银行业金融机构信息科技风险评估体系v9【银字 第51号】
商业银行信息科技风险管理解决方案
商业银行信息科技风险管理解决方案 本帖最后由 infosec123 于 2009-9-23 17:16 编辑 背景 为加强商业银行的信息科技风险管理,提升信息科技风险管理能力,09年3月份银监会正式发布了《商业银行信息科技风险管理指引》(以下简称《指引》),这是继出台有关《商业银行操作风险管理指引》、《商业银行市场风险管理指引》和《商业银行合规风险管理指引》等一系列的监管文件之后,银监会发布的又一重要风险管理指引。该指引适用于在中华人民共和国境内依法设立的法人商业银行。政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。 信息科技风险是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。它和操作风险、信用风险、市场风险一样,是商业银行面临的主要风险。现阶段商业银行已经基本完成了信息化建设,在金融管制放松、业务全球化、金融创新步伐加快以及信息技术的迅猛发展的大背景下,国际银行业金融机构的信息科技风险有增大的趋势,国际银行业和监管当局都日益重视信息科技与操作风险的管理和监管。目前,国际上宣布实施新资本协议的国家和地区都按照新协议的要求,明确将操作风险纳入资本监管的范畴,而信息科技风险是操作风险的重要组成部分。 需求分析合规性需求: 近年来,国家各部门不断推出了各种监管要求,对IT管控领域也提出了明确的要求。其中与银行业信息科技风险相关的法律、法规与行业监管指引有: 2002年,美国国会发布了SOX《萨班斯[url=; 2004年9月30日,中国银监会发布了[url=; 2006年,银监会发布《电子银行安全评估指引》、《[url=;
中小银行信息科技管理中存在的问题及改进建议
中小银行信息科技管理中存在的问题及改进建议 随着我国银行业信息化建设的持续发展,信息科技与银行业务的深度融合,银行业的发展已经离不开信息技术的支持,信息科技已经成为当今银行业业务发展的核心支撑,其重要性不言而喻。然而,信息科技在退推动银行业快速发展的同时,随之而来的信息科技风险亦不容忽视,已经成为影响银行业稳定发展的重要因素。一旦信息科技环节出现风险,将会给银行经营带来巨大影响,甚至是造成银行业务停滞,影响百姓生活及社会稳定。笔者结合村镇银行自身发展,对中小银行信息科技日常管理中存在的问题及改进措施提出以下建议。 一、现状与问题 (一)对信息科技风险认识不到位,管理体系不完善 以村镇银行为例,其信息科技风险管理水平还处在风险管理的初级阶段。有些村镇银行虽然制定了发展战略,但缺乏与业务发展战略相一致的信息科技发展战略,同样也缺乏信息科技风险战略来指导信息科技风险管控工作,信息科技风险管理尚未纳入全面的风险管理体系。首先是信息科技风险认识上不到位。在作为小银行的村镇银行中普遍存在着一些问题,例如对信息科技风险了解的不够细致,对信息科技风险管理相对薄弱,信息科技的风险管理缺乏业务、风险管理、内部审计等部门甚至更高级管理层的有力支持。其次,信息科技管理体系不完善。大部分村镇银行虽然制定了相关的信息科技管理制度,但制度建设、人员管理、岗位设置缺少整体的风险管理概念,缺少完整的信息科技安全管理体系。
(二)科技投入水平普遍较低 目前,中小商业银行的科技收入整体能力偏低。科技投入主要包括项目建设费用、日常运行维护费用、科技人员成本、其他费用等项目。以村镇银行为例,很大数量的村镇银行尚未自行开发业务系统,多是租用发起行的业务系统。这部分村镇银行从本质上可以看作是发起行的一个支行,业务系统运维的重头戏一般都由发起行信息科技部来实施。同时村镇银行高级管理层对科技的重视程度不够,信息科技的投入占运营成本的比重较小,大多在2%以下,该资金份额难以完全满足业务系统运行的维护需要,导致村镇银行部分硬件投入不足,常用易损设备备份不足,一些重要设备达不到双机热备的要求,出现设备损坏无备用设备,无法及时更换,影响正常业务开展的问题。更有一部分硬件设备超寿命运行,做不到及时更换,给信息系统的后期维护带来较大的负担,在银行业务开展的同时也暴露出较大的信息科技风险。 (三)科技队伍建设严重滞后,人才储备不足 信息科技发展的核心是科技人才,银行的信息化建设和发展离不开科技人员的支持。据统计先进银行科技人员平均占银行总人数的比例为3%-4%。然而对于现阶段的村镇银行而言,信息科技人员的配比却严重偏低,人员配备严重不足,存在着较大的人员缺口,从这个角度来看,农村金融机构的信息化能力不足与信息科技人员不足有着必然的联系。现实的情况不免让人感到忧虑,无法满足科技管理的整体要求。
中国银行业金融机构企业社会责任指引
中国银行业金融机构企业社会责任指引 编辑:admin_cba2010 | 2009-01-12 23:31:04 | 作者: | 来源:中国银行业协 会 | 浏览:3692次 中国银行业金融机构企业社会责任指引 第一章总则 第一条为督促银行业金融机构落实科学发展观,承担企业社会责任,促进经济、社会、环境的和谐与可持续发展,根据《中华人民共和国公司法》、《中华人民共和国商业银行法》、《中华人民共和国银行业监督管理法》、《中国银行业协会章程》等相关法律法规,制定本指引。 第二条本指引适用于具有中国法人资格的银行业金融机构,包括在中华人民共和国境内设立的商业银行、城市信用合作社、农村信用合作社等吸收公众存款的金融机构,以及政策性银行、金融资产管理公司和小额贷款公司等。 第三条本指引所称企业社会责任是指银行业金融机构对其股东、员工、消费者、商业伙伴、政府和社区等利益相关者以及为促进社会与环境可持续发展所应承担的经济、法律、道德与慈善责任。 银行业金融机构的企业社会责任至少应包括: (一)经济责任。在遵守法律条件下,营造公平、安全、稳定的行业竞争秩序,以优质的专业经营,持续为国家、股东、员工、客户和社会公众创造经济价值。 (二)社会责任。以符合社会道德和公益要求的经营理念为指导,积极维护消费者、员工和社区大众的社会公共利益;提倡慈善责任,积极投身社会公益活动,构建社会和谐,促进社会发展。 (三)环境责任。支持国家产业政策和环保政策,节约资源,保护和改善自然生态环境,支持社会可持续发展。 第四条银行业金融机构应遵守法律法规和公司章程,遵守社会公德和商业道德,加强企业社会责任管理。 第五条银行业金融机构应树立正确的价值观和经营理念,建设具有社会责任感的企业文化,倡导企业伦理化经营,创建和谐社会,促进社会可持续发展。 第二章经济责任 第六条银行业金融机构应在法律规定下积极提高经营效益,努力创造优良的经济利益;银行业金融机构应积极参与保障金融安全、维护平等竞争的金融秩序,加强防范金融风险;积极支持政府经济政策,促进经济稳定、可持续发展,为国民经济提供优良的专业性服务。
XX银行客户洗钱和恐怖融资风险评估及分类管理办法
XX银行客户洗钱和恐怖融资风险评估及分类管理办法 第一章总则 第一条为规范客户洗钱和恐怖融资风险(以下简称洗钱风险)评估及分类管理,强化客户洗钱风险的持续监控和分析,预防洗钱活动,根据《金融机构洗钱和恐怖融资风险评估及客户分类管理指引》,结合本行实际,制定本办法。 第二条本办法所称的“客户洗钱和恐怖融资风险评估 及分类管理”(以下简称“客户风险分类管理”)系指根据 客户特性、地域、业务、行业等因素,通过识别、分析、判断等方式,将客户划分为不同洗钱风险等级,并采取相应风险管理措施的行为。 第三条本办法中的“客户”包括在本行开立账户的个人和机构客户以及在本行办理一次性金融业务的客户。 第四条客户风险分类管理工作应遵循以下原则: (一)风险相当原则。各级机构依据风险评估结果科学配置反洗钱资源,在洗钱风险较高的领域采取强化的反洗钱措施,在洗钱风险较低的领域采取简化的反洗钱措施。 (二)审慎性原则。各级机构应充分了解客户,通过对客户的身份、地域、业务、行业(职业)等方面采取定量与定性的方法进 行综合评价,审慎评定每一名客户的洗钱风险等级。 (三)同一性原则。各级机构在进行客户洗钱风险等级分
类时,应赋予同一客户在本行唯一的风险等级。 (四)动态管理原则。各级机构应根据客户洗钱风险状况的变化,及时调整其风险等级及所对应的风险控制措施。 (五)保密原则。各级机构不得向客户或其他与反洗钱工作无关的第三方泄露客户洗钱风险等级信息。 第二章组织与分工 第五条总行内控合规部是本行客户洗钱风险分类管理工作的主管部门,主要工作职责是:负责制定客户洗钱风险评估分类的管理制度;负责提出客户洗钱风险分类管理系统的业务需求;负责组织推动客户洗钱风险评估、分类及管理工作等。 第六条本行相关业务部门主要工作职责是:负责对本 业务领域的洗钱风险进行识别并采取有效风险控制措施,做好客户风险分类管理涉及的客户尽职调查;负责本条线客户风险分类工作的指导和管理;负责配合客户风险分类管理系统建设工作等。 第七条分行内控合规部门是本机构客户洗钱风险分类管理工作的主管部门,主要工作职责是:负责辖属机构客户风险分类工作的指导和管理;负责本机构高、较高、一般风险客户风险等级的审核;负责向总行汇报本机构客户风险分类的落实情况及重要事项等。 第八条营业网点是客户风险分类管理工作的直接责 任单位,主要工作职责是:负责收集客户风险分类管理所需信息;负责对客户进行尽职调查;负责本机构客户洗钱风险分类的人工评级工作;负责本机构低、较低风险客户的风险等级确定工作等。
商业银行信息科技风险动态监测规程
商业银行信息科技风险动态监测规程 (征求意见稿) 第一章总则 第一条为加强商业银行信息科技风险监管的及时性和前瞻性,实现对商业银行信息科技风险的持续和动态监测,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及其他相关法律法规,制定本规程。 第二条信息科技风险动态监测是针对商业银行信息科技活动中的重点风险领域,通过选取关键风险指标,持续开展风险监测,动态跟踪风险趋势、前瞻研判风险态势并及时采取监管措施的过程。 第三条信息科技风险动态监测遵循分级负责、属地监管、重在法人、风险为本的原则。 第四条信息科技风险动态监测体系由监测指标、监测数据管理、指标运用及监测工作流程组成。 第五条本规程适用于在中华人民共和国境内依法设立的商业银行,包括中资商业银行、外资独资商业银行和中外合资银行。 政策性银行、农村信用社、农村合作银行、村镇银行以及经银监会及其派出机构批准成立的其他银行业金融机构参照执行。 第二章动态监测指标选取原则及分类
第六条信息科技风险动态监测指标由商业银行信息科技基础运行数据经采集、加工、计算形成,综合反映了商业银行信息科技风险水平及风险管控能力。 第七条监测指标选取遵循以下四个原则: (一)代表性:能够反映商业银行信息科技风险水平和控制效果,体现信息科技对业务的支撑能力; (二)综合性:能够涵盖商业银行信息科技风险存在的主要环节,反映信息系统多种要素的风险状况; (三)敏感性:能够通过指标波动直接体现商业银行信息科技风险水平的变化情况; (四)可获取性:能够通过商业银行信息系统直接获取或通过定量计算间接获取,具备明确、可靠的数据来源。 第八条商业银行信息科技风险动态监测指标分为稳定性指标、安全性指标和规模性指标三类。其中稳定性指标、安全性指标直接反映商业银行信息科技风险状况,规模性指标主要反映信息科技对业务的支撑能力,间接反映商业银行信息科技风险状况。 第三章动态监测指标体系 第九条稳定性指标表示商业银行信息系统对业务提供支持和满足业务需求的有效、可靠程度,包括系统可用率、系统交易成功率、投产变更成功率等。
商业银行信息科技风险管理指引
商业银行信息科技风险管理指引目录 第一章总则 第二章信息科技治理 第三章信息科技风险管理 第四章信息安全 第五章信息系统开发、测试和维护 第六章信息科技运行 第七章业务连续性管理 第八章外包 第九章内部审计 第十章外部审计 第十一章附则第一章总则 第二章信息科技治理 第三章信息科技风险管理 第四章信息安全 第五章信息系统开发、测试和维护 第六章信息科技运行 第七章业务连续性管理 第八章外包 第九章内部审计第十章外部审计第十一章附则展开编辑本段第一章总则第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。 编辑本段第二章信息科技治理 第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。(二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。 (三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。(四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人设立一个由来自高级管理层、信息科技(五)员对信息科技风险管理重要性的认识。. 部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向
金融机构划分
关于金融统计中各类金融机构划 分的最新通知 境内银行业存款类金融机构:是指由中国银行业监督管理委员会监督管理的,吸收公众存款的金融机构。包括银行、城市信用社(含联社)、农村信用合作社(含联社)、农村资金互助社和财务公司以及三大国家政策性银行(国家开发银行、中国农业发展银行和中国进出口银行)。 境内银行业非存款类金融机构:是指由中国银行业监督管理委员会监督管理的,不吸收公众存款的金融机构。包括信托公司、金融资产管理公司、金融租赁公司、汽车金融公司、贷款公司和货币经纪公司。 境内证券业金融机构:是指由中国证券业监督管理委员会监督管理的,具备从事证券业合法资格的金融机构。包括证券公司、证券投资基金管理公司、期货公司和投资咨询公司。 境内保险业金融机构:是指由中国保险业业监督管理委员会监督管理的,具备从事保险业合法资格的金融机构。包括财产保险公司、人身保险公司、再保险公司、保险资产管理公司、保险经纪公司、保险代理公司、保险公估公司和企业年金。 境内交易及结算类金融机构:是指为金融交易提供交易场所、服务以及安全环境等活动,并具备一定监督管理职能的金融机构。包括交易所和登记结算公司。
境内金融控股公司:是指依据《中华人民共和国公司法》设立,拥有或控制一个或多个金融性公司,并且这些金融性公司净资产占全部控股公司合并净资产的50%以上,所属的受监管实体至少明显地在从事两种以上的银行、证券和保险业务独立企业法人。包括中央金融控股公司和其他金融控股公司。 境内特殊目的载体(SPV):是指为持有特定资产而对外发行新金融工具,并合法拥有该特定资产,具备完整独立账户的金融实体。包括证券投资基金、资金信托计划、代客理财项目、资产证券化项目。 境内其他金融机构:除上述机构之外的其他金融机构。包括小额贷款公司等金融机构。
商业银行信息科技风险管理指引(银监发2009[1].19)
-------------------------------------------------------------------------------- 商业银行信息科技风险管理指引 第一章总则 第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。 第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。 政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。 第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。 第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。 第二章信息科技治理 第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。 第七条商业银行的董事会应履行以下信息科技管理职责: (一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。 (二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。 (三)掌握a主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。 (四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。 (五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。 (六)在建立良好的公司治理的基础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设,建立人才激励机制。 (七)确保内部审计部门进行独立有效的信息科技风险管理审计,对审计报告进行确认并落实整改。
银行业金融机构数据治理指引教案资料
银行业金融机构数据 治理指引
银行业金融机构数据治理指引 (征求意见稿) 第一章总则 第一条(立法依据)为指导银行业金融机构加强数据治理,提高数据质量,发挥数据价值,提升经营管理能力,根据《中华人民共和国银行业监督管理法》等法律法规,制定本指引。 第二条(适用范围)本指引适用于中华人民共和国境内经银行业监督管理机构批准设立的银行业金融机构。 本指引所称银行业金融机构,是指在中华人民共和国境内设立的商业银行、农村信用合作社等吸收公众存款的金融机构、政策性银行以及国家开发银行。 第三条(数据治理定义)数据治理是指通过建立组织架构,明确董事会、高级管理层、部门等职责要求,制定和实施系统化的制度、流程和方法,确保数据统一管理、高效运行,并在经营管理中充分发挥价值的动态过程。 第四条(数据治理总体要求)银行业金融机构应当将数据治理纳入公司治理范畴,建立自上而下、协调一致的数据治理体系。 第五条(数据治理原则)银行业金融机构数据治理应当遵循以下基本原则:
(一)全覆盖原则:覆盖数据的全生命周期;覆盖业务经营、风险管理和内部控制流程中的全部数据;覆盖内部数据和外部数据;覆盖所有分支机构和附属机构;覆盖监管数据。 (二)匹配性原则:数据治理应当与管理模式、业务规模、风险状况等相适应,并根据情况变化进行调整。 (三)持续性原则:数据治理应当持续开展,建立长效机制。 (四)有效性原则:数据治理应当推动数据真实准确客观反映银行业金融机构实际情况,并有效应用于经营管理。 第六条(监管数据)银行业金融机构应当将监管数据纳入数据治理,建立工作机制和流程,确保监管数据报送工作有效组织开展,监管数据质量持续提升。 法定代表人或主要负责人对监管数据质量承担最终责任。 第七条(依法监督)银行业监督管理机构依据本指引对银行业金融机构数据治理情况实施监管。 第二章数据治理架构 第八条(总体要求)银行业金融机构应当建立组织架构健全、职责边界清晰的数据治理架构,明确董事会、监事会、高级管理层和相关部门的职责分工,建立多层次、相互衔接的运行机制。
《商业银行信息科技风险管理指引》WORD版
商业银行信息科技风险管理指引 第一章总则 第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。 第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。 政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。 第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。 第二章信息科技治理 第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。 第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。 (二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。
金融机构反洗钱风险评估标准
金融机构(法人机构)反洗钱风险评估标准 一、环境(Circumstance)(29分) 1. 组织架构(18分) 风控架构:(2分) 1.1.1 金融机构反洗钱风险控制政策目标清晰。(1分) 参考评分要点:(1)反洗钱内控制度中不具有反洗钱风险控制政策或反洗钱风险控制目标的描述扣分,具有相关描述则不扣分。(2)董事会或下设专业委员会、高级管理层人员是否知晓反洗钱风险控制政策或反洗钱风险控制目标,知晓的,不扣分,不知晓的,扣分。 1.1.2 金融机构按照全面风险管理思想建立健全反洗钱风险控制体系。(1分)参考评分要点:(1)反洗钱风险管理政策与其他风险控制政策相比不存在明显弱化现象。是否明显弱化可从以下方面判断,例如,反洗钱风险管理政策制定的层级是否足够,反洗钱风险管理政策与其他风险控制政策问责严厉程度是否足以警示金融机构工作人员。发现一项问题,均扣分,扣完为止。(2)金融机构对各类风险的管理政策均衡,反洗钱风险控制体系与金融机构控制其他方面风险的机制性差异不可能导致洗钱风险控制不力。(3)金融机构自身公司治理结构不存在较严重的缺陷,例如金融机构是否按照《公司法》成立并建立了相应的公司治理结构。如被评估金融机构为上市公司,原则上此项可不扣分。以上各项累计最高可扣1分。 高管履职:(4分) 1.2.1 董事会或下设专业委员会、高级管理层的反洗钱职责定位适当。(2分)参考评分要点:(1)金融机构没有以制度形式明确高级管理层的反洗钱职责并予以完整清晰描述的扣分。(2)承担反洗钱合规管理职责的高管人员级别适当,具有履职的充分权限,例如高管人员级别应不低于承担对其他风险事项进行管理的高管人员。承担反洗钱合规管理职责的高管人员为单位主要负责人的不扣分;为分管负责人的,如果经了解,其分管的反洗钱业务经主要负责人授权可获得充分履职权限的,扣分;级别低于分管负责人,或为分管负责人但没有充分履职权限的扣分。(3)在制度中明确、完整地规定了董事会(或下设专业委员会)、高级管理层对于反洗钱重大事项或敏感事项处理的责任。上述层次人员的责任缺一项扣分。 1.2.2 高级管理层(法人机构董事会或下设专业委员会)成员反洗钱履职情况。(2分) 参考评分要点:(1)高级管理层(法人机构董事会或下设专业委员会)讨论反洗钱事项的会议次数年均少于3次的,扣分;少于2次的,扣1分;少于1次的,扣分。(2)董事长或总经理(或类似职务人员)对反洗钱工作的书面批示年均少于5次的,扣分;少于3次的,扣1分;少于1次的,扣分。(3)根据会议记录、书面批示以及监管掌握的其他情况,判断高级管理层(法人机构董事会或下设专业委员会)成员和高级管理人员是否具有履行相关反洗钱职责的素质或能力,判断标准:一是会议记录、书面批示以及监管掌握的其他情况出现与反洗钱法规政
商业银行信息科技风险现场检查指南
商业银行信息科技风险现场检查指南
目录 第一部分概述 (12) 1. 指南说明 (13) 1.1 目的及适用范围 (13) 1.2 编写原则 (14) 1.3 指南框架 (15) 第二部分科技管理 (17) 2. 信息科技治理 (18) 2.1 董事会及高级管理层 (18) 检查项1 :董事会 (18) 检查项2 :信息科技管理委员会 (19) 检查项3 :首席信息官(CIO) (20) 2.2 信息科技部门 (21) 检查项1 :信息科技部门 (21) 检查项2 :信息科技战略规划 (23) 2.3 信息科技风险管理部门 (24) 检查项1 :信息科技风险管理部门 (24) 2.4 信息科技风险审计部门 (25) 检查项1 :信息科技风险审计部门 (25) 2.5 知识产权保护和信息披露 (26) 检查项1 :知识产权保护 (26) 检查项2 :信息披露 (26) 3. 信息科技风险管理 (28) 3.1 风险识别和评估 (28) 检查项1 :风险管理策略 (28) 检查项2 :风险识别与评估 (29) 3.2 风险防范和检测 (29) 检查项1 :风险防范措施 (29) 检查项2 :风险计量与检测 (30) 4. 信息安全管理 (32) 4.1 安全管理机制与管理组织 (32) 检查项1:信息分类和保护体系 (32) 检查项2:安全管理机制 (33) 检查项3:信息安全策略 (34) 检查项4:信息安全组织 (34) 4.2 安全管理制度 (35) 检查项1:规章制度 (35) 检查项2:制度合规 (36)
4.3 人员管理 (38) 检查项1:人员管理 (38) 4.4 安全评估报告 (39) 检查项1:安全评估报告 (39) 4.5 宣传、教育和培训 (39) 检查项1:宣传、教育和培训 (39) 5.系统开发、测试与维护 (41) 5.1开发管理 (41) 检查项1:管理架构 (41) 检查项2:制度建设 (43) 检查项3:项目控制体系 (44) 检查项4:系统开发的操作风险 (45) 检查项5:数据继承和迁移 (46) 5.2系统测试与上线 (47) 检查项1:系统测试 (47) 检查项2:系统验收 (49) 检查项3:投产上线 (49) 5.3系统下线 (50) 检查项1:系统下线 (50) 6. 系统运行管理 (52) 6.1 日常管理 (52) 检查项1:职责分离 (52) 检查项2:值班制度 (53) 检查项3:操作管理 (53) 检查项4:人员管理 (54) 6.2 访问控制策略 (55) 检查项1:物理访问控制策略 (55) 检查项2:逻辑访问控制策略 (56) 检查项3:账号及权限管理 (57) 检查项4:用户责任及终端管理 (58) 检查项5:远程接入的控制 (59) 6.3 日志管理 (60) 检查项1:审计日志检查 (60) 检查项2:日志信息的保护 (60) 检查项3:操作日志的检查 (61) 检查项4:错误日志的检查 (61) 6.4系统监控 (62) 检查项1:基础环境监控 (62) 检查项2:系统性能监控 (62) 检查项3:系统运行监控 (63) 检查项4:测评体系 (64) 6.5 事件管理 (65)
商业银行信息科技风险管理指引英文版
Commercial Banks ' Information Technology Chapter I General Provisions Article 1. Pursuant to the Law of the People 's Republic of China on Banking Regulation and Supervision, the Law of the People's Republic of China on Commercial Banks, the Regulations of the People's Republic of China on Administration of Foreign-funded Banks, and other applicable laws and regulations, the Guidelines on the Risk Management of Commercial Banks' Information Technology (hereinafter referred to as the Guidelines) is formulated. Article 2. The Guidelines apply to all the commercial banks legally incorporated within the territory of the People's Republic of China. The Guidelines may apply to other banking institutions including policy banks, rural cooperative banks, urban credit cooperatives, rural credit cooperatives, village banks, loan companies, financial asset management companies, trust and investment companies, finance firms, financial leasing companies, automobile financial companies and money brokers. Article 3. The term “information technology ” stated in the
商业银行信息科技风险及防控策略研究
商业银行信息科技风险及防控策略研究 摘要:近年来,随着社会经济与信息技术不断发展,我国银行业展现出蓬勃的发展态势,随着大数据、云计算、移动互联网的高速发展,信息技术为商业银行业务拓展和创新提供有力支持,在为商业银行带来了巨大经济效益的同时,也提出更多、更大的挑战。因此,加强对商业银行信息科技风险的研究至关重要。本文将对信息科技风险管理的必要性以及商业银行信息科技风险主要特征进行分析和研究,并提出加强商业银行信息科技风险管理的有效对策,从而推动我国商业银行可持续、健康发展。 关键词:商业银行;信息科技风险;防控策略 前言:随着我国改革开放和经济全球化大潮,我国银行业发展突飞猛进,特别是信息技术在银行业中的广泛应用,极大的促进了金融产品的迅速发展。然而,先进的信息技术会更加暴露商业银行的风险,构成一定的威胁。为了能够有效规避风险,深入了解信息科技十分重要。 一、商业银行信息科技风险介绍 商业银行信息科技风险主要是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的风险。主要包含四个方面:其一,自然因素,例如:地震、台风等不可抗力影响;其二,系统风险,指信息系统内部软、硬件的缺陷造成的影响;其三,管理因素,指商业银行自身管理制度与组织结构等产生的影响;其四,人为因素,指工作人员违规或过失操作引发的风险。 二、信息科技风险管理的必要性 在金融危机的影响下,风险管理的重要性日益突出,特别是信息科技风险,越来越多受到金融界的关注。 (一)外在因素 随着银行业迅速发展,我国对商业银行信息科技风险管理提出了更高要求,明确要求商业银行将信息科技风险纳入全面风险管理体系。监管部门通过现场和非现场手段,不断加大监管力度,定期和不定期开展信息科技风险检查工作,针对信息科技的重点环节制定明确的监管计划,约束商业银行信息科技风险控制能
商业银行信息科技监管评级定量和定性标准
信息科技风险(Information Technology Risk) (一)信息科技治理(15分) 1.信息科技治理组织架构(8分) (1)是否确立董事会、高管层信息科技管理职责。 (2)是否建立完善的信息科技管理制度体系。 (3)是否建立完善合规的信息科技“三道防线”以及信息科技三道防线的实际运作。 (4)是否明确信息科技治理作为重要组成部分纳入公司治理。 评分原则:(1)考察董事会、高管层的信息科技治理职责是否完整,信息科技发展战略不经董事会审批,或者本年内董事会会议不形成年度信息科技工作决议的此项最高得分4分。 (2)考察是否建立信息科技管理制度的起草、发布、修订等工作流程,信息科技管理制度是否涵盖系统开发、项目管理、系统运行、信息安全、外包管理、业务连续性等领域。 (3)考察是否明确信息科技管理、信息科技风险管理和信息科技风险监督的“三道防线”职责,“三道防线”部门设置是否合规;是否设立信息科技管理委员会,成员来自高管层、信息科技部门和主要业务部门,并定期向高管层汇报工作。 (4)考察商业银行是否以正式制度(文件)明确信息科技
治理应作为重要组成部分纳入公司治理;是否制定了信息科技治理运作效果考核指标并定期进行评价。 2.信息科技对业务发展的专业支持和匹配度(7分) (1)信息科技战略与业务发展战略的匹配度。 (2)信息科技人员、信息科技投入等与业务发展的匹配度(定量)。 (3)董事会、高管层等决策人员是否具备足够的信息科技专业知识能力。 评分原则:(1)考察是否建立明确、可实施的信息科技发展战略;是否定期评价信息科技战略规划实施效果,建立信息科技战略与业务战略的协调一致机制。 (2)考察信息科技人员数量、信息科技人员占比、信息科技投入占比与商业银行发展水平是否匹配,低于同质同类商业银行平均值的此项酌情扣分;考察商业银行信息系统建设与业务发展的支撑与匹配程度。 (3)考察具有信息科技管理经验的高管人员在董事会、决策层是否具有一定的占比;是否设立首席信息官,直接向行长汇报,并参与重大决策,首席信息官是否具有一定的信息科技专业背景或从业经验。
银行业金融机构数据治理指引和DCMM的对比分析
摘要:近年来,数据治理得到各行各业的普遍重视,国家和行业都发布了相关的标准和政策,通过相关文件明确数据治理的概念和体系,促进数据治理行业的发展。对相关文件进行解读,总结其中的异同之处,帮助人们了解与数据治理相关的管理趋势和应用的重点,同时,提出数据管理能力成熟度评估模型在银行业落地实施的建议,帮助银行更好地满足相关监管要求,提升数据管理能力的成熟度等级。 关键词:大数据 ; 数据质量 ; 数据治理 ; 数据管理能力成熟度评估模型 ; 数据文化 1 引言 为深化要素市场化配置改革,促进要素自主有序流动,提高要素配置效率,2020年3月,中共中央、国务院正式印发《关于构建更加完善的要素市场化配置体制机制的意见》,旨在充分发挥数据要素对其他要素效率的倍增作用,使大数据成为推动经济高质量发展的新动能。加强大数据采集、汇聚、挖掘、分析等关键技术的攻关力度,有效激发数据要素的资源潜力,建设多元共治的大数据治理体系,将提升产业数据管理、数据治理水平,充分挖掘数据要素资源的价值。现阶段,与大数据相关的理论,特别是与数据治理相关的理论仍有待提升。目前,国内更多的是以国际咨询公司的理论框架或者国际数据管理协会的数据管理知识体系为引导,但是这些理论几乎没有考虑国内数据行业发展的现状和特性,且理论的普及程度也有待提高,导致国内很多公司在数据管理方面的意识薄弱,管理方式各异,发展相对落后。2018年3月15日,中华人民共和国国家质量监督检验检疫总局和中国国家标准化管理委员会正式发布了国家标准《数据管理能力成熟度评估模型》(以下简称DCMM),该标准正式提出了符合中国特色的数据管理体系和成熟度等级定义。在对国内外相关理论、实践进行充分研究的基础上,结合国内数据行业的特征和发展需要,该标准制定了我国第一个数据管理能力成熟度评估模型,用来指导和规范一个组织的数据管理行为,促进我国大
上海银行业金融机构名单
· 交通银行· 上海浦东发展银行 · 上海银行· 上海农村商业银行 · 崇明长江村镇银行· 上海松江民生村镇银行股份有限公司 · 上海浦东江南村镇银行股份有限公司· 上海浦东建信村镇银行有限责任公司 · 国家开发银行上海市分行· 中国进出口银行上海分行 · 中国农业发展银行上海市分行· 中国工商银行上海市分行 · 中国农业银行上海市分行· 中国银行上海市分行 · 中国建设银行上海市分行· 交通银行上海分行 · 中信银行股份有限公司分行· 中国光大银行股份有限公司上海分行 · 华夏银行上海分行· 中国民生银行股份有限公司上海分行 · 招商银行上海分行· 兴业银行上海分行 · 广东发展银行上海分行· 深圳发展银行上海分行 · 上海浦东发展银行上海分行· 浙商银行上海分行 · 宁波银行上海分行· 北京银行上海分行 · 平安银行股份有限公司上海分行· 杭州银行上海分行 · 南京银行上海分行· 江苏银行上海分行 · 邮政储蓄银行上海分行· 渤海银行股份有限公司上海分行 · 天津银行股份有限公司上海分行· 浙江泰隆商业银行股份有限公司上海分行 · 温州银行股份有限公司上海分行· 大连银行股份有限公司上海分行 · 浙江民泰商业银行股份有限公司上海分行· 盛京银行股份有限公司上海分行 · 浙江稠州商业银行股份有限公司上海分行· 中国华融资产管理公司上海办事处 · 中国长城资产管理公司上海办事处· 中国东方资产管理公司上海办事处 · 中国信达资产管理公司上海办事处· 中国工商银行股份有限公司票据营业部 · 中国农业银行票据营业部· 兴业银行资金营运中心 · 中国农业银行信用卡中心· 上海银行信用卡中心 · 上海浦东发展银行信用卡中心· 兴业银行信用卡中心 · 招商银行信用卡中心· 工行私人银行部 · 建行信用卡中心· 上海浦东发展银行股份有限公司中小企业业务经营中心· 中国工商银行股份有限公司贵金属业务部· 中国民生银行股份有限公司中小企业金融事业部 · 上海国际信托投资有限公司· 华宝信托投资有限责任公司 · 中海信托投资有限责任公司· 上海爱建信托投资有限责任公司 · 中泰信托投资有限责任公司· 安信信托投资股份有限公司 · 上海汽车集团财务有限责任公司· 宝钢集团财务有限责任公司 · 上海电气集团财务有限责任公司· 上海锦江国际集团财务有限责任公司 · 东航集团财务有限责任公司· 上海浦东发展集团财务有限责任公司 · 中船财务有限责任公司· 申能集团财务有限公司 · 中国石化财务有限责任公司上海办事处· 中国电力财务有限公司华东分公司 · 松下电器(中国)财务有限公司· 日立(中国)财务有限公司 · 上海新世纪金融租赁有限责任公司· 交银金融租赁有限责任公司 · 招银金融租赁有限责任公司· 上汽通用汽车金融有限责任公司 · 福特汽车金融(中国)有限公司· 东风日产汽车金融有限公司 · 菲亚特汽车金融有限责任公司· 上海国利货币经纪有限公司 · 上海国际货币经纪有限公司· 中海集团财务有限责任公司 · 中银消费金融有限公司· 农银金融租赁有限公司
金融机构客户洗钱及恐怖融资风险分类
金融机构客户洗钱和恐怖融资风险分类管理指引 (征求意见稿) 第一章总则 为全面落实风险为本反洗钱方法,指导金融机构合理确定客户洗钱和恐怖融资(以下统称“洗钱”)风险等级,合理配置反洗钱资源,提升反洗钱和反恐怖融资(以下统称“反洗钱”)工作有效性,现根据《中华人民共和国反洗钱法》等法律规定,特制定本指引。 第一章总则 一、基本原则 (一)风险相当原则:金融机构建立的反洗钱风险管理政策、风险管理程序和工作计划应与风险状况相当,对于较高风险客户及业务关系应当采取强化的风险控制措施,对于较低风险客户及业务关系可以采取简化的风险控制措施。 (二)全面性原则:除本指引所列的例外情形外,金融机构应在全面考虑客户及地域、业务、行业、职业等方面的风险状况基础上,科学合理为每一名客户确定相应的风险等级。 (三)同一性原则:金融机构应建立合理的客户风险等级划分流程引导不同条线(部门)参与客户风险评估工作,赋予同一客户在本金融机构唯一的风险等级。 (四)动态管理原则:金融机构应定期或不定期根据客户尽
职调查情况,及时调整客户风险等级,确保客户风险等级符合实际风险状况。 二、功能 (一)本指引所列风险评估要素及其子项所组成的风险评估体系是引导金融机构观察客户洗钱风险的基本维度,是引导金融机构具体分析客户洗钱风险的基础路径,是指导金融机构实现客户风险等级划分的方法。 (二)客户风险等级划分结果是金融机构优化配置反洗钱资源的依据,将引导金融机构及其工作人员选取与风险状况相当的反洗钱工具并决定其使用的频率、范围和强度,既能更有效预防洗钱活动发生,又能减少金融机构及其工作人员反洗钱工作负担。 (三)金融机构按照本指引要求评估客户风险并据此采取相应风险管理措施的过程,实际也是建立、组织和运行有效的反洗钱工作流程体系的过程,将有助于发挥业务条线(部门)了解客户的基础性作用,将反洗钱合规管理部门的工作与业务条线(部门)有机整合。 (四)反洗钱风险评估是持续有效开展反洗钱工作的基础和前提,它既是对单位时间内反洗钱工作的总结,又是开展下一周期反洗钱工作的起点。 三、适用范围 本指引适用于金融机构为实现反洗钱工作目标而对客户进行的风险评估,及依据风险评估结果开展的后续风险管理工作。 金融机构应按照本指引要求对已存在或预期可存在可持续
XX银行信息科技风险管理策略
XX银行信息科技风险管理策略 xx银行信息科技风险管理策略 随着信息科技与我行业务的深度融合~我行业务对信息系统的依赖性日益增强~防范信息科技风险的重要性凸显出来。我行深入分析信息科技管理工作~针对面临的信息科技风险~制定了信息科技风险管理策略。 一、我行面临的主要信息科技风险 1.业务中断风险 保障业务连续性是我行信息科技工作中的最重要的部分。我行面临的首要的问题是~信息系统建设严重滞后与业务发展。一旦产生软硬件故障、系统超负荷运行、主干网络中断、病毒传播、人为非法操作造成系统不稳定等因素~极易造成银行业务的中断。 2.数据安全风险 数据是我行的基础~我行要为客户提供一个可靠的环境确保数据资料的准确性和安全性。随着业务的发展~数据量不断增大~数据安全风险凸显。 数据安全风险包括两方面:一是数据窃取~主要是数据遭到窃取或者恶意篡改~导致客户信息资料外泄~引发客户不满~引发法律风险问题,二是数据丢失~主要是受到自然灾害、房屋倒塌等突发事件造成的存储介质毁坏~导致存储介质中数据丢失。 3.电子银行风险 电子银行银行风险主要是电子支付安全问题~包括ATM诈骗以及利用钓鱼网站、木马程序盗取客户的账号和密码等一些行为导致的客 1
户资金的损失。这类事件一旦发生~会严重影响我行声誉~处理不当会导致诉讼。 4.系统漏洞风险 系统漏洞风险是银行信息系统开发缺陷被发现和利用的风险。系统漏洞风险在系统设计之初难以发现~随着系统的推广及运行~风险逐渐暴露~一旦被人利用~会对我行造成极大影响。 5.IT外包风险 IT外包风险主要是外包服务商能否长期稳定地为我行提供高质量的服务~能否及时响应并修复系统故障~确保外包业务连续性。我行如果过度依赖外包服务商~一旦出现突发情况~势必会影响我行业务持续开展。 二、我行采取的信息科技风险管理策略 针对我行面临的主要的信息科技风险~我行在信息科技风险管理方面拟采取以下策略。 1.进一步完善信息科技风险管理制度 我行要进一步完善信息科技风险管理制度~进一步细化信息科技管理以及信息科技风险管理。重点做好业务连续性、灾备系统、外包管理、风险评估、内外部审计等五个方面制度的完善。 制度制定后~信息科技工作者要严格执行制度~或者提出合理化建议来修订制度~使制度成为一切工作的基础~真正给系统安全拉起一道不可逾越的防御线。 2.构建全面的信息科技风险监测和保障体系 2 逐步建立质量控制和测试体系~对信息系统的开发进行严格的风险论证和风险测试。对信息系统的运行状况进行全程监控~主干网络是否畅通、自助设备是否正常运行、数据库系统是否正常服务~是否有网络遭受外部非法入侵等必须纳入实时