第一篇:某銀行信息科技風(fēng)險識別與評估管理辦法
某銀行信息科技風(fēng)險識別與評估管理辦法
第一章
總
則
第一條
為規(guī)范信息科技風(fēng)險評估工作,提高某銀行信息科技風(fēng)險管理水平,促進(jìn)我行業(yè)務(wù)安全、持續(xù)、穩(wěn)健發(fā)展,根據(jù)國家信息安全法律、法規(guī)及銀行業(yè)信息科技監(jiān)管要求及《某銀行信息科技風(fēng)險管理策略》,結(jié)合我行風(fēng)險管理實(shí)際情況,特制定本辦法。
第二條
本辦法屬于信息科技風(fēng)險類“管理辦法”,適用于某銀行信息科技工作全過程的風(fēng)險評估。風(fēng)險評估對象包括信息科技組織、管理過程和信息資產(chǎn)。
第三條
信息科技風(fēng)險,是指信息科技在合規(guī)管理、支持業(yè)務(wù)創(chuàng)新和業(yè)務(wù)運(yùn)營過程中,由于管理流程及資源缺失或不足、人為因素和技術(shù)漏洞產(chǎn)生的操作、法律、聲譽(yù)等風(fēng)險。
第四條
信息科技風(fēng)險評估是指在信息科技風(fēng)險事件發(fā)生之前或之后(但還沒有結(jié)束),該事件給信息系統(tǒng)的研發(fā)、生產(chǎn)等各個方面造成的影響和損失的可能性進(jìn)行量化評估的工作。
第五條
本辦法所指的信息科技風(fēng)險類型及來源包括但不限于以下內(nèi)容:
(一)信息科技總體風(fēng)險是指信息科技在策略、制度、物理環(huán)境、軟件、硬件、網(wǎng)絡(luò)、數(shù)據(jù)、文檔等方面影響全局或共有的風(fēng)險。
(二)信息系統(tǒng)風(fēng)險是指信息系統(tǒng)在規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)、監(jiān)控及下線過程中由于技術(shù)和管理缺陷產(chǎn)生的風(fēng)險。
(三)研發(fā)風(fēng)險是指信息系統(tǒng)在研發(fā)過程中組織、規(guī)劃、需求、分析、設(shè)計、編程、測試和投產(chǎn)等環(huán)節(jié)產(chǎn)生的風(fēng)險。
(四)運(yùn)行維護(hù)風(fēng)險是指信息系統(tǒng)在運(yùn)行與維護(hù)過程中訪問管理、操作管理、變更管理、機(jī)房管理和事件管理等環(huán)節(jié)產(chǎn)生的風(fēng)險。
(五)外包風(fēng)險是指本行將信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)、監(jiān)控等委托給業(yè)務(wù)合作伙伴或外部技術(shù)供應(yīng)商時形成的風(fēng)險。
第六條
信息科技風(fēng)險評估是識別、計量、評價信息科技風(fēng)險的活動,旨在客觀反映信息科技對我行發(fā)展戰(zhàn)略的支撐程度。
第七條
風(fēng)險評估應(yīng)遵循“全面覆蓋、突出重點(diǎn)、持續(xù)跟進(jìn)”的原則。
第八條
總行、一級分行的信息科技風(fēng)險評估(含自評估)工作應(yīng)遵照本辦法執(zhí)行。
第二章
角色分工
第九條
風(fēng)險評估可由總行信息科技管理委員會或一級分行發(fā)起,承擔(dān)機(jī)構(gòu)是風(fēng)險管理部,風(fēng)險管理部負(fù)責(zé)組建風(fēng)險評估實(shí) 施團(tuán)隊。風(fēng)險評估實(shí)施團(tuán)隊由管理層、相關(guān)業(yè)務(wù)和技術(shù)骨干等人員組成,評估工作角色分為:評估管理人員、評估人員、評估分 析人員。
(一)評估管理人員由風(fēng)險管理部信息科技風(fēng)險管理崗擔(dān)任,負(fù)責(zé)組織、管理、監(jiān)督風(fēng)險評估任務(wù),包括:
1.制定風(fēng)險評估任務(wù)計劃
2.設(shè)計風(fēng)險評估方案
3.審核風(fēng)險評估報告
4.確認(rèn)風(fēng)險處置建議
5.跟蹤風(fēng)險評估任務(wù)進(jìn)度
6.控制風(fēng)險評估任務(wù)質(zhì)量
(二)評估人員負(fù)責(zé)按照風(fēng)險評估任務(wù)要求,收集并提供信息和證據(jù),如實(shí)反映信息科技工作現(xiàn)狀。評估人員由評估對象 所涉及的相關(guān)技術(shù)或業(yè)務(wù)骨干人員擔(dān)任;
(三)評估分析人員負(fù)責(zé)匯總、整理和分析采集到的信息與證據(jù)材料,編寫風(fēng)險評估報告。評估分析人員由行內(nèi)經(jīng)驗豐富的專業(yè)人員擔(dān)任,必要時可聘請業(yè)內(nèi)專業(yè)人員。
第十條
在同一風(fēng)險評估任務(wù)中,評估實(shí)施團(tuán)隊成員不少于三人,評估管理人員和評估分析人員不得兼任評估人員。
第三章 風(fēng)險評估計劃
第十一條
總行和一級分行每年度應(yīng)開展一次整體信息科技風(fēng)險評估,兩次以上專項信息科技風(fēng)險評估。
第十二條
信息科技風(fēng)險評估要以信息科技風(fēng)險監(jiān)測信息、數(shù)據(jù)以及其他有關(guān)信息為基礎(chǔ),遵循科學(xué)、透明和個案處理的原則進(jìn)行。
第十三條
出現(xiàn)以下情況時,應(yīng)結(jié)合本單位以往風(fēng)險評估情況,確定是否啟動專項信息科技風(fēng)險評估:
(一)新系統(tǒng)上線后或已有系統(tǒng)進(jìn)行重大變更;
(二)信息科技運(yùn)行中發(fā)現(xiàn)重大紕漏或隱患;
(三)內(nèi)部或同業(yè)出現(xiàn)重大信息科技事件;
(四)信息科技審計中發(fā)現(xiàn)重大問題;
(五)監(jiān)管機(jī)構(gòu)發(fā)布風(fēng)險提示;
(六)其他情況。
第十四條
一級分行根據(jù)總行風(fēng)險評估工作要求,結(jié)合本行實(shí)際情況制定風(fēng)險評估計劃,并報總行備案。
第四章 風(fēng)險識別與評估方法
第十五條
風(fēng)險評估通過人工評估或自動化工具測評等手 段識別、分析支撐 IT 目標(biāo)的流程和資源中存在的缺失或不足,判斷風(fēng)險優(yōu)先級,提出風(fēng)險處置建議。
第十六條
總行信息科技管理委員會或一級分行發(fā)起風(fēng)險評估任務(wù),并下達(dá)任務(wù)書。評估管理人員依據(jù)任務(wù)書組織編寫風(fēng)險評估任務(wù)計劃書和風(fēng)險評估方案。
第十七條
評估管理人員組織人員依據(jù)評估對象的業(yè)務(wù)目標(biāo)識別IT 服務(wù)目標(biāo),進(jìn)而分析支撐IT 目標(biāo)的流程和資源,并針對流程要素和資源要素設(shè)計風(fēng)險檢查表。
第十八條
評估人員依據(jù)風(fēng)險檢查表,采用人工或自動化工具對評估對象的信息科技狀況進(jìn)行信息收集。信息收集可采用調(diào)查、檢查、安全測試等方式:
(一)調(diào)查包括問卷調(diào)查、遠(yuǎn)程訪談、現(xiàn)場訪談等;
(二)檢查包括文檔檢查、代碼檢查、流程檢查等;
(三)安全測試包括人工測試、自動化測試以及綜合性滲透測試等。
第十九條
評估分析人員采用定性或定量的計算方法,依據(jù)各類風(fēng)險對實(shí)現(xiàn) IT 目標(biāo)的影響,計算出評估對象的風(fēng)險優(yōu)先值或級別,并進(jìn)行分析:
(一)風(fēng)險成因分析,分析誘發(fā)風(fēng)險的主觀因素和客觀因素。主觀因素包括流程缺失、控制不足或無效等;客觀因素包括資源缺乏、內(nèi)外環(huán)境影響等。
(二)風(fēng)險占比分析,依據(jù)對IT 目標(biāo)的影響程度,分析評估對象當(dāng)前狀態(tài)下各類、各級風(fēng)險占比情況;
(三)風(fēng)險對比分析,對同次任務(wù)中不同機(jī)構(gòu)的風(fēng)險狀態(tài)進(jìn)行對比,分析各類風(fēng)險在不同機(jī)構(gòu)的分布狀況及影響;
(四)風(fēng)險趨勢分析,對不同時期的相同任務(wù)結(jié)果進(jìn)行對比,分析同一風(fēng)險的增強(qiáng)或減弱情況,了解風(fēng)險的發(fā)展趨勢。
第二十條
風(fēng)險分析可采用以下手段:
(一)專家經(jīng)驗;
(二)風(fēng)險分析模型;
(三)風(fēng)險分析工具。
第二十一條 評估分析人員針對風(fēng)險評估任務(wù)中揭示的風(fēng)險類型和狀態(tài),結(jié)合組織機(jī)構(gòu)、業(yè)務(wù)需求和安全要求,提出風(fēng)險處置建議,包括降低、轉(zhuǎn)移或消除風(fēng)險的措施、預(yù)期效果等。
第二十二條 評估分析人員編寫風(fēng)險評估報告,內(nèi)容包括風(fēng)險評估任務(wù)描述、風(fēng)險分析、風(fēng)險處置建議等。評估報告經(jīng)評估管理人員審核后提交信息科技管理委員會。
第二十三條 風(fēng)險評估過程(附件1)分為三個階段:風(fēng)險評估準(zhǔn)備、信息收集和風(fēng)險識別分析。
第五章 風(fēng)險評估準(zhǔn)備
第二十四條 根據(jù)風(fēng)險評估計劃,總行信息科技管理委員會或一級分行提出信息科技風(fēng)險評估任務(wù),編制風(fēng)險評估任務(wù)書(附件 2),明確任務(wù)目標(biāo)、評估對象、評估范圍、任務(wù)起止時間、風(fēng)險管理部門等。
第二十五條 風(fēng)險管理部組建風(fēng)險評估團(tuán)隊,指定風(fēng)險評估管理人員、風(fēng)險評估人員和風(fēng)險評估分析人員,并授權(quán)風(fēng)險評估團(tuán)隊開展風(fēng)險評估工作。
第二十六條 評估管理人員組織制定風(fēng)險評估任務(wù)計劃書(附件 3),明確風(fēng)險評估實(shí)施活動的計劃安排,主要包括:
(一)團(tuán)隊組織:包括成員名單、角色、職責(zé)等內(nèi)容;
(二)工作計劃:描述各階段的工作安排,包括工作內(nèi)容、時間進(jìn)度和各階段成果清單等內(nèi)容。
第二十七條 評估管理人員組織設(shè)計評估方案,評估方案包括風(fēng)險檢查表(附件4)、信息收集方式、風(fēng)險分析方法等。
第二十八條 設(shè)計風(fēng)險檢查表時遵循以下過程:
(一)分析評估對象的業(yè)務(wù)目標(biāo)和IT服務(wù)目標(biāo);
(二)識別實(shí)現(xiàn)IT 目標(biāo)的工作流程和資源;
(三)識別影響工作流程和資源中的關(guān)鍵因素,主要考慮各流程要素的活動內(nèi)容、關(guān)聯(lián)關(guān)系、流程目的、實(shí)現(xiàn)方式、所需資源等;
(四)根據(jù)關(guān)鍵因素設(shè)計風(fēng)險檢查項、檢查指標(biāo)和評價權(quán)重,形成風(fēng)險檢查表。
第二十九條 評估管理人員通過風(fēng)險評估啟動會等形式啟動具體風(fēng)險評估工作。
第六章 信息收集
第三十條
評估管理人員將風(fēng)險檢查表分發(fā)給評估人員,并告知信息收集方法及填寫要求。
第三十一條 評估人員通過調(diào)閱文檔、收集日志、現(xiàn)場訪談、工具測評等方式獲取風(fēng)險評估所需信息。信息內(nèi)容包括但不限于:IT 制度及執(zhí)行情況、技術(shù)文檔、以往審計報告、風(fēng)險管理報告、日志記錄、訪談記錄、測試報告等。
第三十二條 評估人員根據(jù)采集的信息,填寫風(fēng)險檢查表,并保留證據(jù)。
第三十三條 評估管理人員督查信息收集進(jìn)展情況,按計劃收回風(fēng)險檢查表,并審核填報信息質(zhì)量。必要時,可要求評估人員補(bǔ)充信息和附加證據(jù)。
第三十四條 評估管理人員將風(fēng)險檢查表提交評估分析人員。第七章 風(fēng)險分析
第三十五條 評估分析人員按評估方案確定的風(fēng)險分析方法對風(fēng)險檢查表進(jìn)行匯總、梳理,評定風(fēng)險等級,分析風(fēng)險成因,提出風(fēng)險處置建議,形成風(fēng)險評估報告(附件5)。報告包括但不限于以下內(nèi)容:
(一)風(fēng)險評估任務(wù)概述
(二)風(fēng)險評估活動描述
(三)風(fēng)險分析,包括總體風(fēng)險分析、風(fēng)險占比分析、風(fēng)險對比分析、風(fēng)險趨勢分析
(四)風(fēng)險成因分析
(五)風(fēng)險處置建議
(六)詳細(xì)風(fēng)險列表
第三十六條 評估分析人員將風(fēng)險評估報告提交評估管理人員。
第三十七條 評估管理人員定期督查風(fēng)險分析進(jìn)展情況,指導(dǎo)風(fēng)險分析工作,組織審核風(fēng)險評估報告,形成正式報告提交風(fēng)險管理部負(fù)責(zé)人。
第三十八條 風(fēng)險管理部將風(fēng)險評估報告上報信息科技管理委員會,并通過風(fēng)險評估任務(wù)總結(jié)會等形式,通報風(fēng)險評估情況。
第三十九條 風(fēng)險管理部將風(fēng)險評估資料歸檔管理。
第八章
附則
第四十條
本管理辦法由某銀行總行制定并負(fù)責(zé)解釋和修訂。
第四十一條 本管理辦法自發(fā)布之日起執(zhí)行。
第二篇:村鎮(zhèn)銀行信息科技風(fēng)險管理辦法
村鎮(zhèn)銀行信息科技風(fēng)險管理辦法
(征求意見稿)
第一章 總 則
第一條 為加強(qiáng)村鎮(zhèn)銀行信息科技風(fēng)險管理,確保科技體系持續(xù)穩(wěn)定運(yùn)轉(zhuǎn),根據(jù)《商業(yè)銀行信息科技風(fēng)險管理指引》等有關(guān)法律、法規(guī),制定本辦法。
第二條 信息科技風(fēng)險管理是通過建立有效機(jī)制,實(shí)現(xiàn)對銀行信息系統(tǒng)風(fēng)險的識別、計量、評價、預(yù)警和控制,推動村鎮(zhèn)銀行業(yè)務(wù)創(chuàng)新,提高信息化管理水平,保障村鎮(zhèn)銀行業(yè)務(wù)持續(xù)平穩(wěn)發(fā)展。
第二章 信息科技風(fēng)險管理組織架構(gòu)
第三條 信息科技風(fēng)險是指信息系統(tǒng)在規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)、監(jiān)控及退出過程中由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽(yù)等風(fēng)險。
第四條
發(fā)起行科技信息中心是村鎮(zhèn)銀行信息科技風(fēng)險的主要管理部門,發(fā)起行科技信息中心有以下信息科技風(fēng)險管理的權(quán)限和職責(zé):
(一)建立有效的信息科技風(fēng)險管理管理架構(gòu),完善內(nèi)部組織結(jié)構(gòu)和工作機(jī)制,防范和控制信息科技風(fēng)險管理;
(二)貫徹執(zhí)行國家有關(guān)信息系統(tǒng)相關(guān)法律、法規(guī)和技術(shù)標(biāo)準(zhǔn),落實(shí)人民銀行和銀監(jiān)會相關(guān)監(jiān)管要求;
(三)履行村鎮(zhèn)銀行信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)和管理職責(zé),建立、健全村鎮(zhèn)銀行信息科技風(fēng)險管理相關(guān)規(guī)章、制度,并嚴(yán)格執(zhí)行;
(四)負(fù)責(zé)村鎮(zhèn)銀行信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)和監(jiān)控等工作,提供村鎮(zhèn)銀行信息系統(tǒng)日常信息服務(wù)和運(yùn)行技術(shù)支持;
(五)負(fù)責(zé)指導(dǎo)和監(jiān)督村鎮(zhèn)銀行科技部門落實(shí)有關(guān)信息科技風(fēng)險管理的各項規(guī)章制度;
(六)發(fā)起行科技信息中心安全科是村鎮(zhèn)銀行信息科技風(fēng)險管理的牽頭部門,發(fā)起行科技信息中心各科室按其職責(zé)范圍承擔(dān)相應(yīng)工作。
第三章 信息科技風(fēng)險具體控制要求
第五條 信息科技總體風(fēng)險點(diǎn)是指信息系統(tǒng)在策略、制度、機(jī)房、軟件、硬件、網(wǎng)絡(luò)、數(shù)據(jù)、文檔等方面影響全局或共有的風(fēng)險。包括以下風(fēng)險點(diǎn):
(一)缺少信息系統(tǒng)風(fēng)險管理策略;
(二)自然災(zāi)害、運(yùn)行環(huán)境變化;
(三)信息系統(tǒng)相關(guān)規(guī)章制度、技術(shù)規(guī)范、操作規(guī)程不完善;
(四)信息安全標(biāo)準(zhǔn)化工作不符合國家相關(guān)規(guī)定;
(五)缺乏信息安全風(fēng)險評估機(jī)制;
(六)數(shù)據(jù)中心機(jī)房物理安全;
(七)使用盜版軟件及自有成果的知識產(chǎn)權(quán)保護(hù);
(八)電子設(shè)備自身運(yùn)行;
(九)主機(jī)與網(wǎng)絡(luò)運(yùn)行;
(十)網(wǎng)絡(luò)安全;
(十一)密碼安全;
(十二)數(shù)據(jù)加密安全;
(十三)信息系統(tǒng)配置參數(shù)管理;
(十四)數(shù)據(jù)管理;
(十五)突發(fā)事件響應(yīng);
(十六)信息系統(tǒng)故障導(dǎo)致影響銀行信譽(yù);(十七)網(wǎng)上銀行安全。
第六條 信息系統(tǒng)總體風(fēng)險控制措施:
(一)根據(jù)村鎮(zhèn)銀行信息系統(tǒng)總體規(guī)劃,在村鎮(zhèn)銀行風(fēng)險管理政策指引下,制定明確、持續(xù)的信息系統(tǒng)風(fēng)險管理策略,根據(jù)信息系統(tǒng)的等級保護(hù)級別對信息系統(tǒng)進(jìn)行分析和評估,并實(shí)施有效的風(fēng)險控制;
(二)建立同城信息系統(tǒng)災(zāi)備中心實(shí)現(xiàn)運(yùn)行環(huán)境備份,防止各類突發(fā)事故和惡意攻擊事件造成不良后果;
(三)建立健全相關(guān)信息科技制度,明確信息系統(tǒng)相關(guān)人員的職責(zé)權(quán)限,建立制約機(jī)制,實(shí)行最小授權(quán);
(四)嚴(yán)格執(zhí)行國家信息安全相關(guān)標(biāo)準(zhǔn),參照有關(guān)國際準(zhǔn)則,積極推進(jìn)信息安全標(biāo)準(zhǔn)化,開展信息安全等級保護(hù)等相關(guān)工作;
(五)加強(qiáng)對信息系統(tǒng)的風(fēng)險評估,及時對風(fēng)險點(diǎn)進(jìn)行修補(bǔ)和完善,以保證信息系統(tǒng)的安全性和完整性;
(六)信息系統(tǒng)數(shù)據(jù)中心機(jī)房建設(shè)時嚴(yán)格參照國家有關(guān)計算機(jī)場地、環(huán)境、供配電等技術(shù)標(biāo)準(zhǔn),數(shù)據(jù)中心機(jī)房實(shí)行嚴(yán)格的門禁管理措施,未經(jīng)授權(quán)不得進(jìn)入;
(七)加強(qiáng)知識產(chǎn)權(quán)保護(hù),使用正版軟件,加強(qiáng)軟件版本管理;積極研發(fā)具有自主知識產(chǎn)權(quán)的信息系統(tǒng)和相關(guān)金融產(chǎn)品,并采取有效措施保護(hù)村鎮(zhèn)銀行信息化成果;
(八)嚴(yán)格執(zhí)行與銀行信息系統(tǒng)相關(guān)的電子設(shè)備的選型、購置、登記、保養(yǎng)、維修、報廢等相關(guān)規(guī)程,選用的設(shè)備應(yīng)經(jīng)過技術(shù)論證,測試性能應(yīng)符合國家有關(guān)標(biāo)準(zhǔn)。信息系統(tǒng)所用的服務(wù)器等關(guān)鍵設(shè)備應(yīng)具有較高的可靠性、充足的容量和一定的容錯特性,并配置適當(dāng)數(shù)量的備品、備件;
(九)嚴(yán)格參照相關(guān)標(biāo)準(zhǔn)和規(guī)范設(shè)計、建設(shè)信息系統(tǒng)網(wǎng)絡(luò);網(wǎng)絡(luò)設(shè)備應(yīng)兼?zhèn)浼夹g(shù)先進(jìn)性和產(chǎn)品成熟性;關(guān)鍵網(wǎng)絡(luò)設(shè)備和線路應(yīng)有冗余備份;嚴(yán)格線路租用合同管理,按照業(yè)務(wù)和交易流量要
求保證傳輸帶寬;監(jiān)測和管理通信線路及網(wǎng)絡(luò)設(shè)備,保障網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行;
(十)加強(qiáng)網(wǎng)絡(luò)安全管理。嚴(yán)格網(wǎng)絡(luò)邊界控制,使用各種技術(shù)手段降低外部攻擊、信息泄漏等風(fēng)險;
(十一)加強(qiáng)信息系統(tǒng)加密機(jī)、密鑰、密碼、加解密程序等安全要素的管理,使用符合國家安全標(biāo)準(zhǔn)的密碼設(shè)備,完善安全要素生成、領(lǐng)取、使用、修改、保管和銷毀等環(huán)節(jié)管理制度;
(十二)加強(qiáng)數(shù)據(jù)采集、存貯、傳輸、使用、備份、恢復(fù)、抽檢、清理、銷毀等環(huán)節(jié)的管理;優(yōu)化系統(tǒng)和數(shù)據(jù)庫安全設(shè)置,嚴(yán)格按授權(quán)使用信息系統(tǒng)和數(shù)據(jù)庫,采用適當(dāng)?shù)臄?shù)據(jù)加密技術(shù)以保護(hù)敏感數(shù)據(jù)的傳輸和存取,以保證數(shù)據(jù)的完整性、保密性;
(十三)對信息系統(tǒng)配置參數(shù)實(shí)施嚴(yán)格的安全與保密管理,防止非法生成、變更、泄漏、丟失與破壞。根據(jù)敏感程度和用途,確定存取權(quán)限、方式和授權(quán)使用范圍,并嚴(yán)格審批和登記手續(xù);
(十四)制定信息系統(tǒng)相關(guān)應(yīng)急預(yù)案,并定期進(jìn)行演練、評審和修訂;
(十五)加強(qiáng)對技術(shù)文檔資料和重要數(shù)據(jù)的備份管理;技術(shù)文檔資料和重要數(shù)據(jù)應(yīng)保留副本并異地存放,按規(guī)定年限保存,調(diào)用時應(yīng)嚴(yán)格授權(quán)管理;
(十六)在信息系統(tǒng)可能影響客戶服務(wù)時,及時通知業(yè)務(wù)部門,以便以適當(dāng)方式告知客戶;
(十七)采取有效技術(shù)措施,切實(shí)加強(qiáng)網(wǎng)上銀行信息安全保
障。加強(qiáng)網(wǎng)銀用戶身份認(rèn)證管理,與業(yè)務(wù)部門密切配合,逐步對所有網(wǎng)上銀行高風(fēng)險賬戶操作統(tǒng)一使用雙重身份認(rèn)證。積極研發(fā)和應(yīng)用各類維護(hù)網(wǎng)上銀行使用安全的技術(shù)和手段,保證安全技術(shù)和管理水平能夠持續(xù)適應(yīng)網(wǎng)上銀行業(yè)務(wù)發(fā)展的安全要求。
第七條
信息科技研發(fā)風(fēng)險的操作風(fēng)險點(diǎn)是指信息系統(tǒng)在研發(fā)過程中組織、規(guī)劃、需求、分析、設(shè)計、編程、測試和投產(chǎn)等環(huán)節(jié)產(chǎn)生的風(fēng)險。包括以下風(fēng)險點(diǎn):
(一)信息系統(tǒng)項目研發(fā)管理;
(二)信息系統(tǒng)項目開發(fā)人員外包;
(三)信息系統(tǒng)項目需求不明確;
(四)信息系統(tǒng)測試不規(guī)范或不完善;
(五)信息系統(tǒng)應(yīng)用推廣;
(六)信息系統(tǒng)測試發(fā)現(xiàn)的軟件缺陷;
(七)信息系統(tǒng)項目文檔管理;
(八)信息系統(tǒng)項目驗收。
第八條
信息科技研發(fā)風(fēng)險具體控制要求:
(一)一般項目研發(fā)成立項目工作小組,重大項目還應(yīng)成立項目領(lǐng)導(dǎo)小組,并指定負(fù)責(zé)人。項目領(lǐng)導(dǎo)小組負(fù)責(zé)項目的組織、協(xié)調(diào)、檢查、監(jiān)督工作。項目工作小組由業(yè)務(wù)人員、技術(shù)人員和管理人員組成,具體負(fù)責(zé)整個項目的開發(fā)工作;
(二)項目工作小組人員應(yīng)具備與項目要求相適應(yīng)的業(yè)務(wù)經(jīng)驗與專業(yè)技術(shù)知識,小組負(fù)責(zé)人需具備組織領(lǐng)導(dǎo)能力,保證信息
系統(tǒng)研發(fā)質(zhì)量和進(jìn)度;
(三)項目組根據(jù)業(yè)務(wù)部門項目需求編制項目功能說明書,依據(jù)項目功能說明書分別編寫項目總體技術(shù)框架、項目設(shè)計說明書,設(shè)計和編碼應(yīng)符合項目功能說明書的要求;
(四)軟件研發(fā)必須建立獨(dú)立的測試環(huán)境,以保證測試的完整性和準(zhǔn)確性。一般測試應(yīng)包括功能測試、安全性測試、壓力測試、驗收測試等,測試不得直接使用生產(chǎn)數(shù)據(jù);
(五)研發(fā)人員必須根據(jù)測試結(jié)果修補(bǔ)信息系統(tǒng)的功能和缺陷,提高信息系統(tǒng)的整體質(zhì)量;
(六)根據(jù)職責(zé)范圍配合業(yè)務(wù)人員分別編寫操作說明書、技術(shù)應(yīng)急方案、業(yè)務(wù)連續(xù)性計劃、投產(chǎn)計劃、應(yīng)急回退計劃,并進(jìn)行演練;
(七)開發(fā)過程中所涉及的各種文檔資料應(yīng)經(jīng)相關(guān)部門、人員的簽字確認(rèn)并歸檔保存;
(八)軟件開發(fā)項目必須進(jìn)行嚴(yán)格的項目驗收流程,項目驗收應(yīng)出具由相關(guān)負(fù)責(zé)人簽字的項目驗收報告,驗收不合格不得投入使用。
第九條 信息科技運(yùn)行維護(hù)風(fēng)險的操作風(fēng)險點(diǎn)是指信息系統(tǒng)在運(yùn)行與維護(hù)過程中操作管理、變更管理、機(jī)房管理和事件管理等環(huán)節(jié)產(chǎn)生的風(fēng)險。包括以下風(fēng)險點(diǎn):
(一)人為因素導(dǎo)致信息系統(tǒng)運(yùn)行故障;
(二)運(yùn)行管理不完善;
(三)信息系統(tǒng)日常變更;
(四)新建信息系統(tǒng)運(yùn)行;
(五)機(jī)房環(huán)境變化;
(六)信息系統(tǒng)故障報告程序。
第十條 信息科技運(yùn)行維護(hù)風(fēng)險具體控制要求:
(一)信息系統(tǒng)運(yùn)行人員應(yīng)實(shí)行專職,不得由其他人員兼任。運(yùn)行人員應(yīng)按操作規(guī)程巡檢和操作。對生產(chǎn)狀態(tài)的軟硬件、數(shù)據(jù)進(jìn)行維護(hù)應(yīng)符合授權(quán)和維護(hù)規(guī)程要求;
(二)相關(guān)信息系統(tǒng)運(yùn)行維護(hù)人員嚴(yán)格按照信息系統(tǒng)管理制度及維護(hù)手冊運(yùn)行及維護(hù)信息系統(tǒng)。對軟件或數(shù)據(jù)的維護(hù)必須通過上級審批、授權(quán)后方可進(jìn)行;
(三)制訂嚴(yán)格的信息系統(tǒng)變更處理流程,明確變更流程中各崗位的職責(zé)分工,并遵循流程實(shí)施控制和管理;
(四)在信息系統(tǒng)投產(chǎn)后一定時期內(nèi),應(yīng)配合業(yè)務(wù)部門,積極參與組織對系統(tǒng)的后評價,根據(jù)評價及時對系統(tǒng)功能進(jìn)行調(diào)整和優(yōu)化;
(五)對機(jī)房環(huán)境設(shè)施實(shí)行日常巡檢,明確信息系統(tǒng)及機(jī)房環(huán)境設(shè)施出現(xiàn)故障時的應(yīng)急處理流程和預(yù)案;
(六)實(shí)行事件報告制度,發(fā)生信息系統(tǒng)造成重大經(jīng)濟(jì)、聲譽(yù)損失和重大影響事件,應(yīng)即時上報并處理,必要時啟動應(yīng)急處理預(yù)案。
第十一條
信息科技外包風(fēng)險的操作風(fēng)險點(diǎn)外包風(fēng)險是指
銀行將信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)、監(jiān)控等委托給業(yè)務(wù)合作伙伴或外部技術(shù)供應(yīng)商時形成的風(fēng)險。包括以下風(fēng)險點(diǎn):
(一)信息科技外包需求控制風(fēng)險;
(二)信息科技外包承包方合作風(fēng)險;
(三)信息科技外包項目商業(yè)風(fēng)險;
(四)信息科技外包項目安全風(fēng)險;
(五)信息科技外包項目質(zhì)量風(fēng)險;
(六)信息科技外包項目風(fēng)險管理;
(七)信息科技外包項目責(zé)任風(fēng)險;(入)信息科技外包項目監(jiān)控風(fēng)險。
第十二條 信息科技外包風(fēng)險具體控制要求:
(一)在進(jìn)行信息系統(tǒng)外包時,應(yīng)根據(jù)風(fēng)險控制和實(shí)際需要,合理確定外包的原則和范圍,認(rèn)真分析和評估外包存在的潛在風(fēng)險,建立健全相關(guān)規(guī)章制度,制定相應(yīng)的風(fēng)險防范措施;
(二)建立健全外包承包方評估機(jī)制,充分審查、評估承包方的經(jīng)營狀況、財務(wù)實(shí)力、誠信歷史、安全資質(zhì)、技術(shù)服務(wù)能力和實(shí)際風(fēng)險控制與責(zé)任承擔(dān)水平,并進(jìn)行必要的盡職情況調(diào)查。評估工作可委托具有國家相應(yīng)監(jiān)管部門認(rèn)定資質(zhì)、具有相關(guān)專業(yè)經(jīng)驗的獨(dú)立機(jī)構(gòu)完成;
(三)與承包方簽訂書面合同,明確雙方的權(quán)利、義務(wù),并規(guī)定承包方在安全、保密、知識產(chǎn)權(quán)方面的義務(wù)和責(zé)任;
(四)充分認(rèn)識外包服務(wù)對信息系統(tǒng)風(fēng)險控制的直接和間接
影響,并將其納入總體安全策略和風(fēng)險控制之中;
(五)建立完整的信息系統(tǒng)外包風(fēng)險評估與檢測程序,審查管理外包產(chǎn)生的風(fēng)險,提高本機(jī)構(gòu)的外包管理的能力;
(六)信息系統(tǒng)外包風(fēng)險管理應(yīng)符合風(fēng)險管理標(biāo)準(zhǔn)和策略,并建立針對信息系統(tǒng)外包風(fēng)險的應(yīng)急計劃;
(七)與信息系統(tǒng)外包承包方建立有效的聯(lián)絡(luò)、溝通和信息交流機(jī)制,并制定在意外情況下能夠?qū)崿F(xiàn)承包方的順利變更辦法,保證信息系統(tǒng)外包服務(wù)不間斷的應(yīng)急預(yù)案;
(八)對信息系統(tǒng)外包承包方進(jìn)行持續(xù)的監(jiān)控。
第四章 附 則
第十三條 各支行可依據(jù)本辦法,結(jié)合本單位實(shí)際情況,制定具體實(shí)施細(xì)則。
第十四條 本辦法由村鎮(zhèn)銀行負(fù)責(zé)解釋和修訂。第十五條 本規(guī)定自印發(fā)之日起施行。
第三篇:銀行風(fēng)險的識別、評估與內(nèi)部控制
銀行風(fēng)險的識別、評估與內(nèi)部控制
Bank Risks'Identification,Assessment And Internal Control
楊海群
按語
本文原載于法律出版社2006年出版2007年再版的書《金融審判與銀行債權(quán)保護(hù)》。文中的圖示和注釋等因為網(wǎng)絡(luò)格式轉(zhuǎn)換而未加。希望讀者進(jìn)一步閱讀作者的專著《公司治理與銀行控制》下卷中“加強(qiáng)選配評審,防止領(lǐng)導(dǎo)風(fēng)險”這一章。
“銀行風(fēng)險的識別、評估與內(nèi)部控制”這個題目涉及兩方面:一方面涉及的是風(fēng)險管理,另一方面涉及內(nèi)部控制。不管是法律工作者還是銀行的管理者,都會遇到下面要提出來的問題,就是怎么來處理業(yè)務(wù)發(fā)展和管理控制的關(guān)系,怎么在實(shí)現(xiàn)戰(zhàn)略目標(biāo)的過程中,一方面把握住我們自己,另一方面也把握住我們所領(lǐng)導(dǎo)的團(tuán)隊?另外,怎么防止銀行的工作人員或者業(yè)務(wù)活動失去控制?搞法律的人員不如搞經(jīng)營管理的涉入那么多的具體業(yè)務(wù),但是由于你們是銀行的法律工作者,所以就不能夠站在一般律師的服務(wù)角度去服務(wù)于銀行。因為你們已經(jīng)加入了銀行的管理隊伍。今年銀監(jiān)會和黨中央提出銀行管理要滿足四個條件:第一個叫資本充足,就是銀行要保證有足夠的資本金;第二個內(nèi)控要嚴(yán)密,還不是一般的內(nèi)部管理,而是內(nèi)部控制要嚴(yán)密;第三個運(yùn)營要安全,實(shí)際上運(yùn)營安全也是要在前兩者的基礎(chǔ)之上才能實(shí)現(xiàn);第四個服務(wù)和效益要好,沒有安全,也不可能服務(wù)好或者說令客戶滿意,服務(wù)差也不可能把效益搞上去。這是銀監(jiān)會《關(guān)于中國銀行、中國建設(shè)銀行公司治理改革與監(jiān)管指引》文件很明確地提出來的要求。中行和建行要重組上市,就要實(shí)現(xiàn)銀監(jiān)會提出的四個要求。恐怕農(nóng)行和工行下一步也要遇到這個問題,也準(zhǔn)備在中行和建行上市成功之后,經(jīng)歷這個過程。我們這兩家銀行先試一試,估計在上市過程中會有更多的難題。
我們研究一個問題總是要抓住一些本質(zhì)性的東西。有一個美國的企業(yè)家寫了一本書叫《基業(yè)常青》,他把一個一般的企業(yè)發(fā)展成比較大的企業(yè),積累了一些經(jīng)驗,他的書里面有這么一句話:“偉大的公司要想生存,必須擁有一個持久的觀念,這個觀念必須從屬于整個公司。即使有遠(yuǎn)見的領(lǐng)導(dǎo)人與世長辭以后,這種所謂的觀念也會永存。這種觀念并不是圍繞某個人或者一個整體,而是圍繞一個決定公司發(fā)展目標(biāo)的思想體系建立起來。有遠(yuǎn)見的公司,之所以能夠成功,原因就在于無論發(fā)生什么變化,它們的核心觀念毫不動搖。”他說得很深刻,他說:“只有從過眼煙云的變革中看到背后永恒的管理法則,人們才能真正了解到偉大公司的偉大之處。”我也在想這個問題,中國銀行偉大不偉大?90多年的歷史,應(yīng)該是一個偉大的公司,但是這個偉大公司的偉大之處怎么體現(xiàn)呢?那就看我們能不能建立和遵循我們的公司治理法則。所以我認(rèn)為內(nèi)部控制很重要,實(shí)際上內(nèi)控原理是一種管理法則,我們通過研究內(nèi)部控制的理論來轉(zhuǎn)變我們的經(jīng)營觀念,來增強(qiáng)控制意識,提高管理水平,這恰恰就是我國的國有銀行向商業(yè)銀行轉(zhuǎn)變和上市的基本前提。我把它識為一種基本前提,那就是說我不認(rèn)為只要一個銀行能夠跑到股票市場上去,在那里銷售我們的股票,來套股民的錢,我們就是一個公司治理機(jī)制良好的銀行。因為它上市成功的前提首先要具備較多的控制意識,有較好的管理水平。其實(shí)巴塞爾委員會對這個問題也是提出了很高的要求,把它強(qiáng)調(diào)到一個很重要的地位。一個有效的內(nèi)部控制系統(tǒng)是銀行管理的關(guān)鍵內(nèi)容,是銀行組織機(jī)構(gòu)安全和良好運(yùn)營的關(guān)鍵,這是巴塞爾委員會提出的要求。一個強(qiáng)有力的內(nèi)控系統(tǒng),能夠幫助確保銀行機(jī)構(gòu)的目標(biāo)和目的的實(shí)現(xiàn),使得銀行取得長期的利潤目標(biāo),維護(hù)財務(wù)報告和管理報告的可靠性,并且確保銀行遵循法律和規(guī)章制度,以及一系列政策、計劃、內(nèi)部規(guī)定和程序,減少始料不及的損失和有損銀行聲譽(yù)的風(fēng)險。為了強(qiáng)調(diào)內(nèi)控,我重點(diǎn)介紹下面四個方面的問題: 第一,是介紹內(nèi)部控制理論已經(jīng)解決的問題。第二,從我在中行的新體驗來看看我們國家銀行內(nèi)部控制的發(fā)展。第三,我們對銀行當(dāng)前內(nèi)部的控制問題進(jìn)行初步的研究。第四,提出一些政策建議僅供大家參考。
一、內(nèi)控理論已經(jīng)說明的問題
我們在提到銀行的管理、銀行的控制這樣一個題目的時候,我覺得搞法律的人員不是那么熟悉,因為我在中國銀行,法律工作人員大都很年輕,在管理學(xué)上、在銀行的控制理論上,還是缺乏知識的,這里有知識的結(jié)構(gòu)問題。所以很有必要來探討一下內(nèi)部控制的理論。
首先內(nèi)部控制的理論已經(jīng)明確了內(nèi)控在銀行中間的地位。任何一個組織要維護(hù)它良好的職能機(jī)構(gòu)都必須認(rèn)真對待四個問題:第一個就是治理問題,包括銀監(jiān)會經(jīng)常說的公司治理機(jī)制;第二個就是風(fēng)險管理;第三個叫內(nèi)部控制;第四個叫保障措施。首先明確一下概念。中央領(lǐng)導(dǎo)、國務(wù)院領(lǐng)導(dǎo)經(jīng)常說公司治理,到底公司治理是干什么的?是研究什么的?我有一次到德國開國際會議,與美國的一個高級審計官員探討過這個問題。公司治理的核心問題是如何委托資源以便于實(shí)施某項任務(wù)。再說得明白一點(diǎn),就是找什么人來做這個銀行行長和各級經(jīng)管人員,以便于把商業(yè)銀行的各項業(yè)務(wù)做好。找誰?是找王雪冰還是找其他人?為什么找王雪冰?他出了問題,怎么才能找到另一個人不出問題或者少出問題?公司治理就是找誰當(dāng)行長,找什么人當(dāng)總經(jīng)理和各級經(jīng)管人員。像中國銀行大約有200位總行高管干部,包括行長,找誰擔(dān)任這樣的職務(wù),要明確誰來干,明確誰承擔(dān)這個責(zé)任,看看他們怎么承擔(dān)這個責(zé)任。這叫公司治理。
風(fēng)險管理是什么呢?風(fēng)險管理是一種程序,它要識別風(fēng)險,評估風(fēng)險,并針對風(fēng)險來制定相應(yīng)對策。商業(yè)銀行里都有一個部叫做風(fēng)險管理部,在銀行,風(fēng)險管理部是很重要的部,這個部干什么呢?它要分析銀行運(yùn)用資產(chǎn)有什么樣的風(fēng)險,這些風(fēng)險究竟有多大,銀行可接受的風(fēng)險的水平有多高,然后銀行既然有這么多的風(fēng)險,采取什么政策對付這些風(fēng)險,這叫風(fēng)險管理。
內(nèi)控是干什么的?內(nèi)部控制是公司的核心管理內(nèi)容,它是公司通過治理來實(shí)現(xiàn)公司目標(biāo)的有力手段。銀行通過風(fēng)險管理發(fā)現(xiàn)了風(fēng)險,認(rèn)定了風(fēng)險,評價了風(fēng)險,并且制定了風(fēng)險應(yīng)對的對策,之后怎么辦?要采取一系列措施和經(jīng)營管理程序加強(qiáng)內(nèi)部控制,防范風(fēng)險。
另外,還有一個確保反饋的系統(tǒng),這是一個通過交流反饋和咨詢來促進(jìn)上面三項內(nèi)容能夠順利開展的程序。就是保證上面能夠開展這些活動。我在我的《公司治理與銀行控制》這本書上就描繪了一張圖說明上述四種治理機(jī)制的相互關(guān)系,現(xiàn)在銀行領(lǐng)導(dǎo)也好,中央領(lǐng)導(dǎo)也好,經(jīng)常講這幾個概念,但是我們需要把它們界定清楚。
如果你要經(jīng)營一個企業(yè),開一個銀行,首先得有一個目標(biāo),這個目標(biāo)確定了之后,靠什么來管風(fēng)險?一個靠公司治理,找一些人——可靠的人、能干的人,把他們叫來,安排他們工作。然后組織其中一部分人來分析,我要實(shí)現(xiàn)這些目標(biāo),有哪些風(fēng)險,怎么對付這些風(fēng)險,制定風(fēng)險政策。然后要有大量的人在操作的層面和管理的層面實(shí)行內(nèi)部控制。把這些活動通過一個確認(rèn)反饋系統(tǒng),最終實(shí)現(xiàn)公司目標(biāo),就是資本充足、內(nèi)控嚴(yán)密、運(yùn)營安全、服務(wù)和良好效益。
國際上對內(nèi)部控制也有大量的研究,美國有個權(quán)威機(jī)構(gòu)叫COSO,提出了一個比較完整的內(nèi)控理論和操作方法,后來又提出完整的風(fēng)險管理的理論。實(shí)際上各國都在探索,英國也有一個CADBURY模式,后來它發(fā)展或TURBULL。加拿大叫COCO理論。一些發(fā)展中國家,例如南非也有一套理論,叫KING,都在研究內(nèi)控。為什么這樣重視內(nèi)控?就是前面講的偉大公司的背后的管理法則。1998年9月份巴塞爾委員會又提出了一個關(guān)于銀行體系內(nèi)部控制框架,這個在網(wǎng)上能夠搜索出來。2003年美國COSO又進(jìn)一步提出更加完整的理論,不完全是內(nèi)控,把內(nèi)控放在風(fēng)險管理的框架里。所以內(nèi)部控制的發(fā)展一步一步最后形成了巴塞爾委員會內(nèi)控的指導(dǎo)原則,一共有13項原則。而且內(nèi)部控制在概念上也從部分控制論發(fā)展到全控制論。部分控制論講的控制是會計控制、財物管理控制,后來又發(fā)展到稽核,各個銀行都有稽核隊伍,然后又超越財務(wù)范疇,把內(nèi)控滲透到經(jīng)營和管理各個方面。控制滲透在各個微觀經(jīng)營管理活動的毛孔里。而且內(nèi)部控制也由過去只強(qiáng)調(diào)財務(wù)會計和財務(wù)信息的管理到更加強(qiáng)調(diào)提高經(jīng)營管理的效果和效率,更加強(qiáng)調(diào)管理政策。這是一個發(fā)展。
我們研究一下到底什么叫內(nèi)控?現(xiàn)在的內(nèi)控理論已經(jīng)把內(nèi)控設(shè)定為比較科學(xué)的定義:“內(nèi)控是一種為合理保證實(shí)現(xiàn)下述四大目標(biāo)的動態(tài)過程,動態(tài)的程序。”它的每一個詞都是有道理的,是合理保證實(shí)現(xiàn)四大目標(biāo)的動態(tài)過程,原來提的是三大目標(biāo),現(xiàn)在有所發(fā)展,又提出第四大目標(biāo)。它補(bǔ)充的那個目標(biāo)就是戰(zhàn)略性的目標(biāo)。
什么叫戰(zhàn)略性的目標(biāo)?就是內(nèi)部控制要符合和支持銀行機(jī)構(gòu)的總?cè)蝿?wù)的完成,要有相當(dāng)高度的視野,這是一種高層次的目標(biāo)。上面提到的資本充足,這就是戰(zhàn)略性目標(biāo),中央確定我們要實(shí)現(xiàn)國有商業(yè)銀行資本充足,這是戰(zhàn)略決策,不是具體到結(jié)算業(yè)務(wù),還是零售業(yè)務(wù),還是公司業(yè)務(wù)這種微觀層面的目標(biāo)。過去的國有商業(yè)銀行不講究要資本充足,國家不給我們補(bǔ)助資本金,中國銀行一開始是財政部劃撥的那點(diǎn)錢,后來核銷呆賬沒有撥過資本,有利潤全部上交國家、上交財政,現(xiàn)在提出來要滿足8%資本金充足率,要實(shí)現(xiàn)這個,國家給我們中國銀行225億美元讓我們來充實(shí)銀行的資本,另一個也允許我們在盈利中間拿出一塊,使我們的資產(chǎn)達(dá)到充足的標(biāo)準(zhǔn),今后就要靠自己的努力了。這就是戰(zhàn)略。
第二種目標(biāo)叫操作性目標(biāo)。銀行不能不講效果,不能不講效率,在我們貸款的時候,在我們?nèi)谫Y的時候,在我們做業(yè)務(wù)的時候,要保證銀行避免損失。執(zhí)行各種內(nèi)控操作的程序,確保組織當(dāng)中所有人都來有效率的工作,甚至還要注意道德的完整性,而不發(fā)生不應(yīng)有的過高成本。特別要強(qiáng)調(diào),不能把任何其他的利益置于銀行的利益之上,比如為自己雇員的利益發(fā)獎金,為了讓大家得到獎金,寧肯使銀行冒操作性的風(fēng)險。或者給關(guān)系人貸款,為了某些客戶的利益,而不顧銀行的利益。或者為了個人的權(quán)利,拉拉打打、玩權(quán)術(shù)、市宗派。
還有第三個目標(biāo),叫做信息性目標(biāo)。這里包括財務(wù)和管理的信息,過去只是強(qiáng)調(diào)財務(wù)的信息,現(xiàn)在巴塞爾委員會強(qiáng)調(diào)還有管理的信息,都要可靠、完整,并且能及時地提供。我們在寫各種報告的時候,都要做到這點(diǎn),而且要定期發(fā)布可靠的財務(wù)報告,披露真實(shí)的信息。將來我們上市了,也要給股東寫報告,給銀監(jiān)會、人民銀行寫報告,對外公布的財務(wù)報告要經(jīng)過監(jiān)管當(dāng)局認(rèn)可的會計師事務(wù)所審定。而且董事會、管理者在做決策的時候,要有信息基礎(chǔ),這個信息必須充分、有質(zhì)量和完整。我們的財務(wù)報表要有明確定義的會計原則。這次中國銀行上市,其中一個內(nèi)容就是要搞盡職調(diào)查,我們要聘請外部律師事務(wù)所給我們幫忙,我們要向他們?nèi)鐚?shí)地報一系列的材料,最后這個材料要交到律師事務(wù)所審查。中國銀行干了這么多年,出了多少年報,年報后面的會計報表不僅前沒有會計師事務(wù)所簽字。國外的會計報表和年報最后除了銀行行長簽字、銀行總會計師或者財務(wù)總監(jiān)簽字以外,還有中央銀行認(rèn)可的外部審計師要簽字,而我們過去沒有。要真實(shí)披露,我們的工農(nóng)中建可能存在倒閉的問題,如果嚴(yán)格按照巴塞爾委員會的要求有可能會摘牌了。所以我們上市以后,壓力很大。但我們需要披露,我們有責(zé)任向股民說清。
還有第四大目標(biāo)叫遵從性目標(biāo)。符合法律和規(guī)章制度。巴塞爾委員會特別強(qiáng)調(diào),要確保銀行所有的經(jīng)營都遵從適當(dāng)?shù)姆珊鸵?guī)章,遵從監(jiān)管的要求,遵從本組織——銀行的政策和程序,其中一個特別重要的就是業(yè)務(wù)流程。如果業(yè)務(wù)流程不熟悉、不遵從,違規(guī)經(jīng)營的話,就沒有實(shí)現(xiàn)這個目標(biāo)。為什么要這么做?要保護(hù)銀行的“特權(quán)”。實(shí)際上銀行是有特權(quán)的,不是所有的企業(yè)都能干銀行,也不是所有的金融機(jī)構(gòu)都能干銀行的事,銀行是被經(jīng)濟(jì)社會選拔出來的能夠勝任這項工作的金融機(jī)構(gòu)。為什么銀行要有聲譽(yù)?別的公司也強(qiáng)調(diào)信譽(yù),但都沒有銀行的信譽(yù)強(qiáng)調(diào)得更高。有不少人也抱怨,別的國營單位蓋大樓,中央要批評,但是銀行為什么可以?我們中國銀行的樓,我走過了幾十個國家,我還真沒見過這么好的銀行大廈,法蘭克福的金融中心建設(shè)得夠高級了,英國的City夠氣派了,你到那里看看,有沒有比中國銀行的樓更高級的,我覺得還沒有。這里也確有太奢華的問題,但為什么中行這么蓋大樓,建行、工行都蓋了不小的大樓,中央沒批評,因為它有個形象和聲譽(yù)問題。因為銀行很需要體現(xiàn)它的權(quán)威和不可動搖性。我在河北掛職的時候,河北中央銀行門前的獅子是銅做的,斜對面有一個紡織品進(jìn)出口公司,獅子也不小,但央行的比公司的還大一倍。銀行的職業(yè)特征決定了它需要一定的聲譽(yù)和權(quán)威。當(dāng)然,這種聲望和權(quán)威應(yīng)該是內(nèi)在的,不能只靠表面的豪華去裝飾。
工農(nóng)建都設(shè)有法律部門,都起名叫法律部,我們中國銀行為什么出了一個法律與合規(guī)部?直接的原因是紐約分行的事件,給我們很大的教訓(xùn)。有人說你把你們的行長都賠進(jìn)去了,那都不是最重要的教訓(xùn),最重要的教訓(xùn)是紐約分行使我們認(rèn)識到過去我們搞銀行的時候,對合規(guī)重視得很不夠,而一些大型的國際化的銀行在行內(nèi)設(shè)有很大的部叫合規(guī)部,來抓合規(guī)工作。我們總結(jié)了在紐約的沉痛教訓(xùn),感到有必要把合規(guī)工作提上日程。銀行一定要依法合規(guī)經(jīng)營。而內(nèi)部控制的理論實(shí)際上把“合規(guī)”作為一個目標(biāo)。中國的銀行考核底下的員工都把效益作為考核的重點(diǎn),利潤是考核的重點(diǎn),但是內(nèi)控理論中明確指出要把依法合規(guī)作為考核的四大目標(biāo)之一,如果不考核當(dāng)然各級單位就不朝這個方面努力,不在這個地方扣分,憑什么在這個地方花費(fèi)資源?
內(nèi)部控制的定義說明了幾個問題:
第一,內(nèi)部控制是一種程序,這個程序意味著它朝著某個方向去努力,但是它永遠(yuǎn)達(dá)不到那個終點(diǎn),因為這個終點(diǎn)是它不斷要達(dá)到的目標(biāo)。
第二,銀行要搞內(nèi)部控制,離不開人的影響,不是說搞內(nèi)部控制就是去念幾條規(guī)章制度,而要有人在這里起作用。
第三,內(nèi)部控制是為公司管理層提供合理的保障,但不是絕對的。萬事都不能絕對化,絕對化就是形而上學(xué)。內(nèi)控是提供合理的保障,是對解決銀行問題有利。不是說一抓內(nèi)控就什么問題都不會出來。
第四,內(nèi)控是有多重目標(biāo)的,內(nèi)控有四個目標(biāo),第一個目標(biāo)是戰(zhàn)略設(shè)定,第二個目標(biāo)是經(jīng)營的效果和效益,第三個目標(biāo)是信息性目標(biāo),第四個目標(biāo)是遵從性目標(biāo)。內(nèi)部控制為的是目標(biāo)的實(shí)現(xiàn),通過一些活動,一個有機(jī)結(jié)合的整體,去實(shí)現(xiàn)公司的目標(biāo)。這是很值得我們學(xué)習(xí)內(nèi)部控制的方面。
內(nèi)部控制可分解為五大組成部分的內(nèi)容:第一個強(qiáng)調(diào)控制環(huán)境,第二個強(qiáng)調(diào)風(fēng)險評估,第三個要開展控制活動,第四個要進(jìn)行信息的交流,第五個要進(jìn)行監(jiān)督評審。這是內(nèi)部控制的五大組成部分。為什么從理論上強(qiáng)調(diào)這些內(nèi)容,不是我們要講一些花哨的名詞,而是這五大組成部分比較充分和完整地說明了內(nèi)控的主要內(nèi)容,使我們明白了應(yīng)該怎么執(zhí)行內(nèi)控,又怎么進(jìn)行評價。怎么評價內(nèi)控?我建議就從這五個方面。
另外COSO又提出八大組成部分,這是從風(fēng)險管理角度講的。下面是風(fēng)險管理的八大內(nèi)容:內(nèi)控環(huán)境、戰(zhàn)略目標(biāo)設(shè)定,事件的認(rèn)識或者是了解,另外風(fēng)險評估、風(fēng)險對策、控制活動、信息與交流、監(jiān)督評審。這是八個組成部分的內(nèi)容。首先要確定目標(biāo),開展經(jīng)營活動必須有目標(biāo),我銀行要搞好,我的目標(biāo)是什么?支行有支行的目標(biāo),二級分行有二級分行的目標(biāo),一級分行和總行都有目標(biāo)。風(fēng)險管理也是一個有機(jī)結(jié)合的整體,也要強(qiáng)調(diào)內(nèi)部的環(huán)境,就是前面說的控制環(huán)境。目標(biāo)設(shè)定以后,要有些事要做,一件事叫“事件識別”,就是要看這些事有什么風(fēng)險,要開展公司業(yè)務(wù)、零售業(yè)務(wù)、結(jié)算業(yè)務(wù)、信用卡業(yè)務(wù),銀行所有的業(yè)務(wù),這些業(yè)務(wù)有什么風(fēng)險要評估,評估完了以后要有風(fēng)險對策。既然你都評估了,怎么處理這些風(fēng)險,要有政策、有策略。然后,就進(jìn)入了內(nèi)部控制。這里我解釋風(fēng)險管理是希望說明它與內(nèi)控的關(guān)系。
概括起來,內(nèi)控分為五大組成部分的內(nèi)容。內(nèi)控五大組成部分最基礎(chǔ)的地方是在控制環(huán)境上,然后進(jìn)行風(fēng)險評估,還要開展控制活動,在控制活動開展的過程中間,又要不斷交流信息,寶塔尖上強(qiáng)調(diào)監(jiān)督、評審。從風(fēng)險管理的角度來分析,這個模式或框架還包含四大目標(biāo)。戰(zhàn)略性、操作性、信息性、遵從性、合規(guī)性,這是五個目標(biāo),這是一個層面的東西。從內(nèi)控的角度來分,目標(biāo)是四個,但內(nèi)容可以比風(fēng)險管理少三大內(nèi)容。就是以上概括的五大組成部分的內(nèi)容。這還僅僅是兩維的空間,第三維空間就是不同的部門,各個級別的部門。第三維空間,比如法律事務(wù)部或者是公司業(yè)務(wù)部、零售業(yè)務(wù)部,這些部門組成第三維空間,這三維空間組成立體的模型。實(shí)際上我們在講一種思維方式,我們是在這樣一個立體空間里搞銀行。把任何一個部門抽出來,比如把公司業(yè)務(wù)部抽出來,都有四大目標(biāo),都有五大組成部分的內(nèi)容在里面。這說明一個什么問題?說明我們可能利用思維方式,利用模型,利用這個理論,探討出管理銀行,評價銀行的方式。為什么巴塞爾委員會這個國際銀行監(jiān)管的機(jī)構(gòu),要支持這么一種理論?是因為這個理論有用,是因為這個理論發(fā)展到今天,能涵蓋我們銀行的主要業(yè)務(wù)、主要工作。
從“控制環(huán)境”的角度怎么理解呢?實(shí)際上控制環(huán)境是所有各個方面的基礎(chǔ),是一個帶動銀行開展工作的“發(fā)動機(jī)”。這里包括銀行的行風(fēng)、組織風(fēng)紀(jì),它還涉及銀行活動的核心——人(員工),而且要通過影響人們的控制覺悟來形成銀行的“文化”,就是銀行究竟提倡什么,特別是注意人們對內(nèi)控的認(rèn)識和態(tài)度,你有沒有控制理論,有沒有高度的內(nèi)部控制覺悟,也就是重視內(nèi)部控制,特別是由于這個環(huán)境不同,你的戰(zhàn)略目標(biāo)的實(shí)現(xiàn)就受到影響。我們國家如果沒有長期穩(wěn)定搞建設(shè)的環(huán)境,中央不會提出國民經(jīng)濟(jì)翻翻這樣的戰(zhàn)略。這里還涉及風(fēng)險管理的一些哲學(xué),開展風(fēng)險管理是避險為主還是冒險為主呢?風(fēng)險管理是什么文化?這些東西都是控制環(huán)境里的。我們理解控制環(huán)境也是希望大家在評價某個部門的時候,比如上級讓你去公司業(yè)務(wù)部檢查一下他們的內(nèi)部控制怎么樣,首先建議你評價控制管理的環(huán)境如何。我后面還會強(qiáng)調(diào)環(huán)境方面的建設(shè)。
第二大組成部分是“風(fēng)險評估”。風(fēng)險評估是什么?就是你要去識別和分析那些妨礙實(shí)現(xiàn)經(jīng)營管理目標(biāo)的風(fēng)險,這是風(fēng)險管理決策的基礎(chǔ)。我們搞內(nèi)部控制,必須要認(rèn)識風(fēng)險,這和風(fēng)險的定義有關(guān)系。什么叫作風(fēng)險?有人說就是損失,或者有人從概念角度說是造成損失的可能性,這些都對,但是更精確、更科學(xué)、更接近本質(zhì)的風(fēng)險定義是什么?就是妨礙實(shí)現(xiàn)目標(biāo)的所有因素。為什么這么說?就是我們干什么事都是要有目標(biāo),什么叫我干這件事的風(fēng)險呢?就是我有哪些東西干擾我實(shí)現(xiàn)這個目標(biāo)。我曾經(jīng)舉了一個很生動的例子,比如說有一個武士,他在射箭,要打中一只鳥,什么是他的風(fēng)險呢?打不中是他可能的結(jié)果,怎么會影響他打不中呢?一個顯然是他自己的本事,他有沒有力氣拉開這個弓,拉到足夠滿的程度。他的視力是不是好?他是不是能夠正確地判別目標(biāo)所存在的位置以及他自己的經(jīng)驗?說到這兒,是不是風(fēng)險就沒了,不對。當(dāng)他拉弓的時候,雖然拉的很滿,但是他是頂風(fēng)拉的,風(fēng)力很大,影響他。天要是突然刮起了大風(fēng),烏云遮蓋了整個天空,太陽沒有了,看不見了,這也是風(fēng)險。如果一切都非常好,但是拉弓的英雄喜愛美人,旁邊過來一個美女,他分心了,也射不中。要想實(shí)現(xiàn)目標(biāo),各種因素都可能是風(fēng)險,只要它們妨礙你達(dá)到你的目標(biāo)。所以我們在講銀行風(fēng)險的時候,有人總是想設(shè)定一下是信貸風(fēng)險、利率風(fēng)險、市場風(fēng)險,其實(shí)這都是一些業(yè)務(wù)上的風(fēng)險,很少有人提到人的風(fēng)險,而且很少有人涉及更廣泛的,凡是能夠形成對銀行目標(biāo)實(shí)現(xiàn)造成影響的其他一些風(fēng)險,例如員工有沒有參與賭博、炒股,甚至包“二奶”等,很少有人更廣泛去考慮,就是因為在風(fēng)險的定義上不夠準(zhǔn)確,沒有明確風(fēng)險更本質(zhì)的定義。在風(fēng)險管理的體系框架中,COSO把目標(biāo)的設(shè)定加進(jìn)來,然后有一個事件的識別,有風(fēng)險的評估,然后要制定風(fēng)險對策。這四個方面恰恰是風(fēng)險管理的主要內(nèi)容,也是搞銀行風(fēng)險管理四個最本質(zhì)的工作。
第三大組成部分是“控制活動”。你既然是搞內(nèi)控,不可能不參加控制活動,使目標(biāo)的實(shí)現(xiàn)有合理的保證。經(jīng)營目標(biāo)的實(shí)現(xiàn)需要發(fā)布一些管理指令,要采取一些防范化解風(fēng)險的措施、政策、程序,像高層的檢查,直接地參與管理,對信息進(jìn)行加工、對實(shí)物進(jìn)行控制,比如確定指標(biāo)、究竟今年要完成多少利潤等。特別是職責(zé)的分離,職責(zé)不分是現(xiàn)在銀行發(fā)生重大案件的一個很普遍的原因。如果交易、記賬和尾箱管理都由“一手清”,就難保不出事。內(nèi)控還要針對目標(biāo)相關(guān)的風(fēng)險發(fā)布控制指令,各種各樣的指令。
第四大組成部分存在于所有的經(jīng)營管理活動中,“信息與交流”應(yīng)使員工能夠搜集和交換為開展經(jīng)營從事管理和進(jìn)行控制等活動所需要的信息。管理者應(yīng)該經(jīng)常評價員工的工作業(yè)績,注意以評價監(jiān)督的方式來開展工作,根據(jù)一些會計數(shù)據(jù)分析并發(fā)出一些預(yù)警信號,確保有關(guān)經(jīng)營目標(biāo)的實(shí)現(xiàn)。這個信息與交流在總行層面是最大的問題,我們各個部門分管很細(xì),都有各自的職責(zé),一件事現(xiàn)在離開哪個部門干都不行,需要協(xié)調(diào)配合。可是在咱們一些銀行體系當(dāng)中,協(xié)調(diào)配合能力特別差,其中的一個癥結(jié)就在信息與交流上。我想法律部的人員也會有同感,說叫你去審查一個合同,把合同拿來了,以為很容易發(fā)現(xiàn)合同中存在的問題。有的時候送審的人員都不知道給你這個合同讓你審什么。后來我們制定了合同審查表,叫“合同審查意見申請表”,這個表讓你說明送審合同的目的,你究竟讓我審什么?這個合同產(chǎn)生的背景是什么?這里有哪些法律疑難問題需要我們法律部審查?過去有沒有審過?有的人拿過來第二次審了,但沒有告訴,我重審一遍。說我們法律部門解決的問題,合規(guī)方面要不要解決,是不是合規(guī)?我覺得一項法律合同首先要合規(guī),業(yè)務(wù)不合規(guī),談不上跟人家簽合同。這些問題都是一個配合的問題,都是一個信息交流的問題。
還有一個內(nèi)容是“監(jiān)督評審”,現(xiàn)在咱們國家已經(jīng)開始重視這個問題,就是干什么事都注意監(jiān)督,但是這里我所說的監(jiān)督評審是評價內(nèi)部控制持續(xù)操作質(zhì)量的一個過程。要評價內(nèi)部控制到底在你們這個部門是有效的,還是無效的?這個監(jiān)督評審是經(jīng)營管理部門對內(nèi)部控制的管理監(jiān)督和稽核監(jiān)察部門對內(nèi)部控制再監(jiān)督、再評價的總稱。也就是說監(jiān)督不僅僅是稽核、監(jiān)察部門的職責(zé),更重要的是經(jīng)營管理部門自身的職責(zé)。這個概念不是一下子能認(rèn)識到。過去一提到監(jiān)督,肯定是監(jiān)察部、稽核部它們的事,為什么我們法律與合規(guī)部要成立一個合規(guī)處?從管理的角度制定了許許多多的制度和規(guī)定執(zhí)行了沒有?執(zhí)行的情況怎么樣?我們不能不管。我相信工、農(nóng)、中、建都有法律部,都有這個職責(zé),就是管規(guī)章制度的制定和監(jiān)督。我們管到這個層面是不是就夠了?實(shí)踐證明不夠,咱們銀行為什么出一大堆問題?為什么出那么多案子?哪一個流程沒有規(guī)章制度?我們現(xiàn)在凡是發(fā)行一個新的業(yè)務(wù),新的產(chǎn)品,首先是規(guī)章制度,規(guī)章制度不出臺,流程不出臺,不明確,這項業(yè)務(wù)就不能開展。問題就出在新的業(yè)務(wù)上。一方面規(guī)章制度跟不上需要,一方面有章不循,不執(zhí)行規(guī)章制度,讓稽核監(jiān)察去查查,必須有人時常監(jiān)督規(guī)章制度是否執(zhí)行,執(zhí)行有力還是不力,全面不全面,不執(zhí)行、違規(guī)經(jīng)營,造成的損失和問題誰來負(fù)責(zé),如何追究責(zé)任,如何進(jìn)行處罰,這一點(diǎn)非常重要,沒有這項工作,規(guī)章制度就是形同虛設(shè)。為什么現(xiàn)在出現(xiàn)大量問題?因為你不去監(jiān)督管理它,總是想著要實(shí)現(xiàn)利潤目標(biāo),為了“短、平、快”,經(jīng)常把一些規(guī)矩打破,打破這些規(guī)矩的結(jié)果產(chǎn)生風(fēng)險。可是不注意這些風(fēng)險的管理,出了問題以后,就讓整個銀行蒙受巨大的損失。
所以,四大目標(biāo)是縱向的列,五組成部分是橫向的排,和內(nèi)部控制相關(guān)的工作單元或活動是第三維空間。我們隨意抽出任何一個單位,我把某一列抽出來都有五大組成部分,我把橫排抽出來,都和四大目標(biāo)密切聯(lián)系。這是一種思維方式,是我們抓內(nèi)控的一種原理性的認(rèn)識。
當(dāng)然,巴塞爾委員會還講要監(jiān)管當(dāng)局對內(nèi)部控制系統(tǒng)進(jìn)行評價。2002年央行到我們行全面檢查內(nèi)部控制,我們的被查部門手忙腳亂,要報這么多材料,好多東西不知道,內(nèi)部控制搞什么,怎么報告,做了各種準(zhǔn)備,迎接人民銀行來檢查內(nèi)控。過去不夠重視內(nèi)部控制,非要人民銀行來查才進(jìn)一步重視。為什么監(jiān)管當(dāng)局要著重對內(nèi)控進(jìn)行檢查和評價?不要以為商業(yè)銀行都有內(nèi)控的自覺性,它再有自覺性,也沒有高到足夠的程度。人民銀行要定期不定期地查。我說的是一個挺重要的理論問題。我有一個導(dǎo)師是倫敦經(jīng)濟(jì)學(xué)院經(jīng)濟(jì)系的主任,他寫過一篇文章叫《為什么銀行需要一個中央銀行》,他從信息論的角度提出商業(yè)銀行有必要接受監(jiān)督這個問題。巴塞爾委員會關(guān)于內(nèi)部控制的第13條原則就是講商業(yè)銀行需要中央銀行監(jiān)督,不僅監(jiān)督表內(nèi)業(yè)務(wù),甚至監(jiān)督表外業(yè)務(wù),還有新業(yè)務(wù)。凡是監(jiān)管者確定某銀行的內(nèi)部控制系統(tǒng)不能充分或有效地針對銀行的具體風(fēng)險,監(jiān)管者應(yīng)當(dāng)采取適當(dāng)?shù)男袆印0腿麪栁瘑T會說話是有分量的,“適當(dāng)?shù)男袆印保裁葱袆樱课覀兗~約分行曾經(jīng)險些被停牌,讓你注意你已經(jīng)降到多少級,使你提高交融資成本。再不小心,我停止你經(jīng)營。現(xiàn)在外國銀行到中國來,最怕的就是中央銀行,銀監(jiān)會也好,中央銀行也好,國外有深刻體會,匯豐銀行這些大銀行對當(dāng)?shù)刂醒脬y行非常畏懼,中國的商業(yè)銀行對人民銀行的畏懼程度遠(yuǎn)遠(yuǎn)不如外國銀行對人家的中央銀行的畏懼性,為什么?這里反映了雙方的問題,一方面商業(yè)銀行自律性不強(qiáng),另一方面銀監(jiān)會和人民銀行對商業(yè)銀行的監(jiān)督不夠得力,商業(yè)銀行被罰款不夠多。我們在美國一項罰數(shù)達(dá)二千萬美元,這算少的。看看安然公司倒閉了以后,一些大審計公司被罰到最后倒閉。安德信是國際上最大的審計公司,就為安然事件倒閉了。人民銀行實(shí)際上也對內(nèi)部控制提出很多要求。我記得當(dāng)時人民銀行對每項業(yè)務(wù)都提出了要求,我看了看銀監(jiān)會對商業(yè)銀行內(nèi)部控制的檢查評價體系基本上采納了COSO和巴塞爾委員會提出的要求,特別強(qiáng)調(diào)一種內(nèi)部控制的文化,這是巴塞爾委員會和COSO提出來的,這種文化體現(xiàn)在銀行的評價制度、職責(zé)分離的要求、橫向與縱向相互監(jiān)督制約的機(jī)制、報告關(guān)系、輪換制和強(qiáng)制休假制度、授權(quán)體系,還有對分支機(jī)構(gòu)的管理和控制、賬目核對、監(jiān)控制度、會計制度、應(yīng)急制度、獨(dú)立的法律合規(guī)的要求,等等。
有個問題值得探討:合規(guī)部門如何要具備它的獨(dú)立性?我在稽核部門也干過,稽核部門也存在獨(dú)立性和垂直性,稽核部門比較難做,我不知道其他銀行是不是這樣,我在稽核部門深有體會。銀行系統(tǒng)那些一線部門的同事總認(rèn)為自己是創(chuàng)造利潤的主要部門,在行長面前匯報工作的時候都是一派理直氣壯的樣子,要是輪到監(jiān)督部門和管理部門說話的時候,似乎底氣不那么足。外國大銀行稽核部門說到哪個部門去查你就去查。而我們還要發(fā)個通知,告訴你我兩個星期或者一個月之后,要到你那里去檢查什么。人家那兒有時根本不告訴你,來了把你抽屜打開,你乖乖地站在那兒看著在那兒查。我在中國銀行法規(guī)部管合規(guī),我問過人家匯豐銀行、渣打銀行的同行,我問他們合規(guī)權(quán)威如何,他們說都很怕合規(guī)官。因為很多重大的問題要合規(guī)官審批,批不批就在他一個簽字而這些審批都是獨(dú)立進(jìn)行的。我經(jīng)常遇到這種情況,現(xiàn)在強(qiáng)調(diào)法律與合規(guī)的重要性,動不動把你叫去開會,什么文來了讓你簽字。他找你簽,像是尊重你又像不是尊重你,有的時候?qū)嶋H上想讓你認(rèn)可,說是還是不是,你要說是,我做了以后別找我碴兒。在我們部門工作的同志大都年輕,工作忙了,哪審得了這么多,一看既然他們都定了,我無異議,回復(fù)給人家。我心里打鼓,我最怕看到哪個經(jīng)辦或處長拿給我看三個字“無異議”,現(xiàn)在有什么事能讓你一點(diǎn)異議沒有?現(xiàn)在沒有那么干凈的事,拿到你這個法律部門審查的時候,可能是想繞一繞、拐一拐,你說無異議,那就干吧,因為無異議說明什么問題都不該有。我跟協(xié)議處說不要輕言無異議,一提無異議,就說明我這個部門對這個問題沒意見,萬一出個問題,吃不了兜著走。我感覺應(yīng)該使銀行的經(jīng)營部門尊重管理部門,也要讓銀行的經(jīng)營管理部門尊重監(jiān)督人員,這是非常重要的。如果不尊重,說明這個銀行內(nèi)部控制有問題,起碼在控制文化上有問題,他反感控制,不讓你控制,想讓你變著法不控制,但是他又讓你簽字。銀行今后應(yīng)該采取措施,使這些管理具有權(quán)威性、監(jiān)督有權(quán)威性、稽核有權(quán)威性、法律與合規(guī)部門有權(quán)威性。現(xiàn)在不是都講錢嗎?考核要有正確的考核體系。
強(qiáng)調(diào)內(nèi)控的時候也應(yīng)該注意:內(nèi)部控制不是萬能的,內(nèi)控不可能把一個本質(zhì)上很壞的經(jīng)營管理者變好,不可能左右政府的一些政策和計劃的改變,不可能對外部競爭對手的行為和客觀經(jīng)濟(jì)條件的變化都把握好,它有局限性。再有財務(wù)報表可靠不可靠,不是說你內(nèi)控絕對能夠保證的,假如支行的行長指揮著支行的會計去假造財務(wù)報表,會是什么問題?新會計法有一大修改,就是會計報表第一責(zé)任人是企業(yè)負(fù)責(zé)人,我覺得這條非常好,過去一說某個企業(yè)造了假賬是會計造的,其實(shí)回過頭來一檢查,能有幾個會計自己造假,是他的領(lǐng)導(dǎo),他們那些廠長、黨委書記讓他造假,他是被迫的。
我們應(yīng)該提倡依法合規(guī)經(jīng)營,千萬不要違規(guī),或者明知道這個不合法,也不向法律部門說明需要針對它進(jìn)行審查,想蒙混過關(guān),想得到法律部門的認(rèn)可,得到銀行老總的簽字,求得一時的解脫,這要不得。
國際上內(nèi)部控制的發(fā)展的趨勢給了我們一些啟示。
一是強(qiáng)調(diào)高級管理層的控制責(zé)任。首先董事會要充分理解銀行的主要風(fēng)險。黨委,高級管理層的內(nèi)控基調(diào)是不是對?看交響樂團(tuán),在準(zhǔn)備演出的時候先請鋼琴師定一下音?這就是讓全團(tuán)有一個基調(diào),控制也要有一個基調(diào)。這個基調(diào)要由多級管理層確定。
二是要大力提倡和營造一種控制文化。上述的一些現(xiàn)象實(shí)際上就是控制文化上的問題。一方面,董事會和高級管理層要負(fù)責(zé)明確各級員工在道德上和完整性方面的高標(biāo)準(zhǔn),人格要完整,要講職業(yè)道德,并且在機(jī)構(gòu)中要建立一種文化,向各級的人員強(qiáng)調(diào)和說明內(nèi)部控制的重要性、合規(guī)的重要性、法律的重要性。我在工作中深感在國有商業(yè)銀行的員工中,特別是在高級管理人員中,很有必要提倡道德修養(yǎng),加強(qiáng)職業(yè)道德建設(shè)。在國有銀行商業(yè)化的過程中,這方面有待改進(jìn)。有的高級管理者不是把銀行的利益放在第一位,而是帶頭把個人的權(quán)利和利益放在第一位。而銀行里用人的時候不夠重視他(她)們這方面的表現(xiàn),不夠關(guān)注群眾這方面的反映,結(jié)果是在基層,甚至在總行高管人員中,不斷發(fā)生重大案件。另一方面,銀行所有的員工都應(yīng)在內(nèi)控的程序中間發(fā)揮作用,控制不只是高管人員的事,而是人人有份。上至總行,下至分理處、儲蓄所,每個崗位上的人都承擔(dān)特定的控制責(zé)任。有效的內(nèi)部控制系統(tǒng)的一項實(shí)質(zhì)性內(nèi)容就是建立強(qiáng)有力的控制文化,沒有這種控制文化,法律工作也不好搞,合規(guī)工作也不好搞,監(jiān)督機(jī)構(gòu)會形同虛設(shè)。
還有四點(diǎn)我要強(qiáng)調(diào)指出:
第一是正確理解內(nèi)控和管理的關(guān)系,進(jìn)一步認(rèn)識內(nèi)控在管理活動中的重要意義,要盡快地由領(lǐng)導(dǎo)決策層帶動,動員各級員工營造良好的控制文化,按照內(nèi)控的四大目標(biāo)和五大組成部分,實(shí)行對經(jīng)營管理中間各種風(fēng)險的逐級控制,以內(nèi)控為有力武器,提高經(jīng)營管理水平。
第二是正確理解內(nèi)控和風(fēng)險管理的關(guān)系,進(jìn)一步確立內(nèi)控在風(fēng)險管理體系中的重要地位,防止以風(fēng)險評估代替內(nèi)部控制。要按照上面介紹的內(nèi)控原則和系統(tǒng)框架盡快建立起適合中國國情的內(nèi)控組織結(jié)構(gòu),例如建立內(nèi)部控制委員會和內(nèi)部審計委員會,來加強(qiáng)對風(fēng)險的整體研究、評估和管理控制。
第三是正確理解內(nèi)控和內(nèi)部審計的關(guān)系,我曾經(jīng)專門發(fā)表了一篇論文,叫“正確處理內(nèi)控與稽核的關(guān)系”。內(nèi)控首先不是稽核監(jiān)督部門的責(zé)任,而是業(yè)務(wù)的經(jīng)營管理部門的工作;內(nèi)控主要不是稽核監(jiān)督部門的工作,而主要是經(jīng)營管理部門的工作;內(nèi)控的檢查評價主要不是稽核監(jiān)督部門的責(zé)任,而主要是經(jīng)營管理部門的責(zé)任;不過,稽核監(jiān)督部門對內(nèi)控負(fù)有再監(jiān)督、再評價的重要的職責(zé)。明確上面說的四個要點(diǎn),并且在監(jiān)督評審當(dāng)中注意保持稽核與合規(guī)系統(tǒng)的獨(dú)立性,加強(qiáng)對各種風(fēng)險的識別和評估,建立和督促對控制缺陷的糾正。不要發(fā)現(xiàn)了一些問題,稽核報告寫了,合規(guī)的報告指出了,讓他糾正,下回還是出現(xiàn)那些問題,還是沒糾正。這就表明內(nèi)控失效。
第四就是內(nèi)部控制應(yīng)該有一套有效方法,要搞內(nèi)部控制,要控制風(fēng)險,必須有一套完整的系統(tǒng)性的操作方法。現(xiàn)在多數(shù)銀行在做這項工作的時候,都做得比較傳統(tǒng),一些行領(lǐng)導(dǎo)忙于業(yè)務(wù)發(fā)展,滿足于“頭痛醫(yī)頭,腳痛醫(yī)腳”,怕內(nèi)控影響發(fā)展。實(shí)際上已經(jīng)有一套先進(jìn)的方法提了出來,我在我的那本書《公司治理與銀行控制》(中國金融出版社2001年版)里介紹了一整套的方法,而且對信貸、項目評審、信貸資產(chǎn)的五級分類和銀行行長選配等一些方面都做了一些理論聯(lián)系實(shí)際的探討。我希望總行帶頭規(guī)范地運(yùn)用這套好方法。
(待續(xù))
注釋:本文原載于法律出版社2006年出版2007年再版的書《金融審判與銀行債權(quán)保護(hù)》。
銀行風(fēng)險的識別、評估與內(nèi)部控制
楊海群
(接 I)
二、銀行內(nèi)部控制的足跡
下面我把我們在中國銀行抓內(nèi)部控制的工作體會粗略介紹一下。我認(rèn)為我們行大概經(jīng)過了這么幾個階段。第一個階段是在20世紀(jì)90年代中期以前,只有少數(shù)的領(lǐng)導(dǎo)人員和少數(shù)的稽核人員知道內(nèi)部控制的概念,概念也不準(zhǔn)確,全行控制的意識是比較薄弱的,案件不斷發(fā)生。資產(chǎn)質(zhì)量也是越來越差。在那個階段里,銀行的問題比改革以前要多。計劃經(jīng)濟(jì)的時候,銀行并沒有多少案件,不像今天這樣,動不動出現(xiàn)一個非常大的案件,每一次都要刷新記錄,過去沒有。就是改革之后,市場的約束沒上來,計劃的約束又丟了、失控了,所以資產(chǎn)質(zhì)量就下降。
第二個階段是推進(jìn)內(nèi)部控制的階段。那是1997年5月份人民銀行發(fā)布了“商業(yè)銀行內(nèi)部控制的指導(dǎo)原則”。我們總行要求制定中國銀行的內(nèi)部控制原則,我們抓了一個授權(quán)管理的制度規(guī)定,在人民銀行的授權(quán)管理規(guī)定基礎(chǔ)上做的。我們在1998年正式公布了內(nèi)部控制原則,而且我們在那個時候就已經(jīng)在中國銀行正式文件中間明確了稽核要以COSO理論框架來檢查和評價內(nèi)控工作。對監(jiān)察報送有關(guān)材料進(jìn)行分析發(fā)現(xiàn),我們行發(fā)生的案件絕大部分在基層。涉案人員絕大部分是基層的領(lǐng)導(dǎo)干部,大部分涉案人員又都是20多歲至30多歲的年輕人。后來我們總稽核室對總行零售業(yè)務(wù)首次進(jìn)行了內(nèi)控稽核檢查。
第三個階段,2000年前后我們進(jìn)入一個理論探索的階段。2000年我們組織總行兩個業(yè)務(wù)部門和兩個管理部門編寫出版了一本書叫《中國銀行信貸內(nèi)控指引(貸款分冊)》。這里講一件小事,1998年的時候總行有個部門報告說內(nèi)控到底由誰抓,前行長王雪冰在報告上大筆一揮:“內(nèi)控只是稽核部門的工作。”我們一看不對了,我在人民銀行的《稽核監(jiān)督研究》上發(fā)表一篇文章《正確認(rèn)識內(nèi)控與稽核的關(guān)系》,實(shí)際上沒點(diǎn)名地針對這個批示,糾正錯誤觀點(diǎn)。后來我們按照人民銀行的部署成立了一個信貸清分辦公室,當(dāng)時總行調(diào)我去同一些同事領(lǐng)導(dǎo)貸款的五級分類,我運(yùn)用了COSO的內(nèi)部控制理論,組織清分辦公室的同志們共同編寫了一套《中國銀行貸款資產(chǎn)分類指南》,后來金融出版社出版了。
2001年中國金融出版社出版了我寫的專著《公司治理與內(nèi)部控制》,我首次在內(nèi)部控制原理基礎(chǔ)上提出了一套內(nèi)控的比較完整的操作體系,提出了內(nèi)控、風(fēng)險管理和公司治理三者之間到底是什么關(guān)系。王雪冰任職期間,行里的案子特別多,也使后來的領(lǐng)導(dǎo)感覺到加強(qiáng)內(nèi)部控制的重要性。中行的總行各個部門和分行逐步完善制度,加強(qiáng)內(nèi)控,提了很多很好的建議,其中一個就是將法律事務(wù)部改為法律與合規(guī)部。
第四個階段,我們進(jìn)入了內(nèi)控強(qiáng)化階段。因為2002年5月,人民銀行發(fā)布了《商業(yè)銀行的內(nèi)部控制指引》,進(jìn)一步將內(nèi)控提到一個新的高度,人民銀行開展對中行各個部門的內(nèi)部控制全面檢查。總行法律與合規(guī)部根據(jù)行領(lǐng)導(dǎo)要求要研究內(nèi)部控制,解決壞人做壞事想干干不成的問題。由于內(nèi)部控制不好,到基層檢查工作的時候,會感到震驚。干得成壞事很自然,而干不成才奇怪?只要想干肯定干的成,干不成不奇怪,為什么呢?因為在一些環(huán)節(jié)上幾乎沒控制。你說錢箱的鑰匙他拿著,庫的鑰匙他拿著,庫里有登記簿由他登記,這樣的情況他能不貪污?給他條件讓他去偷,最后案子出來一檢查,保衛(wèi)工作的那些規(guī)定不落實(shí)。后來行領(lǐng)導(dǎo)組織了總經(jīng)理級以上的干部,召開了研究會,研討我們行強(qiáng)化內(nèi)控建設(shè)的問題,黨委中心組2004年專門組織擴(kuò)大會議,叫外部律師事務(wù)所講內(nèi)控,怎么加強(qiáng)內(nèi)部控制,讓我來宣講內(nèi)部控制,又制定“中國銀行進(jìn)一步完善總行部門和一級機(jī)構(gòu)以上領(lǐng)導(dǎo)干部教育監(jiān)督的若干措施”,從高層去解決這個問題。
我們深深體會到合規(guī)工作是非常重要的。可是合規(guī)工作不是純法律問題,實(shí)際上是銀行業(yè)務(wù)的經(jīng)營管理方面的問題,是一個要熟悉銀行業(yè)務(wù)管理規(guī)定的問題,這就給法律部門在職能上增加了新的內(nèi)容,就是不能只是從法律上審查問題。另外,合規(guī)工作人員不能只是學(xué)法律的人,銀行建立了一個規(guī)矩,新員工進(jìn)了銀行以后,先到業(yè)務(wù)部門實(shí)習(xí)一年。合同審查的一個大問題就是應(yīng)知道某個地方該不該這么做,但是如果沒經(jīng)驗,不懂業(yè)務(wù),就無法建議這個合同應(yīng)該怎么改。這項業(yè)務(wù)這么做不行,但是怎么做更好,他會很為難。搞合規(guī)的人,應(yīng)該具備什么條件呢?起碼要有三五年以上銀行業(yè)務(wù)工作經(jīng)驗。就是說搞合規(guī)的人要懂得銀行業(yè)務(wù),而且今后大量的工作涉及合規(guī)性質(zhì)的問題,法律性質(zhì)的工作需要把關(guān),也很重要,但是訴訟的案件隨著銀行業(yè)的規(guī)范應(yīng)當(dāng)逐步減少下降,我們做了那么多年公司治理,做了那么多銀行改革,這么強(qiáng)調(diào)監(jiān)管,案件不應(yīng)該不斷上升,肯定今后的訴訟案會越來越少,非訴訟這塊工作會越來越重要。當(dāng)然不可能在短時間內(nèi)不搞訴訟,也可以說長久下去法律方面的審查工作都是需要的、都是重要的、都是不能削弱的,但是合規(guī)會成為重點(diǎn)性的工作。我們是通過自己的教訓(xùn)意識到這點(diǎn)的。
在這個階段里,由于認(rèn)識上的存在問題,中國銀行在抓內(nèi)控工作中還存在時緊時松的現(xiàn)象,在忙于股份制改革時,內(nèi)部控制有所松滯,產(chǎn)生許多漏洞,以致在以后發(fā)生了一系列大案(例如我們黑龍江分行轄內(nèi)發(fā)生的震驚世界的高山事件),沉痛的教訓(xùn)是值得銘記的!(待續(xù))
注釋:本文原載于法律出版社2006年出版2007年再版的書《金融審判與銀行債權(quán)保護(hù)》。
銀行風(fēng)險的識別、評估與內(nèi)部控制
楊海群
(上接 III)
四、僅供參考的政策建議
政策性建議之一,明確內(nèi)部控制的評價標(biāo)準(zhǔn)。我們今后要健全內(nèi)控,就要有標(biāo)準(zhǔn),干什么事都要有標(biāo)準(zhǔn)。我在20世紀(jì)90年代就提出過四條原則性的標(biāo)準(zhǔn)。第一是要有現(xiàn)代內(nèi)控理論做指導(dǎo),這是一個理論體系,沒有這個體系做指導(dǎo),非要自己單搞一攤,像許多人寫書,左抄右抄最后弄一本書,用上自己的名字,也不說明出處。我們的內(nèi)控依據(jù)應(yīng)當(dāng)扎實(shí)可靠,要站在前人成果的基礎(chǔ)上。第二是要形成完整的有機(jī)結(jié)合的整體。我前面給大家介紹的內(nèi)控體系和風(fēng)險管理體系,就是一種有機(jī)結(jié)合的完整體系。內(nèi)控有四大目標(biāo)和五大組成部分,加上組織機(jī)構(gòu)這第三維空間,就是個有機(jī)整體。我們開展內(nèi)控建設(shè)和管理,就應(yīng)該從這個框架(framework)出發(fā)。第三是方法上的先進(jìn)性和可操作性,就是實(shí)實(shí)在在地開展內(nèi)部控制,制定一整套規(guī)范的方法去開展內(nèi)控,這些方法也要能跟國際接軌,我的專著中介紹的那套方法是非常好的控制方法,是在總結(jié)國內(nèi)外經(jīng)驗的基礎(chǔ)上提出來的。第四是內(nèi)控程序應(yīng)當(dāng)便于計算機(jī)化,你既然有高科技創(chuàng)造的PC和軟件,就應(yīng)能實(shí)行計算機(jī)化。
政策性建議之二,績效考核要有合規(guī)性的目標(biāo)和信息性的目標(biāo)。內(nèi)控有四個大目標(biāo),現(xiàn)在大多數(shù)銀行主要提兩個目標(biāo),特別是利潤目標(biāo)(效益目標(biāo)),而沒有把合規(guī)性、信息性目標(biāo)提出來。美國一些公司的丑聞已經(jīng)導(dǎo)致各國強(qiáng)調(diào)目標(biāo)管理的全面性了,不是以利潤目標(biāo)讓你得到獎金。針對安然事件,美國國會通過的一個索克斯法,這個法律里面規(guī)定,高級管理層通過虛報瞞報財務(wù)報表贏得的獎金,一旦發(fā)現(xiàn),就讓退回原有的獎金,這等于把合規(guī)性和信息性(財務(wù)報告可靠性)的目標(biāo)作為績效考核的標(biāo)準(zhǔn)。
政策性建議之三,建議銀行把內(nèi)部控制的職能從風(fēng)險管理部的工作中分離出來,不知道工行是不是這樣,我們曾經(jīng)把它放在風(fēng)險管理部,風(fēng)險管理包含但不等同于內(nèi)部控制,“風(fēng)險管理部”同“風(fēng)險管理”不是同一概念。我一直這樣說明,它們的職能不同,風(fēng)險管理部門實(shí)行自身的內(nèi)控是應(yīng)該的,但是由這個部門去協(xié)調(diào)指導(dǎo)全部的內(nèi)部控制,就既可能干擾風(fēng)險管理,又可能使內(nèi)部控制落空。另外內(nèi)部控制是全行各個部門的工作,當(dāng)然我們最好有一個比較有權(quán)威的委員會來領(lǐng)導(dǎo),由一個獨(dú)立的部門具體管這個事。這里有一個正確處理風(fēng)險管理和內(nèi)部控制的關(guān)系問題,要理順風(fēng)險管理和內(nèi)部控制的關(guān)系。
政策性建議之四,正確處理業(yè)務(wù)發(fā)展和管理控制的關(guān)系。現(xiàn)在應(yīng)該大力提倡可持續(xù)的發(fā)展戰(zhàn)略。所謂可持續(xù)的發(fā)展,聯(lián)合國有關(guān)機(jī)構(gòu)認(rèn)為應(yīng)當(dāng)是現(xiàn)時的發(fā)展不給后續(xù)的發(fā)展造成困難,我們這代人的發(fā)展不能給后代的發(fā)展造成任何妨礙。銀行也一樣。你這任行長發(fā)放大批貸款,當(dāng)時有效益,新一任行長接手時形成了一大筆爛賬,就不是可持續(xù)發(fā)展。這點(diǎn)恐怕是商業(yè)銀行普遍遇到的問題。要建立信息交流制度,定期召開管理部門和業(yè)務(wù)發(fā)展部門之間的溝通會,對業(yè)務(wù)的可持續(xù)發(fā)展進(jìn)行定期的評審。一方面要強(qiáng)調(diào)業(yè)務(wù)發(fā)展部門依法合規(guī)經(jīng)營,審慎辦理各種項目,否則酌情追究責(zé)任。另一方面要研究制定管理控制部門和人員的責(zé)任追究制度,管理控制部門不是沒有責(zé)任,現(xiàn)在業(yè)務(wù)發(fā)展部門有數(shù)字指標(biāo)在那兒控制,沒有完成什么指標(biāo),就得扣獎金,管理部門沒有什么指標(biāo),怎么干的獎金都能發(fā)給你們。我以前也管過公司業(yè)務(wù)和結(jié)算業(yè)務(wù),也深有體會。如果風(fēng)險管理部審批一個項目拖拉怎么辦?因種種原因不批準(zhǔn)一個項目,風(fēng)險管理部要不要承擔(dān)風(fēng)險?風(fēng)險管理部大筆一揮這個項目不能干,你就不能干,至于說我們中行不辦,農(nóng)行接過來了,農(nóng)行給辦了,事后沒風(fēng)險,還獲得了效益,還本付息很正常,追究不追究風(fēng)險管理的責(zé)任?我曾經(jīng)跟風(fēng)險管理的同事討論過這個問題,他們說那怎么追究,我在特定時期、特定情況下、特定政策下決定不批準(zhǔn)這個項目,農(nóng)行在他的環(huán)境里面批準(zhǔn)了這個項目,你怎么能說我不對?這個問題有待于研究。業(yè)務(wù)發(fā)展與管理控制是一對矛盾,它們既對立又統(tǒng)一。只有正確處理,在矛盾中不斷提高水平。最好兩方面的人員,包括風(fēng)險管理、法律合規(guī)和稽核監(jiān)督人員,都應(yīng)該制定相關(guān)的責(zé)任制,要界定清楚什么情況屬于管理者失職或瀆職。這樣才能處理好所謂“踩油門”和“踩剎車”的關(guān)系。
政策性建議之五,為了加強(qiáng)對操作風(fēng)險的防范,要研究風(fēng)險怎么計量,國外都有一套理論模型,這套理論運(yùn)用到我們中國銀行界怎么運(yùn)用?需要研究和建立我們的操作風(fēng)險計量模型。另外,操作風(fēng)險的激烈表現(xiàn)就是案件的發(fā)生。各級機(jī)構(gòu)負(fù)責(zé)人員都要切實(shí)重視案件防范工作。加強(qiáng)基層管理和內(nèi)控建設(shè),落實(shí)規(guī)章制度,解決某些人想干干不成,干了早發(fā)現(xiàn)、早預(yù)警的問題。要根治私設(shè)小金庫,銀行更不能發(fā)生這個問題,小金庫最終帶來的后果是不好的。現(xiàn)在我們在查海外行,不讓海外行設(shè)小金庫。過去我們給海外行的工資比當(dāng)?shù)赝赓Y銀行發(fā)的低,怎么解決呢?他們經(jīng)總行批準(zhǔn)設(shè)一種小金庫,有時接待任務(wù)很重,也要有一點(diǎn)資金來源。但是我們發(fā)現(xiàn)設(shè)小金庫帶來的隱患很大,因此命令撤除小金庫。另外要禁止職工炒賣外匯或者炒賣股票,我們行發(fā)生的大量案例都是屬于規(guī)定了不許,但是還炒,炒輸了怎么辦?銀行人員從銀行掏錢比較容易,轉(zhuǎn)轉(zhuǎn)賬,搬搬科目,動動電腦上的鍵盤,就能解決這個問題。我們要加大有關(guān)責(zé)任人的追究。
政策性建議之六,希望能夠?qū)嵤┮惶妆容^好的內(nèi)部控制操作方法,講了半天內(nèi)控,最終要落到實(shí)處,要開展控制活動,因此,應(yīng)當(dāng)運(yùn)用和不斷完善規(guī)范的操作內(nèi)控的方法。這與我們搞法律的也有關(guān)系。因為我們法規(guī)部內(nèi)現(xiàn)在設(shè)了合規(guī)處,這種把合規(guī)職能放在法律部門的方式還有待觀察和研究。我本人傾向把內(nèi)控與合規(guī)以及反洗錢等方面的職能歸屬到一個獨(dú)立的“內(nèi)控合規(guī)部”。我跟合規(guī)處同事們提出,如何通過一套完整的、比較先進(jìn)的操作方法,能夠讓人們合規(guī)。這里要有一套評價體系,要根據(jù)我前面講的內(nèi)容來進(jìn)行評價。前面講的我那本書里有這個圖,圖示的操作還是挺不容易的,要分幾個階段,這個流程包含學(xué)習(xí)理論原理階段、前期準(zhǔn)備階段、檢查階段、評價階段、報告階段,這是一套體系。如果真正實(shí)行了這套方法,我們國有商業(yè)銀行的內(nèi)部控制問題,依法合規(guī)經(jīng)營的問題應(yīng)該不會很大。
以上所言是本人對銀行強(qiáng)化風(fēng)險管理和內(nèi)部控制的一些粗淺的探討,以求引起各方面的高度重視。其中的一些問題是帶普遍性的,各家銀行都在研究解決。雖然有些不是法律問題,但是在銀行的法律工作中都應(yīng)當(dāng)了解。在改革開放的大潮席卷神州的形勢之下,我們冷靜地研究銀行的控制職能,特別是探索銀行如何通過風(fēng)險管理和內(nèi)部控制發(fā)揮支持和穩(wěn)定中國社會的可持續(xù)發(fā)展,應(yīng)當(dāng)不無意義。言多必失,歡迎批評指正。
(完)
注釋:本文原載于法律出版社2006年出版2007年再版的書《金融審判與銀行債權(quán)保護(hù)》。文中的圖示和注釋等因網(wǎng)絡(luò)格式轉(zhuǎn)換而未加。
銀行風(fēng)險的識別、評估與內(nèi)部控制
楊海群
(接 II)
三、關(guān)于銀行內(nèi)部控制的探討
我想探討三個問題:
1要深刻認(rèn)識銀行與非銀行的本質(zhì)區(qū)別。從理論上講,企業(yè)和銀行是存在重大區(qū)別的。銀行是個什么單位,它不是一般企業(yè),現(xiàn)在改革的時候總強(qiáng)調(diào)銀行企業(yè)化,從銀行自負(fù)盈虧、自我約束角度提這個對,但是不全面。銀行不是一般性的企業(yè),要不然干嘛不把企業(yè)叫銀行,干嘛不把銀行叫工廠?它們之間存在重要的區(qū)別。
為什么經(jīng)濟(jì)中會有銀行?因為銀行是比較好的出資者和控制者。銀行是人類社會文明發(fā)展到一定程度,生產(chǎn)力和經(jīng)濟(jì)發(fā)展到一定程度的產(chǎn)物。銀行這個詞叫Bank,原意是過去意大利文里的“板凳”,就是意大利的商貿(mào)發(fā)達(dá)了,慢慢一些商船出去了,都得辦理結(jié)算和匯兌業(yè)務(wù),有些人坐在板凳上專門辦理這種業(yè)務(wù),這就是銀行的雛形。銀行慢慢發(fā)展起來了,有了辦公室,又有了樓。但是為什么銀行業(yè)發(fā)展這么迅速,而且在全世界哪個國家都離不開銀行,為什么?就是因為銀行是很好的出資者,能夠融通資金,用很好的方式來支持經(jīng)濟(jì)活動,同時在融資過程中實(shí)施必要的經(jīng)濟(jì)控制。大家都知道貸款有合同,合同是什么意思?合同的本質(zhì)是銀行對被貸款方、對借款人的控制。在什么時候必須還款,必須以多高的利息還款,不得挪用,等等,都訂到合同里。合同一經(jīng)雙方簽字認(rèn)可,就具有了法律效力。銀行一旦發(fā)現(xiàn)你挪用,依據(jù)合同有權(quán)追回貸款,而且一旦出現(xiàn)重大問題的時候,可以到法院打官司。在西方,被銀行起訴了的借款人一般都會輸,被判罰。這就反映了銀行這個機(jī)構(gòu)特別。所以在國外沒有哪個個人或公司輕易地跟銀行打官司、鬧別扭。可見銀行具有規(guī)范經(jīng)濟(jì),控制企業(yè)的特殊職能。銀行是市場紀(jì)律的主要實(shí)施者之一。
某個人要借給另一個人錢一般是難以控制借方的,他說還我,只能憑咱倆感情,憑我對你的認(rèn)識。但是一拖就是多少年不還。銀行把錢借給你可就不同了,因為雙方之間訂了合同,你必須按時還本付息,否則就留下不良記錄,造成再借就難。大家可能知道有一個美國的經(jīng)濟(jì)學(xué)家 Stiglitz,他前兩年獲得諾貝爾獎,他有一句著名的話,叫“銀行最鮮明的特點(diǎn)是有能力進(jìn)行控制”。
我們辦這么多商業(yè)銀行好不好?假如商業(yè)銀行的數(shù)量達(dá)到一定程度,讓它們自相廝殺,能不能發(fā)揮銀行控制經(jīng)濟(jì)的能力?西方理論界一直都特別強(qiáng)調(diào),不要片面地促進(jìn)銀行之間的競爭,為什么?因為他們理解銀行的本質(zhì)。假若銀行控制企業(yè),控制經(jīng)濟(jì),自己互相廝殺,我降多少利率,你降利率更多,咱倆競相降價,最后是什么?讓貸款的企業(yè)在中間叫板,這讓銀行怎么控制客戶和控制經(jīng)濟(jì)?還是讓客戶控制銀行?是讓借款的控制貸款的,還是貸款的控制借款的?這個問題要解決。實(shí)際上我們講的銀行的控制與被控制是這么一個概念,商業(yè)銀行、中央銀行、企業(yè)這三種主體參與控制體系中來。這里有三層的控制職能:第一層是商業(yè)銀行被控制、被監(jiān)管,中央銀行控制和監(jiān)管商業(yè)銀行。第二層是我們銀行要自我控制,你自己要控制好自己,不要在去控制經(jīng)濟(jì)之前,你自己都失控了,你沒法控制你的客戶了。第三層是商業(yè)銀行要控制企業(yè)。這些企業(yè)要按照銀行的貸款規(guī)定去投資、去盈利、去回報,假如這個企業(yè)沒有信譽(yù),我不貸給你。不是像以前那樣,地方政府逼迫銀行去貸款,那很可能要不回錢來。現(xiàn)在大部分不良資產(chǎn)就是在1992年以后堆積起來了,那個時候是膽子要大一點(diǎn),這大一點(diǎn)到后來是欲發(fā)不可收拾,我看到國內(nèi)通貨膨脹向兩位數(shù)攀登,曾從英國寫信給時任朱镕基總理,建議強(qiáng)化銀行的信貸控制。中央肯定及時分析了經(jīng)濟(jì)形勢的發(fā)展。大約半年后,國務(wù)院不得不開始實(shí)行政策控制,到那之后就好轉(zhuǎn)。
銀行的內(nèi)部控制還有更深一層的含義。實(shí)際上我們的下級機(jī)構(gòu)要接受總行的控制,總行也有一個自我控制的問題,因為總行也辦營業(yè)部,總行也搞項目、也搞營銷,總行也會出現(xiàn)問題。一級分行也有自我控制,同時一級分行還有一個控制二級分行的控制,控制轄內(nèi)機(jī)構(gòu)的問題。各級銀行都有控制自己所管轄企業(yè)的問題,控制貸款戶的問題。現(xiàn)在國內(nèi)的信貸形勢有不好的地方,就是銀行過度競爭造成無法進(jìn)行控制。比如現(xiàn)在是銀行都去營銷少數(shù)較好的客戶,工行去說我的條件怎么怎么好,農(nóng)行接著說我的條件怎么好,中行說我的對外網(wǎng)絡(luò)好,我能提供什么服務(wù),建行說我的投資額度很大。使這些企業(yè)挑花眼了。有的業(yè)務(wù)現(xiàn)在已經(jīng)到了賠本的程度。我們中國銀行的國際結(jié)算業(yè)務(wù)應(yīng)該是好的,現(xiàn)在有些銀行跟我們競爭,一競爭是零費(fèi)率,目的要把我們的客戶搶過去。我們有一個二級分行在東南沿海地區(qū)的城市,另一家銀行把這個城市90%的國際結(jié)算業(yè)務(wù)全拉到這個銀行,原因是他不惜血本,而且總行給了他這個任務(wù)。我認(rèn)為這一種環(huán)境違背銀行的本質(zhì)職能,我說的不是這家銀行,我說的是這種環(huán)境,使銀行不得不屈從于借款人的苛刻條件,甚至為了使這個借款人不離開我的保留范圍,不使我的市場占有率下降而喪失公平性市場原則。我還舉個例子,我曾經(jīng)在一個省行主管過公司和結(jié)算業(yè)務(wù)。財政搞統(tǒng)一支付,各家銀行就到省里來營銷,由省財政局招標(biāo)確定財政支付系統(tǒng)中心設(shè)在哪家銀行,大家競標(biāo)。雖然人民銀行有規(guī)定不允許任何商業(yè)銀行變相降低利率給客戶好處,但是那個時候不得不給好處,因為競標(biāo),競標(biāo)的時候就看你是讓我財政局低租金租用你銀行的房子還是免費(fèi)讓我租用,有銀行空出半層樓供財政建立這個系統(tǒng),使用的電腦由這家行來提供,工行、農(nóng)行、建行拼命地設(shè)計“我來提供”,最后財政就問了,你給我多少錢的設(shè)備費(fèi),我們中行的同志回去連夜考慮,最后咬牙說出300多萬元,可另一家銀行競標(biāo)的時候提出1000多萬元。后來我們也知道,沒有真出1000萬元,但是背后已經(jīng)談好了。你說這種氛圍能實(shí)現(xiàn)我說的銀行控制論嗎?如果經(jīng)濟(jì)不由銀行這個最有鮮明的特征的機(jī)構(gòu)來控制的話,這個經(jīng)濟(jì)能辦好嗎?你的企業(yè)能聽話嗎?經(jīng)濟(jì)活動參與者還服從市場紀(jì)律嗎?現(xiàn)在還要鼓勵辦多開銀行,私人銀行,俄羅斯改革以后,兩三千家私人銀行,你現(xiàn)在問問倒閉了多少。匈牙利我去考察過,也是改革以后,他們建立私有化的銀行,不良資產(chǎn)不斷上升,為什么?那么容易就干銀行?中、農(nóng)、工、建銀行比拼,拼來拼去最后彈盡糧絕。最近我看一個評級公司在評我國一些股份制小銀行,最后除了招商銀行稍微好一點(diǎn)以外,其他銀行的級別都不高。我建議大家重溫一下列寧的《帝國主義論》,想一想為什么工業(yè)化產(chǎn)生金融寡頭。其實(shí)衡量銀行體系的好壞不在它有多大數(shù)目和多元化到什么程度,而在它對經(jīng)濟(jì)的控制和服務(wù)功能發(fā)揮得如何。
市場風(fēng)險有沒有可能造成銀行倒閉?有人問咱們中國的銀行還能倒閉嗎?都是國有的,只要有共產(chǎn)黨領(lǐng)導(dǎo),再高的通貨膨脹,再低的資本金都沒有關(guān)系,一樣不會倒閉。這次中央為什么決策讓中行和建行上市,有些搞改革的同志一個勁地宣傳銀行上市以后,怎么怎么好,我卻從內(nèi)控角度說銀行上市以后,怎么怎么有風(fēng)險。我不反對銀行股份化和上市,我在英國出版的著作中還介紹過一些理論家關(guān)于轉(zhuǎn)軌經(jīng)濟(jì)中股份公司如何發(fā)揮作用的論述。但我也不認(rèn)為這是唯一的解決方式,更不能認(rèn)為只要體制更新了,機(jī)制一定會隨之好起來。一些熱衷于體制改革的同志不可否認(rèn)有其進(jìn)取心。但值得注意的是,體制層面上的變化雖然容易顯現(xiàn)業(yè)績,但內(nèi)部機(jī)制的轉(zhuǎn)變和完善是更實(shí)質(zhì)性的,來不得半點(diǎn)的短期行為。世界上銀行的治理結(jié)構(gòu)和運(yùn)作方式千差萬別,很難把不同的經(jīng)驗一般化,很難說哪種結(jié)構(gòu)和方式照搬過來就一定適合中國的銀行。體制改革也不是萬能的。西方市場中倒閉的股份制上市銀行并不少。一家銀行倒閉后還會掀起倒閉狂潮,危及社會。現(xiàn)在提議銀行要改革,都在考慮怎么股份化,不外乎所有制要多元化等。我們銀行如果要上市,一個很重要的問題就是想讓戰(zhàn)略投資者進(jìn)來,但是投資者要進(jìn)來之前一定會先看咱們的管理和控制水平。水平太低別人不敢買你的股票,或者說還沒下決心買你的股票。西方人看得很仔細(xì),我在行里主管反洗錢,戰(zhàn)略投資者為這方面的事調(diào)查我們行好幾次,拿出一系列問題問我們。所有制的實(shí)質(zhì)在于你的控制機(jī)制,你過去是國家控制,國家控制從某個角度可能有壞處。國家控制我,所有利潤都上交,多發(fā)點(diǎn)獎金發(fā)不了。你可能不承認(rèn),我們中行員工的薪水曾長期處在較低水平。聽行外有人說:中行的服務(wù)質(zhì)量差,追究其中一個原因就是獎金少。站在中行的員工角度上,會覺得不如上市,上市以后股份制,財政部別卡我了,靈活性就大一些了。但是如果財政部不控制,總有第三只手要控制,不可能沒人控制,當(dāng)?shù)谌皇挚刂颇愕臅r候,可能比財政部還厲害。光想著財政部控制那么嚴(yán),沒想到財政部還是你母親,媽有的時候看你哭還掉眼淚松松手,但是第三只手控制的時候非常殘酷。
2控制環(huán)境的建設(shè)有持高級管理層的支持。在控制環(huán)境方面涉及一些問題值得關(guān)注,管理層是不是明確維護(hù)內(nèi)部的完整性,這是非常重要的,特別是高級管理層,比如說總行的領(lǐng)導(dǎo),一級分行的行長這些負(fù)責(zé)人,他們是不是明確維護(hù)內(nèi)部控制系統(tǒng)?包括規(guī)章制度的建設(shè),組織結(jié)構(gòu)這方面的合理性,都非常重要。還要看這個銀行有沒有積極的控制管理,是不是在整個組織中間具有控制覺悟或者自覺的控制態(tài)度?行長們對內(nèi)控的基調(diào)是不是積極?單位里的員工其能力和他們的責(zé)任是不是相匹配?這里就涉及單位的人事政策,應(yīng)該審理人事部門人事的管理程序和管理規(guī)定。管理層的經(jīng)營風(fēng)格、授權(quán)、責(zé)任、組織和業(yè)務(wù)發(fā)展的方式是不是適當(dāng)?法律部門難以承擔(dān)授權(quán)管理這個職責(zé),但是有一個問題值得探討,就是授權(quán)管理的合規(guī)性是需要有人控制的,我們目前還沒有控制到,我們在內(nèi)控上是有缺陷的。
行長也好,董事會也好,稽核委員會也好,是不是對內(nèi)部控制給予足夠的重視了?巴塞爾委員會是這樣說的,董事會應(yīng)該負(fù)責(zé)批準(zhǔn)并且定期審查整個經(jīng)營戰(zhàn)略和銀行重大政策,理解銀行經(jīng)營的主要風(fēng)險,確定這些風(fēng)險的可接受的水平,保證高級管理層采取必要的步驟,識別、衡量、評審和控制風(fēng)險。銀行的組織結(jié)構(gòu)是由董事會批準(zhǔn)的,高級管理層也要不斷評審內(nèi)控系統(tǒng)的有效性,在確保建立和維護(hù)充分和有效的內(nèi)控系統(tǒng)方面,董事會富有最終的責(zé)任。我們最近也在討論一個問題,我們行要成立一個主管內(nèi)控的一個處室,大家發(fā)現(xiàn)內(nèi)控沒有一定的組織保證不行,就要成立內(nèi)控處。這個內(nèi)控處設(shè)在哪兒?就是一個極為頭疼的問題。后來還是鑒于風(fēng)險管理部的權(quán)威性比較高,把它放在風(fēng)險管理部。但是風(fēng)險管理和風(fēng)險管理部并非一回事,風(fēng)險管理是個很寬泛的概念,而銀行設(shè)風(fēng)險管理部主要還是為了識別和評估信用方面的風(fēng)險而制定政策并把關(guān)。風(fēng)險管理部并不是管內(nèi)部控制這方面的。后來實(shí)踐也證明,風(fēng)險管理部根本沒有精力管這部分,項目的評審、客戶的評級、政策的制定、行業(yè)分析都已經(jīng)讓他們負(fù)擔(dān)很重了。這個內(nèi)控處掛靠在風(fēng)險管理部,它們草擬了一個文件,其中提到負(fù)責(zé)內(nèi)部控制的是風(fēng)險管理委員會。后來拿到我們部提意見,我給他提了意見,我說風(fēng)險管理委員會不是內(nèi)控的最終責(zé)任承擔(dān)者,最終的責(zé)任承擔(dān)者是董事會,與其他行不一樣,我們行有過董事會,這個董事會與20世紀(jì)90年代以前的人大常委會差不多,它并不是主要責(zé)任人,是一些人退休后,安排當(dāng)一個董事,不像國外的董事真是代表股東的權(quán)益,有決策權(quán)。
巴塞爾委員會對高級管理層也提出了建議,就是高級管理層要維護(hù)組織結(jié)構(gòu),確定并執(zhí)行適當(dāng)?shù)膬?nèi)控政策。例如國外都有合規(guī)政策,是法律與合規(guī)部或者合規(guī)部負(fù)責(zé)的,我研究這個問題,究竟合規(guī)政策怎么制定?實(shí)際上很重要的就是認(rèn)識內(nèi)部控制。合規(guī)是依法合規(guī),依法合規(guī)是前面介紹的內(nèi)控的第四大目標(biāo),而合規(guī)和內(nèi)控是什么關(guān)系。內(nèi)控里一個重要組成部分是“控制活動”,合規(guī)是制定規(guī)章制度以后,看你是不是遵循,這應(yīng)是最主要的控制活動。我們銀行出現(xiàn)的案件都是違規(guī)才出現(xiàn)的,如果100%按照規(guī)定去做,怎么會出案件?所以內(nèi)部控制重點(diǎn)的一個問題就是抓合規(guī)性的控制,合規(guī)性的控制就是控制活動的主要的內(nèi)容,所以你說內(nèi)控和合規(guī)是什么關(guān)系?合規(guī)是內(nèi)部控制的重要內(nèi)容。總行的規(guī)章制度非常多,對于下面的人是不是可操作?總行不管;制定的規(guī)章制度互相矛盾,總行也不管。甚至制定出的規(guī)章制度還不全面,沒有真正的防范風(fēng)險,就下達(dá)了,分行接了一種規(guī)章制度就跟接一個文一樣不執(zhí)行,不合規(guī)成了一種文化。這個是高級管理層要管的,必須維護(hù)良好的控制文化。
3銀行當(dāng)前要特別控制的幾種風(fēng)險值得研究。(1)道德風(fēng)險。銀行要特別加強(qiáng)銀行的道德建設(shè),我們發(fā)現(xiàn)這是控制出現(xiàn)問題,不合規(guī)的一個重要原因。有些基層出問題,就是因為選聘的人不講職業(yè)道德,同時出現(xiàn)很多給銀行干活實(shí)際上為自己干的情況。先是間接為自己干,然后就直接為自己干。有一家支行的女行長最后查出兩億多元的不良資產(chǎn),你說怎么整的,她有多大的權(quán)限?后來發(fā)現(xiàn)她丈夫和她兒子開公司,錢都跑到他們家,她當(dāng)支行行長當(dāng)然好了,這也是一種“公司治理”。據(jù)說她家里寶馬車有兩三輛,稽核去查的時候,女支行行長珠光寶氣。當(dāng)時有個稽核人員建議馬上雙規(guī)起來,誰想沒等查清人家跑了,到現(xiàn)在也沒找到。那是幾年前的事了。這說明怎么強(qiáng)調(diào)我們員工的職業(yè)道德教育都不過分。我們現(xiàn)在使用干部的時候不太關(guān)注道德風(fēng)險,喜歡用和自己一致的“順手”的人,不善于從干部所管單位的群眾中了解干部的道德狀況,也不注意進(jìn)行道德教育,甚至壓制群眾去服從某些所謂“有能力”甚至用權(quán)術(shù)的干部。這是銀行不斷產(chǎn)生高管人員案件的重要根源。選人其實(shí)選文化,用錯了一個人就提倡了一種錯誤的文化,會影響一大片。在座的處級干部,你們管底下的人員好管嗎?不好管。為什么?那個時代的奮斗精神、敬業(yè)精神、去掉個人私心雜念來維護(hù)集體的精神和銀行的利益高于一切的精神,現(xiàn)在都淡漠了,所以怎么能夠不出失控的問題?不是說改革了以后,這些問題就自然消失了。因此普遍開展職業(yè)道德教育十分必要。巴塞爾委員會指出:有問題銀行的案例中經(jīng)常看到內(nèi)部失控,其中一大問題就是缺乏足夠的管理監(jiān)督和負(fù)責(zé)評估的能力,或者我們叫盡職,就是沒有能夠在銀行中發(fā)展一種很強(qiáng)的控制文化,重大損失的例子當(dāng)中,無一例外地反映出銀行控制中管理疏忽和松懈,董事會和高級管理層的領(lǐng)導(dǎo)督促不力或者不充分,通過職務(wù)和責(zé)任的安排,看出管理者缺乏清晰的評估能力,有些案例也反映出管理層缺乏適當(dāng)?shù)募顧C(jī)制,去對經(jīng)營層進(jìn)行強(qiáng)有力的監(jiān)督,業(yè)務(wù)經(jīng)營和管理人員沒有保持高水平的控制覺悟。這是巴塞爾委員會提出來,是在總結(jié)國際上許多倒閉的銀行和銀行中發(fā)現(xiàn)重大案件中總結(jié)出來的。
(2)人事風(fēng)險是銀行值得高度關(guān)注的風(fēng)險。銀行首要的風(fēng)險是人事風(fēng)險。首先是我國銀行高級管理層的風(fēng)險。我在2001年寫過一篇獲獎?wù)撐模}為“加強(qiáng)選配評審,防止領(lǐng)導(dǎo)風(fēng)險”。在論證一番之后我得出結(jié)論:在銀行的各種風(fēng)險中間,人事風(fēng)險最大;在人事風(fēng)險當(dāng)中,管理層的風(fēng)險最大;在管理層的風(fēng)險中,領(lǐng)導(dǎo)班子的風(fēng)險最大;在領(lǐng)導(dǎo)班子的風(fēng)險當(dāng)中,“一把手”的風(fēng)險最大。這并不是在講“一把手”都不好。我前面講過什么是風(fēng)險:風(fēng)險是可能妨礙公司目標(biāo)實(shí)現(xiàn)的因素。顯然公司總經(jīng)理和銀行董事長及行長的決策行動對目標(biāo)實(shí)現(xiàn)的影響最大。好的“一把手”能夠承認(rèn)這一點(diǎn),從而認(rèn)真肩負(fù)起全面的領(lǐng)導(dǎo)責(zé)任,確保副手各盡其職,并主動接受副手監(jiān)督。確實(shí)有些人反其道而行之,形成了風(fēng)險,甚至招致了巨大損失。
這里不妨提一下銀行總行這些老總們的風(fēng)險。我們總行的領(lǐng)導(dǎo)都是從部門總經(jīng)理或者一級分行的行長提升上來的,這些總經(jīng)理是不是總行乃至我國銀行界最優(yōu)秀的呢?對總經(jīng)理室成員有沒有授權(quán)制度呢?我應(yīng)聘在外資銀行當(dāng)管理人員的時候,首先接到的就是我的授權(quán)書,在這個授權(quán)書里,明確規(guī)定我向誰報告工作。我到中國銀行這么多年,沒有任何人給我授權(quán),到目前為止,我做合規(guī)工作,沒有任何人給我授權(quán),我是什么樣的權(quán)限,明確的沒有,不僅我沒有,其他老總大部分也沒有,甚至“一把手”也沒有,只有口頭授權(quán),非正式的授權(quán),而且這種授權(quán)很難說在什么情況下越權(quán),在什么情況下有權(quán)自己獨(dú)立處理事務(wù),那就因部門而異,因不同部門的“一把手”不同,他的管理風(fēng)格不同而不同。部門總經(jīng)理室沒有統(tǒng)一的符合民主集中制的工作制度。在有些部門重大事項由“一把手”一個人或由他找合自己意的人簡單決定,只是為了避嫌才有時走個開會的形式。如果銀行里放任這種機(jī)制,如何教育和監(jiān)督部門總經(jīng)理?如何防止“一把手”出現(xiàn)道德問題?
另外,在我們的員工中有一些有特殊背景的員工,對他們應(yīng)不應(yīng)該有特殊政策?現(xiàn)在什么地方最好,人們就把子女送進(jìn)什么地方。“文革”期間走后門最好的去處是參軍,誰要是家里有關(guān)系誰參軍。后來70年代是誰要有關(guān)系進(jìn)好工廠。后來改革開放,國營企業(yè)紛紛倒閉,現(xiàn)在人們認(rèn)為最可靠的是進(jìn)銀行,所以許多有地位的人士都把子女送到銀行來。銀行好不好管?現(xiàn)在一些領(lǐng)導(dǎo)感覺挺難管的。什么叫有特殊背景?很難定義。當(dāng)年毛澤東三令五申不準(zhǔn)高干子弟搞特殊化。人事政策同銀行的企業(yè)文化有關(guān)系,我們現(xiàn)在將人事部改叫人力資源部,實(shí)際上就是人力資源市場化管理,關(guān)系學(xué)和人力資源市場化管理是矛盾的。西方有幾個學(xué)者發(fā)表了一篇論文講中國的關(guān)系學(xué),他們說西方是不講關(guān)系的市場關(guān)系,中國是東方的那種以關(guān)系學(xué)為主導(dǎo)的市場關(guān)系,他們說這兩個都有一定的缺陷,最后的結(jié)論就是今后是不是西方能增加一點(diǎn)人情色彩,東方是不是減少點(diǎn)人情色彩。在管理人方面還是應(yīng)該一視同仁。我個人覺得國有商業(yè)銀行內(nèi)控的問題,首先是人的問題,不要搞拉拉扯扯和吹吹拍拍抬轎子,銀行尤其不能無原則地允許拉幫結(jié)派,要半軍事化管理。各級員工嚴(yán)守紀(jì)律,不分親疏,不應(yīng)允許下級繞過直接上級去借助關(guān)系謀取個人便利。我們總行干部要從嚴(yán)要求,上得順理成章,下得順其自然。當(dāng)然讓干部上或下都應(yīng)該有充分的理由,而且把理由向當(dāng)事人實(shí)事求是地講清楚,防止“暗箱操作”,防止利用“能上能下”去拉幫結(jié)派或打擊報復(fù),防止以次充好。武漢市搞的人事改革試點(diǎn),解決干部能下的問題要靠機(jī)制創(chuàng)新,解決三個問題:標(biāo)準(zhǔn)問題、渠道問題、保障問題。大量裁員中一個困難就是保障問題,要解決干部下了以后怎么辦的問題,不能說用人家的時候用人家,等下來的時候不管了。
(3)制度風(fēng)險不容忽視。銀行是一個需要高度關(guān)注制度規(guī)定的行業(yè)。從表面看,銀行的規(guī)章制度堆積如山,似乎已經(jīng)很完善了。其實(shí)不然。形勢的發(fā)展、科技的進(jìn)步、新產(chǎn)品的不斷涌現(xiàn),呼吁銀行進(jìn)一步加強(qiáng)規(guī)章制度的建設(shè)。管理的實(shí)質(zhì)在于制定高質(zhì)量的相互協(xié)調(diào)一致的規(guī)章制度,并且推動這些規(guī)制有效地執(zhí)行和落實(shí)。我們行在規(guī)章制度建設(shè)和管理中間,發(fā)現(xiàn)有些問題,規(guī)章制度制定的規(guī)范機(jī)制缺位,各級行都有權(quán)制定規(guī)章制度,沒有一個程序來保證規(guī)章制度制定的質(zhì)量。這樣質(zhì)量就有問題了。一方面主管部門制定規(guī)章制度的時候沒有規(guī)劃,有隨意性(當(dāng)然隨意性不是到處都非常大),缺乏對規(guī)章制度的論證,征求意見的范圍程序等也缺乏規(guī)定。另一方面在規(guī)章制度頒布并實(shí)施的時候,是不是需要測試?規(guī)章制度一經(jīng)制定出來就要執(zhí)行,還是先找?guī)讉€支行做試點(diǎn)試行,要不要對規(guī)章制度進(jìn)行事后評價?規(guī)章制度執(zhí)行一兩年,評價一下規(guī)章制度對不對,有沒有缺陷,到底有沒有可操作性,這是一個很重要的問題。總行一般接到人民銀行和中央的規(guī)定就要落實(shí)中央的規(guī)定,制定一些規(guī)章制度。但把它們拿到分行、支行以后,人家看了很痛苦,為什么痛苦?因為他們沒法操作,這就是有問題。后評價是一種機(jī)制,能否導(dǎo)致起動相應(yīng)的規(guī)章制度修改或者廢止的程序。評價完了以后,應(yīng)當(dāng)明確這個規(guī)章制度行不行、要不要廢止,誰來說廢止的話。
還有就是規(guī)章制度欠缺合法合規(guī)性的程序保證,因為沒有強(qiáng)制性的程序,致使規(guī)章制度和外部法律法規(guī)相沖突,出現(xiàn)不一致的現(xiàn)象。現(xiàn)在我們的規(guī)章制度要送審法律與合規(guī)部,送我這兒的規(guī)章制度中一大審查內(nèi)容就是它合不合法,合不合人民銀行、中國政府的政策和規(guī)定。如果沒有一個程序,有些和人民銀行的規(guī)定相沖突,也導(dǎo)致不可操作。
還有一個問題是規(guī)章制度種類紛雜,缺乏統(tǒng)一規(guī)范。我們行過去的規(guī)章制度有24種,大量的通知、批復(fù),函、附件等都構(gòu)成規(guī)章制度,名稱缺乏統(tǒng)一規(guī)范,也導(dǎo)致規(guī)章制度命名的隨意性。什么叫管理規(guī)定,什么叫實(shí)施細(xì)則,什么叫做制度,出現(xiàn)相似內(nèi)容運(yùn)用不同的規(guī)章制度加以規(guī)范的情形。加上沒有對以上不同名稱的規(guī)章制度進(jìn)行有層次的規(guī)定和說明,不但使用者眼花繚亂,大大削弱了規(guī)章制度的嚴(yán)肅性、權(quán)威性和系統(tǒng)性。
規(guī)章制度的信息化管理滯后,使員工難以了解規(guī)章制度所覆蓋的信息,總行發(fā)了個規(guī)章制度下來,在一級分行幾位行長中間傳閱,傳閱到最后有的都找不著了,有的是推,已經(jīng)到了需要向總行匯報情況的時候,其規(guī)章制度還沒有下發(fā)到執(zhí)行部門。進(jìn)行規(guī)章制度培訓(xùn)也是很必要的。尤其在貫徹執(zhí)行新規(guī)章制度的時候,人們對新的規(guī)定不熟悉,還沒有建立新的執(zhí)行機(jī)制,所以落實(shí)就大打折扣了。具體操作部門作為防范風(fēng)險的第一道防火墻,需要及時掌握規(guī)制,總行的規(guī)章制度應(yīng)當(dāng)下發(fā)到使用者。我們經(jīng)常發(fā)現(xiàn)下去檢查工作的時候,包括稽核檢查工作的時候,一問規(guī)章制度怎么落實(shí)的,他們連見都沒見過。所以現(xiàn)在就實(shí)行無紙化的規(guī)章制度(電子化)。我們行現(xiàn)在一般的規(guī)章制度全部都是走電子系統(tǒng),總經(jīng)理在批規(guī)章制度的時候全在電子信箱里簽字,這也是提高速度,不用打印了,會簽的時候在總行不同部門老總中間按照授權(quán)簽字。
國家應(yīng)有“立法法”,銀行也應(yīng)該有。應(yīng)制定銀行的“立法法”,銀行規(guī)章制度管理辦法,來規(guī)范規(guī)章制度,通過嚴(yán)格合理的程序來設(shè)計和制定,使制定規(guī)章制度的程序規(guī)范、科學(xué)、連續(xù)、協(xié)調(diào)、統(tǒng)一、具有共享性,這個叫做法治和法制的統(tǒng)一。通過良好的程序設(shè)計,比如規(guī)定草案的規(guī)劃,會簽頒布,試行推廣,檢查和后評價,制定明確的程序來實(shí)行。另外,對規(guī)章制度的管理也要做一些相關(guān)的規(guī)定。
(4)還有一種風(fēng)險叫組織結(jié)構(gòu)風(fēng)險。中國銀行一直有董事會,但是這個董事會應(yīng)該是什么職能,現(xiàn)在是黨委書記、董事長、行長是一個人,今天看起來這種機(jī)制不對,行領(lǐng)導(dǎo)怎么進(jìn)行分工和合作?總行的部門怎么劃分職責(zé)?銀行各個部門之間出現(xiàn)一種叫“扯皮文化”,有人稱“免責(zé)文化”,大家都不愿意負(fù)這個責(zé)任,有責(zé)任的時候推諉。這里有文化問題,也有組織機(jī)構(gòu)設(shè)置和職能界定問題。辦文辦事拖拉,肯定降低工作效率,導(dǎo)致?lián)p失。內(nèi)部控制究竟需不需要有專門的機(jī)構(gòu)來管理?需不需要從屬于某個委員會?從屬于哪個委員會?如何以控制文化來取代這種所謂的“扯皮文化”和“免責(zé)文化”?這些都是我們值得研究的。
(5)應(yīng)該大力防范操作性風(fēng)險。首先案件的風(fēng)險控制需要認(rèn)真研究。我不覺得控制風(fēng)險就是防范案件,案件是失控的典型表現(xiàn),但不是唯一表現(xiàn)。事要發(fā)展到出案子了,要讓法院來管了,就太嚴(yán)重了!大量的失控不是案件,但是案件本身是失控的典型表現(xiàn)。因此不注重案件的分析和管理實(shí)際上是不對的,是我們白交學(xué)費(fèi)。而且案件是一面明鏡,能照出銀行在控制上存在的問題,在法規(guī)上、在遵循上存在的問題。
我這兒也有一些案例,三防一保方面的案例,稽核方面的違規(guī)案例,我們確確實(shí)實(shí)有大量失控的例子。1996年有一個辦事處的副主任,兩個人共同策劃,利用已經(jīng)過期的存單采取不進(jìn)賬的手法截留一個公司的存款600萬元,其中一部分作為利差返回公司,一部分作為該公司存款中介手續(xù)費(fèi)。他把剩余的400多萬元都劃往了另一單位的營業(yè)部,給以其妻舅為法人代表注冊成立的一個貿(mào)易發(fā)展公司,作驗資款用,然后把其中200多萬元劃到上海兩家公司,把100多萬元?dú)w還儲蓄戶,剩下的100多萬元劃到合伙作案人的賬上,用于經(jīng)營。最后這個案子追回了200多萬元,查扣了100多萬元,有300多萬元資金難以追回。工、農(nóng)、建行都可能發(fā)生這類案子。我們最后把他開除公職,移送司法機(jī)關(guān)處理,有八名涉案人員和領(lǐng)導(dǎo)分別被警告和記大過處分,有一個人被辭退。我們總結(jié)教訓(xùn)的時候就有這么幾條,一個是思想教育和素質(zhì)培養(yǎng)上缺乏有效的方法和措施。這個人文化水平比較低,大概高中畢業(yè),思想教育松懈在那個時期是很普遍的。另外我們對抓基層行網(wǎng)點(diǎn)機(jī)構(gòu)的管理缺乏力度,對法規(guī)制度落實(shí)不到位,監(jiān)督制約機(jī)制不夠健全,這個案子反映出我們一系列失控的問題。在會計、儲蓄、結(jié)算等業(yè)務(wù)環(huán)節(jié)空白存單和業(yè)務(wù)公章、個人名章等的保管方面都存在一些漏洞。規(guī)章制度形同虛設(shè),違規(guī)違章操作比較嚴(yán)重,個別員工明知不對,仍按領(lǐng)導(dǎo)意思辦理業(yè)務(wù)。知道不對,但是經(jīng)辦人照常去做。加上對內(nèi)部管理缺乏監(jiān)督、制約,形成了重大損失。
這個案例實(shí)際上從控制環(huán)境的角度看出這個分理處存在的問題。我前面介紹了內(nèi)部控制理論,從那個理論出發(fā),我們可以看到銀行如果要想健全內(nèi)控,防范風(fēng)險,要想對內(nèi)控和合規(guī)情況進(jìn)行檢查和評價,應(yīng)該運(yùn)用一套規(guī)范的方法。可以按照內(nèi)控的五大組成部分,一個部分一個部分去進(jìn)行檢查評價,而且人民銀行的內(nèi)控指導(dǎo)原則已經(jīng)給我們提出來應(yīng)該怎么抓。
(待續(xù))
銀行風(fēng)險的識別、評估與內(nèi)部控制
楊海群
(上接 III)
四、僅供參考的政策建議
政策性建議之一,明確內(nèi)部控制的評價標(biāo)準(zhǔn)。我們今后要健全內(nèi)控,就要有標(biāo)準(zhǔn),干什么事都要有標(biāo)準(zhǔn)。我在20世紀(jì)90年代就提出過四條原則性的標(biāo)準(zhǔn)。第一是要有現(xiàn)代內(nèi)控理論做指導(dǎo),這是一個理論體系,沒有這個體系做指導(dǎo),非要自己單搞一攤,像許多人寫書,左抄右抄最后弄一本書,用上自己的名字,也不說明出處。我們的內(nèi)控依據(jù)應(yīng)當(dāng)扎實(shí)可靠,要站在前人成果的基礎(chǔ)上。第二是要形成完整的有機(jī)結(jié)合的整體。我前面給大家介紹的內(nèi)控體系和風(fēng)險管理體系,就是一種有機(jī)結(jié)合的完整體系。內(nèi)控有四大目標(biāo)和五大組成部分,加上組織機(jī)構(gòu)這第三維空間,就是個有機(jī)整體。我們開展內(nèi)控建設(shè)和管理,就應(yīng)該從這個框架(framework)出發(fā)。第三是方法上的先進(jìn)性和可操作性,就是實(shí)實(shí)在在地開展內(nèi)部控制,制定一整套規(guī)范的方法去開展內(nèi)控,這些方法也要能跟國際接軌,我的專著中介紹的那套方法是非常好的控制方法,是在總結(jié)國內(nèi)外經(jīng)驗的基礎(chǔ)上提出來的。第四是內(nèi)控程序應(yīng)當(dāng)便于計算機(jī)化,你既然有高科技創(chuàng)造的PC和軟件,就應(yīng)能實(shí)行計算機(jī)化。
政策性建議之二,績效考核要有合規(guī)性的目標(biāo)和信息性的目標(biāo)。內(nèi)控有四個大目標(biāo),現(xiàn)在大多數(shù)銀行主要提兩個目標(biāo),特別是利潤目標(biāo)(效益目標(biāo)),而沒有把合規(guī)性、信息性目標(biāo)提出來。美國一些公司的丑聞已經(jīng)導(dǎo)致各國強(qiáng)調(diào)目標(biāo)管理的全面性了,不是以利潤目標(biāo)讓你得到獎金。針對安然事件,美國國會通過的一個索克斯法,這個法律里面規(guī)定,高級管理層通過虛報瞞報財務(wù)報表贏得的獎金,一旦發(fā)現(xiàn),就讓退回原有的獎金,這等于把合規(guī)性和信息性(財務(wù)報告可靠性)的目標(biāo)作為績效考核的標(biāo)準(zhǔn)。
政策性建議之三,建議銀行把內(nèi)部控制的職能從風(fēng)險管理部的工作中分離出來,不知道工行是不是這樣,我們曾經(jīng)把它放在風(fēng)險管理部,風(fēng)險管理包含但不等同于內(nèi)部控制,“風(fēng)險管理部”同“風(fēng)險管理”不是同一概念。我一直這樣說明,它們的職能不同,風(fēng)險管理部門實(shí)行自身的內(nèi)控是應(yīng)該的,但是由這個部門去協(xié)調(diào)指導(dǎo)全部的內(nèi)部控制,就既可能干擾風(fēng)險管理,又可能使內(nèi)部控制落空。另外內(nèi)部控制是全行各個部門的工作,當(dāng)然我們最好有一個比較有權(quán)威的委員會來領(lǐng)導(dǎo),由一個獨(dú)立的部門具體管這個事。這里有一個正確處理風(fēng)險管理和內(nèi)部控制的關(guān)系問題,要理順風(fēng)險管理和內(nèi)部控制的關(guān)系。
政策性建議之四,正確處理業(yè)務(wù)發(fā)展和管理控制的關(guān)系。現(xiàn)在應(yīng)該大力提倡可持續(xù)的發(fā)展戰(zhàn)略。所謂可持續(xù)的發(fā)展,聯(lián)合國有關(guān)機(jī)構(gòu)認(rèn)為應(yīng)當(dāng)是現(xiàn)時的發(fā)展不給后續(xù)的發(fā)展造成困難,我們這代人的發(fā)展不能給后代的發(fā)展造成任何妨礙。銀行也一樣。你這任行長發(fā)放大批貸款,當(dāng)時有效益,新一任行長接手時形成了一大筆爛賬,就不是可持續(xù)發(fā)展。這點(diǎn)恐怕是商業(yè)銀行普遍遇到的問題。要建立信息交流制度,定期召開管理部門和業(yè)務(wù)發(fā)展部門之間的溝通會,對業(yè)務(wù)的可持續(xù)發(fā)展進(jìn)行定期的評審。一方面要強(qiáng)調(diào)業(yè)務(wù)發(fā)展部門依法合規(guī)經(jīng)營,審慎辦理各種項目,否則酌情追究責(zé)任。另一方面要研究制定管理控制部門和人員的責(zé)任追究制度,管理控制部門不是沒有責(zé)任,現(xiàn)在業(yè)務(wù)發(fā)展部門有數(shù)字指標(biāo)在那兒控制,沒有完成什么指標(biāo),就得扣獎金,管理部門沒有什么指標(biāo),怎么干的獎金都能發(fā)給你們。我以前也管過公司業(yè)務(wù)和結(jié)算業(yè)務(wù),也深有體會。如果風(fēng)險管理部審批一個項目拖拉怎么辦?因種種原因不批準(zhǔn)一個項目,風(fēng)險管理部要不要承擔(dān)風(fēng)險?風(fēng)險管理部大筆一揮這個項目不能干,你就不能干,至于說我們中行不辦,農(nóng)行接過來了,農(nóng)行給辦了,事后沒風(fēng)險,還獲得了效益,還本付息很正常,追究不追究風(fēng)險管理的責(zé)任?我曾經(jīng)跟風(fēng)險管理的同事討論過這個問題,他們說那怎么追究,我在特定時期、特定情況下、特定政策下決定不批準(zhǔn)這個項目,農(nóng)行在他的環(huán)境里面批準(zhǔn)了這個項目,你怎么能說我不對?這個問題有待于研究。業(yè)務(wù)發(fā)展與管理控制是一對矛盾,它們既對立又統(tǒng)一。只有正確處理,在矛盾中不斷提高水平。最好兩方面的人員,包括風(fēng)險管理、法律合規(guī)和稽核監(jiān)督人員,都應(yīng)該制定相關(guān)的責(zé)任制,要界定清楚什么情況屬于管理者失職或瀆職。這樣才能處理好所謂“踩油門”和“踩剎車”的關(guān)系。
政策性建議之五,為了加強(qiáng)對操作風(fēng)險的防范,要研究風(fēng)險怎么計量,國外都有一套理論模型,這套理論運(yùn)用到我們中國銀行界怎么運(yùn)用?需要研究和建立我們的操作風(fēng)險計量模型。另外,操作風(fēng)險的激烈表現(xiàn)就是案件的發(fā)生。各級機(jī)構(gòu)負(fù)責(zé)人員都要切實(shí)重視案件防范工作。加強(qiáng)基層管理和內(nèi)控建設(shè),落實(shí)規(guī)章制度,解決某些人想干干不成,干了早發(fā)現(xiàn)、早預(yù)警的問題。要根治私設(shè)小金庫,銀行更不能發(fā)生這個問題,小金庫最終帶來的后果是不好的。現(xiàn)在我們在查海外行,不讓海外行設(shè)小金庫。過去我們給海外行的工資比當(dāng)?shù)赝赓Y銀行發(fā)的低,怎么解決呢?他們經(jīng)總行批準(zhǔn)設(shè)一種小金庫,有時接待任務(wù)很重,也要有一點(diǎn)資金來源。但是我們發(fā)現(xiàn)設(shè)小金庫帶來的隱患很大,因此命令撤除小金庫。另外要禁止職工炒賣外匯或者炒賣股票,我們行發(fā)生的大量案例都是屬于規(guī)定了不許,但是還炒,炒輸了怎么辦?銀行人員從銀行掏錢比較容易,轉(zhuǎn)轉(zhuǎn)賬,搬搬科目,動動電腦上的鍵盤,就能解決這個問題。我們要加大有關(guān)責(zé)任人的追究。
政策性建議之六,希望能夠?qū)嵤┮惶妆容^好的內(nèi)部控制操作方法,講了半天內(nèi)控,最終要落到實(shí)處,要開展控制活動,因此,應(yīng)當(dāng)運(yùn)用和不斷完善規(guī)范的操作內(nèi)控的方法。這與我們搞法律的也有關(guān)系。因為我們法規(guī)部內(nèi)現(xiàn)在設(shè)了合規(guī)處,這種把合規(guī)職能放在法律部門的方式還有待觀察和研究。我本人傾向把內(nèi)控與合規(guī)以及反洗錢等方面的職能歸屬到一個獨(dú)立的“內(nèi)控合規(guī)部”。我跟合規(guī)處同事們提出,如何通過一套完整的、比較先進(jìn)的操作方法,能夠讓人們合規(guī)。這里要有一套評價體系,要根據(jù)我前面講的內(nèi)容來進(jìn)行評價。前面講的我那本書里有這個圖,圖示的操作還是挺不容易的,要分幾個階段,這個流程包含學(xué)習(xí)理論原理階段、前期準(zhǔn)備階段、檢查階段、評價階段、報告階段,這是一套體系。如果真正實(shí)行了這套方法,我們國有商業(yè)銀行的內(nèi)部控制問題,依法合規(guī)經(jīng)營的問題應(yīng)該不會很大。
以上所言是本人對銀行強(qiáng)化風(fēng)險管理和內(nèi)部控制的一些粗淺的探討,以求引起各方面的高度重視。其中的一些問題是帶普遍性的,各家銀行都在研究解決。雖然有些不是法律問題,但是在銀行的法律工作中都應(yīng)當(dāng)了解。在改革開放的大潮席卷神州的形勢之下,我們冷靜地研究銀行的控制職能,特別是探索銀行如何通過風(fēng)險管理和內(nèi)部控制發(fā)揮支持和穩(wěn)定中國社會的可持續(xù)發(fā)展,應(yīng)當(dāng)不無意義。言多必失,歡迎批評指正。
(完)
注釋:本文原載于法律出版社2006年出版2007年再版的書《金融審判與銀行債權(quán)保護(hù)》。文中的圖示和注釋等因網(wǎng)絡(luò)格式轉(zhuǎn)換而未加。
銀行風(fēng)險的識別、評估與內(nèi)部控制
Identification, Assessment and Internal Control of Bank Risks
楊海群
(上接 III)
四、僅供參考的政策建議
政策性建議之一,明確內(nèi)部控制的評價標(biāo)準(zhǔn)。我們今后要健全內(nèi)控,就要有標(biāo)準(zhǔn),干什么事都要有標(biāo)準(zhǔn)。我在20世紀(jì)90年代就提出過四條原則性的標(biāo)準(zhǔn)。第一是要有現(xiàn)代內(nèi)控理論做指導(dǎo),這是一個理論體系,沒有這個體系做指導(dǎo),非要自己單搞一攤,像許多人寫書,左抄右抄最后弄一本書,用上自己的名字,也不說明出處。我們的內(nèi)控依據(jù)應(yīng)當(dāng)扎實(shí)可靠,要站在前人成果的基礎(chǔ)上。第二是要形成完整的有機(jī)結(jié)合的整體。我前面給大家介紹的內(nèi)控體系和風(fēng)險管理體系,就是一種有機(jī)結(jié)合的完整體系。內(nèi)控有四大目標(biāo)和五大組成部分,加上組織機(jī)構(gòu)這第三維空間,就是個有機(jī)整體。我們開展內(nèi)控建設(shè)和管理,就應(yīng)該從這個框架(framework)出發(fā)。第三是方法上的先進(jìn)性和可操作性,就是實(shí)實(shí)在在地開展內(nèi)部控制,制定一整套規(guī)范的方法去開展內(nèi)控,這些方法也要能跟國際接軌,我的專著中介紹的那套方法是非常好的控制方法,是在總結(jié)國內(nèi)外經(jīng)驗的基礎(chǔ)上提出來的。第四是內(nèi)控程序應(yīng)當(dāng)便于計算機(jī)化,你既然有高科技創(chuàng)造的PC和軟件,就應(yīng)能實(shí)行計算機(jī)化。
政策性建議之二,績效考核要有合規(guī)性的目標(biāo)和信息性的目標(biāo)。內(nèi)控有四個大目標(biāo),現(xiàn)在大多數(shù)銀行主要提兩個目標(biāo),特別是利潤目標(biāo)(效益目標(biāo)),而沒有把合規(guī)性、信息性目標(biāo)提出來。美國一些公司的丑聞已經(jīng)導(dǎo)致各國強(qiáng)調(diào)目標(biāo)管理的全面性了,不是以利潤目標(biāo)讓你得到獎金。針對安然事件,美國國會通過的一個索克斯法,這個法律里面規(guī)定,高級管理層通過虛報瞞報財務(wù)報表贏得的獎金,一旦發(fā)現(xiàn),就讓退回原有的獎金,這等于把合規(guī)性和信息性(財務(wù)報告可靠性)的目標(biāo)作為績效考核的標(biāo)準(zhǔn)。
政策性建議之三,建議銀行把內(nèi)部控制的職能從風(fēng)險管理部的工作中分離出來,不知道工行是不是這樣,我們曾經(jīng)把它放在風(fēng)險管理部,風(fēng)險管理包含但不等同于內(nèi)部控制,“風(fēng)險管理部”同“風(fēng)險管理”不是同一概念。我一直這樣說明,它們的職能不同,風(fēng)險管理部門實(shí)行自身的內(nèi)控是應(yīng)該的,但是由這個部門去協(xié)調(diào)指導(dǎo)全部的內(nèi)部控制,就既可能干擾風(fēng)險管理,又可能使內(nèi)部控制落空。另外內(nèi)部控制是全行各個部門的工作,當(dāng)然我們最好有一個比較有權(quán)威的委員會來領(lǐng)導(dǎo),由一個獨(dú)立的部門具體管這個事。這里有一個正確處理風(fēng)險管理和內(nèi)部控制的關(guān)系問題,要理順風(fēng)險管理和內(nèi)部控制的關(guān)系。
政策性建議之四,正確處理業(yè)務(wù)發(fā)展和管理控制的關(guān)系。現(xiàn)在應(yīng)該大力提倡可持續(xù)的發(fā)展戰(zhàn)略。所謂可持續(xù)的發(fā)展,聯(lián)合國有關(guān)機(jī)構(gòu)認(rèn)為應(yīng)當(dāng)是現(xiàn)時的發(fā)展不給后續(xù)的發(fā)展造成困難,我們這代人的發(fā)展不能給后代的發(fā)展造成任何妨礙。銀行也一樣。你這任行長發(fā)放大批貸款,當(dāng)時有效益,新一任行長接手時形成了一大筆爛賬,就不是可持續(xù)發(fā)展。這點(diǎn)恐怕是商業(yè)銀行普遍遇到的問題。要建立信息交流制度,定期召開管理部門和業(yè)務(wù)發(fā)展部門之間的溝通會,對業(yè)務(wù)的可持續(xù)發(fā)展進(jìn)行定期的評審。一方面要強(qiáng)調(diào)業(yè)務(wù)發(fā)展部門依法合規(guī)經(jīng)營,審慎辦理各種項目,否則酌情追究責(zé)任。另一方面要研究制定管理控制部門和人員的責(zé)任追究制度,管理控制部門不是沒有責(zé)任,現(xiàn)在業(yè)務(wù)發(fā)展部門有數(shù)字指標(biāo)在那兒控制,沒有完成什么指標(biāo),就得扣獎金,管理部門沒有什么指標(biāo),怎么干的獎金都能發(fā)給你們。我以前也管過公司業(yè)務(wù)和結(jié)算業(yè)務(wù),也深有體會。如果風(fēng)險管理部審批一個項目拖拉怎么辦?因種種原因不批準(zhǔn)一個項目,風(fēng)險管理部要不要承擔(dān)風(fēng)險?風(fēng)險管理部大筆一揮這個項目不能干,你就不能干,至于說我們中行不辦,農(nóng)行接過來了,農(nóng)行給辦了,事后沒風(fēng)險,還獲得了效益,還本付息很正常,追究不追究風(fēng)險管理的責(zé)任?我曾經(jīng)跟風(fēng)險管理的同事討論過這個問題,他們說那怎么追究,我在特定時期、特定情況下、特定政策下決定不批準(zhǔn)這個項目,農(nóng)行在他的環(huán)境里面批準(zhǔn)了這個項目,你怎么能說我不對?這個問題有待于研究。業(yè)務(wù)發(fā)展與管理控制是一對矛盾,它們既對立又統(tǒng)一。只有正確處理,在矛盾中不斷提高水平。最好兩方面的人員,包括風(fēng)險管理、法律合規(guī)和稽核監(jiān)督人員,都應(yīng)該制定相關(guān)的責(zé)任制,要界定清楚什么情況屬于管理者失職或瀆職。這樣才能處理好所謂“踩油門”和“踩剎車”的關(guān)系。
政策性建議之五,為了加強(qiáng)對操作風(fēng)險的防范,要研究風(fēng)險怎么計量,國外都有一套理論模型,這套理論運(yùn)用到我們中國銀行界怎么運(yùn)用?需要研究和建立我們的操作風(fēng)險計量模型。另外,操作風(fēng)險的激烈表現(xiàn)就是案件的發(fā)生。各級機(jī)構(gòu)負(fù)責(zé)人員都要切實(shí)重視案件防范工作。加強(qiáng)基層管理和內(nèi)控建設(shè),落實(shí)規(guī)章制度,解決某些人想干干不成,干了早發(fā)現(xiàn)、早預(yù)警的問題。要根治私設(shè)小金庫,銀行更不能發(fā)生這個問題,小金庫最終帶來的后果是不好的。現(xiàn)在我們在查海外行,不讓海外行設(shè)小金庫。過去我們給海外行的工資比當(dāng)?shù)赝赓Y銀行發(fā)的低,怎么解決呢?他們經(jīng)總行批準(zhǔn)設(shè)一種小金庫,有時接待任務(wù)很重,也要有一點(diǎn)資金來源。但是我們發(fā)現(xiàn)設(shè)小金庫帶來的隱患很大,因此命令撤除小金庫。另外要禁止職工炒賣外匯或者炒賣股票,我們行發(fā)生的大量案例都是屬于規(guī)定了不許,但是還炒,炒輸了怎么辦?銀行人員從銀行掏錢比較容易,轉(zhuǎn)轉(zhuǎn)賬,搬搬科目,動動電腦上的鍵盤,就能解決這個問題。我們要加大有關(guān)責(zé)任人的追究。
政策性建議之六,希望能夠?qū)嵤┮惶妆容^好的內(nèi)部控制操作方法,講了半天內(nèi)控,最終要落到實(shí)處,要開展控制活動,因此,應(yīng)當(dāng)運(yùn)用和不斷完善規(guī)范的操作內(nèi)控的方法。這與我們搞法律的也有關(guān)系。因為我們法規(guī)部內(nèi)現(xiàn)在設(shè)了合規(guī)處,這種把合規(guī)職能放在法律部門的方式還有待觀察和研究。我本人傾向把內(nèi)控與合規(guī)以及反洗錢等方面的職能歸屬到一個獨(dú)立的“內(nèi)控合規(guī)部”。我跟合規(guī)處同事們提出,如何通過一套完整的、比較先進(jìn)的操作方法,能夠讓人們合規(guī)。這里要有一套評價體系,要根據(jù)我前面講的內(nèi)容來進(jìn)行評價。前面講的我那本書里有這個圖,圖示的操作還是挺不容易的,要分幾個階段,這個流程包含學(xué)習(xí)理論原理階段、前期準(zhǔn)備階段、檢查階段、評價階段、報告階段,這是一套體系。如果真正實(shí)行了這套方法,我們國有商業(yè)銀行的內(nèi)部控制問題,依法合規(guī)經(jīng)營的問題應(yīng)該不會很大。
以上所言是本人對銀行強(qiáng)化風(fēng)險管理和內(nèi)部控制的一些粗淺的探討,以求引起各方面的高度重視。其中的一些問題是帶普遍性的,各家銀行都在研究解決。雖然有些不是法律問題,但是在銀行的法律工作中都應(yīng)當(dāng)了解。在改革開放的大潮席卷神州的形勢之下,我們冷靜地研究銀行的控制職能,特別是探索銀行如何通過風(fēng)險管理和內(nèi)部控制發(fā)揮支持和穩(wěn)定中國社會的可持續(xù)發(fā)展,應(yīng)當(dāng)不無意義。言多必失,歡迎批評指正。
(完)
注釋:本文原載于法律出版社2006年出版2007年再版的書《金融審判與銀行債權(quán)保護(hù)》。文中的注釋等網(wǎng)絡(luò)因格式轉(zhuǎn)換而未加。
第四篇:信息安全風(fēng)險評估管理辦法
信息安全風(fēng)險評估管理辦法
第一章 總 則
第一條 為規(guī)范信息安全風(fēng)險評估(以下簡稱“風(fēng)險評估”)及其管理活動,保障信息系統(tǒng)安全,依據(jù)國家有關(guān)規(guī)定,結(jié)合本省實(shí)際,制定本辦法。
第二條 本省行政區(qū)域內(nèi)信息系統(tǒng)風(fēng)險評估及其管理活動,適用本辦法。
第三條 本辦法所稱信息系統(tǒng),是指由計算機(jī)、信息網(wǎng)絡(luò)及其配套的設(shè)施、設(shè)備構(gòu)成的,按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行存儲、傳輸、處理的運(yùn)行體系。
本辦法所稱重要信息系統(tǒng),是指履行經(jīng)濟(jì)調(diào)節(jié)、市場監(jiān)管、社會管理和公共服務(wù)職能的信息系統(tǒng)。
本辦法所稱風(fēng)險評估,是指依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn),對信息網(wǎng)絡(luò)和信息系統(tǒng)及由其存儲、傳輸、處理的信息的保密性、完整性和可用性等安全屬性進(jìn)行評價的活動。第四條 縣以上信息化主管部門負(fù)責(zé)本行政區(qū)域內(nèi)風(fēng)險評估的組織、指導(dǎo)和監(jiān)督、檢查。
跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行的重要信息系統(tǒng)的風(fēng)險評估,可以由其行業(yè)管理部門統(tǒng)一組織實(shí)施。
涉密信息系統(tǒng)的風(fēng)險評估,由國家保密部門按照有關(guān)法律、法規(guī)規(guī)定實(shí)施。第五條 風(fēng)險評估分為自評估和檢查評估兩種形式。自評估由信息系統(tǒng)的建設(shè)、運(yùn)營或者使用單位自主開展。檢查評估由縣以上信息化主管部門在本行政區(qū)域內(nèi)依法開展,也可以由信息系統(tǒng)建設(shè)、運(yùn)營或者使用單位的上級主管部門依據(jù)有關(guān)標(biāo)準(zhǔn)和規(guī)范組織進(jìn)行,雙方實(shí)行互備案制度。第二章 組織與實(shí)施
第六條 信息化主管部門應(yīng)當(dāng)定期發(fā)布本行政區(qū)域內(nèi)重要信息系統(tǒng)目錄,制定檢查評估實(shí)施計劃,并對重要信息系統(tǒng)管理技術(shù)人員開展相關(guān)培訓(xùn)。
第七條 江蘇省信息安全測評中心為本省從事信息安全測評的專門機(jī)構(gòu),受省信息化主管部門委托,具體負(fù)責(zé)對從事風(fēng)險評估服務(wù)的社會機(jī)構(gòu)進(jìn)行條件審核、業(yè)務(wù)管理和人員培訓(xùn),組織開展全省重要信息系統(tǒng)的外部安全測試。第八條 信息系統(tǒng)的建設(shè)、運(yùn)營或者使用單位可以依托本單位技術(shù)力量,或者委托符合條件的風(fēng)險評估服務(wù)機(jī)構(gòu)進(jìn)行自評估。
第九條 重要信息系統(tǒng)新建、擴(kuò)建或者改建的,在設(shè)計、驗收、運(yùn)行維護(hù)階段,均應(yīng)當(dāng)進(jìn)行自評估。重要信息系統(tǒng)廢棄、發(fā)生重大變更或者安全狀況發(fā)生重大變化的,應(yīng)當(dāng)及時進(jìn)行自評估。
第十條 本省行政區(qū)域內(nèi)信息系統(tǒng)應(yīng)當(dāng)定期開展風(fēng)險評估,其中重要信息系統(tǒng)應(yīng)當(dāng)至少每三年進(jìn)行一次自評估或檢查評估。在規(guī)定期限內(nèi)已進(jìn)行檢查評估的重要信息系統(tǒng),可以不再進(jìn)行自評估。
第十一條 縣以上信息化主管部門委托符合條件的風(fēng)險評估服務(wù)機(jī)構(gòu),對本行政區(qū)域內(nèi)重要信息系統(tǒng)實(shí)施檢查評估。第十二條信息系統(tǒng)的建設(shè)、運(yùn)營或使用單位委托風(fēng)險評估服務(wù)機(jī)構(gòu)開展自評估,應(yīng)當(dāng)簽訂風(fēng)險評估協(xié)議;信息化主管部門委托開展檢查評估,受委托的風(fēng)險評估服務(wù)機(jī)構(gòu)應(yīng)當(dāng)與被評估單位簽訂風(fēng)險評估協(xié)議。
對于評估活動可能影響信息系統(tǒng)正常運(yùn)行的,風(fēng)險評估服務(wù)機(jī)構(gòu)應(yīng)當(dāng)事先告知被評估單位,并協(xié)助其采取相應(yīng)的預(yù)防措施。
第十三條 風(fēng)險評估應(yīng)當(dāng)出具評估報告。評估報告應(yīng)當(dāng)包括評估范圍、內(nèi)容、依據(jù)、結(jié)論和整改建議等。
風(fēng)險評估服務(wù)機(jī)構(gòu)出具的自評估報告,應(yīng)當(dāng)經(jīng)被評估單位認(rèn)可,并經(jīng)雙方部門負(fù)責(zé)人簽署后生效。
風(fēng)險評估服務(wù)機(jī)構(gòu)出具的檢查評估報告,應(yīng)當(dāng)報委托其開展評估的主管部門審定;主管部門應(yīng)當(dāng)自收到評估報告之日起10個工作日內(nèi),將審定結(jié)果和整改意見告知被評估單位。第十四條 自評估單位應(yīng)當(dāng)根據(jù)自評估報告進(jìn)行整改,并自報告生效之日起30日內(nèi),將自評估情況和整改方案報本級信息化主管部門備案。
接受檢查評估的單位應(yīng)當(dāng)自收到檢查評估報告之日起30日內(nèi),根據(jù)整改建議提出整改方案、明確整改時限,報本級信息化主管部門備案。
受委托進(jìn)行風(fēng)險評估的服務(wù)機(jī)構(gòu)應(yīng)當(dāng)指導(dǎo)被評估單位開展整改,并對整改措施的有效性進(jìn)行驗證。第十五條 信息化主管部門應(yīng)當(dāng)定期公布已開展自評估、檢查評估單位備案名單,督促未備案單位開展自評估。
第十六條 未發(fā)生重大變更的重要信息系統(tǒng)再次進(jìn)行風(fēng)險評估的,可以參考前次評估結(jié)果,重點(diǎn)評估以下內(nèi)容:
(一)前次風(fēng)險評估發(fā)現(xiàn)的主要問題及整改情況;
(二)核心網(wǎng)絡(luò)設(shè)備、服務(wù)器、安全防護(hù)設(shè)施、應(yīng)用軟件等系統(tǒng)關(guān)鍵部位發(fā)生局部變更后,可能出現(xiàn)的安全隱患;
(三)新的信息技術(shù)可能對信息系統(tǒng)安全造成的影響;
(四)其他需要重點(diǎn)評估的內(nèi)容。第三章 風(fēng)險評估機(jī)構(gòu)
第十七條 在本省行政區(qū)域內(nèi)從事自評估服務(wù)的社會機(jī)構(gòu),應(yīng)當(dāng)具備下列條件,并報經(jīng)其所在地省轄市信息化主管部門備案:
(一)依法在中國境內(nèi)注冊成立并在本省設(shè)有機(jī)構(gòu),由中國公民、法人投資或者由其它組織投資;
(二)從事信息安全檢測、評估相關(guān)業(yè)務(wù)兩年以上,無違法記錄;
(三)專業(yè)評估人員不少于10人且均為中國公民,接受并通過相關(guān)培訓(xùn)考核,無違法記錄;其中主要評估人員2人以上,具有由國家權(quán)威機(jī)構(gòu)認(rèn)定的或由其它機(jī)構(gòu)認(rèn)定的相當(dāng)水平的信息安全服務(wù)資格,具備獨(dú)立實(shí)施風(fēng)險評估的技術(shù)能力;
(四)評估使用的技術(shù)裝備、設(shè)施符合國家信息安全產(chǎn)品要求;
(五)具有完備的保密管理、項目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等內(nèi)部管理制度;
(六)法律法規(guī)規(guī)定的其它條件。
第十八條 在本省從事檢查評估的社會機(jī)構(gòu),除具備第十七條規(guī)定條件外,還應(yīng)當(dāng)同時具備下列條件,并經(jīng)其所在地省轄市信息化主管部門審核后,報省信息化主管部門備案:
(一)具有國家權(quán)威機(jī)構(gòu)認(rèn)定的信息安全服務(wù)資質(zhì);
(二)評估人員不少于20人,其中主要評估人員4人以上,具有國家權(quán)威機(jī)構(gòu)認(rèn)定的或由其它機(jī)構(gòu)認(rèn)定的相當(dāng)水平的信息安全服務(wù)資格。
第十九條 省轄市以上信息化主管部門應(yīng)當(dāng)自收到備案申請報告之日起10個工作日內(nèi),告知備案結(jié)果,并定期向社會公布本行政區(qū)域內(nèi)風(fēng)險評估服務(wù)機(jī)構(gòu)備案名單,對其服務(wù)進(jìn)行管理、監(jiān)督。
第二十條 從事風(fēng)險評估服務(wù)的機(jī)構(gòu),應(yīng)當(dāng)履行下列義務(wù):
(一)遵守國家有關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn),提供科學(xué)、安全、客觀、公正的評估服務(wù),保證評估的質(zhì)量和效果;
(二)保守在評估活動中知悉的國家秘密、商業(yè)秘密和個人隱私,防范安全風(fēng)險,不得私自占有、使用或向第三方泄露相關(guān)技術(shù)數(shù)據(jù)、業(yè)務(wù)資料等信息和資源;
(三)對服務(wù)人員進(jìn)行安全保密教育,簽訂服務(wù)人員安全保密責(zé)任書,并負(fù)責(zé)檢查落實(shí)。第四章 監(jiān)督管理
第二十一條 違反本辦法,有以下行為之一的,由信息化主管部門責(zé)令其限期改正,逾期不改正的,予以通報;對直接責(zé)任人員,由所在單位或上級主管部門視情給予行政處分:
(一)違反第九條、第十條規(guī)定,信息系統(tǒng)的建設(shè)、運(yùn)營或者使用單位未按照規(guī)定開展自評估;重要信息系統(tǒng)的建設(shè)、運(yùn)營或者使用單位不接受、不配合開展檢查評估的;
(二)違反第十四條規(guī)定,自評估單位未按照規(guī)定將自評估情況和整改方案、接受檢查評估單位未按照規(guī)定將整改方案報本級信息化主管部門備案的;
(三)違反第八條規(guī)定,信息系統(tǒng)的建設(shè)、運(yùn)營或者使用單位委托不符合條件的機(jī)構(gòu)進(jìn)行風(fēng)險評估,并造成不良后果的。第二十二條 違反本辦法第十二條規(guī)定,風(fēng)險評估服務(wù)機(jī)構(gòu)未事先告知被評估單位、協(xié)助其采取預(yù)防措施的,由信息化主管部門責(zé)令限期改正,并給予警告;造成不良后果的,可視情暫停其備案1年,直至取消其備案。
第二十三條 違反本辦法第二十條規(guī)定,風(fēng)險評估服務(wù)機(jī)構(gòu)未經(jīng)許可向第三方提供被評估單位相關(guān)信息的,或者從事影響評估客觀、公正的活動的,由信息化主管部門視情暫停其備案一年,直至取消其備案。造成被評估單位經(jīng)濟(jì)損失的,應(yīng)予合理賠償;從中不當(dāng)獲利的,應(yīng)予退還;構(gòu)成犯罪的,應(yīng)依法追究其刑事責(zé)任。
第二十四條 信息化主管部門或其他有關(guān)部門工作人員有下列行為之一的,由其監(jiān)察部門或上級主管部門視情對相關(guān)責(zé)任人員給予行政處分;構(gòu)成犯罪的,依法追究刑事責(zé)任:
(一)利用職權(quán)索取、收受賄賂,或者玩忽職守、濫用職權(quán)的;
(二)泄露信息系統(tǒng)的運(yùn)營、使用單位或者個人的有關(guān)信息、資料及數(shù)據(jù)文件的。第五章 附 則
第二十五條 本辦法自發(fā)布之日起施行,由省信息化主管部門負(fù)責(zé)解釋。
第五篇:信息科技風(fēng)險管理辦法(最終版)
XXXX銀行信息科技風(fēng)險管理辦法 總則
為XXXX銀行有效防范銀行運(yùn)用信息系統(tǒng)進(jìn)行業(yè)務(wù)處理、經(jīng)營管理和內(nèi)部控制過程中產(chǎn)生的風(fēng)險,促進(jìn)我行各項業(yè)務(wù)安全、持續(xù)、穩(wěn)健運(yùn)行,根據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》、《中華人民共和國商業(yè)銀行法》、《商業(yè)銀行信息科技風(fēng)險管理指引》、《營口沿海銀操作風(fēng)險管理指引》,以及國家信息安全相關(guān)要求和有關(guān)法律法規(guī),制定本管理辦法。
本管理辦法所稱信息科技是指計算機(jī)、通信、微電子和軟件工程等現(xiàn)代信息技術(shù),在我行業(yè)務(wù)交易處理、經(jīng)營管理和內(nèi)部控制等方面的應(yīng)用,并包括進(jìn)行信息科技治理,建立完整的管理組織架構(gòu),制訂完善的管理制度和流程。本管理辦法所稱信息科技風(fēng)險,是指信息科技在我行運(yùn)用過程中,由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽(yù)等風(fēng)險。
信息科技風(fēng)險管理的目標(biāo)是通過建立有效的機(jī)制,實(shí)現(xiàn)對我行信息科技風(fēng)險的識別、計量、監(jiān)測和控制,促進(jìn)我行安全、持續(xù)、穩(wěn)健運(yùn)行,推動業(yè)務(wù)創(chuàng)新,提高信息技術(shù)使用水平,增強(qiáng)核心競爭力和可持續(xù)發(fā)展能力。機(jī)構(gòu)職責(zé)
根據(jù)我行信息科技治理的要求,法定代表人是本機(jī)構(gòu)信息科技風(fēng)險管理的第一責(zé)任人,負(fù)責(zé)組織本管理辦法的貫徹落實(shí), 董事會應(yīng)履行以下信息科技管理職責(zé): 遵守并貫徹執(zhí)行國家有關(guān)信息科技管理的法律、法規(guī)和技術(shù)標(biāo)準(zhǔn),落實(shí)中國銀行業(yè)監(jiān)督管理委員會(以下簡稱銀監(jiān)會)相關(guān)監(jiān)管要求。審查批準(zhǔn)信息科技戰(zhàn)略,確保其與銀行的總體業(yè)務(wù)戰(zhàn)略和重大策略相一致。評估信息科技及其風(fēng)險管理工作的總體效果和效率。
掌握主要的信息科技風(fēng)險,確定可接受的風(fēng)險級別,確保相關(guān)風(fēng)險能夠被識別、計量、監(jiān)測和控制。
規(guī)范職業(yè)道德行為和廉潔標(biāo)準(zhǔn),增強(qiáng)內(nèi)部文化建設(shè),提高全體人員對信息科技風(fēng)險管理重要性的認(rèn)識。
設(shè)立一個由來自高級管理層、信息科技部門和主要業(yè)務(wù)部門的代表組成的專門信息科技管理委員會,負(fù)責(zé)監(jiān)督各項職責(zé)的落實(shí),定期向董事會和高級管理層匯報信息科技戰(zhàn)略規(guī)劃的執(zhí)行、信息科技預(yù)算和實(shí)際支出、信息科技的整體狀況。
在建立良好的公司治理的基礎(chǔ)上進(jìn)行信息科技治理,形成分工合理、職責(zé)明確、相互制衡、報告關(guān)系清晰的信息科技治理組織結(jié)構(gòu)。加強(qiáng)信息科技專業(yè)隊伍的建設(shè),建立人才激勵機(jī)制。確保內(nèi)部審計部門進(jìn)行獨(dú)立有效的信息科技風(fēng)險管理審計,對審計報告進(jìn)行確認(rèn)并落實(shí)整改。每年審閱并向銀監(jiān)會及其派出機(jī)構(gòu)報送信息科技風(fēng)險管理的報告。確保信息科技風(fēng)險管理工作所需資金。
確保銀行所有員工充分理解和遵守經(jīng)其批準(zhǔn)的信息科技風(fēng)險管理制度和流程,并安排相關(guān)培訓(xùn)。
確保本法人機(jī)構(gòu)涉及客戶信息、賬務(wù)信息以及產(chǎn)品信息等的核心系統(tǒng)在中國境內(nèi)獨(dú)立運(yùn)行,并保持最高的管理權(quán)限,符合銀監(jiān)會監(jiān)管和實(shí)施現(xiàn)場檢查的要求,防范跨境風(fēng)險。及時向銀監(jiān)會及其派出機(jī)構(gòu)報告本機(jī)構(gòu)發(fā)生的重大信息科技事故或突發(fā)事件,按相關(guān)預(yù)案快速響應(yīng)。
配合銀監(jiān)會及其派出機(jī)構(gòu)做好信息科技風(fēng)險監(jiān)督檢查工作,并按照監(jiān)管意見進(jìn)行整改。履行信息科技風(fēng)險管理其他相關(guān)工作。
我行應(yīng)設(shè)立分管信息科技的副行級領(lǐng)導(dǎo),直接向行長匯報,并參與決策。副行級領(lǐng)導(dǎo)的職責(zé)包括:
直接參與本銀行與信息科技運(yùn)用有關(guān)的業(yè)務(wù)發(fā)展決策。確保信息科技戰(zhàn)略,尤其是信息系統(tǒng)開發(fā)戰(zhàn)略,符合本銀行的總體業(yè)務(wù)戰(zhàn)略和信息科技風(fēng)險管理策略。
負(fù)責(zé)建立一個切實(shí)有效的信息科技部門,承擔(dān)本銀行的信息科技職責(zé)。確保其履行:信息科技預(yù)算和支出、信息科技策略、標(biāo)準(zhǔn)和流程、信息科技內(nèi)部控制、專業(yè)化研發(fā)、信息科技項目發(fā)起和管理、信息系統(tǒng)和信息科技基礎(chǔ)設(shè)施的運(yùn)行、維護(hù)和升級、信息安全管理、災(zāi)難恢復(fù)計劃、信息科技外包和信息系統(tǒng)退出等職責(zé)。確保信息科技風(fēng)險管理的有效性,并使有關(guān)管理措施落實(shí)到相關(guān)的每一個內(nèi)設(shè)機(jī)構(gòu)和分支機(jī)構(gòu)。
組織專業(yè)培訓(xùn),提高人才隊伍的專業(yè)技能。 履行信息科技風(fēng)險管理其他相關(guān)工作。
科技部負(fù)責(zé)我行信息安全、信息系統(tǒng)開發(fā)、測試和維護(hù)、信息科技運(yùn)行、業(yè)務(wù)連續(xù)性管理;應(yīng)對內(nèi)部管理職責(zé)進(jìn)行明確的界定,各崗位的人員應(yīng)具有相應(yīng)的專業(yè)知識和技能,重要崗位應(yīng)制定詳細(xì)完整的工作手冊并適時更新,并對相關(guān)人員采取相關(guān)的風(fēng)險防范措施: 驗證個人信息,包括核驗有效身份證件、學(xué)歷證明、工作經(jīng)歷和專業(yè)資格證書等信息。審核信息科技員工的道德品行,確保其具備相應(yīng)的職業(yè)操守。
確保員工了解、遵守信息科技策略、指導(dǎo)原則、信息保密、授權(quán)使用信息系統(tǒng)、信息科技管理制度和流程等要求,并同員工簽訂相關(guān)協(xié)議。評估關(guān)鍵崗位信息科技員工流失帶來的風(fēng)險,做好安排候補(bǔ)員工和崗位接替計劃等防范措施;在員工崗位發(fā)生變化后及時變更相關(guān)信息。
運(yùn)營管理部職能交叉,要部門協(xié)調(diào)是信息系統(tǒng)中涉及賬務(wù)交易的操作、系統(tǒng)參數(shù)變更、事件管理的主要部門。運(yùn)營管理部的職責(zé)包括:
運(yùn)行與維護(hù)應(yīng)實(shí)行職責(zé)分離,運(yùn)行人員應(yīng)實(shí)行專職,不得由其他人員兼任。運(yùn)行人員應(yīng)按操作規(guī)程巡檢和操作。維護(hù)人員應(yīng)按授權(quán)和維護(hù)規(guī)程要求對生產(chǎn)狀態(tài)的軟硬件、數(shù)據(jù)進(jìn)行維護(hù),除應(yīng)急外,其他維護(hù)應(yīng)在非工作時間進(jìn)行。
制定詳細(xì)的運(yùn)行值班操作表,包括規(guī)定巡檢時間,操作范圍、內(nèi)容、辦法、命令以及負(fù)責(zé)人員等信息。
提供機(jī)房環(huán)境、設(shè)備使用、網(wǎng)絡(luò)運(yùn)行、系統(tǒng)運(yùn)行職能交叉,要部門協(xié)調(diào)等監(jiān)控信息。記錄運(yùn)行值班過程中所有現(xiàn)象、操作過程等信息日志。對軟件或數(shù)據(jù)的維護(hù)必須通過特定的應(yīng)用程序進(jìn)行,添加、刪除和修改數(shù)據(jù)應(yīng)通過柜員終端,不得對數(shù)據(jù)庫進(jìn)行直接操作;
具備各種詳細(xì)的日志信息,包括交易日志和審計日志等,以便維護(hù)和審計。提供維護(hù)的統(tǒng)計和報表打印功能。對系統(tǒng)參數(shù)等設(shè)置變更、維護(hù)的要求:
應(yīng)對信息系統(tǒng)配置參數(shù)實(shí)施嚴(yán)格的安全與保密管理,防止非法生成、變更、泄漏、丟失與破壞。根據(jù)敏感程度和用途,確定存取權(quán)限、方式和授權(quán)使用范圍,嚴(yán)格審批和登記手續(xù)。制訂嚴(yán)密的變更處理流程,明確變更控制中各崗位的職責(zé),并遵循流程實(shí)施控制和管理;變更前應(yīng)明確應(yīng)急和回退方案,無授權(quán)不得進(jìn)行變更操作;
根據(jù)變更需求、變更方案、變更內(nèi)容核實(shí)清單等相關(guān)文檔審核變更的正確性、安全性和合法性。職能交叉,要部門協(xié)調(diào)
應(yīng)對機(jī)房環(huán)境設(shè)施實(shí)行日常巡檢,明確信息系統(tǒng)及機(jī)房環(huán)境設(shè)施出現(xiàn)故障時的應(yīng)急處理流程和預(yù)案,有實(shí)時交易服務(wù)的數(shù)據(jù)中心應(yīng)實(shí)行24小時值班。
實(shí)行事件報告制度,發(fā)生信息系統(tǒng)造成重大經(jīng)濟(jì)、聲譽(yù)損失和重大影響事件,應(yīng)即時上報并處理,必要時啟動應(yīng)急處理預(yù)案。
風(fēng)險管理部負(fù)責(zé)信息科技風(fēng)險管理工作,并直接向分管行領(lǐng)導(dǎo)(風(fēng)險管理委員會)報告工作。該部門應(yīng)為信息科技突發(fā)事件應(yīng)急響應(yīng)小組的成員之一,負(fù)責(zé)協(xié)調(diào)制定有關(guān)信息科技風(fēng)險管理策略,尤其是在涉及信息安全、業(yè)務(wù)連續(xù)性計劃和合規(guī)性風(fēng)險等方面,為業(yè)務(wù)部門和信息科技部門提供建議及相關(guān)合規(guī)性信息,實(shí)施持續(xù)信息科技風(fēng)險評估,跟蹤整改意見的落實(shí),監(jiān)控信息安全威脅和不合規(guī)事件的發(fā)生。風(fēng)險管理部的職責(zé)包括: 擬定信息系統(tǒng)風(fēng)險管理總體政策,并提交高級管理層審查、審批。會同相關(guān)業(yè)務(wù)部門對信息系統(tǒng)風(fēng)險進(jìn)行識別、監(jiān)測; 審核信息系統(tǒng)風(fēng)險狀況。對總行相關(guān)業(yè)務(wù)部門和分支機(jī)構(gòu)信息系統(tǒng)風(fēng)險狀況及維護(hù)、運(yùn)行情況進(jìn)行監(jiān)測,并進(jìn)行實(shí)時報告。
組織新投產(chǎn)后信息系統(tǒng)的后評價,并識別、評估新信息系統(tǒng)中所包含的風(fēng)險,審核相應(yīng)的操作和風(fēng)險管理程序。
稽核審計部應(yīng)在部門設(shè)立專門的信息科技風(fēng)險審計崗位,負(fù)責(zé)信息科技審計制度和流程的實(shí)施,制訂和執(zhí)行信息科技審計計劃,對信息科技整個生命周期和重大事件等進(jìn)行審計。稽核審計部負(fù)責(zé)我行信息系統(tǒng)審計任務(wù),也可聘請經(jīng)國家相應(yīng)監(jiān)管部門認(rèn)定資質(zhì)的中介機(jī)構(gòu)進(jìn)行信息系統(tǒng)外部審計。信息科技風(fēng)險管理
我行應(yīng)制定全面的信息科技風(fēng)險管理策略,包括但不限于下述領(lǐng)域: 信息分級與保護(hù)。
信息系統(tǒng)開發(fā)、測試和維護(hù)。信息科技運(yùn)行和維護(hù)。訪問控制。物理安全。人員安全。
業(yè)務(wù)連續(xù)性計劃與應(yīng)急處置。
我行應(yīng)制定持續(xù)的風(fēng)險識別和評估流程,確定信息科技中存在隱患的區(qū)域,評價風(fēng)險對其業(yè)務(wù)的潛在影響,對風(fēng)險進(jìn)行排序,并確定風(fēng)險防范措施及所需資源的優(yōu)先級別(包括外包供應(yīng)商、產(chǎn)品供應(yīng)商和服務(wù)商)。
我行應(yīng)依據(jù)信息科技風(fēng)險管理策略和風(fēng)險評估結(jié)果,實(shí)施全面的風(fēng)險防范措施。防范措施應(yīng)包括:
制定明確的信息科技風(fēng)險管理制度、技術(shù)標(biāo)準(zhǔn)和操作規(guī)程等,定期進(jìn)行更新和公示。
確定潛在風(fēng)險區(qū)域,并對這些區(qū)域進(jìn)行詳細(xì)和獨(dú)立的監(jiān)控,實(shí)現(xiàn)風(fēng)險最小化。建立適當(dāng)?shù)目刂瓶蚣埽员阌跈z查和平衡風(fēng)險;定義每個業(yè)務(wù)級別的控制內(nèi)容,包括: 最高權(quán)限用戶的審查。
控制對數(shù)據(jù)和系統(tǒng)的物理和邏輯訪問。
訪問授權(quán)以“必需知道”和“最小授權(quán)”為原則。審批和授權(quán)。驗證和調(diào)節(jié)。
我行應(yīng)建立持續(xù)的信息科技風(fēng)險計量和監(jiān)測機(jī)制,其中應(yīng)包括: 建立信息科技項目實(shí)施前及實(shí)施后的評價機(jī)制。建立定期檢查系統(tǒng)性能的程序和標(biāo)準(zhǔn)。
建立信息科技服務(wù)投訴和事故處理的報告機(jī)制。
建立內(nèi)部審計、外部審計和監(jiān)管發(fā)現(xiàn)問題的整改處理機(jī)制。
安排供應(yīng)商和業(yè)務(wù)部門對服務(wù)水平協(xié)議的完成情況進(jìn)行定期審查。定期評估新技術(shù)發(fā)展可能造成的影響和已使用軟件面臨的新威脅。定期進(jìn)行運(yùn)行環(huán)境下操作風(fēng)險和管理控制的檢查。定期進(jìn)行信息科技外包項目的風(fēng)險狀況評價。信息安全
科技部負(fù)責(zé)建立和實(shí)施信息分類和保護(hù)體系,應(yīng)使所有員工都了解信息安全的重要性,并組織提供必要的培訓(xùn),讓員工充分了解其職責(zé)范圍內(nèi)的信息保護(hù)流程。
科技部應(yīng)落實(shí)信息安全管理職能。該職能應(yīng)包括建立信息安全計劃和保持長效的管理機(jī)制,提高全體員工信息安全意識,就安全問題向其他部門提供建議,并定期向信息科技管理委員會提交本銀行信息安全評估報告。信息安全管理機(jī)制應(yīng)包括信息安全標(biāo)準(zhǔn)、策略、實(shí)施計劃和持續(xù)維護(hù)計劃。信息安全策略應(yīng)涉及以下領(lǐng)域: 安全制度管理。信息安全組織管理。資產(chǎn)管理。人員安全管理。
物理與環(huán)境安全管理。通信與運(yùn)營管理。訪問控制管理。
系統(tǒng)開發(fā)與維護(hù)管理。信息安全事故管理。業(yè)務(wù)連續(xù)性管理。合規(guī)性管理。
應(yīng)建立有效管理用戶認(rèn)證和訪問控制的流程。用戶對數(shù)據(jù)和系統(tǒng)的訪問必須選擇與信息訪問級別相匹配的認(rèn)證機(jī)制,并且確保其在信息系統(tǒng)內(nèi)的活動只限于相關(guān)業(yè)務(wù)能合法開展所要求的最低限度。用戶調(diào)動到新的工作崗位或離開我行時,應(yīng)在系統(tǒng)中及時檢查、更新或注銷用戶身份。
應(yīng)確保設(shè)立物理安全保護(hù)區(qū)域,包括計算機(jī)中心或數(shù)據(jù)中心、存儲機(jī)密信息或放置網(wǎng)絡(luò)設(shè)備等重要信息科技設(shè)備的區(qū)域,明確相應(yīng)的職責(zé),采取必要的預(yù)防、檢測和恢復(fù)控制措施。應(yīng)根據(jù)信息安全級別,將網(wǎng)絡(luò)劃分為不同的邏輯安全域(以下簡稱為域)。應(yīng)該對下列安全因素進(jìn)行評估,并根據(jù)安全級別定義和評估結(jié)果實(shí)施有效的安全控制,如對每個域和整個網(wǎng)絡(luò)進(jìn)行物理或邏輯分區(qū)、實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)容過濾、邏輯訪問控制、傳輸加密、網(wǎng)絡(luò)監(jiān)控、記錄活動日志等。
域內(nèi)應(yīng)用程序和用戶組的重要程度。各種通訊渠道進(jìn)入域的訪問點(diǎn)。
域內(nèi)配置的網(wǎng)絡(luò)設(shè)備和應(yīng)用程序使用的網(wǎng)絡(luò)協(xié)議和端口。性能要求或標(biāo)準(zhǔn)。
域的性質(zhì),如生產(chǎn)域或測試域、內(nèi)部域或外部域。不同域之間的連通性。域的可信程度。
應(yīng)通過以下措施,確保所有計算機(jī)操作系統(tǒng)和系統(tǒng)軟件的安全:
制定每種類型操作系統(tǒng)的基本安全要求,確保所有系統(tǒng)滿足基本安全要求。
明確定義包括終端用戶、系統(tǒng)開發(fā)人員、系統(tǒng)測試人員、計算機(jī)操作人員、系統(tǒng)管理員和用戶管理員等不同用戶組的訪問權(quán)限。制定最高權(quán)限系統(tǒng)賬戶的審批、驗證和監(jiān)控流程,并確保最高權(quán)限用戶的操作日志被記錄和監(jiān)察。要求技術(shù)人員定期檢查可用的安全補(bǔ)丁,并報告補(bǔ)丁管理狀態(tài)。在系統(tǒng)日志中記錄不成功的登錄、重要系統(tǒng)文件的訪問、對用戶賬戶的修改等有關(guān)重要事項,手動或自動監(jiān)控系統(tǒng)出現(xiàn)的任何異常事件,定期匯報監(jiān)控情況。應(yīng)通過以下措施,確保所有信息系統(tǒng)安全:
明確定義終端用戶和信息科技技術(shù)人員在信息系統(tǒng)安全中的角色和職責(zé)。針對信息系統(tǒng)的重要性和敏感程度,采取有效的身份驗證方法。加強(qiáng)職責(zé)劃分,對關(guān)鍵或敏感崗位進(jìn)行雙重控制。在關(guān)鍵的接合點(diǎn)進(jìn)行輸入驗證或輸出核對。
采取安全的方式處理保密信息的輸入和輸出,防止信息泄露或被盜取、篡改。
確保系統(tǒng)按預(yù)先定義的方式處理例外情況,當(dāng)系統(tǒng)被迫終止時向用戶提供必要信息。以書面或電子格式保存審計痕跡。
要求用戶管理員監(jiān)控和審查未成功的登錄和用戶賬戶的修改。
應(yīng)制定相關(guān)策略和流程,管理所有生產(chǎn)系統(tǒng)的活動日志,以支持有效的審核、安全取證分析和預(yù)防欺詐。日志可以在軟件的不同層次、不同的計算機(jī)和網(wǎng)絡(luò)設(shè)備上完成,日志劃分為兩大類: 交易日志。交易日志由應(yīng)用軟件和數(shù)據(jù)庫管理系統(tǒng)產(chǎn)生,內(nèi)容包括用戶登錄嘗試、數(shù)據(jù)修改、錯誤信息等。交易日志應(yīng)按照國家會計準(zhǔn)則要求予以保存。系統(tǒng)日志。系統(tǒng)日志由操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、防火墻、入侵檢測系統(tǒng)和路由器等生成,內(nèi)容包括管理登錄嘗試、系統(tǒng)事件、網(wǎng)絡(luò)事件、錯誤信息等。系統(tǒng)日志保存期限按系統(tǒng)的風(fēng)險等級確定,但不能少于一年。
應(yīng)保證交易日志和系統(tǒng)日志中包含足夠的內(nèi)容,以便完成有效的內(nèi)部控制、解決系統(tǒng)故障和滿足審計需要;應(yīng)采取適當(dāng)措施保證所有日志同步計時,并確保其完整性。在例外情況發(fā)生后應(yīng)及時復(fù)查系統(tǒng)日志。交易日志或系統(tǒng)日志的復(fù)查頻率和保存周期應(yīng)由信息科技部門和有關(guān)業(yè)務(wù)部門共同決定,并報信息科技管理委員會批準(zhǔn)。
應(yīng)采取加密技術(shù),防范涉密信息在傳輸、處理、存儲過程中出現(xiàn)泄露或被篡改的風(fēng)險,并建立密碼設(shè)備管理制度,以確保:
使用符合國家要求的加密技術(shù)和加密設(shè)備。
管理、使用密碼設(shè)備的員工經(jīng)過專業(yè)培訓(xùn)和嚴(yán)格審查。加密強(qiáng)度滿足信息機(jī)密性的要求。
制定并落實(shí)有效的管理流程,尤其是密鑰和證書生命周期管理。
配備切實(shí)有效的系統(tǒng),確保所有終端用戶設(shè)備的安全,并定期對所有設(shè)備進(jìn)行安全檢查,包括臺式個人計算機(jī)(PC)、便攜式計算機(jī)、柜員終端、自動柜員機(jī)(ATM)、存折打印機(jī)、讀卡器、銷售終端(POS)和個人數(shù)字助理(PDA)等。
制定相關(guān)制度和流程,嚴(yán)格管理客戶信息的采集、處理、存貯、傳輸、分發(fā)、備份、恢復(fù)、清理和銷毀。
對所有員工進(jìn)行必要的培訓(xùn),使其充分掌握信息科技風(fēng)險管理制度和流程,了解違反規(guī)定的后果,并對違反安全規(guī)定的行為采取零容忍政策。信息系統(tǒng)開發(fā)、測試和維護(hù)
應(yīng)有能力對信息系統(tǒng)進(jìn)行需求分析、規(guī)劃、采購、開發(fā)、測試、部署、維護(hù)、升級和報廢,制定制度和流程,管理信息科技項目的優(yōu)先排序、立項、審批和控制。項目實(shí)施部門應(yīng)定期向信息科技管理委員會提交重大信息科技項目的進(jìn)度報告,由其進(jìn)行審核,進(jìn)度報告應(yīng)當(dāng)包括計劃的重大變更、關(guān)鍵人員或供應(yīng)商的變更以及主要費(fèi)用支出情況。應(yīng)在信息系統(tǒng)投產(chǎn)后一定時期內(nèi),組織對系統(tǒng)的后評價,并根據(jù)評價結(jié)果及時對系統(tǒng)功能進(jìn)行調(diào)整和優(yōu)化。應(yīng)認(rèn)識到信息科技項目相關(guān)的風(fēng)險,包括潛在的各種操作風(fēng)險、財務(wù)損失風(fēng)險和因無效項目規(guī)劃或不適當(dāng)?shù)捻椖抗芾砜刂飘a(chǎn)生的機(jī)會成本,并采取適當(dāng)?shù)捻椖抗芾矸椒ǎ刂菩畔⒖萍柬椖肯嚓P(guān)的風(fēng)險。
采取適當(dāng)?shù)南到y(tǒng)開發(fā)方法,控制信息系統(tǒng)的生命周期。典型的系統(tǒng)生命周期包括系統(tǒng)分析、設(shè)計、開發(fā)或外購、測試、試運(yùn)行、部署、維護(hù)和退出。所采用的系統(tǒng)開發(fā)方法應(yīng)符合信息科技項目的規(guī)模、性質(zhì)和復(fù)雜度。
制定相關(guān)控制信息系統(tǒng)變更的制度和流程,確保系統(tǒng)的可靠性、完整性和可維護(hù)性,其中應(yīng)包括以下要求:
生產(chǎn)系統(tǒng)與開發(fā)系統(tǒng)、測試系統(tǒng)有效隔離。
生產(chǎn)系統(tǒng)與開發(fā)系統(tǒng)、測試系統(tǒng)的管理職能相分離。除得到管理層批準(zhǔn)執(zhí)行緊急修復(fù)任務(wù)外,禁止應(yīng)用程序開發(fā)和維護(hù)人員進(jìn)入生產(chǎn)系統(tǒng),且所有的緊急修復(fù)活動都應(yīng)立即進(jìn)行記錄和審核。
將完成開發(fā)和測試環(huán)境的程序或系統(tǒng)配置變更應(yīng)用到生產(chǎn)系統(tǒng)時,應(yīng)得到信息科技部門和業(yè)務(wù)部門的聯(lián)合批準(zhǔn),并對變更進(jìn)行及時記錄和定期復(fù)查。
制定并落實(shí)相關(guān)制度、標(biāo)準(zhǔn)和流程,確保信息系統(tǒng)開發(fā)、測試、維護(hù)過程中數(shù)據(jù)的完整性、保密性和可用性。
建立并完善有效的問題管理流程,以確保全面地追蹤、分析和解決信息系統(tǒng)問題,并對問題進(jìn)行記錄、分類和索引;如需供應(yīng)商提供支持服務(wù)或技術(shù)援助,應(yīng)向相關(guān)人員提供所需的合同和相關(guān)信息,并將過程記錄在案;對完成緊急恢復(fù)起至關(guān)重要作用的任務(wù)和指令集,應(yīng)有清晰的描述和說明,并通知相關(guān)人員。信息科技運(yùn)行
在選擇數(shù)據(jù)中心的地理位置時,應(yīng)充分考慮環(huán)境威脅(如是否接近自然災(zāi)害多發(fā)區(qū)、危險或有害設(shè)施、繁忙或主要公路),采取物理控制措施,監(jiān)控對信息處理設(shè)備運(yùn)行構(gòu)成威脅的環(huán)境狀況,并防止因意外斷電或供電干擾影響數(shù)據(jù)中心的正常運(yùn)行。
嚴(yán)格控制第三方人員(如服務(wù)供應(yīng)商)進(jìn)入安全區(qū)域,如確需進(jìn)入應(yīng)得到適當(dāng)?shù)呐鷾?zhǔn),其活動也應(yīng)受到監(jiān)控;針對長期或臨時聘用的技術(shù)人員和承包商,尤其是從事敏感性技術(shù)相關(guān)工作的人員,應(yīng)制定嚴(yán)格的審查程序,包括身份驗證和背景調(diào)查。應(yīng)將信息科技運(yùn)行與系統(tǒng)開發(fā)和維護(hù)分離,確保信息科技部門內(nèi)部的崗位制約;對數(shù)據(jù)中心的崗位和職責(zé)做出明確規(guī)定。
按照有關(guān)法律法規(guī)要求保存交易記錄,采取必要的程序和技術(shù),確保存檔數(shù)據(jù)的完整性,滿足安全保存和可恢復(fù)要求。
制定詳盡的信息科技運(yùn)行操作說明。如在信息科技運(yùn)行手冊中說明計算機(jī)操作人員的任務(wù)、工作日程、執(zhí)行步驟,以及生產(chǎn)與開發(fā)環(huán)境中數(shù)據(jù)、軟件的現(xiàn)場及非現(xiàn)場備份流程和要求(即備份的頻率、范圍和保留周期)。建立事故管理及處置機(jī)制,及時響應(yīng)信息系統(tǒng)運(yùn)行事故,逐級向相關(guān)的信息科技管理人員報告事故的發(fā)生,并進(jìn)行記錄、分析和跟蹤,直到完成徹底的處置和根本原因分析。我行應(yīng)建立服務(wù)臺,為用戶提供相關(guān)技術(shù)問題的在線支持,并將問題提交給相關(guān)信息科技部門進(jìn)行調(diào)查和解決。
建立服務(wù)水平管理相關(guān)的制度和流程,對信息科技運(yùn)行服務(wù)水平進(jìn)行考核。
建立連續(xù)監(jiān)控信息系統(tǒng)性能的相關(guān)程序,及時、完整地報告例外情況;該程序應(yīng)提供預(yù)警功能,在例外情況對系統(tǒng)性能造成影響前對其進(jìn)行識別和修正。制定容量規(guī)劃,以適應(yīng)由于外部環(huán)境變化產(chǎn)生的業(yè)務(wù)發(fā)展和交易量增長。容量規(guī)劃應(yīng)涵蓋生產(chǎn)系統(tǒng)、備份系統(tǒng)及相關(guān)設(shè)備。及時進(jìn)行維護(hù)和適當(dāng)?shù)南到y(tǒng)升級,以確保與技術(shù)相關(guān)服務(wù)的連續(xù)可用性,并完整保存記錄(包括疑似和實(shí)際的故障、預(yù)防性和補(bǔ)救性維護(hù)記錄),以確保有效維護(hù)設(shè)備和設(shè)施。制定有效的變更管理流程,以確保生產(chǎn)環(huán)境的完整性和可靠性。包括緊急變更在內(nèi)的所有變更都應(yīng)記入日志,由信息科技部門和業(yè)務(wù)部門共同審核簽字,并事先進(jìn)行備份,以便必要時可以恢復(fù)原來的系統(tǒng)版本和數(shù)據(jù)文件。緊急變更成功后,應(yīng)通過正常的驗收測試和變更管理流程,采用恰當(dāng)?shù)男拚匀〈o急變更。業(yè)務(wù)連續(xù)性管理
根據(jù)自身業(yè)務(wù)的性質(zhì)、規(guī)模和復(fù)雜程度制定適當(dāng)?shù)臉I(yè)務(wù)連續(xù)性規(guī)劃,以確保在出現(xiàn)無法預(yù)見的中斷時,系統(tǒng)仍能持續(xù)運(yùn)行并提供服務(wù);定期對規(guī)劃進(jìn)行更新和演練,以保證其有效性。評估因意外事件導(dǎo)致其業(yè)務(wù)運(yùn)行中斷的可能性及其影響,包括評估可能由下述原因?qū)е碌钠茐模?/p>
內(nèi)外部資源的故障或缺失(如人員、系統(tǒng)或其他資產(chǎn))。信息丟失或受損。
外部事件(如戰(zhàn)爭、地震或臺風(fēng)等)。
應(yīng)采取系統(tǒng)恢復(fù)和雙機(jī)熱備處理等措施降低業(yè)務(wù)中斷的可能性,并通過應(yīng)急安排和保險等方式降低影響。
建立維持其運(yùn)營連續(xù)性策略的文檔,并制定對策略的充分性和有效性進(jìn)行檢查和溝通的計劃。其中包括:
規(guī)范的業(yè)務(wù)連續(xù)性計劃,明確降低短期、中期和長期中斷所造成影響的措施,包括但不限于: 資源需求(如人員、系統(tǒng)和其他資產(chǎn))以及獲取資源的方式。運(yùn)行恢復(fù)的優(yōu)先順序。
與內(nèi)部各部門及外部相關(guān)各方(尤其是監(jiān)管機(jī)構(gòu)、客戶和媒體等)的溝通安排。更新實(shí)施業(yè)務(wù)連續(xù)性計劃的流程及相關(guān)聯(lián)系信息。驗證受中斷影響的信息完整性的步驟。
當(dāng)我行的業(yè)務(wù)或風(fēng)險狀況發(fā)生變化時,對本條一到三進(jìn)行審核并升級。
我行的業(yè)務(wù)連續(xù)性計劃和應(yīng)急演練結(jié)果應(yīng)由信息科技風(fēng)險管理部門或信息科技管理委員會確認(rèn)。外包與審計 外包
不得將我行信息科技管理責(zé)任外包,應(yīng)合理謹(jǐn)慎監(jiān)督外包職能的履行。
實(shí)施重要外包(如數(shù)據(jù)中心和信息科技基礎(chǔ)設(shè)施等)應(yīng)格外謹(jǐn)慎,在準(zhǔn)備實(shí)施重要外包時應(yīng)以書面材料正式報告銀監(jiān)會或其派出機(jī)構(gòu)。
在簽署外包協(xié)議或?qū)ν獍鼌f(xié)議進(jìn)行重大變更前,應(yīng)做好相關(guān)準(zhǔn)備,其中包括:
分析外包是否適合我行的組織結(jié)構(gòu)和報告路線、業(yè)務(wù)戰(zhàn)略、總體風(fēng)險控制,是否滿足我行履行對外包服務(wù)商的監(jiān)督義務(wù)。
考慮外包協(xié)議是否允許我行監(jiān)測和控制與外包相關(guān)的操作風(fēng)險。
充分審查、評估外包服務(wù)商的財務(wù)穩(wěn)定性和專業(yè)經(jīng)驗,對外包服務(wù)商進(jìn)行風(fēng)險評估,考查其設(shè)施和能力是否足以承擔(dān)相應(yīng)的責(zé)任。
考慮外包協(xié)議變更前后實(shí)施的平穩(wěn)過渡(包括終止合同可能發(fā)生的情況)。
關(guān)注可能存在的集中風(fēng)險,如多家我行共用同一外包服務(wù)商帶來的潛在業(yè)務(wù)連續(xù)性風(fēng)險。在與外包服務(wù)商合同談判過程中,應(yīng)考慮的因素包括但不限于: 對外包服務(wù)商的報告要求和談判必要條件。
銀行業(yè)監(jiān)管機(jī)構(gòu)和內(nèi)部審計、外部審計能執(zhí)行足夠的監(jiān)督。
通過界定信息所有權(quán)、簽署保密協(xié)議和采取技術(shù)防護(hù)措施保護(hù)客戶信息和其他信息。擔(dān)保和損失賠償是否充足。
外包服務(wù)商遵守我行有關(guān)信息科技風(fēng)險制度和流程的意愿及相關(guān)措施。外包服務(wù)商提供的業(yè)務(wù)連續(xù)性保障水平,以及提供相關(guān)專屬資源的承諾。第三方供應(yīng)商出現(xiàn)問題時,保證軟件持續(xù)可用的相關(guān)措施。
變更外包協(xié)議的流程,以及我行或外包服務(wù)商選擇變更或終止外包協(xié)議的條件,例如: 我行或外包服務(wù)商的所有權(quán)或控制權(quán)發(fā)生變化。我行或外包服務(wù)商的業(yè)務(wù)經(jīng)營發(fā)生重大變化。
外包服務(wù)商提供的服務(wù)不充分,造成我行不能履行監(jiān)督義務(wù)。
在實(shí)施雙方關(guān)系管理,以及起草服務(wù)水平協(xié)議時,應(yīng)考慮的因素包括但不限于:
提出定性和定量的績效指標(biāo),評估外包服務(wù)商為我行及其相關(guān)客戶提供服務(wù)的充分性。通過服務(wù)水平報告、定期自我評估、內(nèi)部或外部獨(dú)立審計進(jìn)行績效考核。針對績效不達(dá)標(biāo)的情況調(diào)整流程,采取整改措施。加強(qiáng)信息科技相關(guān)外包管理工作,確保我行的客戶資料等敏感信息的安全,包括但不限于采取以下措施:
實(shí)現(xiàn)本銀行客戶資料與外包服務(wù)商其他客戶資料的有效隔離。
按照“必需知道”和“最小授權(quán)”原則對外包服務(wù)商相關(guān)人員授權(quán)。要求外包服務(wù)商保證其相關(guān)人員遵守保密規(guī)定。
應(yīng)將涉及本銀行客戶資料的外包作為重要外包,并告知相關(guān)客戶。
嚴(yán)格控制外包服務(wù)商再次對外轉(zhuǎn)包,采取足夠措施確保我行相關(guān)信息的安全。確保在中止外包協(xié)議時收回或銷毀外包服務(wù)商保存的所有客戶資料。我行應(yīng)建立恰當(dāng)?shù)膽?yīng)急措施,應(yīng)對外包服務(wù)商在服務(wù)中可能出現(xiàn)的重大缺失。尤其需要考慮外包服務(wù)商的重大資源損失,重大財務(wù)損失和重要人員的變動,以及外包協(xié)議的意外終止。我行所有信息科技外包合同應(yīng)由科技部、風(fēng)險管理部、法律合規(guī)部和信息科技管理委員會審核通過。我行應(yīng)設(shè)立流程定期審閱和修訂服務(wù)水平協(xié)議。審計
我行內(nèi)部審計部門應(yīng)根據(jù)業(yè)務(wù)的性質(zhì)、規(guī)模和復(fù)雜程度,對相關(guān)系統(tǒng)及其控制的適當(dāng)性和有效性進(jìn)行監(jiān)測。稽核審計部門應(yīng)配備足夠的資源和具有專業(yè)能力的信息科技審計人員,獨(dú)立于我行的日常活動,具有適當(dāng)?shù)氖跈?quán)訪問我行的記錄。我行內(nèi)部信息科技審計的責(zé)任包括:
制定、實(shí)施和調(diào)整審計計劃,檢查和評估我行信息科技系統(tǒng)和內(nèi)控機(jī)制的充分性和有效性。按照第一款規(guī)定完成審計工作,在此基礎(chǔ)上提出整改意見。檢查整改意見是否得到落實(shí)。
執(zhí)行信息科技專項審計。信息科技專項審計,是指對信息科技安全事故進(jìn)行的調(diào)查、分析和評估,或?qū)徲嫴块T根據(jù)風(fēng)險評估結(jié)果對認(rèn)為必要的特殊事項進(jìn)行的審計。
我行應(yīng)根據(jù)業(yè)務(wù)性質(zhì)、規(guī)模和復(fù)雜程度,信息科技應(yīng)用情況,以及信息科技風(fēng)險評估結(jié)果,決定信息科技內(nèi)部審計范圍和頻率。但至少應(yīng)每三年進(jìn)行一次全面審計。我行在進(jìn)行大規(guī)模系統(tǒng)開發(fā)時,應(yīng)要求信息科技風(fēng)險管理部門和內(nèi)部審計部門參與,保證系統(tǒng)開發(fā)符合本銀行信息科技風(fēng)險管理標(biāo)準(zhǔn)。我行可以在符合法律、法規(guī)和監(jiān)管要求的情況下,委托具備相應(yīng)資質(zhì)的外部審計機(jī)構(gòu)進(jìn)行信息科技外部審計。
在委托審計過程中,我行應(yīng)確保外部審計機(jī)構(gòu)能夠?qū)Ρ俱y行的硬件、軟件、文檔和數(shù)據(jù)進(jìn)行檢查,以發(fā)現(xiàn)信息科技存在的風(fēng)險,國家法律、法規(guī)及監(jiān)管部門規(guī)章、規(guī)范性文件規(guī)定的重要商業(yè)、技術(shù)保密信息除外。
我行在實(shí)施外部審計前應(yīng)與外部審計機(jī)構(gòu)進(jìn)行充分溝通,詳細(xì)確定審計范圍,不應(yīng)故意隱瞞事實(shí)或阻撓審計檢查。
銀監(jiān)會及其派出機(jī)構(gòu)必要時可指定具備相應(yīng)資質(zhì)的外部審計機(jī)構(gòu)對我行執(zhí)行信息科技審計或相關(guān)檢查。外部審計機(jī)構(gòu)根據(jù)銀監(jiān)會或其派出機(jī)構(gòu)的委托或授權(quán)對我行進(jìn)行審計時,應(yīng)出示委托授權(quán)書,并依照委托授權(quán)書上規(guī)定的范圍進(jìn)行審計。外部審計機(jī)構(gòu)根據(jù)授權(quán)出具的審計報告,經(jīng)銀監(jiān)會及其派出機(jī)構(gòu)審閱批準(zhǔn)后具有與銀監(jiān)會及其派出機(jī)構(gòu)出具的檢查報告同等的效力,被審計的我行應(yīng)根據(jù)該審計報告提出整改計劃,并在規(guī)定的時間內(nèi)實(shí)施整改。
我行在委托外部審計機(jī)構(gòu)進(jìn)行外部審計時,應(yīng)與其簽訂保密協(xié)議,并督促其嚴(yán)格遵守法律法規(guī),保守本銀行的商業(yè)秘密和信息科技風(fēng)險信息,防止其擅自對本銀行提供的任何文件進(jìn)行修改、復(fù)制或帶離現(xiàn)場。附則
本辦法由營口沿海銀風(fēng)險管理部負(fù)責(zé)解釋和修訂。
點(diǎn)擊咨詢 