从金融信息安全角度分析业务风险防范
摘 要:从网络时代的到来,到网络行业的飞速发展,计算机已经达到几乎无所不能的地步,但事物都有两面性,尤其是新事物,计算机给我们带来了很多的便利,同时也带来了很多风险。利用计算机的智能系统犯罪导致信息丢失、系统瘫痪等问题频频发生,怎样在金融信息化条件下,防范业务风险、违法违纪的发生,是一个崭新而严峻的课题。一是合理设置防范风险的组织结构,加强组织领导;二是建立健全的内控制度;三是严格的规范业务操作;四是全面提高员工的综合素质;五是建立并完善应急预案,制定应急处置方案。
关键词:金融信息;业务风险;安全防范
1.金融信息化给金融行业带来的变化
1.1办公方式自动化。厚厚的纸质文档资料变成了电子文档,存储介质发生了实质性变化;人与人之间的文件传递变成了机器间的电子邮件;这就要求管理方式必须跟着变化。
1.2交易方式电子化。现金交易的方式逐渐减弱,取而代之的是网络银行、电子支付工具、金融电子商务等。这就引发了银行结算方式的变化。
1.3金融信息计算机化。计算机信息处理系统涵盖了金融信息处理的各个方面。业务办理、业务服务等系统逐渐的完善与增加。基本已经达到90%的信息处理的计算机化。
1.4金融管理信息化。通过建立金融资料库、方法库等来实施科学管理。彻底改变了原来的人工的粗放管理模式。
2.银行业务办理时的风险点分析
2.1启动环节存在的风险。一是个人道德、素质引发的业务操作风险。如管理人员与操作人员对工作的重要性认识不到位,警惕性不强,造成口令不执行、口令执行错误、审核疏漏、操作错误等不良后果。二是人力资源分配与调控引发的操作风险。当仅有一个人行使一种技术类职能时,也许就会造成因休假或其他事情而影响技术实施空挡。当一个人身兼两职时,则有可能造成无人监督管理,或抽身无术的问题,从而引发安全隐患。
2.2转型环节存在的风险。转型分为外部转型和内部转型两种情况。外部转型是通过宏观调整、供求信息、行业内竞争加剧等发生的变化;内部转型是通过转变业务运行方式、再造业务流程、新系统上线等发生的变化。在这些变化中就很可能会造成管理上的疏忽,引发风险。
2.3转换环节存在的风险。根据各大银行发布的新的政策和规定,或者使用的新的核算系统、支付系统等,就会有执行部门转换工作重点,甚至把旧的工作系统直接取缔。而在此过程中,大多数支行可能就会把工作重心转向财务管理与核算、账户审批等业务,而不再重点关注会计基础核算工作,与之相关的内控工作也管理松懈,引发风险。
2.4衔接环节存在的风险。计算机病毒使作案手段不断的更新,而且更智能、更加高技术。而主要通过局域网传输数据的国库会计核算系统属于一种半开放的网络,很容易受到病毒攻击。网络非法入侵使远程攻击变得简单,只能依靠简单的口令密码进行控制的内联网很容易被解密攻击。再有就是会计核算系统的自身缺陷,如权限分配不完善,有的会计权限过大,万一没有做好约束与监督工作,则很容易带来资金风险。
2.5收关环节存在的风险。工作人员的放松心理一般会在下班前一个小时内表现的更为突出,极易在此时出现自我约束松懈,操作违规失误。另一种情况就是监督人员通过翻阅、勾对等纠错,很难及时防范操作风险,不能做到有效监督、把关堵口。
3.风险防范的几个特点
3.1内涵和外延上的变化。金融风险已经不再是实实在在的实物风险,比如人身、财产等,变成了隐私安全、信息安全、数据安全、病毒防护、黑客攻击、非法入侵、智能犯罪等全方位、立体化的风险。
3.2从有形向无形变化。金融信息已经不再是看得见、摸得着的信息资料,而是计算机系统、网络系统等资源,主要表现为网络银行、网络金融、信息金融、知识金融和数字金融等,少了可见性,多了隐蔽性,从而也变得更具风险、更具挑战。
3.3形式变得多样化。一是在共享与扩散的特性下容易被遗漏、丢失、篡改、冒充和破坏;二是由于操作失误引发风险;三是 “黑客”入侵、病毒入侵等带来的威胁;四是文件传输、存贮给保密带来新的威胁;五是系统瘫痪、数据丢失等风险;六是利用智能系统诈骗、盗窃、挪用公款等。
4.金融信息条件下风险防范存在的问题与对策
4.1存在的问题
(1)思想上,认识不到位。(2)组织上,管理不到位。(3)防范上,措施不到位。(4)预警上,机制不到位。
4.2风险防范的对策
(1)合理设置防范风险的组织结构,加强组织领导。从思想上更加积极的认识到信息化风险防范的重要性。要组建一个合理的领导机构,统筹管理风险预防和风险防范。要做到统筹兼顾、积极预防、突出重点、综合治理,还要把安全教育和制度约束结合起来,把充分的预防和有效的处理结合起来,把安全管理和风险监督结合起来,将信息化安全落实到个人责任制,让风险防范的基础更加牢靠。
(2)建立健全的内控制度。在建立相关制度之前,先做一个充分的调研报告,从各个方面考虑周全,然后认真规划论证,利用最短的时间建立一个最有效的防范机构。这个机构要包括人员的安排、分工安排、轮岗安排等。同时还要有专门的业务复查核对机构,专门的计算机机房,还要更加准确认真的对磁介质、数据的输入、输出和存贮进行控制。保密工作到位,监督工作顺利,让所有员工的执行与操作都可以按照相关规定进行。对于技术方面的防范措施,不仅要采用相应的保密方式,而且还要一些特殊的系统认证的方式,如防火墙、安全系统监测、等技术,加强信息保密的绝对性、安全性、有效性。真正做到防止秘密泄露、防止病毒侵蚀、防止“黑客”入侵、防止不法篡改等。
(3)严格的规范业务操作。风险往往出现于操作过程中,所以严格规范业务的操作是很重要的一点。在业务操作过程中,要首先制定风险预警机制,将一些常见的、容易犯的错误提上监督日程,时时刻刻提醒操作人员在操作过程中保持警惕的心理。在最短的时间内识别风险因素,排除尚未发生的隐患,除掉各类风险的根源,把风险预警贯彻整个业务操作的过程中,并要进行追踪监督,确保风险在重重监督下彻底消失。同时,将风险分类区别对待,分清主次,重点对待高位风险以及频频发生的风险。
(4)全面提高员工的综合素质。金融信息行业是一个知识含量要求高、技术
要求高、操作复杂缜密的业务工作,所以员工的知识储备、技术能力、性格品德等综合素质要求就必然要比其他工作者要高一些。金融信息行业是一个刚刚兴起不久的行业,按照目前的状况,这一行业仍然急需对国际标准、高操作技术、信贷业务熟练掌握的综合素质较高的人才。如果员工尚不具备以上的高素质,也可以通过如下几条提高工作人员的综合素质:首先,要对工作人员的业务工作流程进行专业培训。可以聘请专业人才进行精讲培训,保证员工的业务水平无可挑剔,或者挑选一些领悟能力高的员工到其他精英基地实地学习、实地培训。其次,从源头上引进一些有过丰富经验的业务精英,他们的自身素质就高,会省时省力,节省资源。再有,建立稳健的管理制度,用有竞争优势的薪资待遇和良好的发展空间保证人员的稳定性。另外,从根本上强化员工的风险意识,提高员工的辨别真伪的能力,防范于未然。还有,提高员工的道德素养和服务质量,一个拥有较高的道德素养的人会有更加自觉地自控能力,他的价值观就会指导他坚守职业道德,避免由于个人原因造成的错误及损失,责任感和使命感会让员工的服务质量发挥到敲到好处。
(5)建立并完善应急预案,制定应急处置方案。风险有突发性的特点,所以建立一个应急预案是必不可少的。尤其是金融信息,安全隐患无处不在,突然断电都会对信息造成严重的遗漏风险。要及时对长期重要及有效的信息进行硬件备份,以确保在突发性风险到来的时候不至于将重要信息丢失。建立完善灾难恢复、业务连续性管理,定期组织应急预案培训以及演练,确保在意外突发时,能够及时依照原有制定方案进行有效处置,把风险缩小到可承受的范围之内,保证金融信息的安全与稳定发展。
总结:我们从以上可以看出,金融信息下的风险更多而且麻烦,稍有疏忽可能就会造成严重损失,所以建立完善的防范风险规范是必不可少的。要从各个方面严格把关,确保万无一失,确保应急预警完整无纰漏。只有做到并做好以上几点才有可能避免在这个金融信息时代受到不必要的威胁。
参考文献:
[1] 《武汉金融》PKU-2010年6期中国人民银行常德市中心支行课题组
[2]《中国证券期货》-2010年10期谷秀娟何雷
[3] 《时代金融(中旬)》-2011年8期陶东玉
[4] 《经济师》-2010年3期刘勇毛文彬
下一篇:基于身份和门限的层次访问控制方案