第一篇:农村合作金融机构信息科技风险不容忽视大全
农村合作金融机构信息科技风险不容忽视
2011-12-30 16:38 来源:本网
随着农村合作金融机构(以下简称“农金机构”)自身业务不断的发展以及日益激烈的行业竞争需要,各项业务对科技支撑的依赖程度越来越高,促进了农金机构信息科技建设的飞速发展,信息化体系逐步完善,业务种类和服务手段日趋丰富。但不容忽视的是,技术向业务的深度渗透在加速实现效益的同时,其潜在的信息科技风险也呈逐步扩大化趋势,银行业科技风险防范与管理形势日趋严峻。现阶段农金机构普遍存在重视信息科技建设,轻信息科技管理和风险防范等问题,如何正确面对以及应对信息科技风险成为保证农金机构持续、健康发展的又一课题。
一、农村信用社信息科技风险管理中存在的主要问题 目前多数农金机构信息科技风险管理手段相对落后,管理层对信息科技风险了解不够,缺乏对科技风险管理工作的重视,导致农金机构科技存在信息管理水平处于较低层次,发生风险事故的概率较高以及应急处置能力不强等问题。
1.组织机构及岗位设置不健全。科技部门人员配备不足的现象较为普遍,科技人员往往身兼数岗,重要岗位A、B角制度难以落实,相对于业务部门,科技部门缺乏应有的重视和关注。农金机构虽设置了风险管理部门,但基本上仅履行管控资产、负债类业务风险的职能,并未涵盖信息科技风险。科技风险管理工作主要由科技部门(或负责科技管理的部门)负责,而科技部门是信息系统的建设者和维护者,由其承担科技风险管理职能,不能形成有效的制衡机制,不能有效识别并量化可能存在的信息科技风险因素。
2.科技从业人员素质有待提高。科技人员应付于日常基础性设备、网络维护工作所耗费的时间和精力较多,参加信息科技风险培训较少,缺少完整、系统的信息科技风险概念和相关知识,对自身系统设备维护、机房管理等常规性工作认识较深,对信息科技管理、规避科技风险等管理性工作认识较为肤浅,部分人员甚至存在防范信息科技风险就是保证核心生产系统正常运转的错误观念,极易忽视自身各项系统的漏洞和隐患排查、消除。
3.登记簿和制度制定、执行不到位。多数农金机构虽制定了相关的信息科技管理制度和规定,但仍有制度制定不全,制度执行不到位,制度陈旧不符合现阶段管理等诸多问题的存在;登记簿设立不齐全,记载项纪录不完整,缺少部分年度的项目资料文档,有的对机房运行日志未按规定进行登记,制度没有随着电子设备的增加或升级而更新,不能起到有效防范风险的作用。
4.电子银行业务管理。随着信息科技在经营、管理和创新等各个领域应用的逐步深入,推动了农金机构信息科技衍生品电子银行业务的迅速扩张,但在管理中由于思想上重业务发展,轻风险管理,导致电子银行业务各项管理制度无法有效地贯彻落实;人员配备上存在不同程度的缩减和削弱,导致电子银行业务管理有心无力,无法保证事后监督、检查的及时性和全面性,电子银行风险处于多发、高发期。
二、信息科技风险防范建议
1.完善信息科技风险管理机制。农金机构要将信息科技风险纳入自身的总体风险框架,有条件的机构应设立信息科技风险管理部门,不具备条件的可授权风险管理部门履行信息科技风险管理职责,分设科技操作和科技风险管理岗位,进行合理的授权,形成有效的监督制约机制。
2.完善信息科技风险内控制度。按照银监会《银行业金融机构信息系统风险管理指引》的要求,对可能出现的管理漏洞和执行不严等问题,查缺补漏,调整优化,严格评估信息安全内控体系的完整性和实施的有效性。同时,对信息科技风险管理制度和操作规程进行梳理和归类,使其具有系统性和可操作性。
3.开展信息科技风险审计。内部审计部门应配备熟悉科技工作的专业人员,根据银监会和内部审计的要求,适时组织开展对辖内机构信息科技风险状况的现场检查,定期对信息科技系统全面性、安全性、完整性和可靠性进行审计和自我评价,全面、深入地反映信息系统的整体状况和主要风险,查找漏洞,确定相应的整改措施。
4.加强员工的培训,防范操作风险。加强对基层员工计算机应用的培训,基层主管和操作人员要严格执行业务设备的操作流程和规章制度,既要防范前台业务操作风险,又要加强后台监督;健全培训机制,通过加大对科技人员的培训力度和频度,社会招聘等方式,积极培养、引进一批优秀的信息科技专业人才,提高信息科技风险防范能力。
5.加强银行卡、POS收单等电子银行业务的风险防范。近几年,电子银行业务风险防范形势较为严峻,犯罪分子利用银行卡、网上银行、ATM、POS等金融机具实施的不法活动日益增加,犯罪手段亦在不断翻新。农金机构要密切关注并采取必要的手段防范可能出现的风险,要加大消费者的风险提示,通过公众金融服务教育和柜面宣传提高消费者的风险意识。一要不断加大技术手段防范,提高网上银行身份认证等级,根据自身业务发展现状和所处地域的金融环境,合理的制定POS、ATM和网上银行的交易限额,并加强对上述渠道的监控监测;二要严禁为推行发卡量、POS机具数量而放松审查,使不法商户编造虚假资料套取银联机具、POS机具异地安装等进行非法套现的行为有可乘之机;三要要充分借助特约商户的力量和社会举报力量,增强风险防范合力。6.做好业务服务连续性工作。加强核心生产系统安全运行管理,要特别重视完善应急管理机制,从物力、人力等各方面做好充分准备,制订、修订突发事件应急处置预案并加以演练,妥善处
置可能发生的各种突发事件,确保农金机构信息系统可靠运行,保障各项业务正常连续运作、提高客户服务水平。
第二篇:农村合作金融机构合规风险管理
合规风险是银行经营面临的主要风险之一,合规风险管理是商业银行一项核心的风险管理活动。农村合作金融机构合规风险管理工作才处于起步阶段,和国有或股份制商业银行相比还存在较大差距,本文对当前农村合作金融机构的合规风险管理存在的问题做出了分析,并提出了加强合规风险管理的对策和建议。
一、合规与合规风险的内涵
“合规”一词在中文词典中找不到有关解释或定义,单从字面上解释,“合”的字义为不违背;“规”的字义为法则,章程,标准,合规也就是合乎规范的含义。2005年4月29日,巴塞尔银行监管委员会发布了《合规与银行内部合规部门》文件。文件引言对“合规风险”的表述为:“合规风险”是指银行因未能遵循法律、监管规定、规则、自律性组织的有关准则,以及实用于银行自身业务活动的行为准则而可能遭受法律制裁或监管处罚、重大财务损失或声誉损失的风险;中国银行业监督管理委员会于2006年11月发布了《商业银行合规风险管理指引》。指引中对合规和合规风险的定义是:“合规”是指商业银行的经营活动与法律、规则和准则相一致。“合规风险”是指商业银行因没有遵循法律、规则和准则可能遭受法律制裁、监管处罚、重大财务损失和声誉损失的风险。
二、当前农村合作金融机构合规风险管理存在的主要问题
近年来,在银监会积极倡导和推动下,包括农村合作合作金融机构在内的广大银行业金融机构启动了合规建设,注重和加强了对合规风险的管理。农村合作金融机构通过合规建设推进年等活动的开展,合规风险管理工作取得了初步成效,表现在合规风险管理的组织架构初步搭建,高级管理层的合规风险意识有所增强,内控合规制度逐步完善,合规文化开始形成。但也不容忽视,农村合作金融机构的合规风险管理工作才刚刚起步,存在着合规风险意识淡薄、管理资源有限人才匮乏、合规部门独立性不强以及合规风险管理有效性差的问题,合规风险管理工作与监管要求、与业务发展需要、与管控风险的需要相比还存在很大差距。
(一)合规风险管理意识淡薄,合规文化缺失。由于管理体制、经营机制和人员素质等方面原因,农村合作金融机构还处于过去传统的经营和管理模式中,从高级管理层的高管人员到分支机构的一般操作柜员,对合规风险的理解还存在模糊,“合规从高层做起”、“全员主动合规”、“合规人人有责”、“合规创造价值”等先进的合规理念还没有得到深入贯彻,没有自觉地把合规风险当做一项重要风险源去管控,合规风险管理工作的主动性和积极性不高。
(二)合规管理力量不强。一是大部分农村合作金融机构未按照《商业银行合规风险管理指引》的要求成立专职的合规风险管理部门,合规风险管理工作仍由风险管理、审计稽核或监察保卫等部门承担;二是从事合规风险管理工作的人员较少,管理力量单薄,表现在合规管理部门专职管理人员达不到要求,分支机构层级设置的合规风险管理岗位多数为兼职;三是农村合作金融机构配备的合规管理人员大多是信贷、审计、监察等部门中的岗位轮换人员,未接受过合规风险管理的专业学习与培训,缺乏合规管理应具备的水平、资质、经验和能力。
(三)合规管理工作的独立性不够。表现在农村合作金融机构合规风险管理部门和管理人员的定位不准,职责不清晰,合规风险管理部门只是充当了业务部门、审计稽核部门等防范操作风险的一个“替补”(身份),所从事的工作只限于在制定制度、参加内部审计检查、信贷责任认定、反洗钱等方面。由于机构设置、人力资源等方面的条件限制,农村合作金融机构业务条线管理部门和分支机构层级的合规管理岗位人员多为兼职,集“运动员”与“裁判员”于一身,自身仍参与操作与经营,形成了经营者对自己经营合规性进行监督的局面,合规风险管理的独立性大打折扣,难以发挥合规风险管理的职能作用。
(四)合规风险管理的有效性较差。一是目前农村合作金融机构合规管理的实质性功能尚不具备,独立于其他检查的合规风险检查机制尚未建立,独立检查尚未开展,合规风险管理部门组织开展的专项合规检查较少,对一些违法、违规问题的调查受到所属业务部门或机构负责人的干扰或影响,达不到合规风险管理职责的要求;二是农村合作金融机构对合规风险管理技术的认识和应用尚在起步阶段,合规风险管理的方法与手段落后,有关合规风险管理的识别、监测、计量、控制技术严重缺乏,远达不到监管要求;三是合规风险管理部门与业务、审计稽核、风险管理和监察等部门尚未形成资源信息共享、沟通合作、协同配合的机制。
三、农村合作金融机构合规风险管理的建议和对策
(一)进一步完善合规风险管理体系框架建设,建立独立高效的合规风险管理组织体系。农村合作金融机构要结合其经营范围、组织结构和业务规模,成立专司合规风险管理工作的部门,配备相应的管理力量,有条件的地方可将合规管理的组织架构铺设到分支机构等业务经营的一线,设置合规管理的专门岗位,配备专门的管理人员,独立于所在经营机构和经营的业务,彻底改变由经营者对自己经营的合规性进行自我监督的现状。同时,把稽核审计部门的职责扩展至合规风险管理的审计,由审计稽核部门对合规风险管理职能的履行情况、适当性和有效性进行监督。
(二)完善合规风险管理的技术与手段。科技进步是推进合规风险管理长效机制建设的重要途径,农村合作金融机构应改进合规风险管理的方法、技术和手段,在进一步完善核心业务系统、信贷管理系统和财务管理系统的基础上,适时引进或开发合规风险管理技术系统,可考虑借鉴国有或股份制商业银行合规风险管理的先进技术手段,提高合规风险管理的技术含量,运用科技手段对合规风险进行识别、计量和监测,及时发现合规风险线索,完善合规管理工作程序,提规合规风险管理的有效性。
(三)加快合规风险管理队伍建设。一是在现有员工中选拔懂得金融、财务、会计、法律等知识的专业人才,充实到合规风险管理岗位,鼓励现有在岗人员通过自学、培训等途径提升素质;二是招聘具有国家法律职业资格、企业法律顾问执业资格的专业人才,为合规风险管理培养后备力量;三是选拔派遣骨干力量到国有商业银行、股份制商业银行合规管理部门挂职或进修,学习他行先进的合规管理经验,并进行严格的考核;四是和监管部门实行互动和对接,参与监管部门的合规风险检查,分享监管现场检查重大案例信息,提升农村合作金融机构合规管理人员的资质、经验、专业技能和个人素质;五是加大省级联社等行业管理机构对合规风险管理的指导与培训力度,拓宽培养合规风险管理人才的途径,造就一批活跃在法人行社的合规风险管理队伍,为农村合作金融机构合规风险管理提供组织和智力上的保证。
(四)培育良好的合规风险文化。健康向上的合规风险文化是商业银行实现有效合规风险管理的基础保障。农村合作金融机构需采取多种手段加强合规风险管理知识教育和技能培训,加大合规宣传力度,倡导和强化全员合规风险意识,树立诚信与正直的价值观念,让员工充分认识自己是合规操作和管理的第一责任人,坚持合规操作和管理是每个部门、每位员工的神圣职责,让每位员工都自觉养成按章办事、遵纪守规的良好习惯,杜绝有章不偱、违规操作的现象,逐步树立起良好的合规风险控制文化。
四、结论
当前形势下,农村合作金融机构合规建设任重道远,只有结合农村合作金融机构的体制改革和经营机制的完善,进一步加强合规风险管理工作,才能适应新形势下业务发展和风险管控的需要,实现农村合作金融机构的可持续发展。
第三篇:IT系统信息安全风险不容忽视
IT系统信息安全风险不容忽视
【编者按】2011年至今,广东银监局共组织实施信息科技现场检查17次,发现辖内机构IT风险点120处,提出整改建议83条,通过督促整改,消除了一批风险隐患,降低了风险水平。辖内16家接受评级的法人机构2011信息科技风险评估结果显示,三级以上的机构增至14家,机构IT风险管理能力已有改观。但从今年的IT风险现场检查情况看,在风险水平总体下降的同时,辖内银行业金融机构信息安全风险管控状况不尽理想,仍需进一步改善。
一、银行业机构信息安全管理力度不足、风险隐患突出 2012年7月份以来,广东银监局组织了9场次信息科技风险现场检查,从检查情况看,辖内机构在信息安全管理方面存在的问题不容忽视:
(一)对核心信息的管控强度不足、控制结构混乱。检查发现:被查机构对应用系统源代码审核基本都不落实,显然“招行成都分行网银案”(代码漏洞)风险警示未被足够重视;多家机构对重要系统备份介质保管未实施双重控制,甚至有机构将电子银行系统关键密钥交由单人保管;网上银行客户端安全性保护未能达到《网上银行系统信息安全通用规范》(国标)要求;核心网络设备、运行管理系统等重要部件由多人共同使用超级用户;部分机构核心系统中,uucp、nfs等敏感闲臵用户未作删除,理论上有被利用于非法入侵可能;在对某机构测试环境检查时发现测试数据库中的海量生产数据未完全脱敏,且客户机可下载数据表,说明机构对敏感信息的控制强度不足。
(二)对银行终端设备管理较为松懈。中资机构对桌面系统、客户机的安全管理较松懈,基本没有效实施简约客户机模式。如工行、农行近年在改造桌面系统、限制移动接口等方面做过一些尝试,但从高层到普通员工的认同度都不高,至今难于推行,而内网客户机功能过强是很明显的风险点;在银行桌面系统中允许使用移动存储介质是普遍现状,而屏幕摄录日志并未覆盖所有内网机器;另外,大部分机构对内外网交叉连接也未实施有效限制。
(三)信息安全管理制度不全或执行不到位。今年7月,我局检查组在对某城商行现场检查中抽查了银行卡制卡机、后台权限管理客户机各一台,发现:(1)制卡机中存放有2000余条完整的客户制卡明码信息,如果外泄,有可能造成该行银行卡被批量克隆的严重后果,而监管部门之前的风险提示与整改建议未被认真对待;(2)后台管理客户机中有约20张账号、户名、印章齐全的高清支票照片,存在客户机中已超过一年,如外流,将直接威胁客户的账户安全。查阅该行数据管理制度未见有对上述类型信息作存期、获取、使用、销毁等限制性规定内容。
(四)信息安全控制措施的有效性存在疑问。某小型银行虽对内网机器作了移动接口监视,但未对移动存储介质带离银行进行严格管束,也未见该行有定期检查移动介质内容的记录或制定相关审核管控制度,管控方式存在漏洞,易于造成涉密信息外流。如:通过更改客户机、移动介质中的信息变动痕迹,即可使内网监视软件对信息流向的追踪失去目标、形同虚设。此外,对多家中小银行的检查显示,机构对客户机系统软件的安全控制一般只做到黑名单管理层面,未发现有采用更有效的白名单管理模式。
(五)外包流程可能产生信息安全风险隐患。小型机构对外包依赖性较强,但对外包的风险控制措施不到位。广东省局对多家中小型机构的现场检查发现,项目建设期间,外包方人员几乎掌握应用项目的所有信息,并被赋予很高的系统权限,外包协议规定外包商拥有项目建设的关键文档、参数、应用代码等核心信息,并可随时利用开发设备等完整带离机构。这种合作方式有形成“韩国农协行式信息科技风险”隐患可能。
(六)高管层对信息安全风险管控的认知不足。从访谈信息看,辖内银行业机构大部分CIO在信息安全风险识别、监测、控制等方面自我感觉良好,认为本机构信息安全不存在较大问题。但将现场检查、巡查、调查发现的信息对照《广东省银行业金融机构信息科技风险管理指导意见》要求的比较结果表明,当前在任CIO在知识背景、战略意识、对IT风险的认识深度、对监管法规的了解、所主持建立的IT风险防范措施有效性以及与监管部门的沟通能力等方面均存在差距,管理层的引领能力不尽理想。
二、信息安全管理风险突出的原因
(一)高层对信息科技风险管理定位不明确,导致资源配备错位。表现为:认为信息安全管理是科技部门的工作,将科技部门视为信息安全风险的主要管理者,既负责制度制定也负责执行、监督,信息安全风险责任由IT部门兜底;在部分设臵了CIO的机构,也因各种原因未能充分体现其作用。被查机构IT人力资源相对缺乏的现象普遍存在,IT员工比例基本都在5%以下,部分机构甚至不能确保基本的岗位配备需要,致使信息安
全岗位、人员的安排被忽视。
(二)内控系统不完善是引发信息安全问题的重要原因。机构高层对信息安全风险认识程度不够,没有采取恰当的风险管理战略,鲜有通过充分宣传、教育引导全员提高信息安全意识,形成健康的信息安全环境的行为,以致员工不清楚、不了解信息安全的含义,息安全意识淡薄,缺乏对信息安全风险的敏感性(客户机长期大量存放涉密信息可能导致其外泄等事实说明这一现象严重);另外,内部管理制度、控制措施不完善或不适当,不能充分识别信息安全风险或及时发现、消除、有效控制风险点;内部信息交流不充分,监督纠偏制度不落实,信息安全责任不明确等也是较普遍的现象。
(三)过度依赖外包商导致银行机构未能主动控制外包风险。部分机构认为出现设备、系统故障时可由外包商解决,而对外包商是否能及时、恰当解决问题或最大程度避免安全问题的出现认识不足,导致了对外包商选择、设备选型方面出现缺乏充分论证,流程不规范、对信息安全保护考虑不周的行为;此外,中小机构内部人员对核心系统的掌控能力不足,不得不向外包单位开放更高的系统控制权限,这也可能招致信息安全风险问题。当前,外包监管法规主要作粗线条规定,机构不易直接参照,致其内部制度难以清晰界定如何识别外包风险程度、范围是外包流程管理中风险控制被动的另一原因。
(四)法规支撑力度较弱,影响信息科技监管的有效性。首先,因当前信息科技风险监管因素基本不影响其考核、评级,银行业机构往往将IT监管行为视为“免费体检”,消极应付。对监管意见的执行较随意,不利于IT风险管理环境的改善和整
体风险水平的降低,使信息科技风险监管的作用大打折扣;其次,对信息安全设施、控制措施的审查未予以足够重视,深层次的银行核心信息系统安全与风险控制能力审核、评估过程更未出现在准入流程之列。
三、对策建议
(一)督促机构管理层正视信息科技风险管理。一是建议监管部门定期剖析、通报典型案例,必要时要求机构针对案例进行专项对照自查并提交报告;二是由监管部门负责人对发生信息科技风险事件的、在现场检查中被发现存在重大风险隐患的机构进行点名、警示,对机构管理层形成一定压力,促使其正视信息科技风险的防范;三是将信息科技风险管理评级结果作为机构高管履职评价的参考要素,务使管理层负起IT风险管理第一责任;四是对信息安全内部管理多次出现问题的机构,可考虑调降其内部控制评价等级,提高对其IT风险现场检查的频度;五是可考虑提升监管法规层次,加强监管约束,对IT风险相关内部控制结构混乱,制度无效或有章不循的现象以违规论处。
(二)强化内部控制,管控信息安全内部风险。信息系统已成为银行业重要生产平台,IT风险是很明确的新型风险,机构内部控制系统必需能对其充分识别与控制,防范信息安全风险应作为IT风险相关内控制度建设的基础。一是管理层应走出将信息安全管理认为是科技部门工作的误区,厘清信息安全风险管理边界,通过宣传、教育引导全员提高信息安全意识,形成健康的信息安全环境,使所有员工都了解信息安全的重要性,强化信息安全意识,提高对信息安全问题的敏感性;二是健全
内部管理制度与措施,充分识别并控制信息安全风险,明确信息安全管理责任,通过适当的内部控制结构、管理行为及时发现、有效控制、消除信息安全风险点;三是疏通内部信息交流渠道,加强部门交流、上下层级交流、内部审计与纵向、横向监督,确保管理层及时了解信息安全风险状况,落实纠偏制度。
(三)完善外包法规,防范信息安全外部风险。当前外包相关监管法规、文件对核心技术掌控、信息安全控制等关键事项的规定有待进一步细化。一是考虑加大对设备厂商和外包商风险事件的通报力度。由银监会或各监管局对信息系统风险事件涉及的设备厂商、设备型号、外包商进行定期通报,加强风险警示,督促厂商、外包商提高质量,与银行业机构共同缓释、控制风险。二是考虑增加对应用系统外包的安全控制条款。大型银行应用系统建设中,由科技人员分组管理局部模块,内部人员共同控制应用系统集成,不允许外包商掌握整体应用的做法是适当的风险控制方式。可参照这种思路,细化外包管理法规,如规定:系统模块、总集成管理边界;系统权限、关键信息控制方式;对外包软件开发中使用的设备、移动介质,以及数据脱敏、利用、存储、转移,销毁等进行管制;强制性代码审核要求等信息安全保护条款。三是考虑设定监管部门对外包商实行延伸检查的授权程序。外包商财务变化、人员变动、责权利不明确等因素,容易给银行信息系统管理带来风险。目前监管部门缺乏对外包商的延伸检查手段,不利于全面监测和管控信息科技风险,建议以部门规章形式设定信息科技监管部门对银行业IT外包商的延伸检查权,以进一步提高监管的有效性。
第四篇:银行业金融机构信息科技外包风险监管指引
中国银行业监督管理委员会
银监发[2013]5号
中国银监会关于印发银行业金融机构信息科技外
包风险监管指引的通知
各银监局,各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司,邮储银行,各省级农村信用联社,银监会直接监管的信托公司、企业集团财务公司、金融租赁公司:
现将《银行业金融机构信息科技外包风险监管指引》印发给你们,请遵照执行。
2013年2月16日
银行业金融机构信息科技外包风险监管指引
第一章 总则
第一条
为规范银行业金融机构的信息科技外包活动,降低信息科技外包风险,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规,制定本指引。
第二条
在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省(自治区)农村信用社联合社适用本指引。银监会监管的其他金融机构参照本指引执行。第三条
本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为,包含项目外包、人力资源外包等形式。原则上包括以下类型:
(一)研发咨询类外包:科技管理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包;
(二)系统运行维护类外包:包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包;
(三)业务外包中的信息科技活动:市场拓展、业务操作、企业管理、资产处臵等外包中的系统开发、运行维护和数据处理活动。
第四条
本指引所称关联外包是指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构提供信息科技外包。
第五条
信息科技外包可能产生如下风险,并导致银行业金融机构的战略、声誉、合规风险:
(一)科技能力丧失:银行业金融机构过度依赖外部资源导致失去科技控制及创新能力,影响业务创新与发展;
(二)业务中断:支持业务运营的外包服务无法持续提供导致业务中断;
(三)信息泄露:包含客户信息在内的银行业金融机构非公开数据被服务提供商非法获得或泄露;
(四)服务水平下降:由于外包服务质量问题或内外部协作效率低下,使得银行业金融机构信息科技服务水平下降。
第六条
本指引所称机构集中度风险是指银行业金融机构将信息科技外包服务集中交由少量服务提供商承接而产生的风险,该风险可能造成集中性的服务中断、质量下降、安全事件等。
第七条
本指引所称同业托管机构是指作为外包服务提供商为其他同行业金融机构提供信息科技外包服务的银行业金融机构。
第八条
银行业金融机构应当将信息科技外包管理纳入全面风险管理体系,建立与本机构信息科技战略目标相适应的外包管理体系,控制或降低由于外包而引发的风险。
第九条
银行业金融机构应当建立信息科技外包管理组织架构,制定外包管理战略,定期进行外包风险评估,通过服务提供商准入、评价、退出等手段建立及维护符合自身战略目标的供应商关系管理策略。
第十条
银行业金融机构在实施信息科技外包时应当坚持以下原则:
(一)以不妨碍核心能力建设、积极掌握关键技术为导向;
(二)保持外包风险、成本和效益的平衡;
(三)强调外包风险的事前控制,保持管控力度;
(四)根据外包管理及技术发展趋势,持续改进外包策略和措施。
第十一条
银行业金融机构在实施信息科技外包时,不得将信息科技管理责任外包。
第十二条
对于不涉及银行客户及内部信息转移的信息科技产品采购、维保,及通讯线路租用、支付或清算系统接入等信息科技公共基础设施服务,银行业金融机构应当充分评估其信息科技风险,按照本指引第五章要求进行管理。
第二章 外包管理组织架构
第十三条
银行业金融机构董事会及高级管理层应当严格落实信息科技外包风险管理的相关职责, 明确信息科技外包风险管理的主管部门,制定并审批信息科技外包战略,审议信息科技外包管理流程及制度,督促并监控信息科技外包风险管理效果。
第十四条
信息科技外包风险主管部门的主要职责包括:
(一)对外包风险进行识别、评估与风险提示;
(二)监督、评价外包管理工作,并督促外包风险管理的持续改善;
(三)向高级管理层定期汇报信息科技外包活动相关风险管理情况;
(四)董事会或高级管理层确定的其他信息科技外包风险管理职责。
第十五条
银行业金融机构应当在信息科技管理部门或信息科技外包活动执行部门内建立信息科技外包管理执行团队,并配备足够人员履行以下职责:
(一)实施信息科技外包战略;
(二)制定并执行信息科技外包管理制度与流程;
(三)执行供应商准入、评价、退出管理,建立并维护供应商关系管理策略;
(四)制定保障外包服务持续性的应急管理方案,并组织实施定期演练;
(五)对外包过程中的各项管理活动进行监控及分析,定期向信息科技及外包风险管理主管部门报告外包活动情况。
第三章 信息科技外包战略及风险管理
第一节 信息科技外包战略
第十六条
银行业金融机构应当以提升信息科技队伍能力,提高科技管理及创新水平,掌握信息科技核心技能为目标,基于信息科技战略、外包市场环境、自身风险控制能力和风险偏好制定信息科技外包战略,包括:不能外包的职能、资源能力建设方案、供应商关系管理策略和外包分级管理策略。
第十七条
银行业金融机构应当根据自身信息科技战略明确不能外包的职能。涉及战略管理、风险管理、内部审计及其他有关信息科技核心竞争力的职能不得外包。第十八条
银行业金融机构应当根据外包战略制定资源、能力建设方案,通过补充人员、提升技能、知识转移等方式,有针对性地获取或提升管理及技术能力,降低对服务提供商的依赖。
第十九条
银行业金融机构应当建立与自身规模、市场地位相适应的供应商关系管理策略。通过准入和退出机制合理管控各类高风险服务提供商的数量,实现以下目标:防范行业垄断和机构集中度风险,通过引入适当的竞争在降低采购成本的同时提高服务质量,合理管控服务提供商的数量从而降低风险及管理成本等。
第二十条
银行业金融机构可以按照外包服务性质和重要性程度对服务提供商进行分级管理,对不同级别的服务提供商采取差异化的管控措施,在有效管理重要风险的前提下降低管理成本。
第二十一条
银行业金融机构要同母公司或集团公司协同做好外包服务及服务提供商的管理工作,但应当保持关联外包有关决策的独立性,避免因关联关系而降低外包活动的风险控制水平。
第二节 信息科技外包风险管理
第二十二条
银行业金融机构信息科技外包风险管理部门应当至少每年开展一次全面的外包风险管理评估,保持评估的独立性,并向高级管理层提交评估报告。评估内容包括:信息科技外包战略执行情况、外包信息安全、机构集中度、服务连续性、服务质量、政策及市场变化对外包服务的影响分析等。
第二十三条
银行业金融机构应当对重要的外包服务提供商进行定期的风险评估,保持评估的独立性。至少在三年内覆盖所有重要的服务提供商。评估内容包括:服务提供商合规情况、服务的执行效果等,评估结果应当作为服务提供商准入及退出的重要依据。
第二十四条
银行业金融机构内部审计部门应当定期开展信息科技外包风险管理审计工作,至少每三年对重要的外包服务活动进行一次全面审计。发生外包风险事件后应当及时开展专项审计。
第四章 信息科技外包管理
第一节 外包风险评估及准入
第二十五条
外包项目立项前,银行业金融机构应当审慎检查项目与信息科技外包战略的一致性,根据项目内容、范围、性质对其进行风险识别和评估,制定相应的风险处臵措施,不因外包活动的引入而增加整体剩余风险。重大外包项目应向董事会、高管层报告。
第二十六条
银行业金融机构应当根据供应商关系管理策略,结合风险评估结果及服务提供商的准入标准,对备选服务提供商进行初步筛选,防范引入高机构集中度风险特点的服务提供商、或引入增加整体风险的服务提供商。
第二十七条
对于外包服务提供商为同业托管机构的情况,银行业金融机构可参照本节内容对其进行管理。
第二节 服务提供商尽职调查
第二十八条
对重要的服务提供商,银行业金融机构在与其签订合同前应当深入开展尽职调查,必要时可聘请第三方机构协助调查。
第二十九条
银行业金融机构在尽职调查时应当关注服务提供商的技术和行业经验,包括但不限于:服务能力和支持技术、服务经验、服务人员技能、市场评价、监管评价等。
第三十条
银行业金融机构在尽职调查时应当关注服务提供商的内部控制和管理能力,包括但不限于:内部控制机制和管理流程的完善程度、内部控制技术和工具等。
第三十一条
银行业金融机构在尽职调查时应当关注服务提供商的持续经营状况,包括但不限于:从业时间、市场地位及发展趋势、资金的安全性、近期盈利情况等。
第三十二条
对于关联外包,银行业金融机构不得因关联关系而降低对服务提供商的要求,应当在尽职调查阶段详细分析服务提供商技术、内控和管理水平,确认其有足够能力实施外包
服务、处理突发事件等。
第三十三条
对于外包服务提供商为同业托管机构的情况,银行业金融机构可参照本节内容对其进行管理。
第三节 外包服务合同及要求
第三十四条
银行业金融机构在实施外包服务项目前,应当与服务提供商签订服务合同。合同应当根据外包服务需求、风险评估及尽职调查结果确定详细程度和重点。
第三十五条
银行业金融机构在合同或协议中应当明确以下内容,包括但不限于:
(一)服务范围、服务内容、工作时限及安排、责任分配、交付物要求以及后续合作中的相关限定条件;
(二)合规与内控要求,对法律法规及银行业金融机构内部管理制度的遵从要求、监管政策的通报贯彻机制、服务提供商的内控措施;
(三)服务连续性要求,服务提供商的服务连续性管理目标应当满足银行业金融机构业务连续性目标要求;
(四)银行业金融机构监控和检查的权利、频率,服务提供商配合其内、外部审计机构检查,及配合银行业监管机构检查的责任;
(五)政策或环境变化因素等在内的合同变更或终止的触发条件,外包服务提供商在过渡期间应该履行的主要职责及合同变更或终止的过渡安排,包括信息、资料和设施的交接处臵等过渡期间相关服务的安排;
(六)外包服务过程中产生、加工、交互的信息和知识产权的归属权以及允许服务提供商使用的内容及范围,对服务提供商使用合法软、硬件产品的要求;
(七)服务要求或服务水平条款,至少应当包括如下内容:外包服务的关键要素、服务时效和可用性、数据的机密性和完整性要求、变更的控制、安全标准的遵守情况、技术支持水平等;
(八)争端解决机制、违约及赔偿条款,至少包括如下内容:服务质量违约、安全违约、知识产权违约等,及在各种违约情况下的赔偿以及外包争端的解决机制;
(九)报告条款,至少包括常规报告内容和报告频度、突发事件时的报告路线、报告方式及时限要求。
第三十六条 银行业金融机构应当在合同或协议中明确服务提供商在安全和保密方面的责任,以及针对安全及保密要求需采取的具体措施。包括但不限于:
(一)禁止服务提供商在合同允许范围外使用或者披露银行业金融机构的信息,以防止信息被非授权使用;
(二)在合同或协议中约定服务提供商对银行客户信息安全和银行客户权利的保护条款、事故处理方式及违约赔偿条款;
(三)在合同或协议中约定服务提供商不得以所服务的银行业金融机构名义开展活动;
(四)服务提供商接触银行业金融机构信息时,需满足安全和保密相关条款的要求;
(五)在发生银监会规定的信息科技突发事件,或发生可能引发系统性、区域性银行业信息科技风险类突发事件时,服务提供商应及时向银行业金融机构报告,包括事件的影响以及处臵
和纠正措施。
第三十七条
银行业金融机构应当在合同或协议中明确要求服务提供商不得将外包服务转包和变相转包。在涉及外包服务分包时应当要求:
(一)不得将外包服务的主要业务分包;
(二)主服务提供商对服务水平负总责,确保分包服务提供商能够严格遵守外包合同或协议;
(三)主服务提供商对分包商进行监控,并对分包商的变更履行通知或报告审批义务。
第四节 外包服务安全管理
第三十八条
银行业金融机构应当制定和落实信息安全管控措施,防范因外包活动引起的信息泄露、信息篡改、信息不可用、非法入侵、物理环境或设施遭受破坏等风险。具体措施包括:
(一)对外包人员进行信息安全培训,提高风险管理意识,确保信息安全管控措施在外包服务过程中有效落实;
(二)明确外包活动需要访问或使用的信息资产,包括场地、办公设施、计算机、服务器、软件、数据、信息、物理访问控制设备、账号、网络宽带、网络端口等,按“必需知道”和“最小授权”原则进行访问授权;
(三)对重要或核心的信息系统开发交付物进行源代码检查和安全扫描;
(四)定期对服务提供商进行安全检查,获取服务提供商自评估或第三方评估报告。
第三十九条
银行业金融机构对关联外包服务提供商定期进行的安全检查,不得以服务提供商的自评估替代,不得因关联关系而影响检查的独立性、客观性及公正性。
第四十条
银行业金融机构应当关注外包服务引入的新技术或新应用对现有治理模式及安全架构的冲击,及时完善信息安全管控体系,避免因新技术或应用的引入而增加额外的信息安全风险。
第五节 外包服务监控与评价
第四十一条
银行业金融机构应当对外包服务过程进行持续监控,要求服务提供商建立阶段性服务目标及任务,并跟踪任务的执行情况,及时发现和纠正服务过程中存在的各类异常情况。
第四十二条
银行业金融机构应当根据信息科技外包需求、合同、服务水平协议等建立明确的服务质量监控指标,并进行相应监控。常见指标包括:
(一)信息系统和设备及基础设施的可用率、设备的开机率;
(二)故障次数、故障解决率、故障的响应时间;
(三)服务的次数、客户满意度;
(四)各阶段业务需求的及时完成率、程序的缺陷数、需求变更率;
(五)外包人员工作饱和率、外包人员的考核合格率。
第四十三条
银行业金融机构应当建立明确的服务目录、服务水平协议以及服务水平监控评价机制,并确保外包服务监控基础数据和评价结果的真实性和完整性,且数据至少需保存到服务结束后一年。
第四十四条
银行业金融机构应当对服务提供商的财务、内控及安全管理进行持续监控,关注其因破产、兼并、关键人员流失、投入不足和管理不善等因素引发的财务状况恶化及内部管理混乱等情况,防范外包服务意外终止或服务质量的急剧下降。
第四十五条
银行业金融机构监控到异常情况时,应当及时督促服务提供商采取纠正措施,情节严重的或未及时纠正的,应当约谈服务提供商高管人员并限期整改。
第四十六条
外包服务结束时,银行业金融机构应当对服务提供商进行评价,评价结果应当作为服务提供商准入的重要参考依据。
第四十七条
对于关联外包,银行业金融机构董事会及高级管理层应当推动母公司或所属集团将外包服务质量纳入对服务提供商的业绩评价范围,建立外包服务重大事件问责机制。同时,应当要求服务提供商在其内部建立与外包服务水平相关的绩效考核机制。
第六节 外包服务中断与终止
第四十八条
银行业金融机构应当考虑信息科技外包的引入对业务连续性管理的影响,有针对性地完善业务连续性管理计划,包括但不限于:
(一)识别出重要业务所涉及的服务提供商和资源;
(二)通过合同、协议等形式明确要求服务提供商提前准备并维护好相关资源;
(三)对服务提供商业务连续性管理进行监控,并评价其管理水平;
(四)在进行业务连续性计划演练时将相关的服务提供商纳入演练范围。
第四十九条
为降低外包突发事件的可能性及影响,银行业金融机构应当事先对业务连续性管理造成重大影响的外包服务建立风险控制、缓释或转移措施,包括但不限于以下内容:
(一)在外包服务实施过程中持续收集服务提供商相关信息,尽早发现可能导致服务中断的情况;
(二)与服务提供商事先约定在其服务质量不能满足合同要求的情况下获取其外包服务资源的优先权;
(三)要求服务提供商制定服务中断相关的应急处理预案,如提供备份人员;
(四)对于涉及重要业务的外包服务,银行业金融机构需考虑预先在其内部配臵相应的人力资源,掌握必要的技能,以在外包服务中断期间自行维持最低限度的服务能力。
第五十条
银行业金融机构应当针对重要外包服务中断的场景,拟定相应的应急计划,并定期进行演练,考虑因素包括但不限于以下内容:
(一)事件场景,如重要人员流失导致服务无法持续,服务提供商主动退出,因资质变更、被收购、兼并或破产等原因导致的服务提供商被动退出等;
(二)事件持续时间和恢复可能性;
(三)事件影响范围和可能的应急措施;
(四)服务提供商自行恢复服务的可能性和时间;
(五)备选的服务提供商以及外包服务迁移方案;
(六)外包服务过渡给银行业金融机构自行运作的可能性、时效及资源需求。
第五十一条
对于无法满足外包服务要求或发生重大事件的情况,银行业金融机构应当在充分评估其影响及制定退出计划的前提下,考虑主动要求服务提供商终止服务,情节特别严重的,可考虑取消准入资质,并报监管机构申请对其备案。对于关联外包,银行业金融机构不得因为关联关系而影响服务提供商退出机制的落实。
第五章 机构集中度风险管理
第五十二条
银行业金融机构应当依据服务提供商所承接外包服务的数量、金额在本行重要信息科技服务中的占比,服务提供商所承接外包服务在银行业服务市场占比情况,识别具有机构集中度特点的外包服务提供商。同时,还应识别服务提供商之间为集团子公司、关联公司或附属机构所产生的机构集中度风险。
第五十三条
银行业金融机构应当积极采用分散信息科技外包活动、提高自主研发运行能力等形式,降低机构集中度,减少对外包服务提供商的依赖。
第五十四条
银行业金融机构应当要求具有机构集中度特点的外包服务提供商提供充分的证据,证明其内部控制和管理能力、持续运营能力等。
第五十五条
银行业金融机构应当要求具有机构集中度特点的外包服务提供商为银行业金融机构配备相对独立的资源,包括服务团队、场地、系统、设备等;并对资源进行定期检查,确保资源及时到位。
第五十六条
银行业金融机构应当要求具有机构集中度特点的外包服务提供商在外包服务中断应急预案中,明确外包服务的优先级,并进行服务中断应急演练,服务提供商应当至少参与服务交接、敏感信息处臵等演练过程。
第五十七条
银行业金融机构应当特别加强对具有机构集中度特点的外包服务提供商的财务、内控、安全管理情况的持续监控,建立信息收集机制,及时掌握风险事件情况,防范外包服务意外终止或服务质量急剧下降对本机构产生大面积影响。
第五十八条
银行业金融机构应当对具有机构集中度特点的外包服务提供商增强监督频率与力度,必要时可指派专人进行现场监督。
第五十九条
对于具有机构集中度特点的外包服务提供商为同业托管机构的情况,银行业金融机构可参照本节内容对其进行外包管理。
第六章 跨境及非驻场外包管理
第一节 跨境外包风险管理
第六十条
跨境外包是指在境外其他国家或地区实施的信息科技外包服务活动。
第六十一条
跨境外包除具有本指引前述风险外,还包括由于某一国家或地区经济、政治、社会变化及事件而产生的国别风险,及由于外包实施场地远离银行业金融机构而产生的非驻场风险。
第六十二条
银行业金融机构应当充分了解并持续监控服务提供商所在国家或地区状况,通过建立业务连续性计划防范跨境外包所带来的国别风险。
第六十三条
银行业金融机构应当关注国外法律法规、监管要求对其获取服务提供商外包管理信息可能造成的影响。实施跨境外包应当以不妨碍银行业金融机构有效履行外包服务监控管理职能及监管机构延伸检查为前提。
第六十四条
银行业金融机构在选择跨境外包时,应当明确其所在国家或地区监管当局已与银监会签订谅解备忘录或双方认可的其他约定。
第六十五条
银行业金融机构在选择跨境外包时,还应当充分审查评估服务提供商保护客户信息的能力,并将其作为选择服务提供商的重要指标。涉及客户信息的跨境外包,应当在符合监管法规政策并获得客户授权的前提下开展。
第六十六条
银行业金融机构在实施跨境外包时,其合同应当包括法律选择和司法管辖权的约定,明确争议解决时所适用的法律及司法管辖权,原则上应当要求服务提供商依照中国的法律解决纠纷。
第二节 非驻场外包风险管理
第六十七条
非驻场外包是指服务提供商不在银行业金融机构现场提供服务的外包形式。由于银行业金融机构不能对其内部控制及风险管理措施进行直接管控,应当在信息安全、知识产权保护、质量监控、法律合规等方面加强对服务提供商的风险管理。
第六十八条
银行业金融机构应当建立针对非驻场外包服务的内部控制及风险管理要求的最低标准,该标准应当作为选择服务提供商的最低要求。
第六十九条
银行业金融机构应当对重要的非驻场外包服务进行实地检查。实地检查原则上一年不少于一次,检查结果作为外包服务提供商项目考核及准入的重要指标。
第七十条
银行业金融机构应当加强对外包服务提供商非驻场外包服务内部控制、质量管理、信息安全的有效性评估,评估结果作为供应商准入的重要依据。对于高风险的服务提供商,银行业金融机构应当责令其进行限期整改,对于逾期未改的服务提供商应当暂停或取消其服务资格。
第七十一条
对于非驻场外包服务提供商为同业托管机构的情况,银行业金融机构可以参照本节内容对其进行外包管理,但同业托管机构须将为其他同行业金融机构提供的信息科技外包服务视同自身信息科技服务的重要组成部分,不得区别对待,降低对自身提供外包服务的风险管控水平。
第七章 银行业重点外包服务机构风险管理要求
第七十二条
银行业重点外包服务机构是指集中为银行业金融机构提供外包服务,同时满足下述条件,如其外包服务失败可能导致银行业大面积数据损毁、丢失、泄露或信息系统服务中断,造成经济损失的机构,具体条件如下:
(一)承担集中存贮客户数据的业务交易系统外包服务;或承担银行业金融机构客户资料、交易数据等敏感信息的批量分析或处理服务;或承担银行业金融机构数据中心、灾备中心机房及基础设施外包服务;且上述服务均为非驻场外包服务。
(二)服务的法人银行业金融机构数量、服务合同金额占有本服务领域市场份额的三分之一以上;或服务的跨区域经营法人银行业金融机构数量达到3家或以上;或服务的其他类型法人银行业金融机构数量达到10家或以上。
第七十三条 银行业金融机构应当根据监管机构发布的银行业重点外包服务机构风险提示,按照如下要求进行管理:
(一)银行业重点外包服务机构应当是中华人民共和国境内注册的独立法人实体,注册资本和实收资本不少于1000万,注册成立时间不少于3年。
(二)银行业重点外包服务机构应当拥有健全的组织架构,并针对所提供的外包服务建立有效的风险治理架构,至少应当建立由公司高级管理层直接领导、针对银行业金融机构外包服务的、专职信息科技风险管理团队,为持续的外包服务提供保证。
(三)银行业重点外包服务机构应当建立与所承担的服务范围和规模相适应的服务管理体系,建立完善的信息安全、服务质量、服务持续性等管理制度体系,拥有有效的检查、监控和考核机制,确保管理规范有效执行。
(四)银行业重点外包服务机构应当具有足够的技术能力、人力资源和设施、环境,满足外包服务的质量和安全管理要求。银行业重点外包服务机构承担的银行业金融机构外包服务场地应当设臵在中国境内。第七十四条
银行业金融机构应当要求银行业重点外包服务机构具有如下相关领域资质认证:(一)具有完善的信息安全管理体系、业务连续性管理体系,并通过业界公认较为权威的信息安全管理和业务连续性管理资质认证。
(二)具有完善的质量管理体系,并通过业界公认较为权威的质量管理资质认证。
(三)承担银行业金融机构数据中心、灾备中心机房及基础设施外包服务的银行业重点外包服务机构,其机房及基础设施应当达到国家电子计算机机房最高标准。
(四)承担集中存贮客户数据的业务交易系统外包服务,或承担银行业金融机构客户资料、交易数据等敏感信息的批量分析或处理服务的银行业重点外包服务机构,应当具有完善的运行服务管理体系,并通过业界公认较为权威的运行服务管理资质认证。
第七十五条
银行业金融机构应当在风险管理、审计方面对银行业重点外包服务机构提出如下要求:
(一)银行业重点外包服务机构应当具有信息科技风险的管理体系,有效识别、监测、评估和控制风险。银行业重点外包服务机构应当至少每季度向所服务的银行业金融机构报送外包风险监控报告,针对监控发现的潜在风险或风险事件,及时采取控制或缓释措施。
(二)银行业重点外包服务机构应当每年聘请独立的审计机构,对自身外包服务进行风险评估,风险评估报告需报送所服务的银行业金融机构,并抄送银监会或其派出机构。
(三)银行业重点外包服务机构应当对其外包服务团队成员进行背景调查,确保其过往无不良记录,且应当与项目成员签订保密协议,并保留至少10年的法律追诉期。
第八章 监督管理
第七十六条
银行业金融机构开展以下信息科技外包服务时,应当在外包合同签订前二十个工作日向银监会或其派出机构报告,针对银行业金融机构信息科技外包风险,银监会及其派出机构可以采取风险提示、约见谈话、监管质询等措施。
(一)信息科技工作整体外包;
(二)数据中心或灾备中心整体外包;
(三)涉及将银行业金融机构客户资料、交易数据等敏感信息交由服务提供商进行分析或处理的信息科技外包;
(四)以非驻场形式实施的、集中存贮客户数据的业务交易系统外包;
(五)关联外包;
(六)涉及跨境的信息科技外包;
(七)其他银监会认为重要的信息科技外包。
第七十七条
银行业金融机构信息科技外包活动中发生如下重大事件时,应当在两个工作日内向银监会或其派出机构报告。
(一)银行业金融机构客户信息等敏感数据泄露;
(二)数据损毁或者重要业务运营中断;
(三)由于不可抗力或服务提供商重大经营、财务问题,导致或可能导致多家银行业金融机构外包服务中断;
(四)其他重大的服务提供商违法违规事件;
(五)银监会规定需要报告的其他重大事件。
第七十八条
银行业金融机构在开展外包风险管理评估工作后,应当将风险评估报告报送银监会或其派出机构。
第七十九条
银监会及其派出机构对银行业金融机构信息科技外包工作进行监督和检查,监督检查结果纳入对银行业金融机构的监管评级。
第八十条
对于风险较高的信息科技外包服务,银监会或其派出机构可以要求银行业金融机构暂缓、中止该类外包服务,直至银行业金融机构、外包服务提供商有效改正。
第八十一条
银行业金融机构违反本指引规定的,银监会或其派出机构可要求其纠正或采取替代方案,并视情况予以问责。因管理过失导致外包活动严重危及银行业金融机构稳健运行、损害存款人和其他客户合法权益的,依法追究银行业金融机构管理责任。
第八十二条
银监会实行银行业信息科技外包服务活动风险监测机制,定期对银行业金融机构发布银行业重点外包服务机构名单和风险提示,防范因高机构集中度外包服务导致的系统性、区域性信息科技风险。第八十三条
银监会应当对具有机构集中度特点的银行业金融机构信息科技外包服务进行重点风险监测、评估,根据需要,可以要求银行业金融机构与重点外包服务机构会谈,就其外包服务活动和风险的重大事项作出说明。
第八十四条
银监会应当组织银行业金融机构实地核查银行业重点外包服务机构承担的银行业金融机构信息科技服务活动,原则上每两年进行一次,也可以委托其他第三方机构审计的形式实施。
第八十五条
银监会可以根据银行业金融机构信息科技服务活动风险评估和实地核查结果,对银行业金融机构发出监管提示,要求其督促银行业重点外包服务机构对风险问题实施整改。
第八十六条
银行业重点外包服务机构应当配合银行业金融机构及银监会的风险监测和实地核查。
第八十七条
银监会组织相关银行业金融机构对银行业信息科技外包服务提供商建立服务管理记录,并对其进行风险评估和评级。
第八十八条
服务提供商在外包服务中存在以下情形的,银监会定期向银行业发布服务提供商风险预警,公布机构名单、服务信息等,要求银行业金融机构禁止相关服务提供商承担银行业信息科技外包服务,禁止期至少为两年。外包服务提供商两年内仍未整改的,延长其禁止期。
(一)违反国家法律、法规和监管政策,情节严重的;
(二)窃取、泄露银行业金融机构敏感信息,情节严重的;
(三)因管理过失,多次发生重要信息系统服务中断或数据损毁、丢失、泄露事件的;
(四)服务质量低下并给多家银行业金融机构造成损失,多次提示仍未整改的;
(五)对风险监测和实地检查发现的问题,逾期仍未整改的;
(六)存在其他违法违规行为,或发生其他重大信息科技风险事件的。
第八十九条
银监会负责监督银行业金融机构对信息科技外包服务提供商实施准入管理。对于存在重大风险的外包活动,银行业金融机构应当立即评估外包的适当性,对信息科技外包服务提供商进行风险预警提示,要求其进行整改并设定期限;逾期未整改的,禁止其承担信息科技外包服务。
第九章 附则
第九十条
本指引由银监会负责解释、修订。第九十一条
本指引自公布之日起施行。
第五篇:广东省农村合作金融机构
广东省农村合作金融机构2012届高校毕业生专场招聘会
主办:广东省农村信用社联合社、广东省高等学校毕业生就业指导中心
承办:广东金融学院、广东省蓝天大学生就业市场经营有限公司
参会单位:东莞、顺德、端州、揭阳农村商业银行以及佛山、江门、中山、珠海、惠州、河源、汕尾、清远、肇庆、韶关、湛江地区各农村合作金融机构。
招聘对象:省内外高等院校2012年全日制大专及以上应届毕业生,凭招聘会门票或学生证、应届毕业生就业推荐表免费入场。
招聘会时间:2011年11月27日(星期日)9:00-16:00
招聘地点:广东金融学院足球场
序号 地区 参会单位全称 参会单位
展位简称 招聘对象学历要求 单位网址东莞 东莞农村商业银行股份有限公司 东莞农商行 2012年全日制应届本科(含)以上毕业生 中山 中山市农村信用合作联社 中山联社 2012年全日制应届本科(含)以上毕业生 珠海 珠海市农村信用合作联社 珠海联社 2012年全日制应届本科(含)以上毕业生.cn佛山 佛山顺德农村商业银行股份有限公司 顺德农商行 2012年全日制应届本科(含)以上毕业生 佛山市禅城区农村信用合作联社 禅城联社 2012年全日制应届本科(含)以上毕业生 佛山市三水区农村信用合作联社 三水联社 2012年全日制应届本科(含)以上毕业生7 佛山市高明区农村信用合作联社 高明联社 2012年全日制应届本科(含)以上毕业生.cn江门 江门融和农村商业银行股份有限公司 江门融和农商行 2012年全日制应届本科(含)以上毕业生 江门市新会区农村信用合作联社 新会联社 2012年全日制应届本科(含)以上毕业生 台山市农村信用合作联社 台山联社 2012年全日制应届大专(含)以上毕业生 鹤山市农村信用合作联社 鹤山联社 2012年全日制应届大专(含)以上毕业生 惠州 惠州市惠城区农村信用合作联社 惠城联社 2012年全日制应届本科(含)以上毕业生,大专毕业生限惠城区及仲恺高新区户籍 惠州市惠阳区农村信用合作联社 惠阳联社 2012年全日制应届本科(含)以上毕业生,大专毕业生限惠阳区户籍惠东县农村信用合作联社 惠东联社 2012年全日制应届大专(含)以上毕业生博罗县农村信用合作联社 博罗联社 2012年全日制应届本科(含)以上毕业生17 龙门县农村信用合作联社 龙门联社 2012年全日制应届本科(含)以上毕业生河源 龙川县农村信用合作联社 龙川联社 2012年全日制应届大专(含)以上毕业生19 连平县农村信用合作联社 连平联社 2012年全日制应届大专(含)以上毕业生20 和平县农村信用合作联社 和平联社 2012年全日制应届大专(含)以上毕业生21 紫金县农村信用合作联社 紫金联社 2012年全日制应届大专(含)以上毕业生22 东源县农村信用合作联社 东源联社 2012年全日制应届大专(含)以上毕业生汕尾 陆丰市农村信用合作联社 陆丰联社 2012年全日制应届大专(含)以上毕业生24 海丰县农村信用合作联社 海丰联社 2012年全日制应届大专(含)以上毕业生揭阳 广东揭阳农村商业银行股份有限公司 揭阳农商行 2012年全日制应届大专(含)以上毕业生 清远 连州市农村信用合作联社 连州联社 2012年全日制应届大专(含)以上毕业生27 连南瑶族自治县农村信用合作联社 连南联社 2012年全日制应届大专(含)以上毕业生28 连山壮族瑶族自治县农村信用合作联社 连山联社 2012年全日制应届大专(含)以上毕业生阳山县农村信用合作联社 阳山联社 2012年全日制应届大专(含)以上毕业生30 英德市农村信用合作联社 英德联社 2012年全日制应届大专(含)以上毕业生31 佛冈县农村信用合作联社 佛冈联社 2012年全日制应届大专(含)以上毕业生32 清新县农村信用合作联社 清新联社 2012年全日制应届大专(含)以上毕业生
清远市清城区农村信用合作联社 清城联社 2012年全日制应届本科(含)以上毕业生34 肇庆 高要市农村信用合作联社 高要联社 2012年全日制应届大专(含)以上毕业生35 四会市农村信用合作联社 四会联社 2012年全日制应届大专(含)以上毕业生36 广宁县农村信用合作联社 广宁联社 2012年全日制应届大专(含)以上毕业生37 怀集县农村信用合作联社 怀集联社 2012年全日制应届大专(含)以上毕业生38 封开县农村信用合作联社 封开联社 2012年全日制应届大专(含)以上毕业生39 德庆县农村信用合作联社 德庆联社 2012年全日制应届大专(含)以上毕业生
肇庆市鼎湖区农村信用合作联社 鼎湖联社 2012年全日制应届本科(含)以上毕业生41 肇庆端州农村商业银行股份有限公司 端州农商行 2012年全日制应届本科(含)以上毕业生
韶关 南雄市农村信用合作联社 南雄联社 2012年全日制应届大专(含)以上毕业生43 始兴县农村信用合作联社 始兴联社 2012年全日制应届大专(含)以上毕业生44 乐昌市农村信用合作联社 乐昌联社 2012年全日制应届大专(含)以上毕业生45 翁源县农村信用合作联社 翁源联社 2012年全日制应届大专(含)以上毕业生
湛江 徐闻县农村信用合作联社 徐闻联社 2012年全日制应届大专(含)以上毕业生47 遂溪县农村信用合作联社 遂溪联社 2012年全日制应届本科(含)以上毕业生
广东省农村合作金融机构是资产规模位居全国同业前列的农村合作金融机构之一,也是省内网点最多、服务面最广的金融机构。截至2011年9月末,广东省农村合作金融机构拥有7家农村商业银行和92家联社、5609个机构网点、6.3万名员工,本外币各项存款余额9560.7亿元,本外币各项贷款余额6125.8亿元,存贷款规模在省内各金融机构中均位居第二。广东省农村合作金融机构始终秉持“以农为本,为农服务”的宗旨,以服务“三农”、支持中小企业和民营经济发展为己任,在支持广东农村经济和中小企业发展中发挥着其他金融机构无法替代的作用,是名副其实的农村金融主力军。截至2011年9月末,广东省农村合作
金融机构涉农贷款余额2669.8亿元、中小企业贷款余额3535.1亿元。
广东省农村合作金融机构始终坚持“以人为本、科技先行、锐意革新”,以勤勉、忠诚、奋进、卓越的创业精神,不断续写信合事业新篇章。面对新时期建设社会主义新农村的历史重任,面对改革所赋予的历史机遇,广东农信人将进一步解放思想、创新理念、强化管理、加快发展,竭诚为社会各界提供方便快捷、高效优质的金融服务,为构建和谐幸福广东作出更大的贡献。
广东省农村合作金融机构诚邀您的加盟!
点击咨询 