中国银行业信息科技“十二五”发展规划监管指导意见(农村金融机构篇)

时间:2019-05-12 01:39:06下载本文作者:会员上传
简介:写写帮文库小编为你整理了多篇相关的《中国银行业信息科技“十二五”发展规划监管指导意见(农村金融机构篇)》,但愿对你工作学习有帮助,当然你在写写帮文库还可以找到更多《中国银行业信息科技“十二五”发展规划监管指导意见(农村金融机构篇)》。

第一篇:中国银行业信息科技“十二五”发展规划监管指导意见(农村金融机构篇)

中国银行业信息科技“十二五”发展规划监管指导意见之农村金融机构篇

中国银行业监督管理委员会

二○一一年六月

目 录

第一章

信息科技发展状况.............................................................................................................................3 第二章

面临的机遇和挑战.............................................................................................................................6 第三章

信息科技发展目标、原则与实施策略.............................................................................................6 第一节 总体目标.........................................................................................................................................7 第二节 指导原则.........................................................................................................................................7 第三节 实施策略.........................................................................................................................................8 第四章

完善信息科技治理,明确信息科技发展方向.................................................................................8 第一节 完善信息科技管理机制,凝聚信息科技风险管理合力..............................................................9 第二节 制定和完善信息科技战略规划,提高信息科技核心能力..........................................................9 第三节 加强人才队伍建设,提升信息科技专业服务能力....................................................................10 第四节 加大信息科技投入,保障信息科技稳定发展............................................................................11 第五节 加强制度和标准建设,推进信息科技规范化管理....................................................................11 第五章

加强基础设施建设,保障系统安全稳定运行...............................................................................12 第一节 推进数据中心和灾备体系建设,保障业务持续发展................................................................12 第二节 加强网络系统建设,保障网络系统安全....................................................................................12 第三节 加强系统平台整合,提高信息科技管理水平............................................................................13 第六章

推进应用系统建设,满足业务发展需要.......................................................................................14 第一节 优化综合业务系统,夯实业务发展基础....................................................................................14 第二节 加强电子渠道建设,贯彻惠农金融服务宗旨............................................................................14 第三节 持续完善各类应用系统,丰富农村金融服务手段....................................................................15 第四节 推进风险管理系统建设,夯实风险管理基础............................................................................17 第五节 加强管理信息系统建设,提高科学决策水平............................................................................17 第七章

提高信息科技风险管理水平,有效防范信息科技风险...............................................................18 第一节 强化信息科技风险管理,提高信息科技风险防控能力............................................................18 第二节 建立信息安全保障体系,提高信息安全管理能力....................................................................19 第三节 加强应急体系建设,提高业务连续性.......................................................................................20 第四节 加强运行服务管理体系建设,实现持续有效运行....................................................................21 第五节 加强项目规范化管理,提升应用系统质量................................................................................21 第六节 加强信息科技外包管理,防控外包风险....................................................................................22 第一章

信息科技发展状况

“十一五”时期,我国现代农业加快发展,新农村建设扎实推进,农村金融体制改革不断深化;农村金融机构积极开展信息化建设,信息科技基础设施不断完善,信息系统规模不断扩大,管理信息化程度不断提升;以综合业务系统建设为标志,支付结算系统、中间业务系统、信贷管理系统等一系列应用系统相继投入使用,电子渠道逐步完善,金融产品逐步丰富,有力支持了农村金融服务均等化建设。

─ 综合业务系统建设取得进展。农村金融机构采取集中共建方式开展省域综合业务系统建设,对公、对私、银行卡和中间业务逐步整合,实现了省域数据集中处理,逐步规范了业务处理和管理流程,初步建立了城乡一体化的金融服务网络系统,畅通了农村金融支付渠道,为支撑业务快速发展夯实了基础。

─ 基础设施建设明显加快。省域数据中心相继建成,机房建设大部分达到国家A级标准,具备相对完善的供电和后备电源系统,配臵了大型精密空调和自动消防系统,建立了配套的环境、设备监控系统;覆盖广大农村地区的网络系统基本建成,采用高性能、高冗余核心网络设备,采用多运营商线路,网络的负载能力和可靠性大大提高;部分农村金融机构开始构建灾备系统,从数据级备份向应用级备份转变。

─ 电子银行体系初步建立。农村金融机构电子渠道日益完善。通过部署自动存、取款机和转账终端等设备,不断优化自身金融服务体系。部分机构建成了网上银行、短信银行、手机银行、电话银行等系统,有效延伸了农村金融服务渠道。─ 信贷管理系统相继建成。农村金融机构信贷管理系统相继投入使用,实现信贷业务由手工操作向电子化操作的转变,工作效率日益提高,工作流程日趋规范。客户信用评级体系开始构建,事后监督和内部审计等系统建设工作开始起步。在强化信贷风险管理的同时,也为丰富信贷产品打下了良好基础,“十一五”末,易贷通、农户联保通、安居贷、创业贷款等大量基于信息技术和管理创新的农村信贷产品不断涌现。

─ 管理信息系统不断丰富。财务管理、报表管理、绩效考核、综合查询、办公自动化等管理信息系统建设陆续开展,促进了管理水平和办公效率稳步提高,经营管理决策的科学性和有效性逐步增强。

─ 省域信息科技集约化管理框架逐步形成。以省域数据中心为依托,农村金融机构省域管理体系逐步形成。垂直型、集中化的信息科技管理框架初步建立。信息科技规划建设、运营管理和服务保障的层次与水平明显提高,在满足基层法人机构经营管理和业务发展需求的同时,信息化建设和管理成本大大降低,积极推动了农村金融业务发展。

─ 信息科技治理架构初步建立。开始启动信息科技治理架构建设,大部分农村金融机构设立了信息科技专业委员会,信息科技部门的职责进一步明确,基本建立涵盖基础设施、项目管理、开发管理、生产运维、安全管理等方面的制度框架,部分农村金融机构推进信息科技风险管理工作,开展信息科技审计工作。信息科技人员数量稳步增加,人员素质逐步提高。在充分肯定成绩的同时,也需要认识到存在的问题和不足,主要表现在以下方面:

─ 信息科技治理机制不健全,战略规划不清晰。目前,多数农村金融机构还不能按照现代农村金融企业制度要求,建立起决策、执行、监督相结合的科学管理机制,缺乏整体业务发展战略,信息科技战略规划不够清晰。在信息科技治理方面,董事会和高级管理层对信息科技的战略意义认识不足,对自身的信息科技治理责任认识不清,决策和监督机制缺位,信息科技风险“三道防线”机制尚未形成。

─ 信息科技管理机制不完善,信息科技风险管理权责不清晰。目前,农村信用社在管理体制、产权制度、法人治理、运行机制等方面不够健全,在信息科技建设、管理、服务机制方面存在着权利和责任不匹配、职责边界不清晰、激励和约束机制不健全的问题。同时,由于农村金融机构机构间、地区间差异程度大,在坚持建设集约化信息服务平台、降低建设成本、提高运营管理专业化水平基础上,需要进一步支持不同地区法人机构差异化的业务需求。

─ 信息科技风险管理水平较低,信息安全防护能力不足。在信息科技风险管理组织架构、管理制度、专业人才以及专业技术手段等方面,农村金融机构较为薄弱,在敏感数据保护、外包管理、应急管理能力等方面亟待加强。

─ 信息科技建设投入不足,基础设施较为薄弱。受经济条件等因素制约,农村金融机构在信息科技基础设施建设方面投入普遍不足。基础设施相对薄弱,可持续发展能力不足,安全隐患较为突出;部分 省级农村金融机构尚未开展灾备体系建设,抵御区域性灾难能力比较薄弱。

第二章

面临的机遇和挑战

“十二五“规划纲要明确提出“强农惠农,加快社会主义新农村建设”的战略目标,在工业化、城镇化深入发展中同步推进农业现代化。“十二五”时期,是我国农村金融机构深化改革、优化服务的关键时期,需要着力推进产权改革和发展方式转变,建立现代农村银行制度,为农业、农村现代化建设提供有力的金融支持。为更好地支持农村金融服务与创新,更好地支持建立健全适应“三农”特点的多层次、广覆盖、可持续的农村金融体系,金融创新、服务提升、风险管理对信息科技深入应用的需求日益迫切,农村金融机构需要大力提高信息科技对业务发展的支撑力度,着力推动金融产品和服务方式创新,保障业务安全、稳定、持续运行。与此同时,经济和金融环境的深刻变化,对农村金融机构风险管控和服务改进提出了新的挑战。我国农村金融机构数量多、发展差异大,基础相对薄弱;在加快推进信息化建设过程中,需要有效解决治理结构、内控机制、发展战略、人力资源等问题,有效强化信息科技风险管理。

第三章

信息科技发展目标、原则与实施策略

第一节 总体目标

“十二五”时期,农村金融机构应以科学发展观为指导,坚持自主创新,以信息科技推动服务和产品创新,提高服务水平,促进农村金融业务稳定、健康和可持续发展。要健全信息科技治理体系,建立科学的决策、监督机制;加强基础设施建设,保障业务持续运行;加快应用系统建设,满足农村多元化的金融服务需要;加强风险管理系统建设,提升农村金融机构风险管理能力。

第二节 指导原则

“十二五”期间,农村金融机构信息科技发展应坚持“技术与管理并重,先进性与实用性相结合、统一性与差异性相结合”的原则。

─ 坚持技术与管理并重原则。要通过组织保障、制度保障,规范管理流程,落实管理措施,不断提高管理精细化水平,不断深化信息技术运用,发挥信息科技核心竞争力。

─ 坚持先进性与实用性相结合原则。要积极借鉴和应用先进的理念、方法、技术和产品,在坚持先进性与前瞻性同时,注重适应性改造工作,因地制宜,符合农村金融机构信息科技建设发展的阶段性。

─ 坚持统一性与差异性相结合原则。在深化基层法人机构与省联社改革过程中,农村金融机构信息化建设应遵循信息科技发展的一般规律,坚持集约化建设原则,规范流程、标准;同时,要着力支持基层法人机构差异化的产品需求,满足“三农”个性化金融服务需要。

第三节 实施策略

为保障“十二五”时期信息科技主要任务的完成和总体目标的实现,采取“加强领导、统筹规划,积极探索、分步推进”的实施策略。

─ 加强领导、统筹规划。农村金融机构董事会和高级管理层要加强信息科技工作的组织领导,统筹规划信息科技发展总体目标与主要任务,加大投入,充分调动各方面的积极性和主动性,群策群力,形成信息科技建设合力,着力缩小与大中型银行在信息科技建设方面的差距。

─ 积极探索、分步推进。要全力打造农村金融机构信息科技专业人才队伍,逐步提高自主研发和管理能力,增强对核心技术与产品的自主掌控能力,积极应用先进、成熟的技术、产品;要充分利用社会资源、借助社会力量,积极探索战略合作方式,加大经验交流和资源共享力度,提高产品研发、部署能力,降低信息科技建设成本,满足农村地区金融服务需求。要坚持循序渐进、分步实施、持续改进,促进信息科技建设整体协调发展。

第四章

完善信息科技治理,明确信息科技发展方向

科学分析和评价自身发展水平,明确信息科技发展目标、方向,推进信息科技治理,建立信息科技风险管理机制。第一节 完善信息科技管理机制,凝聚信息科技风险管理合力

进一步明确董事会、高级管理层信息科技风险管理职责,强化责任意识,将信息科技工作纳入日常议事范畴,科学决策信息化战略、信息化建设和科技风险管理重大事项。省联社应着力完善治理架构,设立信息科技管理委员会,推进首席信息官制度,履行管理职责;要加强制度建设,完善决策程序;要明确风险管理部门和审计部门的信息科技风险管理职责,设立信息科技风险管理和审计专业岗位。

在推进改革与转换经营机制过程中,应逐步建立符合现代农村金融企业制度的信息科技管理体制、机制,按照改革发展方向,完善信息科技决策、监督机制,完善信息科技建设、管理与运行机制。要科学构建省联社和基层法人机构信息科技运行管理机制,省联社应推进后台集约化建设与服务,加强信息科技专业化建设和精细化管理,有效支持基层法人机构信息科技服务的差异化需求;要完善信息披露机制,充分发挥基层法人机构监督作用,基层法人机构要有效参与信息化建设和管理决策过程。

第二节 制定和完善信息科技战略规划,提高信息科技核心能力

充分借鉴行业先进管理与技术经验,利用后发优势,坚持走可持续发展之路。坚持服务“三农”市场定位,结合支农金融服务发展战略,顺应农村金融市场发展趋势,科学制定信息科技中长期发展规划,明确信息科技建设和管理阶段性目标,提升农村金融机构核心竞争力。规范基础架构。加强基础设施集约化建设,加强基础设施规划和整合,建立安全可靠的数据中心基础设施,满足未来五至十年的业务发展需求;合理部署网络、主机、存储、系统、数据库等资源,提升资源共享水平,提高资源利用率,降低基础设施能耗。

优化应用架构。加大应用流程再造,参照前端渠道层、客户服务集成层、业务处理层以及管理分析层等应用体系构建模式,建立灵活、可扩展的层次化、模块化、一体化的应用架构,加强应用集成能力,提升农村金融服务支持能力与产品创新能力。

小(新)型农村金融机构在风险可控的前提下,应根据自身发展水平、阶段,选择适当的信息科技发展与建设模式,倡导其充分利用省联社集中业务处理平台,延伸支农金融服务的地域范围,降低信息科技投入成本,走集约化的信息科技发展道路。

第三节 加强人才队伍建设,提升信息科技专业服务能力

加强信息科技人才队伍建设,制定信息科技人力资源规划,积极引进信息科技专业人才,打造结构合理、技术过硬的农村金融科技专业人才队伍,人员数量应与业务发展规模、信息科技发展水平相适应;到“十二五”末,农村金融机构信息科技人员占比原则上应不低于3%;县域法人机构应保持合理的信息科技人员数量,保障农村金融科技基础服务能力。建立和完善信息科技人员激励约束机制,完善与行政序列并列的信息科技专业职级体系和薪酬体系,完善晋升机制,拓展信 息科技人员职业发展空间。加强信息科技专业人才队伍建设,加强专业培训,不断提高科技人员专业素质;重点加强信息科技风险管理、审计,以及需求管理、项目管理、架构管理等领域专业人才培养。

第四节 加大信息科技投入,保障信息科技稳定发展

继续加大信息科技投入,年度信息科技投入应继续保持稳定增长。在信息科技基础设施建设方面,应保障基础设施、系统平台和软硬件的维护和管理资金投入,为业务持续开展提供基础保障。在信息安全建设方面,应保障信息安全技术和管理的资金需求,确保信息安全工作持续开展,不断提升信息安全管理水平。在信息科技风险管理、审计方面,满足持续、常态化开展工作需要,不断提升信息科技风险管理水平。在农村金融机构科技创新方面,应积极研发支撑农村金融服务的新技术、新产品,提高持续发展能力。

第五节 加强制度和标准建设,推进信息科技规范化管理

充分借鉴行业先进管理经验与标准,建立信息科技工作流程、管理制度和标准体系,持续提高信息科技管理能力。建立持续的信息科技制度评估和改进机制,逐步健全和完善信息安全、运行维护、项目开发、外包服务、业务连续性管理等领域的管理制度体系;要通过有效手段,确保各项制度落到实处。提高标准化管理水平,加强标准研 究和制定,推进各类标准在基础设施建设、软件研发、生产运行、数据管理以及信息科技流程管理工作中的运用。

第五章

加强基础设施建设,保障系统安全稳定运行

切实加强基础设施建设,努力提升基础设施运维管理能力,有效提升系统安全稳定运行水平。

第一节 推进数据中心和灾备体系建设,保障业务持续发展

根据业务发展战略,制定数据中心建设规划,提升基础设施建设水平,满足业务持续发展需求。逐步建设和完善安全、可靠、规范的机房设施,重点加强电力、通信和消防等基础保障性工作,提高机房设施冗余和容量扩展能力,提高机房资源的利用率和使用效率。加强重要数据备份和管理,实现重要业务数据和软件介质的异地存放,强化数据验证和恢复机制,确保发生重大突发事件时客户信息安全。逐步推进灾备体系建设,积极探索通过自建或合作建设等多种方式开展灾备中心建设;建立对供电、通讯和主要设备冗余备份机制,不断加强容灾能力。

第二节 加强网络系统建设,保障网络系统安全

运用先进的网络技术,不断提升网络安全水平,提高网络运行效率,延伸网络服务范围,扩大网络覆盖地域,逐步填补偏远地区金融 信息科技服务空白。加强网络基础设施建设,充分考虑业务增长因素,结合信息系统建设规划,优化改造生产网、办公网和互联网,支持新业务和配套应用系统快速部署,保证数据传输安全性、稳定性和高效性;运用无线网络技术,加强网络延伸覆盖,重点加强偏远地区支付渠道建设。提高网络安全管理能力,在推进跨行业、跨部门的网际间互联以及推广网上银行、电子商务、移动银行等网络金融服务过程中,要加强网络系统安全基础设施建设,加强网络系统安全管理,建立可控的安全防范机制。

第三节 加强系统平台整合,提高信息科技管理水平

加强统筹规划与管理,提高资源配臵管理能力,提高资源的安全性、易用性和可扩展性。开展操作系统、数据库、中间件以及主机、存储、网络等软硬件平台优化工作,降低异构平台的复杂度,提升资源配臵的灵活性,减轻基础平台运维负担。加强系统开发、测试平台建设,建立可靠的系统开发和测试环境,逐步提高系统开发测试的自动化水平,提高开发产品的安全性、可靠性。加强运行监控平台建设,加强对资源的配臵信息、利用率和能耗等数据收集、分析,实现对资源的计划、申请、审批、部署、回收以及规划配臵的科学管理,提升事件和问题管理能力与效率。加强软件正版化管理,提高国产软件产品使用率,降低信息化建设成本。第六章

推进应用系统建设,满足业务发展需要

农村金融机构应以业务需求为驱动,扎实推进应用系统建设,不断优化系统性能,促进提高业务管理能力,推动金融服务和产品创新。

第一节 优化综合业务系统,夯实业务发展基础

根据业务发展战略,评估现有综合业务系统运行现状,推进综合业务系统优化工作,完善核心基础数据信息,提高系统可用性、稳定性和先进性,满足业务发展和精细化管理需求。

以实施新会计准则为契机,建立规范、科学、相对独立的总账系统,提高账务处理质量、效率。提高系统架构的灵活性和可扩展性,建立核心层、交换层、外围系统层和渠道接入层统一的接口标准,支持产品快速开发与部署,适应不断发展的农村金融服务需求。整合客户信息,逐步建立客户数据模型和数据标准,建立统一的客户信息视图,将分散在各系统的客户信息数据集中整合、统一管理,支持客户分类管理和差异化需求,提升服务质量和服务效率。按照“流程银行”理念,推进业务运作流程化,推动流程革新;在流程各环节强化风险控制,落实合规要求。

第二节 加强电子渠道建设,贯彻惠农金融服务宗旨

以电子渠道建设为重要支撑,拓展服务渠道,增加服务品种,增强服务力度,建立多层次、广覆盖服务渠道体系。采取标准化网点与简易便民服务相结合的方式,推进自助银行和自助服务区的建设,扩大自动存取款机、销售终端和转账终端等自助设备部署范围,推进定点和流动农村金融服务,扩展农村金融服务覆盖面,满足农村居民转账汇款、补贴发放、“新农保”、“新农合”等资金流转的基础需要,形成遍及城乡的多渠道金融服务格局,努力实现农村全天候金融服务。

以“推进农村信息化,积极支持农村电信和互联网基础设施建设”为契机,积极探索农村区域网上银行、手机银行、电子商务等在线支付系统建设模式,支撑农村生产生活方式、农产品交易方式的变化,推动业务扩展方式向网络化转变;建设与机构规模、业务特色相适应的电话银行等服务渠道,提升客户关系管理能力和综合服务水平。

在加强电子渠道建设和推广电子银行产品的同时,深化风险防控,建立健全农村电子银行安全技术保障体系,加强风险监测和主动防范,构建涵盖电子银行业务和信息科技的整体安全管理框架。

第三节 持续完善各类应用系统,丰富农村金融服务手段

完善信贷管理系统,推进信用档案电子化建设和农户信用评级体系建设,支持普惠制小额农户贷款、农村合作经济组织贷款的发放和管理,规范信贷业务流程,提高办理效率。

根据农村地区客户需求和特点,优化银行卡系统,丰富银行卡功能,提升银行卡支农服务水平,形成涵盖“三农”和县域经济的银行 卡产品体系;在为农户提供存取款、理财、支付结算等金融服务的同时,以科技创新为手段,简化服务流程,健全银行卡安全防控体系,营造农村银行卡安全支付环境。

加大中间业务系统建设力度,丰富中间业务品种,提高产品附加值,提升竞争力,满足广大城乡客户多元化金融服务需求。通过中间业务平台,拓展代收代付业务功能,代理拨付各项惠农补贴,落实国家惠农政策;推动农村金融市场电子商务和理财业务发展,方便农户生活,拓宽农民增收渠道;逐步实现银银、银保信息系统之间的互联互通,满足农村金融多样化服务需求;落实“完善农村社会保障体系”要求,充分发挥农村金融机构网点多、覆盖面广的优势,逐步建立新农保、新农合等业务系统,加强银行与新农保、新农合等机构业务系统之间的信息交互能力,不断满足农村客户新的金融服务需求。

推进跨行支付结算业务系统建设,提供跨行账户管理、资金汇划、资金归集的全天候服务,提高支付结算效率,满足农村客户跨地区金融服务需求。根据业务发展需要,适时开展国际结算业务系统建设,满足发达地区农村个人或企业国际结算和结售汇金融服务需求,支持农村外向型经济发展。第四节 推进风险管理系统建设,夯实风险管理基础

积极推进信用风险管理系统建设,加大信用风险信息收集、整理和分析力度,建立和完善信用评级体系,加强信用风险信息共享,提高信贷投放辅助决策能力,有效防范信贷风险。

推进操作风险系统建设,不断积累操作风险基础数据,通过技术手段逐步提高操作风险量化管理水平。建立交易监控系统,实现异常交易监测,提高异常交易识别能力;建立和完善授权中心、事后监督、内部审计等系统,有效控制违法、违规操作。

推进市场风险系统建设,探索开展市场利率和汇率敏感性监测机制,探索与市场风险相关的关键数据收集机制,加大对流动性风险的系统支持力度,及时监测风险,加强流动性风险管理。

推进资本管理信息系统建设,支持资本充足率计算和不同方法下风险加权资产计算要求;加强数据治理,提升数据质量,提升风险计量模型的验证能力,为新资本协议实施提供可靠的信息系统基础设施。

第五节 加强管理信息系统建设,提高科学决策水平

建立完善涵盖总账核算、资产管理、经费预算、经费核算、项目管理、成本分析等功能的财务管理系统,提高农村金融机构财务处理效率和财务分析能力,加强对资金计划及运用的核算、监控与分析,提高农村金融机构盈利能力和风险防范能力。完善报表系统,夯实数据基础。在加强数据积累的基础上,提高以客户为中心的数据分析能力;积极探索建立适合农村金融机构的经营决策支持系统,进一步提高各级农村金融机构经营决策能力,降低经营风险。

有条件的农村金融机构应逐步开展客户关系管理系统建设,实现对客户的价值分析与评价,以科技手段引导产品创新、产品营销和风险控制,推动农村金融机构差异化定价、营销服务战略的实施。

第七章

提高信息科技风险管理水平,有效防范信息科技

风险

提高对信息科技风险认识,建立信息科技风险识别、计量、监测、控制机制,重点加强信息安全、开发、运维、外包和应急管理,不断提升信息科技风险管理水平。

第一节 强化信息科技风险管理,提高信息科技风险防控能力

加强对信息科技风险重要性的认识,将信息科技风险纳入全面风险管理体系,进一步明确信息科技风险管理职责,制定覆盖农村金融机构信息科技各个领域的信息科技风险管理策略,与农村金融机构信息科技发展战略、总体风险管理策略保持一致。

探索农村金融机构信息科技风险识别、计量、监测、控制机制,研究确定关键信息科技风险指标,通过技术手段和管理手段加强对关 键信息科技风险识别和监测。建设日常信息科技风险监测基础数据平台,为信息科技风险管理提供数据基础,逐步提升风险防控水平。

逐步建立内部评估和外部评估相结合的常态化信息科技风险评估机制,定期开展全面的信息科技风险评估;强化内部审计在信息科技治理、内部控制和风险管理中的作用,充分发挥监督评价职能。

第二节 建立信息安全保障体系,提高信息安全管理能力

加大信息安全投入,建立专业化的信息安全队伍,提升信息安全工作质量和效率。建立和完善信息安全管理制度,明确信息安全方针、策略和管理要求,规范操作流程,加强贯穿信息系统生命周期的信息安全管理。

加强信息资产保护力度,建立信息资产分类分级标准,逐步实现对不同类型、不同级别信息资产的分级保护措施,严格防止敏感数据泄露,推动信息资产安全管理的科学化与规范化。

综合利用先进、成熟的安全产品和技术手段,在防御、监测、预警、响应、恢复等层面提高信息安全管理能力,提升信息安全保障体系的健壮性和有效性。加强新系统建设安全控制,建立信息系统开发、投产和上线全过程安全管理机制,及时发现和处臵系统建设、变更、运行中的安全隐患,实现对信息安全风险的有效控制。重点加强银行卡、网银系统风险防控,建立风险识别、评估、预警、处臵等防控机 制,建立银行卡、网银交易欺诈和风险侦测系统,完善交易风险监控机制。

逐步建立信息安全评价体系,通过量化信息安全评价指标,综合评定信息安全工作水平,促进信息安全工作持续改进。有条件的农村金融机构可借鉴国际标准,逐步实施全面的信息安全管理体系建设。

第三节 加强应急体系建设,提高业务连续性

明确法人机构以及机构内部各部门在应急管理中的职责,建立全面的应急管理机制。开展业务影响分析,确定关键业务优先恢复级别,制定业务连续性计划,逐步建立业务连续性保障措施,全面提升业务连续性管理能力。

建立、完善包含总体预案、专项预案的预案框架,建立多层次、多场景的预案体系,注重预案的科学性、适用性、衔接性和可操作性。建立应急预案后评估和修订完善机制,确保应急预案的有效性。

定期开展应急演练,重点开展关键业务系统及重要基础设施的应急演练,演练范围逐步向外围系统、多应用系统联动扩展。有条件的农村金融机构应组织以真实业务接管为目标的实战演练,提高应急处臵实战经验和技能。建立与有关政府机关、公共事业机构、金融同业间的协作与联动机制,增强农村金融机构在重大突发事件下的整体应急能力。第四节 加强运行服务管理体系建设,实现持续有效运行

健全信息科技运行服务管理体系,明确运行管理职责。完善运行管理制度体系,重点加强运行操作管理、数据管理、机房设备管理、网络管理等制度建设,提高运行管理的科学性和有效性。

规范运行服务管理流程和事件报告机制,建立统一的运行服务管理平台,规范事件、问题、变更、发布等管理流程,构建切实有效的运行服务管理机制,促进运行服务管理水平与效率的提升。

建设自动化监控平台,逐步实现对应用系统的全面监控;不断丰富监控指标,辅助运维人员快速发现与定位故障。建设自动化运维平台,实现流程管理,降低操作风险,提高工作效率。

第五节 加强项目规范化管理,提升应用系统质量

加强信息科技项目管理的科学化和规范化,建立覆盖信息科技项目全生命周期的管理制度体系。明确项目各阶段的管理职责和管理要求,建立业务部门与信息科技部门需求分析沟通机制,合理配臵信息科技资源,保证项目实施。

规范研发技术标准体系,加强技术标准在研发过程中推广应用力度,进一步提高研发管理的标准化、规范化程度,促进软件产品质量的提高。建立和完善产品质量测试流程,加强性能、容量和压力测试的深度和覆盖面,提高自动化测试能力,逐步建立全面的软件产品质量保证体系。建立项目后评价体系。根据项目业务需求、实施过程与效果、运行质量等,从业务价值、成本收益、服务水平等各个维度对项目资源利用效率进行分析和评价,逐步提高项目管理精细化水平。

第六节 加强信息科技外包管理,防控外包风险

制定信息科技外包策略,明确信息科技外包范围、内容和方式,处理好外包和自主研发的关系。建立和完善外包管理制度,规范外包立项、供应商选择、合同谈判与签署、日常管理和项目验收等外包全过程管理。

加强外包风险防范。建立合同和协议合规审查机制,防范法律风险;建立外包服务商服务质量评价机制,加强对外包服务商和外包人员的资格审查;加强对外包实施过程中的风险防范,严格控制外包实施过程中的操作安全、数据保密、人员变更等风险,制定外包突发事件应急预案,防范供应商服务中断或异常退出风险。

第二篇:银行业金融机构信息科技外包风险监管指引

中国银行业监督管理委员会

银监发[2013]5号

中国银监会关于印发银行业金融机构信息科技外

包风险监管指引的通知

各银监局,各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司,邮储银行,各省级农村信用联社,银监会直接监管的信托公司、企业集团财务公司、金融租赁公司:

现将《银行业金融机构信息科技外包风险监管指引》印发给你们,请遵照执行。

2013年2月16日

银行业金融机构信息科技外包风险监管指引

第一章 总则

第一条

为规范银行业金融机构的信息科技外包活动,降低信息科技外包风险,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规,制定本指引。

第二条

在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省(自治区)农村信用社联合社适用本指引。银监会监管的其他金融机构参照本指引执行。第三条

本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为,包含项目外包、人力资源外包等形式。原则上包括以下类型:

(一)研发咨询类外包:科技管理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包;

(二)系统运行维护类外包:包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包;

(三)业务外包中的信息科技活动:市场拓展、业务操作、企业管理、资产处臵等外包中的系统开发、运行维护和数据处理活动。

第四条

本指引所称关联外包是指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构提供信息科技外包。

第五条

信息科技外包可能产生如下风险,并导致银行业金融机构的战略、声誉、合规风险:

(一)科技能力丧失:银行业金融机构过度依赖外部资源导致失去科技控制及创新能力,影响业务创新与发展;

(二)业务中断:支持业务运营的外包服务无法持续提供导致业务中断;

(三)信息泄露:包含客户信息在内的银行业金融机构非公开数据被服务提供商非法获得或泄露;

(四)服务水平下降:由于外包服务质量问题或内外部协作效率低下,使得银行业金融机构信息科技服务水平下降。

第六条

本指引所称机构集中度风险是指银行业金融机构将信息科技外包服务集中交由少量服务提供商承接而产生的风险,该风险可能造成集中性的服务中断、质量下降、安全事件等。

第七条

本指引所称同业托管机构是指作为外包服务提供商为其他同行业金融机构提供信息科技外包服务的银行业金融机构。

第八条

银行业金融机构应当将信息科技外包管理纳入全面风险管理体系,建立与本机构信息科技战略目标相适应的外包管理体系,控制或降低由于外包而引发的风险。

第九条

银行业金融机构应当建立信息科技外包管理组织架构,制定外包管理战略,定期进行外包风险评估,通过服务提供商准入、评价、退出等手段建立及维护符合自身战略目标的供应商关系管理策略。

第十条

银行业金融机构在实施信息科技外包时应当坚持以下原则:

(一)以不妨碍核心能力建设、积极掌握关键技术为导向;

(二)保持外包风险、成本和效益的平衡;

(三)强调外包风险的事前控制,保持管控力度;

(四)根据外包管理及技术发展趋势,持续改进外包策略和措施。

第十一条

银行业金融机构在实施信息科技外包时,不得将信息科技管理责任外包。

第十二条

对于不涉及银行客户及内部信息转移的信息科技产品采购、维保,及通讯线路租用、支付或清算系统接入等信息科技公共基础设施服务,银行业金融机构应当充分评估其信息科技风险,按照本指引第五章要求进行管理。

第二章 外包管理组织架构

第十三条

银行业金融机构董事会及高级管理层应当严格落实信息科技外包风险管理的相关职责, 明确信息科技外包风险管理的主管部门,制定并审批信息科技外包战略,审议信息科技外包管理流程及制度,督促并监控信息科技外包风险管理效果。

第十四条

信息科技外包风险主管部门的主要职责包括:

(一)对外包风险进行识别、评估与风险提示;

(二)监督、评价外包管理工作,并督促外包风险管理的持续改善;

(三)向高级管理层定期汇报信息科技外包活动相关风险管理情况;

(四)董事会或高级管理层确定的其他信息科技外包风险管理职责。

第十五条

银行业金融机构应当在信息科技管理部门或信息科技外包活动执行部门内建立信息科技外包管理执行团队,并配备足够人员履行以下职责:

(一)实施信息科技外包战略;

(二)制定并执行信息科技外包管理制度与流程;

(三)执行供应商准入、评价、退出管理,建立并维护供应商关系管理策略;

(四)制定保障外包服务持续性的应急管理方案,并组织实施定期演练;

(五)对外包过程中的各项管理活动进行监控及分析,定期向信息科技及外包风险管理主管部门报告外包活动情况。

第三章 信息科技外包战略及风险管理

第一节 信息科技外包战略

第十六条

银行业金融机构应当以提升信息科技队伍能力,提高科技管理及创新水平,掌握信息科技核心技能为目标,基于信息科技战略、外包市场环境、自身风险控制能力和风险偏好制定信息科技外包战略,包括:不能外包的职能、资源能力建设方案、供应商关系管理策略和外包分级管理策略。

第十七条

银行业金融机构应当根据自身信息科技战略明确不能外包的职能。涉及战略管理、风险管理、内部审计及其他有关信息科技核心竞争力的职能不得外包。第十八条

银行业金融机构应当根据外包战略制定资源、能力建设方案,通过补充人员、提升技能、知识转移等方式,有针对性地获取或提升管理及技术能力,降低对服务提供商的依赖。

第十九条

银行业金融机构应当建立与自身规模、市场地位相适应的供应商关系管理策略。通过准入和退出机制合理管控各类高风险服务提供商的数量,实现以下目标:防范行业垄断和机构集中度风险,通过引入适当的竞争在降低采购成本的同时提高服务质量,合理管控服务提供商的数量从而降低风险及管理成本等。

第二十条

银行业金融机构可以按照外包服务性质和重要性程度对服务提供商进行分级管理,对不同级别的服务提供商采取差异化的管控措施,在有效管理重要风险的前提下降低管理成本。

第二十一条

银行业金融机构要同母公司或集团公司协同做好外包服务及服务提供商的管理工作,但应当保持关联外包有关决策的独立性,避免因关联关系而降低外包活动的风险控制水平。

第二节 信息科技外包风险管理

第二十二条

银行业金融机构信息科技外包风险管理部门应当至少每年开展一次全面的外包风险管理评估,保持评估的独立性,并向高级管理层提交评估报告。评估内容包括:信息科技外包战略执行情况、外包信息安全、机构集中度、服务连续性、服务质量、政策及市场变化对外包服务的影响分析等。

第二十三条

银行业金融机构应当对重要的外包服务提供商进行定期的风险评估,保持评估的独立性。至少在三年内覆盖所有重要的服务提供商。评估内容包括:服务提供商合规情况、服务的执行效果等,评估结果应当作为服务提供商准入及退出的重要依据。

第二十四条

银行业金融机构内部审计部门应当定期开展信息科技外包风险管理审计工作,至少每三年对重要的外包服务活动进行一次全面审计。发生外包风险事件后应当及时开展专项审计。

第四章 信息科技外包管理

第一节 外包风险评估及准入

第二十五条

外包项目立项前,银行业金融机构应当审慎检查项目与信息科技外包战略的一致性,根据项目内容、范围、性质对其进行风险识别和评估,制定相应的风险处臵措施,不因外包活动的引入而增加整体剩余风险。重大外包项目应向董事会、高管层报告。

第二十六条

银行业金融机构应当根据供应商关系管理策略,结合风险评估结果及服务提供商的准入标准,对备选服务提供商进行初步筛选,防范引入高机构集中度风险特点的服务提供商、或引入增加整体风险的服务提供商。

第二十七条

对于外包服务提供商为同业托管机构的情况,银行业金融机构可参照本节内容对其进行管理。

第二节 服务提供商尽职调查

第二十八条

对重要的服务提供商,银行业金融机构在与其签订合同前应当深入开展尽职调查,必要时可聘请第三方机构协助调查。

第二十九条

银行业金融机构在尽职调查时应当关注服务提供商的技术和行业经验,包括但不限于:服务能力和支持技术、服务经验、服务人员技能、市场评价、监管评价等。

第三十条

银行业金融机构在尽职调查时应当关注服务提供商的内部控制和管理能力,包括但不限于:内部控制机制和管理流程的完善程度、内部控制技术和工具等。

第三十一条

银行业金融机构在尽职调查时应当关注服务提供商的持续经营状况,包括但不限于:从业时间、市场地位及发展趋势、资金的安全性、近期盈利情况等。

第三十二条

对于关联外包,银行业金融机构不得因关联关系而降低对服务提供商的要求,应当在尽职调查阶段详细分析服务提供商技术、内控和管理水平,确认其有足够能力实施外包

服务、处理突发事件等。

第三十三条

对于外包服务提供商为同业托管机构的情况,银行业金融机构可参照本节内容对其进行管理。

第三节 外包服务合同及要求

第三十四条

银行业金融机构在实施外包服务项目前,应当与服务提供商签订服务合同。合同应当根据外包服务需求、风险评估及尽职调查结果确定详细程度和重点。

第三十五条

银行业金融机构在合同或协议中应当明确以下内容,包括但不限于:

(一)服务范围、服务内容、工作时限及安排、责任分配、交付物要求以及后续合作中的相关限定条件;

(二)合规与内控要求,对法律法规及银行业金融机构内部管理制度的遵从要求、监管政策的通报贯彻机制、服务提供商的内控措施;

(三)服务连续性要求,服务提供商的服务连续性管理目标应当满足银行业金融机构业务连续性目标要求;

(四)银行业金融机构监控和检查的权利、频率,服务提供商配合其内、外部审计机构检查,及配合银行业监管机构检查的责任;

(五)政策或环境变化因素等在内的合同变更或终止的触发条件,外包服务提供商在过渡期间应该履行的主要职责及合同变更或终止的过渡安排,包括信息、资料和设施的交接处臵等过渡期间相关服务的安排;

(六)外包服务过程中产生、加工、交互的信息和知识产权的归属权以及允许服务提供商使用的内容及范围,对服务提供商使用合法软、硬件产品的要求;

(七)服务要求或服务水平条款,至少应当包括如下内容:外包服务的关键要素、服务时效和可用性、数据的机密性和完整性要求、变更的控制、安全标准的遵守情况、技术支持水平等;

(八)争端解决机制、违约及赔偿条款,至少包括如下内容:服务质量违约、安全违约、知识产权违约等,及在各种违约情况下的赔偿以及外包争端的解决机制;

(九)报告条款,至少包括常规报告内容和报告频度、突发事件时的报告路线、报告方式及时限要求。

第三十六条 银行业金融机构应当在合同或协议中明确服务提供商在安全和保密方面的责任,以及针对安全及保密要求需采取的具体措施。包括但不限于:

(一)禁止服务提供商在合同允许范围外使用或者披露银行业金融机构的信息,以防止信息被非授权使用;

(二)在合同或协议中约定服务提供商对银行客户信息安全和银行客户权利的保护条款、事故处理方式及违约赔偿条款;

(三)在合同或协议中约定服务提供商不得以所服务的银行业金融机构名义开展活动;

(四)服务提供商接触银行业金融机构信息时,需满足安全和保密相关条款的要求;

(五)在发生银监会规定的信息科技突发事件,或发生可能引发系统性、区域性银行业信息科技风险类突发事件时,服务提供商应及时向银行业金融机构报告,包括事件的影响以及处臵

和纠正措施。

第三十七条

银行业金融机构应当在合同或协议中明确要求服务提供商不得将外包服务转包和变相转包。在涉及外包服务分包时应当要求:

(一)不得将外包服务的主要业务分包;

(二)主服务提供商对服务水平负总责,确保分包服务提供商能够严格遵守外包合同或协议;

(三)主服务提供商对分包商进行监控,并对分包商的变更履行通知或报告审批义务。

第四节 外包服务安全管理

第三十八条

银行业金融机构应当制定和落实信息安全管控措施,防范因外包活动引起的信息泄露、信息篡改、信息不可用、非法入侵、物理环境或设施遭受破坏等风险。具体措施包括:

(一)对外包人员进行信息安全培训,提高风险管理意识,确保信息安全管控措施在外包服务过程中有效落实;

(二)明确外包活动需要访问或使用的信息资产,包括场地、办公设施、计算机、服务器、软件、数据、信息、物理访问控制设备、账号、网络宽带、网络端口等,按“必需知道”和“最小授权”原则进行访问授权;

(三)对重要或核心的信息系统开发交付物进行源代码检查和安全扫描;

(四)定期对服务提供商进行安全检查,获取服务提供商自评估或第三方评估报告。

第三十九条

银行业金融机构对关联外包服务提供商定期进行的安全检查,不得以服务提供商的自评估替代,不得因关联关系而影响检查的独立性、客观性及公正性。

第四十条

银行业金融机构应当关注外包服务引入的新技术或新应用对现有治理模式及安全架构的冲击,及时完善信息安全管控体系,避免因新技术或应用的引入而增加额外的信息安全风险。

第五节 外包服务监控与评价

第四十一条

银行业金融机构应当对外包服务过程进行持续监控,要求服务提供商建立阶段性服务目标及任务,并跟踪任务的执行情况,及时发现和纠正服务过程中存在的各类异常情况。

第四十二条

银行业金融机构应当根据信息科技外包需求、合同、服务水平协议等建立明确的服务质量监控指标,并进行相应监控。常见指标包括:

(一)信息系统和设备及基础设施的可用率、设备的开机率;

(二)故障次数、故障解决率、故障的响应时间;

(三)服务的次数、客户满意度;

(四)各阶段业务需求的及时完成率、程序的缺陷数、需求变更率;

(五)外包人员工作饱和率、外包人员的考核合格率。

第四十三条

银行业金融机构应当建立明确的服务目录、服务水平协议以及服务水平监控评价机制,并确保外包服务监控基础数据和评价结果的真实性和完整性,且数据至少需保存到服务结束后一年。

第四十四条

银行业金融机构应当对服务提供商的财务、内控及安全管理进行持续监控,关注其因破产、兼并、关键人员流失、投入不足和管理不善等因素引发的财务状况恶化及内部管理混乱等情况,防范外包服务意外终止或服务质量的急剧下降。

第四十五条

银行业金融机构监控到异常情况时,应当及时督促服务提供商采取纠正措施,情节严重的或未及时纠正的,应当约谈服务提供商高管人员并限期整改。

第四十六条

外包服务结束时,银行业金融机构应当对服务提供商进行评价,评价结果应当作为服务提供商准入的重要参考依据。

第四十七条

对于关联外包,银行业金融机构董事会及高级管理层应当推动母公司或所属集团将外包服务质量纳入对服务提供商的业绩评价范围,建立外包服务重大事件问责机制。同时,应当要求服务提供商在其内部建立与外包服务水平相关的绩效考核机制。

第六节 外包服务中断与终止

第四十八条

银行业金融机构应当考虑信息科技外包的引入对业务连续性管理的影响,有针对性地完善业务连续性管理计划,包括但不限于:

(一)识别出重要业务所涉及的服务提供商和资源;

(二)通过合同、协议等形式明确要求服务提供商提前准备并维护好相关资源;

(三)对服务提供商业务连续性管理进行监控,并评价其管理水平;

(四)在进行业务连续性计划演练时将相关的服务提供商纳入演练范围。

第四十九条

为降低外包突发事件的可能性及影响,银行业金融机构应当事先对业务连续性管理造成重大影响的外包服务建立风险控制、缓释或转移措施,包括但不限于以下内容:

(一)在外包服务实施过程中持续收集服务提供商相关信息,尽早发现可能导致服务中断的情况;

(二)与服务提供商事先约定在其服务质量不能满足合同要求的情况下获取其外包服务资源的优先权;

(三)要求服务提供商制定服务中断相关的应急处理预案,如提供备份人员;

(四)对于涉及重要业务的外包服务,银行业金融机构需考虑预先在其内部配臵相应的人力资源,掌握必要的技能,以在外包服务中断期间自行维持最低限度的服务能力。

第五十条

银行业金融机构应当针对重要外包服务中断的场景,拟定相应的应急计划,并定期进行演练,考虑因素包括但不限于以下内容:

(一)事件场景,如重要人员流失导致服务无法持续,服务提供商主动退出,因资质变更、被收购、兼并或破产等原因导致的服务提供商被动退出等;

(二)事件持续时间和恢复可能性;

(三)事件影响范围和可能的应急措施;

(四)服务提供商自行恢复服务的可能性和时间;

(五)备选的服务提供商以及外包服务迁移方案;

(六)外包服务过渡给银行业金融机构自行运作的可能性、时效及资源需求。

第五十一条

对于无法满足外包服务要求或发生重大事件的情况,银行业金融机构应当在充分评估其影响及制定退出计划的前提下,考虑主动要求服务提供商终止服务,情节特别严重的,可考虑取消准入资质,并报监管机构申请对其备案。对于关联外包,银行业金融机构不得因为关联关系而影响服务提供商退出机制的落实。

第五章 机构集中度风险管理

第五十二条

银行业金融机构应当依据服务提供商所承接外包服务的数量、金额在本行重要信息科技服务中的占比,服务提供商所承接外包服务在银行业服务市场占比情况,识别具有机构集中度特点的外包服务提供商。同时,还应识别服务提供商之间为集团子公司、关联公司或附属机构所产生的机构集中度风险。

第五十三条

银行业金融机构应当积极采用分散信息科技外包活动、提高自主研发运行能力等形式,降低机构集中度,减少对外包服务提供商的依赖。

第五十四条

银行业金融机构应当要求具有机构集中度特点的外包服务提供商提供充分的证据,证明其内部控制和管理能力、持续运营能力等。

第五十五条

银行业金融机构应当要求具有机构集中度特点的外包服务提供商为银行业金融机构配备相对独立的资源,包括服务团队、场地、系统、设备等;并对资源进行定期检查,确保资源及时到位。

第五十六条

银行业金融机构应当要求具有机构集中度特点的外包服务提供商在外包服务中断应急预案中,明确外包服务的优先级,并进行服务中断应急演练,服务提供商应当至少参与服务交接、敏感信息处臵等演练过程。

第五十七条

银行业金融机构应当特别加强对具有机构集中度特点的外包服务提供商的财务、内控、安全管理情况的持续监控,建立信息收集机制,及时掌握风险事件情况,防范外包服务意外终止或服务质量急剧下降对本机构产生大面积影响。

第五十八条

银行业金融机构应当对具有机构集中度特点的外包服务提供商增强监督频率与力度,必要时可指派专人进行现场监督。

第五十九条

对于具有机构集中度特点的外包服务提供商为同业托管机构的情况,银行业金融机构可参照本节内容对其进行外包管理。

第六章 跨境及非驻场外包管理

第一节 跨境外包风险管理

第六十条

跨境外包是指在境外其他国家或地区实施的信息科技外包服务活动。

第六十一条

跨境外包除具有本指引前述风险外,还包括由于某一国家或地区经济、政治、社会变化及事件而产生的国别风险,及由于外包实施场地远离银行业金融机构而产生的非驻场风险。

第六十二条

银行业金融机构应当充分了解并持续监控服务提供商所在国家或地区状况,通过建立业务连续性计划防范跨境外包所带来的国别风险。

第六十三条

银行业金融机构应当关注国外法律法规、监管要求对其获取服务提供商外包管理信息可能造成的影响。实施跨境外包应当以不妨碍银行业金融机构有效履行外包服务监控管理职能及监管机构延伸检查为前提。

第六十四条

银行业金融机构在选择跨境外包时,应当明确其所在国家或地区监管当局已与银监会签订谅解备忘录或双方认可的其他约定。

第六十五条

银行业金融机构在选择跨境外包时,还应当充分审查评估服务提供商保护客户信息的能力,并将其作为选择服务提供商的重要指标。涉及客户信息的跨境外包,应当在符合监管法规政策并获得客户授权的前提下开展。

第六十六条

银行业金融机构在实施跨境外包时,其合同应当包括法律选择和司法管辖权的约定,明确争议解决时所适用的法律及司法管辖权,原则上应当要求服务提供商依照中国的法律解决纠纷。

第二节 非驻场外包风险管理

第六十七条

非驻场外包是指服务提供商不在银行业金融机构现场提供服务的外包形式。由于银行业金融机构不能对其内部控制及风险管理措施进行直接管控,应当在信息安全、知识产权保护、质量监控、法律合规等方面加强对服务提供商的风险管理。

第六十八条

银行业金融机构应当建立针对非驻场外包服务的内部控制及风险管理要求的最低标准,该标准应当作为选择服务提供商的最低要求。

第六十九条

银行业金融机构应当对重要的非驻场外包服务进行实地检查。实地检查原则上一年不少于一次,检查结果作为外包服务提供商项目考核及准入的重要指标。

第七十条

银行业金融机构应当加强对外包服务提供商非驻场外包服务内部控制、质量管理、信息安全的有效性评估,评估结果作为供应商准入的重要依据。对于高风险的服务提供商,银行业金融机构应当责令其进行限期整改,对于逾期未改的服务提供商应当暂停或取消其服务资格。

第七十一条

对于非驻场外包服务提供商为同业托管机构的情况,银行业金融机构可以参照本节内容对其进行外包管理,但同业托管机构须将为其他同行业金融机构提供的信息科技外包服务视同自身信息科技服务的重要组成部分,不得区别对待,降低对自身提供外包服务的风险管控水平。

第七章 银行业重点外包服务机构风险管理要求

第七十二条

银行业重点外包服务机构是指集中为银行业金融机构提供外包服务,同时满足下述条件,如其外包服务失败可能导致银行业大面积数据损毁、丢失、泄露或信息系统服务中断,造成经济损失的机构,具体条件如下:

(一)承担集中存贮客户数据的业务交易系统外包服务;或承担银行业金融机构客户资料、交易数据等敏感信息的批量分析或处理服务;或承担银行业金融机构数据中心、灾备中心机房及基础设施外包服务;且上述服务均为非驻场外包服务。

(二)服务的法人银行业金融机构数量、服务合同金额占有本服务领域市场份额的三分之一以上;或服务的跨区域经营法人银行业金融机构数量达到3家或以上;或服务的其他类型法人银行业金融机构数量达到10家或以上。

第七十三条 银行业金融机构应当根据监管机构发布的银行业重点外包服务机构风险提示,按照如下要求进行管理:

(一)银行业重点外包服务机构应当是中华人民共和国境内注册的独立法人实体,注册资本和实收资本不少于1000万,注册成立时间不少于3年。

(二)银行业重点外包服务机构应当拥有健全的组织架构,并针对所提供的外包服务建立有效的风险治理架构,至少应当建立由公司高级管理层直接领导、针对银行业金融机构外包服务的、专职信息科技风险管理团队,为持续的外包服务提供保证。

(三)银行业重点外包服务机构应当建立与所承担的服务范围和规模相适应的服务管理体系,建立完善的信息安全、服务质量、服务持续性等管理制度体系,拥有有效的检查、监控和考核机制,确保管理规范有效执行。

(四)银行业重点外包服务机构应当具有足够的技术能力、人力资源和设施、环境,满足外包服务的质量和安全管理要求。银行业重点外包服务机构承担的银行业金融机构外包服务场地应当设臵在中国境内。第七十四条

银行业金融机构应当要求银行业重点外包服务机构具有如下相关领域资质认证:(一)具有完善的信息安全管理体系、业务连续性管理体系,并通过业界公认较为权威的信息安全管理和业务连续性管理资质认证。

(二)具有完善的质量管理体系,并通过业界公认较为权威的质量管理资质认证。

(三)承担银行业金融机构数据中心、灾备中心机房及基础设施外包服务的银行业重点外包服务机构,其机房及基础设施应当达到国家电子计算机机房最高标准。

(四)承担集中存贮客户数据的业务交易系统外包服务,或承担银行业金融机构客户资料、交易数据等敏感信息的批量分析或处理服务的银行业重点外包服务机构,应当具有完善的运行服务管理体系,并通过业界公认较为权威的运行服务管理资质认证。

第七十五条

银行业金融机构应当在风险管理、审计方面对银行业重点外包服务机构提出如下要求:

(一)银行业重点外包服务机构应当具有信息科技风险的管理体系,有效识别、监测、评估和控制风险。银行业重点外包服务机构应当至少每季度向所服务的银行业金融机构报送外包风险监控报告,针对监控发现的潜在风险或风险事件,及时采取控制或缓释措施。

(二)银行业重点外包服务机构应当每年聘请独立的审计机构,对自身外包服务进行风险评估,风险评估报告需报送所服务的银行业金融机构,并抄送银监会或其派出机构。

(三)银行业重点外包服务机构应当对其外包服务团队成员进行背景调查,确保其过往无不良记录,且应当与项目成员签订保密协议,并保留至少10年的法律追诉期。

第八章 监督管理

第七十六条

银行业金融机构开展以下信息科技外包服务时,应当在外包合同签订前二十个工作日向银监会或其派出机构报告,针对银行业金融机构信息科技外包风险,银监会及其派出机构可以采取风险提示、约见谈话、监管质询等措施。

(一)信息科技工作整体外包;

(二)数据中心或灾备中心整体外包;

(三)涉及将银行业金融机构客户资料、交易数据等敏感信息交由服务提供商进行分析或处理的信息科技外包;

(四)以非驻场形式实施的、集中存贮客户数据的业务交易系统外包;

(五)关联外包;

(六)涉及跨境的信息科技外包;

(七)其他银监会认为重要的信息科技外包。

第七十七条

银行业金融机构信息科技外包活动中发生如下重大事件时,应当在两个工作日内向银监会或其派出机构报告。

(一)银行业金融机构客户信息等敏感数据泄露;

(二)数据损毁或者重要业务运营中断;

(三)由于不可抗力或服务提供商重大经营、财务问题,导致或可能导致多家银行业金融机构外包服务中断;

(四)其他重大的服务提供商违法违规事件;

(五)银监会规定需要报告的其他重大事件。

第七十八条

银行业金融机构在开展外包风险管理评估工作后,应当将风险评估报告报送银监会或其派出机构。

第七十九条

银监会及其派出机构对银行业金融机构信息科技外包工作进行监督和检查,监督检查结果纳入对银行业金融机构的监管评级。

第八十条

对于风险较高的信息科技外包服务,银监会或其派出机构可以要求银行业金融机构暂缓、中止该类外包服务,直至银行业金融机构、外包服务提供商有效改正。

第八十一条

银行业金融机构违反本指引规定的,银监会或其派出机构可要求其纠正或采取替代方案,并视情况予以问责。因管理过失导致外包活动严重危及银行业金融机构稳健运行、损害存款人和其他客户合法权益的,依法追究银行业金融机构管理责任。

第八十二条

银监会实行银行业信息科技外包服务活动风险监测机制,定期对银行业金融机构发布银行业重点外包服务机构名单和风险提示,防范因高机构集中度外包服务导致的系统性、区域性信息科技风险。第八十三条

银监会应当对具有机构集中度特点的银行业金融机构信息科技外包服务进行重点风险监测、评估,根据需要,可以要求银行业金融机构与重点外包服务机构会谈,就其外包服务活动和风险的重大事项作出说明。

第八十四条

银监会应当组织银行业金融机构实地核查银行业重点外包服务机构承担的银行业金融机构信息科技服务活动,原则上每两年进行一次,也可以委托其他第三方机构审计的形式实施。

第八十五条

银监会可以根据银行业金融机构信息科技服务活动风险评估和实地核查结果,对银行业金融机构发出监管提示,要求其督促银行业重点外包服务机构对风险问题实施整改。

第八十六条

银行业重点外包服务机构应当配合银行业金融机构及银监会的风险监测和实地核查。

第八十七条

银监会组织相关银行业金融机构对银行业信息科技外包服务提供商建立服务管理记录,并对其进行风险评估和评级。

第八十八条

服务提供商在外包服务中存在以下情形的,银监会定期向银行业发布服务提供商风险预警,公布机构名单、服务信息等,要求银行业金融机构禁止相关服务提供商承担银行业信息科技外包服务,禁止期至少为两年。外包服务提供商两年内仍未整改的,延长其禁止期。

(一)违反国家法律、法规和监管政策,情节严重的;

(二)窃取、泄露银行业金融机构敏感信息,情节严重的;

(三)因管理过失,多次发生重要信息系统服务中断或数据损毁、丢失、泄露事件的;

(四)服务质量低下并给多家银行业金融机构造成损失,多次提示仍未整改的;

(五)对风险监测和实地检查发现的问题,逾期仍未整改的;

(六)存在其他违法违规行为,或发生其他重大信息科技风险事件的。

第八十九条

银监会负责监督银行业金融机构对信息科技外包服务提供商实施准入管理。对于存在重大风险的外包活动,银行业金融机构应当立即评估外包的适当性,对信息科技外包服务提供商进行风险预警提示,要求其进行整改并设定期限;逾期未整改的,禁止其承担信息科技外包服务。

第九章 附则

第九十条

本指引由银监会负责解释、修订。第九十一条

本指引自公布之日起施行。

第三篇:银行业金融机构信息科技风险非现场监管报表

银行业金融机构信息科技风险 非现场监管报表

(征求意见稿)目 录

第一部分报表..................................................1 I信息科技风险调查问卷............................................1 Q-R-1 信息科技风险调查问卷.....................................1 II基本情况报表...................................................8 T-B-1 信息科技治理基本情况表...................................8 T-B-2 信息科技风险管理情况表..................................10 T-B-3 信息科技内外部审计与评估基本情况表......................12 T-B-4 应急管理基本情况表......................................14 T-B-5 信息科技项目基本情况表..................................15 T-B-6 灾备基本情况表..........................................16 T-B-7 外包基本情况表..........................................18 T-B-8 各类中心基本情况表......................................19 T-B-9 数据中心及灾备中心机房基本情况表........................20 T-B-10 重要信息系统统计表......................................21 T-B-11 网络基本情况表..........................................23 T-B-12 电子银行业务品种统计表..................................24 T-B-13 电子银行业务量统计表....................................25 第二部分季度报表.................................................27 T-B-14 重要信息系统运行基本情况报表............................27 T-B-15 组织机构、人员重大变动表................................30 第三部分报告......................................................31 R-R-1 信息化建设与信息科技风险管理报告....................31 附录参考定义.....................................................32 2 填报须知

一、本报表作为银监会信息科技风险监管体系的重要组成部 分及信息科技风险识别、评估工作的基础和前提,旨在全面收集 和监测银行业金融机构信息科技风险状况。

二、本报表主要适用于在中华人民共和国境内依法设立的政 策性银行、国有商业银行、股份制商业银行、邮政储蓄银行、城 市商业银行、农村商业银行、农村合作银行、城市信用社、农村 信用社、外资法人银行等银行业金融机构。

三、本报表是为针对信息科技风险而设的专门报表,银行业 金融机构应当对所填报数据的真实性负责。

四、本报表应由风险管理部门组织填报。

五、本报表分为报表、季度报表和报告。报表统计 周期为12个月,即上一年10月1日至本9月30日,报送截止时 间为每年10月15日;季度报表报送时间为季后10日内;报告报送 时间为自然年后40日内。

六、报表中未特别说明统计范围的,皆指全行范围。

七、填报过程中,对于需要特别说明的项目或问题,请在备 注栏中描述具体情况。

八、报送截止后,对于存在疑问的报表,监管人员可要求机 构提供详实材料予以核实或重报;如有必要,将发起现场检查,并以现场检查结果为准。

九、本报表附有术语参考定义,填报过程中可供参考。第一部分报表

I信息科技风险调查问卷

Q-R-1 信息科技风险调查问卷

填报机构: 填报人: 责任人: 填报日期: 年 月 日 编号 项目 填报说明 内容 单位 备注 1.信息科技风险管理 Q0001 对信息科技制度进行定期 修订

以信息科技制度修订发文为准□是□否 N/A Q0002 对信息科技规划定期评估 并修改

若对信息科技规划定期评估并修 改,请回答是 □是□否 N/A Q0003 制定了关键岗位轮岗计划 并依照执行

以轮岗计划和记录(接替岗位后工 作至少一周)为准 □是□否 N/A Q0004 规定在职人员定期参加信 息安全及保密培训

以相应人员参与的培训记录为准□是□否 N/A 2.审计 Q0005 依据制定的审计计划、方案 开展信息科技审计

以相应批文为准□是□否 N/A Q0006 信息科技审计报告抄送风 险管理部门

以提交给风险管理部门的审计报 告为准

□是□否 N/A Q0007 与外部审计机构签署保密 协议

若所有的外部审计活动均与外部 审计机构签署保密协议,请回答是 □是□否 N/A Q0008 信息科技内部审计覆盖的 比例

请计算最近12个月信息科技内部 审计的分支机构数与分支机构数 的比值 % 3.重要信息系统 Q0009 发生核心业务系统替换或 计划实施核心业务系统替 换

若最近12 个月发生核心系统的替 换或未来12个月计划实施,请回 答是

□是□否 N/A Q0010 有多少家外部机构将系统 或设备交由本机构托管

如有其他机构(或银行)将其系统、设备或业务处理交由本机构管理(托管行为),请统计这些机构的 数量 个

Q0011 交由外部机构托管的系统 数

请统计交由外部机构托管的系统 数 个 Q0012 与本机构发生数据交换的 外联系统数量

请统计所有与本机构发生数据交 换的外联系统总数,以运行部门的 记录或外部接口文件(EIF)记录 为准 个 Q0013 生产环境中具有高耦合度 的信息系统数

若系统的耦合度高,单一系统出现 故障时会导致其他多个系统无法 正常运行,请分析和统计能导致此 类情况的系统总数。以系统结构图 或内部逻辑接口文件(ILF)为准 个 Q0014 仍在使__________用供应商已正式宣 布停止支持的系统平台的 重要信息系统数

系统平台包括:操作系统、数据库、中间件、服务器等 个 Q0015 核心业务系统中相互逻辑 分离的数据库数

例如,对公业务使用的数据库和对 私业务使用的数据库是逻辑分离 的,其中一个数据库失效不会影响 另一个数据库的正常运行,就记作 2 个相互逻辑分离的数据库 个 Q0016 重要信息系统当前容量规 划可满足业务发展需求的 最少年数

以容量规划文档为准年 4.系统开发与测试 Q0017 项目实施部门定期向信息 科技管理委员会提交重大 项目进度报告

以提交的进度报告为准□是□否 N/A Q0018 在重大项目各阶段均进行 风险评估,并向项目管理组 织沟通风险点,确定处臵方 案

以各阶段风险评估报告记录为准□是□否 N/A Q0019 业务和系统需求等经业务 部门和科技部门共同确认

以需求、设计相关文档为准□是□否 N/A Q0020 将信息安全要求纳入系统 设计

以需求、设计相关文档为准。信息 安全要求主要包括数据安全、身份 验证、权限管理等内容 □是□否 N/A Q0021 系统投产前,准生产验证环 境的软件与生产环境相同

准生产验证环境的软件包括操作 系统、数据库、中间件、应用程序。以生产验证环境和生产环境的配 臵项清单为准 □是□否 N/A Q0022 总行科技部门现行项目中,有独立质量保证人员参与 的项目总数

请统计目前分配有质量保证人员 的项目总数 个 Q0023 完成用户验收测试的项目 数

请统计最近12个月完成用户验收 测试的项目数 个 Q0024 用户验收测试(UAT)前已 完成代码安全检查的项目 数

请统计最近12个月上线的信息系 统在UAT前已完成代码安全检查工 作的项目数 个

5.信息系统变更

Q0025 建立变更的授权审批机制 对信息系统变更进行分级,针对不 同等级的信息系统变更明确相应 的审批管理程序。以相关变更授权 审批制度为准 □是□否 N/A 3 Q0026 所有涉及生产环境的变更,变更前有回退和应急方案

在系统变更前,变_______更申请部门制订 回退和应急方案。以相关方案文档 为准

□是□否 N/A Q0027 涉及生产环境的变更由业 务部门与科技部门共同审 批

以审批流程文档和审批人员清单 为准

□是□否 N/A Q0028 所有涉及生产环境的变更 由独立人员进行复核

以相关规定以及复核人员清单为 准

□是□否 N/A Q0029 所有变更都留有记录,并由 内部审计人员或信息安全 人员定期核查

以变更记录和审查记录为准□是□否 N/A Q0030 重要信息系统紧急变更数 请统计最近12个月内重要信息系 统紧急变更的次数。以系统运行部 门的记录为准 次

Q0031 涉及生产环境的变更数 请统计最近12个月内涉及生产环 境的变更总数(包括各信息科技生 产部门的重要信息系统和非重要 信息系统的变更)。以系统运行部 门的记录为准 次 Q0032 未在测试环境中进行验证 的变更数

请统计最近12个月内未在测试环 境中进行验证的变更数,以验证记 录为准 次

6.信息系统运行 Q0033 系统运行、维护、开发人员 的岗位相互完全分离且不 存在兼岗

以岗位清单和岗位职责定义为准□是□否 N/A Q0034 为所有关键岗位配备规范、准确的操作手册以指导运 行人员操作

以操作手册为准□是□否 N/A Q0035 运行人员对生产系统的操 作由独立人员复核

若运行人员对生产系统的操作有 独立人员复合,请回答是 □是□否 N/A Q0036 运行人员对生产系统的任 何操作保留操作记录

以操作记录文档和记录方法说明 为准

□是□否 N/A Q0037 对数据库均通过菜单、数据 流操作

若所有对数据库的操作均通过菜 单、数据流,而非直接操作数据库,请回答是 □是□否 N/A Q0038 批处理过程有专人监控,记 录操作及执行情况,并处理 异常事件

若批处理过程有专人监控,记录操 作及执行情况,并处理异常事件,请回答是 □是□否 N/A Q0039 利用实时监控工具对系统 运行环境、重要信息系统运 行状况等进行监控

以监控系统相关文档为准□是□否 N/A Q0040 实时监控工具具有自动4 納预 警功

第四篇:中国银监会关于银行业金融机构法律顾问工作的指导意见

【发布单位】银监发〔2016〕49号 【发布文号】银监发〔2016〕49号 【发布日期】2016-11-16 【生效日期】2016-11-16 【失效日期】 【所属类别】政策参考

【文件来源】银监发〔2016〕49号

中国银监会关于银行业金融机构法律顾问工作的指导意见

银监发〔2016〕49号

各银监局,各政策性银行、大型银行、股份制银行,邮储银行,外资银行,金融资产管理公司,其他会管金融机构:

为贯彻党的十八届四中全会精神、《法治政府建设实施纲要(2015-2020年)》、《中共中央办公厅 国务院办公厅印发<关于推行法律顾问制度和公职律师公司律师制度的意见>的通知》(中办发〔2016〕30号),落实《中国银监会党委关于贯彻落实〈中共中央关于全面推进依法治国若干重大问题的决定〉的指导意见》(银监党发〔2015〕5号)要求,加强银行业法治建设,提升银行业金融机构法律风险管理水平,促进银行业金融机构合法稳健经营,现就银行业金融机构法律顾问工作提出以下意见:

一、银行业监督管理机构监督、指导银行业金融机构法律顾问工作。银行业金融机构应当按照本指导意见,建立健全法律顾问制度,完善法律风险管理框架,将法律顾问工作纳入全面风险管理体系。

二、银行业金融机构法律顾问,是指在银行业金融机构中从事法律工作的专业人员。在银行业金融机构中拟担任法律顾问的人员应当具有法律职业资格或者律师资格;在银行业金融机构中已担任法律顾问但未取得法律职业资格或者律师资格的人员,可以继续履行法律顾问职责。

三、银行业金融机构法律顾问享有下列权利:

(一)处理银行业金融机构经营、管理和决策中的法律工作;

(二)列席本机构经营管理决策的相关会议;

(三)对涉嫌损害银行业金融机构合法权益和银行业消费者合法权益,违反法律、行政法规、银行业监督管理机构等部门发布的规章和规范性文件的行为,提出意见和建议;

(四)根据工作需要查阅本机构有关文件、资料,询问有关人员;

(五)独立开展工作,不受其他部门干涉;

(六)法律、行政法规、银行业监督管理机构等部门发布的规章和规范性文件及银行业金融机构授予的其他权利。

四、银行业金融机构法律顾问应当履行下列义务:

(一)遵守法律、行政法规、银行业监督管理机构等部门发布的规章和规范性文件以及银行业金融机构规章制度,恪守职业道德和执业纪律;

(二)维护银行业金融机构的合法权益和银行业消费者合法权益,促进银行业金融机构依法经营;

(三)对所提出的法律意见、起草的法律文书以及从事的其他法律工作的合法性负责;

(四)法律、行政法规、银行业监督管理机构等部门发布的规章和规范性文件以及银行业金融机构规定的其他义务。

五、银行业金融机构应当建立规范的法律顾问工作制度,规定法律顾问的职务序列、考评体系以及处理银行业金融机构法律工作的权限和流程等内容,确保银行业金融机构法律顾问顺利开展工作。

六、各政策性银行、大型银行、股份制银行,邮储银行,金融资产管理公司应当设置专职总法律顾问,专职总法律顾问不得兼任单位内部董事、监事及高级管理层其他职务。外资银行、城市商业银行、农村商业银行、信托公司等银行业监督管理机构批准设立的其他金融机构应当设置总法律顾问。

七、银行业金融机构总法律顾问对行长(总经理)负责。银行业金融机构应当将总法律顾问制度纳入本行规章制度,并建立总法律顾问与董事会进行直接沟通的机制。总法律顾问是否纳入高管人员管理由各银行业金融机构根据经营状况自行确定;如纳入高管人员管理的,应当符合本指导意见、《银行业金融机构董事(理事)和高级管理人员任职资格管理办法》及银行业监督管理机构其他规章、规范性文件对于银行业金融机构高级管理人员的要求。

八、银行业金融机构总法律顾问应当具备下列条件:

(一)熟悉国家法律、行政法规及监管规则;

(二)熟悉银行业金融机构法律风险管理的制度、流程;

(三)熟悉银行业金融机构经营管理;

(四)具有本科以上学历或者通过国家司法考试,并且在金融业法律部门工作6年以上,具有法律工作经验和能力;

九、银行业金融机构总法律顾问作为高管人员管理的,应当通过银行业监督管理机构的任职资格审查。任职资格审查过程中,应当听取银行业监督管理机构法律部门意见。

十、银行业金融机构总法律顾问应独立、客观、公正地开展法律工作并发表法律意见,履行下列职责:

(一)贯彻落实法律、行政法规、银行业监督管理机构等部门发布的规章和规范性文件要求;

(二)负责银行业金融机构法律风险管理工作,统一协调银行业金融机构法律工作;

(三)参与银行业金融机构重大经营决策,并对相关法律风险提出意见;

(四)负责本单位法律工作体系的建立,管理本单位的法律工作部门;

(五)负责指导、协调分支机构的法律工作,对分支机构法律工作负责人的任免提出建议;

(六)负责指导协调银行业金融机构并表管理子公司的法律工作;

(七)其他应当由银行业金融机构总法律顾问履行的职责。

十一、银行业金融机构应当于每年一季度末向银行业监督管理机构法律部门及机构监管部门报送法律顾问工作报告。

十二、银行业金融机构总法律顾问应当每年向行长(总经理)提交法律风险报告。银行业金融机构发生重大法律风险时,总法律顾问应当向行长(总经理)报告,同时报告银行业监督管理机构法律部门及机构监管部门。

十三、银行业金融机构总法律顾问应当参与银行业金融机构的重大决策。在提交决策机构审议的重要事项议案中,应当附有经总法律顾问签字的揭示风险和应对措施的专项法律风险评估报告,总法律顾问有权独立提出法律意见。银行业金融机构总法律顾问有权对银行业金融机构重大关联交易独立提出法律意见。

十四、银行业金融机构法律工作机构是指银行业金融机构设置的专门承担银行业金融机构法律工作的职能部门。法律工作机构负责人向总法律顾问负责。

十五、银行业金融机构应当根据工作需要为法律工作机构配备与其业务规模相适应的法律顾问。银行业金融机构总行(公司)应设置独立的法律工作机构。银行业金融机构分行(公司)应设置独立的法律工作机构或岗位。

十六、银行业金融机构法律工作机构履行下列职责:

(一)起草或者参与起草、审核银行业金融机构重要规章制度;

(二)对章程制定、组织架构设计、管理职能划分等进行法律论证;

(三)起草或审核银行业金融机构合同,制定标准合同文本;

(四)参与银行业金融机构的分立、合并、破产、解散等重大经济活动,处理有关法律工作;

(五)对银行业金融机构产品及其创新、经营行为等进行法律审查,并提出法律意见;

(六)负责银行业金融机构的法治宣传教育和培训工作,组织建立银行业金融机构法律顾问业务培训制度;

(七)对银行业金融机构及分支机构违反法律、行政法规的行为提出意见,协助有关部门进行整改;

(八)负责银行业金融机构商标、专利等知识产权保护工作;

(九)参与银行业金融机构的诉讼、仲裁、调解、行政复议和听证等活动;

(十)加强法治文化教育,负责对职工进行法治宣传教育;

(十一)负责选聘律师,与律师进行沟通,并对其工作进行监督和评价;

(十二)与银行业监督管理机构就重要法律问题进行沟通;

(十三)代表银行业金融机构对外开展法律协调工作;

(十四)负责银行业金融机构重大法律问题的研究工作;

(十五)办理银行业金融机构总法律顾问交办的其他法律工作。

十七、银行业金融机构的境外机构应当设置独立的法律工作机构,定期向总行(公司)法律部门报告工作。总行(公司)法律部门要加强对境外机构法律工作机构的指导和监督。境外机构法律工作机构应该承担本指导意见所规定的职责,并重点关注属地监管国家(地区)的国别风险状况、熟悉属地监管国家(地区)的法律制度、加强与属地监管国家(地区)监管当局、警察当局及司法机关的沟通协调。

十八、银行业金融机构应当建立法律风险管理评价与考核制度,将法律风险管理纳入分支机构、业务部门及其负责人绩效考核指标体系。

十九、银行业金融机构应当建立法律风险责任追究机制,依法追究对于银行业金融机构重大法律风险负有责任的负责人与工作人员的责任。

二十、银行业金融机构应当保障法律顾问和总法律顾问的各项权利,为其开展工作创造条件。银行业金融机构应当设立专项法律经费预算,为法律工作提供必要的组织、制度和物质等保障。

十一、银行业监督管理机构应当加强对银行业金融机构法律顾问工作情况的监督检查,定期对银行业金融机构法律顾问工作情况和法律风险管理的有效性进行评价,并将评价结果作为对银行业金融机构进行监管评级的重要因素之一。二

十二、银行业监督管理机构要定期对本指导意见的执行情况进行监督检查,对银行业金融机构法律顾问工作进行通报。

十三、银行业金融机构有下列情形的,由银行业监督管理机构按照法律、行政法规及规章规定,根据其违法违规情节,对银行业金融机构或直接负责的董事、高级管理人员和其他责任人员采取监管措施:

(一)未按照规定建立健全法律顾问制度的;

(二)重大经营活动未经过法律审核,或虽经审核但不采纳正确法律意见造成重大损失的。

十四、银行业金融机构总法律顾问和法律顾问有下列情形的,由银行业监督管理机构按照法律、行政法规及规章规定,根据其违法违规情节,对其采取监管措施:

(一)滥用职权、谋取私利,给银行业金融机构造成重大损失的;

(二)明知银行业金融机构存在违法违规行为,不警示、不制止的。

十五、银行业金融机构可以外聘法律顾问,外聘法律顾问的具体管理细则由银行业金融机构自行制定。本指导意见中规定的法律顾问不包括外聘法律顾问。

十六、2017年底前各政策性银行、大型银行、股份制银行,邮储银行,金融资产管理公司应当深入推进法律顾问制度,建立完善法律工作机制。外资银行、城市商业银行、农村商业银行、信托公司等机构应逐步建立法律顾问制度,到2020年全面建立与自身风险状况相适应的法律工作体系,有效提升银行业法律风险管理水平。本意见实施中遇到的问题要及时向银行业监督管理机构报告。

2016年11月16日

(此件发至银监分局和地方法人银行业金融机构)

本内容来源于政府官方网站,如需引用,请以正式文件为准。

第五篇:银行业信息科技风险监管报告

探索银行业信息科技风险监管框架

银行业信息科技风险监管概述

信息科技风险是随着信息科技技术广泛应用而新生的词汇,最早出现在上世纪九十年代,目前业界对此缺乏统一的定义。中国银监会定义的信息科技风险是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。

2001年巴塞尔新资本协议草案明确了银行业资本监管的发展趋势,即将资本要求与银行风险管理紧密相连。新资本协议以监管当局对资本计量的要求为基础,通过约束银行资本,达到控制行业规模和风险的目的。在新资本协议关注的三大风险中,信息科技风险被默认为操作风险的一部分,未对信息科技风险的管理提出具体要求。

信息科技稳定运行是银行业务正常经营的基本条件,银行数据集中造成了风险的高度集中,科技风险成为唯一能使银行瞬间瘫痪的风险。信息科技风险具有区别于其他操作风险的特殊性:一是风险因素复杂,大量使用外包和新技术使得风险控制的复杂度大幅提高;二是由于管理因素、技术因素多重作用,导致偶发性和不确定性突出;三是信息科技一般不直接造成经济损失,其造成的间接损失难以计量;四是单个信息系统可影响多个业务,影响范围广且具有不确定性。

科技风险与操作风险当前处在不同的发展阶段,其管理理论、管理方法等方面有着一定的差异性。在管理体系方面,信息科技风险管理的理论已进入风险导向的科技风险管理阶段,但以风险为导向的识别、监测、计量方面尚不成体系;在管理方法方面,信息科技风险的特殊性在于产品和技术层面的风险也是其重要风险因素;在损失特点方面,信息科技风险通常不产生直接的风险损失,这决定了通常情况下科技风险损失往往难以使用货币金额方式进行表示;在风险计量方面,目前尚缺乏有效计量信息科技风险资本的方法。

当前银行业大多将信息科技风险作为操作风险的一部分,纳入银行全面风险管理体系。但是,随着行业发展和技术进步,在操作风险模式下管理信息科技风险也存在一定的困难:一是目前的操作风险管理方法中对科技风险的管理方法涉及较少,难以兼顾到信息科技风险的专业技术特性,难以实现对信息科技风险的有效管理 ;二是风险监管资本计量未能充分考虑信息科技风险因素,信息科技风险造成的损失及其相应的监管资本计量存在困难。基于科技风险特点及其作为操作风险一部分进行管理遇到的问题,将信息科技风险从操作风险中拆分并独立管理,能更有效的管理信息科技风险。

信息科技风险应被视为一种独立的、重要的风险类型被单独管理,与操作风险的管理分开;应根据信息科技损失的特点设计与操作风险标准法和高级法匹配的计量模型,体现信息科技风险对银行资本的影响和敏感性。

银行业信息科技风险核心监管指标

在实施“风险为本”的监管框架中,需要探索建立一套可量化、相对简单、可动态监测的核心监管指标体系,来动态监测信息科技风险状况,直观评估银行信息科技风险的管理水平。

核心监管指标作为监管机构识别和预警银行风险的重要手段和方法,对健全内部风险制衡机制,完善风险管理政策和流程,优化风险计量工具,进行有效的风险控制起到了积极的促进作用。信息科技风险核心监管指标可以分为两类,一类是结果性指标,另一类是过程性指标。结果性指标是以目标为导向,对已经发生的科技风险事件和信息安全事件进行统计后建立的量化指标,其反映的是风险状况和发展趋势。过程性指标主要反映银行风险控制和管理能力。这样两类指标相互补充,起到全面评估机构风险水平的目的。

信息科技风险监管具体目标包括业务连续性、信息安全、公众满意度以及合法合规。从信息科技风险监管目标出发,可逐层分解出系统可利用率、业务量等指标,它们相对简单、直观、容易测算和计量,可以成为结果性指标。另外一类是过程性指标,这类指标基于当前银行业信息科技管理最佳实践,对信息科技的每个领域都能够起关键控制作用。监管指标一方面可以用来监测银行业整体风险状况,评估银行业风险水平,同时也可以与监管手段相结合,提高信息科技风险监管水平。

银行业信息科技风险资本计量

信息科技风险是巴塞尔新资本协议全面风险计量框架中的组成部分,科技风险资本计量是科技风险管理的重要手段。

计量信息科技风险可以借鉴当前相对成熟的操作风险的计量方法。但是,直接用操作风险计量方法计量信息科技风险存在挑战,主要表现如下:一是信息科技风险与总收入、业务交易量、客户数或业务交易金额等指标的关联并不密切;二是大部分信息科技风险的损失不是显性的,除少数信息科技风险事件(如引发客户索赔、延误罚息)有“直接损失”外,大部分信息科技风险事件的影响体现为业务中断、声誉受损等“间接损失”;三是信息科技风险损失数据相对较少,极端严重事件的数据更少,计量 “尾部风险”面临挑战。

基于高级法的计量思路是在操作风险的统一计量框架下对信息科技风险这一类型单独计量,可将信息风险损失定义为金额损失和时间损失两个维度,建立时间与金额的转换关系,拟合频率分布和严重度分布,之后整合为总损失分布,根据置信度确定未来一定时期内的非预期损失,最后用内部衡量法进行调整得出计量结果。将科技风险持续时间转换为间接损失金额有两种方法,分别为解析法和映射法。解析法是考量信息系统对银行利润贡献度,即某个信息系统单位时间对银行产生的利润,根据系统中断时间、影响范围、系统重要性进行计算,得出信息科技风险事件的间接损失。映射法是根据影响范围和系统重要程度将影响时间加权计算转化为“标准”的影响时间,然后建立标准影响时间与损失金额之间的映射关系,从而确定损失。

未来,随着信息技术的飞速发展,银行业对信息科技的依赖越来越大,云计算、物联网等新技术既加快了银行创新发展,对信息科技风险管理提出了更高的要求;快速变化的外部环境,开放的互联网环境,技术类企业、第三方平台等非金融机构与银行业的业务服务不断融合等,所有这些都使得信息科技风险管理与监管面临着更加现实的挑战,需要我们不断地思考和研究,提高信息科技风险管理能力。

(本文是中国金融四十人论坛内部课题《银行业金融机构信息科技风险监管研究》的报告简本,课题得到中国金融四十人论坛立项资助并组织专家评审)

下载中国银行业信息科技“十二五”发展规划监管指导意见(农村金融机构篇)word格式文档
下载中国银行业信息科技“十二五”发展规划监管指导意见(农村金融机构篇).doc
将本文档下载到自己电脑,方便修改和收藏,请勿使用迅雷等下载。
点此处下载文档

文档为doc格式


声明:本文内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:645879355@qq.com 进行举报,并提供相关证据,工作人员会在5个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。

相关范文推荐