个人信息处理制度篇1
关键词:金融消费者;个人金融信息;权益保护
中图分类号:F830.31文献标识码:B文章编号:1674-0017-2012(10)-0038-03
一、基本情况
本文调查采取实地调查和问卷调查相结合的方式,对克拉玛依市工、农、中、建、邮储、昆仑银行等全部7家银行机构进行了实地调查,并选取100名一般居民和个体工商户发放100份调查问卷,问卷回收率为100%。
(一)金融机构个人金融信息管理意识较弱。从被调查金融机构情况来看,金融机构对个人金融信息保护的意识较为薄弱,普遍未认识到个人金融信息是关乎客户隐私保护和金融安全的重要因素,辖区7家银行机构均未将个人金融信息泄漏作为一种重要风险来对待,未将个人金融信息保护纳入金融机构整体风险管理框架中。调查还显示,75%的一般居民和个体工商户表示金融机构在对其营销业务产品和提供服务过程中未进行个人金融信息保护知识的培训,未履行对客户风险防护和告知义务;仅25%表示在办理业务中金融机构提及过。
(二)金融机构个人金融信息管理制度建设不到位。从实地调查情况看,辖区银行机构均建立了金融消费者保护工作机构,并建立健全相应的管理制度,但在个人金融信息保护制度建设方面还不到位,辖区7家银行机构均未形成完善的个人金融信息保护管理制度,已有的制度主要分散于信息安全管理或银行卡、存贷款等各类具体业务制度中,没有形成体系,也不符合《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》规定的要求覆盖信息采集、传输、加工、保存、使用和销毁等所有工作环节的要求。
(三)客户个人金融信息保护意识整体不强。金融机构客户层次有差异,素质参差不齐,对个人金融信息保护工作的认知度一般,调查显示25%的一般居民和个体工商户对个人金融信息领域金融消费者权益保护工作比较了解,40%的听说过,35%表示不知道;55%的被调查居民和个体工商户对个人金融信息的如何使用保管表示不了解,知道一些的仅占25%,且都在不同程度上存在办理业务时的泄露个人金融信息的现象;65%的被调查居民和个体工商户不清楚个人金融信息泄露的途径以及相应的维权措施,了解的仅占15%。
二、个人金融信息领域金融消费者权益保护不足和问题
(一)个人金融信息保护法律不完善、行政法律责任缺失。一是目前我国尚未设立专门的个人信息保护法,立法散乱,呈零星、分散状态,不成体系,主要是:《宪法》中规定公民的人格尊严不受侵犯、公民住宅不受侵犯、公民享有通信自由和通信秘密的权利、国家尊重和保障人权等。在《民法通则》中规定公民、法人享有名誉权。《刑法修正案》中规定了出售、非法提供公民个人信息罪及非法获取公民个人信息罪两个罪名。二是行政责任缺失,对于侵犯银行客户个人信息但尚未构成犯罪的行为,没有规定直接适用的罚则,监管部门也缺乏对金融机构违规泄漏客户信息进行处罚的直接依据。
(二)金融机构个人金融信息管理内控机制不健全。辖区金融机构普遍未形成个人金融信息保护的有效组织管理机制,各业务部门在个人金融信息保护方面各自为政,缺乏统一管理。一是没有专门的组织机构,缺乏专职个人信息保护人员,个人信息保护的职能难于充分发挥。二是信息查询监测不到位,缺乏信息调阅查询的监测检查记录,难于跟踪个人信息使用的全过程。三是个人信息保护保密安全教育不到位,对外包人员行为的控制也有所欠缺。
(三)金融机构个人金融信息技术管控能力不强、信息系统建设管理不完善。金融机构存储个人金融信息的系统建设管理不完善,各系统缺乏保护监督制约机制,未对系统进行统一整合。以农业银行为例,当前个人金融信息分散在存贷款、支付结算、银行卡、电子银行等业务中,业务又分属不同部门运营,且由不同信息系统支持,形成许多信息孤岛,使得信息保护更加困难。一是各系统之间缺乏信息保护监督制约机制,对系统查询信息的权限控制不足,工作人员查询时,往往能够获取超过其权限的信息。二是技术防控手段较弱,安装或使用个人金融信息系统的计算机未设置光驱、USB等数据输出屏蔽设备,对信息的导出、下载、打印、复制难以有效实施管控。
(四)对个人金融信息保护工作监管不到位。2011年人民银行出台了《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》,但总体来说监管还处于起步阶段。一是现有监管制度较为零散且可操作性不强,主要针对存款、电子银行、信用卡业务等领域的个人信息保护作出个别规定,无法覆盖各类业务,也不能全面规范个人信息采集、使用、保管的全流程。二是针对性不强,如《个人存款账户实名制管理规定》主要是针对个人存款账户个人信息的管理,《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》是为加强反洗钱监管,不是针对个人信息保护。
三、发达国家经验借鉴
(一)确立对隐私权和个人信息权的法律地位。在很多国家,个人信息保护方面的法律直接采用“个人隐私”称谓,如1974年美国《隐私权法》、1988年澳大利亚《隐私权法》、德国《联邦数据保护法》、英国1998年《数据保护法》等,都无一例外地把保护个人隐私权和信息权作为首要任务。美国国会于1978年通过的《金融隐私权法》(RFpa)主要用于保护客户隐私,《金融服务现代法》,要求每个金融机构有明确和长期的尊重客户隐私义务,并保护客户的非公开信息的安全性和机密性。
(二)针对个人金融信息保护的法律防范措施。为保护消费者的隐私权,各国对数据的采集、利用、保管都有明确规定。如欧盟《个人数据保护指令》以法律形式明确数据使用管理六大原则:一是合法性原则,个人数据仅为指定目的而处理;二是终极原则,个人数据仅为指定、明示、合法的目的而收集,不得与目的相违背;三是透明性原则,应当告知当事人有关数据处理情况;四是合适原则,收集处理数据时应保证数据的充分性、相关性和合适性;五是个人保密性和安全性原则,应采取相应的手段、措施确保处理信息的保密性和安全性;六是监控性原则,数据保护机构应该监控数据的处理,数据使用只有经数据主体明确表示同意才能进行处理,若未征得客户同意,超出使用目的使用个人信息属违法行为。
(三)建立完善的权利救济制度。一是建立民事责任制度。根据欧盟《个人数据保护指令》,对于非法收集、处理、使用个人信息,故意或过失提供错误信息或不完整信息等给有关当事人造成损害的,都应当承担民事赔偿责任。二是行政救济制度。确立个人信息保护机构,负责个人信息保护法规的执行和对信息控制人的监督,并采取行政措施防止违法行为的发生或及时制止违法行为。如德国的联邦数据保护专员对未经授权收集、处理通常情况下无法取得的个人数据等严重违法行为处以25万欧元以下的罚款。三是刑事责任的规定,对违反个人信息保护法律规定的行为,造成信息非法泄露而侵犯个人隐私或引起资金安全损失的要严格追究刑事责任。
四、对策建议
(一)健全完善个人金融信息法律法规体系。一是尽快制定《个人信息保护法》,明确个人信息的法律性质、立法宗旨、基本原则、信息主体对本人信息享有的权利、侵犯个人信息权利的救济等重要问题,保证整个法律体系的系统性和协调性。二是建议在国家层面建立一整套系统化、多层次的个人信息保护法规制度,如完善信息主体权益保护法规制度,完善征信监管主体法规制度,建立依法合规的个人信息查询办法和规定,建立行业监管机制等。三是明确并设立专门个人信息管理机构,对使用私人信息的社会团体或个人进行严格监督,同时确立信息侵权的民事赔偿责任制度,通过行政、司法等手段将信息收集、处理和使用机构及其工作人员故意泄露信息、篡改信息、损害个人信用行为应当承担损害赔偿责任以及法律责任。
(二)加强对金融机构的监督管理。一是将个人金融信息保护纳入对银行总体风险监管框架中,制定个人信息保护部门监督管理制度,对客户个人信息的采集、使用、保管、保密等环节作出详细规定,明确对金融机构违规泄漏客户个人信息的监管处罚措施。二是建立统一的个人金融信息保护的规范和标准,促进金融机构构建个人信息保护工作体制和机制,更好地保护个人信息。三是加强对金融机构个人金融信息保护工作检查监测力度,督促加强信息系统安全管理,规范个人信息数据库管理。
(三)健全金融机构个人信息安全保护内控制度。一是督促金融机构应尽快完善个人信息管理规章制度,对个人信息采集、使用、存储管理做出明确规定,有效保护客户个人信息安全;二是明确各岗位人员保密管理职责权限,制定安全控制流程,对信息查阅、下载、拷贝实行严格审批、登记和权限管理;三是强化监督问责,定期对信息安全状况进行评估、审计和检查监督,同时监督机构应加大对金融机构涉及客户信息系统执法检查力度,排查个人金融信息外泄隐患。
(四)加强金融机构系统技术支持和管理。一是提升信息安全保护水平,综合运用先进的防火墙、身份识别与认证、数据加密、数字签名、第三方认证以及网络安全监控等技术并及时更新,有效防范来自于外部的攻击。二是强化内部信息管理,建立健全完整的信息系统监测制度,通过软硬件等方式切断或控制接入信息系统的计算机信息输出功能,并建立各种违规操作信息系统安全预警机制。三要进一步整合完善个人金融信息系统建设与管理工作,全面整合金融机构业务部门个人金融信息,以便于进行统一保护管理。
(五)加强个人金融信息保护宣传教育力度。一方面加强对金融机构员工安全保密教育管理,增强员工法律意识,认真落实加强个人金融信息保护的各项法律规定和规章,严格遵守“为客户保密”的原则,杜绝信息非法使用、泄露和出售事件的发生。同时,金融机构应严格履行信息披露和安全提示职责,及时告知客户个人金融信息泄漏后造成的风险以及信息泄露后如何处置和维权,并引导客户采取安全有效的方式保护客户个人金融信息。另一方面,注重提高公民自我保护意识,通过开展形式多样的专题宣传教育活动,积极引导民众注意保护个人信息,提高防范意识。
参考文献
[1]唐友伟.对商业银行个人金融信息保护工作的调查与思考[J].中国信用卡,2012,(3):32-34。
[2]唐友伟.个人金融信息保护工作亟待完善[J].金融会计,2012,(4):64-66。
[3]张志峰.个人金融信息保护法律的探讨[n].金融时报.2011-07-18。
个人信息处理制度篇2
内容提要:行政主体收集、处理和利用个人信息是一种行政事实行为。我国应尽快制定个人信息保护法,明确信息主体有权要求行政机关不能随意处理个人信息,公开对其个人信息的收集和利用,规定个人信息保护的范围、原则、监督和救济制度。利益衡量是目前协调个人信息保护与行政信息公开的适当方法。
随着行政权的扩张和行政活动的日益复杂,行政机关通过各种行政活动收集、处理和利用着大量的个人信息,同时也对个人信息构成了极大的威胁。传统行政信息公开制度的建构只是通过信息公开法中的例外规定来实现对个人信息的保护,忽视了行政机关对个人信息的侵犯。依据联合国指南规定的“不得用非法或者不合理的方法收集、处理个人信息,也不得以与联合国宪章的目的和原则相违背的目的利用个人信息”,我国对个人信息的保护制度应当顺应历史潮流作适当调整。
一、行政主体收集、处理和利用个人信息的要件
个人信息是可以识别本人的一切信息的总和。作为管理的基础、决策的依据,个人信息是政府活动不可或缺的重要资源。行政机关收集、处理和利用个人信息在行政活动中是非常必要的。行政主体对个人信息的收集、处理和利用是行政事实行为。它是行政主体基于职权而实施的,是运用行政权力的结果。由于对个人信息的收集、处理和利用不能产生、变更和消灭行政法律关系,因此它不是行政行为。但是行政主体收集、处理和利用个人信息时仍然要遵循一定的规则,符合特定的条件。
(一)有法律依据行政主体收集、处理和利用个人信息是行政事实行为,从较抽象的角度来讲,任何公权力都应以追求公共利益为其目的,如果一个公权力行为不以公共利益为目的,则该行为就失去了正当性基础。公益是行政作用所无法免于考虑的,国家机关之作为倘若背离公益,将失去其正当性。[1]而判断行政机关的行为是否符合公共利益,就在于行政机关的行为是否符合宪法和法律。例如,《城市居民最低生活保障条例》第7条第2款规定,县级人民政府民政部门以及街道办事处和镇人民政府,为审批城市居民最低生活保障待遇的需要,可以通过入户调查、邻里访问以及信函索证等各种方式对申请人的家庭经济状况和实际生活水平进行调查核实。申请人及有关单位、组织或者个人都应当接受调查,如实提供有关情况。在此,行政法规授权县级人民政府民政部门、街道办事处和镇人民政府,对城市低保申请人有关经济状况和生活水平的个人信息进行收集,以保证履行好行政给付职责,保障城市居民基本生活。
(二)特定的职责事务或特定的社会公共事务管理的目的
《突发公共卫生事件应急条例》第39条第1款规定,医疗卫生机构应当对因突发事件致病的人员提供医疗救护和现场救援,对就诊病人必须接诊治疗,并书写详细、完整的病历记录,对需要转送的病人,应当按照规定将病人及其病历记录的复印件转送至接诊的或者指定的医疗机构。此时,行政法授权医疗卫生机构收集患者和疑似病人的健康状况的个人信息,从而能及时地救治病人,有效地控制和消除突发公共事件的危害,保障公众身体健康和生命安全,履行好维护正常社会秩序的行政职责。特定目的要件蕴含着比例原则的要求。比例原则是大陆法系限制自由裁量权的重要理论。按照一般的理解,比例原则要求手段和目的的协调,严格禁止一切为达成目的不择手段的国家行为。[2]比例原则要求行政机关实施行政行为时,在实现某一目的的各种不同方法中应运用其中最适当的方法;在不违背或减弱所追求目的的效果的前提下,应尽可能地选择对相对人造成损害最小的方法;行政机关对公民个人利益的干预不得超过实现行政目的所追求的公共利益,两者之间必须符合比例或者相称。尽管行政主体收集、处理和利用个人信息有法律的授权,但是法律对行政主体收集、处理和利用个人信息的范围、条件、程序等方面的规定往往不明确、具体,行政主体在遵守行政法规范的同时也就具有了一定的选择、裁量的余地。根据比例原则,行政主体为履行特定行政职责而依法收集、处理和利用个人信息时,只能收集履行行政职责的特定目的范围内的个人信息,不能收集其他不相关的个人信息,不能对收集的个人信息进行特定目的之外的处理和利用。
(三)告知或经个人信息主体的同意
美国隐私权法规定了禁止公开的原则,规定行政机关在公开个人的记录以前必须首先通知被记录的人,征求他的意见,在没有取得个人的书面同意以前不能公开关于他的记录。有学者认为国家机关的管理性收集行为必须通知个人信息主体,国家机关的服务性收集行为则必须经过资料本人的同意。[3]该观点认为管理性的收集行为是国家机关履行职责的需要,相对人只有配合的义务而无拒绝的权利,国家行政机关只须履行告知程序即可,包括事前告知和事后告知。行政机关的服务性收集更多地是为私人主体的利益,与公共利益关系不大,应遵循意思自治原则,要有信息主体的同意才能进行。由于收集、处理和利用个人信息对信息主体个人权益关系重大,信息主体的同意原则上应以书面形式作出,以满足保存和举证的需要。同时,也应允许特殊情况下非书面的形式。如紧急情况下进行个人信息收集时,可以是口头同意,事后再补做书面同意。
(四)保证个人信息的正确、完整、最新、安全和隐秘
个人信息反映信息主体的人格形象,不正确、不完整和不时新的个人信息将影响行政决定的正确性和合理性。因此,行政机关在对任何人作决定时,其所运用的档案的记录,均应保持正确、完整及最新,以使其在作出决定之时,能合理保证对该个人具有相当的公正性。此外,行政机关应当采取适当的行政性、技术性及物理性保障措施,保障记录的安全与保密,防止可能对记录的安全与完整造成的任何潜在的威胁与损害,因为,这些威胁或损害可能会对记录所涉及的个人造成实质性危害、妨碍、不便或不公正影响。
二、建立我国个人信息的行政法保护制度
(一)制定个人信息保护法是当务之急
行政信息公开法、个人信息保护法和行政程序法是构成行政信息公开制度的主要法律。[4]行政信息公开法适用于全部政府信息,而个人信息保护法只适用于个人信息。信息公开是对社会公众的公开,而个人信息保护法中的个人信息仅对信息主体公开,对社会公众则是限制公开。所以,从行政机关将所持有的个人信息对信息主体公开这个角度来说,个人信息保护法属于行政公开法律范畴。同时,行政机关收集、处理和利用个人信息的整个程序不仅向信息主体而且也向社会公众公开。传统的行政信息公开制度在建构上,对个人信息权的保护是作为行政信息公开的例外存在的,侧重于从保护个人信息权不被行政机关以外的主体侵犯的角度来规定个人信息不予以公开。随着行政权的扩张和行政活动的日趋复杂,行政机关对个人活动的控制范围和对个人提供服务的范围都达到了前所未有的程度。行政机关通过各种行政活动收集了大量的个人信息,特别是随着信息技术的发展,行政机关收集、处理和利用个人信息的能力更是空前提高,行政活动对个人信息权已构成极大的威胁。传统的行政信息公开制度由于忽视行政机关对个人信息的侵犯而需要调整。信息主体有权要求行政机关不能随意处理个人信息,并要求公开对其个人信息的收集和利用。行政机关处理个人信息的整个程序应该向社会公开。信息技术的发展提高了行政机关行政信息处理的效率,同时也对行政机关的行政信息公开提出了更高的要求。对个人信息的保护也由信息公开法中的例外规定发展为个人信息保护的专项立法。可见,制定个人信息保护法是解决行政信息公开与个人信息权之间的矛盾、完善行政信息公开制度的重要途径。
(二)个人信息保护与行政信息公开的协调
尽管行政信息公开法和个人信息保护法都属于行政信息公开法律的范畴。但是,知情权与个人信息权的对立是不可避免的,两者构成一对矛盾。如何处理它们之间的关系成为必须解决的实际问题。
利益衡量的方法不失为解决个人信息权与知情权的冲突的明智之举。协调两种权利的冲突就必须解决好不同利益之间的关系,即在公众的了解利益和个人信息的人格利益之间进行取舍。适用利益衡量方法的前提是两种利益互为矛盾,其中一方面利益的实现可能导致另一方面利益的减损。利益衡量的方法通过对两种利益的估量和平衡,选择价值更高的利益。如果公众的了解利益比个人信息之上的人格利益明显重要,则行政机关就应该公开其掌握的个人信息,反之则不予公开。根据个别比较衡量论,当个人信息权与知情权两种价值发生冲突时,依据具体个案,分析公民了解的利益和个人信息之上的人格利益所受到的损害,将二者衡量比较,当保护前者利益较大时承认公民的知情权;当保护后者所获利益较大时尊重个人信息权。个别比较平衡论中标准的随意性过大而显不足。界限确定衡量论认为,知情权是绝对价值,保障公民对国家政治信息的知情权占首要地位;而其他人权是相对价值,其自由可以在一定程度上予以限制。[5]该理论是基于对权利本质的分析。从权利本质上看,个人信息权是一项民事权利,它通过赋予信息主体支配与控制其个人信息的权利来保护信息主体存之于个人信息上的人格利益。知情权主要是一种政治权利和社会权利,与行政信息公开制度相关的知情权更表现出政治权利的属性。在现代社会,随着民主政治的发展,公民对政治的参与度日益提高,知情权所体现的是公益性,它要求整个社会更加透明和开放,要求人们能有更多的机会了解和参与政治,而个人信息权具有个人性,与公共利益无关。因此,在知情权与个人信息权的对抗中,由于前者代表了社会公共利益、体现了更高的利益价值而占据上风。当某项个人信息涉及到公共利益时,对个人信息权进行限制、将个人信息予以公开则成为必然。当然,对公民知情权的优先考虑并不意味着漠视个人信息权。当个人信息的公开纯属满足个人的需要而与公共利益无关时,应该适当保护个人信息权而牺牲知情权。
(三)通过立法完善我国的个人信息保护制度
美国将个人信息划分为公共领域和非公共领域分别进行保护,公共领域的立法主要是规制政府收集、处理和利用个人信息的行为,防止政府对个人信息隐私权的侵犯;在非公共领域,各行业和领域中的个人信息分别由不同的联邦法规通过普通法和侵权行为法予以保护,同时以建议性的行业指引、网络隐私认证计划、技术保护等行业自律形式增强个人信息保护的针对性。[6]这种模式尽管有其优点,但存在不足:分散立法易导致欠缺整体规划,法治不统一,司法不协调;行业规范缺乏国家强制力的保障,实施效果不理想;普遍性不足,很多企业游离于行业规范之外;投诉和争端解决机制不完善。同时,美国的行业自律是建立在行业组织高度发达且与政府互动明显的基础上。我国显无这一基础,故行业自律模式不符我国国情。多数欧洲国家则认为尽管政府机关收集、处理和利用个人信息时与非政府机关存在一些不同的行为规则,但是仍存在许多共性,而且公私领域在保护个人信息权的价值目标上是一致的,也都遵循同样的基本原则,因此通过制定专门的个人信息保护的单行法,对公、私领域中的个人信息保护进行统一规范。结合我国的法律体制和法律传统,我国的个人信息保护应借鉴欧洲国家的立法模式,进行统一规范、统一立法,主要内容应包括个人信息的一般规定,个人信息保护的基本原则,国家机关、非国家机关对个人信息的收集、处理和利用,以及监督和救济等方面。尤其应该注意以下问题:
1.个人信息保护的范围
法律保护的范围应及于一切个人信息。在过去手工收集和处理个人信息的技术条件下,个人信息受到的威胁并不突出。随着计算机技术的发展和互联网技术的应用,这种威胁已变得十分现实和严重。因此,不少有关个人信息保护的立法仅对电脑处理的个人信息进行规范,如美国、英国、日本、我国台湾地区等。而一些国家的立法则对自动化处理与人工处理的个人信息进行同时规范,如德国、荷兰等。笔者认为,尽管电脑处理的个人信息更容易受到侵害,但不能因此而忽视人工处理和半自动系统处理的个人信息。个人信息立法应给以个人信息全面保护。
2.个人信息保护的基本原则
我国的个人信息保护法也应明确规定个人信息保护的基本原则,作为个人信息保护法的指导思想,同时也用来弥补具体规则的不足。借鉴国际立法经验,个人信息保护法总体上应体现合法兼正当的原则,具体应规定以下原则:
(1)合法原则。行政主体行为的目的、方式、程序、内容均不能违反法律的规定。
(2)直接收集原则。个人信息的收集,原则上应该直接向信息主体收集。现代信息技术使得对个人信息的收集具有隐蔽性,该原则有利于实现信息主体对其个人信息的直接支配和控制。这是个人信息决定权的要求,同时也有利于信息主体获得知悉权。
(3)目的明确原则。个人信息在收集时必须有明确的目的,禁止超出目的范围而收集、处理和利用个人信息。对于行政机关来说,必须在行使行政职权、履行行政职责所需的目的范围内收集、处理和利用个人信息。行政机关应告知信息主体信息收集的目的。
(4)公开原则。一般应对个人信息的收集、处理和利用保持公开,使信息主体了解其个人信息被收集、处理和利用的情况。当然,“公开”并非指将个人信息的内容向公众公开,而是指将个人信息的收集、处理和利用的情况向信息主体公开,否则将违背个人信息保护的目的。
(5)完整正确原则。信息处理主体应保持所持有的个人信息的完整、准确和时新,信息主体对错误、有瑕疵的个人信息有要求更正的权利。当然,信息主体的更正权仅在于维护其个人信息的正确、完整与时新,其行使更正权的程序与内容应当受到适当的限制。
(6)安全原则。行政主体应采取安全保护措施,防止个人信息泄露、灭失和不正当使用。
3.个人信息保护的监督机关
个人信息保护监督机关的设置有独立的监督机关和原行政机关自行监督两种情形。法律授权的独立监督机构固然有利于个人信息保护监督职责的履行,但设置新的机构涉及机构和人员的编制,需要必须的工作条件和经费,这显然不符合机构精简的原则,与我国行政管理体制改革的方向不符。而由原行政机关自行监督,属于行为主体自己行为自己监督,其不足亦是显而易见的。为解决这一问题,可以立足于我国现有的行政复议制度,把行政复议机关作为个人信息保护监督机关,赋予其相应的职权。行政复议本身具有监督行政的属性,行政复议机关一般是作为被申请人的行政机关的上一级机关或所属的一级政府,行政复议机关与作为被申请人的行政机关是一种领导与被领导的关系,或者是业务指导、主管的关系。因此,由信息处理主体的行政复议机关进行个人信息保护的监督,比信息处理主体的自行监督会有更好的效果。依《行政复议法》的规定,由行政复议机关的内部机构履行复议职责。而实践中,一级政府和政府工作部门分别由其法制部门和内部的法制机构具体履行复议职责。复议机构工作人员的相对专业性和专职性也有利于其胜任个人信息保护的监督工作。结合各国个人信息保护法的规定,我国个人信息保护监督机关的职责应包括以下内容:对个人信息保护法的执行进行一般性监督;进行个人信息保护的研究和咨询;并定期提交工作报告。
4.对信息主体的救济
“无救济则无权利”。要使信息主体的合法权利切实得到维护,则个人信息保护法中应明确对信息主体的救济。例如,应当明确规定,信息主体公开、修改其个人信息的请求遭到行政主体的拒绝时,可以申请行政复议。行政复议机关未予以处理或者对行政复议的结果不服时,信息主体还可以提起行政诉讼。《行政复议法》和《行政诉讼法》都将受理案件的范围限定于行政主体的具体行政行为。《行政复议法》第6条列举了可以申请行政复议的案件。其中第9项和第10项规定,相对人申请行政机关履行保护人身权利、财产权利、受教育权利的法定职责,行政机关没有依法履行的以及相对人认为行政机关的其他具体行政行为侵犯其它合法权益的。《行政诉讼法》第11条也对受案范围进行了规定。其中第1款第5项和第8项规定,相对人申请行政机关履行保护人身权、财产权的法定职责,行政机关拒绝履行或者不予答复的以及认为行政机关侵犯其他人身权、财产权的。第2款规定,除前款规定外,人民法院受理法律、法规规定可以提起诉讼的其他行政案件。行政主体对信息主体的公开申请、修改申请拒绝或不予答复时,信息主体的个人信息权将受到影响,行政主体的拒绝决定属于具体行政行为,不予答复属于行政不作为。因此,依据我国现有的行政复议制度和行政诉讼制度,信息主体可以获得救济。个人信息保护法应规定信息主体因行政主体违法收集、处理和利用个人信息的行为遭受损害的,给予行政赔偿。
注释:
[1]城仲模:《行政法之一般法律原则》(二),三民书局1999年版,第167页。
[2]肖金明:《原则与制度———比较行政法的角度》,山东大学出版社2004年版,第185页。时,可以是口头同意,事后再补做书面同意。
[3]齐爱民:《个人资料保护法原理及其跨国流通法律问题研究》,武汉大学出版社2004年版,第80页。
[4]张明杰:《开放的政府———政府信息公开法律制度研究》,中国政法大学出版社2003年版,第17页。
个人信息处理制度篇3
一、企业级会计信息系统对会计核算的影响
1.会计数据的来源发生变化,对会计信息质量产生影响。积极的影响有:①会计数据不必重新录入,减少了会计数据录入错误的机会;②会计数据直接从其他系统采集,保证了数据的完整性;③会计系统从其他系统实时采集数据进行会计处理,保证了数据的及时性。消极的影响有:①从其他系统直接采集的数据,如果数据本身有错误,则该错误可能会带到会计系统;②会计人员被动地接受其他系统生成的数据进行会计处理,审核功能被削弱;③由于实现了数据的快速传输与数据共享,数据生成部门或客户如果反复更改同一经济业务的数据,则会给会计部门的账务处理带来不便。
2.信息流与单证传递相脱节,会计核算的原始凭证形态发生变化。当企业的信息系统大规模联网时,数据可以跨部门、跨地区传输,且传输的速度极为迅速,而纸质原始凭证却不可能以同样的速度在需求部门之间进行传递,有些电子交易甚至没有产生纸质原始凭证。在这种情况下,会计记账时难以取得数据发生时产生的纸质原始凭证,而只能依赖原始数据管理部门的数据处理凭证,如业务部门的数据交换凭证或数据汇总凭证等。企业的信息系统越发达,数据的共享性越强。然而,在数据共享的同时,数据的使用部门往往要无条件地接受所共享的数据,难以审查数据发生时的原始凭证,会计部门在会计核算时也会面临这种情况。
3.系统升级时的稳定性和可靠性对会计数据的处理具有较大影响。在信息系统不断发展的过程中,系统的升级要对原有的数据和系统进行更新和转换,新系统达到稳定和可靠也要经过一段时间和过程。为了保证数据处理的可靠性,往往要求新系统和老系统并行一段时间,稳定后再甩掉老系统。在实际工作中,新系统切换后,造成会计数据丢失、数据紊乱的情况时有发生。系统升级过程中新系统的稳定性和可靠性对会计数据的处理具有较大影响。
4.会计人员对信息系统管理人员的依赖性削弱了会计信息的可靠性。随着信息系统的发展,信息系统的管理越来越专业化,信息系统管理人员的作用越来越重要。特别是会计信息系统也由企业的信息系统管理人员进行管理和维护,信息系统管理人员掌握会计核算的计算机程序和数据库。这就好比以前由会计人员保管的会计账簿变为由信息系统管理人员保管,而且由于信息系统管理人员熟悉信息技术,所以不能排除他们具有改账的能力。在实际工作中,由于会计人员缺乏信息技术知识,在进行一些特殊的会计处理时,或者在会计处理过程中出现问题时,只能由信息系统管理人员帮助解决。在解决问题时,会计人员有时会提供本人的代码和密码,使信息系统管理人员极易掌握会计人员设定代码和密码的规律。如果会计人员事后不及时修改密码,信息系统管理人员甚至可以直接使用会计人员的密码进入会计系统。
二、企业级会计信息系统的管理与控制
1.从整个企业管理信息系统的角度出发,建立和完善信息技术环境下的内部控制。会计信息系统与业务系统实现集成后,业务系统可直接向会计信息系统传输数据,只有整个企业管理信息系统安全、有效、可靠地运行,会计信息的质量才能有保障。
借助于信息系统的支持,企业的业务处理活动大多由计算机自动完成。同手工环境相比,企业的业务处理流程发生了相应的变化,业务处理的控制形式和控制手段也发生了变化。一些业务处理控制以计算机程序的形式嵌入在信息系统中,对业务处理的控制由计算机自动进行。在建立业务处理环节的各项控制措施时,应按照内部控制设计的原则,并考虑信息技术环境下业务处理过程的特点,针对各个业务处理环境设置相应的控制。对于以计算机程序的形式嵌入在信息系统中的业务处理控制,应当关注相关计算机程序的正确性和完整性。
信息系统的控制是企业为保证信息系统的安全性、可靠性、有效性和效率而采取的控制措施,其控制的对象是信息系统,包括计算机硬件和软件资源、应用系统、数据和有关人员等信息系统的组成要素。信息系统的控制采用系统自动控制和手工控制相结合的方式,由一般控制和应用控制组成。一般控制是对信息系统的开发、实施、维护和运行所进行的控制,其目的是确保应用系统得到恰当开发与实施、程序和数据文件完整、信息系统良好运作。一般控制主要有:系统开发与维护控制、数据资源管理控制、安全管理控制、运行管理控制、质量管理控制、信息系统外包的管理控制等。应用控制与具体的应用系统有关,是为确保数据处理完整、正确而实施的控制。应用系统对数据的处理一般都要经过输入、处理和输出三个环节,从这一共性出发可将应用控制分为输入控制、处理控制和输出控制。但是,由于应用控制与具体的应用系统相关,因此在设置应用控制时,还要针对具体的应用系统,结合具体业务设置相应的控制。
2.注重对会计信息系统及业务系统控制有效性的评价,及时发现问题并加以解决。企业的内部控制是否健全有效,特别是对会计核算有何影响,需要在持续的控制之后,对此做出评价。在实际工作中,由于各种原因,在评价内部控制时,往往注重对业务处理控制的了解、测试和评价,忽视了对信息系统控制是否有效执行、是否健全的审查,从而导致由于信息系统控制的漏洞而有意无意地改变了信息系统中有关数据,这样就无法保障后续会计处理的会计信息的质量。企业不仅要建立信息系统控制,还必须对所建立的各项控制进行测试和评价,特别是要对会计信息系统控制是否健全、有效做出评价,以便及时发现问题,及时纠正。
对会计信息系统及相关业务系统的控制测试包括控制设计测试和控制执行测试两个方面。控制设计测试是确定会计信息系统的控制设计是否合理、适当,也就是对会计信息系统控制的健全性进行测试。可将现行会计信息系统控制的描述情况与理想的控制模式进行比较分析,识别出关键的控制以及控制的强点和弱点。对于控制的弱点,应寻找解救性的控制措施。控制执行测试是确定现行会计信息系统控制是否存在并发挥作用,也就是对会计信息系统控制的有效性进行测试。由于信息系统控制既包括人工控制,又包括计算机程序控制,因此单纯依靠传统的控制测试方法是无法完成该项工作的,还必须采用计算机辅助审计技术,才能对信息系统控制进行全面测试。在实际工作中,应针对不同的控制形式,选择相应的控制测试技术。
在对会计信息系统控制进行测试之后,要对各项控制是否健全、有效做出评价。根据对会计信息系统控制执行测试的结果,通过合理判断,可以确定一般控制和应用控制在哪些方面控制严格,能够发挥其作用,哪些方面控制不足或存在缺陷。针对识别出的控制薄弱环节,进行深入研究与分析,提出完善会计信息系统控制的建议,及时改进。在日常的会计信息处理过程中,要经常关注会计信息有无异常,要利用各种手段发现会计信息中出现的问题,及时发现,及时解决。对于信息系统控制制度方面的问题,要从根本上解决。
3.提高信息系统管理人员的业务素质,加强操作环节的控制。会计信息系统与业务系统实现集成后,成为会计与业务一体化的管理信息系统。信息系统越来越复杂,管理越来越专业化,会计信息系统也由系统管理人员进行管理和维护。若信息系统管理和维护不当,不仅会影响系统的有效运作,甚至会影响会计信息的安全。因此,必须提高信息系统管理人员的业务素质和风险意识,加强信息系统管理人员操作环节的控制。企业信息系统管理部门要建立健全信息系统管理和运作的各项规章制度,各类人员都应严格按照规章制度对系统进行管理和维护。对于重要岗位,要配备技术过硬、责任心强、道德品质高的人员从事相应的工作。
个人信息处理制度篇4
关键词:财务管理信息化建议
一、引言
事业单位财务管理信息化主要是指在财务管理的过程中使用现代化的信息处理技术对财务信息进行相应的处理,通过对财务信息进行分析整合,最终保证在较短的时间内将财务信息的分析结果进行呈现,以提高各种信息资源的合理运用和有效管理。
财务管理信息化与人们常常提到的会计电算化以及会计信息化之间存在较大的不同。例如人们通常提到的会计信息化是指通过现代化的科学手段对各种会计信息进行核算,从而为单位提供较为详细的会计表单数据;财务信息化则不仅仅包含前面叙述的内容,还包含通过网络的方式对数据进行分析,对账务进行相应的处理等,换句话说,它是对传统会计信息的升级。会计信息化可以对单位中存在的会计信息进行相应的处理,并可以解决财务数据信息中遇到的一些问题;财务信息化则不仅仅可以对已经发生的财务数据问题进行相应的处理,还可以对数据问题发生之前和发生过程中的会计信息进行相应的控制和监督,从而保证会计信息的准确性。通过现代化的信息数据处理技术,可以为财务信息的处理提供非常大的便捷,同时通过现代化技术处理过的会计信息更有利于管理和查,为会计化信息由初级升至高级奠定了良好的基础,最终可以实现财务信息与业务之间的有效监管与信息共享。
二、事业单位财务管理信息化建设中存在的问题
(一)财务管理信息化制度不健全
与企业相比,事业单位对财务信息进行审查处理时难度更大,其财务信息的管理也存在更多的弊端。由于每个事业单位都有不同的财务管理方式,因此事业单位财务管理信息化建设水平存在较大的差距,财务管理信息化制度也存在较大的不完善之处,事业单位财务数据的安全性有待进一步提升。
(二)信息化需求不明确
事业单位常常会存在财务信息不明确的弊端,财务信息不明确主要是指事业单位财务信息化建设存在较多的弊端,功能的不完善以及系统的不完整造成较多的信息无法直观呈现于人们面前。而且许多的事业单位财务人员主要使用传统的财务信息处理方式处理财务数据,对于现代化的计算机处理财务信息较为陌生,甚至一些年龄较大的会计人员已经无法很好地学习使用现代化手段对财务数据进行相应的分析,使用现代化的手段处理财务数据需要经过长时间的适应才能够在事业单位中逐渐推行。很多的财务人员无法理解什么是信息化宏观构建,也不清楚在现代化信息处理中应该注重哪些问题,在问题出现之后也没有相应的解决策略。
(三)资金投入不合理
对于事业单位财务管理信息化建设而言,需要国家财政拨放大量的财政资金才可以完成财务信息化建设,但是事业单位普遍存在将财政资金投资于硬件建设中,而忽略增加财务人员自身知识含量,增加软件投入,因此我国事业单位财务信息化推行速度较慢,最终直接影响我国事业单位财务管理信息化建设的前进步伐。
(四)信息化专业人才匮乏
事业单位对财务信息进行处理的工作人员不仅仅需要具备过硬的硬件操作知识,还需要具备较强的会计学等知识,只有这样才能满足财务数据信息日常处理的需要,但是我国很多的事业单位没有这样的专业型人才,尤其是缺乏具有全面知识的复合型人才。一是事业单位中负责长期处理财务信息的人员尽管非常熟悉财务信息处理流程,但是没有专业的现代化信息处理技术,导致信息化系统开发商与单位之间形成信息不对称;二是普通的信息化从业人员也不具备较为专业的财务知识,导致从业人员的专业化程度较低。就目前我国的事业单位财务管理人员而言,既需要熟练掌握现代化的科学计算机操作知识,又需要熟练使用计算机操作各类财务信息处理软件,但是实际情况却与之相反,导致事业单位中缺乏既有专业知识又具有专业技能的复合型人才。
(五)缺少上级主管部门规划指导及技术监控
对事业单位财务管理信息化水平进行分析可以发现,我国的事业单位并没有针对上级主管部门形成完善的事业单位财务信息管理体系,同时也没有形成财务信息公开化。事业单位上级主管部门必须发挥好自身的主导作用为各基层事业单位人员提供相应的指导信息,只有这样才能为基层事业单位财务管理人员提供一个较好的发展平台。目前,大多数事业单位并没有形成一个完善且可以随时接收各种财务信息的专业化平台,上级主管部门针对基层部门提供的财务信息不能很好地判断财务信息的有效性。
三、加强事业单位财务管理信息化建设的建议
(一)制定财务管理信息化制度
事业单位若想在较短的时间内提高财务管理信息化水平,减少财务人员处理财务信息的盲目性,则需要为财务部门制定规范的财务管理制度和完善内部的控制机制,从而使财务管理信息化得到进一步地推行和实施。从管理学的角度看,不管是怎样的财务信息处理系统,都只是简单的硬件,因此需要相应的软件与之对应才能最大限度地发挥其应有的价值,尤其是在财务管理过程中存在的一些难以处理的问题,需要制定完善的管理制度以确保问题得以快速解决。事业单位的主管部门需要从宏观的角度出发,将相关的管理信息直接与基层事业单位财务管理信息化相联系,最终保证财务信息的准确性和有效性。
(二)科学分析并明确信息化需求
事业单位财务管理信息化想要在较短的时间内得以推行,需要从全局出发,理顺事业单位内部存在的种种财务管理关系,同时对其中存在的种种关系进行相应的改造,使财务管理信息化的实施更加科学、高效。事业单位在进行财务管理信息化的过程中需要对财务信息进行相应的调整,对各种信息进行充分的分析,运用现代化的信息处理方式对各种信息进行科学的处理,从而最终形成完善的财务管理信息化的手段。
(三)加大财务管理信息化投入
财务管理信息化的发展需要以创新为依托,事业单位在制定财务管理信息化投入方式时,需要从硬件和软件两个不同的方面对此进行分析,同时需要与信息化系统开发商保持密切的联系,从而保证财务管理信息化的顺利进行。硬件方面可根据软件的需要更新、添置一些新型的基于平台的设备及相关配件。
(四)加强人员能力建设
事业单位财务管理部门为了实现信息系统的充分利用,发挥其最高效率,需要对财务管理部门中工作人员的基本素质和工作能力进行相应的审核,并且对这些人员进行定期的培训,从而更好地发挥财务人员在工作过程中的财务管理信息化优势。一是加强操作人员的能力,单位在引进新员工时,需要对新员工进行相应的考核,同时帮助新员工树立专业的工作理念,定期给操作人员举办相关培训以提高信息化操作水平。二是加财务人员信息技术应用水平。财务人员要定期寻找财务管理信息化过程中存在的种种问题,通过讨论和研究的方式,最终找到合适的解决方法。总之,各个事业单位都需要制定完善的财务管理人员培训制度和激励制度,从而培养出有利于事业单位长期发展的有较强专业技能的复合型人才。例如对财务人员进行定期的培训,定期让财务人员聆听相应的讲座等,从而保证财务管理信息化水平的进一步提升。
(五)完善信息化建设规划和监控体系
事业单位实行财务管理信息化是较为长期的发展过程,需要涉及到事业单位中的所有部门,且需要从宏观和微观等多个角度对此进行相应的分析与研究,同时对此进行相应的规划,从而有效地解决财务信息采集中存在的不足,也可以解决财务管理中存在的信息共享产生的不足。就现代的财务管理发展现状而言,财务管理部门还不能很好地将财务各个系统进行统一,因此需要对财务管理中的各个子系统进行一定的规范,最终保证财务管理可以较好地解决信息共享产生的不足之处。在财务管理信息化的过程中,事业单位需要制定统一的执行标准保证财务管理信息化的顺利执行,同时也可以根据每个地区的具体发展状况制定相应的监督和管理措施。在进行财务管理信息化推广时,需要对事业单位财务信息进行及时的收集,从而保证事业单位上级主管部门对基层单位财务信息的及时掌握与监督。
综上所述,从信息的角度看,财务管理信息化主要是对现代化信息技术的一种较高效率的使用,在执行过程中需要充分把握财务信息中存在的种种优点与不足,对财务信息进行相应的管理,从而辅助财务人员更好地进行财务管理和财务决策。若想建设较为科学的财务管理信息化系统,则需要不断地完善与之相对应的财务管理规划,同时需要将财务管理信息化中存在的问题进行及时处理。只有加强事业单位财务管理的信息化水平,才可以适应当前社会的发展,各事业单位应重视财务管理信息化建设,结合自身的发展实际,不断完善和提高财务管理信息化建设的水平和质量。
参考文献:
个人信息处理制度篇5
一、会计信息化对内部控制制度的影响
内部控制是指在企事业单位会计工作中,为了维护会计数据的可靠性、业务经营的有效性和财产的完整性而制定的各种规章制度、组织措施、管理方法、业务处理手续以及其他为防止可能发生的风险而采取的一切措施的总称。在信息化环境下,会计业务统一由计算机完成,这在一定程度上减少了数据的差错。但因为会计工具、会计信息载体等多方面也相应地由网络通信替代,所以有些手工会计的内部控制方法已难以发挥作用。
(一)控制形式的变化。由于计算机具有高速稳定及很强的计算与逻辑判断和推理能力,因此手工条件下的一些内控措施就失去了它的意义。信息化条件下,企业会计核算的环境发生了很大的变化,会计部门的组成人员从原来由财务、会计专业人员组成,转变为由财务、会计专业人员和计算机数据处理系统的管理人员及计算机专家组成。会计部门不仅利用计算机完成基本的会计核算业务,还能利用计算机完成各种原先没有的或由其他部门完成的更为复杂的业务活动。相应的内部控制措施在实行会计信息化后也转移到计算机系统内部而无需人为干预,内部控制的形式发生了很大变化。
(二)控制对象的变化。在会计信息化环境下,会计业务处理方法和处理程序发生了很大变化,各类会计凭证和报表的生成方式、会计信息的储存方式和储存媒介也发生了很大变化。直接记录在电脑磁盘或光盘上的电子数据取代了手工会计环境下的纸质数据。同时,随着电子商务、网上交易等的推行,每一项交易发生时,有关该项交易的信息由业务人员直接输入计算机,并由计算机自动记录,原先使用的每项交易必备的各种凭证、单据被部分地取消了,原来在核算过程中进行的各种必要的核对、审核等工作也有相当一部分变为由计算机自动完成。因此,会计信息化环境下内部控制的对象由对人的控制为主转变为对人机控制为主。
(三)控制内容的变化。会计信息化改变了数据处理的过程,电子数据如会计报表等的输出均是依靠会计软件对原始数据的加工处理,并将结果存储在磁盘或者软盘中。所有的记账、会计报表的生成、预测等数据处理工作都是由电脑完成,电脑输出数据的正确与否很大程度上取决于会计信息系统应用程序的正确度。内部控制的内容已经不仅仅是负责数据输入的财务人员,而且还要涉及到整个系统的开发、维护以及网络的安全等多方面。
(四)计算机的使用提高了舞弊犯罪的隐蔽性。随着计算机使用范围的扩大,利用计算机进行贪污、舞弊、诈骗等犯罪活动也有所增加。由于储存在计算机磁性媒介上的数据容易被篡改,有时甚至能不留痕迹地篡改,未经授权的人员有可能通过计算机和网络浏览全部数据文件,复制、伪造、销毁企业重要的数据。所以,计算机犯罪具有很大的隐蔽性和危害性,发现计算机舞弊和犯罪的难度较之手工会计系统更大。有鉴于此,加强会计信息化环境下的内部控制力度就变得十分重要。
二、会计信息化对内部控制制度的新要求
内部控制制度是社会经济发展到一定阶段的产物,企业内部控制制度的完善与否,直接关系到企业的成败。与手工会计系统相比,信息化环境下的会计信息系统的内控制度综合性更强,范围更大,程序更复杂。这些变化在给会计信息系统带来诸多利益的同时,也对会计信息化条件下的内部控制制度提出了更高的要求。只有强化会计信息系统的内部控制功能,使之适应信息化环境下的新特点,才能进一步保证会计信息的可靠性和准确性。
(一)会计信息化要求确保原始数据输入的准确性。在会计信息化环境下,电子计算机输出的数据是在程序控制之下对输入的数据源自动进行加工处理并储存于磁性介质上的。所有记账、分析及编制会计报表等工作均在计算机程序的控制下自动进行。一旦原始数据在输入中发生错误,计算机将无法识别,只能将错就错地进行各种计算机工作。另外,由于传统核算方法复核机制的减弱,人工审核机制的不完善,内部校核大大削弱,甚至消失。会计信息化的这一固有弱点,对内部控制提出了新的具体要求:一切数据的处理方法和过程都必须规范化,并保持准确性和相对稳定性,这样才能保证会计信息质量的真实性、完整性和准确性。
(二)会计信息化要求提高软硬件设备的可靠性与稳定性。会计信息化是借助于计算机软件和硬件进行数据处理的,而计算机是一个非常复杂的系统,组成计算机的各个构件包括操作系统、应用软件等,其中任何一个部分都有可能出现问题,加之随时可能出现的病毒入侵、黑客访问等,都会使数据丢失,不可修复,甚至使会计工作陷入瘫痪,给财务数据的安全性、连续性带来了威胁。而且,会计数据的处理是在一个封闭的、人们无法看到的系统中由计算机自动完成的。对于会计人员来说它是一个“黑箱”,会计数据处理的准确性,也只能被动地取决于应用程序及硬件设备的可靠性与稳定性。因而,与会计信息系统相适应,必须建立起一套有效的会计信息化环境下的内部控制体系。
(三)会计信息化要求加强对内部操作人员的管理和监督。会计信息化使会计人员的职能划分发生了巨大变化,因为业务处理全部都以电算化系统为主,因而电算化功能和知识的高度集中导致了职责的集中。例如,某些人既可以从事数据的输入,也可负责数据的输出和报送。因此如果不通过内部控制制度加强对操作人员的职能控制,就会加大出现错误和舞弊的风险。这就要求企业通过制定相关的授权和管理制度,加强内部人员道德素质的培养,不断完善管理体制,严格把守会计信息存取关,建立健全会计信息化环境下的内部控制制度。
三、完善会计信息化环境下内部控制制度的对策
通过上述分析,笔者认为可以从技术和制度两个方面加强对会计信息化环境下的企业内部控制。
(一)技术方面
第一,加强会计信息数据的录入管理。在网络环境下,从不同计算机上输入的不同会计信息交叉在一起,形成了一个庞大、复杂的会计信息数据库,再加上不同专业信息的共享,如果内部控制制度不严密健全,把没有经过严格检验的会计信息录入财务信息系统,就很难查明其来源,这样将直接影响到会计信息披露的准确性和可靠性。因此,必须严格控制和检验会计信息的录入过程,力求在取得原始信息的同时,通过建立相应制度来有效控制信息传递损耗和人为操作错漏。
第二,控制系统的开发与维护过程。软件的正确性是会计信息化系统正常运行的前提,因此应通过加强软件开发过程的控制,来确保软件质量和会计内部控制的力度。软件开发不仅要符合相应的标准和规范,还要在设计上符合会计内部控制的要求。比如,要禁止系统开发人员使用系统,因他们对系统采用的控制技术、保密措施和系统结构非常了解,可以不留痕迹地修改系统中的数据;对使用商品化会计软件的单位,软件的修改、版本升级等维护应由软件开发商负责的,单位的软件维护人员应与软件开发商进行联系,及时得到新版会计软件,并在软件修改、升级和硬件更换过程中,要由有关人员进行监督,保证会计数据的连续性和安全性;增强软件系统的现场保护和自动跟踪能力,对一切非正常的操作可以记录。
第三,内部控制应将系统的安全性放在首要地位。对此可以使用各种技术方法保护数据和计算机程序,以防止数据泄密、更换或破坏。控制措施主要有:系统中的各层处理应层层设防、严加防范,既要防止操作失误造成的数据破坏,又要防止有意的数据破坏;防止无关人员随意进入系统,防止病毒侵入,防止程序被随意篡改;对相关人员进行授权访问管理,以防止无权人员的非法操作;要经常进行备份,以免意外和人为错误造成数据的丢失;所有的软件文档资料、数据结构形式、程序说明书和源程序清单均应按机密文件管理。
(二)制度方面
首先,合理设置组织机构,适当进行职责分离。会计信息化环境下,企业应对原有的组织机构进行适当的调整,可以按会计岗位和工作职责划分为电算化会计主管、软件操作、审核记账、电算维护、电算审查等岗位。另外,会计信息化环境下,组织控制的首要措施就是将会计信息系统中不相容的职责进行分离,并以相应的管理规章予以配置,以这种相互稽核、相互监督制约的机制来保障会计信息的真实可靠。企业为防止舞弊或欺诈,应建立一整套符合职责划分原则的内部控制制度,同时还应建立起职务轮换制度。
其次,加强工作流程管理,提高档案管理的安全可靠性。会计信息化系统的有关资料应及时存档,企业应建立起完善的档案制度,加强档案管理。一个合理完善的档案管理制度一般包括:合格的档案管理人员、完善的资料借用和归还手续、完善的标签和索引方法、安全可靠的档案保管设备等。除此之外,还应定期对所有档案进行备份,并保管好这些备份。为防止档案被破坏,企业应制定出一旦档案被破坏的事件发生时的应急措施和恢复手段。企业使用的会计软件也应具有强制备份的功能和一旦系统崩溃等及时恢复到最近状态的功能。
再次,加强内部审计。内部审计既是企业内部控制系统的重要组成部分,也是强化内部会计监督的制度安排。通过内部审计部门对网络会计系统信息的质量和完整性进行独立和公正地监督与评价,有利于系统内部自我约束、自我激励机制的建立与健全。在会计信息化环境下,由于是“人-机”对话的特殊形态,因而对内部审计提出了更高、更严格的要求。①对会计资料定期进行审计,检查会计信息系统的账务处理是否正确,是否遵照《会计法》及有关法律、法规的规定,审核费用签字是否符合公司内控制度,凭证附件是否规范完整;②审查机内数据与书面资料的一致性,如查看账簿内容,做到账表相符,对不妥或错误的账表处理应及时调整;③监督数据保存方式的安全、合法性,防止发生非法修改历史数据的现象;④对系统运行各环节进行审查,防止存在漏洞。
个人信息处理制度篇6
关键词:信息系统;业务环境;国库制度
中图分类号:F81文献标识码:a
国库信息化为我们提供了科学、便捷、智能化的国库管理工具和手段,但国库信息化不是万能的,不可能完全保证国库管理目标的实现,国库业务安全、有效的处理还需要靠制度去保障。当前的国库制度已不能满足这种需要,因而国库部门需要完善各种国库管理制度,确保国库财政资金安全与完整。
一、国库信息系统的特点
当前国库信息化系统是由多个子系统整合而成,各子系统之间实现无缝链接,并与财政、税务、商业金融机构等单位实现信息共享,主要包括以下特点:
(一)结构完整、功能齐全。当前国库信息化系统包括国库信息处理系统(tipS)、国库会计集中核算系统(tCBS)、国库综合管理系统(tmiS)、地方横向联网系统等子系统。其中,tipS系统作为连接财税库银之间的数据交通枢纽,是连接金财工程、金税工程、金关工程之间的一个网络平台,为多个部门提供信息共享功能。tCBS系统是国库部门进行处理业务操作的平台,自动对国库部门确认的数据进行会计处理、生成会计账务报表体系,发挥国库会计核算职能。timS系统的功能是专门用于数据分析及监督管理等,使国库部门能有效地发挥管理会计职能。地方横向联网系统具有地方特色,用于连接地方财税库的网络平台,与tipS系统的区别是其更具有地方特色,并且与tCBS系统无法实现无缝链接,各种国库业务数据信息必须经过人工处理。
(二)资金统一清算,账务处理简单。在当前信息系统环境下,财政资金的清算是由tCBS中心以直接参与者身份与支付系统进行连接,集中处理与外界的支付往来业务,统一清算。其他各核算主体以间接参与者身份通过中心办理与tCBS外其他单位的资金往来业务,改变了以往支库处理资金清算必须由分库进行周转的情况,从而优化了财政资金收支流程,也使国库会计核算流程得到简化,核算内容变得简单。
(三)前置链接,系统控制。国库信息化系统利用tipS前置机与财政、税务、商业银行等单位进行信息网络链接,以组成具有标准内部控制意义的网络业务处理系统。在处理国库业务时,先由tipS前置对接收的信息进行合法性校验。在系统的其他功能模块中,系统控制也非常健全。比如,tCBS业务受理系统优化了国库业务处理流程,从而完善国库业务的授权、岗位职责控制、内部稽核等内控控制机能,有利于国库资金风险的防范。
(四)交易触发,自动转账。在当前的系统业务处理过程中,国库业务人员不必根据各业务原始凭证进行记账凭证制作、登记账簿等原始会计业务活动,而是由国库业务人员通过tCBS系统业务录入终端向tCBS数据中心提交各业务明细信息,再由数据中心对信息按事先设定的业务处理规则进行各种国库会计账务处理,实现预算收入直达入库、支出即时到账、账务统一处理、数据集中存储、数据共享等国库现代化管理目标。
二、当前国库制度的特点
当前国库制度主要是基于国库信息系统体系建设之前的国库环境而制定的,其目标是为了防范和降低当时国库各种风险,其特点表现为以下方面:
(一)以国库业务有纸化操作为基础。当前,国库制度规范的对象包括国库纸质凭证的清分、审查与核对以及根据纸质凭证进行国库会计处理与会计监督管理等国库业务,主要是基于国库信息系统单机版、网络不成熟版或手工业务处理等有纸化操作的基础上进行。
(二)以维护单个系统正常运行为目的。在国库会计核算系统从tBS系统向tCBS系统转变、业务处理资料来源由手工纸质凭证向联网系统转移过程中,虽然各种规范制度也在不断地增多与完善,但大部分制度都是以规范各自的系统操作为目的,导致多个系统操作规范各自为政,系统参数维护无法统一,加重系统处理量,阻碍信息交流的速度及业务流程的优化,无法充分发挥其整合潜能。
(三)以规范国库会计核算过程为主要内容。在有纸化操作的条件下,国库制度为了应对国库纸质凭证量大、凭证审核过程繁杂等环境,其规范的重点只能集中在纸质凭证的审核与监督以及国库业务会计核算处理的工作上,重视对会计核算过程的管理与监督;轻视国库信息系统的规范操作以及国库部门对外管理的规范,忽视系统共享信息资源的利用,导致会计核算内容粗放,量化意识薄弱,体现不出信息化管理的动态实时性及其信息数据的要求,使得当前先进的信息系统与落后的管理制度反差巨大。
(四)以规范单个窗口处理为手段。当前,部分国库业务系统操作规范是以维护单个信息系统正常运行为目的,其重点是规范系统窗口处理操作,单纯强调国库人员对窗口的录入标准,轻视信息系统对整个国库业务处理流程操作与管理的规范,忽视国库信息化管理意识的培养,满足于使用方法的介绍,从而使国库人员的业务参与意识薄弱,参与思路单一,影响了人工智力资源的挖掘。
三、国库信息化系统对当前制度的影响
国库信息化系统的变化导致国库制度要素和规范的对象都发生了改变。系统改变影响业务处理的信息来源、业务处理流程、会计凭证借贷方内容、报表体系、账务核对与监督过程,国库制度的部分内容已经不能满足国库业务处理的需要。另外,由于系统建设也导致一些新国库管理事项的产生,迫切需要新的制度进行规范,需要对当前国库制度进行不断完善。
(一)不能规范业务无纸化操作。随着国库系统的信息化发展,tCBS与tipS等子系统之间的无缝链接功能不断完善,国库与相关部门之间的系统数据链接逐渐向tipS系统转变,电子缴税及财政电子拨付逐渐取代了国库业务的手工操作。国库业务处理的凭证依据由手工凭证数据来源向网络数据来源转变,处理方法逐渐由有纸化操作转为无纸化操作,致使当前制度在某些方面无效。
(二)关键风险控制点得不到控制。信息系统的运用,一方面使国库部门的某些风险可以通过信息系统本身的内控程序进行自动控制,从而降低国库人工产生的风险;另一方面由于国库信息系统的使用,在不同部门系统间的数据传递面临新的安全性风险,增加国库部门面临的系统控制风险以及数据信息的真实性检验风险。因此,国库信息系统的使用将导致国库业务处理程序发生改变,内部控制的关键控制点发生了转移,需要各种控制制度重新控制。
(三)影响国库监督制度的内容与形式。国库信息系统的使用使资金清算方式发生改变,资金风险控制点发生转移,信息沟通速度更迅速,沟通形式更电子化,信息内容更加复杂,从而增加了制度的规范对象。目前,国库监督工作仍停留在对纸质凭证、报表、账薄等方面,监督手段也以手工监督为主,不能适应国库业务信息化快速发展的需要,不能有效防范资金风险。
(四)未能规范档案电子化管理业务。国库系统的使用使国库会计信息更加丰富、会计报表格式与内容更能符合报表使用者的需要,各种会计信息更加电子信息化。有针对性地对各种信息以电子文件格式进行自动化、网络化管理,从而实现国库部门高效、快捷的电子档案信息管理模式,国库部门应在传统档案管理经验和形式基础上,结合电子文件自身的特点制定国库档案电子化管理制度。
(五)未能发挥国库管理会计职能。联网功能促使部门之间实现信息共享,从而使国库部门能利用到的信息数量大大增加,信息沟通的速度也更加快捷,有条件运用各种技术方法对数据进行搜集、整理、计算和分析,有利于加强国库部门对资金业务活动进行衡量、评价和预测等国库管理职能。但是,这也需要相应的制度来规范。
(六)影响制度规范的国库会计核算内容。在当前系统环境下,国库资金清算流程发生了改变。基层国库可以经过tCBS系统中心直接通过支付系统进行国库财政资金的大小额清算,改变了基层国库经分库调转的清算方式,从而使处理国库业务的会计核算内容发生变化,会计核算流程变得相当简易。除tCBS中心外,各级国库核算主体不存在“大小额往来”账户,不同核算主体之间的资金往来通过“内部往来”账户进行核算。
(七)增加了规范系统管理的制度。配套的硬软件系统以及网络设施系统能准确地被使用、并得到恰当的维护是国库信息系统正常运转的必要条件。因此,国库部门应建立一套完备的系统管理制度来规范国库硬软件的管理,以保证用于国库业务操作的软件系统、硬件设备等的正常状态及安全运行,有效防止木马与病毒的出现。
(作者单位:中国人民银行海口中心支行)
主要参考文献:
[1]中国人民银行会计基本制度.银发[2005]309号.
个人信息处理制度篇7
关键词:学生评教;实然分析;应然诉求
高等教育的快速扩张,使得教育质量,尤其是教学质量已成为一个突出的问题。由教育部组织的本科教学工作水平评估基本上促使各高校确立了教学工作中心地位,确保教学工作中心地位的各项制度得以完善,其中学生评教就是重要一环。学生评教是一种价值判断活动,即学生对教师教育教学活动及其价值满足学生需要的程度做出判断,以期达到教师教育教学活动价值增值的目的。其中最为关键的就是评价过程中信息链条的完整性及信息的对称性,从评价信息的确认、沟通渠道的建设、信息失真的控制到信息利益人的权力消解等,任何一个环节出现扭曲,都会使学生评教出现道德风险和逆向选择。
学生评教有多种方式,如网上评教、座谈会、问卷调查、学生教学信息员等。网上评教充分利用了现代计算机信息技术的优势,节省了传统手工操作的成本。多数情况下,网上评教是一种终结性评价。而基于保护学生的设计,教师本人通常是所教课程结束之后才看到评教结果,对课程教学的进程难以起到调控作用。座谈会和问卷调查,由于人力、时间及物力所限,也难以取得实质效果。相关文献和高校学生评教的实际情况表明,学生教学信息员这种形式具有较高的信度和效度,本文即以此为主要评教方式进行分析。
一、学生评教的实然分析
学生教学信息员基本上由各班的学习委员担任,但并不排斥其他学生反映问题。尽管高校都注意到要通过各种途径包括学生教学信息员来加强教学质量的监控,但实际上,由于各种原因,学生评教并非如人们想象的那样得到所有管理人员的支持,尤其是二级教学单位的负责人。
有这样一个案例:一个信息员反映某教师上课时放与教学内容无关的电影,三学时的课不是提前下课,就是以做习题的方式打发时间,有时会以某些理由不上课。按照例行程序,接获信息的工作人员将此信息反馈到教学单位,由于教学单位主管教学工作的负责人不在,信息转到该教学单位主管学生工作的某负责人手中。很快就有一份包括两个班学生签名及他本人签署的关于前述教师与信息员信息针锋相对的意见送到教务处。该负责人的意见是:如果是教师的问题,分院将严查;如果是信息员的品质问题,请教务处严查。与此同时,信息员打电话给教务处工作人员要求撤回信息单。教务处做出快速反应,一边做信息员的安抚工作,并向前信息员了解情况(学生干部有变动,所以信息员也变动了),一边紧急约谈该教师。调查的结果是:信息员的描述基本属实,但由于他在描述的同时,夹杂了个人感彩,使得事情复杂化了。该教师解释了学生联名信的缘由,她接到主管学生工作的负责人的电话,要求她拿出能证明她不是信息员所说的证据来。于是她直接给两个班的班长打电话,由班委会组织了这起签名给她证明的事件,由此造成了信息员的巨大心理压力,迫使他想撤回信息单。
(一)信息链分析
信息传递及处理路径如图1所示
评价教师的信息从学生信息员那里产生后,被传送到教务处的工作人员手中,然后被转呈给教师所在的教学单位的负责人并要求其对信息进行核实,但负责人直接将信息告知教师本人,教师本人动员其他学生为其辩护,学生的辩护信息连同教学单位负责人的意见再反馈到教务处。在这个链条中,教务处作为教学工作管理部门,既是制度的设计者,也是制度的维护者和冲突的裁决者;二级教学单位本身就肩负着自身教学质量的监控与管理,理应配合教务处更好地进行质量保障。在这个链条中,初始信息是信息员发出的,但信息加工处理过程对信息员来说是未知的。由被评教师、教师所在教学单位及同级同学所发出的压力也是信息员一开始未曾预料到的。一个简单的信息反馈最终演变成权力角逐,信息员的合法性被消解。
注:初箭头表示初始的信息传递路径,细箭头表示信息处理路径。
(二)信息质量的检验
在信息传递链中,教务处是一个关键角色,接收到信息后,没有直接组织相关人员对信息质量进行检验,而是由教学单位自己来核实。作为教学单位,不能说其对所辖教师的基本情况不清楚,作为二级教学实体的分院,出于种种考虑,以消极态度对待学生评教,人情顾虑是其中之一;另外的考虑则与分院的利益直接挂钩,在实行目标考核管理的高校中,分院对“加分”与“减分”是相当敏感的,担心学生评教会损害其局部利益。这里就暴露了一个缺陷,即教务处作为一个职能管理部门,在制度的制定上和推行上有其优势,但在制度执行力及监控上,就显得相对软弱。由此可见,信息质量的检验不能指望教学单位来承担,而应该有其他途径。
(三)信息不透明对权力的放纵
案例中的教师在明确得知信息员的信息基本属实的前提下,仍给班长打电话,要求其他学生证明她的“清白”,这一行为本身就宣示了教师权力感与优越感以及教师本人的傲慢。也许可以理解为只是教师的一种本能保护,但与教师职业道德操守却不相符。教师清楚无误地知道如何利用信息员的信息不对称劣势进行补救,在师生角力中,管理部门尽管明知学生评教的重要性,但在利益主体的平衡关系中,常常只能避重就轻,根本性的制度缺陷并没有得到改变。这些信息通常只在小范围内处理,对非当事人来说,仍是不透明的。这种不透明的处理方式并没有给权力的约束带来影响,相反放纵了权力。因为信息员固定由学习委员会来担任,教师很容易发现是谁反映了他的情况,信息员的评教空间受到很大限制。
以上案例深刻地反应了学生评教所处的复杂情景,围绕评教所产生的权力角逐、信息不对称所潜伏的风险,以及制度设计缺陷给学生评教带来的巨大压力。尽管学生评教存在各种困难,但其必要性却是不容怀疑的。
二、学生评教的应然诉求
前面谈到,学生评教是一种价值评判活动,它与评价主体的个体需求密切相关。高等教育的转型――精英教育转向大众化教育意味着,高等教育的市场供求关系发生了变化,精英教育时代,决定权在供求方――高校,大众化教育时代,决定权不可逆转地转向了需求方――生源方。生源数量与质量将在一定程度上将决定高校是继续发展还是逐渐萎缩,直至消亡。因此有远见的教育学者和教育管理者无不在思考这样一个问题:以什么机制来确保学校的发展而不是消亡,尽管高校在中国目前仍是人们戏说的“计划经济”的最后一块堡垒,但市场竞争却毫不含糊地深刻作用于高校的发展,每年数以千计甚至万计的新生没有到校报到就是一个明证。需求方对大学的渴求已不再是有书读就可以了,其所要求的是“有质量保证的大学教育”。
“有质量保证的大学教育”促使大学管理者认真面对来自市场的压力,思考给需求方提供一个可以信赖的、有保障的大学教育。围绕高等教育是否是消费品,曾有过许多争论,但仍未达成共识,但有些人比较认可“教育是一种服务,学习是一种消费”。应该说这种观点有一定的合理性,但如果以“服务”与“消费”来衡量各自的主体,即教师与学生,就可能出现偏差。这种观点主导下的学生评教,容易导向人事管理目标,即评价结果对教师有一种潜在的危险,可能成为人事部门对教师进行奖惩的工具,在一定程度上会引起人际紧张,加剧人际关系的不信任感和恶化工作环境。因此也有人持不同意见,从相关的文献来看,抨击学生评教的一个基本立足点就是反对以市场关系来定义师生关系,以维护教师尊严。因为教育毕竟不同于其他服务行业,服务业只须按照行业标准确保服务规格,让消费者“物有所值”,就实现了服务的目的。但教育是一种严肃的培养人的活动,与人的生命成长息息相关,它注重的不是当下的“消费”,而是长期的“濡化”,及“濡化”的附加值,它的神圣性非任何一种“服务”可比。因此,衡量或评估教师教育教学价值,就不能简单地套以“服务与消费”的操作流程,在对待学生评教上,我们应该有更开阔的视野。
学生评教的价值历来为学者所称道,也被许多国家的实践所证实。因为学生是教学过程的主体,对教学现场有着深刻的认知,他们的意见对于教师的成长与专业进步有着重要的参考价值,亦能促进教师的自我完善与成熟,学生评教是确保“有质量保证的大学教育”的有力手段。在这一点上,任何否定与排斥学生评教的思想及行为均不具有可获得支持的理论与实践基础。郑丽君从法律的角度分析了学生评教中潜在的一些法律漏洞,如实体问题、程序问题及学术自由问题等,为学生评教机制的进一步完善提供了有意义的见解。
三、学生评教机制的完善
(一)对教学信息员进行培训
在高校担任教学信息员的基本上是学生干部,他们的身份具有合法性。但是学生信息员对于信息的选择和采集则需要一定的培训,通过培训使他们在信息中反馈不掺杂个人情感,在一些关键问题上尽可能与同学们多讨论。只要学生的评价范围限制在描述教学活动而不带个人情绪时,这些信息具有相当高的效度。
(二)对教学信息员进行有效保护。信息员被推到旋涡的中心,与学校教学管理系统中的保密机制不健全或操作不当有关。处理信息时,隐去信息员的一切个人信息只是粗浅的操作性问题,更深层的保护既需要相关工作人员有高度的责任心,也需要有制度来给予强化,明确指出教学信息员受学校保护,任何人不得滥用权力,妨碍教学信息员工作机制的正常运转。
(三)另辟渠道加强信息验证与监测
教学信息员容易受到波动的一个深层次原因是信息链过于扁平化,信息始终是在线性环境中流动,教学单位承担信息验证的风险就是直接危及教学信息员。因此应该在教务处、教学单位之外另设信息验证与监测机构,由第三方来对信息进行核实与仲裁。其结论既具有一定的权威性,又克服了把教学信息员置于冲突中心的危险。
(四)重新审视政绩观。在现代大学制度尚未完全建立起来的部分高校里,表面上的稳定即学生不出事、不闹事就是一种政绩。这种企求表面稳定的政绩观很容易忽视影响教学质量的深层次因素,也极易忽视学生对“有质量保证的大学教育”的正当诉求。高等院校是知识生产和人才培养的专业机构,真正的政绩应该是给社会输送高素质的建设人才。学生评教则是通过促进教学质量、满足学生的正当需求来确保学校的稳定。因此,大学的政绩观必须以学生的正当诉求为核心重新进行审视和加以定义。
参考文献:
[1]高鹏.教师如何应对学生的“品头论足”[n].中国教育报.2007-7-3,第4版.
[2]邓菊香,姚利民.学生评教与学术自由之思考[n].高等农业教育,2004,(7):15-17.
[3]李世美.从市场供需理论角度对学生评教制度的批判[J].成都大学学报,2007,(1),19-21.
[4]潘艺林.“学生评教”信奉什么教育哲学[J].教育理论与实践,2005,(12):27-31.
个人信息处理制度篇8
关键词:信息安全;信息科技风险;管理体系
1信息安全建设现状
现行制度方面,现行有效制度涵盖软件开发、软硬件运维、应急管理、安全操作、外包管理、供应商管理等方面,覆盖面较为全面,但是缺乏体系,没有根据一个标准系统的制定出一整套操作性强、执行性强的制度体系。上报机制方面,目前采取信息处内部逐级上报机制,即发现问题上报至科长,科长根据重要等级不同决定上报给处长、主管主任、信息科技委员会。内部评审方面,现阶段只针对现行制度对文档的完整性和准确性进行事后自评,定期配合外部审计机构进行专项审计;监控平台只对机房环境、硬件设备、网络及系统软件进行实时监控。信息科技风险评估方面,根据国家标准从信息资产、威胁、脆弱性的识别、风险值评估、风险项统计分析、总体评价和不可接受风险处理等7个方面,对整体信息化系统包含的硬件设备、软件系统、数据信息和管理制度等内容进行了全面的评估,每半年上报一次信息科技风险报告,并制定相应的整改计划。
2信息安全建设存在的问题
2.1管理制度建立不完善
目前,在信息科技风险的上报机制、自评机制和监控机制都存在着不同程度上有所缺失,例如尚未建立双向上报机制;自评范围不全面,缺少对数据资产、人员资产、软件资产等的覆盖;缺少残余信息科技风险的控制缓释措施及评价流程。同时,现有信息科技风险管理制度的完整性、可操作性需要进一步改进。
2.2信息安全意识不强
职工信息安全意识较为缺乏,没能把信息安全意识变成一种习惯、一种常态化的意识真正融入到日常的工作生活中,没能真正意识到加强信息安全的重要程度。
3信息安全建设工作思路
随着互联网+迅猛发展,加强信息安全建设日益重要,我认为应从加强安全审计、建立风险上报机制、强化信息安全管理、科技信息风险防范等四个方面不断加强信息安全建设工作:
3.1分析差距,完善内审监控管理体系
按照信息安全管理体系iSo27001标准梳理现状,认真分析研究,查找存在的差距,制定信息安全内控操作规程,针对软件开发、软件运维、硬件管理各项工作中具体内控操作流程制定信息安全审计依据。可联合相关处室,定期组织信息安全内部审计,建立事前预警、事后考评的整套内审监控管理体系,对潜在的信息风险进行有效控制。
3.2安全防控,建立风险上报长效机制
依据Cia属性对现有信息资产按照实物资产、人员资产、数据资产、软件资产、服务资产进行分类赋值,识别信息资产面临的威胁与弱点,推导出信息资产面临的安全风险,提出相应的安全措施并制定整改计划。另外,建立风险点上报机制,各个分管机构风险管理员负责收集存在的风险点隐患并及时上报信息处、风险处,由信息处汇总风险点,双向上报给风险处及相关领导,针对风险点中提出的问题及时跟进,并协调相关处室进行有效处理。
3.3强化意识,紧抓信息安全管理
针对目前职工信息安全意识较为薄弱的现状,一是借助官方网站、微博、月刊、简报等宣传载体,开展形式多样的信息安全的宣传教育活动,让每名干部职工时刻紧绷信息安全这根弦;二是邀请专家定期组织信息安全培训,普及安全应用技术,强化全员的安全责任和意识。三是结合各部门信息安全工作实际,就一段时期内容易产生的安全问题组织不定期的安全技术人员专题讲座,提高信息网络安全管理人员的能力。
3.4抓好关键,确保信息安全工作无死角
个人信息处理制度篇9
一、企业级会计信息系统对会计核算的影响
1.会计数据的来源发生变化,对会计信息质量产生影响。积极的影响有:①会计数据不必重新录入,减少了会计数据录入错误的机会;②会计数据直接从其他系统采集,保证了数据的完整性;③会计系统从其他系统实时采集数据进行会计处理,保证了数据的及时性。消极的影响有:①从其他系统直接采集的数据,如果数据本身有错误,则该错误可能会带到会计系统;②会计人员被动地接受其他系统生成的数据进行会计处理,审核功能被削弱;③由于实现了数据的快速传输与数据共享,数据生成部门或客户如果反复更改同一经济业务的数据,则会给会计部门的账务处理带来不便。
2.信息流与单证传递相脱节,会计核算的原始凭证形态发生变化。当企业的信息系统大规模联网时,数据可以跨部门、跨地区传输,且传输的速度极为迅速,而纸质原始凭证却不可能以同样的速度在需求部门之间进行传递,有些电子交易甚至没有产生纸质原始凭证。在这种情况下,会计记账时难以取得数据发生时产生的纸质原始凭证,而只能依赖原始数据管理部门的数据处理凭证,如业务部门的数据交换凭证或数据汇总凭证等。企业的信息系统越发达,数据的共享性越强。然而,在数据共享的同时,数据的使用部门往往要无条件地接受所共享的数据,难以审查数据发生时的原始凭证,会计部门在会计核算时也会面临这种情况。
3.系统升级时的稳定性和可靠性对会计数据的处理具有较大影响。在信息系统不断发展的过程中,系统的升级要对原有的数据和系统进行更新和转换,新系统达到稳定和可靠也要经过一段时间和过程。为了保证数据处理的可靠性,往往要求新系统和老系统并行一段时间,稳定后再甩掉老系统。在实际工作中,新系统切换后,造成会计数据丢失、数据紊乱的情况时有发生。系统升级过程中新系统的稳定性和可靠性对会计数据的处理具有较大影响。
4.会计人员对信息系统管理人员的依赖性削弱了会计信息的可靠性。随着信息系统的发展,信息系统的管理越来越专业化,信息系统管理人员的作用越来越重要。特别是会计信息系统也由企业的信息系统管理人员进行管理和维护,信息系统管理人员掌握会计核算的计算机程序和数据库。这就好比以前由会计人员保管的会计账簿变为由信息系统管理人员保管,而且由于信息系统管理人员熟悉信息技术,所以不能排除他们具有改账的能力。在实际工作中,由于会计人员缺乏信息技术知识,在进行一些特殊的会计处理时,或者在会计处理过程中出现问题时,只能由信息系统管理人员帮助解决。在解决问题时,会计人员有时会提供本人的代码和密码,使信息系统管理人员极易掌握会计人员设定代码和密码的规律。如果会计人员事后不及时修改密码,信息系统管理人员甚至可以直接使用会计人员的密码进入会计系统。
二、企业级会计信息系统的管理与控制
1.从整个企业管理信息系统的角度出发,建立和完善信息技术环境下的内部控制。会计信息系统与业务系统实现集成后,业务系统可直接向会计信息系统传输数据,只有整个企业管理信息系统安全、有效、可靠地运行,会计信息的质量才能有保障。
借助于信息系统的支持,企业的业务处理活动大多由计算机自动完成。同手工环境相比,企业的业务处理流程发生了相应的变化,业务处理的控制形式和控制手段也发生了变化。一些业务处理控制以计算机程序的形式嵌入在信息系统中,对业务处理的控制由计算机自动进行。在建立业务处理环节的各项控制措施时,应按照内部控制设计的原则,并考虑信息技术环境下业务处理过程的特点,针对各个业务处理环境设置相应的控制。对于以计算机程序的形式嵌入在信息系统中的业务处理控制,应当关注相关计算机程序的正确性和完整性。
信息系统的控制是企业为保证信息系统的安全性、可靠性、有效性和效率而采取的控制措施,其控制的对象是信息系统,包括计算机硬件和软件资源、应用系统、数据和有关人员等信息系统的组成要素。信息系统的控制采用系统自动控制和手工控制相结合的方式,由一般控制和应用控制组成。一般控制是对信息系统的开发、实施、维护和运行所进行的控制,其目的是确保应用系统得到恰当开发与实施、程序和数据文件完整、信息系统良好运作。一般控制主要有:系统开发与维护控制、数据资源管理控制、安全管理控制、运行管理控制、质量管理控制、信息系统外包的管理控制等。应用控制与具体的应用系统有关,是为确保数据处理完整、正确而实施的控制。应用系统对数据的处理一般都要经过输入、处理和输出三个环节,从这一共性出发可将应用控制分为输入控制、处理控制和输出控制。但是,由于应用控制与具体的应用系统相关,因此在设置应用控制时,还要针对具体的应用系统,结合具体业务设置相应的控制。
2.注重对会计信息系统及业务系统控制有效性的评价,及时发现问题并加以解决。企业的内部控制是否健全有效,特别是对会计核算有何影响,需要在持续的控制之后,对此做出评价。在实际工作中,由于各种原因,在评价内部控制时,往往注重对业务处理控制的了解、测试和评价,忽视了对信息系统控制是否有效执行、是否健全的审查,从而导致由于信息系统控制的漏洞而有意无意地改变了信息系统中有关数据,这样就无法保障后续会计处理的会计信息的质量。企业不仅要建立信息系统控制,还必须对所建立的各项控制进行测试和评价,特别是要对会计信息系统控制是否健全、有效做出评价,以便及时发现问题,及时纠正。
对会计信息系统及相关业务系统的控制测试包括控制设计测试和控制执行测试两个方面。控制设计测试是确定会计信息系统的控制设计是否合理、适当,也就是对会计信息系统控制的健全性进行测试。可将现行会计信息系统控制的描述情况与理想的控制模式进行比较分析,识别出关键的控制以及控制的强点和弱点。对于控制的弱点,应寻找解救性的控制措施。控制执行测试是确定现行会计信息系统控制是否存在并发挥作用,也就是对会计信息系统控制的有效性进行测试。由于信息系统控制既包括人工控制,又包括计算机程序控制,因此单纯依靠传统的控制测试方法是无法完成该项工作的,还必须采用计算机辅助审计技术,才能对信息系统控制进行全面测试。在实际工作中,应针对不同的控制形式,选择相应的控制测试技术。
在对会计信息系统控制进行测试之后,要对各项控制是否健全、有效做出评价。根据对会计信息系统控制执行测试的结果,通过合理判断,可以确定一般控制和应用控制在哪些方面控制严格,能够发挥其作用,哪些方面控制不足或存在缺陷。针对识别出的控制薄弱环节,进行深入研究与分析,提出完善会计信息系统控制的建议,及时改进。在日常的会计信息处理过程中,要经常关注会计信息有无异常,要利用各种手段发现会计信息中出现的问题,及时发现,及时解决。对于信息系统控制制度方面的问题,要从根本上解决。
个人信息处理制度篇10
一、信息社会中信息与公共组织的特性
信息社会对公共组织的挑战主要来自于信息特性的改变,而这又与公共组织的特性紧密相关。
(一)信息社会中信息的特性
1.分布性广泛。信息的分布性是指信息为不同的信息主体所拥有,即“我们必须使用的背景知识从来不是以集中或整合的形式存在,而是以不完全的,经常是相互矛盾的知识片断,分散地为分开的个人所占有。”分布性主要导源于社会分工。可以说,人类所取得的巨大的进步,都是与分工的发展分不开的。“劳动生产力上最大的增进,以及运用劳动时所表现的更大的熟练、技巧和判断力,似乎都是分工的结果。”[6](5)随着社会的发展,社会分工越来越发达,“渐渐地成为了社会秩序最重要的基础”。[7](4)公共组织的运行也需要分工,“根据纯粹的技术因素,把任务分配给经过专业训练、在永恒的实践中继续增加其经验的专职人员,在行政中实现劳动分工原则。”[8](350)在信息社会中,社会分工高度发达,每个人都从事不同的工作,每个人也就拥有不同的信息,从而导致分布性增强。
2.异质性增强。信息的异质性是指信息的性质是不一样的。随着信息社会的到来,不同信息之间的异质性越来越强,信息与信息之间的差别越来越大。在这种情况下,每个人所拥有的知识,相对于别人而言,都是“特定时间和地点环境下的知识。”诚如哈耶克所言,这种知识对于决策具有非常重要的意义。“考虑这个因素,实际上每个人都比其他人具有某些优势,因为他具有独特的信息。这种信息的有用之处仅仅体现在,依赖于该信息的决策将由他做出,还是由他的活跃的合作者做出。”[9](30)哈耶克的知识观与西蒙(Herberta.Simon)的有限理性理论异曲同工。西蒙认为,在知识具有分布性的情况下,每个人的知识尤其是专门信息都是极其有限的。其深层次含义是,知识具有异质性,由此每个人的信息处理能力也是不一样的。由于信息异质性的增强,将导致信息的可传递性减弱,在传递过程中会发生信息内容的改变、模糊或丧失。
(二)信息社会中公共组织的特性
从运行的意义上讲,公共组织就是收集、处理、传递、储存信息的场所。马克斯·韦伯(maxweber)在提出官僚制时,就特别重视知识在公共组织中的作用。①在公共组织中,“选举候选人基于技术资格。在最理性的情况下,检验标准是保证了技术培训的测试或文凭证明,或二者兼要。”也就是说,“官僚制的行政管理意味着通过知识进行统治,它的合理性建立在知识的基础上。”[10](214)因此,从信息的观点看,尤其是在信息社会的条件下,公共组织的实质就是构建信息流,收集、处理、传递和储存信息。
公共组织运行的主要功能是面对纷繁复杂的社会作出科学、合理的决策。而获得高质量决策的前提是决策权与信息的合理结合,这在现代组织别重要。西蒙等人认为,决策贯彻管理的全过程,是管理的核心和基础。而在“后工业社会”的当今世界里,主要问题不是如何有效地组织生产,而是如何进行决策,也就是如何进行信息处理。这就涉及到信息与决策权的结合,也就是信息和权力的转移。而最优的组织结构能够在既定的环境与信息成本条件下有效地配置决策权,从而形成一定的信息流结构。[11](72)
二、信息社会对公共组织的挑战
在信息不对称的情况下,有两种基本方式完成信息和决策权的结合。一种是把相关信息传递给那些拥有决策权的人;另一种是把决策权配置给拥有相关信息的人。因此,在进行组织设计时,人们会面临三种基本的选择。第一,领导在缺少相关信息的情况下做出所有的主要决策。在这种情况下,问题是有限的,因而详细的对人的控制系统并非十分紧要。但这样将导致领导的决策很可能出现失误。第二,决策者通过各种途径收集信息,以便做出更优的决策。这一选择可以提高决策的质量。但是,收集和处理相关信息会耗费大量的资源和时间。第三,领导将决策权力授权给掌握具体信息的下属。然而,下放权力将引起问题的增加。在这种情况下,需要一套严密的控制系统。在信息和决策权结合过程中涉及的信息成本和成本是公共组织内部配置决策权和构建信息流的依据。也就是说,组织的结构是由信息成本和成本决定的。[12](55)
(一)信息成本加大
公共组织的活动建立在信息的基础上,这就涉及信息成本。信息成本包括了收集成本、交流成本、用于决策的使用成本、储存成本以及恢复成本等等。[13](72)信息成本是信息与决策权采取哪种结合方式的重要决定因素。公共组织的演化与信息成本息息相关,随着信息成本的变化进行调整。在某种意义上说,信息成本的变化是组织机构变化的根本原因。在信息分布性和异质性增强的情况下,决策者如果坚持由自己搜集、处理信息作出决策,信息成本必将增加。
(二)成本加大
在决策行为中,由利益冲突所导致的成本,通常称为“成本”。“成本”是组织所有权结构的决定因素。[14](305-360)成本的根源在于管理人员不是公共组织的完全所有者。一方面,当管理者对工作尽了努力时,他可能承担全部成本而只得到收益的一部分;另一方面,当他消费额外收益时,他得到全部好处但只承担一小部分成本。结果,管理者对积极工作不感兴趣,而是热衷于追求额外消费。于是,这两者之间的差异即为“成本”,[15](47)即所谓的“外部问题”。在公共组织中,由于公共组织在本质上是组织,所有权几乎可以忽略,成本问题就成为必须花大力气才能解决的问题。而随着信息异质性的增加,越来越多的决策者将选择转移决策权,而不是自己搜集信息作出决策,这就将导致成本增大。
三、公共组织应对信息社会挑战的途径
综合起来,公共组织可以通过三个途径应对信息不对称:技术性途径、制度性途径以及文化性途径。技术性途径主要解决信息成本问题,制度性途径主要解决成本问题,而文化性途径则通过意识形态解决制度所不能解决的问题。(一)技术途径:降低信息成本
公共组织应对信息不对称的技术性途径有三种,一是减少信息量,二是降低信息转移的成本;三是提高信息处理能力。首先,要想降低处理信息的成本,最通常的方法就是减少信息量。而对于公共组织而言,就是减少自身的职能,将更多的事务交由社会或企业处理。其次,降低信息转移成本与信息技术的发展密切相关,对公共组织的影响主要是电子政府的出现,电子政府决策之前的调查研究、发现问题以及确定问题的症结所在等都可以通过网络轻松地进行,这有利于公共组织决策科学化。最后,信息处理能力“取决于观察单元的信息加工能力、信息加工技术以及信息加工活动的努力水平”。[16](99)其中的信息加工能力与公共组织的吸收能力和转化能力有关。[17](89)“吸收能力”指已有的相关知识赋予公共组织认识新信息的价值以及将其吸收、转化的能力。因此,吸收能力是现有知识结构(已有知识存量)的一个函数。吸收能力讨论的是信息跨越空间的转移,而转化能力则是指信息跨越时间的转移。影响转化的因素包括信息的默会性程度、复杂程度以及系统程度等。提高信息处理能力对于公共组织的要求,就是要构建学习型组织。
(二)制度性途径:公共组织的委托关系
委托理论的主题是研究在信息不对称的情况下,具有理性经济人特征的行为主体之间的相互影响和相互作用,即怎样提供一个激励合同,以使人透露出有利于委托人的信息,从而降低成本。现在看来,重复博弈一般会减少信息不对称,而重复博弈的结果往往以制度的形式表现出来,从而减少信息不对称。公共组织是一个典型的组织,因此我们需要通过制度设计来克服信息不对称。从信息的角度看,新制度经济学所强调的制度,其基础功能就是有效的传递信息,尤其是关于产权的信息。[18](23)通过有效地传递信息,“制度可以降低社会交换的信息成本——这是较为狭窄地专注于经济过程的制度经济学家所称的‘交易成本’。”[19](188-189)这样,通过判断环境的多变性以及信息成本的大小,就可以设计出有效的制度。最优的制度是能够在既定的环境与信息成本条件下,有效地配置决策权,从而形成一定的信息流结构的制度。
在这样的视角下,制度变迁就与信息成本密切相关,随着信息成本的变化而进行。甚至有的学者认为,信息成本的变化是制度变迁的根本原因。[20](72)制度变迁的含义就是新的制度能够更好地传递信息,更准确地传递正确的信息,减少公共组织中的信息不对称,从而降低社会交易成本和监督成本。“一个更好的制度就是一个能够优化处理信息的制度;一个制度的变迁过程,实际上就是不断建立优化处理信息制度的过程。也就是说,博弈论和信息经济学对制度变迁的启发就在于,要从如何使不完全信息变得更加完全的角度来考察制度变迁的内在动机。”[21](53)因此,通过制度变迁,可以降低决策时的信息成本。
(三)文化性途径:意识形态的功用
由于信息不对称在公共组织中的广泛存在,委托人既无法为其人制定出巨细倍致的、严格意义上的羁束规范,也无法制定出一套严密的、高灵敏度的奖惩制,应对信息不对称的制度性途径有时会失败。这时,就需要通过文化性途径应对信息不对称。从本质上说,意识形态是一种行为方式,这种方式通过提供给人们一种世界观而使行为决策更为经济。本文主要探讨与克服搭便车、偷懒相联系的虔诚和降低信息转移成本的团队精神。
按照古典经济学关于人的行为假设,人都是理性经济人,在行动时严格按照成本收益原则行事,追求自身效益的最大化。这种自身效益既包括物质方面的,也包括精神方面的。在林毅夫看来,这种精神主要是虔诚。当一个革命者为其事业牺牲生命时,他就是在消费虔诚,从而获得某种满足。[22](66)当一个人消费虔诚时,个人利益的最大化是通过利他实现的。“自利这一人的生物本性像一根带子束缚着人的行为,使人的行为不可能完全摆脱他的束缚而达到利他主义的完美境界。但这根带子很长,因而使人的社会本性有很大的活动余地,在最终要服从生物学法则的基础上,‘反抗自利的复制基因的暴政’,在很大程度上实现利他主义的真正人化。”[23](257)因此,当一个人消费虔诚时,他可能更少地选择搭便车和偷懒。
前面提到,公共组织里存在广泛的社会分工。因此,组织的基本职能就是在成员之间、部门之间进行协调。在信息社会里,这种协调显得更加重要。在社会分工高度发达的前提下,每个人的信息和技能都变得非常有限。要完成一件任务,需要团队成员精诚合作,在彼此之间进行信息转移。如果没有合作精神,团队成员之间的知识转移成本将大大增加,专门知识所具有的价值也就体现不出来。如果具有合作精神,则会降低团队成员之间的知识转移成本,从而使该组织在激烈的竞争中具有比较优势。这就是当今社会强调合作和团队精神的本质所在。团队精神与组织成员之间的信任关系密切。一方面,由于彼此之间相互信任,组织成员就会愿意进行信息交流。另一方面,信任对于信息发送者的可靠性有重大影响。信息接收者之所以愿意接受信息,在很大程度上就是出于对传送者的信任。