近日小编精心整理了《征信管理论文范文(精选3篇)》仅供参考,大家一起来看看吧。摘要:随着我国社会信用体系建设的全面提速,征信机构的信息安全成为制约征信业健康快速发展的一个重要因素。如何提高征信机构的信息安全管理水平,保障征信机构信息安全,是我国征信业建设发展过程中必须要解决的一个重要问题。
第一篇:征信管理论文范文
基于社会征信体系的电信客户信用管理
摘要:用户恶意欠费和虚假开办业务一直是困扰电信企业的难题。文章提出将电信用户缴费信用加入社会征信体系,依靠和利用社会信用信息资源,威慑恶意逃费等不良信用行为,以维护电信企业合法利益,促进社会征信体系良性互动与共同发展,并开辟了一条电信用户信用信息增值服务的新途径。
关键词:社会征信;电信;客户;信用管理;增值服务
一、 引言
中国电信业拥有巨量用户,但用户恶意欠费和提供虚假身份资料开办电信业务一直是困扰电信运营企业的老大难问题。国内电信运营商各自都有数目较大的呆坏账和用户欠费,比如,2001年因盗用通信设施和用户欠费造成通信部门的损失超过200亿元,户均60元以上。从企业角度出发,巨大的欠费累积成为企业发展越来越沉重的包袱;从社会角度出发,以虚假的身份信息开户办理电信业务也是社会不良人士刑事犯罪的隐患。电信运营企业全力进行事前防范、事中预警和事后追欠,但仍对一些不良的恶意欠费用户显得束手无策。
电信运营商具有先天的信息化倾向和优势,本身具备海量的用户缴费信用数据,如果加入社会征信体系运作,并依靠和利用社会征信信息资源,将电信客户信用信息进行系统化管理,即可有效维护电信企业合法利益,限制和威慑用户恶意逃费等不良信用行为,又能促进社会征信体系的数据互动与共同发展,产生共赢效应。
因此,研究和运用基于社会征信体系的电信客户信用管理,具有良好的经济价值和社会价值。
二、 国内外社会征信管理现状
征信是评价信用的工具,是指通过对法人、非法人等企事业单位或自然人的历史信用记录,以及构成其资质、品质的各要素、状态、行为等综合信息进行测算、分析、研究,借以判断其当前信用状态,判断其是否具有履行信用责任能力所进行的评价估算活动。
社会征信体系是社会信用体系的基础和核心。征信机构把与信用有关的信息加工成信用商品,卖给信用信息的需求者,这样就使得正面信用积累成为扩大信用交易的动力,负面信用信息成为约束失信人的震慑力。
西方现代信用市场已经有一百多年的历史。在发达国家,全社会80%以上的交易通过信用的形式实现。在美国,信用是作为商品在市场上大量生产、大量销售的。在企业征信方面,美国邓百氏集团(Dun & Bradst reet Corp.)是世界上历史最悠久且规模最大的企业资信调查类信用管理公司,在全球设立了37个世界数据库基地,这些数据库包含约有6 000万份全球企业动态档案信息,可以及时地向所需者提供企业资信调查报告。在个人征信方面,发达国家的个人征信市场也尤其发达,20世纪90年代的全美个人信用中,银行的信用卡仅在1994年~1995年就增长了77%。
在中国,征信作为一种制度与机构最早始于20世纪末,现已经取得明显成效。在企业征信方面,中国人民银行于1997年开始筹建全国银行信贷登记咨询系统。1999 年,该系统实现了在每个城市范围内信贷数据联网上报并提供查询服务。2002年底,该系统实现全国联网查询,是我国企业征信系统中最为完善的全国性联网系统。在个人征信方面,中国人民银行于1999年3月颁布了《关于开展个人消费信贷指导意见》,2004年12月中国人民银行开始试运行全国统一的个人信用信息基础数据库,2005年实现全国联网,该系统的运行,将使有“信用污点”的人在办理各种信用类业务时碰到强大的阻力。
三、 基于社会征信体系的电信客户信用管理
深圳市社会征信体系自2002年开始已逐步建立并完善,目前已在全市各银行、保险、社保、工商、公安、职业介绍等行业中广泛应用,这为电信运营商加入社会征信体系并利用全社会征信体系资源提供了一个很好的时机,为电信客户信用体系建设与管理开拓了一条崭新的发展之路。
广东电信有限公司深圳分公司拥有用户约400多万,是中国电信集团旗下的特大型本地网。2006年5月,深圳电信将电信客户缴费信用纳入社会征信评价体系,探索运作基于社会征信体系的电信客户信用管理,使电信缴费信用应用范围得以广泛拓展。
基于社会征信体系的电信客户信用管理采取双向运作模式,根据欠费严重情况、社会征信数据将电信欠费客户分为三类不同等级的“黑名单”,有计划地向社会公共机构主动推送,变被动警示为主动警示,形成信用信息的增值服务;并主动引用客户社会征信信息,指导电信业务受理和追欠。模式的运作特点如下:
1. 加入社会征信体系,将电信缴费信用纳入社会征信评价体系,电信业务系统与社会征信系统信息互通。将电信用户的缴费信用转化为积分,列入社会征信系统中的个人信用评估报告中,作为个人社会信用的一项评估指标,对电信客户信用的社会化应用管理。社会相关行业(金融、保险等)也可通过征信系统,查询用户在深圳电信的通信缴费信用,作为该行业(银行、保险等)受理用户信用卡申请、贷款业务及保险业务的重要依据。系统互连查询如图1所示。通过宣传,有力促进电信客户对通信信用的认识重视,促成其良好的信用行为。
2. 以系统联网方式,调用社会征信体系信息应用于电信用户信用管理。通过社会征信系统,将社会相关行业(金融、保险等)的征信数据黑名单信息主动推送到电信业务系统,提供不良用户的信用警示功能。同时,电信业务系统可通过社会征信系统进行客户相关信用数据的查询,作电信用户信用管理应用的重要依据。如图2所示。
利用社会征信系统强大的客户社会信用信息,可实现公众客户身份信息验证、商业企业客户工商信息验证等服务功能,使电信公司在业务受理时能及时准确获取和验证客户信用资料,如:户籍信息、营业执照、组织机构代码等信息。将未通过身份验证的用户作为缴费信用管理重点跟踪客户,并应用于催缴、停机策略。同时,对重点大额欠费用户,可通过征信系统获取客户内部的有效资料,进行法律起诉等,以达到有效回收费用的目的。
3. 提出用户信用信息的增值服务,创造新价值。电信信用信息的使用可以是一种有偿的服务。目前,电信客户信用信息与社会信用信息共享使用,初步设定一定的互为免费使用量。随着电信信用信息使用的拓展,社会使用需求超过设定量后,或者支撑某些行业的特殊使用需求,电信信用信息的使用可转换为有偿服务,从而创造新的经济价值。
四、 应用实施效果
深圳电信基于社会征信体系的电信客户信用管理模式运作以来,取得了良好效果:(1)各银行开办信用卡及贷款业务时调用通信信用的客户月均查询量达2万次,其中99.47%的电话用户无未缴费记录,顺利办理了贷款和信用卡业务。为此,多家媒体进行了宣传和讨论,用户开始广泛关注及重视通信缴费信用。(2)在电信有欠费的用户(超过三个月已双向停机),在前往办理银行业务时受限被拒绝,该类用户有90%在一个月内主动到电信营业厅缴清了欠费,对电信企业话费回收起到积极推动作用。(3)深圳电信访问信用征信系统进行新用户身份验证信息量达15 000多次,实现了电信个人及单位用户的受理身份验证、电信用户的社会信用信息查询,从而有效防止恶意欠费。
五、 总结与展望
深圳电信开创了国内基于社会征信体系进行电信客户信用管理应用之先河,取得了良好效果,弥堵了恶意欠逃费漏洞,提升了电信用户诚信守法的良好社会意识,实现了社会信用信息资源共享,达到了电信企业与社会共赢的目的。
信息时代蓬勃发展,电信业也面临向综合信息服务转型的考验,电信运营商可充分利用用户数量巨大、基础数据相对完善的行业特点,通过跨行业信用信息的互用互通,降低恶意欠费风险,提供信用信息增值服务,获取应有的经济价值,增强社会征信体系的运营效能,发挥更大的社会效益与价值。
参考文献:
1.CNET科技资讯网.三大运营商发布新增用户数 中国移动增幅最大.http://tech.Sina.com.cn/t/
2006-12-20/14471297961.shtml.
2.高潔.论电信企业客户信用管理系统的构建.北京邮电大学学报(社会科学版),2003,15(14):35-39.
3.赵小凡.社会征信体系建设:国际借鉴与国内考察.财经理论与实践,2005 ,(2):110-113.
作者简介:林永毅,天津大学管理学院博士生,深圳电信企业管理部流程管理室经理;赖潭海,深圳电信业务支持部总经理、高级工程师;罗爱平,深圳电信业务支持部计费业务室经理、高级工程师;冉现永,深圳电信企业管理部流程管理室业务主管、工程师。
收稿日期:2007-04-23。
作者:林永毅 赖潭海 罗爱平 冉现永
第二篇:征信机构信息安全管理研究
摘要:随着我国社会信用体系建设的全面提速,征信机构的信息安全成为制约征信业健康快速发展的一个重要因素。如何提高征信机构的信息安全管理水平,保障征信机构信息安全,是我国征信业建设发展过程中必须要解决的一个重要问题。本文对国内外信息安全管理的研究成果进行了梳理,分析了我国征信机构信息安全管理的现状以及面临的风险,在此基础上,借鉴国际标准ISO/IEC27001,构建了一个适用于征信机构的信息安全管理模型。
关键词:IS0/IEC;27001;信息安全;管理体系;信息安全管理
近年来,随着我国社会信用体系建设的全面提速,征信业快速发展,征信产品不断创新,征信机构发展迅速,在推进地方经济和金融发展等方面发挥了积极作用。但由于我国的征信业发展仍然处于起步阶段,征信机构缺乏有效的监管,没有建立起科学完善的评价和管理体系,存在较大的风险隐患,其信息安全问题不容忽视。如何加强征信机构信息安全管理,防范征信机构信息安全风险,成为当前亟待研究解决的课题。
目前,人民银行征信系统已收录了全国8亿自然人和1576万户企业及其他组织的基本信息、银行账户信息、信贷信息以及其他非银行信息等多项重要的涉密信息,其信息的安全性事关个人信息隐私权、企业商业机密,一旦发生信息泄密事件,不仅会对人民银行征信系统建设产生极大的负面影响,还会引起一系列的法律纠纷问题,进而阻滞征信业发展的进程。因此,征信信息的安全问题对征信业的发展至关重要。
一、文献综述
(一)信息安全管理基础理论
基于美国国家安全通信以及信息系统安全委员会的定义,信息安全就是保护信息及其关键要素,包括使用、存储以及传输信息的系统和硬件。信息安全的主要目标是信息的保密性、完整性、可用性等安全属性的保持,即通过采用计算机软硬件技术、网络技术、密码技术等安全技术和各种组织管理措施,保护信息在其生命周期内的产生、传输、交换、处理和存储的各个环节中,保持其安全属性。
征信机构信息安全即通过采取各种技术和措施对征信机构自身信息和其搜集的企业和个人信息、以及信息载体、信息环境的保护来实现信息安全。
信息安全管理是通过维护信息机密性、完整性和可用性,来管理和保护组织所有信息资产的一项体制,是对信息安全保障进行指导、规范和管理的一系列活动和过程。信息安全管理的内容包括信息安全政策制定、风险评估、控制目标与方式的选择、制定规范的操作流程、信息安全培训等等。
(二)国内外研究综述
对信息安全管理的研究在 20 世纪 90 年代才引起人们的重视。其研究范围包括信息安全的评估方法、信息安全标准和信息安全管理模型。
1.信息安全的评估方法。
国外的信息安全评估方法主要有Changduk Jung(1999)提出的基于案例推理 (Case-BasedReasoning,CBR)的信息风险评估方法、Ashish Gehani(2003)提出的基于主机的风险管理和决策模型以及Shawn A.Butler(2003)提出的协助信息安全管理人员进行安全措施选择权衡分析的多属性决策方法。
在国内,钱钢(2002)提出了一种基于 SSE-CMM 的信息系统安全风险评估方法。该方法利用 AHP 方法将风险事件后果评定为一个属于[0,1]区间的数值;同时采用专家估计的方法推导风险事件成功概率的似然估计值。朱而刚和张素英(2004)提出了一个基于灰色评估的信息安全风险评估模型,引入了灰色评估的研究方法;任帅、慕德俊(2006)通过应用层次分析法计算出受评对象各层次的相对权重,再利用灰色系统理论处理专家的评估数据;高阳、罗军舟(2009)提出了一种基于灰色关联决策算法的安全风险评估方法。
2.信息安全标准。
英国于1995 年首次提出 BS7799-1:1995《信息安全管理实施细则》,随后美国和欧洲等一些国家也提出了相关的信息安全管理标准。1996 年,国际标准组织发布了 ISO/IECT R13335 即《信息技术安全管理指南》,1999 年发布了 ISO/IEC15408即《信息技术安全评估共同准则》(CC 标准),2005 年又发布了 ISO/IEC 27001 即《信息技术信息安全管理实施细则》。1999 年 9月,中国制定了《计算机信息系统安全保护等级划分准则》(GB17859-1999)。2000 年 12 月,BS7799-1:1999《信息安全管理实施细则》通过了国际标准化组织 ISO 的认可,正式成为国际标准——ISO/IEC17799-1:2000《信息技术—信息安全管理实施细则》。但该国际标准只被英国、荷兰、丹麦、澳大利亚等几个国家使用,美国、德国等国家对该标准持反对态度。
3.信息安全管理模型。
国外信息安全管理模型主要有PDR 模型、PDRR模型、PDCA 模型三种。
PDR 模型(Winn Schwartau,1998),PDR 即:Protection(保护)、Detectioon(检测)、Response(响应)。
PDRR(Protection Detection Response Recovery)模型。 PDRR 模型的核心思想是:要实现信息保障,必须在统一的安全策略的指导下,针对信息系统中各个需要保护的目标,综合运用恰当的防护机制,动态的检测机制,及时的响应机制,以及当遭受攻击引起信息安全措施失效时的迅速的恢复机制,构筑具有“纵深防御”功能的信息安全保障体系。
PDCA 模型又称戴明环,最初应用于质量管理体系中。ISO/IEC27001 信息安全管理体系就是采用了这一模型。其主要通过规划、实施、检查、行动四个环节来发现
在国内,主要有HTP 信息安全模型,该模型由三部分组成:①人员与管理:从组织角度考虑有安全方针政策程序、安全管理、组织文化、应急计划以及业务持续性管理等问题。 ②技术与产品:组织可以综合运用商用密码、防火墙、防病毒、身份识别、可信服务、安全服务、备份恢复以及主动反击等多种技术与产品来保护信息系统的安全。③流程与体系:组织应当借鉴国内外相关信息安全标准与实践过程,考虑到组织对信息安全的各个层面的需求,在风险分析的基础上引入恰当控制机制,建立合理的信息安全管理体系,保证组织赖以生存的信息资产的保密性、完整性、安全性和可用性。
综上所述,有关信息安全管理的研究成果非常的丰硕,在信息安全的评估方法和信息安全的评价标准上尤其突出,在信息安全管理的模型和机制上也有许多有价值的成果值得借鉴。但是,把信息安全的理论应用于企业的信息安全管理实践中的研究相对缺乏。对于征信机构的信息安全管理的研究成果不多,现实中的征信机构面临着各种各样的信息安全问题。
二、征信机构信息安全的现状及存在的问题
第一,我国现行征信相关法律制度层次不高,法制建设不完善。我国征信机构信息安全立法的现状总体上不容乐观。目前,我国的法律对征信机构信息安全的规定比较零散,尚未制定系统、全面保障征信机构信息安全的法律文件。现有的法律多表现为条例或规章,这些条例和规章效力等级不高,调控范围有限,内容不全面。国务院2012年出台的《征信业管理条例》对于征信机构信息安全保护的规范过于简略,在实体上和程序上均有待完善。
第二,征信信息安全管理制度体系初步建立,亟待健全和完善。目前,中国人民银行出台的信贷征信信息安全方面的文件主要有《银行信贷登记咨询管理办法(试行)》、《个人信用信息基础数据库管理暂行办法》、《个人信用信息基础数据库数据报送管理规程(暂行)》,对于企业信用信息数据库的相关管理办法尚未形成,且各管理办法中均没有明确征信信息保密的实施细则,也没有固定计算机的网络条件限制,信息安全管理制度亟待健全和完善。
第三,数据收集和处理的准确性、保密性难以精准把握。由于缺乏国家层面的法律保障,征信机构信息来源的准确性受到制约。以人民银行征信系统为例,其信息主要来源于人民银行贷款卡更新信息、各国有股份制商业银行及地方性金融机构的账户和信贷信息、各部委和各地方政府机构的非银行信息等,传输单位、环节众多,数据流动情况复杂,信息涉密环节较多,如管理不当或操作失误,信息采集就可能出现失误或泄露。
第四,信息管理环节亟待加强。目前,在征信信息安全管理的整个流程中,信息的存储环节亟待加强。虽然各商业银行已经制定了相应的信息管理办法,但实际操作中仍存在征信工作人员信息安全责任意识淡薄、岗位实施细则落实不力等问题。调查发现,个别商业银行虽然在制度上对系统管理员、部门主管、操作员的责任权限有明确划分,但在实际操作中混岗和违章操作现象经常有发生,操作人员口令过于简单或长期不更换,查询员、复核员口令未能相互保密等,信息管理存在较大的安全隐患。
第五,信息保密技术有待提高。目前,在征信信息查询使用过程中,存在安全防范技术落后、安全防范技术不统一、防范方式单一的现象。防范征信系统信息泄密,除了在信息数据传输的各个环节要实行高强度的加密保护外,信息查询也要采取更完善的安全保护措施。
第六,征信机构信息安全意识淡薄,存在管理观念误区。大多数征信机构的管理层对信息资产所面临的威胁的严重性认识不足,或者仅仅是局限于IT方面的安全,没有形成一个合理的信息安全方针来指导组织的信息安全管理工作,这表现为缺乏完整的信息安全管理制度,缺乏对员工进行必要的安全法律法规和防范安全风险的教育与培训,现有的安全规章组织未必能严格实施等。
第七,征信机构信息安全管理能力和管理水平参差不齐,投入力量有限。目前,我国征信机构的发展还处于起步阶段,征信机构的发展水平还较低,征信机构的管理能力和管理水平参差不齐,在信息安全管理体系建设的投入上重视程度不够,投入力量也有限。信息安全管理体系的建设需要征信机构投入大量的资金和人力物力,而信息安全管理的投入却很难看到收益,这也导致许多征信机构在资金、人力物力有限的情况下不愿投入较多资金在信息安全管理上。
三、ISO/IEC 27001 信息安全管理体系分析
ISO/IEC 27001《信息技术安全技术-信息安全管理体系—要求》是有关信息安全管理的国际标准,源于英国BS7799标准。这个标准可用于组织的信息安全管理体系的建立和实施,保障组织的信息安全,采用PDCA过程方法,基于风险评估的风险管理理念,全面系统地持续改进组织的安全管理。
ISO/IEC 27001是ISMS的要求标准,内容共分8章和3个附录。ISO/IEC 27001是用于所有类型的组织(如企事业单位和政府机关等)。它从组织的整体业务风险的角度,为建立、实施、运行、监事、评审、保持和改进文件化的ISMS规定了要求,并提供了方法。它还规定了为适应不同组织或其他部门的需要而定制的安全控制措施的实施要求。ISO/IEC 27001是组织建立和实施ISMS的依据,也是ISMS认证机构实施审核的依据。
ISO/IEC 27001要求组织利用风险评估的方法,确定每一个关键信息资产的风险,并根据各类信息资产的重要度和价值,选择适当的控制措施,缓减风险。
ISO/IEC 27002是一个通用的信息安全控制措施集,从11个方面提出了39个信息安全控制目标和133个控制措施,涵盖了信息安全的各个方面,对于每个具体控制措施,标准还给出了详细的实施方面的信息,为组织实施信息安全管理提供建议。
ISO/IEC 27001与ISO/IEC 27002是组合使用的。ISO/IEC 27001中的规范性附录A就是ISO/IEC 27002的控制目标和控制措施。对于期望建设和实施ISMS的组织,应根据ISO/IEC 27001的要求,选择ISMS范围,制定信息安全方针和目标,实施风险评估,根据风险评估的结果,选择控制目标和控制措施,制定和实施风险处理计划,执行内部审核和管理评审。
四、征信机构信息安全管理体系设计及内容
(一)构建信息安全管理体系的基本步骤
信息安全管理体系的构建不是一个单纯的技术和产品工程,而是一个系统化的体系建设过程。因此,在构建信息安全管理体系时,必须紧紧围绕中心,有计划、分步骤的实施。依据信息安全管理标准,建立信息安全管理体系的框架是构建信息安全管理体系的第一步。信息安全管理体系框架的搭建必须按照一定的程序来进行,如图1所示。构建信息安全管理体系框架时,必须充分考虑企业业务发展和信息安全需求,并建立与信息安全管理体系框架相对应的文档资料。
(二)征信机构信息安全管理体系构建
根据ISO/IEC27001的基本思路和方法,按照ISMS建立的流程和步骤,笔者结合征信机构的实际情况,设计了一个征信机构信息安全管理体系结构模型,如图2所示。
该模型以组织、制度、人员三大保障为基础,以信息安全策略为中心,综合运用防护、检测、响应、改进四步循环的管理体系为信息安全策略的实施提供支撑。防护、检测、响应、改进分别由各自的安全措施组成,共同为征信机构网络系统提供信息安全保护。防护主要由 8 大安全措施组成,即访问控制、数据加密、身份认证、人员管控、电磁防护、冗余备份、频率保护和运营管理。监测主要由 5 大安全措施组成,即流量监测、漏洞检测、入侵监测、路由检测和环境监测。响应主要由 4 大安全措施组成,即系统恢复、安全记录、故障处理和杀毒堵漏。改进由5大安全措施组成,即产品升级、病毒更新、技术创新、人员培训和制度完善。
(1)信息安全策略
信息安全策略定义了组织的信息安全管理目标和相应的安全保障措施。组织的决策层在确定了组织的信息安全策略后,应对其进行文档化的描述,同时还要有相应的措施确保信息安全策略能够得到强制有效的执行。
(2)防护
相关部门要做好日常的信息安全防护工作,制定和完善与信息安全相关的各项内部规章制度,加强组织人员对于相关制度的培训和学习,提高组织人员的安全意识,从信息传递的各个环节把控安全,从源头消除信息安全问题的隐患。
(3)监测预警
相关部门要制定和完善网络与信息安全突发事件监测、预警、报告制度。加强网络与信息安全监测、分析、预警工作,建立信息安全事故通报制度。发生网络与信息安全突发事件的单位应当在事故发生后,对发生的事件进行调查核实,保存相关证据,并向信息安全领导小组办公室报告。领导小组应建立健全网络和信息安全突发事件监测、指挥决策及预警发布系统,及时发布预警信息。各部门要制定并不断完善各自的信息安全应急处理预案。
(4)应急响应
实施预警信息等级制度,按照事件严重性和紧急程度及对社会影响的大小,由轻到重划分为5个等级。一旦发生网络与信息安全事件,各单位应在第一时间报告到领导小组办公室,如情况紧急,领导小组办公室可上报本级征信监督管理部门。
在发生3级以上网络与信息安全事件后,事件发生单位和现场应急处理工作应尽最大可能收集事件相关信息,鉴别事件性质,确定事发原因,预估事件影响范围和影响和损害,对事件进行定级和上报。按照应急响应流程,由信息安全应急协调领导小组决定启动应急预案,并由领导小组办公室负责应急处理协调工作。
应急处理工作分确认、控制、处理三步走。确认:初步确定应急处理方式,针对突发事件的性质选择响应的应急预案。如果以自身力量无法处理,应提出应急支援请求,由领导小组派出应急支援技术人员进行信息安全应急支援。控制:及时采取措施控制事件以使其不再发展,限制潜在的损失与破坏,同时应确保控制措施不会或最低程度影响相关业务。处理:在控制住事件发展后,通过对事件的分析找出事发原因,采取相应的补救措施,彻底消除安全隐患。
在事件的上报、接收和处理过程中,事件接收人、处理负责人应及时做好完整的过程记录。事件处理完成后归档。
系统恢复正常运行后,应急响应小组对事件造成的损失、事件处理流程和应急预案进行评估,对响应流程、预案提出修改意见,总结事件处理经验和教训,撰写事件处理报告,需要上报的应及时上报相关部门。对于病毒等易造成大范围传播的网络与信息安全事件,应及时向领导小组办公室提交预警信息。
(5)改进
信息安全事件的发生会暴露出组织信息安全管理工作中存在的问题和漏洞,根据出现的问题,组织可进行仔细的问题排查,根据问题采取相应的改进措施。从信息安全技术的创新、安全产品的更新换代、病毒库的更新、加强人员培训教育、完善信息安全管理制度建设等多个方面进行改进。
征信机构信息安全管理体系的建立是一个长期的过程,该模型在具体的操作和运用中还需要细化和完善。
参考文献:
[1] 安建主编.《征信业管理条例》释义[M].北京:中国民主法制出版社,2013.5.
[2] 赵志华主编.征信管理基础概论[M].北京:中国金融出版社,2012.12.
[3] 郎庆斌,孙毅,杨莉.个人信息保护概论[M].。北京:人民出版社,2008.12.
[4] 王春冬主编.信息安全管理[M].。武汉:武汉大学出版社,2008.4.
[5] 张泽虹,赵冬梅编著.信息安全管理与风险评估[M].北京:电子工业出版社,2010.4.
[6] 孟艳.关于发展我国社会征信机构的探讨[J].理论学刊,2001.9.
[7] 崔景杰.浅谈金融系统信息安全保障体系[J].科技博览,2013.10.
[8] 李慧.信息安全管理体系研究[D].西安电子科技大学,2005.1.
作者:张雅婷
第三篇:建立个人信用征信体系 加强银行信用风险管理
摘要:信用缺失是我国转轨经济中日益突出的问题。我国商业银行由于存在信用的缺失,面临着巨大的信用风险。美国次贷危机引发的全球性金融危机使我国银行业面临的信用风险不断增大。在此背景下,本文分析了我国银行业信用风险存在的问题及成因,并从我国商业银行体制、内部管理以及建立健全的个人信用征信体系等方面来探讨如何加强我国商业银行的信用风险管理。
关键词:商业银行;信用风险;个人信用征信体系
一、我国商业银行信用风险存在的问题
商业银行信用风险是指由于借款人或市场交易对手不能按照合约履行其义务而导致损失的可能性。在分析我国商业银行信用的现状时,主要是指信贷风险。反映银行信贷风险的指标主要有不良贷款率、资本充足率、贷款违约率。
我国商业银行面临的信用风险,具体表现在以下三个方面:1、不良贷款数额巨大,不良贷款比率居高不下。商业银行存在着数额巨大的呆账、坏账,严重影响了商业银行的流动性、安全性。目前,我国金融机构逾期贷款率一般为50%,有的高达80%,呆账达到20%,有的甚至超过30%。四大国有商业银行在2001年剥离了1.3万亿不良资产后,不良资产比例仍为25.37%,远高于2000年世界前20家大银行3.27%的比例,并且还超过东南亚金融危机前该地区各银行的水平,而美国银行的不良资产率普遍在0.67%以下,欧洲在2%以下;2004年底,国有商业银行不良贷款为15751亿元,不良资产比例为15.62%,截到2005年第一季度末,全部商业银行不良资产余额为18274.5亿元,不良贷款率为12.4%;根据银监会公布的资料,到2006年末,我国金融机构贷款的平均不良资产率为7.09%,其中国有商业银行是9.22%,股份制商业银行也达到了2.81%。虽然商业银行的不良资产比例和不良贷款逐年降低,但若剔除政策性剥离因素和新增贷款稀释效果的影响,主要商业银行的不良贷款实际上是不降反升。2、资本充足率和贷款呆账准备金偏低,抵抗信用风险能力差。按照巴塞尔协议的要求,银行资本充足率应达到8%。而我国国有银行的资本充足率指标却不尽人意。我国1998年发行特别国债2700亿元,所筹集的资金全部用于拨补四大国有商业银行资本金,才达到8%;政府于2003年末对于我国银行及中国建设银行注资450亿美元,继而于2004年在两行的股份制改造中又帮助它们向中国信达资产管理公司剥离了3000亿元人民币的不良资产,才使得两行资本充足率得到明显提高,均达到8%的国际标准;同时,中国工商银行和中国农业银行的数据未对外公开,尤其是农行自2000年之后的数据一直未能公之于众。贷款呆账准备金比率要求达到1.25%,而目前我国银行贷款呆账准备金占平均资产的比例在0.5%左右。3、银行资产负债比例状况不理想,贷款比例过高,贷款违约率高,违约回收率低,信用风险成集中趋势。从我国各金融机构的资产结构看,由于我国债券市场不发达,债券占金融资产的比例很低,贷款还是资产的主要形式,各项贷款占金融资产的71.35%,其中,房地产贷款在信贷资产中占比过大,相关数据表示,到2008年1季度末商业性房地产贷款余额达到5.01万亿元,占人民币贷款的比重已经提高到18.2%。部分银行占比甚至高达30%。一旦市场形势出现逆转,各银行将不可避免出现大量坏账,损失将极为严重。可见我国商业银行的信用风险主要集中在信贷风险上。
二、我国商业银行信用风险的成因分析
1.体制性原因。
我国商业银行信用风险与发达市场经济国家的信用风险相比,具有显著的体制性根源。首先,商业银行在发放贷款时受各级政府影响较大。我国商业银行没有完全的独立性,产权结构不明确,职能不清晰,其经营行为受政府干预,缺乏独立自主的经营权,经营目标和责任不很明确,无独立的法人财产权,因而没有承担经营效果和经营风险的责任,没有人真正对国有商业银行的资产保值、增值负责。这样,商业银行很大程度上是政策性银行,信贷活动的风险就难以规避和降低。其次,在当前经济转轨过程中,国有商业银行出于宏观经济改革的需要,还必须继续对一些经营不善、效益不佳、偿债能力较弱的国有企业进行信贷支持,商业银行信贷活动具有极大的被动性。另外,我国资本市场尚处于初创时期,市场融资机制不规范,直接融资发展缓慢,大多数企业的资金靠银行贷款,在政策制约下,银行很难及时收回贷款,造成大量不良贷款,加大了我国商业银行信用风险。实质上我国银行信用风险是一种制度性风险。
2.商业银行信用风险管理的机制、组织机构尚未健全,风险管理人才缺乏,信用风险管理落后。
首先,由于我国国有商业银行长期以来处于垄断经营地位,银行的许多决策直接由政府做出,在我国现行金融体制下,商业银行事实上是以国家信用在承担着银行风险,银行经营管理者对风险管理缺乏足够的重视和紧迫感。银行内部也尚未建立有效的风险约束与激励机制,各级银行经营管理者的权力、利益和责任极不对称,经营得好,不良资产少,个人得不到应有的激励;经营不好,不良资产多,也是国家损失,甚至有些银行在地方政府压力下,不惜以牺牲银行信贷资金的安全为代价,过度追求贷款规模,加大经营风险。其次,信用风险管理,是一项复杂的系统工作,需要专门的技术管理部门和人员。目前我国大多数商业银行还没有建立独立的、能够有效管理银行各种风险的管理体系和管理部门,缺乏高素质的风险管理人员。另外,我国商业银行信用风险管理水平落后,信用风险分析管理体系不够健全,特别是作为其核心的信用风险分析由于基础数据不统一和准确性不足导致分析结果缺乏可信度,不能满足信贷风险防范工作的需要。更甚的是一些银行在贷款前对贷款申请人不进行信用分析,缺乏深入细致的前期审查工作,风险意识淡薄,贷款风险监控方法单一,不可避免地造成信贷风险。
3.我国尚未建立健全的个人信用征信体系,银行对个人信息不对称。
中国人民银行的个人征信系统处于起步阶段,虽然目前已初步建成全国统一的个人信用信息基础数据库,但不少地方还需要完善。个人信用体系和欧美发达国家相比差距非常巨大。在美国,他们约有2万个全国性信用协会,而中国只有100多家;美国企业的赊销比例高达90%以上,中国企业不到20%;美国企业坏账率是0.25%-0.5%,但中国企业却是5%-10%;美国企业的账款拖欠期平均是7天,中国企业平均竟是90多天。可见,我国个人信用体系存在严重的缺失。 原因是第一,对于客户信用信息缺少集中的数据仓库,更缺少多年连续的数据记录;第二,银行业务管理信息系统业务类别划分过于粗糙无法提供客户的基本信息,信用余额数据,也无法提供担保方式的具体信息;第三,我国的商业银行未建立起有关信用资产的历史数据库,例如违约频率,违约回收比率、信用等级转换概率等数据也无法提供,无法为建立信用风险模型提供一个动态信息。目前,我国居民能够提供的个人信用资料主要有身份证、户籍证明、人事档案和个人财产证明等,这些资料并不能证明个人收入的多少、来源及可靠性。我国也尚未建立起个人财产申报制度和个人基本账户制度,个人的收支和债权债务没有系统的记录,缺乏个人信用评估的基础数据和材料,使得银行对借款人的还款意愿和还款能力难以作出准确的判断。没有完善的个人信用资料,没有完善的个人信用信息体系,借款人提供的资料缺乏真实性,银行与借款人之间出现信息的不对称。从个人按揭贷款来看,银行受理个人按揭贷款也存在严重的信息不对称,尽管中国人民银行的个人征信数据库已经启用,但目前存在的个人住房贷款大都在这之前发放,过去的这几年房地产价格涨幅显著,存在泡沫,另外假按揭贷款实实在在存在,其可能导致的损失率与美国的次级贷款相比,只会过之而无不及。而且在金融危机影响下,居民实际收入下降,失业风险加大,这加剧了个人按揭贷款违约的概率,使银行信用风险增加。
三、加强我国商业银行信用风险管理的措施
1.深化改革,消除信用风险形成的体制性根源。
首先,国有商业银行必须适应市场经济发展和金融改革的要求,深化产权制度改革,通过股份制产权改革,明确国有商业银行与其他国有企业的产权关系,使之成为真正独立的产权主体,拥有完全独立的、产权边界明晰的法人主体,实现真正的独立自主经营、自负盈亏。其次,政府应转变职能,规范政府行为,减少对商业银行过多的行政直接管制和不必要的行政干预,维护商业银行的经营自主权,以保证信贷资金的合理与有效使用,降低商业银行的信用风险。另外,必须深化国有企业改革,建立现代企业制度,完善国有企业内部激励约束机制,拓宽企业融资渠道,提高企业的经济效益,降低国有企业的不良贷款。
2.加强商业银行内部管理,完善贷款制度,建立健全信贷专门管理机构。
商业银行是信贷活动的主体,贷款与否的决策是由商业银行作出的,因此,信用风险的控制也主要应由商业银行来承担,商业银行可以通过自身的决策和管理行为把信贷风险控制在最低限度内。首先,按《商业银行法》和《贷款通则》的要求,制定相关的政策来明确贷款管理人员的责任,包括贷款风险责任制度、审贷分离制度、贷款权限审批制度、贷款“三查”制度及贷款抵押制度等,加强对不良贷款的清收,建立贷款质量监测指标体系,努力降低不良贷款的比例。其次,应建立健全信贷专门管理机构,该机构负责对借款申请人信息的收集、审查、分析,负责贷款风险评估工作,防止信贷权力的过分集中,对大额贷款和疑难问题贷款审批实行民主决策,以保证贷款的安全性和效益性。为此,必须培养高素质的人才队伍,现代风险管理需要精通金融学、经济学、数学、计算机的复合型人才。
3.我国应尽快建立全国统一的个人信用征信体系,避免和降低商业银行的信用风险。
在我国银行信贷市场中,个人消费信贷市场是信息不对称最为突出的场所,成为个人消费信用风险的主要原因。消除信息不对称是消费信贷业务得以存在并不断发展的重要途径,而消除信息不对称的关键就是建立和完善个人信用征信体系。
个人信用征信体系是把分散在各商业银行和社会各方面的个人信用信息,进行采集、加工、储存、形成个人信用信息数据库,为公众了解个人信用状况提供服务的系统。从国内外信用制度的发展情况看,为了逐步完善个人信用征信体系我们应做到:
(1)建立和完善个人信用资料数据库信息系统。 个人信用信息数据库最早是从1999年7月在上海试行,2005年8月底完成与全国所有商业银行联网运行,2006年1月正式运行,截止2008年9月底,个人信用信息数据库收录自然人数共计6亿多人,其中一亿多人有信贷记录。信用资料数据库包括客户的信用评级资料、历史上的违约记录以及近几年金融市场的数据资料。商业银行可以根据这些信用资料决定是否发放贷款,还可以测算信用评级和贷款风险的大小。自个人信用信息数据库建设以来,人民银行一直都在与相关部门积极协商,扩大数据采集范围,提升系统功能。
(2)建立全国性的银行间数据库。尽管我国有些商业银行收集了客户的财务报表、违约损失的数据,但是由于数据积累是一个长期过程,各商业银行为了保护商业机密的原因不愿意公开这些数据。因此,必须建立全国性的银行间数据库,实现信息互传,信息共享。
(3)建立科学、灵活、规范的个人征信机构。个人信用征信体系的建立,使原本分散于政府、银行、工商、税务、保险等各类机构的个人信用信息集中起来,通过专业的机构对个人资信状况进行分析、披露,使社会各部门能够较为全面地了解个人的信用状况,达到约束个人信用道德行为的目的。一个完善的征信机构必须依靠政府的支持,按照市场为主政府为辅的原则,推动各征信机构之间的联合,使不同区域间的征信业务相互渗透,逐步建立全国性的个人信用征信机构和征信网络。一个完备的征信系统,还必须充分考虑我国国情:第一,应尽快建立一套与个人征信相关的法律法规,为个人征信制度建设创造一个良好的法律环境。如制定《个人信用征信管理条例》,规范征信活动,对个人征信范围、程序、原则、记录、信息披露、个人隐私保护和法律责任等方面内容加以规范。第二,个人信用征信工作是一项社会性的系统工程,需要全民的参与。要做好信用知识普及工作,加强全民道德教育,注重个人信用的培育。
参考文献:
(1)朱毅峰、吴晶妹. 信用管理学[M]. 北京:中国人民大学出版社,2005
(2)李月华.论中小企业信用风险的事前控制[J]. 企业经济,2008-02.
(3)郑良芳.银行业信用风险需全面有效管理[J]. 农村金融研究,2008-09.
(4)李乐.我国商业银行信用风险管理的现状、问题及原因分析[J].金融经济,2009-02:82-84.
(5)聂庆平. 中国金融风险防范问题研究[M]. 北京: 中国金融出版社,2000.8.
(6)汪宇瀚.我国个人信用体系建设初探[J].经济论坛,2007-10.
(7)李栋.我国商业银行信用风险存在的问题及成因[J]. 商业经济,2009-01.
(作者单位:湄洲湾职业技术学院工商管理系 福建省湄洲湾职业技术学校)
作者:方丰霞 黄清新