第一篇:銀監會信息系統現場檢查指南
信息系統現場檢查指南(架構)
為了規范和指導信息系統現場檢查工作,提高信息系統現場檢查的水平,確保信息系統 現場檢查的質量,特制定本指南。
一、檢查目的
(一)了解和掌握銀行業金融機構信息系統管理組織體系、工作制和科技制度建設情況,以及從業人員有關業務、技術和安全培訓情況,評價其信息科技管理組織水平;
(二)了解和掌握銀行業金融機構信息安全保障體系和內部控制規程,信息系統風險管 理崗位責任制度和監督落實情況,評價其計算機安全管理水平;
(三)了解和掌握銀行業金融機構信息系統在研發過程中項目管理和變更管理情況,關 注規劃、需求、分析、設計、編程、測試和投產以及外包等產生風險的環節,評價其管理水平;
(四)了解和掌握銀行業金融機構信息系統在信息系統運行和操作制度建設和執行情況,促進銀行業金融機構完善內控環境,控制和化解操作風險;
(五)了解和掌握銀行業.金融機構信息系統在業務持續性計劃方面制度建設和執行情 況,促進銀行業金融機構信息系統信息科技風險管理涵蓋管理、維護的每個環節。
二、檢查要點
(一)檢查信息系統風險管理架構、內部組織結構和工作機制、崗位職責和制度的完善 性和有效性,評估信息科技規劃和管理的水平,了解信息科技人才管理機制,分析業務、技 術和安全培訓工作的及時性和有效性,確保合理及時地防范和控制信息系統組織、規劃風險。
(二)檢查信息安全管理的流程情況,分析相關系統用戶管理制度、密碼管理制度及網 絡安全制度,測試系統所涉及操作系統和數據庫及防火墻等安全設施的安全性,評估被檢查 銀行是否采取有效安全的保護措施保障信息的保密性、完整性和可用性。
(三)檢查分析軟件及項目開發管理制度,了解信息科技部門檔案管理流程,審閱外包 項目涉及的軟件質量驗收標準,檢查銀行業金融機構信息系統風險管理效率及水平,評估系 統開發的流程、質量及安全的管理情況。
(四)檢查信息系統運行和操作管理情況,檢查系統監控層面的處理流程及各類系統參 數、生產環境變更的受控方式,評估系統運行和操作管理的風險狀況,促進運行操作管理的 科學化、制度化和規范化,確保信息系統安全可靠的運行。
(五)檢查業務持續性規劃的制定情況,分析其是否明確定義了管理層關于維護信息系統 可用性及更新相關業務持續性計劃的責任和義務,并制定了合適的負責人員。評估建設及實 施關于災難恢復的組織機構、業務流程和應對措施的合理性。
三、檢查內容
(一)信息科技公司治理和組織結構 1.制度建設
(1)檢查銀行是否根據國家和銀監會有關信息系統管理制度制定了實施細則,分析制 度制定、審批、修訂和發布等流程的規范性。
(2)檢查信息科技相關規章制度、技術規范、操作規程建設情況。重點檢查:各項制 度規章是否正式發文,內容是否涵蓋規劃、研發、建設、運行、維護、應急、外包、保密和 監控等范疇,是否明確相關人員的職責權限并實行最小授權的制約機制,是否建立制訂后評 價程序或機制,現有的制度是否適應組織結構、業務管理、信息安全的需要。
(3)檢查實施知識產權保護情況。重點檢查:正版軟件版本管理情況;國產自有知識 產權的軟硬件的使用情況;信息化安全等級保護工作情況;自主知識產權信息化成果保護情 況。
2.組織結構
(1)檢查銀行業金融機構董事層、經理層的信息科技管理和風險管理組織架構。重點 檢查:
①科技管理、持續科技風險管理程序及就科技管理穩健務實的手段、工作分工和職責; 負責信息系統的戰略規劃、重大項目和風險監督管理的領導層面或決策機構及信息科技部門 的建設情況;信息科技風險管理職責的歸屬以及管理情況;公司董事會及其相關專業委員會、經營管理層對信息科技工作和信息風險管理的職責、分工是否明確。
②該銀行組織結構設計的戰略定位,組織結構的合理性是否符合風險管理的需要;董事 會和高管層面是否重視科技管理和信息科技規劃工作;了解董事會對信息科技所擔負的職 責,管理層如何發揮對信息科技的監督和指導作用;辨析組織的靈活性以及角色與職責的清 晰程度,了解內部平衡監督和放權的關系;分析對安全、質量和內部控制等的組織定位。
(2)檢查信息系統建設決策流程、總體策略制定和統籌項目建設的情況。重點檢查:信 息系統建設規劃中是否涵蓋信息安全、運行管理、業務持續性計劃等重要內容;評估近期、中期和遠期關于信息科技的重大策略和目標的合理性。著重從以下幾個方面了解:
①銀行如何利用信息科技技術更好地為企業創新服務,在進行信息科技治理時如何貫徹 “以組織戰略目標為中心’,的思想,確保信息科技資源與業務匹配;銀行的信息科技投資 是否與戰略目標相一致;是否合理配臵信息科技資源以實現面向服務的架構,核心業務系統 是否能滿足銀行變化的需求;業務流程如何整合信息科技流程,在關鍵戰略決策中信息科技 的融入程度,確保無信息孤島現象。
②信息科技規劃中如何更好的控制風險,包括控制業務風險和控制由信息科技使用帶來 的風險。是否在信息科技建設規劃每個環節考慮到風險因素,滿足銀行最低風險控制需要; 是否考慮到風險管理系統的建設,特別是滿足監管當局的監管需求;能否實現自動從業務或 風險系統中采集監管數據,以提高銀行風險監管能力。
③根據銀行信息科技現狀和信息科技規劃初步評估該行信息科技建設水平,比如可以按 信息資產規模分為落后型、發展型、追隨型和領先型。
(3)檢查高管層對本機構信息系統風險狀況的控制程度。重點檢查:是否定期組織內 部評估、審計、報告本機構信息系統風險狀況;針對存在的風險狀況是否采取相應的風險控 制措施,以及各項措施的卜具體內容環節、主要實施部門和評估結果;是否建立了對整改工 作的監督機制。
(4)檢查科技管理隊伍、技術應用隊伍、風險管理隊伍的建設情況。重點檢查:人員 素質情況,包括科技管理、科技風險管理和技術人員的知識結構、年齡結構、專業結構;人 員在系統內的占比情況;內審部門是否有既懂科技又懂業務的審計人員,風險管理部門是否 有專職IT 人員和已獲得上崗證書的信息安全管理員;對信息科技人員的行為規范管理情況。(5)檢查科技隊伍培訓、激勵等管理機制的建設執行情況。重點檢查:培訓規劃和歷史 記錄,包括職業培訓、崗前培訓情況,相關職責所需專業知識和技能的實際符合情況;分析 信息科技人員從應聘、錄用、培訓、評估、晉升到解雇的整個從業歷程是否合理、公平和透 明。
(二)信息安全管理 1.信息安全建設基本情況
(1)檢查內部科技風險管理機構對信息系統面臨的風險開展評估的情況。重點檢查:通 過調閱該機構安全領導小組成立(或調整)的文件,其他與計算機安全相關的會議記錄或文 件,了解該機構是否設立計算機信息系統安全領導小組并上報當地監督部門,是否充分履行 有關計算機安全管理和監督檢查職責。
(2)檢查服務承包商和提供商與相關法律、法規等的符合程度。重點檢查:通過調閱
該機構所有承包商和服務提供商的詳細資料和合同文本,確認所有承包商和服務提供商是否 符合法律法規要求,合同文本是否符合法律要求(如數據保護法規),是否明確各自的安全 責任,是否有確保業務資產的完整性和保密性的條款等。
(3)檢查信息安全處理的原則、目標和要求的制度建設的完備性。重點檢查:調閱與計 算機系統運行、安全保障和文檔管理等相關規章制度,其范圍除自行制定的制度還包括轉發 的上級文件,審計是否建立必要的計算機安全制度,審核各類制度的科學性、嚴密性和可操 作性。
2.邏輯訪問風險控制情況
(1)檢查訪問控制業務要求、策略要求和訪問規則的制訂情況。重點檢查:通過閱讀源 程序或第三方業務系統安全審計報告,確定該機構的業務系統是否制訂訪問控制的業務要 求、策略要求和訪問規則,并確定其安全性、完備性。
(2)檢查訪問用戶的注冊管理制度。重點檢查:是否制定了正式的用戶注冊和取消注冊 程序,規范對所有多用戶信息系統與服務的訪問授權。是否使用唯一用戶ID 使用戶對其操 作負責(組ID 只有適合所進行的工作,才允許使用),用戶離開組織時是否立即取消其用 戶ID,是否定期檢查并取消多余的用戶ID 和帳戶。
(3)檢查訪問用戶的權限管理和權限檢查流程。重點檢查:是否建立了正式的用戶的權 限管理和權限檢查程序,系統所有者對信息系統或服務授予的權限是否合適業務的開展,所 授予的訪問權限級別是否與組織的安全策略相一致,例如它會不會影響責任劃分;用戶因工 作變更或離開組織時是否立即取消其訪問權限;用戶權限設定是否采用雙人復核;是否對用 戶訪問權限分配進行定期檢查確保沒有對用戶授予非法權限。
(4)檢查訪問用戶的口令管理。重點檢查:是否采用了正式的管理程序來控制口令的 分配,是否確保一開始向他們提供一個安全的臨時口令并要求他們立即更改口令,用戶忘記 口令時是否在對該用戶進行適當的身份識別后才能向其提供臨時口令,是否還采用了其他的 用戶身份識別和驗證技術(如生物統計學中的指紋鑒定;建立新的用戶,是否建立了申請審 批程序,并采用雙人控制。
(5)檢查訪問用戶的責任管理。重點檢查:所有用戶是否做到避免在紙上記錄口令,只要有跡象表明系統或口令可能遭到破壞時是否立即更改口令,是否選用高質量的口令,是 否定期更改口令。
3.網絡安全控制情況
(1)檢查網絡管理和網絡服務的安全策略制定情況。重點檢查:通過調閱網絡建設文 檔或第三方網絡安全審計報告,確定該機構是否制定網絡和網絡服務的安全策略,并確定此 策略是否業務訪問控制策略相一致。
(2)檢查實施網絡控制的安全手段。重點檢查:通過調閱網絡建設文檔或第三方網絡 安全審計報告,確定該機構是否制定網絡控制的安全途徑,并確定實施控制的路徑的要求是 否是業務訪問控制策略所必要的,是否通過專線或專門電話號碼聯網,是否自動將端口連接 到指定應用系統或安全網關,是否限制個人用戶的菜單和子菜單選項,是否防止無限制的網 絡漫游,是否強制外部網絡用戶使用指定應用系統和/或安全網關,是否為組織內用戶組設 臵不同的邏輯域(如虛擬專用網)來限制網絡訪問。
(3)檢查外部連接的用戶身份驗證方法。重點檢查:是否通過使用加密技術、硬件標記 或問答協議對遠程用戶訪問進行身份驗證,對于專線用戶是否安裝了網絡用戶地址檢查工具 來對連接源提供安全保障,對撥號用戶是否使用反向撥叫程序和控制措施(如使用反向撥叫 調制解調器)可以防止與組織信息處理設施的非法連接和有害連接。
(4)檢查遠程診斷端口的保護情況。重點檢查:是否使用適當的安全機制(如密鑰鎖)對診斷端口進行保護,保證它們只能在計算機服務管理員和要求訪問的軟硬件支持人員進行
適當的安排后才能訪問。
(5)檢查網絡的劃分和路由控制情況。重點檢查:是否在網絡內采用一些控制措施把 信息服務組、用戶組和信息系統組分割成不同的邏輯網絡域(如組織的內部網絡域和外部網 絡域),每個域都使用一個明確的安全界限來加以保護,是否在兩個要互連的網絡之間安裝 一個安全網關可以實現這樣的一個安全界限,從而控制兩個域之間的訪問和信息流動,是否 對該網關配臵,訪問控制策略來阻止非法訪問。
4.環境風險情況
(1)檢查對保密設備和計算機機房進行安全保護的情況。重點檢查:是否為保密設備 和計算機機房劃分獨立安全區域,安全保護區的沒臵是否合理,是否建立全方位的安全防護,以防止有人未經授權進入安全區。
(2)檢查安全區出入的控制措施和制度制定執行情況。重點檢查:通過查閱制度和各 類文字或電子臺帳,確定該機構是否有完備的安全區出入控制,是否經常審查并更新有關安 全區域訪問權限的規定,是否將安全區域的來訪者的身份、進入和離開安全區域的日期和時 間記錄在案,是否有嚴格限定,經過授權的人才能訪問敏感信息,是否有專人對出入控制措 施和制度的落實情況進行定期、不定期的檢查。
(3)檢查安全區內設備使用和維護管理情況。重點檢查:是否按專業標準安裝入侵檢測 系統對無人區域進行24 小時的報警監視,由該機構自己管理的信息處理設備是否與由第三 方管理的信息處理設備分開,是否將危險或易燃材料存儲在安全的地方,與安全區保持安全 距離,應急設備和備份介質的存儲位臵與主安全區域是否保持一個安全距離,以防止主安全 區域發生的災難事件殃及這些設備。
(4)檢查安全區的防雷、電和火等安全措施實施情況。重點檢查:通過調閱相關檢測 報告維護記錄,確定安全區是非通過配臵不間斷電源設備、采用雙路供電系統、配備發電機 等手段保障不間斷性供電;其采用的各種方式是否能滿足業務系統不間斷供電需求,是否按 相關法規要求配備消防系統并保證其正常運行,是否安裝必要的防雷設施并按要求做好接地 系統。
5.操作系統風險情況
(I)檢查對登錄用戶和終端設備的訪問控制策略。重點檢查:核心業務系統用機的操 作系統是否能驗證每個合法用戶的終端或位臵,是否記錄成功和失敗的系統訪問,是否提供 適當的身份驗證方法,是否根據情況限制用戶連接時間。
(2)檢查用戶身份識別和驗證方法。重點檢查:所有操作系統用戶是否都有一個個人 專用的唯一標識符(用戶ID),以便操作能夠追溯到具體責任人,如業務系統必須可以為一 個用戶組或一項具體工作使用共享用戶ID,是否對此類進行嚴格的審批制度,并采用了相 應的控制措施,是否采用了先進安全的身份驗證程序并建立相關安全機制以防止非法登錄。(3)檢查系統的漏洞檢測和補丁安裝的情況。重點檢查:通過相應的漏洞檢測工具,確 定該機構是否操作系統的安全是否進行加固,是否安裝系統補丁與更新程序,是否關閉不必 要的服務和端口,是否安裝防病毒軟件,文件共享的訪問控制權限設臵是否適當,是否定期 為操作系統進行安全漏洞檢測,以分析系統的安全性,并采取補救措施。
(4)檢查事件的日志記錄和評審分析情況。重點檢查:是否啟用操作系統的審計功能和 安全策略,是否按要求存事件的日志記錄,是否確定專人定期進行安全評審分析,以查找非 授權的應用程序運行、非授權的共享、可疑程序和可疑進程,計算機時鐘設臵是否正確以保 證審計日志的準確性。
6.應用系統的風險情況
(1)檢查輸入和輸出數據的驗證情況。重點檢查:是否對應用系統的數據輸入進行驗證,應用系統的標準數據調整及帳務數據修改是否規范,是否定期審查關鍵字段或數據文件的內
容,確認其有效性和完整性,是否檢查硬拷貝輸入文檔是否有對輸入數據進行非法變更(所 有對輸入文檔的變更應經過授權),是否明確規定參與數據輸入過程的所有人員的責任。(2)檢查存儲數據的加密措施實施情況。重點檢查:是否對核心業務系統采取了相應 的加密措施,其加密措施是否合理,加密密鑰管理是否嚴格,中間業務和延伸業務的傳輸數 據是否加密,導入是否配有安全審計,是否對數據介質進行安全保護,對存有重要數據的故 障設備外修時是否有本單位人員在場監督,設備報廢是否清除相關業務信息,對已過安全保 存期限的介質是否及時更新復制,廢棄的數據介質是否由專人及時銷毀。
(3)檢查測試數據的安全措施實施情況。重點檢查:通過調閱系統測試文檔,確定測 試數據是否避免使用包含個人信息的操作數據庫,如果使用這類信息,那么是否在使用前應 該做非個性化處理,在操作數據用于測試目的時,是否每次使用不同的授權,將操作信息復 制到測試應用系統,是否在測試完成后立即將操作信息從測試應用系統中清除,是否記錄操 作信息的復制和使用情況,以便提供審計追蹤。
(4)檢查源代碼的訪問控制和審查情況。重點檢查:是否將程序源庫保存在生產系統 上,為每一個應用程序指定一個庫保管員,信息科技支持人員是否可以不受限制地訪問程序 源庫,正在開發或維護的程序是否保留在操作程序源庫中,更新程序源庫和向程序員提供程 序源是否通過指定的庫保管員來執行,并且獲得信息科技支持管理員的授權,程序清單是否 保存在安全的環境中,是否實時維護訪問程序程序庫的審計日志記錄,是否對舊版本的源程 序進行歸檔,明確指明使用創門操作的準確日期和時間及所有支持軟件、作業控制、數據定 義和過程,維護和復制程序源庫是否受嚴格的變更控制程序的約束。
(三)信息科技項目開發和變更管理 1.項目開發管理
(1)檢查被檢查機構在信息科技項目開發過程中組織、規劃、需求、分析、設計、編程、測試和投產等環節的全周期管理機制。重點檢查:制度建設是否對項目的審批流程、參與部 門的職責劃分、時間進度、財務預算規劃、質量檢測、風險評估等內容進行嚴格規定;外部 技術資源申請是否有統一負責機構,如何授權職能處室進行歸口管理。
(2)檢查信息系統項目開發資料完備性。重點檢查:系統項目建設是否成立項目工作 小組及其成員結構;系統建設項目需求說明書和項目功能說明書是否全面、系統;系統建設 完成后是否編寫了操作說明書,是否具有項目驗收報告;查閱被檢查機構對新信息系統投產 后,所撰寫后續評價,根據后續評價,檢查有沒有根據評價及時對系統功能進行調整和優化。
2.項目變更管理
(1)檢查項目變更、系統升級和變更等環節的管理情況。重點檢查:信息系統變更時,是否制訂嚴密的變更處理流程,明確變更控制中各崗位的職責,遵循流程實施控制和管理; 變更前有否明確應急和回退方案;變更方案件、變更需求、軟件版本變更后的初始版本和所 有歷史版本是否妥善保管。
(2)檢查系統變更方案、變更內容核實清單等相關文檔的正確性、安全性和合法性。重點檢查:對被檢查機構系統升級和變更記錄,變更后軟件的初始版本和所有歷史版本是否 妥善保管;對保留所有歷史的變更內容核實清單進行核實;是否設定了獨立的版本管理人員 復核版本的提交工作。
3.項目資料文檔管理體系
重點檢查:項目資料是否完整詳盡,有無相應的檔案資料的管理辦法并執行;是否對項 目資料文檔的管理情況進行定期審核,包括資料調閱、資料備份等;是否制定了項目資料文 檔格式的標準化規范并執行。
4.系統設計開發外包缺陷管理
(1)檢查業務外包管理制度、業務外包評估制度的制定執行情況。重點檢查:對有關
外包風險的防范方法及措施,是否建立外包業務的應急機制,有無外包業務的應急計劃和應 急預案。
(2)檢查針對有關業務外包制定相應的管理和風險防范措施的情況。重點檢查:是否建 立對承包方的評估機制;是否規定了代碼編寫規范和編碼質量檢查方案,從技術和編碼兩方 面對編碼進行全面檢查。
(3)檢查被檢查機構外包業務風險管理措施。重點檢查:是否建立針對外包風險的應急 計劃和預案,以確保在意外情況下能夠實現承包方的順利變更,保證外包服務不間斷;是否 組織業務人員進行外包開發系統的培訓以保障外包開發技術的移交工作。
(四)信息系統運行和操作管理 l.信息系統運行體系建設情況(1)運行體系的組織架構
檢查被檢查單位信息系統運行管理的組織架構和日常運作情況,對組織體系的科學性、合理性和運作的有效性作出評體。重點檢查:架構是否合理、組織是否嚴密、職責是否明確、監督是否有力、管理是否有效,反應是否迅速、是否具有相互制約的機制等等。(2)運行體系的規劃與制度
檢查現有和計劃投產的信息系統的運行規劃的完備性。重點檢查:生產故障和安全事件 的管理、職能部門及其職責、管理對象、事件報告、事件解決、事件反饋、匯總、分析、評 價和報告等。檢查信息系統運行管理制度的完善性。重點檢查:事件管理辦法、問題管理辦 法、變更管理辦法、操作管理辦法、數據管理辦法、配臵管理辦法、安全管理辦法、機房管 理辦法等。這些制度可以是自行.制定的,也可以轉發上級的。重點審計制度的完整性、嚴 密性和可操作性,考察各項制度的貫徹、執行和落實情況。
(3)檢查核心業務系統的持續性或階段性監測情況。重點檢查:建立核心業務系統持續 性或階段性的監測、監控體系和系統性能的評估機制。
2.操作環境控制和預防性維護情況
(1)檢查信息科技資產登記情況。重點檢查:檢查信息科技資產臺帳是否包含完整和真 實的計算機資源配臵的靜態基本信息和動態履歷信息,是否做到帳帳相符、帳實相符,配臵 管理部門是否定期進行轄內計算機資源配臵臺帳的清查核對。
靜態基本信息包括:檔案卡序號、計算機資源編碼、型號、性能、具體配臵、、滿配能 力(如硬件的滿配能力、可擴充性,軟件的支持情況,配臵參數的極限等)、用途、使用部 門和使用責任人、維護責任部門和生產商、經銷商、服務商等;
動態履歷信息包括:計算機資源配臵在生命周期各階段經歷過的各種管理流程信息。其 中計劃制訂、設備采購、合同管理、庫房管理、安裝驗收、申領使用以及后面的調撥遷移、閑臵報廢以及計算機資源配臵的維護履歷、配臵履歷、包含操作時間、操作部門、操作用戶、具體操作及變更情況等信息。
(2)檢查信息系統性能和容量的管理情況。重點檢查:是否建立信息系統軟、硬件性 能、處理能力以及存儲容量等監測和跟蹤措施,保證系統性能和容量有足夠的安全冗余,防 止應處理負荷過重或存儲容量不足影響信息系統安全、可靠運行;在給定的時間段內是否出 現過因上述原因造成重要業務系統停頓的情況以及相應的損失情況并完整記錄。
(3)檢查各類連接的物理位臵和交互關系的系統拓撲圖。重點檢查:連接信息系統所有 電子設備物理位臵和交互關系的系統拓撲圖與系統實際配臵信息、系統結構圖與物理布局的 一致性。
(4)檢查應急方案制定情況,重點檢查:重要信息系統應急方案,評估應急方案的科 學性、可操作性和實用性;模擬演練的記錄,重點檢查發現的問題和解決情況。
(5)檢查運行、操作環境建設情況。重點檢查:計算機房和網絡中心的建設、配臵是
否符合有關國家標準,是否設立了獨立的安全保護區,是否建立進入安全區的授權、登記制 度。安全防范和控制措施是否到位;重要和涉密設備是否臵于計算機房內,并具有嚴格的安 全防范和風險控制機制。
3.生產變更管理情況
(1)檢查準則和規章制度制定執行情況。重點檢查:通過查閱有關文件和相應的制度,了解生產變更的管理情況,著重了解是否明確了變更的職能部門以及相應的職責;是否制定 了相關的制度;制度的內容是否含蓋了:變更申請、變更受理、變更方案、變更審批、變更 實施時間、變更實施、變更反饋和匯總、緊急變更、變更指標及評價、總結報告等關鍵內容 等等。
(2)檢查審批授權機制和工作流程規范性。重點檢查: ①生產變更的審批授權制度。生產變更是否按規定時間、要求報送審批部門審批或報備; 變更的實施是否得到授權;變更實施日期和時間是否符合制度規定等;對業務有可能造成影 響的變更,是否在變更實施前通知相關業務部門。
②工作流程。變更的工作流程是否合理、可行:是否貫穿變更申請一變更受理一變更方 案一變更審批一變更實施一變更反饋和匯總一變更指標及評價、總結報告等全過程,變更的 實施過程中是否嚴格按流程操作。
(3)檢查登記、備案和存檔情況。重點檢查:查閱生產變更的檔案,考察被檢查機構 變更資料的登記、備案和存檔是否規范。
(4)檢查非計劃性緊急變更的實施方案、備份和恢復制度。重點檢查:非計劃性緊急 變更實施前,變更牽頭和實施部門是否制訂簡單的實施計劃和驗證、回退、恢復方案,其中 回退或恢復方案是否切實可行,風險是否可控;變更實施前是否進行相關的系統備份等。
4.信息科技操作風險控制措施
(1)檢查風險控制機制和流程。重點檢查:
①是否指定了各類應用系統的操作、管理工作流程,評估其合理性、規范性和科學性,是否采用軟件工具對各類生產系統實施了版本控制。
②操作人員的崗位職責是否明確,相應的規章制度是否到位,如:檔案管理、安全生產 管理、數據管理、應用操作管理、運行監控管理等等;
③操作人員在上崗前的培訓情況:如是否經考試合格后才獨立上崗;當信息系統結構或 操作流程發生重大變更時,是否及時對操作人員進行再培訓等;
④是否具備以下文字或電子資料:運行情況日報、各類運行操作手冊、緊急重大情況的 應急處理流程、操作人員排班表和工作交接單、詳細操作日志、所有服務對象和技術支持部 門及人員的通訊錄等;
⑤操作人員是否嚴格按照操作規程進行操作,如雙人、復核、授權等,是否建立操作日 志且真實記錄所有操作過程,并由本人簽字;操作人員有無違反操作規程的行為,如:擅自 變更操作方法和操作步驟、在生產環境做任何未經授權的操作、操作人員在操作完畢后或離 開操作終端前沒有退出自己的用戶等。
⑥運行管理和實施部門是否設臵固定的值班電話、傳真和電子信箱。⑦是否建立了操作人員的交接登記制度及實際履行情況記錄。⑧有關操作管理的檔案管理情況。
(2)檢查人力資源管理情況。重點檢查:有關運行、操作、管理人員配臵的整體情況,人力資源的有效利用和合理配臵程度,有關人員調離、崗位輪動的風險控制情況等。
(3)檢查信息資料檔案管理情況。重點檢查:有關科技文檔的收集、整理、移交、歸檔、保管、使用、鑒定和銷毀等是否符合相關規定,科技信息資料檔案管理是否規范。
5.日志管理情況
7(l)檢查日志采集情況。重點檢查:核心業務系統日志采集的范圍、內容、頻度、方 法以及有關規定的合理性及完備性,對日志內容設臵的完整性、科學性作出評估、分析與實 際系統運行和操作過程的匹配程度。
(2)檢查日志保存情況。重點檢查:有關日志歸檔、保存的有關規定以及紙質、電子日 志資料的保管情況,考察日志保存、管理的規范性和安全性等。
(3)檢查日志調閱制度。重點檢查:日志的調閱、查詢是否有嚴格的制度,調閱日志是 否經過必要的授權并進行如實的登記等。
(4)檢查日志管理崗位和人員設臵。重點檢查:檢查有關日志采集、保存、管理工作的 人員配臵等情況。
(五)業務持續性規劃
1.董事會和高管層在業務持續性規劃中的職責和工作機制情況
(1)檢查業務持續性規劃的政策、流程和職責制定情況。重點檢查:高級管理層建立業 務連續性規劃的相關政策、標準和流程的機制;高級管理層對業務持續性規劃的重視程度,及其在業務持續性規劃中的職責和作用。
(2)檢查業務持續性規劃的組織機構及職責制定情況。重點檢查:是否已建立業務持 續性規劃的各個組織機構,并明確其職責。業務持續性規劃的組織機構由管理、業務、技術 和行政后勤等人員組成,應分為災難恢復規劃領導小組,災難恢復規劃實施組和災難恢復規 劃日常運行組。
(3)檢查業務持續性規劃的報告機制。重點檢查:是否建立業務持續性管理相關事項的 報告制度,并及時向董事會和高級管理層報告實施狀況、事件、測試結果和相關行動計劃等 事項;是否出現過重大營運停止的事件并及時向銀監會上報。
(4)檢查業務持續性規劃的評估機制。重點檢查:業務持續性管理是否經過獨立機構的 審查和評估,例如內部或外部審計,對業務連續性規劃的有效性進行定期評估;針對發現的 問題作出何種整改措施。
2.業務持續性規劃的制定和實施情況
(1)檢查業務持續性規劃的需求分析情況。重點檢查:是否進行充分的潛在風險分析; 對風險的可能性和危害性有否做全面的分析,并針對風險提出合理的防范措施。
(2)檢查業務持續性規劃策略的制定情況。重點檢查:是否進行充分的業務影響分析。業務影響分析是否包括了客戶、銀行人員、聲譽、內部運行以及財務和法律等方面的影響,應采用定量和/或定性的方法,對各種業務功能的中斷造成的影響進行評估;是否已確定 在災害發生時必須保證持續有效運行的重要業務部門和后臺部門,是否確定災害過程中 銀行對外提供重要服務的最低要求。
(3)檢查災難恢復應急預案的恢復策略和目標的建立情況。重點檢查:
1)關鍵業務功能及恢復的優先順序、恢復計劃的時間進度表;
2)災難恢復時間范圍,即RTO(業務恢復時間目標)和RPO(業務恢復點目標)的范圍。確定每項關鍵業務功能的災難恢復目標和策略,不同的業務功能可采用不同的 災難恢復策略,也可采用同一套災難恢復策略。
(4)檢查災難恢復等級的劃分制定清況。重點檢查:是否已把災難恢復涉及資源分為7 個要素:數據備份系統、備用數據處理系統、備用網絡系統、備用基礎設施、技術支持能力、運行維護管理能力、災難恢復應急預案,并詳細說明各要素的具體要求。
(5)檢查災難恢復應急預案的執行情況。重點檢查:是否已進行測試和演練,評估效果 如何。
3.備份中心的管理和操作情況
(1)檢查備份中心的建設情況。重點檢查:災備中心的能力否滿足其業務持續性規劃的
要求,著重從以下幾個方面進行了解:數據備份系統、備用數據處理系統、備用網絡系統、備用基礎設施、技術支持能力、運行維護管理能力。
(2)檢查備份中心能力。重點檢查:應確保省域以下數據中心至少實現數據備份異地 保存,省域數據中心至少實現異地數據實時備份,全國性數據中心實現異地災備。
(3)檢查外包備份中心的管理。重點檢查:對外包災備的管理是否到位。是否有充分的 資質證書和能力證明,金融機構如何考慮到對外包服務過分依賴導致的風險。
4.業務持續性規劃的測試和維護情況
(1)檢查業務持續性規劃培訓計劃的實施情況。重點檢查:是否已組織業務持續性規 劃的教育培訓工作。
(2)檢查業務持續性規劃測試的情況。重點檢查:測試方案和計劃、測試結果情況及 整改情況
(3)檢查變更維護情況。重點檢查:是否有良好的業務持續性規劃變更維護。業務流 程變化、信息系統的變更、人員的變更是否在業務持續性規劃中及時反映;預案在測試、演 練和災難發生后實際執行時,其過程是否有詳細的記錄;是否對業務持續性規劃定期評審和 修訂。
(4)檢查業務持續性規劃文檔的存取管理制度制定情況。重點檢查: ①是否由專人負責保存與分發;
②是否具有多份拷貝在不同的地點保存;
③是否已分發給參與業務持續性規劃工作的所有人員;
④在每次修訂后是否將所有拷貝統一更新,并保留一套,以備查閱,原分發的舊版本應 予銷毀。
四.檢查依據
(一)資料調閱清單
1.信息科技公司治理和組織結構(1)信息系統風險自查報告
(2)金融機構信息系統管理建設情況問卷調查表(3)金融機構有關科技規劃、項目建設類制度;(4)有關崗位責任制;
(5)貫徹落實國家和銀監會有關信息系統管理制度的實施細則;(6)行長會議研究科技工作會議記錄;(7)全行性科技工作會議記錄;(8)科技培訓記錄;(9)公司章程;
(10)董事會及各科技信息相關專業委員會職責和工作制度(11)董事會有關科技信息工作和系統建設的會議記錄 2.信息安全管理
(1)有關信息安全的組織及工作制度;
(2)審計部門或發現控制部門對信息資產風險評估報告;(3)對外承包或服務提供商的有關合約;(4)訪問風險控制策略和規則的業務說明;(5)訪問用戶的安全策略及管理;
(6)重要操作系統的訪問、漏洞掃描和日志時間記錄及評審;(7)應用系統用戶訪問、數據存儲和文件存放的安全設計文檔;(8)控制環境風險的規章制度和具體措施;
3.信息科技項目開發和變更管理(1)檢查行內不科技信息管理制度(2)項目驗收報告
(3)產品測試記錄及有關報告材料(4)項目需求說明書(5)項目驗收報告
(6)系統修改或升級或變更記錄
(7)系統外包風險評估報告或有關材料(8)業務外包協議、合同(9)外包風險的應急計劃 4.信息系統運行和操作管理
(1)運行管理組織成立和有關人員任命的文件集相關會議記錄等材料;(2)重要信息系統運行規劃書;
(3)有關信息系統運行管理的各項規章制度、實施細則及上級機構的規范性文件等;(4)信息資產臺帳(包括:軟件、硬件配臵資料、系統拓撲圖等);(5)重要信息系統的應急方案;
(6)系統運行日志、機房出入激勵、運行管理部門值班記錄等; 5.業務持續性規劃
(1)管理章程(包括負責部門、策略及流程等)(2)各組織和小組人員名單(3)外部評估報告(4)年度報告
(5)風險和業務影響分析報告(6)災難恢復策略和等級(7)災難恢復應急預案(8)備份中心管理制度(9)備份中心建設目標(10)培訓方案
(11)測試方案及測試報告(12)變更文檔(13)外包情況說明
(二)檢查應用規章制度
(1)《銀行業金融機構信息系統風險管理指引》(2)《金融機構計算機信息系統安全保護條例》(3)《國家計算機信息安全保護條例》(4)《電子銀行業務管理辦法》(5)《電子銀行安全評估指引》
(6)《電子銀行業務的風險管理原則》(7)《網上銀行銀行業務管理辦法》(8)《重要信息系統災難恢復指南》(9)《保證業務持續性的高標準原則》(10)《國家突發公共事件總體應急預案》
(11)金融機構自行制定的科技管理、開發、運行、安全、保密、外包等規章制度__ 10
第二篇:銀監會槍支彈藥現場檢查實施細則
中國銀監會銀行業金融機構槍支、彈藥管理及使用情況現場檢查實施細則
根據《中國銀監會辦公廳關于印發 2010 年兩項安全保衛現場檢查方案的通知》(銀監辦發[ 2010 ] 153 號)要求,特制定銀行業金融機構槍支、彈藥(以下簡稱槍彈)管理及使用情況現場檢查實施細則。
一、檢查目的
(一)摸清銀行業金融機構持有的槍彈底數,查找、分析存在問題和薄弱環節,準確把握銀行業金融機構在槍彈管理及使用中的總體情況。
(二)督促銀行業金融機構加強槍彈管理,規范槍彈使用流程,嚴防槍彈丟失、被盜(搶)及濫用槍彈事件的發生,保障公共安全,維護社會穩定。
二、檢查對象和范圍
(一)所有持有槍彈的銀行業金融機構;
(二)銀行業金融機構持有的所有槍彈。
三、檢查內容及方法
(一)槍彈數量、槍支與 《槍證 》 是否一致,槍彈數量(含報廢或封存槍彈)是否賬實相符。檢查方法:核對槍支和 《 槍證 》,實地盤點槍彈數量。、報廢或封存槍彈未及時向公安機關繳銷的原因。
檢查方法:詢問被檢查的銀行業金融機構并要求提供相關證明文件或資料。
(二)槍彈保管
l、是否有專門的槍彈保管庫(室)或者專用保險柜,槍彈保管庫(室)出入口是否安裝防盜安全門、與 110 報警服務臺相連的緊急報警裝置和入侵報警裝置、監控是否到位、有效。
檢查方法:實地察看,調閱監控錄像。要點:“三鐵一器一監控”:鐵窗、鐵門、鐵柜、報警、監控、是否建立槍彈保管、領用制度,是否對槍彈實行集中統一保管、分開存放、實行雙人雙鎖和 24 小時值班(含遠程監控值守)
檢查方法:實地察看,查閱有關制度、值班記錄和槍彈領用、繳回登記。
要點:雙人雙鎖;農信網點的槍彈管理常常存在鑰匙隨意存放的問題。3、是否對槍彈進行定期查驗和保養。檢查方法:查閱查驗維護記錄。
(三)槍彈使用
1、是否制定執行守押任務中發生突發事件的處置預案。檢查方法:要求被檢查銀行業金融機構提供并查閱。、在執行任務時,持槍人員是否隨身攜帶《 槍證 》、《 公務用槍持槍證))
檢查方法:實地查驗或槍、證扎差核對。、持槍人員是否熟練掌握處置突發事件時的槍彈使用規定。檢查方法:隨機抽取持槍人員進行詢問。
(四)持槍人員管理、是否持有 《 公務用槍持槍證 》,證件是否在有效期內。檢查方法:查驗證件。
要點:證件過期常常原因在公安方面,如能提供相關已申請驗證的文件,可免責。
2、是否進行法制和安全教育,定期組織培訓。檢查方法:查閱教育或培訓記錄。
3、是否熟練掌握槍彈使用和保養技能。
檢查方法:隨機抽取持槍人員進行詢問或演示。
(五)“軟件”方面
1、是否簽訂槍支彈藥管理安全責任書。
2、是否簽訂槍彈庫消防安全責任書。
3、是否制定槍彈領用審核制度及領用登記制度。
4、是否制定槍彈被盜、被搶應急預案及報告制度。檢查方法:實地查驗。
四、現場檢查實施步驟
現場檢查按照以下步驟展開:
(一)下發 《 現場檢查通知書))。
(二)現場檢查會談。召集被檢查的銀行業金融機構進行現場檢查會談,通報現場檢查的內容、方式,提出需要被檢查的銀行業金融機構配合的事項。現場檢查會談時,現場檢查人員應做好 《 現場檢查會談記錄 》,并由會談各方簽字。
(三)進入現場。現場檢查時,應從檢查內容、發現的問題、評價和意見等三個方面認真記錄現場檢查工作底稿,對發現的問題,應及時制作 《 現場檢查事實確認書 》,并由被查機構地市級分支機構和法人機構負責人簽注意見。
(四)匯總檢查情況。檢查組按照機構類別匯總現場檢查情況,分別向被檢查轄區的法人機構下發 《 現場檢查事實與評價 》,通報檢查核實的事實與評價意見,并認真聽取被檢查的銀行業金融機構的反饋意見。
(五)出具檢查意見。根據 《 現場檢查事實與評價 》 和被檢查的銀行業金融機構的反饋意見,以省分行、法人、省(直轄市)聯社為單位,向被檢查的銀行業金融機構下發 《 現場檢查意見書))。
(六)上報檢查情況。形成現場檢查報告并附附件 1 一 2 上報銀監會安全保衛局匯總。
五、檢查要求
(一)本次現場檢查與 《 郵政儲蓄銀行、農村金融機構營業網點、業務庫安全情況現場檢查方案 》 同步實施。由于檢查涉及的營業網點多、地區跨度大,各檢查組要精心組織、周密部署,制定可行的現場檢查辦法,統籌安排檢查時間,合理配置監管資源,切實提高現場檢查的效率和質量。
(二)在檢查中,為確保安全,現場檢查人員不得直接接觸各類槍彈,需要查驗槍彈的,由持槍人員操作,現場檢查人員監督。
(三)各銀監局要針對檢查中發現的問題和風險點,深入查找原因和管理漏洞,在查清、查實、查透的基礎上,從管理機制、制度建設等方面提出整改建議和要求,督促被查機構及時整改,切實加強槍彈管理。
(四)各銀監局上報現場檢查報告應包括基本情況、總體評價、存在問題及成因分析、監管建議等內容。
六、檢查依據
(一)《 中華人民共和國銀行業監督管理法));
(二)《 企業事業單位內部治安保衛條例));
(三)《 中華人民共和國槍支管理法));
(四)《 公務用槍配備辦法 》(2002 年 8 月 28 日公安部重新發布);
(五)《 中華人民共和國公安部、中國人民銀行關于銀行系統換裝防暴槍工作的通知 》
2(公治 〔 1999 〕 1389 號)
(六)《 中國銀監會辦公廳關于進一步加強槍支管理工作的通知 》(銀監辦通 〔 2008 〕 85 號):
(七)《 專職守護押運人員槍支使用管理條例 》(中華人民共和國國務院令第 356 號)。
第三篇:銀監會:商業銀行現場檢查手冊
商業銀行現場檢查手冊
第一章 現場檢查基本原理
第一節 現場檢查的目的和作用
第二節 現場檢查的原則
第三節 現場檢查的內容
第四節 現場檢查的種類與方法
第五節 現場檢查抽樣
第六節 現場檢查的法律事務
第二章 現場檢查操作流程
第一節 第二節 第三節 第四節 第五節 第三章 第一節 第二節 第三節 第四節 第五節 第六節 第七節 第八節 第九節 第十節 第四章 第一節 第二節 第三節 第四節 第五節 第六節 第七節 第八節 第九節 第五章 第一節 現場檢查準備階段 現場檢查實施階段 現場檢查報告階段 現場檢查處理階段 檢查檔案整理階段
貨款及表內其他授信業務 綜述
授信管理
貨款風險分類
貨款集中、關聯企業貨款和關聯交易 公司授信 貿易融資 房地產貨款 銀團貨款 項目融資
個人授信業務 非信資產 綜述 存放
拆放同業
證券和投資 固定資產
無形及遞延資產 應收款
現金及銀行存款 抵債資產
存款及表內其他負債 綜述
第二節 存款
第三節 第四節 第五節 第六章 第一節 第二節 第三節 第四節 第五節 第七章 第一節 第二節 第三節 第四節 第五節 第六節 第七節 第八節 第九節 同業存放、拆入 證券融資 其他負債 財務管理 綜述
財務計劃檢查
營業收入、成本與費用 資產減值準備 利潤及利潤分配 中間業務
綜述
票據業務 結售匯業務 信用證
銀行卡業務 代理業務
銀行承兌匯票
保函與備用信用證 貨款承諾
第十節 交易類中間業務 第十一節 基金托管業務 第十二節 咨詢顧問業務 第十三節 代保管業務 第八章 電子銀行 第一節 綜述
第二節 網上銀行業務 第三節 電話銀行業務 第四節 手機銀行業務 第五節 ATM、POS機業務 第九章 第一節 第二節 第三節 第四節 第十章 第一節 第二節 資金清算 綜述
同業往來
聯行往來業務 國際清算 資本充足率 綜述
資本充足率檢查
第三節 監管評級監管措施
第十一章 流動性管理 第一節 綜述
第二節 流動性檢查
第三節 流動性評價及監管措施 第十二章 市場風險 第一節 綜述
第二節 市場風險管理法
第三節 市場風險檢查程序與方法
第十三章 對商業銀行境外機構的現場檢查 第一節 跨境監管概述
第二節 我國對商業銀行跨境監管的規定 第三節 商業銀行對鏡外機構的管理 第四節 商業銀行境外機構
第五節 與其他監管當局的信息交流與合作 第十四章 公司治理 第一節 綜述
第二節 法人治理機制 第三節 高級管理層評價
第四節 對分支機構和相關機構的管理 第五節 內部審計
第六節 經營戰略與政策 第十五章 內部控制 第一節 綜述
第二節 資產負債管理
第三節 管理信息系統與會計系統 第四節 人力資源管理 第五節 計算機系統管理 第六節 安全保衛
第十六章 商業銀行風險評估 第一節 綜述
第二節 銀行面臨的八類風險評估 第三節 銀行風險管理水平評估 第四節 銀行整體風險綜合評估 第十七章 商業銀行風險評級 第一節 綜述
第二節 ROCA評級體系各要素評估 第三節 CAMELS評級體系各要素評估
第四節 壓力測試
第五節 風險預警 第六節 監管措施
附件:現場檢查前問卷 后記
第四篇:中國銀監會現場檢查暫行辦法
《中國銀監會現場檢查暫行辦法》(2016年2月14日起施行)
中國銀監會令 2015年第10號
《中國銀監會現場檢查暫行辦法》已經中國銀監會2015年第20次主席會議通過。現予公布,自2016年2月14日起施行。
2015 年12月10日
中國銀監會現場檢查暫行辦法
第一章 總 則
第一條 為加強對銀行業的監督管理,規范現場檢查行為,提升現場檢查質效,促進銀行業健康發展,根據《中華人民共和國銀行業監督管理法》、《中華人民共和國商業銀行法》等有關法律法規,制定本辦法。
第二條 本辦法所稱現場檢查,是指銀監會及派出機構派出檢查人員在銀行業金融機構的經營管理場所以及其他相關場所,采取查閱、復制文件資料、采集數據信息、查看實物、外部調查、訪談、詢問、評估及測試等方式,對其公司治理、風險管理、內部控制、業務活動和風險狀況等情況進行監督檢查的行為。第三條 現場檢查是銀監會及派出機構監管流程的重要組成部分,通過發揮查錯糾弊、校驗核實、評價指導、警示威懾等功能,督促銀行業金融機構貫徹落實國家宏觀政策及監管政策,提高經營管理水平、合法穩健經營,維護銀行業金融機構和體系安全,更好服務實體經濟發展。
第四條 銀監會及派出機構開展現場檢查應依照法律、行政法規、規章和規范性文件確定的職責、權限和程序進行。
第五條 銀監會及派出機構和實施現場檢查的人員(以下簡稱檢查人員)依法實施現場檢查,應當客觀公正,實事求是,忠誠履職,廉潔奉公,保守秘密。
銀監會及派出機構應加強現場檢查紀律和廉政制度建設,加強對檢查人員廉潔從政情況的監督。
第六條 銀監會及派出機構依法開展現場檢查,被查機構及其工作人員應當配合,保證提供的有關文件資料真實、準確、完整、及時,不得拒絕、阻礙和隱瞞。檢查期間,被查機構應為現場檢查工作提供必要的辦公條件和工作保障。
被查機構及其工作人員未經銀監會及派出機構同意,不得將檢查情況和相關信息向外透露。
第七條 本辦法所指現場檢查包括全面檢查、專項檢查、后續檢查、臨時檢查和稽核調查。
全面檢查是在一定周期內對法人機構公司治理、經營管理和業務活動及其風險狀況進行的全面性檢查,原則上每5年至少安 排一次。
專項檢查是對被查機構某些業務領域、區域進行的專門檢查。
后續檢查是對被查機構以往現場檢查中發現的重大問題整改落實情況進行的檢查。
臨時檢查是根據上級部門重大工作部署或針對銀行業金融機構的重大突發事件開展的檢查。
稽核調查是采用現場檢查方法對特定事項進行專門調查的活動。
第八條 銀監會及派出機構應建立和完善現場檢查管理信息系統,實現檢查資源共享,提高現場檢查效率。
第九條 銀監會及派出機構應嚴格按照法律法規規定的程序編制現場檢查項目經費預算,合規使用檢查費用。
第十條 銀監會及派出機構應配備與承擔的檢查任務相適應的檢查力量,加強現場檢查專業人才培養,提升現場檢查水平,將現場檢查作為培養銀行業監管隊伍和提高監管能力的重要途徑。
第十一條 銀監會及派出機構在現場檢查工作中應加強溝通協調,建立有效的現場檢查聯動機制。
第二章 職責分工 第十二條 銀監會及派出機構按照“誰立項、誰組織、誰負責”的工作機制,開展現場檢查。
第十三條 銀監會負責統籌全系統現場檢查工作,組織對全國性銀行業金融機構的現場檢查,組織全系統重大專項檢查、臨時檢查和稽核調查,對地方性法人機構的現場檢查進行統籌和指導,對派出機構的現場檢查工作進行考核和評價。
第十四條 各派出機構負責統籌轄內現場檢查工作,組織對轄內銀行業金融機構的現場檢查,組織全轄專項檢查、臨時檢查和稽核調查,完成上級部門部署的現場檢查任務,對下級部門的現場檢查工作進行指導、考核和評價。
第十五條 根據需要,銀監會可對銀監局或銀監分局監管的機構、銀監局可對轄內銀監分局監管的機構直接開展現場檢查。
第十六條 銀監會現場檢查部門負責現場檢查的歸口管理。銀監會及派出機構承擔現場檢查職責的部門負責現場檢查立項,組織實施現場檢查,提出現場檢查處理意見,評估被查機構整改情況,就現場檢查情況及時與機構監管、功能監管等部門進行溝通。
銀監會及派出機構的機構監管、功能監管等部門,根據自身職責,配合開展現場檢查工作,負責提出現場檢查立項建議,提供現場檢查所需的數據、資料和相關信息,并可根據需要開展有關的現場檢查,跟蹤檢查意見的整改情況。
第十七條 銀監會及派出機構應加強與政府相關部門的工作 聯動,溝通檢查情況,依法共享檢查信息,必要時可聯合其他部門開展對銀行業金融機構相關業務領域的現場檢查。
第十八條 銀監會及派出機構在開展跨境現場檢查時,應根據監管備忘錄等合作協議的規定,加強與境外監管機構的溝通協作。
第三章 立項管理
第十九條 銀監會及派出機構應加強現場檢查立項管理,根據銀行業金融機構的依法合規情況、評級情況、風險狀況和以往檢查情況等,確定對其現場檢查的頻率、范圍,確保檢查項目科學、合理、可行。未經立項審批程序,不得開展現場檢查。
第二十條 銀監會現場檢查部門應在征求機構監管、功能監管等部門以及各銀監局意見基礎上,結合檢查資源情況,制定現場檢查計劃,報主席會議審議決定或由銀監會主要負責人簽發。
第二十一條 銀監會按制定現場檢查計劃,現場檢查計劃一經確定原則上不作更改。
列入計劃的個別項目確需調整的,應當說明調整意見及理由,每年中期集中調整一次。調整時,對于銀監會負責的項目,應經銀監會負責人審批;對于派出機構負責的項目,經銀監局負責人審批同意后,應按要求向銀監會現場檢查部門報告。第二十二條 經銀監會或銀監局主要負責人批準,銀監會或銀監局可立項開展臨時檢查。
各銀監局應在臨時檢查立項后10個工作日內,將立項情況向上級部門報告。
第二十三條 稽核調查可納入現場檢查計劃,也可適用臨時檢查立項程序。
第四章 檢查實施
第二十四條 銀監會及派出機構組織實施現場檢查可采取以下方式:
(一)由立項單位組織人員實施;
(二)由上級部門部署下級部門實施;
(三)對專業性強的領域,可要求銀行業金融機構選聘符合條件的第三方機構進行檢查,并將檢查結果報告監管部門;
(四)采用符合法律法規及規章規定的其他方式實施。第二十五條 銀監會及派出機構依法組織實施現場檢查時,檢查人員不得少于二人,并應當出示合法證件和檢查通知書。
檢查人員少于二人或未出示合法證件和檢查通知書的,銀行業金融機構有權拒絕檢查。
第二十六條 銀行業金融機構及相關人員存在不配合檢查、不如實反映情況或拒絕、阻礙檢查等行為的,銀監會及派出機構 可根據情節輕重,對相關機構和個人依法采取監督管理措施和行政處罰。
第二十七條 現場檢查人員執行現場檢查任務時,應當保持應有的獨立性,存在影響或者可能影響依法公正履行職責情況的,應實行回避,不得參加相關事項的討論、審核和決定,不得以任何方式對相關事項施加影響。
被查機構認為檢查人員與其存在利害關系的,有權申請檢查人員回避。
第二十八條 銀監會及派出機構應當在實施現場檢查前組成檢查組,根據檢查任務,合理配備檢查人員。
檢查組實行組長負責制。檢查組組長在檢查組成員中確定主查人,負責現場檢查工作的具體組織和實施。
第二十九條 檢查組根據檢查項目需要,開展查前調查,進行檢查分析和模型分析,制定檢查方案,做好查前培訓。
第三十條 檢查組應提前或進場時向被查機構發出書面檢查通知,組織召開進點會談,并向被查機構提出配合檢查工作的要求。同時由檢查組組長或負責人宣布現場檢查工作紀律和有關規定,告知被查機構對檢查人員履行監管職責和執行工作紀律、廉政紀律情況進行監督。
第三十一條 檢查人員應按要求做好工作記錄、檢查取證、事實確認和問題定性。
第三十二條 檢查過程中,應加強質量控制,做到檢查事實 清楚、問題定性準確、責任認定明晰、定性依據充分、取證手續齊全。
第三十三條 檢查組可通過事實確認書、檢查事實與評價等方式就檢查過程中發現的問題與被查機構交換意見。
承擔現場檢查職責的部門與相關部門應加強對檢查情況的溝通。
第三十四條 檢查結束后,檢查組應制作現場檢查工作報告,并向被查機構出具現場檢查意見書。必要時,可將檢查意見告知被查機構的上級管理 部門或被查機構的董事會、監事會、高級管理層或主要股東等。
第三十五條 檢查人員應當認真收集、整理檢查資料,將記錄檢查過程、反映檢查結果、證實檢查結論的各類文件、數據、資料等納入檢查檔案范圍。
第三十六條 稽核調查參照一般現場檢查程序,根據工作要求和實際情況,可以簡化流程,不收集證據,不與調查對象交換意見,不出具檢查工作報告和檢查意見書,以調查報告作為稽核調查的成果。
調查過程中如發現涉及需要采取監管措施或行政處罰的事項,應當按照相關要求收集證據,并依程序進行處理。
第三十七條 對于有特殊需要的現場檢查項目,經檢查組組長確定,可適當簡化檢查程序,包括但不限于不進行查前培訓、不組織進點會談等。
第五章 檢查方式
第三十八條 檢查過程中,檢查人員可查閱文件和資料、查看經營管理場所、采集數據信息、測試有關系統設備設施、訪談或詢問相關人員,并可根據需要,收集原件、原物,進行復制、記錄、錄音、錄像、照相等。
對可能被轉移、隱匿或者毀損的文件、資料,經檢查組組長同意可以封存。
第三十九條 銀監會及派出機構應持續完善檢查分析系統,充分運用信息技術手段,開展檢查分析,實施現場檢查,提高現場檢查質效。
銀行業金融機構應按照銀監會及派出機構要求,完成檢查分析系統所需數據整理、報送等工作,保證相關數據的真實、準確、規范和及時。
第四十條 檢查人員可就檢查事項約談銀行業金融機構外聘審計機構人員,了解審計情況。
銀行業金融機構外聘審計機構時,應在相關合同或協議中明確外聘審計人員有配合銀監會及派出機構檢查的責任。
第四十一條 檢查組可抽調被查機構內審人員參與現場檢查,被查機構應予以配合。必要時,可要求銀行業金融機構內審部門對特定項目進行檢查。內審部門應按照監管要求實施檢查、形成報告報送監管部門。銀監會及派出機構應加強檢查指導,對檢查實行質量控制和評價。
第四十二條 檢查過程中,為查清事實,檢查組需向除被查機構以外的其他銀行業金融機構了解情況的,可要求相關機構予以配合。
經銀監會現場檢查部門相關負責人批準,檢查人員可直接向相關銀行業金融機構了解情況,也可委托相關機構所在地銀監局予以協助。
涉及跨銀監局轄區的協查事項,經銀監局相關負責人批準,可發函要求相關機構所在地銀監局予以協助。銀監局轄內的協查事項,由各銀監局自行確定相關程序和要求。
協查人員負責調取相關資料,查明相關情況,檢查責任由檢查組承擔。
第四十三條 銀監會及派出機構依法對銀行業金融機構進行檢查時,為了查清涉嫌違法行為,經設區的市一級以上銀行業監督管理機構負責人批準,可以根據《中華人民共和國銀行業監督管理法》的規定對相關單位和個人進行調查。
第四十四條 銀監會及派出機構行使相關調查權應當符合以下條件:
(一)在檢查中已獲取銀行業金融機構或相關人員涉嫌違法的初步證據;
(二)相關調查權行使對象限于與涉嫌違法事項有關的單位 和個人。
第四十五條 與涉嫌違法事項有關的單位和個人包括與涉嫌違法行為有直接關系的民事主體,也包括沒有參與違法行為,但掌握違法行為情況的單位和個人。主要指:
(一)銀行業金融機構的股東、實際控制人、關聯企業和個人等;
(二)銀行業金融機構的客戶及其交易對手等;
(三)為銀行業金融機構提供產品和服務的企業、市場中介機構和專業人士等;
(四)通過協議、合作、關聯方關系等合法途徑擴大對銀行業金融機構的控制比例或鞏固其控制地位的自然人、法人或其他組織;
(五)其他與銀行業金融機構涉嫌違法事項有關的單位和個人。
第四十六條 開展相關調查時,調查人員不得少于二人,并應當出示合法證件和調查通知書。
調查人員少于二人或未出示合法證件和調查通知書的,有關單位或者個人有權拒絕調查。
第四十七條 開展相關調查時,調查人員可采取下列措施:
(一)詢問有關單位或者個人,要求其對有關情況作出說明;
(二)查閱、復制有關財務會計、財產權登記等文件、資料;
(三)對可能被轉移、隱匿、毀損或者偽造的文件資料,予 以先行登記保存。
第四十八條 調查人員依法開展相關調查時,被調查單位和個人應當配合,如實說明有關情況,并提供有關文件、資料,不得拒絕、阻礙和隱瞞。
阻礙銀監會及派出機構工作人員依法執行調查任務的,由銀監會及派出機構提請公安機關依法給予治安管理處罰,構成犯罪的,依法追究刑事責任。
第六章 檢查處理
第四十九條 對于檢查中發現的問題,銀監會及派出機構應在檢查意見書中責令被查機構限期改正。被查機構應在規定時間內,向決定作出機關提交整改報告。
第五十條 銀監會及派出機構可將現場檢查情況通報被查機構的上級部門或主要股東,也可以與被查機構的董事、監事、高級管理人員進行監管談話,要求其就檢查發現的問題作出說明和承諾。
第五十一條 銀監會及派出機構在檢查中發現被查機構存在違反法律法規、審慎經營規則情形的,應依法采取《中華人民共和國銀行業監督管理法》規定的監管措施。
第五十二條 銀監會及派出機構在現場檢查中發現涉及行政處罰的違法違規行為的,應按照《中華人民共和國銀行業監督管 理法》和《中國銀監會行政處罰辦法》的規定辦理。
第五十三條 銀監會及派出機構在現場檢查中發現銀行業金融機構及其工作人員、客戶以及其他相關組織、個人涉嫌犯罪的,應當根據銀監會有關規定,依法向公安機關、人民檢察院等部門移送。
第五十四條 檢查結束后,承擔現場檢查職責的部門應將現場檢查意見書及時抄送機構監管部門及其他相關部門。機構監管部門應根據檢查意見,督促被查機構落實整改要求。必要時,可設立一定的整改觀察期。
第五十五條 承擔現場檢查職責的部門負責對被查機構整改情況進行評估。評估過程中,可查閱被查機構的整改報告、要求被查機構補充相關材料、約談被查機構相關人員、聽取機構監管部門等相關部門意見,必要時可進行后續檢查。
第五十六條 被查機構未按要求整改的,銀監會及派出機構可根據《中華人民共和國銀行業監督管理法》規定采取監管措施或進行行政處罰。
第五十七條 銀監會及派出機構應當加強對檢查情況和整改情況的統計、分析,建立現場檢查信息反饋和共享機制,以及本次現場檢查與以往檢查結果、后續現場檢查部署的銜接和研判機制。
對于檢查中發現的普遍性、系統性風險和問題,應及時采取監管通報、風險提示等措施。對于檢查中發現的監管機制和制度存在的問題,應及時提出修訂和完善監管機制與制度的建議。
第五十八條 銀監會及派出機構應將現場檢查發現的情況和問題,在被查機構的監管評級和風險評估中反映,必要時相應調整被查機構的監管評級和風險評估,并在市場準入工作中予以參考。
第五十九條 銀監會及派出機構有權按照相關規定,在一定范圍內披露檢查信息。
第七章 考核評價
第六十條 銀監會及派出機構應建立現場檢查工作質量控制和考核評價機制,對檢查立項的科學性、檢查實施的合規性、檢查成果的有效性以及現場檢查人員的履職盡責情況等進行質量控制和考核評價。
第六十一條 銀監會及派出機構應建立現場檢查正向激勵機制,對于檢查能力突出、查實重大違法違規問題、發現重大案件或重大風險隱患、挽回重大經濟損失的檢查人員,可給予表彰獎勵。
第六十二條 銀監會及派出機構應當按照權責一致、寬嚴適度、教育與懲戒相結合的原則,完善現場檢查工作問責和免責機制。對于在現場檢查工作中不依法合規履職的,應在查清事實的 基礎上依照有關法律法規及銀監會履職問責有關規定,對相關檢查人員予以問責。對于有證據表明檢查人員已履職盡責的,免除檢查人員的責任。
第六十三條 對于濫用職權、徇私舞弊、玩忽職守、泄露所知悉的被查機構商業秘密等嚴重違反現場檢查紀律的人員,依法給予行政處分;構成犯罪的,依法追究刑事責任。
第八章 附 則
第六十四條 銀監會及派出機構根據日常監管需要,開展的信訪舉報和投訴核查、行政處罰立案調查、監管走訪、督查或調研等活動,不屬于本辦法規定的現場檢查。
第六十五條 本辦法所稱銀行業金融機構,包括: 在中華人民共和國境內依法設立的政策性銀行和商業銀行、農村信用社等吸收公眾存款的金融機構;
在中華人民共和國境內依法設立的金融資產管理公司、信托公司、企業集團財務公司、金融租賃公司以及經銀監會及派出機構批準設立的其他非銀行金融機構;
經銀監會及派出機構批準在境外設立的金融機構。第六十六條 銀監會及派出機構可以根據自身職責,依照本辦法制定現場檢查規程和實施細則。
第六十七條 本辦法由銀監會負責解釋。第六十八條 本辦法自2016年2月14日起施行。本辦法施行前有關規定與本辦法不一致的,以本辦法為準。
第五篇:銀監會對銀行呆帳核銷現場檢查的反饋
關于銀監會**局對我行呆帳核銷現場檢查的反饋
市分行:
市銀監分局于八月十九日對我部呆帳核銷進行了現場檢查,現將有疑事實反饋如下:
一、**家電站核銷2萬元及表外利息342516.01元的帳務處理地事實描述:
反饋:
該公司經**區人民法院出具(2003)法院執字第41-1號裁定終結執行,故對該貸款停止計息處理,所以申報核銷數與實際數相同。
二、**市恒發物資貿易公司貸款屬委托貸款,不符合核銷條件的事實描述:
反饋:
1、恒發物資貿易公司于1994年在原市*行信托公司貸款20萬元,截至2004年底余額10萬元。后該信托公司公司按國家有關規定依法撤銷,貸款并入市*行營業部,原貸款合同為委托貸款合同(協議),并帳時已納入規模,[xiexiebang.com-http://www.tmdps.cn找文章,到xiexiebang.com]按自營貸款管理,不再屬委托貸款范疇。但由于時間跨度長,原經辦人員都不在本崗位,故何時轉為自營貸款,已無法查明。
三、對呆帳損失責任人未予責任追究的描述
反饋:**市輕紡經銷公司2004核銷本金94萬元,利息139萬元,該貸款的損失屬企業經營不善及市場變化等外部原因造成,我行無人為責任,再者貸款經辦人已調離*行系統,無法追索。
四、未建立“賬銷案存”核銷臺帳及未繼續追償的描述:
反饋:
2004我部按上級行的安排,共核銷呆帳6戶,本息313萬元,其中本金120萬元,利息193萬元。
1、賬銷案存、核銷臺帳已由會計部門專帳管理,信貸建立微機臺帳,無形式上的手工臺帳帳簿(已整改)。
2、以上貸款由于時間跨度長,人員變動較大,且屬1999年以前發生的不良貸款,企業已全部關停,無法查找,的確無法追償,但我部將克服困難,安排清收(管理)人員,落實賬銷案存的后續管理工作。
點擊咨詢 