第一篇:关于严防以侵害银行为目的的诈骗案风险提示通知》自查报告
杨疃信用社《关于严防以侵害银行为目的的诈骗案风
险提示通知》自查报告
为防范因账户管理松懈可能形成的风险隐患,根据中国银行业监督管理委员会宿州监管分局风险提示书([2011]1号)及联社相关要求,本社开展账户风险排查工作,现将自查情况汇报如下:
一、成立组织
我社成立以内勤主任陈倩怡为组长的账户自查领导小组,成员为主办结算柜员石翠红、潘好、张冬冬、张敏,主要负责对本社大额账户开立、资金流情况进行全面排查。
二、本社账户自查情况
1、全面排查异常变动账户情况:
经过自查,在本社开立所有账户均符合人民银行开户规定,开户手续齐全,账户资料真实有效。单位开立账户使用符合规定,不存在开户资料未经有权人审查并签署意见而开户的问题。凡账户资料有变动,均提供了符合条件的申请变动资料。本社无异常变动有疑点账户。
2、大额定期存款排查情况:
本社无对公单位大额定期存款。本社对个人定期储蓄存款开户均要求客户提供存款人有效身份证件并及时查验、登记大额交易,对于提前支取的,要求客户本人携带有效身份证办理此项业务。
3、大额储蓄存折、卡分离账户排查情况。
本社对大额存款的支取都要求临柜人员严格审查,并及时登记大额登记簿,每月查看存款前20名客户的资金流情况,未发现有折、卡分离账户的异常使用情况。
以上为杨疃信用社账户风险自查情况。通过此次风险排查,增强了我社职工的法规意识和责任感,有力地促进了全员按制度办事、依规程操作的自觉性,积极主动地参与这次排查活动,为以后的工作打下了坚实的基础。
杨疃信用社 2012年1月3日
第二篇:中国银行业监督管理委员会办公厅关于防范网银客户信息泄露风险提示的通知
中国银行业监督管理委员会办公厅关于防范网银客户信息泄露风险
提示的通知
银监办发[2010]第29号
2010年1月29日
各银监局,各政策性银行、国有商业银行、股份制商业银行,邮政储蓄银行:
近期,某银行业金融机构在对网银系统监控中发现了不法分子攻击迹象,已及时报案并协助公安部门迅速破获了案件。为提高银行业金融机构对类似事件的风险防范及应急处置能力,现就该案件有关情况及风险提示通知如下:
一、案例概况
不法分子根据互联网上下载的“特征码识别程序”自行编写了密码猜解软件,该软件在进行账号、口令猜测的同时,“特征码识别程序”能自动识别不断变化的验证码。不法分子利用密码猜解软件,通过锁定某一固定密码反复轮询账号的方式,对多家银行业金融机构的网银系统发起暴力猜测攻击,最终非法获取了两家银行数百个客户的网银账号、查询密码等信息。
二、主要风险点
此案中被不法分子攻击的某银行由于监控到位、及时报警,没有造成客户资金损失,但是暴露出银行业金融机构在网银系统安全方面存在的一些薄弱环节。
一是网银系统“验证码”复杂度不足。被攻击银行的网银系统“验证码”仅采用简单的数字或字母,未进行变形和扭曲,复杂度不高,利用“特征码识别程序”自动识别的准确率几乎达到100%。
二是网银系统缺乏对密码复杂度的检测与提示机制。本案中不法分子尝试成功的密码均为“888888”、“666666”、“555555”、“123456”等弱口令,显示出一些客户缺乏密码设置的安全意识,而网银系统缺乏对密码复杂度的检测与提示机制,增加了不法分子破解密码的可能性。
三是缺乏有效的监测和报警机制。不法分子在发起攻击时,曾经在同一天内,使用同一IP地址和不同账号尝试网银登录高达10多万次,而部分银行缺失监测机制,在接到公安部门配合调查、取证的通知时才获悉网银系统遭到非法攻击。
四是缺乏报告意识。在互联网环境下,不法分子攻击范围广泛,攻击手段不断翻新,因此各银行业金融机构及时了解风险趋势并采取防范措施十分必要。本案中涉及的银行业金融机构均未向银监会及其派出机构报告,监管部门不能及时掌握有关情况并向各银行业金融机构警示风险。
三、风险防控要求
各银行业金融机构应吸取本案教训,做好以下工作:
一是要尽快评估此类攻击对网银系统的危害,查找“验证码”等当前安全机制存在的问题,及时调整安全策略。并在此基础上,建立网银系统全面、动态的安全评估机制。
二是建立有效的入侵监控和报警机制,提高对网银系统攻击行为的检测和分析力度。在对各类日志自动分析的基础上,加强人工审核,对任何异常或可疑行为都要进行深入分析、调查。
三是加强安全防护机制建设,部署多重防护措施,不断提升系统应对互联网各种新兴黑客攻击技术的能力,提高网银系统的整体安全性。
四是加强客户安全教育,培养客户的安全意识和良好的计算机使用习惯。对于典型案例,要加大警示宣传力度。
五是强化重大事件报告制度。对于网银等信息系统重要数据损毁、丢失、泄露等事件,必须按照银监会有关要求,在第一时间及时上报银监会及其派出机构。
请各银监局将本通知转发至辖内银监分局及相关银行业金融机构。
第三篇:基于内部控制视角的商业银行操作风险管理研究——以邮政储蓄银行为例
中国邮政储蓄银行内部控制案例分析
【摘要】近年来,随着金融自由化的推进,金融监管有所放松,我国商业银行间的市场竞争进入白热化状态,商业银行风险急剧增加在,此基础上金融犯罪的不良事件屡屡发生,严重影响了银行在人们心目中的形象,降低了人们对银行的信任度。内部控制在商业银行运营过程中起着举足轻重的作用,它对商业银行防范和发现各类风险有着不可替代的作用。因此,商业银行要尽快建立健全内部控制机制,加强风险防范,才能在激烈的竞争中脱颖而出。
中国邮政储蓄银行虽然进入银行界较其他几大国有银行较晚,近年来取得的成绩得到了外界高度的评价和肯定。但是,其在内部控制上仍存在较多问题,具体表现有内部控制环境建设薄弱、内控信息和沟通存在障碍、内控执行不到位、风险防控流于形式、监督执行不到位等。这些问题对中国邮政储蓄银行转型及发展带来了很大的风险。因此,如何加强风险管理、加强内部控制成为中国邮政储蓄银行的重中之重。
关键词:中国邮政储蓄银行,风险管理,内部控制
一、中国邮政储蓄银行简介
中国邮政储蓄银行于2007年3月20日正式挂牌成立,是中国第五大银行,是在改革邮政储蓄管理体制的基础上组建的国有商业银行。
2012年2月27日,中国邮政储蓄银行发布公告称,经国务院同意,中国邮政储蓄银行有限责任公司于2012年1月21日依法整体变更为中国邮政储蓄银行股份有限公司。2015年12月开始,中国邮政储蓄银行由单一股东向股权多元化迈进,引入十家境内外战略投资者,进一步提升了综合实力。2016年8月27日,中国邮政储蓄银行80亿美元香港IPO获批。2016年9月28日,中国邮政储蓄银行在香港联交所主板成功上市,圆满完成”“股改—引战—上市”“三步走改革路线图,正式登陆国际资本市场。
目前,邮储银行拥有营业网点近4万个,服务个人客户达5.22亿户,在 “2016年全球银行1000强排名”中,按总资产位居第22位,按一级资本位居第39位。
二、中国邮政储蓄银行案例背景
近年来,邮储行**不断。2012年初,邮储银行股份公司正式挂牌,注册资本450亿元。“刚挂牌几个月,财政部的派出董事还未到位,邮储银行就出事了。”其行长陶礼明于2012年12月底被正式批捕,涉嫌挪用公款、受贿、贪污等罪名。者从一定程度上说明了邮政储蓄银行的内控是有问题的。除此之外,邮政储蓄银行近年来发生的一系列储户存款被盗,欺骗客户将保险业务说成是储蓄业务,违规贷款等事件也暴露了许多问题。
客户到邮储行存款时,银行销售人员借机让客户在保单上签字,客户在不知情的情况下购买了保险产品,直到取钱时才发现存款变成了保单,不但拿不到利息,还要因为提前退保被扣除手续费,致使本金亏损。此类事件在许多银行都层
出不穷的上演过,很多客户都遭受了损失。
在发生的许多银行卡被盗刷事件的处理过程中,邮政储蓄银行也显得不够积极。有时根本不作出回应,等媒体报道力度加大时才开始着手处理,处理的结果也往往令客户感觉差强人意。有时竟然回复不知道如何解决,建议客户走司法程序。这都反映了邮政储蓄银行工作人员在态度和能力上的欠缺。
三、中国邮政储蓄银行内部控制中存在的问题
(一)内部控制环境建设不完善 1.内控文化氛围缺失
邮储银行内部控制起步较晚,内控观念和内控意识相对滞后。并且邮政储蓄银行的定位是服务基层,即坚持服务“三农”、服务中小企业、服务城乡居民,网点多分布在基层邮局。虽然邮储行的网点高达4万个,但农村的网点占了绝大部分,网点规模小,设备陈旧,而且农村的从业人员专业素质普遍偏低,对风险的认识很难准确定位。
2.人力资源管理不合理
对于邮政储蓄银行的员工而言,尤其是基层员工,因为直接面向客户,除要求对所在岗位技能及知识掌握过硬外,还必须熟悉其他业务知识。针对专业知识技能的培训活动与管理者的要求却不相匹配,培训活动少,培训工作跟不上业务发展的步伐,员工专业知识相对匮乏,业务技能得不到有效提升。
在招聘新员工环节中,多招聘银行家属子女或亲戚,忽略了其学历、专业是否与银行所需岗位对口。在银行内部,“关系户”可以轻松获得锻炼机会,晋升空间相对较广,而对于毫无背景的优秀员工来说,锻炼机会、晋升之路却异常艰辛。
3.内部控制制度建设未能跟上业务发展
邮政储蓄银行自从设立以来,由原先只有邮政储蓄这一单一业务,逐渐发展了保险、理财、信贷、外汇、票据等业务,然而,邮政储蓄银行内部控制制度建设却并未跟着业务发展而与时俱进。比如:旧规定和新业务之间往往存在着一定的冲突,或存在业务漏洞让基层员工无所适从;在制定新的控制制度时,未考虑各部门之间的交互关系,对各部门具体情况未进行实际了解,针对性不强,导致新的制度无法有效实施。
4.基层组织结构设置不合理
中国邮政储蓄银行管理结构复杂。在纵向结构上,中国邮政储蓄银行跟其他商业银行组织结构一样,但是邮储银行在横向上实行属地原则,邮储银行要想开展业务需要得到在当地邮政局的授权,服从地方邮政局的管理。
其次,网点类型多样。中国邮政储蓄银行在全国的4万多个营业网点,类型不一样,共分三种:第一种,银行自营网点;第二种,共管类营业网点;第三种,邮政局代理网点,管理、收入归邮政局。对于第三种,银行只负责业务指导与审计,不承担代理网点发生的案件风险。
以上两点导致了邮政企业与银行关系错综复杂,有重复有真空,容易造成业务恶性竞争、监管漏洞,带来风险隐患,影响银行的稳步健康发展。
(二)内部控制制度执行不到位 1.越权操作时有发生
日常业务中,违反授权规定的情况时有发生,最常见的就是信贷业务的上报系统越权行为。根据相关制度,信贷员上报业务至审查审批岗必须先经过其所在支行分管领导工号进行审批后,方可进入审查环节。然而,由于支行分管领导经常外出营销业务或者参加各项会议,有些网点的信贷员就会自行登陆分管领导工号进行批复,这样中间的审核环节往往就变得形同虚设,而这种行为由于系统的局限性也很难被发现。
2.遵守内控制度的自觉性不强
内控制度是由人制定,更要靠人去执行。由于邮储银行员工合规意识不强,未自觉执行各项制度,常常以习惯代替制度,以信任代替制度。不按规定的流程操作,甚至减少业务操作过程中必要环节,如未严格执行不相容职务分离的原则,保险柜钥匙和秘钥未分开掌管,或者没有会计从业资格证的员工从事着稽核或者库管的工作等;需验证存折真伪的,但未验证;需客户本人办理的业务,却由代理人办理等,为风险和事故的发生埋下隐患。
(三)内控信息与沟通存在阻碍 1.信息沟通机制冗杂,时效性差
中国邮政储蓄银行实行“总-分”经营模式,在总行的统一指导下,各省设置一级分行、二级分行、一级支行管理机制,直至营业网点,信息需从上至下层层传递或从下至上层层反馈,沟通机制冗杂。虽然中国邮政储蓄银行上下机构可以通过专门的综合办公信息处理平台来分享信息,但是不是所有的员工都有权限可以登陆这个平台,大部分还得通过部门领导或支行长来获得总行或者上级机构的相关信息。管理人员的决策不能及时传达给工作人员,银行基础工作人员不能将工作中发现的问题及时反馈给管理层,信息传递时效性差。
2.信息交流与反馈效果不佳
因银行与邮政分而治之,且银行大部分网点为邮政企业的代理网点,所以在银行与邮政企业之间,信息传递却存在不及时或遗漏的情况,信息执行效果弱化。而且,在银行各个部门之间也存在着信息沟通不顺、相互推诿的情况,比如关于一些新的业务规定或者新系统的业务流程,总行通常是下到各省分行的业务部门,各省分行业务部门再将规定往下转发,而隶属于省行、负责业务事后监督的稽核部门通常接收不到此类相关信息,造成了业务规定不一致、稽核混乱的情况,给
网点执行相关业务带来了一定的困扰。
(四)内部监督审计独立性不强,与业务发展不适应
1.内部审计人员新业务制度更新掌握较少,导致其专业水平较差。同时人员的综合素质参差不齐,有些只掌握财务会计知识、对审计知识和法律知识只是有些了解,更缺少非现场审计分析的人员。审计工作还是只停留在对银行日常行为的常规检查,非现场审计手段单一,很难及时提示风险点及关键点。
2.内部监督审计由同级单位行长领导,内审人员发现问题一般向同级行长报告并对其负责,是否向上级报告再由同级行长决定,严重影响了内审的独立性和权威性。并且内审人员的工资薪酬也由同级行长决定,这就影响了审计工作的公正性和效果,不利于其发挥监督职能。
四、完善邮政储蓄银行内部控制的对策和建议
(一)加强内部控制的环境建设 1.建立强有力的内控文化
邮储银行要不断更新内控理念,培育和谐的内控文化。一是建立合理的激励约束机制,持续开展内控文化和内控理念的宣贯,提高各层级人员的内控意识和合规意识,增强对合规风险的了解,充分认识各类违规行为的严重性。二是在日常管理中管理层要加强内控理念的更新和宣传,在银行内部倡导强有力的内控文化,并从自身做起,发挥表率作用,使员工在日常工作中能够自觉做到风险控制。
2.加大员工的业务技能培训力度,优化员工晋升渠道
针对员工对业务不了解、不熟练、不专业的情况,中国邮政储蓄银行要加大员工的业务技能培训力度,及时培训,按时培训,有针对性的对特定人群、特定业务进行培训,以免浪费人力、物力和时间。优化员工的晋升渠道,完善员工晋升机制,对于银行内部的优秀员工,给予积极鼓励及公平的锻炼、晋升机会,留住银行优秀员工,为银行长远发展打造出一支优秀的精兵强将。
3.继续完善邮政储蓄银行内部控制制度
随着经济的发展,银行的经营环境在不断变化,中国邮政储蓄银行也要跟上经济发展的步伐,及时更新已有的旧的内部控制制度,或制定新制度,以便其能够满足业务发展需要,防止制度和业务发展步伐不统一,无法有效防范各类风险。首先是要通过对银行业务流程中风险的系统排查,找出各环节的风险点,制定出科学化、标准化、系统化的规章制度,设计出具有预见性、全面性、可操作性的业务操作流程。除此之外还要重视内控制度的更新,及时制订或修订,不断适应业务发展的要求,随时把最新的、最切合实际的内控制度传达到各级人员,便于员工学习、查阅和利用,提高制度可执行性。
4.加强对代理网点的监督管理
基于邮政储蓄银行特殊的组织模式,邮政代理网点要在银行统一的风险管理和合规管理框架下发展,这需要各级邮政企业的经营管理人员尽职尽责做好代理
金融的管理工作。各级邮政企业要认真执行中国邮政集团公司及中国邮政储蓄银行各项规章制度,严格落实三级权限管理、加强重点岗位及关键环节检查、强化专职检查队伍建设、加大业务知识培训力度、创新检查方法、增强技防手段,配合中国邮政储蓄银行做好存在问题的整改工作。代理网点的风险控制一定要符合银行制度的要求。各级分行在强化银行网点风险防控的同时,要把代理网点的风险防控纳入自己的职责范围,以更专业的视角帮助代理网点提高风险防控能力。
(二)开展高效的内部控制活动 1.完善授权审批程序
首先,实行商业银行总行统一授权,并坚持“授权有限”的原则,严格和完善法人授权制度以及转授权制度,明确被授权者在履行权力时的责任和权限;其次,明确授权范围和责任,根据各分支机构和业务职能部门经营管理水平、风险控制能力区别授权,同时根据业务金额大小、经济活动的重要程度确定不同的授权批准层级;再次,商业银行应根据各分支机构和业务职能部门经营管理状况、风险变化情况以及授权制度执行和反馈情况及时调整授权; 还有,应严格制定各类业务的审批程序,对越权行为予以严厉处罚,对越权造成的损失应追究相应的责任。
2.建立健全案件责任追究制度
对于不遵守内部控制制度,不自觉执行内部控制制度的员工,要坚持从严处理,违规必究,不但要追究当事人的责任,而且要追究有关领导的连带责任。建立永久责任制度,无论问题何时暴露,原当事人走到哪里,都要按照规定严肃追究原当事人的责任。
(三)丰富信息沟通渠道,完善网络信息系统
在银行内部,完善信息的横向、纵向传递机制,保证传递渠道畅通,使得信息能够及时、准确的传递。治理层、管理层能实时了解银行的发展动态、经营状况和风险管控情况,各条线员工能够及时了解并掌握与其工作岗位相关的制度要求及信息。建立一套自上而下的内部控制信息反馈机制,并保证反馈渠道的畅通,使得银行内部所有员工都能够及时将发现的问题,通过反馈渠道、按照相应的反馈程序,报告给相应的部门,以使银行的董事会、监事会以及高级管理层能够根据获取到的本行相关的信息,及时作出准确、科学的判断,进而作出相应决策。
有鉴于邮政储蓄银行其组织结构的其特殊性,为了有效降低信息沟通不畅产生的风险,各省、市分行要加强与同级邮政企业的互动,定期召开联合会议,传达总行相关文件精神或新的业务制度要求,或者对业务指导过程中发现的邮政网点存在的问题以及问题的整改、落实情况,及时的与同级邮政企业沟通,督促其整改、落实。
(四)加强内部控制监督力度,提高内审有效性
1.提高内部审计人员的地位,增强其监督和控制的作用
重视内部审计的作用,设立独立的内审机构,由上一级垂直领导、管理和考核,工作内容由上一级领导安排,并对上一级领导负责,增强内部审计人员的独立性和监督的权威性,提高内审有效性。
2.加快内审队伍建设,提高内审人员素质和业务能力 加快培养既拥有财务会计专业知识和法律知识,又精通银行专业知识的综合型内审人才。内审人员可从有经验的财务会计或业务部门的人员中挑选,通过持续培训和学习,进一步提高其对业务风险点的研究和分析能力,以适应银行的风险控制要求。只有审计人员的能力提升了,才能真正发挥内部审计人员在内部控制中的监控作用。
第四篇:会计操作风险提示单银行把好开户审核第一关,严防以虚假开户证明文件,骗取开立银行结算账户范文
内部信息 注意保密
会计操作风险提示单
发送:各省直分行会计结算部、风险监控部
抄送:张行长、彭行长、于首席
编号:AORI(2006)02 号„总第002号‟
4会计结算部、风险监控部 制作
2006-4-7