第一篇:某银行信息科技风险识别与评估管理办法
某银行信息科技风险识别与评估管理办法
第一章
总
则
第一条
为规范信息科技风险评估工作,提高某银行信息科技风险管理水平,促进我行业务安全、持续、稳健发展,根据国家信息安全法律、法规及银行业信息科技监管要求及《某银行信息科技风险管理策略》,结合我行风险管理实际情况,特制定本办法。
第二条
本办法属于信息科技风险类“管理办法”,适用于某银行信息科技工作全过程的风险评估。风险评估对象包括信息科技组织、管理过程和信息资产。
第三条
信息科技风险,是指信息科技在合规管理、支持业务创新和业务运营过程中,由于管理流程及资源缺失或不足、人为因素和技术漏洞产生的操作、法律、声誉等风险。
第四条
信息科技风险评估是指在信息科技风险事件发生之前或之后(但还没有结束),该事件给信息系统的研发、生产等各个方面造成的影响和损失的可能性进行量化评估的工作。
第五条
本办法所指的信息科技风险类型及来源包括但不限于以下内容:
(一)信息科技总体风险是指信息科技在策略、制度、物理环境、软件、硬件、网络、数据、文档等方面影响全局或共有的风险。
(二)信息系统风险是指信息系统在规划、研发、建设、运行、维护、监控及下线过程中由于技术和管理缺陷产生的风险。
(三)研发风险是指信息系统在研发过程中组织、规划、需求、分析、设计、编程、测试和投产等环节产生的风险。
(四)运行维护风险是指信息系统在运行与维护过程中访问管理、操作管理、变更管理、机房管理和事件管理等环节产生的风险。
(五)外包风险是指本行将信息系统的规划、研发、建设、运行、维护、监控等委托给业务合作伙伴或外部技术供应商时形成的风险。
第六条
信息科技风险评估是识别、计量、评价信息科技风险的活动,旨在客观反映信息科技对我行发展战略的支撑程度。
第七条
风险评估应遵循“全面覆盖、突出重点、持续跟进”的原则。
第八条
总行、一级分行的信息科技风险评估(含自评估)工作应遵照本办法执行。
第二章
角色分工
第九条
风险评估可由总行信息科技管理委员会或一级分行发起,承担机构是风险管理部,风险管理部负责组建风险评估实 施团队。风险评估实施团队由管理层、相关业务和技术骨干等人员组成,评估工作角色分为:评估管理人员、评估人员、评估分 析人员。
(一)评估管理人员由风险管理部信息科技风险管理岗担任,负责组织、管理、监督风险评估任务,包括:
1.制定风险评估任务计划
2.设计风险评估方案
3.审核风险评估报告
4.确认风险处置建议
5.跟踪风险评估任务进度
6.控制风险评估任务质量
(二)评估人员负责按照风险评估任务要求,收集并提供信息和证据,如实反映信息科技工作现状。评估人员由评估对象 所涉及的相关技术或业务骨干人员担任;
(三)评估分析人员负责汇总、整理和分析采集到的信息与证据材料,编写风险评估报告。评估分析人员由行内经验丰富的专业人员担任,必要时可聘请业内专业人员。
第十条
在同一风险评估任务中,评估实施团队成员不少于三人,评估管理人员和评估分析人员不得兼任评估人员。
第三章 风险评估计划
第十一条
总行和一级分行每年度应开展一次整体信息科技风险评估,两次以上专项信息科技风险评估。
第十二条
信息科技风险评估要以信息科技风险监测信息、数据以及其他有关信息为基础,遵循科学、透明和个案处理的原则进行。
第十三条
出现以下情况时,应结合本单位以往风险评估情况,确定是否启动专项信息科技风险评估:
(一)新系统上线后或已有系统进行重大变更;
(二)信息科技运行中发现重大纰漏或隐患;
(三)内部或同业出现重大信息科技事件;
(四)信息科技审计中发现重大问题;
(五)监管机构发布风险提示;
(六)其他情况。
第十四条
一级分行根据总行风险评估工作要求,结合本行实际情况制定风险评估计划,并报总行备案。
第四章 风险识别与评估方法
第十五条
风险评估通过人工评估或自动化工具测评等手 段识别、分析支撑 IT 目标的流程和资源中存在的缺失或不足,判断风险优先级,提出风险处置建议。
第十六条
总行信息科技管理委员会或一级分行发起风险评估任务,并下达任务书。评估管理人员依据任务书组织编写风险评估任务计划书和风险评估方案。
第十七条
评估管理人员组织人员依据评估对象的业务目标识别IT 服务目标,进而分析支撑IT 目标的流程和资源,并针对流程要素和资源要素设计风险检查表。
第十八条
评估人员依据风险检查表,采用人工或自动化工具对评估对象的信息科技状况进行信息收集。信息收集可采用调查、检查、安全测试等方式:
(一)调查包括问卷调查、远程访谈、现场访谈等;
(二)检查包括文档检查、代码检查、流程检查等;
(三)安全测试包括人工测试、自动化测试以及综合性渗透测试等。
第十九条
评估分析人员采用定性或定量的计算方法,依据各类风险对实现 IT 目标的影响,计算出评估对象的风险优先值或级别,并进行分析:
(一)风险成因分析,分析诱发风险的主观因素和客观因素。主观因素包括流程缺失、控制不足或无效等;客观因素包括资源缺乏、内外环境影响等。
(二)风险占比分析,依据对IT 目标的影响程度,分析评估对象当前状态下各类、各级风险占比情况;
(三)风险对比分析,对同次任务中不同机构的风险状态进行对比,分析各类风险在不同机构的分布状况及影响;
(四)风险趋势分析,对不同时期的相同任务结果进行对比,分析同一风险的增强或减弱情况,了解风险的发展趋势。
第二十条
风险分析可采用以下手段:
(一)专家经验;
(二)风险分析模型;
(三)风险分析工具。
第二十一条 评估分析人员针对风险评估任务中揭示的风险类型和状态,结合组织机构、业务需求和安全要求,提出风险处置建议,包括降低、转移或消除风险的措施、预期效果等。
第二十二条 评估分析人员编写风险评估报告,内容包括风险评估任务描述、风险分析、风险处置建议等。评估报告经评估管理人员审核后提交信息科技管理委员会。
第二十三条 风险评估过程(附件1)分为三个阶段:风险评估准备、信息收集和风险识别分析。
第五章 风险评估准备
第二十四条 根据风险评估计划,总行信息科技管理委员会或一级分行提出信息科技风险评估任务,编制风险评估任务书(附件 2),明确任务目标、评估对象、评估范围、任务起止时间、风险管理部门等。
第二十五条 风险管理部组建风险评估团队,指定风险评估管理人员、风险评估人员和风险评估分析人员,并授权风险评估团队开展风险评估工作。
第二十六条 评估管理人员组织制定风险评估任务计划书(附件 3),明确风险评估实施活动的计划安排,主要包括:
(一)团队组织:包括成员名单、角色、职责等内容;
(二)工作计划:描述各阶段的工作安排,包括工作内容、时间进度和各阶段成果清单等内容。
第二十七条 评估管理人员组织设计评估方案,评估方案包括风险检查表(附件4)、信息收集方式、风险分析方法等。
第二十八条 设计风险检查表时遵循以下过程:
(一)分析评估对象的业务目标和IT服务目标;
(二)识别实现IT 目标的工作流程和资源;
(三)识别影响工作流程和资源中的关键因素,主要考虑各流程要素的活动内容、关联关系、流程目的、实现方式、所需资源等;
(四)根据关键因素设计风险检查项、检查指标和评价权重,形成风险检查表。
第二十九条 评估管理人员通过风险评估启动会等形式启动具体风险评估工作。
第六章 信息收集
第三十条
评估管理人员将风险检查表分发给评估人员,并告知信息收集方法及填写要求。
第三十一条 评估人员通过调阅文档、收集日志、现场访谈、工具测评等方式获取风险评估所需信息。信息内容包括但不限于:IT 制度及执行情况、技术文档、以往审计报告、风险管理报告、日志记录、访谈记录、测试报告等。
第三十二条 评估人员根据采集的信息,填写风险检查表,并保留证据。
第三十三条 评估管理人员督查信息收集进展情况,按计划收回风险检查表,并审核填报信息质量。必要时,可要求评估人员补充信息和附加证据。
第三十四条 评估管理人员将风险检查表提交评估分析人员。第七章 风险分析
第三十五条 评估分析人员按评估方案确定的风险分析方法对风险检查表进行汇总、梳理,评定风险等级,分析风险成因,提出风险处置建议,形成风险评估报告(附件5)。报告包括但不限于以下内容:
(一)风险评估任务概述
(二)风险评估活动描述
(三)风险分析,包括总体风险分析、风险占比分析、风险对比分析、风险趋势分析
(四)风险成因分析
(五)风险处置建议
(六)详细风险列表
第三十六条 评估分析人员将风险评估报告提交评估管理人员。
第三十七条 评估管理人员定期督查风险分析进展情况,指导风险分析工作,组织审核风险评估报告,形成正式报告提交风险管理部负责人。
第三十八条 风险管理部将风险评估报告上报信息科技管理委员会,并通过风险评估任务总结会等形式,通报风险评估情况。
第三十九条 风险管理部将风险评估资料归档管理。
第八章
附则
第四十条
本管理办法由某银行总行制定并负责解释和修订。
第四十一条 本管理办法自发布之日起执行。
第二篇:村镇银行信息科技风险管理办法
村镇银行信息科技风险管理办法
(征求意见稿)
第一章 总 则
第一条 为加强村镇银行信息科技风险管理,确保科技体系持续稳定运转,根据《商业银行信息科技风险管理指引》等有关法律、法规,制定本办法。
第二条 信息科技风险管理是通过建立有效机制,实现对银行信息系统风险的识别、计量、评价、预警和控制,推动村镇银行业务创新,提高信息化管理水平,保障村镇银行业务持续平稳发展。
第二章 信息科技风险管理组织架构
第三条 信息科技风险是指信息系统在规划、研发、建设、运行、维护、监控及退出过程中由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第四条
发起行科技信息中心是村镇银行信息科技风险的主要管理部门,发起行科技信息中心有以下信息科技风险管理的权限和职责:
(一)建立有效的信息科技风险管理管理架构,完善内部组织结构和工作机制,防范和控制信息科技风险管理;
(二)贯彻执行国家有关信息系统相关法律、法规和技术标准,落实人民银行和银监会相关监管要求;
(三)履行村镇银行信息系统的规划、研发、建设、运行、维护和管理职责,建立、健全村镇银行信息科技风险管理相关规章、制度,并严格执行;
(四)负责村镇银行信息系统的规划、研发、建设、运行、维护和监控等工作,提供村镇银行信息系统日常信息服务和运行技术支持;
(五)负责指导和监督村镇银行科技部门落实有关信息科技风险管理的各项规章制度;
(六)发起行科技信息中心安全科是村镇银行信息科技风险管理的牵头部门,发起行科技信息中心各科室按其职责范围承担相应工作。
第三章 信息科技风险具体控制要求
第五条 信息科技总体风险点是指信息系统在策略、制度、机房、软件、硬件、网络、数据、文档等方面影响全局或共有的风险。包括以下风险点:
(一)缺少信息系统风险管理策略;
(二)自然灾害、运行环境变化;
(三)信息系统相关规章制度、技术规范、操作规程不完善;
(四)信息安全标准化工作不符合国家相关规定;
(五)缺乏信息安全风险评估机制;
(六)数据中心机房物理安全;
(七)使用盗版软件及自有成果的知识产权保护;
(八)电子设备自身运行;
(九)主机与网络运行;
(十)网络安全;
(十一)密码安全;
(十二)数据加密安全;
(十三)信息系统配置参数管理;
(十四)数据管理;
(十五)突发事件响应;
(十六)信息系统故障导致影响银行信誉;(十七)网上银行安全。
第六条 信息系统总体风险控制措施:
(一)根据村镇银行信息系统总体规划,在村镇银行风险管理政策指引下,制定明确、持续的信息系统风险管理策略,根据信息系统的等级保护级别对信息系统进行分析和评估,并实施有效的风险控制;
(二)建立同城信息系统灾备中心实现运行环境备份,防止各类突发事故和恶意攻击事件造成不良后果;
(三)建立健全相关信息科技制度,明确信息系统相关人员的职责权限,建立制约机制,实行最小授权;
(四)严格执行国家信息安全相关标准,参照有关国际准则,积极推进信息安全标准化,开展信息安全等级保护等相关工作;
(五)加强对信息系统的风险评估,及时对风险点进行修补和完善,以保证信息系统的安全性和完整性;
(六)信息系统数据中心机房建设时严格参照国家有关计算机场地、环境、供配电等技术标准,数据中心机房实行严格的门禁管理措施,未经授权不得进入;
(七)加强知识产权保护,使用正版软件,加强软件版本管理;积极研发具有自主知识产权的信息系统和相关金融产品,并采取有效措施保护村镇银行信息化成果;
(八)严格执行与银行信息系统相关的电子设备的选型、购置、登记、保养、维修、报废等相关规程,选用的设备应经过技术论证,测试性能应符合国家有关标准。信息系统所用的服务器等关键设备应具有较高的可靠性、充足的容量和一定的容错特性,并配置适当数量的备品、备件;
(九)严格参照相关标准和规范设计、建设信息系统网络;网络设备应兼备技术先进性和产品成熟性;关键网络设备和线路应有冗余备份;严格线路租用合同管理,按照业务和交易流量要
求保证传输带宽;监测和管理通信线路及网络设备,保障网络安全稳定运行;
(十)加强网络安全管理。严格网络边界控制,使用各种技术手段降低外部攻击、信息泄漏等风险;
(十一)加强信息系统加密机、密钥、密码、加解密程序等安全要素的管理,使用符合国家安全标准的密码设备,完善安全要素生成、领取、使用、修改、保管和销毁等环节管理制度;
(十二)加强数据采集、存贮、传输、使用、备份、恢复、抽检、清理、销毁等环节的管理;优化系统和数据库安全设置,严格按授权使用信息系统和数据库,采用适当的数据加密技术以保护敏感数据的传输和存取,以保证数据的完整性、保密性;
(十三)对信息系统配置参数实施严格的安全与保密管理,防止非法生成、变更、泄漏、丢失与破坏。根据敏感程度和用途,确定存取权限、方式和授权使用范围,并严格审批和登记手续;
(十四)制定信息系统相关应急预案,并定期进行演练、评审和修订;
(十五)加强对技术文档资料和重要数据的备份管理;技术文档资料和重要数据应保留副本并异地存放,按规定年限保存,调用时应严格授权管理;
(十六)在信息系统可能影响客户服务时,及时通知业务部门,以便以适当方式告知客户;
(十七)采取有效技术措施,切实加强网上银行信息安全保
障。加强网银用户身份认证管理,与业务部门密切配合,逐步对所有网上银行高风险账户操作统一使用双重身份认证。积极研发和应用各类维护网上银行使用安全的技术和手段,保证安全技术和管理水平能够持续适应网上银行业务发展的安全要求。
第七条
信息科技研发风险的操作风险点是指信息系统在研发过程中组织、规划、需求、分析、设计、编程、测试和投产等环节产生的风险。包括以下风险点:
(一)信息系统项目研发管理;
(二)信息系统项目开发人员外包;
(三)信息系统项目需求不明确;
(四)信息系统测试不规范或不完善;
(五)信息系统应用推广;
(六)信息系统测试发现的软件缺陷;
(七)信息系统项目文档管理;
(八)信息系统项目验收。
第八条
信息科技研发风险具体控制要求:
(一)一般项目研发成立项目工作小组,重大项目还应成立项目领导小组,并指定负责人。项目领导小组负责项目的组织、协调、检查、监督工作。项目工作小组由业务人员、技术人员和管理人员组成,具体负责整个项目的开发工作;
(二)项目工作小组人员应具备与项目要求相适应的业务经验与专业技术知识,小组负责人需具备组织领导能力,保证信息
系统研发质量和进度;
(三)项目组根据业务部门项目需求编制项目功能说明书,依据项目功能说明书分别编写项目总体技术框架、项目设计说明书,设计和编码应符合项目功能说明书的要求;
(四)软件研发必须建立独立的测试环境,以保证测试的完整性和准确性。一般测试应包括功能测试、安全性测试、压力测试、验收测试等,测试不得直接使用生产数据;
(五)研发人员必须根据测试结果修补信息系统的功能和缺陷,提高信息系统的整体质量;
(六)根据职责范围配合业务人员分别编写操作说明书、技术应急方案、业务连续性计划、投产计划、应急回退计划,并进行演练;
(七)开发过程中所涉及的各种文档资料应经相关部门、人员的签字确认并归档保存;
(八)软件开发项目必须进行严格的项目验收流程,项目验收应出具由相关负责人签字的项目验收报告,验收不合格不得投入使用。
第九条 信息科技运行维护风险的操作风险点是指信息系统在运行与维护过程中操作管理、变更管理、机房管理和事件管理等环节产生的风险。包括以下风险点:
(一)人为因素导致信息系统运行故障;
(二)运行管理不完善;
(三)信息系统日常变更;
(四)新建信息系统运行;
(五)机房环境变化;
(六)信息系统故障报告程序。
第十条 信息科技运行维护风险具体控制要求:
(一)信息系统运行人员应实行专职,不得由其他人员兼任。运行人员应按操作规程巡检和操作。对生产状态的软硬件、数据进行维护应符合授权和维护规程要求;
(二)相关信息系统运行维护人员严格按照信息系统管理制度及维护手册运行及维护信息系统。对软件或数据的维护必须通过上级审批、授权后方可进行;
(三)制订严格的信息系统变更处理流程,明确变更流程中各岗位的职责分工,并遵循流程实施控制和管理;
(四)在信息系统投产后一定时期内,应配合业务部门,积极参与组织对系统的后评价,根据评价及时对系统功能进行调整和优化;
(五)对机房环境设施实行日常巡检,明确信息系统及机房环境设施出现故障时的应急处理流程和预案;
(六)实行事件报告制度,发生信息系统造成重大经济、声誉损失和重大影响事件,应即时上报并处理,必要时启动应急处理预案。
第十一条
信息科技外包风险的操作风险点外包风险是指
银行将信息系统的规划、研发、建设、运行、维护、监控等委托给业务合作伙伴或外部技术供应商时形成的风险。包括以下风险点:
(一)信息科技外包需求控制风险;
(二)信息科技外包承包方合作风险;
(三)信息科技外包项目商业风险;
(四)信息科技外包项目安全风险;
(五)信息科技外包项目质量风险;
(六)信息科技外包项目风险管理;
(七)信息科技外包项目责任风险;(入)信息科技外包项目监控风险。
第十二条 信息科技外包风险具体控制要求:
(一)在进行信息系统外包时,应根据风险控制和实际需要,合理确定外包的原则和范围,认真分析和评估外包存在的潜在风险,建立健全相关规章制度,制定相应的风险防范措施;
(二)建立健全外包承包方评估机制,充分审查、评估承包方的经营状况、财务实力、诚信历史、安全资质、技术服务能力和实际风险控制与责任承担水平,并进行必要的尽职情况调查。评估工作可委托具有国家相应监管部门认定资质、具有相关专业经验的独立机构完成;
(三)与承包方签订书面合同,明确双方的权利、义务,并规定承包方在安全、保密、知识产权方面的义务和责任;
(四)充分认识外包服务对信息系统风险控制的直接和间接
影响,并将其纳入总体安全策略和风险控制之中;
(五)建立完整的信息系统外包风险评估与检测程序,审查管理外包产生的风险,提高本机构的外包管理的能力;
(六)信息系统外包风险管理应符合风险管理标准和策略,并建立针对信息系统外包风险的应急计划;
(七)与信息系统外包承包方建立有效的联络、沟通和信息交流机制,并制定在意外情况下能够实现承包方的顺利变更办法,保证信息系统外包服务不间断的应急预案;
(八)对信息系统外包承包方进行持续的监控。
第四章 附 则
第十三条 各支行可依据本办法,结合本单位实际情况,制定具体实施细则。
第十四条 本办法由村镇银行负责解释和修订。第十五条 本规定自印发之日起施行。
第三篇:银行风险的识别、评估与内部控制
银行风险的识别、评估与内部控制
Bank Risks'Identification,Assessment And Internal Control
杨海群
按语
本文原载于法律出版社2006年出版2007年再版的书《金融审判与银行债权保护》。文中的图示和注释等因为网络格式转换而未加。希望读者进一步阅读作者的专著《公司治理与银行控制》下卷中“加强选配评审,防止领导风险”这一章。
“银行风险的识别、评估与内部控制”这个题目涉及两方面:一方面涉及的是风险管理,另一方面涉及内部控制。不管是法律工作者还是银行的管理者,都会遇到下面要提出来的问题,就是怎么来处理业务发展和管理控制的关系,怎么在实现战略目标的过程中,一方面把握住我们自己,另一方面也把握住我们所领导的团队?另外,怎么防止银行的工作人员或者业务活动失去控制?搞法律的人员不如搞经营管理的涉入那么多的具体业务,但是由于你们是银行的法律工作者,所以就不能够站在一般律师的服务角度去服务于银行。因为你们已经加入了银行的管理队伍。今年银监会和党中央提出银行管理要满足四个条件:第一个叫资本充足,就是银行要保证有足够的资本金;第二个内控要严密,还不是一般的内部管理,而是内部控制要严密;第三个运营要安全,实际上运营安全也是要在前两者的基础之上才能实现;第四个服务和效益要好,没有安全,也不可能服务好或者说令客户满意,服务差也不可能把效益搞上去。这是银监会《关于中国银行、中国建设银行公司治理改革与监管指引》文件很明确地提出来的要求。中行和建行要重组上市,就要实现银监会提出的四个要求。恐怕农行和工行下一步也要遇到这个问题,也准备在中行和建行上市成功之后,经历这个过程。我们这两家银行先试一试,估计在上市过程中会有更多的难题。
我们研究一个问题总是要抓住一些本质性的东西。有一个美国的企业家写了一本书叫《基业常青》,他把一个一般的企业发展成比较大的企业,积累了一些经验,他的书里面有这么一句话:“伟大的公司要想生存,必须拥有一个持久的观念,这个观念必须从属于整个公司。即使有远见的领导人与世长辞以后,这种所谓的观念也会永存。这种观念并不是围绕某个人或者一个整体,而是围绕一个决定公司发展目标的思想体系建立起来。有远见的公司,之所以能够成功,原因就在于无论发生什么变化,它们的核心观念毫不动摇。”他说得很深刻,他说:“只有从过眼烟云的变革中看到背后永恒的管理法则,人们才能真正了解到伟大公司的伟大之处。”我也在想这个问题,中国银行伟大不伟大?90多年的历史,应该是一个伟大的公司,但是这个伟大公司的伟大之处怎么体现呢?那就看我们能不能建立和遵循我们的公司治理法则。所以我认为内部控制很重要,实际上内控原理是一种管理法则,我们通过研究内部控制的理论来转变我们的经营观念,来增强控制意识,提高管理水平,这恰恰就是我国的国有银行向商业银行转变和上市的基本前提。我把它识为一种基本前提,那就是说我不认为只要一个银行能够跑到股票市场上去,在那里销售我们的股票,来套股民的钱,我们就是一个公司治理机制良好的银行。因为它上市成功的前提首先要具备较多的控制意识,有较好的管理水平。其实巴塞尔委员会对这个问题也是提出了很高的要求,把它强调到一个很重要的地位。一个有效的内部控制系统是银行管理的关键内容,是银行组织机构安全和良好运营的关键,这是巴塞尔委员会提出的要求。一个强有力的内控系统,能够帮助确保银行机构的目标和目的的实现,使得银行取得长期的利润目标,维护财务报告和管理报告的可靠性,并且确保银行遵循法律和规章制度,以及一系列政策、计划、内部规定和程序,减少始料不及的损失和有损银行声誉的风险。为了强调内控,我重点介绍下面四个方面的问题: 第一,是介绍内部控制理论已经解决的问题。第二,从我在中行的新体验来看看我们国家银行内部控制的发展。第三,我们对银行当前内部的控制问题进行初步的研究。第四,提出一些政策建议仅供大家参考。
一、内控理论已经说明的问题
我们在提到银行的管理、银行的控制这样一个题目的时候,我觉得搞法律的人员不是那么熟悉,因为我在中国银行,法律工作人员大都很年轻,在管理学上、在银行的控制理论上,还是缺乏知识的,这里有知识的结构问题。所以很有必要来探讨一下内部控制的理论。
首先内部控制的理论已经明确了内控在银行中间的地位。任何一个组织要维护它良好的职能机构都必须认真对待四个问题:第一个就是治理问题,包括银监会经常说的公司治理机制;第二个就是风险管理;第三个叫内部控制;第四个叫保障措施。首先明确一下概念。中央领导、国务院领导经常说公司治理,到底公司治理是干什么的?是研究什么的?我有一次到德国开国际会议,与美国的一个高级审计官员探讨过这个问题。公司治理的核心问题是如何委托资源以便于实施某项任务。再说得明白一点,就是找什么人来做这个银行行长和各级经管人员,以便于把商业银行的各项业务做好。找谁?是找王雪冰还是找其他人?为什么找王雪冰?他出了问题,怎么才能找到另一个人不出问题或者少出问题?公司治理就是找谁当行长,找什么人当总经理和各级经管人员。像中国银行大约有200位总行高管干部,包括行长,找谁担任这样的职务,要明确谁来干,明确谁承担这个责任,看看他们怎么承担这个责任。这叫公司治理。
风险管理是什么呢?风险管理是一种程序,它要识别风险,评估风险,并针对风险来制定相应对策。商业银行里都有一个部叫做风险管理部,在银行,风险管理部是很重要的部,这个部干什么呢?它要分析银行运用资产有什么样的风险,这些风险究竟有多大,银行可接受的风险的水平有多高,然后银行既然有这么多的风险,采取什么政策对付这些风险,这叫风险管理。
内控是干什么的?内部控制是公司的核心管理内容,它是公司通过治理来实现公司目标的有力手段。银行通过风险管理发现了风险,认定了风险,评价了风险,并且制定了风险应对的对策,之后怎么办?要采取一系列措施和经营管理程序加强内部控制,防范风险。
另外,还有一个确保反馈的系统,这是一个通过交流反馈和咨询来促进上面三项内容能够顺利开展的程序。就是保证上面能够开展这些活动。我在我的《公司治理与银行控制》这本书上就描绘了一张图说明上述四种治理机制的相互关系,现在银行领导也好,中央领导也好,经常讲这几个概念,但是我们需要把它们界定清楚。
如果你要经营一个企业,开一个银行,首先得有一个目标,这个目标确定了之后,靠什么来管风险?一个靠公司治理,找一些人——可靠的人、能干的人,把他们叫来,安排他们工作。然后组织其中一部分人来分析,我要实现这些目标,有哪些风险,怎么对付这些风险,制定风险政策。然后要有大量的人在操作的层面和管理的层面实行内部控制。把这些活动通过一个确认反馈系统,最终实现公司目标,就是资本充足、内控严密、运营安全、服务和良好效益。
国际上对内部控制也有大量的研究,美国有个权威机构叫COSO,提出了一个比较完整的内控理论和操作方法,后来又提出完整的风险管理的理论。实际上各国都在探索,英国也有一个CADBURY模式,后来它发展或TURBULL。加拿大叫COCO理论。一些发展中国家,例如南非也有一套理论,叫KING,都在研究内控。为什么这样重视内控?就是前面讲的伟大公司的背后的管理法则。1998年9月份巴塞尔委员会又提出了一个关于银行体系内部控制框架,这个在网上能够搜索出来。2003年美国COSO又进一步提出更加完整的理论,不完全是内控,把内控放在风险管理的框架里。所以内部控制的发展一步一步最后形成了巴塞尔委员会内控的指导原则,一共有13项原则。而且内部控制在概念上也从部分控制论发展到全控制论。部分控制论讲的控制是会计控制、财物管理控制,后来又发展到稽核,各个银行都有稽核队伍,然后又超越财务范畴,把内控渗透到经营和管理各个方面。控制渗透在各个微观经营管理活动的毛孔里。而且内部控制也由过去只强调财务会计和财务信息的管理到更加强调提高经营管理的效果和效率,更加强调管理政策。这是一个发展。
我们研究一下到底什么叫内控?现在的内控理论已经把内控设定为比较科学的定义:“内控是一种为合理保证实现下述四大目标的动态过程,动态的程序。”它的每一个词都是有道理的,是合理保证实现四大目标的动态过程,原来提的是三大目标,现在有所发展,又提出第四大目标。它补充的那个目标就是战略性的目标。
什么叫战略性的目标?就是内部控制要符合和支持银行机构的总任务的完成,要有相当高度的视野,这是一种高层次的目标。上面提到的资本充足,这就是战略性目标,中央确定我们要实现国有商业银行资本充足,这是战略决策,不是具体到结算业务,还是零售业务,还是公司业务这种微观层面的目标。过去的国有商业银行不讲究要资本充足,国家不给我们补助资本金,中国银行一开始是财政部划拨的那点钱,后来核销呆账没有拨过资本,有利润全部上交国家、上交财政,现在提出来要满足8%资本金充足率,要实现这个,国家给我们中国银行225亿美元让我们来充实银行的资本,另一个也允许我们在盈利中间拿出一块,使我们的资产达到充足的标准,今后就要靠自己的努力了。这就是战略。
第二种目标叫操作性目标。银行不能不讲效果,不能不讲效率,在我们贷款的时候,在我们融资的时候,在我们做业务的时候,要保证银行避免损失。执行各种内控操作的程序,确保组织当中所有人都来有效率的工作,甚至还要注意道德的完整性,而不发生不应有的过高成本。特别要强调,不能把任何其他的利益置于银行的利益之上,比如为自己雇员的利益发奖金,为了让大家得到奖金,宁肯使银行冒操作性的风险。或者给关系人贷款,为了某些客户的利益,而不顾银行的利益。或者为了个人的权利,拉拉打打、玩权术、市宗派。
还有第三个目标,叫做信息性目标。这里包括财务和管理的信息,过去只是强调财务的信息,现在巴塞尔委员会强调还有管理的信息,都要可靠、完整,并且能及时地提供。我们在写各种报告的时候,都要做到这点,而且要定期发布可靠的财务报告,披露真实的信息。将来我们上市了,也要给股东写报告,给银监会、人民银行写报告,对外公布的财务报告要经过监管当局认可的会计师事务所审定。而且董事会、管理者在做决策的时候,要有信息基础,这个信息必须充分、有质量和完整。我们的财务报表要有明确定义的会计原则。这次中国银行上市,其中一个内容就是要搞尽职调查,我们要聘请外部律师事务所给我们帮忙,我们要向他们如实地报一系列的材料,最后这个材料要交到律师事务所审查。中国银行干了这么多年,出了多少年报,年报后面的会计报表不仅前没有会计师事务所签字。国外的会计报表和年报最后除了银行行长签字、银行总会计师或者财务总监签字以外,还有中央银行认可的外部审计师要签字,而我们过去没有。要真实披露,我们的工农中建可能存在倒闭的问题,如果严格按照巴塞尔委员会的要求有可能会摘牌了。所以我们上市以后,压力很大。但我们需要披露,我们有责任向股民说清。
还有第四大目标叫遵从性目标。符合法律和规章制度。巴塞尔委员会特别强调,要确保银行所有的经营都遵从适当的法律和规章,遵从监管的要求,遵从本组织——银行的政策和程序,其中一个特别重要的就是业务流程。如果业务流程不熟悉、不遵从,违规经营的话,就没有实现这个目标。为什么要这么做?要保护银行的“特权”。实际上银行是有特权的,不是所有的企业都能干银行,也不是所有的金融机构都能干银行的事,银行是被经济社会选拔出来的能够胜任这项工作的金融机构。为什么银行要有声誉?别的公司也强调信誉,但都没有银行的信誉强调得更高。有不少人也抱怨,别的国营单位盖大楼,中央要批评,但是银行为什么可以?我们中国银行的楼,我走过了几十个国家,我还真没见过这么好的银行大厦,法兰克福的金融中心建设得够高级了,英国的City够气派了,你到那里看看,有没有比中国银行的楼更高级的,我觉得还没有。这里也确有太奢华的问题,但为什么中行这么盖大楼,建行、工行都盖了不小的大楼,中央没批评,因为它有个形象和声誉问题。因为银行很需要体现它的权威和不可动摇性。我在河北挂职的时候,河北中央银行门前的狮子是铜做的,斜对面有一个纺织品进出口公司,狮子也不小,但央行的比公司的还大一倍。银行的职业特征决定了它需要一定的声誉和权威。当然,这种声望和权威应该是内在的,不能只靠表面的豪华去装饰。
工农建都设有法律部门,都起名叫法律部,我们中国银行为什么出了一个法律与合规部?直接的原因是纽约分行的事件,给我们很大的教训。有人说你把你们的行长都赔进去了,那都不是最重要的教训,最重要的教训是纽约分行使我们认识到过去我们搞银行的时候,对合规重视得很不够,而一些大型的国际化的银行在行内设有很大的部叫合规部,来抓合规工作。我们总结了在纽约的沉痛教训,感到有必要把合规工作提上日程。银行一定要依法合规经营。而内部控制的理论实际上把“合规”作为一个目标。中国的银行考核底下的员工都把效益作为考核的重点,利润是考核的重点,但是内控理论中明确指出要把依法合规作为考核的四大目标之一,如果不考核当然各级单位就不朝这个方面努力,不在这个地方扣分,凭什么在这个地方花费资源?
内部控制的定义说明了几个问题:
第一,内部控制是一种程序,这个程序意味着它朝着某个方向去努力,但是它永远达不到那个终点,因为这个终点是它不断要达到的目标。
第二,银行要搞内部控制,离不开人的影响,不是说搞内部控制就是去念几条规章制度,而要有人在这里起作用。
第三,内部控制是为公司管理层提供合理的保障,但不是绝对的。万事都不能绝对化,绝对化就是形而上学。内控是提供合理的保障,是对解决银行问题有利。不是说一抓内控就什么问题都不会出来。
第四,内控是有多重目标的,内控有四个目标,第一个目标是战略设定,第二个目标是经营的效果和效益,第三个目标是信息性目标,第四个目标是遵从性目标。内部控制为的是目标的实现,通过一些活动,一个有机结合的整体,去实现公司的目标。这是很值得我们学习内部控制的方面。
内部控制可分解为五大组成部分的内容:第一个强调控制环境,第二个强调风险评估,第三个要开展控制活动,第四个要进行信息的交流,第五个要进行监督评审。这是内部控制的五大组成部分。为什么从理论上强调这些内容,不是我们要讲一些花哨的名词,而是这五大组成部分比较充分和完整地说明了内控的主要内容,使我们明白了应该怎么执行内控,又怎么进行评价。怎么评价内控?我建议就从这五个方面。
另外COSO又提出八大组成部分,这是从风险管理角度讲的。下面是风险管理的八大内容:内控环境、战略目标设定,事件的认识或者是了解,另外风险评估、风险对策、控制活动、信息与交流、监督评审。这是八个组成部分的内容。首先要确定目标,开展经营活动必须有目标,我银行要搞好,我的目标是什么?支行有支行的目标,二级分行有二级分行的目标,一级分行和总行都有目标。风险管理也是一个有机结合的整体,也要强调内部的环境,就是前面说的控制环境。目标设定以后,要有些事要做,一件事叫“事件识别”,就是要看这些事有什么风险,要开展公司业务、零售业务、结算业务、信用卡业务,银行所有的业务,这些业务有什么风险要评估,评估完了以后要有风险对策。既然你都评估了,怎么处理这些风险,要有政策、有策略。然后,就进入了内部控制。这里我解释风险管理是希望说明它与内控的关系。
概括起来,内控分为五大组成部分的内容。内控五大组成部分最基础的地方是在控制环境上,然后进行风险评估,还要开展控制活动,在控制活动开展的过程中间,又要不断交流信息,宝塔尖上强调监督、评审。从风险管理的角度来分析,这个模式或框架还包含四大目标。战略性、操作性、信息性、遵从性、合规性,这是五个目标,这是一个层面的东西。从内控的角度来分,目标是四个,但内容可以比风险管理少三大内容。就是以上概括的五大组成部分的内容。这还仅仅是两维的空间,第三维空间就是不同的部门,各个级别的部门。第三维空间,比如法律事务部或者是公司业务部、零售业务部,这些部门组成第三维空间,这三维空间组成立体的模型。实际上我们在讲一种思维方式,我们是在这样一个立体空间里搞银行。把任何一个部门抽出来,比如把公司业务部抽出来,都有四大目标,都有五大组成部分的内容在里面。这说明一个什么问题?说明我们可能利用思维方式,利用模型,利用这个理论,探讨出管理银行,评价银行的方式。为什么巴塞尔委员会这个国际银行监管的机构,要支持这么一种理论?是因为这个理论有用,是因为这个理论发展到今天,能涵盖我们银行的主要业务、主要工作。
从“控制环境”的角度怎么理解呢?实际上控制环境是所有各个方面的基础,是一个带动银行开展工作的“发动机”。这里包括银行的行风、组织风纪,它还涉及银行活动的核心——人(员工),而且要通过影响人们的控制觉悟来形成银行的“文化”,就是银行究竟提倡什么,特别是注意人们对内控的认识和态度,你有没有控制理论,有没有高度的内部控制觉悟,也就是重视内部控制,特别是由于这个环境不同,你的战略目标的实现就受到影响。我们国家如果没有长期稳定搞建设的环境,中央不会提出国民经济翻翻这样的战略。这里还涉及风险管理的一些哲学,开展风险管理是避险为主还是冒险为主呢?风险管理是什么文化?这些东西都是控制环境里的。我们理解控制环境也是希望大家在评价某个部门的时候,比如上级让你去公司业务部检查一下他们的内部控制怎么样,首先建议你评价控制管理的环境如何。我后面还会强调环境方面的建设。
第二大组成部分是“风险评估”。风险评估是什么?就是你要去识别和分析那些妨碍实现经营管理目标的风险,这是风险管理决策的基础。我们搞内部控制,必须要认识风险,这和风险的定义有关系。什么叫作风险?有人说就是损失,或者有人从概念角度说是造成损失的可能性,这些都对,但是更精确、更科学、更接近本质的风险定义是什么?就是妨碍实现目标的所有因素。为什么这么说?就是我们干什么事都是要有目标,什么叫我干这件事的风险呢?就是我有哪些东西干扰我实现这个目标。我曾经举了一个很生动的例子,比如说有一个武士,他在射箭,要打中一只鸟,什么是他的风险呢?打不中是他可能的结果,怎么会影响他打不中呢?一个显然是他自己的本事,他有没有力气拉开这个弓,拉到足够满的程度。他的视力是不是好?他是不是能够正确地判别目标所存在的位置以及他自己的经验?说到这儿,是不是风险就没了,不对。当他拉弓的时候,虽然拉的很满,但是他是顶风拉的,风力很大,影响他。天要是突然刮起了大风,乌云遮盖了整个天空,太阳没有了,看不见了,这也是风险。如果一切都非常好,但是拉弓的英雄喜爱美人,旁边过来一个美女,他分心了,也射不中。要想实现目标,各种因素都可能是风险,只要它们妨碍你达到你的目标。所以我们在讲银行风险的时候,有人总是想设定一下是信贷风险、利率风险、市场风险,其实这都是一些业务上的风险,很少有人提到人的风险,而且很少有人涉及更广泛的,凡是能够形成对银行目标实现造成影响的其他一些风险,例如员工有没有参与赌博、炒股,甚至包“二奶”等,很少有人更广泛去考虑,就是因为在风险的定义上不够准确,没有明确风险更本质的定义。在风险管理的体系框架中,COSO把目标的设定加进来,然后有一个事件的识别,有风险的评估,然后要制定风险对策。这四个方面恰恰是风险管理的主要内容,也是搞银行风险管理四个最本质的工作。
第三大组成部分是“控制活动”。你既然是搞内控,不可能不参加控制活动,使目标的实现有合理的保证。经营目标的实现需要发布一些管理指令,要采取一些防范化解风险的措施、政策、程序,像高层的检查,直接地参与管理,对信息进行加工、对实物进行控制,比如确定指标、究竟今年要完成多少利润等。特别是职责的分离,职责不分是现在银行发生重大案件的一个很普遍的原因。如果交易、记账和尾箱管理都由“一手清”,就难保不出事。内控还要针对目标相关的风险发布控制指令,各种各样的指令。
第四大组成部分存在于所有的经营管理活动中,“信息与交流”应使员工能够搜集和交换为开展经营从事管理和进行控制等活动所需要的信息。管理者应该经常评价员工的工作业绩,注意以评价监督的方式来开展工作,根据一些会计数据分析并发出一些预警信号,确保有关经营目标的实现。这个信息与交流在总行层面是最大的问题,我们各个部门分管很细,都有各自的职责,一件事现在离开哪个部门干都不行,需要协调配合。可是在咱们一些银行体系当中,协调配合能力特别差,其中的一个症结就在信息与交流上。我想法律部的人员也会有同感,说叫你去审查一个合同,把合同拿来了,以为很容易发现合同中存在的问题。有的时候送审的人员都不知道给你这个合同让你审什么。后来我们制定了合同审查表,叫“合同审查意见申请表”,这个表让你说明送审合同的目的,你究竟让我审什么?这个合同产生的背景是什么?这里有哪些法律疑难问题需要我们法律部审查?过去有没有审过?有的人拿过来第二次审了,但没有告诉,我重审一遍。说我们法律部门解决的问题,合规方面要不要解决,是不是合规?我觉得一项法律合同首先要合规,业务不合规,谈不上跟人家签合同。这些问题都是一个配合的问题,都是一个信息交流的问题。
还有一个内容是“监督评审”,现在咱们国家已经开始重视这个问题,就是干什么事都注意监督,但是这里我所说的监督评审是评价内部控制持续操作质量的一个过程。要评价内部控制到底在你们这个部门是有效的,还是无效的?这个监督评审是经营管理部门对内部控制的管理监督和稽核监察部门对内部控制再监督、再评价的总称。也就是说监督不仅仅是稽核、监察部门的职责,更重要的是经营管理部门自身的职责。这个概念不是一下子能认识到。过去一提到监督,肯定是监察部、稽核部它们的事,为什么我们法律与合规部要成立一个合规处?从管理的角度制定了许许多多的制度和规定执行了没有?执行的情况怎么样?我们不能不管。我相信工、农、中、建都有法律部,都有这个职责,就是管规章制度的制定和监督。我们管到这个层面是不是就够了?实践证明不够,咱们银行为什么出一大堆问题?为什么出那么多案子?哪一个流程没有规章制度?我们现在凡是发行一个新的业务,新的产品,首先是规章制度,规章制度不出台,流程不出台,不明确,这项业务就不能开展。问题就出在新的业务上。一方面规章制度跟不上需要,一方面有章不循,不执行规章制度,让稽核监察去查查,必须有人时常监督规章制度是否执行,执行有力还是不力,全面不全面,不执行、违规经营,造成的损失和问题谁来负责,如何追究责任,如何进行处罚,这一点非常重要,没有这项工作,规章制度就是形同虚设。为什么现在出现大量问题?因为你不去监督管理它,总是想着要实现利润目标,为了“短、平、快”,经常把一些规矩打破,打破这些规矩的结果产生风险。可是不注意这些风险的管理,出了问题以后,就让整个银行蒙受巨大的损失。
所以,四大目标是纵向的列,五组成部分是横向的排,和内部控制相关的工作单元或活动是第三维空间。我们随意抽出任何一个单位,我把某一列抽出来都有五大组成部分,我把横排抽出来,都和四大目标密切联系。这是一种思维方式,是我们抓内控的一种原理性的认识。
当然,巴塞尔委员会还讲要监管当局对内部控制系统进行评价。2002年央行到我们行全面检查内部控制,我们的被查部门手忙脚乱,要报这么多材料,好多东西不知道,内部控制搞什么,怎么报告,做了各种准备,迎接人民银行来检查内控。过去不够重视内部控制,非要人民银行来查才进一步重视。为什么监管当局要着重对内控进行检查和评价?不要以为商业银行都有内控的自觉性,它再有自觉性,也没有高到足够的程度。人民银行要定期不定期地查。我说的是一个挺重要的理论问题。我有一个导师是伦敦经济学院经济系的主任,他写过一篇文章叫《为什么银行需要一个中央银行》,他从信息论的角度提出商业银行有必要接受监督这个问题。巴塞尔委员会关于内部控制的第13条原则就是讲商业银行需要中央银行监督,不仅监督表内业务,甚至监督表外业务,还有新业务。凡是监管者确定某银行的内部控制系统不能充分或有效地针对银行的具体风险,监管者应当采取适当的行动。巴塞尔委员会说话是有分量的,“适当的行动”,什么行动?我们纽约分行曾经险些被停牌,让你注意你已经降到多少级,使你提高交融资成本。再不小心,我停止你经营。现在外国银行到中国来,最怕的就是中央银行,银监会也好,中央银行也好,国外有深刻体会,汇丰银行这些大银行对当地中央银行非常畏惧,中国的商业银行对人民银行的畏惧程度远远不如外国银行对人家的中央银行的畏惧性,为什么?这里反映了双方的问题,一方面商业银行自律性不强,另一方面银监会和人民银行对商业银行的监督不够得力,商业银行被罚款不够多。我们在美国一项罚数达二千万美元,这算少的。看看安然公司倒闭了以后,一些大审计公司被罚到最后倒闭。安德信是国际上最大的审计公司,就为安然事件倒闭了。人民银行实际上也对内部控制提出很多要求。我记得当时人民银行对每项业务都提出了要求,我看了看银监会对商业银行内部控制的检查评价体系基本上采纳了COSO和巴塞尔委员会提出的要求,特别强调一种内部控制的文化,这是巴塞尔委员会和COSO提出来的,这种文化体现在银行的评价制度、职责分离的要求、横向与纵向相互监督制约的机制、报告关系、轮换制和强制休假制度、授权体系,还有对分支机构的管理和控制、账目核对、监控制度、会计制度、应急制度、独立的法律合规的要求,等等。
有个问题值得探讨:合规部门如何要具备它的独立性?我在稽核部门也干过,稽核部门也存在独立性和垂直性,稽核部门比较难做,我不知道其他银行是不是这样,我在稽核部门深有体会。银行系统那些一线部门的同事总认为自己是创造利润的主要部门,在行长面前汇报工作的时候都是一派理直气壮的样子,要是轮到监督部门和管理部门说话的时候,似乎底气不那么足。外国大银行稽核部门说到哪个部门去查你就去查。而我们还要发个通知,告诉你我两个星期或者一个月之后,要到你那里去检查什么。人家那儿有时根本不告诉你,来了把你抽屉打开,你乖乖地站在那儿看着在那儿查。我在中国银行法规部管合规,我问过人家汇丰银行、渣打银行的同行,我问他们合规权威如何,他们说都很怕合规官。因为很多重大的问题要合规官审批,批不批就在他一个签字而这些审批都是独立进行的。我经常遇到这种情况,现在强调法律与合规的重要性,动不动把你叫去开会,什么文来了让你签字。他找你签,像是尊重你又像不是尊重你,有的时候实际上想让你认可,说是还是不是,你要说是,我做了以后别找我碴儿。在我们部门工作的同志大都年轻,工作忙了,哪审得了这么多,一看既然他们都定了,我无异议,回复给人家。我心里打鼓,我最怕看到哪个经办或处长拿给我看三个字“无异议”,现在有什么事能让你一点异议没有?现在没有那么干净的事,拿到你这个法律部门审查的时候,可能是想绕一绕、拐一拐,你说无异议,那就干吧,因为无异议说明什么问题都不该有。我跟协议处说不要轻言无异议,一提无异议,就说明我这个部门对这个问题没意见,万一出个问题,吃不了兜着走。我感觉应该使银行的经营部门尊重管理部门,也要让银行的经营管理部门尊重监督人员,这是非常重要的。如果不尊重,说明这个银行内部控制有问题,起码在控制文化上有问题,他反感控制,不让你控制,想让你变着法不控制,但是他又让你签字。银行今后应该采取措施,使这些管理具有权威性、监督有权威性、稽核有权威性、法律与合规部门有权威性。现在不是都讲钱吗?考核要有正确的考核体系。
强调内控的时候也应该注意:内部控制不是万能的,内控不可能把一个本质上很坏的经营管理者变好,不可能左右政府的一些政策和计划的改变,不可能对外部竞争对手的行为和客观经济条件的变化都把握好,它有局限性。再有财务报表可靠不可靠,不是说你内控绝对能够保证的,假如支行的行长指挥着支行的会计去假造财务报表,会是什么问题?新会计法有一大修改,就是会计报表第一责任人是企业负责人,我觉得这条非常好,过去一说某个企业造了假账是会计造的,其实回过头来一检查,能有几个会计自己造假,是他的领导,他们那些厂长、党委书记让他造假,他是被迫的。
我们应该提倡依法合规经营,千万不要违规,或者明知道这个不合法,也不向法律部门说明需要针对它进行审查,想蒙混过关,想得到法律部门的认可,得到银行老总的签字,求得一时的解脱,这要不得。
国际上内部控制的发展的趋势给了我们一些启示。
一是强调高级管理层的控制责任。首先董事会要充分理解银行的主要风险。党委,高级管理层的内控基调是不是对?看交响乐团,在准备演出的时候先请钢琴师定一下音?这就是让全团有一个基调,控制也要有一个基调。这个基调要由多级管理层确定。
二是要大力提倡和营造一种控制文化。上述的一些现象实际上就是控制文化上的问题。一方面,董事会和高级管理层要负责明确各级员工在道德上和完整性方面的高标准,人格要完整,要讲职业道德,并且在机构中要建立一种文化,向各级的人员强调和说明内部控制的重要性、合规的重要性、法律的重要性。我在工作中深感在国有商业银行的员工中,特别是在高级管理人员中,很有必要提倡道德修养,加强职业道德建设。在国有银行商业化的过程中,这方面有待改进。有的高级管理者不是把银行的利益放在第一位,而是带头把个人的权利和利益放在第一位。而银行里用人的时候不够重视他(她)们这方面的表现,不够关注群众这方面的反映,结果是在基层,甚至在总行高管人员中,不断发生重大案件。另一方面,银行所有的员工都应在内控的程序中间发挥作用,控制不只是高管人员的事,而是人人有份。上至总行,下至分理处、储蓄所,每个岗位上的人都承担特定的控制责任。有效的内部控制系统的一项实质性内容就是建立强有力的控制文化,没有这种控制文化,法律工作也不好搞,合规工作也不好搞,监督机构会形同虚设。
还有四点我要强调指出:
第一是正确理解内控和管理的关系,进一步认识内控在管理活动中的重要意义,要尽快地由领导决策层带动,动员各级员工营造良好的控制文化,按照内控的四大目标和五大组成部分,实行对经营管理中间各种风险的逐级控制,以内控为有力武器,提高经营管理水平。
第二是正确理解内控和风险管理的关系,进一步确立内控在风险管理体系中的重要地位,防止以风险评估代替内部控制。要按照上面介绍的内控原则和系统框架尽快建立起适合中国国情的内控组织结构,例如建立内部控制委员会和内部审计委员会,来加强对风险的整体研究、评估和管理控制。
第三是正确理解内控和内部审计的关系,我曾经专门发表了一篇论文,叫“正确处理内控与稽核的关系”。内控首先不是稽核监督部门的责任,而是业务的经营管理部门的工作;内控主要不是稽核监督部门的工作,而主要是经营管理部门的工作;内控的检查评价主要不是稽核监督部门的责任,而主要是经营管理部门的责任;不过,稽核监督部门对内控负有再监督、再评价的重要的职责。明确上面说的四个要点,并且在监督评审当中注意保持稽核与合规系统的独立性,加强对各种风险的识别和评估,建立和督促对控制缺陷的纠正。不要发现了一些问题,稽核报告写了,合规的报告指出了,让他纠正,下回还是出现那些问题,还是没纠正。这就表明内控失效。
第四就是内部控制应该有一套有效方法,要搞内部控制,要控制风险,必须有一套完整的系统性的操作方法。现在多数银行在做这项工作的时候,都做得比较传统,一些行领导忙于业务发展,满足于“头痛医头,脚痛医脚”,怕内控影响发展。实际上已经有一套先进的方法提了出来,我在我的那本书《公司治理与银行控制》(中国金融出版社2001年版)里介绍了一整套的方法,而且对信贷、项目评审、信贷资产的五级分类和银行行长选配等一些方面都做了一些理论联系实际的探讨。我希望总行带头规范地运用这套好方法。
(待续)
注释:本文原载于法律出版社2006年出版2007年再版的书《金融审判与银行债权保护》。
银行风险的识别、评估与内部控制
杨海群
(接 I)
二、银行内部控制的足迹
下面我把我们在中国银行抓内部控制的工作体会粗略介绍一下。我认为我们行大概经过了这么几个阶段。第一个阶段是在20世纪90年代中期以前,只有少数的领导人员和少数的稽核人员知道内部控制的概念,概念也不准确,全行控制的意识是比较薄弱的,案件不断发生。资产质量也是越来越差。在那个阶段里,银行的问题比改革以前要多。计划经济的时候,银行并没有多少案件,不像今天这样,动不动出现一个非常大的案件,每一次都要刷新记录,过去没有。就是改革之后,市场的约束没上来,计划的约束又丢了、失控了,所以资产质量就下降。
第二个阶段是推进内部控制的阶段。那是1997年5月份人民银行发布了“商业银行内部控制的指导原则”。我们总行要求制定中国银行的内部控制原则,我们抓了一个授权管理的制度规定,在人民银行的授权管理规定基础上做的。我们在1998年正式公布了内部控制原则,而且我们在那个时候就已经在中国银行正式文件中间明确了稽核要以COSO理论框架来检查和评价内控工作。对监察报送有关材料进行分析发现,我们行发生的案件绝大部分在基层。涉案人员绝大部分是基层的领导干部,大部分涉案人员又都是20多岁至30多岁的年轻人。后来我们总稽核室对总行零售业务首次进行了内控稽核检查。
第三个阶段,2000年前后我们进入一个理论探索的阶段。2000年我们组织总行两个业务部门和两个管理部门编写出版了一本书叫《中国银行信贷内控指引(贷款分册)》。这里讲一件小事,1998年的时候总行有个部门报告说内控到底由谁抓,前行长王雪冰在报告上大笔一挥:“内控只是稽核部门的工作。”我们一看不对了,我在人民银行的《稽核监督研究》上发表一篇文章《正确认识内控与稽核的关系》,实际上没点名地针对这个批示,纠正错误观点。后来我们按照人民银行的部署成立了一个信贷清分办公室,当时总行调我去同一些同事领导贷款的五级分类,我运用了COSO的内部控制理论,组织清分办公室的同志们共同编写了一套《中国银行贷款资产分类指南》,后来金融出版社出版了。
2001年中国金融出版社出版了我写的专著《公司治理与内部控制》,我首次在内部控制原理基础上提出了一套内控的比较完整的操作体系,提出了内控、风险管理和公司治理三者之间到底是什么关系。王雪冰任职期间,行里的案子特别多,也使后来的领导感觉到加强内部控制的重要性。中行的总行各个部门和分行逐步完善制度,加强内控,提了很多很好的建议,其中一个就是将法律事务部改为法律与合规部。
第四个阶段,我们进入了内控强化阶段。因为2002年5月,人民银行发布了《商业银行的内部控制指引》,进一步将内控提到一个新的高度,人民银行开展对中行各个部门的内部控制全面检查。总行法律与合规部根据行领导要求要研究内部控制,解决坏人做坏事想干干不成的问题。由于内部控制不好,到基层检查工作的时候,会感到震惊。干得成坏事很自然,而干不成才奇怪?只要想干肯定干的成,干不成不奇怪,为什么呢?因为在一些环节上几乎没控制。你说钱箱的钥匙他拿着,库的钥匙他拿着,库里有登记簿由他登记,这样的情况他能不贪污?给他条件让他去偷,最后案子出来一检查,保卫工作的那些规定不落实。后来行领导组织了总经理级以上的干部,召开了研究会,研讨我们行强化内控建设的问题,党委中心组2004年专门组织扩大会议,叫外部律师事务所讲内控,怎么加强内部控制,让我来宣讲内部控制,又制定“中国银行进一步完善总行部门和一级机构以上领导干部教育监督的若干措施”,从高层去解决这个问题。
我们深深体会到合规工作是非常重要的。可是合规工作不是纯法律问题,实际上是银行业务的经营管理方面的问题,是一个要熟悉银行业务管理规定的问题,这就给法律部门在职能上增加了新的内容,就是不能只是从法律上审查问题。另外,合规工作人员不能只是学法律的人,银行建立了一个规矩,新员工进了银行以后,先到业务部门实习一年。合同审查的一个大问题就是应知道某个地方该不该这么做,但是如果没经验,不懂业务,就无法建议这个合同应该怎么改。这项业务这么做不行,但是怎么做更好,他会很为难。搞合规的人,应该具备什么条件呢?起码要有三五年以上银行业务工作经验。就是说搞合规的人要懂得银行业务,而且今后大量的工作涉及合规性质的问题,法律性质的工作需要把关,也很重要,但是诉讼的案件随着银行业的规范应当逐步减少下降,我们做了那么多年公司治理,做了那么多银行改革,这么强调监管,案件不应该不断上升,肯定今后的诉讼案会越来越少,非诉讼这块工作会越来越重要。当然不可能在短时间内不搞诉讼,也可以说长久下去法律方面的审查工作都是需要的、都是重要的、都是不能削弱的,但是合规会成为重点性的工作。我们是通过自己的教训意识到这点的。
在这个阶段里,由于认识上的存在问题,中国银行在抓内控工作中还存在时紧时松的现象,在忙于股份制改革时,内部控制有所松滞,产生许多漏洞,以致在以后发生了一系列大案(例如我们黑龙江分行辖内发生的震惊世界的高山事件),沉痛的教训是值得铭记的!(待续)
注释:本文原载于法律出版社2006年出版2007年再版的书《金融审判与银行债权保护》。
银行风险的识别、评估与内部控制
杨海群
(上接 III)
四、仅供参考的政策建议
政策性建议之一,明确内部控制的评价标准。我们今后要健全内控,就要有标准,干什么事都要有标准。我在20世纪90年代就提出过四条原则性的标准。第一是要有现代内控理论做指导,这是一个理论体系,没有这个体系做指导,非要自己单搞一摊,像许多人写书,左抄右抄最后弄一本书,用上自己的名字,也不说明出处。我们的内控依据应当扎实可靠,要站在前人成果的基础上。第二是要形成完整的有机结合的整体。我前面给大家介绍的内控体系和风险管理体系,就是一种有机结合的完整体系。内控有四大目标和五大组成部分,加上组织机构这第三维空间,就是个有机整体。我们开展内控建设和管理,就应该从这个框架(framework)出发。第三是方法上的先进性和可操作性,就是实实在在地开展内部控制,制定一整套规范的方法去开展内控,这些方法也要能跟国际接轨,我的专著中介绍的那套方法是非常好的控制方法,是在总结国内外经验的基础上提出来的。第四是内控程序应当便于计算机化,你既然有高科技创造的PC和软件,就应能实行计算机化。
政策性建议之二,绩效考核要有合规性的目标和信息性的目标。内控有四个大目标,现在大多数银行主要提两个目标,特别是利润目标(效益目标),而没有把合规性、信息性目标提出来。美国一些公司的丑闻已经导致各国强调目标管理的全面性了,不是以利润目标让你得到奖金。针对安然事件,美国国会通过的一个索克斯法,这个法律里面规定,高级管理层通过虚报瞒报财务报表赢得的奖金,一旦发现,就让退回原有的奖金,这等于把合规性和信息性(财务报告可靠性)的目标作为绩效考核的标准。
政策性建议之三,建议银行把内部控制的职能从风险管理部的工作中分离出来,不知道工行是不是这样,我们曾经把它放在风险管理部,风险管理包含但不等同于内部控制,“风险管理部”同“风险管理”不是同一概念。我一直这样说明,它们的职能不同,风险管理部门实行自身的内控是应该的,但是由这个部门去协调指导全部的内部控制,就既可能干扰风险管理,又可能使内部控制落空。另外内部控制是全行各个部门的工作,当然我们最好有一个比较有权威的委员会来领导,由一个独立的部门具体管这个事。这里有一个正确处理风险管理和内部控制的关系问题,要理顺风险管理和内部控制的关系。
政策性建议之四,正确处理业务发展和管理控制的关系。现在应该大力提倡可持续的发展战略。所谓可持续的发展,联合国有关机构认为应当是现时的发展不给后续的发展造成困难,我们这代人的发展不能给后代的发展造成任何妨碍。银行也一样。你这任行长发放大批贷款,当时有效益,新一任行长接手时形成了一大笔烂账,就不是可持续发展。这点恐怕是商业银行普遍遇到的问题。要建立信息交流制度,定期召开管理部门和业务发展部门之间的沟通会,对业务的可持续发展进行定期的评审。一方面要强调业务发展部门依法合规经营,审慎办理各种项目,否则酌情追究责任。另一方面要研究制定管理控制部门和人员的责任追究制度,管理控制部门不是没有责任,现在业务发展部门有数字指标在那儿控制,没有完成什么指标,就得扣奖金,管理部门没有什么指标,怎么干的奖金都能发给你们。我以前也管过公司业务和结算业务,也深有体会。如果风险管理部审批一个项目拖拉怎么办?因种种原因不批准一个项目,风险管理部要不要承担风险?风险管理部大笔一挥这个项目不能干,你就不能干,至于说我们中行不办,农行接过来了,农行给办了,事后没风险,还获得了效益,还本付息很正常,追究不追究风险管理的责任?我曾经跟风险管理的同事讨论过这个问题,他们说那怎么追究,我在特定时期、特定情况下、特定政策下决定不批准这个项目,农行在他的环境里面批准了这个项目,你怎么能说我不对?这个问题有待于研究。业务发展与管理控制是一对矛盾,它们既对立又统一。只有正确处理,在矛盾中不断提高水平。最好两方面的人员,包括风险管理、法律合规和稽核监督人员,都应该制定相关的责任制,要界定清楚什么情况属于管理者失职或渎职。这样才能处理好所谓“踩油门”和“踩刹车”的关系。
政策性建议之五,为了加强对操作风险的防范,要研究风险怎么计量,国外都有一套理论模型,这套理论运用到我们中国银行界怎么运用?需要研究和建立我们的操作风险计量模型。另外,操作风险的激烈表现就是案件的发生。各级机构负责人员都要切实重视案件防范工作。加强基层管理和内控建设,落实规章制度,解决某些人想干干不成,干了早发现、早预警的问题。要根治私设小金库,银行更不能发生这个问题,小金库最终带来的后果是不好的。现在我们在查海外行,不让海外行设小金库。过去我们给海外行的工资比当地外资银行发的低,怎么解决呢?他们经总行批准设一种小金库,有时接待任务很重,也要有一点资金来源。但是我们发现设小金库带来的隐患很大,因此命令撤除小金库。另外要禁止职工炒卖外汇或者炒卖股票,我们行发生的大量案例都是属于规定了不许,但是还炒,炒输了怎么办?银行人员从银行掏钱比较容易,转转账,搬搬科目,动动电脑上的键盘,就能解决这个问题。我们要加大有关责任人的追究。
政策性建议之六,希望能够实施一套比较好的内部控制操作方法,讲了半天内控,最终要落到实处,要开展控制活动,因此,应当运用和不断完善规范的操作内控的方法。这与我们搞法律的也有关系。因为我们法规部内现在设了合规处,这种把合规职能放在法律部门的方式还有待观察和研究。我本人倾向把内控与合规以及反洗钱等方面的职能归属到一个独立的“内控合规部”。我跟合规处同事们提出,如何通过一套完整的、比较先进的操作方法,能够让人们合规。这里要有一套评价体系,要根据我前面讲的内容来进行评价。前面讲的我那本书里有这个图,图示的操作还是挺不容易的,要分几个阶段,这个流程包含学习理论原理阶段、前期准备阶段、检查阶段、评价阶段、报告阶段,这是一套体系。如果真正实行了这套方法,我们国有商业银行的内部控制问题,依法合规经营的问题应该不会很大。
以上所言是本人对银行强化风险管理和内部控制的一些粗浅的探讨,以求引起各方面的高度重视。其中的一些问题是带普遍性的,各家银行都在研究解决。虽然有些不是法律问题,但是在银行的法律工作中都应当了解。在改革开放的大潮席卷神州的形势之下,我们冷静地研究银行的控制职能,特别是探索银行如何通过风险管理和内部控制发挥支持和稳定中国社会的可持续发展,应当不无意义。言多必失,欢迎批评指正。
(完)
注释:本文原载于法律出版社2006年出版2007年再版的书《金融审判与银行债权保护》。文中的图示和注释等因网络格式转换而未加。
银行风险的识别、评估与内部控制
杨海群
(接 II)
三、关于银行内部控制的探讨
我想探讨三个问题:
1要深刻认识银行与非银行的本质区别。从理论上讲,企业和银行是存在重大区别的。银行是个什么单位,它不是一般企业,现在改革的时候总强调银行企业化,从银行自负盈亏、自我约束角度提这个对,但是不全面。银行不是一般性的企业,要不然干嘛不把企业叫银行,干嘛不把银行叫工厂?它们之间存在重要的区别。
为什么经济中会有银行?因为银行是比较好的出资者和控制者。银行是人类社会文明发展到一定程度,生产力和经济发展到一定程度的产物。银行这个词叫Bank,原意是过去意大利文里的“板凳”,就是意大利的商贸发达了,慢慢一些商船出去了,都得办理结算和汇兑业务,有些人坐在板凳上专门办理这种业务,这就是银行的雏形。银行慢慢发展起来了,有了办公室,又有了楼。但是为什么银行业发展这么迅速,而且在全世界哪个国家都离不开银行,为什么?就是因为银行是很好的出资者,能够融通资金,用很好的方式来支持经济活动,同时在融资过程中实施必要的经济控制。大家都知道贷款有合同,合同是什么意思?合同的本质是银行对被贷款方、对借款人的控制。在什么时候必须还款,必须以多高的利息还款,不得挪用,等等,都订到合同里。合同一经双方签字认可,就具有了法律效力。银行一旦发现你挪用,依据合同有权追回贷款,而且一旦出现重大问题的时候,可以到法院打官司。在西方,被银行起诉了的借款人一般都会输,被判罚。这就反映了银行这个机构特别。所以在国外没有哪个个人或公司轻易地跟银行打官司、闹别扭。可见银行具有规范经济,控制企业的特殊职能。银行是市场纪律的主要实施者之一。
某个人要借给另一个人钱一般是难以控制借方的,他说还我,只能凭咱俩感情,凭我对你的认识。但是一拖就是多少年不还。银行把钱借给你可就不同了,因为双方之间订了合同,你必须按时还本付息,否则就留下不良记录,造成再借就难。大家可能知道有一个美国的经济学家 Stiglitz,他前两年获得诺贝尔奖,他有一句著名的话,叫“银行最鲜明的特点是有能力进行控制”。
我们办这么多商业银行好不好?假如商业银行的数量达到一定程度,让它们自相厮杀,能不能发挥银行控制经济的能力?西方理论界一直都特别强调,不要片面地促进银行之间的竞争,为什么?因为他们理解银行的本质。假若银行控制企业,控制经济,自己互相厮杀,我降多少利率,你降利率更多,咱俩竞相降价,最后是什么?让贷款的企业在中间叫板,这让银行怎么控制客户和控制经济?还是让客户控制银行?是让借款的控制贷款的,还是贷款的控制借款的?这个问题要解决。实际上我们讲的银行的控制与被控制是这么一个概念,商业银行、中央银行、企业这三种主体参与控制体系中来。这里有三层的控制职能:第一层是商业银行被控制、被监管,中央银行控制和监管商业银行。第二层是我们银行要自我控制,你自己要控制好自己,不要在去控制经济之前,你自己都失控了,你没法控制你的客户了。第三层是商业银行要控制企业。这些企业要按照银行的贷款规定去投资、去盈利、去回报,假如这个企业没有信誉,我不贷给你。不是像以前那样,地方政府逼迫银行去贷款,那很可能要不回钱来。现在大部分不良资产就是在1992年以后堆积起来了,那个时候是胆子要大一点,这大一点到后来是欲发不可收拾,我看到国内通货膨胀向两位数攀登,曾从英国写信给时任朱镕基总理,建议强化银行的信贷控制。中央肯定及时分析了经济形势的发展。大约半年后,国务院不得不开始实行政策控制,到那之后就好转。
银行的内部控制还有更深一层的含义。实际上我们的下级机构要接受总行的控制,总行也有一个自我控制的问题,因为总行也办营业部,总行也搞项目、也搞营销,总行也会出现问题。一级分行也有自我控制,同时一级分行还有一个控制二级分行的控制,控制辖内机构的问题。各级银行都有控制自己所管辖企业的问题,控制贷款户的问题。现在国内的信贷形势有不好的地方,就是银行过度竞争造成无法进行控制。比如现在是银行都去营销少数较好的客户,工行去说我的条件怎么怎么好,农行接着说我的条件怎么好,中行说我的对外网络好,我能提供什么服务,建行说我的投资额度很大。使这些企业挑花眼了。有的业务现在已经到了赔本的程度。我们中国银行的国际结算业务应该是好的,现在有些银行跟我们竞争,一竞争是零费率,目的要把我们的客户抢过去。我们有一个二级分行在东南沿海地区的城市,另一家银行把这个城市90%的国际结算业务全拉到这个银行,原因是他不惜血本,而且总行给了他这个任务。我认为这一种环境违背银行的本质职能,我说的不是这家银行,我说的是这种环境,使银行不得不屈从于借款人的苛刻条件,甚至为了使这个借款人不离开我的保留范围,不使我的市场占有率下降而丧失公平性市场原则。我还举个例子,我曾经在一个省行主管过公司和结算业务。财政搞统一支付,各家银行就到省里来营销,由省财政局招标确定财政支付系统中心设在哪家银行,大家竞标。虽然人民银行有规定不允许任何商业银行变相降低利率给客户好处,但是那个时候不得不给好处,因为竞标,竞标的时候就看你是让我财政局低租金租用你银行的房子还是免费让我租用,有银行空出半层楼供财政建立这个系统,使用的电脑由这家行来提供,工行、农行、建行拼命地设计“我来提供”,最后财政就问了,你给我多少钱的设备费,我们中行的同志回去连夜考虑,最后咬牙说出300多万元,可另一家银行竞标的时候提出1000多万元。后来我们也知道,没有真出1000万元,但是背后已经谈好了。你说这种氛围能实现我说的银行控制论吗?如果经济不由银行这个最有鲜明的特征的机构来控制的话,这个经济能办好吗?你的企业能听话吗?经济活动参与者还服从市场纪律吗?现在还要鼓励办多开银行,私人银行,俄罗斯改革以后,两三千家私人银行,你现在问问倒闭了多少。匈牙利我去考察过,也是改革以后,他们建立私有化的银行,不良资产不断上升,为什么?那么容易就干银行?中、农、工、建银行比拼,拼来拼去最后弹尽粮绝。最近我看一个评级公司在评我国一些股份制小银行,最后除了招商银行稍微好一点以外,其他银行的级别都不高。我建议大家重温一下列宁的《帝国主义论》,想一想为什么工业化产生金融寡头。其实衡量银行体系的好坏不在它有多大数目和多元化到什么程度,而在它对经济的控制和服务功能发挥得如何。
市场风险有没有可能造成银行倒闭?有人问咱们中国的银行还能倒闭吗?都是国有的,只要有共产党领导,再高的通货膨胀,再低的资本金都没有关系,一样不会倒闭。这次中央为什么决策让中行和建行上市,有些搞改革的同志一个劲地宣传银行上市以后,怎么怎么好,我却从内控角度说银行上市以后,怎么怎么有风险。我不反对银行股份化和上市,我在英国出版的著作中还介绍过一些理论家关于转轨经济中股份公司如何发挥作用的论述。但我也不认为这是唯一的解决方式,更不能认为只要体制更新了,机制一定会随之好起来。一些热衷于体制改革的同志不可否认有其进取心。但值得注意的是,体制层面上的变化虽然容易显现业绩,但内部机制的转变和完善是更实质性的,来不得半点的短期行为。世界上银行的治理结构和运作方式千差万别,很难把不同的经验一般化,很难说哪种结构和方式照搬过来就一定适合中国的银行。体制改革也不是万能的。西方市场中倒闭的股份制上市银行并不少。一家银行倒闭后还会掀起倒闭狂潮,危及社会。现在提议银行要改革,都在考虑怎么股份化,不外乎所有制要多元化等。我们银行如果要上市,一个很重要的问题就是想让战略投资者进来,但是投资者要进来之前一定会先看咱们的管理和控制水平。水平太低别人不敢买你的股票,或者说还没下决心买你的股票。西方人看得很仔细,我在行里主管反洗钱,战略投资者为这方面的事调查我们行好几次,拿出一系列问题问我们。所有制的实质在于你的控制机制,你过去是国家控制,国家控制从某个角度可能有坏处。国家控制我,所有利润都上交,多发点奖金发不了。你可能不承认,我们中行员工的薪水曾长期处在较低水平。听行外有人说:中行的服务质量差,追究其中一个原因就是奖金少。站在中行的员工角度上,会觉得不如上市,上市以后股份制,财政部别卡我了,灵活性就大一些了。但是如果财政部不控制,总有第三只手要控制,不可能没人控制,当第三只手控制你的时候,可能比财政部还厉害。光想着财政部控制那么严,没想到财政部还是你母亲,妈有的时候看你哭还掉眼泪松松手,但是第三只手控制的时候非常残酷。
2控制环境的建设有持高级管理层的支持。在控制环境方面涉及一些问题值得关注,管理层是不是明确维护内部的完整性,这是非常重要的,特别是高级管理层,比如说总行的领导,一级分行的行长这些负责人,他们是不是明确维护内部控制系统?包括规章制度的建设,组织结构这方面的合理性,都非常重要。还要看这个银行有没有积极的控制管理,是不是在整个组织中间具有控制觉悟或者自觉的控制态度?行长们对内控的基调是不是积极?单位里的员工其能力和他们的责任是不是相匹配?这里就涉及单位的人事政策,应该审理人事部门人事的管理程序和管理规定。管理层的经营风格、授权、责任、组织和业务发展的方式是不是适当?法律部门难以承担授权管理这个职责,但是有一个问题值得探讨,就是授权管理的合规性是需要有人控制的,我们目前还没有控制到,我们在内控上是有缺陷的。
行长也好,董事会也好,稽核委员会也好,是不是对内部控制给予足够的重视了?巴塞尔委员会是这样说的,董事会应该负责批准并且定期审查整个经营战略和银行重大政策,理解银行经营的主要风险,确定这些风险的可接受的水平,保证高级管理层采取必要的步骤,识别、衡量、评审和控制风险。银行的组织结构是由董事会批准的,高级管理层也要不断评审内控系统的有效性,在确保建立和维护充分和有效的内控系统方面,董事会富有最终的责任。我们最近也在讨论一个问题,我们行要成立一个主管内控的一个处室,大家发现内控没有一定的组织保证不行,就要成立内控处。这个内控处设在哪儿?就是一个极为头疼的问题。后来还是鉴于风险管理部的权威性比较高,把它放在风险管理部。但是风险管理和风险管理部并非一回事,风险管理是个很宽泛的概念,而银行设风险管理部主要还是为了识别和评估信用方面的风险而制定政策并把关。风险管理部并不是管内部控制这方面的。后来实践也证明,风险管理部根本没有精力管这部分,项目的评审、客户的评级、政策的制定、行业分析都已经让他们负担很重了。这个内控处挂靠在风险管理部,它们草拟了一个文件,其中提到负责内部控制的是风险管理委员会。后来拿到我们部提意见,我给他提了意见,我说风险管理委员会不是内控的最终责任承担者,最终的责任承担者是董事会,与其他行不一样,我们行有过董事会,这个董事会与20世纪90年代以前的人大常委会差不多,它并不是主要责任人,是一些人退休后,安排当一个董事,不像国外的董事真是代表股东的权益,有决策权。
巴塞尔委员会对高级管理层也提出了建议,就是高级管理层要维护组织结构,确定并执行适当的内控政策。例如国外都有合规政策,是法律与合规部或者合规部负责的,我研究这个问题,究竟合规政策怎么制定?实际上很重要的就是认识内部控制。合规是依法合规,依法合规是前面介绍的内控的第四大目标,而合规和内控是什么关系。内控里一个重要组成部分是“控制活动”,合规是制定规章制度以后,看你是不是遵循,这应是最主要的控制活动。我们银行出现的案件都是违规才出现的,如果100%按照规定去做,怎么会出案件?所以内部控制重点的一个问题就是抓合规性的控制,合规性的控制就是控制活动的主要的内容,所以你说内控和合规是什么关系?合规是内部控制的重要内容。总行的规章制度非常多,对于下面的人是不是可操作?总行不管;制定的规章制度互相矛盾,总行也不管。甚至制定出的规章制度还不全面,没有真正的防范风险,就下达了,分行接了一种规章制度就跟接一个文一样不执行,不合规成了一种文化。这个是高级管理层要管的,必须维护良好的控制文化。
3银行当前要特别控制的几种风险值得研究。(1)道德风险。银行要特别加强银行的道德建设,我们发现这是控制出现问题,不合规的一个重要原因。有些基层出问题,就是因为选聘的人不讲职业道德,同时出现很多给银行干活实际上为自己干的情况。先是间接为自己干,然后就直接为自己干。有一家支行的女行长最后查出两亿多元的不良资产,你说怎么整的,她有多大的权限?后来发现她丈夫和她儿子开公司,钱都跑到他们家,她当支行行长当然好了,这也是一种“公司治理”。据说她家里宝马车有两三辆,稽核去查的时候,女支行行长珠光宝气。当时有个稽核人员建议马上双规起来,谁想没等查清人家跑了,到现在也没找到。那是几年前的事了。这说明怎么强调我们员工的职业道德教育都不过分。我们现在使用干部的时候不太关注道德风险,喜欢用和自己一致的“顺手”的人,不善于从干部所管单位的群众中了解干部的道德状况,也不注意进行道德教育,甚至压制群众去服从某些所谓“有能力”甚至用权术的干部。这是银行不断产生高管人员案件的重要根源。选人其实选文化,用错了一个人就提倡了一种错误的文化,会影响一大片。在座的处级干部,你们管底下的人员好管吗?不好管。为什么?那个时代的奋斗精神、敬业精神、去掉个人私心杂念来维护集体的精神和银行的利益高于一切的精神,现在都淡漠了,所以怎么能够不出失控的问题?不是说改革了以后,这些问题就自然消失了。因此普遍开展职业道德教育十分必要。巴塞尔委员会指出:有问题银行的案例中经常看到内部失控,其中一大问题就是缺乏足够的管理监督和负责评估的能力,或者我们叫尽职,就是没有能够在银行中发展一种很强的控制文化,重大损失的例子当中,无一例外地反映出银行控制中管理疏忽和松懈,董事会和高级管理层的领导督促不力或者不充分,通过职务和责任的安排,看出管理者缺乏清晰的评估能力,有些案例也反映出管理层缺乏适当的激励机制,去对经营层进行强有力的监督,业务经营和管理人员没有保持高水平的控制觉悟。这是巴塞尔委员会提出来,是在总结国际上许多倒闭的银行和银行中发现重大案件中总结出来的。
(2)人事风险是银行值得高度关注的风险。银行首要的风险是人事风险。首先是我国银行高级管理层的风险。我在2001年写过一篇获奖论文,题为“加强选配评审,防止领导风险”。在论证一番之后我得出结论:在银行的各种风险中间,人事风险最大;在人事风险当中,管理层的风险最大;在管理层的风险中,领导班子的风险最大;在领导班子的风险当中,“一把手”的风险最大。这并不是在讲“一把手”都不好。我前面讲过什么是风险:风险是可能妨碍公司目标实现的因素。显然公司总经理和银行董事长及行长的决策行动对目标实现的影响最大。好的“一把手”能够承认这一点,从而认真肩负起全面的领导责任,确保副手各尽其职,并主动接受副手监督。确实有些人反其道而行之,形成了风险,甚至招致了巨大损失。
这里不妨提一下银行总行这些老总们的风险。我们总行的领导都是从部门总经理或者一级分行的行长提升上来的,这些总经理是不是总行乃至我国银行界最优秀的呢?对总经理室成员有没有授权制度呢?我应聘在外资银行当管理人员的时候,首先接到的就是我的授权书,在这个授权书里,明确规定我向谁报告工作。我到中国银行这么多年,没有任何人给我授权,到目前为止,我做合规工作,没有任何人给我授权,我是什么样的权限,明确的没有,不仅我没有,其他老总大部分也没有,甚至“一把手”也没有,只有口头授权,非正式的授权,而且这种授权很难说在什么情况下越权,在什么情况下有权自己独立处理事务,那就因部门而异,因不同部门的“一把手”不同,他的管理风格不同而不同。部门总经理室没有统一的符合民主集中制的工作制度。在有些部门重大事项由“一把手”一个人或由他找合自己意的人简单决定,只是为了避嫌才有时走个开会的形式。如果银行里放任这种机制,如何教育和监督部门总经理?如何防止“一把手”出现道德问题?
另外,在我们的员工中有一些有特殊背景的员工,对他们应不应该有特殊政策?现在什么地方最好,人们就把子女送进什么地方。“文革”期间走后门最好的去处是参军,谁要是家里有关系谁参军。后来70年代是谁要有关系进好工厂。后来改革开放,国营企业纷纷倒闭,现在人们认为最可靠的是进银行,所以许多有地位的人士都把子女送到银行来。银行好不好管?现在一些领导感觉挺难管的。什么叫有特殊背景?很难定义。当年毛泽东三令五申不准高干子弟搞特殊化。人事政策同银行的企业文化有关系,我们现在将人事部改叫人力资源部,实际上就是人力资源市场化管理,关系学和人力资源市场化管理是矛盾的。西方有几个学者发表了一篇论文讲中国的关系学,他们说西方是不讲关系的市场关系,中国是东方的那种以关系学为主导的市场关系,他们说这两个都有一定的缺陷,最后的结论就是今后是不是西方能增加一点人情色彩,东方是不是减少点人情色彩。在管理人方面还是应该一视同仁。我个人觉得国有商业银行内控的问题,首先是人的问题,不要搞拉拉扯扯和吹吹拍拍抬轿子,银行尤其不能无原则地允许拉帮结派,要半军事化管理。各级员工严守纪律,不分亲疏,不应允许下级绕过直接上级去借助关系谋取个人便利。我们总行干部要从严要求,上得顺理成章,下得顺其自然。当然让干部上或下都应该有充分的理由,而且把理由向当事人实事求是地讲清楚,防止“暗箱操作”,防止利用“能上能下”去拉帮结派或打击报复,防止以次充好。武汉市搞的人事改革试点,解决干部能下的问题要靠机制创新,解决三个问题:标准问题、渠道问题、保障问题。大量裁员中一个困难就是保障问题,要解决干部下了以后怎么办的问题,不能说用人家的时候用人家,等下来的时候不管了。
(3)制度风险不容忽视。银行是一个需要高度关注制度规定的行业。从表面看,银行的规章制度堆积如山,似乎已经很完善了。其实不然。形势的发展、科技的进步、新产品的不断涌现,呼吁银行进一步加强规章制度的建设。管理的实质在于制定高质量的相互协调一致的规章制度,并且推动这些规制有效地执行和落实。我们行在规章制度建设和管理中间,发现有些问题,规章制度制定的规范机制缺位,各级行都有权制定规章制度,没有一个程序来保证规章制度制定的质量。这样质量就有问题了。一方面主管部门制定规章制度的时候没有规划,有随意性(当然随意性不是到处都非常大),缺乏对规章制度的论证,征求意见的范围程序等也缺乏规定。另一方面在规章制度颁布并实施的时候,是不是需要测试?规章制度一经制定出来就要执行,还是先找几个支行做试点试行,要不要对规章制度进行事后评价?规章制度执行一两年,评价一下规章制度对不对,有没有缺陷,到底有没有可操作性,这是一个很重要的问题。总行一般接到人民银行和中央的规定就要落实中央的规定,制定一些规章制度。但把它们拿到分行、支行以后,人家看了很痛苦,为什么痛苦?因为他们没法操作,这就是有问题。后评价是一种机制,能否导致起动相应的规章制度修改或者废止的程序。评价完了以后,应当明确这个规章制度行不行、要不要废止,谁来说废止的话。
还有就是规章制度欠缺合法合规性的程序保证,因为没有强制性的程序,致使规章制度和外部法律法规相冲突,出现不一致的现象。现在我们的规章制度要送审法律与合规部,送我这儿的规章制度中一大审查内容就是它合不合法,合不合人民银行、中国政府的政策和规定。如果没有一个程序,有些和人民银行的规定相冲突,也导致不可操作。
还有一个问题是规章制度种类纷杂,缺乏统一规范。我们行过去的规章制度有24种,大量的通知、批复,函、附件等都构成规章制度,名称缺乏统一规范,也导致规章制度命名的随意性。什么叫管理规定,什么叫实施细则,什么叫做制度,出现相似内容运用不同的规章制度加以规范的情形。加上没有对以上不同名称的规章制度进行有层次的规定和说明,不但使用者眼花缭乱,大大削弱了规章制度的严肃性、权威性和系统性。
规章制度的信息化管理滞后,使员工难以了解规章制度所覆盖的信息,总行发了个规章制度下来,在一级分行几位行长中间传阅,传阅到最后有的都找不着了,有的是推,已经到了需要向总行汇报情况的时候,其规章制度还没有下发到执行部门。进行规章制度培训也是很必要的。尤其在贯彻执行新规章制度的时候,人们对新的规定不熟悉,还没有建立新的执行机制,所以落实就大打折扣了。具体操作部门作为防范风险的第一道防火墙,需要及时掌握规制,总行的规章制度应当下发到使用者。我们经常发现下去检查工作的时候,包括稽核检查工作的时候,一问规章制度怎么落实的,他们连见都没见过。所以现在就实行无纸化的规章制度(电子化)。我们行现在一般的规章制度全部都是走电子系统,总经理在批规章制度的时候全在电子信箱里签字,这也是提高速度,不用打印了,会签的时候在总行不同部门老总中间按照授权签字。
国家应有“立法法”,银行也应该有。应制定银行的“立法法”,银行规章制度管理办法,来规范规章制度,通过严格合理的程序来设计和制定,使制定规章制度的程序规范、科学、连续、协调、统一、具有共享性,这个叫做法治和法制的统一。通过良好的程序设计,比如规定草案的规划,会签颁布,试行推广,检查和后评价,制定明确的程序来实行。另外,对规章制度的管理也要做一些相关的规定。
(4)还有一种风险叫组织结构风险。中国银行一直有董事会,但是这个董事会应该是什么职能,现在是党委书记、董事长、行长是一个人,今天看起来这种机制不对,行领导怎么进行分工和合作?总行的部门怎么划分职责?银行各个部门之间出现一种叫“扯皮文化”,有人称“免责文化”,大家都不愿意负这个责任,有责任的时候推诿。这里有文化问题,也有组织机构设置和职能界定问题。办文办事拖拉,肯定降低工作效率,导致损失。内部控制究竟需不需要有专门的机构来管理?需不需要从属于某个委员会?从属于哪个委员会?如何以控制文化来取代这种所谓的“扯皮文化”和“免责文化”?这些都是我们值得研究的。
(5)应该大力防范操作性风险。首先案件的风险控制需要认真研究。我不觉得控制风险就是防范案件,案件是失控的典型表现,但不是唯一表现。事要发展到出案子了,要让法院来管了,就太严重了!大量的失控不是案件,但是案件本身是失控的典型表现。因此不注重案件的分析和管理实际上是不对的,是我们白交学费。而且案件是一面明镜,能照出银行在控制上存在的问题,在法规上、在遵循上存在的问题。
我这儿也有一些案例,三防一保方面的案例,稽核方面的违规案例,我们确确实实有大量失控的例子。1996年有一个办事处的副主任,两个人共同策划,利用已经过期的存单采取不进账的手法截留一个公司的存款600万元,其中一部分作为利差返回公司,一部分作为该公司存款中介手续费。他把剩余的400多万元都划往了另一单位的营业部,给以其妻舅为法人代表注册成立的一个贸易发展公司,作验资款用,然后把其中200多万元划到上海两家公司,把100多万元归还储蓄户,剩下的100多万元划到合伙作案人的账上,用于经营。最后这个案子追回了200多万元,查扣了100多万元,有300多万元资金难以追回。工、农、建行都可能发生这类案子。我们最后把他开除公职,移送司法机关处理,有八名涉案人员和领导分别被警告和记大过处分,有一个人被辞退。我们总结教训的时候就有这么几条,一个是思想教育和素质培养上缺乏有效的方法和措施。这个人文化水平比较低,大概高中毕业,思想教育松懈在那个时期是很普遍的。另外我们对抓基层行网点机构的管理缺乏力度,对法规制度落实不到位,监督制约机制不够健全,这个案子反映出我们一系列失控的问题。在会计、储蓄、结算等业务环节空白存单和业务公章、个人名章等的保管方面都存在一些漏洞。规章制度形同虚设,违规违章操作比较严重,个别员工明知不对,仍按领导意思办理业务。知道不对,但是经办人照常去做。加上对内部管理缺乏监督、制约,形成了重大损失。
这个案例实际上从控制环境的角度看出这个分理处存在的问题。我前面介绍了内部控制理论,从那个理论出发,我们可以看到银行如果要想健全内控,防范风险,要想对内控和合规情况进行检查和评价,应该运用一套规范的方法。可以按照内控的五大组成部分,一个部分一个部分去进行检查评价,而且人民银行的内控指导原则已经给我们提出来应该怎么抓。
(待续)
银行风险的识别、评估与内部控制
杨海群
(上接 III)
四、仅供参考的政策建议
政策性建议之一,明确内部控制的评价标准。我们今后要健全内控,就要有标准,干什么事都要有标准。我在20世纪90年代就提出过四条原则性的标准。第一是要有现代内控理论做指导,这是一个理论体系,没有这个体系做指导,非要自己单搞一摊,像许多人写书,左抄右抄最后弄一本书,用上自己的名字,也不说明出处。我们的内控依据应当扎实可靠,要站在前人成果的基础上。第二是要形成完整的有机结合的整体。我前面给大家介绍的内控体系和风险管理体系,就是一种有机结合的完整体系。内控有四大目标和五大组成部分,加上组织机构这第三维空间,就是个有机整体。我们开展内控建设和管理,就应该从这个框架(framework)出发。第三是方法上的先进性和可操作性,就是实实在在地开展内部控制,制定一整套规范的方法去开展内控,这些方法也要能跟国际接轨,我的专著中介绍的那套方法是非常好的控制方法,是在总结国内外经验的基础上提出来的。第四是内控程序应当便于计算机化,你既然有高科技创造的PC和软件,就应能实行计算机化。
政策性建议之二,绩效考核要有合规性的目标和信息性的目标。内控有四个大目标,现在大多数银行主要提两个目标,特别是利润目标(效益目标),而没有把合规性、信息性目标提出来。美国一些公司的丑闻已经导致各国强调目标管理的全面性了,不是以利润目标让你得到奖金。针对安然事件,美国国会通过的一个索克斯法,这个法律里面规定,高级管理层通过虚报瞒报财务报表赢得的奖金,一旦发现,就让退回原有的奖金,这等于把合规性和信息性(财务报告可靠性)的目标作为绩效考核的标准。
政策性建议之三,建议银行把内部控制的职能从风险管理部的工作中分离出来,不知道工行是不是这样,我们曾经把它放在风险管理部,风险管理包含但不等同于内部控制,“风险管理部”同“风险管理”不是同一概念。我一直这样说明,它们的职能不同,风险管理部门实行自身的内控是应该的,但是由这个部门去协调指导全部的内部控制,就既可能干扰风险管理,又可能使内部控制落空。另外内部控制是全行各个部门的工作,当然我们最好有一个比较有权威的委员会来领导,由一个独立的部门具体管这个事。这里有一个正确处理风险管理和内部控制的关系问题,要理顺风险管理和内部控制的关系。
政策性建议之四,正确处理业务发展和管理控制的关系。现在应该大力提倡可持续的发展战略。所谓可持续的发展,联合国有关机构认为应当是现时的发展不给后续的发展造成困难,我们这代人的发展不能给后代的发展造成任何妨碍。银行也一样。你这任行长发放大批贷款,当时有效益,新一任行长接手时形成了一大笔烂账,就不是可持续发展。这点恐怕是商业银行普遍遇到的问题。要建立信息交流制度,定期召开管理部门和业务发展部门之间的沟通会,对业务的可持续发展进行定期的评审。一方面要强调业务发展部门依法合规经营,审慎办理各种项目,否则酌情追究责任。另一方面要研究制定管理控制部门和人员的责任追究制度,管理控制部门不是没有责任,现在业务发展部门有数字指标在那儿控制,没有完成什么指标,就得扣奖金,管理部门没有什么指标,怎么干的奖金都能发给你们。我以前也管过公司业务和结算业务,也深有体会。如果风险管理部审批一个项目拖拉怎么办?因种种原因不批准一个项目,风险管理部要不要承担风险?风险管理部大笔一挥这个项目不能干,你就不能干,至于说我们中行不办,农行接过来了,农行给办了,事后没风险,还获得了效益,还本付息很正常,追究不追究风险管理的责任?我曾经跟风险管理的同事讨论过这个问题,他们说那怎么追究,我在特定时期、特定情况下、特定政策下决定不批准这个项目,农行在他的环境里面批准了这个项目,你怎么能说我不对?这个问题有待于研究。业务发展与管理控制是一对矛盾,它们既对立又统一。只有正确处理,在矛盾中不断提高水平。最好两方面的人员,包括风险管理、法律合规和稽核监督人员,都应该制定相关的责任制,要界定清楚什么情况属于管理者失职或渎职。这样才能处理好所谓“踩油门”和“踩刹车”的关系。
政策性建议之五,为了加强对操作风险的防范,要研究风险怎么计量,国外都有一套理论模型,这套理论运用到我们中国银行界怎么运用?需要研究和建立我们的操作风险计量模型。另外,操作风险的激烈表现就是案件的发生。各级机构负责人员都要切实重视案件防范工作。加强基层管理和内控建设,落实规章制度,解决某些人想干干不成,干了早发现、早预警的问题。要根治私设小金库,银行更不能发生这个问题,小金库最终带来的后果是不好的。现在我们在查海外行,不让海外行设小金库。过去我们给海外行的工资比当地外资银行发的低,怎么解决呢?他们经总行批准设一种小金库,有时接待任务很重,也要有一点资金来源。但是我们发现设小金库带来的隐患很大,因此命令撤除小金库。另外要禁止职工炒卖外汇或者炒卖股票,我们行发生的大量案例都是属于规定了不许,但是还炒,炒输了怎么办?银行人员从银行掏钱比较容易,转转账,搬搬科目,动动电脑上的键盘,就能解决这个问题。我们要加大有关责任人的追究。
政策性建议之六,希望能够实施一套比较好的内部控制操作方法,讲了半天内控,最终要落到实处,要开展控制活动,因此,应当运用和不断完善规范的操作内控的方法。这与我们搞法律的也有关系。因为我们法规部内现在设了合规处,这种把合规职能放在法律部门的方式还有待观察和研究。我本人倾向把内控与合规以及反洗钱等方面的职能归属到一个独立的“内控合规部”。我跟合规处同事们提出,如何通过一套完整的、比较先进的操作方法,能够让人们合规。这里要有一套评价体系,要根据我前面讲的内容来进行评价。前面讲的我那本书里有这个图,图示的操作还是挺不容易的,要分几个阶段,这个流程包含学习理论原理阶段、前期准备阶段、检查阶段、评价阶段、报告阶段,这是一套体系。如果真正实行了这套方法,我们国有商业银行的内部控制问题,依法合规经营的问题应该不会很大。
以上所言是本人对银行强化风险管理和内部控制的一些粗浅的探讨,以求引起各方面的高度重视。其中的一些问题是带普遍性的,各家银行都在研究解决。虽然有些不是法律问题,但是在银行的法律工作中都应当了解。在改革开放的大潮席卷神州的形势之下,我们冷静地研究银行的控制职能,特别是探索银行如何通过风险管理和内部控制发挥支持和稳定中国社会的可持续发展,应当不无意义。言多必失,欢迎批评指正。
(完)
注释:本文原载于法律出版社2006年出版2007年再版的书《金融审判与银行债权保护》。文中的图示和注释等因网络格式转换而未加。
银行风险的识别、评估与内部控制
Identification, Assessment and Internal Control of Bank Risks
杨海群
(上接 III)
四、仅供参考的政策建议
政策性建议之一,明确内部控制的评价标准。我们今后要健全内控,就要有标准,干什么事都要有标准。我在20世纪90年代就提出过四条原则性的标准。第一是要有现代内控理论做指导,这是一个理论体系,没有这个体系做指导,非要自己单搞一摊,像许多人写书,左抄右抄最后弄一本书,用上自己的名字,也不说明出处。我们的内控依据应当扎实可靠,要站在前人成果的基础上。第二是要形成完整的有机结合的整体。我前面给大家介绍的内控体系和风险管理体系,就是一种有机结合的完整体系。内控有四大目标和五大组成部分,加上组织机构这第三维空间,就是个有机整体。我们开展内控建设和管理,就应该从这个框架(framework)出发。第三是方法上的先进性和可操作性,就是实实在在地开展内部控制,制定一整套规范的方法去开展内控,这些方法也要能跟国际接轨,我的专著中介绍的那套方法是非常好的控制方法,是在总结国内外经验的基础上提出来的。第四是内控程序应当便于计算机化,你既然有高科技创造的PC和软件,就应能实行计算机化。
政策性建议之二,绩效考核要有合规性的目标和信息性的目标。内控有四个大目标,现在大多数银行主要提两个目标,特别是利润目标(效益目标),而没有把合规性、信息性目标提出来。美国一些公司的丑闻已经导致各国强调目标管理的全面性了,不是以利润目标让你得到奖金。针对安然事件,美国国会通过的一个索克斯法,这个法律里面规定,高级管理层通过虚报瞒报财务报表赢得的奖金,一旦发现,就让退回原有的奖金,这等于把合规性和信息性(财务报告可靠性)的目标作为绩效考核的标准。
政策性建议之三,建议银行把内部控制的职能从风险管理部的工作中分离出来,不知道工行是不是这样,我们曾经把它放在风险管理部,风险管理包含但不等同于内部控制,“风险管理部”同“风险管理”不是同一概念。我一直这样说明,它们的职能不同,风险管理部门实行自身的内控是应该的,但是由这个部门去协调指导全部的内部控制,就既可能干扰风险管理,又可能使内部控制落空。另外内部控制是全行各个部门的工作,当然我们最好有一个比较有权威的委员会来领导,由一个独立的部门具体管这个事。这里有一个正确处理风险管理和内部控制的关系问题,要理顺风险管理和内部控制的关系。
政策性建议之四,正确处理业务发展和管理控制的关系。现在应该大力提倡可持续的发展战略。所谓可持续的发展,联合国有关机构认为应当是现时的发展不给后续的发展造成困难,我们这代人的发展不能给后代的发展造成任何妨碍。银行也一样。你这任行长发放大批贷款,当时有效益,新一任行长接手时形成了一大笔烂账,就不是可持续发展。这点恐怕是商业银行普遍遇到的问题。要建立信息交流制度,定期召开管理部门和业务发展部门之间的沟通会,对业务的可持续发展进行定期的评审。一方面要强调业务发展部门依法合规经营,审慎办理各种项目,否则酌情追究责任。另一方面要研究制定管理控制部门和人员的责任追究制度,管理控制部门不是没有责任,现在业务发展部门有数字指标在那儿控制,没有完成什么指标,就得扣奖金,管理部门没有什么指标,怎么干的奖金都能发给你们。我以前也管过公司业务和结算业务,也深有体会。如果风险管理部审批一个项目拖拉怎么办?因种种原因不批准一个项目,风险管理部要不要承担风险?风险管理部大笔一挥这个项目不能干,你就不能干,至于说我们中行不办,农行接过来了,农行给办了,事后没风险,还获得了效益,还本付息很正常,追究不追究风险管理的责任?我曾经跟风险管理的同事讨论过这个问题,他们说那怎么追究,我在特定时期、特定情况下、特定政策下决定不批准这个项目,农行在他的环境里面批准了这个项目,你怎么能说我不对?这个问题有待于研究。业务发展与管理控制是一对矛盾,它们既对立又统一。只有正确处理,在矛盾中不断提高水平。最好两方面的人员,包括风险管理、法律合规和稽核监督人员,都应该制定相关的责任制,要界定清楚什么情况属于管理者失职或渎职。这样才能处理好所谓“踩油门”和“踩刹车”的关系。
政策性建议之五,为了加强对操作风险的防范,要研究风险怎么计量,国外都有一套理论模型,这套理论运用到我们中国银行界怎么运用?需要研究和建立我们的操作风险计量模型。另外,操作风险的激烈表现就是案件的发生。各级机构负责人员都要切实重视案件防范工作。加强基层管理和内控建设,落实规章制度,解决某些人想干干不成,干了早发现、早预警的问题。要根治私设小金库,银行更不能发生这个问题,小金库最终带来的后果是不好的。现在我们在查海外行,不让海外行设小金库。过去我们给海外行的工资比当地外资银行发的低,怎么解决呢?他们经总行批准设一种小金库,有时接待任务很重,也要有一点资金来源。但是我们发现设小金库带来的隐患很大,因此命令撤除小金库。另外要禁止职工炒卖外汇或者炒卖股票,我们行发生的大量案例都是属于规定了不许,但是还炒,炒输了怎么办?银行人员从银行掏钱比较容易,转转账,搬搬科目,动动电脑上的键盘,就能解决这个问题。我们要加大有关责任人的追究。
政策性建议之六,希望能够实施一套比较好的内部控制操作方法,讲了半天内控,最终要落到实处,要开展控制活动,因此,应当运用和不断完善规范的操作内控的方法。这与我们搞法律的也有关系。因为我们法规部内现在设了合规处,这种把合规职能放在法律部门的方式还有待观察和研究。我本人倾向把内控与合规以及反洗钱等方面的职能归属到一个独立的“内控合规部”。我跟合规处同事们提出,如何通过一套完整的、比较先进的操作方法,能够让人们合规。这里要有一套评价体系,要根据我前面讲的内容来进行评价。前面讲的我那本书里有这个图,图示的操作还是挺不容易的,要分几个阶段,这个流程包含学习理论原理阶段、前期准备阶段、检查阶段、评价阶段、报告阶段,这是一套体系。如果真正实行了这套方法,我们国有商业银行的内部控制问题,依法合规经营的问题应该不会很大。
以上所言是本人对银行强化风险管理和内部控制的一些粗浅的探讨,以求引起各方面的高度重视。其中的一些问题是带普遍性的,各家银行都在研究解决。虽然有些不是法律问题,但是在银行的法律工作中都应当了解。在改革开放的大潮席卷神州的形势之下,我们冷静地研究银行的控制职能,特别是探索银行如何通过风险管理和内部控制发挥支持和稳定中国社会的可持续发展,应当不无意义。言多必失,欢迎批评指正。
(完)
注释:本文原载于法律出版社2006年出版2007年再版的书《金融审判与银行债权保护》。文中的注释等网络因格式转换而未加。
第四篇:信息安全风险评估管理办法
信息安全风险评估管理办法
第一章 总 则
第一条 为规范信息安全风险评估(以下简称“风险评估”)及其管理活动,保障信息系统安全,依据国家有关规定,结合本省实际,制定本办法。
第二条 本省行政区域内信息系统风险评估及其管理活动,适用本办法。
第三条 本办法所称信息系统,是指由计算机、信息网络及其配套的设施、设备构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的运行体系。
本办法所称重要信息系统,是指履行经济调节、市场监管、社会管理和公共服务职能的信息系统。
本办法所称风险评估,是指依据有关信息安全技术与管理标准,对信息网络和信息系统及由其存储、传输、处理的信息的保密性、完整性和可用性等安全属性进行评价的活动。第四条 县以上信息化主管部门负责本行政区域内风险评估的组织、指导和监督、检查。
跨省或者全国统一联网运行的重要信息系统的风险评估,可以由其行业管理部门统一组织实施。
涉密信息系统的风险评估,由国家保密部门按照有关法律、法规规定实施。第五条 风险评估分为自评估和检查评估两种形式。自评估由信息系统的建设、运营或者使用单位自主开展。检查评估由县以上信息化主管部门在本行政区域内依法开展,也可以由信息系统建设、运营或者使用单位的上级主管部门依据有关标准和规范组织进行,双方实行互备案制度。第二章 组织与实施
第六条 信息化主管部门应当定期发布本行政区域内重要信息系统目录,制定检查评估实施计划,并对重要信息系统管理技术人员开展相关培训。
第七条 江苏省信息安全测评中心为本省从事信息安全测评的专门机构,受省信息化主管部门委托,具体负责对从事风险评估服务的社会机构进行条件审核、业务管理和人员培训,组织开展全省重要信息系统的外部安全测试。第八条 信息系统的建设、运营或者使用单位可以依托本单位技术力量,或者委托符合条件的风险评估服务机构进行自评估。
第九条 重要信息系统新建、扩建或者改建的,在设计、验收、运行维护阶段,均应当进行自评估。重要信息系统废弃、发生重大变更或者安全状况发生重大变化的,应当及时进行自评估。
第十条 本省行政区域内信息系统应当定期开展风险评估,其中重要信息系统应当至少每三年进行一次自评估或检查评估。在规定期限内已进行检查评估的重要信息系统,可以不再进行自评估。
第十一条 县以上信息化主管部门委托符合条件的风险评估服务机构,对本行政区域内重要信息系统实施检查评估。第十二条信息系统的建设、运营或使用单位委托风险评估服务机构开展自评估,应当签订风险评估协议;信息化主管部门委托开展检查评估,受委托的风险评估服务机构应当与被评估单位签订风险评估协议。
对于评估活动可能影响信息系统正常运行的,风险评估服务机构应当事先告知被评估单位,并协助其采取相应的预防措施。
第十三条 风险评估应当出具评估报告。评估报告应当包括评估范围、内容、依据、结论和整改建议等。
风险评估服务机构出具的自评估报告,应当经被评估单位认可,并经双方部门负责人签署后生效。
风险评估服务机构出具的检查评估报告,应当报委托其开展评估的主管部门审定;主管部门应当自收到评估报告之日起10个工作日内,将审定结果和整改意见告知被评估单位。第十四条 自评估单位应当根据自评估报告进行整改,并自报告生效之日起30日内,将自评估情况和整改方案报本级信息化主管部门备案。
接受检查评估的单位应当自收到检查评估报告之日起30日内,根据整改建议提出整改方案、明确整改时限,报本级信息化主管部门备案。
受委托进行风险评估的服务机构应当指导被评估单位开展整改,并对整改措施的有效性进行验证。第十五条 信息化主管部门应当定期公布已开展自评估、检查评估单位备案名单,督促未备案单位开展自评估。
第十六条 未发生重大变更的重要信息系统再次进行风险评估的,可以参考前次评估结果,重点评估以下内容:
(一)前次风险评估发现的主要问题及整改情况;
(二)核心网络设备、服务器、安全防护设施、应用软件等系统关键部位发生局部变更后,可能出现的安全隐患;
(三)新的信息技术可能对信息系统安全造成的影响;
(四)其他需要重点评估的内容。第三章 风险评估机构
第十七条 在本省行政区域内从事自评估服务的社会机构,应当具备下列条件,并报经其所在地省辖市信息化主管部门备案:
(一)依法在中国境内注册成立并在本省设有机构,由中国公民、法人投资或者由其它组织投资;
(二)从事信息安全检测、评估相关业务两年以上,无违法记录;
(三)专业评估人员不少于10人且均为中国公民,接受并通过相关培训考核,无违法记录;其中主要评估人员2人以上,具有由国家权威机构认定的或由其它机构认定的相当水平的信息安全服务资格,具备独立实施风险评估的技术能力;
(四)评估使用的技术装备、设施符合国家信息安全产品要求;
(五)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等内部管理制度;
(六)法律法规规定的其它条件。
第十八条 在本省从事检查评估的社会机构,除具备第十七条规定条件外,还应当同时具备下列条件,并经其所在地省辖市信息化主管部门审核后,报省信息化主管部门备案:
(一)具有国家权威机构认定的信息安全服务资质;
(二)评估人员不少于20人,其中主要评估人员4人以上,具有国家权威机构认定的或由其它机构认定的相当水平的信息安全服务资格。
第十九条 省辖市以上信息化主管部门应当自收到备案申请报告之日起10个工作日内,告知备案结果,并定期向社会公布本行政区域内风险评估服务机构备案名单,对其服务进行管理、监督。
第二十条 从事风险评估服务的机构,应当履行下列义务:
(一)遵守国家有关法律法规和技术标准,提供科学、安全、客观、公正的评估服务,保证评估的质量和效果;
(二)保守在评估活动中知悉的国家秘密、商业秘密和个人隐私,防范安全风险,不得私自占有、使用或向第三方泄露相关技术数据、业务资料等信息和资源;
(三)对服务人员进行安全保密教育,签订服务人员安全保密责任书,并负责检查落实。第四章 监督管理
第二十一条 违反本办法,有以下行为之一的,由信息化主管部门责令其限期改正,逾期不改正的,予以通报;对直接责任人员,由所在单位或上级主管部门视情给予行政处分:
(一)违反第九条、第十条规定,信息系统的建设、运营或者使用单位未按照规定开展自评估;重要信息系统的建设、运营或者使用单位不接受、不配合开展检查评估的;
(二)违反第十四条规定,自评估单位未按照规定将自评估情况和整改方案、接受检查评估单位未按照规定将整改方案报本级信息化主管部门备案的;
(三)违反第八条规定,信息系统的建设、运营或者使用单位委托不符合条件的机构进行风险评估,并造成不良后果的。第二十二条 违反本办法第十二条规定,风险评估服务机构未事先告知被评估单位、协助其采取预防措施的,由信息化主管部门责令限期改正,并给予警告;造成不良后果的,可视情暂停其备案1年,直至取消其备案。
第二十三条 违反本办法第二十条规定,风险评估服务机构未经许可向第三方提供被评估单位相关信息的,或者从事影响评估客观、公正的活动的,由信息化主管部门视情暂停其备案一年,直至取消其备案。造成被评估单位经济损失的,应予合理赔偿;从中不当获利的,应予退还;构成犯罪的,应依法追究其刑事责任。
第二十四条 信息化主管部门或其他有关部门工作人员有下列行为之一的,由其监察部门或上级主管部门视情对相关责任人员给予行政处分;构成犯罪的,依法追究刑事责任:
(一)利用职权索取、收受贿赂,或者玩忽职守、滥用职权的;
(二)泄露信息系统的运营、使用单位或者个人的有关信息、资料及数据文件的。第五章 附 则
第二十五条 本办法自发布之日起施行,由省信息化主管部门负责解释。
第五篇:信息科技风险管理办法(最终版)
XXXX银行信息科技风险管理办法 总则
为XXXX银行有效防范银行运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险,促进我行各项业务安全、持续、稳健运行,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《商业银行信息科技风险管理指引》、《营口沿海银操作风险管理指引》,以及国家信息安全相关要求和有关法律法规,制定本管理办法。
本管理办法所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在我行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。本管理办法所称信息科技风险,是指信息科技在我行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
信息科技风险管理的目标是通过建立有效的机制,实现对我行信息科技风险的识别、计量、监测和控制,促进我行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。机构职责
根据我行信息科技治理的要求,法定代表人是本机构信息科技风险管理的第一责任人,负责组织本管理办法的贯彻落实, 董事会应履行以下信息科技管理职责: 遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。
掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。
规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。
设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。
在建立良好的公司治理的基础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设,建立人才激励机制。确保内部审计部门进行独立有效的信息科技风险管理审计,对审计报告进行确认并落实整改。每年审阅并向银监会及其派出机构报送信息科技风险管理的报告。确保信息科技风险管理工作所需资金。
确保银行所有员工充分理解和遵守经其批准的信息科技风险管理制度和流程,并安排相关培训。
确保本法人机构涉及客户信息、账务信息以及产品信息等的核心系统在中国境内独立运行,并保持最高的管理权限,符合银监会监管和实施现场检查的要求,防范跨境风险。及时向银监会及其派出机构报告本机构发生的重大信息科技事故或突发事件,按相关预案快速响应。
配合银监会及其派出机构做好信息科技风险监督检查工作,并按照监管意见进行整改。履行信息科技风险管理其他相关工作。
我行应设立分管信息科技的副行级领导,直接向行长汇报,并参与决策。副行级领导的职责包括:
直接参与本银行与信息科技运用有关的业务发展决策。确保信息科技战略,尤其是信息系统开发战略,符合本银行的总体业务战略和信息科技风险管理策略。
负责建立一个切实有效的信息科技部门,承担本银行的信息科技职责。确保其履行:信息科技预算和支出、信息科技策略、标准和流程、信息科技内部控制、专业化研发、信息科技项目发起和管理、信息系统和信息科技基础设施的运行、维护和升级、信息安全管理、灾难恢复计划、信息科技外包和信息系统退出等职责。确保信息科技风险管理的有效性,并使有关管理措施落实到相关的每一个内设机构和分支机构。
组织专业培训,提高人才队伍的专业技能。 履行信息科技风险管理其他相关工作。
科技部负责我行信息安全、信息系统开发、测试和维护、信息科技运行、业务连续性管理;应对内部管理职责进行明确的界定,各岗位的人员应具有相应的专业知识和技能,重要岗位应制定详细完整的工作手册并适时更新,并对相关人员采取相关的风险防范措施: 验证个人信息,包括核验有效身份证件、学历证明、工作经历和专业资格证书等信息。审核信息科技员工的道德品行,确保其具备相应的职业操守。
确保员工了解、遵守信息科技策略、指导原则、信息保密、授权使用信息系统、信息科技管理制度和流程等要求,并同员工签订相关协议。评估关键岗位信息科技员工流失带来的风险,做好安排候补员工和岗位接替计划等防范措施;在员工岗位发生变化后及时变更相关信息。
运营管理部职能交叉,要部门协调是信息系统中涉及账务交易的操作、系统参数变更、事件管理的主要部门。运营管理部的职责包括:
运行与维护应实行职责分离,运行人员应实行专职,不得由其他人员兼任。运行人员应按操作规程巡检和操作。维护人员应按授权和维护规程要求对生产状态的软硬件、数据进行维护,除应急外,其他维护应在非工作时间进行。
制定详细的运行值班操作表,包括规定巡检时间,操作范围、内容、办法、命令以及负责人员等信息。
提供机房环境、设备使用、网络运行、系统运行职能交叉,要部门协调等监控信息。记录运行值班过程中所有现象、操作过程等信息日志。对软件或数据的维护必须通过特定的应用程序进行,添加、删除和修改数据应通过柜员终端,不得对数据库进行直接操作;
具备各种详细的日志信息,包括交易日志和审计日志等,以便维护和审计。提供维护的统计和报表打印功能。对系统参数等设置变更、维护的要求:
应对信息系统配置参数实施严格的安全与保密管理,防止非法生成、变更、泄漏、丢失与破坏。根据敏感程度和用途,确定存取权限、方式和授权使用范围,严格审批和登记手续。制订严密的变更处理流程,明确变更控制中各岗位的职责,并遵循流程实施控制和管理;变更前应明确应急和回退方案,无授权不得进行变更操作;
根据变更需求、变更方案、变更内容核实清单等相关文档审核变更的正确性、安全性和合法性。职能交叉,要部门协调
应对机房环境设施实行日常巡检,明确信息系统及机房环境设施出现故障时的应急处理流程和预案,有实时交易服务的数据中心应实行24小时值班。
实行事件报告制度,发生信息系统造成重大经济、声誉损失和重大影响事件,应即时上报并处理,必要时启动应急处理预案。
风险管理部负责信息科技风险管理工作,并直接向分管行领导(风险管理委员会)报告工作。该部门应为信息科技突发事件应急响应小组的成员之一,负责协调制定有关信息科技风险管理策略,尤其是在涉及信息安全、业务连续性计划和合规性风险等方面,为业务部门和信息科技部门提供建议及相关合规性信息,实施持续信息科技风险评估,跟踪整改意见的落实,监控信息安全威胁和不合规事件的发生。风险管理部的职责包括: 拟定信息系统风险管理总体政策,并提交高级管理层审查、审批。会同相关业务部门对信息系统风险进行识别、监测; 审核信息系统风险状况。对总行相关业务部门和分支机构信息系统风险状况及维护、运行情况进行监测,并进行实时报告。
组织新投产后信息系统的后评价,并识别、评估新信息系统中所包含的风险,审核相应的操作和风险管理程序。
稽核审计部应在部门设立专门的信息科技风险审计岗位,负责信息科技审计制度和流程的实施,制订和执行信息科技审计计划,对信息科技整个生命周期和重大事件等进行审计。稽核审计部负责我行信息系统审计任务,也可聘请经国家相应监管部门认定资质的中介机构进行信息系统外部审计。信息科技风险管理
我行应制定全面的信息科技风险管理策略,包括但不限于下述领域: 信息分级与保护。
信息系统开发、测试和维护。信息科技运行和维护。访问控制。物理安全。人员安全。
业务连续性计划与应急处置。
我行应制定持续的风险识别和评估流程,确定信息科技中存在隐患的区域,评价风险对其业务的潜在影响,对风险进行排序,并确定风险防范措施及所需资源的优先级别(包括外包供应商、产品供应商和服务商)。
我行应依据信息科技风险管理策略和风险评估结果,实施全面的风险防范措施。防范措施应包括:
制定明确的信息科技风险管理制度、技术标准和操作规程等,定期进行更新和公示。
确定潜在风险区域,并对这些区域进行详细和独立的监控,实现风险最小化。建立适当的控制框架,以便于检查和平衡风险;定义每个业务级别的控制内容,包括: 最高权限用户的审查。
控制对数据和系统的物理和逻辑访问。
访问授权以“必需知道”和“最小授权”为原则。审批和授权。验证和调节。
我行应建立持续的信息科技风险计量和监测机制,其中应包括: 建立信息科技项目实施前及实施后的评价机制。建立定期检查系统性能的程序和标准。
建立信息科技服务投诉和事故处理的报告机制。
建立内部审计、外部审计和监管发现问题的整改处理机制。
安排供应商和业务部门对服务水平协议的完成情况进行定期审查。定期评估新技术发展可能造成的影响和已使用软件面临的新威胁。定期进行运行环境下操作风险和管理控制的检查。定期进行信息科技外包项目的风险状况评价。信息安全
科技部负责建立和实施信息分类和保护体系,应使所有员工都了解信息安全的重要性,并组织提供必要的培训,让员工充分了解其职责范围内的信息保护流程。
科技部应落实信息安全管理职能。该职能应包括建立信息安全计划和保持长效的管理机制,提高全体员工信息安全意识,就安全问题向其他部门提供建议,并定期向信息科技管理委员会提交本银行信息安全评估报告。信息安全管理机制应包括信息安全标准、策略、实施计划和持续维护计划。信息安全策略应涉及以下领域: 安全制度管理。信息安全组织管理。资产管理。人员安全管理。
物理与环境安全管理。通信与运营管理。访问控制管理。
系统开发与维护管理。信息安全事故管理。业务连续性管理。合规性管理。
应建立有效管理用户认证和访问控制的流程。用户对数据和系统的访问必须选择与信息访问级别相匹配的认证机制,并且确保其在信息系统内的活动只限于相关业务能合法开展所要求的最低限度。用户调动到新的工作岗位或离开我行时,应在系统中及时检查、更新或注销用户身份。
应确保设立物理安全保护区域,包括计算机中心或数据中心、存储机密信息或放置网络设备等重要信息科技设备的区域,明确相应的职责,采取必要的预防、检测和恢复控制措施。应根据信息安全级别,将网络划分为不同的逻辑安全域(以下简称为域)。应该对下列安全因素进行评估,并根据安全级别定义和评估结果实施有效的安全控制,如对每个域和整个网络进行物理或逻辑分区、实现网络内容过滤、逻辑访问控制、传输加密、网络监控、记录活动日志等。
域内应用程序和用户组的重要程度。各种通讯渠道进入域的访问点。
域内配置的网络设备和应用程序使用的网络协议和端口。性能要求或标准。
域的性质,如生产域或测试域、内部域或外部域。不同域之间的连通性。域的可信程度。
应通过以下措施,确保所有计算机操作系统和系统软件的安全:
制定每种类型操作系统的基本安全要求,确保所有系统满足基本安全要求。
明确定义包括终端用户、系统开发人员、系统测试人员、计算机操作人员、系统管理员和用户管理员等不同用户组的访问权限。制定最高权限系统账户的审批、验证和监控流程,并确保最高权限用户的操作日志被记录和监察。要求技术人员定期检查可用的安全补丁,并报告补丁管理状态。在系统日志中记录不成功的登录、重要系统文件的访问、对用户账户的修改等有关重要事项,手动或自动监控系统出现的任何异常事件,定期汇报监控情况。应通过以下措施,确保所有信息系统安全:
明确定义终端用户和信息科技技术人员在信息系统安全中的角色和职责。针对信息系统的重要性和敏感程度,采取有效的身份验证方法。加强职责划分,对关键或敏感岗位进行双重控制。在关键的接合点进行输入验证或输出核对。
采取安全的方式处理保密信息的输入和输出,防止信息泄露或被盗取、篡改。
确保系统按预先定义的方式处理例外情况,当系统被迫终止时向用户提供必要信息。以书面或电子格式保存审计痕迹。
要求用户管理员监控和审查未成功的登录和用户账户的修改。
应制定相关策略和流程,管理所有生产系统的活动日志,以支持有效的审核、安全取证分析和预防欺诈。日志可以在软件的不同层次、不同的计算机和网络设备上完成,日志划分为两大类: 交易日志。交易日志由应用软件和数据库管理系统产生,内容包括用户登录尝试、数据修改、错误信息等。交易日志应按照国家会计准则要求予以保存。系统日志。系统日志由操作系统、数据库管理系统、防火墙、入侵检测系统和路由器等生成,内容包括管理登录尝试、系统事件、网络事件、错误信息等。系统日志保存期限按系统的风险等级确定,但不能少于一年。
应保证交易日志和系统日志中包含足够的内容,以便完成有效的内部控制、解决系统故障和满足审计需要;应采取适当措施保证所有日志同步计时,并确保其完整性。在例外情况发生后应及时复查系统日志。交易日志或系统日志的复查频率和保存周期应由信息科技部门和有关业务部门共同决定,并报信息科技管理委员会批准。
应采取加密技术,防范涉密信息在传输、处理、存储过程中出现泄露或被篡改的风险,并建立密码设备管理制度,以确保:
使用符合国家要求的加密技术和加密设备。
管理、使用密码设备的员工经过专业培训和严格审查。加密强度满足信息机密性的要求。
制定并落实有效的管理流程,尤其是密钥和证书生命周期管理。
配备切实有效的系统,确保所有终端用户设备的安全,并定期对所有设备进行安全检查,包括台式个人计算机(PC)、便携式计算机、柜员终端、自动柜员机(ATM)、存折打印机、读卡器、销售终端(POS)和个人数字助理(PDA)等。
制定相关制度和流程,严格管理客户信息的采集、处理、存贮、传输、分发、备份、恢复、清理和销毁。
对所有员工进行必要的培训,使其充分掌握信息科技风险管理制度和流程,了解违反规定的后果,并对违反安全规定的行为采取零容忍政策。信息系统开发、测试和维护
应有能力对信息系统进行需求分析、规划、采购、开发、测试、部署、维护、升级和报废,制定制度和流程,管理信息科技项目的优先排序、立项、审批和控制。项目实施部门应定期向信息科技管理委员会提交重大信息科技项目的进度报告,由其进行审核,进度报告应当包括计划的重大变更、关键人员或供应商的变更以及主要费用支出情况。应在信息系统投产后一定时期内,组织对系统的后评价,并根据评价结果及时对系统功能进行调整和优化。应认识到信息科技项目相关的风险,包括潜在的各种操作风险、财务损失风险和因无效项目规划或不适当的项目管理控制产生的机会成本,并采取适当的项目管理方法,控制信息科技项目相关的风险。
采取适当的系统开发方法,控制信息系统的生命周期。典型的系统生命周期包括系统分析、设计、开发或外购、测试、试运行、部署、维护和退出。所采用的系统开发方法应符合信息科技项目的规模、性质和复杂度。
制定相关控制信息系统变更的制度和流程,确保系统的可靠性、完整性和可维护性,其中应包括以下要求:
生产系统与开发系统、测试系统有效隔离。
生产系统与开发系统、测试系统的管理职能相分离。除得到管理层批准执行紧急修复任务外,禁止应用程序开发和维护人员进入生产系统,且所有的紧急修复活动都应立即进行记录和审核。
将完成开发和测试环境的程序或系统配置变更应用到生产系统时,应得到信息科技部门和业务部门的联合批准,并对变更进行及时记录和定期复查。
制定并落实相关制度、标准和流程,确保信息系统开发、测试、维护过程中数据的完整性、保密性和可用性。
建立并完善有效的问题管理流程,以确保全面地追踪、分析和解决信息系统问题,并对问题进行记录、分类和索引;如需供应商提供支持服务或技术援助,应向相关人员提供所需的合同和相关信息,并将过程记录在案;对完成紧急恢复起至关重要作用的任务和指令集,应有清晰的描述和说明,并通知相关人员。信息科技运行
在选择数据中心的地理位置时,应充分考虑环境威胁(如是否接近自然灾害多发区、危险或有害设施、繁忙或主要公路),采取物理控制措施,监控对信息处理设备运行构成威胁的环境状况,并防止因意外断电或供电干扰影响数据中心的正常运行。
严格控制第三方人员(如服务供应商)进入安全区域,如确需进入应得到适当的批准,其活动也应受到监控;针对长期或临时聘用的技术人员和承包商,尤其是从事敏感性技术相关工作的人员,应制定严格的审查程序,包括身份验证和背景调查。应将信息科技运行与系统开发和维护分离,确保信息科技部门内部的岗位制约;对数据中心的岗位和职责做出明确规定。
按照有关法律法规要求保存交易记录,采取必要的程序和技术,确保存档数据的完整性,满足安全保存和可恢复要求。
制定详尽的信息科技运行操作说明。如在信息科技运行手册中说明计算机操作人员的任务、工作日程、执行步骤,以及生产与开发环境中数据、软件的现场及非现场备份流程和要求(即备份的频率、范围和保留周期)。建立事故管理及处置机制,及时响应信息系统运行事故,逐级向相关的信息科技管理人员报告事故的发生,并进行记录、分析和跟踪,直到完成彻底的处置和根本原因分析。我行应建立服务台,为用户提供相关技术问题的在线支持,并将问题提交给相关信息科技部门进行调查和解决。
建立服务水平管理相关的制度和流程,对信息科技运行服务水平进行考核。
建立连续监控信息系统性能的相关程序,及时、完整地报告例外情况;该程序应提供预警功能,在例外情况对系统性能造成影响前对其进行识别和修正。制定容量规划,以适应由于外部环境变化产生的业务发展和交易量增长。容量规划应涵盖生产系统、备份系统及相关设备。及时进行维护和适当的系统升级,以确保与技术相关服务的连续可用性,并完整保存记录(包括疑似和实际的故障、预防性和补救性维护记录),以确保有效维护设备和设施。制定有效的变更管理流程,以确保生产环境的完整性和可靠性。包括紧急变更在内的所有变更都应记入日志,由信息科技部门和业务部门共同审核签字,并事先进行备份,以便必要时可以恢复原来的系统版本和数据文件。紧急变更成功后,应通过正常的验收测试和变更管理流程,采用恰当的修正以取代紧急变更。业务连续性管理
根据自身业务的性质、规模和复杂程度制定适当的业务连续性规划,以确保在出现无法预见的中断时,系统仍能持续运行并提供服务;定期对规划进行更新和演练,以保证其有效性。评估因意外事件导致其业务运行中断的可能性及其影响,包括评估可能由下述原因导致的破坏:
内外部资源的故障或缺失(如人员、系统或其他资产)。信息丢失或受损。
外部事件(如战争、地震或台风等)。
应采取系统恢复和双机热备处理等措施降低业务中断的可能性,并通过应急安排和保险等方式降低影响。
建立维持其运营连续性策略的文档,并制定对策略的充分性和有效性进行检查和沟通的计划。其中包括:
规范的业务连续性计划,明确降低短期、中期和长期中断所造成影响的措施,包括但不限于: 资源需求(如人员、系统和其他资产)以及获取资源的方式。运行恢复的优先顺序。
与内部各部门及外部相关各方(尤其是监管机构、客户和媒体等)的沟通安排。更新实施业务连续性计划的流程及相关联系信息。验证受中断影响的信息完整性的步骤。
当我行的业务或风险状况发生变化时,对本条一到三进行审核并升级。
我行的业务连续性计划和应急演练结果应由信息科技风险管理部门或信息科技管理委员会确认。外包与审计 外包
不得将我行信息科技管理责任外包,应合理谨慎监督外包职能的履行。
实施重要外包(如数据中心和信息科技基础设施等)应格外谨慎,在准备实施重要外包时应以书面材料正式报告银监会或其派出机构。
在签署外包协议或对外包协议进行重大变更前,应做好相关准备,其中包括:
分析外包是否适合我行的组织结构和报告路线、业务战略、总体风险控制,是否满足我行履行对外包服务商的监督义务。
考虑外包协议是否允许我行监测和控制与外包相关的操作风险。
充分审查、评估外包服务商的财务稳定性和专业经验,对外包服务商进行风险评估,考查其设施和能力是否足以承担相应的责任。
考虑外包协议变更前后实施的平稳过渡(包括终止合同可能发生的情况)。
关注可能存在的集中风险,如多家我行共用同一外包服务商带来的潜在业务连续性风险。在与外包服务商合同谈判过程中,应考虑的因素包括但不限于: 对外包服务商的报告要求和谈判必要条件。
银行业监管机构和内部审计、外部审计能执行足够的监督。
通过界定信息所有权、签署保密协议和采取技术防护措施保护客户信息和其他信息。担保和损失赔偿是否充足。
外包服务商遵守我行有关信息科技风险制度和流程的意愿及相关措施。外包服务商提供的业务连续性保障水平,以及提供相关专属资源的承诺。第三方供应商出现问题时,保证软件持续可用的相关措施。
变更外包协议的流程,以及我行或外包服务商选择变更或终止外包协议的条件,例如: 我行或外包服务商的所有权或控制权发生变化。我行或外包服务商的业务经营发生重大变化。
外包服务商提供的服务不充分,造成我行不能履行监督义务。
在实施双方关系管理,以及起草服务水平协议时,应考虑的因素包括但不限于:
提出定性和定量的绩效指标,评估外包服务商为我行及其相关客户提供服务的充分性。通过服务水平报告、定期自我评估、内部或外部独立审计进行绩效考核。针对绩效不达标的情况调整流程,采取整改措施。加强信息科技相关外包管理工作,确保我行的客户资料等敏感信息的安全,包括但不限于采取以下措施:
实现本银行客户资料与外包服务商其他客户资料的有效隔离。
按照“必需知道”和“最小授权”原则对外包服务商相关人员授权。要求外包服务商保证其相关人员遵守保密规定。
应将涉及本银行客户资料的外包作为重要外包,并告知相关客户。
严格控制外包服务商再次对外转包,采取足够措施确保我行相关信息的安全。确保在中止外包协议时收回或销毁外包服务商保存的所有客户资料。我行应建立恰当的应急措施,应对外包服务商在服务中可能出现的重大缺失。尤其需要考虑外包服务商的重大资源损失,重大财务损失和重要人员的变动,以及外包协议的意外终止。我行所有信息科技外包合同应由科技部、风险管理部、法律合规部和信息科技管理委员会审核通过。我行应设立流程定期审阅和修订服务水平协议。审计
我行内部审计部门应根据业务的性质、规模和复杂程度,对相关系统及其控制的适当性和有效性进行监测。稽核审计部门应配备足够的资源和具有专业能力的信息科技审计人员,独立于我行的日常活动,具有适当的授权访问我行的记录。我行内部信息科技审计的责任包括:
制定、实施和调整审计计划,检查和评估我行信息科技系统和内控机制的充分性和有效性。按照第一款规定完成审计工作,在此基础上提出整改意见。检查整改意见是否得到落实。
执行信息科技专项审计。信息科技专项审计,是指对信息科技安全事故进行的调查、分析和评估,或审计部门根据风险评估结果对认为必要的特殊事项进行的审计。
我行应根据业务性质、规模和复杂程度,信息科技应用情况,以及信息科技风险评估结果,决定信息科技内部审计范围和频率。但至少应每三年进行一次全面审计。我行在进行大规模系统开发时,应要求信息科技风险管理部门和内部审计部门参与,保证系统开发符合本银行信息科技风险管理标准。我行可以在符合法律、法规和监管要求的情况下,委托具备相应资质的外部审计机构进行信息科技外部审计。
在委托审计过程中,我行应确保外部审计机构能够对本银行的硬件、软件、文档和数据进行检查,以发现信息科技存在的风险,国家法律、法规及监管部门规章、规范性文件规定的重要商业、技术保密信息除外。
我行在实施外部审计前应与外部审计机构进行充分沟通,详细确定审计范围,不应故意隐瞒事实或阻挠审计检查。
银监会及其派出机构必要时可指定具备相应资质的外部审计机构对我行执行信息科技审计或相关检查。外部审计机构根据银监会或其派出机构的委托或授权对我行进行审计时,应出示委托授权书,并依照委托授权书上规定的范围进行审计。外部审计机构根据授权出具的审计报告,经银监会及其派出机构审阅批准后具有与银监会及其派出机构出具的检查报告同等的效力,被审计的我行应根据该审计报告提出整改计划,并在规定的时间内实施整改。
我行在委托外部审计机构进行外部审计时,应与其签订保密协议,并督促其严格遵守法律法规,保守本银行的商业秘密和信息科技风险信息,防止其擅自对本银行提供的任何文件进行修改、复制或带离现场。附则
本办法由营口沿海银风险管理部负责解释和修订。
点击咨询 