风险评估标准

一:人民银行重大决策风险评估制度

中国人民银行关于印发《金融机构洗钱和恐怖融资风险评估及客户分类管理指引》的通知

中国人民银行上海总部,各分行、营业管理部,各省会(首府)城市中心支行,各副省级城市中心支行;国家开发银行、各政策性银行、国有商业银行、股份制商业银行,中国邮政储蓄银行;中国银联、农信银资金清算中心、城市商业银行资金清算中心:

为深入实践风险为本的反洗钱方法,指导金融机构评估洗钱和恐怖融资(以下统称洗钱)风险,合理确定客户洗钱风险等级,提升反洗钱和反恐怖融资工作有效性,根据《中华人民共和国反洗钱法》等法律规定,中国人民银行制定了《金融机构洗钱和恐怖融资风险评估及客户分类管理指引》(以下简称《指引》),现印发给你们,并就执行《指引》中的有关事项通知如下,请遵照执行。

一、金融机构工作安排

金融机构可按照《指引》所确定的自主管理原则,决定是否执行《指引》。

(一)决定全部或部分执行《指引》规定的金融机构应按照以下要求开展工作:

1.在2013年3月15日前制定执行《指引》的工作方案,报中国人民银行或中国人民银行授权对该金融机构实施反洗钱监管的当地中国人民银行分支机构(以下统称当地中国人民银行分支机构)。

2.在2013年12月31日前按照《指引》要求,制定或修改完善反洗钱内控制度及操作流程(以下统称新内控制度),并向中国人民银行或当地中国人民银行分支机构报备。

3.在2015年1月1日前实施新内控制度,按照《指引》要求,启动洗钱和恐怖融资风险评估以及客户风险等级划分等工作。

4.在2015年12月31日前,完成对新内控制度实施前已与本机构建立业务关系客户的风险等级的重新确认工作。工作量特别大的金融机构可向中国人民银行申请适当延长工作期限。

(二)决定不执行《指引》的金融机构应在2013年9月15日前完成评估论证工作,并向中国人民银行或当地中国人民银行分支机构书面报告评估论证的方法、过程及结论。金融机构在30个工作日内未收到中国人民银行或当地中国人民银行分支机构反馈异议的,可不再执行本通知要求。

二、中国人民银行监管工作要求

中国人民银行或其分支机构收到金融机构提交的工作方案及相关报告后,如有不同意见,应在30个工作日内向金融机构反馈。

中国人民银行及其分支机构应将金融机构、金融机构分支机构执行符合《指引》要求的新内控制度以及按自主管理原则确立的其他反洗钱措施情况,作为反洗钱监管重点。

请中国人民银行上海总部,各分行、营业管理部,各省会(首府)城市中心支行,大连、青岛、宁波、厦门、深圳市中心支行将本通知转发至总部注册地在辖区内的各城市商业银行、农村商业银行、农村合作银行、城市信用社、农村信用社、村镇银行、外资银行、证券公司、期货经纪公司、基金管理公司、保险公司、保险资产管理公司、信托公司、金融资产管理公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等金融机构和支付机构。

附件:金融机构洗钱和恐怖融资风险评估及客户分类管理指引

中国人民银行

2013年1月5日

附件

金融机构洗钱和恐怖融资风险评估及客户分类管理指引

为深入实践风险为本的反洗钱方法,指导金融机构评估洗钱和恐怖融资(以下统称洗钱)风险,合理确定客户洗钱风险等级,提升反洗钱和反恐怖融资(以下统称反洗钱)工作有效性,根据《中华人民共和国反洗钱法》等法律制定本指引。

第一章 总则

一、基本原则

(一)风险相当原则。

金融机构应依据风险评估结果科学配置反洗钱资源,在洗钱风险较高的领域采取强化的反洗钱措施,在洗钱风险较低的领域采取简化的反洗钱措施。

(二)全面性原则。除本指引所列的例外情形外,金融机构应全面......余下全文>>

二:我国信息安全风险评估标准是?

GBT 20984-2007 信息安全技术 信息安全风险评估规范

三:风险等级划分中的,量化范围指的是什么

风险评估是识别和分析相关风险并确定应对策略的过程,是选择恰当的控制活动的关键,它能够指明内部控制措施实施的方向。近年来,中国人民银行各分支机构不断提高风险防范意识,建立健全了各项内控制度,特别是《中国人民银行分支机构内部控制指引》下发以来,基层人民银行更加重视内部控制机制建设。然而,由于缺乏科学、有效的风险评估体系,不能正确评估本单位的相关风险,采取的防范措施不能消除或降低风险,制约了内控机制建设的发展。因此,亟待建立符合基层人民银行实际的先进的风险评估体系。

一、建立人民银行风险评估体系的必要性

(一)是人民银行内控机制建设的要求。《中国人民银行分支机构内部控制指引》明确规定:“分支行应通过科学、有效、可行的风险识别、分析和应对,对相关风险进行持续监控和有效管理,将相关风险控制在合理的范围内”。同时要求“分支行应结合本单位的实际情况和特点,对所有相关风险进行有效识别和科学界定,建立风险评估框架,正确评估本单位的相关风险”。而目前此项工作尚处于起步阶段,没有成型的模式,没有相关标准,更没有形成科学、规范的体系,大家对风险的识别还停留在经验判断、主观分析上,很难全面、准确评估本单位的相关风险。

(二)是人民银行有效履职的需要。随着人民银行职能的调整,宏观调控职能的加强,征信管理、反洗钱等新业务的出现,现代化支付系统等信息技术的建设发展,确立了人民银行在整个金融体系中的核心地位。但宏观调控政策中的传导风险、行政管理中的法律风险、业务现代化发展中的信息技术风险、履行职责中的效率风险等各种风险也随之而来,并与日俱增,而目前有的基层行还停留在对会计国库、货币发行、财务收支等传统风险的防范上,对这些新型风险认识不足,更没有采取有针对性的措施加以防范,以至出现了因行政执法不当被提起行政诉讼,因管理不善,重要业务信息系统被病毒破坏,因未严格按照有关规定运用货币政策工具,影响货币政策贯彻实施等问题。因此,人民银行要实现货币政策目标,维护金融稳定,提供优质金融服务,必须建立风险评估体系,防范各种风险。

(三)是正确评估各种风险的需要。通过建立风险评估体系,明确风险评估标准,规范评估程序,能有效地改变在以往的评估活动中,凭个人主观印象随意评估的现象。风险评估体系运用科学和技术手段,通过对形成风险的各种因素及其相互关联关系进行分析,从而实现对风险进行客观评估,对风险的影响进行科学预测,动态的反映内控措施与风险隐患的关系,有利于采取最适当的控制措施,使风险降到最低。

(四)是实施风险导向审计的前提。随着央行内部审计工作的不断深入,审计方法应由传统的合规性审计向以加强和改善组织风险管理为目标的风险导向审计转变。风险导向审计就是以被审单位的风险评估为基础,综合分析评审影响被审单位业务活动的各因素,并根据量化的风险水平确定实施审计的范围、重点,从而进行实质性审查的一种审计方法。可见能否对风险进行全面正确评估是风险导向审计的核心。

二、人民银行风险评估的种类

根据评估的主体、评估的目的、评估的方式、评估的内容、评估的深浅程度等不同的划分原则,风险评估可以划分许多种类。根据评估的主体可以分为业务部门自评和风险评估机构评估两种,业务部门自评是指人民银行各业务部门根据领导安排,依据相关评估制度和已经发布的标准对本部门进行风险自我评估;风险评估机构评估是指由专门的风险评估机构成员组成的评估小组开展的风险评估。根据评估的时间可以分为定期风险评估和不定期风险评估;根据评估的内容可以分为对单位整体风险的评估和对某项业务、某个岗位或工作流程的风险评估;根据评估的方式......余下全文>>

四:什么是风险评估 风险评估常用方法

风险评估(Risk Assessment) 是指,在风险事件发生之前或之后(但还没有结束),该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作。即,风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。

从信息安全的角度来讲,风险评估是对信息资产(即某事件或事物所具有的信息集)所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础,风险评估是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。

在风险评估过程中,可以采用多种操作方法,包括基于知识(Knowledge-based)的分

析方法、基于模型(Model-based)的分析方法、定性(Qualitative)分析和定量(Quantitative)

分析,无论何种方法,共同的目标都是找出组织信息资产面临的风险及其影响,以及目前安

全水平与组织安全需求之间的差距。

一、基于知识的分析方法

在基线风险评估时,组织可以采用基于知识的分析方法来找出目前的安全状况和基线安

全标准之间的差距。

基于知识的分析方法又称作经验方法,它牵涉到对来自类似组织(包括规模、商务目标

和市场等)的“最佳惯例”的重用,适合一般性的信息安全社团。

采用基于知识的分析方法,组织不需要付出很多精力、时间和资源,只要通过多种途径

采集相关信息,识别组织的风险所在和当前的安全措施,与特定的标准或最佳惯例进行比较,

从中找出不符合的地方,并按照标准或最佳惯例的推荐选择安全措施,最终达到消减和控制

风险的目的。

基于知识的分析方法,最重要的还在于评估信息的采集,信息源包括:

• 会议讨论;

• 对当前的信息安全策略和相关文档进行复查;

• 制作问卷,进行调查;

• 对相关人员进行访谈;

• 进行实地考察。

为了简化评估工作,组织可以采用一些辅助性的自动化工具,这些工具可以帮助组织拟

订符合特定标准要求的问卷,然后对解答结果进行综合分析,在与特定标准比较之后给出最

终的推荐报告。市场上可选的此类工具有多种,Cobra 就是典型的一种。

二、基于模型的分析方法

2001 年1 月,由希腊、德国、英国、挪威等国的多家商业公司和研究机构共同组织开

发了一个名为CORAS 的项目,即Platform for Risk Analysis of Security Critical Systems。该项目的目的是开发一个基于面向对象建模特别是UML 技术的风险评估框架,它的评估对象

是对安全要求很高的一般性的系统,特别是IT 系统的安全。CORAS 考虑到技术、人员以及

所有与组织安全相关的方面,通过CORAS 风险评估,组织可以定义、获取并维护IT 系统

的保密性、完整性、可用性、抗抵赖性、可追溯性、真实性和可靠性。

与传统的定性和定量分析类似,CORAS 风险评估沿用了识别风险、分析风险、评价并处理风险这样的过程,但其度量风险的方法则完全不同,所有的分析过程都是基于面向对象

的模型来进行的。CORAS 的优点在于:提高了对安全相关特性描述的精确性,改善了分析

结果的质量;图形化的建模机制便于沟通,减少了理解上的偏差;加强了不同评估方法互操

作的效率;等等。

目前CORAS 还处于实验阶段,相关信息可以参见:

......余下全文>>

五:财务风险的评估方法或者财务风险的评估标准是什么?

财务评估是按国家财税法规和制度,从企业微观角度,预测项目在整个寿命期内的收益和成本,分析企业的赢利能力和偿还贷款的能力。财务分析通常采用静态分析指标有投资回收期、投资报酬率,动态分析指标有净现值、内部报酬率、现值指数。 财务评估的指标项目财务评估结果准确与否,一方面取决于基础数据的可靠性,另一方面取决于所选取指标体系的合理性。选取了正确的指标体系,财务效益分析的结果才能与客观实际情况相一致。财务效益指标是用于衡量和比较投资项目可行性优劣、从而据以进行方案决策的定量化标准与尺度。它是由一系列综合反映长期投资的效益和项目投入产出关系的量化指标构成的指标体系。 财务效益分析指标体系根据不同的标准,可作不同形式的分类。即:按是否考虑货币时间价值因素,可分为静态指标和动态指标;按指标的性质,可分为时间性指标、价值性指标和比率指标;按财务效益分析的目的,可分为反映盈利能力指标、清偿能力指标和外汇平衡能力指标。 财务评估的程序项目财务评估的程序是指进行项目财务效益分析的步骤,主要有: 1、项目基础财务数据的估算。 2、评价或编制财务效益分析基本报表。 3、计算与分析财务效益指标。 4、提出财务效益分析结论。 5、进行不确定性分析。 财务评估的方法静态评估方法静态分析法对投资项目进行经济分析时,不考虑货币资金的时间价值,对方案进行粗略的评价,这种方法计算比较简单且比较实用。 1、静态投资回收期法 静态投资回收期是指在不考虑货币时间价值的情况下,用生产经营期回收投资的资金来源抵偿全部原始投资所需要的时间。一般采用净现金流量来解释投资回收期。静态投资回收期通常会有一个行业规定的标准投资回收期或者行业平均投资回收期,只要计算出项目静态投资回收期低于标准投资回收期或者平均回收期,那么就可以认为项目是可行的。 2、借款偿还期法 借款偿还期是反映项目清偿能力的指标。计算出借款偿还期后,将其与贷款机构的要求期限进行对比,等于或小于贷款机构提出的要求期限,则项目可行。 3、投资利润率法 投资利润率是反映项目盈利能力的指标。投资利润率同样要与规定的行业标准投资利润率或行业的平均投资利润率进行比较,以低于相应的标准为准。 4、投资利税率法 投资利税率是项目达到设计生产能力后的一个正常生产年份的年利润总额、销售税金及附加之和与项目总投资之比。计算出的投资利税率同样要与规定的行业标准投资利率或者行业的平均投资利税率进行比较。如果计算出的投资利税率大于相应的标准,则项目是可行的。 5、资产负债率法 资产负债率是反映项目清偿能力的指标,也是反映项目年所面临的财务风险程度及偿债能力的指标。负债越高,企业的财务风险就愈大。如果企业的资产负债率已经大于或等于100%,那么说明企业已经资不抵债,随时有破产的可能,贷款机构一般不能向企业贷款。 6、流动比率法 流动比率是反映项目各年偿付流动负债能力的指标。一般流动比率达到2,项目的偿债能力被认为是,比较好的。 7、速动比率法 速动比率是反映项目快速偿付流动负债能力的指标。一般速动比率达到1,项目的偿债能力被认为是比较好的。 动态评估方法动态评估法对项目的分析较为全面,充分考虑资金的时间价值,在此基础上对项目进行考核,与静态评估方法相比,这种方法更为实际、合理。 1、动态投资回收期法 动态投资回收期是指在考虑货币时间价值的条件下,以投资项目净现金流量的现值抵偿原始投资现值所需要的全部时间,求出的动态投资回收期也要与行业标准动态投资回收期或行业平均动态投资回收期进行比较,低于相应的标准认为项目可行。 2、净现值法与调整净现值法 净现值法是指在计算......余下全文>>

六:信息安全风险评估包括哪些?

信息安全风险评估包括:资产评估、威胁评估、脆弱性评估、现有安全措施评估、风险计算和分析、风险决策和安全建议等评估内容。

扫一扫手机访问

发表评论