论文部分内容阅读
经过数十年的发展和建设,我国国库制度体系已基本形成,但随着国库信息化程度的不断提高,现有的国库制度体系已不能满足业务发展的需要,部分地区“新业务、旧制度”的矛盾比较突出,国库会计集中核算体制及不断拓展的国库服务领域缺乏必要的制度导向,如何建立和完善信息化条件下的国库管理制度值得关注和思考。纵观国库制度建设历程,可获得三点启示:一是国库成为制度制订的主体是制度建设的前提;二是国库职能的扩大,为国库制度建设提出了更高要求,国库制度体系需要不断完善;三是积极主动修订和补充制度是健全完善国库制度的重要手段。
一、现行国库制度体系与信息化条件下制度建设要求的差距
近年来,随着国库服务领域逐步拓展,服务手段日渐丰富,国库创新业务不断增加,国库业务电子化的覆盖面也逐渐扩大,如横向联网电子缴税、社保资金直接发放、电子拨款、直接办理集中支付等国库业务电子化建设在全国各级国库中得到普遍开展。但此类国库创新或业务电子化的主要操作依据仍是在非电子化条件下,尤其是非联网条件下制定的,制度规范不够全面,内容比较片面单一,部分业务领域制度断层,电子化业务缺乏统一、规范的依据和准则。
1 重业务流程安排,轻权责分工
现行制度均对国库日常业务操作部分作出了详细的阐述,操作性比较强,但没有因业务电子化的特殊性而对相关参与单位作出规范,导致各方责任不明晰。对各相关单位在业务运行过程中的职责轻描淡写,一笔带过,造成业务参与各方流程割裂、职责条块分割、责任边界定义不明确,安全问责制无从落实。
2 重内部控制,轻外部风险
国库业务电子化具有业务主体多元化外延化、风险分散化、业务非行业化的网络特点。主体多元化是指业务电子化必然会涉及不同的联网单位即参与者,包括财、税、库、行、社保局以及软件开发维护公司等众多与国库业务有密切联系的单位,都应纳入国库电子制度的规范主体。风险分散化是电子系统将国库业务分割成一个个看似独立实际上紧密联系的模块,风险分散分布于财、税、库、行等部门。如电子退库,数据从财税部门至最终到达商业银行,传送过程涉及单位的行为均需加以规范。业务非行业化是指国库对电子业务的控制和管理能力,对其计算机安全技术的先进程度以及所选择的开发商、供应商、咨询或评估公司的水平的依赖程度大大增强,而不像传统国库业务那样,仅取决于国库自身的管理水平和内控能力。现行制度对国库业务自身规范的多,对相关参与单位的操作规范仍处于真空状态,缺乏对软件开发、系统建设的制度规范。
3 重业务管理,轻技术防范
一是没有规范对软件开发公司的认证准入要求。二是业务系统操作过分依赖外包服务技术人员,自身缺乏高素质人才,存在掌握关键信息和技能人员使用上的单点故障问题,特别是科技部门、维护商间缺乏制度制约,增大操作的随意性,直接影响信息系统的安全,应对数据库的管理、操作作出专门规定。三是对系统技术的验收没有操作指引。一种新业务、一个新系统上线运行,应通过权威部门进行检测、认证。由于没有行为规范,目前一些系统投产前未经过充分的安全性检测,强行“带病”上线。
4 重业务运行,轻监管协调
在设计监管协调机制时,没有考虑电子化操作的特殊性问题,相关制度安排视同国库内部一般内部管理,没有明确监督机制的组织、结构、职责,容易出现问题互相推诿的现象。
二、信息化条件下国库制度建设的指导思想、基本原则和应注意的问题
1 指导思想
以科学发展观为指引,符合财税金融体制改革的客观需求,为实现建立“管理科学、安全高效、监管有力、服务国家、授益于民的现代化、科学化新型国库”的建设目标提供保障,推动国库事业持续、健康和有序发展。
2 基本原则
(1)全面性原则。国库制度建设应统筹考虑发挥国库职能的需要,制定各种业务管理制度,避免遗漏和重复。既要保持各项业务管理制度的相对独立,又要兼顾各种业务管理制度相互衔接,保障国库事业的全面发展。
(2)前瞻性原则。国库制度建设应充分考虑国库未来发展方向,特别是国库业务拓展、信息化建设等领域的发展趋势,最大限度地为国库业务创新留足余地,引导国库业务又好又快发展。
(3)适应性原则。国库制度建设应考虑制度执行环境的共性和个体差异,对共性的规则要做明确规定,对有个体差异的,要在保证最低要求的基础上考虑适当弹性,提高制度的严肃性、持续性和可操作性。
(4)及时性原则。国库制度建设应准确把握业务发展及创新过程中的新情况和新问题,及时健全相关规章制度、完善管理内容、强化风险控制,使各项国库业务有章可循、有法可依,确保国库工作能规范开展。
3 应关注的问题
(1)注意制度继承与制度发展的关系。科学的制度有其特有的持续性和包容性,能适应较长时期的业务发展,既能涵盖成熟的业务种类,又能保障新的业务发展。因此,信息化条件下国库制度建设需注意吸收、继承现有国库制度的优点,在此基础上实现可持续发展。
(2)注意制度建设与业务创新的关系。国库制度建设与国库创新相互依存、相互促进,国库制度建设中必须充分考虑未来国库工作不断创新的要求,促进国库创新工作的开展。
(3)注意制度建设的规律和次序。国库制度建设要结合国库业务现状和未来发展趋势,在对现有国库制度进行梳理的基础上,根据国库制度建立与完善的重要性、紧迫性及难易程度,分清輕重缓急,有序开展。
三、信息化条件下国库制度体系的建议
1 建立国库业务电子化基本行为指导规范
随着财政体制改革的不断深入,国库业务手段随之不断更新、改进,电子化程度必然不断提高,为保证国库业务创新的安全、高效,应制定一套对国库业务电子化具有纲领性的基本操作指引。国库业务电子化其实是属于电子支付业务的一部分,不可能与一般的电子支付割裂,应将电子支付相关行业标准制度引入国库电子业务。纲领性制度应包括以下主要内容:
(1)业务系统软件安全标准。对电子支付的行业规范软件的开发、验收环节的基本要求进行统一规范,将电子支付业务采用的信息安全标准、技术标准、业务标准等融入国库电子化制度建设中。如对使用的软件、系统进行认证,并由符合国家规定的权威机构进行。对于国库业务电子化来说,发展的最大障碍就是电子支付的安全性问题,而在安全保障方面,网络系统、软件的安全应该是最首要的因素,是保障电子化业务安全性、可靠性的最重要的技术保证。
安全标准具体可包括:国家规定的保密要求;确保数据免遭篡改和破坏,对篡改都应是可侦测的,而且系 统能及时地反映出这些篡改的企图;对电子交易数据的访问均须登记,并确保该登记不被篡改;对数据进行的任何查询、添加、删除或更改都应得到必要授权,并具有不可篡改的日志记录;确保任何单位都无法独立完成一项关于修改业务数据库、程序等。
(2)参与者准入标准。一是软件开发公司的准入标准。包括引入开发公司的国家标准,如在人员配备、组织架构、管理制度、風控能力等各方面达到的水平;系统必须经过合法的第三方认证机构提供认证,如依据该认证服务进行业务处理遭受损失,认证服务机构不能证明自己无过错,应依法承担相应责任,通过资格审核,确保只有具有良好信用度和雄厚资金实力的机构进入国库电子业务领域。二是对系统使用者的行为规范。规定各参与者的业务处理系统的操作、管理人员等规范。
(3)引入协议制度。现代电子支付业务更多的是以协议的形式明确双方的权利、义务,如在各国电子支付监管法规中,对持卡人的保护大多主要通过信用卡持卡人与发卡行之间的合约规定进行相关约束。由于国库业务发展变化较大,开展新业务各部门间的权利、义务、职责应签订协议的形式确立。国库电子化制度应参考《电子支付指引》,明确要求业务各参与者签订相关协议,并对协议的必要事项进行列举,即规定业务活动中各方权利、义务及职责。通过协议将业务流程的风险分解到各参与者,明确参与者应确保数据传输的真实性、违规操作的责任、系统缺陷各自应负的责任。
(4)安全控制协调机制。缺乏统一协调机制,会导致应急能力不强,多头管理或没有人管的现象,应在制度中明确人行国库部门作为系统运行总协调,赋予对各参与单位进行监督管理的职责、权利。
2 按业务类型建立详细、可行的操作规程
在国库电子化基本制度的框架下,根据国库业务种类的不同特点,制定相关的操作规程,如规范国库信息处理系统税收收缴库业务的《办法》。以《办法》为例,建议对其作出如下修改:一是增加对财、税等业务操作基本要求如业务操作、网络管理等方面。二是增加对系统维护的相关要求。明确人行科技人员、系统维护公司在日常维护中的操作规范,如建立维护登记簿制度、建立维护业务重要事项的分级审批制度等。
(作者单位:中国人民银行广州分行)
一、现行国库制度体系与信息化条件下制度建设要求的差距
近年来,随着国库服务领域逐步拓展,服务手段日渐丰富,国库创新业务不断增加,国库业务电子化的覆盖面也逐渐扩大,如横向联网电子缴税、社保资金直接发放、电子拨款、直接办理集中支付等国库业务电子化建设在全国各级国库中得到普遍开展。但此类国库创新或业务电子化的主要操作依据仍是在非电子化条件下,尤其是非联网条件下制定的,制度规范不够全面,内容比较片面单一,部分业务领域制度断层,电子化业务缺乏统一、规范的依据和准则。
1 重业务流程安排,轻权责分工
现行制度均对国库日常业务操作部分作出了详细的阐述,操作性比较强,但没有因业务电子化的特殊性而对相关参与单位作出规范,导致各方责任不明晰。对各相关单位在业务运行过程中的职责轻描淡写,一笔带过,造成业务参与各方流程割裂、职责条块分割、责任边界定义不明确,安全问责制无从落实。
2 重内部控制,轻外部风险
国库业务电子化具有业务主体多元化外延化、风险分散化、业务非行业化的网络特点。主体多元化是指业务电子化必然会涉及不同的联网单位即参与者,包括财、税、库、行、社保局以及软件开发维护公司等众多与国库业务有密切联系的单位,都应纳入国库电子制度的规范主体。风险分散化是电子系统将国库业务分割成一个个看似独立实际上紧密联系的模块,风险分散分布于财、税、库、行等部门。如电子退库,数据从财税部门至最终到达商业银行,传送过程涉及单位的行为均需加以规范。业务非行业化是指国库对电子业务的控制和管理能力,对其计算机安全技术的先进程度以及所选择的开发商、供应商、咨询或评估公司的水平的依赖程度大大增强,而不像传统国库业务那样,仅取决于国库自身的管理水平和内控能力。现行制度对国库业务自身规范的多,对相关参与单位的操作规范仍处于真空状态,缺乏对软件开发、系统建设的制度规范。
3 重业务管理,轻技术防范
一是没有规范对软件开发公司的认证准入要求。二是业务系统操作过分依赖外包服务技术人员,自身缺乏高素质人才,存在掌握关键信息和技能人员使用上的单点故障问题,特别是科技部门、维护商间缺乏制度制约,增大操作的随意性,直接影响信息系统的安全,应对数据库的管理、操作作出专门规定。三是对系统技术的验收没有操作指引。一种新业务、一个新系统上线运行,应通过权威部门进行检测、认证。由于没有行为规范,目前一些系统投产前未经过充分的安全性检测,强行“带病”上线。
4 重业务运行,轻监管协调
在设计监管协调机制时,没有考虑电子化操作的特殊性问题,相关制度安排视同国库内部一般内部管理,没有明确监督机制的组织、结构、职责,容易出现问题互相推诿的现象。
二、信息化条件下国库制度建设的指导思想、基本原则和应注意的问题
1 指导思想
以科学发展观为指引,符合财税金融体制改革的客观需求,为实现建立“管理科学、安全高效、监管有力、服务国家、授益于民的现代化、科学化新型国库”的建设目标提供保障,推动国库事业持续、健康和有序发展。
2 基本原则
(1)全面性原则。国库制度建设应统筹考虑发挥国库职能的需要,制定各种业务管理制度,避免遗漏和重复。既要保持各项业务管理制度的相对独立,又要兼顾各种业务管理制度相互衔接,保障国库事业的全面发展。
(2)前瞻性原则。国库制度建设应充分考虑国库未来发展方向,特别是国库业务拓展、信息化建设等领域的发展趋势,最大限度地为国库业务创新留足余地,引导国库业务又好又快发展。
(3)适应性原则。国库制度建设应考虑制度执行环境的共性和个体差异,对共性的规则要做明确规定,对有个体差异的,要在保证最低要求的基础上考虑适当弹性,提高制度的严肃性、持续性和可操作性。
(4)及时性原则。国库制度建设应准确把握业务发展及创新过程中的新情况和新问题,及时健全相关规章制度、完善管理内容、强化风险控制,使各项国库业务有章可循、有法可依,确保国库工作能规范开展。
3 应关注的问题
(1)注意制度继承与制度发展的关系。科学的制度有其特有的持续性和包容性,能适应较长时期的业务发展,既能涵盖成熟的业务种类,又能保障新的业务发展。因此,信息化条件下国库制度建设需注意吸收、继承现有国库制度的优点,在此基础上实现可持续发展。
(2)注意制度建设与业务创新的关系。国库制度建设与国库创新相互依存、相互促进,国库制度建设中必须充分考虑未来国库工作不断创新的要求,促进国库创新工作的开展。
(3)注意制度建设的规律和次序。国库制度建设要结合国库业务现状和未来发展趋势,在对现有国库制度进行梳理的基础上,根据国库制度建立与完善的重要性、紧迫性及难易程度,分清輕重缓急,有序开展。
三、信息化条件下国库制度体系的建议
1 建立国库业务电子化基本行为指导规范
随着财政体制改革的不断深入,国库业务手段随之不断更新、改进,电子化程度必然不断提高,为保证国库业务创新的安全、高效,应制定一套对国库业务电子化具有纲领性的基本操作指引。国库业务电子化其实是属于电子支付业务的一部分,不可能与一般的电子支付割裂,应将电子支付相关行业标准制度引入国库电子业务。纲领性制度应包括以下主要内容:
(1)业务系统软件安全标准。对电子支付的行业规范软件的开发、验收环节的基本要求进行统一规范,将电子支付业务采用的信息安全标准、技术标准、业务标准等融入国库电子化制度建设中。如对使用的软件、系统进行认证,并由符合国家规定的权威机构进行。对于国库业务电子化来说,发展的最大障碍就是电子支付的安全性问题,而在安全保障方面,网络系统、软件的安全应该是最首要的因素,是保障电子化业务安全性、可靠性的最重要的技术保证。
安全标准具体可包括:国家规定的保密要求;确保数据免遭篡改和破坏,对篡改都应是可侦测的,而且系 统能及时地反映出这些篡改的企图;对电子交易数据的访问均须登记,并确保该登记不被篡改;对数据进行的任何查询、添加、删除或更改都应得到必要授权,并具有不可篡改的日志记录;确保任何单位都无法独立完成一项关于修改业务数据库、程序等。
(2)参与者准入标准。一是软件开发公司的准入标准。包括引入开发公司的国家标准,如在人员配备、组织架构、管理制度、風控能力等各方面达到的水平;系统必须经过合法的第三方认证机构提供认证,如依据该认证服务进行业务处理遭受损失,认证服务机构不能证明自己无过错,应依法承担相应责任,通过资格审核,确保只有具有良好信用度和雄厚资金实力的机构进入国库电子业务领域。二是对系统使用者的行为规范。规定各参与者的业务处理系统的操作、管理人员等规范。
(3)引入协议制度。现代电子支付业务更多的是以协议的形式明确双方的权利、义务,如在各国电子支付监管法规中,对持卡人的保护大多主要通过信用卡持卡人与发卡行之间的合约规定进行相关约束。由于国库业务发展变化较大,开展新业务各部门间的权利、义务、职责应签订协议的形式确立。国库电子化制度应参考《电子支付指引》,明确要求业务各参与者签订相关协议,并对协议的必要事项进行列举,即规定业务活动中各方权利、义务及职责。通过协议将业务流程的风险分解到各参与者,明确参与者应确保数据传输的真实性、违规操作的责任、系统缺陷各自应负的责任。
(4)安全控制协调机制。缺乏统一协调机制,会导致应急能力不强,多头管理或没有人管的现象,应在制度中明确人行国库部门作为系统运行总协调,赋予对各参与单位进行监督管理的职责、权利。
2 按业务类型建立详细、可行的操作规程
在国库电子化基本制度的框架下,根据国库业务种类的不同特点,制定相关的操作规程,如规范国库信息处理系统税收收缴库业务的《办法》。以《办法》为例,建议对其作出如下修改:一是增加对财、税等业务操作基本要求如业务操作、网络管理等方面。二是增加对系统维护的相关要求。明确人行科技人员、系统维护公司在日常维护中的操作规范,如建立维护登记簿制度、建立维护业务重要事项的分级审批制度等。
(作者单位:中国人民银行广州分行)