第一篇:银行业金融机构案件(风险)信息报送及登记办法(模版)
银行业金融机构案件(风险)信息报送及登记办法
第一章 总则
第一条为加强银行业金融机构案件(风险)信息报送及登记管理,规范案件(风险)信息报送及登记程序,提高案件(风险)信息报送及登记质量和时效,制定本办法。
第二条本办法所指银行业金融机构案件(风险)信息分为银行业金融机构案件风险信息(以下简称案件风险信息)和银行业金融机构案件信息(以下简称案件信息)。
案件信息是指《银行业金融机构案件信息统计制度》所规定的两类案件的信息。
案件风险信息是指已被发现,可能演化为案件,但尚未确认案件事实的风险事件的有关信息,主要包括:银行业金融机构员工非正常原因无故离岗或失踪、被拘禁或被双规;客户反映非自身原因账户资金发生异常;收到重大案件举报线索;媒体披露或在社会某一范围内传播的案件线索;大额授信企业负责人失踪、被拘禁或被双规;银行业金融机构员工可能涉及案件但尚未确认的情况;其他由于人为侵害可能导致银行或客户资金(资产)风险或损失的情况。
第三条银行业金融机构案件(风险)信息报送应当坚持及时、真实的原则。
第四条中国银行业监督管理委员会省级派出机构(以下称银监局)负责辖内银行业金融机构案件信息和案件风险信息的报告工作。
银监会直接监管的银行业金融机构总部负责本系统案件信息和案件风险信息的报告工作。
第五条银监局应当对辖内银行业金融机构发生的案件和风险事件,指定专人全程负责案件(风险)信息的收集、整理和报告工作。
第二章 案件风险信息报送流程
第六条案件风险事件发生后,银监局、银监会直接监管的银行业金融机构总部应当立即按照本办法的规定及时报送案件风险信息。案件风险信息的报送时点是案件风险事件发生后24小时以内。
对符合银监会《重大突发事件报告制度》重大突发事件报送标准的案件风险信息,应当在按照该制度要求的方式报送的同时,抄送银监会案件稽查部门。
对不符合银监会《重大突发事件报告制度》重大突发事件报送标准的案件风险信息,应当以《案件风险信息快报》形式(见附件一),报送银监会案件稽查部门。
第七条银行业金融机构案件风险信息快报的内容应当包括:事发银行业金融机构名称、事发时间及案件风险事件概况;涉及人员及情况;风险情况及预判;已经或可能造成的影响;事发银行业金融机构或公安、司法机关已采取的措施;其他需要说明的情况。
案件风险信息报送的涉案金额和风险金额以上报时了解的金额为准。
第八条银监局、银监会直接监管的银行业金融机构总部在报送案件风险信息后,应当立即对报送的风险事件进行核查和确认。
第九条如经调查确认案件风险信息不构成案件,银监局、银监会直接监管的银行业金融机构总部应当立即向银监会案件稽查部门报送《案件风险信息撤销报告》(附件三)。
第十条案件风险信息在确认为案件之前不纳入案件统计系统。
第三章 案件信息报送流程
第十一条案件风险信息经调查确认为案件的,或者银监局、银监会直接监管的银行业金融机构总部未经报送案件风险信息直接确认为案件的应当按照本办法的规定向银监会案件稽查部门报送《案件信息确认报告》(附件二)。案件信息报送的时点为案件确认后24小时之内。
案件的确认标准为:公安、司法机关立案侦查的;银行业金融机构向公安、司法机关报案并立案的;银监局或其他行政执法部门移送公安、司法机关并立案的;银行业金融机构工作人员因涉案被公安、司法机关采取强制措施的。
第十二条银行业金融机构案件信息确认报告的内容应当包括:发案银行业金融机构名称、案发时间及案情概况;涉及人员及情况;涉案金额及风险情况;已经或可能造成的影响;本机构或公安、司法机关已采取的措施;其他需要说明的情况。
第十三条案件涉及金额以立案时公安、司法机关确认的金额为准。
第四章 案件(风险)信息台账
第十四条银监局在首次接到案件(风险)信息报告后,应当及时向银监会案件稽查部门报告,并建立台账登记有关内容;银监会案件稽查部门在接到银监局报告后也应当建立台账。第十五条 案件(风险)信息台账分为案件风险信息台账和案件信息台账。
案件风险信息台账应当包括:事发银行业金融机构名称、事发时间、涉及金额、基本情况、事件登记的时间、承办部门和主办人员等。
案件信息台账应当包括:
(一)案件信息:发案银行业金融机构名称、案发时间、涉及金额、基本情况、案件登记的时间、承办部门和主办人员等。
(二)案件调查情况:案件性质、涉案金额、风险金额、案件调查报告及公安、司法机关的侦查情况等。
(三)案件审结情况:银行业金融机构整改方案、责任人追究意见及审核意见,采取的监管措施,案件审结报告等。
(四)后续整改情况:后续整改报告、责任追究及后续评价情况等。
第十六条案件风险信息经《案件信息确认报告》确认为案件后,银监会相关部门和银监局应当将原案件风险信息台账转登记为案件信息台账。
第十七条案件风险信息经《案件风险信息撤销报告》撤销后,银监会相关部门及银监局应当立即在台账中登记撤销。
第十八条台账登记原则上应当在各环节工作结束后及时完成,登记内容应当要素完整,且与向上级机关和公安、司法机关的报告内容相一致。
第十九条台账是案件处置工作档案的起始部分,应当与此后案件处置各环节形成的记录、纪要、报告和分析资料等,作为案件处置工作档案材料,统一存档。
第五章 案件统计
第二十条案件经司法机关结案后,银行业金融机构应当在银监会非现场监管信息系统中填报案件统计信息。案件性质与金额以司法机关结论为准。
第二十一条司法机关结论与原案件信息报送时填报情况不相吻合的,按司法机关结论填报案件统计信息。
第六章 附则
第二十二条各有关单位不得瞒报、漏报、迟报、错报相关信息,或者漏登、迟登、错登相应台账。违反本办法的,按照《中华人民共和国银行业监督管理法》的有关规定给予处罚。
第二十三条本办法由银监会负责解释与修订。
第二十四条本办法自2011年1月1日起执行。
第二篇:银行业金融机构信息科技外包风险监管指引
中国银行业监督管理委员会
银监发[2013]5号
中国银监会关于印发银行业金融机构信息科技外
包风险监管指引的通知
各银监局,各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司,邮储银行,各省级农村信用联社,银监会直接监管的信托公司、企业集团财务公司、金融租赁公司:
现将《银行业金融机构信息科技外包风险监管指引》印发给你们,请遵照执行。
2013年2月16日
银行业金融机构信息科技外包风险监管指引
第一章 总则
第一条
为规范银行业金融机构的信息科技外包活动,降低信息科技外包风险,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规,制定本指引。
第二条
在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省(自治区)农村信用社联合社适用本指引。银监会监管的其他金融机构参照本指引执行。第三条
本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为,包含项目外包、人力资源外包等形式。原则上包括以下类型:
(一)研发咨询类外包:科技管理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包;
(二)系统运行维护类外包:包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包;
(三)业务外包中的信息科技活动:市场拓展、业务操作、企业管理、资产处臵等外包中的系统开发、运行维护和数据处理活动。
第四条
本指引所称关联外包是指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构提供信息科技外包。
第五条
信息科技外包可能产生如下风险,并导致银行业金融机构的战略、声誉、合规风险:
(一)科技能力丧失:银行业金融机构过度依赖外部资源导致失去科技控制及创新能力,影响业务创新与发展;
(二)业务中断:支持业务运营的外包服务无法持续提供导致业务中断;
(三)信息泄露:包含客户信息在内的银行业金融机构非公开数据被服务提供商非法获得或泄露;
(四)服务水平下降:由于外包服务质量问题或内外部协作效率低下,使得银行业金融机构信息科技服务水平下降。
第六条
本指引所称机构集中度风险是指银行业金融机构将信息科技外包服务集中交由少量服务提供商承接而产生的风险,该风险可能造成集中性的服务中断、质量下降、安全事件等。
第七条
本指引所称同业托管机构是指作为外包服务提供商为其他同行业金融机构提供信息科技外包服务的银行业金融机构。
第八条
银行业金融机构应当将信息科技外包管理纳入全面风险管理体系,建立与本机构信息科技战略目标相适应的外包管理体系,控制或降低由于外包而引发的风险。
第九条
银行业金融机构应当建立信息科技外包管理组织架构,制定外包管理战略,定期进行外包风险评估,通过服务提供商准入、评价、退出等手段建立及维护符合自身战略目标的供应商关系管理策略。
第十条
银行业金融机构在实施信息科技外包时应当坚持以下原则:
(一)以不妨碍核心能力建设、积极掌握关键技术为导向;
(二)保持外包风险、成本和效益的平衡;
(三)强调外包风险的事前控制,保持管控力度;
(四)根据外包管理及技术发展趋势,持续改进外包策略和措施。
第十一条
银行业金融机构在实施信息科技外包时,不得将信息科技管理责任外包。
第十二条
对于不涉及银行客户及内部信息转移的信息科技产品采购、维保,及通讯线路租用、支付或清算系统接入等信息科技公共基础设施服务,银行业金融机构应当充分评估其信息科技风险,按照本指引第五章要求进行管理。
第二章 外包管理组织架构
第十三条
银行业金融机构董事会及高级管理层应当严格落实信息科技外包风险管理的相关职责, 明确信息科技外包风险管理的主管部门,制定并审批信息科技外包战略,审议信息科技外包管理流程及制度,督促并监控信息科技外包风险管理效果。
第十四条
信息科技外包风险主管部门的主要职责包括:
(一)对外包风险进行识别、评估与风险提示;
(二)监督、评价外包管理工作,并督促外包风险管理的持续改善;
(三)向高级管理层定期汇报信息科技外包活动相关风险管理情况;
(四)董事会或高级管理层确定的其他信息科技外包风险管理职责。
第十五条
银行业金融机构应当在信息科技管理部门或信息科技外包活动执行部门内建立信息科技外包管理执行团队,并配备足够人员履行以下职责:
(一)实施信息科技外包战略;
(二)制定并执行信息科技外包管理制度与流程;
(三)执行供应商准入、评价、退出管理,建立并维护供应商关系管理策略;
(四)制定保障外包服务持续性的应急管理方案,并组织实施定期演练;
(五)对外包过程中的各项管理活动进行监控及分析,定期向信息科技及外包风险管理主管部门报告外包活动情况。
第三章 信息科技外包战略及风险管理
第一节 信息科技外包战略
第十六条
银行业金融机构应当以提升信息科技队伍能力,提高科技管理及创新水平,掌握信息科技核心技能为目标,基于信息科技战略、外包市场环境、自身风险控制能力和风险偏好制定信息科技外包战略,包括:不能外包的职能、资源能力建设方案、供应商关系管理策略和外包分级管理策略。
第十七条
银行业金融机构应当根据自身信息科技战略明确不能外包的职能。涉及战略管理、风险管理、内部审计及其他有关信息科技核心竞争力的职能不得外包。第十八条
银行业金融机构应当根据外包战略制定资源、能力建设方案,通过补充人员、提升技能、知识转移等方式,有针对性地获取或提升管理及技术能力,降低对服务提供商的依赖。
第十九条
银行业金融机构应当建立与自身规模、市场地位相适应的供应商关系管理策略。通过准入和退出机制合理管控各类高风险服务提供商的数量,实现以下目标:防范行业垄断和机构集中度风险,通过引入适当的竞争在降低采购成本的同时提高服务质量,合理管控服务提供商的数量从而降低风险及管理成本等。
第二十条
银行业金融机构可以按照外包服务性质和重要性程度对服务提供商进行分级管理,对不同级别的服务提供商采取差异化的管控措施,在有效管理重要风险的前提下降低管理成本。
第二十一条
银行业金融机构要同母公司或集团公司协同做好外包服务及服务提供商的管理工作,但应当保持关联外包有关决策的独立性,避免因关联关系而降低外包活动的风险控制水平。
第二节 信息科技外包风险管理
第二十二条
银行业金融机构信息科技外包风险管理部门应当至少每年开展一次全面的外包风险管理评估,保持评估的独立性,并向高级管理层提交评估报告。评估内容包括:信息科技外包战略执行情况、外包信息安全、机构集中度、服务连续性、服务质量、政策及市场变化对外包服务的影响分析等。
第二十三条
银行业金融机构应当对重要的外包服务提供商进行定期的风险评估,保持评估的独立性。至少在三年内覆盖所有重要的服务提供商。评估内容包括:服务提供商合规情况、服务的执行效果等,评估结果应当作为服务提供商准入及退出的重要依据。
第二十四条
银行业金融机构内部审计部门应当定期开展信息科技外包风险管理审计工作,至少每三年对重要的外包服务活动进行一次全面审计。发生外包风险事件后应当及时开展专项审计。
第四章 信息科技外包管理
第一节 外包风险评估及准入
第二十五条
外包项目立项前,银行业金融机构应当审慎检查项目与信息科技外包战略的一致性,根据项目内容、范围、性质对其进行风险识别和评估,制定相应的风险处臵措施,不因外包活动的引入而增加整体剩余风险。重大外包项目应向董事会、高管层报告。
第二十六条
银行业金融机构应当根据供应商关系管理策略,结合风险评估结果及服务提供商的准入标准,对备选服务提供商进行初步筛选,防范引入高机构集中度风险特点的服务提供商、或引入增加整体风险的服务提供商。
第二十七条
对于外包服务提供商为同业托管机构的情况,银行业金融机构可参照本节内容对其进行管理。
第二节 服务提供商尽职调查
第二十八条
对重要的服务提供商,银行业金融机构在与其签订合同前应当深入开展尽职调查,必要时可聘请第三方机构协助调查。
第二十九条
银行业金融机构在尽职调查时应当关注服务提供商的技术和行业经验,包括但不限于:服务能力和支持技术、服务经验、服务人员技能、市场评价、监管评价等。
第三十条
银行业金融机构在尽职调查时应当关注服务提供商的内部控制和管理能力,包括但不限于:内部控制机制和管理流程的完善程度、内部控制技术和工具等。
第三十一条
银行业金融机构在尽职调查时应当关注服务提供商的持续经营状况,包括但不限于:从业时间、市场地位及发展趋势、资金的安全性、近期盈利情况等。
第三十二条
对于关联外包,银行业金融机构不得因关联关系而降低对服务提供商的要求,应当在尽职调查阶段详细分析服务提供商技术、内控和管理水平,确认其有足够能力实施外包
服务、处理突发事件等。
第三十三条
对于外包服务提供商为同业托管机构的情况,银行业金融机构可参照本节内容对其进行管理。
第三节 外包服务合同及要求
第三十四条
银行业金融机构在实施外包服务项目前,应当与服务提供商签订服务合同。合同应当根据外包服务需求、风险评估及尽职调查结果确定详细程度和重点。
第三十五条
银行业金融机构在合同或协议中应当明确以下内容,包括但不限于:
(一)服务范围、服务内容、工作时限及安排、责任分配、交付物要求以及后续合作中的相关限定条件;
(二)合规与内控要求,对法律法规及银行业金融机构内部管理制度的遵从要求、监管政策的通报贯彻机制、服务提供商的内控措施;
(三)服务连续性要求,服务提供商的服务连续性管理目标应当满足银行业金融机构业务连续性目标要求;
(四)银行业金融机构监控和检查的权利、频率,服务提供商配合其内、外部审计机构检查,及配合银行业监管机构检查的责任;
(五)政策或环境变化因素等在内的合同变更或终止的触发条件,外包服务提供商在过渡期间应该履行的主要职责及合同变更或终止的过渡安排,包括信息、资料和设施的交接处臵等过渡期间相关服务的安排;
(六)外包服务过程中产生、加工、交互的信息和知识产权的归属权以及允许服务提供商使用的内容及范围,对服务提供商使用合法软、硬件产品的要求;
(七)服务要求或服务水平条款,至少应当包括如下内容:外包服务的关键要素、服务时效和可用性、数据的机密性和完整性要求、变更的控制、安全标准的遵守情况、技术支持水平等;
(八)争端解决机制、违约及赔偿条款,至少包括如下内容:服务质量违约、安全违约、知识产权违约等,及在各种违约情况下的赔偿以及外包争端的解决机制;
(九)报告条款,至少包括常规报告内容和报告频度、突发事件时的报告路线、报告方式及时限要求。
第三十六条 银行业金融机构应当在合同或协议中明确服务提供商在安全和保密方面的责任,以及针对安全及保密要求需采取的具体措施。包括但不限于:
(一)禁止服务提供商在合同允许范围外使用或者披露银行业金融机构的信息,以防止信息被非授权使用;
(二)在合同或协议中约定服务提供商对银行客户信息安全和银行客户权利的保护条款、事故处理方式及违约赔偿条款;
(三)在合同或协议中约定服务提供商不得以所服务的银行业金融机构名义开展活动;
(四)服务提供商接触银行业金融机构信息时,需满足安全和保密相关条款的要求;
(五)在发生银监会规定的信息科技突发事件,或发生可能引发系统性、区域性银行业信息科技风险类突发事件时,服务提供商应及时向银行业金融机构报告,包括事件的影响以及处臵
和纠正措施。
第三十七条
银行业金融机构应当在合同或协议中明确要求服务提供商不得将外包服务转包和变相转包。在涉及外包服务分包时应当要求:
(一)不得将外包服务的主要业务分包;
(二)主服务提供商对服务水平负总责,确保分包服务提供商能够严格遵守外包合同或协议;
(三)主服务提供商对分包商进行监控,并对分包商的变更履行通知或报告审批义务。
第四节 外包服务安全管理
第三十八条
银行业金融机构应当制定和落实信息安全管控措施,防范因外包活动引起的信息泄露、信息篡改、信息不可用、非法入侵、物理环境或设施遭受破坏等风险。具体措施包括:
(一)对外包人员进行信息安全培训,提高风险管理意识,确保信息安全管控措施在外包服务过程中有效落实;
(二)明确外包活动需要访问或使用的信息资产,包括场地、办公设施、计算机、服务器、软件、数据、信息、物理访问控制设备、账号、网络宽带、网络端口等,按“必需知道”和“最小授权”原则进行访问授权;
(三)对重要或核心的信息系统开发交付物进行源代码检查和安全扫描;
(四)定期对服务提供商进行安全检查,获取服务提供商自评估或第三方评估报告。
第三十九条
银行业金融机构对关联外包服务提供商定期进行的安全检查,不得以服务提供商的自评估替代,不得因关联关系而影响检查的独立性、客观性及公正性。
第四十条
银行业金融机构应当关注外包服务引入的新技术或新应用对现有治理模式及安全架构的冲击,及时完善信息安全管控体系,避免因新技术或应用的引入而增加额外的信息安全风险。
第五节 外包服务监控与评价
第四十一条
银行业金融机构应当对外包服务过程进行持续监控,要求服务提供商建立阶段性服务目标及任务,并跟踪任务的执行情况,及时发现和纠正服务过程中存在的各类异常情况。
第四十二条
银行业金融机构应当根据信息科技外包需求、合同、服务水平协议等建立明确的服务质量监控指标,并进行相应监控。常见指标包括:
(一)信息系统和设备及基础设施的可用率、设备的开机率;
(二)故障次数、故障解决率、故障的响应时间;
(三)服务的次数、客户满意度;
(四)各阶段业务需求的及时完成率、程序的缺陷数、需求变更率;
(五)外包人员工作饱和率、外包人员的考核合格率。
第四十三条
银行业金融机构应当建立明确的服务目录、服务水平协议以及服务水平监控评价机制,并确保外包服务监控基础数据和评价结果的真实性和完整性,且数据至少需保存到服务结束后一年。
第四十四条
银行业金融机构应当对服务提供商的财务、内控及安全管理进行持续监控,关注其因破产、兼并、关键人员流失、投入不足和管理不善等因素引发的财务状况恶化及内部管理混乱等情况,防范外包服务意外终止或服务质量的急剧下降。
第四十五条
银行业金融机构监控到异常情况时,应当及时督促服务提供商采取纠正措施,情节严重的或未及时纠正的,应当约谈服务提供商高管人员并限期整改。
第四十六条
外包服务结束时,银行业金融机构应当对服务提供商进行评价,评价结果应当作为服务提供商准入的重要参考依据。
第四十七条
对于关联外包,银行业金融机构董事会及高级管理层应当推动母公司或所属集团将外包服务质量纳入对服务提供商的业绩评价范围,建立外包服务重大事件问责机制。同时,应当要求服务提供商在其内部建立与外包服务水平相关的绩效考核机制。
第六节 外包服务中断与终止
第四十八条
银行业金融机构应当考虑信息科技外包的引入对业务连续性管理的影响,有针对性地完善业务连续性管理计划,包括但不限于:
(一)识别出重要业务所涉及的服务提供商和资源;
(二)通过合同、协议等形式明确要求服务提供商提前准备并维护好相关资源;
(三)对服务提供商业务连续性管理进行监控,并评价其管理水平;
(四)在进行业务连续性计划演练时将相关的服务提供商纳入演练范围。
第四十九条
为降低外包突发事件的可能性及影响,银行业金融机构应当事先对业务连续性管理造成重大影响的外包服务建立风险控制、缓释或转移措施,包括但不限于以下内容:
(一)在外包服务实施过程中持续收集服务提供商相关信息,尽早发现可能导致服务中断的情况;
(二)与服务提供商事先约定在其服务质量不能满足合同要求的情况下获取其外包服务资源的优先权;
(三)要求服务提供商制定服务中断相关的应急处理预案,如提供备份人员;
(四)对于涉及重要业务的外包服务,银行业金融机构需考虑预先在其内部配臵相应的人力资源,掌握必要的技能,以在外包服务中断期间自行维持最低限度的服务能力。
第五十条
银行业金融机构应当针对重要外包服务中断的场景,拟定相应的应急计划,并定期进行演练,考虑因素包括但不限于以下内容:
(一)事件场景,如重要人员流失导致服务无法持续,服务提供商主动退出,因资质变更、被收购、兼并或破产等原因导致的服务提供商被动退出等;
(二)事件持续时间和恢复可能性;
(三)事件影响范围和可能的应急措施;
(四)服务提供商自行恢复服务的可能性和时间;
(五)备选的服务提供商以及外包服务迁移方案;
(六)外包服务过渡给银行业金融机构自行运作的可能性、时效及资源需求。
第五十一条
对于无法满足外包服务要求或发生重大事件的情况,银行业金融机构应当在充分评估其影响及制定退出计划的前提下,考虑主动要求服务提供商终止服务,情节特别严重的,可考虑取消准入资质,并报监管机构申请对其备案。对于关联外包,银行业金融机构不得因为关联关系而影响服务提供商退出机制的落实。
第五章 机构集中度风险管理
第五十二条
银行业金融机构应当依据服务提供商所承接外包服务的数量、金额在本行重要信息科技服务中的占比,服务提供商所承接外包服务在银行业服务市场占比情况,识别具有机构集中度特点的外包服务提供商。同时,还应识别服务提供商之间为集团子公司、关联公司或附属机构所产生的机构集中度风险。
第五十三条
银行业金融机构应当积极采用分散信息科技外包活动、提高自主研发运行能力等形式,降低机构集中度,减少对外包服务提供商的依赖。
第五十四条
银行业金融机构应当要求具有机构集中度特点的外包服务提供商提供充分的证据,证明其内部控制和管理能力、持续运营能力等。
第五十五条
银行业金融机构应当要求具有机构集中度特点的外包服务提供商为银行业金融机构配备相对独立的资源,包括服务团队、场地、系统、设备等;并对资源进行定期检查,确保资源及时到位。
第五十六条
银行业金融机构应当要求具有机构集中度特点的外包服务提供商在外包服务中断应急预案中,明确外包服务的优先级,并进行服务中断应急演练,服务提供商应当至少参与服务交接、敏感信息处臵等演练过程。
第五十七条
银行业金融机构应当特别加强对具有机构集中度特点的外包服务提供商的财务、内控、安全管理情况的持续监控,建立信息收集机制,及时掌握风险事件情况,防范外包服务意外终止或服务质量急剧下降对本机构产生大面积影响。
第五十八条
银行业金融机构应当对具有机构集中度特点的外包服务提供商增强监督频率与力度,必要时可指派专人进行现场监督。
第五十九条
对于具有机构集中度特点的外包服务提供商为同业托管机构的情况,银行业金融机构可参照本节内容对其进行外包管理。
第六章 跨境及非驻场外包管理
第一节 跨境外包风险管理
第六十条
跨境外包是指在境外其他国家或地区实施的信息科技外包服务活动。
第六十一条
跨境外包除具有本指引前述风险外,还包括由于某一国家或地区经济、政治、社会变化及事件而产生的国别风险,及由于外包实施场地远离银行业金融机构而产生的非驻场风险。
第六十二条
银行业金融机构应当充分了解并持续监控服务提供商所在国家或地区状况,通过建立业务连续性计划防范跨境外包所带来的国别风险。
第六十三条
银行业金融机构应当关注国外法律法规、监管要求对其获取服务提供商外包管理信息可能造成的影响。实施跨境外包应当以不妨碍银行业金融机构有效履行外包服务监控管理职能及监管机构延伸检查为前提。
第六十四条
银行业金融机构在选择跨境外包时,应当明确其所在国家或地区监管当局已与银监会签订谅解备忘录或双方认可的其他约定。
第六十五条
银行业金融机构在选择跨境外包时,还应当充分审查评估服务提供商保护客户信息的能力,并将其作为选择服务提供商的重要指标。涉及客户信息的跨境外包,应当在符合监管法规政策并获得客户授权的前提下开展。
第六十六条
银行业金融机构在实施跨境外包时,其合同应当包括法律选择和司法管辖权的约定,明确争议解决时所适用的法律及司法管辖权,原则上应当要求服务提供商依照中国的法律解决纠纷。
第二节 非驻场外包风险管理
第六十七条
非驻场外包是指服务提供商不在银行业金融机构现场提供服务的外包形式。由于银行业金融机构不能对其内部控制及风险管理措施进行直接管控,应当在信息安全、知识产权保护、质量监控、法律合规等方面加强对服务提供商的风险管理。
第六十八条
银行业金融机构应当建立针对非驻场外包服务的内部控制及风险管理要求的最低标准,该标准应当作为选择服务提供商的最低要求。
第六十九条
银行业金融机构应当对重要的非驻场外包服务进行实地检查。实地检查原则上一年不少于一次,检查结果作为外包服务提供商项目考核及准入的重要指标。
第七十条
银行业金融机构应当加强对外包服务提供商非驻场外包服务内部控制、质量管理、信息安全的有效性评估,评估结果作为供应商准入的重要依据。对于高风险的服务提供商,银行业金融机构应当责令其进行限期整改,对于逾期未改的服务提供商应当暂停或取消其服务资格。
第七十一条
对于非驻场外包服务提供商为同业托管机构的情况,银行业金融机构可以参照本节内容对其进行外包管理,但同业托管机构须将为其他同行业金融机构提供的信息科技外包服务视同自身信息科技服务的重要组成部分,不得区别对待,降低对自身提供外包服务的风险管控水平。
第七章 银行业重点外包服务机构风险管理要求
第七十二条
银行业重点外包服务机构是指集中为银行业金融机构提供外包服务,同时满足下述条件,如其外包服务失败可能导致银行业大面积数据损毁、丢失、泄露或信息系统服务中断,造成经济损失的机构,具体条件如下:
(一)承担集中存贮客户数据的业务交易系统外包服务;或承担银行业金融机构客户资料、交易数据等敏感信息的批量分析或处理服务;或承担银行业金融机构数据中心、灾备中心机房及基础设施外包服务;且上述服务均为非驻场外包服务。
(二)服务的法人银行业金融机构数量、服务合同金额占有本服务领域市场份额的三分之一以上;或服务的跨区域经营法人银行业金融机构数量达到3家或以上;或服务的其他类型法人银行业金融机构数量达到10家或以上。
第七十三条 银行业金融机构应当根据监管机构发布的银行业重点外包服务机构风险提示,按照如下要求进行管理:
(一)银行业重点外包服务机构应当是中华人民共和国境内注册的独立法人实体,注册资本和实收资本不少于1000万,注册成立时间不少于3年。
(二)银行业重点外包服务机构应当拥有健全的组织架构,并针对所提供的外包服务建立有效的风险治理架构,至少应当建立由公司高级管理层直接领导、针对银行业金融机构外包服务的、专职信息科技风险管理团队,为持续的外包服务提供保证。
(三)银行业重点外包服务机构应当建立与所承担的服务范围和规模相适应的服务管理体系,建立完善的信息安全、服务质量、服务持续性等管理制度体系,拥有有效的检查、监控和考核机制,确保管理规范有效执行。
(四)银行业重点外包服务机构应当具有足够的技术能力、人力资源和设施、环境,满足外包服务的质量和安全管理要求。银行业重点外包服务机构承担的银行业金融机构外包服务场地应当设臵在中国境内。第七十四条
银行业金融机构应当要求银行业重点外包服务机构具有如下相关领域资质认证:(一)具有完善的信息安全管理体系、业务连续性管理体系,并通过业界公认较为权威的信息安全管理和业务连续性管理资质认证。
(二)具有完善的质量管理体系,并通过业界公认较为权威的质量管理资质认证。
(三)承担银行业金融机构数据中心、灾备中心机房及基础设施外包服务的银行业重点外包服务机构,其机房及基础设施应当达到国家电子计算机机房最高标准。
(四)承担集中存贮客户数据的业务交易系统外包服务,或承担银行业金融机构客户资料、交易数据等敏感信息的批量分析或处理服务的银行业重点外包服务机构,应当具有完善的运行服务管理体系,并通过业界公认较为权威的运行服务管理资质认证。
第七十五条
银行业金融机构应当在风险管理、审计方面对银行业重点外包服务机构提出如下要求:
(一)银行业重点外包服务机构应当具有信息科技风险的管理体系,有效识别、监测、评估和控制风险。银行业重点外包服务机构应当至少每季度向所服务的银行业金融机构报送外包风险监控报告,针对监控发现的潜在风险或风险事件,及时采取控制或缓释措施。
(二)银行业重点外包服务机构应当每年聘请独立的审计机构,对自身外包服务进行风险评估,风险评估报告需报送所服务的银行业金融机构,并抄送银监会或其派出机构。
(三)银行业重点外包服务机构应当对其外包服务团队成员进行背景调查,确保其过往无不良记录,且应当与项目成员签订保密协议,并保留至少10年的法律追诉期。
第八章 监督管理
第七十六条
银行业金融机构开展以下信息科技外包服务时,应当在外包合同签订前二十个工作日向银监会或其派出机构报告,针对银行业金融机构信息科技外包风险,银监会及其派出机构可以采取风险提示、约见谈话、监管质询等措施。
(一)信息科技工作整体外包;
(二)数据中心或灾备中心整体外包;
(三)涉及将银行业金融机构客户资料、交易数据等敏感信息交由服务提供商进行分析或处理的信息科技外包;
(四)以非驻场形式实施的、集中存贮客户数据的业务交易系统外包;
(五)关联外包;
(六)涉及跨境的信息科技外包;
(七)其他银监会认为重要的信息科技外包。
第七十七条
银行业金融机构信息科技外包活动中发生如下重大事件时,应当在两个工作日内向银监会或其派出机构报告。
(一)银行业金融机构客户信息等敏感数据泄露;
(二)数据损毁或者重要业务运营中断;
(三)由于不可抗力或服务提供商重大经营、财务问题,导致或可能导致多家银行业金融机构外包服务中断;
(四)其他重大的服务提供商违法违规事件;
(五)银监会规定需要报告的其他重大事件。
第七十八条
银行业金融机构在开展外包风险管理评估工作后,应当将风险评估报告报送银监会或其派出机构。
第七十九条
银监会及其派出机构对银行业金融机构信息科技外包工作进行监督和检查,监督检查结果纳入对银行业金融机构的监管评级。
第八十条
对于风险较高的信息科技外包服务,银监会或其派出机构可以要求银行业金融机构暂缓、中止该类外包服务,直至银行业金融机构、外包服务提供商有效改正。
第八十一条
银行业金融机构违反本指引规定的,银监会或其派出机构可要求其纠正或采取替代方案,并视情况予以问责。因管理过失导致外包活动严重危及银行业金融机构稳健运行、损害存款人和其他客户合法权益的,依法追究银行业金融机构管理责任。
第八十二条
银监会实行银行业信息科技外包服务活动风险监测机制,定期对银行业金融机构发布银行业重点外包服务机构名单和风险提示,防范因高机构集中度外包服务导致的系统性、区域性信息科技风险。第八十三条
银监会应当对具有机构集中度特点的银行业金融机构信息科技外包服务进行重点风险监测、评估,根据需要,可以要求银行业金融机构与重点外包服务机构会谈,就其外包服务活动和风险的重大事项作出说明。
第八十四条
银监会应当组织银行业金融机构实地核查银行业重点外包服务机构承担的银行业金融机构信息科技服务活动,原则上每两年进行一次,也可以委托其他第三方机构审计的形式实施。
第八十五条
银监会可以根据银行业金融机构信息科技服务活动风险评估和实地核查结果,对银行业金融机构发出监管提示,要求其督促银行业重点外包服务机构对风险问题实施整改。
第八十六条
银行业重点外包服务机构应当配合银行业金融机构及银监会的风险监测和实地核查。
第八十七条
银监会组织相关银行业金融机构对银行业信息科技外包服务提供商建立服务管理记录,并对其进行风险评估和评级。
第八十八条
服务提供商在外包服务中存在以下情形的,银监会定期向银行业发布服务提供商风险预警,公布机构名单、服务信息等,要求银行业金融机构禁止相关服务提供商承担银行业信息科技外包服务,禁止期至少为两年。外包服务提供商两年内仍未整改的,延长其禁止期。
(一)违反国家法律、法规和监管政策,情节严重的;
(二)窃取、泄露银行业金融机构敏感信息,情节严重的;
(三)因管理过失,多次发生重要信息系统服务中断或数据损毁、丢失、泄露事件的;
(四)服务质量低下并给多家银行业金融机构造成损失,多次提示仍未整改的;
(五)对风险监测和实地检查发现的问题,逾期仍未整改的;
(六)存在其他违法违规行为,或发生其他重大信息科技风险事件的。
第八十九条
银监会负责监督银行业金融机构对信息科技外包服务提供商实施准入管理。对于存在重大风险的外包活动,银行业金融机构应当立即评估外包的适当性,对信息科技外包服务提供商进行风险预警提示,要求其进行整改并设定期限;逾期未整改的,禁止其承担信息科技外包服务。
第九章 附则
第九十条
本指引由银监会负责解释、修订。第九十一条
本指引自公布之日起施行。
第三篇:银行业金融机构洗钱风险评估探讨
电子银行业务中洗钱风险值得关注
随着银行业电子化金融服务的迅猛发展,电子银行已成为当前金融服务的主角。然而,电子银行在为广大客户提供便利、快捷服务的同时,由于其隐蔽性等特点,也可能被金融犯罪分子所利用,充当其洗钱的工具。因此,如何有效避免电子银行业务中的洗钱风险,已成为各金融机构反洗钱工作中面临的现实问题。
一、电子银行业务中存在的洗钱风险
1.重视程度不高,阻碍电子银行开展反洗钱工作
目前,多数银行机构仍将可疑交易的关注重点放在传统业务上。例如现金的大额存取、转账等柜面业务,电子银行因其资金汇划快捷、身份运作隐蔽以及操作地点任意等特点,容易被犯罪分子利用,作为洗钱的渠道。然而各银行都忽视了对电子银行业务的甄别,缺乏资金支付交易的事中监控和事后分析。同时,由于各银行机构对电子银行反洗钱的业务管理涉及各业务部门以及管理等职能部门,部门间对电子银行反洗钱的管理和监督职能归属认识不统一,工作中常出现推诿现象。相关职能部门间难形成有效合力,电子银行反洗钱工作的整体效能难以发挥。
2.电子银行转账金额限制标准执行不严,引发洗钱风险
电子银行属于电子支付范畴,应遵从人民银行对电子支付转账金额的相关限制规定。如人民银行发布的《电子支付指引》。实际工作中,各家银行在安全认证、保护客户资金的安全方面工作做得比较到位,但单笔支付金额和每日累计支付金额限制方面却执行不严。有的银行仅设置了每日累计支付金额上限,未设置单笔支付金额上限;有的银行完全没设上限,任凭资金自由进出;有的虽设置了单笔和每日累计支付金额上限,却都突破了人民银行在《电子支付指引》(第1号)中所规定的金额上限。如2008年沈阳分行协助破获的“5·22专案”,犯罪分子就是通过网上银行在1个月内疯狂转账16万笔,金额达186亿之巨。转账金额限制标准执行不严在一定程度上为洗钱者提供了方便之门,容易诱发洗钱风险。
3.“了解客户”不全面为反洗钱工作留下隐患
“了解客户”是反洗钱工作的基础,然而一些银行在利益驱使下行使“了解客户”职责更多只是程序性的。加之缺少资料信息的有效识别手段,与有关部门信息共享机制也不健全,银行工作人员难以识别开户资料的真伪,给电子银行业务带来了一定的安全隐患。
同时,客户只有在网络银行开户时才与银行发生接触,以后交易都在网上进行,客户几乎完全离开了银行的视线。就算最初开立账户时可辨别客户真实身份,但在以后的网络交易中,使用该账户的交易人可能不是开户人,不法分子可通过各种手段,比如利用他人或虚假账户交易逃避银行监控。
并且,金融业务的自助交易可匿名操作,客户只需借助电话、互联网和自助银行等渠道便可完成划款转账,支付交易过程完全避开了金融机构的监督,给反洗钱工作带来了极大的障碍。
4.电子银行业务因其隐蔽性特点备受犯罪分子青睐
与传统业务相比,电子银行业务采用的是账号(或者ID)验证及证书验证方式,只要客户提供正确的账户信息、客户证书和密码,甚至只需输入手机号,银行系统则认可交易操作的有效性。并且,只要在账户余额不透支的情况下,客户便可通过互联网随意地汇划资金,无须注明用途。银行很难对其资金进行事中的监控和事后的分析。
电子银行突破了时间和地域的局限,客户可以在任何时间、任何地方、以任何形式通过互联网络或电话完成各种支付交易,实现7×24小时全天候操作,使洗钱者进行资金转移更加便捷,存在被不法分子利用进行资金快速转移的极大风险。
5.可疑支付交易甄别力不强,影响反洗钱信息报送质量
目前,各金融机构对可疑交易识别上报多采用自行开发的系统软件。依靠系统自动提取,缺乏人工分析与判断,导致部分金融机构上报可疑交易数据患上了严重的系统依赖症。同时金融机构为逃避人民银行的处罚,上报的大多是防御性数据,垃圾数据多,极大影响和制约了反洗钱监测分析效能。
此外,各银行机构会计核算基本都实现了大集中。其电子银行客户的交易信息大多以电子集中备份方式保存,不保留纸质凭证,同时交易信息被定期覆盖。这种保存方式不便于银行工作人员对电子银行交易进行监测,增加了监管部门对电子银行可疑支付交易特别是历史交易数据核查的难度。电子银行业务发展迅猛,网上支付交易数据以成倍数量增长,仅凭人力甄别海量数据,无法满足反洗钱工作的需要。且目前各家银行机构还未针对电子银行业务的特点,开发出一套跟踪监测比对发现可疑交易的系统,使可疑支付交易的发现和甄别困难重重,容易造成银行可疑支付交易的漏报和迟报,带来了洗钱风险。
二、电子银行反洗钱的对策和建议
1.增强银行内部合力,提高对电子银行反洗钱工作的重视
金融机构首先要对电子银行洗钱的资金汇划的快捷性、身份运作的隐蔽性、操作地点的任意性给予高度重视。充实反洗钱力量,设立专职人员,确保反洗钱工作尤其是可疑交易信息核查落到实处。同时要组织相关部门对新业务进行一次重点排查,重点防范电子银行渠道洗钱风险。其次,各银行要加强反洗钱的内部组织协调工作。由于网上银行的反洗钱工作涉及银行内部诸多部门,应加强领导,提高认识,明确责任,杜绝工作中互相推诿现象发生,使银行内部相关职能部门之间形成合力,共同做好反洗钱工作。
2.严把客户的审核关,切实履行“了解客户”义务
银行应按照反洗钱法律法规要求,认真做好客户调查工作,从源头防范洗钱风险。首先,在银行开立账户必须通过公民身份信息联网核查系统验证,并严格审查申请人的身份证件及开户材料。第二,对电子银行设置严格的准入条件。经严格审核和筛选,符合条件、信誉度好的客户,才能为其提供电子银行服务,并签订规范、严密的服务协议,以明确责任。第三,金融机构对开通电子银行业务的账户应适当提高风险等级,并对客户基本信息至少每半年审核1次,经审查认为使用网银业务理由不合理的,应拒绝受理其申请。第四,在客户开办电子银行业务后,银行发现客户的交易行为违反协议、交易情况存在疑点,应暂停或中止其电子银行业务,从源头缩小洗钱活动的生存空间。
3.建立、健全电子银行支付规范,完善内控机制
为规范银行业电子支付发展,人民银行虽然出台了《电子支付指引(第1号)》。它虽然规范了电子支付业务申请的条件和程序,强调了电子支付风险的防范与控制,但它仅是指导性的文件,缺乏法律约束力。因此,应尽快拟订电子银行反洗钱的法律法规,明确电子银行的市场准入规则以及跨境银行业务的监管标准和要求。可以参考美国等国家设立一部严密的《电子交易法》,通过建立和完善电子支付业务规则,指导金融机构应对、防范电子支付风险。
商业银行应建立电子银行风险评估机制,明确电子银行风险管理职能部门,建立健全电子银行业务内部审计、合规和后续评价机制,以及时发现风险隐患。并且,应针对电子银行的业务特点建立系统化的电子银行反洗钱内部工作机制,细化标准,以利于执行过程中把握政策尺度,保障反洗钱全过程有效涵盖电子银行业务。
4.提高监控工作水平,加大对电子银行业务的监控力度
金融机构应加强对从事反洗钱工作相关人员的培训,提高各金融机构工作人员对可疑交易的识别能力。在可疑交易数据的监控、上报工作中明确建立人工识别流程。改变单纯依靠系统提取数据上报的做法,做到系统提取与人工甄别相结合,避免上报垃圾信息。银行机构要根据自身业务系统的实际和反洗钱工作的需要,加大科技投入。针对电子银行业务开发实时监控软件,对开通电子银行业务的账户实行实时监控,依靠现代化的监测手段增强反洗钱监测的及时性和有效性,提高可疑交易的报告水平。
第四篇:银行业金融机构安全评估办法
银行业金融机构安全评估办法
银行业金融机构安全评估办法
(2010年7月修订)
第一条 为加强对银行业金融机构内部治安保卫工作的指导,规范日常监督、检查工作,及时发现和消除安全隐患,维护单位内部安全,依据《中华人民共和国治安管理处罚法》、《企业事业单位内部治安保卫条例》等法律规定,制定本办法。
第二条 本办法所称的安全评估,是指公安机关和银行业监督管理部门(以下简称银监部门)依法对银行业金融机构内部的安全防范制度、措施、人员和设施等状况进行综合评估的活动。
开展安全评估工作应与对银行业金融机构的日常安全检查工作相结合。第三条 安全评估应当依照有关法律、法规、规章和《银行营业场所风险等级和防护级别的规定》、《银行业务库安全防范的要求》、《银行自助设备自助银行安全防范的规定》、《安防工程程序与要求》、《安全防范工程技术标准》等标准进行。安全评估以两年为一个周期,每偶数年作为开展评估工作的起始年,奇数年的11月30日前完成评估,并将评估总结报上级公安机关和银监部门。第四条 安全评估工作由省级公安机关会同同级银监部门(大连、青岛、宁波、厦门、深圳等地银监局会同所在地公安机关)共同组织实施。各省级公安机关和银监部门应根据本办法制定评估工作实施方案,培训评估人员。
开展安全评估时,应组成评估小组,成员为不少于5人的单数。评估小组成员由公安机关、银监部门和各省级金融安全防范专家库中来自银行业金融机构的人员组成。
第五条 安全评估的内容主要包括:
(一)营业场所安全;
(二)业务库安全;
(三)自助设备、自助银行安全;
(四)运钞安全;
(五)消防安全;
(六)计算机安全;
(七)枪支弹药安全;
(八)案件防范;
(九)安全保卫基础工作。第六条 安全评估的方法主要有:
(一)询问被评估单位安全保卫工作负责人和其他工作人员,了解安全保卫工作情况;
(二)查阅、复制、调取与安全保卫工作有关的文件、资料;
(三)实地查看银行业金融机构安全保卫工作制度、措施的制定和落实情况;
(四)实地了解银行业金融机构安全保卫机构设置和人员配备情况;
(五)实地查看测试物防、技防等安全防范设施的设置和运行情况;
(六)突击检查和抽查;
(七)根据需要依法采取的其他安全评估方法。
第七条 安全评估以县级、地市级和省级银行业金融机构为单位计分。对县级以下银行业金融机构的评估,应按照本办法第五条所列的九项内容逐项评分,每大项中涉及多个机构的,应在对多个机构逐一打分的基础上取平均值作为最后得分。县级、地市级和省级被评估单位的评估分数计分方法为:下一级银行业金融机构评估所得分数的平均值的80%加上本级机构评估所得分数的20%之和。跨省设立分支机构的银行业金融机构的评估分应取其下一级机构评估分的平均值。
第八条 安全评估根据评估内容和标准打分,满分为100分。银行业金融机构累计得分在95分(含)以上的,列为安全防范优秀单位;累计得分在95分至85分(含)的,列为安全防范合格单位;累计得分低于85分的,列为安全防范不达标单位;其中累计得分低于80分的,列为治安隐患单位。
第九条 开展安全评估工作前应当组成安全评估小组,组长由组织评估工作的公安机关、银监部门指定业务能力和组织能力较强的人员担任。开展安全评估时,评估人员应当按照《银行业金融机构安全评估标准》如实记录相关情况,填写《安全评估记分表》。评估完毕,应当将《安全评估记分表》交被评估单位负责人或者相关人员核对后签字。对评估结果有异议的,应当允许被评估单位负责人做出说明;被评估单位负责人拒绝签字的,评估人员应当在《安全评估记分表》上注明。
第十条 安全评估人员在评估过程中发现治安隐患的,应当及时指出并记录。必要时,对发现的治安隐患可以拍照、录像,采集证人证言,作为证据保存备查。第十一条 安全评估小组应当对被评估单位的安全防范情况打出相应的分值,出具评估报告,由组织评估的公安机关和银监部门审核、确认后反馈被评估单位。评估报告的内容应包括被评估单位的整体情况、评估分值、存在问题、整改意见,由评估小组成员签字确认。
第十二条 对被评估单位有监管职责的县级以上人民政府公安机关应当在接到评估报告之日起三个工作日内,对评估工作中发现的治安隐患制作《责令限期整改通知书》,加盖印章后送达被评估单位,督促整改。被评估单位应当及时整改治安隐患,在整改期间采取必要的防范措施确保安全,并将整改结果及时报告组织评估的公安机关和银监部门。
第十三条 安全评估结果应当作为公安机关、银监部门考核银行业金融机构安全保卫工作的重要依据。
第十四条 对安全评估结果列为优秀等次的单位,组织评估的公安机关、银监部门应当予以表彰奖励。评估为优秀等次的银行业金融机构应当对保卫部门和有突出贡献的保卫干部予以奖励。
第十五条 对安全评估不达标或被列为治安隐患单位的银行业金融机构,银监部门应当采取相应的监管措施。
第十六条 被评估单位拒不落实治安隐患整改措施的,公安机关应当按照《企业事业单位内部治安保卫条例》相关规定进行处罚;对因不及时整改导致发生案件、事故的,依法追究单位主要负责人和直接责任人员的法律责任。
第十七条 安全评估小组开展评估活动时,不得影响被评估单位的正常工作。对涉及的国家秘密、商业秘密,应当予以保密。
第十八条 安全评估人员不认真履行职责,有下列行为之一的,对评估小组直接负责的主管人员和其他直接责任人员给予处分;构成犯罪的,依法追究刑事责任。
(一)玩忽职守,应当及时发现却未及时发现重大隐患,导致发生重大案件或者安全责任事故的;
(二)在安全评估工作中弄虚作假的;
(三)故意刁难被评估单位和相关人员的;
(四)索取、收受被评估单位贿赂、礼品的;
(五)违反法律、行政法规实施处罚的;
(六)其他滥用职权、徇私舞弊的。
第十九条 本办法中的《责令限期整改通知书》按照《公安部关于印发〈公安行政法律文书(式样)〉(试行)的通知》(公通字[2006]21号)执行。《安全评估记分表》式样由公安部、中国银行业监督管理委员会统一制定。第二十条 本办法适用于对各银行业金融机构的安全评估。第二十一条 本办法自修订印发之日起施行。
附件:
1、银行业金融机构安全评估标准
2、安全评估记分表 附件1
银行业金融机构安全评估标准
为全面、客观地反映银行业金融机构的安全防范情况,量化安全检查工作,确保安全检查的实效性,特制订本标准。本标准共分为九部分,根据项目设定分值,总分100分。对不符合本标准的酌情减分(每个项目的分值扣完为止),对评估中不涉及的评估项目不扣分。具体评估标准如下:
一、营业场所安全(15分)
检查方法:实地检查营业场所物防技防设施、营业场所周边状况,检查录像回放质量。
(一)物防设施(8分)
1、二层以下窗户未安装金属防护栏或未采取相应防护措施(如安装具有防弹、防爆功能的透明防护屏障和入侵探测装置等)的扣0.5分;
2、与外界相通的出入口未安装坚固的金属防护门或防盗安全门的扣0.5分;
3、金属防护门锁具不符合标准的扣0.5分;
4、场所外有围墙但未安装防止爬越的障碍物或周界报警装置的扣0.5分;
5、现金业务区出入口未安装防尾随缓冲式电控联动门或联动门不能正常使用的扣5分;
6、现金出纳柜台未采用砖石或钢筋混凝土结构(因楼面承重等原因经公安机关主管部门批准采用其他建筑方式的除外),柜台高度低于800mm、宽度小于500mm的扣3分;
7、现金出纳柜台上方未安装透明防护板的扣5分;
8、现金出纳柜台上方安装的透明防护板无检测合格报告、安装形式不符合标准或长、宽、高、面积及其上部封顶不符合标准的扣2分;
9、现金业务柜台的台面设置或收银槽长、宽、高不符合要求的扣0.5分;
10、营业场所未建卫生设施的扣0.5分;
11、未配备自动应急照明设备或自动应急照明设备失灵的扣0.5分;
12、未配备自卫器材的扣0.5分。
(二)技防设施(7分)
1、监控设备
(1)二级以上风险营业场所与外界相通的出入口未安装视频监控装置的扣1分;(2)二级以上风险营业场所现金业务区未安装监控装置的扣3分;(3)二级以上风险营业场所非现金业务区未安装监控装置,不能实时监视营业室内人员活动情况的扣1分;
(4)二级以上风险营业场所现金业务区视频监控系统不能实时监视、记录现金支付交易全过程,回放图像不能清晰显示柜员操作和客户脸部特征的扣2分;(5)二级以上风险营业场所出入口视频监控系统的回放图像不能清晰分辨出入大门人员体貌特征的扣1分;
(6)录像资料保存不到30天的扣2分。
2、报警及其他技防设施
(1)具备与公安110报警服务台报警联网条件尚未安装与公安机关110联网的紧急报警装置的扣3分;(2)现金业务区未安装2路以上(含2路)独立防区的紧急报警装置的扣2分;(3)一级风险营业场所现金业务柜台未安装连续记录的声音复核装置的扣0.5分;
(4)一级风险营业场所与外界相通出入口未安装入侵报警装置或入侵报警装置不能及时准确报告入侵异常事件的扣1分;
(5)一级风险营业场所的入侵报警装置不具备与照明、视频安防监控及声音复核设备联动功能的扣0.5分;
(6)一级风险营业场所入侵报警设施不能准确记录报警时间、位置等信息,不具有查询、打印功能的扣0.5分。
二、业务库安全(10分)
检查方法:实地检查业务库物防技防设施建设情况,检查监控录像回放质量,规章制度、预案、出入登记等有关资料。(一)实体防范(4分)
1、库区照明系统总闸装置没有保护措施或未置于有效监控范围的扣0.5分;
2、库区内的载货电梯与楼梯未建于库门之外的扣1分;
3、出入库房门的通道未单一设置的扣1分;
4、库房结构墙体未达到相应级别建筑标准的扣3分;
5、金库门或库门锁具不符合标准的扣2分;
6、三类以上库房通往金库门的唯一通道未设置防控隔离门,或防控隔离门的防护等级不符合要求的扣1分。(二)技术防范(5分)
1、入侵报警系统不能准确探测报警区域内门、窗、通道等重点部位入侵事件的扣1分;
2、库房内未安装2种以上探测原理入侵探测器的扣0.5分;
3、周界防入侵报警装置没有连续的警戒线,存在盲区的扣0.5分;
4、报警控制主机和线路裸露,不具有防破坏报警功能的扣0.5分;
5、未采用2种以上向外报警传输方式的扣0.5分;
6、报警装置无备用电源,不能保证在市电断电后系统供电时间≥8h的扣0.5分;
7、报警系统布防、撤防、报警、故障等信息的存储时间不足30天的扣1分;
8、库房内视频安防监控系统回放图像不能清晰显示人员在库内活动的全过程和库内所有存放物品的扣1分;
9、库房外的回放图像不能清晰显示出入库人员活动情况及面部特征的扣0.5分;
10、启动紧急报警装置时未同时启动现场声、光报警装置的扣0.5分;
11、守库室的回放图像不能清晰显示守库人员活动情况的扣0.5分;
12、清分整点场地未在每个清分台安装摄像机进行独立监控和录像,或回放图像不能清晰显示交接、清点、打捆等操作全过程的扣1分;
13、装卸区及出入库交接场地的回放图像不能清晰显示运钞车停放、护卫及提款箱交接等进出库区全过程的扣1分;
14、视频监控资料保存时间少于30天的扣0.5分;
15、实行远程监控的业务库房隔离门出入口控制装置不具有接受远程控制和实时授权功能的扣2分;
16、声音资料保存时间少于30天的扣0.5分;
17、实行异地值守的业务库不具备全方位防护,未将入侵报警、视频安防监控及出入口控制、广播对讲等各子系统接入业务库报警监控联网中心,不能实施远程管理、控制的扣2分;
18、业务库报警监控联网中心功能不齐备的扣0.5分。(三)本地守库室防范(1分)
1、本地守库室未设置卫生设施、给排风设备或温控设施的扣0.5分;
2、守库室外未安装照明灯或未配备应急照明设备和自卫器材的扣0.5分;
3、守库室未配备对外联络的通讯设备或未安装紧急报警按钮的扣1分。
三、自助设备、自助银行安全(15分)
检查方法:实地检查自助设备、自助银行物防技防设施建设情况,检查监控录像回放质量等。
(一)自助设备安全(6分)
1、未安装报警装置(在行大堂式除外)或不能对撬盗和破坏事件进行探测报警的扣0.5分;
2、视频监控装置不能对交易时客户的正面图像、进/出钞和现金装填过程的图像进行实时录像的,每存在一项扣0.5分;
3、回放图像不能清晰辨别客户的面部特征、进/出钞过程、现金装填过程操作人员活动情况的,每存在一项扣0.5分;
4、未加装具有防窥视功能装置或未设置相对独立的用户操作区域的扣0.5分;
5、未通过电子显示屏显示必要的安全提示和24小时服务电话的扣2分;
6、未对在行大堂式自助设备使用环境进行监视和记录的扣0.5分;
7、离行式自助设备视频监控系统不具有远程联网功能的扣1分。
(二)自助银行安全(9分,其中自助设备按自助设备安全内容中第1至5项评分,满分6分;下列内容满分3分)
1、独立的装填现金区未安装入侵报警探测装置,不具备入侵报警联动功能的扣0.5分;
2、未安装视频监控装置对进入自助银行的人员进行监视、记录,回放图像不能清晰显示进出人员体貌特征的扣0.5分;
3、独立的现金装填区未安装出入口控制设备,不能对装填现金区出入口实施控制的扣0.5分;
4、未安装紧急求助按钮或具有自动拨号功能的求助电话的扣0.5分;
5、不能实现报警、图像、对讲广播等信息的远程传输和监控功能的扣1分。
四、运钞安全(10分)
检查方法:检查银行自行押运的运钞车车况、押运人员执行任务的规范操作情况,制度、预案、登记记录等有关资料。
1、银行业金融机构使用非专用运钞车运钞或非双人以上武装押运的扣5分;
2、未制定押运途中突发事件处置预案的扣0.5分;
3、押运员不熟悉突发事件处置预案、责任分工不明确的扣0.5分;
4、押运员押运过程操作行为不规范或警惕性不高的扣0.5分;
5、运钞交接登记手续不齐全的扣1分;
6、押运员不穿防弹衣、不戴头盔的扣1分;
7、押运员站位不能全方位警戒的扣1分;
8、跨省、市长途运钞或大宗款项(单次运钞1000万元以上)押运没有护卫车的扣2分;
9、运钞车交接款停靠位置不合理的扣0.5分;
10、运钞停靠及交接款过程不能够全程录像的扣3分;
11、运钞车内无通讯、报警、消防设备的扣1分;
12、押运过程中司机下车或车辆熄火的扣1分。
五、消防安全(10分)
检查方法:实地检查消防设施,查看相关资料,询问有关人员。
1、没有建立领导负责的逐级防火责任制的扣0.5分;
2、没有明确逐级防火负责人职责、没有明确岗位防火责任人的扣1分;
3、没有为本单位的消防安全提供必要的经费和组织保障的扣1分;
4、职工不知道岗位责任区和岗位消防安全职责的扣0.5分;
5、没有设立专职或兼职的防火安全人员或消防安全重点单位没有确定消防安全管理人的扣1分;
6、没有建立群众性的志愿消防队的扣1分;
7、没有建立健全各项消防安全制度的扣0.5分;
8、未按照国家有关消防法律法规及消防技术标准设置消防设施的扣1分;
9、不能保证消防设施、灭火器材完好有效的扣1分;
10、不能保证消防疏散通道畅通的扣1分;
11、没有消防安全检查、巡查、消防安全教育培训等消防记录的扣1分;
12、对火灾隐患不能及时发现或发现后未及时消除的扣1分;
13、一年内组织开展消防安全宣传教育和培训少于2次的扣0.5分;
14、未制定灭火和应急疏散预案并定期组织演练的扣1分;
15、消防安全重点单位未建立健全消防档案的扣1分;
16、没有对建筑消防设施进行定期的消防检测,取得相应的合格检测报告的扣1分。
六、计算机安全(10分)
检查方法:实地查看相关设施、设备和记录,询问有关人员。
(一)营业场所计算机安全(4分)
1、网络、存储设备未存放于营业场所现金区内密闭机柜或独立设置的网络设备间的扣0.5分;
2、网络、存储设备独立设置计算机房(室)但未安装防盗安全门的扣0.5分;
3、二级以上风险营业场所的计算机室未安装防盗安全门和与110报警服务台相连的紧急报警装置及入侵报警装置,不能准确探测报警区域内门、窗、通道等重点部位的入侵事件的扣0.5分。
(二)数据交换中心和数据处理中心安全(6分)
1、数据交换或处理中心计算机机房(室)在建筑物内没有设置为独立区域的扣0.5分;
2、独立设置的计算机中心未进行封闭式管理或设置周界报警探测装置的扣0.5分;
3、没有专人值守、记录出入人员情况的扣0.5分;
4、防水、防盗、监控、报警等设施不健全的扣0.5分;
5、无备用电源或备用电源处于不良备用状态的扣0.5分;
6、没有设立专职或兼职的计算机信息系统安全管理人员的扣1分;
7、机房工作人员不熟悉灭火、防水等有关操作的扣0.5分;
8、没有专门的设备档案备查资料的扣0.5分;
9、不能及时更换计算机的口令或密钥的扣1分;
10、无防雷接地等必要防护的扣0.5分;
11、无机房专用灭火设施的扣2分;
12、县级金融机构没有成立计算机信息系统安全保护领导小组或未制定计算机信息系统突发事件处置预案的扣1分。
七、枪支弹药安全(10分)
检查方法:实地检查枪支弹药保管使用情况,听取有关人员汇报。
1、未明确枪支管理责任,未指定专人负责的扣1分;
2、二级以上风险营业场所枪弹库出入口未安装防盗安全门、与110报警服务台相连的紧急报警装置和入侵报警装置的,扣0.5分;
3、没有专用枪库或枪柜存放保管枪支弹药的扣1分;
4、枪支、弹药没有分开存放或实行双人双锁的扣1分;
5、未建立完善的持枪人员管理责任制度、枪支弹药保管领用制度和枪支安全责任制度或不严格执行的扣1分;
6、执行守押任务完毕后,未及时交还枪支弹药的扣1分;
7、持枪人员未配发持枪证件的扣2分;
8、持枪人员未定期接受培训的扣0.5分;
9、携带枪支时未携带持枪证件的扣1分;
10、非执行守押任务而携带枪支弹药的扣5分。
八、案件防范(10分)
检查方法:听取汇报,查看相关资料。
1、一年内对员工进行法律法规教育以及业务规范学习少于2次的扣0.5分;
2、二年内有内部人员违法犯罪,且违法犯罪行为与其职务有直接联系的扣1分;
3、二年内发生盗抢既遂案件且案件的发生与银行内部管理不严或员工违规操作有直接关系的扣2分;
4、二年内发生重特大盗抢既遂案件且案件的发生与银行内部管理不严或员工违规操作有直接关系,或案件造成员工重伤或死亡的扣5分;
5、二年内发生因渎职或违规操作等引发既遂诈骗案件的扣2分;
6、未执行身份证联网核查制度或无相关真伪识别装置的扣0.5分;
7、无防范案件预案或员工对涉及本岗位的防范案件预案不熟悉的扣1分;
8、未严格执行相关案件报告制度规定的扣2分;
9、未及时向员工开展案例警示教育的扣0.5分;
10、不严格执行有关业务操作安全的各项规章制度、各项业务操作程序不规范的扣1分。
九、安全保卫基础工作(10分)
检查方法:听取汇报,调阅资料,询问有关人员。
1、单位负责人未定期召开会议研究安全保卫工作,查找安全防范工作隐患并研究解决问题,或保卫工作没有领导班子成员分管的扣2分;
2、县级以上银行业金融机构未设立专(兼)职保卫机构的扣5分;
3、银行营业场所未配置专(兼)职保卫人员的扣1分;
4、安全防范设施建设资金存在重大缺口且内未得到解决的扣3分;
5、未建立保卫工作考核、评比和奖惩机制的扣2分;
6、未开展安全检查、考核、评比工作,奖罚不分明的扣1分;
7、对公安机关、银监部门和上级单位安全检查中发现的问题未及时整改的扣2分;
8、各类安全防范规章制度不健全的扣1分;
9、各类处置突发事件预案不健全的扣1分;
10、未按时签订各级治安保卫责任书的扣0.5分;
11、营业场所无日常安全检查记录的扣0.5分;
12、业务库门钥匙或密码不执行单线交接、分别保管的扣1分;
13、一年内没有组织防抢劫演练的扣0.5分;
14、员工不能熟练操作本岗位所需掌握的自卫器材和消防器材扣的0.5分;
15、员工不了解安全防范制度的扣0.5分;
16、员工不熟悉本岗位应急预案及处置方法的扣0.5分。
第五篇:银行业金融机构案件处置工作规程
银行业金融机构案件处置工作规程
第一章 总则
第一条
为有效组织实施银行业金融机构案件处置工作,形成协调有序、边界清晰、责任明确的工作机制,实现银行业金融机构案件处置过程的规范和统一,根据《中华人民共和国银行业监督管理法》等有关法律法规,制定本规程。
第二条
中国银行业监督管理委员会(以下简称银监会)机关各部门及银监会省级派出机构(以下简称银监局)和各银行业金融机构的案件处置工作应当遵守本规程。
第三条
本规程所称案件是指银行业金融机构从业人员独立或共同实施,或与外部人员合伙实施的,以银行业金融机构或客户的资金、财产为侵犯对象的,涉嫌触犯刑法,依法应当移送司法机关追究刑事责任或已由公安、司法机关依法立案侦查的事件或银行业金融机构遭受外部诈骗、盗窃、抢劫等侵害,依法应当由公安机关立案侦查的事件。
第四条
本规程所称银行业金融机构案件处置工作包括案件信息报送及登记、案件调查、案件审结和后续处置。
第五条
银行业金融机构对案件处置工作负直接责任。银行业金融机构应当制定本机构案件处置政策和制度,并有效落实和执行。
第六条
银监局负责有关案件信息的采集和处理,指导、督促或直接参与辖内银行业金融机构案件的处置工作,督促发案银行业金融机构对责任人实施问责,督促、跟踪及评价后续整改情况,对本辖区的案件处置工作负监管责任。
第七条
银监会机关相关部门对案件处置工作负督导和稽查责任。银监会机构监管部门和案件稽查部门按照分工协作、各有侧重的原则,指导和督促银监局开展案件处置工作,必要时可以直接参与银行业金融机构案件的处置工作。
银监会机关相关部门通过召开银行业金融机构案件防控工作联席会议(以下简称联席会议)的方式,形成部门问的协调机制。
第八条
银监会机关相关部门、银监局和银行业金融机构应当针对每个案件指定相应承办部门和主办人员。
银行业金融机构案件的调查实行专案负责制。银行业金融机构在发生案件后,应当根据案件的性质和金额组成由相应层级的管理人员负责的专案组,承担案件的调查工作。
银监局根据案件的性质和金额,组成相应专案督导检查组(以下简称“督查组”),负责指导、督促或直接参与辖内银行业金融机构案件调查工作。
银监会机关相关部门根据案件的性质和金额决定是否组成督查组。银监会机关相关部门可以通过联席会议确定督查组的组成,实行专案督查,负责指导、督促或参与案件调查工作,协调相关办案部门。
银监会督查组的组成原则是:
(一)只涉及单类银行业金融机构的案件,由银监会机关相关机构监管部门牵头组成督查组,必要时案件稽查等部门参加。
(二)涉及多类银行业金融机构的案件,由银监会案件稽查部门牵头组成由机构监管部门参加的督查组。案件稽查部门负责组织协调,机构监管部门各司其职。
第二章 案件信息报送及登记
第九条
案件信息报送及登记按照《银行业金融机构案件(风险)信息报送及登记办法》执行。
第三章 案件调查
第十条
银行业金融机构在报送《案件信息确认报告》,初步确认案件的同时,应当立即按照本规程第八条的规定成立专案组,负责案件调查工作。
专案组在案件调查过程中应当履行以下职责:
(一)启动应急预案,清查账目,及时采取风险化解措施,保全资产。(二)调查涉及人员,及时向公安、司法机关报案,协助政府有关部门做好舆情控制,维护发案机构正常经营秩序,积极配合公安、司法机关对案件进行调查,初步确定案件性质。
(三)查清基本案情,确定案件性质,及时向银监局书面报告。
(四)查找内部制度和执行情况存在的问题,厘清案件有关责任。
(五)总结发案原因和教训,提出整改措施和有关责任人处理意见。
第十一条
银监会机关相关部门及银监局接到《案件信息确认报告》后,应当按照本规程第八条的规定,决定成立督查组,确定主办人员。
督查组在案件调查阶段应当履行以下职责:
(一)指导、督促并跟踪银行业金融机构做好案件应急处置与调查工作,及时掌握案件调查和侦办情况,协调做好跨行资金核查,必要时可以直接介入调查或延伸调查。
(二)督促银行业金融机构及时向公安、司法机关报案,或者按照《中国银监会移送涉嫌犯罪案件工作规定》及时移送案件,开展相应工作。
(三)上报案件调查和督查报告。
(四)对银行业金融机构报告的案件性质提出明确意见,根据案件反映的问题,提出有关责任追究、整改措施及对银行业金融机构的行政处罚和强制性监管措施等方面的意见和建议。
第十二条
案件调查、督查报告的路径是:
(一)银监会机构监管部门或案件稽查部门单独派出的督查组向本部门报告案件调查情况,并视案情向分管会领导报告。
(二)银监会机构监管部门、案件稽查部门和其他相关部门联合组成的督查组向联席会议报告案件调查情况,由牵头部门向分管会领导报告。
(三)银监局案件调查的进展情况,应当及时报送案件督查牵头部门,同时抄送其他有关部门。
第十三条
案件调查工作结束后,银行业金融机构专案组应当在明确案件性质、确定涉案金额、初步判定风险的基础上形成案件调查报告,报送银监局。
第十四条
案件调查和督查应当依照法定权限和程序收集证据。收集的证据材料应当合法、客观,并与所证明的事项相关联。禁止以非法手段获取证据。
银行业金融机构案件调查、监管部门案件督查应当严格遵守保密原则,不得擅自向其他单位和个人披露有关情况。
第十五条
银行业金融机构和监管部门应当完整保存案件调查、督查过程中形成的各种资料和工作记录,存档备查。
第四章 案件审结
第十六条
银行业金融机构应当在总结案件教训、分析存在问题、确定问责方案和整改措施后,向银监局提交案件审结报告。
第十七条
银监局应当将银行业金融机构的案件审结报告、整改方案、责任人追究意见报送银监会案件督查牵头部门,同时抄送其他有关部门。
第十八条
银行业金融机构案件审结后,应当及时向银监局报送案例材料,银监局负责向银监会案件稽查部门报送案例材料,其中应当包括对案件发生和案件处置的经验、教训总结。银监会案件稽查部门负责对案例材料进行整理。
第十九条
银行业金融机构案件处置坚持专案专档制度。发案银行业金融机构和银监局应当分别建立档案,做到每案立卷,专人管理。
第五章 案件后续处置
第二十条
银行业金融机构在确定相关人员责任和整改方案后,应当尽快进行责任追究和整改,并将进展情况及时向银监会机构监管部门或银监局报告。
第二十一条
银监会机构监管部门及银监局应当对银行业金融机构整改方案、下阶段案件防控工作安排及对银行业金融机构和有关责任人的责任追究情况,进行跟踪督促和评价。
第二十二条
银监会机构监管部门及银监局应当将案件发生情况、案件处置、风险化解情况、整改效果、责任追究等内容作为对发案银行业金融机构进行监管评级、市场准入审批、监管计划制订的重要参考。
第二十三条
银监会案件稽查部门应当对整个案件处置工作过程进行评价,有关情况通过联席会议反馈给银监会机构监管部门。
第二十四条
司法机关对案件结案后,银行业金融机构应当按照司法机关对案件性质和涉案金额的认定填报非现场监管信息系统中案件报表相应内容,作为有关案件的最终统计结论。
第六章 附则
第二十五条
本规程由银监会负责解释与修订。
第二十六条
本规程自2011年1月1日起执行。
点击咨询 