前言:中文期刊网精心挑选了电子商务风险管理范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
电子商务风险管理范文1
1 引言
随着开放的互联网络系统Internet的飞速发展,电子商务的应用和推广极大了改变了人们工作和生活方式,带来了无限的商机。然而,电子商务发展所依托的平台—互联网络却充满了巨大、复杂的安全风险。黑客的攻击、病毒的肆虐等等都使得电子商务业务很难安全顺利地开展;此外,电子商务的发展还面临着严峻的内部风险,电子商务企业内部对安全问题的盲目和安全意识的淡薄,高层领导对电子商务的运作和安全管理重视程度不足,使得企业实施电子商务不可避免地会遇到这样或那样的风险。因此,在考察电子商务运行环境、提供电子商务安全解决方案的同时,有必要重点评估电子商务系统面临的风险问题以及对风险有效管理和控制方法。
电子商务安全的风险管理是对电子商务系统的安全风险进行识别、衡量、分析,并在这基础上尽可能地以最低的成本和代价实现尽可能大的安全保障的科学管理方法。
2 电子商务面临的安全风险
由于网络的复杂性和脆弱性,以因特网为主要平台的电子商务的发展面临着严峻的安全问题。一般来说,电子商务普遍存在着以下几个安全风险:
1)信息的截获和窃取
这是指电子商务相关用户或外来者未经授权通过各种技术手段截获和窃取他人的文电内容以获取商业机密。
2)信息的篡改
网络攻击者依靠各种技术方法和手段对传输的信息进行中途的篡改、删除或插入,并发往目的地,从而达到破坏信息完整性的目的。
3)拒绝服务
拒绝服务是指在一定时间内,网络系统或服务器服务系统的作用完全失效。其主要原因来自黑客和病毒的攻击以及计算机硬件的认为破坏。
4)系统资源失窃问题
在网络系统环境中,系统资源失窃是常见的安全威胁。
5)信息的假冒
信息的假冒是指当攻击者掌握了网络信息数据规律或解密了商务信息后,可以假冒合法用户或假冒信息来欺骗其它用户。主要表现形式有假冒客户进行非法交易,伪造电子邮件等。
6)交易的抵赖
交易抵赖包括发信者事后否认曾经发送过某条信息;买家做了定单后不承认;卖家卖出的商品因价格差而不承认原先的交易等。
3 风险管理规则
针对电子商务面临的各种安全风险,电子商务企业不能被动、消极地应付,而应该主动采取措施维护电子商务系统的安全,并监视新的威胁和漏洞。因此,这就需要制定完整高效的电子商务安全风险管理规则。
一般来说,风险管理规则的制定过程有评估、开发和实施以及运行三个阶段。
(1)评估阶段
该阶段的主要任务是对电子商务的安全现状、要保护的信息、各种资产等进行充分的评估以及一些基本的安全风险识别和分析。
对电子商务安全现状的评估是制定风险管理规则的基础。
对信息和资产的评估是指对可能遭受损失的相关信息和资产进行价值的评估,以便确定相适应的风险管理规则,从而避免投入成本和要保护的信息和资产的严重不匹配。
安全风险识别要求尽可能地发现潜在的安全风险,应收集有关各种威胁、漏洞、开发和对策的信息。
安全风险分析是确定风险,收集信息,对可能造成的损失进行评价以估计风险的级别,以便做出明智的决策,从而采取措施来规避安全风险。
(2)开发和实施阶段
该阶段的任务包括风险补救措施开发、风险补救措施测试和风险知识学习。
风险补救措施开发利用评估阶段的成果来建立一个新的安全管理策略,其中涉及配置管
理、修补程序管理、系统监视与审核等等。
在完成对风险补救措施的开发后,即进行安全风险补救措施的测试,在测试过程中,将按照安全风险的控制效果来评估对策的有效性。
(3)运行阶段
运行阶段的主要任务包括在新的安全风险管理规则下评估新的安全风险。这个过程实际上是变更管理的过程,也是执行安全配置管理的过程。
运行阶段的第二个任务是对新的或已更改的对策进行稳定性测试和部署。这个过程由系统管理、安全管理和网络管理小组来共同实施。
以上风险管理规则的三个阶段可以用下图来表示:
4 风险管理步骤
风险管理是识别风险、分析风险并制定风险管理计划的过程。电子商务安全风险的管理和控制方法,它包括风险识别、风险分析、风险控制以及风险监控等四个方面。
(1)风险识别
电子商务系统的安全要求是通过对风险的系统评估而确认的。为了有效管理电子商务安全风险,识别安全风险是风险管理的第一步。
风险识别是在收集有关各种威胁、漏洞和相关对策等信息的基础上,识别各种可能对电子商务系统造成潜在威胁的安全风险。
风险识别的手段五花八门,对于电子商务系统的安全来说,风险识别的目标是主要是对电子商务系统的网络环境风险、数据存在风险和网上支付风险进行识别。
需要注意的是,并非所有的电子商务安全风险都可以通过风险识别来进行管理,风险识别只能发现已知的风险或根据已知风险较容易获知的潜在风险。而对于大部分的未知风险,则依赖于风险分析和控制来加以解决或降低。
(2)风险分析
风险分析是运用分析、比较、评估等各种定性、定量的方法,确定电子商务安全各风险要素的重要性,对风险排序并评估其对电子商务系统各方面的可能后果,从而使电子商务系统项目实施人员可以将主要精力放在对付为数不多的重要安全风险上,使电子商务系统的整体风险得到有效的控制。风险分析是一种确定风险以及对可能造成的损失进行评估的方法,它是制定安全措施的依据。
风险分析的目标是:确定风险,对可能造成损坏的潜在风险进行定性化和定量化,以及最后在经济上寻求风险损失和对风险投入成本的平衡。
目前,风险分析主要采用的方法有:风险概率/影响评估矩阵,敏感性分析,模拟等。在进行电子商务安全风险分析时,由于各影响因素量化在现实上的困难,可根据实际需要,主要采用定性方法为主辅以少量定量方法相结合来进行风险分析,为制定风险管理制度和风险的控制提供理论上的依据。
(3)风险控制
风险控制就是选择和运用一定的风险控制手段,以保障风险降到一个可以接受的水平。风险控制是风险管理中最重要的一个环节,是决定风险管理成败的关键因素。电子商务安全风险控制的目标在于改变企业电子商务项目所承受的风险程度。
一般来说,风险控制方法有两类:
第一类是风险控制措施,比如降低、避免、转移风险和损失管理等。在电子商务安全风险管理中,比较常用的是转移风险和损失管理。
第二类为风险补偿的筹资措施,包括保险与自担风险。在电子商务安全风险
管理中,管理人员需要对风险补偿的筹资措施进行决策,即选择保险还是自担风险。
此外,风险控制方法的选择应当充分考虑相对风险造成损失的成本,当然其它方面的影响也是不容忽视的,如企业商誉等。
对电子商务安全来说,其有效可行的风险控制方法是:建立完整高效的降低风险的安全性解决方案,掌握保障安全性所需的一些基础技术,并规划好发生特定安全事故时企业应该采取的解决方案。
5 风险管理对策
由于电子商务安全的重要性,所以部署一个完整有效的电子商务安全风险管理对策显得十分迫切。制定电子商务安全风险管理对策目的在于消除潜在的威胁和安全漏洞,从而降低电子商务系统环境所面临的风险。
目前的电子商务安全风险管理对策中,较为常用的是纵深防御战略,所谓纵深防御战略,就是深层安全和多层安全。通过部署多层安全保护,可以确保当其中一层遭到破坏时,其它层仍能提供保护电子商务系统资源所需的安全。比如,一个单位外部的防火墙遭到破坏,由于内部防火墙的作用,入侵者也无法获取单位的敏感数据或进行破坏。在较为理想的情况下,每一层均提供不同的对策以免在不同的层中使用相同的攻击方法。
下图为一个有效的纵深防御策略:
图2 有效的纵深防御策略
下面就各层的主要防御内容从外层到里层进行简要的说明:
1)物理安全
物理安全是整个电子商务系统安全的前提。制定电子商务物理安全策略的目的在于保护计算机系统、电子商务服务器等各电子商务系统硬件实体和通信链路免受自然灾害和人为破坏造成的安全风险。
2)周边防御
对网络周边的保护能够起到抵御外界攻击的作用。电子商务系统应尽可能安装某种类型的安全设备来保护网络的每个访问节点。在技术上来说,防火墙是网络周边防御的最主要的手段,电子商务系统应当安装一道或多道防火墙,以确保最大限度地降低外界攻击的风险,并利用入侵检测功能来及时发现外界的非法访问和攻击。
3)网络防御
网络防御是对网络系统环境进行评估,采取一定措施来抵御黑客的攻击,以确保它们得到适当的保护。就目前来说,网络安全防御行为是一种被动式的反应行为,而且,防御技术的发展速度也没有攻击技术发展得那么快。为了提高网络安全防御能力,使网络安全防护系统在攻击与防护的对抗中占据主动地位,在网络安全防护系统中,除了使用被动型安全工具(防火墙、漏洞扫描等)外,也需要采用主动型安全防护措施(如:网络陷阱、入侵取证、入侵检测、自动恢复等)。
4)主机防御
主机防御是对系统中的每一台主机进行安全评估,然后根据评估结果制定相应的对策以限制服务器执行的任务。在主机及其环境中,安全保护对象包括用户应用环境中的服务器、客户机以及其上安装的操作系统和应用系统。这些应用能够提供包括信息访问、存储、传输、录入等在内的服务。根据信息保障技术框架,对主机及其环境的安全保护首先是为了建立防止有恶意的内部人员攻击的首道防线,其次是为了防止外部人员穿越系统保护边界并进行攻击的最后防线。
5)应用程序防御
作为一个防御层,应用程序的加固是任何一种安全模型中都不可缺少的一部分。加强保护操作系统安全只能提供一定程度的保护。因此,电子商务系统的开发人员有责任将安全保护融入到应用程序中,以便对体系结构中应用程序可访问到的区域提供专门的保护。应用程序存在于系统的环境中。
6)数据防御
对许多电子商务企业来说,数据就是企业的资产,一旦落入竞争者手中或损坏将造成不可挽回的损失。因此,加强对电子商务交易及相关数据的防护,对电子商务系统的安全和电子商务项目的正常运行具有重要的现实意义
6 结论
一般来说,风险管理有基本的三个对策,包括管理者采取适当措施来降低风险事故发生的概率;管理者准备并实施一个意外事故应急计划以备不测;还有就是管理者什么都不做。对已选定的对策,应对其潜在的风险有充分的估计,并制定相应的应变计划,以使可能的风险损失降到最低。
风险管理没有铁定的规则,对于电子商务安全风险管理来说,首先是扫描和检测电子商务系统的内外部环境,检查系统的脆弱性和薄弱环节,及时打上补丁和追加设备,以便当风险产生时尽可能地减少损失;其次是对电子商务安全风险进行充分地分析,然后制定相应的规划和措施,并在其实施的每个阶段进行监控和跟踪;最后是根据环境的变化随时调险管理措施,制定完备的灾难恢复计划。
参考文献
[1]甘早斌.电子商务概论(第二版).华中科技大学出版社.2003.9
[2]钟诚.电子商务安全.重庆大学出版社.2004.6
[3]才书训.电子商务安全风险管理与控制.东北大学出版社.2004.6
[4]易珊,张学哲.电子商务安全策略分析.科技情报开发与经济.2004.5
[5]高新亚,邹静.电子商务安全的风险分析和风险管理.武汉理工大学学报.信息与管理工程版.2005.8
[6]郭学勤,陈怡.电子商务安全对策.计算机与数字工程.2001.7
[7]李晶.电子商务安全防范措施.安徽科技.2003.4
电子商务风险管理范文2
[关键词]电子商务安全风险协议防范
一、引言
Intemet的迅速发展使电子商务应运而生,对电子商务可以有狭义和广义两种理解:作为在线销售的电子商务;作为现有业务扩展的电子商务。电子商务具有许多优势,譬如高效率、低成本;同时,电子商务也会提供各种各样的机会,因为中小型公司和太公司站在相同的起跑线上但迄今为止,真正开始实施电子商务的企业还不多,绝大多数企业还在持观望态度,电子商务通远远谈不上普及。这其中的原因主要有以下三个点:(1)人的因素;(2)立法问题;(3)安全问题。其中信息安全问题可以说是电子商务活动的最大障碍,电子商务信息安全是制约电子商务建设与发展的首要问题和核心问题。
二、电子商务对信息安全的需求和风险分析
信息安全的目的是:保护一个系统不会受到未经授权的访问,使系统的正常工作不会被非法干预,同所有计算机系统一样,电子商务系统安全必须具有保密性、完整性及可用性三个特征。
1.保密性(Confidentiality)
保密性是指计算机系统的资源应该仅能由授权团体读取。对电子商务系统来说,它意味着系统所提供的服务应满足:(1)私有交易不会被其他人截获及读取;(2)如果可能,应确保交易的匿名性,使交易不会被追踪,任何人无法利用“发生交易”这样一个事实本身来达到别的目的。
2.完整性(Integrity)
完整性指资源只能由授权实体修改。电子商务系统的完整性要求它提供的服务应满足:(1)消息完整性,指通信过程中接收到的消息确实是实际发送的消息,不可能在传输过程中被篡改,也不可能是一条伪造的消息;(2)身份认证(Authendcation),通信的双方应能确定对方的身份,知道对方确实是他所自称的那一位。在这里,确定的意思并不完全意味着确实知道对方的身份,因有时由于交易匿名性的需要,不能确知对方的准确身份,但应能做到知道自己是在与一个可靠的对象通信。端否认性(Non-repudiation):一旦事务结束,有关各方都不能否认自己参与过这次事务。
3.可用性(Availability)
可用性指一旦用户得到访问某一资源的极限,该资源就应该能够随时为他使用,而不应该将其保护起来使用户的合法权益受到损害。在电子商务系统中,提高系统可用性有时还意味着用户仅需经一次登录就可以访问任何其他有权访问的资源,避免对访问不同的服务使用不同的登录过程。
4.风险分析
针对电子商务系统进行的攻击实际上就是试图破坏上述三大信息安全特征,进一步细分。电子商务的风险有以下4类:
(1)中断(干扰),包括拒绝服务(DenialofServices)、删除数据。
(2)修改,如修改传输信息、修改可执行代码等。
(3)伪造,如冒充颐客或服务器进行交易、特洛伊木马等。
(4)截取,如设置网络窃听器、监视网上数据流、从数据包中获取敏感信息等。
三、电子商务信息安全的防范策略
1.通用技术
用于保证信息安全的技术通常有:加密、数字签名、身份认证、访问控制、审计以及相关方面的管理。此外,信息安全还将会影响到系统的许多组成部分,包括那些并不直接同安全相关联的成分。各种通用的安全技术,如加密技术算法(保密密钥、公开密钥)、公开密钥系统基础设施(PKI)、各种认证技术(一次性口令、Kerberos、CA)、网络系统各层安全协议(SSL、TLS、IPSEC、PPTP、VPN)、防火墙及保密网关技术等。
2.电子支付协议
在现实生活中,人们一般有3种支付方式:现金、支票及卡,同样,电子支付协议也可分为这3种模式。事实上,它的目标就是使用电子手段来实现日常所进行的交易。一个有效的可能成功的电子支付系统必须被广泛认可,该系统必须保证有关各方不易受到欺骗;此外最为重要的一点是必须方便易行。
(1)基于卡的支付协议
基于卡的支付模式有:明文发送信用卡号码;经保密路径发送信用卡号码;通过第三方进行交易。
上述几种方案是在web商务的早期就采用的,对安全性、可靠性以及抗否认性等方面并没有过多的考虑,支付过程实际上还是非在线的,商家在检验信用卡时往往通过专门的网络同信用卡授权机构联系。这一过程如图1所示。
图1经安全Web服务进行的交易
web交易的发展迫切需要新的支付模式,现在的支付模式大致结构如图2。
在安全电子支付协议中,客户浏览Web页面通过常规HTTP协议进行,当需要进行支付时,浏览器启动-支付模块(通常称为电子钱包E-wallet)处理支付协议。
(2)基于支票的支付协议
支票模型模拟了现实生活中支票的使用。同信用卡模式一样,它也同样需要支票发行机构如银行等来确认支票的有效性。这种模型同银行存取款方式相似,使用借-贷模型,用户需要在支付服务器上开设一个账户,支付服务器维护账目的绝对平衡。
(3)基于现金的支付协议
在交易中,有时会希望交易能匿名进行,即无法对交易过程进行追踪,无法确认交易者的身份。卡和支票模式都不能满足这样的需求,而基于现金的支付模式模拟了日常现金的使用,可以做到这一点。
多数电子现金的实现的思想:每一枚电子硬币都有一个编号。银行维护若干密钥对,每一对密钥可用于对某种特定面值的硬币进行签名。但如果硬币是由银行生成并交给用户的话,它可以记录下每枚硬币的去向,从而当这枚硬币用于支付时可以跟踪到用户的交易。而盲签名机制可以允许用户自己生成硬币.让银行对这枚硬币标定面值。如当用户从银行提款时,他先为硬币随机生成一个很大的编号,然后利用盲签名机制,银行可以用代表不同面值的密钥对这救硬币进行签名,从而标定硬币的面值。由于序号很大(大于200位数字),重复的概率可以忽略不计,再加上盲签名让银行无法知道硬币的编号,也就不可能将它记录下来。
同时,必须要有一种机制来保证电子硬币不被重复使用。鉴于无法控制远程用户对电子现金的复制,提出了一种依靠处罚措施来禁止重复消费这一行为,引人一种“盲记录”的机制,第一次使用电子硬币时,无法进行跟踪,而如果重复使用,就有足够多的信息能查出使用者的账户信息.从而采取相应的反措施。
电子商务风险管理范文3
关键词:商业银行;电子商务;风险管理
商业银行从事金融业务面临着市场风险、信用风险、以及操作风险等,而电子商务的出现则加剧了上述各类风险发生的可能性以及风险发生之后的破坏程度。2004年以来,我国面临的网络仿冒威胁正在逐渐加大,仿冒对象主要是金融网站和电子商务网站。2005年上半年共收到网络安全事件报告65679件,超过2004年全年案件数,商业银行电子商务安全风险管理策略已成为理论与实践中必须重视的课题。
一、信息安全管理的历史演进与现阶段的特点
信息安全管理的策略大体遵循事件驱动(技术和管理脱节)-逐渐标准化(技术和管理逐渐结合)——安全风险管理(引入了风险分析)的发展路径。
(一)以事件驱动的初级阶段时期
19世纪70年代安全主要是指物理设备和环境的安全,人与计算机之间的交互主要局限在大型计算机上的哑终端,安全问题只涉及能访问终端的少数人。安全管理策略处于初级阶段,由事件驱动,没有形成规范的管理流程。在此阶段的前期,只重视技术手段。后期开始重视管理手段,但是技术和管理之间脱节。许多组织对信息安全制定了相应的规章和制度,但组织的信息安全管理基本上还处在一种静态、局部、少数人负责、突击式、事后纠正式的管理方式。
(二)标准化时期
企业开始将安全问题作为整体考虑,形成一套较为完整的安全管理策略,其中包括了安全管理的技术手段和管理制度(或称运作管理)。几乎所有从事电子商务的企业都拥有自己的安全策略,内容也包括了技术手段、安全管理制度、人员安全教育等等,基本上形成体系,技术和管理手段综合统一,但是安全风险分析还存在不足之处。
(三)安全风险管理策略时期
随着电子商务安全管理发展到一个比较高的层次,安全管理策略也演进到安全风险管理阶段。主要特点如下:
1.安全风险管理成为主流趋势;在安全管理策略的演进过程中,技术和管理手段综合统一、又融入了风险管理的分析、防范策略,从而安全管理进入了安全风险管理时期。西方商业银行已对安全风险管理形成共识。如安氏公司(is—One),认为信息安全问题最终将归结为风险管理问题,风险管理方法是建立良性的安全技术和管理体系的依据和基础。
2.安全风险管理的国际标准和各国的规范逐渐形成并趋于完善。国际上关于安全风险管理的标准有巴塞尔银行监管委员会的《电子银行业务风险管理原则》、英国标准协会制订的BS7799等。各国也日益重视安全风险管理,制定了许多规范。例如美国货币监理署(OCC)的《电子银行最终规则》、香港金融管理局的《电子银行服务的安全风险管理》等。中国银行业监督管理委员也于2006年颁布了《电子银行业务管理办法》,对国内企业的电子商务安全风险管理给出了指导意见。
3.利用外部专业化机构对金融机构的安全性评估已成为大部分国家的选择。电子银行面临的安全和技术风险,在相当程度上取决于采用的信息技术的先进程度,系统的设计开发水平,以及相关设施设备及其供应商的选择等;银行依靠传统的风险管理机制已很难识别、监测、控制和管理相关风险。同样,监管机构也难以完全依靠自身的力量对电子银行的安全性进行准确评价和监控。因此,大部分国家都采用了依靠外部专业化机构定期对电子银行安全性进行评估的办法,加强对电子银行安全性和技术风险的管理和监管。
4.在许多国家信息系统审计(Is Audit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。业界的IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作,从经济学的角度出发分析风险,充分衡量保持安全的代价和收益之间的关系,寻求用最小的代价实现最大的效用,在风险分析中也形成一套较为成熟的模式。
二、我国商业银行电子商务安全风险管理策略的薄弱点
(一)系统管理思想缺乏
目前的电子商务安全风险管理策略,在全局上缺乏系统论理论的指导,在实际操作中受到多种多样的安全攻击时会不可避免地出现安全漏洞,无法形成一张全面有序的安全网络。
实践中被采用的安全风险管理策略,以及作为指导意见的规则规范,如《信息安全管理实务准则》(IS017799)、《信息技术安全性评估准则》(GB/T18336.1)、巴塞尔银行监管委员会的《电子银行业务风险管理原则》,尽管提出了比较全面的安全风险管理方案,层次上也比较清晰,但是还不足以作为一个风险防范系统。实践中,电子商务组织是一个复杂的系统组织,电子商务的安全风险管理体系和过程也是个复杂的系统。系统论、控制论的思想在电子商务安全风险管理中是不可或缺的。
(二)风险分析的模型与方法不成熟,定量分析不足
电子商务模式自身的发展历史也不过20几年,在风险分析的定量技术上并不成熟;如BS7799中推荐的电子商务安全风险管理中实施风险评估时,往往将威胁发生的可能性定性划分为几个级别,将威胁所造成的影响也定性划分为1~5级,实质上是将一些按照概率发生的事件定义为不连续的几个级别,在操作上易行,但造成了度量的不精确。在进行监控和审计之后,也存在无法量化、对比的问题。
(三)忽视与原有的传统风险管理策略的结合
本质上,电子商务的安全风险无非是新兴的商业模式对传统的风险的改变,以及产生的在传统风险控制领域暂时无法明晰的新风险;现有管理策略只从信息技术的角度、或者从偏重技术的角度看待问题,站在金融领域本身来分析研究较少。这种状况导致了对电子商务安全风险管理的研究无法立足于一个比较高的层次;忽略了风险的整体性,只进行偏信息和技术的研究,导致了现有的电子商务安全风险管理策略与金融机构原有的传统业务风险管理策略存在差距。对于商业银行而言,传统金融业务的风险控制与电子商务的技术风险控制,两个方面存在脱节,同样属于商业银行的风险,存在着不同的管理策略,导致多头管理、资源浪费、机构之间的扯皮,乃至缺位管理。
电子商务风险管理范文4
现代银行属于信息密集型行业,在这个信息发达的大数据时代,银行之间的竞争也愈演愈激烈,九十年代末期,商业银行看准时机,推出来电子银行服务,经过了二三十年不断的探索和发展,已经取得了很好的成就,在这个金融一体化进程的不断加快的时代中,商业银行的电子银行开始转变发展模式,提出了更加多样,个人风格的业务。近年来,我国商业银行电子业务的客户数量越来越多,电子银行相关的风险管理问题备受关注。
一、电子银行的概述
(一)电子银行的概念
2006年3月,《电子银行业务管理办法》将电子银行业务定义为:“银行业金融机构利用面向社会公众开放的通信通道或开放的公众网络以及专用网络,向客户提供的银行服务”。
(二)电子银行业务的特点
1.高度数字化。高度数字化是电子银行业务在大数据时代最与众不同的特征,同样也是电子银行业务与传统银行业务最基础最本质的不一样。电子银行业务通过借助计算机的终端和互联网的结合,以开放的网络作为数据传输的基础,减少了传统银行业务的人工费用,极大地减少了银行的成本。
2.灵活度高。由于电子银行业务上一个特征高度数字化,所以电子银行业务基本不会受到时间和空间的制约。在全球范围内,只要在互联网的覆盖下,客户可以在任何地方、任何时间,可以选择多种形式的服务方式。
3.平均成本降低。电子银行的信息化系统的成本虽然很高,但是承载范围内提供服务的边际成本几乎没有,所以这就导致了电子银行业务的平均成本会随着业务量的增加不断的减少。
二、风险类别
金融市场中银行经营业务可能面临的风险有流动性风险(liquidity risk)、利率风险(interest risk)、信用风险(credit risk)和市场风险(market risk)。除此之外,还有金融市场特有的风险,巴塞尔银行监管委员会(BSBC)的有关规定认为电子银行业务所面临的主要风险有操作风险、信誉风险、法律风险和信息技术风险。
(一)操作风险
商业银行的电子银行业务的操作风险主要出现在商业银行自身操作系统的安全性和客户是否在使用电子银行业务是对风险防御解决掌控的把握程度。主要表?F为三种形式:
1.安全性风险。互联网黑客可通过病毒、内部员工利用自身的便利如访问权限,造成客户的信息盗取、更改、伪造,还可提取客户的存款,让银行承受巨大的损失。
2.系统设计和维护的风险。指的是电子银行自身能力不够,其研发使用的系统存在大量漏洞,导致风险系数增加。
3.客户使用不当的风险。客户因操作不当可能让不法分子有机可乘,盗取客户的资料。或者因为知道客户资料然后通过某些手段取走资金,让客户和银行蒙受意想不到的意外损失。
(二)信誉风险
信誉风险指的是当客户在办理不同的商业银行的电子银行业务时,因为提示不够明确,操作太复杂等多种原因,不能满足客户要求,最后让客户甚至公众对银行产生不好的的看法,甚至是对商业银行的电子银行业务产生不相信,最后不选择办理电子银行业务,从而可能让银行遭受产生不同的损失的风险。
(三)法律风险
法律风险指的是关于电子银行业务的法律法规体系不健全或者在某些方面规定不够明确,当电子银行业务交易发生纠纷时,可能导致当事人无法确定的分清自己的责任,或者交易无效。另一方面则指银行本身未能严格要求自己遵守有关的法律法规、行业规章制度最终导致银行遭受损失的风险。
(四)信息技术风险
信息技术分险则是指因为自然或人为原因、技术的不成熟以及监管力度不够导致在信息技术在电子银行业务实践的时候给银行造成损失的风险。
三、如何管理风险
有效识别风险后,我们可以有针对性的改善和提高商业银行电子业务风险预防、控制、管理等各个方面的能力。
(一)加强内部风险控制
电子银行业务本身具有一定的特殊性,所以需要针对它的特点去建立一套完整并且有效的内部风险控制体系,从而防止一些潜在的风险威胁,使商业银行电子业务顺利的进行。开始,商业银行电子银行业务应该建立统一规范的部门业务流程和规章制度;然后,明确规定每个部门和每个员工的职责,提高整个业务的效率,降低衔接处的风险;最后,加强对工作人员的教育,提高相关人员的风险意识,建立奖惩制度,从内部提高电子银行业务整体的安全性,降低风险。
(二)增加法律规范
电子银行业务的正确发展离不开相关法律法规的监管,健全的法律法规可以约束不法分子的违法行为并对其进行相应的惩罚。不断完善和改进商业银行电子银行业务的法律法规体系,加大对金融犯罪的打击力度,不断地提高风险管理意识。
(三)加强信息披露和客户风险意识培养
商业银行应拓展信息披露渠道比如手机银行客户端、微信等,从而能够保证客户在正常情况下能够及时的知道银行近期的各种讯息和重要通知,避免因为信息不能及时通知给顾客而给顾客或银行带来风险损失。此外,通过各种披露渠道可对客户或者潜在客户进行安全意识培养,提高客户的风险识别能力和自我保护的意识,从而有效的提高避免风险的效率,减少风险对客户和银行的损失。
电子商务风险管理范文5
关键词:电子商务,企业管理,财务管理
随着计算机信息技术的高速发展和以移动通信设备为代表的智能终端的广泛应用,人类社会快速步入了信息化时代。商务贸易活动也从传统的现货交易模式转入了以电子化和信息化为主的电子商务新模式。根据中国电子商务研究中心《2015年(上)中国电子商务市场数据监测报告》显示,我国2015年上半年电子商务交易额已突破7万亿,同比增长30.4%。电子商务的快速成长,使企业的生产和管理模式发生重大变化,网络在企业与个人、企业与企业以及其他组织之间的采购结算、货品收款等过程中所发挥的作用越来越重要,在商流、物流、信息流和资金流交叉并行的情况下,企业财务管理面临空前压力,财务风险管控成为电子商务环境下企业发展过程中必须要解决的重大战略问题。
1、电子商务环境对企业财务风险管理的冲击
1.1企业财务管理环境更加复杂
财务风险是企业在不确定性环境中产生损失的潜在可能性。电子商务的发展,使企业财务管理的宏观和微观环境都发生了变化。宏观上,电子商务仍然处于高速发展期,跨境电商贸易的国家政策导向仍在调整,相关产品税收政策还在不断优化,国内外汇率的变动等,都对企业财务风险管理提出了较高要求。另一方面,微观上,动态的业务活动驱动企业财务管理适应电子商务发展的要求。在电子商务下,交易在线化和虚拟化等在客观上要求缩短财务计划的时间,快速提高决策效率,这对企业财务管理适应性提出了很高的要求。同时,虚拟支付及其相应的网络操作安全性,增加了财务管理的难度。
1.2企业财务风险管理内容更加丰富
资金、劳动以及产品原料等是传统意义上企业财务管理最重要的构成元素。但是,电子商务的蓬勃发展,使企业生产、经营和管理的重点不断转移,企业最有竞争力的核心要素转化为技术优势、品牌优势、资源整合优势和创新能力等,专业技术知识和信息等的重要性日益突显。企业为了持续提升竞争力,在人才、技术等无形资产方面的投入不断增加,从而显著改变了企业的资本结构,也使企业财务管理重点从传统的有形资产转移到有形、无形资产并重的局面。此外,电子商务环境下,以B2C、O2O等为代表的引领着消费者个性化消费模式,使企业财务管理不得不把新型营销平台、移动支付技术以及相应的软、硬件等资本要素纳入到财务管理的内容之中。
1.3企业财务风险管理目标多样化
财务风险管理目标是企业经营目标在财务管理方面的具体表征,也是财务管理活动满足企业生存和发展需要保障。传统上,资本的时间价值、风险与投资回报等一直是企业财务管理的侧重点。在电子商务环境下,企业生产经营活动范围得到扩展,所产生的利益相关群体空前增加,财务管理的着眼点又不再局限于股东、利润等企业价值,同时还需要协调好客户、企业以及政府机构等利益相关者的关系,把社会价值也囊括到财务风险管理之中,建立起内涵更加丰富的财务风险管理目标框架。
1.4财务风险管理流程需要优化
传统的财务管理以包括诸多原始单据的记帐凭证作为会计帐簿的制作依据,并进一步整理生成财务报表。这一业务流程可归纳为财务预测、决策制定、预算制作、财务控制和分析等。然而,电子商务能够对企业业务流程进行再造,这也就要求财务风险管理必须同步完成优化。要实现财务管理与网络采购、网络营销等环节相衔接,确保企业正常的生产经营活动顺利开展。同时,考虑到网络时代供应链对企业发展的重大影响,财务管理活动还要特别注重网络询价、生产计划制订、应收帐款结算等方面的风险。此外,电子商务时代的企业财务风险管理还需要与客户以及政府相关部门协同,在网上订单确认与支持、网络报关与税收缴纳等方面提高效率,实现物流、资金流和信息流同步,因此,必须对财务风险管理进行流程优化。
1.5财务风险管控方法亟待创新
传统的财务风险管理主要通过名义货币进行会计核算。但是,这种方法越来越难以满足网络环境下电子交易发展的需要。在电子商务活动中,以网络银行、支付宝以及各种电子代币为代表的无纸化交易已成为重要的会计计量单位。同时,会计历史成本计量属性也难以描述企业的时间成本、人力成本等无形资产,企业财务风险管控的具体实现方法亟需创新,以切实提高企业在会计计量方面的可靠性。
2、电子商务环境下企业面临的财务风险
电子商务的发展极大的改变了企业财务管理环境,从而使企业产生了区别于传统商务环境的财务风险。
2.1财务信息安全
电子商务环境下,利用专业管理软件信息化、智能化和网络化等特点,极大地提高了工作效率,有效的替代了传统手工记账的陈旧管理方式。但是,财务数据具有较高的保密要求,一旦泄露产生严重后果,会对企业造成难以估量的损失。一方面,电子商务所处的互联网是一个开放的环境。网络的开放式协议允许信息以广播形式进行传递,极易被截获。即使是经过加密的财务信息,也可能由于口令失窃或身份识别功能缺失而被他人非法破译,威胁到财管信息安全。另一方面,企业在传输网络电子单据过程中,涉及到的环节较多,人为或软硬件漏洞是客观存在的,不可能得到完全消灭,极有可能被黑客非法利用。此外,对于网络上的财务信息失真问题也是当前电子商务发展过程中企业风险管理的不得不面临的难题之一。
2.2筹资风险
企业的发展离不开雄厚的资金支持。通常,电子商务企业创办和发展所需资金的主要依赖于固有资金和自筹资金。但是,由于初创企业投资成本较大,创业者的自有资金有限,难以满足发展需要;传统企业虽然具有一定数额的净资产,但是现金资产往往较少,维持企业运营的现金流并不充裕,在向电子商务转型的过程中,还需要发行股票、相关债券或是银行贷款。然而,电子商务在我国的发展仍然不够成熟,发行债券或是股票进行筹资并不容易。与固定资产等传统企业所重视的实物投资不同,发展电子商务更重视的是人才、技术、品牌等无形资产投资,难以向证监会等提供令人信服的可行性分析报告。由于保护投资人权益等原因,发行股票或债券的难度较大。同时,尽管向银行贷款也是筹资的重要渠道,但银行对电子商务企业放贷也存在着困难。由于我国的信用市场发展不完善,银行为了减少放贷风险,会严格审查企业的规模、发展和还款能力,而电子商务企业的可用于抵押的固定资产比例不高,导致贷款筹资困难。此外,由于我国资本市场上的金融工具较为匮乏,金融衍生品市场发展不完善,对在一定程度上限制了电子商务发展。
2.3用资风险
用资风险主要是企业在剧烈的市场波动中,由于经营环境突然恶化,利润下滑严重,导致经营难以为继所引发的财务风险。电子商务极大的改变了企业采购、生产以及后续的销售和服务模式,促使企业不仅要采用一系列新的计算机软、硬件设备,还需要对经营理念、制度设计以及相应的组织架构等进行变革,以适应电子商务发展的需要。企业在该过程中必然要面对和快速解决各种新的、从未接触过的问题,这势必影响到企业发展的平稳性,对企业正常的资金流动造成压力。特别是在开展电子商务活动之后,能否快速盈利以收回投资成本,减轻财务管理压力,也会影响股票市场、债权人以及风投机构等对企业的信心,对企业能否获得充足的资金投入至关重要。
2.4信用风险
传统商务环境下,纸质文件如单据签章、收发证明等充斥着交易的前期接洽沟通、谈判与订单确定、支付与发货等各环节。由于纸质文件在防伪、保存等方面的优势,在客观上能够有效保障商业活动参与方的合法权益不受侵害。电子商务则不同,交易双方往往通过虚拟网络完成整个商务活动,接洽面谈环节大为减少,认证方式多以数字签名等虚拟方式完成,财务管理面临着系统漏洞、安全技术不成熟等难题。同时,由于网络的匿名性和开放性,个人或组织信息不实、信用卡信息伪造等带来了诸如商品信息模糊、欺骗易等不法活动。交易双方的信息不对称现象在虚拟空间愈发严重,财务会计报告的真实性、合法性等难以得到有效保障,合同欺诈行为频频出现,财务信用难以在网络空间中得到体现,给企业的财务管理带来了极大风险。
3、电子商务环境下财务风险控制对策
3.1建立适应电子商务发展的财务风险预警机制
财务风险预警是企业化解财务风险的重要途径。电子商务环境下的财务风险预警机制,要求企业必须在财务状态监管的情况下,通过资源优化配置、运营策略转换等手段对潜在的风险进行预先判断、提前发现和及时处置。从短期风险预警来看,做好现金流量预算表对企业化解财务风险具有重要作用。因此,要大力发挥电子商务环境下信息快速传递和实时处理的优势,编制动态的现金流量预算表,密切监视现金流的数量、方向以及流转速度等指标,及时发现财务风险信号并做出相关的应急预案。从长期财务风险预警来看,债务偿还能力、利润率、研发能力等仍然是企业重要的财务指标。在企业发展过程中,要对这些指标进行风险组合,在加强管理的同时制定相应的风险应对措施,规避风险的发生。3.2提升电子商务环境下企业财务风险的内部管理水平电子商务环境下,企业财务风险的内部管理要从发展环境,前、中、后期信息沟通,以及交易、信用和安全等风险环节着手,分析相关的潜在风险等级,确定风险来源,使企业财务风险管理更具针对性。一方面,要综合运用信息技术强化控制,明确风险权责,把财务授权审批制度与相应的身份验证环节相匹配,把风险范围限定在特定范围。另一方面,做好财务系统与业务流程的对接,把财务风险与日常业务管理相融合,力争把财务风险控制由事后监督转化为事前预防与事中监管与一体的全程管理,全面提升财务风险内部管理有效性。
3.3建立网络财务安全保障体系
电子商务环境下,会计资料的构成发生重大变化,企业对对实时性强的财务报告更为倚重。这种财务报告以信息技术为依托,以互联网和内部网为载体,能够对企业电子商务活动中的财务状况进行实时分析和控制,提高企业财务风险管制能力。要以企业发展电子商务的实际需求出发,结合经济可行性、人员可操作性和后期的易维护性,建立以财务软件为载体的网络财务系统。同时,健全安全保障体系,在机构设置、人员管理、系统操作权限以及文档管理等方面都制定行之有效的措施,建立严格的网络财务会计制度。此外,还要在企业防火墙技术、系统漏洞扫描以及财务信息加密技术等方面加大投入,防范财务信息泄露。
3.4强化网络财务管理人员培养
电子商务风险管理范文6
1.1管理风险管理风险是指煤炭企业疏于人员、技术和交易流程的管理而产生的风险,这将使企业难以对交易中的细节进行把握。
1.2政策法律缺失的风险电子商务尽管在当前已被广泛地应用到煤炭企业中,但是相关的政策和法律法规还不够完善,导致电子商务项目缺乏法律有效的保护,从而给煤炭企业带来风险。
1.3投资风险在煤炭企业中运用电子商务交易将会造成较快的固定资产折旧和较高的淘汰率,这都将会给煤炭企业带来投资风险。电子商务的应用可能会给煤炭企业带来各种各样的风险,如果煤炭企业没有及时发现风险的存在并采取解决措施,将有可能发展成为重大事故,因此要想对电子商务带来的风险进行规避就需要建立电子商务的风险预警系统来实现,电子商务风险预警系统能够及时的对风险进行反应,并尽可能的消除危险,使电子商务的作用得以发挥,从而为煤炭企业电子商务提供技术支持。
2煤炭企业电子商务风险预警系统的作用
电子商务风险预警系统的实施需要依托煤炭企业中的信息网络,凭借现代化信息技术的优势对煤炭企业内部相关的资料进行收集,从而监控潜在的风险因素,包括对已知风险的动态监控和未知风险的监测,并通过预警模型对各种风险的危害程度进行划分,从而使预警工作更直观、更便捷,当前企业电子商务风险预警系统主要有以下功能。
2.1警源监控功能电子商务风险预警系统通过对煤炭企业的信息进行全方位的收集和分析,根据企业风险隐患和特点科学地设立警源,实现对企业所面临的种种不良因素及风险动态进行有效地监测,将风险扼杀在摇篮中。
2.2辨别评估功能预警系统中的指标体系能够对存在的异常情况进行深入性、持续性的监控,通过将监测对象与指标体系进行详细对比和辨别,从而对异常情况可能带来的风险进行评估,包括风险的涉及范围、危害程度和破坏性。
2.3防患防备功能风险预警系统除了能够对风险进行诊断和评估外,还可以根据风险的危害程度判断是否需要采取防备措施对风险进行控制,对于需要采取措施的高危害风险,预警系统可以根据风险的特点制定专门的防备方案,通过调动煤炭企业内部可利用的资源对潜在风险进行调控,在风险带来危害之前提前做好防备措施。
2.4协助企业决策基于网络技术的风险预警系统能够对每次预警工作的结果进行汇总和评估,从而对预警工作中的不足进行总结和改善,以提高煤炭企业的风险控制能力,预警系统对企业综合信息的监控和分析也是煤炭企业进行决策时的重要依据。
3电子商务风险预警系统的结构
煤炭企业电子商务风险预警系统的架构需要多方面工作的相互协调、共同协作来实现,其中包括对风险信息的收集、风险信息的识别、风险评估、风险预警报警以及风险预警与预控5项工作组成。
3.1风险信息收集电子商务风险预警系统要想对煤炭企业风险进行有效地分析,必须要建立在对大量信息进行收集的基础上。因此,风险信息收集工作是整个风险预警系统实施的根本,它也是预警系统的信息存储中心,可以对企业的产品信息、技术信息、安全信息、交易信息等数据进行及时的更新,以确保煤炭企业信息的时效性和准确性,企业风险信息的收集需要通过多种渠道进行,除了通过传统的信息渠道进行收集外,还应当积极运用互联网技术和企业内部信息网络,以保证信息收集工作的高效性。
3.2风险信息识别风险信息识别是在风险信息收集工作基础上进行的信息处理工作,它能够有效地对收集到的风险信息进行识别并排除非风险信息,从而实现原始信息的转化,它是整个风险信息预警系统中承上启下的环节,其运作绩效将直接影响到预警系统对象的选择,风险信息识别系统主要针对电子商务信息中的信息风险、信用风险、技术风险和投资风险等进行筛选。
3.3风险评估风险评估工作是风险预警系统对风险等级和危害程度进行划分的重要举措,它的实施依托于风险预警系统对风险动态趋向变化的监测工作,并依托模糊综合评价模型作为基础设立评估指标,然后对所得风险信息进行运算,最终对风险进行综合评价,并根据与评估指标的差异对风险进行分类。
3.险的预警报警风险预警报警工作是将风险评估的结果与煤炭企业电子商务风险的预警指标进行对比,从而判断风险指标是否超越警戒线,并结合预警工作做出相应的措施。如果对企业电子商务风险的评估处于正常波动范围内,则可进行常规的监控;如果对风险的评估接近或越过警戒线,则要着重进行监控,并进行及时反馈,做好风险处理的准备。
3.5风险的预警预控风险的预警预控工作需要结合风险报警工作所得结果进行,并针对风险给出相应的解决方案,最终将信息反馈到风险信息收集中心对其动态继续进行监控。
4电子商务风险预警系统在煤炭企业中的应用
电子商务作为一项新兴项目,煤炭企业在应用时可能会面临各种问题,甚至阻碍项目的推广,因此需要持续进行风险预警的实践,并吸取实践工作中的经验对风险预警系统进行完善,以保证电子商务风险预警系统功能的有效发挥。另外,预警系统要想顺利实施,还应当遵照以下内容进行。
4.1建立预警组织部门电子商务风险系统要想充分发挥其优势,需要企业相关职能部门的支持,因此煤炭企业风险预警系统实施的第一步就是成立专门的预警部门进行管理。由于该部门的特殊性,在对人员进行招募时应当对具有创新思想、细致严谨、乐于沟通且具有亲和力的人有所偏重。另外,还需要该部门的人员对煤炭企业内外部环境有所了解。为了保证预警组织部门工作的有序开展,还应当聘请相关的管理专家。
4.2加强煤炭企业内部控制对企业风险进行管理是煤炭企业内部控制的重要组成,而企业内部控制则是预防风险的有效手段,二者之间相互协调,协同合作,才能发挥出最大的优势。当前,在煤炭企业内部建立健全管理制度和控制制度能够有效地保证资本管理的科学化,完善煤炭企业严谨的内部管理工作,从而在企业内部建立透明、系统的管理体制,真正实现对企业内部的监控,及时地做好防范与控制工作。
4.3绘制警源分布图通过对煤炭企业电子商务风险相关的信息进行收集和管理,并根据电子商务风险警源分布的领域和环节进行警源分布图的绘制,将其作为风险预警的信息基础,以保证预警系统判断的准确性,从而达到降低煤炭企业电子商务风险的目的。
4.4建立健全风险指标体系煤炭企业电子商务风险系统要想对风险的动态变化进行科学评估、客观反应风险预警的状况并及时做出对应措施,就需要依托风险指标体系来实现。建立风险指标体系时需要依据科学、时效、灵活、稳定等特性进行,并对整个风险指标体系进行科学划分,使划分的各个模块之间能够相互补充且不重复,从而发挥出各个模块的作用,最终综合成煤炭企业的电子商务风险指标体系。
4.5升级预警反应机制风险预警系统的作用不仅是对风险进行发现、监测和警示,也能够对已确定的风险进行处理,使风险的危害程度降到最低,这就需要煤炭企业对预警反应机制予以升级,从而保证预警系统对突发事件的处理能力。另外,为了顺利的使预警反应机制在煤炭企业中实施,还应定期举行以风险为主题的培训活动,切实的提升煤炭企业对风险的快速处理能力,并对拟定的风险策略的可行性进行检测。
4.6提升预警技术电子商务仍在不断地发展升级,相应的风险预警系统也应当紧跟电子商务发展的脚步,煤炭企业应根据国际当前的风险管理思想和体系,积极引入先进的风险管理技术,并结合煤炭企业自身特点建立和完善企业电子商务风险管理系统,提升企业对风险的预警、控制和管理水平。
5结论
