前 言
信息科技已经成为银行业金融机构实现经营战略和业务运营的基础平台以及金融创新的重要手段。银行业对信息科技的高度依赖,决定了信息系统的安全性、可靠性和有效性对维系整个银行业的安全和金融体系的稳定具有至关重要的作用。
银监会党委对信息科技风险监管工作高度重视,刘明康主席多次召开专项工作会议并做出重要批示和指示,明确要求着力推进信息科技风险监管。银监会坚持贯彻“管法人、管风险、管内控、提高透明度”的监管理念,把信息科技风险纳入银行总体风险监管框架,切实加强制度建设和风险监控,确保银行业信息系统安全稳定。
在目前信息技术革新日新月异、金融业务不断创新、银行对信息科技依赖性越来越大的新形势下,银监会坚持“风险为本”的监管原则,提出了信息科技风险功能性监管的新思路,突出“制度先行”,完善监管框架,借鉴和吸收国际先进标准及业界最佳实践,不断丰富信息科技风险监管方式方法,制定了一系列的监管规范,结合奥运保障开展现场检查,并针对性地发出有关风险提示,建立非现场监管体系和监管评级体系,从而构建了信息科技风险监管的基础框架,全面展开信息科技风险的监管工作。
按照郭利根副主席提出的“集成资源,形成信息科技风险监管合力”和“搞好规划,全面加强信息科技风险监管制度建设”要求,银监会强化机制建设、优化资源配置,整合科技人力资源,集中全国银监会系统科技骨干力量,在北京成立了信息科技监管“专项工作组”,又在上海、深圳两地分别成立信息科技风险监管工作室,按照统一调度、统一指挥、统一培训的工作原则,制度建设、奥运保障、现场检查、非现场监管及监管评级五线并举,形成了矩阵式的监管工作模式,快速锻炼了一支能战会战、能够担当重任的信息科技风险专业化监管队伍。
《手册》的编写得到了各方的大力支持。上海、湖北、安徽、山东、山西、江苏、江西、河南、内蒙古、黑龙江、青岛、福建、河北、宁夏、辽宁、吉林、浙江、四川、深圳、广东、天津、重庆、大连、云南、贵州银监局派出精锐技术骨干,参加《手册》编写工作;银监会各部门与各银监局提出了许多宝贵意见;上海银监局为编写工作提供了大量支持和保障工作。整个《手册》内容融合了银监系统内信息科技人员的经验和智慧,汇聚了银监会各部门与各银监局的宝贵意见和建议,应属于银监会系统及科技人员共同努力的成果和结晶。在此,向所有参与工作的单位和个人致以诚挚的谢意!
编写人员
|
林 丽 |
朱永扬 |
徐卫飞 |
李 丹 |
骆絮飞 |
邹 伟 |
房世晖 |
|
崔维琪 |
朱 斌 |
冯业伟 |
叶 照 |
乔昱瑞 |
纪奀 武 |
齐兴利 |
|
吴瑞麟 |
张 伟 |
张惠芳 |
李晓东 |
陆 阳 |
陆 翔 |
陈云龙 |
|
陈宏宇 |
周嘉弘 |
郝海峰 |
杨中华 |
崔 晨 |
盛于南 |
游 琨 |
|
谭 杨 |
史文明 |
何 禹 |
靖雪晶 |
徐美东 |
徐殿南 |
刘 楠 |
|
李 鹏 |
李海波 |
包 禹 |
殷有超 |
|
|
|
第一部分 概述
1.银行信息科技风险及其监管
1.1 银行信息科技风险
定义银行信息科技风险,既要考虑银行的金融特性,也要考虑信息技术本身的特点。银行作为金融机构,其信息科技程度可以直接或间接影响资金融通活动过程,其本身也存在决策问题,也可能因为信息科技某些因素的变化导致银行资金、财产、信誉遭受损失。
银行信息科技风险是指银行在使用信息技术过程中,由于信息技术因素或与信息技术相关因素,导致银行经营不确定、管理不利,并最终导致资金、财产、信誉遭受损失的可能性。其中的信息技术包括计算机硬件、软件、网络通讯设备,各种银行终端设备等。
1.2 银行信息科技风险特点
技术性。银行信息科技本身是利用现代信息技术改造银行经营、管理方式,从而提高生产效率的过程,他涉及现代计算机技术、网络通讯技术、安全技术等多方面技术问题,一旦出现问题,都体现了其技术含量极高的特性。
突发性。信息科技风险的突发性体现在两个方面,一是自然灾害的突发性,导致银行由于信息技术领域的基础设施遭到破坏,造成银行财产损失或业务中断,使银行产生风险;二是由于信息过程的技术性,只要任何一个环节突发故障,都可能造成整个系统无法使用,从而给银行形成风险。
传递性。由于计算机网络快速传递的特点,一旦系统出现故障,可以使金融风险迅速从局部蔓延到整个网络涉及的每一个部分,从而导致风险的进一步加剧。
广阔性。由于金融在经济发展中的核心地位越来越得到大家认可,因此一旦因为信息技术导致银行产生风险,其影响非常广阔,它不仅涉及千千万万的普通老百姓、大大小小的企事业单位,更是影响社会的方方面面,甚至会对整个社会秩序带来极大的负面影响。
多元性。传统的银行风险,多发生在银行营业场所,通过银行柜台、ATM 等有限的经营场所形成。但在银行信息技术大量运用以后,使得银行风险既可以通过原有渠道形成,也可以通过电话、POS、计算机、电视和手机等任何接入网络的终端设备形成。表现出风险形成的多元性。
多方性。随着银行信息技术的发展,保证银行正常经营不止银行本身,电信部门、电力部门、产品提供商、服务提供商和商家都已成为银行正常经营的一部分。往往银行业务系统一旦出现故障,容易出现责任无法鉴定的情况,也常常给问题的快速解决带来影响。
1.3 风险成因分析
信息科技风险形成原因是多方面的,既有信息科技自身的特点所决定的内部因素,也有自然灾害,人为失误和故意破坏的外部因素,归纳起来主要有以下几种:
信息技术的缺陷,使风险不可避免。现代信息技术虽然取得了长足的进步,对社会经济发展、对银行业的发展做出了很大贡献,但现代信息技术也不是完美无缺的,其本身也经历发展和完善交替进行的过程。大致来说,信息技术诱发风险表现在以下几方面:一是由于网络设备生产技术不过关、网络通讯技术不够先进、或者网络设备管理水平不到位等因素,使得一些不可预见的原因导致网络出现故障,从而影响到银行业务的正常进行给银行带来损失;二是由于操作系统或者数据库管理系统漏洞原因,导致数据损坏、系统受到攻击或者应用系统无法正常运行等问题,从而给银行带来风险;三是由于各类应用系统设计的不科学、不合理,或者隐藏未发现的瑕疵,致使业务运行中断、或者数据错误导致出现风险;四是安全技术运用不当,或者安全技术不过关也是诱发风险发生的一个主要原因;五是由于认证技术不过关,导致出现资金丢失或被骗取等问题,给银行和银行客户造成损失。
信息科技的广阔性,使风险面扩大。一方面,银行几乎所有的业务都使用了信息技术,使得信息技术在银行经营中无处不在;另一方面,银行由于信息技术的使用,使得银行业务延伸的广度和深度发生了很大变化,特别是网络技术的应用,电子银行的发展,使得银行的业务操作不再仅仅局限于银行内部员工,银行业务的操作已成为全社会的行为。正是由于这些特性,使得银行出现了一些新的风险因素:一是由于客户的误操作造成诸如信息泄露等问题,导致银行或客户财产损失;二是攻击由于网络和银行的各类终端面向全社会,使得不法分子利用网络漏洞进行攻击,盗取银行资金或者进行恶意破坏,给银行造成损失;三是容易受到计算机病毒的攻击和破坏,从而造成损失。
自然灾害客观存在,使风险难免出现。自然灾害的破坏力往往是惊人的,它可以破坏银行信息科技过程中的一些关键场所和关键设备,如机房、各类设备、通讯设施,以及关键的银行业务数据等,从而导致银行无法正常经营,财产受到直接和间接损失等风险。
制度措施不到位,形成风险隐患。制度因素体现在以下四个方面。一是外部法律法规不健全。信息技术的发展往往先于法律法规,当银行使用一项新的信息技术时,如果没有相关法律法规的及时跟进,就会在行为出现争议时没有法律依据,从而导致银行面临诉讼、赔偿和合同失效等法律风险,特别是目前电子银行的快速发展,这一问题显得更加突出;二是内部管理措施不到位。银行大量使用信息技术以后,其业务流程发生很大变化,如果银行管理方式不跟着改变,内部管理制度不及时跟进,就会出现因为内部人员钻制度漏洞而作案的风险;三是安全措施风险。安全技术不到位会给银行造成风险,但如果与之配套的安全管理规章制度能够到位,同样会给银行带来损失,如果相应制度到位,可以大大减少此类风险;四是因技术外包导致风险。随着银行信息科技的发展,银行出于技术人员短缺和降低经营成本两方面的考虑,会将技术外包给专业的信息技术服务商,通过付给一定的费用,由其代为开发、维护和管理等,但这样的做法同样会导致信息系统失控、服务不能满足需要和商业信息泄露给竞争对手的风险。
1.4 信息科技风险监管意义
在银行业高度依赖信息技术的今天,因信息技术诱导金融风险的不确定因素增多,复杂性加大,信息科技风险上升。开展银行信息科技风险监管,将在一定程度上减少或杜绝银行因信息科技而给自身或客户带来损失。其意义在于:
第一,督促银行业信息科技健康稳定的发展。我国银行信息科技发展最大的一个弱点是规划性不强,没有一套统一的标准来规范和引导银行信息科技发展的道路。开展银行信息科技风险监管,银监会将会陆续出台相关的监管标准和评级标准,相信这些措施将是我国银行业信息科技过程中重要的参考依据,这也将必然引导我国银行业信息科技发展的道路更加规范。
第二,促进银行业金融机构内控能力的提高。开展银行信息科技风险监管,对银行业金融机构加强信息科技管理水平、开展内部信息审计提出了很高的要求,银行业金融机构必然采取措施,避免风险的出现,这将在一定程度上促使银行加强内部管理,对银行提高内控水平是一次促进和提高。
第三,维护金融体系的安全运行。由于信息科技本身的特点决定,一旦信息科技风险出现,影响面将非常大,特别是由于网络普遍运用,风险不仅涉及自己,也会涉及其他银行,甚至有可能是银行以外的证券、保险机构。因此开展银行信息科技风险监管,将有利于维护整个金融体系得安全运行。
第四,保证银行客户的合法利益。银行金融机构是高负债的行业,一旦出现风险,将直接影响到其客户的利益,因此确保银行在信息科技背景下安全运行,也是对其客户利益的最大保护。
2.现场检查一般流程
现场检查程序包括现场检查准备、现场检查实施、检查后续工作三个阶段。
2.1 现场检查准备阶段
对一个现场检查项目,现场检查前准备工作应包括以下内容:
一、确定现场检查对象。一般情况下,应在每年初制定年度现场检查计划,并确定现场检查对象。确定检查对象的依据:一是银监会的指导意见、工作安排,二是对被监管机构进行检查的时间间隔情况,根据分类监管原则,对不同风险的机构检查频次应不同,但建议至少每 2 年对一家机构应进行一次全面现场检查,三是被监管机构的动态情况。如果某机构出现异常情况,可随时安排对该家机构的专项或全面检查。
二、制定现场检查草案。确定检查对象后,应根据该机构情况制定检查草案,检查草案应包括检查目的、检查类别(全面或专项)、检查范围(单家机构、某类机构、总部、分支机构)、检查内容(全面检查,应包括系统各个方面,专项检查,可只查某一方面或几个方面)、检查重点(应根据检查目的确定检查重点)、检查期间等。
三、确定现场检查人员。银监会组织的现场检查,由银监会从银监局统一抽调人员参加检查;银监局自行安排的检查,由银监局自行组织人员检查,必要时可以提请银监会在系统内集中抽调人员开展检查。检查人数应根据被检查银行信息科技发展情况确定,不得少于 2 人。检查人员一般应具有信息科技背景,必要时可以适当补充部分业务人员参加。
四、发送并回收现场检查前问卷。确定检查对象后,应在正式进点前向被检查银行发送检查前问卷。问卷要使用统一格式。发送问卷一定要明确填报要求,包括填报资料的截止日期、回收问卷的时间等等。为保证检查人员有充足时间阅读、分析问卷,应在进点前 10 天以上回收问卷,并对错报漏报的项目立即要求被检查银行重报或补报。
五、收集其他与被检查银行有关的信息。除向被检查银行发出现场检查前问卷外,还应收集与本次检查有关的文件及其他资料,如有关的政策法规文件、被检查银行以往报送的资料及监管部门对该机构历次检查材料以及群众举报材料等。
六、对所有资料进行分析研究。检查组成员应对回收的检查前问卷、收集的其他资料进行整理、研究和分析,熟悉有关法规及被检查银行情况,找出可能发现的问题线索,为正式进点检查做准备。必要时应于检查前将所有检查人员集中一段时间专门阅读检查前问卷和其他有关资料。
七、确定现场检查方案及人员分工。根据对有关资料的分析研究,检查组织者应在检查草案在基础上,制定检查方案,并明确人员分工和具体检查进度。一般一个检查组应设组长名(必要时可设副组长 1 名),主查人 1 名(必要时可设副主查人 1-2 名)。组长全面负责现场检查项目的组织协调和实施工作,包括审定检查方案,组织进点、离点会谈,与被检查银行就有关问题进行协调,修改审定现场检查报告,提出处罚意见和建议等。主查人负责检查方案的拟订、检查进度的安排、人员分工、各小组之间的协调、事实确认书的审核、检查事实与评价的起草、汇总检查报告、拟定现场检查意见书及行政处罚意见书等工作。一个大的检查组还应根据工作量情况分为若干工作小组,对不同的检查内容分别进行检查。
八、发送现场检查通知书。在确定现场检查方案后,应向被检查银行发送现场检查通知书,并最好在进点前 5 天送达被检查银行(突击性现场检查可在进点检查时当场出示检查通知书除外)。原则上,谁组织检查谁出具现场检查通知书。
2.2 现场检查实施阶段
现场检查实施阶段包括进点会谈、分工检查和离点会谈。
一、进点会谈
进点会谈标志着现场检查的正式开始。进点会谈应要求被检查银行管理层相关成员及检查组所有成员共同参加。进点会谈的目的,一是通报现场检查的目的、内容、初步计划和安排,介绍检查组成员;二是向被检查银行提出配合检查的有关要求(如提供工作场地、及时提供资料等);三是请被检查银行介绍有关情况,并对检查组需重点了解的问题进行交流。进点会谈的时间长短可视会谈情况灵活掌握。
二、分工检查
(一)对每项业务检查,都应形成工作底稿。工作底稿是对检查过程的记录,既是对工作量的统计,更是对检查事实的描述,是形成检查事实与评价及汇总报告的来源和基础。因此,工作底稿既要记录问题,也要记录其他客观情况。一般工作底稿应包括检查日期、检查人、检查项目、客观描述、发现问题、分析评价、初步定性等内容(见工作底稿格式)。必要时在要对检查过程中内容定期进行小结。
(二)对检查发现的每项问题,都应该及时取证。如通过谈话发现的问题,应要求被谈话人在谈话记录上签字;对查阅文档发现的问题,应复印有关资料,并在资料及检查人员工作底稿上由被检查单位加盖公章。
(三)每日小结。每天检查结束后,组长或主查人应召集所有检查组成员开碰头会,一是各小组交流当日检查情况及发现问题;二是根据检查情况确定次日的检查重点和内容,并对检查进度进行必要调整;三是提出需与被检查银行进行沟通的事项。
(四)分组检查结束后,主查人应指派检查人员分项整理汇总工作底稿,形成事实确认书,对检查中存在问题的事实进行列举和描述(只记录事实,不做任何评价)。事实确认书要及时送被查银行签字确认。
三、离点会谈。
所有检查项目结束后,应与被检查银行举行离点会谈。参加离点会谈的人员与参加进点会谈的人员应一致,由组长或主查人通报现场检查事实与评价,并听取被检查银行的意见。
2.3 现场检查后续阶段
现场检查后续阶段包括向被检查银行发送《检查事实与评价》、撰写现场检查报告、下达现场检查意见书、下达行政处罚告知书(需要时)、下达行政处罚决定书(需要时)、后续跟进检查和检查资料归档等。
一、发送《检查事实与评价》。根据离点会谈沟通情况,修改检查事实与评价,由现场检查项目的组织机构向被检查银行发送《检查事实与评价》,并要求被检查银行在 5 个工作日内反馈书面意见。
二、撰写检查报告。根据《检查事实与评价》反馈意见,形成现场检查报告。检查报告应包括以下几部分:1、检查开展情况;2、被检查银行基本情况;3、检查事实与评价;4、检查组与被检查银行存在的主要分歧;5、对检查中发现问题的处理意见;6、对监管工作的建议;7、其他需说明的问题。
三、下达行政处罚意见告知书。如需对被检查单位违规问题进行行政处罚,应向其下达《行政处罚意见告知书》,告知做出处罚决定的事实和依据,同时告知被检查单位有权在收到《行政处罚意见告知书》5 个工作日内进行陈述和申辩,或对重大行政处罚决定要求举行听证会。
四、下达行政处罚决定书。如被检查银行在规定时间内未提出陈述和申辩,或监管部门认定被检查银行提出的申辩理由不充分,应根据原处罚意见予以处罚,并向被检查银行下达《行政处罚决定书》。《行政处罚决定书》的内容包括:违反法律、行政法规和金融规章的事实和证据,行政处罚的种类和依据,行政处罚的履行方式和期限,申请行政复议或提请行政诉讼的途径和期限等。
五、后续检查。收到被检查银行的整改计划后,检查组一方面应跟踪整改计划的落实情况,另一方面应在适当时间(一般为现场检查意见书中规定的所有整改项完成时间)对其整改情况进行检查验收,即后续跟进检查,并对后续检查情况做出评价和报告。如后续检查发现被检查银行对上次检查发现的问题没有彻底纠正或又有新问题发生,应从严处理。涉及行政处罚的要加重处罚,不涉及处罚的可从审慎监管角度对其业务及机构准入进行适当限制。
六、检查资料归档。所有检查及处理过程结束后,检查组应对检查资料进行整理并归档。归档资料应包括:检查方案、检查前问卷的反馈材料、检查通知书、工作底稿、证明材料、检查事实确认书、检查事实与评价及反馈意见、现场检查报告、《现场检查意见书》、《行政处罚意见告知书》、《行政处罚决定书》、后续检查所有有关资料等。原则上,检查档案应由被检查银行的属地监管局留存,检查组有权调阅。
3.常用检查方法
询问:向适合的人员询问有关控制运作的资料。
交叉/确证询问:除实施适当测试手段外,通过询问企业内其它人员
,验证控制的执行情况。这个过程的目的在于确认控制使用的有效性及一致性。
观察:观察控制运行的实际情况。
审阅:检查控制生成的记录和文件,作为控制设计和执行情况的证据。
重新运行:重新履行某些控制程序,以证明其运行是正确的。
能力评估:综合运用询问、文件检查、重新履行等手段,可以测试某个管理人员在某一领域的知识及其实施某项控制程序的胜任能力。
系统验证:测试信息系统中的自动化控制是否按设计要求运行。
穿行性测试:追踪交易在信息系统/业务流程中的处理过程,以证实所了解的流程与控制。一般可与询问方法一起执行。
分析性复核:分析重要的比率或趋势,调查这些比率或趋势的异常变动及其与预期数额和相关信息的差异。
数据验证:直接抽取数据进行完整性与准确性的验证。
第二部分 科技管理
×××××分行(部/处室/支行/办事处/公司):
提示:本现场检查事实与评价系我局依法对你单位实施现场检查后形成的,并向你单位下发。除法律另有强制性规定外,未经我局同意,你单位及其工作人员均不得以任何方式向其他任何机构或个人披露本文件的任何内容。同时,我局及其工作人员依法对本文件内容保密。
根据中国银行业监督管理委员会××××厅/部/局关于《关于开展×××××专项(全面)检查的通知》(银监办通〔200×〕×××号)要求,我局检查组于××××年××月××日至××××年××月××日对你分行或××部/处室/支行/办事处/公司××××年××月××日至××××年××月××日的××××××××进行了现场检查。现将检查情况反馈如下,请你分行对相关事实予以确认。你分行如对《检查事实与评价》材料无异议,请你分行负责人在《检查事实与评价》上签署无异议意见,签字并加盖公章;如有异议,请你分行于
年 月 日前书面回复我局,逾期未反馈意见的,视为对《检查事实与评价》无异议。
一、总体评价
略~
二、检查中发现的问题
(一)××××××××问题
拟写要求:
1、检查事实评价结论(根据检查事实与违规条款作出客观定性评价)
2、主要事实(时间、单位、事实过程等)
3、违规条款
(二)××××××××问题
1、略
2、略
处室负责人签名: 签字日期:
检查组组长签名: 签字日期:
主查员签名: 签字日期:
发表评论