下载文档原格式
20世纪80年代,特别是90年代以来,随着金融创新步伐的加快以及世界经济、金融的全球化、一体化和自由化,金融机构的风险越来越大,特别是银行业的危机频繁发生。
从世界各国大量的银行危机案例中,我们看到,尽管原因多种多样,但几乎都与银行内部管理和内控不力有关,从巴林银行的倒闭到日本大和银行事件,从国际商业信贷银行的倒闭到东南亚金融危机,无一例外地验证了这一点。
可见,当今复杂的外部经济金融环境下,银行内部管理和内部控制的任何松懈都可能招致灭顶之灾,建立健全银行内部控制制度,是各商业银行得以持续稳健发展的基石和保障。
因此,如何加强内部管理和内部控制是商业银行必须研究的重要课题之一。
商业银行的一切业务和财务活动事项均表现为货币资金的收付,这种货币资金的收付最终又都是由会计部门来完成,可以说会计工作是商业银行一切业务活动的基础。
国家的相关法律法规赋予银行会计一定监督权,其重要任务就是要审查经济往来和财务收支是否符合财经政策、规定;会计提供准确的财务会计报告,进行业务和财务活动的分析,为商业银行的经营预测和决策提供依据。
然而操作风险和道德风险始终伴随着货币资金收付的全过程,人为和非人为因素的财务信息失真,不仅会造成直接经济损失,甚至影响损害银行信誉、生存和发展。
因此,商业银行的内部会计控制极为重要,是商业银行内部控制的基础和核心,其基本作用就是保证各部门及其工作人员能按有关制度和规定执行,准确、及时地进行会计核算和账务处理,提供有效的监督和控制。
下面本人将从内部会计控制方面以及自己从事多年的银行工作经验来谈一下看法和建议。
1商业银行内部会计控制概述1.1商业银行内部会计控制含义所谓商业银行内部会计控制,是指商业银行为了提高会计信息质量,规范会计行为,保护资产安全、完整,确保有关会计法律法规和规章制度的贯彻执行等而制定和实施的一系列控制方法、措施和程序,并予以系统化、规范化形成一个有效的控制机制。
该机制是银行为确保其经营方针政策的贯彻执行,维护资产的安全、完整,防止、发现、纠正错误,确保会计资料真实完整,以生成高质量的会计信息为目标基础上制定和实施的一系列方法、程序和制度等所形成的一种自我检查、自我调整和自我制约的系统。
一.内部控制与风险管理的关系(一)两者的概念和内容内部控制是指管理层、审计委员会及其他各方进行的,旨在加强风险管理、增大实现既定目标的可能性的机会。
内控有3个目标:保证实现银行运行的效果与效率、财务报告的a,靠性和完整性,符合相关的法律法规和合同,目标代表着银行努力的方向;内控的内容由控环境、风险评价,控制活动、信息和沟通以及监督5项要素组成,内容代表着实现三个目标所需的元素风险是指对企业的目标产生负面影响的事件发生的可能性,其衡疑标准是后果与可能性;风险管理是指采取一定的措施对风险进行检测评估.防止风险,及时发现风险,预测风险町能造成的影响,使风险降低到可以接受的程度,并将其控制在某一可以接受的水平口卫丽娟上。
风险管理技术包括风险评估框架,风险防范系统等,前者包括风险评估、风险缓释和根据模型对可能导致风险的不确定性因素进行分析。
(二)两者的联系可以看出风险是一个比内部控制更为广泛的概念。
全面风险管理除包括内部控制的三个目标之外。
还增加了战略目标,全面风险管理的8个要素除在涵盖内部控制的全部5个要素之外,还增加了目标设定、事件识别和风险对策3个要素。
因此,全面风险管理是建立在内部控制整体框架的基础上,是对内部控制框架的扩展,它的范围比内部控制框架的范围更为广泛,涵盖了内部控制,而内部控制是风险管理必币町少的一部分。
二.如何处理好内部控制与风险管理的关系(一)建立植入型内控制度植入型内控制度是一种主动型质量控制系统,以经营管理系统为依托的控制制度,即是植入管理系统中的,而不是附加在管理系统之上的,可以使得内控成为一种事前的,系统的和能被大家都接受的系统。
它对于保证银行实现既定目标具有许多方面的系统化优势:最高管理层可保证银行的质量意识在银行运行中得以贯彻;使质量目标贯穿于银行的信息收集、分析和其他相关过程中,借助干竞争和客户需求可以促使质万方数据量不断提高。
(二)实施真正意义匕的全面刚殓!管理1.建立ERM框架。
银行科技风险评级工作总结
近年来,随着科技的不断发展,银行业也在不断迭代更新自己的技术和系统,
以提高服务质量和效率。
然而,随之而来的是银行科技风险的增加,这也使得银行科技风险评级工作变得尤为重要。
银行科技风险评级工作是银行业务中的一个重要环节,它通过对银行科技系统
和技术进行全面评估和风险分析,以确保银行科技系统的稳定性和安全性。
在这一工作中,银行需要综合考虑各种因素,包括技术风险、市场风险、操作风险等,以便全面评估银行科技系统的风险水平。
在进行银行科技风险评级工作时,银行需要充分利用各种工具和方法,包括风
险管理模型、风险评估工具等,以便更加科学地评估银行科技系统的风险水平。
同时,银行还需要建立完善的风险管理体系,包括建立风险管理团队、建立风险管理流程等,以便更好地管理和控制银行科技风险。
在银行科技风险评级工作中,银行需要不断加强对风险的监测和控制,及时发
现和应对潜在的风险隐患,以确保银行科技系统的安全和稳定。
同时,银行还需要不断加强对员工的风险意识培训,提高员工对风险的认识和应对能力,以确保银行科技系统的安全。
总的来说,银行科技风险评级工作是银行业务中的一个重要环节,它对银行科
技系统的安全和稳定起着至关重要的作用。
银行需要不断加强对风险的评估和管理,以确保银行科技系统的安全和稳定。
同时,银行还需要加强对员工的风险意识培训,提高员工对风险的认识和应对能力,以确保银行科技系统的安全。
商业银行内控三道防线建设与全面风险管理作为资本市场“放之四海而皆准”的内控理论,对银行业而言,COSO的ERM体系针对性不及BASEL强,监管要求更为原则导向,容易增加实际应用的难度、引起使用者的疑惑,产生推行阻力,一定程度上影响到了商业银行全面落实ERM的积极性。
同时,我们也应该注意到,商业银行在摸索前行的过程中提出了一系列特色鲜明的内控管理举措,为全面推行ERM奠定了坚实的基础,营造了良好的氛围。
商业银行内控三道防线建设便是其中的一个典型实例。
商业银行内部控制的三道防线是指由内控体系的设计监督、操作执行和防范评价三类保证活动、三类保证人员组成的全行内控体系,是全面覆盖集团经营管理的各环节、各条线、各职能、各机构,实现信息共享、联动互动、适当交叉、合理覆盖的内控保证活动机制。
虽然国内外银行同业对全面风险管理框架下的内控三道防线的划分不尽相同,但基本特点是一道防线强调过程实时控制和自我评估程序,二道防线强调各职能部门对一线部门(过程)进行设计、管理、指导、检查和监督,三道防线强调内部稽核部门对业务操作职能(一线)及业务管理职能(二线)进行再监督和评价,发现问题并督促其及时采取相应措施。
从银行整体层面而言,构建内部控制三道防线是完善银行内控管理架构的重大变革,是内控关口前移、全面加强风险管理的重要举措,是牢固树立全员风险意识和合规文化的重要制度保障,是全面满足COSO《企业风险管理——整体框架》(ERM)的重要奠基石,将内控和操作风险管理基础建设纳入了统一规范的轨道。
从内控框架的改进发展来看,构建内控三道防线是COSO内控框架部分改革思路得以成形的典型实例,具体来讲:首先,ERM在内控理念方面强调了全程的风险管理过程、全员的风险管理文化和全员参与的风险管理机制。
银行三道防线建设思路表明,各机构、职能部门、人员都是全面风险管理体系必不可少的一部分,唯有各司其职、加强沟通、协调配合,才能真正发挥三道防线牢不可破的威力。
银行对公业务中的风险防控与内控体系在现代金融体系中,银行的对公业务扮演着重要的角色,涉及到资金的流动和交易的执行。
然而,随着金融市场的不断发展和金融风险的增加,银行在对公业务中面临着各种潜在的风险。
为了保障银行资产的安全和合规性,风险防控与内控体系成为了银行不可或缺的部分。
本文将探讨银行对公业务中的风险防控与内控体系的重要性和实施方法。
一、风险防控在银行对公业务中的重要性对公业务作为银行最主要的业务之一,涉及到大量的公司和机构的资金,并且交易金额通常较大,因此风险防控非常关键。
以下是风险防控的重要性的几个方面:1. 保护银行资产:对公业务中的风险可能来自于恶意欺诈、信用风险、操作失误等方面。
建立有效的风险防控体系,可以帮助银行及时发现和解决这些风险,确保银行资产的安全。
2. 维护客户利益:银行的对公客户通常是企业和机构,他们在对公业务中可能面临的风险也是巨大的。
通过建立强大的风险防控体系,银行可以保护客户的利益,增强客户对银行的信任。
3. 提升竞争力:银行作为金融机构,在市场竞争中需要展示自己的安全性和合规性。
只有建立完善的风险防控体系,银行才能够在对公业务中获得更多客户的青睐,并保持竞争优势。
二、风险防控与内控体系的概念与特点1. 风险防控的概念:风险防控是指识别和评估潜在风险,并采取相应的措施加以防范和控制的过程。
在银行对公业务中,风险防控包括了风险识别、分析、预测和管理等环节。
2. 内控体系的概念:内控体系是指为实现公司目标和经营效益,通过规划、组织、方法、程序、资讯、监督和评价来管理风险的一系列内部机制和措施。
在银行对公业务中,内控体系主要包括管理层的责任、策略制定、内部控制和风险管理等方面。
3. 风险防控与内控体系的特点:风险防控与内控体系共同构成了银行对公业务中的防护墙。
其特点包括全面性、有效性、持续性和适应性等。
全面性意味着风险防控和内控体系需要对所有的风险和内部流程进行覆盖和管理;有效性要求这些措施具有预防性和应变性;持续性需要不断地对风险进行监测和管理;适应性则需要根据市场和产品的变化来进行调整和改进。
某银行内控自评价报告某银行年度内部控制自我评价情况的报告根据*****要求,我行组织开展了年度内部控制自我评价工作,现将有关情况报告如下:一、本年度内部控制评价工作的总体情况(一)内部控制管理的主要措施及成效我行各项工作紧密围绕构建“大风险、大内控”管理体系目标开展,积极培育“内控促发展,合规创价值”理念,内部控制各道防线职责更加明晰,制度体系和业务流程持续优化,信息系统管控能力日益提升,全面风险管理治理架构日趋完善,内部审计监督力度显著增强,内部控制水平进一步提高。
1.完善内控管理架构和责任机制通过全行业务流程和管理模式优化调整,实现了“管办分离”,进一步完善了内控管理架构。
各级机构与部门主要负责人为内部控制“第一责任人”,同时,在分支机构设立风险总监,协助推动风险管理工作,促进风险防范与业务经营的紧密结合;在营业部设立风险合规处,在总行各部门、各分支机构、销售中心设立内控合规岗,确保风险管理和内部控制不留死角。
通过“定岗定员定编”,将内控责任与管理权限、岗位责任有机结合,切实传导落实至各机构、各部门和各岗位,打造尽职履责、共同协作的内控责任机制。
2.加强内控制度体系建设下发了内控体系建设三年规划和内控框架手册,组织起草了个人业务标准化流程手册,推动内控制度框架体系建设和标准化建设;制定了《全面风险管理办法》、《操作风险管理办法》、《流动性风险管理办法》、《信息科技风险管理办法》、《业务连续性管理办法》、《重大风险和突发事件报告管理办法》、《员工从业禁止规定》、《员工行为排查办法》等15项基础制度,搭建了内部控制管理制度框架。
3.大力倡导内控合规文化围绕“内控促发展,合规创价值”的基本理念,在全行范围内组织开展了“内控合规文化宣传活动”;围绕行领导“树立和深化全面风险管理理念”、“倡导风险防控文化、将业务做优做强”等要求,制定了全面落实方案,努力营造“全行讲风险、全员懂风险、全面管风险、全流程控制风险”的文化氛围。
我国国有商业银行内部控制体系的构成要素解析[摘要]商业银行是经营货币的特殊企业,加强内部控制,防范化解经营风险是商业银行经营管理永恒的主题。
本文对目前我国国有商业银行内部控制体系的内控环境、风险评估、控制活动、信息与沟通、监督这5个构成要素的主要内容进行阐述。
[关键词]商业银行;内部控制;构成要素0引言现代金融理论认为,商业银行的内部控制是指:商业银行为实现经营目标,通过制定和实施一系列制度、程序和方法,对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。
商业银行的内部控制体系主要包括5个要素:第一,内控环境(ControlEnvironment),是指对建立、加强或削弱特定政策、程序及其效率产生影响的各种因素,它是整个内部控制框架的基础,决定了一个商业银行的气氛,影响该组织中人们的内部控制意识。
第二,风险评估(RiskAssessment),是指判别和分析完成目标过程的内部或外部风险,包括风险识别和风险分析。
商业银行的风险来自于经济环境、规章制度,经营环境的不断变化,必须建立判别和处理环境变化产生相应风险的机制。
第三,控制活动(ControlActivities),是指保证管理目标得以实现而建立的政策和程序。
控制活动能够针对商业银行目标完成过程中的风险采取必要的行动,贯穿于各个层次和各个部门。
第四,信息与沟通(InformationandCommunication),是指商业银行内部各部门的人员必须能够取得他们在执行、管理和控制企业过程中所需的信息,并交换这些信息。
信息系统提供包括经营、财务等方面信息的报告,作为经营和控制的依据。
第五,监督审查(Monitoring),是为保证内部控制的有效性、充分性、可行性而对商业银行内部控制制度进行的持续性的检查与评价。
现就目前我国国有商业银行内部控制体系的5个构成要素的主要内容逐一加以阐述。
1内控环境1.1组织结构按照相互制约的内部控制原则划分和确定管理层的经营决策职责;按照内部控制要求设置各级行机关的各个职能部门;按照与区域经济发展和金融资源分布相适应的原则设置辖属分支机构;建立贷款审查委员会、资产负债管理委员会、集中采购委员会、内部监督委员会、计算机安全工作委员会等决策议事机构,搭建纵向专业条线化管理、横向流程化管理的矩阵式组织架构。
第一章商业银行计算机系统风险的概述第一节商业银行计算机系统风险的主要表现对计算机系统的侵害,主要是指病毒侵袭、信息窃取、非法篡改以及资金盗用等。
当前,利用计算机作案已成为一种智能型犯罪,它难以被察觉和发现,并且难以查证。
犯罪人主要以计算机实体安全、软件安全、数据安全等各个层面的薄弱环节为攻击对象,非法登录、修改数据、窃取信息进而达到犯罪目的,因此,我们必须运用高新技术手段来防范、识别和发现犯罪,防范风险。
当前,商业银行计算机系统风险主要表现在下列几方面:!"商业银行出现的计算机犯罪日益增多,犯罪人呈年轻化、知识化的趋势,这对商业银行的稳健经营构成了严重威胁。
而监管人员在计算机技术、网络技术及通讯技术方面的知识跟不上当前金融业计算机应用的发展。
#"我国商业银行目前尚没有完善的对计算机系统的控制和监管措施,没有一套健全的适应金融业电子化的内部管理机制。
$"我国普遍对计算机风险控制缺乏认识和重视。
由于计算机在金融系统中的应用是发展中的新生事物,原有的规章制度并不完全适用。
因此,对业务人员形成既分工协作又相互牵制的监督机制缺乏了解,对现有的开放性的计算机操作系统的特征缺乏认识,造成了在计算机系统设计时欠考虑,在实际使用时制定的规章制度很难到位的局面。
%"金融业计算机电算化迅猛发展,会在一定程度上导致电脑犯罪率的上升,使得风险防范的范围不仅要包括本地计算机,还应包括对整个网络运行情况的监控。
显而易见,这比对独立计算机系统风险监控的难度更大,也更为重要。
但是目前中央银行及各级金融机构的内部业务部门、监督部门,还没有或很少涉及这方面的内容。
综上所述,一方面金融电子化迅猛发展的必然趋势导致同其有关的犯罪事件在大量增加,另一方面金融机构自身计算机系统的风险却相对滞后。
因此,加强商业银行计・!&&・第一章商业银行计算机系统风险的概述算机系统风险控制以保证商业银行的资产安全和稳健经营势在必行。
第二节商业银行计算机系统风险产生的原因!"信息传递风险。
商业银行的大部分信息是由计算机处理系统形成或与计算机处理系统直接相关的。
数据与文件都是通过电话或卫星等公共信息网络在商业银行内部与其代理行或客户之间进行传递的。
这些活动会使商业银行信息领域出现差错和争议的风险。
许多信息是保密性的,一旦落入旁人之手,就有可能损害商业银行与客户的关系,甚至还会引发索赔诉讼。
与手工系统相比较,电子信息处理系统中未经授权而泄密的特殊风险在于:它能够以更便捷的形式(如软盘或磁带)转移更多的信息,而且毫无踪迹可寻。
#"差错。
差错多半出现在数据录入、程序开发和修改之际。
在系统设计过程中或进行日常的系统清理程序和利用特殊程序更正其他错误时,也可能出现重大错误。
其原因多半是人为的,极少是由内部电子和机械因素造成的。
而且在定制软件时,软件本身也可能带有差错。
$"欺诈。
金融业的数据交流代表着资产或者转移资产的信息。
通过电子支付与信息转换系统转移资产的速度成为内部控制的一个新难题。
欺诈行为不仅会给商业银行本身带来损失,而且经媒体报道后还会削弱人们对该机构的信心。
获取计算机记录的众多途径为欺诈大开方便之门,例如:未经授权的交易可以被输入电脑系统;可以乘例行的系统开发或维护之机进行未经授权的程序变动,它可以造成程序自动形成虚假的交易、省略对选定账户的控制审核或消除某些交易的记录;可以利用特殊程序对电脑记录进行未经授权的更改,以逃避计算机系统内设置的正常控制与审计监督;可以将电脑文件自一台计算机中移出,利用其他机器输入虚假的交易或账目加以修改,然后再移回原计算机进行处理;在通过电讯网络进行转移的过程中,可以以欺诈手段输入、截取或修改交易。
%"因硬件或软件问题而造成的营业中断。
计算机系统由大量的设备与软件共同构成,任何一部分出现问题均可能使整个系统陷入瘫痪。
这些设备通常会集中在一个或数个地点,从而更增加了发生意外的可能性。
当计算机系统失灵时,对于银行向客户提供的实时服务的损害会立即显现并迅速扩大,处理过程中的积压负担会迅速增加,如果营业中断达几小时,那么可能至少需要・#&&・第九篇商业银行计算机风险的内部控制与评价要点几天才能清理完毕。
受害最深的是电子资金传递和支付系统,尤其是那些保证提供当日结算服务的系统,因为其受益人要依赖该资金收入进行支付。
一次严重的系统中断的最终成本,将大大超过损坏设备、数据或软件的更新成本。
设立有效的应急计划是管理层降低此类损失的方法之一。
应急计划应成为银行内部控制系统和保安系统的一部分。
它包括有关银行系统中断或无法运行时如何继续营业及恢复的条款,即关于关键数据资料、硬件、软件的外部备份系统及可供选择的信息处理手段。
对于银行的应急计划应当定期加以检验,以保证它能够持续有效。
依赖于外部电子数据处理服务的银行,应确保服务器的应急计划与其自身的应急计划相互配套。
!"不切实际的规划。
有效的规划是一个关键的因素。
银行的效率和服务质量已完全依赖于计算机系统,在规划或开发新系统时的任何失败都可能产生严重的商业后果。
如果不能迅速地实施新的系统或提供新的服务,与其竞争者相比,银行会处于非常不利的地位。
但是,另一方面,特别是当获益不大时,不惜成本追求自动化又往往会付出昂贵的代价。
#"与最终用户计算机操作相关的风险。
目前,由于终端用户计算机设备的技术优势、成本优势等因素,此类设备的使用率大大增加,从而将一部分数据处理移出了中央控制环境。
与计算机相关的风险现在开始暴露在银行的新领域内,而且通常尚未针对这些计算机业务建立相应的基本控制和监督。
对最终用户计算机的主要担忧是,这些新的信息传递和处理网络的实施速度超过了控制程序的实施速度。
其风险总的来说与主机系统中的风险一样,但应特别注意数据或软件出现中断或损失的可能性,及其给该商业银行整个操作网络的有效运行造成的损害。
微型计算机现在已不仅仅是作为文字处理机使用,而且还可作为与其他计算机的联络终端和单独的计算机处理器。
由于这些系统一般都是高度独立和个人化的,往往由一个人全权负责一系列程序的开发、测试、实施和运作,因此使用的程序和数据的处理方式和该商业银行其他部门采用的标准不一致、不兼容的可能性有所增强。
・$%%・第一章商业银行计算机系统风险的概述第二章商业银行计算机系统风险的内部控制根据我国人民银行公布的《商业银行内部控制指引(征求意见稿)》,商业银行计算机系统内部控制的重点是:严格划分计算机系统开发部门、管理部门与应用部门的职能,建立健全计算机系统风险防范的制度,确保计算机系统设备、数据、系统运行和系统环境的安全。
第一节商业银行计算机系统风险内部控制的原则计算机系统风险控制的基本原则是:商业银行要建立科学的金融计算机系统风险控制制度。
要对计算机系统的项目立项、设计、开发、测试、运行和维护整个过程实施严格管理,明确业务主管部门和稽核监督部门的职责,严格划分软件设计、业务操作和技术维护诸方面的责任。
巴塞尔银行监管委员会!""#年$月发布《电子银行业务风险管理原则》,确立了电子银行业务风险管理#%项原则,其主要内容可归纳为三大类:#&董事会和管理层监控。
包括:对电子银行业务的有效管理和监测;综合性的安全控制程序的建立;对外包关系及其他第三方附属关系的合理审慎与全面的管理监测程序。
!&安全控制。
包括:电子银行业务客户的确认;电子银行交易的不可否认性与责任;确保职责分离的合理措施;电子银行系统、数据库及应用程序的合理授权控制;电子银行交易、记录与信息的数据完整性;对电子银行交易的明确的审计监督制度;银行关键信息的保密。
’&法律与信誉风险管理。
包括:电子银行服务的适当披露;客户信息的隐私权;确・%((・第九篇商业银行计算机风险的内部控制与评价要点保电子银行系统及服务之可利用率的业务容量、业务连续性及应急计划;意外事件应急计划。
第二节商业银行计算机系统风险内部控制的主要内容商业银行计算机系统的风险控制是一个技术性较强且相当复杂的问题。
随着计算机在金融业的广泛使用,商业银行的内部控制发生了巨大变化,由原来的手工控制变为手工控制与电脑控制相结合或全部由电脑自动进行控制的方式。
计算机风险的内部控制一般可分为制度控制、应用技术控制、检查与监督控制三个方面。
一、制度控制实践中用制度来规范和约束人的行为被证明是非常行之有效的方法,而且,任何控制机制最终都是通过规范和约束人的行为来实现的。
因此,制度控制是计算机风险控制的重点。
它主要包括下列几个方面:!"组织控制。
其目的是减少电脑业务部门发生差错和舞弊行为的可能性。
其基本要求是做到职责分离,以保证职权划分明确而不致产生排控制的问题。
主要控制措施是:(!)电脑业务部门和用户部门职责分离。
即将电脑系统中业务授权、执行、记录和资产保管四种基本职责分开,做到相互监督、相互制约。
(#)电脑部门内部职能相分离。
电脑业务处理的特点是数据处理集中化,这使得本应分离的职责也集中化了。
这样容易出现差错和舞弊行为。
因此电脑业务部门内部也应进行职责分工,将系统分析、程序设计、操作、保管和控制职能相分离。
($)建立业务规程。
即要明确工作标准程序和工作要领,使工作人员有所遵循。
#"管理控制。
主要包括人员管理、文件管理、规划管理、设备管理等。
人员管理包括审核计算机中心的人员的使用、在职和离职等情况,从而预防人为危害因素的影响。
文件管理要保证按时、按规定管理各项文件,以防查取不便,延误业务和泄露机密。
规划管理是指对计算机中心的整体计划的制定与计划内容的审核。
设备的管理主要包括硬件设备的控制、磁性媒体的控制与程序软件的控制。
・%&&・第二章商业银行计算机系统风险的内部控制!"系统开发控制。
主要是指对电脑系统程序编制工作的控制。
程序设计是计算机系统开发的重要环节之一,程序一旦使用,再进行修改就很困难,并且需要较长时间和较高费用。
这就要求:(#)系统开发应符合国家。
金融行业软件工程标准的要求,并设置保密系统和相应控制机制,以保证计算机系统的可稽核性。
($)使用的商品软件应经科技和稽核监督部门测试确认。
从安全性防范的角度来讲,关键技术一定要由银行内部技术人员自己解决,自己掌握;购买系统设备合同中应明确厂商承担的责任。
(!)对于每个应用系统的立项开发,均应办理合法的申请、审批手续。
并在应用开发之前,对项目进行有效的可行性研究,以保证开发出来的应用系统能产生较好的经济和社会效益。
(%)在应用系统的分析及设计阶段应有业务部门的人员参与:由于科技部门的程序设计人员往往不太熟悉银行业务,不懂得具体银行业务的手工处理方法;而业务部门人员又缺乏计算机知识和应用技术,如果业务人员与科技人员没有很好地配合与合作,设计出来的应用系统往往不能满足实际需要,因此,最好的办法是在应用系统的设计开发阶段,有业务人员参与,以便能及时、更好地反映、解决双方各自的要求和问题。
