,从信用数据的归集、信用信息平台的建设到信用信息的应用、信用服务机构的设立和监管等,都是政府公共部门和中国人民银行主导的,仍然存在信用数据质量不高、信用服务需求不足、信用服务市场不成熟、信用法规不完善等问题。
1.信用数据质量不高
一是信用数据来源单一。企业法人和自然人的信用数据主要来源于政府公共部门(包括中国人民银行征信中心数据库),市场交易活动中产生的大量信用数据难以归集,导致信用数据总量小,信息不全面。
二是公共部门的数据存在“信息孤岛”现象。信用数据零散地分布在各个政府部门和服务机构,如中国人民银行的金融基础数据库、行业主管部门的行业数据库、地方政府的公共信息数据库之间尚不能实现互联互通。
三是缺乏统一的数据标准。信用信息目录应该包括哪些内容、哪些具体字段、以什么格式呈现,全国没有统一标准,各地均自行探索、自成特色,这影响了数据的交换共享。
四是数据处理技术普遍较弱。不少地方的信用数据还靠人工输入、人工核查、人工比对,人为原因很容易导致信用数据不一致、不准确,信息化水平低也导致信用信息难以动态及时更新。
2.信用服务需求不足
一是信用意识还不够普及。全社会接受和使用信用产品、信用服务的习惯、机制、氛围还未真正形成。
二是政府部门对信用需求的引导不够。在财政补助、政府采购、招投标、项目审批等领域尚未开展示范应用。比如财政补贴,因为没有对申报企业进行信用审查,经常出现失信企业照样可以领取补贴、一家企业从多个部门重复领取补贴等现象。
三是企业用信需求不足。目前企业信用管理水平普遍较低,尚未形成一个科学、完善的内部决策和控制机制,对信用管理服务的实际需求欲望并不是很强。
四是信用评级市场受到冲击。由于我国资本市场本身不成熟,信用评级市场相对弱小。此外,受大数据和互联网影响,如果通过大数据挖掘技术就可以得到实用的分析报告,一定程度就可以取代信用评级报告。
3.信用服务市场不成熟
一是个人征信市场尚未开放。2015年初,中国人民银行印发《关于做好个人征信业务的准备工作》,要求芝麻信用、腾讯征信、前海征信等8家机构做好个人征信准备工作,7月也进行了验收,但迟迟未发牌照。目前只有央行征信中心能够提供全面的个人征信服务,商业化的个人征信机构还没正式开放。
二是商业征信机构盈利能力弱。商业征信机构普遍规模偏小,经营分散,具有一定规模、运作规范、有广泛影响力信用中介机构很少。除少数几家拥有政府背景的公司(如国富泰、上海资信)凭借其权威性、几家较早进入该行业的企业(如新华信、华夏邓白氏)依靠引进外资,业务经营和产品服务水平较好外,其他征信机构的经营步履维艰。
三是信用评级市场不规范。信用评级行业整体水平不高,市场竞争基本处于无序状态,没有建立起一套完整而科学的信用调查和评价体系。信用评级机构往往容易受到政府和业务对象要求的影响,运作不规范,业务稳定性差。
四是信用管理人才缺乏。据国家商务部数据显示,近5年内,我国将至少需要50万名信用管理经理,200万名信用管理人员。2006年1月,劳动和社会保障部正式颁发施行《信用管理师国家职业标准》,目前也仅在河北、山东、江苏、湖北等地开展职业培训和设置考点,培养的信用管理人才非常有限,该专业的人才需求和供给缺口极大。
4.信用法规不完善
一是信用基本立法缺失。国家层面的《信用法》、《公共信用信息管理条例》、《统一社会信用代码条例》等基础法律法规还在立法程序中,急需出台。
二是个人征信业务的法律缺失。我国尚未出台专门的个人信息保护法,网络公司对大数据的攫取还处于丛林法则阶段。我国法律既没有对个人信息合理使用范围划清界限,也没有对大数据商业利用作出具体规定。因此,无法保证信用信息的安全,个人隐私和商业机密不能得到有效保护。
三是没有明确的信用监管机构。目前国家发改委、人民银行、工商总局、质监总局、证监会等部门都在开展社会信用体系建设工作,也都承担着行业监管职责,信用管理服务市场存在多头管理、政出多门现象。
四、促进我国信用服务业发展的思路
我国信用服务业发展潜力巨大。仅个人征信业务,据波士顿咨询公司的的《中国个人征信行业报告(2015)》,2015年,中国个人征信行业潜在市场规模为1623.6亿元,实际市场规模为151.4亿元。中国未来五年个人信贷余额仍将以年均复合增长率14%左右的速度拓展至约55万亿,为个人征信市场创造巨大发展空间。随着互联网金融的发展和消费金融概念的升温,未来中国个人征信行业的潜在市场规模将迎来爆发式增长。
《社会信用体系建设规划纲要(2014―2020年)》提出“建立公共信用服务机构和社会信用服务机构互为补充、信用信息基础服务和增值服务相辅相成的多层次、全方位的信用服务组织体系”。我国可充分借鉴美国、欧洲、日本的发展经验,采取“政府主导、市场运作、协会参与”的综合发展思路,整合建立从信用数据的挖掘、分析、建模到信用咨询、评价、评级、信用保险等的信用产业链条,推动信用服务业发展。
(一)加强信用数据归集
1.建立信用数据标准体系。加强顶层设计,以统一的社会信用代码为基础,建立全国统一的公共信用信息目录标准、系统建设标准、信息安全技术标准和信用行业服务标准。
2.推动公共部门信用数据交换共享。一方面推动全国信用信息平台与地方信用信息平台“纵向”互联互通。实现信用数据的跨区交换共享。另一方面推动信用信息共享平台与部门或行业信息平台“横向”交换共享。实现信用数据的跨行交换共享。
3.建立市场化信用数据归集机制。不断优化信用数据来源和结构,建立市场化的数据采集渠道,通过信息付费、信息交换、信息加工等方式采集数据,稳定数据采集渠道和队伍。
4.引进先进的数据处理技术和模型。实现信用数据的自动化、批量化归集,对数据进行智能化、精准化比对、清洗和更新,确保信用数据准确、实时、全面。
(二)激发信用服务需求
1.推动政府率先用信。探索信用信息和产品在城市管理、市场管理、公共安全管理以及公共资源分配中的应用,如在政府采购、招投标、工程建设、登记注册、资质认定、推介企业上市、科技资金管理、评奖评优等一系列领域推广信用产品应用。
2.激发企业用信需求。推动企业信用信息系统依法向所有企业开放,企业可以自主查询上下游企业、关联企业、合作企业的相关信用信息,以供企业在原料采购、签订销售合同、业务合作等方面进行参考,降低交易成本和风险。鼓励企业设立专门的信用管理机构,对客户资信、销售合同、应收账款、员工信用档案等进行管理,提升企业经营管理水平和经济效益。
3.鼓励商业银行及各类金融机构用信。鼓励商业银行及各类金融机构降低信用消费门槛,开发信用交易产品,扩大信用卡发放、个人支票账户的开设和使用规模,做好金融延伸服务,制定优惠政策和有效措施,引导市民和企业用支票或刷卡消费。
4.激发个人用信需求。建设“市民诚信卡”,在市民卡上全面加载个人信用信息,推动个人在求学、求职、晋升、租赁、理赔、享受公共服务等方面应用个人信用报告。拓展个人信用查询渠道,开通网点、互联网、微信、委托、自助终端等形式的查询渠道,多管齐下拓展个人用信场景。
(三)优化信用服务供给
1.大力培育信用服务机构。一是推动公共信用信息数据有序向社会开放。向社会提供信用基准报告查询服务,探索信用信息的市场化运营机制。二是尽快开放商业化的个人征信市场,向此前申请个人征信业务的8家机构发放个人征信牌照,进一步出台扶持个人征信机构的政策。三是培育和发展种类齐全、功能互补、依法经营、有市场公信力的信用服务机构,扶持一批具有较大规模、经营规范、市场认知度高的信用服务机构。
2.全面培养专业化信用管理人才。一是在更多高校开设社会信用管理专业,加强信用理论研究和学科建设,培养信用理论研究和教育专业人才。二是建设专业化的社会信用体系建设工作团队。针对全国及各地发改委和人民银行的社会信用建设工作人员,组建信用体系建设讲师团,加强业务培训,提高专业素养。三是加强企业信用管理师职业资格培训。培养一支具有国际视野、业务过硬、熟悉市场的专业化信用人才队伍。
3.鼓励信用产品创新。引导和鼓励信用服务机构适应市场需求的变化,建立完整、科学的信用调查和评价体系,增强技术创新、产品创新和市场创新能力。鼓励对信用信息进行深度开发,不断提高信用服务机构专业化水平,努力向市场提供有特色、多样化、高质量的信用产品。除了传统的信用报告、信用评级、信用评价等产品外,鼓励开发信用安全管理类产品,研发信用指数、信用管理或信用营销方案等增值产品。
(四)强化信用服务监管
1.完善信用法律法规。加快国家信用立法,出台《信用法》《个人信息保护法》《信用公平交易法》等,明确信息提供主体的权利义务,促进信用信息公开,保护信用信息主体权益。对政务信息的采集、整理、加工、公布进行规范,厘清政府信息数据的开放与保护国家秘密之间的边界。
2.建立信用行业规范。进一步明确信用主管部门,加强信用服务机构管理规范,建立信用服务机构的准入和退出机制,对信用服务机构实行备案管理,建立行业服务规范,强化市场监管,尤其对信用评级机构采取报告编码制度和抽审制度,提高评级结果的一致性和公信力。
3.发挥行业协会作用。一方面发挥信用协会的作用。推动建立信用服务行业自律组织,引导征信机构“客观、独立、公正”地开展业务,主动接受社会监督,不断提高行业整体素质和公信力。另一方面发挥企业行业协会的作用。比如物流协会、电商协会、软件协会等,在行业内推行信用承诺制度,建立行业信用守则,推动行业内企业信用信息交换共享。充分发挥行业协会沟通协调、信用咨询服务、行业自律守信和失信联合惩戒等方面的作用。
参考文献:
[1]上海财经大学信用研究中心.2015年中国金融发展报告[M].上海:上海财经大学出版社,2016.4.
[2]韩家平.美国信用信息服务业的发展及其借鉴意义[J].国际经济合作,2012(7):65-69.
[3]向欣.加快构筑基础---从美日信用服务业发展特点看我国商务信用体系建设[J].国际贸易,2004(8):17-21.
[4]赵萍.国际信用服务业的发展及启示[J].国际经济合作,2009(10):24-28.
[5]陈登立.我国商务信用服务业的现状与发展[N].国际商报,2012.5.28,第B10版.
[6]黎振强等.积极发展信用服务业[N].经济日报,2009.9.7,第007版.
[7]赵丽.“信用时代”征信难题如何破解[N].经济日报,2015.5.27,第004版.
[8]曾光辉.厦门市社会信用体系建设现状及对策研究[J].2015(4):18-23.
[9]史福厚.广东省信用管理服务市场培育与发展研究[J].征信,2015(4):27-31.
[10]卢盛羽.我国信用服务行业监管机制问题探析[J].甘肃金融,2015(10):26-28.
文章编号:1005-913X(2015)08-0184-02
一、阿里金融小额贷款业务发展现状
阿里金融是阿里巴巴集团的独立事业部门,主要为阿里巴巴B2B平台、淘宝、天猫等电商平台上的小微企业、个人创业者提供方便、快捷的小额贷款等金融服务。小额贷款是阿里金融的重要组成部分,阿里金融顺利运行的基础是借助“诚信通信用数据库”建立的网商良好的交易信用。目前,阿里小贷已经推出信用贷款、订单贷款、聚划算及天猫运营专项贷款、物流贷款等贷款产品,其中最为常用的是订单贷款和信用贷款。阿里小贷贷款模式都是在线操作,其贷款客户不需要提交任何担保或抵押。截至2014年,阿里小贷客户累计数突破了80万家,发放贷款累计突破2100亿元;客户平均贷款余额不到4万元,客户平均授信大概13万元,不良贷款率在1%以下,低于一般商业银行的平均水平。
二、阿里金融小额贷款模式存在的问题
(一)有效资金来源不足
阿里小贷作为小额贷款公司,不得向公司内外筹集资金或以任何方式吸收低利率的公众存款,这一规定使阿里小贷公司正常的获取资金渠道和成本受到了限制,以至于其后续营运资金不足,进而限制了阿里小贷的健康稳定发展。另外,根据政策对阿里小贷公司定位为工商企业,阿里小贷公司办理业务只能利用自有资金,贷款有效资金来源问题成为其发展的桎梏。阿里金融虽然拿到了第三方支付牌照,阿里旗下的支付宝沉积了很多闲散资金,但是据有关监管方的规定,第三方支付机构需要凭借一家商业银行来托管其备付金。因此,目前阿里金融小额贷款公司无法利用支付宝积淀的客户资金。
(二)风险控制较为薄弱
阿里金融小额贷款风险控制的重点主要是数据的整合、模型的构建和定量的分析,它通过将自身平台上的客户交易数据整合处理,利用该信用评价模型算出借款人的违约可能性的概率,依据此来作为阿里小贷放贷的标准。由于阿里小贷的平台目前主要是以其电商业务有关的交易数据作为依据,数据维护程度单一,有效性不足,很难真正保证所提供的交易数据及外部数据的真实性可靠性。而数据的可靠性和有效性会直接影响到小额贷款的质量。另外,由于阿里小贷目前无法从我国征信体系中直接获取目标客户资料,只能以网络信用为主要放贷标准,缺少硬性约束,阿里小贷不能全面考核贷款人的经营环境和地理位置,违约的可能性还是存在的。
(三)金融监管存在漏洞
阿里小贷公司有别于传统的小额贷款公司,主要通过网络审批发放贷款,使其身份特殊,定位模糊。首先,2008年监管当局出台了《小额贷款公司试点指导意见》,该意见虽承认了小额贷款公司的法人身份,但是仍没有将金融机构的身份赋予小贷公司,而被定位为工商企业,由于工商部门并不熟悉金融业的业务流程和管理要求,所以对其日常监管又无能为力,最终导致其金融监管方面复杂、模糊。而且,我国目前是市场经济改革的关键时期金融改革、利率市场化循序渐进,对于阿里金融小额贷款这样近年来新兴的互联网金融模式的机构缺乏监管经验,在我国的法律体系中缺乏一套法律法规来界定它的法律归属。
三、阿里金融小额贷款模式发展对策
(一)扩大有效资金来源
1.加强金融机构合作。首先,阿里小额贷款公司可以采取联合放贷的方式与银行业金融机构合作,来满足优质客户的资金需求。阿里小贷可以把小微企业客户推荐给银行业金融机构,交易三方约定由银行业金融机构和阿里小贷公司先后向借款人放贷,银行业金融机构是第一阶段的债权人,获得期间利息,阿里小贷公司是第二阶段的债权人,获取期间费用。阿里小贷携手银行业金融机构共同创建风险模型,通过大数据分析,发掘平台上企业的信用,依此来授信表现好的企业,无需担保、无需抵押的纯信用贷款由银行发放。其次,可以适当引入联保贷款,收益抵押贷款等小额贷款产品;同时也可以发展个人理财、信息咨询等中间业务模式,阿里小贷公司只提供信用管理专业服务,从中收取一定的咨询服务费用。
2.加强业务创新力度。首先,阿里小贷可以凭借自己丰富的管理经验向新从业的小额贷款公司提供信用管理咨询服务。利用自身的经验帮助他们定位目标市场和贷款客户,同时凭借自身较为完善的风控机制帮助他们控制信贷业务的风险,通过这些信用管理咨询服务从中收取一定的咨询服务费用。其次,阿里小贷应不断提高自身实力,为广大农户提供更加便利,更加优惠,更加广泛的金融服务,满足“三农”发展多样化的所需资金,也可充分发挥金融服务业支持社会主义新农村建设的积极作用。最后,从战略高度出发,加快建设金融基础设施的步伐,提高阿里小贷的金融服务业信息化程度,完善开办中间业务所需的硬件设施,同时有组织地开发出新的软件系统来适应阿里小贷创新业务发展的需要。
3.开发资产证券化产品。首先,阿里小贷可以以小额贷款收益权凭证(或资产支持证券)的形式在交易所上市交易。它的凭证是经过有关部门批准由阿里小贷公司发行的,由交易所认可的AA级担保公司担保、在交易所上市交易的债权类投资产品,到期还本付息。其次,发行人可发行收益权凭证(或资产支持证券)获得资金,同时按发行标准整理打包小额贷款资金,保证资金的可靠性、合法性和有效性,接受相关机构的调查和核心资产的日常管理,以及对借款人的还款催收等。最后,担保人可对发行人拟发行的资产证券化产品进行复查,同时应该对收益权凭证(或资产支持证券)到期兑现提供担保,在到期兑现出现异常时进行偿还,发生偿还时向发行人追求偿还。
(二)提高风险控制能力
1.构建风险评估体系。阿里小贷构建风险评估体系,可以通过参考大银行的做法,再将其根据阿里金融小额贷款公司自身的特点,进行适当的个性化,采取定性与定量结合的方式。首先,阿里金融小额贷款可以通过阿里巴巴、淘宝和支付宝平台所形成的基本数据,通过交易数据与财务数据相拟合,可以方便地对平台上的贷款对象如小微企业进行风险评估。其次,对于阿里金融小额贷款两种主要的贷款模式订单贷款和信用贷款,将申请贷款的企业的信用评估分开进行。订单贷款信用评估要根据小微企业融资需求,符合其频率大、额度小及需求强的特点。可以应用比较简单的评估指标,让贷款人员可以很清楚地看到其信用水平。
2.实施贷后动态监控。首先,阿里小贷允许贷款人采用自动还款和提前还款相结合的方式,以此来避免贷款人由于客观原因造成的逾期还款的情况。贷款人可在贷款到期日之前采取自主操作提前还款,同时在支付宝余额充足的情况下,贷款人也可以在到期自动由阿里小贷公司扣除贷款本息。其次,阿里小贷平台上交易的最终结算都会由支付宝来进行,因为有支付宝这个第三方支付工具,对于贷款人贷后资金流动情况可以进行便捷的跟踪监管,来确定贷款人的还款能力以及采取的还款方式。如果贷款人一旦出现违约情况,阿里小贷可以在信用和制度的两重作用下,制定有效的惩罚措施。对于淘宝商圈的贷款,如果出现违约情况,立即封闭其在阿里巴巴平台B2B平台的贷款,可对贷款人的违约情况进行全网通报。
3.接入央行征信体系。首先,所有的阿里小贷公司共同运用一个报送数据平台,进行集中上报公司所有信息,包括客户信息、客户担保单位信息等。接入中央银行信用信息基础数据库,中央银行征信中心负责统一地设备安装、统一地维护系统和统一地安全管理。其次,在网络接入方式上,各阿里小贷公司连接电信专网可以通过数字证书认证和虚拟专用拨号的方式,经汇聚后再由数字专线接入金融区域网,再借助互联网平台接入到央行的征信系统,实现与银行业金融机构等同的实时在线查询。最后,阿里小贷可以将信贷合同信息和贷后还款违约信息都接入央行征信系统,这样对于阿里小贷的风险控制也更加有利。
(三)完善金融监管体系
1.健全相关法律法规。首先,从法律层面详细地界定阿里金融小额贷款的经营范围,明确其法律地位、监管主体、监管职责、监管形式等,确定阿里金融小额贷款的发展方向,规范其发展。其次,应该在现有的法律法规中补充对阿里小贷的政策支持,应创新立法思路,加强现有法律执行力度,尽快制定与其发展相适应的规章制度,在《互联网信息管理办法》中对阿里小贷制定相应的信息安全标准,在《消费者保护法》中设置专门的投资人权益保护机制,在《刑法》中制定阿里小贷贷款人违约处理机制,来确保阿里金融小额贷款的健康有序的发展。最后,监管部门应该对阿里金融小额贷款业务模式进行明确和规范,限制并处理部分问题多发和存在严重漏洞的业务模式。
【关键词】基层央行;风险评估;内部审计
随着市场经济体制的日益完善和人民银行职能的不断变化,基层人民银行以往很多被忽视的风险和问题日渐显露,如依法行政中的法律风险、声誉风险,资产的市场风险、流动性风险,内部管理中的操作风险等。基层央行可能要面临的风险是其内部审计选择审计项目以及确定审计重点领域的依据。本文从风险导向审计的角度,以人民银行海口中心支行开展风险量化评估的实践为例,介绍风险评估的理论模型、评估方法,提出基层央行开展风险导向审计的具体建议。
一、风险评估采用的理论模型
海口中心支行开展风险量化评估采用“剩余风险=固有风险-控制有效性”的剩余风险评估模型,既要考虑固有风险,又要考虑内部控制有效性。
(一)固有风险的评估
固有风险的评估采用风险矩阵法,根据“影响程度”和“可能性”之间的关联程度判定,如下图所示:
注:将风险事件的影响程度级别和发生可能性级别分别标注在风险矩阵的横轴和纵轴上,横轴和纵轴的交汇区域所对应的风险等级即为该风险事件的风险等级。绿色区域、黄色区域、橙色区域和红色区域分别对应的风险等级为1、2、3、4级。
风险影响程度的评级标准,按照风险可能引发的资金损失、声誉损失、业务连续性损失,将风险的影响
程度由低到高依次划分为1-4级。风险发生可能性的评级标准,按照风险事件实际发生的历史数据、业务的复杂程度以及变化情况,将风险发生的可能性由低到高依次划分为1-4级。
(二)控制有效性的评价
控制有效性评估,从“以往审计结果”和“内部控制变化情况”两个方面衡量。按照各类审计或检查中发现问题的严重程度、审计频率、问题整改和内部控制变化情况,对内部控制有效性进行评估。内部控制有效性越高,对应的风险级别越低。反之,风险级别越高。风险由低到高依次划分为1-4级。
(三)剩余L险的计算方法
最终剩余风险量化分值采用风险因素加权平均法计算。计算公式为:剩余风险级别=(∑各类固有风险权重x风险级别+∑各项内部控制有效性权重×风险级别)+(∑各类固有风险权重+∑各项内部控制有效性权重)。具体运用风险评估表进行计算。
二、风险评估的实施过程
海口中心支行开展风险量化评估,主要采取以各职能部门初评和专家组复核确认的方式组织实施,灵活运用会议座谈、专家讨论、现场审计测试等方法,广泛收集整理数据,并对数据反复进行修正,最终以风险评估专家组审议的方式,从审计角度确定所有业务单元的风险值。
(一)前期准备阶段
一是制定《海口中心支行机关风险量化评估方案》,明确风险评估的目标、对象、范围、方法和程序等。二是要求各处室指定一名业务骨干作为评估员,负责本处室各业务活动风险评估的具体工作。
(二)组织开展初评
组织全行27个处室对132项业务活动进行风险初评。初评评按照《海口中心支行机关风险量化评估方案》要求开展,各处室撰写风险初评报告,提出审计需求,并针对高风险业务提出应对措施和建议。
(三)成立风险评估专家组对初评评结果进行复评和审议
内审部门组织成立了风险评估专家组,在各处室风险自评的基础上,对各项业务活动的风险事项进行再识别、再评估,审议确定各项业务活动的风险等级,最后由内审部门综合考虑专家组的意见,确定各业务单元的剩余风险评估值。
(四)风险评估的结果
通过初评和专家组复核审议,得出全行27个处室132项业务单元的剩余风险等级,并进行排序(如表2所示)。其中,高风险业务活动10项;偏高风险业务活动11项;中等风险业务活动56项;低风险业务活动55项(风险分值为3.0以上的为高风险,2.5-3.0的为偏高风险,2.0-2.5的为中等风险,2.0以下的为低风险)。
(五)审计策略
风险评估结果的运用,现阶段主要体现为以风险为基础的内部审计计划及审计方案的制定。根据剩余风险大小,对业务活动按风险排序划分风险等级,不同的风险等级制定不同的审计策略,优先把高风险业务作为审计项目规划的重点。根据风险评估的结果制定以下审计策略:一是重点关注类。剩余风险值在3.0以上(含3.0)的业务活动为审计重点关注类,如发行基金押运、财务收支、发行库内业务、第三方支付业务、外汇检查与处罚、国库退库业务、人民币清分、复点、销毁等高风险领域的业务活动,应在一年内开展审计。二是有效关注类。剩余风险值在2.5(含2.5)-3.0的业务活动为审计有效关注类,如集中采购、基建、发行库区管理、纪念币(钞)出入库、发行库设施与门禁管理、金融信息安全管理等偏高风险领域的业务活动,应在2年内开展审计。三是合理关注类。剩余风险值在2.0-2.5(含2.0)的业务活动为审计合理关注类,如企业征信系统建设、会计核算业务、支付系统管理、车辆管理等中等风险领域的业务活动,应在3年内开展审计。四是一般关注类。剩余风险值在2.0以下的业务活动为审计一般关注类,如党委宣传工作、老干部管理、金融研究工作等低风险领域的业务活动,建议3年至5年审计一次或根据需要开展审计。
三、几点体会
(一)开展风险导向审计,风险评估是基础
只有确定了各项业务单元的风险等级大小和排序,才能根据风险情况确定审计策略,提出内部审计年度计划,优先安排审计资源对高风险领域开展审计。
(二)风险事件识别是关键
风险事件是各项业务活动的风险点,内审部门在制定审计方案和实施现场审计时,应将风险评估过程中识别出来的风险事件作为审计、测试的重点,做到“审计关注风险,风险引导审计”。